Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート アクセス VPN の作成 - NCP エクスクルーシブ クライアント

ご紹介: ネットワーク > VPN > IPsec VPN

NCP Exclusive Remote Access Client は、ジュニパー SRX シリーズ ゲートウェイ向けの NCP Exclusive Remote Access ソリューションの一部です。VPN クライアントは NCP Exclusive Remote Access Management でのみ使用できます。NCP Exclusive Client を使用して、SRX シリーズ ゲートウェイと接続したときに、どこからでもセキュアな IPsec ベースのデータ リンクを確立できます。

ジュニパーセキュアコネクト向けのリモートアクセスVPNを作成するには、次の手順にいます。

  1. [IPsec VPN] ページの右上にある [VPN >リモート アクセス > NCP Exclusive Client作成] を選択します。

    「リモート・アクセスの作成(NCP Exclusive Client)」ページが表示されます。

  2. 表 1~表 5 に示すガイドラインに従って設定を完了します。

    VPN 接続は、構成が完了したことを示すために、トポロジーの灰色から青色の線に変わります。

  3. [ 保存] をクリックして変更を保存します。

    変更を破棄する場合は、[ キャンセル] をクリックします。

表 1: リモート・アクセスの作成 (NCP 排他クライアント) ページのフィールド

フィールド

アクション

名前

リモートアクセス接続の名前を入力します。この名前は、NCP 排他的クライアントのエンド ユーザー接続名として表示されます。

説明

説明を入力します。この説明は、IKEとIPsecのプロポーザル、ポリシー、リモートアクセスプロファイル、クライアント構成、NATルールセットに使用します。

編集中に、IPsecポリシーの説明が表示されます。IPsecポリシーとリモートアクセスプロファイルの説明は更新されます。

ルーティング モード

このオプションは、リモートアクセスでは無効になっています。

デフォルトモードはトラフィックセレクター(自動ルート挿入)です。

認証方法

デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。

  • EAP ベース—EAP-MSCHAPv2 は、RADIUS サーバーによって検証されたユーザー アカウント資格情報(外部ユーザー認証用)を使用してネットワーク アクセスを認証します。

  • 事前共有鍵(ユーザー名とパスワード)—2 つのピア間で共有される秘密鍵は、認証時に相互にピアを識別するために使用されます。

ファイアウォール ポリシーの自動作成

[はい] を選択すると、ローカル保護ネットワークを送信元アドレスとし、リモート保護ネットワークを宛先アドレスとする内部ゾーンとトンネル インターフェイス ゾーンの間にファイアウォール ポリシーが自動的に作成されます。

別のファイアウォールポリシーはvisaで作成されます。その逆も同様です。

[いいえ] を選択した場合、ファイアウォール ポリシーオプションはありません。VPNを機能させるためには、必要なファイアウォールポリシーを手動で作成する必要があります。

メモ:

VPNワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルゲートウェイとリモートゲートウェイの両方で動的ルーティング用に非表示になります。

リモートユーザー

トポロジーにリモート ユーザー アイコンを表示します。

このオプションは無効です。

ローカル ゲートウェイ

トポロジーにローカル ゲートウェイ アイコンを表示します。アイコンをクリックしてローカル ゲートウェイを構成します。

フィールドの詳細については、 表 2 を参照してください。

IKEおよびIPsec設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。

フィールドの詳細については、 表 5 を参照してください。

メモ:
  • J-Webは、1つのカスタムIKEプロポーザルのみをサポートし、事前定義されたプロポーザルセットをサポートしていません。編集および保存すると、J-Webは構成されている場合に定義済みのプロポーザルセットを削除します。

  • VPNトンネルのリモートゲートウェイでは、同じカスタムプロポーザルとポリシーを設定する必要があります。

  • 編集時に、複数のカスタムプロポーザルが設定されている場合、J-Webは最初のカスタムIKEとIPsecプロポーザルを表示します。

表 2: ローカル ゲートウェイ ページのフィールド

フィールド

アクション

ゲートウェイが NAT の背後にある

ローカル ゲートウェイが NAT デバイスの背後にある場合は、このオプションを有効にします。

NAT IP アドレス

SRX シリーズ ファイアウォールのパブリック(NAT)IP アドレスを入力します。

メモ:

このオプションは、 ゲートウェイが NAT の背後にある 場合にのみ使用できます。NATデバイスを参照するようにIPv4アドレスを設定できます。

IKE ID

このフィールドは必須です。IKE ID を user@example.com 形式で入力します。

外部インターフェイス

クライアントが接続するリストから発信インターフェイスを選択します。

指定されたインターフェイスに複数のIPv4アドレスが設定されている場合、このリストには利用可能なすべてのIPアドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。

