【AWS】Sophos RED10を使ってオンプレミスとVPC間をVPN接続する その2

2015.03.04

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。コカコーラ好きの梶です。

前回はSophos REDでVPCと接続しました。そのつづきとしてSophos REDには3つのモードがありますので、ご紹介したいと思います。

構成は同じ状態で検証しております。また、前回より簡単な設定方法についても紹介します。

標準/分割モード

前回は、「標準/分割モード」の設定を行いました。「標準/分割モード」ではSophos REDはDHCPサーバとデフォルトゲートウェイとして動作します。

指定したネットワーク宛のトラフィックのみがUTMに送信されます。その他の全てのトラフィックは直接インターネットに送信されます。上記により拠点毎にネットワークのアドレス設計を自由に行えます。とても便利です。

kaji-07-2-sophos-utm-setup

Yahooへのtracerouteのログ

$ traceroute -I www.yahoo.co.jp
traceroute to www.g.yahoo.co.jp (183.79.197.242), 64 hops max, 72 byte packets
 1  192.168.254.65 (192.168.254.65)  0.977 ms  0.456 ms  0.397 ms
 2  192.168.254.254 (192.168.254.254)  0.826 ms  0.705 ms  0.590 ms
 3  r050.hkidnt01.ap.XXXXXX.XX.jp (XXX.XXX.224.3)  18.061 ms  11.317 ms  11.459 ms
 4  tn02gi4.hkidnt01.ap.XXXXXX.XX.jp (XXX.XXX.224.14)  11.631 ms  11.549 ms  14.674 ms
 5  note-04vl532.net.XXXXXX.XX.jp (XXX.XXX.180.33)  28.695 ms  25.715 ms  21.811 ms
 6  XXX.XXX.197.17 (XXX.XXX.197.17)  20.277 ms  29.848 ms  19.250 ms
 7  XXX.XXX.193.226 (XXX.XXX.193.226)  19.203 ms  21.590 ms  19.366 ms
 8  XXX.XXX.198.114 (XXX.XXX.198.114)  21.176 ms  19.336 ms  19.135 ms
 9  XXX.XXX.104.193 (XXX.XXX.104.193)  20.708 ms  19.121 ms  19.519 ms
10  XXX.XXX.27.70 (XXX.XXX.27.70)  22.200 ms  31.179 ms  25.827 ms
11  XXX.XXX.97.53 (XXX.XXX.97.53)  21.961 ms  26.393 ms  22.381 ms
12  XXX.XXX.97.74 (XXX.XXX.97.74)  35.266 ms  30.306 ms  39.136 ms
13  XXX.XXX.219.14 (XXX.XXX.219.14)  32.228 ms  32.093 ms  34.167 ms
14  XXX.XXX.219.34 (XXX.XXX.219.34)  33.664 ms  32.981 ms  37.912 ms
15  XXX.XXX.200.118 (XXX.XXX.200.118)  41.143 ms  30.697 ms  31.934 ms
16  XXX.XXX.28.74 (XXX.XXX.28.74)  30.800 ms  29.378 ms  29.173 ms
17  XXX.XXX.252.242 (XXX.XXX.252.242)  38.119 ms  36.683 ms  37.838 ms
18  XXX.XXX.0.90 (XXX.XXX.0.90)  37.801 ms  50.835 ms  465.063 ms
19  f4.top.vip.kks.yahoo.co.jp (183.79.197.242)  34.837 ms  35.344 ms  34.858 ms
$

標準/統合モード

「標準/統合モード」では、Sophos REDはDHCPサーバ及びデフォルトゲートウェイとして動作し、UTMがリモートネットワークを管理します。リモートネットワークのトラフィックは全てUTMに送信されます。

kaji-07-1-sophos-utm-setup

Yahooへのtracerouteのログ(標準/分割モードと異なることがわかります。)

