VPN ポリシー ウィザードの指示に従って操作を行うと、Dell SonicWALL 上で GroupVPN を設定することができます。設定の終了後に、選択した VPN ポリシーに必要な VPN 設定がウィザードによって作成されます。SonicOS 管理インターフェースを使用して、高度な設定オプションを指定することもできます。
1. 「VPN > 設定」ページの右上隅で、「VPN ポリシー ウィザード」を選択します。
2. 「次へ」を選択します。
3. 「VPN ポリシーの種類」ページで、「WAN GroupVPN」を選択し、「次へ」を選択します。
「IKE フェーズ 1 鍵交換」ページで、この VPN ポリシーに使用する認証鍵を選択します。
既定の鍵を使用する: 既定の鍵を選択した場合、すべてのグローバル VPN クライアントは自動的に、Dell SonicWALL で生成された既定の鍵を使用して Dell SonicWALL から認証を受けます。
– 事前共有鍵を指定する: 個別の事前共有鍵を選択する場合は、すべての VPN クライアントに鍵を配布する必要があります。 ユーザは Dell SonicWALL に接続するときに、この鍵を入力するように求められます。
Note 「事前共有鍵を指定する」を選択し、値には既定の鍵をそのまま使用する場合でも、VPN クライアントに鍵を配布する必要があります。
5. 「次へ」を選択します。
6. 「セキュリティ設定」ページで、IKE フェーズ 2 ネゴシエーションおよび VPN トンネルのセキュリティ設定を選択します。既定の設定を使用することもできます。
DH グループ: Diffie-Hellman (DH) グループは、鍵のペアの作成に使われる数値のグループです。以降の各グループでは、最初からより大きい数値が使われます。選択できるグループは、グループ 1、グループ 2、またはグループ 5 です。VPN では、これをIKE ネゴシエーション時に使用して鍵のペアを作成します。
– 暗号化: VPN トンネルを介してデータを暗号化するための方式です。各方式は安全性の順に一覧表示されます。DES は最も安全性が低く、暗号化と復号化にかかる時間が最も短くて済みます。AES-256 は最も安全性が高く、暗号化と復号化に最も長い時間がかかります。選択できる方式は、DES、3DES、AES-128、または AES-256 です。VPN では、トンネルを通過するすべてのデータにこの暗号化を使用します。
– 認証: IKE ネゴシエーション時に交換された鍵の認証に使われるハッシュ方式です。選択できる方式は、MD5 または SHA-1 です。
– 存続期間 (秒) : VPN トンネルが開いている時間です。 この時間を過ぎると再認証が必要になります。既定の時間は 8 時間 (28800 秒) です。
WARNING Dell SonicWALL グローバル VPN クライアント バージョン 1.x は、AES 暗号化に対応していません。 このため、AES 暗号化方式を選択した場合は、Dell SonicWALL グローバル VPN クライアント バージョン 2.x 以降のみが接続可能となります。
7. 「次へ」を選択します。
8. 「ユーザ認証」ページで、VPN ユーザが接続時にファイアウォールから認証を受ける必要があるかどうかを選択します。「ユーザ認証を有効にする」を選択した場合は、VPN ユーザが属するユーザ グループを選択する必要があります。この例では、「ユーザ認証を有効にする」チェックボックスをオフのままにします。
ユーザ認証を有効にする場合は、認証のためにユーザを Dell SonicWALL データベースに登録する必要があります。「ユーザ > ローカル ユーザ」ページでユーザを Dell SonicWALL データベースに登録した後、「ユーザ > ローカル グループ」ページでグループに追加します。
9. 「次へ」を選択します。
10. 「仮想 IP アダプタの設定」ページで、Dell SonicWALL の内部 DHCP サーバを使って各 VPN クライアントに LAN ゾーンの IP 範囲から IP アドレスを割り当てるかどうかを選択します。この方法で IP アドレスを割り当てると、接続したユーザは LAN の内部にいるように見えます。「仮想 IP アダプタを使用する」チェックボックスをオンにして、「次へ」を選択します。
「設定の概要」ページには、設定を適用したときに Dell SonicWALL にプッシュされる設定の詳細が表示されます。「適用」を選択し、GroupVPN を作成します。
リモート Dell SonicWALL グローバル VPN クライアントによって、グローバル VPN クライアント ソフトウェアがインストールされます。アプリケーションのインストールが終わると、接続ウィザードを使って VPN接続がセットアップされます。VPN 接続を設定するには、クライアントに以下の情報を指定する必要があります。
• Dell SonicWALL の WAN ポートのパブリック IP アドレス (またはドメイン名)
• VPN ウィザードで個別の事前共有鍵を選択した場合は、共有鍵
• 認証ユーザ名およびパスワード
VPN ウィザードを使用して、サイト間 VPN ポリシーを作成します。
VPN ウィザードを使用した事前共有鍵の設定
1. 「システム > 状況」ページで、「ウィザード」を選択します。
2. 「Dell SonicWALL 構成ウィザードにようこそ」ページで、「VPN ウィザード」を選択し、「次へ」を選択します。
3. 「VPN ポリシーの種類」ページで、「サイト間」を選択し、「次へ」を選択します。
「サイト間ポリシーを作成する」ページで、以下の情報を入力します。
ポリシー名: ポリシーの参照に使用する名前を入力します。たとえば、「Boston Office」と入力します。
– 事前共有鍵: IKE フェーズ 1 ネゴシエーション時にトラフィックの認証に使用する文字列を入力します。Dell SonicWALL で生成される既定の事前共有鍵を使用することもできます。
– リモート IPSec ゲートウェイの情報を入力する:このオプションを選択すると、この Dell SonicWALL は指定のリモート IPSec ゲートウェイとの通信を開始できます。
チェックボックスをオフにした場合は、リモート ゲートウェイから接続を開始して VPN トンネルを作成する必要があります。この機器は IKE ネゴシエーションにアグレッシブ モードを使用します。
この例では、チェックボックスをオフのままにします。
– リモート IPSec ゲートウェイ名またはアドレス: 上のチェックボックスをオンにした場合は、リモート ゲートウェイの IP アドレスまたは完全修飾ドメイン名 (FQDN) を入力します (たとえばboston.yourcompany.comなど)。
5. 「次へ」を選択します。
6. 「ネットワークの選択」ページで、この VPN の接続先となるローカルおよび対象先のリソースを選択します。
ローカル ネットワーク: この VPN を使って接続する、Dell SonicWALL で保護されたローカル ネットワーク リソースを選択します。ネットワーク、サブネット、個別のサーバ、インターフェースのIP アドレスなど、機器上の任意のアドレス オブジェクトやグループを選択できます。
必要なオブジェクトやグループがまだ作成されていない場合は、「オブジェクトの作成」または「グループの作成」を選択します。表示されるダイアログ ボックスで、新規オブジェクトまたはグループを作成します。次に、その新規オブジェクトまたはグループを選択します。この例では、「LAN Subnets」を選択します。
– 対象先ネットワーク: VPN トンネルの向こう側にあるネットワーク リソースを選択します。オブジェクトまたはグループが存在しない場合は、「アドレス オブジェクトの作成」または「アドレス グループの作成」を選択します。そのためには、例えば、以下のような方法を使用することが考えられます。
1. 「アドレス グループの作成」を選択します。
「名前」フィールドに、“LAN Group"と入力します。
3. 左側の一覧で「LAN Subnets」を選択し、「->」ボタンを選択します。
4. 「OK」を選択してグループを作成し、「ネットワークの選択」ページに戻ります。
5. 「対象先ネットワーク」フィールドで、新規に作成したグループを選択します。
6. 「次へ」を選択します。
7. 「セキュリティ設定」ページで、IKE フェーズ 2 ネゴシエーションおよび VPN トンネルのセキュリティ設定を選択します。既定の設定を使用することもできます。
DH グループ:Diffie-Hellman (DH) グループは、鍵のペアの作成に使われる数値のグループです。以降の各グループでは、最初からより大きい数値が使われます。選択できるグループは、グループ 1、グループ 2、またはグループ 5 です。VPN では、これをIKE ネゴシエーション時に使用して鍵のペアを作成します。
– 暗号化:VPN トンネルを介してデータを暗号化するための方式です。各方式は安全性の順に一覧表示されます。DES は最も安全性が低く、暗号化と復号化にかかる時間が最も短くて済みます。AES-256 は最も安全性が高く、暗号化と復号化に最も長い時間がかかります。選択できる方式は、DES、3DES、AES-128、または AES-256 です。VPN では、トンネルを通過するすべてのデータにこの暗号化を使用します。
– 認証:IKE ネゴシエーション時に交換された鍵の認証に使われるハッシュ方式です。選択できる方式は、MD5 または SHA-1 です。
– 存続期間 (秒) :VPN トンネルが開いている時間です。 この時間を過ぎると再認証が必要になります。既定の時間は 8 時間 (28800 秒) です。
8. 「設定の概要」ページには、設定を適用したときにセキュリティ装置にプッシュされる設定の詳細が表示されます。
9. 「適用」を選択して VPN を作成します。