【SonicOS 7 & 6.5】 SSL-VPNの設定方法

Description

この記事ではSonicWallセキュリティアプライアンスでSSL VPN機能を構成する方法について説明します。SonicWallのSSL VPN機能は、NetExtenderクライアントを使用してネットワークへの安全なリモートアクセスを提供します。

NetExtenderは透過的にダウンロードされ、会社のネットワーク上で任意のアプリケーションを安全に実行できる、WindowsまたはLinuxユーザ向けのSSL VPNクライアントです。ポイントツーポイントプロトコル (PPP) を使用します。NetExtenderを使用すると、リモートクライアントはローカルネットワーク上のリソースにシームレスにアクセスできます。ユーザは次の2つの方法でNetExtenderにアクセスできます。

  • SonicWallセキュリティアプライアンスによって提供される仮想オフィスWebポータルにログインし、NetExtenderボタンをクリックします。
  • スタンドアロンのNetExtenderクライアントを起動します


NetExtenderスタンドアロンクライアントは、NetExtenderを初めて起動したときにインストールされます。その後はWindowsシステムではスタートメニューから、Linuxシステムではパス名またはショートカットバーから直接アクセスできます。

 

以下は設定動画です。動画で設定手順を確認できます。英語となりますので日本語での案内はその下の記事をご確認ください。

How can I setup SSL-VPN?

【SonicOS 7での設定方法】

このリリースには、SonicOS 6.5以前のファームウェアとは異なる大幅なユーザインターフェースの変更と多くの新機能が含まれています。以下の解決策はSonicOS 7.X ファームウェアを使用しているお客様向けです。

 

  • ネットワークタブ > SSL VPN > サーバ設定に移動します。
  • 各ゾーンのSSL VPNアクセス状況を表す「ゾーンの SSL VPN 状況」に移動します。
  • ゾーンをチェックをON/OFFすることで、SSL VPNアクセスを有効または無効にします。緑色はアクティブなSSL VPN状況を示します。
  • 「SSL VPN サーバ設定」に移動し、必要に応じてSSL VPNポートとドメインを選択します。
    Image

     
  • SSL VPN > クライアント設定ページでは、管理者はクライアントのアドレス範囲とNetExtenderクライアント設定を構成できます。最も重要なのは、SSL VPN が終端する場所(この場合はLAN上など)と、接続するクライアントに付与されるIPアドレスです。最後にユーザがログインできる場所を選択します(これはWANであることが多いため、WANエントリをクリックします)。

    注意:NetExtenderは、L2ブリッジモードを使用して別のインターフェースとペアになっているインターフェースでは終端できません。これにはWLANインターフェースでブリッジされているインターフェースが含まれます。L2ブリッジモードで構成されているインターフェースは、★「SSL VPN クライアント アドレス範囲」インターフェースドロップダウンメニューに表示されません。NetExtenderを終端するには、インターフェースをLAN、DMZ、WLAN、またはカスタムの信頼済み、パブリック、もしくはワイヤレスゾーンとして構成し、IPアドレス割り当てを「静的」に設定する必要があります。

  • 規定のデバイスプロファイルタブにある、Default Device Profileの編集アイコンをクリックします。


  • IPv4 ゾーンSSLVPNに設定し、IPv4ネットワークアドレス
    Image
    Image

  • クライアントルートタブでは、管理者はSSL VPNユーザに許可されるネットワークアクセスを制御できます。NetExtenderクライアントルートはすべてのNetExtenderクライアントに渡され、リモートユーザがSSL VPN接続を介してアクセスできるプライベートネットワークとリソースを管理するために使用されます。
    注意:ここで設定したルートはすべてのクライアントでアクセスできます。また、ここで「強制トンネル方式」を有効/無効にすることもできます(これは構成時の「このゲートウェイのみ」オプションに相当します)。
    Image

  • クライアント設定タブでは、管理者はDNS、WINS等の設定、ユーザ名とパスワードの保存許可/不許可、およびNetExtenderクライアントの動作を制御することができます。
  • クライアント接続プロファイルを作成する」を有効にすると、NetExtenderクライアントはSSL VPNサーバ名、ドメイン名、およびオプションでユーザ名とパスワードを記録する接続プロファイルを作成します。

    Image

  • SSL VPN > ポータル設定ページは、SSL VPN仮想オフィスWebポータルの外観と機能を構成するために使用されます。仮想オフィスポータルはログインしてNetExtenderを起動するWebサイトです。
    Image
  • デバイスタブ > ユーザ > ローカルユーザとグループで、NetExtenderでの接続を許可するユーザまたはユーザグループが「SSLVPN Services」グループのメンバーであることを確認します。ローカルユーザの場合は、対象のユーザの設定アイコンをクリックし、グループに移動してSSLVPN Servicesを追加します。
    Image

  • VPNアクセスタブでは、ユーザがVPNトンネルを使用してアクセスできるネットワークを指定できます。利用可能なネットワークリストから1つ以上のネットワークを選択し、右矢印ボタンをクリックして選択されたネットワークに移動します。ユーザのネットワークアクセスを削除するには、選択されたネットワークリストからネットワークを選択し、左矢印ボタンをクリックします。
    Image
  • ポリシータブ > ルールとポリシー > アクセスルールに移動します。ゾーンマトリックス選択から送信元ゾーン:SSLVPN、送信先ゾーン:LANのルールを選択し、ルールが作成されていることを確認します。
    Image
  • SSL VPNユーザがDMZやカスタムゾーンなどの他ゾーンのリソースにアクセスする必要がある場合は、それらのアクセスルールを確認または追加します。

