Menu Close
Red Hat Training
A Red Hat training course is available for RHEL 8
第4章 IPsec を使用した VPN の設定
RHEL 8 では、仮想プライベートネットワーク(VPN)はIPsec
プロトコルを使用して設定できます。これは、Libreswan
アプリケーションによりサポートされます。
4.1. IPsec VPN 実装としての Libreswan
RHEL では、仮想プライベートネットワーク(VPN)はIPsec
プロトコルを使用して設定できます。これは、Libreswan
アプリケーションによりサポートされます。Libreswan
は、Openswan
アプリケーションの延長であり、Openswan
ドキュメントの多くの例は Libreswan
と相互変更できます。
VPN の IPsec
プロトコルは、IKE
(Internet Key Exchange) プロトコルを使用して設定されます。IPsec と IKE は同義語です。IPsec VPN は、IKE VPN、IKEv2 VPN、XAUTH VPN、Cisco VPN、または IKE/IPsec VPN とも呼ばれます。レベル 2 L2TP
(Level 2 Tunneling Protocol) も使用する IPsec VPN のバリアントは、通常は L2TP/IPsec VPN と呼ばれます。これには、Optional チャンネルの xl2tpd
アプリケーションが必要です。
Libreswan
は、オープンソースのユーザー空間の IKE
実装です。IKE
v1 および v2 は、ユーザーレベルのデーモンとして実装されます。IKE プロトコルも暗号化されています。IPsec
プロトコルは Linux カーネルで実装され、Libreswan
は、VPN トンネル設定を追加および削除するようにカーネルを設定します。
IKE
プロトコルは、UDP ポート 500 および 4500 を使用します。IPsec
プロトコルは、以下の 2 つのプロトコルで構成されます。
-
暗号セキュリティーペイロード (
ESP
) (プロトコル番号が 50) -
認証ヘッダー (
AH
) (プロトコル番号 51)
AH
プロトコルの使用は推奨されていません。AH
のユーザーは、null 暗号化で ESP
に移行することが推奨されます。
IPsec
プロトコルは、以下の 2 つの操作モードを提供します。
-
トンネルモード
(デフォルト) -
トランスポートモード
IKE を使用せずに IPsec を使用してカーネルを設定できます。これは、手動キーリング
と呼ばれます。また、ip xfrm
コマンドを使用して手動キーを設定できますが、これはセキュリティー上の理由からは強く推奨されません。Libreswan
では、netlink を使用する Linux カーネルで相互作用が行われます。Linux カーネルでパケットの暗号化と復号が行われます。
Libreswan
は、ネットワークセキュリティーサービス (NSS
) 暗号化ライブラリーを使用します。Libreswan
および NSS
はともに、連邦情報処理標準 (FIPS) の公開文書 140-2 での使用が認定されています。
Libreswan
および Linux カーネルが実装する IKE
/IPsec
の VPN は、RHEL で使用することが推奨される唯一の VPN 技術です。その他の VPN 技術は、そのリスクを理解せずに使用しないでください。
RHEL では、Libreswan
はデフォルトで システム全体の暗号化ポリシー に従います。これにより、Libreswan
は、デフォルトのプロトコルとして IKEv2
を含む現在の脅威モデルに対して安全な設定を使用するようになります。詳細は、Using system-wide crypto policies を参照してください。
IKE/IPsec はピアツーピアプロトコルであるため、Libreswan
では、「ソース」および「宛先」、または「サーバー」および「クライアント」という用語を使用しません。終了点 (ホスト) を参照する場合は、代わりに「左」と「右」という用語を使用します。これにより、ほとんどの場合、両方の終了点で同じ設定も使用できます。ただし、管理者は通常、ローカルホストに「左」を使用し、リモートホストに「右」を使用します。
leftid
と rightid
オプションは、認証プロセス内の各ホストの識別として機能します。詳細は、man ページの ipsec.conf(5)
を参照してください。