• SonicOS および SonicOSX 7 IPSec VPN
• IPSec VPN の概要
  • 仮想プライベート ネットワークについて
  • VPN の種類
    • IPsec VPN
    • VPN を越えた DHCP
    • IPsec を利用した L2TP
    • SSL VPN
  • VPN のセキュリティ
    • IKEv1 について
    • IKEv2 について
    • IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
    • IPsec (フェーズ 2) プロポーザルについて
    • Suite B 暗号化について
  • VPN ベース の設定と表示
    • ポリシー
    • アクティブ トンネル
    • 設定
  • IPv6 VPN の設定
  • VPN が自動的に追加するルール コントロール
• サイト間 VPN
  • サイト間設定の計画
  • 一般的な VPN 構成
    • 「一般」タブでの設定
    • 「ネットワーク」タブでの設定
    • 「プロポーザル」タブでの設定
    • 「詳細」タブでの設定
  • GroupVPN ポリシーの管理
    • 事前共有鍵を使用する IKE の設定
    • サード パーティ証明書を使用する IKE の設定
    • GroupVPN クライアント ポリシーのダウンロード
  • サイト間 VPN ポリシーの作成
    • 事前共有鍵を使用する設定
    • マニュアル キーを使用する設定
    • サードパーティ証明書を使った設定
    • リモート SonicWall ネットワーク セキュリティ装置の設定
    • 静的ルートへの VPN フェイルオーバーの設定
• VPN 自動プロビジョニング
  • VPN 自動プロビジョニングについて
    • VPN 自動プロビジョニングの定義
    • VPN 自動プロビジョニングの利点
    • VPN 自動プロビジョニングの仕組み
      • IKE フェーズ 1 セキュリティ関連付けの確立について
      • プロビジョニングされたポリシーを使用した IKE フェーズ 2 の確立について
  • VPN AP サーバの設定
    • VPN AP サーバ設定の開始
    • 「一般」画面でのVPN AP サーバの設定
    • 「ネットワーク」画面でのVPN AP サーバの設定
    • 「プロポーザル」画面での詳細設定
    • 「詳細」画面での詳細設定
  • VPN AP クライアントの設定
• ルールと設定
  • トンネル インターフェースの追加
    • トンネル インターフェースに対して静的ルートを作成
  • 異なるネットワーク セグメントを使用するルート エントリ
  • ネットワークへの静的ルートの冗長化
• 詳細
  • VPN の詳細設定
  • IKEv2 の設定
  • OCSP を SonicWall ネットワーク セキュリティ装置で使用
    • OpenCA OCSP Responder
    • OCSP で使用する証明書のロード
    • VPN ポリシーでOCSPを使用
• VPN を越えた DHCP
  • DHCP リレー モード
  • VPN を越えた DHCP 用のセントラル ゲートウェイの設定
  • VPN を越えた DHCP のリモート ゲートウェイの設定
  • VPN を越えた現在の DHCP リース
• L2TP サーバと VPN クライアント アクセス
  • L2TP サーバの設定
  • 現在動作中の L2TP セッションの表示
  • Microsoft Windows L2TP VPN クライアント アクセスの設定
  • Google Android L2TP VPN クライアント アクセスの設定
• AWS VPN
  • 概要
  • 新しい VPN 接続の作成
  • VPN 接続の確認
    • ファイアウォールでの設定
    • アマゾン ウェブ サービスでの設定
  • 経路伝搬
  • AWS リージョン
  • VPN 接続の削除
• SonicWall サポート
  • このドキュメントについて

VPN の詳細設定

「VPN の詳細設定」は、すべての VPN ポリシーに影響を与えます。また、このセクションでは、OCSP (Online Certificate Status Protocol) 用のソリューションについても説明します。OCSP により、CRL (証明書失効リスト) なしで VPN 証明書状況を確認できます。これで、ファイアウォールで使用される証明書の状況に関するアップデートを適時に行うことができます。この章は、次のセクションで構成されています。

