Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

リモートアクセスVPNの作成—Juniper Secure Connect

Juniper Secure Connectは、ジュニパーネットワークスのクライアントベースのSSL-VPNソリューションであり、ネットワークリソースにセキュアなリモートアクセスを提供します。Juniper Secure Connectは、SRXサービスデバイスから設定をダウンロードし、接続確立時に最も効果的なトランスポートプロトコルを選択します。

始める前に

  1. [SRX > IPSec VPN > IPsec VPNs]を選択します。

    [IPsec VPN] ページが開きます。

  2. [Create > Remote Access Juniper Secure Connect] をクリックします。

    [リモート アクセス VPN の作成] ページが開きます。

  3. 表 1 のガイドラインに従って、IPSec VPN 設定パラメーターを入力します。
    手記:

    [ View IKE/IPsec 設定 ] をクリックして、VPN プロファイルを表示または編集します。VPN プロファイルがデフォルトの場合、設定を編集できます。プロファイルが共有されている場合は、構成の表示のみが可能です。

    VPN接続がトポロジの灰色から青色の線に変わり、設定が完了したことを示します。表示されているトポロジーは、表現のみを目的としています。
  4. 保存」をクリックします。
表 1:[リモート アクセス VPN の作成] ページ設定

設定

ガイドライン

名前

スペースを入れずに最大 63 文字の英数字の一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、アンダースコアを含めることができます。

形容

VPN の説明を最大 255 文字で入力します。

ルーティング トポロジ

トラフィックセレクター(自動ルート挿入)を選択します。

トラフィックセレクターとは、指定されたローカルアドレスとリモートアドレスのペアが一致する場合に、トンネルを介したトラフィックを許可するIKEピア間の合意です。

VPN プロファイル

展開シナリオに基づいて、ドロップダウン リストから VPN プロファイルを選択します。

  • インラインプロファイルは、特定のIPSec VPNにのみ適用可能です。[Create IPSec VPN] ページの [ View IKE/IPsec settings ] をクリックすると、詳細を表示および編集できます。

  • 共有プロファイルは、1 つ以上の IPsec VPN で使用できます。共有プロファイルの詳細を表示するには、[Create IPSec VPN] ページで [ View IKE/IPsec settings ] をクリックする必要があります。

認証方法

インターネット鍵交換(IKE)メッセージの送信元の認証にデバイスが使用する認証方法をリストから選択します。

  • [事前共有ベース(Pre-shared based)]:2 つのピア間で共有される秘密キーである事前共有キーが、認証時にピアを相互に識別するために使用されることを指定します。各ピアに同じキーを設定する必要があります。

  • [RSA シグニチャ(RSA Signatures)]:暗号化とデジタル署名をサポートする公開キー アルゴリズムが使用されることを指定します。

最大伝送単位

最大送信単位(MTU)をバイト単位で選択します。

MTU は、IPsec オーバーヘッドを含む IP パケットの最大サイズを定義します。トンネル エンドポイントの MTU 値を指定できます。有効範囲は 68 から 9192 バイトで、デフォルト値は 1500 バイトです。

事前共有キー

事前共有キーを使用してVPN 接続を確立します。これは基本的に両当事者にとって同じパスワードです。

使用する事前共有キーのタイプを選択します。

  • [自動生成(Autogenerate)]:トンネルごとに一意のキーを自動的に生成する場合に選択します。選択すると、[トンネルごとに一意のキーを生成(Generate Unique key per tunnel)] オプションが自動的に有効になります。[トンネルごとに一意のキーを生成する]オプションを無効にすると、 Juniper Security Director Cloud はすべてのトンネルに対して単一のキーを生成します。

