VPN との終わりなき戦い ~怒濤の全社テレワーク編~

2020/06/24 10:48

everes

2月中旬以来ほとんど出社してない。強制（ほぼ）全員リモートがいきなりやってきたらテンパるよな。1月末からか。

2020/06/24 11:08

watarux

同じIT企業でもリモートワーク率0.5%の弊社の勝ち

2020/06/24 11:53

mugicha1000

会社の内部ではこう言う出たとこ勝負でどうにかこうにかやってる人がいっぱいいる　個人的には恒久対策としてこれを続けるのは運用負担かかりそうで嫌　定期的に宛先の棚卸しとかが必要になってきそう

2020/06/24 12:31

tianbale-battle

まさかVPNにWindowsServer使ってるなんてビックリ。ちゃんとしたVPNネットワーク機器を買おうぜ…。アプリの会社だからインフラ詳しくないのかね…。追記:脆弱性高いOSをDMZに置くって危険でしょ。リスク考えたら断然NW機器

2020/06/24 12:31

zakinco

『 IP アドレスによるアクセス制限』が問題だねー

2020/06/24 12:36

yaskohik

分かりやす。車内調整で培ったものかな。

2020/06/24 13:08

circled

Windows Serverがバカにされているが、4Core、8GB程度でも数千のVPNセッションを軽く捌けるスペックを有するのがWindows Serverである。ただネットワークは別問題。なお、速度的にはIPAのテレワークアプリ使った方が断然幸せです。

2020/06/24 13:20

deep_one

「NAT テーブルの枯渇」

2020/06/24 13:20

haruyato

DeNAですらこんなレガシーに近いVPN構成なのか・・・。

2020/06/24 13:22

skifuyu

1月末ってダイヤモンドプリンセスより前でしょ…？その時点で全社テレワーク見越してるとは

2020/06/24 13:31

tasukuchan

やんごとなき

2020/06/24 13:36

munioka303

これセキュリティ的にだいじょうぶなの？外で勝手にインターネットした端末が社内LANにVPN繋ぎにくるんでしょ？個人宅のFW頼みってこと？

2020/06/24 13:57

beerbeerkun

社内に入ってインターネットに接続するところでポート枯渇かな？そうすると平時と変わらない気もするけど

2020/06/24 14:23

viperbjpn

DeNAでこんなこと起こるんだ。それなりに人数いそうだけど、VPNで賄うとかなかなかの鬼畜プレー。そら、終わりなき戦いだ。

2020/06/24 14:25

dot

ユーザPCのルーティングテーブル書き換えてやればええやんと思いながら読んでたら、そういう結末だった。

2020/06/24 14:31

kuro_pp

テレワーク、東京五輪に向けて準備してた在京企業がそのままコロナ対策にスライドした感じある

2020/06/24 14:37

xlc

協力会社も含めた環境を作るなら、VPNのクローズド環境よりクラウドにすべきだよね。私はオフショア開発に関わってるので、クラウドにしていただけるとありがたい。

2020/06/24 14:41

masudatarou

いやWindowsServerでも普通にできるやろライセンス費用のデメリットを除けばWindowsServerはクソ強いぞ

2020/06/24 15:00

minoton

で、エンドポイントセキュリティは、となるんだけど、EDR製品ってどうなんかね

2020/06/24 16:08

imaginaration

1月末に対応ってすごいな…新卒のオンライン入社もだいぶ早くに対応されてて別のがシフトしたのかな？(ダイヤモンドプリンセスの乗客が香港で発覚したのが2/4?)

