Cisco PIX Firewall/VPN コンフィギュレーション ガイド
その他のリモート アクセス クライア ントの設定例
その他のリモート アクセス クライアントの設定例
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

その他のリモート アクセス クライアントの設定例

RSA Ace/Server と RSA SecurID における Xauth

用語解説

概要

PIX Firewall の設定

Cisco VPN Client Version 3.x を使用する SecurID

イネーブル状態

Next Tokencode モード

New PIN モード

Cisco VPN 3000 Client Version 2.5 を使用する SecurID

イネーブル状態

Next Tokencode モード

New PIN モード

Cisco Secure VPN Client Version 1.1 (3DES) を使用する SecurID

イネーブル状態

Next Tokencode モード

New PIN モード

転送モードで IPSec を使用した L2TP

L2TP の概要

IPSec 転送モードとトンネル モード

転送モードで IPSec を使用した L2TP の設定

IPSec および L2TP を使用した Windows 2000 クライアント

概要

PIX Firewall の設定

IPSec Debug のイネーブル化

追加情報の取得

Cisco VPN Client Version 1.1 の使用方法

PIX Firewall の設定

Cisco Secure VPN Client Version 1.1 の設定

サイトツーサイト VPN ピアに対する Xauth の例外の作成

サイトツーサイト VPN ピアに対する IKE Mode Config の例外の作成

その他のリモート アクセス クライアントの設定例

この付録では、さまざまなリモート アクセス クライアントおよびコンフィギュレーション オプションを指定して PIX Firewall を使用した場合の、さまざまな事例を説明します。ここでは、次の項目について説明します。

「RSA Ace/Server と RSA SecurID における Xauth」

「転送モードで IPSec を使用した L2TP」

「IPSec および L2TP を使用した Windows 2000 クライアント」

「Cisco VPN Client Version 1.1 の使用方法」

RSA Ace/Server と RSA SecurID における Xauth

ここでは、次の項目について説明します。

「用語解説」

「概要」

「PIX Firewall の設定」

「Cisco VPN Client Version 3.x を使用する SecurID」

「Cisco VPN 3000 Client Version 2.5 を使用する SecurID」

「Cisco Secure VPN Client Version 1.1 (3DES) を使用する SecurID」

用語解説

ACE/Server:RSA セキュリティから見た AAA サーバです。

ACE/Agent:ワークステーション、およびコミュニケーション サーバやファイアウォールなどのサードパーティ製の装置が ACE/Server のクライアントになることを可能にするソフトウェア プログラムです。

RSA SecurID:トークンと RSA ACE/Server を連動して使用する、強力な 2 要素認証を提供します。

トークン:通常 RSA SecurID 標準カード、Key Fob、トークンコードと呼ばれる値を表示する Pinpad Card などのハンドヘルド装置を指します。ユーザ パスワード、RSA SecurID スマート カード、およびソフトウェア トークンは、個別の特性を持つトークン タイプです。トークンは、RSA SecurID 認証システムの要素の 1 つです。もう 1 つの要素はユーザの PIN です。

トークンコード:トークンによって表示されるコード。トークンコードは、PIN と共に RSA SecurID 認証システムを構成します。

PIN:ユーザの個人識別番号。

2 要素認証:RSA ACE/Server システムで使用される認証方式で、ユーザは秘密の PIN(個人識別番号)、およびユーザに割り当てられた SecurID トークンで生成される現在のコードを入力する必要があります。

パスコード:パスコードは PIN とトークンコードから構成されます。

トークン モード:トークンの状態を表します。トークンの状態には、Enabled、Disabled、または New PIN モード、Next Tokencode モードがあります。

New PIN モード:サーバがトークンをこのモードにすると、ユーザは RSA SecurID で保護されたシステムにアクセスするために、新しい PIN を受け取るか作成することが求められます。

Next Tokencode モード:ユーザが一連の不正なパスコードを使用して認証を試みると、サーバはトークンをこのモードにして、ユーザが最終的に正しいコードを入力した後で、さらにユーザに別のトークンコードの入力をうながしてからアクセスを許可します。

Pinpad:SecurID ハードウェア トークンで、Pinpad を通じての PIN の入力を可能にし、LCD ディスプレイにトークンコードを表示します。

Key Fob:別の形式の SecurID ハードウェア トークンで、現在のトークンコードを表示します。

ソフトウェア トークン:ソフトウェア トークンは Pinpad に類似したもので、ユーザのマシンにインストールできます。

概要

RSA Ace/Server と RSA SecurID を組み合せると、PIX Firewall でサポートされている
Cisco VPN Client Version 3.x、Cisco VPN 3000 Client Version 2.5、および Cisco Secure VPN Client Version 1.1 に認証を提供できます。SecurID が提供するトークンベースの認証方式は、ソフトウェア トークン、Pinpad、または Key Fob の形式です。ユーザにはトークンが割り当てられ、トークンコードと呼ばれるトークンからの値を認証に使用します。PIN はトークンコードと共に、パスコードを取得するために使用されます。

トークンが使用できる各種のモードは次のとおりです。

Enabled

Next Tokencode モード

New PIN モード

PIN の長さとタイプはACE/Server のシステム パラメータで定義されており、いくつかのパラメータをユーザごとに設定することもできます。トークンが割り当てられると、イネーブル状態になり、New PIN モードになります。PIN の割り当ては事前に行うことができますが、RSA ACE/Server の設定で誰がその PIN を作成できるかを決定することもできます。PIN のオプションは次のとおりです。

User-created PINs allowed

User-created PINs required

これらのオプションの決定をユーザごとに行うには、ACE/Server マスタ データベース管理ツールで提供される Edit User パネルの該当するチェックボックスを選択します。

「User-created PINs allowed」オプションを選択すると、システムが PIN を生成しそれをユーザに与えるか、またはユーザが PIN を選択するかの選択肢が提供されます。

