Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

NCP 排他リモートアクセスクライアントを使用した SSL リモートアクセス Vpn について

 

多くのパブリックホットスポット環境では、UDP トラフィックはポート443を介した TCP 接続が通常許可されている間、ブロックされます。このような環境では、SRX シリーズデバイスは IPsec メッセージを TCP 接続内にカプセル化することで、SSL リモートアクセス Vpn をサポートできます。この実装は、サードパーティーの NCP 排他リモートアクセスクライアントと互換性があります。ここでは、SRX シリーズデバイスでの NCP 排他リモートアクセスクライアントのサポートについて説明します。

NCP 排他リモートアクセスクライアントを使用した SSL リモートアクセス Vpn のメリット

  • クライアントとゲートウェイ間のデバイスインターネット鍵交換 (IKE) (UDP ポート 500) であっても、セキュアなリモートアクセスが保証されます。

  • ユーザーは、すべての作業環境で、ビジネスアプリケーションやリソースへのセキュアなアクセスを維持します。

NCP 排他リモートアクセスクライアント

Windows、macOS、Apple iOS、Android デバイス上で NCP エクスクルーシブリモートアクセスクライアントソフトウェアを実行しているユーザーは、カプセル化された IPsec トラフィックを交換する SRX シリーズデバイスを使用して、ポート443経由で TCP 接続を確立できます。

NCP 排他リモートアクセスクライアントは、以下の2つのモードのいずれかで実行されます。

  • NCP パスファインダー v1-ポート443経由で TCP 接続内にカプセル化された IPsec メッセージをサポート

  • NCP パスファインダー v2 は、SSL/TLS 接続による IPsec メッセージをサポートします (NCP パスファインダー v2 では TLSv 1.0 が使用されます)。

RSA 証明書を使用して、適切な SSL ハンドシェイクが行われます。IPsec メッセージは、SSL ハンドシェイクで交換されたキーを使用して暗号化します。これにより、SSL トンネルの場合は1回、IPsec トンネルの場合は二度と暗号化が2倍になります。

NCP パスファインダー v2 モードのサポートでは、RSA 証明書を SRX シリーズデバイス上にロードし、その証明書を参照する SSL 終了プロファイルを構成する必要があります。

NCP 排他リモートアクセスクライアントは、IPsec トラフィックをブロックするファイアウォールまたはプロキシサーバーが原因で、通常の IPsec 接続の試行が失敗した場合に、フォールバックメカニズムを提供します。NCP パスファインダー v2 モードは、完全な TLS 通信を提供する拡張機能であり、高度な制限を伴うアプリケーションレベルのファイアウォールやプロキシによってブロックされることはありません。通常の IPsec 接続を確立できない場合、NCP 排他リモートアクセスクライアントは自動的に NCP パスファインダー v1 モードに切り替わります。クライアントが依然としてゲートウェイに達することができない場合、NCP は完全な TLS ネゴシエーションを使用して NCP パスファインダー v2 モードを有効にします。

ライセンス

SRX シリーズデバイスには、デフォルトで2人のユーザーライセンスが提供されています。追加の同時ユーザーの場合は、ライセンスを購入してインストールする必要があります。

運用

SRX シリーズデバイスでは、 TCP カプセル化プロファイルによって、リモートアクセスクライアントのデータカプセル化操作が定義されます。複数の TCP カプセル化プロファイルを設定して、さまざまなクライアントセットを処理することができます。各プロファイルについて、以下の情報が構成されています。

  • プロファイルの名前。

  • リモートアクセスクライアント接続のオプションのロギング。

  • トレースオプション。

  • Ssl 接続用の SSL 終了プロファイル。

NCP 排他的リモートアクセスクライアントからの TCP 接続は、SRX シリーズデバイスのポート443で受け入れられます。

TCP カプセル化プロファイルは、[ tcp-encapedit security] 階層レベルのステートメントで設定されます。その後、カプセル化プロファイルが [ tcp-encap-profileedit security ike gateway gateway-name] 階層レベルのステートメントで指定されます。TCP カプセル化プロファイルは、IKE ゲートウェイ構成に含めます。たとえば、以下のように記述します。

サポートされる機能

NCP 排他リモートアクセスクライアントを使用する SRX シリーズデバイスでは、以下の機能がサポートされています。

  • トラフィックセレクターに基づいた IPsec トンネルによる、ポイントツーポイントモードの自動 Vpn

  • SRX シリーズデバイスでゲートウェイの背後にあるデバイスからトラフィックが開始されます。

  • デッドピア検知

  • SRX シリーズデバイスのシャーシクラスター構成

NCP 排他的リモートアクセスクライアントからの TCP 接続は SRX シリーズデバイス上でポート443を使用します。J-Web デバイス管理ポートは、デフォルトポート443から変更する必要があります。 encap は、ホストインバウンドシステムサービス用に設定されている必要があります。set security zones security-zone zone host-inbound-traffic system-services tcp-encapコマンドを使用します。(IKE コマンドを使用して、 set security zones security-zone zone host-inbound-traffic system-services ikeホスト入力システムサービスにも設定する必要があります)。

NCP 排他リモートアクセスクライアントと J-Web 接続では、同じ TCP ポート443を使用できません。

TCP 接続を使用するトンネルは、dead ピア検出 (DPD) タイムアウトが十分でない場合、ISSU には存在しない可能性があります。ISSU を生き残るには、DPD timeout を120秒よりも大きな値に増やします。DPD timeout は、設定済みの DPD インターバルとしきい値の積です。たとえば、DPD インターバルが32で、しきい値が4の場合、タイムアウトは128になります。

NCP 排他リモートアクセスクライアントの DPD 設定では、メッセージの送信を20秒間隔で指定します。最大で8回です。シャーシクラスターのフェイルオーバーが発生した場合、SRX シリーズデバイスは DPD 設定で指定されたパラメーター内で回復せず、トンネルがダウンする可能性があります。この場合、NCP 排他的リモートアクセスクライアントの DPD 間隔を60秒に増やします。

Encap を使用しているクライアントとのネゴシエーション中に NAT-T が無効になっているのは、NAT-T がこれらのトンネルに必要とされないからです。

以下の機能は、NCP 排他的リモートアクセスクライアントを使用する SRX シリーズデバイスではサポートされていません。

  • ルーティングプロトコル

  • St0 インターフェイスとマルチポイントモードの自動 Vpn

  • 自動検出 VPN(ADVPN)

  • ポリシーベースの VPN

  • IPv6 トラフィック

  • VPN 監視

  • 次ホップ・トンネル・バインディング (NHTB) (自動と手動の両方)

関連項目