Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモートアクセスVPNの作成—Juniper Secure Connect

You are here: ネットワーク > VPN > IPSec VPN.

Juniper Secure Connectは、ネットワークリソースにセキュアな接続を提供するジュニパーのクライアントベースのSSL-VPNソリューションです。

Juniper Secure Connectは、ユーザーがインターネットを使用して企業ネットワークやリソースにリモートで接続するためのセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択することで、優れた管理者とユーザーエクスペリエンスを提供します。

Juniper Secure Connect用のリモートアクセスVPNを作成するには:

  1. IPSec VPNページの右上にある [ Create VPN > Remote Access > Juniper Secure Connect ] を選択します。

    [Create Remote Access (Juniper Secure Connect)] ページが表示されます。

    手記:

    Junos OS リリース 23.2R1以降、Junos-ikeパッケージがすでにインストールされている場合、Juniper Secure Connect VPNを作成または編集する際、ike-user-typeはgroup-ike-idになります。これにより、マルチデバイスアクセスが可能になります。これは、SRX300シリーズのファイアウォールではサポートされていません。
  2. 表 1 から表 6 のガイドラインに従って設定を完了します。

    VPN接続がトポロジの灰色から青色の線に変わり、設定が完了したことを示します。

  3. 自動ポリシー作成オプションを選択した場合は、[ 保存(Save )] をクリックして、セキュアな接続 VPN の設定と関連するポリシーを完了します。

    変更を破棄する場合は、[ キャンセル] をクリックします。

表 1: [Create Remote Access (Juniper Secure Connect)] ページのフィールド

アクション

名前

リモート アクセス接続の名前を入力します。この名前は、Juniper Secure Connectクライアントでエンドユーザーのレルム名として表示されます。

形容

説明を入力します。この記述は、IKEとIPsecのプロポーザル、ポリシー、リモートアクセスプロファイル、クライアント構成、NAT ルールセットに使用されます。

編集中に、IPsecポリシーの説明が表示されます。IPsecポリシーとリモートアクセスプロファイルの説明が更新されます。

ルーティングモード

このオプションは、リモートアクセスでは無効です。

デフォルト モードはトラフィック セレクター(自動ルート挿入)です。

認証方法

デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。

  • EAP-MSCHAPv2(ユーザー名とパスワード):RADIUSサーバー(外部ユーザー認証用)によって検証されたユーザーアカウントの資格情報を使用して、ネットワークアクセスの認証を行います。

  • EAP-TLS(証明書)—EAP内のTLS公開キー証明書認証メカニズムを使用して、相互クライアント/サーバー認証およびサーバー/クライアント認証を提供します。EAP-TLS では、クライアントとサーバーの両方に、両方が信頼する認証局 (CA) によって署名されたデジタル証明書が割り当てられている必要があります。

    手記:

    Junos OS リリース 23.1R1 以降、EAP-TLS は > リモート ユーザJuniper Secure Connect使用できません。

  • 事前共有キー(ユーザー名とパスワード):2つのピア間で共有される秘密キーは、認証時にピアを相互に識別するために使用されます。

    手記:

    Junos OS リリース 23.2R1 以降、Juniper Secure Connect VPN を作成または編集する場合、ike-user-type は group-ike-id になります。これにより、マルチデバイスアクセスが可能になります。これは、SRX300シリーズのファイアウォールではサポートされていません。

ファイアウォールポリシーの自動作成

[はい(Yes)] を選択すると、内部ゾーンとトンネル インターフェイス ゾーンの間に、ローカルで保護されたネットワークが送信元アドレスとして、リモートで保護されたネットワークが宛先アドレスとして、ファイアウォール ポリシーが自動的に作成されます。

別のファイアウォールポリシーも、その逆方向に作成されます。

[ いいえ] を選択した場合、ファイアウォール ポリシー オプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。

手記:

VPN ワークフローでファイアウォール ポリシーを自動作成しない場合、保護されたネットワークは、ローカル ゲートウェイとリモート ゲートウェイの両方で動的ルーティングのために非表示になります。

