コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-route-based-VPN-failover

2 つの ISP 接続によるルートベース VPN フェールオーバーの設定

2 つの異なるインターネットサービスプロバイダー (ISP) 上に作成されたルートベース VPN 間のフェールオーバーについては設定できます。たとえば、ISP1 および ISP2 の本社 (HO) ファイアウォールと支社 (BO) ファイアウォールの間にルートベースの VPN トンネルを作成できます。ISP1 がダウンすると、トラフィックは ISP2 にフェールオーバーします。ISP1 が回復すると、トラフィックは ISP1 にフェールバックします。

主な手順

主なステップは次のとおりです。

  1. 本社ファイアウォールを次のように構成します。

    1. ルートベースの VPN 接続を設定します。
    2. XFRM インターフェイスに IP アドレスを割り当てます。
    3. ゲートウェイホストを追加します。
    4. スタティックルートを追加します。
    5. ルートの優先順位を設定します。

  2. 支社ファイアウォールを次のように構成します。

    1. ルートベースの VPN 接続を設定します。
    2. XFRM インターフェイスに IP アドレスを割り当てます。
    3. ゲートウェイホストを追加します。
    4. スタティックルートを追加します。
    5. ルートの優先順位を設定します。

この例では、以下のネットワーク図に基づいて、設定を行います。

ルートベースの VPN と ISP ネットワーク図。

本社のファイアウォール

ルートベースの VPN 接続の設定

ルートベースの VPN 接続を構成するには、本社ファイアウォールで次の手順を実行します。

  1. ISP1 の本社ファイアウォールと支社ファイアウォールの間にルートベースの VPN トンネルを作成します。

  2. ISP2 の本社ファイアウォールと支社ファイアウォールの間にルートベースの VPN トンネルを作成します。

ルートベースの VPN トンネルの作成方法については、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。

構成されている VPN 接続を確認するには、「サイト間 VPN」 > 「IPsec」を選択します。

本社の 2 つの ISP VPN。

XFRM インターフェイスへの IP アドレスの割り当て

次のように、各 XFRM インターフェイスに IP アドレスを割り当てる必要があります。

  1. ネットワーク > インターフェース」に移動して、IPsec 接続作成に使用した WAN インターフェースを展開します。

    トンネルには XFRM インターフェイスが自動的に作成されます。たとえば、xfrm1 および xfrm2 インターフェイスが WAN インターフェイスの下に作成されていることがわかります。

    VPN トンネルの XFRM インターフェイス。

  2. 各 XFRM インターフェースに IP アドレスを割り当てます。

    以下の設定は例です。

    1. xfrm1 インターフェイスをクリックします。
    2. IPv4/ネットマスク」に 10.10.10.1 および /24(255.255.255.0) を入力します。
    3. xfrm2 インターフェイスをクリックします。
    4. IPv4/ネットマスク」に 20.20.20.1 および /24(255.255.255.0) を入力します。

ゲートウェイホストの追加

各 XFRM インターフェイスにゲートウェイホストを追加します。

  1. 次のように、xfrm1 インターフェイスのゲートウェイホストを追加します。

    1. ルーティング」 > 「ゲートウェイ」に移動して、「追加」をクリックします。
    2. インターフェイス」で xfrm1 インターフェイスを選択します。
    3. ネットワーク構成に応じて残りのゲートウェイ設定を指定します。

  2. 次のように、xfrm2 インターフェイスのゲートウェイホストを追加します。

    1. ルーティング」 > 「ゲートウェイ」に移動して、「追加」をクリックします。
    2. インターフェイス」で xfrm2 インターフェイスを選択します。
    3. ネットワーク構成に応じて残りのゲートウェイ設定を指定します。

スタティックルートの追加

宛先は同じで、送信 XFRM インターフェイスとアドミニストレーティブディスタンスが異なる 2 つのスタティックルートを追加します。ルートのアドミニストレーティブディスタンスが低いほど、優先度が高くなります。そのため、2 番目のルートのアドミニストレーティブディスタンスを最初のルートよりも高く設定します。これにより、トラフィックは ISP1 を通過し続け、ISP1 がダウンした場合にのみ ISP2 にフェールオーバーします。ISP1 が回復すると、トラフィックは ISP1 にフェールバックします。

スタティックルートを追加するには、次の手順を実行します。

以下の設定は例です。

  1. 次のように、最初のスタティックルートを追加します。

    1. ルーティング」 > 「スタティックルーティング」に移動して、「追加」をクリックします。
    2. 宛先 IP/ネットマスク」に 192.168.10.0 および /24 (255.255.255.0) を入力します。
    3. ゲートウェイ」に 10.10.10.2 と入力します。
    4. インターフェイス」で xfrm1 を選択します。
    5. アドミニストレーティブディスタンス」に 1 と入力します。

  2. 次のように、2 番目のスタティックルートを追加します。

    1. ルーティング」 > 「スタティックルーティング」に移動して、「追加」をクリックします。
    2. 宛先 IP/ネットマスク」に 192.168.10.0 および /24 (255.255.255.0) を入力します。
    3. ゲートウェイ」に 20.20.20.2 と入力します。
    4. インターフェイス」で xfrm2 を選択します。
    5. アドミニストレーティブディスタンス」に 2 と入力します。

