はじめに

皆さんこんにちは！SB C&Sで iboss 製品のプリセールスを担当している江幡です！

今回はVer.10.3で搭載された新機能のルーティングポリシーについてご紹介いたします。

本機能はibossで搭載されているZTNA機能と類似の機能ではございますが、クライアントと接続先リソース間をiboss経由で双方向通信を実現し、利用の幅がさらに広がる内容となっております。

　

目次

1. 機能概要
2. 検証構成
3. 設定手順
4. 動作確認
5. まとめ

　

1.機能概要

本機能が、ibossエージェントをインストールした端末と接続先リソース間(ibossエージェントの有無問わず)で双方向の通信を実現するためのルーティング機能でございます。

そのため、サーバーからクライアントへ通信が必要なシステムの利用も本機能で可能になります。

〇機能の仕組み

本機能の仕組みとして、クライアントからセッションを確立するための情報をibossゲートウェイで取得・仮想NICを作成し、ibossクラウドバックボーンを経由して、ロケーションのネットワークへアクセスします。

また、ロケーションのネットワークからエージェントをインストールした端末へ通信することも可能です。

　

2.検証構成

設定手順をご案内する上での検証構成が以下の通りでございます。

※あくまでも一例でございますので、ご利用いただく際にはご利用のネットワークに合わせて設定ください。

　

3.設定手順

※ibossエージェントのインストールやリソース設定、ibossとVPN機器間のIPSecトンネルの設定手順は本記事では割愛しております。

①プライベートアクセスルーティングポリシー　一般設定

iboss管理画面で"デバイスを接続 >> クラウドコネクタ >> コネクタ設定 >> プライベートアクセスルーティングポリシー 一般設定"の順にクリック

"プライベートアクセスルーティングポリシーの有効化"を有効にし、"ピアゲートウェイを追加する"をクリック

表示された画面で、下記項目を設定し、"保存"をクリック
・ゲートウェイホスト：ibossゲートウェイを選択
・クライアントサブネット：アクセス時に付与するIPアドレス
・IPアドレスプール開始/終了：IPアドレスの範囲を設定
・ピアに制限する："すべてのピアを許可する"を選択

※"ゲートウェイホスト"は、各設定に1ゲートウェイを設定可能です。

※付与するIPアドレスでIPv6を利用する場合は、"IPv6を有効にする"を有効にする必要がございます。
※事前にiboss自体に対してIPv6の有効化が必要です。

※NATを利用される場合は、"NATを使用する"を有効にする必要がございます。
※有効化にすることで選択したibossゲートウェイのIPアドレスが付与されます。

②プライベートアクセスルーティングポリシー

iboss管理画面で"ゼロトラストSASE >> セキュリティポリシー >> ルーティングポリシー >> プライベートアクセスルーティングポリシーの追加"の順にクリック

表示された画面で、下記項目を設定し、"プライベートアクセスルーティングポリシーの追加"をクリック

・コネクタタイプに適用します："すべてのコネクタータイプ"を選択
・プライベートアクセスルーティングポリシー名：任意のポリシー名を入力

また、次に表示された画面で"ZTNAピア"タブをクリックし、"ピアを管理する"をクリック

次に表示された画面で"ピアを作成する"をクリックし、ピアに関する下記項目を設定し、"保存"をクリック

・ピア名：任意の名前を入力
・ロケーションベース：有効　
※宛先がどのロケーションに存在するか、"ピアロケーション"で設定することが可能

・常にオン：有効　※ユーザーの操作なしで自動でアクセス可能となります。また、無効にすることで任意の操作でアクセスを可能にすることも可能

・最小認証要件："コネクタの自動ログイン"を選択　※"SAML/OIDC"の選択も可能
・次のIPサブネットCIDRをピア経由でルーティングする：アクセス先IPを設定
・DNSサーバー：アクセス元のクライアントの仮想NICに付与するDNSサーバーを設定
・ピアロケーション：宛先が存在するロケーションを設定
※"アダプティブアクセスアルゴリズム"：過去の記事でご紹介した機能を設定することが可能

作成した設定を選択、"選択したピアをポリシーに追加する"をクリックし、"動的リンク"タブでポリシーを適用する対象を設定する　※ここではグループを設定

③リソース設定

iboss管理画面で"ゼロトラストSASE >> リソース"の順にクリックし、アクセス想定のリソースの編集ボタンを選択

"一般設定"タブにて、リソース設定に正しいアクセス先の情報が設定されているか確認

"リソースのロケーション"タブにて、"ピアを作成する"の"ピアロケーション"で設定したロケーションが設定されているか、"接続設定"タブにて、"接続方法"で"利用可能な場合はルーティングポリシー経由でルーティングされた接続、そうでない場合はプロキシ"を選択する

④ロケーションとジオゾーン設定

iboss管理画面で"ホーム >> ロケーションとジオゾーン"の順にクリック

アクセス想定のロケーションの編集ボタンをクリック

"プライベートネットワーク"タブにて、"この場所からエンドポイントへのサーバー開始接続を許可"を有効にする

"プライベートネットワーク"で"プライベートネットワークをリンクする" >> "プライベートネットワークの追加"の順にクリック、宛先プライベートネットワークを設定し、"ロケーションを更新する"をクリック

4.動作確認

〇端末に設定される情報の確認

仮想NICが作成され、設定したIPアドレスやDNSの情報が追加されることを確認

〇PingとRDPの動作確認(ドメイン参加前)

宛先に対してPingとRDPが可能

〇Webアクセスと共有フォルダの動作(ドメイン参加前)

〇ドメイン参加後の動作確認

従来のZTNA機能では、エージェントによる通信転送のため、ドメイン参加が困難でした。しかし、ルーティングポリシー機能を利用することで可能であることを確認できました。

ドメイン参加前と同様に、Ping/RDP/Webアクセス/共有フォルダへのアクセスが可能で、ログにはドメイン参加後のユーザー名で記録

〇サーバー側からの端末への通信について

サーバーからIPSecトンネルを介して、ibossを経由し、ibossエージェントをインストールした端末へ通信が可能

　

5.まとめ

本記事では、新機能のルーティングポリシー機能の概要や設定手順についてご紹介いたしました。

本機能で、クライアントと接続先リソース間をiboss経由で双方向通信が実現可能なため、サーバーからクライアントへ通信が必要なシステムをご利用の際にご活用いただけます！

最後に、本機能やその他の機能にご興味がございましたらご紹介することが可能ですので、気兼ねなくお問い合わせください！

__________________________________________________________________________________

※本ブログの内容は投稿時点での情報となります。
　今後アップデートが重なるにつれ正確性、最新性、完全性は保証できませんのでご了承ください。