リモート アクセス VPN の作成 - Juniper Secure Connect
ご紹介: ネットワーク > VPN > IPsec VPN。
Juniper Secure Connectは、ネットワークリソースに安全な接続を提供する、ジュニパーのクライアントベースのSSL-VPNソリューションです。
Juniper Secure Connectは、ユーザーがインターネットを使用して企業のネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択して、優れた管理者とユーザーエクスペリエンスを提供します。
ジュニパーセキュアコネクト向けのリモートアクセスVPNを作成するには、次の手順にいます。
フィールド |
アクション |
|---|---|
名前 |
リモートアクセス接続の名前を入力します。この名前は、Juniper Secure Connectクライアントのエンドユーザーのレルム名として表示されます。 |
説明 |
説明を入力します。この説明は、IKEとIPsecのプロポーザル、ポリシー、リモートアクセスプロファイル、クライアント構成、NATルールセットに使用します。 編集中に、IPsecポリシーの説明が表示されます。IPsecポリシーとリモートアクセスプロファイルの説明は更新されます。 |
ルーティング モード |
このオプションは、リモートアクセスでは無効になっています。 デフォルトモードはトラフィックセレクター(自動ルート挿入)です。 |
認証方法 |
デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。
|
ファイアウォール ポリシーの自動作成 |
[はい] を選択すると、ローカル保護ネットワークを送信元アドレスとし、リモート保護ネットワークを宛先アドレスとする内部ゾーンとトンネル インターフェイス ゾーンの間にファイアウォール ポリシーが自動的に作成されます。 別のファイアウォールポリシーはvisaで作成されます。その逆も同様です。 [いいえ] を選択した場合、ファイアウォール ポリシーオプションはありません。VPNを機能させるためには、必要なファイアウォールポリシーを手動で作成する必要があります。
メモ:
VPNワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルゲートウェイとリモートゲートウェイの両方で動的ルーティング用に非表示になります。 |
リモートユーザー |
トポロジーにリモート ユーザー アイコンを表示します。このアイコンをクリックして、Juniper Secure Connectクライアント設定を構成します。 フィールドの詳細については、 表 2 を参照してください。
メモ:
J-Web UI では、ローカル ゲートウェイが構成されると、リモート ユーザーの URL が表示されます。 |
ローカル ゲートウェイ |
トポロジーにローカル ゲートウェイ アイコンを表示します。アイコンをクリックしてローカル ゲートウェイを構成します。 フィールドの詳細については、 表 3 を参照してください。 |
IKEおよびIPsec設定 |
カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。 フィールドの詳細については、 表 6 を参照してください。
メモ:
|
フィールド |
アクション |
|---|---|
| デフォルト プロファイル |
リモートアクセスのデフォルトプロファイルとして設定されたVPN名を使用するには、このオプションを有効にします。
メモ:
|
| 接続モード |
リストから以下のいずれかのオプションを選択して、Juniper Secure Connectクライアント接続を確立します。
デフォルトの接続モードは手動です。 |
| SSL VPN |
Juniper Secure ConnectクライアントからSRXシリーズファイアウォールへのSSL VPN接続を確立するには、このオプションを有効にします。 デフォルトでは、このオプションは有効になっています。
メモ:
これは、IPsec ポートに到達できない場合のフォールバック オプションです。 |
| バイオメトリクス認証 |
このオプションを有効にして、固有の設定された方法を使用してクライアント システムを認証します。 クライアント システムで接続すると、認証プロンプトが表示されます。VPN 接続は、 Windows Hello 用に構成された方法(フィンガープリント認識、顔認識、PIN 入力など)を介して、認証に成功した後にのみ開始されます。 バイオメトリクス認証オプションが有効になっている場合、クライアントシステムでWindows Helloを事前に設定する必要があります。 |
| デッドピア検出 |
デッドピア検出(DPD)オプションを有効にすることで、Juniper Secure ConnectクライアントがSRXシリーズファイアウォールに到達可能であるかどうかを検出できます。 このオプションを無効にすると、SRXシリーズファイアウォール接続の到達可能性が回復するまで、Juniper Secure Connectクライアントが検出できるようになります。 このオプションは、デフォルトで有効になっています。 |
| DPD 間隔 |
ピアがデッドピア検出(DPD)リクエストパケットを送信する前に、宛先ピアからのトラフィックを待機する時間を入力します。範囲は 2~60 秒で、デフォルトは 60 秒です。 |
| DPD しきい値 |
ピアが利用できないと見なされる前に、デッドピア検出(DPD)要求の最大数を入力します。範囲は 1~5 で、デフォルトは 5 です。 |
| 証明 書 |