「User-created PINs required」オプションでは、ユーザが PIN を選択することが求められます。

PIX Firewall の設定

次に、VPN クライアントが PIX Firewall でトークンベースの Xauth を使用するために必要なコンフィギュレーションの例を示します。ここでは、セキュアな接続を確立するために、RSA ACE/Server と RSA SecurID が AAA サーバとして使用されます。


ステップ 1 クライアントが使用する IP アドレスのプールを作成します。

ip local pool mypool 3.3.48.100-3.3.48.200
 

ステップ 2 RADIUS サーバを作成します。

aaa-server partner-auth protocol radius
aaa-server partner-auth (inside) host 10.100.48.43 MYSECRET timeout 20
 

) ステップ 2 の aaa-server コマンドの中にある「partner-auth」は、キーワードであり、次の crypto map コマンドの中にあるキーワードと一致する必要があります。


ステップ 3 ISAKMP ポリシーを作成し、ハッシュ アルゴリズムを定義します。

crypto ipsec transform-set myset esp-des esp-sha-hmac
crypto dynamic-map mydynmap 10 set transform-set myset
crypto map newmap 10 ipsec-isakmp dynamic mydynmap
crypto map newmap client configuration address initiate
crypto map newmap client configuration address respond
crypto map newmap client token authentication partner-auth
 

) crypto map newmap client token authentication partner-auth コマンドの中にある「token」は、Cisco VPN Client Version 3.x、および Cisco Secure VPN Client Version 1.1 ではオプションです。


crypto map newmap interface outside
isakmp enable outside
isakmp key mysecretkey address 0.0.0.0 netmask 0.0.0.0
isakmp identity hostname
isakmp client configuration address-pool local mypool outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 86400
 

ステップ 4 Cisco VPN Client Version 3.x で次のコマンドを使用して、既存の IKE/ISAKMP ポリシーを変更するか、または要件に応じて別のポリシーを追加する必要があります。

isakmp policy policy number vpngroup 2
 

ステップ 5 Cisco VPN 3000 Client Version 2.5、および Cisco VPN Client Version 3.x についても、 vpngroup コマンド設定が必要です。

vpngroup Cisco address-pool mypool
vpngroup Cisco dns-server 10.100.48.44
vpngroup Cisco wins-server 10.100.48.45
vpngroup Cisco default-domain Cisco.com
vpngroup Cisco split-tunnel myaccesslist
vpngroup Cisco password mysecretkey
 


 

Cisco VPN Client Version 3.x を使用する SecurID

ここでは、3 つのトークン モードで Cisco VPN Client Version 3.x を使用する方法を説明します。次の項目について説明します。

「イネーブル状態」

「Next Tokencode モード」

「New PIN モード」

イネーブル状態

PIX Firewall への接続を Cisco VPN Client Version 3.0 を使用して確立する場合、ユーザはユーザ名とパスワードの入力を求められます。

Software Token ダイアログボックス、または Pinpad 上で PIN を入力し、パスワード入力用に表示されるボックスにパスワードを入力します(図 B-1参照)。

図 B-1 Software Token ダイアログボックス:Cisco VPN Client Version 3

 

Next Tokencode モード

ユーザが不正なパスワードを入力すると、トークンの状態は Next Tokencode モードに変わります。この場合、ユーザが次回接続を試みて正しいパスワードを最初の Software Token ダイアログボックスに入力すると、別の Software Token ダイアログボックスが表示され、ユーザは次のトークンコードの入力を求められます。

New PIN モード

このモードが表示されるのは、ユーザに最初にトークンが割り当てられ、PIN のユーザによる割り当てまたは作成が行われる前に接続する必要がある場合(ケース 1)です。または、何らかの理由で管理者がトークンを New PIN モードにした場合(ケース 2)にも、このモードが表示されます。

ケース 1:ユーザに PIN がまだないか、または PIN が消去されている場合。

この場合、ユーザ名とパスワードを要求するプロンプト内のトークン上に現在表示されている値を入力します。

ケース 2:ユーザに既存の PIN があり、その PIN を変更する必要がある場合。

この場合、PIN を Software Token ダイアログボックスまたは Pinpad 上に入力し、ユーザ名とパスワードを要求する User Authentication ダイアログボックスで、その結果パスワードとして取得される値を使用します。

どちらの場合にも、次のプロンプトで New PIN を入力する必要があります。ユーザの設定が User-created PIN allowed である場合、ユーザがシステムに PIN を生成させるには、y と入力します。この場合、システムは PIN を次のプロンプトでクライアントに送信します。n と入力すると、ユーザは PIN の選択を求められます。ユーザの設定が User-created PIN required である場合、プロンプトでユーザは PIN の選択を求められます。

次のプロンプトで、ユーザは新しい PIN を使用したパスワードを入力する必要があります。新たに作成した PIN をSoftware Token ダイアログボックスまたは Pinpad で入力し、その結果得られた値を使用します。

システムによって生成された PIN については、次の操作を実行します。

この時点では、y を入力する必要があります。サーバが PIN メッセージをユーザに送信します。新しい PIN を使用して次のトークンコードを入力します。

システムによって PIN を生成するかどうかが尋ねられたときに、ユーザが n と入力した場合、またはユーザによる PIN の作成が必要である場合に、ユーザは PIN を作成するか、または PIN の作成を求められます。

PIN を入力し、それがサーバで受け入れられると、別の Software Token ダイアログボックスが表示されます。

新しい PIN を使用して、次のトークンコードを Software Token ダイアログボックスに入力します。

Cisco VPN 3000 Client Version 2.5 を使用する SecurID

ここでは、3 つのトークン モードで Cisco VPN 3000 Client 2.5 を使用する方法を説明します。次の項目について説明します。

「イネーブル状態」

「Next Tokencode モード」

「New PIN モード」

イネーブル状態

PIX Firewall への接続を確立するときに、ユーザはユーザ名とパスコードの入力を求められます。クライアントはソフトウェア トークンが Windows NT システム上にインストールされていることを認識できるため(トークン ソフトウェアがインストールされている場合)、PIN を入力することによって、パスコードがクライアントのソフトウェア トークンによって自動的に取得され、PIX Firewall 経由で AAA サーバに送信されます。Pinpad、または Windows NT 以外のオペレーティング システムでは、プロンプトでユーザ名とパスコードの入力が求められます。PIN を Pinpad 上または Software Token ダイアログボックスに入力し、トークン上に表示されるパスコードを使用します(図 B-2を参照)。

