Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモートアクセスVPNの作成—Juniper Secure Connect

現在地: ネットワーク > VPN > IPsec VPN

Juniper Secure Connectは、ネットワークリソースに安全な接続を提供するジュニパーのクライアントベースのSSL-VPNソリューションです。

Juniper Secure Connectは、ユーザーがインターネットを使用して企業ネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択して、優れた管理者とユーザーエクスペリエンスを提供します。

Juniperセキュアコネクト用のリモートアクセスVPNを作成するには、次の手順に従います。

  1. IPsec VPNページの右上にある [Create VPN > Remote Access > Juniper Secure Connect]を選択します。

    [リモート アクセスの作成(Juniper Secure Connect)] ページが表示されます。

  2. 表 1 から表 6 に示すガイドラインに従って設定を完了します。

    トポロジで VPN 接続が灰色から青色の線に変わり、構成が完了したことを示します。

  3. 自動ポリシー作成オプションを選択した場合は、[ 保存(Save )] をクリックして Secure Connect VPN 設定と関連ポリシーを完了します。

    変更を破棄する場合は、[ キャンセル] をクリックします。

表 1: [Create Remote Access (Juniper Secure Connect)] ページのフィールド

フィールド

アクション

名前

リモート アクセス接続の名前を入力します。この名前は、Juniper Secure Connectクライアントにエンドユーザーレルム名として表示されます。

説明

説明を入力します。この説明は、IKE および IPsec のプロポーザル、ポリシー、リモート アクセス プロファイル、クライアント構成、および NAT ルール セットに使用されます。

編集中に、IPsecポリシーの説明が表示されます。IPsec ポリシーとリモート アクセス プロファイルの説明が更新されます。

ルーティングモード

このオプションは、リモート アクセスでは無効です。

デフォルト モードはトラフィック セレクター(自動ルート挿入)です。

認証方法

デバイスがインターネットキー交換(IKE)メッセージの送信元を認証するために使用する認証方法をリストから選択します。

  • 事前共有キー(デフォルトの方法):認証時に、2 つのピア間で共有される秘密キーである事前共有キーを使用して、ピアを相互に識別することを指定します。各ピアに同じキーを設定する必要があります。これがデフォルトの方法です。

  • 証明書ベース - 証明書所有者の ID を確認する証明書であるデジタル署名のタイプを指定します。

    サポートされている署名はrsa署名です。RSA シグネチャは、暗号化とデジタル署名をサポートする公開キー アルゴリズムが使用されることを指定します。

ファイアウォールポリシーの自動作成

[はい(Yes)] を選択すると、内部ゾーンとトンネル インターフェイス ゾーンの間に、ローカル保護ネットワークを送信元アドレス、リモート保護ネットワークを宛先アドレスとするファイアウォール ポリシーが自動的に作成されます。

別のファイアウォールポリシーがビザ逆に作成されます。

[ いいえ] を選択した場合は、ファイアウォール ポリシーのオプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。

メモ:

VPN ワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルとリモートゲートウェイの両方で動的ルーティングに対して非表示になります。

リモートユーザー

トポロジー内のリモート ユーザー アイコンを表示します。アイコンをクリックして、Juniper Secure Connectクライアント設定を行います。

フィールドについて詳しくは、 表 2 を参照してください。

メモ:

J-Web UIには、ローカルゲートウェイが設定されると、リモートユーザーのURLが表示されます。

ローカルゲートウェイ

トポロジー内のローカル ゲートウェイ アイコンを表示します。アイコンをクリックして、ローカルゲートウェイを設定します。

フィールドについて詳しくは、 表 3 を参照してください。

IKE および IPsec の設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で構成します。

フィールドについて詳しくは、 表 6 を参照してください。

メモ:
  • J-Web は 1 つのカスタム IKE プロポーザルのみをサポートし、事前定義されたプロポーザルセットはサポートしません。J-Webは、編集および保存時に、設定されている場合、定義済みのプロポーザルセットを削除します。

