RV016、RV042、RV042G、およびRV082 VPNルータでのVPNトンネルのセットアップ

ダウンロード オプション

  • PDF     (803.1 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (638.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (223.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2018 年 12 月 10 日
Document ID:SMB304

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

RV016、RV042、RV042G、およびRV082 VPNルータでのVPNトンネルのセットアップ

目的

バーチャルプライベートネットワーク(VPN)は、2つのエンドポイント間のセキュアな接続です。これら2つの場所またはネットワーク間でデータを安全に送信するプライベートネットワークは、VPNトンネルによって確立されます。VPNトンネルは2台のPCまたはネットワークを接続し、エンドポイントがネットワーク内にあるかのようにインターネット経由でデータを送信できるようにします。VPNは、従業員が頻繁に出張したりLANの外部にいる必要がある企業に適したソリューションです。VPNを使用すると、これらの従業員はLANにアクセスし、業務に使用できるリソースを使用できます。また、VPNは2つ以上のサイトを接続できるため、異なるブランチを持つ企業は相互に通信できます。

:RV有線ルータシリーズは、ゲートウェイ間とクライアントからゲートウェイ間の2種類のVPNを提供します。VPN接続が正しく動作するためには、接続の両側のIPSec値が同じである必要があります。さらに、接続の両側が異なるLANに属している必要があります。次の手順では、RV有線ルータシリーズでVPNを設定する方法について説明します。

この記事の目的に従い、VPN設定はゲートウェイ間になります。

この記事では、RV016 RV042、RV042G、およびRV082 VPNルータでVPNトンネルを設定する方法について説明します。

適用可能なデバイス

・ RV016
・ RV042
・ RV042G
・ RV082

[Software Version]

・ v4.2.1.02

VPNの設定

ステップ 1:Web Configuration Utilityページにログインし、VPN > Gateway to Gatewayの順に選択します。「ゲートウェイからゲートウェイへ」ページが開きます。

注:クライアントからゲートウェイへのVPNトンネルを設定するには、VPN > Client to Gatewayの順に選択します。

ステップ 2:Tunnel Nameフィールドに、VPNトンネルの名前を入力します。

ステップ 3:Interfaceドロップダウンリストで、使用可能なWANインターフェイスのいずれかを選択します。これは、相手側とのVPNトンネルを確立するインターフェイスです。

ステップ 4:Local Group Setupの下で、Local Security Gateway Typeドロップダウンリストから、次のいずれかのオプションを選択します。

・ IPのみ:ルータにインターネット接続用の静的IPアドレスが設定されている場合は、このオプションを選択します。

・ IP +ドメイン名(FQDN)認証:ルータがインターネット接続用の静的IPアドレスと登録済みドメイン名で設定されている場合は、このオプションを選択します。

・ IP +電子メールアドレス(ユーザFQDN)認証:ルータがインターネット接続用の静的IPアドレスで設定されており、電子メールアドレスが認証に使用される場合は、このオプションを選択します。

・ダイナミックIP +ドメイン名(FQDN)認証:ルータにダイナミックIPアドレスが設定されていて、認証にダイナミックドメイン名が使用される場合は、このオプションを選択します。

・動的IP +電子メールアドレス(ユーザーFQDN)認証:ルータにインターネット接続用の動的IPアドレスがあるが、認証用の動的ドメイン名がなく、代わりに電子メールアドレスが認証に使用される場合は、このオプションを選択します。

ステップ 5:Local Group Setupの下で、Local Security Group Typeドロップダウンリストから、次のいずれかのオプションを選択します。

・ IP Address:このオプションでは、このVPNトンネルを使用できるデバイスを1つ指定できます。デバイスのIPアドレスを入力するだけです。

・サブネット:同じサブネットに属するすべてのデバイスがVPNトンネルを使用できるようにするには、このオプションを選択します。ネットワークIPアドレスとそれぞれのサブネットマスクを入力する必要があります。

・ IP Range:VPNトンネルを使用できるデバイスの範囲を指定するには、このオプションを選択します。デバイスの範囲の最初のIPアドレスと最後のIPアドレスを入力する必要があります。

手順 6:Remote Group Setupの下にあるRemote Local Security Gateway Typeドロップダウンリストで、次のいずれかを選択します。

