• SonicOS および SonicOSX 7 IPSec VPN
• IPSec VPN の概要
  • 仮想プライベート ネットワークについて
  • VPN の種類
    • IPsec VPN
    • VPN を越えた DHCP
    • IPsec を利用した L2TP
    • SSL VPN
  • VPN のセキュリティ
    • IKEv1 について
    • IKEv2 について
    • IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
    • IPsec (フェーズ 2) プロポーザルについて
    • Suite B 暗号化について
  • VPN ベース の設定と表示
    • ポリシー
    • アクティブ トンネル
    • 設定
  • IPv6 VPN の設定
  • VPN が自動的に追加するルール コントロール
• サイト間 VPN
  • サイト間設定の計画
  • 一般的な VPN 構成
    • 「一般」タブでの設定
    • 「ネットワーク」タブでの設定
    • 「プロポーザル」タブでの設定
    • 「詳細」タブでの設定
  • GroupVPN ポリシーの管理
    • 事前共有鍵を使用する IKE の設定
    • サード パーティ証明書を使用する IKE の設定
    • GroupVPN クライアント ポリシーのダウンロード
  • サイト間 VPN ポリシーの作成
    • 事前共有鍵を使用する設定
    • マニュアル キーを使用する設定
    • サードパーティ証明書を使った設定
    • リモート SonicWall ネットワーク セキュリティ装置の設定
    • 静的ルートへの VPN フェイルオーバーの設定
• VPN 自動プロビジョニング
  • VPN 自動プロビジョニングについて
    • VPN 自動プロビジョニングの定義
    • VPN 自動プロビジョニングの利点
    • VPN 自動プロビジョニングの仕組み
      • IKE フェーズ 1 セキュリティ関連付けの確立について
      • プロビジョニングされたポリシーを使用した IKE フェーズ 2 の確立について
  • VPN AP サーバの設定
    • VPN AP サーバ設定の開始
    • 「一般」画面でのVPN AP サーバの設定
    • 「ネットワーク」画面でのVPN AP サーバの設定
    • 「プロポーザル」画面での詳細設定
    • 「詳細」画面での詳細設定
  • VPN AP クライアントの設定
• ルールと設定
  • トンネル インターフェースの追加
    • トンネル インターフェースに対して静的ルートを作成
  • 異なるネットワーク セグメントを使用するルート エントリ
  • ネットワークへの静的ルートの冗長化
• 詳細
  • VPN の詳細設定
  • IKEv2 の設定
  • OCSP を SonicWall ネットワーク セキュリティ装置で使用
    • OpenCA OCSP Responder
    • OCSP で使用する証明書のロード
    • VPN ポリシーでOCSPを使用
• VPN を越えた DHCP
  • DHCP リレー モード
  • VPN を越えた DHCP 用のセントラル ゲートウェイの設定
  • VPN を越えた DHCP のリモート ゲートウェイの設定
  • VPN を越えた現在の DHCP リース
• L2TP サーバと VPN クライアント アクセス
  • L2TP サーバの設定
  • 現在動作中の L2TP セッションの表示
  • Microsoft Windows L2TP VPN クライアント アクセスの設定
  • Google Android L2TP VPN クライアント アクセスの設定
• AWS VPN
  • 概要
  • 新しい VPN 接続の作成
  • VPN 接続の確認
    • ファイアウォールでの設定
    • アマゾン ウェブ サービスでの設定
  • 経路伝搬
  • AWS リージョン
  • VPN 接続の削除
• SonicWall サポート
  • このドキュメントについて

「ネットワーク」画面でのVPN AP サーバの設定

「ネットワーク」画面で VPN AP サーバを設定するには、以下の手順に従います。

1. 「ネットワーク | IPSec VPN > ルールと設定」ページに移動します。
2. 「IP バージョン」として「IPv4」を選択します。
3. 「+ 追加」をクリックします。「VPN ポリシー」ダイアログが表示されます。
4. 「一般」タブの「認証方式」で、「SonicWall 自動プロビジョニング サーバ」を選択します。

