- ホワイトクラウド ASPIRE
- サービスご利用ガイド
- Edgeゲートウェイを設定する
- SSL-VPN接続を設定する
SSL-VPN接続を設定する
SSL-VPN接続は、SSL/TLSの暗号化技術を用いて遠隔地との安全な通信経路を構築するVPN接続です。
EdgeゲートウェイにSSL-VPN接続を設定する方法、およびSSL-VPN接続を行う端末側の準備について説明します。
SSL-VPN接続を設定する
EdgeゲートウェイにSSL-VPN接続を設定する方法を説明します。
- check
- 重要
- 信頼されたセキュリティ証明書でSSL通信を行うには、事前にCA証明書の発行を受け、Edgeゲートウェイに登録する必要があります。Edgeゲートウェイに証明書を登録する方法は 「証明書を管理する」 を参照してください。
- SSL-VPNリモートユーザの認証方法のタイプで、「AD」「LDAP」、または「RADIUS」を使用する場合は、事前に認証サーバを構築する必要があります。
-
[SSL-VPN] の [プライベートネットワーク]にて、同一ネットワークの複数行指定はできません。
◆設定不可のプライベートネットワーク構成例
-
ユーザ管理者の権限を持つユーザで、セルフポータルサイトにログインします。
-
「テナント設定」タブをクリックします。
-
左ペインで「Edgeゲートウェイ」をクリックします。
Edgeゲートウェイの一覧が表示されます。
-
SSL-VPNを設定するEdgeゲートウェイを右クリックし、「サービス設定」をクリックします。
「サービスの構成」画面が表示されます。
-
左ペインで「SSL-VPN」をクリックし、「SSL-VPNを有効化」にチェックを入れます。
-
SSL-VPN接続で利用する「サーバIPアドレス」、「ポート」、「暗号化」を設定します。
項目 説明 サーバIPアドレス SSL-VPN機能を利用するグローバルIPアドレスを選択します。 ポート SSL-VPNゲートウェイに接続するためのポートを入力します。 暗号化 SSL-VPNの通信に利用する暗号化方式を選択します。 -
事前に登録した証明書の一覧から、SSL通信で使用する証明書を選択します。
「デフォルトの証明書を使用する」にチェックを入れると、デフォルトのEdgeゲートウェイ証明書を使用します。
-
「IPプール」の「追加」ボタンをクリックします。
IPプールを選択し、「編集」ボタンをクリックすると編集できます。
IPプールを選択し、「削除」ボタンをクリックすると削除できます。
「IPプールの追加」画面が表示されます。
-
SSL-VPNリモートユーザに割り当てる仮想IPアドレスを登録します。各項目を設定し、「OK」ボタンをクリックします。
項目 説明 IPの範囲 仮想IPアドレスの範囲を入力します。 ゲートウェイアドレス 仮想IPアドレスのゲートウェイアドレスを入力します。 ネットワークマスク 仮想IPアドレスのネットワークマスクを入力します。 プライマリDNS 仮想IPアドレスのプライマリDNSを入力します。 セカンダリDNS 仮想IPアドレスのセカンダリDNSを入力します。 DNSサフィックス 仮想IPアドレスのDNSサフィックスを入力します。 WINSサーバ 仮想IPアドレスのWINSサーバを入力します。 説明 IPプールの説明を256文字以内で入力します。 プールの有効化 チェックを入れると、IPプールが有効化されます。 -
「プライベートネットワーク」の「追加」ボタンをクリックします。
プライベートネットワークを選択し、「編集」ボタンをクリックすると編集できます。
プライベートネットワークを選択し、「削除」ボタンをクリックすると削除できます。
「プライベートネットワークの追加」画面が表示されます。
-
SSL-VPNリモートユーザからのアクセスを許可するネットワークを設定します。各項目を設定し、「OK」ボタンをクリックします。
項目 説明 ネットワーク アクセスを許可するIPアドレスをCIDR形式で入力します。 説明 プライベートネットワークの説明を256文字以内で入力します。 送信トラフィック 送信トラフィックの方式を選択します。 - オーバートンネル:インターネットトラフィックがEdgeゲートウェイを介してプライベートネットワークに送信されます。
- バイパストンネル:インターネットトラフィックがEdgeゲートウェイを迂回し、プライベートサーバに直接送信されます。
TCP最適化の有効化 チェックを入れると、TCP-over-TCP問題が解消され、最適なパフォーマンスでインターネット通信を行えます。 ポート TCP最適化が有効になっている場合に入力します。ここに入力したポートのトラフィックのみが最適化されます。 ネットワークの有効化 チェックを入れると、プライベートネットワークが有効化されます。 -
