Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモートアクセスVPN—NCP専用クライアントの作成

現在地: ネットワーク > VPN > IPsec VPN

NCP専用リモートアクセスクライアントは、ジュニパーSRXシリーズゲートウェイ向けのNCP専用リモートアクセスソリューションの一部です。VPN クライアントは、NCP 排他リモートアクセス管理でのみ使用できます。SRXシリーズゲートウェイとの接続時に、NCPエクスクルーシブクライアントを使用して、任意の場所から安全なIPsecベースのデータリンクを確立します。

Juniperセキュアコネクト用のリモートアクセスVPNを作成するには、次の手順に従います。

  1. IPsec VPN ページの右上にある [ VPN > リモート アクセス > NCP 専用クライアント の作成 を選択してください。

    [リモート アクセスの作成 (NCP 専用クライアント)] ページが表示されます。

  2. 1 から表 5 に示すガイドラインに従って、設定を完了します。

    トポロジで VPN 接続が灰色から青色の線に変わり、構成が完了したことを示します。

  3. [ 保存 ] をクリックして変更を保存します。

    変更を破棄する場合は、[ キャンセル] をクリックします。

表 1: 「リモートアクセスの作成 (NCP 専用クライアント)」ページのフィールド

フィールド

アクション

名前

リモート アクセス接続の名前を入力します。この名前は、NCP 専用クライアントにエンドユーザー接続名として表示されます。

説明

説明を入力します。この説明は、IKE および IPsec のプロポーザル、ポリシー、リモート アクセス プロファイル、クライアント構成、および NAT ルール セットに使用されます。

編集中に、IPsecポリシーの説明が表示されます。IPsec ポリシーとリモート アクセス プロファイルの説明が更新されます。

ルーティングモード

このオプションは、リモート アクセスでは無効です。

デフォルト モードはトラフィック セレクター(自動ルート挿入)です。

認証方法

デバイスがインターネットキー交換(IKE)メッセージの送信元を認証するために使用する認証方法をリストから選択します。

  • EAP ベース:EAP-MSCHAPv2 は、RADIUS サーバによって検証されたユーザ アカウント クレデンシャル(外部ユーザ認証用)を使用して、ネットワーク アクセスを認証します。

  • 事前共有キー(ユーザー名とパスワード)— 2つのピア間で共有される秘密鍵で、認証時にピアを相互に識別するために使用されます。

ファイアウォールポリシーの自動作成

[はい(Yes)] を選択すると、内部ゾーンとトンネル インターフェイス ゾーンの間に、ローカル保護ネットワークを送信元アドレス、リモート保護ネットワークを宛先アドレスとするファイアウォール ポリシーが自動的に作成されます。

別のファイアウォールポリシーがビザ逆に作成されます。

[ いいえ] を選択した場合は、ファイアウォール ポリシーのオプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。

メモ:

VPN ワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルとリモートゲートウェイの両方で動的ルーティングに対して非表示になります。

リモートユーザー

トポロジー内のリモート ユーザー アイコンを表示します。

このオプションは無効です。

ローカルゲートウェイ

トポロジー内のローカル ゲートウェイ アイコンを表示します。アイコンをクリックして、ローカルゲートウェイを設定します。

フィールドについて詳しくは、 表 2 を参照してください。

IKE および IPsec の設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で構成します。

フィールドについて詳しくは、 表 5 を参照してください。

メモ:

  • J-Web は 1 つのカスタム IKE プロポーザルのみをサポートし、事前定義されたプロポーザルセットはサポートしません。J-Webは、編集および保存時に、設定されている場合、定義済みのプロポーザルセットを削除します。

  • VPN トンネルのリモート ゲートウェイでは、同じカスタム プロポーザルとポリシーを設定する必要があります。

  • 編集時に、J-Webは、複数のカスタムプロポーザルが設定されている場合、最初のカスタムIKEおよびIPsecプロポーザルを表示します。
表 2: [ローカル ゲートウェイ] ページのフィールド

フィールド

アクション

ゲートウェイはNATの背後にある

ローカルゲートウェイがNATデバイスの背後にある場合は、このオプションを有効にします。

NAT IP アドレス

SRXシリーズファイアウォールのパブリック(NAT)IPアドレスを入力します。

メモ:

このオプションは、[ ゲートウェイが背後にある] NAT が有効になっている場合にのみ使用できます。NAT デバイスを参照する IPv4 アドレスを設定できます。

IKE ID

このフィールドは必須です。IKE ID を user@example.com の形式で入力します。

外部インターフェイス

クライアントが接続する発信インターフェイスをリストから選択します。

指定したインターフェイスに複数の IPv4 アドレスが設定されている場合、リストには使用可能なすべての IP アドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。

