事前共有キーを使用したローカルユーザー認証

この設定では、ローカルユーザー認証にユーザ名とパスワードを使用します。この構成オプションでは、ファイアウォール管理者と対話せずに資格情報を変更または回復できないため、この認証方法はお勧めしません。代わりに、 RADIUS 方式による外部ユーザー認証を使用することをお勧めします。

Juniper Secure Connect導入設定の説明に従って、インターフェイス、ゾーン、セキュリティポリシーなど、SRXシリーズファイアウォールの基本的な設定が完了していることを前提としています。

前提条件については、「 Juniper Secure Connect のシステム要件」を参照してください。

手記：

SRXシリーズファイアウォールは、デフォルトのシステム生成証明書ではなく、署名付き証明書または自己署名証明書のいずれかを使用していることを確認する必要があります。Juniper Secure Connectの設定を開始する前に、「 Juniper Secure Connectの使用を開始する」の手順を読むことが重要です。

Juniper Secure Connect VPNの設定

J-Web インターフェイスを使用して VPN を設定するには、次の手順に従います。

J-Webインターフェイスを使用して、SRXシリーズファイアウォールにログインします。

ログインに成功すると、[基本設定]ページが表示されます。
[J-Web] サイドウィンドウで、[ネットワーク] > [VPN > IPSec VPN] に移動します。
1. [ IPSec VPN] をクリックすると、[IPSec VPN] ページが表示されます。
2. ページの右隅にある [リモートアクセス > Juniper Secure Connect > VPN の作成 ] を選択して、Juniper Secure Connect の IPSec VPN 設定を作成します。
  
  次の警告メッセージが表示されます。
  
  図 1: 自己署名証明書を生成してバインドするための警告メッセージ
  
  警告メッセージに記載されているように、自己署名証明書を作成し、その証明書をSRXシリーズファイアウォールにバインドします。詳細については、「 Juniper Secure Connectの証明書の展開」を参照してください。
  
  リモートアクセスVPNの作成の詳細については、「リモートアクセスVPNの作成—Juniper Secure Connect」を参照してください。
3. 再度 [ Network > VPN > IPSec VPN] に移動し、ページの右隅にある [ Create VPN > Remote Access > Juniper Secure Connect ] を選択して、Juniper Secure Connect の IPSec VPN設定を作成します。[Create Remote Access (Juniper Secure Connect)] ページが表示されます。
  
  図 2 は、事前共有キー認証方式を使用した [Create Remote Access] ページの例を示しています。
  
  図 2: [Create Remote Access For Pre-shared Key Authentication Method ] ページ
[Create Remote Access (Juniper Secure Connect)] ページ (図 2 を参照):
1. リモートアクセス接続の名前(これは、Juniper Secure Connectアプリケーションのエンドユーザレルム名に表示される名前です)と説明を入力します。
2. ルーティングモードは、デフォルトでトラフィックセレクター(自動ルート挿入) に設定されています。
3. 認証方法を選択します。この例では、ドロップダウンリストから[ Pre-shared Key ]を選択しましょう。
4. [はい] を選択すると、ファイアウォールポリシーの自動作成オプションを使用してファイアウォールポリシーが自動的に作成されます。

