AzureでBarracuda NextG Firewall(SSL-VPN編)

  • 1
    いいね
  • 0
    コメント

はじめに

前回の記事でAzure上で動く仮想アプライアンスであるNextG Firewall(以下NGFW)の構築を行いましたが、それにクライアントPCからSSL-VPN接続を行ってAzure側の仮想マシンに安全に接続を行う設定を試してみました。

今回はクライアントPC側にはBarracudaから提供されているSSL-VPNクライアントであるCudaLaunchを使います。

【宣伝】pnopバラクーダネットワークスジャパンさんのクラウドパートナーです【大事】

NGFW側のSSL-VPN設定

先ずは前回の記事の通り、Azure上にNGFWとサービス確認用のWindows Serverを準備しておきます。

VPNで使用するTCP/443の無効化

NextGenAdmin.exeを使ってNGFWに接続。「CONFIGURATION」メニューのツリーから「VPN Settings」をダブルクリックします。
image

「Unlock」ボタンをクリックして編集可能状態にしてから、「Click here for Server Settings...」をクリックします。
image

「Use port 443」の設定値を「No」に変更します。これはNGFWのデフォルトではVPN接続で利用することになっているTCP/443を解放してSSL-VPNで利用可能にするためです。
image

「Send Changes」「Activation Pending」「Activate」の順にクリックして変更を適用します。
image

認証用ユーザの追加

「CONFIGURATION」ツリーから「Authentication Service」をダブルクリックします。
image

「UnLock」をクリックして編集可能状態にしてから、「NGF Local Authentication」メニュー内の、NGF Local Schemeを「Yes」に、Methodを「NGF_Local」に設定後、「+」をクリックします。
image

追加するユーザ名とパスワードを設定して「OK]をクリックします。
image

「Send Changes」「Activation Pending」「Activate」の順にクリックして変更を適用します。
image

SSL-VPNの有効化

「CONFIGURATION」ツリーから「SSL-VPN」をダブルクリックします。
image

「UnLock」をクリックして編集可能状態にしてから、「Basic Setup」メニュー内のEnable SSL VPNを「Yes」に、Enable CudaLaunchも「Yes」にします。
Listen IPsには「127.0.0.9」を追加します。
image

つづいて「Authentication & Login」メニューから、Authentication Schemeに「NGF_Local」を指定します。
image

「Native Apps」メニューから「+」をクリックします。
image

Nameに適当な名称(SVSV01-rdp)を入力して「OK」をクリックします。
image

Visible Nameには表記する適当な名称(SVSV01-rdp)、Application Server Hostにはサービス提供用サーバのIPアドレス(10.0.1.4)、Application Protocol/Application TCP PortにはRDP/3389を入力して、「OK」をクリックします。
image

「Send Changes」「Activation Pending」「Activate」の順にクリックして変更を適用します。
image

クライアント側ソフトウェアのダウンロード

CudaLaunchというBarracuda提供のSSL-VPN接続クライアントはPC用、Andoroid用、iPhone用と各種出ているようです。
Windows 10からはストアアプリで「CudaLaunch」で検索すると出てきますので、インストールします(無料)
image

CudaLaunchによるSSL-VPN接続

CudaLaunchを起動すると、サーバのIPアドレス入力画面がまず出ますので、Azure上のNGFWのパブリックIPアドレスを入力して、「Connect」をクリックします。
image

証明書の確認画面が出るので今回は「はい」をクリックして先に進みます。
image

ユーザ名、パスワードの入力画面では先ほど追加したユーザ名・パスワードを入力して、「ログイン」をクリックします。
image

画面上部の「・・」をクリックすると「お気に入り」「アプリ」の切り替えができます。
アプリ画面に先ほど追加したNative Appsで追加したRDPのアイコンが表示されています。
image

こちらをクリックすると、SSL-VPNによる接続でNGFWを経由してSVSV01にRDPで接続することができました。
image

その他

他に「Web Apps」にSVSV01サーバ上のIISに接続させるために、以下のような設定を追加してhttp://10.0.1.4/ (SVSV01のIPアドレス)を登録することもできます。
image

image

CudaLaunch上に「Intra」というアイコンが増えます。
image

こちらをクリックすると、SSL-VPNによる接続でNGFWを経由して安全にイントラネット向けコンテンツを利用させることもできそうです。
image

おわりに

今回紹介したSSL-VPNはNGFWを導入している際に手軽にFirewall配下にあるサービスを利用できると思いました。
一般的なSite to Site VPN、Point to Site VPNとは異なるアプローチでしたが、導入もアプリケーション追加も簡単にできました。