TheGreenBow IPSec VPN Client - User GuideTheGreenBow...

Property of TheGreenBow© - Sistech SA 2001-2010

TheGreenBow IPSec VPN Client

ユーザガイド

WebSite: http://www.thegreenbow.jp

Contact: [email protected]

http://www.thegreenbow.jp/

mailto:[email protected]

TheGreenBow IPSec VPN Client - ユーザガイド

IPSec VPN Client Property of TheGreenBow Sistech SA - © Sistech 2001-2010 2/80

TheGreenBow IPSec VPN Client ユーザガイド

無断転記を禁じます。発行者の書面による許可無しに本文書の一部または全部の情報を画像、

インターネット或いは複写、録音、録画等の機器により保存・蓄積することを一切禁じます。

本文書内に記載される製品名は、それぞれの所有者の商標／登録商標である可能性があります。

発行者および執筆者はそれらの登録商標についてなんら主張しないものとします。

本文書は細心の注意を払って作成されていますが、文書中の情報の利用やソフトウェアとそれ

に付随するソースコードの使用によって生じた過失・損害について、発行者および執筆者は何

ら責任を負わないものとします。また、発行者および執筆者は、本文書により直接的・間接的

に生じた或いは生じた疑いのある利益損失や商業上の損害についてもいっさいの責任を負わな

いものとします。

印刷：2010年 7 月サンフランシスコ



Table of contents

1 TheGreenBow IPSec VPN Client について ................................................................................ 5 1.1 TheGreenBow IPSec VPN Client とは？ ............................................................................... 5 1.2 マルチ VPN ゲートウェイソリューション........................................................................ 5 1.3 マルチ USB トークンとスマートカードソリューション ................................................ 5 1.4 Linux アプライアンス対応 ................................................................................................... 5 1.5 TheGreenBow IPSec VPN Client の特徴 ............................................................................... 6 1.6 OEM とソフトウェアの商標変更 ........................................................................................ 8

2 TheGreenBow IPSec VPN Client のインストール .................................................................... 9 2.1 ソフトウェアのインストール ............................................................................................. 9 2.1.1 アクセス権 ......................................................................................................................... 10 2.2 ソフトウェアの評価 ........................................................................................................... 10 2.3 一時的ソフトウェアライセンス ....................................................................................... 11 2.4 ソフトウェアの有効化 ....................................................................................................... 12 2.5 ソフトウェアの更新 ........................................................................................................... 15 2.6 ソフトウェアのアンインストール ................................................................................... 15

3 簡易マニュアル ........................................................................................................................ 16 3.1 VPN トンネルを開く .......................................................................................................... 16 3.2 VPN トンネルに関するトラブルシューティング ........................................................... 16 3.3 VPN 設定アイコンのダブルクリックによるインポート ............................................... 16 3.4 ユーザ認証のための証明書の使い方 ............................................................................... 17 3.5 Windows ログオン前に VPN トンネルを開く方法 ......................................................... 18

4 ユーザインタフェースのナビゲーション ............................................................................ 21 4.1 ユーザインタフェースのエレメント ............................................................................... 21 4.2 システムトレイアイコン ................................................................................................... 22 4.3 システムトレイポップアップ ........................................................................................... 23 4.4 キーボードのショートカット ........................................................................................... 23 4.5 接続パネル ........................................................................................................................... 23 4.6 設定パネル ........................................................................................................................... 24

5 接続パネル ................................................................................................................................ 31 5.1 接続パネルの要素 ............................................................................................................... 31 5.2 接続についての詳細 ........................................................................................................... 32

6 設定パネル ................................................................................................................................ 33 6.1 VPN 設定の概要 .................................................................................................................. 33 6.2 設定ウィザード ................................................................................................................... 34 6.3 認証またはフェーズ 1 ........................................................................................................ 37 6.4 IPSec 設定またはフェーズ 2 .............................................................................................. 42 6.4.3 フェーズ 2 の拡張機能 .................................................................................................. 44 6.5 グローバルパラメータ ....................................................................................................... 47 6.6 VPN トンネルの表示 .......................................................................................................... 49 6.7 USB モード ........................................................................................................................... 49 6.8 証明書の管理 ....................................................................................................................... 53 6.9 設定管理 ............................................................................................................................... 63



7 デプロイメント ........................................................................................................................ 68 7.1 組み込み VPN 設定 ............................................................................................................. 68 7.2 設定オプション ................................................................................................................... 68 7.3 コマンドライン ................................................................................................................... 73 7.4 新規 ATR コード(スマートカード)への対応 ................................................................... 75

8 コンソールとログ .................................................................................................................... 77 8.1 コンソールウィンドウ ....................................................................................................... 77

9 ソフトウェアのローカル化 .................................................................................................... 78 10 お問い合わせ ............................................................................................................................ 79



1 TheGreenBow IPSec VPN Clientについて

1.1 TheGreenBow IPSec VPN Clientとは？ TheGreenBow IPSec VPN ClientはWindowsの全バージョンに対応するIPSec VPNソフトウェ

アで、インターネット上で一般に遠隔ユーザと企業のイントラネットを安全に接続します。厳

格なユーザ認証と、既存のネットワーク·ファイアウォール設定に対応する強力なトンネル暗号

化が可能なIPSecは、企業にも安全に接続できる手段です。TheGreenBow IPSec VPN Clientは、長年にわたるネットワークセキュリティやWindowsネットワークドライバの開発における

経験、関連分野の精力的研究により生まれました。弊社ネットワークセキュリティ製品の完結

品であるIPSec VPN Clientは、弊社の他製品同様簡単にインストールでき、利用いただけます。

1.2 マルチVPNゲートウェイソリューション TheGreenBow の目標は、お客様に真のマルチベンダ·ソリューションをご提供するためにできる

だけ多くの VPN ゲートウェイアプライアンス業者を支援し、一刻も早く製品を市場に送り出す

ことです。新規の VPN ゲートウェイやアプライアンスは弊社研究室でテストされます。弊社で

は新規ゲートウェイのチェックを定期的に行い、ホームページには認定ゲートウェイ一覧を掲

載しており、一覧中の件数は日々増加しています。

1.3 マルチUSBトークンとスマートカードソリューション市場では多くの USB トークンとスマートカードが入手可能です。お客様に真のマルチベンダ·ソリューションをご提供するため、できるだけ多くの USB トークン、スマートカード業者を支

援するのが弊社の役目です。新規の USB トークン、スマートカードは弊社研究室でテストされ

ます。弊社では新規 USB トークンのチェックを定期的に行い、ホームページには認定 USB ト

ークン一覧を掲載しており、一覧中の件数は日々増加しています。お手持ちの USB トークンが一覧に掲載されていない場合は、認定に向け対応いたしますので、

弊社技術サポートにお問い合わせください。

1.4 Linuxアプライアンス対応 TheGreenBow は、StrongS/WAN や FreeS/WAN のような Linux IPSec VPN の実行にも対応してい

るため、TheGreenBow IPSec VPN Client には Linux 実行ベースのほとんどの IPSec ルータ／アプ

ライアンスとの互換性があります。将来はさらに多くの Linux 実行に対応する予定です。対応

する Linux VPN アプライアンス一覧は、弊社ホームページに掲載されています。



1.5 TheGreenBow IPSec VPN Clientの特徴対応する Windows バージョ

ン Windows 2000 32-bit Windows XP 32-bit Windows Server 2003 32-bit Windows Server 2009 32/64-bit Windows Vista 32/64-bit Windows Seven 32/64-bit

対応する言語アラビア語、中国語（簡体字）、オランダ語、英語、フィンラ

ンド語、フランス語、ドイツ語、ギリシャ語、ヒンズー語、イ

タリア語、日本語、ポーランド語、ポルトガル語、ロシア語、

セルビア語、スロベニア語、スペイン語、タイ語、トルコ語

接続モードゲートウェイやサーバを使わない peer-to-peer VPN および point-to-multiple モード。ダイアルアップ、DSL、ケーブル、

GSM/GPRS、WiFi 等全ての接続タイプに対応。IP アドレス範囲

でのネットワーキングが可能。RDP セッション(リモートデス

クトップ接続)の実行が可能。トンネリング·プロトコル完全 IKE 対応：弊社の IKE 実行は OpenBSD 3.1 実行

(ISAKMPD)に基づくため、既存の IPSec ルータやゲートウェイ

との互換性は適です。完全 IPSec 対応： � メインモード、アグレッシブモード � MD5、SHA1-SHA2 ハッシュアルゴリズム � IKE ポート変更

NAT トラバーサル NAT トラバーサル·ドラフト 1(強化版)、ドラフト 2、3(完全実

行) � NAT_OA 対応 � NAT キープアライブ機能 � NAT T アグレッシブモード強制 NAT トラバーサルモード

暗号化複数の暗号化アルゴリズム： � 3DES、DES、AES 128/192/256 ビット暗号化 � グループ 1、2、5、14 対応 (768、1024、1536、2048)

ユーザ認証対応するユーザ認証方法： � 事前共有鍵、X509 証明書対応。ほとんどの現存 IPSecゲートウェイとの互換性 � X-Auth 対応 � フレキシブルに証明書に対応：PEM、PKCS#12 等。証

明書はユーザインタフェースより直接インポート可能。トンネ

ル 1 件につき 1 件の証明書設定が可能 � ハイブリッド認証方式対応証明書保存機能: • USB トークンおよび SmartCard 対応



• Windows 証明書ストア対応 • VPN 設定ファイルリモートログイン: • Vista 資格情報プロバイダ対応（aka GINA on W2K/WXP）で VPN トンネルによる Windows ログインとロー

カル PC でのログオンの選択が可能。切断検出(DPD) インターネット鍵交換(IKE)の拡張機能 (RFC3706)で、切断した

IKE ピアを検出冗長化ゲートウェイ遠隔ユーザの企業ネットワークへの極めて安全な接続を実現。

デフォルトがダウンまたは無反応の際、TheGreenBow VPN Client が代替ゲートウェイにより IPSec トンネルを設定

モード設定 IPSec VPN ゲートウェイが遠隔ユーザのコンピュータ(IPSec VPN Client)に LAN 設定を提供できるようにするためのインタ

ーネット鍵交換(IKE)拡張機能。設定モードにより、エンドユ

ーザは、IP アドレスの代わりにサーバ名(例: //myserver/marketing/budget)を使ってリモートネットワーク上の

全てのサーバのアドレス指定が可能 USB ドライブコンピュータからセキュリティ情報 (ユーザ認証等)を削除する

ため、VPN 設定やセキュリティエレメント (証明書、事前共有

鍵等)情報が USB ドライブに保存可能。USB ドライブ挿入／取

り出しの際はトンネルが自動的に開閉。特定のコンピュータま

たは USB ドライブへの VPN 設定保存が可能。スマートカードと USB トー

クン TheGreenBow IPSec VPN Client はスマートカードから証明書が

読み取れるため、電子証明書を備えた既存の企業 ID カードや

社員証にも対応。ソフトウェアに組み込まれていない新規スマ

ートカードや USB トークンモデルにも素早く簡単に対応でき

るスマートカード ATR コードの簡単インポート。ログコンソール特定の状況を簡単に表示するテストおよび段階化のため、全て

のフェーズメッセージを記録フレキシブル・ユーザイン

タフェース見えないグラフィカルインタフェースは無音のため、IT 管理者

はユーザによる設定の誤用·悪用を防ぎつつソリューションの

デプロイメントが可能。エンドユーザの接続を制限し、超小型

の接続パネルと VPN 設定パネルの別途提供が可能。ドラッグ

＆ドロップにより VPN 設定の IPSec VPN Client への保存が可

能。複数のキーボードショートカットで、IPSec VPN Client を簡単ナビゲート

スクリプトイベント時 (トンネル開閉前後等)にスクリプトやアプリケーシ

ョンの自動起動が可能設定管理ユーザインタフェース、コマンドライン

パスワードにより保護された VPN 設定ファイル特定 VPN 設定ファイルの配布がセットアップにて可能デモ版 VPN 設定による TheGreenBow オンラインサーバ上での

