リモートアクセスVPN—NCP専用クライアントの作成
現在地: ネットワーク > VPN > IPsec VPN
NCP専用リモートアクセスクライアントは、ジュニパーSRXシリーズゲートウェイ向けのNCP専用リモートアクセスソリューションの一部です。VPN クライアントは、NCP 排他リモートアクセス管理でのみ使用できます。SRXシリーズゲートウェイとの接続時に、NCPエクスクルーシブクライアントを使用して、任意の場所から安全なIPsecベースのデータリンクを確立します。
Juniperセキュアコネクト用のリモートアクセスVPNを作成するには、次の手順に従います。
フィールド |
アクション |
---|---|
名前 |
リモート アクセス接続の名前を入力します。この名前は、NCP 専用クライアントにエンドユーザー接続名として表示されます。 |
説明 |
説明を入力します。この説明は、IKE および IPsec のプロポーザル、ポリシー、リモート アクセス プロファイル、クライアント構成、および NAT ルール セットに使用されます。 編集中に、IPsecポリシーの説明が表示されます。IPsec ポリシーとリモート アクセス プロファイルの説明が更新されます。 |
ルーティングモード |
このオプションは、リモート アクセスでは無効です。 デフォルト モードはトラフィック セレクター(自動ルート挿入)です。 |
認証方法 |
デバイスがインターネットキー交換(IKE)メッセージの送信元を認証するために使用する認証方法をリストから選択します。
|
ファイアウォールポリシーの自動作成 |
[はい(Yes)] を選択すると、内部ゾーンとトンネル インターフェイス ゾーンの間に、ローカル保護ネットワークを送信元アドレス、リモート保護ネットワークを宛先アドレスとするファイアウォール ポリシーが自動的に作成されます。 別のファイアウォールポリシーがビザ逆に作成されます。 [ いいえ] を選択した場合は、ファイアウォール ポリシーのオプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。
メモ:
VPN ワークフローでファイアウォールポリシーを自動作成しない場合、保護されたネットワークはローカルとリモートゲートウェイの両方で動的ルーティングに対して非表示になります。 |
リモートユーザー |
トポロジー内のリモート ユーザー アイコンを表示します。 このオプションは無効です。 |
ローカルゲートウェイ |
トポロジー内のローカル ゲートウェイ アイコンを表示します。アイコンをクリックして、ローカルゲートウェイを設定します。 フィールドについて詳しくは、 表 2 を参照してください。 |
IKE および IPsec の設定 |
カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で構成します。 フィールドについて詳しくは、 表 5 を参照してください。
メモ:
|
フィールド |
アクション |
---|---|
ゲートウェイはNATの背後にある |
ローカルゲートウェイがNATデバイスの背後にある場合は、このオプションを有効にします。 |
NAT IP アドレス |
SRXシリーズファイアウォールのパブリック(NAT)IPアドレスを入力します。
メモ:
このオプションは、[ ゲートウェイが背後にある] NAT が有効になっている場合にのみ使用できます。NAT デバイスを参照する IPv4 アドレスを設定できます。 |
IKE ID |
このフィールドは必須です。IKE ID を user@example.com の形式で入力します。 |
外部インターフェイス |
クライアントが接続する発信インターフェイスをリストから選択します。 指定したインターフェイスに複数の IPv4 アドレスが設定されている場合、リストには使用可能なすべての IP アドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。 |
トンネル インターフェイス |
クライアントが接続するインターフェイスをリストから選択します。 [ Add ] をクリックして、新しいインターフェイスを追加します。トンネル インターフェイスの作成 ページは現われます。新しいトンネル インターフェイスの作成の詳細については、 表 3 を参照してください。 [ Edit ] をクリックして、選択したトンネル インターフェイスを編集します。 |
事前共有キー |
事前共有キーの次のいずれかの値を入力します。
メモ:
このオプションは、認証方法が事前共有キーの場合に使用できます。 |
ローカル証明書 |
リストからローカル証明書を選択します。 ローカル証明書には、RSA 証明書のみが一覧表示されます。 証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、次を参照してください: デバイス証明書を追加する。 証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、次を参照してください: デバイス証明書をインポートする。
メモ:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
信頼できる CA/グループ |
