いま、政府が推進するテレワーク(在宅勤務)がクローズアップされています。
話題となっている新型コロナウイルスの感染が各地に広がる中、出勤時の人混みなどを避けるため、社員にテレワークを促進する企業が増えたからです。
しかし、「ネットワークの知識ないから無理!」とか、「セキュリティのリスクが心配!」などの理由で諦めてませんか? NTTフレッツ光のひかり電話ルータならVPN接続や、Windows10標準のOpenSSHポートフォワード機能とリモートデスクトップ接続を使えば、あたかも会社にいるようなテレワークが実現できます。
この記事では、Windows10標準のリモートデスクトップの使い方と、私の環境で使っているひかり電話ルータ(RS-500MI)を例にVPN接続でテレワークするためのネットワーク設定を紹介します。
ただし、ひかり電話ルータを使ったVPN接続は、通信が暗号化されてるといっても、ユーザー名とパスワードだけで接続できてしまう簡易的な方法なので、安全とはいえません。
セキュリティを強化するにはOpenSSHで証明書を使った方法をお勧めします。OpenSSHについては次の記事で紹介します。
リモートデスクトップを使うには
セキュリティ向上の設定
リモートデスクトップをインターネット越しに使う場合、そのままの状態ではあまりにも危険です。VPNやSSHを使ったとしても、最低限、接続先(操作を受け付ける側)のポート番号とパスワードのポリシーは変更しておきましょう。
レジストリでポート番号変更
リモートデスクトップのポート番号はレジストリで変更します。レジストリエディタで以下のキーの値を変更します。
HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥TerminalServer¥WinStations¥RDP-Tcp¥PortNumber
このままだとファイアウォールではじかれるので、受信の規則に追加します。
パスワードのポリシー変更
正確にいうとアカウントロックアウトのポリシーですが、ローカルセキュリティポリシーで変更します。
ロックアウトのしきい値は、連続で何回ログオンに失敗したらロックアウトするかを指定します。3回から5回をお勧めします。
ロックアウトカウンターのリセットは、ログオンに失敗した回数をリセットする時間を指定します。30分から1時間が適当だと思います。
ロックアウト時間はロックアウトされてから自動的に解除するまでの時間を指定します。2、3時間が適当だと思います。
接続するには
通常はルータのDHCPサーバ機能で自動的にIPアドレスが振られるので、あまり気にした事がないかも知れませんが、リモートデスクトップで接続するにはIPアドレスを指定するので、DHCPサーバで接続先のIPアドレスを固定する必要があります。私の環境ではフレッツ光のひかり電話ルータのDHCPサーバ機能を使用してるので、Webの設定画面から変更します。
DHCP固定IPアドレス設定
まず、MACアドレスの確認をします。コマンドプロンプトから「ipconfig /all」を入力すれとネットワークの設定情報が表示されます。次のDHCPサーバで指定するので、その中の物理アドレスをメモします。
ひかり電話ルータの「詳細設定」から「DHCPv4サーバ設定」を選択後、「DHCP固定IPアドレス設定」ボタンをクリックします。
「DHCP固定IPアドレス設定」で、適当な行の「編集」ボタンをクリックします。
「DHCP固定IPアドレス設定 エントリ編集」で、先ほどメモした「MACアドレス」と「IPアドレス」を入力して「設定」ボタンをクリックします。
「DHCP固定IPアドレス設定」に戻るので、編集した行の「有効/無効」にチェックを入れて、「設定」ボタンをクリックします。
「Windowsアクセサリ」の「リモートデスクトップ接続」を選択して、図のように「コンピューター」にDHCP固定IPアドレス設定で設定したIPアドレス:レジストリで変更したポート番号を入力して、「接続」ボタンをクリックすると繫がります。
VPN接続でリモートデスクトップ
VPNとは
