光,ADSL対応インターネット プロバイダ。他社インターネット プロバイダからの乗り換えユーザーから高い評価を頂いているプロバイダです。
インターネット接続サービス プロバイダ 光インターネット プロバイダのオープンサーキットHOME インターネット プロバイダ 会社概要 インターネット プロバイダのサイトマップ Bフレッツ、光プレミアム、光ネクスト、フレッツADSLインターネット接続サービス、ホスティングサービスのお問い合わせはまずこちらへ 
IPv4 over IPv6接続コース 一般向け料金表 プロ向け料金表  プロバイダ申込手順  キャンペーン情報

プロバイダのオープンサーキットTOP > インターネット接続 > 各種設定> FortiGate SSL-VPN 二要素認証(e-mail)設定

FortiGate SSL-VPN 二要素認証(e-mail)設定 CLI設定必要

 FortiGateにはSSL-VPNを使ったリモートアクセスが容易に構成できる事から、テレワーク利用にも使えます。

 SSL-VPN設定については世の中にすで多くの情報が得られる状態になっているため、 本ページでは、二要素認証時にE-mailを使ったワンタイムパスワード(AuthCode)の通知設定と、 実用的な利用に必要となる修正箇所についてまとめております。
(2021/03/20公開、2021/05/24最終更新)

 本ページは、弊社で案内している、FortiGateでv6Direct/固定IP1設定が完了しており、 SSL-VPNについて基本的な設定知識がある物として説明を開始しています。

 下記動作確認においては

v6Direct/固定IP1契約
FortiGate-40F FortiOS Ver6.4.4
FortiClient VPN(無償版)Ver6.4.3.1608

を使用して確認しております。

 下記は内容の正確性について保証するものでは御座いませんので参考としてご利用下さい。

1)基本設定について

 v6Direct/固定IP1を使ったIPv4アドレスに対して、SSL-VPNを動かすには、 下図の様に、「SSL-VPN設定」の「リッスンするインターフェース」を下図赤枠のように「vne.root」に設定します。

SSL-VPNのリッスンポートをvne.rootに設定

 また、定義したユーザーに、二要素認証としてE-mailを使う設定を行います。
 WebGUIからはE-mailの二要素認証設定を有効に出来ない為、ユーザー定義(追加登録)を WebGUIで設定するときは二要素認証はOFFのまま定義して問題有りません。
 その後、各ユーザーに対して、二要素認証でメールアドレス設定をする場合は、CLIにて

例)
config user local
    edit "ユーザー名"
        set two-factor email
        set email-to "メールアドレス"
    next
end
と、ユーザーに対し「set two-factor email」と「set email-to 」にてメールアドレス設定が完了したら、WebGUIからも

E-mailによる二要素認証設定後のユーザー設定画面

のようにWebGUIでは設定が不可能なE-mailの二要素認証が表示されるようになります。

 上記まででSSL-VPNについて基本的な設定が完了した物として、実用上必要となりそうな調整について下記で示していきます。

2)標準、簡易設定後の問題点について

 とにかく動作する様に最小限の設定をして見ると次の様な問題にあうことが有ります。

  • AuthCodeメールが届かない事がある
  • メール受信したコードを入力すると時間切れになる事が多い
  • SSL-VPN接続が8時間で切れてしまう
  • SSL-VPN接続したクライアント機器から宅内にアクセス出来るが...
これらの問題については、適切に設定することで回避可能です。

 適切な設定をして安定したテレワーク環境を構築して下さい。

3)メールサーバー設定

 自社、自分でメールサーバーを持ち、FortiGateからの通知をそれらのメールサーバーを使って送るようにしていて AuthCodeメールの不達などが無い場合は、こちらは読み飛ばして頂いて問題有りません。

 自分でわざわざAuthCodeメールを送るためにメールサーバーを準備出来ない場合は、Fortinet社がメールサーバーを 準備してくれているのでそちらを使う事が可能です
 標準的な設定をした場合でも、AuthCodeメールが届くサーバーもあるとは思いますが、ezwebの携帯メールなどには 届かない等の問題が生じます。

 AuthCodeメールが届かない問題についてはメールサーバー設定を下記の様にすることで解決可能です。
 メールが届かない原因は送信元メールアドレスと、利用しているメールアドレスサーバーが不一致であり、 メールヘッダー内で迷惑メールと疑われるような内容となり 着信側のメールサーバーによっては破棄されてしまう場合があるためです。

FortiGate-40F # show system email-server
config system email-server
    set reply-to "noreply@notification.fortinet.net"  ★1
    set server "notification.fortinet.net"
    set port 465
    set security smtps
end
 上記★1に「noreply@notification.fortinet.net」を設定することで、送信元メールアドレスと、 メールサーバーが一致し、多くの場合、メール着信が可能になります。

