サイトツーサイト VPN の作成

名前

VPN の名前を入力します。

説明

説明を入力します。この説明は、IKEおよびIPsecのプロポーザルとポリシーに使用します。編集中は、IPsecポリシーの説明が表示され、更新されます。

ルーティング モード

この VPN が関連付けられるルーティング モードを選択して下さい:

• トラフィックセレクター(自動ルート挿入)

• スタティック ルーティング

• 動的ルーティング – OSPF

• 動的ルーティング – BGP

J-Web は、トポロジーごとに関連するCLIを自動生成します。トラフィックセレクターはデフォルトモードです。

認証方法

デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。

• 証明書ベース — デジタル署名の種類。これは、証明書所有者の身元を確認する証明書です。

  以下に、証明書ベースの認証方法を示します。

  • rsa-signatures—暗号化とデジタル署名をサポートする公開鍵アルゴリズムが使用されることを指定します。

  • dsa-signatures—DSA(デジタル署名アルゴリズム)が使用されることを指定します。

  • ecdsa-signatures-256—連邦情報処理標準(FIPS)デジタル署名規格(DSS)186-3で規定されている通り、256ビット楕円曲線secp256r1を使用して楕円曲線DSA(ECDSA)を使用することを指定します。

  • ecdsa-signatures-384-FIPS DSS 186-3 で指定されているとおり、384 ビット楕円曲線 secp384r1 を使用して ECDSA を使用することを指定します。

  • ecdsa-signatures-521—521 ビット楕円曲線 secp521r1 を使用した ECDSA が使用されることを指定します。

    メモ：

    ecdsa-signatures-521は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートしています。

• 事前共有鍵(デフォルトの方法)—事前共有鍵(2 つのピア間で共有される秘密鍵)を認証時に使用して、相互にピアを識別することを指定します。各ピアに同じキーを設定する必要があります。これはデフォルトの方法です。

ファイアウォール ポリシーの自動作成

[はい]を選択すると、ローカル保護ネットワークを送信元アドレスとし、リモート保護ネットワークを宛先アドレスとする内部ゾーンとトンネル インターフェイス ゾーンの間でファイアウォール ポリシーが自動的に適用されます。

別のファイアウォールポリシーはvisaで作成されます。その逆も同様です。

[いいえ] を選択した場合、ファイアウォール ポリシーオプションはありません。VPNを機能させるためには、必要なファイアウォールポリシーを手動で作成する必要があります。

リモートゲートウェイ

トポロジーにリモート ゲートウェイ アイコンを表示します。アイコンをクリックしてリモート ゲートウェイを構成します。

ゲートウェイは、IPsec VPN ピアとのリモート ピアを識別し、その IPsec VPN に適したパラメーターを定義します。

フィールド情報については、 表 2 を参照してください。

ローカル ゲートウェイ

トポロジーにローカル ゲートウェイ アイコンを表示します。アイコンをクリックしてローカル ゲートウェイを構成します。

フィールド情報については、 表 4 を参照してください。

IKEおよびIPsec設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。

フィールド情報については、 表 6 を参照してください。

ゲートウェイが NAT の背後にある

有効にすると、設定された外部IPアドレス(IPv4またはIPv6)がNATデバイスIPアドレスと呼ばれます。

IKE ID

リモートIDを設定するオプションをリストから選択します。

ホスト名

リモート ホスト名を入力します。

IPv4 アドレス

リモート IPv4 アドレスを入力します。

IPv6 アドレス

リモート IPv6 アドレスを入力します。

キーID

キー ID を入力します。

電子メール アドレス

電子メール アドレスを入力します。

外部 IP アドレス

ピア IPv4 または IPv6 アドレスを入力します。最大 4 つのバックアップを使用して、1 つのプライマリ ピア ネットワークを作成できます。

IPv4 または IPv6 アドレスを 1 つ入力するか、最大 5 つの IP アドレスをコンマで区切って入力できます。

保護されたネットワーク

ルーティング モードを選択すると、すべてのグローバル アドレスが一覧表示されます。

[使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。

ルーティング モードが 次の場合:

• トラフィックセレクター—IPアドレスは、トラフィックセレクター設定でリモートIPとして使用されます。

• スタティックルーティング:

