こんにちは、新しいファイアウォールの設定をしたばかりで、EntraIDを使ったSSOの動作確認をしています。これまでに2つの異なる機器で同じ問題が起きており、SSOが原因かどうかは確信が持てませんが、最近の変更点です。
こちらが設定内容です:
-
WAN1インターフェースのIPをx.x.x.82/28に設定し、DNSもそこに向けています。
-
管理アクセスはHTTPポート8080とHTTPSポート8443で有効化しています。
-
WANインターフェース上でHTTPS管理アクセスを有効化し、非常時のアカウントは信頼ホストに限定しています。
-
SSLVPNは通常の443を使用し、HTTPからHTTPSへのリダイレクト設定も有効になっています。
-
このファイアウォールにはもう一つ、x.x.x.81にPAT/VIPが設定されており、これは管理やSSLVPNのためのポートと競合しないと思います。
-
Let’s Encryptの証明書と、x.x.x.82アドレスにポイントしているDNS名を使用しています。
-
EntraIDはAzure側で設定しており、ポート番号は指定せず、https://y.y.com/blahblah/loginを利用しています。
問題の内容:
サイトにアクセスすると、「ACMEアクセスのみ」というページが表示され、SSLVPNクライアントのページが現れません。
管理者のポート8443へのアクセスは(まだSSOは連携していませんが)正常に動作しますが、x.x.x.82のすべてのページは「ACMEアクセスのみ」のページになっています。 FortiClientも接続できず、ただ接続待ち状態です。
SSLVPNの設定ページでSSLポートを10443に変更してみましたが、やはり同じ問題です。ローカルポリシーには何も変更していません。
他に試したこともありますが、基本的には標準設定のままです。アイデアや方向性について何かあれば教えてください。
【追記、解決】これについてはやっと分かりました。System->Settings(管理者設定)に行き、未使用のインターフェースにACMEインターフェースを切り替え、その後SSLVPNを無効にして再度有効にしたところ、ページがすぐに表示されました。戻してみると、「管理設定の保存に失敗:エントリーは使用中です」というエラーが出ました。どうやらSSLVPNとACMEインターフェースは同じポート80上には同時に存在できないようです。
完全機能に近づけるには、SSLVPNのHTTPリダイレクトを無効にし、ACMEインターフェースをWAN1に戻す必要があります。ブラウザは基本的にHTTPSにリダイレクトするだけなので、大きな問題ではないと思います。サポートに問い合わせて、SSLVPNDがポート80を「問題なく」共有できるものか確認してみるつもりです。