5. 「ネットワーク」タブを選択します。

   

6. 「ローカル ネットワーク」の下で、「XAUTH を利用した VPN AP クライアントの認証を要求する」を選択して、SA の確立時にセキュリティ向上のためにユーザ資格情報の使用を強制します。

7. XAUTH オプションが有効になっている場合は、「XAUTH に使用するユーザ グループ」ドロップダウン メニューから許可するユーザのユーザ グループを選択します。「Trusted Users」のような既存のグループまたは別の標準グループを選択することも、カスタム グループを作成するために「ユーザ グループの作成」を選択することもできます。

   認証される各ユーザについて、認証サービスはプロビジョニング交換時に VPN AP クライアントに送信される 1 つ以上のネットワーク アドレスを返します。

   XAUTH が有効になっていてユーザ グループが選択されている場合、VPN AP クライアント側のユーザは、認証を成功させるために次の条件を満たしている必要があります。

   • ユーザは選択したユーザ グループに属している必要がある。

   • ユーザは「デバイス | ユーザ > 設定 | ユーザ認証方式」で設定されている認証方式をパスできる。

   • ユーザは VPN アクセス権限を持っている。

8. XAUTH オプションが無効になっている場合は、ネットワーク アドレス オブジェクトまたはグループを「認証されていない VPN AP クライアントのアクセスを許可する」ドロップダウン メニューから選択するか、「アドレス オブジェクト/グループの新規作成」を選択してカスタム オブジェクトまたはグループを作成します。選択したオブジェクトは、この VPN 接続経由でアクセスできるアドレスおよびドメインのリストを定義しています。このオブジェクトは、プロビジョニング交換時に VPN AP クライアントに送信され、その後 VPN AP クライアントのリモート プロキシ ID として使用されます。

9. 「リモート ネットワーク」で、次のいずれかのラジオ ボタンを選択し、該当する場合は、関連付けられているリストからの選択を行います。

   • 対象先ネットワークをリストより選択 – VPN AP クライアント側のルーティング可能な実際のネットワークであるリモート アドレス オブジェクトのドロップダウン メニューからネットワーク オブジェクトを選択するか、カスタム オブジェクトを作成します。

   VPN自動プロビジョニングは、AP クライアントの保護されたすべてのサブネットを含む "スーパー ネットワーク" の使用をサポートしていません。保護されたサブネットの異なる複数の AP クライアントが同じ AP サーバに接続できるようにするには、AP クライアントの保護されたサブネットをすべて含むアドレス グループを設定し、そのアドレス グループを「対象先ネットワークをリストから選択」フィールドで使用します。このアドレス グループは、新しい AP クライアントの追加にともない、最新の状態を維持する必要があります。

   • 認証サービスを介して NAT プロキシを取得する – RADIUS サーバがユーザの Framed-IP アドレス属性を返すようにするには、このオプションを選択します。この属性は、トラフィックを IPsec トンネルに送信する前に内部アドレスを NAT によって変換するために VPN AP クライアントによって使用されます。

   • NAT プールの選択 – ドロップダウン メニューからネットワーク オブジェクトを選択するか、カスタム オブジェクトを作成します。選択したオブジェクトは、NAT で使用するために VPN AP クライアントに割り当てるアドレスのプールを指定しています。クライアントは、その内部アドレスを NAT プール内のアドレスに変換してから IPsec トンネルにトラフィックを送信します。

     VPN 自動プロビジョニングを配備する際には、既存および予期される VPN AP クライアントのすべてに対して十分大きな NAT IP アドレス プールを割り当てる必要があります。そうしないと、プール内のすべての IP アドレスが割り当て済みになった場合に VPN AP クライアントが適切に機能できなくなります。

     大きな IP プールを設定しても、小さなプールより多くのメモリが消費されるわけではないので、安全のために余るくらいに大きなプールを割り当てます。これがベスト プラクティスです。

10. 続きは「「プロポーザル」での詳細設定」で説明します。