KDDI Flex Remote Access
VPN 接続手順・
VPN クライアントソフト操作マニュアル
MAC PC 版
2018 年 7 月
KDDI 株式会社
Ver2.0
1 はじめに ... 3
2 Mac PC での「KDDI Flex Remote Access」の利用について... 4
2.1 端末制限について ... 4 2.2 接続環境について ... 4 3 クライアントソフウエアのインストール ... 5 3.1 インストールするバージョン(インストール方法)の事前確認 ... 5 3.2 インストーラーを利用する場合 ... 6 3.3 「KDDI FRE」への初回接続(ブラウザ)によりインストールする場合 ... 11 3.4 VPN に関する設定 ... 15 3.5 接続方法 ... 16 3.6 接続解除の方法 ... 17 3.7 設定項目の誤入力時の場合 ... 17 3.8 各種オプション項目の設定 ... 18 4 各種情報の表示/トラブルシューティング ... 19 4.1 各種統計情報、暗号化対象ルートの表示 ... 19 4.2 トラブルシューティング ... 20 5 Appendix ... 22 5.1 Windows®、MAC OS 用 VPN クライアントソフトのバージョンによる仕様差分 ... 22 5.1.1 仕様差分 ... 22
1 はじめに
※ 本資料に記載されている内容に関しましては、KDDI 株式会社の都合により変更する事がある 旨をご了承ください。
※ 本サービスご利用前に、本資料を必ずお読みください。
※ 免責事項・注意事項をご承諾いただけない場合、本サービス利用はお控えください。
本資料の一部または全部を「KDDI Flex Remote Access」の利用者もしくは運用者以外に対して開 示・配布・譲渡すること、「KDDI Flex Remote Access」以外の利用目的にて用いることを禁じます。
本資料は、「KDDI Flex Remote Access」をご利用いただく上で最低限の事項のみ記述しております。 KDDI は本資料の作成に当たり、サービス提供上問題が発生しないよう、細心の注意を払っており ますが、この資料に記載された内容に準拠した端末設定にて利用された場合においても、KDDI は お客さまアプリケーションの接続性を保証するものではありません。
「KDDI Flex Remote Access」上でご利用になられるアプリケーションに関する一切の質問は、受け 付けることができません。アプリケーションおよびサーバ・ルータなどネットワーク機器に関するお 問い合わせは導入ベンダー/メーカーさまへお問い合わせください。
設定方法・仕様などは、KDDI の都合により、予告なしに変更される可能性がありますのであらかじ めご了承ください。なお、問題点・変更点などを発見した場合はお手数ですが KDDI 法人営業担当 者までお気付きの点をご連絡ください。今後の資料作成に反映させていただきます。
2 Mac PC での「KDDI Flex Remote Access」の利用について 2.1 端末制限について
「KDDI Flex Remote Access」(以下、「KDDI FRE」)は、PC / スマートフォン / タブレット端末 から専用閉域網 /インターネットを経由して KDDI WVS への接続を可能とするリモートアクセ ス型サービスです。 「KDDI FRE」は、PC / スマートフォン / タブレット端末に専用の VPN ソフトウェアをインストー ルし接続を実現いたします。 Mac PC にてご利用いただく場合以下の条件を満たす端末である必要性があります。 【OS】 Mac OS X 10.7 (Lion)
Mac OS X 10.8 (Mountain Lion) Mac OS X 10.9 (Mavericks) Mac OS X 10.10 (Yosemite) Mac OS X 10.11 (El Capitan) macOS 10.12 (Sierra) macOS 10.13 (High Sierra)
※PC 用クライアントソフトは、複数のバージョンが併存しています。 『Mac OS X v 10.9 以 降』の場合、非対応のバージョンを利用している可能性もあるため、既存クライアントソフ トをアンインストールし、その後、FRE初回接続時と同様の手順にて、最新バージョンのク ライアントソフトをインストールして頂く事を推奨します。 又、本書の画面と実際の画面が異なる場合もありますので御了承下さい。 ※証明書認証を利用する場合は、v10.7(Lion)/v10.8(Mountain Lion)/v10.9(Mavericks)が対 象です。 【HDD】 空き容量:50MB 以上 【その他】 インストールには、管理者権限が必要 TCP/IP 通信が可能な各種プロトコル/NW 環境が必要です。 JRE がインストールされていないもしくは、有効となってない場合、インストール/有 効化することが必要です。 2.2 接続環境について 「KDDI FRE」は、SSL-VPN 機能を拡張した VPN 技術を利用しています。お客さまご利用環境 下において、UDP:53(DNS) / TCP:443(TLS) / UDP:443(DTLS)の疎通が確保できている必要性 があります。 また Proxy サーバ経由での接続も可能ですが、Proxy サーバにおいて TCP:443(TLS) / UDP:443(DTLS)の接続が確保されている必要性があります。 ※Proxy サーバ経由での接続の場合、VPN 内通信に対しての通信時も Proxy 設定を流用して しまうため、Proxy 経由通信については注意が必要です。 ※DTLS 通信(UDP:443)が利用できる環境下においてファイアウォールが介在する場合は、フ ァイアウォールセッション消失の可能性があるため、UDP セッション維持時間を長めにして いただく必要があります。(UDP セッション維持時間の設定が短いと、通信途中に VPN が不 安定になり、応答がなくなる事象が発生する可能性があります。)
