• 検索結果がありません。

Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc.

N/A
N/A
Protected

Academic year: 2021

シェア "Dynamic VPN Dynamic VPN IPSec VPN PC SRX IPSec VPN SRX PC IPSec 2 Copyright 2010 Juniper Networks, Inc."

Copied!
27
0
0

読み込み中.... (全文を見る)

全文

(1)
(2)

2 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

Dynamic VPNとは?

Dynamic VPNは、リモートアクセスIPSec VPNにおけるジュニパーネットワークスの

クライアントレスソリューションです。

事前にクライアントPCにクライアントソフトを導入したり、設定を入れておく必要があり

ません。ブラウザを用いてSRXにアクセスし、クライアントソフトをダウンロード・インス

トールします。

これにより、手軽にリモートアクセスIPSec VPNの導入・展開を行うことが可能となり

ます。

①ブラウザでアクセス ②クライアントソフトの ダウンロード&インストール ③IPSecセッションの確立

SRX

インターネット クライアントPC 社内リソース (サーバー) 本社・データセンター

(3)

DYNAMIC VPNライセンス

モデル

最大同時アクセス数

SRX100

25

SRX210

25

SRX220

25

SRX240

50

SRX650

150

SRX3000/5000 シリーズ

未サポート

Netscreen Remote(NS-R)は、クライアントソフト(NS-R)をインストールするPCの台数

分でライセンスをカウントしていましたが、SRXのDynamic VPNはSRXに同時にアク

セスするクライアントの台数分でライセンスをカウントします

(クライアントソフトのインストールに関しては、台数の制限はありません。)

初期状態では、Dynamic VPN評価用として2ユーザの評価ライセンスが付いています。

2ユーザを超える場合は、別途ライセンスの購入が必要です。(ライセンスは追加型で

すが、有償のライセンスを追加すると、評価用の2ユーザはカウントされなくなります)

(4)

4 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

DYNAMIC VPNライセンスのインストール

lab@srx100> show system license License usage:

Licenses Licenses Licenses Expiry

Feature name used installed needed

dynamic-vpn 0 25 0 permanent

ax411-wlan-ap 0 2 0 permanent Licenses installed:

License identifier: JUNOS224896 License version: 2

Valid for device: AU0809AF0005 Features: dynamic-vpn-25-user - Dynamic VPN permanent lab@srx100>

CLIからライセンスを追加するには、以下のコマンドを使用します。

以下のコマンドでインストール済みのライセンスを確認できます。

lab@srx100> request system license add terminal [Type ^D at a new line to end input,

enter blank line between each license key]

JUNOS224896 xxxxxx xxxxxx xxxxxx xxxxxx xxxxxx xxxxxx (途中略)

JUNOS224896: successfully added add license complete (no errors)

ライセンス情報を張り付けて(ペースト)、 controlキーとDを同時に押す

(5)

クライアント側システム要件

S/W要件:

Windows XP

Windows Vista

H/W要件:

上記Windowsの要件と同じ

Dynamic VPN クライアントをインストールする場合はAdministrator権限が必要

その後、VPNクライアントを使う際はAdministrator権限は不要

Windows 7 (32bit, 64bit)は、JUNOS Pulseを別途導入することによりVPN接続が可能となり

ます。JUNOS Pulseは、下記URLからダウンロード可能です(JuniperのCSCアカウントが必

要)

(6)

6 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

制限事項・注意点

• Xauth認証、およびVPNクライアントに別途IPアドレスを割り当てるためには、

Radiusサーバーが必要(10.4以降ではRadiusサーバが不要となります)

• Shared IKE未サポート(10.4以降でサポートします)

• PFS(perfect forward secrecy)の設定が必要

• 予め定義されているIKE/IPSEC security proposal は利用不可(10.4以降では

事前定義のproposalsが利用できるようになります)

• IKE IDとしてはFQDNのみサポート

• NAT-Traversal機能

• SRXのIPアドレスがNATされる構成はサポートされていません。

• VPNクライアントのIPアドレスのみがNATされる構成はサポートします。

SRX BBルーター/FW等の NATルーター ⇒このNATはNG BBルーター/FW等の NATルーター ⇒こちらのNATはOK インターネット Dynamic VPN クライアント Pulse クライアント

(7)

設定の概要

Dynamic VPNを使用するためには、以下の設定を行う必要があります :

Step 1.

