Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート アクセス VPN の作成 - Juniper Secure Connect

ご紹介: ネットワーク > VPN > IPsec VPN

Juniper Secure Connectは、ネットワークリソースに安全な接続を提供する、ジュニパーのクライアントベースのSSL-VPNソリューションです。

Juniper Secure Connectは、ユーザーがインターネットを使用して企業のネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択して、優れた管理者とユーザーエクスペリエンスを提供します。

ジュニパーセキュアコネクト向けのリモートアクセスVPNを作成するには、次の手順にいます。

  1. IPsec VPN ページの右上にある [Juniper Secure Connect > VPN >リモート アクセス作成] を選択します。

    「リモートアクセスの作成(Juniper Secure Connect)」ページが表示されます。

  2. 表 1~表 6 に示すガイドラインに従って、設定を完了します。

    VPN 接続は、構成が完了したことを示すために、トポロジーの灰色から青色の線に変わります。

  3. 自動ポリシー作成オプションを選択した場合は、[ 保存 ] をクリックして Secure Connect VPN の設定と関連ポリシーを完了します。

    変更を破棄する場合は、[ キャンセル] をクリックします。

表 1: リモート アクセスの作成(Juniper Secure Connect)ページのフィールド

フィールド

アクション

名前

リモートアクセス接続の名前を入力します。この名前は、Juniper Secure Connectクライアントのエンドユーザーのレルム名として表示されます。

説明

説明を入力します。この説明は、IKEとIPsecのプロポーザル、ポリシー、リモートアクセスプロファイル、クライアント構成、NATルールセットに使用します。

編集中に、IPsecポリシーの説明が表示されます。IPsecポリシーとリモートアクセスプロファイルの説明は更新されます。

ルーティング モード

このオプションは、リモートアクセスでは無効になっています。

デフォルトモードはトラフィックセレクター(自動ルート挿入)です。

認証方法

デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。

  • 事前共有鍵(デフォルトの方法)—事前共有鍵(2 つのピア間で共有される秘密鍵)が認証時に使用され、相互にピアを識別することを指定します。各ピアに同じキーを設定する必要があります。これはデフォルトの方法です。

  • 証明書ベース—デジタル署名の種類を指定します。これは、証明書所有者の身元を確認する証明書です。

    サポートされている署名は rsa-signatures です。rsa-signatures は、暗号化とデジタル署名をサポートする公開鍵アルゴリズムが使用されることを指定します。

ファイアウォール ポリシーの自動作成

[はい] を選択すると、ローカル保護ネットワークを送信元アドレスとし、リモート保護ネットワークを宛先アドレスとする内部ゾーンとトンネル インターフェイス ゾーンの間にファイアウォール ポリシーが自動的に作成されます。

別のファイアウォールポリシーはvisaで作成されます。その逆も同様です。

[いいえ] を選択した場合、ファイアウォール ポリシーオプションはありません。VPNを機能させるためには、必要なファイアウォールポリシーを手動で作成する必要があります。

メモ:

VPNワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルゲートウェイとリモートゲートウェイの両方で動的ルーティング用に非表示になります。

リモートユーザー

トポロジーにリモート ユーザー アイコンを表示します。このアイコンをクリックして、Juniper Secure Connectクライアント設定を構成します。

フィールドの詳細については、 表 2 を参照してください。

メモ:

J-Web UI では、ローカル ゲートウェイが構成されると、リモート ユーザーの URL が表示されます。

ローカル ゲートウェイ

トポロジーにローカル ゲートウェイ アイコンを表示します。アイコンをクリックしてローカル ゲートウェイを構成します。

フィールドの詳細については、 表 3 を参照してください。

IKEおよびIPsec設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。

フィールドの詳細については、 表 6 を参照してください。

メモ:

  • J-Webは、1つのカスタムIKEプロポーザルのみをサポートし、事前定義されたプロポーザルセットをサポートしていません。編集および保存すると、J-Webは構成されている場合に定義済みのプロポーザルセットを削除します。

