サイトツーサイト VPN の作成
ご紹介: ネットワーク > VPN > IPsec VPN。
サイト間 VPN を作成するには、以下の手順にいます。
フィールド |
アクション |
---|---|
名前 |
VPN の名前を入力します。 |
説明 |
説明を入力します。この説明は、IKEおよびIPsecのプロポーザルとポリシーに使用します。編集中は、IPsecポリシーの説明が表示され、更新されます。 |
ルーティング モード |
この VPN が関連付けられるルーティング モードを選択して下さい:
J-Web は、トポロジーごとに関連するCLIを自動生成します。トラフィックセレクターはデフォルトモードです。 |
認証方法 |
デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。
|
ファイアウォール ポリシーの自動作成 |
[はい]を選択すると、ローカル保護ネットワークを送信元アドレスとし、リモート保護ネットワークを宛先アドレスとする内部ゾーンとトンネル インターフェイス ゾーンの間でファイアウォール ポリシーが自動的に適用されます。 別のファイアウォールポリシーはvisaで作成されます。その逆も同様です。 [いいえ] を選択した場合、ファイアウォール ポリシーオプションはありません。VPNを機能させるためには、必要なファイアウォールポリシーを手動で作成する必要があります。
メモ:
VPNワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルゲートウェイとリモートゲートウェイの両方で動的ルーティング用に非表示になります。 |
リモートゲートウェイ |
トポロジーにリモート ゲートウェイ アイコンを表示します。アイコンをクリックしてリモート ゲートウェイを構成します。 ゲートウェイは、IPsec VPN ピアとのリモート ピアを識別し、その IPsec VPN に適したパラメーターを定義します。 フィールド情報については、 表 2 を参照してください。 |
ローカル ゲートウェイ |
トポロジーにローカル ゲートウェイ アイコンを表示します。アイコンをクリックしてローカル ゲートウェイを構成します。 フィールド情報については、 表 4 を参照してください。 |
IKEおよびIPsec設定 |
カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。 フィールド情報については、 表 6 を参照してください。
メモ:
|
フィールド |
アクション |
---|---|
ゲートウェイが NAT の背後にある |
有効にすると、設定された外部IPアドレス(IPv4またはIPv6)がNATデバイスIPアドレスと呼ばれます。 |
IKE ID |
リモートIDを設定するオプションをリストから選択します。 |
ホスト名 |
リモート ホスト名を入力します。 |
IPv4 アドレス |
リモート IPv4 アドレスを入力します。 |
IPv6 アドレス |
リモート IPv6 アドレスを入力します。 |
キーID |
キー ID を入力します。 |
電子メール アドレス |
電子メール アドレスを入力します。 |
外部 IP アドレス |
ピア IPv4 または IPv6 アドレスを入力します。最大 4 つのバックアップを使用して、1 つのプライマリ ピア ネットワークを作成できます。 IPv4 または IPv6 アドレスを 1 つ入力するか、最大 5 つの IP アドレスをコンマで区切って入力できます。 |
保護されたネットワーク |
ルーティング モードを選択すると、すべてのグローバル アドレスが一覧表示されます。 [使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。 ルーティング モードが 次の場合:
|
追加 |
[ +] をクリックします。 [グローバル アドレスの作成] ページが表示されます。フィールド情報については 、表 3 を参照してください。 |
フィールド |
アクション |
---|---|
名前 |
英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列を入力します。スペースは使用できません。最大63文字。 |
IP タイプ |
[IPv4] または [IPv6] を選択します。 |
IPv4 |
IPv4アドレス—有効なIPv4アドレスを入力します。 サブネット — IPv4 アドレスのサブネットを入力します。 |
IPv6 |
IPv6アドレス—有効なIPv6アドレスを入力します。 サブネットプレフィックス—ネットワーク範囲のサブネットマスクを入力します。入力が完了すると、値が検証されます。 |
フィールド |
アクション |
---|---|
ゲートウェイが NAT の背後にある |
ローカル ゲートウェイが NAT デバイスの背後にある場合は、このオプションを有効にします。 |
IKE ID |
ローカルアイデンティティを設定するオプションをリストから選択します。 ゲートウェイがNATの背後にある 場合、NATデバイスを参照するようにIPv4またはIPv6アドレスを設定できます。 |
ホスト名 |
ホスト名を入力します。
メモ:
このオプションは、 ゲートウェイがNATの背後にある 場合にのみ使用できます。 |
IPv4 アドレス |
IPv4 アドレスを入力します。 |
IPv6 アドレス |
IPv6 アドレスを入力します。 |
キーID |
