NCP 専用リモート アクセス クライアントを使用したリモート アクセス VPN
NCP 専用リモート アクセス クライアントは、ジュニパー SRX シリーズ ゲートウェイ向けの NCP 専用リモート アクセス ソリューションの一部です。VPN クライアントは、NCP 専用リモート アクセス管理でのみ使用できます。NCP 排他クライアントを使用して、SRX シリーズ ゲートウェイに接続した場合、任意の場所からセキュアな IPsec ベースのデータ リンクを確立します。
NCP 専用リモート アクセス クライアントを使用した IPsec VPN について
このセクションでは、NCP 専用リモート アクセス クライアント ソフトウェア向け SRX シリーズ デバイスでの IPsec VPN サポートについて説明します。
- NCP 専用リモート アクセス クライアント
- ライセンス
- AutoVPN
- トラフィック セレクター
- NCP 専用リモート アクセス クライアント認証
- リモート アクセス クライアント属性と IP アドレスの割り当て
- サポートされる機能
- 注意 事項
NCP 専用リモート アクセス クライアント
Windows および MAC OS デバイスで NCP 専用リモート アクセス クライアント ソフトウェアを実行しているユーザーは、SRX シリーズ デバイスとの IKEv1 または IKEv2 IPsec VPN 接続を確立できます。NCP 専用リモート アクセス クライアント ソフトウェアは、 NCP 製品からダウンロードできます。
ライセンス
SRX シリーズ デバイスでは、デフォルトで 2 ユーザー ライセンスが提供されます。追加ユーザーにはライセンスが必要です。すべてのリモート アクセス ライセンスについては、ジュニパーネットワークスの担当者にお問い合わせください。
ライセンスはユーザー数に基づいています。たとえば、インストールされているライセンス数が 100 ユーザーの場合、100 人の異なるユーザーが VPN 接続を確立できます。トラフィック セレクターにより、各ユーザーは複数のトンネルを確立できます。ユーザーが切断すると、IKE と IPsec セキュリティ アソシエーション(SA)が期限切れになった 1 分後にライセンスがリリースされます。
ライセンス適用は、フェーズ 2 ネゴシエーションが完了した後にのみ検証されます。つまり、リモート アクセス ユーザーは SRX シリーズ デバイスに接続でき、IKE と IPsec SA を確立できますが、ユーザーがライセンスされたユーザー制限を超えると、ユーザーは切断されます。
vSRX インスタンスのライセンスはサブスクリプションベースです。接続されたリモート アクセス ユーザーは、インストール済みライセンスの有効期限が切れるとすぐに切断されません。リモート アクセス ユーザーが切断され、対応する IKE と IPsec SA が期限切れになると、ユーザーの後続の再接続は、現在インストールされているライセンスが期限切れかどうかによって異なります。
AutoVPN
NCP 専用リモート アクセス クライアントは、ポイントツーポイント セキュア トンネル インターフェイス モードで AutoVPN でサポートされています。AutoVPN は、SRX シリーズ デバイス上のルートベース IPsec VPN でのみサポートされます。
トラフィック セレクター
SRX シリーズ デバイスと NCP クライアントで設定されたトラフィック セレクターによって、IPsec VPN トンネルを介して送信されるクライアント トラフィックが決定されます。トンネル内およびトンネル外のトラフィックは、ネゴシエートされたトラフィック セレクターに対してのみ許可されます。パケットの宛先アドレスのルート ルックアップが st0 インターフェイス(トラフィック セレクターが設定されている)を指し、パケットのトラフィック セレクターがネゴシエートされたトラフィック セレクターと一致しない場合、パケットは破棄されます。NCP 専用リモート アクセス クライアントでは、複数フェーズ 2 IPsec SA と ARI(自動ルート挿入)がサポートされています。ポートとプロトコルとのトラフィック セレクターの柔軟な一致はサポートされていません。この機能では、トラフィック セレクターのリモート アドレスは 0.0.0.0/0 である必要があります。
多くの場合、リモート アクセス クライアントからのトラフィックはすべて VPN トンネルを介して送信されます。次のセクションで説明するように、トラフィック セレクターで設定されるローカル アドレスは、0.0.0.0/0 または特定のアドレスにすることができます。
リモート アドレス 0.0.0.0/0 を使用した SRX シリーズ デバイス上のトラフィック セレクターの設定は、NCP 専用リモート アクセス クライアント接続でサポートされています。VPN ネゴシエーションが完了すると、トラフィック セレクターのリモート アドレスは 1 つの IP アドレス(RADIUS サーバーまたはローカル アドレス プールによって割り当てられたリモート アクセス クライアントのアドレス)であることが予想されます。
スプリット トンネリング
スプリット トンネリングでは、SRX シリーズ デバイスで設定されたトラフィック セレクターのローカル アドレスの保護リソースのアドレスとして、0.0.0.0/0 よりも短いプレフィックスを使用します。 対応するトラフィック セレクターは、リモート アクセス クライアント上で設定できます。SRX シリーズ デバイスでは、両方のトラフィック セレクターからの柔軟な一致の結果と一致する VPN トンネル上のトラフィックを許可します。リモート アクセス クライアントで設定されたトラフィック セレクターを SRX シリーズ デバイスで設定されたトラフィック セレクターと一致できない場合、トンネル ネゴシエーションは失敗します。IKEv1 の場合、クライアントのトラフィック セレクター設定のローカル アドレスとリモート アドレスは、SRX シリーズ デバイスで設定された対応するトラフィック セレクター内のアドレスの同じアドレスまたはサブセットである必要があります。
複数のサブネットワーク
SRX シリーズ デバイスでは、保護されたサブネットワークごとに 1 つのトラフィック セレクターを構成できます。サブネットワークは重複できません。NCP 専用リモート アクセス クライアントでは、SRX シリーズ デバイスで設定されている各トラフィック セレクターに対して 1 つのトラフィック セレクターを設定する必要があります。NCP 専用リモート アクセス クライアントの分割トンネル ウィンドウで設定されたアドレスは、クライアントのリモート トラフィック セレクターとして使用されます。これらのアドレスは、SRX シリーズ デバイスで設定された対応するトラフィック セレクター内のアドレスと同じアドレスまたはサブセットである必要があります。各トラフィック セレクターに対して 1 つの IPsec SA ペアが作成されます。
NCP 専用リモート アクセス クライアント認証
クライアントの IKE バージョンに応じて、NCP 専用リモート アクセス クライアントの拡張認証には 2 つの形式があります。
IKEv1 NCP 専用リモート アクセス クライアント認証は、RADIUS サーバーまたはローカル アクセス プロファイルを使用して XAuth でサポートされています。IKEv1 リモート アクセス接続では、IKE フェーズ 1 認証に事前共有鍵が使用されます。拡張認証(XAuth)は、リモート アクセス ユーザーの認証に使用されます。SRX シリーズ デバイスは、IKE アグレッシブ モード用に設定する必要があります。
