コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/22.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=remote-access-SSL-VPN-remote-access-assistant

リモートアクセス SSL VPN アシスタント

リモートアクセス SSL VPN アシスタントは、Sophos Firewall で安全なリモートアクセスを簡単に漏れなく設定するために役立ちます。

初めてリモートアクセス SSL VPN ポリシーを設定する際は、特にアシスタントの使用をお勧めします。

アシスタントの指示に従って以下の項目を設定すると、自動的にルールが作成されます。

  • ユーザー、グループ、および、トンネルアクセス用の認証サーバー
  • トンネルモードと、アクセスを許可するリソース
  • VPN ポータルおよび SSL VPN トンネルに対するゾーン制限
  • 必要なファイアウォールルールが自動生成されます。

設定方法

  1. リモートアクセス VPN > SSL VPN」に移動し、「追加」をクリックします。

  2. グローバル設定を確認して、「次へ」をクリックします。

    SSL VPN アシスタントで SSL VPN グローバル設定を変更することはできません。グローバル設定を変更するには、「リモートアクセス VPN > SSL VPN > SSL VPN グローバル設定」に移動します。

  3. 設定を指定します。

    設定 説明
    VPN 名 接続の識別名を入力します。これが、SSL VPN リモートアクセスポリシーの名前になります。この名前は、アシスタントが作成するファイアウォールルールにも使用されます。
    ユーザーとグループ

    このポリシーを使用して接続できるユーザーおよびグループを選択します。

    最新のポリシーに含まれるユーザーやグループが、以前のリモートアクセス SSL VPN ポリシーにも含まれる場合、以前のポリシーからは自動的に削除されます。
    認証サーバー

    ユーザーの認証に使用するサーバーを選択します。 以下のいずれかを選択します。

    • VPN と同じ (IPsec、L2TP、PPTP)
    • ファイアウォールと同じ
    • SSL VPN 認証方法の設定
    後でこの設定を変更するには、「認証 > サービス > SSL VPN 認証方法」に移動します。
    トンネルモード

    VPN の用途を、ユーザーの全トラフィック (指定リソースおよびインターネットへのトラフィック) にするか、または、指定リソースへのトラフィックのみにするかを選択します。

    • すべてのトラフィックに VPN を使用する
    • リソースへのトラフィックのみに VPN を使用する

    すべてのトラフィックに VPN を使用する」を選択した場合、「ルールとポリシー > NATルール」にデフォルトの IPv4 SNAT ルールまたは送信トラフィックをマスカレードする SNAT ルールがあることを確認してください。詳細は、SNAT ルールをチェックするを参照してください。
    リソースへのアクセス

    トンネルモードを「リソースへのトラフィックのみに VPN を使用する」に設定した場合にのみ使用できます。VPN 経由のアクセスを許可するホストとネットワークを選択します。リストの一番下までスクロールすると、「選択した項目を適用」ボタンが表示されます。

    FQDN に対するダイナミック IP アドレスの変更は、SSL VPN トンネルに自動的に反映されません。リモートユーザーは、許可されたリソースにアクセスするために、手動で接続を切断してから再接続する必要があります。
    VPN ポータルへのアクセス

    ユーザーが VPN ポータルにアクセスできるゾーンを選択します。各ユーザーは、VPN ポータルから SSL VPN クライアントおよび設定ファイルをダウンロードできます。

    後でこの設定を変更するには、「管理 > デバイスのアクセス」に移動します。
    SSL VPN アクセス

    ユーザーが SSL VPN トンネルを確立できるゾーンを選択します。

    後でこの設定を変更するには、「管理 > デバイスアクセス」に移動します。
    設定の確認 完了」をクリックして、リモートアクセス SSL VPN ポリシーとファイアウォールルールを自動的に作成します。

アシスタントによって設定される項目

アシスタントによって、次の設定が作成されます。

  • リモートアクセス SSL VPN ポリシー
  • VPN ポータルおよび SSL VPN トンネルへのデバイスアクセス

  • ファイアウォールルール

    アシスタントを初めて使用すると、自動 VPN ルールというファイアウォールルールグループが作成され、ルール一覧の最上位に配置されて、そのグループ内にファイアウォールルールが追加されます。ルールはデフォルトでオンになります。

    アシスタントを再び使用すると、そのときに自動作成されたファイアウォールルールは、グループ内で一番下に配置されます。ファイアウォールでは、ルールを上から順番に評価して、トラフィックに一致するものを見つけます。それを念頭に、ルールを希望の位置に動かしてください。

次の段階の手順

管理者が Web 管理コンソールで、次の手順を実行する必要があります。

  • 要件に従って、ファイアウォールルールの位置を変更します。ルールは、上から順番に評価されます。
  • 必要に応じて、SSL VPN グローバル設定を変更します。
  • (任意) SSO を使用するには、Microsoft Entra ID を設定し、「認証」 > 「サービス」で認証方式として使用する必要があります。詳細は、Microsoft Entra ID サーバーを参照してください。

ユーザーが VPN ポータルにサインインし、次の手順を実行する必要があります。

  • 初めてのユーザーは、Sophos Connect クライアントをダウンロードしてインストールする必要があります。
  • 割り当てられたユーザーは、SSL VPN の設定ファイルをダウンロードし、クライアントにインポートする必要があります。

詳細は、SSL VPNを参照してください。