初めてのインターネットVPN(ファイル共有編):ファイル共有が使えるようにする

YAMAHA RTX1200 SRT100

前回までで、とりあえず、本社-支社間でインターネットVPNIPsec VPN)がはれた。
だが、GUIでデフォルトの設定をしてしまうと、トンネルインターフェイスに対してIPフィルタリングがかかって、ファイル共有のためのポート(135,137-139,445)を閉じてしまう。
この状態だと、支社から本社のファイルサーバー(Windows Server 2008 R2)の共有フォルダーを、支社のクライアントがアタッチできない。

このトンネルインターフェイスにかかっているIPフィルタリングを取っ払ってしまう(インターネットに向かっているLAN2インターフェイスではないことに注意)。
このIPフィルタリングを除いてしまっても、外側に向かってポートが解放されることはない。

IPフィルタリングは、RTX1200もSRT100もGUIから取り除くことができるが、ルーターのコンフィグが汚くなってしまうので、SSHで接続して、TeraTermで変更してしまう。

SSHを使えるようにするには、GUIの管理画面の「アクセス管理」画面で、SSHDが起動するようにする。Telnetはデフォルトで使えるので、Telnetが不要なら使用しない設定にする。

TeratermからSSHルーターにログインする際のアカウントは、「アクセス管理」画面の下の方にある「ログインユーザーの設定・状態確認」のところでユーザーを追加する。
ここで登録したユーザー/パスでルーターにつないで、Administratorコマンドで管理者にsuして設定する。

以下はSSHでログインして、show configでコンフィグを一部表示したところ。YAMAHAのルータは日本語がSJISになっているので、ターミナルの文字コードSJISにする。

コマンドは、YAMAHAの公式サイトから、RTX1200のコマンドリファレンスをダウンロードして参照すればよい。
YAMAHA設定例をたくさん用意してくれていて、とても参考になる。

以下が、RTX1200のコンフィグ(GUIで作ったひな形を整理しただけ)。

login password encrypted *
administrator password encrypted *
login user [ログインユーザー名] *
user attribute [ログインユーザー名] administrator=on connection=serial,telnet,remote,ssh,sftp,
http login-timer=300 multi-session=on host=any
ip route default gateway pp 1
ip route 192.168.20.0/24 gateway tunnel 1
ip lan1 address 192.168.11.1/24
pp select 1
 description pp PRV/PPPoE/0:[接続名]
 pp keepalive interval 30 retry-interval=30 count=12
 pp always-on on
 pppoe use lan2
 pppoe auto connect on
 pppoe auto disconnect off
 pp auth myname [ID] [パスワード]
 ppp lcp mru on 1454
 ppp ipcp msext on
 ppp ccp type none
 ip pp address [グローバルipアドレス]/32
 ip pp mtu 1500
 ip pp nat descriptor 1000
 pp enable 1
tunnel select 1
 description tunnel toShisha
 ipsec tunnel 1
  ipsec sa policy 1 1 esp 3des-cbc md5-hmac
  ipsec ike keepalive use 1 auto heartbeat
  ipsec ike local address 1 [グローバルipアドレス]
  ipsec ike pre-shared-key 1 text [pre-shared-key]
  ipsec ike remote address 1 [対向するルータのグローバルipアドレス]
 ip tunnel tcp mss limit auto
 tunnel enable 1
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 101 192.168.11.1 esp
nat descriptor masquerade static 1000 102 192.168.11.1 udp 500
ipsec auto refresh on
dns server pp 1
dns server select 1 pp 1 any . restrict pp 1
dns private address spoof on
snmp sysname [system名]
schedule at 1 */Sun 02:00:00 * ntpdate ntp.nict.jp syslog
sshd service on
sshd host key generate *
sftpd host none
statistics cpu on
statistics memory on