  • 静的ルートは、選択したグローバルアドレスに対して設定されます。

  • ローカルゲートウェイのトンネルインターフェイス(st0.x)がネクストホップとして使用されます。

• 動的ルーティング—デフォルト値は 任意です。また、特定のグローバルアドレスを選択することもできます。選択した値は、ファイアウォールポリシーの宛先アドレスとして設定されます。

追加

[ +] をクリックします。

[グローバル アドレスの作成] ページが表示されます。フィールド情報については 、表 3 を参照してください。

名前

英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列を入力します。スペースは使用できません。最大63文字。

IP タイプ

[IPv4] または [IPv6] を選択します。

IPv4

IPv4アドレス—有効なIPv4アドレスを入力します。

サブネット — IPv4 アドレスのサブネットを入力します。

IPv6

IPv6アドレス—有効なIPv6アドレスを入力します。

サブネットプレフィックス—ネットワーク範囲のサブネットマスクを入力します。入力が完了すると、値が検証されます。

ゲートウェイが NAT の背後にある

ローカル ゲートウェイが NAT デバイスの背後にある場合は、このオプションを有効にします。

IKE ID

ローカルアイデンティティを設定するオプションをリストから選択します。 ゲートウェイがNATの背後にある 場合、NATデバイスを参照するようにIPv4またはIPv6アドレスを設定できます。

ホスト名

ホスト名を入力します。

IPv4 アドレス

IPv4 アドレスを入力します。

IPv6 アドレス

IPv6 アドレスを入力します。

キーID

キー ID を入力します。

電子メール アドレス

電子メール アドレスを入力します。

外部インターフェイス

IKE ネゴシエーションのリストから発信インターフェイスを選択します。

指定されたインターフェイスに複数のIPアドレスが設定されている場合、このリストには利用可能なすべてのIPアドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。

トンネル インターフェイス

リストからインターフェイスを選択して、トンネルインターフェイス(ルートベースVPN)にバインドします。

[ 追加] をクリックして新しいインターフェイスを追加します。[トンネル インターフェイスの作成] ページが表示されます。 表 5 を参照してください。

ルーターID

ルーティング デバイスの IP アドレスを入力します。

エリア ID

このVPNのトンネルインターフェイスを設定する必要がある、0~4,294,967,295の範囲のエリアIDを入力します。

トンネル インターフェイス パッシブ

通常のアクティブな IP チェックのトラフィックをバイパスするには、このオプションを有効にします。

Asn

ルーティングデバイスのAS番号を入力します。

NIC によって割り当てられた番号を使用します。範囲:4バイトAS番号のプレーン番号形式での1~4,294,967,295(232~1)。

ネイバー ID

隣接するルーターの IP アドレスを入力します。

BGP グループ タイプ

リストから BGP ピア グループのタイプを選択します。

• external — AS間BGPルーティングを可能にする外部グループ。

• 内部 — AS内BGPルーティングを可能にする内部グループ。

ピアASN

ネイバー(ピア)自律システム(AS)番号を入力します。

インポートポリシー

リストから 1 つ以上のルーティング ポリシーを選択し、BGP からルーティング テーブルにインポートするルートを選択します。

[ すべてクリア ] をクリックして、選択したポリシーをクリアします。

エクスポート ポリシー

ルーティング・テーブルからBGPにエクスポートされるルートに対して、リストから1つ以上のポリシーを選択します。

[ すべてクリア ] をクリックして、選択したポリシーをクリアします。

ローカル証明書

ローカル デバイスに複数の証明書が読み込まれている場合は、ローカル証明書識別子を選択します。

[ 追加] をクリックして新しい証明書を生成します。[ インポート ] をクリックしてデバイス証明書をインポートします。詳細については、「 デバイス証明書の管理」を参照してください。

