- 締切済み
BHR-4GRV で PPTP サーバー構築
LAN内に共有領域を設置し、LAN外部からこの共有領域にアクセスできるようにし、 かつLAN外部のPCからこの共有領域に対しネットワークドライブを割り当てる事を めざしています。 実際の使用シーンとしては、友人やグループなどが同一のワードやエクセルファイル に対し、添削や加筆を行う、といったイメージです。 これに関し、関連した質問をさせて頂いたところ、LAN外部のPCがLAN内部の共有領域 に対しネットワークドライブを割り当てる機能を持たせるには、LAN内部にVPNサーバ を設置する必要がある、との事でしたので、現在は以下のようなネットワーク構成に 落ち着きました。 <現在のネットワーク構成> KDDIホームGW ルータ兼PPTPサーバ 無線LAN AP 192.168.0.1 192.168.0.254 192.168.2.XXX ┌─────┐ ┌─────┐ ┌─────┐ │ │ │ │ │ │ │ BL900HW ├─┤ BHR-4GRV├─┬─┤ WR9500N │ │ │ │ (DMZ) │ │ │ │ └─────┘ └──┬──┘ │ └─────┘ │ │ ┌──┴──┐ │ ┌───────┐ │ USB HDD │ ├─┤ LS-WX4.0TL/R1│ └─────┘ │ └───────┘ │ BuffaloのNAS │ │ ┌───────┐ └─┤ 自作サーバ │ └───────┘ Webサーバ&DNSサーバ auひかりを使っている関係上、ルーター機能を有するホームGW(ここでは BL900HW)が必須なので、2重ルーターになるのですが、Buffalo の BHR-4GRV という有線ブロードバンドルータをDMZ領域においています。BHR-4GRV には PPTPサーバ機能があるので、これを活用しています。 BHR-4GRV の USB 端子に USB HDD を接続し、上記の共有領域にはこの HDD を 割り当てています。 その後段の NEC の無線ルータ(WR9500N)は、ルータ機能を停止し無線LANの アクセスポイントモードに特化した使い方としています。また WR9500N には Biglobe DDNS 機能をサポートしているので、PPTPサーバー構築の際の DDNS はここで対応しています。 更に、LAN 内部に自作のホームページ公開用の Web サーバ をおいていますが、 ここにはホームページにLAN内部からも http:// 形式でアクセスできるように LAN 内部用のDNS サーバー機能も持たしています。 <現状できているところと解決すべき問題点> (1)BHR-4GRV の PPTP サーバーの設定で、以下のような設定をする。 この時、LAN外部のPCからは問題無くVPN(PPTP)接続が成功する。 (a)サーバーIPアドレス、クライアントIPアドレスとも「自動設定」にする。 (b)DNSサーバーのIPアドレスは、「ブロードステーションのLAN側IPアドレス」 とする。(BHR-4GRV の設定画面では、BHR-4GRV の事をブロードステーション と称している。) (c)PPTP接続ユーザを1つ作成し、「IPアドレス割り当て方法」を 「PPTPサーバー設定の範囲から取得」とする。 (2)BHR-4GRV の 「NAS」設定の「共有フォルダ設定」で、 (d)「アクセス制限機能」は「アクセス制限なし(読取/書込可能)」に設定し、 「Webアクセス設定」は「アクセス制限を使用する」にチェックを入れる。 (3)BHR-4GRV の 「NAS」設定の「ユーザー管理」で、 (e) 上記の(c)で作成したものと同じユーザー名&パスワードで、新しく ユーザー名を作成する。 (4)BHR-4GRV の 「NAS」設定の「共有サービス」で、 (f) 共有フォルダー機能は「使用する」にチェックを入れる。 ブロードステーション名はデフォルトのまま。 (デフォルト値は、APXXXXXXXXXXXX XXはBHR-4GRVのMACアドレス) ワークグループ名はデフォルトの「WORKGROUP」のまま。 (なお、LAN外部のPCのワークグループ名も「WORKGROUP」) この状態でLAN外部PCから、ネットワークドライブの割り付けを以下のように 行うと、「アクセスできません」というエラーが返ってくる。 もちろんLAN内部のPCではこの設定でネットワークドライブの割り当てが できています。 ¥¥(ブロードステージョン名)¥disk1_pt1 文字化けのため¥は全角文字としています。 なお、disk1_pt1 は BHR-4GRV が自動的に付ける名前。(1番目のディスクの パーティション1) 外部PCは、WindowsXP と Windows7 の両方で確認したが現象は変わらず。 