- ベストアンサー
有線LANへの、持込PCの制限
小規模な個人店舗と、隣接する自宅を同一LANで接続しています。ルータはプロバイダから強制レンタルのNEC製WR7610HVです。IP電話を使用する関係で、このルータは外せません。 店舗内には第三者が立ち入ることも多いのですが、わかりやすい場所にハブがあり、持込みのPCを接続される事があります。 これを制限したいのですが、物理的にハブ(LANポート)を隠す以外の方法で、LANケーブルを挿されても接続できないようにする方法を求めています。 今は、簡易的にDHCPをOFFにして、全てのPCを固定IP設定にしていますが、持込みPCがDHCP自動取得になっているととりあえず接続できなくなりますが、手動設定されるとあっけなく破られてしまいます。 無線ならMACアドレス制限等ができますが、有線の場合はこのルータではMAC制限は効かないようです。
- teyawata25
- お礼率18% (6/32)
- ネットワーク
- 回答数11
- ありがとう数5
- みんなの回答 (11)
- 専門家の回答
質問者が選んだベストアンサー
NO.4です。 余剰PCとソフトウェアのみのネットワーク認証ですね? 通信を行う際、WEBブラウザによる強制認証を LDAP、RADIUSゲートウェイで行う仕組みがあります。 利用者は、セキュリティ証明書がインストールされた PCなどから認証画面でID、パスワードを入力し、 認証を通過したユーザー以外はインターネットへの 接続を遮断されます。 これらは、システムの保守と運用がネックになりそうですが、 オープンソースのソフトウェアを組み合わせて構築できると思います。
その他の回答 (10)
- yakinturai
- ベストアンサー率14% (1/7)
NO.4(9)です。 店舗LANからの自宅LANアクセスを遮断するには、 店舗LANのHUBを余剰PCゲートウェイへ置換えます。 紹介したWEB認証のほかにMACアドレスフィルタリングを 併用することで店舗LANの未認証PCはネットワーク接続を 遮断されます。 具体的に説明するとSquidのOpenLDAPモジュールを用いた ユーザー認証+iptablesによるMAC/IPアドレスフィルタリング +WebminからのGUI管理となります。
- Ensenada
- ベストアンサー率44% (484/1090)
細切れの解答、申し訳ありません。 ・ピンク色のLANケーブルはいつでも自分管理の持ち込みPCのため、むき出しにしておきたい。 ・でも他人に勝手に使われるのは嫌だ。 ですよね? 1.)手っ取り早く行うなら、赤い部分を買い足し つまり、LANケーブルの先端に無線LAN APにつなぎ、アクセス制限は無線LAN APの機能(WPA等)で行ってしまう。 WLA2-G54C 実売6,724円~ http://www.amazon.co.jp/gp/offer-listing/B0006L0238/ref=pd_lpo_k2_dp_sr_1?pf_rd_p=466449256&pf_rd_s=lpo-top-stripe&pf_rd_t=201&pf_rd_i=B0000AI0ZB&pf_rd_m=AN1VRQENFRJN5&pf_rd_r=100Z0ZD4A85F43JYPTE0 自分管理下の持ち込みPCに無線LANインターフェースが無ければ、USBを無線LANに変換 2000円くらい http://www.amazon.co.jp/PLANEX-Wi-Fi-USB%E3%82%A2%E3%83%80%E3%83%97%E3%82%BF-%E3%83%9B%E3%83%AF%E3%82%A4%E3%83%88-GW-US54Mini2W/dp/B000KN8QMQ ※型番や規格はもしかして間違えているかもしれませんが、値段や考え方はおなじようなものだと思います。 9000円未満で簡単にできそう。 2.)技術の勉強を兼ねてゆっくり解決するなら、No.4(9)さんの方法。 余剰PC組立 + Linuxで認証サーバーを立てる。 (Windows Server系だと結局OS代金で上の「手っ取り早い方法」以上にお金がかかりそうなので)
補足
