YAMAHA RTX1210 メモ – テックメモ

●ユーザー

1. 管理パスワード未設定

ユーザ名=空白＋パスワード=空白 → 管理者
ユーザ名=適当＋パスワード=空白 → NG
ユーザ名=空白＋パスワード=適当 → NG

2. 管理パスワード設定(123)

ユーザ名=空白＋パスワード=空白 → ユーザ名なし
ユーザ名=適当＋パスワード=空白 → NG
ユーザ名=空白＋パスワード=適当 → NG

ユーザ名=適当＋パスワード=123 → NG
ユーザ名=空白＋パスワード=123 → 管理者

3. ユーザ作成(user/abc)

ユーザ名=空白＋パスワード=空白 → ユーザ名なし
ユーザ名=適当＋パスワード=空白 → NG
ユーザ名=空白＋パスワード=適当 → NG

ユーザ名=空白＋パスワード=abc → NG
ユーザ名=user ＋パスワード=abc → user
ユーザ名=user ＋パスワード=123 → 管理者
ユーザ名=user ＋パスワード=空白 → NG

4. ユーザ(user)の管理ユーザへの昇格を不可へ

ユーザ名=user ＋パスワード=123 → NG

5. ユーザー名なしユーザーの管理ユーザへの昇格不可へ

ユーザ名=空白＋パスワード=123 → NG

※4まで進めると、user/123でログインできなくなる。

※5まで進めると管理者でログインできなくなる。
(ユーザ名なしログインは空白/123でログインするときにも適用される)

結果、
1.管理パスワードを設定(123)
2.ユーザを作成(user/abc)
3.ユーザ名なしユーザーの管理ユーザへの昇格不可へ
※接続方法の許可=すべて許可しない←この設定だけでOK(ユーザ名なしユーザーが実質無効化となるので)

これでユーザ名+パスワードの種類でユーザの種類が決まる。
空白/空白=NG
空白/123=NG
空白/abc=NG
user/123=管理ユーザ
user/abc=user(一般)

※SSHだとuser/abcしか利用できないログイン後にadministratorと入力。

●ポート

･LAN1ポート（8ポート）
スイッチングハブ機能を持つ8つ

･LAN2ポート（1ポート）
通常はWAN接続用

･LAN3ポート（1ポート）
LAN2と同様
WAN/LANどちらも可

●初期化

コマンドの場合、
＞cold start

全面3つのボタンを押しながら再起動
・電源を落とす
・全面3つのボタンを押したまま電源を入れる。

具体的な設定手順

●セキュリティ

telnetd service off
sshd service off

※今回はSSH使わない

●ユーザー設定

・管理者パスワード設定

アクセス管理＞ユーザーの設定
管理パスワードの設定＞設定

新しいパスワード：123
＞確認

# WebGUIからは実行不可
administrator password
＞123

・一般ユーザー(user)を作成

アクセス管理＞ユーザーの設定＞
ユーザーの設定＞新規

ユーザー名：user
新しいパスワード：abc
(以下デフォルトのまま)
管理ユーザーへの昇格：許可する
接続方法の許可：すべて許可する
接続を許可する端末の制限：すべて許可する
自動ログアウトまでの時間：5分
Web GUI 画面の閲覧の許可：すべて許可する
同一ユーザー名による複数接続：許可する
＞確認

# WebGUIからは実行不可
＞login user user
＞abc

・ユーザー名なしユーザーのログイン無効化＋管理ユーザー昇格無効化
＞user attribute administrator=off connection=off

※user/123=管理ユーザ
※user/abc=一般ユーザー(user)
※SSHの場合、user/abcでログイン後にadministratorと入力

●自動ログアウト

管理＞アクセス管理＞ユーザーの設定＞設定
自動ログアウトまでの時間を長くする。

●MR600+RTXでダブルルータ

MR600がSIMでインターネットにアクセス
MR600はDHCPが動いており､ネットワーク範囲が192.168.1.0/24｡
MR600のLANポートとRTX1210のLAN2ポートを接続｡
RTX1210はDHCPが動いており､ネットワーク範囲が192.168.100.0/24｡
RTX1210のLAN1ポートにPCを接続｡
PCはRTXのDHCPでIPアドレスを取得し､MR600を経由してインターネットアクセスしている状態｡

