Cisco PIX Firewall/VPN コンフィギュレーション ガイド
VPN リモート アクセスの管理
VPN リモート アクセスの管理
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

VPN リモート アクセスの管理

Easy VPN サーバとしての PIX Firewall の使用方法

概要

冗長性のイネーブル化

セキュア ユニット認証の設定

個別ユーザ認証の設定

AAA 認証のバイパス

拡張認証の設定(Xauth)

IKE Mode Config を使用した Easy VPN リモート デバイスの設定

事前共有キーによる Easy VPN リモート デバイスの使用方法

シナリオの説明

PIX Firewall の設定

Easy VPN リモート ソフトウェア クライアントの設定

デジタル証明書による Easy VPN リモート デバイスの使用方法

Easy VPN サーバ証明書のクライアント確認

シナリオの説明

PIX Firewall の設定

Easy VPN リモート ソフトウェア クライアントの設定

PPTP を使用したリモート アクセスの方法

概要

PPTP のコンフィギュレーション

PPTP のコンフィギュレーション例

VPN リモート アクセスの管理

この章では、PIX Firewall を Easy VPN サーバとして設定する方法および Easy VPN リモート ソフトウェア クライアントの設定方法について説明します。 また、PIX Firewall をポイントツーポイント トンネリング プロトコル(PPTP)と共に使用する方法についても説明します。次の事項について説明します。

「Easy VPN サーバとしての PIX Firewall の使用方法」

「拡張認証の設定(Xauth)」

「IKE Mode Config を使用した Easy VPN リモート デバイスの設定」

「事前共有キーによる Easy VPN リモート デバイスの使用方法」

「デジタル証明書による Easy VPN リモート デバイスの使用方法」

「PPTP を使用したリモート アクセスの方法」


) PIX Firewall に対するリモート アクセスをイネーブルにするには、IPSec の設定時にダイナミック暗号マップを使用する必要があります。ダイナミック暗号マップは、不明なパラメータが IKE ネゴシエーションに基づいてダイナミックに割り当てられるときのテンプレートとしての役割を持ちます。ダイナミック暗号マップの設定の詳細については、「IPSec と認証局の設定」の「 ダイナミック暗号マップの使用」を参照してください。


Easy VPN サーバとしての PIX Firewall の使用方法

ここでは、Easy VPN サーバとしての PIX Firewall の使用方法を説明します。次の項目について説明します。

「概要」

「冗長性のイネーブル化」

「セキュア ユニット認証の設定」

「個別ユーザ認証の設定」

「AAA 認証のバイパス」

概要

Version 6.2 以降が動作する PIX Firewall 装置を Easy VPN サーバとして使用できます。 Easy VPN サーバとして使用する場合、PIX Firewall は VPN コンフィギュレーションを任意の Easy VPN リモート デバイスに適用できます。これによって、設定と管理が大幅に簡略化されます。 VPN で Easy VPN サーバを使用する仕組みを図 8-1に示します。

図 8-1 Easy VPN サーバとしての PIX Firewall の使用方法

 

PIX Firewall を Easy VPN サーバとして使用すると、PIX Firewall の 1 か所に VPN ポリシーを設定できるので、この設定を複数の Easy VPN リモート デバイスに適用できます。 次に、Easy VPN サーバとして使用する PIX Firewall と併用できるさまざまな種類の Easy VPN リモート デバイスを示します。

ソフトウェア クライアント:Easy VPN サーバに直接接続します。ただし、前もってクライアント ソフトウェアを各ホスト コンピュータにインストールおよび設定しておく必要があります。 次のものが含まれます。

Cisco VPN Client Version 3.x (別名 Unity Client 3.x)

Cisco VPN 3000 Client Version 2.5 (別名 Altiga VPN Client Version 2.5)

ハードウェア クライアント:リモート ネットワーク上の複数ホストが Easy VPN サーバで保護されたネットワークにアクセスできるようにします。このとき、リモート ホスト側では特別な設定もソフトウェアのインストールも必要ありません。 次のものが含まれます。

PIX 501 または PIX 506/506E

Cisco VPN 3002 Hardware Client

Cisco IOS ベースの Easy VPN リモート デバイス(たとえば、Cisco 800 シリーズや 1700 シリーズのルータ)

セキュリティ ポリシー属性を VPN グループ名に関連付けるには、 vpngroup コマンドを使用します。 この属性は、グループに割り当てられた任意の Easy VPN リモート デバイスに適用されます。 この章の以降の項および例では、このコマンドを使用してほかのオプションおよび事例を設定する方法について説明します。 完全なコマンド構文については、『 Cisco PIX Firewall Command Reference 』を参照してください。

この章の設定手順および例では、Easy VPN リモート デバイスの使用を前提としています(「PPTP を使用したリモート アクセスの方法」は除きます)。PIX 501 または PIX 506/506E を Easy VPN リモート デバイスとして使用する場合については、「SOHO ネットワークにおける PIX Firewall の使用」を参照してください。


) PIX Firewall Version 6.3 では、VPN トンネルを介した PIX Firewall の内部インターフェイスへの管理接続を可能にする機能が導入されています。 この機能は、Easy VPN リモート デバイスとして使用する場合の PIX Firewall をリモート管理するためのもので、通常、外部インターフェイスへダイナミックに割り当てられた IP アドレスを保有します。詳細については、「PIX Firewall のアクセスと監視」の「 VPN トンネル経由による PIX Firewall への接続」を参照してください。


L2TP、Windows 2000、Cisco Secure VPN Client Version 1.1 など、ほかの VPN ソフトウェア クライアントにリモート アクセスを設定する場合については、 付録 B「その他のリモート アクセス クライアントの設定例」 を参照してください。


) Cisco VPN 3000 Client Version 2.5 または Cisco VPN Client Version 3.x をリモート ホスト コンピュータにインストールする前に、Cisco Secure VPN Client Version 1.1 ソフトウェアをすべてアンインストールし、関連するディレクトリを削除してください。


Easy VPN サーバとしての PIX Firewall のコンフィギュレーションは、使用している Easy VPN リモート デバイスのタイプに関係なく、類似しています。 ただし、Easy VPN リモート ハードウェア クライアントの使用時には特定の Easy VPN サーバ機能およびオプションだけが該当します。

