第59章 VPNポリシーの設定

VPN > 設定

VPNポリシー設定のためのSonicWALL機能は、「VPN設定」ページで提供されています。この「VPN > 設定」ページから、サイト間VPNポリシーおよびGroupVPNポリシーを設定することができます。

VPNの概要

仮想プライベート ネットワーク (VPN) では、パブリック インターネットを介して2台以上のコンピュータ、または保護されたネットワーク間をセキュリティ保護された手段で接続できます。VPNでは、正しい通信相手との情報の送受信を保証するために、認証が実施されます。認証によって、情報を送受信途中の閲覧や改ざんから保護するためのセキュリティが確保されます。

インターネット プロトコル セキュリティ (IPsec) およびセキュア ソケット レイヤ (SSL) が発明される以前は、セキュリティ保護された手段でリモート コンピュータやネットワーク間を接続するためには専用回線または衛星中継が必要でしたが、 両方とも柔軟性が乏しいうえコストが割高でした。

VPNでは、接続作成時に同様の信頼性およびセキュリティを確保するために、セキュリティ保護されたトンネルをインターネット経由で確立します。このトンネルは物理接続ではないことから柔軟性に優れているため、このトンネルに随時に変更を加え、さらに多くのノードを追加することも、ノードを変更することも、また全ノードを削除することもできます。また、VPNのインターネット インフラストラクチャには既存のものを使えるため、コストをかなり低く抑えることもできます。

VPNの種類

今日広範に使用されているVPNには大きく分けて、次の2種類があります。


・ IPsec VPN: IPsecは、ネットワーク通信のパケット処理層でのセキュリティに関する一連のプロトコルです。IPsecのメリットは、個別ユーザのコンピュータを変更する必要なしにセキュリティ上の処置に対処できることです。SonicOSは、IPsec VPNの作成および管理をサポートしています。
IPsecでは、2とおりあるセキュリティ サービス (データ送信者の認証を基本的に許可する認証ヘッダー (AH) と、データ送信者の認証およびデータの暗号化の両方をサポートするカプセル化セキュリティ ペイロード (ESP)) のどちらかを選択できます。これらの各サービスに関連する固有情報は、IPパケット ヘッダーの後続ヘッダー内のパケットに挿入されます。

・ SSL VPN: セキュア ソケット レイヤ (SSL) は、インターネット上での (通常はHTTPS経由の) メッセージ転送のセキュリティを管理するためのプロトコルです。SSLが使用するプログラム層は、インターネットのハイパーテキスト転送プロトコル (HTTP) 層と転送制御プロトコル (TCP) 層との間に位置しています。SSLにはRSAの公開鍵/秘密鍵暗号化方式が使用され、この暗号化方式を使用する際にはデジタル証明書も使用されます。SSL VPNは、SSLを使用してVPNトンネルのセキュリティを保護します。
SSL VPNのメリットの1つは、ほとんどのウェブ ブラウザにSSLを組み込めることです。その際に特別なVPNクライアント ソフトウェアやハードウェアは必要ありません。
補足 SonicWALLで製造しているSSL-VPN機器は、SonicOSが動作するSonicWALL UTM装置と連携させて使うことも、またSonicWALL UTM装置とは別個に使うことも可能です。SonicWALLのSSL-VPN機器については、SonicWALLのウェブサイト 〈http://www.sonicwall.com/us/products/Secure_Remote_Access.html〉 を参照してください。

VPNのセキュリティ

IPsec VPNトラフィックは、次の2つのフェーズでセキュリティ保護されます。


・ 認証: 第1フェーズでは、公開鍵と秘密鍵のペアのうちの公開鍵部分の交換によって、トラフィックの送信者および受信者の認証を確立します。このフェーズが正常終了しないうちは、VPNトンネルを確立できません。

・ 暗号化: VPNトンネル内のトラフィックは、AESや3DESなどの暗号化アルゴリズムを使用して暗号化されます。

手動鍵を使用する場合 (VPN内の各ノードに同じ値を入力する必要があるため)、VPNメンバー認証情報およびデータ暗号化/復号化情報を交換する際には、認証情報 (鍵) の交換およびVPNトンネル確立のためのIKE (インターネット鍵交換) プロトコルが使用されます。SonicOSは、IKEの2つのバージョン (バージョン1およびバージョン2) をサポートしています。

IKEバージョン1

IKEバージョン1は2つのフェーズから成る処理によって、VPNトンネルのセキュリティを保護します。


・ IKEフェーズ1は認証フェーズです。トンネルの片側にあるノードまたはゲートウェイは、相互に認証し、暗号化鍵と復号化鍵を交換して、セキュリティ保護されたトンネルを確立します。

・ IKEフェーズ2はネゴシエーション フェーズです。2つのノードまたはゲートウェイはいったん認証を終えると、VPN経由で渡されたデータに対して用いる暗号化方式および (ハッシュ関数を使用した) データ検証をネゴシエートするとともに、トンネルおよび存続期間内でのセキュア アソシエーション (SA) の数をネゴシエートし、その後、暗号化/復号化鍵の再ネゴシエートを要求します。
IKEフェーズ1

IKEv1の場合、認証情報を交換するモードには、 メイン モードおよびアグレッシブ モードの2とおりがあります。

メイン モード: VPNを起動するノードまたはゲートウェイは、受信側のノードまたはゲートウェイに問い合わせて、認証方式、公開鍵、および識別情報を交換します。この処理では通常6つのメッセージを送受信する必要があります。メイン モードでは、認証メッセージが次のような順序で処理されます。
1. 開始側が自らサポートしている暗号化アルゴリズムのリストを送信する
2. サポートされている暗号化アルゴリズムのリストを、応答側が使用して応答する
3. 相互にサポートされている最初の暗号化アルゴリズム用の公開鍵 (Diffie-Helman公開/秘密鍵のペアの一部) を開始側が送信する
4. 応答側が同じ暗号化アルゴリズムの公開鍵を使用して応答する
5. 開始側が識別情報 (通常は証明書) を送信する
6. 応答側が識別情報を使用して応答する
アグレッシブ モード: 認証時に交換されるメッセージの数を半減するために、どの暗号化アルゴリズムを使用したらよいかについてのネゴシエーションが省略されます。ある特定のアルゴリズムを開始側が提案すると、応答側はそのアルゴリズムをサポートしているかどうかについての応答を返します。たとえば、次のようになります。
1. 開始側が自らの公開鍵を使用/送信するための暗号化アルゴリズムを提案する
2. 応答側が公開鍵および識別証明を使用して応答する
3. 開始側が識別証明を送信する 認証後は、VPNトンネルが2つのSAを使用して確立されます。1つは各ノードから他のノードへのSAです。
IKEフェーズ2

IKEフェーズ2では、両方の通信相手が利用するセキュリティの種類をネゴシエートします。

個々のパケット用のセキュリティには、次の2種類があります。


・ カプセル化セキュリティ ペイロード (ESP) - 各パケットのデータ部を、通信相手間でネゴシエートされたプロトコルを使用して暗号化します。

・ 認証ヘッダー (AH) - 各パケットの認証ヘッダーには認証情報が含まれています。これにより、情報の信憑性が保証されるとともに、改ざんが防止されます。AHのデータには暗号化は一切使用されません。

SonicOSは、VPN経由のトラフィックに対して、次の暗号化方式をサポートしています。


・ DES

・ 3DES

・ AES-128

・ AES-192

・ AES-256

IKEv1の詳細は、当初のIKEを規定する3つの仕様書 (RFC 2407、RFC 2408およびRFC 2409) に記載されています。次のウェブで閲覧できます。


・ http://www.faqs.org/rfcs/rfc2407.html

・ http://www.faqs.org/rfcs/rfc2408.html

・ http://www.faqs.org/rfcs/rfc2409.html

IKEバージョン2

IKEバージョン2は、セキュリティ アソシエーション (SA) のネゴシエーションおよび確立のためのより新しいプロトコルです。

IKEv2は新しいVPNポリシーの既定のプロポーサルです。

IKEv2では、セカンダリ ゲートウェイがサポートされます。

IKEv2にはIKEv1との互換性はありません。IKEv2を使用する場合、トンネルを確立するには、VPN内のすべてのノードにIKEv2を使用する必要があります。

IKEv2では、VPNを越えたDHCPがサポートされません。

IKEv2はIKEv1より以下の利点があります。


・ より高い安全性

・ より高い信頼性

・ より簡易化

・ より高速

・ 拡張性

・ 接続を確立するための、より少ないメッセージ交換

・ EAP認証サポート

・ MOBIKEサポート

・ ビルトインNAT トラバーサル

・ 既定でキープアライブが有効

IKEv2では、上記以外にIPアドレスの割り当ておよび拡張認証プロトコル (EAP) もサポートすることにより、いくつかの認証方式やリモート アクセスのシナリオを可能にします。IKEv2を使用することにより、SAの確立に要するメッセージ交換の回数がIKEv1のメイン モードに比べて大幅に減少すると同時に、IKEv1のアグレッシブ モードに比べてセキュリティが強化され柔軟性が高まります。これにより、鍵を再設定する際の遅延が低減します。VPNの拡大に伴って複数のノードまたはゲートウェイ間に含まれるトンネルが増えると、IKEv2は各トンネルに要するSAの数を減らすことによって、帯域幅の必要量を低く抑え、ハウスキーピングのオーバーヘッドを軽減します。

IKEv2内のSAは子SAと呼ばれており、VPNトンネルの有効期間中はいつでも個別に作成、変更、削除することができます。

IKEv2での初期化と認証

IKEv2は、メッセージ交換のペア (2組のメッセージ/応答) を使用してVPNトンネルを初期化します。


・ 通信の初期化: 1組目のメッセージ (IKE_SA_INIT) は、暗号化アルゴリズムをネゴシエートし、ナンス (反復したメッセージを防ぐために生成し送信されるランダム値) を交換して、公開鍵交換を実行します。
a. サポートされている暗号化アルゴリズム、公開鍵、およびナンスのリストを、開始側が送信する
b. 応答側が選択した暗号化アルゴリズム、公開鍵、ナンスおよび認証要求を送信する

・ 認証: 2組目のメッセージ (IKE_AUTH) は、以前のメッセージを認証し、識別情報および証明書を交換して、最初のCHILD_SAを確立します。これらのメッセージの一部は、IKE_SA_INIT交換で確立された鍵によって暗号化され整合性が保全されます。その結果、識別情報が盗聴から隠蔽され、あらゆるメッセージの全フィールドが認証されます。
a. 開始側が識別証明 (たとえば、共有鍵や証明書)、および子SA確立の要求を送信する
b. 応答側が一致する識別証明を送信して、子SAのネゴシエーションを完了する
IKEv2でのSAのネゴシエート

この交換は1つの要求/応答ペアから成るため、IKEv1では“フェーズ2交換”と呼ばれていました。フェーズ2交換は、最初の交換の完了後に、SAの片側で開始できます。

最初の交換以降の後続メッセージはすべて、IKE交換の最初の2つのメッセージでネゴシエートされた暗号化アルゴリズムおよび鍵を使用して、暗号化によって保護されます。

このセクションでは、CREATE_CHILD_SA交換を開始する側のエンドポイントを“開始側”という用語で指しています。この交換は、両方のエンドポイントで開始可能であるためです。