テストとデバッグソフトウェアの使用がパスワードで保護されている場合、ソフ



トウェアのバージョンアップやアンインストールを防止 Live アップデートオンライン更新の確認ライセンス永久的、一時的、バージョンアップ基本ライセンス

1.6 OEMとソフトウェアの商標変更本製品は、OEM およびシステムインテグレータ用に設計されています。これまでの製品の集大

成となる極めて効率的な VPN Client ソリューションをご提供します。弊社の IPSec VPN Clientは商標変更可能です。



2 TheGreenBow IPSec VPN Clientのインストール

2.1 ソフトウェアのインストール TheGreenBow VPN Client のインストールは、特別な情報は不要で、従来の Windows のインスト

ール同様に行えます。インストールが済むとコンピュータの再起動を要求されます。再起動し、

セッションにログイン後、ウィンドウが開いていくつかのオプションが表示されます。 ▢ [終了]で、ウィンドウを閉じ、ソフトウェアを終了します。 ▢ [評価する]で、引き続きソフトウェアの評価を可能にします。残りの評価日数は上

部オレンジ色のバーに表示されます。 ▢ [有効化]で、ソフトウェアをオンラインで有効化します。これにはライセンス番号

が必要です。[有効化]をクリックすると、有効化ウィザードのポップアップが現れ

ます。 ▢ [購入]で、TheGreenBow のオンラインショップでソフトウェアのライセンスを購入

します。

注意：Windows 2000、XP、Vista、Windows7 では、管理者権限が必要です。管理者権限の無い

場合は、言語の選択の後エラーメッセージが表示されインストールが停止します。ショートカット: ソフトウェアのインストール後、以下のいずれかの方法で TheGreenBow VPNウィンドウが起動できます。

▢ ユーザデスクトップから TheGreenBow VPN ショートカットをダブルクリック

▢ タスクバーの VPN Client アイコンをクリック ▢ メニューのスタート > プログラム > TheGreenBow > TheGreenBow VPN >

TheGreenBow VPN Client



重要：ソフトウェアのインストールは、コマンドラインのパラメータのオプションによりカス

タマイズすることができます。詳細は弊社ホームページのデプロイメントガイドをご覧くださ

い。

2.1.1 アクセス権お使いの Windows コンピュータではアクセス権が制限されている場合があります。ユーザのア

クセス権は以下のとおりです。

操作管理者ユーザ

ソフトウェアのインストール Yes No

ソフトウェアの有効化 Yes Yes

ソフトウェアの使用 Yes Yes

TheGreenBow IPSec VPN Client は、IPSec VPN 通信が可能となるよう Windows ファイアウォー

ル(Vista 以降)に新ルールを作成し、より使いやすくしました。新ルールは以下のとおりです。

Windows ファイアウォール・ルール名アクション

TheGreenBow IPSec VPN Client フェーズ 1 UDP 500 を許可する

TheGreenBow IPSec VPN Client フェーズ 2 UDP 4500 を許可する

2.2 ソフトウェアの評価 [評価する]をクリックすると、評価期間中 (30 日以内)も TheGreenBow IPSec VPN Client が使用

できます。IPSec VPN Client が”評価”モードの時は、ソフトが起動する度に登録画面が表示され

ます。残りの評価日数は上部オレンジ色のバーに表示されます。評価期間が終了すると、[評価する]は無効になり、ソフトウェアが使用できなくなります。



2.3 一時的ソフトウェアライセンステスト用に、一時的なソフトウェアライセンスが取得できます。有効期間は 1～9 週間です。一

時的ソフトウェアライセンスをご希望の場合は、弊社営業部までご連絡ください: [email protected] 一時的ソフトウェアライセンスの有効期限とその残り期間は、IPSec VPN Client の初のポップ

アップウィンドウに表示されます。有効期限が過ぎると、ソフトウェアは使用できなくなりま

す。



一時的ソフトウェアライセンス番号が使用されている期間中、設定パネルから有効化ウィンド

ウが表示できます。このウィンドウで、永久ライセンス番号等、新規のライセンス番号が有効

化できます。期間中は、[About]メニューから残り期間が表示できます。

一時的ソフトウェアライセンス番号の有効期限が過ぎると、[評価する]は無効となるため、必

要な場合は永久ライセンスを購入し、有効化してください。

2.4 ソフトウェアの有効化

2.4.1 ソフトウェアの有効化ウィザード評価期間後も TheGreenBow IPSec VPN Client を使用するには、お使いのコンピュータ上でソフ

トウェアを有効化する必要があります。新しいコンピュータでライセンス番号を使用するには、

古いコンピュータからソフトウェアをアンインストールする必要があります。アンインストー

ルすると、ライセンスは自動的に解除されます。新たな有効化にはライセンス番号と電子メー

ルアドレスが必要で、2 つの手順を実行します。 VPN Client ソフトウェアから[有効化ウィザード]を起動し、次の作業を行います。

▢ VPN Client を起動し、スタートアップ画面の[有効化]をクリックします。



▢ ソフトウェア起動後[?]メニューをクリックし、さらに[有効化ウィザード]をクリ

ックします。

2.4.2 ステップ 1: ライセンス番号の入力ソフトウェアの有効化にはライセンス番号が必要です。以下のようにライセンス番号と電子メールアドレスを入力し、[次へ]をクリックします。

きわめて重要：20 桁のライセンス番号をお持ちの場合は、[20 桁のライセ

ンスを入力するには、ここをクリックしてください。]をクリックし、20桁ライセンス番号用のフィールドに変えて入力してください。

重要：電子メールアドレスは正しく入力してください。有効化確認メールの受信に必要です。重要：電子メールアドレス入力不要の場合があります。IT 管理者の設定により、ソフトウェア

有効化ウィザードに入力欄の表示されない場合があります。これは、全ての有効化確認メール

を 1 つの電子メールアドレスに受信させるための機能です。



2.4.3 ステップ 2: オンラインでの有効化 [有効化ウィザード]は、VPN Client ソフトウェアを有効化するため、オンラインのソフトウェ

ア有効化サーバに自動的に接続します。ライセンス番号は随時戻って変更することができます

が、まずアンインストールする必要があります。無事有効化されると、[有効化ウィザード ]が終了します。ライセンス番号は、インストールされたコンピュータ 1 台につき 1 件有効です。別のコンピュ

ータで有効化する場合は、従来のコンピュータのソフトウェアをアンインストールしてから行

ってください。

2.4.4 有効化に関するトラブルシューティング有効化の過程でエラーの発生する可能性があります。個々のエラーについては、[ステップ 2: オンラインでの有効化]画面で簡単に説明されます。プログレスバー下の[このエラーの詳細情

報]をクリックすると、オンラインの詳細な説明と推奨により、対処方法が確認できます。ほとんどのエラーは、以下の事項を注意深く確認することで修正できます。

1. 入力したライセンス番号が正しいことを確認してください(エラー031)。 2. 有効化サーバとの通信がプロキシによりフィルタリングされている可能性があります

(エラー053 またはエラー054)。[ソフトウェアの有効化ウィザード]のステップ 1 画面の

左下ボタンをクリックし、プロキシ設定を行ってください。 3. 有効化サーバとの通信がファイアウォールによりフィルタリングされている可能性があ

ります(エラー053 またはエラー054)。個人または企業のファイアウォールが通信をフィ

ルタリングしていないか確認してください。 4. 有効化サーバへの接続が一時的にできなくなっています。数分後に再度ソフトウェアの

有効化を試してください。 5. 入力したライセンス番号は既に有効化されています(エラー033)。弊社営業部までご連絡

ください。 [email protected].



有効化に関するエラーの詳細については、下記ホームページをご覧くださ

い。 www.thegreenbow.com/support_flow.html?page=11

重要：上記推奨の方法によりソフトウェアが有効化できない場合でも、下記

ホームページで手動により有効化することができます。 http://www.thegreenbow.com/activation/osa_manual.html これにより、ユーザはただちにソフトウェアを完全に有効化することができます。

2.5 ソフトウェアの更新

きわめて重要：VPN Clientソフトウェアは、更新すると有効化が必要で

す。メンテナンス契約によっては、ソフトウェアの更新による有効化

が拒否される場合があります。下記事項をよくお読みになり、メニュ

ーの[?]から設定パネルの[更新の確認]をクリックし、現在のメンテナンス

契約内容とソフトウェアリリースを確認してください。

ソフトウェアの更新による有効化が可能か否かは、メンテナンス契約内容によります。

1. メンテナンス期間中(有効化した日から起算)の場合、全ての更新が可能です。 2. メンテナンス期間終了後(或いはメンテナンス契約なし)の場合、メンテナンス・ソフト

ウェアの更新のみ可能です。更新の可能範囲は、各リリースの後の数字で特定されま

す。例）メンテナンス期間終了後で、ソフトウェアリリースが 3.12 の場合、3.13～3.19 の範囲内で

のみ更新できます。3.20、3.30、4.00 へは更新できません。メンテナンス契約を結びたい、または期間を延長したい場合は、弊社営業部までご連絡くださ

い。 [email protected] 重要：ソフトウェア更新中も VPN 設定は保存され、新リリースでも自動的に有効となります。重要：ソフトウェアの更新の際には、「接続制限」に設定されたパスワード入力が要求されま

す。パスワードが設定されていない場合、ソフトウェア更新にあたってパスワード入力は要求

されません。

2.6 ソフトウェアのアンインストール TheGreenBow IPSec VPN Client のアンストールは、次のいずれかの方法で行います。

▢ Windows コントロールパネルから[プログラムの追加/削除]を選択します。

▢ スタートメニュー > プログラム > TheGreenBow > VPN > IPSec VPN Clientのア

ンインストール

http://www.thegreenbow.com/support_flow.html?page=11

http://www.thegreenbow.com/activation/osa_manual.html



3 簡易マニュアル

3.1 VPNトンネルを開く VPN トンネルは以下の手順で開きます(事前に VPN 設定を終えてから)。

▢ 接続パネル > 開く ▢ システムトレイ > [xxx を開く]をクリック ▢ [通信が検出された時にこのトンネルを自動的に開く]を検出 ▢ [USB ドライブ挿入時にこのトンネルを自動的に開く] ▢ [ソフトウェアを起動する時にこのトンネルを自動的に開く] (ログオン前後) ▢ VPN 設定をダブルクリック(デスクトップ上アイコン、電子メール添付) ▢ コマンドラインによりトンネル開閉

3.2 VPNトンネルに関するトラブルシューティング VPN トンネルに関するトラブルシューティング詳細は全て弊社ホームページ上で確認できます。

▢ トラブルシューティングの手引き (pdf) ▢ オンラインヘルプ (html) ▢ オンラインソフトウェア有効化 (html) ▢ デモ版 VPN 設定によるネットワーク環境のチェック ▢ IPSec VPN Client VPN Client FAQs

3.3 VPN設定アイコンのダブルクリックによるインポートダイアルアップモードとも呼ばれます。VPN設定のアイコン(拡張子”.tgb”のファイル)をダブルクリック

することで、トンネルの設定が可能です。この方法で、Windowsデスクトップ上に様々なVPN設定を作

成したり、VPN設定のショートカットアイコンのクリックによりトンネルを設定したりすることができ

ます。デスクトップ上に VPN 設定のショートカットアイコンを作成する手順は以下のとおりです。ステップ 1: [設定パネル]でトンネルを設定します。ステップ 2: [フェーズ 2 の詳細設定]で、トンネルを[VPN Client 起動時にこのトンネルを自動

的に開く]に設定します。ステップ 3: コンピュータのデスクトップに VPN 設定をエクスポートします。重要：VPN 設定のエクスポート時にパスワードを設定し、VPN 設定を保護することができます。

