...

Barracuda SSL VPN

by user

on
Category: Documents
159

views

Report

Comments

Transcript

Barracuda SSL VPN
バラクーダネットワークスジャパン株式会社
Barracuda SSL VPN
日本語セットアップガイド
2015 年 3 月
ファームウェアバージョン 2.6.0.2
本文書の内容は予告なく変更される場合があります。
本文書の内容の無断転載はできません。
Copyright (c)Barracuda Networks Japan, Inc. All Rights Reserved.
改版履歴
日付
ファームウェア
変更箇所
2010 年 1 月 21 日
1.6.0.022
初版
2010 年 3 月 2 日
1.6.0.031
ワンタイムパスワードの設定方法を追記
2010 年 3 月 25 日
1.6.0.033
ファームウェア更新時の注意点を追加
ネットワークコネクターの設定の誤植を訂正
2010 年 4 月 15 日
1.6.0.034
SSL 証明書のインストール方法を追加
2010 年 7 月 5 日
1.7.2.008
SSL 証明書のインストール方法を修正。
中間証明書が発行された場合の SSL 証明書のアップ
ロード方法を追加
SSL VPN GUI の日本語表記の登録方法を変更
2010 年 7 月 22 日
1.7.2.010
問い合わせ先内容の変更
2010 年 7 月 28 日
1.7.2.010
パスベースリバースプロキシの設定方法を追加
2010 年 10 月 28 日
1.7.0.010
自動バックアップと設定のリストアの方法を追加
2010 年 11 月 30 日
1.7.0.010
クライアント認証の設定方法を追加
2011 年 1 月 17 日
2.0.1.021
文書名を「簡易設定マニュアル」から「日本語セット
アップガイド」に名称変更
ファームウェア更新による改版
SSL 証明書の設定の誤植を修正
WEB フォワードのパスベースリバースプロキシとホ
ストベースリバースプロキシの設定方法を追加
ネットワークコネクタースタンドアロンクライアント
の設定方法を追加
クライアント証明書の設定方法を設定
スケジュールレポートの設定方法を追加
2011 年 2 月 10 日
2.0.1.021
ハイアベイラビリティの設定を追加
2011 年 3 月 7 日
2.0.1.021
HA を設定する前の事前確認に、ネットワークコネク
ターのスタンドアロンクライアントが利用できない点
を追加
2011 年 4 月 11 日
2.0.1.026
Vx エディションに関する注意点を記載追加
2011 年 6 月 3 日
2.0.1.026
ネットワークプレースのドライブマップの自動化を追
加
2011 年 6 月 21 日
2.0.1.026
ネットワークコネクターの設定の誤植を訂正
2011 年 6 月 27 日
2.0.1.026
JCE のダウンロード先 URL を変更
2011 年 8 月 26 日
2.1.2.241
ホストベースリバースプロキシの設定方法と Direct
URL の説明を追加
2
IPSec VPN と PPTP の設定方法を追加
2011 年 10 月 25 日
2.1.2.241
ポリシーの種類を追加
2012 年 3 月19日
2.2
ファームウェア 2.2 の画面に変更
誤植を修正
2012 年 11 月 21 日
2.2.2.203
クライアント MAC アドレス認証の設定方法を追加
2013 年 2 月 6 日
2.3.2.116
ファイアウォールのポート開放に IPSec/PPTP アクセ
スを追加
LDAP ポートアクセスを追加
2014 年 6 月 13 日
2.5.1.1
ファームウェア 2.5.1.2 の画面に変更
構築シナリオの追加
2014 年 6 月 27 日
2.5.1.2
サポートトンネル追記
2014 年 8 月 22 日
2.6.0.2
ファイアウォール開放ポートの変更
ネットワークコネクターの修正
2015 年 3 月 23 日
2.6.0.2
Vx 版でのネットワークコネクター利用の制限を追記
3
内容
1
本書の目的................................................................................................................................. 7
2
Barracuda SSL VPN 導入前の既存システムの変更点 .......................................................................... 8
2.1
ファイアーウォールポートの開放 ............................................................................................ 8
2.2
バラクーダアップデートサーバへのポリシー定義更新 .................................................................. 9
2.3
HTTP 通信にプロキシサーバを利用する場合の注意点 .................................................................. 9
3
Barracuda SSL VPN の必須要件 .................................................................................................... 9
3.1
Barracuda SSL VPN クライアントの必須要件 ........................................................................... 9
3.2
Barracuda SSL VPN のシステム構成例 ................................................................................... 10
4
Barracuda SSL VPN の初期セットアップ ........................................................................................ 10
4.1
初期セットアップに必要なもの .............................................................................................. 10
4.2
物理的な導入 ..................................................................................................................... 11
4.3
電源投入 ........................................................................................................................... 11
4.4
コンソール画面から IP アドレスの設定 .................................................................................... 11
5
GUI の種類と説明....................................................................................................................... 13
6
アプライアンス GUI の基本設定 .................................................................................................... 14
6.1
ログイン方法 ..................................................................................................................... 14
6.2
アクティベーション ............................................................................................................ 14
6.3
IP 設定 ............................................................................................................................. 17
6.3.1
ドメイン設定 ................................................................................................................. 17
6.3.2
Web プロキシサーバ設定(オプション) ............................................................................. 17
6.4
管理設定 ........................................................................................................................... 18
6.4.1
メール通知 .................................................................................................................... 19
6.4.2
時間 ............................................................................................................................. 19
6.5
ファームウェア更新 ............................................................................................................ 20
6.6
SSL 証明書設定 .................................................................................................................. 22
6.6.1
CSR の作成 ................................................................................................................... 22
6.6.2
証明書のアップロード ...................................................................................................... 24
7
SSL VPN GUI の初期設定 ............................................................................................................ 27
7.1
ログイン方法 ..................................................................................................................... 27
7.2
Barracuda SSL VPN アカウントのパスワード変更..................................................................... 28
7.3
SSL VPN GUI 画面の日本語化 ............................................................................................... 29
7.4
ヘルプファイルの利用 ......................................................................................................... 31
8
デフォルトユーザデータベースの設定 ............................................................................................. 31
9
SSL VPN GUI 設定のフロー ......................................................................................................... 33
10
アカウントの登録 ....................................................................................................................... 34
4
10.1
ローカルデータベース認証 .................................................................................................... 34
10.2
グループの作成(任意)....................................................................................................... 35
10.3
Active Directory 認証 ......................................................................................................... 37
11
ポリシーの作成 .......................................................................................................................... 40
11.1
ポリシー作成の例 ............................................................................................................... 40
11.2
ローカルデータベースのポリシー作成 ..................................................................................... 41
12
社内リソースの設定 .................................................................................................................... 42
13
Web フォワード......................................................................................................................... 43
13.1
Barracuda SSL VPN エージェント ......................................................................................... 44
13.2
ブラウザのポップアップ許可 ................................................................................................. 44
13.3
事前定義済みの Web フォワード ............................................................................................ 44
13.4
トンネルプロキシ ............................................................................................................... 46
13.5
パスベースリバースプロキシ ................................................................................................. 49
13.6
リプレースメントプロキシ .................................................................................................... 51
13.7
ホストベースリバースプロキシ .............................................................................................. 53
13.8
ダイレクト URL.................................................................................................................. 57
14
ネットワークプレース ................................................................................................................. 58
14.1
Web GUI ベースのネットワークプレース................................................................................. 58
14.2
ドライブマッピング ............................................................................................................ 61
15
アプリケーション ....................................................................................................................... 64
15.1
リモートデスクトップ(Windows RDP Client) ....................................................................... 65
15.2
PuTTY SSH....................................................................................................................... 67
16
ネットワークコネクター .............................................................................................................. 71
16.1
DHCP アドレスの準備 ......................................................................................................... 71
16.2
ネットワークコネクターの設定 .............................................................................................. 72
16.3
ネットワークコネクター・スタンドアロンクライアントの設定 ..................................................... 81
16.3.1
Windows ネットワークコネクタークライアントのインストール ............................................ 81
16.3.2
Windows ネットワークコネクター設定のインストール ....................................................... 84
17
クライアントログイン ................................................................................................................. 87
18
IPsec VPN の設定 ...................................................................................................................... 88
19
PPTP の設定.............................................................................................................................. 89
20
レポートの作成 .......................................................................................................................... 91
21
スケジュールレポート ................................................................................................................. 92
22
SMTP 設定 ................................................................................................................................ 92
22.1
メールアドレス設定 ............................................................................................................ 93
22.2
スケジュールレポートの作成 ................................................................................................. 95
5
23
電源シャットダウン・リスタート................................................................................................... 96
24
トラブルシューティング .............................................................................................................. 97
24.1
Ping ................................................................................................................................ 97
24.2
Telnet .............................................................................................................................. 97
24.3
Dig/nslookup .................................................................................................................... 97
24.4
TCP dump ........................................................................................................................ 98
24.5
Traceroute ....................................................................................................................... 98
24.6
サポートトンネル ............................................................................................................... 98
25
その他の便利な設定 .................................................................................................................. 100
25.1
25.1.1
ワンタイムパスワードが発行される流れ ......................................................................... 100
25.1.2
ワンタイムパスワードの設定 ....................................................................................... 100
25.2
クライアント証明書よる認証の強化 ...................................................................................... 103
25.2.1
クライアント証明書の設定 .......................................................................................... 103
25.2.2
クライアント証明書を発行する .................................................................................... 107
25.2.3
クライアント証明書のインストール(Internet Explorer)................................................. 109
25.2.4
クライアント証明書を利用したログイン(Internet Explorer) ........................................... 110
25.2.5
クライアント証明書のインストール(Mozilla Firefox) ..................................................... 111
25.2.6
クライアント証明書を利用したログイン(Mozilla Firefox) ............................................... 113
25.3
26
ワンタイムパスワードによる認証の強化 ................................................................................ 100
特定の MAC アドレスからのみログインを許可する ................................................................... 114
クラスタリングの設定 ............................................................................................................... 117
26.1
HA を設定する前の事前確認 ................................................................................................ 117
26.2
クラスタ追加の手順 .......................................................................................................... 117
26.3
クラスタリングの設定 ....................................................................................................... 117
27
26.3.1
クラスタの設定......................................................................................................... 117
26.3.2
シンプルハイアベイラビリティの設定............................................................................ 122
26.3.3
HA マスターの切り替え .............................................................................................. 124
設定のバックアップ .................................................................................................................. 126
27.1
設定のバックアップを手動で取得する ................................................................................... 126
27.2
自動バックアップ ............................................................................................................. 128
27.3
設定のリストア ................................................................................................................ 129
28
工場出荷時の状態に戻す ............................................................................................................ 132
29
Appendix 1 ............................................................................................................................ 134
30
サポートセンター ..................................................................................................................... 143
6
1
本書の目的
本文書は、Barracuda SSL VPN アプライアンスエディションならびに Vx エディションをご利用されるお客様
に対して、必要最低限な設定方法を明記したものです。このドキュメントに従って設定を進めることで、短時間
になおかつ最適に、Barracuda SSL VPN の設定をしていただくことができます。
7
2
Barracuda SSL VPN 導入前の既存システムの変更点
2.1 ファイアーウォールポートの開放
Barracuda SSL VPN が使用するポートは以下の通りです。以下のポートが使用できるように、ファイアウォー
ルのポートを開放してください。
ポート
方向
TCP
UDP
用途
22
Out
Yes
No
リモート診断(推奨)(※)
25
Out
Yes
No
警告メールとワンタイムパスワード通知
53
Out
Yes
Yes
ドメインネームサービス(DNS)
80
Out
Yes
No
ウィルス/ファームウェア/定義ファイル更新
123
Out
No
Yes
ネットワークタイムプロトコル(NTP)
443
In/Out
Yes
No
Barracuda SSL VPN アクセス用 HTTP/SSL ポート
8000
In
Yes
No
管理者インターフェースポート(HTTP)
(※※)
8443
In
Yes
No
管理者インターフェースポート(HTTPS)(※※)
(※)リモート診断を実施する場合に必要になります。
(※※)アプライアンス管理者インターフェースポート(8000/8443-in)はインターネットからアプライア
ンスを管理する場合のみ、開放します。また、80-out が未開放の場合は 8000-out を代わりに開放してくださ
い。
Barracuda SSL VPN による IPSec 接続、PPTP 接続を利用する場合は、ファイアウォールで以下のポートを開放する必
要があります。
ポート
方向
TCP
UDP
用途
1723
In
Yes
No
PPTP アクセス(※)
500
In
No
Yes
L2TP/IPSec アクセス
4500
In
No
Yes
L2TP/IPSec アクセス
(※)PPTP 接続の場合は GRP が必要です(IP Protocol 47)。
Active Directory 連携や Barracuda SSL VPN を DMZ で設置して、内部ネットワーク上に LDAP サーバがある場合、
SSLVPN と LDAP サーバが接続できるように、ルーティング設定を確認してください。
8
2.2 バラクーダアップデートサーバへのポリシー定義更新
Barracuda SSL VPN はポリシー定義ファイル、ファームウェア更新のために、HTTP プロトコル(TCP ポート
80 番)を使用します。Barracuda SSL VPN のビルトインで定義済みのポリシーには 3 種類あり、自動更新さ
れます。
定義ファイルの種類
用途
ウィルス定義更新
リモートからの接続に対してウィルススキャンを行うための定義を更新します。
アプリケーション定義更新
使用できるアプリケーションが追加されるための定義更新を行います。
セキュリティ定義更新
Barracuda SSL VPN に対するセキュリティの更新を行います。
2.3 HTTP 通信にプロキシサーバを利用する場合の注意点
Barracuda SSL VPN の外部 HTTP 通信にプロキシサーバを経由する場合は、認証方式に基本認証を利用してく
ださい。プロキシサーバの認証方式がわからない場合は、バラクーダネットワークスのテクニカルサポートにお
問い合わせください。
3
Barracuda SSL VPN の必須要件
Barracuda SSL VPN を現行のネットワークに設置するには、原則として公開用ネットワーク(DMZ 環境な
ど)に導入し、グローバル IP アドレスを利用して、外部からアクセスが可能にする必要があります。
Barracuda SSL VPN グローバル IP アドレスを割り振るか、ファイアウォールの NAT やポートフォワーディ
ングなどの機能を利用して、クライアントが外部ネットワークから Barracuda SSL VPN にアクセスできるよ
うに、現行のシステムの設定変更をしてください。
Barracuda SSL VPN の導入は、ワンアームリバースプロキシを利用します。ブリッジ型の導入はサポートし
ておりませんのでご注意ください。
3.1 Barracuda SSL VPN クライアントの必須要件
Barracuda SSL VPN に接続するクライアントは、WEB ブラウザと Java を利用して Barracuda SSL VPN にア
クセスします。クライアントには、事前に最新版の Java をインストールしてください。
9
3.2 Barracuda SSL VPN のシステム構成例
SSLVPN 要件:
公開用ネットワークに導入し、外
部からのアクセスが可能なこと
クライアント要件:
1. WEB ブラウザが利用可能であること
2. 最新の Java がインストールされていること
ファイアウォール要件:
1. NAT やポートフォワーディングにより、
SSLVPN が外部からアクセスが可能できるよう
にする、またはグローバル IP アドレスで外部
から SSLVPN にアクセスが可能なこと
2. SSLVPN の必要なポートを開放すること
4
Barracuda SSL VPN の初期セットアップ
Barracuda SSL VPN の初期セットアップとして、コンソールからネットワーク設定を行います。
Barracuda SSL VPN Vx エディションを利用されている場合はこの章をとばして、「バラクーダ仮想アプライ
アンス初期セットアップガイド」の手順に従ってください。
4.1 初期セットアップに必要なもの
Barracuda SSL VPN アプライアンスは初期セットアップに限り、コンソールを利用します。電源を投入する前
に、以下を用意してください。