たとえば、ハードウェア クライアントの使用時には 2 つの異なる操作モードを Easy VPN リモート デバイスでイネーブルにできます。

クライアント モード

ネットワーク拡張モード

クライアント モードでは VPN コネクションが Easy VPN リモート デバイスからのトラフィックによって開始されるため、リソースはオンデマンドでだけ使用されます。クライアント モードでは、Easy VPN リモート デバイスがその内部インターフェイス(高セキュリティ)に接続されたすべてのクライアントの IP アドレスに、NAT を適用します。

ネットワーク拡張モードでは、トラフィック伝送に必要がない場合でも VPN コネクションは開かれた状態に保たれ、アドレス変換は適用されません。 ネットワーク拡張モードでは、Easy VPN リモート デバイスの内部インターフェイスにあるクライアントの IP アドレスは、変更されずに Easy VPN サーバに送信されます。


) クライアント モードとネットワーク拡張モードは Easy VPN リモート デバイス上で設定されます。詳細については、「SOHO ネットワークにおける PIX Firewall の使用」の「 Easy VPN リモート デバイスとしての PIX Firewall の使用方法」を参照してください。


PIX Firewall では IKE Mode Config プロトコルを使用して Easy VPN リモート デバイスに属性をダウンロードします。次の属性が含まれます。

DNS、WINS、およびデフォルト ドメイン(クライアント モードの場合)

スプリット トンネル モード属性

スプリット トンネル モードにより、PIX Firewall では特定のトラフィックを暗号化してその他のトラフィックをクリア テキストで送信するためのポリシーを定義できます。スプリット トンネリングがイネーブルの場合、VPN クライアントの動作中に VPN クライアント PC はインターネットにアクセスできます。このパラメータの設定については、「VPN リモート アクセスの管理」の「IKE Mode Config を使用した Easy VPN リモート デバイスの設定」を参照してください。

冗長性のイネーブル化

PIX Firewall Version 6.3 では、Easy VPN サーバ間の冗長性がサポートされました。

Easy VPN サーバ上で Easy VPN リモートに適用できるサーバ リストを定義します。 バックアップ Easy VPN サーバにアクセスするためのタイムアウト値を設定できます。この設定により、バックアップ Easy VPN サーバへの通信を試みる前に Easy VPN リモート デバイスが待機する時間を設定できます。

バックアップ Easy VPN サーバが設定されていない場合、Easy VPN サーバへの接続が失敗した後の動作は SUA ステータスと、Easy VPN リモート デバイスがクライアント モードかネットワーク拡張モードかによって異なります。 クライアント モードで SUA のない場合、トラフィックは Easy VPN サーバに対する後続の接続をトリガーし続けます。 ネットワーク拡張モードで SUA のない場合、Easy VPN リモート デバイスはプライマリ サーバに対して絶えず再接続を試みます。 SUA がある場合は、接続失敗のメッセージが表示され、すべての接続試行を手作業でトリガーする必要があります。

バックアップ サーバのリストを定義するには、Easy VPN サーバとして使用される PIX Firewall で次のコマンドを入力します。

vpngroup groupname backup-server ipaddr1 [ipaddr2 .. ipaddr10]
 

現在のクライアント コンフィギュレーションをクリアするには、Easy VPN サーバとして使用される PIX Firewall で次のコマンドを入力します。

vpngroup groupname backup-server clear-client-cfg
 

セキュア ユニット認証の設定

セキュア ユニット認証(SUA)によって、Easy VPN リモート デバイスから Easy VPN サーバへのアクセスを許可するときのセキュリティが向上します。SUA と共に、ワンタイム パスワード、2 要素認証、および同様の認証方式を使用して、拡張認証(Xauth)時に Easy VPN リモート デバイスを認証できます。SUA は、Easy VPN サーバ上の VPN ポリシーで指定され、Easy VPN リモート デバイスにダウンロードされます。これによって SUA がイネーブルになり、Easy VPN リモート デバイスの接続動作が定義されます。

SUA を VPN グループの VPN ポリシーに追加するには、Easy VPN サーバの CLI で次のコマンドを入力します。

vpngroup groupname secure-unit-authentication
 

このコマンドは groupname で指定した VPN グループの SUA をイネーブルにします。

VPN ポリシーの SUA をディセーブルにするには、対応する VPN グループの設定を削除します。 VPN ポリシーの変更が Easy VPN リモート デバイス上で更新されるのは、ポリシー設定の変更に続く次の接続以降だけであることに注意してください。

個別ユーザ認証の設定

個別ユーザ認証(IUA)によって、Easy VPN リモートの内部ネットワーク上のクライアントを、各内部クライアントの IP アドレスに基づいて個別に認証できます。 IUA では、スタティックとワンタイム パスワード(OTP)両方の認証メカニズムをサポートします。

IUA はダウンロードした VPN ポリシーによってイネーブルになります。ローカルで設定することはできません。 Easy VPN サーバとして使用される PIX Firewall 上で IUA をイネーブルにするには、次のコマンドを入力します。

vpngroup groupname user-authentication
 

このコマンドは groupname で指定した VPN グループの個別ユーザ認証をイネーブルにします。

ユーザ アクティビティがなくても VPN トンネルをオープン状態のままにしておける時間を指定するには、次のコマンドを入力します。

vpngroup groupname user-idle-timeout {hh:mm:ss}
 

このコマンドは、指定された VPN グループの時間を時間、分、秒単位(hh:mm:ss)で指定します。

ダウンロードされた VPN ポリシーによって Easy VPN リモートの SUA が有効になると、このポリシーは Easy VPN リモート デバイスとして使用される PIX Firewall のフラッシュ メモリにローカルで保存されます。

IUA を PIX Firewall で使用している場合、Easy VPN リモート デバイスは認証要求を直接 AAA サーバに送信します。

Easy VPN サーバとして使用される PIX Firewall 上で IUA に使用する AAA サーバを指定するには、次のコマンドを入力します。

vpngroup groupname authentication-server server_tag | LOCAL
 

このコマンドは、groupname で指定した VPN グループについて、server_tag で指定した AAA サーバを指定します。

PIX Firewall Version 6.3 以降を使用している場合、PIX Firewall でローカルに設定するユーザ データベースと共に、認証に LOCAL キーワードを使用できます。 PIX Firewall ローカル ユーザ データベースの設定については、『Cisco PIX Firewall Command Reference』の username コマンドのページを参照してください。

AAA 認証のバイパス

PIX Firewall Version 6.3 では、MAC アドレスを使用して、AAA 認証をサポートしない Cisco IP Phone などのデバイスについて認証をバイパスできます。