1. 開始側は子SAオファーを送信する(データを暗号化する必要のある場合は、暗号化方式および公開鍵も送信する)
2. 応答側は受け取った子SAオファーを送信する (暗号情報が含まれていた場合は、公開鍵も送信する)
補足 IKEv2の詳細は、仕様書RFC4306に記載されています。次のウェブで閲覧できます。http://www.ietf.org/rfc/rfc4306.txt

SonicOS EnhancedでのVPNの設定については、以下を参照してください。


・ 「SonicOSでのVPNの設定」セクション

・ 「GroupVPNポリシーの設定」セクション

・ 「サイト間VPNの設定」セクション

・ 「サイト間VPNポリシーの作成」セクション

・ 「VPNが自動的に追加するルール コントロール」セクション

SonicOSでのVPNの設定

業界標準のIPsec VPN実装に基づいたSonicWALL VPNは、モバイル ユーザ、在宅勤務者、リモート オフィス、およびパートナーをインターネット経由で接続するための設定が簡単で安全なソリューションを提供します。モバイル ユーザ、在宅勤務者、およびブロードバンド (DSLまたはケーブル) またはダイアルアップ インターネット アクセスを使用する他のリモート ユーザは、お使いのSonicWALLの SonicWALLグローバルVPNクライアントおよびSonicWALL GroupVPNにより、ネットワーク リソースに安全かつ簡単にアクセスできます。リモート オフィス ネットワークは、ネットワーク間VPN接続を有効にするサイト間VPN接続を使用して、お使いのネットワークに安全に接続することができます。

補足 SonicWALLグローバルVPNクライアントの詳細については、『SonicWALLグローバルVPNクライアント管理者ガイド』を参照してください。

SonicWALLのGroupVPNは、SonicWALLグローバルVPNクライアントの自動VPNポリシー プロビジョニングを提供します。SonicWALLセキュリティ装置のGroupVPN機能およびSonicWALLグローバルVPNクライアントにより、VPN配備および管理が大幅に効率化されます。SonicWALLのクライアント ポリシー プロビジョニング技術を使用することにより、グローバルVPNクライアント ユーザ用にVPNポリシーを定義できます。このポリシー情報は、SonicWALLセキュリティ装置 (VPNゲートウェイ) からグローバルVPNクライアントに自動的にダウンロードされるため、リモート ユーザはVPN接続のプロビジョニングに時間と労力を費やす必要がありません。

VPNポリシー ウィザードを使用して、サイト間のVPNポリシーまたはGroupVPNポリシーを簡単にすばやく作成できます。管理インターフェースを使用して、GroupVPNまたはサイト間のVPNのトンネルを設定することもできます。GroupVPNポリシーは各ゾーンに1つで最大4つまで定義できます。複数のサイト間VPNを作成することもできます。追加できるポリシーの最大数はお使いのSonicWALLモデルによって異なります。
補足 リモート ユーザに対しては、「ユーザ > ローカル ユーザ」 または 「ユーザ > ローカル グループ」 ページで、ネットワーク リソースへのアクセスを明示的に容認する必要があります。 ローカル ユーザまたはローカル グループを設定する際には、「VPNアクセス」 タブがGVCを使ってGroupVPNに接続するリモート クライアントの能力に影響し、これはまた、NetExtenderおよびSSL VPN仮想オフィス ブックマークを使ってネットワーク リソースにアクセスするリモートユーザにも同様に影響しますこれは、SonicOS 5.6以降の新しい振舞いです。 GVC、NetExtender、または、仮想オフィスのユーザがネットワーク リソースへアクセスすることを許可するには、ネットワーク アドレス オブジェクトかグループを、「VPNアクセス」 タブの ”許可” リストに追加する必要があります。

VPNの計画

VPNトンネルを作成または有効化する前に、次の情報を収集してください。これらのページを印刷して、次のようなプランニング チェックリストとして使用できます。

GroupVPNポリシーのプランニング チェックリスト

SonicWALLセキュリティ装置側:

・ 認証種別

・ IKE (事前共有鍵を使用)

・ IKE (サードパーティ証明書)

・ 共有鍵 (事前共有鍵を使用する場合)

・ ゲートウェイ証明書 (サードパーティ証明書を使用する場合)。この証明書ファイルは、Sonicwallセキュリティ装置にアップロードし終えていて、これからVPNクライアントに配布される予定のファイルです。

・ Peer IDタイプ (サードパーティ証明書を使用する場合): 以下を選択します。

・ 識別名

・ 電子メールID

・ ドメイン名

・ Peer IDフィルタ (サードパーティ証明書を使用する場合)

・ IKE (フェーズ1) プロポーザル

・ DHグループ

・ グループ1

・ グループ2

・ グループ5

・ グループ14 補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 暗号化

・ DES

・ 3DES

・ AES-128

・ AES-256

・ 認証

・ MD5

・ SHA1

・ 存続期間 (秒): (既定28800)

・ Ipsec (フェーズ2) プロポーザル

・ プロトコル: (ESPのみ)

・ 暗号化

・ DES

・ 3DES

・ AES-128

・ AES-192

・ AES-256

・ 認証

・ MD5

・ SHA1

・ Perfect Forward Secrecyを有効にする

・ DHグループ (Perfect Forward Secrecyが有効化されている場合)

・ グループ1

・ グループ2

・ グループ5

・ グループ14 補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 存続期間 (秒): (既定28800)

・ ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする

・ マルチキャストを有効にする

・ このSAを経由しての管理

・ HTTP

・ HTTPS

・ SSH

・ デフォルト ゲートウェイ

・ OCSP確認を有効にする

・ OCSP確認用URL

・ XAUTHを利用したVPNクライアントの認証を要求する

・ XAUTHに利用するユーザ グループ (XAUTHを選択した場合、このVPNへのアクセス権限を持つユーザ グループ) :

・ 認証されていないVPNクライアントのアクセス許可 (XAUTHを選択しなかった場合、このVPNへのアクセスを許可するネットワークまたはサブネット) :

・ XAUTHユーザ名とパスワードのクライアント キャッシュ (ユーザ名とパスワードをクライアントが保存できるようにする) :

・ 無効

・ セッション単位

・ 常に有効

・ 仮想アダプタの設定

・ なし

・ DHCPリース

・ DHCPリースまたは手動設定

・ コネクションの制御

・ このゲートウェイのみ

・ すべてのゲートウェイ

・ トンネルを分割する

・ このゲートウェイをデフォルト ルートに設定する

・ シンプル クライアント プロビジョニングに既定の鍵を使用する
(これを選択すると、クライアント セットアップが容易になる反面、セキュリティは低下する)

VPNトンネルを作成または有効化する前に、次の情報を収集してください。これらのページを印刷して、次のようなプランニング チェックリストとして使用できます。

クライアント側


・ VPNゲートウェイのIPアドレスまたはウェブ アドレス

・ 共有鍵 (セキュリティ装置上で選択されている場合) :

・ 証明書 (セキュリティ装置上で選択されている場合) :

・ ユーザーのユーザ名およびパスワード (セキュリティ装置でXAUTHを必要とする場合)

サイト間VPNプランニング チェックリスト

開始側:

通常は、リモート サイトからIKE VPN SAが要求されます。


・ 認証種別

・ 手動鍵

・ IKE (事前共有鍵を使用)

・ IKE (サードパーティ証明書) (IKEv2では不使用)

・ このVPNの名前

・ プライマリIPSecゲートウェイ名またはアドレス

・ セカンダリIPSecゲートウェイ名またはアドレス (手動鍵キーで使用しない場合、IKEv2では不使用)

・ IKE認証 (IKEで事前共有鍵を利用する場合) :

・ 共有鍵

・ ローカルIKE ID

・ IPアドレス

・ ドメイン名

・ 電子メール アドレス

・ SonicWALL識別子

・ Peer IKE ID

・ IPアドレス

・ ドメイン名

・ 電子メール アドレス

・ SonicWALL識別子

・ IKE (サードパーティ証明書) のIKE認証 (IKEv2では不使用)

・ ローカル証明書

・ ローカルIKE ID種別

・ 証明書の既定ID

・ 識別名 (DN)

・ 電子メールID (UserFQDN)

・ ドメイン名 (FQDN)

・ IPアドレス (IPv4)

・ Peer IKE ID種別

・ 識別名

・ 電子メールID

・ ドメイン名

・ IPアドレス (IPv4)

・ Peer IKE ID

・ ローカル ネットワーク
ローカル ネットワークをリストより選択 (アドレス オブジェクトの選択) :
このVPNトンネルは、ローカル ネットワークがDHCPを使ってIPアドレスを取得する際に使用するトンネルです。
(IKEv2では不使用)
すべてのアドレス

・ 対象先ネットワーク
このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する
対象先ネットワークは、このVPNトンネルを通じたDHCPを使用してIPアドレスを取得する
対象先ネットワークをリストより選択 (アドレス オブジェクトの選択) :

・ IKE (フェーズ1) プロポーザル

・ 鍵交換モード

・ メイン モード

・ アグレッシブ モード

・ IKEv2モード

・ DHグループ

・ グループ1

・ グループ2

・ グループ5

・ グループ14 補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 暗号化

・ DES

・ 3DES

・ AES-128

・ AES-192

・ AES-256

・ 認証

・ MD5

・ SHA1

・ 存続期間 (秒): (既定28800)

・ Ipsec (フェーズ2) プロポーザル

・ プロトコル

・ ESP

・ AH

・ 暗号化

・ DES

・ 3DES

・ AES-128

・ AES-192

・ AES-256

・ なし

・ 認証

・ MD5

・ SHA1

・ なし

・ Perfect Forward Secrecyを有効にする

・ 存続期間 (秒): (既定28800)

・ キープ アライブを有効にする

・ このVPNポリシーに対して自動アクセスルール生成をしない

・ リモートVPNクライアントにXAUTHでの認証を要求する (IKEv2では不使用)

・ XAUTHに利用するユーザ グループ (XAUTHを選択した場合、このVPNへのアクセス権限を持つユーザ グループ) :

・ ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする

・ マルチキャストを有効にする

・ NATポリシーを適用する

・ 変換後のローカル ネットワーク

・ 変換後のリモート ネットワーク

・ OCSP確認を有効にする (IKEでサードパーティ証明書を使用する場合のみ)

・ OCSP確認用URL: (IKEでサードパーティ証明書を使用する場合のみ)

・ このSAを経由しての管理

・ HTTP

・ HTTPS

・ SSH

・ このSAを経由してのユーザ ログイン

・ HTTP

・ HTTPS

・ デフォルトLANゲートウェイ (オプション) :

・ VPNポリシーの適用先

・ IKE SAネゴシエーション中に、トリガー パケットを送信しない (IKEv2のみ)
応答側:

次の設定以外は、応答側が開始側と同じ設定を使用する必要があります。


・ このVPNの名前

・ プライマリIPSecゲートウェイ名またはアドレス: 応答側では省略可能

・ セカンダリIPSecゲートウェイ名またはアドレス: 応答側では省略可能

・ IKE認証 (IKEで事前共有鍵を利用する場合) :

・ ローカルIKE ID: (開始側の「Peer IKE ID」と一致している必要がある)

・ IPアドレス

・ ドメイン名

・ 電子メール アドレス

・ SonicWALL識別子

・ Peer IKE ID: (開始側の「ローカルIKE ID」と一致している必要がある)