Barracuda SSL VPN 本体

AC 電源ケーブル

イーサネットケーブル

VGA モニタ

PS2 キーボード
10
4.2 物理的な導入
Barracuda SSL VPN の物理的な導入の手順は以下の通りです。
I.
Barracuda SSL VPN を 19 インチラックに設置するか、その他の安定した場所に設置します。お使いの
スイッチから Barracuda SSL VPN の背面にあるイーサネットポートにイーサネットケーブルを接続し
ます。
II.
VGA モニタ、PS2 キーボード、AC 電源ケーブルを Barracuda SSL VPN に接続します。AC 電源ケー
ブルを接続すると、直後に電源が数秒間 ON になり、その後 OFF になります。これは本体が停電時に
自動的に電源が ON の状態になるように設計されているためです。
4.3 電源投入
フロントパネルにある電源スイッチ(Power Button)を押して、電源を入れます。
4.4 コンソール画面から IP アドレスの設定
I.
デフォルト管理ユーザの ID/パスワードを利用して、コンソールにログインします。デフォルト管理ユー
ザの ID とパスワードは以下の通りです。

管理ユーザ: admin

パスワード: admin
11
II.
以下の画面が表示されるので、キーボードの下矢印キーで「TCP/IP Configuration」にカーソルを移動
させます。さらにエンターキーを押すと、画面右側のネットワーク情報の編集することができます。IP
アドレス、サブネットマスク、デフォルトゲートウェイ、DNS サーバ情報を登録し、
「Save」を選択し
て登録します。各設定はキーボードのタブキーで移動が可能です。
キーボードの Tab キーで移動が可能
III.
キーボードの下矢印キーで「Exit」を選択し、設定を終了します。これ以降は VGA モニタとキーボード
は使用しませんので、本体からはずしてもかまいません。
12
5
GUI の種類と説明
Barracuda SSL VPN は用途に合わせて、2 種類の設定画面が用意されています。

アプライアンス GUI

SSL VPN GUI
アプライアンス GUI と SSL VPN GUI の用途は以下の通りです。
GUI 名
用途
アプライアンス GUI
Barracuda SSL VPN のシステム/ネットワーク設定、ファームウェア更新、サー
http://Barracuda_Barracuda
バ用 SSL 証明書の設定、クラスタリングの設定(モデル 480 以上)などを設定
SSL VPN の IP アドレ
します。
ス:8000/
SSL VPN GUI
Barracuda SSL VPN のポリシーと接続する社内リソースやユーザを設定します。
https://Barracuda_Barracuda
SSL VPN の IP アドレス
13
6
アプライアンス GUI の基本設定
アプライアンス GUI の設定方法について説明します。
6.1 ログイン方法
初期設定が終わったら、Barracuda SSL VPN に接続可能なクライアントから WEB ブラウザを利用して以下の
URL にアクセスします。
http://Barracuda_Barracuda SSL VPN の IP アドレス:8000/
アプライアンス GUI のデフォルト管理ユーザの ID/パスワードを利用して、ログインします。デフォルト管理
ユーザの ID とパスワードは以下の通りです。

管理ユーザ: admin

パスワード: admin
6.2 アクティベーション
ファームウェアのアップデート、各種定義ファイルの更新、ソフトウェアメンテナンスのサービスを受けるには
エネルギー充填サービスに登録する必要があります。
製品登録サイトから必要事項を記入し製品登録を行ってください。ここでは製品登録の方法を記述します。
尚、製品登録にはインターネット接続が必須です。インターネット回線が有効なネットワークから製品登録を
実施してください。
Barracuda SSL VPN Vx エディションを利用されている場合は、この手順は必要ありません。この項目をと
ばして、IP 設定の項目に進んでください。
I.
アプライアンス GUI に admin アカウントでログインし、「基本設定」→「ステータス」で、
「サービスス
テータス」の項目から「製品登録するにはここをクリック」のところをクリックすると、登録用の Web
サイトに移動します。サービスステータスが「エラーコード-9」になっている場合、Barracuda SSL
VPN がインターネットに接続できないことを示します。「エラーコード -4」になっている場合、ライセ
ンスの有効期限が切れていることを示します。
14
リンクをクリック
II.
製品登録に必要な情報(お客様情報、購入販売代理店)を入力し、
「Activate」ボタンをクリックしま
す。この時点で、Barracuda SSL VPN 製品サポート期間が開始します。
シリアル番号を入力
(通常は自動的に挿入されます)
お客様情報を入力
購入元販売代理店情報を入力
チェックを入れる
「Activate」をクリック
15
III.
「Activate」ボタンをクリックすると、製品登録終了です。10 ケタの Activation Code が表示される場
合があります。Activation Code が表示されましたら、必ず控えてください。
IV.
管理画面に戻り、再度「基本設定」→「ステータス」をクリックします。
「サービスステータス」の右側
にある「更新」ボタンをクリックしてください。10 ケタの製品登録番号を入力する画面が表示される場
合は、先程控えた番号を入力します。または、ステータスにサポート期間を表示している場合は、製品
登録は正常に終了しています。
16
6.3 IP 設定
「基本設定」→「IP 設定」で必要な設定項目を説明します。
6.3.1
ドメイン設定
アプライアンス GUI に admin アカウントでログインし、
「基本設定」→「IP 設定」に進みます。TCP/IP
設定と DNS 設定が、コンソールで設定したものと同じであることを確認します。「ドメイン設定」で、
Barracuda SSL VPN に設定するデフォルトホスト名とデフォルトドメイン名を設定します。入力後、「変
更の保存」ボタンをクリックします。
6.3.2
Web プロキシサーバ設定(オプション)
Barracuda SSL VPN の外部 HTTP 接続に Web プロキシサーバを利用する場合は、プロキシサーバの設定
を行います。Barracuda SSL VPN が直接、外部 HTTP 通信ができる場合は、設定する必要はありません。
17
6.4 管理設定
「基本設定」→「管理」で必要な設定項目を説明します。
18
6.4.1
メール通知
アプライアンス GUI に admin アカウントでログインし、
「基本設定」→「管理」に進みます。バラクーダか
ら自動的に警告と通知のメールを受信するメールアドレスを設定します。Barracuda SSL VPN の管理者の
メールアドレスを入力します。入力後、
「変更の保存」 ボタンをクリックします。
6.4.2
時間
デフォルトでは Barracuda SSL VPN の時刻設定は「アメリカ: United States – Los Angeles」に設定さ
れていますので、これを「アジア: Japan – Tokyo」に変更します。設定変更すると、
「タイムゾーンを変
更は、システムの再起動が必要になります。設定を変更してよろしいですか?」というメッセージが表示さ
れますので、
「OK」をクリックしてください。Barracuda SSL VPN は自動的に再起動します。自動的に
再起動しない場合は、「システムリロード/シャットダウン」より、「リスタート」ボタンで再起動してくだ
さい。
19
6.5 ファームウェア更新
Barracuda SSL VPN の使用を開始する前に、ファームウェアを最新バージョンにアップデートをしてくださ
い。ファームウェアは、常に最新版お使いいただくことを推奨します。
ファームウェアを更新する前に、必ず定義ファイルを最新のものに更新します。アプライアンス GUI に
admin アカウントでログインし、
「高度な設定」→「エネルギー充填サービス」に進みます。
「アプリケーシ
ョン定義更新」、
「ウィルス定義更新」
、「セキュリティ定義更新」のすべての更新ボタンがグレイアウトしてい
ることを確認します。更新ボタンがグレイアウトしておらず、最新バージョンの定義ファイルが利用可能な場
合は、
「更新」ボタンをクリックし、すべての定義ファイルを最新の状態にしてください。
20
「高度な設定」→「ファームウェア更新」に進みます。
「使用中のバージョン」が「最新バージョン」よりも古
い場合は、「今すぐダウンロード」をクリックし、最新ファームウェアをダウンロードします。
ダウンロードが開始すると、ステータスが表示されます。
ダウンロードが終了すると、「今すぐ適用」ボタンが表示されるので、クリックします。Barracuda SSL VPN
は新しいファームウェアを適用し、再起動します。
21
6.6 SSL 証明書設定
Barracuda SSL VPN がデフォルトで使用する SSL 証明書は、第三者認証局から発行されたものではありませ
ん。そのため一部ブラウザに関しては、SSL VPN GUI にアクセスした際、警告メッセージが表示される場合が
あります。ここでは認証局への証明書発行のための CSR 作成と SSL 証明書のインストール方法について記述し
ます。
証明書のアップロードは、証明書発行機関により、アップロード方法が異なります。証明書のアップロードが
正常に実行できない場合は、バラクーダネットワークスのテクニカルサポートにお問い合わせください。
6.6.1
CSR の作成
アプライアンス GUI に admin アカウントでログインし、
「基本設定」→「SSL 証明書」に進みます。
「証明
書タイプ」から「信頼できる証明書(信頼できる CA による署名)
」を選択し、CSR (証明書署名要求)欄の
「データの編集」をクリックします。
証明書署名要求(CSR)を発行するための組織情報を入力し、鍵サイズ・有効期間を入力して「変更の保存」
をクリックします。
22
「CSR のダウンロード」をクリックして、CSR ファイルをダウンロードします。合わせて、
「鍵のダウンロ
ード」をクリックして、秘密鍵をダウンロードします。ボタンをクリックすると、
「組織情報が最新であるこ
とを確認してください:最初に変更の保持を実行」というダイアログボックスが表示されるので、
「OK」を
クリックします。
ダウンロードした CSR と秘密鍵を、SSL 証明書機関へ提出してください。CSR と秘密鍵は、提出後も削除
せず保存してください。
23
6.6.2
証明書のアップロード
サーバ証明書のアップロード方法について説明します。
Warning:
証明書のアップロードを利用する際は、必ずアプライアンス GUI に対してポート 8000 を利用する
アクセス(http://Barracuda_Barracuda SSL VPN の IP アドレス:8000)を利用してアップロ
ードを実施してください。ポート 8443 を利用したアクセスは利用しないでください。
サーバ証明書、中間証明書、ルート証明書を個別にアップロードし、Missing Chain の警告表示が
消えることを確認してください。
アプライアンス GUI に admin アカウントでログインし、「基本設定」→「SSL 証明書」に進みます。
「証明書タイプ」から「信頼できる証明書(信頼できる CA による署名)
」を選択します。
「参照」で作成
したファイルを選択し、「アップロード」をクリックします。
24
アップロードすると、証明書情報が表示されますので、「使用」をクリックします。
「UPDATING…Please Wait」という画面が表示されます。
25
ログイン画面が表示されたら、再度 admin アカウントでログインします。「基本設定」→「SSL 証明書」
に進みます。
「証明書タイプ」が「信頼できる証明書」に切り替わっており、アップロードした証明書ファ
イルが「In Use」になっていることを確認します。最後に「SSL 証明書の同期」で「同期」ボタンをクリ
ックして、アプライアンス GUI から SSL VPN GUI へ証明書を同期します。
ダイアログメッセージが表示されるので、「OK」をクリックします。
「同期が成功しました。Barracuda SSL VPN は再起動後、数分で起動して新しい証明書を利用しま
す。」というメッセージが表示されます。
数分後に SSL VPN GUI にログインできれば、証明書の設定は終了です
26
7
SSL VPN GUI の初期設定
SSL VPN GUI では、Barracuda SSL VPN にログインするユーザの登録や、社内リソースの登録などを行いま
す。
7.1 ログイン方法
Barracuda SSL VPN に接続可能なクライアントから、WEB ブラウザを利用して以下の URL にアクセスしま
す。
https://Barracuda_Barracuda SSL VPN の IP アドレス/
SSL VPN GUI のデフォルト管理ユーザの ID/パスワードを利用して、ログインします。デフォルト管理ユーザ
の ID とパスワードは以下の通りです。

