この方法はオプションであり、 使用されていない第三のインターフェースを備えた PIX (PIX 515、 PIX 525、 PIX 535 など) が必要です。 ここでは SonicWALL SSL-VPN 装置の既定のナンバリング ス キーマを使用します。
1.
管理システムから SSL-VPN 装置の管理 GUI にログインします。 既定の管理インターフェースは X0 で、 既定の IP アドレスは 192.168.200.1 です。2.
’ ネットワーク > ルート’ ページに進み、 デフォルト ゲートウェイが’ 192.168.200.2’ に設定され3.
’ NetExtender > クライアント アドレス’ ページに進みます。 ’ クライアント アドレス範囲の開 始’ の隣にあるフィールドに’ 192.168.200.201’ と入力し、’ クライアント アドレス範囲の終了’の隣にあるフィールドに’ 192.168.200.249’ と入力します。 その後、 右上隅の’ 適用’ ボタンを 選択して変更を保存、 適用します。
4.
’ NetExtender > クライアント ルート’ ページに進みます。 ’ 192.168.100.0’ と’192.168.200.0’ に関するクライアント ルートを追加します。
5.
’ ネットワーク > DNS’ ページに進み、 内部ネットワークの DNS アドレス、 内部ドメイン名、 WINS サーバ アドレスを入力します。 これらは NetExtender を正しく機能させるために重要な情報なので注 意して入力してください。 その後、 右上隅の’ 適用’ ボタンを選択して変更を保存、 適用します。6.
’ システム > 再起動’ ページに進み、’ 再起動’ ボタンを選択します。7.
SonicWALL SSL-VPN 装置の X0 インターフェースを PIX の使用されていない DMZ ネットワークに インストールします。 装置のその他のインターフェースにフックしないよう注意してください。8.
コンソール ポート、 telnet、 または SSH を通じて PIX の管理 CLI に接続し、 設定モードに入ります。9.
’ clear http’ コマンドを発行して、 PIX の HTTP / S 管理 GUI を無効にします。10.
’ interface ethernet2 auto’ コマンドを発行します (インターフェース名は、 実際に使用するインター フェースに置き換えます)。11.
’ nameif ethernet2 dmz security4’ コマンドを発行します (インターフェース名は、 実際に使用する インターフェースに置き換えます)。12.
’ ip address dmz 192.168.200.2 255.255.255.0’ コマンドを発行します。13.
’ nat (dmz) 1 192.168.200.0 255.255.255.0 0 0’ コマンドを発行します。14.
’ access-list sslvpn permit tcp any host x.x.x.x eq www’ コマンドを発行します (x.x.x.x の部分は お使いの PIX の WAN IP アドレスで置き換えます)。15.
’ access-list sslvpn permit tcp any host x.x.x.x eq https’ コマンドを発行します (x.x.x.x の部分は お使いの PIX の WAN IP アドレスで置き換えます)。16.
’ access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0’ コマンドを発行します。17.
’ access-list dmz-to-inside permit ip host 192.168.200.1 any’ コマンドを発行します。18.
’ static (dmz,outside) tcp x.x.x.x www 192.168.200.1 www netmask 255.255.255.255 0 0’ コマ ンドを発行します (x.x.x.x の部分はお使いの PIX の WAN IP アドレスで置き換えます)。19.
’ static (dmz,outside) tcp x.x.x.x https 192.168.200.1 https netmask 255.255.255.255 0 0’ コマ ンドを発行します (x.x.x.x の部分はお使いの PIX の WAN IP アドレスで置き換えます)。20.
’ static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0’ コマンドを発行し ます。21.
’ access-group sslvpn in interface outside’ コマンドを発行します。22.
’ access-group dmz-to-inside in interface dmz’ コマンドを発行します。23.
設定モードを抜け、’ wr mem’ コマンドを発行して変更を保存、 適用します。24.
