コンテンツにスキップ

リモートアクセス SSL VPN の概要

リモートユーザーは、リモートアクセス SSL VPN 接続を使用して、インターネット経由でネットワークに安全に接続できます。

ユーザーは、IPv4 または IPv6 SSL VPN 接続を確立できます。これらの接続には、OpenVPN を使用します。リモートアクセスには、デジタル証明書、ユーザー名、パスワードが必要です。

  • リモートアクセス VPN > SSL VPN」に移動します。
  • SSL VPN グローバル設定」をクリックして、リモートアクセス SSL VPN ポリシーの全設定を指定します。SSL VPN グローバル設定を参照してください。
  • ログ」をクリックして、ログを参照できます。
  • クライアントのダウンロード」をクリックして Sophos Connect クライアントをダウンロードし、ユーザーに共有します。
  • 追加」をクリックして、SSL VPN リモートアクセスポリシーを追加します。
  • アシスタント」をクリックして、SSL VPN リモートアクセスアシスタントを起動します。

または、ユーザーがユーザポータルから以下のいずれかのクライアントをダウンロードすることもできます。

  • Sophos Connect クライアント: このクライアントを使用して、高度なセキュリティや詳細設定を適用することをお勧めします。
  • ユーザーポータルにあるレガシー SSL VPN クライアントソフトウェアバンドル: このバンドルには、SSL VPN クライアント、SSL 証明書、設定ファイルが含まれます。

Sophos Connect クライアントを使用できないエンドポイントデバイスもあります。詳細は、Sophos Connect クライアントの互換性を参照してください。

リモートアクセス SSL VPN 接続を設定する

Sophos Connect クライアントを使って、社内ネットワークへの SSL リモートアクセス接続を許可するには、以下の手順に従います。

  1. リモートアクセス VPN > SSL VPN」に移動します。
  2. SSL VPN グローバル設定」をクリックして設定を指定し、「適用」をクリックします。
  3. SSL VPN」に移動し、事前設定済みのユーザとグループを追加します。これにより .ovpn が作成され、許可されたユーザーのユーザーポータルに表示されるようになります。
  4. LAN ゾーンと VPN ゾーン間のトラフィックを許可するファイアウォールルールを追加します。このルールによって、Sophos Connect クライアントが設定済みの LAN ネットワークにアクセスできるようになります。
  5. 任意: プロビジョニングファイルを設定し、ユーザーに共有します。プロビジョニングファイルは、クライアントに .ovpn をインポートします。

リモートユーザー

ユーザーは、ユーザーポータルから Sophos Connect クライアントをダウンロードできます。

管理者からプロビジョニングファイル (.pro) を受け取っている場合、ユーザーはこのファイルをダブルクリックして、クライアントに設定ファイルを自動的にインポートできます。または、ユーザーがユーザーポータルから設定ファイル .ovpn をダウンロードして、Sophos Connect クライアントにインポートすることもできます。

この手順が完了すると、Sophos Connect クライアントが接続を確立します。

19.0 への移行: トラブルシューティング

バージョン 19.0 への移行後、リモートアクセス SSL VPN 接続のトラフィックがブロックされるようになった場合は、リースされた IP アドレスのカスタムホストをファイアウォールルールで指定していることが原因である可能性があります。

バージョン 19.0 以降では、リモートアクセス SSL VPN ユーザーに IP アドレスをリースするために IP 範囲を指定する必要はありません。「SSL VPN グローバル設定」でサブネットを指定するだけで済みます。

次に例を示します。

リモートアクセス SSL VPN ユーザーに IP アドレスを割り当てるためのサブネット

19.0 に移行すると、以前のバージョンで設定済みの IP 範囲とサブネットマスクが、サブネット値に変換されます。

Sophos Firewall では、リモートユーザーの接続確立時に、ユーザーにリースされた IP アドレスがシステムホスト ##ALL_SSLVPN_RW および ##ALL_SSLVPN_RW6 に動的に追加される仕組みになっています。したがって、これらのシステムホストへの変換が自動的に適用されます。

一方、ファイアウォールルールにこれらのシステムホストではなく、リース範囲のカスタム IP ホストを指定していると、そのホストのリース範囲が移行後のサブネットと一致しない可能性があります。それが原因となって、移行後のリモートアクセス SSL VPN 接続でトラフィックがブロックされることがあります。

ファイアウォールルールで、リース範囲のカスタム IP ホストではなく、システムホスト ##ALL_SSLVPN_RW (および、必要に応じて ##ALL_SSLVPN_RW6) を選択するようにしてください。Sophos Connect クライアントを使ってリモートアクセス SSL VPN を設定する方法を参照してください。

その他のリソース