Sophos Connect クライアントを使ってリモートアクセス SSL VPN を設定する方法
リモートアクセス SSL VPN 接続を設定できます。ユーザーは Sophos Connect クライアントを使用して接続を確立できます。
はじめに
Sophos Connect クライアントを使用すると、トンネルの自動接続など、高度なセキュリティやきめ細かな設定を適用できます。
あらかじめ以下を実行しておく必要があります。
- ローカルサブネットの IP ホストを設定します。
- ユーザーとグループを設定します。または、認証サーバーを設定します。
- 認証手段を確認します。
Sophos Connect クライアントを使ってリモートアクセス SSL VPN 接続を設定、確立するには、以下の手順に従います。
- SSL VPN の設定を指定します。
- 設定ファイルをユーザーに送信します。
- ファイアウォールルールを追加する。
- Sophos Connect クライアントをユーザーに送信します。または、ユーザーがユーザポータルからダウンロードすることもできます。
ユーザーは、次の手順に従う必要があります。
- Sophos Connect クライアントをエンドポイントデバイスにインストールします。
- クライアントに設定ファイルをインポートし、接続を確立します。
Sophos Connect クライアントを使用できないエンドポイントデバイスもあります。詳細は、Sophos Connect クライアントの互換性を参照してください。
ローカルサブネットの IP ホストを作成する
ローカルサブネットは、リモートクライアントがアクセスできるネットワークリソースを規定します。
- 「ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
-
ローカルサブネットの名前とネットワークを入力します。
-
「保存」をクリックします。
ユーザーグループを作成し、ユーザーを追加する
リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。この例では、グループ内のユーザーに、無制限のアクセスを許可します。
- 「認証 > グループ」に移動し、「追加」をクリックします。
-
設定を指定します。
名前 説明 名前 リモート SSL VPN グループ ネット閲覧クォータ インターネットアクセスを制限しない アクセス時間 常に許可 -
「保存」をクリックします。
- 「認証 > ユーザー」に移動し、「追加」をクリックします。
-
設定を指定します。
名前 説明 ユーザー名 john.smith 名前 John Smith グループ リモート SSL VPN グループ -
「保存」をクリックします。
認証サービスの確認
この例では、ファイアウォールおよび SSL VPN の認証方式をローカル認証に設定します。そうすると、Sophos Firewall が認証サーバーとして動作するようになります。
- 「認証 > サービス」に移動します。
-
「ファイアウォール認証手段」で、認証サーバーが「ローカル」に設定されていることを確認します。
または、「認証 > サーバー」で設定した Active Directory サーバーなど、認証サーバーを選択することもできます。 -
「SSL VPN 認証方法」へスクロールします。
-
認証サーバーが「ローカル」に設定されていることを確認します。
SSL VPN クライアントのサブネットを指定する
SSL VPN クライアントが Sophos Firewall に接続すると、ここで指定したサブネットから IP アドレスが割り当てられます。プライベートアドレスを指定してください。
-
「リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。
-
リモートユーザーにリースするプライベート IP アドレスおよびサブネットを指定します。
-
「適用」をクリックします。
SSL VPN リモートアクセスポリシーの追加
「リモート SSL VPN グループ」内のユーザーに接続を許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。
- 「リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
-
名前を入力し、ポリシーメンバーと、許可するネットワークリソースを指定します。
-
「適用」をクリックします。
ファイアウォールルールの追加
- 「ルールとポリシー > ファイアウォールルール」に移動します。
- 「IPv4」または「IPv6」を選択します。
- 「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
- ルール名を入力します。
- 「送信元ゾーン」で「VPN」を選択します。
- 「送信元ネットワークとデバイス」で「##ALL_SSLVPN_RW」または「##ALL_SSLVPN_RW6」を選択します。
これらのホストには、接続を確立したリモートユーザーにリースされた IP アドレスが含まれています。 - 「宛先ゾーン」で、リモートアクセスを許可するリソースのゾーンを選択します。
- 「宛先ネットワーク」で、許可するネットワークリソース用に作成した IP ホストを選択します。
-
「保存」をクリックします。
次に例を示します。
デバイスアクセス設定の確認
リモートユーザーが属するゾーンから一部のサービスへのアクセスを許可する必要があります。
- 「管理 > デバイスのアクセス」の順に選択します。
- 「SSL VPN」の「WAN」を選択します。
これにより、リモートユーザーが SSL VPN 接続を確立できます。 - 「ユーザーポータル」で以下を選択します。
- 「WAN」と「Wi‑Fi」: ユーザーが、WAN および 内部の Wi‑Fi ゾーンからユーザーポータルにアクセスできるようになります。ユーザーは、ユーザーポータルにアクセスして、VPN クライアントおよび設定ファイルをダウンロードできます。
ただし、WAN アクセスを許可することは、セキュリティ上のリスクにつながります。 - VPN: ユーザーは、VPN 接続を確立した後、VPN からユーザーポータルにアクセスできるようになります。VPN からアクセスできるようになったら、WAN からユーザーポータルへのアクセスをオフにしてください。
- 「WAN」と「Wi‑Fi」: ユーザーが、WAN および 内部の Wi‑Fi ゾーンからユーザーポータルにアクセスできるようになります。ユーザーは、ユーザーポータルにアクセスして、VPN クライアントおよび設定ファイルをダウンロードできます。
- 任意: 「Ping/Ping6」の「VPN」を選択します。
ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。 - 任意: 「DNS」の「VPN」を選択します。
VPN の設定で、ファイアウォールで DNS 解決を 行うように指定した場合は、ユーザーが VPN からドメイン名を解決できるようにします。 -
「適用」をクリックします。
エンドポイントに Sophos Connect クライアントをインストールして設定する
リモートアクセス SSL VPN 接続を確立するには、Sophos Connect クライアントをエンドポイントデバイスにインストールし、クライアントに .ovpn
ファイルをインポートする必要があります。
Sophos Connect クライアントのインストーラは、Sophos Firewall の Web 管理コンソールからダウンロードして、ユーザーに共有できます。または、ユーザーがユーザーポータルから Sophos Connect クライアントをダウンロードすることもできます。
ここでは、ユーザーがユーザポータルからクライアントをダウンロードする方法を示します。ユーザーは、次の手順に従う必要があります。
-
ユーザポータルにサインインし、「VPN」に移動します。「Sophos Connect クライアント (IPsec と SSL VPN)」で、「Windows 向けのダウンロード」をクリックします。
-
「その他の OS 向け設定のダウンロード」をクリックして、設定ファイル
.ovpn
をダウンロードします。 -
Sophos Connect クライアントを実行します。
エンドポイントデバイスのシステムトレイに、Sophos Connect クライアントが表示されます。 -
右上の 3つのドットボタンをクリックし、「接続のインポート」をクリックして、ダウンロードした
.ovpn
ファイルを選択します。 -
ユーザポータルの認証情報を使ってサインインします。