Sophos UTM on さくらのVPSで自宅とVPSローカルをVPN常時接続する

 先日導入したさくらのVPS上のSophos UTMでIPsec メインモードVPNを構築して遊ぶメモ。

 Sophos UTMのサイト間VPNを設定してみた。
 自宅環境は例によって、NEC IX2000シリーズのIX2215だけど、中古激安のIX2025でもイケる。

 最初の作業は、ゲートウェイの登録。

utm-ipsec-gw

 ナビゲーションからサイト間VPN>IPSecを選択。
 リモートゲートウェイタブを開いて、+新規リモートゲートウェイを開く。
 名前は適当にわかりやすい物を。 FQDNが一番わかりやすいかと。
 ゲートウェイタイプはイニシエータかレスポンダか。 わからなければ、とりあえずイニシエータにしておけばOK。
 ゲートウェイはネットワークオブジェクトで登録。 登録していない場合は、右側の+を押せば、画面のような追加ポップアップが開く。 わかりやすい名前、タイプは必ずホスト、IPv4に自宅の固定IPを登録して保存。
 認証タイプは、事前共有鍵以外にRSAとX509証明書が使えるけど、今回は事前共有鍵で構築。
 VPN IDタイプは、対向に設定するVPN IDタイプと値を設定する。
 リモートネットワークは、ゲートウェイ同様にネットワークオブジェクトで設定。 新規で作る場合は、自宅ローカルのサブネットを登録する(タイプでネットワークを選んで、ネットワークアドレス192.168.0.0とかとサブネット/24とかそんな感じ)
 ここまで出来れば保存。

 次に、暗号化ポリシーの決定。
 ポリシータブを開く。

utm-ipsec-policy
 とは言っても、今回は対向側であわせてしまうので適切なのをチェックしてメモっておく。
 今回はバランスの良いAES-128と言うデフォルトポリシを使うため、内容をメモ。
Phase1が AES128 MD5 lifetime 3600
Phase2が AES256 MD5 modp1536 lifetime 7800

 最後にコネクション設定の作成。
 コネクションタブを開く。

utm-ipsec-conn
 +新規IPsec接続を叩いて設定開始。
 名前は適当にわかりやすく接続先の名前。
 リモートゲートウェイは最初に作ったヤツを選択。
 ローカルインターフェイスはIPsecするエンドポイントだからPublicインタフェイス。
 ポリシーは先ほどメモしたポリシーを選択。
 ローカルネットワークは、UTMサイドのローカルネットワークだから、Internal(Network)を選択。
 自動ファイアウォールルールを選択すればIPsec接続に必要なファイアウォールルールが自動追加されるのでオススメ。
 全部出来たら保存。

 これだけの手順でUTM側のポリシ設定は完了してしまった。 いやー、便利だねぇ。

 そして、ここからはIX2215側の設定。

 この設定で、自宅ルータから管理画面の接続は、https://192.168.1.100:4444/で行えるようになる(管理画面をNAT通してみるとかしないでOK)

 で、この状態で、さくら側にあるローカル接続は全て自宅のLANからローカルIPでアクセスできる。管理が超簡単になる素敵構成。

(1272)


カテゴリー: LAMP[Linux, Apache, MySQL, PHP]   パーマリンク

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です