パスワードを設定した場合、トンネルをクリックする度にパスワードが必要となります。



3.4 ユーザ認証のための証明書の使い方

1. 新規に「フェーズ 1」を作成し、[フェーズ 1 の詳細設定]を設定する。

2. 新規に「フェーズ 2」を作成し、[フェーズ 2 の詳細設定]を設定する。

3. 当該トンネルの「フェーズ 1」に戻って[証明書]をクリックし、[証明書の管理…]を選択

する。

4. 5. 表示される一覧から証明書を 1 件選ぶか、証明書ファイルから[証明書をインポートす

る]をクリックする。その後、[OK]をクリックする。



3.5 Windowsログオン前にVPNトンネルを開く方法 Vista資格情報プロバイダ(aka GINA on W2K/WXP)と呼ばれるログオン技術を使うと、Windowsログオン前に自動或いは手動で 1 つまたは複数のVPNトンネルを開くことができます。資格情報プロバイダを有効にするには、以下のようないくつかの設定例があります。



1. Windowsログオン前に手動でVPNトンネルを開く場合設定 IPSec VPN Clientのビヘイビア

[フェーズ 2 の詳細設定]において、 [Windowsログオン前に有効にする]を選

択する。 [通信が検出された時にこのトンネルを

自動的に開く]を選択しない。

Windowsログオン前に以下のような小型ウィン

ドウが現れ、開きたいVPNトンネルが選択でき

る。

ポップアップには、オプションで[Windowsログ

オン前に有効にする]に設定されている全ての

VPNトンネルが一覧表示される。

2. Windows ログオン前に自動で VPN トンネルを開く場合設定 IPSec VPN Clientのビヘイビア

[フェーズ 2 の詳細設定]において、 [Windowsログオン前に有効にする]を選

択する。 [通信が検出された時にこのトンネルを

自動的に開く]を選択する。

Windowsログオン前に以下のような小型ウィン

ドウが現れ、そこに記載されているVPNトンネ

ルが自動的に開く。

ポップアップには、オプションで[Windowsログ

オン前に有効にする]に設定されている全ての

VPNトンネルが一覧表示される。



[Windowsログオン前に有効にする]のオプションを設定したトンネルについて無効化される機能

は以下のとおりです。 Windowsログオン前に現れる小型ウィンドウの常時表示。これを隠すことは不可能。 2 件のトンネルが[通信が検出された時にこのトンネルを自動的に開く]に設定され、そ

のうち 1 件が[Windowsログオン前に有効にする]オプションに設定された場合、IKEサー

ビスが有効となるため、両方のトンネルをWindowsログオン前に自動的に開くことが可

能。 [Windowsログオン前に有効にする]オプションに設定されたトンネルについて「スクリ

プト」が設定されている場合は、スクリプトが無効化される。 [Windowsログオン前に有効にする]のオプションに設定されたトンネルについては、

IPSec VPN Clientを「USBモード」(VPN設定のUSBドライブへの移動)にできない。設定モードが無効となる。ここでDNS/WINSサーバアドレスを設定する必要がある。

参考：より高度な「ユーザ認証」方法

X-Auth認証を使用する場合: トンネルがX-Authを使用するよう設定されている場合は、

トンネルが開く際にポップアップが現れ、X-Authログイン／パスワードが要求される。 USBトークンまたはスマートカードを使用する場合: トンネルがUSBトークンまたはス

マートカードを使用するよう設定されている場合は、トンネルが開く際にポップアップ

が現れ、PINコードが要求される。なお、エラーの場合は同一のポップアップに表示さ

れる（「トークンがロックされています」「PINコードエラー」等）。重要: VPNトンネルをWindowsログオン後に[通信が検出された時にこのトンネルを自動的に開

く]に設定するには、[Windowsログオン前に有効にする]のオプションを選択しないでください。



4 ユーザインタフェースのナビゲーション

4.1 ユーザインタフェースのエレメント TheGreenBow IPSec VPN Client は自律的ソフトウェアで、ユーザ不在でも特定のアドレスへの

通信によりトンネルを開閉することができます。しかしそのためには VPN 設定が必要です。 IPSec VPN Client の設定は VPN 設定ファイルで行います。ソフトウェアのユーザインタフェー

スにより、セキュリティエレメント(事前共有鍵や証明書等)と併せて VPN 設定が作成、変更、

保存、エクスポート／インポートできます。ユーザインタフェースは以下の要素で構成されています:

▢ 設定パネル ▢ 接続パネル ▢ メインメニュー ▢ システムトレイアイコンおよびポップアップ ▢ ステータスバー ▢ ウィザード ▢ プレファレンス



4.2 システムトレイアイコン VPN Client のソフトウェアは、デスクトップ上や Windows スタートメニューのアプリケーショ

ンアイコンのダブルクリックにより開くことができます。開いたら、システムトレイにアイコ

ンが現れます。このアイコンの色は、トンネルが開いているのか閉じているのかを示します。

アイコンの色は以下を意味します。

：VPN トンネルは閉じています

：1 つ以上の VPN トンネルが開いています VPN アイコンを左クリックすると、ユーザインタフェース設定画面が現れます。

右クリックすると、以下のメニューが表示されます。 ▢ [終了]で、設定された VPN トンネルを閉じ、IPSec VPN Client ソフトウェアを終了

します。 ▢ [保存と適用]で、設定された VPN トンネルを閉じ、新の VPN 設定変更を適用

し、自動的に開くよう設定された VPN トンネルを開きます。 ▢ [コンソール]で IPSec-IKE ログ画面を表示します。 ▢ [接続パネル]で、トンネルを開閉したり情報を獲得したりする接続パネルを開きます。 ▢ [設定パネル]で、トンネルの作成・設定のできる設定パネルを表示します。 ▢ 現在設定されているトンネル一覧。このメニューからもトンネル開閉が可能です。

シストレイの VPN Client アイコンのツールチップは、VPN トンネルの接続状況を表示します。 ▢ [トンネル<トンネル名>]は、1 つ以上のトンネルが設定されている際に表示されま

す。

▢ [VPN 設定を適用する…]は、IKE サービス再初期化中に表示されます。 ▢ [TheGreenBow VPN Client]は、全てのトンネルが閉じた状態で VPN Client が起

動している際に表示されます。



4.3 システムトレイポップアップトンネル開閉時には、シストレイアイコンから小さなポップアップ画面が表示されます。このポップアップ画面のパターンは以下のとおりシンプルです。

1. この画面は、異なるフェーズでトンネルが開いていることを示します。マウスをかざし

たままにしておくと、6 秒後に消えます。

2. この画面は、トンネルが閉じようとしていることを示します。

3. トンネルが開かない場合、警告が現れます。この警告は、弊社ホームページの詳細情報

にリンクしています。

4.4 キーボードのショートカットこの機能により、頻繁に行う作業が効率化します。ショートカ

ット操作

Ctrl + Enter 設定パネルと接続パネルの表示を切り替えます。重要：設定パネルがパスワードで保護されている場合は、設定パネルに切り替えようとする度にパスワードを入力する必要があります。

Ctrl + D [デバッグ]の VPN[コンソール]を開きます。 Ctrl + S VPN 設定を[ 保存と適用]します。

4.5 接続パネル設定されたトンネル個々の開閉や詳細情報確認ができます。エンドユーザがトンネルの開閉に

必要なものは、この機能だけです。IT 管理者(VPN 接続を設定する人)にとってもユーザ(VPN 接

続の開閉のみを行う人)にとっても、大変便利な機能です。接続パネルは以下の要素で構成されています。



▢ 現在のトンネル情報を示す、ネットワーク図のアニメーション(上部) ▢ 設定されている全てのトンネル一覧と、それぞれの開閉ボタン(図下) ▢ [設定パネル]に戻るリンク(左下)

なお、ショートカット[Ctrl + Enter]([ショートカット]の項参照)により、設定パネルと接続パネ

ルの表示をいつでも切り換えることができます。

4.6 設定パネル設定パネルで VPN 設定を行います。このパネルは以下の要素で構成されています:

▢ [コンソール][パラメータ][接続]の 3 つのボタン(左コラム) ▢ 全ての IKE、IPSec 設定を含んだツリーリスト画面(左コラム) ▢ 関連する全ツリーレベルのパラメータを示した設定画面(右コラム)



VPN 設定ファイル(拡張子”.tgb”)は、設定パネルにドラッグアンドドロップできます。この機能

により、新規 VPN 設定が簡単に適用できます。トンネルの設定が[VPN Client 起動時にこのト

ンネルを自動的に開く]の場合([フェーズ 2 の詳細設定]の項参照)、新規 VPN 設定が適用([保存

と適用])されるとただちに開きます。



4.6.1 メインメニューメニューは以下のとおりです。

▢ [ファイル]では、設定のインポートとエクスポートを実行します。また、VPN 設定

の保存場所の選択(ローカルコンピュータ、USB ドライブ等)や VPN Client の起動

条件ほか様々なプレファレンスを設定します。 ▢ [VPN 設定]は、ツリーコントロールの右クリックにより実行します。また、ここか

ら設定ウィザードにも接続できます。 ▢ [表示]では、ユーザの接続制御を行います。 ▢ [ツール]では、[コンソール][接続][IKE のリセット]を選択します。 ▢ [?]メニューからは、[更新の確認][オンラインヘルプ][About]ウィンドウに接続しま

す。また、ソフトウェアが有効化されていない場合は[有効化ウィザード]にも接続

します。

4.6.2 ステータスバーステータスバーにはいくつかの情報が表示されます。

▢ 中央ボックスは、VPN Client ソフトウェアの状態に関する情報を表示します(例え

ば、”トンネルを開いています” 、”設定ルールを保存しています”、”VPN Client を起動しています”等)。

▢ 右側のライトボックスは、トンネルの状態に関する情報を表示します。グリーン

ライトは 1 つ以上のトンネルが開いていることを示し、グレーライトは開いてい

るトンネルが無いことを示します。

4.6.3 [About]ウィンドウ

[About]ウィンドウでは、VPN Client ソフトウェアのバージョン番号や有効化情報が確認できま

す。弊社ホームページへの URL も記載されています。



4.6.4 接続制限と隠しインタフェース

これはIT管理者用の機能です。設定パネルへの接続を制限したり、パスワードにより IPSec VPN Clientの[接続パネル]および／または[シストレイメニュー]への接続を制限したりすることができます。ユーザはVPN設定に手を加えることができなくなるため、誤用や悪用が防げます。パスワードによる接続制限ができるのは[設定パネル]のみです。[接続パネル]への接続をパスワ

ードで制限することはできません。設定が済むと、ユーザは以下の場合にパスワードの入力を求められます。

1. シストレイのIPSec VPNアイコンをクリック(またはダブルクリック)した時 2. [接続パネル]から[設定パネル]に画面を切り替えようとした時

3. [ソフトウェアの更新を開始した時。]



このパスワードは、オプションとして設定できます([設定オプション]の項参照)。接続制限の画面は、[表示]メニューから設定パネルの[設定]をクリックすると開きます。この画

面ではシストレイメニューのアイテム設定もできます。このように、IT 管理者は、フルアクセ

スから完全な隠しインタフェースまで、ソフトウェアの接続が制御できます。

接続制限を解除するには、 [パスワード]と [確認する]を空欄にして[OK]をクリックします。重要：ソフトウェアのスタンダード版では、シストレイメニューの[Quit]が無効となっています

が、設定の際、設定オプション[-menuitem]から制限が解除できます([設定オプション]の項参照)。接続制限が設定されると、[設定パネル]はスタートメニューからのデスクトップアイコンのダブ

ルクリックでは開かなくなります。また、タスクバーのシストレイアイコンの右クリックでは、

[コンソール]接続、ソフトウェアの終了、設定トンネルの開閉のみ有効となります。

以下一例です。



4.6.5 ウィザードウィザードには以下の種類があります。

▢ VPN 設定ウィザードは、メニューの[VPN 設定] > [設定ウィザード]で起動します。 ▢ ソフトウェア有効化ウィザードは、[?]メニュー > [有効化ウィザード]で起動します。 ▢ USB ドライブモードウィザードは、メニューの[ファイル]>[VPN 設定を USB ドラ

