Cisco VPN Client ユーザ ガイド Mac OS X 版
接続エントリの設定
接続エントリの設定
発行日;2012/01/09 | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

接続エントリの設定

接続エントリの作成

認証方法

グループ認証

証明書の認証

転送パラメータ

トンネリングの有効化

透過的トンネリング モード

ローカル LAN アクセスの許可

ピアの応答タイムアウト

バックアップ サーバー

接続エントリの設定

接続エントリとは、特定のプライベート ネットワークを識別し、そのネットワークに接続するために VPN Client によって使用される一連のパラメータです。

接続エントリ パラメータには、接続の名前と説明、VPN 装置(接続を提供するリモート サーバ)の名前またはアドレス、および VPN 装置で有効なユーザを識別するための認証情報などがあります。

この章では、VPN Client の接続エントリのパラメータの設定方法を説明します。

接続エントリの作成

VPN Client を使用するには、少なくとも 1 つの接続エントリを作成する必要があります。接続エントリには、次の情報を指定します。

ネットワークへのアクセスを提供する VPN 装置。

事前共有キー:ユーザが所属する IPSec グループ。IPSec グループごとに、ユーザがプライベート ネットワークにアクセスして使用するための特権が割り当てられます。たとえば、アクセス可能な時間の長さ、同時ログイン数、ユーザ認証方式、および VPN Client で使用される IPSec アルゴリズムを指定します。

証明書:ユーザが認証に使用する証明書の名前。

VPN Client の動作、およびリモート ネットワークへの接続を設定するオプションのパラメータ。

VPN Client を使用して複数のネットワークに接続する(同時にではなく)場合、またはユーザが複数の IPSec グループに属する場合は、複数の接続エントリを作成できます。

接続エントリを作成する手順は、次のとおりです。


ステップ 1 VPN Client アプリケーションを起動します。VPN Client ウィンドウが表示されます(図 4-1)。

図 4-1 VPN Client ウィンドウ

.

ステップ 2 Connection Entries タブをクリックします。

ステップ 3 VPN Client ウィンドウの上部で New をクリックします。Create New VPN Connection Entry ダイアログボックスが表示されます(図 4-2)。

図 4-2 新しい VPN 接続エントリの作成

 

ステップ 4 一意の接続エントリ名を入力します。接続を識別するために、任意の名前を使用できます。この名前には、スペースを含めることができ、大文字と小文字の区別はありません。

ステップ 5 この接続の説明を入力します。このフィールドは省略可能ですが、入力すれば、後で接続を識別しやすくなります。たとえば、Connection to Engineering remote server のような説明を入力します。

ステップ 6 プライベート ネットワークへのアクセスを提供するリモート VPN 装置のホスト名または IP アドレスを入力します。

ステップ 7 Authentication タブで、認証方法を選択します。ユーザは、VPN 装置に設定されているグループの一員として、または ID デジタル証明書を入力して接続できます。詳細については、「認証方法」を参照してください。

ステップ 8 Transport タブで、転送パラメータを設定します。詳細については、「転送パラメータ」を参照してください。

ステップ 9 Backup Servers タブで、現在のバックアップ サーバのリストを表示するか、バックアップ サーバを手作業で追加します。詳細については、「バックアップ サーバー」を参照してください。

ステップ 10 このダイアログボックスの下部にある Erase User Password ボタンを使用すると、VPN Client ワークステーションに保存されているユーザ パスワードを消去できます。そうすると、接続を確立するたびにパスワードの入力が求められるようになります。

ステップ 11 Save をクリックします。Connection Entry ダイアログボックスが閉じ、Connection Entries タブに戻ります。


 

認証方法

VPN 装置に設定されているグループの一員として認証するか、または ID デジタル証明書を提示して認証するかを接続エントリで設定できます。接続エントリの認証方法を選択するには、Connection Entry Settings ダイアログボックスの Authentication タブを前面に表示する必要があります。

グループ認証

この接続エントリでグループ認証を使用するには、次の手順を実行します。

グループ認証を設定する手順は、次のとおりです。


ステップ 1 Authentication タブで、Group Authentication オプション ボタンをクリックします(図 4-3)。

図 4-3 グループ認証

 

ステップ 2 所属する IPSec グループの名前を入力します。

ステップ 3 IPSec グループのパスワードを入力します。このフィールドには、アスタリスクしか表示されません。

ステップ 4 パスワードを確認のため再入力します。

ステップ 5 Save をクリックしますConnection Entry ダイアログボックスが閉じ、Connection Entries タブに戻ります。


 

証明書の認

この接続エントリで認証にデジタル証明書を使用するには、次の手順を実行します。

VPN Client で使用するデジタル証明書を取得するには、公開キー インフラストラクチャ(KPI)に登録するか、ファイルから証明書をインポートします。

この接続エントリでデジタル証明書を使用するよう設定するための手順は、次のとおりです。


ステップ 1 Authentication タブで、Certificate Authentication オプション ボタンをクリックします(図 4-4)。

図 4-4 証明書認証

 

