• SonicOS および SonicOSX 7 IPSec VPN
• IPSec VPN の概要
  • 仮想プライベート ネットワークについて
  • VPN の種類
    • IPsec VPN
    • VPN を越えた DHCP
    • IPsec を利用した L2TP
    • SSL VPN
  • VPN のセキュリティ
    • IKEv1 について
    • IKEv2 について
    • IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
    • IPsec (フェーズ 2) プロポーザルについて
    • Suite B 暗号化について
  • VPN ベース の設定と表示
    • ポリシー
    • アクティブ トンネル
    • 設定
  • IPv6 VPN の設定
  • VPN が自動的に追加するルール コントロール
• サイト間 VPN
  • サイト間設定の計画
  • 一般的な VPN 構成
    • 「一般」タブでの設定
    • 「ネットワーク」タブでの設定
    • 「プロポーザル」タブでの設定
    • 「詳細」タブでの設定
  • GroupVPN ポリシーの管理
    • 事前共有鍵を使用する IKE の設定
    • サード パーティ証明書を使用する IKE の設定
    • GroupVPN クライアント ポリシーのダウンロード
  • サイト間 VPN ポリシーの作成
    • 事前共有鍵を使用する設定
    • マニュアル キーを使用する設定
    • サードパーティ証明書を使った設定
    • リモート SonicWall ネットワーク セキュリティ装置の設定
    • 静的ルートへの VPN フェイルオーバーの設定
• VPN 自動プロビジョニング
  • VPN 自動プロビジョニングについて
    • VPN 自動プロビジョニングの定義
    • VPN 自動プロビジョニングの利点
    • VPN 自動プロビジョニングの仕組み
      • IKE フェーズ 1 セキュリティ関連付けの確立について
      • プロビジョニングされたポリシーを使用した IKE フェーズ 2 の確立について
  • VPN AP サーバの設定
    • VPN AP サーバ設定の開始
    • 「一般」画面でのVPN AP サーバの設定
    • 「ネットワーク」画面でのVPN AP サーバの設定
    • 「プロポーザル」画面での詳細設定
    • 「詳細」画面での詳細設定
  • VPN AP クライアントの設定
• ルールと設定
  • トンネル インターフェースの追加
    • トンネル インターフェースに対して静的ルートを作成
  • 異なるネットワーク セグメントを使用するルート エントリ
  • ネットワークへの静的ルートの冗長化
• 詳細
  • VPN の詳細設定
  • IKEv2 の設定
  • OCSP を SonicWall ネットワーク セキュリティ装置で使用
    • OpenCA OCSP Responder
    • OCSP で使用する証明書のロード
    • VPN ポリシーでOCSPを使用
• VPN を越えた DHCP
  • DHCP リレー モード
  • VPN を越えた DHCP 用のセントラル ゲートウェイの設定
  • VPN を越えた DHCP のリモート ゲートウェイの設定
  • VPN を越えた現在の DHCP リース
• L2TP サーバと VPN クライアント アクセス
  • L2TP サーバの設定
  • 現在動作中の L2TP セッションの表示
  • Microsoft Windows L2TP VPN クライアント アクセスの設定
  • Google Android L2TP VPN クライアント アクセスの設定
• AWS VPN
  • 概要
  • 新しい VPN 接続の作成
  • VPN 接続の確認
    • ファイアウォールでの設定
    • アマゾン ウェブ サービスでの設定
  • 経路伝搬
  • AWS リージョン
  • VPN 接続の削除
• SonicWall サポート
  • このドキュメントについて

IKE フェーズ 1 セキュリティ関連付けの確立について

VPN AP クライアントは使いやすさを目的としているので、多くの IKE および IPsec パラメータは既定値が設定されるか、自動ネゴシエーションが行われます。VPN AP クライアントは、セキュリティ関連付けの確立を開始しますが、開始時には VPN AP サーバの設定を知りません。

IKE フェーズ 1 を確立できるようにするために、使用可能な選択肢のセットは制限されています。VPN AP クライアントは VPN AP サーバがその設定値の選択元として使用できる複数の変換 (セキュリティ パラメータの組み合わせ) を提案します。フェーズ 1 の変換には次のパラメータが含まれます。

• 認証 - 次のいずれかです。
  • PRESHRD – 事前共有鍵を使用します。
  • RSA_SIG – X.509 証明書を使用します。
  • SW_DEFAULT_PSK – 既定のプロビジョニング キーを使用します。
  • XAUTH_INIT_PRESHARED – 事前共有鍵と XAUTH ユーザ資格情報の組み合わせを使用します。
  • XAUTH_INIT_RSA – X.509 証明書と XAUTH ユーザ資格情報の組み合わせを使用します。

  • SW_XAUTH_DEFAULT_PSK – 既定のプロビジョニング キーと XAUTH ユーザ資格情報の組み合わせを使用します。

  上記のすべての変換には、フェーズ 1 プロポーザル設定向けの制限された値または既定値が含まれています。

  • 鍵交換モード – アグレッシブ モード
  • 暗号化 – AES-256
  • ハッシュ – SHA1
  • DH グループ – Diffie-Hellman グループ 5
  • 存続期間 (秒) – 28800

VPN AP サーバは、VPN AP クライアント プロポーザルに含まれているものから変換を 1 つ選択することで、応答します。VPN AP サーバが XAUTH 認証方式を使用する変換を選択した場合、VPN AP クライアントはフェーズ 1 完了後に行われる XAUTH チャレンジまで待機します。XAUTH 以外の変換が選択された場合は、プロビジョニング フェーズが開始されます。VPN AP サーバは、共有鍵 (VPN AP サーバで設定されている場合) や、VPN AP サーバで設定された VPN AP クライアント ID を含む適切なポリシー値を VPN AP クライアントに提供します。

フェーズ 1 SA の確立とポリシー プロビジョニングの完了後、対象先ネットワークが「ネットワーク | IPSec VPN > ルールと設定」ページの「VPN ポリシー」セクションに表示されます。