SonicOS/X 7 SSL VPN
SSL VPN について
SonicOS/X という表記は、その機能が両方の SonicOS および SonicOSX で使用可能なことを示します。
このセクションでは、SonicWall ネットワーク セキュリティ装置における SSL VPN 機能の設定方法を説明します。SonicWall の SSN VPN 機能は、NetExtender クライアントを使用してネットワークへのリモート アクセスを保護します。
NetExtender は、Windows または Linux ユーザ用の SSL VPN クライアントであり、透過的にダウンロードされます。ネットワーク上で任意のアプリケーションを安全に実行でき、ポイント ツー ポイント プロトコル (PPP) を使用できるようになります。NetExtender によって、リモート クライアントはローカル ネットワーク上のリソースにシームレスにアクセスできます。ユーザは、次の 2 通りの方法で NetExtender にアクセスできます。
- SonicWall ネットワーク セキュリティ装置によって提供される仮想オフィス ウェブ ポータルにログインする
- スタンドアロンの NetExtender クライアントを起動する
各 SonicWall 装置は、最大数の現在のリモート ユーザをサポートしています。詳細については、「SSL VPN の最大同時ユーザ数」を参照してください。
| SonicWall 装置モデル | SSL VPN の最大同時接続数 |
|---|---|
| NSa 9650 | 3000 |
| NSa 9450 | 3000 |
| NSa 9250 | 3000 |
| NSa 6650 | 2000 |
| NSa 5650 | 1500 |
| NSa 4650 | 1000 |
| NSa 3650 | 500 |
| NSa 2650 | 350 |
| SM 9600 | 3000 |
| SM 9400 | 3000 |
| SM 9200 | 3000 |
| NSA 6600 | 1500 |
| NSA 5600 | 1000 |
| NSA 4600 | 500 |
| NSA 3600 | 350 |
| NSA 2600 | 250 |
| TZ600/TZ600P | 200 |
| TZ500/TZ500 W | 150 |
| TZ400/TZ400 W | 100 |
| TZ350/TZ350 W | 75 |
| TZ300/TZ300 W/TZ300P | 50 |
| SOHO 250/SOHO 250W | 25 |
| VMWare ESXi 装置モデル | SSL VPN の最大同時接続数 |
|---|---|
| 10 | 10 |
| 25 | 25 |
| 50 | 25 |
| 100 | 25 |
| 200 | 50 |
| 300 | 50 |
| 400 | 50 |
| 800 | 50 |
| 1600 | 50 |
| Azure 装置モデル | SSL VPN の最大同時接続数 |
|---|---|
| 10 | 10 |
| 25 | 25 |
| 50 | 25 |
| 100 | 25 |
| 200 | 100 |
| 400 | 100 |
| 800 | 100 |
| 1600 | 100 |
| AWS 装置モデル | SSL VPN の最大同時接続数 |
|---|---|
| 10 | 10 |
| 25 | 25 |
| 50 | 25 |
| 100 | 25 |
| 200 | 50 |
| 400 | 50 |
| 800 | 50 |
| 1600 | 50 |
| AWS - PAYG 装置モデル | SSL VPN の最大同時接続数 |
|---|---|
| 200 | 50 |
| 400 | 50 |
| 800 | 50 |
| 1600 | 50 |
| Linux KVM 装置モデル | SSL VPN の最大同時接続数 |
|---|---|
| 10 | 10 |
| 25 | 25 |
| 50 | 25 |
| 100 | 25 |
| 200 | 50 |
| 300 | 50 |
| 400 | 50 |
| 800 | 50 |
| 1600 | 50 |
| Microsoft Hyper-V 装置モデル | SSL VPN の最大同時接続数 |
|---|---|
| 10 | 10 |
| 25 | 25 |
| 50 | 25 |
| 100 | 25 |
| 200 | 50 |
| 300 | 50 |
| 400 | 50 |
| 800 | 50 |
| 1600 | 50 |
SonicOS/X は IPv6 アドレスによるユーザ向けの NetExtender 接続をサポートしています。アドレス オブジェクトのドロップダウン メニューには、事前定義されたすべての IPv6 アドレス オブジェクトが含まれています。
IPv6 Wins サーバはサポートされていません。IPv6 FQDN がサポートされています。
