リモート・アクセス・ブレードの設定
VPNビュー>リモートアクセスセクション>ブレードコントロールページでは、モバイルデバイス、ホームデスクトップ、ラップトップなどのデバイスと組織との間で、インターネットを介した安全な暗号化接続を確立することができます。
リモートアクセスVPNの場合、アプライアンス上で認証情報でユーザを設定し、特定ユーザに必要な権限を設定する必要があります。アプライアンスをインターネットからアクセスできる状態にしておく必要があります。
最初に、アプライアンスにDDNSまたは静的IPアドレスのインターネット接続を設定することを強くお勧めします。静的IPアドレスを使わない場合、お使いのインターネットサービスプロバイダによってアプライアンスのIPアドレスが異なることがあります。DDNSでは、変わる可能性のあるIPアドレスではなく、ホスト名によってリモートユーザを組織に接続させます。詳細については、デバイスビュー >システムセクション >DDNS & デバイスアクセスページ >DDNSセクションを参照してください。
DDNSを設定するには、以下を参照してください。DDNSおよびアクセス サービスの設定。
静的IPアドレスを設定するには、以下を参照してください。インターネット接続の設定。
|
注 - リモートアクセスVPNは、IPv4アドレスからの接続のみをサポートします。 |
リモートアクセスVPNを始める
-
リモートアクセスVPNブレードを有効にし、その機能を設定する
-
VPNビュー >リモートアクセスセクション>ブレードコントロールページに移動します。
-
オンを選択します。
-
必須: リモートアクセスユーザからのトラフィックを許可するを選択します。
-
オプション: リモートアクセスユーザからのトラフィックをログを選択します。
-
オプション: 2要素認証を使用した本人確認をユーザに要求するを選択します。
手順
2要素認証(多要素認証とも呼ばれる)は、システムへの不正アクセスを防止するためのセキュリティの追加レイヤです。ゲートウェイは、EメールまたはSMSでユーザにパスコードを送信し、ユーザがVPNで接続できるようにします。R81.10.07より、Google Authenticatorの使用も選択できるようになりました。
2要素認証を使用するには、リモートアクセス権限が設定されている必要があります。これは、Eメールアドレスと携帯電話番号を使用して設定します。
SMSについては、Check Point SMSプロバイダまたは外部SMSプロバイダを使用できます。お客様がパブリックSMSサーバを使用している場合は、管理者はSMTPサーバのユーザ名とパスワード、および外部サービスプロバイダのAPIを含む動的URLを提供する必要があります。
注
-
デフォルトでは、ゲートウェイはパスコードをEメールとSMSの両方で送信します。
-
L2TPとSNXは2要素認証に対応していません。
これらの接続が機能することを確認
トラフィックとファイルをブロックし、UserCheckメッセージを表示するUserCheckルールアクション。ユーザは、活動を許可することに同意することができます。するには、Gaia Clish
Gaia CLIのデフォルトのシェルで次のコマンドを実行します:
set vpn remote-access advanced allow-older-clients true
2要素認証を設定するには
-
VPNビュー>リモートアクセスセクション >ブレードコントロールページで、2ファクタ認証を使用した ID 確認をユーザに求めるを選択します。
-
[設定]をクリックします。
2要素認証設定ウィンドウが開きます。
-
該当するオプションを選択します。
注 - 認証方法はグローバル設定であり、すべてのユーザとグループ
ユーザアカウントなど、属性を共有するオブジェクトの集合体。に適用されます。
R81.10.15から、ローカルユーザとADグループの2要素認証とすべてのトラフィックをルーティングのグローバル設定を上書きするように選択できます。以下で個々のユーザ(ローカルまたはADグループ)ごとにポリシーを設定する:リモートアクセスユーザの設定ページ。
SMSとEメールの両方で受信することを選択する場合は、両方のチェックボックスをオンにします。
SMSで認証を受ける場合
-
SMSチェックボックスをオンにします。
-