わざわざ丁寧な図解ありがとうございます。 出てくる無線機器の型番は見ただけで自分の知識でだいたい想像がつきますので、正確でなくても何ら問題ありません。 揚げ足とる様な言い方で申し訳ないのですが、この方式・・・自分も考えたんですよ。 自分の管理下のノートPCは無線装備済みですし、APはかなり安く買えますし。 ただ、この方式の最大の欠点は、外来者が自由に使える”常設PC”です。これがデスクトップ機とLAPTOP機両方あり、書いて頂いた図のように"HUB"からケーブルでつながっていますから、PC側のLAN端子を引っこ抜くのが容易な状況です。また、現状ではHUBもPCの裏側チョイの位置にあるものですから。 外来者用常設PCも全て無線化すれば概ね対応できますが、No9様の提案方式がやってみたくて仕方ない状況になりました。 ただ自分が引っかかっているのは、FONルータなんです。あんな1980円ぽっちの機器で公開側APからのアクセスは既存LANに影響しないのができるなら、ソフト的対応やルータ設定の類で同様にできるんじゃないかと思えて仕方ありません。 FONがどういう仕組みで既存LANへの制限をしているかが気になって気になって、だれかご存じないですかね。別質問たてた方がいいのかも知れません。 今さっき決意した方針としましては、取り急ぎ(切羽詰まってないのに取り急ぎというのも変ですが)外来者用常設機全部には、どこかに余り物がありそうなUSB無線アダプタ使って無線化して無線APのMAC制限で対応し、確か以前のWindows serverが自宅のどこかにしまってあるハズなので、並行して認証サーバの学習がてらやってみようと思っています。
- Ensenada
- ベストアンサー率44% (484/1090)
No.7です。 前回答の「その他」について 申し訳ありません。有線接続で Radiusサーバー を立てるときは 802.1x有線対応HUB必須だったかも…(結局万単位のお金がかかる) http://atnetwork.info/ccnp5/8021x04.html ↑こんな感じ 詳しいドキュメントがあるのですが、勤め先の社内機密も併記してあるためコピーも持ち出しも出きずこれ以上答えられそうにありません。 m_ _m ただ、 ・必要があるならそこそこのPCを1台用意できる ・質問者さんがネットワークを理解している という条件がわかったので、そのPC+Linuxで解決できる手法をプロの方が回答してくれるとは思います。 VMWareについて 1台余分にPCを用意できるなら VMWareは必要ないです。 ↓気になるだろうので、こんなソフトですというリンクだけ http://itpro.nikkeibp.co.jp/article/COLUMN/20061019/251208/
お礼
VMWareとは仮想PCを構築するものですね。Microsoft VirtualPCを新しいソフトの導入前試験によく使っていますが、これと似たようなものですよね。 それを使って認証サーバを作って、各PCを毎回認証させると、それで別のPCが用意できるなら仮想PC使わなくても認証専用に1台使えばいいからVMWareは要らない、 と、大体こんな感じということですね。 だいぶやりたい事に近づいてきました。いろいろありがとうございます。
- Ensenada
- ベストアンサー率44% (484/1090)
ご質問とやり取りを拝見していると 1. WR7610HVの有線LAN空きポートに勝手に接続されないようにしたい 2. 万単位の金額は出せない 3. 自分の管理化にあるPCは一時的に接続できるようにしておきたい 4. ソフト的解決にしたい 5. ハードウェアの追加は避けたい 6. 1~3さえ解決できれば、特に技術的解決は求めていない。 1.~3.は絶対条件、4~6はできればそうしたい。 と思われます。(6は私の推測です。違っていたらごめんなさい) そうすると No.3の方が回答しているように物理的にLANケーブルを鍵付きにしてしまうのがシンプルだと思います アマゾンで 税込み・送料無料で 4,158円でした。 http://www.amazon.co.jp/%E3%83%97%E3%83%AA%E3%83%B3%E3%82%B9%E3%83%88%E3%83%B3%E3%83%86%E3%82%AF%E3%83%8E%E3%83%AD%E3%82%B8%E3%83%BC-%E9%8D%B5%E4%BB%98LAN%E3%82%B1%E3%83%BC%E3%83%96%E3%83%AB-3m-%E3%83%96%E3%83%AB%E3%83%BC-PTC-LPBU3/dp/B000VV9CJ8 その他、 もしルーターにつなぎっぱなしで常時電源ONでさらにメモリとCPUパワーとHDD容量に余裕のあるPCがあるなら、VMWareとLinuxで仮想PCを作って認証サーバーを立てるという方法も考えられますが…
