質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.44%
Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

ファイル

ファイルとは、文字列に基づいた名前又はパスからアクセスすることができる、任意の情報のブロック又は情報を格納するためのリソースです。

コピー

元のオブジェクトを破壊することなく、オブジェクトの複製を生成することをコピーと呼びます。

Q&A

3回答

3373閲覧

VPNリモートアクセス環境の設定について

Masashi_Ikuz

総合スコア15

Windows 10

Windows 10は、マイクロソフト社がリリースしたOSです。Modern UIを標準画面にした8.1から、10では再びデスクトップ主体に戻され、UIも変更されています。PCやスマホ、タブレットなど様々なデバイスに幅広く対応していることが特徴です。

VPN

VPN(Virtual Private Network)は、仮想プライベートネットワークとも呼ばれ、インターネットに接続してるユーザー間に仮想的な通信トンネルを構築した組織内ネットワークです。認証や暗号化を用いて通信経路を保護し安全なネットワークの構築ができます。

ファイル

ファイルとは、文字列に基づいた名前又はパスからアクセスすることができる、任意の情報のブロック又は情報を格納するためのリソースです。

コピー

元のオブジェクトを破壊することなく、オブジェクトの複製を生成することをコピーと呼びます。

0グッド

0クリップ

投稿2020/12/16 23:19

自宅PCからVPNルータを経由して事務所PC(Windows)及び共有NASにアクセスを考えています。

 <条件>
①事務所には複数台の端末があり使用者で分けている。
②事務所PCのアプリを使って作業するため、Windowsリモートデスクトップを使用する。
③Windows エクスプローラーでのVPNリモートアクセスはしないので使用制限をかけたい。
④事務所には共有NASが1台ある。Windowsリモートデスクトップ経由で事務所PCを操作してNASにアクセスする。
⑤自宅PCへファイルコピーは禁止


<確認事項>
③の設定をどうやって実現しようか考えています。

(1)Windows エクスプローラの使用をさせない方法があれば教えてください。
(PCの場合は、接続先PCのグループポリシーでしょうか?その場合NASは難しいですかね)

(2)(1)が難しい場合、接続先PC及び共有NASのファイルアクセス制限になると思います。
拒否することで、Windows エクスプローラー経由でのファイルアクセスは不可、
Windowsリモートデスクトップ経由(事務所PC)でのアクセスは可、みたいなことはできますか。

  可能であれば、設定方法の参考ページがあれば教えていただきたく。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

y_waiwai

2020/12/16 23:22

3の意味がちとわかりません。 自宅PCからエクスプローラを使わないでリモートアクセス?
Masashi_Ikuz

2020/12/18 01:21

すみません。  VPN接続時に、PCへのアクセスはWindows リモートデスクトップ機能を使用するので、  Windows エクスプローラーによるアクセスは制限をかけたいという意味です。
kaz.Suenaga

2020/12/18 04:56

要するにVPNかどうか関係なく、「外部から個別のPCにリモートデスクトップ接続のみ可能な環境」としたい、というように見えるのですが、要件はそういうことでしょうか。
Masashi_Ikuz

2020/12/22 06:03

>kaz.Suenaga その通りです。
guest

回答3

0

■要件として
1、社内PCからNASアクセスはOKなので、社内PCへのリモートデスクトップ接続はOK
2、リモート端末で直接エクスプローラ(SMB接続)はNG
と理解しました。

■ルータでのVPN接続の方法をどんなものをお考えか不明ですが、
例えば、L2TP/IPsecで接続させるのであれば、
リモートクライアントPCに払い出すIPアドレスは指定できると思います。
NASへのアクセス許可/不可リストが作成できるのならば、
払い出しIPでのNASへのアクセス不可など設定されたらいかがでしょうか?

