リモート アクセス VPN の作成 - NCP 専用クライアント
You are here: ネットワーク > VPN > IPSec VPN.
NCP専用リモートアクセスクライアントは、ジュニパーSRXシリーズゲートウェイ向けNCP専用リモートアクセスソリューションの一部です。VPN クライアントは、NCP Exclusive Remote Access Management でのみ使用できます。NCP専用クライアントを使用して、SRXシリーズゲートウェイに接続している場合、任意の場所からセキュアなIPsecベースのデータリンクを確立します。
Juniper Secure Connect用のリモートアクセスVPNを作成するには:
畑 |
アクション |
|---|---|
名前 |
リモート アクセス接続の名前を入力します。この名前は、NCP 専用クライアントでエンド ユーザ接続名として表示されます。 |
形容 |
説明を入力します。この記述は、IKEとIPsecのプロポーザル、ポリシー、リモートアクセスプロファイル、クライアント構成、NAT ルールセットに使用されます。 編集中に、IPsecポリシーの説明が表示されます。IPsecポリシーとリモートアクセスプロファイルの説明が更新されます。 |
ルーティングモード |
このオプションは、リモートアクセスでは無効です。 デフォルト モードはトラフィック セレクター(自動ルート挿入)です。 |
認証方法 |
デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。
|
ファイアウォールポリシーの自動作成 |
[はい(Yes)] を選択すると、内部ゾーンとトンネル インターフェイス ゾーンの間に、ローカルで保護されたネットワークが送信元アドレスとして、リモートで保護されたネットワークが宛先アドレスとして、ファイアウォール ポリシーが自動的に作成されます。 別のファイアウォールポリシーも、その逆方向に作成されます。 [ いいえ] を選択した場合、ファイアウォール ポリシー オプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。
手記:
VPN ワークフローでファイアウォール ポリシーを自動作成しない場合、保護されたネットワークは、ローカル ゲートウェイとリモート ゲートウェイの両方で動的ルーティングのために非表示になります。 |
リモートユーザー |
トポロジー内のリモート・ユーザー・アイコンを表示します。 このオプションは無効です。 |
ローカルゲートウェイ |
トポロジー内のローカル・ゲートウェイ・アイコンを表示します。アイコンをクリックして、ローカルゲートウェイを設定します。 フィールドの詳細については、 表 2 を参照してください。 |
IKE と IPsec 設定 |
カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。 フィールドの詳細については、 表 5 を参照してください。
手記:
|
畑 |
アクション |
|---|---|
ゲートウェイがNATの背後にあり |
ローカルゲートウェイがNATデバイスの背後にある場合は、このオプションを有効にします。 |
NAT IP アドレス |
SRXシリーズファイアウォールのパブリック(NAT)IPアドレスを入力します。
手記:
このオプションは、 ゲートウェイが NAT の後ろ にある場合にのみ使用できます。NATデバイスを参照するようにIPv4アドレスを設定できます。 |
IKE ID |
このフィールドは必須です。IKE ID を user@example.com の形式で入力します。 |
外部インターフェース |
クライアントが接続する発信インターフェイスをリストから選択します。 指定されたインターフェイスに複数のIPv4アドレスが設定されている場合、このリストには使用可能なすべてのIPアドレスが含まれます。選択したIPアドレスは、IKEゲートウェイの下のローカルアドレスとして構成されます。 |
トンネル インターフェイス |
クライアントが接続するインターフェイスをリストから選択します。 [ 追加(Add )] をクリックして、新しいインターフェイスを追加します。[Create トンネル インターフェイス] ページが表示されます。新しいトンネル インターフェイスの作成の詳細については、 表 3 を参照してください。 [ 編集(Edit )] をクリックして、選択したトンネル インターフェイスを編集します。 |
事前共有キー |
事前共有キーの次のいずれかの値を入力します。
手記:
このオプションは、認証方法が [事前共有キー] の場合に使用できます。 |
ローカル証明書 |
リストからローカル証明書を選択します。 ローカル証明書には、RSA 証明書のみが表示されます。 証明書を追加するには、[ 追加] をクリックします。デバイス証明書の追加の詳細については、「 デバイス証明書の追加」を参照してください。 証明書をインポートするには、[ インポート] をクリックします。デバイス証明書のインポートの詳細については、「 デバイス証明書のインポート」を参照してください。
手記:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
信頼されたca/グループ |
リストから信頼できる認証局/グループプロファイルを選択します。 CA プロファイルを追加するには、[ CA プロファイルの追加(Add CA Profile)] をクリックします。CA プロファイルの追加の詳細については、次を参照してください: 認証局プロファイルを追加する。
手記:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
ユーザー認証 |
このフィールドは必須です。リモート アクセス VPN にアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。 [ 追加 ] をクリックして、新しいプロファイルを作成します。新しいアクセスプロファイルの作成の詳細については、「 アクセスプロファイルの追加」を参照してください。 |