図 B-2 Software Token ダイアログボックス:Cisco VPN 3000 Client Version 2.5

 

Next Tokencode モード

ユーザが誤ったパスコードまたは PIN を入力すると、トークンの状態は Next Tokencode モードに変わります。この場合、次回にユーザが接続を試みて正しいパスコードを最初のプロンプトに入力すると、別のプロンプトがユーザに次のトークンコードの入力を求めます。

New PIN モード

このモードが表示されるのは、ユーザに最初にトークンが割り当てられ、PIN のユーザによる割り当てまたは作成が行われる前に接続する必要がある場合(ケース 1)です。または、何らかの理由で管理者がトークンを New PIN モードにした場合(ケース 2)にも、このモードが表示されます。

ケース 1:ユーザに PIN がまだ割り当てられていないか、または PIN が消去されている場合。

この場合、SecurID メッセージ ボックスに現在表示されている値を入力します。

ケース 2:ユーザに既存の PIN があり、その PIN を変更する必要がある場合。

この場合、PIN を Software Token ダイアログボックスまたは Pinpad 上に入力し、ユーザ名とパスコードの入力を求められたときに、その結果パスコードとして取得される値を使用します。Windows NT オペレーティング システム上では、パスコードの代わりにユーザ名と PIN を入力します。

どちらの場合にも、次のプロンプトで新しい PIN を入力する必要があります。ユーザの設定が
User-created PIN required である場合、プロンプトでユーザは PIN の選択を求められます。

その後のプロンプトでは、ユーザは新しい PIN を使用したパスコードを入力する必要があります。新たに作成した PIN を Software Token ダイアログボックスまたは Pinpad で入力し、その結果得られた値を使用します。Windows NT オペレーティング システム上では、新しい PIN を SecurID New Pin Mode ダイアログボックスに入力します。


) Cisco VPN 3000 Client 上で機能するのは、User-created PIN required オプションだけです。


次のプロンプトでは、新しい PIN を使用した次のトークンコードを入力する必要があります。

Cisco Secure VPN Client Version 1.1 (3DES) を使用する SecurID

ここでは、3 つのトークン モードで Cisco Secure VPN Client Version 1.1 を使用する方法を説明します。次の項目について説明します。

「イネーブル状態」

「Next Tokencode モード」

「New PIN モード」

イネーブル状態

PIX Firewall への接続を Cisco Secure VPN Client Version 1.1 を使用して確立するときに、ユーザはユーザ名とパスワードの入力を求められます。Software Token ダイアログボックス、または Pinpad 上で PIN を入力し、パスワード 入力用に表示されるボックスにパスワードを入力します(図 B-3参照)。

図 B-3 Software Token ダイアログボックス:Cisco VPN Client Version 1.1

 

Next Tokencode モード

ユーザが誤ったパスコードを入力すると、トークンの状態は Next Tokencode モードに変わります。この場合、ユーザが次回接続を試みて正しいパスワードを最初の Software Token ダイアログボックスに入力すると、別の Software Token ダイアログボックスが表示され、ユーザは次のトークンコードの入力を求められます。

New PIN モード

このモードは、ユーザに最初にトークンが割り当てられ、PIN のユーザによる割り当てまたは作成が行われる前に接続する必要がある場合(ケース 1)に表示されます。または、何らかの理由で管理者がトークンを New PIN モードにした場合(ケース 2)にも、このモードが表示されます。

ケース 1:ユーザに PIN がまだ割り当てられていないか、または PIN が消去されている場合。

この場合、ユーザ名とパスワードを要求する Software Token ダイアログボックスに現在表示されている値を入力します。

ケース 2:ユーザに既存の PIN があり、その PIN を変更する必要がある場合。

この場合、PIN を Software Token ダイアログボックスまたは Pinpad 上に入力し、その結果パスワードとして取得される値を使用します。

どちらの場合にも、次のプロンプトで新しい PIN を入力する必要があります。ユーザの設定が
User-created PIN allowed である場合、ユーザがシステムに PIN を生成させるには、y と入力します。システムは PIN を次のプロンプトでクライアントに送信します。n と入力すると、ユーザは PIN の選択を求められます。ユーザの設定が User-created PIN required である場合、プロンプトでユーザは PIN の選択を求められます。

次のプロンプトで、ユーザは新しい PIN を使用したパスワードを入力する必要があります。新たに作成した PIN を Software Token ダイアログボックスまたは Pinpad で入力し、その結果得られた値を使用します。

1. システムによって生成される PIN については、次の操作を実行します。

y を入力すると PIN が送信され、ユーザは PIN を使用して次のトークンコードを入力するように求められます。

2. ユーザが PIN を作成するか、ユーザによって作成された PIN が要求されます。Generate PIN ダイアログボックスで n と入力するか、ユーザに PIN の生成が求められる場合、User
Authentication for New Connection ダイアログボックスが表示されます。

ユーザが PIN を入力し、それがサーバで受け入れられると、次の Software Token ダイアログボックスが表示されます。新しい PIN を使用して次のトークンコードを入力します。

