IPsecアクセスコンセントレータ

IKEv2によるリモートアクセスサーバ(IPsecAC: IPsec Access Concentrator)機能を提供します。

1. 仕様概要
項目
AC設定数 8
VPNプロトコル IKEv2
認証レルム ローカル認証, アカウントリスト認証, RADIUS認証
認証メソッド 証明書 + EAP-MSCHAPv2
同時接続数 1024
ユーザ設定数
2. IPv4/IPv6対応状況
機能 IPv4 IPv6 備考
VPNセッション
VPN上の通信 ×
接続確認済みのリモートアクセスクライアント
Windows
  • Windows 10, Windows 11
Mac OS X
  • Mac OS 10.7以上
iOS
  • iOS 4.0以上
Android
  • 12~14
注:
動作を保証するものではありません

ユーザ認証

認証レルム

リモートアクセスユーザの認証ポリシーを設定できます。
ローカル認証レルム
リモートアクセスユーザの認証情報をコンフィグ内に設定します。
ユーザ名(1-32文字)とパスワード(1-64文字)の他、IPアドレスの割当方法について設定できます。
  • ユーザに割り当てるIPアドレス(Framed-IP-Address)を指定可能。RFC791 の定めるClass A、B、C のアドレスで、かつClassfulネットワークにおけるブロードキャストアドレスではないアドレスを指定可能
  • ユーザに割り当てるIPアドレスに対するネットマスクは /32 固定
  • 割り当てる IPアドレスをNASが選択するよう設定(nas-select) 可能
アカウントリスト認証レルム
リモートアクセスユーザの認証情報をリストファイル化して外部ファイルサーバに設置し、定期的に取得します。
関連情報:アカウントリストの書式
  • リストファイル取得用のURLに指定可能なプロトコルは httpおよびhttps
    • https を使用した場合に、SSLのサーバ認証は行わない
  • リスト取得のタイムアウトは20秒
  • リスト取得がタイムアウトした場合、1分間隔で 10回再取得を試みる。再取得に成功、あるいは10回すべて取得失敗した場合、次回取得は指定された定期取得間隔の時間経過後となる
  • 定期的な取得に失敗したとき、およびアカウントリストの内容にエラーがあったとき、以前にリストを取得済みであればそれを使用し続ける
  • 取得済のリストが存在するとき、URLを変更すると変更後のURLでの取得に成功するまでの間は、取得済のリストを使用し続ける
  • 取得済のリストが存在するとき、URLの設定を削除した場合(アカウントリストを使用しない設定に変更した場合)は取得済みリストのアカウント情報を破棄する
  • システム起動後または設定変更後に、最初にリストの取得が成功するまでの間のユーザ認証は認証エラーとなる
RADIUS認証レルム
外部のRADIUSサーバにユーザ認証(Authentication)を委任できます。
  • クライアント証明書等による認証を行うにはRADIUS認証を使用する必要があります。
委任先のRADIUS認証サーバとして、次の製品での動作確認を実施済みです。
  • SEIL/X4, SEIL/x86 Ayame, SEILアプライアンスシリーズ CA10(認証方式は CHAP, PAP のみ)
  • Windows Server 2019
  • FreeRADIUS 3.0.20
委任先のRADIUSアカウンティングサーバとして、次の製品での動作を実施済みです。
  • Windows Server 2019
  • FreeRADIUS 3.0.20
項目
連携先RADIUS認証サーバの設定数 1
RADIUSリクエスト応答タイムアウト 1~300秒
RADIUSリクエスト再試行回数 1~20回
3. サポートする Access-Accept AVP
AVP Type IKEv2クライアントに転送するIKEv2 CP 補足
8 Framed-IP-Address INTERNAL_IP4_ADDRESS 「IPアドレスの割り当て」参照
9 Framed-IP-Netmask INTERNAL_IP4_NETMASK 255.255.255.255 (/32) 以外を受信した場合は折衝失敗扱いとする(RAS クライアントに何も返さず、IKE SAを削除)。空の場合は 255.255.255.255 (/32) とする
26 Vendor-Specific: 311 Microsoft:28 MS-Primary-DNS-Server INTERNAL_IP4_DNS ...dns-server.ipv4.[] が設定されている場合は無視する。設定されていない場合はクライアントに転送する
26 Vendor-Specific: 311 Microsoft:29 MS-Secondary-DNS-Server INTERNAL_IP4_DNS ...dns-server.ipv4.[] が設定されている場合は無視する。設定されていない場合はクライアントに転送する
26 Vendor-Specific: 311 Microsoft:30 MS-Primary-NBNS-Server INTERNAL_IP4_NBNS ...wins-server.ipv4.[] が設定されている場合は無視する。設定されていない場合はクライアントに転送する
26 Vendor-Specific: 311 Microsoft:31 MS-Secondary-NBNS-Server INTERNAL_IP4_NBNS ...wins-server.ipv4.[] が設定されている場合は無視する。設定されていない場合はクライアントに転送する
4. IPアドレスの割り当てAccess-Accept AVP の Framed-IP-Address 受信時の仕様
RADIUS AVP Type: Framed-IP-Address 動作
255.255.255.255 (RFC 2865 0xFFFFFFFF "user to select")

