アクセス ポイントのキャプティブ ポータルを構成する

適用対象: WatchGuard Cloud の管理対象アクセス ポイント (AP130、AP230W、AP330、AP332CR、AP430CR、AP432)

キャプティブ ポータルは、クライアントがワイヤレス ネットワークの SSID に接続する際にリダイレクトされる Web ページです。表示されるキャプティブ ポータル Web ページは、スプラッシュ ページ と呼ばれます。

Screen shot of an example Captive Portal splash page

キャプティブ ポータルを活用することで、ゲスト ワイヤレス クライアントのインターネットのみの接続を制限することができます。また、ワイヤレス クライアントが利用規約とプライバシー ポリシーを確認して受諾した場合にのみインターネットにアクセスできるようにしたり、キャプティブ ポータル スプラッシュ ページで Web フォームにユーザー詳細を提供したりするようにポリシーを強制することもできます。

ゲスト分析レポートは WatchGuard USP Wi-Fi Management ライセンスで利用できます。ゲスト分析レポートには、WatchGuard Cloud でホストされているキャプティブ ポータル スプラッシュ ページで Web フォーム フィールドが有効化されている場合に、ゲスト Wi-Fi ネットワークに接続するユーザーに関する詳細が表示されます。詳細については、次を参照してください:アクセス ポイントのゲスト分析レポート

キャプティブ ポータルの種類

以下の 2 種類のキャプティブ ポータルを追加することができます:

  • WatchGuard Cloud でホストされている — キャプティブ ポータルとスプラッシュ ページは WatchGuard Cloud 内でホストされます。複数のワイヤレス SSID で使用できる固有のスプラッシュ ページを最大 30 まで作成し、各スプラッシュ ページの画像とテキストをカスタマイズすることができます。詳細については、次を参照してください:キャプティブ ポータルにスプラッシュ ページを追加する
  • サードパーティでホストされている — サードパーティ キャプティブ ポータル プロバイダと統合し、キャプティブ ポータル スプラッシュ ページをホストします。現在、この機能は Purple Wi-Fi、Beonic (Skyfii)、および Mambo Wi-Fi との統合をサポートしています。特定のサードパーティ プロバイダとの統合方法の詳細については、Wi-Fi 統合ガイド を参照してください。

キャプティブ ポータル スプラッシュ ページまたはサードパーティでホストされているプロバイダから RADIUS 認証を要求された場合は、キャプティブ ポータルを構成する前に、RADIUS サーバーを構成し、認証ドメインを追加してください。詳細については、次を参照してください:アクセス ポイントの認証ドメイン

キャプティブ ポータルを追加する

SSID にキャプティブ ポータルを追加するには、Access Point Site でキャプティブ ポータル オプションを有効化する必要があります。

  1. 構成 > Access Point Site の順に選択します。
    Access Point Site ページが開きます。

Screen shot of the Access Point Sites page in WatchGuard Cloud

  1. 既存のサイトを編集する、または サイトを追加する をクリックして、新しいサイトを追加します。
    構成の詳細ページが開きます。

Screen shot of the Configuration Details page for an access point site in WatchGuard Cloud

  1. SSID を追加する をクリックして、キャプティブ ポータルが使用されるサイトにワイヤレス ネットワークを追加します。

Screen shot of the SSID settings in an access point Site

以下の基本的な SSID 設定を構成します。

  • SSID 名 — SSID 名を入力します。これが、ワイヤレス クライアントに表示されるこのワイヤレス ネットワークの名前となります。
  • ブロードキャスト SSID — 既定設定を使用して、SSID 名をワイヤレス クライアントにブロードキャストします。
  • SSID の種類プライベート または ゲスト ワイヤレス ネットワークを選択します。ゲスト を選択した場合は、これにより、SSID 詳細設定でクライアント隔離を行い、ゲスト ワイヤレス クライアント間の直接通信を防止することができます。
  • 無線 — この SSID がブロードキャストされるアクセス ポイント無線を選択します。例えば、既定設定の 2.4 GHz と 5 GHz を使用して、両方の無線でブロードキャストします。
  • セキュリティ — この SSID のセキュリティの種類を選択します。ネットワークを保護する場合は、少なくとも WPA2 パーソナル またはそれ以上のセキュリティを使用します。多くのパブリック ホットスポットまたはサードパーティでホストされているキャプティブ ポータル サービスでは オープン セキュリティの使用が求められるため、パスフレーズを提供する必要はありませんが、パスフレーズを設定することで、未承認ユーザーによるネットワークへのアクセスをブロックすることができます。デバイスがサポートしている場合の安全なオプションである OWE (Opportunistic Wireless Encryption の略で強化オープンとも呼ばれる) は、802.11ax デバイスでも使用できます。OWE を利用することで、データを暗号化して認証なしでデータのプライバシーを保護できるオープン ネットワークを構築することができます。しかし、この場合は、アクセス ポイントとクライアントの両方で OWE がサポートされている必要があります。ネットワークまたはサードパーティでホストされているキャプティブ ポータル プロバイダがエンタープライズ認証を使用している場合は、キャプティブ ポータルを構成する前に、必要とされる RADIUS サーバーと認証ドメインを構成してください。詳細については、次を参照してください:アクセス ポイントの RADIUS 認証を構成する