2020/06/24 17:12

I_L_S

AWSに助言するほどのインフラエンジニアがいる企業でもこの構成なのかー

2020/06/24 17:18

rej

アプライアンスのやつしかたてたことないわーすごいね。

2020/06/24 18:00

hydlide3

DeNAをアプリの会社などという人にびっくりする。インフラも強いよ

2020/06/24 18:50

karupanerura

わかりやすい / "ゼロトラストの道も真剣に考えるタイミングにあるのかもしれません。そして、次回のblogはVPN以外のテーマであることを願っています。" ゼロトラスト〜

2020/06/24 18:52

ryu39

説明わかりやすかった。一時回避策も恒久策も理にかなっててよい。

2020/06/24 19:12

zoidstown

“macOS とWinの VPN クライアントは、接続時に任意のスクリプトを実行可能。早速フルトンネル方式のクライアントの振る舞いをかえるスクリプトを作成しテストを行うと、期待通りに指定した宛先の通信を VPN の外に逃す”

2020/06/24 19:40

adwhing

弊社はようやくテレワークの準備ができました！(現在出社率98%)

2020/06/24 20:14

pontanx

「脆弱性が高いWindowsをDMZに置くな」とか言ってる人がいて草。普通にFWで当該ポート以外落とすだろ。しかも脆弱性が「高い」って何w節々から素人感が出てて笑う

2020/06/24 20:18

ebibibi

VPNにWindows Server使うのは、わかってる人の賢い選択肢ですね。もちろんライセンス契約体系とか、いろんな要素がありますが。ただそもそもVPN構成自体が良くないと思いますけど…

2020/06/24 22:45

tourism55

いい記事だ。ゼロトラスト！RD Gateway！もいいけどVPNもメリットがある。Windows Serverをバカにする人は、社員のクライアントがAll Mac or Linux Desktop、またはOSライセンス費用が払えない会社。

2020/06/24 22:56

tydk27

最近、こういうのに茶々入れる人が増えたなぁと。きっと超優秀な人なんだろうな。

2020/06/24 22:59

takamii228

いろんな会社のリモートワーク環境対応記が見たいと思ってしまった。

2020/06/24 23:00

kyuns

めっちゃわかる

2020/06/24 23:05

fuga_maito

半分ぐらいしか理解できてない(職業的にその理解度ではどうかという話だが)けど面白かった。

2020/06/24 23:41

p1ass

バ先いつの間にかVPN改善しててすごかった

2020/06/25 00:19

i196

ウチはもうVPNじゃ限界だーってなってるみたい。よく分からんけどゼロトラストって言葉を最近よく聞く

2020/06/25 00:52

mozukuyummy

途中のグラフでちゃんと土日はテレワークも休んでるっぽいのがホワイト企業みがある。

2020/06/25 00:53

kkobayashi

まさかのWindowsのVPNとは。それで済むなら越したことはないよなあ。ゼロトラストというかほんとにそれVPN内に置く必要ある？みたいなサービスは確かにあるかも。メールとか。

2020/06/25 01:30

t-cyrill

“NAT テーブル枯渇” ほんこれ

2020/06/25 03:33

nrtn

今回おもったルーティングテーブル書き換えてDNSと社内レンジのIPだけVPNのゲートウェイに向ける...のを全員にやるのは無理な話で、そう考えると札束で回線＋VPNソリュ買い叩くかゼロトラストに設計するしかない。

2020/06/25 06:18

foofuga

DeNAでもVPN接続前提の環境なのか…

2020/06/25 06:37

namatama21

メモ

2020/06/25 08:06

perl-o-pal

zoomやteamsは自前端末を許可してもらわないとトラフィック死にそう。個人的にはawsへの接続も許可してもらわないと、たまの通信ラグで禿げる。vimのコマンドモードでどこまで入力したかわからなくなるの辛い。

2020/06/25 08:33

dirtjapan

teamsとかVPN通す必要ないのに、全てVPN通さないとセキュリティが、とかいう人のせいでうちは出来てない。ネットワークの会社なのにな。。。

2020/06/25 08:40

ot2sy39

Web会議はスプリットしたいよね。

2020/06/25 09:26

progrhyme

なるほどー

2020/06/25 10:21

raimon49

問題の発見と対策、将来の展望と、記事の構成がとてもわかり易くていい。

2020/06/25 11:40

stealthinu

ZOOMとかTeamsとか特定のサービスだけはインターネット直で出て他はVPNにするようなスプリットトンネリングの設定。リモートでこっち側から直でクライアントPCに設定流し込むことができるのか。

2020/06/25 17:35

sucelie

この規模になるとNAPTも溢れるよなーそりゃ