事前共有キーを使用したローカルユーザー認証
概要 この設定では、ローカルユーザー認証にユーザー名とパスワードを使用します。この設定オプションでは、ファイアウォール管理者とやり取りせずに認証情報を変更または復旧することはできません。そのため、この認証方法は推奨されません。代わりに、RADIUS方法を使用した 外部ユーザー認証を使用 することをお勧めします。
Juniper Secure Connectの導入シナリオに示すように、インターフェイス、ゾーン、セキュリティポリシーなど、SRXシリーズファイアウォールの基本的な設定が完了していることを想定しています。
前提条件については、 システム要件を参照してください。
SRXシリーズファイアウォールは、デフォルトのシステム生成証明書の代わりに、署名された証明書または自己署名証明書のいずれかを使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、「 Juniper Secure Connectを導入するための前提条件」の手順を参照してください。
Juniper Secure Connect VPN 設定を構成する
J-Web インターフェイスを使用して VPN 設定を構成するには、次の手順に従います。
- J-Web インターフェイスを使用して SRX シリーズ ファイアウォールにログインします。図 1 は、J-Web ログイン ページを示しています。
- J-Web サイド ウィンドウで、ネットワーク > VPN > IPsec VPN に移動します。
-
[IPsec VPN] をクリックすると、[IPsec VPN] ページが表示されます。図 3 は、IPsec VPN ページの例を示しています。
図 3:IPsec VPN ページ
-
ページの右側にある [ VPN >リモート アクセスの作成] > [Juniper Secure Connect ] を選択して、Juniper Secure Connect の IPsec VPN 設定を作成します。
次の警告メッセージが表示されます。
図 4: 自己署名証明書
を生成およびバインドするための警告メッセージ
警告メッセージに記載されているように、自己署名証明書を作成し、証明書をSRXシリーズファイアウォールにバインドします。詳細については、 Juniper Secure Connect設定の準備を参照してください。
リモートアクセスVPNの作成の詳細については、「 リモートアクセスVPN-Juniper Secure Connectの作成」を参照してください。
-
[Network > VPN > IPsec VPN] に再度移動し、ページの右側隅にある [VPN >リモート アクセスの作成> Juniper Secure Connect を選択して、Juniper Secure Connect の IPsec VPN 設定を作成します。「リモートアクセスの作成(Juniper Secure Connect)」ページが表示されます。図 5 は、リモート アクセス VPN を作成する例を示しています。
図 5:VPN の作成 - リモート アクセス
図 6 は、事前共有鍵認証方法を使用したリモート アクセス ページの作成の例を示しています。
図 6:事前共有鍵認証方法
のリモート アクセス ページの作成
-
- 「リモート アクセスの作成(Juniper Secure Connect)」ページ( 図 7 を参照)。
リモートアクセス接続の名前 (Juniper Secure Connectアプリケーションのエンドユーザーレルム名に表示される名前)と説明を入力します。
ルーティングモードは、デフォルトで トラフィックセレクター(自動ルート挿入) に設定されています。
認証方法を選択します。この例では、ドロップダウン リストから [ 事前共有キー ] を選択します。
[ はい ] を選択すると、[ファイアウォール ポリシーの 自動作成 ] オプションを使用してファイアウォール ポリシーが自動的に作成されます。
図 7:事前共有鍵認証方法
- [ リモートユーザー ]アイコンをクリックして、Juniper Secure Connectアプリケーション設定を構成します。
図 8:リモート ユーザー ページ
図 8 は、リモート ユーザー ページの例を示しています。
[リモート ユーザー] ページでオプションを選択し、[OK] をクリックして 、リモート ユーザー クライアントを構成 します 。
表 1 は 、リモート ユーザー設定オプションをまとめたものです。
表 1:リモート ユーザー設定オプション リモートユーザー設定
説明
デフォルト プロファイル
デフォルトプロファイルは、デフォルトで有効になっています。このプロファイルをデフォルト プロファイルにしない場合は、切り替えボタンをクリックします。
VPN 接続 プロファイルのデフォルト プロファイル を有効にした場合、Juniper Secure Connect はデフォルト プロファイルをレルム名として自動的に選択します(この例では 、https://12.12.12.12/)。この場合、Juniper Secure Connect にレルム名を入力するのはオプションです。
VPN接続 プロファイルのデフォルトプロファイル を無効にする場合、Juniper Secure Connectにゲートウェイアドレス(この例では https://12.12.12.12/JUNIPER_SECURE_CONNECT)と一緒にレルム名を入力する必要があります。
メモ:Junos OS 23.1R1 リリース以降、J-Web ではデフォルト プロファイルは非推奨となりました。ただし、CLIでは、すぐに削除するのではなく、後方互換性を確保し、既存の設定を変更された設定に適合させる機会を提供します。構成で default-profile オプションを引き続き使用すると、警告メッセージが表示されます。ただし、CLIを使用して現在の設定を変更した場合、既存の導入には影響しません。default-profile(Juniper Secure)を見る
