IPsec と SSL VPN の概要
Sophos Connect クライアントを使用して、リモートアクセス IPsec および SSL VPN 接続を設定できます。
どちらの接続でも、レガシークライアントを使用できます。ただし、Sophos Connect クライアントを使って、高度なセキュリティやきめ細かな設定を適用することをお勧めします。
Sophos Connect クライアントの仕組み
リモートアクセス VPN のポリシーを以下のように設定します。
IPsec: 設定を指定します。IPsec リモートアクセス VPN の設定を参照してください。
SSL VPN: 以下の設定およびポリシーを指定します。
Sophos Connect クライアント: 以下の手順でクライアントをダウンロードできます。
- 管理: 「リモートアクセス VPN > IPsec」に移動し、「クライアントのダウンロード」をクリックします。
- 認証するユーザー数: ユーザーポータルの「VPN > Sophos Connect クライアント (IPsec と SSL VPN)」からダウンロードできます。
プロビジョニングファイル: プロビジョニングファイルによって、リモートアクセス IPsec の設定ファイル (.scx
) および SSL VPN の設定ファイル (.ovpn
) が Sophos Connect クライアントにインポートされます。後で設定に変更を加えた場合は、その変更点も自動的にインポートされます。プロビジョニングファイルをテキストエディタで編集し、.pro
という拡張子で保存します。このファイルを、ユーザーに共有してださい。
ユーザーがプロビジョニングファイルをダブルクリックすると、そのユーザーに対応する .ovpn
ファイルが自動的にインポートされます。詳細は、プロビジョニングファイルの設定を参照してください。
環境設定ファイル: IPsec リモートアクセスおよび SSL VPN リモートアクセスの設定およびポリシーを指定すると、自動的に設定ファイルが作成されます。プロビジョニングファイルを使用する場合、ユーザーは SSL VPN 設定ファイルを手動でインポートする必要はありません。
-
リモートアクセス IPsec: 「リモートアクセス VPN > IPsec」に移動し、「接続のエクスポート」をクリックしてファイルをダウンロードします。以下のいずれかの設定ファイルを手動でユーザーに共有する必要があります。
-
.scx
ファイル: このファイルは、Sophos Connect クライアントでのみ使用できます。このファイルには、詳細設定などの全設定が含まれます。設定はすべて、Web 管理コンソールで行います。このファイルを使用することを推奨します。詳細設定に変更を加えた場合は、変更後の
.scx
ファイルをユーザーに送信して Sophos Connect クライアントにインポートしてもらう必要があります。 -
.tgb
ファイル: このファイルは、サードパーティのクライアントおよび Sophos Connect クライアントで使用できます。Sophos Firewall の Web 管理コンソールで詳細設定を指定した場合は、このファイルを使用しないでください。
-
-
リモートアクセス SSL VPN: 設定ファイル
.ovpn
を使用します。ユーザーは、ユーザーポータルの「VPN > SSL VPN クライアント」からこのファイルをダウンロードできます。
Sophos Connect Admin: このアプリケーションは、IPsec リモートアクセスのページで「クライアントのダウンロード」をクリックしたときにダウンロードされるパッケージ (scadmin(legacy).msi
) の一部です。このアプリケーションを使用して .ovpn
ファイルを編集することはできません。
以前に Sophos Connect Admin を使って設定した IPsec リモートアクセスの設定を引き続き使用可能です。ただし、ファイアウォールに設定したデフォルトのゲートウェイと、許可したネットワークの設定のみが反映されます。
注
Sophos Connect Admin ではなく、「リモートアクセス VPN > IPsec」の詳細設定を使用することを推奨します。
ユーザーポータル: ユーザーがダウンロードできる VPN クライアントおよび設定について詳しくは、ユーザーポータルの VPN クライアントおよび設定ファイルを参照してください。
Sophos Firewall と Sophos Connect Admin の比較
Sophos Firewall の Web 管理コンソールの詳細設定の項目は、バージョン 18.0 MR3 以前の Sophos Connect Admin の設定項目と同じです。
Web 管理コンソールの「リモートアクセス VPN > IPsec」で詳細設定に変更を加えた場合は、変更後の設定ファイル .scx
をユーザーに送信し、Sophos Connect クライアントにインポートしてもらってください。
Web 管理コンソールでデフォルトの詳細設定を変更しなかった場合は、Sophos Connect Admin を使って編集した既存の設定ファイルを引き続き使用できます。または、既存の設定ファイルと同じ内容を、Web 管理コンソールの詳細設定で指定してください。
注
「リモートアクセスVPN > IPsec」で「デフォルトのゲートウェイとして使用」を指定すると、「許可するユーザーとグループ」のすべてに適用されます。一部のユーザーに対してのみ、このオプションをオンにするには、リモートアクセス SSL VPN を使用してください。
IPsec でこのオプションをオンにすると、許可されているユーザーおよびグループからのすべてのトラフィック (外部のインターネットリクエストを含む) が Sophos Firewall にルーティングされます。オフにすると、ネットワーク内で許可されているリソースに対するアクセス以外のトラフィックは直接インターネットに送信されます。
注
「デフォルトのゲートウェイとして使用」のオン/オフの設定にかかわらず、ファイアウォールで許可されているネットワークを変更するとそのネットワークのみが許可されるようになります。設定ファイルに含まれるその他のすべてのネットワークはブロックされます。
クライアント、設定ファイル、プロビジョニングファイル
リモートアクセス VPN の種類 | クライアント | プロビジョニングファイルおよび設定ファイル |
---|---|---|
IPsec | Sophos Connect クライアント ユーザーがユーザーポータルからクライアントをダウンロードします。 | 以下のいずれかのファイルをユーザーに共有できます。.pro (推奨): プロビジョニングファイルをユーザーに共有します。プロビジョニングファイルによって、設定ファイルがクライアントに自動的にインポートされます。リモートアクセス IPsec VPN でプロビジョニングファイルを使用できます。ただし、ユーザーが Sophos Connect クライアント 2.1 以降をインストールする必要があります。 .scx : 高度なセキュリティ設定を行うには、.tgb ファイルではなく、この設定ファイルを使用してください。 .tgb |
IPsec | サードパーティ製クライアント | .tgb |
IPsec (レガシー) | サードパーティ製クライアント | .tgb : ファイルをユーザーに共有します。 |
SSL VPN | 以下のいずれかの方法を使用できます。.pro (推奨): プロビジョニングファイルをユーザーに共有します。クライアントに .ovpn ファイルをインポートします。 .ovpn : ユーザーは、ユーザーポータルからこのファイルをダウンロードします。 | |
SSL VPN | SSL VPN クライアント (レガシークライアント) ユーザーは、ユーザーポータルからクライアントをダウンロードします。 | .ovpn : ユーザーは、ユーザーポータルからこのファイルをダウンロードします。 |
SSL VPN | macOS およびモバイルプラットフォームでは、OpenVPN Connect クライアントを使用することをお勧めします。 | .ovpn : ユーザーは、ユーザーポータルからこのファイルをダウンロードします。 |
その他のリソース