リモートアクセス SSL VPN を分割トンネルとして設定する
リモートアクセス SSL VPN 接続を分割トンネルモードで設定できます。許可されたネットワークリソースへのトラフィックだけが、ファイアウォールを通過します。
ユーザーは Sophos Connect クライアントを使用して接続を確立できます。
概要
Sophos Connect クライアントを使用すると、トンネルの自動接続など、高度なセキュリティやきめ細かな設定を適用できます。
あらかじめ以下を実行しておく必要があります。
- ローカルサブネットの IP ホストを設定します。
- ユーザーとグループを設定します。または、認証サーバーを設定します。
- 認証手段を確認します。
Sophos Connect クライアントを使ってリモートアクセス SSL VPN 接続を設定、確立するには、以下の手順に従います。
- SSL VPN の設定を指定します。
- 設定ファイルをユーザーに送信します。
- ファイアウォールルールを追加する。
- Sophos Connect クライアントをユーザーに送信します。または、ユーザーが VPN ポータルからダウンロードすることもできます。
制限事項
現在、Sophos Connect クライアントは、macOS の SSL VPN には対応していません。また、モバイルプラットフォームの IPsec および SSL VPN にも対応していません。これらのエンドポイントでは、OpenVPN Connect クライアントを使用できます。詳細は、Sophos Connect クライアント: プラットフォームとの互換性を参照してください。
ユーザーは、次の手順に従う必要があります。
- Sophos Connect クライアントをエンドポイントデバイスにインストールします。
- クライアントに設定ファイルをインポートし、接続を確立します。
ローカルサブネットの IP ホストを作成する
ローカルサブネットは、リモートクライアントがアクセスできるネットワークリソースを規定します。
ユーザーグループを作成し、ユーザーを追加する
リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。この例では、グループ内のユーザーに、無制限のアクセスを許可します。
- 「認証 > グループ」に移動し、「追加」をクリックします。
-
設定を指定します。
名前 説明 名前 リモート SSL VPN グループ ネット閲覧クォータ インターネットアクセスを制限しない アクセス時間 常に許可 -
「保存」をクリックします。
- 「認証 > ユーザー」に移動し、「追加」をクリックします。
-
設定を指定します。
名前 説明 ユーザー名 john.smith 名前 John Smith グループ リモート SSL VPN グループ -
「保存」をクリックします。
認証サービスの確認
この例では、ファイアウォールおよび SSL VPN の認証方式をローカル認証に設定します。そうすると、Sophos Firewall が認証サーバーとして動作するようになります。
- 「認証 > サービス」に移動します。
-
「VPN ポータルの認証方法」で、次の手順を実行します。
- 「ファイアウォールと同じ認証方法を設定する」をオフにします。
- 「選択済みの認証サーバー」が「ローカル」に設定されていることを確認します。
-
「SSL VPN 認証方法」へスクロールします。
-
認証サーバーが「ローカル」に設定されていることを確認します。
注
または、「認証 > サーバー」で設定した Active Directory サーバーなど、認証サーバーを選択することもできます。
SSL VPN クライアントのサブネットを指定する
SSL VPN クライアントが Sophos Firewall に接続すると、ここで指定したサブネットから IP アドレスが割り当てられます。プライベートアドレスを指定してください。
-
「リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。
-
リモートユーザーにリースするプライベート IP アドレスおよびサブネットを指定します。
-
「適用」をクリックします。
SSL VPN リモートアクセスポリシーの追加
「リモート SSL VPN グループ」内のユーザーに接続を許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。
- 「リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
- 名前を入力します。
- ポリシーメンバーを選択します。
-
メンバーにアクセスを許可するネットワークリソースを選択します。
-
「適用」をクリックします。
ファイアウォールルールの追加
- 「ルールとポリシー > ファイアウォールルール」に移動します。
- 「IPv4」または「IPv6」を選択します。
- 「ファイアウォールルールの追加 > 新しいファイアウォールルール」をクリックします。
- ルール名を入力します。
- 「送信元ゾーン」で「VPN」を選択します。
-
「送信元ネットワークとデバイス」で「##ALL_SSLVPN_RW」または「##ALL_SSLVPN_RW6」を選択します。
これらのホストには、接続を確立したリモートユーザーにリースされた IP アドレスが含まれます。
-
「宛先ゾーン」で、リモートアクセスを許可するリソースのゾーンを選択します。
- 「宛先ネットワーク」で、許可するネットワークリソース用に作成した IP ホストを選択します。
-
「保存」をクリックします。
次に例を示します。
デバイスアクセス設定の確認
リモートユーザーが属するゾーンから一部のサービスへのアクセスを許可する必要があります。
- 「管理 > デバイスのアクセス」の順に選択します。
-
「SSL VPN」で「WAN」を選択して、リモートユーザーが SSL VPN 接続を確立できるようにします。
-
「VPN ポータル」で、「WAN」、「Wi‑Fi」、「VPN」を選択します。
ユーザーは、これらのゾーンから VPN ポータルにアクセスして、VPN クライアントおよび設定ファイルをダウンロードできます。
-
任意: 「Ping/Ping6」の「VPN」を選択します。
ユーザーは VPN 経由でファイアウォールの IP アドレスに ping を実行し、接続を確認することができます。
-
任意: 「DNS」の「VPN」を選択します。
VPN の設定で、ファイアウォールで DNS 解決を行うように指定した場合は、ユーザーが VPN からドメイン名を解決できます。
-
「適用」をクリックします。
エンドポイントに Sophos Connect クライアントをインストールして設定する
リモートアクセス SSL VPN 接続を確立するには、Sophos Connect クライアントをエンドポイントデバイスにインストールし、クライアントに .ovpn
ファイルをインポートする必要があります。
Sophos Connect クライアントのインストーラは、Sophos Firewall の Web 管理コンソールからダウンロードして、ユーザーに共有できます。または、ユーザーが次の手順に従って、VPN ポータルからクライアントをダウンロードすることもできます。
- VPN ポータルにサインインします。
- 「VPN」をクリックします。
-
「Sophos Connect クライアント」で、「Windows 向けのダウンロード」をクリックします。
注
Sophos Connect クライアントがサポートするエンドポイントプラットフォームについては、Sophos Connect クライアント: プラットフォームとの互換性を参照してください。
-
「Windows、macOS、Linux 向け設定のダウンロード」をクリックして、設定ファイル
.ovpn
をダウンロードします。 -
ダウンロードした Sophos Connect クライアントをクリックします。
エンドポイントデバイスのシステムトレイに、Sophos Connect クライアントが表示されます。
-
右上の 3つのドットボタンをクリックし、「接続のインポート」をクリックして、ダウンロードした
.ovpn
ファイルを選択します。 -
VPN ポータルの認証情報を使ってサインインします。