折衝失敗とする。ユーザからのアドレス指定には対応しない
interface.ipsecac[].ipv4.address に設定されているアドレス 折衝失敗とする
255.255.255.254 (RFC 2865 0xFFFFFFFE "NAS should select") 動的アドレスプールの設定範囲内から割り当てる。空きアドレスが無い場合は折衝失敗とする
なし 動的アドレスプールの設定範囲内から割り当てる。空きアドレスが無い場合は折衝失敗とする。明示的に Framed-IP-Address: 255.255.255.254 を送信することを推奨
動的アドレスプールの設定(...pool.ipv4.[].type:dynamic)の範囲内のアドレス 未使用ならば当該アドレスを割り当てる。ユーザを問わず使用中ならば折衝失敗とする
静的アドレスプールの設定(...pool.ipv4.[].type:static)の範囲内のアドレス 未使用ならば当該アドレスを割り当てる。ユーザを問わず使用中ならば折衝失敗とする
アドレスプールの設定(...pool.ipv4.[]) の範囲外のアドレス 折衝失敗とする
5. RADIUS サーバに送信する Access-Request AVP
AVP Type
Message-Authenticator(80) RFC 2869 で定義された Message-Authenticator
User-Name(1)
  • if radius-server から Access-Accept 受信時に User-Name が含まれていた場合、その値
  • else if EAP-MS-CHAPv2 の場合、IKEv2 client から受信した EAP-MS-CHAP-v2 Name
  • else if IKEv2 client から EAP Identity Response を受信した場合、その値
  • else 空文字
EAP-Message(79) IKEv2 クライアントから受信した IKE_AUTH 中の EAP ペイロード
NAS-Port-Type(61) Virtual(5)
Service-Type(6) Framed(2)
Tunnel-Type(64) ESP(9)
NAS-Port-Id(87) IKEv2 イニシエータ(クライアント)の IKE SPI (show status ikev2 の [IKE SA] initiator SPI)
Called-Station-Id(30) IKEv2 サーバ (SEIL) の IPv4/IPv6 アドレス・ポート番号(例: "192.0.2.1:4500")
Calling-Station-Id(31) IKEv2 クライアントの IPv4/IPv6 アドレス・ポート番号(例: "192.0.2.2:4500")
NAS-IP-Address(4) RADIUSパケットの送信元 IPv4アドレス
NAS-IPv6-Address(95) RADIUSパケットを送信元 IPv6 アドレス
NAS-Identifier(32) "IIJ"

サーバ証明書

IPsecAC(IKEv2リモートアクセスサーバ)の運用にあたっては、認証局(CA)に署名されたサーバ証明書を用意して秘密鍵と共にコンフィグに設定する必要があります。

使用可能な証明書アルゴリズム
  • RSA-SHA1
  • RSA-SHA256
  • ECDSA-SHA256
  • ECDSA-SHA386
  • ECDSA-SHA512
使用できない証明書
  • 自己署名証明書
  • チェーン証明書、証明書バンドル(2つ以上の `-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----` が含まれる証明書)
IKEv2リモートアクセスに使用するサーバ証明書の要件は次の通りです(詳細はRFC4945#section-5 を参照)
  • PEM形式のX.509 証明書であること
  • CN(Common Name)に用いるFQDNまたはIPアドレスを、SAN(Subject Alternative Names)にも含めること
リモートアクセスクライアントにより証明書に対して個別の要件が指定されている場合があります。
  • 例:EKU(Extended Key Usage)に、Server Authentication(1.3.6.1.5.5.7.3.1) を含めること

サーバ証明書を取得する際は、要件を満たすように証明書発行機関やプライベートCAの管理者に依頼してください。

プライベートCAが署名したサーバ証明書を使用する場合は、証明書に署名したプライベートCAの証明書が各クライアント端末のルートCAストアに登録されている必要があります(クライアント端末がプライベートCAを信用している必要があります)。

アドレスプールに対する経路制御

  • アドレスプールの範囲に対応するネットワークは、ゲートウェイが"discard"の静的経路として登録されます。
    • アドレスプールの範囲に応じて複数のサブネットに分割して登録されます。
    • この経路は他の静的経路と同様に、動的ルーティングプロトコルに再配布できます。
  • リモートアクセスクライアントの接続時にIPアドレスを割り当てると、そのホストアドレスまたはサブネットについて、ゲートウェイがpppac[]インタフェースの経路として追加します。
    • この経路は動的ルーティングプロトコルに再配布されないため、アドレスプールに基づく経路情報と重複して広告されることはありません。
    • この経路の経路MTUは、クライアントごとにPPP接続時に交換されたMRUと同値が設定されます。