イブに移動する..]で起動します。

4.6.6 プレファレンス [プレファレンス]ウィンドウでは、以下の定義が可能です。

▢ ソフトウェアの起動モード。このモードはソフトウェアの設定で設定します([設定

オプション]の項参照)。 ▢ インタフェース切断検出機能の有効化／無効化

プレファレンスは、メニューの[ファイル]から[プレファレンス]をクリックして開きます。

VPN Client 起動モード TheGreenBow IPSec VPN Clientには、いくつかの起動モードがあります。

▢ MS Windows にログオンした後に IPSec VPN Client ソフトウェアを起動する ▢ MS Windows 起動時に IPSec VPN Client を起動させない：IPSec VPN Client はユー

ザまたはスクリプトにより起動します(“手動”モード) 補足インタフェース切断の検出を無効にすると、ネットワークインタフェースが一時的かつ頻繁に

切断しても、IPSec VPN Clientはトンネルを閉じません。このような状況は、WiFi、GPRS、3G



インタフェース等、トンネルを開くのに使用されるインタフェースが不安定な場合に見られま

す。



5 接続パネル

5.1 接続パネルの要素接続パネルでは、設定されたトンネル個々の開閉や詳細情報の確認ができます。エンドユーザがトンネルを開閉するのに必要なのは、これだけです。

接続パネルは、いくつかの要素で構成されています。

▢ 現在のトンネルに関する情報を示すネットワーク図のアニメーション(トップ) ▢ 全ての設定トンネルの一覧とその開閉ボタン(図下)

トンネルは、その[開く]ボタンをクリックするだけで開きます。トンネルが開くとボタンは[開く]から[閉じる]へと自動的に変わります。トンネル名をクリックすると設定パネルが自動的に

開き、トンネル設定が変更できます。この機能は、接続パネルがパスワードで保護されている

場合は無効となります([接続制限]の項参照)。なお、[接続パネル]から[設定パネル]への切り替えは、ショートカット[Ctrl + Enter]([ショートカ

ット]の項参照)により可能です。

新規VPN設定は、VPN設定を接続パネルにドラッグアンドドロップすることにより自動的に適

用できます。VPN Client起動時にトンネルが自動的に開くよう設定されている場合は([フェーズ

2 の詳細設定]の項参照)、ただちに開きます。



5.2 接続についての詳細トンネルの開く過程で問題が発生すると、トンネル一覧の右側に警告が表示されます。

警告に関連するリンクが自動的に[警告]ポップアップを開き、詳細が表示されます。明確な警

告メッセージにより、ユーザや IT 管理者は VPN の問題を知ることができます。ポップアップ

からは弊社ホームページのオンラインヘルプにリンクされており(“詳細情報”へリンク)、状況

の詳細やトラブルシューティングの説明を見ることができます。



6 設定パネル

6.1 VPN設定の概要

6.1.1 VPNトンネルの作成方法 [設定パネル]から(設定ウィザードを使わずに)VPN トンネルを作成するには、以下の手順を行っ

てください。 1. 既存の設定を削除するため、設定パネルをリセットする。

2. ツリーリストウィンドウの「ルート」を右クリックし、[新規フェーズ 1]を選択する。

3. 認証フェーズを設定する(フェーズ 1)。 4. ツリーコントロールの[新規フェーズ 1]を右クリックし、[フェーズ 2 の追加]を選択する。 5. IPSec フェーズを設定する(フェーズ 2)。 6. パラメータ設定後、[保存と適用]をクリックして新規設定を適用する。これにより、

IKE サービスには新規パラメータが適用される。 7. [トンネルを開く]をクリックして IPSec VPN トンネルを構築する(]IPSec 設定]ウィンドウ

においてのみ)。設定の詳細説明については、フェーズ 1 およびフェーズ 2 を参照ください。



6.1.2 多重認証またはIPSec設定フェーズ

複数の認証フェーズ(フェーズ 1)が設定できるため、1 台のコンピュータから複数のゲートウェ

イや他のコンピュータとのIPSec VPN接続を構築することが可能です(peer-to-peer)。同様に、同一の認証フェーズ(フェーズ 1)に対して複数のIPSec接続(フェーズ 2)を構築すること

ができます。

6.1.3 拡張機能

フェーズ 1、フェーズ 2 とも、拡張機能およびパラメータを定義することができます。フェーズ 1 で定義され、新のVPN設定で作成されたフェーズ 2 全てに適用されるもの • 設定モードの有効化／無効化 • NAT-Tアグレッシブモードの有効化／無効化 • 冗長化ゲートウェイの有効化／無効化 • NAT-Tモードの選択（強制、無効化、自動） • X-Authログイン／パスワードのポップアップオプションでの設定 • ハイブリッド認証システムであるハイブリッドモードの有効化／無効化フェーズ 2 で定義され、関連するフェーズ 2 のみに適用されるもの • 自動オープンモード • トンネルが開いた時に起動するスクリプト／アプリケーションの選択 • DNS/WINSサーバアドレスの手動設定 • Vista資格情報プロバイダ(aka GINA on W2K/WXP)を使ったVPNトンネルによるWindowsログオンの有効化

6.2 設定ウィザード

6.2.1 3ステップ設定ウィザード TheGreenBow IPSec VPN Client の設定ウィザードでは、3 つの簡単なステップで VPN 設定がで

きます。これは、VPN ゲートウェイを通じて企業内 LAN に接続するリモートコンピュータま

たは peet-to-peer モード向けの機能です。以下の例を見てみましょう。

▢ リモートコンピュータは、動的グローバル IP アドレスを持っている。 ▢ そのコンピュータは、DNS アドレスが”gateway.mydomain.com”である VPN ゲート



ウェイにより企業内 LAN に接続しようとしている。 ▢ 企業内 LAN のアドレスは 192.168.1.xxx で、リモートコンピュータは、例えば IP

アドレス 192.168.1.100 のサーバに接続しようとしている。

この接続を設定するには、[設定]メニューから[ウィザード]を選び、ウィザードウィンドウを開

きます。

6.2.2 ステップ 1/3: リモート機器の選択トンネル末端の機器の種類を特定します： VPNゲートウェイ



6.2.3 ステップ 2/3: VPNトンネルのパラメータ以下の情報を確定します。

▢ リモートゲートウェイ(Wide Area Network=WAN 側)のグローバルアドレス ▢ 当該トンネルに使用する事前共有鍵(ゲートウェイと同一) ▢ 企業内LANのIPアドレス(例：192.168.1.0)

6.2.4 ステップ 3/3: まとめ

後のステップで、新規VPN設定をまとめます。この他のパラメータは、[設定パネル]で直接

設定できます(証明書、仮想IPアドレス等)。これでトンネルが作成され、開くことができるようになりました。



6.3 認証またはフェーズ 1

6.3.1 フェーズ 1とは [認証]または[フェーズ1]ウィンドウは、認証フェーズまたはフェーズ1の設定に使用するもので、 IKEネゴシエーションフェーズとも呼ばれます。フェーズ 1 の目的は、IKEポリシー設定のネゴシエーション、ピアのの認証、ピア間の安全なチ

ャンネル設定です。エンドシステムはそれぞれ、互いにフェーズ 1 の一部として自身を特定、

認証する必要があります。

6.3.2 フェーズ 1の設定



名称ユーザインタフェース設定のみに使用される認証フェーズのラベル

で、IKEネゴシエーションには一切使用されません。名前は随時変

更可能で、ツリーコントロールで確認できます。 2 つのフェーズ 1 が同一名を持つことはできません。

インタフェースコンピュータのネットワークインタフェースの IP アドレスで、こ

れにより VPN 接続が構築されます。IP アドレスが変更となる可能

性のある場合(ISP やルータから動的に受信される場合)は、[任意]を選択します。VPN 設定ファイルで設定された IP アドレスがコンピ

ュータに存在しない IP アドレスを参照している場合、このパラメ

ータにはデフォルトの[任意]が強制的に設定されます。リモートゲートウェイリモートゲートウェイのIPアドレスまたはDNSアドレス(上記例では

gateway.mydomain.com)です。入力は必須です。

事前共有鍵リモートゲートウェイとシェアするパスワードまたはキーです。証明書 VPN Clientで使用するX509 証明書です。[証明書の管理]をクリック

し、PEMファイル、PKCS#12 ファイル、スマートカードとトーク

ン、Windows証明書ストアから証明書ソースを選択します(証明書の

設定の項参照)。トンネル 1 つにつき 1 件の証明書が設定できます。

IKE暗号化認証フェーズ(3DES、AES等)で使用される暗号化アルゴリズムで

す。 IKE認証認証フェーズ(MD5、SHA等)で使用される認証アルゴリズムです。

SHA1 およびSHA2-256bitに対応します。キーグループ Diffie-Hellmanキー長です。



さらに細かい設定は、[フェーズ 1 の詳細]をクリックして行います。

6.3.3 フェーズ 1の拡張機能

拡張機能およびパラメータの設定は、[フェーズ 1 の詳細]をクリックし、フェーズ 1 パネルで行

います。

設定モードこれをチェックすると、VPN Clientはこのトンネルに対して設定モード

をアクティブにします。設定モードでは、VPN ClientはVPNゲートウェ

イからいくつかのVPN設定情報をフェッチできます。設定モードが有

効で、リモートゲートウェイが設定モード対応の場合は、IKE交換の際

にVPN Clientとリモートゲートウェイの間で以下のパラメータがネゴシ

エートされます(フェーズ 1)。 ▢ VPN Client の仮想 IP アドレス ▢ DNS サーバアドレス(オプション) ▢ WINS サーバアドレス(オプション)

リモートゲートウェイが設定モード非対応の場合は、[フェーズ 2 の詳

細]の項を参照し、マニュアルでIPSec VPN ClientにDNSとWINSサーバ

アドレスを設定してください。アグレッシブモードこれをチェックすると、VPN Client はアグレッシブモードをリモート

ゲートウェイとのネゴシエーションモードとして使用します。冗長化ゲートウェイ本来のゲートウェイがダウンまたは無反応の際、VPN Clientは代替ゲー



トウェイでIPSecトンネルを設定します。冗長ゲートウェイのIPアドレ

スまたはURLを入力してください(例：router.dyndns.com)。 ▢ TheGreenBow VPN Client は本来のゲートウェイに接続し

てトンネルを設定しようとします。数度の試みが失敗した

場合は(デフォルトでは 5 回。[パラメータ]パネルから[再送信]フィールドで変更可能)、新規トンネルエンドポイン

トとして冗長化ゲートウェイが使用されます。接続失敗の

際は 10 秒後に再度試みます。 ▢ 本来のゲートウェイに接続できてもトンネルの設定に失敗

した場合(VPN 設定の問題等)でも、VPN Client は冗長化ゲ

ートウェイによるトンネル設定を試みません。その際は設

定の変更を行う必要があります。 ▢ 本来のゲートウェイが無反応となった際に、両側でネゴシ

エートされる切断検出機能(Dead Peer Detection=DPD)によ

り本来のゲートウェイを使用してトンネルが設定された場

合(DPD が無反応のリモートゲートウェイを検出した場合

等)、VPN Client は冗長化ゲートウェイによりただちに新

規トンネルを設定します。 ▢ 冗長化ゲートウェイにも全く同じ動作が適用されます。つ

まり、VPN Client は、ユーザがソフトウェアを終了する

か、[保存と適用]をクリックするまで、本来のゲートウェ

イと冗長化ゲートウェイを開こうとし続けます。

NAT-Tモード NAT-Tモードには、強制、無効化、自動があります。 NAT-T [無効化]により、IPSec VPN ClientおよびVPNゲートウェイがNATトラバーサルを開始するのを防ぎます。 NAT-T [自動]モードでは、VPN ゲートウェイおよび VPN Client は NATトラバーサルをネゴシエートします。 NAT-T [強制]モードでは、TheGreenBow IPSec VPN ClientはIPSecパケッ