IKEv1 NCP 専用リモート アクセス クライアントでは、AutoVPN で事前共有鍵認証がサポートされています。ユーザーベース認証を使用しない AutoVPN の導入では、証明書認証のみがサポートされます。
IKEv2 NCP 専用リモート アクセス クライアント認証には、EAP をサポートする RADIUS サーバーが必要です。SRX シリーズ デバイスは、NCP 専用リモート アクセス クライアントと RADIUS サーバー間で EAP メッセージを中継するパススルーオーセンティケータとして機能します。次の EAP 認証タイプがサポートされています。
EAP-MSCHAPv2
EAP-MSCHAPv2 の RADIUS サーバーによってプライマリ セッション キーを生成する必要があります。
EAP-MD5
EAP-TLS
IKEv2 NCP 専用リモート アクセス クライアントでは、SRX シリーズ デバイスの認証にデジタル証明書が使用されます。リモート アクセス クライアントの認証には、EAP(Extensible Authentication Protocol)が使用されます。
リモート アクセス クライアント属性と IP アドレスの割り当て
属性の割り当て
IKEv1 または IKEv2 リモート アクセス クライアントでは、RADIUS サーバーまたはローカル ネットワーク属性設定を使用して属性を割り当てることができます。認証に RADIUS サーバーを使用するが、ネットワーク属性が割り当てされていない場合は、必要に応じてネットワーク属性(IP アドレスを含む)をローカルに設定できます。
次のクライアント属性は、RFC 2865、 仮想プライベート ネットワーク識別子に基づき、IKEv1 および IKEv2 NCP Exclusive Remote Access Client でサポートされています。
フレーム化された IP アドレス
Framed-IP-Netmask
次のジュニパーのベンダー固有の属性(VSA)は、IKEv1 および IKEv2 NCP 専用リモート アクセス クライアントでサポートされています。
Juniper-Primary-DNS
ジュニパーとプライマリーウィン
ジュニパーセカンダリDNS(IKEv2でのみ利用可能)
ジュニパーとセカンダリウィン(IKEv2 でのみ利用可能)
VSA Juniper-Local-Group-Name はサポートされていません。
IP アドレス割り当て
IP アドレスがローカル アドレス プールと RADIUS サーバーの両方から割り当てられている場合、RADIUS サーバーによって割り当てられた IP アドレスが優先されます。RADIUS サーバーが IP アドレスを返せず、ユーザーが設定したローカル アドレス プールがある場合、IP アドレスはローカル プールからリモート クライアントに割り当てられます。
ローカル アドレス プールまたは RADIUS サーバー アドレス プール内のアドレス数は、リモート アクセス クライアント ユーザーの数よりも大きくする必要があります。これは、ユーザーが切断されると、ユーザーがログオフするまでに最大 1 分かかる可能性があるためです。
IP アドレスが外部 RADIUS サーバーまたはローカル アドレス プールから割り当てられると、32 ビット マスクを持つ IP アドレスが NCP 専用リモート アクセス クライアントに渡されます。トンネルが確立されると、ARI(自動ルート挿入)によってリモート クライアントの IP アドレスに静的ルートが自動的に挿入されるため、SRX シリーズ デバイスの背後からのトラフィックを VPN トンネルに送信してクライアントの IP アドレスに送信できます。
設定されたトラフィック セレクターは、RADIUS サーバーまたはローカル アドレス プールによって割り当てられた IP アドレスをカバーしていない可能性があります。この場合、リモート クライアントは、VPN トンネルを介してサブネットワーク内の別のリモート クライアントの IP アドレスに到達できない場合があります。トラフィック セレクターは、RADIUS サーバーまたはローカル アドレス プールによって他のリモート クライアントに割り当てられた IP アドレスと一致するように明示的に構成する必要があります。
サポートされる機能
NCP 専用リモート アクセス クライアントでは、SRX シリーズ デバイスで次の機能がサポートされています。
SRX シリーズ デバイスおよび NCP 専用リモート アクセス クライアントからのトラフィック初期化
NAT デバイスの背後にあるリモート アクセス クライアント(NAT-T)
デッドピア検知
SRX シリーズ デバイスのシャーシ クラスタ構成
注意 事項
NCP 専用リモート アクセス クライアントを使用した SRX シリーズ デバイスでは、次の機能はサポートされていません。
ルーティング プロトコル
ポイントツーマルチポイント モードの st0 インターフェイスを備えた AutoVPN
自動検出 VPN(ADVPN)
事前共有鍵を使用した IKEv2 EAP
IKEv2 NCP 専用リモート アクセス クライアントは、SRX シリーズ デバイスの認証に証明書を使用する必要があります。
ポリシーベース VPN
IPv6 トラフィック
VPN 監視
NHTB(ネクストホップ トンネル バインディング)、自動と手動の両方
ネゴシエーション中の複数のトラフィック セレクター
同じ仮想ルーター内の NCP 専用リモート アクセス クライアントから受信したトラフィック セレクターに、重複する IP アドレスを含めてはなりません。
関連項目
NCP 専用リモート アクセス クライアントを使用した SSL リモート アクセス VPN について
多くの公共ホットスポット環境では、UDPトラフィックがブロックされ、ポート443上のTCP接続は通常許可されています。このような環境では、SRX シリーズ デバイスは、TCP 接続内で IPsec メッセージをカプセル化することで、SSL リモート アクセス VPN をサポートできます。この実装は、サードパーティーの NCP 専用リモート アクセス クライアントと互換性があります。このセクションでは、SRX シリーズ デバイスでの NCP 専用リモート アクセス クライアントのサポートについて説明します。
NCP 専用リモート アクセス クライアントを使用した SSL リモート アクセス VPN のメリット
クライアントとゲートウェイ間のデバイスが IKE(インターネット 鍵交換)(UDP ポート 500)をブロックした場合でも、セキュアなリモート アクセスが保証されます。
ユーザーは、すべての作業環境でビジネス アプリケーションとリソースに安全にアクセスできます。
NCP 専用リモート アクセス クライアント
Windows、macOS、Apple iOS、Android デバイスで NCP 専用リモート アクセス クライアント ソフトウェアを実行しているユーザーは、ポート 443 と SRX シリーズ デバイスを介して TCP 接続を確立して、カプセル化された IPsec トラフィックを交換できます。
NCP 専用リモート アクセス クライアントは、次の 2 つのモードのいずれかで実行されます。
ポート 443 を介した TCP 接続内でカプセル化された IPsec メッセージをサポートする NCP パス ファインダー v1
