JP2017212572A - Remote access service system, information processing device, gateway device, and program - Google Patents
Remote access service system, information processing device, gateway device, and program Download PDFInfo
- Publication number
- JP2017212572A JP2017212572A JP2016103993A JP2016103993A JP2017212572A JP 2017212572 A JP2017212572 A JP 2017212572A JP 2016103993 A JP2016103993 A JP 2016103993A JP 2016103993 A JP2016103993 A JP 2016103993A JP 2017212572 A JP2017212572 A JP 2017212572A
- Authority
- JP
- Japan
- Prior art keywords
- network
- information processing
- virtual private
- gateway device
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
Description
本発明は、リモートアクセスサービスシステム、情報処理装置、ゲートウェイ装置及びプログラムに関する。 The present invention relates to a remote access service system, an information processing apparatus, a gateway apparatus, and a program.
近年では、会社からパーソナルコンピュータ(PC)等の端末装置を持ち出して、自宅や外出先から事業所内のコンピュータへアクセスすることは珍しくない。在宅にて業務を行う場合、在宅勤務者は、セキュリティの観点から社内ネットワークとVPN(Virtual Private Network)接続する。また、自宅内のローカルネットワークに接続しているNAS(Network Attached Storage)を利用する場合もある。 In recent years, it is not uncommon to take a terminal device such as a personal computer (PC) from a company and access a computer in the office from home or away from home. When performing work at home, the telecommuter connects to the corporate network with a VPN (Virtual Private Network) from the viewpoint of security. In some cases, NAS (Network Attached Storage) connected to a local network at home is used.
一般的には、社内ネットワークの方が自宅内のローカルネットワークと比べてセキュリティ対策が十分施されているため、インターネットへの通信を含む全ての通信を社内ネットワーク上のRAS(Remote Access Service)サーバ(RAS機能が搭載されたゲートウェイ装置)を経由して行うことが少なくない。ただ、このようにすると、自宅内のNASへのアクセスができなくなってしまうので、従来では、ポリシーを設定してVPNを経由する社内ネットワークとVPNを経由しないローカルネットワークとの振分を可能とする、すなわちRASクライアントでもNASへのアクセスを可能にする技術が提案されている(例えば、特許文献1)。 In general, the in-house network has sufficient security measures compared to the local network at home, and therefore all communication including communication to the Internet is performed on a RAS (Remote Access Service) server ( This is often performed via a gateway device equipped with a RAS function. However, if you do this, you will not be able to access the NAS in your home. Conventionally, you can set a policy to distribute the internal network that passes through the VPN and the local network that does not pass through the VPN. In other words, a technology that enables RAS clients to access NAS has been proposed (for example, Patent Document 1).
本発明は、ポリシーを設定させることなくセキュリティ性を維持しつつ外部ネットワークへのリモートアクセス及びローカルネットワーク内のネットワーク機器へのアクセスの双方を実現可能とすることを目的とする。 An object of the present invention is to enable both remote access to an external network and access to a network device in a local network while maintaining security without setting a policy.
本発明に係るリモートアクセスサービスシステムは、ネットワーク機器と共にローカルネットワークに接続され、クライアント用リモートアクセスサービス機能が搭載された情報処理装置と、前記ローカルネットワークとは異なる外部ネットワークに接続され、サーバ用リモートアクセスサービス機能が搭載されたゲートウェイ装置と、前記情報処理装置と前記ゲートウェイ装置とを接続する仮想プライベートネットワークと、を有し、前記情報処理装置は、ユーザからの前記ネットワーク機器に対するアクセス要求に応じて取得した前記ネットワーク機器宛のパケットを、前記仮想プライベートネットワークを介して前記ゲートウェイ装置へ送信する第1送信手段を有し、前記ゲートウェイ装置は、前記第1送信手段により送信されたパケットを、前記仮想プライベートネットワークを介して前記情報処理装置へ返送する返送手段を有し、前記情報処理装置は、前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して返送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段を有することを特徴とする。 A remote access service system according to the present invention is connected to a local network together with a network device, and is connected to an information processing apparatus equipped with a client remote access service function and an external network different from the local network, and remote access for a server. A gateway device having a service function, and a virtual private network connecting the information processing device and the gateway device, the information processing device being acquired in response to an access request to the network device from a user A first transmission unit configured to transmit the packet addressed to the network device to the gateway device via the virtual private network, wherein the gateway device transmits the packet transmitted by the first transmission unit. Is sent back to the information processing device via the virtual private network, and the information processing device sends the gateway device from the gateway device via the virtual private network in response to transmission by the first sending device. It has the 2nd transmission means which transmits the returned packet to the network apparatus, It is characterized by the above-mentioned.
