Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

VPN プロファイルの作成

VPN 接続を確立する際のセキュリティ パラメーターを定義する VPN プロファイルを構成します。同じプロファイルを再利用して、さらに VPN トンネルを作成できます。VPN プロファイルには、VPN プロポーザル、VPN モード、認証、および IPsec VPN で使用されるその他のパラメーターが含まれます。VPNプロファイルが作成されると、Juniper Security Director Cloudは、VPNプロファイルを表すオブジェクトをデータベースに作成します。このオブジェクトを使用して、ルートベースまたはポリシーベースの IPsec VPN を作成できます。

メモ:

ジュニパーネットワークス定義のVPNプロファイルを変更または削除することはできません。プロファイルのクローンを作成して新しいプロファイルを作成することのみが可能です。

VPN プロファイルでは、フェーズ 1 およびフェーズ 2 設定と呼ばれる IKE ネゴシエーション フェーズを構成することもできます。SRXシリーズファイアウォールは、IPsec VPNのIKEネゴシエーションで以下の認証方法をサポートしています。

  • 事前共有鍵

  • ECDSA 証明書

  • RSA 証明書

  • DSA 証明書

定義済みの VPN プロファイルは、RSA 証明書ベースの認証に使用できます。デバイスの PKI 証明書リストは、デバイスの検出中に自動的に取得されます。

始める前に

  1. SRX> IPsec VPN>VPNプロファイル を選択します。

    VPN プロファイル ページは開きます。

  2. [作成] をクリックして新しい VPN プロファイルを作成し、次のいずれかのオプションを選択します。
    • ポリシー ベース サイト間

    • サイト間
    • ハブ アンド スポーク(すべてのピアの確立)
    • ハブ アンド スポーク(スポークによる確立)
    • ハブ アンド スポーク(ADVPN - 自動検出 VPN)
    • リモート アクセス Juniper Secure Connect
  3. 表 1 に示すガイドラインに従って設定を完了します。

定義済みの VPN 構成を持つ新しい VPN プロファイルが作成されます。このオブジェクトを使用して、IPsec VPN を作成できます。

表 1: VPN プロファイルの設定

設定

ガイドライン

名前

最大 255 文字の英数字(スペースなし)の一意の文字列を入力します。

文字列には、コロン、ピリオド、ダッシュ、およびアンダースコアを含めることができます。

説明

VPN プロファイルの最大 1024 文字を含む説明を入力します。

認証タイプ

必要な認証タイプを選択します。

  • 事前共有ベース

  • RSAシグネチャ

  • DSA シグネチャ

  • ECDSAシグネチャ-256

  • ECDSAシグネチャ-384

IKE バージョン

IPsec の動的セキュリティ アソシエーション(SA)のネゴシエートに使用する必要な IKE バージョン(V1 または V2)を選択します。デフォルトでは、IKEv1が使用されます。

Juniper Security Director Cloudでは、IKEv2メッセージのフラグメント化により、IPフラグメントがブロックされ、ピアがIPsecセキュリティアソシエーション(SA)を確立できないような環境でもIKEv2を動作させることができます。IKEv2 フラグメント化は、大きな IKEv2 メッセージを小さなメッセージに分割して、IP レベルでフラグメント化が発生しないようにします。

モード

VPNモードを選択します。

  • メイン - サイト間 VPN を構築する際に、VPN を確立する最も一般的で安全な方法です。IKE ID は暗号化されており、盗聴者が特定することはできません。

  • アグレッシブ - メイン モードの IPsec ネゴシエーションの代替手段です。これは、クライアントのワークステーションからVPNゲートウェイにVPNを構築する場合に最も一般的なモードであり、クライアントのIPアドレスが事前にわからないか固定されていません。

暗号化アルゴリズム

適切な暗号化メカニズムを選択します。

認証アルゴリズム

アルゴリズムを選択します。デバイスはこのアルゴリズムを使用して、パケットの信頼性と整合性を検証します。

デフィー・ヘルマン・グループ

グループを選択します。

Diffie-Hellman(DH)グループは、鍵交換プロセスで使用される鍵の強度を決定します。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間を選択します。

