■会社からMXをやるためにVPNを自鯖まで張るスレ■
■■■ みなさま助けてください! *** 目次 *** 1. はじめに 2. ネットワーク構成 3. 従来の接続方法 4. 症状 5. 要請 >>2 次レスへ続く □□□ はじめに 会社の自席端末を家庭内LANをVPNで接続したく、みなさんにアドバイスをいただきたく存じます。 いささか長文ですが、下記をお読みになった上で、解決方法を教えていただければ幸いです。 >>3 次レスへ続く □□□ ネットワーク構成 【会社PC】 ----> 【会社HTTPプロキシ】 ----> [eth0]【自宅鯖(FW兼PPTP鯖)】 [eth1] 192.168.0.0/24 ----> 【自宅PC】 ※1. 【自宅鯖】は「Red Hat Linux 7.3」です。 >>4 次レスへ続く □□□ 従来の接続方法 【会社HTTPプロキシ】は平社員から見てほぼブラックボックス(8080に繋げることくらいしかわからない)に なっているため、【会社PC】と【自宅鯖】に「stone」を仕込む。「stone」のポート転送状況は下記の通りです。 ---------- 【会社PC】設定内容 ---------- A. 【会社PC】:A[任意] --> 【会社PC】:B[任意], B. 【会社PC】:B[任意] --> 【会社HTTPプロキシ】:8080[proxy] 同時に【自宅鯖】:443[https] に向けてHTTPリクエスト発出。 ---------- 【自宅鯖】設定内容 ---------- C. 【自宅鯖】:443[https] --> 【自宅鯖】:22 [ssh] 上記構成において、会社の自端末【会社PC】のポートAに「TTSSH」を使ってアクセスしております。 >>5 次レスへ続く □□□ 症状 従来は上記の接続手順を踏んだ上で、 会社より【自宅鯖】のコンソールを叩き、HPメンテとか自宅宛メールの参照とかを行っていたのですが、 今回、会社から、VNC鯖をインストールした【自宅PC】のコントロールもできるようにしたいと思いました。 これだけですと、上記設定内容「C」の繋ぎ替えだけでうまくいくと思うのですが、結局のところ 従来どおり片方向(会社⇒自宅)へのアクセスしかできません。 当方の最終的にやりたいことは以下のようになります。 @:【自宅PC】より【会社PC】のコントロールをできるようにすること。 A:【会社PC】より【自宅PC】のコントロールをできるようにすること。 ※1. 【会社PC】および【自宅PC】は「WindowsXP Professional」です。 ※2. コントロールの方法は「VNC」による制御を考えております。 これを実現できる(?)ものとして、【自宅鯖】にPPTP鯖(poptop)を導入し、 【会社PC】をPPTPクライアントにすることを思いつき、実行してみました。 また、【自宅鯖】のFW設定で、教科書どおり、ポート[1732]とプロトコル47番を通すようにいたしました。 (当然ながら上記「stone」の設定は両側で解除しました) が、LAN内にある【会社PC】からでは会社のサーバ(GW? FW? Proxy?)を通さぬためか、 【自宅鯖】の応答を弾いてしまい、接続できません。 >>6 次レスへ続く □□□ 要請 会社にRASなりを申請すれば済むことなのかもしれませんが、申告するにあたり、 「会社から自宅のWinMXの監視をしたい!」とか、 「休みを取ったときとかに会社のパソコンを<俺様の悪口監視>盗聴器代わりに使いたい!」とかは 当然言えないわけで、それより何より、 「出来合いのトポロジを盲目的に受け入れるを是とせず、穴の存在を疑い、 さらにはそれを内緒で開け、自分だけの裏道を作って密かな喜びに浸る」 ことこそ、スキルアップの王道を考えておりますゆえ、 ネットワークにお詳しいみなさまの助言をお借りしたいと存じます。よろしくお願いいたします。 >>1 もう一回読む >>3 半分そうなので、会社から自宅PCをいじりたい不良社員の皆様方の 参考にもなれるよう育つといいですね〜 道路職人さんの会社って今話題の藤井ジジイのところなの。 仕事もせんと何をやってるの。給料泥棒と言われないの? ほんとにPPTP(1723/TCP)なの? L2TP(1701/UDP)だったりはしないの? 管理者の方々は、穴を開けちゃうこういう1がいることを肝に銘じて、 インターネットに個々人のパソコンからつなげないようにするか、 アクセス先や稼働アプリを監視することをお勧めします。 