Jamf Security Cloud で一般的な IPSec ゲートウェイ接続を構成する

企業向け Trusted Access ソリューションガイド
Solution
Application
Content Type
テクニカル資料
ソリューションガイド
Utilities & Services
ft:locale
ja-JP

ご利用のファイアウォール、ネットワークゲートウェイ、またはクラウドプロバイダベンダー向けの特定の手順が Jamf によって提供されていないが、ご利用の機器がサイト間 IPSec VPN 構成をサポートしている場合、次の構成ステップは Jamf Security Cloud 側の VPN を構成するのに役立ちます。

  1. Jamf Security Cloud で、Integrations (統合) > Access gateways (アクセスゲートウェイ) に移動します。
  2. 専用 IPSec ゲートウェイセクションの専用ゲートウェイタブで、ゲートウェイを作成をクリックします。
  3. カスタム IPSec で、ゲートウェイを作成をクリックします。
  4. General (一般) で、以下を追加します。
    • IPSec 名アクセスポリシーでこの接続に対して表示される名前です。
    • IPSec ネットワークベンダーJamf Security Cloud に接続するために使用されるネットワーク機器です。
    • VPN 技術担当者の名前相互接続ゲートウェイを展開する個人の名前です。
    • VPN 技術担当者の E メール相互接続ゲートウェイを展開する個人の E メールアドレスです。
  5. 次へをクリックします。
  6. Provisioning (プロビジョニング) で、以下を追加します。
    • エグレスの地域:Jamf Security Cloud が IPSec トンネルを開始する地域を示します。通常、これは IPSec 相互接続機器の地理的位置にできるだけ近い必要があります。
    • Jamf Security Cloud Cloud IPSec ソース IP アドレスネットワーク機器が動的アドレッシングをサポートする際の能力に基づいて、以下から選択します。
      • Dynamic Addressing (動的アドレス指定)接続は、54.220.161.57 (ゾーン A) または 18.202.42.169 (ゾーン B) などの特定の可用性ゾーンに属する IP アドレスのいずれかを送信元とします。
      • Single IP Address (単一の IP アドレス)この相互接続のために、Jamf Security Cloud からのすべての IPSec トラフィックの送信元となる単一の IP アドレスをメニューから選択して定義します。このオプションでは可用性が低くなる可能性がありますが、ネットワーク機器の能力によっては、このオプションを使用する必要があります。
  7. 次へをクリックします。
  8. 接続性と認証 (Connectivity and authentication) で、以下を実行します。
    1. IPSec ゲートウェイ IP アドレスを追加します。

      これは、Jamf Security Cloud からのインバウンド IPSec 接続をリッスンするパブリック IP アドレスです。

    2. お客様の IKE ドメイン ID (Your IKE domain ID) を追加します。

      これは、この IPSec トンネルの識別と確立に使用される固有の識別子です。通常、jamf.mycompany.com などの値を持つ、完全修飾ドメイン名である必要があります。お客様の側で VPN の構成を行う際に、この値を正確に使用する必要があります。

    3. (Optional) Jamf Security Cloud IKE ドメイン ID (Jamf Security Cloud IKE domain ID) は、デフォルトで wpa.wandera.com に設定されます。ルーターまたはファイアウォールが IPSec ドメイン ID として完全修飾ドメイン名 (FQDN) の使用をサポートしていない場合、デフォルト値を、プロビジョニング (Provisioning) 手順の Jamf Security Cloud Cloud IPSec ソースアウトバウンド IP アドレスの1つに置き換える必要があります。
    4. Generate secret (シークレットを生成) をクリックします。
    5. Copy secret (シークレットをコピー) をクリックします。

      これにより、認証シークレットのパスワードがコピーされます。これは、IPSec セキュリティアソシエーションに使用される事前共有鍵 (PSK:Pre-Shared Key) です。

    6. このパスワードを、パスワードマネージャ App にメモするなど、セキュアな場所に貼り付けます。
    7. チェックボックスを選択して、認証のシークレットパスワードの保存を確定します。
  9. 次へをクリックします。
  10. プロポーザルとサイファー (Proposals and Cyphers) で、以下を実行します。
    1. 鍵交換プロトコルを選択します (Jamf は、IKEv2を使用することで、セキュリティ、互換性、パフォーマンスを最大限に高めることを強く推奨します)。
    2. 必要に応じて、Phase 1 (フェーズ 1) および Phase 2 (フェーズ 2) の構成を変更します。

      ネゴシエーションエラーを回避するために、これらの構成をお客様側の VPN トンネル構成と正確に一致させる必要があります。

    3. 次へ をクリックします。
  11. 暗号化ドメイン (Encryption Domain) で、以下を実行します。
    1. IP アドレスピッカーを使用して、Jamf Security Cloud サブネットを定義します。

      このピッカーは、使用可能な IP を Address Allocation for Private Internets (RFC1918) (プライベートインターネットのアドレス割当 (RFC1918)) で定義されたカテゴリに限定するものです。

    2. 結果として生成される Pingable ICMP test address (ping 可能な ICMP テストアドレス) をメモしてください。

      この IP アドレスを使用して、トンネルの Jamf Security Cloud 側がお客様側から到達可能であることを検証することができます。

    3. Customer subnets (お客様のサブネット) を定義します。

      これらは、CIDR 形式のネットワークサブネット (一般的に、アプリケーションサーバ) であり、リモートの Jamf Trust ユーザのデバイスがすべての Zero Trust ポリシーで許可されている場合、それらのユーザは、この相互接続を経由してアクセスすることができます。入力する値が不明である、またはこのトンネルを経由してすべての IP をルーティング可能にする場合は、このフィールドを 0.0.0.0/0 に設定します。

      Note:

      暗号化ドメインとは、トンネルの両端にある IP アドレス (ネットワークサブネット) のことで、暗号化し、互いにルーティングできるようにすべきものです。これらは、それぞれ単一のホストであるか、複数のネットワークです。

  12. 次へ をクリックし、VPN 構成の詳細を確認します。
  13. Save and create (保存して作成) をクリックします。

構成が正常に設定されると、Jamf Security Cloud の専用 IPSec ゲートウェイリストビューに表示されます。

特定のプライベートゲートウェイの詳細なログを表示するには、統合 (Integrations) > アクセスゲートウェイ (Access Gateways) > (特定のゲートウェイ (specific gateway)) > ログ (Logs)に移動します。これらのログにより、IPSec 接続のステータスを監視し、環境内の問題のトラブルシューティングを行うことができます。