  • [手動(Manual)]:キーを手動で入力する場合に選択します。デフォルトでは、手動キーはマスクされています。

事前共有キーは、認証方法が事前共有ベースの場合にのみ適用されます。

クライアント設定

デフォルト・クライアント・プロファイルを変更し、ローカル・ゲートウェイを定義します。

デフォルトのクライアント・プロファイルを変更するには、次のようにします。

  1. [クライアント設定] セクションで既定のプロファイルを選択します。

  2. 鉛筆アイコンをクリックします。

    「リモート・ユーザー」ページが開きます。

  3. 表 2 の説明に従ってパラメーターを設定します。

ローカルゲートウェイを定義するには、次の手順に従います。

  1. [ローカルゲートウェイ] セクションの [+] 記号をクリックします。

    [Add Device] ページが開きます。

  2. 表 3 の説明に従ってデバイス パラメーターを設定します。
  3. [ OK] をクリックします。
表 2:[リモート ユーザ(Remote User)] ページの設定

設定

ガイドライン

接続モード

リストから以下のオプションのいずれかを選択して、Juniper Secure Connectクライアント接続を確立します。

  • [手動(Manual)]:ログインするたびに VPN トンネルに手動で接続する必要があります。

  • [常時(Always)]:ログインするたびに、自動的に VPN トンネルに接続されます。

デフォルトの接続モードは手動です。

SSL VPN

Juniper Secure ConnectクライアントからSRXシリーズファイアウォールへのSSL VPN 接続を確立するには、このオプションを有効にします。

これは、IPsec ポートに到達できない場合のフォールバック オプションです。デフォルトでは、このオプションは有効になっています。

バイオメトリクス認証

このオプションを有効にすると、設定された独自の方法を使用してクライアントシステムを認証できます。

クライアントシステムに接続すると、認証プロンプトが表示されます。VPN 接続は、Windows Hello 用に構成された方法 (指紋認識、顔認識、PIN 入力など) による認証が成功した後にのみ開始されます。

生体認証オプションが有効になっている場合は、クライアント システムで Windows Hello を事前に構成する必要があります。

デッド ピアの検出

このオプションを有効にすると、Juniper Secure ConnectクライアントがSRXシリーズファイアウォールに到達可能かどうかを検出できるようになります。

このオプションを無効にすると、SRXシリーズファイアウォール接続の到達可能性が回復するまで、Juniper Secure Connectクライアントが検出できるようになります。

このオプションは、デフォルトで有効になっています。

DPD モード

DPDモードを選択します。

  • [最適化(Optimized)]:デバイスがピアに発信パケットを送信した後、設定された間隔内に IKE または IPsec トラフィックがない場合、R-U-THERE メッセージがトリガーされます。これはデフォルトのモードです。

  • プローブアイドルトンネル:設定された間隔内に着信または発信IKEまたはIPsec トラフィックがない場合、R-U-THEREメッセージがトリガーされます。R-U-THERE メッセージは、トラフィック アクティビティがあるまで、ピアに定期的に送信されます。

  • Always-send:R-U-THERE メッセージは、ピア間のトラフィック アクティビティに関係なく、設定された間隔で送信されます。

DPD 間隔

検出メッセージを送信する間隔を秒単位で選択しを送信する間隔を秒単位で選択します。

デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。

DPD しきい値

失敗 DPD しきい値を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。

証明 書

セキュリティ証明書を設定するオプション。

  • [有効期限の警告(Expiry Warning)]:有効にすると、証明書の有効期限が近づいたときに証明書の有効期限に関する警告が表示されます。このオプションは、デフォルトで有効になっています。

  • [警告間隔(Warning Interval)]:警告を表示する間隔を日数で入力します。

  • [接続ごとのピン要求(Pin Req Per Connection)]:有効にすると、すべての接続の証明書 PIN を入力する必要があります。このオプションは、デフォルトで有効になっています。

EAP-TLS

EAP-TLS 認証方法を使用してセキュリティ証明書を検証するオプション。

このオプションは、デフォルトで有効になっています。

ウィンドウログオン

このオプションを有効にすると、ユーザーは Windows システムにログオンする前に Windows ドメインに安全にログオンできます。

クライアントは、企業ネットワークへの VPN 接続を確立した後、資格情報サービス プロバイダーを使用したドメイン ログインをサポートします。
表 3:[Add Device] ページ設定

