はじめに
我が家では家庭内に2つのネットワークセグメントがありますが、これまでセキュリティの観点からセグメント間の通信はできないようにしていました。
そんな中、一部のPC間のみRDPだけ通す必要がでてき、当初ルータの静的ルーティングだけすれば実現できると思っていたのですが、それだけでは実現できず地味にハマったので備忘として実施したことを残しておこうと思います。
※ネットワークについては基礎用語を知っている程度の素人なので、考え方・設定の仕方に誤りがあれば是非ご指摘いただけると幸いです。
ネットワーク構成
変更前のネットワーク図です。
「有線セグメント」と「WiFiセグメント」を分けています。
この度、
PC-Note1 → PC-desktop1
へRDP接続する必要がでてきたので、それを実現したいというのが要件です。
※補足
ルータA:TP-link
ルータB:NEC(Aterm)
PC:全てWindows
やったこと
1.各機器のIPを固定
各セグメント内のIP、ルータの外側IPはDHCP/自動割てでIPが設定されていますが、RDP、静的ルーティングをするために必要最低限の機器のIPは固定しておく必要があるので、以下の機器のIPを固定しました。
- RDPアクセス元PC(Note1)のIP
- RDPアクセス先PC(Desktop1)のIP
- ルータBの外部IP
2.静的ルーティング
「WiFiセグメント」から「有線セグメント」への通信はルータBに飛ばしあげる必要があるので、ルータAに静的ルーティングを設定しました。
<設定内容>
192.168.11.0/24 GW 192.168.1.30
3.ルータのIPフィルタ設定
ここがかなりハマったところなのですが、ルータでは外から内の通信は原則遮断されているので、外から内へ通信するためには通信を許可する必要がありました。
設定方法についてはルータによって異なるものだと思いますが、Atermルータでは「IPフィルタ」機能で該当の通信を許可しました。
<設定内容>
- 方向:In
- プロトコル:TCP
- 送信元:192.168.1.5
- 送信元ポート:any
- 宛先:192.168.11.5
- 宛先ポート:RDP用ポート
4.セキュリティソフトFW設定
ルータBのIPフィルタ設定で通信を許可することで、有線セグメントのGWにPingが通るようになった(※)ので「いけた!!」と思っていたのですが、ここからも長い戦いでした。。
(※)疎通確認時は宛先ポートはanyとして確認した
GWにPingは通るが、Desktop1にはPingは通らない(RDPもダメ)。
考える限りルータ側の設定は問題ないはずなので、問題は有線セグメント内のことだと当たりをつけ考えていたところ閃きました。
「PC側にFWあるやん。。。」と。
まさしくこれが原因で、Desktop1にインストールしているセキュリティソフト(この端末はESET Internet Security)のFWで、Note1からのRPD通信を許可してあげると無事RDP接続できるようになりました。
<設定内容>
- 方向:In
- プロトコル:TCP/UDP
- 宛先ポート:RDP用ポート
- 接続元IP:192.168.1.5
Tips
- 疎通確認には Windows標準コマンドの「tracert」と「Ping」で確認していたのですが、両コマンドともポートを指定できるものではないので、IPフィルタ/FW設定絡みで疎通確認をすることはできません。
ポートを指定して疎通確認をする場合は、PowerShellの「Test-NetConnection」コマンドを使うとポートが指定できるのでとても便利です。
Test-NetConnection [ターゲット] -Port [ポート番号]
最後に
無事やりたいことができて良かったですが、自分のネットワーク知識の無さに危機感しか感じない現状を目の当たりにしたので、専門職の方とお話しできる程度には基礎知識をつけていこうと思います。