このドキュメントの目的は、RV32xシリーズVPNルータのゲートウェイVirtual Private Network(VPN;バーチャルプライベートネットワーク)への単一のクライアントの設定方法を示すことです。
VPNは、パブリックネットワークを介してリモートユーザを仮想的に接続するために使用されるプライベートネットワークです。VPNの1つのタイプは、クライアントからゲートウェイへのVPNです。クライアントからゲートウェイへのVPNは、リモートユーザとネットワーク間の接続です。クライアントは、VPNクライアントソフトウェアを使用してユーザのデバイスで設定されます。ユーザは安全にネットワークにリモート接続できます。
ステップ1:Web設定ユーティリティにログインし、[VPN] > [Client to Gateway]を選択します。[Client to Gateway]ページが開きます。
ステップ2:[Tunnel] オプションボタンをクリックして、クライアントの単一トンネルをゲートウェイVPNに追加します。
注:トンネル番号:トンネルの番号を表します。この番号は自動的に生成されます。
ステップ1:[Tunnel Name]フィールドにトンネルの名前を入力します。
ステップ2:[Interface]ドロップダウンリストから、リモートクライアントがVPNにアクセスするインターフェイスを選択します。
ステップ3:[キーイングモード(Keying Mode)]ドロップダウンリストから、適切なキー管理モードを選択し、セキュリティを確保します。デフォルトモードは、事前共有キーを使用したIKEです。
オプションは次のように定義されます。
ステップ4:[Enable] チェックボックスをオンにして、クライアントからゲートウェイへのVPNを有効にします。デフォルトでは有効になっています。
ステップ5:これまでの設定を保存する場合は、下にスクロールして[保存]をクリックして設定を保存します。
注:「新しいトンネルの追加」セクションのステップ3で、「Keying Mode」ドロップダウンリストから「Manual」または「IKE with Preshared key」を選択した場合は、次の手順に従います。
ステップ1:[Local Security Gateway]ドロップダウンリストから適切なルータ識別方法を選択し、VPNトンネルを確立します。
オプションは次のように定義されます。
ステップ2:[Local Security Group Type]ドロップダウンリストから、VPNトンネルにアクセスできる適切なローカルLANユーザまたはユーザのグループを選択します。デフォルトは[Subnet]です。
ステップ3:これまでの設定を保存する場合は、下にスクロールして[保存]をクリックして設定を保存します。
注:「新しいトンネルの追加」セクションのステップ3のKeying ModeドロップダウンリストからCertificateを使用したIKEを選択した場合は、次の手順に従います。
ステップ1:[Local Certificate]ドロップダウンリストから、ルータを識別する適切なローカル証明書を選択します。[セルフジェネレータ]をクリックして証明書を自動的に生成するか、[証明書のインポート]をクリックして新しい証明書をインポートします。
注:証明書を自動的に生成する方法の詳細については、「RV320ルータでの証明書の生成」を参照して、証明書のインポート方法については、「RV320ルータでの証明書の設定」を参照してください。
ステップ2:[Local Security Group Type]ドロップダウンリストから、VPNトンネルにアクセスできるローカルLANユーザまたはユーザグループの適切なタイプを選択します。デフォルトは[Subnet]です。
ステップ3:これまでの設定を保存する場合は、下にスクロールして[保存]をクリックして設定を保存します。
注:「新しいトンネルの追加」セクションのステップ3で、[キーイングモード]ドロップダウンリストから[Manual]または[IKE with Preshared Key]を選択した場合、次の手順に従います。
ステップ1:[Remote Security Gateway]ドロップダウンリストから、VPNトンネルを確立するための適切なクライアント識別方法を選択します。デフォルトは[IP Only]です。
注:[Add a New Tunnel Through Tunnel or Group VPN]セクションのステップ3の[Keying Mode] ドロップダウンリストから[Manual]を選択した場合は、これが唯一のオプションです。
ステップ2:これまでの設定を保存する場合は、下にスクロールして[保存]をクリックして設定を保存します。
注:「新しいトンネルの追加」セクションのステップ3でKeying Modeドロップダウンリストから証明書を使用したIKEを選択した場合は、次の手順に従ってください。
ステップ1:ドロップダウンリストから[IP Address]または[IP by DNS Resolved]を選択します。
ステップ2:[リモート証明書]ドロップダウンリストから適切なリモート証明書を選択します。新しい証明書をインポートするには[リモート証明書のインポート]をクリックし、デジタル署名要求で証明書を識別するには[CSRの承認]をクリックします。
