リモートアクセスVPNの作成—NCP専用クライアント
現在地: ネットワーク> VPN > IPsec VPN
NCP専用リモートアクセスクライアントは、ジュニパーSRXシリーズゲートウェイ向けNCP専用リモートアクセスソリューションの一部です。VPNクライアントは、NCP専用リモートアクセス管理でのみ使用できます。NCP専用クライアントを使用すると、SRXシリーズゲートウェイとの接続時に、どこからでもセキュアなIPsecベースのデータリンクを確立できます。
ジュニパーのセキュアコネクト用のリモートアクセスVPNを作成するには:
フィールド |
アクション |
|---|---|
名前 |
リモートアクセス接続の名前を入力します。この名前は、NCP専用クライアントにエンドユーザー接続名として表示されます。 |
説明 |
説明を入力します。この説明は、IKEおよびIPsecの提案、ポリシー、リモートアクセスプロファイル、クライアント設定、NATルールセットに使用されます。 編集中に、IPsecポリシーの説明が表示されます。IPsecポリシーとリモートアクセスプロファイルの説明が更新されます。 |
ルーティングモード |
このオプションは、リモートアクセスでは無効になっています。 デフォルトモードはトラフィックセレクター(自動ルート挿入)です。 |
認証方法 |
リストから、デバイスがInternet Key Exchange(IKE)メッセージのソースを認証するために使用する認証方法を選択します。
|
ファイアウォールポリシーの自動作成 |
はいを選択すると、内部ゾーンとトンネルインターフェイスゾーンの間にファイアウォールポリシーが自動的に作成され、ローカル保護ネットワークを送信元アドレスとして、リモート保護ネットワークを宛先アドレスとして使用します。 別のファイアウォールポリシーが作成されます。 いい えを選択した場合、ファイアウォールポリシーオプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。
注:
VPNワークフローでファイアウォールポリシーを自動作成しない場合、ローカルゲートウェイとリモートゲートウェイの両方で動的ルーティング用に保護されたネットワークは非表示になります。 |
リモートユーザー |
トポロジーにリモートユーザーアイコンを表示します。 このオプションは無効になっています。 |
ローカルゲートウェイ |
トポロジーにローカルゲートウェイアイコンを表示します。アイコンをクリックしてローカルゲートウェイを設定します。 フィールドの詳細については、 表2を参照してください。 |
IKEとIPsecの設定 |
カスタムIKEまたはIPsecプロポーザル、および推奨アルゴリズムまたは値を使用してカスタムIPsecプロポーザルを設定します。 フィールドの詳細については、 表5をご覧ください。
注:
|
フィールド |
アクション |
|---|---|
ゲートウェイは NAT の背後にあります |
ローカルゲートウェイがNATデバイスの背後にある場合、このオプションを有効にします。 |
NAT IPアドレス |
SRXシリーズファイアウォールのパブリック(NAT)IPアドレスを入力します。
注:
このオプションは、 ゲートウェイが NAT の背後にある ことが有効になっている場合にのみ使用できます。NATデバイスを参照するようにIPv4アドレスを設定できます。 |
IKE ID |
このフィールドは必須です。IKE IDを user@example.com の形式で入力します。 |
外部インターフェース |
リストから、クライアントが接続する発信インターフェイスを選択します。 指定されたインターフェイスに複数のIPv4アドレスが設定されている場合、リストには使用可能なすべてのIPアドレスが含まれます。選択したIPアドレスは、IKEゲートウェイの下のローカルアドレスとして設定されます。 |
トンネルインターフェース |
リストからクライアントが接続するインターフェイスを選択します。 追加 をクリックして、 新しいインターフェースを追加します。トンネルインターフェイスの作成ページが表示されます。新しいトンネルインターフェイスの作成の詳細については、 表3を参照してください。 編集をクリックして、選択したトンネルインターフェイスを編集します。 |
事前共有キー |
事前共有キーの以下の値のいずれかを入力します。
注:
このオプションは、認証方法が事前共有キーである場合に使用できます。 |
ローカル証明書 |
リストからローカル証明書を選択します。 ローカル証明書には、RSA証明書のみが表示されます。 証明書を追加するには、 追加をクリックします。デバイス証明書の追加について詳しくは、 証明書ページについてを参照してください。
注:
このオプションは、認証方法が認定ベースである場合に使用できます。 |
信頼できるCA/グループ |
リストから信頼できる認証機関/グループプロファイルを選択します。 CAプロファイルを追加するには、 CAプロファイルの追加をクリックします。CAプロファイルの追加の詳細については、「 CA証明書の追加」を参照してください。
注:
このオプションは、認証方法が認定ベースである場合に使用できます。 |
ユーザー認証 |
このフィールドは必須です。リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。 追加 をクリックして、 新しいプロファイルを作成します。新しいアクセスプロファイルの作成の詳細については、「 アクセスプロファイルの追加」を参照してください。 |
SSL VPNプロファイル |
リストから、リモートアクセス接続の終了に使用するSSL VPNプロファイルを選択します。 新しいSSL VPNプロファイルを作成するには:
|
送信元NATトラフィック |
このオプションはデフォルトで有効になっています。 Juniper Secure Connectクライアントからのすべてのトラフィックは、デフォルトで選択したインターフェイスにNATされます。 無効にした場合、リターントラフィックを正しく処理するために、ネットワークからのルートがSRXシリーズファイアウォールを指していることを確認する必要があります。 |
インターフェース |
リストから、送信元 NAT トラフィックが通過するインターフェイスを選択します。 |
保護されたネットワーク |
+をクリックします。保護されたネットワークの作成ページが表示されます。 |
| 保護されたネットワークの作成 | |
ゾーン |
ファイアウォールポリシーの送信元ゾーンとして使用するセキュリティゾーンをリストから選択します。 |
グローバルアドレス |
使用可能な列からアドレスを選択し、右矢印をクリックして選択した列に移動します。 追加 をクリックして、 クライアントが接続できるネットワークを選択します。 グローバルアドレスの作成ページが表示されます。フィールドの詳細については、 表4を参照してください。 |
編集 |
編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。 編集可能なフィールドがある保護されたネットワークの編集ページが表示されます。 |
削除 |
編集する保護されたネットワークを選択し、削除アイコンをクリックします。 確認メッセージがポップアップ表示されます。 保護されたネットワークを削除するには、 はい をクリックします。 |
フィールド |
アクション |
|---|---|
インターフェースユニット |
論理ユニット番号を入力します。 |
説明 |
論理インターフェイスの説明を入力します。 |
ゾーン |
リストからゾーンを選択して、トンネルインターフェイスに追加します。 このゾーンは、ファイアウォールポリシーの自動作成に使用されます。 追加をクリックして、新しいゾーンを追加します。ゾーン名と説明を入力し、セキュリティゾーンの作成ページでOKをクリックします。 |
ルーティングインスタンス |
リストからルーティングインスタンスを選択します。
注:
デフォルトのルーティングインスタンスであるプライマリは、論理システムのメインinet.0ルーティングテーブルを参照します。 |
フィールド |
アクション |
|---|---|
名前 |
グローバルアドレスの名前を入力します。名前は英数字で始まる必要がある一意の文字列である必要があり、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。スペースは使用できません。最大63文字です。 |
IPタイプ |
[IPv4] を選択します。 |
| IPv4 | |
IPv4アドレス |
有効なIPv4アドレスを入力してください。 |
サブネット |
IPv4アドレスのサブネットを入力します。 |
フィールド |
アクション |
|---|---|
| IKE設定
注:
以下のパラメーターは自動的に生成され、J-Web UIには表示されません。
|
|
| 暗号化アルゴリズム |
リストから適切な暗号化メカニズムを選択します。 デフォルト値はAES-CBC 256ビットです。 |
| 認証アルゴリズム |
リストから認証アルゴリズムを選択します。例えば、SHA 256ビットです。
注:
Junos OS 23.4R1リリース以降、J-Webはjunos-ikeパッケージがインストールされたデバイスに対してSHA 512ビット認証アルゴリズムをサポートします。 |
| DHグループ |
DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切なDHグループを選択します。デフォルト値はgroup19です。
注:
Junos OS 23.4R1リリース以降、J-Webはjunos-ikeパッケージがインストールされたデバイスのグループ15、グループ16、およびグループ21のDHグループをサポートします。 |
| ライフタイム秒 |
IKEセキュリティアソシエーション(SA)の有効期間(秒単位)を選択します。 デフォルト値は28,800秒です。範囲:180〜86,400秒。 |
| デッドピアの検出 |
このオプションを有効にすると、ピアへの発信IPsecトラフィックが存在するかどうかに関係なく、デッドピア検出リクエストが送信されます。 |
| DPDモード |
リストからオプションの1つを選択します。
|
| DPD間隔 |
デッドピア検出メッセージを送信する間隔(秒)を選択します。デフォルトの間隔は10秒です。範囲は2〜60秒です。 |
| DPDしきい値 |
1から5までの数値を選択して、失敗DPDしきい値を設定します。 ピアから応答がない場合にDPDメッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は5回です。 |
| 高度な設定(オプション) | |
| NAT-T |
IPsecトラフィックがNATデバイスを通過するには、このオプションを有効にします。 NAT-T は、SRXシリーズファイアウォールの1つの前にNATデバイスがある場合、2つのゲートウェイデバイス間でNAT接続を確立しようとする場合に使用されるIKEフェーズ1アルゴリズムです。 |
| NATキープアライブ |
適切なキープアライブ間隔を秒単位で選択します。範囲:1〜300。 VPN の非アクティブ期間が長期間続くことが予想される場合は、キープアライブ値を設定して人工的なトラフィックを生成し、NAT デバイス上でセッションのアクティブを維持できます。 |
