SonicOS/X 7 IPSec VPN

Technical Documentation>  サイト間 VPN>  サイト間 VPN ポリシーの作成>  事前共有鍵を使用する設定
Table of Contents

事前共有鍵を使用する設定

事前共有鍵による IKE (インターネット鍵交換) を使用して VPN ポリシーを設定するには、次の手順を実行します。

  1. ネットワーク | IPSec VPN > ルールと設定」に移動します。

  2. + 追加」を選択して新しいポリシーを作成するか、「編集」アイコンを選択して既存のポリシーを更新します。

  3. 一般」画面の「ポリシー種別」から「サイト間」を選択します。

  4. 認証方式」から「IKE (事前共有鍵を使用)」を選択します。

  5. ポリシーの名前を「名前」フィールドに入力します。

  6. プライマリ IPSec ゲートウェイ名またはアドレス」フィールドにリモート接続のホスト名または IP アドレスを入力します。

  7. リモート VPN 機器が複数のエンドポイントをサポートしている場合は、リモート接続のセカンダリ ホスト名または IP アドレスを「セカンダリ IPSec ゲートウェイ名またはアドレス」フィールドに入力できます。(任意設定)

  8. IKE 認証」セクションで、「共有鍵」と「共有鍵の確認」フィールドに、共有鍵パスワードを入力します。これは、SA (セキュリティ アソシエーション) を設定するために使用します。共有鍵は文字と数字を組み合わせて 4 文字以上で、数字と文字を両方とも含んでいる必要があります。

  9. 両方のフィールドで共有鍵を表示する場合は、「共有鍵を隠す」チェックボックスをオフにします。既定では、「共有鍵を隠す」がオンになっており、共有鍵は黒い丸の列として表示されます。

  10. 必要に応じて、このポリシーの「ローカル IKE ID」および「ピア IKE ID」を指定します。

    ドロップダウン メニューで、以下の ID から選択できます。

    • IPv4 アドレス
    • ドメイン名
    • 電子メール アドレス
    • ファイアウォール識別子
    • 鍵識別子

    既定では、「IP アドレス」 (ID_IPv4_ADDR) がメイン モード ネゴシエーションに使用され、ファイアウォール識別子 (ID_USER_FQDN) がアグレッシブ モードに使用されます。

  11. ローカル IKE ID」と「ピア IKE ID」フィールドに、アドレス、名前、または ID を入力します。

  12. ネットワーク」をクリックします。

  13. ローカル ネットワーク」の下で、次のいずれかを選択します。

    ローカル ネットワークをリストより選択 特定のローカル ネットワークが VPN トンネルにアクセス可能である場合は、ドロップダウン メニューからローカル ネットワークを選択します。
    すべてのアドレス

    このオプションは、トラフィックがすべてのローカル ネットワークから発信できるか、ピアで「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。保護ゾーンと VPN ゾーンの間に、自動追加のルールが作成されます。

    VPN を越えた DHCP は IKEv2 ではサポートされていません。

  14. リモート ネットワーク」の下で、次のいずれかを選択します。

    この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する

    ローカル ユーザからの暗号化されていないトラフィックを 装置から発信できないようにする場合は、このオプションを選択します。

    この設定を使用する場合は、SA を 1 つだけ設定できます。
    対象先ネットワークは、この VPN トンネルを通じた DHCP を使用して IP アドレスを取得する

    リモート ネットワークがローカル ネットワークの DHCP サーバから IP アドレスを要求する場合、このオプションを選択します。

    このオプションは、「プロポーザル」タブで「メイン モード」または「アグレッシブ モード」を選択した場合にのみ使用できます。
    対象先ネットワークをリストより選択 ドロップダウン メニューからリモート ネットワークを選択します。
    IKEv2 IP プールを使用する

    IKEv2 設定ペイロードをサポートするには、このオプションを選択します。

    このオプションは、「プロポーザル」タブで「IKEv2 モード」を選択した場合にのみ使用できます。

  15. プロポーザル」を選択します。

  16. IKE (フェーズ 1) プロポーザル」で、「鍵交換モード」ドロップダウン メニューから以下のオプションのうち 1 つを選択します。

    メイン モード IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
    アグレッシブ モード 通常は WAN アドレッシングが動的に割り当てられる場合に使用されます。IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
    IKEv2 モード