  • VPN トンネルのリモート ゲートウェイでは、同じカスタム プロポーザルとポリシーを設定する必要があります。

  • 編集時に、J-Webは、複数のカスタムプロポーザルが設定されている場合、最初のカスタムIKEおよびIPsecプロポーザルを表示します。

表 2: リモート ユーザー ページのフィールド

フィールド

アクション

デフォルトプロファイル

このオプションを有効にすると、設定された VPN 名がリモート アクセスのデフォルト プロファイルとして使用されます。

メモ:
  • このオプションは、デフォルトプロファイルが設定されている場合は使用できません。

  • デフォルトプロファイルを有効にする必要があります。有効になっていない場合は、[ VPN > IPsec VPN > の [グローバル設定 ] > [リモート アクセス VPN] で既定のプロファイルを構成します。

接続モード

リストから次のいずれかのオプションを選択して、Juniper Secure Connect クライアント接続を確立します。

  • 手動:ログインするたびにVPNトンネルに手動で接続する必要があります。

  • 常に - ログインするたびに自動的に VPN トンネルに接続されます。

既定の接続モードは [手動] です。

SSL VPN

Juniper Secure ConnectクライアントからSRXシリーズデバイスへのSSL VPN接続を確立するには、このオプションを有効にします。

既定では、このオプションは有効になっています。

メモ:

これは、IPsec ポートに到達できない場合のフォールバック オプションです。

バイオメトリクス認証

このオプションを有効にすると、固有の設定済み方法を使用してクライアントシステムを認証できます。

クライアントシステムに接続すると、認証プロンプトが表示されます。VPN 接続は、 Windows Hello 用に構成された方法 (指紋認識、顔認識、PIN 入力など) による認証が成功した後にのみ開始されます。

生体認証オプションが有効になっている場合は、クライアント システムで Windows Hello を事前に構成する必要があります。

デッドピア検出

デッドピア検出(DPD)オプションを有効にして、Juniper Secure ConnectクライアントがSRXシリーズデバイスに到達可能かどうかを検出できるようにします。

このオプションを無効にすると、Juniper Secure Connectクライアントは、SRXシリーズのデバイス接続の到達可能性が回復するまで検出できます。

このオプションはデフォルトで有効になっています。

DPD間隔

ピアがデッドピア検出(DPD)要求パケットを送信する前に、宛先ピアからのトラフィックを待機する時間を入力します。範囲は 2〜60秒で、デフォルトは60秒です。

DPDスレッショルド

この数値を超えるとピアが利用不可能と見なされる、デッドピア検出(DPD)リクエストの最大数を入力します。範囲は 1 から 5 で、デフォルトは 5 です。

証明 書

セキュア・クライアント・コネクトで証明書オプションを構成するには、「証明書」を有効にします。

メモ:

このオプションは、証明書ベースの認証方法を選択した場合にのみ使用できます。

有効期限に関する警告

Secure Connect クライアントに証明書の有効期限に関する警告を表示するには、このオプションを有効にします。

このオプションはデフォルトで有効になっています。

メモ:

このオプションは、[証明書] を有効にした場合にのみ使用できます。

警告間隔

警告を表示する間隔(日)を入力します。

範囲は 1 から 90 です。デフォルト値は 60 です。

メモ:

このオプションは、[証明書] を有効にした場合にのみ使用できます。

接続ごとのピン要求

このオプションを有効にすると、接続時に証明書ピンが入力されます。

このオプションはデフォルトで有効になっています。

メモ:

このオプションは、[証明書] を有効にした場合にのみ使用できます。

EAP-TLS

認証プロセスでこのオプションを有効にします。IKEv2 では、ユーザー認証に EAP が必要です。SRXシリーズ デバイスはEAPサーバーとして動作できません。EAP 認証を行うには、IKEv2 EAP に外部 RADIUS サーバーを使用する必要があります。SRXは、Juniper Secure ConnectクライアントとRADIUSサーバー間でEAPメッセージを中継するパススルー認証システムとして機能します。

このオプションはデフォルトで有効になっています。

メモ:

このオプションは、証明書ベースの認証方法を選択した場合にのみ使用できます。

ウィンドウズログオン

ユーザーが Windows システムにログオンする前に Windows ドメインに安全にログオンできるようにするには、このオプションを有効にします。クライアントは、企業ネットワークへの VPN 接続を確立した後、資格情報サービス プロバイダーを使用したドメイン ログオンをサポートします。

ドメイン名

ユーザーマシンがログに記録するシステムドメイン名を入力します。

モード

一覧から次のいずれかのオプションを選択して、Windows ドメインにログオンします。

  • 手動 - Windows ログオン画面でログオン データを手動で入力する必要があります。

  • [自動] - クライアント ソフトウェアは、ここで入力したデータをユーザーの操作なしで Microsoft ログオン インターフェイス (資格情報プロバイダー) に転送します。

ログオフ時に切断

システムが休止状態またはスタンバイモードに切り替わったときに接続をシャットダウンするには、このオプションを有効にします。システムが休止状態またはスタンバイモードから再開したら、接続を再確立する必要があります。

ログオフ時の資格情報のフラッシュ

このオプションを有効にすると、キャッシュからユーザー名とパスワードが削除されます。ユーザー名とパスワードを再入力する必要があります。

リードタイム期間

ネットワーク ログオンとドメイン ログオンの間の時間を初期化するリード タイム期間を入力します。

接続が設定された後、ここで設定した初期化時間が経過した後にのみWindowsログオンが実行されます。

EAP認証

このオプションを有効にすると、資格情報プロバイダーの宛先ダイアログの前に EAP 認証が実行されます。その後、後続のダイヤルインに EAP が必要かどうかに関係なく、システムは必要な PIN を要求します。

このオプションを無効にすると、宛先選択後に EAP 認証が実行されます。

自動ダイアログオープン

このオプションを有効にして、リモート ドメインへの接続確立のためにダイアログを自動的に開くかどうかを選択します。

このオプションを無効にすると、クライアントのパスワードと PIN は Windows ログオン後にのみ照会されます。

表 3: [ローカル ゲートウェイ] ページのフィールド

フィールド

アクション

ゲートウェイはNATの背後にある

ローカルゲートウェイがNATデバイスの背後にある場合は、このオプションを有効にします。

NAT IP アドレス

SRXシリーズデバイスのパブリック(NAT)IPアドレスを入力します。

メモ:

このオプションは、[ ゲートウェイが背後にある] NAT が有効になっている場合にのみ使用できます。NAT デバイスを参照する IPv4 アドレスを設定できます。

IKE ID

このフィールドは必須です。IKE ID を user@example.com の形式で入力します。

外部インターフェイス

クライアントが接続する発信インターフェイスをリストから選択します。

指定したインターフェイスに複数の IPv4 アドレスが設定されている場合、リストには使用可能なすべての IP アドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。

トンネル インターフェイス

クライアントが接続するインターフェイスをリストから選択します。

[ Add ] をクリックして、新しいインターフェイスを追加します。トンネル インターフェイスの作成 ページは現われます。新しいトンネル インターフェイスの作成の詳細については、 表 4 を参照してください。

[ Edit ] をクリックして、選択したトンネル インターフェイスを編集します。

事前共有キー

事前共有キーの次のいずれかの値を入力します。

  • ASCII テキスト - ASCII テキスト キー。

  • 16 進数 - 16 進数のキー。

メモ:

このオプションは、認証方法が事前共有キーの場合に使用できます。

ローカル証明書

リストからローカル証明書を選択します。

ローカル証明書には、RSA 証明書のみが一覧表示されます。

証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、次を参照してください: デバイス証明書を追加する

証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、次を参照してください: デバイス証明書をインポートする

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

信頼できる CA/グループ

リストから信頼できる認証局/グループプロファイルを選択します。

CA プロファイルを追加するには、[ CA プロファイルの追加] をクリックします。CA プロファイルの追加の詳細については、次を参照してください: 認証局プロファイルを追加する

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

ユーザー認証

このフィールドは必須です。リモート アクセス VPN にアクセスするユーザーの認証に使用する認証プロファイルを一覧から選択します。

[ 追加 ] をクリックして、新しいプロファイルを作成します。新しいアクセス プロファイルの作成の詳細については、「 アクセス プロファイルの追加」を参照してください。