KDDI
FRE
① ウェブサイトのインストーラーを 利用してインストール ② FREへの初回接続(ブラウザ接続) によりインストール 提供バージョン は4種類 提供バージョンは1種類 ご利用者さま 3 クライアントソフウエアのインストール 3.1 インストールするバージョン(インストール方法)の事前確認 クライアントソフトウエア(Cisco AnyConnect)をインストールします。インストールにあたっては、 利用するバージョンなど、お客さま管理者さま(以下、管理者さま)のご指示に従ってください。 ・利用するバージョン ・利用するバージョンが 3.1.05178 の場合、そのインストール方法(ブラウザ接続またはインスト ーラー) バージョンごとに細かい仕様差分があります。管理者さまは『PC 用 VPN クライアントソフト ご 利用にあたってのご注意事項』をご確認ください。 利用するバージョン (Cisco AnyConnect) 対応 OS インストール方法 4.5.03040 Mac OS X 10.11 macOS 10.12, 10.13 インストーラーを利用 4.3.04027 Mac OS X 10.9~10.11 macOS 10.12 インストーラーを利用 4.1.06020 Mac OS X 10.9~10.11 インストーラーを利用 3.1.05178 Mac OS X 10.7~10.9 1.インストーラーを利用 2. 「KDDI FRE」への初回接続 (ブラウザ接続)によるインスト ール(注) 注) 2018 年度に 4.5.03040 への変更を予定しています。 ・インストーラーを用いてクライアントソフトをインストールするお客さまは、『3.2 インストーラーを利 用する場合』をご参照のうえ、セットアップを行ってください。 (インストールの際に管理者権限が必要です)・AnyConnect の 3.1.05178 で、「KDDI FRE」への初回接続(ブラウザ接続)によりインストールするお 客さまは『3.4 FRE への初回接続でのインストールの場合』をご参照のうえ、セットアップを行って ください。
3.2 インストーラーを利用する場合
① インストーラーをリモートアクセスするパソコンにダウンロードします。
『KDDI リモートアクセスサービス / ビジネスセキュア Wi-Fi 各種マニュアルダウンロード』 (http://www.kddi.com/business/cpa_ccs/)のページ内の「KDDI Flex Remote Access」より、 ご利用されるバージョンのインストーラーをダウンロードします。
VPN クライアントソフト Cisco AnyConnect のインストーラー
DART Cisco AnyConnect のトラブル調査時の追加モジュール
・・・・
② ダウンロードしたファイル(dmg)を起動します。 ファイル名はバージョンによって異なります。 AnyConnect バージョン インストーラーファイル名 4.5.03040 anyconnect-macos-4.5.03040-core-vpn-webdeploy-k9.dmg 4.3.04027 anyconnect-macosx-4.3.04027-web-deploy-k9.dmg 4.1.06020 anyconnect-macosx-4.1.06020-web-deploy-k9.dmg 3.1.05178 anyconnect-macosx-3.1.05178-web-deploy-k9.dmg (本資料は、Cisco AnyConnect 4.3.04027 の画面を元に掲載しています。) 下記のようなセットアップウィザードが表示されますので、【続ける】ボタンをクリックします。
③ 『End-User License Agreement』 (エンドユーザ使用許諾)が表示されますので、同意され る場合は、 【続ける】ボタンをクリックします。
④ 『このソフトウェアのインストールを続けるには、ソフトウェア使用許諾契約の条件に同意 する必要があります。』のメッセージが表示されます。同意される場合は【同意する】をクリ ックします。
④ 『この操作には、コンピュータ上に XXMB の領域が必要です。』のメッセージが表示されま す。【インストール】をクリックし、管理者の名前とパスワードを求められたら入力します。
⑤ インストールが始まります。
⑥ 『インストールが完了しました』と表示されます。『閉じる』ボタンをクリックし、インストーラー は不要であればゴミ箱に入れてください。
⑦ Launchpad 内に『Cisco AnyConnect Secure Mobility Client』が追加されます。
ソフトウエア 表示名
