コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=site-to-site-VPN-IPsec-firewall-behind-router

ルーターの背後にあるファイアウォールとの IPsec VPN

ルーターの背後にあるファイアウォールとの IPsec VPN 接続を設定できます。

ここでは、本社のファイアウォールがルーターの背後にあり、パブリック IP アドレスがない例を取り上げます。この場合、本社および支社で、以下の設定を行う必要があります。

  1. ファイアウォールの前提条件: ローカルおよびリモートサブネットの IP ホストを設定します。
  2. IPsec VPN 接続を設定します。
  3. ファイアウォールルールを確認します。
  4. サービスへのアクセスを許可します。
  5. ルーターを設定します。
  6. 接続を確認する。
  7. ログを確認します。

ネットワーク構成の例を以下に示します。

NAT トラバーサルのネットワーク図。

本社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

本社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 保存時にアクティベート」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」で「ポリシーベース」を選択します。

  6. ゲートウェイの種類」で「応答のみ」を選択します。

    次に例を示します。

    全般設定。

  7. プロファイル」で「本社 (IKEv2)」を選択します。

  8. 認証の種類」で「事前共有鍵」を選択します。

  9. 鍵を入力して、確認します。

    次に例を示します。

    暗号化の設定。

  10. リスニングインターフェース」で、ローカルファイアウォールの WAN ポートを選択します (例: 10.10.10.2)。

  11. ゲートウェイの設定」で、リモートファイアウォールの WAN ポートを入力します (例: 203.0.113.10)。
  12. ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
  13. リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。

  14. 保存」をクリックします。

    次に例を示します。

    ゲートウェイの設定。

ファイアウォールルールを確認する

IPsec 接続を保存すると、受信および送信方向のファイアウォールルールが自動的に作成されます。これらのルールは、本社と支社間のトラフィックを許可します。

ファイアウォールルールを確認するには、「ルールとポリシー > ファイアウォールルール」に移動し、「自動 VPN ルール」ルールグループをクリックします。Incoming HQ_to_BranchOutgoing HQ_to_Branch という 2つのファイアウォールルールが表示されます。

本社から支社への自動ファイアウォールルール。

受信 VPN トラフィックを許可するファイアウォールルールが既にある場合は、リモートサブネットを「送信元ネットワークとデバイス」に、ローカルサブネットを「宛先ネットワーク」に追加できます。IPsec 接続ごとに独立したファイアウォールルールを作成する必要はありません。

サービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。
  2. IPsec」で「WAN」を選択します。

  3. Ping/Ping6」の「VPN」を選択します。

    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。

  4. 適用」をクリックします。

ルーターを設定する

次の手順を実行します。

  1. ルーターの DNAT ルールを設定し、VPN トラフィックを許可します。

    1. 変換前の宛先を、ルーターの WAN インターフェースに設定します (例: 203.0.113.1)。
    2. 変換後の宛先を、ローカルファイアウォールの WAN インターフェースに設定します (例: 10.10.10.2)。

  2. 以下のサービスを許可します。

    1. UDP ポート 500
    2. UDP ポート 4500
    3. IP プロトコル 50

支社のファイアウォールを設定する

IPsec 接続およびファイアウォールルールを設定します。

IPsec 接続の追加

支社で IPsec 接続を作成して有効化します。

  1. サイト間 VPN > IPsec」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. 保存時にアクティベート」を選択します。
  4. ファイアウォールルールの作成」を選択します。
  5. 接続の種類」で「ポリシーベース」を選択します。

  6. ゲートウェイの種類」で「接続を開始」を選択します。

    次に例を示します。

    全般設定。

  7. プロファイル」で「支店 (IKEv2)」を選択します。

  8. 認証の種類」で「事前共有鍵」を選択します。

  9. 鍵を入力して、確認します。

    次に例を示します。

    暗号化の設定。

  10. リスニングインターフェース」で、ローカルファイアウォールの WAN ポート (203.0.113.10) を選択します。

  11. ゲートウェイの設定」で、本社のルーターの WAN ポート (203.0.113.1) を入力します。
  12. ローカルサブネット」で、192.168.2.0 用に作成した IP ホストを選択します。
  13. リモートサブネット」で、192.168.3.0 用に作成した IP ホストを選択します。

  14. 保存」をクリックします。

    ゲートウェイの設定。

ファイアウォールルールを確認する

IPsec 接続を保存すると、受信および送信方向のファイアウォールルールが自動的に作成されます。これらのルールは、本社と支社間のトラフィックを許可します。

ファイアウォールルールを確認するには、「ルールとポリシー > ファイアウォールルール」に移動し、「自動 VPN ルール」ルールグループをクリックします。Incoming Branch_to_HQOutgoing Branch_to_HQ という 2つのファイアウォールルールが表示されます。

本社から支社への自動ファイアウォールルール。

送信 VPN トラフィックを許可するファイアウォールルールが既にある場合は、ローカルサブネットを「送信元ネットワークとデバイス」に、リモートサブネットを「宛先ネットワーク」に追加できます。

サービスへのアクセスを許可する

  1. 管理 > デバイスのアクセス」に移動します。

  2. Ping/Ping6」の「VPN」を選択します。

    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。

  3. 適用」をクリックします。

接続を確認する

本社と支社の間の VPN 接続を確認します。

  • 本社のファイアウォール: 支社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.3.0
  • 支社のファイアウォール: 本社のサブネットに ping を実行します。たとえば、Windows のコマンドプロンプトで以下のコマンドを入力します: ping 192.168.2.0

ログを確認する

本社のファイアウォールのログに、ファイアウォールの手前に NAT デバイスがあることが示されています。

支社のファイアウォールのログに、本社のファイアウォールの手前に NATデバイスがあることが示されています。