VPN の詳細設定

「VPN の詳細設定」は、すべての VPN ポリシーに影響を与えます。また、このセクションでは、OCSP (Online Certificate Status Protocol) 用のソリューションについても説明します。OCSP により、CRL (証明書失効リスト) なしで VPN 証明書状況を確認できます。これで、ファイアウォールで使用される証明書の状況に関するアップデートを適時に行うことができます。この章は、次のセクションで構成されています。

•

IKE Dead Peer 検出を有効にする - アクティブでない VPN トンネルを SonicWALL によって破棄する場合に選択します。

•

ハートビートの間隔(秒) - "ハートビート" 間隔の秒数を入力します。既定値は 60 秒です。

•

Dead Peer 検出とする未到達ハートビートの回数 - 未到達ハートビート回数を入力します。既定値は 3 です。トリガーレベルに達した場合、VPN 接続は SonicWALL により破棄されます。SonicWALL は、フェーズ 1 暗号化手順によって保護された UDP パケットを使用します。

•

無動作時 VPN 接続に対する Dead Peer 検出を有効にする -「無動作時 VPN 接続に対する Dead Peer 検出の間隔 (秒)」フィールドで定義した時刻の値に到達後、動作していない VPN 接続を SonicWALL によって破棄する場合は、この設定を選択します。既定値は“600"秒 (10 分) です。

•

断片化パケットの処理を有効にする - "断片化された IPSec パケットが破棄された" という内容のログメッセージが VPN ログレポートに示される場合は、この機能を有効にします。VPN トンネルが確立されて動作状態になるまでは、選択しないでください。

•

DF (Don't Fragment: 断片化を行わない) ビットを無視する - パケットヘッダーの DF ビットを無視するには、このチェックボックスをオンにします。一部のアプリケーションでは、パケットの'断片化を行わない'のオプションを明示的に設定できます。これにより、すべてのセキュリティ装置にそのパケットの断片化を行わないように指示されます。このオプションが有効になっていると、SonicWALL は断片化を行わないためのオプションを無視し、とにかくパケットの断片化を行います。

•

NAT トラバーサルを有効にする - VPN エンドポイントの間に NAT 機器がある場合は、この設定を選択します。IPsec VPN は、認証されたエンドポイント間で交換されたトラフィックを保護しますが、NAT トラバーサルを動作させるために、認証されたエンドポイントをセッションの途中で動的に再マップできません。したがって、IPSec セッションが終了するまで動的な NAT バインドを維持するには、1 バイトの UDP を"NAT トラバーサルキープアライブ"として指定し、NAT 機器または NAPT 機器の背後にある VPN 機器によって送信される"ハートビート"として機能させます。"キープアライブ"は、IPsec peer により何も表示されずに破棄されます。

•

対岸のゲートウェイの DNS 名と IP アドレスが異なっていた場合、アクティブトンネルをクリーンアップする - 古い IP アドレスと関連付けられた SA を切断し、ピアゲートウェイに再接続します。

•

「OCSP 確認を有効にする」および「OCSP 確認用 URL」－ VPN 証明書状況を確認する OCSP (Online Certificate Status Protocol) の使用を有効にし、証明書状況を確認する URL を指定します。OCSP を SonicWALL ネットワークセキュリティ装置で使用を参照してください。

•

トンネルの状況が変更した場合のみ、VPN トンネルトラップを送信する－トンネルの状況が変化したときにのみトラップを送信することにより、送信される VPN トンネルトラップの数を減らします。

•

RADIUS を以下で使用 - このオプションを選択する主な理由は、VPN クライアントユーザが MSCHAP 機能を使用して、ログイン時に期限切れパスワードを変更できるようにするためです。VPN クライアントユーザの認証に RADIUS を使用する場合は、RADIUS を次のどちらのモードで使用するかを選択します。

•

MSCHAP

•

MSCHAPV2 (XAUTH のモード。ユーザは期限切れパスワードを変更できます)

また、これを設定し、「ユーザ > 設定」ページの「ログインの認証方法」として LDAP が選択されているが、LDAP がパスワードの更新を許可する設定になっていない場合、LDAP を使用してユーザ認証が行われた後で、MSCHAP モードの RADIUS を使用して VPN クライアントユーザのパスワードの更新が実行されます。

補足：次のいずれかを使用する場合のみ、LDAP によるパスワードの更新が可能です。

•

アクティブディレクトリを TLS と共に使用して、管理アカウントを使ってそれにバインドしている

•

ノベルイーディレクトリ

•

VPN クライアントの DNS および WINS サーバの設定－ GroupVPN を介したサードパーティ VPN クライアントや、モバイル IKEv2 クライアントなど、クライアント用に DNS および WINS サーバを設定するには、設定ボタンを選択します。「VPN DNS および WINS サーバの追加」ダイアログが表示されます。


	補足：このオプションは、TZ 装置に対してのみ表示されます。

•

DNS サーバ – DNS サーバを動的に指定するか、手動で指定するかを選択します。

•

WAN ゾーンと同じ DNS 設定にする – SonicWALL 装置は、DNS サーバ IP アドレスを自動的に取得します。

•

マニュアルで DNS サーバを指定 –「DNS サーバ 1/3」フィールドに、DNS サーバ IP アドレスを最大 3 つ入力します。

•

WINS サーバ –「WINS サーバ 1/2」フィールドに、WINS サーバ IP アドレスを最大 2 つ入力します。