Shrew Soft VPN Clientを使用したRV130およびRV130W上のIPSec VPNサーバとの接続

目的

IPSec VPN（バーチャルプライベートネットワーク）を使用すると、インターネット上に暗号化されたトンネルを確立して、リモートリソースを安全に取得できます。

RV130およびRV130WはIPSec VPNサーバとして動作し、Shrew Soft VPNクライアントをサポートします。

クライアントソフトウェアの最新リリースを必ずダウンロードしてください。

・ Shrew Soft(https://www.shrew.net/download/vpn)

注：IPSec VPNサーバを使用してShrew Soft VPN Clientのセットアップと設定を正常に行うには、まずIPSec VPNサーバを設定する必要があります。この方法については、『RV130およびRV130WでのIPSec VPNサーバの設定』の記事を参照してください。

このドキュメントの目的は、Shrew Soft VPN Clientを使用してRV130およびRV130W上のIPSec VPNサーバに接続する方法を説明することです。

適用可能なデバイス

・ RV130W Wireless-N VPNファイアウォール

・ RV130 VPNファイアウォール

システム要件

・ 32または64ビットシステム

・ Windows 2000、XP、Vista、またはWindows 7/8

トポロジ

次に、Shrewsoftのクライアントとサイト間の設定に関係するデバイスを示すトップレベルのトポロジを示します。

小規模企業のネットワーク環境におけるDNSサーバの役割を示す詳細なフローチャートを次に示します。

[Software Version]

•1.0.1.3

ShrewソフトVPNクライアントのセットアップ

IPSec VPNのセットアップとユーザ設定

ステップ 1：Web設定ユーティリティにログインし、VPN > IPSec VPN Server > Setupの順に選択します。Setupページが開きます。

ステップ 2：RV130のIPSec VPNサーバが正しく設定されていることを確認します。IPSec VPNサーバが設定されていない場合、または設定に誤りがある場合は、『RV130およびRV130WでのIPSec VPNサーバの設定』を参照して、Saveをクリックします。

注：上記の設定は、RV130/RV130W IPSec VPNサーバ設定の例です。これらの設定は、ドキュメント『RV130およびRV130WでのIPSec VPNサーバの設定』に基づくもので、後の手順で説明します。

ステップ 3：VPN > IPSec VPN Server > Userの順に移動します。ユーザページが表示されます。

ステップ 4：Add Rowをクリックして、VPN Client（拡張認証）の認証に使用するユーザアカウントを追加し、表示されるフィールドに目的のユーザ名とパスワードを入力します。

ステップ 5：[Save] をクリックして、設定を保存します。

VPN Client の設定

ステップ 1：Shrew VPN Access Managerを開き、Addをクリックしてプロファイルを追加します。

VPN Site Configurationウィンドウが表示されます。

ステップ 2：Generalタブの下にあるRemote Hostセクションで、接続しようとしているネットワークのパブリックホスト名またはIPアドレスを入力します。

注：ポート番号がデフォルト値の500に設定されていることを確認してください。VPNが機能するには、トンネルでUDPポート500を使用します。このポートは、ISAKMPトラフィックをファイアウォールで転送できるように設定する必要があります。

ステップ 3：Auto Configurationドロップダウンリストで、disabledを選択します。

使用可能なオプションは、次のように定義されます。

・ Disabled：自動クライアント設定を無効にします。

・ IKE Config Pull：クライアントがコンピュータからの設定要求を実行できるようにします。コンピュータによるPullメソッドのサポートにより、要求はクライアントでサポートされる設定のリストを返します。

・ IKE Config Push：設定プロセスを通じて設定をクライアントに提供する機会をコンピュータに与えます。コンピュータによるPushメソッドのサポートにより、要求はクライアントでサポートされる設定のリストを返します。

・ DHCP Over IPSec:DHCP over IPSecを使用してコンピュータに設定を要求する機会をクライアントに与えます。

ステップ 4：Local HostセクションのAdapter Modeドロップダウンリストで、Use an existing adapter and current addressを選択します。

使用可能なオプションは、次のように定義されます。

・ Use a virtual adapter and assigned address：クライアントが、指定されたアドレスを持つ仮想アダプタをIPsec通信の送信元として使用できるようにします。

・ Use a virtual adapter and random address：クライアントが、ランダムなアドレスを持つ仮想アダプタをIPsec通信の送信元として使用できるようにします。

・ Use an existing adapter and current address：クライアントが、現在のアドレスをIPsec通信の送信元とする既存の物理アダプタのみを使用できるようにします。