いろいろと試行錯誤した結果、以下のような設定をすると WinsowsXP と Windows 7 の両方でネットワークドライブの割り当てができました。 (5)LAN外部PCの Windows ファイヤーウオールを「無効」にし、かつ上記(c)で 「IPアドレス割り当て方法」を「DHCPサーバー設定の範囲から取得」に変更する。 しかし、この場合は、LAN外部PCから、LAN内部のNASに対してもネットワーク ドライブの割り当てができてしまうし、何よりもファイヤーウオールを「無効」 にする事が気持ち悪いと思っています。 そこで、LAN外部PCの Windows ファイヤーウオールは「有効」の状態で、各種 設定(例外設定等)で対処し、かつLAN外部PCからネットワークドライブが 割り当てられるのは BHR-4GRV に接続された USB HDD までとしたい、という 事を実現したいのですが、以上に述べた設定をどのように変更したら良いのか に関し、ご教示をお願いいたします。
- みんなの回答 (45)
- 専門家の回答
みんなの回答
- hirasaku
- ベストアンサー率65% (106/163)
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足確認しました。Yamahaルーターの場合ですが、PPTPクライアントのアクセス制限は、宛先IP形式での指定ではなく、PPTPクライアントの所有IP若しくは、配布IPのDHCP認証でのアクセス制限になります。 参考サイト・・「http://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/」 それと、PPTPやL2TP-VPNを複数トンネルを作成出来ますので、それぞれのセグメント分けでルーティング登録も可能です。 ※VPNトンネル対地数(最大)6拠点。PPTP+L2TP+IPSEC含めて。 PPTP単体で言うと、PPTP複数アクセス用認証設定( Anonymous)とPPTP単一アクセスのみのアカウント設定を作成出来ますが、単一アクセスの方で作成し、PPTPクライアントへのプールするIPの範囲も限定する様に出来ます。このPPTPクライアントの配布IPはリモートアクセス型で設定する場合、DHCP機能と連動しておりますので、DHCP認証でのアクセス制限も併用する形態となります。 参考サイト・・L2TP-VPN「http://jp.yamaha.com/products/network/solution/vpn-smartphone-setup_rtx810_gui/」、PPTP-VPN「http://jp.yamaha.com/products/network/solution/connect/triadic_rtx1200_rt58i/」 上記は、一部RTX1200を含んだ設定例になっておりますが、RTX810やFWX120に置き換えも可能です。
補足
コメントありがとうございます。 コメント頂いた、回答No32~回答No34 に関し、未だ十分内容の確認ができていませんが、BHRの代わりにヤマハ製ルーターを使えば、3重ルーター構成にしなくても、当方が実現したいことが実現可能になるのでしょうか? もちろん最終的には実機での検証が必要ですが、机上検討の結果でもかまいませんので、コメントを頂けないでしょうか? 以上、よろしくお願いいたします。
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足確認しました。アクセス制限が多彩なタイプとしては、依然対話しました、Active-Directory認証を所有サーバに機能設定し、それを元にNASのアクセス制限するしかないですね。NAS自身で自身を隠蔽するような機能が付いている物というのは聞いた事がありません。例外で、ブリッジフィルタ等の機能が付いているNASがあればご希望に沿う形となりますが、ご指定のQNAPの物についても自身でのフィルタ設定でのアクセス制限に留まっておりますので、このフィルタについてはルーターの方でも実装されている物になりますので、意味が無いかと存じます。 ご指定のYamahaルーターの件については、「RTX810」や「FWX120」あたりでしたら、PPTPサーバ若しくはL2TPサーバ構築にて、IPセグメント毎のVPNトンネル・静的ルーティングの設定が可能です。更にVPNクライアント毎のIPアドレス等も含めて、DHCP認証端末機能設定をする事で、許可端末・不許可端末毎の特定セグメント・アクセス制限も可能です。 基本的には、「RTX810」で網羅されておりますが、セキュリティを細かく設定されたい場合には、「FWX120」の方が良いでしょうね。どちらもギガビット・イーサーネット回線接続及びVPNスループットが最大200Mbpsの機材となります。
