オフィスにやってきた訪問者から「持ち込んだノートPC/タブレットからインターネットに接続したい」と依頼されても、管理外の機器を社内ネットワークにつなぐのは避けたいところ。そんなとき、分離・独立した来客専用の無線LAN環境があれば便利だ。手軽に構築する方法は?
商談や打ち合わせのためオフィスにやってきた訪問者から、持ち込んだノートPCやタブレットからインターネットに接続したい、とお願いされて困ったことはないだろうか? (訪問者が必ずモバイルルーターやテザリング用スマートフォンを持ち込んでいるとは限らない)
もちろん技術的には、社内ネットワークの無線LAN(Wi-Fiネットワーク)のSSIDや暗号化キーを訪問者に知らせて、無線LANクライアントに設定してもらえれば接続は可能だ。しかし、それでは訪問者に社内ネットワークが丸見えになる恐れがあるし、訪問者の機器からウイルスやマルウェアが社内に入り込む可能性もある。管理者としては可能な限り避けたいところだ。
この問題の解決策の1つは、社内ネットワークとは分離・独立した来客専用の無線LAN環境を用意することだ。その無線LANからインターネットへの通信は許可しつつ、その他のネットワークとの通信はブロックすれば、社内ネットワークを訪問者に晒さずに済む。
実は、このような便利な機能を単体で実現できる無線LANルーター(無線ブロードバンドルーター、据え置き型Wi-Fiルーター)が、8000円〜1万6000円程度で購入できる。その機能の名称は無線LANルーターの開発・販売元によって異なり、バッファローでは「ゲストポート」、NECプラットフォームズでは「ネットワーク分離機能」と呼んでいる(両者の機能には差異があり、全く同じではない)。
本稿では、小規模な社内ネットワークの管理者を対象に、ゲストポート機能を搭載したバッファロー製無線LANルーター(以下「ゲストポート搭載機」)を用いて、来客専用の無線LANを構築する手順と注意点を解説する。詳しくは後述するが、既存の無線LANルーターを交換するといった大掛かりなことをしなくても、ゲストポート搭載機を社内ネットワークに「追加」して設定するだけで、来客専用の無線LANを実現できる。
ゲストポート搭載機を用いて来客専用の無線LANを構築する場合、その方法は次の2種類に大別できる。
1.について説明は不要だろう。この場合は、既存ルーターから交換したゲストポート搭載機でインターネット接続や社内用無線LANを復旧する必要がある。その後に「ゲストポートを有効にして来客専用の無線LANを作る」へ読み進んでいただきたい。
2.では、ゲストポート搭載機のルーターとしての機能を無効化し、「アクセスポイント」として利用する方法だ。社内ネットワークの設定や構成を変更する必要はなく、単にゲストポート搭載機を社内ネットワークに「追加」すればよいので、1.より手間は少なく済む。その代わり、社内用の無線LANアクセスポイントはアップグレードされず、旧式のまま残ることになる。こちらを選択する場合は、次の「ゲストポート搭載機のルーター機能を無効化する」へ読み進んでいただきたい。
無線LANルーターの「ルーター」機能を無効化する方法は、Web管理画面から設定するのと、本体に付いているスイッチを操作するという2種類に大別される。本稿で使用したWZR-900DHP2のような最近のゲストポート搭載機は後者の方だ。本体背面の[MODE]ボタンを数秒押し続け、本体前面の[ルーター]インジケーターLEDが消灯することを確認する。
すると本機のIPアドレスが「192.168.11.100/24(固定)」に変わり、LAN側にIPアドレスを配布するDHCPサーバー機能が停止する。そこで設定用PCを用意し、そのNIC(イーサネットインターフェース)のIPアドレスを本機と同じサブネット(例えば「192.168.11.200/24」」とか)に手動で変更し、イーサネットで本機のLAN側ポートに接続する。
次にWebブラウザーで「http://192.168.11.100/」を開き、管理者アカウントと初期パスワードでログインする。Web管理画面のトップページが表示されたら、まずは社内ネットワークに接続する有線LAN側の設定を、社内LANに合わせて変更する。それには[詳細設定]−[LAN]−[LAN]とクリックする。
上記の設定が済んだら、管理用PCのIPアドレス設定を元に戻してから、本機に割り当てたLAN側IPアドレスで管理画面にアクセスできることを確認する。そしてゲストポート以外の設定を確認し、(管理アカウントの初期パスワードなど)必要なら変更しておく。
次にゲストポート機能を有効化して、来客専用の無線LANを構築する。それには「http://<本機のLAN側IPアドレス>/」をWebブラウザーで開いてログインし、管理画面のトップページから[詳細設定]−[無線設定]−[ゲストポート]とクリックし、ゲストポートに関する設定をする。
以上の設定を完了したら、試しにノートPCあるいはスマートフォン/タブレットなどの無線LANクライアントを来客専用無線LANに接続してみよう。接続手順は通常の無線LANと変わりなく、上記の(6)で指定したSSIDと暗号化キーを指定すれば接続できるはずだ。
このとき、IPアドレスには上記の(3)で指定したサブネットに含まれる値、デフォルトゲートウェイと参照用DNSサーバーには(3)のIPアドレスそのものが割り当てられるはずだ。
WZR-900DHP2で構築した来客専用無線LANに数台の無線LANクライアントを接続し、お互いにpingを送信したが応答はなかった。さらにサブネット全体にポートスキャンを実施したところ、デフォルトゲートウェイとスキャンを実行した機器の他には、全く発見できなかった。つまり、訪問者の機器間の通信も禁止されているということだ。
また当然というべきだが、来客専用無線LANからWeb管理画面にはアクセスできなかった。
ここまでの設定だけでは、SSIDと暗号化キーを入手した訪問者が、訪問後もオフィスの近所などから勝手に来客専用無線LANに接続することは止められない。(完全ではなくとも)これを手軽に防止するには、次の手段が考えられる。
ゲストポート独自のユーザー認証機能の詳細は、マニュアルを参照していただきたい。
■この記事と関連性の高い別の記事
Copyright© Digital Advantage Corp. All Rights Reserved.