「認証方法」の「追加」ボタンをクリックします。
認証方法を選択し、「編集」ボタンをクリックすると編集できます。
認証方法を選択し、「削除」ボタンをクリックすると削除できます。
「認証方法の追加」画面が表示されます。
-
SSL-VPNリモートユーザの認証方法を設定します。各項目を設定し、「OK」ボタンをクリックします。
認証の「タイプ」によって入力項目が異なります。
「タイプ」で「AD」を選択した場合
項目 説明 順番 値の小さい認証方法の優先順位が高くなります。 IPアドレス 認証するActive DirectoryサーバのIPアドレスを入力します。 ポート ディレクトリサービスに接続するポートを入力します。 - SSLを有効化:チェックを入れると、ディレクトリサービスに接続する際、SSLによる暗号化を有効にします。
タイムアウト 認証のタイムアウトを入力します。 サーバの有効化 チェックを入れると、認証が有効化されます。 サーチベース 認証を行うユーザ検索のエントリを入力します。
例:cn=Users,dc=example,dc=comバインドDN サーチベース内でActive Directoryの検索を許可するユーザ名(識別名)を入力します。
例:cn=administrator,cn=Users,dc=example,dc=comバインドパスワード バインドDNで指定したユーザの認証パスワードを入力します。 パスワードの再入力 再度、バインドDNで指定したユーザの認証パスワードを入力します。 ログイン名 認証するユーザ名のActive Directory上の属性を入力します。 検索フィルタ 検索を制限するフィルタの値を入力します。 この認証サーバをセカンダリとして使用する チェックを入れると、このActive Directory認証はセカンダリとして使用されます。 認証が失敗したらセッションを削除する チェックを入れると、このActive Directoryサーバをセカンダリとして使用する場合、認証に失敗したときにセッションが削除されます。 「タイプ」で「LDAP」を選択した場合
項目 説明 順番 値の小さい認証方法の優先順位が高くなります。 IPアドレス 認証するLDAPサーバのIPアドレスを入力します。 ポート ディレクトリサービスに接続するポートを指定します。 - SSLを有効化:チェックを入れると、ディレクトリサービスに接続する際、SSLによる暗号化を有効にします。
タイムアウト 認証のタイムアウトを入力します。 サーバの有効化 チェックを入れると、認証が有効化されます。 サーチベース 認証を行うユーザ検索のエントリを入力します。
例:cn=Users,dc=example,dc=comバインドDN サーチベース内でLDAPの検索を許可するユーザ名(識別名)を入力します。
例:cn=administrator,cn=Users,dc=example,dc=comバインドパスワード バインドDNで指定したユーザの認証パスワードを入力します。 パスワードの再入力 再度、バインドDNで指定したユーザの認証パスワードを入力します。 ログイン名 認証するユーザ名のLDAP上の属性を入力します。 検索フィルタ 検索を制限するフィルタの値を入力します。 この認証サーバをセカンダリとして使用する チェックを入れると、このLDAP認証はセカンダリとして使用されます。 認証が失敗したらセッションを削除する チェックを入れると、このLDAPサーバをセカンダリとして使用する場合、認証に失敗したときにセッションが削除されます。 「タイプ」で「RADIUS」を選択した場合
項目 説明 順番 値の小さい認証方法の優先順位が高くなります。 IPアドレス 認証するRADIUSサーバのIPアドレスを入力します。 ポート 認証に使用するポートを入力します。 タイムアウト 認証のタイムアウトを入力します。 サーバの有効化 チェックを入れると、認証が有効化されます。 シークレットキー RADIUSクライアントに設定したシークレットキーを入力します。 シークレットキーの再入力 再度、RADIUSクライアントに設定したシークレットキーを入力します。 NASのIPアドレス 属性番号4で使用されるNASのIPアドレスです。RADIUSパケットのIPヘッダ内の接続元IPアドレスは変更されません。 リトライ数 RADIUSサーバが応答しない場合に、RADIUSサーバと通信を試みる回数を入力します。全てに応答がない場合、認証が失敗となります。 この認証サーバをセカンダリとして使用する チェックを入れると、このRADIUS認証はセカンダリとして使用されます。 認証が失敗したらセッションを削除する チェックを入れると、このLDAPをセカンダリとして使用する場合、認証に失敗したときにセッションが削除されます。 「タイプ」で「LOCAL」を選択した場合
