この記事では、サードパーティのVPNクライアントソフトウェアであるThe Green BowまたはVPN Trackerを使用して、RV016、RV042、RV042G、およびRV082 VPNルータ上のクライアントからゲートウェイへのリモートアクセス仮想プライベートネットワーク(VPN)トンネルを設定する方法について説明します。
VPNは、リモートユーザのデバイスをパブリックネットワーク経由で仮想的に接続してセキュリティを提供するために使用されるプライベートネットワークです。リモートアクセストンネルVPNは、クライアントコンピューターとネットワーク間のVPNを構成するために使用されるプロセスです。クライアントは、VPNクライアントソフトウェアを使用して、ユーザのデスクトップまたはラップトップに設定されます。ユーザはリモートからネットワークに安全に接続できます。クライアントからゲートウェイへのVPN接続は、リモートの従業員がオフィスのネットワークにリモートで安全に接続するのに役立ちます。
ステップ 1:Web設定ユーティリティにログインし、[VPN] > [Client to Gateway] の順に選択します。[Client to Gateway] ページが開きます。
ステップ 1:追加するトンネルの種類に応じて、適切なオプションボタンをクリックします。
[トンネル番号(Tunnel Number)]は、トンネルの番号を表示する自動生成フィールドです。
ステップ 2:[Tunnel Name]フィールドにトンネルの名前を入力します。
ステップ 3:[Interface]ドロップダウンリストから、VPNトンネルに使用する適切なWANインターフェイスを選択します。
ステップ4:(オプション)VPNを有効にするには、[Enable]フィールドのチェックボックスをオンにします。デフォルトでは、常にオンになっています。
ステップ 1:[Local Security Gateway] ドロップダウンリストから、VPNトンネルを確立するための適切なルータ識別方法を選択します。 「新しいトンネルの追加」セクションのステップ1で[Group VPN]を選択した場合は、このステップをスキップします。
ステップ 2:ステップ1で[IP + Domain Name (FQDN) Authentication] または[Dynamic IP + Domain Name (FQDN) Authentication] を選択した場合は、[Domain Name]フィールドに登録済みの完全修飾ドメイン(FQDN)の名前を入力します。
ステップ 3:ステップ1で[IP + E-mail Address(USER FQDN) Authentication] または[Dynamic IP + E-mail Address(USER FQDN) Authentication] を選択した場合は、[Email Address]フィールドに電子メールアドレスを入力します。
ステップ 4:[Local Security Group] ドロップダウンリストから、VPNトンネルにアクセスできる適切なローカルLANユーザまたはユーザグループを選択します。デフォルトは[サブネット(Subnet)]です。
ステップ 5:[Save] をクリックして、設定を保存します。
ステップ 1:[Tunnel]を選択した場合は、[Remote Security Gateway Type] ドロップダウンリストから、VPNトンネルを確立するための適切なクライアント識別方法を選択します。デフォルトは[IPのみ(IP Only)]です。 「新しいトンネルの追加」セクションのステップ1でグループVPNを選択した場合は、このステップをスキップします。
ステップ 2:ステップ1で[IP Only]、[IP + Domain Name (FQDN)]、または[IP + E-mail Address (User FQDN) Authentication] を選択した場合は、[IP Address] フィールドにリモートクライアントのIPアドレスを入力します。
ステップ 3:ドロップダウンリストから適切なオプションを選択し、IPアドレスが分かっている場合はIPアドレスを入力し、ステップ1でIP OnlyまたはIP + Domain Name (FQDN) AuthenticationまたはIP + E-mail Address (USER FQDN) Authenticationを選択している場合はDNSサーバからIPアドレスを解決します。
ステップ 4:ステップ1で[IP + Domain Name (FQDN) Authentication] または[Dynamic IP + Domain Name (FQDN) Authentication] を選択した場合は、[Domain name]フィールドにIPアドレスのドメイン名を入力します。
ステップ 5:ステップ1で[IP + E-mail Address(USER FQDN) Authentication] または[Dynamic IP + E-mail Address(USER FQDN) Authentication] を選択した場合は、[Email Address]フィールドに電子メールアドレスを入力します。
