トラフィックセレクタを用いたルートベースの VPN の作成

本社 (HO) と支社 (BO) の間に、特定のローカルサブネットおよびリモートサブネットを対象としたルートベースの VPN (RBVPN) を作成・導入しましょう。

本社と支社の設定がある場合、通常、支社のファイアウォールはトンネルの発信側として機能します。本社のファイアウォールは応答側として機能します。理由は以下のとおりです。

• 支社は複数存在する可能性があるので、本社がすべての支社に対して接続を再試行するよりも、支社が接続を再試行することが推奨されます。

• 支社のデバイスに動的 IP アドレスが設定されている場合、本社のデバイスから接続を開始することはできません。

  ただし、本社の Sophos Firewall でダイナミック DNS (DDNS) を設定した場合は、本社から接続を開始できます。詳しくは、ダイナミック DNS プロバイダの追加を参照してください。

ルートベースの VPN ネットワークダイアグラム

このシナリオでは、ブランチオフィスが接続を開始します。

本社

LAN 用 IP ホストの作成

本社ネットワークと支社ネットワーク用のホストを作成します。

1. 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。

2. 本社 LAN 用の設定を指定します。

   名前	設定
   名前	HO_LAN
   IP バージョン	IPv4
   種類	Network
   IP アドレス	192.168.1.0
   サブネット	/24 (255.255.255.0)

   次に例を示します。

   

3. 「保存」をクリックします。

4. 「追加」をクリックします。

5. 支店 LAN 用の設定を指定します。

   名前	設定
   名前	BO_LAN
   IP バージョン	IPv4
   種類	Network
   IP アドレス	192.168.3.0
   サブネット	/24 (255.255.255.0)

6. 「保存」をクリックします。

ルートベースの VPN の構成

ルートベースの VPN トンネルを作成するには、次の手順を実行します。

1. 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
2. 名前を入力します。

3. 全般設定を指定します。

   注

   ここで、ルートベース VPN のファイアウォールルールの作成を選択することはできません。

   名前	設定
   IP バージョン	指定された IP バージョンを使用するデータのみがトンネルを通過できます。 「IPv4」を選択します。
   接続タイプ	「トンネルインターフェース」を選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は xfrm で、その後に番号が続きます。
   ゲートウェイの種類	次のゲートウェイタイプを選択します。 応答のみ：受信要求にいつでも応答するために接続を準備します。
   保存時にアクティベート	このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。

   例:

   

4. 暗号化設定を指定します。

   名前	設定
   プロファイル	トラフィックで使用する IPsec プロファイル。 「本社 (IKEv2)」を選択します。
   認証タイプ	認証タイプを選択します。 「RSA 鍵」を選択します。RSA 鍵を使用してエンドポイントを認証します。 ローカル RSA 鍵が自動的に生成されます。支社の Sophos Firewall から RSA 鍵をコピーして貼り付ける必要があります。

   例:

   

5. ゲートウェイを設定します。

   名前	設定
   リスニングインターフェース	接続要求を待機するインターフェイス。 「WAN インターフェイス (Port2-172.20.120.10)」を選択します。
   ゲートウェイのアドレス	ブランチオフィス Sophos Firewall (172.20.120.15) の WAN IP アドレスを入力します。
   ローカルサブネット	HO_LAN
   リモートサブネット	BO_LAN

   例:

   

6. 「保存」をクリックします。

7. 「プロファイル > IPsec プロファイル」に移動し、「デッドピア検知」がオンになっていることを確認します。ピア (支社) に到達できない場合のアクションとして、以下のいずれかを選択することを推奨します。

   • 保留
   • 切断

8. XFRM インターフェースを表示するには、「ネットワーク > インターフェース」に移動し、「リスニングインターフェース」として選択したインターフェースの横の青いバーをクリックします。

   次に例を示します。

   

アクセスの許可

デバイスアクセスの許可

1. 「管理 > デバイスのアクセス」に移動します。
2. 「IPsec」で「WAN」を選択します。
3. 「Ping/Ping6」の「VPN」を選択します。
4. 「適用」をクリックします。

ファイアウォールルールの追加

受信および送信 VPN トラフィックのファイアウォールルールを作成します。

1. 「ルールとポリシー > ファイアウォールルール」に移動します。
2. 「IPv4」プロトコルを選択します。
3. 「ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。

4. 設定を指定します。

   名前	設定
   ルール名	Inbound_Allow
   ファイアウォールトラフィックのログ	設定を選択します。
   送信元ゾーン	VPN
   送信元ネットワークとデバイス	BO_LAN
   宛先ゾーン	LAN
   宛先ネットワーク	HO_LAN

   例:

   

5. 「保存」をクリックします。

6. 「IPv4」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。

7. 設定を指定します。

   名前	設定
   ルール名	Outbound_Allow
   ファイアウォールトラフィックのログ	設定を選択します。
   送信元ゾーン	LAN
   送信元ネットワークとデバイス	HO_LAN
   宛先ゾーン	VPN
   宛先ネットワーク	BO_LAN