 

 

【SonicOS 6.5での設定方法】


このリリースには、SonicOS 6.2以前のファームウェアとは異なる大幅なユーザインターフェースの変更と多くの新機能が含まれています。以下の解決策はSonicOS 6.5ファームウェアを使用しているお客様向けです。

Image

  1.  管理タブ > SSL VPN > サーバ設定に移動します。
    各ゾーンのSSL VPNアクセス状況を表す「ゾーン上のSSL VPN状況」に移動します。
    ゾーンをチェックをON/OFFすることで、SSL VPNアクセスを有効または無効にします。緑色はアクティブなSSL VPN状況を示します。「SSL VPN サーバ設定」に移動し、必要に応じてSSL VPNポートとドメインを選択します。Image
  2. SSL VPN > クライアント設定ページでは、管理者はクライアントのアドレス範囲とNetExtenderクライアント設定を構成できます。最も重要なのは、SSL VPN が終端する場所(この場合はLAN上など)と、接続するクライアントに付与されるIPアドレスです。最後にユーザがログインできる場所を選択します(これはWANであることが多いため、WANエントリをクリックします)。 

    注意:NetExtenderは、L2ブリッジモードを使用して別のインターフェースとペアになっているインターフェースでは終端できません。これにはWLANインターフェースでブリッジされているインターフェースが含まれます。L2ブリッジモードで構成されているインターフェースは、★「SSL VPN クライアント アドレス範囲」インターフェースドロップダウンメニューに表示されません。NetExtenderを終端するには、インターフェースをLAN、DMZ、WLAN、またはカスタムの信頼済み、パブリック、もしくはワイヤレスゾーンとして構成し、IPアドレス割り当てを「静的」に設定する必要があります。
  3. 規定のデバイスプロファイルタブにある、Default Device Profileの編集アイコンをクリックします。
    Image
    ゾーン IPv4SSLVPNを設定し、ネットワークアドレス IPv4に設定したいアドレスオブジェクトを選択します。
    Image
    Image
  4.  クライアントルートタブでは、管理者はSSL VPNユーザに許可されるネットワークアクセスを制御できます。NetExtenderクライアントルートはすべてのNetExtenderクライアントに渡され、リモートユーザがSSL VPN接続を介してアクセスできるプライベートネットワークとリソースを管理するために使用されます。
    注意:ここで設定したルートはすべてのクライアントでアクセスできます。また、ここで「強制トンネル方式」を有効/無効にすることもできます(これは構成時の「このゲートウェイのみ」オプションに相当します)。
    Image
  5. クライアント設定タブでは、管理者はDNS、WINS等の設定、ユーザ名とパスワードの保存許可/不許可、およびNetExtenderクライアントの動作を制御することができます。
    クライアント接続プロファイルを作成する」を有効にすると、NetExtenderクライアントはSSL VPNサーバ名、ドメイン名、およびオプションでユーザ名とパスワードを記録する接続プロファイルを作成します。Image
  6.  SSL VPN > ポータル設定ページは、SSL VPN仮想オフィスWebポータルの外観と機能を構成するために使用されます。仮想オフィスポータルはログインしてNetExtenderを起動するWebサイトです。Image
  7. 管理タブ > ユーザ > ローカルユーザとグループで、NetExtenderでの接続を許可するユーザまたはユーザグループが「SSLVPN Services」グループのメンバーであることを確認します。ローカルユーザの場合は、対象のユーザの設定アイコンをクリックし、グループに移動してSSLVPN Servicesを追加します。 
    Image

  8. VPN アクセスタブでは、ユーザがVPNトンネルを使用してアクセスできるネットワークを指定できます。利用可能なネットワークリストから1つ以上のネットワークを選択し、右矢印ボタンをクリックして選択されたネットワークに移動します。ユーザのネットワークアクセスを削除するには、選択されたネットワークリストからネットワークを選択し、左矢印ボタンをクリックします。
    Image
  9.  管理タブ > ルール > アクセスルールに移動します。ゾーンマトリックス選択から送信元:SSLVPN、送信先:LANのルールを選択し、ルールが作成されていることを確認します。SSL VPNユーザがDMZやカスタムゾーンなどの他ゾーンのリソースにアクセスする必要がある場合は、それらのアクセスルールを確認または追加します。
    Image

 

 注意:SonicOS 6.2 & 5.9についてはナレッジベース「NetExtender: SSL-VPNのセットアップ (SonicOS 5.9 & 6.2)」をご参照ください。

 注意:SonicOS 6.1 & 5.8についてはナレッジベース「NGFW:/NetExtender: SSL-VPNのセットアップ | 要件付き (SonicOS 5.8 & 6.1)」をご参照ください。

 

Related Articles

  • How to configure Link Aggregation
    Read More
  • Web Proxy Forwarding is not Supported to a Server on the LAN
    Read More
  • アプリケーション制御を使用して ICMP(Ping)をブロックする方法
    Read More

Categories

Firewalls
NSa Series
SSLVPN
Firewalls
NSv Series
SSLVPN
Firewalls
TZ Series
SSLVPN
not finding your answers?
Ask the Community