SB C&Sの最新技術情報 発信サイト

C&S ENGINEER VOICE

FortiGateでリモートアクセス設定 SSL-VPN編(初級者向け)

セキュリティ
2020.08.13

はじめに

テレワーク需要の増加に伴い、VPNの利用を検討されるお客様も継続的に増えてくるのではないでしょうか。FortiGateでもVPN機能を搭載しており、VPN装置として導入いただくケースも多いです。今回こちらのブログでは、リモートアクセス時に使われることが多い、FortiGateのSSL-VPN(トンネルモード接続)設定についてご説明したいと思います。

VPN概要

まずVPNの概要として、用途は大きく分けて2つあります。オフィスの間をつなぐ通信、拠点間でVPN接続をする場合と、外出先や在宅時にリモートから社内の接続にVPNを用いる場合ですが、FortiGateではどちらのVPN接続にも対応しております。

FG_vpn1.png


IPsecVPNとSSL-VPN

FortiGateで実装しているVPNは主にIPsecVPNとSSL-VPNです。拠点間VPNの場合、IPsecVPNを利用しますが、リモートアクセスVPNの場合、IPsecVPNとSSL-VPNどちらでも接続可能です。

FG_VPN.png

VPN比較

IPsecVPNとSSL-VPNを比較してみると、以下の表のようになります。IPsecVPNは処理性能において優れていると言えますし、設定や運営面ではSSL-VPNがより容易で使いやすいという特徴がございます。

SSL.hikaku.png

SSL-VPN(トンネルモード)設定

リモートアクセスを実現する場合、より早急に対応したい、運用の手間やユーザー側の設定を簡易にしたいという要望からSSL-VPNが選ばれる場面が多くなっている傾向があります。

FortiGateのSSL-VPNには、FortiClientソフトを使うトンネルモード接続とWebブラウザよりリバースプロキシ形式で接続するWebモード接続の2種類あります。

今回は主に利用されることが多いトンネルモード接続の設定法をまとめていきます。

「構成図」

FG.SSL_kousei.png

環境

FortiGate VM 6.2.3

FortiClient VPN 6.4.0 (Windows 10利用)

手順目次

1、ユーザーとユーザーグループの作成

FortiGateのSSL-VPNでは、ファイアーウォールポリシーにユーザーまたはユーザーグループを適用させて認証するため、始めにSSL-VPNで接続するためのユーザーグループを作成します。

VPN.user.png

ユーザ&デバイス>ユーザ定義より、ユーザの「新規作成」をします。

VPN.user2.png

ローカルユーザーを選択し「次へ」を選択。

VPN.user3.png

ユーザー名、パスワードの設定をし「次へ」

VPN.user4.png

こちらで二要素認証設定が可能です。この手順ではそのまま「次へ」

VPN.user5.png

ユーザアカウントステータスが有効化済みになっていることを確認し「サブミット」

ユーザーの作成が終わりましたので、続いて、ユーザーグループを作成し、そこにユーザーを適用します。

VPN.user6.png

ユーザ&デバイス>ユーザグループより「新規作成」

VPN.user7.png

グループ名とグループに属するユーザの選択をして「OK」

「test」ユーザが属する「SSLVPN_Group」というユーザグループの作成が終わりました。

VPN.user8.png

この手順で作成したユーザグループを後の手順、SSL-VPNポリシー作成時に利用します。

2、SSL-VPNの設定

ユーザー・ユーザーグループの作成が終わりましたら、SSL-VPNの接続を受けつけるインターフェースの設定を行ないます。この手順では管理アクセスのIPとのバッティングを避けるためにポート番号を「4433」に変更して設定します。

VPN.s1.png

同ページの下にトンネルモードクライアント設定の項目があります。

デフォルトではVPNトンネル用のアドレスが自動的に割り当てられます。

カスタムIP範囲を指定を選択すると、任意のアドレスを自身で設定することも可能です。

VPN.s2.png

認証/ポータルマッピングの項目でどのユーザ/ユーザーグループにどの接続を許可するかを選択します。

VPN.s3.png

VPN.s4.png

こちらではすでに作られているTunnel-accessのポータルをすべてのユーザーに適用します。

適用できましたら、適用ボタンを押して設定を反映させます。

VPN.s5.png

ちなみに・・・
デフォルトでfull-access,tunnel-access,web-accessの3種類のポータルが用意されています。
新規でポータルを作成することも、すでにあるポータルを編集することも可能です。
こちらで、スプリットトンネルの可否や、Webアクセス先の設定などを行なえます。

SSL_portal.png

SSL_portal2.png

3、SSL-VPN用のファイアーウォールポリシーの作成

SSL-VPN設定が終わると、SSL-VPN用のポリシー作成を促すリンクが表示されるので、

クリックしてポリシー作成へ進みます。

VPN.Policy.png

発信インターフェースに社内、ローカル側のインターフェースを設定します。
送信元に作成したユーザーグループを適用させます。

<設定例>

名前   SSL-VPN
発信   SSL-VPNトンネル
着信   port1
送信元  all , SSLVPN_Group
宛先   Local (アドレスオブジェクト作成)

VPN.Policy2.png

NATはオフ、ログ設定はすべてのセッションのログを取得する設定をしています。

VPN.Policy3.png

ポリシーが有効化されていることを確認し「OK」を押して設定完了となります。

4、FortiClientよりVPN接続

続いてWindows端末側のFortiClientからFortiGateへVPN接続をします。

FortiClient_desktop.png

Windows10にFortiClient VPNをダウンロードしました。

FortiClientVPNのダウンロードはこちらより行うことが可能です。
https://www.forticlient.com/downloads

FortiClientVPN 最新バージョン、ライセンスの情報は以下ブログよりご確認ください。
https://licensecounter.jp/engineer-voice/blog/articles/20191107_forticlient_62_update.html


FCT.png

VPN設定をクリックしSSL-VPNを接続する設定を入れていきます。
リモートGWの箇所にFortiGateのWAN側IPを入力、ポートを変更し、保存ボタンを押します。

<設定例>
接続名        SSL-VPN
リモートGW     172.18.11.99
ポートの編集      有効 4433

FCT2.png

ユーザ名とパスワードを入力し、接続ボタンを押します。

FCT3.png

接続が無事完了すると、以下のような画面が表示されます。

スクリーンショット 2020-08-06 10.05.04.png

VPN向けに配布されたIPをコマンドプロントからも確認できました。

FCT5.png

SSL-VPNモニタからもVPNの接続状況を確認することができます。

FCT6.png

終わりに

SSL-VPNでリモートアクセスを実現する設定を確認しましたが、いかがだったでしょうか。

参考になりますが、FortiGateの機器のモデルごとに推奨として最大同時接続ユーザ数の値です。

こちらは明確な制限値ではなく、機器のパフォーマンスに依存している値となっていますが、
サイジングの際の目安としていただけたらと思います。

SSL.sizing.png

こちらの手順では紹介しておりませんが、FortiGateのVPN機能では
ADやRADIUSなどの認証サーバ連携や、二要素認証にも対応しています。

FortiGateはコストパフォーマンスが売りのFW/UTM製品ですが
VPN装置としてもぜひご活用いただければと考えております。

ありがとうございました。

banner-in-article.PNG

著者紹介

SB C&S株式会社
技術統括部 第2技術部 2課
小野 詩織