証明書を有効にして、Secure Client Connectで証明書オプションを設定します。
メモ:
このオプションは、証明書ベースの認証方法を選択した場合にのみ使用できます。 |
| 期限切れに関する警告 |
Secure Connectクライアントで証明書の期限切れ警告を表示するには、このオプションを有効にします。 このオプションは、デフォルトで有効になっています。
メモ:
このオプションは、証明書を有効にした場合にのみ使用できます。 |
| 警告間隔 |
警告を表示する間隔(日)を入力します。 範囲は1~90です。デフォルト値は60です。
メモ:
このオプションは、証明書を有効にした場合にのみ使用できます。 |
| 接続当たりのピン req |
このオプションを有効にして、非常に接続の証明書ピンを入力します。 このオプションは、デフォルトで有効になっています。
メモ:
このオプションは、証明書を有効にした場合にのみ使用できます。 |
| EAP-TLS |
認証プロセスでこのオプションを有効にします。IKEv2 では、ユーザー認証に EAP が必要です。SRX シリーズ ファイアウォールは EAP サーバーとして機能しません。EAP 認証を行うには、IKEv2 EAP に外部 RADIUS サーバーを使用する必要があります。SRXは、Juniper Secure ConnectクライアントとRADIUSサーバーの間でEAPメッセージをリレーするパススルー認証として機能します。 このオプションは、デフォルトで有効になっています。
メモ:
このオプションは、証明書ベースの認証方法を選択した場合にのみ使用できます。 |
| ユーザー名の保存 |
Junos OS リリース 22.1R1 以降、このオプションを有効にしてリモート ユーザー名を保存できるようになりました。 |
| パスワードの保存 |
Junos OS リリース 22.1R1 以降では、このオプションを有効にして、リモート ユーザー名とパスワードの両方を保存できます。 |
| Windowsログオン |
Windows システムにログオンする前に、ユーザーが Windows ドメインに安全にログオンできるようにする場合は、このオプションを有効にします。このクライアントは、企業ネットワークへの VPN 接続を確立した後、認証情報サービス プロバイダを使用してドメイン ログオンをサポートします。 |
| ドメイン名 |
ユーザーマシンがログに記録するシステムドメイン名を入力します。 |
| モード |
リストから次のいずれかのオプションを選択して、Windows ドメインにログオンします。
|
| ログアウト時の切断 |
システムが休止モードまたはスタンバイ モードに切り替えたときに、このオプションを有効にして接続をシャットダウンします。システムが休止状態またはスタンバイ モードから再開すると、接続を再確立する必要があります。 |
| ログアウト時のフラッシュ認定資格 |
キャッシュからユーザー名とパスワードを削除するには、このオプションを有効にします。ユーザー名とパスワードを再入力する必要があります。 |
| リードタイム |
ネットワークログオンとドメインログオンの間の時間を初期化するためのリードタイムを入力します。 接続を設定した後は、ここで設定した初期化時間が経過した後にのみ Windows ログオンが実行されます。 |
| EAP 認証 |
このオプションを有効にすると、資格情報プロバイダーで宛先ダイアログが表示される前に EAP 認証を実行できます。次に、後続のダイヤルインに EAP が必要かどうかに関係なく、システムが必要な PIN を要求します。 このオプションが無効になっている場合、EAP 認証は宛先選択後に実行されます。 |
| 自動ダイアログを開く |
このオプションを有効にして、リモート ドメインへの接続確立のためにダイアログが自動的に開くかどうかを選択します。 このオプションが無効になっている場合、クライアントのパスワードと PIN は Windows ログオン後にのみ照会されます。 |
フィールド |
アクション |
|---|---|
ゲートウェイが NAT の背後にある |
ローカル ゲートウェイが NAT デバイスの背後にある場合は、このオプションを有効にします。 |
NAT IP アドレス |
SRX シリーズ ファイアウォールのパブリック(NAT)IP アドレスを入力します。
メモ:
このオプションは、 ゲートウェイが NAT の背後にある 場合にのみ使用できます。NATデバイスを参照するようにIPv4アドレスを設定できます。 |
IKE ID |
このフィールドは必須です。IKE ID を user@example.com 形式で入力します。 |
外部インターフェイス |
クライアントが接続するリストから発信インターフェイスを選択します。 指定されたインターフェイスに複数のIPv4アドレスが設定されている場合、このリストには利用可能なすべてのIPアドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。 |
トンネル インターフェイス |
接続するクライアントのリストからインターフェイスを選択します。 [ 追加] をクリックして新しいインターフェイスを追加します。[トンネル インターフェイスの作成] ページが表示されます。新しいトンネル インターフェイスの作成の詳細については、 表 4 を参照してください。 選択したトンネル インターフェイスを編集するには、[ 編集 ] をクリックします。 |
事前共有キー |
事前共有キーの以下の値のいずれかを入力します。
メモ:
このオプションは、認証方法が事前共有キーの場合に使用できます。 |
ローカル証明書 |