管理ユーザ: ssladmin

パスワード: ssladmin
27
7.2 Barracuda SSL VPN アカウントのパスワード変更
SSL VPN GUI のデフォルト管理ユーザである Barracuda SSL VPN ユーザのパスワードを変更します。
ssladmin アカウントでログイン後、画面右上のプルダウンリストから「Manage Account」をクリックしま
す。
次に「ACCOUNT」→「Change Password」 をクリックし、新しいパスワードを登録します。
変更後、ログアウトして新しいパスワードでログインできることを確認してください。
28
7.3 SSL VPN GUI 画面の日本語化
SSL VPN GUI はデフォルトで英語 GUI のみが利用可能です。日本語 GUI を利用したい場合は、以下の設定を
行います。
I.
SSL VPN GUI に ssladmin アカウントでログインし、画面右上のプルダウンリストで、「Global
View」が選択されていることを確認します。
II.
「Basic」→「Configuration」に進みます。
「Web Interface」の「Language Selection」
で「日本語」を「Add」ボタン追加し「Save Changes」をクリックします。
29
III.
「Default Language」で「日本語」を選択し、「Save Changes」をクリックします。
IV.
「Logoff」をクリックし、最初のログイン画面に戻り、言語選択画面で日本語 GUI が表示・選択
可能であることを確認します。
30
7.4 ヘルプファイルの利用
Barracuda SSL VPN の GUI には、設定項目に関するヘルプが利用可能です。設定で分からない項目があれば、
設定項目の右上にある「ヘルプ」ボタンでヘルプを表示して確認をしてください。
8
デフォルトユーザデータベースの設定
SSL VPN GUI の設定を開始する前に、ユーザデータベースについて説明します。
Barracuda SSL VPN には、デフォルトでユーザデータベースが3種類用意されています。
それぞれのユーザデータベースに関する説明は、以下のとおりです。
項目
設定内容
Default
デフォルトのユーザデータベースで、SSL VPN にユーザを手動登録する場
合に使用されるデータベース
Super Users
ssladmin および、その権限を持つユーザ用のデータベース
Global
すべてのユーザデータベース。デフォルトでは Default と Super Users が
Global に属します
ssladmin でログインした場合、デフォルトで表示されるデータベースは「Global」データベースとなります。
Global データベースで設定変更すると、すべてのデータベースアカウントに設定が反映されるため、デフォル
トで表示されるユーザデータベースを「Default」にすることをお勧めします。
31
ユーザデータベースを「Default」に変更する方法は以下のとおりです。
SSL VPN GUI に ssladmin アカウントでログインし、「基本」→「外観」に進みます。「デフォルトのユーザデ
ータベース選択」を「Default」に設定し「変更の保存」をクリックします。
一旦ログオフして、再度ログインします。ユーザデータベースが「Default」が選択されていることを確認しま
す。
ユーザデータベースの変更は以上で終了です。
32
9
SSL VPN GUI 設定のフロー
SSL VPN GUI の設定を開始する前に、設定内容のフローを説明します。
Barracuda SSL VPN を利用するユーザアカウントを登録します。アカウントの登
アカウント登録
録方法は、手動による登録と、LDAP などの認証データベースを利用する方法があ
ります。
アカウントをグループ化します。
グループ登録
(任意)
グループ登録は任意です。LDAP などで登録されたグループを利用することができ
ます。
アカウント・グループに対して利用可能な社内リソースを割り当てるためのポリシ
ポリシー登録
ーを作成します。
社内リソース(WEB サーバ、ファイルサーバなど)を登録します。社内リソースは
社内リソースの登録
サーバ・用途別に 4 種類が用意されています。
33
10 アカウントの登録
Barracuda SSL VPN にログインするユーザアカウント情報を登録します。アカウント認証は、外部ディレクト
リサービス (LDAP)を利用することも可能です。
利用可能なアカウント認証は以下の通りです。

ローカルデータベース認証(手動によるユーザアカウント登録)

