SSL/TLS 設定の優先順位と継承
いくつかの Firebox の機能では、安全な通信に SSL/TLS を使用し、同じ OpenVPN サーバーを共有しています。OpenVPN サーバーが共有される機能は以下の通りです (優先順位の高いもの順)。
- ハブ デバイスにおける SSL 上の管理トンネル
- サーバー モードにおける TLS 経由の BOVPN
- Mobile VPN with SSL
- Access Portal
優先度の低い機能は、有効化されている優先度の高い機能からの SSL/TLS 設定の一部を継承します。優先度の低い機能には、共有設定を構成することはできません。
これらの機能を 1 つ以上有効化すると、一部の設定が他の機能から継承したことを説明する情報メッセージが表示されます。
共有ポリシー
SSL 経由の管理トンネル、TLS 経由の BOVPN、Mobile VPN with SSL、または Access Portal を有効化すると、WatchGuard SSLVPN ポリシーが自動的に作成されます。これらのすべての機能は、WatchGuard SSLVPN ポリシーを共有します。
Fireware v12.1 以降の WatchGuard SSLVPN ポリシーには、規定で Any-External インターフェイスのみが含まれます。
構成に WatchGuard SSLVPN ポリシーを含めることをお勧めします。Fireware v12.1 以降では、WatchGuard SSLVPN ポリシーを削除して別の名前のカスタム ポリシーを作成した場合、データ チャンネル プロトコルが TCP に構成されていると Mobile VPN with SSL は機能しません。
Fireware v12.1.x では、WatchGuard SSLVPN ポリシーに WG-VPN-Portal エイリアスが含まれています。v12.1.x から v12.2 以降にアップグレードすると、WG-VPN-Portal エイリアスが WatchGuard SSLVPN ポリシーから削除されます。WG-VPN-Portal エイリアスに表示されたインターフェイスが WatchGuard SSLVPN ポリシーに表示されます。これは、ポリシーが同じトラフィックに一致することを意味します。詳細については、WatchGuard ナレッジ ベースの WatchGuard SSLVPN ポリシーの変更と Fireware v12.1.x の WG-VPN-Portal エイリアス を参照してください。
構成の例
このトピックの構成例では、これらの機能の設定がどのように関連するのか、および WatchGuard SSLVPN が影響を受けるかについて説明します。これらの例ではまた、機能の優先度に変更があった場合に表示されるメッセージについてもご紹介します。
Fireware v12.1.x では、Access Portal と SSL 経由の Mobile VPN の共通の設定が VPN Portal という名前のページに表示されます。Mobile VPN with SSL の構成データ チャンネルが VPN Portal ポート という名前に変更され、VPN Portal 設定に表示されます。Fireware v12.2 では、VPN Portal 設定は Access Portal および Mobile VPN with SSL の構成に移動しました。Fireware v12.1.x に適用される構成の手順については、WatchGuard ナレッジ ベースの Fireware v12.1.x で VPN ポータル設定を構成する を参照してください。
この例では、Firebox の以下の機能が有効化されています:
- ハブ デバイス上の SSL 経由の管理トンネル
- サーバー モードにおける TLS 経由の BOVPN
- Mobile VPN with SSL
- Access Portal
以下の設定は構成できません:
- サーバー モードの TLS 経由の BOVPN — Firebox の IP アドレス、仮想 IP アドレス プール、データ チャンネルプロトコルおよびポート、および再ネゴシエートデータ チャンネル
- Mobile VPN with SSL — Firebox の IP アドレス、ネットワーキング方法、仮想 IP アドレス プール、VPN リソース、データ チャンネル、構成チャンネル認証、暗号化、およびタイマー。
- Access Portal — Access Portal ポート
これらのメッセージは、サーバー モードの TLS 経由の BOVPN、Mobile VPN with SSL、および Access Portal で表示されます:
この例では、Firebox の以下の機能が有効化されています:
- サーバー モードにおける TLS 経由の BOVPN
- Mobile VPN with SSL
- Access Portal
以下の設定は構成できません:
- Mobile VPN with SSL — Firebox の IP アドレス、ネットワーキング方法、仮想 IP アドレス プール、VPN リソース、データ チャンネル、構成チャンネル、認証、暗号化、およびタイマー
- Access Portal — Access Portal ポート
TLS 経由の BOVPN 設定では、TCP または UDP の データ チャンネルを構成できます。TLS 経由の BOVPN のデータ チャンネル設定は、Mobile VPN with SSL のデータ チャンネル設定に影響を与えます。
TCP データ チャンネル
TLS 経由の BOVPN 設定で TCP が選択されている場合、443 以外のポートは指定できません。Mobile VPN with SSL のデータ チャンネルおよび構成チャンネルは TCP 433 なため、構成できません。Access Portal ポートは 443 であるため、構成できません。
これらのメッセージは、Mobile VPN with SSL、および Access Portal で表示されます:
UDP データ チャンネル
TLS 経由の BOVPN サーバー モード構成では、データ チャンネル設定で UDP が選択されている場合は 443 以外のポートを指定できます。
Mobile VPN with SSL 構成では、データ チャンネルが UDP に変更され、およびデータ チャンネル ポートは、TLS 経由の BOVPN のデータ チャンネルで指定したポートに変更されます。構成チャンネルは 443 であるため、構成できません。
サーバー モードの TLS 経由の BOVPN を有効化し、Mobile VPN with SSL がすでに有効な場合、TLS 経由の BOVPN データ チャンネルで UDP が選択されていると次のメッセージが表示されます:
この例では、Firebox の以下の機能が有効化されています:
- Mobile VPN with SSL
- Access Portal
Mobile VPN with SSL 設定では、TCP および UDP のデータ チャンネルを構成できます。データ チャンネル設定は、Access Portal ポートに影響を与えます。
TCP データ チャンネル
Mobile VPN with SSL 設定では、データ チャンネルの設定が TCP に設定されている場合、Access Portal ポートの設定は指定したポートに変更され構成できなくなります。たとえば、データ チャンネルで TCP 444 を指定した場合、Access Portal ポートは 444 に変更され構成できなくなります。
以下のメッセージが Access Portal 構成に表示されます:
UDP データ チャンネル
Mobile VPN with SSL 設定では、UDP でデータ チャンネル設定が構成されている場合、Access Portal ポート設定は変更されず、構成できます。
たとえば、データ チャンネルで UDP 444 が構成されている場合、Access Portal ではポート 444 およびほかのポートも指定できます。WatchGuard SSLVPN ポリシーには、以下の UDP ポートおよび TCP ポートが含まれます:
この例では、Firebox の以下の機能が有効化されています:
- サーバー モードにおける TLS 経由の BOVPN
- Access Portal
TCP データ チャンネル
TCP で TLS 経由の BOVPN のデータ チャンネル設定が構成されている場合、443 以外のポートは指定できません。Access Portal ポートは 443 のままで、構成できません。
以下のメッセージが Access Portal 構成に表示されます:
UDP データ チャンネル
UDP で TLS 経由の BOVPN のデータ チャンネル設定が構成されている場合、443 以外のポートが指定できます。Access Portal ポートは 443 のままで、構成できません。
たとえば、UDP 444 で TLS 経由の BOVPN のデータ チャンネルが構成されている場合、WatchGuard SSLVPN ポリシーには、次のように UDP 444 および TCP 443 が含まれます:
この例では、Firebox の以下の機能が有効化されています:
- サーバー モードの TLS 経由の BOVPN
- Mobile VPN with SSL
Mobile VPN with SSL 設定では、Firebox の IP アドレス、ネットワーキング方法、仮想 IP アドレス プール、VPN リソース、データ チャンネル、構成チャンネル認証、暗号化、タイマーは構成することができません。
TCP データ チャンネル
TCP で TLS 経由の BOVPN のデータ チャンネル設定が構成されている場合、443 以外のポートは指定できません。構成チャンネル ポートは 443 であるため、構成できません。
Mobile VPN with SSL 構成に以下のメッセージが表示されます:
UDP データ チャンネル
TLS 経由の BOVPN サーバー モード構成では、UDP でデータ チャンネル設定が構成されている場合、443 以外のポートを指定できます。
Mobile VPN with SSL 構成では、データ チャンネルは TLS 経由の BOVPN で指定したポートに変更され、構成できません。構成チャンネルは 443 のままであるため、構成できません。
たとえば、TLS 経由の BOVPN のデータ チャンネルが UDP 444 で構成されている場合:
- Mobile VPN with SSL のデータ チャンネルは 444 に変更され、構成できません。
- 構成チャンネルは 443 のままであるため、構成できません。
この例では、Firebox の以下の機能が有効化されています:
- ハブ デバイス上の SSL 経由の管理トンネル
- サーバー モードにおける TLS 経由の BOVPN
以下の TLS 経由の BOVPN の設定は構成できません:
- Firebox IP アドレス
- 仮想 IP アドレス プール
- データ チャンネル プロトコルとポート
- 再ネゴシエート データ チャンネル
以下のメッセージが TLS 経由の BOVPN に表示されます。
この例では、Firebox の以下の機能が有効化されています:
- ハブ デバイス上の SSL 経由の管理トンネル
- Mobile VPN with SSL
以下の Mobile VPN with SSL の設定は、構成できません:
- Firebox IP アドレス
- ネットワーキング方法
- 仮想 IP アドレス プール
- VPN リソース
- データ チャンネル
- 構成チャンネル
次のメッセージが Mobile VPN with SSL に表示されます:
この例では、Firebox の以下の機能が有効化されています:
- ハブ デバイス上の SSL 経由の管理トンネル
- Access Portal
Access Portal ポート設定は構成できません。