レガシークライアントを使用してリモートアクセス SSL VPN を作成する方法

リモートユーザーがローカルネットワークにアクセスするための接続を設定、導入しましょう。TCP のポート 443 を通じて、VPN の暗号化トンネルを確立し、社内リソースへの安全なアクセスを提供します。

はじめに

次の手順を実行する必要があります。

• SSL VPN クライアント用のアドレス範囲を指定する。
• SSL VPN クライアント用のユーザーグループを作成し、ユーザーを追加する。
• ローカルサブネットとリモート SSL VPN の範囲を定義する。
• SSL VPN リモートアクセスポリシーを追加する。
• ファイアウォールルールを追加する。
• ユーザが SSL VPN クライアントを使用するための Windows 権限を設定します。
• クライアントに SSL VPN クライアントソフトウェアをダウンロードし、社内ネットワークに接続する。
• 接続を確認する。

SSL VPN クライアントのサブネットを指定する

SSL クライアントがサインインすると、ここで指定したサブネットからアドレスが割り当てられます。プライベートアドレスを指定してください。

1. 「リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。

   

2. リモートユーザーにリースするプライベート IP アドレスおよびサブネットを指定します。

   

3. 「適用」をクリックします。

ユーザーグループを作成し、ユーザーを追加する

リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。グループ内のユーザーに、無制限のアクセスを許可します。

1. 「認証 > グループ」に移動し、「追加」をクリックします。

2. 設定を指定します。

   オプション	説明
   名前	リモート SSL VPN グループ
   ネット閲覧クォータ	インターネットアクセスを制限しない
   アクセス時間	常に許可

3. 「保存」をクリックします。

4. 「認証 > ユーザー」に移動し、「追加」をクリックします。

5. 設定を指定します。

   オプション	説明
   ユーザー名	john.smith
   名前	John Smith
   グループ	リモート SSL VPN グループ

6. 「保存」をクリックします。

ローカルサブネットの IP ホストを作成する

ローカルサブネットは、リモートクライアントがアクセスできるネットワークリソースを規定します。ファイアウォールルールを作成するために、リモートクライアントの IP ホストが必要となります。

1. 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。

2. ローカルサブネットの名前とネットワークを入力します。

   

3. 「保存」をクリックします。

SSL VPN リモートアクセスポリシーの追加

「リモート SSL VPN グループ」内のクライアントが接続することを許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。

1. 「リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。

2. 名前を入力し、ポリシーメンバーと、許可するネットワークリソースを指定します。

   

3. 「適用」をクリックします。

認証サービスの確認

この例では、ファイアウォールおよび SSL VPN の認証方式をローカル認証に設定します。そうすると、Sophos Firewall が認証サーバーとして動作するようになります。

1. 「認証 > サービス」に移動します。

2. 認証サーバーが「ローカル」に設定されていることを確認します。
   または、「認証 > サーバー > ファイアウォール認証方法」で設定した Active Directory サーバーなど、認証サーバーを選択することもできます。

   

3. 「SSL VPN 認証方法」へスクロールします。

4. 認証サーバーが「ローカル」に設定されていることを確認します。

   

デバイスアクセス設定の確認

接続を確立し、ユーザーがその接続にアクセスできるようにするには、デバイスのアクセスで SSL VPN およびユーザーポータルをオンにする必要があります。

1. 「管理 > デバイスのアクセス」の順に選択します。

2. SSL VPN とユーザーポータルへのアクセスを確認します。

   

3. 「適用」をクリックします。

ファイアウォールルールの追加

1. 「ルールとポリシー > ファイアウォールルール」に移動します。「IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択します。

2. 設定を指定します。

   

3. 「保存」をクリックします。

SSL VPN クライアントに必要な Windows ユーザーの権限

Windows ユーザーに必要な権限。

SSL VPN 接続を確立しようとするサインインユーザには、ネットワーク操作権限が必要です。これによって、SSL VPN クライアントはネットワーク設定 (必要なルートの追加など) を滞りなく行えるようになります。

Windows 7 および 8 では、ネットワーク操作は管理者権限で実行されます。ユーザーにローカル管理者の役割を割り当てるか、推奨の方法に従ってユーザーを Windows の「Network Configuration Operators」グループに追加します。また、ユーザは SSL VPN クライアントを管理者として実行することもできます。

ユーザーを Windows の「Network Configuration Operators」グループに追加するには、以下の手順に従います。

1. Windows で、「コントロールパネル > 管理ツール」を開きます。
2. 「コンピュータ管理」を開きます。
3. 「システムツール > ローカルユーザーとグループ」の順に展開します。
4. 「グループ」をクリックします。
5. 「Network Configuration Operators」をダブルクリックして、「追加」をクリックします。
6. ユーザー名を入力し、「名前の確認」をクリックして名前を確認し、「OK」をクリックします。
7. 「適用」をクリックして、変更内容を保存します。

接続の導入

認証クライアントをインストールし、VPN 接続で社内ネットワークに接続します。

レガシーの SSL VPN クライアントを導入するには、以下の手順に従います。

この手順は、エンドポイントコンピュータで実行します。

1. ユーザーポータルにログインします。

   警告

   外部向け (WAN) インターフェースで Web 管理コンソールを有効にすることは推奨しません。そうすると、ハッカーがファイアウォールのベンダーや種類を特定しやすくなり、標的型攻撃の対象となる恐れがあります。ユーザーポータルを使用していない場合は、このサービスも WAN インターフェースで無効にすることを推奨します。

   Sophos Firewall のユーザーポータルと Web 管理コンソールをローカルインターフェースに制限するには、「管理 > デバイスのアクセス」に移動し、「WAN」ゾーンの「ユーザーポータル」と「HTTPS」の選択を解除します。

   WAN インターフェースでユーザーポータルを有効にする場合は、2要素認証を設定することを推奨します。2要素認証の設定を参照してください。

2. SSL VPN クライアントをダウンロードします。

3. クライアントインストーラファイルをダブルクリックし、プロンプトに従ってインストールを完了します。
4. クライアントを起動し、ユーザー名とパスワードを使ってログインします。

認証に失敗した場合は、「認証 > ユーザー」に移動して、ユーザーアカウントの「MAC バインド」が有効になっているかどうかを確認します。「MAC バインディング」が有効になっている場合は無効にします。

接続の確認

エンドポイントコンピュータと Sophos Firewall で、接続を確認します。

• エンドポイントコンピュータで、Sophos Firewall で設定済みの SSL VPN 範囲から IP アドレスが割り当てられていることを確認します。Windows で「コマンドプロンプト」を開き、以下のコマンドを入力します。
  ipconfig
10.81.234.5～10.81.234.55 の IP 範囲内のアドレスが表示されるはずです。
• Sophos Firewall で、「現在のアクティビティ > リモートユーザー」に移動し、トラフィックを確認します。「ルールとポリシー > ファイアウォールルール」に移動して、確認することもできます。

その他のリソース

• SSL VPN (リモートアクセス)
• Sophos Connect クライアント
• 2要素認証の設定