このドキュメントでは、RV160およびRV260でVPN Setup Wizardを設定する方法について説明します。
テクノロジーが進化し、オフィス外で業務が行われることが多い。デバイスはモバイル性が高く、従業員は自宅や移動中に仕事をすることが多い。これにより、セキュリティの脆弱性が発生する可能性があります。バーチャルプライベートネットワーク(VPN)は、リモートワーカーをセキュアなネットワークに接続する優れた方法です。VPNを使用すると、リモートホストはオンサイトのセキュアなネットワークに接続されているかのように動作できます。
VPNは、インターネットのような安全性の低いネットワーク上で暗号化された接続を確立します。これにより、接続されたシステムに対して適切なレベルのセキュリティが確保されます。トンネルは、業界標準の暗号化および認証技術を使用して送信されるデータを保護することにより、データを安全に送信できるプライベートネットワークとして確立されます。リモートアクセスVPNは、通常、インターネットプロトコルセキュリティ(IPsec)またはセキュアソケットレイヤ(SSL)を使用して接続を保護します。
VPNは、ターゲットネットワークへのレイヤ2アクセスを提供します。これには、Point-to-Point Tunneling Protocol(PPTP)やレイヤ2トンネリングプロトコル(L2TP)などのトンネリングプロトコルが、ベースIPsec接続で実行されている必要があります。IPsec VPNは、ゲートウェイ間トンネルのサイト間VPNをサポートします。たとえば、ユーザは、企業サイトのルータに接続するようにブランチサイトでVPNトンネルを設定し、ブランチサイトが企業ネットワークに安全にアクセスできるようにします。IPsec VPNは、ホストとゲートウェイ間のトンネルに対するクライアントとサーバ間のVPNもサポートします。クライアントからサーバへのVPNは、自宅からVPNサーバを介してラップトップ/PCから企業ネットワークに接続する場合に便利です。
RV160シリーズルータは10トンネルをサポートし、RV260シリーズルータは20トンネルをサポートします。VPNセットアップウィザードは、サイト間IPsecトンネルのセキュアな接続を設定するときにユーザをガイドします。これにより、複雑でオプションのパラメータを回避して設定が簡素化されるため、どのユーザでもIPsecトンネルを迅速かつ効率的に設定できます。
・ RV160
・ RV260
・ 1.0.0.13
ステップ1:ローカルルータのWeb設定ページにログインします。
注:ローカルルータをルータA、リモートルータをルータBと呼びます。このドキュメントでは、2つのRV160を使用してVPNセットアップウィザードをデモンストレーションします。
ステップ2:[VPN] > [VPN Setup Wizard]に移動します。
ステップ3:[Getting Started]セクションで、[Enter a connection name]フィールドに接続名を入力します。接続名としてHomeOfficeに入力しました。
ステップ4:[Interface] フィールドで、RV260を使用している場合はドロップダウンリストからインターフェイスを選択します。RV160にはWANリンクしかないため、ドロップダウンリストからインターフェイスを選択できません。[次へ]をクリックして、[リモートルータの設定]セクションに進みます。
ステップ5:ドロップダウンリストから[リモート接続の種類]を選択します。[静的IP]または[FQDN (完全修飾ドメイン名)]を選択し、[リモートアドレス]フィールドに接続するゲートウェイのWAN IPアドレスまたはFQDNを入力します。この例では、[Static IP]が選択され、リモートルータのWAN IPアドレス(ルータB)が入力されています。次に、[次]をクリックして次のセクションに移動します。
ステップ6:[Local and Remote Network] セクションの[Local Traffic Selection] で、ドロップダウンリストから[Local IP (Subnet, Single, or Any)]を選択します。Subnetを選択した場合は、サブネットのIPアドレスとサブネットマスクを入力します。[単一]を選択した場合、IPアドレスを入力します。[Any]を選択した場合は、次の手順に進み、[Remote Traffic Selection]を設定します。
ステップ7:[Remote Traffic Selection] で、ドロップダウン・リストから[Remote IP] ([Subnet]、[Single]、[Any])を選択します。Subnetを選択した場合は、リモートルータ(ルータB)のサブネットIPアドレスとサブネットマスクを入力します。 [Single]を選択した場合、IPアドレスを入力します。次に、[次へ]をクリックし、[プロファイル]セクションを構成します。
注:[Local Traffic Selection]に[Any]を選択している場合は、[Remote Traffic Selection]に[Subnet]または[Single]を選択する必要があります。
ステップ8:[プロファイル]セクションで、ドロップダウンリストからIPsecプロファイルの名前を選択します。このデモンストレーションでは、new-profileがIPsecプロファイルとして選択されました。
