バーチャルプライベートネットワーク(VPN)は、ネットワーク内またはネットワーク間に確立されたセキュアな接続です。VPNは、特定のホストとネットワーク間のトラフィックを、不正なホストやネットワークのトラフィックから分離します。サイト間(ゲートウェイ間)VPNは、ネットワーク全体を相互に接続し、パブリックドメイン(インターネットとも呼ばれる)上にトンネルを作成することによってセキュリティを維持します。各サイトは同じパブリックネットワークへのローカル接続のみを必要とするため、長い専用回線のコスト−節約できます。
VPNは、拡張性が高く、ネットワークトポロジを簡素化し、出張時間とリモートユーザのコストを削減して生産性を向上させるという点で、企業にとって有益です。
インターネットキーエクスチェンジ(IKE)は、VPN内の通信にセキュアな接続を確立するために使用されるプロトコルです。このセキュアな接続は、セキュリティアソシエーション(SA)と呼ばれます。 IKEポリシーを作成して、ピアの認証や暗号化アルゴリズムなど、このプロセスで使用するセキュリティパラメータを定義できます。VPNが正常に機能するためには、両方のエンドポイントのIKEポリシーが同一である必要があります。
この記事では、RV130またはRV130WルータでAdvanced VPN Setupを設定する方法を説明します。ここでは、IKEポリシー設定とVPNポリシー設定について説明します。
・ RV130
・ RV130W
•1.0.3.22
ステップ 1:Webベースのユーティリティにログインし、VPN > Site-to-Site IPSec VPN >Advanced VPN Setupの順に選択します。
ステップ2:(オプション)VPN接続に対してネットワークアドレス変換(NAT)トラバーサルを有効にする場合は、NATトラバーサルのEnableチェックボックスにチェックマークを付けます。NATトラバーサルを使用すると、NATを使用するゲートウェイ間でVPN接続を確立できます。VPN接続がNAT対応ゲートウェイを通過する場合は、このオプションを選択します。
ステップ 3:IKE Policy TableでAdd Rowをクリックして、新しいIKEポリシーを作成します。
注:基本設定が行われている場合、作成された基本VPN設定が下の表に記載されます。既存のIKEポリシーを編集するには、ポリシーのチェックボックスをオンにして、Editをクリックします。Advanced VPN Setupページの内容が次のように変わります。
ステップ 4:IKE Nameフィールドに、IKEポリシーの一意の名前を入力します。
注:基本設定が設定されている場合、作成される接続名はIKE名として設定されます。この例では、VPN1が選択されたIKE名です。
ステップ 5:Exchange Modeドロップダウンリストから、オプションを選択します。
Main:このオプションを使用すると、アグレッシブモードよりも高いセキュリティでIKEポリシーがVPNトンネルをネゴシエートできるようになります。ネゴシエーション速度よりも安全なVPN接続が優先される場合は、このオプションをクリックします。
Aggressive:このオプションを使用すると、IKEポリシーによってメインモードよりも高速で安全性の低い接続を確立できます。高速なVPN接続が高いセキュリティよりも優先される場合は、このオプションをクリックします。
注:この例では、Mainが選択されています。
手順 6:Local Identifier Typeドロップダウンリストから選択して、ローカルルータのInternet Security Association and Key Management Protocol(ISAKMP)を識別または指定します。次のオプションがあります。
ローカルWAN IP:ルータはローカルのワイドエリアネットワーク(WAN)IPをメインIDとして使用します。このオプションは、インターネット経由で接続します。このオプションを選択すると、下のLocal Identifierフィールドがグレー表示になります。
IP Address:これをクリックすると、Local IdentifierフィールドにIPアドレスを入力できます。
FQDN:完全修飾ドメイン名(FQDN)またはドメイン名(http://www.example.comなど)を使用すると、ドメイン名またはIPアドレスをローカルIDフィールドに入力できます。
User-FQDN:このオプションは、user@email.comなどのユーザ電子メールアドレスです。Local Identifierフィールドにドメイン名またはIPアドレスを入力します。
