技術メモ

＊OpenVPNのネットワーク
OpenVPNによる仮想ネットワーク上での構成は、こんな感じになります。
（ウチの脳内でこうであろうと思っているネットワーク）

             +--=---+
             |Server|
             |(Hub) |
             +--+---+
                |10.8.0.1
    +----=---=--+----=---=--+
    |0.x        |0.x        |0.x
+---+----+  +---+----+  +---+----+
|Client  |  |Client  |  |Client  |
|(vyatta)|  |(Remote)|  |(Remote)|
+---+----+  +----=---+  +----=---+
    |192.168.241.x
    +----=----=--+
    |241.x       |241.x
+---+----+  +----+---+
|開発環境|  |開発環境|
+--=--=--+  +--=--=--+

10.8.0.xのセグメント内に「192.168.241.xセグメントへの出口がある」というのを教え込んであるので、
このセグメントに接続すると241セグメント宛パケットは10.8.0.x内に入ります。
Client(vyatta)はこのパケットを受け取ると、自分の192.168.241.xへそれを流します。
Client(vyatta)の10.8.0.xから192.168.241.x間にはＦＷがあり、ポート番号でフィルタリングしています。
開発環境を使うにあたって必要なポートは3389番（Remote Desktop Protocolの標準？）のみにしています。
開発環境からClient(Remote)は見ることが出来ません。
通信方向（？）としては、OpenVPNからClient(vyatta)への一方通行です（応答はします）。
ファイル転送などをしたい場合、別途オンライン上にファイル転送可能なサーバーを立てなければなりません。
OpenVPN経由では、ファイル転送は認めないことになっています。
241セグメントからは、141セグメント上にある各種ネットワーク設備は使えます。

（注意）
リモートデスクトップはドライブを接続することでファイル転送が出来る機能があるので、
グループポリシー等を調整して拒否するようにしてください。
141セグメント上のネットワーク設備には自由にアクセスできるので、セキュリティーホールになります。
同様にクリップボード共有なども、セキュリティ状況により拒否するようにしてください。

リモートデスクトップによりデスクトップの画面操作のみが出来る　というのが理想です。

＊PPTPのネットワーク
PPTPによる仮想ネットワーク上での構成は、こんな感じになります。
（ウチの脳内でこうであろうと思っているネットワーク）

+----=---+  +----=---+  +----=---+
|Client  |  |Client  |  |Client  |
|(Remote)|  |(Remote)|  |(Remote)|
+---+----+  +---+----+  +---+----+
    |241.x      |241.x      |241.x
    +----=---=--+----=---=--+
                |
           +----+---+
           |Server  |
           |(vyatta)|
           +----+---+
                |
    +----=----=-+
    |241.x      |241.x
+---+----+  +---+----+
|開発環境|  |開発環境|
+--=--=--+  +--=--=--+

信頼できるネットワーク内に存在しているので、ＦＷ等は設定していません。
Windows標準のPPTP接続を使用します。
開発環境の操作は例によってRemote Desktopにて行います。
241セグメントからは、141セグメント上にある各種ネットワーク設備は使えます。

一日あたり一記事としてるので、未来日記になってまいりました。
（記入日23日）
書き溜めしとかないと、忘れるんで。

先に書いておきます。
注意：
　この構成を真似て何か問題が発生しても、当方は責任は取れません。
　あくまでも思考実験のひとつとして捕らえていただけると幸いです。
　この構成を真似る場合、必ずセキュリティの妥当性などの検証を行ってください。

ネットワーク構成図です。
施設は二つに分かれています。

施設Ａ：
　開発者の居る施設です。
　施設Ｂの設備をリモートデスクトップで使用します。
　リモートデスクトップを動かすためのクライアントのみあります。

施設Ｂ：
　開発設備（仮想環境）のある施設です。
　施設Ａのネットワークは見えません。

施設Ｂから施設Ａへのファイル転送などは許可しません。
施設Ａから施設Ｂへのファイル転送などは許可しません。
ファイルはすべて施設Ｂの開発設備（仮想環境）でリモートデスクトップにより閲覧します。

（施設Ａ）

 --=----=--+--=----=----=--=---
 　　　　　|　ISP（非固定ＩＰ）
 　　　+---+----+
 　　　|ルーター|
 　　　+---+----+
 　　　　　|　192.168.120.x
 ----+--=--+--=--=--+--
 　　|　　　　　　　|120.108
 　　|　　　　+--=--+--=---+
 　　|　　　　|クライアント+--=--OpenVPN--=-->
 　　|　　　　+--=----=----+
 　　|120.112
 +---+----+
 |サーバー+<--=--OpenVPN--=--
 +--=--=--+

＊：フレッツ光マンションタイプ契約です。
　　（配電盤から電話線で各家庭へ、のタイプ）
＊：DDNSを使用しています。
＊：ルータ設定は変更できます。
＊：OpenVPNからはリモートデスクトップのみできます。

（施設Ｂ）

 --=----=--+--=----=----=--=---
 　　　　　|　ISP（固定IP）
 　　　+---+----+
 　　　|ルーター|
 　　　+---+----+
 　　　　　|　192.168.230.99
 --=----=--+--=--=---ＤＭＺ
 　　　　　|　192.168.230.100
 　　　+---+----+
 　　　|ルーター|
 　　　+---+----+
 　　　　　|　192.168.141.111
 ----+--=--+--=---+--ＭＺ
 　　|　　　　　　|　141.147
 　　|　　　+--=--+--=---+
 　　|　　　|クライアント+--=--PPTP--=-->
 　　|　　　+--=----=----+
 　　|　141.140
 　　|　+--=--=--+
 　　+--+ＥＳＸｉ|
 　　|　+--=--=--+
 ----+--=---仮想ネットワーク１
 　　|　141.141(Static)
 +---+--+
 |vyatta+--=--OpenVPN--=-->
 |******+<--=--PPTP--=--
 +---+--+
 　　|　241.x(DHCP)
 ----+--=----=----+--仮想ネットワーク２
 　　|　　　　　　|
 +---+----+　+----+---+
 |開発環境|　|開発環境|
 +--=--=--+　+--=--=--+

＊：ISPから141セグメントは見えません。
＊：230セグメントから141セグメントは見せません。
＊：141セグメントから241セグメントは見せません。
＊：ルータ設定は変更できません。
＊：141セグメントからISPへは、すべてのポートが通ります。

このブログツール、ハイフン５つつなげるとコマンド扱いなのねぇ。
なので、間にイコールが挿入されてます。