Dell SonicWALL ネットワーク セキュリティ装置では、Microsoft Windows または Google Android 着信クライアントからの L2TP-over-IPsec 接続を切断できます。SonicWALL グローバル VPN クライアントを実行できない状況において、Dell SonicWALL L2TP サーバを使用し、SonicWALL の背後にあるリソースへの安全なアクセスを提供できます。
レイヤ 2 トンネリング プロトコル (L2TP) を使用すると、インターネットなどのパブリック ネットワークに VPN を作成できます。L2TP は、PPTP や L2F などの相互運用性のないプロトコルを使用する異なる VPN の間の相互運用性を提供します。
L2TP は、マイクロソフト ウィンドウズ 2000 オペレーティング システムでサポートされます。L2TP は、パスワード認証プロトコル (PAP)、チャレンジ ハンドシェーク認証プロトコル (CHAP)、マイクロソフト チャレンジ ハンドシェーク認証プロトコル (MS-CHAP) など、PPP がサポートする複数の認証オプションをサポートします。
このセクションは、次のサブセクションで構成されています。
• Microsoft Windows L2TP VPN クライアント アクセスの設定
• Google Android L2TP VPN クライアント アクセスの設定
補足 L2TP サーバの設定の詳細については、Dell SonicWALL の「ドキュメント」サイト http://www.sonicwall.com/us/Support.html で TechNote 「Configuring the L2TP Server in SonicOS」を参照してください。
「VPN > L2TP サーバ」ページに、Dell SonicWALL ネットワーク セキュリティ装置を L2TP サーバとして設定するための項目があります。
L2TP サーバを設定するには、以下の手順に従います。
1. 「L2TP サーバを有効にする」オプションを選択します。
2. 「設定」を選択して、「L2TP サーバの設定」ダイアログを表示します。
3. 「L2TP サーバ」タブを選択します。
4. 接続を開いておくための特殊なパケットを送信する秒数を、「キープ アライブ時間 (秒)」フィールドに入力します。既定値は 60 秒です。
5. 第 1 のDNS サーバの IP アドレスを、「DNS サーバ 1」フィールドに入力します。第 2 の DNSサーバがある場合は、その IP アドレスを「DNS サーバ 2」フィールドに入力します。
6. 第 1 の WINS サーバの IP アドレスを、「WINS サーバ 1」フィールドに入力します。第 2 の WINS サーバがある場合は、その IP アドレスを「WINS サーバ 2」フィールドに入力します。
7. 「L2TP ユーザ」タブを選択します。
8. RADIUS/LDAP サーバが IP アドレス情報を L2TP クライアントに提供する場合は、「RADIUS/LDAP サーバにより提供された IP アドレス」を選択します。
9. L2TP サーバが IP アドレスを提供する場合は、「ローカル L2TP IP プールを使用する」を選択します。プライベート IP アドレスの範囲を、「開始 IP アドレス」フィールドと「終了 IP アドレス」フィールドに入力します。プライベート IP アドレスは、LAN の IP アドレスの範囲にする必要があります。
10. L2TP を使用するために定義された特定のユーザ グループを指定してある場合は、「L2TP で使用するユーザ グループ」メニューからそのグループを選択するか、「Everyone」を使用します。
11. 「OK」を選択します。
「PPP」タブ
「PPP」タブの「PPP 設定」パネルでは、認証プロトコルの追加または削除や、認証プロトコルの優先順位の並べ替えを行うことができます。
「動作中の L2TP セッション」パネルには、現在動作中の L2TP セッションが表示されます。
以下の情報が表示されます。
• 「ユーザ名」 - ローカル ユーザ データベースまたは RADIUS ユーザ データベースで割り当てられているユーザ名。
• 「PPP IP」 - 接続のソース IP アドレス。
• 「ゾーン」 - L2TP クライアントにより使用されるゾーン。
• 「インターフェース」 - VPN クライアントまたは別の SonicWALL のどちらでも、L2TP サーバへのアクセスに使用されるインターフェース。
• 「認証」 - L2TP クライアントが使用する認証の入力。
• 「ホスト名」 - L2TP サーバに接続している L2TP クライアントの名前。
Microsoft Windows L2TP VPN クライアント アクセスの設定
このセクションでは、組み込みの L2TP サーバと Microsoft の L2TP VPN クライアントを使用して WAN GroupVPN SA への L2TP クライアント アクセスを有効にするための設定例を示します。
WAN GroupVPN SA への Microsoft L2TP VPN クライアント アクセスを有効にするには、次の手順に従います。
1. 「VPN > 設定」ページに移動します。WAN GroupVPN ポリシーで、設定アイコン ボタンを選択します。
2. 「一般」タブで、「認証方式」プルダウン メニューから「IKE (事前共有鍵を使用)」を選択します。事前共有鍵のパスフレーズを入力して、クライアント ポリシーの設定を完了します。「OK」を選択します。
3. 「VPN > L2TP サーバ」ページに移動します。「L2TP サーバ設定」セクションで、「L2TP サーバを有効にする」チェックボックスを選択します。次に、「設定」ボタンを選択します。「L2TP サーバ設定」設定ページが表示されます。
4. 次の L2TP サーバ設定を指定します。
– キープ アライブ時間 (秒):60
– DNS サーバ 1:199.2.252.10 (または ISP の DNS を使用)
– DNS サーバ 2:4.2.2.2 (または ISP の DNS を使用)
– DNS サーバ 3:0.0.0.0 (または ISP の DNS を使用)
– WINS サーバ 1:0.0.0.0 (または独自の WINS の IP を使用)
– WINS サーバ 2:0.0.0.0 (または独自の WINS の IP を使用)
5. IP アドレス設定を指定します。
– RADIUS/LDAP サーバにより提供された IP アドレス:無効
– ローカル L2TP IP プールを使用する:有効
– 開始 IP アドレス:10.20.0.1 (例)
– 終了 IP アドレス:10.20.0.20 (例)
補足 プライベート アドレスの一意の範囲を使用します。
6. 「L2TP ユーザ」セクションで、「L2TP で使用するユーザ グループ」プルダウン メニューから「Trusted Users」を選択します。
7. 「ユーザ > ローカル ユーザ」ページを開きます。「ユーザの追加」ボタンを選択します。
8. 「設定」タブで、ユーザ名とパスワードを指定します。
9. 「OK」を選択します。
補足 VPN LAN ゾーンまたは別の VPN ゾーンについて「ファイアウォール > アクセスルール」を編集することにより、L2TP クライアントのネットワーク アクセスを制限できます。編集対象のルールを見つけるには、「アクセス ルール」テーブルの「すべてのルールを表示」を選択し、「送信元」列に着目します。該当する行の「送信元」列のアドレス オブジェクトには "L2TP IP Pool" と表示されています。
10. Microsoft Windows コンピュータ上で、次の L2TP VPN クライアント設定を完了して、安全なアクセスを有効にします。
– 「Windows > スタート > コントロール パネル > ネットワーク接続」に移動します。
– 新しい接続ウィザードを開きます。「次へ」を選択します。
– 「職場のネットワークへ接続する」を選択します。「次へ」を選択します。
– 「仮想プライベート ネットワーク接続」を選択します。「次へ」を選択します。
– VPN 接続の名前を入力します。「次へ」を選択します。
– ファイアウォールのパブリック (WAN) IP アドレスを入力します。ファイアウォールを指すドメイン名を使用することもできます。「次へ」を選択し、「完了」を選択します。接続ウィンドウが表示されます。「プロパティ」を選択します。
– 「セキュリティ」タブを選択します。「IPSec 設定」を選択します。「認証に事前共有キーを使う」を有効にします。事前共有鍵を入力します。「OK」を選択します。
– 「ネットワーク」タブを選択します。「VPN の種類」を「自動」から「L2TP IPsec VPN」に変更します。「OK」を選択します。
– 10) XAUTH ユーザ名およびパスワードを入力します。「接続」を選択します。
11. 「VPN > 設定」ページに移動して、Microsoft Windows L2TP VPN デバイスが接続されていることを確認します。VPN クライアントが「現在アクティブな VPN トンネル数」セクションに表示されます。
Google Android L2TP VPN クライアント アクセスの設定
このセクションでは、組み込みの L2TP サーバと Google Android の L2TP VPN クライアントを使用して WAN GroupVPN SA への L2TP クライアント アクセスを有効にするための設定例を示します。
WAN GroupVPN SA への Google Android L2TP VPN クライアント アクセスを有効にするには、次の手順に従います。
