VMware Cloud Director 環境の NSX Data Center for vSphere Edge Gateway に SSL VPN-Plus サービスを使用すると、リモート ユーザーはこの Edge Gateway でバッキングされている組織仮想データセンター内のプライベート ネットワークおよびアプリケーションに安全に接続できるようになります。Edge Gateway にさまざまな SSL VPN-Plus サービスを設定できます。
VMware Cloud Director 環境の場合は、Edge Gateway の SSL VPN-Plus 機能によってネットワーク アクセス モードがサポートされます。リモート ユーザーが安全に接続して、Edge ゲートウェイの背後にあるネットワークおよびアプリケーションにアクセスできるようにするには、SSL クライアントをインストールする必要があります。Edge Gateway の SSL VPN-Plus 設定の一部として、オペレーティング システムに対応したインストール パッケージを追加し、特定のパラメータを設定します。詳細については、VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway への SSL VPN-Plus Client インストール パッケージの追加を参照してください。
Edge ゲートウェイで SSL VPN-Plus を設定するには、複数の手順を実行します。
前提条件
SSL VPN-Plus に必要なすべての SSL 証明書が、[証明書] 画面に追加されていることを確認します。VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway での SSL 証明書管理を参照してください。
VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway の [SSL-VPN Plus] 画面への移動
VMware Cloud Director では、[SSL-VPN Plus] 画面に移動して、NSX Data Center for vSphere Edge Gateway に SSL-VPN Plus サービスを設定することができます。
手順
- Edge Gateway サービスを開きます。
- プライマリの左側ナビゲーション パネルで [ネットワーク] を選択し、画面上部のナビゲーション バーで [Edge Gateway] を選択します。
- 編集する Edge Gateway を選択し、[サービス] をクリックします。
- [SSL VPN-Plus] タブをクリックします。
次のタスク
[全般] 画面で、SSL VPN-Plus のデフォルト設定を行います。VMware Cloud Director Tenant Portal における NSX Data Center for vSphere Edge Gateway での SSL VPN-Plus の全般設定のカスタマイズを参照してください。
VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway の SSL VPN サーバ設定の構成
このサーバ設定では、サービスがリスンする IP アドレスとポート、サービスの暗号リスト、およびそのサービス証明書など、SSL VPN サーバの設定を行います。VMware Cloud Director の NSX Data Center for vSphere Edge Gateway に接続するときに、リモート ユーザーはこれらのサーバ設定と同じ IP アドレスとポートを指定します。
Edge Gateway がその外部インターフェイス上の複数のオーバーレイ IP アドレス ネットワークで構成されている場合、SSL VPN サーバに対して選択した IP アドレスが、Edge Gateway のデフォルトの外部インターフェイスとは異なる可能性があります。
SSL VPN サーバの設定時に、SSL VPN トンネルで使用する暗号化アルゴリズムを選択する必要があります。1 つ以上の暗号を選択できます。選択した暗号の長所と短所を照らし合わせながら、慎重に選択します。
デフォルトでは、Edge Gateway ごとに SSL VPN トンネルのデフォルトのサーバ ID 証明書として生成されたデフォルトの自己署名証明書が使用されます。このデフォルトの証明書ではなく、[証明書] 画面でシステムに追加したデジタル証明書を使用することもできます。
前提条件
- VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway の SSL VPN-Plus の構成で説明されている前提条件を満たしていることを確認します。
- デフォルトとは異なるサービス証明書を使用する場合は、必要な証明書をシステムにインポートします。VMware Cloud Director Tenant Portal を使用した Edge Gateway へのサービス証明書の追加を参照してください。
- VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway の [SSL-VPN Plus] 画面への移動。
手順
次のタスク
リモート ユーザーが SSL VPN-Plus を使用して接続したときにリモート ユーザーに IP アドレスが割り当てられるように IP プールを追加します。NSX Data Center for vSphere Edge Gateway 上で SSL VPN-Plus と使用するための IP アドレス プールを VMware Cloud Director Tenant Portal で作成を参照してください。
NSX Data Center for vSphere Edge Gateway 上で SSL VPN-Plus と使用するための IP アドレス プールを VMware Cloud Director Tenant Portal で作成
VMware Cloud Director Tenant Portal の [SSL VPN-Plus] タブの [IP プール] 画面を使用して設定した固定 IP アドレス プールに含まれる仮想 IP アドレスが、リモート ユーザーに割り当てられます。
この画面で追加された各 IP アドレス プールは、Edge Gateway に設定される IP アドレス サブネットになります。これらの IP アドレス プールで使用される IP アドレスの範囲は、Edge Gateway で構成されている他のすべてのネットワークとは異なっている必要があります。
前提条件
手順
- [SSL VPN-Plus] タブで、[IP プール] をクリックします。
- [作成](
)ボタンをクリックします。 - IP プールを構成します。
オプション アクション IP の範囲 127.0.0.1-127.0.0.9. のように、この IP アドレス プールの IP アドレスの範囲を入力します。 VPN クライアントを認証し、SSL VPN トンネルに接続するときに、これらの IP アドレスが割り当てられます。
ネットマスク 255.255.255.0 など、IP アドレス プールのネットマスクを入力します。 ゲートウェイ Edge Gateway でこの IP アドレス プールのゲートウェイ アドレスとして作成して割り当てる IP アドレスを入力します。 IP アドレス プールが作成されると、Edge Gateway 仮想マシンで仮想アダプタが作成され、この IP アドレスはその仮想インターフェイスに設定されます。この IP アドレスには、[IP の範囲] フィールドで指定した範囲に含まれないサブネットの任意の IP アドレスも指定できます。
説明 (オプション)この IP アドレス プールの説明を入力します。 ステータス この IP アドレス プールを有効にするか無効にするかを選択します。 プライマリ DNS (オプション)これらの仮想 IP アドレスの名前解決のために使用するプライマリ DNS サーバの名前を入力します。 セカンダリ DNS (オプション)使用するセカンダリ DNS サーバの名前を入力します。 DNS サフィックス (オプション)ドメインベースのホスト名解決のために、クライアント システムがホストされているドメインの DNS サフィックスを入力します。 WINS サーバ (オプション)組織のニーズに合わせて、WINS サーバ アドレスを入力します。 - [保持] をクリックします。
結果
次のタスク
SSL VPN-Plus を使用して接続するリモート ユーザーにアクセスを許可するプライベート ネットワークを追加します。NSX Data Center for vSphere Edge Gateway 上で SSL VPN-Plus とともに使用するためのプライベート ネットワークを VMware Cloud Director Tenant Portal で追加を参照してください。
NSX Data Center for vSphere Edge Gateway 上で SSL VPN-Plus とともに使用するためのプライベート ネットワークを VMware Cloud Director Tenant Portal で追加
VMware Cloud Director Tenant Portal でプライベート ネットワークを構成するには、[SSL VPN-Plus] タブにある [プライベート ネットワーク] 画面を使用します。プライベート ネットワークは、リモート ユーザーが VPN クライアントと SSL VPN トンネルを使用して接続するときに、VPN クライアントがアクセスするネットワークです。有効なプライベート ネットワークは、VPN クライアントのルーティング テーブルに組み込まれます。
- SSL VPN-Plus は、リモート ユーザーによるプライベート ネットワークへのアクセスを、画面上のテーブルに表示される IP アドレス プールの順(上から下)に許可します。プライベート ネットワークを画面上のテーブルに追加した後は、上下の矢印を使用して、テーブル内のネットワークの位置を調整できます。