リストから信頼できる認証局/グループプロファイルを選択します。 CA プロファイルを追加するには、[ CA プロファイルの追加] をクリックします。CA プロファイルの追加の詳細については、次を参照してください: 認証局プロファイルを追加する。
メモ:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
ユーザー認証 |
このフィールドは必須です。リモート アクセス VPN にアクセスするユーザーの認証に使用する認証プロファイルを一覧から選択します。 [ 追加 ] をクリックして、新しいプロファイルを作成します。新しいアクセス プロファイルの作成の詳細については、「 アクセス プロファイルの追加」を参照してください。 |
SSL VPN プロファイル |
リモート アクセス接続の終了に使用する SSL VPN プロファイルを一覧から選択します。 新しい SSL VPN プロファイルを作成するには、次の手順に従います。
|
送信元NATトラフィック |
このオプションはデフォルトで有効になっています。 Juniper Secure Connectクライアントからのすべてのトラフィックは、デフォルトで選択されたインターフェイスにNATされます。 無効にした場合、リターントラフィックを正しく処理するために、SRXシリーズファイアウォールを指すネットワークからのルートがあることを確認する必要があります。 |
インターフェイス |
送信元NATトラフィックが通過するインターフェイスをリストから選択します。 |
保護されたネットワーク |
[+] をクリックします。保護されたネットワークの作成 ページが表示されます。 |
保護されたネットワークの作成 | |
ゾーン |
ファイアウォールポリシーでソースゾーンとして使用するセキュリティゾーンをリストから選択します。 |
グローバルアドレス |
[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。 [ 追加 ] をクリックして、クライアントが接続できるネットワークを選択します。 [グローバル アドレスの作成] ページが表示されます。フィールドについて詳しくは、 表 4 を参照してください。 |
編集 |
編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。 [保護されたネットワークの編集] ページが表示され、編集可能なフィールドが表示されます。 |
削除 |
編集する保護されたネットワークを選択し、削除アイコンをクリックします。 確認メッセージがポップアップします。 [はい] をクリックして、保護されたネットワークを削除します。 |
フィールド |
アクション |
---|---|
インターフェースユニット |
論理ユニット番号を入力します。 |
説明 |
論理インターフェイスの説明を入力します。 |
ゾーン |
トンネルインターフェイスに追加するゾーンをリストから選択します。 このゾーンは、ファイアウォールポリシーの自動作成に使用されます。 [ 追加 ] をクリックして、新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK ] をクリックします。 |
ルーティングインスタンス |
リストからルーティングインスタンスを選択します。
メモ:
デフォルトのルーティングインスタンスであるプライマリは、論理システム内のメインinet.0ルーティングテーブルを参照します。 |
フィールド |
アクション |
---|---|
名前 |
グローバルアドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは使用できません。最大 63 文字です。 |
IP タイプ |
IPv4 を選択します。 |
IPv4 | |
IPv4アドレス |
有効な IPv4 アドレスを入力します。 |
サブネット |
IPv4 アドレスのサブネットを入力します。 |
フィールド |
アクション |
---|---|
IKE 設定
メモ:
以下のパラメータは自動的に生成され、J-Web UIには表示されません。
|
|
暗号化アルゴリズム |
リストから適切な暗号化メカニズムを選択します。 デフォルト値は AES-CBC 256 ビットです。 |
認証アルゴリズム |
リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットなどです。 |
DH グループ |
DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。 |
ライフタイム秒 |
IKE セキュリティ アソシエーション(SA)の有効期間(秒単位)を選択します。 デフォルト値は 28,800 秒です。範囲: 180 から 86,400 秒。 |
デッドピア検出 |
ピアに発信IPsecトラフィックがあるかどうかに関係なく、デッドピア検出要求を送信するには、このオプションを有効にします。 |
DPDモード |
リストからいずれかのオプションを選択します。
|
DPD間隔 |
デッドピア検出メッセージを送信する間隔(秒)を選択します。デフォルトの間隔は 10 秒です。範囲は 2 から 60 秒です。 |
DPDスレッショルド |
