関連トピック
Mobile VPN with SSL 用に Firebox を構成する
Mobile VPN with SSL を有効にすると、SSLVPN-Users ユーザー グループと WatchGuard SSLVPN ポリシーが自動的に作成され、インターネットから Firebox への SSL VPN 接続が可能になります。この既定グループを使用するか、または認証サーバーのユーザー グループ名と同じ名前の新規グループを作成することができます。
WSM Management Server で SSL を介した管理トンネルを有効にする場合、一部のSSL 構成設定は Mobile VPN with SSL で使用されるものと同じ設定になります。そのため、Management Tunnel が有効になっているときに、Mobile VPN with SSL 構成では変更できない設定が多数あります。これらの共有設定は、Management Server のデバイス プロパティで変更する必要があります。
SSL 上の Management Tunnel と Mobile VPN with SSL の両方とも同じ OpenVPN サーバーを使用するため、SSL 上の Management Tunnel を有効にすると、Mobile VPN with SSL トンネルが共有する設定の一部は、Management Server で管理されることになります。これらの設定を Mobile VPN with SSL 構成で変更することはできません。これらの設定には、Firebox IP アドレス、ネットワーク メソッド、仮想 IP アドレス プール、VPN リソース、データ チャンネル、構成チャンネルが含まれます。また、Management Tunnel の認証に必要な Firebox-DB 認証サーバーを無効にすることもできません。
はじめる前に
Mobile VPN with SSL を構成する前に、Firebox がトラフィックを VPN トンネル経由でどのように送信するかを決定します。選択したオプションによっては、Mobile VPN with SSL を有効にする前にネットワーク構成に変更を加えなければならない場合があります。
Mobile VPN with SSL の構成では、ネットワークに到着する VPN トラフィックを以下の 2 つの方法で処理することができます。
VPN トラフィックのルーティング
このオプションが既定で選択されます。このオプションを使用すると、Firebox は VPN トンネルからのトラフィックを、ローカルの信頼済みネットワーク、任意のネットワーク、カスタム ネットワークすべてか、指定された特定のネットワーク リソースにルーティングします。
VPN トラフィックのブリッジ
このオプションを使用すると、信頼済み、任意、またはカスタム ネットワークに SSL VPN トラフィックをブリッジすることができます。このオプションを選択すると、SSL VPN ユーザーと SSL VPN トラフィックをブリッジするネットワーク間のトラフィックをフィルタできません。VPN トラフィックをネットワークにブリッジすると、SSL VPN ユーザーはブリッジ先のネットワーク上の他のユーザーと同じセキュリティ ゾーンに入り、それらのモバイル ユーザーのトラフィックは、ブリッジ先のネットワーク上の他のユーザーのトラフィックと同じセキュリティ ポリシーによって管理されます。
たとえば、VPN トラフィックを信頼済みインターフェイスにブリッジすると、Any-Trusted エイリアスのトラフィックを許可するすべてのポリシーは、Mobile VPN with SSL でネットワークに接続するユーザーのトラフィックを許可します。VPN トラフィックのブリッジ オプションは、選択されたネットワーク ブリッジ上のセカンダリ ネットワークへは SSL VPN トラフィックをブリッジしません。
FireboxVPN または XTMv 仮想マシンの Mobile VPN with SSL 構成で VPN トラフィックのブリッジ を選択する場合、VMware の仮想スイッチ (vSwitch) で無差別モードを有効にする必要があります。
VPN トラフィックをブリッジできるインターフェイスの選択は、デバイスにインストールされた Fireware のバージョンによって異なります:
- Fireware v11.8.x 以下 — VPN トラフィックを LAN ブリッジ以外の任意のインターフェイスにブリッジできます。
- Fireware v11.9 以上 — VPN トラフィックを LAN ブリッジのみにブリッジできます。
ブリッジ インターフェイスの構成方法の詳細については、次を参照してください:ネットワーク ブリッジ構成を作成する。
Web UI から Mobile VPN with SSL を構成する場合は、Web UI へのログインに使用したインターフェイスをブリッジ インターフェイスに変更しないでください。これを変更すると、デバイスへの管理接続が直ちに失われます。これが発生した場合は、別の構成済みインターフェイスを使用して Fireware Web UI に再接続する必要があります。
ブリッジ インターフェイスへのデバイス管理に使用するインターフェイスを変更する場合は、Policy Manager でこの変更を行うことをお勧めします。更新した構成をデバイスに保存する前に、すべてのインターフェイス構成の変更を完了できます。
管理に使用する信頼済みインターフェイスまたはオプショナル インターフェイスをブリッジ インターフェイスに変更するには、Web UI で以下の手順を実行します:
- 一時的な管理インターフェイスとして使用する別の信頼済みインターフェイスまたはオプショナル インターフェイスを構成します。
- 管理コンピュータを新しいインターフェイスに接続して、Web UI にログインします。
- 元の管理インターフェイスをブリッジ インターフェイスに変更し、このインターフェイスを含む LAN ブリッジを構成します。
- 管理コンピュータを元の管理インターフェイスに接続します。
- 一時的な管理インターフェイスを無効にします。
詳細な手順については、次を参照してください:ネットワーク ブリッジ構成を作成する。
接続の設定を構成する
- VPN > Mobile VPN with SSL の順に選択します。
Mobile VPN with SSL 構成 ページが表示されます。
- Mobile VPN with SSL を有効にする チェック ボックスをオンにします。
- プライマリ テキスト ボックスに、パブリック IP アドレスまたはドメイン名を入力します。
