SSL VPN グローバル設定
SSL VPN グローバル設定は、リモートアクセス SSL VPN ポリシーの全リモートアクセスに適用されます。
SSL VPN グローバル設定は、SSL VPN クライアントにインポートされる設定ファイル (.ovpn
) に含まれます。
設定を指定するには、「リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。
プロトコル
SSL VPN クライアントは、接続の確立に以下のプロトコルを使用できます。
- TCP: メール、Web 閲覧、FTP など、高い信頼性が必要なアプリケーションに適しています。
- UDP: ストリーミングメディア、VoIP、DNS、TFTP など、高速かつ効率的な転送が必要なアプリケーションに適しています。
SSL サーバー証明書
SSL VPN サーバーは、この証明書を使用してクライアントを認証します。
デフォルトの証明書以外の証明書を選択するには、「証明書 > 証明書」に移動し、ローカル署名証明書を設定するか、外部証明書をアップロードします。
SSL サーバー証明書の署名に外部ルート CA を使用して生成された中間 CA を使用する場合は、サーバー証明書とその秘密鍵、中間 CA、およびルート CA をファイアウォールにアップロードする必要があります。
ホスト名の上書き
SSL VPN クライアントは、ここで指定した IP アドレスまたはホスト名に接続します。このフィールドを空にすると、SSL VPNアクセスを許可するゾーンに属するすべてのインターフェース (「ローカルサービス ACL」下の「管理 > デバイスアクセス」) が .ovpn
ファイルにリストされます。クライアントは、「ネットワーク > インターフェース」で設定されたインターフェースとの接続を確立しようとします。
WAN インターフェースのアドレスに基づいて、次のように指定します。
- スタティックのパブリック IP アドレス (単一): 「ホスト名の上書き」を空白のままにできます。
-
スタティックのパブリック IP アドレス (複数): 以下のいずれかを選択します。
- ドメイン名を入力します。
- フィールドを空白のままにします。ファイアウォールは、利用可能な WAN アドレスを使用します。
- クライアントを特定のインターフェースにのみ接続させたい場合は、インターフェースアドレスを入力します。
-
アップストリームルーター: ファイアウォールにアップストリームルーターがある場合は、次の手順を実行します。
- ルーターのパブリック IP アドレスまたはドメイン名を入力します。
- SSL VPN トラフィックをファイアウォールにポート転送するようにルーターを設定します。
-
ダイナミック IP アドレス: ファイアウォールのダイナミックのパブリック IP アドレスを解決するには、次の手順を実行します。
- 「ネットワーク > DDNS」に移動し、設定を指定します。詳細は、ダイナミック DNS プロバイダの追加を参照してください。
- 「ホスト名の上書き」に、DDNS のホスト名を入力します。FQDN を指定してください。
SSL VPN ポリシーで設定された許可済みのネットワークは .ovpn
ファイルには表示されません。クライアントが接続を確立すると、ユーザーに許可されたネットワークが自動的にクライアントに追加されます。
ポート (オプション)
接続に使用するポート番号は、適宜変更できます。以下の警告をご覧ください。
注
ユーザーポータルのポートは、他のサービスには使用できません。
VPN ポータルと SSL VPN が同じポートを共有している場合、ログインのセキュリティ設定は機能しません。詳細は、ログイン時のセキュリティを参照してください。
制限事項
SSL VPN トラフィックと WAF ルールは、以下のいずれかのオブジェクトについて異なる値をもつ必要があります。WAN IP アドレス、ポート、プロトコル。
SSL VPN トラフィックが WAF ルールと同じ WAN IP アドレスを使用し、かつ、ポートとプロトコルも WAF ルールと同じである場合、そのトラフィックは破棄されます。これは、IPv4 トラフィックにのみあてはまります。
デフォルトの HTTPS ポートは、WAF ルール (443) と SSL VPN (8443) で異なります。また、WAF トラフィックは常に TCP プロトコルを使用します。
ネットワークに 2つの WAN IP アドレスがある場合、SSL VPN トラフィックで使用できる設定の例を以下に示します。
WAF | オプション 1 (異なる IP アドレスを使用する) SSL VPN | オプション 2 (異なるポートを使用する) SSL VPN | オプション 3 (異なるプロトコルを使用する) SSL VPN | |
