| ファイアウォール機能 テクニカルガイド |
|
目次
索引
|
| 第5章 FAQ | > 5.4 運用上の留意事項 |
VPN 通信時の環境設定方法について説明します。
主に、フレッツISDNを利用したSafegate clientとのVPN 接続、及びネットワーク上に低価格ルータが導入されている場合のVPN 接続時に問題が発生する可能性があります。
本製品間、及びSafegate client間で、SDFW暗号(Safegate暗号)を利用したVPN 通信を行う場合、送受信される アプリ/ユーザデータに加え、SDFW暗号用のヘッダ情報が付加され、かつ、UDP カプセル化されたVPN データが送受信されます。
SDFW暗号通信では、送受信されるアプリ/ユーザデータに対して、ヘッダ情報(約100バイト)を付加しています。
このため、暗号化するアプリ/ユーザデータが、伝送路の最大データ転送サイズ(MTU:Maximum TransferUnit)の場合、VPN データは、付加するヘッダ情報により、MTU 長を超過します。
この場合、MTU 長の範囲内でVPN データが分割されます(IPフラグメント化)。SDFW暗号で利用しているUDPカプセル化処理、及びこの結果生成されるIPフラグメントは、業界標準仕様であるRFC にも明記されている標準仕様のなかでインプリメントされている方式ですが、現実的には、介在するネットワーク上に配置された個々のルータ機器などの製品仕様(IPフラグメントパケットの順序性が保証されない場合に当該フラグメントパケットを破棄、或いは、IPフラグメントパケット自体を破棄など)により、SDFW暗号によるVPN通信で、以下のような問題が確認されました。
Web 参照ができない
メール送受信ができない
ファイル転送/コピーができない。
本来は、標準仕様を実装したルータ機器の適用が必要です。
しかしながら、マルチベンダ環境のネットワーク構成など、ルータ機器の更改が現実的にできない場合などが想定されます。
このような場合、暗号化対象となるアプリ/ユーザデータの受信データ長を以下のサイズ以下にチューニングすることで、VPN 通信で発生する問題を回避することができます。
|
アプリ/ユーザデータの受信データ長<ネットワークの最大MTU 長−SDFW暗号ヘッダ長 |
アプリ/ユーザデータの受信データ長
本製品がが暗号化を施す元データのデータ長です。Safegate clientの場合、Safegate clientがインストールされたシステム上のIP層が、本製品のネットワ−クドライバにデータを通知する際のデータ長となります。本製品の場合、配下の端末、又はサーバから送信されるデータの最大転送データサイズとなります。
ネットワークの最大MTU 長
通常は、Ethernetと同様、1500バイトです。
SDFW暗号ヘッダ長
SDFW暗号によるVPN 通信を提供するために付加されるヘッダ情報であり、約100バイトです。
(注)
フレッツISDNの場合、フレッツ網内部で、さらに約100バイトのヘッダが付加される場合があり、結果、さらにIPフラグメントが発生する場合があるようです。このため、フレッツISDNを利用する場合、フレッツ網内でのIPフラグメントを抑止するため、ネットワークMTU 長は1400バイトとして計算してください。
|
1500−フレッツ網ヘッダ(100バイト)= 1400バイト |
フレッツADSLについても、上記100バイトヘッダを考慮することを推奨します。
(Ex)
ネットワークMTU 長=1400バイト(フレッツISDN利用)のネットワークでSDFW暗号を利用する場合、受信データ長を1300バイト以下にチューニングします(受信データ長< 1400 - 100 = 1300)。
MTU 長のチューニングは、Windowsのレジストリを操作します。
このため、万一の場合に備え、作業の前には、必ずレジストリの退避を行ってください。
【レジストリの退避】
万一の場合に備え、あらかじめ、チューニング作業のレジストリ情報は退避しておいてください。
1.対象システムで、レジストリエディタ(regedit又は regedt32)を起動します。
2.以下のレジストリツリー配下を選択します。
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
3.「レジストリ」-「レジストリ ファイルへの書き出し」を実行し、「レジストリファイルの書き出し」ダイアログボックスで「選択された部分」を選択し、指定したファイルに退避します。
【レジストリの復元】
以下の手順に従って操作すると、最後に正しくコンピュータが起動したときの状態にレジストリが復元されます。
1.[スタート] ボタンをクリックし、[Windows の終了] をクリックします。
2.[MS-DOS モードで再起動する] をクリックし、[OK] をクリックします。
3.MS-DOS プロンプトで、次のコマンドを入力します。
|
scanreg /restore |
4.コンピュータを再起動します。
以下では、フレッツISDN網を考慮し、かつ、上記1300バイトに対しさらに100バイトのマージンをとって、Safegate client、アクセスサーバの設定値は1200としています。
Safegate仮想LANドライバのMTU 長をチューニングします。
Windowsプラットフォームにより、設定するレジストリが異なりますので、注意してください。
なお、以下の説明のなかで、$REG_ROOTは以下のレジストリツリーを表します。
$REG_ROOT:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
Windows 95/98 (Safegate client V2.0L10/V2.0L20)