補足
コメントありがとうございました。 >Active-Directory認証を所有サーバに機能設定し、それを元にNASのアクセス制限するしかないですね。 これは、以前に回答No8で頂いたコメントの事ですね。 自作サーバーにこの機能を入れるには、私自身もう少し勉強する必要があると思っています。 ヤマハのルーターに関し、もう少し教えて下さい。 回答No27の補足欄に記載したとおり、BHR-4GRVの場合は、PPPTP接続ユーザー経路の編集で、PPTP接続ユーザに対し、宛先IPアドレスを 192.168.2.1 サブネットを255.255.255.255に設定すると、 入力項目に間違いがあります。 場所: IPアドレス 内容: 本体のLAN側IPアドレスは指定できません というエラーが出ましたが、ヤマハのルーターはこのような設定ができるのでしょうか? また、このようにPPPTP接続ユーザー経路の編集ができれば、PPTP接続ユーザはUSB-HDD以外の機器(NAS等)にはアクセスできない、という事になるのでしょうか? いつも質問ばかりですみません。 よろしくお願いいたします。
- nnori7142
- ベストアンサー率60% (755/1249)
- nnori7142
- ベストアンサー率60% (755/1249)
追加補足確認しました。HGWにUSB-HDDを接続し、PPTPクライアントのIPを192.168.0.100を充てても、192.168.2.***のNASが見えてしまう訳としてですが、恐らくHGWにUSB-HDDを接続しても192.168.2~のセグメントの端末から参照可能な様に、HGWに静的ルーティング設定をしている為かと存じます。(宅内PCから、HGW接続のUSB-HDDの参照が可能という対策にもなっております) 基本的に2重NAPT環境ですので、静的ルーティング+DMZによる解放が必要ですが、静的ルーティングは相違セグメント間のアクセスを出来るように経路設定をする為の物ですので、PPTPクライアントのアクセス先が192.168.0.100であれば、静的ルーティング経路として、Buffaloのゲートウェイ配下の端末が見えてしまうと想定されます。 PPTPクライアントから192.168.2.***のNASの参照を出来ない様にする方法としては、PPTPクライアントの端末側でネットワーク検索機能を管理ツール等から無効化する、NAS自身にもアクセス拒否の設定をする、その他Buffaloルーター配下に更にルーターを設け、そのルーターにNASの接続を変えるといった方法があります。 Buffaloルーターの配下に更にルーターを設けた場合ですが、192.168.2.***のセグメントと192.168.3.***といった新設ルーターのセグメントのみルーティング設定を、Buffaloルーターに設定する事で、192.168.0.***からのアクセスは不能となります。 サーバが192.168.2.***である場合は、192.168.3.***のNASにはアクセスOK、宅内PCも192.168.2.***である場合も、192.168.3.***セグメントのNASのアクセスはOKとなります。 bUffaloルーターの初期化しても、残留データがある点については、いつもの事で珍しい事ではありません。
補足
コメントありがとうございました。 PPTPクライアントのIPを192.168.0.100を充てても、192.168.2.***のNASが見えてしまう理由が何となく理解できたような気がします。 >PPTPクライアントから192.168.2.***のNASの参照を出来ない様にする方法としては、PPTPクライアントの端末側でネットワーク検索機能を管理ツール等から無効化する、NAS自身にもアクセス拒否の設定をする、その他Buffaloルーター配下に更にルーターを設け、そのルーターにNASの接続を変えるといった方法があります。 私の方(PPTPサーバー側)でできることは、「NAS自身にもアクセス拒否の設定をする」と「Buffaloルーター配下に更にルーターを設け」という事になりますね。 後者は、回答No30のところにもコメントを頂きましたが、以前に回答No6で別の方に頂いたコメントと、基本的に同じですね。 3重ルーターを避けるためには、BuffaloのNASをアクセス制限機能が強化された別のものに変更するしかないように思うのですが(Buffalo NAS はIPアドレスによってアクセス制限をかけられない、と記憶しているので)、具体的にはどのような製品が該当するのか、ご存知でしょうか? (QNAP製の高価なものならば対応していたと記憶していますが。) それと、今までの話は、BHR-4GRVを使う事が前提ですが、例えばお奨めのヤマハ製ルーターの場合には、例えば、PPTP接続ユーザー経路の設定が充実していて、回答No27にあるように、PPTP接続ユーザは、192.168.2.1へ宛先IPアドレスが設定可能、という設定はできないのでしょうか? 以上の点、もしご存じでしたらお願いいたします。
