POPCHATのネットワーク設定の設定項目について、WAN側インターフェースとLAN側インターフェースは必ずしも設定しなければいけないのでしょうか…

POPCHATご利用検討に関するお問い合せ事例

POPCHATご利用検討の参考に、いただいたお問い合せと当社からの回答の事例をご紹介

お問い合せいただいた時点でのPOPCHATの仕様やサービスモデルに基づいた、その時点での回答をご紹介しております。
その後のバージョンアップや機能追加などにより、一部最新のPOPCHAT製品情報によるご案内とは異なる部分があり得ますことを、ご了承ください。

POPCHATご利用にあたってのお問い合せ内容

 
ルータの下部の無線IPセグメントに、インターネット向けのアクセス制御としてMicroPOPCHATⅡの導入を検討しており、その検証として、一般販社様経由でPOPCHATの検証器を借用し、検証環境を構築し機能試験の実施をしておりますが、ネットワークの設定について以下質問させてください。
 
〔1〕POPCHATの基本設定-ネットワーク設定の設定項目について、WAN側インターフェースとLAN側インターフェースは必ずしも設定しなければいけないのでしょうか。
(IPアドレスはそれぞれ2つ必ず割り振らなければいけないのでしょうか)
 
公式ページの導入 > ネットワーク構成 にもある通り、
「POPCHATのWAN側とLAN側は、異なるセグメントになります」と記載があるので、そうならざるを得ないと思いますが、現状、POPCHATを導入しているエンドユーザー様のセグメントは1つで運用しております。
例)ルータ 10.10.10.1
  セキュリティ装置 10.10.10.2
  PC 10.10.10.100~240(DHCP)
 
極力、エンドユーザー様の要望で、構成変更を生じない方向での導入を求められております。
上記のセキュリティ装置の所をPOPCHATに入れ替える想定でしたが、WAN側とLAN側のセグメントを分けるとなると、影響範囲が大きくなります。
 
〔2〕上記構成で、セグメントを必ず分けなければいけない場合、既存の機器に影響を(構成変更を)かけない方向での設定の方法は何か無いでしょうか。
 
〔3〕検証環境にて、公式ページの「導入 > ネットワーク構成」のようにセグメントを分けた場合、ルータ-POPCHAT-PCの最小構成で検証環境を組んでいますが、ルータにルーティング設定をすることで、セグメントを分けても、ルータからPCへのPingが疎通可能となりましたが、PCのGWをルータにしても、popchatのLAN側にしても、PCからルータへ疎通ができません。
こうなると、実際現地に導入した際、PC側から疎通ができないと思われますが、何か設定が足りないのでしょうか。
 
QAを確認しましたところ
「POPCHAT機器のWAN側から、LAN側の機器にアクセスするにはポート転送機能を設定する必要があります。」とありますが、QAの画面と、検証器の画面が異なることと、マニュアルのポート転送機能の欄を見ても、記載方法が具体的ではない為、設定方法が分かりません。
 
実際の検証構成例として、
ルータ-POPCHAT-PCの構成として、
例)ルータ 10.10.10.1/24
  POPCHAT WAN側 10.10.10.2/24
       LAN側 10.10.100.1/24
  PC 10.10.100.100/24
とした場合、PC側からルータへの疎通(もしくはインターネットへ疎通さえできればいいです)に必要なポート設定の例をご教授いただきたく。
 
〔4〕同じく「導入 > ネットワーク構成 」のページに
「DHCPサーバは、POPCHATが兼ねます。」と記載がありますが、POPCHATを導入する場合、必ずPOPCHATがDHCPサーバになる事は必須要件でしょうか。
DHCPサーバ機能を有効にする手段はありますでしょうか。(検証器を触ってみたところ、無効にすることは不可能に思われますが)
 
現在は違う機器がDHCPサーバとしての機能を持っている為、前述同様、極力構成変更をかけない為、できれば既存のままの構成でいきたいのですが。
 
〔5〕同じく「導入 > ネットワーク構成 」の欄にて、
「POPCHATはNATしています」と記載がありますが、WAN側とLAN側で、POPCHATを経由してAD認証は可能でしょうか。
(現状、クラウドで、WAN側にADサーバがある為、POPCHATを導入した場合、AD認証に支障が無いかを懸念しています。)
 
以上、よろしくお願いします。
 

◆ お問い合せの日付

2016年6月24日

◆ お問い合せの方のご状況

取引先クライアントのネットワーク構築にPOPCHATの活用を検討中のシステム構築会社さま

 

