コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=network-DHCP-server-HO-firewall

DHCP トラフィックをポリシーベースの IPsec VPN 経由でサーバーに送信する

支社の Sophos Firewall を DHCP リレーエージェントとして設定し、クライアントからの DHCP リクエストをポリシーベースの IPsec トンネル経由で本社のファイアウォールの内側にある DHCP サーバーに安全に送信する方法を学びます。

ネットワーク図

この例では、Windows Server を DHCPサーバーとして設定しています。ネットワークの詳細は以下のとおりです。

本社:

  • WAN IP アドレス: 192.0.2.1
  • DHCP サーバーの IP アドレス: 172.16.16.17
  • LAN サブネット: 172.16.16.0/24

支店:

  • WAN IP アドレス: 203.0.113.1
  • DHCP リレーエージェントのインターフェース: 10.10.1.1
  • LAN サブネット: 10.10.1.0/24

ネットワーク図: DHCP サーバーおよびリレーエージェント。

支店

DHCP リレーエージェントと、ポリシーベースの IPSec 接続を設定し、LAN インターフェースを変換します。

DHCP リレーエージェントを設定する

支社の Sophos Firewall を DHCP リレーエージェントとして設定します。この例では、DHCP サーバーからリースされた IP アドレスを支社のクライアントにリレーします。

  1. ネットワーク > DHCP」の順に選択します。
  2. リレー」で「追加」をクリックします。

  3. インターフェース」で、クライアント側のインターフェースを選択します (例:Port2 - 10.10.1.1 )。

    サーバーは、設定済みのリース範囲がこのインターフェースサブネットに属している場合に応答します。

  4. DHCP サーバー IP」に IP アドレスを入力します (例:172.16.16.17)。

  5. 保存」をクリックします。

    次に例を示します。

    DHCP リレーエージェントを設定。

ポリシーベースの IPSec 接続を設定する

支社のファイアウォールで、ポリシーベースの IPSec 接続を次のように設定します。

  1. Web 管理コンソールで、「サイト間 VPN > IPsec > IPsec 接続」に移動し、「追加」をクリックします。

  2. 設定の例を以下に示します。ご利用のネットワークに応じた設定を行ってください。

    設定
    接続タイプ Policy-based
    ゲートウェイの種類 Initiate the connection
    ファイアウォールルールの作成

    チェックボックスをオフにします。

    ファイアウォールルールによって、システム生成トラフィックを制御しません。
    認証タイプ

    Preshared key

    本社のファイアウォールで指定した鍵を入力します。
    リスニングインターフェース Port3 - 203.0.113.1
    ゲートウェイのアドレス 192.0.2.1
    ローカルサブネット 10.10.1.0
    リモートサブネット 172.16.16.0

  3. 保存」をクリックします。

    次に例を示します。

    DHCP 向けの支社のファイアウォールの IPsec。

LAN インターフェースを変換する

CLI を使って、DHCP リクエストなどのシステム生成トラフィックに対して SNAT (送信元ネットワークのアドレス変換) を設定する必要があります。

以下の手順に従って、支社のファイアウォールの LAN ポート (DHCP リレーインターフェース) の IP アドレスを、本社の DHCP サーバーに変換します。

  1. CLI にサインインし、4 と入力してデバイスコンソールを選択します。

  2. 次のコマンドを実行します。

    set advanced-firewall sys-traffic-nat add destination <宛先の IP またはネットワークアドレス> snatip <変換対象の、送信元 IP アドレス>

    set advanced-firewall sys-traffic-nat add destination 172.16.16.17 snatip 10.10.1.1

IPsec ルーティングを追加する

DHCP リクエストがトンネル経由で送信されない場合は、IPsec ルートを設定する必要があります。この手順はオプションであり、ネットワーク構成に依存します。

ルートを追加するには、次のコマンドを実行します。

system ipsec_route add host <ホストの IP アドレス> tunnelname <トンネル名>

system ipsec_route add host 172.16.16.17 tunnelname BO_to_HO

SFOS 22.0 以降では、ルーティングテーブルに ipsec0 ルートは表示されませんが、トラフィックは内部ルーティングに基づいて処理されます。

本社

ポリシーベースの IPsec 接続およびファイアウォールルールを設定します。

ポリシーベースの IPSec 接続を設定する

本社のファイアウォールで、ポリシーベースの IPSec 接続を次のように設定します。

  1. Web 管理コンソールで、「サイト間 VPN > IPsec > IPsec 接続」に移動し、「追加」をクリックします。

  2. 設定の例を以下に示します。ご利用のネットワークに応じた設定を行ってください。

    設定
    接続タイプ Policy-based
    ゲートウェイの種類

    Respond only

    WAN トラフィックが IPsec トンネルにアクセスできるようにするには、「管理 > デバイスのアクセス」に移動し、「IPsec」に対して「WAN」を選択します。.
    ファイアウォールルールの作成 チェックボックスを選択します。
    認証タイプ

    Preshared key

    支社のファイアウォールで指定した鍵を入力します。
    リスニングインターフェース Port3 - 192.0.2.1
    ゲートウェイのアドレス 203.0.113.1
    ローカルサブネット 172.16.16.17
    リモートサブネット 10.10.1.0

  3. 保存」をクリックします。

    次に例を示します。

    DHCP トラフィックに対応する、本社の IPsec 設定。

送信方向のファイアウォールルール

本社のファイアウォールで自動生成されたファイアウォールルールを編集して、サーバーから支社の DHCP リレーエージェントへの送信方向の DHCP 通信を許可します。

次の設定を指定します。

  1. 名前を入力します。
  2. 送信元ゾーン: LAN
  3. 送信元ネットワークとデバイス: DHCPServer-172.16.16.17
  4. 宛先ゾーン: VPN
  5. 宛先ネットワーク: BO_DHCP_Relay-10.10.1.0
  6. サービス: DHCP

  7. 保存」をクリックします。

    次に例を示します。

    本社の DHCP サーバーの送信方向のファイアウォールルール。

受信方向のファイアウォールルール

本社のファイアウォールルールで、支社の DHCP リレーエージェントからサーバーへの受信方向の DHCP 通信を許可します。

次の設定を指定します。

  1. 名前を入力します。
  2. 送信元ゾーン: VPN
  3. 送信元ネットワークとデバイス: BO_DHCP_Relay-10.10.1.0
  4. 宛先ゾーン: LAN
  5. 宛先ネットワーク: DHCPServer-172.16.16.17
  6. サービス: DHCP

  7. 保存」をクリックします。

    次に例を示します。

    本社の DHCP サーバーの受信方向のファイアウォールルール。