これは、Mobile VPN with SSL クライアントが既定で接続する IPアドレスまたはドメイン名です。これは、外部 IP アドレス、セカンダリ外部 IP アドレス、または外部 VLAN のいずれかです。ドロップイン モードのデバイスの場合は、すべてのインターフェイスに割り当てられる IP アドレスを使用します。 - Firebox に複数の外部アドレスが存在する場合は、セカンダリ テキスト ボックスに、異なるパブリック IP アドレスを入力します。
これは、Mobile VPN with SSL クライアントがプライマリ IP アドレスとの接続を確立できない場合に接続する IP アドレスです。セカンダリ IP アドレスを追加する場合、Firebox の外部インターフェイスまたは VLAN に割り当てられた IP アドレスであることを確認してください。Mobile VPN with SSL クライアントがセカンダリ IP アドレスを使用するように構成する場合は、次のセクションに説明されているように、認証の設定で 接続が失われた後に自動的に再接続する チェックボックスを選択する必要があります。
- VPN > Mobile VPN > SSL の順に選択します。
Mobile VPN with SSL 構成 ダイアログ ボックスが表示されます。
- Mobile VPN with SSL を有効にする チェック ボックスをオンにします。
- プライマリ テキスト ボックスで、パブリック IP アドレスまたはドメイン名を入力または選択します。
これは、Mobile VPN with SSL クライアントが既定で接続する IPアドレスまたはドメイン名です。これは、外部 IP アドレス、セカンダリ外部 IP アドレス、または外部 VLAN のいずれかです。ドロップイン モードのデバイスの場合は、すべてのインターフェイスに割り当てられる IP アドレスを使用します。 - Firebox に複数の外部アドレスが存在する場合は、バックアップ テキスト ボックスに、異なるパブリック IP アドレスを入力または選択します。
これは、Mobile VPN with SSL クライアントがプライマリ IP アドレスとの接続を確立できない場合に接続する IP アドレスです。バックアップ IP アドレスを追加する場合、Firebox の外部インターフェイスまたは VLAN に割り当てられている IP アドレスを指定してください。Mobile VPN with SSL クライアントがバックアップ IP アドレスを使用するように構成する場合は、認証の設定で 接続が失われた後に自動的に再接続する チェックボックスを選択する必要があります。
ネットワークおよび IP アドレス プール設定を構成する
ネットワークおよび IP アドレス プール セクションで、Mobile VPN with SSL クライアントが使用できるネットワーク リソースを構成します。
- ネットワークおよび IP アドレス プール セクションで、Firebox が VPN トンネル経由でトラフィックを送信するのに使用する方法をドロップダウン リストから選択します:
- 指定したネットワークに SSL VPN トラフィックをブリッジするには、VPN トラフィックのブリッジ を選択します。このオプションを選択すると、SSL VPN ユーザーと SSL VPN トラフィックをブリッジするネットワーク間のトラフィックをフィルタできません。
- トラフィックを指定したネットワークとリソースにルーティングするには、VPN トラフィックのルーティング を選択します。これは、すべての WatchGuard Firebox で既定の設定となっています。
- すべてのクライアント トラフィックをトンネル経由にする チェックボックスをオンまたはオフにします。
- VPN クライアントからプライベート ネットワークおよびインターネットへのすべてのトラフィックをトンネル経由でルーティングするには、すべてのクライアント トラフィックをトンネル経由にする を選択します。
このオプションは、作成される Firebox ポリシーに基づいてすべての外部トラフィックを送信し、モバイル ユーザーに一貫性のあるセキュリティを提供します。ただし、Firebox 上でより多くの処理能力が要求されるため、モバイル ユーザーからインターネット リソースへのアクセスは非常に遅くなることがあります。
このオプションが選択されたときに、クライアントからインターネットへのアクセスを可能にする方法の詳細については、次を参照してください:Mobile VPN with SSL トンネル経由のインターネット アクセスのオプション。 - VPN クライアントからプライベート ネットワークへのトラフィックのみをトンネル経由でルーティングするには、すべてのクライアント トラフィックをトンネル経由にする チェックボックスをオフにします。
このオプションはプライベート ネットワーク リソースへのトラフィックのみ Firebox 経由でルーティングするので、ユーザーのネットワーク速度が向上します。他のインターネットへのトラフィックはトンネルを通過せず、Firebox のポリシーによる制約を受けません。- すべての内部ネットワークへのアクセスを許可するには、すべての信頼済み、任意、およびカスタム ネットワークへのアクセスを許可する を選択します。
- Mobile VPN with SSL クライアントのアクセスをプライベート ネットワーク上の指定したデバイスに制限するには、許可されたリソースを指定する を選択します。アクセスを許可するネットワーク リソースを指定するには、リソースの IP アドレスにスラッシュ記号を付けて入力し、追加 をクリックします。
- VPN クライアントからプライベート ネットワークおよびインターネットへのすべてのトラフィックをトンネル経由でルーティングするには、すべてのクライアント トラフィックをトンネル経由にする を選択します。
- Firebox が Mobile VPN with SSL クライアント接続に割り当てる IP アドレスを構成します。
- Fireware v11.8.x 以下 — VPN トラフィックを LAN ブリッジ以外の任意のインターフェイスにブリッジできます。
- Fireware v11.9 以上 — VPN トラフィックを LAN ブリッジのみにブリッジできます。
VPN トラフィックのルーティング
仮想 IP アドレス プールには、既定設定の 192.168.113.0/24 を使用するか、または、別の範囲を入力します。このサブネットの IP アドレスを、スラッシュ付きの表記法で入力します。このサブネットによる IP アドレスが Mobile VPN with SSL クライアント接続に自動的に割り当てられます。特定のユーザーに IP アドレスを割り当てることはできません。