補足
まとめ頂きありがとうございます。 1番については、WR7610HV本体は第三者が触れる事が困難な場所にありますが、その配下に複数のハブがあり(家庭用の安物ばかり)、そのうちの2台のハブが第三者の目に触れる(手を伸ばせば届く)所にあります。そしそのハブからLANケーブル複数をだしていて、テーブル上の常設PCへつながっているものと普段は何もつながっていないものがあり、そのテーブル上に自分の管理下のPCを一時的につなぐことが多々あります。 常設PCについては第三者の使用が前提で、OSのアカウント制限でほとんど何もできないようにしてあり、OSも月に2度以上入れ直しています(WinXP pro)。 そのため、ハブのポートを物理鍵でロックしても、常設PCから抜かれたらだめかなという感じです。 2番、3番についてはその通りです。 4番については、「きっとソフト的解決ができるだろう。でも自分にわからないから効いてみよう」という発想でした。 5番はやむを得ないとなれば善処しようと思います。 6番は意図が汲み取れませんでした。聞いてるだけで現実には行わないという意味でしょうか。 そういう事ならまんざらはずれでもないですが、今現在で切羽詰まっているわけではなく、持込みPCを容易に接続できる環境で、今後トラブルが発生する可能性があるだろうから、できれば早めに対処しておきたいなという所です。 最後の「その他」がとても気になります。 自作PCをたくさん作っているので、余剰パーツでそこそこのマシンを組めそうです。 「VMWareとLinuxで仮想PCを作って認証サーバーを立てる」というのが自分には漠然としかわかりませんが、自分が求めているのはこういう事だと思います。 同一LAN内にFONルータを設置しています。これの公開側無線からは既存LAN内にはアクセスできないですよね(バグでできるらしいですが、バグフィックスされたという非公式ファームを入れています)。 こういう感じを有線でもできたらいいなと考えています。 *小規模店舗なのですが、いなかなので無駄に面積が広いため、無線で全部カバーすることが困難で、そこら中にLANケーブルを引いています。
- naniwacchi
- ベストアンサー率47% (942/1970)
IEEE802.1X認証がいまのところ一番「堅い」対策になると思います。 ただ、認証サーバも必要となるので、少し運用がやっかいかもしれません。 最近は、レイヤ2スイッチでも MACアドレス認証機能を有するものがでています。 無線LANのものと同様の機能です。 スイッチ自体もそれほど高価でもない価格ですし、 スイッチだけで運用できるところからもお奨めだと思います。
補足
回答ありがとうございます。 やはりハードウェアの追加が避けられないようですね。 できればソフトウェア的制御で済ませたかったのですが。 御指摘のような機器って、万単位の金額出さないとなかなかないですよね。
- camo-tech
- ベストアンサー率27% (25/90)
NWにはあまり知識がないのですが。 素人なりに考えた方法です。 (自宅ではこうしています) 1.DHCPサーバの設定で、接続を許可する範囲を、会社で使っているパソコンの台数にきっちり合わせる 2.DHCPをオンにして、MACアドレスを固定する これで、外部の人がPCを持ち込んで、直接LANに接続し、固定IPを設定したとしても、物理的には接続しても、MACアドレスの不一致で、論理的に接続不可能になるはずですが。 参考になれば幸いです。
補足
私が求めている方法に一番近いご回答ですが、2番の事がこちらのルータではできない様子です。 以前別のところでもっと高機能なルータがあったときに、おっしゃるような方法でうまくできた記憶があります。 持込みPCのMACアドレスの偽装には対応できずですが、それは妥協の範疇としましたが、店内および宅内の台数にDHCP割当数をきっちり合わせても、電源が切れているPCがあると割当数にあまりができてしまいますね。
- yakinturai
- ベストアンサー率14% (1/7)
IEEE802.1X認証、認証VLANと表記のある製品をルーター以下に設置することで解決できます。詳しいことは、お近くにある家電量販店の専門員又は地域の電器店へご相談ください。
