SonicOS/X 7 IPSec VPN
Table of Contents
トンネル インターフェースの追加
ルート ベース VPN の設定は、次の 2 ステップで行われます。
- トンネル インターフェースを作成します。2 つのエンドポイント間のトラフィックを保護するための暗号スイートが、このトンネル インターフェース内に定義されます。
- トンネル インターフェースを用いて静的または動的ルートを作成します。
トンネル インターフェースは、"トンネル インターフェース" という種類のポリシーをリモート ゲートウェイに追加すると作成されます。トンネル インターフェースは物理インターフェースにバインドされる必要があり、その物理インターフェースの IP アドレスがトンネルを通るパケットの送信元アドレスとして使用されます。
トンネル インターフェースを追加するには、以下の手順に従います。
- 「ネットワーク | IPSec VPN > ルールと設定」に移動します。
- 「IP バージョン」オプションで、「IPv4」または「IPv6」を選択します。
-
「+ 追加」をクリックします。
- 「一般」画面で、「ポリシー種別」として「トンネル インターフェース」を選択します。オプションが次のように変化します。
-
「認証方式」で、次のいずれかを選択します。
- 手動鍵
- IKE (事前共有鍵を使用) (既定)
- IKE (サード パーティ証明書を使用)
- SonicWall 自動プロビジョニング クライアント
- SonicWall 自動プロビジョニング サーバ
「一般」画面の残りのフィールドは、選択したオプションに応じて変化します。
使用可能な選択の詳細については、以下を参照してください。
-
「プロポーザル」を選択します。
-
「IKE (フェーズ 1) プロポーザル」で、「鍵交換モード」ドロップダウン メニューから以下のオプションのうち 1 つを選択します。
メイン モード IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。 アグレッシブ モード 通常は WAN アドレッシングが動的に割り当てられる場合に使用されます。IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。 IKEv2 モード すべてのネゴシエーションを、IKEv1 のフレーズよりも IKEv2 プロトコルで実行するようにします。
IKE v2 モードを選択する場合は、VPN トンネルの両端で IKE v2 を使用する必要があります。選択されると、「DH グループ」、「暗号化」、および「認証」フィールドは無効になり、定義できなくなります。
-
「IKE (フェーズ 1) プロポーザル」の下の、残りのオプションの数値を設定します。「DH グループ」、「暗号化」、「認証」、および「存続期間」の既定値はほとんどの VPN 設定に使用できます。
トンネルの反対側のフェーズ 1 の値が一致するように設定してください。
-
「メイン モード」または「アグレッシブ モード」の場合、「DH グループ」に対して、いくつかの Diffie-Hellman 鍵交換から選択できます。
Suite B 暗号に含まれる Diffie-Hellman グループ その他の Diffie-Hellman オプション 256 ビット ランダム ECP グループ グループ 1 384 ビット ランダム ECP グループ グループ 2 521 ビット ランダム ECP グループ グループ 5 192 ビット ランダム ECP グループ グループ 14 224 ビット ランダム ECP グループ - 「メイン モード」または「アグレッシブ モード」を選択した場合は、「暗号化」フィールドでドロップダウン メニューから「DES」、「3DES」、「AES-128」 (既定)、「AES-192」、または「AES-256」を選択します。
- 「メイン モード」または「アグレッシブ モード」が選択されている場合、「認証」フィールドに対して、強化された認証セキュリティのために、「SHA-1」 (既定)、「MD5」、「SHA256」、「SHA384」、または「SHA512」から選択してください。
- すべての「鍵交換」モードについて、「存続期間 (秒)」を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
-
-
「IPsec (フェーズ 2) プロポーザル」セクションで、オプションを設定します。「プロトコル」、「暗号化」、「認証」、「Perfect Forward Secrecy を有効にする」、および「存続期間 (秒)」の既定値は、ほとんどの VPN SA 設定に使用できます。
トンネルの反対側のフェーズ 2 の値が一致するように設定してください。
- 「プロトコル」フィールドで、「ESP」または「AH」を選択します。
-
「プロトコル」フィールドで「ESP」を選択した場合は、「暗号化」フィールドで、Suite B 暗号化に含まれる以下の 6 つの暗号化アルゴリズムを選択できます。
Suite B 暗号化オプション その他のオプション AESGCM16-128 DES AESGCM16-192 3DES AESGCM16-256 AES-128 AESGMAC-128 AES-192 AESGMAC-192 AES-256 AESGMAC-256 なし 「プロトコル」フィールドで「AH」を選択した場合、「暗号化」フィールドは無効になり、オプションは選択できません。
-
認証フィールドは、ドロップダウン メニューから認証方法を選択します。
- MD5
- SHA1 (既定)
- SHA256
- SHA384
- SHA512
- AES-XCBC
-
セキュリティ強化を行う場合、「Perfect Forward Secrecy を有効にする」を選択します。
-
「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
