- 締切済み
社内LANからインターネットへの接続規制について
社内LANから商用IP-VPN網を経由してインターネット接続しております。 現在、以下の2パターンの接続方法があります。 ■1:ブラウザでProxy設定をした接続(Proxyは商用IP-VPN網内にあり) ■2:ブラウザでProxy設定なし(社内のDNSで名前解決してIP-VPN網へ) ユーザーがProxyを設定しても、しなくてもインターネット接続できる状態です。 全てのPCを■1の経路でしか接続できないように設定し、Proxyが対応していない ポートを使う業務用PCや、Proxyに対応していないソフトを使うPCのみ、■2の経路 を使うような設定を行いたいのです。 どこで、どの様な規制を行うのが妥当なのでしょうか? 物理的な接続は、 [PC]→[ルータ]→[ADSL網]→[IP-VPN網]→[インターネット] です。 よろしくお願い致します。
- freedomxx
- お礼率83% (5/6)
- ネットワーク
- 回答数4
- ありがとう数4
- みんなの回答 (4)
- 専門家の回答
みんなの回答
- holy666
- ベストアンサー率76% (13/17)
端末単位でIPのレンジを分けれるなら permit any other-office-ip/?? permit any proxy-server-ip/32 permit type2-ip/?? any deny any any のような感じで良いんでしょうけど、端末は個人専用なんでしょうか? (このようなフィルタは今回のような事がなくてもポリシーを決め、通信 要件に合わせて書いておく事が会社側視点からは望まれますが) 端末が共用でログイン名で使い分けているとかになってるとかなり 面倒だと思いますけど… 1x認証については 所属するvlanを動的に割り当てる というような 使い方になると思いますが、対応機器が必要になる事や、会社の規模 や技術者のスキルに合致した手法なのか等の検討は必要だと思います。 (設定だけではなくトラブルシューティングまで自分たちで行えるだ けの技術者を抱えて居るなら良いと思いますが)
- holy666
- ベストアンサー率76% (13/17)
proxyの待ちうけを80番以外にしてルータでDestPort80を塞げば Proxyを使う以外に方法が無くなるかと思いますけど、HTTPのみ が対象なのかどうかとかもあるので…
お礼
回答ありがとうございます。勉強になります。 ご説明不足でしたが、ProxyはVPN網内にあり、ベンダーのサービスの1部で利用しているのでカスタマイズ設定等の融通がなかなか利きません。 対象はhttpだけではなく、https、ftp等も含みます。
- 774danger
- ベストアンサー率53% (1010/1877)
PCのIPアドレスが固定であれば、 ・特定のPCのみ外部との直接通信を許可 ・その他のPCは直接通信不可 というアクセスリスト(フィルタ)をルータに書けばいいですが、DHCPで自動割り当てしていたりすると、No.1のかたが書かれているように何らかの方法でPCを識別して通信許可/不可を制御してあげる必要がありますね。 proxyが対応していないポートを使う業務用PCやproxyに対応していないソフトを使うPCと、その他のPCを区別する方法はあるんでしょうか? IPアドレスでフィルタを設定した場合、実はPCのIPアドレスを変えられたらおしまいですけどね......... どこまで真面目にフィルタリングするかにもよりますが、802.1xとか使おうとするとそれなりにいいスイッチを買わないといけません。
お礼
回答ありがとうございます。 やはりルータで規制するのが一般的なのですね。 ■2のアクセス方法で、社内のDNSでインターネットの名前解決を行わないようにしてしまおうかと思ったのですが、あまり一般的ではないのでしょうか。 > proxyが対応していないポートを使う業務用PCやproxyに対応していないソフトを使うPCと、 > その他のPCを区別する方法はあるんでしょうか? 一斉に規制して、申告があったPCのみを規制解除しようと思ってます。
- takizawa-777
- ベストアンサー率37% (6/16)
networkのサイズが分かりませんが dstportによるフィルターを書くか、macでフィルターを書くかですかね。 ただ、ダイナミックなネットワークであればかなり面倒だと思いますので 1xを使うんでしょうね。
お礼
回答ありがとうございます。 ルータの設定で規制する、ということでしょうか。 ルータが拠点ごとにあるのですが、通常は全拠点のルータを設定することになるのでしょうか? 1x、ちょっと調べてみました。認証を使うみたいですね 勉強してみます。ありがとうございます!
