各NW間で疎通(RDP)を実現させたい

over様 早速ご回答下さりありがとうございます。 戻り通信の明示は必要ないことや Policy設計時、ログ取得を目的とし禁止ルールを明示する旨、大変勉強になりました。 >SSGをどのように利用しているかによります。 >RDPに限らず、他セグメントとの通信を成立させるのにNATは必須ではなく、 >ルーティングでも成り立ちます。 >他にルーティングポイントがあれば別ですが。 この点、小生の知見乏しく恐縮ですが Sourceアドレスが宛先NWと同一セグメントでないといけないものとの 認識であったためNATの利用が望ましいと思い込んでおりました。 ZoneA以外のNWについては、VPNルータやメディアコンバータから 引き込んだ外部のNWとなります。 今回の目的として、 独立した既存の各NWに対し、ZoneAから保守を目的としアクセスをしたい。 といった理由がありSSGを新規設置するといった経緯がございました。 別途、構成図には記載しておりませんが、 昨今の事情から近々Fortigateを導入し外部NWからFortiClientにてVPNを使用？ Fortigate→SSGを経由し各NWへアクセスする構想もありますので そのための足場づくりという意味合いもございました。 長文となり、大変申し訳ございませんが 以上の内容で注意すべき点や補足事項、その他ございましたら ご指摘いただけますと幸甚でございます。 よろしくお願い申し上げます。

> ZoneA以外のNWについては、VPNルータやメディアコンバータから引き込んだ外部のNWとなります。 ・VPNルータ SSG先にVPNルータがあって、その先に別のNWがあるということですか? ・メディアコンバータ ONUではなく純粋なメディアコンバーターのみを指していますか? どちらにせよ、NW構成(VPN接続構成/方式、ISP契約、拠点間接続サービス、対抗NW機器の構成)によるので、ルーティング、NATどちらが適しているかは回答が難しいです。

over様 小生の拙い説明に対し、 貴重なお時間割いてくださり、ありがとうございます。 現状、SSGは未設置となります。 各NWは独立し現在も稼働しており、保守会社が保守便宜上 VPNルータを設置しているような形となります。 自前保守を目的とし今回SSGの新規設置、NW Aから各NWへの疎通をしたいとの考えです。 VPNルータについて、こちらはNW Cに存在。 外部からのリモート保守用に設置されている状況となります。 そういった意味では、SSGの先に設置されているものではありません。 メディアコンバータについて、こちらは 純粋なMCとなり、NW Dに存在しております。 こちらも、SSGの先にある訳ではなくNW D上で 外部からのアクセス用途として存在しております。 (MC通してローカル環境としての扱い) >どちらにせよ、NW構成(VPN接続構成/方式、ISP契約、拠点間接続サービス、 >対抗NW機器の構成)によるので、ルーティング、NATどちらが適しているかは回答が難しいです。 ありがとうございます。 NW CやDに存在するVPNやMCの対向NWから SSGへの通信は考えておりませんので、 単純にNW Aから各NWへの疎通と捉えておりましたが、 考えが甘かったかもしれません。

確認させてください。 > VPNルータについて、こちらはNW Cに存在。 外部からのリモート保守用に設置されている状況となります。 そういった意味では、SSGの先に設置されているものではありません。 ご掲載頂いている図を見る限り、NW CはSSG以下に配置されています。 > SSGの先に設置されているものではありません。 上記は現在はSSGを設置していないためにこのような表現をされているのでしょうか? それとも、図にご掲載頂いている端末が保守端末で、これに対してRDPができればよく、VPNルータの存在は関与しないことを表現されていますか?

over様 ご質問いただきありがとうございます。 小生の説明、図面が至らず大変申し訳ございません。 >それとも、図にご掲載頂いている端末が保守端末で、 >これに対してRDPができればよく、VPNルータの存在は関与しないことを表現されていますか? ご指摘のとおりとなります。 VPNルータの存在は関与しておらず、 該当の端末に対しRDPを実施したい意図でございます。 汲み取っていただきありがとうございます。 当方の説明が至らないばかり混乱をきたすかもしれませんが、 正確には、RDPしたい該当端末(PC)はL2SWへ配線されており、 同一L2SWに対して、VLANIDを付与する形でVPNルータが接続されております。 今回新規設置するSSGと該当端末の間にL2SWが存在しております。 伝わりますでしょうか... 何卒よろしくお願い申し上げます。

> VPNルータの存在は関与しておらず、該当の端末に対しRDPを実施したい意図でございます。 そうであればNAT必須ではないです。 ルーティングでも実現可能です。 ただし、接続先端末のルーティング設定を変更することができないのであればNATをする必要があります。

早速のご回答ありがとうございます。 目的に対し、ルーティングで実現可能と思われる旨承知しました。 >ただし、接続先端末のルーティング設定を変更することができないのであれば >NATをする必要があります。 解釈が間違っている可能性があるので確認させてください。 接続先端末 = RDP対象となるPC ルーティング設定 = 上記PCのDGW 以上の認識でよろしいでしょうか。 念の為、添付のイメージ図を更新しました。 拙い図面となりますが、現状の構成となります。 よろしくお願い申し上げます。

> 解釈が間違っている可能性があるので確認させてください。 > 接続先端末 = RDP対象となるPC ご認識の通りです。 > ルーティング設定 = 上記PCのDGW 接続先端末からNW Aに対するルーティング設定を追加する必要があります。 DGWは変更することはNGだと思います。

>接続先端末からNW Aに対するルーティング設定を追加する必要があります。 >DGWは変更することはNGだと思います。 対象端末はWin10なのでコマンドプロンプトにてNW Aに対する スタティックルートを追加で記述する必要がある。 との理解でよろしいでしょうか。 重ね重ね、質問ばかりで申し訳ございません。 【追記】一人で納得してしまっているのですが、 ご指摘の内容で調べroute addコマンドにて設定追加可能であることが確認できました。 使用事例なども確認することで理解を深めたいと考えます。