インターネットを介して、自宅や会社事務所にあるWindows10パソコンにリモートデスクトップ接続するための、ブロードバンドルーターの設定について解説します。
「スタート>設定>システム>リモートデスクトップ>詳細設定」のローカルネットワーク外からリモート接続を許可する方法リンク「ルーターでポート フォワーディングを有効にする」方法です。
リモートデスクトップ接続の設定については、別稿Windows10 リモートデスクトップ設定の基本2021を参照してください。
留意しておくことは、次の3つです。
- 自宅にある(接続される側)Windows10のエディションはProであること
- 接続する側のWindows10のエディションはHOMEでもProでもOK
- 設定対象のブロードバンドルーターでインターネットを受けていること
ここでは廉価なWifiルーター「WCR-1166DS」(バッファロー)を例に解説します。
WCR-1166DSのインターネット接続方法は、バッファローのサポートサイト
を参照してっください。
ほかのルーターでも、基本は同じです。
リモートデスクトップ・ホストのネットワーク設定
ipネットワーク通信では、2つの情報によってそれぞれの接続を識別します。
- ipアドレス
- ipポート
ipはinternet protocol (インターネット・プロトコル)のことです。
ipアドレス
まず、ipアドレスです。
リモートデスクトップ・クライアントがリモートデスクトップ・ホストに接続する場合、ホストのipアドレスを知っている必要があります。
ブロードバンドルーターの配下では、パソコンのipアドレスはDHCPで自動的に設定されます。
DHCPで配布されたipアドレスは、接続ごとに変わることがあります。
ipアドレスが変わると、接続できなくなります。
なので、リモートデスクトップ・ホストのipアドレスは固定しなければなりません。
ipポート
次は、ipポートです。
例えば、ウェブの閲覧の場合、目的のウェブサーバーのipアドレスの80番ポートにアクセスします。
メールを送信する場合は、メールサーバーのipアドレスの25番ポートに接続します。
サーバーは自分のipアドレス届いた要求がウェブなのかメールなのかをポート番号によって識別して、適切なレスポンスを返すようになっています。
リモートデスクトップホストがクライアントのrdp接続を受けるのは、3389番ポートです。
rdpはremote desktop protocol (リモートデスクトップ・プロトコル)のことです。
リモートデスクトップ・ホストのネットワーク設定
ipアドレスが192.168.11.36に設定されたとすると、リモートデスクトップ・ホストは、
- ipアドレス:192.168.11.36
- ipポート:3389
でrdp接続を待ち受けます。
リモートデスクトップホストのipアドレスを固定する
ブロードバンドルーターのDHCPで配布されるipアドレスは一時的なものです。
再起動によってipアドレスが変わることもあります。
リモートデスクトップ・ホストのipアドレスは永続的なものにする必要があります。
ホストのipアドレスを固定する方法は2つあります。
- ブロードバンドルーターに、対象のipアドレスを常に同じホストに割り振るよう設定する
- DHCPを使用せず、リモートデスクトップ・ホストに固定ipアドレスを手動で設定する
ブロードバンドルーターに、対象のipアドレスを常に同じホストに割り振るよう設定する
ネットワーク内のホストに自動的にipアドレスを配布するDHCPは、ホストのネットワークインターフェースを識別するMACアドレスに対して、その時点で空いているipアドレスを割り当てます。
その時、割り振られるipアドレスは一時的なものです。
DHCPのバインドオプションで、一時的なipアドレスを永続的なipアドレスに変換することができます。
まず、リモートデスクトップ・ホストからブラウザでブロードバンドルーター「WCR-1166DS」にアクセスしてログインします。
「LAN>DHCPリース」に、現在DHCPで配布されているipアドレスのリストが表示されています。
「IPアドレス」欄の右端に(*)があるものが、ブラウザでアクセスしているリモートデスクトップ・ホストに設定されているアドレスです。
現在、「192.168.11.36」がDHCPで一時的に割り当てられています。
これをバインドしてipアドレスを永続化します。
