レガシークライアントを使用してリモートアクセス SSL VPN を作成する方法
リモートユーザーがローカルネットワークにアクセスするための接続を設定、導入しましょう。TCP のポート 443 を通じて、VPN の暗号化トンネルを確立し、社内リソースへの安全なアクセスを提供します。
はじめに
次の手順を実行する必要があります。
- SSL VPN クライアント用のアドレス範囲を指定する。
- SSL VPN クライアント用のユーザーグループを作成し、ユーザーを追加する。
- ローカルサブネットとリモート SSL VPN の範囲を定義する。
- SSL VPN リモートアクセスポリシーを追加する。
- ファイアウォールルールを追加する。
- ユーザが SSL VPN クライアントを使用するための Windows 権限を設定します。
- クライアントに SSL VPN クライアントソフトウェアをダウンロードし、社内ネットワークに接続する。
- 接続を確認する。
SSL VPN クライアントのサブネットを指定する
SSL クライアントがサインインすると、ここで指定したサブネットからアドレスが割り当てられます。プライベートアドレスを指定してください。
-
「リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。
-
リモートユーザーにリースするプライベート IP アドレスおよびサブネットを指定します。
-
「適用」をクリックします。
ユーザーグループを作成し、ユーザーを追加する
リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。グループ内のユーザーに、無制限のアクセスを許可します。
- 「認証 > グループ」に移動し、「追加」をクリックします。
-
設定を指定します。
オプション 説明 名前 リモート SSL VPN グループ ネット閲覧クォータ インターネットアクセスを制限しない アクセス時間 常に許可 -
「保存」をクリックします。
- 「認証 > ユーザー」に移動し、「追加」をクリックします。
-
設定を指定します。
オプション 説明 ユーザー名 john.smith 名前 John Smith グループ リモート SSL VPN グループ -
「保存」をクリックします。
ローカルサブネットの IP ホストを作成する
ローカルサブネットは、リモートクライアントがアクセスできるネットワークリソースを規定します。ファイアウォールルールを作成するために、リモートクライアントの IP ホストが必要となります。
- 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
-
ローカルサブネットの名前とネットワークを入力します。
-
「保存」をクリックします。
SSL VPN リモートアクセスポリシーの追加
「リモート SSL VPN グループ」内のクライアントが接続することを許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。
- 「リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
-
名前を入力し、ポリシーメンバーと、許可するネットワークリソースを指定します。
-
「適用」をクリックします。
認証サービスの確認
この例では、ファイアウォールおよび SSL VPN の認証方式をローカル認証に設定します。そうすると、Sophos Firewall が認証サーバーとして動作するようになります。
- 「認証 > サービス」に移動します。
-
認証サーバーが「ローカル」に設定されていることを確認します。
または、「認証 > サーバー > ファイアウォール認証方法」で設定した Active Directory サーバーなど、認証サーバーを選択することもできます。 -
「SSL VPN 認証方法」へスクロールします。
-
認証サーバーが「ローカル」に設定されていることを確認します。
デバイスアクセス設定の確認
接続を確立し、ユーザーがその接続にアクセスできるようにするには、デバイスのアクセスで SSL VPN およびユーザーポータルをオンにする必要があります。
- 「管理 > デバイスのアクセス」の順に選択します。
-
SSL VPN とユーザーポータルへのアクセスを確認します。
-
「適用」をクリックします。
ファイアウォールルールの追加
- 「ルールとポリシー > ファイアウォールルール」に移動します。「IPv4」または「IPv6」を選択し、「ファイアウォールルールの追加」を選択します。
-
設定を指定します。
-
「保存」をクリックします。
SSL VPN クライアントに必要な Windows ユーザーの権限
Windows ユーザーに必要な権限。
SSL VPN 接続を確立しようとするサインインユーザには、ネットワーク操作権限が必要です。これによって、SSL VPN クライアントはネットワーク設定 (必要なルートの追加など) を滞りなく行えるようになります。
Windows 7 および 8 では、ネットワーク操作は管理者権限で実行されます。ユーザーにローカル管理者の役割を割り当てるか、推奨の方法に従ってユーザーを Windows の「Network Configuration Operators」グループに追加します。また、ユーザは SSL VPN クライアントを管理者として実行することもできます。
ユーザーを Windows の「Network Configuration Operators」グループに追加するには、以下の手順に従います。
- Windows で、「コントロールパネル > 管理ツール」を開きます。
- 「コンピュータ管理」を開きます。
- 「システムツール > ローカルユーザーとグループ」の順に展開します。
- 「グループ」をクリックします。
- 「Network Configuration Operators」をダブルクリックして、「追加」をクリックします。
- ユーザー名を入力し、「名前の確認」をクリックして名前を確認し、「OK」をクリックします。
- 「適用」をクリックして、変更内容を保存します。
接続の導入
認証クライアントをインストールし、VPN 接続で社内ネットワークに接続します。
レガシーの SSL VPN クライアントを導入するには、以下の手順に従います。
この手順は、エンドポイントコンピュータで実行します。
-
ユーザーポータルにログインします。
警告
外部向け (WAN) インターフェースで Web 管理コンソールを有効にすることは推奨しません。そうすると、ハッカーがファイアウォールのベンダーや種類を特定しやすくなり、標的型攻撃の対象となる恐れがあります。ユーザーポータルを使用していない場合は、このサービスも WAN インターフェースで無効にすることを推奨します。
Sophos Firewall のユーザーポータルと Web 管理コンソールをローカルインターフェースに制限するには、「管理 > デバイスのアクセス」に移動し、「WAN」ゾーンの「ユーザーポータル」と「HTTPS」の選択を解除します。
WAN インターフェースでユーザーポータルを有効にする場合は、2要素認証を設定することを推奨します。2要素認証の設定を参照してください。
-
SSL VPN クライアントをダウンロードします。
- クライアントインストーラファイルをダブルクリックし、プロンプトに従ってインストールを完了します。
- クライアントを起動し、ユーザー名とパスワードを使ってログインします。
認証に失敗した場合は、「認証 > ユーザー」に移動して、ユーザーアカウントの「MAC バインド」が有効になっているかどうかを確認します。「MAC バインディング」が有効になっている場合は無効にします。
接続の確認
エンドポイントコンピュータと Sophos Firewall で、接続を確認します。
- エンドポイントコンピュータで、Sophos Firewall で設定済みの SSL VPN 範囲から IP アドレスが割り当てられていることを確認します。Windows で「コマンドプロンプト」を開き、以下のコマンドを入力します。
ipconfig
10.81.234.5
~10.81.234.55
の IP 範囲内のアドレスが表示されるはずです。 - Sophos Firewall で、「現在のアクティビティ > リモートユーザー」に移動し、トラフィックを確認します。「ルールとポリシー > ファイアウォールルール」に移動して、確認することもできます。
その他のリソース