VPN: SonicOS EnhanceでSonicWall GroupVPNへのL2TP クライアント アクセスを構成する
Description
Resolution
概要
本書は、内蔵のL2TP サーバ機能とMicrosoftのL2TP VPN クライアントを使って、SonicWall GroupVPN SAにL2TP クライアント接続を行うための設定方法を説明します。L2TP クライアント ユーザはSonicWall セキュリティ装置の背後のLANにアクセスでき、またユーザの全てのインターネット トラフィックはVPN トンネル経由でルートされます。これは、分割トンネル構成ではありません。このガイドはSonicOS Enhanced 2.x、3.x、4.x及び5.x ファームウェア向けです。またこのガイドはMicrosoft Windows XP Service Pack 2(SP2)ユーザを対象としています。MicrosoftはL2TP クライアントを更新したため、Windows XP SP2でないまたはSP1ユーザはこのガイドを使用することができません。
SonicWall装置の設定
SonicWall セキュリティ装置がL2TP接続を受け入れるように構成するため、これらの手順に従って下さい:
Step 1: ネットワーク > アドレス オブジェクトを選択します。
Step 2: 以下のアドレス オブジェクトを追加します:
- 名前: 'L2TP Subnet'
- タイプ: Network
- ネットワーク: 10.10.50.0 (あなたのL2TP プールのクラス C ネットワーク アドレス)
- サブネット マスク: 255.255.255.0
- ゾーンの割り当て: VPN
Step 3: ユーザ > 設定を選択し以下の設定変更を行います:
- ログインの認証方式: RADIUS + ローカル ユーザ
Step 4: VPN > L2TP サーバから、L2TP サーバを有効にするを有効化し、設定を選択して以下のオプションを定義します:
- キープ アライブ時間(秒): 60
- DNS サーバ 1: 4.2.2.2(もしくはあなたのISPのDNSを使用)
- DNS サーバ 2: 4.2.2.1(もしくはあなたのISPのDNSを使用)
- DNS サーバ 3: 0.0.0.0(もしくはあなたのISPのDNSを使用)
- WINS サーバ 1: 0.0.0.0(もしくはあなたのWINS IPを使用)
- WINS サーバ 2: 0.0.0.0(もしくはあなたのWINS IPを使用)
- RADIUS/LDAP サーバにより提供されたIP アドレス: 無効
- ローカル L2TP IP プールを使用: 有効
- 開始IP アドレス: 10.10.50.10 *参考例*
- 終了IP アドレス: 10.10.50.20 *参考例* 補足: ユニークなプライベート範囲を使用。
- L2TP で使用するユーザ グループ: Trusted UsersまたはEveryone
Step 5: ユーザ > ローカル ユーザを選択します。
Step 6: ユーザを追加し、VPN アクセス リストに以下のオブジェクトを追加します:
- L2TP Subnet
- WAN リモート アクセス
- LAN Subnets
補足: 代わりに、これらのネットワーク群をEveruoneもしくはTrusted Users グループに追加することもできます。また、アクセスを必要とするあらゆるアドレス オブジェクトを追加します。
Step 7: ネットワーク > NAT ポリシーを選択し、以下の設定のNAT ポリシーを追加します:
- 変換前の送信元: L2TP Subnet
- 変換後の送信元: WAN 主格 IP
- 変換前の送信先: 全て
- 変換後の送信先: オリジナル
- 変換前サービス: すべて
- 変換後サービス: オリジナル
- 受信インターフェース: すべて
- 発信インターフェース: WANまたはX1
- コメント: L2TP Client NAT
- NAT ポリシーを有効にする: 有効
- 再帰ポリシーを作成する: 無効
Step 8: VPN > 設定を選択し、WAN GroupVPN ポリシーを以下の設定で構成します:
一般 タブ:
- 事前共有鍵を入力。
プロポーザル タブ:
- IKE (フェーズ 1) プロポーザル
- DH グループ: グループ 2
- 暗号化: 3DES
- 認証: SHA1
- ライフ タイム (秒): 28800
- IPSec (フェーズ 2) プロポーザル
- プロトコル: ESP
- 暗号化: 3DES
- 認証: SHA1
