5.16. control-center による VPN 接続の確立

手順

1. Super キーを押して Settings と入力し、Enter を押して control-center アプリケーションを開きます。
2. 左側の Network エントリーを選択します。
3. + アイコンをクリックします。
4. VPN を選択します。

5. Identity メニューエントリーを選択して、基本的な設定オプションを表示します。

   一般

   Gateway - リモート VPN ゲートウェイの名前または IP アドレスです。

   認証

   Type

   • IKEv2 (証明書)- クライアントは、証明書により認証されます。これはより安全です (デフォルト)。

   • IKEv1(XAUTH): クライアントは、ユーザー名とパスワード、または事前共有キー (PSK) で認証されます。

     Advanced セクションでは、以下の設定が可能です。

     図5.1 VPN 接続の詳細なオプション

     
     警告

     gnome-control-center アプリケーションを使用して IPsec ベースの VPN 接続を設定すると、Advanced ダイアログには設定が表示されますが、変更することはできません。したがって、詳細な IPsec オプションを変更できません。nm-connection-editor ツールまたは nmcli ツールを使用して、詳細なプロパティーの設定を実行します。

     識別

   • Domain - 必要な場合は、ドメイン名を入力します。

     セキュリティー

   • Phase1 Algorithms - Libreswan パラメーター ike に対応します。暗号化チャンネルの認証および設定に使用するアルゴリズムを入力します。

   • Phase2 Algorithms - Libreswan パラメーター esp に対応します。IPsec ネゴシエーションに使用するアルゴリズムを入力します。

     Disable PFS フィールドで PFS (Perfect Forward Secrecy) を無効にし、PFS に対応していない古いサーバーとの互換性があることを確認します。

   • Phase1 Lifetime - Libreswan パラメーター ikelifetime に対応します。このパラメーターは、トラフィックの暗号化に使用される鍵がどのぐらい有効であるかどうかを示します。

   • Phase2 Lifetime - Libreswan パラメーター salifetime に対応します。このパラメーターは、接続の特定インスタンスが最後に終了するまでの時間を指定します。

     セキュリティー上の理由から、暗号化キーは定期的に変更する必要があります。

   • Remote network - Libreswan パラメーター rightsubnet に対応します。このパラメーターは、VPN から到達できる宛先のプライベートリモートネットワークです。

     絞り込むことのできる narrowing フィールドを確認します。これは IKEv2 ネゴシエーションの場合にのみ有効であることに注意してください。

   • Enable fragmentation - Libreswan パラメーターの 断片化 に対応します。IKE 断片化を許可するかどうかを指定します。有効な値は、yes (デフォルト) または no です。
   • Enable Mobike - Libreswan パラメーター mobike に対応します。最初から接続を再起動しなくても、接続がエンドポイントを移行することを Mobility and Multihoming Protocol (MOBIKE, RFC 4555) が許可するかどうかを設定します。これは、有線、無線、またはモバイルデータの接続の切り替えを行うモバイルデバイスで使用されます。値は、no (デフォルト) または yes です。

6. IPv4 メニューエントリーを選択します。

   IPv4 Method

   • Automatic (DHCP) - 接続しているネットワークが動的 IP アドレスの割り当てに DHCP サーバーを使用する場合は、このオプションを選択します。
   • Link-Local Only - 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てない場合は、このオプションを選択します。接頭辞 169.254/16 付きのランダムなアドレスが、RFC 3927 に従って割り当てられます。
   • Manual - IP アドレスを手動で割り当てる場合は、このオプションを選択します。

   • Disable - この接続では IPv4 は無効です。

     DNS

     DNS セクションでは、Automatic が ON になっているときに、これを OFF に切り替えて、使用する DNS サーバーの IP アドレスを入力します。IP アドレスはコンマで区切ります。

     Routes

     Routes セクションでは、Automatic が ON になっている場合は、DHCP からのルートが使用されますが、他の静的ルートを追加することもできることに注意してください。OFF の場合は、静的ルートだけが使用されます。

   • Address - リモートネットワークまたはホストの IP アドレスを入力します。
   • Netmask - 上に入力した IP アドレスのネットマスクまたは接頭辞長。
   • Gateway - 上に入力したリモートネットワーク、またはホストにつながるゲートウェイの IP アドレス。

   • Metric - このルートに付与する優先値であるネットワークコスト。数値が低い方が優先されます。

     Use this connection only for resources on its network (この接続はネットワーク上のリソースのためだけに使用)

     このチェックボックスを選択すると、この接続はデフォルトルートになりません。このオプションを選択すると、この接続で自動的に学習したルートを使用することが明確なトラフィックか、手動で入力したトラフィックのみがこの接続を経由します。

7. VPN 接続の IPv6 設定を設定するには、IPv6 メニューエントリーを選択します。

   IPv6 Method

   • Automatic - IPv6 ステートレスアドレス自動設定 (SLAAC) を使用して、ハードウェアのアドレスとルーター通知 (RA) に基づくステートレスの自動設定を作成するには、このオプションを選択します。
   • Automatic, DHCP only - RA を使用せず、直接 DHCPv6 に情報を要求してステートフルな設定を作成する場合は、このオプションを選択します。
   • Link-Local Only - 接続しているネットワークに DHCP サーバーがなく、IP アドレスを手動で割り当てない場合は、このオプションを選択します。接頭辞 FE80::0 付きのランダムなアドレスが、RFC 4862 に従って割り当てられます。
   • Manual - IP アドレスを手動で割り当てる場合は、このオプションを選択します。

   • Disable - この接続では IPv6 は無効です。

     DNS、Routes、Use this connection only for resources on its network が、一般的な IPv4 設定となることに注意してください。

8. VPN 接続の編集が終了したら、追加 ボタンをクリックして設定をカスタマイズするか、適用 ボタンをクリックして、既存の接続に保存します。
9. プロファイルを ON に切り替え、VPN 接続をアクティブにします。