トンネル インターフェイス

接続するクライアントのリストからインターフェイスを選択します。

[ 追加] をクリックして新しいインターフェイスを追加します。[トンネル インターフェイスの作成] ページが表示されます。新しいトンネル インターフェイスの作成の詳細については、 表 3 を参照してください。

選択したトンネル インターフェイスを編集するには、[ 編集 ] をクリックします。

事前共有キー

事前共有キーの以下の値のいずれかを入力します。

  • asciiテキスト — ASCIIテキストキー。

  • 16 進 — 16 進キー。

メモ:

このオプションは、認証方法が事前共有キーの場合に使用できます。

ローカル証明書

リストからローカル証明書を選択します。

ローカル証明書は、RSA証明書のみを一覧表示します。

証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の 追加」を参照してください。

証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書の インポート」を参照してください。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

信頼できる CA/グループ

リストから信頼できる認証機関/グループ プロファイルを選択します。

CA プロファイルを追加するには、 [ CA プロファイルの追加] をクリックします。CA プロファイルの追加の詳細については、「 認証局プロファイル の追加」を参照してください。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

ユーザー認証

このフィールドは必須です。リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。

[ 追加] をクリックして新しいプロファイルを作成します。新しいアクセス プロファイルの作成の詳細については、「 アクセス プロファイル の追加」を参照してください。

SSL VPN プロファイル

リモート アクセス接続の終端に使用する SSL VPN プロファイルをリストから選択します。

新しい SSL VPN プロファイルを作成するには、以下の手順に示します。

  1. [ 追加] をクリックします。

  2. 以下の詳細を入力します。

    • 名前 — SSL VPN プロファイルの名前を入力します。

    • ロギング —このオプションを有効にして、SSL VPN 用にログを記録します。

    • SSL 終端プロファイル — リストから SSL 終端プロファイルを選択します。

      新しい SSL 終端プロファイルを追加するには、以下の手順に示します。

      1. [ 追加] をクリックします。

      2. 以下の詳細を入力します。

        • 名前 — SSL 終端プロファイルの名前を入力します。

        • サーバー証明書 — リストからサーバー証明書を選択します。

          証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の 追加」を参照してください。

          証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書の インポート」を参照してください。

        • [ OK] をクリックします

      3. [ OK] をクリックします

  3. [ OK] をクリックします

ソース NAT トラフィック

このオプションは、デフォルトで有効になっています。

Juniper Secure Connectクライアントからのトラフィックはすべて、デフォルトで選択されたインターフェイスにNATedされます。

無効にした場合、リターン トラフィックを正しく処理するために、SRX シリーズ ファイアウォールを指し示すネットワークからのルートがあることを確認する必要があります。

インターフェイス

ソース NAT トラフィックが通過するインターフェイスをリストから選択します。

保護されたネットワーク

[ +] をクリックします。[保護されたネットワークの作成] ページが表示されます。

保護されたネットワークの構築

ゾーン

ファイアウォール ポリシーのソース ゾーンとして使用するセキュリティ ゾーンを一覧から選択します。

グローバルアドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。

[ 追加] をクリックして、クライアントが接続できるネットワークを選択します。

[グローバル アドレスの作成] ページが表示されます。フィールドの詳細については、 表 4 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[保護されたネットワークの編集] ページが編集可能なフィールドとともに表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップします。

保護されたネットワークを削除するには、[ はい ] をクリックします。

表 3: [トンネル インターフェイスの作成] ページのフィールド

フィールド

アクション

インターフェイスユニット

論理ユニット番号を入力します。

説明

論理インターフェイスの説明を入力します。

ゾーン

リストからゾーンを選択して、トンネルインターフェイスに追加します。

このゾーンは、ファイアウォールポリシーの自動作成に使用されます。

[ 追加] をクリックして新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK] をクリックします

ルーティング インスタンス

リストからルーティング インスタンスを選択します。

メモ:

デフォルトのルーティングインスタンスであるプライマリは、論理システム内のメインinet.0ルーティングテーブルを指します。

表 4:グローバル アドレスの作成ページのフィールド

フィールド

アクション

名前

グローバルアドレスの名前を入力します。名前は、英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列でなければなりません。スペースは使用できません。最大63文字。

IP タイプ

[ IPv4] を選択します

IPv4

IPv4 アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネットを入力します。

表 5:IKE および IPsec 設定

フィールド

アクション

IKE 設定
メモ:

以下のパラメーターは自動的に生成され、J-Web UI には表示されません。

  • 認証方法が事前共有キーの場合、IKEバージョンは1、IKEユーザータイプは共有ike-id、モードはアグレッシブです。

  • 認証方法が証明書ベースの場合、IKEバージョンは2、ike-user-typeはグループike-id、モードはメインです。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は AES-CBC 256 ビットです。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットです。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。

ライフタイム秒

IKEセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。

デフォルト値は28,800秒です。範囲:180~86,400秒。

デッドピア検出

このオプションを有効にすると、ピアへの発信 IPsec トラフィックの有無に関係なく、デッド ピア検出要求を送信できます。

DPD モード

リストからオプションのいずれかを選択します。

  • 最適化 - 送信トラフィックがあり、受信データ トラフィックがない場合にのみプローブを送信します - RFC3706(デフォルト モード)。

  • probe-idle-tunnel—最適化モードと同じ方法でプローブを送信し、送信および受信データトラフィックがない場合にもプローブを送信します。

  • always-send—送受信するデータ トラフィックに関係なく、プローブを定期的に送信します。

DPD 間隔

デッドピア検出メッセージを送信する間隔(秒単位)を選択します。デフォルトの間隔は10秒です。範囲は2~60秒です。

DPD しきい値

障害時の DPD しきい値を設定するには、1~5 の数字を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信数は5回です。

事前設定(オプション)

NAT-T

IPsecトラフィックがNATデバイスを通過する場合は、このオプションを有効にします。

NAT-T は IKE フェーズ 1 アルゴリズムで、2 台のゲートウェイ デバイス間で VPN 接続を確立する際に使用されます。このアルゴリズムでは、SRX シリーズ ファイアウォールの 1 つ前に NAT デバイスがあります。

NAT キープアライブ

適切なキープアライブ間隔を秒単位で選択します。範囲:1~300。

VPNが長時間非アクティブであることが予想される場合は、キープアライブ値を設定して人工トラフィックを生成し、NATデバイスでセッションをアクティブに維持することができます。

IKE 接続制限

VPN プロファイルがサポートする同時接続数を入力します。

範囲は1~4294967295です。

最大接続数に達すると、IPsec VPNへのアクセスを試みるリモートアクセスユーザー(VPN)エンドポイントはインターネット鍵交換(IKE)ネゴシエーションを開始できません。

IKEv2 フラグメント化

このオプションは、デフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージをより小さなメッセージに分割して、IP レベルでフラグメント化を発生させないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われ、各フラグメントが個別に暗号化および認証されます。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

IKEv2 フラグメント サイズ

IKEv2 メッセージがフラグメントに分割される前に、バイト単位で最大サイズを選択します。

サイズはIPv4メッセージに適用されます。範囲: 570~1320 バイト。

デフォルト値は576バイトです。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

IPsec 設定

暗号化アルゴリズム

暗号化方法を選択します。デフォルト値は AES-GCM 256 ビットです。

認証アルゴリズム

リストから IPsec 認証アルゴリズムを選択します。例えば、HMAC-SHA-256-128 です。

メモ:

このオプションは、暗号化アルゴリズムが gcm ではない場合に利用できます。

完全転送機密保持

リストから完全転送機密保持(PFS)を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値は group19 です。

PFS は、以前の鍵とは独立して、新しい暗号化キーを生成します。グループの番号が大きいほどセキュリティは向上しますが、処理時間は長くなります。

メモ:

group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートしています。

ライフタイム秒

IPsec セキュリティ アソシエーション(SA)のライフタイム(秒単位)を選択します。SAが期限切れになると、新しいSAおよび SPI(セキュリティパラメーターインデックス)または終了したインデックスに置き換えられます。デフォルトは3,600秒です。範囲:180~86,400秒。

ライフタイムキロバイト

IPsec SAのライフタイム(キロバイト)を選択します。デフォルトは256kbです。範囲:64~4294967294。

高度な設定

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた一連の番号を使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを適用します。

IPsec メカニズムでエラーが発生し、パケットが順序外れ、適切な機能を妨げる場合は、アンチリプレイを無効にします。

インストール間隔

デバイスにキー更新されたアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1~10の値を選択します。

アイドル時間

アイドル時間の間隔を選択します。トラフィックが受信されない場合、セッションとそれに対応する変換は一定時間後にタイムアウトします。範囲は60~999999秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットをどのように処理するかを選択します。

  • clear — 外側ヘッダーからの DF ビットをクリア(無効)します。これはデフォルトです。

  • copy — DF ビットを外側ヘッダーにコピーします。

  • set — 外側ヘッダーの DF ビットを設定(有効)します。

外部 DSCP のコピー

このオプションは、デフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化サービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 暗号化解除後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。