サイト間 VPN の作成

名前

VPN の名前を入力します。

形容

説明を入力します。この説明は、IKE および IPsec のプロポーザルとポリシーに使用されます。編集中に、IPsecポリシーの説明が表示され、更新されます。

ルーティングモード

このVPNを関連付けるルーティングモードを選択します。

• トラフィックセレクター(自動ルート挿入)

• スタティックルーティング

• ダイナミックルーティング:OSPF

• ダイナミックルーティング – BGP

トポロジーごとに、J-Webが関連するCLIを自動生成します。トラフィックセレクターがデフォルトのモードです。

認証方法

デバイスがインターネット鍵交換(IKE)メッセージの送信元の認証に使用する認証方法をリストから選択します。

• [証明書ベース(Certificate Based)]:デジタル署名のタイプで、証明書所有者の ID を確認する証明書です。

  以下は、証明書ベースの認証方法です。

  • rsa-signatures:暗号化とデジタル署名をサポートする公開キー アルゴリズムを使用することを指定します。

  • dsa-signatures:デジタル署名アルゴリズム(DSA)が使用されることを指定します。

  • ecdsa-signatures-256:連邦情報処理標準(FIPS)デジタル署名標準(DSS)186-3 で指定されている 256 ビット楕円曲線 secp256r1 を使用する楕円曲線 DSA(ECDSA)を指定します。

  • ecdsa-signatures-384:FIPS DSS 186-3 で指定されている 384 ビット楕円曲線 secp384r1 を使用する ECDSA が使用されることを指定します。

  • ecdsa-signatures-521:521 ビット楕円曲線 secp521r1 を使用する ECDSA が使用されることを指定します。

    手記：

    ECDSA-SIGNATURES-521は、SPC3カードとJunos-IKEパッケージがインストールされたSRX5000シリーズのデバイスのみをサポートします。

• 事前共有キー(デフォルトの方法):認証時に、2 つのピア間で共有される秘密キーである事前共有キーを使用して、ピアを相互に識別することを指定します。各ピアに同じキーを設定する必要があります。これがデフォルトの方法です。

ファイアウォールポリシーの自動作成

[はい( Yes)] を選択すると、ファイアウォール ポリシーは、内部ゾーンとトンネル インターフェイス ゾーンの間に自動的に設定され、ローカルで保護されたネットワークが送信元アドレス、リモートで保護されたネットワークが宛先アドレスになります。

別のファイアウォールポリシーも、その逆方向に作成されます。

[ いいえ] を選択した場合、ファイアウォール ポリシー オプションはありません。このVPNを機能させるには、必要なファイアウォールポリシーを手動で作成する必要があります。

リモートゲートウェイ

トポロジーにリモートゲートウェイのアイコンが表示されます。アイコンをクリックして、リモートゲートウェイを設定します。

ゲートウェイは、リモートピアをIPSec VPNピアで識別し、そのIPSec VPNに適切なパラメータを定義します。

フィールド情報については、 表 2 を参照してください。

ローカルゲートウェイ

トポロジー内のローカル・ゲートウェイ・アイコンを表示します。アイコンをクリックして、ローカルゲートウェイを設定します。

フィールドの詳細については、 表 4 を参照してください。

IKE と IPsec 設定

カスタムIKEまたはIPsecプロポーザルとカスタムIPsecプロポーザルを、推奨されるアルゴリズムまたは値で設定します。

フィールド情報については、 表 6 を参照してください。

ゲートウェイがNATの背後にあり

有効にすると、設定された外部IPアドレス(IPv4またはIPv6)は、NATデバイスのIPアドレスと呼ばれます。

IKE ID

リストからオプションを選択して、リモート ID を設定します。

ホスト名

リモートホスト名を入力します。

IPv4アドレス

リモート IPv4 アドレスを入力します。

IPv6 アドレス

リモート IPv6 アドレスを入力します。

キーID

[キー ID] を入力します。

メルアド

電子メール アドレスを入力します。

外部IPアドレス

ピア IPv4 または IPv6 アドレスを入力します。最大 4 つのバックアップを持つ 1 つのプライマリ ピア ネットワークを作成できます。

IPv4 または IPv6 アドレスを 1 つ入力するか、最大 5 つの IP アドレスをカンマで区切って入力できます。

保護されたネットワーク

ルーティング モードを選択すると、すべてのグローバル アドレスが一覧表示されます。

[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。

ルーティング モードが次の場合:

• トラフィックセレクター—IPアドレスは、トラフィックセレクター設定のリモートIPとして使用されます。

• スタティックルーティング:

  • 選択したグローバルアドレスに対して静的ルートが設定されます。

  • ローカルゲートウェイのトンネルインターフェイス(st0.x)がネクストホップとして使用されます。

• ダイナミックルーティング—デフォルト値は anyです。特定のグローバルアドレスを選択することもできます。選択した値は、ファイアウォールポリシーの宛先アドレスとして設定されます。

