Shrew Soft VPN Clientを使用したRV130およびRV130WでのIPSec VPN Serverとの接続

目的

IPSec VPN(Virtual Private Network)を使用すると、インターネット経由で暗号化されたトンネルを確立することで、リモートリソースを安全に取得できます。

RV130およびRV130WはIPSec VPNサーバとして動作し、Shrew Soft VPN Clientをサポートします。

クライアントソフトウェアの最新リリースをダウンロードしてください。

・ Shrew Soft(https://www.shrew.net/download/vpn)

注：IPSec VPNサーバを使用してShrew Soft VPN Clientを正しくセットアップおよび設定するには、まずIPSec VPNサーバを設定する必要があります。設定方法については、「RV130およびRV130WでのIPSec VPNサーバの設定」を参照してください。

このドキュメントの目的は、Shrew Soft VPN Clientを使用してRV130およびRV130WのIPSec VPN Serverに接続する方法を示すことです。

該当するデバイス

・ RV130W Wireless-N VPNファイアウォール

・ RV130 VPNファイアウォール

システム要件

・ 32または64ビットシステム

・ Windows 2000、XP、Vista、またはWindows 7/8

トポロジ

次に、Shrewsoftクライアントからサイトへの設定に関連するデバイスを示す最上位のトポロジを示します。

小規模企業のネットワーク環境におけるDNSサーバの役割を示す、より詳細なフローチャートを次に示します。

ソフトウェアバージョン

•1.0.1.3

Shrew Soft VPN Clientのセットアップ

IPSec VPNのセットアップとユーザ設定

ステップ1:Web設定ユーティリティにログインし、[VPN] > [IPSec VPN Server] > [Setup]を選択します。[セットアップ]ページが開きます。

ステップ2:RV130のIPSec VPNサーバが正しく設定されていることを確認します。IPSec VPNサーバが設定されていない場合や設定が誤っている場合は、『RV130およびRV130WでのIPSec VPNサーバの設定』を参照し、[保存]をクリックします。

注：上記の設定は、RV130/RV130W IPSec VPN Serverの設定例です。この設定は、ドキュメント『RV130およびRV130WでのIPSec VPNサーバの設定』に基づいており、以降の手順で参照する必要があります。

ステップ3:[VPN] > [IPSec VPN Server] > [User]に移動します。[ユーザー]ページが表示されます。

ステップ4:[Add Row]をクリックして、VPNクライアントの認証（拡張認証）に使用するユーザアカウントを追加し、表示されたフィールドに目的のユーザ名とパスワードを入力します。

ステップ5:[Save(保存)]をクリックして設定を保存します。

VPN Client の設定

ステップ1:Shrew VPN Access Managerを開き、[Add]をクリックしてプロファイルを追加します。

[VPN Site Configuration]ウィンドウが表示されます。

ステップ2:[Remote Host]セクションの[General]タブで、接続しようとしているネットワークのパブリックのホスト名またはIPアドレスを入力します。

注：ポート番号がデフォルト値の500に設定されていることを確認します。VPNが機能するために、トンネルはISAKMPトラフィックをファイアウォールで転送できるように設定されているUDPポート500を使用します。

ステップ3:[Auto Configuration(自動構成)]ドロップダウンリストで、[disabled]を選択します。

使用可能なオプションは次のように定義されます。

・ Disabled：自動クライアント設定を無効にします。

・ IKE Config Pull：クライアントによるコンピュータからの要求の設定を許可します。コンピュータによるPullメソッドのサポートにより、要求はクライアントがサポートする設定のリストを返します。

・ IKE Config Push：設定プロセスを通じてクライアントに設定を提供する機会をコンピュータに与えます。コンピュータによるPushメソッドのサポートにより、要求はクライアントがサポートする設定のリストを返します。

・ DHCP over IPSec:DHCP over IPSecを使用してコンピュータから設定を要求する機会をクライアントに提供します。

ステップ4:[ローカルホスト]セクションで、[アダプターモード]ドロップダウンリストの[既存のアダプタと現在のアドレスを使用する]を選択します。

使用可能なオプションは次のように定義されます。

・仮想アダプタと割り当てアドレスの使用：クライアントは、指定されたアドレスをIPsec通信の送信元として使用できます。

・仮想アダプタとランダムアドレスの使用：クライアントは、IPsec通信の送信元としてランダムアドレスを持つ仮想アダプタを使用できます。

・既存のアダプタと現在のアドレスを使用する：クライアントは、現在のアドレスをIPsec通信の送信元とする既存の物理アダプタのみを使用できます。

ステップ5:[Client]タブをクリックします。[NAT Traversal]ドロップダウンリストで、「RV130およびRV130WでのIPSec VPNサーバの設定」の記事の「RV130/RV130Wでの設定」を選択します。

