Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Pulse セキュアクライアントによる動的 Vpn

動的 VPN を使用すると、Pulse セキュアクライアントは、PC で vpn 設定を手動で構成しなくても、srx サービスゲートウェイに IPsec vpn トンネルを確立できます。ユーザー認証は、RADIUS サーバーまたはローカル IP アドレスプールを通じてサポートされています。

Pulse セキュアクライアントソフトウェアは、ジュニパーネットワークスダウンロードソフトウェアサイト ( https://www.juniper.net/support/downloads/?p=pulse#sw) から入手できます。

動的 VPN の概要

VPN トンネルを使用すると、ユーザーはファイアウォールの内側に存在する電子メールサーバーやアプリケーションサーバーなどのアセットに安全にアクセスできます。特に、サイト間 VPN トンネルは、在宅勤務者などのリモート ユーザーにとって、特に役に立ちます。1 つのトンネルでネットワーク上のすべてのリソースにアクセスできます。ユーザーは各アプリケーションやサーバーに対して個々のアクセス設定を構成する必要が生じます。参照図 1してください。

図 1: VPN トンネルを使用して企業ネットワークへのリモートアクセスを可能にするVPN トンネルを使用して企業ネットワークへのリモートアクセスを可能にする

動的 VPN機能は、リモートアクセス VPN または IPsec VPN クライアントとしても知られています。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。Pulse セキュアクライアントソフトウェアは、VPN アクセスに使用されます。ユーザー認証は、SRX ゲートウェイ上に設定されている外部 RADIUS サーバーまたはローカル IP アドレスプールを通じてサポートされます。レイヤー3リモートアクセスクライアントは、SRX シリーズゲートウェイから受信したクライアント側の構成設定を使用して、セキュアなエンドツーサイト VPN トンネルを作成してゲートウェイに管理します。

2つ以上のユーザー接続が同時に必要な場合は、SRX シリーズゲートウェイに動的な VPN ライセンスをインストールする必要があります。ライセンスのインストールと管理の詳細については、『ソフトウェアのインストールとアップグレードガイド』を参照してください。サポートされるユーザー接続の最大数は、SRX シリーズデバイスによって異なります。

動的 VPN 機能は、デバイス上でデフォルトで無効になっています。動的 VPN を有効にするには、[ edit security] 階層レベルのdynamic-vpn 構成ステートメントを使用して機能を構成する必要があります。

動的 VPN トンネルのサポートについて

動的 vpnトンネルは、従来の IPsec VPN トンネルと同じ方法で構成されます。ただし、すべての IPsec VPN オプションがサポートされるわけではありません。この機能は、SRX100、SRX110、SRX210、SRX220、SRX240、SRX300、SRX320、SRX340、SRX345、SRX550、SRX550HM、および SRX650 デバイスでサポートされています。

以下は、動的 VPN トンネルを構成する際の要件とサポートされるオプションについて説明したものです。

  • ポリシーベースの Vpn のみがサポートされています。ルートベースの Vpn は、動的な VPN トンネルではサポートされていません。ルーティングプロトコルはサポートされていません。

  • IKEv1 のみがサポートされています。IKEv2 はサポートされていません。

  • IPv4 トラフィックと ipv4/ipv4 トンネルのみがサポートされています。IPv6 トラフィックとトンネルはサポートされていません。

  • 認証には事前共有鍵のみがサポートされています。PKI はサポートされていません。

  • IKE フェーズ1交換では、アグレッシブモードがサポートされています。メインモードはサポートされていません。

  • VPN トラフィックはリモートクライアントからのみ開始できます。SRX ゲートウェイから開始する VPN トラフィックはサポートされていません。

  • デッドピア検知 (DPD) がサポートされています。VPN 監視はサポートされていません。

  • モード設定を使用した拡張認証 (XAuth) がサポートされています。

  • ローカルプロファイルからの認証がサポートされています。ローカルアドレスプールから属性を提供できます。認証と属性は、RADIUS サーバーから提供されます。

  • シャーシクラスターがサポートされています。

  • NAT-T はサポートされています。

  • バーチャルルーターまたは仮想ルーティングと転送インスタンスでの IKE がサポートされています。

  • 自動 Vpn はサポートされていません。

  • 自動ルート挿入 (ARI) はサポートされていません。

  • Pulse クライアントソフトウェアをインストールするには、管理者権限が必要です。管理者権限が必要です。

  • ユーザーは IKE フェーズ1の再認証で再認証を必要としています。キー更新の時間は設定可能です。

共有またはグループ IKE Id を使用して、すべてのリモートクライアントで共有される1つの VPN を構成できます。単一の VPN が共有されている場合、ゲートウェイへの同時接続の総数は、インストールされている動的 VPN ライセンス数よりも多くすることはできません。共有またはグループ IKE ID ゲートウェイの構成時には、接続数の上限を、インストール済みの動的 VPN ライセンス数よりも多く設定できます。しかし、新しい接続が、ライセンスされた接続数を超えた場合、接続は拒否されることになります。動的 VPN ライセンス情報は、 show system license usageコマンドとともに表示できます。

VPN へのリモートクライアントアクセスについて

一般的な動的 vpn導入では、インターネットなどのパブリックネットワークを介して接続されたリモートクライアントへの VPN アクセスを提供します。IPsec アクセスは、ジュニパーネットワークスデバイスのゲートウェイを通じて提供されます。Pulse セキュアクライアントソフトウェアは、VPN アクセスに使用されます。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

Pulse セキュアクライアントソフトウェアは、ジュニパーネットワークスダウンロードソフトウェアサイト ( https://www.juniper.net/support/downloads/?p=pulse#sw) から入手できます。