1. 「VPN > 設定」ページに移動します。WAN GroupVPN ポリシーで、設定アイコン ボタンを選択します。
2. 「一般」タブで、「認証方式」プルダウン メニューから「IKE (事前共有鍵を使用)」を選択します。事前共有鍵のパスフレーズを入力して、クライアント ポリシーの設定を完了します。「OK」を選択します。
3. 「プロポーザル」タブで、IKE (フェーズ 1) プロポーザルと、Ipsec (フェーズ 2) プロポーザルを次のように設定します。
– DH グループ:グループ 2
– 暗号化:3DES
– 認証:SHA1
– 存続期間 (秒):28800
– プロトコル:ESP
– 暗号化:DES
– 認証:SHA1
– Perfect Forward Secrecy を有効にする:有効
– 存続期間 (秒):28800
4. 「詳細」タブで、次のように設定します。
– Windows ネットワーキング (NetBIOS) ブロードキャストを有効にする:有効
– マルチキャストを有効にする:無効
– この SA を経由しての管理:すべて無効
– デフォルト ゲートウェイ:0.0.0.0
– XAUTH を利用した VPN クライアントの認証を要求する:有効
– XAUTH に使用するユーザ グループ:Trusted Users
5. 「クライアント」タブで、次のように設定します。
– XAUTH ユーザ名とパスワードのクライアント キャッシュ:セッション単位または常に有効
– 仮想アダプターの設定:DHCP リース
– コネクションの制御:トンネルを分割する
– このゲートウェイをデフォルト ルートに設定する:無効
– シンプル クライアント プロビジョニングに既定の鍵を使用する:有効
6. 「VPN > L2TP サーバ」ページに移動します。「L2TP サーバ設定」セクションで、「L2TP サーバを有効にする」チェックボックスを選択します。次に、「設定」ボタンを選択します。「L2TP サーバ設定」設定ページが表示されます。
7. 次の L2TP サーバ設定を指定します。
– キープ アライブ時間 (秒):60
– DNS サーバ 1:199.2.252.10 (または ISP の DNS を使用)
– DNS サーバ 2:4.2.2.2 (または ISP の DNS を使用)
– DNS サーバ 3:0.0.0.0 (または ISP の DNS を使用)
– WINS サーバ 1:0.0.0.0 (または独自の WINS の IP を使用)
– WINS サーバ 2:0.0.0.0 (または独自の WINS の IP を使用)
8. IP アドレス設定を指定します。
– RADIUS/LDAP サーバにより提供された IP アドレス:無効
– ローカル L2TP IP プールを使用する:有効
– 開始 IP アドレス:10.20.0.1 (例)
– 終了 IP アドレス:10.20.0.20 (例)
補足 プライベート アドレスの一意の範囲を使用します。
9. 「L2TP Users」セクションで、「L2TP で使用するユーザ グループ」プルダウン メニューから「Trusted Users」を選択します。
10. 「ユーザ > ローカル ユーザ」ページを開きます。「ユーザの追加」ボタンを選択します。
11. 「設定」タブで、ユーザ名とパスワードを指定します。
12. 「VPN アクセス」タブで、希望するネットワーク アドレス オブジェクトをアクセス リスト ネットワークに追加します。
補足 少なくとも、LAN サブネット、LAN プライマリ サブネット、および L2TP IP プール アドレス オブジェクトをアクセス リストに追加します。
補足 これで、SonicOS 設定が完了しました。
13. Google Android デバイス上で、次の L2TP VPN クライアント設定を完了して、安全なアクセスを有効にします。
– APP ページに移動し、「設定」アイコンを選択します。「設定」メニューから「無線およびネットワーク」を選択します。
– 「VPN 設定」を選択し、「VPN を追加」を選択します。
– 「L2TP/IPSec PSK VPN を追加」を選択します。
– VPN 名: VPN フレンドリ名を入力します。
– VPN サーバを設定: ファイアウォールのパブリック IP アドレスを入力します。
– IPSec 事前共有鍵を設定: WAN グループ VPN ポリシーのパスフレーズを入力します。
– L2TP 鍵: 空白のままにします。
– LAN ドメイン: オプションの設定。
– XAUTH ユーザ名およびパスワードを入力します。「接続」を選択します。
14. 「VPN > 設定」ページに移動して、Google Android デバイスが接続されていることを確認します。VPN クライアントが「現在アクティブな VPN トンネル数」セクションに表示されます。