Meraki MX L2TP/IPSec-VPNのユーザー認証にOneLogin RADIUSを使用する

検証概要

今回は、弊社のネットワーク環境にあるMeraki MXと弊社が提供するクラウド型アイデンティティ及びアクセス管理ソリューションのOneLoginとの連携について検証を行いました。本記事は 「リモートVPNを行う際、Meraki MX L2TP/IPSec-VPNを使用し、OneLoginのRADIUSサーバーでユーザー認証を行う」 ことをテーマとした検証レポートですので、すでにMeraki MX L2TP/IPSec-VPNを利用している方、VPNのユーザー管理及び認証をIdPに一元化することを検討している方はぜひ最後までご覧ください。
今回の検証では、L2TP/IPSec VPNを行うデバイスはWindows 11とmacOSです。

今回の検証における連携構成

本構成においてL2TP/IPsec VPN及びユーザー認証が行われるイメージを下図に示します。

細かい認証のフローは後述する「動作概要」にてご確認ください。

今回の検証における OneLogin は、Meraki MXとの連携によってVPNユーザーの認証を行うRADIUSサーバーとして機能します。RADIUSサーバーは、OneLoginで提供される機能のひとつであり、各種サービスにおけるユーザー名・パスワード認証をOneLoginのユーザー情報と連携させることが可能です。

クライアント端末とMeraki MX間では、ユーザー名・パスワード・OTP（One-Time-Password） による多要素認証（MFA）が可能です。Meraki MXはこれらの認証情報をRADIUS経由でOneLoginに提示し、認証可否の応答を受け取ります。すべての認証が成功すると、L2TP/IPsec VPNトンネルが確立され、クライアント端末は暗号化された通信経路を通じて社内LANへ安全に接続できるようになります。

特にMFAの導入により、ID・パスワードが漏えいした場合でも不正アクセスを防止でき、VPN認証においても「なりすまし防止」や「常に検証するセキュリティ」に直結する強固なセキュリティを実現します。

前提条件

今回の検証では、以下の項目を前提条件としています。

• OneLoginのRADIUSが使用できるプランの管理者アカウントをお持ちであること
• OneLoginの管理者アカウントをお持ちであること
• OneLoginに有効なユーザーアカウントが存在していること
  • ユーザーがOneLogin ProtectによるOTPを用いたログイン認証を有効にしていること
• Merakiの管理者アカウントをお持ちであること

動作概要

L2TP/IPsec VPNの流れは以下の通りです。

1. Meraki MXがクライアント端末のL2TP/IPsec-VPN接続要求を受け取ります。
2. Meraki MXはクライアント端末に対してサーバー証明書を提示します
3. 提示されたサーバー証明書の正当性が確認できた場合、クライアント端末はMeraki MXに対してユーザー名、パスワード、OTPを送信します
4. Meraki MXは入力されたユーザー名とパスワード、OTPをOneLoginに提示します。
5. OneLoginはMeraki MXに対してユーザー認証の可否を応答します。
6. 認証が成功した場合は、Meraki MXがクライアント端末に対して設定したIPプールからIPを払い出します。
7. クライアント端末とMeraki MXの間にL2TP over IPsec VPN tunnelが確立され、安全な通信が可能になります。

多種多様なサービスを利用している組織にとって、ユーザー情報をサービスごとに管理する手間はできる限り減らしたいものです。そこでOneLoginではクラウドで利用できるRADIUS・LDAPサーバー、その他ディレクトリ同期機能を提供しており、様々なサービスのアカウント管理の一元化を行うことで、サービスごとにユーザーを登録する手間を減らしてくれるので、人数あたり約5~10分、100人なら約8~16時間を短縮でき、結果として業務効率向上につながります。

作業詳細

OneLoginでRADIUSサーバーの設定を行い、Meraki MXでL2TP / IPsec-VPN設定を行うだけでユーザー認証にOneLoginのRADIUSサーバーをご利用いただけます。

OneLoginの設定

OneLoginに管理者アカウントでログインし、RADIUS設定を作成します。

1. シークレットとIPアドレスを設定し、Save をクリックします。IPアドレスはFirewallのグローバルアドレスを設定しました。

   

2. Credentialsの設定を行います。User-Password をクリックします。

   

3. Password > Password+OTP に変更します。

   

4. Update をクリックします。

   

以上でOneLoginの設定は完了です。

Meraki MXの設定

1. Merakiに管理者アカウントでログインし、セキュリティ＆SD-WAN > クライアントVPN をクリックします

   

   
   

2. 以下のように設定し、変更内容を保存 をクリックします。

   

以上でMeraki MXの設定は完了です。

動作確認

Windows 11

1. 設定を開き、ネットワークとインターネット > VPN をクリックします。

   

2. VPNを追加 をクリックしてください。

   

3. 以下のように情報を入力したら、保存 をクリックします。

   

   
   

4. 接続 をクリックします。

   

   
   

5. OneLogin Protectを確認し、Accept をタップします。

   

   
   

6. 接続済みになったことを確認します。

   

   
   

7. OneLoginのイベントログでユーザー認証がRADIUSで行われたことを確認します。

   

8. 実際に接続を行うデモ動画です。

macOS

1. 設定を開き、+マーク > L2TP over IPsec... をクリックします。

   

2. 以下のように情報を入力し、作成 をクリックします。

   

3. 設定が作成できたことを確認したら、トグルをクリックし、オンにします。

   

   
   

4. OneLogin Protectを確認し、Accept をタップします。

   

   
   

5. 接続済みになったことを確認します。

   

   
   

6. OneLoginのイベントログでユーザー認証がRADIUSで行われたことを確認します。

   

7. 実際に接続を行うデモ動画です。

OneLogin RADIUSとは？

OneLogin RADIUSは、無線LANやVPN接続をそれぞれの機器内部のユーザー情報で判定するのではなく、それぞれの機器がOneLoginにユーザー判定を委任・認証するための機能です。 詳しい説明はOneLogin RADIUSの機能紹介ページ をご覧ください。

おわりに

今回は Meraki MX の L2TP / IPsec-VPN のユーザー認証に OneLogin の RADIUS サーバーを使用する検証 を行いました。

通常、Meraki MX の L2TP / IPsec-VPN では、VPNユーザーをローカルで個別に作成・管理する必要があります。そこで OneLogin RADIUS を用いることで、MerakiのVPN認証を OneLoginディレクトリ（IdP） に統合でき、アカウントの作成・削除・権限変更をOneLoginのみで一元管理できます。

さらに OneLoginのRADIUS連携では多要素認証（MFA） を簡単に有効化できるため、VPN接続時にワンタイムパスワード（OTP）を要求するなど、不正アクセス防止とセキュリティ強化を同時に実現できます。また、SSO（Single Sign-On） を活用することで、VPN認証だけでなく、社内SaaS・クラウドサービスへのアクセスもすべて同じIDで統合可能です。これにより、VPN接続後の業務もスムーズに行え、ユーザーはOneLoginへのサインインだけで必要なアプリケーションへシームレスにアクセスできます。

RADIUS認証による MFAとSSOの組み合わせ によって、「強固なセキュリティ」と「快適なユーザー体験」を両立できる点が最大のメリットです。ぜひ、Meraki MXとOneLoginの導入を併せて検討してみてはいかがでしょうか。以上で「Meraki MX L2TP/IPsec-VPNのユーザー認証にOneLogin RADIUSを使用する」検証レポートを終わります。

＊本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。