お礼
VLAN対応機器導入が現実的っぽいですね。 ソフトウェア的制御でできればいいなと考えていたのですが・・・ ありがとうございました。
>ささっているLANケーブルを抜いて、持込みPC挿されたら・・・ダメですよね (;^_^A 問題無 http://www.princeton.co.jp/product/network/ptclpbu.html URL探せませんでしたが、既に刺さっている普通のUTPを鍵付にするキットもあります ちなみに電源を抜かれると困るとかになると、 ネットワークラックに入れるしかありませんね
- tatsu01
- ベストアンサー率18% (292/1540)
管理設定が出来るハブなら、特定のポートを無効に出来たりするんですが、 >ささっているLANケーブルを抜いて・・・ ということまで考慮する必要があるなら、第三者が触れるところにハブを置くこと自体間違っています。 その場所に置く必要があるなら、鍵付きのケースに入れるしかありません。
>物理的にハブ(LANポート)を隠す以外の方法 なぜこれがだめなんですかね? こんなのが楽だと思いますけど http://www.princeton.co.jp/product/network/ptclpl.html
お礼
>なぜこれがだめなんですかね? 理由は、外部持込みではないPC(こちらの管理下のPC)を一時的に接続する場面が多くあるので、ハブにつながっているLANケーブルの先端を見える位置に出しています。
補足
ご紹介いただいた鍵、 ささっているLANケーブルを抜いて、持込みPC挿されたら・・・ダメですよね (;^_^A
関連するQ&A
- 無線LANと有線LANの共存
Windows MeのPCにて、 有線LAN:サーバー1台と接続 無線LAN:インターネットルーターと接続 を行う必要があります。 無線LANはルーターのDHCPにより TCP/IPアドレスが 192.168.0.2 と振られて、 インターネットが可能です。 但し、有線LANにてサーバーが接続できません。 有線LANの設定をお教えください。 NetBEUIで接続していましたが、ダメなようです。 TCP/IPを追加してもOKです。 以上よろしくお願いいたします。
- 締切済み
- Windows系OS
- 無線LANからインターネットに接続できません。
Corega製CG-WLBARAG2-Pを購入し、早速、無線LANをJampStartで設定して使おうと思ったら、DHCPからプライベートアドレスが取得できませんでした。 もちろんDHCPは有効になっていました。(この状態で放置するとありえないプライベートIPを取得するのですが接続も何もできません。) その後、PC側のIPアドレスを手動設定でDHCP範囲外にしました。 その後は無線LANには接続できるのですが192.168.1.1にPINGをしても反応なしで、まったくインターネットやルーターに接続できません。(LAN側IPアドレスは192.168.1.1です) その後も、PCデータベースでIPをDHCP範囲外で設定し、MACアドレスも入力しましたが相変わらずです。 アクセス制限も無効にしてあります。 有線の状態ではDHCPも普通に割り当てられ、なんの問題もないのですが。。。。 どなたか改善方法がわかる方がいらっしゃったらお願いします。
- ベストアンサー
- その他(インターネット接続・通信)
- ブロードバンドルーターへの有線LAN接続
BUFFALO無線ブロードバンドルーター WHR-G54Sを購入しました。 接続したいPCはWindowsXP(無線)とMacOSX(有線)です。 無線はAOSSで問題なく接続できました。 【MacOSX】 システム環境の設定→ネットワーク→TCP/IP→DHCPサーバを参照とする のですが、DHCPで付与されるIPがBADIP 169.254.. となってしまい、接続できません。 ネットワークユーティリティのinfoを見ると パケットはつねに受信している状態になっていますので 物理的接続はOKなような気がします。 DHCPできちんとIPアドレスを受け取るようにするには どのようなことをすれなよいでしょうか? ご教授ください。 言い忘れましたが、プロバイダはZAQです。 P.S. この度、引越ししまして、以前、同じような状態で使っていたときは MacのLANケーブルをルータに刺しただけで接続できていました。 ZAQのサポートに電話しましたところ通信の状態が確認できているので それ以降の設定はサポート外だと言われてしまいました。