潜在的な IP アドレスの競合を避けるために、WatchGuard は、Firebox により保護されているネットワークやルートまたは BOVPN を通じてアクセス可能なネットワークの一部ではない仮想 IP アドレス、DHCP により Firebox 配下のデバイスに割り当てられたものではない仮想 IP アドレス、または Mobile VPN with IPsec または Mobile VPN with SSL アドレス プールに使用されていない仮想 IP アドレスを割り当てることをお勧めします。FireCluster が有効になっている場合、プライマリ クラスタの IP アドレスと同じサブネットに仮想 IP アドレス プールを設定することはできません。
v11.12.4 以前の Fireware を搭載した Firebox の場合は、Mobile VPN with PPTP アドレス プールの一部ではない仮想 IP アドレスを割り当てるようにしてください。
VPN トラフィックのブリッジ
インターフェイスへのブリッジ ドロップダウン リストからブリッジするインターフェイス名を選択します。VPN トラフィックをブリッジできるインターフェイスの選択は、デバイス上の Fireware のバージョンによって異なります。
詳細については、次を参照してください:はじめる前に。
最初 および 最後 テキスト ボックスに、Mobile VPN with SSL クライアント接続に割り当てる範囲の IP アドレスを入力します。最初 と 最後 の IP アドレスは、ブリッジされたインターフェイスと同じサブネット上にある必要があります。
仮想 IP アドレスの詳細については、次を参照してください:バーチャル IP アドレスおよび Mobile VPN。
- ネットワークおよび IP アドレス プール セクションで、Firebox が VPN トンネル経由のトラフィック送信に使用する方法をドロップダウン リストから選択します。
- 指定したネットワークに SSL VPN トラフィックをブリッジするには、VPN トラフィックのブリッジ を選択します。このオプションを選択すると、SSL VPN ユーザーと SSL VPN トラフィックをブリッジするネットワーク間のトラフィックをフィルタできません。
- トラフィックを指定したネットワークとリソースにルーティングするには、VPN トラフィックのルーティング を選択します。これは、すべての WatchGuard Firebox で既定の設定となっています。
- すべてのクライアント トラフィックをトンネル経由にする チェックボックスをオンまたはオフにします。
- VPN クライアントからプライベート ネットワークおよびインターネットへのすべてのトラフィックをトンネル経由でルーティングするには、すべてのクライアント トラフィックをトンネル経由にする を選択します。
このオプションは、作成される Firebox ポリシーに基づいてすべての外部トラフィックを送信し、モバイル ユーザーに一貫性のあるセキュリティを提供します。ただし、Firebox 上でより多くの処理能力が要求されるため、モバイル ユーザーからインターネット リソースへのアクセスは非常に遅くなることがあります。
このオプションが選択されたときに、クライアントからインターネットへのアクセスを可能にする方法の詳細については、次を参照してください:Mobile VPN with SSL トンネル経由のインターネット アクセスのオプション。 - VPN クライアントからプライベート ネットワークへのトラフィックのみをトンネル経由でルーティングするには、すべてのクライアント トラフィックをトンネル経由にする チェックボックスをオフにします。
このオプションは、作成される Firebox ポリシーに基づいてすべての外部トラフィックを送信し、モバイル ユーザーに一貫性のあるセキュリティを提供します。ただし、Firebox 上でより多くの処理能力が要求されるため、モバイル ユーザーからインターネット リソースへのアクセスは非常に遅くなることがあります。- すべての内部ネットワークへのアクセスを許可するには、すべての信頼済み、任意、およびカスタム ネットワークへのアクセスを許可する を選択します。
- Mobile VPN with SSL クライアントのアクセスをプライベート ネットワーク上の指定したデバイスに制限するには、許可されたリソースを指定する を選択します。アクセスを許可するネットワーク リソースを指定するには、リソースの IP アドレスにスラッシュ記号を付けて入力し、追加 をクリックします。
- VPN クライアントからプライベート ネットワークおよびインターネットへのすべてのトラフィックをトンネル経由でルーティングするには、すべてのクライアント トラフィックをトンネル経由にする を選択します。
- Firebox が Mobile VPN with SSL クライアント接続に割り当てる IP アドレスを構成します。FireCluster が有効になっている場合、プライマリ クラスタの IP アドレスと同じサブネットに仮想 IP アドレス プールを設定することはできません。
- Fireware XTM v11.8.x 以下では、VPN トラフィックを LAN ブリッジ以外の任意のインターフェイスにブリッジできます。
- Fireware v11.9 以上では、VPN トラフィックを LAN ブリッジのみにブリッジできます。
VPN トラフィックのルーティング
仮想 IP アドレス プールには、既定設定の 192.168.113.0/24 を使用するか、または、別の範囲を入力します。
潜在的な IP アドレスの競合を避けるために、Firebox により保護されているネットワークやルートまたは BOVPN を通じてアクセス可能なネットワークの一部ではない仮想 IP アドレス、DHCP により Firebox 配下のデバイスに割り当てられたものではない仮想 IP アドレス、または Mobile VPN with IPsec または Mobile VPN with SSL アドレス プールに使用されていない仮想 IP アドレスを割り当てることをお勧めします。FireCluster が有効になっている場合、プライマリ クラスタの IP アドレスと同じサブネットに仮想 IP アドレス プールを設定することはできません。
v11.12.4 以前の Fireware を搭載した Firebox の場合は、Mobile VPN with PPTP アドレス プールの一部ではない仮想 IP アドレスを割り当てるようにしてください。
VPN トラフィックのブリッジ
インターフェイスへのブリッジ ドロップダウン リストからブリッジするインターフェイス名を選択します。VPN トラフィックをブリッジできるインターフェイスの選択は、デバイスが使用する Fireware のバージョンによって異なります。
