NGFW:/NetExtender: SSL-VPNのセットアップ | 要件付き (SonicOS 5.8 & 6.1)

Description

NGFW:/NetExtender: SSL-VPNのセットアップ | 要件付き (SonicOS 5.8 & 6.1)

Resolution

Please Note: 5.2.x.xから5.8.x.x6.1.x.xFirmwareバージョンでSSLVPNをセットアップする場合は次のKBも参考ください ここをクリック

概要/シナリオ:

この記事はSonicWall セキュリティ アプライアンスでどのようにSSL VPN機能を構成するかの情報を提供します。SonicWallSSL VPN機能は、NetExtenderクライアントを使用することで安全なリモートアクセスをネットワークに提供します。

今回は下記の要件を満たす環境を作る例をご紹介します。

<要件>

・SSLVPNユーザ専用のIPサブネットを作成する (X0サブネット内のIPアドレスが枯渇している場合等)
・SSLVPNユーザが外部リソースにアクセスする場合もUTMを介する

ビデオチュートリアル(英語): Click here

 ■手順の概要

Step-1:未使用のインターフェイスをSSLVPNユーザのIPアドレス割り当て用として設定する

Step-2: SSLVPN設定

Step-3: SSLVPNサービスグループメンバーシップの追加、及びVPNアクセスの追加

Step-4: SSLVPNゾーン アクセスルール (オプション)

Step-5: 通信テスト

■Step-1:未使用のインターフェイスをSSLVPNユーザのIPアドレス割り当て用として設定する

1) SonicWallにログインします

2) ネットワーク > インターフェイスに進みます

3) 未定義のインターフェイスの設定ボタンをクリックします

Image 

3) ゾーン、モード、IPアドレス、サブネットを設定します

Image 

■Step-2: SSLVPN設定

1)  SSL VPN > サーバ設定に進みます

2)  SSLVPNを有効にするゾーンをクリックし(有効時は緑点灯します)、SSLVPNの待受ポートを指定します (デフォルトは4433です)

Image 

3)  SSL VPN > クライアント設定に進みます

4) インターフェイス:で上記で設定したインターフェイスを指定し、NetExtender開始/終了IP:、DNSサーバを設定します。

必要に応じて「クライアント接続プロファイルを作成:」を有効にします

これによりNetExtender クライアントはSSL VPN サーバ名、ドメイン名およびオプションでユーザ名とパスワードを記録した接続プロファイルを作成します

 

5)  SSL VPN > クライアントルートに進みます

6) 強制トンネル方式:を有効にします

強制トンネルを有効にすることにより、すべてのトラフィックがSSLVPN経由となりますので外部リソースへのアクセスもNSAから出ていくようになります。

 Image

■Step-3: SSLVPNサービスグループメンバーシップの追加、及びVPNアクセスの追加

1) ユーザ > ローカルユーザに進みます

2) 対象となるユーザの設定ボタンをクリックします

Image

3) グループタブで、“SSLVPN Services”を所属するグループに追加します

Image 

ローカルグループまたはLDAP ユーザ グループを“SSLVPN Services”に所属させる場合、

ユーザ > ローカルユーザ > SSLVPN Services グループを編集し、メンバー タブでユーザ グループを追加できます

 

4) VPNアクセスタブで、対象ユーザがVPNを介してアクセスできる内部ネットワークのアクセス許可権限を設定します

今回は、外部リソースに対してもSSLVPN+NSA経由でアクセスすることが要件であるため、「WANリモートアクセス」を選択します。

Image 

■Step-4: SSLVPNゾーン アクセスルール (オプション)

SSLVPNゾーンから他のゾーンへのファイアウォール アクセスルールは自動生成されますが、

オプションとして、SSLVPNからLANやWAN等その他のゾーンへのアクセスルールを編集することも可能です

(個々のユーザに複数のルールを使用するのではなく、グループに対して単一のルールを使用することを推奨します)。

1) ファイアウォール > アクセスルールに進みます

2) 表示形式:でマトリックスを選択します

3) 送信元 SSLVPN > 送信先 LANを選択します
Image

下記はSSLVPNユーザからX0 管理IPアドレスに対してのPingを許可したルールです。

Image 

■Step-5: 通信テスト

1) NetExtenderを起動しアクセスします

 Image

2) VPN接続確立後、確認くん(http://www.ugtop.com/spill.shtml)やIP Chicken(https://ipchicken.com/)等にアクセスし、グローバルIPアドレスがNSAまたはGWになっていることを確認します

 

height=

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
SonicWall NSA Series
Firewalls
SonicWall SuperMassive 9000 Series
Firewalls
SonicWall SuperMassive E10000 Series
Firewalls
TZ Series
not finding your answers?
Ask the Community