SonicOS/X 7 IPSec VPN
サード パーティ証明書を使用する IKE の設定
サードパーティ証明書を使用して IKE で GroupVPN を設定する前に、証明書をファイアウォールにインストールする必要があります。
IKE (サードパーティ証明書) で GroupVPN を設定するには
- 「ネットワーク | IPSec VPN > ルールと設定」に移動します。
-
WAN GroupVPN ポリシーの編集アイコンを選択します。
-
「セキュリティ ポリシー」セクションで、「認証方式」ドロップダウン メニューから「IKE (サードパーティ証明書を使用)」を選択します。
VPN ポリシー名は、既定で「GroupVPN」となっており、変更できません。
-
「ゲートウェイ証明書」ドロップダウン メニューからファイアウォールの証明書を選択します。
この手順を開始する前にサードパーティ証明書をダウンロードしていない場合、「ゲートウェイ証明書」フィールドには、「-確認済みのサードパーティ証明書がありません-」と表示されます。
-
「ピア 証明書」セクションでは、「ピア ID 種別」ドロップダウン メニューから次のピア ID 種別のいずれかを選択します。
識別名 これは証明書の「サブジェクト識別名」フィールド (既定では、すべての証明書に含まれ、発行元の認証局が設定する) に基づいています。
「サブジェクト識別名」の形式は、発行元の認証局によって決定されます。一般的なフィールドは、国 (C=)、組織 (O=)、組織の単位 (OU=)、一般名 (CN=)、住所 (L=) などですが、発行元の認証局ごとに異なります。実際の X509 証明書の「サブジェクト識別名」フィールドはバイナリ オブジェクトであるため、目的に応じて文字列に変換する必要があります。フィールドは、次の例のようにフォワード スラッシュで区切られます。
/C=US/O=SonicWall, Inc./OU=TechPubs/CN=Joe Pub
最大で 3 つの組織の単位を追加できます。使用方法は、
c=*;o=*;ou=*;ou=*;ou=*;cn=*
です。最後のエントリにはセミコロンは不要です。c=us のように少なくとも 1 つのエントリを入力する必要があります。電子メール ID 「電子メール ID」と「ドメイン ID」は、証明書の「サブジェクト代替名」フィールド (すべての証明書に既定では含まれていない) に基づいています。証明書に「サブジェクト代替名」フィールドが含まれていない場合、このフィルタは機能しません。 ドメイン ID -
「ピア ID フィルタ」フィールドに ピア ID フィルタを入力します。
「電子メール」と「ドメイン名」フィルタには、要求される許容範囲を識別する文字列または部分文字列が含まれている可能性があります。入力した文字列には大文字と小文字の区別がなく、ワイルド カード文字 * (2 文字以上の場合) および
?
(1 文字の場合) を含めることができます。例えば、「電子メール ID」が選択されているときに文字列が*@SonicWall.com
である場合、@SonicWall.com
で終わる電子メール アドレスを持つユーザがアクセスでき、「ドメイン名」が選択されているときに文字列*sv.us.SonicWall.com
である場合、sv.us.SonicWall.com
で終わるドメイン名を持つユーザがアクセスできます。 - 「ゲートウェイ発行者によって署名されたピア証明書のみ許可する」をオンにして、ピア証明書が「ゲートウェイ証明書」メニューで指定された発行者によって署名されていなければならないことを指定します。
-
「プロポーザル」を選択します。
-
「IKE (フェーズ 1)」セクションで、次の設定を選択します。
-
「DH グループ」で、「グループ 1」、「グループ 2」(既定)、「グループ 5」、または「グループ 14」を選択します。
Windows XP L2TP クライアントは、「DH グループ 2」でのみ動作します。
- 「暗号化」で、「DES」、「3DES」(既定)、「AES-128」、「AES-192」、または「AES-256」を選択します。
-
「認証」で、使用する認証方式を選択します。選択肢は、「MD5」、「SHA1」 (既定)、「SHA256」、「SHA384」、「SHA512」、「AES-XCBC」、または「なし」です。
-
「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
-
-
「IPSec (フェーズ 2)」セクションで、次の設定を選択します。
-