• IKE Dead Peer 検出を有効にする - アクティブでない VPN トンネルをファイアウォールによって破棄する場合に選択します。
  • Dead peer 検出間隔 - "ハートビート" 間隔の秒数を入力します。既定値は 60 秒です。
  • Dead Peer 検出とする未到達ハートビートの回数 - 未到達ハートビート回数を入力します。規定値は 3 です。トリガー レベルに達した場合、VPN 接続はファイアウォールにより破棄されます。ファイアウォールは、フェーズ 1 暗号化手順によって保護された UDP パケットを使用します。
  • 無動作の VPN セッションで Dead Peer 検出を有効にする - 「無動作時 VPN 接続に対するハートビートの間隔 (秒)」フィールドで定義した時刻の値に到達後、動作していない VPN 接続をファイアウォールによって破棄する場合は、この設定を選択します。既定値は“600"秒 (10 分) です。
• 断片化パケットの処理を有効にする - "断片化された IPSec パケットが破棄された" という内容のログ メッセージが VPN ログ レポートに示される場合は、この機能を有効にします。VPN トンネルが確立されて動作状態になるまでは、選択しないでください。
  • DF (Don't Fragment: 断片化を行わない) ビットを無視する - パケット ヘッダーの DF ビットを無視するには、このチェックボックスをオンにします。一部のアプリケーションでは、パケットの'断片化を行わない'のオプションを明示的に設定できます。 これにより、すべてのセキュリティ装置にそのパケットの断片化を行わないように指示されます。このオプションが有効になっていると、ファイアウォールは断片化を行わないためのオプションを無視し、無条件にパケットの断片化を行います。
• NAT トラバーサルを有効にする - VPN エンドポイントの間に NAT デバイスがある場合は、この設定を選択します。IPsec VPN は、認証されたエンドポイント間で交換されるトラフィックを保護しますが、NAT トラバーサルを動作させるために、認証されたエンドポイントをセッションの途中で動的に再マップできません。したがって、IPSec セッションが終了するまで動的な NAT バインドを維持するには、1 バイトの UDP を"NAT トラバーサル キープアライブ"として指定し、NAT 機器または NAPT 機器の背後にある VPN 機器によって送信される"ハートビート"として機能させます。"キープアライブ"は、IPsec peer により何も表示されずに破棄されます。
• ピア ゲートウェイ DNS 名が別の IP アドレスに解決された時、アクティブなトンネルをクリーンアップする - 古い IP アドレスと関連付けられた SA を切断し、ピア ゲートウェイに再接続します。
• 「OCSP 確認を有効にする」および「OCSP 確認用 URL」 － VPN 証明書状況を確認する OCSP (Online Certificate Status Protocol) の使用を有効にし、証明書状況を確認する URL を指定します。「OCSP を SonicWall ネットワーク セキュリティ装置で使用」を参照してください。
• トンネルの状況が変更した場合のみ、VPN トンネル トラップを送信する － トンネルの状況が変化したときにのみトラップを送信することにより、送信される VPN トンネル トラップの数を減らします。
  • RADIUS を以下のモードで使用する - このオプションを選択する主な理由は、VPN クライアント ユーザが MSCHAP 機能を使用して、ログイン時に期限切れパスワードを変更できるようにするためです。VPN クライアント ユーザの認証に RADIUS を使用する場合は、RADIUS を次のどちらのモードで使用するかを選択します。
    • MSCHAP

    • XAUTH 用 MSCHAPv2 モード (ユーザに期限切れパスワードの変更を許可する)

    また、これを設定し、「デバイス | ユーザ > 設定」ページの「ログインの認証方法」として LDAP が選択されているが、LDAP がパスワードの更新を許可する設定になっていない場合、LDAP を使用してユーザ認証が行われた後で、MSCHAP モードの RADIUS を使用して VPN クライアント ユーザのパスワードの更新が実行されます。

    次のいずれかを使用する場合のみ、LDAP によるパスワードの更新が可能です。

    • アクティブ ディレクトリを TLS と共に使用して、管理アカウントを使ってそれにバインドしている
      
    • ノベル イーディレクトリ (Novell eDirectory) を使用している。

• VPN クライアントの DNS および WINS サーバ設定 － GroupVPN を介したサードパーティ VPN クライアントや、モバイル IKEv2 クライアントなど、クライアント用に DNS および WINS サーバ設定を構成するには、「構成」を選択します。「VPN DNS および WINS サーバの追加」ダイアログが表示されます。

  

  • DNS サーバ – DNS サーバを動的に指定するか、手動で指定するかを選択します。

    • WAN ゾーンと同じ DNS 設定にするSonicWall – 装置は、DNS サーバ IP アドレスを自動的に取得します。

    • マニュアルで DNS サーバを指定する – 「DNS サーバ 1/3」フィールドに、DNS サーバ IP アドレスを最大 3 つ入力します。

  • WINS サーバ – 「WINS サーバ 1/2」フィールドに、WINS サーバ IP アドレスを最大 2 つ入力します。