MAC ベースの AAA 免除がイネーブルの場合、Easy VPN リモートはデバイスの MAC アドレス、および DHCP サーバによってダイナミックに割り当てられた IP アドレスの両方と一致するトラフィックについて AAA サーバをバイパスします。 認証をバイパスすると、認証サービスは自動的にディセーブルになります。 アカウンティング レコードは依然として生成されますが(イネーブルの場合)、ユーザ名は表示されません。

特定の Easy VPN リモート デバイスでこの機能をイネーブルにするには、次のコマンドを入力します。

vpngroup groupname device-pass-through
 

) この機能を Easy VPN リモート デバイスとして動作する PIX Firewall と併用する場合、リモート管理者は認証を免除されている MAC アドレスを確認する必要があります。 リモート PIX Firewall でこの設定を実行する方法については、「ネットワーク アクセスとネットワーク使用の制御」の「 MAC ベースの AAA 免除」を参照してください。


拡張認証の設定(Xauth)

PIX Firewall は、IKE プロトコルの内部で拡張認証(Xauth)機能をサポートしています。 Xauth ではユーザ認証方式として TACACS+、RADIUS、または PIX Firewall 上の LOCAL データベースを使用して IPSec VPN を配置できます。

VPN クライアント用に設計されたこの機能は、ユーザにユーザ名とパスワードの入力を求め、TACACS+ または RADIUS データベースに格納されている情報を使用して検証することで、ユーザ認証を行います。 Xauth は、IKE 第一段階(IKE デバイス認証フェーズ)と IKE 第 2 段階(IPSec SA ネゴシエーション フェーズ)の間でネゴシエートされます。
Xauth が失敗した場合、IPSec セキュリティ結合は確立されず、IKE セキュリティ結合は削除されます。


) IKE Mode Config 機能もまた、IKE 第一段階と IKE 第 2 段階の間でネゴシエートされます。 両方の機能が設定されている場合には、Xauth が先に実行されます。


Xauth 機能はオプションであり、 crypto map map-name client authentication aaa-group-tag コマンドを使用してイネーブルにします。AAA については、Xauth をイネーブルにする前に、 aaa-server group_tag (if_name) host server_ip key timeout seconds コマンドを PIX Firewall 上で使用して設定する必要があります。 aaa-server および crypto map client authentication コマンド文の内部では同じ AAA サーバ名を使用します。詳細については、『 Cisco PIX Firewall Command Reference 』の aaa-server コマンドのページ、および crypto map コマンドのページを参照してください。

PIX Firewall 上に Xauth を設定するには、次の手順を実行します。


ステップ 1 基本の AAA サーバを設定します。

aaa-server group_tag (if_name) host server_ip key
 

次に例を示します。

aaa-server TACACS+ (outside) host 10.0.0.2 secret123
 

この例では、最初のコマンド文によって、外部インターフェイス上にある IP アドレス 10.00.00.2 の認証サーバを指定し、これをデフォルトの TACACS+ サーバ グループに含めます。キー「secret123」が PIX Firewall と TACACS+ サーバとの間のデータの暗号化に使用されます。

ステップ 2 Xauth をイネーブルにします。必ず、 aaa-server コマンド文で指定された AAA サーバ グループ タグと同じタグを crypto map client authentication コマンド文で指定してください。

crypto map map-name client authentication aaa-group-tag
 

次に例を示します。

crypto map mymap client authentication TACACS+
 

この例では、Xauth が暗号マップ「mymap」でイネーブルにされ、TACACS+ グループ内で指定されたサーバがユーザ認証に使用されます。

ステップ 3 (オプション) VPN クライアントと同じインターフェイスを共有し、事前共有キーを使用するように設定された各サイトツーサイト VPN ピアに対して、次の手順を実行します。この手順では、所定のサイトツーサイト VPN ピアに対する Xauth 機能に対する例外を、PIX Firewall で設定できます。

isakmp key keystring address ip-address [netmask mask] [no-xauth] [no-config-mode]
 

次に例を示します。

isakmp key secretkey1234 address 10.2.2.2 netmask 255.255.255.255 no-xauth
 

ステップ 4 (オプション)所定のサイトツーサイト VPN ピアに対する Xauth 機能に例外を設定するには、次のコマンドを入力します。

isakmp peer fqdn fqdn [no-xauth] [no-config-mode]
 

VPN クライアントと同じインターフェイスを共有し、RSA シグニチャを使用するように設定された各サイトツーサイト VPN ピアに対して、次の手順を実行します。

次に例を示します。

isakmp peer fqdn hostname1.example.com no-xauth
 


 

IKE Mode Config を使用した Easy VPN リモート デバイスの設定

Easy VPN サーバとして使用される PIX Firewall では IKE Mode Configuration (Config)プロトコルを使用し、IKE ネゴシエーションの一部として IP アドレスおよびその他のネットワーク レベル設定を Easy VPN リモート デバイスにダウンロードします。この交換中に PIX Firewall は、IPSec のもとでカプセル化された「内部」 IP アドレスとして使用される IP アドレスを Easy VPN リモート デバイスに与えます。 これによって、Easy VPN リモート デバイスに既知の IP アドレスが与えられ、この IP アドレスを Easy VPN サーバの IPSec ポリシーに対して一致させることができます。


) PIX Firewall 上で IKE Mode Config を使用する場合、IPSec トラフィックを処理するルータは、IKE Mode Config もサポートする必要があります。Cisco IOS Release 12.0(7)T 以降では、IKE Mode Config をサポートしています。


IKE Mode Config を設定するには、次のコマンドを使用します。

vpngroup groupname option
 

groupname には、Easy VPN リモート デバイスの特定グループを設定するときに使用する ID を指定します。 各 Easy VPN リモート デバイスの管理者は、特定のグループ名を入力して Easy VPN リモート サーバにアクセスします。

option には、VPN の実装で必要なさまざまなオプションを指定します。 オプションの中にはネットワーク拡張モード使用時に必須なものもあり、これらのオプションによって DNS サーバのアドレスなどの追加パラメータが中央から設定可能になります。 また、vpngroup コマンドとオプションを併用すれば、「Easy VPN サーバとしての PIX Firewall の使用方法」で説明したように、SUA、IUA、およびバックアップ サーバなどのさまざまな Easy VPN 機能をイネーブルにできます。


) vpngroup コマンドを使用して Easy VPN リモート デバイスをさまざまな事例で実装する手順の詳細な説明については、この章で後述する例を参照してください。