項目 説明 順番 値の小さい認証方法の優先順位が高くなります。 パスワードポリシー チェックを入れると、パスワードポリシーが有効化され、パスワードポリシーの設定項目が表示されます。 パスワードの長さ 設定するパスワードの最小文字数と最大文字数を入力します。 アルファベットの最小数 設定するパスワードのアルファベット最小文字数を入力します。 数字の最小数 設定するパスワードの数字最小文字数を入力します。 記号の最小数 設定するパスワードの記号最小文字数を入力します。 パスワード制限 チェックを入れると、ユーザIDが含まれるパスワードを拒否します。 パスワードの有効期限 パスワードの有効期限を1~365日の範囲で入力します。 パスワードの変更通知の期限 パスワードの変更通知を表示する期限を1~365日の範囲で入力します。 アカウントのロックアウトポリシー チェックを入れると、アカウントのロックアウトポリシーが有効化され、アカウントのロックアウトポリシーの設定項目が表示されます。 ロックアウトまでの無効なログイン回数 パスワードの入力失敗によるアカウントロックアウトまでの回数を入力します。 リトライ可能なログイン間隔 パスワード入力失敗によるリトライ可能間隔を入力します。 ロックアウト期間 ロックアウトされる期間を入力します。 サーバの有効化 チェックを入れると、認証が有効化されます。 この認証サーバをセカンダリとして使用する チェックを入れると、このLOCAL認証はセカンダリとして使用されます。 認証が失敗したらセッションを削除する チェックを入れると、このLOCALをセカンダリとして使用する場合、認証に失敗したときにセッションが削除されます。 -
「パッケージのインストール」の「追加」ボタンをクリックします。
インストールパッケージを選択し、「編集」ボタンをクリックすると編集できます。
インストールパッケージを選択し、「削除」ボタンをクリックすると削除できます。
「インストールパッケージの追加」画面が表示されます。
-
SSL-VPNクライアントのインストールパッケージの設定を行います。各項目を設定し、「OK」ボタンをクリックします。
項目 説明 プロファイル名 インストールパッケージのプロファイル名を入力します。
SSL-VPNクライアントの起動時にプロファイル名が表示されます。行を追加 ボタンをクリックすると、行が追加され、「ゲートウェイ」と「ポート」を設定できます。 - ゲートウェイ:SSL-VPN機能を利用するグローバルIPアドレスを入力します。
- ポート:SSL-VPN機能を利用するポート番号を入力します。
インストールパッケージのOS インストールパッケージを利用できるOSにチェックを入れます。 説明 インストールパッケージの説明を256文字以内で入力します。 インストールパッケージの有効化 チェックを入れると、インストールパッケージが有効化されます。 Windowsのインストールパラメータ Windows用SSL-VPNクライアントに以下のオプションを追加します。 - ログオン時にクライアントを起動:チェックを入れると、ログオン時にクライアントが自動的に起動します。
- システムトレイにクライアントを隠す:チェックを入れると、システムトレイに表示されるクライアントのアイコンが非表示になります。
- パスワードを記憶する:チェックを入れると、SSL-VPN接続時、初回以降のパスワード入力を省略します。
- デスクトップアイコンを作成:チェックを入れると、インストール後にクライアントのデスクトップショートカットを作成します。
- サイレントモードインストールを有効化:チェックを入れると、リモートユーザからクライアントインストールのステータスが非表示になります。
- サイレントモードオペレーションを有効化:チェックを入れると、クライアントインストール後の完了ポップアップが非表示になります。
- SSLクライアントネットワークアダプタを隠す:チェックを入れると、SSL-VPNクライアントのネットワークアダプタが非表示になります。
-
認証方法の「タイプ」で「LOCAL」を選択した場合は、ユーザを作成します。「ユーザ」の「追加」ボタンをクリックします。
「LOCAL」以外のタイプを選択した場合は、手順18.に進みます。
ユーザを選択し、「編集」ボタンをクリックすると編集できます。
ユーザを選択し、「削除」ボタンをクリックすると削除できます。
