Amazon.co.jp: ヤマハ ギガアクセスVPNルーター RTX1200 購入した。わーい。

高速回線(光ファイバー)を利用する:コマンド設定例 « 設定例 の設定を元に、 コマンドリファレンス から一行ごとに拾ってコメントを入れた。

変更点は、

  • LAN1 の IPアドレスが 192.168.1.1/24 “ip lan1 address 192.168.1.1/24”
  • CHAP 認証のみ受付 “pp auth accept chap”
  • DHCP レンジを 変更 “dhcp scope 1 192.168.1.25-192.168.1.56/24”
  • DNS をIIJの4台 “dns server 210.130.0.1 210.130.0.1”

くらいだろうか。 接続は

1
-- ONU -- LAN2[YAMAHA RTX1200]LAN1(8port全て) 192.168.1.1 -- 192.168.1.0/24 

と考えていただけるとよろしいか。

  1
  2
  3
  4
  5
  6
  7
  8
  9
 10
 11
 12
 13
 14
 15
 16
 17
 18
 19
 20
 21
 22
 23
 24
 25
 26
 27
 28
 29
 30
 31
 32
 33
 34
 35
 36
 37
 38
 39
 40
 41
 42
 43
 44
 45
 46
 47
 48
 49
 50
 51
 52
 53
 54
 55
 56
 57
 58
 59
 60
 61
 62
 63
 64
 65
 66
 67
 68
 69
 70
 71
 72
 73
 74
 75
 76
 77
 78
 79
 80
 81
 82
 83
 84
 85
 86
 87
 88
 89
 90
 91
 92
 93
 94
 95
 96
 97
 98
 99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
# 9.1.2 IP アドレスの設定
# lan1 ports に 192.168.1.1/24 を bind
ip lan1 address 192.168.1.1/24

# 53.1 相手先情報番号の選択
# 接続先ID 1 設定
pp select 1

# 6.2.1 常時接続の設定
pp always-on on

# 14.16.1 PPPoE で使用する LAN インタフェースの指定
# LAN2 を利用する
pppoe use lan2

# 14.2 受け入れる認証タイプの設定
# CHAP 認証のみを受け入れる
pp auth accept chap

# 14.4 自分の名前とパスワードの設定
# 接続先ID ごとのアカウントおよびパスワード
# つまり 接続先ID ごとに実行する必要がある
pp auth myname pfXXXXXXX@iij.ad.jp PASSWORD

# 14.6.1  Maximum Receive Unit オプション使用の設定
# PPP - Link Control Protocol - Maximum Receive Unit / flets
ppp lcp mru on 1454

# 14.9.2 PP側IPアドレスのネゴシエーションの設定
# 接続先ID についてIPアドレスのネゴシエーションの有効化
ppp ipcp ipaddress on

# 14.9.8 IPCPのMS拡張オプションを使うか否かの設定
ppp ipcp msext on

# 9.1.4 インタフェースのMTUの設定
# flets
ip pp mtu 1454

# 24.1 インタフェースへの NATディスクリプタ適用の設定
# [NAT]ディスクリプタ = バインドを決めるためのポリシー
# ディスクリプタ機能はインターフェースにパケットが通行する、つまり送受信時に動作する
# インターフェースの種類は問わない
# 送信時には最後に評価、受信時は最初に評価
ip pp nat descriptor 1

# 53.6.1相手先の使用許可の設定
# 接続先ID 1 の設定許可
pp enable 1

# 9.1.7 IPの静的経路情報の設定
# 接続先ID 1 の設定 pppoe use lan2 を使用
ip route default gateway pp 1

# 24.2 NATディスクリプタの動作タイプの設定
# ディスクリプタ番号 1 を使用
# masquerade = 静的NAT変換とIPマスカレード変換(静的NATとNAPT)
nat descriptor type 1 masquerade

# 15.1.1 DHCPの動作の設定
# server OR relay として機能
# relay (リレーエージェント) とした場合、NAT機能使用不可
dhcp service server

# 15.1.4 DHCPスコープの定義
# スコープID 1 に対して末尾25から56までの32 IPアドレスを指定
dhcp scope 1 192.168.1.25-192.168.1.56/24

# 25.1 DNSを利用するか否かの設定
# 空白区切りで 4サーバまで(IIJ)
dns server 210.130.0.1 210.130.0.1

# 25.6 プライベートアドレスに対する問い合わせを処理するか否かの設定
# “NXDomain" を返す
dns private address spoof on

# 9.1.8 IP パケットのフィルタの設定
# 9.1.10 Source-route オプション付きIPパケットをフィルタアウトするか否かの設定
ip filter source-route on

# 9.1.11 ディレクテッドブロードキャストパケットをフィルタアウトするか否かの設定
# on は 192.168.1.255 を 破棄
ip filter directed-broadcast on

# 9.1.8 IP パケットのフィルタの設定
# フィルタID 1010 SRC EPMAP(135:windows系RPCサービス)  reject
ip filter 1010 reject * * udp,tcp 135 *
# フィルタID 1011 DST EPMAP(135:windows系RPCサービス)  reject
ip filter 1011 reject * * udp,tcp * 135

# フィルタID 1012 SRC 137-139 レンジ reject
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
# フィルタID 1013 DST 137-139 レンジ reject
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn

# フィルタID 1014 SRC microsoft-ds reject
ip filter 1014 reject * * udp,tcp 445 *
# フィルタID 1015 DST microsoft-ds reject
ip filter 1015 reject * * udp,tcp * 445

# フィルタID 1020 192.SRC 168.1.0/24 reject
ip filter 1020 reject 192.168.1.0/24 *

# フィルタID 1030 DST 192.168.1.0/24 icmp pass
ip filter 1030 pass * 192.168.1.0/24 icmp

# フィルタID 2000 全て reject
ip filter 2000 reject * *

# フィルタID 3000 全て pass
ip filter 3000 pass * *

# 9.1.12 動的フィルタの定義
# 動的フィルタ ID SRC * DST * proto[ftpはACTV前提]
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

# 接続先ID 1 設定
pp select 1

# 9.1.22 フィルタリングによるセキュリティの設定
# in(受信パケットフィルタリング)
# out(送信パケットフィルタリング)
# 全てのフィルタにマッチしない場合、パケットは廃棄される
# 受信パケットフィルタ 1020,1030,2000
ip pp secure filter in 1020 1030 2000

# 送信パケットフィルタ 1010,1011,1012,1013,1014,1015,3000 / 動的 100,101,102,103,104,105,106,107
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107

# 接続先ID 1 の設定許可
pp enable 1

間違った説明等々ありましたらご指摘頂ければ幸いです :)