表 8-1 に、IKE Mode Config 設定時に使用する必須パラメータおよびオプション パラメータをまとめます。

 

表 8-1 必須およびオプションの IKE Mode Config パラメータ

オプション
説明
使用
address-pool poolname

VPN グループに割り当てられるローカル アドレスのプール IP アドレスの範囲を確認するには ip local range コマンドを使用する。

必須。

dns-server address

Cisco Easy VPN リモート デバイスにダウンロードされる DNS サーバの IP アドレス。

必須(ネットワーク拡張モードの場合)。

wins-server address

Cisco Easy VPN リモート デバイスにダウンロードされる WINS サーバの IP アドレス。

必須(ネットワーク拡張モードの場合)。

default-domain domain-name

Cisco Easy VPN リモート デバイスにダウンロードされるデフォルトのドメイン名。

必須(ネットワーク拡張モードの場合)。

split-tunnel access-list

Cisco Easy VPN リモート デバイスと PIX Firewall との間で暗号トラフィックと平文トラフィックの両方を可能にするスプリット トンネリング

オプション。

idle-time seconds

Cisco Easy VPN リモート デバイスの無活動タイムアウト設定。デフォルトの設定値は30分です。

オプション。

Cisco Easy VPN リモート デバイスが PIX Firewall を使用して ISAKMP を起動すると、VPN グループ名と事前共有キー(または証明書)が PIX Firewall に送信されます。その後、IKE ネゴシエーションの間に、PIX Firewall はグループ名を使用して、指定された Cisco Easy VPN リモート デバイスに対して設定されているクライアント ポリシー属性を検索し、クライアントに一致したポリシー属性をダウンロードします。

Cisco Easy VPN リモート デバイス以外のリモート クライアントを使用している場合は、そのリモート クライアントで IPSec 内部の IKE Mode Config プロトコルがサポートされていれば、IP アドレスをダイナミックに割り当てることができます。 Easy VPN リモート デバイス以外のクライアントを使用した設定例については、 付録 B「その他のリモート アクセス クライアントの設定例」 を参照してください。


 

事前共有キーによる Easy VPN リモート デバイスの使用方法

この例では、サポートされる次の機能の使用方法を示します。

ユーザ認証のための拡張認証(Xauth)

ユーザ サービス許可のための RADIUS 許可

VPN IP アドレス割り当てのための IKE Mode Config

IKE 認証のためのワイルドカード事前共有キー

この例では、PIX Firewall と Easy VPN リモート ソフトウェア クライアントの間で IKE 認証を行うための、拡張認証(Xauth)、RADIUS 許可、IKE Mode Config、およびワイルドカード事前共有キーの使用方法を示します。


) 最初の項で説明する PIX Firewall コンフィギュレーションは、任意の Easy VPN リモート デバイスに適用されます。 一方、最後の項ではソフトウェア クライアントに必要なコンフィギュレーションについて説明します。 PIX Firewall を Easy VPN リモート デバイスとして使用する場合の設定手順については、「SOHO ネットワークにおける PIX Firewall の使用」の「 Easy VPN リモート デバイスとしての PIX Firewall の使用方法」を参照してください。


ここでは、次の項目について説明します。

「シナリオの説明」

「PIX Firewall の設定」

「Easy VPN リモート ソフトウェア クライアントの設定」

シナリオの説明

vpngroup コマンド セットを使用して、Cisco Easy VPN リモート デバイスの指定グループに対して PIX Firewall を設定するには、次のパラメータを使用します。

Cisco Easy VPN リモート デバイスの指定グループのグループ名。

リモート サーバ(PIX Firewall)への VPN アクセスを認証するために使用される事前共有キーまたはグループ パスワード。


) この事前共有キーは、接続エントリに対するグループ アクセス情報を設定するときに、Cisco Easy VPN リモート ソフトウェア クライアントの Group Password フィールドに入力するパスワードに相当します。


VPN グループに割り当てられるローカル アドレスのプール

(オプション) Cisco Easy VPN リモート デバイスにダウンロードされる DNS サーバの IP アドレス

(オプション) Cisco Easy VPN リモート デバイスにダウンロードされる WINS サーバの IP アドレス

(オプション) Cisco Easy VPN リモート デバイスにダウンロードされるデフォルトのドメイン名

(オプション) Cisco Easy VPN リモート デバイスと PIX Firewall 間で暗号トラフィックと平文トラフィックの両方を可能にした状態で、PIX Firewall 上のスプリット トンネリングをイネーブルにする


) スプリット トンネリングがイネーブルでない場合は、Cisco Easy VPN リモート デバイスと PIX Firewall との間の全トラフィックが暗号化されます。


(オプション) Cisco Easy VPN リモート デバイスの無活動タイムアウト設定。デフォルトの設定値は30分です。

Cisco Easy VPN リモート デバイスでは、PIX Firewall 上で設定したものと同じ vpngroup 名とグループ パスワードを設定します。

Cisco Easy VPN リモート デバイスが PIX Firewall を使用して ISAKMP を起動すると、VPN グループ名と事前共有キーが PIX Firewall に送信されます。その後、IKE ネゴシエーションの間に、PIX Firewall はグループ名を使用して、指定された Cisco Easy VPN リモート デバイスに対して設定されているクライアント ポリシー属性を検索し、クライアントに一致したポリシー属性をダウンロードします。

図 8-2に、ネットワークの例を示します。

図 8-2 Cisco Easy VPN リモート デバイスのアクセス

 

PIX Firewall の設定

Xauth、IKE Mode Config、RADIUS による AAA 許可、およびワイルドカード事前共有キーを使用して、Cisco Easy VPN リモート デバイスと相互運用できるように PIX Firewall を設定するには、次の手順を実行します。


ステップ 1 AAA 関連のパラメータを定義します。

aaa-server radius protocol radius
aaa-server partnerauth protocol radius
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
 

ステップ 2 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 encr 3des
isakmp policy 8 hash md5
isakmp policy 8 authentication pre-share
 

) Cisco VPN Client Version 3.x を設定する場合は、このステップで isakmp policy 8 group 2 コマンドを実行する必要があります。


ステップ 3 ワイルドカード事前共有キーを設定します。

isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0
 

ステップ 4 IPSec 保護を必要とする PIX Firewall ローカル ネットワーク(1 つ以上)を定義するアクセス リストを作成します。

access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
 

ステップ 5 RADIUS サーバで VPN Client による使用が許可されるサービスを定義するアクセス リストを作成します。

access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq telnet
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq ftp
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq http
 