注:新しい証明書をインポートする方法の詳細については、「RV320ルータでの信頼できるSSL証明書の表示/追加」を参照してください。また、承認されたCSRの詳細については、「RV320ルータでの証明書署名要求(CSR)」を参照してください。
ステップ3:これまでの設定を保存する場合は、下にスクロールして[保存]をクリックして設定を保存します。
注:新しいトンネルの追加セクションのステップ3でKeying ModeドロップダウンリストからManualを選択した場合は、次の手順に従ってください。
ステップ1:[Incoming SPI]フィールドに、着信セキュリティパラメータインデックス(SPI)の一意の16進数値を入力します。SPIはEncapsulating Security Payload Protocol(ESP)ヘッダー内で伝送され、これにより着信パケットのセキュリティアソシエーション(SA)が決定されます。範囲は100 ~ ffffffffで、デフォルトは100です。
ステップ2:[発信SPI]フィールドに、発信セキュリティパラメータインデックス(SPI)の一意の16進数値を入力します。SPIはEncapsulating Security Payload Protocol(ESP)ヘッダーで伝送され、ともに発信パケットのセキュリティアソシエーション(SA)を決定します。範囲は100 ~ ffffffffで、デフォルトは100です。
注:接続されたデバイスの着信SPIとトンネルのもう一方の端の発信SPIは、互いに一致してトンネルを確立する必要があります。
ステップ3:[Encryption]ドロップダウンリストから適切な暗号化方法を選択します。推奨される暗号化は3DESです。VPNトンネルは、両端で同じ暗号化方式を使用する必要があります。
ステップ4:[Authentication]ドロップダウンリストから適切な認証方法を選択します。推奨される認証はSHA1です。VPNトンネルは、両端で同じ認証方式を使用する必要があります。
ステップ5:[Encryption Key]フィールドに、データを暗号化および復号化するキーを入力します。ステップ3で暗号化方式としてDESを選択した場合は、16桁の16進数値を入力します。ステップ3で暗号化方式として3DESを選択した場合は、40桁の16進数値を入力します。
ステップ6:[Authentication Key]フィールドに事前共有キーを入力してトラフィックを認証します。ステップ4で認証方式として[MD5]を選択した場合は、32桁の16進数値を入力します。ステップ4で認証方式として[SHA]を選択した場合は、40桁の16進数値を入力します。VPNトンネルは、両端で同じ事前共有キーを使用する必要があります。
ステップ7:これまでの設定を保存する場合は、下にスクロールして[保存]をクリックして設定を保存します。
注:Add a New Tunnelセクションのステップ3でKeying Modeドロップダウンリストから事前共有キーを使用したIKEまたは証明書を使用したIKEを選択した場合は、次の手順に従います。
ステップ1:[フェーズ1 DHグループ(Phase 1 DH Group)]ドロップダウンリストから、適切なフェーズ1 DHグループを選択します。フェーズ1は、トンネルの両端の間にシンプレックス論理セキュリティアソシエーション(SA)を確立し、セキュアな認証通信をサポートするために使用されます。Diffie-Hellman(DH)は、フェーズ1接続で秘密キーを共有して通信を認証するために使用される暗号キー交換プロトコルです。
ステップ2:[Phase 1 Encryption]ドロップダウンリストから、キーを暗号化する適切なフェーズ1暗号化を選択します。AES-256は最も安全な暗号化方式であるため、推奨されます。VPNトンネルは、両端で同じ暗号化方式を使用する必要があります。
ステップ3:[Phase 1 Authentication]ドロップダウンリストから適切な認証方法を選択します。VPNトンネルは、両端で同じ認証方式を使用する必要があります。
ステップ4:フェーズ1で、VPNトンネルが[Phase 1 SA Lifetime]フィールドでアクティブのままである時間を秒単位で入力します。 デフォルトの時間は28800秒です。
ステップ5:[Perfect Forward Secrecy]チェックボックスをオンにして、キーの保護を強化します。このオプションを使用すると、キーが侵害された場合に新しいキーを生成できます。暗号化されたデータは、侵害されたキーによってのみ侵害されます。そのため、キーが侵害されても他のキーを保護するため、より安全で認証された通信を提供します。これは、セキュリティを強化するために推奨されるアクションです。
ステップ6:[Phase 2 DH Group]ドロップダウンリストから適切なフェーズ2 DHグループを選択します。フェーズ1は、セキュアな認証通信をサポートするために、トンネルの両端の間にシンプレックスの論理セキュリティアソシエーション(SA)を確立するために使用されます。Diffie-Hellman(DH)は、フェーズ1接続で秘密キーを共有して通信を認証するために使用される暗号キー交換プロトコルです。
