Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモート アクセス VPN の作成 - NCP 専用クライアント

始める前に

ネットワーク制御プロトコル(NCP)専用リモートアクセスクライアントは、ジュニパーSRXシリーズゲートウェイ向けのNCP専用リモートアクセスソリューションの一部です。VPN クライアントは、NCP Exclusive Remote Access Management でのみ使用できます。NCP専用クライアントを使用して、SRXシリーズゲートウェイに接続している場合、任意の場所からセキュアなIPsecベースのデータリンクを確立します。

リモート アクセス NCP 専用クライアントを設定するには、次の手順に従います。

  1. [Configure > IPSec VPN > IPsec VPNs] を選択します。

    [IPsec VPNs] ページが表示されます。

  2. [Create VPN > <Route Based> Remote Access NCP Exclusive Client] をクリックします。

    [Create Remote Access (NCP Exclusive Client)] ページが表示されます。

  3. 表 1 から 表 4 に記載されているガイドラインに従って、IPSec VPN 設定パラメータを入力します。
    手記:

    トポロジローカルゲートウェイアイコンをクリックして、ローカルゲートウェイを設定します。[ IKE/IPSec 設定の表示(View IKE/IPSec Settings )] をクリックして、VPN プロファイルを表示または編集します。VPN プロファイルがデフォルトの場合、設定を編集できます。プロファイルが共有されている場合は、構成の表示のみが可能です。

    VPN接続がトポロジの灰色から青色の線に変わり、設定が完了したことを示します。

    表示されているトポロジーは、表現のみを目的としています。
  4. [保存(Save)] をクリックして、IPsec 設定を保存します。
図 1: リモート アクセス NCP 専用クライアント Configuration interface for setting up a remote access VPN using NCP Exclusive Client with fields for name, description, routing topology, VPN profile, authentication method, and global tunnel settings including preshared key options. Diagram shows remote user, internet, and local gateway with tooltip for configuration. Navigation sidebar and Save or Cancel options included.の作成
表 1:IPSec VPN 設定パラメータ

設定

ガイドライン

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 62 文字です。

形容

VPN の説明を入力します。最大長は 255 文字です。

ルーティング トポロジ

トラフィックセレクター(自動ルート挿入):トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するという、インターネット鍵交換(IKE)ピア間の合意です。

VPN プロファイル

展開シナリオに基づいて、ドロップダウン リストから VPN プロファイルを選択します。

デフォルト プロファイルは、特定の IPSec VPN にのみ適用できます。[Create IPSec VPN] ページの [ View IKE/IPsec settings ] をクリックすると、詳細を表示および編集できます。

共有プロファイルは、1 つ以上の IPsec VPN で使用できます。共有プロファイルの詳細を表示するには、[Create IPSec VPN] ページで [View IKE/IPsec settings] をクリックする必要があります。

[VPN プロファイル] の値を [デフォルト] として選択した場合は、IPSec VPN を保存するときに、新しいプロファイルを [VPN 固有(VPN Specific)] または [共有(Shared)] として保存する必要があります。共有として保存する場合、プロファイルは [VPN プロファイル] ページに一覧表示されます。

認証方法

インターネット鍵交換(IKE)メッセージの送信元の認証にデバイスが使用する認証方法をリストから選択します。

  • [事前共有ベース(Pre-shared based)]:2 つのピア間で共有される秘密キーである事前共有キーが、認証時にピアを相互に識別するために使用されることを指定します。各ピアに同じキーを設定する必要があります。

  • [RSA シグニチャ(RSA Signatures)]:暗号化とデジタル署名をサポートする公開キー アルゴリズムが使用されることを指定します。
グローバルトンネル設定

事前共有キー

VPN 接続は、基本的に両当事者にとって同じパスワードである事前共有鍵を使用して確立します。

使用する事前共有キーのタイプを選択します。

  • [自動生成(Autogenerate)]:トンネルごとに一意のキーを自動的に生成する場合に選択します。選択すると、[トンネルごとに一意のキーを生成(Generate Unique key per tunnel)] オプションが自動的に有効になります。[トンネルごとに一意のキーを生成する(Generate Unique Key Per Tunnel)] オプションを無効にすると、Security Director はすべてのトンネルに対して 1 つのキーを生成します。

