ここでは、USGモデルとUDMモデルに内蔵されるRADIUSサーバを構成する方法について説明します。
UniFiネットワークにおけるRADIUSサーバは、有線、無線、およびL2TPによるリモートアクセスのユーザー認証に利用できます。

IEEE 802.1Xによるネットワーク認証モデルには3つの構成要素があります。

  • オーセンティケータ (Authenticatior):ネットワークへの接続を認可する前に認証サーバにメッセージを送信するポートまたはデバイスを指します。

  • サプリカント (Supplicant):接続を要求するポートに接続されたホストを指します。

  • 認証サーバ (Authentication Server):RADIUSサーバなどの認証サーバを指し、ユーザーがシステムやサービスへの接続を認可されているかどうかを示します。

認証シーケンス (無線APの場合)

認証シーケンス (有線SWの場合)

  1. ユーザーは[Supplicant (サプリカント)]から資格情報の入力を求められます。

  2. ユーザーは資格情報を入力します。

  3. サプリカントは、データリンク層の要求を[Authenticatior (オーセンティケータ)]に送信して、ネットワークにアクセスします。

  4. オーセンティケータとなるUniFi APは、[RADIUS Access Request]メッセージを構成済みのRADIUSサーバに送信します。
    このメッセージには、ユーザー名、パスワード、またはユーザーが接続のために提供した証明書が含まれますが、これらに限定されません。

  5. RADIUSサーバはオーセンティケータに次の3つの応答のいずれかを返します。

    • [Access-Reject]:提出された資格情報に誤りが含まれるため、ネットワークへのアクセスは拒否されます。

    • [Access-Challenge]:ユーザーは、認証するために、セカンダリパスワード、トークン、PIN、カードなどの追加の情報の提出を要求されます。

    • [Access-Accept]:提出された資格情報がRADIUSサーバに登録された情報と正しく照合され、ユーザーはネットワークへの接続を認可されます。

  • [設定] > [プロファイル] > [RADIUS]でUSG/UDMに内蔵される[Default]のRADIUSプロファイルが定義されていることを確認できます。

  • [編集]から[プロファイル名]や[VLANサポート]等のオプションを設定し[保存]します。

  • なお、[設定] > [プロファイル] > [RADIUS]の[新しいRADIUSプロファイルを作成]では、USG/UDM内蔵のRADIUSサービスではなく、外部のRADIUSサーバと連携するためのプロファイルを設定できます。

  • [設定] > [サービス] > [RADIUS] > [サーバー]で、USG/UDMに内蔵される[RADIUSサーバーを有効化]します。
    任意の[シークレット]文字列を決定し、[認証ポート]以下はデフォルトの設定値で問題ありませんが、必要に応じて変更してください。

    • [シークレット (Shared secret)]:オーセンティケータとRADIUSサーバであらかじめ決めておき設定しておく事前共有鍵の文字列。

    • [認証ポート (Authentication port)]:オーセンティケータとRADIUSサーバがRADIUS認証メッセージを送受信するポート。

    • [アカウンティングポート (Accounting port)]:オーセンティケータとRADIUSサーバがRADIUSアカウンティングメッセージを送受信するポート。

    • [アカウンティング間隔 (Accounting Interim Interval)]:サプリカントが接続中であるかを確認するために一定間隔で送信される応答確認用のパケット。

  • [設定] > [サービス] > [RADIUS]で[新しいユーザーを作成]します。

    • [ユーザー名]:ユーザーが入力する一意のユーザー名を入力します。

    • [パスワード]:ユーザーが入力するパスワードを入力します。

    • [VLAN]:RADIUS認証済みクライアントを特定のVLANに割り当てるためのVLAN番号を入力します。
      この設定を行わない場合、RADIUS認証済みクライアントはタグなしVLANにフォールバックされます。

    • [トンネルタイプ (Tunnel Type)]:RFC2868 セクション3.1を参照し、適切なトンネルタイプを選択します。

    • [トンネルミディアムタイプ (Tunnel Medium Type)]:RFC2868 セクション3.2を参照し、適切なトンネルメディアタイプを選択します。

ここでは、UniFi Security GatewayモデルおよびUniFi Dream Machineモデルでサイト間VPNを構成する方法について解説します。サイト間VPNは、2つのファイアウォール間に安全な接続を確立し、その背後にある内部ネットワークを相互に接続します。