- Perfect Forward Secrecy を有効にする: 無効 (オプション)
- DH グループ: 無効 (PFSが無効の場合は適用できません)
- ライフ タイム (秒): 28800
詳細 タブ:
- ウィンドウズ ネットワーク (NetBIOS) ブロードキャストを有効にする: 有効 (オプション)
- マルチキャストを有効にする: 無効 (オプション)
- この SA を経由しての管理:
- HTTP: 有効 (オプション)
- HTTPS: 有効 (オプション)
- デフォルト ゲートウェイ: SonicWallのパブリック (WAN) IP
- XAUTH を利用した VPN クライアントの認証を要求する: 有効
- XAUTH に使用するユーザ グループ: Trusted UsersまたはEveryone
- 認証されていない VPN クライアントのアクセス許可: 無効
クライアント タブ:
- ユーザ名とパスワードのキャッシング: 常に有効
- 仮想アダプタの設定: DHCP リース
- コネクションの制御: "このゲートウェイのみ" または "すべてのゲートウェイ" (サイト間VPNにアクセスする必要がある場合)
- このゲートウェイをデフォルト ルートに設定する: 有効
- このコネクションのために、グローバル セキュリティ クライアントが稼動していることを要求する: 無効
- シンプル クライアント プロビジョニングに既定の鍵を使用する: 無効
補足: WAN GroupVPN ポリシーが有効(チェックされている)であることを確認してください。
Step 9: VPN > VPN を越えた DHCPを選択し、セントラル ゲートウェイを選んで、設定を選択して以下を調整します:
- 内部 DHCP サーバを使用する: 有効
- グローバル VPN クライアント向け: 有効
- リモート ファイアウォール向け: 無効
- 下記にリストされたサーバ IP アドレスに DHCP リクエストを送信する: 無効
- リレー IP アドレス(オプション): 0.0.0.0
Step 10: ファイアウォール > アクセス ルールを選択し、以下のVPNからWANへのルールを追加します:
- 送信元ゾーン: VPN
- 送信先ゾーン: WAN
- 送信元: WAN リモート アクセス
- 送信先: すべて
- サービス: すべて
- 動作: 許可
- ユーザ: すべて
補足:
- Microsoft Windows XP Service Pack (SP) 2のL2TP クライアントは、もし装置がNAT デバイスの背後にある場合はSonicWallのL2TPサーバに接続できません。この状況を解決するシステム レジストリ編集のために、Microsoftのナレッジ ベースの記事番号885407、タイトル「IPsec の NAT トラバーサル (NAT-T) の既定動作は Windows XP Service Pack 2 に変更します。」を参照して下さい。
- Windows XP Service Pack 2のL2TP クライアントは、現在のSonicOS Standard ファームウェアではサポートされない更新されたNAT トラバーサル(NAT-T v2)を最適化します。
SonicWallの部分の設定はこれで完了です。
L2TP クライアント設定
Microsoft Windows XP Professional, Service Pack 2上でL2TP クライアントを設定するには、以下の手順に従います:
- コントロール パネルを開きます。
- ネットワーク接続を開きます。
- 新しい接続ウィザードを開きます。次へを選択します。
- ”職場のネットワークへ接続する”を選択し、次へを選択します。
- ”仮想プライベート ネットワーク接続”を選択し、次へを選択します。
- VPN接続に割り当てる名前を入力します。次へを選択します。
- SonicWallのパブリック(WAN)IP アドレスを入力します。代わりに、SonicWallを示すドメイン名を使用することもできます。次へを選択し、完了を選択します。接続ウィンドウが表示されます。プロパティを選択します。
- セキュリティ タブに移動します。”IPSec 設定”を選択します。”認証に事前共有キーを使う”を有効化します。事前共有鍵を入力します。OKを選択します。
- ネットワーク タブに移動します。”VPNの種類”を”自動”から”L2TP IPSec VPN”に変更します。OKを選択します。
- XAUTH ユーザ名とパスワードを入力します。接続を選択します。
接続が確立したら、インターネットへのアクセスが有効になります。内部ネットワークへの接続も有効になります。
