*OpenVPNのネットワーク
OpenVPNによる仮想ネットワーク上での構成は、こんな感じになります。
(ウチの脳内でこうであろうと思っているネットワーク)
+--=---+
|Server|
|(Hub) |
+--+---+
|10.8.0.1
+----=---=--+----=---=--+
|0.x |0.x |0.x
+---+----+ +---+----+ +---+----+
|Client | |Client | |Client |
|(vyatta)| |(Remote)| |(Remote)|
+---+----+ +----=---+ +----=---+
|192.168.241.x
+----=----=--+
|241.x |241.x
+---+----+ +----+---+
|開発環境| |開発環境|
+--=--=--+ +--=--=--+10.8.0.xのセグメント内に「192.168.241.xセグメントへの出口がある」というのを教え込んであるので、
このセグメントに接続すると241セグメント宛パケットは10.8.0.x内に入ります。
Client(vyatta)はこのパケットを受け取ると、自分の192.168.241.xへそれを流します。
Client(vyatta)の10.8.0.xから192.168.241.x間にはFWがあり、ポート番号でフィルタリングしています。
開発環境を使うにあたって必要なポートは3389番(Remote Desktop Protocolの標準?)のみにしています。
開発環境からClient(Remote)は見ることが出来ません。
通信方向(?)としては、OpenVPNからClient(vyatta)への一方通行です(応答はします)。
ファイル転送などをしたい場合、別途オンライン上にファイル転送可能なサーバーを立てなければなりません。
OpenVPN経由では、ファイル転送は認めないことになっています。
241セグメントからは、141セグメント上にある各種ネットワーク設備は使えます。
(注意)
リモートデスクトップはドライブを接続することでファイル転送が出来る機能があるので、
グループポリシー等を調整して拒否するようにしてください。
141セグメント上のネットワーク設備には自由にアクセスできるので、セキュリティーホールになります。
同様にクリップボード共有なども、セキュリティ状況により拒否するようにしてください。
リモートデスクトップによりデスクトップの画面操作のみが出来る というのが理想です。
*PPTPのネットワーク
PPTPによる仮想ネットワーク上での構成は、こんな感じになります。
(ウチの脳内でこうであろうと思っているネットワーク)
+----=---+ +----=---+ +----=---+
|Client | |Client | |Client |
|(Remote)| |(Remote)| |(Remote)|
+---+----+ +---+----+ +---+----+
|241.x |241.x |241.x
+----=---=--+----=---=--+
|
+----+---+
|Server |
|(vyatta)|
+----+---+
|
+----=----=-+
|241.x |241.x
+---+----+ +---+----+
|開発環境| |開発環境|
+--=--=--+ +--=--=--+信頼できるネットワーク内に存在しているので、FW等は設定していません。
Windows標準のPPTP接続を使用します。
開発環境の操作は例によってRemote Desktopにて行います。
241セグメントからは、141セグメント上にある各種ネットワーク設備は使えます。