足す

[+] をクリックします。

[グローバル アドレスの作成] ページが表示されます。フィールド情報については、 表 3 を参照してください。

サブネット

IPv4 または IPv6 アドレスのサブネットを入力します。

識別子

グローバル アドレスの名前を入力します。

ゲートウェイがNATの背後にあり

ローカルゲートウェイがNATデバイスの背後にある場合は、このオプションを有効にします。

IKE ID

リストからオプションを選択して、ローカル ID を構成します。 Gateway is behind NAT が有効になっている場合、NAT デバイスを参照するように IPv4 または IPv6 アドレスを設定できます。

ホスト名

ホスト名を入力します。

IPv4アドレス

IPv4 アドレスを入力します。

IPv6 アドレス

IPv6 アドレスを入力します。

キーID

[キー ID] を入力します。

メルアド

E-mailアドレスを入力します。

外部インターフェース

IKE ネゴシエーションのリストから発信インターフェイスを選択します。

指定されたインターフェイスに複数のIPアドレスが設定されている場合、リストには使用可能なすべてのIPアドレスが含まれます。選択したIPアドレスは、IKEゲートウェイの下のローカルアドレスとして構成されます。

トンネル インターフェイス

リストからインターフェイスを選択し、トンネル インターフェイス(ルートベース VPN)にバインドします。

[ 追加(Add )] をクリックして、新しいインターフェイスを追加します。[Create トンネル インターフェイス] ページが表示されます。 表 5 を参照してください。

ルーター ID

ルーティング デバイスの IP アドレスを入力します。

エリアID

このVPNのトンネルインターフェイスを設定する必要がある0〜4,294,967,295の範囲でエリアIDを入力します。

トンネル インターフェイス パッシブ

このオプションを有効にすると、通常のアクティブな IP チェックのトラフィックがバイパスされます。

ASN

ルーティングデバイスのAS番号を入力します。

NIC によって割り当てられた番号を使用します。範囲:1〜4,294,967,295(232 – 1)4バイトAS番号のプレーン番号形式。

ネイバー ID

隣接するルーターのIPアドレスを入力します。

BGP グループ タイプ

リストから BGPピアグループのタイプを選択します。

• external—AS間BGPルーティングを許可する外部グループ。

• internal:AS内BGPルーティングを許可する内部グループ。

ピア ASN

ネイバー(ピア)自律システム(AS)番号を入力します。

インポートポリシー

BGP からルーティングテーブルにインポートするルートに対するルーティングポリシーをリストから 1 つ以上選択します。

[すべてクリア(Clear All)] をクリックして、選択したポリシーをクリアします。

エクスポートポリシー

ルーティングテーブルからBGPにエクスポートするルートのポリシーをリストから1つ以上選択します。

[すべてクリア(Clear All)] をクリックして、選択したポリシーをクリアします。

ローカル証明書

ローカルデバイスに複数の証明書がロードされている場合は、ローカル証明書識別子を選択します。

[ 追加 ] をクリックして、新しい証明書を生成します。[ インポート] をクリックして、デバイス証明書をインポートします。詳細については、「 デバイス証明書の管理」を参照してください。