Check Point SMS を使用するには、「プロバイダ サービスを使用する」を選択します。
-
[外部SMSプロバイダを使用する]を選択した場合、以下のフィールドに情報を入力します。
-
DynamicID URL
-
プロバイダユーザ名
-
プロバイダのパスワード
-
API ID
-
表示するメッセージ(オプション)。
-
Emailで認証を受ける場合
-
Eメールチェックボックスをオンにします。
-
オプション:送信するメッセージを入力します。
SMBクラウドサービス(Google Authenticatorアプリケーション)による認証を受けるには
注 - このオプションを使用するには、ユーザにリモートアクセス権限が設定されている必要があります。
-
[Google Authenticatorを使用する]チェックボックスをオンにします。
-
[保存]をクリックします。。
SMBクラウドサービスは、ユーザに設定されたEメールアドレスに、QRコードを含むEメールを送信します。
-
Google AuthenticatorアプリケーションでQRコードを読み取ります。
-
ワンタイムパスワード(OTP)が表示されます。
注 - OTPは30秒後に失効します。
-
コンピュータでVPNに接続します。ユーザ名とパスワードを入力します。
-
2回目の認証では、[レスポンス]フィールドにOTPを入力します。
-
クラウドサービスは、OTPとアプリケーションのQRコードで表されるOTPを比較します。一致すれば、VPNに接続されます。
クラウドサービスは、以下のような場合にOTPを含むQRコードを送信します。
-
新しいユーザを設定する場合。
-
新しいEメールアドレスの追加やユーザへのリモートアクセス権限の付与など、既存のユーザ情報を編集する場合。
-
管理者は、すべてのユーザがクラウド認証を使用しなければならないと決定します。
-
-
[詳細]タブの[動的ID設定]の下に、以下の内容を入力します。
-
ワンタイム パスワードを長さ
-
パスワードの期限が切れるまでの時間(分)
-
再試行の最大数
-
-
[国コード]で、デフォルトの国コードを入力します。
-
[保存]をクリックします。。
2要素認証でサインインするには
-
VPNに接続します。
-
動的IDのワンタイムパスワード(OTP)を携帯電話にSMSで送信するか、Eメールアカウントに直接送信するか、QRコードをスキャンすることでプロンプトが表示されます。
注
-
VPNの2要素認証はゲートウェイごとで、管理者ではありません。
-
2要素認証をオンにすると、すべてのVPNクライアントに対して有効になります。つまり、すべてのVPNユーザは、接続用の設定済み携帯電話番号とEメールアドレスを持っている必要があります。
-
-
オプション:R81.10.15以降では、以下のように設定します:リモートアクセスVPNブレードを有効または無効にするスケジュールを設定します。参照: リモートアクセス VPN スケジューラ。
-
オプション:R81.10.15以降では、以下のように設定します:許可/ブロック
トラフィックとファイルをブロックし、UserCheckメッセージを表示することができるUserCheckルールアクションです。リストを設定して、特定の送信元からのリモートアクセスVPNトラフィックを許可またはブロックします。参照: 特定のソースからのリモートアクセスVPNトラフィックの許可またはブロック。
-
VPNリモートアクセスユーザが経由して接続できるVPNのセクションで、該当するリモートアクセスVPNアプリケーションを選択します。
手順
サポートされているリモートアクセスVPNクライアントは以下の通りです:
-
Check Point の VPN クライアント- デスクトップまたはラップトップに VPN クライアントをインストールします。
-
モバイルクライアント - スマートフォンやタブレットに接続します (iOSまたはAndroid)。
-
SSL VPN - SSL VPNで接続する場合。WebブラウザでIPアドレスを入力します。
-
Windows VPNクライアント - L2TP。WindowsまたはmacOSの場合は、事前共有キーで接続する。方法については、接続方法をクリックします。
リモートアクセスVPNの方法を設定するには
-
希望する方法の横にあるチェックボックスを選択し、接続方法をクリックします。
[使用]ウィンドウが開きます。
-
画面上の指示に従ってください。
