|
 |
接続するプロバイダはどこでもいいのですか?
基本的にはどこでもかまいません。拠点同士が同じプロバイダでなければいけないこともありません。ただし,AOLではインターネットVPNは利用できません。
|
|
|
|
VPNの設定はWEB画面からできるのですか。
MUCHO-EV,INFONET-VP100のVPNに関する設定は,MUCHO-EVのWEB画面から行うことができます。「便利な設定」→「VPNの設定」から行ってください。
|
|
|
MUCHO-EVでダイヤルアップでインターネットに接続していますが,VPNは利用できますか。
ダイヤルアップ端末型の契約でも,VPN機能を使用することができるのが,MUCHO-EVの最大の特長です。
対向がOCNエコノミーなどでグローバルアドレスがわかっていれば,ダイナミックにIPアドレスが割り振られるためアドレスが固定されなくても,peernameという名前をお互いに設定しておくことで,VPNで通信することができます。
|
|
|
何箇所までVPNの通信ができますか。
MUCHO-EVは,最大16拠点まで登録することができます。同時の接続は32セッションまでです。
INFONET-VP100は,最大500拠点まで登録することができます。同時の接続は100セッションまでです。
|
|
|
暗号アルゴリズムは何をサポートしていますか。
DES-CBC with Explicit IV をサポートしています。
DES(Data Encryption Standard)は,米国商務省標準局が1973年に公募し,IBM案を採用。米国内で広く採用され,IPsecの暗号方式の標準として採用されています。
さらに,INFONET-VP100,INFONET-VPN Client,MUCHO-EV/PKは3DES(triple DES)もサポートしています。
|
|
|
認証アルゴリズムは何をサポートしていますか。
HMAC(Hash Message Authentication Codes)with MD5 と,HMAC with SHA1をサポートしています。初期値はMD5です。MD5は128ビットの固定長鍵をサポートし,128bitsの認証用データを生成します。
SHA1は,MD5より強固ですが,処理が重くなります。160ビットの固定長鍵をサポートし,160bitsの認証用データを生成します。
|
|
|
IPXやAppleTalkもVPNで通信できるのですか。
通信できません。現状,IPのみVPNで通信できます。
|
|
|
VPN機能がon(enable)になりません。
設定で,「VPN機能を使用する」にしている,またはコマンドで「vpn on」としているのに,「vpnlog」を見ると,「vpn disabled.」になっていることがあります。
まずは再度設定を見なおして,装置をリセットしてみてください。
|
|
|
MUCHO-EVやINFONET-VP100は他社製品とのVPN通信が可能ですか。
可能です。
INFONET-VP100は,ICSA社の認定を日本国内製品として初めて取得しました。ICSA社の認定は、VPNの業界標準規格である「IPsec」に関してセキュリティ強度や,他社のVPN装置(既認定機器であるPERMIT/GATE(Alcatel Networks Corporation製),VPNware VSU(VPNetTechnologies,Inc.製)など)との相互接続性がテストされた結果に対するものです。
MUCHO-EV/PKも2000年秋に認定を取得いたしました。
また,MUCHO-EVは,NTT殿で主催された相互接続試験に参加し,相互接続性を確認しております。
試験内容としては,
- IPsecで通信ができるか。いわば基本的な「相性」の確認
- 暗号化で用いる鍵の寿命を双方で変化させての確認(片方の鍵の寿命を短く設定し,もう片方の鍵の寿命を長く設定する。 短い方の寿命が尽きた時,自動的に再度,鍵交換(生成) を行いVPN通信が継続できるかをテストします。いわば運用を考慮したテストを行い,相互接続性としては優秀な結果を得ています。
|
|
|
利用できる認証局を紹介してください。
下記の認証局の証明書での利用を確認しています。
- Entrust 4.0
- VeriSign (EvaluationEdition)
- SSH
|
|
|
工場出荷状態で,SAのLifeTime値はいくつですか?
下記のとおりです。
|
|
Phase1(sec) |
Phase2(sec) |
MUCHO-EV
(V20.14以前)
(V20.14以降) |
86400
1000 |
28800
600 |
| MUCHO-EV/PK |
1000 |
600 |
| INFONET-VP100 |
1000 |
600 |
| INFONET-VPN Client |
Unspecified |
Unspecified |
|
|
|
SAのLifeTime値のデフォルト値はなぜPhase1とPhase2で値が違うのですか?
