今回僕が一番求めていたSSL-VPNを試していきたいと思います。SophosUTMには非常に強力なリモートアクセス機能が備わっています。
しかもとても簡単にセットアップできます。
なぜかCiscoVPN用のメニューまであります。どうせならFortigateクライアント用のメニューも作ってほしいですね。SSL-VPNが現在主流かと思いますが、SophosUTMではトンネルモード→SSL(クライアントソフトインストール必要)WEBモード→HTML5 VPNポータル(クライアントインストール不要 Java必要)
のようなイメージです。
まずDynamicDNSでホスト名を決めましょう。(Fortigateだとこれが超簡単に数秒で設定できますのでありがたみを感じました・・)
ざっと見たところno ip comが無料で簡単に使えるかと思います。no ip comのサイトでユーザ登録して、ホスト名を決めておきます。その後アカウントをこんな感じで入力。
ステータスがSuccessfulになればOKですが、ならなかったらWEBサイトから手動でグローバルIPを登録しておきます。
システム設定>ホスト名で取得したホスト名を設定。
ユーザポータル>グローバルでAnyを設定。
ユーザポータル>詳細>ネットワーク設定で3項目設定します。
“HTML5 VPNポータル”でもろもろ設定します。ちなみにFortigateみたくネイティブRDPは使えません。以下はLAN内のWindowsに対しリモートデスクトップを設定しています。
設定後、WANに対しアクセスすると、ログイン後、”HTML5 VPNポータル”の項目がでますので
そこからクリックしていくと、リモートデスクトップできます。
■TIPS
これは僕の失敗談ですが、ユーザポータルの設定がマネジメントのメニューにあると知らずユーザポータルを未設定でVPNをつなごうとして、(この時はSSL-VPNトンネルモードで)わけの分からんエラーが出ていて海外のフォーラムとか3時間くらい調べてしまいました。「ポータルまだ設定してなかったわ(^^)」みたいなトピ主の回答をみて一気に脱力しました(笑)
2015:08:29-23:29:05 sophosutm openvpn[17521]: 175.177.16.70:53546 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1560 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]
”WARNING: Bad encapsulated packet length from peer”
ポータル未設定だとこんなログが出続けます。意外とこれハマる人が多いみたいです。MTUとか書いてあるから、無駄にESXiでvSwitchのMTUとか1454にしてみたり。MTUとは全く関係ないのでご注意ください。
One thought on “06 Sophos UTM リモートアクセス(HTML5 VPNポータル)の設定”