GroupVPN ポリシーは、ファイアウォール管理者による複数のグローバル VPN クライアントの設定および配備に役立ちます。GroupVPN は、グローバル VPN クライアントにのみ利用可能です。セキュリティを強化するには、XAUTH/RADIUS またはサード パーティ証明書を GroupVPN と組み合わせて使用することをお勧めします。
「ネットワーク > ゾーン」ページでは、あらゆるゾーンの GroupVPN ポリシー を作成できます。SonicOS では、WAN ゾーンおよび WLAN ゾーン用の 2 つの既定 GroupVPN ポリシーが用意されています。これらのゾーンは一般に保護レベルが低いゾーンです。これら 2 つの既定 GroupVPN ポリシーは、「VPN > 設定」ページの「VPN ポリシー」パネルに表示されます。
「VPN ポリシー」ダイアログの「認証方式」メニューでは、IPsec 鍵モードとして「IKE (事前共有鍵を使用)」オプションまたは「IKE (サード パーティ証明書を使用)」オプションを選択できます。
SonicOS は、IPsec VPN の作成および管理をサポートしています。
WAN GroupVPN を設定するには、次の手順に従います。
|
1
|
「一般」タブにおいて、「IKE (事前共有鍵を使用)」は「認証方式」の既定の設定です。
|
2
|
「事前共有鍵」フィールドの事前共有鍵は、ファイアウォールによって自動的に生成されます。独自の事前共有鍵を生成することが可能です。事前共有鍵は、4 文字以上でなければなりません。
|
GroupVPN ポリシーの名前を変更することはできません。
|
3
|
「プロポーザル」タブを選択して設定手順を進めます。
|
|
4
|
「IKE (フェーズ 1) プロポーザル」セクションで、次の設定を選択します。
|
|
•
|
「DH グループ」ドロップダウン メニューから、DH グループを選択します。
|
|
•
|
|
•
|
|
•
|
|
•
|
|
5
|
「IPSec (フェーズ 2) プロポーザル」セクションで、次の設定を選択します。
|
|
•
|
|
•
|
|
•
|
「認証」ドロップダウン メニューから、使用する認証方式を選択します。選択肢は、「MD5」、「SHA1」(既定)、「SHA256」、「SHA384」、「SHA512」、「AES-XCBX」、または「なし」です。
|
|
•
|
追加のセキュリティ層として Diffie-Helman 鍵交換を追加する場合は、「Perfect Forward Secrecy を有効にする」を選択します。
|
|
•
|
|
6
|
「詳細」タブを選択します。
|
|
•
|
「IPsec アンチリプレイを無効にする」- 重複したシーケンス番号を持つパケットが破棄されないようにします。
|
|
•
|
「Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする」- Windows の「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスすることを許可します。
|
|
•
|
「マルチキャストを有効にする」- IP マルチキャスト トラフィック (音声 (VoIP など)/映像アプリケーション) が VPN トンネルを通過できるようにします。
|
|
•
|
「クライアントに複数のプロポーザルを許可する」- クライアント向けの複数のプロポーザル (IKE (フェーズ 1) プロポーザル、IKE (フェーズ 2) プロポーザルなど) を許可します。
|
|
•
|
|
•
|
「デフォルト ゲートウェイ」- この VPN ポリシーの受信 IPSec パケットに関して既定ネットワーク ルートの IP アドレスを指定できます。着信パケットは SonicWALL によってデコードされ、SonicWALL で設定された静的ルートと比較されます。
|
|
•
|
「XAUTH を利用した VPN クライアントの認証を要求する」- この VPN トンネルの受信トラフィックがすべて認証済みのユーザからのものであることが要求されます。認証されていないトラフィックは VPN トンネルでは許可されません。既定で「Trusted Users」グループが選択されています。「XAUTH に利用するユーザ グループ」メニューから、別のユーザ グループまたは「Everyone」を選択することができます。
|
|
•
|
「認証されていない VPN クライアントのアクセス許可」- 認証されていない VPN クライアント アクセスを有効にすることができます。「XAUTH を利用した VPN クライアントの認証を要求する」をオフにすると、「認証されていない VPN クライアントのアクセス許可」メニューが有効になります。事前定義オプションのメニューからアドレス オブジェクトまたはアドレス グループを選択するか、「アドレス オブジェクトの作成」または「アドレス グループの作成」を選択して新規作成します。