同じUniFi Network Controller内の別々のサイトで管理されるUSGを使用して、サイト間VPNを作成します。
UniFi Network Controllerの[設定] > [ネットワーク] > [新しいネットワークを作成]し、[目的]を[サイト間VPN]、[VPNタイプ]を[自動IPsec VTI]、[リモートサイト]で対向するサイト名を選択し[保存]します。

この際、以下の設定が自動で構成され、USGにプロビジョニングされます。

  • VPNトンネルの両側でピアIPを設定し、WAN側のIPアドレスと一致させます。

  • 各サイトのリモートネットワークを追加します。

  • VPNに使用する各USGのVTI (Virtual Tunnnel Interface) インターフェイスをプロビジョニングします。なお、自動VPN VTIインターフェイスはvti0で始まり、vti1, vti2...のように連番されます。自動VPNが追加されると、WAN側のIPアドレスの変更を動的に追跡します。

  • 2つのUSG間に、ランダムに生成された強力な事前共有鍵をプロビジョニングします。

注意:このVPNタイプは、一方または両方のUSGがNATルーターの背後にある場合は機能しません。つまり、両方のUSGにはインターネットルーティングアドレス (パブリックIPアドレス) が必要です。
注意:UniFi Network Controllerのver5.8では、ハブアンドスポークトポロジーのみがサポートされています。メッシュトポロジーは設定できません。

VPN接続する各USGまたはUDMにおいて、UniFi Network Controllerの[設定] > [ネットワーク] > [新しいネットワークを作成]し、[目的]を[サイト間VPN]、[VPNタイプ]を[手動IPsec]、[このサイト間VPNを有効化]します。

次に、下記のパラメタを設定し[保存]します。

  • [リモートサブネット]:設定中のサイトから見てリモート側のローカルネットワークサブネットを入力します。

  • [ルート距離]:デフォルトの"30"のままとします。

  • [ピアIP]:リモート側ゲートウェイのパブリックIPアドレスを入力します。

  • [ローカルWAN IP]:設定中のサイト側のUSG/UDMのパブリックIPアドレスを入力します。USG/UDMがNATの背後にある場合は、WANインターフェイスにあるアドレスを入力します。

  • [事前共有キー]:各VPNエンドポイントにおける事前共有鍵の文字列を入力します。対向するUSG/UDMで同じ文字列を設定してください。

  • [IPsecプロファイル]

    • [カスタマイズ済み]:上記で設定したパラメタを使用します。

    • [Azureダイナミックルーティング]:VTIを使用してMicrosoft Azureインスタンスに接続するためのパラメータを使用します。

    • [Azureスタティックルーティング]:VTIのないポリシーベースのIPsecを使用してMicrosoft Azureインスタンスに接続するためのパラメータを使用します。

  • [高度なオプション]

    • [キー交換バージョン]:"IKEv1"または"IKEv2"を選択します。

    • [暗号化]:"AES-128", "AES-256", または"3DES"を選択します。
      注意:より複雑なアルゴリズムを使用する方が安全ですが、CPUオーバーヘッドの増加というコストが伴います。たとえば、AES-256はAES-128よりも多くのCPUリソースを使用します。AES-128は、ほとんどのユースケースで推奨される暗号化方式です。

    • [ハッシュ]:"SHA1"または"MD5"を選択します。

    • [DH (Diffie-Hellman) グループ]:"2", "5", "14", "15", "16", "19", "20", "21", "25", "26"を選択します。

    • [PFS (Perfect Forward Secrecy)]:有効化した場合、フェーズ2のDHグループはDHグループで選択されているのと同じグループにハードコードされます。

    • [ダイナミックルーティング]:VTIの使用を有効または無効にします。これは、VPN構成がポリシーベース (オフ) またはルートベース (オン) のいずれかであることを指定します。
      注意:手動VPN VTIインターフェイスはvti64で始まり、手動VPNが追加されるとvti65, vti66...のように連番で増えていきます。