本発明に係る情報処理装置は、同じローカルネットワークに接続されたネットワーク機器に対するユーザからのアクセス要求に応じて取得した前記ネットワーク機器宛のパケットを、仮想プライベートネットワークを介して前記ローカルネットワークとは異なる外部ネットワークに接続されたゲートウェイ装置へ送信する第1送信手段と、前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して返送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段と、を有することを特徴とする。 An information processing apparatus according to the present invention provides a packet addressed to a network device acquired in response to an access request from a user to a network device connected to the same local network via an external network different from the local network via a virtual private network. A first transmission unit configured to transmit to a gateway device connected to the network; and the packet returned from the gateway device via the virtual private network in response to transmission by the first transmission unit is transmitted to the network device. And a second transmission means.
本発明に係るゲートウェイ装置は、 情報処理装置及びネットワーク機器が接続されたローカルネットワークとは異なる外部ネットワークに接続されたゲートウェイ装置において、情報処理装置が前記ネットワーク機器に対するユーザからのアクセス要求に応じて取得した前記ネットワーク機器宛のパケットであって仮想プライベートネットワークを介して前記情報処理装置から送信されてきたパケットを、前記仮想プライベートネットワークを介して前記情報処理装置へ返送する返送手段を有することを特徴とする。 The gateway device according to the present invention is a gateway device connected to an external network different from a local network to which the information processing device and the network device are connected, and the information processing device is acquired in response to an access request from the user to the network device. And a return means for returning the packet addressed to the network device and transmitted from the information processing apparatus via the virtual private network to the information processing apparatus via the virtual private network. To do.
本発明に係るプログラムは、コンピュータを、同じローカルネットワークに接続されたネットワーク機器に対するユーザからのアクセス要求に応じて取得した前記ネットワーク機器宛のパケットを、仮想プライベートネットワークを介して前記ローカルネットワークとは異なる外部ネットワークに接続されたゲートウェイ装置へ送信する第1送信手段、前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して返送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段、として機能させる。 The program according to the present invention differs from the local network through a virtual private network for a packet addressed to the network device acquired by a computer in response to a user access request to a network device connected to the same local network. First transmission means for transmitting to a gateway device connected to an external network, and transmitting the packet returned from the gateway device via the virtual private network to the network device in response to transmission by the first transmission means It functions as a second transmission means.
本発明に係るプログラムは、情報処理装置及びネットワーク機器が接続されたローカルネットワークとは異なる外部ネットワークに接続されたゲートウェイ装置に搭載されたコンピュータを、情報処理装置が前記ネットワーク機器に対するユーザからのアクセス要求に応じて取得した前記ネットワーク機器宛のパケットであって仮想プライベートネットワークを介して前記情報処理装置から送信されてきたパケットを、前記仮想プライベートネットワークを介して前記情報処理装置へ返送する返送手段として機能させる。 The program according to the present invention includes a computer installed in a gateway device connected to an external network different from a local network to which the information processing device and the network device are connected, and the information processing device requests an access from the user to the network device. Function as a return means for returning a packet addressed to the network device acquired in response to the packet and transmitted from the information processing apparatus via the virtual private network to the information processing apparatus via the virtual private network Let
本発明に係るリモートアクセスサービスシステムは、クライアント用リモートアクセスサービス機能が搭載された第1情報処理装置と、ネットワーク機器と共にローカルネットワークに接続され、クライアント用リモートアクセスサービス機能が搭載された第2情報処理装置と、前記第1情報処理装置及び前記第2情報処理装置が接続されたローカルネットワークとは異なる外部ネットワークに接続され、サーバ用リモートアクセスサービス機能が搭載されたゲートウェイ装置と、前記第1情報処理装置及び前記第2情報処理装置それぞれと前記ゲートウェイ装置とを接続する仮想プライベートネットワークと、を有し、前記第1情報処理装置は、ユーザからの前記ネットワーク機器に対するアクセス要求に応じて取得した前記ネットワーク機器宛のパケットを、前記仮想プライベートネットワークを介して前記ゲートウェイ装置へ送信する第1送信手段を有し、前記ゲートウェイ装置は、前記第1送信手段により送信されたパケットを、前記仮想プライベートネットワークを介して前記第2情報処理装置へ転送する転送手段を有し、前記第2情報処理装置は、前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して転送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段を有することを特徴とする。 A remote access service system according to the present invention includes a first information processing apparatus equipped with a client remote access service function, and a second information process connected to a local network together with a network device and equipped with a client remote access service function. And a gateway device connected to an external network different from a local network to which the first information processing device and the second information processing device are connected, and equipped with a server remote access service function, and the first information processing A virtual private network that connects each of the device and the second information processing device to the gateway device, and the first information processing device acquires the network in response to an access request to the network device from a user A first transmission unit configured to transmit a packet addressed to the gateway to the gateway device via the virtual private network, and the gateway device transmits the packet transmitted by the first transmission unit via the virtual private network. Transfer means for transferring to the second information processing apparatus, the second information processing apparatus being transferred from the gateway apparatus via the virtual private network in response to transmission by the first transmission means. It has the 2nd transmission means which transmits a packet to the said network apparatus, It is characterized by the above-mentioned.