) ベンダー固有の acl=acl_ID 識別子を使用してアクセス リスト ID を指定するように、認証サーバを設定します。 この例では、アクセス リスト ID は 100 で、 認証サーバへのエントリは acl=100 になります。


ステップ 6 NAT 0 を設定します。

nat (inside) 0 access-list 80
 

ステップ 7 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
 

ステップ 8 ダイナミック暗号マップを作成します。

crypto dynamic-map cisco 4 set transform-set strong-des
 

このダイナミック暗号マップ エントリに対して許可するトランスフォーム セットを指定します。

ステップ 9 ダイナミック暗号マップ セットをスタティック暗号マップ セット内に追加します。

crypto map partner-map 20 ipsec-isakmp dynamic cisco
 

ステップ 10 暗号マップを外部インターフェイスに適用します。

crypto map partner-map interface outside
 

ステップ 11 Xauth をイネーブルにします。

crypto map partner-map client authentication partnerauth
 

ステップ 12 IKE Mode Config 関連のパラメータを設定します。

ip local pool dealer 10.1.1.1-10.1.1.254
 

) Cisco VPN 3000 Client Version 2.5 を設定するには、このステップで crypto map partner-map client configuration address initiate コマンドを実行する必要があります。


ステップ 13 ダウンロードする Cisco Easy VPN リモート デバイスのポリシー属性を設定します。

vpngroup superteam address-pool dealer
vpngroup superteam dns-server 10.0.0.15
vpngroup superteam wins-server 10.0.0.15
vpngroup superteam default-domain example.com
vpngroup superteam split-tunnel 80
vpngroup superteam idle-time 1800
 

キーワード「superteam」は VPN グループの名前です。 この VPN グループ名は、Easy VPN リモート ソフトウェア クライアント内に、グループ アクセス情報の一部として入力します。「Easy VPN リモート ソフトウェア クライアントの設定」のステップ 9を参照してください。

ステップ 14 IPSec トラフィックを暗黙的に許可するように、PIX Firewall に指定します。

sysopt connection permit-ipsec
 


 

例8-1に、PIX Firewall のコンフィギュレーション全体を示します。

例8-1 Xauth、RADIUS許可、IKE Mode Config、およびワイルドカード事前共有キーによる VPN アクセス

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SanJose
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 209.165.200.229 255.255.255.224
ip address inside 10.0.0.1 255.255.255.0
ip address dmz 192.168.101.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
arp timeout 14400
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-list 80 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq telnet
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq ftp
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq http
nat (inside) 0 access-list 80
global (outside) 1 209.165.200.45-209.165.200.50 netmask 255.255.255.224
route outside 0.0.0.0 0.0.0.0 209.165.200.227 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
ip local pool dealer 10.1.1.1-10.1.1.254
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partnerauth protocol tacacs+
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
crypto map partner-map client configuration address initiate;
crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
crypto dynamic-map cisco 4 set transform-set strong-des
crypto map partner-map 20 ipsec-isakmp dynamic cisco
crypto map partner-map client authentication partnerauth
crypto map partner-map interface outside
isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0
isakmp enable outside
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
isakmp policy 8 hash md5
isakmp policy 8 group 2
vpngroup superteam address-pool dealer
vpngroup superteam dns-server 10.0.0.15
vpngroup superteam wins-server 10.0.0.15
vpngroup superteam default-domain example.com
vpngroup superteam split-tunnel 80
vpngroup superteam idle-time 1800
sysopt connection permit-ipsec
telnet timeout 5
terminal width 80

 


crypto map partner-map client configuration address initiate コマンドは、Cisco VPN 3000 Client Version 2.5 を設定する場合にだけ必要です。isakmp policy 8 group 2 コマンドは、Cisco VPN Client Version 3.x を設定する場合にだけ必要です。


Easy VPN リモート ソフトウェア クライアントの設定

ここでは、「PIX Firewall の設定」のコンフィギュレーションに一致するように Easy VPN リモート ソフトウェア クライアントを設定する方法について説明します。 Easy VPN リモート ソフトウェア クライアントがシステム上ですでにインストールされていて、一般的な用途に設定されていることを前提とします。Easy VPN リモート ソフトウェア クライアントのオンライン ドキュメントは、次の Web サイトで入手できます。

http://www.cisco.com/univercd/cc/td/doc/product/vpn/index.htm

事前共有キーを使用して、Easy VPN リモート ソフトウェア クライアントから PIX Firewall に対する VPN アクセスを取得する場合は、次の項目を識別する必要があるため、Easy VPN リモート ソフトウェア クライアントが使用する接続エントリを 1 つ作成します。

アクセスするリモート サーバのホスト名または IP アドレス。ここでは PIX Firewall です。

ユーザの所属する VPN グループの名前

ユーザの所属する VPN グループの事前共有キーまたはパスワード

Easy VPN リモート ソフトウェア クライアント設定時の詳細な手順については、『 VPN 3000 Client User Guide 』の「Configuring the VPN Client」の章を参照してください。

PIX Firewall と相互運用できるように Easy VPN リモート ソフトウェア クライアントを設定するには、次の手順を実行します。


ステップ 1 Start > Programs > Cisco Systems VPN 3000 Client > VPN Dialer を選択します。

ステップ 2 VPN Client のメイン ダイアログボックスで、 New をクリックします。

最初の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 3 接続に付ける一意の名前を入力します。

ステップ 4 この接続の説明を入力します(オプション)。

ステップ 5 Next をクリックします。

2 番目の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 6 アクセスするリモート PIX Firewall のホスト名または IP アドレスを入力します。

ステップ 7 Next をクリックします。

3 番目の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 8 Group Access Information をクリックします。

ステップ 9 所属している VPN グループの名前と VPN グループのパスワードを入力します。

パスワードはアスタリスクで表示されます。

ステップ 10 Next をクリックします。

4 番目の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 11 接続エントリ名を確認します。

ステップ 12 Finish をクリックします。


 

デジタル証明書による Easy VPN リモート デバイスの使用方法

この例では、サポートされる次の機能の使用方法を示します。

ユーザ認証のための拡張認証(Xauth)

VPN IP アドレス割り当てのための IKE Mode Config

IKE 認証のためのデジタル証明書

ここでは、PIX Firewall と Easy VPN リモート ソフトウェア クライアントとの間で IKE 認証を行うための、Xauth、IKE Mode Config、およびデジタル証明書の使用方法を示します。