信頼できる CA/グループ

ローカル証明書に関連付けるには、リストから認証局(CA)プロファイルを選択します。

[ 追加] をクリックして新しい CA プロファイルを追加します。詳細については、「 信頼できる認証機関の管理」を参照してください。

事前共有キー

事前共有鍵の値を入力します。キーは、以下のいずれかです。

• asciiテキスト — ASCIIテキストキー。

• 16 進 — 16 進キー。

保護されたネットワーク

[ +] をクリックします。[保護されたネットワークの作成] ページが表示されます。

ゾーン

ファイアウォール ポリシーのソース ゾーンとして使用するセキュリティ ゾーンを一覧から選択します。

グローバルアドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。

追加

[ 追加] をクリックします。

[グローバル アドレスの作成] ページが表示されます。 表 3 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[グローバル アドレスの編集] ページが編集可能なフィールドとともに表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップします。

削除するには、[ はい ] をクリックします。

インターフェイスユニット

論理ユニット番号を入力します。

説明

論理インターフェイスの説明を入力します。

ゾーン

ファイアウォール ポリシーのソース ゾーンとして使用する論理インターフェイスのゾーンをリストから選択します。

[ 追加] をクリックして新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK] をクリックします 。

ルーティング インスタンス

リストからルーティング インスタンスを選択します。

IPv4 アドレス

有効な IPv4 アドレスを入力します。

サブネットプレフィックス

IPv4アドレスのサブネットマスクを入力します。

IPv6 アドレス

有効な IPv6 アドレスを入力します。

サブネットプレフィックス

ネットワーク範囲のサブネットマスクを入力します。入力が完了すると、値が検証されます。

IKEバージョン

IPsecのSA(動的セキュリティアソシエーション)をネゴシエートするために必要なIKEバージョン(v1またはv2)を選択します。

デフォルト値はv2です。

IKEモード

リストからIKEポリシーモードを選択します。

• アグレッシブ—メイン モードのメッセージ数の半分を取り、ネゴシエーション電力が少なく、ID 保護を提供しません。

• メイン—3つのピアツーピア交換で6つのメッセージを使用して、IKE SAを確立します。これらの 3 つのステップには、IKE SA ネゴシエーション、Diffie-Hellman 交換、ピアの認証が含まれます。ID 保護も提供します。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は aes-256-gcm です。

認証アルゴリズム

リストから認証アルゴリズムを選択します。例えば、hmac-md5-96—128ビットダイジェストとhmac-sha1-96を生成し、160ビットダイジェストを生成します。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)のライフタイムを選択します。デフォルト:28,800秒。範囲:180~86,400秒。

デッドピア検出

このオプションを有効にすると、ピアへの発信 IPsec トラフィックの有無に関係なく、デッド ピア検出要求を送信できます。

DPD モード

リストからオプションのいずれかを選択します。

• 最適化 - 送信トラフィックがあり、受信データ トラフィックがない場合にのみプローブを送信します - RFC3706(デフォルト モード)。

• probe-idle-tunnel—最適化モードと同じ方法でプローブを送信し、送信および受信データトラフィックがない場合にもプローブを送信します。

• always-send—送受信するデータ トラフィックに関係なく、プローブを定期的に送信します。

DPD 間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。デフォルトの間隔は10秒です。範囲は2~60秒です。

DPD しきい値

障害時の DPD しきい値を設定するには、1~5 の数字を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信数は5回です。

一般的なIKE ID

このオプションを有効にして、ピアIKE IDを受け入れます。

IKEv2 再認証

再認証の頻度を設定して、新しい IKEv2 再認証をトリガーします。

IKEv2 再フラグメント化

このオプションは、デフォルトで有効になっています。

IKEv2 再フラグメント サイズ

IKEv2 メッセージがフラグメントに分割される前に、バイト単位で最大サイズを選択します。

サイズは、IPv4とIPv6の両方のメッセージに適用されます。範囲: 570~1320 バイト。

デフォルト値は次のとおりです。

• IPv4メッセージ-576バイト。

• IPv6メッセージ-1280バイト。

NAT-T

IPsecトラフィックがNATデバイスを通過する場合は、このオプションを有効にします。

NAT-T は、2 台のゲートウェイ デバイス間で VPN 接続を確立しようとするときに使用される IKE フェーズ 1 アルゴリズムで、SRX シリーズ デバイスの 1 つ前に NAT デバイスがあります。

NAT キープアライブ

適切なキープアライブ間隔を秒単位で選択します。範囲:1~300。

VPNが長時間非アクティブであることが予想される場合は、キープアライブ値を設定して人工トラフィックを生成し、NATデバイスでセッションをアクティブに維持することができます。