  • VPNトンネルのリモートゲートウェイでは、同じカスタムプロポーザルとポリシーを設定する必要があります。

  • 編集時に、複数のカスタムプロポーザルが設定されている場合、J-Webは最初のカスタムIKEとIPsecプロポーザルを表示します。
表 2: リモート ユーザー ページのフィールド

フィールド

アクション

デフォルト プロファイル

リモートアクセスのデフォルトプロファイルとして設定されたVPN名を使用するには、このオプションを有効にします。

メモ:

  • このオプションは、デフォルト プロファイルが設定されている場合は使用できません。

  • デフォルト プロファイルを有効にする必要があります。有効になっていない場合は、 [VPN > IPsec VPN >リモート アクセス VPN のグローバル設定>デフォルト プロファイルを構成します。

接続モード

リストから以下のいずれかのオプションを選択して、Juniper Secure Connectクライアント接続を確立します。

  • 手動 —ログインするたびに VPN トンネルに手動で接続する必要があります。

  • 常時— ログインするたびに、自動的に VPN トンネルに接続されます。

デフォルトの接続モードは手動です。

SSL VPN

Juniper Secure ConnectクライアントからSRXシリーズデバイスへのSSL VPN接続を確立するには、このオプションを有効にします。

デフォルトでは、このオプションは有効になっています。

メモ:

これは、IPsec ポートに到達できない場合のフォールバック オプションです。

バイオメトリクス認証

このオプションを有効にして、固有の設定された方法を使用してクライアント システムを認証します。

クライアント システムで接続すると、認証プロンプトが表示されます。VPN 接続は、 Windows Hello 用に構成された方法(フィンガープリント認識、顔認識、PIN 入力など)を介して、認証に成功した後にのみ開始されます。

バイオメトリクス認証オプションが有効になっている場合、クライアントシステムでWindows Helloを事前に設定する必要があります。

デッドピア検出

デッドピア検出(DPD)オプションを有効にして、Juniper Secure ConnectクライアントがSRXシリーズデバイスに到達可能であるかどうかを検出できます。

このオプションを無効にすると、SRXシリーズデバイス接続の到達可能性が回復するまで、Juniper Secure Connectクライアントが検出できるようになります。

このオプションは、デフォルトで有効になっています。

DPD 間隔

ピアがデッドピア検出(DPD)リクエストパケットを送信する前に、宛先ピアからのトラフィックを待機する時間を入力します。範囲は 2~60 秒で、デフォルトは 60 秒です。

DPD しきい値

ピアが利用できないと見なされる前に、デッドピア検出(DPD)要求の最大数を入力します。範囲は 1~5 で、デフォルトは 5 です。

証明 書

証明書を有効にして、Secure Client Connectで証明書オプションを設定します。

メモ:

このオプションは、証明書ベースの認証方法を選択した場合にのみ使用できます。

期限切れに関する警告

Secure Connectクライアントで証明書の期限切れ警告を表示するには、このオプションを有効にします。

このオプションは、デフォルトで有効になっています。

メモ:

このオプションは、証明書を有効にした場合にのみ使用できます。

警告間隔

警告を表示する間隔(日)を入力します。

範囲は1~90です。デフォルト値は60です。

メモ:

このオプションは、証明書を有効にした場合にのみ使用できます。

接続当たりのピン req

このオプションを有効にして、非常に接続の証明書ピンを入力します。

このオプションは、デフォルトで有効になっています。

メモ:

このオプションは、証明書を有効にした場合にのみ使用できます。

EAP-TLS

認証プロセスでこのオプションを有効にします。IKEv2 では、ユーザー認証に EAP が必要です。SRX シリーズ デバイスは EAP サーバーとして機能しません。EAP 認証を行うには、IKEv2 EAP に外部 RADIUS サーバーを使用する必要があります。SRXは、Juniper Secure ConnectクライアントとRADIUSサーバーの間でEAPメッセージをリレーするパススルー認証として機能します。

このオプションは、デフォルトで有効になっています。

メモ:

