SoftEtherVPNによるリモートアクセスの通信制御について

SoftEther VPN に関するご質問はこのフォーラムにお気軽にご投稿ください。
Post Reply
yano
Posts: 3
Joined: Thu Apr 02, 2020 6:25 am

SoftEtherVPNによるリモートアクセスの通信制御について

Post by yano » Thu Apr 02, 2020 6:39 am

いろいろ調査してみましたが、前に進めませんので質問させてください。
SoftEtherVPNを使用して、各スタッフの自宅PCから社内LANにリモートアクセスできるようにしたいと考えています。
ただし、各スタッフの自宅PCから社内LANに実在している各端末へのアクセスは、リモートデスクトップ接続(TCP3389)のみ可能で、その他のアクセス(例:ファイル共有へのアクセスなど)は不可、という風にしたいのですが、どのようにすれば実現できるのでしょうか。
ぼんやりですが想像しているのは、SoftEtherVPNのDHCP機能を使用して、
 社内LAN:192.168.1.XXX
 VPN経由:192.168.3.XXX
のようにセグメントを分割し、192.168.1.XXXと192.168.3.XXX間の通信はTCP3389のみ許可、その他はすべて拒否、のようなことができれば実現できるのではと考えております。
ネットワーク初心者のため、基本的な質問かもしれませんが、ご教示の程よろしくお願いいたします。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: SoftEtherVPNによるリモートアクセスの通信制御について

Post by cedar » Thu Apr 02, 2020 11:28 am

アクセスリスト機能を使用するのが良いと思います。
セグメントを分ける必要はなく、TCPで宛先または送信元ポート番号が3389のパケット以外を破棄する設定ではいかがでしょうか。
ただし、この設定では名前解決の通信も行えないので、社内のPCはIPアドレスで指定する必要があります。

yano
Posts: 3
Joined: Thu Apr 02, 2020 6:25 am

Re: SoftEtherVPNによるリモートアクセスの通信制御について

Post by yano » Tue Apr 07, 2020 11:26 am

ご教示ありがとうございます。

>セグメントを分ける必要はなく、TCPで宛先または送信元ポート番号が3389のパケット以外を破棄する設定ではいかがでしょうか。
添付画像の要領で設定してみましたが、優先順位900の「全ての通信を拒否」を無効にしなければリモートデスクトップ接続できない状況です。
他に許可しなければならないポート等ございますでしょうか。
お手数をおかけいたしますが、ご教示の程よろしくお願いいたします。
image.png
You do not have the required permissions to view the files attached to this post.

yano
Posts: 3
Joined: Thu Apr 02, 2020 6:25 am

Re: SoftEtherVPNによるリモートアクセスの通信制御について

Post by yano » Wed Apr 08, 2020 8:57 am

自己解決できました。
リモートデスクトップの通信は、送信元・送信先のいずれかが50000-59999(くらい?)のポートを使用されるようです。
ありがとうございました。

cedar
Site Admin
Posts: 2070
Joined: Sat Mar 09, 2013 5:37 am

Re: SoftEtherVPNによるリモートアクセスの通信制御について

Post by cedar » Fri Apr 10, 2020 10:02 am

RDP の通信は、TCP の 3389 番ポートのサービスですが、接続を行う側のポート番号は固定されていません。
なので、「宛先または送信元」が 3389 番ポートとなる TCP パケットの許可を行う必要があります。
画像の設定では宛先と送信元の両方が 3389 番ポートの場合のみ許可される設定になっているようです。
RDP 以外のプロトコルについても同じ間違いがあるようで、機能していないと思われます。

Post Reply