DER ASN1 DN:このオプションは、識別名(DN)のIDタイプです。DNは、Distinguished Encoding Rules Abstract Syntax Notation One(DER ASN1)を使用して情報を送信します。これは、VPNトンネルがユーザ証明書に関連付けられている場合に発生します。これを選択した場合は、Local Identifierフィールドにドメイン名またはIPアドレスを入力します。
注:この例では、ローカルWAN IPが選択されています。
手順 7:Remote Identifier Typeドロップダウンリストから選択して、リモートルータのInternet Security Association and Key Management Protocol(ISAKMP)を識別または指定します。オプションは、リモートWAN IP、IPアドレス、FQDN、ユーザFQDN、およびDER ASN1 DNです。
注:この例では、リモートWAN IPが選択されています。
ステップ 8:Encryption Algorithmドロップダウンリストからオプションを選択します。
DES:Data Encryption Standard(DES;データ暗号規格)は56ビットの古い暗号化方式で、安全性の高い暗号化方式ではありませんが、下位互換性を確保するために必要な場合があります。
3DES:Triple Data Encryption Standard(3DES)は、データを3回暗号化するため、キーサイズを増やすために使用される168ビットの簡単な暗号化方式です。これにより、DESよりもセキュリティが高くなりますが、AESよりもセキュリティが低くなります。
AES-128:Advanced Encryption Standard with 128-bit key(AES-128)では、AES暗号化に128ビットキーが使用されます。AESはDESよりも高速で安全です。一般に、AESは3DESよりも高速で安全です。AES-128はデフォルトの暗号化アルゴリズムであり、AES-192およびAES-256よりも高速ですが、安全性は劣ります。
AES-192:AES-192では、AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが安全性が高く、AES-256よりも高速ですが安全性が低くなります。
AES-256:AES-256では、AES暗号化に256ビットキーが使用されます。AES-256はAES-128およびAES-192よりも低速ですが、安全性が高くなります。
注:この例では、AES-128が選択されています。
ステップ 9:Authentication Algorithmドロップダウンリストから、次のいずれかのオプションを選択します。
MD5:Message Digest 5(MD5)は、認証に128ビットのハッシュ値を使用する認証アルゴリズムです。MD5の安全性は劣りますが、SHA-1およびSHA2-256よりも高速です。
SHA-1:Secure Hash Function 1(SHA-1)は、認証に160ビットのハッシュ値を使用します。SHA-1はMD5よりも低速ですが、より安全です。SHA-1はデフォルトの認証アルゴリズムであり、SHA2-256よりも高速ですが、安全性は低くなります。
SHA2-256:256ビットのハッシュ値を使用するSecure Hash Algorithm 2(SHA2-256)では、認証に256ビットのハッシュ値を使用します。SHA2-256はMD5およびSHA-1よりも低速ですが、より安全です。
注:この例では、MD5が選択されています。
ステップ 10:Authentication Methodドロップダウンリストで、次のオプションから選択します。
Pre-Shared Key:このオプションでは、IKEピアと共有されているパスワードが必要です。
RSA-Signature:このオプションは、接続の認証に証明書を使用します。これを選択すると、Pre-Shared Keyフィールドは無効になります。ステップ 12 に進みます。
注:この例では、Pre-Shared Keyが選択されています。
ステップ 11Pre-Shared Keyフィールドに、8 ~ 49文字の長さのパスワードを入力します。
注:この例では、yourpassword123が使用されています。