NCP パス ファインダー v2:SSL/TLS 接続で IPsec メッセージをサポートします(NCP パス ファインダー v2 は TLSv1.0 を使用します)。
RSA 証明書を使用して、適切な SSL ハンドシェイクが行われます。IPsec メッセージは、SSL ハンドシェイク中に交換された鍵で暗号化されます。その結果、SSL トンネル用に 1 回、IPsec トンネル用に再度二重暗号化が行われます。
NCP パス ファインダー v2 モードのサポートでは、RSA 証明書を SRX シリーズ デバイスにロードし、その証明書を参照する SSL 終端プロファイルを設定する必要があります。
NCP 専用リモート アクセス クライアントは、IPsec トラフィックをブロックするファイアウォールまたはプロキシ サーバーによって通常の IPsec 接続が失敗した場合に備えて、フォールバック メカニズムを提供します。NCP パス ファインダー v2 モードは、完全な TLS 通信を提供する機能強化です。これは、非常に制限の厳しいアプリケーション レベルのファイアウォールやプロキシによってブロックされません。通常の IPsec 接続を確立できない場合、NCP 専用リモート アクセス クライアントは自動的に NCP パス ファインダー v1 モードに切り替わります。クライアントがまだゲートウェイにアクセスできない場合、NCP は完全な TLS ネゴシエーションを使用して NCP パス ファインダー v2 モードを有効にします。
ライセンス
SRX シリーズ デバイスでは、デフォルトで 2 ユーザー ライセンスが提供されます。ライセンスは、同時ユーザーを追加するために購入し、インストールする必要があります。
操作
SRX シリーズ デバイスでは、 TCP カプセル化プロファイル によって、リモート アクセス クライアントのデータ カプセル化操作が定義されます。複数の TCP カプセル化プロファイルを設定して、さまざまなクライアント セットを処理できます。プロファイルごとに、以下の情報が設定されます。
プロファイルの名前。
リモート アクセス クライアント接続のオプションのロギング。
トレース オプション。
SSL 接続の SSL 終端プロファイル。
NCP 専用リモート アクセス クライアントからの TCP 接続は、SRX シリーズ デバイスのポート 443 で受け入れられます。
TCP カプセル化プロファイルは、ステートメントを tcp-encap [edit security] 階層レベルで設定します。その後、カプセル化プロファイルは [edit security ike gateway gateway-name] 階層レベルのtcp-encap-profileステートメントで指定されます。IKE ゲートウェイ設定に TCP カプセル化プロファイルを含めます。例えば、
user@host#set security tcp-encap profile ncpuser@host#set security tcp-encap profile ncp ssl-profile RemoteAccessuser@host#set security ike gateway RA tcp-encap-profile ncpuser@host#set security zones security-zone zone-name interfaces interface-name host-inbound-traffic system-services ikeuser@host#set security zones security-zone zone-name interfaces interface-name host-inbound-traffic system-services tcp-encap
サポートされる機能
NCP 専用リモート アクセス クライアントを使用する SRX シリーズ デバイスでは、次の機能がサポートされています。
トラフィック セレクターに基づいた IPsec トンネルを使用したポイントツーポイント モードの AutoVPN
SRX シリーズ デバイス上のゲートウェイの背後にあるデバイスからのトラフィック初期化
デッドピア検知
SRX シリーズ デバイスのシャーシ クラスタ構成
注意 事項
NCP 専用リモート アクセス クライアントからの TCP 接続は、SRX シリーズ デバイスでポート 443 を使用します。J-Web デバイス管理ポートをデフォルト ポート 443 から変更し、tcp-encap をホスト インバウンド システム サービス用に設定する必要があります。コマンドを set security zones security-zone zone host-inbound-traffic system-services tcp-encap 使用します。(IKE は、コマンドを使用してホスト インバウンド システム サービスにも設定する set security zones security-zone zone host-inbound-traffic system-services ike 必要があります)。
デッド ピア検出(DPD)タイムアウトが十分に大きくない場合、TCP 接続を使用するトンネルは ISSU から存続しない可能性があります。ISSU を存続するには、DPD タイムアウトを 120 秒を超える値に増やします。DPD タイムアウトは、設定された DPD 間隔としきい値の積です。たとえば、DPD 間隔が 32 でしきい値が 4 の場合、タイムアウトは 128 です。
NCP 排他リモート アクセス クライアントの既定の DPD 設定では、最大 8 回の 20 秒間隔でメッセージの送信を指定します。シャーシ クラスタ フェイルオーバーが発生すると、SRX シリーズ デバイスが DPD 設定で指定されたパラメータ内で復旧せず、トンネルがダウンする可能性があります。この場合、NCP 専用リモート アクセス クライアントの DPD 間隔を 60 秒に増やします。
NAT-T は、これらのトンネルに NAT-T が必要ないため、設定で tcp-encap を使用するクライアントとのネゴシエーション中に無効になります。
NCP 専用リモート アクセス クライアントを使用する SRX シリーズ デバイスでは、次の機能はサポートされていません。
ルーティング プロトコル
ポイントツーマルチポイント モードの st0 インターフェイスを備えた AutoVPN
自動検出 VPN(ADVPN)
ポリシーベース VPN
IPv6 トラフィック
VPN 監視
NHTB(ネクストホップ トンネル バインディング)、自動と手動の両方
関連項目
例:NCP 専用リモート アクセス クライアント用の SRX シリーズ デバイスの設定
この例では、NCP 専用リモート アクセス クライアントからの IKEv2 IPsec VPN 接続をサポートするように SRX シリーズ デバイスまたは vSRX インスタンスを設定する方法を示しています。この設定は、NCP 専用リモート アクセス クライアントからの TCP カプセル化トラフィックもサポートしています。
要件
この例では、次のハードウェアおよびソフトウェア コンポーネントを使用します。
Junos OS リリース 15.1X49-D80 以降を実行する、サポート対象の SRX シリーズ デバイスまたは vSRX インスタンス。
NCP 専用リモート アクセス クライアント ソフトウェアは、サポート対象のユーザー デバイスにダウンロードする必要があります。