ルートの優先順位の設定

ルートの優先順位をスタティックルートを 1 番目に設定する必要があります。これにより、VPN ルートと SD-WAN ルートの両方よりもスタティックルートが確実に優先されます。

コマンドラインインターフェースで、次の手順を実行します。

  1. 4」を入力することで「入力デバイスコンソール」を選択します。

  2. ルートの優先順位を static を 1 番目に設定するには、次のコマンドを入力します。

    system route_precedence set static vpn sdwan_policyroute

  3. ルートの優先順位を確認するには、次のコマンドを入力します。

    system route_precedence show

支社のファイアウォール

ルートベースの VPN 接続の設定

ルートベースの VPN 接続を構成するには、支社ファイアウォールで次の手順を実行します。

  1. ISP1 の本社ファイアウォールと支社ファイアウォールの間にルートベースの VPN トンネルを作成します。

  2. ISP2 の本社ファイアウォールと支社ファイアウォールの間にルートベースの VPN トンネルを作成します。

ルートベースの VPN トンネルの作成方法については、ルートベースの VPN の作成 (任意のサブネット間)を参照してください。

構成されている VPN 接続を確認するには、「サイト間 VPN」 > 「IPsec」を選択します。

支社の 2 つの ISP VPN。

XFRM インターフェイスへの IP アドレスの割り当て

次のように、各 XFRM インターフェイスに IP アドレスを割り当てる必要があります。

  1. ネットワーク > インターフェース」に移動して、IPsec 接続作成に使用した WAN インターフェースを展開します。

    トンネルには XFRM インターフェイスが自動的に作成されます。たとえば、xfrm1 および xfrm2 インターフェイスが WAN インターフェイスの下に作成されていることがわかります。

    VPN トンネルの XFRM インターフェイス。

  2. 各 XFRM インターフェースに IP アドレスを割り当てます。

    以下の設定は例です。

    1. xfrm1 インターフェイスをクリックします。
    2. IPv4/ネットマスク」に 10.10.10.2 および /24(255.255.255.0) を入力します。
    3. xfrm2 インターフェイスをクリックします。
    4. IPv4/ネットマスク」に 20.20.20.2 および /24(255.255.255.0) を入力します。

ゲートウェイホストの追加

各 XFRM インターフェイスにゲートウェイホストを追加します。

  1. 次のように、xfrm1 インターフェイスのゲートウェイホストを追加します。

    1. ルーティング」 > 「ゲートウェイ」に移動して、「追加」をクリックします。
    2. インターフェイス」で xfrm1 インターフェイスを選択します。
    3. ネットワーク構成に応じて残りのゲートウェイ設定を指定します。

  2. 次のように、xfrm2 インターフェイスのゲートウェイホストを追加します。

    1. ルーティング」 > 「ゲートウェイ」に移動して、「追加」をクリックします。
    2. インターフェイス」で xfrm2 インターフェイスを選択します。
    3. ネットワーク構成に応じて残りのゲートウェイ設定を指定します。

スタティックルートの追加

宛先は同じで、送信 XFRM インターフェイスとアドミニストレーティブディスタンスが異なる 2 つのスタティックルートを追加します。ルートのアドミニストレーティブディスタンスが低いほど、優先度が高くなります。そのため、2 番目のルートのアドミニストレーティブディスタンスを最初のルートよりも高く設定します。これにより、トラフィックは ISP1 を通過し続け、ISP1 がダウンした場合にのみ ISP2 にフェールオーバーします。ISP1 が回復すると、トラフィックは ISP1 にフェールバックします。

スタティックルートを追加するには、次の手順を実行します。

以下の設定は例です。

  1. 次のように、最初のスタティックルートを追加します。

    1. ルーティング」 > 「スタティックルーティング」に移動して、「追加」をクリックします。
    2. 宛先 IP/ネットマスク」に 172.16.16.0 および /24 (255.255.255.0) を入力します。
    3. ゲートウェイ」に 10.10.10.1 と入力します。
    4. インターフェイス」で xfrm1 を選択します。
    5. アドミニストレーティブディスタンス」に 1 と入力します。

  2. 次のように、2 番目のスタティックルートを追加します。

    1. ルーティング」 > 「スタティックルーティング」に移動して、「追加」をクリックします。
    2. 宛先 IP/ネットマスク」に 172.16.16.0 および /24 (255.255.255.0) を入力します。
    3. ゲートウェイ」に 20.20.20.1 と入力します。
    4. インターフェイス」で xfrm2 を選択します。
    5. アドミニストレーティブディスタンス」に 2 と入力します。

ルートの優先順位の設定

ルートの優先順位をスタティックルートを 1 番目に設定する必要があります。これにより、VPN ルートと SD-WAN ルートの両方よりもスタティックルートが確実に優先されます。

コマンドラインインターフェースで、次の手順を実行します。

  1. 4」を入力することで「入力デバイスコンソール」を選択します。

  2. ルートの優先順位を static を 1 番目に設定するには、次のコマンドを入力します。

    system route_precedence set static vpn sdwan_policyroute

  3. ルートの優先順位を確認するには、次のコマンドを入力します。

    system route_precedence show