Amazon.co.jp: ヤマハ ギガアクセスVPNルーター RTX1200
購入した。わーい。
高速回線(光ファイバー)を利用する:コマンド設定例 « 設定例
の設定を元に、
コマンドリファレンス
から一行ごとに拾ってコメントを入れた。
変更点は、
・LAN1 の IPアドレスが 192.168.1.1/24 “ip lan1 address 192.168.1.1/24″
・CHAP 認証のみ受付 “pp auth accept chap”
・DHCP レンジを 変更 “dhcp scope 1 192.168.1.25-192.168.1.56/24″
・DNS をIIJの4台 “dns server 210.130.0.1 210.130.0.1″
くらいだろうか。
接続は
壁 -- ONU -- LAN2[YAMAHA RTX1200]LAN1(8port全て) 192.168.1.1 -- 192.168.1.0/24
と考えていただけるとよろしいか。
# 9.1.2 IP アドレスの設定
# lan1 ports に 192.168.1.1/24 を bind
ip lan1 address 192.168.1.1/24
# 53.1 相手先情報番号の選択
# 接続先ID 1 設定
pp select 1
# 6.2.1 常時接続の設定
pp always-on on
# 14.16.1 PPPoE で使用する LAN インタフェースの指定
# LAN2 を利用する
pppoe use lan2
# 14.2 受け入れる認証タイプの設定
# CHAP 認証のみを受け入れる
pp auth accept chap
# 14.4 自分の名前とパスワードの設定
# 接続先ID ごとのアカウントおよびパスワード
# つまり 接続先ID ごとに実行する必要がある
pp auth myname pfXXXXXXX@iij.ad.jp PASSWORD
# 14.6.1 Maximum Receive Unit オプション使用の設定
# PPP - Link Control Protocol - Maximum Receive Unit / flets
ppp lcp mru on 1454
# 14.9.2 PP側IPアドレスのネゴシエーションの設定
# 接続先ID についてIPアドレスのネゴシエーションの有効化
ppp ipcp ipaddress on
# 14.9.8 IPCPのMS拡張オプションを使うか否かの設定
ppp ipcp msext on
# 9.1.4 インタフェースのMTUの設定
# flets
ip pp mtu 1454
# 24.1 インタフェースへの NATディスクリプタ適用の設定
# [NAT]ディスクリプタ = バインドを決めるためのポリシー
# ディスクリプタ機能はインターフェースにパケットが通行する、つまり送受信時に動作する
# インターフェースの種類は問わない
# 送信時には最後に評価、受信時は最初に評価
ip pp nat descriptor 1
# 53.6.1相手先の使用許可の設定
# 接続先ID 1 の設定許可
pp enable 1
# 9.1.7 IPの静的経路情報の設定
# 接続先ID 1 の設定 pppoe use lan2 を使用
ip route default gateway pp 1
# 24.2 NATディスクリプタの動作タイプの設定
# ディスクリプタ番号 1 を使用
# masquerade = 静的NAT変換とIPマスカレード変換(静的NATとNAPT)
nat descriptor type 1 masquerade
# 15.1.1 DHCPの動作の設定
# server OR relay として機能
# relay (リレーエージェント) とした場合、NAT機能使用不可
dhcp service server
# 15.1.4 DHCPスコープの定義
# スコープID 1 に対して末尾25から56までの32 IPアドレスを指定
dhcp scope 1 192.168.1.25-192.168.1.56/24
# 25.1 DNSを利用するか否かの設定
# 空白区切りで 4サーバまで(IIJ)
dns server 210.130.0.1 210.130.0.1
# 25.6 プライベートアドレスに対する問い合わせを処理するか否かの設定
# “NXDomain" を返す
dns private address spoof on
# 9.1.8 IP パケットのフィルタの設定
# 9.1.10 Source-route オプション付きIPパケットをフィルタアウトするか否かの設定
ip filter source-route on
# 9.1.11 ディレクテッドブロードキャストパケットをフィルタアウトするか否かの設定
# on は 192.168.1.255 を 破棄
ip filter directed-broadcast on
# 9.1.8 IP パケットのフィルタの設定
# フィルタID 1010 SRC EPMAP(135:windows系RPCサービス) reject
ip filter 1010 reject * * udp,tcp 135 *
# フィルタID 1011 DST EPMAP(135:windows系RPCサービス) reject
ip filter 1011 reject * * udp,tcp * 135
# フィルタID 1012 SRC 137-139 レンジ reject
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
# フィルタID 1013 DST 137-139 レンジ reject
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
# フィルタID 1014 SRC microsoft-ds reject
ip filter 1014 reject * * udp,tcp 445 *
# フィルタID 1015 DST microsoft-ds reject
ip filter 1015 reject * * udp,tcp * 445
# フィルタID 1020 192.SRC 168.1.0/24 reject
ip filter 1020 reject 192.168.1.0/24 *
# フィルタID 1030 DST 192.168.1.0/24 icmp pass
ip filter 1030 pass * 192.168.1.0/24 icmp
# フィルタID 2000 全て reject
ip filter 2000 reject * *
# フィルタID 3000 全て pass
ip filter 3000 pass * *
# 9.1.12 動的フィルタの定義
# 動的フィルタ ID SRC * DST * proto[ftpはACTV前提]
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
# 接続先ID 1 設定
pp select 1
# 9.1.22 フィルタリングによるセキュリティの設定
# in(受信パケットフィルタリング)
# out(送信パケットフィルタリング)
# 全てのフィルタにマッチしない場合、パケットは廃棄される
# 受信パケットフィルタ 1020,1030,2000
ip pp secure filter in 1020 1030 2000
# 送信パケットフィルタ 1010,1011,1012,1013,1014,1015,3000 / 動的 100,101,102,103,104,105,106,107
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
# 接続先ID 1 の設定許可
pp enable 1
間違った説明等々ありましたらご指摘頂ければ幸いです :)