Active Directory

LDAP

NIS

OpenLDAP
本文書では、ローカルデータベース認証と Active Directory の設定方法について説明します。その他の認証シ
ステムと連携をしたい場合は、バラクーダネットワークスのテクニカルサポートまでお問い合わせください。
10.1 ローカルデータベース認証
ローカルデータベース認証は、Barracuda SSL VPN にログインするユーザアカウントを手動で登録します。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「アクセス制御」→「アカウント」に進みま
す。
II.
以下の情報を入力し、「追加」ボタンでアカウントを追加します。
項目
設定内容
ユーザ名
Barracuda SSL VPN にログインするためのアカウント名。
フルネーム
ユーザのフルネーム。ローマ字で登録してください。
パスワード
ユーザアカウントのパスワード
E メール
ユーザのメールアドレス。設定は任意ですが、ワンタイムパスワードを利用する場
合は、ワンタイムパスワードを受信するメールアドレスを登録します。
34
III.
正常にユーザアカウントが作成できると、「アカウント」 の一覧に作成したユーザアカウントが
表示されます。
10.2 グループの作成(任意)
ローカルユーザデータベースに登録したユーザをグループ化したい場合は、グループの登録を行います。グルー
プ化を行うことで、ユーザアカウントが多数ある場合、後述のポリシー管理が容易になります。この設定は必須
ではありません。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「アクセス制御」→「グループ」に進みま
す。
35
II.
グループ名を登録し、そのグループに所属させるアカウントを入力します。アカウント名は途中
で候補が表示されます。「追加」ボタンでアカウントを選択し、「追加」ボタンで登録します。
III.
正常にグループが作成できると、
「グループ」 の一覧に作成したグループが表示されます。
36
10.3 Active Directory 認証
Active Directory の LDAP データベースを利用して、ユーザ認証を行います。SSL VPN GUI で LDAP データベ
ースを登録します。
SSL VPN GUI に ssladmin アカウントでログインし、「アクセス管理」→「ユーザデータベース」
に進みます。
I.
「Active Directory」タブをクリックします。
II.
以下の情報を入力し、「追加」ボタンでアカウントを追加します。
項目
設定内容
名称
識別名を入力します。
ドメインコントローラのホスト名
ドメインコントローラのホスト名、または IP アドレスを入力
します。
ドメイン
ドメイン名
サービスアカウント名
administrator などのドメインコントローラの管理者アカウン
トを入力します。
サービスアカウントのパスワード
サービスアカウントに対するパスワードを入力します。
37
III.
正常に Active Directory が追加できると、「ユーザデータベース」 の一覧に作成した Active
Directory が表示されます。
IV.
(任意)ユーザデータベースとして Active Directory 認証のみを利用する場合は、ローカルデー
タベース認証を無効化することができます。Active Directory の「詳細」リンクをクリックし、
「デフォルトの設定」を選択します。
V.
「基本」→「外観」に進みます。
「ユーザデータベース」の「デフォルトのユーザデータベース選
択」を、登録したアクティブディレクトリ名を選択し、「変更の保存」をクリックします。
38
VI.
SSL VPN GUI の右上のあるユーザデータベースのプルダウンリストから「Global View」を選択
して、ユーザデータベースを切り替えます。
Global ユーザデータベース画面で、「アクセス制御」→「ユーザデータベース」に進みます。ユー
ザデータベースの中から、
「Default」リンクの右側にある「無効化」リンクをクリックします。
VII. Default ユーザデータベースが無効化されます。これで設定は終了です。次回から SSL VPN にロ
グインするときは、デフォルトで Active Directory のユーザデータベースが使用されます。
39
11 ポリシーの作成
ユーザアカウント・グループを作成後、ポリシーを作成します Barracuda SSL VPN では、それぞれのアカウン
ト・グループに対して、どの社内リソースへのアクセスを利用させるかを紐づけるために利用します。
11.1 ポリシー作成の例
ポリシーとユーザアカウント、社内リソースの紐づけの例は以下の通りです。
用途
派遣社員向け
ポリシー名
tmp_team
アクセス
ポリシーに所属する
ポリシーに所属する
アクセスを許可する
ユーザアカウント
グループ(任意)
社内リソース
tmpuser1
社内ポータルサイトのみ
tmpuser2
tmpuser3 ….
内勤営業部
sales_inside
outside1
社内ポータルサイト
outside2
ファイルサーバ
outside3 ….
技術部
外勤営業部
tech_team
tech1
社内ポータルサイト
tech2
検証用サーバ
tech3 …
ファイルサーバ
sales_outside
Outside_group
40
フルアクセス
11.2 ローカルデータベースのポリシー作成
ポリシーの作成方法を説明します。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「アクセス制御」→「ポリシー」に進み
ます。
II.
ポリシー名と、ポリシーに所属させるアカウントを入力し、
「追加」ボタンをクリックします。
III.
正常にポリシーが追加できると、
「ポリシー」 の一覧に作成したポリシーが表示されます。
IV.
ⅠからⅢを繰り返し、必要な分だけポリシーを作成します。
41
12 社内リソースの設定
社内の WEB サーバ、ファイルサーバなどを Barracuda SSL VPN に登録し、ポリシーに紐づけることで、
Barracuda SSL VPN 経由での社内アクセスを許可します。
Barracuda SSL VPN には社内リソースにアクセスするサーバの種類別に、4 つのアクセス方法が用意されてい
ます。
提供するアクセス
リモートアクセスの種類
Web フォワード
社内 Web サーバ
ネットワークプレース
FTP サーバ
ファイルサーバ
アプリケーション
リモートデスクトップ
SSH
Telnet
VNC
AS/400 etc
ネットワークコネクター
フルアクセス
スマートフォン向けアクセス
L2TP/IPSec, PPTP
42
13 Web フォワード
社内 Web サーバに対するアクセスを提供します。社内の Web サーバを登録し、ポリシーと紐づけることで、
クライアントは利用可能になります。Web フォワードは 3 つのカテゴリ、全 10 種類のアクセス方法を提供し
ます。各 Web フォワードリバースプロキシの種類・制約事項は以下の通りです。
Web フォワード
Web フォワードの
Barracuda SSL VPN
接続する Web サーバの
カテゴリ
種類
エージェントの利用
制約事項
IBM Notes
Lotus iNotes 8.5
×
-
必須要件
Lotus iNotes 用
テンプレート
Outlook Web Access 2003
×
-
Outlook Web Access
2003 用テンプレート
Outlook Web Access 2007
×
-
2007 用テンプレート
Microsoft Exchange
Outlook Web Access
Outlook Web Access
Outlook Web Access 2010
×
-
Outlook Web Access
2010 用テンプレート
Outlook Web Access 2013
×
-
Outlook Web Access
2013 用テンプレート
Microsoft Sharepoint 2007
×
-
Sharepoint2007 用
テンプレート
Microsoft Sharepoint
Microsoft Sharepoint 2010
×
-
Sharepoint2010 用
テンプレート
Microsoft Sharepoint 2013
×
-
Sharepoint2013 用
テンプレート
Citrix XenDesktop
XenDesktop 5
×
-
XenDesktop 用
テンプレート
トンネルプロキシ
○
なし
クライアントに Java が
インストールされている
こと
リプレースメント
Custom
×
あり
プロキシ
Web サーバの HTML 構
文のアンカーリンク先す
べてが絶対パスで記述さ
れていること
パスベース
×
リバースプロキシ
あり
サブディレクトリに属す
る Web サーバであるこ
と
43
ホストベース
×
あり
リバースプロキシ
ダイレクト URL
DNS サーバのレコード
を追加する必要がある
×
あり
インターネットサイトへ
のブックマークとして使
用。Barracuda SSL
VPN 経由でトラフィック
は通過しない
13.1 Barracuda SSL VPN エージェント
Barracuda SSL VPN エージェントはリバースプロキシを行う際に利用される Java アプレットです。クライア
ントは Barracuda SSL VPN エージェントと呼ばれる Java アプレットをダウンロードします。クライアント上
の Web ブラウザに組み込まれた Java アプレットが HTTP パケットを SSL 化して、Barracuda SSL VPN に送
信します。
13.2 ブラウザのポップアップ許可
すべての Web フォワード共通で、Barracuda SSL VPN 経由で Web サーバにアクセスすると、別ウィンドウ
(ポップアップウィンドウ)が開き、コンテンツを表示します。
そのため事前にブラウザのポップアップ許可設定を必ず実施してください。
13.3 事前定義済みの Web フォワード
Web フォワードには Outlook Web Access (2003, 2007, 2010, 2013) 、Sharepoint (2007, 2010, 2013)、
Lotus iNotes8.5、XenDesktop5 については事前定義済の Web フォワード用テンプレートが用意されていま
す。この 5 種類のテンプレートについては、ホスト名を指定するだけで Web フォワードの設定が可能です。
事前定義済みの Web フォワードの設定方法の例として、Outlook Web Access 2010 の設定方法を説明します。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「Web フォワード」に進みます。
II.
Web Forward の一覧から「Outlook Web Access 2010」を選択し、Web フォワード名と Outlook
Web Access のホスト名を入力し、その Web サーバへのアクセスを許可するポリシーを選択します。
44
III.
正常に Web フォワードが追加できると、「Web フォワード」 の一覧に作成したポリシーが表示され
ます。
「アクション」の「起動」をクリックして、正しく Web フォワードが起動するかどうか確認し
ます。
IV.
正しく起動すると、別ウィンドウで社内 Web サーバが開きます。ブラウザのポップアップブロックは
必ず許可設定をしてください。
V.
別ウィンドウで開いた Outlook Web Access の URL は Barracuda SSL VPN の IP アドレスまたはホ
スト名を表示します。これは正常な動作です。
http://SSLVPN の IP またはホスト名/パス名...と表示さ
れていれば、正しく Web フォワードが起動している
45
クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカットを作成され
ています。ここからワンクリックで Web サーバにアクセス可能です。
13.4 トンネルプロキシ
トンネルプロキシは Barracuda SSL VPN エージェントを利用したリバースプロキシです。クライアントは
Barracuda SSL VPN にログインし、トンネルプロキシを利用した Web サーバへのアクセスを試みると、
Barracuda SSL VPN エージェントのダウンロードを開始します。
トンネルプロキシは接続先の Web サーバの制約を受けず、もっとも導入しやすい Web フォワード形式です。
まずはトンネルプロキシの利用 Web サーバ側に制約のない限りは、トンネルプロキシを利用することを推奨し
ます。
トンネルプロキシの設定方法は、以下の通りです。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「Web フォワード」に進みます。
II.
「Web フォワードカテゴリ」の「カスタム」だけチェックを入れます。
III.
Web Forward の一覧から「トンネルプロキシ」を選択し、Web フォワード名と宛先 URL を入力
し、その Web サーバへのアクセスを許可するポリシーを選択します。
46
IV.
正常に Web フォワードが追加できると、「Web フォワード」 の一覧に作成したポリシーが表示されま
す。「アクション」の「起動」をクリックして、正しく Web フォワードが起動するかどうか確認しま
す。
V.
正しく起動すると、クライアントが Java のダウンロードを開始し、別ウィンドウで社内 Web サーバが
開きます。ブラウザのポップアップブロックは必ず許可設定をしてください。
47
VI.
別ウィンドウで開いた Web サーバの URL はローカルホスト (127.0.0.1:xxxxx) を表示します。こ
れは正常な動作です。
VII.
クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカット
を作成されています。ここからワンクリックで Web サーバにアクセス可能です。
48
13.5 パスベースリバースプロキシ
パスベースリバースプロキシは Barracuda SSL VPN エージェントを利用しないリバースプロキシです。パスベ
ースリバースプロキシを利用する場合、接続先の Web サーバの HTML コンテンツがすべてサブディレクトリ
に属する Web サーバであることが必須となります。サブディレクトリをまたぐようなディレクトリパスにコン
テンツが保存されている場合は利用することができません。
例えば、Microsoft Exchange Outlook Web Access のように、実際の Web サーバの URL が「http://IP アド
レス/owa」というようなディレクトリを指定した Web サーバで、「/owa」配下に、全 HTML コンテンツが集
約されたようなサイトで利用することができます。この場合、
「http://IP アドレス/img」や「http://IP アドレ
ス/css」といったトップパスをまたぐような Web サーバには、パスベースリバースプロキシを利用することが
できませんのでご注意ください。接続先の WEB サーバの HTML コンテンツの配置が分からない場合は、まずは
トンネルプロキシによる Web フォワードの利用をお勧めします。
パスベースリバースプロキシの設定方法は、以下の通りです。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「Web フォワード」に進みます。
II.
「Web フォワードカテゴリ」の「カスタム」だけチェックを入れます。
III.
Web Forward の一覧から「パスベースのリバースプロキシ」を選択し、Web フォワード名と宛先 URL
を入力し、その Web サーバへのアクセスを許可するポリシーを選択します。
49
IV.
正常に Web フォワードが追加できると、「Web フォワード」 の一覧に作成したポリシーが表示されま
す。「アクション」の「起動」をクリックして、正しく Web フォワードが起動するかどうか確認しま
す。
V.
正しく起動すると、別ウィンドウで社内 Web サーバが開きます。ブラウザのポップアップブロックは必
ず許可設定をしてください。
VI.
別ウィンドウで開いた Web サーバの URL は Barracuda SSL VPN の IP アドレスまたはホスト名を表
示します。これは正常な動作です。
50
VII. クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカットを
作成されています。ここからワンクリックで Web サーバにアクセス可能です。
13.6 リプレースメントプロキシ
リプレースメントプロキシは Barracuda SSL VPN エージェントを利用しないリバースプロキシです。リプレー
スメントプロキシは、接続先の Web サーバのすべてのアドレス先のリプレース(書き換え)を行うことにより、
強制的に Barracuda SSL VPN 経由でアクセスを行います。書き換えられたアドレスは実際の Web サーバにリ
ダイレクトされアクセスされます。そのためリプレースメントプロキシを利用する場合、接続先の Web サーバ
のアンカーリンクがすべて絶対パスで記述されていることが必須となります。相対パスでアンカーリンクが記述
されている Web サーバでは、書き換え時に相対パスに対する書き換えを行うため、アクセスできなくなります。
例えば JavaScript などを利用し、ポップアップウィンドウを開くようなサイトで、ポップアップ先のアドレス
が相対パスで記述されているような Web サーバに対してリプレースメントプロキシを利用することはできませ
ん。
接続先の Web サーバの HTML コンテンツの構成が分からない場合は、まずはトンネルプロキシによる Web フ
ォワードの利用をお勧めします。
51
リプレースメントプロキシの設定方法は、以下の通りです。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「Web フォワード」に進みます。
II.
「Web Forward Category」の「Custom」だけチェックを入れます。
III.
Web Forward の一覧から「リプレイスメントプロキシ」を選択し、Web フォワード名と宛先 URL を入
力し、その Web サーバへのアクセスを許可するポリシーを選択します。
IV.
正常に Web フォワードが追加できると、
「Web フォワード」 の一覧に作成したポリシーが
表示されます。
「アクション」の「起動」をクリックして、正しく Web フォワードが起動す
るかどうか確認します。
52
V.
正しく起動すると、別ウィンドウで社内 Web サーバが開きます。ブラウザのポップアップブロックは必
ず許可設定をしてください。
VI.
別ウィンドウで開いた Web サーバの URL は Barracuda SSL VPN の IP アドレスまたはホスト名を表示
します。これは正常な動作です
VII.
クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカット
を作成されています。ここからワンクリックで Web サーバにアクセス可能です。
13.7 ホストベースリバースプロキシ
パスベースリバースプロキシは Barracuda SSL VPN エージェントを利用しないリバースプロキシで、パスベー
スリバースプロキシと同じような動作を行います。しかしながら、パスベースリバースプロキシと異なり、Web
サーバのコンテンツがサブディレクトリに集約していなくても利用することができます。
ただしホストリバースプロキシを利用する場合、いくつかの前提条件があります。
 クライアントが Barracuda SSL VPN にアクセスする際、FQDN でアクセスできること(グローバル IP ア
ドレスでのアクセスは不可)
 Barracuda SSL VPN の FQDN を名前解決できる DNS サーバに対して、ホストベースリバースプロキシ用
53
の A レコードを追加する
 A レコードは「active*」というアスタリスク形式で登録すること、または Barracuda SSL VPN と同じ IP
アドレスに対してもう一つ別のレコードを追加すること

(例 1)アスタリスク形式で登録する場合。この場合、Web フォワードが起動するとアスタリスク部分は
Barracuda SSL VPN が任意の文字列を生成します。
sslvpn
IN
A
201.202.203.204
# SSL VPN の IP アドレス。クライアントが Barracuda SSL VPN にアクセスする際に利用するためのホスト名
active*
IN
A
201.202.203.204
# Web フォワード用のレコード。SSLVPN と同じ IP アドレスを指定
54
(例 2)別のホスト名で登録する場合。この場合、Web フォワードが起動すると、Web フォワード用のレコー
ドが利用されます。
sslvpn
IN
A
201.202.203.204
# SSL VPN の IP アドレス。クライアントが Barracuda SSL VPN にアクセスする際に利用するためのホスト名
hostbase IN
A
201.202.203.204
# Web フォワード用のレコード。SSLVPN と同じ IP アドレスを指定
ホストベースリバースプロキシの設定方法は、以下の通りです。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「Web フォワード」に進みます。
II.
「Web フォワードのカテゴリ」の「カスタム」にチェックを入れます。
III.
Web Forward の一覧から「ホストベースのリバースプロキシ」を選択し、Web フォワード名と宛先
URL を入力し、その Web サーバへのアクセスを許可するポリシーを選択します。
55
IV.
正常に Web フォワードが追加できると、
「Web フォワード」 の一覧に作成したポリシーが
表示されます。「アクション」の「編集」をクリックします。
V.
DNS サーバ上で Web フォワード用の別のホスト名で登録した場合、「アクティブ DNS」を「No」に設
定し、
「ホストヘッダ」に登録したレコード名を登録します。DNS サーバのレコードに「active*」とし
て登録した場合は、この手順は無視してください。
VI.
作成した Web フォワードの「アクション」の「起動」をクリックして、正しく Web フォワードが起動
するかどうか確認します。
VII. 正しく起動すると、別ウィンドウで社内 Web サーバが開きます。ブラウザのポップアップブロックは必
ず許可設定をしてください。
VIII. 別ウィンドウで開いた Web サーバの URL は Barracuda SSL VPN がランダムに割り当てたホスト名ま
たは、ホストヘッダで指定した名前を表示します。これは正常な動作です。
http://active******/...
または http://hostbase....と表示されていれば、正しく Web フォワードが起動している
56
IX.
クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカットを
作成されています。ここからワンクリックで Web サーバにアクセス可能です。
13.8 ダイレクト URL
ダイレクト URL はインターネット Web サイトへのブックマークとして利用可能です。ダイレクト URL に指定
したホストに対しては、Barracuda SSL VPN を経由せず、クライアントからそのまま Web サイトへアクセス
をします。SSL 化は実施されません。
57
14 ネットワークプレース
社内ファイルサーバと FTP サーバに対するアクセスを提供します。社内のファイルサーバまたは FTP サーバを
登録し、ポリシーと紐づけることで、クライアントは利用可能になります。
ネットワークプレースの起動方法は以下の 2 種類の設定が可能です。
ネットワークプレースの起動方法
Web GUI ベースの
Barracuda SSL VPN がファイルサーバ・FTP サーバのディレクトリ情報
ネットワークプレース
を収集し、バラクーダ独自のインターフェースでサーバの情報を展開し
ます。
ドライブマッピング
ファイルサーバ・FTP サーバをマウントし、特定のドライブ名を付けるこ
とで、クライアント上の Windows エクスプローラからアクセスが可能で
す。この際、SSLVPN エージェントを利用するため、クライアントに Java
がインストールされている必要があります。
14.1 Web GUI ベースのネットワークプレース
ここでは、Web GUI ベースでアクセスするネットワークプレースの設定方法は、以下の通りです。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「ネットワークプレース」に進みま
す。
II.
社内ファイルサーバまたは FTP サーバと宛先パスを入力し、そのサーバへのアクセスを許可するポリシ
ーを選択します。
ファイルサーバの場合:「smb://ホスト名…/」
:の形式で入力します。
FTP サーバの場合: 「ftp://ホスト名…/」:の形式で入力します。
58
III.
(任意)ファイルサーバ・FTP サーバに対するアクセスに、Barracuda SSL VPN にログ
インするユーザアカウント名とパスワードと同じものを利用する場合は、各項目の
「${ }」をクリックします。
IV.
(任意)「${ }」をクリックすると、リプレースメント変数候補が表示されますので、以下を選択してく
ださい。