請求項1に記載の発明によれば、ポリシーを設定させることなくセキュリティ性を維持しつつ外部ネットワークへのリモートアクセス及びローカルネットワーク内のネットワーク機器へのアクセスの双方を実現することができる。 According to the first aspect of the present invention, it is possible to realize both remote access to an external network and access to a network device in a local network while maintaining security without setting a policy.
請求項2に記載の発明によれば、ポリシーを設定させることなくセキュリティ性を維持しつつ外部ネットワークへのリモートアクセス及びローカルネットワーク内のネットワーク機器へのアクセスの双方を実現することができる。 According to the second aspect of the present invention, it is possible to realize both remote access to an external network and access to a network device in a local network while maintaining security without setting a policy.
請求項3に記載の発明によれば、ポリシーを設定させることなくセキュリティ性を維持しつつ外部ネットワークへのリモートアクセス及びローカルネットワーク内のネットワーク機器へのアクセスの双方を実現することができる。 According to the third aspect of the present invention, it is possible to realize both remote access to an external network and access to a network device in a local network while maintaining security without setting a policy.
請求項4に記載の発明によれば、ポリシーを設定させることなくセキュリティ性を維持しつつ外部ネットワークへのリモートアクセス及びローカルネットワーク内のネットワーク機器へのアクセスの双方を実現することができる。 According to the fourth aspect of the present invention, it is possible to realize both remote access to an external network and access to a network device in a local network while maintaining security without setting a policy.
請求項5に記載の発明によれば、ポリシーを設定させることなくセキュリティ性を維持しつつ外部ネットワークへのリモートアクセス及びローカルネットワーク内のネットワーク機器へのアクセスの双方を実現することができる。 According to the fifth aspect of the present invention, it is possible to realize both remote access to an external network and access to a network device in a local network while maintaining security without setting a policy.
請求項6に記載の発明によれば、ポリシーを設定させることなくセキュリティ性を維持しつつ外部ネットワークへのリモートアクセス及びローカルネットワーク内のネットワーク機器へのアクセスの双方を実現することができる。 According to the invention described in claim 6, it is possible to realize both remote access to an external network and access to a network device in a local network while maintaining security without setting a policy.
以下、図面に基づいて、本発明の好適な実施の形態について説明する。 Hereinafter, preferred embodiments of the present invention will be described with reference to the drawings.
実施の形態1.
図1は、本発明にリモートアクセスサービスシステムの一実施の形態を示したブロック構成図である。図1には、ローカルネットワークシステム1と社内ネットワークシステム2とがそれぞれインターネット3に接続された構成が示されている。ローカルネットワークシステム1は、社内ネットワークシステム2が構築された企業における従業員に自宅に構築されたネットワークシステムである。図1には、本発明の情報処理装置に相当する端末装置10とブロードバンドルータ4とがネットワーク6に接続された構成が示されている。また、ブロードバンドルータ4には、ネットワーク機器としてNAS7が接続されている。なお、ネットワーク6には、複数台の端末装置10が接続されていてもよい。インターネット3には、複数のローカルネットワークシステム1が接続されていてもよいが、それぞれ同等の構成を有しているので、図1では、1つのローカルネットワークシステム1のみを示した。
FIG. 1 is a block diagram showing an embodiment of a remote access service system according to the present invention. FIG. 1 shows a configuration in which a
社内ネットワークシステム2は、ある企業内に構築されたネットワークシステムであり、ローカルネットワークシステム1からしてみると外部のネットワークシステムに相当する。図1には、ゲートウェイ装置20とPC8とがネットワーク9に接続された構成が示されている。なお、ネットワーク9には、複数台のPC8が接続されていてもよい。
The in-
本実施の形態において「リモートアクセスサービス(以下、単に「RAS」ともいう)」というのは、ネットワークを介して遠隔地のコンピュータ(本実施の形態においては社内ネットワークシステム2)の持つ機能やデータ等の資源を遠隔から利用できるようにするサービスのことをいう。そのためにコンピュータにアクセスする側の遠隔地のコンピュータ(端末装置10)に搭載されるのがクライアント用RAS機能であり、RASを提供するコンピュータ(ゲートウェイ装置20)に搭載されるのがサーバ用RAS機能である。
