Important:
ルータの変更に際して、Jamf は、これらの設定を注意深く、そして可能な限り本番前の環境で構成することにより、意図しないサービス中断を避けることを強く推奨します。
- Jamf Security Cloud VPN ポリシーを構成します。
- 管理者の認証情報で SonicWall ルータにログインします。
- に移動します。
- VPN Policies (VPN ポリシー) セクションで、Add (追加) をクリックします。
- General (一般) タブで、Authentication Method (認証方式) に を選択します。
- Name (名前) に、識別しやすい名前を入力します。
- IPSec プライマリゲートウェイ名またはアドレスおよび IPSec セカンダリゲートウェイ名またはアドレスを
0.0.0.0 に設定します。 - IKE Authentication (IKE 認証) の Shared Secret (共有シークレット) および Confirm Shared Secret (共有シークレットの確認) に、Jamf Security Cloud で IPSec 相互接続を構成した際に作成した事前共有鍵を貼り付けます。
- Local IKE ID (ローカル IKE ID) に Domain Name (ドメイン名) を選択し、続いて、Jamf Security Cloud で IPSec 相互接続を設定した際に指定した Customer IKE Domain ID (お客様の IKE ドメイン ID) 値を入力します。
- ピア IKE ID では、ドメイン名を選択し、続いて、
wpa.wandera.com と入力します。 - ウィンドウの上部にある Network (ネットワーク) タブをクリックします。
- Local Networks (ローカルネットワーク) で、サーバ、アプリケーション、またはワークロードが存在するサブネットを定義するアドレスオブジェクトまたはアドレスグループを選択します。
Important:
Jamf Security Cloud の IPSec 相互接続ウィザードでお客様のサブネットを 0.0.0.0/0 に設定した場合、任意のアドレスオブジェクトまたはアドレスグループを選択することができます。
それ以外の場合、Local Networks (ローカルネットワーク) で選択するネットワークは Jamf Security Cloud で定義したすべての Customer Subnet (お客様のサブネット) と一致する必要があります。
- Destination Networks (対象先ネットワーク) に Create new address object (新しいアドレスオブジェクトを作成) を選択します。
- 表示されたウィンドウで、以下を構成します。
- 名称 —Jamf 側のネットワークの名称 (例:
JamfClientIPs) です。 - Zone Assignment (ゾーンの割り当て) —一般的に、これは VPN とすべきですが、ルータの構成によっては、別のゾーンを指定する必要がある場合があります。
- タイプ —Network (ネットワーク) を選択します。
- ネットワーク —Jamf Security Cloud の Jamf Subnet (Wandera サブネット) 構成で定義したネットワークアドレスを指定します。Jamf が推奨する例は
192.168.233.0/24 ですが、この値は IPSec 相互接続の表示インフォグラフィックから取得することができます。 - ネットマスク —上記のネットワークのサブネットを Jamf Security Cloud で提出した通りに指定します。
/24 サブネットは 255.255.255.0 として表されます。
- ネットワークオブジェクトを保存し、VPN ポリシーウィンドウで Destination Network (対象先ネットワーク) として選択します。
- メニューアイテムを選択します。
- IKE (Phase 1) (IKE (フェーズ 1)) で、フィールドを以下のように構成します。
- Exchange —IKEv2 Mode (IKEv2 モード)
- DH Group (DH グループ) —Group 14 (グループ 14)
- 暗号化 —AES-256
- 認証 —SHA512
- Lifetime (Seconds) (存続時間 (秒)) —28800
- IKE (Phase 2) (IKE (フェーズ 2)) で、フィールドを以下のように構成します。
- プロトコル —ESP
- 暗号化 —AES-256
- Enable Perfect Forward Secrecy (Perfect Forward Secrecy (完全前方秘匿性) を有効にする) —はい (チェックする)
- DH Group (DH グループ) —Group 14 (グループ 14)
- Lifetime (Seconds) (存続時間 (秒)) —28800
- 画面の上部にある Advanced (詳細) タブを選択します。
- Enable Keep Alive (キープアライブを有効にする) にチェックします。
- VPN Policy Bound To (VPN ポリシーのバインド先) が (または、ファイアウォールの構成に従って、外部接続に使用されるもう一方のゾーン) に設定されていることを確認します。
- OK をクリックして VPN ポリシーを作成します。
- 表示された VPN ポリシーの Enabled (有効) ボックスにチェックします。
構成が成功した場合、Currently Active VPN (現在アクティブな VPN) トンネルセクションに、VPN ポリシーのエントリが表示されます。
- IPSec プライマリゲートウェイ名またはアドレスフィールドを
0.0.0.0 に設定した場合、受信 IKEv2サイファーを構成する必要があります。
Important:
この構成を変更すると、任意の IP アドレスから接続される既存の IKEv2 トンネルに影響を及ぼす可能性があります。固定された IP トンネルには影響しません。この変更を加える前に、その他の VPN 接続を確認してください。
- に移動します。
- IKEv2 Settings (IKEv2 設定) で、Configure (構成) をクリックします。
- 表示されたウィンドウで、Jamf Security Cloud の同等の設定と一致するように、以下の設定を構成します。
- DH Group (DH グループ) —Group 14 (グループ 14)
- 暗号化 —AES-256
- 認証 —SHA512
- OK をクリックして構成を保存します。
- アクセスルールを作成して構成する.
- に移動します。
- 追加 をクリックします。
- 表示されたウィンドウで、以下のように VPN を構成します。
- アクション —許可
- From Zone (送信元ゾーン) —VPN
- To Zone (送信先ゾーン) —LAN
- サービス —任意
- ソース —以前に作成した Jamf アドレスオブジェクト (例:
JamfClientIPs) を選択します。 - Destination (デスティネーション) —上記で定義した VPN ポリシーで構成されたネットワークアドレスオブジェクト/グループを選択します。
- Users Allowed (包含ユーザ) —すべて
- スケジュール —Always on (常に有効)
- OK をクリックして VPN ルールを保存します。
これで、セキュアな接続が作成されます。接続が確立するまで、最大 10 分かかる場合があります。
Active VPN (アクティブな VPN) トンネルセクションに VPN が表示されない場合、SonicWall インターフェイスでログを確認し、VPN でフィルタリングします。
一般的なエラーには以下があります。
-
IPSec/IKEv2 トンネルについて、Jamf と SonicOS の間でサイファーの選択に不一致がある場合。
-
「Country Restriction (国の制限)」機能を有効にしている場合、Jamf IP は Unknown (不明) として分類され、その結果、拒否される可能性があります。これを解決するには、Jamf IP アドレスオブジェクト (1 つまたは複数) を「Country and Botnet Exclusions (国およびボットネット除外)」アドレスグループオブジェクトに追加します。