転送モードで IPSec を使用した L2TP

ここでは、転送モードで IPSec を使用して L2TP をイネーブルにする方法について説明します。次の項目について説明します。

「L2TP の概要」

「IPSec 転送モードとトンネル モード」

「転送モードで IPSec を使用した L2TP の設定」

L2TP の設定例については、RSA Ace/Server と RSA SecurID における Xauthを参照してください。

L2TP の概要

レイヤ 2 トンネリング プロトコル(L2TP)は VPN トンネリング プロトコルであり、これによってリモート クライアントは、パブリック IP ネットワークを使用して、プライベート コーポレート ネットワーク サーバとセキュアに通信できます。L2TP はデータのトンネリングに、PPP over UDP(ポート 1701)を使用します。L2TP プロトコルは、クライアント サーバ モデルに基づいています。この機能は、L2TP Network Server(LNS)、および L2TP Access Concentrator(LAC)との間で分担されています。LNS は一般にルータなどのネットワーク ゲートウェイ上で動作しますが、これに対して LAC はダイヤルアップのネットワーク アクセス サーバ(NAS)、または Microsoft Windows 2000 などに L2TP クライアントが組み込まれた PC などの場合があります。

L2TP/IPSec がサポートされている PIX Firewall では、単一のプラットフォームで IPSec VPN とPIX Firewall のサービスと共に、L2TP VPN ソリューションを展開し管理する機能を提供します。L2TP を実装するには、次の手順を実行します。

1. IPSec 転送モードを設定して、L2TP を使用する IPSec をイネーブルにします。

2. 仮想プライベート ダイアルアップ ネットワーク(VPDN)グループを使用して L2TP を設定します。

リモート アクセスのシナリオで IPSec を使用する L2TP を設定する主な利点は、リモート ユーザがゲートウェイまたは専用回線なしで、パブリック IP ネットワークを通る VPN にアクセスでき、実質的に POTS があるすべての場所からリモート アクセスが可能になることです。もう 1 つの利点として、VPN アクセスのための唯一のクライアント要件が Microsoft Dial-Up Networking(DUN)機能付きの Windows 2000 の使用であることが挙げられます。Cisco VPN Client ソフトウェアなどの追加のクライアント ソフトウェアは不要です。


) PIX Firewall では Windows NT L2TP クライアントを使用した Xauth をサポートしません。このクライアントを使用する必要がある場合は、Xauth をディセーブルにしてください。Xauth を使用する必要がある場合は、Windows 2000 L2TP クライアントを使用してください。


IPSec を使用する L2TP の設定では、事前共有キーまたは RSA シグニチャ方式を使用する証明書、およびダイナミック(スタティックと対照的な)暗号マップの使用がサポートされます。この作業のサマリーは、事前共有キーまたは RSA シグニチャの設定だけでなく、IKE の設定を完了していることを前提としています。事前共有キー、RSA、およびダイナミック暗号マップの設定手順については、
http://cco-sj-2.cisco.com/japanese/warp/public/3/jp/service/manual_j/sec/pix/ipsug/chapter10/ExVPNcl.html - 36421RSA Ace/Server と RSA SecurID における Xauthを参照してください。


) PIX Firewall Version 6.0 で IPSec を使用する L2TP を導入することで、L2TP LNS と Windows 2000 L2TP クライアントとの相互運用が可能になります。シスコやほかのベンダー製の LAC との相互運用性は、PIX Firewall Version 6.0 ではサポートされていません。PIX Firewall 上でサポートされているのは、IPSec を使用する L2TP だけで、ネイティブの L2TP 自体はサポートされていません。

PIX Firewall IPSec ライフタイムが 300 秒未満に設定されると、Windows 2000 クライアントではこの設定を無視してライフタイムに 300 秒を指定します。これは、Windows 2000 クライアントでサポートする IPSec 最小ライフタイムが 300 秒であるためです。


IPSec 転送モードとトンネル モード

IPSec の設定は、トンネル モードまたは転送モードで行うことができます。IPSec トンネルモードでは、元の IP データグラム全体が暗号化され、新しい IP パケットでのペイロードになります。このモードを使用すると、ルータなどのネットワーク装置に IPSec プロキシとしての役割を持たせることができます。つまり、ルータがホストの代わりに暗号化を実行するということです。発信元ルータがパケットを暗号化し、IPSec トンネルに沿って転送します。宛先ルータが元の IP データグラムを解読し、宛先システムに転送します。トンネル モードの主な利点は、IPSec の利点を利用するために、エンド システムを変更する必要がないことです。トンネル モードはトラフィック分析からも保護します。トンネル モードで攻撃者が判別できるのはトンネルの終端だけであるため、たとえトンネル転送されたパケットの真の発信元および宛先がトンネルの終端と同じである場合でも、攻撃者はそれらを判別できません。

IPSec 転送モードで暗号化されるのは IP ペイロードだけで、元の IP ヘッダーはそのまま保たれます(図 B-4を参照)。このモードには、各パケットへの追加バイト数が少ないという利点があります。このモードを使用すると、パブリック ネットワーク上の装置はパケットの最終的な発信元と宛先を知ることができます。この機能によって、IP ヘッダーの情報に基づいて中間ネットワーク上で特別な処理(たとえば、QoS)をイネーブルにできます。ただし、レイヤ 4 のヘッダーは暗号化されるため、パケットの検査は制限されます。また、平文テキストで IP ヘッダーを転送する転送モードでは、攻撃者はいくつかのトラフィック分析を実行できます。

図 B-4 IPSec のトンネル モードと転送モード

 

Windows 2000 は、L2TP データのトンネリングに IPSec 転送モードを使用します。転送モードでは、Windows 2000 クライアントから L2TP IPSec 転送モード データを受信するように PIX Firewall を設定する必要があります。

