SonicOS/X 7 IPSec VPN

Technical Documentation>  サイト間 VPN>  GroupVPN ポリシーの管理>  事前共有鍵を使用する IKE の設定
Table of Contents

事前共有鍵を使用する IKE の設定

事前共有鍵を使用する WAN GroupVPN を設定するには、次の手順に従います。

  1. ネットワーク | IPSec VPN > ルールと設定」に移動します。

  2. WAN GroupVPN ポリシーの編集アイコンを選択します。

    一般」タブにおいて、「IKE (事前共有鍵を使用)」は「認証方式」の既定の設定です。「共有鍵」フィールドの共有鍵は、ファイアウォールによって自動的に生成されます。独自の共有鍵を生成することが可能です。独自に設定する共有鍵は、4 文字以上でなければなりません。

    GroupVPN ポリシーの名前を変更することはできません。

  3. プロポーザル」を選択して設定手順を進めます。

  4. IKE (フェーズ 1) プロポーザル」セクションで、次の設定を選択します。

    • DH グループ」ドロップダウン メニューの「グループ 2」 (既定値) を選択します。

      Windows XP L2TP クライアントは、DH グループ 2 でのみ動作します。

    • 暗号化」ドロップダウン メニューから、「DES」、「3DES」 (既定)、「AES-128」、「AES-192」、または「AES-256」を選択します。

    • 認証」ドロップダウン メニューから、使用する認証方式を選択します。選択肢は、「MD5」、「SHA1」 (既定)、「SHA256」、「SHA384」、または「SHA512」です。

    • 存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。

  5. IPSec (フェーズ 2) プロポーザル」セクションで、次の設定を選択します。

    • プロトコル」ドロップダウン メニューから、「ESP」 (既定) を選択します。
    • 暗号化」ドロップダウン メニューから、「3DES」 (既定)、「AES-128」、「AES-192」、または「AES-256」を選択します。
    • 認証」ドロップダウン メニューから、使用する認証方式を選択します。選択肢は、「MD5」、「SHA1」 (既定)、「SHA256」、「SHA384」、「SHA512」、「AES-XCBC」、または「なし」です。
    • 追加のセキュリティ層として Diffie-Helman 鍵交換を追加する場合は、「Perfect Forward Secrecy を有効にする」を選択します。
    • 存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。

  6. 詳細」を選択します。

  7. GroupVPN ポリシーに適用する次のオプション設定をすべて選択します。

    詳細設定  
    IPsec アンチリプレイを無効にする 重複したシーケンス番号を持つパケットが破棄されないようにします。
    マルチキャストを有効にする IP マルチキャスト トラフィック (音声 (VoIP など)/映像アプリケーション) が VPN トンネルを通過できるようにします。
    クライアントに複数のプロポーザルを許可する クライアント向けの複数のプロポーザル (IKE (フェーズ 1) プロポーザル、IKE (フェーズ 2) プロポーザルなど) を許可します。
    IKE モード構成を有効にする SonicOS/X が、内部 IP アドレス、DNS サーバ、または WINS サーバをサードパーティのクライアント (iOS 機器や Avaya IP 電話など) に割り当てることができるようにします。
    この SA を経由しての管理: - VPN ポリシーを使用してファイアウォールを管理する場合は、管理方法として「HTTPS」、「SSH」、または「SNMP」を選択します。
    補足: SSH は、IPv4 に対してのみ有効です。
    デフォルト ゲートウェイ この VPN ポリシーの受信 IPSec パケットに関して既定ネットワーク ルートの IP アドレスを指定できます。着信パケットはファイアウォールによってデコードされ、ファイアウォールで設定された静的ルートと比較されます。パケットには任意の送信先 IP アドレスが含まれている可能性があるので、トラフィックを処理する十分な静的ルートを設定することはできません。IPSec トンネルを介して受信されるパケットでは、ファイアウォールによってルートが検出されます。ルートが検出されない場合、セキュリティ装置によってデフォルト ゲートウェイがチェックされます。デフォルト ゲートウェイが検出されると、パケットはゲートウェイを介してルーティングされます。そうでない場合、パケットは破棄されます。
    クライアント認証  
    XAUTH を利用した VPN クライアントの認証を要求する この VPN トンネルの受信トラフィックがすべて認証済みのユーザからのものであることを要求します。認証されていないトラフィックは VPN トンネルでは許可されません。既定で「Trusted Users」グループが選択されています。「XAUTH に使用するユーザ グループ」メニューから、別のユーザ グループまたは「Everyone」を選択することができます。
    認証されていない VPN クライアントのアクセスを許可する 認証されていない VPN クライアント アクセスを有効にすることができます。「XAUTH を利用した VPN クライアントの認証を要求する」をオフにすると、「認証されていない VPN クライアントのアクセス許可」メニューが有効になります。事前定義オプションのメニューからアドレス オブジェクトまたはアドレス グループを選択するか、「アドレス オブジェクトの作成」または「アドレス グループの作成」を選択して新規作成します。

