最終更新日：2012年6月22日

以下では、SonicWALLGUIを使用してローカルネットワークを使ったIPSecの設定手順を示します。本説明での対象機種はSonicWALL TZ170(OS Standerd 3.1.5)を想定しています。
また、購入直後でウイザードによる設定をするか確認してきた時は、"ログイン"を選択してウイザードでの設定をスキップしてください。

１．LANの設定

メニューから[Network]-[設定]を選択して、表示されたインターフェース画面の中の”LAN”の[設定]をクリックします。

LANインターフェースのアドレスを設定します。(192.168.2.254 / 255.255.255.0)

適用をクリックして設定した内容を確定させます。

適用の結果、再起動が必要な設定変更の場合には、画面下のステータス（状況）エリアに、”再起動”と表示されるので、ここをクリックして再起動を実施します。
なおLANのアドレスを変更して再起動を実施した場合”再起動中”の表示はされるものの、以後、以前のIPアドレスでSonicWALLにアクセスできなくなるので、適当な時間が経過後に新しく設定したIPアドレスでアクセスし直してください。

１．WANの設定（PPPoEの設定)

メニューから[Network]-[設定]を選択して、表示されたインターフェース画面の中の”WAN”のモードから「NAT有効」]を選択し[設定]をクリックします。

表示されたWAN情報設定画面で以下のように設定していきます。

■一般

• SonicWALL WAN IP (NATパブリック） アドレス： 192.168.1.10
• WAN サブネットマスク： 255.255.255.0
• WAN ゲートウェイアドレス： 192.168.1.254

2．VPNポリシーの設定

メニューから[VPN]-[設定]を選択して、表示された画面のVPNポリシーの[追加]をクリックします。

以下のVPNポリシー設定画面が表示されるのでポリシーを設定していきます。

■一般

• IPSec鍵モード： IKE(事前共有鍵）
• 名前 ： このVPNセッション用の任意の名前（ex. vpn-ar")
• 主格 IPSec ゲートウェイ名またはアドレス： 172.16.1.10
• 事前共有鍵： ipsec_pass
• 対象先ネットワーク： 下記に対象先ネットワークを指定するにチェック

対象先ネットワークを指定するために [追加] をクリック

対象先として

• ネットワーク： 192.168.10.0
• サブネットマスク： 255.255.255.0

を指定して [OK] をクリック。　続いて、上部のタブから 「プロポーザル」 をクリック

■プロポーザル


【IKE(フェーズ１)】

• 鍵交換モード　 ： メインモード
• DH グループ　 ： グループ２
• 暗号化　 　： DES
• 認証　 　　： MD5
• ライフ タイム （秒）　： 28800

【IPSec(フェーズ２)】

• プロトコル　： ESP
• 暗号化　 ： DES
• 認証　 ： SHA1
• Perfect Forward Secrecy ： チェックを外す（無効）
• ライフ タイム （秒）　： 1800

続いて、上部のタブから 「詳細設定」 をクリック

■詳細設定

• キープ アライブを有効にする ： チェック
• 利用可能なすべてのトンネルを試す ： チェックを外す
• ローカル ユーザの認証を要求する ：チェックを外す
• リモート ユーザの認証を要求する ： チェックを外す
• ウィンドウズ ネットワーク （NetBIOS） ブロードキャストを有効にする ： チェックを外す
• NAT とファイアウォール ルールを適用する ： チェックを外す
• パケットをリモート VPN に転送する ： チェックを外す
• デフォルト LAN ゲートウェイ　 ： 指定なし
• VPN の終端となるインターフェース　： LAN

以上を指定できたら [OK] をクリック。

3．VPN詳細設定

メニューから[VPN]-[詳細設定]を選択して、表示された画面で以下の設定を行います。

• VPN を介するすべてのウィンドウズ ネットワーク （NetBIOS） ブロードキャストを無効にする ： チェック
• 断片化パケットの処理を有効にする ： チェック
• DF ビット （断片化を行わない） を無視する ： チェック
• NAT トラバーサルを有効にする ： チェックを外す
• キープ アライブ間隔 （秒） ： 240
• IKE Dead Peer 検出を有効にする ： チェック
• ハートビートの間隔 （秒） ： 60
• Dead Peer 検出とする未到達ハートビートの回数 ： 3
• VPN シングル アーム モード （独立 VPN ゲートウェイ） ： チェックを外す
• 対岸のゲートウェイの DNS 名が異なった IP アドレスとして解決された場合に、アクティブ トンネルを再構築する ： チェック
• パス スルー接続のために IKE ポートを維持する ： チェックを外す
• トンネルの状況が変更した場合のみ、VPN トンネル トラップを送信する ： チェックを外す

以上を指定できたら [適用] をクリック。