In the present embodiment, “remote access service (hereinafter also simply referred to as“ RAS ”)” means functions, data, etc. of a remote computer (in-
図2は、本実施の形態における端末装置10を形成するコンピュータのハードウェア構成図である。本実施の形態において端末装置10を形成するコンピュータは、PC等の従前から存在する汎用的なハードウェア構成で実現できる。すなわち、コンピュータは、図2に示したようにCPU31、ROM32、RAM33、ハードディスクドライブ(HDD)34、ユーザインタフェース手段として設けられたマウス35、キーボード36及びディスプレイ37をそれぞれ接続する入出力コントローラ38、通信手段として設けられたネットワークコントローラ39を内部バス40に接続して構成される。
FIG. 2 is a hardware configuration diagram of a computer forming the
また、本実施の形態におけるゲートウェイ装置20は、従前から存在する汎用的なハードウェア構成で実現してよい。端末装置10のようにユーザインタフェース手段は不要かもしれないが、コンピュータを内蔵していることからCPU、ROM及びRAM等を有している。
In addition, the
図1に戻り、本実施の形態における端末装置10は、アプリケーション実行部11、通信部12、VPN接続要求部13、VPN通信部14及び経路制御部15を有している。アプリケーション実行部11は、ユーザに指定されたアプリケーション(ローカルプロセス)を実行する。通信部12は、社内ネットワークシステム2との間でVPNを利用しないデータ通信を実行する。VPN接続要求部13は、端末装置10に予めインストールされたクライアント用RAS機能により端末装置10のOSが認識できるVPNアクセス用のネットワークデバイス(VPNクライアント)として動作し、VPN接続確立時にVPN通信部14を生成する。VPN通信部14は、VPN接続されたゲートウェイ装置20との間でVPNを介したデータ通信を実行する。経路制御部15は、ユーザからのNAS7に対するアクセス要求に応じて取得したNAS7宛のパケットを、VPNを介してゲートウェイ装置20へ送信する第1送信手段として機能する。更に、経路制御部15は、第1送信手段による送信に応じてゲートウェイ装置20から返送されてきたパケットを、当該パケットの本来の宛先であるNAS7へ送信する第2送信手段として機能する。経路制御部15に含まれる通信エージェント受信部151は、ゲートウェイ装置20から送られてくる通信エージェントを受信する。
Returning to FIG. 1, the
端末装置10における各構成要素11〜15は、端末装置10を形成するコンピュータと、コンピュータに搭載されたCPU31で動作するプログラムとの協調動作により実現される。
Each component 11-15 in the
本実施の形態におけるゲートウェイ装置20は、エリア内通信部21、通信部22、VPN接続受付部23、VPN通信部24、セキュリティ検査部25、経路制御部26、通信エージェント管理部27及び通信エージェント記憶部28を有している。エリア内通信部21は、ネットワークに接続されたPC8とのデータ通信を実行する。通信部22は、ローカルネットワークシステム1との間でVPNを利用しないデータ通信を実行する。VPN接続受付部23は、端末装置10からのVPN接続要求を受け付け、VPN通信部24を生成することで端末装置10との間でVPNを確立する。VPN通信部24は、VPN接続された端末装置10との間でVPNを介したデータ通信を実行する。セキュリティ検査部25は、端末装置10との間で授受されるパケットのセキュリティ検査を実行する。経路制御部26は、端末装置10から送信されてきたパケットを、VPNを介して返送する返送手段として機能する。通信エージェント記憶部28は、通信エージェントを記憶する。本実施の形態における「通信エージェント」は、例えばOpenSSH(Open Secure Shell)のポートフォワード機能などによってアプリケーションに代わり通信を代理で行う仕組み(プログラム)のことをいう。通信エージェント管理部27は、通信エージェント記憶部28を用いて端末装置10に提供する通信エージェントの管理を行う。
The
ゲートウェイ装置20における各構成要素21〜27は、ゲートウェイ装置20に搭載されたコンピュータと、コンピュータに搭載されたCPUで動作するプログラムとの協調動作により実現される。また、通信エージェント記憶部28は、ゲートウェイ装置20に搭載されたHDD又はRAMにて実現される。あるいは外部にある記憶手段をネットワーク経由で利用してもよい。
Each
また、本実施の形態で用いるプログラムは、通信手段により提供することはもちろん、CD−ROMやUSBメモリ等のコンピュータ読み取り可能な記録媒体に格納して提供することも可能である。通信手段や記録媒体から提供されたプログラムはコンピュータにインストールされ、コンピュータのCPUがプログラムを順次実行することで各種処理が実現される。 Further, the program used in this embodiment can be provided not only by communication means but also by storing it in a computer-readable recording medium such as a CD-ROM or USB memory. The program provided from the communication means or the recording medium is installed in the computer, and various processes are realized by the CPU of the computer sequentially executing the program.
次に、本実施の形態における動作について説明する。本実施の形態では、会社から貸与された端末装置10を自宅に持ち帰り、社内ネットワークシステム2へVPN接続しながらNAS7に格納されているファイルをHTTP(Hypertext Transfer Protocol)で端末装置10にダウンロードする場合を例にして説明する。
Next, the operation in this embodiment will be described. In the present embodiment, the
まず、VPN接続処理について図3に示したフローチャートを用いて説明するが、基本的には従前と同様に処理すればよい。 First, the VPN connection process will be described with reference to the flowchart shown in FIG. 3, but basically the same process as before may be performed.
すなわち、ユーザは、セキュリティ性を維持した社内ネットワークシステム2との通信を確保するためにVPNの利用を選択することになるが、そのために所定の操作を行うことでVPN接続要求部13を起動する。
That is, the user selects the use of the VPN in order to ensure the communication with the in-
VPN接続要求部13は、起動されるとそのユーザからのVPN接続要求を受け付け(ステップ111)、VPN接続要求をゲートウェイ装置20へ送信することでVPN接続を開始する(ステップ112)。
When activated, the VPN
ゲートウェイ装置20におけるVPN接続受付部23は、端末装置10からのVPN接続要求を受け付けると、VPN接続要求部13と連携し、それぞれにVPN通信部14,24を生成することで端末装置10との間でVPNを確立する(ステップ113)。
When the VPN
このようにしてVPNが確立すると、経路制御部15は、アプリケーション実行部11により実行されるアプリケーションによる全ての通信をゲートウェイ装置20へ誘導する経路制御を開始する(ステップ114)。これは、例えば端末装置10のデフォルトゲートウェイをRASサーバ、すなわちゲートウェイ装置20と設定し、それ以外の経路を削除するようにして実現してもよい。
When the VPN is established in this way, the
このように、アプリケーションからのNAS7を含めローカルネットワークシステム1に対するアクセス要求は全てゲートウェイ装置20へ送られることになる。なお、後述するように、端末装置10は、ゲートウェイ装置20から送信されてくる通信エージェントを受信することになるので、経路制御部15は、そのために受信サービス(通信エージェント受信部151)を立ち上げ受信可能な状態にて待機する。また、例えば、VPN通信部14の10022ポートからのパケット受信を常時監視、待機する。
Thus, all access requests from the application to the
続いて、VPN接続処理終了後、ユーザがNAS7に格納されているファイルを端末装置10にダウンロードする時の処理に流れについて図4に示した通信フロー図を用いて説明する。
Next, a flow of processing when the user downloads a file stored in the NAS 7 to the
まず、端末装置10のユーザが所定の操作によりアプリケーション(例えば、ブラウザ)を起動し、NAS7のアドレスを入力指定すると、起動されたアプリケーションは、NAS7に格納されているファイルをダウンロードするためのアクセス要求を出す。経路制御部15は、NAS7へのアクセス要求を受け付けると(ステップ121)、その要求元はローカルプロセスなので、そのアクセス要求に応じて取得したパケットの送信先をゲートウェイ装置20に振り替える。これにより、経路制御部15は、VPN通信部14に当該パケットをデフォルトゲートウェイであるゲートウェイ装置20へVPNを介して送信させる(ステップ122)。
First, when the user of the
ゲートウェイ装置20におけるVPN通信部24がVPNを介して端末装置10から送信されてきたパケットを受信すると(ステップ221)、セキュリティ検査部25は、受信したパケットのセキュリティ検査を実行する(ステップ222)。例えば、HTTPのコンテンツにウイルスが含まれるかどうかを透過的に検査するウイルススキャンを実行する。なお、パケットの受信時(NAS7へのリクエスト時)ではなくパケットの返送時に検査を行うようにしてもよい。
When the
続いて、経路制御部26は、受信したパケットの宛先を解析することで宛先及び通信先ポートを取得する(ステップ223)。ここで、パケットの宛先がこの例のようにNAS7であることからローカルネットワークシステム1側である場合、経路制御部26は、宛先及び通信先ポートの組を通信エージェント管理部27へ通知する。なお、パケットの宛先は、経路制御部26がネットワークアドレスで判断したり、端末装置10に情報提供させたりしてもよい。
Subsequently, the path control
通信エージェント管理部27は、通知された宛先と通信先ポートとの組合せに対応した通信エージェントを検索することで通信エージェント記憶部28から取り出す。もし、存在しない場合は、通信エージェントを新たに生成して、起動すると共に、宛先、通信先ポート、通信エージェントID及びリダイレクトポートを組にしたエントリ及び通信エージェントを通信エージェント記憶部28に登録する(ステップ224)。
The communication
このようにして、通信エージェント管理部27は、受信したパケットの宛先と通信先ポートとの組合せに対応した通信エージェントを経路制御部26へ送ると、経路制御部26は、その通信エージェントをVPN通信部24に、VPNを介して端末装置10へ転送させる(ステップ225)。そして、通信エージェント受信部151は、ゲートウェイ装置20から転送されてきた通信エージェントを受信し、起動する(ステップ124)。なお、当該通信エージェントが以前に転送していれば、再送する必要はない。
In this way, when the communication
例えば、OpenSSHの場合、NAS7のアドレスが10.0.0.254、通信先ポートが80、VPN通信部14のアドレスが172.16.0.1、リダイレクトポートが10080だとすると、「Openssh −p 10022 −L 10080:10.0.0.254:80 172.16.0.1」というコマンドで実現可能となる。SSH接続が完了すると、10080のポートは10.0.0.254の80ポートへ転送されるようになる。より具体的には、経路制御部26は、VPN通信部24からの10.0.0.254:80宛のパケットを10080へリダイレクトする処理を行う。
For example, in the case of OpenSSH, assuming that the address of NAS7 is 10.0.0.254, the communication destination port is 80, the address of the
通信エージェント転送後、経路制御部26は、受信したパケットを端末装置10へ返送する(ステップ226)。
After transferring the communication agent, the
端末装置10における経路制御部15は、ゲートウェイ装置20から返送されてきたパケットを受信することになるが、VPN通信部14の10022ポートから受信されたパケットは、通信エージェントによる制御のもとパケットの本来の宛先となるNAS7へ転送される(ステップ126)。
The
図1では、以上説明したアプリケーションから送出されたNAS7宛のパケットの経路をRn(n=1〜11)で示した。図1から明らかなように、本実施の形態における経路制御部15は、アプリケーションからのNAS7へのアクセス要求に応じてパケットを取得した場合、そのパケットを本来の宛先であるNAS7ではなくVPNを介してゲートウェイ装置20へ送信する。一方、ゲートウェイ装置20によりリダイレクトされVPNを介して返送されてきたパケットの場合、経路制御部15は、そのパケットを本来の宛先であるNAS7へ送信する。このようにして、面倒であるポリシーの設定を行わなくても端末装置10のユーザにNAS7へアクセスさせることが可能となる。また、ローカルネットワークシステム1側のネットワーク機器に対して、自宅と比較してセキュリティ対策が十分に施されている社内ネットワークシステム2を経由してアクセスさせるようにしたので、セキュリティ性も維持されている。
In FIG. 1, the route of the packet addressed to the NAS 7 sent from the above-described application is indicated by Rn (n = 1 to 11). As is clear from FIG. 1, when the path control
実施の形態2.