- nnori7142
- ベストアンサー率60% (755/1249)
他の方とのやり取りを拝見しました。マニュアル記載のPPTPサーバのDHCPサーバ機能の有無についてですが、恐らくファームウェアを更新した際に、マニュアル記載事項から変更になっている可能性大ですね。 Buffaloサポートでも、「初期化してみたら」といった回答ですと、自社でも把握されていない事項ではないかと存じますが、把握していない時点で信じがたいメーカーですね。 元々、サポートに苦言があるメーカーでしたが、最終的にこういった形ではないでしょうか? PPTPサーバ機能・Web設定表記に、ファームウェアを更新した時に語記変更され、PPTPサーバ内項目にDHCPサーバが内包され、PPTPクライアント設定項目に、IP受取方法の指定といった語記変更をされたとの事かと存じます。 PPTPクライアント側の設定で、PPTPサーバから受取といった設定ですと、PPTPサーバに仮想DHCPサーバからのIP受取、DHCPサーバからの受取ですと、Buffaloルーター若しくは、宅内DHCPサーバからの受取といった設定、IP手動はクライアント自身での設定といった形への仕様変更があったと想定されます。 それにしても、ファームウェア(1.92)のメーカー・リリースノートにて、「Web設定語記変更」と記載されておりましたが、内容を記載していないので、不親切ですね。 上記、PPTPクライアントの、PPTPサーバからの受取といったケースは、恐らく複数拠点での接続の際に、それぞれの拠点が同一セグメントだった際での、仮想ハブ接続・DHCP環境を考慮しているものと考察されます。(そんな気がしていましたが・・・) 多分、同一ルーター同士のLAN間PPTP接続の際に使われるものではないかと存じます。 ですので、Buffaloルーターを使う限り、PPTPクライアント側でIP受取はDHCPからの受取と同時に、手動設定も恐らくはOKかと存じます。
補足
コメントありがとうございます。 BHRにて、PPTPサーバーの設定項目が、マニュアルと実機で違う件ですが、その後当方で調査した下記の内容をBuffaloに送付しました。(今回実現したい事項に対し、この相違が重要な事なのかどうか、あまり良くわかりませんが。) 現在の状況を大ざっぱに整理すると、 (1)Windowsのファイヤウオールとセキュリティソフトのパーソナルファイヤウオールの関係の確認は当面保留。 → これに付いては外部の友人のPCのセキュリティソフトが何を使っているかも考慮する必要があるので、当面は私の環境(ソースネクスト製のウイルスセキュリティ)で確認を継続。 (2)PPTP接続 → 安定して接続でき問題無し (3)エクセルファイルが開くのが遅い → 本件とは関係無い、既知の問題。 Excel 2003だけの問題で、「Office File Validation Add-In」をアンインストールすれば、遅い問題は回避できた。 (4)外部PCでのネットワークドライブの割り付け → 上記の(1)と関連すると思われるが、現在の私の環境では、ほぼ割り当てが成功するが、たまに「このコマンドを実行するのに十分な記憶域がありません」というエラーが出て、割り当てできない事があるので、今後要確認。 (5)外部PCはUSB-HDDだけをアクセス可能とし、他のLAN内部のNASにはアクセスできないようにアクセス制限をかける → 有力な方法が見つかっていない。 (USB-HDDをBHRではなく、BL900に接続し、PPTP接続ユーザのIPアドレスを192.168.0.100に手動割り当てたのにもかかわらず、このPCから、192.168.2.XXXのNASが見えてしまう。何故??) 状況は以上です。 <Buffalo社への送信内容の抜粋> そこで、以下のような試行を行いました。 (1)BHR-4GRVを初期化する。 (2)保存していたパラメーター値を復元する。 (注)我が家のLANは、192.168.2.XXX となっており、BHR-4GRVの初期値 192.168.12.XXX のままでは使えない。 前回の報告では、上記(1)と(2)の2つを実行した後に確認したら、PPTPサーバーの設定項目で最初の4項目が消えていたわけですが、今回確認したところ、(1)の初期化を終わった時点では4項目が存在していましたが、(2)のパラメーター値の復元を行ったら、4項目が消えていました。 