リストからローカル証明書を選択します。 ローカル証明書は、RSA証明書のみを一覧表示します。 証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の 追加」を参照してください。 証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書の インポート」を参照してください。
メモ:
このオプションは、認証方法が Certificated Based の場合に使用できます。 |
信頼できる CA/グループ |
リストから信頼できる認証機関/グループ プロファイルを選択します。 CA プロファイルを追加するには、 [ CA プロファイルの追加] をクリックします。CA プロファイルの追加の詳細については、「 認証局プロファイル の追加」を参照してください。
メモ:
このオプションは、認証方法が Certificated Based の場合に使用できます。 |
ユーザー認証 |
このフィールドは必須です。リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。 [ 追加] をクリックして新しいプロファイルを作成します。新しいアクセス プロファイルの作成の詳細については、「 アクセス プロファイル の追加」を参照してください。 |
SSL VPN プロファイル |
リモート アクセス接続の終端に使用する SSL VPN プロファイルをリストから選択します。 新しい SSL VPN プロファイルを作成するには、以下の手順に示します。
|
ソース NAT トラフィック |
このオプションは、デフォルトで有効になっています。 Juniper Secure Connectクライアントからのトラフィックはすべて、デフォルトで選択されたインターフェイスにNATedされます。 無効にした場合、リターン トラフィックを正しく処理するために、SRX シリーズ ファイアウォールを指し示すネットワークからのルートがあることを確認する必要があります。 |
インターフェイス |
ソース NAT トラフィックが通過するインターフェイスをリストから選択します。 |
保護されたネットワーク |
[ +] をクリックします。[保護されたネットワークの作成] ページが表示されます。 |
| 保護されたネットワークの構築 | |
ゾーン |
ファイアウォール ポリシーのソース ゾーンとして使用するセキュリティ ゾーンを一覧から選択します。 |
グローバルアドレス |
[使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。 [ 追加] をクリックして、クライアントが接続できるネットワークを選択します。 [グローバル アドレスの作成] ページが表示されます。フィールドの詳細については、 表 5 を参照してください。 |
編集 |
編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。 [保護されたネットワークの編集] ページが編集可能なフィールドとともに表示されます。 |
削除 |
編集する保護されたネットワークを選択し、削除アイコンをクリックします。 確認メッセージがポップアップします。 保護されたネットワークを削除するには、[ はい ] をクリックします。 |
フィールド |
アクション |
|---|---|
インターフェイスユニット |
論理ユニット番号を入力します。 |
説明 |
論理インターフェイスの説明を入力します。 |
ゾーン |
リストからゾーンを選択して、トンネルインターフェイスに追加します。 このゾーンは、ファイアウォールポリシーの自動作成に使用されます。 [ 追加] をクリックして新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK] をクリックします 。 |
ルーティング インスタンス |
リストからルーティング インスタンスを選択します。
メモ:
デフォルトのルーティングインスタンスであるプライマリは、論理システム内のメインinet.0ルーティングテーブルを指します。 |
フィールド |
アクション |
|---|---|
名前 |
グローバルアドレスの名前を入力します。名前は、英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列でなければなりません。スペースは使用できません。最大63文字。 |
IP タイプ |
[ IPv4] を選択します。 |
| IPv4 | |
IPv4 アドレス |
有効な IPv4 アドレスを入力します。 |
サブネット |
IPv4 アドレスのサブネットを入力します。 |
フィールド |
アクション |
|---|---|
| IKE 設定
メモ:
以下のパラメーターは自動的に生成され、J-Web UI には表示されません。
|
|
暗号化アルゴリズム |
リストから適切な暗号化メカニズムを選択します。 デフォルト値は AES-CBC 256 ビットです。 |
認証アルゴリズム |
リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットです。 |
DH グループ |
DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。 |
ライフタイム秒 |
IKEセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。 デフォルト値は28,800秒です。範囲:180~86,400秒。 |
デッドピア検出 |
このオプションを有効にすると、ピアへの発信 IPsec トラフィックの有無に関係なく、デッド ピア検出要求を送信できます。 |
