リモートアクセスPPTPが意外に使えないので．．．

ルーター はいわば自宅ネットワークの 関所 です。

ここを破られると大変なことになるであろうことは、お便利サーバー.comをご覧の皆様は重々ご承知のことと思います。

できることなら自分を含め、 WAN 側からルーターにアクセス可能な環境は一切避けるべきでしょう。

しかしそうはいうものの、世の中にはずっと自宅にいられない方のほうが圧倒的に多いわけで、外出先からのルーターを管理する最低限の手段は確保しておきたいと思うものです。

ヤマハ NVR500 は、WAN側から安全にアクセスするための手段として PPTP 接続機能を持っています。

これは最近の普及型ルーターにも多く採用されている、マイクロソフト社提供のインターネット VPN の手段なのですが、 WindowsXP 以降に標準で搭載された結果、心ない攻撃者の対象となり、いくつかの脆弱性が指摘されているため積極的にオススメできる手段ではありません。

また、外部にある NAT ＋ IPマスカレード 環境下のパソコンからPPTPでNVR500に接続するには、そのNAT+IPマスカレードを担うルーターで PPTPパススルー が有効になっていなければなりませんが、セキュアな環境にある会社や公衆ネット環境では事実上利用できません。

というわけでここでは、 ポートフォワーディング を利用して、 HTTP でダイレクトにWAN側からNVR500にアクセスできるように設定します。

まず、 [トップ] ＞ [詳細設定と情報] ＞ [ユーザとアクセス制限の設定]

と進み、 HTTPサーバ 機能 の、 HTTPの利用を許可するホスト を すべて許可する に変更します。

HTTPでのアクセス可能ホストを変更する

デフォルト の、 同一ネットワーク内であれば許可する のままでは、WAN側からのアクセスができないので、ここで任意の IPアドレス からの接続を許可してやる、ということです。

変更が終わったら一番下までスクロールして 設定の確定 ボタンをクリックします。

次に、

[トップ] ＞ [詳細設定と情報] ＞ [基本接続の詳細な設定] ＞ [プロバイダの修正[PP01]　プロバイダ接続　設定名 (BBIQ)] ＞ [静的IPマスカレードの登録]

と進んで、 静的IPマスカレード を以下のように追加します。

静的IPマスカレードの登録

NVR500の HTTP サーバーは、デフォルトでは TCP 、ポート番号 80番 でアクセスを受け付けます。

しかしすでに TCP/80番 は "web0.obenri.com" にポートフォワーディングされていて、このホームページを配信するのに使われています。

そこでNVR500のポート番号変換機能を使って、 ポート を "45674=80" と指定し、 使用ホストIPアドレス にNVR500自身である "192.168.100.1" を入力します。

入力が終わったら 設定の確定 ボタンをクリックして設定を有効にします。

これで、外出先から任意のパソコンで、 Webブラウザ のアドレスバーに、

をタイプしてアクセスすれば、自宅のNVR500に接続できるようになります。

私宅は固定IPアドレス契約で、 "obenri.com" ドメイン名 で グローバルIPアドレス を引いていますから、

でも、

でもアクセス可能です。

しかし、このセクションの NVR500でネットボランチ のパートで、既にヤマハから ダイナミックDNS 用の FQDN "obenri.aa0.netvolante.jp" を割り当ててもらっていますから、

でもアクセスできるようになっています。

ただしこの方法をとる場合、不正侵入からNVR500を守っているのは、

１．普通は使われないポート番号。

２．NVR500の管理パスワード

の二つしかなく、通信も暗号化されないので セキュリティ 面での不安があります。

できればこの方法は自宅での利用程度にとどめ、会社などに設置するNVR500での利用は避けたほうがよろしいかと思います。

自宅サーバーがある方はTELNETで

自宅のパソコンや サーバー にWindowsリモートデスクトップや VNC などで接続可能にしている方や、 自宅サーバーをお持ちで、 WAN から SSH 接続を可能にしているお便利サーバー.com管理人のような方は、そのパソコンや自宅サーバーを経由して LAN 側から NVR500 にアクセス可能ですから、NVR500に直接 ポートフォワーディング しなくても ログイン 可能です。

