見出し画像

プロのインフラエンジニア?が、Android VPN問題をなんとかしてみた。 ④ ~ 設定&接続編 ~

笛あおい。

インストールの話は、実行編をご参照ください。


★あらかじめ

あらかじめ断っておくのですが、このSophos-1でPPPoEをしゃべってもらってのインターネット接続は行いません。

私の環境が、ルータでPPPoEをしゃべって、ルータでDDNSの解決をして、ルータによるポートフォワーディングを行ってSophos-1へインターネットからのパケットを受け取ります。インターネットへもルータをデフォルトルートにしているノミになります。

あくまで、ルータでのL2TP/IPSecを行っている環境に、アッドオンでくっつけたUTMと考えてください。

そんなNWのお話も最後に少しします。

★では設定していきましょう

しゃ!

ユーザー名はadmin、パスワードは実行編で設定したものになります。

ログインすると、ダッシュボードが表示されます。

ホストとサービス → IPホスト → 追加

192系のプライベートアドレスのオブジェクトをつくります。サブネットと表記するのは間違いの気がする(プレフィックス長?ネットマスク??とおもう)んですが、192.168/16のネットワークに適当に名前をつけて、保存します。

10系や、172系、あるいはグローバルをお持ちの方はそちらのオブジェクトを作ってください。ウチが192系なだけです。

リモートアクセスVPN → SSL VPN → SSL VPN グローバル設定

プロトコルは、UDPを使いました。UDPの方が早いけどTCPの方が確実です。ポートはデフォルトでは8443が使われます。443以外だとなんでもいいと思います。

DDNSを使用している方は、ホスト名の上書きのところにFDQNを入れると、クライアントプロファイルに反映されます。空白だと、その時のグローバルIPが入るようです。

IPv4アドレスの割当ては、ネットワークでの指定なので開いているネットワークを、IPv6は使わないのでリースモードをIPv4のみ、おウチのDNS情報と、暗号化・認証方式を決めてください、簡単に言えば数字が大きい方が強いです。鍵の有効期間はもちっと短くてもいいかなぁ。程度に、値を入れたら保存してください。

リモートアクセスVPN → SSL VPN → 追加

VPNポリシーを決めていきます。ここの書きっぷりで、ユーザごとに制御できるみたいですね。

名前を適当に入れて、許可するネットワークリソースにさっき作ったアクセスさせたいネットワークを入れていきます。

デフォルトのゲートウェイとして使用のスイッチをONにすると、クライアント側では全てのパケットがVPN経由で通るようになります。その辺もお好みかな。

ここではポリシーメンバーは入れなくてOKです。入れたら適用します。

認証 → グループ → 追加

ユーザーグループオブジェクトも作っていきます。名前を適当に入れて、ネット閲覧クオータを Unlimited Internet Access に、アクセス時間を Allowed allthe time にすると無制限です。

SSL VPNポリシーに先程作った、ポリシーを設定して、保存。

認証 → ユーザー → 追加

ユーザーオブジェクトも作っていきます。名前を適当に入れて、ユーザーの種類をユーザーに、パスワードをいれて、メールのところに適当なアドレスをいれて、グループを先程つくったグループ、ネット閲覧クオータを Unlimited Internet Access に、アクセス時間を Allowed allthe time にすると無制限です。

SSL VPNポリシーに先程作った、ポリシーを設定して、保存。

ちなみに、whoisで調べるとbbb.comはドメイン登録されてませんでした。(2023/11/28時点)

ちなみに、SSL VPNポリシーのポリシーメンバーには自動で登録されます。

なお、上の多要素認証のタブでアレコレ設定するとワンタイムパスワードによる認証も行えます。が、今回は取り扱いません。

ルールとポリシー → ファイアウォールルール → ファイアウォールルールの追加

最後に、VPN用のファイアウォールルールを作ります。ここで新しいファイアウォールルールをクリックしてください。

ルール名を適当に入れて、送信元ゾーンにVPN、宛先ゾーンにLANとWANを追加して、保存。

これで、設定は完了です。環境によってはまだイロイロあるかもですが、SSL VPNで設定するのはこのくらい。まぁウチでおおよそUTMとしては使わないので、必要最低限。

★クライアントを設定していきます。

https://(LANに設定したIP)

作成したユーザーのユーザー名とパスワードを入力してログイン。

ログインすると、この画面が出ますので、AndroidおよびiOS向けのダウンロードをクリックすると、(なんとか).ovpnファイルがダウンロードできます。コレをどうにかして、Android に転送します。

OpenVPNのクライアントアプリをインストールします。

インストールできたら、開いて

Import Profile → Upload File → BROWSE

先程転送した、(なんとか).ovpnファイルを選んでOKを押します。

Save password にチェックを入れて(ココはお好み)、作成したユーザーのID/PWをいれて、connectを押します。

成功なら緑のスイッチが出て接続完了。イロイロアクセスしてみてください。

ちなみに、LAN内のデフォルトゲートウェイで、VPNで払い出されるIPv4アドレスの割当てのネットワーク宛のネクストホップにSophosのLANポートのアドレスを設定したルーティングを書いておかないと、LAN内のリソースに繋がりません。

緑のスイッチを押してモノクロになると切断。

これで、Andorid でもリモートVPNができるようになりました!

★切っても切り離せないNWの説明

ウチの変なネットワークは、下記の記事を参照ください。今回SophosのWANを、.252のルータに接続しています。当初はLAN側に192.168.200/24を使っていたのですが、とある事情があって(結構アタマにきた)192.168.220/24をLANとして使っています。

なんでこんなことをしているかというと、1台のルータではリモートVPNとMAP-Eが両立しないからです。

今はMacBook持ってない。

まぁ、ポリシーベースルーティングとプロキシを駆使すれば、出来なくは無いんすが、プロキシ設定するの面倒だし、ルータ2台ある方が、イロイロ遊べて便利なのでこんなネットワークを組んでいます。片方壊れてもなんとかなるしね。プロキシはもう作ってあるので、ルータ片方壊れたら、やってみます。

ルーティングとポートフォワーディングを、お忘れなく。

この記事が気に入ったらサポートをしてみませんか?