「デバイス | 設定 > 管理」ページの「無線コントローラ モード」が「無線コントローラ」で、「全機能ゲートウェイ」または「無線なし」に設定されているとき、SSL VPN 接続を利用できます。「無線コントローラ モード」で「無線コントローラ専用」が有効になっている場合、SSL VPN インターフェースは使用できません。
「ネットワーク | SSL VPN > サーバ設定 > ゾーンの SSL VPN 状況」の状況表示はすべてのゾーンで停止中となり、SSL VPN ゾーンは編集できません。
NetExtender について
SonicWall の SSL VPN NetExtender は、Windows および Linux ユーザ向けの透過的なソフトウェア アプリケーションであり、その機能を使うことでリモート ユーザは会社のネットワークにセキュアな方法で接続できます。NetExtender により、リモート ユーザは会社のネットワーク上の任意のアプリケーションを安全に実行できます。ファイルのアップロード/ダウンロード、ネットワーク ドライブのマウント、リソースへのアクセスといった作業がローカル ネットワークにいる感覚で行えます。
NetExtender により、リモート ユーザは保護された内部ネットワークへのフル アクセスが可能になります。その際の操作方法は、従来の IPSec VPN クライアントとほとんど同じです。Linux システムでも、NetExtender クライアントをインストールして使用することができます。Windows ユーザは、ポータルからクライアントをダウンロードする必要があり、モバイル機器を使用している ユーザは、アプリケーション ストアから Mobile Connect をダウンロードする必要があります。
NetExtender スタンドアロン クライアントは、ユーザによるポータルからの NetExtender の初回起動時にインストールできます。そのため、Windows システムでは「スタート」メニューからの直接アクセスが可能です。また Linux システムでも、パス名によって、あるいはショートカット バーから直接アクセスできます。
インストール後、NetExtender が自動的に起動し、SSL VPN を利用した安全なポイントツーポイント アクセスによって内部ネットワーク上の許可されたホストおよびサブネットにアクセスするための仮想アダプタに接続します。
NetExtender 範囲に対するアドレス オブジェクトの作成
NetExtender 設定の一部として、NetExtender IP アドレス範囲に対するアドレス オブジェクトを作成する必要があります。その後、このアドレス オブジェクトはデバイス プロファイルの設定時に使用します。
使用する IPv4 アドレス範囲と IPv6 アドレス範囲の両方のアドレス オブジェクトを、「SSL VPN > クライアント設定」で作成できます。アドレス オブジェクトで設定されるアドレス範囲は、NetExtender セッション中にリモート ユーザに割り当てられるアドレスを含む IP アドレス プールを定義します。この範囲は、サポートする NetExtender 同時ユーザの最大数に対応できる大きさにする必要があります。さらにアドレスを追加して対応数を増やすことはできますが、これは必須ではありません。
装置と同じセグメント上に他のホストが存在する場合は、アドレス範囲が、他の割り当て済みアドレスと重複したり衝突したりしないようにしてください。
NetExtender IP アドレス範囲に対するアドレス オブジェクトを作成するには、以下の手順に従います。
- 「オブジェクト > アドレス オブジェクト」に移動します。
-
「追加」を選択します。
- 「名前」フィールドにわかりやすい名前を入力します。
- 「ゾーンの割り当て」で、「SSLVPN」を選択します。
- 「種別」で、「範囲」を選択します。
-
「開始アドレス」フィールドに、使用するアドレス範囲内の最小 IP アドレスを入力します。
メモ: IP アドレス範囲は、SSL VPN サービスで使用されるインターフェースと同じサブネット上になければなりません。IP アドレス範囲が他の割り当て済み範囲と衝突しないようにしてください。
- 「終了アドレス」フィールドに、使用するアドレス範囲内の最大 IP アドレスを入力します。
- 「追加」を選択します。
- 「閉じる」を選択します。
アクセスの設定
NetExtender クライアント ルートは、SSL VPN ユーザによる各種ネットワーク リソースへのアクセスを許可または拒否するために使用されます。アドレス オブジェクトを使用することで、ネットワーク リソースへのアクセスを動的かつ容易に設定できます。強制トンネル方式では、リモート ユーザとやり取りされるすべてのトラフィックが (リモート ユーザのローカル ネットワークへのトラフィックを含め) SSL VPN NetExtender トンネルを経由します。これは、次のルートをリモート クライアントのルート テーブルに追加することで実行されます。
| IP アドレス | サブネット マスク |
|---|---|
0.0.0.0
|
0.0.0.0
|
0.0.0.0
|
128.0.0.0
|
128.0.0.0
|
128.0.0.0
|