# LAN2は外部ルーター(上位)からIPを自動取得
# プロバイダが固定IPの場合ip lan2 address xxx.xxx.xxx.xxx/xxなど
ip lan2 address dhcp 

# (工場出荷設定済)
# DHCPサービス有効化
# dhcp service server

# LAN1のIPアドレス配布範囲
# scope1はlan1用だと自動で判断される
dhcp scope 1 192.168.12.2-192.168.12.254/24

# LAN2からDHCPで取得したデフォルトゲートウェイをルーターのデフォルトルートとして設定
# LAN2が固定の場合 ip route default gateway xxx.xxx.xxx.xx lan2
ip route default gateway dhcp lan2
 
# DNSサーバーはLAN2で取得したものを利用するように設定
dns server dhcp lan2
 
# 外部DNSを利用
# 変更する場合は no dns server でリセットしてから
# dns server 1.1.1.1
# dns server 1.0.0.1
 
# NATディスクリプタ1をマスカレード（NAPT）方式で動作させる
nat descriptor type 1 masquerade
 
# NATディスクリプタ1のインターネット側のIPアドレスにprimaryを設定。
# primaryはディスクリプタに関連付けられたインターフェースに設定されているプライマリIPアドレス
nat descriptor address outer 1 primary

# (工場出荷設定済)
# NATディスクリプタ1のLAN側のIPアドレス範囲を設定。
# NAT処理の対象となるローカルネットワークのIPアドレス範囲を指定。
# nat descriptor address inner 1 192.168.11.1-192.168.11.254
# nat descriptor address inner 1 auto

# LAN2の通信に対してNATディスクリプタ1で定義されたNATを適用。
ip lan2 nat descriptor 1

# LAN1のアドレスを設定
# LAN1に接続した機器のゲートウェイとなる
# この設定を最後にしないと切断してしまう
# 工場出荷時 ip lan1 address 192.168.100.1/24 
ip lan1 address 192.168.12.1/24

# LAN2は外部ルーター(上位)からIPを自動取得

# プロバイダが固定IPの場合ip lan2 address xxx.xxx.xxx.xxx/xxなど

ip lan2 address dhcp

# (工場出荷設定済)

# DHCPサービス有効化

# dhcp service server

# LAN1のIPアドレス配布範囲

# scope1はlan1用だと自動で判断される

dhcp scope 1 192.168.12.2-192.168.12.254/24

# LAN2からDHCPで取得したデフォルトゲートウェイをルーターのデフォルトルートとして設定

# LAN2が固定の場合 ip route default gateway xxx.xxx.xxx.xx lan2

ip route default gateway dhcp lan2

# DNSサーバーはLAN2で取得したものを利用するように設定

dns server dhcp lan2

# 外部DNSを利用

# 変更する場合は no dns server でリセットしてから

# dns server 1.1.1.1

# dns server 1.0.0.1

# NATディスクリプタ1をマスカレード（NAPT）方式で動作させる

nat descriptor type 1 masquerade

# NATディスクリプタ1のインターネット側のIPアドレスにprimaryを設定。

# primaryはディスクリプタに関連付けられたインターフェースに設定されているプライマリIPアドレス

nat descriptor address outer 1 primary

# (工場出荷設定済)

# NATディスクリプタ1のLAN側のIPアドレス範囲を設定。

# NAT処理の対象となるローカルネットワークのIPアドレス範囲を指定。

# nat descriptor address inner 1 192.168.11.1-192.168.11.254

# nat descriptor address inner 1 auto

# LAN2の通信に対してNATディスクリプタ1で定義されたNATを適用。

ip lan2 nat descriptor 1

# LAN1のアドレスを設定

# LAN1に接続した機器のゲートウェイとなる

# この設定を最後にしないと切断してしまう

# 工場出荷時 ip lan1 address 192.168.100.1/24

ip lan1 address 192.168.12.1/24

実行結果。最低限これでけでネットに繋がる｡

administrator password encrypted *
login user user *
user attribute administrator=off connection=off
user attribute user connection=serial,telnet,remote,ssh,sftp,http gui-page=dashboard,lan-map,config login-timer=300
ip route default gateway dhcp lan2
ip lan1 address 192.168.12.1/24
ip lan2 address dhcp
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.12.2-192.168.12.254/24
dns server dhcp lan2
statistics traffic on