外部システムから、 HTTP と HTTPS の両方を使用して SSL-VPN 装置に接続してみます。SSL-VPN 装置にアクセスできない場合は、 上記すべてのステップを確認して、 もう一度テストしてく ださい。
最終的な設定例 (関連部分を太字で記載)
PIX Version 6.3(5)
interface ethernet1 auto interface ethernet2 auto
nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 dmz security4
enable password SqjOo0II7Q4T90ap encrypted passwd SqjOo0II7Q4T90ap encrypted
hostname tenaya
domain-name vpntestlab.com clock timezone PDT -8
clock summer-time PDT recurring fixup protocol dns maximum-length 512 fixup protocol ftp 21
fixup protocol h323 h225 1720 fixup protocol h323 ras 1718-1719 fixup protocol http 80
fixup protocol rsh 514 fixup protocol rtsp 554 fixup protocol sip 5060 fixup protocol sip udp 5060 fixup protocol skinny 2000 fixup protocol smtp 25 fixup protocol sqlnet 1521 fixup protocol tftp 69 names
access-list sslvpn permit tcp any host 64.41.140.167 eq www access-list sslvpn permit tcp any host 64.41.140.167 eq https
access-list dmz-to-inside permit ip 192.168.200.0 255.255.255.0 192.168.100.0 255.255.255.0 access-list dmz-to-inside permit ip host 192.168.200.1 any
pager lines 24 logging on logging timestamp logging buffered warnings mtu outside 1500
mtu inside 1500 mtu dmz 1500
ip address outside 64.41.140.167 255.255.255.224 ip address inside 192.168.100.1 255.255.255.0 ip address dmz 192.168.200.2 255.255.255.0 ip audit info action alarm
ip audit attack action alarm pdm history enable
arp timeout 14400
global (outside) 1 interface
nat (inside) 1 192.168.100.0 255.255.255.0 0 0 nat (dmz) 1 192.168.200.0 255.255.255.0 0 0
static (dmz,outside) tcp 64.41.140.167 www 192.168.200.1 www netmask 255.255.255.255 0 0 static (dmz,outside) tcp 64.41.140.167 https 192.168.200.1 https netmask 255.255.255.255 0 0 static (inside,dmz) 192.168.100.0 192.168.100.0 netmask 255.255.255.0 0 0
access-group sslvpn in interface outside access-group dmz-to-inside in interface dmz route outside 0.0.0.0 0.0.0.0 64.41.140.166 1 timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00 timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout sip-disconnect 0:02:00 sip-invite 0:03:00 timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server TACACS+ max-failed-attempts 3 aaa-server TACACS+ deadtime 10
aaa-server RADIUS protocol radius
ntp server 192.43.244.18 source outside prefer floodguard enable
telnet 0.0.0.0 0.0.0.0 inside telnet timeout 15
ssh 0.0.0.0 0.0.0.0 outside ssh timeout 15
console timeout 20
dhcpd address 192.168.100.101-192.168.100.199 inside dhcpd dns 192.168.100.10
dhcpd lease 600 dhcpd ping_timeout 750 dhcpd domain vpntestlab.com dhcpd enable inside
terminal width 80
banner motd Restricted Access.Please log in to continue.
Cryptochecksum:81330e717bdbfdc16a140402cb503a77 : end
Juniper
現時点では、 Juniper 関連のシナリオはありません。
Linksys WRT54GS
SSL-VPN は Linksys ワイヤレス ルータの LAN スイッチ上で設定する必要があります。
ここでは、 お使いの Linksys にケーブル ISP が DHCP 経由で単一の WAN IP を割り当てており、 この Linksys が 192.168.1.0 / 24 という既定の LAN IP アドレス スキーマを使用していることを前提にして います。
補足 推奨ファームウェア: このセットアップでは、 バージョン 2.07.1 以上のファームウェアを推奨しま す。Linksys を SSL-VPN 装置と相互運用できるように設定するには、 SSL (443) ポートを SSL-VPN 装置の IP アドレスに転送する必要があります。
1.
Linksys デバイスにログインします。2.
Applications & Gamingタブを選択します。3.
次の情報を入力します。Application SSL-VPN ポート転送先アプリケーションの名前 Port Range Start 443 アプリケーションで使用される開始ポート番号 Port Range End 443 アプリケーションで使用される終了ポート番号
4.
設定が完了したら、 ページの下部にあるSave Settingsボタンを選択します。これで、 Linksys が SSL-VPN 装置と相互運用するようになります。
Watchguard Firebox X Edge
ここでは、 WatchGuard Firebox X Gateway の IP アドレスが 192.168.100.1 に設定され、
SonicWALL SSL-VPN の IP アドレスが 192.168.100.2 に設定されているものと想定します。
補足 以降のステップは、 WatchGuard SOHO6 シリーズのファイアウォールでも同様です。作業を始める前に、 WatchGuard のどのポートを管理に使用しているかを確認します。 WatchGuard を HTTPS (443) ポートで管理していない場合は、 次のステップに従ってください。 WatchGuard を HTTPS (443) ポートで管理している場合は、 最初にこの設定方法の注意事項を参照してください。
1.
