リモートアクセス SSL VPN の作成

リモートユーザーがローカルネットワークにアクセスするための接続を構成、導入しましょう。TCP のポート 443 を通じて、VPN の暗号化トンネルを確立し、社内リソースへの安全なアクセスを提供します。

目的

このセクションでは、以下について学びます。
  • SSL VPN クライアント用のアドレス範囲を指定する。
  • SSL VPN クライアント用のユーザーグループを作成し、ユーザーを追加する。
  • ローカルサブネットとリモート SSL VPN の範囲を定義する。
  • SSL VPN リモートアクセスポリシーを追加する。
  • ファイアウォールルールを追加する。
  • ユーザーが SSL VPN クライアントを使用するための Windows の権限を設定する。
  • クライアントに SSL VPN クライアントソフトウェアをダウンロードし、社内ネットワークに接続する。
  • 接続を確認する。

SSL VPN クライアント用の IP アドレス範囲の指定

SSL クライアントがサインインすると、ここで指定した範囲からアドレスが割り当てられます。プライベートのアドレス範囲を使用してください。

  1. VPNに移動して、VPN 設定を表示をクリックします。
    VPN 設定の表示
  2. リース範囲を指定します。必要に応じて、サブネットマスクを更新することもできます。
    リース範囲の指定
  3. 適用」をクリックします。

ユーザーグループの作成とユーザーの追加

リモート SSL VPN 用のユーザーグループを作成し、ユーザーを追加します。このグループに、ネット閲覧クォータとアクセス時間を指定します。グループ内のユーザーに、無制限のアクセスを許可します。

  1. 認証 > グループに移動して、追加をクリックします。
  2. 設定を指定します。
    オプション説明
    名前 リモート SSL VPN グループ
    ネット閲覧クォータ インターネットアクセスを制限しない
    アクセス時間 常に許可
  3. 保存」をクリックします。
  4. 認証 > ユーザーに移動して、追加をクリックします。
  5. 設定を指定します。
    オプション説明
    ユーザー名 john.smith
    名前 John Smith
    グループ リモート SSL VPN グループ
  6. 保存」をクリックします。

ローカルサブネットとリモート SSL VPN 範囲の定義

ローカルサブネットとリモート SSL VPN 範囲のホストを作成します。ローカルサブネットには、リモートクライアントがアクセスできるネットワークリソースを定義します。

  1. ホストとサービス > IP ホストに移動して、追加をクリックします。
  2. ローカルサブネットの名前と IP アドレスを入力します。
    ローカルサブネット
  3. 保存」をクリックします。
  4. 追加」をクリックします。
  5. リモートサブネットの名前と IP アドレスを入力します。
    リモートサブネット
  6. 保存」をクリックします。

SSL VPN リモートアクセスポリシーの追加

リモート SSL VPN グループ内のクライアントが接続することを許可するポリシーを作成します。これらのユーザーはローカルサブネット上のリソースへのアクセスを許可されます。

  1. VPN > SSL VPN (リモートアクセス)に移動して、追加をクリックします。
  2. 名前を入力し、ポリシーメンバーと、許可するネットワークリソースを指定します。
    SSLVPN リモートアクセスポリシー
  3. 適用」をクリックします。

認証サービスの確認

ファイアウォールの認証方法および SSL VPN の認証方法として、ローカル認証を使用します。

  1. 認証 > サービスに進んでください。
  2. 認証サーバーが「ローカル」に設定されていることを確認します。
    ファイアウォール認証手段
  3. SSL VPN 認証方法へスクロールします。
  4. 認証サーバーが「ローカル」に設定されていることを確認します。
    SSLVPN 認証手段

デバイスアクセス設定の確認

接続を導入し、ユーザーが接続にアクセスできるようにするためには、SSL VPN およびユーザーポータルへのデバイスアクセスを有効にする必要があります。

  1. 管理 > デバイスのアクセスに進んでください。
  2. SSL VPN とユーザーポータルへのアクセスを確認します。
    デバイスアクセスの確認
  3. 適用」をクリックします。

ファイアウォールルールの追加

  1. ルールとポリシー > ファイアウォールルールに進んでください。IPv4またはIPv6を選択し、ファイアウォールルールの追加を選択します。
  2. 設定を指定します。
    リモート SSLVPN アクセスルール
  3. 保存」をクリックします。

SSL VPN クライアントに必要な Windows ユーザーの権限

Windows ユーザーに必要な権限。

サインイン済みのユーザーが SSL VPN 接続を確立するには、ネットワークの操作権限が必要です。これによって、SSL VPN クライアントはネットワーク設定 (必要なルートの追加など) を滞りなく行えるようになります。

Windows 7 および 8 では、ネットワーク操作は管理者権限で実行されます。ユーザーにローカル管理者の役割を割り当てるか、推奨の方法を使用してユーザーを Windows の「Network Configuration Operators」グループに追加できます。または、ユーザーが管理者として SSL VPN クライアントを実行することもできます。

ユーザーを Windows の「Network Configuration Operators」グループに追加するには、次の手順に従います。

  1. Windows で「コントロールパネル > 管理ツール」を開きます。
  2. 「コンピュータ管理」を開きます。
  3. 「システムツール > ローカルユーザーとグループ」を展開します。
  4. 「グループ」をクリックします。
  5. 「Network Configuration Operators」をダブルクリックして、「追加」をクリックします。
  6. 昇格が必要なユーザーのユーザー名を入力し、「名前の確認」をクリックして名前を確認し、「OK」をクリックします。
  7. 「適用」をクリックして、変更内容を保存します。

接続の導入

認証クライアントをインストールし、VPN 接続で社内ネットワークに接続します。

次の手順はクライアントコンピュータで実行します。

  1. ユーザーポータルにログインします。
    警告 外部向け (WAN) インターフェースで Web 管理コンソールを有効にすることは推奨しません。そうすると、サイバー犯罪者がファイアウォールのベンダーと種類を簡単に特定し、標的型攻撃を開始する恐れがあります。ユーザーポータルを使用していない場合は、このサービスも WAN インターフェースで無効にすることを推奨しています。

    XG Firewall のユーザーポータルと Web 管理コンソールをローカルインターフェースに制限するには、管理 > デバイスのアクセス」にアクセスし、WAN ゾーンで「ユーザーポータル」「HTTPS」の選択を解除します。

    WAN インターフェースでユーザポータルを有効にする場合は、二要素認証を設定することを推奨します。二要素認証の設定を参照してください。

  2. SSL VPN クライアントをダウンロードします。
  3. クライアントインストーラファイルをダブルクリックし、プロンプトに従ってインストールを完了します。
  4. クライアントを起動し、ユーザー名とパスワードを使ってログインします。
認証エラーが発生した場合は、認証 > ユーザーにアクセスして、そのユーザーアカウントの「MAC バインド」が有効になっていないかどうかを確認します。「MAC バインド」が有効になっている場合は、無効にしてください。

接続の確認

クライアントとファイアウォールで、接続を確認します。

  • クライアントで、前の手順で SSL VPN 範囲に設定した IP アドレスが割り当てられていることを確認します。
    Windows でコマンドプロンプトを起動し、ipconfigを入力します。10.81.234.5 ~ 10.81.234.55 の範囲内のアドレスが見えるはずです。
  • ファイアウォールで、ファイアウォールをクリックし、トラフィックを確認します。
    SSLVPN トラフィックの表示