Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート アクセス VPN の作成 - Juniper Secure Connect

ご紹介: ネットワーク > VPN > IPsec VPN

Juniper Secure Connectは、ネットワークリソースに安全な接続を提供する、ジュニパーのクライアントベースのSSL-VPNソリューションです。

Juniper Secure Connectは、ユーザーがインターネットを使用して企業のネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択して、優れた管理者とユーザーエクスペリエンスを提供します。

ジュニパーセキュアコネクト向けのリモートアクセスVPNを作成するには、次の手順にいます。

  1. IPsec VPN ページの右上にある [Juniper Secure Connect > VPN >リモート アクセス作成] を選択します。

    「リモートアクセスの作成(Juniper Secure Connect)」ページが表示されます。

    メモ:

    Junos OSリリース23.2R1以降、Juniper Secure Connect VPNを作成または編集する際、Junos-ikeパッケージがすでにインストールされている場合、ike-userタイプはグループike-idになります。これは、マルチデバイスアクセスを有効にするのに役立ちます。これは、SRX300シリーズのファイアウォールおよびSRX550HMファイアウォールではサポートされていません。
  2. 表 1~表 6 に示すガイドラインに従って、設定を完了します。

    VPN 接続は、構成が完了したことを示すために、トポロジーの灰色から青色の線に変わります。

  3. 自動ポリシー作成オプションを選択した場合は、[ 保存 ] をクリックして Secure Connect VPN の設定と関連ポリシーを完了します。

    変更を破棄する場合は、[ キャンセル] をクリックします。

表 1: リモート アクセスの作成(Juniper Secure Connect)ページのフィールド

フィールド

アクション

名前

リモートアクセス接続の名前を入力します。この名前は、Juniper Secure Connectクライアントのエンドユーザーのレルム名として表示されます。

説明

説明を入力します。この説明は、IKEとIPsecのプロポーザル、ポリシー、リモートアクセスプロファイル、クライアント構成、NATルールセットに使用します。

編集中に、IPsecポリシーの説明が表示されます。IPsecポリシーとリモートアクセスプロファイルの説明は更新されます。

ルーティング モード

このオプションは、リモートアクセスでは無効になっています。

デフォルトモードはトラフィックセレクター(自動ルート挿入)です。

認証方法

デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。

  • EAP-MSCHAPv2(ユーザー名とパスワード)—RADIUSサーバーによって検証されたユーザーアカウント資格情報(外部ユーザー認証用)を使用して、ネットワークアクセスの認証を行います。

  • EAP-TLS(証明書)—EAP内のTLS公開キー証明書認証メカニズムを使用して、相互クライアントサーバー認証とサーバークライアント認証を提供します。EAP-TLS では、クライアントとサーバーの両方に、両方が信頼する認証機関(CA)によって署名されたデジタル証明書を割り当てる必要があります。

    メモ:

    Junos OSリリース23.1R1以降、 EAP-TLSはJuniper Secure Connect > リモートユーザーでは利用できません。

  • 事前共有鍵(ユーザー名とパスワード)—2 つのピア間で共有される秘密鍵は、認証時に相互にピアを識別するために使用されます。

    メモ:

    Junos OSリリース23.2R1以降、Juniper Secure Connect VPNを作成または編集すると、ike-userタイプはグループike-idになります。これは、マルチデバイスアクセスを有効にするのに役立ちます。これは、SRX300シリーズのファイアウォールおよびSRX550HMファイアウォールではサポートされていません。

ファイアウォール ポリシーの自動作成

[はい] を選択すると、ローカル保護ネットワークを送信元アドレスとし、リモート保護ネットワークを宛先アドレスとする内部ゾーンとトンネル インターフェイス ゾーンの間にファイアウォール ポリシーが自動的に作成されます。

別のファイアウォールポリシーはvisaで作成されます。その逆も同様です。

[いいえ] を選択した場合、ファイアウォール ポリシーオプションはありません。VPNを機能させるためには、必要なファイアウォールポリシーを手動で作成する必要があります。

メモ:

VPNワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルゲートウェイとリモートゲートウェイの両方で動的ルーティング用に非表示になります。

リモートユーザー

トポロジーにリモート ユーザー アイコンを表示します。このアイコンをクリックして、Juniper Secure Connectクライアント設定を構成します。

フィールドの詳細については、 表 2 を参照してください。

メモ:

