設計・設定する
Top / サポート情報 / マニュアル / クラウド型リモートVPNサービス / 設計・設定する / 2.SSL-VPNポータルを設定する

2.SSL-VPNポータルを設定する

SSL-VPNポータルについて

SSL-VPNポータルでは、ユーザーがSSL-VPN接続するモードのようなものを定義します。

少々わかりにくいですが下記の様に理解することができます。

  • FortiGate VDOMのSSL-VPNは、「あくまで1つ」しかない。
    • 基本設定では、割り当てられたグローバルアドレスに、ポート443のみ。
    • この設定は、SSL-VPNの設定で行う。
  • SSL-VPNポータルの設定では、ポータル毎の設定(トンネルモード、ウェブモードか?トンネルモード時にルーティングテーブルを配布するかどうか?1人あたりセッションを複数繋いでもいいのか?など)を行う。
  • ポータルは、(ユーザーの)グループ毎にポータルのマッピングを行う。

トンネルモード、Webモードの違い

  • トンネルモード
    • ユーザーがVPNクライアントソフト(FortiClient)をインストール・設定し、SSL-VPN接続します。
    • ブラウザーに限らず、メールソフトなどすべての通信をSSL-VPN経由にするフルトンネル設定が可能です。
    • クライアントオプション設定を行うことで、クライアント側で常にSSL-VPN接続させたり、パスワードを保存するなど、ログイン処理を簡易化することができます。
  • Webモード
    • ユーザーがWebブラウザーでWebポータル画面にアクセスし、SSL-VPN接続します。
    • ログイン後のポータル画面の表示の設定をしたり、ブックマークを定義することで接続先を登録できます。
    • 扱えるものがWEBに限りますが、利用者がブラウザだけですむメリットもあります。

スプリットトンネルについて

トンネルモード時、スプリットトンネルと、フルトンネルを選ぶことができます。これは、FortiClientに対してルーティングテーブルをどう配布するのか?の設定です。

  • フルトンネル
    • クライアントが、「全てのトラフィック」を、FortiGate UTMに送る設定です。クライアントの「インターネットに接続するセキュリティポリシー」をUTMで管理できるメリットがありますが、クライアントがインターネットにアクセスするたびに、一端、UTMにパケットを送り、更にUTMから当該サーバにパケットを投げることになり、UTMの上りと下りの両方の帯域を使ってしまうことになります。サンプル設定ではこちらになっています。
  • スプリットトンネル
    • クライアントが、「事前に定めたセグメントのみ」、FortiGate UTMに送る設定です。クライアントには、必要なセグメントのみUTMにおくり、それ以外は直接インターネットに接続して貰う設定なので、UTM側のトラフィックを不必要に使わないメリットがあります。ただ、セキュリティ的な側面で考えると、接続中のクライアントは、インターネットと社内の両方に接続される「踏み台」のような場所に位置するので、これをどう考えるか?は、その会社の情報セキュリティポリシー次第です。

手順

SSL-VPNポータル一覧

1.SSL-VPNポータル一覧を確認する

左メニューから「VPN」>「SSL-VPN Portals」を開くと、SSL-VPNポータル一覧が表示されます。

ここでは、SSL-VPNポータルを新規作成する方法をご案内しています。デフォルトで作成されているものを使用する場合は、該当のSSL-VPNポータルを選択し、「Edit」から編集を行います。

 

SSL-VPNポータル追加

2.SSL-VPNポータルを新規追加する

「+ Create New」をクリックし、新規作成画面を開きます。

 

SSL-VPNポータル設定

3.SSL-VPNポータルを設定する

下記の項目を設定し、「OK」をクリックします。

 
New SSL-VPN Portal
NameSSL-VPNポータル名を入力します。
Limit Users to
One SSL-VPN Connection at a Time
1アカウントで同時複数端末を接続可能にするかの設定をします。許可しない場合は、スイッチをON(右側) にします。
本サービスのユーザ数制限は、同時ユーザ接続でも等しくかかるため、注意が必要です。
Tunnel Modeトンネルモードを有効にする場合は、スイッチをON(右側) にします。
Enable Split Tunnelingスプリットトンネリングを有効にする場合は、スイッチをON(右側) にします。
Routing AddressスプリットトンネルでルーティングしたいIPアドレスを選択します。
Source IP PoolsSSL-VPN接続時にクライアント側に払い出すIPプールを選択します。
Tunnel Mode Client Options任意で以下の項目を設定します。
Allow client to save passwordクライアントがパスワードを保存することを許可する場合は、スイッチをON(右側) にします。
Allow client to
connect automatically
クライアントの自動接続を許可する場合は、スイッチをON(右側) にします。
Allow client to
keep connections alive
クライアントがコネクションをキープすることを許可する場合は、スイッチをON(右側) にします。
DNS Split TunnelingDNSスプリットトンネルを有効にする場合は、スイッチをON(右側) にし、スプリットDNS設定を行います。
Enable Web Mode   Webモードを有効にする場合は、スイッチをON(右側) にします。OFFにするとトンネルモードのみアクセスを許可します。ONにするとブラウザーによるポータル画面へのアクセスが可能になります。
Portal Messageポータル画面ログイン後に表示されるメッセージを設定します。
Themeポータル画面のデザイン色を設定します。
Show Session Informationポータル画面にセッション時間・送受信Byteを表示する場合は、スイッチをON(右側) にします。
Show Connection Launcher  ポータル画面にコネクションランチャーを表示する場合は、スイッチをON(右側) にします。
Show Login History  ポータル画面にログイン履歴を表示する場合は、スイッチをON(右側) にします。
User Bookmarks  ポータル画面上に、接続先のブックマークを登録するとアクセスが簡易化します。
Enable FortiClient Downloadポータル画面上に、「FortiClientダウンロード」ボタンを表示させる場合は、スイッチをON(右側) にします。
Download Methodダウンロード方法を「Direct」または「SSL-VPN Proxy」から選択します。
Customize Download Location通常は設定は不要です。
Private CloudPrivate Cloud
StorageStorage
NetworkNetwork