詳細については、次を参照してください:はじめる前に。
最初 および 最後 テキスト ボックスに、Mobile VPN with SSL クライアント接続に割り当てる範囲の最初と最後の IP アドレスを入力します。VPN トラフィックを LAN ブリッジにブリッジする場合は、開始 および 終了 IP アドレスがブリッジ インターフェイスと同じサブネット上にある必要があります。
仮想 IP アドレスの詳細については、次を参照してください:バーチャル IP アドレスおよび Mobile VPN。
認証設定を構成する
次に、認証設定を構成する必要があります。複数の構成済み認証サーバーの使用も選択することができます。リスト上部のサーバーはデフォルト サーバーです。Mobile VPN with SSL クライアントのユーザーが認証サーバーまたはドメインを指定しない場合、認証には既定のサーバーが使用されます。
このサーバーに作成されたグループに、ウィザードで Mobile VPN グループに追加したグループと同じ名前が付けられていることを確認します。認証サーバーに Active Directory を使用する場合は、ユーザーが所属する Active Directory セキュリティ グループ の名前を、Mobile VPN with SSL の構成に含まれるグループ名と同じにする必要があります。詳細については、次を参照してください:外部認証サーバーを構成する。
認証サーバーを選択します
Mobile VPN with SSL ページから、以下の手順を実行します。
- 認証 タブを選択します。
構成済み認証サーバーのリストが表示されます。
- Mobile VPN with SSL ユーザー認証で使用する、それぞれの認証サーバー用チェックボックスを選択します。内部 Firebox データベース (Firebox-DB)、または RADIUS、VACMAN Middleware、SecurID、LDAP、または Active Directory サーバー ドメインから、有効な認証サーバーを選択できます。
有効な認証メソッドのサーバーとドメインのみが一覧表示されます。サポートされている認証メソッドの詳細については、次を参照してください:認証サーバーの種類。 - 認証で使用するサーバーを複数選択した場合、既定のサーバーにするサーバーを選択してください。既定 をクリックすると、そのサーバーはリストの最上位に移動します。
ユーザーが認証に Mobile VPN with SSL クライアントを使用するときに ユーザー名 テキスト ボックスで認証サーバーを指定しない場合、Mobile VPN with SSL は既定の認証サーバーを使用します。 - Mobile VPN with SSL クライアントが自動的に再接続できるようにする場合は、接続が失われた後に自動的に再接続する チェック ボックスをオンにします。このオプションを有効にした場合、モバイル ユーザーは Mobile VPN with SSL クライアントで、自動的に再接続するかどうかをチェックボックスで選択できるようになります。プライマリ IP アドレスに接続できない際に、クライアントが自動的にセカンダリ IP アドレスを使用するようにする場合にも、このオプションを有効化する必要があります。
- Mobile VPN with SSL 接続が切断された後、ユーザーに再認証を要求するには、接続が失われた後、ユーザーに認証を強制する チェック ボックスをオンにします。WatchGuard は、RADIUS、SecurID または VASCO などのワンタイム パスワードで 2 要素認証方法を使用する場合、このチェック ボックスを選択することをお勧めします。接続が切断された場合、再認証を行うようにユーザーを強制しないと、自動的な接続試行が失敗する場合があります。その理由は、Mobile VPN with SSL クライアントが、もはや正しくない、ユーザーが最初に入力したワンタイム パスワードを使用して、接続が失われた後に自動的に再接続します。
- Mobile VPN with SSL クライアントがパスワードを記憶できるようにするには、Mobile VPN with SSL クライアントによるパスワードの記憶を許可する チェック ボックスをオンにします。このオプションを有効にした場合、モバイル ユーザーは Mobile VPN with SSL クライアントで、パスワードを保存するかどうかをチェック ボックスで選択できるようになります。
Mobile VPN with SSLで複数の認証サーバーを使用するように構成した場合、既定の認証サーバーを使用しないユーザーは、認証サーバーまたはドメインをユーザー名の一部として指定する必要があります。詳細と例については、次を参照してください:Mobile VPN with SSL クライアントをインストールして接続する。
Mobile VPN with SSL の構成 ダイアログ ボックスから、以下の手順を実行します。
- 認証 タブを選択します。
構成済み認証サーバーのリストが表示されます。
- Mobile VPN with SSL ユーザー認証で使用する、それぞれの認証サーバー用チェックボックスを選択します。内部 Firebox データベース (Firebox-DB)、または RADIUS、VACMAN Middleware、SecurID、LDAP、または Active Directory サーバー ドメインから、有効な認証サーバーを選択できます。
有効になった認証方法のサーバーとドメインのみが一覧表示されます。サポートされている認証メソッドの詳細については、次を参照してください:認証サーバーの種類。 - 認証で使用するサーバーを複数選択した場合、既定のサーバーにするサーバーを選択してください。既定にする をクリックしてそのサーバーをリストの最上位に移動します。
ユーザーが認証に Mobile VPN with SSL クライアントを使用するときに ユーザー名 テキスト ボックスで認証サーバーを指定しない場合、Mobile VPN with SSL は既定の認証サーバーを使用します。 - Mobile VPN with SSL クライアントが自動的に再接続できるようにする場合は、接続が失われた後に自動的に再接続する チェック ボックスをオンにします。このオプションを有効にした場合、モバイル ユーザーは Mobile VPN with SSL クライアントで、自動的に再接続するかどうかをチェックボックスで選択できるようになります。プライマリ IP アドレスに接続できない際に、クライアントが自動的にバックアップ IP アドレスを使用するようにする場合にも、このオプションを有効化する必要があります。