キー ID を入力します。
メモ:
このオプションは、 ゲートウェイがNATの背後にある 場合にのみ使用できます。 |
電子メール アドレス |
電子メール アドレスを入力します。
メモ:
このオプションは、 ゲートウェイがNATの背後にある 場合にのみ使用できます。 |
外部インターフェイス |
IKE ネゴシエーションのリストから発信インターフェイスを選択します。 指定されたインターフェイスに複数のIPアドレスが設定されている場合、このリストには利用可能なすべてのIPアドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。 |
トンネル インターフェイス |
リストからインターフェイスを選択して、トンネルインターフェイス(ルートベースVPN)にバインドします。 [ 追加] をクリックして新しいインターフェイスを追加します。[トンネル インターフェイスの作成] ページが表示されます。 表 5 を参照してください。 |
ルーターID |
ルーティング デバイスの IP アドレスを入力します。
メモ:
このオプションは、ルーティング モードが動的ルーティング - OSPF または BGP の場合に使用できます。 |
エリア ID |
このVPNのトンネルインターフェイスを設定する必要がある、0~4,294,967,295の範囲のエリアIDを入力します。
メモ:
このオプションは、ルーティング モードが動的ルーティング - OSPF の場合に使用できます。 |
トンネル インターフェイス パッシブ |
通常のアクティブな IP チェックのトラフィックをバイパスするには、このオプションを有効にします。
メモ:
このオプションは、ルーティング モードが動的ルーティング - OSPF の場合に使用できます。 |
Asn |
ルーティングデバイスのAS番号を入力します。 NIC によって割り当てられた番号を使用します。範囲:4バイトAS番号のプレーン番号形式での1~4,294,967,295(232~1)。
メモ:
このオプションは、ルーティング モードが動的ルーティング - BGP の場合に使用できます。 |
ネイバー ID |
隣接するルーターの IP アドレスを入力します。
メモ:
このオプションは、ルーティング モードが動的ルーティング - BGP の場合に使用できます。 |
BGP グループ タイプ |
リストから BGP ピア グループのタイプを選択します。
メモ:
このオプションは、ルーティング モードが動的ルーティング - BGP の場合に使用できます。 |
ピアASN |
ネイバー(ピア)自律システム(AS)番号を入力します。
メモ:
このオプションは、 外部 を BGP グループ タイプとして選択した場合に使用できます。 |
インポートポリシー |
リストから 1 つ以上のルーティング ポリシーを選択し、BGP からルーティング テーブルにインポートするルートを選択します。 [ すべてクリア ] をクリックして、選択したポリシーをクリアします。
メモ:
このオプションは、ルーティング モードが動的ルーティング - BGP の場合に使用できます。 |
エクスポート ポリシー |
ルーティング・テーブルからBGPにエクスポートされるルートに対して、リストから1つ以上のポリシーを選択します。 [ すべてクリア ] をクリックして、選択したポリシーをクリアします。
メモ:
このオプションは、ルーティング モードが動的ルーティング - BGP の場合に使用できます。 |
ローカル証明書 |
ローカル デバイスに複数の証明書が読み込まれている場合は、ローカル証明書識別子を選択します。
メモ:
このオプションは、認証方法が証明書ベースの場合に使用できます。 [ 追加] をクリックして新しい証明書を生成します。[ インポート ] をクリックしてデバイス証明書をインポートします。詳細については、「 デバイス証明書の管理」を参照してください。 |
信頼できる CA/グループ |
ローカル証明書に関連付けるには、リストから認証局(CA)プロファイルを選択します。
メモ:
このオプションは、認証方法が証明書ベースの場合に使用できます。 [ 追加] をクリックして新しい CA プロファイルを追加します。詳細については、「 信頼できる認証機関の管理」を参照してください。 |
事前共有キー |
事前共有鍵の値を入力します。キーは、以下のいずれかです。
メモ:
このオプションは、認証方法が事前共有キーの場合に使用できます。 |
保護されたネットワーク |
[ +] をクリックします。[保護されたネットワークの作成] ページが表示されます。 |
保護されたネットワークの構築 | |
ゾーン |
ファイアウォール ポリシーのソース ゾーンとして使用するセキュリティ ゾーンを一覧から選択します。 |
グローバルアドレス |
[使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。 |
追加 |
[ 追加] をクリックします。 [グローバル アドレスの作成] ページが表示されます。 表 3 を参照してください。 |
編集 |
編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。 [グローバル アドレスの編集] ページが編集可能なフィールドとともに表示されます。 |
削除 |
編集する保護されたネットワークを選択し、削除アイコンをクリックします。 確認メッセージがポップアップします。 削除するには、[ はい ] をクリックします。 |