このオプションは、証明書ベースの認証方法を選択した場合にのみ使用できます。

Windowsログオン

Windows システムにログオンする前に、ユーザーが Windows ドメインに安全にログオンできるようにする場合は、このオプションを有効にします。このクライアントは、企業ネットワークへの VPN 接続を確立した後、認証情報サービス プロバイダを使用してドメイン ログオンをサポートします。

ドメイン名

ユーザーマシンがログに記録するシステムドメイン名を入力します。

モード

リストから次のいずれかのオプションを選択して、Windows ドメインにログオンします。

  • 手動 — Windows ログオン画面でログオン データを手動で入力する必要があります。

  • 自動 — クライアント ソフトウェアは、ここで入力したデータを操作なしで Microsoft ログオン インターフェイス(認証情報プロバイダ)に転送します。

ログアウト時の切断

システムが休止モードまたはスタンバイ モードに切り替えたときに、このオプションを有効にして接続をシャットダウンします。システムが休止状態またはスタンバイ モードから再開すると、接続を再確立する必要があります。

ログアウト時のフラッシュ認定資格

キャッシュからユーザー名とパスワードを削除するには、このオプションを有効にします。ユーザー名とパスワードを再入力する必要があります。

リードタイム

ネットワークログオンとドメインログオンの間の時間を初期化するためのリードタイムを入力します。

接続を設定した後は、ここで設定した初期化時間が経過した後にのみ Windows ログオンが実行されます。

EAP 認証

このオプションを有効にすると、資格情報プロバイダーで宛先ダイアログが表示される前に EAP 認証を実行できます。次に、後続のダイヤルインに EAP が必要かどうかに関係なく、システムが必要な PIN を要求します。

このオプションが無効になっている場合、EAP 認証は宛先選択後に実行されます。

自動ダイアログを開く

このオプションを有効にして、リモート ドメインへの接続確立のためにダイアログが自動的に開くかどうかを選択します。

このオプションが無効になっている場合、クライアントのパスワードと PIN は Windows ログオン後にのみ照会されます。
表 3:ローカル ゲートウェイ ページのフィールド

フィールド

アクション

ゲートウェイが NAT の背後にある

ローカル ゲートウェイが NAT デバイスの背後にある場合は、このオプションを有効にします。

NAT IP アドレス

SRX シリーズ デバイスのパブリック(NAT)IP アドレスを入力します。

メモ:

このオプションは、 ゲートウェイが NAT の背後にある 場合にのみ使用できます。NATデバイスを参照するようにIPv4アドレスを設定できます。

IKE ID

このフィールドは必須です。IKE ID を user@example.com 形式で入力します。

外部インターフェイス

クライアントが接続するリストから発信インターフェイスを選択します。

指定されたインターフェイスに複数のIPv4アドレスが設定されている場合、このリストには利用可能なすべてのIPアドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。

トンネル インターフェイス

接続するクライアントのリストからインターフェイスを選択します。

[ 追加] をクリックして新しいインターフェイスを追加します。[トンネル インターフェイスの作成] ページが表示されます。新しいトンネル インターフェイスの作成の詳細については、 表 4 を参照してください。

選択したトンネル インターフェイスを編集するには、[ 編集 ] をクリックします。

事前共有キー

事前共有キーの以下の値のいずれかを入力します。

  • asciiテキスト — ASCIIテキストキー。

  • 16 進 — 16 進キー。

メモ:

このオプションは、認証方法が事前共有キーの場合に使用できます。

ローカル証明書

リストからローカル証明書を選択します。

ローカル証明書は、RSA証明書のみを一覧表示します。

証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の 追加」を参照してください。

証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書の インポート」を参照してください。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

信頼できる CA/グループ

リストから信頼できる認証機関/グループ プロファイルを選択します。

CA プロファイルを追加するには、 [ CA プロファイルの追加] をクリックします。CA プロファイルの追加の詳細については、「 認証局プロファイル の追加」を参照してください。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

ユーザー認証

このフィールドは必須です。リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。

[ 追加] をクリックして新しいプロファイルを作成します。新しいアクセス プロファイルの作成の詳細については、「 アクセス プロファイル の追加」を参照してください。

