皆さん、こんにちは。

SB C&Sでネットワーク/セキュリティ関連のプリセールスを担当している　大東です。

前回は、ZscalerでAppConnectorがなくとも、既存のIPSecを利用してリモートアクセスが可能な「EXTRANET」について説明させていただきました。

前回の記事は下記を参照ください。

リンク：Zscaler EXTRANETによるリモートアクセス【概要編】

今回は実際に設定内容について解説していきます。

IPSecVPNについては、弊社でも取り扱いのあるFortigateを用いておりますので合わせて参考にしていただけると幸いです。

手順としては、下記の工程になります。

=======

１．ZIA

1-1.EXTRANET作成

1-2.VPN接続設定

２．IPSecVPNルータ（Fortigate）

2-1.IPSecVPN設定

2-2.スタティックルート設定

2-3.通信ポリシー設定

３．ZPA

3-1.ApplicationSegment設定

3-2.Access Poilcy設定

４．補足

=======

■環境構成図

・ユーザーはZCCを用いて、ZIA/ZPAに接続済み

・社内データセンターはAppConnector構築済みでZPAと接続済み

■ZIA側の設定

1-1.EXTRANET作成

[Administration]>[Extranet]を選択

TRAFFIC SELECTORとDNSサーバを設定します。

TRAFFIC SELECTOR：ZCCからEXTRANET拠点への通信はこちらのIPレンジに送信元NATされて相手側に通信されます。

ZCCでZIA/ZPAで接続をした場合、Zscalerは他のSASE製品と異なりパソコン自体に仮想ネットワークインタフェースを作り、接続時にIPアドレスを割り振るということはしません。しかしIPSec接続等で相手と通信をする場合は、何かしらのIPアドレスが必要になるため、TRAFFIC SELECTORのIPアドレス設定が必要となります。

※このIPアドレスの範囲は、最大で2000IPアドレスまでとなります。また、一度範囲を広げると戻すことはできないためご注意ください。

（例）

10.127.200.0 ～　10.127.200.255 ：OK

10.127.0.0　～　10.127.200.0　：NG（合計で2000IPアドレスを超えているため）

DNSサーバは必須ではありませんが、こちらを入力することで、EXTRANET経由で拠点のサーバへFQDNで通信をする場合は、このDNSサーバに問い合わせが行くことになります。IPアドレスでEXTRANET先のサーバに通信を行う場合は、特に必要はありませんが、入力は必須のため、何かしら入力する必要はあります。

1-2.VPN接続設定

[Administrators]>[VPN Credentials]を選択し、[Add VPN Credential]を選択

　

VPN接続先接続先の情報を入力します。IPアドレスでの指定でも可能ですが、今回検証に利用するFortigateのWAN回線のIPはIP固定ではないため、FQDNでの指定としています。

@マーク以降のドメインは、Zscaler契約時に登録したドメイン名から選択が可能です。

NATトラバーサルも利用可能なため、必ずしも接続先のIPSecルータのWAN側IPアドレスは固定である必要はありません。

=====

※IPアドレスで指定する場合

接続先が固定IPアドレスの場合は、事前に[Static IPs & GRE Tunnels]からIPアドレスを登録しておく必要があります。

=====

次に、[Administration]>[Location Management]にてロケーション設定を行います。

これまで設定した内容をそれぞれ設定します。

Location Type：EXTRANET

EXTRANET Resource：EXTRANET設定で指定した名前

Traffic Selector：EXTRANET設定で指定した名前

DNS Server：EXTRANET設定で指定した名前

VPN Credentials：VPN Credentialsで指定した名前

２．IPSecVPNルータ（Fortigate）

2-1.IPSecVPN設定

EXTRANETに接続する際のZscalerのIPアドレスを下記サイトから確認します。

https://config.zscaler.com/

契約しているZscalerのCloud環境を確認し、変更します。

接続するPoPのEXTRANETのIPアドレスを確認します。

EXTRANETの拠点内からZCCを利用せずに、ZIA経由でインターネットに接続するためには、EXTRANETとは別でもう一つZIA接続用とでIPSecVPN接続が必要となります。