[リモートユーザー]アイコンをクリックして、Juniper Secure Connectアプリケーション設定を行います。

図 3: [Remote User] ページ Remote User Page

図 3 は、「リモート・ユーザー」ページの例を示しています。

リモート・ユーザー・クライアントを構成するには、「リモート・ユーザー」ページでオプションを選択し、「 OK 」をクリックします。

表 1 は、リモートユーザー設定オプションをまとめたものです。

表 1:リモートユーザー設定オプション
リモートユーザー設定	形容
デフォルトプロファイル	デフォルトプロファイルはデフォルトで有効になっています。このプロファイルをデフォルトのプロファイルにしない場合は、クリックしをクリックします。 VPN 接続プロファイルに対してデフォルトプロファイルを有効にすると、Juniper Secure Connect レルム名としてデフォルトプロファイルが自動的に選択されます (この例では https://192.0.2.12/)。この場合、Juniper Secure Connectにレルム名を入力するのはオプションです。 VPN 接続プロファイルのデフォルトプロファイルを無効にする場合は、レルム名とゲートウェイアドレス(この例では https://192.0.2.12/JUNIPER_SECURE_CONNECT)をJuniper Secure Connectに入力する必要があります。手記： Junos OS 23.1R1 リリース以降、デフォルトプロファイルは J-Web で非推奨になりました。ただし、CLI では、すぐに削除するのではなく、後方互換性を提供し、既存の設定を変更した設定に適合させる機会を提供します。設定で default-profile オプションを引き続き使用すると、警告メッセージが表示されます。ただし、CLI を使用して現在の設定を変更しても、既存の展開は影響を受けません。default-profile (Juniper Secure Connect)を参照してください。
接続モード	クライアント接続を手動または自動で確立するには、適切なオプションを選択します。「手動」を選択した場合、Juniper Secure Connectアプリケーションで接続を確立するには、クリックしをクリックするか、メニューから「接続>接続」を選択する必要があります。 [ 常時]を選択すると、Juniper Secure Connectが自動的に接続を確立します。既知の制限: Android デバイス: [常時] を使用または選択すると、設定は最初に使用されたSRX デバイスからダウンロードされます。最初のSRXシリーズファイアウォールの構成が変更された場合、または新しいSRX デバイスに接続した場合、構成はJuniper Secure Connectアプリケーションにダウンロードされません。つまり、Androidデバイスを使用して常時モードで接続すると、SRXシリーズファイアウォールで設定を変更してもJuniper Secure Connectには反映されません。
SSL VPN	Juniper Secure ConnectアプリケーションからSRXシリーズファイアウォールへのSSL VPN 接続のサポートを有効にするには、クリックしをクリックします。このオプションは、IPsec ポートが許可されていない場合に使用します。 SSL VPNを有効にすることで、クライアントはSRXシリーズファイアウォールに柔軟に接続できます。デフォルトでは、 SSL VPN は有効になっています。
バイオメトリクス認証	このオプションはデフォルトで無効になっています。このオプションを有効にした場合、Juniper Secure Connectで[接続]をクリックすると、Juniper Secure Connectに認証プロンプトが表示されます。このオプションを使用すると、ユーザーはオペレーティングシステムに組み込まれた生体認証サポートを使用して資格情報を保護できます。
デッドピアの検出	デッドピア検出(DPD)はデフォルトで有効になっており、SRXシリーズファイアウォールに到達可能かどうかをクライアントが検出できます。デバイスに到達できない場合は、到達可能性が回復するまで接続を無効にします。
ユーザー名を保存	Juniper Secure Connectアプリケーションに認証情報を保存するには、このオプションを有効にします。
Windows ログオン	このオプションを使用すると、ユーザーは(Windowsプレログオンを使用して)確立されているVPNトンネルを介してローカルWindowsシステムにログオンできるため、セントラルWindowsドメインまたはActive Directoryに認証されます。
マルチデバイスアクセス	異なるデバイスからの同じ認証情報と同じゲートウェイURLを使用して、Juniper Secure Connectクライアントからユーザーにマルチアクセスを提供する
アプリケーションバイパス	Juniper Secure Connectアプリケーションのユーザーが、ドメイン名とプロトコルに基づいて特定のアプリケーションをバイパスできるようにし、トラフィックがVPNトンネルを通過する必要をなくすには、このオプションを選択します。
コンプライアンス	ファイアウォールでこの機能を有効にすると、Juniper Secure Connectアプリケーションは、設定したアドミッション基準に基づいてVPN 接続を確立できます。この機能を有効にすることをお勧めします。

[ローカルゲートウェイ] をクリックして、ローカルゲートウェイ設定を構成します。
図 4 は、ローカルゲートウェイの構成設定の例を示しています。

図 4: ローカルゲートウェイ構成
1. [Gateway is behind NAT] を有効にすると、テキストボックスが表示されます。テキストボックスに、NAT の IP アドレスを入力します。IPv4アドレスのみをサポートしています。NAT アドレスは外部アドレスです。
2. 古いJ-Webバージョンの場合は、 IKE IDを user@hostname.com 形式で入力する必要があります。たとえば、 abc@xyz.com です。
3. [外部インターフェイス(External Interface)] フィールドで、接続するクライアントの IP アドレスを選択します。Juniper Secure Connect アプリケーションの [ゲートウェイアドレス(Gateway Address)] フィールドに、これと同じ IP アドレス(この例では https://192.0.2.12/)を入力する必要があります。
  
  [ゲートウェイが NAT の背後にある] を有効にすると、NAT の IP アドレスがゲートウェイアドレスになります。
4. トンネルインターフェイスドロップダウンリストから、ルートベースVPNにバインドするインターフェイスを選択します。または、[追加] をクリックします。「追加」をクリックすると、「トンネルインターフェイスの作成」ページが表示されます。
  
  次に使用可能なst0論理インターフェイス番号が[インターフェイスユニット]フィールドに表示され、このインターフェイスの説明を入力できます。このトンネルインターフェイスを追加するゾーンを選択します。[ ファイアウォールポリシーの自動作成 ] ([リモートアクセスの作成] ページ) が [はい] に設定されている場合、ファイアウォールポリシーはこのゾーンを使用します。[ OK] をクリックします。
5. 事前共有キーをASCII形式で入力します。リモートアクセスVPNでは、16進数形式はサポートされていません。
6. [ User Authentication ] ドロップダウンリストから既存のアクセスプロファイルを選択するか、[ Add ] をクリックして新しいアクセスプロファイルを作成します。[ Add] をクリックすると、[ Create Access Profile ] ページが表示されます。
  
