サイト間 VPN を作成する

名前

VPN の名前を入力します。

説明

説明を入力します。この説明は、IKE および IPsec のプロポーザルとポリシーに使用されます。編集中に、IPsecポリシーの説明が表示され、更新されます。

ルーティングモード

このVPNを関連付けるルーティングモードを選択します。

• トラフィックセレクター(自動ルート挿入)

• スタティックルーティング

• ダイナミック ルーティング – OSPF

• ダイナミックルーティング – BGP

J-Webは、トポロジーごとに関連するCLIを自動生成します。トラフィックセレクターはデフォルトのモードです。

認証方法

デバイスがインターネットキー交換(IKE)メッセージの送信元を認証するために使用する認証方法をリストから選択します。

• 証明書ベース - 証明書所有者の身元を確認する証明書であるデジタル署名のタイプ。

  以下は、証明書ベースの認証方法です。

  • rsa-signatures:暗号化とデジタル署名をサポートする公開キー アルゴリズムが使用されることを指定します。

  • dsa署名:デジタル署名アルゴリズム(DSA)が使用されることを指定します。

  • ecdsa-signatures-256:連邦情報処理標準(FIPS)デジタル署名標準(DSS)186-3 で指定されている、256 ビット楕円曲線 secp256r1 を使用する楕円曲線 DSA(ECDSA)を使用することを指定します。

  • ecdsa-signatures-384:FIPS DSS 186-3 で指定されている 384 ビット楕円曲線 secp384r1 を使用する ECDSA が使用されることを指定します。

  • ecdsa-signatures-521 - 521 ビット楕円曲線 secp521r1 を使用する ECDSA が使用されることを指定します。

    メモ：

    ecdsa-signatures-521はSRX5000 SPC3カードとjunos-ikeパッケージがインストールされたデバイスラインのみをサポートします。

• 事前共有キー(デフォルトの方法):認証時に、2 つのピア間で共有される秘密キーである事前共有キーを使用して、ピアを相互に識別することを指定します。各ピアに同じキーを設定する必要があります。これがデフォルトの方法です。

ファイアウォールポリシーの自動作成

[はい(Yes)] を選択すると、内部ゾーンとトンネル インターフェイス ゾーンの間にファイアウォール ポリシーが自動的に適用され、ローカル保護ネットワークは送信元アドレス、リモート保護ネットワークは宛先アドレスになります。

別のファイアウォールポリシーがビザ逆に作成されます。

[ いいえ] を選択した場合は、ファイアウォール ポリシーのオプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。

リモートゲートウェイ

トポロジー内のリモートゲートウェイアイコンを表示します。アイコンをクリックして、リモートゲートウェイを設定します。

ゲートウェイは、IPsec VPNピアでリモートピアを識別し、そのIPsec VPNに適切なパラメータを定義します。

フィールド情報については、 表 2 を参照してください。

ローカルゲートウェイ

トポロジー内のローカル ゲートウェイ アイコンを表示します。アイコンをクリックして、ローカルゲートウェイを設定します。

フィールド情報については、 表 4 を参照してください。

IKE および IPsec の設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で構成します。

フィールド情報については、 表 6 を参照してください。

ゲートウェイはNATの背後にある

有効にすると、構成された外部 IP アドレス(IPv4 または IPv6)が NAT デバイスの IP アドレスと呼ばれます。

IKE ID

リストからオプションを選択して、リモート ID を構成します。

ホスト名

リモート ホスト名を入力します。

IPv4アドレス

リモート IPv4 アドレスを入力します。

IPv6 アドレス

リモート IPv6 アドレスを入力します。

キー ID

キー ID を入力します。

メールアドレス

電子メール アドレスを入力します。

外部 IP アドレス

ピア IPv4 または IPv6 アドレスを入力します。最大 4 つのバックアップを含む 1 つのプライマリ ピア ネットワークを作成できます。

1 つの IPv4 または IPv6 アドレスを入力するか、最大 5 つの IP アドレスをカンマで区切って入力できます。

保護されたネットワーク

ルーティング モードを選択すると、すべてのグローバル アドレスが一覧表示されます。

[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。

ルーティングモードの場合:

• トラフィックセレクター—IPアドレスは、トラフィックセレクター設定でリモートIPとして使用されます。

• スタティックルーティング:

  • 選択したグローバルアドレスに対してスタティックルートが設定されます。

  • ローカル ゲートウェイのトンネル インターフェイス(st0.x)がネクストホップとして使用されます。

• ダイナミック ルーティング:デフォルト値は any です。特定のグローバルアドレスを選択することもできます。選択した値が、ファイアウォールポリシーの宛先アドレスとして設定されます。

追加

[+] をクリックします。

[グローバル アドレスの作成] ページが表示されます。フィールド情報については、 表 3 を参照してください。

名前

英数字で始まり、コロン、ピリオド、ダッシュ、アンダースコアを含む一意の文字列を入力します。スペースは使用できません。最大 63 文字です。

IP タイプ

IPv4 または IPv6 を選択します。

IPv4

IPv4 アドレス:有効な IPv4 アドレスを入力します。

サブネット:IPv4 アドレスのサブネットを入力します。

IPv6

IPv6 アドレス:有効な IPv6 アドレスを入力します。

[サブネット プレフィックス(Subnet Prefix)]:ネットワーク範囲のサブネット マスクを入力します。入力すると、値が検証されます。

ゲートウェイはNATの背後にある

ローカルゲートウェイがNATデバイスの背後にある場合は、このオプションを有効にします。

IKE ID

リストからオプションを選択して、ローカル ID を構成します。 ゲートウェイが背後にある NAT が有効になっている場合、NAT デバイスを参照する IPv4 または IPv6 アドレスを設定できます。

ホスト名

ホスト名を入力します。

IPv4アドレス

IPv4 アドレスを入力します。

IPv6 アドレス

IPv6 アドレスを入力します。

キー ID

キー ID を入力します。

メールアドレス

電子メール アドレスを入力します。

外部インターフェイス

IKE ネゴシエーションの発信インターフェイスをリストから選択します。

指定したインターフェイスに複数の IP アドレスが設定されている場合、リストには使用可能なすべての IP アドレスが含まれます。選択した IP アドレスは、IKE ゲートウェイの下のローカル アドレスとして構成されます。

トンネル インターフェイス

トンネルインターフェイス(ルートベース VPN)にバインドするインターフェイスをリストから選択します。

[ Add ] をクリックして、新しいインターフェイスを追加します。トンネル インターフェイスの作成 ページは現われます。 表 5 を参照してください。

ルーター ID

ルーティング デバイスの IP アドレスを入力します。

エリアID

この VPN のトンネル インターフェイスを設定する必要があるエリア ID を 0 〜 4,294,967,295 の範囲で入力します。

トンネル インターフェイス パッシブ

通常のアクティブなIPチェックのトラフィックをバイパスするには、このオプションを有効にします。

Asn

ルーティングデバイスのAS番号を入力します。

NIC によって割り当てられた番号を使用します。範囲: 1 から 4,294,967,295 (232 – 1) (4 バイト AS 番号のプレーン番号形式)。

ネイバー ID

隣接ルーターのIPアドレスを入力します。

BGP グループ タイプ

リストから BGP ピアグループのタイプを選択します。

• 外部 - AS間BGPルーティングを許可する外部グループ。

• 内部 - AS内BGPルーティングを許可する内部グループ。

ピアASN

ネイバー(ピア)自律システム(AS)番号を入力します。

インポートポリシー

BGPからルーティング・テーブルにインポートするルートのルーティング・ポリシーをリストから1つ以上選択します。

[ すべてクリア(Clear All )] をクリックして、選択したポリシーをクリアします。

エクスポートポリシー

ルーティング・テーブルからBGPにエクスポートするルートに対するポリシーをリストから1つ以上選択します。

[ すべてクリア(Clear All )] をクリックして、選択したポリシーをクリアします。

ローカル証明書

ローカル デバイスに複数の証明書が読み込まれている場合は、ローカル証明書識別子を選択します。

[ 追加 ] をクリックして、新しい証明書を生成します。[ インポート ] をクリックして、デバイス証明書をインポートします。詳細については、「 デバイス証明書の管理」を参照してください。

信頼できる CA/グループ

リストから認証局(CA)プロファイルを選択して、ローカル証明書に関連付けます。

[ 追加 ] をクリックして、新しい CA プロファイルを追加します。詳細については、「 信頼された証明機関の管理」を参照してください。

事前共有キー

事前共有キーの値を入力します。キーは次のいずれかです。

• ASCII テキスト - ASCII テキスト キー。

• 16 進数 - 16 進数のキー。

保護されたネットワーク

[+] をクリックします。保護されたネットワークの作成 ページが表示されます。

ゾーン

ファイアウォールポリシーでソースゾーンとして使用するセキュリティゾーンをリストから選択します。

グローバルアドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。

追加

[ 追加] をクリックします。

[グローバル アドレスの作成] ページが表示されます。 表 3 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[グローバル アドレスの編集] ページが表示され、編集可能なフィールドが表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップします。

