技術

YAMAHA FWX120 初期化から各種設定について

とある事情で自宅ルーター、 YAMAHA FWX120 を初期化して再設定することになりました。

YAMAHAのルーターは、はっきり言って他のメーカーのルーターと比較するとGUIやCLIがわかりづらくて、設定が難しいです。

そこで備忘録として設定内容と方法をまとめました。

はじめに

製品の選定理由

YAMAHA FWX120 は、5万円以上するルーターです。

このぐらいの価格レベルの製品はスモールオフィス用で、通常、家庭ではこのレベルのルーターは必要ありません。BUFFALOの数千円のルーターで十分です。

なのに、なぜ私がこのルーターを自宅で使用しているかというと、下記の理由からです。

  • PPPoEマルチセッションが必要 (複数のプロバイダが必要)
  • VPNを張る必要がある (PPTPとL2TP)
  • 外部のポートのフィルターを細かく設定する必要がある(ファイヤーウォールが必要)
  • ある程度の負荷に耐えられる必要がある

BUFFALOでも、これらの要件を満たす製品はありそうですが、BUFFALOはちょっと設定変更するだけで再起動が入ったり、CLIがなかったりといろいろ不便なので業務用を使うことにしました。

私はこれまでネットワークエンジニアとして、Ciscoをはじめとした様々なメーカーのルーターを触ってきました。YAMAHAも例外ではないのですが、YAMAHAは他のメーカーと比べるとGUIが難解で操作しづらいです。私は嫌いです。避けられるならそれに越したことはないのですが、他のメーカーだとスモールオフィス用の最低レベルでも10万円ぐらいするので、価格を理由にYAMAHAを使うことにしました。

YAMAHAのGUIがわかりづらい理由

とにかく、FW(ファイヤーウォール)のポリシーとACL(アクセスリスト)の設定がわかりづらいです。初期設定が終わり、運用フェーズに入ると、ポリシーの設定ぐらいしか触らないものですが、そのポリシー設定がわかりづらいという致命的な欠点がYAMAHA製品にあります。GUIではなく、CLIの方がまだわかりやすいんじゃないかというぐらい、センスのないUIになっています。

ACLについて

YAMAHAでは、[入力遮断フィルター]と呼んでいるようです。デフォルトでNETBIOSなどのブロックが入っていて、後は全許可になっています。FWX120は、通信の制御はポリシーでできるので、ACLは基本的に触らなくていいと思います。

FWポリシー

YAMAHAでは、[ポリシーフィルターの設定] にあたります。パッと見、FWの設定とは思えないぐらい、ぶっ飛んだUIになっています。

Image from Gyazo

まず混乱の元ですが、カラム名に 受信I/F と 送信I/F とありますが、これは通常のFWでいうところの source と destination にあたります。送信元、送信先と読み替えた方がわかりやすいかと思います。なんでこんな日本語になっているのでしょうか?

次に空白箇所ですが、受信I/Fと送信I/Fのカラムの空白は上記と同じ値、それ以外のカラムの空白は * が入るようです。最終行のような値が大きすぎて他のカラムにはみ出ていて見づらいという問題は、実際に設定画面に入るしかないというところでしょうか。

ファクトリーリセット(初期化)する必要になった経緯

AWSに建てた外部サーバに、あるポートでアクセスする必要があったのですが、接続できなかったのでポリシーの設定をいじっていました。そのポリシー設定で、「暗黙のdeny」のフィルターを誤って最上位に持っていってしまったのだと思います。

それで全通信ができなくなりました。ルーターへのhttp接続もできなくなりました。

バカですね。。。 (暗黙のdenyのフィルターを上位に持って行けるUIもどうかと思いますが、、、)

大量にあったはずのコンソールケーブルもなぜか手元になかったので、ジ・エンド。設定する手段がなくなったのでファクトリーリセット(初期化)しなくてはいけなくなりました。

バックアップをとっていなかったことを、はげしく後悔しました。

ファクトリーリセット(初期化)する方法

コンソールやhttpで接続できるなら、ファクトリーリセットのメニューがあるので、それを実行します。

今回はhttpは接続出来なくて、手元にコンソールケーブルもなかったのでこの方法は使えませんでした。実機操作で直接やる必要があります。実機のボタン DOWNLOAD, USB, MicroSD を3つ同時に押しながら、電源を入れると初期化されます。

設定方法

初期化が無事にすんだら設定していきます。

初期IP 192.168.100.1 に http でアクセスします。初期パスワードは doremi です。
あとCLIも使うので、 telnet でも接続しておきます。