トをUDPフレームに封入することにより、NATルータ経由のトラバー

サルを解決します。ローカルID ローカルIDは、フェーズ 1 の過程でVPN ClientがVPNゲートウェイに送

るIDで、以下の機能も持ち合わせています。 ▢ IP アドレス(IP address) 例：195.100.205.101 ▢ ドメイン名(DNS) 例：mydomain.com ▢ 電子メールアドレス(Email) 例：[email protected] ▢ ストリング(KEY ID) 例：123456 ▢ 証明書発行者(DER ASN1 DN) (証明書の設定の項参照)

これを設定しない場合は、VPN Client の IP アドレスが使用

されます。

リモートID リモートIDは、フェーズ 1 の過程でVPN ClientがVPNゲートウェイから

受け取るべきIDで、以下の機能も持ち合わせています。 IPアドレス(IP address) 例：80.2.3.4 ドメイン名(DNS) 例：gateway.mydomain.com




電子メールアドレス(Email) 例：[email protected] ストリング(KEY ID) 例：123456 証明書発行者(DER ASN1 DN) (証明書の設定の項参照)。これを

設定しない場合は、VPNゲートウェイのIPアドレスが使用され

ます。

X-Auth X-Auth IPSec ネゴシエーションのログインとパスワードを定義しま

す。[X-Auth ポップアップ]を選択すると、リモートゲートウェイとのト

ンネル設定のための認証が必要となる度に、ログインとパスワード入

力を促すポップアップウィンドウが開きます。詳細については、X-Authの使用の項を参照ください。 X-Auth認証に失敗すると、トンネル設定もできません。

ハイブリッド認証モ

ードフェーズ 1 です。この方式では、複数のエンティティ認証を非対称と

見なします。エッジデバイス(ファイアウォール等)のようなエンティテ

ィは、標準の公開鍵方式(署名モード)で認証しますが、リモートユーザ

のような他のエンティティは、チャレンジ／レスポンス方式で認証し

ます。これらの認証方法は、フェーズ 1 の後に一方向に認証される

IKE SAを設定するのに使用されます。IKE SAが双方向に認証されるよ

うにするには、フェーズ 1 の直後にX-Auth交換[XAUTH]を行います。X-Auth交換は、リモートユーザ認証に使用します。この認証方法をハイ

ブリッド認証モードと呼びます。TheGreenBow IPSec VPN Clientは、

RFC [draft-ietf-ipsec-isakmp-hybrid-auch-05.txt]を実行します。

6.3.4 X-Authの使用 X-Authは、インターネット鍵交換(IKE)プロトコルの拡張機能です。IKEは、IPSecトンネリング

プロトコルでのセキュリティー資格情報の交換方法を定義するPKI(Public Key Infrastructure=公開鍵暗号基盤)の重要要素の 1 つです。 X-Auth IPSecネゴシエーションにはログインおよびパスワード定義が必要です。 1. フェーズ 1 の詳細設定でX-Auth資格情報を定義するログインおよびパスワードはフェーズ 1 の詳細設定で定義でき、ユーザの承認を要求せずVPNトンネルを開く度に使用されます。ログインおよびパスワードを残しておくことは推奨されま

せんが、明らかに利便性が向上します。 2. VPNトンネルを開けるのにX-Auth資格情報を要求するフェーズ 1 の詳細設定で[X-Authのポップアップ]が選択されている場合、リモートゲートウェ

イでトンネルを開けるため認証が必要となる度に、X-Authログインおよびパスワードが要求さ

れます。複数のVPNトンネル設定の場合は、X-Auth資格情報が正しく入力できるようVPNトン

ネル名がポップアップウィンドウに表示されます。




ログイン／パスワードの認証管理は VPNゲートウェイによって異なります。不正なログイン／パスワードを入力した場合、以下のいずれかの動作が起こります。

‐ ‐ 試行回数を表示した X‐Authウィンドウが開き、再びログイン／パスワードの入力を求める

‐ ‐ 上図または下図のように、ユーザに再度 VPNトンネルを開くよう警告するウィンドウが表示される

6.4 IPSec設定またはフェーズ 2

6.4.1 フェーズ 2とはフェーズ2の設定には、 [IPSec設定]または[フェーズ2]ウィンドウを使用します。



フェーズ 2 の目的は、フェーズ 1 でネゴシエートされるトンネルを使った通信に適用される

IPSecのセキュリティパラメータを、ネゴシエートすることです。

6.4.2 フェーズ 2の設定

名称 VPN Clientのみで使用されるIPSec設定のラベルです。このパラメー

タは、IPSecネゴシエーション中に送信させることは一切ありませ

ん。名前は随時変更可能で、ツリーリストで確認できます。2 つの

フェーズが同一名を持つことはできません。 VPN Clientアドレス VPN Client がリモート LAN 内部で使用する仮想 IP アドレスです。

コンピュータは、この IP アドレスで LAN 内に現れます。この IP ア

ドレスがリモート LAN のアドレスにならないよう注意する必要が

あります。例えば、ここでは 192.168.1.10 のような IP アドレスは

避けてください。アドレスのタイプリモートエンドポイントはLANもしくは 1 台のコンピュータです

が、LANの場合は、[サブネットアドレス]か[IP範囲]を選択してくだ

さい。[サブネットアドレス]を選んだ場合、[リモートLANアドレス]と[サブネットマスク]フィールドが有効になります。[IP範囲]を選ん

だ場合、[スタートアドレス]と[エンドアドレス]フィールドが有効に



なり、TheGreenBow IPSec VPN Clientは所定のIPアドレス範囲内で

のみトンネルを設定することができます。IPアドレス範囲に指定で

きるアドレスは 1 つだけです。リモートエンドポイントが 1 台のコンピュータの場合は、[単一ア

ドレス]を選択してください。[単一アドレス]を選んだ場合、[リモー

トホストアドレス]フィールドのみが有効になります。リモートアドレスアドレスの種類により、[リモートホストアドレス]または[リモート

LANアドレス]フィールドを選びます。VPNトンネルを開くのは、ゲ

ートウェイのIPアドレスかLANネットワークアドレスです。サブネットマスクリモートLANのサブネットマスクです。アドレスの種類が[サブネッ

トアドレス]と同じ場合のみ有効です。 ESP暗号化 IPSecフェーズ(3DES、AES等)でネゴシエートされる暗号化アルゴ

リズムです。 ESP認証 IPSecフェーズ(MD5、SHA等)でネゴシエートされる認証アルゴリズ

ムです。 SHA1 およびSHA2-256bitに対応します。

ESPモード IPSec封入モードです。トンネルまたはトランスポートを選びま

す。 PFS グループ Diffie-Hellmanキー長です。トンネルを開くトンネルを開きます。トンネルが開くとただちに[トンネルを閉じ

る]ボタンになります。スクリプトスクリプトは、スクリプト設定ウィンドウで設定します。重要：[IP範囲]機能と[通信時にトンネルを開く]機能を併用すると、特定のIPアドレス範囲の通

信が検出された場合自動的にトンネルが開きます。ただし、IPアドレスの範囲はVPNゲートウ

ェイ設定で認証されなければなりません。さらに細かい設定は、[フェーズ 2 の詳細]をクリックして行ってください。パラメータの設定が済んだら、[保存と適用]をクリックして設定を保存し、新規設定に適用する

ようにしてください。弊社のサポートするVPNゲートウェイに関する便利なVPN Client設定文書をご用意しております。

弊社ホームページの基礎知識をご覧ください。

6.4.3 フェーズ 2 の拡張機能

拡張機能およびパラメータの設定は、[フェーズ 2 の詳細]をクリックし、フェーズ 2 パネルを

開いて行ってください。

http://www.thegreenbow.com/vpn_gateway.html



自動オープンモード以下のような場合、VPN Clientは特定のトンネル(フェーズ 2)を自動的

に開くことができます。 ▢ VPN Client 起動時にこのトンネルを自動的に開きます。 ▢ USB ドライブが挿入された際にこのトンネルを自動的に

開きます([USB モード]の項参照)。 ▢ VPN Client がリモート LAN への通信を検出した際にこの

トンネルを自動的に開きます。これを選ぶと、設定パネ

ルのツリーリスト内のフェーズ 2 アイコンの形と色が変

され

わり、このモードが選択

されていることを示しま

す。

GINA モード

替サーバ

GINA モードが選択ている場合トンネルは Vista 資格情報

プロバイダ(aka GINA on W2K/WXP)が Windows ログオンを実行する

のトンネルを

動的に開きます。これを選ぶと、設定パネルのツリーリスト内のフ

代

、その

ために使用可能です。この機能は、企業従業員のデータベースを使っ

てログオンする場合、リモートコンピュータがログオン開始前に企業

のネットワークに接続する必要がある際に便利です。[Windows ログ

オン前に VPN トンネルを開く方法]を参照ください。 VPN Client がリモート LAN への通信を検出した際にこ

自

ェーズ 2 アイコンの形と色が変わり、このモードが選択されているこ

とを示します。[設定モード]が選択されている場合、このパラメータ

は不要です。



4.4 スクリプトの設定

トドウで設定します。このウィンドウは、フェーズ 2 設定ィンドウの[スクリプト設定]をクリックして開きます。

スクリプトやアプリケーションは、VPNトンネル開閉の各段階で有効化できます。

▢ トンネルの開く前

確認、バックアップアプリケーション起動前に使用可能な

ータベースの確認、起動中のソフトウェアの確認、ログオンの確認等、様々な目的で、トン

ンネル接続の前後または中に、様々なネットワーク設定を行うこともできます。

6. スクリプは、スクリプト設定ウィンウ

▢ トンネルの開いた直後 ▢ トンネルの閉じる前

▢ トンネルの閉じた直後

用使

デ

中のソフトウェアバージョンの

ネル接続の各段階においてスクリプト(バッチ、スクリプト、アプリケーション等)が実行でき

ます。また、ト



.5 グローバルパラメータ

ー

ローバルパラメータは、設定された全てのトンネルに適用される一般設定です。変更した場合は、 [保存と適用]をクリックし

� } (秒) IKEデフォルト寿命鍵作成のためのデフォルト寿命

ト寿命ト寿命

切断検出(DPD) 数

応時のDPDメッ

� その他再送止までの再送信回数の間隔ー

暗号化接続を遮断する号化された通信のみ認

6

6.5.1 グロバル設定グて変更を保存してください。

IKE IKE 短寿命 IKE 鍵作成のための短寿命 IKE 長寿命 IKE鍵作成のための長寿命 IPSecデフォル IPSec鍵作成のためのデフォル

IPSec 短寿命 IPSec鍵作成のための短寿命 IPSec 長寿命 IPSec鍵作成のための長寿命 � 間隔確認(秒) DPDメッセージの間隔大再伝送回 DPDメッセージ送信回数

再伝送の間隔(秒) リモートゲートウェイ無反

セージ送信間隔メッセージ送信中

再伝送

ユーザがIKEネゴシエーションをリスタ

トするまでの間隔チェックすると、暗非

証



IKEポートーズ 1 の IKE ネゴシエーションで使用

NATポートズ 2 のIPSecネゴシエーションで使用

X-Auth タイムアウト X-Auth 資格情報入力のための制限時間 lock non-ciphered し

通信の切断検出(DPD)は、ΙΚΕのデッドピアを検出するインターネット鍵交換(ΙΚΕ)拡張機能

▢ ピアの切断が検出された際、VPN Client で開いている SA を削除します。ウェイ

パラメータを設定したら、[保存と適用]をクリックして新規設定を保存するようにしてくださ

フェ

されるデフォルトは UDP ポート 500 です

が、ポート番号の変更が可能。エクスチェ

ンジは UDP で行われますが、IKE ポート

500 を許可しないファイアウォールがあっ

たりポート 500 からの通信が許可されない

場合があったりするため、他のポートが設

定できます。IPSec サービスに正しく辿り

つくためには、リモートゲートウェイがこ

の機能に対応し、新しく設定した IKE ポー

トで受信したものをデフォルトのポート

500 上に経路変更できなければなりませ

ん。フェー

されるデフォルトはUDPポート 4500 です

が、ポート番号の変更が可能です。エクス

チェンジはUDPで行われますが、IKEポー

ト 4500 を許可しないファイアウォールがあ

ったりポート 4500 からの通信が許可されな

い場合があったりするため、他のポートが

設定できます。IPSecサービスに正しく辿り

つくためには、リモートゲートウェイがこ

の機能に対応し、新しく設定したIPSecポー

トで受信したものをデフォルトのポート

4500 上に経路変更できなければなりませ

ん。

Bconnection 機能

これをチェックすると暗号化された通信

か認証されないため、VPN トンネルが開く

と通信は全てトンネルを通ることになりま

す。

(RFC3706）です。TheGreenBow IPSec VPN ClientがDPDを使用する目的は以下のとおりです。

▢ [フェーズ 1 の詳細]設定パネルで有効化されている場合には、冗長化ゲート

による IKE ネゴシエーションをリスタートします。

い。



6.6 VPNトンネルの表示

6.6.1 VPNトンネルを表示するには

[トンネル表示]画面では、現在開いているVPNトンネルが表示されます。また、トンネルを閉じる際にもこの画面を使用します。VPNトンネルを閉じるには、一覧からトンネルを選択して[トンネルを閉じる]をクリックします。システムトレイアイコンの内容メニューや接続パネルからも、トンネルの表示と開閉が直接できます。接続パネルは、[接続パネル]をクリックして開きます。[Ctrl + Enter]キーで、接続パネルと設定

