![[PukiWiki]](image/picc.png "[PukiWiki]")
ソフトウエアベースな OpenVPN を用意していたのだが、ここにきてハードウエアベースな VPN を使ってみたくなった.
っでYamaha社製 の RTX830 を購入してみた.
でもこちらは未だにADSL回線でしかもPPPoAなので既設のADSLルータは外せない.
光回線なら ODU(Optical Netowork Unit)から伸びたLANケーブルがそのまま RTX830 に入り、RTX830がルータ/FWの機能も担える.
ここではADSLルータでFWの役目を持たせ、VPNに必要なportのみポートフォワードでRTX830に渡すようにしている
設定は基本webで出来てしまうが、細かいところを調整するならコマンドラインでしたほうが良いみたい.
まず導入当初は 192.168.100.1/24 のipがlan1側(内部側)に付与されている.
っでwebアクセスで設定するには同じlan1側(内部側)のネットワークに存在するようなマシンを用意する必要があり面倒..
192.168.100.2なipを持つマシンを持つとか
なので、usbケーブルで本体(RTX830)とPCを繋げYahama様からリリースされているドライバーをインストールして、
https://network.yamaha.com/support/download/utility/usb_driver/
PCにインストールしたTeraTermのserial接続からアクセスしてみる
接続後にリターンキーを数度叩くと下記のようになります
Password:
RTX830 Rev.15.02.17 (Fri Jul 10 09:59:21 2020)
Copyright (c) 1994-2020 Yamaha Corporation. All Rights Reserved.
To display the software copyright statement, use 'show copyright' command.
00:a0:de:e9:f3:bc, 00:a0:de:e9:f3:bd
Memory 256Mbytes, 2LAN
The login password is factory default setting. Please request an administrator to change the password by the 'login password' command.
>留意
ここでTeraTermのメニュー「漢字コード」から「送受信: Shift_JIS」を選び有効にします
RTX830側のメッセージがShift_JISだから
その後、現在の設定内容を確認するために「show config」コマンドを実行します
> show config
# RTX830 Rev.15.02.17 (Fri Jul 10 09:59:21 2020)
# MAC Address : 00:a0:de:e9:f3:bc, 00:a0:de:e9:f3:bd
# Memory 256Mbytes, 2LAN
# main: RTX830 ver=00 serial=xxxxxxxxxxxxxx MAC-Address=00:a0:de:e9:f3:bc MAC-Address=00:a0:de:e9:f3:bd
# Reporting Date: Jan 6 03:09:05 2021
ip lan1 address 192.168.100.1/24
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
>どうやら初期状態では、lan1側に 192.168.100.1 が割り当てられ、dhcpサービスも展開されているみたい.
lan1側に接続させるPCがdhcp接続可能ならそのまま接続させ、RTX830のwebGUIを駆使してlan1側のネットワークを再設定します.
ですが、せっかくシリアルで繋がっているので、この段階でlan1側の設定を変更します
> administrator
Password:
The administrator password is factory default setting. Please change the password by the 'administrator password' command.
#
# ip lan1 address 10.0.0.1/24
# dhcp scope 1 10.0.0.2-10.0.0.99/24
# saveこれでlan1側は 10.0.0.0/24 なネットワークで 10.0.0.2 - 10.0.0.99 の範囲でipが配布される形になります
基本webGUIで大まかに作成して、その後その設定ファイルをダウンロードして必要な部分を追加、修正して
「RT-Tftp Client」ツールでupdateが素直なようです.
webGUIでの設定は内部(lan1)側からアクセスして行います. 前段で RTX830 の内部側は 10.0.0.1 としたのでブラウザ経由でそこにアクセスします.
パスワードを聞かれますが、初期はノーパスワードなのでそのまま「ログイン」ボタンを押下で通過できます。
ログイン出来たらまずメニューの「かんたん設定」->「基本設定」->「LANアドレス」を押下します。
ここで内部側のLANネットワークのIP体系を定義しますが、前段で「10.0.0.1/24」と定義しているのでスキップ。
次に同じく「かんたん設定」->「プロバイダー接続」を押下します
そこで新規作成で「新規」ボタンを押下します。
「インターフェースの選択」で「WAN」を選択して、「次へ」ボンタンを押下します
「回線自動判断」画面に移り「WAN」側の回線が推定されます。「次へ」ボタンを押下します
「接続種別の選択」画面に移り、ここではADSL回線から発行されるIPを受ける形なので「DHCP、または固定IPアドレスによる接続」を選び「次へ」ボタンを押下します
「プロバイダ情報の設定」画面に移ります. ここではプロバイダー直下のRTX830を置いていないので名称的には微妙なのだが、WAN側のIPを定義します. 「192.168.0.200/24」を定義します
「DNSサーバの設定」画面に移ります. ADSL側の設定内容を記載します. ここではADSLがDNSの役目を持っているので「192.168.0.1」と定義します.