Milennium Edition (Safegate client V2.0L20)
レジストリ:$REG_ROOT\Class\NetTrans\00yy
「00yy」は、インストールドライバの識別情報です。
ここには、プロトコル種別(TCP/IP)やIPアドレス情報などが設定されています。IPアドレス情報をもとに、Safegate仮想LANドライバに割り当てたIPアドレスが設定されているエントリを割り出します。
|
値 |
データ |
備考 |
|---|---|---|
|
MaxMTU |
1200 (文字列) |
オプション値です。デフォルトでは設定されていません |
WindowsNT 4.0 WorkStation (Safegate client V2.0L10/V2.0L20)
レジストリ:$REG_ROOT\アダプタ名\Parameters\Tcpip
アダプタ名には、プロトコル種別(TCP/IP)やIPアドレス情報などが設定されています。IPアドレス情報をもとに、接続されたインタフェースに割り当てたIPアドレスが設定されているエントリを割り出します。
|
値 |
データ |
備考 |
|---|---|---|
|
MTU |
1200(REG_DWORD 10進) |
オプション値です。デフォルトでは設定されていません |
Windows 2000 Professional (Safegate client V2.0L21)
Windows XP (Safegate client V2.0L21)
レジストリ:$REG_ROOT\Tcpip\Parameters\Interfaces\<ID for Adapter>
<ID for Adapter>には、プロトコル種別(TCP/IP)やIPアドレス情報などが設定されています。IPアドレス情報をもとに、接続されたインタフェースに割り当てたIPアドレスが設定されているエントリを割り出します。
|
値 |
データ |
備考 |
|---|---|---|
|
MTU |
1200(REG_DWORD 10進) |
オプション値です。デフォルトでは設定されていません |
本製品のネットワークドライバのMTU 長をチューニングします。
Windowsプラットフォームにより、設定するレジストリが異なりますので、注意してください。
なお、以下の説明のなかで、$REG_ROOTは以下のレジストリツリーを表します。
$REG_ROOT:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
WindowsNT 4.0 Server (Safegate V2.0L10/V2.0L20)
レジストリ:$REG_ROOT\アダプタ名\Parameters\Tcpip
アダプタ名には、プロトコル種別(TCP/IP)やIPアドレス情報などが設定されています。IPアドレス情報をもとに、Safegate仮想LANドライバに割り当てたIPアドレスが設定されているエントリを検索し、外部ネットワークに接続されているエントリを割り出します。
|
値 |
データ |
備考 |
|---|---|---|
|
MTU |
1300(REG_DWORD 10進) |
オプション値です。デフォルトでは設定されていません |
Windows2000 Server (Safegate V2.0L20)
レジストリ:$REG_ROOT\Tcpip\Parameters\Interfaces\<ID for Adapter>
<ID for Adapter>には、プロトコル種別(TCP/IP)やIPアドレス情報などが設定されています。IPアドレス情報をもとに、Safegate仮想LANドライバに割り当てたIPアドレスが設定されているエントリを検索し、外部ネットワークに接続されているエントリを割り出します。
|
値 |
データ |
備考 |
|---|---|---|
|
MTU |
1300(REG_DWORD 10進) |
オプション値です。デフォルトでは設定されていません |
IPのMTU 長をチューニングします。
Windowsプラットフォームにより、設定するレジストリが異なりますので、注意してください。
なお、以下の説明のなかで、$REG_ROOTは以下のレジストリツリーを表します。
$REG_ROOT:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\
WindowsNT 4.0 Server
レジストリ:$REG_ROOT\アダプタ名\Parameters\Tcpip
アダプタ名には、プロトコル種別(TCP/IP)やIPアドレス情報などが設定されています。IPアドレス情報をもとに、本製品と接続されているインタフェースのIPアドレスが設定されているエントリを割り出します。Windowsプラットフォームにより、設定するレジストリが異なりますので、注意してください。
|
値 |
データ |
備考 |
|---|---|---|
|
MTU |
1200(REG_DWORD 10進) |
オプション値です。デフォルトでは設定されていません |
Windows2000 Server
レジストリ:$REG_ROOT\Tcpip\Parameters\Interfaces\<ID for Adapter>
<ID for Adapter>には、プロトコル種別(TCP/IP)やIPアドレス情報などが設定されています。IPアドレス情報をもとに、本製品と接続されているインタフェースのIPアドレスが設定されているエントリを割り出します。
|
値 |
データ |
備考 |
|---|---|---|
|
MTU |
1200(REG_DWORD 10進) |
オプション値です。デフォルトでは設定されていません |
|
目次
索引
|