見えてしまう……

こんにちは。日々是発見を楽しんでいる西山です。

コロナ禍をきっかけに私もリモートワークメインの勤務に移行し、自宅の宅内LANに業務PCを接続してアクセスしていますが、業務PCから自宅のスマートデバイスが見えてしまうのが気になっていました。

また、自宅PCのデータをバックアップするNASもあるのですが、それもアドレスを指定しユーザー名・パスワードを入力すればファイルの読み取り、書き込みともできてしまいます（もちろん意図して接続したりはしないですが）。
セキュリティが私個人のモラル頼み、というのはすっきりしないですし、スマートデバイスが何らかの脆弱性で乗っ取られてしまったら……という心配もあります。

かと言って業務PCのWindowsを共有オフにしてしまうと、今度はVPNで接続している会社のファイルサーバーやActiveDirectoryサーバーに接続できなくなってしまいます。
そこで、業務PCだけを宅内LANから独立させることにしました。

VLANを作ろう

今回使うのは、ネットワーク用語で言うと「L3スイッチ」。
私は、Netgearの「GS105Ev2」を購入しました（Netgearでは「アンマネージプラススイッチ」というカテゴリーになっています）。

GS105Ev2 — 5 Port Gigabit Ethernet Smart Managed Plus Switch

やる事は、

• GS105Ev2で「ポートベースVLAN」を設定する
• 業務PCとその他の宅内LANの機器を別のVLANに所属させる
• VLANどうしの通信ができないよう設定する（インターネットには接続できる）

こちらが接続図です。
ルーターの下にGS105Ev2を接続し、ここでVLANを切って業務PCの通信を独立させます。
※製品写真はNetgear社の製品ページより引用

では、GS105Ev2でポートベースVLANを設定します。
マニュアルに従って、GS105Ev2のWeb設定画面に接続します（初期設定ではDHCPでアドレス設定されます）
初期パスワードは必ず変更しておきましょう。

「VLAN」メニューを開き、「拡張ポートベースVLAN」を「有効」に変更してから、どのポートがどのVLANに所属するかを設定します。
「チェックをオンにしたポートがそのVLANに所属する」のを覚えておいてください。

今回は、
・VLAN1（業務PC）：ポート4・5
・VLAN2（宅内LAN）：ポート1・2・3・5
と設定しました。

そして、業務PCをVLAN1に所属する「ポート4」に接続します。
VLAN1とVLAN2はネットワーク的に隔離されるので、ポート1・2・3に接続された宅内LANのデバイスとポート4の業務PCは通信できません。
一方、VLAN1もVLAN2もポート5でルーターにつながっているので、インターネットには接続できます。

実際に自宅PCと業務PCから、宅内LANの「Google Echo Show」にpingを投げて確認してみましょう（分かりやすいように、ルーター（192.168.0.1）にもpingを投げています）。
自宅PCからpingを送ると「Google Echo Show」から応答があります。

業務PCから「Google Echo Show」にpingを送っても、パケットが転送されず「到達不能」エラーとなります。
しかしルーターとは疎通できているので、インターネットとは自由に通信可能です。

これで業務PCにスマートデバイスがつながらないようにできました。

無線LANではどうするの？

今回は、業務PCを有線LANで接続しています。
無線LAN接続だと、このような独立設定はできないのでしょうか？
実は、無線LANルーターのモデルによっては同等の設定が可能です。

これはbuffaloの「WXR-5700AX7S」の設定画面ですが、SSIDの設定に「隔離機能」という項目があります。
これをオンにすると、このSSIDに接続した無線LAN機器は「インターネットに接続できるが、他のSSIDやルーターのLANポートに接続したデバイスとは通信できない」状態になります。
ですので、「SSIDを新しく設定し、隔離機能をオンにして、業務PCだけをそのSSIDに接続する」ことで、L3スイッチでVLANを作ったのと同じことができます。こちらの方が手間としては簡単ですね。
Wi-Fiパスワードは他のSSIDと違う物にして、ご家族が間違ってつながないようにしましょう。

「隔離機能」についてはルーターのメーカーごとに違う用語を使っている場合がありますので、詳しくはお持ちの機器のマニュアルを調べたり、メーカーサポートにご確認ください。