RTX1210やRTX830での設定(コンフィグ)についてメモ
※随時更新※
※問合せのあった設定方法などを備忘録として記載します※
◆VPN設定(RTX810、GUI画面)
・ブラウザでGUI画面にログインする
まずはログインしたいルーターのあるLAN環境に接続しよう、もちろん直接ルーターのLANポートでも良い
ルーターのIPアドレス(初期値は192.168.100.1)をアドレスバーに入力してエンターキーを押すと、ログインIDとパスワードを聞かれるので、パスワードだけ入力してログインする(初期値はIDもパスも無し、ほとんどの場合ログインパスワードだけ設定されていると思われる)
・「詳細設定と情報」ボタン
設定はすべてここから行う
プロバイダ、IPアドレス、DHCP、VPN、フィルター、管理者パスワードなどなど
・「インターネットの設定・状態」表示
正しく接続されているものは、”通信中”と緑色で表示され、切断時(エラー、故意ともに)はグレーになる
プロバイダ接続…
その名の通りプロバイダ設定、通常は1つだけで”PP[01]”となっている、”グローバル”の部分にWAN側のIPアドレス(固定IPの場合はそれ)が表示されている
IPsec接続…
例えば本社Aから支店B、本社Aから支店Cなど、ルーター対ルーター(会社のルーター同士)の接続についての表示(※拠点間接続)
RAS接続(Anonymous)…
例えば本社Aと”外出先のパソコンA”、本社Aと”外出先のスマホB”など、ルーター対”端末”のような接続についての表示(※リモートアクセス)
◆詳細設定画面を詳しく見てみる
・まずは上部の3つについて(自動接続先の設定は使用しないので省略する)
基本接続の詳細な設定…
プロバイダの設定をする、「設定」ボタンから順に進んでいくだけで接続できるだろう、基本1つだけ登録すればいいので問題はないはず
VPN接続の設定…
拠点間接続、リモートアクセスなど、いくつかのVPN接続方法を登録できる、RTX810の場合は”6拠点までの同時接続”が可能
※詳しくはこちらを参照のこと(プロバイダ、VPNの設定方法が掲載されている)↓
2拠点間接続の設定方法 https://network.yamaha.com/setting/router_firewall/vpn/connect/vpn-explain_ipsec_aggressive
〃 https://network.yamaha.com/setting/router_firewall/vpn/connect/vpn-explain_ipsec_main
3拠点の場合(参考まで) https://network.yamaha.com/setting/router_firewall/vpn/connect/triadic_7-rtx810
リモートアクセスの設定 https://network.yamaha.com/setting/router_firewall/vpn/vpn_client/vpn-smartphone-setup_rtx810_gui
・続いて、その下の項目を見ていく
ネットボランチ~…
これがヤマハルーターを購入する理由の方も多いと思う、固定IPを取得しなくても、DNSを割り振ってくれるサービスで非常に便利、ヤマハの設定方法サイトで固定IPの部分を、このネットボランチで割り振られたDNSに置き換えて考えれば色々と設定できると思う(ちなみに”○○○.aa0.netvolante.jp”のようなアドレスを登録することになるが、こちらが決めるのは○○○の部分のみだ)
LANの設定…
ここでルーター本体のIPアドレスと、LAN内のパソコン等に割り当てるIPアドレス(DHCP)を設定する、プロバイダの設定より先に設定してもいいくらいの項目となる
この後、”その2”で説明するが、DHCPを割り当てる数値には注意したい
ユーザーとアクセス制限…
ルーターにログインするための管理者パスワードを設定できるのだが、もし設定するなら”1回きり”の設定にしよう、間違った際はルーター本体ごと初期化をおススメする
あらかた設定を終えてからパスワードを変更する必要がある場合、設定内容をバックアップし、初期化してバックアップから設定を復元し、そしてからパスワードを再設定する
◆VPN設定(RTX810、その他コマンド等)
すでに設定済(運用中)のルーター設定の調べ方
ルーターにログインできるのであれば、すでに設定されている情報を見ると理解が早まる
まずは、詳細設定画面の下段にある「本製品の全設定(config)のレポート作成」ボタンをクリックしよう
すでに設定されたコマンド(ルーターのプログラム)が表示される
#~ という感じで、項目別に設定内容が分かるかと思う
# IP configuration 項目以下
拠点間のVPN設定をしていると、
ip route 192.168.12.0/24 gateway tunnel 1 のような項目があるかと思う、下の「# TUNNEL configuration」で説明する
# PP configuration 項目以下
### PP 1 ###
プロバイダ関係の情報がまとまっている
pp auth myname に続いて、プロバイダの接続ID / そのパスワード が記載されている
netvolante-dns hostname とあれば、既にネットボランチの登録を済ませていることになる
### PP anonymous ###
リモートアクセス(端末からのアクセス)用の情報がまとまっている
pp auth username に続いて、接続ユーザー名 / パスワード となっている
1つ以上、6つ以下あるかと思う