SRX シリーズ デバイスでは、デフォルトで 2 ユーザー ライセンスが提供されます。ライセンスを購入し、追加ユーザー用にインストールする必要があります。すべてのリモート アクセス ライセンスについては、ジュニパーネットワークスの担当者にお問い合わせください。
開始する前に、以下を行います。
SRX シリーズ デバイスで、次の手順に従います。
ネットワーク インターフェイスを設定します。
NCP 専用リモート アクセス クライアントからの TCP 接続は、SRX シリーズ デバイスでポート 443 を使用します。J-Web などの TCP 接続のデバイス管理では、SRX シリーズ デバイスでポート 443 を使用できます。TCP カプセル化システム サービスは、NCP 専用リモート アクセス クライアント接続を受信するゾーン(この例では untrust ゾーン)上のホスト インバウンド トラフィックに対して設定する必要があります。ポート 443 で J-Web を使用する場合、Web 管理システム サービスは、必要なゾーン上のホスト インバウンド トラフィックに対して設定する必要があります。
NCP 専用リモート アクセス クライアントを設定します。その方法については、NCP 専用リモート アクセス クライアントのマニュアルを参照してください。
NCP 専用リモート アクセス クライアント プロファイルの設定は、SRX シリーズ デバイスの VPN 設定と一致する必要があります。
この例では、外部 RADIUS サーバー(Active Directory サーバーなど)が、EAP-TLS プロトコルを使用して IKEv2 排他リモート アクセス クライアント ユーザーを認証します。この例では、RADIUS サーバーは IP アドレス 192.0.2.12 で設定されています。ユーザー認証の設定については、RADIUS サーバーのマニュアルを参照してください。
概要
この例では、IKEv2 専用リモート アクセス クライアント ユーザーは、EAP-TLS を使用して外部 RADIUS サーバーで認証されます。認証されたクライアントには、SRX シリーズ デバイスで設定されたローカル アドレス プールから IP アドレスとプライマリ DNS サーバーが割り当てられます。トラフィック セレクターは、リモート アドレスおよびローカル アドレスに対して 0.0.0.0/0 で設定されています。つまり、すべてのトラフィックがトンネルで許可されます。
TCP カプセル化と IKE ホスト インバウンド システム サービスは、untrust セキュリティ ゾーンで設定されています。ポート 443 で J-Web を使用する場合、HTTPS ホスト インバウンド システム サービスも設定する必要があります。
この例では、セキュリティ ポリシーはすべてのトラフィックを許可します。本番環境では、より制限の厳しいセキュリティ ポリシーを設定する必要があります。
表 1 は、この例の NCP 専用リモート アクセス クライアント接続をサポートするために SRX シリーズ デバイスで設定された IKE および IPSec 値を示しています。
オプション |
値 |
|---|---|
IKEプロポーザル: |
|
認証方法 |
rsa-signatures |
Diffie-Hellman(DH)グループ |
group19 |
暗号化アルゴリズム |
aes-256-gcm |
IKEポリシー: |
|
証明 書 |
ローカル証明書 |
IKEゲートウェイ: |
|
動的 |
user-at-hostname |
IKE ユーザー タイプ |
グループ ike-id |
バージョン |
v2-only |
IPsec プロポーザル: |
|
プロトコル |
特に |
暗号化アルゴリズム |
aes-256-gcm |
IPsec ポリシー: |
|
PfS(Perfect Forward Secrecy)グループ |
グループ19 |
設定
SRX シリーズ デバイスに証明書を登録する
手順
この例では、最初のステップは、SRX シリーズ デバイスに証明機関(CA)証明書とローカル証明書を登録することです。ローカル証明書は、Microsoft 証明機関を使用してリモート クライアントに対する SRX シリーズ デバイスの認証に使用されます。それ以外の場合、以下のURLは異なります。以下の例では、SCEP をサポートするために CA サーバーが必要であることに注意してください。
CA プロファイルを設定します。
CA プロファイルの設定は、使用する CA サーバーによって異なります。この例では、証明書の失効を確認するために CRL を使用します。環境に適した登録 URL と CRL URL を使用します。
[edit] user@host# set security pki ca-profile CA_Server ca-identity CA_Server user@host# set security pki ca-profile CA_Server enrollment url http://192.0.2.12/certsrv/mscep/mscep.dll user@host# set security pki ca-profile CA_Server revocation-check crl url http://192.0.2.12/crl user@host$
commitCA プロファイル設定は、続行する前にコミットする必要があります。
CA 証明書を登録します。
user@host> request security pki ca-certificate enroll ca-profile CA_Server
yes値が信頼されている場合は、プロンプトに入力して CA 証明書をロードします。
失効ステータスを確認して CA 証明書を検証します。
user@host> request security pki ca-certificate verify ca-profile CA_Server
ローカル証明書のキー ペアを生成します。
user@host> request security pki generate-key-pair certificate-id RemoteAccessNCP size 2048 bytes type rsa
ローカル証明書を登録します。この例では、証明書はシンプルな証明書登録プロトコル(SCEP)を使用して登録されています。
user@host> request security pki local-certificate enroll scep ca-profile CA_Server certificate-id RemoteAccessNCP domain-name example.net subject DC=example.net,L=Sunnyvale,O=example,OU=example challenge-password <password>
取り消しステータスを確認して、ローカル証明書を検証します。
user@host> request security pki local-certificate verify certificate-id RemoteAccessNCP
リモート クライアント用の SRX シリーズ デバイスの設定
CLI クイック設定
この例を迅速に設定するには、次のコマンドをコピーして、テキスト ファイルに貼り付け、改行を削除し、ネットワーク設定に一致するために必要な詳細情報を変更し、コマンドを階層レベルで [edit] CLI にコピー アンド ペーストしてから、設定モードから入力 commit します。
