コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-route-based-VPN

ルートベースの VPN の作成 (任意のサブネット間)

本社 (HO) と支社 (BO) の間にルートベースの VPN (RBVPN) を作成・設定し、双方向のトラフィックを許可しましょう。そのためには、ローカルサブネットとリモートサブネットを「任意」に設定します。

本社と支社の設定がある場合、通常、支社のファイアウォールはトンネルの発信側として機能します。本社のファイアウォールは応答側として機能します。理由は以下のとおりです。

  • 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。

  • 支社のデバイスに動的 IP アドレスが設定されている場合、本社のデバイスから接続を開始することはできません。

    ただし、本社の Sophos Firewall でダイナミック DNS (DDNS) を設定した場合は、本社から接続を開始できます。詳しくは、ダイナミック DNS プロバイダの追加を参照してください。

ルートベースの VPN ネットワークダイアグラム

このシナリオでは、ブランチオフィスが接続を開始します。

ここで使用するネットワークアドレスは、例にすぎません。ルートベースの VPN を作成する場合は、ネットワークアドレスを使用します。

ルートベースの VPN ネットワーク図。

本社

LAN 用 IP ホストの作成

本社ネットワークと支社ネットワーク用のホストを作成します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。

  2. 本社 LAN 用の設定を指定します。

    名前 設定
    名前 HO_LAN
    IP バージョン IPv4
    種類 Network
    IP アドレス 192.168.1.0
    サブネット /24 (255.255.255.0)

    次に例を示します。

    LAN IP ホストを作成します。

  3. 保存」をクリックします。

  4. 追加」をクリックします。

  5. 支店 LAN 用の設定を指定します。

    名前 設定
    名前 BO_LAN
    IP バージョン IPv4
    種類 Network
    IP アドレス 192.168.3.0
    サブネット /24 (255.255.255.0)

  6. 保存」をクリックします。

ルートベースの VPN の構成

ルートベースの VPN トンネルを作成するには、次の手順を実行します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。

  3. 全般設定を指定します。

    ここで、ルートベース VPN のファイアウォールルールの作成を選択することはできません。

    名前 設定
    IP バージョン

    指定された IP バージョンを使用するデータのみがトンネルを通過できます。

    「IPv4」を選択します。
    接続タイプ トンネルインターフェース」を選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は xfrm で、その後に番号が続きます。
    ゲートウェイの種類

    次のゲートウェイタイプを選択します。

    応答のみ:受信要求にいつでも応答するために接続を準備します。
    保存時にアクティベート このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。

    例:

    ルートベースの VPN の設定。

  4. 暗号化設定を指定します。

    名前 設定
    プロファイル

    トラフィックで使用する IPsec プロファイル。

    本社 (IKEv2)」を選択します。
    認証タイプ

    認証タイプを選択します。

    RSA 鍵」を選択します。RSA 鍵を使用してエンドポイントを認証します。

    ローカル RSA 鍵が自動的に生成されます。支社の Sophos Firewall から RSA 鍵をコピーして貼り付ける必要があります。

    例:

    ルートベースの VPN の暗号化設定。

  5. ローカルゲートウェイを設定します。

    名前 設定
    リスニングインターフェース

    接続要求を待機するインターフェイス。

    「WAN インターフェイス (Port2-172.20.120.10)」を選択します。
    ローカルサブネット 任意

    例:

    ルートベースの VPN のローカルゲートウェイ設定。

  6. リモートゲートウェイを設定します。

    名前 設定
    ゲートウェイのアドレス 支社の Sophos Firewall の WAN IP アドレス (172.20.120.15) を入力します。
    リモートサブネット 任意

    例:

    ルートベースの VPN のリモートゲートウェイ設定。

  7. 保存」をクリックします。

  8. プロファイル > IPsec プロファイル」に移動し、「デッドピア検知」がオンになっていることを確認します。ピア (支社) に到達できない場合のアクションとして、以下のいずれかを選択することを推奨します。

    • 保留
    • 切断

XFRM インターフェイスの編集

XFRM インターフェースは、ルートベースの VPN 接続を設定するときに、Sophos Firewall が WAN インターフェースに作成する仮想トンネルインターフェースです。

  1. ネットワーク > インターフェース」に移動します。

  2. XFRM インターフェースを設定したポートをクリックします。左側に青いバーがあるポートは、仮想インターフェースが割り当てられていることを示しています。

    次に例を示します。

    ポートをクリックして、XFRM インターフェイスを表示します。

  3. XFRM インターフェースをクリックし、IP アドレスとサブネットを指定します。例: 3.3.3.3/24

    例:

    XFRM インターフェイスに IP アドレスとサブネットマスクを割り当てます。

  4. 保存」をクリックします。

アクセスの許可

デバイスアクセスの許可

  1. 管理 > デバイスのアクセス」に移動します。
  2. IPsec」で「WAN」を選択します。
  3. Ping/Ping6」の「VPN」を選択します。
  4. 適用」をクリックします。

ファイアウォールルールの追加

受信および送信 VPN トラフィックのファイアウォールルールを作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」プロトコルを選択します。
  3. ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。

  4. 設定を指定します。

    名前 設定
    ルール名 Inbound_Allow
    ファイアウォールトラフィックのログ 設定を選択します。
    送信元ゾーン VPN
    送信元ネットワークとデバイス BO_LAN
    宛先ゾーン LAN
    宛先ネットワーク HO_LAN

    例:

    送受信トラフィックのファイアウォールルール。

  5. 保存」をクリックします。

  6. IPv4」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。

  7. 設定を指定します。

    名前 設定
    ルール名 Outbound_Allow
    ファイアウォールトラフィックのログ 設定を選択します。
    送信元ゾーン LAN
    送信元ネットワークとデバイス HO_LAN
    宛先ゾーン VPN
    宛先ネットワーク BO_LAN

  8. 保存」をクリックします。

ルートの追加

この例では、静的ルートと SD-WAN ルートを設定する方法を説明します。動的ルートについては、次を参照してください。

  1. ルーティング」 > 「静的ルート」に移動し、「IPv4 ユニキャストルート」の「追加」をクリックします。

  2. ルートを以下のように設定します。

    名前 設定
    宛先 IP/ネットマスク 192.168.3.0/24
    インターフェース xfrm1-3.3.3.3

    例:

    静的ルートの設定。

  3. 保存」をクリックします。

  1. ルーティング > SD-WAN ルート」に移動します。
  2. IPv4」を選択して「追加」をクリックします。
  3. 名前」を入力します。
  4. 送信元ネットワーク」を HO_LAN に設定します。

  5. 宛先ネットワーク」を BO_LAN に設定します。

    HO でのルートベース VPN の SD-WAN 設定。

  6. リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

    パフォーマンス SLA とセキュリティ状態のチェック基準に基づいてゲートウェイのフェールオーバーを強制する場合は、トンネルインターフェイスを使用して SD-WAN プロファイルを作成し、ここでそのプロファイルを選択します。

  7. プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。

    1. 名前を入力します。
    2. ゲートウェイIP」には、支社の XFRM の IP アドレスを入力します (例: 3.3.3.4)。

    3. インタフェース」に、XFRM インターフェースを選択します (例: xfrm1_3.3.3.3)。

      SD-WAN 設定。

    4. ヘルスチェック」をオンにする場合は、「監視条件」に支社の内部 IP アドレスを入力します (例: 192.168.3.2)。

  8. 必要に応じて、「指定されたゲートウェイを経由してのみルーティング」を選択できます。

    トンネルが使用できない場合、ファイアウォールはトラフィックをドロップします。

  9. 保存」をクリックします。

支店

LAN 用 IP ホストの構成

支社ネットワークと本社ネットワーク用のホストを作成します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。

  2. 支店 LAN 用の設定を指定します。

    名前 設定
    名前 BO_LAN
    種類 ネットワーク
    IP アドレス 192.168.3.0
    サブネット /24 (255.255.255.0)

  3. 本社 LAN 用の設定を指定します。

    名前 設定
    名前 HO_LAN
    種類 ネットワーク
    IP アドレス 192.168.1.0
    サブネット /24 (255.255.255.0)

ルートベースの VPN の構成

ルートベースの VPN トンネルを作成するには、次の手順を実行します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。

  3. 全般設定を指定します。

    名前 設定
    IP バージョン

    指定された IP バージョンを使用するデータのみがトンネルを通過できます。

    「IPv4」を選択します。
    接続タイプ トンネルインターフェース」を選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は xfrm で、その後に番号が続きます。
    ゲートウェイの種類

    ゲートウェイの種類を選択します。

    接続を開始」を選択します。VPN サービスまたはデバイスが再起動するたびに、接続を確立します。
    保存時にアクティベート このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。

  4. 暗号化設定を指定します。

    名前 設定
    プロファイル トラフィック用の IPsec プロファイル。「支店 (IKEv2)」を選択します。
    認証タイプ

    認証タイプを選択します。

    RSA 鍵」を選択します。RSA 鍵を使用してエンドポイントを認証します。

    ローカル RSA 鍵が自動的に生成されます。本社の Sophos Firewall から RSA 鍵をコピーして貼り付ける必要があります。

  5. ローカルゲートウェイを設定します。

    名前 設定
    リスニングインターフェース 接続リクエストを待機するインターフェース。WAN インターフェース ( Port2-172.20.120.15) を選択します。

