RTX1000(Yamaha) ルータの設定

更新日 2005/06/18

RTX1000は初期値はなにも設定されていないので、RS-232Cでターミナルモードで接続する構成はLAN1をlocal側、LAN2をWAN側としてローカルルータとして設定する。
LAN1 : 192.168.80.1/24
LAN2 : 192.xxx.xxx.xxx/24
LAN1をマスカレードしてLAN2に出す。
LAN2にpptpで接続する。
LAN2からのアクセスにFilterをかける

初期設定

RS-232Cを接続すると
Password: <--(Enter)

RTX1000 Rev.7.01.47 (Tue Feb  8 11:03:47 2005)
  Copyright (c) 1994-2005 Yamaha Corporation.
  Copyright (c) 1991-1997 Regents of the University of California.
  Copyright (c) 1995-1996 Jean-loup Gailly and Mark Adler.
  Copyright (c) 1998-2000 Tokyo Institute of Technology.
  Copyright (c) 2000 Japan Advanced Institute of Science and Technology, HOKURIKU.
  Copyright (c) 2002 RSA Security Inc. All rights reserved.
00:a0:de:29:dd:1c, 00:a0:de:29:dd:1d, 00:a0:de:29:dd:1e,
Memory 16Mbytes, 3LAN, 1BRI
> administrator (Enter)
Password: <--(Enter)
#

login パスワードの設定

# login password
Old_Password: <--(Enter)
New_Password:*******
New_Password:*******

ネットワークの設定

ipアドレスの設定

# ip lan1 address 192.168.80.1/24
# ip lan2 address 192.xxx.xxx.xxx/24
# ip route default gateway 192.244.75.21

ipマスカレードの設定

# ip lan2 nat descriptor 1      <--NATディスクリプタ番号が「1」(a)
# nat descriptor type 1 masquerade    <--上記NATディスクリプタ番号に合わせる
# nat descriptor address outer 1 192.xxx.xxx.xxx <--lan2のアドレス
# nat descriptor address inner 1 192.xxx.xxx.xxx 192.168.80.1-192.168.80.254 <--マスカレードされるアドレス
(このときLan2へのパケットはLan1に指定されたアドレスで出るので192.168.80.1から必要)

pptpの設定


# ip lan1 proxyarp on   <--pptpクライアントのアドレスがルータ側にあることをLAN側のPCに知らせるため

# pp select anonymous
anonymous# pp bind tunnel1-tunnel3
anonymous# pp auth request mschap
anonymous# pp auth username okada ****** <--ユーザ、パスワード
anonymous# ppp ipcp ipaddress on  <--相手PP側のIPネゴシエーションを行う
anonymous# ppp ipcp msext on   <--MS拡張オプションを使用
  |IPCP(Internet Protocol Control Protocol):PPPで通信する際に、IPヘッダーを圧縮
  | するかどうか、IPアドレスの受け渡し、フレーム最大長の決定、ID/パスワードの
  | 認証にPAP又はCHAPを使うか等を決めるプロトコル

anonymous# ppp ccp type mppe-any
anonymous# ppp ccp no-encryption reject   <--暗号化しない通信は拒否
anonymous# ip pp remote address pool 192.168.80.33-192.168.80.62 <-- pptpのDHCPが割り振るアドレス範囲
anonymous# ip pp mtu 1280
anonymous# pptp service type server
anonymous# pp enable anonymous
anonymous# pptp service on
anonymous# tunnel select 1
tunnel1# tunnel encapsulation pptp
pptp tunnel disconnect time 3600   <--timeoutまでの時間
tunnel1# tunnel enable 1
tunnel1# tunnel select none

マスカレードでポート変換を行わない
# nat descriptor masquerade static 1 1 192.168.80.1 tcp 1723   <--PPTP制御コネクションポート
                                  ^^^<--上記(a)のNATディスクリプタ番号に合わせる
# nat descriptor masquerade static 1 2 192.168.80.1 gre
                                  ^^^<--上記(a)NATディスクリプタ番号に合わせる

GRE(Generic Routing Encapsulation):
  PPTPで用いられるプロトコルで、47番。PPTPのトンネリングに際しては、パケット
にGREヘッダが付けられる

ipfilterの設定

# ip filter 21 pass 10.99.99.100 * * * * <--このアドレスだけinを許可
# ip filter 27 pass * 192.168.80.0/24 icmp * * <--icmpの戻りパケットを許可
# ip filter 30 reject * * * *
# ip filter 50 pass * * * *

# ip filter dynamic 101 * * tcp <--(SPI)ステートフルパケットインスペクションの設定
# ip filter dynamic 102 * * udp <--(SPI)ステートフルパケットインスペクションの設定
# ip lan2 secure filter in 21 26 27 30   <--filter番号の適用
# ip lan2 secure filter out 50 dynamic 101 102

DHCPサーバの設定

dhcp service server
dhcp scope 1 192.168.1.120-192.168.1.180/24
           ^^適当に1からつける

log について

# ip filter 1 pass-log * * icmp
# ip filter 2 pass * *
# ip lan2 secure filter in 1 2
# ip lan2 secure filter out 1 2
# syslog notice on


# clear log

tunnelのlog

Tunnel内のlogの表示

一致したらlogに記載(よってすべて)を定義
# ip filter 1 pass-log *   

NOTICEタイプをON
# syslog notice on    

# tunnel select 4

入力側のlog
tunnel4# ip tunnel secure filter in 1 
出力側のlog
tunnel4# ip tunnel secure filter out 1
tunnel4# clear log
tunnel4# show log


2005/06/13 15:21:49: TUNNEL[4] Passed at OUT(1) filter: ICMP 192.168.80.1 > 192.168.11.2 : echo request

2005/06/13 15:21:49: TUNNEL[4] Passed at IN(1) filter: ICMP 192.168.11.2 > 192.168.80.1 : echo reply