転送モードで IPSec を使用した L2TP の設定

転送モードで IPSec を使用して L2TP を設定するには、次の手順を実行します。


ステップ 1 IPSec がトンネル モードでなく転送モードを使用するように指定します。

crypto ipsec transform-set trans_name mode transport
 

ステップ 2 L2TP トラフィックがコンジットおよびアクセス リストのチェックをバイパスできるようにします。

sysopt connection permit-ipsec
sysopt connection permit-l2tp
 

ステップ 3 PIX Firewall に L2TP ダイヤルイン要求を受け入れるように指示します。

vpdn group group_name accept dial-in l2tp
 

ステップ 4 PPP プロトコル、および認証プロトコル(PAP、CHAP、またはMS-CHAP)を指定します。

vpdn group group_name ppp authentication pap/chap/mschap
 

ステップ 5 IP アドレスをクライアントに割り当てるために使用されるローカル アドレス プールを指定します。

vpdn group group_name client configuration address local address_pool_name
 

ステップ 6 (オプション)PIX Firewallに DNS サーバの IP アドレスをクライアントに送信するように指示します。

vpdn group group_name client configuration dns dns_server_ip1 dns_server_ ip2
 

ステップ 7 (オプション)PIX Firewallに WINS サーバの IP アドレスをクライアントに送信するように指示します。

vpdn group group_name client configuration wins wins_server_ip1 wins_server_ip2
 

ステップ 8 PIX Firewall のローカル ユーザ名/パスワード データベース を使用して認証を指定します。aaa に設定されている場合は、AAA サーバを使用して認証します。

vpdn group group_name client authentication aaa aaa_server_tag
or
vpdn group group_name client authentication local
 

ステップ 9 (オプション)L2TP(およびPPTP)セッション用の AAA アカウンティング開始レコード、および停止レコードを生成します。

vpdn group group_name client accounting aaa_server_tag
 

ステップ 10 ローカル認証を使用している場合、次のコマンドでユーザ名/パスワード エントリを指定します。

vpdn username username password password
 

ステップ 11 (オプション)L2TP キープアライブ/ハロー タイムアウト値を指定します。

vpdn group_name l2tp tunnel hello hello timeout
 

デフォルトのタイムアウト値は 60 で、下限と上限はそれぞれ 10 と 300 です。

ステップ 12 PIX Firewall インターフェイス上の vpdn 機能をイネーブルにします。

vpdn enable ifname
 


 

IPSec および L2TP を使用した Windows 2000 クライアント

このセクションでは、Windows 2000 クライアントと相互運用できるように PIX Firewall を設定する方法を、例を挙げて説明します。次の項目について説明します。

「概要」

「PIX Firewall の設定」

「IPSec Debug のイネーブル化」

「追加情報の取得」


) Cisco VPN Client Version 3.x または Cisco VPN 3000 Client Version 2.5 がインストールされている場合、PIX Firewall は、Windows 2000 クライアントを使用した L2TP/IPSec トンネルの確立は行いません。この問題に対処するには、Windows 2000 の Services パネルで「Cisco Systems, Inc.VPN Service」をディセーブルにします。Services パネルを開くには、Start > Programs > Administrative Tools > Services を選択します。次に、Services パネルから「IPSec Policy Agent Service」を再起動し、マシンをリスタートします。


概要

L2TP を使用した IPSec の使用方法の例を示します。この例では、IPSec を転送モードに設定する必要があります。コマンド リファレンスの詳細については、『 Cisco PIX Firewall Command Reference 』を参照してください。


) 認証方式として RSA シグニチャ、または事前共有キーを使用するように PIX Firewall を設定する方法については、『Cisco PIX Firewall Command Reference』の isakmp コマンドのページを参照してください。CA から RSA シグニチャ認証用の証明書を取得する方法については、「IPSec と認証局の設定」 認証局の使用を参照してください。


PIX Firewall の設定

この例では、PIX Firewall は PAP と AAA 認証を使用します。ステップ 23 で sysopt connection permit-l2tp オプションが設定されているため、conduit コマンドは含まれません。このコマンドは L2TP トラフィックも許可します。

Windows 2000 クライアントと相互運用できるように PIX Firewall を設定するには、次の手順を実行します。


ステップ 1 AAA 関連のパラメータを定義します。

aaa-server radius protocol radius
aaa-server partnerauth protocol radius
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
 

) ステップ 2 ~ 10 では、ISAKMP ネゴシエーションのための認証方式として RSA シグニチャを使用します。認証方式として事前共有キーを使用する場合は、ステップ 2 ~ 10 をスキップし、次のように設定します。isakmp my secretkey
address 0.0.0.0 netmask 0.0.0.0
および isakmp policy 1 authentication pre-shareÅB


ステップ 2 ホスト名を定義します。

hostname SanJose
 

ステップ 3 ドメイン名を定義します。

domain-name example.com
 

ステップ 4 PIX Firewall RSA キー ペアを生成します。

ca generate rsa key 512
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 5 CA を宣言します。

ca identity abcd 209.165.200.228 209.165.200.228
 

この CA サーバが LDAP を使用する場合は、2 番目のアドレスを設定します。このコマンドはコンフィギュレーションに格納されます。

ステップ 6 PIX Firewall と CA 間の通信パラメータを設定します。

ca configure abcd ra 1 20 crloptional
 

このコマンドはコンフィギュレーションに格納されます。 1 はリトライ間隔、 20 はリトライ回数で、 crloptional オプションは CRL チェックをディセーブルにします。

ステップ 7 CA の公開キーと証明書を取得して、CA を認証します。

ca authenticate abcd
 

このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 8 PIX Firewallの RSA キー ペアに対する署名付き証明書を、CA に要求します。

ca enroll abcd cisco
 

証明書を交付する前に PIX Firewall を手作業で認証する必要があるため、このコマンドを入力する前に CA 管理者に連絡してください。

「cisco」はチャレンジ パスワードです。任意の文字列を使用できます。このコマンドはコマンドラインで入力し、コンフィギュレーションには保存されません。

ステップ 9 show ca certificate コマンドを使用して、登録プロセスが成功したことを確認します。

show ca certificate
 

ステップ 10 キーと証明書、および CA コマンド(示されているものを除く)を、フラッシュ メモリに保存します。

ca save all
write memory
 

ca コマンドをコンフィギュレーションに追加、あるいは変更または削除するときは必ず、ca save all コマンドを使用します。このコマンドは、コンフィギュレーションには保存されません。