set access address-assignment pool RA_LOCAL-IP-POOL family inet network 198.51.100.0/24 set access address-assignment pool RA_LOCAL-IP-POOL family inet range REMOTEACCESS low 198.51.100.10 set access address-assignment pool RA_LOCAL-IP-POOL family inet range REMOTEACCESS high 198.51.100.254 set access address-assignment pool RA_LOCAL-IP-POOL family inet xauth-attributes primary-dns 192.0.2.12/32 set access profile RA_EXTERNAL-AUTH authentication-order radius set access profile RA_EXTERNAL-AUTH address-assignment pool RA_LOCAL-IP-POOL set access profile RA_EXTERNAL-AUTH radius-server 192.0.2.12 secret "$ABC123" set security tcp-encap profile NCP set services ssl termination profile RemoteAccess server-certificate RemoteAccessNCP set security tcp-encap profile NCP ssl-profile RemoteAccess set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.3/24 set interfaces st0 unit 0 family inet set security ike proposal CERT-DH19-AES256GCM authentication-method rsa-signatures set security ike proposal CERT-DH19-AES256GCM dh-group group19 set security ike proposal CERT-DH19-AES256GCM encryption-algorithm aes-256-gcm set security ike policy RA_IKEv2_EXT-AUTH proposals CERT-DH19-AES256GCM set security ike policy RA_IKEv2_EXT-AUTH certificate local-certificate RemoteAccessNCP set security ike gateway RA_IKEv2_EXT-AUTH ike-policy RA_IKEv2_EXT-AUTH set security ike gateway RA_IKEv2_EXT-AUTH dynamic user-at-hostname "remoteuser@example.net" set security ike gateway RA_IKEv2_EXT-AUTH dynamic ike-user-type group-ike-id set security ike gateway RA_IKEv2_EXT-AUTH external-interface ge-0/0/1.0 set security ike gateway RA_IKEv2_EXT-AUTH aaa access-profile RA_EXTERNAL-AUTH set security ike gateway RA_IKEv2_EXT-AUTH version v2-only set security ike gateway RA_IKEv2_EXT-AUTH tcp-encap-profile NCP set security ipsec proposal ESP-AES256GCM protocol esp set security ipsec proposal ESP-AES256GCM encryption-algorithm aes-256-gcm set security ipsec policy RemoteAccess perfect-forward-secrecy keys group19 set security ipsec policy RemoteAccess proposals ESP-AES256GCM set security ipsec vpn RA_IKEv2_EXT-AUTH bind-interface st0.0 set security ipsec vpn RA_IKEv2_EXT-AUTH ike gateway RA_IKEv2_EXT-AUTH set security ipsec vpn RA_IKEv2_EXT-AUTH ike ipsec-policy RemoteAccess set security ipsec vpn RA_IKEv2_EXT-AUTH traffic-selector NO-SPLIT local-ip 0.0.0.0/0 set security ipsec vpn RA_IKEv2_EXT-AUTH traffic-selector NO-SPLIT remote-ip 0.0.0.0/0 set security zones security-zone Untrust interfaces ge-0/0/1.0 set security zones security-zone Untrust host-inbound-traffic system-services ike set security zones security-zone Untrust host-inbound-traffic system-services tcp-encap set security zones security-zone Trust interfaces ge-0/0/2.0 set security zones security-zone VPN interfaces st0.0 set security address-book global address RemoteAccessNetworks 198.51.100.0/24 set security policies from-zone VPN to-zone Trust policy 1 match source-address RemoteAccessNetworks set security policies from-zone VPN to-zone Trust policy 1 match destination-address any set security policies from-zone VPN to-zone Trust policy 1 match application any set security policies from-zone VPN to-zone Trust policy 1 then permit set security policies from-zone VPN to-zone Trust policy 1 then log session-init set security policies from-zone VPN to-zone Trust policy 1 then log session-close set security policies from-zone Trust to-zone VPN policy 1 match source-address any set security policies from-zone Trust to-zone VPN policy 1 match destination-address RemoteAccessNetworks set security policies from-zone Trust to-zone VPN policy 1 match application any set security policies from-zone Trust to-zone VPN policy 1 then permit set security policies from-zone Trust to-zone VPN policy 1 then log session-init set security policies from-zone Trust to-zone VPN policy 1 then log session-close