-
ウィンドウを閉じます。
-
[保存]をクリックします。。
-
-
ページの一番下にある保存をクリックします。
注- リモートアクセスVPNブレードがCloud Serviceで管理されている場合、ロックアイコンが表示されます。[オン]/[オフ]の切り替えはできません。ポリシー設定を変更した場合、その変更は一時的なものになります。ローカルで行った変更は、次回ゲートウェイとクラウド サービスで同期する際に上書きされます。
-
-
リモートアクセスVPNのユーザおよびユーザ グループの設定
該当する手順に従います。
新しいローカルユーザの追加
-
VPNビュー>リモートアクセスセクション >リモートアクセスユーザページに移動します。
-
[追加]をクリックします。。
新規ローカル ユーザのウィンドウが開きます。
-
フィールドに必要な情報を入力します。
注 - Eメールと電話番号フィールドはオプションです。ただし、ユーザにリモートアクセスVPN権限を与えたい場合は、リモートアクセスVPN接続時の2ファクタ認証に必要な情報となります。
-
リモートアクセス許可で、該当するオプションを選択します。
-
[保存]をクリックします。。
Active Directory / RADIUSからの新しいユーザの追加
Active DirectoryまたはRADIUSサーバを使用して、ユーザやグループを自動的に追加できます。
参照: リモートアクセス用認証サーバの設定。
定義された認証サーバの表を表示するには、VPNビュー>リモートアクセスセクション>認証サーバページを開きます。
既存のローカルユーザの設定
-
表のユーザ名をクリックして[編集]をクリックします。
ユーザ名をダブルクリックすることもできます。
-
リモート アクセス権限を選択します。
-
[OK]をクリックします。。
既存のローカルユーザ/ユーザグループの権限の設定
-
[権限の編集]をクリックします。
-
上部で該当するフィルタをクリックします。
-
ユーザをクリックしてローカルに設定したユーザを確認します。
-
Active Directoryをクリックして、Active Directoryサーバに設定されたユーザグループを確認します。
-
-
左のカラムで、該当するユーザ名/ユーザグループのチェックボックスをオンにします。
-
[保存]をクリックします。。
-
-
リモートアクセスVPNの監視
-
現在接続しているリモートユーザを確認するには、リモートアクセスVPNビュー >リモートアクセスセクション>接続リモートユーザページに移動します。
-
現在のリモートアクセスVPNトンネルを表示するには、ログとモニタリングビュー > ステータスセクション > VPNトンネルページを開きます。
-
現在接続されているリモートアクセスVPNユーザのトラフィックを確認するには、ログとモニタリングビュー > ログセクション > セキュリティログページを開きます。
注 -VPNビュー >リモートアクセスセクション>ブレードコントロールページで、リモートアクセスVPNユーザからのトラフィックをログを選択する必要があります。
-
リモートアクセス VPN スケジューラ
R81.10.15以降:リモートアクセスVPNスケジューラを使用すると、通常の営業時間など特定の時間帯のみVPNリモートアクセスを有効にするように設定できます。
VPNリモートアクセス制御ページでは、リモートアクセスセクションの下部にリモートアクセスVPNのステータスが表示されます。
-
VPNリモートアクセスが有効
-
VPN スケジューラが原因でVPNリモートアクセスが無効になっている
-
VPNリモートアクセスVPNスケジューラが設定されていない

VPNリモートアクセスコントロールページの リモートアクセスセクション:
-
利用可能なオプションをクリックします:
-
スケジューラをまだ有効にしていない場合、WebUIにはこの行が表示されます:
リモートアクセスVPNのスケジューラが設定されていない
この行の最後にある構成をクリックします。
-
すでにスケジューラを有効にしている場合、WebUIにはこの行が表示される:
現在のスケジューラの設定により、リモートアクセスVPNが非アクティブになっている。
この行のリンクスケジューラをクリックする。
リモートアクセスVPNスケジューラウィンドウが開きます。
-
-
この機能を有効にするには、リモートアクセスVPNスケジューラーのスライダーを動かします。