・ IPアドレス

・ ドメイン名

・ 電子メール アドレス

・ SonicWALL識別子

・ IKE (サードパーティ証明書) のIKE認証 (IKEv2では不使用)

・ ローカル証明書

・ Peer IKE ID種別

・ 識別名

・ 電子メールID

・ ドメイン名

・ Peer IKE ID

・ ローカル ネットワーク(開始側の「対象先ネットワーク」と一致している必要がある)
ローカル ネットワークをリストより選択 (アドレス オブジェクトの選択) :
このVPNトンネルは、ローカル ネットワークがDHCPを使ってIPアドレスを取得する際に使用するトンネルです。
(IKEv2では不使用)
すべてのアドレス

・ 対象先ネットワーク(開始側の「ローカル ネットワーク」と一致している必要がある)
このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する
対象先ネットワークは、このVPNトンネルを通じたDHCPを使用してIPアドレスを取得する
対象先ネットワークをリストより選択 (アドレス オブジェクトの選択) :

・ NATポリシーを適用する

・ 変換後のローカル ネットワーク: (開始側の「変換後のリモート ネットワーク」と一致している必要がある)

・ 変換後のリモート ネットワーク (開始側の「変換後のローカル ネットワーク」と一致している必要がある)

サイト間VPNポリシーの設定

VPNポリシー ウィザード」は、SonicWALLセキュリティ装置のGroupVPNポリシーまたはサイト間VPNポリシーの設定手順を1段階ごとに案内します。設定が完了した後で、選択したポリシーに必要なVPN設定がウィザードで作成されます。SonicWALL管理インターフェースを使って、その他の高度な設定オプションも指定できます。

補足 VPNポリシー ウィザードの使用の詳細な手順については、「ウィザード > VPNウィザード」 を参照してください。

VPNグローバル設定

VPN設定」ページの「グローバルVPN設定」セクションには、次の情報が表示されます。


・ SonicWALLセキュリティ ポリシーを通してVPNポリシーを許可するには、「VPNを有効にする」を選択する必要があります。

・ 「ファイアウォール識別子」 - 既定値はSonicWALLのシリアル番号です。識別子を変更して、VPNトンネルの設定に使用できます。

VPNポリシー

すべての既存のVPNポリシーは、「VPNポリシー」テーブルに表示されます。各エントリに表示される情報は以下のとおりです。


・ 「 名前」: 既定の名前またはユーザ定義VPNポリシー名を表示します。

・ 「ゲートウェイ」: リモートSonicWALLのIPアドレスを表示します。0.0.0.0を使用する場合、ゲートウェイは表示されません。

・ 「送信先」: 対象となるネットワークのIPアドレスを表示します。

・ 「暗号化手順の組成」: VPNポリシーに使用される暗号化の種類を表示します。

・ 「有効」: チェック ボックスをオンにすると、VPNポリシーが有効になります。チェック ボックスをオフにすると、VPNポリシーが無効になります。

・ 「設定」: 編集アイコンを選択することにより、VPNポリシーを編集できます。削除アイコン を選択することにより、VPNポリシーを削除できます。事前に定義されているGroupVPNポリシーは削除できないため、削除アイコンが淡色表示になっています。GroupVPNポリシーには、SonicWALLグローバルVPNクライアントによるローカル実装用のファイルとしてGroupVPNポリシー設定をエクスポートするためのディスク アイコンもあります。

定義されたVPNポリシーの数、有効なポリシー、および許可されるポリシーの最大数がテーブルの下に表示されます。GroupVPNポリシーは各ゾーンに1つで最大4つまで定義できます。これらのGroupVPNポリシーは、既定で「VPNポリシー」テーブルにリストされています (WAN GroupVPNLAN GroupVPNDMZ GroupVPN、およびWLAN GroupVPN)。GroupVPNの「設定」列で編集アイコンを選択すると、GroupVPNポリシーを設定するための「VPNポリシー」ウィンドウが表示されます。

「VPNポリシー」テーブルの下には以下のボタンがあります。


・ 「追加」 - サイト間のVPNポリシーを設定する「VPNポリシー」ウィンドウにアクセスします。

・ 「削除」 - このボタンを選択する場合、削除する対象を指定するには、名前」列内のVPNポリシー名の前にあるチェック ボックスをオンにします。GroupVPNポリシーは削除できません。

・ 「すべて削除」 - 「VPNポリシー」テーブル内のVPNポリシー (既定のVPNポリシー以外) をすべて削除します。

VPNポリシーのエントリのナビゲートと並べ替え

VPNポリシー」テーブルでは、多数のVPNポリシーを簡単に閲覧できるようにページ付けがされています。「VPNポリシー」テーブルの右上にあるナビゲーション コントロール バーを使用して、「VPNポリシー」テーブルにリストされた多数のVPNエントリを参照できます。ナビゲーション コントロール バーには4つのボタンがあります。左端のボタンは、テーブルの最初のページを表示します。右端のボタンは、最後のページを表示します。内側の左矢印ボタンと右矢印で、それぞれ前または次のページに移動します。

表示範囲」フィールドにポリシー番号 (#名前列においてポリシー名の前に記載されている番号) を入力することにより、特定のVPNポリシーに移動できます。既定のテーブル設定では、ページあたり50個のエントリが表示されます。この既定のテーブル エントリ数は、「システム管理」ページで変更できます。

テーブルのエントリを並べ替えるには、列見出しを選択します。エントリは昇順または降順で並べ替えられます。列エントリの右側にある矢印が、並べ替え状況を示します。下向きの矢印は昇順を意味します。上向きの矢印は降順を示します。

現在アクティブなVPNトンネル

現在アクティブなVPNトンネルのリストがこのセクションに表示されます。テーブルには、VPNポリシーの名前、ローカルLANのIPアドレス、リモート対象先ネットワークのIPアドレス、およびピア ゲートウェイのIPアドレスがリストされています。

VPNクライアントでVPNトンネルが再ネゴシエートされるように設定する場合は、「再ネゴシエート」ボタンを選択します。

VPNトンネル統計情報の表示

トンネルの統計を表示するには、「現在アクティブなVPNトンネル」テーブルで、統計を表示したいトンネルの列内の「統計」アイコンを選択します。「VPNトンネル統計情報」アイコンが表示されます。


・ 「作成時間」: トンネルが作成された日時。

・ 「トンネルの有効期限」: トンネルの有効期限が切れて、再ネゴシエートを強いられる時期

・ 「入力パケット」: このトンネルから受信されたパケットの数

・ 「出力パケット」: このトンネルから送信されたパケットの数

・ 「入力バイト」: このトンネルから受信されたバイトの数

・ 「出力バイト」: このトンネルから送信されたバイトの数

・ 「入力断片化パケット」: このトンネルから受信された断片化パケットの数

・ 「出力断片化パケット」: このトンネルから送信された断片化パケットの数

SonicOSでのVPNの設定については、以下を参照してください。

GroupVPNポリシーの設定

SonicWALLのGroupVPNは、SonicWALLセキュリティ装置の管理者による複数のSonicWALLグローバルVPNクライアントの設定および配備に役立ちます。GroupVPNは、SonicWALLグローバルVPNクライアントにのみ利用可能です。セキュリティを強化するには、XAUTH/RADIUSまたはサード パーティ証明書をGroupVPNと組み合わせて使用することをお勧めします。

SonicWALLグローバルVPNクライアントの詳細については、『SonicWALLグローバルVPNクライアント管理者ガイド』を参照してください。

既定のGroupVPN設定では、「VPNポリシー」テーブルでGroupVPNの「有効」チェック ボックスをオンにするだけで、SonicWALLグローバルVPNクライアントをサポートできます。VPNポリシーをさらに編集する必要はありません。

SonicWALLは4つのGroupVPNポリシーをサポートしています。DMZ、LAN、WAN、およびWLANゾーンのGroupVPNポリシーを作成できます。これらのGroupVPNポリシーは、VPNポリシー テーブルにリストされています (WAN GroupVPNLAN GroupVPNDMZ GroupVPN、およびWLAN GroupVPN)。これらのGroupVPNポリシーに対して、IPsec鍵モードとして「IKE (事前共有鍵を使用)」または「IKE (サードパーティ証明書を使用)」を選択できます。

ヒント VPNポリシー ウィザードを使用してGroupVPNポリシーを簡単に作成できます。VPNポリシー ウィザードの使用の詳細な手順については、「ウィザード > VPNウィザード」 を参照してください。
補足 GroupVPN設定の詳細については、SonicWALLドキュメント ウェブ サイト 〈http://www.sonicwall.com〉 のTechNote「GroupVPN Setup in SonicOS」を参照してください。

SonicOSは、IPsec VPNの作成および管理をサポートしています。

WANゾーンで「IKE (事前共有鍵)」を指定してGroupVPNを設定

WAN GroupVPNを設定するには、次の手順に従います。

手順 1 WAN GroupVPN」エントリの編集アイコンを選択します。「セキュリティ ポリシー」ウィンドウが表示されます。
手順 2 一般」タブの「IKE (事前共有鍵を使用)」は「認証種別」の既定の設定です。共有鍵はSonicWALLセキュリティ装置によって「共有鍵」フィールドで自動的に作成されます。あるいは独自の共有鍵を生成することもできます。「共有鍵」は4文字以上でなければなりません。GroupVPNポリシーの名前を変更することはできません。
手順 3 プロポーザル」タブを選択して設定手順を進めます。
手順 4 IKE (フェーズ1) プロポーザル」セクションで、次の設定を選択します。

・ 「DHグループ」メニューの「DHグループ」を選択します。
補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 「暗号化」メニューの「3DES」、「AES-128」、または「AES-256」を選択します。

・ 「認証」メニューから使用する認証種別を選択します。

・ 「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは8時間ごとに鍵の再ネゴシエートと交換を行います。
手順 5 IPSec (フェーズ2) プロポーザル」セクションで、次の設定を選択します。

・ 「プロトコル」メニューから使用するプロトコルを選択します。

・ 「暗号化」メニューの「3DES」、「AES-128」、または「AES-256」を選択します。

・ 「認証」メニューから使用する認証種別を選択します。

・ 追加のセキュリティ層としてDiffie-Helman鍵交換を追加する場合は、「Perfect Forward Secrecyを有効にする」を選択します。「DHグループ」メニューの「グループ2」を選択します。
補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは8時間ごとに鍵の再ネゴシエートと交換を行います。
手順 6 詳細」タブを選択します。
手順 7 GroupVPNポリシーに適用する次のオプション設定をすべて選択します。

・ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。

・ 「マルチキャストを有効にする」 - IPマルチキャスト トラフィック (音声 (VoIPなど)/映像アプリケーション) がVPNトンネルを通過できるようにします。

・ 「クライアントに複数のプロポーザルを許可する」 - L2TP、iOS、およびウィンドウズ クライアントが同時にSonicOS L2TPサーバに接続することを許可します。

・ 「このSAを経由しての管理」 - VPNポリシーを使用してSonicWALLセキュリティ装置を管理する場合は、管理方法として「HTTP」または「HTTPS」を選択します。

