Mobile VPN with SSL を構成する前に、以下のような Mobile VPN with SSL 構成の要素を理解することが重要です。
- 動的 IP アドレス
- 認証
- ポリシー
- ポートとプロトコル
- 共有設定
- トンネル トラフィック オプション — ルーティングとブリッジング
- 名前解決
- クライアントのダウンロード
Mobile VPN with SSL の構成手順については、ウィザードを使用して Mobile VPN with SSL 用に Firebox を構成する または Firebox で Mobile VPN with SSL を手動で構成する を参照してください。
動的 IP アドレス
Firebox に動的 IP アドレスが指定されている場合は、クライアント接続に IP アドレスではなくドメイン名を指定することができます。モバイル VPN に接続するには、モバイル VPN クライアント設定でドメイン名を指定します。Firebox の外部 IP アドレスは、必ず動的 DNS サービス プロバイダで登録してください。必要に応じて、Firebox の動的 DNS を有効にして、Firebox がサポートする動的 DNS サービス プロバイダに IP アドレスの更新を自動的に送信することができます。動的 DNS の詳細については、次を参照してください: 動的 DNS サービスについて。
認証
Mobile VPN with SSL は、Firebox によりサポートされている認証の種類をすべてサポートします。サポートされている認証の種類の詳細については、次を参照してください: 認証サーバーの種類。Mobile VPN with SSL の外部認証サーバーの詳細については、次を参照してください:外部認証サーバーを構成する。
SSL VPN クライアントで認証サーバーを指定する方法の詳細については、次を参照してください:Mobile VPN with SSL クライアントをダウンロード、インストール、および接続する。
多要素認証 (MFA)
WatchGuard が提供するクラウドベースの MFA ソリューションである AuthPoint を使用して、SSL VPN ユーザーに多要素認証を提供することができます。以下の 2 つの方法のいずれかを使用できます。
Fireware v12.7 以降
SSL VPN ユーザーの認証要求を AuthPoint に直接転送するように Firebox を構成することができます。AuthPoint で必要な構成を行うと、Firebox の認証サーバーのリストに AuthPoint が表示されます。Mobile VPN with SSL 構成では、AuthPoint を認証サーバーとして選択する必要があります。この統合は、WatchGuard Mobile VPN with SSL クライアント (v12.7以降のみ) と OpenVPN クライアントをサポートしています。
構成例については、統合ガイドである Firebox Mobile VPN with SSL と AuthPoint の統合 の、Fireware v12.7 以降に関するセクションを参照してください。
Fireware v12.6.x 以下で Mobile VPN with SSL の AuthPoint MFA を構成した場合は、その統合を維持したまま、Fireware v12.7 以上で更新した統合を構成することができます。構成の変換に関する詳細については、Firebox の MFA を構成する の「Fireware 12.6.x 以下から構成を変換する」セクションを参照してください。
Fireware v12.6.4 以下
Firebox の Mobile VPN with SSL 構成で、RADIUS サーバーを指定する必要があります。AuthPoint は Firebox 上の認証サーバーのリストには表示されません。
構成例については、統合ガイドである Firebox Mobile VPN with SSL と AuthPoint の統合 の、Fireware v12.6.x 以下に関するセクションを参照してください。
Mobile VPN with SSL の AuthPoint MFA ワークフローに関する一般情報については、次を参照してください:Firebox の MFA を構成する。
また、RADIUS サーバーで多要素認証や 2 要素認証がサポートされている場合は、サードパーティ MFA ソリューションを使用することもできます。サードパーティ MFA の実装に関する詳細については、次を参照してください:Mobile VPN で多要素認証 (MFA) を使用する。
ユーザー グループ
Mobile VPN with SSL を構成すると、Firebox によって自動的に SSLVPN-Users ユーザー グループが作成されます。この既定グループを使用するか、または認証サーバーのユーザー グループ名と同じ名前の新規グループを作成することができます。ユーザー グループの詳細については、次を参照してください:Firebox で Mobile VPN with SSL を手動で構成する。
ポリシー
Mobile VPN with SSL をアクティブ化すると、Firebox によって WatchGuard SSLVPN と Allow SSLVPN-Users という 2 つのポリシーが作成されます。
Allow SSLVPN-Users ポリシーは、SSL 認証に構成されたグループおよびユーザーにネットワーク上のリソースのアクセスを許可します。既定では、ポリシーの 送信先 リストには Any というエイリアスのみが含まれており、このポリシーでは Mobile VPN with SSL のユーザーがすべてのネットワーク リソースにアクセスできることを意味しています。
