BIG-IP の追加の使用例について議論を続ける中で、F5 を使用して SSL VPN を実装する方法についての詳細とガイドを提供したいと思いました。
では、ネットワークアクセスとは何でしょうか? F5 BIG-IP を使用すると、ユーザーが内部アプリケーションやデータに安全にアクセスできるようになります。一般的なアプリケーションへのリンクを提供する F5 の Webtop に精通している方もいるかもしれませんが、同じ Webtop を使用してネットワーク アクセス ソリューションを実装できることをご存知ですか?一方、常時稼働のソリューションやワークステーション上のクライアントが必要な場合は、F5 のエッジ クライアントを使用することもできます。
それでは、F5 が提供する 2 つのネットワーク アクセス機能について説明します。フルアクセス VPN とスプリット トンネル VPN。 2 つの違いは非常に簡単です。フル アクセス VPN の使用は、すべてのネットワーク トラフィックが単一のネットワーク トンネルを通過することを意味します。一方、スプリット トンネル VPN は、F5 Webtop を使用して展開されるアプリケーションを使用して定義されたトラフィックのみを転送します。アプリケーションが存在するネットワークを宛先としない他のすべてのトラフィックは、ユーザーの企業ネットワークや内部ネットワークではなく、パブリック インターネットに直接ルーティングされます。
F5 ネットワーク アクセス ソリューションについて詳しく説明したので、展開を開始しましょう。これから完了するユースケースは、F5 Webtop を使用したネットワーク アクセス ソリューションの展開です。
導入と Webtop の構成を開始するには、APM がプロビジョニングされていることを検証します。
トラフィック管理ユーザー インターフェイスから、次の場所に移動します。システム > リソースのプロビジョニング。
以下のスクリーンショットに示すように、APM を有効にするチェック ボックスがあることを確認します。そうでない場合は、ボックスにチェックを入れ、プロビジョニングされるリソースを構成して、提出する。
APM のプロビジョニングを検証したので、展開を開始しましょう。
案内するアクセス > Webtop > Webtop リスト:作成する
ドロップダウンから選択します満杯導入する Webtop の種類に応じて、名前を指定して選択します。終了した。
Webtop を作成したので、VPN 接続が正常に確立されたら VPN クライアントに IP アドレスを提供するために、リース プールを作成します。
これを行うには、次の場所に移動します[アクセス] > [接続/VPN] > [ネットワーク アクセス (VPN)] > [IPV4 リース プール]: 作成
名前:デモ_リース_プール
タイプ:IPアドレス範囲
開始IPアドレス:xxx.xxx.xxx.xxx
終了IPアドレス:xxx.xxx.xxx.xxx
選択する追加
選択する終了した
リース プールの作成が完了したら、次にネットワーク アクセス リソースを作成します。
案内する[アクセス] > [接続/VPN] > [ネットワーク アクセス (VPN)] > [ネットワーク アクセス リスト]: 作成
名前:デモ_vpn_リソース
キャプション:VPN デモ
選択する終了した
「完了」をクリックすると、ページが更新され、以下のページが表示されます。リース プール、プライマリおよびセカンダリ DNS サーバー、正常な接続時にマップするドライブ、またはエンド ユーザーが接続した後に起動するアプリケーションを定義できます。
この時点で、ネットワーク設定タブでは、デモ VPN ソリューションのリース プールを定義します。
ドロップダウンを使用して選択しますデモ_リース プールIPV4 リース プール用。追加の設定はすべてデフォルトのオプションのままにして、アップデート。
編集: この記事の読者の 1 人からの推奨を受けて、ネットワーク リソース構成内に DNS の構成も含めたいと思いました。
リース プールを構成した後、DNS/ホストタブ。
IPV4 プライマリ ネーム サーバー:xxx.xxx.xxx.xxx
静的ホスト:デモ-dc xxx.xxx.xxx.xxx およびデモ-dc.demo.lab xxx.xxx.xxx.xxx
選択するアップデート
完了したら、次の場所に移動します[アクセス] > [接続/VPN] > [接続] > [プロファイル]: 追加
接続プロファイル内には多くのカスタマイズ オプションがありますが、デモの目的では、プロファイル名と親プロファイルのみを定義します。
プロファイル名:デモ接続プロファイル
親のプロフィール:/共通/接続性
クリックわかりました
次に、Active Directory 認証用の AAA サーバーを作成します。 APM 内には多数の認証方法が提供されていますが、ここではデモの目的で AD 認証を実行します。 CAC、PIV、Radius、Tacacs+、多要素認証などの設定方法を確認したい場合は、お気に入りの検索エンジンを使用して「」の検索を実行してください。CAC 認証サイト:devcentral.f5.com」または "radiusサイト:f5.com」 いくつか例を挙げます。
案内する「アクセス」>「認証」>「Active Directory」:「作成」
名前:デモ広告
ドメイン名:デモ.com
サーバー接続:直接
ドメインコントローラー:xxx.xxx.xxx.xxx
管理者名:管理者
パスワード:##################################
選択する終了した
リース プール、ネットワーク アクセス リソース、接続プロファイル、AAA サーバーを作成したので、アクセス プロファイルの作成を開始できるようになりました。
案内する[アクセス] > [プロファイル/ポリシー] > [アクセス プロファイル (セッションごとのポリシー)]: 作成
名前:デモネットワークアクセス
プロファイルの種類:全て
言語:選択した言語を定義する
選択する終了した
選択時終了したをクリックすると、すべてのアクセス ポリシーのリストにリダイレクトされます。前の手順で作成したアクセス プロファイル名を見つけて選択します。編集これにより、APM ビジュアル ポリシー エディター (VPE) が起動します。
デフォルトの VPE は、開始と拒否で始まり、それ以上は何もありません。項目を追加するには、2 つの間で + 記号を選択します。この記事の範囲外ですが、完全にカスタマイズされたログオン ページを追加することから始めます。 「ログオン」タブを選択し、「ログオン」の横にあるラジオボタンを選択します。ログオンページそして選択しますアイテムの追加。
次に、カスタマイズ ページが表示されますが、すべてのデフォルトを受け入れて選択します保存。
次に、+ログオン ページと拒否の間の記号。もう一度ポップアップウィンドウが表示され、そこで選択しますAD認証そしてアイテムを追加します。これはリモート アクセスの実装方法に関するガイドですが、少し時間をとって、APM によってネイティブにサポートされているすべての認証方法を見てください。すべてをスクリーンショットにキャプチャすることはできませんでしたが、この記事の最後にすべてを表示するためのリンクを記載しました。かなりクールですよね?