「プロトコル」で、「ESP」(既定) を選択します。
-
「暗号化」で、「3DES」(既定)、「AES-128」、「AES-192」、または「AES-256」を選択します。
-
「認証」で、使用する認証方式を選択します。選択肢は、「MD5」、「SHA1」 (既定)、「SHA256」、「SHA384」、「SHA512」、「AES-XCBC」、または「なし」です。
-
セキュリティをさらに強化するために Diffie-Helman 鍵交換を追加する場合は、「Perfect Forward Secrecy を有効にする」を選択します。
-
「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは 8 時間ごとに鍵の再ネゴシエートと交換を行います。
-
-
「詳細」を選択します。
-
以下のオプション設定のうち GroupVPN ポリシーに設定したいものをすべて選択します。
IPsec アンチリプレイを無効にする IPsec アンチリプレイは、部分的なシーケンス整合性を確保するための機能の 1 つで、(制約されたウィンドウ内の) 重複する IP データグラムの到着を検出します。 マルチキャストを有効にする IP マルチキャスト トラフィック (音声 (VoIP など)/映像アプリケーション) が VPN トンネルを通過できるようにします。 クライアントに複数のプロポーザルを許可する クライアント向けの複数のプロポーザル (IKE (フェーズ 1) プロポーザル、IKE (フェーズ 2) プロポーザルなど) を許可します。 IKE モード構成を有効にする SonicOS/X が、内部 IP アドレス、DNS サーバ、または WINS サーバをサードパーティのクライアント (iOS 機器や Avaya IP 電話など) に割り当てることができるようにします。 この SA を経由しての管理 VPN ポリシーを使用してファイアウォールを管理する場合は、管理方法として「HTTPS」、「SSH」、または「SNMP」を 1 つ以上選択します。
SSH は、IPv4 に対してのみ有効です。
デフォルト ゲートウェイ 「この SA 経由ですべてのインターネット トラフィックを送信する」チェックボックスを使用して、リモート サイトとともにセントラル サイトで使用します。「デフォルト LAN ゲートウェイ」を使用すると、この SA の受信 IPSec パケットに関して既定 LAN ルートの IP アドレスを指定できます。
着信パケットはファイアウォールによってデコードされ、ファイアウォールで設定された静的ルートと比較されます。パケットには任意の送信先 IP アドレスが含まれている可能性があるため、トラフィックを処理する十分な静的ルートを設定することはできません。IPSec トンネル経由で受信されるパケットでは、ファイアウォールによってLAN のルートが検出されます。ルートが検出されない場合、ファイアウォールによってデフォルトLAN ゲートウェイがチェックされます。デフォルト LAN ゲートウェイが検出されると、パケットはゲートウェイを介してルーティングされます。そうでない場合、パケットは破棄されます。
「OCSP 確認を有効にする」および「OCSP 応答 URL」 VPN 証明書状況を確認する OCSP (Online Certificate Status Protocol) の使用を有効にし、証明書状況を確認する URL を指定します。 XAUTH を利用した VPN クライアントの認証を要求する この VPN ポリシーの受信トラフィックがすべて認証済みのユーザからのものであることが要求されます。認証されていないトラフィックは VPN トンネルでは許可されません。 XAUTH ユーザに対するユーザ グループ 認証用に定義済みユーザ グループを選択できます。 認証されていない VPN クライアントのアクセスを許可する 認証されていないグローバル VPN クライアント アクセスのネットワーク セグメントを指定できます。 -
「クライアント」を選択します。
-
次のボックスのうちグローバル VPN クライアント プロビジョニングに適用したいものをすべて選択します。
XAUTH ユーザ名とパスワードのキャッシュ グローバル VPN クライアントがユーザ名とパスワードをキャッシュできます。
- 「無効」を選択すると、グローバル VPN クライアントはユーザ名とパスワードをキャッシュすることが禁止されます。接続が有効なとき、IKE フェーズ 1 の鍵交換のたびにユーザはユーザ名とパスワードを要求されます。