Mobile VPN with SSL ユーザーが VPN を経由してアクセスできるネットワーク リソースを制限することをお勧めします。これを行うには、Allow SSL-Users ポリシーを置き換えます。SSL ポリシーを置き換える方法の手順、および SSL ポリシーの詳細については、次を参照してください:Mobile VPN with SSL ポリシーについて。
ポートとプロトコル
Mobile VPN with SSL の既定のプロトコルおよびポートは、通常ほとんどのネットワークで開いている TCP ポート 443 です。異なるポートやプロトコルを指定するには、次を参照してください:Mobile VPN with SSL 用ポートとプロトコルの選択。
共有された設定
WatchGuard SSLVPN ポリシーは、Management Tunnel over SSL、サーバー モードの BOVPN over TLS、Mobile VPN with SSL、Access Portal により共有されます。このポリシーの詳細については、次を参照してください: SSL/TLS 設定の優先順位と継承。
いくつかの Firebox の機能では、安全な通信に SSL/TLS を使用し、同じ OpenVPN サーバーを共有しています。OpenVPN サーバーが共有される機能は以下の通りです (優先順位の高いもの順)。
- ハブ デバイスにおける SSL 上の管理トンネル
- サーバー モードにおける TLS 経由の BOVPN
- Mobile VPN with SSL
- Access Portal
優先度の低い機能は、有効化されている優先度の高い機能からの SSL/TLS 設定の一部を継承します。優先度の低い機能には、共有設定を構成することはできません。
例 — Management Tunnel と Mobile VPN with SSL の有効化
Management Tunnel over SSL と WSM Management Server 上で Management Tunnel を有効にすると、Mobile VPN with SSL トンネルが共有する設定の一部は、Management Server で管理されることになります。これらの設定を Mobile VPN with SSL 構成で変更することはできません。これらの設定には、Firebox IP アドレス、ネットワーク メソッド、仮想 IP アドレス プール、VPN リソース、データ チャンネル、構成チャンネルが含まれます。また、Management Tunnel の認証に必要な Firebox-DB 認証サーバーを無効にすることもできません。これらの共有設定は、Management Server のデバイス プロパティで変更する必要があります。
例 — TLS 経由の BOVPN Server と Mobile VPN with SSL の有効化
Firebox を TLS 経由の BOVPN サーバーとして有効にする場合、Mobile VPN with SSL の一部の設定がTLS 経由の BOVPN サーバーの設定から継承されます。これらの設定を Mobile VPN with SSL 構成で変更することはできません。これらの設定には、Firebox IP アドレス、ネットワーク メソッド、仮想 IP アドレス プール、VPN リソース、データ チャンネル、認証と暗号化の設定、タイムアウトの設定が含まれます。
Fireware v12.1.x では、Access Portal と SSL 経由の Mobile VPN の共通の設定が VPN Portal という名前のページに表示されます。Mobile VPN with SSL の構成データ チャンネルが VPN Portal ポート という名前に変更され、VPN Portal 設定に表示されます。Fireware v12.2 では、VPN Portal 設定は Access Portal および Mobile VPN with SSL の構成に移動しました。Fireware v12.1.x に適用される構成の手順については、WatchGuard ナレッジ ベースの Fireware v12.1.x で VPN ポータル設定を構成する を参照してください。
トンネル トラフィック オプション
Mobile VPN with SSL を構成する前に、Firebox がトラフィックを VPN トンネル経由でどのように送信するかを決定します。選択したオプションによっては、Mobile VPN with SSL を有効化する前にネットワーク構成を変更しなければならない場合があります。
以下のいずれかの方法でネットワークへの VPN トラフィックが処理されるように、Mobile VPN with SSL を構成することができます。
VPN トラフィックのルーティング
これが既定の選択です。このオプションを使用すると、Firebox は VPN トンネルからのトラフィックを、ローカルの信頼済みネットワーク、任意のネットワーク、カスタム ネットワークすべてか、指定された特定のネットワーク リソースにルーティングします。
VPN トラフィックのブリッジ
このオプションを使用すると、信頼済み、任意、またはカスタム ネットワークに SSL VPN トラフィックをブリッジすることができます。このオプションを選択すると、SSL VPN ユーザーと SSL VPN トラフィックをブリッジするネットワーク間のトラフィックをフィルタできません。VPN トラフィックをネットワークにブリッジすると、SSL VPN ユーザーはブリッジ先のネットワーク上の他のユーザーと同じセキュリティ ゾーンに入ります。それらのモバイル ユーザーのトラフィックは、ブリッジ先のネットワーク上の他のユーザーのトラフィックと同じセキュリティ ポリシーによって管理されます。