NetExtender は、接続中のすべてのネットワーク接続のローカル ネットワーク ルートも追加します。これらのルートには既存のルートよりも高いメトリックが設定されているため、ローカル ネットワークへのトラフィックは強制的に SSL VPN トンネル経由に切り替えられます。例えば、リモート ユーザが 10.0.*.* ネットワークの IP アドレス 10.0.67.64 を使用している場合、ルート 10.0.0.0/255.255.0.0 が追加され、トラフィックが SSL VPN トンネルを経由するようになります。
強制トンネル方式を設定するにはまた、0.0.0.0 のアドレス オブジェクトを設定して、SSL VPN NetExtender ユーザとグループがこのアドレス オブジェクトへのアクセスを持つように割り当てる必要があります。
管理者も、NetExtender の接続が確立および切断されたときにバッチ ファイル スクリプトを実行できます。これらのスクリプトを使って、ネットワーク ドライブやプリンタのマッピングおよび切断、アプリケーションの起動、ファイルやウェブ サイトの表示などを行うことができます。NetExtender の接続スクリプトでは任意の有効なバッチ ファイル コマンドを使用できます。
プロキシの設定
SonicWall SSL VPN は、プロキシ設定を使用した NetExtender セッションをサポートしています。現在サポートされているのは、HTTPS プロキシのみです。プロキシ設定は、NetExtender クライアントでの手動設定も可能です。NetExtender は、Web Proxy Auto Discovery (WPAD) プロトコルに対応したプロキシ サーバ用のプロキシ設定を自動的に検出できます。
NetExtender には、次の 3 つのプロキシ設定オプションが用意されています。
- 「設定を自動検出する」 - この設定を使用するには、プロキシ サーバが Web Proxy Auto Discovery Protocol プロトコルをサポートしていて、プロキシ設定スクリプトをクライアントに自動送信できる必要があります。
- 自動設定スクリプトを使用する - プロキシ設定スクリプトの場所がわかっている場合は、このオプションを選択してスクリプトの URL を指定することができます。
- プロキシ サーバを使用する - このオプションを選択すると、プロキシ サーバの IP アドレスとポートを指定できます。また、「プロキシのバイパス」フィールドに IP アドレスまたはドメインを入力すれば、それらのアドレスに直接接続してプロキシ サーバをバイパスすることができます。必要に応じて、プロキシ サーバ用のユーザ名とパスワードも入力できます。プロキシ サーバがユーザ名とパスワードを要求しているのにそれらを指定していない場合は、最初の接続時に NetExtender のポップアップ ウィンドウが表示され、その入力を求められます。
プロキシ設定を使用して接続する場合、NetExtender は、ファイアウォールのサーバに直接接続せず、プロキシ サーバへの HTTPS 接続を確立します。その後、プロキシ サーバによってトラフィックが SSL VPN サーバに転送されます。すべてのトラフィックは、NetExtender とネゴシエートされた証明書を使って SSL によって暗号化されます。 これについては、プロキシ サーバ側は関知していません。プロキシを使用してもしなくても、接続のプロセスに違いはありません。
スタンドアロン クライアントのインストール
ユーザによる NetExtender の初回起動時にインストーラをダウンロードして、ユーザのシステムで実行することもできます。インストーラでは、ユーザのログイン情報に基づいてプロファイルが作成されます。その後、インストーラのウィンドウが閉じ、NetExtender が自動的に起動します。旧バージョンの NetExtender が既にインストールされていた場合、インストーラは古い NetExtender を最初にアンインストールするかユーザにアンインストールするよう要求し、その後、新バージョンをインストールできます。
NetExtender スタンドアロン クライアントのインストール後、Windows の場合は「スタート > プログラム」メニューまたはシステム トレーを使用して NetExtender を起動し、Windows の起動時に NetExtender が起動されるように設定できます。Mac の場合は、システムのアプリケーション フォルダから NetExtender を起動できます。 また、アイコンをドックにドラッグしてすばやくアクセスすることもできます。Linux システムでは、インストーラによってデスクトップ ショートカットが /usr/share/NetExtender に作成されます。このショートカットは、Gnome や KDE といった環境のショートカット バーにドラッグできます。
SonicWall 装置に NetExtender をインストールする詳細な手順については、ナレッジ ベースの記事「SonicOS 5.9 以降で SSL-VPN 機能 (NetExtender アクセス) を設定する方法 (SW10657)」を参照してください。
「How to configure SSL VPN」 (SSL VPN の設定方法) というビデオでも NetExtender の設定手順を説明しています。
