コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=network-DHCP-server-relay-rbvpn

DHCP トラフィックをルートベースの VPN 経由で DHCP サーバーに送信する

Sophos Firewall を DHCP リレーエージェントとして設定し、クライアントからの DHCP リクエストを、本社のファイアウォールの背後にある DHCP サーバーに転送します。ルートベースの IPsec VPN 経由で DHCP トラフィックを送信します。

DHCP サーバーおよびリレーエージェント: ネットワーク図

以下に示すネットワークの情報および設定は一例です。ご利用のネットワークに応じた設定を使用してください。

この例では、既存のルートベースの IPsec VPN 接続 (ローカルおよびリモートのサブネットを「任意」に設定したもの) を使用しています。また、VPN トラフィックに対して既存のルートおよびファイアウォールルールを使用しています。

本社: 以下の IP アドレスは例です。

  • WAN IP アドレス: 192.0.2.1
  • DHCP サーバーのインターフェース: 172.16.16.1

支店: 以下の IP アドレスは例です。

  • WAN IP アドレス: 203.0.113.1
  • DHCP リレーエージェントのインターフェース: 10.10.1.1
  • LAN サブネット: 10.10.1.0/24

ネットワーク図: DHCP サーバーおよびリレーエージェント。

VPN の要件

本社および支社のファイアウォールで、以下のように設定します。

  1. ファイアウォールの WAN インターフェースを使って、ルートベースの IPsec VPN 接続を作成し、ローカルとリモートのサブネットを「任意」に設定します。
  2. XFRM インターフェースに IP アドレスを割り当てます。
  3. XFRM インターフェースのゲートウェイ IP アドレスを追加します。
  4. 両方のファイアウォールで、VPN トラフィックをルーティングするスタティックルート、SD-WAN ルート、またはダイナミックルートを設定します。
  5. IPsec VPN トンネルで、WAN からのデバイスアクセスを許可します。

  6. 以下のファイアウォールルールを設定し、VPN トラフィックを許可します。

    1. 支社のファイアウォールの送信方向ルール。
    2. 本社のファイアウォールの受信方向ルール。

    詳細は、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。

本社

本社のファイアウォールで、ルートと受信方向のファイアウォールルールを設定します。

ルートの追加

スタティックルート、SD-WAN ルート、またはダイナミックルートを設定して、本社の DHCP サーバーから支社への応答トラフィックをルートベースの VPN トンネルにルーティングできます。

SD-WAN ルートを設定する例を以下に示します。

  1. ルーティング > SD-WAN ルート」に移動します。
  2. IPv4」を選択して「追加」をクリックします。
  3. 名前を入力します。
  4. 送信元ネットワーク」で DHCP サーバーを選択します (例:DHCPServer_172.16.16.17)。
  5. 宛先ネットワーク」で、DHCP リレーエージェント用に作成した IP ホストを選択します (例:DHCPRelay_10.10.1.1)。

  6. サービス」で「DHCP」を選択します。

    本社の DHCP サーバーの応答トラフィック用の SD-WAN 設定。

  7. リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

  8. プライマリゲートウェイ」で XFRM ゲートウェイを選択します (例:xfrm1_3.3.3.4)。

    支社の XFRM インターフェースを SD-WAN ルートのプライマリゲートウェイとして設定。

  9. (任意) XFRM ゲートウェイを使用できない場合にトラフィックをドロップするには、「指定されたゲートウェイのみを経由してルーティングする」を選択します。

  10. 保存」をクリックします。

ファイアウォールルールの追加

リレーエージェントからの VPN 経由の DHCP 受信トラフィックを許可するために、本社のファイアウォールでファイアウォールルールを作成します。

  1. ルールとポリシー > ファイアウォールルール」に移動し、「ファイアウォールルールの追加」、「新しいファイアウォールルール」の順にクリックします。
  2. 名前を入力します。
  3. 送信元ゾーン」で「VPN」を選択します。
  4. 送信元ネットワークとデバイス」で、支社のファイアウォールの DHCP リレーインターフェースに対応する IP ホストを選択します (例: DHCPRelay_10.10.1.1)。
  5. 宛先ゾーン」で「DMZ」を選択します。
  6. 宛先ネットワーク」で、DHCP サーバーを選択します (例: DHCPServer_172.16.16.17)。
  7. サービス」で「DHCP」を選択します。

  8. 保存」をクリックします。

    本社の受信方向のファイアウォールルールで、サーバーへの DHCP リレートラフィックを許可。

支店

支店のファイアウォールで、DHCP リレーエージェントとルートを設定します。

DHCP リレーエージェントの追加

支社のファイアウォールのインターフェースを DHCP リレーエージェントとして設定します。このインターフェースが、サブネット内にあるエンドポイントからの DHCP リクエストを本社のファイアウォールの背後にある DHCP サーバーに転送します。

  1. ネットワーク > DHCP」の順に選択します。
  2. リレー」で「追加」をクリックします。
  3. 名前を入力します。

  4. インターフェースを選択します (例:Port2 - 10.10.1.1)。

    DHCP クライアントは、このインターフェースと同じサブネットに属します。

  5. DHCP サーバー IP」に、DHCP サーバーの IP アドレスを入力し (例: 172.16.16.17)、プラス記号。 をクリックします。

  6. 保存」をクリックします。

    DHCP リレーエージェントを設定。

ルートの追加

スタティックルート、SD-WAN ルート、またはダイナミックルートを設定して、支社のインターフェースから本社の DHCP サーバーへの DHCP リクエストトラフィックをルートベースの VPN トンネルにルーティングできます。

SD-WAN ルートを設定する例を以下に示します。

  1. ルーティング > SD-WAN ルート」に移動します。
  2. IPv4」を選択して「追加」をクリックします。
  3. 名前」を入力します。
  4. 送信元ネットワーク」で「任意」を選択します。
  5. 宛先ネットワーク」で、DHCP サーバー用に作成した IP ホストを選択します (例:DHCP_Server_172.16.16.17)。

  6. サービス」で「DHCP」を選択します。

    支社の DHCP リクエストトラフィック用の SD-WAN 設定。

  7. リンク選択の設定」で、「プライマリゲートウェイとバックアップゲートウェイ」を選択します。

  8. プライマリゲートウェイ」で XFRM ゲートウェイを選択します (例:xfrm1_3.3.3.3)。

    支社の XFRM インターフェースを SD-WAN ルートのプライマリゲートウェイとして設定。

  9. (任意) XFRM ゲートウェイを使用できない場合にトラフィックをドロップするには、「指定されたゲートウェイのみを経由してルーティングする」を選択します。

  10. 保存」をクリックします。

その他のリソース