リモートユーザー

トポロジー内のリモート・ユーザー・アイコンを表示します。アイコンをクリックして、Juniper Secure Connectクライアント設定を行います。

フィールドの詳細については、 表 2 を参照してください。

手記:

Junos OS 23.1R1リリース以降、接続プロファイルが設定されている場合、J-WebはリモートユーザーをFQDNまたはFQDN/レルム形式で表示します。設定されていない場合、J-Web は外部インターフェース IP(デフォルト プロファイルの場合)または外部インターフェース IP/VPN-Name(デフォルト以外のプロファイルの場合)を表示します。

ローカルゲートウェイ

トポロジー内のローカル・ゲートウェイ・アイコンを表示します。アイコンをクリックして、ローカルゲートウェイを設定します。

フィールドの詳細については、 表 3 を参照してください。

IKE と IPsec 設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。

フィールドの詳細については、 表 6 を参照してください。

手記:

  • J-Webは1つのカスタムIKE の提案のみをサポートしており、定義済みのプロポーザルセットはサポートしていません。編集して保存すると、J-Webは定義済みのプロポーザルセットを削除します(設定されている場合)。

  • VPNトンネルのリモートゲートウェイでは、同じカスタムプロポーザルとポリシーを設定する必要があります。

  • 編集時に、J-Web は、複数のカスタム プロポーザルが設定されている場合、最初のカスタム IKE および IPsec プロポーザルを表示します。
表 2: [リモート ユーザー(Remote User)] ページのフィールド

アクション

デフォルト プロファイル

このオプションを有効にすると、設定済みの VPN 名がリモート アクセスのデフォルト プロファイルとして使用されます。

手記:

  • Junos OS 23.1R1 リリース以降、デフォルト プロファイルは J-Web で非推奨になりました。

  • [ VPN > IPSec VPN > グローバル設定 > リモート アクセス VPN でデフォルト プロファイルが設定されている場合、フィールドには設定値が表示されます。

接続モード

リストから以下のオプションのいずれかを選択して、Juniper Secure Connectクライアント接続を確立します。

  • 手動—ログインするたびに VPN トンネルに手動で接続する必要があります。

  • [常時(Always)]:ログインするたびに、自動的に VPN トンネルに接続されます。

デフォルトの接続モードは手動です。

SSL VPN

Juniper Secure ConnectクライアントからSRXシリーズファイアウォールへのSSL VPN 接続を確立するには、このオプションを有効にします。

デフォルトでは、このオプションは有効になっています。

手記:

これは、IPsec ポートに到達できない場合のフォールバック オプションです。

バイオメトリクス認証

このオプションを有効にすると、設定された独自の方法を使用してクライアントシステムを認証できます。

クライアントシステムに接続すると、認証プロンプトが表示されます。VPN 接続は、 Windows Hello 用に構成された方法 (指紋認識、顔認識、PIN 入力など) による認証が成功した後にのみ開始されます。

生体認証オプションが有効になっている場合は、クライアント システムで Windows Hello を事前に構成する必要があります。

デッド ピアの検出

デッドピア検出(DPD)オプションを有効にして、Juniper Secure ConnectクライアントがSRXシリーズファイアウォールに到達可能かどうかを検出できるようにします。

このオプションを無効にすると、SRXシリーズファイアウォール接続の到達可能性が回復するまで、Juniper Secure Connectクライアントが検出できるようになります。

このオプションは、デフォルトで有効になっています。

DPD 間隔

ピアがデッドピア検出(DPD)要求パケットを送信する前に、宛先ピアからのトラフィックを待機する時間を入力します。範囲は 2 から 60 秒で、デフォルトは 60 秒です。

DPD しきい値

ピアが利用不可能と見なされる、デッドピア検出(DPD)リクエストの最大数を入力します。範囲は 1 から 5 で、既定値は 5 です。

証明 書

Secure Client Connectで証明書オプションを構成するには、[証明書(Certificates)] を有効にします。

手記:

このオプションは、EAP-TLS (証明書) 認証方法を選択した場合にのみ使用できます。

有効期限の警告

このオプションを有効にすると、セキュアな接続クライアントに証明書の有効期限の警告が表示されます。

このオプションは、デフォルトで有効になっています。

手記:

このオプションは、[証明書] を有効にした場合にのみ使用できます。

警告間隔

警告を表示する間隔 (日数) を入力します。

範囲は 1 から 90 です。デフォルト値は 60 です。

手記:

このオプションは、[証明書] を有効にした場合にのみ使用できます。

接続ごとのピン要件

このオプションを有効にすると、接続時に証明書PINが入力されます。

このオプションは、デフォルトで有効になっています。

手記:

このオプションは、[証明書] を有効にした場合にのみ使用できます。

ユーザー名を保存

Junos OS リリース 22.1R1 以降では、このオプションを有効にしてリモート ユーザー名を保存できます。

パスワードを保存

Junos OS リリース 22.1R1 以降では、このオプションを有効にして、リモート ユーザ名とパスワードの両方を保存できます。

Windows ログオン

このオプションを有効にすると、ユーザーは Windows システムにログオンする前に Windows ドメインに安全にログオンできます。クライアントは、企業ネットワークへの VPN 接続を確立した後、資格情報サービス プロバイダーを使用したドメイン ログオンをサポートします。

ドメイン名

ユーザーマシンがログを記録するシステムドメイン名を入力します。

モード

リストから次のオプションのいずれかを選択して、Windows ドメインにログオンします。

  • [手動(Manual)]:Windows ログオン画面でログオン データを手動で入力する必要があります。

  • [自動(Automatic)]:クライアント ソフトウェアは、ここに入力されたデータを Microsoft ログオン インターフェイス(認証情報プロバイダ)に転送します。

ログオフ時に切断

このオプションを有効にすると、システムが休止状態またはスタンバイモードに切り替わったときに接続がシャットダウンされます。システムが休止状態またはスタンバイモードから再開したら、接続を再確立する必要があります。

ログオフ時の資格情報のフラッシュ

このオプションを有効にすると、キャッシュからユーザー名とパスワードが削除されます。ユーザ名とパスワードを再入力する必要があります。

リードタイム期間

ネットワーク ログオンとドメイン ログオンの間の時間を初期化するリード タイム期間を入力します。

接続設定後、ここで設定した初期化時間が経過した後にのみ、Windows ログオンが実行されます。

EAP 認証

このオプションを有効にすると、資格情報プロバイダーの宛先ダイアログの前に EAP 認証が実行されます。その後、システムは、その後のダイヤルインにEAPが必要かどうかに関係なく、必要なPINを要求します。

このオプションを無効にすると、宛先選択後に EAP 認証が実行されます。

ダイアログを自動で開く

このオプションを有効にすると、リモートドメインへの接続確立のためにダイアログが自動的に開くかどうかを選択できます。

このオプションを無効にすると、クライアントのパスワードとPINはWindows ログオン後にのみ照会されます。

マルチデバイスアクセス
手記:

Junos OS リリース 23.2R1 以降、J-Web はリモート ユーザー ページのマルチデバイス アクセス オプションをサポートしています。このオプションは、SRX300シリーズのファイアウォールではサポートされていません。

複数のデバイスから接続するには、このオプションを有効にします。

手記:

マルチデバイスアクセスを使用するには、junos-ikeパッケージをSRXシリーズファイアウォールにインストールする必要があります。SRXシリーズファイアウォールで以下のコマンドを実行して、junos-ikeパッケージをインストールします。

request system software add optional: //junos-ike.tgz
アプリケーションバイパス
手記:

Junos OS リリース 23.4R2 以降、このオプションは SRX300 シリーズのファイアウォールで利用できます。

VPN トンネルをバイパスできるアプリケーション、ドメイン、またはその両方を設定するには、このオプションを有効にします。設定されたアプリケーション バイパス プロファイルをグリッド ビューで選択できます。

