VPN プロファイルの作成

VPN 接続を確立する際のセキュリティパラメーターを定義する VPN プロファイルを構成します。同じプロファイルを再利用して、さらに VPN トンネルを作成できます。VPN プロファイルには、VPN プロポーザル、VPN モード、認証、および IPsec VPN で使用されるその他のパラメーターが含まれます。VPNプロファイルが作成されると、Juniper Security Director Cloudは、VPNプロファイルを表すオブジェクトをデータベースに作成します。このオブジェクトを使用して、ルートベースまたはポリシーベースの IPsec VPN を作成できます。

注:

ジュニパーネットワークス定義のVPNプロファイルを変更または削除することはできません。プロファイルのクローンを作成して新しいプロファイルを作成することのみが可能です。

VPN プロファイルでは、フェーズ 1 およびフェーズ 2 設定と呼ばれる IKE ネゴシエーションフェーズを構成することもできます。SRXシリーズファイアウォールは、IPsec VPNのIKEネゴシエーションで以下の認証方法をサポートしています。

事前共有鍵
ECDSA 証明書
RSA 証明書
DSA 証明書

定義済みの VPN プロファイルは、RSA 証明書ベースの認証に使用できます。デバイスの PKI 証明書リストは、デバイスの検出中に自動的に取得されます。

始める前に

VPN プロファイルのメインページを確認して、現在のデータセットを理解します。フィールドの説明については、を参照してください VPN プロファイルのメインページのフィールド。
トピックを読む VPN プロファイルの概要。

VPNプロファイル>SRX>IPsec VPNを選択します。

VPN プロファイルページは開きます。
[作成] をクリックして新しい VPN プロファイルを作成し、次のいずれかのオプションを選択します。
- ポリシーベースのサイト間
- サイトからサイトへ
- ハブアンドスポーク (すべてのピアを確立)
- ハブアンドスポーク（スポークによる確立）
- ハブアンドスポーク (ADVPN - 自動検出 VPN)
- リモートアクセスジュニパーセキュアコネクト
に記載されている表 1 ガイドラインに従って設定を完了します。