上記お問い合せへの当社からの対応の例

POPCHATはIPアドレスを必ず2つ割り振る必要があり、またそのIPアドレスは異なったサブネットである必要がございます…

この度はお問い合わせをいただきましてありがとうございます。

〔1〕POPCHATの基本設定-ネットワーク設定の設定項目について、WAN側インターフェースとLAN側インターフェースは必ずしも設定しなければいけないのでしょうか。
(IPアドレスはそれぞれ2つ必ず割り振らなければいけないのでしょうか)
公式ページの導入 > ネットワーク構成 にもある通り、
「POPCHATのWAN側とLAN側は、異なるセグメントになります」と記載があるので、そうならざるを得ないと思いますが、現状、POPCHATを導入しているエンドユーザー様のセグメントは1つで運用しております。
例)ルータ 10.10.10.1
  セキュリティ装置 10.10.10.2
  PC 10.10.10.100~240(DHCP)
 
極力、エンドユーザー様の要望で、構成変更を生じない方向での導入を求められております。
上記のセキュリティ装置の所をPOPCHATに入れ替える想定でしたが、WAN側とLAN側のセグメントを分けるとなると、影響範囲が大きくなります。

POPCHATはIPアドレスを必ず2つ割り振る必要があり、またそのIPアドレスは異なったサブネットである必要がございます。

 

〔2〕上記構成で、セグメントを必ず分けなければいけない場合、既存の機器に影響を(構成変更を)かけない方向での設定の方法は何か無いでしょうか。

あくまで一例となりますが、現在、ルータ配下のサブネットは10.10.10.0/24と推測されます。
その場合、下記のようにサブネットを分割する方法が考えられます。

[ルータ]–10.10.10.0/25–[POPCHAT]–10.10.10.126/25–[クライアント群]

この方法であればルーターの設定変更は必要ですが、それより上位のNW機器類の設定変更は不要となります。またクライアントに割り当てるリースアドレス範囲も現状のままで対応可能です。
※ルータとPOPCHAT間は32bitなど、25bitより小さいサブネットでも可能です。

 

〔3〕検証環境にて、公式ページの「導入 > ネットワーク構成」のようにセグメントを分けた場合、ルータ-POPCHAT-PCの最小構成で検証環境を組んでいますが、ルータにルーティング設定をすることで、セグメントを分けても、ルータからPCへのPingが疎通可能となりましたが、PCのGWをルータにしても、popchatのLAN側にしても、PCからルータへ疎通ができません。
こうなると、実際現地に導入した際、PC側から疎通ができないと思われますが、何か設定が足りないのでしょうか。
 
QAを確認しましたところ
「POPCHAT機器のWAN側から、LAN側の機器にアクセスするにはポート転送機能を設定する必要があります。」とありますが、QAの画面と、検証器の画面が異なることと、マニュアルのポート転送機能の欄を見ても、記載方法が具体的ではない為、設定方法が分かりません。
 
実際の検証構成例として、
ルータ-POPCHAT-PCの構成として、
例)ルータ 10.10.10.1/24
  POPCHAT WAN側 10.10.10.2/24
       LAN側 10.10.100.1/24
  PC 10.10.100.100/24
とした場合、PC側からルータへの疎通(もしくはインターネットへ疎通さえできればいいです)に必要なポート設定の例をご教授いただきたく。

LAN側クライアントからの通信に対しては、特にポート転送の設定を行なう必要はございません。
可能性としては、POPCHATで端末の認証が済んでいないことが想定されます。

先に認証動作を行なっていただいた後に再度ご確認いただけますでしょうか。

 

〔4〕同じく「導入 > ネットワーク構成 」のページに
「DHCPサーバは、POPCHATが兼ねます。」と記載がありますが、POPCHATを導入する場合、必ずPOPCHATがDHCPサーバになる事は必須要件でしょうか。
DHCPサーバ機能を有効にする手段はありますでしょうか。(検証器を触ってみたところ、無効にすることは不可能に思われますが)

POPCHATのDHCPサーバを無効とすることはできませんが、POPCHAT以外の
DHCPサーバを使用されたい場合、POPCHATのLAN側に配置可能であれば、以下の構成で利用可能となります。

  • POPCHATのDHCPサーバ設定を行なう
  • POPCHAT配下にL2スイッチを接続
  • 既存のDHCPサーバをL2スイッチへ接続する。
  • POPCHATに発着するDHCP関連の通信をフィルタ等で遮断する。

なお、DHCPサーバがPOPCHATのWAN側より上位に位置する場合は、そのDHCPサーバを利用することは不可能です。

 

〔5〕同じく「導入 > ネットワーク構成 」の欄にて、
「POPCHATはNATしています」と記載がありますが、WAN側とLAN側で、POPCHATを経由してAD認証は可能でしょうか。
(現状、クラウドで、WAN側にADサーバがある為、POPCHATを導入した場合、AD認証に支障が無いかを懸念しています。)

POPCHATでの認証と、ADの認証を両方必要とされるという認識でよろしいでしょうか。

但し、マイクロソフト社はNAT経由でのActiveDeirectoryの利用を推奨しておりませんため、弊社としても可能かどうかの保証はできかねます。

 

以上、よろしくお願いいたします。

 

お問い合せフォームへ>>最近のお問い合せ一覧へ>>製品・サービス情報一覧へ>>POPCHATサイトTOPへ>>