SonicOS/X 7 IPSec VPN

Technical Documentation>  VPN 自動プロビジョニング>  VPN AP サーバの設定>  「ネットワーク」画面でのVPN AP サーバの設定
Table of Contents

「ネットワーク」画面でのVPN AP サーバの設定

「ネットワーク」画面で VPN AP サーバを設定するには、以下の手順に従います。

  3. ネットワーク | IPSec VPN > ルールと設定」ページに移動します。
  4. IP バージョン」として「IPv4」を選択します。
  5. + 追加」をクリックします。「VPN ポリシー」ダイアログが表示されます。
  6. 一般」タブの「認証方式」で、「SonicWall 自動プロビジョニング サーバ」を選択します。

  7. ネットワーク」タブを選択します。

  8. ローカル ネットワーク」の下で、「XAUTH を利用した VPN AP クライアントの認証を要求する」を選択して、SA の確立時にセキュリティ向上のためにユーザ資格情報の使用を強制します。

  9. XAUTH オプションが有効になっている場合は、「XAUTH に使用するユーザ グループ」ドロップダウン メニューから許可するユーザのユーザ グループを選択します。「Trusted Users」のような既存のグループまたは別の標準グループを選択することも、カスタム グループを作成するために「ユーザ グループの作成」を選択することもできます。

    認証される各ユーザについて、認証サービスはプロビジョニング交換時に VPN AP クライアントに送信される 1 つ以上のネットワーク アドレスを返します。

    XAUTH が有効になっていてユーザ グループが選択されている場合、VPN AP クライアント側のユーザは、認証を成功させるために次の条件を満たしている必要があります。

    • ユーザは選択したユーザ グループに属している必要がある。

    • ユーザは「デバイス | ユーザ > 設定 | ユーザ認証方式」で設定されている認証方式をパスできる。

    • ユーザは VPN アクセス権限を持っている。

  10. XAUTH オプションが無効になっている場合は、ネットワーク アドレス オブジェクトまたはグループを「認証されていない VPN AP クライアントのアクセスを許可する」ドロップダウン メニューから選択するか、「アドレス オブジェクト/グループの新規作成」を選択してカスタム オブジェクトまたはグループを作成します。選択したオブジェクトは、この VPN 接続経由でアクセスできるアドレスおよびドメインのリストを定義しています。このオブジェクトは、プロビジョニング交換時に VPN AP クライアントに送信され、その後 VPN AP クライアントのリモート プロキシ ID として使用されます。

  11. リモート ネットワーク」で、次のいずれかのラジオ ボタンを選択し、該当する場合は、関連付けられているリストからの選択を行います。

    • 対象先ネットワークをリストより選択 – VPN AP クライアント側のルーティング可能な実際のネットワークであるリモート アドレス オブジェクトのドロップダウン メニューからネットワーク オブジェクトを選択するか、カスタム オブジェクトを作成します。

    VPN自動プロビジョニングは、AP クライアントの保護されたすべてのサブネットを含む "スーパー ネットワーク" の使用をサポートしていません。保護されたサブネットの異なる複数の AP クライアントが同じ AP サーバに接続できるようにするには、AP クライアントの保護されたサブネットをすべて含むアドレス グループを設定し、そのアドレス グループを「対象先ネットワークをリストから選択」フィールドで使用します。このアドレス グループは、新しい AP クライアントの追加にともない、最新の状態を維持する必要があります。

    • 認証サービスを介して NAT プロキシを取得する – RADIUS サーバがユーザの Framed-IP アドレス属性を返すようにするには、このオプションを選択します。この属性は、トラフィックを IPsec トンネルに送信する前に内部アドレスを NAT によって変換するために VPN AP クライアントによって使用されます。

    • NAT プールの選択 – ドロップダウン メニューからネットワーク オブジェクトを選択するか、カスタム オブジェクトを作成します。選択したオブジェクトは、NAT で使用するために VPN AP クライアントに割り当てるアドレスのプールを指定しています。クライアントは、その内部アドレスを NAT プール内のアドレスに変換してから IPsec トンネルにトラフィックを送信します。

      VPN 自動プロビジョニングを配備する際には、既存および予期される VPN AP クライアントのすべてに対して十分大きな NAT IP アドレス プールを割り当てる必要があります。そうしないと、プール内のすべての IP アドレスが割り当て済みになった場合に VPN AP クライアントが適切に機能できなくなります。

      大きな IP プールを設定しても、小さなプールより多くのメモリが消費されるわけではないので、安全のために余るくらいに大きなプールを割り当てます。これがベスト プラクティスです。

  12. 続きは「「プロポーザル」での詳細設定」で説明します。