変なことやってる奴はクビ。会社の機密もらしてる可能性あるし。 つか、その前に、その自宅PCに、会社以外の友達んちとか 制限がないところからVPNやら、VNCつながってんの? >>1 なかなかおもしろいなぁ…。 まずは社内から自宅にPortScanだろうね、たぶん1Portたりとも漏れてないと思うが。 特にGREなどの非TCP/UDP Protocolは漏れてないだろうしね。 漏れてたとしても、LAN→InternetというOutgoing方向へだろうから 自宅から社内はかなり厳しいと思うよ。 会社→自宅方向ならSSL-VPNを400万ぐらいで買うってのもありでしょ。(わらぃ) マジレスするとWEPの掛かってない、802.11bは漏れてたりしないのかな。(他企業のね) こっち探した方が手っ取り早そうだけどなぁ。 テンプレートまで用意して調子こいてんじゃねーよ 採用する時はなにより人間性チェックだな 同僚、課長、部長、役員と、とっかえひっかえ寝まくって会社転覆させた女の実話はあったけどw このスレはネタだと思うが、本当にこんな社員がいたらたまらんな。 毎日、何考えて会社に行ってんだか。 >>14 ・友達いないので、会社以外の「外」からの確認ができません ボソッ ・25マソしかもらっていないので、それを越える仕事はしないポリシーです(勉強になれば別、ですが)。 ついでに言うと、「がんばったらいいことあるよ〜(出世?)」というのは「空手形」でしかありません。 なので、超過分は「VPNのお勉強」ということに、勝手にさせていただいております。 さて、マジレスはさておき、【自宅鯖】にて pptp は動いてるみたいなのですが、 外からポートスキャンをかけてくれる処でしらべてみると、 見えるのは25, 80, 443 くらいで、 1723 が見えません。ISP(アホーBB)がブロックしているんしょうか? # nmap localhost Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ ) Interesting ports on localhost.localdomain (127.0.0.1): (The 1540 ports scanned but not shown below are in state: closed) Port State Service : : : 1723/tcp open pptp : : : >>16 その、 「・・・じゃねーよ」 という言葉遣いは、わたくしどもの宿敵(高卒・体育会系のバカ先輩)のそれを彷彿とさせるのでやめていただきたく存じます。 もとより親が教育費をたっぷりかけてくれたお陰で院まで行けたわたくしは、高卒DQNとは質的に違うのです。 彼らを組み敷く立場が入社時点で保障されているのでございます。 ですが当方VPNの問題で逼迫しておりなりふり構わぬ状態ですので、 万事うまくいった暁には、高卒の土人である貴方とも寝てさしあげますので、情報提供のほど、おねがいします >>ALL さて、多くのレスありがとうございます。 残念なのは日中は会社にいるため、即時御礼を差し上げることができないことです。 VPNがつながったら、会社にばれずに勤務時間中でも書き込み放題ですので、 どんどん情報提供をお願いいたします。 会社で使用している回線と言ったらNNTコムとかATTだっけ、とにかく 商用でやっているIP VPNサービスというものだろ。あれってその会社 独自の閉ざされたネット環境じゃないの。インターネットととは違う環境じ ゃないの。 道路職人 = 高校中退の土方(日給月給制) 文章を書くことを得意がっているだけ(プ > 親が教育費をたっぷりかけてくれたお陰で院まで行けたわたくしは... どこの少年院を出たんだ(w VNCで家のパソコンを遠隔操作すればいいだけなんじゃないの? >>23 うん。でもそれだと家から会社ができないのでちょい困るそうだ あ、ごめん。VNC使うのね。 会社→家に関しては、会社のPCにHTTPortをインストールすればいいと思う。 逆は無理でしょ。だって会社のPCってプライベートIPアドレスでしょ? 会社のNATはいじれないでしょ。 >>19 わりーが畑違うが漏れもドクター取ってある。兄貴も畑違いでこれまたぼっちゃん 育ちなんで国立でドクター取って開業してる。しかし、おめえに似て馬鹿だけどな。 途中バイトで土方もダンプの運転手もしたが、最高の社会勉強だったとだけ言っとくよ。 