「IPフィルターの設定」画面に移ります. 基本的なフィルターを作ってくれるのでここでは「推奨のIPフィルターを指定する」を選択します
「設定内容の確認」画面でこれまでの設定内容が表示されます. 確認して「設定の確定」ボタンを押下します
この段階で初めて内部(lan1)側から外部(WAN)に通信が流れ、インターネットに接続できます
最後に「かんたん設定」->「基本設定」->「日付と時刻」でntpを定義します
「日付と時刻の設定」画面で「日時の同期」にある「設定」ボタンを押下します
「NTPの設定」画面で同期日時は日付同期をさせるタイミングを指定します. ここでは「毎週土曜日」で開始時間は午前0時にしてます. 「問い合わせ先NTPサーバ」は既定の「ntp.nict.jp」とします. 「次へ」ボタンを押下します.
「入力内容の確認」画面で内容を確認して「設定を確定」ボタンを押下します
以上でVPN以外の設定は完了
vpn設定はこちらを参照RTX830/VPN
vpnを使わずに内部の計算機にsshログインさせるには、ポートフォワードを設定する.
RTX830の特定のportへのアクセスを内部の特定の計算機+ポートに繋がせる.
設定方法は、webGUIの「詳細管理」をクリックして、左縦メニューから「NAT」を選びます.
既に前段の「かんたん設定」を経ていれば、下記のような状態かと思う.
ここで「NATディスクリプターの一覧」にある「設定」ボタンを押下します
表示されたNATディスクリプターの設定」画面の下部に「静的IPマスカレードの設定」項目があります.
これを開き、画面下部の「+」ボタンを押下します
すると新しい入力行が表示され、ポートフォワード先(ここでは10.0.0.5)とプロトコル、ポート番号を記載します
ポート変換するには、RTX側を左に、ポートフォワード先を右にして「2222=22」と記載します
そして画面下部の「確認」ボタンを押下して、
「入力内容の確認」画面にて設定内容を確認して、「設定の確定」ボタンを押下します. これでポートフォワードの設定が完了です
ポートフォワードは言わば「穴」
閲覧のみなwebとかなら問題ないがsshとかならアクセスしてくる場所を限定したいもの.
ここでは先ほど作った「ポートフォワード」を利用できるアクセス元を制限してみます.
まずwebGUIの「詳細設定」を開いて左縦ツリーから「セキュリティー」->「IPフィルタ」を選びます
開いた「IPフィルタ」画面から「インターフェイスの一覧」で「WAN」インターフェースの「確認」ボタンを押下します
開いた「適用されているIPv4フィルターの一覧」画面から「適用フィルタ」欄にある「編集」リンクを押下します.
そして「 [WAN]インターフェースへの適用の設定」画面で「適用フィルタ」欄の入れ子テーブルを操作して
前段で設定したポートフォワードに基づくフィルタを探します. 宛先アドレスとか宛先portを目印に.
見つけたら「設定」ボタンを押下します
前段のポートフォワード設定に基づくフィルタの設定内容が書かれた「静的フィルターの設定」画面が表示されます.
その設定内容に「送信元アドレス」欄があり、既定では「すべてのアドレス」となっているものを「IPv4アドレス、またはFQDNで指定」を選択して、アクセス許可となるIPを指定します.
ここではADSLルータが上位に存在するので、そのネットワーク内のIPを指定しています. スペースで複数指定が可能みたい
その後に画面下部の「確認」ボタンを押下して、確認画面で内容を確認して「設定の確定」ボタンを押下します.
これで設定内容が反映されます
「管理パスワード」というのがあって設定内容を変更する時に必要なパスワード
それとRTXのwebサイトへのログイン、telnet/ssh/serial接続でログインする時のパスワードの定義が必要になる。
なので合計2つのパスワード設定が最低限必要なのだが、後段はユーザ名がない「ユーザー名なし」アカウントへのパスワード設定になる。
本家様 http://www.rtpro.yamaha.co.jp/RT/utility/rt-tftp.html
windowsツールです. Yamahaルータのファームウエアのupdateや、既設設定ファイルのダウンロード(バックアップ)や
作った設定ファイルのアップロードとかが簡単に行えます。
設定コマンドの「tftp host ...」に含まれているPCでしか使えません
インストールして起動するとこんな感じ
転送形態で「リビジョンアップ」はファームウェアの更新を意味して、「参照..」ボタンから該当するファームウェアを選び適用できる
「環境設定の取得」は既設の設定ファイルを取得できます。
「環境設定の更新」は指定した設定ファイルで現在の設定を上書きします
使い勝手は非常にいいです.
工場出荷状態までに戻すには「cold start」と実行する
#
# cold start
Password:
RTFS formatting... Done.
Restarting ...