・ 「デフォルト ゲートウェイ」 - ネットワーク管理者はこのVPNポリシーの着信IPSecパケットに関して既定ネットワーク ルートのIPアドレスを指定できます。着信パケットはSonicWALLセキュリティ装置によってデコードされ、SonicWALLで設定された静的ルートと比較されます。パケットにはIPの送信先アドレスが含まれている可能性があるので、トラフィックを処理する十分な静的ルートを設定することはできません。IPSecトンネルを介して受信されるパケットでは、SonicWALLによってルートが検出されます。ルートが検出されない場合、セキュリティ装置によってデフォルト ゲートウェイがチェックされます。デフォルト ゲートウェイが検出されると、パケットはゲートウェイを介してルーティングされます。そうでない場合、パケットは破棄されます。

・ 「XAUTHを利用したVPNクライアントの認証を要求する」 - このVPNトンネルの受信トラフィックがすべて認証済みのユーザからのものであることが要求されます。認証されていないトラフィックはVPNトンネルでは許可されません。既定で「Trusted Users」グループが選択されています。別のユーザ グループを選択するか、「XAUTHに利用するユーザ グループ」から「Everyone」を選択することができます。

・ 「認証されていないVPNクライアントのアクセス許可」 - 認証されていないVPNクライアント アクセスを有効にすることができます。「XAUTHを利用したVPNクライアントの認証を要求する」をオフにすると、「認証されていないVPNクライアントのアクセス許可」メニューが有効になります。事前定義オプションのメニューからアドレス オブジェクトまたはアドレス グループを選択するか、「アドレス オブジェクトの作成」または「アドレス グループの作成」を選択して新規作成します。
手順 8 クライアント」を選択して、GroupVPNポリシーに適用する次の設定をすべて選択します。

・ 「XAUTHユーザ名とパスワードのクライアント キャッシュ」 - ユーザ名とパスワードをグローバルVPNクライアントがキャッシュできるようにします。

・ 「無効」 - ユーザ名とパスワードをグローバルVPNクライアントがキャッシュできないようにします。接続が有効である場合、IKEフェーズ1の再入力があるたびに、ユーザはユーザ名とパスワードを要求されます。

・ 「セッション単位」 - 接続が無効になるまで、接続が有効化されて有効になるたびに、グローバルVPNクライアント ユーザはユーザ名とパスワードを要求されます。このユーザ名とパスワードはIKEフェーズ1の再入力で使用されます。

・ 「常に」 - 接続が有効化されると1回だけ、グローバルVPNクライアント ユーザはユーザ名とパスワードを要求されます。画面の指示に従うと、ユーザにはユーザ名とパスワードをキャッシュしたオプションが提供されます。

・ 「仮想アダプタの設定」 - グローバルVPNクライアント (GVC) による仮想アダプタの使用は、仮想アダプタにアドレスを割り当てるため、DHCPサーバ、内部SonicOSまたは指定された外部DHCPサーバによって常に左右されていました。予測可能なアドレッシングが要件であったインスタンスでは、仮想アダプタのMACアドレスを取得し、DHCPリース予約を作成する必要がありました。仮想アダプタのアドレッシングを提供する管理費用を削減するため、GroupVPNを設定して仮想アダプタのIP設定の静的アドレッシングを許可できます。この機能では、GVCのバージョン3.0以降を使用する必要があります。

・ 「なし」 - このGroupVPN接続では仮想アダプタを使用しません。

・ 「DHCPリース」- 「VPNVPNを超えたDHCP」ページで設定したように、仮想アダプタはDHCPサーバのみからIP設定を取得します。

・ 「DHCPリースまたは手動設定」 - GVCをSonicWALLに接続すると、SonicWALLのポリシーはGVCが仮想アダプタを使用するよう指示しますが、仮想アダプタが手動で設定されている場合、DHCPメッセージは抑止されます。設定値はSonicWALLによって記録されるので、手動で割り当てられたIPアドレスのプロキシARPを取得できます。設計により、現在は仮想アダプタのIPアドレスの割り当てには制限がありません。重複した静的アドレスのみが許可されていません。

・ 「コネクションの制御」 - 各ゲートウェイの対象先ネットワークに一致しているクライアント ネットワーク トラフィックは特定のゲートウェイのVPNトンネルを介して送信されます。

・ 「このゲートウェイのみ」 - 一度に1つの接続を有効にできます。ゲートウェイのポリシーで指定されているように対象先ネットワークに一致するトラフィックはVPNトンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックもVPNトンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。

・ 「すべてのゲートウェイ」 - 同時に1つ以上の接続を有効にできます。各ゲートウェイの対象先ネットワークに一致しているトラフィックは特定のゲートウェイのVPNトンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックもVPNトンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。複数のゲートウェイのうちいずれか1つのみ、「このゲートウェイをデフォルト ルートに設定する」を有効化できます。

・ 「トンネルを分割する」 - VPNユーザはローカル インターネット接続とVPN接続の両方が可能です。

・ 「このゲートウェイをデフォルト ルートに設定する」 - すべてのリモートVPN接続がVPNトンネル経由でインターネットにアクセスする場合は、このチェック ボックスをオンにします。このオプションを使用するには、VPNポリシーを1つだけ設定できます。

・ 「シンプル クライアント プロビジョニングに既定の鍵を使用する」 - ゲートウェイとの最初の交換でアグレッシブ モードが使用され、VPNクライアントでは既定の事前共有鍵が認証に使用されます。
手順 9 OK」を選択します。

IKE (サードパーティ証明書) でのGroupVPNの設定

IKE (サードパーティ証明書) でGroupVPNを設定するには、次の手順を実行します。

警告 サードパーティ証明書を使用してIKEでGroupVPNを設定する前に、証明書をSonicWALLにインストールする必要があります。
手順 1 VPN設定」ページで、「設定」の下の編集アイコンを選択します。「セキュリティ ポリシー」ウィンドウが表示されます。
手順 2 セキュリティポリシー」セクションの「認証種別」メニューの「IKE(サードパーティ証明書を使用)」を選択します。VPNポリシーの名前は既定の「WAN GroupVPN」で、変更できません。
手順 3 ゲートウェイ証明書」メニューからSonicWALLの証明書を選択します。
手順 4 Peer IDタイプ」メニューから次のPeer IDタイプのいずれかを選択します。

・ 「電子メールとドメイン名」 - 「電子メール」と「ドメイン名」のタイプは、既定ではすべての証明書に含まれていない証明書の「サブジェクト代替名」フィールドに基づいています。証明書に「サブジェクト代替名」フィールドが含まれていない場合、このフィルタは機能しません。「電子メール」と「ドメイン名」フィルタには、要求される許容範囲を識別する文字列または部分文字列が含まれている可能性があります。入力した文字列には大文字と小文字の区別がなく、ワイルド カード文字* (1文字以上の場合) および ? (1文字の場合) を含めることができます。例えば、電子メール」が選択されているときに文字列「*@sonicwall.com」である場合、「sonicwall.com」で終わる電子メール アドレスを持つユーザがアクセスでき、「ドメイン名」が選択されているときに文字列「*sv.us.sonicwall.com」である場合、「sv.us.sonicwall.com」で終わるドメイン名を持つユーザがアクセスできます。

・ 「識別名」 - 既定ですべての証明書に含まれている、証明書の「サブジェクト識別名」フィールドに基づいています。「サブジェクト識別名」の形式は、発行元の認証局によって決定されます。一般的なフィールドは、国 (C=)、組織 (O=)、組織の単位 (OU=)、一般名 (CN=)、住所 (L=) などですが、発行元の認証局ごとに異なります。実際のX509証明書の「サブジェクト識別名」フィールドはバイナリ オブジェクトであるため、目的に応じて文字列に変換する必要があります。フィールドは、/C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pubのようにフォワード スラッシュで区切られます。
最大で3つの組織の単位を追加できます。使用方法は、c=*;o=*;ou=*;ou=*;ou=*;cn=*です。最後のエントリにはセミコロンは不要です。c=usのように少なくとも1つのエントリを入力する必要があります。
手順 5 Peer IDフィルタ」フィールドにPeer IDフィルタを入力します。
手順 6 ゲートウェイ発行者によって署名されたPeer証明書のみ有効にする」をチェックして、「ゲートウェイ証明書」メニューで指定された発行者がPeer証明書に署名するように指定します。
手順 7 プロポーザル」タブを選択します。
手順 8 IKE (フェーズ1) プロポーザル」セクションで、次の設定を選択します。

・ 「DHグループ」メニューの「DHグループ」を選択します。
補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 「暗号化」メニューの「3DES」、「AES-128」、または「AES-256」を選択します。

・ 「認証種別」メニューから使用する認証種別を選択します。

・ 「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは8時間ごとに鍵の再ネゴシエートと交換を行います。
手順 9 IPSec (フェーズ2) プロポーザル」セクションで、次の設定を選択します。

・ 「プロトコル」メニューから使用するプロトコルを選択します。

・ 「暗号化」メニューの「3DES」、「AES-128」、または「AES-256」を選択します。

・ 「認証種別」メニューから使用する認証種別を選択します。

・ 追加のセキュリティ層としてDiffie-Helman鍵交換を追加する場合は、「Perfect Forward Secrecyを有効にする」を選択します。「DHグループ」メニューの「グループ2」を選択します。
補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは8時間ごとに鍵の再ネゴシエートと交換を行います。
手順 10 詳細」タブを選択して、GroupVPNポリシーに適用する次のオプション設定をすべて選択します。

・ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。

・ 「マルチキャストを有効にする」 - IPマルチキャスト トラフィック (音声 (VoIPなど)/映像アプリケーション) がVPNトンネルを通過できるようにします。

・ 「このSAを経由しての管理」- VPNポリシーを使用してSonicWALLセキュリティ装置を管理する場合は、管理方法として「HTTP」または「HTTPS」を選択します。

・ 「デフォルト ゲートウェイ」 - 「このSA経由ですべてのインターネット トラフィックが送られます」チェック ボックスを使用してリモート サイトとともにセントラル サイトで使用します。「デフォルトLANゲートウェイ」を使用すると、ネットワーク管理者はこのSAの着信IPSecパケットに関して既定LANルートのIPアドレスを指定できます。着信パケットはSonicWALLによってデコードされ、SonicWALLで設定された静的ルートと比較されます。パケットにはIPの送信先アドレスが含まれている可能性があるので、トラフィックを処理する十分な静的ルートを設定することはできません。IPSecトンネルを介して受信されるパケットでは、SonicWALLによってLANのルートが検出されます。ルートが検出されない場合、SonicWALLによってデフォルトLANゲートウェイがチェックされます。デフォルトLANゲートウェイが検出されると、パケットはゲートウェイを介してルーティングされます。そうでない場合、パケットは破棄されます。

・ 「OCSP確認を有効にする」および「OCSP確認用URL」 - VPN証明書状況を確認するOCSP (Online Certificate Status Protocol) の使用を有効にし、証明書状況を確認するURLを指定します。「VPN > 詳細設定」 「OCSPをSonicWALLセキュリティ装置で使用」セクション を参照してください。

・ 「XAUTHを利用したVPNクライアントの認証を要求する」 - このVPNポリシーの受信トラフィックがすべて認証済みのユーザからのものであることが要求されます。認証されていないトラフィックはVPNトンネルでは許可されません。

・ 「XAUTH に利用するユーザ グループ」 - 認証用に定義済みユーザ グループを選択できます。

・ 「認証されていないVPNクライアントのアクセス許可」 - 認証されていないグローバルVPNクライアント アクセスのネットワーク セグメントを指定できます。
手順 11 クライアント」タブを選択して、グローバルVPNプロビジョニングに適用する次のボックスをすべて選択します。