図5は、本実施の形態におけるリモートアクセスサービスシステムのブロック構成図である。なお、図面上、構成要素の名称等は省略しているが、実施の形態1と同じ構成要素には同じ符号を付け、説明を適宜省略する。但し、本実施の形態の場合、2組のローカルネットワークシステム1a,1bがインターネット3に接続されているので、それぞれに“a”,“b”という添字を付けて区別できるようにした。なお、本実施の形態におけるハードウェア構成は、実施の形態1と同じでよい。
FIG. 5 is a block diagram of the remote access service system in the present embodiment. In addition, although the name of a component etc. is abbreviate | omitted on drawing, the same code | symbol is attached | subjected to the same component as
実施の形態1では、端末装置10は、同じローカルネットワークシステム1内のNAS7へアクセスする場合を例にして説明した。本実施の形態では、異なるローカルネットワークシステムに存在するネットワーク機器へアクセスする場合である。具体的には、ローカルネットワークシステム1aに含まれる端末装置10aが、異なるローカルネットワークシステム1bに含まれているNAS7bにアクセスする場合であるが、基本的には実施の形態1と同様に処理すればよい。
In the first embodiment, the case where the
すなわち、VPN確立後、経路制御部15aは、NAS7bへのアクセス要求を取得すると、その際に取得したNAS7b宛のパケットをゲートウェイ装置20へVPNを介して送信する。ゲートウェイ装置20における経路制御部26は、端末装置10aから送られてきたパケットの宛先を参照して、NAS7bを含むローカルネットワークシステム1bへVPNを介して送信する。このとき、経路制御部26は、通信エージェントを事前に送信していなければ端末装置10bへ送信する。端末装置10bにおける経路制御部15bは、VPNを介してゲートウェイ装置20から送信されてきたパケットをNAS7bへ転送する。
In other words, after establishing the VPN, when the
図5では、端末装置10a上で動作するアプリケーションから送出されたNAS7b宛のパケットの経路をRn(n=1〜11)で示した。図5から明らかなように、本実施の形態における経路制御部15aは、アプリケーションからのNAS7bへのアクセス要求に応じてパケットを取得した場合、そのパケットを本来の宛先であるNAS7bへ直接送信するのではなくVPNを介してゲートウェイ装置20へ送信する。ゲートウェイ装置20における経路制御部26は、送信されてきたパケットの宛先を参照して、ローカルネットワークシステム1bへ送信する。経路制御部15bは、VPNを介してゲートウェイ装置20から送信されてきたパケットを本来の宛先であるNAS7bへ転送する。
In FIG. 5, the route of the packet addressed to the
以上説明したように、本実施の形態によれば、面倒であるポリシーの設定を行わなくても、アプリケーションは、動作するローカルネットワークシステム1aとは異なるローカルネットワークシステム1bに含まれているネットワーク機器にアクセスすることが可能であり、また各端末装置10a,10bは、セキュリティ対策が十分に施されている社内ネットワークシステム2を経由してパケットの授受をさせるようにしたので、セキュリティ性も維持されている。
As described above, according to the present embodiment, an application can be applied to a network device included in a
1,1a,1b ローカルネットワークシステム、2 社内ネットワークシステム、3 インターネット、4 ブロードバンドルータ、6,9 ネットワーク、7 NAS、8 PC、10,10a,10b 端末装置、11 アプリケーション実行部、12,22 通信部、13 VPN接続要求部、14,24 VPN通信部、15,15a,15b,26 経路制御部、20 ゲートウェイ装置、21 エリア内通信部、23 VPN接続受付部、25 セキュリティ検査部、27 通信エージェント管理部、28 通信エージェント記憶部、31 CPU、32 ROM、33 RAM、34 ハードディスクドライブ(HDD)、35 マウス、36 キーボード、37 ディスプレイ、38 入出力コントローラ、39 ネットワークコントローラ、40 内部バス。
1, 1a, 1b Local network system, 2 in-house network system, 3 Internet, 4 broadband router, 6,9 network, 7 NAS, 8 PC, 10, 10a, 10b terminal device, 11 application execution unit, 12, 22 communication unit , 13 VPN connection request unit, 14, 24 VPN communication unit, 15, 15a, 15b, 26 route control unit, 20 gateway device, 21 intra-area communication unit, 23 VPN connection reception unit, 25 security inspection unit, 27 communication agent management Unit, 28 communication agent storage unit, 31 CPU, 32 ROM, 33 RAM, 34 hard disk drive (HDD), 35 mouse, 36 keyboard, 37 display, 38 I / O controller, 39 network controller, 40 internal bus.