信頼されたca/グループ

リストから認証局(CA)プロファイルを選択して、ローカル証明書に関連付けます。

[ 追加(Add )] をクリックして、新しい CA プロファイルを追加します。詳細については、「 信頼できる認証局の管理」を参照してください。

事前共有キー

事前共有キーの値を入力します。キーは次のいずれかです。

• ascii-text:ASCII テキスト キー。

• hexadecimal:16 進キー。

保護されたネットワーク

[+] をクリックします。[Create Protected Networks] ページが表示されます。

ゾーン

ファイアウォールポリシーの送信元ゾーンとして使用するセキュリティゾーンをリストから選択します。

グローバル アドレス

[使用可能] 列からアドレスを選択し、右矢印をクリックして [選択済み] 列に移動します。

足す

[ 追加] をクリックします。

[グローバル アドレスの作成] ページが表示されます。 表 3 を参照してください。

編集

編集する保護されたネットワークを選択し、鉛筆アイコンをクリックします。

[グローバル アドレスの編集(Edit Global Address)] ページが表示され、編集可能なフィールドが表示されます。

削除

編集する保護されたネットワークを選択し、削除アイコンをクリックします。

確認メッセージがポップアップ表示されます。

「 はい 」をクリックして削除します。

インターフェースユニット

論理ユニット番号を入力します。

形容

論理インターフェイスの説明を入力します。

ゾーン

ファイアウォールポリシーの送信元ゾーンとして使用する論理インターフェイスのゾーンをリストから選択します。

[ 追加 ] をクリックして、新しいゾーンを追加します。ゾーンの名前と説明を入力し、「セキュリティゾーンの作成」ページで「 OK 」をクリックします。

ルーティング インスタンス

リストからルーティング インスタンスを選択します。

IPv4アドレス

有効な IPv4 アドレスを入力します。

サブネットプレフィックス

IPv4 アドレスのサブネットマスクを入力します。

IPv6 アドレス

有効な IPv6 アドレスを入力します。

サブネットプレフィックス

ネットワーク範囲のサブネットマスクを入力します。入力すると、値が検証されます。

IKE バージョン

IPsecの動的セキュリティアソシエーション(SA)をネゴシエートするために必要なIKEバージョン(v1またはv2)を選択します。

デフォルト値は v2 です。

IKE モード

リストから IKE ポリシー モードを選択します。

• アグレッシブ:メイン モードの半分のメッセージ数を取得し、ネゴシエーション能力が弱く、ID 保護は提供されません。

• main—3 つのピアツーピア交換で 6 つのメッセージを使用して、IKE SA を確立します。この3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、およびピアの認証が含まれます。ID 保護も提供します。

暗号化アルゴリズム

リストから適切な暗号化メカニズムを選択します。

デフォルト値は aes-256-gcm です。

認証アルゴリズム

リストから認証アルゴリズムを選択します。たとえば、hmac-md5-96:128 ビットのダイジェストを生成し、hmac-sha1-96:160 ビットのダイジェストを生成します。

DH グループ

DH(Diffie-Hellman)交換により、参加者は共有の秘密値を生成できます。リストから適切な DH グループを選択します。デフォルト値はgroup19です。

存続期間の秒数

有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。デフォルト:28,800 秒。範囲: 180 秒から 86,400 秒。

デッド ピアの検出

このオプションを有効にすると、ピアにIPsec トラフィックを送信するかどうかにかかわらず、デッドピア検出要求が送信されます。

DPD モード

リストから次のいずれかのオプションを選択します。

• optimized:発信トラフィックがあり、着信データトラフィックがない場合にのみプローブを送信します - RFC3706(デフォルトモード)。

• probe-idle-tunnel—最適化モードと同じように、発信および着信データトラフィックがない場合にもプローブを送信します。

• always-send:送受信されるデータ トラフィックに関係なく、プローブを定期的に送信します。

DPD 間隔

検出メッセージを送信する間隔を秒単位で選択しを送信する間隔を秒単位で選択します。デフォルトの間隔は 10 秒です。範囲は 2 から 60 秒です。

DPD しきい値

1 から 5 までの数値を選択して、障害 DPD しきい値を設定します。

これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回です。

一般的な IKE ID

このオプションを有効にすると、ピアIKE IDが受け入れられます。

IKEv2 再認証

再認証の頻度を構成して、新しい IKEv2 再認証をトリガーします。

IKEv2 の再フラグメント化

このオプションは、デフォルトで有効になっています。

IKEv2 再フラグメント サイズ

フラグメントに分割される前の IKEv2 メッセージの最大サイズをバイト単位で選択します。

このサイズは、IPv4 と IPv6 の両方のメッセージに適用されます。範囲: 570 から 1320 バイト。

デフォルト値は次のとおりです。

• IPv4 メッセージ—576 バイト。

• IPv6 メッセージ—1280 バイト。

NAT-T

IPsec トラフィックが NAT デバイスを通過するには、このオプションを有効にします。

NAT-T は IKE フェーズ 1 アルゴリズムで、SRXシリーズ ファイアウォールの 1 つの前に NAT デバイスがある場合に、2 つのゲートウェイ デバイス間でVPN 接続を確立しようとするときに使用されます。

NATキープアライブ

適切なキープアライブ間隔を秒単位で選択します。範囲: 1 から 300。

VPNに長期間の非アクティブ状態が続くことが予想される場合、キープアライブ値を設定して人工トラフィックを生成し、NATデバイス上でセッションをアクティブに保つことができます。

議定書

リストから ESP(カプセル化セキュリティ プロトコル)または AH(認証ヘッダー)プロトコルを選択して、VPN を確立します。デフォルト値は ESP です。

暗号化アルゴリズム

暗号化方式を選択します。デフォルト値は aes-256-gcm です。

認証アルゴリズム

リストから IPsec 認証アルゴリズムを選択します。たとえば、hmac-md5-96:128 ビットのダイジェストを生成し、hmac-sha1-96:160 ビットのダイジェストを生成します。

完全転送機密保持

リストから [Perfect Forward Secrecy(PFS)] を選択します。デバイスは、この方法を使用して暗号化キーを生成します。デフォルト値はgroup19です。