| IKE接続制限 |
VPNプロファイルがサポートする同時接続の数を入力します。 範囲は 1 から 4294967295 です。 最大接続数に達すると、IPsec VPNにアクセスしようとするリモートアクセスユーザー(VPN)エンドポイントは、Internet Key Exchange(IKE)ネゴシエーションを開始できなくなります。 |
| IKEv2フラグメント化 |
このオプションはデフォルトで有効になっています。IKEv2フラグメント化は、大きなIKEv2メッセージを小さなメッセージのセットに分割し、IPレベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは個別に暗号化および認証されます。
注:
このオプションは、認証方法が認定ベースである場合に使用できます。 |
| IKEv2フラグメントサイズ |
IKEv2メッセージがフラグメントに分割される前の最大サイズ(バイト単位)を選択します。 サイズはIPv4メッセージに適用されます。範囲:570〜1320バイト。 デフォルト値は576バイトです。
注:
このオプションは、認証方法が認定ベースである場合に使用できます。 |
| IPsec設定 | |
| 暗号化アルゴリズム |
暗号化方法を選択します。デフォルト値はAES-GCM 256ビットです。 |
| 認証アルゴリズム |
リストからIPsec認証アルゴリズムを選択します。例:HMAC-SHA-256-128。
注:
このオプションは、暗号化アルゴリズムがgcmでない場合に使用できます。
注:
Junos OS 23.4R1リリース以降、J-Webは、junos-ikeパッケージがインストールされたデバイスのHMAC-SHA 384およびHMAC-SHA 512認証アルゴリズムをサポートします。 |
| 完全転送機密保持 |
リストからPerfect Forward Secrecy(PFS)を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値はgroup19です。 PFSは、以前の鍵とは独立した新しい暗号化キーを生成します。グループ番号が高いほどセキュリティも高くなりますが、処理時間が長くなります。
注:
group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートします。
注:
Junos OS 23.4R1リリース以降、J-Webはjunos-ikeパッケージがインストールされたデバイスのグループ15、グループ16、およびグループ21のPFSをサポートします。 |
| ライフタイム秒 |
IPsecセキュリティアソシエーション(SA)の有効期間(秒単位)を選択します。SA の有効期限が切れると、新しい SA とセキュリティパラメーターインデックス(SPI)に置き換えられるか、終了します。デフォルトは3,600秒です。範囲:180〜86,400秒。 |
| ライフタイムキロバイト数 |
IPsec SA の有効期間(キロバイト単位)を選択します。デフォルトは256KBです。範囲:64〜4294967294。 |
| 高度な設定 | |
| リプレイ防止 |
IPsecは、IPsecパケットに組み込まれた一連の番号を使用してVPN攻撃から保護します。システムは同じシーケンス番号のパケットを受け入れません。 このオプションはデフォルトで有効になっています。アンチリプレイは、シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを実施します。 IPsecメカニズムにエラーがあり、その結果パケットの順序が乱れて適切な機能が妨げられる場合は、アンチリプレイを無効にします。 |
| インストール間隔 |
キー再生成されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。1から10までの値を選択します。 |
| アイドル時間 |
アイドル時間間隔を選択します。セッションとそれに対応する変換は、トラフィックを受信しない場合、一定時間後にタイムアウトします。範囲は60〜999999秒です。 |
| DFビット |
デバイスが外側ヘッダーのDon't Fragment(DF)ビットを処理する方法を選択します。
|
| 外部DSCPをコピー |
このオプションはデフォルトで有効になっています。これにより、外部IPヘッダー暗号化パケットから内部IPヘッダープレーンテキストメッセージにDSCP(差別化されたサービスコードポイント)(外部DSCP+ECN)をコピーできます。この機能を有効にすると、IPsec暗号化解除後、クリアテキストパケットが内部CoS(DSCP+ECN)ルールに従うことができるようになります。 |
| ICMPビッグパケット警告 |
このオプションを使用して、IPv6パケットのICMPパケットが大きすぎる通知の送信を有効または無効にします。
注:
このオプションは、junos-ikeパッケージがインストールされたデバイスでのみ使用できます。 |
| ESN |
IPsecが64ビットシーケンス番号を使用できるようにするには、これを有効にします。ESNが有効になっていない場合、デフォルトで32ビットのシーケンス番号が使用されます。アンチリプレイが無効になっている場合、ESNが有効になっていないことを確認します。
注:
このオプションは、junos-ikeパッケージがインストールされたデバイスでのみ使用できます。 |
| トンネルMTU |
IPsecトンネルの最大送信パケットサイズを入力します。 範囲:256〜9192。
注:
このオプションは、junos-ikeパッケージがインストールされたデバイスでのみ使用できます。 |