モバイル VPN を構成すると、Firebox によって以下の 2 つの種類のポリシーが自動で作成されます。
接続ポリシー
接続ポリシーは、VPN を確立します。Mobile VPN with L2TP には、以下の 2 つの接続ポリシーがあります。
- Allow-IKE-to-Firebox — このポリシーは非表示になっているため、Firebox のポリシー リストには表示されません。グローバル VPN 設定では、組み込みの IPSec ポリシーを有効にする 設定がこのポリシーを制御します。組み込みの IPSec ポリシーを有効にする チェックボックスはオフにしないでください。グローバル VPN 設定の詳細については、次を参照してください:グローバル VPN 設定について。
- WatchGuard L2TP — このポリシーはエイリアス L2TP-IPSec から Firebox への UDP 1701 トラフィックを許可します。
接続ポリシーを変更しないことをお勧めします。
アクセス ポリシー
アクセス ポリシーは、Mobile VPN with L2TP グループおよびユーザーが、ネットワーク上のリソースにアクセスすることを許可します。Mobile VPN with L2TP の場合、アクセス ポリシーの名前は Allow L2TP-Users です。
ウィザードを使用して Policy Manager で Mobile VPN with L2TP を構成する場合:
- L2TP ユーザーがアクセスできるネットワーク リソースを指定することができます。すべてのリソースへのアクセスを許可 を選択した場合、Allow L2TP-Users ポリシーの 送信先 リストには Any というエイリアスのみが含まれます。つまり、そのユーザーはすべてのネットワーク リソースにアクセスできるということです。
- 下記のリソースへのアクセスを制限する を選択した場合、Allow L2TP-Users ポリシーの 送信先 リストには指定したリソースのみが含まれます。
ウィザードを使用して Fireware Web UI で Mobile VPN with L2TP を有効にした場合、ネットワーク リソースを指定するオプションは表示されません。既定では、Allow L2TP-Users ポリシーは、ユーザーがすべてのネットワーク リソースにアクセスできるようになっています。
Policy Manager または Fireware Web UI でウィザードを完了したら、Allow L2TP-Users ポリシーを編集して許可するリソースを変更することができます。
L2TP-Users グループのみが、Allow L2TP-Users ポリシーの 送信元 の一覧に表示されます。L2TP-Users グループには、Mobile VPN with L2TP 構成に追加したすべてのユーザーとグループが含まれます。Mobile VPN with L2TP に追加したユーザーとグループは、Allow L2TP-Users ポリシーの 送信元 リストには表示されません。ただし、ポリシーはそれらのユーザーやグループにも適用されます。
認証グループと L2TP ポリシー
Firebox のポリシーは、モバイル VPN ユーザーがアクセスできるリソースを制御するものであることを理解することが重要です。VPN は、信頼済みまたは任意のゾーンの一部とは見なされません。そのため、ユーザーが VPN に接続しても、ローカル ネットワーク上の信頼済みユーザーと見なされるわけではありません。
つまり、送信元 リストに表示されているエイリアスが信頼済みまたは任意の Firebox ポリシーは、モバイル VPN グループまたはユーザーをそれらのポリシーに追加しない限り、モバイル VPN ユーザーからのトラフィックには適用されません。または、モバイル VPN のグループやユーザーからのトラフィック用に新しいポリシーを作成することもできます。
たとえば、このポリシーの場合、送信元 リストには Any-Trusted というエイリアスしか含まれていないため、これは Mobile VPN with L2TP ユーザーからのトラフィックには適用されません。
このポリシーの場合、送信元 リストには Mobile VPN with L2TP ユーザー グループが含まれているため、これは Mobile VPN with L2TP からのトラフィックに適用されます。
また、Mobile VPN with L2TP の構成で RADIUS ユーザー グループの TestGroup1 が指定されているため、このポリシーは Mobile VPN with L2TP ユーザーからのトラフィックにも適用されます。
Firebox ポリシーに追加するユーザー グループは慎重に検討してください。たとえば、Firebox の認証構成に RADIUS ユーザー グループを追加し、Mobile VPN with L2TP の構成にも同じグループを追加する場合、Firebox ポリシーには既定の L2TP -Users グループではなく、RADIUS グループを追加することを検討してください。L2TP -Users グループには、Mobile VPN with L2TP 構成に追加したすべてのグループとユーザーが含まれます。Firebox ポリシーに L2TP -Users グループを追加すると、意図に反して、すべてのモバイル ユーザーがそのポリシーで指定されたリソースにアクセスできるようになってしまいます。
仮想 IP アドレス プールは、VPN ユーザーをローカル ネットワーク上の信頼済みユーザーとみなすかどうかには影響しません。たとえば、ローカル ネットワークの IP アドレス範囲と重複するように Mobile VPN with L2TP の IP アドレス プールを指定した場合でも、モバイル VPN ユーザーはローカル ネットワーク上の信頼できるユーザーとはみなされません。
L2TP ポリシーのベストプラクティス
Mobile VPN with L2TP ユーザーが VPN を経由してアクセスできるネットワーク リソースを制限することをお勧めします。これを行うには、Allow L2TP -Users ポリシーを置き換えます。
Allow L2TP -Users ポリシーを置き換えるには、以下の手順を実行します。
- ユーザーが必要とするポートとプロトコルを決定します。決定するには、ベースライン テストでネットワークを評価し、ログを確認します。
- Mobile VPN with L2TP のグループとユーザーを、それらのポートとプロトコルを指定する既存の Firebox ポリシーに追加します。たとえば、Web トラフィック用のポリシーに Mobile VPN with L2TP のグループとユーザーを追加することができます。
- 必要に応じて、新しいポリシーを追加します。
- 新しいポリシーの種類を選択すると、プロトコルとポートを指定できます。
- ポリシーの 送信元 リストで、ユーザーまたはグループを指定します。Mobile VPN with L2TP 構成に含まれるグループまたはユーザーを指定する必要があります。たとえば、既定の L2TP -Users グループを指定することができます。または、Mobile VPN with L2TP 構成に追加したグループやユーザーを指定します。
- ポリシーの 送信先 リストから Any エイリアスを削除し、その他の送信先を追加します。
- Allow L2TP -Users ポリシーを無効にする前に、ポリシーによって Mobile VPN with L2TP のユーザーが必要なすべてのネットワーク リソースにアクセスできることを確認します。
- Allow L2TP -Users ポリシーを無効にします。