SSL VPN アクセスのためのユーザの設定
ユーザは、SSL VPN サービスにアクセスできるためには、SSLVPN サービス グループに割り当てられている必要があります。「SSLVPN サービス」グループに属していないユーザが仮想オフィスからログインを試みても、アクセスは拒否されます。
トピック:
- ローカル ユーザの場合
- RADIUS および LDAP ユーザの場合
- 強制トンネル方式アクセスの場合
ローカル ユーザの場合
以下はクイック リファレンスで、SSLVPN サービスの有効化に必要なユーザ設定が記載されています。
ローカル ユーザ向けの SSL VPN アクセスを設定するには、以下の手順に従います。
- 「管理 | システム セットアップ | ユーザ > ローカル ユーザ & グループ」に移動します。
- 設定したいユーザに対する編集アイコンを選択するか、「ユーザの追加」を選択して新しいユーザを作成します。
- 「グループ」を選択します。
- 「ユーザ グループ」列の「SSLVPN サービス」を選択し、右矢印を選択してこれを「所属するグループ」列に移動します。
-
「VPN アクセス」を選択し、適切なネットワーク リソース VPN ユーザ (GVC、NetExtender、または仮想オフィス ブックマーク) を「アクセス リスト」に移動します。
「VPN アクセス」設定は、GVC、NetExtender、または SSL VPN 仮想オフィス ブックマークを使ってネットワーク リソースにアクセスするリモート クライアントの能力に影響します。GVC、NetExtender、または仮想オフィスのユーザにネットワーク リソースへのアクセスを許可するには、ネットワーク アドレス オブジェクトかグループを「VPN アクセス」の「アクセス リスト」に追加する必要があります。
- 「OK」を選択します。
RADIUS、LDAP、TACACS+ ユーザの場合
RADIUS、LDAP、TACACS+ ユーザの設定手順は同様です。これらのユーザを「SSL VPN サービス」ユーザ グループに追加する必要があります。
RADIUS、LDAP、TACACS+ ユーザ向けの SSL VPN アクセスを設定するには、以下の手順に従います。
-
「オブジェクト | ユーザ オブジェクト > 設定」表示を選択して、「認証」タブを選択します。
- 「ユーザ認証方式」フィールドで:「RADIUS」または「RADIUS + ローカル ユーザ」を選択します。「LDAP」または「LDAP + ローカル ユーザ」を選択します。
- 以下を選択します。RADIUS の構成または LDAP の構成
- 以下を選択します。「RADIUS ユーザ > ユーザ & グループ」
-
適切なフィールドの「SSLVPN サービス」を選択します。すべての RADIUS ユーザが所属する既定のユーザグループまたは既定の LDAP ユーザ グループ
- 「OK」を選択します。
強制トンネル方式アクセスの場合
ローカル ユーザおよびグループの詳しい追加方法と設定方法が、『SonicOS/X ユーザ』に記載されています。以下はクイック リファレンスで、「強制トンネル」方式に対してユーザとグループを設定するために必要なユーザ設定が記載されています。
SSL VPN NetExtender ユーザとグループを強制トンネル方式のために設定するには、以下の手順を実行します。
-
「オブジェクト | ユーザ オブジェクト | ユーザ > ローカル ユーザ & グループ」に移動します。
- 追加アイコンをクリックし、SSLVPN を選択したグループとして定義します。
- 「VPN アクセス」を選択します。
-
「WAN リモート アクセス ネットワーク」アドレス オブジェクトを選択し、右矢印をクリックして「アクセス リスト」まで移動させます。
- 5 SSL VPN NetExtender を使うすべてのローカル ユーザおよびグループに対して、このプロセスを繰り返します。
生体認証
生体認証を使用するには、モバイル デバイスに Mobile Connect 4.0 以上をインストールしてファイアウォールに接続しておく必要があります。
SonicOS/X は、SonicWall Mobile Connect と連携して生体認証をサポートしています。Mobile Connect は、ユーザがモバイル デバイスからプライベート ネットワークに安全にアクセスできるようにするアプリケーションです。Mobile Connect 4.0 では、ユーザ名とパスワードの代わりにフィンガー タッチによる認証を使用できます。
この認証方法を許可する設定項目は「ネットワーク | SSL VPN > クライアント設定」ページにあります。これらのオプションが表示されるのは、Mobile Connect を使用してファイアウォールに接続している場合のみとなります。
「SSL VPN > クライアント設定」ページで生体認証を設定した後、ユーザのスマートフォンまたはその他のデバイスで、TouchID (iOS) または指紋認証 (Android) を有効にする必要があります。
Was This Article Helpful?
Help us to improve our support portal