[ はい ] をクリックして削除します。

インターフェースユニット

論理ユニット番号を入力します。

説明

論理インターフェイスの説明を入力します。

ゾーン

ファイアウォールポリシーでソースゾーンとして使用する論理インターフェイスのゾーンをリストから選択します。

[ 追加 ] をクリックして、新しいゾーンを追加します。ゾーン名と説明を入力し、[セキュリティ ゾーンの作成] ページで [OK ] をクリックします。

ルーティングインスタンス

リストからルーティングインスタンスを選択します。

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネットプレフィックス

IPv4 アドレスのサブネット マスクを入力します。

IPv6 アドレス

有効な IPv6 アドレスを入力します。

サブネットプレフィックス

ネットワーク範囲のサブネット マスクを入力します。入力すると、値が検証されます。

IKE バージョン

IPsecの動的セキュリティアソシエーション(SA)をネゴシエートするために必要なIKEバージョン(v1またはv2)を選択します。

デフォルト値は v2 です。

IKE モード

リストからIKEポリシーモードを選択します。

• aggressive - メイン モードの半分のメッセージ数を取得し、ネゴシエーション能力が低く、ID 保護を提供しません。

• main—3つのピアツーピア交換で6つのメッセージを使用して、IKE SAを確立します。これらの 3 つのステップには、IKE SA ネゴシエーション、Diffie-Hellman 交換、ピアの認証が含まれます。ID 保護も提供します。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は aes-256-gcm です。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、hmac-md5-96 - 128 ビットのダイジェストを生成し、hmac-sha1-96 - 160 ビットのダイジェストを生成します。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値は group19 です。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間を選択します。デフォルト: 28,800 秒。範囲: 180 から 86,400 秒。

デッドピア検出

ピアに発信IPsecトラフィックがあるかどうかに関係なく、デッドピア検出要求を送信するには、このオプションを有効にします。

DPDモード

リストからいずれかのオプションを選択します。

• optimized:発信トラフィックがあり、着信データトラフィックがない場合にのみプローブを送信します-RFC3706(デフォルトモード)。

• probe-idle-tunnel—最適化モードと同じようにプローブを送信し、送受信データトラフィックがない場合にもプローブを送信します。

• always-send:送受信データトラフィックに関係なく、プローブを定期的に送信します。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。デフォルトの間隔は 10 秒です。範囲は 2 から 60 秒です。

DPDスレッショルド

1 から 5 までの数値を選択して、障害 DPD しきい値を設定します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回です。

一般的な IKE ID

ピアIKE IDを受け入れるには、このオプションを有効にします。

IKEv2 再認証

再認証の頻度を構成して、新しい IKEv2 再認証をトリガーします。

IKEv2 の再フラグメント化

このオプションはデフォルトで有効になっています。

IKEv2 再フラグメント サイズ

フラグメントに分割されるまでの IKEv2 メッセージの最大サイズをバイト単位で選択します。

このサイズは、IPv4 と IPv6 の両方のメッセージに適用されます。範囲: 570 から 1320 バイト。

デフォルト値は次のとおりです。

• IPv4 メッセージ - 576 バイト。

• IPv6 メッセージ - 1280 バイト

NAT-T

IPsecトラフィックがNATデバイスを通過するには、このオプションを有効にします。

NAT-TはIKEフェーズ1のアルゴリズムで、SRXシリーズファイアウォールの1つの前にNATデバイスがある場合に、2つのゲートウェイデバイス間にVPN接続を確立しようとするときに使用されます。

NAT キープ アライブ

適切なキープアライブ間隔を秒単位で選択します。範囲: 1 から 300。

VPNの非アクティブ状態が長期間続くことが予想される場合、キープアライブ値を設定して人工的なトラフィックを生成し、NATデバイス上でセッションをアクティブな状態に保つことができます。

