コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-NAT-route-based-IPsec-same-subnets

ローカルサブネットとリモートサブネットが同じ場合のルートベース IPsec を使用する NAT

ローカルファイアウォールとリモートファイアウォールでサブネットが同じ場合は、ルートベースの IPsec VPN トンネルのネットワークアドレス変換 (NAT) が設定できます。

2 種類のルートベース VPN トンネルの設定は、次のように異なります。

この記事では、任意のサブネット間で使用するトンネルインターフェイスの設定例を示します。

サイト間 IPsec NAT ネットワークダイアグラム。

  1. 次のように設定します。

    1. IPsec 接続
    2. インバウンドおよびアウトバウンドのファイアウォールルール
    3. SD-WAN ルート

    詳細は、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。

  2. 本社および支社のファイアウォールで、以下の手順を実行します。

    1. 再帰 (SNAT) ルールと共に DNAT ルールを設定します。
    2. SNAT ルールを確認します。

本社のファイアウォール

本社のファイアウォール (Sophos Firewall 1) で DNAT および SNAT ルールを設定します。

DNAT ルールの設定

NAT IP 範囲に到着した着信トラフィックをローカルサブネットの IP 範囲に変換する DNAT ルールを追加します。

  1. ルールとポリシー > NAT ルール」に移動します。
  2. NAT ルールの追加 > 新しい NAT ルール」をクリックします。
  3. ルール名を入力します。
  4. 変換前の送信元」を支社の NAT 範囲オブジェクトに設定します (例:192.168.3.1 to 192.168.3.255)。
  5. 変換後の送信元」を「変換前」に設定します。
  6. 変換前の宛先」を変換用に作成した IP 範囲オブジェクトに設定します (例:192.168.1.1 to 192.168.1.255)。

  7. 変換された宛先」を実際のローカルサブネットオブジェクトに設定します (例:192.168.2.1 to 192.168.2.255)。

    HO ファイアウォールでの DNAT 変換設定。

  8. 再帰ルールの作成」を選択して、送信トラフィック用に対応する SNAT ルールを作成します。

  9. 負荷分散方式」では、 「1 対 1」を選択します。

    再帰ルールと負荷分散 。

  10. 保存」をクリックします。

SNAT ルールの確認

発信トラフィックの SNAT ルールをチェックして、ローカルサブネットの IP 範囲を変換用に作成したオブジェクトに変換します。

  1. ルールとポリシー > NAT ルール」に移動します。

  2. 作成した再帰ルールをクリックします。

    例: Reflexive_NAT#_<DNAT rulename>

  3. 送信元の変換設定を確認します。設定例は次のとおりです。

    1. 変換前の送信元: 192.168.2.1 to 192.168.2.255
    2. 変換後の送信元: 192.168.1.1 to 192.168.1.255
    3. 変換前の宛先: 192.168.3.1 to 192.168.3.255

    4. 変換後の宛先: 変換前

      HO ファイアウォールでの SNAT 変換設定。

    発信トラフィックは、サブネットの実際の IP 範囲から変換された IP 範囲に変換されます。

支社のファイアウォール

支社のファイアウォール (Sophos Firewall 2) で DNAT および SNAT ルールを設定します。

DNAT ルールの設定

NAT IP 範囲に到着した着信トラフィックをローカルサブネットの IP 範囲に変換する DNAT ルールを追加します。

  1. ルールとポリシー > NAT ルール」に移動します。
  2. NAT ルールの追加 > 新しい NAT ルール」をクリックします。
  3. ルール名を入力します。
  4. 変換前の送信元」を本社の NAT 範囲オブジェクトに設定します (例:192.168.1.1 to 192.168.1.255)。
  5. 変換後の送信元」を「変換前」に設定します。
  6. 変換前の宛先」を変換用に作成した IP 範囲オブジェクトに設定します (例:192.168.3.1 to 192.168.3.255)。

  7. 変換された宛先」を実際のローカルサブネットオブジェクトに設定します (例:192.168.2.1 to 192.168.2.255)。

    BO ファイアウォールでの DNAT 変換設定。

  8. 再帰ルールの作成」を選択して、送信トラフィック用に対応する SNAT ルールを作成します。

  9. 負荷分散方式」では、 「1 対 1」を選択します。

    再帰ルールと負荷分散 。

  10. 保存」をクリックします。

SNAT ルールの確認

発信トラフィックの SNAT ルールをチェックして、ローカルサブネットの IP 範囲を変換用に作成したオブジェクトに変換します。

  1. ルールとポリシー > NAT ルール」に移動します。

  2. 作成した再帰ルールをクリックします。

    例: Reflexive_NAT#_<DNAT rulename>

  3. 送信元の変換設定を確認します。設定例は次のとおりです。

    1. 変換前の送信元: 192.168.2.1 to 192.168.2.255
    2. 変換後の送信元: 192.168.3.1 to 192.168.3.255
    3. 変換前の宛先: 192.168.1.1 to 192.168.1.255

    4. 変換後の宛先: 変換前

      BO ファイアウォールでの SNAT 変換設定。

    発信トラフィックは、サブネットの実際の IP 範囲から変換された IP 範囲に変換されます。