VPN・リモートアクセスに関するFAQ
exchange-modeをmain modeにした場合、ローカルIDはIPアドレスで設定してください。
L2TP/IPsec はIPv6環境からの接続に対応しています。
詳細は下記を参照ください。
はい。PPTP及びL2TP/IPsecによる接続が可能であることを確認済みです。
ただし、利用する通信網(3G回線)によって使用できないVPNプロトコルがある場合があります。詳細はご利用の通信事業者の窓口にお問い合わせください。また、WiFi環境から接続する場合には、ファイアウォール等によりブロックされる場合があります
今のところ、IIJが相互接続性について確認・推奨している機器はSEILシリーズだけです。今後、他ベンダ製品との相互接続性の確認を順次行う予定です。
PPPAC機能によりSSTPサーバとして利用可能です。
IPsec/IKE
暗号アルゴリズムと同様、認証の正確さとパフォーマンスは反比例の関係にあるため、目的に合わせて使い分けます。
改竄や詐称の防止を重視する場合にはHMAC SHA1を、パフォーマンス重視の場合はHMAC MD5の使用をお勧めします。
暗号の強さとパフォーマンスは反比例の関係にあり、目的に合わせて使い分けます。
一般に、秘匿性を重視する場合には、3DESなど鍵長が長く強い暗号アルゴリズムを、 パフォーマンスを重視する場合にはDESなどの暗号化や複号化処理が速い暗号アルゴリズムを使用します。
SEILは基本的にAESの使用を推奨しています。だし SEIL/Turbo、SEIL/Plusでは、搭載した暗号化チップによるハードウェア処理が可能な3DESが推奨です。これら以外の暗号アルゴリズムは、相互接続性が求められる場合のみ利用されることをお勧めします。
"show status ike"コマンドおよび"show status ipsec"コマンドで通信状況を参照できます。
Webインタフェースからは「運用」>「各種動作情報」で、「IPsec情報」と「IKE情報」を参照してください。
(*)Webからの設定・管理操作は、SEIL/PlusおよびSEIL/neu 2FE,128,T1用ファームウェアVer.1系のみ可能
スター型VPNにおいて、子拠点では動的IPアドレスを用いることができます。ただし、親拠点は固定グローバルIPアドレスである必要があります。
また、IKE phase1におけるExchange Mode は Aggressive Mode である必要があります。
トランスポートモードは、SEILと端末との通信に対して認証や暗号化を行う場合に使用します。トンネルモードは、ネットワーク間の通信に対して認証や暗号化を行う場合に使用します。
- 「VPN 第2版」 (Charlie Scott、Paul Wolfe、Mike Erwin 著/歌代 和正 監訳/ 須田 隆久 訳/ オライリー・ジャパン)
- 「ポイント図解式 VPN/VLAN教科書」 (是友 春樹 著/アスキー)
- 「マスタリングIPsec」 (馬場 達也 著/ オライリー・ジャパン)
などがあります。IPsec、IKEについて更に詳しく知りたい場合は、RFCの参照をお勧めします。
SEIL/Turboは最大256対向、SEIL/Plusは最大64対向、SEIL/neu 2FE,128,T1では最大16対向のIPsecトンネルを張ることが可能です。
SEIL/Turboは最大512個、SEIL/Plusは最大128個、SEIL/neu 2FE,128,T1では最大32個の、IPsecセキュリティポリシーを登録可能です。
SEILの手動鍵設定では、HMAC MD5、HMAC SHA1、KEYED MD5、KEYED SHA1を認証アルゴリズムとして利用できます。
SEILの手動鍵設定では、DES、3DES、Blowfish、CAST-128、AES(Rijndael)を暗号アルゴリズムとして利用できます。
IPsec SAで使用するトンネルにはインタフェースの制限はありません。よって、WAN側(numbered設定時)だけでなくLAN側でも使用可能です。
SEILでは、IKE事前共有鍵[Preshared Key]として、IKE Peer識別子と同じ文字列を用います。
FQDN(完全なドメイン名)、ユーザFQDN(メールアドレスなど)、IPアドレスが設定できます。
IPsecにおいて、トンネルモード かトランスポートモードで使用するかを決めます。
また、IPsecにおけるSAの鍵管理を手動で行うか自動でおこなうかを決めます。
手動で鍵管理を行う場合、IPsecセキュリティアソシエーションで、マニュアル設定の部分を設定します。
自動で鍵管理を行う場合にはIKEを設定します。
SEILがサポートしているのはトランスポートモードとトンネルモードです。トランスポートモードではAHとESPの組み合わせは自由ですが、トンネルモードではESPが必項となります。