- 締切済み
- その他(インターネット接続・通信)
- 無線LANに侵入された!(長文です)
ルーターに、coregaのWL-BAR11(デバイス名:WB20FC54)を使用しております。bのみの無線LANです。 今、ルーターに接続したら、見たことのない隣の家の苗字がついた名前のPCが無線LAN経由で接続した形跡がありました。しかも、ルーターのパスワードを破った可能性もでてきました。老人が多い地区で、そこまで詳しい人間がいるとも考えにくいのですが・・・ 上のように判断したのは、以下のような理由からです。 0:無線LANには、WEPをかけておらず、MACアドレスによる接続制限のみを使っていた。 1:一度でもDHCPでアドレスを(自動・固定にかかわらず)貸与したことのあるPCのNETBIOS名を記録する仕組みになっている(おそらく) 2:問題のNETBIOS名のPCは、DHCPを固定取得する設定になっていて、DHCPの固定取得設定はルーターの設定を変えないとできない(はず) 3:ルーターには簡単だがパスワードをかけてある 問題なのは2です。2,3から、ルーターのパスワードを盗まれたのでは?と推測しています。 0から、発信はできなくとも、信号の傍受は可能であることがわかります。Etherealなどのツールを使えば、無線LAN経由でルーターに接続したとき、パスワードが流れます。うかつですが、最初にルーターの設定をするとき、無線LAN経由で入ったことがありました。パスワードが流れた可能性も否定できません。 しかし、隣のうちで単に同じIPネットワークで(192.168.1.0)で接続していて、間違ってうちのネットワークに接続して記録された可能性もあります。この可能性は、 a)固定接続設定は、別にルーターに侵入しなくてもできる(勝手になる) b)MACアドレスによる接続選択はしていても、それはIPをブロックするというだけの話で、DHCPは貸与して、接続した記録は残る という場合です。 とりあえず、どうすればよいでしょうか?
- ベストアンサー
- その他(インターネット・Webサービス)
- 特定のMAC1台だけで有線LAN異常
友人の話で、社内LANで、B-フレッツ~ルーター~ハブ経由でMAC、WINを含む十数台のPCを接続していますが、ある日、特定の1台のMAC(ブック型)をLANに接続すると、LAN接続そのものがダウンしてしまうというトラブルが発生したとのこと。このPCを外すと、ルーターの電源を入れ直すことにより正常にLANが復帰します。回線側に質問してもこの切断状態でも、WANまでは正常に動作していて、回線の切断要求も来ていない由。MACのサポートに電話して、MAC本体の設定を正常に接続しているMACに並みの接続設定にしても同じ症状です。このMACのOSは10.5.Xであり、自宅・ホテル等のLANには正常接続が出来るとのことです。ちなみにルーターは、WebCaster720です。IPアドレスにも十分な余裕がある状態で、ルーターの設定を見直しても症状に改善は見られない由。切断時の自動配分IPアドレスは、この1台のMACに残された状態で切れてしまいます。この対策についてのアドバイスをお願いします。
- 締切済み
- ネットワーク
- 無線LAN接続がわかりません!!
BBIQ光でネットをつないでいる1台目のPCに、無線LANカード内臓の2台目のPCを無線でつなげようとしています。 1台目:富士通(XP)NECのAtermWR7610HVで接続 2台目:NEC(Vista)無線LANカード内臓 その他の機器 NECのAtermWR7800H WR7610HVには無線LANカードは入っていません。 電話線が繋がっているのでWR7610HVを外すことはできません。 そこで、WR7610HVとWR7800HをLANケーブルで繋いで、WR7800Hをアクセスポイントモードで動かそうとしたのですが、PCから設定画面を開くとWR7610HVの設定画面になってしまい設定できません・・・。 色々繋げ方を変えて試してみたのですが、WR7800Hの設定画面になってくれません。 なにか良い方法は無いのでしょうか?? 急いでいます。 どうかお力をお貸し下さい・・・!