新しいアプリケーション バイパス条件を追加するには、次のようにします。

  1. [+] アイコンをクリックします。

  2. 次の詳細を入力します。

    • [名前(Name)]:条件の名前を入力します。

    • [説明(Description)]:アプリケーション バイパス条件の説明を入力します。

    • [プロトコル(Protocol)]:リストから使用可能なプロトコルを選択します。次のオプションを使用できます。

      • TCP & UDP—TCP と UDP の両方のトラフィックをバイパスします。

      • TCP—TCPトラフィックのみをバイパスします。

      • UDP—UDPトラフィックのみをバイパスします。

      デフォルトでは、TCP & UDP が選択されています。

    • [ドメイン タイプ(Domain Type)]:使用可能なドメイン タイプをリストから選択します。次のオプションを使用できます。

      • [含む(Contains)]:任意のドメイン名(例:abc.com)。

      • FQDN—ドメイン名には完全修飾ドメイン名(例:www.abc.com)が含まれます。

      • ワイルドカード - ドメイン名に任意のサブドメイン(.abc.com など)が含まれます。

        ワイルドカードを選択すると、デフォルトで「.」がドメイン値フィールドに事前入力されます。

    • [ドメイン値(Domain Value)]:VPN トンネルをバイパスするドメイン名を入力します。

  3. チェックマークアイコンをクリックして変更を保存し、アプリケーションバイパス条件を作成します。破棄するには [X ] をクリックします。

  4. グリッドの上にある編集アイコンをクリックしてアプリケーションバイパス条件を編集し、削除アイコンをクリックしてアプリケーションバイパス条件を削除します。

    手記:

    リモート ユーザーを編集するときに [アプリケーション バイパス] をオフに切り替えると、リモート ユーザーで設定されたアプリケーション バイパス条件が削除されます。

コンプライアンス
手記:

Junos OS リリース 23.2R1 以降、J-Web はリモート ユーザー ページのコンプライアンス オプションをサポートしています。
手記:

Junos OS リリース 23.4R2 以降、このオプションは SRX300 シリーズのファイアウォールで利用できます。

ユーザーがログインする前に、SRXシリーズファイアウォールによって検証され、VPNトンネルを確立するコンプライアンスルールをリストから選択します。

新しいコンプライアンス・ルールを作成するには、「 作成」をクリックします。[Create Pre-Logon Compliance] ページが表示されます。フィールド情報については、「 ログオン前コンプライアンスの作成」を参照してください。
表 3: [ローカルゲートウェイ] ページのフィールド

アクション

ゲートウェイがNATの背後にあり

ローカルゲートウェイがNATデバイスの背後にある場合は、このオプションを有効にします。

NAT IP アドレス

SRXシリーズファイアウォールのパブリック(NAT)IPアドレスを入力します。

手記:

このオプションは、 ゲートウェイが NAT の後ろ にある場合にのみ使用できます。NATデバイスを参照するようにIPv4アドレスを設定できます。

外部インターフェース

クライアントが接続する発信インターフェイスをリストから選択します。

指定したインターフェイスに複数のIPv4またはIPv6アドレスが設定されている場合、リストには使用可能なすべてのIPアドレスが含まれます。選択したIPアドレスは、IKEゲートウェイの下のローカルアドレスとして構成されます。

手記:

Junos OS リリース 23.4R1 以降、J-Web は junos-ike パッケージがインストールされたデバイスの IPv6 アドレスをサポートします。

接続プロファイル

これは必須フィールドです。接続プロファイルを IP アドレス、FQDN、または FQDN/レルムの形式で入力します。

接続プロファイルは任意の文字列にすることができ、ピリオドとスラッシュを含めることができます。最大 255 文字です。

IKE ID は、接続プロファイルから自動的に取得されます。

手記:

  • Junos OS 23.1R1リリース以降、IKE IDは接続プロファイルを使用して自動的に取得されます。システムホスト名が設定されている場合、IKE IDは<configured-hostname>@connection-profileとして設定され、そうでない場合はno-config-hostname@connection-profileになります。接続プロファイルにレルム(/hr)がある場合、IKE IDを形成する際に「/」は「.」に置き換えられます。

  • リモート アクセス プロファイル名にドット(.)が含まれていない既存の VPN の場合、接続プロファイルは、デフォルト プロファイルの場合は external-IP、デフォルト以外のプロファイルの場合は external-IP/VPN-Name と表示されます。既存の VPN を更新すると、デフォルトのプロファイル名が接続プロファイル値で更新されます。