スライダーが緑色になります。
-
定義された時間間隔で、リモートアクセスVPNアプリケーションは、行で、該当するアクションを選択します:
-
アクティブ- 構成された時間帯および日中、リモートアクセスVPNブレードを有効にします。
-
非アクティブ(これがデフォルトです) - 構成された時間帯および日中、リモートアクセスVPNブレードを無効にします。
-
-
オプション: スケジューラーによってリモートアクセスVPNがオフにされたときにVPNユーザを切断するを選択します。
-
[新規]をクリック。
-
スケジュールを設定し、保存をクリックします:
-
開始時刻
-
終了時間
-
日後
-
-
[保存]をクリックします。。

VPNリモートアクセスコントロールページの リモートアクセスセクション:
-
リモートアクセスVPNは、現在のスケジューラ設定により非アクティブですという行で、リンク先のスケジューラをクリックします。
-
スケジュールをクリックする。
-
[編集]をクリックします。。
-
該当する設定を行い、保存をクリックします。
-
[保存]をクリックします。。

VPNリモートアクセスコントロールページの リモートアクセスセクション:
-
リモートアクセスVPNは、現在のスケジューラ設定により非アクティブですという行で、リンク先のスケジューラをクリックします。
-
スケジュールをクリックする。
-
[削除]をクリックします。。
-
[削除]をクリックします。確認します。
-
[保存]をクリックします。。
特定のソースからのリモートアクセスVPNトラフィックの許可またはブロック
R81.10.15以降では、ネットワークオブジェクト コンピュータ、IP アドレス、トラフィックプロトコルなど、企業トポロジのさまざまな部分を表す論理オブジェクト。管理者はセキュリティポリシーでこれらのオブジェクトを使用します。や更新可能オブジェクト
Microsoft 365、AWS、GEOロケーションなど、外部サービスを表すネットワークオブジェクト。(地理的位置)を含む、選択したオブジェクトからのトラフィックをブロックまたは許可することができます。

VPNリモートアクセスコントロールページの リモートアクセスセクション:
-
利用可能なオプションをクリックします:
-
許可/ブロックリストをまだ有効にしていない場合、WebUIにはこの行が表示されます:
特定のオブジェクトへのアクセスが許可されていない/ブロックされている
この行の最後にある構成をクリックします。
-
すでに許可/ブロックリストを有効にしている場合、WebUIにはこの行が表示されます:
選択されたオブジェクトからのアクセスのみが許可される
この行のリンク選択したオブジェクトをクリックします。
リモートアクセスVPN許可/ブロックリストウィンドウが開きます。
-
-
この機能を有効にするには、スライダーを動かします。リモートアクセス VPN 許可/ブロックリストが有効になります。
スライダーが緑色になります。
-
以下のソースからのトラフィックが表示される行で、該当するアクションを選択します:
-
許可(これがデフォルト) - 選択したオブジェクトからのトラフィックのみを許可し、それ以外のソースからのトラフィックをブロックする。
-
ブロック- 選択したオブジェクトからのトラフィックのみをブロックし、他のすべてのソースからのトラフィックを許可する。
-
-
+追加をクリックし、ネットワークオブジェクトまたはジオロケーションを選択します。
重要- デフォルトでは、このリストは空です。すべてのトラフィックを許可する、またはすべてのトラフィックをブロックするなど、望ましくない動作を防ぐために、該当するオブジェクトを必ず選択してください。
ジオロケーション
-
ジオロケーションをクリックします。
重要な更新可能オブジェクトウィンドウが開きます。
-
検索フィールドに該当するテキストを入力し、表示される該当する大陸と国の横にあるチェックボックスを選択します。
注- このリストで選択できるジオロケーションオブジェクトの最大数は 100 です。sk182654を参照してください。
-
[保存]をクリックします。。
ネットワークオブジェクトの場合
-
ネットワークオブジェクトをクリックします。
ネットワークオブジェクトを選択ウィンドウが開きます。
-
[新規]をクリック。