ステップ 12DH Groupドロップダウンリストから、IKEが使用するDiffie-Hellman(DH)グループアルゴリズムを選択します。DHグループ内のホストは、互いに認識することなくキーを交換できます。グループビット番号が大きいほど、セキュリティが向上します。
注:この例では、Group1が選択されています。
ステップ 13SA-Lifetimeフィールドには、VPNに対するSAが更新されるまでの存続期間(秒)を入力します。範囲は30 ~ 86400秒です。デフォルト値は 28800 です。
ステップ14:(オプション)Dead Peer Detection(DPD)を有効にするには、Enable Dead Peer Detectionチェックボックスにチェックマークを入れます。 DPDはIKEピアを監視して、ピアが機能しなくなったか、まだ動作しているかどうかを確認します。ピアがDeadとして検出されると、デバイスはIPSecとIKE Security Association(SA;セキュリティアソシエーション)を削除します。DPDは、非アクティブピアでのネットワークリソースの浪費を防止します。
注:Dead Peer Detectionを有効にしない場合は、ステップ17に進んでください。
ステップ15:(オプション)ステップ14でDPDを有効にした場合、ピアでのアクティビティの確認頻度(秒単位)をDPD Delayフィールドに入力します。
注:DPD Delayは、連続するDPD R-U-THEREメッセージ間の秒単位の間隔です。DPD R-U-THEREメッセージは、IPSecトラフィックがアイドル状態のときにのみ送信されます。デフォルト値は 10 です。
ステップ16:(オプション)ステップ14でDPDを有効にした場合は、非アクティブピアがドロップされるまでの秒数をDPD Timeoutフィールドに入力します。
注:これは、ピアがダウンしていると見なす前にデバイスがDPDメッセージへの応答の受信を待機する必要がある最大時間です。デフォルト値は 30 です。
ステップ 17:[Save] をクリックします。
注:メインのAdvanced VPN Setupページが再表示されます。
これで、ルータのIKEポリシー設定が正常に設定されました。
注:VPNを正常に機能させるには、両方のエンドポイントのVPNポリシーを同じにする必要があります。
ステップ 1:VPN Policy TableでAdd Rowをクリックして、新しいVPNポリシーを作成します。
注:ポリシーのチェックボックスをオンにしてEditをクリックすることで、VPNポリシーを編集することもできます。Advanced VPN Setupページが表示されます。
ステップ 2:Add/Edit VPN Configuration領域のIPSec Nameフィールドに、VPNポリシーの名前を入力します。
注:この例では、VPN1が使用されています。
ステップ 3:Policy Typeドロップダウンリストから、オプションを選択します。
Manual Policy:このオプションでは、VPNトンネルのデータの暗号化と整合性のためのキーを手動で設定できます。これを選択すると、Manual Policy Parameters領域の設定が有効になります。Remote Traffic Selectionまで手順を続行します。ここをクリックして手順を確認してください。
自動ポリシー:ポリシーパラメータは自動的に設定されます。このオプションでは、データ整合性と暗号化キー交換にIKEポリシーを使用します。これを選択すると、Auto Policy Parameters領域の設定が有効になります。ここをクリックして手順を確認してください。IKEプロトコルが2つのVPNエンドポイント間で自動的にネゴシエートされることを確認します。
注:この例では、Auto Policyが選択されています。
ステップ 4:[リモートエンドポイント]ドロップダウンリストから、オプションを選択します。
IP Address:このオプションは、パブリックIPアドレスによってリモートネットワークを識別します。
FQDN:特定のコンピュータ、ホスト、またはインターネットの完全なドメイン名。FQDNは、ホスト名とドメイン名の2つの部分で構成されます。このオプションは、ステップ3でAuto Policyを選択した場合にのみ有効にできます。
注:この例では、IP Addressが選択されています。
ステップ 5:Remote Endpointフィールドに、リモートアドレスのパブリックIPアドレスまたはドメイン名を入力します。
注:この例では、192.168.2.101が使用されています。