---|---|---|---|---|
WAN IP アドレス | 203.0.113.1 | 203.0.113.2 | 203.0.113.1 または 203.0.113.2 | 203.0.113.1 または 203.0.113.2 |
ポート | 443 | 443 | 443 を使用しない | 任意のポート |
プロトコル | TCP | TCP または UDP | TCP または UDP | UDP |
IP アドレスの割り当て
IPv4 および IPv6 のネットワークは設定できます。
IPv4 アドレスと IPv6 アドレスを割り当てる
ファイアウォールは、指定したネットワークから SSL VPN クライアントに IP アドレスをリースします。
選択できるのは、IPv4サブネットから /24
までです。たとえば、 /25
サブネットや、これより小さなサブネットを選択することはできません。詳細は、リモートアクセス VPN のトラブルシューティングを参照してください。
注
これらの IPv4 および IPv6 アドレス設定を変更し、ユーザーにスタティック SSL VPN IP アドレスを割り当てた場合は、スタティックアドレスが更新されたスタティック範囲内にあることを確認してください。
注
バージョン 19.5 への移行後、リモートアクセス SSL VPN 接続のトラフィックがブロックされるようになった場合は、リースされた IP アドレスのカスタムホストをファイアウォールルールで指定していることが原因である可能性があります。
このカスタムホストではなく、##ALL_SSLVPN_RW (および、必要に応じて ##ALL_SSLVPN_RW6) を選択するようにしてください。詳細は、リモートアクセス VPN のトラブルシューティングを参照してください。
リースモード
次のカテゴリから選択します。
- IPv4 のみ: IPv4 アドレスだけをリースします。
- IPv4 と IPv6 の両方: IPv4 アドレスと IPv6 のアドレスをリースします。
スタティック IPアドレスの使用
このチェックボックスを選択すると、リモートアクセス SSL VPN ユーザーに静的 IP アドレスを割り当てることができるアドレス範囲が表示されます。ファイアウォールは、「IPv4 アドレスの割り当て」と「IPv6 アドレスの割り当て」に指定したサブネットに基づいて、この範囲を自動的に分割します。
ユーザーに静的アドレスを割り当てるには、「認証 > ユーザー」に移動します。
「SSL VPN グローバル設定」で割り当てられた IP アドレスを更新する場合は、ユーザーに割り当てるアドレスが更新された静的アドレスの範囲内にあることを確認してください。
注
静的 SSL VPN IP アドレスをリモートアクセスユーザーに割り当てている場合、現在のところ、ファイアウォールはリモートアクセスユーザーの同時サインインをサポートしていません。
DNS サーバー
以下の項目を設定できます。
-
IPv4 DNS: 以下に、プライマリ DNS サーバーとセカンダリ DNS サーバーの IP アドレスを入力します。
- リモートユーザーがアクセスするネットワークリソースのホスト名を解決します。
- Sophos Firewall がリモートアクセス SSL VPN ユーザーのデフォルトゲートウェイとして動作する場合、パブリックホスト名を解決します。
-
IPv4 WINS: ご利用のネットワーク用のプライマリおよびセカンダリ WINS (Windows Internet Naming Service) サーバーを入力します。
- ドメイン名: DNS サフィックスを入力し (例:
company.com
またはtest.local
)、リモートエンドポイントのネットワークアダプタに追加します。エンドポイントの DNS クエリを解決するために、このサフィックスがホスト名に付加され、FQDN が形成されます。
ピアの切断
以下の項目を設定できます。
- デッドピアの接続を解除するまでの時間: 応答しないクライアントとの接続を切断するまでの時間 (秒)。
- アイドルピアの接続を解除するまでの時間: アイドル状態の接続を切断するまでの時間 (秒)。
その他の設定
以下の項目を設定できます。
-
暗号化の設定。
- 暗号化アルゴリズム: VPN トンネル経由で送信されるデータを暗号化するアルゴリズムを選択します。
- 認証アルゴリズム: メッセージの認証用アルゴリズムを選択します。
- 鍵サイズ: 鍵のサイズ (ビット) を選択します。長い鍵の方が安全です。
- 鍵の有効期間: 鍵の有効期間 (秒) を入力します。
-
デバッグ設定
- デバッグモードを有効にする: SSL VPN ログファイルにデバッグ用の詳細情報を追加します。
その他のリソース