コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-Amazon-VPC-create

Amazon VPC とのサイト間接続の作成

ローカルネットワークと Amazon Virtual Private Cloud (VPC) の間に、サイト間 VPN 接続を作成できます。

はじめに

AWS サイト間 VPN 接続の設定をインポートし、Amazon VPC への接続を確立する手順について説明します。この例では、設定のインポートに Amazon VPC の設定ファイルを、ダイナミックルーティングに BGP を使用します。ネットワーク構成は以下のとおりです。

Amazon VPC 接続のネットワークスキーマ。

前提条件

警告

ここで説明する内容は、執筆時の情報に基づいています。Amazon のマニュアルを参照し、最新情報を確認するようにしてください。以下を参照してください。

Sophos Firewall を Amazon VPC に接続する前に、Amazon VPC コンソールで AWS サイト間 VPN 接続を設定しておく必要があります。

ダイナミックルーティングを使用する場合は、AWS サイト間 VPN 接続の設定に以下の項目を含める必要があります。

  • ローカル IPv4 ネットワーク CIDR」と「リモート IPv4 ネットワーク CIDR」を 0.0.0.0/0 に設定し、BGP ピアリングを確立できるようにします。

  • Sophos Firewall の「ルーティング > BGP > グローバル設定」で BGP を設定済みの場合は、「ローカル AS」の値をメモして、AWS の「Create Customer Gateway」ページで「BGP ASN」フィールドに入力します。

    次に例を示します。

    AWS の「Create Customer Gateway」ページで、ファイアウォールの ASN を入力します。

BGP コンフィギュレーションについて、BGP CLIに「no bgp default ipv4-unicast」が含まれている場合。この場合、BGP ピアリングは自動的には形成されません。

この例では、Amazon サイト間 VPN 接続を以下のように設定します。

設定
名前 S2S VPN
カスタムゲートウェイアドレス 52.140.0.99
種類 ipsec1
ルーティング 動的
ローカル IPv4 ネットワーク CIDR 0.0.0.0/0
リモート IPv4 ネットワーク CIDR 0.0.0.0/0

サイト間 VPN およびトンネルの設定の例を以下に示します。

Amazon サイト間 VPN の設定。

Amazon VPC 設定ファイルをダウンロードする

Amazon サイト間 VPN 設定ファイルを、ファイアウォールにインポートするためにダウンロードしておきます。次の手順を実行します。

  1. Amazon VPC コンソールを開きます。
  2. VIRTUAL PRIVATE NETWORK (VPN) > Site-to-Site VPN Connections」に移動します。
  3. S2S VPN」を選択します。
  4. Download Configuration」をクリックします。

  5. 以下の設定を選択して、「Download」をクリックします。

    設定
    ベンダ Sophos
    プラットフォーム Sophos Firewall
    ソフトウェア v19+
    Ike バージョン ikev2

    「ダウンロード」をクリックします。

設定ファイルをカスタマイズする

ダウンロードした設定ファイルはサンプルであり、希望する設定と一致していない可能性があります。別のセキュリティアルゴリズムや、Diffie-Hellman グループ、非公開証明書、IPv6 トラフィックを使用するには、サンプルファイルに変更を加えてください。

この例では、ファイアウォールが ISP モデムの背後にあるので、tunnel_outside_address の値を、ファイアウォールの WAN インターフェースの IP アドレスと一致させる必要があります。次の手順を実行します。

  1. テキストエディタで VPN の設定ファイルを開きます。

    次に例を示します。

    VPC 設定ファイルの例。

  2. 以下の行を見つけます。

    <tunnel_outside_address>
    <ipfamily>IPv4</ipfamily>
    <ip_address>52.140.0.99</ip_address>
</tunnel_outside_address>

    この例では、VPC コンソールで 2つのトンネルが設定されており、該当する行が 2カ所あります。サンプルファイルには、それぞれのトンネルの設定が含まれます。両方のトンネルの設定を変更してください。

  3. 2カ所の ip_address を、両方とも 10.38.2.4 に変更します。実際に使用しているファイアウォールの WAN インターフェースの IP アドレスに変更してください。

    <ip_address>10.38.2.4</ip_address>

  4. 変更を保存して終了します。

Amazon VPC の設定を Sophos Firewall にインポートする

設定ファイルを Sophos Firewall にインポートするには、以下の手順に従います。

  1. Sophos Firewall にサインインします。
  2. サイト間 VPN > Amazon VPC」に移動します。
  3. VPC 設定ファイルの使用」を選択します。
  4. 参照」をクリックします。
  5. 設定ファイルを選択し、「開く」をクリックします。