  • [手動(Manual)]:キーを手動で入力する場合に選択します。デフォルトでは、手動キーはマスクされています。

手記:

これは、認証方法が事前共有ベースの場合にのみ適用されます。

最大伝送単位

最大送信単位(MTU)をバイト単位で選択します。これは、IPsec オーバーヘッドを含む IP パケットの最大サイズを定義します。トンネル エンドポイントの MTU 値を指定できます。有効範囲は 68 から 9192 バイトです。デフォルト値は 1500 バイトです。
表 2:デバイスの表示または選択

設定

ガイドライン

エンドポイント

エンドポイントとして追加するデバイスを選択します。

利用できる

現在のドメインと子ドメインのすべてのデバイスを表示し、親の表示を有効にします。親ビューが無効になっている子ドメインのデバイスは表示されません。

デバイスを選択し、エンドポイントとして追加します。

デバイスの選択には、次のフィルタ条件が適用されます。

  • Junos OS リリース 12.1X46 以降の Junos-es スキーマにマッピングされた SRXシリーズ デバイスはサポートされていません。

  • 論理システムおよびテナント システムはリストされていません。

  • ルーティング オプションは適用されません。
表 3:ローカルゲートウェイの設定パラメータ

設定

ガイドライン

外部インターフェース

IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。このインターフェイスは、キャリアとして機能するゾーンに関連付けられており、ファイアウォールセキュリティを提供します。

トンネルゾーン

トンネルゾーンを選択します。これらは、カプセル化前後の IPsec トラフィックに対する NAT アプリケーションの動的 IP(DIP)アドレス プールをサポートできるアドレス空間の論理領域です。

また、トンネル ゾーンは、トンネル インターフェイスと VPN トンネルを組み合わせる際にも大きな柔軟性を提供します。

ユーザー認証

リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。

[追加(Add)] をクリックして、新しいアクセス プロファイルを作成します。新しいアクセスプロファイルの作成の詳細については、「 アクセスプロファイルの作成」を参照してください。

手記:

LDAP認証はリモートVPNではサポートされていません。

SSL VPN プロファイル

一覧から SSL VPN プロファイルを選択して、リモート アクセス接続を終了します。

新しい SSL VPN プロファイルを作成するには、次の手順に従います。

  1. [ 追加] をクリックします。

    「SSL VPN プロファイルの追加」ページが表示されます。

  2. SSL VPN プロファイル名を入力します。

  3. SSL VPN のログを記録するには、[ロギング(Logging)] オプションを有効にします。

  4. SSL 終端プロファイル名を入力します。

  5. サーバー証明書を選択します。

  6. [ OK] をクリックします。

NAT トラフィック

このオプションを有効にすると、Juniper Secure Connectクライアントからのすべてのトラフィックがデフォルトで選択されたインターフェイスにNATされます。

無効にした場合、リターントラフィックを正しく処理するために、ネットワークからSRXシリーズデバイスを指すルートがあることを確認する必要があります。

証書

仮想プライベートネットワーク(VPN)の開始者と受信者を認証するための証明書を選択します。

信頼されたca/グループ

リストから認証局(CA)プロファイルを選択して、ローカル証明書に関連付けます。

これは、認証方式がRSA署名の場合に適用されます。

保護されたネットワーク

選択したデバイスのアドレスタイプを設定して、ネットワークの1つのエリアを他のエリアから保護します。

手記:

[ 新しいアドレスの追加] をクリックしてアドレスを作成することもできます。
表 4:IKE または IPsec 設定の表示または編集

設定

ガイドライン
IKE 設定

IKE バージョン

IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用するIKEバージョン(V1またはV2)を選択します。デフォルトでは、IKE V2が使用されます。

モード

IKE ポリシー モードを選択します。

  • Main—3 つのピアツーピア交換で 6 つのメッセージを使用して、IKE SA を確立します。この3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、およびピアの認証が含まれます。ID 保護も提供します。

  • アグレッシブ:メイン モードの半分のメッセージ数を取り、ネゴシエーション能力が弱く、ID 保護は提供されません。

手記:

モードは、IKE バージョンが V1 の場合に適用されます。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