SSL VPN プロファイル |
リモート アクセス接続の終了に使用する SSL VPN プロファイルを一覧から選択します。 新しい SSL VPN プロファイルを作成するには、次の手順に従います。
|
ソースNATトラフィック |
このオプションは、デフォルトで有効になっています。 Juniper Secure Connectクライアントからのすべてのトラフィックは、デフォルトで選択されたインターフェイスにNATされます。 無効にした場合、リターントラフィックを正しく処理するために、ネットワークからSRXシリーズファイアウォールを指すルートがあることを確認する必要があります。 |
インターフェイス |
送信元NATトラフィックが通過するインターフェイスをリストから選択します。 |
保護されたネットワーク |
[+] をクリックします。[Create Protected Networks] ページが表示されます。 |
| 保護されたネットワークの作成 | |
ゾーン |
ファイアウォールポリシーの送信元ゾーンとして使用するセキュリティゾーンをリストから選択します。 |
グローバル アドレス |
[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。 [ 追加 ] をクリックして、クライアントが接続できるネットワークを選択します。 [グローバル アドレスの作成] ページが表示されます。フィールドの詳細については、 表 4 を参照してください。 |
編集 |
編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。 [保護されたネットワークの編集(Edit Protected Networks)] ページが表示され、編集可能なフィールドが表示されます。 |
削除 |
編集する保護されたネットワークを選択し、削除アイコンをクリックします。 確認メッセージがポップアップ表示されます。 [ はい ] をクリックして、保護されたネットワークを削除します。 |
畑 |
アクション |
|---|---|
インターフェースユニット |
論理ユニット番号を入力します。 |
形容 |
論理インターフェイスの説明を入力します。 |
ゾーン |
リストからゾーンを選択して、トンネル インターフェイスに追加します。 このゾーンは、ファイアウォール ポリシーの自動作成に使用されます。 [ 追加 ] をクリックして、新しいゾーンを追加します。ゾーンの名前と説明を入力し、「セキュリティゾーンの作成」ページで「 OK 」をクリックします。 |
ルーティング インスタンス |
リストからルーティング インスタンスを選択します。
手記:
デフォルトのルーティング インスタンスであるプライマリは、論理システムのメイン inet.0 ルーティングテーブルを指します。 |
畑 |
アクション |
|---|---|
名前 |
グローバル アドレスの名前を入力します。名前は、英数字で始まる一意の文字列である必要があり、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。スペースは許可されません。最大 63 文字。 |
IP タイプ |
[IPv4] を選択します。 |
| IPv4 | |
IPv4アドレス |
有効な IPv4 アドレスを入力します。 |
サブネット |
IPv4アドレスのサブネットを入力します。 |
畑 |
アクション |
|---|---|
| IKE 設定
手記:
次のパラメータは自動的に生成され、J-Web UI には表示されません。
|
|
| 暗号化アルゴリズム |
リストから適切な暗号化メカニズムを選択します。 デフォルト値は AES-CBC 256 ビットです。 |
| 認証アルゴリズム |
リストから認証アルゴリズムを選択します。たとえば、SHA 256 ビットです。
手記:
Junos OS 23.4R1リリース以降、J-Webは、junos-ikeパッケージでインストールされたデバイスに対してSHA 512ビット認証アルゴリズムをサポートしています。 |
| DH グループ |
DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値はgroup19です。
手記:
Junos OS 23.4R1リリース以降、J-Webは、junos-ikeパッケージがインストールされたデバイスに対して、グループ15、グループ16、グループ21のDHグループをサポートします。 |
| 存続期間の秒数 |
有効期間を選択します.有効な範囲は 180(SA)の存続期間(秒単位)を選択します。 デフォルト値は 28,800 秒です。範囲: 180 秒から 86,400 秒。 |
| デッド ピアの検出 |
このオプションを有効にすると、ピアにIPsec トラフィックを送信するかどうかにかかわらず、デッドピア検出要求が送信されます。 |
| DPD モード |
リストから次のいずれかのオプションを選択します。
|
| DPD 間隔 |
検出メッセージを送信する間隔を秒単位で選択しを送信する間隔(秒単位)を選択します。デフォルトの間隔は 10 秒です。範囲は 2 から 60 秒です。 |
| DPD しきい値 |
1 から 5 までの数値を選択して、障害 DPD しきい値を設定します。 これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回です。 |
| 詳細設定(オプション) | |
| NAT-T |
IPsec トラフィックが NAT デバイスを通過するには、このオプションを有効にします。 NAT-T は IKE フェーズ 1 アルゴリズムで、SRXシリーズ ファイアウォールの 1 つの前に NAT デバイスがある場合に、2 つのゲートウェイ デバイス間でVPN 接続を確立しようとするときに使用されます。 |
| NATキープアライブ |
適切なキープアライブ間隔を秒単位で選択します。範囲: 1 から 300。 VPNに長期間の非アクティブ状態が続くことが予想される場合、キープアライブ値を設定して人工トラフィックを生成し、NATデバイス上でセッションをアクティブに保つことができます。 |