) 最初の項で説明する PIX Firewall コンフィギュレーションは、任意の Easy VPN リモート デバイスに適用されます。 一方、最後の項ではソフトウェア クライアントに必要なコンフィギュレーションについて説明します。 PIX Firewall を Easy VPN リモート デバイスとして使用する場合の設定手順については、「Easy VPN リモート デバイスとしての PIX Firewall の使用方法」を参照してください。


ここでは、次の項目について説明します。

「Easy VPN サーバ証明書のクライアント確認」

「シナリオの説明」

「PIX Firewall の設定」

「Easy VPN リモート ソフトウェア クライアントの設定」


) PIX Firewall と Easy VPN リモート デバイスとが同一のルート CA サーバから認証されるためには、同一の CA サーバからデジタル証明書を取得する必要があります。PIX Firewall は、1 つの VPN ピアに対して 1 つのルート CA サーバの使用だけをサポートします。


Easy VPN サーバ証明書のクライアント確認

PIX Firewall Version 6.3 では、ISAKMP ネゴシエーションの間に Easy VPN サーバの認定者名(DN)を確認する方法が導入されています。 Easy VPN リモート デバイスで受信した証明書の DN が一致しない場合、ネゴシエーションは失敗します。 「man-in-the-middle」攻撃を阻止するため、この機能の使用を推奨します。 Easy VPN ハードウェア クライアントとして使用する PIX Firewall で PIX Firewall の DN を指定するには、「Easy VPN サーバの DN の確認」を参照してください。

Easy VPN ソフトウェア クライアント上で PIX Firewall の DN を指定するには、.pcf ファイルを作成して CertSubjectName キーワードを使用します。 CertSubjectName キーワードの次行で、次のパラメータを入力します。

VerifyCertDn=x500 string
 

たとえば、次のエントリを考えてみます。

CertSubjectName
VerifyCertDn=cn*myvpn, ou=myou, o=myorg, st=ca, c=US
 

このエントリによって、受信側の Easy VPN ソフトウェア クライアントでは次のアトリビュートを保有する DN を指定した証明書を受け取ります。

文字列 myvpn が含まれる通常名(CN)

myou と同一の組織ユニット(OU)

myorg と同一の組織(O)

CA と同一の州(ST)

US と同一の国(C)

特定の通常名を指定して範囲をさらに限定したり、CN アトリビュートを完全に省略して範囲をさらに広げたりすることもできます。

アスタリスク(*)を使用すると、アスタリスクに続く文字列を含むアトリビュートと一致させることができます。 感嘆符(!)を使用すると、感嘆符に続く文字を含まないアトリビュートと一致させることができます。


) すべてのアトリビュートが正確に一致しないと、DN の確認は失敗します。


.pcf ファイルを使用して Easy VPN ソフトウェア クライアントの接続プロファイルを作成する場合の詳細については、『VPN Client Administrator Guide』を参照してください。

シナリオの説明

この例では、Entrust CA サーバと相互運用する PIX Firewall を示します。実際に入力する CA 関連のコマンドは、ユーザの使用している CA によって異なります。


) PIX Firewall は、VeriSign、Entrust、Baltimore Technologies、および Microsoft が開発した CA サーバをサポートしています。一般的な設定手順については、「IPSec と認証局の設定」の「 認証局の使用」を参照してください。PIX Firewall がサポートする各 CA サーバとの相互運用の例については、「サイトツーサイト VPN の設定例」を参照してください。


PIX Firewall 上で、CA サーバと相互運用してデジタル証明書を取得できるように、PIX Firewall 装置を設定します。 vpngroup コマンド セットを使用して、Easy VPN リモート デバイスの指定グループに対して PIX Firewall を設定するには、次のパラメータを使用します。

VPN グループに割り当てられるローカル アドレスのプール

Easy VPN リモート デバイスにダウンロードされる DNS サーバの IP アドレス(オプション)

Easy VPN リモート デバイスにダウンロードされる WINS サーバの IP アドレス(オプション)

Easy VPN リモート デバイスにダウンロードされるデフォルトのドメイン名(オプション)

Easy VPN リモート デバイスと PIX Firewall 間で暗号トラフィックと平文トラフィックの両方を可能にする PIX Firewall 上のスプリット トンネリング(オプション)


) スプリット トンネリングがイネーブルでない場合は、Easy VPN リモート デバイスと PIX Firewall との間の全トラフィックが暗号化されます。


Easy VPN リモート デバイスの無活動タイムアウト設定。デフォルトの設定値は30分です(オプション)。

Easy VPN リモート デバイス上で、クライアントを設定してデジタル証明書を取得します。デジタル証明書の取得後、デジタル証明書を使用できるように Easy VPN リモート ソフトウェア クライアントの接続エントリを設定します。

Easy VPN リモート デバイスが PIX Firewall を使用して ISAKMP を起動すると、デジタル証明書が PIX Firewall に送信されます。IKE ネゴシエーションの間に、PIX Firewall はデジタル証明書を使用して、指定された Easy VPN リモート デバイスに対して設定されているクライアント ポリシー属性を検索し、クライアントに一致したポリシー属性をダウンロードします。

図 8-3に、ネットワークの例を示します。

図 8-3 Easy VPN リモート ソフトウェア クライアントのアクセス

 

PIX Firewall の設定

Easy VPN リモート デバイスと相互運用できるように PIX Firewall を設定するには、次の手順を実行します。


ステップ 1 AAA 関連のパラメータを定義します。

aaa-server TACACS+ protocol tacacs+
aaa-server partnerauth protocol tacacs+
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
 

ステップ 2 ホスト名を定義します。

hostname SanJose
 

ステップ 3 ドメイン名を定義します。

domain-name example.com
 

ステップ 4 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 5 CA を宣言します。

ca identity abcd 209.165.200.228 209.165.200.228
 

このコマンドはコンフィギュレーションに格納されます。

ステップ 6 PIX Firewall と CA 間の通信パラメータを設定します。

ca configure abcd ra 1 20 crloptional
 

このコマンドはコンフィギュレーションに格納されます。 1 はリトライ間隔、 20 はリトライ回数で、 crloptional オプションは CRL チェックをディセーブルにします。

ステップ 7 CA の公開キーと証明書を取得して、CA を認証します。

ca authenticate abcd
 

このコマンドはコマンド ラインから入力され、コンフィギュレーションには格納されません。

ステップ 8 PIX Firewallの RSA キー ペアに対する署名付き証明書を、CA に要求します。

ca enroll abcd cisco
 

このコマンドを入力する前に、CA 管理者に連絡してください。CA 管理者は、その証明書(1 つ以上)を交付する前に、PIX Firewall を手動で認証する必要があります。