 弊社では 2021/03/19試験において

@ezweb.ne.jp
@dk.pdx.ne.jp

@gmail.com
@icloud.com

@yahoo.ne.jp
@yahoo.co.jp

のメールアドレスに通知が届くことを確認しております。
(当然着信側で、迷惑メールや、受信拒否されていないことが前提です)

 上記設定であれば、発信者が「noreply@notification.fortinet.net」の場合、メールを受けとる設定を すれば良いので、迷惑メールを避けつつ、携帯メールの場合でもきちんと受信可能に出来るでしょう。

4)ワンタイムパスワード有効期間の調整

 FortiTokenや、FortiToken Mobileを使ったワンタイムパスワードを利用する場合は、すぐに入力可能で問題無いのですが、 E-mailでワンタイムパスワードを入手する場合は、メールの遅延などですぐに取得出来ない場合が有ります。

 標準設定であれば、E-mailでワンタイムパスワードを入手後、すぐに入力しても間に合わず、認証エラーになる事があります。
 特にメールが遅延する様な状況の時、何度もメールでワンタイムパスワードを入手して その都度エラーになると仕事などに支障をきたすことがあります。

 ワンタイムパスワードの有効期間を調整することで、落ち着いてワンタイムパスワードを入力可能に設定変更するのがお勧めです。

参考URL https://kb.fortinet.com/kb/documentLink.do?externalID=FD47443

config system global
    set remoteauthtimeout 180
    set two-factor-email-expiry 180
end
 上記では180秒(3分)にしたところ、
FortiGate SSL-VPN Firewall policy

上記トークン入力画面で2分45秒くらいしてワンタイムパスワード(トークン)を入力しても 正しくログイン出来るようになりました。
 設定時間については各自で判断して適切な運用として下さい。

5)SSL-VPN接続タイムアウト時間の調整

 SSL-VPNのデフォルトのタイムアウト時間が8時間に設定されているようで、 テレワークなどで長時間接続利用する場合には問題が生じます。
 下記にて適切に設定変更して利用することで、長時間接続も安心して使えるようになります。

参考URL https://kb.fortinet.com/kb/documentLink.do?externalID=FD39435

config vpn ssl settings
    set auth-timeout 86400
end

 上記では86400秒の24時間にした場合です。0秒を指定することでタイムアウト無しにすることも可能の様です。
 下図では、0秒(タイムアウト無し)としたとき、8時間以上の接続で切れないことを確認した物です。
FortiGClient VPNでSSL-VPN接続8時間以上動作確認

6)SSL-VPNクライアントの通信ポリシー設定

 SSL-VPNクライアントから宅内アクセスは問題無く出来る様になっても、 それ以外の通信も必要になる場合があります。

 下図の赤線1〜4でそれぞれ

1) 宅内機器からSSL-VPN接続機器への通信を許可
2) SSL-VPN接続機器間の通信を許可
3) SSL-VPNから宅内への通信を許可(必ず設定有り)
4) SSL-VPNからFortiGateのvne.root経由でインターネット接続許可

を定義しています。取りあえず定義だけしておき、 不要な通信についてのポリシーを無効化すれば通信遮断等も可能です。

FortiGate SSL-VPN Firewall policy

★ご注意)
 上記4)のSSL-VPN機器から、FortiGate経由のインターネット通信を許可した場合、SSL-VPN接続の多くの機器が SSL-VPNを動かしているFortiGateを使ったインターネット、上り下りのトラフィックを消費します。
 WindowsUpdate等の通信も発生すると帯域を大量に使うことになる為、4)のポリシーは無効化し、 SSL-VPNと宅内間に必要な通信のみ利用することをお勧めします。
 SSL-VPN接続PC等から宅内PCへリモートデスクトップ接続する様な利用の場合、仕事中はSSL-VPN端末から インターネットの通信は無くても問題無いはずです。
 WindowsUpdate等はSSL-VPN切断後に各自のインターネット回線経由で実施する事が望ましいです。

7)まとめ

 上記設定で弊社、v6Direct/固定IP1とFortiGateを使った、SSL-VPNサーバー環境が整備できます。
 上記のSSL-VPNサーバーへの接続には、ネットワーク的に近く、相性の良い、弊社v6Neoコースがお勧めです。
 クライアント回線には是非、v6Neoを推奨、採用頂きますようお願い致します。

ページトップへ




一般第二種電気通信事業
F-10-281


速度改善コース↓


速度を快適に、v6Neo/v6Direct