プロのインフラエンジニア?が、Android VPN問題をなんとかしてみた。 ④ ~ 設定&接続編 ~
インストールの話は、実行編をご参照ください。
★あらかじめ
あらかじめ断っておくのですが、このSophos-1でPPPoEをしゃべってもらってのインターネット接続は行いません。
私の環境が、ルータでPPPoEをしゃべって、ルータでDDNSの解決をして、ルータによるポートフォワーディングを行ってSophos-1へインターネットからのパケットを受け取ります。インターネットへもルータをデフォルトルートにしているノミになります。
あくまで、ルータでのL2TP/IPSecを行っている環境に、アッドオンでくっつけたUTMと考えてください。
そんなNWのお話も最後に少しします。
★では設定していきましょう
ユーザー名はadmin、パスワードは実行編で設定したものになります。
ログインすると、ダッシュボードが表示されます。
192系のプライベートアドレスのオブジェクトをつくります。サブネットと表記するのは間違いの気がする(プレフィックス長?ネットマスク??とおもう)んですが、192.168/16のネットワークに適当に名前をつけて、保存します。
10系や、172系、あるいはグローバルをお持ちの方はそちらのオブジェクトを作ってください。ウチが192系なだけです。
プロトコルは、UDPを使いました。UDPの方が早いけどTCPの方が確実です。ポートはデフォルトでは8443が使われます。443以外だとなんでもいいと思います。
DDNSを使用している方は、ホスト名の上書きのところにFDQNを入れると、クライアントプロファイルに反映されます。空白だと、その時のグローバルIPが入るようです。
IPv4アドレスの割当ては、ネットワークでの指定なので開いているネットワークを、IPv6は使わないのでリースモードをIPv4のみ、おウチのDNS情報と、暗号化・認証方式を決めてください、簡単に言えば数字が大きい方が強いです。鍵の有効期間はもちっと短くてもいいかなぁ。程度に、値を入れたら保存してください。
VPNポリシーを決めていきます。ここの書きっぷりで、ユーザごとに制御できるみたいですね。
名前を適当に入れて、許可するネットワークリソースにさっき作ったアクセスさせたいネットワークを入れていきます。
デフォルトのゲートウェイとして使用のスイッチをONにすると、クライアント側では全てのパケットがVPN経由で通るようになります。その辺もお好みかな。
ここではポリシーメンバーは入れなくてOKです。入れたら適用します。
ユーザーグループオブジェクトも作っていきます。名前を適当に入れて、ネット閲覧クオータを Unlimited Internet Access に、アクセス時間を Allowed allthe time にすると無制限です。
SSL VPNポリシーに先程作った、ポリシーを設定して、保存。
ユーザーオブジェクトも作っていきます。名前を適当に入れて、ユーザーの種類をユーザーに、パスワードをいれて、メールのところに適当なアドレスをいれて、グループを先程つくったグループ、ネット閲覧クオータを Unlimited Internet Access に、アクセス時間を Allowed allthe time にすると無制限です。
SSL VPNポリシーに先程作った、ポリシーを設定して、保存。
ちなみに、whoisで調べるとbbb.comはドメイン登録されてませんでした。(2023/11/28時点)
ちなみに、SSL VPNポリシーのポリシーメンバーには自動で登録されます。
なお、上の多要素認証のタブでアレコレ設定するとワンタイムパスワードによる認証も行えます。が、今回は取り扱いません。
最後に、VPN用のファイアウォールルールを作ります。ここで新しいファイアウォールルールをクリックしてください。
ルール名を適当に入れて、送信元ゾーンにVPN、宛先ゾーンにLANとWANを追加して、保存。
これで、設定は完了です。環境によってはまだイロイロあるかもですが、SSL VPNで設定するのはこのくらい。まぁウチでおおよそUTMとしては使わないので、必要最低限。
★クライアントを設定していきます。
作成したユーザーのユーザー名とパスワードを入力してログイン。
ログインすると、この画面が出ますので、AndroidおよびiOS向けのダウンロードをクリックすると、(なんとか).ovpnファイルがダウンロードできます。コレをどうにかして、Android に転送します。
OpenVPNのクライアントアプリをインストールします。
インストールできたら、開いて
先程転送した、(なんとか).ovpnファイルを選んでOKを押します。
Save password にチェックを入れて(ココはお好み)、作成したユーザーのID/PWをいれて、connectを押します。
成功なら緑のスイッチが出て接続完了。イロイロアクセスしてみてください。
ちなみに、LAN内のデフォルトゲートウェイで、VPNで払い出されるIPv4アドレスの割当てのネットワーク宛のネクストホップにSophosのLANポートのアドレスを設定したルーティングを書いておかないと、LAN内のリソースに繋がりません。
緑のスイッチを押してモノクロになると切断。
これで、Andorid でもリモートVPNができるようになりました!
★切っても切り離せないNWの説明
ウチの変なネットワークは、下記の記事を参照ください。今回SophosのWANを、.252のルータに接続しています。当初はLAN側に192.168.200/24を使っていたのですが、とある事情があって(結構アタマにきた)192.168.220/24をLANとして使っています。
なんでこんなことをしているかというと、1台のルータではリモートVPNとMAP-Eが両立しないからです。
まぁ、ポリシーベースルーティングとプロキシを駆使すれば、出来なくは無いんすが、プロキシ設定するの面倒だし、ルータ2台ある方が、イロイロ遊べて便利なのでこんなネットワークを組んでいます。片方壊れてもなんとかなるしね。プロキシはもう作ってあるので、ルータ片方壊れたら、やってみます。
ルーティングとポートフォワーディングを、お忘れなく。
この記事が気に入ったらサポートをしてみませんか?