手順 6:[Group]を選択した場合は、[Remote Client] ドロップダウンリストから適切なリモートクライアントタイプを選択します。 「新しいトンネルの追加」セクションのステップ1でトンネルVPNを選択した場合は、このステップをスキップします。
手順 7:[Save] をクリックして、設定を保存します。
Internet Protocol Security(IPSec;インターネットプロトコルセキュリティ)は、任意の通信セッション中に認証と暗号化を通じてエンドツーエンドのセキュリティを提供するインターネット層のセキュリティプロトコルです。
注:VPNの両端で、IPSecが機能するためには、同じ暗号化、復号化、および認証の方式が必要です。また、トンネルの両側でPerfect Forward Secrecy(PFS;完全転送秘密)キーが同じである必要があります。
ステップ 1:[Keying Mode] ドロップダウンリストから、セキュリティを確保するためのキー管理の適切なモードを選択します。デフォルトモードはIKE with Preshared keyです。
ステップ 1:[Incoming SPI] フィールドに、着信セキュリティパラメータインデックス(SPI)の一意の16進数値を入力します。SPIはEncapsulating Security Payload Protocol(ESP)ヘッダーで伝送され、これらとともに着信パケットの保護を決定します。100 ~ ffffffffの範囲で入力できます。ローカルルータの着信SPIは、リモートルータの発信SPIと一致する必要があります。
ステップ 2:[Outgoing SPI] フィールドに、発信セキュリティパラメータインデックス(SPI)の一意の16進数値を入力します。SPIはEncapsulating Security Payload Protocol(ESP)ヘッダーで伝送され、これらとともに発信パケットの保護を決定します。 100 ~ ffffffffの範囲で入力できます。リモートルータの発信SPIは、ローカルルータの着信SPIと一致する必要があります。
ステップ 3:[Encryption] ドロップダウンリストから、データに適した暗号化方式を選択します。推奨される暗号化は3DESです。 VPNトンネルでは、両端で同じ暗号化方式を使用する必要があります。
ステップ 4:[Authentication] ドロップダウンリストから、データに適切な認証方式を選択します。MD5よりも安全であるため、推奨される認証はSHA1です。VPNトンネルでは、両端で同じ認証方式を使用する必要があります。
ステップ 5:[Encryption Key] フィールドに、データを暗号化および復号化するためのキーを入力します。ステップ3で暗号化方式としてDESを選択した場合は、16桁の16進数値を入力します。手順3で暗号化方式として3DESを選択した場合は、40桁の16進数値を入力します。
手順 6:[Authentication Key] フィールドに、トラフィックを認証するための事前共有キーを入力します。 手順4で認証方式としてMD5を選択した場合は、32桁の16進数値を入力します。ステップ4で認証方式としてSHAを選択した場合は、40桁の16進数値を入力します。VPNトンネルは、両端で同じ事前共有キーを使用する必要があります。
手順 7:[Save] をクリックして、設定を保存します。
ステップ 1:[Phase 1 DH Group] ドロップダウンリストから、適切なフェーズ1 DHグループを選択します。フェーズ1は、トンネルの両端の間にシンプレックスの論理セキュリティアソシエーション(SA)を確立して、セキュアな認証通信をサポートするために使用されます。Diffie-Hellman(DH)は、フェーズ1の間にキーの強度を決定するために使用される暗号キー交換プロトコルであり、通信を認証するために秘密キーも共有します。
ステップ 2: [Phase 1 Encryption] ドロップダウンリストから、キーを暗号化するための適切な[Phase 1 Encryption]を選択します。3DESは最も安全な暗号化方式であるため、推奨されます。VPNトンネルでは、両端で同じ暗号化方式を使用する必要があります。
ステップ 3:[Phase 1 Authentication] ドロップダウンリストから、適切なフェーズ1認証方式を選択します。 VPNトンネルでは、両端で同じ認証方式を使用する必要があります。
ステップ 4:Phase 1キーが有効で、VPNトンネルがアクティブのままである時間を秒単位で[Phase 1 SA Life Time] フィールドに入力します。
ステップ 5:キーの保護を強化するには、[Perfect Forward Secrecy] チェックボックスをオンにします。このオプションを使用すると、キーが侵害された場合にルータが新しいキーを生成できます。暗号化されたデータは、侵害されたキーを介してのみ侵害されます。そのため、キーが侵害されても他のキーを保護するため、より安全で認証された通信が提供されます。セキュリティが強化されるため、この方法を使用することを推奨します。