接続モード
クライアント接続を手動または自動で確立するには、適切なオプションを選択します。
[ 手動] を選択し、Juniper Secure Connect アプリケーションで接続を確立するには、切り替えボタンをクリックするか、メニューから [ 接続>接続 ] を選択する必要があります。
[常時]を選択すると、Juniper Secure Connectが自動的に接続を確立します。
既知の制限:
Android デバイス: [ 常時] を選択した場合は、最初に使用した SRX デバイスから構成がダウンロードされます。最初のSRXシリーズファイアウォールの設定が変更された場合、または新しいSRXデバイスに接続した場合、設定はJuniper Secure Connectアプリケーションにダウンロードされません。
つまり、Android デバイスを使用して常時モードで接続すると、SRX シリーズ ファイアウォールの設定変更は Juniper Secure Connect には反映されません。
SSL VPN
Juniper Secure ConnectアプリケーションからSRXシリーズファイアウォールへのSSL VPN接続のサポートを有効にするには、切り替えボタンをクリックします。IPsecポートが許可されていない場合は、このオプションを使用します。 SSL VPN を有効にすることで、クライアントは SRX シリーズ ファイアウォールを柔軟に接続できます。デフォルトでは、 SSL VPN は有効になっています。
バイオメトリクス認証
このオプションは、デフォルトでは無効になっています。このオプションを有効にすると、Juniper Secure Connectで[接続]をクリックすると、Juniper Secure Connectに認証プロンプトが表示されます。
このオプションにより、オペレーティングシステムに組み込まれたバイオメトリクス認証サポートを使用して、認証情報を保護できます。
デッドピア検出
デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達可能で、デバイスに到達できない場合は、到達可能性が回復するまで接続を無効にします。
Windowsログオン
このオプションにより、ユーザーは(Windowsプレログオンを使用して)既に確立されたVPNトンネルを介してローカルWindowsシステムにログオンし、セントラルWindowsドメインまたはActive Directoryに認証できます。
- [ ローカル ゲートウェイ ] をクリックしてローカル ゲートウェイ設定を構成します。
図 9 は、ローカル ゲートウェイの構成設定の例を示しています。
図 9:ローカル ゲートウェイの設定
[ゲートウェイが NAT の背後にある] を有効にすると、テキスト ボックスが表示されます。テキスト ボックスに NAT IP アドレスを入力します。IPv4アドレスのみをサポートしています。NAT アドレスは外部アドレスです。
-
IKE IDを user@hostname.com 形式で入力します。例えば、 abc@xyz.com。
-
[外部インターフェイス] フィールドで、接続するクライアントの IP アドレスを選択します。Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに、この同じIPアドレス(この例では https://12.12.12.12/)を入力する必要があります。
[ゲートウェイが NAT の背後にある] を有効にすると、NAT IP アドレスがゲートウェイ アドレスになります。
トンネル インターフェイス ドロップダウン リストから、ルートベース VPN にバインドするインターフェイスを選択します。または、[追加] をクリックします。[追加] をクリックすると、[トンネル インターフェイスの作成] ページが表示されます。
図 10 は 、トンネル インターフェイスの作成ページの例を示しています。
図 10:トンネル インターフェイス ページ
の作成
次に利用可能なST0論理インターフェイス番号が インターフェイスユニットフィールドに表示され、このインターフェイスの説明を入力できます。このトンネル インターフェイスを に追加するゾーンを選択します。[リモート アクセス の作成] ページで [ファイアウォール ポリシーの自動作成 ] が [はい] に設定されている場合、ファイアウォール ポリシーはこのゾーンを使用します。[ OK] をクリックします。
-
事前共有鍵を ASCII 形式で入力します。リモートアクセスVPNの16進形式には対応していません。
-
[ユーザー認証] ドロップダウン リストから、既存のアクセス プロファイルを選択するか、または [追加] をクリックして新しいアクセス プロファイルを作成します。[追加] をクリックすると、[アクセス プロファイルの作成] ページが表示されます。
図 11 は、[アクセス プロファイルの作成] ページの例を示しています。
図 11:アクセス プロファイル ページ
の作成
アクセス プロファイル名を入力します。 [アドレス割り当て] ドロップダウン リストから、アドレス プールを選択するか、 [ アドレス プールの作成] をクリックします。[ アドレス プールの作成] をクリックすると、[アドレス プールの作成] ページが表示されます。
図 12 は 、アドレス プールの作成ページの例を示しています。
図 12:アドレス プール ページ
の作成
-
クライアントのVPNポリシーにあるローカルIPプールの詳細を入力します。IP アドレス プールの名前を入力します。
-
アドレス割り当てに使用するネットワーク アドレスを入力します。
-
