[mGuard] IPsecVPN トンネル X.509認証

はじめに

mGuardにて、IPパケットを暗号化する仕組みを用いた「IPsecVPN」と、認証方式に「X.509認証」を用いた設定例をご紹介いたします。

構成例

設定の流れ

本記事ではXCAアプリのインストール手順については割愛いたします。

設定例

証明書作成
STEP
データベースの作成
「ファイル」-「新しいデータベース」をクリック
任意の場所にデータベースを保存する
STEP
CAの作成
「署名済証明書」タブより                                               「新しい証明書を作成」をクリック
「ソース」タブより
「自己署名証明書を作成」にチェック
「サブジェクト」タブより
【内部名】任意の名前を入力
【countryName】国名を入力
【stateOrProvinceName】都道府県名を入力
【organizationName】任意の団体名/会社名を入力
【commonName】任意の識別できる名前を入力
「新しい秘密鍵を生成」をクリック
【名前】任意の名前を入力
「作成」をクリックして秘密鍵を作成
「拡張キー」タブより
【サブジェクトタイプ】Certification Authority を選択
「OK」をクリックしてCAを作成
STEP
mGuard_Aの証明書作成
「署名済証明書」タブより                                            「CA」を選択して「新しい証明書を作成」をクリック
「ソースタブ」より
「署名にこの署名を使用」にチェックし作成したCAを選択する
「サブジェクト」タブより
【内部名】任意の名前を入力
【countryName】国名を入力
【stateOrProvinceName】都道府県名を入力
【organizationName】任意の団体名/会社名を入力
【commonName】任意の識別できる名前を入力
「新しい秘密鍵を生成」をクリック
【名前】任意の名前を入力
「作成」をクリックして秘密鍵を作成
「拡張キー」タブより
【サブジェクトタイプ】End Entity を選択
「OK」をクリックしてmGuard_Aの証明書を作成
STEP
mGuard_Bの証明書作成
「署名済証明書」タブより                                            「新しい証明書を作成」をクリック
「ソースタブ」より
「署名にこの署名を使用」にチェックし作成したCAを選択する
「サブジェクト」タブより
【内部名】任意の名前を入力
【countryName】国名を入力
【stateOrProvinceName】都道府県名を入力
【organizationName】任意の団体名/会社名を入力
【commonName】任意の識別できる名前を入力
「新しい秘密鍵を生成」をクリック
【名前】任意の名前を入力
「作成」をクリックして秘密鍵を作成
「拡張キー」タブより
【サブジェクトタイプ】End Entity を選択
「OK」をクリックしてmGuard_Aの証明書を作成
STEP
mGuard_A証明書のファイル出力
2種類の証明書をファイル出力する
「署名済証明書」タブより                                     mGuard_Aを選択し「エクスポート」をクリック
【エクスポートフォーマット】PEM(*.crt)                                       【ファイル名】拡張子を「.pem」に書き換え                                   「OK」をクリックしてmGuard_Aの証明書をファイル出力
【エクスポートフォーマット】PKCS #12(*.pfx)                                       【ファイル名】拡張子を「.p12」に書き換え                                   「OK」をクリック
p12ファイルはパスワードが必要となる為、
任意のパスワードを入力し「OK」をクリックして
mGuard_Aの証明書をファイル出力
(パスワードはmGuardに証明書インポートする際に必要となります)
STEP
mGuard_B証明書のファイル出力
2種類の証明書をファイル出力する
「署名済証明書」タブより                                     mGuard_Bを選択し「エクスポート」をクリック
【エクスポートフォーマット】PEM(*.crt)                                       【ファイル名】拡張子を「.pem」に書き換え                                   「OK」をクリックしてmGuard_Bの証明書をファイル出力
【エクスポートフォーマット】PKCS #12(*.pfx)                                       【ファイル名】拡張子を「.p12」に書き換え                                   「OK」をクリック