VPN(Virtual Private Network)は、2つのプライベートLAN(Local Area Network)をインターネットを経由して仮想的に接続する技術です。インターネットを経由しない専用線にくらべコストが圧倒的に安いので多くの企業で利用されてます。プライベートLANの通信をトンネリングという技術でカプセル化した上に、さらに通信自体が暗号化されているのでセキュリティは万全です。
VPNで利用可能なプロトコルはいろいろありますが、フレッツ光のひかり電話ルータのVPNサーバ機能では、L2TP/IPsecを使用しています。接続する方は、Windows10標準の機能でできますが接続先のひかり電話ルータのWAN側アドレスを指定する必要があります。ひかり電話ルータは再起動する度にWAN側アドレスが変わってしまうのでメール通知機能で変更を通知する事ができます。
ひかり電話ルータのVPN設定
VPNサーバ設定
ひかり電話ルータの「詳細設定」から「VPNサーバ設定」を選択すると「VPNサーバ設定」画面になります。「VPNサーバ機能の起動」の「有効」がチェックされていなかったらチェックして「設定」ボタンをクリックします。事前共有鍵の「表示」ボタンをクリックして事前共有鍵を確認してメモします。適当な行の「編集」ボタンをクリックします。
接続名、ユーザ名、パスワードを入力して、「設定」ボタンをクリックします。
「VPNサーバ設定」に戻るので、下の方の「IPアドレス通知設定」ボタンをクリックします。
メアド等を入力して、「設定」ボタンをクリックします。
Windows10のVPN設定
Windows10から接続する時は、あらかじめVPN接続の設定しておけば、あとはタスクバーのネットワークのアイコンから簡単に接続する事ができます。VPN設定は「設定」-「ネットワークとインターネット」-「VPN」を選択すると、VPNの接続先一覧が表示されます。新しく接続先を追加する場合は「VPN接続を追加する」を選択します。
VPN接続設定
「サーバー名またはアドレス」にひかり電話ルータのWAN側IPアドレスを入力、「VPNの種類」は「事前共有キーを使ったL2TP/IPsec」を選択、「事前共有キー」にVPNサーバ設定でメモした事前共有鍵を入力、「ユーザー名」、「パスワード」はVPNサーバ設定エントリ編集で指定したユーザ名、パスワードを入力して、「保存」ボタンをクリックします。
アダプタのオプション
次に「設定」-「ネットワークとインターネット」-「イーサネット」-「アダプタのオプションを変更する」を選択して、追加したVPN接続のプロパティを表示します。「データの暗号化」で「暗号化が必要」を選択し、「認証」の「次のプロトコルを使用する」、「チャレンジハンドシェイク認証プロトコル(CHAP)」をチェック後、「ネットワーク」タブを選択します。
「リモートネットワークでデフォルトゲートウェイを使う」のチェックを外して、「OK」ボタンをクリックします。
タスクバーのネットワークのアイコンをクリックすると接続先の一覧が表示されるので、接続先の「接続」ボタンをクリックすると接続されます。
注意事項
IPアドレスがバッティングする可能性があるため、2つのプライベートLANのサブネットを別にする必要があります。
Windows10の不具合なのか、VPN接続していると突然切れる事が何度かあって、いろいろ調べたのですが、結局原因不明でした。手動で切った時はいいのですが、勝手に切れた場合、再度繋げようとしてもエラーになり、Windowsを再起動しても駄目なので非常にストレスを感じます。スマホからは繋がるので、ひかり電話ルータを再起動すれば繋がるようになりますが、WANのIPアドレスが変わってしまうので、VPNの設定を変更しなければいけないし、他に使っている人がいた場合はいっぱい文句言われます。
再起動する度に他に何かいい方法がないか調べていたところ、SSHのポートフォワード機能を知りました。
冒頭でも述べましたが、ひかり電話ルータのVPN接続は簡易的な方法で安全とはいえないので、次の記事でSSHて証明書を使った方法を詳しく説明します。
コメント