DNS サーバーのアドレスを入力します。必要に応じて、WINS サーバーの詳細を入力します。次に[追加]アイコン(+)をクリックして、クライアントにIPアドレスを割り当てるアドレス範囲を作成します。
-
名前と、下限と上限を入力します。詳細を入力した後、[OK] をクリック します。
ローカル認証ユーザーを作成する場合は、[ ローカル ] チェック ボックスをオンにして、すべての認証の詳細が SRX シリーズ ファイアウォールに保存されます。追加アイコン(+)をクリックすると、[ ローカル認証ユーザーの作成 ]ウィンドウが表示されます。
図 13 は 、ローカル認証ユーザー ページの作成例を示しています。
図 13:ローカル認証ユーザー ページ
の作成
ユーザー名とパスワードを入力し、[OK] をクリック します。もう一度 [OK] を クリックして、アクセス プロファイルの設定を完了します。
-
-
[SSL VPN Profile] ドロップダウン リストから、既存のプロファイルを選択するか、または [追加] をクリックして新しい SSL VPN プロファイルを作成します。[追加] をクリックすると、[SSL VPN プロファイルの追加] ページが表示されます。
図 14 は 、[SSL VPN プロファイルの追加] ページの例を示しています。
図 14:SSL VPN プロファイル ページ
の追加
[ SSL VPN プロファイルの追加] ページで、SSL VPN プロファイルを構成できます。 [名前 ] フィールドに SSL VPN プロファイル名を入力し、必要に応じて[切り替え]を使用してログを有効にします。「 SSL 終端プロファイル」 フィールドで、ドロップダウンから SSL 終端プロファイルを選択します。SSL 終端は、SRX シリーズ ファイアウォールが SSL プロキシー サーバーとして機能し、クライアントからの SSL セッションを終了するプロセスです。新しい SSL 終端プロファイルを作成する場合は、[ 追加] をクリックします。 [SSL 終端プロファイルの作成] ページが表示されます。
図 15 は、[SSL 終端プロファイルの作成] ページの例を示しています。
図 15: SSL 終端プロファイル ページ
の作成
-
SSL 終端プロファイルの名前を入力し、SRX シリーズ ファイアウォールの SSL 終端に使用するサーバー証明書を選択します。[ 追加] をクリックして新しいサーバー証明書を追加するか、 [ インポート ] をクリックしてサーバー証明書をインポートします。サーバー証明書はローカル証明書識別子です。サーバー証明書は、サーバーの ID の認証に使用されます。
-
[ OK] をクリックします。
-
-
ソースNATトラフィックオプションはデフォルトで有効になっています。ソースNATトラフィックが有効になっている場合、Juniper Secure Connectアプリケーションから選択したインターフェイスへのすべてのトラフィックがデフォルトでNATedされます。[ソース NAT トラフィック] オプションを無効にするには、切り替えボタンをクリックします。オプションが無効になっている場合、リターントラフィックを正しく処理するために、SRXシリーズファイアウォールを指し示すネットワークからのルートがあることを確認する必要があります。
[ 保護されたネットワーク] で[追加]アイコン(+)をクリックし、Juniper Secure Connectアプリケーションが接続できるネットワークを選択します。
図 16 は、「保護されたネットワークの作成」ページの例を示しています。
図 16:保護されたネットワーク ページ
の作成
デフォルトでは、任意のネットワーク 0.0.0.0/0 が許可されています。特定のネットワークを設定した場合、Juniper Secure Connectアプリケーションの分割トンネリングが有効になります。デフォルト値を保持する場合、クライアントネットワークからファイアウォールポリシーを調整することで、定義されたネットワークへのアクセスを制限できます。 [OK] をクリックすると、選択したネットワークが保護されたネットワークのリストに表示されます。 [OK] を クリックして、ローカル ゲートウェイの構成を完了します。
図 17 は 、リモート ユーザーおよびローカル ゲートウェイを使用したリモート アクセス設定の正常な完了例を示しています。
図 17:完全なリモート アクセス設定
IKE設定 と IPsec設定 は高度なオプションです。J-Web は、IKE および IPsec パラメーターのデフォルト値ですでに構成されています。これらの設定は必須ではありません。
- これで、リモート ユーザーが接続先の URL を見つけることができます。リモートユーザーと共有するために、このURLをコピーして保存します。この設定がデフォルト プロファイルでない場合は、/xxxx 情報のみが必要です。
図 18 は 、リモート アクセス接続を確立するために、リモート ユーザーが Juniper Secure Connect アプリケーションの [ゲートウェイ アドレス ] フィールドに入力する必要がある URL を示しています。
図 18:コミット リモート アクセス設定
自動ポリシー作成オプションを選択した場合は、[ 保存 ]をクリックしてJuniper Secure Connect VPNの設定と関連するポリシーを完了します。
ハイライトされた [Commit](コミット )ボタン([Feedback Button](フィードバック ボタンの横のページの右上))をクリックして、設定をコミットします。
クライアントマシンにJuniper Secure Connectアプリケーションをダウンロードしてインストールします。Juniper Secure Connectを起動し、SRXシリーズファイアウォールのゲートウェイアドレスに接続します。詳細については 、 Juniper Secure Connectユーザーガイド を参照してください。