Access profileの設定

Step 2. Security zonesとWebインタフェースの設定

Step 3. IKE(proposal, policy, gateway)の設定

Step 4. IPSec(proposal, policy, vpn)の設定

Step 5. VPN Clientの設定

Step 6. Security policyの設定

※本資料では、JUNOS 10.4 以降のバージョンを前提としております。

JUNOS 10.3以前のバージョンでは、前ページの制約がありますので、

ご留意ください。

(8)

8 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

Step1 . Access Profileの設定(1/2)

access { address-assignment { pool vpn-pool { family inet { network 192.168.125.0/24; range address-range1 { low 192.168.125.11; high 192.168.125.20; } xauth-attributes { primary-dns 192.168.25.250/32; secondary-dns 192.168.25.251/32; primary-wins 192.168.25.250/32; secondary-wins 192.168.25.251/32; } } } } }

VPNクライアントに割り当てる

IPアドレスの範囲を指定

VPNクライアントに割り当てる

DND/WINSサーバのアドレスを

指定

(9)

Step1. Access Profileの設定(2/2)

access { profile user-access-profile { client user1 { firewall-user { password "**********"; ## SECRET-DATA } } client user2 { firewall-user { password “**********”; ## SECRET-DATA } } address-assignment { pool vpn-pool; } } firewall-authentication { web-authentication { default-profile user-access-profile; } } }

各ユーザのユーザ名/パスワード

を指定

(10)

10 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

Step2 . Security zoneとWebインタフェースの設定

system { services { web-management { management-url kanri; http { interface ge-0/0/1.0; } https { system-generated-certificate; interface ge-0/0/0.0; } (中略) security { zones { security-zone untrust { screen untrust-screen; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { https; ike; }

J-Web用のページを別途指定(次ページ参照)

Untrust側I/Fでは、https(Dynamic VPNで

使用するWebインタフェース)とikeのみ

許可

SRX BBルーター/ FW等のNATルーター インターネット Dynamic VPN クライアント Pulse クライアント untrust ge-0/0/0 trust ge-0/0/1

J-Webを有効にするI/Fを指定

Dynamic VPN および J-Webを有効にす

るI/Fを指定

(11)

(参考)management-urlについて

10.3以降のバージョンでは、management-urlを指定すると、web-management https

コマンドで指定したSRX Interface IPアドレスへの通信は、管理者用(J-Web)ログイン

画面が表示されるのではなく、Dynamic VPN用ログイン画面にリダイレクトされるよ

うになりました。管理者用(J-Web)ログイン画面にアクセスするためには、

http(s)://<SRXのIPアドレス>/<management-url> を指定する必要があります。

DVPN Client (MGMT) Server SRX Untrust ge-0/0/0 Trust vlan.10 J-Web access through VPN VPN Tunnel http://<trust_ip>/ http://<trust_ip>/kanri https://<untrust_ip>/kanri * https://<trust_ip>/kanri (*) https://<untrust_ip>/kanri は、 VPN未接続時でもアクセス可能

左記設定例の場合に、J-Webにアクセス

できるURLは、下記赤字の4パターンの

みとなる。下記URL以外へのアクセスは、

Dynamic VPNログイン画面にリダイレ

クトされるか、タイムアウトもしくは

page not foundとなる。

system { services { web-management { management-url kanri; http { interface vlan.10; } https { system-generated-certificate; interface ge-0/0/0.0; }

(12)

12 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

Step3 . IKE設定

security { ike { proposal ike-prop1 { authentication-method pre-shared-keys; dh-group group2; authentication-algorithm sha1; encryption-algorithm 3des-cbc; lifetime-seconds 86400; } policy ike-policy1 { mode aggressive; proposals ike-prop1;

pre-shared-key ascii-text “**********"; ## SECRET-DATA } gateway gw1 { ike-policy ike-policy1; dynamic { hostname vpnuser.jnpr.local; connections-limit 10; ike-user-type shared-ike-id; } external-interface ge-0/0/0;

xauth access-profile user-access-profile; }

}

(13)

Step4 . IPSec設定

security { ipsec { proposal ipsec-prop1 { protocol esp; authentication-algorithm hmac-sha1-96; encryption-algorithm 3des-cbc; lifetime-seconds 3600; } policy ipsec-policy1 { perfect-forward-secrecy { keys group2; } proposals ipsec-prop1; } vpn remote-vpn { ike { gateway gw1; ipsec-policy ipsec-policy1; } } }

(14)

14 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

Step5 . VPN Clientの設定

security { dynamic-vpn { access-profile user-access-profile; clients { cfg1 { remote-protected-resources { 172.27.24.0/24; } remote-exceptions { 0.0.0.0/0; } ipsec-vpn remote-vpn; user { user1; user2; } } } } }

VPN(暗号化)対象ネットワークアドレスを

指定

上記アドレスレンジのうち、VPN(暗号化)

”非”対象ネットワークアドレスを指定

接続可能なユーザを指定

(15)

Step6 . Security Policyの設定

security { policies {

from-zone untrust to-zone trust { policy vpn { match { source-address any; destination-address any; application any; } then { permit { tunnel { ipsec-vpn remote-vpn; } } } } } }

(16)

16 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

クライアント側 接続動作の概要(1/5)

1. Webブラウザで

https://x.x.x.x/dynamic-vpn

にアクセスします。

2. 下記画面が表示されるので、ユーザID/パスワードを入力します。

(17)

クライアント側 接続動作の概要(2/5)

3. ユーザ認証が成功すると、Dynamic VPNクライアントのダウンロードが始まり、

続いてインストールが行われます。

(最初のインストールでは、Administrator権限を持つユーザでWindowsにログ

オンしている必要があります)

(18)

18 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

クライアント側 接続動作の概要(3/5)

4. クライアントPC上に下記画面が表示され、SRXゲートウェイのサーバ証

明書の確認作業が行われます。”Accept”ボタンを押すことにより、IPSec

接続設定情報のダウンロードが行われます。

(19)

クライアント側 接続動作の概要(4/5)

5. IPSec接続が開始され、ユーザID/パスワードを入力するポップアップ画面が表示

されます。

6. 認証が成功すると、タスクトレイのアイコンが下記のように変わります。

7. virtual adapterが作成され、protected resourceで指定したネットワークへのルー

ト情報がPCにインストールされます(次ページ参照)

8. ユーザは、protected resourceで指定したネットワークへの通信が可能となります

(20)

20 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

クライアント側 接続動作の概要(5/5)

2回目以降は、Windows メニューからAccess Managerを起動することにより、

ブラウザを起動しなくてもVPN接続を行うことが可能となります。

(21)

クライアント側 PCの状態(VPN接続前)

C:¥Documents and Settings¥admin>ipconfig /all Windows IP Configuration

Host Name . . . : winxp Primary Dns Suffix . . . :

Node Type . . . : Hybrid IP Routing Enabled. . . : No WINS Proxy Enabled. . . : No

DNS Suffix Search List. . . : localdomain Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . : localdomain

Description . . . : VMware Accelerated AMD PCNet Adapter Physical Address. . . : 00-0C-29-C0-B6-30

Dhcp Enabled. . . : Yes Autoconfiguration Enabled . . . . : Yes

IP Address. . . : 192.168.56.138 Subnet Mask . . . : 255.255.255.0 Default Gateway . . . : 192.168.56.2 DHCP Server . . . : 192.168.56.254 DNS Servers . . . : 192.168.56.2 Primary WINS Server . . . : 192.168.56.2

Lease Obtained. . . : 2010年10月27日 20:09:43 Lease Expires . . . : 2010年10月27日 20:39:43

(22)

22 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

クライアント側 PCの状態(VPN接続前)

C:¥Documents and Settings¥admin>route print

=========================================================================== Interface List

0x1 ... MS TCP Loopback interface

0x20002 ...00 0c 29 c0 b6 30 ... AMD PCNET Family PCI Ethernet Adapter – パケット スケジューラ ミニポート

=========================================================================== =========================================================================== Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 0.0.0.0 192.168.56.2 192.168.56.138 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 192.168.56.0 255.255.255.0 192.168.56.138 192.168.56.138 10 192.168.56.138 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.56.255 255.255.255.255 192.168.56.138 192.168.56.138 10 224.0.0.0 240.0.0.0 192.168.56.138 192.168.56.138 10 255.255.255.255 255.255.255.255 192.168.56.138 192.168.56.138 1 Default Gateway: 192.168.56.2 =========================================================================== Persistent Routes: None

(23)

クライアント側 PCの状態(VPN接続後)

C:¥Documents and Settings¥admin>ipconfig /all (既存の構成に、下記のI/F記述が追加される)

Ethernet adapter Juniper Network Agent Virtual Adapter: Connection-specific DNS Suffix . :

Description . . . : Juniper Networks Virtual Adapter -パケット スケジューラ ミニポート

Physical Address. . . : 02-05-85-7F-EB-80 Dhcp Enabled. . . : No

IP Address. . . : 192.168.125.13 Subnet Mask . . . : 255.255.255.0 Default Gateway . . . :