■yamaha routerの場合ですが、
L2TP/IPsecでの払い出しIPの指定の仕方が下記ページにあります。

https://network.yamaha.com/setting/router_firewall/vpn/vpn_client/vpn-smartphone-setup_rtx1200#config2

■VPNルータやNASでアクセス制御が難しい場合
他の方の回答にもありましたが、
リモートデスクトップアプリを利用するのもよいかと思います。
Team Viewerなど

https://www.teamviewer.com/ja/

参考になれば幸いです。
的外れならば申し訳ありません。

投稿2021/02/27 01:46

SiriusF

総合スコア2

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

VPNを利用する想定の場合

どのような方式のVPNを利用するかにもよりますし、ネットワーク構成をどの程度工夫できるのかにもよるので、VPNを前提として

  • RDP接続OK
  • その他のアクセス不可

とするのであれば、VPNの接続先セグメント→利用したいPCのセグメント間のフィルタとして、

  • RDP用ポート開放:通常 TCPの3389番ポートが利用されます
  • その他は拒否

という設定にすることによって解決できる可能性があります。

VPNに関わりなく、RDゲートウェイを利用する場合

VPNは関係なく、外部からリモートデスクトップ接続だけを許すというので良い、とのことでしたのでその方向での回答です。

Windows Serverが必要となりますが、RD(リモートデスクトップ) ゲートウェイという機能が提供されています。
Windows Serverが利用可能であればこれを利用するのが最も要件にあったものになるかと思います。
設定方法等は別途検索していただいたほうがわかりやすい記事が見つかりそうですので割愛させてください。
※Windows10標準のリモートデスクトップ接続クライアントの「詳細設定」タブの「任意の場所から接続する」で設定するような内容です。

その他、別のリモート操作アプリ、サービスを利用する場合

RDゲートウェイの準備が難しい場合、

やそれをベースとして現在無料開放中の

などを検討してもよいかもしれません。
その他、

など別のリモートデスクトップサービスなどの検討もありえそうです。

こんな記事があったので参考になるかもしれません。
【2020年版】リモートアクセスサービス おすすめ14選を徹底比較

投稿2020/12/22 11:52

kaz.Suenaga

総合スコア2037

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

③Windows エクスプローラーでのVPNリモートアクセスはしないので使用制限をかけたい。
(1)Windows エクスプローラの使用をさせない方法があれば教えてください。

意味が読み解けていないのですが、自宅PCからVPN接続時において、エクスプローラからNASへの接続を制限したいということでしょうか?
そうであった場合、自宅PCへの設定が必要になり、社内システムの範疇を超えていると感じています。
自宅PCは会社貸与のものなのでしょうか?
なお、設定については「エクスプローラ 非表示 グループポリシー」で検索すればご期待のサイトが見つかると思います。

(2)(1)が難しい場合、接続先PC及び共有NASのファイルアクセス制限になると思います。

そのNASがどのようなアクセス制限をできるかによりますが、VPN接続時のIPセグメントは不可にして、社内ローカルネットワークにのみ許可するような設定ができるのであれば可能かと思います。

またはVPNゲートウェイでパケットフィルタするなどの設定も思いつきます。

外部への情報流出を懸念するのであればリモートデスクトップでのクリップボードも禁止にするなどの施策も必要になるでしょう。

投稿2020/12/17 01:20

over

総合スコア4309

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

Masashi_Ikuz

2020/12/18 04:45

>意味が読み解けていないのですが、自宅PCからVPN接続時において、エクスプローラからNASへの接続を制限したいということでしょうか? ⇒ わかりにくくてすみません。ご認識のとおりです。 目的は自宅、ローカルPCへのコピーを制限です。 Windowsリモートデスクトップで、事務所PCに接続してそこからNASに接続できればエクスプローラーによるアクセスは不要 ⇒ アクセスを制限したい ⇒ いっそのこと、エクスプローラーからアクセスさせたくない という発想でした。 >そうであった場合、自宅PCへの設定が必要になり、社内システムの範疇を超えていると感じています。 >自宅PCは会社貸与のものなのでしょうか? >なお、設定については「エクスプローラ 非表示 グループポリシー」で検索すればご期待のサイトが見つかると思います。 ⇒ ありがとうございます。ローカルPCへ側で設定が必要なんですね。現実的ではなさそうです。
Masashi_Ikuz

2020/12/22 06:19

>そのNASがどのようなアクセス制限をできるかによりますが、VPN接続時のIPセグメントは不可にして、社>内ローカルネットワークにのみ許可するような設定ができるのであれば可能かと思います。 → NASの制限について、検討していた製品(Synology)は対応していませんでした。もしオススメ製品があれば教えてください。
over

2020/12/22 06:41

NASで制御するよりFWで制御すべきかと思います。 VPNに対する接続はRDPのみ許可することにすればシンプルかと思います。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだベストアンサーが選ばれていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.44%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問