ステップ9:IKEバージョンとしてIKEv1 (Internet Key Exchange Version 1)またはIKEv2 (Internet Key Exchange Version 2)を選択します。IKEは、Oakleyキー交換とSkemeキー交換をInternet Security Association and Key Management Protocol(ISAKMP)フレームワーク内に実装するハイブリッドプロトコルです。IKEは、IPsecピアの認証を提供し、IPsecキーをネゴシエートし、IPsecセキュリティアソシエーションをネゴシエートします。IKEv2は、キー交換に必要なパケット数が少なく、より多くの認証オプションをサポートしますが、IKEv1は共有キーと証明書ベースの認証のみを行うため、より効率的です。この例では、IKEv1がIKEバージョンとして選択されています。
注:デバイスがIKEv2をサポートしている場合は、IKEv2を使用することをお勧めします。デバイスがIKEv2をサポートしていない場合は、IKEv1を使用します。両方のルータ(ローカルとリモート)で、同じIKEバージョンとセキュリティ設定を使用します。
ステップ10:[Phase 1 Options]セクションで、ドロップダウンリストからDH (Diffie-Hellman)グループ(Group 2 - 1024ビットまたはGroup 5 - 1536ビット)を選択します。DHはキー交換プロトコルであり、異なるプライムキー長の2つのグループがあります。グループ2は最大1,024ビットで、グループ5は最大1,536ビットです。このデモンストレーションではグループ2 - 1024ビットを使用します。
注:速度が速くセキュリティが低い場合は、グループ2を選択します。速度が遅くセキュリティが高い場合は、グループ5を選択します。グループ2はデフォルトで選択されています。
ステップ11:ドロップダウンリストから暗号化オプション(3DES、AES-128、AES-192、またはAES-256)を選択します。この方式は、Encapsulating Security Payload(ESP)/Internet Security Association and Key Management Protocol(ISAKMP)パケットの暗号化または復号化に使用されるアルゴリズムを決定します。Triple Data Encryption Standard(3DES)は、DES暗号化を3回使用しますが、現在はレガシーアルゴリズムです。つまり、このオプションは、限界を超えて許容できるセキュリティレベルを提供するため、優れた選択肢がない場合にのみ使用する必要があります。一部の「ブロック・コリジョン」攻撃に対して脆弱なため、後方互換性のために必要な場合にのみ使用してください。Advanced Encryption Standard(AES;高度暗号化規格)は、DESよりも安全に設計された暗号化アルゴリズムです。AESでは、より大きなキーサイズを使用します。これにより、メッセージを復号化する唯一の既知のアプローチは、侵入者が可能なすべてのキーを試すことになります。3DESの代わりにAESを使用することを推奨します。この例では、暗号化オプションとしてAES-192を使用します。
注:役立つ追加リソースを次に示します。IPSecおよび次世代暗号化を使用したVPNのセキュリティの設定。
ステップ12:認証方式は、Encapsulating Security Payload Protocol(ESP)ヘッダーパケットの検証方法を決定します。MD5は、128ビットのダイジェストを生成する単方向ハッシュアルゴリズムです。SHA1は一方向のハッシュアルゴリズムで、160ビットのダイジェストを生成し、SHA2-256は256ビットのダイジェストを生成します。SHA2-256の方がセキュアであるため、この方法が推奨されます。VPNトンネルの両端で同じ認証方式が使用されていることを確認します。認証(MD5、SHA1、またはSHA2-256)を選択します。この例ではSHA2-256が選択されています。
ステップ13:SA Lifetime (Sec)は、このフェーズでIKE SAがアクティブになっている時間を秒数で示します。新しいセキュリティアソシエーション(SA)は、ライフタイムが期限切れになる前にネゴシエートされ、古いセキュリティアソシエーション(SA)の有効期限が切れたときに新しいSAを使用する準備が整っていることを確認します。デフォルトは28800で、範囲は120 ~ 86400です。デフォルト値の28800秒をフェーズIのSAライフタイムとして使用します。
注:フェーズIのSAライフタイムは、フェーズIIのSAライフタイムよりも長くすることをお勧めします。フェーズIをフェーズIIよりも短くする場合、データトンネルとは対照的に、頻繁にトンネルの前後を再ネゴシエートする必要があります。データトンネルはより多くのセキュリティを必要とするため、フェーズIIのライフタイムをフェーズIよりも短くすることをお勧めします。
ステップ14:リモートIKEピアの認証に使用する事前共有キーを入力します。My_@123や4d795f40313233など、最大30個のキーボード文字または16進数値を入力できます。VPNトンネルの両端で同じ事前共有キーを使用する必要があります。
注:VPNセキュリティを最大化するために、事前共有キー(PSK)を定期的に変更することを推奨します。
ステップ15:[Phase II Options]セクションで、ドロップダウンリストからプロトコルを選択します。
・ ESP – データ暗号化のESPを選択し、暗号化を入力します。
・ AH – データが秘密ではなく、認証が必要な状況でのデータの整合性のためにこれを選択します。
