IPsec 接続
Sophos Firewall ともう 1台の Sophos Firewall またはサードパーティ製ファイアウォールの間で IPsec VPN 接続を設定すると、パブリックネットワーク経由で暗号化された安全な通信を行えます。
IPsec VPN には、以下の 2種類があります。
- ルートベースの VPN
- ポリシーベースの VPN
フェールオーバーグループを使用して、IPsec 接続を管理できます。
IPsec プロファイル
IPsec プロファイルでは、ポリシーベースまたはルートベースの IPsec 接続について、暗号化アルゴリズム、認証アルゴリズム、および鍵の交換方式を定義します。フェーズ 1 およびフェーズ 2 のセキュリティパラメータを定義し、IPsec 接続にプロファイルを割り当ててください。
IPsec プロファイルを設定するには、「プロファイル > IPsec プロファイル」に移動します。
Sophos Firewall は、ローカル側とリモート側で設定した IPsec プロファイルを照合し、IPsec 接続を確立します。
IPsec 接続
ポリシーベースの (サイト間およびホスト間) およびルートベース (トンネルインターフェース) の IPsec 接続を構成できます。
以下の操作を実行できます。
- 「IPsec プロファイル」をクリックして、プロファイルを編集または作成します。IPsec および L2TP トンネルを確立するため、フェーズ 1 およびフェーズ 2 の IKE (Internet Key Exchange) パラメータを指定できます。
- 「ログ」をクリックして、ログを参照できます。
-
リストビューの追加設定を選択するには、「名前」列の上にある「追加項目の表示」をクリックします。プロパティをドラッグアンドドロップして、リストビューを並べ替えることもできます。
ヒント
IPsec トンネルグループおよびフェールオーバーグループのトラブルシューティングには、IPsec 接続のプロパティが必要になる場合があります。
ポリシーベースの接続
ポリシーベースの IPsec 接続 (サイト間とホスト間) と、それに対応するファイアウォールルールは、両方のネットワークで設定する必要があります。
両方のネットワークの設定は手動で行うか、または「ウィザード」をクリックするとアシスタントが起動しますので、画面に表示される手順に従ってポリシーベースの VPN を設定できます。アシスタントを使って、既存の接続設定を編集することはできません。
ネットワークアドレス変換: ローカルサブネットとリモートサブネットが重複している場合は、IPsec 設定内で NAT を指定します。
ルートベースの接続
ルートベースの VPN を構成するには、「接続の種類」を「ルートベース (トンネルインターフェース)」に設定します。詳細は、ルートベースの接続を参照してください。対応するファイアウォールルールを設定する必要があります。
現時点では、アシスタントを使ってルートベースの接続を作成することはできません。ルートベースの IPsec 接続を設定すると、XFRM インターフェースと呼ばれる仮想トンネルインターフェース (VTI) が自動的に作成されます。インターフェースには xfrm に数字を付与した名前が付けられ、「ネットワーク > インターフェース」に表示されます。
注
XFRM や VLAN などの仮想インターフェースが割り当てられた物理インターフェースの左側には、青いバーが表示されます。XFRM インターフェースを表示するには、ルートベースの IPsec 接続で指定したリスニングインターフェースをクリックしてください。そうすると、このインターフェースの下に XFRM インターフェースが表示されます。
IPsec の設定時に、ローカルサブネットおよびリモートサブネットを「任意」にするか、「IP バージョンを「デュアル」にした場合は、XFRM インターフェースに IP アドレスを割り当ててください。XFRM インターフェースに送信するトラフィックを判定するために、スタティックルート、SD-WANルート、またはダイナミックルートを設定する必要があります。SD-WAN ルートを使用する場合は、指定の SD-WAN プロファイルに基づき、トラフィックにサービスレベル契約 (SLA) を適用できます。
ネットワークアドレス変換: ローカルサブネットとリモートサブネットが重複している場合は、次の手順を実行する必要があります。
- ローカルサブネットとリモートサブネットに対して「任意」を選択している場合は、対応する SNAT ルールと DNAT ルールを設定する必要があります (「ルールとポリシー > NAT ルール」)。
- 特定のローカルサブネットとリモートサブネットを設定している場合は、IPsec 設定内で NAT を指定する必要があります。
ヒント
SNAT ルールの「MASQ」は、デフォルトで、元の IP アドレスを WAN IP アドレスに変換します。
ただし、ルートベースの VPN の設定時に、ローカルサブネットおよびリモートサブネットを「任意」、または「IP バージョン」を「デュアル」にした場合は、SNAT で「MASQ」が設定されていると、元の送信元は XFRM の IP アドレスに変換されます。
tcpdump とパケットキャプチャで、XFRM の IP アドレスを確認できます。IP アドレスは以下のように表示されます。
WAN IP アドレス: カプセル化されたパケットの外部のIPヘッダー。
XFRM IP アドレス:送信元の内部の IP ヘッダー。
警告
ルートベースの VPN でトラフィックセレクタを使用した場合は、XFRM インターフェースに IP アドレスが割り当てられません。そのため、トラフィックに SNAT ルールのマスカレードが適用された場合、そのトラフィックは破棄されます。