|
|
8
|
「クライアント」を選択して、GroupVPN ポリシーに適用する次の設定をすべて選択します。
|
|
•
|
「XAUTH ユーザ名とパスワードのクライアント キャッシュ」- ユーザ名とパスワードをグローバル VPN クライアントがキャッシュできるようにします。
|
|
•
|
「無効」- ユーザ名とパスワードをグローバル VPN クライアントがキャッシュできないようにします。接続が有効である場合、IKE フェーズ 1 の再入力があるたびに、ユーザはユーザ名とパスワードを要求されます。
|
|
•
|
「セッション単位」- 接続が無効になるまで、接続が有効化されて有効になるたびに、グローバル VPN クライアント ユーザはユーザ名とパスワードを要求されます。このユーザ名とパスワードは IKE フェーズ 1 の再入力で使用されます。
|
|
•
|
「常に」- 接続が有効化されると 1 回だけ、グローバル VPN クライアント ユーザはユーザ名とパスワードを要求されます。画面の指示に従うと、ユーザにはユーザ名とパスワードをキャッシュしたオプションが提供されます。
|
|
•
|
「仮想アダプタの設定」- グローバル VPN クライアント (GVC) による仮想アダプタの使用は、仮想アダプタにアドレスを割り当てるため、DHCP サーバ、内部 SonicOS または指定された外部 DHCP サーバによって常に左右されていました。
|
|
•
|
「なし」- この GroupVPN 接続では仮想アダプタを使用しません。
|
|
•
|
|
•
|
「DHCP リースまたは手動設定」- GVC を SonicWALL に接続すると、SonicWALL のポリシーは GVC が仮想アダプタを使用するよう指示しますが、仮想アダプタが手動で設定されている場合、DHCP メッセージは抑止されます。設定値は SonicWALL によって記録されるので、手動で割り当てられた IP アドレスのプロキシ ARP を取得できます。設計により、現在は仮想アダプタの IP アドレスの割り当てには制限がありません。重複した静的アドレスのみが許可されていません。
|
|
•
|
「コネクションの制御」- 各ゲートウェイの対象先ネットワークに一致しているクライアント ネットワーク トラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。
|
|
•
|
「このゲートウェイのみ」- 一度に 1 つの接続を有効にできます。ゲートウェイのポリシーで指定されているように対象先ネットワークに一致するトラフィックは VPN トンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。
|
|
•
|
「すべてのゲートウェイ」- 同時に 1 つ以上の接続を有効にできます。各ゲートウェイの対象先ネットワークに一致しているトラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。複数のゲートウェイのうちいずれか 1 つのみ、「このゲートウェイをデフォルト ルートに設定する」を有効化できます。
|
|
•
|
「トンネルを分割する」- VPN ユーザはローカル インターネット接続と VPN 接続の両方が可能です。
|
|
•
|
「このゲートウェイをデフォルト ルートに設定する」- すべてのリモート VPN 接続が VPN トンネル経由でインターネットにアクセスする場合は、このチェック ボックスをオンにします。このオプションを使用する場合は、VPN ポリシーを 1 つだけ設定できます。
|
|
•
|
「シンプル クライアント プロビジョニングに既定の鍵を使用する」- ゲートウェイとの最初の交換でアグレッシブ モードが使用され、VPN クライアントでは既定の事前共有鍵が認証に使用されます。
|
|
9
|
「OK」を選択します。
|
|
1
|
|
2
|
|
3
|
「ゲートウェイ証明書」メニューから SonicWALL の証明書を選択します。
|
|
4
|
「ピア ID 種別」メニューから次の Peer ID タイプのいずれかを選択します。
|
|
•
|
「識別名」- 既定ですべての証明書に含まれている、証明書の「サブジェクト識別名」フィールドに基づいています。
|
「サブジェクト識別名」の形式は、発行元の認証局によって決定されます。一般的なフィールドは、国 (C=)、組織 (O=)、組織の単位 (OU=)、一般名 (CN=)、住所 (L=) などですが、発行元の認証局ごとに異なります。実際の X509 証明書の「サブジェクト識別名」フィールドはバイナリ オブジェクトであるため、目的に応じて文字列に変換する必要があります。フィールドは、次の例のようにフォワード スラッシュで区切られます。
/C=US/O=SonicWALL, Inc./OU=TechPubs/CN=Joe Pub
