ローカルへのアクセスを完全に禁止したい

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
chikage
Posts: 6
Joined: Wed Nov 02, 2022 4:20 pm

ローカルへのアクセスを完全に禁止したい

Post by chikage » Wed Nov 02, 2022 5:04 pm

現在、宅内のローカルサーバーに接続するためにVPNを立てています。
サーバー管理のため192.168.x.xに接続できるようローカルブリッジを立てています。
そこに、中国へ渡る友人のためのアカウントを作って渡そうと思っているのですが、ローカルへのアクセス権を与えるのも気持ち悪いです。
そこで、ローカルのコンピュータへのアクセス、サーチなどができず、インターネットに出ることのみできるアカウントを作るにはどうすればよいでしょうか。

cedar
Site Admin
Posts: 2204
Joined: Sat Mar 09, 2013 5:37 am

Re: ローカルへのアクセスを完全に禁止したい

Post by cedar » Fri Nov 04, 2022 10:50 am

アクセスリスト機能を使用して、そのユーザーのセッションからルーター以外のプライベートIPアドレス宛てのパケットを遮断するのが良いと思います。
255.255.255.255 のようなブロードキャストも禁止したほうが良いかもしれませんが、DHCP や ARP を止めてしまうとやや面倒です。
気になるようであれば、DHCP と ARP だけ通して止めても良いかもしれません。

chikage
Posts: 6
Joined: Wed Nov 02, 2022 4:20 pm

Re: ローカルへのアクセスを完全に禁止したい

Post by chikage » Sat Nov 05, 2022 5:56 am

回答いただきありがとうございます。
255.255.255.255 のようなブロードキャストも禁止したほうが良いかもしれませんが、DHCP や ARP を止めてしまうとやや面倒です。
気になるようであれば、DHCP と ARP だけ通して止めても良いかもしれません。
これについてなのですが、DHCPとARPを通すが他は通さないという設定はどこでやればいいのでしょうか。
また、IPv4の設定は分かるのですが、IPv6については勉強不足なためどのようなルールでブロックすればいいかがわかりません。
アクセスされるとまずいIPv6のアドレスの範囲もよろしければ教えていただけますでしょうか。

cedar
Site Admin
Posts: 2204
Joined: Sat Mar 09, 2013 5:37 am

Re: ローカルへのアクセスを完全に禁止したい

Post by cedar » Mon Nov 07, 2022 4:50 am

すみません、誤解がありました。
ARPについては、IPv4 でも IPv6 でもないので、アクセスリストでは遮断できません。
DHCP については、UDP/67 を通過設定にすれば良いと思います。

IPv6 については、一般に NAT が使用されないのでリンクローカルアドレスを遮断してもグローバル IP アドレスでLAN内の通信も行えてしまいます。
特に必要がないのであれば、セキュリティポリシーですべて遮断してしまうのが安全かと思います。

chikage
Posts: 6
Joined: Wed Nov 02, 2022 4:20 pm

Re: ローカルへのアクセスを完全に禁止したい

Post by chikage » Fri Sep 15, 2023 12:39 pm

1年越しに再挑戦しています。
やってみたところ、VPNに接続している端末のIPアドレスもが遮断される状態で困っています。
現在DNS,ARP,ICMPv4は無条件で通過、192.168.0.0/16を破棄するというアクセスリストを設定中です。
この状態では通信できず、VPN経由で接続した端末のipアドレスを通過にすると通信できるようになります。
おそらくルーターから仮想HUBを通って端末に戻るパケットまでもが破棄されているのだろうということはわかるのですが、それを通すルールの作り方がわかりません。お力添えいただければ幸いです。

chikage
Posts: 6
Joined: Wed Nov 02, 2022 4:20 pm

Re: ローカルへのアクセスを完全に禁止したい

Post by chikage » Fri Sep 15, 2023 1:26 pm

たびたびすみません、自己解決しました。
全てのユーザーが所属するグループを破棄のルールに加えることで、ユーザーに帰ってくるパケットには適用されないようにしました。

Post Reply