strongSwanクライアントサポート

IKEv2によるリモートアクセスクライアントは、strongSwanクライアントを使用する機能があります。

strongSwan Client Installation

strongSwanクライアントのインストールは、strongSwanのドキュメントに記載されている手順に従ってください。

strongSwanクライアントの構成

コンフィギュレーションには、以下のセクションがあります。

セクション 説明

証明書

を説明します。

  • "ipsec.conf" ファイル

  • "ipsec.secrets" ファイル

  • "strongswan.conf" ファイル

  • "cacerts" フォルダー

  • "certs" フォルダー

  • "private" フォルダー

ユーザ名とパスワード

を説明します。

  • "ipsec.conf" ファイル

  • "ipsec.secrets" ファイル

  • "strongswan.conf" ファイル

機能構成

を説明します。

  • "pfs" 機能

  • "reauth" 機能

  • "rekey" 機能

  • IKE方式とESP方式の厳密な使い分け

  • デッド・ピア検出(DPD)

特別構成

を説明します。

  1. ファイル:

    /etc/strongswan/ipsec.conf

    説明:

    このファイルでは、strongSwanクライアントが証明書認証を通じてCheck Point Security Gatewayと通信する方法を設定します。

    ファイルの連絡先です。

    • config setup

      • charondebug="ike 4, knl 4, cfg 3, chd 4"

    • conn CONNECTION_NAME

      • type=tunnel

        デフォルトでは、これはトンネルです。

      • leftfirewall=yes

      • authby=pubkey

      • keyexchange=ikev2

      • left=<CLIENT_EXTERNAL_IP_ADDRESS>

        デフォルトでは、%any です。

        ローカルエンドポイントの値%any は、ネゴシエーション中に(自動キーイングによって)充填されるアドレスを意味します。

        ローカルピアが接続設定を開始した場合、ルーティングテーブルクエリにより正しいローカルIPアドレスが決定されます。

      • leftsourceip=%config

        相手に仮想IP(Office Mode IP)、DNSなどの設定を要求させる。

      • right=<GW_EXTERNAL_IP_ADDRESS>

      • rightid=<GW_EXTERNAL_IP_ADDRESS>

      • leftcert=<CLIENT_CERTIFICATE_FILE>

        例: StrongSwanPublicCert.cer

      • rightsubnet=ENCRYPTION_DOMAIN_WE_WANT_TO_CONNECT

        暗号化ドメイン全体に接続する場合は、0.0.0.0/0.

      • ike=<IKE_METHODS_AS_CONFIGURED_ON_THE_GW>

        例: aes256-sha1-modp1024

        これらの方式をサポートするようにSecurity Gatewayを設定する必要があります。

      • esp=<IPSEC_METHODS_AS_CONFIGURED_ON_THE_GW>

        例: 3des-sha1

        これらのメソッドに対応するためには、ゲートウェイを編集する必要があります。

      • ikelifetime=<TIME_WHICH_AFTER_THE_IKE_SA_IS_NOT_VALID>

        例: 24h

        IKE SAが期限切れとなる絶対的な時間。

        時(h)、分(m)、秒(s)とすることができます。

      • lifetime=<TIME_WHICH_AFTER_THE_IPSEC_SA_IS_NOT_VALID>

        例: 1h

        IPsec SAが期限切れとなる絶対時間。

        時(h)、分(m)、秒(s)とすることができます。

      • reauth=yes

      • rekey=yes

      • margintime=<TIME_TO_START_REKEY_OR_REAUTH_BEFORE_EXPIRY>

        例:1M

        SAが切れる前に再入力を開始すべき時間。

        例:lifetime1hmargintime11h が終了する前に1m となった場合,Security Gateway は Rekey 処理を開始する.

        時(h)、分(m)、秒(s)とすることができます。

      • rekeyfuzz=<RANDOM_TIME_PERCENTAGE_FOR_REKEY_AND_REAUTH>

        例: 50%

        margintime がランダムに増加する割合(100%を超える場合もある)。

        rekeyfuzz=0% でランダム化を無効にすることができます。

        IPsec SA と IKE SA の rekytime の計算式である。

        rekeytime = lifetime - (margintime + random(0, margintime * rekeyfuzz))

      • auto=add

      • dpdaction=restart

        ゲートウェイからの応答がない場合、直ちに再ネゴシエーションを試みます。

      • dpddelay=<TIME_TO_SEND_R_U_THERE_MESSAGE>

        例: 30s

        R_U_THERE メッセージとINFORMATIONAL エクスチェンジがピアに行く期間時間間隔を定義します。

        これらは、他のトラフィックを受信していない場合にのみ実行されます。

        時(h)、分(m)、秒(s)とすることができます。

      • dpdtimeout=<TIMEOUT_INTERVAL_TO_DELETE_THE_CONNECTION>

        例: 60s

        非アクティブ時にピアへの接続がすべて削除されるtimeout の間隔を定義します。

        時(h)、分(m)、秒(s)とすることができます。

    高度な設定と解説。

    strongSwanのドキュメントの「一般的な接続パラメータ」のセクションを参照してください。

  2. ファイル:

    /etc/strongswan/ipsec.secrets

    説明:

    このファイルでは、strongSwanの秘密鍵を設定します。

    ファイルの連絡先です。

    THE_SITE_IP_ADDRESS (OPTIONAL) : RSA CLIENT_CERT_KEY_FILE

    例: StrongSwanPrivateKey.pem

  3. ファイル:

    /etc/strongswan/strongswan.conf

    説明:

    strongSwan 設定ファイルでは、さらにプラグインを追加し、ベンダー ID を送信し、DNS を解決します。

    ファイルの連絡先です。

    charon {
  load_modular = yes
  send_vendor_id = yes
  plugins {
    include strongswan.d/charon
    resolve {
      file = /etc/resolv.conf
    }
  }
}
include strongswan.d/*.conf

    高度な設定と解説。

    strongSwanのドキュメントの、strongswan.conf ファイルの項を参照してください。

  4. ディレクトリのパス

    /etc/strongswan/ipsec.d/cacerts

    ファイル:

    internal_ca.crt

    説明:

    Gateway、LDAP、RADIUS の全サーバの内部 CA ファイルは、クライアントが接続毎にサーバを認証するための Trusted CA となる。

    これらの設定は、SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。Trusted CA にあります。

  5. ディレクトリのパス

    /etc/strongswan/ipsec.d/certs

    ファイル:

    StrongSwanPublicCert.cer

    or

    StrongSwanPublicCert.pem

    説明:

    このフォルダには、すべてのクライアント公開証明書が含まれています。

  6. ディレクトリのパス

    /etc/strongswan/ipsec.d/private

    ファイル:

    StrongSwanPrivateKey.pem

    説明:

    このフォルダには、すべてのクライアントプライベート証明書が含まれています。

  1. ファイル:

    /etc/strongswan/ipsec.conf

    説明:

    このファイルでは、strongSwanクライアントがユーザ名とパスワードの認証を通じてCheck Point Security Gatewayと通信する方法を設定します。

    ファイルの連絡先です。

    • config setup

      • charondebug="ike 4, knl 4, cfg 3, chd 4"

    • conn CONNECTION_NAME

      • type=tunnel

        これはデフォルトです。

      • leftfirewall=yes

      • rightauth=pubkey

      • leftauth=eap-gtc

      • keyexchange=ikev2

      • eap_identity=<USERNAME>

      • left=<CLIENT_EXTERNAL_IP_ADDRESS>

        この構成は必須ではありません。

        デフォルトでは、%any です。 ローカルエンドポイントの値%any は、ネゴシエーション中に(自動キーイングによって)記入されるアドレスを意味します。

        ローカルピアが接続設定を開始した場合、ルーティングテーブルクエリにより正しいローカルIPアドレスが決定されます。

      • leftsourceip=%config

        相手に仮想IP(Office Mode IP)、DNSなどの設定を要求させる。

      • right=<GW_EXTERNAL_IP_ADDRESS>

      • rightid=<GW_EXTERNAL_IP_ADDRESS>

      • rightsubnet=<ENCRYPTION_DOMAIN_WE_WANT_TO_CONNECT>

        暗号化ドメイン全体に接続する場合は、0.0.0.0/0.

      • ike=<IKE_METHODS_AS_CONFIGURED_ON_THE_GW>

        例: aes256-sha1-modp1024

        これらの方式をサポートするようにSecurity Gatewayを設定する必要があります。

      • esp=<IPSEC_METHODS_AS_CONFIGURED_ON_THE_GW>

        例: 3des-sha1

        これらの方式をサポートするようにSecurity Gatewayを設定する必要があります。

      • ikelifetime=<TIME_WHICH_AFTER_THE_IKE_SA_IS_NOT_VALID>

        例: 24h

        IKE SAが期限切れとなる絶対的な時間。

        時(h)、分(m)、秒(s)とすることができます。

      • lifetime=<TIME_WHICH_AFTER_THE_IPSEC_SA_IS_NOT_VALID>

        例: 1h

        IPsec SAが期限切れとなる絶対時間。

        時(h)、分(m)、秒(s)とすることができます。

      • reauth=yes

      • rekey=yes

      • margintime=<TIME_TO_START_REKEY_OR_REAUTH_BEFORE>

        例:1M

        1m lifetime」の時間が1h で,marginintime が1m の場合,1h が終了する前に,Security Gateway は Rekey 処理を開始する.

        時(h)、分(m)、秒(s)とすることができます。

      • rekeyfuzz=<RANDOM_TIME_PERCENTAGE_FOR_REKEY_AND_REAUTH>

        例: 50%

        マージンタイムがランダムに増加する割合。100%を超える場合もあります。

        rekeyfuzz=0% でランダム化を無効にすることができます。

        IPsec SA と IKE SA の rekytime の計算式である。

        rekeytime = lifetime - (margintime + random(0, margintime * rekeyfuzz))

      • auto=add

      • dpdaction=restart

        ゲートウェイからの応答がない場合、直ちに再起動し、接続の再ネゴシエーションを試みます。

      • dpddelay=<TIME_TO_SEND_R_U_THERE_MESSAGE>

        例: 30s

        これは、"R_U_THERE"メッセージと"INFORMATIONAL"エクスチェンジがピアに行く期間時間間隔を定義するものである。

        これらは、ピアが他のトラフィックを受信していない場合に移動します。

        時(h)、分(m)、秒(s)とすることができます。

      • dpdtimeout=<TIMEOUT_INTERVAL_TO_DELETE_THE_CONNECTION>

        例: 60s

        これは、timeout 間隔を定義します。この 間隔を過ぎると、非アクティブの場合にピアへのすべての接続が削除されます。

        時(h)、分(m)、秒(s)とすることができます。

    高度な設定と解説。

    strongSwanのドキュメントのipsec.conf: connの項を参照してください。

  2. ファイル:

    /etc/strongswan/ipsec.secrets

    説明:

    このファイルでは、strongSwanのパスワードを設定します。

    ファイルの連絡先です。

    USERNAME : EAP "PASSWORD"

    - ユーザのクリアパスワードをファイルに保存するような認証方法の使用はお勧めしません

  3. ファイル:

    /etc/strongswan/strongswan.conf

    説明:

    strongSwan 設定ファイルでは、さらにプラグインを追加し、ベンダー ID を送信し、DNS を解決します。

    ファイルの連絡先です。

    charon {
  load_modular = yes
  send_vendor_id = yes
  plugins {
    include strongswan.d/charon
    resolve {
      file = /etc/resolv.conf
    }
  }
}
include strongswan.d/*.conf

    高度な設定と解説。

    strongSwanのドキュメントのstrongswan.confのセクションを参照してください。

  • pfs

    • 適切なDHグループで "esp=" セクションを追加する必要があります。

    • 例: esp=3des-sha1-modp1024

  • reauth

    • ikelifetime=<TIME_WHICH_AFTER_THE_IKE_SA_IS_NOT_VALID> , reauth=yes

  • rekey

    • lifetime=<TIME_WHICH_AFTER_THE_IPSEC_SA_IS_NOT_VALID> , rekey=yes

  • IKE方式とESP方式の厳格な使用

    • 最後に"ike="または"esp="、あるいはその両方を追加する必要があります。

    • 例: ike=aes256-sha1-modp1024! , esp=3des-sha1!

  • デッド・ピア検出(DPD)

    IPsec ピアの生死を確認するために、"dpdaction=restart" を "ipsec.conf" ファイルに追加する必要があります。

  • 暗号化された秘密鍵を使用して接続する方法

    • ipsec.secrets ファイルに、秘密鍵のパスフレーズを追加する必要があります。

    • ファイル:

      /etc/strongswan/ipsec.secrets

      説明:

      このファイルでは、strongSwanのパスワードを設定します。

      ファイルの連絡先です。

      例: <THE_SITE_IP_ADDRESS> : <RSA CLIENT_CERT_KEY_FILE> StrongSwanPrivateKey.pem "<PASSPHRASE_FOR_THE_PRIVATE_KEY>" Source

  • 暗号化領域

    • ネットワークの追加や削除に伴い暗号化ドメインを変更する場合、クライアント "ipsec.conf" ファイルを修正する必要がある場合があります。

    • 3つの構成方法。

      :これらのうち2つは、変更後にクライアント側で編集する必要があります(推奨しません)。

      • クライアント側で編集することなく、Encryption Domain全体に接続するためにユニバーサルIPを使用します。

      • 接続に特定の1つのネットワークを指定し、クライアント側での変更が必要です。

      • 接続するネットワークを複数指定するため、クライアント側の修正が必要です。

    • この設定では、3つのネットワークが暗号化ドメイン上にあります。

      • Encryption Domain全体への接続にユニバーサルIPを使用します。

        • rightsubnet」をユニバーサルIP(0.0.0.0/0)として設定します。

          この構成では、Encryption Domain全体へのルートが存在します。

        • ネットワークを追加・削除しても、クライアント側での変更は必要ありません。

          :この選択は強く推奨されます。

      • 接続するネットワークを1つ指定します。

        • 10.10.1.0/24 の eth0 など、特定のネットワークを1つ選択します。

          このネットワークへの1つのトンネルのために、「rightsubnet」を「10.10.1.0/24 」に設定します。

        • - Encryption Domainの変更により、ネットワークが10.10.10.0/24 となった場合は、クライアント側で変更する必要があります。

      • 接続先のネットワークを複数指定します。

        • 暗号化ドメインや1つのネットワークに接続しない場合は、2つ以上のネットワークに接続することができます。

          これらを、ipsec.conf ファイルで定義された接続定義を含む "also" マクロで設定し、この接続に変更点を追加してください。

        • 例:

          conn conn_to_eth 0

          //full configuration with "rightsubnet=10.10.10.0/24"

          conn coon_to_eth 1

          rightsubnet=192.168.1.0/24

          also=coon_to_eth 0

        • 注:

          • この接続を確立するためには、まだup コマンドを実行する必要があります。これらのネットワークに関連するEncryption Domainに変更があった場合は、クライアント側で再設定を行う必要があります。

          • ネットワークにアクセスできない場合は、接続に失敗します。

DebianとUbuntuの特別設定

DebianやUbuntuのマシンでEAP認証を使用するには、strongSwanの再起動前に以下のコマンドを実行して、必要なプラグインをインストールする必要があります。

  • sudo apt-get install libstrongswan-extra-plugins

  • sudo apt-get install libcharon-extra-plugins

便利なstrongSwanコマンド

CentOSとFedoraでは、プライマリコマンドはstrongswanです。

UbuntuとDebianでは、プライマリコマンドはipsecです。

  • "strongswan restart"または "ipsec restart"

    すべての IPsec 接続を終了し、IKE デーモン "charon" を停止し、 "ipsec.conf" ファイルを解析し、IKE デーモン "charon" を開始します。

  • "strongswan rereadsecrets"または "ipsec rereadsecrets"

    ipsec.secrets ファイルに定義されたすべての秘密を読み込み、更新します。

  • "strongswan update"または "ipsec update"

    ipsec.conf" ファイルの変更を判断し、アクティブなIKEデーモン "charon" の設定を更新します。

    設定変更は、確立された接続に影響を与えません。

    - "ipsec.conf" または "ipsec.secrets" ファイルの変更を使用するには、 "rereadsecrets" オプションを付けてコマンドを実行する必要があります("update"オプションは付きません)。完全なコマンド構文については、strongswan.org Web サイト(IpsecCommand の項を参照)をご覧ください。

P12ファイルを秘密鍵と公開証明書に変換する方法

  • XCAツール

    • XCAツールを使用します。

    • hohnstaedt.deのサイトのXCAディレクトリからダウンロードしてください。

  • OpenSSLコマンド

    • openssl pkcs12 -in <P12_CERTIFICATE>.p12 -clcerts -nokeys -out <EXTRACTED_CERTIFICATE>.crt

    • openssl pkcs12 -in <P12_CERTIFICATE>.p12 -nocerts -out <EXTRACTED_PRIVATE>.key

既知の制限事項

  • 同時ログイン

    同一ユーザでの2台同時接続には対応していません。各接続は個々のユーザでなければならず、そうでなければ最初の接続は切断される。

  • マジックボタン

    複数の外部インタフェースを持つゲートウェイの機能拡張には、クライアント側でNAT-Tを使用する必要があります。

    施行には、NAT-T環境、または、"ipsec.conf"ファイル内の"forceencaps = yes"の設定が必要です。

  • 背面接続

    暗号化ドメインからSecurity Gatewayで割り当てられたクライアントのIPアドレスへの接続はサポートされていません。

  • Realms

    レルムには対応していません。クライアントは「レガシー認証」を使用します。

  • 機械認証

    機械認証には対応していません。

  • 暗号化領域

    暗号化ドメインの変更は、一部のシナリオでは設定ファイルの変更とともにクライアント側で展開する必要があります。

  • アドバンスト・リモート・アクセス機能には対応していません

    • 証明書登録。

    • リンク選択。

    • ロケーションの認識。

    • MEP(Multiple Entry Point)。

    • セカンダリ接続。

    • SCV(Secure Configuration Verification)。

    • ビジターモード。

  • IPv6

    IPv6 はサポートされていません

  • 証明書の使用方法

    お客様は、証明書を配備します。

  • 証明書認証

    ICA閉じた 内部認証局。認証用の証明書を発行するCheckPoint Management Server上のコンポーネント。による証明書認証は、CRLチェックを行わない場合のみサポートされます。