SSL VPN プロファイル

リモート アクセス接続の終端に使用する SSL VPN プロファイルをリストから選択します。

新しい SSL VPN プロファイルを作成するには、以下の手順に示します。

  1. [ 追加] をクリックします。

  2. 以下の詳細を入力します。

    • 名前 — SSL VPN プロファイルの名前を入力します。

    • ロギング —このオプションを有効にして、SSL VPN 用にログを記録します。

    • SSL 終端プロファイル — リストから SSL 終端プロファイルを選択します。

      新しい SSL 終端プロファイルを追加するには、以下の手順に示します。

      1. [ 追加] をクリックします。

        [SSL 終端プロファイルの作成] ページが表示されます。

      2. 以下の詳細を入力します。

        • 名前 — SSL 終端プロファイルの名前を入力します。

        • サーバー証明書 — リストからサーバー証明書を選択します。

          証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の 追加」を参照してください。

          証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書の インポート」を参照してください。

        • [ OK] をクリックします

      3. [ OK] をクリックします

  3. [ OK] をクリックします

ソース NAT トラフィック

このオプションは、デフォルトで有効になっています。

Juniper Secure Connectクライアントからのトラフィックはすべて、デフォルトで選択されたインターフェイスにNATedされます。

無効にした場合、リターン トラフィックを正しく処理するために、SRX シリーズ デバイスを指し示すネットワークからのルートがあることを確認する必要があります。

インターフェイス

ソース NAT トラフィックが通過するインターフェイスをリストから選択します。

保護されたネットワーク

[ +] をクリックします。[保護されたネットワークの作成] ページが表示されます。
保護されたネットワークの構築

ゾーン

ファイアウォール ポリシーのソース ゾーンとして使用するセキュリティ ゾーンを一覧から選択します。

グローバルアドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。

[ 追加] をクリックして、クライアントが接続できるネットワークを選択します。

[グローバル アドレスの作成] ページが表示されます。フィールドの詳細については、 表 5 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[保護されたネットワークの編集] ページが編集可能なフィールドとともに表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップします。

保護されたネットワークを削除するには、[ はい ] をクリックします。
表 4: [トンネル インターフェイスの作成] ページのフィールド

フィールド

アクション

インターフェイスユニット

論理ユニット番号を入力します。

説明

論理インターフェイスの説明を入力します。

ゾーン

リストからゾーンを選択して、トンネルインターフェイスに追加します。

このゾーンは、ファイアウォールポリシーの自動作成に使用されます。

[ 追加] をクリックして新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK] をクリックします

ルーティング インスタンス

リストからルーティング インスタンスを選択します。

メモ:

デフォルトのルーティングインスタンスであるプライマリは、論理システム内のメインinet.0ルーティングテーブルを指します。
表 5:グローバルアドレスの作成ページのフィールド

フィールド

アクション

名前

グローバルアドレスの名前を入力します。名前は、英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列でなければなりません。スペースは使用できません。最大63文字。

IP タイプ

[ IPv4] を選択します
IPv4

IPv4 アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネットを入力します。
表 6:IKE および IPsec 設定

フィールド

アクション
IKE 設定
メモ:

以下のパラメーターは自動的に生成され、J-Web UI には表示されません。

  • 認証方法が事前共有キーの場合、IKEバージョンはv1、ike-user-typeは shared-ike-id、モードはアグレッシブです。

  • 認証方法が証明書ベースの場合、IKEバージョンはv2、ike-user-typeは shared-ike-id、モードはメインです。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は AES-CBC 256 ビットです。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットです。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。