SSID の構成が完了したら、サイトの構成設定に戻ります。

Screenshot of the Access Point Settings with an SSID for Captive Portal

  1. Access Point Site 設定ページから、キャプティブ ポータル をクリックします。
    キャプティブ ポータル設定ページが開きます。

Screenshot of the Captive Portal settings page

ポータルでは、内部の 予約済み IP アドレス範囲 が使用されます。これにより、ワイヤレス クライアントがポータルに接続した際に、SSID の NAT 設定が置き換えられます。現時点で SSID または他のネットワークの NAT 設定で使用されていない推奨 IP アドレス範囲 (172.16.0.0/12 または 10.0.0.0/8) を選択します。WatchGuard Cloud では、サイトに構成されている SSID の NAT ネットワーク設定に基づいて、こうした推奨予約済み IP アドレスが決定されます。また、アクセス ポイントが配備されているネットワークおよびデバイス構成で作成された SSID についても考慮する必要があります。

DHCP からアクセス ポイントに IP アドレス設定が送信されるようになっている場合は、キャプティブ ポータルの内部使用向けに選択する予約済み IP アドレス範囲と DHCP アドレスが競合しないことを確認してください。エンタープライズ セキュリティで RADIUS 認証を使用する場合は、RADIUS サーバー アドレスがキャプティブ ポータルの内部使用向けに選択する予約済み IP アドレス範囲と競合しないことを確認してください。

  1. キャプティブ ポータルを追加する をクリックします。
    キャプティブ ポータルを追加する ページが開きます。

  1. SSID ドロップダウン リストから、そのキャプティブ ポータルで使用する SSID を選択します。
    この SSID に接続するワイヤレス クライアントは、キャプティブ ポータル スプラッシュ ページにリダイレクトされます。

    アクセス ポイント VPN、ネットワーク アクセス強制、PPSK、または動的 VLAN で SSID がすでに構成されている場合は、その SSID でキャプティブ ポータルを有効化することはできません。

  1. キャプティブ ポータルの種類 ドロップダウン リストから、WatchGuard Cloud でホストされている または サードパーティでホストされている を選択します。
  • WatchGuard Cloud でホストされている を選択した場合は、キャプティブ ポータルで使用するスプラッシュ ページを選択するか、新規のスプラッシュ ページを作成します。スプラッシュ ページの作成方法の詳細については、次を参照してください:キャプティブ ポータルにスプラッシュ ページを追加する

Screenshot of the Add Captive Portal splash page settings

  • サードパーティでホストされている を選択した場合は、サードパーティでホストされているキャプティブ ポータル プロバイダと統合するため、以下の設定を構成します:

Screenshot of the Captive Portal settings page for a third-party hosted portal

  • スプラッシュ ページ URL — サードパーティ キャプティブ ポータルの URL を入力します。正しい URL については、サードパーティ キャプティブ ポータル プロバイダが提供する手順を参照します。
  • リソースを取得するリソースを取得する をクリックし、スプラッシュ ページが正しく表示されるために必要なリソース ドメインのスプラッシュ ページ URL をスキャンします。Walled Garden 設定に追加する特定のリソースを選択することができます。Walled Garden は、ポータル スプラッシュ ページ経由で接続する前にワイヤレス クライアントからアクセスできるドメインのリストです。
  • 共有シークレット— サードパーティ キャプティブ ポータル プロバイダによって要求される場合は、アクセス ポイントとサードパーティ プロバイダの間の安全な通信用の共有シークレットを入力します。この共有シークレットは、サードパーティ キャプティブ ポータル構成の値と同じでなければなりません。
  • ランディング ページの URL — ユーザーがスプラッシュ ページ経由で接続した後にリダイレクトされる Web サイトの URL を入力します。

