IKEv2 VPN 接続では、IKEv2 暗号化設定の既定の設定は次のとおりです。
- 暗号化アルゴリズム: DES3
- 整合性、ハッシュ アルゴリズム: SHA1
- Diffie Hellman グループ (キー サイズ): DH2
これらの設定は、IKE 交換ではセキュリティで保護されません。
この接続をセキュリティで保護するには、VPN コマンドレットを実行して、VPN サーバーとクライアントの構成を更新します。
VPN サーバー
Windows Server 2012 R2 以降を実行する VPN サーバーの場合、Set-VpnServerConfiguration を実行してトンネルの種類を構成します。 これらの設定は、すべての IKEv2 VPN 接続に対して有効です。
Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy
以前のバージョンの Windows Server で、 Set-VpnServerIPsecConfiguration を実行します。 がありませんのSet-VpnServerIPsecConfiguration-TunnelTypeで、構成はサーバー上のすべてのトンネルの種類に適用されます。
Set-VpnServerIPsecConfiguration -CustomPolicy
VPN クライアント
VPN クライアントでは、各 VPN 接続を構成する必要があります。 たとえば、Set-VpnConnectionIPsecConfiguration (バージョン 4.0) を実行し、接続の名前を指定します。
Set-VpnConnectionIPsecConfiguration -ConnectionName <String>
IKEv2 暗号化設定の例
次のコマンドは、IKEv2 暗号化設定を 次のように構成します。
- 暗号化アルゴリズム: AES128
- 整合性、ハッシュ アルゴリズム: SHA256
- Diffie Hellman グループ (キー サイズ): DH14
IKEv2 VPN Server
Set-VpnServerConfiguration -TunnelType IKEv2 -CustomPolicy -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PFSgroup PFS2048 -SALifeTimeSeconds 28800 -MMSALifeTimeSeconds 86400 -SADataSizeForRenegotiationKilobytes 1024000
restart-service RemoteAccess -PassThru
既定の IKEv2 設定に戻す必要がある場合は、次のコマンドを使用します。
Set-VpnServerConfiguration -TunnelType IKEv2 -RevertToDefault
restart-service RemoteAccess -PassThru
IKEv2 VPN クライアント
Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -AuthenticationTransformConstants SHA256128 -CipherTransformConstants AES128 -DHGroup Group14 -EncryptionMethod AES128 -IntegrityCheckMethod SHA256 -PfsGroup PFS2048 -Force
既定の IKEv2 設定に戻す必要がある場合は、次のコマンドを使用します。
Set-VpnConnectionIPsecConfiguration -ConnectionName <String - your VPN connection name> -RevertToDefault -Force
ヒント
すべてのユーザー VPN 接続または Device Tunnel を構成する場合は、コマンドで Set-VpnConnectionIPsecConfiguration パラメーターを-AllUserConnection使用する必要があります。