ステップ6:(オプション)Network Basic Input/Output System(NetBIOS)ブロードキャストをVPN接続を介して送信できるようにするには、NetBIOS Enabledチェックボックスにチェックマークを付けます。NetBIOSを使用すると、ホストはローカルエリアネットワーク(LAN)内で相互に通信できます。
手順 7:Local Traffic Selection領域にあるLocal IPドロップダウンリストから、オプションを選択します。
Single:ポリシーを1つのホストに制限します。
サブネット:IPアドレスの範囲内にあるホストがVPNに接続できるようにします。
注:この例では、Subnetが選択されています。
ステップ 8:IP Addressフィールドに、ローカルサブネットまたはホストのホストまたはサブネットIPアドレスを入力します。
注:この例では、ローカルサブネットのIPアドレスとして10.10.10.1が使用されています。
ステップ9:(オプション)ステップ7で「サブネット」を選択した場合は、クライアントのサブネットマスクをSubnet Maskフィールドに入力します。手順1でSingleを選択した場合、Subnet Maskフィールドは無効になります。
注:この例では、サブネットマスク255.255.0.0を使用します。
ステップ 10:Remote Traffic Selection領域の下にあるRemote IPドロップダウンリストから、オプションを選択します。
注:この例では、Subnetが選択されています。
ステップ 11IP Addressフィールドに、VPNに含まれるホストのIPアドレスの範囲を入力します。ステップ10で「Single」を選択した場合は、IPアドレスを入力します。
注:次の例では、10.10.11.2が使用されています。
ステップ12:(オプション)ステップ10でSubnetを選択した場合は、Subnet MaskフィールドにサブネットIPアドレスのサブネットマスクを入力します。
注:次の例では、255.255.0.0が使用されています。
注:これらのフィールドは、Manual Policyが選択されている場合にのみ編集できます。
ステップ 1:SPI-Incomingフィールドで、VPN接続の着信トラフィックのセキュリティパラメータインデックス(SPI)タグを3 ~ 8桁の16進文字で入力します。SPIタグは、あるセッションのトラフィックを他のセッションのトラフィックと区別するために使用されます。
注:この例では、0xABCDが使用されています。
ステップ 2:SPI-Outgoingフィールドで、VPN接続の発信トラフィックのSPIタグを3 ~ 8桁の16進数で入力します。
注:この例では、0x1234が使用されます。
ステップ 3:Manual Encryption Algorithmドロップダウンリストから、オプションを選択します。選択肢は、DES、3DES、AES-128、AES-192、およびAES-256です。
注:この例では、AES-128が選択されています。
ステップ 4:Key-Inフィールドに、着信ポリシーのキーを入力します。キーの長さは、「ステップ3」で選択したアルゴリズムによって異なります。
DESは8文字のキーを使用します。
3DESは24文字のキーを使用します。
AES-128では16文字のキーが使用されます。
AES-192では、24文字のキーが使用されます。
AES-256では32文字のキーが使用されます。
注:この例では、123456789ABCDEFGが使用されます。
ステップ 5:Key-Outフィールドに、発信ポリシーのキーを入力します。キーの長さは、「ステップ3」で選択したアルゴリズムによって異なります。
注:この例では、123456789ABCDEFGが使用されます。
手順 6:Manual Integrity Algorithmドロップダウンリストから、オプションを選択します。
MD5:データ整合性のために128ビットのハッシュ値を使用します。MD5はSHA-1およびSHA2-256よりも安全ではありませんが、高速です。
SHA-1:データ整合性のために160ビットのハッシュ値を使用します。SHA-1はMD5より低速ですが安全性が高く、SHA-1はSHA2-256より高速ですが安全性が低くなります。
SHA2-256:データ整合性のために256ビットのハッシュ値を使用します。SHA2-256はMD5およびSHA-1よりも低速ですがセキュアです。
注:この例では、MD5が選択されています。
