コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=remote-access-VPN-IPsec-settings

リモートアクセス IPsec の設定

リモートアクセス IPsec VPN の設定を指定できます。その後、接続をエクスポートし、設定ファイルをユーザーに共有できます。

全般設定または詳細設定を変更した場合は、変更点を反映させるために、設定ファイルをユーザーに再度共有する必要があります。.tgb ファイルには全般設定のみが、.scx ファイルには全般設定と詳細設定の両方が含まれます。

  1. リモートアクセス VPN > IPsec」に移動します。
  2. 以下のように設定します。

全般設定

名前 説明
IPsec リモートアクセス 有効にする」をクリックして、有効にします。
インターフェース トンネルのエンドポイントとして動作する WAN ポートを選択します。
IPsec プロファイル

プロファイルを選択して、フェーズ 1 およびフェーズ 2 の IKE (Internet Key Exchange) のパラメータを適用します。

デッドピア検知」 (DPD) がオフまたは「切断」に設定されている場合のみ、IKEv1 プロファイルを選択できます。
認証タイプ 接続に使用する認証です。

事前共有鍵: 事前共有鍵を使用する場合は、設定ファイルに追加されます。ユーザーに事前共有鍵を知らせる必要はありません。

デジタル証明書: ローカル署名証明書か、認証機関によって発行された証明書を使用できます。
証明書に ID があることを確認してください。
リモート証明書 デジタル証明書を選択した場合は、リモート証明書をアップロードするか、「証明書 > 証明書」で設定したローカル署名証明書を選択します。
外部証明書」は選択しないでください。
ローカル ID

クライアントが正しい Sophos Firewall に接続するように、ローカル ID を設定することをお勧めします。

ローカル ID は、トンネルのファイアウォール側を識別するためにのみ使用されます。したがって、DNS、IP アドレス、メールアドレスには任意の値を入力できます。

次のオプションを選択します。

  • DNS: 任意のホスト名または FQDN を入力します。
  • IP アドレス: 任意の IP アドレスを入力します。例: 1.1.1.1
  • メール: 任意のメールアドレスを入力します。
  • DER ASN1 DN [X509]: デジタル証明書の場合にのみ、証明書の識別名が自動的に選択されます。
リモート ID

リモートクライアントを識別するために、リモート ID を設定することを推奨します。ローカル ID と同じにすることはできません。

リモート ID は、トンネルのリモート側を識別するためだけに使用されます。したがって、DNS、IP アドレス、メールアドレスには任意の値を入力できます。

次のオプションを選択します。

  • DNS: 任意のホスト名または FQDN を入力します。
  • IP アドレス: 任意の IP アドレスを入力します。例: 2.2.2.2
  • メール: 任意のメールアドレスを入力します。
  • DER ASN1 DN [X509]: デジタル証明書の場合にのみ、証明書の識別名が自動的に選択されます。
許可するユーザーとグループ

リモートアクセス IPsec トンネル経由で接続できる、事前設定済みのユーザーとグループを追加します。

ゲストユーザーは、リモートアクセス IPsec および SSL VPN にアクセスできません。そのため、ゲストユーザーとゲストグループを追加することはできません。

クライアント情報

名前 説明
名前 接続の名前を入力します。
IP の割り当て先 クライアントにリースするプライベート IP アドレスを入力します。範囲は少なくとも /24 サブネットに属する必要があります。また、他の場所で使用されている範囲は指定しないでください。
RADIUS サーバーから L2TP、PPTP、IPsec リモートアクセスに IP アドレスをリースすることを許可する RADIUS 認証を使用している場合に、RADIUS サーバーからリースされた IP アドレスを使用するには、このオプションを選択します。RADIUS サーバーからアドレスが提供されない場合は、そのユーザー用に設定されたスタティックアドレスが割り当てられるか、指定範囲内のアドレスがリースされます。

DNS サーバー 1

DNS サーバー 2

 接続用のプライマリ DNS サーバーおよびセカンダリ DNS サーバー。

アイドル時間

名前 説明
トンネルがアイドル状態の時に切断 クライアントがアイドル状態のまま指定時間が経過したら、セッションから切断します。
アイドルセッション時間の間隔 アイドル状態のクライアントを切断するまでの時間 (秒)。

アイドル状態のクライアントの切断後、ユーザーが再接続を試行すると、Sophos Connect クライアントはバックグラウンドでセッションを再開します。それでも接続できない場合は、ユーザーがクライアントで「切断」をクリックしてから「接続」をクリックし、セッションを再開する必要があります。

詳細設定

Sophos Connect クライアント用の詳細設定は、.scx ファイルにのみ追加されます。.tgb ファイルには、詳細設定が含まれません。.tgb ファイルは、サードパーティ製クライアントで使用できます。

