NetExtender: SSL-VPNのセットアップ (SonicOS 5.9 & 6.2)

03/26/2020 135 People found this article helpful 476,034 Views

Description

Resolution

概要/シナリオ:1

この記事はSonicWall セキュリティアプライアンスでどのようにSSL VPN機能を構成するかの情報を提供します。SonicWallのSSL VPN機能は、NetExtenderクライアントを使用することで安全なリモートアクセスをネットワークに提供します。

ビデオチュートリアル(英語): Click here

手順:

Step-1: SSLVPN IPv4ユーザ用のアドレスオブジェクトの作成

Step-2: SSLVPN設定

Step-3: SSLVPNサービスグループメンバーシップの追加、及びVPNアクセス追加

Step-4: SSLVPNゾーンのアクセスルールの確認

Step-1: SSLVPN IPv4ユーザ用のアドレスオブジェクトの作成

SonicWallにログインします
1) ネットワーク > アドレスオブジェクトに進み、ユーザ定義のラジオボタンをクリックします
2) 追加をクリックし、アドレスオブジェクトの追加ウィンドウでパラメータを入力後、追加をクリックし閉じるをクリックします

名前: SSL VPN Range (名前は任意です)
ゾーン: SSLVPN
種別: 範囲
開始アドレス: 192.168.168.100
終了アドレス: 192.168.168.110

Step-2: SSLVPN設定

>> サーバ設定

1) SSL VPN > サーバ設定に進みます

2) SSLVPNを有効にするゾーンをクリックし(有効時は緑点灯します)、SSLVPNの待受ポートを指定します　(デフォルトは4433です)

>> クライアント設定

3) SSL VPN > クライアント設定に進み、Default Device Profileの設定ボタンをクリックします

ここでは、NetExtender クライアントに割り当てるアドレス範囲情報及びクライアント設定を構成できます。

ここでの最も重要な点は、SSL VPN接続がどこで終端される (本稿の例ではLAN) かであり、また接続するクライアントに割り当てるIP群は何かという点です。最終的には、ユーザのログインを可能とすべきエントリを選択します。

補足 (SonicOS Enhanced 5.5 および以降向け): L2 ブリッジモードを使用して他のインタフェースのペアとされているインタフェースでNetExtenderを終端することはできません。これはWLAN インタフェースとブリッジされているインタフェースも含みます。L2 ブリッジモードに設定されたインタフェースは"SSLVPN クライアントアドレス範囲"インタフェースドロップダウンメニューにリストされません。NetExtenderの終端のために、"インタフェース"設定はLAN、DMZ、WLAN、またはカスタムの保護、公開、もしくは無線ゾーンに構成する必要があり、IPの割り当ても"静的"に構成します。

---->> 設定タブ
4) ゾーン IP V4:でSSLVPNを選択します

5) ネットワークアドレス IP V4: で上記で作成したSSLVPN用のアドレスオブジェクト「SSL VPN Range」を選択します

----->> クライアントルートタブ

6) SSLVPNユーザに通知するルート情報を選択します

ここで定義したルートはすべてのNetExtender ユーザに渡されますので、どのプライベートネットワークおよびリソース群にリモートユーザがSSL VPN接続を介してアクセスできるのかに影響します。

補足: すべてのクライアントはこれらのルートを閲覧できます。また、ここで"強制トンネル方式" (全てのトラフィックがSSLVPNを経由してきます) を有効化/無効化にすることもできます。

---->> クライアント設定タブ
7) SSLVPNユーザに通知するDNSサーバを指定します

8) 必要に応じて「クライアント接続プロファイルを作成:」を有効にします

これによりNetExtender クライアントはSSL VPN サーバ名、ドメイン名およびオプションでユーザ名とパスワードを記録した接続プロファイルを作成します

Step-3: SSLVPNサービスグループメンバーシップの追加、及びVPNアクセス追加

1) ユーザ > ローカルユーザに進み、 対象ユーザのメンバーシップで“SSLVPN Services”グループを選択します

グループタブ:

個々のユーザ向けメンバーシップを設定する場合

メンバータブ：
ローカルまたはLDAP ユーザグループのメンバーシップを構成するには、ユーザ > ローカルユーザ > SSLVPN Services グループを編集し、メンバータブでユーザグループを追加します

2)　VPNアクセスタブで、ユーザまたはグループに対してのアクセス権限を定義します

VPNアクセス:
VPN アクセスタブでは、VPN トンネルを使用してネットワークへアクセスすることをユーザに許可します。アクセス不可 リスト (またはネットワークリスト) から一つ以上のネットワークを選択し、-> 矢印ボタンを選択してそれらをアクセス許可 リスト (またはアクセスリスト) に移動します。アクセス許可 リスト (またはアクセスリスト) からネットワークに対するユーザのアクセスを削除する場合は、<- 左矢印ボタンを選択します。

Step-4: SSLVPNゾーンのアクセスルールの確認(オプション)

SSLVPN ゾーンから他のゾーンへのファイアウォールアクセスルールが自動生成されます。オプションとして、自動生成されたSSLVPNからLANへのルールを設定したユーザ群のみにアクセスを許可するために編集することも可能です (個々のユーザに複数のルールを使用するのではなく、単一のルールでグループを使用することを推奨します)。SSLVPN ゾーンからのログインを有効化する必要がある旨の警告が表示される場合がありますが、無視して構いません。