  アクセスプロファイル名を入力します。[ Address Assignment ] ドロップダウンリストからアドレスプールを選択するか、[ Create addresspool] をクリックします。「アドレスプールの作成」をクリックすると、「アドレスプールの作成」ページが表示されます。
  - クライアントのVPNポリシーにあるローカルIPプールの詳細を入力します。IP アドレスプールの名前を入力します。
  - アドレス割り当てに使用するネットワークアドレスとサブネットを入力します。
  - DNS サーバーアドレスを入力します。必要に応じて、WINSサーバーの詳細を入力します。
  - 詳細を入力したら、[ OK]をクリックします。
  [ローカル]チェックボックスをオンにして、すべての認証詳細がSRXシリーズファイアウォールに保存されるローカル認証ユーザーを作成します。追加アイコン(+)をクリックすると、[Create Local Authentication User] ウィンドウが表示されます。
  
  ユーザー名とパスワードを入力し、[ OK] をクリックします。もう一度 [OK ] をクリックして、アクセスプロファイルの設定を完了します。
7. [ SSL VPN プロファイル ] ドロップダウンリストから既存のプロファイルを選択するか、[ 追加 ] をクリックして新しいSSL VPN プロファイルを作成します。 [Add] をクリックすると、[ Add SSL VPN プロファイル ] ページが表示されます。
  
  [ SSL VPN プロファイルの追加 ] ページで、SSL VPN プロファイルを設定できます。[ 名前(Name )] フィールドに SSL VPN プロファイル名を入力し、必要に応じてトグルを使用してロギングを有効にします。[ SSL ターミネーションプロファイル(SSL Termination Profile )] フィールドで、ドロップダウンリストから SSL ターミネーションプロファイルを選択します。SSL終端は、SRXシリーズファイアウォールがSSLプロキシサーバーとして機能し、クライアントからのSSLセッションを終了するプロセスです。新しい SSL ターミネーション・プロファイルを作成する場合は、「追加」をクリックします。[ Create SSL Termination Profile ] ページが表示されます。
  - SSL終端プロファイルの名前を入力し、SRXシリーズファイアウォールでSSL終端に使用するサーバー証明書を選択します。「追加」をクリックして新しいサーバー証明書を追加するか、「インポート」をクリックしてサーバー証明書をインポートします。サーバー証明書は、ローカル証明書識別子です。サーバー証明書は、サーバーの ID を認証するために使用されます。
  - [ OK] をクリックします。
8. [送信元 NAT トラフィック(Source NAT Traffic)] オプションは、デフォルトで有効になっています。送信元NATトラフィックが有効な場合、Juniper Secure Connectアプリケーションからのすべてのトラフィックが、デフォルトで選択されたインターフェイスにNATされます。クリックし、[送信元 NAT トラフィック(Source NAT Traffic)] オプションを無効にします。オプションが無効になっている場合、リターントラフィックを正しく処理するために、ネットワークからSRXシリーズファイアウォールを指すルートがあることを確認する必要があります。
9. [保護されたネットワーク]で、追加アイコン(+)をクリックして、Juniper Secure Connectアプリケーションが接続できるネットワークを選択します。
  
  既定では、任意のネットワーク 0.0.0.0/0 が許可されます。特定のネットワークを設定すると、Juniper Secure Connectアプリケーションのスプリットトンネリングが有効になります。デフォルト値をそのまま使用する場合は、クライアントネットワークからファイアウォールポリシーを調整することで、定義したネットワークへのアクセスを制限できます。 [OK] をクリックすると、選択したネットワークが保護対象ネットワークのリストに表示されます。[ OK ] をクリックして、ローカルゲートウェイの設定を完了します。
  
  [IKE 設定(IKE 設定 )] と [IPsec 設定 ] は高度なオプションです。J-Webは、IKEおよびIPsecパラメータのデフォルト値ですでに設定されています。これらの設定の構成は必須ではありません。
これで、リモートユーザーが接続する URL が見つかりました。この URL をコピーして保存し、リモートユーザーと共有します。この構成が既定のプロファイルでない場合は、/xxxx 情報のみが必要です。
図5 は、リモートユーザーがリモートアクセス接続を確立するために、Juniper Secure Connectアプリケーションのゲートウェイアドレスフィールドに入力する必要があるURLを示しています。

図 5: コミットリモートアクセス設定
1. 自動ポリシー作成オプションを選択した場合は、[ 保存 ]をクリックして、Juniper Secure Connect vpnの設定と関連するポリシーを完了します。
2. 強調表示された [Commit ] ボタン(ページの右上にある [Feedback] ボタンの横)をクリックして、設定をコミットします。

クライアントマシンにJuniper Secure Connectアプリケーションをダウンロードしてインストールします。Juniper Secure Connectを起動し、SRXシリーズファイアウォールのゲートウェイアドレスに接続します。

事前共有キーを使用したローカルユーザー認証

Juniper Secure Connect VPNの設定

関連資料