  8. クライアント」を選択します。

  9. 次の中から GroupVPN ポリシーに適用したい設定をすべて選択します。

    ユーザ名とパスワードのキャッシュ
    XAUTH ユーザ名とパスワードのクライアント キャッシュ

    グローバル VPN クライアントがユーザ名とパスワードをキャッシュできます。

    • 無効」が選択されると、ユーザ名とパスワードをグローバル VPN クライアントがキャッシュできないようにします。接続が有効なとき、IKE フ��ーズ 1 の鍵交換のたびにユーザはユーザ名とパスワードを要求されます。このオプションは既定の設定です。
    • セッション単位」が選択されると、接続が無効化されるまでの間、接続を有効化してその確認が行われるたびにグローバル VPN クライアント ユーザがユーザ名とパスワードを要求されます。このユーザ名とパスワードは IKE フェーズ 1 の鍵交換で使用されます。
    • 常に」が選択されると、接続が有効化されたときに 1 回だけ、グローバル VPN クライアント ユーザがユーザ名とパスワードを要求されます。その際、ユーザ名とパスワードをキャッシュするかどうか問われます。
    クライアント接続
    仮想アダプター設定

    グローバル VPN クライアント (GVC) による仮想アダプタの使用は、仮想アダプタにアドレスを割り当てるため、DHCP サーバ、内部 SonicOS/X または指定された外部 DHCP サーバによって左右されます。予測可能なアドレッシングが要件の 1 つとされるインスタンスでは、仮想アダプタの MAC アドレスを取得して、DHCP リース予約を作成しなければなりません。仮想アダプタのアドレッシングを提供する管理費用を削減するため、GroupVPN を設定して仮想アダプタの IP 設定の静的アドレッシングを許可できます。

    この機能では、SonicWall GVC を使用する必要があります。

    次のいずれかを選択します。

    この GroupVPN 接続で仮想アダプタを使わない場合は、「なし」を選択します。このオプションは既定の設定です。

    DHCP リース」を選択すると、仮想アダプタが、「VPN > VPN を越えた DHCP」ページの設定に従い、自分の IP 設定を DHCP サーバからのみ取得します。

    「DHCP リースまたは手動設定」を選択すると、GVC がファイアウォールに接続した時に、ファイアウォールのポリシーは GVC が仮想アダプタを使用するよう指示しますが、仮想アダプタが手動で設定されている場合、DHCP メッセージは抑止されます。この設定値はファイアウォールによって記録されるので、手動で割り当てられた IP アドレスに対して ARP のプロキシが行えるようになります。設計により、現在は仮想アダプタの IP アドレスの割り当てには制限がありません。重複した静的アドレスのみが許可されていません。
    次への接続を許可する

    各ゲートウェイの対象先ネットワークに一致しているクライアント ネットワーク トラフィックは、そのゲートウェイの VPN トンネルを介して送信されます。次のいずれかを選択します。

    • このゲートウェイのみ」一度に 1 つの接続を有効にできます。ゲートウェイのポリシーで指定されているように対象先ネットワークに一致するトラフィックは VPN トンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。「このゲートウェイをデフォルト ルートに設定する」を選択しないと、インターネット トラフィックは遮断されます。

    • すべてのゲートウェイ」同時に 1 つ以上の接続を有効にできます。各ゲートウェイの対象先ネットワークに一致しているトラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。

      このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。

    • このオプションを選択して、なおかつ「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。複数のゲートウェイのうちいずれか 1 つのみ、「このゲートウェイをデフォルト ルートに設定する」を有効化できます。
    • トンネル分割」を使用すると、VPN ユーザはローカル インターネット接続と VPN 接続の両方を使用できます。このオプションは既定の設定です。
    このゲートウェイをデフォルト ルートに設定する すべてのリモート VPN 接続が VPN トンネル経由でインターネットにアクセスするとき、このチェック ボックスをオンにします。このオプションを使用する場合は、VPN ポリシーを 1 つだけ設定できます。既定では、このオプションはオフになっています。
    VPN アクセス制御リストを適用する VPN アクセス制御リストを適用するとき、このチェック ボックスをオンにします。これをオンにすると、関係するユーザが自分のために設定されたネットワークだけをアクセスできるようになります。このオプションは既定では無効になっています。
    クライアントへの初期プロビジョニング
    シンプル クライアント プロビジョニングに既定の鍵を使用する ゲートウェイとの最初の交換でアグレッシブ モードが使用され、VPN クライアントでは既定の事前共有鍵が認証に使用されます。このオプションは既定では無効になっています。

  10. OK」をクリックします。

  11. ネットワーク | IPSec VPN > ルールと設定」ページで、「適用」を選択して、VPN ポリシーを更新します。