AD 認証オプションが表示されたら、[AD 認証] オプションを選択します。/Common/demo_adドロップダウンからクリックしてください保存。
ここまででログオン ページを作成し、認証方法を追加したので、リソースを割り当てる必要があります。
成功の分岐に続いて、AD Auth と Deny の終わりの間にある + 記号を選択します。リソースを追加したら、エンディングを変更して許可します。ポップアップが表示されたら、割り当てタブで、高度なリソース割り当てラジオとクリックアイテムの追加。
[リソース割り当て] オプションが表示されたら、 をクリックします。新しいエントリを追加。式 1 から、 をクリックします。追加/削除。
次の画面で、ネットワークアクセスタブで、VPN リソースの横にあるボックス内をクリックします。
クリックウェブトップタブで選択しますデモウェブトップそしてアップデート。
前の画面に戻ったら、 をクリックします。保存。
認証方法とリソースが割り当てられたので、アクセス ポリシーを許可して適用するように終了を変更します。選択する拒否[Advanced Resource Assign] に従って、無線を [拒否] から [拒否] に変更します。許可するそしてクリックしてください保存。保存したら、左上隅にある [アクセス ポリシーの適用] リンクを選択し、近い。
BIG-IP はデフォルトの拒否デバイスであるため、BIG-IP がクライアント要求をリッスンして応答するメソッドを作成する必要があります。これを行うには、新しい仮想サーバーを作成します。
案内するローカル トラフィック > 仮想サーバー > 仮想サーバー リスト: 作成
名前:デモ対
行き先:xxx.xxx.xxx.xxx
サービスポート:443
HTTP プロファイル:http
SSL プロファイル (クライアント):クライアントSSL
アクセスプロファイル:デモネットワークアクセス
接続プロファイル:デモ接続プロファイル
クリック終了した
デモ目的では、特に定義されていない限り、デフォルト設定を使用します。
内部ネットワークへの VPN 接続を確立するために必要なリソースをすべてデプロイしたので、構成をテストしてみましょう。
開発ワークステーションにログインし、DNS レコードが構成されている場合は IP またはホスト名で構成した仮想サーバーへの接続を試みます。
注: 次のブラウザ バージョンを使用している場合、NPAPI プラグインのサポートは終了しました。これらのブラウザでは、NPAPI プラグインを使用して以前にインストールされていた機能が、ユーザーのマシンにインストールされ、プロトコル ハンドラーで処理されるヘルパー アプリケーションによって処理されるようになりました。 Endpoint Check アプリケーションと Network Access アプリケーションをインストールします。これらのクライアントは、APM 管理コンソールからダウンロードでき、ユーザーによるダウンロード用に配布したり、グループ ポリシーによってインストールしたり、デバイス管理ソリューションによってインストールしたりできます。
- Chrome 45以降
- Firefox 52以降
- Safari10以降
- エッジブラウザ
F5 Webtop への認証が完了したら、前の手順で作成したネットワーク アクセス リソースを選択します。
VPN または他の F5 ソリューションを使用したことがない場合は、VPN が機能するように Active X コントローラーをインストールする必要があります。
コントローラのインストールが正常に完了すると、トンネルの初期化、接続、終了処理、および接続が示されたポップアップ画面が表示されます。
これで、データセンターにすでに存在する可能性のあるものを使用して SSL VPN ソリューションを正常に導入できました。これが読んでいる皆さんのお役に立てば幸いです。次の記事を書くのを楽しみにしています。肯定的でも否定的でも、お気軽にフィードバックをお寄せください。
参考資料
https://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-network-access-13-0-0/9.html
https://support.f5.com/kb/en-us/products/big-ip_apm/manuals/product/apm-network-access-13-0-0/2.html