【AWS】Sophos RED10を使ってオンプレミスとVPC間をVPN接続する

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。コーラ好きの梶です。

Sophos社様から、Sophos REDをお借りしてましたので、さっそく試用してみました。

弊社ではAWS VPCへのリモートアクセスや異なるリージョンをVPN接続する用途で、AWS VPC上にSophos UTMというソフトウェアアプイアンスを構築した事例が多くあります。

関連ブログ
【AWS】統合脅威管理「Sophos UTM」を使ってiPhoneからVPCへIPsec-VPN接続する
https://dev.classmethod.jp/cloud/aws/ipsec-vpn-connection-from-iphone-using-sophos-utm/
【AWS】統合脅威管理「Sophos UTM」を使ってVPC間をIP-VPN接続する
https://dev.classmethod.jp/cloud/ip-vpn-connection-using-sophos-utm-vpc-site2site/

そのSophos UTMと設置するだけで簡単にVPN接続できるネットワーク機器であるSophos REDが発売されました。

昨今、ネットワーク機器も集中管理機能が追加され、一昔前のすべての機器にConfigを設定していたしていた時代は減っていく傾向になると思います。

Sophos REDはSophos UTMで設定管理されSophos REDへコンソール接続したり、WebGUIの設定画面をブラウザアクセスすることなく使うことができます。

外観

Sophos REDは、お弁当箱サイズのコンパクトなネットワーク機器です。

コンソール接続もありません。

kaji-sophos-red-01 kaji-sophos-red-02

REDという名前から、赤い筐体をイメージしてましたが、Sophosの他の製品と同様にホワイトの筐体でした。
あとで知ったのですが、RED=「Remote Ethernet Device」の略でした。

今回、お借りしたSophos RED 10という製品で、WAN=10/100Base-TX*1、LAN=10/100Base-TX1*4のインターフェイスを備え、最大スループット30Mbpsと、ブランチオフィスや小さな店舗等に設置して利用に向いている製品です。
もう一つ上の製品にRED 50というラインナップがあり、最大スループット360Mbpsで、すべて1000Base-T対応と上位モデルもあります。

AWSと組み合わせた想定できるRED利用シーン

以下のような構成で有用だと考えます。
・お客様社内の複数端末からのみAWS VPCへSSL-VPNでリモート接続する。(リモートメンテナンス用途)
・小売業などで基幹システムをAWSに移行し、各店舗とVPNで接続したい

Sophos RED接続にあたり、Sophos UTM側に必要なライセンス

Sophos UTM側にNetwork Protection ライセンスが必要で、ライセンス数は、AWSで利用するSophos UTM(ソフトウェアアプライアンス)の場合に、Sophos UTMとSophos REDの通信する端末数(IPアドレス数)分、ユーザライセンスが必要となります。

構成

kaji-sophos-red-00

設定

Sophos RED

Sophos RED側は構成図のとおりに接続するだけで、特に設定はありません。

Sophos UTM

Sophos REDと通信用に以下のInboundのセキュリティグループを許可しておきます。
RED 10 の場合:tcp/3400とudp/3400
RED 50の場合:tcp/3400とudp/3410

kaji-01-AWS-sophos-utm-setup

初期構築は以下のブログを参考に完了している状態とします。
【AWS】統合脅威管理「Sophos UTM」を使ってiPhoneからVPCへIPsec-VPN接続する
https://dev.classmethod.jp/cloud/aws/ipsec-vpn-connection-from-iphone-using-sophos-utm/
「Source/Dest. Check: disabled」まで設定しておきます。

