![Meraki](/portal/page/out/mss/cisco/pic/header/cisco_meraki.png)
Cisco 担当者コラム
Cisco・Meraki
Meraki 第140回「Cisco Secure Connectによるリモートアクセスについて」
こんにちはMeraki製品担当の林です。
今回はCisco Secure Connectを使ったリモートアクセスVPNについてご紹介します。
Secure Connect のCompleteパッケージをご購入いただくと、Secure Connectのデータセンター上でリモートアクセスVPNを受けることが出来るようになります。
![](/portal/page/out/mss/cisco/pic/Meraki_231227_01.png)
Secure Connectの構成では、各拠点もMeraki MXを使用してSecure ConnectのデータセンターとVPNで接続されているため、ユーザはSecure ConnectへリモートアクセスVPNで接続することで、Secure Connectをハブとして各拠点へのアクセスが可能になります。
リモートアクセスVPNサーバとしてSecure Connectを使用するメリットとしては、次のような点が挙げられます。
・リモートアクセスVPNサーバの脆弱性対応やソフトウェア更新はサービス側で実施してくれる
・複数のデータセンターで冗長化されるため、BCP対策にもつながる
・リモートアクセス用の回線や固定IPアドレスが不要になる
特に、最近はリモートアクセスVPNサーバをターゲットにした攻撃が増えていることから、脆弱性対応などのメンテナンスをサービス側でやってくれる、という点は管理者の方にとって大きなメリットですね。
ということで早速実際に設定してみました。
DNSサーバとドメインの設定
![](/portal/page/out/mss/cisco/pic/Meraki_231227_02.png)
トラフィックステアリング(スプリットトンネル)の設定
![](/portal/page/out/mss/cisco/pic/Meraki_231227_03.png)
クライアントに払い出されるプロファイルの操作
![](/portal/page/out/mss/cisco/pic/Meraki_231227_04.png)
リージョンと払い出すセグメントの設定
![](/portal/page/out/mss/cisco/pic/Meraki_231227_05.png)
設定内容はかなりシンプルですね。
個人的な感想として、設定の難易度で言うとMXとASAの中間くらいでしょうか。
ちなみに接続時にはシスコ純正のCiscoSecure ClientというVPNソフトを使用することになりますが、現状では自分で加工したプロファイルのアップロードに対応していないため、ASAなどで細かな作りこみをされているようなユーザさんの場合はリプレースの際に注意が必要です。
もう一点、知っておく必要があるポイントとしてSecure Connectのリモートアクセスでは認証にSAMLを使用する必要がある、という点です。
リモートアクセスVPNというと認証にRADIUSサーバを使われているお客様も多いと思いますが、Secure ConnectはSAML認証に特化した製品となりますので、SAMLに対応したIdPが必要になります。
え、IdPなんてないけど?というユーザさんは簡易的なIdPサービスとしてMeraki認証を利用することもできますのでご安心ください。
![](/portal/page/out/mss/cisco/pic/Meraki_231227_06.png)
Meraki認証以外の連携先としてメジャーなところではマイクロソフト社のEntra IDやOktaなどがあります。
あれDuoは?という鋭いご指摘をいただくことがあるのですが、ここで確認しておく必要があるのがSCIMというプロトコルです。
![](/portal/page/out/mss/cisco/pic/Meraki_231227_07.png)
Secure Connect側では、先ほどの手順に加えて対象のユーザもしくはグループを、リモートアクセスユーザに対して割り当てる、というステップが必要になります。
![](/portal/page/out/mss/cisco/pic/Meraki_231227_08.png)
その為、認証にSAMLを使用するだけでなく、IdPの持っているユーザ情報をUmbrellaに同期するSCIMというプロトコルが必要になります。
現状、DuoはこのSCIMをサポートしておらず、サポートしているIdPが先ほど挙げたMeraki認証やEntra ID、Oktaになるのです。
詳しくは下記のメーカー記事もご覧ください。
■Cisco Secure Connect - Identity Provider(IdP) Setup
https://documentation.meraki.com/CiscoPlusSecureConnect/Cisco__Secure_Connect_Now_-_Users
このSAMLとSCIMを使用したSecure ConnectとIdPの連携についても検証してみましたので、次の記事では設定手順についてご紹介してみたいと思います。
今回は以上です。
最後までお読みいただきありがとうございました。
<<<Cisco Meraki エンジニア情報局 前回の記事>
<Cisco Meraki エンジニア情報局 次回の記事>>>
Ciscoの記事
- Wireless 第60回「Catalyst 9100シリーズ EWC on APのEoS/EoLのお知らせと他製品の導入について」
- Collaboration 第133回 「Cisco Room Bar Proの紹介 ~ 多様な会議室に対応するビデオ会議端末 ~」
- Collaboration 第132回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その3 ~ 構成例・必要なもの ~」
- Meraki 第146回「Cisco Secure Connect利用時のリモートユーザの保護」
- Security 第73回「【重要】Chromebook ClientでUmbrellaをご利用の方へ~Umbrellaを継続的にご利用いただくために~」
- Collaboration 第131回 「注目ソリューション!Ciscoデバイス for MTR(Microsoft Teams Rooms)のご紹介 その2 ~ これまでのTeams連携との違い ~」