Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
項目一覧
 

事前共有キーを使用したローカルユーザー認証(CLI手順)

概要

この設定では、ローカル ユーザー認証にユーザ名とパスワードを使用します。この構成オプションでは、ファイアウォール管理者と対話せずに資格情報を変更または回復できないため、この認証方法はお勧めしません。代わりに、 RADIUS 方式による外部ユーザー認証 を使用することをお勧めします。

図1に示すように、インターフェイス、ゾーン、セキュリティポリシーなど、SRXシリーズファイアウォールの基本的な設定が完了していることを前提としています。

図 1: トポロジー Topology

前提条件については、「 Juniper Secure Connect のシステム要件」を参照してください。

SRXシリーズファイアウォールは、デフォルトのシステム生成証明書ではなく、署名付き証明書または自己署名証明書のいずれかを使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、次のコマンドを実行して、証明書をSRXシリーズファイアウォールにバインドする必要があります。

例えば:

ここで、SRX_Certificate は自己署名証明書です。

CLIクイック構成

お使いのSRXシリーズファイアウォールでこの例を素早く設定するには、以下のコマンドをコピーしてテキストファイルに貼り付け、改行を削除して、ネットワーク設定に合わせて必要な詳細を変更し、コマンドを[edit]階層レベルのCLIにコピー&ペーストしてください。

ステップバイステップの手順

コマンドライン インターフェイスを使用して VPN 設定を構成するには:

  1. コマンドラインインターフェイス(CLI)を使用して、SRXシリーズファイアウォールにログインします。
  2. 設定モードにします。
  3. リモート アクセス VPN を構成します。
    条件

    Juniper Secure Connectを導入するには、自己署名証明書を作成し、その証明書をSRXシリーズファイアウォールにバインドする必要があります。詳細については、「 Juniper Secure Connectの設定準備」を参照してください。

    IKE 設定:

    1. IKE の提案を構成します。
      • IKE の提案、認証方法、Diffie-Hellman グループ、認証アルゴリズムを定義します。
      • 認証方法として 事前共有キー を設定します。

        キーをASCII形式で入力します。リモートアクセスVPNでは、16進数形式はサポートされていません。

      プロポーザル(セキュリティIKE)を参照してください。
    2. IKEポリシーを構成します。

      IKEフェーズ1ポリシーモード、IKE の提案への参照、およびIKEフェーズ1ポリシー認証方法を設定します。

      ポリシー(セキュリティ IKE)を参照してください。
    3. IKEゲートウェイオプションを設定します。動的 (dynamic を参照)。

      DPD 値とバージョン情報を設定しない場合、Junos OS がこれらのオプションのデフォルト値を割り当てます。 dead-peer-detectionを参照してください。

      クライアントが接続する外部インターフェースのIPアドレスを設定します。Juniper Secure Connectアプリケーションの [Gateway Address ]フィールドに、同じIPアドレス(この例では192.0.2.0)を入力する必要があります。 ゲートウェイ (gateway) を参照。

    IPsec 設定:

    1. IPsecプロポーザルを設定します。
      プロポーザル(セキュリティ IPsec)を参照してください。
    2. IPsecポリシーを構成します。
      • IPsecフェーズ2のPFSがDiffie-Hellman group 19を使用するよう指定します。
      • IPsecフェーズ2のプロポーザルリファレンスを指定します。
      ポリシー(セキュリティ IPsec)を参照してください。

    IPSec VPN 設定:

    1. IPSec VPNパラメータを設定します。vpn(セキュリティ)を参照してください。
    2. VPNトラフィックセレクターを設定します。トラフィックセレクターを参照してください。
  4. リモート・ユーザー・クライアント・オプションを構成します。
    1. リモートアクセスプロファイルを設定します。「リモートアクセス」を参照してください。
    2. リモート アクセス クライアント構成を構成します。client-configを参照してください。

    表 1 は、リモート ユーザー設定オプションをまとめたものです。

    表 1:リモート ユーザー設定オプション

    リモートユーザー設定

    形容

    接続モード

    クライアント接続を手動または自動で確立するには、適切なオプションを設定します。

    • 手動オプションを設定した場合、Juniper Secure Connectアプリケーションで接続を確立するには、クリックしをクリックするか、メニューから接続>接続を選択する必要があります。

    • [Always]オプションを設定すると、Juniper Secure Connectが自動的に接続を確立します。

    既知の制限:

    Android デバイス: [常時(Always)] を使用または選択すると、設定は最初に使用されたSRX デバイスからダウンロードされます。最初のSRXシリーズファイアウォールの構成が変更された場合、または新しいSRX デバイスに接続した場合、構成はJuniper Secure Connectアプリケーションにダウンロードされません。