Junos OS 23.1R1 リリース以降、J-Web では、接続プロファイルが設定されている場合、リモート ユーザーを FQDN または FQDN/レルム形式で表示します。設定されていない場合、J-Web は外部インターフェイス IP(デフォルト プロファイル用)または外部インターフェイス IP/VPN-Name(デフォルト以外のプロファイルの場合)を表示します。

ローカル ゲートウェイ

トポロジーにローカル ゲートウェイ アイコンを表示します。アイコンをクリックしてローカル ゲートウェイを構成します。

フィールドの詳細については、 表 3 を参照してください。

IKEおよびIPsec設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。

フィールドの詳細については、 表 6 を参照してください。

メモ:

  • J-Webは、1つのカスタムIKEプロポーザルのみをサポートし、事前定義されたプロポーザルセットをサポートしていません。編集および保存すると、J-Webは構成されている場合に定義済みのプロポーザルセットを削除します。

  • VPNトンネルのリモートゲートウェイでは、同じカスタムプロポーザルとポリシーを設定する必要があります。

  • 編集時に、複数のカスタムプロポーザルが設定されている場合、J-Webは最初のカスタムIKEとIPsecプロポーザルを表示します。
表 2: リモート ユーザー ページのフィールド

フィールド

アクション

デフォルト プロファイル

リモートアクセスのデフォルトプロファイルとして設定されたVPN名を使用するには、このオプションを有効にします。

メモ:

  • Junos OS 23.1R1 リリース以降、J-Web ではデフォルト プロファイルは非推奨となりました。

  • VPN > IPsec VPN >グローバル設定>リモート アクセス VPN の下でデフォルト プロファイルが構成されている場合、 フィールドに設定された値が表示されます。

接続モード

リストから以下のいずれかのオプションを選択して、Juniper Secure Connectクライアント接続を確立します。

  • 手動 —ログインするたびに VPN トンネルに手動で接続する必要があります。

  • 常時— ログインするたびに、自動的に VPN トンネルに接続されます。

デフォルトの接続モードは手動です。

SSL VPN

Juniper Secure ConnectクライアントからSRXシリーズファイアウォールへのSSL VPN接続を確立するには、このオプションを有効にします。

デフォルトでは、このオプションは有効になっています。

メモ:

これは、IPsec ポートに到達できない場合のフォールバック オプションです。

バイオメトリクス認証

このオプションを有効にして、固有の設定された方法を使用してクライアント システムを認証します。

クライアント システムで接続すると、認証プロンプトが表示されます。VPN 接続は、 Windows Hello 用に構成された方法(フィンガープリント認識、顔認識、PIN 入力など)を介して、認証に成功した後にのみ開始されます。

バイオメトリクス認証オプションが有効になっている場合、クライアントシステムでWindows Helloを事前に設定する必要があります。

デッドピア検出

デッドピア検出(DPD)オプションを有効にすることで、Juniper Secure ConnectクライアントがSRXシリーズファイアウォールに到達可能であるかどうかを検出できます。

このオプションを無効にすると、SRXシリーズファイアウォール接続の到達可能性が回復するまで、Juniper Secure Connectクライアントが検出できるようになります。

このオプションは、デフォルトで有効になっています。

DPD 間隔

ピアがデッドピア検出(DPD)リクエストパケットを送信する前に、宛先ピアからのトラフィックを待機する時間を入力します。範囲は 2~60 秒で、デフォルトは 60 秒です。

DPD しきい値

ピアが利用できないと見なされる前に、デッドピア検出(DPD)要求の最大数を入力します。範囲は 1~5 で、デフォルトは 5 です。

証明 書

証明書を有効にして、Secure Client Connectで証明書オプションを設定します。

メモ:

このオプションは、EAP-TLS(証明書)認証方法を選択した場合にのみ使用できます。

期限切れに関する警告

Secure Connectクライアントで証明書の期限切れ警告を表示するには、このオプションを有効にします。

このオプションは、デフォルトで有効になっています。

メモ:

このオプションは、証明書を有効にした場合にのみ使用できます。

警告間隔

警告を表示する間隔(日)を入力します。

範囲は1~90です。デフォルト値は60です。

メモ:

このオプションは、証明書を有効にした場合にのみ使用できます。

接続当たりのピン req

このオプションを有効にして、非常に接続の証明書ピンを入力します。

このオプションは、デフォルトで有効になっています。

メモ:

このオプションは、証明書を有効にした場合にのみ使用できます。

ユーザー名の保存

Junos OS リリース 22.1R1 以降、このオプションを有効にしてリモート ユーザー名を保存できるようになりました。

パスワードの保存

Junos OS リリース 22.1R1 以降では、このオプションを有効にして、リモート ユーザー名とパスワードの両方を保存できます。

Windowsログオン

Windows システムにログオンする前に、ユーザーが Windows ドメインに安全にログオンできるようにする場合は、このオプションを有効にします。このクライアントは、企業ネットワークへの VPN 接続を確立した後、認証情報サービス プロバイダを使用してドメイン ログオンをサポートします。

ドメイン名

ユーザーマシンがログに記録するシステムドメイン名を入力します。

モード

リストから次のいずれかのオプションを選択して、Windows ドメインにログオンします。

  • 手動 — Windows ログオン画面でログオン データを手動で入力する必要があります。

  • 自動 — クライアント ソフトウェアは、ここで入力したデータを操作なしで Microsoft ログオン インターフェイス(認証情報プロバイダ)に転送します。

ログアウト時の切断

システムが休止モードまたはスタンバイ モードに切り替えたときに、このオプションを有効にして接続をシャットダウンします。システムが休止状態またはスタンバイ モードから再開すると、接続を再確立する必要があります。

ログアウト時のフラッシュ認定資格

キャッシュからユーザー名とパスワードを削除するには、このオプションを有効にします。ユーザー名とパスワードを再入力する必要があります。

リードタイム

ネットワークログオンとドメインログオンの間の時間を初期化するためのリードタイムを入力します。

接続を設定した後は、ここで設定した初期化時間が経過した後にのみ Windows ログオンが実行されます。

EAP 認証

このオプションを有効にすると、資格情報プロバイダーで宛先ダイアログが表示される前に EAP 認証を実行できます。次に、後続のダイヤルインに EAP が必要かどうかに関係なく、システムが必要な PIN を要求します。

このオプションが無効になっている場合、EAP 認証は宛先選択後に実行されます。

自動ダイアログを開く

このオプションを有効にして、リモート ドメインへの接続確立のためにダイアログが自動的に開くかどうかを選択します。

このオプションが無効になっている場合、クライアントのパスワードと PIN は Windows ログオン後にのみ照会されます。

マルチデバイスアクセス
メモ:

Junos OS リリース 23.2R1 以降、J-Web はリモート ユーザー ページのマルチデバイス アクセス オプションをサポートしています。このオプションは、SRX300シリーズのファイアウォールおよびSRX550HMファイアウォールではサポートされていません。

複数のデバイスからユーザーを接続するには、このオプションを有効にします。

メモ:

マルチデバイス アクセスを使用するには、SRX シリーズ ファイアウォールに junos-ike パッケージをインストールする必要があります。SRX シリーズ ファイアウォールで次のコマンドを実行し、junos-ike パッケージをインストールします。

request system software add optional: //junos-ike.tgz
アプリケーションバイパス

このオプションを有効にして、VPNトンネルをバイパスできるアプリケーション、ドメイン、またはその両方を設定します。グリッド ビューで、構成済みのアプリケーション バイパス プロファイルを選択できます。

新しいアプリケーションバイパス条件を追加するには、

  1. [+] アイコンをクリックします。

  2. 以下の詳細を入力します。

    • 名前 — 条件の名前を入力します。

    • 説明 — アプリケーションバイパス条件の説明を入力します。

    • プロトコル—リストから利用可能なプロトコルを選択します。以下のオプションを利用できます。

      • TCP & UDP—TCPとUDPの両方のトラフィックをバイパスします。

      • TCP —TCPトラフィックのみをバイパスします。

      • UDP—UDP トラフィックのみをバイパスします。

      デフォルトでは、TCP と UDP が選択されます。

    • [ドメイン タイプ] — リストから使用可能なドメイン タイプを選択します。以下のオプションを利用できます。

      • 含む — すべてのドメイン名(abc.com など)。

      • FQDN — ドメイン名には、完全修飾ドメイン名(www.abc.com など)が含まれます。

      • ワイルドカード — ドメイン名にはサブドメイン(.abc.com など)が含まれます。

        ワイルドカードを選択すると、デフォルトでドメイン値フィールドに「」が事前設定されます。

    • ドメイン値—VPNトンネルをバイパスするドメイン名を入力します。

  3. ティック アイコンをクリックして変更を保存し、アプリケーション バイパス条件を作成します。 [X ] をクリックして破棄します。

  4. グリッドの上にある編集アイコンをクリックしてアプリケーションバイパス条件を編集し、削除アイコンをクリックしてアプリケーションバイパス条件を削除します。

    メモ:

    リモート ユーザーを編集する場合、アプリケーション バイパスをオフにすると、リモート ユーザーに基づく構成済みのアプリケーション バイパス条件が削除されます。

コンプライアンス
メモ:

Junos OSリリース23.2R1以降、J-Webはリモートユーザーページのコンプライアンスオプションをサポートしています。このオプションは、SRX300シリーズのファイアウォールおよびSRX550HMファイアウォールではサポートされていません。

リストからコンプライアンス ルールを選択します。このルールは、SRX シリーズ ファイアウォールによって検証され、ユーザーがログインする前に VPN トンネルを確立します。

新しいコンプライアンス ルールを作成するには、[ 作成] をクリックします。[プレログオンコンプライアンスの作成] ページが表示されます。フィールド情報については、「 プレログオンコンプライアンスの作成」を参照してください。
表 3:ローカル ゲートウェイ ページのフィールド

フィールド

アクション

ゲートウェイが NAT の背後にある

ローカル ゲートウェイが NAT デバイスの背後にある場合は、このオプションを有効にします。

NAT IP アドレス

SRX シリーズ ファイアウォールのパブリック(NAT)IP アドレスを入力します。

メモ:

このオプションは、 ゲートウェイが NAT の背後にある 場合にのみ使用できます。NATデバイスを参照するようにIPv4アドレスを設定できます。

外部インターフェイス

クライアントが接続するリストから発信インターフェイスを選択します。

指定されたインターフェイスに複数のIPv4アドレスが設定されている場合、このリストには利用可能なすべてのIPアドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。

接続プロファイル

これは必須フィールドです。FQDN または FQDN/レルムの形式で接続プロファイルを入力します。

接続プロファイルは任意のストリングにすることができ、ピリオドおよびスラッシュを持つことができます。最大 255 文字。

IKE IDは、接続プロファイルから自動的に取得されます。

メモ:

  • Junos OS 23.1R1 リリース以降、IKE ID は接続プロファイルを使用して自動的に取得されます。システム ホスト名が構成されている場合、IKE ID は <configured-hostname>@connection-profile として構成されます。それ以外の場合は no-config-hostname@connection-profile になります。接続プロファイルにレルム(/時間)がある場合、IKE ID を形成している間、「/」は「.」に置き換えられます。

  • リモートアクセスプロファイル名にドット(.)が含まれていない既存のVPNの場合、接続プロファイルはデフォルトプロファイルの場合は外部IP、デフォルト以外のプロファイルの場合は外部IP/VPN-Nameとして表示されます。既存のVPNを更新すると、デフォルトプロファイル名が接続プロファイル値で更新されます。

  • 接続プロファイルの値を変更した場合、IKE IDは自動的に更新されます。

トンネル インターフェイス

接続するクライアントのリストからインターフェイスを選択します。

[ 追加] をクリックして新しいインターフェイスを追加します。[トンネル インターフェイスの作成] ページが表示されます。新しいトンネル インターフェイスの作成の詳細については、 表 4 を参照してください。

選択したトンネル インターフェイスを編集するには、[ 編集 ] をクリックします。

事前共有キー

事前共有キーの以下の値のいずれかを入力します。

  • asciiテキスト — ASCIIテキストキー。

  • 16 進 — 16 進キー。

メモ:

このオプションは、認証方法が事前共有キーの場合に使用できます。

ローカル証明書

リストからローカル証明書を選択します。

ローカル証明書は、RSA証明書のみを一覧表示します。

メモ:

このオプションは、EAP-TLS(証明書)認証方法を選択した場合にのみ使用できます。

Junos OS 23.1R1リリース以降、すべてのデバイス証明書がローカル証明書に表示されます。たとえば、暗号化と ACME 証明書です。デバイス証明書の詳細については、「 デバイス証明書の作成」を参照してください。

ユーザー認証

このフィールドは必須です。リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。

[ 追加] をクリックして新しいプロファイルを作成します。新しいアクセス プロファイルの作成の詳細については、「 アクセス プロファイル の追加」を参照してください。

