• SonicOS および SonicOSX 7 IPSec VPN
• IPSec VPN の概要
  • 仮想プライベート ネットワークについて
  • VPN の種類
    • IPsec VPN
    • VPN を越えた DHCP
    • IPsec を利用した L2TP
    • SSL VPN
  • VPN のセキュリティ
    • IKEv1 について
    • IKEv2 について
    • IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
    • IPsec (フェーズ 2) プロポーザルについて
    • Suite B 暗号化について
  • VPN ベース の設定と表示
    • ポリシー
    • アクティブ トンネル
    • 設定
  • IPv6 VPN の設定
  • VPN が自動的に追加するルール コントロール
• サイト間 VPN
  • サイト間設定の計画
  • 一般的な VPN 構成
    • 「一般」タブでの設定
    • 「ネットワーク」タブでの設定
    • 「プロポーザル」タブでの設定
    • 「詳細」タブでの設定
  • GroupVPN ポリシーの管理
    • 事前共有鍵を使用する IKE の設定
    • サード パーティ証明書を使用する IKE の設定
    • GroupVPN クライアント ポリシーのダウンロード
  • サイト間 VPN ポリシーの作成
    • 事前共有鍵を使用する設定
    • マニュアル キーを使用する設定
    • サードパーティ証明書を使った設定
    • リモート SonicWall ネットワーク セキュリティ装置の設定
    • 静的ルートへの VPN フェイルオーバーの設定
• VPN 自動プロビジョニング
  • VPN 自動プロビジョニングについて
    • VPN 自動プロビジョニングの定義
    • VPN 自動プロビジョニングの利点
    • VPN 自動プロビジョニングの仕組み
      • IKE フェーズ 1 セキュリティ関連付けの確立について
      • プロビジョニングされたポリシーを使用した IKE フェーズ 2 の確立について
  • VPN AP サーバの設定
    • VPN AP サーバ設定の開始
    • 「一般」画面でのVPN AP サーバの設定
    • 「ネットワーク」画面でのVPN AP サーバの設定
    • 「プロポーザル」画面での詳細設定
    • 「詳細」画面での詳細設定
  • VPN AP クライアントの設定
• ルールと設定
  • トンネル インターフェースの追加
    • トンネル インターフェースに対して静的ルートを作成
  • 異なるネットワーク セグメントを使用するルート エントリ
  • ネットワークへの静的ルートの冗長化
• 詳細
  • VPN の詳細設定
  • IKEv2 の設定
  • OCSP を SonicWall ネットワーク セキュリティ装置で使用
    • OpenCA OCSP Responder
    • OCSP で使用する証明書のロード
    • VPN ポリシーでOCSPを使用
• VPN を越えた DHCP
  • DHCP リレー モード
  • VPN を越えた DHCP 用のセントラル ゲートウェイの設定
  • VPN を越えた DHCP のリモート ゲートウェイの設定
  • VPN を越えた現在の DHCP リース
• L2TP サーバと VPN クライアント アクセス
  • L2TP サーバの設定
  • 現在動作中の L2TP セッションの表示
  • Microsoft Windows L2TP VPN クライアント アクセスの設定
  • Google Android L2TP VPN クライアント アクセスの設定
• AWS VPN
  • 概要
  • 新しい VPN 接続の作成
  • VPN 接続の確認
    • ファイアウォールでの設定
    • アマゾン ウェブ サービスでの設定
  • 経路伝搬
  • AWS リージョン
  • VPN 接続の削除
• SonicWall サポート
  • このドキュメントについて

トンネル インターフェースの追加

ルート ベース VPN の設定は、次の 2 ステップで行われます。

1. トンネル インターフェースを作成します。2 つのエンドポイント間のトラフィックを保護するための暗号スイートが、このトンネル インターフェース内に定義されます。
2. トンネル インターフェースを用いて静的または動的ルートを作成します。

トンネル インターフェースは、"トンネル インターフェース" という種類のポリシーをリモート ゲートウェイに追加すると作成されます。トンネル インターフェースは物理インターフェースにバインドされる必要があり、その物理インターフェースの IP アドレスがトンネルを通るパケットの送信元アドレスとして使用されます。

トンネル インターフェースを追加するには、以下の手順に従います。

1. 「ネットワーク | IPSec VPN > ルールと設定」に移動します。
2. 「IP バージョン」オプションで、「IPv4」または「IPv6」を選択します。