Pulse Secure リモートクライアントが VPN にアクセスするためのプロセスについて、以下に説明します。

リモートクライアントプログラムと SRX シリーズデバイスとの接続方法の詳細については、 KB17641を参照してください。また、現在のクライアント情報に関する Pulse Secure のマニュアルも参照してください。

  1. ユーザーは、Pulse セキュアクライアントソフトウェアをダウンロードし、デバイスにインストールします。

  2. ユーザーは Pulse Secure リモートクライアントプログラムを起動します。

    Pulse Secure リモートクライアントプログラムでは、ユーザーは以下のことを行います。

    1. クリックAdd connectionします。

    2. [タイプ] で、 を Firewall (SRX) 選択します。

    3. [名前] には、SRX ゲートウェイのホスト名を入力します。

      SRX シリーズデバイスでは、このホスト名はset security ike gateway gateway-name dynamic hostname hostnameコマンドで設定されます。SRX 管理者は、リモートユーザーにホスト名を提供する必要があります。

    4. サーバー URL 名には、SRX ゲートウェイの IP アドレスを入力します。

      SRX シリーズデバイスでは、この IP アドレスはexternal-interfaceset security ike gateway gateway-name コマンドで設定された ip アドレスです。SRX 管理者は、IP アドレスをリモートユーザーに提供する必要があります。

  3. Add クリックしてから、 を Connect クリックします。Pulse Secure リモートクライアントプログラムは、HTTPS を使用して SRX シリーズに接続します。

  4. プロンプトが表示されたら、ユーザー名とパスワードを入力します。構成情報は SRX シリーズデバイスからリモートクライアントにダウンロードされ、クライアントが SRX シリーズデバイスとともに IKE SA を確立できるようになります。

  5. 動的 VPN に初めてアクセスする場合は、ユーザー認証情報を再度入力して IPsec SA を確立します。IP アドレスは、ローカルアドレスプールまたは外部 RADIUS サーバーからリモートクライアントに割り当てられます。

    手順4で入力したユーザー認証情報を使用して、リモートクライアントに設定をダウンロードし、クライアントと SRX シリーズデバイスの間に IKE SA を確立します。このステップで入力したユーザー認証情報は、IPsec SA を確立するために使用されます。ユーザーの資格情報は、SRX シリーズデバイスの設定に基づいて、同一であっても異なる場合があります。

  6. 認証とアドレス割り当てが成功すると、トンネルが確立されます。

動的 VPN の提案セット

この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。IKE と IPsec ポリシーのカスタムインターネット鍵交換 (IKE) および IP セキュリティ (IPsec) の提案は、多くの動的 VPNクライアントが存在する場合、単調で時間がかかることがあります。管理者は、ダイナミック VPN クライアントの基本および互換、標準の提案セットを選択できます。各提案セットは、定義済みの2つ以上の提案で構成されています。サーバーは、事前定義された提案1つをセットから選択し、クライアント構成でクライアントにプッシュ配信します。クライアントは、この提案をサーバーと交渉して接続を確立します。

IKE と IPsec セキュリティーアソシエーション (SA) キー更新タイムアウトのデフォルト値は次のとおりです。

  • IKE Sa の場合、キー更新のタイムアウトは28800秒になります。

  • IPsec Sa の場合、キー更新のタイムアウトは3600秒です。

提案セット構成では、キー更新のタイムアウトを設定することはできないため、これらの値はクライアントのダウンロード時にクライアントに送信されるクライアント構成に含まれています。

提案の基本的な使用事例は次のとおりです。

  • IKE と IPsec はどちらも企画書セットを使用します。

    サーバーは、事前定義された提案を提案セットから選択し、クライアントに送信します。これには、デフォルトのキー更新タイムアウト値が必要です。

  • IKE は提案セットを使用し、IPsec はカスタム案を使用します。

    サーバーは、事前設定された IKE 提案を、デフォルトのキー更新のタイムアウト値とともに、構成済みの IKE 案セットからクライアントに送信します。IPsec については、IPsec の提案で構成された設定をサーバーが送信します。

  • IKE は、カスタマイズされた提案を使用し、IPsec は提案セットを使用します。

    サーバーは、事前定義済みの IPsec 提案を、設定された IPsec 提案からクライアントに送信します。さらに、デフォルトのキー更新タイムアウト値を使用します。IKE については、サーバーは IKE 提案に設定された値を送信します。

IPsec が標準の提案セットを使用していて、pfs (完全転送秘密) が構成されていない場合、デフォルトの PFS (完全転送機密性) は group2 になります。その他の提案用セットについては、PFS は設定されていないことが理由です。また、IPsec の提案セットについてgroupは、ipsec ポリシー perfect-forward-secrecy keysの設定によって、提案セットの diffie-hellman (DH) グループの設定が上書きされます。

クライアントは、サーバーとのトンネル確立をネゴシエートする1つの提案のみを受け付けるため、サーバーは、提案セットから1つの提案を内部的に選択して、クライアントに送信します。各セットに対して選択された提案が以下のように表示されます。

IKE の

  • Sec レベルの基本: 事前共有キー、g1、des、sha1

  • Sec レベルの互換性: 事前共有キー、g2、3des、sha1

  • Sec レベルの標準: 事前共有鍵、g2、aes128、sha1

IPsec の

  • Sec レベルの基本: esp、pfs なし(構成されていない場合)またはグループx( 設定されている場合)、des、sha1

  • Sec レベルの互換性: esp、pfs なし(構成されていない場合)またはグループx( 設定されている場合)、3des、sha1

  • Sec レベルの標準: esp、g2(構成されていない場合)またはグループx( 設定されている場合)、aes128、sha1

動的 VPN 構成の概要

ダイナミック VPN を使用すると、リモートユーザーに対して、ジュニパーネットワークスデバイス上のゲートウェイへの IPsec アクセスを提供できます。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