- 締切済み
- その他(インターネット接続・通信)
- win98PCのLANが接続しなくなりました。
事務所で使ってる、windows98のパソコンのLANが急に接続しなくなりました。 原因を探すために以下の動作を試みました。 1再起動 2LANケーブルをつなぎなおす(外れてるか確認)。 3ルーター、ハブの電源を確認(外のPCはインターネットやプリンタと接続できています) 4pingで外のPC、ルーターに接続。エラーでした。 5デバイスマネージャーで競合デバイスなし。 6winipcfgでIPアドレスとサブネットマスクを確認。 (0.0.0.0になってました) 7ipconfig/allでも同じく0.0.0.0ですが、DHCPサーバーは有効になってます。 ルーターに対して各PCにIPアドレスをふってハブをつなげて、つないでいました。元は光です。 LANケーブルの断線が原因なら、それを特定できる方法はないでしょうか? 今まで使用できていたみたいなので、私はLANか、LANボードか、ハブあたりの故障と思うのですが、どれが原因なのかわかりません。 どなたか良きアドバイスを御願いします。
- ベストアンサー
- その他([技術者向] コンピューター)
- 有線ルータでのMACアドレス制限
有線ルータを購入予定の者です。 仕様は一般的な個人ユースでOKなのですが、 下記の内容が出来る事が条件です。 どなたか、良い製品をご紹介頂けないでしょうか? よろしくお願い致します。 <条件> 有線LANで接続されている複数のPCの中で、 MACアドレスでの接続制限が出来る事です。 ただ、単純に制限をするだけじゃなくで、 制限する曜日・時間などを細かく設定出来る ルーターを捜してます。 <目的> 子供専用PCの深夜などのインターネットへの アクセス制限をPC上以外で行いたい。 上記の事が有線LAN接続で出来るルータはありますでしょうか? (無線LAN機能があってもいいです) 以上、よろしくお願い致します。
- 締切済み
- ネットワーク
- ルーター外したら有線LANでのネット接続ができない
PC親機がイッツコムの有線でのインターネット接続をしていました。ノートパソコンを無線LAN接続したいと思いワープスターのWR8170というルーターを接続していましたが、ノートパソコンが壊れたのを機に取り外しました。 すると、IPアドレスが取得できませんとなって親機のネット接続ができません。改めてルーターを介してネット接続すると繋がります。 http://faq.zaq.ne.jp/faq/1032net/app/servlet/qadoc?002009 などは試して見ましたがダメでした。 何かルーターを設置する際に設定をいじったのかもしれません。 LANケーブル――(有線)――[デスクトップPC] ↓ LANケーブル―(有線)―[ルーター]―(有線)―[デスクトップPC] ................. | ................ (無線) ...............[ノートPC] ↓ LANケーブル――(有線)――[デスクトップPC] 接続できません。(IPアドレス取得できず) ↓ LANケーブル―(有線)―[ルーター]―(有線)―[デスクトップPC] に戻すと接続できます 以上改善する方法を教えて下さい。 XPです、
- ベストアンサー
- その他(インターネット接続・通信)
- 有線LANで接続できない
XPをリカバリしたところ、有線LANが「接続は限られているか利用不可能です」となってしまいます。 IPアドレスは自動取得にし、DHCPは有効にしてあります。 ローカルエリア接続のプロパティの「接続が限られているか利用不可能な場合に通知する」のチェックボックスを外してもだめです。 IPアドレスを自動取得にせず、192.68.1.1にしても接続しません。 ネットワークあだプラ他は「デバイスの状態」によると正常に動作しています。 もう一台のPCでは問題なく接続でき、TCP/IPのプロパティはそれと全く同じに設定されています。 もちろん、もう1台のPCは無線LANを切った状態でも有線LANで問題なく接続できることを確認してあります。 アパートのLAN回線を使用しています。 ルータからLAN線を引っ張ってきています。 ちなみに無線だとネットワークキーを要求されますが、有線では要求されません。
- 締切済み
- ネットトラブル
補足
たびたびすいません。 LDAP、RADIUSというのは言葉だけは聞いたことがあるが意味はちっとも???という状態ですが、No7,8の方の回答と見合わせると認証を行うサーバのシステムの名称(総称 or 一部の名称?)という事ですよね。 >認証を通過したユーザー以外はインターネットへ接続を遮断されます。 これはWANだけでなく認証サーバ以外のLAN内のほかの機器(自宅のPCと、それ以外にもネットワークハードディスク等)へのアクセスも遮断されるのですか。そこが最大の目的なので。 また、認証サーバはLINUXが必須or推奨なんでしょうか。Linuxはちんぷんかんぷんなので、必須となると道のりが険しそうです。 Windowsサーバなら、ほんの少しだけ運用したことがあるのですが。 >これらは、システムの保守と運用がネックになりそうですが その「認証サーバ」の保守・運用が一番の山場と考えていいのでしょうか。 自分の努力と手間時間を費やして対処できるなら、現状で切羽詰まっている訳ではなく、半分以上遊び+興味がメインなのでやってみたいと思います。