UTM経由のため、ホップ数が少なくAWSのIPアドレス(マスクしてます)が複数表示されます。

$ traceroute -I www.yahoo.co.jp
traceroute to www.g.yahoo.co.jp (124.83.179.227), 64 hops max, 72 byte packets
 1  192.168.100.1 (192.168.100.1)  31.424 ms  26.133 ms  31.355 ms
 2  ec2-XXX-XXX-XXX-XXX.ap-northeast-1.compute.amazonaws.com (XXX.XXX.XXX.XXX)  24.837 ms  24.196 ms  34.762 ms
 3  XXX.XXX.0.210 (XXX.XXX.0.210)  26.323 ms  37.354 ms  34.322 ms
 4  XXX.XXX.52.174 (XXX.XXX.52.174)  34.059 ms  36.990 ms  42.127 ms
 5  XXX.XXX.52.140 (XXX.XXX.52.140)  35.509 ms  40.187 ms  37.622 ms
 6  XXX.XXX.52.145 (XXX.XXX.52.145)  40.807 ms  41.188 ms  40.324 ms
 7  XXX.XXX.178.44 (XXX.XXX.178.44)  41.324 ms  63.860 ms  42.501 ms
 8  XXX.XXX.228.221 (XXX.XXX.228.221)  37.516 ms  30.088 ms  32.317 ms
 9  XXX.XXX.252.226 (XXX.XXX.252.226)  35.319 ms  34.382 ms  40.277 ms
10  * * *
11  * * *
12  XXX.XXX.128.154 (XXX.XXX.128.154)  47.944 ms  42.829 ms  40.760 ms
13  f10.top.vip.ogk.yahoo.co.jp (124.83.179.227)  40.943 ms  39.183 ms  37.712 ms
$

透過/分割モード

今までの2つのモードとは異なり、Sophos UTMはリモートネットワークを管理せず、リモートネットワークのルータからDHCPでIPアドレスを得ることによりネットワーク接続します。指定したネットワーク宛のトラフィックのみがUTMに転送されます。

kaji-07-3-sophos-utm-setup

前回のブログで設定した、Sophos RED配下のPCのIPアドレスが192.168.100.0/24から、変更されていました。

Yahooへのtracerouteのログ(標準/分割モードと同じですが、DHCPで取得するローカルIPアドレスが異なります。)

$ ifconfig en3
en3: flags=8863<UP,BROADCAST,SMART,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	options=23<RXCSUM,TXCSUM,TSO4>
	ether XX:XX:XX:XX:XX:XX 
	<省略>
	inet 192.168.254.78 netmask 0xffffff00 broadcast 192.168.254.255
	<省略>
	media: autoselect (100baseTX <full-duplex>)
	status: active
$ traceroute -I www.yahoo.co.jp
traceroute to www.g.yahoo.co.jp (183.79.198.116), 64 hops max, 72 byte packets
 1  192.168.254.254 (192.168.254.254)  0.811 ms  0.430 ms  0.376 ms
 2  r050.hkidnt01.ap.XXXXXX.XX.jp (110.66.224.3)  17.663 ms *  18.008 ms
 3  tn02gi4.hkidnt01.ap.XXXXXX.XX.jp (110.66.224.14)  15.374 ms  11.445 ms  19.540 ms
 4  note-04vl532.net.XXXXXX.XX.jp (61.120.180.33)  28.314 ms  23.804 ms  25.683 ms
 5  XXX.XXX.197.17 (XXX.XXX.197.17)  19.308 ms  24.407 ms  21.514 ms
 6  XXX.XXX.193.226 (XXX.XXX.193.226)  26.804 ms  32.586 ms  30.081 ms
 7  XXX.XXX.198.114 (XXX.XXX.198.114)  27.115 ms  21.064 ms  23.415 ms
 8  XXX.XXX.104.193 (XXX.XXX.104.193)  24.057 ms  24.809 ms  19.603 ms
 9  XXX.XXX.168.7 (XXX.XXX.168.7)  20.071 ms  20.231 ms  25.656 ms
10  XXX.XXX.245.18 (XXX.XXX.245.18)  25.372 ms  27.323 ms  24.537 ms
11  XXX.XXX.96.25 (XXX.XXX.96.25)  31.834 ms  31.196 ms *
12  XXX.XXX.96.30 (XXX.XXX.96.30)  37.890 ms  40.196 ms  37.478 ms
13  XXX.XXX.221.18 (XXX.XXX.221.18)  37.232 ms  41.857 ms  40.338 ms
14  XXX.XXX.200.122 (XXX.XXX.200.122)  32.726 ms  30.942 ms  37.470 ms
15  XXX.XXX.28.74 (XXX.XXX.28.74)  27.091 ms  26.915 ms  29.583 ms
16  XXX.XXX.252.242 (XXX.XXX.252.242)  36.944 ms  45.666 ms  40.513 ms
17  XXX.XXX.64.74 (XXX.XXX.64.74)  33.870 ms  35.225 ms  38.200 ms
18  f9.top.vip.kks.yahoo.co.jp (183.79.198.116)  38.665 ms  43.783 ms  41.528 ms
$

より簡単なSophos REDの初期設定方法

前回ブログに記載した設定を以下の設定画面から、簡単に行えます。通信用件により、Firewallの設定は別途必要となります。

kaji-09-sophos-utm-setup kaji-10-sophos-utm-setup

まとめ

設定不要のなSophos REDは、複数拠点に設置する際も手軽に設置できるため、ネットワーク管理者の人にはうれしい機能ですね。