コンテンツにスキップ

レガシークライアントを使用してリモートアクセス SSL VPN を作成する方法

リモートユーザーがローカルネットワークにアクセスするための接続を設定、導入しましょう。TCP のポート 443 を通じて、VPN の暗号化トンネルを確立し、社内リソースへの安全なアクセスを提供します。

はじめに

次の手順を実行する必要があります。

  • SSL VPN クライアント用のアドレス範囲を指定する。
  • SSL VPN クライアント用のユーザーグループを作成し、ユーザーを追加する。
  • ローカルサブネットとリモート SSL VPN の範囲を定義する。
  • SSL VPN リモートアクセスポリシーを追加する。
  • ファイアウォールルールを追加する。
  • ユーザが SSL VPN クライアントを使用するための Windows 権限を設定します。
  • クライアントに SSL VPN クライアントソフトウェアをダウンロードし、社内ネットワークに接続する。
  • 接続を確認する。

SSL VPN クライアントのサブネットを指定する

SSL クライアントがサインインすると、ここで指定したサブネットからアドレスが割り当てられます。プライベートアドレスを指定してください。

  1. リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。

    VPN 設定

  2. リモートユーザーにリースするプライベート IP アドレスおよびサブネットを指定します。

    IPv4 リース範囲

  3. 適用」をクリックします。

ユーザーグループを作成し、ユーザーを追加する

リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。グループ内のユーザーに、無制限のアクセスを許可します。

  1. 認証 > グループ」に移動し、「追加」をクリックします。
  2. 設定を指定します。

    オプション 説明
    名前 リモート SSL VPN グループ
    ネット閲覧クォータ インターネットアクセスを制限しない
    アクセス時間 常に許可
  3. 保存」をクリックします。

  4. 認証 > ユーザー」に移動し、「追加」をクリックします。
  5. 設定を指定します。

    オプション 説明
    ユーザー名 john.smith
    名前 John Smith
    グループ リモート SSL VPN グループ
  6. 保存」をクリックします。

ローカルサブネットの IP ホストを作成する

ローカルサブネットは、リモートクライアントがアクセスできるネットワークリソースを規定します。ファイアウォールルールを作成するために、リモートクライアントの IP ホストが必要となります。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. ローカルサブネットの名前とネットワークを入力します。

    ローカルサブネットの IP ホスト

  3. 保存」をクリックします。

SSL VPN リモートアクセスポリシーの追加

リモート SSL VPN グループ」内のクライアントが接続することを許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。

  1. リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
  2. 名前を入力し、ポリシーメンバーと、許可するネットワークリソースを指定します。

    ポリシーメンバーと、許可するネットワークリソースを指定します

  3. 適用」をクリックします。

認証サービスの確認

この例では、ファイアウォールおよび SSL VPN の認証方式をローカル認証に設定します。そうすると、Sophos Firewall が認証サーバーとして動作するようになります。

  1. 認証 > サービス」に移動します。
  2. 認証サーバーが「ローカル」に設定されていることを確認します。
    または、「認証 > サーバー > ファイアウォール認証方法」で設定した Active Directory サーバーなど、認証サーバーを選択することもできます。

    ファイアウォール認証方法で、認証サーバーがローカルに設定されています

  3. SSL VPN 認証方法」へスクロールします。

  4. 認証サーバーが「ローカル」に設定されていることを確認します。

    SSL VPN 認証方法で、認証サーバーがローカルに設定されています

デバイスアクセス設定の確認

接続を確立し、ユーザーがその接続にアクセスできるようにするには、デバイスのアクセスで SSL VPN およびユーザーポータルをオンにする必要があります。

  1. 管理 > デバイスのアクセス」の順に選択します。
  2. SSL VPN とユーザーポータルへのアクセスを確認します。

    ゾーンからの SSL VPN およびユーザーポータルへのアクセスをオンにします

  3. 適用」をクリックします。

ファイアウォールルールの追加

  1. ルールとポリシー > ファイアウォールルール」に移動します。「IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択します。
  2. 設定を指定します。

    ファイアウォールルールの一致条件

  3. 保存」をクリックします。

SSL VPN クライアントに必要な Windows ユーザーの権限

Windows ユーザーに必要な権限。

SSL VPN 接続を確立しようとするサインインユーザには、ネットワーク操作権限が必要です。これによって、SSL VPN クライアントはネットワーク設定 (必要なルートの追加など) を滞りなく行えるようになります。

Windows 7 および 8 では、ネットワーク操作は管理者権限で実行されます。ユーザーにローカル管理者の役割を割り当てるか、推奨の方法に従ってユーザーを Windows の「Network Configuration Operators」グループに追加します。また、ユーザは SSL VPN クライアントを管理者として実行することもできます。

ユーザーを Windows の「Network Configuration Operators」グループに追加するには、以下の手順に従います。

  1. Windows で、「コントロールパネル > 管理ツール」を開きます。
  2. コンピュータ管理」を開きます。
  3. システムツール > ローカルユーザーとグループ」の順に展開します。
  4. グループ」をクリックします。
  5. Network Configuration Operators」をダブルクリックして、「追加」をクリックします。
  6. ユーザー名を入力し、「名前の確認」をクリックして名前を確認し、「OK」をクリックします。
  7. 適用」をクリックして、変更内容を保存します。

接続の導入

認証クライアントをインストールし、VPN 接続で社内ネットワークに接続します。

レガシーの SSL VPN クライアントを導入するには、以下の手順に従います。

この手順は、エンドポイントコンピュータで実行します。

  1. ユーザーポータルにログインします。

    警告

    外部向け (WAN) インターフェースで Web 管理コンソールを有効にすることは推奨しません。そうすると、ハッカーがファイアウォールのベンダーや種類を特定しやすくなり、標的型攻撃の対象となる恐れがあります。ユーザーポータルを使用していない場合は、このサービスも WAN インターフェースで無効にすることを推奨します。

    Sophos Firewall のユーザーポータルと Web 管理コンソールをローカルインターフェースに制限するには、「管理 > デバイスのアクセス」に移動し、「WAN」ゾーンの「ユーザーポータル」と「HTTPS」の選択を解除します。

    WAN インターフェースでユーザーポータルを有効にする場合は、2要素認証を設定することを推奨します。2要素認証の設定を参照してください。

  2. SSL VPN クライアントをダウンロードします。

  3. クライアントインストーラファイルをダブルクリックし、プロンプトに従ってインストールを完了します。
  4. クライアントを起動し、ユーザー名とパスワードを使ってログインします。

認証に失敗した場合は、「認証 > ユーザー」に移動して、ユーザーアカウントの「MAC バインド」が有効になっているかどうかを確認します。「MAC バインディング」が有効になっている場合は無効にします。

接続の確認

エンドポイントコンピュータと Sophos Firewall で、接続を確認します。

  • エンドポイントコンピュータで、Sophos Firewall で設定済みの SSL VPN 範囲から IP アドレスが割り当てられていることを確認します。Windows で「コマンドプロンプト」を開き、以下のコマンドを入力します。
    ipconfig
    10.81.234.510.81.234.55 の IP 範囲内のアドレスが表示されるはずです。
  • Sophos Firewall で、「現在のアクティビティ > リモートユーザー」に移動し、トラフィックを確認します。「ルールとポリシー > ファイアウォールルール」に移動して、確認することもできます。

その他のリソース

トップへ