administrator password encrypted *

user attribute administrator=off connection=off

user attribute user connection=serial,telnet,remote,ssh,sftp,http gui-page=dashboard,lan-map,config login-timer=300

ip route default gateway dhcp lan2

ip lan1 address 192.168.12.1/24

ip lan2 address dhcp

ip lan2 nat descriptor 1

nat descriptor type 1 masquerade

nat descriptor address outer 1 primary

nat descriptor address inner 1 auto

telnetd host lan

dhcp service server

dhcp server rfc2131 compliant except remain-silent

dhcp scope 1 192.168.12.2-192.168.12.254/24

dns server dhcp lan2

statistics traffic on

●PPPoE接続の場合(ONU→RTXの場合)

もしダブルルータの設定を流用するなら競合の設定を削除。

no ip route default gateway dhcp lan2
no ip lan2 nat descriptor 1
no dns server dhcp lan2
no ip lan2 address dhcp

no ip route default gateway dhcp lan2

no ip lan2 nat descriptor 1

no dns server dhcp lan2

no ip lan2 address dhcp

GUIだと実行できないコマンドがあるのでTeraTermから
文字化けする場合は、漢字コード＞送受信Shift_JIS

administrator

# PPPインターフェースpp1を選択
pp select 1 # 終了pp select none

# 常時接続設定
pp always-on on

# PPPoE接続に使う物理インターフェースを指定(ONU接続ポート)
pppoe use lan2

# 認証方式の許可(PAPとCHAP)
pp auth accept pap chap

# ISPから指示された認証情報を設定
pp auth myname <ユーザー名> <パスワード>

# PPP IPCPによるIPアドレス取得許可
ppp ipcp ipaddress on

# LCP MRUの設定
ppp lcp mru on 1454

# PPPのMTU設定
ip pp mtu 1454

# NATディスクリプタ1をマスカレード(NAPT)方式で動作させる
nat descriptor type 2 masquerade

# pp1インターフェースのグローバルIPをNAT外側アドレスに設定
# nat descriptor address outer 2 pp 1
nat descriptor address outer 2 primary

# NAT利用時のIPマスカレード設定
ip pp nat descriptor 2

# pp1インターフェースを有効化
pp enable 1

# DNSサーバーはPPPoEのIPCPから
dns server pp 1

# ルーターのデフォルトルートをpp1に設定
ip route default gateway pp 1

# LAN1のIPアドレス配布範囲
dhcp scope 1 192.168.12.2-192.168.12.254/24

# LAN1のアドレスを設定
ip lan1 address 192.168.12.1/24

administrator

# PPPインターフェースpp1を選択

pp select 1 # 終了pp select none

# 常時接続設定

pp always-on on

# PPPoE接続に使う物理インターフェースを指定(ONU接続ポート)

pppoe use lan2

# 認証方式の許可(PAPとCHAP)

pp auth accept pap chap

# ISPから指示された認証情報を設定

pp auth myname <ユーザー名> <パスワード>

# PPP IPCPによるIPアドレス取得許可

ppp ipcp ipaddress on

# LCP MRUの設定

ppp lcp mru on 1454

# PPPのMTU設定

ip pp mtu 1454

# NATディスクリプタ1をマスカレード(NAPT)方式で動作させる

nat descriptor type 2 masquerade

# pp1インターフェースのグローバルIPをNAT外側アドレスに設定

# nat descriptor address outer 2 pp 1

nat descriptor address outer 2 primary

# NAT利用時のIPマスカレード設定

ip pp nat descriptor 2

# pp1インターフェースを有効化

pp enable 1

# DNSサーバーはPPPoEのIPCPから

dns server pp 1

# ルーターのデフォルトルートをpp1に設定

ip route default gateway pp 1

# LAN1のIPアドレス配布範囲

dhcp scope 1 192.168.12.2-192.168.12.254/24

# LAN1のアドレスを設定

ip lan1 address 192.168.12.1/24

●拠点間接続の設定

# ipsecはトンネルを作るためのプロトコル群
# ikeはipsecの前準備のためのプロトコル
# saはikeによって合意した通信ルールの定義書

# トンネル1の設定モード
tunnel select 1