PFSは、新しい暗号化キーを以前のキーとは独立して生成します。番号が大きいほどセキュリティは高くなりますが、処理時間が長くなります。

存続期間の秒数

IPsec セキュリティ アソシエーション(SA)の有効期間(秒単位)を選択します。SA の有効期限が切れると、新しい SA とセキュリティ パラメーター インデックス(SPI)に置き換えられるか、終了します。既定値は 3,600 秒です。範囲: 180 秒から 86,400 秒。

ライフタイム キロバイト

IPsec SAの有効期間(キロバイト単位)を選択します。既定値は 128 KB です。範囲: 64 から 4294967294。

トンネルの確立

IPsec トンネルを確立するには、このオプションを有効にします。IKE は、VPN が設定され、設定変更がコミットされた後、すぐにアクティブになります(デフォルト値)。

VPN モニター

IP アドレスで使用するには、このオプションを有効にします。

宛先 IP

インターネット制御メッセージプロトコル(ICMP)pingの宛先を入力します。デバイスはデフォルトでピアのゲートウェイアドレスを使用します。

最適化

VPN オブジェクトに対してこのオプションを有効にします。有効にすると、SRXシリーズファイアウォールは、発信トラフィックがあり、VPNトンネルを介して設定されたピアからの受信トラフィックがない場合にのみ、ICMPエコー要求(ping)を送信します。VPNトンネルを経由する受信トラフィックがある場合、SRXシリーズファイアウォールはトンネルをアクティブとみなし、ピアにpingを送信しません。

このオプションはデフォルトで無効になっています。

元インターフェイス

リストからICMPリクエストの送信元インターフェイスを選択します。送信元インターフェイスが指定されていない場合、デバイスは自動的にローカルトンネルエンドポイントインターフェイスを使用します。

パスの確認

このオプションを有効にすると、セキュア トンネル(st0)インターフェイスがアクティブになり、インターフェイスに関連付けられたルートが Junos OS 転送テーブルにインストールされる前に、IPsec データパスが検証されます。

このオプションはデフォルトで無効になっています。

宛先 IP

IP アドレスを入力します。NAT デバイスの背後にあるピア トンネル エンドポイントの元の未変換の IP アドレス。この IP アドレスは、NAT で変換された IP アドレスであってはなりません。このオプションは、ピア トンネル エンドポイントが NAT デバイスの背後にある場合に必要です。ピアがICMP応答を生成できるように、パス検証ICMPリクエストがこのIPアドレスに送信されます。

パケット サイズ

st0インターフェイスを立ち上げる前に、IPsecデータパスを検証するために使用されるパケットのサイズを入力します。範囲: 64 から 1350 バイト。デフォルト値は 64 バイトです。

アンチリプレイ

IPsec は、IPsec パケットに組み込まれた一連の番号を使用して、VPN 攻撃から保護します。システムは、同じシーケンス番号のパケットを受け入れません。

このオプションは、デフォルトで有効になっています。アンチリプレイは、シーケンス番号を無視するのではなく、シーケンス番号をチェックし、チェックを実施します。

IPsec メカニズムでエラーが発生し、パケットの順序が乱れて適切な機能が妨げられる場合は、アンチリプレイを無効にします。

インストール間隔

キー更新済みのアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。1 から 10 までの値を選択します。

アイドル時間

アイドル時間の間隔を選択します。トラフィックを受信しない場合、セッションとそれに対応する変換は一定時間が経過するとタイムアウトします。範囲は 60 秒から 999999 秒です。

DF ビット

デバイスが外部ヘッダーの DF(Don't Fragment)ビットを処理する方法を選択します。

• clear—外部ヘッダーから DF ビットをクリア(無効)にします。これがデフォルトです。

• copy—DF ビットを外部ヘッダーにコピーします。

• set—外部ヘッダーの DF ビットを設定(有効)します。

外部 DSCP をコピー

このオプションはデフォルトで有効になっています。これにより、差別化されたサービスコードポイント(DSCP)(外部DSCP+ECN)を、外部IPヘッダー暗号化パケットから復号化パス上の内部IPヘッダープレーンテキストメッセージにコピーできます。この機能を有効にすると、IPsec 復号化後、クリア テキスト パケットは内部 CoS(DSCP+ECN)ルールに従うことができます。

ICMPビッグパケット警告

このオプションを使用して、IPv6 パケットの ICMP パケット大きすぎる通知の送信を有効または無効にします。

ESNの

これを有効にすると、IPsec で 64 ビットのシーケンス番号を使用できるようになります。ESN が有効になっていない場合は、デフォルトで 32 ビットのシーケンス番号が使用されます。アンチリプレイが無効になっている場合は、ESN が有効になっていないことを確認します。

トンネルMTU

IPsec トンネルの最大送信パケット サイズを入力します。

範囲: 256 から 9192。