  • 接続プロファイルの値を変更すると、IKE IDが自動的に更新されます。

トンネル インターフェイス

クライアントが接続するインターフェイスをリストから選択します。

[ 追加(Add )] をクリックして、新しいインターフェイスを追加します。[Create トンネル インターフェイス] ページが表示されます。新しいトンネル インターフェイスの作成の詳細については、 表 4 を参照してください。

[ 編集(Edit )] をクリックして、選択したトンネル インターフェイスを編集します。

事前共有キー

事前共有キーの次のいずれかの値を入力します。

  • ascii-text:ASCII テキスト キー。

  • hexadecimal:16 進キー。

手記:

このオプションは、認証方法が [事前共有キー] の場合に使用できます。

ローカル証明書

リストからローカル証明書を選択します。

ローカル証明書には、RSA 証明書のみが表示されます。

手記:

このオプションは、EAP-TLS (証明書) 認証方法を選択した場合にのみ使用できます。

Junos OS 23.1R1 リリース以降、すべてのデバイス証明書がローカル証明書に記載されるようになりました。たとえば、Let's Encrypt や ACME 証明書などです。デバイス証明書の詳細については、「デバイス証明書の作成」を参照してください

ユーザー認証

このフィールドは必須です。リモート アクセス VPN にアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。

[ 追加 ] をクリックして、新しいプロファイルを作成します。新しいアクセスプロファイルの作成の詳細については、「 アクセスプロファイルの追加」を参照してください。

SSL VPN プロファイル

リモート アクセス接続の終了に使用する SSL VPN プロファイルを一覧から選択します。

新しい SSL VPN プロファイルを作成するには、次の手順に従います。

  1. [ 追加] をクリックします。

  2. 次の詳細を入力します。

    • [名前(Name)]:SSL VPN プロファイルの名前を入力します。

    • [ロギング(Logging)]:SSL VPN のログを記録するには、このオプションを有効にします。

    • [SSL 終端プロファイル(SSL Termination Profile)]:リストから SSL 終端プロファイルを選択します。

      新しい SSL ターミネーション・プロファイルを追加するには、次のようにします。

      1. [ 追加] をクリックします。

        [Create SSL Termination Profile] ページが表示されます。

      2. 次の詳細を入力します。

        • [名前(Name)]:SSL 終端プロファイルの名前を入力します。

        • [サーバー証明(Server Certificate)]:リストからサーバー証明書を選択します。

          証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の追加」を参照してください。

          証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書のインポート」を参照してください。

        • [ OK] をクリックします。

      3. [ OK] をクリックします。

  3. [ OK] をクリックします。

ソースNATトラフィック

このオプションは、デフォルトで有効になっています。

Juniper Secure Connectクライアントからのすべてのトラフィックは、デフォルトで選択されたインターフェイスにNATされます。

無効にした場合、リターントラフィックを正しく処理するために、ネットワークからSRXシリーズファイアウォールを指すルートがあることを確認する必要があります。

インターフェイス

送信元NATトラフィックが通過するインターフェイスをリストから選択します。

保護されたネットワーク

[+] をクリックします。[Create Protected Networks] ページが表示されます。
保護されたネットワークの作成

ゾーン

ファイアウォールポリシーの送信元ゾーンとして使用するセキュリティゾーンをリストから選択します。

グローバル アドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。

[ 追加 ] をクリックして、クライアントが接続できるネットワークを選択します。

[グローバル アドレスの作成] ページが表示されます。フィールドの詳細については、 表 5 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[保護されたネットワークの編集(Edit Protected Networks)] ページが表示され、編集可能なフィールドが表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップ表示されます。

[ はい ] をクリックして、保護されたネットワークを削除します。
表 4: [Create トンネル インターフェイス] ページのフィールド

アクション

インターフェースユニット

論理ユニット番号を入力します。

形容

論理インターフェイスの説明を入力します。

ゾーン

リストからゾーンを選択して、トンネル インターフェイスに追加します。

このゾーンは、ファイアウォール ポリシーの自動作成に使用されます。

[ 追加 ] をクリックして、新しいゾーンを追加します。ゾーンの名前と説明を入力し、「セキュリティゾーンの作成」ページで「 OK 」をクリックします。

ルーティング インスタンス

リストからルーティング インスタンスを選択します。

手記:

デフォルトのルーティング インスタンスであるプライマリは、論理システムのメイン inet.0 ルーティングテーブルを指します。
表 5: [グローバル アドレスの作成] ページのフィールド

アクション

サブネット

IPv4 または IPv6 アドレスのサブネットを入力します。

手記:

Junos OS リリース 23.4R1 以降、J-Web は junos-ike パッケージがインストールされたデバイスの IPv6 アドレスをサポートします。

識別子

グローバル アドレスの名前を入力します。
表 6: IKE と IPsec 設定

アクション
IKE 設定
手記:

次のパラメータは自動的に生成され、J-Web UI には表示されません。

  • 認証方式が事前共有キーの場合、IKEバージョンはv1、ike-user-typeはshared-ike-id、モードはアグレッシブです。

  • 認証方法が [証明書ベース] の場合、IKE バージョンは v2、ike-user-type は shared-ike-id、モードは Main です。

  • Junos OS リリース 23.2R1 以降、ike-user-type は group-ike-id です。これにより、マルチデバイスアクセスが可能になります。既存の VPN を編集して保存し、group-ike-id に変換できます。

    これは、SRX300シリーズのファイアウォールではサポートされていません。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は AES-CBC 256 ビットです。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットです。

手記:

Junos OS 23.4R1リリース以降、J-Webは、junos-ikeパッケージでインストールされたデバイスに対してSHA 512ビット認証アルゴリズムをサポートしています。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値はgroup19です。

手記:

Junos OS 23.4R1リリース以降、J-Webは、junos-ikeパッケージがインストールされたデバイスに対して、グループ15、グループ16、グループ21のDHグループをサポートします。

存続期間の秒数

有効期間を選択します.有効な範囲は 180(SA)の存続期間(秒単位)を選択します。

デフォルト値は 28,800 秒です。範囲: 180 秒から 86,400 秒。

デッド ピアの検出

このオプションを有効にすると、ピアにIPsec トラフィックを送信するかどうかにかかわらず、デッドピア検出要求が送信されます。

DPD モード

リストから次のいずれかのオプションを選択します。

  • optimized:発信トラフィックがあり、着信データトラフィックがない場合にのみプローブを送信します - RFC3706(デフォルトモード)。

  • probe-idle-tunnel—最適化モードと同じように、発信および着信データトラフィックがない場合にもプローブを送信します。

  • always-send:送受信されるデータ トラフィックに関係なく、プローブを定期的に送信します。

DPD 間隔

検出メッセージを送信する間隔を秒単位で選択しを送信する間隔(秒単位)を選択します。デフォルトの間隔は 10 秒です。範囲は 2 から 60 秒です。

DPD しきい値

1 から 5 までの数値を選択して、障害 DPD しきい値を設定します。

これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回です。
詳細設定(オプション)

NAT-T

IPsec トラフィックが NAT デバイスを通過するには、このオプションを有効にします。

NAT-T は IKE フェーズ 1 アルゴリズムで、SRXシリーズ ファイアウォールの 1 つの前に NAT デバイスがある場合に、2 つのゲートウェイ デバイス間でVPN 接続を確立しようとするときに使用されます。

NATキープアライブ

適切なキープアライブ間隔を秒単位で選択します。範囲: 1 から 300。

VPNに長期間の非アクティブ状態が続くことが予想される場合、キープアライブ値を設定して人工トラフィックを生成し、NATデバイス上でセッションをアクティブに保つことができます。

IKE 接続制限

VPN プロファイルがサポートする同時接続数を入力します。

範囲は 1 から 4294967295 です。

最大接続数に達すると、IPSec VPN へのアクセスを試みるリモート アクセス ユーザー(VPN)エンドポイントは、インターネット鍵交換(IKE)ネゴシエーションを開始できなくなります。

