【AWS】Sophos RED10をDHCP環境以外の場所に設置する #sophos

sophos

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。コカコーラ好きのカジです。

AWS上のVPN親機(Sophos UTM)で一括管理され、簡単に拠点間VPNを構築できるVPN子機(Sophos RED)を以下のブログで、ご紹介しました。 【AWS】Sophos RED10を使ってオンプレミスとVPC間をVPN接続する 【AWS】Sophos RED10を使ってオンプレミスとVPC間をVPN接続する その2

上記までのご紹介ではVPN子機(Sophos RED)を設置するネットワーク環境はDHCP環境が前提となっています。 「Sophos REDをDHCP環境以外に設置する場合にどうすれば良いか?」について調査しましたので、ご紹介します。

Sophos REDを固定IPアドレス設定で接続したい

Sophos UTMへSophos RED登録の流れは前回を参照してください。 Sophos RED登録時に「スタティックアドレス」を選択し、Sophos REDのWAN側のIPアドレス、サブネットマスク、ゲートウェイアドレス、DNSサーバのアドレスと、デバイス導入で「USBメモリ」設定し、Sophos REDをUTMへ登録します。 Sophos-red-usb-memory-1

設定完了後にSophos REDの設定ファイルをダウンロードします。 Sophos-red-usb-memory-2

FAT32にフォーマットしたUSBメモリの直下にファイルを配置します。 ダウンロードするファイル名は<RED ID番号>.redです。

ファイルを入れたUSBメモリをSophos REDに接続して、電源を起動すると設定したIPアドレスで通信し、Sophos UTMとVPN接続を行います。 Sophos-red-usb-memory-3 接続できていると以下のようなLED点灯になります。(通信中でWANとLANのLEDが点滅です。たまたま消灯状態での写真になりました。) Sophos-red-usb-memory-4

USBメモリの設定ファイルについての注意事項

USBメモリに保存したファイルは以下の設定を変更した場合に、再度ファイルのダウンロードしUSBメモリのファイル更新が必要です。

[REDマネジメント] メニューで設定される項目

  • UTM経由で、VPN通信を行うネットワークアドレス指定設定
  • REDの通信モード設定(標準/分割など)
  • REDのWANのIPアドレス設定

[インターフェースとルーティング] > [インターフェース] メニューのRED デバイスのインターフェイス設定項目

  • LAN側IPアドレス
  • DHCPサーバ設定

また、Sophos REDの解除コードを紛失しないように注意しましょう。 手動設定の場合、Sophos社のサポートにて解除コードをリセットできないそうです。

Sophos REDの拠点間通信制御について

以前のブログでは、AWSとSophos RED間の通信制御についてのみ説明しておりました。Sophos REDが複数拠点設置された場合の、通信制御についてご紹介します。

通信の制御は、Sophos UTMのネットワークプロテクション>ファイヤーウォール>ルールで設定します。 意図した通信をしない場合は、Sophos UTMへSophos REDを登録の際に設定する「ネットワークの分割」で通信したい拠点のネットワークが登録されているかも確認しましょう。

Sophos UTMとSophos RED間でVPN接続できていることを確認します。 Sophos-red-site2site ネットワークプロテクション>ファイヤーウォール>ルールで許可ルールを設定します。 Sophos-red-site2site-2

まとめ

簡単でしたね。今後Sophos REDで構築作業される方へお役に立てれば光栄です。 可能なかぎりSophos REDはDHCP環境下で利用したいですが、どうしてものときにお役に立つと思います。

AWS Cloud Roadshow 2017 福岡