・ 「XAUTHユーザ名とパスワードのクライアント キャッシュ」 - ユーザ名とパスワードをグローバルVPNクライアントがキャッシュできるようにします。以下のいずれかを選択します。

・ 「無効」 - グローバルVPNクライアントがユーザ名とパスワードをキャッシュできないようにします。接続が有効である場合、IKEフェーズ1の再入力があるたびに、ユーザはユーザ名とパスワードを要求されます。

・ 「セッション単位」 - 接続が無効になるまで、接続が有効化されて有効になるたびに、ユーザはユーザ名とパスワードを要求されます。このユーザ名とパスワードはIKEフェーズ1の再入力で使用されます。

・ 「常に」 - 接続が有効化されると1回だけユーザはユーザ名とパスワードを要求されます。画面の指示に従うと、ユーザにはユーザ名とパスワードをキャッシュしたオプションが提供されます。

・ 「仮想アダプタの設定」 - グローバルVPNクライアント (GVC) による仮想アダプタの使用は、仮想アダプタにアドレスを割り当てるため、DHCPサーバ、内部SonicOSまたは指定された外部DHCPサーバによって常に左右されていました。予測可能なアドレッシングが要件であったインスタンスでは、仮想アダプタのMACアドレスを取得し、DHCPリース予約を作成する必要がありました。仮想アダプタのアドレッシングを提供する管理費用を削減するため、GroupVPNを設定して仮想アダプタのIP設定の静的アドレッシングを許可できます。この機能では、GVCのバージョン3.0以降を使用する必要があります。

・ 「なし」 - このGroupVPN接続では仮想アダプタを使用しません。

・ 「DHCPリース」 - 「VPN > VPNを越えたDHCP」ページで設定されているように、仮想アダプタはDHCPサーバからのみIP設定を取得します。

・ 「DHCPリースまたは手動設定」 - GVCをSonicWALLに接続すると、SonicWALLのポリシーはGVCが仮想アダプタを使用するよう指示しますが、仮想アダプタが手動で設定されている場合、DHCPメッセージは抑止されます。設定値はSonicWALLによって記録されるので、手動で割り当てられたIPアドレスのプロキシARPを取得できます。設計により、現在は仮想アダプタのIPアドレスの割り当てには制限がありません。重複した静的アドレスのみが許可されていません。

・ 「コネクションの制御」 - 各ゲートウェイの対象先ネットワークに一致しているクライアント ネットワーク トラフィックは特定のゲートウェイのVPNトンネルを介して送信されます。

・ 「このゲートウェイのみ」 - 一度に1つの接続を有効にできます。ゲートウェイのポリシーで指定されているように対象先ネットワークに一致するトラフィックはVPNトンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックもVPNトンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。

・ 「すべてのゲートウェイ」 - 同時に1つ以上の接続を有効にできます。各ゲートウェイの対象先ネットワークに一致しているトラフィックは特定のゲートウェイのVPNトンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックもVPNトンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。複数のゲートウェイのうちいずれか1つのみ、「このゲートウェイをデフォルト ルートに設定する」を有効化できます。

・ 「トンネルを分割する」 - VPNユーザはローカル インターネット接続とVPN接続の両方が可能です。

・ 「このゲートウェイをデフォルト ルートに設定する」 - すべてのリモートVPN接続がこのSA経由でインターネットにアクセスする場合は、このチェック ボックスをオンにします。この設定を使用するには、SAを1つだけ設定できます。

・ 「シンプル クライアント プロビジョニングに既定の鍵を使用する」 - ゲートウェイとの最初の交換でアグレッシブ モードが使用され、VPNクライアントでは既定の事前共有鍵が認証に使用されます。
手順 12 OK」を選択します。

VPNクライアント ポリシーのエクスポート

ユーザがグローバルVPNクライアントにインポートできるようにグローバルVPNクライアント構成の設定をファイルにエクスポートする場合、以下の手順に従います。

警告 設定ファイルをエクスポートするには、GroupVPN SAをSonicWALLで有効にする必要があります。
手順 1 VPNポリシー」 テーブルで、GroupVPNエントリの「設定」列にある「ディスク」アイコンを選択します。「VPNクライアント ポリシーのエクスポート」ウィンドウが表示されます。
手順 2 既定では「 SonicWALLグローバルVPNクライアントに対しては、rcf形式が必要です。」が選択されています。rcf形式で保存されているファイルはパスワードを暗号化できます。SonicWALLでは設定ファイル名に既定のファイル名が適用されますが、この名前は変更可能です。
手順 3 はい」を選択します。「VPN ポリシーのエクスポート」ウィンドウが表示されます。
手順 4 エクスポート ファイルを暗号化する場合は、パスワードを「パスワード」フィールドに入力し、「パスワードの確認」フィールドで再入力します。エクスポート ファイルを暗号化しない場合は、パスワードを入力する必要はありません。
手順 5 送信」を選択します。パスワードを入力しなかった場合は、選択を確認するメッセージが表示されます。
手順 6 OK」を選択します。設定ファイルを保存する前に変更することができます。
手順 7 ファイルを保存します。 
手順 8 閉じる」を選択します。

ファイルはフロッピー ディスクに保存するか、電気的にリモート ユーザに送信してグローバルVPNクライアントを設定することができます。

サイト間VPNの設定

VPN接続の設計中に、確実にすべての適切なIPアドレッシング情報の文書を作成してネットワーク ダイアグラムを作成し、参照用に使用します。次のページにサンプル プランニング シートが提供されています。動的であっても、静的であってもSonicWALLにはルーティングが可能なWAN IPアドレスが必要です。動的および静的なIPアドレスを持つVPNネットワークでは、動的なアドレスを持つVPNゲートウェイでVPN接続を開始する必要があります。

サイト間VPNの設定には、次のオプションがあります。


・ 「支社 (ゲートウェイ間)」 - SonicWALLはVPNトンネルを介して別のSonicWALLに接続するように設定されます。あるいはSonicWALLはIPSecを介して別のメーカーのファイアウォールに接続するように設定されます。

・ 「ハブとスポークの設計」 - すべてのVPNゲートウェイが、企業のSonicWALLなど、中央のSonicWALL (ハブ) に接続されるように設計されます。ハブには静的なIPアドレスが必要ですが、スポークには動的なIPアドレスでもかまいません。スポークが動的である場合、ハブはSonicWALLでなければなりません。

・ 「メッシュ設計」 - すべてのサイトがすべての他のサイトに接続されます。すべてのサイトに静的なIPアドレスが必要です。

VPNの設定に役立つプランニング シートの詳細については、「VPNの計画」 を参照してください。

サイト間VPNポリシーの作成

ヒント VPNポリシー ウィザードを使用してサイト間VPNポリシーを簡単に作成できます。VPNポリシー ウィザードの使用の詳細な手順については、「ウィザード > VPNウィザード」 を参照してください。

「VPNポリシー」ウィンドウを使用して既存のVPNポリシーを作成するか、変更することができます。「VPNポリシー」テーブルの下にある「追加」ボタンを選択すると、次のIPSec鍵モードのVPNポリシーを設定するための「VPNポリシー」ウィンドウが表示されます。

このセクションでは、VPNトンネルが停止した場合にフェイルオーバーとして機能するよう静的ルートを設定する方法についても説明します。「静的ルートへのVPNフェイルオーバーの設定」 を参照

してください。

ヒント サイト間VPNポリシーのVPNプランニング シートを使用して設定を記録します。これらの設定は、リモートSonicWALLを設定し、成功するVPN接続を作成するために必要です。
補足 SonicOSが動作しているSonicWALLセキュリティ装置と、SonicWALLファームウェア バージョン6.5以降が動作しているSonicWALLセキュリティ装置の間のVPNポリシーを設定する場合は、 SonicWALLドキュメント ウェブサイト〈http://www.sonicwall.com/us/Support.html〉 で入手可能な「Creating IKE IPsec VPN Tunnels between SonicWALL Firmware 6.5 and SonicOS」TechNoteを参照してください。

事前共有鍵を使用したIKEでのVPNポリシーの設定

IKE (インターネット鍵交換) を使用してVPNポリシーを設定するには、次の手順に従います。

手順 1 VPN設定」ページで、「追加」を選択します。「セキュリティ ポリシー」ウィンドウが表示されます。
手順 2 一般」タブの「認証種別」メニューから「IKE(事前共有鍵を使用)」を選択します。
手順 3 ポリシーの名前を「名前」フィールドに入力します。
手順 4 プライマリIPSecゲートウェイ名またはアドレス」フィールドにリモート接続のホスト名またはIPアドレスを入力します。
手順 5 リモートVPN機器が複数のエンドポイントをサポートしている場合は、リモート接続のセカンダリ ホスト名またはIPアドレスを「IPSecセカンダリ ゲートウェイ名またはアドレス」フィールドに入力できます。
手順 6 Security Associationの設定に使用する共有鍵パスワードを「共有シークレット」および「共有シークレットの確認」フィールドに入力します。共有鍵は文字と数字を組み合わせて4文字以上にする必要があります。

必要に応じて、このポリシーの「ローカルIKE ID (オプション)」および「Peer IKE ID (オプション)」を指定できます。既定では、「IPアドレス」 (ID_IPv4_ADDR) がメイン モード ネゴシエーションに使用され、SonicWALL識別子 (ID_USER_FQDN) がアグレッシブ モードに使用されます。

手順 7 ネットワーク」タブを選択します。
手順 8 特定のローカル ネットワークがVPNトンネルにアクセスできる場合は、「ローカル ネットワーク」で「ローカル ネットワークをリストより選択」からローカル ネットワークを選択します。VPN接続のローカル側のホストがトンネルのリモート サイドのDHCPサーバからアドレッシングを取得する場合は、「ローカル ネットワークは、この VPN トンネルを通じた DHCP を使用して IP アドレスを取得する」を選択します。任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。このオプションは、ピアで「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合に使用します。
補足 VPNを越えたDHCPはIKEv2ではサポートされていません。
手順 9 ローカル ユーザからの暗号化されていないトラフィックがSonicWALLセキュリティ装置から発信できない場合は、「対象先ネットワーク」の「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。この設定を使用するには、SAを1つだけ設定できます。VPN接続のリモート サイドのホストがトンネルのリモート側のDHCPサーバからアドレッシングを取得する場合は、「対象先ネットワークは、このVPNトンネルを通じたDHCPを使用してIPアドレスを取得する」を選択します。あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
手順 10 プロポーザル」を選択します。
手順 11 IKE (フェーズ1) プロポーザル」で、「鍵交換モード」メニューから「メイン モード」、「アグレッシブ モード」、または「IKEv2」のいずれかを選択します。「アグレッシブ モード」は、通常はWANアドレッシングが動的に割り当てられる場合に使用されます。「IKEv2」では、すべてのネゴシエーションがIKEフェーズ1およびフェーズ2を使用する代わりにIKEv2プロトコルを介して発生します。IKEv2を使用する場合は、VPNトンネルの両端でIKEv2を使用する必要があります。
手順 12 IKE (フェーズ1) プロポーザル」で、「DHグループ」、「暗号化」、「認証」、および「存続期間」の既定値はほとんどのVPN設定に使用できます。トンネルの反対側のフェーズ1の値が一致するように設定してください。認証セキュリティを強化するには、「認証」メニューで3DESではなく「AES-128」、「AES-192」、または「AES-256」を選択します。
補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。
手順 13 IPSec (フェーズ2) プロポーザル」で、「プロトコル」、「暗号化」、「認証」、「Perfect Forward Secrecyを有効にする」、「DHグループ」、および「存続期間」の既定値はほとんどのVPN SA設定に使用できます。トンネルの反対側のフェーズ2の値が一致するように設定してください。
手順 14 詳細」タブを選択して、VPNポリシーに適用する次のオプション設定をすべて選択します。