ステップ7:[フェーズ2暗号化]ドロップダウンリストから、適切なフェーズ2暗号化を選択してキーを暗号化します。AES-256は最も安全な暗号化方式であるため、推奨されます。VPNトンネルは、両端で同じ暗号化方式を使用する必要があります。
ステップ8:[Phase 2 Authentication]ドロップダウンリストから適切な認証方法を選択します。VPNトンネルは、両端で同じ認証方式を使用する必要があります。
ステップ9:フェーズ2で、VPNトンネルが[Phase 2 SA Lifetime]フィールドでアクティブのままである時間を秒単位で入力します。 デフォルトの時間は3600秒です。
ステップ10:事前共有キーの強度メーターを有効にする場合は、[Minimum Preshared Key Complexity]チェックボックスをオンにします。
ステップ11:[Preshared Key]フィールドに、IKEピア間で以前に共有したキーを入力します。事前共有キーとして最大30文字の英数字を使用できます。VPNトンネルは、両端で同じ事前共有キーを使用する必要があります。
注:VPNが安全な状態を維持するために、IKEピア間で事前共有キーを頻繁に変更することを強く推奨します。
注:ステップ3のKeying Modeドロップダウンリストから事前共有キーを使用したIKEを選択して、Add a New Tunnelセクションを選択した場合は、ステップ10、ステップ11を設定し、事前共有キー強度メーターを表示するオプションしかありません。
ステップ12:これまでの設定を保存する場合は、下にスクロールして[保存]をクリックして設定を保存します。
拡張設定は、事前共有キーを持つIKEと認証キーを持つIKEでのみ可能です。[手動]キーの設定には、詳細設定がありません。
ステップ1:[Advanced]をクリックして、事前共有キーを使用したIKEの詳細設定を取得します。
ステップ2:ネットワーク速度が低い場合は、[アグレッシブモード]チェックボックスをオンにします。SA接続時にトンネルのエンドポイントのIDをクリアテキストで交換するため、交換に必要な時間は短いが、セキュリティは低くなります。
ステップ3:IPデータグラムのサイズを圧縮する場合は、[Compress (Support IP Payload Compression Protocol (IPComp))]チェックボックスをオンにします。IPCompはIPデータグラムのサイズを圧縮するために使用されるIP圧縮プロトコルです。ネットワーク速度が低く、ユーザが低速ネットワークを介して損失なく迅速にデータを送信したい場合に使用します。
ステップ4:VPNトンネルの接続を常にアクティブのままにする場合は、[Keep-Alive]チェックボックスをオンにします。接続が非アクティブになった場合は、すぐに接続を再確立できます。
ステップ5:認証ヘッダー(AH)を認証する場合、[AHハッシュアルゴリズム]チェックボックスをオンにします。AHはデータの送信元に認証を提供し、チェックサムを通じてデータの整合性を確保し、IPヘッダーに保護を拡張します。トンネルの両側で同じアルゴリズムが必要です。
ステップ6:ルーティング不可能なトラフィックがVPNトンネルを通過できるようにするには、[NetBIOS Broadcast] をオンにします。デフォルトはオフです。NetBIOSは、ネットワーク内のプリンタやコンピュータなどのネットワークリソースを、一部のソフトウェアアプリケーションやネットワークネイバーフッドなどのWindows機能を介して検出するために使用されます。
ステップ7:[NAT Traversal] チェックボックスをオンにすると、プライベートLANからパブリックIPアドレスを使用してインターネットにアクセスできます。NATトラバーサルは、内部システムのプライベートIPアドレスをパブリックIPアドレスとして表示し、悪意のある攻撃や検出からプライベートIPアドレスを保護するために使用されます。
ステップ8:[Dead Peer Detection Interval]をチェックし、HelloまたはACKを定期的に通過するVPNトンネルの状態をチェックします。このチェックボックスをオンにした場合は、必要なhelloメッセージの期間または間隔を入力します。
ステップ9:[Extended Authentication]をオンにして、VPN接続のセキュリティと認証を強化します。該当するオプションボタンをクリックして、VPN接続の認証を拡張します。
注:ローカルデータベースを追加または編集する方法の詳細については、『RV320ルータのユーザおよびドメイン管理の設定』を参照してください。
ステップ 10:[Mode Configuration]をオンにして、着信トンネルリクエスタのIPアドレスを指定します。
注:ステップ9 ~ 11は、トンネルVPNのIKE事前共有キーイングモードで使用できます。
ステップ11:[Save]をクリックして、設定を保存します。
これで、RV32xシリーズVPNルータ上のゲートウェイVPNに単一のクライアントを設定する手順が学習されました