p12ファイルはパスワードが必要となる為、
任意のパスワードを入力し「OK」をクリックして
mGuard_Bの証明書をファイル出力
(パスワードはmGuardに証明書インポートする際に必要となります)
STEP
出力ファイルの確認
ファイルエクスポート先を確認し上記のような4つのファイルがあればOK
mGuard_Aの設定
STEP
ネットワークの設定
左ペイン「ネットワーク」-「インターフェース」をクリック
「一般」タブより
【ネットワークモード】ルーターを選択
【ルーターモード】スタティックを選択
「外部接続」タブより
【IPアドレス】172.16.0.10
【ネットマスク】255.255.255.0
【VLANのID】1
【デフォルトゲートウェイ】0.0.0.0
「内部接続」タブより
【IPアドレス】192.168.1.1
【ネットマスク】255.255.255.0
【VLANのID】1
STEP
証明書の設定
左ペイン「認証」-「証明書」をクリック
「マシン証明書」タブより
【ショートネーム】任意の名称
「証明書の詳細」にてmGuard_A.p12ファイルをアップロード
(パスワードはファイルエクスポート時に設定したもの)
STEP
IPsecVPNの設定
左ペイン「IPsec VPN」-「グローバル」をクリック
【カプセル化した内向きVPN接続を待ち受け】にチェック
【TCP待ち受けポート】8080
左ペイン「IPsec VPN」-「接続」をクリック
「接続」から編集アイコンをクリック
   「一般」タブより
【初期モード】開始 を選択
【リモートサイトのVPNゲートウェイの…】%any
【接続スタートアップ】待機 を選択
                                                               「トランスポートとトンネルの設定」より
【タイプ】トンネル を選択
【ローカル】192.168.1.0/24
【ローカルNAT】NATなし を選択
【リモート】192.168.10.0/24
【リモートNAT】NATなし を選択
「一般」タブより
【証明方法】X.509証明書 を選択
【ローカルX.509証明書】mGuard_A を選択
【リモートCA証明書】CA証明書ではなく、以下のリモート証明書 を選択
【リモート証明書】mGuard_B.pem をアップロード
画面右上の保存アイコンをクリックして設定保存                                       ※こちらをクリックしないと設定が保存されません
mGuard_Bの設定
STEP
ネットワークの設定
左ペイン「ネットワーク」-「インターフェース」をクリック
「一般」タブより                                             【ネットワークモード】ルーターを選択
【ルーターモード】スタティックを選択
「外部接続」タブより
【IPアドレス】172.16.0.20
【ネットマスク】255.255.255.0
【VLANのID】1
【デフォルトゲートウェイ】0.0.0.0
「内部接続」タブより
【IPアドレス】192.168.10.1
【ネットマスク】255.255.255.0
【VLANのID】1
STEP
証明書の設定
左ペイン「認証」-「証明書」をクリック
「マシン証明書」タブより
【ショートネーム】任意の名称
「証明書の詳細」にてmGuard_B.p12ファイルをアップロード
(パスワードはファイルエクスポート時に設定したもの)
STEP
IPsecVPNの設定
左ペイン「IPsec VPN」-「グローバル」をクリック
【カプセル化した内向きVPN接続を待ち受け】チェックを外す
左ペイン「IPsec VPN」-「接続」をクリック
「接続」から編集アイコンをクリック
「一般」タブより
【初期モード】開始 を選択
【リモートサイトのVPNゲートウェイの…】172.16.0.10
【接続スタートアップ】開始 を選択
【TCP内のVPNトラフィックをカプセル化】TCPカプセル化 を選択
                                                               「トランスポートとトンネルの設定」より
【タイプ】トンネル を選択
【ローカル】192.168.10.0/24
【ローカルNAT】NATなし を選択
【リモート】192.168.1.0/24
【リモートNAT】NATなし を選択
「一般」タブより
【証明方法】X.509証明書 を選択
【ローカルX.509証明書】mGuard_B を選択
【リモートCA証明書】CA証明書ではなく、以下のリモート証明書 を選択
【リモート証明書】mGuard_A.pem をアップロード
画面右上の保存アイコンをクリックして設定保存                                       ※こちらをクリックしないと設定が保存されません
VPN接続確認
STEP
VPNの接続確認
左ペイン「IPsec VPN」-「接続」をクリック
「ISAKMP SA」「IPsec SA」がチェックマークアイコンになっていれば接続OK
  • URLをコピーしました!