VeriSign VIP サービス ・ VIP エンタープライズゲートウェイ
+ AR ルーター
設定例
本資料は、弊社での検証に基づき VIP サービス、VIP エンタープライズゲートウェイ、 ARシリーズ、VPNクライアント端末の操作方法を記載したものです。 すべての環境での動作を保証するものではありません。 ※iPhone、iPadはApple Inc.の商標です。 ※iPhoneの商標は、アイホン株式会社のライセンスに基づき使用されています。 ※Androidは、Google Inc.の商標または登録商標です。目次
パラメータと構成
設定手順
VIP の設定
ARルーターの設定
User端末の設定
本資料では以下のパラメータでの設定例をご紹介します。
ISPから提供された情報 ルーターの基本設定パラメータ
端末型(アドレス1個) 接続形態 10.100.10.1/32 IPアドレス 指定なし PPPoEサービス名 isppasswd PPP PW user@isp PPPユーザー名 行う NAT-Traversalのネゴシエーション 行う (対向機器がDPDをサポートしている場合) DPDによる死活監視 secret (文字列) 事前共有鍵 PAP L2TP認証プロトコル 事前共有鍵 (pre-shared key) IKEフェーズ1の認証方式 192.168.1.1/24(vlan1) LAN側IPアドレス 10.100.10.1/32(ppp0) WAN側IPアドレス eth0 WAN側物理インターフェース4 VIP エンタープライズゲートウェイ の基本情報
LDAP (Active Directory) の基本情報
User端末情報
パラメータ
ABCD12345678 Credential ID test User ID ソフトウェアトークン、またはハードウェアトークンで随時発行 OTP x900-24XT User PW secret RADIUS共有 PW vipeg サーバー証明書名 x600-24Ts サーバー証明書 PW 192.168.1.2/24 IPアドレス auth VIP エンタープライズ ゲートウェイ 識別・検証用 User ID x900-24XT VIP エンタープライズ ゲートウェイ 識別・検証用 User PW 192.168.1.3/24 IPアドレス構成図
VIP エンタープライズ ゲートウェイ (RADIUS) IPアドレス 192.168.1.2/24 Intranet User端末iPhone, iPad, Android, PC 192.168.2.1-100 (L2TP経由でIP Poolより払い出し) IPアドレス 192.168.1.0/24 Active Directory (LDAP) IPアドレス 192.168.1.3/24 ① ② インターネット インターネット ④
① RADIUS認証: (User ID + PW + OTP) ② LDAP認証: (User ID+ PW)
③ OTP認証: (User ID+ OTP) ④ 社内環境へアクセス VIP サービス VIP サービス 3Gネットワーク 3Gネットワーク PPPoE IPアドレス 10.100.10.1/32 LAN IPアドレス 192.168.1.1/24 ③ ルーター VPNトンネル
設定手順
VIPの設定
VIP サービス で証明書の発行 VIP エンタープライズ ゲートウェイの設定 VIP サービス で User の登録 ※ 本資料はVIP Enterprise 3.2 を元に記載しています。 ※ 詳細は製品マニュアル等をご参照ください。Note – VIP エンタープライズ ゲートウェイ をインストールするサーバーはインストール前にActive Directory に参加させておいてください
VIP サービス で証明書の発行
証明書の発行
1. VIP エンタープライズゲートウェイ の設定を行う前に、VIP サービス で証明書を発行します。
8
VIP サービス で証明書の発行
3. Request a Certificate をクリックします。
4. 「Certificate Instructions」画面が表示されたら Continue をクリックします。
5. 「Request a Certificate」画面が表示されるので Certificate Name に サーバー証明書名 (vipeg) を入
VIP サービス で証明書の発行
6. 「Manage VIP Certificates」画面に戻ったら #5 で作成したCertificate横に表示される Certificate Download Page をクリックします。
7. Format を PKCS#12 、Password に サーバー証明書PW (x600-24Ts) を入力し Download Certificate をクリックして証明書をダウンロードします。
10
VIP エンタープライズ ゲートウェイ の設定
証明書のインポート
1. VIP エンタープライズ ゲートウェイ の 「Required Setting」 画面で Add a VIP Certificate をクリックします。
2. File Name の 参照 から VIP サービス からダウンロードした証明書 を選択、Password に サーバー
VIP エンタープライズ ゲートウェイ の設定
12
VIP エンタープライズ ゲートウェイ の設定
LDAPの設定
VIP エンタープライズ ゲートウェイ の設定
2. 「Edit User Store」 画面が開くので以下の様に設定し、Submit をクリックします。
VIP エンタープライズ ゲートウェイ がActive Directoryに所属していれ ば自動的に入力される VIP エンタープライズ ゲートウェイ がActive Directoryに所属していれ ば自動的に入力される Active Directory に登録してある 識別用ID/PW Active Directory に登録してある 検証用ID ※ 識別用IDと検証用IDは同一でなくとも構いません
14
RADIUS の設定
1. VIP エンタープライズ ゲートウェイ の Validation タブから Add Server をクリックします。
VIP エンタープライズ ゲートウェイ の設定
2. 「Add RADIUS Validation Server」 画面で User ID – LDAP Password – Security Code にチェックを
3. Delegation の項目の No にチェックを入れ、Continue をクリックします。
16
VIP エンタープライズ ゲートウェイ の設定
4. 右図の通りRadius サーバーとしての設定 を行います。 VIP エンタープライズゲート ウェイ のIPアドレス ルーターに設定した 共有 PW (secret) チェックを入れると直下にSet RADIUS to LDAP Mappingが表示される ルーターに設定する RADIUS サーバーのポート 番号と合わせる VIP エンタープライズ ゲート ウェイ がActive Directoryに 所属していれば自動的に入力 される cn はclient name Active Directory に登録して ある検証用User ID 入力が完了したら 選択 任意の名称 Test が完了したら 選択
5. 前項の Test を選択するとVIP エンタープライズとActive Directory 間の設定検証が行われます。下
図の様なメッセージが表示されれば 設定に問題はありませんので Submit をクリックし、設定の登録
を行います。
VIP エンタープライズ ゲートウェイ の設定
18
VIP サービス でユーザーの登録
Userの登録
VIP サービス でユーザーの登録
2. Active Directory に登録してある User ID (test) を入力し、Create VIP End User をクリックします。
3. Credential ID を入力し、 Add Credential をクリックします。
使用するトークンの
Credential ID
20
VIP サービス でユーザーの登録
4. 「Credential Details」欄 の Actions から Check and Reset をクリックします。
VIP サービス でユーザーの登録
5. 使用するトークンでOTPを発行します。
6. トークンで発行したOTP を Security Code に入力し、 Continue をクリックします。
22
VIP サービス でユーザーの登録
(参考:VIP サービス でPWを発行)
トークンでOTPを発行せず、VIP サービス 上でPW (Temporary Security Code) を発行する
こともできますので、ここにご紹介します。発行できるPWは以下の2種類です。
・OTP
・使用期限付きPW
VIP サービス でユーザーの登録
(参考:VIP サービス でPWを発行)
2. 「Generate a Temporary Security Code」画面で (1) OTPを発行する場合
=>Usageの One Time Use にチェックします。
(2) 使用期限付きPWを発行する場合
=>Usageの Multiple use にチェックし、Expiration に PWの有効期間 を入力します。
24
VIP サービス でユーザーの登録
(参考:VIP サービス でPWを発行)
設定手順
26
工場出荷時設定のCLIの ログインID/PW は下記の通りです。
ID : manager
PW : friend
本資料は、AR415S/AR550S/AR560S/AR570Sのファームウェアバー
ジョン 2.9.2-00以上に適応可能です。AR260S V2はスマートフォンから
のリモートアクセスに対応しておりません。
各設定画面のパラメータ詳細については、ユーザーマニュアルや設定
例をご参照ください。
http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/index.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-93.html http://www.allied-telesis.co.jp/support/list/router/ar560s/docs/cfg-195.htmlARルーターの設定