自動および動的ルーティングが有効なIPsec-VPNを通過するトラフィックをブロックするファイアウォールのルールは、UniFi Network Controllerの[設定] > [ルーティングとファイアウォール] > [ファイアウォール]> [LAN_IN]で作成する必要があります。

送信元フィールドには、構成しているUSGからのリモートネットワークサブネットまたはIPアドレスを指定し、宛先フィールドには、トラフィックをブロックするローカルネットワークサブネットまたはIPアドレスを指定する必要があります。

ここでは、RADIUS認証を使用してUniFi Security GatewayモデルおよびUniFi Dream MachineモデルでL2TP-VPNサーバを設定する方法について解説します。

L2TP-VPNはUSGモデルの[WAN1]でのみ機能するように設計されていますが、UDM-Proでは[WAN1]と[WAN2]の両方で構成できます。USG/UDMでRADIUSサーバを設定するには「RADIUSサーバの設定」をご一読ください。

VPN接続を構成するUSGまたはUDMにおいて、UniFi Network Controllerの[設定] > [ネットワーク] > [新しいネットワークを作成]し、[目的]を[リモートユーザーVPN]、[ゲートウェイ/サブネット]でリモートVPNクライアントにアクセスさせるサブネットを指定します。次に、[RADIUSプロファイル]で設定済みのRADIUSサーバを選択し、[保存]します。

[設定] > [サービス] > [RADIUS] > [サーバー]で[RADIUSサーバーを有効化]し[保存]します。
[シークレット]は、RADIUSサーバをRADIUSクライアントに対してコンピュータ認証させるために使用されます。

[設定] > [サービス] > [RADIUS] > [ユーザー]で[新しいユーザーを作成]します。
[名前]はユニークなユーザー名、[パスワード]はそのユーザー用のパスワードを設定します。
[トンネルタイプ]は"3"、[トンネルミディアムタイプ]は"1"を選択し[保存]します。

  1. [設定] > [ネットワークとインターネット] > [VPN] > [VPN接続を追加する]を押します。

  2. 以下の内容を設定し[保存]します。

    • [VPNプロバイダー]:"Windows(ビルトイン)"

    • [接続名]:任意の文字列

    • [サーバー名またはアドレス]:USG/UDMのWANインターフェイスのパブリックIPアドレスまたはドメイン名

    • [VPNの種類]:"事前共有キーを使ったL2TP/IPsec"

    • [サインイン情報の種類]:"ユーザー名とパスワード"

    • [ユーザー名 (オプション)]:USG/UDMのRADIUSサーバに登録済みのユーザー名

    • [パスワード (オプション)]:ユーザーのパスワード

  3. [設定] > [ネットワークとインターネット] > [状態] > [アダプターのオプションを変更する] > [L2TP]を選択し、[この接続の設定を変更する]を押します。

  4. [L2TPのプロパティ] > [セキュリティ] > [次のプロトコルを許可する] > [Microsoft CHAP Version 2 (MS-CHAP v2)]をチェックし[OK]を押します。

  5. [状態]がL2TPで[接続済み]であることを確認します。

  6. VPNに接続した後、次のコマンドを実行して、コマンドシェル (CMD) ウィンドウからルーティングテーブルを確認できます。

    route print -4

  1. [システム環境設定] > [ネットワーク] > [+]から[VPN]インターフェイスを作成します (任意の[サービス名]を入力し[VPNタイプ]は"L2TP over IPSec"を選択)。
    [サーバアドレス]にUSG/UDMのWANインターフェイスのパブリックIPアドレス、[アカウント名]にUSG/UDMのRADIUSサーバに登録済みのユーザー名を設定します。

  2. [ユーザー認証]で[パスワード]を選択しユーザーのパスワードを設定します。
    [コンピュータ認証]で[共有シークレット]を選択しUSG/UDMのRADIUSサーバに設定したシークレットを設定し[OK]を押します。

  3. [接続]ボタンを押し[状況]が"接続済み"となることを確認します。

  4. VPNに接続した後、次のコマンドを実行して、ターミナル (Terminal) ウィンドウからルーティングテーブルを確認できます。

    netstat -nr -f inet


© Amalance LLC