ステップ1:Jamf Security Cloud でカスタム IPSec ゲートウェイを作成する

Jamf Connect ドキュメント
Solution
Application
Jamf Connect
Content Type
テクニカル資料
Utilities & Services
ft:locale
ja-JP

このプロセスを使用して、Juniper ルータとの安全な接続を作成します。

Requirements

Jamf Security Cloud 特権管理者のアクセス

  1. Jamf Security Cloud で、Integrations (統合) > Access gateways (アクセスゲートウェイ) に移動します。
  2. 専用 IPSec ゲートウェイセクションの専用ゲートウェイタブで、ゲートウェイを作成をクリックします。
  3. カスタム IPSec で、ゲートウェイを作成をクリックします。
  4. 一般 (General) ペインで、以下の設定を構成します。
    1. ゲートウェイの IPSec 名 (IPSec name) を入力します。

      この名前は、アクセスポリシー内でルーティングの展開先として選択する際に使用します。

    2. IPSec ネットワークベンダー (IPSec network vendor) メニューでルーターベンダーの名前を選択します。
    3. VPN 技術担当者の連絡先の名前と E メールアドレスを入力します。
    4. 次へ (Next) をクリックします。
  5. プロビジョニング (Provisioning) ペインで、以下の設定を構成します。
    1. エグレスの地域 (Egress region) メニューを使用して、このゲートウェイをプロビジョニングするグローバル Jamf データセンターを選択します。
      Note:

      選択した地域は、通常、展開先のネットワーク機器に地理的にできるだけ近い必要があります。

    2. Jamf Security Cloud IPSec source IP addresses (Jamf Security Cloud IPSec ソース IP アドレス) で、Dynamic addressing (動的アドレッシング) を選択します。
    3. 次へ (Next) をクリックします。
  6. 接続性と認証 (Connectivity and Authentication) ペインで、以下の設定を構成します。
    1. お客様の IPSec ゲートウェイ IP アドレス (Your IPSec gateway IP address) フィールドに、ルーターの IP アドレスを入力します。
    2. Jamf Security Cloud IKE ドメイン ID (Jamf Security Cloud IKE domain ID) は、デフォルトで wpa.wandera.com に設定されます。ルーターまたはファイアウォールが IPSec ドメイン ID として完全修飾ドメイン名の使用をサポートしていない場合、デフォルト値を、プロビジョニング (Provisioning) 手順の Jamf Security Cloud Cloud IPSec ソースアウトバウンド IP アドレスの1つに置き換える必要があります。
    3. お客様の IKE ドメイン ID (Your IKE Domain ID) を入力します。

      これは、この IPSec トンネルの識別と確立に使用される固有の識別子です。jamf.mycompany.com のような値を持つ、完全修飾ドメイン名である必要があります。ルーターを構成する際は、この正確な値を使用する必要があります。

    4. シークレットを生成 (Generate secret) をクリックし、シークレットをコピー (Copy secret) を選択します。
    5. このパスワードを、パスワードマネージャのメモなど、セキュアな場所に貼り付けます。
    6. I have saved the authentication secret password (認証のシークレットパスワードを保存しました) チェックボックスを選択します。
      Note:

      共有シークレットは、将来的に変更できますが、セキュリティ上、表示することはできません。

    7. 次へ (Next) をクリックします。
  7. プロポーザルとサイファーペインで、以下の設定を構成します。
    1. 鍵交換プロトコル (Key exchange protocol)"IKEv2" に設定されていることを確認します。
    2. フェーズ1:暗号化フェーズ2:暗号化"AES-256" に設定します。
    3. フェーズ1:整合性フェーズ2:整合性"SHA-256" に設定します。
    4. フェーズ1:Diffie-Hellman グループフェーズ2:Diffie-Hellman グループ"グループ19 (ecp256)" に設定します。
    5. セキュリティアソシエーション (SA) ライフタイム (Security Association (SA) Lifetime)子セキュリティアソシエーション (SA) ライフタイム (Child Security Association (SA) Lifetime)28800 seconds に設定します。
      Note:

      所属する組織で特定の暗号化とサイファーの要件がある場合、上記の設定を適宜変更します。同様に、そちら側のトンネルを設定する際も、ルーターの設定を適宜変更します。

    6. 次へ (Next) をクリックします。
  8. 暗号化ドメイン (Encryption domain) ペインで、以下の設定を構成します。
    1. IP アドレスピッカーを使用して、Jamf Security Cloud サブネット (Jamf Security Cloud Subnet) を選択します。

      このピッカーは、使用可能な IP を RFC1918 で定義された範囲に限定するものです。

      Jamf では、192.168.233.0/24 の範囲を推奨しています。ただし、その範囲がご利用のネットワーク内の他の場所でまだ定義されていないことを前提とします。

    2. 結果として生成される 範囲内の最後の IP (ping 可能な ICMP テストアドレス) (Last IP from range (Pingable ICMP Test Address)) をメモします。

      この IP アドレスを使用して、トンネルの Jamf 側がお客様側から到達可能であることを検証できます。

    3. お客様のサブネット (Customer Subnets) フィールドに、ネットワークサブネットを CIDR 形式で入力し、追加 (Add) をクリックします。

      これらは、ネットワークサブネット (一般的に、アプリケーションサーバ) であり、リモートの Jamf Trust ユーザのデバイスがすべての Zero Trust ポリシーで許可されている場合、それらのユーザは、このゲートウェイを経由してアクセスすることができます。このゲートウェイ経由ですべての IP にアクセスできるようにするには、このフィールドを 0.0.0.0/0 に設定します。

      Note:

      暗号化ドメインとは、トンネルの両端にある IP アドレス (ネットワークサブネット) のことで、暗号化し、互いにルーティングできるようにすべきものです。これらは、それぞれ単一のホストであるか、複数のネットワークです

  9. 次へ (Next) をクリックします。
  10. 設定がすべて正しいことを確認して、保存して作成 (Save and create) をクリックします。
これで、ゲートウェイの Jamf 側に VPN ルートが作成されます。詳細を確認する場合は、専用ゲートウェイ (Dedicated gateways) タブから新しく作成されたゲートウェイの名前をクリックします。