ステップ 11 IKE ポリシーを設定します。

isakmp policy 1 authentication rsa-sig
isakmp policy 1 encryption des
isakmp policy 1 hash sha
isakmp policy 1 group 1
isakmp policy 1 lifetime 86400
 

) PIX Firewall 上での IKE の有効期限は、必ず Windows 2000 L2TP/IPSec クライアントと同じか、それ以上の有効期限にしてください。これを行わない場合、IKE ネゴシエーションは失敗します(CSCdt 48570)。


ステップ 12 ISAKMP 識別子を設定します。

isakmp identity hostname
 

ステップ 13 外部インターフェイス上の ISAKMP をイネーブルにします。

isakmp enable outside
 

ステップ 14 IPSec 保護を必要とする PIX Firewall ネットワーク(1 つ以上)を定義するアクセス リストを作成します。

access-list 90 permit ip 10.0.0.0 255.255.255.0 10.1.1.0 255.255.255.0
 

ステップ 15 アクセス リストを NAT 0 にバインドします。

nat (inside) 0 access-list 90
 

ステップ 16 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set basic esp-des esp-md5-hmac
crypto ipsec transform-set basic mode transport

 


) Windows 2000 L2TP/IPSec クライアントは IPSec 転送モードを使用するため、トランスフォーム セットで転送モードを選択する必要があります。


ステップ 17 ダイナミック暗号マップを作成し、このダイナミック暗号マップ エントリに許可するトランスフォーム セットを指定します。

crypto dynamic-map cisco 4 set transform-set basic
 

) このダイナミック暗号マップ エントリに対して許可するトランスフォーム セットを指定します。


ステップ 18 ダイナミック暗号マップをスタティック暗号マップ内に追加します。

crypto map partner-map 20 ipsec-isakmp dynamic cisco
 

ステップ 19 暗号マップを外部インターフェイスに適用します。

crypto map partner-map interface outside
 

ステップ 20 IP ローカル プールを設定します。

ip local pool dealer 10.1.1.1-10.1.1.254
 

ステップ 21 L2TP に対する VPDN グループを設定します。

vpdn group 1 accept dialin l2tp
vpdn group 1 ppp authentication pap
vpdn group 1 client configuration address local dealer
vpdn group 1 client configuration dns 10.0.0.15
vpdn group 1 client configuration wins 10.0.0.16
vpdn group 1 client authentication aaa partnerauth
 

) アカウンティングに使用される AAA サーバは、AAA 認証サーバと同一である必要はありません。


vpdn group 1 l2tp tunnel hello
 

ステップ 22 PIX Firewall の外部インターフェイス上の VPDN 機能をイネーブルにします。

vpdn enable outside
 

ステップ 23 PIX Firewall が L2TP トラフィックを暗黙的に許可し、コンジットおよびアクセス リストのチェックをバイパスできるように設定します。

sysopt connection permit-l2tp
 

ステップ 24 (オプション)AAA 認証が必要でない場合は、PIX Firewall 上でユーザ名とパスワードを設定することにより、ローカル認証を使用できます。

vpdn username user1 password test1
 

ステップ 25 次の debug コマンド(一部はコンソールでの使用のみ可能)がトラブルシューティングに使用できます。

debug cry isa
debug cry ipsec
debug cry ca
debug vpdn packet
debug vpdn event
debug vpdn error
debug ppp error
debug ppp negotiation
 

ステップ 26 トンネル コンフィギュレーションを確認および表示します。

show vpdn tunnel
 


 


) Cisco VPN Client Version 3.x または Cisco VPN 3000 Client Version 2.5 がインストールされている場合、PIX Firewall は、Windows 2000 を使用した L2TP/IPSec トンネルの確立は行いません。Windows 2000 の Services パネル(Start > Programs > Administrative Tools > Services を選択)で、Cisco VPN Client Version 3.x の場合は Cisco VPN Service をディセーブルにします。Cisco VPN 3000 Client Version 2.5 の場合は ANetIKE Service をディセーブルにします。次に、Services パネルから IPSec Policy Agent Service を再起動し、マシンを再度ブートします。


IPSec Debug のイネーブル化

次のレジストリを追加することで、IPSec デバッグ情報を Windows 2000 クライアントに追加できます。


ステップ 1 Windows 2000 のレジストリ エディタ REGEDIT を実行します。

ステップ 2 次のレジストリ エントリを探します。

MyComputer¥HKEY_LOCAL_MACHINE¥CurrentControlSet¥Services¥PolicyAgent

ステップ 3 oakley を入力して、キーを作成します。

ステップ 4 EnableLogging を入力して、DWORD を作成します。

ステップ 5 「EnableLogging」値を「1」に設定します。

ステップ 6 IPSec Policy Agent を停止し、もう一度起動します(Start > Programs > Administrative Tools > Services をクリック)。デバッグ ファイルは、「%windir%¥cdebug¥oakley.log」に格納されています。


 

追加情報の取得

各種トピックに関する追加情報は、www.microsoft.com で参照できます。

http://support.microsoft.com/support/kb/articles/Q240/2/62.ASP

事前共有キーによる認証を使用して L2TP/IPSec 接続を設定する方法

http://support.microsoft.com/support/kb/articles/Q253/4/98.ASP

証明書をインストールして IP Security(IPSec)を使用する方法

http://www.microsoft.com/windows2000/en/server/help/default.asp?url=/WINDOWS2000/en/server/help/sag_VPN_us26.htm

IPSec VPN 接続上での L2TP のために Windows 2000 Machine Certificate を使用する方法

http://www.microsoft.com/windows2000/techinfo/planning/security/ipsecsteps.asp#heading3