- プライベート ネットワークに対して TCP 最適化の有効化を選択すると、アクティブ モードの FTP などの一部のアプリケーションがそのサブネット内で動作しない場合があります。アクティブ モードで構成されている FTP サーバを追加するには、その FTP サーバ用に別のプライベート ネットワークを追加し、そのプライベート ネットワークの TCP 最適化を無効にする必要があります。また、その FTP サーバのプライベート ネットワークを有効にし、画面上のテーブルで、TCP が最適化されたプライベート ネットワークより上に表示されるようにする必要があります。
前提条件
手順
- [SSL VPN-Plus] タブで、[プライベート ネットワーク] をクリックします。
- [追加]()ボタンをクリックします。
- プライベート ネットワークを構成します。
オプション アクション ネットワーク プライベート ネットワークの IP アドレスを、192169.1.0/24 などの CIDR 形式で入力します。 説明 (オプション)ネットワークの説明を入力します。 トラフィックを送信 VPN クライアントでプライベート ネットワークとインターネット トラフィックを送信する方法を指定します。 - [トンネルを経由]
VPN クライアントは、プライベート ネットワークとインターネット トラフィックを SSL VPN-Plus が有効な Edge Gateway を経由して送信します。
- [トンネルを迂回]
VPN クライアントは Edge Gateway をバイパスし、トラフィックをプライベート サーバに直接送信します。
TCP 最適化を有効化 (オプション)インターネットの速度を最適化するには、トラフィックの送信に [トンネルを経由] を選択した際に、[TCP 最適化を有効化] も選択する必要があります。 このオプションを選択すると、VPN トンネルでの TCP パケットのパフォーマンスが向上しますが、UDP トラフィックのパフォーマンスは向上しません。
従来のフルアクセス SSL VPN トンネルは、インターネット上の暗号化で、2 番目の TCP/IP スタックの TCP/IP データを送信します。この従来の方法では、アプリケーション レイヤーのデータを 2 つの別々の TCP ストリームにカプセル化します。パケット ロスは最適なインターネット条件下でも発生しますが、これが起こると、TCP-over-TCP メルトダウンと呼ばれるパフォーマンス劣化効果が生じます。TCP-over-TCP メルトダウンでは、2 つの TCP 計測ツールが 1 つの IP アドレス データ パケットを修正することにより、ネットワークのスループットが低下し、接続がタイムアウトになります。[TCP 最適化を有効化] を選択すると、この TCP-over-TCP の問題が発生するリスクを回避できます。
注: TCP 最適化を有効にする際には、以下を考慮する必要があります。- インターネット トラフィックを最適化するポート番号を入力する必要があります。
- SSL VPN サーバは、VPN クライアントの代わりに TCP 接続を開始します。SSL VPN サーバが TCP 接続を開始すると、最初に自動生成される Edge ファイアウォール ルールが適用されます。このルールは、Edge Gateway から開始されたすべての接続の通過を許可します。最適化されていないトラフィックは、通常の Edge ファイアウォール ルールによって評価されます。デフォルトで生成された TCP ルールでは、任意の接続が許可されます。
ポート [トンネルを経由] を選択した場合は、リモート ユーザーが内部サーバにアクセスするために開くポート番号の範囲を入力します。FTP トラフィックの場合は 20-21、HTTP トラフィックの場合は 80-81 のようになります。 ユーザーに無制限のアクセス権を付与する場合は、このフィールドを空白のままにします。
ステータス プライベート ネットワークを有効または無効にします。 - [トンネルを経由]
- [保持] をクリックします。
- [変更を保存] をクリックして、システムに設定を保存します。
次のタスク
認証サーバを追加します。VMware Cloud Director Tenant Portal で NSX Data Center for vSphere Edge Gateway の SSL VPN-Plus の認証サービスを設定 を参照してください。
VMware Cloud Director Tenant Portal で NSX Data Center for vSphere Edge Gateway の SSL VPN-Plus の認証サービスを設定
[SSL VPN-Plus] タブにある [認証] 画面を使用して、Edge Gateway の SSL VPN サービスのローカル認証サーバを設定し、オプションでクライアント証明書の認証を有効にします。VMware Cloud Director は、この認証サーバを使用して接続ユーザーを認証します。ローカル認証サーバに構成されているすべてのユーザーが認証されます。
