PCでIPsecの条件を設定する

機器で選択したセキュリティーレベルのIPsec SA設定と同一の条件をPC側で設定します。設定方法はOSによって異なります。ここではセキュリティーレベルで「認証と暗号化(低)」を選択したときのWindows 7側の設定を例に説明します。

1[スタート]メニューから[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。

Windows 10のときは、[スタート]ボタンを右クリックし、[設定]-[コントロールパネル]-[システムとセキュリティ]-[管理ツール]をクリックします。

2[ローカルセキュリティポリシー]をダブルクリックします。

3[IPセキュリティポリシー(ローカルコンピュータ)]をダブルクリックします。

4[操作]メニューから[IPセキュリティポリシーの作成]をクリックします。

[IPセキュリティポリシーウィザード]が表示されます。

5[次へ]をクリックします。

6任意のIPセキュリティポリシー名を入力し、[次へ]をクリックします。

7「既定の応答規則をアクティブにする」のチェックを外し、[次へ]をクリックします。

8「プロパティを編集する」にチェックを付け、[完了]をクリックします。

9[全般]タブを選択し、[設定]をクリックします。

10「新しいキーを認証して生成する間隔」に機器の自動鍵交換設定のフェーズ1で設定した有効期間を分単位で入力し、[メソッド]をクリックします。

11機器の自動鍵交換設定のフェーズ1で選択されている「暗号化」(暗号化アルゴリズム)、「整合性」(ハッシュアルゴリズム)、「Diffie-Hellmanグループ」の組み合わせが[セキュリティメソッドの優先順位]に存在しているか確認します。

存在しないときは[追加]をクリックし作成します。

12[OK]を2回クリックします。

13[規則]タブを選択し、[追加]をクリックします。

「セキュリティの規則ウィザード」が表示されます。

14[次へ]をクリックします。

15「この規則ではトンネルを指定しない」を選択し、[次へ]をクリックします。

16IPsecを適用するネットワークの種類を選択し、[次へ]をクリックします。

17「IPフィルター一覧」で[追加]をクリックします。

18「名前」に任意のIPフィルター名を入力し、[追加]をクリックします。

「IPフィルターウィザード」が表示されます。

19[次へ]をクリックします。

20必要に応じてIPフィルターの説明を入力し、[次へ]をクリックします。

21「発信元アドレス」で「このコンピューターのIPアドレス」を選択し、[次へ]をクリックします。

22「宛先アドレス」で「特定のIPアドレスまたはサブネット」を選択し、機器のIPアドレスを入力して[次へ]をクリックします。

23IPsecの対象とするプロトコルを選択し、[次へ]をクリックします。

「TCP」または「UDP」を選択したときは、「IPプロトコルポートの設定」で発信ポートと宛先ポートを指定し、[次へ]をクリックします。

24[完了]をクリックします。

25[OK]をクリックします。

26設定したIPフィルターを選択し、[次へ]をクリックします。

27[追加]をクリックします。

「フィルター操作ウィザード」が表示されます。

28[次へ]をクリックします。

29任意のフィルター操作名を入力し、[次へ]をクリックします。

30[セキュリティのネゴシエート]を選択し、[次へ]をクリックします。

31[セキュリティで保護された接続が確立できない場合、保護されていない通信を許可する]を選択し、[次へ]をクリックします。

32「カスタム」を選択し、[設定]をクリックします。

33「整合性アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている認証アルゴリズムを選択します。

34「暗号化アルゴリズム」で機器の自動鍵交換設定のフェーズ2で選択されている暗号化アルゴリズムを選択します。

35「セッションのキーの設定」で「新しいキーの生成間隔(R)」にチェックを付け、機器の自動鍵交換設定のフェーズ2で設定した有効期間を秒単位で入力します。

36[OK]をクリックします。

37[次へ]をクリックします。

38[完了]をクリックします。

39作成したフィルター操作を選択し、[次へ]をクリックします。

自動鍵交換設定でセキュリティーレベルを「認証と暗号化(高)」に指定するときは、作成したフィルター操作を選択し[編集]をクリックします。フィルター操作のプロパティ画面で[セッションキーのPFS (Perfect Forward Secrecy)を使う]をチェックします。WindowsでPFSを使用するときは、自動鍵交換設定のフェーズ2で使用されるPFSグループ番号は、ステップ11にあるDiffie-Hellmanグループ番号から自動的に変換されます。このため、機器の自動鍵交換設定で指定されたセキュリティーレベルを変更し、「ユーザー設定」が表示される状況でIPsecを有効にするには、機器の「Diffie-Hellmanグループフェーズ1」と「PFSフェーズ2」のグループ番号を同じにします。

40認証方法を選択して[次へ]をクリックします。

機器の自動鍵交換設定の認証方法で証明書を選択しているときは、機器証明書を設定します。PSKを選択しているときは、事前共有キーとして機器で設定したPSKと同じ文字列を入力します。

41[完了]をクリックします。

IPv6を使用するときは、もう一度手順13から操作してICMPv6の除外設定を追加してください。

そのとき、手順23では対象とするプロトコルで[その他]のプロトコル番号[58]を選択し、[セキュリティのネゴシエート]を許可する設定にしてください。

42[OK]をクリックします。

新しいIPセキュリティポリシー(IPsec設定)が設定されます。

43設定したセキュリティポリシー名を選択し、右クリックして[割り当て]をクリックします。

PCのIPsec設定が有効になります。

補足

  • PCのIPsecを無効にするときは、設定したセキュリティポリシー名を選択し、右クリックして[割り当ての解除]をクリックします。

前へ次へ