コンテンツにスキップ

Sophos Connect クライアントを使って IPsec リモートアクセス VPN を設定する方法

IPsec リモートアクセス接続を設定できます。ユーザーは Sophos Connect クライアントを使用して接続を確立できます。

はじめに

Sophos Connect クライアントを使って IPSec リモートアクセス接続を設定、確立するには、以下の手順に従います。

  • 任意: ローカル署名した証明書の生成。
  • IPsec リモートアクセス接続を設定します。
  • 設定ファイルをユーザーに送信します。
  • 任意: スタティック IP アドレスをユーザーに割り当てる
  • ファイアウォールルールを追加する。
  • サービスへのアクセスを許可します。
  • Sophos Connect クライアントをユーザーに送信します。または、ユーザーがユーザポータルからダウンロードすることもできます。

ユーザーは、次の手順に従う必要があります。

  • Sophos Connect クライアントをエンドポイントデバイスにインストールします。
  • クライアントに設定ファイルをインポートし、接続を確立します。

ローカル署名証明書を設定する

  1. 証明書 >証明書」の順に選択し、「追加」を選択します。
  2. ローカル署名した証明書の生成」を選択します。
    証明書がある場合は、「証明書のアップロード」を選択することもできます。

    ローカル署名証明書の生成を選択します

  3. 証明書の詳細」を指定します。
    次に例を示します。

    証明書の詳細

  4. サブジェクト名の属性」を指定します。
    次に例を示します。

    サブジェクト名の属性

  5. サブジェクト代替名」に DNS 名または IP アドレスを入力し、追加ボタン (+) をクリックします。
    次に例を示します。

    サブジェクト代替名

IPsec (リモートアクセス) を設定する

IPsec リモートアクセス接続の設定を指定します。

  1. VPN > IPsec (リモートアクセス)」に移動し、「有効にする」をクリックします。
  2. 全般設定を指定します。

    名前 設定例
    インターフェース 203.0.113.1
    WAN ポートを選択します。
    認証タイプ Digital certificate
    ローカル証明書 Appliance certificate
    リモート証明書 TestCert
    ローカル署名証明書を選択します。または、「証明書 > 証明書」にアップロード済みの証明書を選択します。
    ローカル ID デジタル証明書のローカル ID が自動的に選択されます。
    使用する証明書の ID が設定されていることを確認します。
    リモート ID 使用する証明書の ID が設定されていることを確認します。
    許可するユーザーとグループ TestGroup

    次に例を示します。

    全般設定

  3. クライアント情報を指定します。
    次に例を示します。

    名前 設定例
    名前 TestRemoteAccessVPN
    IP の割り当て先 192.168.1.11
    192.168.1.254
    DNS サーバー 1 192.168.1.5

    クライアント情報の設定

  4. 必要に応じて詳細設定を指定して、「適用」をクリックします。

    名前 設定例
    許可するネットワークリソース (IPv4) LAN_10.1.1.0
    DMZ_192.168.2.0
    トンネル経由でセキュリティハートビートを送信する トンネル経由でリモートクライアントのセキュリティハートビートを送信します。
    ユーザー名とパスワードの保存をユーザーに許可する ユーザーに認証情報の保存を許可します。

    次に例を示します。

    詳細設定

  5. 接続のエクスポート」をクリックします
    エクスポートされた tar.gz ファイルには、.scx ファイルと .tgb ファイルが含まれます。

    設定ファイルをエクスポートします

  6. .scx ファイルをユーザーに送信します。

任意: スタティック IP アドレスをユーザーに割り当てる

Sophos Connect クライアントを使って接続しているユーザーにスタティック IP アドレスを割り当てるには、以下の手順に従います。

  1. 認証 > ユーザー」に移動し、ユーザーを選択します。
  2. ユーザーの設定ページで「IPsec リモートアクセス」に移動し、「有効にする」をクリックして、IP アドレスを入力します。

    次に例を示します。

    Sophos Connect クライアントを使って接続しているユーザーにスタティック IP アドレスを割り当てます

ファイアウォールルールの追加

この例では、リモートユーザーが VPN から LAN および DMZ にアクセスできるようにするために、これらのゾーン間のトラフィックを許可するファイアウォールルールを設定します。

  1. 名前を入力します。
  2. 送信元ゾーンと宛先ゾーンを以下のように指定して、「適用」をクリックします。

    名前 設定例
    送信元ゾーン VPN
    宛先ゾーン LAN
    DMZ

    次に例を示します。

    ファイアウォールルールの送信元ゾーンと宛先ゾーン

    IPsec (リモートアクセス)」の詳細設定で「デフォルトのゲートウェイとして使用」を選択した場合、Sophos Connect クライアントを使用するリモートユーザーの全トラフィック (インターネットへのトラフィックを含む) がこのトンネルにルーティングされるようになります。インターネットへのトラフィックを許可するには、ファイアウォールルールの「宛先ゾーン」に WAN を追加する必要があります。

サービスへのアクセスを許可する

VPN からユーザーポータルや ping などのサービスへのアクセスを許可する必要があります。

  1. 管理 > デバイスのアクセス」の順に選択します。
  2. ユーザーポータル」の以下のチェックボックスをオンにします。

    1. WAN
    2. Wi‑Fi

    これにより、ユーザーがユーザーポータルにサインインして、Sophos Connect クライアントをダウンロードすることができます。
    WAN からのアクセスは、一時的にのみ許可することを推奨します。 3. VPN の以下のチェックボックスを選択します。 1. ユーザーポータル: リモートユーザーが VPN からユーザーポータルにアクセスできるようにします。 2. 任意: DNS: ファイアウォールで DNS 解決を行うように設定した場合、リモートユーザーが VPN からドメイン名を解決できるようにします。 3. 任意: Ping/Ping6: リモートユーザーがファイアウォールへの VPN 接続をチェックできるようにします。 4. 「適用」をクリックします。

    VPN からサービスへのアクセス

エンドポイントデバイスで Sophos Connect クライアントを設定する

ユーザーは、Sophos Connect クライアントをエンドポイントデバイスにインストールし、クライアントに .scx ファイルをインポートする必要があります。

Sophos Connect クライアントのインストーラは、Sophos Firewall の Web 管理コンソールからダウンロードして、ユーザーに共有できます。または、ユーザーがユーザーポータルから Sophos Connect クライアントをダウンロードすることもできます。

ここでは、ユーザーがユーザポータルからクライアントをダウンロードする方法を示します。ユーザーは、次の手順に従う必要があります。

  1. ユーザポータルにサインインし、「VPN」に移動します。「Sophos Connect クライアント (IPsec と SSL VPN)」で、以下のいずれかのオプションをクリックします。

    • Windows 向けのダウンロード
    • macOS 向けのダウンロード

    Sophos Connect クライアントのインストーラ

  2. Sophos Connect クライアントを実行します。
    エンドポイントデバイスのシステムトレイに、Sophos Connect クライアントが表示されます。

  3. 右上の 3つのドットボタンをクリックし、「接続のインポート」をクリックして、IT 管理者から送ってもらった .scx ファイルを選択します。

    接続のインポート

  4. ユーザポータルの認証情報を使ってサインインします。

    Sophos Connect クライアントにサインインします

  5. 2要素認証を求められた場合は、検証コードを入力します。

クライアントと Sophos Firewall 間の IPsec リモートアクセス接続が確立されます。