そこで、(1)の初期化したBHR-4GRVを、LANクロスケーブルでPCと接続させ、パラメータ値を変更する方法で確認しました。 (これにより、上位のネットワーク機器と切り離した環境で確認ができる、と考えました。) その結果わかった事は、LANクロスケーブルで接続されたPCからLANの設定項目(PDFマニュアルのP103)で、LAN側IPアドレスを192.168.12.1を192.168.2.1に変更し、DHCPサーバーでのIP割り当てを192.168.12.2から64個を192.168.2.100から64個に変更して設定を保存すると、(BHR-4GRVのそれ以外の項目は変更していない)、次にBHR-4GRVのWeb設定画面ではPPTPサーバー項目のうち最初の4項目は消えていました。 更におかしいのは、初期化した後(http://192.168.12.1の時)は、Web設定画面のパスワードは無しでOKですが、設定変更後(http://192.168.2.1の時)は以前に使っていたパスワードが保存されています。 以上の結果からBHR-4GRVを初期化しても、一部のパラメーター完全に初期化されない、というBHR-4GRV側に問題がある、と思われます。(上位のネットワーク機器は切り離しているので、こちらには問題は無いように考えられます。)
- hirasaku
- ベストアンサー率65% (106/163)
こんにちは。hirasaku です。 すみません。時間が経過してしまいまして。 ちょっと、過去のやり取りとBHRについてちょこっと調べてみたり してたら、返答遅くなっちゃいました。 補足、読ませていただきました。 なるほど、そのような使い方をされていたわけですね。 私自身、メディアプレーヤーやPS3などは使ってないので、 詳しくはわからないのですが。 ただ、そのような機器でも共有フォルダにアクセス可能な 機能があるのなら、ユーザー認証に対応してるような気がしますが。 それで、BHRのマニュアルなど、調べてみると、 PPTPの動きっていうのが、ちょっと見えてきたような感じです。 過去のやり取りの中で、マニュアルの内容が違うようなことが 書かれてますが、ちょっとそこはWebに載ってるマニュアルで。 PPTPサーバーの設定のなかで、DHCPサーバー機能を使用するに 設定した場合、BHRがDHCPサーバーになり、割当て範囲の中から PCに配る仕組みですね。 このとき、LAN側にもDHCP機能を使用すると設定してある場合、 PPTP側と連動してませんか? 例えば、PPTP設定でDHCPの割当て範囲を変更すると、 LAN側の割当て範囲も勝手に変わっているとか。 この辺は確認してみないとわからないのですが。 それで、DHCP機能を使用しないにすると、下の拡張設定から選ぶ ことになるような。 このとき自動にすると172のセグメントが配られるわけで、 では、手動ではどうなるかというと、ここはあくまで想像ですが、 BHRのLAN側セグメントとは別のセグメントしか割り当てられない 仕様ではないでしょうか。 で、その下にPPTP接続ユーザー経路の編集で経路を作ってあげないと 通信ができないのでは。 ということは、このPPTP接続ユーザー経路で、PPTP接続してくる ユーザーによって、経路制御できるということになりますね。 すみません、あくまで想像ですので、やってみないとわからないのですが。 ちなみに、DHCPサーバー機能を使用するにしても、 このPPTP接続ユーザー経路の編集ってできますでしょうか? もし、出来るのであれば、PPTPユーザーによって、 NASにアクセスできないようにできるのではないかと。 例えば、UserAはあて先192.168.2.1 サブネット255.255.255.255or/32 と設定できるなら、NASにはアクセスできなくなりますね。 ちょっと、お試しください。 あっ、ユーザー認証については、上記のことを試されてからのほうが いいような気がします。 では。
補足
コメントありがとうございます。 BHRのPPTPサーバー設定画面が、マニュアルと私の実機で違う点に関し、本日Buffaloからメールが来ましたが、 ブラウザはIE? 初期化で確認してみたら? という内容だったので、 WinXP-IE8とWin7-IE10の両方で確認済み。初期化しても変化なし。 と返信しました。 また1~2日で何かレスがある事を期待しています。 私の実機では、BHR-4GRV 製品マニュアル http://manual.buffalo.jp/buf-doc/35012132-02.pdf の P99 にある、最初の4項目(自動入力、LAN側IPアドレス、DHCPサーバー機能、割り当てIPアドレス)の設定項目がありません。 従って、以下の事は(設定項目が無いので)確認できません。 >PPTPサーバーの設定のなかで、DHCPサーバー機能を使用するに設定した場合、BHRがDHCPサーバーになり、割当て範囲の中からPCに配る仕組みですね。 このとき、LAN側にもDHCP機能を使用すると設定してある場合、PPTP側と連動してませんか? PPTP接続ユーザのIPアドレスの割り当ては、実機でどうなっているか? に関しては、 (1)P99の「クライアントIPアドレス」を自動設定した場合、 同ページの「PPTP接続ユーザの編集」をクリックすると、PPTP接続ユーザの追加/編集ができ、各ユーザに対し、 PPTP接続ユーザの「ユーザ名」、「パスワード」、「IPアドレス割り当て方法」、「RIP送信機能(使用する/使用しない)」が設定できるようになっています。 (最後の項目は、深く考えないで、デフォルトの「使用する」のままにしています。) ここでの「IPアドレス割り当て方法」には、(a)DHCPサーバー設定の範囲から取得、(b) PPTPサーバー設定の範囲から取得、(c)固定IPアドレスの3通りが設定できます。 (a)を選択すると、マニュアル P103 の「LAN」項目で、192.168.2.100 から 64台と設定した範囲(つまり、192.168.2.100~192.168.2.163)から割り当てられます。 (b)を選択すると、マニュアル P99 の自動設定どおり、最初のPPTP接続ユーザには 172.31.101.2 が割り当てられます。 (c)を選択すると、文字通り固定値が割り当てる事が可能で、USB-HDD を BHR に接続する時は 192.168.2.200 ~ を割り当て、USB-HDD を BL900 に接続する時は、192.168.0.100~を割り当てています。 (2)P99の「クライアントIPアドレス」を手動設定した場合、例えば 192.168.2.200 から10台と設定しようとすると、 入力項目に間違いがあります。 場所: クライアントIPアドレス 内容: LAN側ネットワーク内のIPアドレスは使用できません とエラーが出ます。 192.168.2.XXX 系の値は手動設定できません。 192.168.0.XXX 系の値は設定できます。 PPPTP接続ユーザー経路の編集に関して、私も同様な事を考え、 >例えば、UserAはあて先192.168.2.1 サブネット255.255.255.255or/32と設定できるなら、NASにはアクセスできなくなりますね。 ちょっと、お試しください。 試してみましたが、 入力項目に間違いがあります。 場所: IPアドレス 内容: 本体のLAN側IPアドレスは指定できません というエラーが出るので、今はPPPTP接続ユーザー経路の編集の項目は何も設定していません。 以上のような状況です。 よろしくお願いいたします。
- hirasaku
- ベストアンサー率65% (106/163)
こんばんは。hirasaku です。 放置してしまい、申し訳ございません。 ちょっと忙しかったもので。。。 私への補足読ませていただきました。 また、話がズレちゃってますね。 あのぉ、目的はPPTP接続時にUSB-HDDにネットワークドライブの割り当てが できるようにしたいということですよね。 BHRのDHCPについて、いろいろやられているようですが、 DHCPサーバ設定範囲からで、ちゃんとできているんですよね? この方法に何か問題があるのでしょうか? 話を戻しますね。 先の回答で、聞き忘れてたウイルス対策ソフトの件、 別の方が聞かれたみたいなので、その辺も参考にさせていただきました。 まず、ZEROというソフトにファイヤーウォール機能はないのですか? ZEROにファイヤーウォールがなくて、Windows標準のファイヤーウォールを 使っているんですか? もし、ZEROにファイヤーウォールがあるのなら、ZEROのファイヤーウォールを 使ったほうがいいのでは。 Windows標準のファイヤーウォールはOFFにしてZEROのファイヤーウォールで 設定を調整するのが推奨です。 ZEROにないのであれば、Windows標準のファイヤーウォールの設定で、 ファイルとプリンター共有を例外に設定してみてどうか。ですか。 それと、認証のところを整理しましょうか。 まず、Windowsログオンの認証ですが、これはPCの電源を入れたときに ユーザー名とパスワードを入力してWindowsを起動してますよね。 これはPCにアカウントがあります。 PPTPの認証はPPTPで接続するときにユーザーIDとパスワードを入力して PPTP接続を確立します。 これは、PPTPサーバつまりBHRにアカウントがあります。 