プロトコル

VPNを確立するには、リストからESP(カプセル化セキュリティプロトコル)または AH(認証ヘッダー)プロトコルのいずれかを選択します。デフォルト値は ESP です。

暗号化アルゴリズム

暗号化方法を選択します。デフォルト値は aes-256-gcm です。

認証アルゴリズム

リストから IPsec 認証アルゴリズムを選択します。例えば、hmac-md5-96—128ビットダイジェストとhmac-sha1-96を生成し、160ビットダイジェストを生成します。

完全転送機密保持

リストから完全転送機密保持(PFS)を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値は group19 です。

PFS は、以前の鍵とは独立して、新しい暗号化キーを生成します。グループの番号が大きいほどセキュリティは向上しますが、処理時間は長くなります。

ライフタイム秒

IPsec セキュリティ アソシエーション(SA)のライフタイム(秒単位)を選択します。SAが期限切れになると、新しいSAおよび SPI(セキュリティパラメーターインデックス)または終了したインデックスに置き換えられます。デフォルトは3,600秒です。範囲:180~86,400秒。

ライフタイムキロバイト

IPsec SAのライフタイム(キロバイト)を選択します。デフォルトは128kbです。範囲:64~4294967294。

トンネルの確立

このオプションを有効にして、IPsecトンネルを確立します。IKEは、VPNが設定され、設定変更がコミットされた後、すぐに(デフォルト値)アクティブになります。

VPN モニター

宛先 IP アドレスで使用するには、このオプションを有効にします。

宛先 IP

インターネット制御メッセージ プロトコル(ICMP)ping の宛先を入力します。デバイスは、デフォルトでピアのゲートウェイアドレスを使用します。

最適化

VPN オブジェクトでこのオプションを有効にします。有効な場合、SRX シリーズ デバイスは、送信トラフィックがあり、設定されたピアから VPN トンネルを経由する受信トラフィックがない場合にのみ、ICMP エコー要求(pings)を送信します。VPN トンネルを経由する受信トラフィックがある場合、SRX シリーズ デバイスはそのトンネルがアクティブであると見なされ、ピアに ping を送信しません。

このオプションは、デフォルトでは無効になっています。

送信元インターフェイス

リストから ICMP リクエストの送信元インターフェイスを選択します。送信元インターフェイスが指定されていない場合、デバイスは自動的にローカルトンネルエンドポイントインターフェイスを使用します。

パスの検証

セキュアトンネル(st0)インターフェイスがアクティブ化され、インターフェイスに関連付けられたルートがJunos OS転送テーブルにインストールされる前に、このオプションを有効にしてIPsecデータパスを確認します。

このオプションは、デフォルトでは無効になっています。

宛先 IP

宛先 IP アドレスを入力します。NAT デバイスの背後にあるピア トンネル エンドポイントの元の未変換 IP アドレス。この IP アドレスは、NAT 変換 IP アドレスである必要があります。このオプションは、ピアトンネルエンドポイントがNATデバイスの背後にある場合に必要です。検証パス ICMP リクエストは、ピアが ICMP 応答を生成できるように、この IP アドレスに送信されます。

パケット サイズ

st0インターフェイスが起動する前に、IPsecデータパスを検証するために使用されるパケットのサイズを入力します。範囲:64~1350 バイト。デフォルト値は64バイトです。

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた一連の番号を使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを適用します。

IPsec メカニズムでエラーが発生し、パケットが順序外れ、適切な機能を妨げる場合は、アンチリプレイを無効にします。

インストール間隔

デバイスにキー更新されたアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1~10の値を選択します。

アイドル時間

アイドル時間の間隔を選択します。トラフィックが受信されない場合、セッションとそれに対応する変換は一定時間後にタイムアウトします。範囲は60~999999秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットをどのように処理するかを選択します。

• clear — 外側ヘッダーからの DF ビットをクリア(無効)します。これはデフォルトです。

• copy — DF ビットを外側ヘッダーにコピーします。

• set — 外側ヘッダーの DF ビットを設定(有効)します。

外部 DSCP のコピー

このオプションは、デフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化サービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 暗号化解除後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。