フィールド |
アクション |
---|---|
インターフェイスユニット |
論理ユニット番号を入力します。 |
説明 |
論理インターフェイスの説明を入力します。 |
ゾーン |
ファイアウォール ポリシーのソース ゾーンとして使用する論理インターフェイスのゾーンをリストから選択します。 [ 追加] をクリックして新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK] をクリックします 。 |
ルーティング インスタンス |
リストからルーティング インスタンスを選択します。 |
IPv4
メモ:
このオプションは、ルーティング モードをダイナミック ルーティング - OSPF または BGP として選択した場合にのみ使用できます。 |
|
IPv4 アドレス |
有効な IPv4 アドレスを入力します。 |
サブネットプレフィックス |
IPv4アドレスのサブネットマスクを入力します。 |
IPv6
メモ:
このオプションは、ルーティング モードをダイナミック ルーティング - OSPF または BGP として選択した場合にのみ使用できます。 |
|
IPv6 アドレス |
有効な IPv6 アドレスを入力します。 |
サブネットプレフィックス |
ネットワーク範囲のサブネットマスクを入力します。入力が完了すると、値が検証されます。 |
フィールド |
アクション |
---|---|
IKE 設定 | |
IKEバージョン |
IPsecのSA(動的セキュリティアソシエーション)をネゴシエートするために必要なIKEバージョン(v1またはv2)を選択します。 デフォルト値はv2です。 |
IKEモード |
リストからIKEポリシーモードを選択します。
|
暗号化アルゴリズム |
リストから適切な暗号化メカニズムを選択します。 デフォルト値は aes-256-gcm です。 |
認証アルゴリズム |
リストから認証アルゴリズムを選択します。例えば、hmac-md5-96—128ビットダイジェストとhmac-sha1-96を生成し、160ビットダイジェストを生成します。
メモ:
このオプションは、暗号化アルゴリズムが gcm ではない場合に利用できます。 |
DH グループ |
DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。 |
ライフタイム秒 |
IKE セキュリティ アソシエーション(SA)のライフタイムを選択します。デフォルト:28,800秒。範囲:180~86,400秒。 |
デッドピア検出 |
このオプションを有効にすると、ピアへの発信 IPsec トラフィックの有無に関係なく、デッド ピア検出要求を送信できます。 |
DPD モード |
リストからオプションのいずれかを選択します。
|
DPD 間隔 |
デッドピア検出メッセージを送信する間隔を秒単位で選択します。デフォルトの間隔は10秒です。範囲は2~60秒です。 |
DPD しきい値 |
障害時の DPD しきい値を設定するには、1~5 の数字を選択します。 これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信数は5回です。 |
事前設定(オプション) | |
一般的なIKE ID |
このオプションを有効にして、ピアIKE IDを受け入れます。 |
IKEv2 再認証 |
再認証の頻度を設定して、新しい IKEv2 再認証をトリガーします。 |
IKEv2 再フラグメント化 |
このオプションは、デフォルトで有効になっています。 |
IKEv2 再フラグメント サイズ |
IKEv2 メッセージがフラグメントに分割される前に、バイト単位で最大サイズを選択します。 サイズは、IPv4とIPv6の両方のメッセージに適用されます。範囲: 570~1320 バイト。 デフォルト値は次のとおりです。
|
NAT-T |
IPsecトラフィックがNATデバイスを通過する場合は、このオプションを有効にします。 NAT-T は、2 台のゲートウェイ デバイス間で VPN 接続を確立しようとするときに使用される IKE フェーズ 1 アルゴリズムで、SRX シリーズ デバイスの 1 つ前に NAT デバイスがあります。 |
NAT キープアライブ |
適切なキープアライブ間隔を秒単位で選択します。範囲:1~300。 VPNが長時間非アクティブであることが予想される場合は、キープアライブ値を設定して人工トラフィックを生成し、NATデバイスでセッションをアクティブに維持することができます。 |
IPsec 設定 | |
プロトコル |
VPNを確立するには、リストからESP(カプセル化セキュリティプロトコル)または AH(認証ヘッダー)プロトコルのいずれかを選択します。デフォルト値は ESP です。 |
暗号化アルゴリズム |
暗号化方法を選択します。デフォルト値は aes-256-gcm です。
メモ:
このオプションは、ESP プロトコルでのみ使用できます。 |
認証アルゴリズム |
リストから IPsec 認証アルゴリズムを選択します。例えば、hmac-md5-96—128ビットダイジェストとhmac-sha1-96を生成し、160ビットダイジェストを生成します。
メモ:
このオプションは、暗号化アルゴリズムが gcm ではない場合に利用できます。 |
完全転送機密保持 |