  6. インポート」をクリックします。

    VPC 設定ファイルを使用します。

設定ファイルからインポートされた情報に基づき、IPsec プロファイル、BGP 設定、XFRM インターフェースが自動的に作成されます。接続は「Amazon VPC 接続」に表示され、自動的に有効になります。自動的に作成される設定の場所と確認方法については、以下の文書を参照してください。

ローカルサブネットを BGP ネットワークに追加する

ローカルネットワークと Amazon VPC の間に BGP ルートを確立するには、ローカルサブネットを BGP ネットワークに追加する必要があります。次の手順を実行します。

  1. ルーティング > BGP > ネットワーク」に移動します。
  2. 追加」をクリックします。
  3. ipv4/ネットマスク」に、10.38.1.0 と入力します。
  4. ドロップダウンメニューから、「/24(255.255.255.0)」を選択します。
  5. 保存」をクリックします。

VPN ゾーンのダイナミックルーティングをオンにする

Amazon VPC で BGP ルーティングを使用するには、VPN ゾーンのダイナミックルーティングをオンにする必要があります。次の手順を実行します。

  1. 管理 > デバイスのアクセス」に移動します。

  2. VPN」ゾーンの「ダイナミックルーティング」を選択します。

    「VPN」ゾーンの「ダイナミックルーティング」をオンにします。

  3. 適用」をクリックします。

IP ホストを作成する

この接続を使用するローカルサブネットおよびリモートサブネットの IP ホストを作成して、ファイアウォールルールで選択できるようにする必要があります。

サブネットの IP ホストを作成するには、以下の手順に従います。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。

  2. 設定を指定します。

    設定
    名前 lan-local
    IP バージョン IPv4
    種類 ネットワーク
    IP アドレス 10.38.1.0
    サブネット /24(255.255.255.0)

  3. 保存」をクリックします。

  4. 追加」をクリックします。

  5. 設定を指定します。

    設定
    名前 lan-vpc
    IP バージョン IPv4
    種類 ネットワーク
    IP アドレス 10.10.0.0
    サブネット /24(255.255.255.0)

  6. 保存」をクリックします。

VPN トラフィックのファイアウォールルールを作成する

送信方向および受信方向のファイアウォールルールを作成し、ローカルネットワークと Amazon VPC 間のトラフィックを許可する必要があります。

VPN トラフィックの送信方向のファイアウォールルールを作成するには、以下の手順に従います。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」をクリックし、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
  3. ルール名」フィールドに LAN_VPN_allow と入力し、「ファイアウォールトラフィックのログ」を選択します。

  4. 設定を指定します。

    設定
    送信元ゾーン LAN
    送信元ネットワークとデバイス lan-local
    宛先ゾーン VPN
    宛先ネットワーク lan-vpc
    サービス 任意

  5. 保存」をクリックします。

VPN トラフィックの受信方向のファイアウォールルールを作成するには、以下の手順に従います。

  1. IPv4」をクリックし、「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
  2. ルール名」フィールドに VPN_LAN_allow と入力し、「ファイアウォールトラフィックのログ」を選択します。

  3. 設定を指定します。

    設定
    送信元ゾーン VPN
    送信元ネットワークとデバイス lan-vpc
    宛先ゾーン LAN
    宛先ネットワーク lan-local
    サービス 任意

  4. 保存」をクリックします。

次に例を示します。

VPN ファイアウォールルールの例。

トンネルのステータスを確認する

Sophos Firewall と AWS VPC コンソールで、トンネルのステータスを確認できます。

  1. サイト間 VPN > Amazon VPC > Amazon VPC 接続」に移動します。

  2. トンネルが有効で、接続が確立されていることを確認します。AWS サイト間 VPN 設定をインポートすると、接続の有効化および確立が自動的に行われます。

    次に例を示します。

    Amazon VPC 接続。

  3. ルーティング > 情報 > BGP」に移動します。

  4. 次のカテゴリから選択します。

    オプション 説明
    ネイバー BGP ネイバーの詳細が表示されます。
    ルート 動的に学習したルートが表示されます。
    サマリー BGP ピア IP アドレスの情報、アップタイム、および送受信したメッセージが表示されます。
  1. VIRTUAL PRIVATE NETWORK (VPN) > Site-to-Site VPN Connections」に移動します。
  2. S2S VPN」を選択します。
  3. Tunnel Details」をクリックします。

  4. ステータス」が「アップ」になっており、BGP ルートが確立されていることを確認します。

    次に例を示します。

    VPC コンソールトンネルの詳細。

トラフィックを生成する

ローカルネットワークのデバイスから Amazon VPC のリソースに ping を実行することで、トラフィックが VPC 接続を通過しているかどうかを確認できます。以下の例は、ローカルネットワークの 10.38.1.8 から Amazon VPC の 10.10.0.8 への ping が成功したことを示しています。

Ping を実行してトラフィックを生成します。

詳細情報