Claims (6)
前記ローカルネットワークとは異なる外部ネットワークに接続され、サーバ用リモートアクセスサービス機能が搭載されたゲートウェイ装置と、
前記情報処理装置と前記ゲートウェイ装置とを接続する仮想プライベートネットワークと、
を有し、
前記情報処理装置は、ユーザからの前記ネットワーク機器に対するアクセス要求に応じて取得した前記ネットワーク機器宛のパケットを、前記仮想プライベートネットワークを介して前記ゲートウェイ装置へ送信する第1送信手段を有し、
前記ゲートウェイ装置は、前記第1送信手段により送信されたパケットを、前記仮想プライベートネットワークを介して前記情報処理装置へ返送する返送手段を有し、
前記情報処理装置は、前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して返送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段を有する、
ことを特徴とするリモートアクセスサービスシステム。 An information processing apparatus connected to a local network together with network devices and equipped with a client remote access service function;
A gateway device connected to an external network different from the local network and equipped with a server remote access service function;
A virtual private network connecting the information processing device and the gateway device;
Have
The information processing apparatus has first transmission means for transmitting a packet addressed to the network device acquired in response to a request for access to the network device from a user to the gateway device via the virtual private network,
The gateway device has return means for returning the packet transmitted by the first transmission means to the information processing apparatus via the virtual private network;
The information processing apparatus includes second transmission means for transmitting the packet returned from the gateway device via the virtual private network to the network device in response to transmission by the first transmission means.
A remote access service system characterized by that.
前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して返送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段と、
を有することを特徴とする情報処理装置。 A packet addressed to the network device acquired in response to an access request from a user to a network device connected to the same local network is transmitted to a gateway device connected to an external network different from the local network via a virtual private network. First transmitting means for
Second transmission means for transmitting the packet returned from the gateway device via the virtual private network to the network device in response to transmission by the first transmission means;
An information processing apparatus comprising:
情報処理装置が前記ネットワーク機器に対するユーザからのアクセス要求に応じて取得した前記ネットワーク機器宛のパケットであって仮想プライベートネットワークを介して前記情報処理装置から送信されてきたパケットを、前記仮想プライベートネットワークを介して前記情報処理装置へ返送する返送手段を有することを特徴とするゲートウェイ装置。 In the gateway device connected to an external network different from the local network to which the information processing device and the network device are connected,
A packet addressed to the network device acquired by the information processing device in response to an access request from the user to the network device and transmitted from the information processing device via the virtual private network is transferred to the virtual private network. A gateway device comprising return means for returning the information to the information processing device.
同じローカルネットワークに接続されたネットワーク機器に対するユーザからのアクセス要求に応じて取得した前記ネットワーク機器宛のパケットを、仮想プライベートネットワークを介して前記ローカルネットワークとは異なる外部ネットワークに接続されたゲートウェイ装置へ送信する第1送信手段、
前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して返送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段、
として機能させるためのプログラム。 Computer
A packet addressed to the network device acquired in response to an access request from a user to a network device connected to the same local network is transmitted to a gateway device connected to an external network different from the local network via a virtual private network. First transmitting means for
Second transmission means for transmitting the packet returned from the gateway device via the virtual private network to the network device in response to transmission by the first transmission means;
Program to function as.
情報処理装置が前記ネットワーク機器に対するユーザからのアクセス要求に応じて取得した前記ネットワーク機器宛のパケットであって仮想プライベートネットワークを介して前記情報処理装置から送信されてきたパケットを、前記仮想プライベートネットワークを介して前記情報処理装置へ返送する返送手段として機能させるためのプログラム。 A computer mounted on a gateway device connected to an external network different from the local network to which the information processing device and the network device are connected,
A packet addressed to the network device acquired by the information processing device in response to an access request from the user to the network device and transmitted from the information processing device via the virtual private network is transferred to the virtual private network. A program for functioning as a return means for returning to the information processing apparatus.