手順
次の例では、設定階層のさまざまなレベルに移動する必要があります。その方法の詳細については、『CLI ユーザー ガイド』の「設定モードでの CLI エディターの使用」を参照してください。
NCP 専用リモート アクセス クライアントをサポートするように SRX シリーズ デバイスを設定するには、次の手順に従います。
ローカル アドレス プールを設定します。
[edit access address-assignment pool RA_LOCAL-IP-POOL] user@host# set family inet network 198.51.100.0/24 user@host# set family inet range REMOTEACCESS low 198.51.100.10 user@host# set family inet range REMOTEACCESS high 198.51.100.254 user@host# set family inet xauth-attributes primary-dns 192.0.2.12/32
ローカル アクセス プロファイルを設定します。
[edit access profile RA_EXTERNAL-AUTH] user@host# set authentication-order radius user@host# set address-assignment pool RA_LOCAL-IP-POOL user@host# set radius-server 192.0.2.12 secret “$ABC123”
TCP カプセル化プロファイルを設定します。
[edit] user@host# set security tcp-encap profile NCP
SSL 終端プロファイルを作成します。
[edit] user@host# set services ssl termination profile RemoteAccess server-certificate RemoteAccessNCP
SSL 終端プロファイルが設定されていない場合、唯一の NCP パス ファインダー v1 モードがサポートされます。NCP パス ファインダー v2 のサポートには、SSL 終端プロファイルが構成されている必要があります。SSL 終端プロファイルが構成されている場合、NCP パス ファインダー v1 がサポートされます。
SSL プロファイルを tcp-encap プロファイルにアタッチします。
[edit] user@host# set security tcp-encap profile NCP ssl-profile RemoteAccess
インターフェイスを設定します。
[edit interfaces] user@host# set interfaces ge-0/0/1 unit 0 family inet address 203.0.113.1/24 user@host# set interfaces ge-0/0/2 unit 0 family inet address 192.0.2.3/24 user@host# set interfaces st0 unit 0 family inet
IKEプロポーザル、ポリシー、ゲートウェイを設定します。
[edit security ike proposal CERT-DH19-AES256GCM] user@host# set authentication-method rsa-signatures user@host# set dh-group group19 user@host# set encryption-algorithm aes-256-gcm [edit security ike policy RA_IKEv2_EXT-AUTH] user@host# set proposals CERT-DH19-AES256_SHA256 user@host# set certificate local-certificate RemoteAccessNCP [edit security ike gateway RA_IKEv2_EXT-AUTH] user@host# set ike-policy RA_IKEv2_EXT-AUTH user@host# set dynamic user-at-hostname "remoteuser@example.com" user@host# set dynamic ike-user-type group-ike-id user@host# set external-interface ge-0/0/1.0 user@host# set aaa access-profile RA_EXTERNAL-AUTH user@host# set version v2-only user@host# set tcp-encap-profile NCP
IPsec プロポーザル、ポリシー、VPN を設定します。
[edit security ipsec proposal ESP-AES256GCM] user@host# set protocol esp user@host# set encryption-algorithm aes-256-gcm [edit security ipsec policy RemoteAccess] user@host# set perfect-forward-secrecy keys group19 user@host# set proposals ESP-AES256GCM [edit security ipsec vpn RA_IKEv2_EXT-AUTH] user@host# set bind-interface st0.0 user@host# set ike gateway RA_IKEv2_EXT-AUTH user@host# set ike ipsec-policy RemoteAccess user@host# set traffic-selector NO-SPLIT local-ip 0.0.0.0/0 user@host# set traffic-selector NO-SPLIT remote-ip 0.0.0.0/0
ゾーンを設定します。