- Mobile VPN with SSL 接続が切断された後、ユーザーに再認証を要求するには、接続が失われた後、ユーザーに認証を強制する チェック ボックスをオンにします。WatchGuard は、RADIUS、SecurID または VASCO などのワンタイム パスワードで 2 要素認証方法を使用する場合、このチェック ボックスを選択することをお勧めします。接続が切断された場合、再認証を行うようにユーザーを強制しないと、自動的な接続試行が失敗する場合があります。その理由は、Mobile VPN with SSL クライアントが、もはや正しくない、ユーザーが最初に入力したワンタイム パスワードを使用して、接続が失われた後に自動的に再接続します。
- Mobile VPN with SSL クライアントがパスワードを記憶できるようにするには、Mobile VPN with SSL クライアントによるパスワードの記憶を許可する チェック ボックスをオンにします。このオプションを有効にした場合、モバイル ユーザーは Mobile VPN with SSL クライアントで、パスワードを保存するかどうかをチェック ボックスで選択できるようになります。
Mobile VPN with SSLで複数の認証サーバーを使用するように構成した場合、既定の認証サーバーを使用しないユーザーは、認証サーバーまたはドメインをユーザー名の一部として指定する必要があります。詳細と例については、次を参照してください:Mobile VPN with SSL クライアントをインストールして接続する。
ユーザーおよびグループを追加する
認証に既定の SSLVPN-Users グループを使用することも、認証サーバー上に存在するユーザーおよびグループの名前を追加することができます。
グループ SSLVPN-Users が既定で追加されます。Mobile VPN with SSL を使用する他のグループとユーザーの名前を追加できます。各グループまたはユーザーに対して、グループが存在する特定の認証サーバーを選択したり、そのグループが複数の認証サーバーに存在する場合Anyを選択することができます。追加するグループまたはユーザー名は認証サーバーに存在していなければなりません。グループおよびユーザー名は大文字と小文字が区別され、認証サーバー上の名前に完全に一致している必要があります。
- ユーザーおよびグループのリストの下にある 追加 をクリックします。
ユーザーまたはグループの追加 ダイアログ ボックスが表示されます。
- グループ または ユーザー を選択して、グループまたはユーザーを追加します。
- 名前 テキスト ボックスにグループまたはユーザーの名前を入力します。名前は認証サーバー上のグループまたはユーザーの名前と同じである必要があります。
- 認証サーバー ドロップダウン リストから、ユーザーまたはグループが存在する認証サーバーを選択します。
または、グループがすべての選択した認証サーバーで使用できる場合は すべて を選択します。 - OK をクリックします。
ユーザーまたはグループが ユーザーとグループ リストに追加されます。 - 保存 をクリックし、構成の設定を保存します。
- グループ または ユーザー を選択して、グループまたはユーザーを追加します。
- 名前 テキスト ボックスにグループまたはユーザーの名前を入力します。名前は認証サーバー上のグループまたはユーザーの名前と同じである必要があります。
- 認証サーバー ドロップダウン リストから、ユーザーまたはグループが存在する認証サーバーを選択します。
または、グループがすべての選択した認証サーバーで使用できる場合は すべて を選択します。 - 追加 をクリックします。
ユーザーまたはグループが ユーザーとグループ リストに追加されます。 - OK をクリックし、構成の設定を保存します。
- リストのグループまたはユーザーを選択します。
- 削除 をクリックします。
SSLVPN-Users を許可する ポリシーと Mobile VPN with SSL グループおよびユーザー
Mobile VPN with SSL の構成を保存するとき、Allow SSLVPN-Users ポリシーが作成または更新され、認証に対して構成したグループとユーザーに適用されます。追加したグループおよびユーザーの名前は、 Allow SSLVPN-Users ポリシーの 送信元 リストに表示されません。代わりに、単一のグループ名 SSLVPN-Users が表示されます。追加したグループとユーザー名は 送信元 リストに表示されませんが、このポリシーは Mobile VPN with SSL の認証設定で構成したすべてのユーザーとグループに適用されます。
Mobile VPN with SSL を無効にした場合、SSLVPN-Users を許可する ポリシーと SSLVPN-Users グループは自動的に削除されます。
Mobile VPN with SSL の詳細設定を構成する
詳細ページで構成できる設定は以下のとおりです:
- 認証と暗号化
- 設定する
- タイマー
- DNS と WINS
Fireware v12.0 では、認証と暗号化設定がより強力な既定値に変更されました。Blowfish、MD5 および DES の設定は削除されました。Fireware v11.12.4 以前におけるこれらの設定の詳細については、以前のバージョンの Fireware ヘルプを参照してください。
- VPN > Mobile VPN with SSL の順に選択します。
Mobile VPN with SSL 構成 ページが表示されます。
- 詳細 タブを選択します。
- 詳細設定を構成する方法:
認証
接続の認証方法を選択します: SHA-1、SHA-256 または SHA-512。SHA-1 よりも強力な SHA-2 のバリアント、SHA-256 および SHA-512 を勧め勧めします。
暗号化
トラフィックを暗号化するためのアルゴリズムを選択します:3DES、AES (128 ビット)、AES (192 ビット) または AES (256 ビット)。AES 暗号化をお勧めします。パフォーマンスを優先するには AES (128 ビット) を選択します。強力な暗号化を優先するには AES (256 ビット) を選択します。
3DES を選択する場合は、潜在的ながらも可能性が低いセキュリティ攻撃にご注意ください。より詳しい情報は、WatchGuard ナレッジ ベースの Sweet32 脆弱性 を参照してください。
データ チャネル
VPN 接続が確立された後に、Mobile VPN with SSL がデータを送信するために使用するプロトコルとポートを選択します。TCP または UDP プロトコルを使用できます。その後、ポートを選択します。Mobile VPN with SSL の既定のプロトコルおよびポートは、TCP ポート 443 です。これは HTTPS トラフィックの標準のプロトコルおよびポートです。着信 HTTPS ポリシーで同じ外部 IP アドレスを使用していない場合に限り、ポート 443 を Mobile VPN with SSL に使用することができます。