たとえば、VPN トラフィックを信頼済みインターフェイスにブリッジすると、Any-Trusted エイリアスのトラフィックを許可するすべてのポリシーは、Mobile VPN with SSL でネットワークに接続するユーザーのトラフィックを許可します。VPN トラフィックのブリッジ オプションは、選択されたネットワーク ブリッジ上のセカンダリ ネットワークへは SSL VPN トラフィックをブリッジしません。
ブリッジ インターフェイスの構成方法の詳細については、次を参照してください: ネットワーク ブリッジ構成を作成する。
FireboxVPN または XTMv 仮想マシンの Mobile VPN with SSL 構成で VPN トラフィックのブリッジ を選択する場合、VMware の仮想スイッチ (vSwitch) で無差別モードを有効にする必要があります。
Web UI から Mobile VPN with SSL を構成する場合は、Web UI へのログインに使用したインターフェイスをブリッジ インターフェイスに変更しないでください。これを変更すると、デバイスへの管理接続が直ちに失われます。これが発生した場合は、別の構成済みインターフェイスを使用して Fireware Web UI に再接続する必要があります。
ブリッジ インターフェイスへのデバイス管理に使用するインターフェイスを変更する場合は、Policy Manager でこの変更を行うことをお勧めします。更新した構成をデバイスに保存する前に、すべてのインターフェイス構成の変更を完了できます。
管理に使用する信頼済みインターフェイスまたはオプショナル インターフェイスをブリッジ インターフェイスに変更するには、Fireware Web UI で以下の手順を実行します:
- 一時的な管理インターフェイスとして使用する別の信頼済みインターフェイスまたはオプショナル インターフェイスを構成します。
- 管理コンピュータを新しいインターフェイスに接続して、Web UI にログインします。
- 元の管理インターフェイスをブリッジ インターフェイスに変更し、このインターフェイスを含む LAN ブリッジを構成します。
- 管理コンピュータを元の管理インターフェイスに接続します。
- 一時的な管理インターフェイスを無効にします。
詳細な手順については、ネットワーク ブリッジ構成を作成する を参照してください。
Mobile VPN 接続でのルックアップに DNS がどのように使用されるかの詳細については、次を参照してください: DNS および Mobile VPN。
名前解決
モバイル VPN ユーザーの名前解決を行う方法は、ユーザーが決定する必要があります。詳細については、Mobile VPN with SSL の名前解決 を参照してください。
クライアントのダウンロード
Mobile VPN with SSL クライアント ソフトウェアをユーザーがどのように取得すべきかを決定します。
- Firebox によってホスティングされているソフトウェアのダウンロード ページ
- WatchGuard Web サイトのソフトウェア ダウンロード ページ
- 手動配布
Firebox によってホスティングされているソフトウェアのダウンロード ページ
既定では、https://[Firebox IP アドレス]:[ポート]/sslvpn.html にある Mobile VPN with SSL ソフトウェアのダウンロード ページからクライアントをダウンロードすることができます。このページの詳細については、次を参照してください:Mobile VPN with SSL クライアントをダウンロード、インストール、および接続する。
Fireware v12.5.4 以降では、Mobile VPN with SSL ソフトウェアのダウンロード ページを無効にすることができます。たとえば、企業のセキュリティ ポリシーに準拠するために、このページを無効にすることができます。ソフトウェアのダウンロード ページを無効にするには、以下の CLI コマンドを指定する必要があります。
WG#config
WG(config)#policy
WG(config/policy)#no sslvpn web-download enable
ページを有効にするには、以下を指定します。
WG#config
WG(config)#policy
WG(config/policy)#no sslvpn web-download enable
このオプションは、Fireware Web UI または Policy Manager では使用できません。
CLI にコマンドを入力する方法の詳細については、Fireware CLI レファレンス を参照してください。
WatchGuard Web サイトのソフトウェア ダウンロード ページ
ユーザーは、WatchGuard Web サイトで最新バージョンの Mobile VPN with SSL ソフトウェアをダウンロードすることができます。
手動配布
クライアントを、手動でユーザーのデバイスにインストールすることができます。詳細については、Mobile VPN with SSL クライアント ソフトウェアおよび構成ファイルを手動で配布およびインストールする を参照してください。
関連情報:
ウィザードを使用して Mobile VPN with SSL 用に Firebox を構成する