    すべてのネゴシエーションを、IKEv1 フェーズ 1 よりも IKEv2 プロトコルで実行するようにします。

    IKE v2 モードを選択する場合は、VPN トンネルの両端で IKE v2 を使用する必要があります。選択されると、「DH グループ」、「暗号化」、および「認証」フィールドは淡色表示となり、定義できなくなります。

  17. IKE (フェーズ 1) プロポーザル」の下の、残りのオプションの数値を設定します。「DH グループ」、「暗号化」、「認証」、および「存続期間」の既定値はほとんどの VPN 設定に使用できます。

    鍵交換モード」フィールドにおいて「IKEv2 モード」が選択されている場合、「DH グループ」、「暗号化」、および「認証」フィールドは淡色表示となり、これらのオプションに対する選択はできません。

    トンネルの反対側のフェーズ 1 の値が一致するように設定してください。

    1. メイン モード」または「アグレッシブ モード」の場合、「DH グループ」に対して、いくつかの Diffie-Hellman 鍵交換から選択できます。

      Suite B 暗号に含まれる Diffie-Hellman グループ その他の Diffie-Hellman オプション
      256 ビット ランダム ECP グループ グループ 1
      384 ビット ランダム ECP グループ グループ 2
      521 ビット ランダム ECP グループ グループ 5
      192 ビット ランダム ECP グループ グループ 14
      224 ビット ランダム ECP グループ  

    2. メイン モード」または「アグレッシブ モード」を選択した場合は、「暗号化」フィールドに対して、「3DES」、「DES」、「AES-128」 (既定)、「AES-192」、または「AES-256」のうちの 1 つをドロップダウン メニューから選択します。

    3. メイン モード」または「アグレッシブ モード」が選択されている場合、「認証」フィールドに対して、強化された認証セキュリティのために、「SHA-1」 (既定)、「MD5」、「SHA256」、「SHA384」、または「SHA512」から選択してください。

    4. すべての「鍵交換」モードについて、「存続期間 (秒)」を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。

  19. IPsec (フェーズ 2) プロポーザル」セクションで、オプションを設定します。「プロトコル」、「暗号化」、「認証」、「Perfect Forward Secrecy を有効にする」、および「存続期間 (秒)」の既定値は、ほとんどの VPN SA 設定に使用できます。

    トンネルの反対側のフェーズ 2 の値が一致するように設定してください。

    • プロトコル」フィールドで「ESP」を選択した場合は、「暗号化」フィールドで、Suite B 暗号化に含まれる以下の 6 つの暗号化アルゴリズムを選択できます。

      Suite B 暗号化オプション その他のオプション
      AESGCM16-128 DES
      AESGCM16-192 3DES
      AESGCM16-256 AES-128
      AESGMAC-128 AES-192
      AESGMAC-192 AES-256
      AESGMAC-256 なし

    • プロトコル」フィールドで「AH」を選択した場合、「暗号化」フィールドは淡色表示になり、オプションは選択できません。

  20. 詳細」を選択します。

  21. 次のオプション設定のうち VPN ポリシーに適用したいものをすべて選択します。オプションは、「プロポーザル」画面でどのオプションを選択したかによって変わります。

    オプション メイン モードまたはアグレッシブ モード (以下のメイン モードおよびアグレッシブ モードの「詳細設定」の図を参照) IKEv2 モード (以下の IKEv2 モードの「詳細設定」の図を参照)
    詳細設定
    キープ アライブを有効にする

    この VPN トンネルでピア間のハートビート メッセージを使用する場合に選択します。トンネルの一方の側が失敗した場合、キープアライブ ハートビートを使用することにより、両サイドが再び利用可能になった後でトンネルの自動的な再ネゴシエートが可能になります。提案された存続期間が期限切れになるまで待つ必要はありません。

    キープ アライブのオプションは、VPN ポリシーが VPN を越えた DHCP のセントラル ゲートウェイとして設定されている場合、または、プライマリ ゲートウェイ名またはアドレスが 0.0.0.0 である場合は、無効になります。