  6. リモートゲートウェイを設定します。

    名前 設定
    ゲートウェイのアドレス 本社の Sophos Firewall の WAN IP アドレス (172.20.120.10) を入力します。

    ゲートウェイ IP アドレスまたは DNS ホスト名を入力する必要があります。「ゲートウェイの種類」が「接続を開始」に設定されているルートベースの VPN では、ワイルドカードアドレス (*)を入力できません。

  7. 保存」をクリックします。

  8. プロファイル > IPsec プロファイル」に移動し、「デッドピア検知」がオンになっていることを確認します。ピア (本社) に到達できない場合に実行するアクションを次の中から選択します。再開。

XFRM インターフェイスの編集

XFRM インターフェースは、ルートベースの VPN 接続を設定するときに、Sophos Firewall が WAN インターフェースに作成する仮想トンネルインターフェースです。

  1. ネットワーク > インターフェース」に移動します。
  2. IP アドレスとサブネットを指定します。例: 3.3.3.4/24
  3. 保存」をクリックします。

アクセスの許可

デバイスアクセスの許可

  1. 管理 > デバイスのアクセス」に移動します。
  2. IPsec」で「WAN」を選択します。
  3. Ping/Ping6」の「VPN」を選択します。
  4. 適用」をクリックします。

ファイアウォールルールの追加

受信および送信 VPN トラフィックのファイアウォールルールを作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」プロトコルを選択します。
  3. ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。

  4. 設定を指定します。

    名前 設定
    ルール名 Inbound_Allow
    ファイアウォールトラフィックのログ 設定を選択します。
    送信元ゾーン VPN
    送信元ネットワークとデバイス HO_LAN
    宛先ゾーン LAN
    宛先ネットワーク BO_LAN

  5. 保存」をクリックします。

  6. IPv4」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。

  7. 設定を指定します。

    名前 設定
    ルール名 Outbound_Allow
    ファイアウォールトラフィックのログ 設定を選択します。
    送信元ゾーン LAN
    送信元ネットワークとデバイス BO_LAN
    宛先ゾーン VPN
    宛先ネットワーク HO_LAN

  8. 保存」をクリックします。

ルートの追加

この例では、静的ルートと SD-WAN ルートを設定する方法を説明します。動的ルートについては、次を参照してください。

  1. ルーティング」 > 「静的ルート」に移動し、「IPv4 ユニキャストルート」の「追加」をクリックします。

  2. ルートを以下のように設定します。

    名前 設定
    宛先 IP/ネットマスク 192.168.1.0/24
    インターフェース xfrm1-3.3.3.4

  3. 保存」をクリックします。

  1. ルーティング > SD-WAN ルート」に移動します。
  2. IPv4」を選択して「追加」をクリックします。
  3. 名前」を入力します。
  4. 送信元ネットワーク」を BO_LAN に設定します。

  5. 宛先ネットワーク」を HO_LAN に設定します。

    BO でのルートベース VPN の SD-WAN 設定。

  6. リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

  7. プライマリゲートウェイ」のドロップダウンリストをクリックし、「追加」をクリックします。

    1. 名前を入力します。
    2. ゲートウェイ IP」で、本社の XFRM の IP アドレスを入力します (例: 3.3.3.3)。
    3. インタフェース」に、XFRM インターフェースを選択します (例: xfrm1_3.3.3.4)。
    4. セキュリティ状態のチェック」をオンにする場合は、「監視条件」に本社の内部 IP アドレスを入力します (例: 192.168.1.2)。

  8. 必要に応じて、「指定されたゲートウェイを経由してのみルーティング」を選択できます。

    トンネルが使用できない場合、ファイアウォールはトラフィックをドロップします。

  9. 保存」をクリックします。

接続の確認

本社で、次の手順を実行します。

  1. ブランチオフィス LAN 上のデバイスに対して継続的に ping を実行します。Windows でコマンドプロンプトを起動し、ping 192.168.3.10 -t と入力します。
  2. Sophos Firewall で、「診断 > パケットキャプチャ > 設定」に移動します。「BPF 文字列」に以下のように入力します: host 192.168.1.10 and proto ICMP
  3. 保存」をクリックします。
  4. パケットキャプチャ」をオンにします。ping が成功すると、XFRM インターフェースから送信される ICMP トラフィックが表示されます。
  5. ログビューア」に移動します。192.168.1.10 を検索します。ping が成功すると、XFRM インターフェースから宛先 IP アドレス 192.160.1.10 への ICMP トラフィックが表示されます。

さらにトラブルシューティングを行うには、ファイアウォールルール ID を選択し、「ファイアウォールルールのフィルタリング」を選択します。これにより、Web 管理コンソールでファイアウォールルールが開き、設定を確認できます。

その他のリソース