そして、USB-HDDの共有フォルダに接続するときのIDとパスワードですが、 この場合、BHRにアカウントを持っていると思いますが、 このアカウントはPPTPで設定したアカウントとは別メニューで設定 しているのでしょうか? それとも、一つのアカウントを使いまわしているのでしょうか? これ、意外と重要です。 最後にNASの共有フォルダにアクセスするためのアカウント情報は NASにアカウント情報を設定してるはずです。 つまりですね、USB-HDDとNASが同一セグメントにいたとしても、 NAS側にフリーアクセスの共有フォルダを作らず、かつ 友達が使うアカウントをNASに作らなければ、NASの共有フォルダに アクセスできないということになります。 これが、友達以外に公開するのであれば、悪意を持った方が、アタックして いたずらするかもしれませんが、友達だけですよね? PPTPは脆弱性があるといわれていますが、 一個人のそれも、いつ接続してくるかわからないリモート接続のセッションを 見張ってるなんてあると思いますか? 100パーセントないとは言えませんが、ほとんどないのでは。 上記のことを踏まえて、PPTPクライアントに192.168.0.のセグメントを 割り当てることはネットワーク的におかしいので、推奨しません。 また、BL900にUSB-HDDを接続ということも考えておりません。 ということで、BHRにUSB-HDDを接続して、ユーザーアカウントによって、 アクセス制限かけたほうがスッキリすると思いますが。 最後にBHRのIPって192.168.2.1 っていう落ちはないですよね? では。
補足
hirasaku さん、いつも詳しいコメントありがとうございます。 >あのぉ、目的はPPTP接続時にUSB-HDDにネットワークドライブの割り当てが できるようにしたいということですよね。 はい。LAN外部のPCからも、USB-HDD に対しネットワークドライブの割り当てができるようにしたい、という事で、PPTP接続にはこだわりません。ただし、PPTPが一番現実的のようなので、今はこれに注力しています。 頂いたコメントに対し、何点かよくわからない点がありましたので、教えて下さい。 >最後にBHRのIPって192.168.2.1 っていう落ちはないですよね? これはどういう意味でしょうか? BHR-4GRV は、LAN内の機器の IP アドレスを割り付ける DHCP サーバーの役割を担っており、IP アドレスは 192.168.2.1 です。 ただし、BHRのPPTPサーバー設定画面では、PPTPサーバーのIPアドレスは「自動設定」としています。(ここは、192.168.2.XXX のような LAN 内のIPアドレスは手動設定できませんでした。) >そして、USB-HDDの共有フォルダに接続するときのIDとパスワードですが、この場合、BHRにアカウントを持っていると思いますが、このアカウントはPPTPで設定したアカウントとは別メニューで設定しているのでしょうか? それとも、一つのアカウントを使いまわしているのでしょうか? これ、意外と重要です。 BHRに USB-HDD を接続した場合、現在の BHR の設定画面では、USB-HDDの共有フォルダに接続する時のIDとパスワードを設定することはできません。設定場面ではBHRの事を「ブロードステーション」と称していますが ¥¥(ブロードステーション名)¥disk1_pt1 または ¥¥192.168.2.1¥disk1_pt1 にて、USB-HDD にアクセスできます。 (LAN内部のPC、およびPPTP接続された外部のPCからも) 上記でブロードステーション名のデフォルト値は APXXXXXXXXXXXX (XXXXXXXXXXXX はBHR のMACアドレス)で、USB-HDDは1個のパーティションの場合は disk1_pt1 となります。 >最後にNASの共有フォルダにアクセスするためのアカウント情報はNASにアカウント情報を設定してるはずです。 つまりですね、USB-HDDとNASが同一セグメントにいたとしても、NAS側にフリーアクセスの共有フォルダを作らず、かつ 友達が使うアカウントをNASに作らなければ、NASの共有フォルダにアクセスできないということになります。 これは理解しています。 しかし、現在、NAS(Buffaloの LS-WV4.0TL/R1J というものです)には、デジカメで撮った写真や動画などが格納されていますが、LAN内部からは特にアクセス制限をしていません。 つまりNASのフォルダーはLAN内部からはフリーアクセスの共有フォルダーです。 というのは、このNASへアクセスするのはPCだけでなく、メディアプレーヤ(例えば、Buffalo のリンクシアター LT-H91LAN)や、プレーステーション3 からもこのNASにアクセスできます。 