有効範囲は 180 から 86400 秒です。

デッドピア検出

このオプションを有効にすると、ピア ゲートウェイが稼働していて、IPsec 確立中にネゴシエートされたデッドピア検出(DPD)メッセージに応答しているかどうかを 2 つのゲートウェイで判断できます。

DPDモード

DPD モードを選択します。

  • 最適化:デバイスがピアに発信パケットを送信した後、設定された間隔内に着信IKEまたはIPsecトラフィックがない場合、R-U-THEREメッセージがトリガーされます。これはデフォルトのモードです。

  • プローブ アイドル トンネル: R-U-THEREメッセージは、設定された間隔内に着信または発信IKEまたはIPsecトラフィックがない場合にトリガーされます。R-U-THEREメッセージは、トラフィックアクティビティが発生するまで定期的にピアに送信されます。

  • Always-send:R-U-THEREメッセージは、ピア間のトラフィックアクティビティに関係なく、設定された間隔で送信されます。

DPD間隔

デッドピア検出メッセージを送信する間隔を秒単位で選択します。

デフォルトの間隔は 10 秒で、有効範囲は 2 から 60 秒です。

DPDスレッショルド

障害DPDしきい値を選択します。

これは、ピアからの応答がない場合に DPD メッセージを送信する必要がある最大回数を指定します。デフォルトの送信回数は 5 回で、有効範囲は 1 から 5 です。

詳細設定

General-IkeID

一般的にピアIKE IDを受け入れるには、このオプションを有効にします。

このオプションはデフォルトで無効になっています。General IKE ID が有効な場合、IKE ID オプションは自動的に無効になります。

  • このオプションは、アグレッシブVPNモードでは使用できません。

  • Auto VPN および ADVPN に対して General IKE ID オプションを有効にした VPN プロファイルを使用することはできません。

IKEv2 再認証

再認証の頻度を選択します。再認証の頻度を 0 に設定することで、再認証を無効にすることができます。

有効範囲は 0 から 100 です。

IKEv2 Re フラグメント化のサポート

このオプションを有効にすると、大きな IKEv2 メッセージが小さなメッセージに分割され、IP レベルで断片化が発生しません。

IKEv2 再フラグメント サイズ

メッセージをフラグメント化するパケットのサイズを選択します。

デフォルトでは、IPv4 のサイズは 576 バイトで、有効範囲は 570 から 1320 です。

IKE Id

以下のIKE識別子を設定します。

  • ホスト名—ホスト名またはFQDNは、エンドシステムを識別する文字列です。

  • User@hostname - 電子メール アドレスと同じ形式に従った単純な文字列。

    ユーザー - ユーザーの電子メール アドレスを入力します。管理を容易にするために、ユーザーの有効な電子メール アドレスを使用することをお勧めします。

  • IPAddress—これは、サイト間VPNのIKE IDの最も一般的な形式です。

    これは、IPv4 アドレスまたは IPv6 アドレスのいずれかです。このオプションは、VPN モードが [アグレッシブ] で、認証タイプが [事前共有キー] の場合にのみ使用できます。

  • DN:証明書内の一意のユーザーを識別するために証明書で使用される識別名。

    このオプションは、RSA、DSA、および ECDSA 署名認証タイプでのみ使用できます。

メモ:
  • 事前共有キー認証タイプの場合:

    • [一般IKE ID] オプションを有効にしている場合、[IKE ID] オプションは自動的に [なし] に設定され、このオプションは編集できません。

    • 全般IKE IDオプションを有効にしてVPNプロファイルを選択した場合、IPsec VPNを変更するときに[トンネルの表示/編集]ページの[IKE ID]列を編集することはできません。

  • 証明書ベースの認証タイプの場合:

    • CLI は証明書の認証に使用されるため、[ local-identity 全般 IKE ID] オプションを有効にしている場合でも IKE ID オプションを編集できます。

    • IPsec VPN を変更するときに、[トンネルの表示/編集] ページで [IKE ID] 列を編集できます(一般的な IKE ID] オプションを有効にして VPN プロファイルを選択した場合)。

