SonicOS/X 7 IPSec VPN

Technical Documentation>  詳細>  VPN の詳細設定
Table of Contents

VPN の詳細設定

VPN の詳細設定」は、すべての VPN ポリシーに影響を与えます。また、このセクションでは、OCSP (Online Certificate Status Protocol) 用のソリューションについても説明します。OCSP により、CRL (証明書失効リスト) なしで VPN 証明書状況を確認できます。これで、ファイアウォールで使用される証明書の状況に関するアップデートを適時に行うことができます。この章は、次のセクションで構成されています。

  • IKE Dead Peer 検出を有効にする - アクティブでない VPN トンネルをファイアウォールによって破棄する場合に選択します。
    • Dead peer 検出間隔 - "ハートビート" 間隔の秒数を入力します。既定値は 60 秒です。
    • Dead Peer 検出とする未到達ハートビートの回数 - 未到達ハートビート回数を入力します。規定値は 3 です。トリガー レベルに達した場合、VPN 接続はファイアウォールにより破棄されます。ファイアウォールは、フェーズ 1 暗号化手順によって保護された UDP パケットを使用します。
    • 無動作の VPN セッションで Dead Peer 検出を有効にする - 「無動作時 VPN 接続に対するハートビートの間隔 (秒)」フィールドで定義した時刻の値に到達後、動作していない VPN 接続をファイアウォールによって破棄する場合は、この設定を選択します。既定値は“600"秒 (10 分) です。
  • 断片化パケットの処理を有効にする - "断片化された IPSec パケットが破棄された" という内容のログ メッセージが VPN ログ レポートに示される場合は、この機能を有効にします。VPN トンネルが確立されて動作状態になるまでは、選択しないでください。
    • DF (Don't Fragment: 断片化を行わない) ビットを無視する - パケット ヘッダーの DF ビットを無視するには、このチェックボックスをオンにします。一部のアプリケーションでは、パケットの'断片化を行わない'のオプションを明示的に設定できます。 これにより、すべてのセキュリティ装置にそのパケットの断片化を行わないように指示されます。このオプションが有効になっていると、ファイアウォールは断片化を行わないためのオプションを無視し、無条件にパケットの断片化を行います。
  • NAT トラバーサルを有効にする - VPN エンドポイントの間に NAT デバイスがある場合は、この設定を選択します。IPsec VPN は、認証されたエンドポイント間で交換されるトラフィックを保護しますが、NAT トラバーサルを動作させるために、認証されたエンドポイントをセッションの途中で動的に再マップできません。したがって、IPSec セッションが終了するまで動的な NAT バインドを維持するには、1 バイトの UDP を"NAT トラバーサル キープアライブ"として指定し、NAT 機器または NAPT 機器の背後にある VPN 機器によって送信される"ハートビート"として機能させます。"キープアライブ"は、IPsec peer により何も表示されずに破棄されます。
  • ピア ゲートウェイ DNS 名が別の IP アドレスに解決された時、アクティブなトンネルをクリーンアップする - 古い IP アドレスと関連付けられた SA を切断し、ピア ゲートウェイに再接続します。
  • 「OCSP 確認を有効にする」および「OCSP 確認用 URL」 - VPN 証明書状況を確認する OCSP (Online Certificate Status Protocol) の使用を有効にし、証明書状況を確認する URL を指定します。「OCSP を SonicWall ネットワーク セキュリティ装置で使用」を参照してください。
  • トンネルの状況が変更した場合のみ、VPN トンネル トラップを送信する - トンネルの状況が変化したときにのみトラップを送信することにより、送信される VPN トンネル トラップの数を減らします。
    • RADIUS を以下のモードで使用する - このオプションを選択する主な理由は、VPN クライアント ユーザが MSCHAP 機能を使用して、ログイン時に期限切れパスワードを変更できるようにするためです。VPN クライアント ユーザの認証に RADIUS を使用する場合は、RADIUS を次のどちらのモードで使用するかを選択します。
      • MSCHAP

      • XAUTH 用 MSCHAPv2 モード (ユーザに期限切れパスワードの変更を許可する)

      また、これを設定し、「デバイス | ユーザ > 設定」ページの「ログインの認証方法」として LDAP が選択されているが、LDAP がパスワードの更新を許可する設定になっていない場合、LDAP を使用してユーザ認証が行われた後で、MSCHAP モードの RADIUS を使用して VPN クライアント ユーザのパスワードの更新が実行されます。

      次のいずれかを使用する場合のみ、LDAP によるパスワードの更新が可能です。

      • アクティブ ディレクトリを TLS と共に使用して、管理アカウントを使ってそれにバインドしている
      • ノベル イーディレクトリ (Novell eDirectory) を使用している。

  • VPN クライアントの DNS および WINS サーバ設定 - GroupVPN を介したサードパーティ VPN クライアントや、モバイル IKEv2 クライアントなど、クライアント用に DNS および WINS サーバ設定を構成するには、「構成」を選択します。「VPN DNS および WINS サーバの追加」ダイアログが表示されます。

    • DNS サーバ – DNS サーバを動的に指定するか、手動で指定するかを選択します。

      • WAN ゾーンと同じ DNS 設定にするSonicWall 装置は、DNS サーバ IP アドレスを自動的に取得します。

      • マニュアルで DNS サーバを指定する – 「DNS サーバ 1/3」フィールドに、DNS サーバ IP アドレスを最大 3 つ入力します。

    • WINS サーバ – 「WINS サーバ 1/2」フィールドに、WINS サーバ IP アドレスを最大 2 つ入力します。