• SonicOS および SonicOSX 7 IPSec VPN
• IPSec VPN の概要
  • 仮想プライベート ネットワークについて
  • VPN の種類
    • IPsec VPN
    • VPN を越えた DHCP
    • IPsec を利用した L2TP
    • SSL VPN
  • VPN のセキュリティ
    • IKEv1 について
    • IKEv2 について
    • IKEv2 のモビリティおよびマルチホーム プロトコル (MOBIKE)
    • IPsec (フェーズ 2) プロポーザルについて
    • Suite B 暗号化について
  • VPN ベース の設定と表示
    • ポリシー
    • アクティブ トンネル
    • 設定
  • IPv6 VPN の設定
  • VPN が自動的に追加するルール コントロール
• サイト間 VPN
  • サイト間設定の計画
  • 一般的な VPN 構成
    • 「一般」タブでの設定
    • 「ネットワーク」タブでの設定
    • 「プロポーザル」タブでの設定
    • 「詳細」タブでの設定
  • GroupVPN ポリシーの管理
    • 事前共有鍵を使用する IKE の設定
    • サード パーティ証明書を使用する IKE の設定
    • GroupVPN クライアント ポリシーのダウンロード
  • サイト間 VPN ポリシーの作成
    • 事前共有鍵を使用する設定
    • マニュアル キーを使用する設定
    • サードパーティ証明書を使った設定
    • リモート SonicWall ネットワーク セキュリティ装置の設定
    • 静的ルートへの VPN フェイルオーバーの設定
• VPN 自動プロビジョニング
  • VPN 自動プロビジョニングについて
    • VPN 自動プロビジョニングの定義
    • VPN 自動プロビジョニングの利点
    • VPN 自動プロビジョニングの仕組み
      • IKE フェーズ 1 セキュリティ関連付けの確立について
      • プロビジョニングされたポリシーを使用した IKE フェーズ 2 の確立について
  • VPN AP サーバの設定
    • VPN AP サーバ設定の開始
    • 「一般」画面でのVPN AP サーバの設定
    • 「ネットワーク」画面でのVPN AP サーバの設定
    • 「プロポーザル」画面での詳細設定
    • 「詳細」画面での詳細設定
  • VPN AP クライアントの設定
• ルールと設定
  • トンネル インターフェースの追加
    • トンネル インターフェースに対して静的ルートを作成
  • 異なるネットワーク セグメントを使用するルート エントリ
  • ネットワークへの静的ルートの冗長化
• 詳細
  • VPN の詳細設定
  • IKEv2 の設定
  • OCSP を SonicWall ネットワーク セキュリティ装置で使用
    • OpenCA OCSP Responder
    • OCSP で使用する証明書のロード
    • VPN ポリシーでOCSPを使用
• VPN を越えた DHCP
  • DHCP リレー モード
  • VPN を越えた DHCP 用のセントラル ゲートウェイの設定
  • VPN を越えた DHCP のリモート ゲートウェイの設定
  • VPN を越えた現在の DHCP リース
• L2TP サーバと VPN クライアント アクセス
  • L2TP サーバの設定
  • 現在動作中の L2TP セッションの表示
  • Microsoft Windows L2TP VPN クライアント アクセスの設定
  • Google Android L2TP VPN クライアント アクセスの設定
• AWS VPN
  • 概要
  • 新しい VPN 接続の作成
  • VPN 接続の確認
    • ファイアウォールでの設定
    • アマゾン ウェブ サービスでの設定
  • 経路伝搬
  • AWS リージョン
  • VPN 接続の削除
• SonicWall サポート
  • このドキュメントについて

マニュアル キーを使用する設定

IPsec VPN トンネルを確立するための暗号化キーを手動で定義することができます。暗号化鍵または認証鍵の内容を指定する必要があるとき (たとえば、VPN ピアの一方が特定の鍵を必要とするとき)、または暗号化と認証を無効にする必要があるとき、手動鍵を定義します。

手動鍵 (マニュアル キー) を使用する VPN ポリシーを設定するには、以下の手順に従います。

1. 「ネットワーク | IPSec VPN > ルールと設定」に移動します。
2. 「+ 追加」を選択して新しいポリシーを作成するか、「編集」アイコンを選択して既存のポリシーを更新します。

3. 「認証方式」フィールドで、ドロップダウン メニューから「手動鍵」を選択します。ウィンドウに、マニュアル キーのオプションだけが表示されます。

   

4. ポリシーの名前を「名前」フィールドに入力します。

5. 「IPSec ゲートウェイ名またはアドレス」フィールドにリモート接続のホスト名または IP アドレスを入力します。

6. 「ネットワーク」をクリックします。

   