1 台のローカル SSL VPN-Plus 認証サーバのみを Edge Gateway に設定できます。[+ ローカル] をクリックして追加の認証サーバを指定した場合、設定の保存を試みるとエラー メッセージが表示されます。
SSL VPN 経由での認証の最大時間は、3 分です。この最大数は認証以外のタイムアウトによって決定されます。この値を設定することはできず、デフォルト値は 3 分です。このため、チェーン認証に複数の認証サーバがあり、ユーザー認証に 3 分を超える時間がかかる場合、ユーザーは認証されません。
前提条件
- VMware Cloud Director Tenant Portal での NSX Data Center for vSphere Edge Gateway の [SSL-VPN Plus] 画面への移動。
- NSX Data Center for vSphere Edge Gateway 上で SSL VPN-Plus とともに使用するためのプライベート ネットワークを VMware Cloud Director Tenant Portal で追加。
- クライアント証明書認証を有効にする場合は、CA 証明書が Edge Gateway に追加されていることを確認します。VMware Cloud Director Tenant Portal を使用して SSL 証明書の信頼性検証のための CA 証明書を Edge Gateway に追加 を参照してください。
手順
- [SSL VPN-Plus] タブおよび [認証] をクリックします。
- [ローカル] をクリックします。
- 認証サーバを構成します。
- (オプション) パスワード ポリシーを有効にして設定します。
オプション 説明 パスワード ポリシーを有効化 ここで設定するパスワード ポリシーを適用します。 パスワードの長さ パスワードの長さで許可される最大文字数と最小文字数を入力します。 英字の最小数 (オプション)パスワードに必要な英字の最小数を入力します。 数字の最小数 (オプション)パスワードに必要な数字の最小数を入力します。 特殊文字の最小数 (オプション)アンパサンド (&)、ハッシュ タグ (#)、パーセント記号 (%) など、パスワードに必要な特殊文字の最小数を入力します。 パスワードにはユーザー ID を含めないでください (オプション)パスワードにユーザー ID を含めることを禁止するには、このオプションを有効にします。 パスワードの有効期間 (オプション)ユーザーによる変更が必要になるまでパスワードが存続できる最大日数を入力します。 有効期限の通知 (期限切れになるまでの日数を指定) (オプション)[パスワードの有効期間] の値の何日前に、パスワードの有効期限が近づいていることをユーザーに通知するかを入力します。 - (オプション) アカウントのロックアウト ポリシーを有効にして設定します。
オプション 説明 アカウントのロックアウト ポリシーを有効化 ここで設定するアカウント ロックアウト ポリシーを適用します。 再試行の回数 ユーザーが自分のアカウントへのアクセスを再試行できる回数を入力します。 再試行の期間 ログインが成功しなかった場合にユーザー アカウントがロックされる期間を分単位で入力します。 たとえば、[再試行の回数] を 5 に、[再試行の期間] を 1 分間に設定した場合、1 分間のうちにログインに 5 回失敗すると、ユーザーのアカウントがロックされることになります。
ロックアウトの期間 ユーザー アカウントをロック状態にする期間を入力します。 この期間が経過すると、アカウントのロックは自動的に解除されます。
- [ステータス] セクションでこの認証サーバを有効にします。
- (オプション) セカンダリ認証を構成します。
オプション 説明 このサーバをセカンダリ認証に使用 (オプション)認証の第 2 レベルとしてサーバを使用するかどうかを指定します。 認証が失敗した場合はセッションを終了 (オプション)認証の失敗時に VPN セッションを終了するかどうかを指定します。 - [保持] をクリックします。
- (オプション) パスワード ポリシーを有効にして設定します。
- (オプション) クライアント認定の認証を有効にするは、[証明書を変更] をクリックして有効/無効の切り替えをオンにし、使用する CA 証明書を選択して [OK] をクリックします。
次のタスク
ローカル認証サーバにローカル ユーザーを追加し、これらのユーザーが SSL VPN-Plus を使用して接続できるようにします。VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway 上のローカル SSL VPN-Plus 認証サーバへの SSL VPN-Plus ユーザーの追加 を参照してください。
リモート ユーザーがローカル システムにインストールできるようにするために、SSL クライアントを含むインストール パッケージを作成します。VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway への SSL VPN-Plus Client インストール パッケージの追加 を参照してください。
VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway 上のローカル SSL VPN-Plus 認証サーバへの SSL VPN-Plus ユーザーの追加
NSX Data Center for vSphere Edge Gateway SSL VPN サービスのローカル認証サーバにリモート ユーザーのアカウントを追加するには、 VMware Cloud Director Tenant Portal の [SSL VPN-Plus] タブの [ユーザー] 画面を使用します。
前提条件
手順
- [SSL VPN-Plus] タブで、[ユーザー] をクリックします。
- [作成]()ボタンをクリックします。
- ユーザーの次のオプションを構成します。
オプション 説明 ユーザー ID ユーザー ID を入力します。 パスワード ユーザーのパスワードを入力します。 パスワードを再入力 パスワードを再入力します。 名 (オプション)ユーザーの名を入力します。 姓 (オプション)ユーザーの姓を入力します。 説明 (オプション)ユーザーの説明を入力します。 有効 ユーザーを有効にするか無効にするかを指定します。 パスワードを無期限にする (オプション)このユーザーに対して常に同じパスワードを保持するかどうかを指定します。 パスワードの変更を許可 (オプション)ユーザーがパスワードを変更できるようにするかどうかを指定します。 次回のログインでパスワードを変更 (オプション)このユーザーの次回ログイン時に、パスワードを変更するように依頼するかどうかを指定します。 - [保持] をクリックします。
- ユーザーを追加するには、手順を繰り返します。
次のタスク
ローカル認証サーバにローカル ユーザーを追加し、これらのユーザーが SSL VPN-Plus を使用して接続できるようにします。VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway 上のローカル SSL VPN-Plus 認証サーバへの SSL VPN-Plus ユーザーの追加 を参照してください。
リモート ユーザーがローカル システムにインストールできるようにするために、SSL クライアントを含むインストール パッケージを作成します。VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway への SSL VPN-Plus Client インストール パッケージの追加 を参照してください。
VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway への SSL VPN-Plus Client インストール パッケージの追加
リモート ユーザー用の SSL VPN-Plus Client の名前付きインストール パッケージを作成するには、 VMware Cloud Director Tenant Portal の [SSL VPN-Plus] タブの [インストール パッケージ] 画面を使用します。
SSL VPN-Plus クライアント インストール パッケージは、NSX Data Center for vSphere Edge Gateway に追加できます。新しいユーザーは、最初に VPN 接続を使用してログインする際に、このパッケージをダウンロードしてインストールするように求められます。これらのクライアント インストール パッケージを追加すると、Edge Gateway のパブリック インターフェイスの FQDN からダウンロードできるようになります。
Windows、Linux、および Mac オペレーティング システムで実行するインストール パッケージを作成することができます。SSL VPN クライアントごとに異なるインストール パラメータを必要とする場合は、構成ごとにインストール パッケージを作成します。
前提条件
手順
- このテナント ポータルの [SSL VPN-Plus] タブで、[インストール パッケージ] をクリックします。
- [追加]()ボタンをクリックします。
- インストール パッケージを構成します。
オプション 説明 プロファイル名 このインストール パッケージのプロファイル名を入力します。 この名前は、Edge Gateway へのこの SSL VPN 接続を識別するためにリモート ユーザーに表示されます。
ゲートウェイ Edge Gateway のパブリック インターフェイスの IP アドレスまたは FQDN を入力します。 入力した IP アドレスまたは FQDN は、SSL VPN クライアントにバインドされます。クライアントがリモート ユーザーのローカル システムにインストールされている場合、この IP アドレスまたは FQDN が SSL VPN クライアントに表示されます。
この SSL VPN クライアントに追加の Edge Gateway アップリンク インターフェイスをバインドするには、[追加](
