IPsecアクセスコンセントレータ

IKEv2によるリモートアクセスサーバ（IPsecAC: IPsec Access Concentrator）機能を提供します。

表 1. 仕様概要
項目	値
AC設定数	8
VPNプロトコル	IKEv2
認証レルム	ローカル認証, アカウントリスト認証
認証メソッド	証明書 + EAP-MSCHAPv2
同時接続数	1024
ユーザ設定数	ローカル認証：64 アカウントリスト認証：リストファイルごとに256KB（個数制限なし）

表 2. IPv4/IPv6対応状況
機能	IPv4	IPv6	備考
VPNセッション	○	○
VPN上の通信	○	×

接続確認済みのリモートアクセスクライアント

Windows

Mac OS X

iOS

Android

注:

動作を保証するものではありません

ユーザ認証

リモートアクセスユーザの認証ポリシーを設定できます。

ローカル認証レルム

リモートアクセスユーザの認証情報をコンフィグ内に設定します。

ユーザ名（1-32文字）とパスワード（1-64文字）の他、IPアドレスの割当方法について設定できます。

ユーザに割り当てるIPアドレス(Framed-IP-Address)を指定可能。RFC791 の定めるClass A、B、C のアドレスで、かつClassfulネットワークにおけるブロードキャストアドレスではないアドレスを指定可能
ユーザに割り当てるIPアドレスに対するネットマスクは /32 固定
割り当てる IPアドレスをNASが選択するよう設定(nas-select) 可能

アカウントリスト認証レルム

リモートアクセスユーザの認証情報をリストファイル化して外部ファイルサーバに設置し、定期的に取得します。

リストファイル取得用のURLに指定可能なプロトコルは httpおよびhttps
- https を使用した場合に、SSLのサーバ認証は行わない
リスト取得のタイムアウトは20秒
リスト取得がタイムアウトした場合、1分間隔で 10回再取得を試みる。再取得に成功、あるいは10回すべて取得失敗した場合、次回取得は指定された定期取得間隔の時間経過後となる
定期的な取得に失敗したとき、およびアカウントリストの内容にエラーがあったとき、以前にリストを取得済みであればそれを使用し続ける
取得済のリストが存在するとき、URLを変更すると変更後のURLでの取得に成功するまでの間は、取得済のリストを使用し続ける
取得済のリストが存在するとき、URLの設定を削除した場合（アカウントリストを使用しない設定に変更した場合）は取得済みリストのアカウント情報を破棄する
システム起動後または設定変更後に、最初にリストの取得が成功するまでの間のユーザ認証は認証エラーとなる

IPsecAC（IKEv2リモートアクセスサーバ）の運用にあたっては、認証局（CA）に署名されたサーバ証明書を用意して秘密鍵と共にコンフィグに設定する必要があります。

使用可能な証明書アルゴリズム

使用できない証明書

自己署名証明書
チェーン証明書、証明書バンドル（2つ以上の `-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----` が含まれる証明書）

IKEv2リモートアクセスに使用するサーバ証明書の要件は次の通りです（詳細はRFC4945#section-5 を参照）。

リモートアクセスクライアントにより証明書に対して個別の要件が指定されている場合があります。

サーバ証明書を取得する際は、要件を満たすように証明書発行機関やプライベートCAの管理者に依頼してください。

プライベートCAが署名したサーバ証明書を使用する場合は、証明書に署名したプライベートCAの証明書が各クライアント端末のルートCAストアに登録されている必要があります（クライアント端末がプライベートCAを信用している必要があります）。

アドレスプールの範囲に対応するネットワークは、ゲートウェイが"discard"の静的経路として登録されます。
- アドレスプールの範囲に応じて複数のサブネットに分割して登録されます。
- この経路は他の静的経路と同様に、動的ルーティングプロトコルに再配布できます。
リモートアクセスクライアントの接続時にIPアドレスを割り当てると、そのホストアドレスまたはサブネットについて、ゲートウェイがpppac[]インタフェースの経路として追加します。
- この経路は動的ルーティングプロトコルに再配布されないため、アドレスプールに基づく経路情報と重複して広告されることはありません。
- この経路の経路MTUは、クライアントごとにPPP接続時に交換されたMRUと同値が設定されます。