設定

ガイドライン

外部インターフェース

IKEセキュリティアソシエーション(SA)の発信インターフェイスを選択します。

このインターフェイスは、キャリアとして機能するゾーンに関連付けられており、ファイアウォールセキュリティを提供します。

トンネルゾーン

トンネルゾーンを選択します。

トンネル ゾーンは、カプセル化前およびカプセル化後の IPsec トラフィックに対して NAT アプリケーションの動的 IP(DIP)アドレス プールをサポートできるアドレス空間の論理領域です。また、トンネル ゾーンでは、トンネル インターフェイスと VPN トンネルを柔軟に組み合わせることができます。

ユーザー認証

リモートアクセスVPNにアクセスするユーザーの認証に使用する認証プロファイルをリストから選択します。

[追加(Add)] をクリックして、新しいアクセス プロファイルを作成します。

手記:

LDAP認証はリモートVPNではサポートされていません。

SSL VPN プロファイル

一覧から SSL VPN プロファイルを選択して、リモート アクセス接続を終了します。

新しい SSL VPN プロファイルを作成するには、次の手順に従います。

  1. [ 追加] をクリックします。

    「SSL VPN プロファイルの追加」ページが開きます。

  2. SSL VPN プロファイル名を入力します。

  3. SSL VPN イベントをログに記録するには、[ロギング] オプションを有効にします。

  4. SSL 終端プロファイル名を入力します。

  5. サーバー証明書を選択します。

  6. [ OK] をクリックします。

証書

仮想プライベートネットワーク(VPN)の開始者と受信者を認証するための証明書を選択します。

信頼されたca/グループ

リストから CA プロファイルを選択して、ローカル証明書に関連付けます。

これは、認証方式がRSA署名の場合に適用されます。

保護されたネットワーク

選択したデバイスのアドレスタイプを設定して、ネットワークの1つのエリアを他のエリアから保護します。

[ 新しいアドレスの追加] をクリックしてアドレスを作成することもできます。
表 4:IKE/IPsec 設定の表示

設定

ガイドライン
IKE 設定

IKE バージョン

IPsecの動的セキュリティアソシエーション(SA)のネゴシエーションに使用するIKEバージョン(V1またはV2)を選択します。

デフォルトでは、IKE V2が使用されます。

モード

IKE ポリシー モードを選択します。

  • Main—3 つのピアツーピア交換で 6 つのメッセージを使用して、IKE SA を確立します。この3つのステップには、IKE SAネゴシエーション、Diffie-Hellman交換、およびピアの認証が含まれます。このモードでは、ID 保護も提供されます。

  • アグレッシブ:メイン モードの半分のメッセージ数を取り、ネゴシエーション能力が弱く、ID 保護は提供されません。

モードは、IKE バージョンが V1 の場合に適用されます。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

デフィー・ヘルマン・グループ

グループを選択します。

Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

存続期間の秒数

有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。

有効範囲は 180 秒から 86400 秒です。

デッド ピアの検出

このオプションを有効にすると、2 つのゲートウェイが、ピア ゲートウェイが起動していて、IPsec 確立中にネゴシエートされたデッド ピア検出(DPD)メッセージに応答しているかどうかを判断できます。

DPD モード

DPDモードを選択します。

  • [最適化(Optimized)]:デバイスがピアに発信パケットを送信した後、設定された間隔内に IKE または IPsec トラフィックがない場合、 R-U-THERE メッセージがトリガーされます。これはデフォルトのモードです。

  • プローブアイドルトンネル:設定された間隔内に着信または発信IKEまたはIPsec トラフィックがない場合、R-U-THEREメッセージがトリガーされます。R-U-THERE メッセージは、トラフィック アクティビティがあるまで、ピアに定期的に送信されます。

  • Always-send:R-U-THERE メッセージは、ピア間のトラフィック アクティビティに関係なく、設定された間隔で送信されます。

DPD 間隔

検出メッセージを送信する間隔を秒単位で選択しを送信する間隔を秒単位で選択します。

デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。

DPD しきい値

失敗 DPD しきい値を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信しなければならない最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。
詳細設定