| IKE 接続制限 |
VPN プロファイルがサポートする同時接続数を入力します。 範囲は 1 から 4294967295 です。 最大接続数に達すると、IPSec VPN へのアクセスを試みるリモート アクセス ユーザー(VPN)エンドポイントは、インターネット鍵交換(IKE)ネゴシエーションを開始できなくなります。 |
| IKEv2 フラグメント化 |
このオプションは、デフォルトで有効になっています。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。フラグメント化は、元のメッセージが暗号化および認証される前に行われるため、各フラグメントは別個に暗号化および認証されます。
手記:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
| IKEv2 フラグメント サイズ |
フラグメントに分割される前の IKEv2 メッセージの最大サイズをバイト単位で選択します。 このサイズは IPv4 メッセージに適用されます。範囲: 570 から 1320 バイト。 デフォルト値は 576 バイトです。
手記:
このオプションは、認証方法が [証明書ベース] の場合に使用できます。 |
| IPsec 設定 | |
| 暗号化アルゴリズム |
暗号化方式を選択します。デフォルト値は AES-GCM 256 ビットです。 |
| 認証アルゴリズム |
リストから IPsec 認証アルゴリズムを選択します。たとえば、HMAC-SHA-256-128 です。
手記:
このオプションは、暗号化アルゴリズムが gcm でない場合に使用できます。
手記:
Junos OS 23.4R1 リリース以降、J-Web は、junos-ike パッケージでインストールされたデバイスに対して、HMAC-SHA 384 および HMAC-SHA 512 認証アルゴリズムをサポートしています。 |
| 完全転送機密保持 |
リストから [Perfect Forward Secrecy(PFS)] を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値はgroup19です。 PFSは、新しい暗号化キーを以前のキーとは独立して生成します。番号が大きいほどセキュリティは高くなりますが、処理時間が長くなります。
手記:
group15、group16、group21は、SPC3カードとjunos-ikeパッケージがインストールされたSRX5000シリーズデバイスのみをサポートします。
手記:
Junos OS 23.4R1リリース以降、J-Webはjunos-ikeパッケージにインストールされたデバイスに対して、グループ15、グループ16、グループ21のPFSをサポートします。 |
| 存続期間の秒数 |
IPsec セキュリティ アソシエーション(SA)の有効期間(秒単位)を選択します。SA の有効期限が切れると、新しい SA とセキュリティ パラメーター インデックス(SPI)に置き換えられるか、終了します。既定値は 3,600 秒です。範囲: 180 秒から 86,400 秒。 |
| ライフタイム キロバイト |
IPsec SAの有効期間(キロバイト単位)を選択します。既定値は 256 KB です。範囲: 64 から 4294967294。 |
| 高度な構成 | |
| アンチリプレイ |
IPsec は、IPsec パケットに組み込まれた一連の番号を使用して、VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。 このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを実施します。 IPsec メカニズムでエラーが発生し、パケットの順序が乱れて適切な機能が妨げられる場合は、アンチリプレイを無効にします。 |
| インストール間隔 |
キー更新済みのアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。1 から 10 までの値を選択します。 |
| アイドル時間 |
アイドル時間の間隔を選択します。トラフィックを受信しない場合、セッションとそれに対応する変換は一定時間が経過するとタイムアウトします。範囲は 60 秒から 999999 秒です。 |
| DF ビット |
デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を選択します。
|
| 外部 DSCP をコピー |
このオプションはデフォルトで有効になっています。これにより、差別化されたサービスコードポイント(DSCP)(外部DSCP+ECN)を、外部IPヘッダー暗号化パケットから復号化パス上の内部IPヘッダープレーンテキストメッセージにコピーできます。この機能を有効にすると、IPsec 復号化後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。 |
| ICMPビッグパケット警告 |
このオプションを使用して、IPv6 パケットの ICMP パケット大きすぎる通知の送信を有効または無効にします。
手記:
このオプションは、junos-ike パッケージがインストールされたデバイスでのみ使用できます。 |
| ESNの |
これを有効にすると、IPsec で 64 ビットのシーケンス番号を使用できるようになります。ESN が有効になっていない場合は、デフォルトで 32 ビットのシーケンス番号が使用されます。アンチリプレイが無効になっている場合は、ESN が有効になっていないことを確認します。
手記:
このオプションは、junos-ike パッケージがインストールされたデバイスでのみ使用できます。 |
| トンネルMTU |
IPsec トンネルの最大送信パケット サイズを入力します。 範囲: 256 から 9192。
手記:
このオプションは、junos-ike パッケージがインストールされたデバイスでのみ使用できます。 |