3. 「+ 追加」をクリックします。

   

4. 「一般」画面で、「ポリシー種別」として「トンネル インターフェース」を選択します。オプションが次のように変化します。

5. 「認証方式」で、次のいずれかを選択します。

   • 手動鍵
   • IKE (事前共有鍵を使用) (既定)
   • IKE (サード パーティ証明書を使用)
   • SonicWall 自動プロビジョニング クライアント
   • SonicWall 自動プロビジョニング サーバ

   「一般」画面の残りのフィールドは、選択したオプションに応じて変化します。

   使用可能な選択の詳細については、以下を参照してください。

   • マニュアル キーを使用する設定
   • 事前共有鍵を使用する設定
   • サードパーティ証明書を使った設定
   • VPN AP クライアントの設定
   • VPN AP サーバの設定

6. 「プロポーザル」を選択します。

   

7. 「IKE (フェーズ 1) プロポーザル」で、「鍵交換モード」ドロップダウン メニューから以下のオプションのうち 1 つを選択します。

   メイン モード	IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
   アグレッシブ モード	通常は WAN アドレッシングが動的に割り当てられる場合に使用されます。IKEv1 フェーズ 1 プロポーザルを IPsec フェーズ 2 プロポーザルとともに使用します。Suite B 暗号化オプションは、IKE フェーズ 1 設定の「DH グループ」と IPsec フェーズ 2 設定の「暗号化」で使用できます。
   IKEv2 モード	すべてのネゴシエーションを、IKEv1 のフレーズよりも IKEv2 プロトコルで実行するようにします。 IKE v2 モードを選択する場合は、VPN トンネルの両端で IKE v2 を使用する必要があります。選択されると、「DH グループ」、「暗号化」、および「認証」フィールドは無効になり、定義できなくなります。

8. 「IKE (フェーズ 1) プロポーザル」の下の、残りのオプションの数値を設定します。「DH グループ」、「暗号化」、「認証」、および「存続期間」の既定値はほとんどの VPN 設定に使用できます。

   トンネルの反対側のフェーズ 1 の値が一致するように設定してください。

   1. 「メイン モード」または「アグレッシブ モード」の場合、「DH グループ」に対して、いくつかの Diffie-Hellman 鍵交換から選択できます。

      Suite B 暗号に含まれる Diffie-Hellman グループ	その他の Diffie-Hellman オプション
      256 ビット ランダム ECP グループ	グループ 1
      384 ビット ランダム ECP グループ	グループ 2
      521 ビット ランダム ECP グループ	グループ 5
      192 ビット ランダム ECP グループ	グループ 14
      224 ビット ランダム ECP グループ

   2. 「メイン モード」または「アグレッシブ モード」を選択した場合は、「暗号化」フィールドでドロップダウン メニューから「DES」、「3DES」、「AES-128」 (既定)、「AES-192」、または「AES-256」を選択します。
   3. 「メイン モード」または「アグレッシブ モード」が選択されている場合、「認証」フィールドに対して、強化された認証セキュリティのために、「SHA-1」 (既定)、「MD5」、「SHA256」、「SHA384」、または「SHA512」から選択してください。
   4. すべての「鍵交換」モードについて、「存続期間 (秒)」を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。

9. 「IPsec (フェーズ 2) プロポーザル」セクションで、オプションを設定します。「プロトコル」、「暗号化」、「認証」、「Perfect Forward Secrecy を有効にする」、および「存続期間 (秒)」の既定値は、ほとんどの VPN SA 設定に使用できます。

   トンネルの反対側のフェーズ 2 の値が一致するように設定してください。

   1. 「プロトコル」フィールドで、「ESP」または「AH」を選択します。

   2. 「プロトコル」フィールドで「ESP」を選択した場合は、「暗号化」フィールドで、Suite B 暗号化に含まれる以下の 6 つの暗号化アルゴリズムを選択できます。

      Suite B 暗号化オプション	その他のオプション
      AESGCM16-128	DES
      AESGCM16-192	3DES
      AESGCM16-256	AES-128
      AESGMAC-128	AES-192
      AESGMAC-192	AES-256
      AESGMAC-256	なし

