SSL VPN グローバル設定
リモートアクセス L2TP 接続のグローバル設定を指定できます。
これらの設定は、すべてのリモートアクセス SSL VPN ポリシーに適用されます。ポートとプロトコル、VPN サーバー証明書、リモートクライアントに割り当てる IP アドレス、暗号化、および詳細設定を指定できます。
SSL VPN の設定は、SSL VPN クライアントにインポートされる設定ファイル .ovpn
に含まれます。
設定を指定するには、「リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。
プロトコル: SSL VPN クライアントは、接続の確立に以下のプロトコルを使用できます。
- TCP: メール、Web 閲覧、FTP など、高い信頼性が必要なアプリケーションに適しています。
- UDP: ストリーミングメディア、VoIP、DNS、TFTP など、高速かつ効率的な転送が必要なアプリケーションに適しています。
SSL サーバー証明書: SSL VPN サーバーは、この証明書を使用してクライアントを認証します。
デフォルトの証明書以外の証明書を選択するには、「証明書 > 証明書」に移動し、ローカル署名証明書を設定するか、外部証明書をアップロードします。
ホスト名の上書き (オプション): SSL VPN クライアントが、Sophos Firewall の WAN IP アドレスではなく、ここで入力した IP アドレスまたはホスト名を使用して接続を確立するようになります。
Sophos Firewall がルーターの背後にあり、パブリック IP アドレスがない場合は、ネットワークのパブリック IP アドレスまたはホスト名を入力します。
このフィールドを空白にした場合、SSL VPNクライアントは、「ネットワーク > インターフェース」に表示されている順番でファイアウォールの WAN IP アドレスと接続を確立します。
ポート (オプション): 接続に使用するポート番号を変更します。
制限事項
SSL VPN トラフィックと WAF ルールは、以下のいずれかのオブジェクトについて異なる値をもつ必要があります。WAN IP アドレス、ポート、プロトコル。
SSL VPN トラフィックが WAF ルールと同じ WAN IP アドレスを使用し、かつ、ポートとプロトコルも WAF ルールと同じである場合、そのトラフィックは破棄されます。これは、IPv4 トラフィックにのみあてはまります。
WAF ルールと SSL VPN のデフォルトの HTTPS ポートはそれぞれ、443 と 8443 です。また、WAF トラフィックは常に TCP プロトコルを使用します。
ネットワークに 2つの WAN IP アドレスがある場合、SSL VPN トラフィックで使用できる設定の例を以下に示します。
WAF | オプション 1 (異なる IP アドレスを使用する) SSL VPN | オプション 2 (異なるポートを使用する) SSL VPN | オプション 3 (異なるプロトコルを使用する) SSL VPN | |
---|---|---|---|---|
WAN IP アドレス | 203.0.113.1 | 203.0.113.2 | 203.0.113.1 または 203.0.113.2 | 203.0.113.1 または 203.0.113.2 |
ポート | 443 | 443 | 443 を使用しない | 任意のポート |
プロトコル | TCP | TCP または UDP | TCP または UDP | UDP |
IPv4 アドレスの割り当て: 指定したプライベートアドレスおよびサブネットから、SSL VPN クライアントに IP アドレスをリースします。
IPv6 アドレスの割り当て: 指定したプライベートアドレスおよびプレフィックスから、SSL VPN クライアントに IP アドレスをリースします。
注
バージョン 19.0 への移行後、リモートアクセス SSL VPN 接続のトラフィックがブロックされるようになった場合は、リースされた IP アドレスのカスタムホストをファイアウォールルールで指定していることが原因である可能性があります。
このカスタムホストではなく、##ALL_SSLVPN_RW (および、必要に応じて ##ALL_SSLVPN_RW6) を選択するようにしてください。
リースモード: IPv4 アドレスのみか、IPv4 または IPv6 アドレスをリースするように指定できます。
IPv4 DNS: 以下に使用するプライマリおよびセカンダリ DNS サーバーの IP アドレスを入力します。
- リモートユーザーがアクセスするネットワークリソースのホスト名を解決します。
- Sophos Firewall がリモートアクセス SSL VPN ユーザーのデフォルトゲートウェイとして動作する場合、パブリックホスト名を解決します。
IPv4 WINS (オプション): 社内ネットワーク用のプライマリおよびセカンダリ WINS (Windows Internet Naming Service) サーバーを入力します。
ドメイン名 (オプション): 通知メッセージで使用する Sophos Firewall のホスト名または FQDN。複数のファイアウォールを使用している場合、ファイアウォールを識別できます。
デッドピアの接続を解除するまでの時間: 応答しないクライアントとの接続を切断するまでの時間 (秒)。
アイドルピアの接続を解除するまでの時間: アイドル状態の接続を切断するまでの時間 (秒)。
暗号化の設定
暗号化アルゴリズム: VPN トンネル経由で送信されるデータを暗号化するアルゴリズムを選択します。
認証アルゴリズム: メッセージの認証用アルゴリズムを選択します。
鍵サイズ: 鍵のサイズ (ビット) を選択します。長い鍵の方が安全です。
鍵の有効期間: 鍵の有効期間 (秒) を入力します。
詳細設定
SSL VPN トラフィックの圧縮: 暗号化する前にデータを圧縮します。
デバッグ設定
デバッグモードを有効にする: SSL VPN ログファイルにデバッグ用の詳細情報を追加します。