名前 説明
デフォルトのゲートウェイとして使用

IPsec リモートアクセス用に指定したインターフェースに、外部へのインターネットリクエストを含むすべてのトラフィックを送信するには、このオプションをオンにします。Sophos Connect クライアントを使用するユーザーが Sophos Firewall 経由でインターネットリクエストを送信することを許可する場合は、ファイアウォールルールで送信元ゾーンを VPN に、宛先ゾーンを WAN に設定する必要があります。

このオプションをオフにすると、ネットワーク内で許可されているリソースへのアクセスのみが許可されます。そのネットワーク外へのトラフィックは、インターネットに送信されます。

この設定は、「全般設定」の「許可するユーザーとグループ」で指定したすべてのユーザーとグループに適用されます。一部のユーザーに対してのみ、このオプションをオンにするには、SSL VPN (リモートアクセス) を使用してください。
許可するネットワークリソース (IPv4) アクセスを許可するリソースを選択します。
トンネル経由でセキュリティハートビートを送信する ユーザーのエンドポイントデバイスに Sophos Endpoint Protection クライアントがインストールされている場合、Sophos Firewall にトンネル経由でハートビートを送信します。
ユーザー名とパスワードの保存をユーザーに許可する

ユーザーがデバイスに認証情報を保存することを許可します。ユーザーの認証情報は、鍵チェーンサービスを使用して安全に保管されます。

トンネルを自動接続する」を選択した場合は、このオプションをオンにすることを推奨します。
ユーザーに 2FA トークンの入力を求める

Sophos Connect クライアントに、ユーザーが OTP を入力するフィールドを追加します。オフになっている場合、ユーザーはパスワードフィールドに次の形式で OTP を入力する必要があります: passwordotp

現時点では、上記のどちらの場合でも、passwordotp の形式で認証サーバーに送信されます。そのため、リモートアクセス VPN はチャレンジベースの MFA をサポートしていません。

この入力フィールドを使用する場合、「認証 > 多要素認証」またはサードパーティの OTP トークンを使用して、リモートアクセス IPsec 用の MFA を設定する必要があります。

このオプションをオンにした場合、SCCLI (Sophos Connect クライアントで接続を管理するためのコマンドラインツール) は使用できません。
接続後に AD ログオンスクリプトを実行する Active Directory ユーザーのサインイン時に自動的にスクリプトを実行します。たとえば、ネットワークドライブをマッピングするスクリプトを実行し、ユーザーがアクセスできるデフォルトリソースを設定することができます。
トンネルを自動接続する ユーザーがエンドポイントデバイスにサインインしたときに、自動的に接続します。
監視するホスト名または DNS サフィックス ネットワーク内のホスト名または DNS サフィックスを入力します。これにより、自動接続を監視し、ユーザーのエンドポイントデバイスがトンネル経由でホストに接続しているかどうかを確認できます。

内部 DNS サーバーでのみ解決できるホスト名またはサフィックスを指定してください。また、ホストへの ICMP プローブを許可する必要があります。
クライアントの DNS サフィックスを割り当てる DNS サフィックスを入力し (例: company.com または test.local)、リモートエンドポイントのネットワークアダプタに追加します。エンドポイントの DNS クエリを解決するために、このサフィックスがホスト名に付加され、FQDN が形成されます。

フルトンネル: 詳細設定で「デフォルトのゲートウェイとして使用」をオンにした場合、ESP (カプセル化セキュリティペイロード) の SA (セキュリティアソシエーション) が 1つ確立されます。アイドル時間内にデータトラフィックがない場合は、SA およびトンネルが削除されます。

分割トンネル: 詳細設定で「許可するネットワークリソース」を指定した場合、サブネットと同じ数の ESP SA が作成されます。たとえば、4つのサブネットを選択した場合、4つのトンネルが確立されます。

アイドル時間内にデータトラフィックがない場合は、該当する子 SA だけが削除され、他の SA はそのまま残ります。

Sophos Connect クライアントのダウンロードおよび更新

  • Sophos Connect クライアントをダウンロードするには、「クライアントのダウンロード」をクリックします。
  • Sophos Connect クライアントの最新バージョンにアップデートするには、「バックアップ & ファームウェア > パターンのアップデート」に移動します。

設定のダウンロードおよびリセット

  • 設定ファイル (.scx および .tgb) をダウンロードするには、ページの一番下までスクロールして、「接続のエクスポート」をクリックします。
  • IPsec リモートアクセスを工場出荷時の設定に戻すには、ページの一番下までスクロールして、「リセット」をクリックします。

動画

その他のリソース