初めてのインターネットVPN(ファイル共有編):ファイル共有が使えるようにする
前回までで、とりあえず、本社-支社間でインターネットVPN(IPsec VPN)がはれた。
だが、GUIでデフォルトの設定をしてしまうと、トンネルインターフェイスに対してIPフィルタリングがかかって、ファイル共有のためのポート(135,137-139,445)を閉じてしまう。
この状態だと、支社から本社のファイルサーバー(Windows Server 2008 R2)の共有フォルダーを、支社のクライアントがアタッチできない。
このトンネルインターフェイスにかかっているIPフィルタリングを取っ払ってしまう(インターネットに向かっているLAN2インターフェイスではないことに注意)。
このIPフィルタリングを除いてしまっても、外側に向かってポートが解放されることはない。
IPフィルタリングは、RTX1200もSRT100もGUIから取り除くことができるが、ルーターのコンフィグが汚くなってしまうので、SSHで接続して、TeraTermで変更してしまう。
SSHを使えるようにするには、GUIの管理画面の「アクセス管理」画面で、SSHDが起動するようにする。Telnetはデフォルトで使えるので、Telnetが不要なら使用しない設定にする。
TeratermからSSHでルーターにログインする際のアカウントは、「アクセス管理」画面の下の方にある「ログインユーザーの設定・状態確認」のところでユーザーを追加する。
ここで登録したユーザー/パスでルーターにつないで、Administratorコマンドで管理者にsuして設定する。
以下はSSHでログインして、show configでコンフィグを一部表示したところ。YAMAHAのルータは日本語がSJISになっているので、ターミナルの文字コードはSJISにする。
コマンドは、YAMAHAの公式サイトから、RTX1200のコマンドリファレンスをダウンロードして参照すればよい。
YAMAHAが設定例をたくさん用意してくれていて、とても参考になる。
以下が、RTX1200のコンフィグ(GUIで作ったひな形を整理しただけ)。
login password encrypted * administrator password encrypted * login user [ログインユーザー名] * user attribute [ログインユーザー名] administrator=on connection=serial,telnet,remote,ssh,sftp, http login-timer=300 multi-session=on host=any ip route default gateway pp 1 ip route 192.168.20.0/24 gateway tunnel 1 ip lan1 address 192.168.11.1/24 pp select 1 description pp PRV/PPPoE/0:[接続名] pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth myname [ID] [パスワード] ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address [グローバルipアドレス]/32 ip pp mtu 1500 ip pp nat descriptor 1000 pp enable 1 tunnel select 1 description tunnel toShisha ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 auto heartbeat ipsec ike local address 1 [グローバルipアドレス] ipsec ike pre-shared-key 1 text [pre-shared-key] ipsec ike remote address 1 [対向するルータのグローバルipアドレス] ip tunnel tcp mss limit auto tunnel enable 1 nat descriptor type 1000 masquerade nat descriptor masquerade static 1000 101 192.168.11.1 esp nat descriptor masquerade static 1000 102 192.168.11.1 udp 500 ipsec auto refresh on dns server pp 1 dns server select 1 pp 1 any . restrict pp 1 dns private address spoof on snmp sysname [system名] schedule at 1 */Sun 02:00:00 * ntpdate ntp.nict.jp syslog sshd service on sshd host key generate * sftpd host none statistics cpu on statistics memory on