皆さんおはようございます。
Windows 10で常に接続するVPNを使用したいのですが、RRASサーバーを使うのではなく、IKEv2とNPSとRadiusを背後に持つサードパーティのファイアウォールをVPNエンドポイントとして使いたいと思っています。理由は複雑ですが、企業の合併や技術の混在に関係しており、既存のインフラをほとんど変更せずに何か動作させようとしているところです。
私の理解ではこれは可能であり、世界的権威のリチャード・ヒックス氏も自身の投稿でこう言及しています。この話はここでも多くの投稿で言及されています。
実際にこれをやったことがある方や、その方法について解説しているブログや資料を見つけた方はいらっしゃいますか?1日に50件も読みましたが、少し混乱しています。
どうぞよろしくお願いします!
Azure ADも使っていますか?今日の良いVPNソリューションは、「Zero Trust」アクセス製品のいくつか、例えばPrisma Access、Zscaler Access、Proofpoint Metaです。
これらは最新のVPN 2.0で、Radiusや旧NPSを必要とせず、あなたの望むことができるものです。
サードパーティのVPNがMicrosoftのPKIを使用したいことを理解している場合だけです。つまり、ADユーザーやマシンに紐づいた証明書と、必要に応じて条件付きアクセスを使用したAzure ADです。
これが要するに、Microsoft特有のMS-CHAPv2とProtected EAP(PEAP)をサポートするVPNサーバーのことです。
残念ながら、多くのサードパーティVPNはPEAP-MSCHAPv2ではなくEAP-TLSをサポートしていることが多いため、オンプレミスの解決策としてRASサーバーだけが残る可能性があります。
私は、ある同僚がFortiGateファイアウォールでPoCを実施したと言っていたのを覚えています。当時のバージョンはおそらく5.6か6.0です。設定の詳細については持っていませんし、実運用には至っていませんが、もし次週にでも何か問題等や、動作しなかった点などを確認できればと思います。
ありがとうございます。予算が全くないため、別のプラットフォームに変更することは今のところ不可能です。
彼らのウェブサイトを見たところ、彼らの仕組みについて何も説明していません。VPN 2.0、セキュリティパ perimeterのバズワードばかりです。技術系の企業が製品の仕組みや働きを実際に説明せずに売るのはどうなんでしょうか!
私たちが使っているファイアウォール(WatchGuard)のIKEv2接続は、認証にRadiusサーバーのみを使用しますが、我々はWindows NPSを使っています。WGのドキュメントによると、認証にはEAP-MSCHAPv2のみを使用すると記載されています。これが可能かもしれません。もっと読む必要がありますが、もしこれをやったことがある方や記事を書いている方を見つけられたら助かります。
ありがとうございます。
私もセールストークは嫌いです。アメリカのクレジットカードのやり方や、三度のセールスミーティングのやり方のようなものです…
VPN 2.0の主な違いは、グローバルなVPN受信者、またはVPNファイアウォールがあることで、ユーザは最も近いアクセスポイントに接続します。いくつかの企業は世界中に5つ、あるいは25のアクセスポイントを設置し、良好なVPN接続を確保しています(公共インターネット経由でアフリカの砂漠を越える必要はありません)。
設定もクリックだけで簡単で、ルールは Granularに設定でき、軽量で、姿勢管理や最新の多要素認証(MFA)、アウトバウンドプロキシのみで構成されており、SaaSとして常に最新の状態です。
これは動作しません。WatchGuardではコンピュータのVPNログインを認証できません。ユーザのみしか理解できません。
おそらくクラウドプロバイダーを経由してトラフィックをトロンボーンする仕組みになっているようです。将来的には検討の価値があるかもしれません。ご意見ありがとうございます。
残念ながら、自分でもこれに近い結論にたどり着きつつあります。せっかく良い方法だったのに残念です。ありがとうございます。
はい、トンネルを分割することも可能です。フルトンネルにすると、デバイスをクラウドゲートウェイ化しますが、これはゼロトラストのような長期的な戦略に適しています。