手順 7:Key-Inフィールドに、着信ポリシーのキーを入力します。キーの長さは、「ステップ6」で選択したアルゴリズムによって異なります。
MD5は16文字のキーを使用します。
SHA-1は20文字のキーを使用します。
SHA2-256は32文字のキーを使用します。
注:この例では、123456789ABCDEFGが使用されます。
ステップ 8:Key-Outフィールドに、発信ポリシーのキーを入力します。キーの長さは、「ステップ6」で選択したアルゴリズムによって異なります。
注:この例では、123456789ABCDEFGが使用されます。
注:自動VPNポリシーを作成する前に、自動VPNポリシーの作成基となるIKEポリシーを作成してください。これらのフィールドを編集できるのは、ステップ3で自動ポリシーを選択した場合だけです。
ステップ 1:IPSec SA-Lifetimeフィールドに、更新までにSAが存続する秒数を入力します。範囲は30 ~ 86400です。デフォルト値は 3600 です。
ステップ 2:Encryption Algorithmドロップダウンリストから、オプションを選択します。次のオプションがあります。
注:この例では、AES-128が選択されています。
DES:56ビットの古い暗号化方式で、あまりセキュアな暗号化方式ではありませんが、下位互換性のために必要になる場合があります。
3DES:データを3回暗号化するため、キーサイズを増加するために使用される168ビットのシンプルな暗号化方式。これにより、DESよりもセキュリティが高くなりますが、AESよりもセキュリティが低くなります。
AES-128:AES暗号化に128ビットキーを使用します。AESはDESよりも高速で安全です。一般に、AESは3DESよりも高速で安全です。AES-128は、AES-192およびAES-256よりも高速ですが、安全性が劣ります。
AES-192:AES暗号化に192ビットキーを使用します。AES-192はAES-128よりも低速ですが安全性が高く、AES-256よりも高速ですが安全性が低くなります。
AES-256:AES暗号化に256ビットキーを使用します。AES-256はAES-128およびAES-192よりも低速ですが、安全性が高くなります。
AESGCM:Advanced Encryption Standard(AES)Galois Counter Modeは、一般的な認証済み暗号化ブロック暗号モードです。GCM認証は、ハードウェアでの効率的な実装に特に適した動作を使用するため、高速な実装や効率的でコンパクトな回路内での実装に特に適しています。
AESCCM:CBC-MACモードのAdvanced Encryption Standard(AES)カウンタは、汎用の認証済み暗号化ブロック暗号モードです。CCMは、コンパクトなソフトウェアの実装での使用に適しています。
ステップ 3:Integrity Algorithmドロップダウンリストから、オプションを選択します。選択肢は、MD5、SHA-1、およびSHA2-256です。
注:この例では、SHA-1が選択されます。
ステップ 4:PFS(Perfect Forward Secrecy)をイネーブルにするには、PFS Key GroupのEnableチェックボックスにチェックマークを入れます。 PFSはVPNのセキュリティを強化しますが、接続速度を遅くします。
ステップ5:(オプション)ステップ4でPFSを有効にすることを選択した場合は、DHグループのドロップダウンリストから参加するDHグループを選択します。グループ番号が大きいほど、セキュリティが向上します。
注:この例では、Group 1が選択されています。
手順 6:Select IKE Policyドロップダウンリストから、VPNポリシーに使用するIKEポリシーを選択します。
注:この例では、1つのIKEポリシーだけが設定されているため、1つのポリシーだけが表示されます。
手順 7:[Save] をクリックします。
注:メインのAdvanced VPN Setupページが再表示されます。構成設定が正常に保存されたことを示す確認メッセージが表示されます。
ステップ 8:VPN Policyテーブルで、VPNを選択するためのチェックボックスをオンにして、Enableをクリックします。
注:設定されているVPNポリシーは、デフォルトでは無効になっています。
ステップ 9:[Save] をクリックします。
これで、RV130またはRV130WルータのVPNポリシーが正常に設定されました。
改定 | 発行日 | コメント |
---|---|---|
1.0 |
13-Dec-2018
|
初版 |