カスタム MMC コンソールを作成して、コンピュータに対する監査ポリシーをイネーブルにする方法

http://support.microsoft.com/support/kb/articles/Q259/3/35.ASP

Cisco VPN Client Version 1.1 の使用方法

このセクションの例では、PIX Firewall と Cisco Secure VPN Client Version 1.1 との間で IKE 認証を行うための、Xauth、IKE Mode Config、およびワイルドカード事前共有キーの使用方法を示します。

ここでは、次の項目について説明します。

「PIX Firewall の設定」

「Cisco Secure VPN Client Version 1.1 の設定」

図 B-5 に、ネットワークの例を示します。

図 B-5 VPN Client アクセス

 

PIX Firewall の設定

Cisco Secure VPN Client と相互運用できるように PIX Firewall を設定するには、次の手順を実行します。


ステップ 1 AAA 関連のパラメータを定義します。

aaa-server TACACS+ protocol tacacs+
aaa-server partnerauth protocol tacacs+
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
 

ステップ 2 IKE ポリシーを設定します。

isakmp enable outside
isakmp policy 8 encr 3des
isakmp policy 8 hash md5
isakmp policy 8 authentication pre-share
 

ステップ 3 ワイルドカード事前共有キーを設定します。

isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0
 

ステップ 4 VPN Client の仮想 IP アドレスを定義するアクセス リストを作成します。

access-list 80 permit ip host 10.0.0.14 host 192.168.15.1
access-list 80 permit ip host 10.0.0.14 host 192.168.15.2
access-list 80 permit ip host 10.0.0.14 host 192.168.15.3
access-list 80 permit ip host 10.0.0.14 host 192.168.15.4
access-list 80 permit ip host 10.0.0.14 host 192.168.15.5
 

ステップ 5 NAT 0 を設定します。

nat 0 access-list 80
 

ステップ 6 どのようにトラフィックを保護するかを定義する、トランスフォーム セットを設定します。

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
 

ステップ 7 ダイナミック暗号マップを作成します。このダイナミック暗号マップ エントリに許可するトランスフォーム セットを指定します。

crypto dynamic-map cisco 4 set transform-set strong-des
 

ステップ 8 ダイナミック暗号マップをスタティック暗号マップ内に追加します。

crypto map partner-map 20 ipsec-isakmp dynamic cisco
 

ステップ 9 暗号マップを外部インターフェイスに適用します。

crypto map partner-map interface outside
 

ステップ 10 Xauth をイネーブルにします。

crypto map partner-map client authentication partnerauth
 

ステップ 11 IKE Mode Config 関連のパラメータを設定します。

ip local pool dealer 192.168.15.1-192.168.15.5
isakmp client configuration address-pool local dealer outside
crypto map partner-map client configuration address initiate
 

ステップ 12 IPSec トラフィックを暗黙的に許可するように、PIX Firewall に指定します。

sysopt connection permit-ipsec
 


 

例B-1 に、PIX Firewall のコンフィギュレーション全体を示します。

例B-1 VPN Client と手動 IP アドレスによる PIX Firewall

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SanJose
domain-name example.com
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 24
no logging on
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 209.165.200.229 255.255.255.224
ip address inside 10.0.0.1 255.255.255.0
ip address dmz 192.168.101.1 255.255.255.0
no failover
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
arp timeout 14400
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-list 80 permit ip host 10.0.0.14 host 192.168.15.1
access-list 80 permit ip host 10.0.0.14 host 192.168.15.2
access-list 80 permit ip host 10.0.0.14 host 192.168.15.3
access-list 80 permit ip host 10.0.0.14 host 192.168.15.4
access-list 80 permit ip host 10.0.0.14 host 192.168.15.5
nat 0 access-list 80
global (outside) 1 209.165.200.45-209.165.200.50 netmask 255.255.255.224
route outside 0.0.0.0 0.0.0.0 209.165.200.227 1
timeout xlate 3:00:00 conn 1:00:00 half-closed 0:10:00 udp 0:02:00
timeout rpc 0:10:00 h323 0:05:00
timeout uauth 0:05:00 absolute
ip local pool dealer 192.168.15.1-192.168.15.5
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server partnerauth protocol tacacs+
aaa-server partnerauth (dmz) host 192.168.101.2 abcdef timeout 5
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
crypto map partner-map client configuration address initiate
isakmp client configuration address-pool local dealer outside
crypto ipsec transform-set strong-des esp-3des esp-sha-hmac
crypto dynamic-map cisco 4 set transform-set strong-des
crypto map partner-map 20 ipsec-isakmp dynamic cisco
crypto map partner-map client authentication partnerauth
crypto map partner-map interface outside
isakmp key cisco1234 address 0.0.0.0 netmask 0.0.0.0
isakmp enable outside
isakmp policy 8 authentication pre-share
isakmp policy 8 encryption 3des
isakmp policy 8 hash md5
sysopt connection permit-ipsec
telnet timeout 5
terminal width 80

Cisco Secure VPN Client Version 1.1 の設定

ここでは、PIX Firewall を使用する場合の Cisco Secure VPN Client の設定方法について説明します。最新情報については、『Release Notes for the Cisco Secure VPN Client Version 1.1』(または 1.1 以降)を参照してください。この項の手順を実行する前に、Cisco Secure VPN Client リリース ノートの説明のとおりに VPN クライアントをインストールしてください。Cisco Secure VPN Client リリース ノート のオンライン ドキュメントは、次の Web サイトで入手できます。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csvpnc/index.htm

次の手順に従って、Cisco Secure VPN Client Version 1.1 を設定します。


ステップ 1 Start > Programs > Cisco Secure VPN Client > Security Policy Editor を選択します。

ステップ 2 Options > Secure > Specified Connections を選択します。

ステップ 3 Network Security Policy ウィンドウで、Other Connection を選択し、右側のパネルで、Non-Secure を選択します。

ステップ 4 File > New Connection を選択します。New Connection の名前を変更します。ここでは、ToSanJose にします。