トンネル インターフェイス

クライアントが接続するインターフェイスをリストから選択します。

[ Add ] をクリックして、新しいインターフェイスを追加します。トンネル インターフェイスの作成 ページは現われます。新しいトンネル インターフェイスの作成の詳細については、 表 3 を参照してください。

[ Edit ] をクリックして、選択したトンネル インターフェイスを編集します。

事前共有キー

事前共有キーの次のいずれかの値を入力します。

  • ASCII テキスト - ASCII テキスト キー。

  • 16 進数 - 16 進数のキー。

メモ:

このオプションは、認証方法が事前共有キーの場合に使用できます。

ローカル証明書

リストからローカル証明書を選択します。

ローカル証明書には、RSA 証明書のみが一覧表示されます。

証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、次を参照してください: デバイス証明書を追加する

証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、次を参照してください: デバイス証明書をインポートする

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

信頼できる CA/グループ

リストから信頼できる認証局/グループプロファイルを選択します。

CA プロファイルを追加するには、[ CA プロファイルの追加] をクリックします。CA プロファイルの追加の詳細については、次を参照してください: 認証局プロファイルを追加する

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

ユーザー認証

このフィールドは必須です。リモート アクセス VPN にアクセスするユーザーの認証に使用する認証プロファイルを一覧から選択します。

[ 追加 ] をクリックして、新しいプロファイルを作成します。新しいアクセス プロファイルの作成の詳細については、「 アクセス プロファイルの追加」を参照してください。

SSL VPN プロファイル

リモート アクセス接続の終了に使用する SSL VPN プロファイルを一覧から選択します。

新しい SSL VPN プロファイルを作成するには、次の手順に従います。

  1. [ 追加] をクリックします。

  2. 次の詳細を入力します。

    • 名前:SSL VPN プロファイルの名前を入力します。

    • ロギング:SSL VPN のロギングを行うには、このオプションを有効にします。

    • SSL 終端プロファイル:リストから SSL 終端プロファイルを選択します。

      新しい SSL 終端プロファイルを追加するには、次の手順を実行します。

      1. [ 追加] をクリックします。

      2. 次の詳細を入力します。

        • 名前:SSL 終端プロファイルの名前を入力します。

        • サーバー証明書 - リストからサーバー証明書を選択します。

          証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、次を参照してください: デバイス証明書を追加する

          証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、次を参照してください: デバイス証明書をインポートする

        • OK をクリックします。

      3. OK をクリックします。

  3. OK をクリックします。

送信元NATトラフィック

このオプションはデフォルトで有効になっています。

Juniper Secure Connectクライアントからのすべてのトラフィックは、デフォルトで選択されたインターフェイスにNATされます。

無効にした場合、リターントラフィックを正しく処理するために、SRXシリーズファイアウォールを指すネットワークからのルートがあることを確認する必要があります。

インターフェイス

送信元NATトラフィックが通過するインターフェイスをリストから選択します。

保護されたネットワーク

[+] をクリックします。保護されたネットワークの作成 ページが表示されます。
保護されたネットワークの作成

ゾーン

ファイアウォールポリシーでソースゾーンとして使用するセキュリティゾーンをリストから選択します。

グローバルアドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。

[ 追加 ] をクリックして、クライアントが接続できるネットワークを選択します。

[グローバル アドレスの作成] ページが表示されます。フィールドについて詳しくは、 表 4 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[保護されたネットワークの編集] ページが表示され、編集可能なフィールドが表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップします。

[はい] をクリックして、保護されたネットワークを削除します。
表 3: トンネル インターフェイスの作成ページのフィールド

フィールド

アクション

インターフェースユニット

論理ユニット番号を入力します。

説明

論理インターフェイスの説明を入力します。

ゾーン

トンネルインターフェイスに追加するゾーンをリストから選択します。

このゾーンは、ファイアウォールポリシーの自動作成に使用されます。

[ 追加 ] をクリックして、新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK ] をクリックします。

ルーティングインスタンス

リストからルーティングインスタンスを選択します。

メモ:

デフォルトのルーティングインスタンスであるプライマリは、論理システム内のメインinet.0ルーティングテーブルを参照します。
表 4: [グローバル アドレスの作成] ページのフィールド

フィールド

アクション

名前

グローバルアドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは使用できません。最大 63 文字です。

IP タイプ

IPv4 を選択します。
IPv4

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネットを入力します。
表 5: IKE と IPsec の設定

フィールド

アクション
IKE 設定
メモ:

以下のパラメータは自動的に生成され、J-Web UIには表示されません。

  • 認証方法が事前共有キーの場合、IKEバージョンは1、ike-user-typeはshared-ike-id、モードはアグレッシブです。

  • 認証方法が Certificate Based の場合、IKE バージョンは 2、ike-user-type は group-ike-id、モードは Main です。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は AES-CBC 256 ビットです。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットなどです。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間(秒単位)を選択します。

デフォルト値は 28,800 秒です。範囲: 180 から 86,400 秒。

デッドピア検出

ピアに発信IPsecトラフィックがあるかどうかに関係なく、デッドピア検出要求を送信するには、このオプションを有効にします。

DPDモード

リストからいずれかのオプションを選択します。

  • optimized:発信トラフィックがあり、着信データトラフィックがない場合にのみプローブを送信します-RFC3706(デフォルトモード)。

  • probe-idle-tunnel—最適化モードと同じようにプローブを送信し、送受信データトラフィックがない場合にもプローブを送信します。

  • always-send:送受信データトラフィックに関係なく、プローブを定期的に送信します。

DPD間隔

デッドピア検出メッセージを送信する間隔(秒)を選択します。デフォルトの間隔は 10 秒です。範囲は 2 から 60 秒です。

DPDスレッショルド

1 から 5 までの数値を選択して、障害 DPD しきい値を設定します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回です。
アドバンス構成(オプション)

NAT-T

IPsecトラフィックがNATデバイスを通過するには、このオプションを有効にします。

NAT-TはIKEフェーズ1のアルゴリズムで、SRXシリーズファイアウォールの1つの前にNATデバイスがある場合に、2つのゲートウェイデバイス間にVPN接続を確立しようとするときに使用されます。

NAT キープ アライブ

適切なキープアライブ間隔を秒単位で選択します。範囲: 1 から 300。

VPNの非アクティブ状態が長期間続くことが予想される場合、キープアライブ値を設定して人工的なトラフィックを生成し、NATデバイス上でセッションをアクティブな状態に保つことができます。

IKE 接続制限

VPN プロファイルがサポートする同時接続の数を入力します。

範囲は 1 から 4294967295 です。

最大接続数に達すると、IPsec VPN にアクセスしようとするリモート アクセス ユーザー (VPN) エンドポイントは、IKE (インターネット キー交換) ネゴシエーションを開始できなくなります。

IKEv2 フラグメント化

このオプションはデフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは個別に暗号化および認証されます。

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

IKEv2 フラグメント サイズ

フラグメントに分割されるまでの IKEv2 メッセージの最大サイズをバイト単位で選択します。

サイズは IPv4 メッセージに適用されます。範囲: 570 から 1320 バイト。

デフォルト値は 576 バイトです。

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。
IPsec設定

暗号化アルゴリズム

暗号化方法を選択します。デフォルト値は AES-GCM 256 ビットです。

認証アルゴリズム

リストからIPsec認証アルゴリズムを選択します。たとえば、HMAC-SHA-256-128 のようになります。

メモ:

このオプションは、暗号化アルゴリズムが gcm でない場合に使用できます。

完全転送機密保持

リストから[完全転送機密保持(PFS)]を選択します。デバイスは、このメソッドを使用して暗号化キーを生成します。デフォルト値は group19 です。

PFS は、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは向上しますが、処理時間が長くなります。

メモ:

group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000ラインのデバイスのみをサポートします。

ライフタイム秒

IPsecセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。SA の有効期限が切れると、新しい SA および SPI(セキュリティ パラメーター インデックス)に置き換えられるか、終了します。デフォルトは 3,600 秒です。範囲: 180 から 86,400 秒。

ライフタイムキロバイト

IPsec SAのライフタイム(キロバイト単位)を選択します。デフォルトは 256kb です。範囲: 64 から 4294967294。
詳細設定

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた番号のシーケンスを使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションはデフォルトで有効になっています。アンチリプレイは、シーケンス番号を単に無視するのではなく、シーケンス番号をチェックしてチェックを強制します。

IPsec メカニズムにエラーがあり、その結果、パケットの順序が狂い、適切な機能が妨げられる場合は、アンチリプレイを無効にします。

インストール間隔

デバイスへのキー更新済みアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1 から 10 までの値を選択します。

アイドル時間

アイドル時間間隔を選択します。セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。範囲は 60 から 999999 秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を選択します。

  • clear—外部ヘッダーからDFビットをクリア(ディセーブル)します。これがデフォルトです。

  • copy - DF ビットを外部ヘッダーにコピーします。

  • set - 外部ヘッダーの DF ビットを設定(有効化)します。

外部 DSCP のコピー

このオプションはデフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化されたサービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 復号化後、クリア テキスト パケットが内部 CoS(DSCP+ECN)ルールに従うことができるようになります。

関連ドキュメント