動的 VPN を構成する場合、次の2つの事例が考えられます。

  • ユーザーがローカルに構成されている場合は、edit access profile profile-name client client-name[] の階層レベルで設定され、 client-group設定オプションを使用してユーザーグループに配置します。

  • ユーザーは、RADIUS サーバーなどの外部認証サーバー上で設定できます。外部認証サーバーに設定されたユーザーは、[edit access profile profile-name] 階層レベルで設定する必要はありません。

ローカルに設定されたユーザーの場合は、ユーザーがクライアント構成に関連付けられるように、ユーザーグループを動的 VPN 構成で指定する必要があります。[ user-groupsedit security dynamic-vpn clients configuration-name] 階層レベルでオプションを選択して、ユーザーグループを指定します。

ユーザーが認証されると、ユーザーグループが認証応答に含まれます。この情報は抽出され、[edit security dynamic-vpn clients configuration-name] 階層レベルで構成されたユーザーグループが検索され、トンネル確立のためにクライアントに戻るクライアント構成を決定します。

ユーザーが複数のユーザーグループに関連付けられている場合は、最初に一致したユーザーグループ構成が使用されます。ユーザーが2つ目の接続を作成すると、次に一致するユーザーグループ構成が使用されます。その後のユーザー接続では、一致する設定がなくなるまで、次に一致するユーザーグループ構成が使用されます。

ここでは、動的 VPN を構成するためのタスクの手順を示します。

  1. リモートクライアントの認証とアドレス割り当てを構成します。

    1. XAuth プロファイルを構成してユーザーを認証し、アドレスを割り当てます。ローカル認証または外部 RADIUS サーバーのどちらかを使用できます。[profile] edit accessの階層レベルで設定ステートメントを使用して、XAuth プロファイルを設定します。

    2. ローカルアドレスプールを使用している場合は、IP アドレスを割り当てることができます。[address-assignment pool] edit access階層レベルで構成文を使用します。サブネットまたは IP アドレスの範囲を指定できます。DNS および WINS サーバーの IP アドレスも指定できます。

  2. VPN トンネルを構成します。

    1. IKE ポリシーを設定します。モードは積極的にする必要があります。ベーシック、互換、または標準の提案書セットを使用できます。フェーズ1認証では、事前共有鍵のみがサポートされています。[policy] edit security ike階層レベルで構成文を使用します。

    2. IKE ゲートウェイを設定します。共有またはグループ IKE Id のいずれかを使用できます。ゲートウェイへの最大同時接続数を設定できます。[gateway] edit security ike階層レベルで構成文を使用します。

    3. IPsec VPN を構成します。ベーシック、互換、または標準の提案セットは、[ policyedit security ipsec] 階層レベルのコンフィギュレーションステートメントで指定できます。[vpn] edit security ipsec階層レベルの構成ステートメントを使用して、IPsec ゲートウェイとポリシーを設定します。

      構成チェックを実行して、動的 VPN に必要なすべての IKE および IPsec パラメーターが正しく構成されていることを確認できます。構成が IKE または IPsec に対して無効な場合は、エラーメッセージが表示されます。このset security dynamic-vpn config-checkコマンドを使用して、構成チェックを有効にします。

    4. セキュリティポリシーを設定して、リモートクライアントから IKE ゲートウェイへのトラフィックを許可します。[policy] edit security policies from-zone zone to-zone zone階層レベルで構成文を使用します。

      一致条件source-address anydestination-address any、およびapplication any 、動的 VPN トンネルの名前permit tunnel ipsec-vpnを使用して、セキュリティポリシーを設定します。このポリシーをポリシーリストの最後に配置します。

    5. インターフェイスに接続されているシステムから特定のトラフィックがデバイスに到達できるように、ホストの受信トラフィックを構成します。たとえば、IKE と HTTPS のトラフィックを許可する必要があります。トラフィックタイプに基づいてインバウンドトラフィックを制御する方法を理解するを参照してください。

    6. ナクライアントアドレスプールがデバイスに直接接続されたサブネットに属している場合、デバイスは同じゾーン内の他のデバイスからプール内のアドレスへの ARP 要求に応答する必要があります。[proxy-arp] edit security nat階層レベルで構成文を使用します。サブネットをデバイスに直接接続するインターフェイスとプール内のアドレスを指定します。

  3. ダイナミック VPN をリモートクライアントに関連付ける:

    1. 動的 VPN で使用するアクセスプロファイルを指定します。[access-profile] edit security dynamic-vpn階層レベルで構成文を使用します。

    2. 動的 VPN を使用できるクライアントを構成します。保護されたリソース(保護されたリソースへのトラフィックは、指定された動的VPNトンネルを移動するため、ファイアウォールのセキュリティ ポリシーによって保護されます)または保護されたリソース リスト(動的VPNトンネルを通過しないトラフィック、クリアテキストで送信されるトラフィック)を指定します。これらのオプションは、トンネルの実行時にクライアントにプッシュされるルートを制御するため、トンネルを介して送信されるトラフィックを制御します。[clients] edit security dynamic-vpn階層レベルで構成文を使用します。

  4. 動的な VPN メッセージをログに記録traceoptionsするには、edit security dynamic-vpn[] 階層レベルでステートメントを構成します。