443 以外のポートの使用にデーターチャンネルを変更する場合、Mobile VPN with SSL 接続 ダイアログ ボックスにこのポートを手動で入力する必要があります。たとえば、データ チャンネルを 444 に変更し、Firebox の IP アドレスが 203.0.113.2 の場合、ユーザーは 203.0.113.2 の代わりに 203.0.113.2:444 と入力しなければなりません。
ポートが既定の 443 に設定されている場合、ユーザーは Firebox の IP アドレスのみ入力する必要があります。IP アドレスの後に :443 を入力する必要はありません。
詳細については、次を参照してください:Mobile VPN with SSL 用ポートとプロトコルの選択。
Mobile VPN with SSL は、セカンダリ外部インターフェイスの IP アドレスへの VPN 接続には UDP データ チャンネルをサポートしていません。
チャンネルの構成
Mobile VPN with SSL がデータ チャンネルをネゴシエートしたり、構成ファイルをダウンロードしたりするために使用するプロトコルとポートを選択します。データ チャンネル プロトコルを TCP に設定すると、構成チャンネルが自動的に同じポートとプロトコルを使用します。データ チャンネル プロトコルを UDP に設定すると、構成チャンネル プロトコルを TCP または UDP に設定し、データ チャンネルとは異なるポートを使用できます。
キープアライブ間隔
トンネル経由で送信されるトラフィックが他にないときに、トンネルをアクティブ状態に保つために Firebox がトンネル経由で送信するトラフィックの間隔を指定します。
キープアライブ タイムアウト
Firebox が応答を待つ時間を指定します。タイムアウト値の前に応答がない場合、トンネルが抑制されるため、クライアントを再接続する必要があります。
再ネゴシエート データ チャネル
再ネゴシエート データ チャネル テキスト ボックスに指定した時間が経過するまで Mobile VPN with SSL 接続がアクティブ状態であった場合、Mobile VPN with SSL は新しいトンネルを作成する必要があります。最小値は 60 分です。
DNS サーバーおよび WINS サーバー
DNS または WINS を使用して、Firebox によって保護されているリソースの IP アドレスを解決することができます。Mobile VPN with SSL クライアントに、接続先のリモート ネットワークによって割り当てられたサーバーではなく、Firebox 背後の DNS または WINS サーバーを使用させるには、ネットワークの DNS および WINS サーバーのドメイン名および IP アドレスを入力します。DNS と WINS の詳細については、次を参照してください:Mobile VPN with SSL の名前解決。
- VPN > Mobile VPN > SSL の順に選択します。
Mobile VPN with SSL 構成 ダイアログ ボックスが表示されます。
- 詳細 タブを選択します。
- 詳細設定を構成する方法:
認証
接続の認証方法を選択します: SHA-1、SHA-256 および SHA-512。SHA-1 よりも強力な SHA-2 のバリアント、SHA-256 および SHA-512 をお勧めします。
暗号化
トラフィックを暗号化するためのアルゴリズムを選択します:3DES、AES (128 ビット)、AES (192 ビット) または AES (256 ビット)。AES 暗号化をお勧めします。パフォーマンスを優先するには AES (128 ビット) を選択します。強力な暗号化を優先するには AES (256 ビット) を選択します。
3DES を選択する場合は、潜在的ながらも可能性が低いセキュリティ攻撃にご注意ください。より詳しい情報は、WatchGuard ナレッジ ベースの Sweet32 脆弱性 を参照してください。
データ チャネル
VPN 接続が確立された後に、Mobile VPN with SSL がデータを送信するために使用するプロトコルとポートを選択します。TCP または UDP プロトコルを使用できます。その後、ポートを選択します。Mobile VPN with SSL の既定のプロトコルおよびポートは、TCP ポート 443 です。これは HTTPS トラフィックの標準のプロトコルおよびポートです。着信 HTTPS ポリシーで同じ外部 IP アドレスを使用していない場合に限り、ポート 443 を Mobile VPN with SSL に使用することができます。
443 以外のポートの使用にデーターチャンネルを変更する場合、Mobile VPN with SSL 接続 ダイアログ ボックスにこのポートを手動で入力する必要があります。たとえば、データ チャンネルを 444 に変更し、Firebox の IP アドレスが 203.0.113.2 の場合、ユーザーは 203.0.113.2 の代わりに 203.0.113.2:444 と入力しなければなりません。
ポートが既定の 443 に設定されている場合、ユーザーは Firebox の IP アドレスのみ入力する必要があります。IP アドレスの後に :443 を入力する必要はありません。
詳細については、次を参照してください:Mobile VPN with SSL 用ポートとプロトコルの選択。
Mobile VPN with SSL は、セカンダリ外部インターフェイスの IP アドレスへの VPN 接続には UDP データ チャンネルをサポートしていません。
チャンネルの構成
Mobile VPN with SSL がデータ チャンネルをネゴシエートしたり、構成ファイルをダウンロードしたりするために使用するプロトコルとポートを選択します。データ チャンネル プロトコルを TCP に設定すると、構成チャンネルが自動的に同じポートとプロトコルを使用します。データ チャンネル プロトコルを UDP に設定すると、構成チャンネル プロトコルを TCP または UDP に設定し、データ チャンネルとは異なるポートを使用できます。
キープアライブ間隔
トンネル経由で送信されるトラフィックが他にないときに、トンネルをアクティブ状態に保つために Firebox がトンネル経由で送信するトラフィックの間隔を指定します。
キープアライブ タイムアウト
Firebox が応答を待つ時間を指定します。タイムアウト値の前に応答がない場合、トンネルが抑制されるため、クライアントを再接続する必要があります。