-
「詳細」を選択します。
-
以下の詳細オプションを設定できます (既定では、いずれもオフになっています)。
詳細設定 オプション メイン モードまたはアグレッシブ モード IKEv2 モード キープ アライブを有効にする ルート ベース インターフェースでは、選択できません。 ルート ベース インターフェースでは、選択できません。 IPsec アンチリプレイを無効にする IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。 IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。 高度なルーティングを許可する このトンネル インターフェースを、「ネットワーク | システム > 動的ルーティング」ページの「ルーティング プロトコル」テーブル内のインターフェース リストに追加します。 このトンネル インターフェースを、「ネットワーク | システム > 動的ルーティング」ページの「ルーティング プロトコル」テーブル内のインターフェース リストに追加します。 補足: このオプションは、トンネル インターフェースを高度なルーティング (RIP、OSPF) に使う場合に選択する必要があります。これをオプション設定にすることで、「ルーティング プロトコル」テーブルにすべてのトンネル インターフェースを追加する必要はなくなり、ルーティング設定が簡易化されます。 トランスポート モードを有効にする このオプションは、GRE (汎用ルーティング カプセル化) などの別のトンネリング プロトコルによって既にカプセル化されているパケットを保護するために使用されます。ペイロードと ESP トレーラのみを暗号化するため、元のパケットの IP ヘッダーは暗号化されません。 「IKEv2 モード」では使用できません。 Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。 ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。 マルチキャストを有効にする 選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。 選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。 WXA グループ 「なし」(既定値) または「グループ 1」を選択します。 「なし」(既定値) または「グループ 1」を選択します。 Suite B 互換アルゴリズムのみを表示する Suite B 互換アルゴリズムのみを表示したい場合に選択します。 Suite B 互換アルゴリズムのみを表示したい場合に選択します。 NAT ポリシーを適用する ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。
通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。
通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
この SA を経由しての管理 ローカル ファイアウォールを VPN トンネル経由で管理するには、このオプションで「HTTPS」、「SSH」、「SNMP SonicWall」のいずれかを選択します。 ローカル ファイアウォールを VPN トンネル経由で管理するには、このオプションで「HTTPS」、「SSH」、「SNMP SonicWall」のいずれかを選択します。 この SA を経由してのユーザ ログイン 「HTTP」または「HTTPS」、あるいは両方を選択すると、SA を使用してログインできます。
リモート認証を使用した HTTP ユーザ ログインは許可されません。
「HTTP」または「HTTPS」、あるいは両方を選択すると、SA を使用してログインできます。
リモート認証を使用した HTTP ユーザ ログインは許可されません。
VPN ポリシーの適用先 ドロップダウン メニューからインターフェースを選択します。
VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。
ドロップダウン メニューからインターフェースを選択します。
VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。
IKEv2 設定 オプション メイン モードまたはアグレッシブ モード IKEv2 モード IKE SA ネゴシエーション中に、トリガー パケットを送信しない 使用不可 選択されてい「ない」 (既定) ピアがトリガー パケットを処理できない場合の相互運用性のために必要なときだけ、オンにしてください。セキュリティ ポリシー データベースから適切な保護 IP アドレス範囲を選択できるように IKEv2 応答側を支援するためにトリガー パケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、IKE ピアによってはトリガー パケットを含めないのが適切な場合があります。 ハッシュと URL 証明書種別を受け入れる 使用不可 お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器に対して HTTP 証明書検索がサポートされているというメッセージを送信します。 ハッシュと URL 証明書種別を送信する 使用不可 お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器からのメッセージに応答して、 HTTP 証明書検索がサポートされているという内容を確認します。 - 「保存」をクリックします。
-
「ネットワーク | IPSec VPN > ルールと設定」ページで、「適用」を選択して、VPN ポリシーを更新します。