コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=azure-ipsec-rbvpn-connection

ルートベースの IPsec VPN を使用して、オンプレミスのファイアウォールを Microsoft Azure に接続する

ルートベースの IPsec VPN 接続を使用して、オンプレミスの Sophos Firewall を Microsoft Azure 仮想ネットワークに接続できます。

要件

次の条件を満たす必要があります。

  • オンプレミスの Sophos Firewall にパブリック IP アドレスが割り当てられていること。NAT を処理するネットワークデバイスの背後に配置されていないこと。
  • Microsoft Azure 仮想ネットワーク。

ネットワーク図

オンプレミスファイアウォールと Azure 仮想ネットワークの IPsec 接続図。

Microsoft Azure の設定

ローカルネットワーク ゲートウェイの作成

ローカルネットワークゲートウェイは、オンプレミスのファイアウォールを参照します。ローカルネットワークゲートウェイを設定するには、次の手順を実行します。

  1. Microsoft Azure ポータルにサインインします。
  2. ローカルネットワークゲートウェイ」に移動します。検索ボックスで検索することもできます。
  3. 作成」をクリックします。

  4. 基本」タブで次の設定を構成します。

    1. プロジェクト詳細

      1. サブスクリプション: Microsoft Azure ポータルアカウントに関連付けられているサブスクリプションを選択します。
      2. リソース グループ: リソースグループを選択するか、新しいグループを作成します。

    2. インスタンスの詳細

      1. リージョン:リージョンを選択します。お客様の地域に最も近いリージョンを選択することをお勧めします。
      2. 名前:名前を入力します。
      3. エンドポイント:「IP アドレス」を選択します。
      4. IP アドレス: オンプレミスファイアウォールのパブリック IP アドレスを入力します。
      5. アドレス空間:オンプレミスネットワークのアドレス範囲を入力します。例: 10.100.0.0/16

  5. 確認して作成」をクリックします。

    検証テストが開始します。失敗した場合は、設定を確認してください。

  6. 検証テストが成功したら、詳細を確認し、「作成」をクリックします。

    展開には数分かかります。

  7. 展開が完了したら、「リソースに移動」をクリックして、アカウントでリソースが展開されていることを確認します。

ゲートウェイサブネットの作成

ゲートウェイサブネットを作成するには、次の手順を実行します。

  1. 仮想ネットワーク」に移動します。検索ボックスで検索することもできます。
  2. 「Microsoft Azure 仮想ネットワーク」をクリックします。
  3. 設定」 > 「サブネット」を選択し、「ゲートウェイサブネット」をクリックします。

  4. 次の設定を行います。

    1. 開始 IP アドレス:ネットワークアドレスを入力します。
    2. サイズ: サブネットマスクを選択します。

    例: 10.1.1.0/24

    ゲートウェイサブネット。

  5. 追加」をクリックします。

ヒント

将来の拡張に対応できるように、/24/28 などの大きなサブネットを使用してください。

仮想ネットワークゲートウェイの作成

新しい仮想ネットワークゲートウェイを作成するには、次の手順を実行します。

  1. 仮想ネットワークゲートウェイ」に移動します。検索ボックスで検索することもできます。
  2. 作成」をクリックします。

  3. 基本」タブで次の設定を構成します。

    1. プロジェクト詳細

      1. サブスクリプション: Microsoft Azure ポータルアカウントに関連付けられているサブスクリプションを選択します。

    2. インスタンスの詳細

      1. 名前:名前を入力します。
      2. リージョン:使用したのと同じリージョンを選択します。
      3. ゲートウェイの種類:「VPN」を選択します。
      4. SKUSKU を選択します。ゲートウェイの SKU とパフォーマンスを参照してください。
      5. 世代:「Generation1」を選択します。

      6. 仮想ネットワーク: このゲートウェイの追加先の仮想ネットワークを選択します。

        必要な仮想ネットワークが表示されない場合は、正しいリージョンを選択しているかどうかを確認してください。

    3. パブリック IP アドレス

      1. パブリック IP アドレス: 「新規作成」を選択します。
      2. パブリック IP アドレス名: 名前を入力します。
      3. 可用性ゾーン1 を選択します。
      4. アクティブ-アクティブモードの有効化:「有効」を選択します。

    4. 2 番目のパブリック IP アドレス

      1. 2 番目のパブリック IP アドレス:「新規作成」を選択します。
      2. パブリック IP アドレス名: 名前を入力します。
      3. 可用性ゾーン1 を選択します。
      4. BGP の構成:「Disabled」を選択します。