・ 「プロポーザル」タブで「メイン モード」または「アグレッシブ モード」を選択した場合:

・ このVPNトンネルでピア間のハートビート メッセージを使用する場合は、「キープ アライブを有効にする」を選択します。トンネルの一方の側が失敗した場合、キープアライブを使用することにより、両サイドが再び利用可能になったときにトンネルの自動的な再ネゴシエートが可能になります。提案された存続期間が期限切れになるまで待つ必要はありません。

・ 「このVPNポリシーに対して自動アクセスルール生成をしない」設定は既定で有効になっていないので、VPNトラフィックは適切なゾーンを通過できます。

・ このトンネルの通過をトラフィックに許可する前にXAUTH認証をユーザに要求するには、「リモートVPNクライアントにXAUTHでの認証を要求する」を選択し、ユーザ グループを選択して「XAUTHに利用するユーザ グループ」から許可するユーザを指定します。

・ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。

・ 「マルチキャストを有効にする」 - IPマルチキャスト トラフィック (音声 (VoIPなど)/映像アプリケーション) がVPNトンネルを通過できるようにします。

・ SonicWALLでローカル、リモート、または両方のネットワーク通信をVPNトンネル経由で変換するには、「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」を選択します。ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」メニューでアドレス オブジェクトを選択または作成します。リモート ネットワークを変換するには、「変換後のリモート ネットワーク」メニューでアドレス オブジェクトを選択または作成します。通常は、トンネルでNATが必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NATポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。

・ ローカルSonicWALLをVPNトンネル経由で管理するには、「このSAを経由しての管理」から「HTTP」または「HTTPS」、あるいは両方を選択します。「このSAを経由してのユーザ ログイン」で「HTTP」「HTTPS」、または両方を選択すると、SAを使用してログインできます。

・ 未知のサブネットに送信されてこのトンネルに入るトラフィックに対してLAN上のルータを使用する場合、たとえば、トンネルの反対側に「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を設定した場合は、ルータのIPアドレスを「デフォルト LAN ゲートウェイ (オプション)」フィールドに入力する必要があります。

・ 「VPNポリシーの適用先」メニューからインターフェースまたはゾーンを選択します。WANの負荷分散を使用していて、VPNでいずれかのWANインターフェースを使用する場合は、「ゾーンWAN」が推奨される選択です。

・ 「プロポーザル」タブで「IKEv2」を選択した場合:

・ このVPNトンネルでピア間のハートビート メッセージを使用する場合は、「キープ アライブを有効にする」を選択します。トンネルの一方の側が失敗した場合、キープアライブを使用することにより、両サイドが再び利用可能になったときにトンネルの自動的な再ネゴシエートが可能になります。提案された存続期間が期限切れになるまで待つ必要はありません。

・ このVPNポリシーに対してLANおよびVPNゾーン間で作成された自動アクセス ルールを無効にする場合は、「このVPNポリシーに対して自動アクセスルール生成をしない」を選択します。

・ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。

・ 「マルチキャストを有効にする」 - IPマルチキャスト トラフィック (音声 (VoIPなど)/映像アプリケーション) がVPNトンネルを通過できるようにします。

・ SonicWALLでローカル、リモート、または両方のネットワーク通信をVPNトンネル経由で変換するには、「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」を選択します。ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」メニューでアドレス オブジェクトを選択または作成します。リモート ネットワークを変換するには、「変換後のリモート ネットワーク」メニューでアドレス オブジェクトを選択または作成します。通常は、トンネルでNATが必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NATポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。

・ ローカルSonicWALLをVPNトンネル経由で管理するには、「このSAを経由しての管理」から「HTTP」または「HTTPS」、あるいは両方を選択します。「このSAを経由してのユーザ ログイン」で「HTTP」「HTTPS」、または両方を選択すると、SAを使用してログインできます。

・ 複数のゲートウェイがあって、1つを常に最初に使用するには、「デフォルトLANゲートウェイ」に入力します。

・ 「VPNポリシーの適用先」メニューからインターフェースまたはゾーンを選択します。WANの負荷分散を使用していて、VPNでいずれかのWANインターフェースを使用する場合は、「ゾーンWAN」が推奨される選択です。

・ 「IKEv2設定」 (「プロポーザル」タブの「交換」で「IKEv2」を選択した場合のみ表示される) では、「IKE SAネゴシエーション中に、トリガー パケットを送信しない」チェックボックスが既定でオフになっており、相互運用性のために必要とされる場合にのみ選択します。
トリガー パケット”という用語は、SAネゴシエーションを開始させたパケットからのIPアドレスを含む最初のトラフィック セレクタ ペイロードの使用を意味しています。セキュリティ ポリシー データベースから適切な保護IPアドレス範囲を選択できるようにIKEv2応答側を支援するためにトリガー パケットを含めることをお勧めします。すべての実装でこの機能がサポートされているわけではないので、一部のIKEピアでトリガー パケットを含めないようにしたほうがよいかもしれません。

・ IKEv2 VPN ポリシーに対して以下の 2 つのオプションから一つまたは両方を選択します。
ハッシュ & URL証明書タイプを受け入れる
ハッシュ & URL証明書タイプを送信する
証明書自体ではなく、ハッシュと証明書URLを送信できる場合、これらのオプションを選択ます。これらのオプションを使用することにより、メッセージ交換のサイズを減少することができます。
「ハッシュ & URL 証明書タイプを受け入れる」が選択された場合、ファイアウォールはピア装置に HTTP_CERT_LOOKUP_SUPPORTED メッセージを送信します。ピア装置が "Hash and URL of X.509c"証明書で返信すると、ファイアウォールが 2 台の装置間でトンネルの確立または認証が可能になります。
「ハッシュ & URL 証明書タイプを送信する」が選択された場合、ファイアウォールがHTTP_CERT_LOOKUP_SUPPORTED メッセージを受信中に要求者に"Hash and URL of X.509c" 証明書を返信します。
VPNを使用する場合、2 台のピア ファイアウォール(FW1 と FW2)はトンネルをネゴシエートします。FW1から見るとFM2はリモート ゲートウェイになり、またその逆も同じです。
手順 15 OK」を選択します。

手動鍵(マニュアル キー)を使用したVPNポリシーの設定

手動鍵を使用して2つのSonicWALL装置間でのVPNポリシーを設定するには、次の手順に従います。

ローカルSonicWALLセキュリティ装置の設定

手順 1 VPN > 設定」ページで、「追加」を選択します。「セキュリティ ポリシー」ウィンドウが表示されます。
手順 2 セキュリティ ポリシー」ウィンドウの「一般」タブで、「認証種別」メニューから「マニュアル キー」を選択します。「セキュリティ ポリシー」ウィンドウに手動鍵オプションが表示されます。
手順 3 ポリシーの名前を「名前」フィールドに入力します。
手順 4 IPSecゲートウェイ名またはアドレス」フィールドにリモート接続のホスト名またはIPアドレスを入力します。
手順 5 ネットワーク」タブを選択します。
手順 6 特定のローカル ネットワークがVPNトンネルにアクセスできる場合は、「ローカル ネットワークをリストより選択」からローカル ネットワークを選択します。任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。ピアで「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合は、このオプションを使用します。この設定を使用するには、SAを1つだけ設定できます。あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
手順 7 プロポーザル」タブを選択します。
手順 8 受信SPI」および「送信SPI」を定義します。SPIは16進数 (0123456789abcdef) なので、長さは3~8文字の範囲です。
警告 各SAには一意のSPIが必要で、2つのSAが同じSPIを共有することはできません。ただし、各SAの受信SPIは送信SPIと同一である可能性があります。
手順 9 プロトコル」、[フェーズ2暗号化方式」、および「フェーズ2認証方式」の既定値は、ほとんどのVPN SA設定で使用できます。
補足 プロトコル」、「フェーズ2暗号化方式」、および「フェーズ2認証方式」の値は、リモートSonicWALLの値に一致する必要があります。
手順 10 暗号化鍵」フィールドに16文字の16進数暗号キーを入力するか、既定値を使用します。この暗号キーはリモートSonicWALL暗号キーの設定に使用されるので、SonicWALLを設定するときに書き留めておいてください。
手順 11 認証鍵」フィールドに32文字の16進数認証キーを入力するか、既定値を使用します。SonicWALL設定を指定するためにキーを書き留めます。
ヒント 有効な16進数の文字とは、0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、およびfです。たとえば、1234567890abcdefは有効なDESまたはARCFour暗号キーの例です。不適切な暗号キーを入力すると、ブラウザ ウィンドウの下部にエラー メッセージが表示されます。
手順 12 詳細」タブを選択して、VPNポリシーに適用するオプション設定を以下の設定から選択します。

・ 「このVPNポリシーに対して自動アクセスルール生成をしない」設定は既定で有効になっていないので、VPNトラフィックは適切なゾーンを通過できます。

・ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。

・ SonicWALLでローカル、リモート、または両方のネットワーク通信をVPNトンネル経由で変換するには、「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」を選択します。ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」ドロップダウン ボックスでアドレス オブジェクトを選択または作成します。リモート ネットワークを変換するには、「変換後のリモート ネットワーク」ドロップダウン ボックスでアドレス オブジェクトを選択または作成します。通常は、トンネルでNATが必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NATポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。

・ ローカルSonicWALLをVPNトンネル経由で管理するには、「このSAを経由しての管理」から「HTTP」または「HTTPS」、あるいは両方を選択します。

・ 「このSAを経由してのユーザ ログイン」で「HTTP」「HTTPS」、または両方を選択すると、SAを使用してログインできます。

・ ゲートウェイのIPアドレスを保持している場合は、「デフォルトLANゲートウェイ (オプション)」フィールドに入力します。

・ 「VPNポリシーの適用先」メニューからインターフェースを選択します。
手順 13 OK」を選択します。
手順 14 VPN設定」ページで、「承諾」を選択して、VPNポリシーを更新します。