関連するQ&A
- 無線LANでインターネット接続ができない(社内LAN)
現象 ****************** 現在、社内LAN内において無線機器を導入してインターネット接続を行っています。 3台ある端末のうち、1台(無線接続)が外部(インターネット)に接続できなくなりました。 何も設定等はいじっていないのですが、まったく外部にアクセスできません。 ・接続形態 100Mbps ---------無線親機------PC1(有線) |------PC2(有線) |------PC3(無線:USB子機接続) この様に接続しております。 ・接続機器 無線親機:AirStation WHR-AM54G54/U 無線子機:AirStation WLI-U2-KAMG54 IPアドレス:固定 サブネットマスク:固定 デフォルトゲートウェイ:固定 DNSサーバー:固定 TCP/IP詳細設定内(DNSサフィックス):入力 インターネットオプション(接続タブ:LANの設定):自動構成スクリプトを使用するに入力 3台とも社内のファイルサーバーやデータベースにはアクセスでき、読み書きもできます。 しかし、無線端末のみインターネットに接続できません。 この無線端末を優先接続に切り替えると、接続できます。 まったく、わかりません。 ************ 試みた対応 ・無線親機、子機のドライバの再インストール ・設定の再設定 ・親機の電源を抜き、放置後再接続 巷で言われている、対応はすべてしたつもりです。 よろしくお願いします。
- 締切済み
- その他(ITシステム運用・管理)
- VPN経由でインターネットがつながらない
環境: Windows10 Pro バージョン1909 OSビルド18363.1016 ノートパソコン(NEC VersaPro) 無線のアクセスポイントはSoftbank Pocket wifi 、スマホのテザリングでも時々試しています。 無線でインターネットにつながっている状態で、VPNのソフト(BIG-IP Edge Client)で社内LANに接続すると、社内LANには確かにつながるのですが、そのかわりインターネットに接続できなくなります。 Proxy設定も何もしていないブラウザーでインターネットを見に行っても、接続がされません。(おなじことをVPN接続の前にやると、インターネットにはつながります。) タスクトレイに出ているネットワークのところにマウスオーバーすると、VPN起動の前からつながっていたネットワークには"インターネットアクセスなし"と表示され、VPNで作られたネットワーク接続には"インターネットアクセス"と出ています。 切り分けるにあたり、このVPNソフトが勝手に作ったネットワーク接続のTCP/IP設定あたりを怪しく思っているのですが、プロパティを見ると社内用のDNSがそこに入っているだけで、実際、そのDNSにはPINGは飛びます。 このTCP/IPのIPv4のプロパティでは、他にどこを疑うべきでしょうか。実際、VPN経由でインターネットにつながった試しがないので、正しい設定が何なのか知りたく思います。 また、そこ以外に設定を確かめるべきところはありますか?(特別な追加設定がいらないところがVPNの良いところだと思うのですが..) ちなみにVPN経由でインターネットにつながらないという事象がWin10では世の中でたくさん出ているようで、その対策としてのWindowsパッチはすべて当てている環境です。(2020/8/15現在のWindows Updateはすべて当てています。) このVPNソフトの提供元に聞いても、VPNのセッションはつながっているので、そこから先はユーザーの社内環境の話になるのでサポートいただけずに困っております。
- ベストアンサー
- VPN
- OpenVPNでの社内LANへの接続について
お世話になっております。 掲題の件につきまして、皆様のお知恵を頂きたく投稿させて頂きました。恐れ入りますが、アドバイスを頂けると助かります。 現在社内にて営業部門より社外でも社内のネットワークにあるデータベースに接続したいとの希望があり、OpenVPNを構築し環境を整えようとしております。何故OpenVPNについては無知なもので、資料などを参考に構築してみたものの、ローカルエリア内では接続の確認は出来たものの、外部から社内ネットワークの接続ではどうしても確立しないようで、頭を抱えています。 下記のようなネットワーク構成の場合、どのような設定が必要になってきますでしょうか。 【現在のネットワーク】 Internet → ルーター → Proxy Server → 社内エリア → データベースサーバ(これに接続したい) 外からは、unnumbered接続を行っていますのでルーターにはIPアドレスがありません。ProxyサーバのWAN側のインタフェースにグローバルIPアドレスが付加されています。 行いたいことは、外部からProxyを通過して、社内にあるデータベースサーバにアクセス出来るVPNを構築することです。 ルーティング・ブリッジ接続ともに行ってみましたが、クライアントからはProxy ServerのグローバルIPアドレスに接続できないとのエラーが表示されています。 Proxyのポートは80を空けていますので、TCPの80ポートでサーバとクライアントの設定をしていますが、接続できていません。 勉強不足が目に見えて恥ずかしく思っていますが、上記のようなネットワークの場合、どのような接続にするべきなのか例をあげて頂けると有難く存じます。 宜しくお願い致します。
