コンテンツにスキップ

リモートアクセス SSL VPN を分割トンネルとして設定する

リモートアクセス SSL VPN 接続を分割トンネルモードで設定できます。許可されたネットワークリソースへのトラフィックだけが、ファイアウォールを通過します。

ユーザーは Sophos Connect クライアントを使用して接続を確立できます。

概要

Sophos Connect クライアントを使用すると、トンネルの自動接続など、高度なセキュリティやきめ細かな設定を適用できます。

あらかじめ以下を実行しておく必要があります。

  • ローカルサブネットの IP ホストを設定します。
  • ユーザーとグループを設定します。または、認証サーバーを設定します。
  • 認証手段を確認します。

Sophos Connect クライアントを使ってリモートアクセス SSL VPN 接続を設定、確立するには、以下の手順に従います。

  • SSL VPN の設定を指定します。
  • 設定ファイルをユーザーに送信します。
  • ファイアウォールルールを追加する。
  • Sophos Connect クライアントをユーザーに送信します。または、ユーザーが VPN ポータルからダウンロードすることもできます。

制限事項

現在、Sophos Connect クライアントは、macOS の SSL VPN には対応していません。また、モバイルプラットフォームの IPsec および SSL VPN にも対応していません。これらのエンドポイントでは、OpenVPN Connect クライアントを使用できます。詳細は、Sophos Connect クライアント: プラットフォームとの互換性を参照してください。

ユーザーは、次の手順に従う必要があります。

  • Sophos Connect クライアントをエンドポイントデバイスにインストールします。
  • クライアントに設定ファイルをインポートし、接続を確立します。

ローカルサブネットの IP ホストを作成する

ローカルサブネットは、リモートクライアントがアクセスできるネットワークリソースを規定します。

  1. ホストとサービス > IP ホスト」に移動し、「追加」をクリックします。
  2. ローカルサブネットの名前とネットワークを入力します。

    ローカルサブネットの IP ホスト。

  3. 保存」をクリックします。

ユーザーグループを作成し、ユーザーを追加する

リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。この例では、グループ内のユーザーに、無制限のアクセスを許可します。

  1. 認証 > グループ」に移動し、「追加」をクリックします。
  2. 設定を指定します。

    名前 説明
    名前 リモート SSL VPN グループ
    ネット閲覧クォータ インターネットアクセスを制限しない
    アクセス時間 常に許可
  3. 保存」をクリックします。

  4. 認証 > ユーザー」に移動し、「追加」をクリックします。
  5. 設定を指定します。

    名前 説明
    ユーザー名 john.smith
    名前 John Smith
    グループ リモート SSL VPN グループ
  6. 保存」をクリックします。

認証サービスの確認

この例では、ファイアウォールおよび SSL VPN の認証方式をローカル認証に設定します。そうすると、Sophos Firewall が認証サーバーとして動作するようになります。

  1. 認証 > サービス」に移動します。
  2. VPN ポータルの認証方法」で、次の手順を実行します。

    1. ファイアウォールと同じ認証方法を設定する」をオフにします。
    2. 選択済みの認証サーバー」が「ローカル」に設定されていることを確認します。

    VPN ポータルの認証方法で、認証サーバーがローカルに設定されています。

  3. SSL VPN 認証方法」へスクロールします。

  4. 認証サーバーが「ローカル」に設定されていることを確認します。

    SSL VPN 認証方法で、認証サーバーがローカルに設定されています。

または、「認証 > サーバー」で設定した Active Directory サーバーなど、認証サーバーを選択することもできます。

SSL VPN クライアントのサブネットを指定する

SSL VPN クライアントが Sophos Firewall に接続すると、ここで指定したサブネットから IP アドレスが割り当てられます。プライベートアドレスを指定してください。

  1. リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。

    VPN 設定。

  2. リモートユーザーにリースするプライベート IP アドレスおよびサブネットを指定します。

    IPv4 リース範囲。

  3. 適用」をクリックします。

SSL VPN リモートアクセスポリシーの追加

「リモート SSL VPN グループ」内のユーザーに接続を許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。

  1. リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
  2. 名前を入力します。
  3. ポリシーメンバーを選択します。
  4. メンバーにアクセスを許可するネットワークリソースを選択します。

    ポリシーメンバーと、許可するネットワークリソースを指定します。

  5. 適用」をクリックします。

ファイアウォールルールの追加

  1. ルールとポリシー > ファイアウォールルール」に移動します。
  2. IPv4」または「IPv6」を選択します。
  3. ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
  4. ルール名を入力します。
  5. 送信元ゾーン」で「VPN」を選択します。
  6. 送信元ネットワークとデバイス」で「##ALL_SSLVPN_RW」または「##ALL_SSLVPN_RW6」を選択します。

    これらのホストには、接続を確立したリモートユーザーにリースされた IP アドレスが含まれます。

  7. 宛先ゾーン」で、リモートアクセスを許可するリソースのゾーンを選択します。

  8. 宛先ネットワーク」で、許可するネットワークリソース用に作成した IP ホストを選択します。
  9. 保存」をクリックします。

    次に例を示します。

    ファイアウォールルールの一致条件。

デバイスアクセス設定の確認

リモートユーザーが属するゾーンから一部のサービスへのアクセスを許可する必要があります。

  1. 管理 > デバイスのアクセス」の順に選択します。
  2. SSL VPN」で「WAN」を選択して、リモートユーザーが SSL VPN 接続を確立できるようにします。

  3. VPN ポータル」で、「WAN」、「Wi‑Fi」、「VPN」を選択します。

    ユーザーは、これらのゾーンから VPN ポータルにアクセスして、VPN クライアントおよび設定ファイルをダウンロードできます。

  4. 任意: 「Ping/Ping6」の「VPN」を選択します。

    ユーザーは VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。

  5. 任意: 「DNS」の「VPN」を選択します。

    VPN の設定で、ファイアウォールで DNS 解決を行うように指定した場合は、ユーザーが VPN からドメイン名を解決できます。

  6. 適用」をクリックします。

    ゾーンからの SSL VPN および VPN ポータルへのアクセスをオンにします。

エンドポイントに Sophos Connect クライアントをインストールして設定する

リモートアクセス SSL VPN 接続を確立するには、Sophos Connect クライアントをエンドポイントデバイスにインストールし、クライアントに .ovpn ファイルをインポートする必要があります。

Sophos Connect クライアントのインストーラは、Sophos Firewall の Web 管理コンソールからダウンロードして、ユーザーに共有できます。または、ユーザーが次の手順に従って、VPN ポータルからクライアントをダウンロードすることもできます。

  1. VPN ポータルにサインインします。
  2. VPN」をクリックします。
  3. Sophos Connect クライアント」で、「Windows 向けのダウンロード」をクリックします。

    Sophos Connect クライアントがサポートするエンドポイントプラットフォームについては、Sophos Connect クライアント: プラットフォームとの互換性を参照してください。

    Sophos Connect クライアントの Windows インストーラ。

  4. Windows、macOS、Linux 向け設定のダウンロード」をクリックして、設定ファイル .ovpn をダウンロードします。

    SSL VPN 設定をダウンロードする。

  5. ダウンロードした Sophos Connect クライアントをクリックします。

    エンドポイントデバイスのシステムトレイに、Sophos Connect クライアントが表示されます。

  6. 右上の 3つのドットボタンをクリックし、「接続のインポート」をクリックして、ダウンロードした .ovpn ファイルを選択します。

    接続のインポート。

  7. VPN ポータルの認証情報を使ってサインインします。

    Sophos Connect クライアントにサインインします。