使用可能なNetwork Address Translation Traversal(NAT)メニューオプションは、次のように定義されます。

・ Disable:NATプロトコル拡張は使用されません。

・ Enable:NATプロトコル拡張は、ネゴシエーション中にVPNゲートウェイがサポートを示し、NATが検出された場合にのみ使用されます。

・ Force-Draft:NATプロトコル拡張のドラフトバージョンは、ネゴシエーション中にVPNゲートウェイがサポートを示すか、NATが検出されたかに関係なく使用されます。

・ Force-RFC:VPNゲートウェイがネゴシエーション中にサポートを示すか、NATが検出されたかに関係なく、NATプロトコルのRFCバージョンが使用されます。

・ Force-Cisco-UDP:NATを使用しないVPNクライアントのUDPカプセル化を強制します。

ステップ6:[Name Resolution]タブをクリックし、DNSを有効にする場合は[Enable DNS]チェックボックスをオンにします。サイト構成に特定のDNS設定が必要ない場合は、[DNSを有効にする]チェックボックスをオフにします。

ステップ7:（オプション）リモートゲートウェイがConfiguration Exchangeをサポートするように設定されている場合、ゲートウェイはDNS設定を自動的に提供できます。そうでない場合は、[自動的に取得]チェックボックスがオフになっていることを確認し、有効なDNSサーバアドレスを手動で入力します。

ステップ8:（オプション） Windows Internet Name Server (WINS)を有効にする場合は、[名前解決]タブをクリックして、[WINSを有効にする]チェックボックスをオンにします。 リモートゲートウェイがConfiguration Exchangeをサポートするように設定されている場合、ゲートウェイはWINS設定を自動的に提供できます。そうでない場合は、[自動的に取得]チェックボックスがオフになっていることを確認し、有効なWINSサーバアドレスを手動で入力します。

注：WINS設定情報を提供することで、クライアントはリモートプライベートネットワークにあるサーバを使用してWINS名を解決できます。これは、Uniform Naming Convention(UNIFORM)パス名を使用してリモートWindowsネットワークリソースにアクセスしようとする場合に便利です。WINSサーバは通常、WindowsドメインコントローラまたはSambaサーバに属します。

ステップ9:[Authentication]タブをクリックし、[Authentication Method]ドロップダウンリストで[Mutual PSK + XAuth]を選択します。

使用可能なオプションは次のように定義されます。

・ハイブリッドRSA + XAuth：クライアントのクレデンシャルは必要ありません。クライアントがゲートウェイを認証します。クレデンシャルは、PEMまたはPKCS12証明書ファイル、またはキーファイルタイプの形式になります。

・ハイブリッドGRP + XAuth：クライアントのクレデンシャルは必要ありません。クライアントがゲートウェイを認証します。クレデンシャルは、PEMまたはPKCS12証明書ファイルと共有秘密文字列の形式になります。

・相互RSA + XAuth：クライアントとゲートウェイの両方が認証にクレデンシャルを必要とします。クレデンシャルは、PEMまたはPKCS12証明書ファイルまたはキータイプの形式になります。

・相互PSK + XAuth：クライアントとゲートウェイの両方で認証にクレデンシャルが必要です。クレデンシャルは、共有秘密文字列の形式になります。

・相互RSA：クライアントとゲートウェイの両方で認証を行うにはクレデンシャルが必要です。クレデンシャルは、PEMまたはPKCS12証明書ファイルまたはキータイプの形式になります。

・相互PSK：クライアントとゲートウェイの両方で認証にクレデンシャルが必要です。クレデンシャルは、共有秘密文字列の形式になります。

ステップ10:[Authentication]セクションで、[Credentials]サブタブをクリックし、[IPsec VPN Server Setup]ページで設定した事前共有キーを[Pre Shared Key]フィールドに入力します。

ステップ11:[Phase 1]タブをクリックします。このドキュメントの「IPSec VPN Server User Configuration」セクションのステップ2でRV130/RV130Wに対して設定したものと同じ設定になるように、次のパラメータを設定します。