ステップ16:ドロップダウンリストから暗号化オプション(3DES、AES-128、AES-192、またはAES-256)を選択します。この方式は、Encapsulating Security Payload(ESP)/Internet Security Association and Key Management Protocol(ISAKMP)パケットの暗号化または復号化に使用されるアルゴリズムを決定します。Triple Data Encryption Standard(3DES)は、DES暗号化を3回使用しますが、現在はレガシーアルゴリズムです。つまり、このオプションは、限界を超えて許容できるセキュリティレベルを提供するため、優れた選択肢がない場合にのみ使用する必要があります。一部の「ブロック・コリジョン」攻撃に対して脆弱なため、後方互換性のために必要な場合にのみ使用してください。Advanced Encryption Standard(AES;高度暗号化規格)は、DESよりも安全に設計された暗号化アルゴリズムです。AESでは、より大きなキーサイズを使用します。これにより、メッセージを復号化する唯一の既知のアプローチは、侵入者が可能なすべてのキーを試すことになります。3DESの代わりにAESを使用することを推奨します。この例では、暗号化オプションとしてAES-192を使用します。
注:役立つ追加リソースを次に示します。IPSecおよび次世代暗号化を使用したVPNのセキュリティの設定。
ステップ17:認証方式は、Encapsulating Security Payload Protocol(ESP)ヘッダーパケットの検証方法を決定します。MD5は、128ビットのダイジェストを生成する単方向ハッシュアルゴリズムです。SHA1は一方向のハッシュアルゴリズムで、160ビットのダイジェストを生成し、SHA2-256は256ビットのダイジェストを生成します。SHA2-256の方がセキュアであるため、この方法が推奨されます。VPNトンネルの両端で同じ認証方式が使用されていることを確認します。認証(MD5、SHA1、またはSHA2-256)を選択します。この例ではSHA2-256が選択されています。
ステップ18:SA Lifetime (Sec)を入力します。これは、VPNトンネル(IPsec SA)がこのフェーズでアクティブになっている時間(秒)です。フェーズ2のデフォルト値は3600秒です。
ステップ19:Perfect Forward Secrecy(PFS)が有効になっている場合、IKEフェーズ2ネゴシエーションによって、IPSecトラフィックの暗号化と認証に関する新しい鍵材料が生成されます。Perfect Forward Secrecy(PFS;完全転送秘密)は、公開キー暗号化を使用してインターネット経由で送信される通信のセキュリティを向上するために使用されます。この機能を有効にするには、このチェックボックスをオンにします。無効にするには、このチェックボックスをオフにします。この機能が推奨されます。オンの場合、DHグループを選択します。この例ではGroup2 - 1024ビットが使用されています。
ステップ20:[Save as a new profile]に、作成した新しいプロファイルの名前を入力します。[Next]をクリックし、VPN設定の概要を表示します。
ステップ21:情報を確認し、[送信]をクリックします。
リモートルータでは、ローカルルータと同じセキュリティ設定を設定する必要がありますが、リモートトラフィックにはローカルルータのIPアドレスを使用します。
ステップ1:リモートルータ(ルータB)のWeb設定ページにログインし、[VPN] > [VPN Setup Wizard]に移動します。
ステップ2:接続名を入力し、RV260を使用している場合にVPNに使用するインターフェイスを選択します。RV160にはWANリンクしかないため、ドロップダウンからインターフェイスを選択できません。[Next] をクリックして続行します。
ステップ3:[Remote Router Settings] で、[Remote Connection Type]を選択し、ルータAのWAN IPアドレスを入力します。次に、[次へ]をクリックして、次のセクションに進みます。
ステップ4:ローカルトラフィックとリモートトラフィックを選択します。[Remote Traffic Selection]フィールドで[Subnet]を選択している場合、ルータAのプライベートIPアドレスサブネットを入力します。次に、[次へ]をクリックし、[プロファイル]セクションを構成します。
ステップ5:[プロファイル]セクションで、ルータAと同じセキュリティ設定を選択します。また、ルータAと同じ事前共有キーを入力しました。次に、[次へ]をクリックして、[概要]ページに移動します。
フェーズ1オプション:
フェーズIIオプション:
ステップ6:[Summary] ページで、設定した情報が正しいことを確認します。次に、[Submit]をクリックして、サイト間VPNを作成します。
注:ルータが現在使用しているすべての設定は、揮発性であり、リブート間は保持されない実行コンフィギュレーションファイルにあります。リブート間も設定を保持するには、すべての変更を完了した後で、実行コンフィギュレーションファイルをスタートアップコンフィギュレーションファイルにコピーしてください。これを行うには、ページの上部に表示される[Save]ボタンをクリックするか、[Administration] > [Configuration Management]に移動します。次に、[Source]が[Running Configuration]、[Destination]が[Startup Configuration]であることを確認してください。[Apply] をクリックします。
VPNセットアップウィザードを使用して、サイト間VPNを正しく設定できているはずです。次の手順に従って、サイト間VPNが接続されていることを確認します。
ステップ1:接続が確立されたことを確認するには、[VPN] > [IPSec VPN] > [Site-to-Site]に移動すると、[Connected]ステータスが表示されます。
ステップ2:[Status and Statistics] > [VPN Status]に移動し、サイト間トンネルが[Enabled]および[UP]であることを確認します。