2.SSL-VPNポータルを設定する
SSL-VPNポータルについて
SSL-VPNポータルでは、ユーザーがSSL-VPN接続するモードのようなものを定義します。
少々わかりにくいですが下記の様に理解することができます。
- FortiGate VDOMのSSL-VPNは、「あくまで1つ」しかない。
- 基本設定では、割り当てられたグローバルアドレスに、ポート443のみ。
- この設定は、SSL-VPNの設定で行う。
- SSL-VPNポータルの設定では、ポータル毎の設定(トンネルモード、ウェブモードか?トンネルモード時にルーティングテーブルを配布するかどうか?1人あたりセッションを複数繋いでもいいのか?など)を行う。
- ポータルは、(ユーザーの)グループ毎にポータルのマッピングを行う。
- ポータルのマッピングは、SSL-VPNの設定で行う。
トンネルモード、Webモードの違い
- トンネルモード
- ユーザーがVPNクライアントソフト(FortiClient)をインストール・設定し、SSL-VPN接続します。
- ブラウザーに限らず、メールソフトなどすべての通信をSSL-VPN経由にするフルトンネル設定が可能です。
- クライアントオプション設定を行うことで、クライアント側で常にSSL-VPN接続させたり、パスワードを保存するなど、ログイン処理を簡易化することができます。
- Webモード
- ユーザーがWebブラウザーでWebポータル画面にアクセスし、SSL-VPN接続します。
- ログイン後のポータル画面の表示の設定をしたり、ブックマークを定義することで接続先を登録できます。
- 扱えるものがWEBに限りますが、利用者がブラウザだけですむメリットもあります。
スプリットトンネルについて
トンネルモード時、スプリットトンネルと、フルトンネルを選ぶことができます。これは、FortiClientに対してルーティングテーブルをどう配布するのか?の設定です。
- フルトンネル
- クライアントが、「全てのトラフィック」を、FortiGate UTMに送る設定です。クライアントの「インターネットに接続するセキュリティポリシー」をUTMで管理できるメリットがありますが、クライアントがインターネットにアクセスするたびに、一端、UTMにパケットを送り、更にUTMから当該サーバにパケットを投げることになり、UTMの上りと下りの両方の帯域を使ってしまうことになります。サンプル設定ではこちらになっています。
- スプリットトンネル
- クライアントが、「事前に定めたセグメントのみ」、FortiGate UTMに送る設定です。クライアントには、必要なセグメントのみUTMにおくり、それ以外は直接インターネットに接続して貰う設定なので、UTM側のトラフィックを不必要に使わないメリットがあります。ただ、セキュリティ的な側面で考えると、接続中のクライアントは、インターネットと社内の両方に接続される「踏み台」のような場所に位置するので、これをどう考えるか?は、その会社の情報セキュリティポリシー次第です。
手順
1.SSL-VPNポータル一覧を確認する
左メニューから「VPN」>「SSL-VPN Portals」を開くと、SSL-VPNポータル一覧が表示されます。
ここでは、SSL-VPNポータルを新規作成する方法をご案内しています。デフォルトで作成されているものを使用する場合は、該当のSSL-VPNポータルを選択し、「Edit」から編集を行います。
2.SSL-VPNポータルを新規追加する
「+ Create New」をクリックし、新規作成画面を開きます。
3.SSL-VPNポータルを設定する
下記の項目を設定し、「OK」をクリックします。
| New SSL-VPN Portal | |
|---|---|
| Name | SSL-VPNポータル名を入力します。 |
| Limit Users to One SSL-VPN Connection at a Time | 1アカウントで同時複数端末を接続可能にするかの設定をします。許可しない場合は、スイッチをON(右側) にします。 本サービスのユーザ数制限は、同時ユーザ接続でも等しくかかるため、注意が必要です。 |
| Tunnel Mode | トンネルモードを有効にする場合は、スイッチをON(右側) にします。 |
|---|---|
| Enable Split Tunneling | スプリットトンネリングを有効にする場合は、スイッチをON(右側) にします。 |
| Routing Address | スプリットトンネルでルーティングしたいIPアドレスを選択します。 |
| Source IP Pools | SSL-VPN接続時にクライアント側に払い出すIPプールを選択します。 |
| Tunnel Mode Client Options | 任意で以下の項目を設定します。 |
|---|---|
| Allow client to save password | クライアントがパスワードを保存することを許可する場合は、スイッチをON(右側) にします。 |
| Allow client to connect automatically | クライアントの自動接続を許可する場合は、スイッチをON(右側) にします。 |
| Allow client to keep connections alive | クライアントがコネクションをキープすることを許可する場合は、スイッチをON(右側) にします。 |
| DNS Split Tunneling | DNSスプリットトンネルを有効にする場合は、スイッチをON(右側) にし、スプリットDNS設定を行います。 |
| Enable Web Mode | Webモードを有効にする場合は、スイッチをON(右側) にします。OFFにするとトンネルモードのみアクセスを許可します。ONにするとブラウザーによるポータル画面へのアクセスが可能になります。 |
|---|---|
| Portal Message | ポータル画面ログイン後に表示されるメッセージを設定します。 |
| Theme | ポータル画面のデザイン色を設定します。 |
| Show Session Information | ポータル画面にセッション時間・送受信Byteを表示する場合は、スイッチをON(右側) にします。 |
| Show Connection Launcher | ポータル画面にコネクションランチャーを表示する場合は、スイッチをON(右側) にします。 |
| Show Login History | ポータル画面にログイン履歴を表示する場合は、スイッチをON(右側) にします。 |
| User Bookmarks | ポータル画面上に、接続先のブックマークを登録するとアクセスが簡易化します。 |
| Enable FortiClient Download | ポータル画面上に、「FortiClientダウンロード」ボタンを表示させる場合は、スイッチをON(右側) にします。 |
|---|---|
| Download Method | ダウンロード方法を「Direct」または「SSL-VPN Proxy」から選択します。 |
| Customize Download Location | 通常は設定は不要です。 |