・ IPのみ:ルータにインターネット接続用の静的IPアドレスが設定されている場合は、このオプションを選択します。

・ IP +ドメイン名(FQDN)認証:ルータがインターネット接続用の静的IPアドレスと登録済みドメイン名で設定されている場合は、このオプションを選択します。

・ IP +電子メールアドレス(ユーザFQDN)認証:ルータがインターネット接続用の静的IPアドレスで設定されており、電子メールアドレスが認証に使用される場合は、このオプションを選択します。

・ダイナミックIP +ドメイン名(FQDN)認証:ルータにダイナミックIPアドレスが設定されていて、認証にダイナミックドメイン名が使用される場合は、このオプションを選択します。

・動的IP +電子メールアドレス(ユーザーFQDN)認証:ルータにインターネット接続用の動的IPアドレスがあるが、認証用の動的ドメイン名がなく、代わりに電子メールアドレスが認証に使用される場合は、このオプションを選択します。

手順 7:リモートローカルセキュリティゲートウェイのタイプとしてIP Onlyを選択した場合は、次のドロップダウンリストから次のいずれかのオプションを選択します。

・ IP:このオプションを選択して、隣接するフィールドにIPアドレスを入力します。

・ IP by DNS Resolved:リモートゲートウェイのIPアドレスがわからない場合は、このオプションを選択し、隣接フィールドに他のルータの名前を入力します。

ステップ 8:Remote Group Setupの下にあるRemote Security Group Typeドロップダウンリストで、次のいずれかを選択します。

・ IP Address:このオプションでは、このVPNトンネルを使用できるデバイスを1つ指定できます。デバイスのIPアドレスを入力するだけです。

・サブネット:同じサブネットに属するすべてのデバイスがVPNトンネルを使用できるようにするには、このオプションを選択します。ネットワークIPアドレスとそれぞれのサブネットマスクを入力する必要があります。

・ IP Range:VPNトンネルを使用できるデバイスの範囲を指定するには、このオプションを選択します。デバイスの範囲の最初のIPアドレスと最後のIPアドレスを入力する必要があります。

ステップ 9:IPSec SetupのKeying Modeドロップダウンリストで、次のいずれかのオプションを選択します。

・ Manual:このオプションを使用すると、VPN接続で他のルータとキーをネゴシエートする代わりに、キーを手動で設定できます。

・ IKE with Preshared Key:VPNトンネルでセキュリティアソシエーションをセットアップするInternet Key Exchange Protocol(IKE)を有効にするには、このオプションを選択します。IKEは事前共有キーを使用してリモートピアを認証します。

ステップ 10:DH(Diffie - Hellman)は、VPNトンネルの両端で暗号化されたキーを共有できるようにするキー交換プロトコルです。 Phase 1 DH GroupおよびPhase 2 DH Groupドロップダウンリストで、次のいずれかを選択します。

・グループ1 - 768ビット:より高速な交換速度を提供しますが、セキュリティは低くなります。VPNセッションを高速にする必要があり、セキュリティに問題がない場合は、このオプションを選択します。

・グループ2 - 1024ビット:グループ1よりもセキュリティは強化されますが、処理時間が長くなります。これは、セキュリティと速度の点でよりバランスの取れたオプションです。

・グループ3 - 1536ビット:速度は低下しますが、セキュリティは向上します。VPNセッションのセキュリティを確保する必要があり、速度に問題がない場合は、このオプションを選択します。

ステップ 11Phase 1 EncryptionおよびPhase 2 Encryptionドロップダウンリストで、キーの暗号化と復号化に次のいずれかを選択します。

・ DES:Data Encryption Standard(データ暗号規格)。データを暗号化するための基本的なアルゴリズムで、56ビットパケットのキーを暗号化します。

・ 3DES:Triple Data Encryption Standard(トリプルDES)。このアルゴリズムでは、キーが3つの64ビットパケットで暗号化されます。DESよりも安全である。

・ AES-128:Advanced Encryption Standard(AES;高度暗号化規格)。このアルゴリズムでは、暗号化と復号化に同じキーを使用します。DESよりもセキュリティが高いキーサイズは128ビットです

・ AES-192:AES-128に似ていますが、キーサイズは192ビットです。

・ AES-256:AES-128に似ていますが、キーサイズは256ビットです。これは、使用可能な最も安全な暗号化アルゴリズムです。

ステップ 12Phase 1 AuthenticationおよびPhase 2 Authenticationドロップダウンリストで、次のいずれかのオプションを選択します。

・ SHA1:このアルゴリズムは160ビットのハッシュ値を生成します。この値を使用して、アルゴリズムは交換されるデータの整合性をチェックし、データが変更されていないことを確認します。

