RTX1200購入

2013/05/20

Amazon.co.jp: ヤマハ ギガアクセスVPNルーター RTX1200 購入した。わーい。

高速回線(光ファイバー)を利用する:コマンド設定例 « 設定例 の設定を元に、 コマンドリファレンス から一行ごとに拾ってコメントを入れた。

変更点は、

  • LAN1 の IPアドレスが 192.168.1.1/24 “ip lan1 address 192.168.1.1/24”
  • CHAP 認証のみ受付 “pp auth accept chap”
  • DHCP レンジを 変更 “dhcp scope 1 192.168.1.25-192.168.1.56/24”
  • DNS をIIJの4台 “dns server 210.130.0.1 210.130.0.1”

くらいだろうか。 接続は

 -- ONU -- LAN2[YAMAHA RTX1200]LAN1(8port全て) 192.168.1.1 -- 192.168.1.0/24 

と考えていただけるとよろしいか。

# 9.1.2 IP アドレスの設定
# lan1 ports に 192.168.1.1/24 を bind
ip lan1 address 192.168.1.1/24

# 53.1 相手先情報番号の選択
# 接続先ID 1 設定
pp select 1

# 6.2.1 常時接続の設定
pp always-on on

# 14.16.1 PPPoE で使用する LAN インタフェースの指定
# LAN2 を利用する
pppoe use lan2

# 14.2 受け入れる認証タイプの設定
# CHAP 認証のみを受け入れる
pp auth accept chap

# 14.4 自分の名前とパスワードの設定
# 接続先ID ごとのアカウントおよびパスワード
# つまり 接続先ID ごとに実行する必要がある
pp auth myname pfXXXXXXX@iij.ad.jp PASSWORD

# 14.6.1  Maximum Receive Unit オプション使用の設定
# PPP - Link Control Protocol - Maximum Receive Unit / flets
ppp lcp mru on 1454

# 14.9.2 PP側IPアドレスのネゴシエーションの設定
# 接続先ID についてIPアドレスのネゴシエーションの有効化
ppp ipcp ipaddress on

# 14.9.8 IPCPのMS拡張オプションを使うか否かの設定
ppp ipcp msext on

# 9.1.4 インタフェースのMTUの設定
# flets
ip pp mtu 1454

# 24.1 インタフェースへの NATディスクリプタ適用の設定
# [NAT]ディスクリプタ = バインドを決めるためのポリシー
# ディスクリプタ機能はインターフェースにパケットが通行する、つまり送受信時に動作する
# インターフェースの種類は問わない
# 送信時には最後に評価、受信時は最初に評価
ip pp nat descriptor 1

# 53.6.1相手先の使用許可の設定
# 接続先ID 1 の設定許可
pp enable 1

# 9.1.7 IPの静的経路情報の設定
# 接続先ID 1 の設定 pppoe use lan2 を使用
ip route default gateway pp 1

# 24.2 NATディスクリプタの動作タイプの設定
# ディスクリプタ番号 1 を使用
# masquerade = 静的NAT変換とIPマスカレード変換(静的NATとNAPT)
nat descriptor type 1 masquerade

# 15.1.1 DHCPの動作の設定
# server OR relay として機能
# relay (リレーエージェント) とした場合、NAT機能使用不可
dhcp service server

# 15.1.4 DHCPスコープの定義
# スコープID 1 に対して末尾25から56までの32 IPアドレスを指定
dhcp scope 1 192.168.1.25-192.168.1.56/24

# 25.1 DNSを利用するか否かの設定
# 空白区切りで 4サーバまで(IIJ)
dns server 210.130.0.1 210.130.0.1

# 25.6 プライベートアドレスに対する問い合わせを処理するか否かの設定
# “NXDomain" を返す
dns private address spoof on

# 9.1.8 IP パケットのフィルタの設定
# 9.1.10 Source-route オプション付きIPパケットをフィルタアウトするか否かの設定
ip filter source-route on

# 9.1.11 ディレクテッドブロードキャストパケットをフィルタアウトするか否かの設定
# on は 192.168.1.255 を 破棄
ip filter directed-broadcast on

# 9.1.8 IP パケットのフィルタの設定
# フィルタID 1010 SRC EPMAP(135:windows系RPCサービス)  reject
ip filter 1010 reject * * udp,tcp 135 *
# フィルタID 1011 DST EPMAP(135:windows系RPCサービス)  reject
ip filter 1011 reject * * udp,tcp * 135

# フィルタID 1012 SRC 137-139 レンジ reject
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
# フィルタID 1013 DST 137-139 レンジ reject
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn

# フィルタID 1014 SRC microsoft-ds reject
ip filter 1014 reject * * udp,tcp 445 *
# フィルタID 1015 DST microsoft-ds reject
ip filter 1015 reject * * udp,tcp * 445

# フィルタID 1020 192.SRC 168.1.0/24 reject
ip filter 1020 reject 192.168.1.0/24 *

# フィルタID 1030 DST 192.168.1.0/24 icmp pass
ip filter 1030 pass * 192.168.1.0/24 icmp

# フィルタID 2000 全て reject
ip filter 2000 reject * *

# フィルタID 3000 全て pass
ip filter 3000 pass * *

# 9.1.12 動的フィルタの定義
# 動的フィルタ ID SRC * DST * proto[ftpはACTV前提]
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

# 接続先ID 1 設定
pp select 1

# 9.1.22 フィルタリングによるセキュリティの設定
# in(受信パケットフィルタリング)
# out(送信パケットフィルタリング)
# 全てのフィルタにマッチしない場合、パケットは廃棄される
# 受信パケットフィルタ 1020,1030,2000
ip pp secure filter in 1020 1030 2000

# 送信パケットフィルタ 1010,1011,1012,1013,1014,1015,3000 / 動的 100,101,102,103,104,105,106,107
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107

# 接続先ID 1 の設定許可
pp enable 1

間違った説明等々ありましたらご指摘頂ければ幸いです :)