Shrew Softのパラメータは、フェーズ1のRV130/RV130W設定と一致する必要があります。

・ 「Exchange Type」は「Exchange Mode」と一致する必要があります。

・「DH交換」は「DHグループ」と一致する必要があります。

・「暗号アルゴリズム」は「暗号アルゴリズム」と一致する必要があります。

・「ハッシュアルゴリズム」は「認証アルゴリズム」と一致する必要があります。

ステップ12:（オプション）フェーズ1ネゴシエーション中にゲートウェイがシスコ互換ベンダーIDを提供する場合は、[Enable Check Point Compatible Vendor ID]チェックボックスをオンにします。ゲートウェイが認識されない場合、または不明な場合は、このチェックボックスをオフのままにします。

ステップ13:[Phase 2]タブをクリックします。このドキュメントの「IPSec VPN Server User Configuration」セクションのステップ2でRV130/RV130Wに対して設定したものと同じ設定になるように、次のパラメータを設定します。

Shrew Softのパラメータは、フェーズ2のRV130/RV130W設定と一致する必要があります。

・「Transform Algorithm」は「Encryption Algorithm」と一致する必要があります。

・「HMACアルゴリズム」は「認証アルゴリズム」と一致する必要があります。

・ PFSキーグループがRV130/RV130Wで有効になっている場合、「PFS Exchange」は「DH Group」と一致する必要があります。それ以外の場合は、[無効]を選択します。

・「Key Life Time limit」は「IPSec SA Lifetime」に一致する必要があります。

ステップ14:[Policy]タブをクリックし、[Policy Generation Level]ドロップダウン・リストで[require]を選択します。[ポリシー生成レベル]オプションは、IPsecポリシーが生成されるレベルを変更します。ドロップダウンリストで提供されるさまざまなレベルは、異なるベンダー実装によって実装されるIPSec SAネゴシエーション動作にマップされます。

使用可能なオプションは次のように定義されます。

・ Auto：クライアントが適切なIPSecポリシーレベルを自動的に決定します。

・要求：クライアントは、各ポリシーに対して一意のセキュリティアソシエーション(SA)をネゴシエートしません。ポリシーは、ローカルパブリックアドレスをローカルポリシーIDとして、リモートネットワークリソースをリモートポリシーIDとして使用して生成されます。phase2プロポーザルは、ネゴシエーション中にポリシーIDを使用します。

・ Unique：クライアントは各ポリシーに対して一意のSAをネゴシエートします。

・共有 – ポリシーは必須レベルで生成されます。フェーズ2のプロポーザルでは、ローカルポリシーIDがローカルIDとして使用され、リモートIDがAny(0.0.0.0/0)になります。

ステップ15:[Obtain Topology Automatically]または[Tunnel All]チェックボックスをオフにします。このオプションは、接続のセキュリティポリシーの設定方法を変更します。無効の場合は、手動設定を実行する必要があります。有効にすると、自動設定が実行されます。

ステップ16:[Add]をクリックして、接続先のリモートネットワークリソースを追加します。リモートネットワークリソースには、リモートデスクトップアクセス、部門リソース、ネットワークドライブ、セキュリティ保護された電子メールなどがあります。

[Topology Entry]ウィンドウが表示されます。

ステップ17:[アドレス]フィールドに、RV130/RV130WのサブネットIDを入力します。このアドレスは、このドキュメントの「IPSec VPNサーバの設定とユーザの設定」セクションのステップ2のIPアドレスフィールドと一致する必要があります。

ステップ18:[Netmask]フィールドに、RV130/RV130Wのローカルネットワークのサブネットマスクを入力します。ネットマスクは、このドキュメントの「IPSec VPNサーバのユーザ設定」セクションのステップ2のサブネットマスクフィールドと一致する必要があります。

ステップ19:[OK]をクリックして、リモートネットワークリソースの追加を終了します。

ステップ20:[Save]をクリックして、VPNサイトに接続するための設定を保存します。

ステップ21:[VPN Access Manager]ウィンドウに戻り、設定したVPNサイトを選択し、[Connect]ボタンをクリックします。

[VPN Connect]ウィンドウが表示されます。

ステップ22:[Credentials]セクションで、このドキュメントの「IPSec VPN Server User Configuration」セクションのステップ4で設定したアカウントのユーザ名とパスワードを入力します。

ステップ23:RV130/RV130Wで[Connect to VPN]をクリックします。

IPSec VPNトンネルが確立され、VPNクライアントはRV130/RV130W LANの背後にあるリソースにアクセスできます。