8. 「保存」をクリックします。

支店

LAN 用 IP ホストの構成

支社ネットワークと本社ネットワーク用のホストを作成します。

1. 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。

2. 支店 LAN 用の設定を指定します。

   名前	設定
   名前	BO_LAN
   種類	ネットワーク
   IP アドレス	192.168.3.0
   サブネット	/24 (255.255.255.0)

3. 本社 LAN 用の設定を指定します。

   名前	設定
   名前	HO_LAN
   種類	ネットワーク
   IP アドレス	192.168.1.0
   サブネット	/24 (255.255.255.0)

ルートベースの VPN の構成

ルートベースの VPN トンネルを作成するには、次の手順を実行します。

1. 「サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
2. 名前を入力します。

3. 全般設定を指定します。

   名前	設定
   IP バージョン	指定された IP バージョンを使用するデータのみがトンネルを通過できます。 「IPv4」を選択します。
   接続タイプ	「トンネルインターフェース」を選択します。これにより、2つのエンドポイント間にトンネルインターフェースが作成されます。インターフェースの名前は xfrm で、その後に番号が続きます。
   ゲートウェイの種類	ゲートウェイの種類を選択します。 「接続を開始」を選択します。VPN サービスまたはデバイスが再起動するたびに、接続を確立します。
   保存時にアクティベート	このオプションを選択します。「保存」をクリックしたときに、VPN 接続がアクティベートされます。

4. 暗号化設定を指定します。

   名前	設定
   プロファイル	トラフィック用の IPsec プロファイル。「支店 (IKEv2)」を選択します。
   認証タイプ	認証タイプを選択します。 「RSA 鍵」を選択します。RSA 鍵を使用してエンドポイントを認証します。 ローカル RSA 鍵が自動的に生成されます。本社の Sophos Firewall から RSA 鍵をコピーして貼り付ける必要があります。

5. ローカルゲートウェイを設定します。

   名前	設定
   リスニングインターフェース	接続リクエストを待機するインターフェース。WAN インターフェース ( Port2-172.20.120.15) を選択します。
   ローカルサブネット	BO_LAN

6. リモートゲートウェイを設定します。

   名前	設定
   ゲートウェイのアドレス	本社の Sophos Firewall の WAN IP アドレス (172.20.120.10) またはホスト名を入力します。
   リモートサブネット	HO_LAN

7. 「保存」をクリックします。

8. 「プロファイル > IPsec プロファイル」に移動し、「デッドピア検知」がオンになっていることを確認します。ピア (本社) に到達できない場合に実行するアクションを次の中から選択します。再開。
9. XFRM インターフェースを表示するには、「ネットワーク > インターフェース」に移動し、「リスニングインターフェース」として選択したインターフェースの横の青いバーをクリックします。

アクセスの許可

デバイスアクセスの許可

1. 「管理 > デバイスのアクセス」に移動します。
2. 「IPsec」で「WAN」を選択します。
3. 「Ping/Ping6」の「VPN」を選択します。
4. 「適用」をクリックします。

ファイアウォールルールの追加

受信および送信 VPN トラフィックのファイアウォールルールを作成します。

1. 「ルールとポリシー > ファイアウォールルール」に移動します。
2. 「IPv4」プロトコルを選択します。
3. 「ファイアウォールルールの追加 > 新しいファイアウォールルール」を選択します。

4. 設定を指定します。

   名前	設定
   ルール名	Inbound_Allow
   ファイアウォールトラフィックのログ	設定を選択します。
   送信元ゾーン	VPN
   送信元ネットワークとデバイス	HO_LAN
   宛先ゾーン	LAN
   宛先ネットワーク	BO_LAN

5. 「保存」をクリックします。

6. 「IPv4」を選択し、「ファイアウォールルールの追加」を選択します。「新しいファイアウォールルール」を選択します。

7. 設定を指定します。

   名前	設定
   ルール名	Outbound_Allow
   ファイアウォールトラフィックのログ	設定を選択します。
   送信元ゾーン	LAN
   送信元ネットワークとデバイス	BO_LAN
   宛先ゾーン	VPN
   宛先ネットワーク	HO_LAN

8. 「保存」をクリックします。

接続の確認

本社で、次の手順を実行します。

1. ブランチオフィス LAN 上のデバイスに対して継続的に ping を実行します。Windows でコマンドプロンプトを起動し、ping 192.168.3.10 -t と入力します。
2. Sophos Firewall で、「診断 > パケットキャプチャ > 設定」に移動します。「BPF 文字列」に以下のように入力します: host 192.168.1.10 and proto ICMP
3. 「保存」をクリックします。
4. 「パケットキャプチャ」をオンにします。ping が成功すると、XFRM インターフェースから送信される ICMP トラフィックが表示されます。
5. 「ログビューア」に移動します。192.168.1.10 を検索します。ping が成功すると、XFRM インターフェースから宛先 IP アドレス 192.160.1.10 への ICMP トラフィックが表示されます。

さらにトラブルシューティングを行うには、ファイアウォールルール ID を選択し、「ファイアウォールルールのフィルタリング」を選択します。これにより、Web 管理コンソールでファイアウォールルールが開き、設定を確認できます。

その他のリソース

• ルートベースの VPN
• IPsec 接続の追加
• ダイナミック DNS プロバイダの追加