    5. 認証情報 (プレビュー)

      1. Key Vault アクセスの有効化:「Disabled」を選択します。

  4. 確認して作成」をクリックします。

    検証テストが開始します。失敗した場合は、設定を確認してください。

  5. 検証テストが成功したら、詳細を確認し、「作成」をクリックします。

    展開プロセスには最大で 45 分間かかる場合があります。

  6. 展開が完了したら、「リソースに移動」をクリックして、アカウントでリソースが展開されていることを確認します。

IPsec VPN 接続の作成

VPN 接続を作成するには、次の手順を実行します。

  1. 仮想ネットワークゲートウェイ」に移動します。検索ボックスで検索することもできます。

  2. 作成した仮想ネットワークゲートウェイをクリックし、最初のパブリック IP アドレスをメモしておきます。

    仮想ネットワークゲートウェイのパブリック IP アドレス。

  3. 設定」>「接続」を選択し、「追加」をクリックします。

  4. 基本」タブで次の設定を構成します。

    1. プロジェクト詳細

      1. サブスクリプション: Microsoft Azure ポータルアカウントに関連付けられているサブスクリプションを選択します。
      2. リソース グループ: 使用したのと同じリソースグループを選択します。

    2. インスタンスの詳細

      1. 接続の種類サイト間 (IPsec)」を選択します。
      2. 名前:名前を入力します。
      3. リージョン:使用したのと同じリージョンを選択します。

  5. 次へ:」をクリックします。設定を参照してください。

  6. 設定」タブで次の設定を構成します。

    1. 仮想ネットワークゲートウェイ

      1. 仮想ネットワーク ゲートウェイ: 作成した仮想ネットワークゲートウェイを選択します。
      2. ローカル ネットワーク ゲートウェイ: 作成したローカルネットワークゲートウェイを選択します。
      3. 認証方法:「共有鍵 (PSK)」を選択します。
      4. 共有鍵 (PSK):共有鍵を入力します。オンプレミスファイアウォールでもこの共有鍵を使用する必要があります。
      5. IKE プロトコル:「IKEv2」を選択します。
      6. Azure プライベート IP アドレスを使用:選択しないでください。
      7. BGP を有効にする: 選択しないでください。

      8. IPsec/IKE ポリシー:「デフォルト」を選択します。

        マイクロソフトはデフォルト設定を変更する可能性があります。必ず、最初のトンネル確立と鍵の再入力の両方で、オンプレミスファイアウォールを適切に構成してください。暗号化要件と Azure VPN ゲートウェイについてを参照してください。

      9. ポリシーベースのトラフィックセレクタを使用:「無効化」を選択します。

      10. DPD タイムアウト (秒):デフォルト値を使用します。
      11. 接続モード:「レスポンダのみ」を選択します。

  7. 確認して作成」をクリックします。

    検証テストが開始します。失敗した場合は、設定を確認してください。

  8. 検証テストが成功したら、詳細を確認し、「作成」をクリックします。

    展開には数分かかります。

  9. 展開が完了したら、「リソースに移動」をクリックして、アカウントでリソースが展開されていることを確認します。

設定ファイルのダウンロード

設定ファイルをダウンロードするには、次の手順を実行します。

  1. 仮想ネットワークゲートウェイ」に移動します。検索ボックスで検索することもできます。
  2. 作成した仮想ネットワークゲートウェイをクリックします。
  3. 設定」 > 「接続」を選択し、作成した VPN 接続をクリックします。

  4. 設定のダウンロード」をクリックして、次の設定を構成します。

    1. デバイスのベンダー:「汎用サンプル」を選択します。
    2. デバイスファミリー:「デバイスパラメータ」を選択します。
    3. ファームウェアバージョン:「Generic-samples-device-parameters」を選択します。
    4. 設定のダウンロード」をクリックします。

  5. ダウンロードしたファイルを開きます。

  6. Tunnel interface (VTI) configuration セクションに移動します。

  7. 両方のトンネルインターフェイスの IP アドレス、サブネットマスク、最大セグメントサイズ (MSS) をメモします。

    トンネル設定。

Sophos Firewall 設定

ルートベース IPsec VPN 接続の作成

ルートベースの IPsec VPN 接続を作成するには、次の手順を実行します。

  1. オンプレミスファイアウォールの Web 管理コンソールにサインインします。
  2. サイト間 VPN」 > 「IPsec」に移動し、「追加」をクリックします。

