コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-sophos-connect-client-configuration

Sophos Connect クライアントを使って IPsec リモートアクセス VPN を設定する方法

IPsec リモートアクセス接続を設定できます。ユーザーは Sophos Connect クライアントを使用して接続を確立できます。

はじめに

Sophos Connect クライアントを使って IPSec リモートアクセス接続を設定、確立するには、以下の手順に従います。

  • 任意: ローカル署名した証明書の生成。
  • IPsec リモートアクセス接続を設定します。
  • 設定ファイルをユーザーに送信します。
  • 任意: スタティック IP アドレスをユーザーに割り当てる
  • ファイアウォールルールを追加する。
  • サービスへのアクセスを許可します。
  • Sophos Connect クライアントをユーザーに送信します。または、ユーザーが VPN ポータルからダウンロードすることもできます。

ユーザーは、次の手順に従う必要があります。

  • Sophos Connect クライアントをエンドポイントデバイスにインストールします。
  • クライアントに設定ファイルをインポートし、接続を確立します。

IPsec リモートアクセス VPN は LAN ゾーンからの接続をサポートしません。

ローカル署名証明書を設定する

  1. 証明書 >証明書」の順に選択し、「追加」を選択します。

  2. ローカル署名した証明書の生成」を選択します。

    証明書がある場合は、「証明書のアップロード」を選択することもできます。

    ローカル署名証明書を選択します。

  3. 証明書の詳細」を指定します。

    次に例を示します。

    証明書の詳細。

  4. サブジェクト名の属性」を指定します。

    次に例を示します。

    サブジェクト名の属性。

  5. サブジェクト代替名」に DNS 名または IP アドレスを入力し、追加ボタン (+) をクリックします。

    次に例を示します。

    サブジェクト代替名。

リモートアクセス IPsec を設定する

IPsec リモートアクセス接続の設定を指定します。

  1. リモートアクセス VPN > IPsec」に移動し、「有効にする」をクリックします。

  2. 全般設定を指定します。

    名前 設定例
    インターフェース

    203.0.113.1

    WAN ポートを選択します。
    IPsec プロファイル

    DefaultRemoteAccess

    デッドピア検知」 (DPD) がオフまたは「切断」に設定されている場合のみ、IKEv1 プロファイルを選択できます。
    認証タイプ Digital certificate
    ローカル証明書 Appliance certificate
    リモート証明書

    TestCert

    ローカル署名証明書を選択しますまたは、「証明書 > 証明書」にアップロード済みの証明書を選択します。
    ローカル ID

    デジタル証明書のローカル ID が自動的に選択されます。

    使用する証明書の ID が設定されていることを確認します。
    リモート ID 使用する証明書の ID が設定されていることを確認します。
    許可するユーザーとグループ TestGroup

  3. クライアント情報を指定します。

    次に例を示します。

    名前 設定例
    名前 TestRemoteAccessVPN
    IP の割り当て先

    192.168.1.11

    192.168.1.254
    DNS サーバー 1 192.168.1.5

    クライアント情報の設定。

  4. 必要に応じて詳細設定を指定して、「適用」をクリックします。

    名前 設定例
    許可するネットワークリソース (IPv4)

    LAN_10.1.1.0

    DMZ_192.168.2.0
    トンネル経由でセキュリティハートビートを送信する トンネル経由でリモートクライアントのセキュリティハートビートを送信します。
    ユーザー名とパスワードの保存をユーザーに許可する ユーザーに認証情報の保存を許可します。

    次に例を示します。

    詳細設定。

  5. ページの一番下の「接続のエクスポート」をクリックします。

    エクスポートされた tar.gz ファイルには、.scx ファイルと .tgb ファイルが含まれます。

    設定ファイルのエクスポート。

  6. .scx ファイルをユーザーに送信します。

  7. または、クライアントをダウンロードし、ユーザーに送信します。

任意: スタティック IP アドレスをユーザーに割り当てる

Sophos Connect クライアントを使って接続しているユーザーにスタティック IP アドレスを割り当てるには、以下の手順に従います。

  1. 認証 > ユーザー」に移動し、ユーザーを選択します。

  2. ユーザーの設定ページで「IPsec リモートアクセス」に移動し、「有効にする」をクリックして、IP アドレスを入力します。

    次に例を示します。

    Sophos Connect クライアントを使って接続しているユーザーにスタティック IP アドレスを割り当てる。

ファイアウォールルールの追加

この例では、リモートユーザーが VPN から LAN および DMZ にアクセスできるようにするために、これらのゾーン間のトラフィックを許可するファイアウォールルールを設定します。

  1. 名前を入力します。

  2. 送信元ゾーンと宛先ゾーンを以下のように指定して、「適用」をクリックします。

    名前 設定例
    送信元ゾーン VPN
    宛先ゾーン

    LAN

    DMZ

    次に例を示します。

    ファイアウォールルールの送信元ゾーンと宛先ゾーン。

    IPsec (リモートアクセス)」の詳細設定で「デフォルトのゲートウェイとして使用」を選択した場合、Sophos Connect クライアントを使用するリモートユーザーの全トラフィック (インターネットへのトラフィックを含む) がこのトンネルにルーティングされるようになります。インターネットへのトラフィックを許可するには、ファイアウォールルールの「宛先ゾーン」に WAN を追加する必要があります。

サービスへのアクセスを許可する

VPN から VPN ポータルや ping などのサービスへのアクセスを許可する必要があります。

  1. 管理 > デバイスのアクセス」の順に選択します。

  2. VPN ポータル」の以下のチェックボックスをオンにします。

    1. WAN
    2. Wi‑Fi

    これにより、ユーザーが VPN ポータルにサインインして、Sophos Connect クライアントをダウンロードすることができます。WAN からのアクセスは、一時的にのみ許可することを推奨します。

  3. VPN の以下のチェックボックスを選択します。

    1. VPN ポータルリモートユーザーが VPN から VPN ポータルにアクセスできるようにします。
    2. (任意) DNS: ファイアウォールで DNS 解決を行うように設定した場合、リモートユーザーが VPN からドメイン名を解決できるようにします。
    3. 任意: Ping/Ping6: リモートユーザーがファイアウォールへの VPN 接続をチェックできるようにします。

  4. 適用」をクリックします。

    VPN からサービスへのアクセス。

エンドポイントデバイスで Sophos Connect クライアントを設定する

ユーザーは、Sophos Connect クライアントをエンドポイントデバイスにインストールし、クライアントに .scx ファイルをインポートする必要があります。

Sophos Connect クライアントのインストーラは、Sophos Firewall の Web 管理コンソールからダウンロードして、ユーザーに共有できます。

または、ユーザーが次の手順に従って、VPN ポータルから Sophos Connect クライアントをダウンロードすることもできます。

  1. VPN ポータルにサインインします。
  2. VPN」をクリックします。

  3. Sophos Connect クライアント」で、以下のいずれかのオプションをクリックします。

    • Windows 向けのダウンロード
    • macOS 向けのダウンロード

    Sophos Connect クライアントのインストーラ。

  4. ダウンロードした Sophos Connect クライアントをクリックします。

    エンドポイントデバイスのシステムトレイに、Sophos Connect クライアントが表示されます。

  5. 右上の 3つのドットボタンをクリックし、「接続のインポート」をクリックして、管理者から送ってもらった .scx ファイルを選択します。

    接続のインポート。

  6. VPN ポータルの認証情報を使ってサインインします。

    Sophos Connect クライアントにサインインする。

  7. 2要素認証を求められた場合は、検証コードを入力します。

クライアントと Sophos Firewall 間の IPsec リモートアクセス接続が確立されます。