[edit security zones security-zone Untrust] user@host# set interfaces ge-0/0/1.0 user@host# set host-inbound-traffic system-services ike user@host# set host-inbound-traffic system-services tcp-encap [edit security zones security-zone Trust] user@host# set interfaces ge-0/0/2.0 [edit security zones security-zone VPN] user@host# set interfaces st0.0
リモート アクセス ユーザーに割り当てられた IP アドレスのアドレス帳を設定します。
[edit security address-book global] user@host# set address RemoteAccessNetworks 198.51.100.0/24
セキュリティ ポリシーを設定します。
[edit security policies from-zone VPN to-zone Trust] user@host# set policy 1 match source-address RemoteAccessNetworks user@host# set policy 1 match destination-address any user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set policy 1 then log session-init user@host# set policy 1 then log session-close [edit security policies from-zone Trust to-zone VPN] user@host# set policy 1 match source-address any user@host# set policy 1 match destination-address RemoteAccessNetworks user@host# set policy 1 match application any user@host# set policy 1 then permit user@host# set policy 1 then log session-init user@host# set policy 1 then log session-close
結果
設定モードから、and show security コマンドを入力して設定をshow access確認します。出力に意図した設定が表示されない場合は、この例の手順を繰り返して設定を修正します。
user@host# show access
profile RA_EXTERNAL-AUTH {
authentication-order radius;
radius-server {
198.51.100.169 {
port 1812;
secret 192.0.2.12 secret "$ABC123"; ## SECRET-DATA
}
}
}
address-assignment {
pool RA_LOCAL-IP-POOL {
family inet {
network 198.51.100.0/24;
xauth-attributes {
primary-dns 192.0.2.12/32;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile xauth-users;
}
}
user@host# show security
pki {
ca-profile root-ca {
ca-identity root-ca;
revocation-check {
disable;
}
}
ca-profile CA_Server {
ca-identity CA_Server;
enrollment {
url http://192.0.2.12/certsrv/mscep/mscep.dll;
}
revocation-check {
crl {
url http://192.0.2.12/crl;
}
}
}
traceoptions {
flag all;
}
}
ike {
traceoptions {
file size 100m;
flag all;
level 15;
}
proposal CERT-DH19-AES256GCM {
authentication-method rsa-signatures;
dh-group group19;
authentication-algorithm sha-256;
encryption-algorithm aes-256-gcm;
lifetime-seconds 28800;
}
policy RA_IKEv2_EXT-AUTH {
proposals CERT-DH19-AES256GCM;
certificate {
local-certificate RemoteAccessNCP;
}
}
gateway RA_IKEv2_EXT-AUTH {
ike-policy RA_IKEv2_EXT-AUTH;
dynamic {
user-at-hostname "remoteuser@example.net";
ike-user-type group-ike-id;
}
dead-peer-detection {
always-send;
interval 60;
threshold 5;
}
external-interface ge-0/0/1.0;
aaa {
access-profile RA_EXTERNAL-AUTH;
}
version v2-only;
tcp-encap-profile NCP;
}
}
ipsec {
proposal ESP-AES256GCM {
protocol esp;
encryption-algorithm aes-256-gcm;
}
policy RemoteAccess {
perfect-forward-secrecy {
keys group19;
}
proposals ESP-AES256GCM;
}
vpn RA_IKEv2_EXT-AUTH {
bind-interface st0.0;
ike {
gateway RA_IKEv2_EXT-AUTH;
ipsec-policy RemoteAccess;
}
traffic-selector NO-SPLIT {
local-ip 0.0.0.0/0;
remote-ip 0.0.0.0/0;
}
}
}
address-book {
global {
address RemoteAccessNetworks 198.51.100.0/24;
}
}
flow {
traceoptions {
file flowd size 1g files 2;
flag all;
trace-level {
detail;
}
}
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
tcp-session {
maximum-window 1M;
}
}
policies {
from-zone VPN to-zone Trust {
policy 1 {
match {
destination-address any;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
from-zone Trust to-zone VPN {
policy 1 {
match {
source-address any;
destination-address RemoteAccessNetworks;