SSL VPN プロファイル

リモート アクセス接続の終端に使用する SSL VPN プロファイルをリストから選択します。

新しい SSL VPN プロファイルを作成するには、以下の手順に示します。

  1. [ 追加] をクリックします。

  2. 以下の詳細を入力します。

    • 名前 — SSL VPN プロファイルの名前を入力します。

    • ロギング —このオプションを有効にして、SSL VPN 用にログを記録します。

    • SSL 終端プロファイル — リストから SSL 終端プロファイルを選択します。

      新しい SSL 終端プロファイルを追加するには、以下の手順に示します。

      1. [ 追加] をクリックします。

        [SSL 終端プロファイルの作成] ページが表示されます。

      2. 以下の詳細を入力します。

        • 名前 — SSL 終端プロファイルの名前を入力します。

        • サーバー証明書 — リストからサーバー証明書を選択します。

          証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の 追加」を参照してください。

          証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書の インポート」を参照してください。

        • [ OK] をクリックします

      3. [ OK] をクリックします

  3. [ OK] をクリックします

ソース NAT トラフィック

このオプションは、デフォルトで有効になっています。

Juniper Secure Connectクライアントからのトラフィックはすべて、デフォルトで選択されたインターフェイスにNATedされます。

無効にした場合、リターン トラフィックを正しく処理するために、SRX シリーズ ファイアウォールを指し示すネットワークからのルートがあることを確認する必要があります。

インターフェイス

ソース NAT トラフィックが通過するインターフェイスをリストから選択します。

保護されたネットワーク

[ +] をクリックします。[保護されたネットワークの作成] ページが表示されます。
保護されたネットワークの構築

ゾーン

ファイアウォール ポリシーのソース ゾーンとして使用するセキュリティ ゾーンを一覧から選択します。

グローバルアドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして選択した列に移動します。

[ 追加] をクリックして、クライアントが接続できるネットワークを選択します。

[グローバル アドレスの作成] ページが表示されます。フィールドの詳細については、 表 5 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[保護されたネットワークの編集] ページが編集可能なフィールドとともに表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップします。

保護されたネットワークを削除するには、[ はい ] をクリックします。
表 4: [トンネル インターフェイスの作成] ページのフィールド

フィールド

アクション

インターフェイスユニット

論理ユニット番号を入力します。

説明

論理インターフェイスの説明を入力します。

ゾーン

リストからゾーンを選択して、トンネルインターフェイスに追加します。

このゾーンは、ファイアウォールポリシーの自動作成に使用されます。

[ 追加] をクリックして新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK] をクリックします

ルーティング インスタンス

リストからルーティング インスタンスを選択します。

メモ:

デフォルトのルーティングインスタンスであるプライマリは、論理システム内のメインinet.0ルーティングテーブルを指します。
表 5:グローバルアドレスの作成ページのフィールド

フィールド

アクション

名前

グローバルアドレスの名前を入力します。名前は、英数字で始まる必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができる一意の文字列でなければなりません。スペースは使用できません。最大63文字。

IP タイプ

[ IPv4] を選択します
IPv4

IPv4 アドレス

有効な IPv4 アドレスを入力します。

サブネット

IPv4 アドレスのサブネットを入力します。
表 6:IKE および IPsec 設定

フィールド

アクション
IKE 設定
メモ:

以下のパラメーターは自動的に生成され、J-Web UI には表示されません。

  • 認証方法が事前共有キーの場合、IKEバージョンはv1、ike-user-typeは shared-ike-id、モードはアグレッシブです。

  • 認証方法が証明書ベースの場合、IKEバージョンはv2、ike-user-typeは shared-ike-id、モードはメインです。

  • Junos OSリリース23.2R1以降、ike-userタイプはグループike-idです。これは、マルチデバイスアクセスを有効にするのに役立ちます。既存のVPNを編集して保存して、グループike-idに変換できます。

    これは、SRX300シリーズのファイアウォールおよびSRX550HMファイアウォールではサポートされていません。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は AES-CBC 256 ビットです。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットです。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。

