本文へ
TOP 前へ 次へ



第5章  拡張設定をする > 9  VPNの設定 > VPN通信の設定をする

VPN通信の設定をする

VPN通信の設定手順を説明します。

ポイント
  • VPN通信で、リモートグループのパソコンにホスト名でアクセスする場合は、本手順の終了後、VPN通信をホスト名で行うをご覧になり、必要な設定を行ってください。
重要

設定を行う前に

  • 本製品のIKEはメインモードに対応しています。このため、本製品、およびリモートグループのトンネルエンドポイントとなる機器のWAN側のIPアドレスには常に同じIPアドレスが設定されている必要があります。
  • リモートグループのVPNゲートウェイ機器のインターネット(WAN)側IPアドレスを確認してください。
    また設定内容について、必ずリモートグループ側と合意を取っておいてください。設定内容は、キーの交換方式を自動にするか、手動にするかによって異なります。それぞれ次の項目についてご確認ください。
    なお、これらの設定内容が第三者に知られると、セキュリティは守られません。合意のための情報交換は、十分注意して行ってください。
    • キー交換方式が、自動キー交換(IKE)の場合
      VPNメニュー画面の「IKE SAプロポーサル」カテゴリ内(〔キーマスク:〕を除く)、「IPSec SAプロポーサル」カテゴリ内の設定内容
    • キー交換方式が、手動キー交換の場合
      VPNメニュー画面の「手動キー設定」カテゴリ内(〔キーマスク:〕を除く)の設定内容

ローカルグループとリモートグループのLANのアドレスについて

ローカルグループとリモートグループのLANのアドレスで、同じIPアドレスまたはネットワークアドレスを使用することはできません。同じアドレスを設定している場合は、どちらかのネットワークアドレスを変更してください。ローカルグループのLANのネットワークアドレスを変更する場合は、本製品のLAN側のIPアドレスを変更します。

例)ローカルグループとリモートグループのLANのネットワークアドレスまたはIPアドレスが、どちらも「192.168.2.xxx」の場合

VPNの基本設定

  1. トップメニューの「VPN」をクリックします。
    トップメニューの「VPN」
  2. トンネルのポリシー情報を設定します。
    「VPN」メニュー画面
    1. 〔ポリシー:〕  設定を行うトンネルのポリシーを選択し、「使用」を 選択されている状態 にします。
      設定を行うトンネルが1つの場合は、「ポリシー1」を選択します。
      ポイント

      複数の拠点とトンネルを設定する場合

      〔ポリシー:〕の「ポリシー1」〜「ポリシー70」を選択して、70の拠点とのトンネル接続が設定できます。設定ごとにポリシーの設定を行います。

    2. 〔ポリシー名:〕  設定を行うVPNトンネルのポリシーの識別子を設定します。
      任意の文字列を、半角英数字32文字以内で入力します。 全角文字、半角カタカナ、および半角記号は使用できません。
  3. 次のように設定します。
    「VPN」メニュー画面
    1. ローカルグループを指定します。
      ローカルグループには、本製品側のLAN上のパソコンのIPアドレス、またはネットワークアドレスを指定します。
      • 特定のクライアントを指定する場合
        〔指定方法:〕で「IPアドレス指定」を選択し、〔IPアドレス:〕にクライアントのIPアドレスを指定します。
      • ネットワークアドレスで指定する場合
        〔指定方法:〕で「ネットワーク指定」を選択して、〔IPアドレス:〕にネットワークアドレス(例:192.168.2.0)を入力し、〔サブネットマスク:〕の アイコン をクリックしてリストからサブネットマスクの値を選択します。
    2. リモートグループを指定します。
      リモートグループには、通信相手側のLAN上のパソコンのIPアドレス、またはネットワークアドレスを指定します。
      • 特定の通信相手を指定する場合
        〔指定方法:〕で「IPアドレス指定」を選択し、〔IPアドレス:〕にIPアドレスを指定します。
      • ネットワークアドレスで指定する場合
        〔指定方法:〕で「ネットワーク指定」を選択して、〔IPアドレス:〕にネットワークアドレスを入力し、〔サブネットマスク:〕の アイコン をクリックしてリストからサブネットマスクの値を選択します。
    3. トンネルエンドポイントIPアドレスを指定します。
      〔指定方法:〕で「IPアドレス指定」を選択し、〔IPアドレス:〕にリモートグループ側のVPNゲートウェイ機器のインターネット(WAN)側IPアドレスを設定します。
      ポイント
      • 〔指定方法:〕で「指定なし(レスポンダ)」選択した場合、通信相手に要求された場合だけ、IPSec通信を行います。
    4. 〔キー交換方式:〕  キー交換方式を選択します。
      アイコン をクリックして「自動キー交換(IKE)」、「手動キー交換」のいずれかを選択します。

続いてキーの設定を行います。暗号キーの設定は〔キー交換方式:〕の設定によって異なります。
〔キー交換方式:〕で「自動キー交換(IKE)」を選択した場合、キーを自動で設定する場合にお進みください。
〔キー交換方式:〕で「手動キー交換」を選択した場合、キーを手動で設定する場合にお進みください。

キーを自動で設定する場合

  1. IKE SAプロポーサルの設定を行います。
    ポイント
    • IKEのキー交換の際のPFSは常に有効です。
    「VPN」メニュー画面
    1. 〔IKE認証キー:〕  IKE認証キーを入力します。
      任意の文字列を、半角英数字64文字以内で入力します。 全角文字、半角カタカナ、および半角記号は使用できません。
    2. 〔キーマスク:〕  IKE認証キーを●でマスク表示する場合は、「有効」をクリックして チェックが入っている状態 にします。
    3. 〔Diffie-Hellmanグループ:〕  Diffie-Hellmanキー交換方式で使用するキーの長さを指定します。
      アイコン をクリックして、「低(768ビット)」、「中(1024ビット)」、「高(1536ビット)」のいずれかを選択します。
    4. 〔IKE SA有効期限:〕  暗号キーの有効期限を指定します。
      ここで設定した期限が切れると、暗号キーを自動交換します。
    5. 〔IKEアルゴリズム1:〕/〔IKEアルゴリズム2:〕  通信相手の認証アルゴリズムおよび暗号化アルゴリズムを指定します。
      ポイント
      • IKE SAプロポーサルのアルゴリズムは、2つ設定できます。そのうちの1つは必ずリモートグループ側の設定と一致するようにしてください。
      • 「認証」
        認証アルゴリズムを指定します。 アイコン をクリックして、「SHA1」、「MD5」のいずれかを選択します。
      • 「暗号化」
        暗号化アルゴリズムを指定します。 アイコン をクリックして、「3DES」、「DES」のいずれかを選択します。
  2. IPSec SAプロポーサルの設定を行います。
    「VPN」メニュー画面
    1. 〔IPSec PFS:〕  IPSecのキー交換の際にPFSを有効にするかどうか設定します。
      有効にする場合は、「有効」をクリックして 選択されている状態 にします。
      無効にする場合は、「無効」をクリックして 選択されている状態 にします。
    2. 〔IPSec SA有効期限:〕  暗号キーの有効期限を指定します。
      ここで設定した期限が切れると、暗号キーを自動交換します。
    3. 〔IPSecアルゴリズム1:〕/〔IPSecアルゴリズム2:〕/〔IPSecアルゴリズム3:〕/〔IPSecアルゴリズム4:〕  通信相手の認証アルゴリズムおよび暗号化アルゴリズムを指定します。
      ポイント
      • IPSec SAプロポーサルのアルゴリズムは、4つ設定できます。そのうちの1つは必ずリモートグループ側の設定と一致するようにしてください。
      • 「AH認証」
        AH認証アルゴリズムを指定します。
        AH認証アルゴリズムを有効にする場合は、 アイコン をクリックして、「SHA1」、「MD5」のいずれかを選択します。
        AH認証アルゴリズムを無効にする場合は、 アイコン をクリックして「無効」を選択します。
      • 「ESP暗号化」
        ESP暗号化アルゴリズムを指定します。
        ESP暗号化アルゴリズムを有効にする場合は、 アイコン をクリックして、「3DES」、「DES」のいずれかを選択します。
        ESP暗号化アルゴリズムを無効にする場合は、 アイコン をクリックして「無効」を選択します。
      • 「ESP認証」
        ESP認証アルゴリズムを指定します。
        ESP認証アルゴリズムを有効にする場合は、 アイコン をクリックして、「SHA1」、「MD5」のいずれかを選択します。
        ESP認証アルゴリズムを無効にする場合は、 アイコン をクリックして「無効」を選択します。
    4. 「設定」をクリックします。
    「設定を保存しています。」という画面が終了すると、設定した内容が有効になります。

キーを手動で設定する場合

  1. 手動キー設定を行います。
    「VPN」メニュー画面
    1. 〔SPI値:〕  SPI(Security Parameter Index)値の下3桁を指定します。
      16進数8文字で、100〜FFFの範囲で入力します。使用できる文字は、半角の0〜9、A〜F、a〜fです。
      ポイント
      • SPI値の上5桁は、あらかじめ「00000」に設定されています。
        〔SPI値:〕に「100」を設定した場合、実際のSPI値は「00000100」になります。
    2. 通信相手の認証アルゴリズムおよび暗号化アルゴリズムを指定します。
      各項目の「キー」に使用できる文字は、半角の0〜9、A〜F、a〜fです。
      1. 〔AH認証アルゴリズム:〕  AH認証アルゴリズムを指定します。
        AH認証アルゴリズムを有効にする場合は、 アイコン をクリックして、「SHA1」、「MD5」のいずれかを選択し、次のように「キー」にAH認証キーを入力します。
        • 「SHA1」の場合
          「キー」を16進数40文字で入力します。
        • 「MD5」の場合
          「キー」を16進数32文字で入力します。
        AH認証アルゴリズムを無効にする場合は、 アイコン をクリックして「無効」を選択します。
      2. 〔ESP認証アルゴリズム:〕  ESP認証アルゴリズムを指定します。
        ESP認証アルゴリズムを有効にする場合は、 アイコン をクリックして、「SHA1」、「MD5」のいずれかを選択し、次のように「キー」にESP認証キーを入力します。
        • 「SHA1」の場合
          「キー」を16進数40文字で入力します。
        • 「MD5」の場合
          「キー」を16進数32文字で入力します。
        ESP認証アルゴリズムを無効にする場合は、 アイコン をクリックして「無効」を選択します。
      3. 〔ESP暗号化アルゴリズム:〕  ESP暗号化アルゴリズムを指定します。
        ESP暗号化アルゴリズムを有効にする場合は、 アイコン をクリックして、「3DES」、「DES」のいずれかを選択し、次のように「キー」に暗号化キーを入力します。
        • 「3DES」の場合
          「キー」を16進数48文字で入力します。
        • 「DES」の場合
          「キー」を16進数16文字で入力します。
        ESP暗号化アルゴリズムを無効にする場合は、 アイコン をクリックして「無効」を選択します。
    3. 〔キーマスク:〕  IKEキー認証キーを●でマスク表示する場合は、「有効」をクリックして チェックが入っている状態 にします。
    4. 「設定」をクリックします。
    「設定を保存しています。」という画面が終了すると、設定した内容が有効になります。

ページトップへ


TOP 前へ 次へ

All Rights Reserved, Copyright© FUJITSU LIMITED 2003-2004