ユーザがリモート接続するためVPN設定を準備します。
SophosUTMには、いくつかのリモートアクセス機能がついています。
この中で私がよく使うものは・・・
SSLVPN:OpenVPNでの接続です。いろんなOSで使えます。
Cisco VPNクライアント:iPad/iPhoneの標準機能で接続できます。接続後はアプリ次第ですが、マイクロソフト製のアプリはいまいちです。。
HTML5 VPN:クライアントのブラウザで動くという近未来的な接続方法ですが、まだ安定していない様子。
今回は、SSLVPNの手順を書きます
全てSophosUTM管理コンソール内での設定作業となります。
作ります
1,まず接続テスト用サーバを作ります
手順1-2を参考に。
ステップ3:サブネットは192.168.101.16/28 を選択し、IPアドレスは192.168.101.30 とする
ステップ6:セキュリティグループは、
全てのトラフィック/192.168.101.0/24
としておきます。
キーペアは、手順1-2で作成したものを使います。
また手順12のElastic IPは不要です。
これでテスト用サーバ192.168.101.30ができました。
作業用サーバ(192.168.101.5)からリモートデスクトップ接続して、192.168.101.5に接続できることを確認しておきます。
それでは、SophosUTMの管理コンソールから設定していきます。
作業用サーバから、https://192.168.101.14:4444
もしくは
自分のパソコンから、https://[SophosUTMのElasticIP]:4444
でログインします。
2,ユーザとグループを作成します。
まずユーザを作成します。
の3名を作ります
パスワードは次の手順でユーザが変更できますので、初期パスワードとお考えください
次にグループ:Group-hoges を作成して、ユーザ3名を追加します
グループでまとめておくとかなり便利です。
3,ユーザポータルを準備します。
ユーザはSophosUTMのポータルサイトへアクセスして、初期設定などを行います。
ポータルサイトは、https://[Elastic IPアドレス]/ でアクセスできるようになります。
マネジメント→ユーザポータル を開き、右上のスイッチを入れる。(設定完了していないのでスイッチが黄色くなる)
許可ネットワーク:InternetIPv4 (インターネットのどこからでも許可。IP制限もできます)
全てのユーザ許可:OFFにします。
許可ユーザ:Group-hoges
これで、 https://[Elastic IPアドレス]/ でポータルサイトが表示されますが、
AWSセキュリティグループで許可していないのでまだできません。
SophosUTMのセキュリティグループに、ルールを追加します。
httpsであればどこからでも接続OK.とします。
ポータルサイトに接続してみます。
VPC外の任意のパソコンから、https://[SophosUTMのElasticIP]
を開くと・・・
ポータルログインページが開きました。
早速先ほど作成したユーザでログインしてみます。
ユーザは”Change Password”でパスワード変更もできます。
このポータルを介して、SSLVPNクライアントのセットアップモジュールのダウンロードをします。
下記の手順でSSLVPNの設定が完了すると、ポータルに新しいタブが表示されます。
4,SSLVPNを準備します。
許可されたユーザ(Group-hoges)が、許可されたプライベートネットワークに接続できるようにします。
リモートアクセス→SSL を選択し、【新規リモートアクセスプロファイル】ボタンを押します。
プロファイル名:分かり易い適当なもの
ユーザとグループ:先ほど作成したグループ:Group-hogesを選択します。
ローカルネットワーク:今回は作業用サーバにのみ接続させたいので、192.168.101.30のネットワークオブジェクトを作成します。
緑の+マークで・・・
名前:分かり易いもの(例:101.030 テスト用)
タイプ:ホスト
IPv4アドレス:192.168.101.30
保存ボタンを押すと、ネットワークオブジェクトに登録され使い回しもできます。
自動ファイヤーウォール:OFFにします ←理由は後で説明します。
保存ボタンで終了します。
クライアントへ配布するコンフィグファイルに、どこに接続するのかを定義しておく必要があります。
設定タブの”ホスト名を上書き”項目に、SophosUTMのElastic IPアドレスを設定し、適用ボタンを押します。
これで、クライアントから見た接続先が確定されました。
ユーザがダウンロードする設定ファイルに接続先が書き込まれます。
これでユーザポータル側に新しいページが追加されます。
ユーザポータルから見てみます。
VPC外の任意のパソコンから、https://[SophosUTMのElasticIP]
【Remote Access】タブが追加され、何やらダウンロードできるボタンが追加されています。
クライアント端末へのインストール方法は次回とします。
5,SSLVPN接続後の通信ルートを開放します。
ユーザがVPN経由で接続できるまでに、以下の流れになります。
① ユーザがSSLVPNでの認証を成功した。
② SophosUTMが、接続ユーザ用のIPアドレスを渡す。
デフォルトでは、10.242.2.0/24 の中からIPアドレスを割り当てます。
例えば、10.242.2.1 が割り当てられたとします。
③ ユーザは10.242.2.1というローカルIPアドレスで、対象となるサーバへ接続しに行きますが、
ローカルサブネットが全然違うので、相手にされません。(確認してないですが多分そうです)
よって、アドレス変換(NAT)をして、SophosUTMのローカルIP(192.168.101.14)から接続します。
・・・ということでNATの設定をします。
ネットワークプロテクション→NAT の NATタブを開きます。
【新規NATルール】ボタンをクリックして、
ルールタイプ:SNAT(送信元)
---
トラフィック送信元:VPN Pool(SSL)
サービス:Any
トラフィック宛先:101.030 テスト用
---
変更後の送信元:Internal(Address) つまり192.168.101.14
---
自動ファイヤーウォールルール:ONにします。
初期パケットのログ:ONにしておいた方がトラブルシューティングが楽です。
保存して登録後、一覧表示先頭のスイッチをON(緑色)にします。
6,最後に作業用サーバのセキュリティグループを追加します。
テスト用サーバ(192.168.101.30)は上記NATにより、192.168.101.14から接続要求を受けることになります。
ですので・・・
テスト用サーバのセキュリティグループに下記を追加します
タイプ:RDP
送信元:192.168.101.14
これでSSLVPN経由で、テスト用サーバへのアクセスができるようになります。
次にクライアント設定を行います。