  3. 次の設定を行います。

    1. 名前:名前を入力します。
    2. 接続の種類トンネルインターフェース」を選択します。
    3. ゲートウェイの種類:「接続の開始」を選択します。

    4. IP バージョン: デフォルトは「デュアル」です。

      設定のデフォルトは「デュアル」ですが、この例では IPv4 プロトコルのみを使用しています。

    5. 保存時にアクティベート:チェックボックスを選択します。

    6. プロファイル: 「Microsoft Azure (IKEv2)」を選択します。

      Microsoft Azure の「IPsec / IKE ポリシー」のデフォルト設定は変更される可能性があります。変更された場合は、次のガイドラインに従ってオンプレミスファイアウォールの IPsec プロファイルを更新する必要があります。

      • トンネルの切断が繰り返されないように、イニシエータの「フェーズ 1」および「フェーズ 2」の鍵の有効期間が、レスポンダの有効期間よりも短いことを確認してください。
      • フェーズ 2」の鍵の有効期間が「フェーズ 1」の鍵の有効期間よりも短いことを確認してください。

    7. 認証の種類: 「事前共有鍵」を選択します。

    8. 事前共有鍵: Microsoft Azure で VPN 接続を作成したときに「共有鍵 (PSK)」で使用した鍵と同じ鍵を入力してください。
    9. 事前共有鍵の確認:鍵を再入力します。
    10. リスニングインターフェイス:ファイアウォールの WAN インターフェイスを選択します。
    11. ローカル ID のタイプ:「IP アドレス」を選択します。
    12. ローカル ID: ファイアウォールのパブリック IP アドレスを入力します。
    13. ゲートウェイアドレスIPsec VPN 接続の作成でメモした最初のパブリック IP アドレスを入力します。
    14. リモート ID のタイプ:「IP アドレス」を選択します。
    15. リモート ID: IPsec VPN 接続の作成でメモした最初のパブリック IP アドレスを入力します。

  4. 保存」をクリックします。

  5. 事前共有鍵」プロンプトで「OK」をクリックします。

    ファイアウォールが接続を開始し、接続が確立されます。

    ルートベースの IPsec VPN 接続が確立されました。

ファイアウォールルールの作成

ルートベースの IPsec VPN 接続経由で送受信のトラフィックを許可するには、ファイアウォールルールを作成する必要があります。これには、次の手順を実行します。

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」プロトコルを選択します。
  3. ファイアウォールルールの追加」をクリックし、「新しいファイアウォールルール」を選択します。

  4. 次の設定を行います。

    1. ルール名: 名前を入力します。
    2. アクション: 「許可」を選択します。
    3. ファイアウォールトラフィックのログ:チェックボックスを選択します。
    4. ルールの位置:「最上位」を選択します。
    5. ルールグループ:「なし」を選択します。
    6. 送信元ゾーン:「LAN」と「VPN」を選択します。
    7. 送信元ネットワークとデバイス:「Any」を選択します。
    8. スケジュールされた時間内:「常時」を選択します。
    9. 宛先ゾーン: 「LAN」と「VPN」を選択します。
    10. 宛先ネットワーク: 「Any」を選択します。
    11. サービス: 「Any」を選択します。

  5. 保存」をクリックします。

XFRM インターフェースを設定する

XFRM インターフェイスを設定するには、次の手順を実行します。

  1. ネットワーク」 > 「インターフェイス」に移動し、青色の縦のバーをクリックするか、WAN インターフェイスの行の任意の場所をクリックします。

    トンネル用に自動的に作成された XFRM インターフェイスが表示されます。

    XFRM インターフェイス。

  2. XFRM インターフェイスをクリックして、次の設定を構成します。

    1. IPv4/ネットマスク:IP アドレスを入力し、設定ファイルのダウンロードでメモした最初のトンネルインターフェイスのサブネットマスクを選択します。
    2. 詳細設定」を展開します。

    3. MSS のオーバーライド」を選択し、設定ファイルのダウンロードでメモした最初のトンネルインターフェイスの MSS 値を入力します。

      XFRM インターフェイス設定。

  3. 保存」をクリックします。

  4. インターフェイスの更新」プロンプトで「インターフェイスの更新」をクリックします。

ルートの作成

XFRM インターフェイス経由で Microsoft Azure のデフォルト LAN にトラフィックをルーティングするには、ルートを作成する必要があります。この例では、静的ルートを作成します。これには、次の手順を実行します。