最大で 3 つの組織の単位を追加できます。使用方法は、c=*;o=*;ou=*;ou=*;ou=*;cn=* です。最後のエントリにはセミコロンは不要です。c=us のように少なくとも 1 つのエントリを入力する必要があります。
|
•
|
「電子メール」と「ドメイン名」(既定) -「電子メール」と「ドメイン名」の種別は、既定ではすべての証明書に含まれていない、証明書の「サブジェクト代替名」フィールドに基づいています。証明書に「サブジェクト代替名」フィールドが含まれていない場合、このフィルタは機能しません。
|
「電子メール」と「ドメイン名」フィルタには、要求される許容範囲を識別する文字列または部分文字列が含まれている可能性があります。入力した文字列には大文字と小文字の区別がなく、ワイルド カード文字 * (2 文字以上の場合) および ?(1 文字の場合) を含めることができます。例えば、「電子メール」が選択されているときに文字列が「*@sonicwall.com」である場合は、「sonicwall.com」で終わる電子メール アドレスを持つすべてのユーザがアクセスでき、「ドメイン名」が選択されているときに文字列が「*sv.us.sonicwall.com」である場合は、「sv.us.sonicwall.com」で終わるドメイン名を持つユーザがアクセスできます。
|
5
|
「ピア ID フィルタ」フィールドに ピア ID フィルタを入力します。
|
|
6
|
「ゲートウェイ発行者によって署名された Peer 証明書のみ有効にする」をオンにして、ピア証明書が「ゲートウェイ証明書」メニューで指定された発行者によって署名されていなければならないことを指定します。
|
|
7
|
「プロポーザル」タブを選択します。
|
|
8
|
「IKE (フェーズ 1) プロポーザル」セクションで、次の設定を選択します。
|
|
•
|
「DH グループ」メニューの「DH グループ」を選択します。
|
|
•
|
|
•
|
|
•
|
|
•
|
|
9
|
「IPSec (フェーズ 2) プロポーザル」セクションで、次の設定を選択します。
|
|
•
|
|
•
|
|
•
|
「認証」ドロップダウン メニューから、使用する認証方式を選択します。選択肢は、「MD5」、「SHA1」(既定)、「SHA256」、「SHA384」、「SHA512」、「AES-XCBX」、または「なし」です。
|
|
•
|
追加のセキュリティ層として Diffie-Helman 鍵交換を追加する場合は、「Perfect Forward Secrecy を有効にする」を選択します。
|
|
•
|
|
10
|
「詳細」タブを選択して、GroupVPN ポリシーに適用する次のオプション設定をすべて選択します。
|
|
•
|
「Windows ネットワーク (NetBIOS) ブロードキャストを有効にする」- Windows の「ネットワーク コンピュータ」を参照してリモート ネットワーク リソースにアクセスできます。
|
|
•
|
「マルチキャストを有効にする」- 音声 (VoIP を含む) やビデオ アプリケーションのストリーミングなど、IP マルチキャスト トラフィックが VPN トンネルを通過できるようにします。
|
|
•
|
|
•
|
「デフォルト ゲートウェイ」-「この SA 経由ですべてのインターネット トラフィックが送られます」チェック ボックスを使用してリモート サイトとともにセントラル サイトで使用します。「デフォルト LAN ゲートウェイ」を使用すると、この SA の受信 IPSec パケットに関して既定 LAN ルートの IP アドレスを指定できます。
|
|
•
|
「OCSP 確認を有効にする」および「OCSP 確認用 URL」- VPN 証明書状況を確認する OCSP (Online Certificate Status Protocol) の使用を有効にし、証明書状況を確認する URL を指定します。OCSP を SonicWALL ネットワーク セキュリティ装置で使用 を参照してください。
|
|
•
|
XAUTH を利用した VPN クライアントの認証を要求する - この VPN ポリシーの受信トラフィックがすべて認証済みのユーザからのものであることが要求されます。認証されていないトラフィックは VPN トンネルでは許可されません。
|
|
•
|
「XAUTH に利用するユーザ グループ」- 認証用に定義済みユーザ グループを選択できます。
|
|
•
|
「認証されていない VPN クライアントのアクセス許可」- 認証されていないグローバル VPN クライアント アクセスのネットワーク セグメントを指定できます。
|
|
11
|
「クライアント」タブを選択して、グローバル VPN プロビジョニングに適用する次のボックスをすべて選択します。
|
|
•
|