ステップ 5：Clientタブをクリックします。NAT Traversalドロップダウンリストで、『RV130およびRV130WでのIPSec VPNサーバの設定』の記事に記載されている、NATトラバーサルに関してRV130/RV130Wで設定したものと同じ設定を選択します。

使用可能なNetwork Address Translation Traversal（NATT；ネットワークアドレス変換トラバーサル）メニューオプションは、次のように定義されています。

・ Disable:NATTプロトコル拡張は使用されません。

・ Enable:NATプロトコル拡張は、ネゴシエーション中にVPNゲートウェイでサポートが示され、NATが検出された場合にのみ使用されます。

・ Force-Draft:NATプロトコル拡張のドラフトバージョンは、VPNゲートウェイがネゴシエーション中のサポートを示しているか、NATが検出されたかに関係なく使用されます。

・ Force-RFC:NATプロトコルのRFCバージョンは、VPNゲートウェイがネゴシエーション中のサポートを示しているか、またはNATが検出されているかどうかに関係なく使用されます。

・ Force-Cisco-UDP:NATを使用せずに、VPNクライアントのUDPカプセル化を強制します。

手順 6：DNSを有効にする場合は、Name Resolutionタブをクリックして、Enable DNSチェックボックスにチェックマークを入れます。サイト設定に特定のDNS設定が不要な場合は、Enable DNSチェックボックスのチェックマークを外します。

ステップ7:（オプション）リモートゲートウェイがConfiguration Exchangeをサポートするように設定されている場合、ゲートウェイはDNS設定を自動的に提供できます。取得できない場合は、Obtain Automaticallyチェックボックスがオフになっていることを確認し、有効なDNSサーバアドレスを手動で入力します。

ステップ8:（オプション）Windowsインターネットネームサーバ(WINS)を有効にするには、Name Resolutionタブをクリックして、Enable WINSチェックボックスにチェックマークを入れます。 Configuration Exchangeをサポートするようにリモートゲートウェイが構成されている場合、ゲートウェイは自動的にWINS設定を提供できます。同期していない場合は、Obtain Automaticallyチェックボックスがオフになっていることを確認し、有効なWINSサーバアドレスを手動で入力します。

注：WINS構成情報を指定すると、クライアントはリモートプライベートネットワークにあるサーバを使用してWINS名を解決できます。これは、Uniform Naming Convention(UNC)パス名を使用して、リモートWindowsネットワークリソースにアクセスしようとする場合に便利です。通常、WINSサーバはWindowsドメインコントローラまたはSambaサーバに属します。

ステップ 9：Authenticationタブをクリックし、Authentication MethodドロップダウンリストからMutual PSK + XAuthを選択します。

使用可能なオプションは、次のように定義されます。

・ RSAとXAuthのハイブリッド：クライアントクレデンシャルは不要です。クライアントがゲートウェイを認証します。クレデンシャルは、PEM、PKCS12証明書ファイル、またはキーファイルタイプの形式で指定します。

・ ハイブリッドGRP + XAuth：クライアントクレデンシャルは必要ありません。クライアントがゲートウェイを認証します。クレデンシャルは、PEMまたはPKCS12証明書ファイルと共有秘密文字列の形式になります。

・ 相互RSA + XAuth – クライアントとゲートウェイの両方で認証に資格情報が必要です。クレデンシャルは、PEMまたはPKCS12証明書ファイルまたはキータイプの形式になります。

・ 相互PSK + XAuth：クライアントとゲートウェイの両方で、認証にクレデンシャルが必要です。クレデンシャルは、共有秘密文字列の形式になります。

・ Mutual RSA ：クライアントとゲートウェイの両方で、認証のために認証情報が必要です。クレデンシャルは、PEMまたはPKCS12証明書ファイルまたはキータイプの形式になります。

・ 双方向PSK：クライアントとゲートウェイの両方で、認証のために資格情報が必要です。クレデンシャルは、共有秘密文字列の形式になります。

ステップ 10：Authenticationセクションで、Credentialsサブタブをクリックし、IPsec VPN Server Setupページで設定した同じ事前共有キーをPre Shared Keyフィールドに入力します。

ステップ 11Phase 1タブをクリックします。このドキュメントの「IPSec VPNサーバユーザ設定」セクションのステップ2で設定したRV130/RV130Wと同じ設定になるように、次のパラメータを設定します。

Shrew Softのパラメータは、フェーズ1のRV130/RV130W設定と次のように一致する必要があります。

・ 「Exchange Type」は「Exchange Mode」と一致する必要があります。

・ 「DH Exchange」は「DH Group」と一致させる必要があります。

・ 「Cipher Algorithm」は「Encryption Algorithm」と一致する必要があります。

・ 「ハッシュアルゴリズム」は「認証アルゴリズム」と一致する必要があります。

ステップ12:（オプション）phase1ネゴシエーションの際にゲートウェイがCisco互換のベンダーIDを提示する場合は、Enable Check Point Compatible Vendor IDチェックボックスにチェックマークを付けます。ゲートウェイが表示されない場合、または不明な場合は、このチェックボックスをオフのままにします。

ステップ 13Phase 2タブをクリックします。このドキュメントの「IPSec VPNサーバユーザ設定」セクションのステップ2で設定したRV130/RV130Wと同じ設定になるように、次のパラメータを設定します。

Shrew Softのパラメータは、フェーズ2のRV130/RV130W設定と次のように一致する必要があります。

・ 「Transform Algorithm」は「Encryption Algorithm」と一致する必要があります。

・ 「HMACアルゴリズム」は「認証アルゴリズム」と一致する必要があります。

・ RV130/RV130WでPFSキーグループが有効になっている場合は、「PFS Exchange」が「DH Group」と一致している必要があります。そうでない場合は、disabledを選択します。

・ 「Key Life Time limit」は「IPSec SA Lifetime」と一致する必要があります。

ステップ 14：Policyタブをクリックし、Policy Generation Levelドロップダウンリストでrequireを選択します。Policy Generation Levelオプションでは、IPSecポリシーが生成されるレベルが変更されます。ドロップダウンリストで提供されるさまざまなレベルは、さまざまなベンダーの実装によって実装されるIPSec SAネゴシエーション動作にマッピングします。

使用可能なオプションは、次のように定義されます。

・ Auto：クライアントは適切なIPSecポリシーレベルを自動的に決定します。

・ Require – クライアントは、ポリシーごとに一意のセキュリティアソシエーション(SA)をネゴシエートしません。ポリシーは、ローカルパブリックアドレスをローカルポリシーIDとして使用し、リモートネットワークリソースをリモートポリシーIDとして使用して生成されます。フェーズ2プロポーザルはネゴシエーション時にポリシーIDを使用します。

・ Unique – クライアントは、ポリシーごとに一意のSAをネゴシエートします。

・ 共有：ポリシーは必要なレベルで生成されます。フェーズ2のプロポーザルでは、ネゴシエーション時にローカルポリシーIDをローカルIDとして、Any(0.0.0.0/0)をリモートIDとして使用します。

ステップ 15：Obtain Topology AutomaticallyまたはTunnel Allチェックボックスのチェックマークを外す。このオプションは、接続に対するセキュリティポリシーの設定方法を変更します。無効の場合は、手動設定を実行する必要があります。有効にすると、自動設定が実行されます。

ステップ 16：Addをクリックして、接続先のリモートネットワークリソースを追加します。リモートネットワークリソースには、リモートデスクトップアクセス、部門リソース、ネットワークドライブ、および安全な電子メールが含まれます。

Topology Entryウィンドウが表示されます。

ステップ 17：Addressフィールドに、RV130/RV130WのサブネットIDを入力します。このアドレスは、このドキュメントの「IPSec VPNサーバのセットアップとユーザ設定」セクションのステップ2で指定したIP Addressフィールドと一致している必要があります。

ステップ 18：Netmask フィールドに、RV130/RV130Wのローカルネットワークのサブネットマスクを入力します。ネットマスクは、このドキュメントの「IPSec VPNサーバユーザ設定」セクションのステップ2で指定したサブネットマスクフィールドと一致している必要があります。

ステップ 19：Okをクリックして、リモートネットワークリソースの追加を終了します。

ステップ 20：Saveをクリックして、VPNサイトに接続するための設定を保存します。

ステップ 21：VPN Access Managerウィンドウに戻り、設定したVPNサイトを選択して、Connectボタンをクリックします。

VPN Connectウィンドウが表示されます。

ステップ 22：クレデンシャルのセクションで、このドキュメントの「IPSec VPNサーバユーザ設定」のセクションのステップ4で設定したアカウントのユーザ名とパスワードを入力します。

ステップ 23：Connect to VPN into the RV130/RV130Wをクリックします。

IPSec VPNトンネルが確立され、VPNクライアントはRV130/RV130W LANの背後にあるリソースにアクセスできます。

更新履歴

改定	発行日	コメント
1.0	11-Dec-2018	初版