ステップ 2 Name ドロップダウン メニューから証明書を選択します。

Name フィールドに No Certificates Installed と表示される場合には、この機能を使用する前に、証明書を登録またはインポートする必要があります。詳細については、「証明書の登録」または「証明書のインポート」を参照してください。

ステップ 3 CA の証明書チェーンを送信するには、Send CA Certificate Chain チェックボックスにチェックマークを付けます。デフォルトでは、このパラメータは無効になっています。

CA 証明書チェーンでは、すべての CA 証明書がルート証明書を頂点とした証明書の階層に含まれています。各証明書を識別するためには、CA 証明書チェーンが VPN Client にインストールされている必要があります。この機能により、ピア VPN Concentrator は、同じルート証明書を与えられた VPN Client の ID 証明書を、まったく同じ下位の CA 証明書が実際にインストールされていなくても信用できるようになります。

次に、証明書チェーンの例を示します。

VPN Client では、チェーンは次のような証明書の階層を形成しています。

a. ルート証明書

b. CA 証明書 1

c. CA 証明書 2

d. ID 証明書

VPN Concentrator では、チェーンは次のような証明書の階層を形成しています。

a. ルート証明書

b. CA 証明書

c. ID 証明書

ID 証明書は異なる CA 証明書により発行されますが、VPN 装置は VPN Client の ID 証明書を信用できます。その理由は、VPN Client PC 上にインストールされた証明書チェーンを VPN 装置が受け取っているからです。

この機能は、中間の CA 証明書をピア上にインストールする必要がないので、柔軟性を備えています。

ステップ 4 Save をクリックしますConnection Entry ダイアログボックスが閉じ、Connection Entries タブに戻ります。


 

転送パラメータ

このセクションでは、ユーザが設定できる接続エントリの転送パラメータについて説明します。

次の転送パラメータを設定できます。

「トンネリングの有効化」

「透過的トンネリング モード」

「ローカル LAN アクセスの許可」

「ピアの応答タイムアウト」

転送パラメータを設定する手順は、次のとおりです。


ステップ 1 VPN Client アプリケーションを起動します。

ステップ 2 接続エントリを選択します。

ステップ 3 VPN Client ウィンドウの上部で Modify をクリックするか、VPN Client Properties ダイアログボックスを表示します。

ステップ 4 Transport タブ(図 4-5)をクリックして、この接続エントリに現在設定されている転送パラメータを表示します。

図 4-5 転送の設定

 

ステップ 5 転送の設定を選択します。転送の設定の詳細については、以降の各セクションを参照してください。

ステップ 6 Save をクリックしますVPN Client Properties ダイアログボックスが閉じ、Connection Entries タブに戻ります。


 

トンネリングの有効化

転送トンネリングでは、ファイアウォールとして機能するルーターを介した、VPN Client とセキュア ゲートウェイ間のセキュアな転送が可能です。ルーターは、Network Address Translation(NAT)用または Port Address Translations(PAT)用に設定することもできます。

転送トンネリングでは、Protocol 50(ESP)のトラフィックは UDP パケット内にカプセル化されます。IKE(UDP 500)および Protocol 50 のトラフィックはどちらも TCP パケットにカプセル化されてから、NAT または PAT 装置、あるいはファイアウォールを経由して送信されます。透過的トンネリングのための最も一般的なアプリケーションは、PAT を実行するホーム ルータの背後で使用されています。

すべての装置が、その背後の複数の同時接続をサポートするわけではありません。一部の装置は、追加のセッションを固有のソース ポートにマッピングできません。この制限が適用されるかどうかは、ご使用の装置のベンダーに問い合わせてください。一部のベンダーは、Protocol 50(ESP)PAT をサポートしています。これがサポートされている場合は、透過的トンネリングを有効にする必要はありません。

透過的トンネリングを使用するには、透過的トンネリングをサポートするように Cisco VPN 装置内の IPSec グループを設定する必要があります。

透過的トンネリングは、デフォルトで有効になっています。このパラメータを無効にするには、チェック ボックスのチェックマークを外してください。ただし、このパラメータは有効にしておくようにお勧めします。

透過的トンネリング モード

選択する透過的トンネリング モードは、プライベート ネットワークへの接続を提供する VPN 装置で使用されているモードと一致している必要があります。

デフォルト モードの IPSec over UDP(NAT/PAT)を選択した場合には、ポート番号はネゴシエートされます。

TCP を選択した場合には、TCP port フィールドに TCP のポート番号を入力する必要があります。このポート番号は、VPN 装置上で設定されたポート番号と一致している必要があります。デフォルトのポート番号は、10000 です。