    		 IKEv2 モードでは選択できません。
    この VPN ポリシーに対してアクセス ルールを自動生成しない 選択しない (既定) と、付随するアクセス ルールが自動的に作成されます。詳細については、「VPN が自動的に追加するアクセス ルール コントロール」を参照してください。 選択しない (既定) と、付随するアクセス ルールが自動的に作成されます。詳細については、「VPN が自動的に追加するアクセス ルール コントロール」を参照してください。
    IPsec アンチリプレイを無効にする IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。 IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。
    XAUTH を利用した VPN クライアントの認証を要求する この VPN ポリシーのすべての受信トラフィックは、XAUTH/RADIUS で認証されたユーザからのものである必要があります。認証されていないトラフィックは VPN トンネルでは許可されません。 IKEv2 モードでは使用できません。
    Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。 ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。
    マルチキャストを有効にする 選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。 選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。
    WXA グループ なし」(既定値) または「グループ 1」を選択します。 なし」(既定値) または「グループ 1」を選択します。
    Suite B 互換アルゴリズムのみを表示する Suite B 互換アルゴリズムのみを表示したい場合に選択します。 Suite B 互換アルゴリズムのみを表示したい場合に選択します。
    NAT ポリシーを適用する

    ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。

    通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。

    ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。

    通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
    この SA を経由しての管理 ローカル ファイアウォールを VPN トンネル経由で管理するには、このオプションで「HTTPS」、「SSH」、「SNMP SonicWall」のいずれかを選択します。 ローカル ファイアウォールを VPN トンネル経由で管理するには、このオプションで「HTTPS」、「SSH」、「SNMP SonicWall」のいずれかを選択します。
    この SA を経由してのユーザ ログイン 「HTTP」または「HTTPS」、あるいは両方を選択すると、SA を使用してログインできます。リモート認証を使用した HTTP ユーザ ログインは許可されません。 「HTTP」または「HTTPS」、あるいは両方を選択すると、SA を使用してログインできます。リモート認証を使用した HTTP ユーザ ログインは許可されません。
    デフォルト LAN ゲートウェイ (オプション) トンネルに入る前の LAN を通じて未知のサブネットに向けたトラフィックをルーティングしたい場合、このオプションを選択してください。たとえば、(「ネットワーク」画面の「リモート ネットワーク」で) 「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択した場合は、ルータのアドレスを入力してください。 トンネルに入る前の LAN を通じて未知のサブネットに向けたトラフィックをルーティングしたい場合、このオプションを選択してください。たとえば、(「ネットワーク」画面の「リモート ネットワーク」で) 「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択した場合は、ルータのアドレスを入力してください。
    VPN ポリシーの適用先 ドロップダウン メニューからインターフェースかゾーンを選択します。WAN の負荷分散を使用していて、VPN でいずれかの WAN インターフェースを使用する場合は、ゾーン WAN が推奨される選択です。重要: VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。 ドロップダウン メニューからインターフェースかゾーンを選択します。WAN の負荷分散を使用していて、VPN でいずれかの WAN インターフェースを使用する場合は、ゾーン WAN が推奨される選択です。重要: VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。
    セカンダリ ゲートウェイを先制する 指定した時間の後に 2 番目のゲートウェイを先制 (プリエンプト) するには、このチェックボックスをオンにし、「プライマリ ゲートウェイ検知間隔 (秒)」オプションで目的の時間を設定します。既定の時間は 28800 秒、つまり 8 時間です。 指定した時間の後に 2 番目のゲートウェイを先制 (プリエンプト) するには、このチェックボックスをオンにし、「プライマリ ゲートウェイ検知間隔 (秒)」オプションで目的の時間を設定します。既定の時間は 28800 秒、つまり 8 時間です。
    IKEv2 設定
    IKE SA ネゴシエーション中に、トリガー パケットを送信しない メイン モードまたはアグレッシブ モードでは使用できません。 選択されてい「ない」 (既定) ピアがトリガー パケットを処理できない場合の相互運用性のために必要な場合のみ、オンにしてください。セキュリティ ポリシー データベースから適切な保護 IP アドレス範囲を選択できるように IKEv2 応答側を支援するためにトリガー パケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、IKE ピアによってはトリガー パケットを含めないのが適切な場合があります。
    ハッシュと URL 証明書種別を受け入れる メイン モードまたはアグレッシブ モードでは使用できません。 お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器に対して HTTP 証明書検索がサポートされているというメッセージを送信します。
    ハッシュと URL 証明書種別を送信する メイン モードまたはアグレッシブ モードでは使用できません。 お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器からのメッセージに応答して、 HTTP 証明書検索がサポートされているという内容を確認します。
  22. OK」をクリックします。

  23. ネットワーク | IPSec VPN > ルールと設定」ページで、「適用」を選択して、VPN ポリシーを更新します。