ユーザ名: session:username

パスワード: session:password
59
V.
正常にネットワークプレースが追加できると、
「ネットワークプレース」 の一覧に作成したポリシーが
表示されます。ポリシーの右側の「アクション」から「起動」をクリックして、正しくネットワークプ
レースが起動するかどうか確認します。
VI.
正しく起動すると、正しく起動すると、別ウィンドウが開き、SSL VPN がファイルサーバ・FTP サーバ
の収集したディレクトリ情報を独自のインターフェースで展開します。ブラウザのポップアップブロッ
クは必ず許可設定をしてください。
VII. クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカットを
作成されています。ここからワンクリックでファイルサーバにアクセス可能です。
60
14.2 ドライブマッピング
ネットワークプレースでファイルサーバを表示させるとき、ドライブマッピング機能を利用して、クライアン
ト上の Windows エクスプローラからファイルサーバ画面を参照できる方法をご紹介します。
I.
WebGUI ベースのネットワークプレースの手順に沿って、ネットワークプレースの設定を行います。そ
の際、
「ドライブ」からネットワークドライブ用に割り当てるドライブ名を A から Z の中から選択しま
す。
61
II.
自動的にドライブマッピングさせる場合は、「リソース」→「プロファイル」に進みます。
プロファイルのロックを解除するため、
「Global View」を選択します。
III.
プロファイルの「Default」の「編集」リンクをクリックします。
62
IV.
ポップアップウィンドウが開いたら、「ログオン時に、自動開始」を「Yes」に設定し、
「変更保存」ボタ
ンをクリックします。
63
V.
これで設定は終了です。クライアントが SSL VPN にログイン時に、SSLVPN エージェントが自動起動
し、Java のダウンロードが開始し、しばらくするとタスクトレイにドライブマップが終了する通知が表
示されます。
VI.
Windows エクスプローラでネットワークドライブが正しくマッピングされていることを確認してくださ
い。
15 アプリケーション
アプリケーションでは、Barracuda SSL VPN エージェントを利用しアプリケーションモジュール Barracuda
SSL VPN からダウンロードすることで、特定のプロトコルに対する社内アクセスを提供します。
利用可能なアプリケーションは、自動更新されるアプリケーション定義に含まれており、随時追加される予定
です。
アプリケーションも Web フォワードのトンネルプロキシやドライブマッピングと同様に、SSLVPN エージェ
ントを利用するため、クライアントに Java がインストールされている必要があります。
この文書では、リモートデスクトップと、PuTTY SSH の設定を説明します。
64
15.1 リモートデスクトップ(Windows RDP Client)
Barracuda SSL VPN エージェントを利用して Windows RDP Client モジュールをダウンロードすることによ
って、社内の Windows サーバ・クライアントへの接続を許可します。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「アプリケーション」に進みます。
II.
「RDP – Microsoft RDP Client」を選択し、社内 Windows サーバ・クライアントのホスト名を入力
し、アクセスを許可するポリシーを選択します。
III.
「アプリケーション」 の一覧に作成したポリシーが表示されます。「アクション」の「起動」をクリッ
クして、正しくアプリケーションが起動するかどうか確認します。正しく起動すると、クライアントが
Barracuda SSL VPN エージェントのダウンロードが開始し、Microsoft RDP クライアントモジュールを
Barracuda SSL VPN からクライアント PC にダウンロードを開始します。
65
IV.
正しく起動すると、クライアントが Barracuda SSL VPN エージェントのダウンロードを開始し、リモ
ートでデクストップが起動します。
V.
リモートデスクトップの画面が表示されます。
66
VI.
クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカットを
作成されています。ここからワンクリックでリモートデスクトップにアクセス可能です。
15.2 PuTTY SSH
Barracuda SSL VPN エージェントを利用して PuTTY モジュールをダウンロードすることによって、社内
Unix サーバへの SSH 接続を許可します。PuTTY プログラムモジュールは、Barracuda SSL VPN からダウン
ロードするため、クライアントに事前に PuTTY をインストールする必要はありません。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「アプリケーション」に進みます。
II.
「PuTTY SSH」を選択して社内 Unix サーバとホスト名を入力し、その Unix サーバへのアクセスを許
可するポリシーを選択します。
67
III.
「アプリケーション」 の一覧に作成したポリシーが表示されます。「アクション」の「起動」をクリッ
クして、正しくアプリケーションが起動するかどうか確認します。正しく起動すると、クライアントが
Barracuda SSL VPN エージェントのダウンロードが開始し、PuTTY SSH クライアントモジュールを
Barracuda SSL VPN からクライアント PC にダウンロードを開始します。
IV.
正しく起動すると、クライアントが Barracuda SSL VPN エージェントのダウンロードを開始し、
PuTTY SSH が起動します。
68
V.
PuTTY の画面が表示されます。
69
VI.
クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカットを作成され
ています。ここからワンクリックで PuTTY SSH にアクセス可能です。
70
16 ネットワークコネクター
ネットワークコネクターは L2 フォワーディング方式を利用したアクセス方法です。クライアントには、事前に仮
想ネットワークインターフェースをインストールします。Barracuda SSL VPN は DHCP を利用してクライアント
の仮想ネットワークアダプターに、社内の IP アドレスをクライアントに割りあてることで、仮想 SSL トンネリン
グ化を実現します。これにより、社内ネットワークシステムへシームレスにアクセス可能になり、アプリケーショ
ンを問わず、全てのシステムへアクセスを許可します。
ネットワークコネクターは、Java モジュールを利用したアクセス方法と、利用しないアクセス方法(スタンドアロ
ンクライアント)の2種類が用意されています。本文書では、2種類のアクセス方法の設定について説明します。
ネットワークコネクターでの接続を行う前に、クライアントの元々の IP アドレスと Barracuda SSL VPN の IP ア
ドレスが同じセグメントでないことを確認してください。特に、192.168.0.0 など重複しやすいものに注意してく
ださい。
仮想アプライアンス(VMware)にて本機能を使用する場合は、vSwitch のプロミスキャスモードを有効にして
下さい。また、Barracuda SSL VPN に対して、専用の単一物理 NIC 及び専用の単一 vSwitch を割り当てて下さい。
複数の物理 NIC や他の仮想マシンと共有の vSwitch がある環境では動作いたしません。
また、Hyper-V 環境では本機能は利用することが出来ません。
16.1 DHCP アドレスの準備
Barracuda SSL VPN はネットワークコネクターを利用する際、Barracuda SSL VPN と同セグメントの IP アド
レスをクライアントに割り当てようとします。そのため、Barracuda SSL VPN の接続されたセグメントで利用
可能な IP アドレスを用意する必要があります。下記のネットワーク設定の場合 Barracuda SSL VPN の接続さ
れた公開用ネットワークの「192.168.200.0/24」のセグメントで利用可能な IP アドレス範囲を設定します。
割り当てる IP アドレス範囲の数は、同時接続を許可するユーザアカウント数に従って決定してください。
クライアントのネットワークコネクタ
ーの接続イメージ。SSLVPN と同セグ
メントの IP アドレスを割り当てる。
192.168.4.0/24
192.168.0.0/24
71
16.2 ネットワークコネクターの設定
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「Network Connector」に進
み、「Configure Network」をクリックします。
II.
「IP Address Range Start/End」にクライアントに対して、割り当て可能な IP アドレス範囲を設定
します。クライアントはネットワークコネクターの利用を開始すると、Barracuda SSL VPN が DHCP
機能を利用して、ここに設定した IP アドレス範囲のうちのひとつの IP アドレスをクライアントに割り
当てます。「ポリシー」を選択して、保存します。
DHCP で割り当てる IP アドレスがグローバル IP アドレスを利用していて、なおかつクライ
アントに Windows XP を利用するユーザがいる場合は、追加の設定が必要ですのでバラクー
ダネットワークスのテクニカルサポートにご連絡ください。
72
III.
警告メッセージが表示されるので、サーバの再起動を行います。「再起動」リンクをクリックします。
IV.
「再起動」ボタンをクリックし、Barracuda SSL VPN を再起動します。再起動の確認メッセージが表示
されましたら「はい」を選択します。
73
V.
再起動後、SSL VPN GUI に ssladmin アカウントでログインし、
「リソース」→「Network
Connector」に進みます。
「サーバインターフェース」の「LAN1」アイコンが緑色に表示されているの
を確認し、「クライアント設定」→「LAN1 クライアント」の「編集」をクリックします。
74
VI.
社内ネットワークに対して、「コマンド」欄に route コマンドを追加します。これは、ネットワークコネ
クターを利用したクライアントが、Barracuda SSL VPN の接続されたセグメントだけでなく、その他の
ネットワークにアクセスする場合、設定が必要です。route コマンドは、OS ごとに設定を行い、route
add コマンド、route delete コマンドをそれぞれ「アップコマンド」と「ダウンコマンド」に入力しま
す。そして「リソースカテゴリ」の「Favorites」を「追加」ボタンで追加します。これにより、クライ
アントのログイン画面のポータル画面にショートカットを作成することができます。「保存」をクリック
すると、ポップアップ画面は閉じます。
ネットワークセグメントが単一セグメントのみのフラットなネットワークを利用されている場
合は、この設定は必要ありませんので次の手順に進みます。
172.16.0.0/16
192.168.0.0/24
route コマンドを利用することで、クラ
イアントに明示的に社内ネットワーク
へのルーティングを追加する
75
VII. 「リソースカテゴリ」の「Favorites」を「追加」ボタンで追加します。これにより、クライアントのロ
グイン画面のポータル画面にショートカットを作成することができます。
「保存」をクリックすると、ポ
ップアップ画面は閉じます。
76
VIII. ネットワークコネクターを利用するクライアントに MacOS を利用するクライアントがいる場合は、
Commands に route コマンドを追加せずに別の設定を行います。
「サーバインターフェース」の「編
集」リンクをクリックします。ネットワークコネクターを利用するクライアントが WindowsOS だけの
場合はこの設定は必要ありません。
IX.
「ルーティング」の「公開ネットワーク」に Commands で設定したネットワークを CIDR で入力し、
「追加」ボタンをクリックします。「変更の保存」ボタンでポップアップウィンドウを閉じます。
77
X.
警告メッセージが表示されるので、サーバの再起動を行います。「再起動」リンクをクリックします。
XI.
「再起動」ボタンをクリックし、Barracuda SSL VPN を再起動します。再起動の確認メッセージが表示
されましたら「はい」を選択します。
XII. 再起動後、SSL VPN GUI に ssladmin アカウントでログインし、
「リソース」→「Network
Connector」に進みます。
「Server Interface」の「LAN1」アイコンが緑色に表示されているのを確
認します。これでネットワークコネクターの設定は終了です。
78
XIII. クライアントがアクセスする画面ではクライアントのログイン画面のポータル画面にショートカットを
作成されています。ここからワンクリックでネットワークコネクターでのアクセス可能です。
XIV.
正しく起動すると、クライアントが Barracuda SSL VPN エージェントのダウンロードを開始し、ネ
ットワークコネクターが起動します。
XV. Windows のユーザアカウント制御が発生した場合は、「はい」をクリックしてください。初回に限り、
コマンドプロンプトが起動します。
79
XVI. ネットワークコネクターの画面が一時的に表示されます。
XVII. ネットワークコネクターが正常に起動すると、タスクトレイにメッセージとアイコンが表示され、割り
振られた IP アドレスが表示されます。この状態で社内ネットワークへのアクセスが可能であるか、確認
してください。
80
16.3 ネットワークコネクター・スタンドアロンクライアントの設定
ネットワークコネクター・スタンドアロンクライアントは、クライアントが各自設定ファイルを事前にイン
ストールすることで、ブラウザによるアクセスを利用せず、なおかつ Java を使わない方法で利用すること
ができます。クライアントは Windows プログラムを起動することにより、ネットワークコネクターの利用
可能です。
ネットワークコネクターを利用する場合は、事前にクライアントに仮想ネットワークインターフェースプロ
グラムのインストールが必要です。クライアントへの仮想ネットワークインターフェースのインストール方
法と、ネットワークコネクターの接続方法について説明します。
16.3.1 Windows ネットワークコネクタークライアントのインストール
I.
ユーザアカウントで SSL VPN GUI にログインします。画面右のリストアイコンをクリックし、リスト表
示に切り替えます。
II.
リスト表示に切り替えると、画面右に「詳細」リンクが表示されるので、クリックして、「Windows ク
ライアントのダウンロード」を選択し、プログラムファイルをダウンロードします。
81
III.
プログラムをインストールします。ダブルクリックすると、セットアップウィザードが表示されるので、
「Next >」で次に進みます。
III.
セットアップウィザードが表示されるので、「Next >」で次に進みます。
「Next >」をクリック
IV.
License Agreement の画面が表示されますので、「I Agree」をクリックします。
「I Agree」をクリック
V.
Components の選択画面が表示されますが、デフォルトの状態で「Next >」を選択します。
「Next >」をクリック
82
VI.
プログラムをインストールするパスが表示されますが、デフォルトの状態で「Install」を選択します。
インストールが開始します。
「install」をクリック
VII. インストールのステータスが表示され、正常にインストールが完了すると「Complete」と表示されます
ので、
「Next >」をクリックします。
①「Complete」が表示される
②「Next >」をクリック
VIII. 「Finish」でインストールを終了します。Readme がテキストエディタで表示されますので、一読して
ください。
「Finish」をクリック
83
16.3.2 Windows ネットワークコネクター設定のインストール
I.
ユーザアカウントで SSL VPN GUI にログインします。画面右のリストアイコンをクリックし、リスト表
示に切り替えます。
II.
リスト表示の画面に変更するので、「詳細」リンクをクリックし、「クライアント設定ファイルのインス
トール」をクリックし、設定ファイルのインストールを実行します。
III.
Java が起動して、インストールプロセスが開始します。途中のダイアログボックスが表示される場合
は、すべて「了承」で進みます。途中の Windows のユーザアカウント制御も「はい」で進みます。イン
ストールが終了すると、「Configuration installed successfully」と表示されるので「OK」を選択し
て閉じます。
84
IV.
Barracuda SSL VPN をログオフします。
V.
お使いのパソコンから、「スタート」→「プログラム」→「Barracuda」→「Network Connector」→
「Network Connector GUI」を起動します。
VI.
タスクトレイに Network Connector のアイコンが表示されるので、右クリックを行い、「Connect」を
クリックします。
右クリックでメニューを表示
VII. ユーザ名とパスワードを入力する画面が表示されるので、GUI にログインするときと同じユーザ名・パ
スワードを入力します。
85
VIII. 正常に接続ができると、タスクトレイに IP アドレスが表示されます。
IX.
これでセットアップは終了です。次回からはⅤ~Ⅷの手順でログインすることができます。
86
17 クライアントログイン
すべての設定が終了後、ユーザアカウントで Barracuda SSL VPN にログインします。
トップページの「マイリソース」に全ての社内リソースが表示されていることを確認します。
ユーザアカウントで各リソースが利用可能であることを確認してください。各リソースはアイコンをシングルクリ
ックすることで起動することができます。
87
18 IPsec VPN の設定
Barracuda SSL VPN では、スマートフォン向けのセキュアアクセスを提供するため、Barracuda SSL VPN に IPsec
VPN と PPTP がサポートしております。ここでは IPSec VPN の設定を説明します。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「IPsec サーバ」に進みます。
「IPsec サーバの作成」をクリックします。「事前共有鍵」にシークレットキー、「IP アドレス範囲の
開始」と「IP アドレス範囲の終了」に IPsec に利用する DHCP 用の IP アドレスを設定します。必要な
ポリシーを選択し、
「追加」をクリックします。
DHCP アドレスはネットワークコネクターと異なる IP アドレス範囲を使用してください。
II.
「IPsec Server」のアイコンが緑色に表示されていれば、設定終了です。
88
19 PPTP の設定
ファームウェア 2.1 より、スマートフォン向けのセキュアアクセスを提供するため、Barracuda SSL VPN に IPsec
VPN と PPTP がサポートされました。ここでは PPTP の設定を説明します。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「リソース」→「PPTP サーバ」に進みます。
「PPTP サーバの作成」をクリックします。「
「IP アドレス範囲の開始」と「IP アドレス範囲の終
了」に PPTP に利用する DHCP 用の IP アドレスを設定します。必要なポリシーを選択し、「追加」
をクリックします。
DHCP アドレスはネットワークコネクターや IPSec VPN と異なる IP アドレス範囲を使用してくだ
さい。
II.
「PPTP Server」のアイコンが緑色に表示されていれば、設定終了です。
89
90
20 レポートの作成
Barracuda SSL VPN のアカウントログイン履歴、リソースの使用状況など、レポートで確認することができま
す。レポートの出力形式は、以下の 4 形式をサポートしています。

