tl;dr
- 家のYAMAHAのルーターに設定を入れて、会社(固定IP)から家のPCに(比較的安全に)リモートデスクトップ接続ができるようにする。
機器
- ルーター:YAMAHA RTX810。ヤフオクで5000円でした。NVRシリーズ系でもRT/RTAシリーズでもできそう。
- パソコン(192.168.100.2)。
設定方針
リモートデスクトップのポートは 3389。標準のポートは使わないのが望ましい。
Windowsのターミナルサービス/リモートデスクトップ接続のポート番号を変更する によるとRDPのポートも変えられるらしいけど、今回はルーターで変換することにする。今回外側のポートは 9091 にした。(適当)
- ルーターの 9091 に着た通信をLAN側の 192.168.100.2:3389 に転送する。
- リモートデスクトップの接続先は example.auto.netvolante.jp:9091 を指定する。
ルータの設定
- pp 1が接続に使っているppと仮定。
- フィルタのポートはNAT変換後のポートを指定するらしい。(9091じゃなくて3389)
nat descriptor type 1 masquerade ←たぶん既に入ってる
nat descriptor masquerade static 1 1 192.168.100.2 tcp 9091=3389
ip filter 300001 pass 接続元固定IPアドレス 192.168.100.2 tcp * 3389
pp select 1
ip pp secure filter in ~既存の設定~ 300001
DDNS(Netvolante DNS)
Netvolante DNSのホスト名を決めるのにいつも困る・・・と思っていたら、ホスト名を勝手に決めてくれる__auto__というのを最近知ったので使ってみる
pp select 1
netvolante-dns auto hostname pp server=1 on
netvolante-dns go pp 1
- この場合configにホスト名が表示されないので show status netvolante-dns pp 1 コマンドで確認する。
課題・その他
- 接続元のIPアドレスが固定できない場合はL2TP/IPSEC VPNで接続してからRDPで接続しよう。
- 家側でVLAN設定してDaaS用のPCだけVLAN分けるとさらに安全かな。
- 社内ネットワーク管理者様に叱られないようにお願いします;)
- http revision-up go コマンドでリビジョンアップできるのすごく簡単。
- ポートを変えていてもリモートデスクトップを狙ったログイン試行(攻撃)がかなりある。UTMで検知されるまで気づきませんでした。
- パスワードは強固なものにする。
- できれば接続元のIPアドレスを絞る。
- UTMはantangleという、家庭用年5000円くらいのを使っているが、Sophos UTM Home Editionなど無償のものもあるので余裕があれば入れるのおすすめです。