「192.168.11.36」に対して、操作欄の「手動割当に変更」ボタンを押します。
これで永続的に「192.168.11.36」がホストに割り当てられるようになりました。
WCR-1166DS以外のブロードバンドルーターにも同様の機能がありますので、説明資料で確認手設定してみてください。
DHCPを使用せず、リモートデスクトップ・ホストに固定ipアドレスを手動で設定する
リモートデスクトップ・ホストに固定ipアドレスを設定します。
ipアドレスはブロードバンドルーターのLANネットワークの範囲内に設定しなければなりません。
まず、ブロードバンドルーターにブラウザでアクセスしてLANネットワークの設定を確認します。
ブロードバンドルーターのipアドレスは「192.168.11.1」でサブネットマスクが「255.255.255.0」です。
DHCPで自動で割り振るipアドレスは「192.168.11.2~192.168.11.65」の64台に設定されているので、リモートデスクトップホストのipアドレスはこの範囲を避けて設定したほうがよいでしょう。
ブロードバンドルーターのインターネット接続設定が、
WCR-1166DSのインターネット接続方法は、バッファローのサポートサイト
の通りであるとします。
例えば、リモートデスクトップ・ホストに「192.168.11.123」に設定すると仮定すると、
- ipアドレス:192.1168.11.123
- ネットマスク:255.255.255.0
- ゲートウェイ:192.168.11.1
- DNS:192.168.11.1
になります。
これをリモートデスクトップ・ホストに設定してください。
インターネットから自宅パソコンにリモートデスクトップする準備
自宅にあるパソコンは直接インターンネットに接続されていません。
(Wifi)ブロードバンドルーターがインターネットと、パソコンがある自宅のLANネットワークを中継しています。
なので、自宅の外からインターネット経由で、自宅のパソコンのipアドレスに接続することができません。
インターネットから接続する場合、インターネットに直接つながっているブロードバンドルーターに接続し、それをLAN内のパソコンに中継してもらう必要があります。
必要なことは、次の2つです。
- ブロードバンドルーターのインターネット側のipアドレスを見つける
- ブロードバンドルーターにインターネットからのrdp接続をパソコンに中継する
インターネット上の自宅のipアドレスを調べる方法
インターネット上のでの自宅のipアドレスを教えてくれるウェブサイトがあります。そこにアクセスすれば、ブロードバンドルーターのインターネット上のipアドレスが表示されます。
「私のipアドレス」でウェブ検索して、適当なサイトにアクセスしてください。
たとえば、アクセス情報【使用中のIPアドレス確認】 (cman.jp)で確認できます。
「私のipアドレス」は「100.111.121.131」だったとします。
※このアドレスは架空のものです。
自宅の外からは「100.111.121.131」にアクセスして、ブロードバンドルーターにこの接続をリモートデスクトップホストのWindows10パソコンに渡してもらいます。
ブロードバンドルーターによるアドレス変換
これまでの過程で次のことが確認できました。
- パソコンのipアドレスとリモートデスクトップを待ち受けるポート
192.168.11.36:3389 - インターネットから接続するブロードバンドルーターのipアドレス
100.111.121.131
ブロードバンドルーターの3389番ポートに届いたパケットをパソコンの3389番ポートに転送すれば、インターネットから自宅のパソコンにアクセスできます。
ブロードバンドルーターによるポート変換
ただし、3389番ポートがリモートデスクトップ接続に使われることは周知のことなので、インターネット上でこのポートを公開してしまうと、攻撃の対象になりかねません。
なので、インターネットで公開するポートはリモートデスクトップで使わないポートにするほうが安全です。
ipポートは16ビットの整数で0~65535番の範囲で指定できます。ブロードバンドルーターで既に使っていなければなんでもよいのですが、一般的なポート番号を避けて1024~65535番の範囲で選んだほうがよいでしょう。
ここでは56130番をインターネットに公開して、ブロードバンドルーターで3389に変換することにします。
ポートフォワーディング設定