PDF

XML

CSV

HTML(ZIP 圧縮)
監査ログでは、Barracuda SSL VPN 上の全てのアクティビティの履歴を表示することができます。ここでは、
監査ログレポートの PDF 形式で作成する方法について説明します。
SSL VPN GUI に ssladmin アカウントでログインし、「基本」→「レポート」に進みます。レポートのタイプを
「監査ログ」を選択し、レポート出力したい日付を選択し、出力形式に「PDF」を選択し、「レポートの表示」を
クリックします。
レポートのダウンロード画面が表示されますので、クライアントにダウンロードしてください。レポートの出力
結果例は以下の通りです。
91
21 スケジュールレポート
レポートの作成をスケジュール化した場合、メールで送信されます。またスケジュールレポートを送信するユ
ーザ用のポリシーを作成する必要があります。ここでは日次で監査ログを PDF 形式にてメールで送信する方法
を説明します。
22 SMTP 設定
スケジュールレポートはメールで送信されるため、送信用のメールサーバの設定が事前に必要です。ス
ケジュールレポート送信用に利用するメールサーバのアウトバウンド設定を有効にし、Barracuda SSL
VPN からメール送信ができるように事前設定する必要があります。
I.
SSL VPN GUI に ssladmin アカウントでログインし、「基本」→「設定」に進みます。
II.
「SMTP」にメールサーバ情報を設定します。
「サーバ」の設定にメールサーバのホスト名を設定しま
す。その場合、メールはアウトバウンド送信されるため、SMTP Auth などを利用したメールサーバに対
しては、「ユーザ名」と「パスワード」に SMTP Auth 情報を追加します。
「送信者アドレス」には、レポートの送信者として表示されるメールアドレス(mail from に
なるメールアドレス)を入力します。デフォルトの「[email protected]」
を利用すると、一部の迷惑メール対策システムなどでスパム判定される場合がありますので、
有効なメールアドレスを設定されることをお勧めします。
92
22.1 メールアドレス設定
スケジュールレポートを送信するユーザのメールアドレスを設定します。
ユーザデータベースを Active Directory 連携している場合は、Active Directory に登録されたユーザの
メールアドレス宛てにスケジュールレポートが送信されます。そのためアカウントオプションでメールア
ドレスを登録する必要はありません。ここではローカルユーザデータベースを利用したユーザのメールア
ドレスの設定方法を説明します。
93
I.
SSL VPN GUI に ssladmin アカウントでログインし、「アクセス制御」→「アカウント」に進みます。ス
ケジュールレポートを送信するユーザの「編集」リンクをクリックします。ポップアップウィンドウが
開きます。
II.
「E メール」欄にユーザのメールアドレスを入力し、保存します。スケジュールレポートはこのメールア
ドレス宛てに送信されます。
III.
ポリシーの作成にしたがって、スケジュールレポートを送信するユーザのポリシーを作成します。
94
22.2 スケジュールレポートの作成
ここでは、日次で監査ログを PDF 形式で作成し、スケジュールレポートで送信する手順を説明します。
「基本設定」→「レポート」に進みます。レポートのタイプを「監査ログ」、
「日付範囲」を「今日」
、出力形式
を「PDF」に選択します。さらに「スケジュールレポート」欄にスケジュール名を入力します。レポートを送
信するポリシーを選択し、
「追加」をクリックします。
レポートが正しく作成されると、
「レポート」欄に作成したレポートが表示されます。
95
23 電源シャットダウン・リスタート
Barracuda SSL VPN の電源シャットダウン・再起動方法について説明します。
アプライアンス GUI(http://Barracuda_Barracuda SSL VPN の IP アドレス:8000/)にログインし、
「基本設定」
→「管理」に進みます。画面一番下に、
「シャットダウン」と「リスタート」ボタンがあるので、クリックするとシ
ャットダウンまたはリスタートが開始します。
96
24 トラブルシューティング
Barracuda SSL VPN のトラブルシューティングについて説明します。
アプライアンス GUI に admin アカウントでログインし、「高度な設定」→「トラブルシューティング」に進みま
す。ネットワーク接続を確認する上の、各種コマンドが用意されています。
24.1 Ping
Barracuda SSL VPN 上で Ping を実行することで対象機器とのネットワークの疎通確認を行うことができま
す。
24.2 Telnet
Barracuda SSL VPN 上で Telnet コマンドを実行できます。実サーバのポートの接続できるかを確認しること
ができます。
例)80 ポートの接続できるかを確認する場合は入力欄に下記を入力します。
<IP アドレス> 80
24.3 Dig/nslookup
Dig もしくは nslookup コマンドを Barracuda SSL VPN 上で実行することができます。Barracuda SSL VPN
が DNS を使い名前解決ができているかを確認できます。
97
24.4 TCP dump
TCP dump を実行できます。パケットの受信状況などを確認できます。
例)特定のアドレス宛てのパケットを確認する
特定のポート宛のパケットを確認する
-nX host <IP アドレス>
-nX port <ポート番号>
24.5 Traceroute
Barracuda SSL VPN 上で Traceroute を実行することができます。対象までのネットワーク経路の確認ができ
ます。
24.6 サポートトンネル
サポートトンネルを接続いただくことで、バラクーダからのリモート・サポートが可能になります。
以下の手順でサポートトンネルをオープンしてください。
8000 番ポートよりログイン
「高度な設定」をクリック
98
URL 欄の末尾に &expert=1 を追記し、メニューに現れた「エキスパート設定」をクリック
「リモートサーポートの有効化:」が「はい」になっているか確認。
「いいえ」であれば「はい」に変更後機器のリブートを行う。
トンネルのオープンは「高度な設定」→「トラブルシューティング」→「バラクーダサポートセンターへのコネクショ
ンを確立」から行ってください。
99
25 その他の便利な設定
25.1 ワンタイムパスワードによる認証の強化
ユーザアカウントログイン時に、パスワード認証と合わせて、Barracuda SSL VPN に標準搭載されているワン
タイムパスワード認証を組み合わせることで、ユーザの認証の強化を行うことができます。
Barracuda SSL VPN のワンタイムパスワードは、ログイン後にメールでワンタイムパスワードが送信され、そ
のパスワードを利用することで、Barracuda SSL VPN にログインが可能になります。
メール送信時には、Barracuda SSL VPN からメールサーバ(SMTP サーバ)を利用して、メールが送信され
ます。ワンタイムパスワードを利用されるメールサーバに対して、Barracuda SSL VPN から SMTP 送信でき
るように、事前設定をお願い致します。
25.1.1 ワンタイムパスワードが発行される流れ
本文書で紹介するワンタイムパスワード認証の流れは以下の通りです。パスワード認証後、ワンタイムパ
スワードが、携帯用メールにワンタイムパスワードが送信される流れとなります。
1. 通常のパスワード認証でログイン
3. 携帯電話のメールにワンタイムパスワードが送信
される
2. ワンタイムパスワード入力画面の表示
ワンタイムパスワード
の入力
25.1.2 ワンタイムパスワードの設定
I.
ローカルデータベース認証に従って、各アカウントに対してワンタイムパスワードを送信するメールア
ドレス(携帯用メールアドレスなど)を入力します。
100
II.
SSL VPN GUI に ssladmin アカウントでログインします。SMTP 設定に従い、メールサーバの設定を行
います。
III.
「アクセス制御」→「セキュリティ設定」に進みます。「OTP(ワンタイムパスワード)」に必要な設定
を入力し、「変更の保存」をクリックします。基本的に、デフォルトで使用することは可能ですが、必要
に応じてカスタマイズします。
IV.
「アクセス制御」→「認証スキーム」に進みます。スキーマ作成から、認証スキーム名を入力し、「パス
ワード」と「ワンタイムパスワード (セカンダリ)」を選択します。ワンタイムパスワード認証は最初に
使用することができないので、「ダウン」ボタンを利用して、2 番目に利用されるように設定する必要が
あります。ワンタイムパスワードを利用するポリシーを選択し、「追加」ボタンをクリックします。
101
V.
同画面下の「認証スキーム」から、ワンタイムパスワードを利用した認証が、最優先に利用されるよう
に、優先度を上げます。「詳細」ボタンをクリックし、「優先度を上げる」をクリックし、一番上位に移
動させます。
VI.
ワンタイムパスワード認証のみを利用する場合、デフォルトのパスワード認証を無効にします。「認証ス
キーム」の「Password」の「詳細」をクリックし、
「無効」を選択します。
102
以上で設定は終了です。これでワンタイムパスワードが発行される流れと同様に、ユーザアカウントと
パスワード認証後にワンタイムパスワードを入力する画面が表示され、メールに送信されたパスワード
を入力するとポータル画面が表示されます。
25.2 クライアント証明書よる認証の強化
Barracuda SSL VPN を利用するクライアントに対して、事前にクライアント証明書をインストールすることで、
パスワード認証だけでなく、Barracuda SSL VPN にアクセス可能なクライアント PC を制限することができま
す。例えば、会社支給以外のクライアント PC(個人用パソコン)などからの Barracuda SSL VPN へのアクセ
スを禁止するのに便利な機能です。Barracuda SSL VPN にはクライアント証明書を発行する機能が標準搭載さ
れているため、クライアント証明書認証を組み合わせることで、ユーザの認証の強化を行うことができます。
本文書では、Barracuda SSL VPN を CA にしてクライアント証明書を発行し、認証を行う手順を説明します。
25.2.1 クライアント証明書の設定
I.
SSL VPN GUI にログインし、「高度」→「SSL 証明書」に進みます。「CA(認証局)の作成」をクリッ
クします。別ウィンドウが開きます。
103
II.
CA を設定するための画面が表示されます。必要事項を記述し、最後にキーサイズのビット長、有効期限
を選択し「作成」ボタンをクリックします。ここではビット長 2024 ビット、有効期限を 3 年で設定し
た例となります。
III.
CA が作成されると、別ウィンドウが閉じますので、CA が作成されていることを確認します。
IV.
「アクセス制御」→「セキュリティ設定」に進みます。「クライアント証明書」の「証明書受諾」
をクリックし、「変更保存」をクリックします。必要に合わせて、その他の設定を入力します。
104
V.
設定変更後、再起動を促す画面が表示されますので、
「はい」をクリックします。
VI.
再起動後、再度 ssladmin アカウントでログインし、
「アクセスコントロール」→「認証スキーマ」
に進みます。スキーマ作成から、
「パスワード」と「クライアント証明書」を選択します。クライ
アント証明書を「下へ」ボタンを利用して、2 番目に利用されるように設定します。ワンタイムパ
スワードを利用するポリシーを選択し、
「追加」ボタンをクリックします。
105
VII. 同画面下の「認証スキーム」から、クライアント証明書を利用した認証が、最優先に利用されるよ
うに、優先度を上げます。
「詳細」ボタンをクリックし、「優先度を上げる」をクリックし、一番上
位に移動させます。
VIII. クライアント証明書認証のみを利用する場合、デフォルトのパスワード認証を無効にします。
「認
証スキーム」の「Password」の「詳細」をクリックし、「無効」を選択します。
106
IX.
以上で設定は終了です。
25.2.2 クライアント証明書を発行する
クライアント証明書の設定の終了後、ユーザ毎にクライアント証明書を発行します。Barracuda SSL VPN か
ら発行されたクライアント証明書は、ユーザが利用するブラウザにインポートしてください。
I.
Barracuda SSL VPN に ssladmin アカウントでログインします。
「アクセスコントロール」→「ア
カウント」画面に進みます。クライアント証明書を発行するユーザの「さらに..」リンクをクリッ
クし、
「証明書作成」をクリックします。
107
II.
「証明書の作成」の画面が表示されるので、クライアント証明書用のパスワードを設定します。
「追加」ボタンでクライアント証明書のパスワードを作成します。
III.
クライアント証明書が zip 形式でダウンロードできるので、デスクトップ上に保存します。「閉じ
る」ボタンで元の画面に戻ります。
IV.
zip 形式のファイルを解凍すると、
「SSL VPN Client Certificate」というディレクトリが作成さ
れています。その中に、クライアント証明書のファイルが p12 形式で保存されています。これで
クライアント証明書の発行は終了です。
108
25.2.3 クライアント証明書のインストール(Internet Explorer)
発行されたクライアント証明書を特定のクライアントに対してインストールを行います。ここでは、Internet
Explorer にクライアント証明書をインストールする方法を説明します。
I.
クライアント証明書を発行するクライアントマシン上で、発行されたクライアント証明書をダブル
クリックします。証明書インポートウィザードが開始しますので、
「次へ」で進みます。
II.
インポートする証明書ファイルに、ダブルクリックしたファイル名が選択されていることを確認し、
「次へ」で進みます。
III.
秘密キーのパスワードを設定します。クライアント証明書を発行する際に設定したパスワードを入力
し、「次へ」で進みます。
109
IV.
証明書ストアはそのまま「次へ」で進みます。
V.
「完了」ボタンでウィザードを終了します。
25.2.4 クライアント証明書を利用したログイン(Internet Explorer)
Internet Explorer にクライアント証明書をインストール後、Barracuda SSL VPN にログインする方法を説
明します。クライアント証明書を利用したログインを行う前に認証スキーマの統一の設定を事前に行うこと
をお勧めします。ここでは、認証スキーマの統一の設定の実施後のログイン遷移をご紹介します。
110
I.
Barracuda SSL VPN に Internet Explorer アクセスします。
「デジタル署名の選択」画面が表示され
る場合、Barracuda SSL VPN CA から提供された証明書を選択します。
II.
まずはユーザ名とパスワードでログインします。
III.
これでユーザのポータル画面が表示され、ログインは成功です。
25.2.5 クライアント証明書のインストール(Mozilla Firefox)
発行されたクライアント証明書を特定のクライアントに対してインストールを行います。ここでは、Mozilla
Firefox にクライアント証明書をインストールする方法を説明します。
I.
Firefox を起動し、「ツール」→「オプション」を選択します。「詳細」タブの中の「証明書」タブを
選択し、「証明書を表示」をクリックします。
II.
「あなたの証明書」タブの「インポート」ボタンをクリックします。
111
III.
ダウンロードしたクライアント証明書を選択します。
IV.
証明書のパスワードを設定します。クライアント証明書を発行する際に設定したパスワードを入力
し、「OK」で進みます。
V.
証明書がインストールされると、
「証明書と秘密鍵が正常に復元されました」と表示されます。
112
VI.
「証明書マネージャ」の画面にクライアント証明書が表示されていれば、インストールの終了です。
「OK」ボタンで画面を閉じ、Firefox を再起動してください。
25.2.6 クライアント証明書を利用したログイン(Mozilla Firefox)
Mozilla Firefox にクライアント証明書をインストール後、Barracuda SSL VPN にログインする方法を説明し
ます。クライアント証明書を利用したログインを行う前に認証スキーマの統一の設定を事前に行うことをお勧
めします。ここでは、認証スキーマの統一の設定の実施後のログイン遷移をご紹介します。
I.
Barracuda SSL VPN に Firefox でアクセスします。
「個人証明書の要求」画面が表示される場合、
Barracuda SSL VPN CA から提供された証明書を選択します。
113
II.
まずはユーザ名とパスワードでログインします。
III.
これでユーザのポータル画面が表示され、ログインは成功です。
25.3 特定の MAC アドレスからのみログインを許可する
NAC (Network Access Control) 機能を利用することにより、クライアントのログイン時に、特定のクライア
ントの MAC アドレスからのみ接続を許可することが可能です。
MAC アドレス認証を利用する場合は、Barracuda SSL VPN エージェントを利用します
I.
SSL VPN GUI にログインし、「アクセス管理」→「NAC 例外」に進みます。
「名称」にルール名、「適用先」にルールを適用させるアカウントまたはグループ、ポリシーを選択
し、タイプから「MAC アドレス」
、サブタイプ/式に MAC アドレスを「xx-xx-xx-xx-xx-xx」の
形式で入力し、「許可と続行」を選択して、「追加」ボタンをクリックシます。MAC アドレスごとに
ルールを追加します。
114
II.
「アクセス管理」→「NAC」に進みます。「エージェントチェックの開始」を「はい」に設
定し、
「Login from any MAC Address」を「拒否」に設定します。
115
III.
以上で設定は終了です。MAC アドレス認証を利用する場合は、必ず ssladmin ユーザがロ
グインできるようにルールを作成してください。
116
26 クラスタリングの設定
クラスタリング機能は、ロードバランサを利用せずに複数の Barracuda SSL VPN をクラスタ化し、フェールオー
バーさせることができます。クラスタ間の設定は同期されます。Barracuda SSL VPN のクラスタリング機能は「ア
クティブ-スタンドバイ」型のクラスタリングとなり、バーチャル IP アドレスを設定することで、アクティブ機が
利用できない場合はスタンバイ機にフェールオーバーさせます。
ここではシンプルハイアベイラビリティ(HA)の設定方法について記述します。
26.1 HA を設定する前の事前確認
HA を設定する前に、以下の確認をお願いします。

