本記事は 夏休みクラウド自由研究 8/10付の記事です。 |
Catoクラウドの導入を検討されているお客様から「Catoモバイルに接続した状態で複合機は使用できるか?」というご質問を大変よくいただきます。普段は自宅や外出先からCatoモバイルで接続していて、Cato Socketを設置していないオフィス等で複合機を使用したいというシチュエーションかと思われます。これを実現するには「Split Tunnel」機能を使用します。
Split Tunnelは、オンプレのVPN装置でもある機能なのでご存じの方も多いと思いますが、簡単に言うと「特定の宛先や送信元のIPアドレスはVPNトンネルを通さず通信させる」といった機能です。せっかく用意したVPNトンネルから除外するわけですからセキュリティレベルは低下してしまいます。ただ宛先が信頼できるサイトでどうしてもパフォーマンスが必要とか、帯域の逼迫を回避したい場合など、例外設定としてSplit Tunnelを活用する例は少なくないと思います。
CatoのSplit Tunnelには状況に応じたいくつかの設定パターンがあるので、今回はその辺りの活用方法を整理しつつSplit Tunnel の設定事例をご紹介します。
CatoのSplit Tunnelで出来ること
2024年7月現在Catoの Split Tunnel の動作設定としては以下の4つが可能です。
尚、表中の「LAN ACCESS」について少し補足しておきます。この設定の動作は後述します。
- 「Split Tunnel OFF」と「Exclude specific IPs」を選択した時だけ「LAN ACCESS」の設定が可能
- 「LAN ACCESS」欄にチェック無し:Catoクライアントと同一セグメント宛の通信を許可(デフォルト値)
- 「LAN ACCESS」欄にチェック有り:Catoクライアントと同一セグメント宛の通信をブロック
No | 設定 | Split Tunnel を使用した動作 | LAN ACCESS |
---|---|---|---|
1 | Split Tunnel OFF (デフォルト) |
全てのトラフィックはCatoのVPNトンネルを通す | 設定可能 |
2 | Exclude specific IPs | 特定のIPアドレスはCatoトンネルから除外し、残りのトラフィックはCatoトンネルを通す | 同上 |
3 | Include specific IPs | 特定のIPアドレスのみCatoのトンネルを通し、残りのトラフィックはCatoトンネル外にルーティングする | 設定不可 |
4 | End-user defined | エンドユーザーで定義する | 同上 |
Split Tunnelのユースケースは、Cato Knowledge Centerにも「サブネット重複の回避策」や「ITチームが業務通信に影響がないようセキュリティ検証する」といった話が掲載されていますが、身近な例としては以下の様なものがあります。
- Cato Client PCとは別セグメントにある複合機のIPアドレスをCatoトンネルから除外
- グループ会社のシステムを利用するには指定のVPN経由でないと接続できないので、VPN接続先のIPアドレスを除外
- 業務で使用する通信がTLSインスペクションやIPSでブロックされる為、宛先IPアドレスを除外
- 情シス担当が社内にあるFirewall等のネットワーク機器にログインするため、対象のIPアドレスを除外
- Catoとは別のクラウド型セキュリティサービスの接続先IPアドレスを除外
- IP電話サービスのSIPサーバやクラウドPBXの通信先IPアドレスを除外
尚、これらの事例では全て上表No2の「Exclude specific IPs」を使用しています。
では、Catoに接続した状態でオフィス内の複合機を利用する場面を例にして、Split Tunnelを使用した時PC側で何が起きているのか?という側面からその動作を見てみましょう。
Catoモバイル接続時の複合機の利用
PCと同一セグメントの複合機の場合
まず、PCと同一セグメントの機器には、CatoモバイルでCatoに接続した状態でも疎通が可能です。
これはCatoに接続したPCの「ipconfig」の結果を見ていただければ分かるのですが、PCのローカルNICとは別にCatoの仮想NICが追加されており、CatoにはこのNICから接続しています。(図.1)
ただ、PCのローカルNICも生きておりそのセグメント上にある機器はARPテーブルにも存在するので疎通は可能です。(図.2)
よってPCと同一セグメントにある複合機は利用が可能という事になります。
図.1 Catoモバイル接続時のipconfig
図.2 ARPテーブルと同一セグメント内IPアドレスへの疎通
PCと別セグメントの複合機の場合
次に、複合機が別セグメントにある場合、今度はルーティングの話になってきます。Catoモバイル接続時の「route print」の結果をみると、デフォルトルートが2つできておりCatoのメトリックが「0」、ローカルNICのメトリックが「35」なので、Catoのルーティングが優先される状態になっている事が分かります。(図.3)
この状態で別セグメントにある複合機に疎通しようとしても、パケットはCato側にルーティングされるので複合機には到達できません。(※メトリック値が小さい方が優先されます)
図.3 Cato接続時のルーティング
そこで複合機が別セグメントにある場合は、Split Tunnel の「Exclude specific IPs」で複合機のアドレスをCatoトンネルから除外する設定を行います。
例として、複合機のアドレス(192.168.100.1)を除外した設定時のPCのルーティングを見てみると新たなルートが追加されており、追加された方のGatewayはCatoではなくローカルNICと同じ宛先に、且つメトリックはローカルNICのデフォルトルートと同じ「35」になっていました。同じメトリックでデフォルトルートと個別ルートがある場合はロンゲストマッチの原理で個別ルートが優先されるので、別セグメントの複合機が利用できるという訳です。(図.4)