DPD モード |
リストからオプションのいずれかを選択します。
|
DPD 間隔 |
デッドピア検出メッセージを送信する間隔(秒単位)を選択します。デフォルトの間隔は10秒です。範囲は2~60秒です。 |
DPD しきい値 |
障害時の DPD しきい値を設定するには、1~5 の数字を選択します。 これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信数は5回です。 |
| 事前設定(オプション) | |
NAT-T |
IPsecトラフィックがNATデバイスを通過する場合は、このオプションを有効にします。 NAT-T は IKE フェーズ 1 アルゴリズムで、2 台のゲートウェイ デバイス間で VPN 接続を確立する際に使用されます。このアルゴリズムでは、SRX シリーズ ファイアウォールの 1 つ前に NAT デバイスがあります。 |
NAT キープアライブ |
適切なキープアライブ間隔を秒単位で選択します。範囲:1~300。 VPNが長時間非アクティブであることが予想される場合は、キープアライブ値を設定して人工トラフィックを生成し、NATデバイスでセッションをアクティブに維持することができます。 |
IKE 接続制限 |
VPN プロファイルがサポートする同時接続数を入力します。 範囲は1~4294967295です。 最大接続数に達すると、IPsec VPNへのアクセスを試みるリモートアクセスユーザー(VPN)エンドポイントはインターネット鍵交換(IKE)ネゴシエーションを開始できません。 |
IKEv2 フラグメント化 |
このオプションは、デフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージをより小さなメッセージに分割して、IP レベルでフラグメント化を発生させないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われ、各フラグメントが個別に暗号化および認証されます。
メモ:
このオプションは、認証方法が Certificated Based の場合に使用できます。 |
IKEv2 フラグメント サイズ |
IKEv2 メッセージがフラグメントに分割される前に、バイト単位で最大サイズを選択します。 サイズはIPv4メッセージに適用されます。範囲: 570~1320 バイト。 デフォルト値は576バイトです。
メモ:
このオプションは、認証方法が Certificated Based の場合に使用できます。 |
| IPsec 設定
メモ:
認証方法は事前共有キーまたは証明書ベースであり、プロトコルをESPとして自動的に生成します。 |
|
暗号化アルゴリズム |
暗号化方法を選択します。デフォルト値は AES-GCM 256 ビットです。 |
認証アルゴリズム |
リストから IPsec 認証アルゴリズムを選択します。例えば、HMAC-SHA-256-128 です。
メモ:
このオプションは、暗号化アルゴリズムが gcm ではない場合に利用できます。 |
完全転送機密保持 |
リストから完全転送機密保持(PFS)を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値は group19 です。 PFS は、以前の鍵とは独立して、新しい暗号化キーを生成します。グループの番号が大きいほどセキュリティは向上しますが、処理時間は長くなります。
メモ:
group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートしています。 |
ライフタイム秒 |
IPsec セキュリティ アソシエーション(SA)のライフタイム(秒単位)を選択します。SAが期限切れになると、新しいSAおよび SPI(セキュリティパラメーターインデックス)または終了したインデックスに置き換えられます。デフォルトは3,600秒です。範囲:180~86,400秒。 |
ライフタイムキロバイト |
IPsec SAのライフタイム(キロバイト)を選択します。デフォルトは256kbです。範囲:64~4294967294。 |
| 高度な設定 | |
アンチリプレイ |
IPsec は、IPsec パケットに組み込まれた一連の番号を使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。 このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを適用します。 IPsec メカニズムでエラーが発生し、パケットが順序外れ、適切な機能を妨げる場合は、アンチリプレイを無効にします。 |
インストール間隔 |
デバイスにキー更新されたアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1~10秒の値を選択します。 |
アイドル時間 |
アイドル時間の間隔を選択します。トラフィックが受信されない場合、セッションとそれに対応する変換は一定時間後にタイムアウトします。範囲は60~999999秒です。 |
DF ビット |
デバイスが外部ヘッダーの DF(Don't Fragment)ビットをどのように処理するかを選択します。
|
外部 DSCP のコピー |
このオプションは、デフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化サービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 暗号化解除後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。 |