    サードパーティでホストされているキャプティブ ポータル プロバイダによって、ランディング ページの URL がプロバイダ独自の構成設定で上書きされる場合があります。

  • RADIUS 設定 セクションの 認証ドメイン ドロップダウン リストから、サードパーティでホストされているキャプティブ ポータルで RADIUS 認証を使用する場合は、構成済み RADIUS サーバーを持つ認証ドメインを選択します。構成する必要がある RADIUS サーバーのサードパーティでホストされているキャプティブ ポータル プロバイダの統合ドキュメントを参照します。
    サードパーティ キャプティブ ポータル プロバイダから RADIUS 認証を要求されなかった場合は、なし を選択します。

    サードパーティでホストされているキャプティブ ポータル プロバイダによって、RADIUS アカウンティングの中間更新間隔設定がプロバイダ独自の構成設定で上書きされる場合があります。

  1. 以下の詳細キャプティブ ポータル設定を構成します。

Screenshot of the Add Captive Portal settings page

  1. セッション タイムアウト — ワイヤレス クライアントのキャプティブ ポータル セッションが期限切れになった後、クライアントがポータル スプラッシュ ページで再度認証を受ける必要性が発生するまでの時間を秒単位で入力します。0 ~ 604,800 秒 (7 日) の値を入力します。既定値は 86,400 秒 (24 時間) です。

    サードパーティでホストされているキャプティブ ポータル プロバイダによって、セッション タイムアウト設定がプロバイダ独自の構成設定で上書きされる場合があります。

    ワイヤレス クライアントがアクセス ポイントでキャプティブ ポータルの認証を受けた後に別のアクセス ポイントにローミングした場合は、キャプティブ ポータルのセッション タイムアウトが発生していない限り、そのクライアントが再度新しいアクセス ポイントでキャプティブ ポータルの認証を受ける必要はありません。キャプティブ ポータル クライアントが再認証なしでローミングできるようにするには、アクセス ポイントに同じサイト構成が必要です。

  1. アイドル タイムアウト — ワイヤレス クライアントが切断され、ポータル スプラッシュ ページ経由でキャプティブ ポータル セッションの再認証を受ける必要性が発生するまでの時間を秒単位で入力します。アイドル タイムアウト値の前にクライアントで接続が再確立された場合は、クライアントがポータルで再認証を受ける必要はありません。0 ~ 604,800 秒 (7 日) の値を入力します。既定値は 0 です。つまり、アクセス ポイントまたはキャプティブ ポータル サービスが再起動されない限り、クライアントは再認証する必要はありません。

    サードパーティでホストされているキャプティブ ポータル プロバイダによって、アイドル タイムアウト設定がプロバイダ独自の構成設定で上書きされる場合があります。

  1. Walled Garden — Walled Garden は、ワイヤレス クライアントがポータル スプラッシュ ページ経由で接続する前にアクセスできるドメインと IP アドレスのリストです。スプラッシュ ページが正しく表示されるためにページに必要な画像などのリソースを追加します。ユーザーがスプラッシュ ページを経由してネットワークに接続する前にヘルプにアクセスできるようにする企業やサポートの Web サイトを追加することを検討します。
    ドメイン名 または IP アドレスを追加するには、宛先を追加する をクリックします。
    サードパーティでホストされているキャプティブ ポータルの場合は、リソースを取得する をクリックすると、スプラッシュ ページ URL をスキャンして、Walled Garden リストに追加するエントリーを探すことができます。
    Walled Garden リストには最大 50 までのエントリを追加することができます。

    Walled Garden リストでは、ワイルドカードがサポートされていません。たとえば、*.watchguard.com などのドメインを指定することができません。

    Walled Garden には、WatchGuard Cloud のブランディング画像、および fonts.googleapis.comfonts.gstatic.com のフォントのための既定の内部ドメインがすでに含まれています。

  1. 保存 をクリックします。

関連トピック

Access Point Site について

アクセス ポイントの SSID 設定を構成する

キャプティブ ポータルにスプラッシュ ページを追加する

アクセス ポイントのゲスト分析レポート