- 締切済み
- ネットワーク
- LANカードを 2枚挿して 社内LANとインターネットを 使い分けたい
LANカードを 2枚挿して 社内LANとインターネットを 使い分けたいのですが LANカードを 2枚挿して 社内LANとインターネットを 使い分けたいのですが 普通に 設定していくと 社内側のLANを 有効にすると インターネットに 繋がらなくなります。 インターネット側は 社内の2000サーバーを DNSとして プライベートIPを 自動でもらって デフォルトゲートウェイは ルーターの192.168.11.1に設定してあります。 社内LAN側は IPを 手動で振って、DNSは 2000サーバー ゲートウェイは 空欄に してあります。 社内には 4台PCが あり 2000サーバー以外は XPpro3 を 使っています。 2台共 2枚さしてみましたが やはり 有効の状態だと インターネットに繋がりません。 どなたか 詳しいお方が いらっしゃいましたら ご教授御願い致します。 自分で どうにかしようと 1ヶ月程試みていますが まったく 上手くいきません。 宜しく御願い致します
- ベストアンサー
- その他(インターネット接続・通信)
- 社内LANにつながるけど、インターネットにはつなげない
XPパソコンを社内の有線LANに接続しました。社内LANは閲覧できますが、インターネットの接続、メールの送受信ができません(他のパソコンからはインターネットに接続できます)。どのような原因が考えられますか? 漠然とした情報ですみません。ブラウザはIE、メールソフトはOEでIPアドレスも設定してあります。シマンテックインターネットセキュリティが入れてあります。 またその逆のパターンで、社内のLANは閲覧したいが、インターネットには接続したくない(無駄なインターネットサイトの閲覧・メールの受発信を防止したいため)。どのような設定をすればよろしいでしょうか? IEとOEのアンインストール以外で接続そのものを切断できる方法が良いのですが・・・。
- ベストアンサー
- ネットワーク
- 社内LANに接続できなくなった
ダイヤルアップ接続の設定を試みていたら、設定が変わってしまったのか突然、社内LANに接続できなくなってしまいました。 ネットワーク接続をみると、「ローカルエリア2(デバイス名:Cisco Systems VPN Adapter)」と「ローカルエリア(デバイス名:Intel(R) PRO/100/・・・)」が表示されていました。 ローカルエリア2の方は無効、ローカルエリアの方は「ネットワークケーブルが接続されていません」となっています。(タスクバーのところにPCが2つあるアイコン?のとこに×がついています) LANケーブルもきちんと接続されており、TCP/IPの設定やプロキシサーバの設定なども他のPCと同じ設定になっているのですが、接続できません。しかし、goo等のページはきちんと表示されます。 デバイスマネージャをみると、ネットワークアダプタで「Cisco Systems VPN Adapter」に×がついていました。 なぜ、社内LAN(サーバ等)に接続できないのでしょうか。 考えられる原因や対処法などご教授下さい。。。 OSはWindowsXPです。
- ベストアンサー
- Windows系OS
- 社内LANにおけるインターネット接続共有について
お世話になります。表題の件についてご教示ください。 外部(インターネット接続環境)への共有接続に関してはネットを参考にして、共有接続できることを確認済みです。 今回、社内LANにて同様の設定を行いたいと考えていますが、そもそも可能でしょうか? 社内LANは静的IPが付与された状況です。ネットワークにはWIFIにて接続しています。 アダプタの接続共有を行う際に「インターネットの接続共有を行うとこのコンピュータのLANアダプターによって使用されるIPアドレスは192.168.137.1に設定されます・・・」のMSGBOXが出るます。 静的IPを付与された環境ではここを何とか書き換える必要があると愚行するのですが、考え方が間違っていないでしょうか? 最終的にはWIFIにて接続しているPCの有線LANの差し込み口をハブの様に使用したいと考えています。 何か手掛かりになることでも構いませんのでよろしくお願いいたします。
- ベストアンサー
- ルーター・ネットワーク機器
- 社内でのネット接続について