ライフタイム秒

IKEセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。

デフォルト値は28,800秒です。範囲:180~86,400秒。

デッドピア検出

このオプションを有効にすると、ピアへの発信 IPsec トラフィックの有無に関係なく、デッド ピア検出要求を送信できます。

DPD モード

リストからオプションのいずれかを選択します。

  • 最適化 - 送信トラフィックがあり、受信データトラフィックがない場合にのみプローブを送信する - RFC3706(デフォルトモード)。

  • probe-idle-tunnel—最適化モードと同じ方法でプローブを送信し、送信および受信データトラフィックがない場合にもプローブを送信します。

  • always-send—送受信するデータ トラフィックに関係なく、プローブを定期的に送信します。

DPD 間隔

デッドピア検出メッセージを送信する間隔(秒単位)を選択します。デフォルトの間隔は10秒です。範囲は2~60秒です。

DPD しきい値

障害時の DPD しきい値を設定するには、1~5 の数字を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信数は5回です。
事前設定(オプション)

NAT-T

IPsecトラフィックがNATデバイスを通過する場合は、このオプションを有効にします。

NAT-T は IKE フェーズ 1 アルゴリズムで、2 台のゲートウェイ デバイス間で VPN 接続を確立する際に使用されます。このアルゴリズムでは、SRX シリーズ ファイアウォールの 1 つ前に NAT デバイスがあります。

NAT キープアライブ

適切なキープアライブ間隔を秒単位で選択します。範囲:1~300。

VPNが長時間非アクティブであることが予想される場合は、キープアライブ値を設定して人工トラフィックを生成し、NATデバイスでセッションをアクティブに維持することができます。

IKE 接続制限

VPN プロファイルがサポートする同時接続数を入力します。

範囲は1~4294967295です。

最大接続数に達すると、IPsec VPNへのアクセスを試みるリモートアクセスユーザー(VPN)エンドポイントはインターネット鍵交換(IKE)ネゴシエーションを開始できません。

IKEv2 フラグメント化

このオプションは、デフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージをより小さなメッセージに分割して、IP レベルでフラグメント化を発生させないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われ、各フラグメントが個別に暗号化および認証されます。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。

IKEv2 フラグメント サイズ

IKEv2 メッセージがフラグメントに分割される前に、バイト単位で最大サイズを選択します。

サイズはIPv4メッセージに適用されます。範囲: 570~1320 バイト。

デフォルト値は576バイトです。

メモ:

このオプションは、認証方法が Certificated Based の場合に使用できます。
IPsec 設定
メモ:

認証方法は事前共有キーまたは証明書ベースであり、プロトコルをESPとして自動的に生成します。

暗号化アルゴリズム

暗号化方法を選択します。デフォルト値は AES-GCM 256 ビットです。

認証アルゴリズム

リストから IPsec 認証アルゴリズムを選択します。例えば、HMAC-SHA-256-128 です。

メモ:

このオプションは、暗号化アルゴリズムが gcm ではない場合に利用できます。

完全転送機密保持

リストから完全転送機密保持(PFS)を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値は group19 です。

PFS は、以前の鍵とは独立して、新しい暗号化キーを生成します。グループの番号が大きいほどセキュリティは向上しますが、処理時間は長くなります。

メモ:

group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートしています。

ライフタイム秒

IPsec セキュリティ アソシエーション(SA)のライフタイム(秒単位)を選択します。SAが期限切れになると、新しいSAおよび SPI(セキュリティパラメーターインデックス)または終了したインデックスに置き換えられます。デフォルトは3,600秒です。範囲:180~86,400秒。

ライフタイムキロバイト

IPsec SAのライフタイム(キロバイト)を選択します。デフォルトは256kbです。範囲:64~4294967294。
高度な設定

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた一連の番号を使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを適用します。

IPsec メカニズムでエラーが発生し、パケットが順序外れ、適切な機能を妨げる場合は、アンチリプレイを無効にします。

インストール間隔

デバイスにキー更新されたアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1~10秒の値を選択します。

アイドル時間

アイドル時間の間隔を選択します。トラフィックが受信されない場合、セッションとそれに対応する変換は一定時間後にタイムアウトします。範囲は60~999999秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットをどのように処理するかを選択します。

  • clear — 外側ヘッダーからの DF ビットをクリア(無効)します。これはデフォルトです。

  • copy — DF ビットを外側ヘッダーにコピーします。

  • set — 外側ヘッダーの DF ビットを設定(有効)します。

外部 DSCP のコピー

このオプションは、デフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化サービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 暗号化解除後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。

関連ドキュメント