ライフタイム秒

IKEセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。

デフォルト値は28,800秒です。範囲:180~86,400秒。

デッドピア検出

このオプションを有効にすると、ピアへの発信 IPsec トラフィックの有無に関係なく、デッド ピア検出要求を送信できます。

DPD モード

リストからオプションのいずれかを選択します。

  • 最適化 - 送信トラフィックがあり、受信データ トラフィックがない場合にのみプローブを送信します - RFC3706(デフォルト モード)。

  • probe-idle-tunnel—最適化モードと同じ方法でプローブを送信し、送信および受信データトラフィックがない場合にもプローブを送信します。

  • always-send—送受信するデータ トラフィックに関係なく、プローブを定期的に送信します。

DPD 間隔

デッドピア検出メッセージを送信する間隔(秒単位)を選択します。デフォルトの間隔は10秒です。範囲は2~60秒です。

DPD しきい値

障害時の DPD しきい値を設定するには、1~5 の数字を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信数は5回です。
事前設定(オプション)

NAT-T

IPsecトラフィックがNATデバイスを通過する場合は、このオプションを有効にします。

NAT-T は、2 台のゲートウェイ デバイス間で VPN 接続を確立しようとするときに使用される IKE フェーズ 1 アルゴリズムで、SRX シリーズ デバイスの 1 つ前に NAT デバイスがあります。

NAT キープアライブ

適切なキープアライブ間隔を秒単位で選択します。範囲:1~300。

VPNが長時間非アクティブであることが予想される場合は、キープアライブ値を設定して人工トラフィックを生成し、NATデバイスでセッションをアクティブに維持することができます。

IKE 接続制限

VPN プロファイルがサポートする同時接続数を入力します。

範囲は1~4294967295です。

最大接続数に達すると、IPsec VPNへのアクセスを試みるリモートアクセスユーザー(VPN)エンドポイントはインターネット鍵交換(IKE)ネゴシエーションを開始できません。

IKEv2 フラグメント化

このオプションは、デフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージをより小さなメッセージに分割して、IP レベルでフラグメント化を発生させないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われ、各フラグメントが個別に暗号化および認証されます。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

IKEv2 フラグメント サイズ

IKEv2 メッセージがフラグメントに分割される前に、バイト単位で最大サイズを選択します。

サイズはIPv4メッセージに適用されます。範囲: 570~1320 バイト。

デフォルト値は576バイトです。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。
IPsec 設定
メモ:

認証方法は事前共有キーまたは証明書ベースであり、プロトコルをESPとして自動的に生成します。

暗号化アルゴリズム

暗号化方法を選択します。デフォルト値は AES-GCM 256 ビットです。

認証アルゴリズム

リストから IPsec 認証アルゴリズムを選択します。例えば、HMAC-SHA-256-128 です。

メモ:

このオプションは、暗号化アルゴリズムが gcm ではない場合に利用できます。

完全転送機密保持

リストから完全転送機密保持(PFS)を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値は group19 です。

PFS は、以前の鍵とは独立して、新しい暗号化キーを生成します。グループの番号が大きいほどセキュリティは向上しますが、処理時間は長くなります。

メモ:

group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートしています。

ライフタイム秒

IPsec セキュリティ アソシエーション(SA)のライフタイム(秒単位)を選択します。SAが期限切れになると、新しいSAおよび SPI(セキュリティパラメーターインデックス)または終了したインデックスに置き換えられます。デフォルトは3,600秒です。範囲:180~86,400秒。

ライフタイムキロバイト

IPsec SAのライフタイム(キロバイト)を選択します。デフォルトは256kbです。範囲:64~4294967294。
高度な設定

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた一連の番号を使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを適用します。

IPsec メカニズムでエラーが発生し、パケットが順序外れ、適切な機能を妨げる場合は、アンチリプレイを無効にします。

インストール間隔

デバイスにキー更新されたアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1~10秒の値を選択します。

アイドル時間

アイドル時間の間隔を選択します。トラフィックが受信されない場合、セッションとそれに対応する変換は一定時間後にタイムアウトします。範囲は60~999999秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットをどのように処理するかを選択します。

  • clear — 外側ヘッダーからの DF ビットをクリア(無効)します。これはデフォルトです。

  • copy — DF ビットを外側ヘッダーにコピーします。

  • set — 外側ヘッダーの DF ビットを設定(有効)します。

外部 DSCP のコピー

このオプションは、デフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化サービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 暗号化解除後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。

関連ドキュメント