7. 「ローカル ネットワーク」の下で、次のオプションのいずれかを選択します。

   • 特定のローカル ネットワークが VPN トンネルにアクセス可能である場合は、「ローカル ネットワークをリストより選択」ドロップダウン メニューからローカル ネットワークを選択します。
   • 任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。このオプションは、ピアで「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。保護ゾーンと VPN ゾーンの間に、自動追加のルールが作成されます。

8. 「リモートネットワーク」の下で、次のいずれかを選択します。

   • どのローカル ユーザによるトラフィックも暗号化されていなければファイアウォールから出られないようにするには、「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。

     この設定を使用する場合は、SA を 1 つだけ設定できます。

   • あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。

9. 「プロポーザル」を選択します。

   

10. 「受信 SPI」および「送信 SPI」を定義します。SPI (Security Parameter Index) は 16 進数で、長さは 3～8 文字の範囲です。

    各 SA (Security Association) には一意の SPI が必要で、2 つの SA が同じ SPI を共有することはできません。ただし、各 SA の受信 SPI は送信 SPI と同一である可能性があります。

11. 「プロトコル」、「暗号化」、および「認証」の既定値は、ほとんどの VPN SA 設定に使用できます。そぐわない場合には、ドロップダウン メニューから値を選択してください。

    「プロトコル」、「暗号化」、および「認証」の値は、リモート ファイアウォールの値と一致する必要があります。

    • 「プロトコル」フィールドで「ESP」を選択した場合は、「暗号化」フィールドで、Suite B 暗号化に含まれる以下の 6 つの暗号化アルゴリズムを選択できます。
      • DES
      • 3DES
      • AES-128 (既定)
      • AES-192
      • AES-256

      • なし

    • 「プロトコル」フィールドで「AH」を選択した場合、「暗号化」フィールドはグレー表示になり、オプションは選択できません。

12. 「暗号化鍵」フィールドに 48 文字の 16 進数暗号化鍵を入力するか、既定値を使用します。この暗号キーはリモート SonicWall 暗号キーの設定に使用されるので、リモート ファイアウォールを設定するときに書き留めておいてください。

    有効な 16 進数の文字とは、0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、および f です。たとえば、1234567890abcdef は有効な DES または ARCFour 暗号キーの例です。不適切な暗号キーまたは認証キーを入力すると、ブラウザ ウィンドウの下部にエラー メッセージが表示されます。

13. 「認証鍵」フィールドに 40 文字の 16 進数認証鍵を入力するか、既定値を使用します。ファイアウォールの設定を指定するためにキーを書き留めます。

14. 「詳細」を選択します。

    

15. GroupVPN ポリシーに適用する次のオプション設定をすべて選択します。

    オプション	定義
    この VPN ポリシーに対してアクセス ルールを自動生成しない	選択しない (既定) と、付随するアクセス ルールが自動的に作成されます。詳細については、「VPN が自動的に追加するアクセス ルール コントロール」を参照してください。
    Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする	ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできるようにします。
    WXA グループ	「なし」(既定値) または「グループ 1」を選択します。
    NAT ポリシーを適用する	ファイアウォールでローカル ネットワーク、リモート ネットワーク、または両方のネットワーク通信を VPN トンネル経由で変換したい場合に選択します。選択した場合、「変換されたローカル ネットワーク」または「変換されたリモート ネットワーク」を選択するか、あるいは 2 つのドロップダウン メニューから 1 つずつを選択してください。 通常は、トンネルで NAT が必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NAT ポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。 インターフェースの設定例を紹介するビデオ チュートリアルがオンラインで公開されています。例えば、「重複ネットワークが存在するサイト間 VPN における NAT over VPN の設定方法」を参照してください。その他のビデオは、https://www.sonicwall.com/ja-jp/support/video-tutorials でご覧いただけます。
    この SA を経由しての管理	ローカル ファイアウォール を VPN トンネル経由で管理するには、「HTTPS」、「SSH」、「SNMPSonicWall」、またはこの 3 つを組み合わせて選択します。
    この SA を経由してのユーザ ログイン	「HTTP」、「HTTPS」、またはその両方を選択すると、SA を使用したログインがユーザに許可されます。 リモート認証を使用した HTTP ユーザ ログインは許可されません。
    デフォルト LAN ゲートウェイ (オプション)	トンネルに入る前の LAN を通じて未知のサブネットに向けたトラフィックをルーティングしたい場合、このオプションを選択してください。たとえば、(「ネットワーク」画面の「リモート ネットワーク」で) 「この VPN トンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択した場合は、ルータのアドレスを入力してください。
    VPN ポリシーの適用先	ドロップダウン メニューからインターフェースかゾーンを選択します。 VPN ゲートウェイの IP アドレスが両方で同じ場合、ドロップダウン メニューから 2 つの異なる WAN インターフェースを選択することはできません。

16. 「OK」をクリックします。

17. 「ネットワーク | IPSec VPN > ルールと設定」ページで、「適用」を選択して、VPN ポリシーを更新します。