DNS Servers . . . : 192.168.25.251 Primary WINS Server . . . : 192.168.25.251 C:¥Documents and Settings¥admin>

(24)

24 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

クライアント側 PCの状態(VPN接続後)

C:¥Documents and Settings¥admin>route print

=========================================================================== Interface List

0x1 ... MS TCP Loopback interface

0x20002 ...00 0c 29 c0 b6 30 ... AMD PCNET Family PCI Ethernet Adapter - パケット スケジューラ ミニ ポート

0x90004 ...02 05 85 7f eb 80 ... Juniper Networks Virtual Adapter - パケットスケジューラ ミニポート ===========================================================================

=========================================================================== Active Routes:

Network Destination Netmask Gateway Interface Metric

0.0.0.0 255.255.255.255 192.168.56.2 192.168.56.138 10 0.0.0.0 0.0.0.0 192.168.56.2 192.168.56.138 10 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 172.27.24.0 255.255.255.0 192.168.125.13 192.168.125.13 1 172.27.66.55 255.255.255.255 192.168.56.2 192.168.56.138 10 192.168.56.0 255.255.255.0 192.168.56.138 192.168.56.138 10 192.168.56.138 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.56.255 255.255.255.255 192.168.56.138 192.168.56.138 10 192.168.125.0 255.255.255.0 192.168.125.13 192.168.125.13 10 192.168.125.13 255.255.255.255 127.0.0.1 127.0.0.1 10 192.168.125.255 255.255.255.255 192.168.125.13 192.168.125.13 10 224.0.0.0 240.0.0.0 192.168.56.138 192.168.56.138 10 224.0.0.0 240.0.0.0 192.168.125.13 192.168.125.13 10 255.255.255.255 255.255.255.255 192.168.56.138 192.168.56.138 1 255.255.255.255 255.255.255.255 192.168.125.13 192.168.125.13 1 Default Gateway: 192.168.56.2 =========================================================================== Persistent Routes: None

※下線があるエントリーがVPN接続後に追加されたもの

(25)

SRXにおけるVPN接続ユーザの確認

root@SRX210-2# run show security dynamic-vpn users User: user1 , Number of connections: 1

Remote IP: 172.27.66.51 IPSEC VPN: remote-vpn IKE gateway: gw1 IKE ID : vpnusers.jnpr.local IKE Lifetime: 86400 IPSEC Lifetime: 3600 Status: CONNECTED

User: user2 , Number of connections: 1 Remote IP: 172.27.66.51 IPSEC VPN: remote-vpn IKE gateway: gw1 IKE ID : vpnusers.jnpr.local IKE Lifetime: 86400 IPSEC Lifetime: 3600 Status: CONNECTED [edit] root@SRX210-2#

(26)

26 Copyright © 2010 Juniper Networks, Inc. www.juniper.net

SRXにおけるVPN接続ユーザの確認

root@SRX210-2# run show security dynamic-vpn users terse

User Remote IP IKE ID Status IKE Lifetime IPSEC Lifetime Client Config Name Time Established

user1 172.27.66.51 vpnusers.jnpr.local CONNECTED

86400 3600 cfg1 Wed Oct 27 12:12:06 2010

user2 172.27.66.51 vpnusers.jnpr.local CONNECTED

86400 3600 cfg1 Wed Oct 27 12:17:26 2010 [edit]

root@SRX210-2#

注意)上記の情報は、Webブラウザからアクセスした場合のみ表示されます。

(27)

参照

関連したドキュメント

これらの定義でも分かるように, Impairment に関しては解剖学的または生理学的な異常 としてほぼ続一されているが, disability と

サーバー費用は、Amazon Web Services, Inc.が提供しているAmazon Web Servicesのサーバー利用料とな

3 当社は、当社に登録された会員 ID 及びパスワードとの同一性を確認した場合、会員に

本装置は OS のブート方法として、Secure Boot をサポートしています。 Secure Boot とは、UEFI Boot

ペトロブラスは将来同造船所を FPSO の改造施設として利用し、工事契約落札事業 者に提供することを計画している。2010 年 12 月半ばに、ペトロブラスは 2011

(7)

本手順書は複数拠点をアグレッシブモードの IPsec-VPN を用いて FortiGate を VPN

現行の HDTV デジタル放送では 4:2:0 が採用されていること、また、 Main 10 プロファイルおよ び Main プロファイルは Y′C′ B C′ R 4:2:0 のみをサポートしていることから、 Y′C′ B