1-3b-2:SophosUTMリモートアクセス設定

ここでやること

ユーザがリモート接続するためVPN設定を準備します。

SophosUTMには、いくつかのリモートアクセス機能がついています。
この中で私がよく使うものは・・・
SSLVPN:OpenVPNでの接続です。いろんなOSで使えます。
Cisco VPNクライアント:iPad/iPhoneの標準機能で接続できます。接続後はアプリ次第ですが、マイクロソフト製のアプリはいまいちです。。
HTML5 VPN:クライアントのブラウザで動くという近未来的な接続方法ですが、まだ安定していない様子。

今回は、SSLVPNの手順を書きます
全てSophosUTM管理コンソール内での設定作業となります。

作ります

1,まず接続テスト用サーバを作ります


手順1-2を参考に。
ステップ3:サブネットは192.168.101.16/28 を選択し、IPアドレスは192.168.101.30 とする
ステップ6:セキュリティグループは、
全てのトラフィック/192.168.101.0/24 
としておきます。
キーペアは、手順1-2で作成したものを使います。
また手順12のElastic IPは不要です。

これでテスト用サーバ192.168.101.30ができました。
作業用サーバ(192.168.101.5)からリモートデスクトップ接続して、192.168.101.5に接続できることを確認しておきます。


それでは、SophosUTMの管理コンソールから設定していきます。
作業用サーバから、https://192.168.101.14:4444
もしくは
自分のパソコンから、https://[SophosUTMのElasticIP]:4444
でログインします。

2,ユーザとグループを作成します。

まずユーザを作成します。
hoge-user1
hoge-user2
hoge-user3
の3名を作ります

パスワードは次の手順でユーザが変更できますので、初期パスワードとお考えください
次にグループ:Group-hoges を作成して、ユーザ3名を追加します
グループでまとめておくとかなり便利です。

3,ユーザポータルを準備します。

ユーザはSophosUTMのポータルサイトへアクセスして、初期設定などを行います。
ポータルサイトは、https://[Elastic IPアドレス]/ でアクセスできるようになります。

マネジメント→ユーザポータル を開き、右上のスイッチを入れる。(設定完了していないのでスイッチが黄色くなる)
許可ネットワーク:InternetIPv4   (インターネットのどこからでも許可。IP制限もできます)
全てのユーザ許可:OFFにします。
許可ユーザ:Group-hoges

これで、 https://[Elastic IPアドレス]/ でポータルサイトが表示されますが、
AWSセキュリティグループで許可していないのでまだできません。
SophosUTMのセキュリティグループに、ルールを追加します。
httpsであればどこからでも接続OK.とします。

ポータルサイトに接続してみます。
VPC外の任意のパソコンから、https://[SophosUTMのElasticIP]
を開くと・・・
ポータルログインページが開きました。
早速先ほど作成したユーザでログインしてみます。
ログインできました!
ユーザは”Change Password”でパスワード変更もできます。

このポータルを介して、SSLVPNクライアントのセットアップモジュールのダウンロードをします。
下記の手順でSSLVPNの設定が完了すると、ポータルに新しいタブが表示されます。

4,SSLVPNを準備します。

許可されたユーザ(Group-hoges)が、許可されたプライベートネットワークに接続できるようにします。

リモートアクセス→SSL を選択し、【新規リモートアクセスプロファイル】ボタンを押します。
プロファイル名:分かり易い適当なもの
ユーザとグループ:先ほど作成したグループ:Group-hogesを選択します。
ローカルネットワーク:今回は作業用サーバにのみ接続させたいので、192.168.101.30のネットワークオブジェクトを作成します。
 緑の+マークで・・・
   名前:分かり易いもの(例:101.030 テスト用)
   タイプ:ホスト
   IPv4アドレス:192.168.101.30
 保存ボタンを押すと、ネットワークオブジェクトに登録され使い回しもできます。
自動ファイヤーウォール:OFFにします ←理由は後で説明します。

保存ボタンで終了します。

クライアントへ配布するコンフィグファイルに、どこに接続するのかを定義しておく必要があります。
設定タブの”ホスト名を上書き”項目に、SophosUTMのElastic IPアドレスを設定し、適用ボタンを押します。
これで、クライアントから見た接続先が確定されました。
ユーザがダウンロードする設定ファイルに接続先が書き込まれます。

これでユーザポータル側に新しいページが追加されます。
ユーザポータルから見てみます。
VPC外の任意のパソコンから、https://[SophosUTMのElasticIP]
【Remote Access】タブが追加され、何やらダウンロードできるボタンが追加されています。
クライアント端末へのインストール方法は次回とします。

5,SSLVPN接続後の通信ルートを開放します。

ユーザがVPN経由で接続できるまでに、以下の流れになります。
 ① ユーザがSSLVPNでの認証を成功した。
 ② SophosUTMが、接続ユーザ用のIPアドレスを渡す。
    デフォルトでは、10.242.2.0/24 の中からIPアドレスを割り当てます。
    例えば、10.242.2.1 が割り当てられたとします。
 ③ ユーザは10.242.2.1というローカルIPアドレスで、対象となるサーバへ接続しに行きますが、
    ローカルサブネットが全然違うので、相手にされません。(確認してないですが多分そうです)
    よって、アドレス変換(NAT)をして、SophosUTMのローカルIP(192.168.101.14)から接続します。

・・・ということでNATの設定をします。
ネットワークプロテクション→NAT の NATタブを開きます。
【新規NATルール】ボタンをクリックして、
ルールタイプ:SNAT(送信元)
---
トラフィック送信元:VPN Pool(SSL)
サービス:Any
トラフィック宛先:101.030 テスト用
---
変更後の送信元:Internal(Address)  つまり192.168.101.14
---
自動ファイヤーウォールルール:ONにします。
初期パケットのログ:ONにしておいた方がトラブルシューティングが楽です。

保存して登録後、一覧表示先頭のスイッチをON(緑色)にします。


6,最後に作業用サーバのセキュリティグループを追加します。

テスト用サーバ(192.168.101.30)は上記NATにより、192.168.101.14から接続要求を受けることになります。
ですので・・・
テスト用サーバのセキュリティグループに下記を追加します
タイプ:RDP
送信元:192.168.101.14

これでSSLVPN経由で、テスト用サーバへのアクセスができるようになります。

次にクライアント設定を行います。

Comments