職場でインターネット回線を来客者に使わせるための環境を教えてください。

職場でインターネット回線を来客者に使わせるための環境を教えてください。

現在は、モデムにブロードバンドルータをつなげています。
ルータの下に、アクセスポイント２台、NAS、ネットワークプリンタ、PC複数台を接続しています。

来客者には上記の機器へのアクセスはさせたくありません。

インターネットは使用させつつ、既存のネットワークからは隔離させるには
どのような機器の、どのような機能を使えばよいのでしょうか？

FONを入れてみましたが、FONは使用者がFONに登録していることが条件みたいでした。
「FS-G300N」がずばりの商品のようなのですが、もう少し投資を抑えたいです。

※来客者は不特定多数ではなく、顔見知りの人です。

既存のネットワークの下にルータを増設してLAN側を別セグメントにするだけで実現したりはしないですかね・・・？

乱文ですが、どうぞよろしくお願いいたします。

No.1 ベストアンサー 回答者： wakaba2010 回答日時： 2010/01/09 22:02

ルータの下に、市販の無線LANルータ等を設置し、来客者専用とされてはどうでしょう。

その際、来客用無線LANルータは、職場と異なるネットワークアドレスのIPをDHCPで割り振ることが良いと思います。
例）職場：192.168.1.XXX、来客：192.168.100.XXX
さらに、既存のルータで、上記例で言えば192.168.100.XXXから192.168.1.XXXへの通信を禁止するようアクセスリストを設定して守ってあげるべきです。

準備される際、上記のような設定を行った後、来客者に貸し出す前に必ず職場へ通信できないことを試験してください。

来客者用のルータのパスワードは強固に設定し、必要無い時は電源OFF等の運用で対処されてはいかがでしょうか。

この回答へのお礼

回答ありがとうございます。

違うセグメントのLANを作ればいいことが分かりました。
家庭用ブロードバンドルータでどこまで設定できるか分かりませんが、
リスト作って通信を遮断する概念も理解できました。

ルータのパスワードは定期的に変更し、
SSIDのパスワードは月一で変えようと思います。

お礼日時：2010/01/15 19:41

No.5 回答者： wakaba2010 回答日時： 2010/01/10 20:24

ルータでのアクセス規制は、来客者が使うパソコンからの通信は、インターネットへは自由に解放しても良いですが、来客者パソコンのIP→社内への通信については、ポート番号は意識せず、「すべてのポート」を遮断すべきです。

来客者は社内への通信は全く必要ないので、すべて遮断しないとセキュリティ上問題が大きいです。

解釈を間違って設定されると、セキュリティ上問題ですので、注意してください。

この回答へのお礼

回答ありがとうございます。

確かに、すべてのポートは閉じた方がいいですね。
来客者のPCがウイルスに感染していて、
こっちのネットワークにポートアタックとかされたら大変ですね。

ネットワークの構築って奥が深くて楽しいですね。

お礼日時：2010/01/15 19:52

No.4 回答者： koi1234 回答日時： 2010/01/10 11:17

#3一寸補足

NASやネットワークプリンタではhttpやsnmpプロトコルなど共有以外の
通信ポート使ってるかもしれません
それらも遮断させたくて尚且つルータ追加するならそのルータは親になるルータ以外への
通信遮断した方が（ポ－ト個別に設定するより）手っ取り早いかもしれません

No.3 回答者： koi1234 回答日時： 2010/01/10 11:10

>既存のネットワークの下にルータを増設してLAN側を別セグメントにするだけで実現したりはしないですかね・・・？

#1さんも書かれてますが
基本的にはそれで実現可能です
ただしIPアドレス直接打たれると社内LANPCへのアクセスができますので
137-139/445ポートを追加したルータのWAN・LAN間で遮断してください
（遮断しなくてもPC検索などはできないと筈ですがIPでアクセスが可能）

#2さんの方法はインターネットにはつなげないでLAN（共有）限定でつなげる方法となります
（でも既にVistaではNetBEUIプロトコルサポート外だから実現はできません）

この回答へのお礼

回答ありがとうございます。

実験してみたところ、pingも簡単に通ってしまったので、
ルータの設定をいじる必要がありそうです。

お礼日時：2010/01/15 19:48

No.2 回答者： k-ayako 回答日時： 2010/01/09 22:25

昔のWindows（Win95とか）は自分でTCPのインストールやマイクロソフトネットワークの設定をしない限り、ネットワーク参加はできませんでした。

Windowsという環境が前提ですけど、ネットワークアダプタの設定でインターネットプロトコル以外のネットワーク関係の設定（マイクロソフトネットワーク用クライアントとネットワーク共有）を削除しちゃえばネットワークに参加できなくなると思いますがどうでしょう？

ルータとのやりとりはきちんとIPアドレスが割り振られたTCP/IPのプロトコルで行われますからネットには接続できます。（マイクロソフトネットワークはインターネット通信には無関係なので）

自分で試していないので確証はないですが、昔はいちいちマイクロソフトネットワーククライアントのインストールをしないとネットワーク参加できなかったので（インターネットは接続できる）このやり方でイケると思うんですよね。

この回答へのお礼

回答ありがとうございます。

来客者はPC持込なので、お客さんのPCをいじるのは難しそうです。

お礼日時：2010/01/15 19:43