VPN クライアントソフト Cisco AnyConnect Secure Mobility Client DART Cisco AnyConnect Diagnostics and Reporting Tool
3.3 「KDDI FRE」への初回接続(ブラウザ)によりインストールする場合 「KDDI FRE」へブラウザから初回接続をして、VPN クライアントソフトをインストールします。 この場合のバージョンは以下の通りです。 VPN クライアントソフト バージョン 3.1.05178 (対応 OS) Mac OS X 10.7~10.9 ※証明書認証を行うお客さまでコンピュータストア証明書をご利用の場合は、ブラウザ経 由でのインストールはできませんので、インストーラーを用いたインストールを行ってくだ さい。 開通案内に記載された接続先 URL(https://gwXX...)にお客様ブラウザよりアクセスいただ きます。 ※注意事項 ・ 上記ブラウザにアクセスした際、お客様 PC に証明書がインストールされている場合、証明 書選択を要求される場合があります。 ・ 証明書を利用した認証をご契約の場合は、KDDI より配布された証明書を選択いただく必要 ユーザ名/パスワード部にお客様 管理者さまより指定された、ユー ザ名/パスワードを入力してくださ い。 ユーザ名は、@を含むメールアドレ ス形式での入力となります。 お客様ご利用環境により左図のよ うな確認表示がされる場合があり ます。 “はい”を選択してください。
性があります。 ※KDDI から配布する証明書のインストール方法につきましては、別途『証明書インストールマ ニュアル(MAC OS 用)』をご確認ください。 ・ 証明書を利用した認証をご契約されていない場合は証明書選択要求をキャンセルするよう にお願いいたします。 ・ 証明書を利用した認証をご契約の場合は、開通案内に記載されたGW設備URLの内ホスト 名のみ(https://gwXX...jp)でアクセスいただくようお願いいたします。 【JAVA によるダウンロードができない場合】 JAVA プラグインにより自動ダウン ロード/インストールが開始されま す。 『Mac OS X 10.x+(intel)』ボタンをク リックするとダウンロードが開始さ れます。 ※JAVA が有効ではない『停止中 のプラグイン』という表記がでま す。
インストールが完了するとアプリケーションとして登録されます。 ダウンロードが完了するとインスト ールする為に管理者パスワード入 力を求められる場合があります。 JAVA アプレットによるインストー ルについて承認を求められる場合 があります。 実行をクリックしてインストールを 継続してください。 Mac OS X 10.7~10.9 本手順によるインストールには、 以下の設定が必要です。 「システム環境設定」-「セキュリテ ィとプライバシー」を開き、「一般」タ ブのダウンロードしたアプリケーシ ョンの実行許可を『すべてのアプリ ケーションを許可』を選択する
※初回インストール後は、自動接続を開始しますがエラーが発生し失敗する場合があります。 失敗した場合は、プロファイルのダウンロードができていませんので 3.3 VPN に関する設定を 参照し接続してください。
3.4 VPN に関する設定
左図の Finder 配下のアプリケーションから Cisco を 選び Cisco AnyConnect Secure Mobility Client を起動して下さい。 左図のような接続エントリ入力画面が表示されます ので開通案内記載の接続先 URL(https://gwXX...)を 入力してください。 ※ GW アドレスは URL 形式で入力してください。 ※ 証明書を利用した認証をご利用の場合はホス ト名のみ入力してください。 ※ 初回接続が完了後は、お客様契約情報に基 づく Profile(設定情報)の配布が完了していま すので次回以降接続する際には該当 Profile を選択いただくことで入力を省略することが可 能です。 ※ Close 網を利用の際は、本接続の前に Close 網の接続を行っておいてください。Close 網の 接続方法(ID 等)は、弊社営業担当へご確認く ださい。 ※ ソフトウエア機能で入力されている場合があり ますが、ホスト部以降が欠如している場合が ありますので確認してください。
3.5 接続方法 ※注意事項 ・ 証明書を利用した認証をご契約の場合は、お客様 PC に KDDI より配布された証明書を事 前にインストールしている必要があります。 ・ KDDI より配布された以外の証明書が端末にインストールされている場合、接続に失敗する 可能性がございます。接続に失敗する場合、KDDI より配布された以外の証明書を削除いただ くようお願いいたします。本アプリケーションの仕様により、証明書選択画面は表示されず、接 続に利用する証明書を選択することができませんのでご注意ください。 ・ 証明書を利用した認証をご契約の場合は、開通案内に記載されたGW設備URLの内ホスト 名のみ(https://gwXX...jp)でアクセスいただくようお願いいたします。 ※サーバの URL 値はマスクさせていただいております。 入力された接続先 URL への接続が 実施されるとユーザ名/パスワード入 力が求められますのでお客様管理 者様から指定のものを入力お願いい たします。 ユーザ名は、@を含むメールアドレス 形式での入力となります。 URL 形式で入力 開通案内に記載された KDDI が指 定する接続先 URL(https://gwXX...) を入力し、接続をクリックしてくださ い。 ※接続が開始されます。 ※Close 網を利用される場合は、 事前に Close 網で接続しておく必 要がございます。 接続が完了するとタスクバー上のアイコンに鍵 マークがかかります。