まず、リモートデスクトップ・ホストからブラウザでブロードバンドルーター「WCR-1166DS」にアクセスしてログインします。
「セキュリティー>ポート変換」でポート変換を設定していきます。
「グループ」に適当な名称を設定します。
ここでは「RDESKTOP」にします。
変換する「インターネット側IPアドレス」はブロードバンドルーター「エアステーションのインターネット側IPアドレス」です。
「プロトコル」は「任意のTCPポート」で、ここではポート番号56310番に設定します。
「LAN側IPアドレス」にリモートデスクトップ・ホストの「192.168.11.36」を設定します。
「LAN側ポート」はリモートデスクトップ・ホストのrdp待ち受けポート3389番に設定します。
- グループ:RDESKTOP
- インターネット側IPアドレス:エアステーションのインターネット側IPアドレス
- プロトコル:任意のTCPポート:56310
- LAN側IPアドレス:192.168.11.36
- LAN側ポート:3389
入力後に「新規追加」ボタンを押します。
下記の通り、設定が追加されます。
クライアントからのリモートデスクトップ接続
自宅の外側のクライアントから、インターネットを経由して自宅内のLANに接続されたリモートデスクトップ・ホストにリモートデスクトップ接続する方法は、LAN内での接続方法と変わりありません。
ただし、リモートデスクトップ接続を受け付けるポートをポートフォワーディングして、インターネット側の公開ポートを既定の3389番ではなく、56310番に変えているので、このことを考慮して接続します。
次のように、リモートデスクトップ接続アプリで「コンピューター(C:)」にルーターのインターネット側のipアドレスだけを入力すると、3389番ポートに接続しようとして失敗します。
なので、半角コロン(:)とポート番号を追加して、下記のように入力します。
「100.111.121.131:56310」を入力することで、56310番ポートでrdp接続を開始します。
複数のホストにポートフォワーディングする
ポート変換では、ブロードバンドルーター1台で、LAN内の複数のホストをインターネットに公開できます。
インターネットに公開するrdpポートが既定の3389番の場合、ブロードバンドルーターのインターネット側ipアドレスは1個なので、インターネット側から接続できるのは、1台だけです。
インターネットに公開するrdpポートを任意に変えることで、複数のホストに接続を転送することができるようになります。
例えば、自宅や会社事務所に4台のリモートデスクトップ・ホストがあるとします。
56310番に加えて、ブロードバンドルーターの56311番をLAN側の192.168.11.37の3389番ポートに変換する。
56312番をLAN側の192.168.11.38の3389番ポートに変換する。
56312番をLAN側の192.168.11.39の3389番ポートに変換する。
この設定を下記のようにブロードバンドルーターのポート変換テーブルに追加します。
- 100.111.121.131:56310 -> 182.168.11.36:3389
- 100.111.121.131:56311 -> 182.168.11.37:3389
- 100.111.121.131:56312 -> 182.168.11.38:3389
- 100.111.121.131:56313 -> 182.168.11.39:3389
こうすることで、ブロードバンドルーターの1個のインターネット側ipアドレスで、自宅や会社事務所の複数のリモートデスクトップ・ホストを、インターネットに公開することができます。
まとめ
家庭用のインターネット回線と安価なブロードバンドルーターで、比較的に簡単に、自宅や会社事務所のリモートデスクトップ・ホストをインターネットに公開することができることがわかりました。
Windows10のリモートデスクトップは既定で通信をTLSで暗号化します。通信を傍受されることがありません。
接続先がリモートデスクトップ・ホストに限定されるので、VPNに比べて情報漏洩のリスクも低いといえます。
小規模企業のテレワークのための選択肢の1つになるでしょう。
安価な家庭用のインターネット回線で、何台のリモートデスクトップ・ホストを快適に公開できるかは、やってみなければわかりません。
安定的な接続環境を整えるなら、企業用回線の採用を検討するとよいでしょう。