もちろん複合機のセグメントにはL3スイッチ等でルーティングされている事が前提です。
図.4 Split Tunnel設定時のルーティング
LAN ACCESSによるローカルセグメントアクセスのブロック
「Split Tunnel OFF」と「Exclude specific IPs」の選択時のみ「LAN ACCESS」の設定が可能となります。これにチェックを入れるとPCと同一セグメントの機器への疎通もブロックされるようになります。
試しに「LAN ACCESS」にチェックを入れた時の「route print」を見ると、PCセグメントのルーティングがそれぞれ1行ずつ追加され、ゲートウェイとインターフェースがCatoのアドレスになり、メトリックは「0」になっていました。前述のデフォルトルートと同様、同じ宛先のルーティングが2つある場合はメトリックが小さい方が優先されるので、同一セグメント宛ての通信もCato側にルーティングされてしまい同じセグメントであっても到達できないという仕組みです。
図.5 LAN ACCES設定時のルーティング
ちょっと見にくいので、赤枠部分を抜き出し比較してみました。緑の行が追加されているルーティングです。
つまり「Split Tunnel OFF」でLAN ACCESSにチェックを入れると、ホントにCato以外は何も接続できないPCの提供が可能という事になります。ユースケースとしては、在宅環境で自宅にある他のPCやNAS等にネットワーク越しでデータをコピーさせないという事でしょうか。
Split Tunnel設定例
ここで、別セグメントにある複合機の利用を可能にするCatoの設定例をご紹介します。構成としては図.6のようなシチュエーションを想定しています。
図.6 複合機が別セグメントにある構成
では、実際のCato Management Application(CMA)で設定してみます。
1.IPレンジで除外アドレスの登録
設定箇所:Settings(旧 Network)>IP Ranges
→任意の名前をつけて除外するIPアドレスを登録します。IP Rangeは「192.168.10.0/28」のようにサブネットで登録する事も可能です。
図.7 IP Rangesの設定
2.Split Tunnel Policyでルールの設定
設定箇所:Access > Split Tunnel Policy
→ルールの設定項目は以下の通りです。
- ルールの名前:任意の名前をつけます。図8のように日本語も可能です。
- ユーザー/グループ:特定のユーザーを限定したり、複数ユーザーをグループ化してグループを登録する事も可能です。ここではAny。
- プラットフォーム:OSの指定が可能です。Windows・macOS・iOS・Android・Linuxから複数登録も可能です。ここではAny。
- 国:国の指定が可能です。ここではAny。
- Split Tunnel: Exclude specific IPsにチェックを入れると、IP Rangeで登録したものがリストで出てくるので、ここでは「Server Room Printer01 」を選択します。
図.8 Split Tunnel Policyのルール設定
「Apply」をクリックすると以下の画面になり、右上の「Save」をクリックして設定反映となります。(図.9)
このようにしてルールを追加していきます。
図.9 Split Tunnel設定結果
その他の設定例
「Include specific IPs」の利用
動きとしては「特定のIPアドレスのみCatoのトンネルを通し、残りのトラフィックはCatoトンネル外にルーティングする」というものですが、よほど変わった使い方でない限りこの設定の利用例は無いかと思われます。
以前のネットワークなら「自宅や外出先からVPNで接続する際に社内ネットワークのアドレスはVPNトンネルを通し、インターネット通信は直接接続させる」という例はありましたが、今のSASEの概念とは相反しますね。
「End-user defined」の利用
トンネルから除外させたりトンネルに含めたりするルールをユーザーで定義するという設定です。
試した事はありませんがCatoナレッジをみると「テキスト ファイルをクライアントにアップロードして、どのトラフィックを Cato Cloud 経由でルーティングし、どのトラフィックを Cato Cloud 経由で除外するかを設定できる」とあります。またテキストファイルの書き方も掲載されているので参考にして下さい。
試しに「End-user defined」の設定にしてCato接続してみたところ、Cato Clientにテキストファイルをアップロードできる表示が追加されました。(図.10)
図.10 End-user defined設定時のCato Client
さいごに
Split Tunnelについては、お客様から「除外したい宛先IPアドレスが数が多いとかアドレスが変更になるのでドメイン指定ができないか?」という話もよく伺います。
現在、CatoのSplit TunnelではIPアドレス指定でしか設定ができませんが、最近発表されたロードマップの中にドメイン指定を可能とする内容が追加されていました。
仮に各拠点の複合機が共通のドメインで管理されていれば、1つ1つIPアドレスを設定しなくて済むので非常に便利になるかと思います。
ただ、従来のローカルブレークアウト的な発想で特定のクラウドやSaaSのドメインで除外する事も可能になるので「Cato経由だとうまく繋がらないからこのドメインは除外してしまえ」とかになると、せっかく導入したSASEの効果が失われてしまう事になります。この点はくれぐれもご注意下さい。