パネルの表示切替えが可能です(ショートカットの項参照)。

6.7 USBモード

6.7.1 USBモードとは

TheGreenBow VPN Client は、VPN 設定や VPN セキュリティー要素(事前共有鍵、証明書等)のUSB ドライブやコンピュータ外部への保存も安全に実行します。これにより、VPN 設定は以下

の場所に保存可能です。 • 特定のコンピュータ: VPN 設定で定義された VPN トンネルは特定のコンピュータでしか

使用されない。 • 特定の USB ドライブ: VPN 設定で定義された VPN トンネルは特定の USB にしか使用さ

れない。 [ファイル]>[VPN 設定を USB ドライブに移動..]を選ぶと、USB ドライブの初のプラグイン時

に、VPN 設定および設定内のセキュリティエレメントが USB ドライブに移動します。



その後は、USB ドライブをプラグインするとトンネルが自動的に開きます。また、USB ドライ

ブを抜き取ると、開いている全てのトンネルが自動的に閉じます。

6.7.2 新規USBドライブの有効化新規 USB(データ無し)は、VPN 設定をコピーしてセキュリティーエレメントを移動させること

で有効化できます。以下の方法があります。 • メニューの[ファイル]から[VPN 設定のエクスポート]を選んで VPN 設定をエクスポート

し、設定を USB ドライブにコピーする。 • メニューの[ファイル]から[VPN 設定を USB ドライブに移動..]を選んで[USB モードウィ

ザード]を使用する。 [USBモードウィザード]の使用手順は以下の通りです。 1. [USBモードウィザード]は、[USBモードウィザード]ステップ 1 から始まります。既にUSBドライブが挿入されている場合は、IPSec VPN Clientが検知して以下のように表示され

ます。複数のUSBドライブが挿入される可能性があるため、いずれにしろウィザードはUSBドライブを 1 つ選択するよう要求します。

重要: [USBモードウィザード]ステップ 1 でUSBドライブが挿入され、それが唯一のUSBドライ

ブであるとみなされた場合、IPSec VPN ClientはそのUSBドライブを検知して自動的に[USBモー



ドウィザード]ステップ 2 へと進みます。重要: 既に挿入されているUSBドライブのVPN設定と異なるVPN設定を有する別のUSBドライブ

が新たに挿入された場合、どちらか一方を取り外すよう警告が表示されます。 2. [USBモードウィザード]ステップ 2 ウィザードでは、USBドライブを有効化するため以下のオプションを提案します。 • [このコンピュータでのみ有効]: VPN設定で定義されたVPNトンネルは、このコンピュー

タでのみ使用可能 • [任意のコンピュータで有効]: VPN設定で定義されたVPNトンネルは、特定のUSBドライ

ブを使えば任意のコンピュータで使用可能 VPN設定はパスワードで保護できます(必須ではない)。保護すると、USBドライブを紛失しても

会社のセキュリティーには損害を与えません。

重要: このステップでUSBドライブを取り外すと、ウィザードは自動的にステップ 1 に戻ります。重要: IPSec VPN Clientソフトウェアでは、USBドライブを使ってパスワードやコンピュータ関連

の設定を変更することはできません。しかしながら、VPN設定を含むUSBドライブを挿入して

VPN設定をローカルディスクにエクスポートし、USBドライブを抜いてVPN設定をインポート

し、[USBモードウィザード]を再度起動して新規パスワード設定やコンピュータ関連の設定を行

うことができます。 3. [USBモードウィザード]ステップ 3



この後ウィザードは、次にUSBドライブを挿入した際に開くようにするVPNトンネルを選択す

るよう促します。[フェーズ 2 の詳細設定]のオプション同様[USBドライブ挿入時にこのトンネ

ルを自動的に開く]が全てのトンネルに適用されます。

4. [USBモードウィザード]ステップ 4 ステップ 4 はこれまでの設定のまとめです。確認すると、IPSec VPN ClientはVPN設定をUSBドライブにコピーし、コンピュータ内のセキュリティー情報を全て削除します。これによりIPSec VPN Clientは[USBモード]となります。重要: VPN設定をUSBドライブに移動すると、USBドライブを取り外すまでその設定が有効のま

まとなります。USBドライブを取り外すと、その設定はリセットされます([設定パネル]に空の

設定が表示されます)。次にIPSec VPN Clientが起動すると、何も設定されていない状態となって

います。

6.7.3 USBドライブ接続時にVPNトンネルが自動的に開くようにするには

[USBドライブ挿入時にこのトンネルを自動的に開く]のオプションを、全トンネルに対し個別に設定する

ことができます。



VPN 設定を含む USB ドライブが挿入された場合、このオプションの設定された VPN トンネル全てが自

動的に開きます。USB ドライブを取り外すとトンネルは全て閉じます。USB ドライブが挿入された状態

で IPSec VPN Client が起動しても、同様のビヘイビアとなります。当然ながら、VPN 設定を含まない USB ドライブが挿入されたり、USB ドライブそのものが挿入されて

いなかったりすると、IPSec VPN Client はローカルモードで起動します(ローカルディスクで使用可能な

VPN 設定を使用)。このオプションは[設定パネル]で設定できます。 • 関連するトンネルのIPSec設定(フェーズ 2)の後、[フェーズ 2 の詳細設定]をクリックす

る。 • [USBドライブ挿入時にこのトンネルを自動的に開く]のオプションを選択する。 USBドライブを有効化するには、メニューの[ファイル]から[VPN設定をUSBドライブに移動..]をクリックして[USBモードウィザード]を参照ください。

重要: Windowsログオン前は、[USBドライブ挿入時にこのトンネルを自動的に開く]は無効です。

6.8 証明書の管理

6.8.1 証明書の管理について TheGreenBow IPSec VPN Client では、さまざまなソースからの証明書が使用できます。



o PEM 形式ファイル o PKCS#12 形式ファイル o Windows 証明書ストア o USB トークンまたはスマートカード

証明書の管理パネルでは、証明書の発行元全てを 1 ヶ所で閲覧して特定のトンネルに適な証

明書を選ぶことができます。特定のトンネルに証明書を割り当てるには、以下の手順を行います。

1. トンネルの[フェーズ 1]ウィンドウを開いて[証明書]をクリックし、[証明書の管理…]を開く。

2. 表示される一覧から証明書を 1 件選び、[OK]をクリックする。

重要: トンネル 1 つにつき選択・割り当て可能な証明書は 1 件です。重要: TheGreenBow VPN Client ソフトウェアでは証明書の作成は行いません。証明書は第三者

ソフトウェアにより作成(そしてスマートカード／トークン、Windows 証明書ストアに保存)されなければなりません。弊社ウェブサイトの文書「証明書の作成方法」または「証明書形式の

変換方法」でさらに詳しくご説明しています。

証明書のソース



証明書のソースは、以下の中から選択できます。

1. TheGreenBow 設定ファイル: VPN Client ソフトウェアで使用する VPN 設定ファイルの中にあり、証明書ファイルや Microsoft証明書ストア等他の発行元からある時点でインポートされる証明書です。重要: VPN 設定に設定された証明書が無い場合、このセクションは表示されません。以前 VPN設定ファイルで設定された証明書が既に存在しなくなった場合、このセクションは無効化され

ます。

2. Microsoft 証明書ストア: Microsoft 証明書ストアの中にある証明書で、この表示および使用には以下の条件が必要です。証明機関により証明されており、証明書のステータスが[OK]になっている([証明書のト

ラブルシューティング]の項参照)。企業のネットワークに接続しようとするユーザのパーソナル ID となるため、”パーソナ

ル”証明書ストアの中に保存されている。

3. USB トークンまたはスマートカード(Feitian ePass2000-FT21 等): 複数の USB トークンおよびスマートカードが挿入でき、それらに含まれる証明書全てがこのセ

クションで表示されます。重要: 表示されている証明書ストアに希望の証明書が無い場合、[証明書をインポートする]ボタ

ンを使っていつでも証明書がインポートできます。

証明書詳細の閲覧

全ての証明書に関する情報(「発行者」「発効日」「有効期限」「サブジェクト」等の全プロパ

ティを含む)が閲覧できます。以下のように、閲覧したい証明書を選んで[証明書の閲覧..]をクリックします。



証明書の制御

TheGreenBow IPSec Client によるユーザ証明書の制御は以下のとおりです。イベント証明書制御

インポートの際ユーザ証明書ルート証明書

無し

VPN トンネルを開く際ユーザ証明書無し

6.8.2 PKCS#12の証明書を使ったトンネルの設定 PKCS#12 の証明書は、多くのゲートウェイに対応します。TheGreenBow IPSec VPN Client は、



PKCS#12 の証明書を設定パネルから VPN 設定にインポートすることができます。トンネル 1つにつき 1 件の PKCS#12 の証明書が定義できるため、同一の PKI(Public Key Infrastructure=公開

鍵基盤)ソフトウェアを使用しない複数のゲートウェイへの接続が可能です。 IPSec VPN Client を PKCS#12 の証明書ファイルで設定する手順は以下のとおりです。ステップ 1： [フェーズ 1]ウィンドウの[証明書]をチェックし、[証明書の管理]をクリックしま

す。その後、[証明書をインポートする]をクリックします。

ステップ 2：[PKCS#12形式]のボックスをチェックし、 [次へ]をクリックします。ステップ 3：インポートしたいPKCS#12 証明書ファイルを選びます。PKCS#12 の証明書が保護

されている場合は、ポップアップウィンドウにパスワードを入力してください。

証明書が正しくインポートされると、TheGreenBow設定ファイルのセクション下の

証明書管理パネルに表示されます。

ステップ 4： [OK]をクリックすると、PKCS#12 の証明書が VPN 設定に保存されます。「保

存と適用」



のクリックは不要です。

重要：証明書がインポートされると、そのサブジェクトは関連するフェーズ 1 のローカル ID と

して使用されます。これは、下のようにフェーズ 1 の詳細ウィンドウに表示されます。

6.8.3 PEM証明書ファイルの証明書を使ったトンネルの設定 TheGreenBow IPSec VPN Clientは、PEM証明書を設定パネルからVPN設定へ直接インポートできます。トンネル1つにつき1件のPEM証明書が定義できるため、同一のPKI(Public Key Infrastructure=公開鍵基盤)を使用しない複数のゲートウェイへの接続が可能です。 IPSec VPN ClientでのPEM証明書設定手順は以下のとおりです。ステップ 1：[フェーズ 1]ウィンドウの[証明書]をチェックし、[証明書の管理]をクリックして、

[証明書をインポートする]をクリックします。



ステップ 2： [PEM 形式]のボックスをチェックし、[次へ]をクリックします。ステップ 3：該当ボタンをクリックして、ルート証明書、ユーザ証明書、私有鍵をインポート

します。証明書が正しくインポートされると、TheGreenBow 設定ファイルのセクション下の証

明書管理パネルに表示されます。

ステップ 4： [OK]をクリックすると、PEM 証明書が VPN 設定に保存されます。[保存と適用]

のクリックは不要です。



重要：証明書がインポートされると、そのサブジェクトは関連するフェーズ 1 のローカル ID に

使用されます。これは、以下のようにフェーズ 1 の詳細ウィンドウに表示されます。

重要：秘密鍵を含む PEM ファイルは、暗号化したりパスワードで保護したりしないでください。

6.8.4 USBトークンはたまスマートカードからの証明書を使ったトンネルの設定 TheGreenBow IPSec VPN Client は、証明書を USB トークンまたはスマートカードから読み込む

ことができます。スマートカードは、PIN コードで保護できる X509 証明書のセキュリティのた

めに使用できます。 USB トークンまたはスマートカードからの証明書を使ったトンネル設定の手順は以下のとおり

です。ステップ 1：トンネルの[フェーズ 1]ウィンドウで[証明書]を選び、[証明書の管理]をクリック

します。



ステップ 2：接続可能な全USBトークンまたはスマートカードおよび証明書が一覧表示されている証

明書管理パネルで、証明書を選びます。もしUSBトークンまたはスマートカードが挿入さ

れていない場合、この時点で挿入すると一覧に表示されます。USBトークンまたはスマー

トカードリーダーの認証プロセスが始まり、場合によってはPINコードが要求されます。

「PINコード」を入力し、「OK」をクリックします。

USBトークンまたはスマートカードが正しく読み込まれると、TheGreenBow設定ファイルのセ

クション下の証明書管理パネルに表示されます。

ステップ 3： [OK]をクリックします。



6.8.5 USBトークンまたはスマートカードからの証明書を使ったトンネルを開く手順トンネルが USB トークンまたはスマートカードからの証明書使用に設定されると、トンネルを

設定しようとする度に、USB トークンまたはスマートカードの PIN コード入力が必要となりま

す(自動 VPN リネゴシエーションの場合を除く)。 USB トークンまたはスマートカードからの証明書によるトンネルを開くには、以下の条件が必

要です。 1. スマートカードリーダ(ミドルウェア)の正しいインストールと設定 2. 読み込み可能なスマートカードのスマートカードリーダへの挿入または USB トークン

の挿入 3. USB トークンまたはスマートカードを読み込むための正しい PIN コード

[トンネル<トンネル 1>を開く]をクリックします。

スマートカード使用中のトラブルは、コンソールに全て表示されます。

6.8.6 証明書に関するトラブルシューティング

1. USBトークンまたはスマートカードによるインタフェース

USBトークンまたはスマートカード接続中に発生するエラーについては、トークン名横にある

小型警告アイコンをクリックするとポップアップが現れ、詳細が表示されます。トークンが見つからない��今まで挿入されていたが現時点で見つからない。トークンが見つかったが接続するミドルウェアが無い(スマートカードリーダー使用中

にしばしば要求される)。トークンおよびストアが見つかったが証明書が見つからない。



2. Microsoft 証明書ストア

Microsoft証明書ストア中の証明書の条件は、以下の通りです。証明機関により証明されており、証明書のステータスが[OK]になっている([証明書のトラブルシ

ューティング]の項参照)。企業のネットワークに接続しようとするユーザのパーソナルIDとなるため、”パーソナル”証明書

ストアの中に保存されている。企業のネットワークに接続しようとするユーザのパーソナルIDとなるため、”パーソナル”証明書ストアの

中に保存されている。Go to 'Windows Start' > 'Run' > 'CERTMGR.MSC'

6.9 設定管理

6.9.1 メニューによるVPN設定のインポート／エクスポート TheGreenBow VPN Client は VPN 設定のインポート／エクスポートが可能です。これにより、IT管理者は設定を他のユーザに配布することができます。

▢ 設定をインポートするには、メニューの[ファイル]から[VPN 設定をインポートす

る]を選びます。 ▢ 設定をエクスポートするには、メニューの[ファイル]から[VPN 設定をエクスポー

トする]を選びます。エクスポートされたVPN設定ファイルの拡張子は”.tgb”になります。



エクスポートされたVPN設定は、パスワードで保護できます。ユーザが設定をエクスポートし

ようとすると、エクスポートするVPN設定をパスワードで保護するかどうかを確認するポップ

アップウィンドウが自動的に開きます。

VPN 設定がパスワードで保護されている場合、インポートの際にパスワードの入力が必要です。

エクスポートされた VPN 設定がパスワードで保護されていない場合、自動的にインポートが始

まります。重要：USB モードでのインポート／エクスポート VPN Client が USB モードに設定されていて USB ドライブが挿入されている場合、インポート

された VPN 設定は直接 USB ドライブに書き込まれます。VPN Client が USB モードに設定され

ていて USB ドライブが挿入されていない場合(GUI の左下角の USB アイコンが無効の場合)、VPN 設定のインポート／エクスポートはできません。重要：VPN設定ファイルは、コマンドラインでもインポートできます。

6.9.2 VPN設定の統合 TheGreenBow IPSec VPN Clientは、既存のVPN設定に複数のトンネルをインポートできます。IT管理者

は、新規ゲートウェイによる新規VPN設定を既存VPN設定に統合し、個人・グループユーザに配布する

ことができます。 VPN 設定の統合にはいくつかの方法があります。

1. メニューの[ファイル]から[VPN 設定をインポートする]を選び、[置き換える]ではなく



[追加する]をクリックします。

2. 新規 VPN 設定を、開いている既存 VPN 設定ソフトウェアにドラッグアンドドロップし

ます。上記のようなポップアップウィンドウが開き、既存の VPN 設定を[追加する]のか

[置き換える]のかを確認するメッセージが表示されます。 3. 新規 VPN 設定を次のコマンドラインでインポートします。

“[path]�vpnconf.exe/add:[file.tgb]”：[path]は VPN Client のインストール先アドレス、

[file.tgb]は VPN 設定ファイルです。このコマンドは関連するパスを扱いません(例：

“..\..\file.tgb”)。詳しくは、コマンドラインのインポートをご覧ください。

VPN 設定のインポート手段の別に関わらず、下記事項に留意してください。 ▢ インポート前に 1 つ以上のトンネルが設定されていて、ユーザがポップアップウ

ィンドウで VPN 設定を[追加する]を選択した場合、グローバルパラメータはイン

ポートされません。 ▢ インポート前にトンネルが 1 つも設定されていない或いはユーザが[置き換える]を

選択した場合、グローバルパラメータはインポートされます。 ▢ インポート、既存 VPN 設定においてトンネル名が重複した場合、インポートされ

たトンネル名に自動的に括弧で数が加えられ、トラブルを防ぎます(例：

tunnel_office(1))(フェーズ 1 およびフェーズ 2)。

6.9.3 VPN設定の分割 TheGreenBow IPSec VPN Client は、既存 VPN 設定から 1 つのトンネルをエクスポートすること

ができます。IT 管理者は、既存の VPN 設定をより小規模の VPN 設定に分割し、個人・グルー

プユーザに配布することができます。トンネルのエクスポートは、以下の手順で行ってください。

▢ VPN 設定のトンネルのフェーズ 2 を右クリックし、[トンネルのエクスポート]を選



択します。

▢ ポップアップウィンドウが開き、VPN 設定をパスワードで保護するかどうか確認

します。

▢ エクスポートが完了すると、ユーザに VPN 設定を送信することができます。また

はアイコンをダブルクリックして TheGreenBow IPSec VPN Client を起動します。

重要：

フェーズ 2 をエクスポートする際には、関連するフェーズ 1 もエクスポートされます。し

たがって、フェーズ 1 で証明書を定義した場合、それもエクスポートされます。フェーズ 2 をエクスポートする際には、グローバルパラメータもエクスポートされます。



6.9.4 IPSec VPN Clientセットアップに自分のVPN設定を埋め込む既存の設定を設定に含めることも可能です。これにより、管理者は設定済みのVPN IPSec VPN Client IT IPSec VPN Clientソフトウェアをつのパッケージにして企業の全ユーザにデプロイすることができます。1

6.9.5 6.9.5. デモ版VPN設定 IPSec VPN Client 設定は、デモ版 VPN 設定を装備しています。これにより、IPSec VPN Client ソフトウェアがインストールされ次第 TheGreenBow デモサーバへのトンネル設定が可能となりま

す。ご自分のコンピュータからリモートネットワークにトンネルが設定できるかどうかのテスト、或いはデバッグの確認のためにも、非常に便利な機能です。デモ版VPN設定は弊社ウェブサイトでご覧いただけます。 www.thegreenbow.com/vpn_faq.html#VPN19

http://www.thegreenbow.com/vpn_faq.html#VPN19



7 デプロイメント

7.1 組み込みVPN設定

IPSec VPN Client Setup(解凍済、弊社ホームページの”Deployment Guide 参照”)に組み込まれた

VPN 設定の”.tgb”ファイルは、ソフトウェアのインストール中に IPSec VPN Client により自動的

にインポートされます。 VPN 設定により setup を作成する手順は以下のとおりです。

1. Setup に組み込まれる VPN 設定を作成します。VPN 設定(例：”myconfig.tgb”)のエクスポ

ート元である、インストール済みの IPSec VPN Client から作成する必要があります。 2. サイレントインストールを実行するか、IPSec VPN Client Setup を解凍します。 3. 解凍した Setup のディレクトリに VPN 設定(例：”myconfig.tgb”)を追加します。 4. ユーザにパッケージをデプロイします(VPN 設定は設定中に使用されます)。

きわめて重要：Setup はインポートできません。また、暗号化した(保護された)VPN 設定は使え

ません。VPN 設定を作成する際は、暗号化せずに(パスワードで保護せずに)エクスポートして

ください。

7.2 設定オプション

7.2.1 設定オプション概要

IPSec VPN Client Setupには、以下のようなオプションがあります。 1. GUI モードの設定：[フル] [ユーザ] [隠れ] 2. パスワードによる GUI モード接続制限の保護 3. シストレイメニューアイテムの設定 4. その他のオプション：ソフトウェアの起動、ライセンス番号、ソフトウェアの自動有効

化、トライアルウィンドウ無し、言語、有効化電子メールシンタックスの例： setup.exe –s –license=0123456789ABCDEF0123 –start=boot [email protected]

きわめて重要：全てのスイッチ(’--guidefs’、’--menuitem’、 ’--license’、 ’--start’、 ’--activmail’、 '--password'、'-- autoactiv'、'--noactiv'、'--lang')は、’/s’スイッチ(サイレン

トインストール、大文字と小文字の区別)でのみ使用できます。

詳しくは、弊社ウェブサイトの[デプロイメントガイド]をご覧ください。



7.2.2 GUIモードの設定オプション

シンタックス：--guidefs=full|user|hidden IPSec VPN Client 起動時の GUI の表示について定義します。 “full＝フル”：[デフォルト]設定パネルが表示されます。 “user＝ユーザ”：接続パネルが表示されます。 “hidden＝隠れ”：VPN 設定パネル、接続パネルとも表示されず、シストレイメニューのみが開

きます。トンネルはこのシストレイメニューから開くことができます。注意： --vpngui=hiddenは、 --hide=yesオプションと同じです。このオプションもまだ使用できます(互換性の関連)。 --guidefs=hiddenの使用例