IPsecの鍵交換の管理方法には、手動鍵管理とIKE [Internet Key Exchange:自動鍵管理プロトコル]があります。 SEILは、両者に対応しています。
セキュリティアソシエーションプロポーサル、セキュリティアソシエーション、セキュリティポリシーの設定を行います。
復号処理に比べて暗号化処理の方が若干高速に処理されます。
対向ホストと、ライフタイム、認証アルゴリズム、暗号化アルゴリズム、PFS GROUPが合致するように設定します。
対向ホストと、ライフタイム、認証アルゴリズム、暗号化アルゴリズム、PFS GROUPが合致するように設定します。
IPsec通信を設定する上で決めた鍵管理(自動の時はIKE、手動の時はマニュアル)を選択して、 セキュリティアソシエーションを追加します。
VPNで利用するにはトンネルモードを、端末間でIPsecを利用する場合はトランスポートモードを設定してください。
また、SEILでトンネルモードを用いる場合、AHは使用できません。必ずESPを使用してください。
IPsecのセキュリティアソシエーション[Security Association:セキュリティ通信のための接続]とは、 ノード間の認証・暗号化アルゴリズムの整合性を取るために作る相互通信の関係のことです。 SAは片方向の通信について独立して設定されるので、双方向の通信を行うためには2つのSAが必要となります。
プロトコル番号50で定義(RFC1700)されており、パケットの認証および暗号を行います。 パケットの改竄、盗聴の防止に威力を発揮します。
ESPではデータ部分のみチェックを行います。
プロトコル番号51で定義(RFC1700)されており、パケットの認証のみを行います。
AHはIPヘッダのチェックが可能なため、パケットの改竄には効力を発揮します。
しかし、パケットの盗聴に対しては無防備です。
インターネットで標準となっている認証と暗号化の方式です。IPsecにはトランスポートモードとトンネルモードがあり、利用形態に応じて使い分けます。
各暗号アルゴリズムの暗号強度は、強い順にAES、3DES、CAST-128、DESとなります。
また、BlowfishはCAST-128と同じぐらいの強さになります。
ただし、強い暗号ほど暗号化や復号化の処理に時間が要するため、全体的なパフォーマンスが低下する可能性があります。
対向ホストと認証メソッド、ハッシュアルゴリズム、暗号アルゴリズム、DH groupが合うように設定してください。
事前共有鍵、プロポーザル、Peerの設定を行う必要があります。
UDP/500 (isakmp)を使用しています。IPフィルタを併用する場合には破棄(block)しないよう注意してください。
IKEには、フェーズ1とフェーズ2があります。フェーズ1ではIKE通信を行うための各種パラメータを交換し、フェーズ2ではIPsec通信を行うための各種パラメータを交換します。
コマンドラインから"clear ipsec security-association", "clear ike"の順に実行してください。
IKE SAが初期化され、IKEが再構成されます。
IPsecで使用される暗号化や認証のための鍵パラメータを交換します。
IKEフェーズ1のライフタイムの方が必ず長くなるように設定してください。
SEILの初期値は、フェーズ1が15分、フェーズ2が10分となっています。
IKEで使用される暗号化や認証の為の鍵パラメータを交換します。
SEILのexchange modeには、main modeとaggressive modeがあります。
SEILではPreshared Key [事前共有鍵方式]をサポートしています。PKIには対応していません。
IKEのフェーズ1、IKE SAのパラメータを交換するモードのことです。
Webインタフェースでは、リモートID、ローカルIDの種類によって一番セキュリティが高くなるようにexchange-modeが設定されます。
以下の利用が可能です。
- フェーズ1:
- 暗号化アルゴリズム:DES, 3DES, Blowfish, CAST-128
- ハッシュ:MD5、SHA1
- フェーズ2:
- 暗号アルゴリズム:DES, 3DES, Blowfish, CAST-128, AES(Rijndael)
- 認証アルゴリズム:DES, 3DES, HMAC-MD5, HMAC-SHA1
一旦Peer設定を削除後、新しく作成してください。ログには"peers IP address duplicated"と出力されます。
Unnumbered時には、対向機器のLAN側IPアドレスを設定します。
