【AWS】Sophos RED10をDHCP環境以外の場所に設置する #sophos
こんにちは。コカコーラ好きのカジです。
AWS上のVPN親機(Sophos UTM)で一括管理され、簡単に拠点間VPNを構築できるVPN子機(Sophos RED)を以下のブログで、ご紹介しました。 【AWS】Sophos RED10を使ってオンプレミスとVPC間をVPN接続する 【AWS】Sophos RED10を使ってオンプレミスとVPC間をVPN接続する その2
上記までのご紹介ではVPN子機(Sophos RED)を設置するネットワーク環境はDHCP環境が前提となっています。 「Sophos REDをDHCP環境以外に設置する場合にどうすれば良いか?」について調査しましたので、ご紹介します。
Sophos REDを固定IPアドレス設定で接続したい
Sophos UTMへSophos RED登録の流れは前回を参照してください。
Sophos RED登録時に「スタティックアドレス」を選択し、Sophos REDのWAN側のIPアドレス、サブネットマスク、ゲートウェイアドレス、DNSサーバのアドレスと、デバイス導入で「USBメモリ」設定し、Sophos REDをUTMへ登録します。
設定完了後にSophos REDの設定ファイルをダウンロードします。
FAT32にフォーマットしたUSBメモリの直下にファイルを配置します。 ダウンロードするファイル名は<RED ID番号>.redです。
ファイルを入れたUSBメモリをSophos REDに接続して、電源を起動すると設定したIPアドレスで通信し、Sophos UTMとVPN接続を行います。
接続できていると以下のようなLED点灯になります。(通信中でWANとLANのLEDが点滅です。たまたま消灯状態での写真になりました。)
USBメモリの設定ファイルについての注意事項
USBメモリに保存したファイルは以下の設定を変更した場合に、再度ファイルのダウンロードしUSBメモリのファイル更新が必要です。
[REDマネジメント] メニューで設定される項目
- UTM経由で、VPN通信を行うネットワークアドレス指定設定
- REDの通信モード設定(標準/分割など)
- REDのWANのIPアドレス設定
[インターフェースとルーティング] > [インターフェース] メニューのRED デバイスのインターフェイス設定項目
- LAN側IPアドレス
- DHCPサーバ設定
また、Sophos REDの解除コードを紛失しないように注意しましょう。 手動設定の場合、Sophos社のサポートにて解除コードをリセットできないそうです。
Sophos REDの拠点間通信制御について
以前のブログでは、AWSとSophos RED間の通信制御についてのみ説明しておりました。Sophos REDが複数拠点設置された場合の、通信制御についてご紹介します。
通信の制御は、Sophos UTMのネットワークプロテクション>ファイヤーウォール>ルールで設定します。 意図した通信をしない場合は、Sophos UTMへSophos REDを登録の際に設定する「ネットワークの分割」で通信したい拠点のネットワークが登録されているかも確認しましょう。
Sophos UTMとSophos RED間でVPN接続できていることを確認します。
ネットワークプロテクション>ファイヤーウォール>ルールで許可ルールを設定します。
まとめ
簡単でしたね。今後Sophos REDで構築作業される方へお役に立てれば光栄です。 可能なかぎりSophos REDはDHCP環境下で利用したいですが、どうしてものときにお役に立つと思います。
![[アップデート]CloudTrail Lake で高度なイベントセレクターがサポートされました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-64f6cd71568d228b1e7f3831e5287d75/1b5c0e8e5797b4bff5913d5033b03348/aws-cloudtrail)
![[アップデート] Amazon QuickSight へロゴやテーマカラーを設定するための「ブランド管理機能」が追加されました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-19e77b9a51519e08b94d0f688c125729/4f439c75e1ee56c70e315fa46fa45f81/amazon-quicksight)
