http://d.hatena.ne.jp/isol/20090415/1239755856 の続き

まっちゃさんからトラックバックされましたが、あちらでも触れられているとおり最近はUltra VNC SCが良く使われていると思います。
他所のPC（プライベートアドレス）を遠隔サポート - isolの日記 by あみだく（情報元のブックマーク数） - まっちゃだいふくの日記★とれんどふりーく★

これは一般的なインターネット接続の設定が、

• 外からは入れない。
• 中からはなんでもOK。

という設定のところが多いので、これをうまく使った方法だと思います。

サポートする側のファイアウォールなどの設定が、外からのVNCサーバからの通信がVNCビューアを起動させているPCに届くようにできていれば通信できるので、非常に便利です。
しかも、あらかじめサポートされる側のPCやネットに仕込みがいらない。

気をつける必要があるのは、（サポートする側の方ばかりですが）

• 必要以上にファイアウォールのルールを緩くしない。
• 必要時のみVNCビュアーを起動する。
• 通信の暗号化や接続してきたのが本当に目的のPCかなどを確認できるようにする。

など、配慮する必要があります。
また、そんなにしょっちゅうFWのルールを変更しないと思うので、
実際にサポートを行うPCは特定のPC(特定のIPアドレスのPC)になります。

肝は、ファイアウォールとVNCの設定ですが、VNCについては暗号化対策、パスワードの管理、そしてポートの変更など程度しかないと思います。
ファイアウォールですが、状況的に送信元（サポートされる側）のアドレスを特定したいところですが、それは無理でしょうから送信元IPアドレスはanyの設定になります。
ただし、この場合攻撃者に対しても穴をあけることになるので、VNCビュアーの常時起動を避けたり、バージョン管理とかいろいろ対策をする必要がありますね。
（その時だけFWのルールを変更するスクリプトを用意するなんて荒業もあるにはありますが．．．）

当方の場合、サポートサービスとして考えていて（それだけでお金はもらえないでしょうが）複数のサポート対象だったり、出先からのサポートだったり、サポートするPCが不特定だったりなどの理由で、VPNを使った提供を考えてみました。
基本的に事前の仕込みも問題無いのです。

OpenVPNいい感じですよー。接続元に対してIPアドレスが特定できますし、SSL証明が必要だったりとか管理面もいいです。対象が大規模になるとほかの管理ツールも必要でしょうけどね。
問題があるとしたら、やはり帯域とかの問題でしょうね。

VNC SCもうまく使っていきたいですね。