再ネゴシエート データ チャネル
再ネゴシエート データ チャネル テキスト ボックスに指定した時間が経過するまで Mobile VPN with SSL 接続がアクティブ状態であった場合、Mobile VPN with SSL は新しいトンネルを作成する必要があります。最小値は 60 分です。
DNS サーバーおよび WINS サーバー
DNS または WINS を使用して、Firebox によって保護されているリソースの IP アドレスを解決することができます。Mobile VPN with SSL クライアントに、接続先のリモート ネットワークによって割り当てられたサーバーではなく、Firebox 背後の DNS または WINS サーバーを使用させるには、ネットワークの DNS および WINS サーバーのドメイン名および IP アドレスを入力します。DNS と WINS の詳細については、次を参照してください:Mobile VPN with SSL の名前解決。
既定値の復元
詳細 タブの設定を既定値にリセットするにはこれをクリックします。詳細 タブにあるすべての DNS サーバーおよび WINS サーバーの情報が削除されます。
Mobile VPN with SSL クライアント アクセスを制御するために、ポリシーを構成する
Mobile VPN with SSL を有効化すると、Mobile VPN with SSL クライアント アクセスを許可するポリシーが自動的に作成されます。これらのポリシーを変更して、Mobile VPN with SSL クライアントのアクセスを制御することができます。
WatchGuard SSLVPN
この SSLVPN ポリシーは、Mobile VPN with SSL クライアントから Firebox への接続を許可します。このポリシーは、外部、信頼済み、または任意のネットワーク上のあらゆるホストから、Firebox の TCP ポート 443 (Firebox が Mobile VPN with SSL に使用するポートとプロトコル) 上に構成されたプライマリまたはセカンダリインターフェイスの IP アドレスへのトラフィックを許可します。
このポリシーで許可する TCP ポート 443 接続を、特定のインターフェイスの IP アドレスに制限するには、ポリシーの 送信先 セクションを編集し、Firebox エイリアスを削除して、Mobile VPN with SSL クライアントが接続に使用する外部 IP アドレスを追加します。
SSLVPN-Users を許可する
任意 ポリシーは、SSL 認証構成に追加されたグループおよびユーザーが、ネットワーク上のリソースにアクセスすることを許可します。このポリシーには、Mobile VPN with SSL 構成のユーザーとグループがすべて自動的に含まれます。SSL クライアントから、Firebox によって保護されているネットワーク リソースへのトラフィックの許可に関する制限はありません。
VPN ユーザーのトラフィックをポートやプロトコルによって制限するには、SSLVPN-Users を許可する ポリシーを無効にするか削除します。次に、構成に新しいポリシーを追加するか、または既存のポリシーの 送信元 セクションに Mobile VPN with SSL アクセスを持つグループを追加します。
すべての Mobile VPN with SSL トラフィックは既定で信頼できません。Mobile VPN with SSL ユーザーに信頼済みネットワークと同じサブネット上の IP アドレスを割り当てた場合でも、Mobile VPN with SSL ユーザーからのトラフィックは信頼済みとはみなされません。割り当てられた IP アドレスに関係なく、ネットワーク リソースに Mobile VPN with SSL ユーザー アクセスを許可できるポリシーを作成する必要があります。
WatchGuard 認証
Fireware v11.11.4 以前では、この WG-Auth ポリシーでは、ユーザーがポート 4100 で Firebox から認証を受け、Mobile VPN with SSL クライアント ソフトウェアをダウンロードすることが許可されます。WatchGuard 認証ポリシーが Firebox 構成に既に含まれていない場合は、Mobile VPN with SSL が有効化される際に、それが自動的に作成されます。WatchGuard 認証ポリシーは、ユーザーが外部ネットワークから Firebox に接続できるように、Any-External から Firebox へのトラフィックを許可していなければなりません。
このポリシーの詳細については、次を参照してください:WatchGuard 認証 (WG-Auth) ポリシーについて。
Fireware v11.12 以降では、Mobile VPN with SSL を有効にしてもこのポリシーは自動的に作成されません。ユーザーは、ポート 443 または自分で指定するカスタム ポートでの Firebox により認証を受け、Mobile VPN with SSL クライアント ソフトウェアをダウンロードします。
Firebox を Fireware OS v11.12 にアップグレードした後、構成ファイルに WatchGuard 認証ポリシーが含まれている場合、エイリアス Any-External は自動的に削除されます。Policy Manager を使ってアップグレードする場合、構成を Firebox に保存する際にエイリアスが構成に自動的に再度追加されないようにするには、アップグレードの完了後に Firebox から構成を手動で再読み込みする必要があります。Any-External のエイリアスは、それが手動で追加されたかどうか、または Mobile VPN with SSL が有効になっているかどうかに関係なく、 WatchGuard 認証ポリシーから自動的に削除されます。
信頼済みネットワークへアクセスするように Mobile VPN with SSL ユーザーを許可する
この例では、SSLVPN-Users グループのメンバーがすべての信頼済みネットワーク上のリソースへの完全なアクセスを得られるようにするために、任意の ポリシーを追加します。
- ファイアウォール > ファイアウォール ポリシー の順に選択します。
ポリシーのページが表示されます。 - ポリシーの追加 をクリックします。
- パケット フィルタ ドロップダウン リストから、任意 を選択します。
- 名前テキスト ボックスに、ポリシーの説明用の名前を入力します。
- ポリシーの追加 をクリックします。
- 設定 タブの 送信元 セクションで、Any-Trusted を選択して 削除 をクリックします。
- 送信元セクションで、追加をクリックします。