リストから完全転送機密保持(PFS)を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値は group19 です。 PFS は、以前の鍵とは独立して、新しい暗号化キーを生成します。グループの番号が大きいほどセキュリティは向上しますが、処理時間は長くなります。
メモ:
group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートしています。 |
ライフタイム秒 |
IPsec セキュリティ アソシエーション(SA)のライフタイム(秒単位)を選択します。SAが期限切れになると、新しいSAおよび SPI(セキュリティパラメーターインデックス)または終了したインデックスに置き換えられます。デフォルトは3,600秒です。範囲:180~86,400秒。 |
ライフタイムキロバイト |
IPsec SAのライフタイム(キロバイト)を選択します。デフォルトは128kbです。範囲:64~4294967294。 |
トンネルの確立 |
このオプションを有効にして、IPsecトンネルを確立します。IKEは、VPNが設定され、設定変更がコミットされた後、すぐに(デフォルト値)アクティブになります。 |
高度な設定 | |
VPN モニター |
宛先 IP アドレスで使用するには、このオプションを有効にします。
メモ:
このオプションは、トラフィックセレクタールーティングモードでは使用できません。 |
宛先 IP |
インターネット制御メッセージ プロトコル(ICMP)ping の宛先を入力します。デバイスは、デフォルトでピアのゲートウェイアドレスを使用します。
メモ:
このオプションは、トラフィックセレクタールーティングモードでは使用できません。 |
最適化 |
VPN オブジェクトでこのオプションを有効にします。有効な場合、SRX シリーズ デバイスは、送信トラフィックがあり、設定されたピアから VPN トンネルを経由する受信トラフィックがない場合にのみ、ICMP エコー要求(pings)を送信します。VPN トンネルを経由する受信トラフィックがある場合、SRX シリーズ デバイスはそのトンネルがアクティブであると見なされ、ピアに ping を送信しません。 このオプションは、デフォルトでは無効になっています。
メモ:
このオプションは、トラフィックセレクタールーティングモードでは使用できません。 |
送信元インターフェイス |
リストから ICMP リクエストの送信元インターフェイスを選択します。送信元インターフェイスが指定されていない場合、デバイスは自動的にローカルトンネルエンドポイントインターフェイスを使用します。
メモ:
このオプションは、トラフィックセレクタールーティングモードでは使用できません。 |
パスの検証 |
セキュアトンネル(st0)インターフェイスがアクティブ化され、インターフェイスに関連付けられたルートがJunos OS転送テーブルにインストールされる前に、このオプションを有効にしてIPsecデータパスを確認します。 このオプションは、デフォルトでは無効になっています。
メモ:
このオプションは、トラフィックセレクタールーティングモードでは使用できません。 |
宛先 IP |
宛先 IP アドレスを入力します。NAT デバイスの背後にあるピア トンネル エンドポイントの元の未変換 IP アドレス。この IP アドレスは、NAT 変換 IP アドレスである必要があります。このオプションは、ピアトンネルエンドポイントがNATデバイスの背後にある場合に必要です。検証パス ICMP リクエストは、ピアが ICMP 応答を生成できるように、この IP アドレスに送信されます。
メモ:
このオプションは、トラフィックセレクタールーティングモードでは使用できません。 |
パケット サイズ |
st0インターフェイスが起動する前に、IPsecデータパスを検証するために使用されるパケットのサイズを入力します。範囲:64~1350 バイト。デフォルト値は64バイトです。
メモ:
このオプションは、トラフィックセレクタールーティングモードでは使用できません。 |
アンチリプレイ |
IPsec は、IPsec パケットに組み込まれた一連の番号を使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。 このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを適用します。 IPsec メカニズムでエラーが発生し、パケットが順序外れ、適切な機能を妨げる場合は、アンチリプレイを無効にします。 |
インストール間隔 |
デバイスにキー更新されたアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1~10の値を選択します。 |
アイドル時間 |
アイドル時間の間隔を選択します。トラフィックが受信されない場合、セッションとそれに対応する変換は一定時間後にタイムアウトします。範囲は60~999999秒です。 |
DF ビット |
デバイスが外部ヘッダーの DF(Don't Fragment)ビットをどのように処理するかを選択します。
|
外部 DSCP のコピー |
このオプションは、デフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化サービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 暗号化解除後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。 |