テレワーク環境を手軽に構築!即日・無償提供の「SEIL」の使い方

2020年03月13日 金曜日

「テレワーク環境を手軽に構築!即日・無償提供の「SEIL」の使い方」のイメージ

テレワーク環境を手軽に構築!即日・無償提供の「SEIL」でできること」では、IIJがリモートアクセス機器「SEIL」を無償で貸し出しする件について紹介いたしました。こちらの記事では、貸し出しする機器を導入するための具体的な手順を紹介いたします。

先の記事でも書きましたが、今回は緊急に貸し出しを実施するため、SEILの中の一部の機能だけを有効にしています。また、対応可能な構成も典型的なものに限定していることをご承知おきください。通常のサービスメニューではこれ以外の機能や構成にも対応可能です。

なお、これらの手順にはオフィスのネットワークへの機器の接続や、業務PCの設定変更が含まれています。必ずオフィスネットワークの管理者(情報システム部門など)の許可を得て作業してください。

皆さまにご用意いただきたいこと

緊急貸し出しのSEILをご利用いただくにあたり、貸し出しを受ける皆様にもいくつか準備をしていただく必要があります。

社内LANでの準備

今回は、オフィスのインターネット接続回線としてNTT東日本・西日本の「フレッツ光」(ファミリータイプ各種・マンションタイプ各種)を利用しているネットワークを前提としています。

社内LANからインターネットへの接続方法は、NTT東西が用意した「ホームゲートウェイ(HGW)」を利用する場合「構成A」と、自社で用意したブロードバンドルータ・ファイアウォールを利用する場合「構成B」が考えられます。

構成Aの場合は、次の2点の準備が必要です。

  • 社内LANに貸出機器(SEIL)を接続し、社内LANで利用可能なIPアドレス(プライベートIPアドレス)を一つ選ぶこと (上図の※1)
  • ホームゲートウェイに「PPPoEパススルー」を設定すること (上図の※2)

構成Bの場合は、次の2点の準備が必要です。

  • 社内LANに貸出機器(SEIL)を接続し、社内LANで利用可能なIPアドレス(プライベートIPアドレス)を一つ選ぶこと (上図の※1)
  • ONUとブロードバンドルータ・ファイアウォールを接続している箇所にスイッチングハブなどを接続し、貸出機器(SEIL)を接続すること (上図の※3)

※貸出機器(SEIL)の設定はIIJが行います。

自宅PCの準備

自宅PCはWindowsやMacOSが利用できます。特別なアプリをインストールする必要はなく、OSに標準で備わっているVPN機能を利用します。
PCの設定方法は次のページにある「L2TP/IPsec」の説明をご覧ください。

VPN接続には、VPN接続先・ユーザ名・パスワードが必要になります。これらは機器の貸し出しの際にIIJ担当者とご利用者の間で確認いたします。

業務PCの準備

今回貸し出しする機器では、リモートアクセスの最も基本的な使い方として、「リモートデスクトップ(RDP)」のみ利用できる設定にしています。このため、オフィスに設置している業務PCに次のような準備が必要です。

自宅PCから操作するために、常時電源をONにしておく必要があります。
(パソコンの機種によってはリモートから操作する際に自動的に電源をONにできる場合もあります)

詳しい方へ

 今回貸し出しするSEIL、及びconfigは次のようになっています。

  • 貸し出しするのは「SEIL/X1」1台です
  • SEILはIIJ SMF sxサービスで管理いたします
  • お客様にてconfigを変更することはできません
  • NTT東西フレッツシリーズのPPPoEでインターネット接続をします
  • PPPoE接続はSEIL自身が行います
  • PPPoEアカウントはSEILとセットでIIJよりご提供します (固定IPアドレス)
  • 利用するフレッツシリーズでPPPoEセッションを一つ消費します
  • インターネット側にてL2TP/IPsec・pre-shared keyによるリモートアクセスを受け付けます
  • リモートアクセスのアカウント・パスワードはSEILのconfigに保存されます
  • リモートアクセスアカウントの上限は64アカウント、同時接続可能なセッション数は概ね50セッションです
  • リモートアクセス端末からの通信は、RDP (3389/tcp) のみを許可しています