「cisco」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 9 show ca certificate コマンドを使用して、登録プロセスが成功したことを確認します。

show ca certificate
 

ステップ 10 キーと証明書、および CA コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、あるいは変更または削除するときは必ず、
ca save all
コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。


ステップ 11 PIX Firewall のシステム クロックを設定します。

証明書を使用している場合、PIX Firewall クロックは正確である必要があります。システム クロックを更新するには、次のコマンド文を入力します。

clock set
 

ステップ 12 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 encr 3des
isakmp policy 8 hash md5
isakmp policy 8 authentication rsa-sig
 

ステップ 13 IPSec 保護を必要とする PIX Firewall ローカル ネットワーク(1 つ以上)を定義するアクセス リストを作成します。

access-list 90 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
 

ステップ 14 NAT 0 を設定します。

nat (inside) 0 access-list 90
 

ステップ 15 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
 

ステップ 16 ダイナミック暗号マップを作成します。このダイナミック暗号マップ エントリに許可するトランスフォーム セットを指定します。

crypto dynamic-map cisco 4 set transform-set strong-des
 

ステップ 17 ダイナミック暗号マップをスタティック暗号マップ内に追加します。

crypto map partner-map 20 ipsec-isakmp dynamic cisco
 

ステップ 18 暗号マップを外部インターフェイスに適用します。

crypto map partner-map interface outside
 

ステップ 19 IPSec トラフィックを暗黙的に許可するように、PIX Firewall に指定します。

sysopt connection permit-ipsec

ステップ 20 Xauth をイネーブルにします。

crypto map partner-map client authentication partnerauth
 

ステップ 21 IKE Mode Config 関連のパラメータを設定します。

ip local pool dealer 10.1.1.1-10.1.1.254
crypto map partner-map client configuration address initiate
 

ステップ 22 Easy VPN リモート デバイスにダウンロードする Easy VPN リモート デバイス ポリシー属性を設定します。

vpngroup superteam address-pool dealer
vpngroup superteam dns-server 10.0.0.15
vpngroup superteam wins-server 10.0.0.15
vpngroup superteam default-domain example.com
vpngroup superteam access-list 90
vpngroup superteam idle-time 1800

) VPN グループ名を設定する場合は、このグループ名が Easy VPN リモート デバイス証明書の
Organization Unit (OU) フィールドと一致することを確認してください。PIX Firewall は VPN グループ名を使用して所定の VPN クライアント ポリシーと一致させます。たとえば、OU フィールドが「superteam」の場合は、VPN グループ名に「superteam」を使用します。



 

例8-2にコマンドのリストを示します。設定リストには、PIX Firewall のデフォルト設定と特定の CA コマンドは表示されていません。

例8-2 拡張認証(Xauth)、RADIUS 許可、IKE Mode Config、およびデジタル証明書による VPN アクセス

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SanJose
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 209.165.200.229 255.255.255.224
ip address inside 10.0.0.1 255.255.255.0
ip address dmz 192.168.101.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
arp timeout 14400
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-list 90 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq telnet
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq ftp
access-list 100 permit tcp 10.1.1.0 255.255.255.0 10.0.0.0 255.255.255.0 eq http
nat (inside) 0 access-list 90
global (outside) 1 209.165.200.45-209.165.200.50 netmask 255.255.255.224
route outside 0.0.0.0 0.0.0.0 209.165.200.227 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
ip local pool dealer 10.1.1.1-10.1.1.254
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partnerauth protocol tacacs+
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
crypto dynamic-map cisco 4 set transform-set strong-des
crypto map partner-map 20 ipsec-isakmp dynamic cisco
crypto map partner-map client authentication partnerauth
crypto map partner-map interface outside
isakmp enable outside
isakmp policy 8 encryption 3des
isakmp policy 8 hash md5
isakmp policy 8 authentication rsa-sig
vpngroup superteam address-pool dealer
vpngroup superteam dns-server 10.0.0.15
vpngroup superteam wins-server 10.0.0.15
vpngroup superteam default-domain example.com
vpngroup superteam split-tunnel 90
vpngroup superteam idle-time 1800
ca identity abcd 209.165.200.228 209.165.200.228
ca configure abcd ra 1 100 crloptional
sysopt connection permit-ipsec
telnet timeout 5
terminal width 80

 


) crypto map partner-map client configuration address initiate コマンドは、Cisco VPN Client Version 2.5 を設定する場合にだけ必要です。


Easy VPN リモート ソフトウェア クライアントの設定

ここでは、「PIX Firewall の設定」のコンフィギュレーションに一致するように Easy VPN リモート ソフトウェア クライアントを設定する方法について説明します。 Easy VPN リモート ソフトウェア クライアントがシステム上ですでにインストールされていて、一般的な用途に設定されていることを前提とします。Easy VPN リモート ソフトウェア クライアントのオンライン ドキュメントは、次の Web サイトで入手できます。

http://www.cisco.com/univercd/cc/td/doc/product/vpn/index.htm

Easy VPN リモート ソフトウェア クライアントがデジタル証明書を使用して、PIX Firewall に対する VPN アクセスを取得するためには、CA サーバからデジタル証明書を取得する必要があります。このデジタル証明書を取得したら、次の項目を識別する VPN Client 接続エントリを作成します。

アクセスするリモート サーバのホスト名または IP アドレス。ここでは PIX Firewall です。

証明書名(Easy VPN リモート ソフトウェア クライアントにすでにインストール済み)。

ここでは、Easy VPN リモート ソフトウェア クライアントのデジタル証明書を取得する方法については触れません。Easy VPN リモート ソフトウェア クライアントのデジタル証明書の取得については、『 VPN 3000 Client User Guide 』の「Obtaining a Certificate」の章を参照してください。

Easy VPN リモート ソフトウェア クライアントの設定に関する詳細な手順については、『 VPN 3000 Client User Guide 』の「Configuring the VPN 3000 Client」の章を参照してください。

次の手順に従って、Easy VPN リモート ソフトウェア クライアントを設定します。


ステップ 1 Start > Programs > Cisco Systems VPN 3000 Client > VPN Dialer を選択します。

ステップ 2 Easy VPN リモート ソフトウェア クライアントのメイン ダイアログボックスで、 New をクリックします。

最初の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 3 接続に付ける一意の名前を入力します。

ステップ 4 (オプション)この接続の説明を入力します。

ステップ 5 Next をクリックします。

2 番目の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 6 アクセスするリモート PIX Firewall のホスト名または IP アドレスを入力します。

