06 Sophos UTM リモートアクセス(HTML5 VPNポータル)の設定 1


今回僕が一番求めていたSSL-VPNを試していきたいと思います。
SophosUTMには非常に強力なリモートアクセス機能が備わっています。
しかもとても簡単にセットアップできます。

GW-20150901-192008

なぜかCiscoVPN用のメニューまであります。
どうせならFortigateクライアント用のメニューも作ってほしいですね。

SSL-VPNが現在主流かと思いますが、SophosUTMでは

トンネルモード→SSL(クライアントソフトインストール必要)
WEBモード→HTML5 VPNポータル(クライアントインストール不要 Java必要)

のようなイメージです。

まずDynamicDNSでホスト名を決めましょう。
(Fortigateだとこれが超簡単に数秒で設定できますのでありがたみを感じました・・)
ざっと見たところno ip comが無料で簡単に使えるかと思います。
no ip comのサイトでユーザ登録して、ホスト名を決めておきます。
その後アカウントをこんな感じで入力。
ステータスがSuccessfulになればOKですが、ならなかったらWEBサイトから手動でグローバルIPを
登録しておきます。
1_DDNS2

システム設定>ホスト名で取得したホスト名を設定。
2_ホスト名

ユーザポータル>グローバルでAnyを設定。
3_ユーザポータル

ユーザポータル>詳細>ネットワーク設定で3項目設定します。
4_ユーザポータル詳細

“HTML5 VPNポータル”でもろもろ設定します。
ちなみにFortigateみたくネイティブRDPは使えません。
以下はLAN内のWindowsに対しリモートデスクトップを設定しています。
5_HTML5設定

設定後、WANに対しアクセスすると、ログイン後、”HTML5 VPNポータル”の項目がでますので
そこからクリックしていくと、リモートデスクトップできます。
6_ログイン後

■TIPS
これは僕の失敗談ですが、ユーザポータルの設定がマネジメントのメニューにあると知らず
ユーザポータルを未設定でVPNをつなごうとして、(この時はSSL-VPNトンネルモードで)
わけの分からんエラーが出ていて海外のフォーラムとか3時間くらい調べてしまいました。
「ポータルまだ設定してなかったわ(^^)」みたいなトピ主の回答をみて
一気に脱力しました(笑)

2015:08:29-23:29:05 sophosutm openvpn[17521]: 175.177.16.70:53546 WARNING: Bad encapsulated packet length from peer (5635), which must be > 0 and <= 1560 -- please ensure that --tun-mtu or --link-mtu is equal on both peers -- this condition could also indicate a possible active attack on the TCP link -- [Attempting restart...]

”WARNING: Bad encapsulated packet length from peer”

ポータル未設定だとこんなログが出続けます。
意外とこれハマる人が多いみたいです。
MTUとか書いてあるから、無駄にESXiでvSwitchのMTUとか1454にしてみたり。
MTUとは全く関係ないのでご注意ください。


Leave a comment

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

One thought on “06 Sophos UTM リモートアクセス(HTML5 VPNポータル)の設定