ステップ 5 Connection Security 下にある Secure をクリックします。

ステップ 6 Remote Party Identity and Addressing 下で、次のプリファレンスを右側のパネルに設定します。

a. ID Type:IP address をクリックします。

b. VPN Client がアクセスする PIX Firewall 装置の内部ネットワークにある内部ホストの IP アドレスを入力します。 10.0.0.14 を入力します。

c. Connect using Secure Gateway Tunnel をクリックします。

d. ID Type:IP address をクリックします。

e. PIX Firewall の外部インターフェイスの IP アドレスを入力します。 209.165.200.229 を入力します。

ステップ 7 Network Security Policy ウィンドウで、ToSanJose エントリの横にあるプラス記号をクリックして展開表示し、次に My Identity をクリックします。右側のパネルで次のプリファレンスを設定します。

a. Select Certificate:None をクリックします。

b. ID Type:IP address をクリックします。

c. Port:All をクリックします。

d. Local Network Interface:Any をクリックします。

e. Pre-Shared Key をクリックします。Pre-Shared Key ダイアログボックスが表示されたら、Enter Key をクリックして、キー ボックスを編集可能にします。 cisco1234 と入力し、 OK をクリックします。

ステップ 8 Network Security Policy ウィンドウで、Security Policy を展開表示して、右のパネルで次のプリファレンスを設定します。

a. Select Phase 1 Negotiation Mode 下で、Main Mode をクリックします。

b. Enable Replay Detection チェックボックスを選択します。

パネルのほかの値は、そのままにしておきます。

ステップ 9 Security Policy > Authentication (Phase 1) > Proposal 1 をクリックして、右側のパネルで次のプリファレンスを設定します。

a. Authentication Method:Pre-shared Key をクリックします。

b. Encrypt Alg:Triple DES をクリックします。

c. Hash Alg:MD5 をクリックします。

d. SA Life: Unspecified をクリックして、デフォルト値をそのまま使用します。

e. Key Group:Diffie-Hellman Group 1 をクリックします。

ステップ 10 Security Policy > Key Exchange (Phase 2) > Proposal 1 をクリックして、右側のパネルで次の値を選択します。

a. Encapsulation Protocol (ESP) チェックボックスを選択します。

b. Encryption Alg:Triple DES をクリックします。

c. Hash Alg:SHA-1 をクリックします。

d. Encapsulation:Tunnel をクリックします。

ステップ 11 File > Save Changes をクリックします。

これで VPN クライアントがアクティブになりました。


 

接続プロセスは、Windows タスクバーの SafeNet/Soft-PK アイコンを右クリックすると表示されます。タスクバーが変更されていない場合、このアイコンは、画面の右下部に表示されます。Log Viewer をクリックして、View Log 機能を表示します。

例B-2に一般的な View Log セッションの例を示します。

例B-2 View Log セッション

time_stamp ToSanJose - Deleting IKE SA
time_stamp ToSanJose - SENDING>>>>ISAKMP OAK QM *(HASH, SA, NON, ID, ID)
time_stamp ToSanJose - RECEIVED<<<ISAKMP OAK TRANS *(HASH. ATTR)
time_stamp ToSanJose - Received Private IP Address = 192.168.15.3
time_stamp ToSanJose - SENDING>>>>ISAKMP OAK TRANS *(HASH, ATTR)
time_stamp ToSanJose - RECEIVED<<<ISAKMP OAK QM *(HASH, SA, NON, ID, ID, NOTIFY:STATUS_RESP_LIFETIME)
time_stamp ToSanJose - SENDING>>>> ISAKMP OAK QM *(HASH)
time_stamp ToSanJose - Loading IPSec SA keys...
time_stamp

サイトツーサイト VPN ピアに対する Xauth の例外の作成

サイトツーサイト VPN ピアと VPN クライアント ピアの両方が同じインターフェイス上で終端となり、さらに Xauth 機能が設定されている場合、この機能にサイトツーサイト VPN ピア用の例外処理を行うよう PIX Firewall を設定します。この例外によって、PIX Firewall は、サイトツーサイト VPN ピアではユーザ名とパスワードを要求しなくなります。Xauth 機能に例外を認めるように設定するためのコマンドは、IKE ポリシー内で使用している認証方式によって異なります。

表 B-1 に注意事項をまとめます。

 

表 B-1 no-xauth の設定

IKE 認証方式
使用する no-xauth 関連コマンド

事前共有キー

isakmp key keystring address ip-address [ netmask ] [ no-xauth ] [ no-config-mode ]

詳細については、『 Cisco PIX Firewall Command Reference 』の isakmp コマンドのページを参照してください。

rsa シグニチャ

isakmp peer fqdn fqdn [ no-xauth ] [ no-config-mode ]

詳細については、『 Cisco PIX Firewall Command Reference 』の isakmp コマンドのページを参照してください。

サイトツーサイト VPN ピアに対する IKE Mode Config の例外の作成

サイトツーサイト VPN ピアと VPN クライアントの両方が同じインターフェイス上で終端となり、さらに IKE Mode Config 機能が設定されている場合、この機能にサイトツーサイト VPN ピア用の例外処理を行うよう PIX Firewall を設定します。この例外によって、PIX Firewall が、ダイナミック IP アドレス割り当てのために、ピアへ IP アドレスのダウンロードを試みることはありません。IKE Mode Config 機能をバイパスするために使用するコマンドは、IKE ポリシー内で使用している認証方式によって異なります。ガイドラインについては、 表 B-2 を参照してください。

 

表 B-2 no-config-mode の設定

IKE 認証方式
使用する no-config-mode 関連コマンド

事前共有キー

isakmp key keystring address ip-address [ netmask ] [no-xauth] [ no-config-mode ]

詳細については、『 Cisco PIX Firewall Command Reference 』の isakmp コマンドのページを参照してください。

rsa シグニチャ

isakmp peer fqdn fqdn [no-xauth] [no-config-mode ]

詳細については、『 Cisco PIX Firewall Command Reference 』の isakmp コマンドのページを参照してください。