概要
Splashtop On-Prem は、お客様自身がホストするリモートアクセスソリューションです。Splashtop のクラウド製品とは異なり、すべてのセッショントラフィックはお客様ご自身の Splashtop Gateway サーバーを経由します。リモートセッション中に外部の Splashtop クラウドリレーインフラストラクチャが使用されることはありません。そのため、ファイアウォールの設定は、サードパーティのドメインへのアクセスを許可するのではなく、Gateway 自体への通信を許可することが中心となります。
本記事は、Sovereign Cloud(プライベートクラウド)インスタンスを含む、すべての Splashtop On-Prem 環境に適用されます。いずれも同一の Gateway アーキテクチャとネットワーク要件を共有しています。
注意: Splashtop のクラウド製品(Splashtop Business、Splashtop Enterprise など)をご利用の場合は、「Splashtop サーバー/サービスのファイアウォール例外と IP アドレスについて」をご参照ください。
外部ポート(ファイアウォールルールが必要)
Splashtop On-Prem の動作に必要な、ネットワークファイアウォールで開放すべき TCP ポートは 1つだけ です:
| ポート | プロトコル | 方向 | 用途 |
|---|---|---|---|
| 443(デフォルト) | TCP | インバウンドおよびアウトバウンド | Streamer、On-Prem クライアントアプリ、SOS アプリ、および Web 管理コンソールとの通信に Gateway が使用するメインポート |
この単一のポートで、クライアント認証、セッションリレー、Web コンソールアクセス、Streamer 登録など、すべてのトラフィックが処理されます。
変更可能: デフォルトのポート 443 は、Gateway Web コンソールの System → Network → Change Port から別のポートに変更できます。変更する場合は、新しいポートがファイアウォールルールで許可されており、他のサービスに使用されていないことを確認してください。すべての Streamer およびクライアントアプリで新しいポートを指定する必要があります(例:
https://gateway-ip:8443)。
内部ポート(ループバックのみ)
以下のポートは、Gateway サーバー内部のプロセス間通信に使用されます。インバウンドまたはアウトバウンドのファイアウォールルールは 不要 ですが、同じマシン上の他のアプリケーションによって 使用されていない 状態である必要があります:
| ポート | プロトコル | 用途 |
|---|---|---|
| 9080 | TCP(ループバック) | Gateway 内部サービス |
| 5432 | TCP(ループバック) | 組み込み PostgreSQL データベース |
| 7080 | TCP(ループバック) | 内部サービス通信 |
| 7081 | TCP(ループバック) | 内部サービス通信 |
| 5080 | TCP(ループバック) | 内部サービス通信 |
オプションポート
| ポート | プロトコル | 用途 |
|---|---|---|
| 7, 9 | UDP | Wake-on-LAN — リモートコンピューターの電源をオンにする Wake-on-LAN 機能を使用する場合にのみ必要 |
| 6783 | TCP | LAN 直接接続 — クライアントアプリと Streamer が同一ローカルネットワーク上にある場合に、リレーを経由せずポイントツーポイントでセッションを確立するために使用 |
Gateway を他のネットワークからアクセス可能にする
Streamer やクライアントアプリが LAN の外部から Gateway にアクセスする必要がある場合(例:インターネット経由のリモートワーカー)、Gateway に到達可能なアドレスを用意する必要があります。一般的な方法は以下の通りです:
- パブリック IP の直接割り当て — Gateway サーバーにパブリック IP アドレスを割り当てる。
- ポートフォワーディング — エッジファイアウォールまたはルーターで、外部ポートを Gateway の内部 IP およびポートに転送する。
- DMZ 配置 — デュアルネットワークインターフェースを使用し、一方を内部 LAN、もう一方をインターネットに接続する。
- FQDN マッピング — ドメイン名を Gateway のパブリック IP にマッピングし、利便性と SSL 証明書の互換性を確保する。
詳細な配置ガイダンスについては、「Splashtop Gateway をインターネットからアクセス可能にする方法」をご参照ください。
URL パスプレフィックス(WAF またはリバースプロキシ使用時)
お客様の環境で Web Application Firewall(WAF)やリバースプロキシを介してトラフィックをルーティングし、URL パスによるフィルタリングを行っている場合、Gateway 上の以下のパスプレフィックスを許可する必要があります:
| パスプレフィックス | 機能 |
|---|---|
/api/fulong/v1/ |
クライアントおよび Streamer が使用するコア API エンドポイント |
/shortcut/remote/ |
リモートセッションのクイック起動リンク |
/web/assets/ |
Gateway Web コンソールの静的アセット |
/api/saml/acs |
SAML SSO の Assertion Consumer Service エンドポイント(SAML ベースのシングルサインオンを使用する場合のみ必要) |
/web/assets/sso/ |
SSO 関連の Web アセット(SSO を使用する場合のみ必要) |
WAF やパスベースのフィルタリングを使用していない場合、これらのプレフィックスは Gateway の単一サービスポートを通じて自動的に提供されるため、追加の設定は不要です。
アウトバウンドインターネットアクセス
Splashtop On-Prem のリモートセッショントラフィックやソフトウェア更新にインターネットアクセスは 不要 です。Streamer およびクライアントアプリの更新は、Gateway 自体を通じてホスト・配信されます。
ただし、ライセンスの種類に応じて、ライセンス認証のためにアウトバウンドインターネットアクセスが必要 になります:
-
オンラインライセンス — Gateway がライセンスを検証するために、Splashtop のライセンスサーバーに継続的にアクセスできる必要があります。ポート 443 で
*.splashtop.comへのアウトバウンドトラフィックを許可してください。 - オフラインライセンス — アクティベーション完了後、Gateway にインターネットアクセスは不要です。完全にエアギャップされた環境向けのオプションです。オフラインライセンスのアクティベーションについては、Splashtop サポートまでお問い合わせください。
接続の確認方法
Splashtop のクラウド製品では www.splashtop.com/check で接続テストが可能ですが、Splashtop On-Prem の場合は、エンドポイントデバイスから Gateway Web コンソールに直接アクセスすることで接続を確認できます:
- 対象のデバイスでブラウザを開きます。
-
https://<gateway-address>:<port>(例:https://192.168.1.100またはhttps://gateway.company.com)にアクセスします。 - Gateway のログインページが表示されれば、ネットワーク経路は正常です。
- ページが表示されない場合は、Gateway のポートがファイアウォールで許可されているか、正しい IP/FQDN およびポートが使用されているかを確認してください。
コマンドラインからもテストできます:
# Windows PowerShell Test-NetConnection -ComputerName <gateway-address> -Port 443 # macOS / Linux curl -Ik https://<gateway-address>:<port>
まとめ
Splashtop On-Prem 環境における最小限のファイアウォール要件は以下の通りです:
- Gateway サーバーの IP アドレスに対して、TCP ポート 443(または設定済みのポート)のインバウンドおよびアウトバウンドを許可する。
- ループバックポート 9080、5432、7080、7081、5080 が Gateway マシン上で他のサービスに使用されていないことを確認する。
- オンラインライセンスの検証のために、ポート 443 で
*.splashtop.comへのアウトバウンドトラフィックを許可する。(オフラインライセンスの場合は不要。)