IKEv2 フラグメント化

このオプションは、デフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは別個に暗号化および認証されます。

手記:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。

IKEv2 フラグメント サイズ

フラグメントに分割される前の IKEv2 メッセージの最大サイズをバイト単位で選択します。

このサイズは IPv4 メッセージに適用されます。範囲: 570 から 1320 バイト。

デフォルト値は 576 バイトです。

手記:

このオプションは、認証方法が [証明書ベース] の場合に使用できます。
IPsec 設定
手記:

認証方式は事前共有キーまたは証明書ベースで、プロトコルをESPとして自動生成します。

暗号化アルゴリズム

暗号化方式を選択します。デフォルト値は AES-GCM 256 ビットです。

認証アルゴリズム

リストから IPsec 認証アルゴリズムを選択します。たとえば、HMAC-SHA-256-128 です。

手記:

このオプションは、暗号化アルゴリズムが gcm でない場合に使用できます。
手記:

Junos OS 23.4R1 リリース以降、J-Web は、junos-ike パッケージでインストールされたデバイスに対して、HMAC-SHA 384 および HMAC-SHA 512 認証アルゴリズムをサポートしています。

完全転送機密保持

リストから [Perfect Forward Secrecy(PFS)] を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値はgroup19です。

PFSは、新しい暗号化キーを以前のキーとは独立して生成します。番号が大きいほどセキュリティは高くなりますが、処理時間が長くなります。

手記:

group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズデバイスのみをサポートします。
手記:

Junos OS 23.4R1リリース以降、J-Webはjunos-ikeパッケージにインストールされたデバイスに対して、グループ15、グループ16、グループ21のPFSをサポートします。

存続期間の秒数

IPsec セキュリティ アソシエーション(SA)の有効期間(秒単位)を選択します。SA の有効期限が切れると、新しい SA とセキュリティ パラメーター インデックス(SPI)に置き換えられるか、終了します。既定値は 3,600 秒です。範囲: 180 秒から 86,400 秒。

ライフタイム キロバイト

IPsec SAの有効期間(キロバイト単位)を選択します。既定値は 256 KB です。範囲: 64 から 4294967294。
高度な構成

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた一連の番号を使用して、VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを実施します。

IPsec メカニズムでエラーが発生し、パケットの順序が乱れて適切な機能が妨げられる場合は、アンチリプレイを無効にします。

インストール間隔

キー更新済みのアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。1 秒から 10 秒までの値を選択します。

アイドル時間

アイドル時間の間隔を選択します。トラフィックを受信しない場合、セッションとそれに対応する変換は一定時間が経過するとタイムアウトします。範囲は 60 秒から 999999 秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を選択します。

  • clear—外部ヘッダーから DF ビットをクリア(無効)にします。これがデフォルトです。

  • copy—DF ビットを外部ヘッダーにコピーします。

  • set—外部ヘッダーの DF ビットを設定(有効)します。

外部 DSCP をコピー

このオプションはデフォルトで有効になっています。これにより、差別化されたサービスコードポイント(DSCP)(外部DSCP+ECN)を、外部IPヘッダー暗号化パケットから復号化パス上の内部IPヘッダープレーンテキストメッセージにコピーできます。この機能を有効にすると、IPsec 復号化後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。

ICMPビッグパケット警告

このオプションを使用して、IPv6 パケットの ICMP パケット大きすぎる通知の送信を有効または無効にします。

手記:

このオプションは、junos-ike パッケージがインストールされたデバイスでのみ使用できます。

ESNの

これを有効にすると、IPsec で 64 ビットのシーケンス番号を使用できるようになります。ESN が有効になっていない場合は、デフォルトで 32 ビットのシーケンス番号が使用されます。アンチリプレイが無効になっている場合は、ESN が有効になっていないことを確認します。

手記:

このオプションは、junos-ike パッケージがインストールされたデバイスでのみ使用できます。

トンネルMTU

IPsec トンネルの最大送信パケット サイズを入力します。

範囲: 256 から 9192。

手記:

このオプションは、junos-ike パッケージがインストールされたデバイスでのみ使用できます。

関連資料