コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ルートベースの VPN

ルートベースの IPsec VPN はトンネルインターフェイスで、XFRM インターフェースに送信される全トラフィックの暗号化およびカプセル化をつかさどります。

Sophos Firewall ともう 1台の Sophos Firewall またはサードパーティ製ファイアウォールの間で、IPv4 または IPv6 プロトコルのルートベースの VPN 接続を作成できます。

ルートベースの VPN を設定するには、「サイト間 VPN > IPsec」に移動します。この設定の過程で、VPN のエンドポイントとして XFRM インターフェースが作成されます。XFRM インターフェースを表示するには、「ネットワーク > インターフェース」に移動し、設定に使用したリスニングインターフェースの左側の青いバーをクリックしてください。

ルートベースの VPN のタイプ

ルートベースの VPN 接続の種類には、以下のものがあります。

  • 任意のサブネット間のトンネル: IPsec 接続の設定でローカルサブネットとリモートサブネットを「任意」にし、設定を完了した後、「ネットワーク > インターフェース」に移動して、XFRM インターフェースに IP アドレスを割り当ててください。次に、XFRM インターフェースに送信するトラフィックを定義するスタティックルート、SD-WAN ルート、またはダイナミックルートを設定します。

    トラフィックセレクタを使用するルートベースの VPN や、ポリシーベースの VPN よりも、こちらの接続方法を推奨します。

  • サブネットのトラフィックセレクタ: ルートベースの IPsec 接続で、ローカルサブネットとリモートサブネットのトラフィックセレクタ (ホストまたはサブネットを指定) を使用する場合、IPsec の設定ごとに XFRM インターフェースが作成されるため、デバッグがしやすいという利点があります。また、トンネルが確立されると、スタティックルートが自動的に作成されます。

    ポリシーベースの VPN よりもこちらの接続方法を推奨します。

    制限事項

    サブネットのトラフィックセレクタを使用したルートベースの IP sec では、WAF は使用できません。WAF を使用する場合は、任意のサブネット間の接続を使用してください。

トンネルは XFRM インターフェースごとに確立されます。詳細は、ポリシーベースの VPN とルートベースの VPN の比較を参照してください。

ルートベースの VPN トンネルを確立するには、ローカルおよびリモートネットワークの両方のファイアウォールでトンネルインターフェースを設定する必要があります。ローカルサブネットとリモートサブネットの一方でポリシーベースの VPN を、もう一方でルートベースの VPN を設定し、これらを使ってトンネルを作成することはできません。

設定のガイドライン

  • ゲートウェイの種類」を「接続を開始」に設定している場合、リモートゲートウェイアドレスにワイルドカードアドレス (*) を使用することはできません。リモートファイアウォールの WAN インターフェースにダイナミック IP アドレスを使用している場合は、ホスト名を使用してください。
  • ローカルサブネットとリモートサブネットの両方を、「任意」とするか、特定のトラフィックセレクタを指定するか選択できます。ローカルとリモートのいずれかで「任意」を選択し、もう一方でトラフィックセレクタを指定することはできません。
  • 任意」ではなくトラフィックセレクタを指定する場合は、XFRM インターフェースに以下を割り当てることはできません。

    • IP アドレス
    • ルート
  • ルートベースの VPN の設定時に、ローカルサブネットおよびリモートサブネットを「任意」にした場合は、後で特定のトラフィックセレクタに変更することはできません。接続のクローンを作成して、ローカルサブネットおよびリモートサブネットを指定することはできます。

  • IP バージョン」を「デュアル」に設定した場合は、以下の制約があります。

    • ローカルサブネットとリモートサブネットのトラフィックセレクタを指定できません。IP バージョンをデュアルにした状態で、トラフィックセレクタを指定すると、IP バージョンが異なるサブネットのペアに対して接続の確立が試行される可能性があります。IPv4 と IPv6 サブネット間で接続を確立することはできません。
    • ファイアウォールルールの自動作成を選択できません。IPv4 および IPv6 のファイアウォールルールを手動で設定してください。

使用例

ルートベースの VPN では、XFRM インターフェースを通過するトラフィックのみ、暗号化および復号化されます。ローカルサブネットとリモートサブネットが「任意」に設定されている場合や、「IP バージョン」が「デュアル」に設定されている場合は、トンネルに送信するトラフィックの判定は行われません。設定済みのルートによって、トンネルに送信するかどうかが判定されます。

設定済みのルートに変更を加えても、ダウンタイムは発生せず、確立済みの接続は中断されません。したがって、この方法だと、保守管理作業を最小限に抑えることができます。その他のルートベースの VPN や、ポリシーベースの VPN よりも、この方法を使用することを推奨します。

ルートベースの VPN は、以下のような場合に使用できます。

  • 大規模なネットワーク: 拡大し続ける大規模ネットワークにご利用ください。
  • 冗長接続が必要な場合: MPLS リンクか、XFRM インターフェース上に作成したカスタムゲートウェイにフェールオーバーします。
  • ダイナミックルーティング: ダイナミックルーティングを設定すると、ネットワークの拡張を迅速に行えます。

ルートベースの VPN の設定 (任意のサブネット間)

ルートベースの VPN を作成し、ローカルサブネットとリモートサブネットを「任意」に設定する (またはトラフィックセレクタを指定しない) には、以下の手順に従います。

  1. ローカルの Sophos Firewall デバイスで「サイト間 VPN > IPsec」に移動し、「接続の種類」を「トンネルインターフェース」に設定し、以下のいずれかの手順に従います。

    1. IP バージョン」を「デュアル」にします。このモードでは、ローカルサブネットとリモートサブネットを選択できません。
    2. または、IPv4 か IP6 を選択し、ローカルサブネットおよびリモートサブネットを「任意」に設定します。
  2. ネットワーク > インターフェース」に移動し、自動作成されたXFRM インターフェースに IP アドレスを割り当てます。

  3. 受信方向および送信方向のファイアウォールルールを追加します。
  4. ローカルネットワークとリモートネットワークでサブネットが重複する場合は、SNAT ルールと DNAT ルールを追加します。
  5. XFRM インターフェースのスタティックルート、SD-WAN ルート、またはダイナミックルートを作成し、ローカルゲートウェイと宛先アドレスを指定します。
  6. リモートの Sophos Firewall デバイスで、同じ手順を繰り返します。

ルートベースの VPN の設定 (サブネットのトラフィックセレクタを使用)

ルートベースの VPN を作成し、ローカルサブネットとリモートサブネットのトラフィックセレクタを指定するには、以下の手順に従います。

  1. ローカルの Sophos Firewall デバイスで「サイト間 VPN > IPsec」に移動し、「接続の種類」を「トンネルインターフェース」に設定して、ローカルサブネットとリモートサブネットを指定します。
  2. XFRM インターフェースを表示するには、「ネットワーク > インターフェース」に移動します。
  3. 受信方向および送信方向のファイアウォールルールを追加します。
  4. リモートの Sophos Firewall デバイスで、同じ手順を繰り返します。

その他のリソース