その場合は、「VPN Host Name」にある接続先に対してIPSecVPNを行う必要があります。

IPSecVPNの設定は、Forigate以外の機器でもZscalerのヘルプページがありますのでそちらも確認ください。

https://help.zscaler.com/ja/zia/configuring-ipsec-vpn-tunnel

ZscalerがサポートしているIPSecパラメータは下記をご確認ください。

https://help.zscaler.com/ja/zia/understanding-ipsec-vpns

※以前は、IPSecVPNではNULL暗号化のみ利用可能で、別オプションを購入することでAESやGCMなどの暗号化パラメータが利用可能でしたが、FY26以降のライセンスではデフォルトで含まれているため、暗号化オプションも利用可能です。FY26以前に購入されたお客様については別途お問い合わせをお願いします。

IPSecVPNルータ（Fortigate）にてVPN接続設定を行います。

ローカルIDには、ZIA側で設定したFQDNを設定します。

■Phase1(トンネル設定）

■Phase2セレクター

2-2.スタティックルート設定

TRAFFIC SELECTORのIPアドレスから通信が来るため、EXTRANETのトンネルインタフェースに戻すためのルートを設定します。

その他、EXTRANET拠点からAppConnector経由でデータセンターに通信を行う場合、センター内のネットワークについてもルート設定を行います。

2-3.通信ポリシー設定

●EXTRANET側からFortigate内への通信ポリシー

●Fortigate内からEXTRANETへの通信ポリシー

※Fortigate社内の機器からAppConnectorがあるデータセンターなどへの通信で必要となります。

NATは設定する必要はありません。

その後、IPSecVPNが接続されていることを確認します。

３．ZPA

3-1.ApplicationSegment設定

宛先となるApplicationSegmentを設定します。

[Resource Management]>[Application Segment]を選択し作成していきます。

EXTRANET内の宛先とポート追加します。

EXTRANETはヘルスチェックができないため、「None」に設定します。

[Next]を選択し、SegmentGroupを作成します。

[Next]を選択し、ServerGroupを作成します。

ここで、Connectorタイプとして「EXTRANET」を選択し、ZIA側で設定したEXTRANETの設定を選択します。

3-2.Access Poilcy設定

作成したApplicationSegmentを基にアクセスポリシーを作成します。

●ZCCからEXTRANET経由でFortigate配下のセグメントへの通信ポリシー

●Fortigate配下のセグメントからEXTANET経由でデータセンターセグメントへの通信ポリシー

「Client Types：EXTRANET」の設定は必須ではないですが、EXTRANETからの通信だけを許可したい場合は設定する必要があります。

これで、ZCCからEXTRANET拠点、EXTRANET拠点からDC拠点への通信が可能となります。

実際の通信ログの確認は、ユーザーが最初に接続するZscalerのPublicEdgeで確認できます。

１．ZCCユーザー⇒EXTRAENT内サーバ(ZPA側で確認）

※ZPAで受けて、ZIA側に通信を流すため

２．EXTRAENT内サーバ⇒データセンター側のサーバ(ZIA側で確認）

※ZIAで受けて、ZPA側に通信を流すため

４．補足

4-1.EXTRANET拠点からDC拠点へ通信を行う場合の注意点

EXTRANETはZIAとIPSecVPN接続をしており、ZIAからZPAに通信が渡されていきます。その際にZIA側のSSLインスペクションが効いてしまうため、SSLインスペクションを無効化する場合は、SSLインスペクションの設定で無効化をする必要があります。

下記のように[Location Group]から[ALL Extranet Location Group]を選択し、Actionとして[Do Not Inspect]を設定します。

※特定のEXTRANETだけを除外する場合は、[ALL Extraneet Location Group]ではなく個別のEXTRANETロケーショングループを選択することも可能です。

まとめ

今回は、EXTRANETの設定部分を紹介させていただきました。

AppConnectorがない(設置が難しい）拠点についてもZCCからアクセスできるようになることで提案の幅も広がるかと思います。EXTRANETに対応したPoPは徐々に増えており、海外拠点の通信要件などでも利用が増えてくると想定しています。

また、ライセンスとしては別オプションとなり、EXTRANETの必要本数（最低：2)という形になります。（400Mbps/本のスループット）

様々な通信要件やセキュリティ対策に対応したZscalerを検討してみてはいかがでしょうか？

弊社では、Zscalerの勉強会や希望に応じてハンズオンなども実施しておりますので、担当営業までご相談いただければ幸いです。