・ MD5:認証を目的としたアルゴリズム設計です。このアルゴリズムは、VPNトンネルの2つのエンド間の共有情報の整合性をチェックします。VPNトンネルの両端でキーを認証するために共有されるハッシュ値を生成する

ステップ 13Phase 1 SA LifetimeフィールドとPhase 2 SA Lifetimeフィールドに、VPNトンネルがあるフェーズでアクティブになっている時間(秒単位)を入力します。Phase 1のデフォルト値は28800秒です。フェーズ2のデフォルト値は3600秒です。

注:フェーズ1とフェーズ2の設定は、両方のルータで同じである必要があります。

ステップ14:(オプション)Perfect Forward Secrecy(PFS;完全転送秘密)を有効にするには、Perfect Forward Secrecyチェックボックスにチェックマークを付けます。PFSを使用すると、IKEフェーズ2ネゴシエーションによって暗号化と認証用の新しいデータが生成され、セキュリティが強化されます。

ステップ 15:Preshared Keyに、両方のルータが認証のために共有するキーを入力します。

ステップ16:(オプション)Minimum Preshared Key Complexityチェックボックスにチェックマークを入れて、Preshared Key Strength Meterを有効にします。これにより、作成したキーの強度が分かります。

ステップ17:(オプション)より高度な暗号化オプションを設定するには、Advanced+をクリックします。

ステップ 18:Saveをクリックして、設定を保存します。

高度なVPNオプション

VPN設定にさらに多くの機能を追加する必要がある場合は、RV有線ルータシリーズが高度なオプションを提供します。これらのオプションは、VPNトンネルのセキュリティ機能を強化します。これらのオプションはオプションですが、一方のルータで詳細オプションを設定する場合は、もう一方のルータでも同じオプションを設定してください。次のセクションでは、これらのオプションについて説明します。

ステップ 1:IPSecフィールドでAdvanced+ボタンをクリックします。Advancedページが開きます。

注:クライアントからゲートウェイへのVPNトンネルの詳細オプションを設定するには、VPN > Client to Gatewayの順に選択します。次に、Advanced+をクリックします。

 

上の図は、高度なオプションの設定例を示しています。

ステップ 2:Advancedの下で、VPN設定に追加するオプションにチェックマークを付けます。

・アグレッシブモード:このオプションを使用すると、キーのネゴシエーションが速くなり、セキュリティが低下します。VPNトンネルの速度を向上させるには、Aggressive Modeチェックボックスにチェックマークを付けます。

・ Compress (Support IP Payload Compression Protocol (IP Comp)):このオプションを使用すると、IP CompプロトコルによってIPデータグラムのサイズが小さくなります。  このオプションを有効にするには、Compress (Support IP Payload Compression Protocol (IP Comp))チェックボックスにチェックマークを付けます

・ Keep Alive:このオプションは、ドロップされた場合にVPNセッションの再確立を試行します。このオプションを有効にするには、Keep Aliveチェックボックスにチェックマークを付けます。

・ AHハッシュアルゴリズム:このオプションは、保護をIPヘッダーまで拡張し、パケット全体の整合性を確認します。この目的には、MD5またはSHA1を使用できます。AH Hash Algorithmチェックボックスをオンにして、ドロップダウンリストからMD5またはSHA1を選択し、パケット全体の認証を有効にします。

・ NetBIOSブロードキャスト:これは、LANに接続されているさまざまなデバイス(プリンタ、コンピュータ、ファイルサーバなど)に関する情報を提供するWindowsプロトコルです。通常、VPNはこの情報を送信しません。これらの情報をVPNトンネル経由で送信するには、NetBIOS Broadcastチェックボックスをオンにします。

・ NATトラバーサル:Network Address Translation(NAT;ネットワークアドレス変換)により、プライベートLANのユーザは、送信元アドレスとしてパブリックIPアドレスを使用して、インターネットリソースにアクセスできます。ルータがNATゲートウェイの背後にある場合は、NAT Traversalチェックボックスにチェックマークを付けます。

・ Dead Peer Detection Interval:Dead Peer Detection Intervalチェックボックスをオンにし、VPNトンネルの接続を確認するためにルータが別のパケットを送信する前の間隔(秒)を入力します。

ステップ 3:Saveをクリックして、設定を保存します。 

更新履歴

改定 発行日 コメント
1.0
10-Dec-2018
初版

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