HA はモデル 480 以上で対応

HA を設定する機器が同モデルであること

TCP/UDP ポートが利用可能なこと(ファイアーウォールポートの開放を参照)

ファームウェアバージョンがクラスタ間で同じバージョンを利用していること(アプライアンス
GUI の「高度な設定」→「ファームウェア」
)。ファームウェアの異なる機器間の HA はサポートさ
れていません。

タスク管理画面で他のプロセスが実行されていないこと(アプライアンス GUI の「高度な設定」→
「タスク管理」)

HA を構成する機器同士の通信が可能なこと(ping による疎通確認など)
26.2 クラスタ追加の手順
クラスタ間の設定を同期させるために、以下の手順で追加します。例えば設定済みの Barracuda SSL VPN
(Barracuda SSL VPN_A)と、未設定状態の Barracuda SSL VPN(Barracuda SSL VPN_B)がある場合、
追加の手順は Barracuda SSL VPN_B の機器に Barracuda SSL VPN_A を追加してください。つまりクラス
タに追加される側の機器の設定は、クラスタ追加後、上書きされ過去の設定が消えてしまいますのでご注意く
ださい。
26.3 クラスタリングの設定
26.3.1 クラスタの設定
複数の機器間のクラスタリングを設定します。
117
すでに設定済みの機器(Barracuda SSL VPN_A)の Barracuda SSL VPN のアプライアンス GUI に admin
アカウントでログインします。「高度な設定」→「クラスタリング」に進みます。「クラスタ共有鍵」にクラス
タシステムを同期させるためのパスワードを設定します。パスワードはスタンバイ機でも利用するため、忘れ
ないようにしてください。
「変更保存」で設定を保存します。画面のリロードが開始します。
画面のリロードが開始されます。リロードのバーが最後まで到達したら、再度 http://IP アドレス:8000/に
アクセスし、admin アカウントでログインします。
118
次に未設定状態の機器(Barracuda SSL VPN_B)のの Barracuda SSL VPN のアプライアンス GUI に
admin アカウントでログインします。「高度な設定」→「クラスタリング」に進み、同様にクラスタ共有鍵
を設定します。Barracuda SSL VPN_A と同じパスワードを設定してください。
両機器のクラスタ共有鍵の設定が終わりましたら、未設定状態の機器(Barracuda SSL VPN_B)のアプ
ライアンス GUI に admin アカウントでログインします。
「高度な設定」→「クラスタリング」に進みま
す。
「クラスタシステム」に設定済みの機器(Barracuda SSL VPN_A)の IP アドレスを登録し「クラスタシス
テムに追加」をクリックします。
119
警告の画面が表示されるので、「OK」をクリックします。
追加後、しばらくしてから画面をリロードしてください。「クラスタシステム」にクラスタが構成された機
器の IP アドレスが表示されます。モードが「有効」になっていて、「同期の遅延」が著しく遅延していない
ことを確認します
120
上記画面のように Barracuda SSL VPN_B でクラスタリングが正しく設定されていることを確認できたら、
同様に Barracuda SSL VPN_A のクラスタリング設定を確認します。「高度な設定」→「クラスタリング」
に進み「クラスタシステム」で同様に、モードが「有効」になっていて、
「同期の遅延」が著しく遅延して
いないことを確認してください。
次に、Barracuda SSL VPN_B の SSLVPN GUI に ssladmin アカウントでログインします。「ステータス」
画面に「設定は変更されました。 この設定を有効にするには、サーバを再起動する必要があります。」とい
う警告メッセージが表示されますので、
「再起動」リンクをクリックし、SSLVPN GUI の再起動を行いま
す。
同様に、Barracuda SSL VPN_A の SSLVPN GUI に ssladmin アカウントでログインします。
「ステータ
ス」画面に「設定は変更されました。 この設定を有効にするには、サーバを再起動する必要があります。
」
という警告メッセージが表示されている場合は、「再起動」リンクをクリックし、SSLVPN GUI の再起動を
行います。
121
以上でクラスタの設定は終了です。
26.3.2 シンプルハイアベイラビリティの設定
クラスタリングを構成するとシンプルハイアベイラビリティを利用することができ、2 台の Barracuda SSL
VPN をアクティブ-スタンバイとして構成することができます。Barracuda SSL VPN に対する全てのコネク
ションは、HA マスターであるアクティブ機に接続されます。2 台の Barracuda SSL VPN に対して、仮想
IP アドレスを設定することで、アクティブ機がダウンした時には、自動的にスタンバイ切替わり、アクティ
ブ機が復旧すると、自動的に HA マスターに切替わります。
クライアントは仮想 IP アドレスとして設定したアドレスにアクセスします。
ここでは Barracuda SSL VPN_A がアクティブ機になることを想定し、設定方法を記述します。
Barracuda SSL VPN_A のアプライアンス GUI に admin アカウントでログインします。「高度な設定」→
「クラスタリング」に進みます。
「シンプルハイアベイラビリティ」に VIP として利用する IP アドレスを設
定し、
「追加」ボタンをクリックします。
仮想 IP アドレスを追加後、画面をリロードすると、
「Barracuda SSL VPN は現在ハイアベイラビリティ
(HA) マスターです。」と表示されます。
122
仮想 IP アドレスから SSL VPN GUI に接続が可能なことを確認したら、Barracuda SSL VPN_B のアプライ
アンス GUI に admin アカウントでログインします。
「高度な設定」→「クラスタリング」に進みます。シン
プ HA(高可用性)に「システムを HA マスタにする」のボタンが表示されていることを確認します。
次に Barracuda SSL VPN_B の SSLVPN GUI に ssladmin アカウントでログインします。「ステータス」画
面に「設定は変更されました。 この設定を有効にするには、サーバを再起動する必要があります。
」という
警告メッセージが表示されますので、「再起動」リンクをクリックし、SSLVPN GUI の再起動を行います。
同様に、Barracuda SSL VPN_A の SSLVPN GUI に ssladmin アカウントでログインします。
「ステータ
ス」画面に「設定は変更されました。 この設定を有効にするには、サーバを再起動する必要があります。
」
という警告メッセージが表示されている場合は、「再起動」リンクをクリックし、SSLVPN GUI の再起動を
行います。
123
これで、設定は終了です。
仮想 IP アドレスから SSL VPN GUI にアクセスが可能であるかどうか、確認してください。
26.3.3 HA マスターの切り替え
シンプルハイアベイラビリティを構成すると、アクティブ機の通信疎通ができない場合は自動的にスタンバ
イ機側にフェールオーバーします。またアクティブ機が復旧した場合、自動的にフェールバックが行われま
す。
HA マスターを手動で切り替えることも可能です。ここではアクティブ機である Barracuda SSL VPN_A か
らスタンバイ機の Barracuda SSL VPN_B へ手動で切り替える方法について記述します。
Barracuda SSL VPN_B のアプライアンス GUI に admin アカウントでログインします。「高度な設定」→
「クラスタリング」に進みます。
「HA マスターになる」ボタンをクリックします。
警告メッセージが表示されますので、「OK」をクリックします。
124
「更新に成功しました」というメッセージが表示され、HA マスターになる構成が開始します。
さらに画面をリロードし、HA マスターの切り替えが終わると、「Barracuda SSL VPN は現在ハイアベイ
ラビリティ (HA) マスターです。
」と表示されます。
Barracuda SSL VPN_A のアプライアンス GUI に admin アカウントでログインします。「高度な設定」→
「クラスタリング」に進みます。シンプルハイアベイラビリティで「HA マスター」ボタンが表示されてい
れば、切り替えが正しく行われています。
これでハイアベイラビリティの手動による切り替えは終了です。
125
27 設定のバックアップ
27.1 設定のバックアップを手動で取得する
Barracuda SSL VPN の設定後には、設定のバックアップを取得することを強く推奨します。設定のバックアッ
プファイルには以下の情報が含まれませんのでご注意ください。