Note - セキュリティモードを使用しないとIPsec機能で用いる鍵情報がルーターの再起動時に消去されます。
IPアドレスおよびSecurity Officer レベルユーザーの作成
1. IPモジュールを有効にします。ENABLE IP ↓
2. まず、ルータへログイン後、LAN側のインターフェースへIPアドレスを設定します。 ADD IP INT=VLAN1 IP=192.168.1.1 MASK=255.255.255.0 ↓
3. セキュリティーモードで各種設定を行うことのできるSecurity Officerレベルのユーザー「secoff」を作成 します。PWは「secoff」とします。
ADD USER=secoff PASSWORD=secoff PRIVILEGE=SECURITYOFFICER ↓
28
ARルーターの設定
PPPインターフェースおよびスタティックルートの設定
1. WAN側Ethernetインターフェース(eth0)上にPPPインターフェースを作成します。「OVER=eth0-XXXX」 の「XXXX」の部分には、ISPから通知されたPPPoEの「サービス名」を記述します。ISPから指定がない 場合は、どのサービス名タグでも受け入れられるよう、「ANY」を設定します。 CREATE PPP=0 OVER=eth0-ANY ↓ 2. ISPから通知されたPPPユーザー名と PW を指定します。LQRはオフにし、代わりにLCP Echoパケット を使ってPPPリンクの状態を監視するようにします。また、ISDN向けの機能であるBAPはオフにします。SET PPP=0 OVER=eth0-ANY USER=user@isp PASSWORD=isppasswd LQR=OFF BAP=OFF ECHO=ON ↓ 3. WAN側(ppp0)インターフェースにIPアドレス「10.100.10.1」を設定します。
ADD IP INT=ppp0 IP=10.100.10.1 MASK=255.255.255.255 ↓ 4. デフォルトルートを設定します。
RADIUS サーバおよびIPアドレスプールの設定
1. User端末のユーザーを認証する際に使用するRADIUSサーバーを登録します。 ADD RADIUS SERVER=192.168.1.2 SECRET=secret PORT=1812 ↓
2. IPアドレスプール「VPNC」を作成し、接続してきたVPNクライアントに割り当てるアドレスの範囲を指定 します。ここでは100台分のモバイル端末のアドレスプールを用意しています。
CREATE IP POOL=VPNC IP=192.168.2.1-192.168.2.100 ↓
ARルーターの設定
Note – SECRET の値(上記ではsecret)は、VIP エンタープライズゲートウェイ の VIP RADIUS Validation で設定した RAIUS Shared Secret と
30
ARルーターの設定
L2TPプロトコルならびにPPP TEMPLATEの設定
1. L2TP経由でVPNクライアントがPPP接続してきたときに動的に作成するPPPインターフェースのテンプ レート「1」を作成します。接続時の認証にはPAPを使い、PAPの再認証はOFFにし、VJ圧縮を有効にし ます。また、アドレス割り当てにはIPアドレスプール「VPNC」を使うようにします。 CREATE PPP TEMPLATE=1↓SET PPP TEMPLATE=1 IPPOOL=VPNC AUTHENTICATION=PAP BAP=OFF ECHO=30 RECHALLENGE=OFF VJC=ON ↓ 2. L2TPモジュールを有効にします。 ENABLE L2TP ↓ 3. L2TPサーバーをBOTHモードで起動します。 ENABLE L2TP SERVER=BOTH ↓ 4. L2TP経由でVPNクライアントが接続してきたときに使用するPPPテンプレートを指定します。ここではク ライアントのアドレスが不定なので、どのアドレスからでも接続を受け入れるように設定します。
ADD L2TP IP=0.0.0.0-255.255.255.255 PPPTEMPLATE=1 ↓
ARルーターの設定
Note – この設定はルーターに対するDNSリクエストを実際のDNSサーバーに中継するためのものです。リモートアクセスするに当たって必須ではありません。 LAN側に設置するPCのDNSサーバーをルーターに指定しておけば、サーバーのアドレスが変更されてもルーターの設定を変更するだけで済みます。DNSリレーの設定
1. DNSリレー機能を有効にします。 ENABLE IP DNSRELAY ↓ 2. 接続確立までISPのDNSサーバーアドレスが不明なため、DNSリクエストの転送先として、IPCPネゴシ エーションを行うインターフェース名「ppp0」を指定します。32
ARルーターの設定
DHCP Server の設定
1. DHCPサーバー機能を有効にします。 ENABLE DHCP ↓ 2. DHCPポリシー「DHCP」を作成します。IPアドレスの使用期限は3,600秒(1時間)とします。 CREATE DHCP POLI="DHCP" LEASE=3600 ↓3. クライアントに提供する情報を設定します。ここでは、DNSサーバーアドレスとして、ルーターのLAN側イン ターフェースのIPアドレスを指定しています。ここへ送られたDNSリクエストは、DNSリレー機能によりISPの DNSサーバーに転送されます。
ADD DHCP POLICY="DHCP" SUBNET=255.255.255.0 ROUTER=192.168.1.1 DNSSERVER=192.168.1.1 ↓
4. クライアントに提供するIPアドレスの範囲を設定します。ここでは、192.168.1.128∼192.168.1.143の16個を 指定しています。
CREATE DHCP RAN="CLIENT" POLI="DHCP" IP=192.168.1.128 NUM=16 ↓
ARルーターの設定
Firewall の設定
1. ファイアーウォール機能を有効にします。 ENABLE FIREWALL ↓
2. ファイアウォールの動作を規定するファイアウォールポリシーを作成します。 CREATE FIREWALL POLICY=net ↓
3. ICMPパケットはPing(Echo/Echo Reply)と到達不可能(Unreachable)のみ双方向で許可します。 ENABLE FIREWALL POLICY=net ICMP_F=UNRE,PING ↓
4. ルーターのidentプロキシー機能を無効にし、外部のメール(SMTP)サーバーなどからのident要求に対し て、ただちにTCP RSTを返すよう設定します。
DISABLE FIREWALL POLICY=net IDENTPROXY ↓
34
ARルーターの設定
5. VPNクライアントがL2TP経由で接続してきたときに動的に作成されるPPPインターフェース用のファイ アウォール設定を行います。最初に、ダイナミックインターフェーステンプレート「vpnif」を作成します。 名前は自由です。
CREATE FIREWALL POLICY=net DYNAMIC=vpnif ↓
6. 次に、ダイナミックインターフェーステンプレート「vpnif」の対象ユーザーを指定します。USERパラメータ で指定したユーザーが接続してきたときに動的作成されるPPPインターフェースは、ADD FIREWALL POLICY INTERFACEコマンドで「DYN-templatename」として参照できます(templatenameはテンプレー ト名)。ここでは対象ユーザーとして「ANY」を指定しています。これは、PPPの認証をパスしたすべての ユーザーが対象であることを示します。
ADD FIREWALL POLICY=net DYNAMIC=vpnif USER=ANY ↓
7. ファイアウォールポリシーの適用対象となるインターフェースを指定します。 LAN側インターフェース(vlan1)をPRIVATE(内部)に設定します。
ADD FIREWALL POLICY=net INT=vlan1 TYPE=PRIVATE ↓
WAN側インターフェース(ppp0)をPUBLIC(外部)に設定します。 ADD FIREWALL POLICY=net INT=ppp0 TYPE=PUBLIC ↓
L2TP経由でユーザーが接続してきたときに動的作成されるPPPインターフェース(vpnif)をPRIVATE (内部)に設定します。
ARルーターの設定
8. LAN側ネットワークに接続されているすべてのコンピューターがENAT機能を使用できるよう設定しま
す。グローバルアドレスには、ppp0のIPアドレスを使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=vlan1 GBLINT=ppp0 ↓
9. VPNクライアントがENAT機能を使用できるよう設定します。グローバルアドレスには、ppp0IPアドレス
を使用します。
ADD FIREWALL POLICY=net NAT=ENHANCED INT=DYN-vpnif GBLINT=ppp0 ↓
VPNクライアントから受信したIKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)がファイア ウォールを通過できるように設定します。
ADD FIREWALL POLICY=net RULE=1 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=500 GBLIP=10.100.10.1 PORT=500 IP=10.100.10.1 ↓
ADD FIREWALL POLICY=net RULE=2 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=4500 GBLIP=10.100.10.1 PORT=4500 IP=10.100.10.1 ↓
11. 基本ルールのままではIPsecパケットまで遮断されてしまうので、これらのパケットを通過させるため のルールを設定します。「ENCAP=IPSEC」は、IPsecパケットからオリジナルのパケットを取り出したあ とでこのルールを適用することを示します。よって、以下のコマンドは、「取り出したパケットがUDPで 終点ポートが1701番(L2TPパケット)ならば許可する」の意味になります。
ADD FIREWALL POLICY=net RULE=3 AC=ALLOW INT=ppp0 PROT=UDP GBLPORT=1701 GBLIP=10.100.10.1 PORT=1701 IP=10.100.10.1 ENCAP=IPSEC ↓
36
ARルーターの設定
ISAKMPの設定
1. ISAKMP用の事前共有鍵(pre-shared key)を作成します。ここでは鍵番号を「1」番とし、鍵の値は「secret」 という文字列で指定します(VPNクライアントにも同じ値を設定)。
CREATE ENCO KEY=1 TYPE=GENERAL VALUE="secret" ↓
2. VPNクライアントからのIKEネゴシエーション要求を受け入れるISAKMPポリシー「i」を作成します。
ISAKMPメッセージの暗号化には「3DES」、認証には「SHA」アルゴリズム、Oakleyグループは「2」を使用し、 VPNクライアントとの認証には前の手順で作成した事前共有鍵(鍵番号「1」)を使います。さらに、クライアン トのIPアドレスが不定なためPEERにANYを指定し、NAT-Traversalを有効にしています。
CREATE ISAKMP POLICY="i" PEER=ANY KEY=1 SENDN=TRUE NATTRAVERSAL=TRUE ↓ SET ISAKMP POLICY="i" ENCALG=3DESOUTER HASHALG=SHA GROUP=2 ↓
3. DPDを有効にします。
SET ISAKMP POLICY="i" DPDMODE=both ↓ ↓
Note - CREATE ENCO KEYコマンドは、コンソール上でログインしている場合のみ有効なコマンドです。そのため、EDITコマンド(内蔵スクリーンエディター)な
ARルーターの設定
IPsecの設定 1. IPsec通信の仕様を定義するSAスペック「1」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、 暗号化方式 「AES256bit」、認証方式「SHA」に設定します。この例ではL2TPによってトンネリングを行う ため、デフォルトのトンネルモードは使用せずに、トランスポートモードを使用します。UDP1701番ポートを 使って送受信されるL2TPパケットだけを暗号化する形になります。CREATE IPSEC SASPEC=1 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES256 HASHALG=SHA MODE=TRANSPORT ↓
2. 同様にIPsec通信の仕様を定義するSAスペック「2」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、 暗号化方式 「AES128bit」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=2 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=AES128 HASHALG=SHA MODE=TRANSPORT ↓
3. 同様にIPsec通信の仕様を定義するSAスペック「3」を作成します。鍵管理方式「ISAKMP」、プロトコル「ESP」、 暗号化方式 「3DES」、認証方式「SHA」に設定します。
CREATE IPSEC SASPEC=3 KEYMAN=ISAKMP PROTOCOL=ESP ENCALG=3DESOUTER HASHALG=SHA MODE=TRANSPORT ↓
4. SAスペック「1」、「2」、「3」からなるSAバンドルスペック「1」を作成します。鍵管理方式は「ISAKMP」を指定します。 CREATE IPSEC BUNDLE=1 KEYMAN=ISAKMP STRING="1 or 2 or 3" ↓
38
ARルーターの設定
5. IKEパケット(UDP500番)とNAT-Tパケット(UDP4500番)を素通しさせるIPsecポリシー「isa」「nat」を 作成します。
CREATE IPSEC POLICY=isa INT=ppp0 ACTION=PERMIT LPORT=500 TRANSPORT=UDP ↓ CREATE IPSEC POLICY=nat INT=ppp0 ACTION=PERMIT LPORT=4500 TRANSPORT=UDP ↓
6. L2TPパケットを暗号化するIPsecポリシー「L2」をPPPインターフェース「0」に対して作成します。鍵管理方式 には「ISAKMP」を指定します。VPNクライアントのIPアドレスが不定なため、PEERにはISAKMPの認証をパ スした相手という意味の「DYNAMIC」を、BUNDLEには前の手順で作成したSAバンドルスペック「1」を指定し ます。また、LPORTとTRANSPORTで対象となるパケットの条件(ここではL2TPパケット)を指定します。
