Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページ
 

事前共有鍵を使用したローカル ユーザー認証(CLI プロシージャ)

概要

この設定では、ローカル ユーザー認証にユーザー名とパスワードを使用します。この設定オプションでは、ファイアウォール管理者とやり取りせずに認証情報を変更または復旧することはできません。そのため、この認証方法は推奨されません。代わりに、RADIUS メソッドを使用した 外部ユーザー認証を使用 することをお勧めします。

図 1 に示すように、インターフェイス、ゾーン、セキュリティ ポリシーなど、SRX シリーズ デバイスの基本設定が完了していることを前提としています。

図 1:トポロジー Topology

前提条件の詳細については、「 システム要件」を参照してください。

SRX シリーズ デバイスは、デフォルトのシステム生成証明書の代わりに、署名された証明書または自己署名証明書のいずれかを使用するようにする必要があります。Juniper Secure Connectの設定を開始する前に、次のコマンドを実行して証明書をSRXシリーズ デバイスにバインドする必要があります。

例えば:

ここでSRX_Certificateは自己署名証明書です。

CLI クイック設定

SRX シリーズ デバイスでこの例を迅速に設定するには、次のコマンドをコピーしてテキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致させるために必要な詳細情報を変更してから、コマンドを [edit] 階層レベルで CLI にコピーアンドペーストします。

順を追った手順

コマンドライン インターフェイスを使用して VPN 設定を構成するには、次の手順に沿います。

  1. CLI(コマンドライン インターフェイス)を使用して SRX シリーズ デバイスにログインします。
  2. 設定モードにします。
  3. リモート アクセス VPN を設定します。

    Juniper Secure Connect を導入するには、自己署名証明書を作成し、証明書を SRX シリーズ デバイスにバインドする必要があります。詳細については、「 Juniper Secure Connect 構成の準備」を参照してください。

    IKE設定:

    1. IKEプロポーザルを設定します。
      • IKEプロポーザル認証方法、Diffie-Hellmanグループ、および認証アルゴリズムを定義します。
      • 認証方法として 事前共有鍵 を設定します。
      プロポーザル(セキュリティ IKE)を参照してください。
    2. IKE ポリシーを設定します。

      IKE フェーズ 1 ポリシー モード、IKE プロポーザルへの参照、IKE フェーズ 1 ポリシー認証方法を設定します。

      ポリシー(セキュリティ IKE)を参照してください。
    3. IKE ゲートウェイ オプションを設定します。ダイナミックをご覧ください。

      DPD 値とバージョン情報を設定しない場合、Junos OS はこれらのオプションのデフォルト値を割り当てます。 デッドピア検知をご覧ください

      接続するクライアントの外部インターフェイス IP アドレスを設定します。Juniper Secure Connectアプリケーションの ゲートウェイアドレス フィールドに、同じIPアドレス(この例では192.0.2.0)を入力する必要があります。 ゲートウェイを参照してください。

    IPsec 設定:

    1. IPsec プロポーザルを設定します。
      プロポーザル(セキュリティ IPsec)を参照してください。
    2. IPsec ポリシーを設定します。
      • Diffie-Hellman グループ 19 を使用する IPsec フェーズ 2 PFS を指定します。
      • IPsec フェーズ 2 プロポーザル リファレンスを指定します。
      ポリシー(セキュリティ IPsec)を参照してください。

    IPsec VPN の設定:

    1. IPsec VPN パラメーターを設定します。vpn(セキュリティ)を参照してください。
    2. VPN トラフィック セレクターを設定します。トラフィック セレクターを参照してください
  4. リモート ユーザー クライアント オプションを構成します。
    1. リモート アクセス プロファイルを設定します。「リモートアクセス」を参照してください。
    2. リモート アクセス クライアントの構成を構成します。「クライアント構成デフォルト プロファイル」を参照してください。

    表 1 は 、リモート ユーザー設定オプションをまとめたものです。

    表 1:リモート ユーザー設定オプション

    リモート ユーザー設定

    説明

    接続モード

    クライアント接続を手動または自動で確立するには、適切なオプションを設定します。

    • 手動オプションを設定した場合、Juniper Secure Connectアプリケーションで接続を確立するには、切り替えボタンをクリックするか、メニューから接続>接続を選択する必要があります。

    • [常時] オプションを設定すると、Juniper Secure Connect が自動的に接続を確立します。

    既知の制限:

    Android デバイス: [ 常時] を使用または選択した場合、最初に使用した SRX デバイスから設定がダウンロードされます。最初の SRX デバイスの設定が変更された場合、または新しい SRX デバイスに接続した場合、設定は Juniper Secure Connect アプリケーションにダウンロードされません。

    つまり、Android デバイスを使用して 常時 モードで接続すると、SRX デバイスの設定変更は Juniper Secure Connect では有効にはなりません。

    dead-peer-detection

    デフォルトでは、DPD(Dead Peer Detection)が有効になっており、SRX シリーズ デバイスに到達可能で、デバイスに到達できない場合は、到達可能性が回復されるまで接続を無効にします。

    デフォルト -profile

    VPN 接続プロファイルをデフォルト プロファイルとして設定する場合は、Juniper Secure Connect アプリケーションにゲートウェイ アドレスのみを入力する必要があります。アプリケーションがデフォルト プロファイルをレルム名として自動的に選択するため、Juniper Secure Connect アプリケーションにレルム名を入力することはオプションです。この例では、Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに ra.example.com を入力します。
  5. ローカル ゲートウェイを設定します。
    1. クライアントの動的 IP 割り当て用のアドレス プールを作成します。アドレスの割り当て(アクセス)を参照してください。

      • アドレスの割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。IP アドレスをクライアントに割り当てるアドレス範囲を作成します。

      • 名前と下限と上限を入力します。

    2. アクセス プロファイルを作成します。クライアントの VPN ポリシーにあるローカル IP プールの詳細を入力します。IP アドレス プールの名前を入力します。

      クライアント認証情報のSRXローカル認証用のユーザー名とパスワードを入力します。

    3. SSL 終端プロファイルを作成します。SSL終端は、SRXシリーズデバイスがSSLプロキシサーバーとして機能し、クライアントからSSLセッションを終了するプロセスです。SSL 終端プロファイルの名前を入力し、SRX シリーズ デバイスの SSL 終端に使用するサーバー証明書を選択します。サーバー証明書はローカル証明書識別子です。サーバー証明書は、サーバーの ID の認証に使用されます。
    4. SSL VPN プロファイルを作成します。tcp-encap を参照してください。
    5. ファイアウォール ポリシーを作成します。
      trust ゾーンから VPN ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
      VPN ゾーンから trust ゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
  6. イーサネット インターフェイス情報を設定します。

    ファミリー セットを inet として使用して st0 インターフェイスを設定します。

  7. セキュリティ ゾーンを設定します。
  8. リモート ユーザーとローカル ゲートウェイを使用したリモート アクセスの構成が正常に構成されています。
  9. Juniper Secure Connectアプリケーションを起動し、Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドで、外部IPアドレスに対して設定したのと同じIPアドレスを指定します。

    この例では、接続するクライアントの外部インターフェイス IP アドレスとして 192.0.2.0 を設定しました。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに同じIPアドレス(192.0.2.0)を入力する必要があります。

結果

動作モードから、、および show services コマンドをshow securityshow access入力して設定を確認します。出力に意図した設定が表示されない場合は、この例の設定手順を繰り返して修正します。

SSL 終端プロファイルにアタッチするサーバー証明書が既にあることを確認します。

デバイスで機能の設定が完了したら、設定モードから commit と入力します。

関連ドキュメント