sidetech

インフラエンジニアの寄り道メモ。

Cato Networksを感で触ってVPNクライアントアクセス!

Cato Networks セキュリティ

最近、オンライン飲み会を立て続けに2回程やりました。飲みに行きにくいけど、そーいあ元気してんのかな?近状報告含めてやってみましたが、結構マッタリやれるものですね。でも音声が途切れると、ちょっとフラストレーション出ますね。双方向のマルチはちょっと遅延処理含めてタイムラグで会話感覚がつらいので、1by1がやりやすいなと感じる次第です。

さて、今日もCatoネタです。
色々細かいことはあるんだけど、まずは感覚で設定出来ちゃうのか試してからマニュアルを読みだすワタクシです。色々動いた状況じゃないと細かい部分のチューニングってしにくいんですよね。1回判ってしまえば、手順は最適化出来るのですが、ファーストタッチは己の感で始めるタイプです(^^;

詰まり気味になった時に同線に何があるか(機能やパラメータなど)、共通設定(グローバルなんたら)があるのかとか探し始めます。教科書見た方が早いと思いますけどね…英語でゴチャゴチャ書かれていると、どこ読んでいるのか分からなくなるんで、余程の手順的な作法がない限りは感でスタートします。ちなみにAzureにvSocketを建てるのは感では出来ませんでした(笑)もちろん、UIを見てからすぐに手順が違うなと気が付きましたけど。

 

さて、一応、自宅とCatoは繋がりっぱなしなので、VPNクライアントアクセスを使って、自宅のPCにRDPでもする所まで。セキュリティ設定や細かい設定は後回しです。いきなりユーザー作成してみました。

f:id:hunter1014:20210208233720p:plain

ConfigのVPN Usersから、ちょっとLDAPとか認証基盤はすぐに用意できなかったので、直にユーザーを作成しました。認証系を事前に仕込むにはGlobal Settingsで行います。

今回は、ユーザー登録したら、直ぐにそのメールアドレス宛にactivateしてねというメールが来ました。

f:id:hunter1014:20210208235213p:plain

ちょっと英語が苦手な人はナニコレみたいなメールかもしれないので、事前にこんなメールが届くとか言っとかないとですね。activateというリンクをクリックすると・・・

f:id:hunter1014:20210208235341p:plain

iPhoneからアクセスしたら、ちゃんとiOSなデバイスだねと認識していますね。これはおそらく後々デバイスタイプの許可とかの制御で大事になってくるはず。iOSの所をクリックすると以下のような案内が出てきます。

f:id:hunter1014:20210208235523p:plain

アプリのインストールとセキュリティ制御用のプロファイルっすね。まぁ言われるがままにやる感じです。今回プロファイルはデフォルトなので気にしない。

f:id:hunter1014:20210208235707p:plain

流れ作業の様にどんどん行きましょう。
で、アプリを起動して、アカウント・ユーザー・パスワードをぶち込むとっ。

f:id:hunter1014:20210208235843p:plain

うーん、ここまで5分程度ですね。このブログの編集の方が時間掛かります(^^;

f:id:hunter1014:20210209000020p:plain

トポロジーからもクライアントデバイスが繋がっているのが確認出来ます。
セキュリティ設計無視したらチョー即でCato VPNワールドに入れますね。Cato経由でネットも抜けていきます。そーいえばVPN Userは帯域リミットの概念がないんですよね。何人使いたいか位で、やはりセキュリティ回りの統合的な管理に重点が置かれているようです。

f:id:hunter1014:20210209000331p:plain

グローバルセッティングの中にVPNセッティングというのもちゃんとあり、細かいセッティングが行えるようになっています。どの機能がどのOSで有効化出来るかアイコンで示している所は良いですね。何気にドロイドよりもリンゴの方が機能対応しているんですね・・・何故だろ。。。
やはり、全体的に接続までのユーザビリティは優しくしているのかな。内部の設計はデフォルトなら良いですが、SASEなセッティングを始めると、しっかりと方針を立てないと訳わからなくなるかもですね。

さて、ついでなので、自宅のPCにRDPしてみます。iPhoneのアプリで「RD Client」てのがあるので、それで繋いでみます。

f:id:hunter1014:20210209001059p:plain

f:id:hunter1014:20210209001124p:plain

問題なく接続できました。最初、あれ?VPNクライアントの接続IPなんだっけ?って思ったのですが、グローバル設定のVPN設定項目にありました。デフォルトのまま、自宅のルーターにnext-hop書いただけでOKでした。

従来だと、VPN接続ってL2TPが出来るVPNルーターとか用意したり、SSL-VPNアプライアンス用意したり、FWのVPNクライアントの接続を用意したりしなければですが、恐らく昨今のコロナ需要によるテレワーク増加に伴うクライアントVPN接続ポイントが悲鳴上がったりしたり、帯域不足や接続不安定に悩まされていたり~なんて話があるかもです・・・が、
このCatoのクライアントVPN接続ポイントはCatoのPoPに目掛けて勝手に最寄のPoPに接続しに行くので、接続ポイントのボトルネックや、網内での回線パンクの心配はこちらでしなくても良くなるところがミソですね。

インターネットアクセスやらについても、社内からインターネットとモバイルからインターネットをそれぞれでポリシー管理しないで統合的に管理できる部分が良いと・・・。な~るほど。在宅の端末が安全かどうかも不安だったりしますよね。そーいうのにもいいんだろうな。

てことで、ここらぐらいまでは簡単な話だったんですが、この後は遠い国との接続遅延の確認をして、あとはセキュリティ回りの設定をゴリゴリ触って、QoSみたいな設定をいじって・・・認証系いじって・・・とまだまだやることありますが、今週はグイグイ行きます。
でももう眠いので寝ます(´Д⊂ヽ