メンバーの追加 ダイアログ ボックスが表示されます。 - メンバーの種類 ドロップダウン リストから、SSLVPN グループ を選択します。
- SSLVPN-Users を選択します。
- メンバーの追加 ダイアログ ボックスを閉じるには、OK をクリックします。
- 送信先 セクションで、Any-External を選択します。削除 をクリックします。
- 送信元 セクションで、追加 をクリックします。
メンバーの追加 ダイアログ ボックスが表示されます。 - メンバー リストから、Any-Trusted を選択します。
- OK をクリックします。
- 保存 をクリックします。
-
をクリックします。
または、編集 > ポリシーの追加 の順に選択します。
ポリシーの追加 ダイアログ ボックスが開きます。 - パケット フィルタ フォルダを展開します。
パケット フィルタのテンプレートの一覧が表示されます。 - 任意 を選択します。
- 追加 をクリックします。
[新しいポリシーのプロパティ] ダイアログボックスが開きます。 - 名前テキスト ボックスに、ポリシーの説明用の名前を入力します。
- ポリシー タブの 送信元 セクションで、Any-Trusted を選択します。削除 をクリックします。
- 送信元セクションで、追加をクリックします。
アドレスの追加 ダイアログ ボックスが表示されます。 - ユーザーの追加をクリックします。
- 2 つの 種類 ドロップダウン リストから、1 番目に SSL VPN、2 番目に グループ を選択します。
- SSLVPN-Users を選択して 選択 をクリックします。
SSLVPN-Users の後ろには括弧に認証方法の名前が表示されます。 - アドレスの追加 ダイアログ ボックスを閉じるには、OK をクリックします。
- 送信元 セクションで、Any-External を選択して、削除 をクリックします。
- 送信元 セクションで、追加 をクリックします。
アドレスの追加 ダイアログ ボックスが表示されます。 - 使用可能なメンバー リストから、Any-Trusted を選択して 追加 をクリックします。
- OKを 2 回クリックします。閉じる をクリックします。
- Firebox への変更を保存します。
ポリシーの詳細については、次を参照してください:構成にポリシーを追加する.
Mobile VPN with SSL ポリシーで他のグループまたはユーザーを使用する
Mobile VPN with SSL 接続を確立するには、ユーザーは SSLVPN-Users グループのメンバーであるか、または Mobile VPN with SSL 構成に追加したグループのメンバーである必要があります。ユーザーが接続した後、リソースへのアクセスを制限するには、他のグループのポリシーを使用することができます。サードパーティの認証サーバーから Mobile VPN with SSL 構成にグループを追加し、それらのグループ名をポリシーで使用してアクセスを制限する必要がある場合、それらのグループを Firebox 構成の ユーザーとグループ リストにも追加する必要があります。
- 認証 > ユーザーおよびグループ の順に選択します。
- 次のセクションの説明に従い、ユーザーとグループを追加します:認証済みユーザーまたはグループをポリシーで使用する。
Mobile VPN with SSL 構成から ユーザーおよびグループ リストにユーザーまたはグループを追加した後、自動的に生成された SSLVPN-Users ポリシーを変更そて特定のグループまたはユーザーに適用することができます。
この例では、SSLVPN-Users を許可する ポリシーを変更して、LDAP-Users1 というユーザー グループにのみ適用します。
- 認証 > ユーザーおよびグループ の順に選択します。
- Mobile VPN with SSL 構成に追加した LDAP-Users1 グループを追加します。
認証サーバー を LDAP に必ず設定します。 - SSLVPN-Users を許可する ポリシーを編集します。
- 送信元 セクションで、SSLVPN-Users グループを削除します。
- 送信元セクションで、追加をクリックします。
メンバーの追加 ダイアログ ボックスが表示されます。 - メンバーの種類 ドロップダウン リストから、SSLVPN グループ を選択します。
グループの一覧が表示されます。 - LDAP-Users1 グループを選択します。OK をクリックします。
LDAP-Users1 グループが送信元リストに表示されます。 - OK をクリックします。
これで、SSLVPN-Users を許可する ポリシーが LDAP-Users1 グループにのみ適用されます。
- 設定 > 認証 > ユーザーとグループ の順に選択します。
- 次のセクションの説明に従い、ユーザーとグループを追加します:認証済みユーザーまたはグループをポリシーで使用する。
Mobile VPN with SSL 構成から ユーザーおよびグループ リストにユーザーまたはグループを追加した後、自動的に生成された SSLVPN-Users ポリシーを変更そて特定のグループまたはユーザーに適用することができます。
この例では、SSLVPN-Users を許可する ポリシーを変更して、LDAP-Users1 というユーザー グループにのみ適用します。
- 設定 > 認証 > ユーザーとグループ の順に選択します。
- Mobile VPN with SSL 構成に追加した LDAP-Users1 グループを追加します。
認証サーバー を LDAP に設定することを確認します。 - SSLVPN-Users を許可する ポリシーを編集します。
- 送信元 セクションで、SSLVPN-Users グループを削除します。
- 送信元セクションで、追加をクリックします。
アドレスの追加 ダイアログ ボックスが表示されます。 - 他を追加する を選択します。
メンバーの追加 ダイアログ ボックスが表示されます。
- 種類の選択 ドロップダウン リストから、カスタム アドレス を選択します。
- ユーザー/グループ ドロップダウンリストから、LDAP-Users1 グループを選択します。OK をクリックします。
LDAP-Users1 グループが選択されたメンバーとアドレス リストに表示されます。 - OK をクリックします。
これで、SSLVPN-Users を許可する ポリシーが LDAP-Users1 グループにのみ適用されます。
関連情報
Mobile VPN with SSL クライアントをインストールして接続する
Mobile VPN with SSL クライアントをアンインストールする
ビデオ チュートリアル — Mobile VPN with SSL