こんにちは。セキュリティ担当のdsasです。
　前回まででDuo側の設定は完了しましたので、今回はMeraki MXをリモートアクセスVPNのサーバとして実際にMFAを利用するところまでをご紹介します。
　＜利用イメージ＞
　まずMXのクライアントVPNの設定です。
　Merakiのダッシュボードにログイン後、左側メニューから
　セキュリティ&SD-WAN＞クライアントVPNの順にクリックして設定ページを開きます。
　ここでクライアントVPNサーバを有効にします。その下に表示されるホスト名はMerakiが提供するダイナミックDNSのホスト名です。後でクライアント側の設定で使うのでメモ帳などに控えておきましょう。
　他の設定はとりあえずデフォルト値として画面をスクロールダウンします。
　共有パスワードは、先ほどのホスト名と同じくクライアント側の設定で使用します。できるだけ推測されにくい任意の値を入力して、同じようにメモ帳などに控えておきましょう。
　次に認証のプルダウンでRADIUSを選択し、RADIUSサーバとしてDAPの情報を入力します。(DAP側の設定については45話の記事をご覧ください)
　ホストはDAPをインストールしたサーバのIPアドレス、ポート番号は[radius_server_auto]で設定したportの値、シークレットは同じく[radius_server_auto]で設定したradius_secret_1の値です。

　すべての入力が完了したら変更内容を保存をクリックします。
　これでMX側の設定は完了、と思いきや1点重要なステップが残っています。DAPを使ったMFAではユーザが2要素目の認証を実行する関係で通常のRADIUSサーバよりも認証に時間がかかります。そのため、MX側の認証タイムアウト時間を長めにする必要があるのです。(メーカーの推奨値は60秒です)
　が、先ほどの設定画面見ていただいてもわかる通りシンプルさが売りのMXには認証タイムアウトの設定ができるパラメータがありません。。。
ですので、画面右上のヘルプ＞ケースからメーカーにケースオープンをして認証タイムアウト時間を延ばしてくれるように依頼します。（私の場合は翌日までに対応してもらえました）
　もし他のVPN製品で試される場合には、このタイムアウト時間は気にしておいた方がよさそうですね。これでサポートから官僚の連絡があればMeraki側の設定は完了です。

　続いてクライアント側の設定です。Meraki MXでは各OS標準のVPNクライアントを使用しますので、下記のドキュメントを参考に設定をしてみてください。
https://documentation.meraki.com/MX/Client_VPN/Client_VPN_OS_Configuration/jp
　設定が出来たらいよいよ接続を試していきます。
　ユーザ名パスワードを聞かれます。
　この際、ユーザ名として使用するのはDuoクラウドに登録したUsernameの値となります。
　パスワードはユーザデータベース（今回はAD）に登録された値です。
　ちなみにワンタイムパスワードを発行するトークンなどをMFAに使用する場合は、パスワードの後ろに,(コンマ)を入れてからOTPを入力するのですが、特に入力しない場合は自動的にDuo Pushに対して通知が飛んできます。
　これでVPN接続が完了です！
　Duoの動作イメージは資料だけ見てもなかなかつかみにくいのですが、実際にやってみるとよくわかります。設定内容もお作法的なところさえつかんでしまえば、特に難しいところはなかったように思います。
　今回はRADIUSを使った仕組みのご紹介でしたので、次回はもう一つの用途であるSAML IdPとしてDuoを使用する方法の紹介をしてみたいと思います。

　今回は以上です。