CREATE IPSEC POLICY=L2 INT=ppp0 ACTION=IPSEC KEYMAN=ISAKMP BUNDLE=1 PEER=DYNAMIC ↓ SET IPSEC POLICY=L2 LPORT=1701 TRANSPORT=UDP ↓
7. インターネットへの平文通信を許可するIPsecポリシー「inet」をPPPインターフェース「0」に対して作成します。 CREATE IPSEC POLICY="inet" INT=ppp0 ACTION=PERMIT ↓
Note - NAT-Traversalを使用する場合は、必ずIKEとNAT-Tのパケットが通過できるような設定を行ってください。
Note - 「IPsecポリシー」は設定順に検索され、最初にマッチしたものが適用されるため、設定順序には注意が必要です。検索順はSHOW IPSEC POLICY
コマンドで確認できます。また、検索順を変更するには、SET IPSEC POLICYコマンドのPOSITIONパラメータを使用します。
Note - インターネットにもアクセスしたい場合は、必ず最後のIPsecポリシーですべてのパケットを通過させる設定を行ってください。いずれのIPsecポ
ARルーターの設定
8. IPsecモジュールを有効にします。 ENABLE IPSEC ↓ 9. ISAKMPモジュールを有効にします。 ENABLE ISAKMP ↓ 10. Security Officerレベルのユーザーでログインしなおします。 LOGIN secoff ↓ 11. 動作モードをセキュリティーモードに切り替えます。 ENABLE SYSTEM SECURITY_MODE ↓12. 設定は以上です。設定内容をファイルに保存し、SET CONFIGコマンドで起動時設定ファイルに指定します。 CREATE CONFIG=router.cfg ↓
SET CONFIG=router.cfg ↓
Note - セキュリティーモードでは、Security OfficerレベルでのTelnetログインが原則として禁止されています。セキュリティーモードにおいて、Security
設定手順
User端末の設定
Windows XPの設定 Windows 7の設定 iPhone/iPad の設定 Android の設定User端末の設定
Windows XPの設定
1. 「コントロールパネル」の「ネットワーク接続」を開き、新しい接続ウィザード をダブルクリックします。 2. 「新しい接続ウィザード」画面が開くので 次へ をクリックします。 3. 「職場のネットワークへ接続する」を選択して 次へ をクリックします。 4. 「仮想プライベート ネットワーク接続」を選択して 次へ をクリックします。 5. 「会社名」に任意の名前を入力して 次へ をクリックします。 6. 「ホスト名またはIPアドレス」に接続先IPsecルーターのIPアドレスを入力して 次へ をクリックします。 本例では、ルーターのWAN側IPアドレスである 10.100.10.1 になります。 ※ 本資料はWindows XP ServicePack3を元に記載しています。42
User端末の設定
7. 「XXXX へ接続」画面が開くので プロパティ をクリックします(XXXX は手順5で入力した「会社名」)。
9. 暗号化されていないパスワード(PAP) にチェックを入れ、OK をクリックします。
10. 以下の画面が表示されたら はい をクリックします。
44 11. IPsec設定 をクリックします。
12. 「IPsec設定」画面が開くので、認証に事前共有キーを使う にチェックを入れ、キー にルーター上で設定し
た ISAKMP用の事前共有鍵 (secret) を入力して OK をクリックします。
User端末の設定
13. ネットワークタブ を開き、VPNの種類 から L2TP IPsec VPN を選択して、OK をクリックします。
User端末の設定
46
14. 「XXXX へ接続」画面に戻ったら、ユーザー名 に Active Directory とVIP サービス 双方に登録した
User ID (test) を入力し パスワード にActive Directory に登録した User PW (x900-24XT) を入力
します。 15. User PW の直後にスペースを空けずトークンで発行した OTP を入力して、接続 をクリックすると、 接続が開始されます。
User端末の設定
<User PW><OTP> ※スペース等は空けないでくださいUser端末の設定
Windows 7の設定
1. 「コントロールパネル」の「ネットワークと共有センター」を開き、接続またはネットワークのセットアップをク リックします。 2. 「接続またはネットワークのセットアップ」画面が開くので 職場に接続します を選択して 次へ をクリックし ます。 3. インターネット接続(VPN)を使用します を選択します。 4. インターネット接続は後でセットアップします を選択します。 5. インターネットアドレスに接続先IPsecルーターのIPアドレスと 接続先の名前 に任意の名前を入力し 次へ をクリックします。本例では、インターネットアドレスはルーターのWAN側IPアドレスである 10.100.10.1 になります。接続先名は例として OfficeAR と入力しています。48