セキュリティについて

インターネットを経由した自宅などからのリモートアクセスを実施する際には、ネットワークへの不正侵入の防止、故意・事故による情報漏えいの防止などといったセキュリティ対策をとることが必要です。
今回の貸し出しでは、リモートアクセス端末からの通信をRDPのみに限定することで不正侵入のリスクをある程度低減させています。また、RDPによるファイルの持ち出しを制限するために、RDPでのファイル転送を禁止するための設定例をご案内しています。
これらの設定によってある程度のリスクが緩和できると考えていますが、あくまで簡易的なものですのであらかじめご承知おきください。

SEILについてのご紹介

SEILは中小規模の拠点においてインターネット接続ルータや拠点間VPNのルータとして利用されることが多いのですが、それ以外にも多彩な機能を備えています。そのうちの一つが、今回の記事で取り上げているリモートアクセスサーバ(RAS)機能です。
2003年に発売した「SEIL/Turbo」「SEIL/Plus」よりRAS機能を搭載しており、現行の最新機種である「SEIL/X4」や「SEIL/x86 Ayame」にも搭載されています。
SEIL1台でインターネット接続ルータとして稼働しつつ、専用の機器を増やすことなく設定追加のみで社外から社内NWへのアクセスを安全に構築することができ、好評をいただいています。

認証方式

多様な認証方法もRAS機能のポイントの一つです。Configの中にユーザ認証情報を記録する「ローカル認証」と、社内LAN内のWebサーバに配置したcsvファイルを取得して認証に利用する「アカウントリスト認証」、また認証サーバと連携する「RADIUS認証」(※)が利用できます。
64アカウントまでであればSEIL以外に必要のないローカル認証が手軽に利用できます。それ以上のアカウントが必要な場合でもアカウントリスト認証を選択することで、設定・管理が煩雑なRADIUSサーバを不要とすることができます。
※一部対応していない機種もあります(詳細はこちら

アクセスコントロール

SEILに搭載されているパケットフィルタ機能はRASにも適用できます。IPアドレスやポート番号で制御をかけることで、特定の機能だけを提供したり、アクセス可能なPCを限定したRAS環境を構築することができます。
今回プレスリリースで発表した無償提供のサービスは、RDP(画面共有)機能に限定したフィルタを投入しています。

追加情報

ホームユースを前提とした設定例ですが、筆者の一人である片貝が以前IIJのイベントでSEILの使い方についてお話したスライドがありますので、よろしければご覧いただけますと幸いです。

  • スライド1~20:個人でも手軽に引ける回線を使って、快適なMy Home Networkを作ったお話
  • スライド21~30:SEILを使った、お手軽・しっかりなリモートアクセス(RAS)環境を作ったお話

また、SEILシリーズの詳細な機能や設定事例をWebで公開しています。今回貸し出しする機器ではconfigを変更することはできませんが、SEILが実現する多様な機能をご覧いただければと思います。

SEILシリーズにご興味を持っていただけましたら、以下のサービス・製品もご検討いただければ幸いです。

また、個人・SOHOでSEILをご利用になる場合、ソフトウェアルータ「SEIL/x86 Ayame」のライセンスをamazon.co.jpからお求めいただくこともできます。

SEILを導入いただいた皆さまの感想

SEILでのRAS環境を入れていただいたユーザさんの声の中で、

  • コンフィグ中でユーザ情報を管理できて楽ちん
  • GWルータと共存できて、機器を別にする必要がない

という手軽で小回りが利く面もありつつ、

  • RADIUSサーバとも連携出来て、既存のユーザDBと連携しやすい

など、一元管理されている規模が大きいお客さまにも受け入れやすいと評価いただいています。

おわりに

今更ですが、SEILは「ザイル」と読み、ドイツ語で登山用のロープ、いわば命綱であります。
創業当時から日本のインターネットを支えてきたIIJ、「命綱」を切らすことが無いよう、社員それぞれの想いが詰まったさまざまな技術を結集し、ひとりでも多くのみなさまに寄り添い、昔も今もそしてこれからも、インターネットとつなぐお手伝いが出来たらと思っております。

この記事は、片貝 悠 & doumaeで執筆しました

関連リンク

片貝 悠

2020年03月13日 金曜日

IIJ サービスプロダクト事業部所属のエンジニアで、SEILをはじめIIJサービスをお客さまへ届ける日々を送る。カラオケが大好き、Perfumeとラブライブ!、東池袋52にはまっているギリ20代。

Related
関連記事