「XAUTH ユーザ名とパスワードのクライアント キャッシュ」- ユーザ名とパスワードをグローバル VPN クライアントがキャッシュできるようにします。以下のいずれかを選択します。
|
|
•
|
「無効」- グローバル VPN クライアントがユーザ名とパスワードをキャッシュできないようにします。接続が有効である場合、IKE フェーズ 1 の再入力があるたびに、ユーザはユーザ名とパスワードを要求されます。
|
|
•
|
「セッション単位」- 接続が無効になるまで、接続が有効化されて有効になるたびに、ユーザはユーザ名とパスワードを要求されます。このユーザ名とパスワードは IKE フェーズ 1 の再入力で使用されます。
|
|
•
|
「常に」- 接続が有効化されると 1 回だけユーザはユーザ名とパスワードを要求されます。画面の指示に従うと、ユーザにはユーザ名とパスワードをキャッシュしたオプションが提供されます。
|
|
•
|
「仮想アダプタの設定」- グローバル VPN クライアント (GVC) による仮想アダプタの使用は、仮想アダプタにアドレスを割り当てるため、DHCP サーバ、内部 SonicOS または指定された外部 DHCP サーバによって常に左右されていました。
|
|
•
|
「なし」- この GroupVPN 接続では仮想アダプタを使用しません。
|
|
•
|
|
•
|
「DHCP リースまたは手動設定」- GVC を SonicWALL に接続すると、SonicWALL のポリシーは GVC が仮想アダプタを使用するよう指示しますが、仮想アダプタが手動で設定されている場合、DHCP メッセージは抑止されます。設定値は SonicWALL によって記録されるので、手動で割り当てられた IP アドレスのプロキシ ARP を取得できます。設計により、現在は仮想アダプタの IP アドレスの割り当てには制限がありません。重複した静的アドレスのみが許可されていません。
|
|
•
|
「コネクションの制御」- 各ゲートウェイの対象先ネットワークに一致しているクライアント ネットワーク トラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。
|
|
•
|
「このゲートウェイのみ」- 一度に 1 つの接続を有効にできます。ゲートウェイのポリシーで指定されているように対象先ネットワークに一致するトラフィックは VPN トンネルを介して送信されます。このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。
|
|
•
|
「すべてのゲートウェイ」- 同時に 1 つ以上の接続を有効にできます。各ゲートウェイの対象先ネットワークに一致しているトラフィックは特定のゲートウェイの VPN トンネルを介して送信されます。
|
このオプションを「このゲートウェイをデフォルト ルートに設定する」とともに選択する場合、インターネット トラフィックも VPN トンネルを介して送信されます。このオプションは選択するが、「このゲートウェイをデフォルト ルートに設定する」は選択しない場合、インターネット トラフィックは遮断されます。
|
•
|
「トンネルを分割する」- VPN ユーザはローカル インターネット接続と VPN 接続の両方が可能です。
|
|
•
|
「このゲートウェイをデフォルト ルートに設定する」- すべてのリモート VPN 接続がこの SA 経由でインターネットにアクセスする場合は、このチェック ボックスをオンにします。この設定を使用する場合は、SA を 1 つだけ設定できます。
|
|
•
|
「シンプル クライアント プロビジョニングに既定の鍵を使用する」- ゲートウェイとの最初の交換でアグレッシブ モードが使用され、VPN クライアントでは既定の事前共有鍵が認証に使用されます。
|
|
12
|
「OK」を選択します。
|
ユーザがグローバル VPN クライアントにインポートできるようにグローバル VPN クライアント構成の設定をファイルにエクスポートする場合、以下の手順に従います。
|
1
|
|
2
|
既定では「SonicWALL グローバル VPN クライアントに対しては、rcf 形式が必要です。」が選択されています。rcf 形式で保存されているファイルはパスワードを暗号化できます。SonicWALL では設定ファイル名に既定のファイル名が適用されますが、この名前は変更可能です。
|
|
3
|
|
4
|
|
5
|
エクスポート ファイルを暗号化する場合は、パスワードを「パスワード」フィールドに入力し、「パスワードの確認」フィールドで再入力します。エクスポート ファイルを暗号化しない場合は、パスワードを入力する必要はありません。
|
|
6
|
「送信」を選択します。パスワードを入力しなかった場合は、選択を確認するメッセージが表示されます。
|
|
7
|
「OK」を選択します。設定ファイルを保存する前に変更することができます。
|
|
9
|
「閉じる」を選択します。
|
を選択します。「