「ユーザの追加」画面が表示されます。
-
各項目を設定し、「OK」ボタンをクリックします。
項目 説明 ユーザID LOCAL認証用ユーザのIDを入力します。 パスワード LOCAL認証用ユーザのパスワードを入力します。 パスワード(確認) 再度、LOCAL認証用ユーザのパスワードを入力します。 説明 ユーザの説明を256文字以内で入力します。 パスワード有効期限を無期限にする チェックを入れると、パスワード有効期限が無期限になります。無期限とした場合、パッケージのポリシーに則った期限が設定されます。 パスワードの変更を許可 チェックを入れると、リモートユーザ自身がパスワードを変更できるようになります。 - 次のログイン時にパスワードの変更を要求:チェックを入れると、次のログイン時にパスワードの変更が要求されるようになります。
ユーザの有効化 チェックを入れると、ユーザが有効化されます。 -
「OK」ボタンをクリックします。
EdgeゲートウェイへのSSL-VPN接続の設定が完了します。
SSL-VPN接続を行う端末の準備をする
SSL-VPN接続を行う端末には、以下の準備が必要です。
インターネット環境
SSL-VPN接続を行う端末は、EdgeゲートウェイのグローバルIPアドレスにアクセスできるインターネット環境に接続してください。
クライアントOS
SSL-VPN接続を行う端末には、以下のいずれかのクライアントOSをインストールしてください。
- Windows 8、10
- Mac OS Sierra、High Sierra、Mojave
- Linux Fedora :26、28
- Linux CentOS :6.0、7.5
- Linux Ubuntu :18.04
- edit
- 補足
LinuxまたはMacOSのクライアント端末からプロキシサーバを経由したSSL-VPNクライアント接続が不可となりますので、ご注意ください。
Linuxのクライアント端末にてSSL-VPNクライアントの操作をユーザインターフェイス(GUI) にて使用するためには、Linux TCL、TK、ネットワーク セキュリティ サービス (NSS) の ライブラリが必要となります。
SSL-VPNクライアントソフトウェア
SSL-VPN接続を行う端末には、外部からVPN接続するためのクライアントソフトウェアをインストールする必要があります。
ここでは、例としてWindowsにSSL-VPNクライアントをインストールする方法を説明します。
- check
- 重要
-
中間CA証明書は、SSL VPN-Plusでの使用はサポートされていません。
中間CA証明書を使用している場合、SSL VPN-Plus経由で接続できません。
-
SSL-VPNクライアントをインストールする端末で、以下のURLにアクセスします。
https://<グローバルIPアドレスまたはFQDN><:ポート番号>/sslvpn-plus
- edit
- 補足
グローバルIPアドレス、FQDN、ポート番号は、 「SSL-VPN接続を設定する」 の手順6.で設定した値を入力します。
-
ユーザ名とパスワードを入力し、「ログイン」ボタンをクリックします。
「SSL-VPN接続を設定する」 の手順12.~17.(認証方法およびユーザの設定)で設定したアクセス可能なユーザでログインします。
「SSL-VPN接続を設定する」 の手順14.~15.(パッケージのインストール)でインストールパッケージを設定した場合、「フルアクセス」タブが表示され、タブ内には設定したプロファイルリストが表示されます。
-
プロファイルを選択します。
新しいページが表示され、SSL-VPN接続用クライアントソフト「VMware_index.html-Setup.exe」のダウンロードが実行されます。
- edit
- 補足
通常は自動でダウンロードが開始されますが、60秒以内に開始されない場合は、ページ内リンクをクリックして手動でダウンロードしてください。
-
ダウンロードした「VMware_index.html-Setup.exe」を実行し、インストールします。
-
インストール完了後、プロファイルにあわせたインストーラーが表示されたことを確認します。
-
SSL-VPNクライアントにログインします。
「SSL-VPN接続を設定する」 の手順12.~17.(認証方法およびユーザの設定)で設定したアクセス可能なユーザでログインします。
-
正常にログインしたら、 「SSL-VPN接続を設定する」 の手順8.~9.(IPプールの設定)で設定したIPアドレスが、クライアントをインストールした端末に払い出されていることを確認します。