IP アドレス

サブネットマスク

デフォルトゲートウェイ

DNS サーバ

admin アカウントのパスワード

タイムゾーン情報
バックアップの取得手順は以下の通りです。
I.
アプライアンス GUI(http://Barracuda_Barracuda SSL VPN の IP アドレス:8000/)にログイン
し、「高度な設定」→「バックアップ」に進みます。手動バックアップで、「今すぐバックアップ」ボタ
ンをクリックします。
126
II.
送信先より「ローカル」を選択し、コンポーネントでは「設定」と「SSL VPN 設定/ログ」にチェッ
クを入れます。「今すぐバックアップ」をクリックして設定ファイルを生成します。
III.
設定のバックアップがクライアント上に保存できます。「保存」ボタンで任意のフォルダに保存し、大
切に保管してください。
127
27.2 自動バックアップ
FTP サーバまたはファイルサーバ(SMB/Windows 共有)を利用することによって、定期的にバックアップフ
ァイルを作成し、指定したサーバに保存することができます。
バックアップの取得スケジュールは日次・週次から選択することが可能です。
「高度な設定」→「バックアップ」の「バックアップ先の設定」でバックアップ先である FTP または SMB
(Windows 共有)を選択し、必要事項を設定します。
「スケジュール済みバックアップ」でバックアップ先スケ
ジュールに必要事項を設定し、「変更保存」ボタンをクリックします。
各設定は以下の通りです。
設定
選択項目
128
サーバタイプ
ポート
FTP
バックアップ先を FTP サーバまたはファイルサー
SMB(Windows 共有)
バのいずれかを設定します。
-
各サーバで利用するポートを指定します。デフォル
トで以下のように設定されます。
FTP サーバ: 21
SMB(Windows 共有): 445
ユーザ名
-
各サーバにアクセスに必要なユーザ名とパスワー
ドを設定します。認証が必要ない場合は空欄で構い
パスワード
ません
フォルダ/パス
-
保存先にフォルダ/パスを指定します。
FTP サーバの場合: パスを指定します。
(例)/home/public
ファイルサーバの場合:フォルダ名を指定します
(例)public
自動バックアップ設定
アプライアンス設定
アプライアンス GUI の設定のバックアップを取得
します。
バックアップの開始時間とスケジュール(日次・週
次)を設定します。
Barracuda SSL VPN 設定
SSL VPN GUI の設定のバックアップを取得します。
バックアップの開始時間とスケジュール(日次・週
次)を設定します。
バックアップファイルの
-
バックアップを保持する世代を設定します。デフォ
保持数
ルトでは 5 世代のバックカップを指定先のサーバ
に保存します。
27.3 設定のリストア
バックアップファイルから設定のリストアを行う場合の手順を説明します。
設定のリストアをする場合、バックアップを取得したファームウェアと同ファームウェアにリストアを実施する
ことをお勧めいたします。ここでは工場出荷状態の機器に対して、設定をリストアする方法を説明します。
I.
工場出荷状態の機器に対して、Barracuda SSL VPN の初期セットアップからファームウェア更新まで
を行います。
II.
アプライアンス GUI に admin アカウントでログインし、「高度な設定」→「バックアップ」に進みま
す
129
III.
「バックアップファイルのリストア」から設定のバックアップで取得したバックアップファイルを「参
照」をクリックし、バックアップデータをアップロードします。
IV.
バックアップファイルが正常にダウンロードされるとメッセージが表示されますので、
「終了」をクリ
ックしてメッセージを閉じます。
V.
正しいバックアップファイルの場合、「今すぐリストア」ボタンが表示されるのでこのボタンを押しま
す。バックアップファイルが適用されると、Barracuda SSL VPN は再起動が開始します。
VI.
クラスタ構成の場合はリストア出来ません。そのため、一度クラスタ構成を解除してからリストアした
のち、再度クラスタ構成を設定してください。
130
VII. バックアップファイルの適用時、しばらく待ち、再起動が終了すると、通常のログイン画面が表示され
ます。
VIII. アプライアンス GUI と SSL VPN GUI にログインし、双方の設定が正しくリストアされていることを
確認します。
131
28 工場出荷時の状態に戻す
Barracuda SSL VPN は場合によって工場出荷時の状態に戻すことができます。ただし、この作業を行うと設定
内容、ファームウェア、定義ファイルの情報などすべての情報が失われますのでご注意ください。またこの作業
を行う前に設定のバックアップをあらかじめ取得することをお勧めします。
工場出荷状態に戻す場合、コンソールからの作業が必要です。以下を Barracuda SSL VPN に接続します。

VGA モニタ

PS2 キーボード
I.
工場出荷時状態にするにはシステムを再起動します。再起動の手順については、電源シャットダウン・
リスタートをご参照ください。
II.
再起動後、コンソールの起動中の下記画面で「Recovery」を選択します(下記画面は起動時に 3 秒程
度しか表示されません)。
III.
「Recovery」を選択すると Barracuda SSL VPN はリカバリモードで起動します。起動が完了すると
下記の画面になりますので、2) Full Barracuda Recovery (all data lost) を選択します。これですべ
ての設定、データが失われます。リカバリが完了したら「5. Exit」を選択して終了してください。機
器の再起動が開始します。
132
IV.
以上で作業は完了です。これですべての設定、データは削除されました。再度設定などを行う場合には
ファームウェアも初期状態に戻るため、必ずアップデートしてください。
133
29 Appendix 1
Barracuda SSL-VPN のリモートアクセスで次のような構成を作成してみましょう。
1.
Active Directory によるユーザ認証
2.
Active Directory のグループに基づいたリソース公開範囲設定
3.
NAC(MAC アドレス認証)
Active Directory によるユーザ認証
「アクセス制御」>「ユーザデータベース」
「ActiveDirectory」タブをクリックして Active Directory 情報を入力して「追加」ボタンをクリック
134
ユーザデータベースに先ほど作成した AD 情報がリストされるので、右側の「詳細」をクリックして「同
期」を選択します。
「アクセス制御」>「アカウント」にアクセスして AD のユーザ情報が反映されていることを確認します。
「アクセス制御」>「グループ」にアクセスして AD のグループ情報が反映されていることを確認します。
135
データベース毎にアクセスポリシー等を定義できるので、例えばドメインが複数あり、AD サーバを複数台
登録した場合は、ログイン時にデータベースをプルダウンで選択頂く必要があります。
Active Directory のグループに基づいたリソース公開範囲設定
先ほど作成した「ユーザ」と「グループ」を組み合わせて「ポリシー」を作成します。
「アクセス制御」>「ポリシー」にアクセス
136
「名前」に作成するポリシー名を入力します。
「アカウント」と「グループ」は先ほど、AD サーバから同期した情報を使用します。
文字を入力するとリストが表示されますので選択し、必要な情報を「追加」します。
選択済みアカウントに選択した內容が反映されていることを確認し、
「追加」します。
137
正常に追加されると下段の「ポリシー」部分にリストされます。
作成した「ポリシー」は「リソース」タブで作成するリソースオブジェクトでの公開範囲定義に利用しま
す。
また、SSL-VPN サイトへのログインアクセスに関しても組織単位(OU)で絞ることも可能です。
「アクセス制御」>「ユーザデータベース」にアクセスし、下段の先ほど登録した Active Directory の「編
集」をクリックします。
138
組織単位(OU)とは AD のドメインは以下の組織単位(OU)の部分となります。
ポップアップしてひらいたメニューの中に「OU フィルタ」という項目があるのでこの中の
「OU(組織単位)フィルタの追加」
:
選択したユーザ DB で基本アクセスを拒否とし、選択した OU フィルタのユーザのみを許可する
「OU(組織単位)フィルタの除外」
:
選択したユーザ DB で基本アクセスを許可とし、選択した OU フィルタのユーザのみを拒否する
で、お好きな方を選択して「追加」します。
139
NAC(MAC アドレス認証)
NAC 設定は「アクセス制御」>「NAC」にアクセスします。
ここではブラウザ種別、OS 種別などでアクセス許可・ブロックを定義出来ます。
今回は MAC アドレス認証を行いますので、同じページに下の方にアクセスし「すべての MAC アドレスか
らログイン」の部分を「ブロック」に変更して「変更の保存」をクリック
同じページの上部「NAC ルールの有効化」で「はい」を選択します。
これで、
「NAC 例外」に登録されていない MAC アドレスからのアクセスは出来ません。
「NAC 例外」でアクセス可能な MAC アドレスを登録します。
名前、タイプを「MAC アドレス」
、サブタイプに登録する MAC アドレスを入力し、アクセスでは「許可と
続行」
、適用先で「検索」をクリックして登録した MAC アドレスと AD のユーザを紐付けます。
140
アカウントで MAC アドレスと紐付けするユーザを選択して追加し「追加」ボタンでレコード登録します。
正常に登録が完了するとレコードが表示されます。
ログインすると JAVA が実行され SSL-VPN エージェントがロードされます。
141
ロードが完了すると、右下のタスクバーに SSL VPN エージェントが表示されます。
登録されている MAC アドレスの場合はアクセス画面が表示されます。
未登録の MAC アドレスでアクセスすると拒否画面が表示されます。
142
30 サポートセンター
バラクーダネットワークスのサポートページから、ナリッジベースソリューションの観閲やマニュアルをダウン
ロードすることが可能です。Barracuda SSL VPN の最新の情報についてはサポートセンターをご利用ください。
http://www.barracudanetworks.com/ns/support/
バラクーダネットワークスジャパン株式会社
http://www.barracuda.co.jp
お問い合わせ先:
〒141-0031
東京都品川区西五反田 8-3-16 西五反田8丁目ビル 5 階
E-mail: [email protected]
143
Fly UP