リモートSonicWALLセキュリティ装置の設定

手順 1 VPN設定」ページで、「追加」を選択します。「セキュリティ ポリシー」ウィンドウが表示されます。
手順 2 一般」タブで、「IPSec鍵モード」メニューから「マニュアル キー」を選択します。
手順 3 SAの名前を「名前」フィールドに入力します。
手順 4 IPSecゲートウェイ名またはアドレス」フィールドにローカル接続のホスト名またはIPアドレスを入力します。
手順 5 ネットワーク」タブを選択します。
手順 6 特定のローカル ネットワークがVPNトンネルにアクセスできる場合は、「ローカル ネットワークをリストより選択」からローカル ネットワークを選択します。任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。ローカル ユーザからの暗号化されていないトラフィックがSonicWALLセキュリティ装置から発信できない場合は、「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。この設定を使用するには、SAを1つだけ設定できます。あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
手順 7 プロポーザル」タブを選択します。
手順 8 受信SPI」および「送信SPI」を定義します。SPIは16進数 (0123456789abcdef) なので、長さは3~8文字の範囲です。
警告 各SAには一意のSPIが必要で、2つのSAが同じSPIを共有することはできません。ただし、各SAの受信SPIは送信SPIと同一である可能性があります。
手順 9 プロトコル」、[フェーズ2暗号化方式」、および「フェーズ2認証方式」の既定値は、ほとんどのVPN SA設定で使用できます。
補足 プロトコル」、「フェーズ2暗号化方式」、および「フェーズ2認証方式」の値は、リモートSonicWALLの値に一致する必要があります。
手順 10 暗号化鍵」フィールドに16文字の16進数暗号キーを入力するか、既定値を使用します。この暗号キーはリモートSonicWALL暗号キーの設定に使用されるので、SonicWALLを設定するときに書き留めておいてください。
手順 11 認証鍵」フィールドに32文字の16進数認証キーを入力するか、既定値を使用します。SonicWALL設定を指定するためにキーを書き留めます。
ヒント 有効な16進数の文字とは、0、1、2、3、4、5、6、7、8、9、a、b、c、d、e、およびfです。たとえば、1234567890abcdefは有効なDESまたはARCFour暗号キーの例です。不適切な暗号キーを入力すると、ブラウザ ウィンドウの下部にエラー メッセージが表示されます。
手順 12 詳細」タブを選択して、VPNポリシーに適用する次のオプション設定をすべて選択します。

・ 「このVPNポリシーに対して自動アクセスルール生成をしない」設定は既定で有効になっていないので、VPNトラフィックは適切なゾーンを通過できます。

・ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。

・ SonicWALLでローカル、リモート、または両方のネットワーク通信をVPNトンネル経由で変換するには、「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」を選択します。ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」ドロップダウン ボックスでアドレス オブジェクトを選択または作成します。リモート ネットワークを変換するには、「変換後のリモート ネットワーク」ドロップダウン ボックスでアドレス オブジェクトを選択または作成します。通常は、トンネルでNATが必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NATポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。
警告 「ネットワーク」タブで「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」が選択されている場合は、この機能を使用できません。

・ リモートSonicWALLをVPNトンネル経由で管理するには、「このSAを経由しての管理」から「HTTP」または「HTTPS」、あるいは両方を選択します。

・ 「このSAを経由してのユーザ ログイン」で「HTTP」「HTTPS」、または両方を選択すると、SAを使用してログインできます。

・ ゲートウェイのIPアドレスを保持している場合は、「デフォルトLANゲートウェイ (オプション)」フィールドに入力します。

・ 「VPNポリシーの適用先」メニューからインターフェースを選択します。
手順 13 OK」を選択します。
手順 14 VPN設定」ページで、「承諾」を選択して、VPNポリシーを更新します。
ヒント ウィンドウズ ネットワーク (NetBIOS) が有効になっているため、ユーザはウィンドウズの「ネットワーク コンピュータ」でリモート コンピュータを表示することができます。また、サーバまたはワークステーションのリモートIPアドレスを入力することによってリモートLANのリソースにアクセスすることもできます。

IKE (サードパーティ証明書) でのVPNポリシーの設定

警告 サードパーティ証明書を使用したIKEでVPNポリシーを設定する前に、SonicWALLにインストールされているサードパーティ証明書の認定局からの有効な証明書が必要です。

IKEおよびサードパーティの証明書を使用してVPN SAを作成するには、次の手順に従います。

手順 1 VPN設定」ページで、「追加」を選択します。「セキュリティ ポリシー」ウィンドウが表示されます。
手順 2 一般」タブの「認証種別」リストで、「IKE (サードパーティ証明書を使用)」を選択します。「セキュリティ ポリシー」ウィンドウにサードパーティ証明書オプションが表示されます。
手順 3 名前」フィールドにSA名を入力します。
手順 4 プライマリIPSecゲートウェイ名またはアドレス」フィールドにプライマリのリモートSonicWALLのIPアドレスまたは完全修飾ドメイン名 (FQDN) を入力します。セカンダリのリモートSonicWALLがある場合、「IPSecセカンダリ ゲートウェイ名またはアドレス」フィールドにリモート対象先のIPアドレスまたは完全修飾ドメイン名を入力します。
手順 5 IKE認証」で、「ローカル証明書」リストからサードパーティ証明書を選択します。このオプションを選択する前に、ローカル証明書をインポートする必要があります。
手順 6 ピアIKE ID タイプ」メニューから次のPeer IDタイプのいずれかを選択します。

・ 「電子メールドメイン名」 - 「電子メール」と「ドメイン名」のタイプは、既定ではすべての証明書に含まれていない証明書の「サブジェクト代替名」フィールドに基づいています。証明書に「サブジェクト代替名」が含まれている場合、その値を使用する必要があります。サイト間VPNの場合、ワイルド カード文字 (1文字を超える場合は *、1文字の場合は?) は使用できません。電子メールまたはドメイン名の完全な値を入力する必要があります。Group VPNは複数のピアに接続することになっていますが、サイト間VPNは1つのピアに接続することになっています。

・ 「識別名(DN)」 - 既定ですべての証明書に含まれている、証明書の「サブジェクト識別名」フィールドに基づいています。上述の「電子メールとドメイン名」同様、ワイルド カード文字がサポートされていないサイト間VPN用に、「識別名」に完全な名前入力する必要があります。
「サブジェクト識別名」の形式は、発行元の認証局によって決定されます。一般的なフィールドは、国 (C=)、組織 (O=)、組織の単位 (OU=)、一般名 (CN=)、住所 (L=) などですが、発行元の認証局ごとに異なります。実際のX509証明書の「サブジェクト識別名」フィールドはバイナリ オブジェクトであるため、目的に応じて文字列に変換する必要があります。フィールドは、
/C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pubのようにフォワード スラッシュで区切られます。
証明書の詳細 (サブジェクト代替名、識別名など) を参照するには、「
システム > 証明書」ページに移動して、証明書の「エクスポート」ボタン を選択します。
手順 7 ピアIKE ID」フィールドにID文字列を入力します。
手順 8 ネットワーク」タブを選択します。
手順 9 特定のローカル ネットワークがVPNトンネルにアクセスできる場合は、「ローカル ネットワーク」で「ローカル ネットワークをリストより選択」からローカル ネットワークを選択します。VPN接続のローカル側のホストがトンネルのリモート サイドのDHCPサーバからアドレッシングを取得する場合は、「ローカル ネットワークは、この VPN トンネルを通じた DHCP を使用して IP アドレスを取得する」を選択します。任意のローカル ネットワークからトラフィックを発信できる場合は、「すべてのアドレス」を選択します。
手順 10 ローカル ユーザからの暗号化されていないトラフィックがSonicWALLセキュリティ装置から発信できない場合は、「対象先ネットワーク」の「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を選択します。この設定を使用するには、SAを1つだけ設定できます。VPN接続のリモート サイドのホストがトンネルのリモート側のDHCPサーバからアドレッシングを取得する場合は、「対象先ネットワークは、このVPNトンネルを通じたDHCPを使用してIPアドレスを取得する」を選択します。あるいは、「対象先ネットワークをリストより選択」を選択して、アドレス オブジェクトまたはグループを選択します。
手順 11 プロポーザル」タブを選択します。
手順 12 IKE (フェーズ1) プロポーザル」セクションで、次の設定を選択します。

・ 「鍵交換モード」メニューから「メイン モード」または「アグレッシブ モード」を選択します。

・ 「DHグループ」メニューの「DHグループ」を選択します。
補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 「暗号化」メニューの「3DES」、「AES-128」、「AES-192」、または「AES-256」を選択します。

・ 「認証」メニューから使用する認証種別を選択します。

・ 「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは8時間ごとに鍵の再ネゴシエートと交換を行います。
手順 13 IPSec (フェーズ2) プロポーザル」セクションで、次の設定を選択します。

・ 「プロトコル」メニューから使用するプロトコルを選択します。

・ 「暗号化」メニューの「3DES」、「AES-128」、「AES-192」、または「AES-256」を選択します。

・ 「認証」メニューから使用する認証種別を選択します。

・ 追加のセキュリティ層としてDiffie-Helman鍵交換を追加する場合は、「Perfect Forward Secrecyを有効にする」を選択します。「DHグループ」メニューの「グループ2」を選択します。
補足 ウィンドウズ2000 L2TPクライアントおよびウィンドウズXP L2TPクライアントは、DH グループ2でのみ動作します。DH グループ1および5との互換性はありません。

・ 「存続期間 (秒)」フィールドに値を入力します。既定の「28800」により、トンネルは8時間ごとに鍵の再ネゴシエートと交換を行います。
手順 14 詳細」タブを選択します。VPNポリシーに適用する設定オプションを選択します。

・ このVPNトンネルでピア間のハートビート メッセージを使用する場合は、「キープ アライブを有効にする」を選択します。トンネルの一方の側が失敗した場合、キープアライブを使用することにより、両サイドが再び利用可能になったときにトンネルの自動的な再ネゴシエートが可能になります。提案された存続期間が期限切れになるまで待つ必要はありません。

・ 「このVPNポリシーに対して自動アクセスルール生成をしない」設定は既定で有効になっていないので、VPNトラフィックは適切なゾーンを通過できます。

・ このトンネルの通過をトラフィックに許可する前にXAUTH認証をユーザに要求するには、「リモートVPNクライアントにXAUTHでの認証を要求する」を選択し、ユーザ グループを選択して「XAUTHに利用するユーザ グループ」から許可するユーザを指定します。

・ 「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」 - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。

・ VPNトンネル経由のマルチキャスト トラフィックを許可するには、「マルチキャストを有効にする」チェックボックスを選択します。

・ SonicWALLでローカル、リモート、または両方のネットワーク通信をVPNトンネル経由で変換するには、「ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする」を選択します。ローカル ネットワークでネットワーク アドレス変換を実行するには、「変換後のローカル ネットワーク」メニューでアドレス オブジェクトを選択または作成します。リモート ネットワークを変換するには、「変換後のリモート ネットワーク」メニューでアドレス オブジェクトを選択または作成します。通常は、トンネルでNATが必要な場合、ローカルとリモートの両方ではなくいずれかを変換する必要があります。「NATポリシーを適用する」は、トンネルの両サイドで同一または重複するサブネットを使用する場合に特に有用です。

・ VPN証明書状況を確認するために「OCSP確認を有効にする」を選択して、状況を確認するURLを指定します。「VPN > 詳細設定」 「OCSPをSonicWALLセキュリティ装置で使用」セクション を参照してください。

・ リモートSonicWALLをVPNトンネル経由で管理するには、「このSAを経由しての管理」から「HTTP」または「HTTPS」、あるいは両方を選択します。「このSAを経由してのユーザ ログイン」で「HTTP」「HTTPS」、または両方を選択すると、SAを使用してログインできます。

・ 未知のサブネットに送信されてこのトンネルに入るトラフィックに対してLAN上のルータを使用する場合、たとえば、トンネルの反対側に「このVPNトンネルをすべてのインターネット トラフィックのデフォルト ルートとして使用する」を設定した場合は、ルータのIPアドレスを「デフォルト LAN ゲートウェイ (オプション)」フィールドに入力する必要があります。

・ 「VPNポリシーの適用先」メニューからインターフェースまたはゾーンを選択します。WANの負荷分散を使用していて、VPNでいずれかのWANインターフェースを使用する場合は、「ゾーン」が推奨される選択です。
手順 15 OK」を選択します。