application any;
}
then {
permit;
log {
session-init;
session-close;
}
}
}
}
}
tcp-encap {
traceoptions {
file tcp-encap-log;
level verbose;
flag all;
}
profile NCP {
ssl-profile RemoteAccess;
}
}
traceoptions {
file ipsec size 10m;
flag all;
}
zones {
security-zone Untrust {
host-inbound-traffic {
system-services {
ike;
tcp-encap;
}
}
interfaces {
ge-0/0/1.0;
}
}
security-zone Trust {
interfaces {
ge-0/0/2.0;
}
}
security-zone VPN {
interfaces {
st0.0;
}
}
}
デバイスの設定が完了したら、設定モードから入力 commit します。
検証
設定が正しく機能していることを確認します。
IKE SA が確立されていることを確認する
目的
IKE SA に関する情報を表示します。
対処
動作モードから、コマンドを show security ike security-associations 入力します。
user@host> show security ike security-associations Index State Initiator cookie Responder cookie Mode Remote Address 2203522 UP c31358637e7a8e0d ac2aba751adeea8a IKEv2 198.51.100.200
動作モードから、コマンドを show security ike security-associations detail 入力します。
user@host> show security ike security-associations detail
IKE peer 172.16.12.200, Index 2203522, Gateway Name: RA_IKEv2_EXT-AUTH
Role: Responder, State: UP
Initiator cookie: c31358637e7a8e0d, Responder cookie: ac2aba751adeea8a
Exchange type: IKEv2, Authentication method: RSA-signatures
Local: 192.0.1:500, Remote: 192.51.100.200:10952
Lifetime: Expires in 28719 seconds
Reauth Lifetime: Disabled
IKE Fragmentation: Enabled, Size: 576
Remote Access Client Info: Exclusive Client
Peer ike-id: remoteuser@example.net
AAA assigned IP: 198.51.100.23
Algorithms:
Authentication : hmac-sha256-128
Encryption : aes256-gcm
Pseudo random function: hmac-sha256
Diffie-Hellman group : DH-group-19
Traffic statistics:
Input bytes : 3384
Output bytes : 4923
Input packets: 9
Output packets: 13
Input fragmentated packets: 2
Output fragmentated packets: 7
IPSec security associations: 2 created, 0 deleted
Phase 2 negotiations in progress: 1
Negotiation type: Quick mode, Role: Responder, Message ID: 0
Local: 192.51.100:500, Remote: 192.51.100.200:10952
Local identity: 192.51.100.59
Remote identity: remoteuser@example.net
Flags: IKE SA is created
リモート ユーザーとその IP 接続の検証
目的
使用中のピア アドレスとポートの詳細を含む、接続されているアクティブ ユーザーのリストを表示します。
対処
動作モードから、コマンドを show security ike active-peer 入力します。
user@host> show security ike active-peer Remote Address Port Peer IKE-ID AAA username Assigned IP 192.51.100.200 56789 remoteuser@example.net bob 192.51.100.23
動作モードから、コマンドを show security ike active-peer detail 入力します。
user@host> show security ike active-peer detail Peer address: 192.0.2.200, Port: 56789, Peer IKE-ID : remoteuser@example.net AAA username: bob Assigned network attributes: IP Address : 192.0.2.23 , netmask : 233.252.0.0 DNS Address : 192.0.2.12 , DNS2 Address : 0.0.0.0 WINS Address : 0.0.0.0 , WINS2 Address : 0.0.0.0 Previous Peer address : 0.0.0.0, Port : 0 Active IKE SA indexes : 42203522 IKE SA negotiated : 1 IPSec tunnels active : 1, IPSec Tunnel IDs : 67108891
TCP カプセル化セッションの検証
目的
TCP カプセル化セッションに関する情報を表示します。
対処
動作モードから、コマンドを show security tcp-encap connections 入力します。
user@host> show security tcp-encap connections
Location: FPC: 0, PIC: 0, PIC-NAME: fpc0
Total active connections: 1
Session-Id Client Gateway
2 NCP-Pathfinder-v2 203.0.113.0動作モードから、コマンドを show security tcp-encap statistics 入力します。
user@host> show security tcp-encap statistics Location: FPC: 0, PIC: 0, PIC-NAME: fpc0 TCP encapsulation statistics: Policy Matched: 4 TCP sessions: 4