)ボタンをクリックして行を追加し、インターフェイスの IP アドレスまたは FQDN とポートを入力します。 ポート (オプション)表示されるデフォルトの値からポート値を変更するには、値をダブルクリックして新しい値を入力します。 Windows
Linux
Mac
インストール パッケージを作成するオペレーティング システムを選択します。 説明 (オプション)ユーザーの説明を入力します。 有効 このパッケージを有効にするか無効にするかを指定します。 - Windows のインストール パラメータを選択します。
オプション 説明 ログイン時にクライアントを起動 リモート ユーザーがローカル システムにログインするときに、SSL VPN クライアントを起動します。 パスワードの保存を許可 ユーザーのパスワードをクライアントで記憶できるようにします。 サイレント モードのインストールを有効化 リモート ユーザーに対してインストール コマンドを表示しません。 SSL クライアント ネットワーク アダプタを非表示 VMware SSL VPN-Plus アダプタを非表示にします。このアダプタは、SSL VPN クライアント インストール パッケージと一緒にリモート ユーザーのコンピュータにインストールされます。 クライアント システム トレイ アイコンを非表示 VPN 接続がアクティブかアクティブでないかを示す SSL VPN トレイ アイコンを非表示にします。 デスクトップ アイコンを作成 ユーザー デスクトップに SSL クライアントを起動するアイコンを作成します。 サイレント モードの操作を有効化 インストールが完了したことを示すウィンドウを非表示にします。 サーバ セキュリティ証明書の検証 SSL VPN クライアントが安全な接続を確立する前に SSL VPN サーバ証明書を検証します。 - [保持] をクリックします。
次のタスク
クライアントの設定を編集します。VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway の SSL VPN-Plus Client 構成の編集 を参照してください。
VMware Cloud Director Tenant Portal を使用した NSX Data Center for vSphere Edge Gateway の SSL VPN-Plus Client 構成の編集
リモート ユーザーが SSL VPN にログインしたときの SSL VPN クライアント トンネルの応答方法をカスタマイズするには、 VMware Cloud Director Tenant Portal の [SSL VPN-Plus] タブの [クライアント構成] 画面を使用します。
前提条件
手順
VMware Cloud Director Tenant Portal における NSX Data Center for vSphere Edge Gateway での SSL VPN-Plus の全般設定のカスタマイズ
VMware Cloud Director 環境の Edge Gateway では、一部の SSL VPN-Plus 設定がデフォルトで設定されています。VMware Cloud Director テナント ポータルの [SSL VPN-Plus] タブの [全般設定] を使用して、これらの設定をカスタマイズします。
前提条件
手順
- [SSL VPN-Plus] タブで、[全般設定] をクリックします。
- 組織のニーズに合わせて、必要に応じて全般設定を編集します。
オプション 説明 同じユーザー名を使用した複数のログインを禁止する オンにすると、リモート ユーザーが同じユーザー名で使用できるアクティブなログイン セッションが 1 つのみに制限されます。 圧縮 オンにすると、TCP ベースのインテリジェント データ圧縮が有効になり、データ転送速度が向上します。 ログの有効化 オンにすると、SSL VPN ゲートウェイを通過するトラフィックのログが保持されます。 デフォルトではログは有効です。
仮想キーボードを強制する オンにすると、リモート ユーザーは画面上の仮想キーボードのみを使用してログイン情報を入力する必要があります。 仮想キーボードのキーをランダム化する オンにすると、仮想キーボードでランダムなキー レイアウトが使用されます。 セッション アイドル タイムアウト セッション アイドル タイムアウトを分単位で入力します。 指定された期間、ユーザーのセッションでアクティビティがない場合、ユーザーのセッションを切断します。システムのデフォルトは 10 分です。
ユーザー通知 リモート ユーザーがログインした後、リモート ユーザーに表示するメッセージを入力します。 パブリック URL アクセスを有効化 オンにすると、リモート ユーザーは、リモート ユーザー アクセスが明示的に構成されていないサイトにアクセスできます。 強制タイムアウトを有効化 オンにすると、[強制タイムアウト] フィールドで指定した期間の経過後にリモート ユーザーを切断します。 強制タイムアウト タイムアウト時間を分単位で入力します。 [強制タイムアウトを有効化] をオンに切り替えると、このフィールドが表示されます。
- [変更を保存] をクリックします。