ステップ 7 Next をクリックします。

3 番目の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 8 Certificate をクリックします。

ステップ 9 使用する証明書の名前をクリックします。

ステップ 10 Next をクリックします。

4 番目の New Connection Entry Wizard ダイアログボックスが表示されます。

ステップ 11 接続エントリ名を確認します。

ステップ 12 Finish をクリックします。


 

PPTP を使用したリモート アクセスの方法

ここでは、PIX Firewall を使用して ポイントツーポイント トンネリング プロトコル(PPTP)を実装する方法について説明します。次の項目について説明します。

「概要」

「PPTP のコンフィギュレーション」

「PPTP のコンフィギュレーション例」

概要

PIX Firewall は Microsoft PPTP をサポートします。この PPTP は、VPN クライアントに対する IPSec 処理の代替手段です。PPTP は IPSec よりも安全性が低くなりますが、ネットワークによっては PPTP の方が実装と維持が簡単になる場合もあります。

vpdn コマンドは、PIX Firewall と Windows クライアントとの間の着信接続に対する PPTP 機能を実装します。ポイントツーポイント トンネリング プロトコル(PPTP)は、レイヤ 2 のトンネリング伝送プロトコルです。リモート クライアントはこのプロトコルを使用することで、パブリック IP ネットワークを利用して企業のプライベート ネットワーク上のサーバと安全に通信できます。PPTP は、IP プロトコルをトンネル伝送します。PPTP プロトコルは、RFC 2637 で定義されています。

サポートされているのは着信 PPTP だけであり、 vpdn コマンドをイネーブルにできるのは 1 つの PIX Firewall インターフェイスに限られます。

サポートされている認証プロトコルには、外部 AAA (RADIUSまたはTACACS+)サーバまたは PIX Firewall のローカル ユーザ名とパスワード データベースを使用する、PAP、CHAP、MS-CHAP があります。PPP IPCP プロトコル ネゴシエーションにより、PIX Firewall はローカルに定義された IP アドレス プールから割り振られたダイナミック内部 IP アドレスを PPTP クライアントに割り当てます。

PIX Firewall PPTP VPN は、RSA/RC4 アルゴリズムを使用する Microsoft ポイントツーポイント暗号化(MPPE)拡張による標準の PPP CCP ネゴシエーションをサポートします。MPPE は現在、40 ビットと 128 ビットのセッション キーをサポートしています。MPPE は、ユーザ認証の間に初期キーを生成し、そのキーを定期的にリフレッシュします。今回のリリースでは、圧縮はサポートされていません。

MPPE を指定する場合には、MS-CHAP PPP 認証プロトコルを使用してください。外部 AAA サーバを使用する場合には、プロトコルに RADIUS を使用し、外部 RADIUS サーバが RADIUS 認証受付パケットで Microsoft MSCHAP_MPPE_KEY アトリビュートを PIX Firewall に返すことができる必要があります。MSCHAP_MPPE_KEY アトリビュートの詳細については、RFC2548 「Microsoft Vendor Specific RADIUS Attributes」を参照してください。

Cisco Secure ACS 2.5/2.6 以降では、MS-CHAP/MPPE 暗号化をサポートしています。

PIX Firewall PPTP VPN は、Microsoft Windows 製品の Windows 95 DUN1.3、Windows 98、Windows NT 4.0 SP6、Windows 2000 でテスト済みです。


) PIX Firewall で 128 ビット暗号化を使用するように設定しても、Windows 95 または Windows 98 のクライアントが 128 ビット以上の暗号化に対応していない場合、PIX Firewall への接続は拒否されます。このとき、PPP ネゴシエーションがまだ進行している間に、Windows クライアントがダイアルアップ接続メニューを画面の隅に移動させます。これによって、実際には接続が受け入れられていないのに、接続が確立されたように表示されます。PPP ネゴシエーションが完了すると、トンネルが終了し、PIX Firewall が接続を終了させます。最終的に、Windows クライアントはタイムアウトになり、接続が切断されます。


PPTP のコンフィギュレーション

vpdn コマンドを sysopt connection permit-pptp コマンドと併用すると、PPTP トラフィックで access-list コマンド文のチェックを省略できます。

show vpdn コマンドは、トンネルとセッションの情報を一覧表示します。

clear vpdn コマンドは、コンフィギュレーションからすべての vpdn コマンドを削除し、アクティブな PPTP トンネルをすべて停止します。 clear vpdn all コマンドを使用すると、すべてのトンネルが削除できます。また、 clear vpdn id tunnel_id コマンドは、 tunnel_id に対応づけられたトンネルを削除できます( tunnel_id は、 show vpdn コマンドで参照できます)。

clear vpdn group コマンドは、コンフィギュレーションからすべての vpdn group コマンドを削除します。 clear vpdn username コマンドは、コンフィギュレーションからすべての vpdn username コマンドを削除します。 clear vpdn コマンドは、コンフィギュレーションからすべての vpdn コマンドを削除します。

PPTP トラフィックのトラブルシューティングは、 debug ppp コマンドおよび debug vpdn コマンドを使用して実行できます。

PPTP のコンフィギュレーション例

例8-3では、Windows PPTP クライアントに、認証なしにダイアルインを許可する簡単な設定例を示します(ただし、この例は推奨しません)。 vpdn コマンドとコマンド構文の例と説明の詳細については、『 Cisco PIX Firewall Command Reference 』の vpdn コマンドのページを参照してください。

例8-3 PPTP のコンフィギュレーション例

ip local pool my-addr-pool 10.1.1.1-10.1.1.254
vpdn group 1 accept dialin pptp
vpdn group 1 client configuration address local my-addr-pool
vpdn enable outside
static (inside, outside) 209.165.201.2 192.168.0.2 netmask 255.255.255.255
access-list acl_out permit tcp any host 209.165.201.2 eq telnet
access-group acl_out in interface outside
 

ip local pool コマンドは、VPN クライアントがネットワークにログインするときに、各 VPN クライアントに割り当てられる IP アドレスを指定します。Windows クライアントは、 static コマンド文のグローバル IP アドレス 209.165.201.2 を通して、ホスト 192.168.0.2 に Telnet 接続できます。 access-list コマンド文によって、そのホストに対する Telnet アクセスが許可されます。