- 「セッション単位」を選択すると、ユーザは接続有効化時に毎回ユーザ名とパスワード (接続が無効になるまで有効) を要求されます。このユーザ名とパスワードは IKE フェーズ 1 の再入力で使用されます。
- 「常に有効」を選択すると、ユーザは接続有効化時に 1 回だけユーザ名とパスワードを要求されます。その際、ユーザ名とパスワードをキャッシュするかどうか問われます。
仮想アダプター設定 グローバル VPN クライアント (GVC) による仮想アダプタの使用は、仮想アダプタにアドレスを割り当てるため、DHCP サーバ、内部 SonicOS/X または指定された外部 DHCP サーバによって左右されます。
予測可能なアドレッシングが要件の 1 つとされるインスタンスでは、仮想アダプタの MAC アドレスを取得して、DHCP リース予約を作成しなければなりません。仮想アダプタのアドレッシングを提供する管理負荷を削減するため、GroupVPN を設定して仮想アダプタの IP 設定の静的アドレッシングを許可できます。この機能では、SonicWall GVC を使用する必要があります。
- 「なし」を選択すると、この GroupVPN 接続で仮想アダプタは使われません。
- 「DHCP リース」を選択すると、仮想アダプタは「VPN > VPN を越えた DHCP」ページの設定に従い、自分の IP 設定を DHCP サーバからのみ取得します。
- 「DHCP リースまたは手動設定」を選択すると、GVC がファイアウォールに接続した時に、ファイアウォールのポリシーは GVC が仮想アダプタを使用するよう指示しますが、仮想アダプタが手動で設定されている場合、DHCP メッセージは抑止されます。設定値はファイアウォールによって記録されるので、手動で割り当てられた IP アドレスのプロキシ ARP を取得できます。設計により、現在は仮想アダプタの IP アドレスの割り当てには制限がありません。重複した静的アドレスのみが許可されていません。
次への接続を許可する 各ゲートウェイの対象先ネットワークに一致しているクライアント ネットワーク トラフィックは、そのゲートウェイの VPN トンネルを介して送信されます。以下のいずれかのオプションを選択します。
-
「このゲートウェイのみ」一度に 1 つの接続を有効にできます。ゲートウェイのポリシーで指定されているように対象先ネットワークに一致するトラフィックは VPN トンネルを介して送信されます。
このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。「このゲートウェイをデフォルト ルートに設定する」を選択しないと、インターネット トラフィックは遮断されます。
-
「すべてのゲートウェイ」同時に 1 つ以上の接続を有効にできます。各ゲートウェイの対象先ネットワークに一致しているトラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。
このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。このオプションを選択して、なおかつ「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。複数のゲートウェイのうちいずれか 1 つのみ、「このゲートウェイをデフォルト ルートに設定する」を有効化できます。
複数のゲートウェイのうちいずれか 1 つのみ、「このゲートウェイをデフォルト ルートに設定する」を有効化できます。
- 「トンネル分割」を使用すると、VPN ユーザはローカル インターネット接続と VPN 接続の両方を使用できます。このオプションは既定の設定です。
このゲートウェイをデフォルト ルートに設定する すべてのリモート VPN 接続がこの VPN トンネル経由でインターネットにアクセスする場合は、このチェックボックスをオンにします。この設定を使用する場合は、SA を 1 つだけ設定できます。 VPN アクセス制御リストを適用する アクセス制御リストでクライアント接続を制御するには、このオプションを有効にします。 シンプル クライアント プロビジョニングに既定の鍵を使用する ゲートウェイとの最初の交換でアグレッシブ モードが使用され、VPN クライアントでは既定の事前共有鍵が認証に使用されます。 -
[OK] をクリックします。
-
「ネットワーク | IPSec VPN > ルールと設定」ページで、「適用」を選択して、VPN ポリシーを更新します。
Was This Article Helpful?
Help us to improve our support portal