IPsec トラフィックのルーティング方法
IPsec トラフィックは以下のようにルーティングされます。
- ルートベースの VPN: トンネルインターフェースに、スタティックルート、SD-WAN ルート、またはダイナミックルートを設定する必要があります。
- ポリシーベースの VPN: このトラフィックをルーティングするために、バックエンドで IPsec ルックアップが実行されます。
-
ipsec_routeコマンド:このトラフィックをルーティングするために、バックエンドでパスルックアップが実行されます。NAT (ネットワークアドレス変換) を設定する際は、このコマンドを使用できます。そうすることで、パケットは指定の VPN トンネル経由で、宛先 IP アドレスまたはネットワークにルーティングされます。ネットワーク要件によっては、一部のトラフィックをルーティングするためにこのコマンドを使用する必要がある場合があります。次のユースケースをご覧ください:
-
システム生成トラフィック (認証リクエストや DHCP リクエストなど) が、支社から本社にポリシーベースの VPN 経由でルーティングされない場合。
- 詳細は、システムが生成した認証リクエストを IPsec VPN 経由で送信するを参照してください。
- 詳細は、DHCP トラフィックをポリシーベースの IPsec VPN 経由でサーバーに送信するを参照してください。
- 詳細は、本社のファイアウォールを DHCP サーバーとして、支社のファイアウォールをリレーエージェントとして使用するを参照してください。
-
内部的な事情により、IPsec トンネルに一部のサブネットを追加できないが、そのトラフィックをトンネル経由で送信する必要がある場合。詳細は、既存の IPsec トンネルと NAT ルールを使用して、リモートネットワークに接続する方法を参照してください。
-
注
スタティック、VPN、SD-WAN ルートの優先順位を決める仕組みについては、SD-WAN ルートを参照してください。
接続のステータス
以下の 2種類のステータスが示されます。
-
アクティブ (有効/無効のいずれか): 接続を有効にするには、設定画面で「保存時にアクティベート」をクリックします。または、設定済みの接続一覧画面で、有効にしたい接続の「アクティブ」のステータス
をクリックします。一度に複数の接続を有効化または無効化できます。その場合は、アクティブな接続を選択して、「無効化」をクリックするか、非アクティブな接続を選択して、「有効化」をクリックします。接続を選択していない場合は、「有効化」と「無効化」をクリックすることはできません。「アクティブ」の横にあるフィルタを使用して、アクティブまたは非アクティブの接続の一覧を表示できます。
次の例では、選択した非アクティブな接続を有効化する方法を示しています。
次の例では、選択したアクティブな接続を無効化する方法を示しています。
-
接続 (確立済み/未確立のいずれか): 接続を確立するには、設定済みの接続一覧画面で、「接続」のステータス
をクリックします。
| 有効 | 接続 | 説明 |
|---|---|---|
 | | 接続は有効ですが、トンネルは確立されていません。 |
| | 接続が有効で、トンネルが確立されています。 |
|  | 接続は有効ですが、まだすべてのトンネルが確立されていません。ローカルサブネットまたはリモートサブネットを複数設定した場合は、そのペアごとにトンネルが確立されます。 |
| | 接続は無効です。 |
フェールオーバーグループ
フェールオーバーグループとは、IPsec 接続の順番を指定し、グループ化したものです。プライマリ接続に障害が発生すると、グループ内の次の有効な接続に自動的に引き継がれます。
- フェールオーバーグループを有効にしてプライマリ接続を確立するには、「ステータス」 をクリックします。
- フェールオーバーグループ内のIPSecトンネルのトラブルシューティングについては、 「IPsec VPN とフェールオーバーグループのトラブルシューティング」を参照してください。
- フェールオーバーグループをオフにすると、そのグループに含まれる有効なトンネルが無効に切り替えられます。必要に応じて、個々のトンネルを有効にしてください。
自動フェールバック
フェールオーバーグループに指定した条件に基づいて、リモートゲートウェイの状態がチェックされます。チェックの実行間隔は、「ネットワーク > WAN リンクマネージャ」の「ゲートウェイフェールオーバーのタイムアウト」で指定します。
リモートゲートウェイが復旧すると、Sophos Firewall はプライマリ IPsec 接続への復旧を試みます。復旧は最大 5 回試行されます。プライマリに戻せない場合は、セカンダリ接続が引き続き使用されます。この場合、プライマリ接続を再度チェックして自動フェールバックを行うことはありません。セカンダリ接続のリモートゲートウェイがダウンした場合のみに、プライマリへのフェールバックが行われます。プライマリ接続を手動で復元するには、フェールオーバーグループリストに移動し、グループのステータスボタンを一度オフにしてから再びオンにします。この操作を行うと、ダウンタイムが発生します。
フェールオーバーグループに 3つ以上の IPsec 接続が含まれる場合は、「メンバーの接続」に含まれる利用可能な接続のうち、最初のものに切り替えられます。
WAN ゾーンからの IPsec トラフィックを許可する
IPsec の受信要求を許可するには、「デバイスのアクセス」をクリックするか、「管理 > デバイスのアクセス」に移動して「WAN」ゾーンの「IPsec」をオンにします。