自宅内のデスクトップ環境を外出先から扱うことができる場合は、そこから Webブラウザ を起動して、 "http://setup.netvolante.jp/" または "http://192.168.100.1/" にアクセスすればNVR500の GUI 設定画面を開くことが可能です。

自宅サーバーにSSH接続ができる方は、一旦自宅サーバーに接続し、

telnet 192.168.100.1

または

telnet setup.netvolante.jp

で接続できます。

自宅サーバーにSSH接続→NVR500にTELNET接続

TELNETはクライアントからコンソールでタイプした文字、サーバーからクライアントに戻ってくる文字の両方がネットワーク上を平文で流れるため、一見セキュリティ上問題がありそうに思えます。

しかしこの方法をとれば、外出先と自宅との間は既にSSHで暗号化接続されているため、実際に平文が流れるのは自宅サーバーとNVR500の間だけですから事実上のセキュリティは確保されている、という訳です。

ただしこの方法ではご覧のとおり、 CUI 操作となりますから、GUIのように簡単ではなく、一通りの コマンド は覚えておく必要があります。

NVR500のCUIオペレーションについては コマンドでNVR500を操作する を参考にしてください。

ホスト情報の表示　 　全ページリストへ　 　お便利用語リスト

SSHで直接ログインする

SSH サーバーの設定 で詳しく説明していますが、外出先から自宅サーバーに ログイン するとき最も安全な方法が、通信経路が暗号化されるSSHによるリモート接続です。

NVR500 はSSHサーバー機能を実装していますから、このパートの最初に説明した ポートフォワーディング 機能と組み合わせると、自宅サーバーにログインするときと同様の安全性で外出先からログインできるようになります。

[トップ] ＞ [詳細設定と情報] ＞ [ユーザとアクセス制限の設定]

と進んで下のほうにスクロールすると、 SSHサーバ 機能 の設定がありますので、ここで 使用する にチェックを入れ、 SSHの利用を許可するホスト は すべて許可する を選択して 設定の確定 ボタンをクリックします。

NVR500のSSHサーバーを有効にする

しばらく待つと鍵生成が終わり、設定変更完了の ダイアログ が表示されますので 戻る をクリックします。

次に 登録ユーザー を作成します。

ユーザの登録数： 0 の右側の 設定 ボタンをクリックします。

NVR500のユーザーの登録へ

ここでSSHログインに用いるユーザーを登録します。ユーザー名とパスワードを入力し、他の項目はデフォルトのまま 設定の確定 ボタンをクリックします。

ユーザー”obenri”を登録する

最後に、

[トップ] ＞ [詳細設定と情報] ＞ [基本接続の詳細な設定] ＞ [プロバイダの修正[PP01]　プロバイダ接続　設定名 (BBIQ)] ＞ [静的IPマスカレードの登録]

と進んで、 静的IPマスカレード を以下のように追加します。

静的IPマスカレードの登録

NVR500の SSHサーバーは、デフォルトでは TCP 、ポート番号 22番 でアクセスを受け付けます。

そこでNVR500のポート番号変換機能を使って、 ポート を "56785=22" と指定し、 使用ホストIPアドレス にNVR500自身である "192.168.100.1" を入力します。

入力が終わったら 設定の確定 ボタンをクリックして設定を有効にします。

以上で設定は終わりです。

接続方法はサーバーへの接続と同じです。TeraTermProの場合、

となります。 [グローバルIPアドレスまたはホスト名] のところは、

でも、

でもアクセス可能です。

しかし、このセクションの NVR500でネットボランチ のパートで、既にヤマハから ダイナミックDNS 用の FQDN "obenri.aa0.netvolante.jp" を割り当ててもらっていますから、

でもOKです。

接続できたら、先ほど登録したユーザー名とパスワードで認証します。これでログインできるようになります。

SSH接続後の NVR500 のCUIオペレーションについては コマンドでNVR500を操作する を参考にしてください。

ホスト情報の表示　 　全ページリストへ　 　お便利用語リスト