# TUNNEL configuration 項目以下
### TUNNEL 1 ### ※数字は変動する
拠点間接続やリモートアクセスに関する情報がまとまっている、GUI画面からの設定中に選択する項目となっている
tunnel name は自分が分かりやすいように識別するための名前
ipsec sa policy は必ず「aes-cbc sha-hmac」とする
ipsec ike pre-shared-key は”認証鍵(事前共有キー)”といって、このキーを知っているルーター同士やPC・スマホなどの端末が接続できるのだが、拠点間とリモートアクセスで認証鍵は別となる
これは実際のコマンドを見ればわかるかと思う(各TUNNNEL項目ごとに違っていたりすると思う)
ipsec ike remote nameまたはipsec ike remote address 相手に伝える名前、または、相手の固定IPやネットボランチ
※拠点間接続を設定するGUI画面の一番下に「経路情報の設定」というのがある、ここに”相手のルーターのIPアドレスの下の桁をゼロにしたものを登録”する必要がある
登録すると、上の「# IP configuration」の通り設定が追加される(これだけ項目が分かれるのではじめは分かりづらい)
例えば相手(接続先)のルーターIPが192.168.12.1であれば、この登録時は192.168.12.0(ネットマスクは255.255.255.0/24ビットというのを選択)とする
一番下の桁がゼロのIPアドレスを”セグメント”という
このセグメントは1つだけでなく複数設定できる(3拠点以上の場合、自分以外のセグメントを登録しよう、でないと共有フォルダなどが開けない、また、これは拠点間接続の話であり、リモートアクセスするPCスマホは関係ない)
# DHCP configuration 項目
dhcp scope 1 192.168.100.2-192.168.100.200/24 のようになっているかと思う
これで言うと、ルーターの配下(社内)にある各端末に、2から200までの間でIPアドレスを割り振るということ(必ずしも連番で割り振るわけではない)
よくある話で、この数値幅が少なすぎて(2から30など)、数値以上の端末を接続するとIPアドレスが割振りできずにインターネット接続ができない等の問題が起こる
他にも、サーバーやNAS、プリンタ等を固定IPにしている場合、DHCPの範囲内で固定IPにしてしまっていると、その固定IP分のIPアドレスは
割り振れないことになる(固定IPはDHCPの範囲外にしよう)
上記以外の設定情報(コマンド)については、ルーター設定を進める中で、自動的に作成されるものがほとんどなので、あまり変更する必要はない
※もちろんながら、セキュリティ等で設定する項目は他にも多々ある、そうした設定は専門の方に任せよう
◆コマンドをバックアップしよう
①まずはテキストをコピーしておく
「本製品の全設定(config)のレポート作成」を開いた際、上部に「text形式で保存」とある、これをクリックすると、別ページで”コマンドだけ”が表示される
これをメモ帳などにそっくりコピペし、適当に名前をつけて保存しておこう
この情報さえあれば、コマンドの復元も可能だし、最悪、このコマンドを全部手打ちすれば同じように動作させられる
※コマンド先頭のほうにある#のついた行は”コメント行”で、プログラムとしては機能しないので、保存しなくても良い
②上記configレポート作成より下にある「設定ファイル・ファームウェアファイルのコピー」からもバックアップと復元が可能
バックアップは、必ず①を行ってから、②を行い、どちらも行うようにする
◆コマンドを復元してみよう
復元の際は、上記②の画面から行うのだが、①のテキストファイル(拡張子txt)はそのまま取り込める
適当なUSBメモリに復元したいコマンドのみ保存し、ルーターのUSBポートに差し込んだ状態で復元する
◆DHCPの設定を確認する
ルーターのGUI画面にログインして、「詳細設定」タブから、「DHCPサーバー」の項目を開く
ここでDHCPでの割り振り範囲と、DHCPのリース時間、空きIPがいくつあるかなど一目で確認できる
空きがなくなりそう、なくなっていれば割り振り範囲を広げる
それとリース時間、これがコンフィグに記載がないと72時間になる
違う時間にしたいときは、このままGUI画面で設定できる
設定後にコンフィグを見てみると、
dhcp scope 1 192.168.xxx.2-192.168.xxx.100/24 expire 24:00 maxexpire 24:00
というように、標準リース時間と最大リース時間の項目が追加されている
◆LANポートを分離する
WiFiルーターのゲスト機能などを使ってもいいのだが、物理的にというか、ルーターのハブ部分を区切って、例えばLAN1~3ポートは通常使用、LAN4ポートだけは他のポートのLANとは分離して、WiFiルーター専用のポートにする(WiFiはインターネットに出るのみ)ような使い方のほうが良い場合がある
コンフィグだと1行書くだけで、LANポートが4ポートある場合で、上記説明のように分離するには、
lan type lan1 port-based-option=split-into-123:4
というようになる
DHCPなどネットワーク設定は基本同じで、あくまでLANポート間の通信を遮断するものなので、IPアドレス(セグメント)から分けたいなど、より細かく設定する場合は「LAN分割機能」のほうを使う
ヤマハ「LAN分割機能」のページ こちらにポート分離機能との違いもあるので分かりやすい