) PAT 装置では、どちらのモードも適切に動作します。複数の同時接続の場合は、TCP を使用すると動作状態が良くなることがあります。さらにエクストラネット環境では、TCP モードが望まれます。UDP は、ステートフルなファイアウォールでは動作しません。UDP では TCP を使用してください。


ローカル LAN アクセスの許可

Allow Local LAN Access パラメータは、ユーザが、セキュア ゲートウェイを通じて中央サイトの VPN 装置に接続しているときに、ローカル LAN 上のリソースにアクセスできるようにします。

このパラメータを有効にすると、次のことが可能になります。

接続している間に、プリンタ、ファクス、共有ファイル、その他のシステムなどのローカル リソースにアクセスできます。

最大 10 のネットワークにアクセスできます。ユーザがアクセスできる VPN Client 側のネットワークのリストは、中央サイトのネットワーク管理者によって設定されます。

中央サイトに接続しているときは、ユーザのシステムからのすべてのトラフィックは、IPSec トンネルを通じて伝送されます。例外は、ネットワーク リストによって、IPSec を通じる送信から除外されているネットワークに送信されるトラフィックです。

VPN Client で有効になっており、中央サイトの VPN 装置で許可されている場合は、使用できるローカル LAN のリストを確認できます。そのためには、Status メニューから Statistics を選択し、Route Details タブをクリックします。詳細は、「Route Details」を参照してください。

このパラメータが無効のときは、ユーザのクライアント システムからのすべてのトラフィックは、IPSec 接続を通じて、セキュア ゲートウェイに送信されます。

使用しているローカル LAN が安全でないときは、ローカル LAN アクセスを無効にする必要があります。たとえば、ホテルや空港でローカル LAN を使用しているときは、この機能を無効にします。

この機能を有効にするには、VPN Client の Allow Local LAN Access チェック ボックスにチェックマークを付けます。接続先の VPN 装置でもこの機能を有効にする必要があります。

ピアの応答タイムアウト

VPN Client は、Dead Peer Detection(DPD)と呼ばれるキープアライブ メカニズムを使用して、IPSec トンネルの相手側にある VPN 装置が使用可能であるかどうかチェックします。ネットワークが通常よりもビジーであったり、信頼性が低いときは、ピアがアクティブでなくなったと見なされるまでの待機時間(秒数)を必要に応じて増やさなければなりません。接続を終了するまでに待機するデフォルトの秒数は、90 秒です。設定可能な最小秒数は 30 秒、最大秒数は 480 秒です。

設定値を調整するには、 Peer response timeout フィールドに秒数を入力してください。

VPN Client は、Peer response timeout 値によって指定された秒数が経過するまで、5 秒ごとに DPD 要求を送信し続けます。

バックアップ サーバー

接続先のプライベート ネットワークには、プライマリ サーバが使用できなくなった場合に備えて 1 つまたは複数のバックアップ VPN 装置(サーバ)が設置されていることがあります。使用できるバックアップ サーバのリストは、接続の確立時に VPN Client にプッシュされます。あるいは、バックアップ サーバを手作業でリストに追加できます。

既存のバックアップ サーバのリストは、各接続エントリの Backup Servers タブにあります。バックアップ サーバに関する情報については、ネットワーク管理者にお問い合わせください。

バックアップ サーバを使用するには、このパラメータを有効にする必要があります。

バックアップ サーバを使用可能にする手順は、次のとおりです。


ステップ 1 VPN Client アプリケーションを起動します。

ステップ 2 接続エントリを選択します。

ステップ 3 VPN Client ウィンドウの上部で Modify をクリックします。VPN Client Properties ダイアログボックスが表示されます。

ステップ 4 Backup Servers タブをクリックします(図 4-6)。

図 4-6 Backup Servers タブ

 

ステップ 5 Enable Backup Servers チェック ボックスをにチェックマークを付けます。デフォルトでは、このパラメータは有効になっていません。使用可能なバックアップ サーバのリストが表示されます。バックアップ サーバは、リスト内の順序で使用されます。

ステップ 6 バックアップ サーバの使用順序を変更するには、バックアップ サーバを選択し、矢印ボタンを使用してリスト内で上下に移動します。

ステップ 7 Save をクリックしますVPN Client Properties ダイアログボックスが閉じ、Connection Entries タブに戻ります。


 

リストにバックアップ サーバが 1 つも表示されていない場合、および手作業でサーバをリストに追加する場合は、次の手順を実行します。


ステップ 1 Backup Servers タブで、Add ボタンをクリックします。VPN Client ダイアログボックスが表示されます(図 4-7)。

図 4-7 バックアップ サーバの追加

 

ステップ 2 追加するバックアップ サーバのホスト名、または IP アドレスを入力します。

ステップ 3 OK をクリックします。使用用可能なバックアップ サーバのリストにバックアップ サーバが追加されます。

バックアップ サーバを削除するには、Backup Server タブに戻り、サーバをリストから選択し、Remove をクリックします。