1 から 5 までの数値を選択して、障害 DPD しきい値を設定します。 これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回です。 |
アドバンス構成(オプション) | |
NAT-T |
IPsecトラフィックがNATデバイスを通過するには、このオプションを有効にします。 NAT-TはIKEフェーズ1のアルゴリズムで、SRXシリーズファイアウォールの1つの前にNATデバイスがある場合に、2つのゲートウェイデバイス間にVPN接続を確立しようとするときに使用されます。 |
NAT キープ アライブ |
適切なキープアライブ間隔を秒単位で選択します。範囲: 1 から 300。 VPNの非アクティブ状態が長期間続くことが予想される場合、キープアライブ値を設定して人工的なトラフィックを生成し、NATデバイス上でセッションをアクティブな状態に保つことができます。 |
IKE 接続制限 |
VPN プロファイルがサポートする同時接続の数を入力します。 範囲は 1 から 4294967295 です。 最大接続数に達すると、IPsec VPN にアクセスしようとするリモート アクセス ユーザー (VPN) エンドポイントは、IKE (インターネット キー交換) ネゴシエーションを開始できなくなります。 |
IKEv2 フラグメント化 |
このオプションはデフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは個別に暗号化および認証されます。
メモ:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
IKEv2 フラグメント サイズ |
フラグメントに分割されるまでの IKEv2 メッセージの最大サイズをバイト単位で選択します。 サイズは IPv4 メッセージに適用されます。範囲: 570 から 1320 バイト。 デフォルト値は 576 バイトです。
メモ:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
IPsec設定 | |
暗号化アルゴリズム |
暗号化方法を選択します。デフォルト値は AES-GCM 256 ビットです。 |
認証アルゴリズム |
リストからIPsec認証アルゴリズムを選択します。たとえば、HMAC-SHA-256-128 のようになります。
メモ:
このオプションは、暗号化アルゴリズムが gcm でない場合に使用できます。 |
完全転送機密保持 |
リストから[完全転送機密保持(PFS)]を選択します。デバイスは、このメソッドを使用して暗号化キーを生成します。デフォルト値は group19 です。 PFS は、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは向上しますが、処理時間が長くなります。
メモ:
group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000ラインのデバイスのみをサポートします。 |
ライフタイム秒 |
IPsecセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。SA の有効期限が切れると、新しい SA および SPI(セキュリティ パラメーター インデックス)に置き換えられるか、終了します。デフォルトは 3,600 秒です。範囲: 180 から 86,400 秒。 |
ライフタイムキロバイト |
IPsec SAのライフタイム(キロバイト単位)を選択します。デフォルトは 256kb です。範囲: 64 から 4294967294。 |
詳細設定 | |
アンチリプレイ |
IPsec は、IPsec パケットに組み込まれた番号のシーケンスを使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。 このオプションはデフォルトで有効になっています。アンチリプレイは、シーケンス番号を単に無視するのではなく、シーケンス番号をチェックしてチェックを強制します。 IPsec メカニズムにエラーがあり、その結果、パケットの順序が狂い、適切な機能が妨げられる場合は、アンチリプレイを無効にします。 |
インストール間隔 |
デバイスへのキー更新済みアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1 から 10 までの値を選択します。 |
アイドル時間 |
アイドル時間間隔を選択します。セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。範囲は 60 から 999999 秒です。 |
DF ビット |
デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を選択します。
|
外部 DSCP のコピー |
このオプションはデフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化されたサービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 復号化後、クリア テキスト パケットが内部 CoS(DSCP+ECN)ルールに従うことができるようになります。 |