ローカルの認証とアドレスの割り当てについて

この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。クライアントアプリケーションは、クライアントに代わって IP アドレスを要求できます。この要求は、クライアント認証要求と同じ時刻に行われます。クライアントの認証に成功すると、定義済みのアドレスプールから IP アドレスをクライアントに割り当てることができます。または、特定の IP アドレスを割り当てることができます。WINS や DNS サーバーの IP アドレスなど、その他の属性もクライアントに提供できます。

アドレスプールは、[ edit access address-assignment] 階層レベルのpool 構成ステートメントで定義されます。アドレスプールの定義には、ネットワーク情報 (オプションのネットマスクを持つ IP アドレス)、オプションの範囲定義、DHCP または XAuth の属性が含まれています。これらはクライアントに返すことができます。プール内のすべてのアドレスが割り当てられている場合は、クライアントが正常に認証されていても、クライアントアドレスの新しい要求が失敗します。

アクセスプロファイルは、[ profileedit access] 階層の構成ステートメントで定義されています。定義済みのアドレスプールは、アクセスプロファイルの構成で参照できます。

また、 xauth ip-address addressオプションを使用して、特定の IP アドレスをアクセスプロファイルのクライアントにバインドすることもできます。IP アドレスは、アドレスプールに指定されたアドレスの範囲内になければなりません。また、[ hostedit access profile address-assignment pool pool-name family inet] 階層レベルの設定ステートメントで指定された IP アドレスとは異なるものである必要があります。どのアプリケーションでも、1つの IP アドレスが割り当てられている場合は、解放されるまで再割り当てが行われません。

グループおよび共有 IKE Id について

この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。動的 VPNでは、ユーザー接続ごとに固有のインターネット鍵交換 (IKE) ID が使用されます。VPN にアクセスする必要があるユーザー数が多い場合、個々の IKE ゲートウェイ、IPsec VPN、および各ユーザーのセキュリティポリシーを設定するのは煩雑です。Group IKE ID および共有 IKE ID 機能により、多数のユーザーが IKE ゲートウェイ構成を共有できるようになるため、必要な VPN 構成の数が減少します。

グループ IKE Id によって各ユーザーに固有の事前共有キーと IKE ID が提供されるため、動的な VPN 導入用にグループ IKE Id を設定することをお勧めします。

このトピックは、以下のセクションで構成されています。

グループ IKE Id

グループ IKE Id が設定されている場合、各ユーザーの IKE ID は、ユーザー固有のパーツと、すべてのグループ IKE ID ユーザーに共通のパーツが連結されたものになります。たとえば、ユーザーのボブが自分の Bob.example.net ID として「IKE」を使用すると、すべてのユーザーに共通して 「example.net」が使用されます。完全な IKE ID は、各ユーザー接続を一意に識別するために使用されます。

Group IKE Id は XAuth を必要としませんが、クライアント IP アドレスなどのネットワーク属性を取得するために、XAuth は動的 VPN によって必要とされています。XAuth が、group IKE Id を使用する動的 VPN 用に設定されていない場合は、警告が表示されます。

Group IKE Id が設定されている場合、ユーザーは WebAuth と XAuth 認証の両方で同じ資格情報を使用することをお勧めします。

複数のユーザーが同じグループ IKE ID を使用することはできますが、1人のユーザーが異なる接続に対して同じグループ IKE ID を使用することはできません。ユーザーが異なるリモートクライアントから接続する必要がある場合は、接続ごとに1つずつ、異なるグループ IKE Id を設定する必要があります。ユーザーが1つのグループ IKE ID を設定し、別の PC から2回目の接続を試みる場合、最初の接続は切断され、2つ目の接続が通過します。

グループ IKE ID を設定するには、次のようにします。

  • [ ike-user-type group-ike-idedit security ike gateway gateway-name dynamic] 階層レベルで設定します。

  • [edit security ike gateway gateway-name dynamic] hostname階層レベルで構成ステートメントを設定します。この構成は、すべてのユーザーの完全な IKE ID の共通部分です。

  • [pre-shared-key] edit security ike policy policy-name階層レベルで構成ステートメントを設定します。構成済み事前共有鍵は、実際の事前共有鍵を生成するために使用されます。

共有 IKE Id

共有 IKE ID が設定されている場合、すべてのユーザーが1つの IKE ID と1つの IKE 事前共有キーを共有します。各ユーザーは、必須の XAuth フェーズによって認証されます。ここでは、個々のユーザーの資格情報が外部の RADIUS サーバーまたはローカル access データベースによって検証されます。XAuth は、共有 IKE Id に必要です。

XAuth のユーザー名と構成された共有 IKE ID を使用して、ユーザー接続を区別します。ユーザー名は各ユーザーの接続を識別するために使用されるため、WebAuth ユーザー名と XAuth ユーザー名の両方が同じである必要があります。

複数のユーザーが同じ共有 IKE ID を使用できますが、1人のユーザーが異なる接続に対して同じ共有 IKE ID を使用することはできません。ユーザーが異なるリモートクライアントから接続する必要がある場合は、接続ごとに1つずつ、異なる共有 IKE Id を構成する必要があります。ユーザーが1つの共有 IKE ID しか構成していない場合、別のクライアントから2つ目の接続を試みると、最初の接続が切断されて、2つ目の接続を通過できます。また、ユーザー名は、IKE ID とともに各ユーザーの接続を識別するために必要なため、ユーザーは WebAuth と XAuth 認証の両方について同じ認証情報を使用する必要があります。

共有 IKE ID を構成するには、次のようにします。

  • [ ike-user-type shared-ike-idedit security ike gateway gateway-name dynamic] 階層レベルで設定します。