[新しいネットワーク オブジェクト]ウィンドウが開きます。
-
タイプについては、メニューからいずれかを選択します:
-
シングルIP
-
IP 範囲
-
ネットワーク
-
ワイルドカード
-
-
オブジェクトの名前を入力します。
-
ネットワークアドレスと サブネットマスクを入力します。
-
[保存]をクリックします。。
-

VPNリモートアクセスコントロールページの リモートアクセスセクション:
-
選択したオブジェクトからのアクセスのみが許可されます行で、[選択したオブジェクトリンクをクリックします。
-
リストで、削除したいオブジェクトをクリックします。
一度に選択できるオブジェクトは1つだけです。
-
ツールバーから削除をクリックします。
-
[保存]をクリックします。。
高度なオプション
デフォルトのリモートアクセスVPNポートの変更

Quantum Spark ゲートウェイのデフォルトのリモートアクセス VPN ポートは TCP 443 です。アプライアンスの WebUI を TCP ポート 443 でも動作するように設定した場合、VPNビュー >リモートアクセスセクション>ブレードコントロールページに競合メッセージが表示されます。
次のいずれかのリモートアクセスVPNクライアンを有効にした場合:
-
Check Point VPNクライアント
-
モバイルクライアント
-
SSL VPN
デフォルトのリモートアクセスVPNポートを変更する必要があります。
-
ポートの変更リンクをクリックします。
[リモートアクセスポート設定]ウィンドウが開きます。
-
[リモートアクセスポート]フィールドに、新しいポート番号を入力します。
-
ポート443番をポート転送に予約を選択します。
-
[保存]をクリックします。。
同じオフィスモードプールのリモートアクセスVPNクライアント間の接続
同じオフィスモードプールからIPアドレスを取得したリモートアクセスVPNクライアント間の接続を許可するには、以下の手順を実行します。

-
ユーザ & オブジェクトビュー > ネットワークリソースセクション > ネットワークオブジェクトページを開きます。
-
[新規]をクリックして、オフィスモードネットワークの新しいネットワークオブジェクトを作成します。
-
[タイプ]メニューで、[ネットワーク]を選択します。
-
[ネットワークアドレス]フィールドに、該当のネットワークIPアドレスを入力します。
-
[サブネットマスク]フィールドに、必要なサブネットマスクを入力します。
-
[オブジェクト名]フィールドに、名前を入力します。
例えば
OMPOOL
。 -
[保存]をクリックします。。
-
-
デバイスビュー >詳細セクション >詳細設定ページを開きます。
-
パラメータVPNリモートアクセス - バック接続の有効化を設定します。
-
上部の検索フィールドで
VPNリモートアクセス - バック接続の有効化を入力します。
-
パラメータVPNリモートアクセス - バック接続の有効化を選択し[編集]をクリックします。
-
[バック接続の有効化]オプションを選択します。
-
[保存]をクリックします。。
-
-
オフィスモードネットワーク内のコンピュータ間のトラフィックを許可するアクセスポリシールール
ルールベースにおいて、通信セッションに対して指定されたアクションを実行するためのトラフィックパラメータやその他の条件セット。を設定します。
-
アクセスポリシービュー>ファイアウォールセクション>ポリシーページを開きます。
-
着信、内部およびVPNトラフィックのセクションで、[新規]をクリックします。
-
ルールを設定します:
発信元
宛先
サービス
アクション
ログ記録
OMPOOL
OMPOOL
*Any
Accept
Log
、またはNone
-
[保存]をクリックします。。
-
-
オフィスモードネットワーク内のコンピュータ間のトラフィックでNATを無効にするNATポリシールールを設定します。
-
アクセスポリシービュー>ファイアウォールセクション>NATページに移動します。
-
[NATルール]のセクションで、[NATルールの表示]をクリックします。
-
[新規]をクリック。
-
ルールを設定します:
元のソース
元の宛先
元のサービス
変換ソース
変換宛先
変換サービス
OMPOOL
OMPOOL
*Any
*Original
*Original
*Original
-
[保存]をクリックします。。
-