NAT-T

動的エンドポイントがNATデバイスの背後にある場合は、ネットワークアドレス変換トラバーサル(NAT-T)を有効にします。

キープアライブ

接続を維持する期間を秒単位で選択します。

VPNピア間の接続中は、NAT変換を維持するためにNATキープアライブが必要です。有効範囲は 1 から 300 秒です。

IPsec設定

プロトコル

VPNを確立するために必要なプロトコルを選択します。

  • ESP:カプセル化セキュリティペイロード(ESP)プロトコルは、暗号化と認証の両方を提供します。

  • AH—認証ヘッダー(AH)プロトコルは、データの整合性とデータ認証を提供します。

暗号化アルゴリズム

必要な暗号化方法を選択します。

これは、プロトコルがESPの場合に適用されます。

認証アルゴリズム

アルゴリズムを選択します。

デバイスはこれらのアルゴリズムを使用して、パケットの信頼性と完全性を検証します。

完全転送機密保持

デバイスが暗号化キーを生成するために使用する方法として、完全転送機密保持(PFS)を選択します。

PFSは、以前の鍵とは独立して、新しい暗号鍵を生成します。グループ番号が大きいほどセキュリティは強化されますが、処理時間が長くなります。

トンネルの確立

IKE をいつアクティブにするかを指定するオプションを選択します。

  • 即時:VPN 設定の変更がコミットされた直後に IKE がアクティブになります。

  • オントラフィック—IKEは、データトラフィックが流れる場合にのみアクティブになり、ピアゲートウェイとネゴシエートする必要があります。これはデフォルトの動作です。

詳細設定

VPN モニター

インターネット制御メッセージ プロトコル(ICMP)を送信してVPNが稼働しているかどうかを判断するには、このオプションを有効にします。

最適化

このオプションを有効にすると、VPN監視を最適化し、設定されたピアからVPNトンネルを経由する発信トラフィックと着信トラフィックがない場合にのみ、ICMPエコーリクエスト(pingsとも呼ばれます)を送信するようにSRXシリーズファイアウォールを設定します。

VPNトンネルを経由する着信トラフィックがある場合、SRXシリーズファイアウォールはトンネルがアクティブであるとみなし、ピアにpingを送信しません。

アンチリプレイ

IPsec メカニズムでこのオプションを有効にして、IPsec パケットに組み込まれた一連の数字を使用する VPN 攻撃から保護します。

IPsec は、すでに同じシーケンス番号を認識しているパケットを受け入れません。シーケンス番号をチェックし、シーケンス番号を無視するのではなく、チェックを強制します。

IPsec メカニズムにエラーがあり、パケットの順序が狂い、適切な機能が妨げられる場合は、このオプションを無効にします。

既定では、アンチリプレイ検出は有効になっています。

インストール間隔

キーが変更されたアウトバウンド セキュリティ アソシエーション(SA)をデバイスにインストールできる最大秒数を選択します。

アイドル時間

適切なアイドル時間間隔を選択します。

セッションとそれに対応する変換は、通常、トラフィックが受信されない場合、一定時間が経過するとタイムアウトします。

DF ビット

IP メッセージのフラグメント化禁止(DF)ビットを処理するオプションを選択します。

  • クリア—IP メッセージの DF ビットを無効にします。これはデフォルトのオプションです。

  • コピー—DFビットをIPメッセージにコピーします。

  • Set - IP メッセージの DF ビットを有効にします。

外部 DSCP のコピー

このオプションを有効にすると、外部 IP ヘッダー暗号化パケットから、復号化パス上の内部 IP ヘッダー プレーン テキスト メッセージに DSCP(差別化されたサービス コード ポイント)フィールドをコピーできます。

この機能を有効にする利点は、IPsec 復号化後、クリア テキスト パケットが内部サービス クラス(CoS)ルールに従うことができることです。

ライフタイム秒

IKE セキュリティ アソシエーション(SA)の有効期間を選択します。

有効範囲は 180 から 86400 秒です。

ライフタイムキロバイト

IPsecセキュリティアソシエーション(SA)のライフタイムをキロバイト単位で選択します。

有効範囲は 64 から 4294967294 キロバイトです。