手順 6: [Phase 2 DH Group] ドロップダウンリストから、適切なフェーズ2 DHグループを選択します。フェーズ2では、セキュリティアソシエーションを使用し、データパケットが2つのエンドポイントを通過する間のデータパケットのセキュリティを決定するために使用されます。
手順 7:[Phase 2 Encryption] ドロップダウンリストから、キーを暗号化するための適切な[Phase 2 Encryption]を選択します。最も安全な暗号化方式であるAES-256が推奨されます。VPNトンネルでは、両端で同じ暗号化方式を使用する必要があります。
ステップ 8:[Phase 2 Authentication] ドロップダウンリストから適切な認証方式を選択します。 VPNトンネルでは、両端で同じ認証方式を使用する必要があります。
ステップ 9:Phase 2キーが有効で、VPNトンネルがアクティブのままである時間を秒単位でPhase 2 SA Life Timeフィールドに入力します。
ステップ 10:Preshared Keyフィールドに、ピアを認証するためにIKEピア間で以前に共有したキーを入力します。事前共有キーとして最大30の16進数と文字を使用できます。VPNトンネルは、両端で同じ事前共有キーを使用する必要があります。
注:VPNがセキュリティで保護されるように、IKEピア間で事前共有キーを頻繁に変更することを強くお勧めします。
ステップ 11事前共有キーの強度メーターを有効にする場合は、[Minimum Preshared Key Complexity] チェックボックスをオンにします。カラーバーを通して事前共有キーの強度を決定するために使用されます
注:事前共有キーの強度メーターには、色付きのバーを通して事前共有キーの強度が表示されます。赤は弱い強度、黄色は許容可能な強度、緑は強い強度を示します。
ステップ 12[Save] をクリックして、設定を保存します。
ステップ 1:[Advanced] をクリックして、事前共有キーを使用したIKEの詳細設定を表示します。
ステップ 2:ネットワーク速度が低い場合は、[Aggressive Mode] チェックボックスをオンにします。これにより、SA接続中(フェーズ1)にクリアテキストでトンネルのエンドポイントのIDが交換されます。交換に必要な時間は短くなりますが、安全性は低下します。
注:アグレッシブモードは、グループクライアントからゲートウェイへのVPN接続では使用できません。
ステップ 3:IPデータグラムのサイズを圧縮する場合は、[Compress (Support IP Payload Compression Protocol (IPComp))] チェックボックスをオンにします。IPCompは、IPデータグラムのサイズを圧縮するために使用されるIP圧縮プロトコルです。IP圧縮は、ネットワーク速度が遅く、ユーザが低速ネットワークを通じてデータを損失なく迅速に送信したいと考えている場合に役立ちますが、セキュリティは提供されません。
ステップ 4:VPNトンネルの接続を常にアクティブのままにする場合は、[Keep-Alive] チェックボックスをオンにします。キープアライブは、接続が非アクティブになった場合に、接続を直ちに再確立するのに役立ちます。
ステップ 5: 認証ヘッダー(AH)を有効にする場合は、[AH Hash Algorithm] チェックボックスをオンにします。AHは、発信元データに対する認証、チェックサムによるデータ整合性、およびIPヘッダーへの保護を提供します。トンネルの両側で同じアルゴリズムを使用する必要があります。
手順 6:VPNトンネルを通過するルーティング不可能なトラフィックを許可する場合は、[NetBIOS Broadcast] をオンにします。デフォルトはオフです。NetBIOSは、一部のソフトウェアアプリケーションおよびNetwork NeighborhoodなどのWindows機能を通じて、ネットワーク内のプリンタやコンピュータなどのネットワークリソースを検出するために使用されます。
手順 7:パブリックIPアドレスを介してプライベートLANからインターネットにアクセスする場合は、[NAT Traversal] チェックボックスをオンにします。VPNルータがNATゲートウェイの背後にある場合は、このチェックボックスをオンにしてNATトラバーサルを有効にします。トンネルの両端で同じ設定を使用する必要があります。
ステップ 8:Dead Peer Detection Intervalをチェックして、HelloまたはACKを介したVPNトンネルの動作を定期的にチェックします。このチェックボックスをオンにした場合は、helloメッセージの期間または間隔を入力します。
注:Dead Peer Detection Intervalは、クライアントからゲートウェイへの単一のVPN接続に対してのみ設定できます。グループクライアントからゲートウェイへのVPN接続に対しては設定できません。
ステップ 9:[Save] をクリックして、設定を保存します。
ここまでは、RV016、RV042、RV042G、およびRV082 VPNルータ上でクライアントからゲートウェイへのリモートアクセスVPNトンネルを設定する方法について学習しました。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
10-Dec-2018 |
初版 |