言葉遣いで人品高潔気取るなら、読み返してその下衆な行間読んでみろ。 この板で一番糞っぽいぞ。人間もやってることも。 当然のように人に聞いてん「じゃねーよ」!ヴォケ まぁ機器を選定する時に遊べそうか否かで決めてるわけだが お願いしつつプライドが痛い発言させて鴨を逃しそうな>>1 にワロタ やって痛い目に合わないと駄目らしい… 一度挫折してみるのもいいかもね 美辞麗句の下の狡猾っぽさに萌 >>27 お医者様でらっしゃいますか? でしたら尚のこと、老婆心ながら申しますが、 話し言葉ならともかく、書き言葉において「じゃねーよ」は医師としての品性を疑われますよ。 手術台の患者さんを前に、チェーンソーで斬られるかのごとき恐怖を与えることになるのです。 ところで、こんな時間に書き込める環境でうらやましいですね。 それともひょっとして無職でございますか? 通信費が払えなくなる前に新たなお仕事が見つかることをこころよりお祈りいたします。 >>30 ご忠告ありがとうございます。自分の歪み具合はうすうすと気づいているのですが、 三十路近くになって、しかも結婚までしてる身でこんなことを書いてしまうのは、 ほとほと根治不可能なのかと、暗澹たる気分になることも時々ございます。 けれども同時に、 「もう一生治らないから汝は己の邪道を極めよ」という天啓めいたものとしてプラスに捉え、 開き直るのもありかな、と考えるのであります。 案外と当方のような「奇形なる魂」が、日本の閉塞を破るのではないかとも 思われるのでございます。「おぉ、マハトマ!」でございます。 ともあれ、この場で求められている技術情報を提供できない無能を覆い隠すために 「じゃねーよ」を連発し他人を貶めるような、 それゆえ将来において独善的な体育会系社会というサル山のボスとして、 まがりなりにも自分を持っている善良な大多数の人間をを己の色に染めるがごとき 「下賤の者」を啓蒙する使命も、私は生まれ持っているのでございます。 >>ALL マジレスはさておきまして、本日も多くのレス、ありがとうございます。 返す返す、即時に御礼を申し上げることができなくて残念でございます。 けれどもそれもここ数日の話と、皆様に期待するところ大であります。 さて、本日会社より旧来の接続方法(HTTPトンネル + ssh)を使い、ポートの空き状況等を確認するなどしておりました。 /etc/services にも然るべく記述した上、 セキュリティー監査サイト ( http://scan.sygate.com/quickscan.html ) にて【自宅鯖】に 「ポートスキャン」をかけてもらいましたところ、くたんのポート「1723/TCP」が見えませんでした。 ですのでLAN内からではない、制限がかからないところ(友人宅。当方にはおりませんが。ボソッ)からでも、 やはり接続できないものと推測されます。 当方のISPは「アホー ( Yahoo ) BB」です。上記のサイトにて[http] や [https]などが"OPEN"になっているところを見ると、 「ISPが当該ポートへのアクセスをブロックしているのではないか?」 との疑念に、本日至りました。従いまして、 この方面にお詳しい皆様からのありがたきご助言をお待ち申し上げております。 ---------- 追伸 : >>27 様の盲を解いて差し上げたいのですが、生憎と明日も仕事でございます。 お返事はまた明日の夜にでも差し上げたく存じます。それでは、おやすみなさいませ。 >>ALL すみません。追記させてください。 ところでVPN接続が完成した場合、 クライアントは社内LAN上の【会社PC(NIC一枚)】となるわけですが、 会社から自宅への接続が確立したのを確認した上で自宅に戻り、 サーバ側LAN(自宅LAN)上にある【自宅PC】より、 【会社PC(適当なプライベートアドレス(192.168.0.101等)が与えられていると思います)】の 社内ネットワーク上のサーバ(仕事上のドキュメントサーバ、部署のメールサーバなど)は見えるのでしょうか? ここで【会社PC】には既に「VNCサーバ」がインストールされており、稼動しているものとみなします。 それでは、失礼いたします。 >>34 博士課程の博士号のことじゃん マスターとか ttp://home.catv.ne.jp/kk/mayumi/daigakuin.htm read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる