interface.ipsecac[]

IPsecACインタフェースを設定する

IPsecACインタフェース

IKEv2によるリモートアクセスサーバ機能の構成を管理しクライアントからの接続を待ち受ける論理インタフェースです。

コンフィグパラメータ
interface.ipsecac[]...
設定数とインタフェース名
1. 設定数とインタフェース名
機種 設定上限 インタフェース名
SEIL/X4 8個 ipsecac0 - ipsecac7
SEIL/x86 Ayame 8個 ipsecac0 - ipsecac7
SEILアプライアンスシリーズ CA10 8個 ipsecac0 - ipsecac7

サーバ証明書の設定

キー バリュー
ike.v2.private-key
本装置自身のサーバ証明書の秘密鍵
ヒント:
IKEv2機能全体で共有します
<String>

IPsecACインタフェースの設定

キー バリュー
interface.ipsecac[].ipv4.address
インタフェースのIPv4アドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
interface.ipsecac[].ipv4.source
送信元IPv4アドレス
制約事項:
...ike.v2.my-identifier.typeaddressを指定する場合は、...ipv6.sourceといずれか必須
<IPv4address>
IPv4アドレス
any
interface.ipsecac[].ipv6.source
送信元IPv6アドレス
制約事項:
...ike.v2.my-identifier.typeaddressを指定する場合は、...ipv4.sourceといずれか必須
<IPv6address>
IPv6アドレス
any
interface.ipsecac[].mtu
インタフェースのMTU
<Size>
MTU値
範囲 単位
1280-1500 Octet
デフォルト値
1500
interface.ipsecac[].ipv4.tcp-mss
IPsecトンネル上のIPv4通信のTCP-MSS調整
<Size>
TCP MSS値
範囲 単位
32-32767 Octet
none
調整しない
デフォルト値
1240
interface.ipsecac[].tx-tos-set
カプセル化後のパケットに設定するToS/Traffic Class値
<Number>
範囲
0x00-0xff(16進数) または 0-255(10進数) 接頭辞 "0x" を付加した場合16進数とします
copy
カプセル化前のパケットのToS/Traffic Class値をコピーする
デフォルト値
0x00
interface.ipsecac[].description
インタフェースの説明
ヒント:
用途等を把握しやすくするための文字列を設定できます。動作に影響しません。
<String>
文字数
0-64
interface.ipsecac[].ike.v2.my-identifier.type
自己識別子の種類
address
送信パケットの送信元IPアドレス
fqdn
FQDN(ドメイン形式)
注:
...my-identifier.fqdn を設定する必要があります。
user-fqdn
ユーザFQDN(メールアドレス形式)
注:
...my-identifier.user-fqdn を設定する必要があります。
デフォルト値
address
interface.ipsecac[].ike.v2.my-identifier.fqdn
FQDN形式の自己識別子
<String>
文字数
1-255
interface.ipsecac[].ike.v2.my-identifier.user-fqdn
ユーザFQDN形式の自己識別子
<String>
文字数
3-255
interface.ipsecac[].ike.v2.certificate
本装置自身のサーバ証明書
制約事項:
省略不可
<String>
PEM形式のX.509証明書
サポートする証明書アルゴリズム
  • RSA-SHA1
  • RSA-SHA256
  • ECDSA-SHA256
  • ECDSA-SHA386
  • ECDSA-SHA512
注:
次の証明書は使用できません
  • 自己署名証明書
  • 中間証明機関の証明書を含む証明書

IKE用の証明書の基準を守る必要があります(https://datatracker.ietf.org/doc/html/rfc4945#section-5

  • Subject Alternative Names と CN を my-identifier と揃えなければならない
    • identifier.type が address (default) の場合は待ち受けるIPアドレスが必要
    • Subject Alternative Namesは、FQDNの場合はDNS: <FQDN>、IPアドレスの場合はIP:<IPaddress>として作成しなければならない
  • Extended Key Usage に以下を含めること
    • serverAuth(1.3.6.1.5.5.7.3.1)
    • IP Security IKE Intermediate(1.3.6.1.5.5.8.2.2)
interface.ipsecac[].ike.v2.authentication.[]...
認証レルム
設定上限
2個
interface.ipsecac[].ike.v2.authentication.[].realm.suffix
認証レルムのサフィックス
<String>
文字数 使用できない文字
1-40 ? ¥ "[]
注:
他の認証レルムと重複するサフィックスは設定できません。複数の認証レルムを設定する場合は、一方のみサフィックスを設定する、またはそれぞれ異なるサフィックスを設定する必要があります。
interface.ipsecac[].ike.v2.authentication.[].type
認証レルムの種類
local
ローカル認証レルムを使用する
注:
...user...キーでユーザアカウントを設定します。
account-list
アカウントリスト認証レルムを使用する
注:
...account-list...キーでアカウントリストを設定します。
デフォルト値
local
注:
異なる認証方法を併用するには、複数の認証レルムを設定してください。
interface.ipsecac[].ike.v2.authentication.[].user...
ローカル認証レルムのユーザ
設定上限
64個 ※全てのローカル認証レルムで共有
interface.ipsecac[].ike.v2.authentication.[].user.[].name
ユーザのユーザ名
<String>
文字数 使用できない文字
1-32 ¥ | :
注:
ユーザ名の先頭には"#"を使用できません
interface.ipsecac[].ike.v2.authentication.[].user.[].password
ユーザのパスワード
<String>
文字数
1-64
interface.ipsecac[].ike.v2.authentication.[].user.[].static-ipv4-address
ユーザへのIPアドレスの割り当て方法
nas-select
アドレスプールから自動で割り当てる
<IPv4address>
固定のIPv4アドレスを割り当てる
  • アドレスプールの範囲内から指定する必要があります。
デフォルト値
nas-select
interface.ipsecac[].ike.v2.authentication.[].account-list.url
アカウントリスト取得URL

関連:アカウントリストの書式
<URL>
対応URLスキーム 文字数
http://, https:// 1-128
interface.ipsecac[].ike.v2.authentication.[].account-list.interval
アカウントリスト取得間隔
<Time>
範囲 書式
1m-24h [書式の詳細]
デフォルト値
1h
interface.ipsecac[].ike.v2.config.pool.ipv4.[]...
アドレスプール
設定上限
4個
interface.ipsecac[].ike.v2.config.pool.ipv4.[].address
アドレスプールの先頭IPv4アドレス
制約事項:
省略不可
<IPv4address>
IPv4アドレス
注:
他のアドレスプールと重複する範囲は設定できません。
interface.ipsecac[].ike.v2.config.pool.ipv4.[].type
アドレスプールの種類
static
固定割当用
dynamic
動的割当用
デフォルト値
dynamic
interface.ipsecac[].ike.v2.config.dns-server.ipv4.[].address
配布するDNSサーバ
設定上限
2個
<IPv4address>
IPv4アドレス
interface.ipsecac[].ike.v2.config.wins-server.ipv4.[].address
配布するWINSサーバ
設定上限
2個
<IPv4address>
IPv4アドレス