コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=remote-access-SSL-VPN-add-policy

リモートアクセス SSL VPN ポリシーの追加

リモートアクセス SSL VPN ポリシーを設定して、ユーザーやグループが許可されたネットワークリソースにアクセスできるようにすることができます。また、ファイアウォールを通過するインターネットトラフィックを要求することもできます。

ゲートウェイ、クライアントアドレス、およびその他の設定は、SSL VPN グローバル設定に基づきます。

  1. リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。
  2. 手動で設定する」をクリックします。
  3. 名前を入力します。

  4. ポリシーメンバーの場合は、事前に設定されたユーザーとグループを選択します。

    ゲストユーザーは、リモートアクセス IPsec および SSL VPN にはアクセスできません。そのため、ゲストユーザーとゲストグループを追加することはできません。

  5. デフォルトゲートウェイとして使用」をオンにして、リモートアクセスユーザーのインターネットトラフィックをファイアウォール経由で送信します。

    ヒント

    リモートユーザーがこれらの内部リソースにアクセスできるようにするには、許可されたネットワークリソースも選択する必要があります。

    デフォルトゲートウェイ設定をオンにすると、ファイアウォールのルールと保護ポリシーがリモートユーザーのインターネットトラフィックに適用されます。したがって、ファイアウォールルールを設定して、送信元ゾーンを「VPN」に設定し、宛先ゾーンを「任意」に設定して、インターネットへのトラフィックと許可されたリソースを認めます。また、デフォルトの IPv4 SNAT ルールまたは送信トラフィックをマスカレードする SNAT ルールがあるかどうかを確認する必要があります。ない場合は、SSL VPN のリースされた IP アドレスをパブリックにルーティング可能な IP アドレスに変換するために、リンク NAT ルールを設定する必要があります。詳細は、SNAT ルールをチェックするを参照してください。

    ソースネットワークをシステムホスト ##ALL_SSLVPN_RW および ##ALL_SSLVPN_RW6 に設定することもできます。

  6. 許可されたネットワークリソース」で、ポリシーのリモートアクセスユーザーにアクセスさせる内部ネットワークを選択します。

    また、許可された IPv4 ネットワークの FQDN を選択することもできる。VPN のログには、FQDN ではなく、解決された IP アドレスが表示されます。

    FQDN に対するダイナミック IP アドレスの変更は、SSL VPN トンネルに自動的に反映されません。リモートユーザーは、許可されたリソースにアクセスするために、手動で接続を切断してから再接続する必要があります。

  7. (任意) アイドルセッションがあるクライアントをファイアウォールが切断する時間を設定する場合は、「アイドルクライアントの切断」を選択します。

  8. (任意)「グローバルタイムアウトの上書き」には、時間を分単位で入力します。

    このタイムアウト値が適用されるのは、 値が SSL VPNグローバル設定のアイドルピア値より小さい場合だけです。これより大きい値を指定すると、グローバル設定の値が適用されます。

トラフィックの許可

  1. 管理 > デバイスのアクセス」に移動します。

  2. 以下のゾーンを選択して、サービストラフィックを許可してください。

    1. SSL VPN: WAN

    2. VPN ポータル: LAN、WAN

      ユーザーは VPN ポータルから設定ファイルをダウンロードする必要があります。

その他のリソース