  • [hostname] edit security ike gateway gateway-name dynamic階層レベルで構成ステートメントを設定します。設定されたホスト名は、動的 VPN アクセスプロファイルで構成されたすべてのユーザーによって共有されます。

  • [pre-shared-key] edit security ike policy policy-name階層レベルで構成ステートメントを設定します。設定済み事前共有鍵は、動的 VPN アクセスプロファイルに設定されたすべてのユーザーによって共有されます。

例:動的 VPN の構成

この例では、ジュニパーネットワークスデバイス上で動的 VPN を構成して、リモートクライアントへの VPN アクセスを提供する方法を示します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

要件

開始する前に:

  1. デバイスのネットワークインターフェイスを構成します。セキュリティーデバイスのユーザーガイドを参照してください。

  2. セキュリティゾーンを作成し、それらにインターフェイスを割り当てます。111 ページの「Understanding Security Zones」を参照してください。

  3. 2つ以上のユーザー接続が同時に発生する場合は、デバイスにダイナミック VPN ライセンスをインストールします。ソフトウェアのインストールとアップグレードガイドを参照してください。

概要

動的 VPN の一般的な導入シナリオでは、インターネットなどのパブリックネットワークを介して接続されたリモートクライアントに VPN アクセスを提供します。パブリックIPアドレスは、ゲートウェイのインターフェイスの1つに割り当てられます。このインターフェイスは通常、Untrustゾーンの一部です。クライアントソフトウェアがインストールされた後、リモートユーザーは Web ポータルにログインするか、またはクライアントを直接起動して VPN にアクセスできます。どちらの場合でも、リモートクライアントは SRX シリーズデバイスで認証を行い、利用可能な最新の構成をダウンロードします。

図 2この導入トポロジーについて説明します。SRX シリーズデバイス上の ge-0/0/15.0 インターフェイスは、動的 VPN トンネルの終了ポイントです。Untrust ゾーン内のリモートクライアントは、Pulse セキュアクライアントを通じて、15.0 インターフェイスにアクセスします。

図 2: 動的 VPN 導入トポロジ動的 VPN 導入トポロジ

この例では、XAuth クライアント認証はローカルで実行され、クライアント IP アドレスは、SRX シリーズデバイス上に構成されたアドレスプールから割り当てられるようになっています。参照表 1してください。

その後、標準の提案セットが IKE と IPsec ネゴシエーションの両方に使用されます。動的 VPN トンネルの場合、アグレッシブモードを構成し、フェーズ1認証で事前共有キーのみをサポートする必要があります。Group IKE ID が使用され、最大接続数は10に設定しています。動的 Vpn はポリシーベースの Vpn でなければならないため、トラフィックをトンネルに転送するようにセキュリティポリシーを設定する必要があります。IKE と HTTPS のトラフィックは、ホストの受信トラフィックに対して許可される必要があります。参照表 2してください。

最後に、動的 VPN に対してリモートクライアント用に設定された XAuth プロファイルが指定されます。リモートユーザーは、設定された IPsec VPN に関連付けられています。また、リモートで保護されたリソース (トンネル経由で常に送信されるトラフィックの宛先アドレス) とリモート例外 (トンネルを通してではなくクリアテキストで送信されるトラフィックの宛先アドレス) として構成されています。参照表 3してください。

表 1: リモートクライアント認証とアドレス割り当ての構成

機能

名前

構成パラメーター

IP アドレスプール

dyn-vpn アドレスプール

  • 資料10.10.10.0/24

  • DNS サーバーアドレス: 192.0.2.1/32.

XAuth プロファイル

dyn-vpn-アクセスプロファイル

  • リモートクライアントのユーザー名: パスワードパスワード付き「client1」$ABC 123

  • リモートクライアントのユーザー名: パスワード付き「client2」$ABC 456

  • IP アドレスプール参照: dyn-vpn アドレスプール

  • このプロファイルは、web 認証用のデフォルトプロファイルです。

表 2: VPN トンネルの構成パラメーター

機能

名前

構成パラメーター

IKE ポリシー (フェーズ 1)

ike-dyn-vpn ポリシー

  • モード態勢

  • 提案セット: 標準

  • 事前共有キー: (ASCII) $ABC 789

IKE ゲートウェイ (フェーズ 1)

dyn-vpn-ローカル・ゲートウェイ

  • IKE ポリシーのリファレンス: ike-dyn-vpn ポリシー

  • 動的ホスト名: dynvpn

  • IKE ユーザータイプ: グループ IKE ID

  • 同時接続の最大数: 10

  • 外部インターフェイス: ge-0/0/15.0

  • アクセスプロファイルのリファレンス: dyn-vpn-アクセスプロファイル

IPsec ポリシー (フェーズ 2)

ipsec-dyn-vpn ポリシー

提案セット: 標準

IPsec VPN (フェーズ 2)

dyn の vpn

  • IKE ゲートウェイリファレンス: dyn-vpn-ローカル・ゲートウェイ

  • IPsec ポリシー参照: ipsec-dyn-vpn ポリシー

セキュリティポリシー (untrust zone からトラストゾーンへのトラフィックを許可)

dyn-vpn ポリシー

  • 条件の一致:

    • 送信元アドレス

    • 宛先アドレス any

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn dyn

ホストインバウンドトラフィック

次のタイプのトラフィックを、untrust ゾーンの ge-0/0/15.0 インターフェイスに許可します。

  • IKE

  • HTTP

  • コマンド

表 3: リモートクライアント用の動的 VPN 構成

機能

名前

構成パラメーター

リモートクライアントのアクセスプロファイル

アクセスプロファイルのリファレンス: dyn-vpn-アクセスプロファイル

リモートクライアント

すべての

  • IPsec VPN 参照: dyn の vpn

  • ユーザー名参照: client1 とその他

  • リモートから保護されたリソース: 10.0.0.0/8

  • リモート例外: 0.0.0.0/0

構成

リモートユーザー認証とアドレス割り当ての構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

リモートユーザー認証とアドレス割り当てを構成するには、次のようにします。

  1. アドレス割り当てプールを作成します。

  2. XAuth プロファイルを設定します。

  3. XAuth プロファイルを使用して Web 認証を構成します。

結果

設定モードから、 show accessコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

VPN トンネルの構成

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

VPN トンネルを構成するには、次のようにします。

  1. IKE ポリシーを設定します。

  2. IKE ゲートウェイを設定します。

  3. IPsec を構成します。

  4. セキュリティーポリシーを設定します。

  5. ホストの受信トラフィックを構成します。

結果

構成モードからshow security ike、、、 show security ipsecshow security policies、およびshow security zonesコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

ダイナミック VPN をリモートクライアントに関連付ける

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

ダイナミック VPN をリモートクライアントに関連付けるには、次のようにします。

  1. 動的 VPN で使用するアクセスプロファイルを指定します。

  2. 動的 VPN を使用できるクライアントを構成します。

結果

設定モードから、 show security dynamic-vpnコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

従来の IPsec VPN トンネルの監視に使用したのと同じコマンドで、動的な VPN トンネルを監視できます。構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE フェーズ1のステータスを確認しています

目的

セキュリティアソシエーションの IKE 段階1の状態を確認します。

アクション

動作モードから、 show security ike security-associationsコマンドを入力します。

接続したクライアントと割り当てられたアドレスの確認

目的

リモートクライアントとそれに割り当てられた IP アドレスが XAuth を使用していることを確認します。

アクション

動作モードから、 show security ike active-peerコマンドを入力します。

IPsec フェーズ2の状態を検証しています

目的

セキュリティアソシエーションの IPsec フェーズ2ステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。

各ユーザーの同時接続とパラメーターの確認

目的

同時接続数と各ユーザーのネゴシエートされたパラメーターを確認します。

アクション

動作モードから、 show security dynamic-vpn usersコマンドを入力します。

例:ローカル認証およびアドレスプールを構成しています

この例では、アドレスプールを作成する方法と、アクセスプロファイルにクライアント IP アドレスを割り当てる方法を示します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

要件

開始する前に、プライマリおよびセカンダリ DNS および WINS サーバーを構成し、IP アドレスを割り当てます。

概要

この例では、192.0.2.0 xauth1 /24 サブネット内の IP アドレスで構成されるアドレスプールを作成します。このxauth1プールは、プライマリおよびセカンダリ DNS サーバーと WINS サーバに IP アドレスも割り当てます。

アクセスプロファイルdvpn-authは、xauth1 pool を参照します。アクセスdvpn-authプロファイルは、2つのクライアントを構成します。

  • jason: IP アドレス192.0.2.1 がこのクライアントにバインドされています。認証に成功すると、クライアントに IP アドレス192.0.2.1 が割り当てられます。クライアントがログアウトする前に再度ログインすると、クライアントには xauth1 プールから IP アドレスが割り当てられます。

  • jacky: 認証が成功すると、クライアントには xauth1 プールから IP アドレスが割り当てられます。

さらに、 dvpn-authアクセスプロファイルでは、パスワード認証を使用してログイン時にクライアントを検証するように指定されています。その他の認証方法を指定できます。ソフトウェアは、クライアントのログイン試行ごとに、認証方法を最初から最後まで順に試行します。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

アドレスプールとアクセスプロファイルを設定するには、次のようにします。

  1. アドレスプールを作成します。

  2. アクセスプロファイルを構成します。

結果

設定モードから、 show accessコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

構成が正常に機能していることを確認するには、以下のタスクを実行します。

アドレス割り当ての確認

目的

アドレスの割り当てを確認します。XAuth では、ハードウェアアドレスは常に NA と表示されます。静的 IP アドレスが特定のユーザーに割り当てられている場合は、ユーザー名とプロファイル名 (形式 user@profile) が [ホスト/ユーザー] 列に表示されます。クライアントにプールから IP アドレスが割り当てられている場合は、ユーザー名が表示されます。ユーザー名が存在しない場合は、[NA] (いいえ) と表示されます。その他のアプリケーション (DHCP など) の場合は、構成されている場合、ホスト名が表示されます。ホスト名が設定されていない場合は、[NA] と表示されます。

アクション

動作モードから、 show network-access address-assignment poolコマンドを入力します。

例:複数のユーザー用のグループ IKE ID の設定

この例では、複数のユーザーによって使用されるグループ IKE ID を設定する方法について説明します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

要件

開始する前に:

概要

この例では、単一の IKE ID と 1 つの事前共有鍵を使用する 2 人のリモートダイナミック VPN ユーザー IKEを設定します( を参照 表 4表 5 )。外部の RADIUS サーバーは、ユーザーの認証とクライアントへの IP アドレスの割り当て表 6に使用されます (を参照)。