7.2.3 GUIモード接続制御の設定オプション

シンタックス：--password=mypwd パスワード入力により[設定パネル]への接続を制限します。詳細は、[接続制御および隠れイン

タフェース]の項を参照ください。次の場合、ユーザはパスワード入力を求められます。

VPNシストレイアイコンをクリック／ダブルクリックした場合接続パネルから設定パネルに切り替えようとした場合

例：--guidefs=user --password=admin01

この 2 つのオプションにより、IPSec VPN Client は[接続パネル]モードのみに固定されます。[設



定パネル]への接続にはパスワードが必要です。

7.2.4 シストレイのメニューアイテムの設定オプション

シンタックス： --menuitem=[0…31] IT 管理者が保存したいシストレイメニューアイテムを指定します。値は'ビットフィールド'です：1=Quit, 2=Connection Panel, 4=Console, 8=Save&Apply, 16=Configuration panel, Default is 31: All menus. 例：--menuitem=5 は、シストレイメニューのアイテムを設定します：Quit + Console 重要1：トンネルは常にシストレイメニューに表示され、シストレイメニューからの開閉が可能です。重要 2：’menuitem’と’guidefs=hidden’ デフォルトでは、guidefs=hidden は Quit + Console でシストレイメニューアイテム一覧を設

定します([保存と適用]および[接続パネル]は非表示)。ただし、’menuitem’は’guidefs’に優先し

ます。つまり、”--guidefs=hidden --menuitem=1”は’Quit’アイテムのみでシストレイメニューを設

定します。

7.2.5 その他の設定オプション

その他の設定コマンドライン用インストールパラメータは以下のとおりです。シンタックス: /S (”S”の前にはスラッシュ 1 本、大文字と小文字を区別) 使用目的: サイレントインストールを可能にします(インストールの際、ユーザにダイアログを

表示しない)。例: “TheGreenBow_VPN_Client.exe /S” シンタックス: /D=[install path] (“D”の前にはスラッシュ 1 本、大文字と小文字を区別) 使用目的: [install path]により、ソフトウェアのインストール先を指定します。なお、パスにス

ペースがあっても引用符は使いません。注意: このオプションはオプション ”/S”(サイレントモード)との併用が必須です。また、他のオ

プションがある場合は後のオプションとしてコマンドラインの後に置きます。シンタックス：--license=[license_number] ライセンス番号の設定ができます。ライセンス番号は 24 の 16 進文字から成っています。以前

のライセンス番号は 20 の 16 進文字で構成されていました。



シンタックス：--start=[1|2] ログオンウィンドウ表示後または手動で[1] [2] VPN Clientの起動モードが設定できます。デフォルトではに設定されています。[1] シンタックス：--activmail=[activation_email] 有効化確認用の電子メールが指定できます。有効化プロセスの間、電子メール入力用ボックス

は無効になります。シンタックス：--autoactiv=1 ソフトウェアを更新する場合（ライセンス番号とおよび有効化電子メールが前回インストール

時に入力されている場合）に--autoactiv=1 オプションが追加されると、ネットワークにつなが

っている時はソフトウェア起動時に、つながっていない時にはトンネルの構築が要求された時

に、ソフトウェアが自動的に有効化を試みます。シンタックス：--noactiv=1 1 度ソフトウェアが起動すると、ソフトウェアの試用期間中は[トライアルウィンドウ]が表示さ

れません。したがって、ユーザはソフトウェアが試用期間中であることを知らず、試用期間が

終わるとソフトウェアは使えなくなります。試用期間終了後にユーザがソフトウェアを起動す

ると、[トライアルウィンドウ]が開きますが、[評価できます]ボタンは無効です。



シンタックス：--lang=[language code] TheGreenBow IPSec VPN Client ソフトウェアとインストールソフトウェアの言語を指定します。

以下の言語が使用できます。

ISO 639-2 コード言語コード英語名

EN 1033 (ディフォルト) English

FR 1036 French

ES 1034 Spanish

PT 2070 Portuguese DE 1031 German

NL 1043 Dutch

IT 1040 Italian ZH 2052 Chinese simplified

SL 1060 Slovenian

TR 1055 Turkish PL 1045 Polish

EL 1032 Greek

RU 1049 Russian

JA 1041 Japanese FI 1035 Finnish

SR 2074 Serbian TH 1054 Thai AR 1025 Arabic HI 1081 Hindi 例： TheGreenBow_VPN_Client.exe /s --license=0123456789ABCDEF0123 - -start=2 [email protected]



7.3 コマンドライン

7.3.1 コマンドラインのオプション

いくつかのコマンドラインがあります。管理者がIT IPSec VPN Clientを必要に応じて他のアプリケーションとの統一性を調整するために使用されます。

▢ IPSec VPN Client の停止 ▢ VPN 設定のインポートまたはエクスポート ▢ VPN トンネルの開閉

詳しくは、弊社ホームページの[デプロイメントガイド]をご覧ください。(http://www.thegreenbow.fr/doc/tgbvpn_ug_deployment_en.pdf).

7.3.2 VPNトンネル開閉のオプション

TheGreenBow VPN Client では、VPN トンネルがコマンドラインで開閉できます。どちらのコマ

ンドラインも TheGreenBow IPSec VPN Client 稼働中に起動できます。

”[path]\vpnconf.exe /open:[phase1-phase2]” ([path]は VPN Client のインストール

ディレクトリ、[phase1-phase2]は VPN 設定ファイルでのフェーズ 1 および 2 の名称)

そのトンネルが既に開いている場合、このコマンドラインは無効です。

”[path]\vpnconf.exe /close:[phase1-phase2]” ([path]は VPN Client のインストー

ルディレクトリ、[phase1-phase2]は VPN 設定ファイルでのフェーズ 1 および 2 の名称)

そのトンネルが既に閉じている場合、このコマンドラインは無効です。

”open”も”close”も独占的で、併用はできません。

制限事項:

• 以上のコマンドラインを起動すると、ソフトウェアのグラフィカルユーザインタフェー

ス(GUI)が起動します。今後のソフトウェアバージョンではこの制限を設けない予定です。

http://www.thegreenbow.fr/doc/tgbvpn_ug_deployment_en.pdf



7.3.3 IPSec VPN Clientの停止：”/stop”オプション TheGreenBow VPN Client は、コマンドラインにより随時停止できます。 “[path]\vpnconf.exe /stop”：[path]は IPSec VPN Client のインストール先開いているトンネルがいくつかある場合は、全て正しく閉じます。このコマンドラインは、例えば、ダイアルアップ接続後あるいは切断直前に VPN Client を起動

するスクリプトとして使用できます。

7.3.4 VPN設定のインポート／エクスポートオプション TheGreenBow VPN Client は、コマンドラインにより特定の設定をインポートできます。 “[path]\vpnconf.exe /import:[file.tgb]”：[path]は VPN Client のインストール先。

[file.tgb]は VPN 設定ファイル。このコマンドは関連するパス(例：”..\..\file.tgb”)を扱い

ません。二重引用符は、パスにスペースが含まれることを示します。 “ /import:”は、VPN Client が起動中かどうかに関わらず使用できます。VPN Client が起動し

ている場合は、新規設定が動的にインポートされ、自動的に適用されます(IKE サービスをリス

タートします)。VPN Client が起動していない場合は、新規設定で起動します。 “/importonce:”は、VPN Client が起動していなくても VPN 設定ファイルをインポートします。

このコマンドはインストールスクリプトにおいて特に便利です。サイレントインストールを実

行し、設定を自動的にインポートします。 “/export:”は、既存の VPN 設定(証明書を含む)を特定のファイルにエクスポートします。

VPN Client が起動していない場合は、自動的に起動します。 “/exportonce:”は、既存の VPN 設定(証明書を含む)を特定のファイルにエクスポートします。

VPN Client が起動していない場合は、起動しないままです。 “/add:”新規 VPN 設定を既存の VPN 設定にインポートし、1 つの VPN 設定に統合します。こ

のコマンドラインは、VPN Client が起動中かどうかに関わらず使用できます。VPN Client が起

動していない場合は、起動しないままです。 “/replace:”は、既存設定を新規設定に置き換えます。これは 4.1 以前のバージョンで有効で、

VPN Clientが起動していなくてもVPN設定ファイルをインポートしたい時に/importonceオプシ

ョンの代わりに使用できます。 “/pwd:[password]”は、インポート作業のためのパスワードを設定します。このオプション



は /import、/importonce、/export、/exportonce、/add、/replace と併せて使用

できますが、これらのオプションの後に置く必要があります。上記”import”、”importonce”、”export”、”exportonce”、”add”、”replace”の 6 つは全て排他

的で、組み合わせて使用することはできません。

7.4 新規ATRコード(スマートカード)への対応 TheGreenBow VPN Clientは、常にトークンやスマートカードベンダーから入手可能なATRコード

の新リストを保有しています。しかしながら、新規ATRコードは日々生まれるため、この機

能により次のソフトウェアリリースを待たずに新規ATRコードを追加します。 TheGreenBow VPN Clientは、「vpnconf.ini」と呼ばれる初期化ファイルで新規トークンATRが公表され次第、それらに対応可能です。この「vpnconf.ini」ファイルはテキストファイルで

あると同時にtgbike.exeと同じインストールフォルダに保存されている必要があります。以下「vpnconf.ini」ファイルのシンタックスです。 [3B:65:00:00:9C:02:02:07:02] mask="FF:FF:00:00:FF:FF:FF:FF:FF" scname="My token" manufacturer="Token Manufacturer" pkcs11DllName="pkcs11.dll" registry="HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\TgbIke.exe:DllPath" [3B:65:00:00:9C:02:02:07:03] mask="FF:FF:00:00:FF:FF:FF:FF:FF" scname="My token2" manufacturer="Token Manufacturer" pkcs11DllName="pkcs11.dll" registry="HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\TgbIke.exe:DllPath" パラメータは以下のとおりです。 [atr] トークンATRコード。複数のATRコードを分離するデリミター。 mask トークンマスクコード。 scname トークン名 manufacturer トークン製造者名 pkcs11DllName PKCS#11 ミドルウェアファイル registry DLLの詳細パスを指定するレジストリでの値



注意: PKCS#11 DLL(ここではpkcs11.dll)がc:\windows\system32\に無い場合、「レジストリ」を設

定する必要があります。重要: レジストリはDLLの詳細パスを指定するレジストリでの値で、シンタックスは、

HKEY_LOCAL_MACHINE:<registry key>:<value in the registry key>です。例えば、”C:\Program Files\TheGreenBow\TheGreenBow VPN\pkcs11.dll”のコンテンツの値”DllPath”が ”HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\TgbIke.exe”に作成された場合、レジストリラインは以下のようになります。 ”HKEY_LOCAL_MACHINE:SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths\\TgbIke.exe:DllPath”



8 コンソールとログ

8.1 コンソールウィンドウ

[コンソール]ウィンドウは、シストレイアイコンのメニューから或いは設定パネルの[コンソー

ル]ボタンから開くことができます。このウィンドウにより VPN トンネルが分析できます。IT管理者がネットワークを設定する際、特に有効です。

ボタン説明保存現在のログをファイルに保存します。以降のログは選択ファイルに保存さ

れません停止ログの収集を開始／終了しますクリアコンソールウィンドウの内容を消去します。 IKEのリセット IKE プロセスを再スタートします。



9 ソフトウェアのローカル化

IPSec VPN Client のローカル化(L10N)が第三者企業によっても可能になりました。VPN Client で使用されるストリング全てが翻訳ツールにリストアップされており、既に翻訳可能です。ステップ 1：弊社ホームページから VPN Client 翻訳ツールをダウンロードします。ステップ 2：ストリングスをご希望の言語に翻訳します。ステップ 3：翻訳した VPN Client ストリングファイルを弊社担当部署へ返送します。 [email protected] ステップ 4： IPSec VPN Client の一般用(GA)製品の次回バージョンに、お客様の言語を含める

ようにいたします。ご協力いただいた方々については、弊社ホームページをご覧く

ださい。全ての翻訳プロセスは以下でご覧いただけます。 www.thegreenbow.com/vpn_local.html

http://www.thegreenbow.com/vpn_local.html



10 お問い合わせ

新情報および更新：www.thegreenbow.jp 電子メールによる技術サポート：[email protected] 電子メールによる弊社営業部へのお問い合わせ：[email protected]

Secure, Strong, Simple. TheGreenBow Security Software

TheGreenBow IPSec VPN Client - User GuideTheGreenBow...

Documents

Transcript of TheGreenBow IPSec VPN Client - User GuideTheGreenBow...