リモートアクセス VPN に関するよくある質問 (FAQ)
基本的な FAQ
Windows、macOS、モバイルプラットフォームでリモートアクセス IPsec および SSL VPN トンネルを確立できますか?
サポートされるエンドポイントプラットフォームの VPN クライアントと設定ファイルについては、次の表を参照してください。
| エンドポイント OS | IPsec | SSL VPN |
|---|---|---|
| Windows | Sophos Connect クライアント
| Sophos Connect クライアント
|
| macOS | Sophos Connect client
| サードパーティ製 VPN クライアント
|
| Android | サードパーティ製 VPN クライアント
| サードパーティ製 VPN クライアント
|
| iOS | クライアントは不要です。 VPN ポータルから設定ファイルをダウンロードしてください。 | サードパーティ製 VPN クライアント
|
See Sophos Connect クライアントでサポートされているプラットフォームをご覧ください。
リモートアクセス VPN 接続は暗号化されていますか?
はい、ファイアウォールと VPN クライアント間のトラフィックはすべて暗号化されます。
暗号化の設定を確認するには、次の手順を実行します。
- IPsec VPN: 「リモートアクセス VPN > IPsec」に移動し、「IPsec プロファイル」をクリックします。「IPsec プロファイル」タブで、「暗号化アルゴリズム」を確認します。
- SSL VPN: 「リモートアクセス VPN > SSL VPN」に移動し、「SSL VPN グローバル設定」をクリックします。「SSL VPN グローバル設定」タブで、「暗号化の設定」を確認します。
プロビジョニングファイル
SSL VPN 接続が、プロビジョニングファイル (.pro) で設定されていないゲートウェイで確立されています。
.pro ファイルに入力されたゲートウェイは、VPN ポータルに接続し、リモートアクセス VPN の設定を取得するために使用されます。これらのゲートウェイは、VPN 接続の確立には使用されません。
IPsec: 設定で選択したインターフェースを使って、トンネルが確立されます。
SSL VPN: 「ネットワーク > インターフェース」で設定したインターフェースのゾーンからの SSL VPN を許可している場合に (「管理 > デバイスのアクセス > ローカルサービス ACL」)、これらのインターフェース上でトンネルが確立されます。これらは .ovpn ファイルに記載されています。
パブリック IP アドレスまたは特定の IP アドレスを SSL VPN に使用するには、「SSL VPN グローバル設定」に移動し、「ホスト名の上書き」に入力してください。詳細は、SSL VPN グローバル設定を参照してください。
ファイアウォールがルーターの背後にある場合、プロビジョニングファイルおよび設定ファイルをどうやって使用できますか?
プロビジョニングファイル: ルーターの FQDN またはパブリック IP アドレスを入力します。トラフィックをファイアウォールに転送するようにルーターの DNAT 設定を指定してください。
IPsec: .scx ファイルで、ゲートウェイアドレスをルーターの WAN IP アドレスに手動で変更してから、ルーターの設定を指定します。
SSL VPN: 「SSL VPN グローバル設定」で「ホスト名の上書き」をパブリック FQDN またはルーターの WAN IP アドレスに設定してから、ルーターの設定を指定します。
IPsec および SSL VPN の設定の変更点を、ユーザーはいつ Sophos Connect クライアントに手動でインポートすればよいですか?
IPsec: ユーザーは Sophos Connect クライアントで接続の編集 
をクリックし、「Update policy」 (ポリシーの変更) をクリックして、VPN ポータルから設定をダウンロードする必要があります。
SSL VPN: 「SSL VPN グローバル設定」のポート、プロトコル、ゲートウェイ、SSL サーバー証明書の変更点を反映するには、ユーザーはクライアントで「Update policy」 (ポリシーの変更) をクリックする必要があります。When SSL VPN users must download the configuration again (SSL VPN ユーザーが設定を再ダウンロードする必要がある場合) を参照してください。
.pro ファイルを使用している場合、SSL VPN の設定の変更点の一部が自動的に取得されます。代替方法として、ユーザーのエンドポイントに .pro ファイルを再インストールして、IPsec および SSL VPN の設定を再度取得することもできます。
プロビジョニングファイルを使用したときに、信頼できない証明書エラーが表示されます。
このエラーは、Web 管理コンソールおよび VPN ポータルに、ファイアウォールのデフォルトの証明書を使用した場合に表示されます (「管理 > 管理者とユーザーの設定」)。.pro ファイルが VPN ポータルに接続して VPN の設定を取得すると、このデフォルトの証明書がプライベートであるためにエラーが発生します。
詳細は、信頼できない証明書エラーを消すを参照してください。
多要素認証
リモートアクセス VPN ユーザー用に MFA を実装するにはどうすればよいですか?
「認証 > 多要素認証」に移動し、MFA を設定します。詳細は、認証アプリによる MFA の設定を参照してください。
次の項目を選択してください。
- ユーザーポータル
- SSL VPN リモートアクセス
- IPsec リモートアクセス
Sophos Connect クライアントに OTP 用の入力フィールドを追加するにはどうすればいいですか?
3番目の入力フィールドを表示するには、次の操作を行います。
- IPsec: 「リモートアクセス > IPsec」に移動します。「詳細設定」で「ユーザーに 2FA トークンの入力を求める」を選択し、「適用」をクリックします。
-
IPsec と SSL VPN: プロビジョニングファイルで次の値を設定します。
- otp:
true - 2fa:
1
Set up MFA for remote access SSL VPN (リモートアクセス SSL VPN 用に MFA を設定する)
- otp:
Sophos Connect クライアントはチャレンジベースの MFA をサポートしていますか?
いいえ。Sophos Connect クライアントは現在、OTP チャレンジをサポートしていません。パスワードと OTP の詳細を passwordotp 形式で認証サーバーに送信します。そのため、認証サーバーは、ユーザーに OTP チャレンジを送信したときに OTP のみを受信することはなく、認証は行われません。
Sophos Connect クライアントは、コールおよびプッシュベースの MFA をサポートしています。VPN ポータルと Web 管理コンソールでは、これらに加えてチャレンジベースの MFA をサポートしています。
リモートアクセス IPsec
複数の WAN インターフェースでリモートアクセス IPsec 接続を確立することはできますか?
現在、リモートアクセス IPsec 接続を確立できるのは、1つの WAN インターフェースだけです。
リモートアクセス SSL VPN
SSL VPN グローバル設定で /24 より小さいサブネットを追加できないのはなぜですか?
ファイアウォールは、モデル内の CPU の数に応じて、複数のインスタンスで SSL VPN トンネルを実行します。各インスタンスは tun0 インターフェースを作成します。このインターフェースには、ルーティングおよび内部トラフィックの分散用に、独立したサブネットが必要です。
ファイアウォールでは、設定されたネットワークアドレスとサブネットからサブネットを自動的にスライスし、それらを tun0 インターフェースに割り当てます。サブネットが小さいほど (/25 など)、リース用の IP アドレスが少なくなります。
たとえば、ファイアウォールの 192.168.0.0/27 のネットワークで 8つのインスタンスが同時に存在する場合、サブネットを 8つの tun0 インターフェースに割り当てた後、リース可能な IP アドレスは 1つになります。