UTMの管理画面から、REDの設定を行います。といってもすごく簡単です。

REDマネジメントを選択

kaji-01-sophos-utm-setup

機能を有効化

kaji-02-sophos-utm-setup kaji-03-sophos-utm-setup kaji-04-sophos-utm-setup

REDの登録と設定

kaji-05-sophos-utm-setup

kaji-08-sophos-utm-setup

今回は、「標準/分割モード」の設定を行います。「標準/分割モード」はインターネット通信は直接拠点側で行い、UTMの内部宛の通信のみUTM経由で通信します。

kaji-07-2-sophos-utm-setup

kaji-06-sophos-utm-setup

RED IDはREDの筐体の裏面に記載があります。

ロック解除コードは初回は登録時は不要のようです。今回は、借用品のため、設定が必要でした。

ファイヤーウォールの設定

アドレスを「定義とユーザ」>「ネットワーク定義」>「新規ネットワークオブジェクト」に登録しておきます。

Site-A-NW=10.1.0.0/16

RED-NW=192.168.100.0/24

上記アドレスをファイヤーウォールルールで使います。

kaji-13-sophos-utm-setup  kaji-14-sophos-utm-setupkaji-15-sophos-utm-setup

RED用のインターフェイスなどの設定

kaji-16-sophos-utm-setup kaji-17-sophos-utm-setup kaji-18-sophos-utm-setup

設定は以上です。

VPN接続時のステータス表示

右下のところに緑色のチェックボックスと、オンラインの記載が表示されます。

kaji-11-sophos-utm-setup

タッシュボードでの表示

kaji-12-sophos-utm-setup

正常接続時のUTM側のREDのログ

2015:01:27-11:19:38 ec2-54-XXX-XXX-XXX red_server[27789]: Self: SSL connect accept failed because of handshake problems
2015:01:27-11:19:47 ec2-54-XXX-XXX-XXX red_server[27791]: SELF: New connection from 121.101.71.250 with ID <RED ID> (cipher RC4-SHA), rev1
2015:01:27-11:19:48 ec2-54-XXX-XXX-XXX redctl[27793]: key length: 32
2015:01:27-11:19:48 ec2-54-XXX-XXX-XXX redctl[27794]: key length: 32
2015:01:27-11:19:48 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: connected OK, pushing config
2015:01:27-11:19:54 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: command 'UMTS_STATUS value=OK'
2015:01:27-11:19:55 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: command 'PING 0 uplink=WAN'
2015:01:27-11:19:55 ec2-54-XXX-XXX-XXX red_server[27791]: id="4201" severity="info" sys="System" sub="RED" name="RED Tunnel Up" red_id="<RED ID>" forced="0"
2015:01:27-11:19:55 ec2-54-XXX-XXX-XXX red_server[27459]: SELF: (Re-)loading device configurations
2015:01:27-11:19:55 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PING remote_tx=0 local_rx=0 diff=0
2015:01:27-11:19:55 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PONG local_tx=0
2015:01:27-11:20:10 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: command 'PING 1 uplink=WAN'
2015:01:27-11:20:10 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PING remote_tx=1 local_rx=1 diff=0
2015:01:27-11:20:10 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PONG local_tx=1
2015:01:27-11:20:26 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: command 'PING 3 uplink=WAN'
2015:01:27-11:20:26 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PING remote_tx=3 local_rx=3 diff=0
2015:01:27-11:20:26 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PONG local_tx=2
2015:01:27-11:20:43 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: command 'PING 4 uplink=WAN'
2015:01:27-11:20:43 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PING remote_tx=4 local_rx=4 diff=0
2015:01:27-11:20:43 ec2-54-XXX-XXX-XXX red_server[27791]: <RED ID>: PONG local_tx=3

 

VPN接続時のSophos REDのLED状態

kaji-sophos-red-03

Tunnelまでの全てのLEDが点灯します。
それ以外の各ステータスは以下のページに記載がありましたので、ご参照ください。
http://www.sophos.com/ja-jp/support/knowledgebase/116173.aspx

まとめ

AWSのSecurity Groupで、上記のTCPポートのオープンが必要な事や、RED用のファイヤーウォールの設定部分が必要な事がポイントになります。

次回は、別モード(標準/分割モード以外の2つのモード)について紹介します。