IPsecアクセスコンセントレータ
IKEv2によるリモートアクセスサーバ(IPsecAC: IPsec Access Concentrator)機能を提供します。
項目 | 値 |
---|---|
AC設定数 | 8 |
VPNプロトコル | IKEv2 |
認証レルム | ローカル認証, アカウントリスト認証 |
認証メソッド | 証明書 + EAP-MSCHAPv2 |
同時接続数 | 1024 |
ユーザ設定数 |
|
機能 | IPv4 | IPv6 | 備考 |
---|---|---|---|
VPNセッション | ○ | ○ | |
VPN上の通信 | ○ | × |
- 接続確認済みのリモートアクセスクライアント
- Windows
- Windows 10, Windows 11
ユーザ認証
認証レルム
リモートアクセスユーザの認証ポリシーを設定できます。- ローカル認証レルム
- リモートアクセスユーザの認証情報をコンフィグ内に設定します。
- アカウントリスト認証レルム
- リモートアクセスユーザの認証情報をリストファイル化して外部ファイルサーバに設置し、定期的に取得します。
サーバ証明書
IPsecAC(IKEv2リモートアクセスサーバ)の運用にあたっては、認証局(CA)に署名されたサーバ証明書を用意して秘密鍵と共にコンフィグに設定する必要があります。
- 使用可能な証明書アルゴリズム
-
- RSA-SHA1
- RSA-SHA256
- ECDSA-SHA256
- ECDSA-SHA386
- ECDSA-SHA512
- 使用できない証明書
-
- 自己署名証明書
- チェーン証明書、証明書バンドル(2つ以上の `-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----` が含まれる証明書)
IKEv2リモートアクセスに使用するサーバ証明書の要件は次の通りです(詳細はRFC4945#section-5 を参照)。
- PEM形式のX.509 証明書であること
- CN(Common Name)に用いるFQDNまたはIPアドレスを、SAN(Subject Alternative Names)にも含めること
- 例:EKU(Extended Key Usage)に、Server Authentication(1.3.6.1.5.5.7.3.1) を含めること
サーバ証明書を取得する際は、要件を満たすように証明書発行機関やプライベートCAの管理者に依頼してください。
プライベートCAが署名したサーバ証明書を使用する場合は、証明書に署名したプライベートCAの証明書が各クライアント端末のルートCAストアに登録されている必要があります(クライアント端末がプライベートCAを信用している必要があります)。
アドレスプールに対する経路制御
- アドレスプールの範囲に対応するネットワークは、ゲートウェイが"discard"の静的経路として登録されます。
- アドレスプールの範囲に応じて複数のサブネットに分割して登録されます。
- この経路は他の静的経路と同様に、動的ルーティングプロトコルに再配布できます。
- リモートアクセスクライアントの接続時にIPアドレスを割り当てると、そのホストアドレスまたはサブネットについて、ゲートウェイがpppac[]インタフェースの経路として追加します。
- この経路は動的ルーティングプロトコルに再配布されないため、アドレスプールに基づく経路情報と重複して広告されることはありません。
- この経路の経路MTUは、クライアントごとにPPP接続時に交換されたMRUと同値が設定されます。