Skip to main content

 

Cisco Meraki Documentation

クライアントVPNの概要

  1. Last updated
  2. Save as PDF

このページでは、ダッシュボードからクライアントVPNサービスを設定する手順について説明します。

 

各種のクライアント デバイス プラットフォームでクライアントVPN接続を設定する方法の詳細については、以下を参照してください。

クライアントVPN

クライアントVPNは、L2TPトンネリング プロトコルを使用します。Windows、Mac、iOS、およびAndroidの各オペレーティング システムはすべてL2TP VPN接続をネイティブにサポートしているため、これらのデバイスに追加ソフトウェアなしで導入できます。

注: Linuxベースのオペレーティング システムもクライアントVPN接続をサポートできますが、L2TP/IPをサポートするためにサードパーティ製パッケージが必要になることがあります。

注:クライアントがMXのLAN上にあるときにクライアントVPN接続を確立することはサポートされません。

暗号化方式

クライアントVPNはL2TP/IPプロトコルを使用し、暗号化アルゴリズムとハッシュ アルゴリズムとして、フェーズ1では3DESとSHA1を、フェーズ2ではAES128/3DESとSHA1を使用します。ベスト プラクティスとして、共有シークレットの先頭または末尾には特殊文字を使用しないでください。

 

PCI-DSS標準バージョン3.2での変更により、一部の監査人は、MerakiクライアントVPNのデフォルト設定よりも強力な暗号化のための要件を適用しています。これらの値を調整する必要がある場合は、Merakiサポートに連絡してください。ただし、これらの、より厳格な要件(DHグループ5によるAES128暗号化)をサポートしないクライアント デバイスもあることに注意してください。

 

クライアントVPNサーバー設定

 

クライアントVPNを有効にするには、Security Appliance(セキュリティ アプライアンス) > Configure(設定) > Client VPN(クライアントVPN)ページのClient VPN server(クライアントVPNサーバー)プルダウンメニューからEnabled(有効)を選択します。以下のクライアントVPNオプションを設定できます。

  • Client VPN Subnet(クライアントVPNサブネット)クライアントVPN接続に使用されるサブネット。ネットワーク内のほかの場所で使用されていないプライベート サブネットにしてください。MXは、このサブネットのデフォルト ゲートウェイになり、このサブネットとの間のトラフィックをルーティングします。
  • Hostname(ホスト名): これは、クライアントVPNユーザが接続に使用するMXのホスト名です。このホスト名は、MXのパブリックIPアドレスに対応するDDNSホスト レコードです。このホスト名を変更するには、ここの説明に従ってください。
  • DNS server(DNSサーバー):VPNクライアントがDNSホスト名の解決に使用するサーバー。Google Public DNS、OpenDNSから選択するか、IPアドレスでカスタムDNSサーバーを指定します。
  • WINS server(WINSサーバー):VPNクライアントがNetBIOS名の解決にWINSを使用する場合は、ドロップダウンからSpecify WINS Servers(WINSサーバーの指定)を選択し、目的のWINSサーバーのIPアドレスを入力します。
  • Shared secret(共有シークレット):クライアントVPN接続の確立に使用される共有シークレット。
  • Authentication(認証):VPNクライアントの認証方法(下記参照)。
  • Systems Manager Sentry VPN security(システム マネージャー Sentry VPNセキュリティ):システム マネージャーに登録されているデバイスが、クライアントVPNに接続するための設定を受信するかどうかを指定する設定(下記の「システム マネージャーSentry VPNセキュリティ」セクションを参照)。

Client VPN.png

認証

MerakiクライアントVPNは、パスワード認証プロトコル(PAP)を使用して、認証情報を送信し、認証します。 PAP認証は常に、クライアント デバイスとMXセキュリティ アプライアンス間のIPsecトンネル内で強力な暗号化を使用して送信されます。ユーザ認証情報がWANまたはLAN経由で平文のまま送信されることはありません。 PAPは暗号化されたIPsecトンネル内で使用される内部認証メカニズムであるため、ネットワークを盗聴している攻撃者の目にユーザ認証情報が触れることはありません。 

 

認証自体は、Merakiクラウド、RADIUS、またはActive Directoryの3つのオプションを使用して行われます。この3つのオプションについて、以下で説明します。 

Merakiクラウド認証

Active DirectoryまたはRADIUSサーバーが使用できない場合や、VPNユーザをMerakiクラウドを介して管理する必要がある場合は、このオプションを使用します。ユーザを追加または削除するには、ページ下部のUser Management(ユーザ管理)セクションを使用します。ユーザを追加するには、「Add new user(新規ユーザの追加)」をクリックして、以下の情報を入力します。

  • Name(名前):ユーザの名前を入力します。
  • Email(電子メール):ユーザのメール アドレスを入力します。
  • Password(パスワード):ユーザのパスワードを入力するか、「Generate(生成)」をクリックして、パスワードを自動的に生成します。
  • Authorized(認証済み):このユーザがクライアントVPNを使用することを認証されているかどうかを選択します。

既存のユーザを編集するには、User Management(ユーザ管理)セクションのユーザをクリックします。ユーザを削除するには、ユーザ リストの右側にあるユーザの横のXをクリックします。