ネットワーク機器と共にローカルネットワークに接続され、クライアント用リモートアクセスサービス機能が搭載された第2情報処理装置と、
前記第1情報処理装置及び前記第2情報処理装置が接続されたローカルネットワークとは異なる外部ネットワークに接続され、サーバ用リモートアクセスサービス機能が搭載されたゲートウェイ装置と、
前記第1情報処理装置及び前記第2情報処理装置それぞれと前記ゲートウェイ装置とを接続する仮想プライベートネットワークと、
を有し、
前記第1情報処理装置は、ユーザからの前記ネットワーク機器に対するアクセス要求に応じて取得した前記ネットワーク機器宛のパケットを、前記仮想プライベートネットワークを介して前記ゲートウェイ装置へ送信する第1送信手段を有し、
前記ゲートウェイ装置は、前記第1送信手段により送信されたパケットを、前記仮想プライベートネットワークを介して前記第2情報処理装置へ転送する転送手段を有し、
前記第2情報処理装置は、前記第1送信手段による送信に応じて前記ゲートウェイ装置から前記仮想プライベートネットワークを介して転送されてきた前記パケットを前記ネットワーク機器へ送信する第2送信手段を有する、
ことを特徴とするリモートアクセスサービスシステム。
A first information processing apparatus equipped with a client remote access service function;
A second information processing apparatus connected to a local network together with a network device and equipped with a client remote access service function;
A gateway device connected to an external network different from a local network to which the first information processing device and the second information processing device are connected, and equipped with a server remote access service function;
A virtual private network connecting each of the first information processing apparatus and the second information processing apparatus and the gateway apparatus;
Have
The first information processing apparatus includes first transmission means for transmitting a packet addressed to the network device acquired in response to a request for access to the network device from a user to the gateway device via the virtual private network. ,
The gateway device includes a transfer unit configured to transfer the packet transmitted by the first transmission unit to the second information processing device via the virtual private network;
The second information processing apparatus includes second transmission means for transmitting the packet transferred from the gateway apparatus via the virtual private network to the network device in response to transmission by the first transmission means.
A remote access service system characterized by that.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016103993A JP2017212572A (en) | 2016-05-25 | 2016-05-25 | Remote access service system, information processing device, gateway device, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2016103993A JP2017212572A (en) | 2016-05-25 | 2016-05-25 | Remote access service system, information processing device, gateway device, and program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2017212572A true JP2017212572A (en) | 2017-11-30 |
Family
ID=60475740
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2016103993A Pending JP2017212572A (en) | 2016-05-25 | 2016-05-25 | Remote access service system, information processing device, gateway device, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2017212572A (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022185984A1 (en) * | 2021-03-04 | 2022-09-09 | 京セラドキュメントソリューションズ株式会社 | Information processing device and information processing system |
-
2016
- 2016-05-25 JP JP2016103993A patent/JP2017212572A/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2022185984A1 (en) * | 2021-03-04 | 2022-09-09 | 京セラドキュメントソリューションズ株式会社 | Information processing device and information processing system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11316787B2 (en) | Method and apparatus for traffic optimization in virtual private networks (VPNs) | |
JP5333263B2 (en) | Access control system and access control method | |
US11882199B2 (en) | Virtual private network (VPN) whose traffic is intelligently routed | |
US20170034174A1 (en) | Method for providing access to a web server | |
JP5212913B2 (en) | VPN connection system and VPN connection method | |
JP3950055B2 (en) | Remote proxy server agent | |
US20200412708A1 (en) | Link protocol agents for inter-application communications | |
US20220045934A1 (en) | Method and apparatus of automatic route optimization in a private virtual network for client devices of a local network | |
JP2008181427A (en) | Single sign-on system, information terminal device, single sign-on server, program | |
US10367894B2 (en) | Information processing apparatus, method for controlling the same, non-transitory computer-readable storage medium, and information processing system | |
JP6444988B2 (en) | Communication system using HTTP | |
JP2017118545A5 (en) | ||
JP4429059B2 (en) | Communication control method and program, communication control system, and communication control related apparatus | |
TWI625950B (en) | Method for relaying packets with aid of network address translation in a network system, and associated apparatus | |
JP2017212572A (en) | Remote access service system, information processing device, gateway device, and program | |
JP2010193306A (en) | Ssl/tls connection method and computer program | |
JP2014123864A (en) | Management system of information communication apparatus, management server, information communication apparatus, and computer program | |
US20230122746A1 (en) | System and method for enabling secure web access | |
JP2008217376A (en) | Content sharing method and system | |
JP4355696B2 (en) | Router, packet forward method, and packet forward program | |
JP5758461B2 (en) | Communication method, external information processing apparatus, internal information processing apparatus, and program | |
US20180248958A1 (en) | Sharing local network resources with a remote vdi instance | |
JP4930856B2 (en) | Communication system, gateway device, client device, computer name conversion method and program | |
Tschofenig et al. | CORE C. Bormann Internet-Draft Universitaet Bremen TZI Intended status: Standards Track S. Lemay Expires: February 25, 2017 Zebra Technologies | |
JP2020086834A (en) | Information processing system, program, and information processing method used in virtual desktop environment |