Numbered時には対向機器のWAN側IPアドレスを設定します。 このとき、IPsecセキュリティアソシエーションは、終点および始点 IPアドレスをそれぞれのWAN側IPアドレスで設定してください。
L2TPv3
有効なコンフィグが作成された時点で自動的にトンネルを作成します。
何らかの理由でトンネルが切断された場合は、一定間隔でリトライを行ない、常にトンネルを維持しようとします。
はい。ハブとなる1拠点に、ポートとなる複数拠点ごとの接続設定を行い、ポート拠点はハブ拠点への接続設定を行うことで1対多の構成となります。
また、特定の1拠点をハブとせず、多対多のメッシュ型で構築することも可能です。この場合、接続構成はメッシュ型ですが、ブリッジ動作のループ制御としてSTPを使用する必要があり、通信路はスター型またはツリー型となります。
LANインタフェースとL2TPv3インタフェースでブリッジグループを構成している場合は、VLANフレームはTAG付きのまま透過されます。
VLANインタフェースのL2TPv3インタフェースでブリッジグループを構成している場合には、VLANインタフェースで受信した時点でTAGが外されます。
L2TPv3のHelloパケットは、平常時はhello-intervalの指定間隔で送信します。Helloパケットに応答が無いことを検知すると、retryで指定した回数の再送を行い、すべてに応答が無いとダウンと判定します。
retryの間隔は一定ではなく、回数に従い大きくなります。詳細は機能解説を参照ください。
PPPアクセスコンセントレータ(PPPAC)
使用する認証レルムの種別によって制限が異なります。
ローカル認証レルムでは 64 ユーザが登録可能です。アカウントリスト認証レルムではファイルサイズの制限に従います。アカウントリストの最大サイズは、256K(262,144)バイトです。RADIUS認証レルムではSEILがユーザ数を制限することはありません。
なお、リモートアクセスVPNのご利用ユーザ数の制限としては、登録可能ユーザ数のほかに同時接続セッション数の制限があります。SEIL/X1 では PPPAC 機能全体で 512 セッションです。pppac option session-limit off と設定することで、この制限を解除することができますが、リソースの管理にご注意ください (SEIL/Plus, SEIL/Turboは対応しておりません)。
また、 PPPAC インタフェースごと、ユーザーごとに同時接続数を制限をすることも可能です(max-session, user-max-session)。
各設定項目の最大値については、対応する機種の技術情報をご確認ください。
いいえ。
リモートアクセスクライアント側の持つMACアドレスや証明書等による端末認証は利用できません。
L2TP/IPsec はIPv6環境からの接続に対応しています。
詳細は下記を参照ください。
できます。 MPPE (RC4 40,56,128bit) で暗号化されます。
はい。PPTP及びL2TP/IPsecによる接続が可能であることを確認済みです。
ただし、利用する通信網(3G回線)によって使用できないVPNプロトコルがある場合があります。詳細はご利用の通信事業者の窓口にお問い合わせください。また、WiFi環境から接続する場合には、ファイアウォール等によりブロックされる場合があります
取得したリストの内容を確認するコマンドはありません。
サーバの障害などでアカウントリストの取得に失敗した場合でも、SEILは最後に取得したアカウントリストの内容を保持しています。その情報を元にして、SEILはリモートアクセスの認証を継続します。
この時、SEILの電源を切ってしまうと保持しているリストの情報は消失します。再起動時にアカウントリストの取得ができないと、メモリ上にアカウント情報が無い状態となるため、再度アカウントリストの取得が可能となるまでの間、リモートアクセスの認証はできなくなります。
PPPAC機能によりSSTPサーバとして利用可能です。
SEILにはLDAPクライアント機能はありませんので、AD連携(LDAP)はできません。
SEILにはRadiusサーバを利用して認証レルムを構成するRadiusクライアント機能がありますので、WindowsサーバにてRadiusサーバ(IAS)機能を動作させることで、Active Directoryにて管理しているユーザ情報を利用する(認証を統合する)ことが可能です。
PPPをカプセル化してトンネルする、L2TP/IPsec、PPTP に対応しています。リモートアクセス VPN ではありませんが、PPPoE サーバにも対応しています。大量の PPP を集約する機能として提供しているため、PPP アクセスコンセントレータ機能と呼んでいます。 Turbo Plus CS-510 のファームウェア 1.80 以降で使用できます。