静的ルートへのVPNフェイルオーバーの設定

VPNトンネルが停止した場合に、静的ルートをバックアップのルートとして使用できるように設定するためのオプションがあります。「VPNパスを優先させる」オプションを使用すると、VPNトンネルのバックアップのルートを作成できます。既定では、静的ルートのメトリックは1に設定されており、VPNトラフィックよりも優先されます。「VPNパスを優先させる」は、送信先アドレス オブジェクトが同じであるVPNトラフィックに対する優先順位を、静的ルートよりも高くします。このため、以下のような動作になります。


・ VPNトンネルがアクティブな場合: 「VPNパスを優先させる」オプションが有効であれば、VPNトンネルと送信先アドレス オブジェクトが一致する静的ルートが自動的に無効になります。すべてのトラフィックがVPNトンネルを通って送信先アドレス オブジェクトへ向かいます。

・ VPNトンネルが停止した場合: VPNトンネルと送信先アドレス オブジェクトが一致する静的ルートが自動的に有効になります。送信先アドレス オブジェクトへ向かうすべてのトラフィックが静的ルートを通ります。

静的ルートをVPNのフェイルオーバーとして設定するには、以下の手順に従います。

手順 1 ネットワークルーティング」ページに移動します。
手順 2 ページの一番下までスクロールし、「追加」ボタンを選択します。「ルート ポリシーの追加」ウィンドウが表示されます。
手順 3 送信元」、「送信先」、「サービス」「ゲートウェイ」、および「インターフェース」を正しく選択します。
手順 4 メトリック」はのままにします。
手順 5 VPNパスを優先させる」チェックボックスをオンにします。
手順 6 OK」を選択します。

静的ルートの設定、およびポリシー ベース ルーティングの詳細については、「ネットワーク > ルーティング」 を参照してください。

ルート ベースVPN

ポリシー ベースVPNの場合、VPNポリシーを構成する際に必ずネットワークのトポロジを設定しなくてはなりません。このため、トポロジが頻繁に変更されるネットワークでは、管理者がVPNポリシーの構成や保守で苦労することになります。

ルート ベースVPNの場合、VPNポリシーの構成時にネットワーク トポロジを設定する必要がありません。VPNポリシーを構成するとき、2つのエンドポイント間にトンネル インターフェースが作成され、 静的または動的ルートをそのインターフェースに追加することができます。ルート ベースVPNを使用すれば、ネットワークの設定がVPNポリシーの構成から静的または動的ルートの構成へと移動されます。

VPNポリシーの構成や保守が容易になるだけがルート ベースVPNの利点ではありません。ルート ベースVPNには、トラフィックを柔軟にルーティングできるという大きな特徴があります。そのため、ユーザは二重化された (あるいはされていない) VPNに対して、重複するネットワークを経由する複数のパスを定義できるようになります。

ルート ベースVPNの使用

ルート ベースVPNは、2つの手順で設定します。最初にトンネル インターフェースを作成します。トンネル インターフェースには2つのエンドポイント間のトラフィックを安全にするために使う、暗号化手順を定義します。2つ目の手順では、トンネル インターフェースを使用して静的または動的ルートを作成します。

トンネル インターフェースは、“トンネル インターフェース”という種類のポリシーをリモート ゲートウェイに追加すると作成されます。トンネル インターフェースは物理インターフェースにバインドされる必要があり、その物理インターフェースのIPアドレスがトンネルを通るパケットの送信元アドレスとして使用されます。

トンネル インターフェースの追加

次に、トンネル インターフェースを追加する方法について説明します。

手順 1 VPN設定VPNポリシー」を選択します。「追加」ボタンを選択します。「VPNポリシー構成」ダイアログ ボックスが開きます。
手順 2 一般」タブで、ポリシーの種類に「トンネル インターフェース」を選択します。
手順 3 次に、「プロポーザル」タブに移動し、トンネルのネゴシエーションに必要なIKEとIPSecのプロポーザルを設定します。
手順 4 詳細」タブに移動し、トンネル インターフェースの詳細なプロパティを設定します。既定では「キープ アライブを有効にする」が設定されています。これは、リモート ゲートウェイで予見的にトンネルを確立するためのものです。
手順 5 以下の詳細オプションが設定できます。

・ 高度なルーティングを許可する - このトンネル インターフェースを、「ネットワーク > ルーティング」 ページの高度なルーティングのテーブル内のインターフェース リストに追加します。これをオプション設定にすることで、高度なルーティング テーブルにすべてのトンネル インターフェースを追加することを避けて、ルーティング設定の合理化に役立てています。 トンネル インターフェースに対してRIPまたはOSPFの高度なルーティングを設定するための情報は、「トンネル インターフェースに対する高度なルーティング設定」 を参照してください。

・ トランスポート モードを有効にする -IPSecネゴシエーションがトンネル モードではなく、トランスポート モードを使うことを強制します。 これは、Nortelとの互換性のために導入されています。 ローカル ファイアウォール上でこのオプションを有効にする際には、ネゴシエーションが成功するように、リモート ファイアウォール上でも同様にこれを有効にする必要があります。

・ XAUTHを利用したVPNクライアントの認証を要求する - このVPNトンネルの受信トラフィックがすべて認証済みのユーザからのものであることが要求されます。

・ XAUTHに利用するユーザ グループ - XAUTHが選択された場合にこのVPNへのアクセスを持つユーザ グループを指定します。

・ Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする - ウィンドウズの「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスすることを許可します。

・ マルチキャストを有効にする - マルチキャスト トラフィックがVPNトンネルを通過することを許可します。

・ このSAを経由しての管理 - リモート ユーザがVPNトンネル経由でこのSonicWALLにログインして管理することを許可します。

・ このSAを経由してのユーザ ログイン - ユーザがこのSAを使ってログインすることを許可します。

・ VPNポリシーの適用先 - トンネル インターフェースがバウンドされるインターフェースを設定します。 既定では、これはX1です。

トンネル インターフェースへの静的ルートの作成

トンネル インターフェースの追加に成功したら、続いて静的ルートを作成します。トンネル インターフェースに静的ルートを作成するには、次の手順に従います。

ネットワークルーティングルート ポリシー」を選択します。「追加」ボタンを選択します。静的ルート追加のためのダイアログ ウィンドウが表示されます。「インターフェース」ドロップダウン メニューには、利用可能なすべてのトンネル インターフェースが表示されます。

補足 「自動的に追加するルール」オプションが選択されている場合は、ファイアウォール ルールが自動的に追加され、トンネル インターフェースを使用して設定されたネットワーク間でトラフィックが許可されます。

異なるネットワーク セグメントを使用するルート エントリ

トンネル インターフェースを作成した後、異なるネットワークで同じトンネル インターフェースを使用するための、複数のルート エントリを設定することができます。これにより、トンネル インターフェースを何も変更することなくネットワーク トポロジを変更するための仕組みができあがります。

次に、異なるネットワークで同じトンネル インターフェースを使用する例 (ルート1と2) を示します。

ネットワークへの静的ルートの冗長化

トンネル インターフェースを2つ以上設定したら、重複する複数の静的ルートを追加してください。各静的ルートが異なるトンネル インターフェースを使用してトラフィックをルーティングするようにします。こうすることで、送信先に到達するトラフィックのルーティングが冗長化されます。

次に、ネットワークへの冗長な静的ルートの例 (ルート2と3) を示します。

ドロップ トンネル インターフェース

ドロップ トンネル インターフェースは、事前に設定されたトンネル インターフェースです。このインターフェースはトラフィックのセキュリティを強化します。ドロップ トンネル インターフェースを利用する例を1つ紹介します。静的ルートにバインドされたインターフェースがドロップ トンネル インターフェースと見なされると、そのルートを通るトラフィックはすべて破棄され、平文では転送されません。トンネル インターフェースにバインドされた静的ルートが、あるトラフィック (送信元/送信先/サービス) に定義されているとします。そのトラフィックについて、トンネル インターフェースがダウンした場合に平文のまま転送されないようにしたい場合は、静的ルートを同じネットワーク トラフィックのドロップ トンネル インターフェースにバインドすることが推奨されます。そうすれば、トンネル インターフェースがダウンしたとき、トラフィックはドロップ トンネル インターフェースの静的ルートの効果で破棄されるようになります。

ドロップ トンネル インターフェースへの静的ルートの作成

ドロップ トンネル インターフェースに静的ルートを追加するには、「ネットワークルーティングルーティング ポリシー」を選択します。「追加」ボタンを選択します。トンネル インターフェースに静的ルートを設定する場合と同様に、送信元、送信先、サービスの各オブジェクトに値を設定します。「インターフェース」の下の「Drop_tunnelIf」を選択します。

静的ルートは追加すると有効化され、「ルート ポリシー」に表示されます。

VPNが自動的に追加するルール コントロール

VPNポリシーを追加すると、SonicOSは編集不可のアクセス ルールを自動作成し、トラフィックが適切なゾーンを通過することを許可します。「ローカル ネットワーク」に「Firewalled Subnets」が設定 (このケースではLANおよびDMSで構成) されて、ネットワークにサブネット192.168.169.0が設定されるという状況で、以下のVPNポリシーについて検討してみましょう。

アクセス ルールの自動作成は一般的には非常に便利ですが、場合によってはVPNポリシーをサポートするうえで自動作成の抑止が必要になります。例えば、大規模なハブアンドスポーク型VPN (スポーク サイト全体が、簡単にスーパーネット化できるアドレス空間を使用したアドレスである) などです。ここで、2,000のリモート サイトそれぞれにおけるハブ サイトでのLANおよびDMZアクセスを1つのサブネットで提供する場合、アドレスは以下のようになります。

remoteSubnet0=Network 10.0.0.0/24 (mask 255.255.255.0, range 10.0.0.0-10.0.0.255)

remoteSubnet1=Network 10.0.1.0/24 (mask 255.255.255.0, range 10.0.0.0-10.0.1.255)
remoteSubnet2=Network 10.0.2.0/24 (mask 255.255.255.0, range 10.0.2.0-10.0.2.255)
remoteSubnet2000=10.7.207.0/24 (mask 255.255.255.0, range 10.7.207.0-10.7.207.255)

これらの各リモート サイト用にVPNポリシーを作成した場合は2,000のVPNポリシーが必要となり、8,000のアクセス ルールも作成されます (各サイトに対してLAN -> VPN、DMZ -> VPN、VPN -> LAN、およびVPN -> DMZ)。ただし、これらのアクセス ルールは、リモート サイトのスーパーネット化つまりアドレス範囲表現に対する4つのアクセス ルールですべて簡単に処理することができます (さらに具体的な許可または拒否のアクセス ルールを必要に応じて追加できます)。

remoteSubnetAll=Network 10.0.0.0/13 (mask 255.248.0.0, range 10.0.0.0-10.7.255.255) または

remoteRange=Range 10.0.0.0-10.7.207.255

この集約のレベルを有効にする場合は、「VPNポリシー」ウィンドウ ページの「詳細設定」タブに「VPNポリシーの自動追加アクセス ルール」設定のオプションがあります。既定では、このチェックボックスがオンになっており、付随するアクセス ルールが自動的に作成されます。VPNポリシーの作成時にこのチェックボックスをオフにすることにより、管理者はVPNトラフィックの個別アクセス ルールを作成できます。