      「プロトコル」フィールドで「AH」を選択した場合、「暗号化」フィールドは無効になり、オプションは選択できません。

   3. 認証フィールドは、ドロップダウン メニューから認証方法を選択します。

      • MD5
      • SHA1 (既定)
      • SHA256
      • SHA384
      • SHA512
      • AES-XCBC

   4. セキュリティ強化を行う場合、「Perfect Forward Secrecy を有効にする」を選択します。

   5. 「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。

10. 「詳細」を選択します。

    

11. 以下の詳細オプションを設定できます (既定では、いずれもオフになっています)。

    詳細設定

    オプション	メイン モードまたはアグレッシブ モード	IKEv2 モード
    キープ アライブを有効にする	ルート ベース インターフェースでは、選択できません。	ルート ベース インターフェースでは、選択できません。
    IPsec アンチリプレイを無効にする	IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。	IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。
    高度なルーティングを許可する	このトンネル インターフェースを、「ネットワーク | システム > 動的ルーティング」ページの「ルーティング プロトコル」テーブル内のインターフェース リストに追加します。	このトンネル インターフェースを、「ネットワーク | システム > 動的ルーティング」ページの「ルーティング プロトコル」テーブル内のインターフェース リストに追加します。
    	補足: このオプションは、トンネル インターフェースを高度なルーティング (RIP、OSPF) に使う場合に選択する必要があります。これをオプション設定にすることで、「ルーティング プロトコル」テーブルにすべてのトンネル インターフェースを追加する必要はなくなり、ルーティング設定が簡易化されます。
    トランスポート モードを有効にする	このオプションは、GRE (汎用ルーティング カプセル化) などの別のトンネリング プロトコルによって既にカプセル化されているパケットを保護するために使用されます。ペイロードと ESP トレーラのみを暗号化するため、元のパケットの IP ヘッダーは暗号化されません。	「IKEv2 モード」では使用できません。
    Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする	ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。	ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。
    マルチキャストを有効にする	選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。	選択すると、IP マルチキャスト トラフィック (音声 (VoIP など)/ 映像アプリケーション) が VPN トンネルを通過できるようにします。
    WXA グループ	「なし」(既定値) または「グループ 1」を選択します。	「なし」(既定値) または「グループ 1」を選択します。
    Suite B 互換アルゴリズムのみを表示する	Suite B 互換アルゴリズムのみを表示したい場合に選択します。	Suite B 互換アルゴリズムのみを表示したい場合に選択します。
    NAT ポリシーを適用する	ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。 通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。	ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。 通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
    この SA を経由しての管理	ローカル ファイアウォールを VPN トンネル経由で管理するには、このオプションで「HTTPS」、「SSH」、「SNMP SonicWall」のいずれかを選択します。	ローカル ファイアウォールを VPN トンネル経由で管理するには、このオプションで「HTTPS」、「SSH」、「SNMP SonicWall」のいずれかを選択します。
    この SA を経由してのユーザ ログイン	「HTTP」または「HTTPS」、あるいは両方を選択すると、SA を使用してログインできます。 リモート認証を使用した HTTP ユーザ ログインは許可されません。	「HTTP」または「HTTPS」、あるいは両方を選択すると、SA を使用してログインできます。 リモート認証を使用した HTTP ユーザ ログインは許可されません。
    VPN ポリシーの適用先	ドロップダウン メニューからインターフェースを選択します。 VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。	ドロップダウン メニューからインターフェースを選択します。 VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。

    IKEv2 設定

    オプション	メイン モードまたはアグレッシブ モード	IKEv2 モード
    IKE SA ネゴシエーション中に、トリガー パケットを送信しない	使用不可	選択されてい「ない」 (既定) ピアがトリガー パケットを処理できない場合の相互運用性のために必要なときだけ、オンにしてください。セキュリティ ポリシー データベースから適切な保護 IP アドレス範囲を選択できるように IKEv2 応答側を支援するためにトリガー パケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、IKE ピアによってはトリガー パケットを含めないのが適切な場合があります。
    ハッシュと URL 証明書種別を受け入れる	使用不可	お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器に対して HTTP 証明書検索がサポートされているというメッセージを送信します。
    ハッシュと URL 証明書種別を送信する	使用不可	お使いの機器が証明書自体ではなくハッシュと証明書の URL を送信して処理できる場合は、このオプションを選択します。選択されると、相手の機器からのメッセージに応答して、 HTTP 証明書検索がサポートされているという内容を確認します。

12. 「保存」をクリックします。

13. 「ネットワーク | IPSec VPN > ルールと設定」ページで、「適用」を選択して、VPN ポリシーを更新します。