定義済みの VPN 構成を持つ新しい VPN プロファイルが作成されます。このオブジェクトを使用して、IPsec VPN を作成できます。

表 1: VPN プロファイルの設定
設定	ガイドライン
お名前	最大 255 文字の英数字(スペースなし)の一意の文字列を入力します。文字列には、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。
説明	VPN プロファイルの最大 1024 文字を含む説明を入力します。
認証タイプ	必要な認証タイプを選択します。事前共有ベース RSA署名 DSA 署名 ECDSA-署名-256 ECDSA-署名-384
IKE バージョン	IPsec の動的セキュリティアソシエーション(SA)のネゴシエートに使用する必要な IKE バージョン(V1 または V2)を選択します。デフォルトでは、IKEv1が使用されます。 Juniper Security Director Cloudでは、IKEv2メッセージのフラグメント化により、IPフラグメントがブロックされ、ピアがIPsecセキュリティアソシエーション(SA)を確立できないような環境でもIKEv2を動作させることができます。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。
モード	VPNモードを選択します。メイン - サイト間 VPN を構築する際に、VPN を確立する最も一般的で安全な方法です。IKE ID は暗号化されており、盗聴者が特定することはできません。アグレッシブ - メインモードの IPsec ネゴシエーションの代替手段です。これは、クライアントのワークステーションからVPNゲートウェイにVPNを構築する場合に最も一般的なモードであり、クライアントのIPアドレスが事前にわからないか固定されていません。
暗号化アルゴリズム	適切な暗号化メカニズムを選択します。
認証アルゴリズム	アルゴリズムを選択します。デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。
デフィー・ヘルマン・グループ	グループを選択します。 Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。
ライフタイム秒	IKE セキュリティアソシエーション(SA)の有効期間を選択します。有効範囲は 180 から 86400 秒です。
デッドピアの検出	このオプションを有効にすると、ピアゲートウェイが稼働していて、IPsec 確立中にネゴシエートされたデッドピア検出(DPD)メッセージに応答しているかどうかを 2 つのゲートウェイで判断できます。
DPDモード	DPD モードを選択します。最適化：R-U-THEREメッセージは、デバイスがピアに発信パケットを送信した後、設定された間隔内に着信IKEまたはIPsecトラフィックがない場合にトリガーされます。これはデフォルトのモードです。アイドルトンネルのプローブ: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。R-U-THEREメッセージは、トラフィックアクティビティが発生するまで定期的にピアに送信されます。常時送信: R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。
DPD間隔	デッドピア検出メッセージを送信する間隔を秒単位で選択します。デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。
DPDスレッショルド	障害DPDしきい値を選択します。これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。
詳細設定
General-IkeID	一般的にピアIKE IDを受け入れるには、このオプションを有効にします。このオプションはデフォルトで無効になっています。General IKE ID が有効な場合、IKE ID オプションは自動的に無効になります。このオプションは、アグレッシブVPNモードでは使用できません。 Auto VPN および ADVPN に対して General IKE ID オプションを有効にした VPN プロファイルを使用することはできません。
IKEv2 再認証	再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にすることができます。有効範囲は 0 から 100 です。
IKEv2 Re フラグメント化のサポート	このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルで断片化が発生しません。
IKEv2 再フラグメントサイズ	メッセージをフラグメント化するパケットのサイズを選択します。デフォルトでは、IPv4 のサイズは 576 バイトで、有効範囲は 570 から 1320 です。
IKE ID	以下のIKE識別子を設定します。ホスト名—ホスト名またはFQDNは、エンドシステムを識別する文字列です。 User@hostname - 電子メールアドレスと同じ形式に従った単純な文字列。ユーザー - ユーザーの電子メールアドレスを入力します。管理を容易にするために、ユーザーの有効な電子メールアドレスを使用することをお勧めします。 IPAddress—これは、サイト間VPNのIKE IDの最も一般的な形式です。これは、IPv4 アドレスまたは IPv6 アドレスのいずれかです。このオプションは、VPN モードが [アグレッシブ] で、認証タイプが [事前共有キー] の場合にのみ使用できます。 DN:証明書内の一意のユーザーを識別するために証明書で使用される識別名。このオプションは、RSA、DSA、および ECDSA 署名認証タイプでのみ使用できます。注: 事前共有キー認証タイプの場合: [一般IKE ID] オプションを有効にしている場合、[IKE ID] オプションは自動的に [なし] に設定され、このオプションは編集できません。全般IKE IDオプションを有効にしてVPNプロファイルを選択した場合、IPsec VPNを変更するときに[トンネルの表示/編集]ページの[IKE ID]列を編集することはできません。証明書ベースの認証タイプの場合: 証明書認証にはローカル ID CLI が使用されるため、[全般 IKE ID] オプションを有効にしている場合でも IKE `ID` オプションを編集できます。 IPsec VPN を変更するときに、[トンネルの表示/編集] ページで [IKE ID] 列を編集できます(一般的な IKE ID] オプションを有効にして VPN プロファイルを選択した場合)。
NAT-T	動的エンドポイントが NAT デバイスの背後にある場合は、ネットワークアドレス変換トラバーサル (NAT-T) を有効にします。
キープアライブ	接続を維持する期間を秒単位で選択します。 VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要です。有効範囲は 1 から 300 秒です。
IPsec設定
プロトコル	VPN を確立するために必要なプロトコルを選択します。 ESP:カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。 AH—認証ヘッダー(AH)プロトコルは、データの整合性とデータ認証を提供します。
暗号化アルゴリズム	必要な暗号化方式を選択します。これは、プロトコルがESPの場合に適用されます。
認証アルゴリズム	アルゴリズムを選択します。デバイスはこれらのアルゴリズムを使用して、パケットの信頼性と完全性を検証します。
Perfect Forward Secrecy	デバイスが暗号化キーを生成するために使用する方法として、完全転送機密保持(PFS)を選択します。 PFSは、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは強化されますが、処理時間が長くなります。
トンネルの確立	IKE をいつアクティブにするかを指定するオプションを選択します。即時:VPN 設定の変更がコミットされた直後に IKE がアクティブになります。オントラフィック—IKEは、データトラフィックが流れる場合にのみアクティブになり、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。
詳細設定
VPN モニター	インターネット制御メッセージプロトコル(ICMP)を送信してVPNが稼働しているかどうかを判断するには、このオプションを有効にします。
最適化された	このオプションを有効にすると、VPN監視を最適化し、設定されたピアからVPNトンネルを経由する発信トラフィックと着信トラフィックがない場合にのみ、ICMPエコーリクエスト(pingsとも呼ばれます)を送信するようにSRXシリーズファイアウォールを設定します。 VPNトンネルを経由する着信トラフィックがある場合、SRXシリーズファイアウォールはトンネルがアクティブであるとみなし、ピアにpingを送信しません。
アンチリプレイ	IPsec メカニズムでこのオプションを有効にして、IPsec パケットに組み込まれた一連の数字を使用する VPN 攻撃から保護します。 IPsec は、すでに同じシーケンス番号を認識しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。 IPsec メカニズムにエラーがあり、パケットの順序が狂い、適切な機能が妨げられる場合は、このオプションを無効にします。既定では、アンチリプレイ検出は有効になっています。
インストール間隔	キーが変更されたアウトバウンドセキュリティアソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。
アイドルタイム	適切なアイドル時間間隔を選択します。セッションとそれに対応する変換は、通常、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。
DF ビット	IP メッセージのフラグメント化禁止(DF)ビットを処理するオプションを選択します。クリア—IP メッセージの DF ビットを無効にします。これはデフォルトのオプションです。コピー—DFビットをIPメッセージにコピーします。 Set - IP メッセージの DF ビットを有効にします。
外部 DSCP のコピー	このオプションを有効にすると、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダープレーンテキストメッセージに DSCP(差別化されたサービスコードポイント)フィールドをコピーできます。この機能を有効にする利点は、IPsec 復号化後、クリアテキストパケットが内部サービスクラス(CoS)ルールに従うことができることです。
ライフタイム秒	IKE セキュリティアソシエーション(SA)の有効期間を選択します。有効範囲は 180 から 86400 秒です。
ライフタイムキロバイト	IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。有効範囲は 64 から 4294967294 キロバイトです。