表 4: グループ IKE ID VPN トンネルの構成パラメーター

機能

名前

構成パラメーター

IKE ポリシー (フェーズ 1)

clientpol-グループ

  • モード態勢

  • 提案セット: compatible

  • 事前共有キー: (ASCII)-インアクセス・プロファイル

IKE ゲートウェイ (フェーズ 1)

groupgw

  • IKE ポリシーのリファレンス: clientpol-グループ

  • 動的ホスト名: example.net

  • IKE ユーザータイプ: グループ IKE ID

  • 同時接続の最大数: 50

  • 外部インターフェイス: ge-0/0/0.0

  • アクセスプロファイルのリファレンス: radius プロファイル

IPsec ポリシー (フェーズ 2)

client1vpnPol

提案セット: compatible

IPsec VPN (フェーズ 2)

groupvpn

  • IKE ゲートウェイリファレンス: groupgw

  • IPsec ポリシー参照: client1vpnPol

セキュリティポリシー (untrust zone からトラストゾーンへのトラフィックを許可)

グループ sec ポリシー

  • 条件の一致:

    • 送信元アドレス

    • 宛先アドレス any

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn groupvpn

ホストインバウンドトラフィック

次のタイプのトラフィックを、untrust ゾーンの ge-0/0/0.0 インターフェイスに対して許可します。

  • IKE

  • HTTP

  • コマンド

  • よる

表 5: リモートクライアントのグループ IKE ID 動的 VPN 構成

機能

名前

構成パラメーター

リモートクライアントのアクセスプロファイル

アクセスプロファイルのリファレンス: radius プロファイル

リモートクライアント

groupcfg

  • IPsec VPN 参照: groupvpn

  • ユーザー名参照: derek と chris

  • リモートから保護されたリソース: 10.100.100.0/24

  • リモート例外: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

表 6: RADIUS サーバーユーザー認証 (グループ IKE ID)

機能

名前

構成パラメーター

XAuth プロファイル

radius プロファイル

  • RADIUS は、ユーザーの資格情報を検証するために使用される認証方法です。

  • サーバー RADIUS IPアドレスは10.100.100.250で、パスワードは「$ABC 123」です。

  • このプロファイルは、Web 認証用のデフォルトプロファイルです。

構成

手順

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

複数のユーザーに対してグループ IKE ID を設定するには、次のようにします。

  1. XAuth プロファイルを設定します。

  2. IKE ポリシーを設定します。

  3. IKE ゲートウェイを設定します。

  4. IPsec を構成します。

  5. セキュリティーポリシーを設定します。

  6. ホストの受信トラフィックを構成します。

  7. 動的 VPN で使用するアクセスプロファイルを指定します。

  8. 動的 VPN を使用できるクライアントを構成します。

結果

設定モードから、、、、 show security ikeおよびshow security ipsecshow security policiesshow security zonesshow security dynamic-vpnコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

従来の IPsec VPN トンネルの監視に使用したのと同じコマンドで、動的な VPN トンネルを監視できます。構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE フェーズ1のステータスを確認しています

目的

セキュリティアソシエーションの IKE 段階1の状態を確認します。

アクション

動作モードから、 show security ike security-associationsコマンドを入力します。

接続したクライアントと割り当てられたアドレスの確認

目的

リモートクライアントとそれに割り当てられた IP アドレスが XAuth を使用していることを確認します。

アクション

動作モードから、 show security ike active-peerコマンドを入力します。

IPsec フェーズ2の状態を検証しています

目的

セキュリティアソシエーションの IPsec フェーズ2ステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。

各ユーザーの同時接続とパラメーターの確認

目的

同時接続数と各ユーザーのネゴシエートされたパラメーターを確認します。

アクション

動作モードから、 show security dynamic-vpn usersコマンドを入力します。

例:複数のユーザーに対する個々の IKE Id の設定

この例では、複数のユーザーに対して個々の IKE Id を設定する方法を示します。この機能は、SRX300、SRX320、SRX340、SRX345、SRX550HM の各デバイスでサポートされています。

VPN にアクセスする必要があるユーザー数が多い場合、個々の IKE ゲートウェイ、IPsec VPN、および各ユーザーのセキュリティポリシーを設定するのは煩雑です。Group IKE ID 機能を使用すると、多数のユーザーが IKE ゲートウェイ構成を共有できるため、必要な VPN 構成の数を減らすことができます。

要件

開始する前に:

概要

次の例は、2つのリモート動的 VPN ユーザーの構成を示しています。各ユーザーに対して、IKE ポリシーとゲートウェイ、IPsec ポリシーと VPN、セキュリティポリシーを設定する必要があり表 7ます表 8(「and」を参照)。外部の RADIUS サーバーは、ユーザーの認証とクライアントへの IP アドレスの割り当て表 9に使用されます (を参照)。

表 7: クライアント1の構成パラメーター

機能

名前

構成パラメーター

IKE ポリシー (フェーズ 1)

client1pol

  • モード態勢

  • 提案セット: compatible

  • 事前共有キー: (ASCII)-client1

IKE ゲートウェイ (フェーズ 1)

client1gw

  • IKE ポリシーのリファレンス: client1pol

  • 動的ホスト名: example.net

  • 外部インターフェイス: ge-0/0/0.0

  • アクセスプロファイルのリファレンス: radius プロファイル

IPsec ポリシー (フェーズ 2)

client1vpnPol

提案セット: compatible

IPsec VPN (フェーズ 2)

client1vpn

  • IKE ゲートウェイリファレンス: client1gw

  • IPsec ポリシー参照: client1vpnPol

セキュリティポリシー (untrust zone からトラストゾーンへのトラフィックを許可)

client1-policy

  • 条件の一致:

    • 送信元アドレス

    • 宛先アドレス any

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn client1vpn

ホストインバウンドトラフィック

次のタイプのトラフィックを、untrust ゾーンの ge-0/0/0.0 インターフェイスに対して許可します。

  • IKE

  • HTTP

  • コマンド

  • よる

リモートクライアントのアクセスプロファイル

アクセスプロファイルのリファレンス: radius プロファイル

リモートクライアント

cfg1

  • IPsec VPN 参照: client1vpn

  • ユーザー名参照: derek

  • リモートから保護されたリソース: 10.100.100.0/24

  • リモート例外: 0.0.0.0/0, 192.0.2.1/24, 0.0.0.0/32

表 8: クライアント2構成パラメーター

機能

名前

構成パラメーター

IKE ポリシー (フェーズ 1)

client2pol

  • モード態勢

  • 提案セット: compatible

  • 事前共有キー: (アスキー)

IKE ゲートウェイ (フェーズ 1)

client2gw

  • IKE ポリシーのリファレンス: client2pol

  • 動的ホスト名: example.net

  • 外部インターフェイス: ge-0/0/0.0

  • アクセスプロファイルのリファレンス: radius プロファイル

IPsec ポリシー (フェーズ 2)

client2vpnPol

提案セット: compatible

IPsec VPN (フェーズ 2)

client2vpn

  • IKE ゲートウェイリファレンス: client2gw

  • IPsec ポリシー参照: client2vpnPol

セキュリティポリシー (untrust zone からトラストゾーンへのトラフィックを許可)

client2-policy

  • 条件の一致:

    • 送信元アドレス

    • 宛先アドレス any

    • アプリケーション

  • 許可アクション: トンネル ipsec-vpn client2vpn

ホストインバウンドトラフィック

次のタイプのトラフィックを、untrust ゾーンの ge-0/0/0.0 インターフェイスに対して許可します。

  • IKE

  • HTTP

  • コマンド

  • よる

リモートクライアントのアクセスプロファイル

アクセスプロファイルのリファレンス: radius プロファイル

リモートクライアント

cfg2

  • IPsec VPN 参照: client2vpn

  • ユーザー名参照: クリス

  • リモートから保護されたリソース: 10.100.100.0/24

  • リモート例外: 0.0.0.0/0, 192.0.2.1/24

表 9: RADIUS サーバーユーザー認証 (個人 IKE ID)

機能

名前

構成パラメーター

XAuth プロファイル

radius プロファイル

  • RADIUS は、ユーザーの資格情報を検証するために使用される認証方法です。

  • RADIUS IP アドレスは 10.100.100.250 で、パスワードは「$ABC 123」です。

  • このプロファイルは、Web 認証用のデフォルトプロファイルです。

構成

XAuth プロファイルの設定

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

XAuth プロファイルを構成するには、次のようにします。

  1. アクセスプロファイルを構成します。

  2. XAuth プロファイルを使用して Web 認証を構成します。

結果

設定モードから、 show accessコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

クライアントの構成1

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

1人のユーザーに対して動的 VPN を構成するには、次のようにします。

  1. IKE ポリシーを設定します。

  2. IKE ゲートウェイを設定します。

  3. IPsec を構成します。

  4. セキュリティーポリシーを設定します。

  5. ホストの受信トラフィックを構成します。

  6. 動的 VPN で使用するアクセスプロファイルを指定します。

  7. 動的 VPN を使用できるクライアントを構成します。

結果

設定モードから、、、、 show security ikeおよびshow security ipsecshow security policiesshow security zonesshow security dynamic-vpnコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

クライアントの構成2

CLI クイック構成

この例を簡単に構成するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除し、ネットワーク設定に一致する必要がある詳細を変更し、コマンドを[edit]階層レベルで CLI にコピー & ペーストしてから設定commitモードから開始します。

順を追った手順

次の例では、構成階層のさまざまなレベルを移動する必要があります。その方法の詳細については、 cli のユーザーガイド設定モードで Cli エディターを使用するを参照してください。

1人のユーザーに対して動的 VPN を構成するには、次のようにします。

  1. IKE ポリシーを設定します。

  2. IKE ゲートウェイを設定します。

  3. IPsec を構成します。

  4. セキュリティーポリシーを設定します。

  5. ホストの受信トラフィックを構成します。

  6. 動的 VPN で使用するアクセスプロファイルを指定します。

  7. 動的 VPN を使用できるクライアントを構成します。

結果

設定モードから、、、、 show security ikeおよびshow security ipsecshow security policiesshow security zonesshow security dynamic-vpnコマンドを入力して設定を確認します。出力に意図した構成が表示されない場合は、この例の設定手順を繰り返して修正してください。

デバイスの設定が完了したら、設定commitモードから入力します。

検証

従来の IPsec VPN トンネルの監視に使用したのと同じコマンドで、動的な VPN トンネルを監視できます。構成が正常に機能していることを確認するには、以下のタスクを実行します。

IKE フェーズ1のステータスを確認しています

目的

セキュリティアソシエーションの IKE 段階1の状態を確認します。

アクション

動作モードから、 show security ike security-associationsコマンドを入力します。

接続したクライアントと割り当てられたアドレスの確認

目的

リモートクライアントとそれに割り当てられた IP アドレスが XAuth を使用していることを確認します。

アクション

動作モードから、 show security ike active-peerコマンドを入力します。

IPsec フェーズ2の状態を検証しています

目的

セキュリティアソシエーションの IPsec フェーズ2ステータスを確認します。

アクション

動作モードから、 show security ipsec security-associationsコマンドを入力します。

各ユーザーの同時接続とパラメーターの確認

目的

同時接続数と各ユーザーのネゴシエートされたパラメーターを確認します。

アクション

動作モードから、 show security dynamic-vpn usersコマンドを入力します。