コンテンツにスキップ

Sophos Connect クライアントを使ってリモートアクセス SSL VPN を設定する方法

リモートアクセス SSL VPN 接続を設定できます。ユーザーは Sophos Connect クライアントを使用して接続を確立できます。

はじめに

Sophos Connect クライアントを使用すると、トンネルの自動接続など、高度なセキュリティやきめ細かな設定を適用できます。

あらかじめ以下を実行しておく必要があります。

  • ローカルサブネットの IP ホストを設定します。
  • ユーザーとグループを設定します。または、認証サーバーを設定します。
  • 認証手段を確認します。

Sophos Connect クライアントを使ってリモートアクセス SSL VPN 接続を設定、確立するには、以下の手順に従います。

  • SSL VPN の設定を指定します。
  • 設定ファイルをユーザーに送信します。
  • ファイアウォールルールを追加する。
  • Sophos Connect クライアントをユーザーに送信します。または、ユーザーがユーザポータルからダウンロードすることもできます。

ユーザーは、次の手順に従う必要があります。

  • Sophos Connect クライアントをエンドポイントデバイスにインストールします。
  • クライアントに設定ファイルをインポートし、接続を確立します。

Sophos Connect クライアントを使用できないエンドポイントデバイスもあります。詳細は、Sophos Connect クライアントの互換性を参照してください。

ローカルサブネットの IP ホストを作成する

ローカルサブネットは、リモートクライアントがアクセスできるネットワークリソースを規定します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. ローカルサブネットの名前とネットワークを入力します。

    ローカルサブネットの IP ホスト

  3. 保存」をクリックします。

ユーザーグループを作成し、ユーザーを追加する

リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。この例では、グループ内のユーザーに、無制限のアクセスを許可します。

  1. 認証 > グループ」に移動し、「追加」をクリックします。
  2. 設定を指定します。

    名前 説明
    名前 リモート SSL VPN グループ
    ネット閲覧クォータ インターネットアクセスを制限しない
    アクセス時間 常に許可
  3. 保存」をクリックします。

  4. 認証 > ユーザー」に移動し、「追加」をクリックします。
  5. 設定を指定します。

    名前 説明
    ユーザー名 john.smith
    名前 John Smith
    グループ リモート SSL VPN グループ
  6. 保存」をクリックします。

認証サービスの確認

この例では、ファイアウォールおよび SSL VPN の認証方式をローカル認証に設定します。そうすると、Sophos Firewall が認証サーバーとして動作するようになります。

  1. 認証 > サービス」に移動します。
  2. ファイアウォール認証手段」で、認証サーバーが「ローカル」に設定されていることを確認します。
    または、「認証 > サーバー」で設定した Active Directory サーバーなど、認証サーバーを選択することもできます。

    ファイアウォール認証方法で、認証サーバーがローカルに設定されています

  3. SSL VPN 認証方法」へスクロールします。

  4. 認証サーバーが「ローカル」に設定されていることを確認します。

    SSL VPN 認証方法で、認証サーバーがローカルに設定されています

SSL VPN クライアントのサブネットを指定する

SSL VPN クライアントが Sophos Firewall に接続すると、ここで指定したサブネットから IP アドレスが割り当てられます。プライベートアドレスを指定してください。

  1. リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。

    VPN 設定

  2. リモートユーザーにリースするプライベート IP アドレスおよびサブネットを指定します。

    IPv4 リース範囲

  3. 適用」をクリックします。

SSL VPN リモートアクセスポリシーの追加

「リモート SSL VPN グループ」内のユーザーに接続を許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。

  1. リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
  2. 名前を入力し、ポリシーメンバーと、許可するネットワークリソースを指定します。

    ポリシーメンバーと、許可するネットワークリソースを指定します

  3. 適用」をクリックします。

ファイアウォールルールの追加

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」または「IPv6」を選択します。
  3. ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
  4. ルール名を入力します。
  5. 送信元ゾーン」で「VPN」を選択します。
  6. 送信元ネットワークとデバイス」で「##ALL_SSLVPN_RW」または「##ALL_SSLVPN_RW6」を選択します。
    これらのホストには、接続を確立したリモートユーザーにリースされた IP アドレスが含まれています。
  7. 宛先ゾーン」で、リモートアクセスを許可するリソースのゾーンを選択します。
  8. 宛先ネットワーク」で、許可するネットワークリソース用に作成した IP ホストを選択します。
  9. 保存」をクリックします。

    次に例を示します。

    ファイアウォールルールの一致条件

デバイスアクセス設定の確認

リモートユーザーが属するゾーンから一部のサービスへのアクセスを許可する必要があります。

  1. 管理 > デバイスのアクセス」の順に選択します。
  2. SSL VPN」の「WAN」を選択します。
    これにより、リモートユーザーが SSL VPN 接続を確立できます。
  3. ユーザーポータル」で以下を選択します。
    1. WAN」と「Wi‑Fi」: ユーザーが、WAN および 内部の Wi‑Fi ゾーンからユーザーポータルにアクセスできるようになります。ユーザーは、ユーザーポータルにアクセスして、VPN クライアントおよび設定ファイルをダウンロードできます。
      ただし、WAN アクセスを許可することは、セキュリティ上のリスクにつながります。
    2. VPN: ユーザーは、VPN 接続を確立した後、VPN からユーザーポータルにアクセスできるようになります。VPN からアクセスできるようになったら、WAN からユーザーポータルへのアクセスをオフにしてください。
  4. 任意: 「Ping/Ping6」の「VPN」を選択します。
    ユーザーが VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
  5. 任意: 「DNS」の「VPN」を選択します。
    VPN の設定で、ファイアウォールで DNS 解決を 行うように指定した場合は、ユーザーが VPN からドメイン名を解決できるようにします。
  6. 適用」をクリックします。

    ゾーンからの SSL VPN およびユーザーポータルへのアクセスをオンにします

エンドポイントに Sophos Connect クライアントをインストールして設定する

リモートアクセス SSL VPN 接続を確立するには、Sophos Connect クライアントをエンドポイントデバイスにインストールし、クライアントに .ovpn ファイルをインポートする必要があります。

Sophos Connect クライアントのインストーラは、Sophos Firewall の Web 管理コンソールからダウンロードして、ユーザーに共有できます。または、ユーザーがユーザーポータルから Sophos Connect クライアントをダウンロードすることもできます。

ここでは、ユーザーがユーザポータルからクライアントをダウンロードする方法を示します。ユーザーは、次の手順に従う必要があります。

  1. ユーザポータルにサインインし、「VPN」に移動します。「Sophos Connect クライアント (IPsec と SSL VPN)」で、「Windows 向けのダウンロード」をクリックします。

    Sophos Connect クライアントのインストーラ

  2. その他の OS 向け設定のダウンロード」をクリックして、設定ファイル .ovpn をダウンロードします。

    その他の OS 向けの SSL VPN 設定ファイルをダウンロードします

  3. Sophos Connect クライアントを実行します。
    エンドポイントデバイスのシステムトレイに、Sophos Connect クライアントが表示されます。

  4. 右上の 3つのドットボタンをクリックし、「接続のインポート」をクリックして、ダウンロードした .ovpn ファイルを選択します。

    接続のインポート

  5. ユーザポータルの認証情報を使ってサインインします。

    Sophos Connect クライアントにサインインします

トップへ