ブラウザを開き、 WatchGuard Firebox X Edge 装置の IP アドレスを入力します (例 :192.168.100.1)。 アクセスに成功すると、 次のような "System Status" ページが表示されます。
WatchGuard の管理インターフェースが既に HTTPS をポート 443 で受け付けるように設定されている 場合は、 SonicWALL SSL-VPN 装置と WatchGuard 装置の両方を管理できるようにポートを変更す る必要があります。
2.
Administration > System Securityを選択します。IP Address 192.168.1.10 SSL-VPN 装置に割り当てられる IP アドレス
Enable オン SSL ポート転送を有効にするにはチェックボックスをオン
4.
HTTP Server Portを 444 に変更し、 Submitボタンを選択します。これで、 WatchGuard を WAN からポート 444 で管理できるようになります。 WatchGuard にアクセス するには次のようにします。 〈https://<watchguard wan ip>:444〉
5.
左側のナビゲーション メニューでFirewall > Incomingを選択します。6.
HTTPSサービスのFilterを Allow に設定し、 Service Hostフィールドに SonicWALL SSL-VPN 装置の WAN IP アドレス (192.168.100.2) を入力します。7.
ページの下部にあるSubmitボタンを選択します。これで、 Watchguard Firebox X Edge が SonicWALL SSL-VPN 装置と相互運用できるようになり ます。
Netgear FVS318
ここでは、 NetGear FVS318 Gateway の IP アドレスが 192.168.100.1 に設定され、 SonicWALL SSL-VPN の IP アドレスが 192.168.100.2 に設定されているものと想定します。
1.
Netgear 管理インターフェースの左側のインデックスからRemote Managementを選択します。SonicWALL SSL-VPN を Netgear ゲートウェイ デバイスと連携させるためには、 NetGear の管理 ポートが SonicWALL SSL-VPN 装置の管理ポートと競合しないようにする必要があります。
2.
Allow Remote Managementチェックボックスをオフにします。3.
Applyボタンを選択して変更を保存します。 補足 NetGear の Remote Management が必要な場合は、 このチェックボックスをオンのままにして、既定のポートを変更します (8080 を推奨します)。
4.
左側のナビゲーションでAdd Serviceを選択します。5.
Add Custom Serviceボタンを選択します。6.
サービス定義を作成するために、 次の情報を入力します。7.
左側のナビゲーションでPortsを選択します。Name HTTPS
Type TCP / UDP Start Port 443
Finish Port 443
8.
Addボタンを選択します。9.
Service Nameドロップダウン メニューから HTTPS を選択します。10.
Actionドロップダウン メニューでは ALLOW always を選択します。11.
Local Server Addressフィールドに SonicWALL SSL-VPN 装置の WAN IP アドレスを入力しま す。12.
Applyボタンを選択して変更を保存します。これで、 Netgear ゲートウェイ デバイスが SonicWALL SSL-VPN 装置と相互運用できるようになりま す。
Netgear Wireless Router MR814 SSL の設定
ここでは、 NetGear Wireless Router の IP アドレスが 192.168.100.1 に設定され、 SonicWALL SSL-VPN の IP アドレスが 192.168.100.2 に設定されているものと想定します。
1.
Netgear の管理インターフェースの左側のインデックスからAdvanced > Port Managementを 選択します。2.
ページ中央のAdd Custom Serviceボタンを選択します。3.
Service Nameフィールドにサービス名を入力します (例 : SSL-VPN)。4.
Starting Portフィールドに443と入力します。5.
Ending Portフィールドに443と入力します。6.
Server IP Addressフィールドに SonicWALL SSL-VPN 装置の WAN IP アドレスを入力します。7.
Applyボタンを選択します。これで、 Netgear ワイヤレス ルータが SonicWALL SSL-VPN 装置と相互運用できるようになります。
Checkpoint AIR 55
SonicWALL SSL-VPN と Check Point AIR 55 を連携させる
まず必要なのは、 ホストベースのネットワーク オブジェクトを定義することです。 そのためには、 File メ ニューの "Manage" と "Network Objects" を使用します。
ホスト ノード オブジェクト
補足 このオブジェクトは、 内部ネットワークに存在するものとして定義されます。 SonicWALL SSL-VPN をセキュア セグメント (非武装地帯とも呼ばれます) に配置する場合は、 後述のファイア ウォール規則でセキュア セグメントから内部ネットワークへの必要なトラフィックを通過させる必要がありま す。次に、 作成したオブジェクトの NAT タブを選択します。