Phase1は,Diffie-Hellmanの処理を行うので,処理に時間がかかります。そのため, Phase1とPhase2では,Phase1の方が処理が重いので,Phase1のLifeTimeを長めにしてPhase1の鍵交換をあまり行わないようにすることによって, 鍵交換の負荷を小さくしています。
|
|
|
SAのLifeTime値は変更した方がいいのですか?
MUCHO-EV,MUCHO-EV/PK,INFONET-VP100では,特に変更する必要はありません。
変更する場合は,センタ側と拠点側のLifeTimeは必ず同じ値にしてください。
もしセンタ側のLifeTimeが短いと,センタ側で先にLifeTimeが満了してしまい,拠点側ではセンタ側のSAがなくなっていることに気がつかずデータを送信してしまうため,通信を行うことができなくなります。
INFONET VPN Client では,デフォルト値が「Unspecified」となっており特に数値を規定していません。
必ず数値を設定してください。
|
|
|
SAのLifeTime値を変更するにはどうしたらいいですか?
|
MUCHO-EV,MUCHO-EV/PK,INFONET-VP100の場合
|
【コマンドによる設定】
Phase1のLifeTime
vpnparam p1lifesec=<sec> |
| ●p1lifesec |
IKE SA Lifetime。単位は秒。
設定範囲:0, 60〜0xffffffff。
デフォルト: 1000
|
Phase2のLifeTime
vpnpolicy set id=<ID> sec=<lifetime second> |
| ●sec |
PhaseII のSA Lifetime 。単位は秒。
設定範囲:0(設定なし), 60〜0xffffffff
デフォルト:600
|
例えば,Phase1を1800秒,Phase2を2000秒に設定する場合
conf#vpnparam p1lifisec=1800
conf#vpnpolicy set id=1 sec=2000
【WEB設定画面による設定】
Phase1のLifeTime
WEB画面では変更できません。
Phase2のLifeTime
「便利な設定」→「VPN設定」→「暗号化ポリシーの登録」の
「SAライフタイム: 」で変更します。
Phase1のLifeTime
「Security Policy Editor」→「Security Policy」
→「Authentication (Phase 1)」の「Proposal」の中で,
「Encryption and Data Integrity Algorithms」のSA Life の「Seconds」
を選択し数値を入力します。
Phase2のLifeTime
「Security Policy Editor」→「Security Policy」
→「Authentication (Phase 1)」の「Proposal」の中で,
「IPsec Protocols」のSA Lifeの「Seconds」を選択し数値を入力します。
|
|
|
VPNログ(vpnlogコマンド)のログの一覧はありますか?
あります。
こちらをご参照ください。
|
|
|
VP100の冗長構成とはどのような機能ですか?
装置を二重化し,万が一のVP100障害時に通信を継続できるようにするバックアップ(ホットスタンバイ)の機能です。
VP100にそれぞれの優先度を決めて,それ以外は同じ設定にしておきます。優先度の高いVP100(マスターとします)が自分がマスターであることを常に他のVP100に公告します。マスターに障害が発生したときに,次に優先度の高いVP100が作動します。
マスターとそれ以外のVP100は仮想的に同じグループに属するので,各端末のゲートウェイはマスターのIPアドレスを指定しておけば,バックアップ時にゲートウェイを変更する必要はありません。
【正常時】
【障害発生時】
|
|
|
IPsecの途中経路上にファイヤーウォールがある環境でVPN通信ができません.
ファイヤーウォールで以下のパケットを通す必要があります.
- IKEパケット
UDP srcport=500,dstport=500
- ESPパケット
プロトコルNo.50,51
|
|
|
|
リセット後有効な項目,セーブ後有効な項目の一覧はありますか。
セーブ後有効で変更後リセットの不要なコマンドは以下のとおりです。
・ipripstatic
・ipfiltering
・vpnpeer ただしnat, natglobal(address/mask)を除く
・vpnpolicy sec, kbytes, pfs, groupパラメータ
・vpnselector
・snmp authtrapパラメータ
・manager
・syslogtable
・hosttable
・vpnikepolicy
・vpncert
・rgrpparam
・rgrptable
・flogcontrol
・clogcontrol
|
|
|
設定を終了して「exit」しても「please reset#」となりません。リセットしなくていいのですか?
変更した内容がセーブのみで有効な項目の場合,リセットを促す上記のプロンプトは表示されません。リセットは不要です。
|
|
|
|
Windows95にインストールしたいのですが,「The SafeNet VPN Componentrequires DialUpNetworking(DUN) upgrade for Win95」と出ます。
DUN1.3が必要になります。
http://www.microsoft.com/japan/windows/dun1_3/からダウンロードしてPC上で実行してください。
|