3.6 接続解除の方法 3.7 設定項目の誤入力時の場合 各設定項目の入力を間違った場合、各種エラー表示が出ます。 ■ エラー表示の例 ユーザ名/パスワード入力が間違っていた場合 接続用 URL 設定が間違っていた場合 GW 設備にアクセスできない環境の場合 通常とは異なる表示が出た場合は、各種設定を再度ご確認下さい。 接続解除ボタンをクリック することで接続が解除されます。
3.8 各種オプション項目の設定
クライアントソフトウエアの機能により以下の機能を利用することができます。 機能設定画面は以下の通りとなります。
起動時に接続(Start VPN When AnyConnect is started) PC 起動時に接続プロセスが開始されるようにする機能です。 接続時に最小化(Minimize AnyConnect on VPN connect)
接続完了時にクライアントソフトウエアのバックグラウンド機能とする機能です。
※フォアグラウンドでクライアントソフトウエア表示させるにはタスクバー上のアイコン をクリックしてください。
4 各種情報の表示/トラブルシューティング 接続時の情報を表示することが可能です。 4.1 各種統計情報、暗号化対象ルートの表示
Cisco AnyConnect Secure Mobility Client タブ の”Show Statistics Window”の表示をクリック することで簡易な統計情報、暗号化対象ルー トの表示が可能です。
本表示は、Private アドレス 3 空間を 選択した場合の例です。
4.2 トラブルシューティング
Finder配下のアプリケーションから『Cisco』を開くと、『Cisco AnyConnect DART』という物が存在 します。
本アプリケーションより、お客様PC 内部ログを収集いただき KDDI 窓口までご連絡いただくこと で接続不可等の調査に活用させていただきます。
左図の Finder 配下のアプリケーションから Cisco を選び Cisco AnyConnect DART を起 動して下さい。 アプリケーションを起動することで情報収集 の為のウィザードが起動いたします。 『実行』をクリックしてください。 ※収集ログを PW ロックかけたい場合 バンドル暗号化の有効化をクリックし、 暗号化パスワードを入力してください。 システム情報の収集が開始されます。
※クライアントソフトウエアを手動でインストールした場合等『Cisco AnyConnect Dart』が存在しな い場合があります。その際、『FRE 開通案内』に記載している『KDDI リモートアクセスサービス/ビ ジネスセキュア Wi-Fi マニュアルダウンロードサイト』より『MAC OS 版 Cisco AnyConnect DART』 をダウンロードすることが可能です。 システム情報の収集が完了すると圧 縮されたファイルが保存されます。 保存先ディレクトリが左記のように表 示されます。 ※基本はデスクトップ上に “DARTBundle_日付_時刻.zip”が保存 されます。
5 Appendix
5.1 Windows®、MAC OS 用 VPN クライアントソフトのバージョンによる仕様差分 バージョンごとに細かい仕様差分があります。管理者さまは以下ご確認ください。
(※) 2018 年度に FRE の GW 設備から提供する Cisco AnyConnect のバージョン変更を予定 5.1.1 仕様差分
① 内部 DNS 通信に対する仕様差分
注) イントラネットにて名前解決が必要な場合、『内部 DNS サーバ』を指定いただいております。 (例)『FRE 申込書』にて VPN 通信対象外 DNS(グローバル IP アドレスなど)をご指定している場合
(参考)DNS の割り当てについて
② 信頼できる NW の仕様差分(指定なしの場合)
改版履歴
◆ 2012 年 5 月 21 日 Ver 1.0 リリース
◆ 2013 年 3 月 19 日 Ver 1.1 接続環境の注意事項追記 ◆ 2013 年 7 月 9 日 Ver 1.2 v.10.8 について追記
◆ 2013 年 8 月 23 日 Ver 1.3 接続先 URL の表記を修正、Close 網の場合の注意事項を追記 ◆ 2014 年 3 月 10 日 Ver 1.4 クライアントソフトバージョンアップに伴う更新 ◆ 2014 年 4 月 7 日 Ver 1.5 ドキュメントタイトル修正 ◆ 2014 年 6 月 20 日 Ver 1.6 トラブルシューティングについて追記 ◆ 2014 年 9 月 8 日 Ver 1.7 OS の注意事項について追記 ◆ 2014 年 10 月 24 日 Ver 1.8 証明認証の接続手順について追加 ◆ 2018 年 7 月 1 日 Ver 1.9 クライアントソフトバージョン追加 ◆ 2018 年 7 月 31 日 Ver 2.6 クライアントソフトウエアの配信バージョン修正、Appendix 追加