6. ユーザー名 に Active Directory と VIP サービス 双方に登録した User ID (test) を入力し、パス
ワード は 空欄 のまま 作成 をクリックします。
7. 「xxxに接続中」と表示されたら スキップ をクリックします。 (XXX は手順5で入力した「接続先の名前」)
8. 「接続の使用準備ができました」と表示されたら 閉じる をクリックします。
50 9. 「コントロールパネル」の「ネットワークと共有センター」を開き、ネットワークに接続 をクリックします。 「現在の接続先」画面が表示されますので、手順5の 接続名で指定した接続 を選択し 接続 を クリックします。 10. 「XXXX へ接続」画面が開くので プロパティ をクリックします(XXXX は手順5で入力した「接続先の名前」)。
User端末の設定
13. 「セキュリティ」タブを開き、暗号化されていないパスワード(PAP) にチェックを入れ、詳細設定 をクリックし ます。
14. 「詳細プロパティ」画面が開くので、「L2TP」タブの 認証に事前共有キーを使う にチェックを入れ、キーに
ルーター上で設定した ISAKMP用の事前共有鍵 (secret) を入力して「OK」をクリックします。
52
15. VPNの種類 から IPsecを利用したレイヤー2 トンネリング プロトコル (L2TP/IPsec) を選択して、OK
をクリックします。
16.以下の画面が表示されたら はい をクリックします。
17. 「XXXX へ接続」画面に戻ったら、ユーザー名 に Active Directory とVIP サービス 双方に登録した
User ID (test) を入力し パスワード に Active Directory に登録した User PW (x900-24XT) を
入力します。 18. User PWの直後にスペースを空けずトークンで発行した OTP を入力して、接続 をクリックすると、接 続が開始されます。
User端末の設定
<User PW><OTP> ※スペース等は空けないでください54
User端末の設定
iPhone / iPad の設定
1. 「ホーム画面」より 設定 をタップします。 2. 「設定メニュー」より 一般 をタップします。 3. 「一般メニュー」より ネットワーク をタップします。 4. 「ネットワークメニュー」より VPN をタップします。 5. 「VPNメニュー」より VPN構成を追加...をタップします。 6. L2TP を選択し、各項目を以下のように設定し、画面右上の 保存 をタップします。 オン すべての信号を送信 オフ プロキシ secret (ルーターに設定したISAKMP用の事前共有鍵 (secret) ) シークレット x900-24XT OTP (<User PW><OTP>) パスワード オフ RSA SecurID test(Active Directory とVIP サービス双方に登録したUser ID) アカウント 10.100.10.1 (接続先IPsecルーターのIPアドレス) サーバ AR_VPN(任意の名称) 説明 ※ 本資料は iPad/iOS 4.3 を元に記載しています。
User端末の設定
7. VPN構成 AR_VPN が登録されます。
8. VPN を選択し、VPNを オン にします。
56
User端末の設定
Android の設定Android の設定
1. メニューボタンを押し「設定メニュー」から 設定 をタップします 2. 「設定」メニューより 無線とネットワーク をタップします。 3. 「無線とネットワークの設定」メニューより VPN設定 をタップします。 4. 「VPN設定」メニューより VPNの追加 をタップします。 5. 「VPNの追加」メニューより L2TP/IPsec PSK VPNを追加 をタップします。 6. 「L2TP/IPsec PSK VPNを追加」メニューにて、各項目を以下の様に設定します。 無効 L2TPセキュリティ保護を 有効にします。 (空白) DNS検索ドメイン secret (ISAKMP用の事前共有鍵 (secret) ) IPsec事前共有キーの 設定 10.100.10.1 (接続先IPsecルーターのIPアドレス) VPNサーバー AR_VPN (任意の名称) VPN名 ※ 本資料は Galaxy Tab/Android 2.2 を元に記載しています。User端末の設定
7. 「VPN設定」メニューに登録された AR-VPN をタップします。 8. 「接続先 AR-VPN」に以下の様に入力し、接続 をタップします。 9. 「AR-VPN」の下に「接続」と表示されれば接続に成功です。 x900-24XT OTP (<User PW><OTP>) パスワード: test(Active Directory とVIP サービス双方に登録したUser ID) ユーザー名