    つまり、Androidデバイスを使用して 常時 モードで接続すると、SRXシリーズファイアウォールで設定を変更してもJuniper Secure Connectには反映されません。

    デッドピア検出

    デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達可能かどうかをクライアントが検出できます。デバイスに到達できない場合は、到達可能性が回復するまで接続を無効にします。

    デフォルト -プロファイル

    VPN 接続プロファイルをデフォルトプロファイルとして設定する場合は、Juniper Secure Connect アプリケーションのゲートウェイアドレスのみを入力する必要があります。Juniper Secure Connect アプリケーションでは、デフォルトのプロファイルがレルム名として自動的に選択されるため、レルム名を入力するかどうかは任意です。この例では、Juniper Secure Connect アプリケーションの [ゲートウェイ アドレス(Gateway Address)] フィールドに ra.example.com と入力します。

    手記:

    Junos OS リリース 23.1R1 以降、[edit security remote-access] 階層レベルで default-profile オプションを非表示にしました 。Junos OS リリース 23.1R1 より前のリリースでは、このオプションを使用して、リモートアクセス プロファイルの 1 つを Juniper Secure Connect のデフォルト プロファイルとして指定します。しかし、リモートアクセスプロファイル名の形式が変更されたため、default-profileオプションは不要になりました。

    default-profile オプションはすぐに削除するのではなく、非推奨にしました。これは、下位互換性を確保し、既存の構成を変更された構成に適合させる機会を提供するためです。設定で default-profile オプションを引き続き使用する と、警告メッセージが表示されます。ただし、現在の設定を変更しても、既存の展開は影響を受けません。default-profile (Juniper Secure Connect)を参照してください。
  5. ローカルゲートウェイを設定します。
    1. クライアントの動的IP割り当て用のアドレスプールを作成します。address-assignment (アクセス)を参照してください。

      • アドレス割り当てに使用するネットワーク アドレスを入力します。

      • DNS サーバー アドレスを入力します。必要に応じて、WINSサーバーの詳細を入力します。クライアントにIPアドレスを割り当てるためのアドレス範囲を作成します。

      • 名前と、下限と上限を入力します。

    2. アクセス プロファイルを作成。クライアントのVPNポリシーにあるローカルIPプールの詳細を入力します。IP アドレス プールの名前を入力します。

      クライアント資格情報のSRXローカル認証用のユーザー名とパスワードを入力します。

    3. SSL 終端プロファイルを作成します。SSL終端は、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了するプロセスです。SSL終端プロファイルの名前を入力し、SRXシリーズファイアウォールでSSL終端に使用するサーバー証明書を選択します。サーバー証明書は、ローカル証明書識別子です。サーバー証明書は、サーバーの ID を認証するために使用されます。
    4. SSL VPN プロファイルを作成します。tcp-encapを参照してください。
    5. ファイアウォールポリシーを作成します。
      trustゾーンからvpnゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
      vpnゾーンからtrustゾーンへのトラフィックを許可するセキュリティ ポリシーを作成します。
  6. イーサネット インターフェイス情報を設定します。

    ファミリーをinetに設定してst0インターフェイスを設定します。

  7. セキュリティ ゾーンを設定します。

    host-inbound-traffic 必要な最小設定の場合:

    1. system-services - VPN ゾーンで、 ike を選択してVPNサービスを許可し、 https HTTPS接続で初期設定をアプリケーションにプッシュすることを許可しJuniper Secure Connect。 trust ゾーンで、 [ https] を選択します。

    2. protocols - 基本構成ではなし。

      「システム・サービスおよびプロトコル」を参照してください。

    設定例では、 all system-servicesprotocolsについて説明します。ただし、必要なサービスとプロトコルのみを許可することをお勧めします。

  8. リモートユーザーとローカルゲートウェイを使用したリモートアクセス構成は正常に構成されています。
  9. Juniper Secure Connectアプリケーションを起動し、Juniper Secure Connectアプリケーションの[ゲートウェイアドレス]フィールドに外部IPアドレスとして設定したものと同じIPアドレスを入力します。

    この例では、クライアントが接続する外部インターフェースの IP アドレスとして 192.0.2.0 を設定しました。Juniper Secure Connectアプリケーションの[ゲートウェイアドレス]フィールドに、同じIPアドレス(192.0.2.0)を入力する必要があります。

結果

動作モードから、 show securityshow access、および show services コマンドを入力して設定を確認します。出力結果に意図した設定内容が表示されない場合は、この例の設定手順を繰り返して設定を修正します。

SSL 終端プロファイルに添付するサーバー証明書が既にあることを確認します。

デバイスでの機能の設定が完了したら、設定モードから「commit」と入力します。

関連資料