description <名称>

# tunnel1でipsecを利用する
ipsec tunnel 1

# 最初の1はsaポリシー番号、次の1はike番号
# ike番号、sa番号を紐づける
ipsec sa policy 1 1 esp aes-cbc sha256 

# ike1でikeのバージョン2を利用する
ipsec ike version 1 2

# ike1に対してキープアライブ機能を有効化する
ipsec ike keepalive use 1 on

# ike1のキープアライブ関連イベントをログ出力する
ipsec ike keepalive log 1 on

# ike1のdpd監視を10秒周期で行い、3回連続で応答が無ければ対向ダウン
ipsec ike dpd interval 1 10 retry 3

# ike1でnat越えを使ってipsec/ikeを通す機能を有効化
ipsec ike nat-traversal 1 on

# ikeのエンドポイントIPを決める(結果ipsec全体のエンドポイント)
# ppoeならauto
ipsec ike local address 1 <A拠点WANのインタフェースIPまたはauto>

# ike1のidをkey-id方式でbranch-aにする(複数のikeのどれかを識別するため)
# ipsec ike local id 1 fqdn a-site.example.local
ipsec ike local id 1 key-id branch-a

# ike1の接続先
ipsec ike remote address 1 <B拠点のグローバルIPまたはFQDN>

# ike1の接続先のidはkey-id方式でbranch-b
# ipsec ike remote id 1 fqdn b-site.example.local
ipsec ike remote id 1 key-id branch-b

# 両方の拠点で同じ文字列(20文字目安)
ipsec ike pre-shared-key 1 text <強固な共有鍵>

# ike1のike saの寿命を3600秒(1時間)
ipsec ike sa lifetime 1 3600

# ike1のipsec saの寿命を3600秒(1時間)
ipsec sa lifetime time 1 3600

# ike1のipsec seでpfsを使う
ipsec sa pfs group14 1

# tcpセッションのmss値を自動調整
ip tunnel tcp mss limit auto

# tunnel1を有効化
tunnel enable 1

# ルーティング
ip route 192.168.21.0/24 tunnel 1

# トンネル1の設定モード終了
exit

# ipsecはトンネルを作るためのプロトコル群

# ikeはipsecの前準備のためのプロトコル

# saはikeによって合意した通信ルールの定義書

# トンネル1の設定モード

tunnel select 1

description <名称>

# tunnel1でipsecを利用する

ipsec tunnel 1

# 最初の1はsaポリシー番号、次の1はike番号

# ike番号、sa番号を紐づける

ipsec sa policy 1 1 esp aes-cbc sha256

# ike1でikeのバージョン2を利用する

ipsec ike version 1 2

# ike1に対してキープアライブ機能を有効化する

ipsec ike keepalive use 1 on

# ike1のキープアライブ関連イベントをログ出力する

ipsec ike keepalive log 1 on

# ike1のdpd監視を10秒周期で行い、3回連続で応答が無ければ対向ダウン

ipsec ike dpd interval 1 10 retry 3

# ike1でnat越えを使ってipsec/ikeを通す機能を有効化

ipsec ike nat-traversal 1 on

# ikeのエンドポイントIPを決める(結果ipsec全体のエンドポイント)

# ppoeならauto

ipsec ike local address 1 <A拠点WANのインタフェースIPまたはauto>

# ike1のidをkey-id方式でbranch-aにする(複数のikeのどれかを識別するため)

# ipsec ike local id 1 fqdn a-site.example.local

ipsec ike local id 1 key-id branch-a

# ike1の接続先

ipsec ike remote address 1 <B拠点のグローバルIPまたはFQDN>

# ike1の接続先のidはkey-id方式でbranch-b

# ipsec ike remote id 1 fqdn b-site.example.local

ipsec ike remote id 1 key-id branch-b

# 両方の拠点で同じ文字列(20文字目安)

ipsec ike pre-shared-key 1 text <強固な共有鍵>

# ike1のike saの寿命を3600秒(1時間)

ipsec ike sa lifetime 1 3600

# ike1のipsec saの寿命を3600秒(1時間)

ipsec sa lifetime time 1 3600

# ike1のipsec seでpfsを使う

ipsec sa pfs group14 1

# tcpセッションのmss値を自動調整

ip tunnel tcp mss limit auto

# tunnel1を有効化

tunnel enable 1

# ルーティング

ip route 192.168.21.0/24 tunnel 1

# トンネル1の設定モード終了

exit