プロトコル

リストからカプセル化セキュリティプロトコル(ESP)または認証ヘッダー(AH)プロトコルのいずれかを選択して、VPNを確立します。デフォルト値は ESP です。

暗号化アルゴリズム

暗号化方法を選択します。デフォルト値は aes-256-gcm です。

認証アルゴリズム

リストからIPsec認証アルゴリズムを選択します。たとえば、hmac-md5-96 - 128 ビットのダイジェストを生成し、hmac-sha1-96 - 160 ビットのダイジェストを生成します。

完全転送機密保持

リストから[完全転送機密保持(PFS)]を選択します。デバイスは、このメソッドを使用して暗号化キーを生成します。デフォルト値は group19 です。

PFS は、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは向上しますが、処理時間が長くなります。

ライフタイム秒

IPsecセキュリティアソシエーション(SA)のライフタイム(秒単位)を選択します。SA の有効期限が切れると、新しい SA および SPI(セキュリティ パラメーター インデックス)に置き換えられるか、終了します。デフォルトは 3,600 秒です。範囲: 180 から 86,400 秒。

ライフタイムキロバイト

IPsec SAのライフタイム(キロバイト単位)を選択します。デフォルトは 128kb です。範囲: 64 から 4294967294。

トンネルの確立

IPsec トンネルを確立するには、このオプションを有効にします。IKEは、VPNが設定され、設定変更がコミットされると、ただちにアクティブになります(デフォルト値)。

VPN モニター

宛先 IP アドレスで使用するには、このオプションを有効にします。

宛先 IP

ICMP(インターネット制御メッセージ プロトコル)ping の宛先を入力します。デバイスは、デフォルトでピアのゲートウェイ アドレスを使用します。

最適化

VPN オブジェクトに対してこのオプションを有効にします。有効にすると、SRXシリーズファイアウォールは、発信トラフィックがあり、設定されたピアからVPNトンネルを経由する着信トラフィックがない場合にのみ、ICMPエコーリクエスト(ping)を送信します。VPNトンネルを経由する着信トラフィックがある場合、SRXシリーズファイアウォールはトンネルがアクティブであるとみなし、ピアにpingを送信しません。

このオプションはデフォルトで無効になっています。

送信元インターフェイス

リストから ICMP リクエストの送信元インターフェイスを選択します。送信元インターフェイスが指定されていない場合、デバイスは自動的にローカル トンネル エンドポイント インターフェイスを使用します。

パスの検証

セキュアトンネル(st0)インターフェイスがアクティブになり、インターフェイスに関連付けられたルートがJunos OS転送テーブルにインストールされる前に、IPsecデータパスを検証するには、このオプションを有効にします。

このオプションはデフォルトで無効になっています。

宛先 IP

宛先 IP アドレスを入力します。NAT デバイスの背後にあるピア トンネル エンドポイントの元の未変換の IP アドレス。この IP アドレスは、NAT 変換された IP アドレスであってはなりません。このオプションは、ピア トンネルのエンドポイントが NAT デバイスの背後にある場合に必要です。ピアが ICMP 応答を生成できるように、パス検証 ICMP 要求がこの IP アドレスに送信されます。

パケット サイズ

st0インターフェイスが起動する前にIPsecデータパスを検証するために使用するパケットのサイズを入力します。範囲: 64 から 1350 バイト。デフォルト値は 64 バイトです。

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた番号のシーケンスを使用して VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションはデフォルトで有効になっています。アンチリプレイは、シーケンス番号を単に無視するのではなく、シーケンス番号をチェックしてチェックを強制します。

IPsec メカニズムにエラーがあり、その結果、パケットの順序が狂い、適切な機能が妨げられる場合は、アンチリプレイを無効にします。

インストール間隔

デバイスへのキー更新済みアウトバウンドセキュリティアソシエーション(SA)のインストールを許可する最大秒数を選択します。1 から 10 までの値を選択します。

アイドル時間

アイドル時間間隔を選択します。セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。範囲は 60 から 999999 秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を選択します。

• clear—外部ヘッダーからDFビットをクリア(ディセーブル)します。これがデフォルトです。

• copy - DF ビットを外部ヘッダーにコピーします。

• set - 外部ヘッダーの DF ビットを設定(有効化)します。

外部 DSCP のコピー

このオプションはデフォルトで有効になっています。これにより、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに、差別化されたサービス コード ポイント(DSCP)(外部 DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec 復号化後、クリア テキスト パケットが内部 CoS(DSCP+ECN)ルールに従うことができるようになります。