SSL VPN プロファイル

リモート アクセス接続の終了に使用する SSL VPN プロファイルを一覧から選択します。

新しい SSL VPN プロファイルを作成するには、次の手順に従います。

  1. [ 追加] をクリックします。

  2. 次の詳細を入力します。

    • 名前:SSL VPN プロファイルの名前を入力します。

    • ロギング:SSL VPN のロギングを行うには、このオプションを有効にします。

    • SSL 終端プロファイル:リストから SSL 終端プロファイルを選択します。

      新しい SSL 終端プロファイルを追加するには、次の手順を実行します。

      1. [ 追加] をクリックします。

        [SSL 終端プロファイルの作成] ページが表示されます。

      2. 次の詳細を入力します。

        • 名前:SSL 終端プロファイルの名前を入力します。

        • サーバー証明書 - リストからサーバー証明書を選択します。

          証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、次を参照してください: デバイス証明書を追加する

          証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、次を参照してください: デバイス証明書をインポートする

        • OK をクリックします。

      3. OK をクリックします。

  3. OK をクリックします。

送信元NATトラフィック

このオプションはデフォルトで有効になっています。

Juniper Secure Connectクライアントからのすべてのトラフィックは、デフォルトで選択されたインターフェイスにNATされます。

無効にした場合、リターントラフィックを正しく処理するために、SRXシリーズデバイスを指すネットワークからのルートがあることを確認する必要があります。

インターフェイス

送信元NATトラフィックが通過するインターフェイスをリストから選択します。

保護されたネットワーク

[+] をクリックします。保護されたネットワークの作成 ページが表示されます。

保護されたネットワークの作成

ゾーン

ファイアウォールポリシーでソースゾーンとして使用するセキュリティゾーンをリストから選択します。

グローバルアドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。

[ 追加 ] をクリックして、クライアントが接続できるネットワークを選択します。

[グローバル アドレスの作成] ページが表示されます。フィールドについて詳しくは、 表 5 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[保護されたネットワークの編集] ページが表示され、編集可能なフィールドが表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップします。

[はい] をクリックして、保護されたネットワークを削除します。

表 4: トンネル インターフェイスの作成ページのフィールド

フィールド

アクション

インターフェースユニット

論理ユニット番号を入力します。

説明

論理インターフェイスの説明を入力します。

ゾーン

トンネルインターフェイスに追加するゾーンをリストから選択します。

このゾーンは、ファイアウォールポリシーの自動作成に使用されます。

[ 追加 ] をクリックして、新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK ] をクリックします。

ルーティングインスタンス

リストからルーティングインスタンスを選択します。

メモ:

デフォルトのルーティングインスタンスであるプライマリは、論理システム内のメインinet.0ルーティングテーブルを参照します。

表 5: [グローバル アドレスの作成] ページのフィールド

フィールド

アクション

名前

グローバルアドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは使用できません。最大 63 文字です。

IP タイプ

IPv4 を選択します。

IPv4

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネットを入力します。

表 6: IKE および IPsec の設定

フィールド

アクション

IKE 設定
メモ:

以下のパラメータは自動的に生成され、J-Web UIには表示されません。

  • 認証方法が事前共有キーの場合、IKEバージョンはv1、ike-user-typeはshared-ike-id、モードはアグレッシブです。

  • 認証方法が Certificate Based の場合、IKE バージョンは v2、ike-user-type は shared-ike-id、モードは Main です。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は AES-CBC 256 ビットです。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットなどです。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間(秒単位)を選択します。