  1. ルーティング」 > 「静的ルーティング」に移動します。
  2. IPv4 ユニキャストルート」セクションで「追加」をクリックします

  3. 次の設定を行います。

    1. 宛先 IP/ネットマスク:Microsoft Azure 仮想ネットワークアドレスとサブネットマスクを入力します。例: 10.1.0.0/16

      この例では、LAN ネットワーク 10.1.0.0/24 は、Microsoft Azure 仮想ネットワークのデフォルトのサブネットです。

      仮想ネットワークのデフォルトサブネット。

    2. (任意) ゲートウェイ:空欄にするか、設定ファイルのダウンロードでメモしたトンネルインターフェイスのネットワーク内の IP アドレスを入力します。

      たとえば、トンネルインターフェイス IP アドレス 169.254.0.1/30 は、そのネットワーク内に別の IP アドレス 169.254.0.2 があります。この IP アドレスは使用できません。

    3. インターフェース: XFRM インターフェイスを選択します。

      静的ルート:。

  4. 保存」をクリックします。

IPsec VPN 接続の検証

Ping テスト

接続を検証するには、次の手順を実行します。

  1. ファイアウォールの背後にあるエンドポイントから Microsoft Azure 仮想マシンに向かって ping テストを実行します。

    オンプレミスから Azure への ping テスト。

  2. Microsoft Azure 仮想マシンからファイアウォールの背後にあるエンドポイントに向かって ping テストを実行します。

    Azure からオンプレミスへの ping テスト。

VPN 接続ステータス

VPN 接続ステータスを検証するには、次の手順を実行します。

  1. Microsoft Azure ポータルにサインインします。
  2. 仮想ネットワークゲートウェイ」に移動します。検索ボックスで検索することもできます。
  3. 接続した仮想ネットワークゲートウェイをクリックします。
  4. 設定」 > 「接続」を選択します。

  5. 作成した VPN 接続の「ステータス」が「接続」になっていることを確認します。

    VPN 接続ステータス。

  6. VPN 接続をクリックし、トラフィックフローが存在することを確認します。

    VPN 接続のトラフィックフロー。

    0 B と表示された場合は、接続の問題を示しているのではありません。Microsoft Azure 側でトラフィックフローが存在しない可能性が高いと考えられます。

Microsoft Azure がイニシエータである場合の動作

Microsoft Azure がイニシエータで Sophos Firewall がレスポンダの場合、子 SA の鍵の再生成タイマーが切れたときに、次の動作が発生します。

  • トンネルにトラフィックが存在する:Microsoft Azure は子 SA の鍵を再生成し、新しい子 SA を確立して、古い子 SA を削除します。

  • トンネルにトラフィックがない:Microsoft Azure は子 SA の鍵を再生成せず、子 SA を削除します。次の動作が発生する可能性があります。

    • Microsoft Azure LAN クライアントから Sophos Firewall LAN クライアントにトラフィックが送信される場合、Microsoft Azure はこのトラフィックの子 SA を作成します。
    • Sophos Firewall LAN クライアントから Microsoft Azure LAN クライアントにトラフィックが送信される場合、Microsoft Azure は子 SA を作成しないため、トラフィックを送信できません。

上記のいずれのシナリオでも、IKE セッション (フェーズ 1) は有効な状態です。

トラブルシューティング

Microsoft Azure

トラブルシューティングの際には、次の情報に注意してください。

  • ネットワークセキュリティグループが、トラフィックで使用されるポート番号をブロックするように設定されている場合、接続の問題が発生する可能性があります。
  • デフォルトでは、仮想ネットワークゲートウェイは自動的に VPN サブネットを仮想ネットワークのルーティングテーブルにアドバタイズします。このルートがユーザー定義のルートによって上書きされていないことを確認してください。
  • IKE_SA の鍵を再生成するために、Microsoft Azure は有効期限切れの IKE_SA を削除し、新しい接続を作成します。これによって、数秒間のダウンタイムが生じる可能性があります。

Sophos Firewall

Sophos Central で誤検知のアラートが表示されないようにするには、イニシエータ (Sophos Firewall) の鍵の再生成タイマーを、レスポンダ (Microsoft Azure) で使用されている値よりも小さい値に変更します。

その他のリソース