一般的な IKE ID

このオプションを有効にすると、ピアIKE IDが受け入れられます

このオプションはデフォルトで無効になっています。[General IKE ID] が有効になっている場合、[IKE ID] オプションは自動的に無効になります。

IKEv2再認証

再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にできます。

有効範囲は 0 から 100 です。

IKEv2 Re フラグメント化のサポート

このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルでフラグメント化が発生しなくなります。

IKEv2 再フラグメント サイズ

メッセージがフラグメント化されるパケットのサイズを選択します。デフォルトでは、IPv4 のサイズは 576 バイトです。

有効範囲は 570 から 1320 です。

IKE ID

次のいずれかのオプションを選択します。

  • 何一つ

  • 識別名

  • ホスト名

  • IPv4アドレス

  • メルアド

IKE ID は、[General IKE ID] が無効になっている場合にのみ適用されます。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。

キープアライブ

接続を維持するための期間を秒単位で選択します。

NATキープアライブは、VPNピア間の接続中にNAT変換を維持するために必要です。

有効な範囲は 1 から 300 秒です。
IPsec 設定

議定書

VPNを確立するために必要なプロトコルを選択します。

  • ESP—ESP(セキュリティ ペイロードのカプセル化)プロトコルが、暗号化と認証の両方を提供します。

  • AH—AH(認証ヘッダー)プロトコルは、データの整合性とデータ認証を提供します。

暗号化アルゴリズム

暗号化方式を選択します。

これは、プロトコルが ESP の場合に適用されます。

認証アルゴリズム

アルゴリズムを選択します。

デバイスは、これらのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

完全転送機密保持

デバイスが暗号化キーの生成に使用する方法として、Perfect Forward Secrecy(PFS)を選択します。

PFSは、新しい暗号化キーを以前のキーとは独立して生成します。番号が大きいほどセキュリティは高くなりますが、処理時間が長くなります。

トンネルの確立

IKE をいつアクティブにするかを指定するオプションを選択します。

  • [即時(Immediately)]:vpn 設定の変更がコミットされた直後に IKE がアクティブになります。

  • オントラフィック—IKEは、データトラフィックフロー時にのみアクティブになり、ピア ゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。
詳細設定

VPN モニター

このオプションを有効にすると、Internet Control Message Protocol(ICMP)を送信してVPNが稼働しているかどうかを判別できます。

最適化

VPN監視を最適化し、VPNトンネルを介して設定されたピアからの発信トラフィックがあり、受信トラフィックがない場合にのみ、ICMPエコー要求(pingとも呼ばれる)を送信するようにSRXシリーズファイアウォールを設定するには、このオプションを有効にします。

VPNトンネルを経由する受信トラフィックがある場合、SRXシリーズファイアウォールはトンネルをアクティブとみなし、ピアにpingを送信しません。

アンチリプレイ

IPsec パケットに組み込まれた一連の番号を使用する VPN 攻撃から保護するために、IPsec メカニズムのためにこのオプションを有効にします。

IPsec は、同じシーケンス番号が既に確認されているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。

IPsec メカニズムでエラーが発生し、パケットの順序が乱れ、適切な機能が妨げられる場合は、このオプションを無効にします。

デフォルトでは、アンチリプレイ検出は有効になっています。

インストール間隔

キーを再設定したアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。

通常、セッションとそれに対応する変換は、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。

DF ビット

IP メッセージの DF(Don't Fragment)ビットを処理するオプションを選択します。

  • [クリア(Clear)]:IP メッセージからの DF ビットを無効にします。これはデフォルトのオプションです。

  • コピー—IP メッセージに DF ビットをコピーします。

  • [設定(Set)]:IP メッセージの DF ビットを有効にします。

外部 DSCP をコピー

このオプションを有効にすると、差別化されたサービス コード ポイント(DSCP)フィールドを、外部 IP ヘッダー暗号化パケットから復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージにコピーできるようになります。

この機能を有効にするメリットは、IPsec 復号化後、クリア テキスト パケットが内部 CoS(サービス クラス)ルールに従うことができることです。

存続期間の秒数

有効期間を選択します.有効な範囲は 180(SA)の有効期間を選択します。

有効範囲は 180 秒から 86400 秒です。

ライフタイム キロバイト

IPsec セキュリティ アソシエーション(SA)の有効期間をキロバイト単位で選択します。

有効範囲は 64 から 4294967294 キロバイトです。