デフォルト値は 28,800 秒です。範囲: 180 から 86,400 秒。

デッドピア検出

ピアに発信IPsecトラフィックがあるかどうかに関係なく、デッドピア検出要求を送信するには、このオプションを有効にします。

DPDモード

リストからいずれかのオプションを選択します。

  • optimized:発信トラフィックがあり、着信データトラフィックがない場合にのみプローブを送信します-RFC3706(デフォルトモード)。

  • probe-idle-tunnel—最適化モードと同じようにプローブを送信し、送受信データトラフィックがない場合にもプローブを送信します。

  • always-send:送受信データトラフィックに関係なく、プローブを定期的に送信します。

DPD間隔

デッドピア検出メッセージを送信する間隔(秒)を選択します。デフォルトの間隔は 10 秒です。範囲は 2 から 60 秒です。

DPDスレッショルド

1 から 5 までの数値を選択して、障害 DPD しきい値を設定します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回です。

アドバンス構成(オプション)

NAT-T

IPsecトラフィックがNATデバイスを通過するには、このオプションを有効にします。

NAT-TはIKEフェーズ1のアルゴリズムで、SRXシリーズデバイスの1つの前にNATデバイスがある場合に、2つのゲートウェイデバイス間にVPN接続を確立しようとするときに使用されます。

NAT キープ アライブ

適切なキープアライブ間隔を秒単位で選択します。範囲: 1 から 300。

VPNの非アクティブ状態が長期間続くことが予想される場合、キープアライブ値を設定して人工的なトラフィックを生成し、NATデバイス上でセッションをアクティブな状態に保つことができます。

IKE 接続制限

VPN プロファイルがサポートする同時接続の数を入力します。

範囲は 1 から 4294967295 です。

最大接続数に達すると、IPsec VPN にアクセスしようとするリモート アクセス ユーザー (VPN) エンドポイントは、IKE (インターネット キー交換) ネゴシエーションを開始できなくなります。

IKEv2 フラグメント化

このオプションはデフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは個別に暗号化および認証されます。

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

IKEv2 フラグメント サイズ

フラグメントに分割されるまでの IKEv2 メッセージの最大サイズをバイト単位で選択します。

サイズは IPv4 メッセージに適用されます。範囲: 570 から 1320 バイト。

デフォルト値は 576 バイトです。

メモ:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

IPsec設定
メモ:

認証方法は事前共有キーまたは証明書ベースで、プロトコルをESPとして自動的に生成します。

暗号化アルゴリズム

暗号化方法を選択します。デフォルト値は AES-GCM 256 ビットです。

認証アルゴリズム

リストからIPsec認証アルゴリズムを選択します。たとえば、HMAC-SHA-256-128 のようになります。

メモ:

このオプションは、暗号化アルゴリズムが gcm でない場合に使用できます。

完全転送機密保持

リストから[完全転送機密保持(PFS)]を選択します。デバイスは、このメソッドを使用して暗号化キーを生成します。デフォルト値は group19 です。

PFS は、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは向上しますが、処理時間が長くなります。

メモ:

group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000ラインのデバイスのみをサポートします。

ライフタイム秒

IPsecセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。SA の有効期限が切れると、新しい SA および SPI(セキュリティ パラメーター インデックス)に置き換えられるか、終了します。デフォルトは 3,600 秒です。範囲: 180 から 86,400 秒。

ライフタイムキロバイト

IPsec SAのライフタイム(キロバイト単位)を選択します。デフォルトは 256kb です。範囲: 64 から 4294967294。

詳細設定

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた番号のシーケンスを使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションはデフォルトで有効になっています。アンチリプレイは、シーケンス番号を単に無視するのではなく、シーケンス番号をチェックしてチェックを強制します。

IPsec メカニズムにエラーがあり、その結果、パケットの順序が狂い、適切な機能が妨げられる場合は、アンチリプレイを無効にします。

インストール間隔

デバイスへのキー更新済みアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1〜10秒の値を選択します。

アイドル時間

アイドル時間間隔を選択します。セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。範囲は 60 から 999999 秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を選択します。

  • clear—外部ヘッダーからDFビットをクリア(ディセーブル)します。これがデフォルトです。

  • copy - DF ビットを外部ヘッダーにコピーします。

  • set - 外部ヘッダーの DF ビットを設定(有効化)します。

外部 DSCP のコピー

このオプションはデフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化されたサービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 復号化後、クリア テキスト パケットが内部 CoS(DSCP+ECN)ルールに従うことができるようになります。