NetExtender: SSL-VPNのセットアップ (SonicOS 5.9 & 6.2)

Description

NetExtender: SSL-VPNのセットアップ (SonicOS 5.9 & 6.2)

Resolution

概要/シナリオ:1

この記事はSonicWall セキュリティ アプライアンスでどのようにSSL VPN機能を構成するかの情報を提供します。SonicWallSSL VPN機能は、NetExtenderクライアントを使用することで安全なリモートアクセスをネットワークに提供します。

ビデオチュートリアル(英語): Click here

 

手順:

Step-1: SSLVPN IPv4ユーザ用のアドレスオブジェクトの作成
Step-2: SSLVPN設定
Step-3: SSLVPNサービスグループメンバーシップの追加、及びVPNアクセス追加
Step-4: SSLVPNゾーンのアクセスルールの確認

 

Step-1: SSLVPN IPv4ユーザ用のアドレスオブジェクトの作成

SonicWallにログインします
1)  ネットワーク > アドレスオブジェクトに進み、ユーザ定義のラジオボタンをクリックします
2)  追加 をクリックし、アドレスオブジェクトの追加ウィンドウでパラメータを入力後、追加をクリックし閉じるをクリックします

  • 名前SSL VPN Range  (名前は任意です)
  • ゾーンSSLVPN
  • 種別: 範囲
  • 開始アドレス192.168.168.100
  • 終了アドレス192.168.168.110 

Image 

Step-2: SSLVPN設定

>> サーバ設定

1)  SSL VPN > サーバ設定に進みます

2)  SSLVPNを有効にするゾーンをクリックし(有効時は緑点灯します)、SSLVPNの待受ポートを指定します (デフォルトは4433です)

Image

>> クライアント設定

3)  SSL VPN > クライアント設定に進み、Default Device Profileの設定ボタンをクリックします

ここでは、NetExtender クライアントに割り当てるアドレス範囲情報及びクライアント設定を構成できます。

ここでの最も重要な点は、SSL VPN接続がどこで終端される (本稿の例ではLAN) かであり、また接続するクライアントに割り当てるIP群は何かという点です。最終的には、ユーザのログインを可能とすべきエントリを選択します。

補足 (SonicOS Enhanced 5.5 および以降向け): L2 ブリッジ モードを使用して他のインタフェースのペアとされているインタフェースでNetExtenderを終端することはできません。これはWLAN インタフェースとブリッジされているインタフェースも含みます。L2 ブリッジ モードに設定されたインタフェースは"SSLVPN クライアント アドレス範囲"インタフェース ドロップ ダウン メニューにリストされません。NetExtenderの終端のために、"インタフェース"設定はLANDMZWLAN、またはカスタムの保護、公開、もしくは無線ゾーンに構成する必要があり、IPの割り当ても"静的"に構成します。

Image 

---->> 設定タブ
4) ゾーン IP V4:SSLVPNを選択します

5) ネットワークアドレス IP V4: で上記で作成したSSLVPN用のアドレスオブジェクト「SSL VPN Range」を選択します

Image 

----->> クライアントルートタブ

6) SSLVPNユーザに通知するルート情報を選択します

ここで定義したルートはすべてのNetExtender ユーザに渡されますので、どのプライベート ネットワークおよびリソース群にリモート ユーザがSSL VPN接続を介してアクセスできるのかに影響します。

補足: すべてのクライアントはこれらのルートを閲覧できます。また、ここで"強制トンネル方式" (全てのトラフィックがSSLVPNを経由してきます) を有効化/無効化にすることもできます。

Image 

---->> クライアント設定タブ
7) SSLVPNユーザに通知するDNSサーバを指定します

8) 必要に応じて「クライアント接続プロファイルを作成:」を有効にします

これによりNetExtender クライアントはSSL VPN サーバ名、ドメイン名およびオプションでユーザ名とパスワードを記録した接続プロファイルを作成します

Image
Step-3: SSLVPNサービスグループメンバーシップの追加、及びVPNアクセス追加

1) ユーザ > ローカルユーザに進み、 対象ユーザのメンバーシップで“SSLVPN Services”グループを選択します

 

グループタブ

個々のユーザ向けメンバーシップを設定する場合

Image 

メンバータブ:
ローカルまたはLDAP ユーザ グループのメンバーシップを構成するには、ユーザ > ローカルユーザ > SSLVPN Services グループを編集し、メンバー タブでユーザ グループを追加します

Image 

2) VPNアクセスタブで、ユーザまたはグループに対してのアクセス権限を定義します

VPNアクセス:
VPN アクセスタブでは、VPN トンネルを使用してネットワークへアクセスすることをユーザに許可します。アクセス不可 リスト (またはネットワーク リスト) から一つ以上のネットワークを選択し、-> 矢印ボタンを選択してそれらをアクセス許可 リスト (またはアクセス リスト) に移動します。アクセス許可 リスト (またはアクセス リストからネットワークに対するユーザのアクセスを削除する場合は、<- 左矢印ボタンを選択します。

Image 

Step-4: SSLVPNゾーンのアクセスルールの確認(オプション)

SSLVPN ゾーンから他のゾーンへのファイアウォール アクセス ルールが自動生成されます。オプションとして、自動生成されたSSLVPNからLANへのルールを設定したユーザ群のみにアクセスを許可するために編集することも可能です (個々のユーザに複数のルールを使用するのではなく、単一のルールでグループを使用することを推奨します)SSLVPN ゾーンからのログインを有効化する必要がある旨の警告が表示される場合がありますが、無視して構いません。

Image

このシナリオを検証する:

1. ブラウザで「https://<グローバルIPアドレス>:4433」にアクセスします

Image

2. NetExtenderからアクセスします

Image

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
SonicWall NSA Series
Firewalls
SonicWall SuperMassive 9000 Series
Firewalls
SonicWall SuperMassive E10000 Series
Firewalls
TZ Series
not finding your answers?
Ask the Community