同様の質問をいくつか見かけたのですが、 いずれも解決できていなかったのでご質問させてください。 ある日を境に、社内のPCでインターネットエクスプローラー(以下IE)のみでしか ウェブに接続できなくなってしまいました。 おそらくproxyサーバの設定か何かが管理者(委託業者)により変更されたのが 原因ではないかと思うのですが、これを回避してFireFoxなど別のブラウザを 使うことはできないでしょうか? それ以外にも、グーグルカレンダーの同期などもできなくなり 非常に不便です。 IEでも「インターネットオプション」の「接続」→「LANの設定」にて 「自動構成」のチェックを外すと、接続できなくなります。 それ故、proxyの設定で何とかできないかなと思っております。 何とか自分で解決できないかと奮闘しているのですが、 どうしてもうまくいきません。 お詳しい方、何卒ご助言をお願い致します。
- ベストアンサー
- ネットトラブル
- LAN接続できるがインターネット接続ができない
過去の質問を検索したのですが同じ状況の方を検索できませんでしたので質問させていただきます。 業務用にサーバーを入れることになりOSセットアップは完了しました。社内LANにあるPCは見え、共有フォルダにもアクセスできるのですがインターネットに接続できません。LAN内の他のPCからは正常にインターネット接続できています。過去の質問No.2253287や3232337を拝見しましてDNSの設定がおかしいのではないかと当たりをつけましたが、ルーターをデフォルトゲートウェイにする設定にしており、設定が間違っているとも思えません。 このような状況についてご経験のある方がいらっしゃいましたらぜひアドバイスをお願いいたします。 【ネットワークの構成】 ADSLモデム-ルーター-ハブ-各PC(サーバーもこの位置にあります) 【サーバーの情報】 OS:Windows Server 2003 Standard Edition R2 (プリインストールではなく、こちらでインストールしました) 機種:Dell PowerEdge840 ping、tracertではIPアドレスを指定すると外のWebページにも繋がりますが、urlを指定するとエラーとなりました。 ipconfig /allでは下記の表示が出ました。 ●Windows IP Configuration Host Name:PC名 Primary Dns Suffix:空白 Node Type:Unknown IP Routing Enabled:No WINS Proxy Enabled:No ●Ethernet adapter ローカルエリア接続 Connection-specific DNS Suffix:空白 Description:ネットワークアダプタ名 Physical Address:物理アドレス DHCP Enabled:Yes Autoconfiguration Enabled:Yes IP Address:192.168.0.xx Subnet Mask:255.255.255.0 Default Gateway:192.168.0.1 DHCP Server:192.168.0.1 DNS Server:192.168.0.1 Lease Obtained:日付と時刻 Lease Expires:上記の2時間後 他のインターネット接続できるPCと比べてNode Type:Unknownとなっているのが違っていたため、マイクロソフトのサイトで調べてレジストリをいじってみたのですが、状況は変わりませんでした。 http://support.microsoft.com/kb/310570/ja("Ipconfig /All"コマンドを実行するとNode TypeがUnknownと表示される)
- ベストアンサー
- その他(インターネット接続・通信)
- 社内(家内)LANにインターネット環境を・・・
現在ある社内LAN環境にインターネット接続を設定しようとしてます。 今の環境は各PCにTCP/IPでIPアドレスを設定(192.168.1.11~)し、メインとなるPC内のデータ共有とこれに接続されてるプリンタを共有してます。 この環境にYahoo!BB ADSLでインターネット接続をしようしてますが、方法がわかりません。Yahoo!BB ADSLの設定方法ではTCP/IPで「IPアドレスを自動的に取得する」に設定するようになってます。 Yahoo!BB ADSLモデムはルータ機能を持った3Gプラスです。 現在の状態はYahoo!BB ADSLモデムから1台のPCに直接接続、他のPCは ADSLモデムからHUBを経由して接続しています。 PCではTCP/IPで「IPアドレスを自動的に取得する」にチェックするとインターネットに接続でき、「IPアドレスを自動的に取得する」のチェックを外しIPアドレスを指定すると社内LANへ接続できる状態です。 社内LANとインターネット両方に接続できる方法を教えてください。
- ベストアンサー
- ADSL
お礼
ご回答ありがとうござます。 社内インフラの管理を担当しているのですが、ルータに関しては業者任せに していたので、あまり知識がありませんでした。 ルータの設定で試行してみます。 その前に、通信機器に関するスキルアップが必要ですね・・・。 ありがとうございました。