 

meraki.png

Merakiでホストされる認証を使用するときには、ユーザのメール アドレスが、認証に使用されるユーザ名になります。

Screen Shot 2015-12-01 at 2.52 PM.png

RADIUS

RADIUSサーバーでユーザを認証するには、このオプションを使用します。Add a RADIUS server(RADIUSサーバーを追加)をクリックして、使用するサーバーを設定します。RADIUSサーバーのIPアドレス、RADIUS通信に使用されるポート、およびRADIUSサーバーの共有シークレットを入力します。

 

radius.png

クライアントVPNでのRADIUS認証の設定方法の詳細については、クライアントVPNでのRADIUS認証の設定に関するドキュメンテーションを参照してください。

 

注:複数のRADIUSサーバーが設定された場合、RADIUSトラフィックはロード バランスされません。  

Active Directory

Active Directoryのドメイン認証情報でユーザ認証を行う必要がある場合は、このオプションを使用します。以下の情報を入力する必要があります。

  • 短いドメイン名:Active Directoryドメインの短い名前。
  • Server IP(サーバーIP):MX LAN上のActive DirectoryサーバーのIPアドレス。
  • Domain admin(ドメイン管理者):MXがサーバーへのクエリに使用するドメイン管理者アカウント。
  • Password(パスワード):ドメイン管理者アカウントのパスワード。

たとえば、次のようなシナリオを考えてみます。ドメインtest.company.comのユーザは、IPが172.16.1.10のActive Directoryサーバーを使用して認証する必要があります。ユーザは通常、「test/username」という形式を使用してドメインにログインします。また、ユーザ名「vpnadmin」とパスワード「vpnpassword」でドメイン管理者アカウントを作成しました。

  • Short domain(短いドメイン名)は「test」です。
  • Server IP(サーバーIP)は172.16.1.10です。
  • Domain admin(ドメイン管理者)は「vpnadmin」です。
  • Password(パスワード)は「vpnpassword」です。

 

ad.png

ADとクライアントVPNとの統合の詳細については、Active Directoryドキュメンテーションを参照してください。

:現時点では、MXは、クライアントVPN経由で接続しているユーザに対して、Active Directoryによるグループ ポリシーのマッピングをサポートしていません。

システム マネージャー Sentry VPNセキュリティ

Merakiクラウド認証を使用するときには、ダッシュボードのオーガナイゼーションに1つ以上のMDMネットワークが含まれている場合、システム マネージャーSentry VPNセキュリティを設定できます。 システム マネージャーSentry VPNセキュリティでは、システム マネージャーに登録されているデバイスが、デバイス上のシステム マネージャー プロファイルを通じてクライアントVPNに接続するための設定を受信できます。

 

システム マネージャーSentryVPNセキュリティを有効にするには、Security Appliance(セキュリティ アプライアンス) > Configure(設定) > Client VPN(クライアントVPN)ページの「Client VPN server(クライアントVPNサーバー)」プルダウンメニューから「Enabled(有効)」を選択します。以下のオプションを設定できます。

  • Install Scope(インストール範囲):インストール範囲の設定により、特定のMDMネットワークに対してシステム マネージャー タグを選択できます。システム マネージャー ネットワークでこれらのタグが適用されているデバイスは、システム マネージャー プロファイルを通じて、このネットワークのクライアントVPNサーバーに接続するための設定を受信します。
  • Send All Traffic(すべてのトラフィックを送信する):すべてのクライアント トラフィックをMXに送信するかどうかを選択します。
  • Proxy(プロキシ):このVPN接続にプロキシを使用するかどうか。これは、automatic(自動)、manual(手動)、またはdisabled(無効)に設定できます。

 

meraki_sm.png

システム マネージャー Sentry VPNセキュリティを使用するときには、クライアントVPNへの接続に使用されるユーザ名とパスワードは、Merakiクラウドによって生成されます。

ユーザ名は、デバイス上の一意の識別子のハッシュと、そのデバイスのユーザ名に基づいて生成されます。 パスワードはランダムに生成されます。

 

クライアントVPN接続

クライアントVPNを設定した後、ユーザが接続を開始したときには、クライアントVPN経由でネットワークに接続しているクライアント デバイスおよび台数がわかると便利なことがあります。接続しているクライアントVPNデバイスを確認するには、Network-wide(ネットワーク全体) > Clients(クライアント) に移動し、Search clients...(クライアントの検索...)検索バーのドロップダウン アイコンをクリックし、 Client VPN(クライアントVPN)Online(オンライン)Offline(オフライン)のいずれか、または両方を選択します。

Client Details.png

FAQページ

さらにガイダンスが必要な場合は、クライアントVPNページに組み込まれているFAQページを参照してください(Security Appliance(セキュリティ アプライアンス) > Configure(設定) > Client VPN(クライアントVPN) > FAQs)。FAQには、最も一般的なクライアントVPNの問い合わせに対する回答とリンク(KB記事とダッシュボードのページ)があります。下記は、FAQページの抜粋です。


Screen Shot 2020-03-26 at 5.05.52 PM.png

  1. Back to top
  • Was this article helpful?

Recommended articles

  1. Article type
    Topic
    Stage
    Final
  2. Tags
    1. ch
    2. client vpn