デフィー・ヘルマン・グループ

グループを選択します。Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

ライフタイム-秒

有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。有効範囲は 180 秒から 86,400 秒です。

デッド ピアの検出

を有効にすると、2 つのゲートウェイが、ピア ゲートウェイが起動していて、IPsec 確立中にネゴシエートされたデッド ピア検出(DPD)メッセージに応答しているかどうかを判断できます。

DPD モード

DPDモードを選択します。

  • [最適化(Optimized)]:デバイスがピアに発信パケットを送信した後、設定された間隔内に IKE または IPsec トラフィックがない場合、R-U-THERE メッセージがトリガーされます。これはデフォルトのモードです。

  • プローブアイドルトンネル:設定された間隔内に着信または発信IKEまたはIPsec トラフィックがない場合、R-U-THEREメッセージがトリガーされます。R-U-THERE メッセージは、トラフィック アクティビティがあるまで、ピアに定期的に送信されます。

  • Always-send:R-U-THERE メッセージは、ピア間のトラフィック アクティビティに関係なく、設定された間隔で送信されます。

DPD 間隔

検出メッセージを送信する間隔を秒単位で選択しを送信する間隔を秒単位で選択します。デフォルトの間隔は 10 秒で、許容範囲は 2 秒から 60 秒です。

DPD しきい値

失敗 DPD しきい値を選択します。これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回で、許容範囲は 1 から 5 です。
高度な設定

IKEv2 Re フラグメント化のサポート

IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。

IKEv2 再フラグメント サイズ

メッセージがフラグメント化されるパケットのサイズを選択します。デフォルトでは、IPv4 のサイズは 576 バイトです。

範囲は 570 から 1320 です。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。

キープアライブ

値を選択します。NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。範囲は 1 から 300 秒からです。

IKE 接続制限

VPN プロファイルがサポートする同時接続数を選択します。最大接続数に達すると、IPSec VPN へのアクセスを試みるリモート アクセス ユーザー (VPN) エンドポイントは、インターネット鍵交換 (IKE) ネゴシエーションを開始できなくなります。
IPsec 設定

暗号化アルゴリズム

必要な暗号化方式を選択します。

これは、プロトコルが ESP の場合に適用されます。

完全転送機密保持

デバイスが暗号化キーの生成に使用する方法として、Perfect Forward Secrecy(PFS)を選択します。PFSは、新しい暗号化キーを以前のキーとは独立して生成します。番号が大きいほどセキュリティは高くなりますが、処理時間が長くなります。
高度な設定

VPN モニター

このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信してVPNが稼働しているかどうかを判別できます。

最適化

VPN監視の最適化が有効になっている場合、SRXシリーズデバイスは、VPNトンネルを介して、設定されたピアからの発信トラフィックがあり、受信トラフィックがない場合にのみ、ICMPエコー要求(ping)を送信します。VPNトンネルを通過する受信トラフィックがある場合、SRXシリーズデバイスはトンネルがアクティブであると見なし、ピアにpingを送信しません。

アンチリプレイ

デフォルトでは、アンチリプレイ検出は有効になっています。IPsec は、IPsec パケットに組み込まれた一連の番号を使用することで VPN 攻撃から保護します。システムは、同じシーケンス番号をすでに確認しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。IPsec メカニズムでエラーが発生し、パケットの順序が乱れ、適切な機能が妨げられる場合は、無効にします。

インストール間隔

キーを再設定したアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。通常、セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。

DF ビット

IP メッセージの DF(Don't Fragment)ビットを処理するオプションを選択します。

  • [クリア(Clear)]:IP メッセージからの DF ビットを無効にします。これがデフォルトです。

  • コピー—IP メッセージに DF ビットをコピーします。

  • [設定(Set)]:IP メッセージの DF ビットを有効にします。

外部 DSCP をコピー

外部 IP ヘッダー暗号化パケットから復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージへの差別化されたサービス コード ポイント(DSCP)フィールドのコピーを有効にします。この機能を有効にするメリットは、IPsec 復号化後、クリア テキスト パケットが内部 CoS(サービス クラス)ルールに従うことができることです。

存続期間の秒数

有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。有効範囲は 180 秒から 86,400 秒です。

ライフタイム キロバイト

IPsec セキュリティ アソシエーション(SA)の有効期間(キロバイト単位)を選択します。範囲は 64 から 4294967294 キロバイトからです。

関連資料