PC以外の機器ではWindows ログオン時のユーザー名という概念が無いと思うので、NASに対しPC以外の機器からアクセス制限をする設定が(可能かもしれませんが)煩雑になりそうなので、現在はアクセス制限をしていません。 NASとして、IPアドレスによるアクセス制限が可能なものを使えば、全ての問題が解決するとは思っています。 つまり、外部PCのPPTPクライアントへのIPアドレスを、例えば 192.168.2.200 のように手動で割り当てておいて、NASへアクセス可能なIPアドレスに 192.168.2.200 を加えない、といった方法で。 しかし現在の Buffalo 製NASは、IPアドレスによるアクセス制限機能が無いようなので、USB-HDD を 192.168.2.XXX 以外に置くことを検討しているわけです。 >上記のことを踏まえて、PPTPクライアントに192.168.0.のセグメントを割り当てることはネットワーク的におかしいので、推奨しません。 すみません、この辺(PPTPクライアントに192.168.0.のセグメントを割り当てることはネットワーク的におかしい点)に関し、もう少し詳しく教えて頂けませんか? BL900 に USB-HDD を接続する弊害としては、 (1)外部から、この USB-HDD にアクセスする際、例えば ¥¥192.168.0.1¥buffalo-1 のように、直接IPアドレスを入力する必要があること。 ¥¥ATERM-XXXXXX¥buffalo-1 のような形式では、名前解決ができないのでアクセスできない。 (注)buffalo-1 の部分は、接続される USB-HDD によって変更になる。 (2)外部のPCから、http://192.168.0.1 とアクセスするとBL900の設定画面が見えてしまう。 というのが思いつきますが、(1)はIPアドレスを直接設定する事で割り切る、(2)はBL900 のユーザ名とパスワードを保存しない、というようにすれば良いのではないでしょうか? それと、前から考えていた事ですが、外部PCのPPTPクライアントのIPアドレス系を 192.168.1.XXX 系に手動設定し、家の中に今回の目的専用の安価なNASを1個用意し、この安価なNASのIPアドレスを 192.168.1.XXX 系に固定にする、というアイディアはどうでしょうか? 以上、コメント返信頂ければ幸いです。
補足
コメントありがとうございました。 >気になるのが、PPTPクライアントに192.168.0セグを与えても 192.168.2セグのNASが見えてしまうっていうのは おかしいですね。 本日再度確認したところ、今回は192.168.0.100のPPTPクライアントは、BL900に接続されているUSB-HDDはアクセスできるが、192.168.2セグのNASへの接続はできない、という期待どおりの動作になりました。 とりあえず事実だけをお知らせします。 昨日は、試験したPCは、無線LANのアクセスポイントをLAN内部のものと、LTE/3Gルーター(LAN外部)とに切り替えて(PCは再起動せずに)試験していたため、LAN内部の時のデーターがPCに残っていたために、PPTPクライアントに192.168.0セグを与えても192.168.2セグのNASが見えていたのかもしれません。(あくまで推測ですが) 本日は、PCを起動した時、外部(LTE/3Gルーター)を選択するようにし、PPTP接続後に改めて、LAN内部のNASに対しネットワークドライブが割り当てられるか、という確認をしました。 理論上の検証が完全にできていませんが、NASが見えないのが論理的にも正しいのならば、当初の目的が実現できるのでうれしいです。 ただし、以前 hirasaku さんから、「USB-HDDをBL900に接続するのはネットワーク的には正しくない。」という主旨のコメントを頂いたのが気になっています。 ここを補足して頂ければ幸いです。 >BHRのWAN側とLAN側以外の、例えば、172.16.3.xxxとかを 手動で設定。 PPTPのサーバーIPは172.16.3.1とかに DNSはいじらなくてOK。 これで、PPTP接続ユーザーの編集で接続可能アドレスを 192.168.2.xxxのNASを指定できませんかね? 以前にもどこかの補足で記載しましたが、PPTP接続ユーザーの編集での接続可能アドレスは 192.168.2.xxx には、以下のようなエラーが出て設定できません。 入力項目に間違いがあります。 場所: IPアドレス 内容: 本体のLAN側IPアドレスは指定できません >192.168.2.1/255.255.255.255 は ブロードキャストアドレスではないです。 ホストアドレスですよ。 はい、そうでした。 仮に設定する場合は192.168.2.1/255.255.255.252 のようにすべきでしたね。