接続できたら、下記の順番で設定していきます。

  1. 管理者パスワード変更と細々とした設定
  2. LANとDHCPの設定
  3. プロバイダの設定
  4. PPPoEマルチセッションのルート設定
  5. リビジョンアップ
  6. 時刻合わせ
  7. VPN(PPTP)サーバの構築
  8. ポート転送
  9. バックアップ

管理者パスワード変更と細々とした設定

GUIにアクセスすると、管理者パスワードが初期値のままだと警告のポップアップがでます。そこの記載通りにパスワードを変更します。

GUI: [詳細設定と情報] > [ユーザーとアクセス制限の設定(HTTP、TELNET、SSH、SFTP)]

CLIに、telnetでなくsshでアクセスしたい場合は、この画面で設定しておきます。

他にちょっとしたデフォルト設定をCLIから変更しておきます。

loginセッション時間はデフォルト5分になっていますが、これは短すぎて不便なので30分に変更しておきます。

# login timer 1800

またコンソールが文字化けするので、文字コードを変更します。

# console character ascii

LANとDHCPの設定

LANとDHCPの設定をします。

私は、LANのIPはデフォルトの 192.168.100.1 のままです。

DHCPはGUIだと、デフォルト設定を編集できなくて、追加したあとにデフォルトを削除するといった、わずらわしいことをしないといけないので、CLIでサクッと変更しておきます。

dhcp scope 1 192.168.100.60-192.168.100.90/24

プロバイダの設定

プロバイダを設定します。設定値は、プロバイダの契約書を参照して下さい。

GUI: [プロバイダ情報の設定]

複数プロバイダを使う場合は、1個ずつ設定していきます。メインで使うものを一番最初に設定します。(PP[01]がメインプロバイダになる)

設定後、トップ画面で、インターネットの設定・状態が緑色になって「通信中」と表示されます。これでやっと、インターネットに接続できるようになりました。

PPPoEマルチセッションのルート設定

私の場合は、2つのプロバイダと契約していて、 192.168.100.191~192.168.100.199 と 192.168.100.203 のデバイスは、メインプロバイダではなくサブプロバイダでアクセスしたいという要件があります。

下記コマンドで、これらのIPのみサブプロバイダを使うように設定します。

ip filter 11 pass 192.168.100.191-192.168.100.199 * * * *
ip filter 12 pass 192.168.100.203 * * * *
ip route default gateway pp 2 filter 11 12 gateway pp 1

リビジョンアップ

リビジョンの更新です。他メーカーで言うところの、ファームウェア更新、OS更新にあたります。

リビジョンは一度、更新すれば初期化しても戻りません。なので初期化したこととは直接関係ない作業なのですが、しばらくしてなかったのでインターネットに接続できるようになったら最初にしておきます。

GUI: [詳細設定と情報] > [リビジョンアップの実行]

時刻合わせ

インターネットに接続出来るようになりましたので、外部NTPと同期します。

GUI: [詳細設定と情報] > [本体の設定(日付・時刻、ブザー )]

時刻が大幅にずれているので、まずは「手動設定」で現在時間をいれて、「設定の確定」をします。その後、「問い合わせ先NTPサーバー」を入力します。NTPサーバーはプロバイダから提供されている場合はその値を、提供されていない場合は日本の一般公開NTP「ntp.jst.mfeed.ad.jp」などを使います。

VPN(PPTP)サーバの構築

外から自宅PCにアクセスするために、VPN(PPTP)サーバを構築します。このルーターの難解な箇所の一つです。

GUI: [詳細設定と情報] > [VPN接続の設定] > [追加] > 【PPTPを使用したパスワード認証のリモートアクセスVPNサーバー(Anonymous)】

PPTP暗号鍵方式は、MS-CHAP v2 を選択します。

この設定をするだけで、適切なポリシーとポート転送の設定が自動で追加されます。

しかし、このままではまだ接続できません。CLIで下記コマンドを入力します。

pptp service on

以上で、PPTP接続できるようになります。

なるはずなのでが、つながらないこともかなりあります・・・

その場合は syslog を見て原因をさぐります。ダッシュボードで syslog のガジェット追加すれば、ブラウザで見ることができます。

PPTP Connect
Give up establishing PPP/LCP in REQSENT
PPTP Disconnecting, cause [PPP: LCP Timeout]

のようなログだと、クライアント側の設定が原因の場合もあります。別クライアントや別ネットワークからでも同じ現象になるかどうか確認した方がいいです。

VPN(L2TP)サーバの構築

Apple製品は、PPTP未対応でL2TPにしか対応していません。ルータ購入当時はMacBookを使っていたのでL2TPが必要でした。今は使っていないので、今回の作業ではL2TPは未設定です。当時、設定に結構苦労した記憶があります。

GUIで設定しようとすると、Anonymous は既にPPTPで使用しているので、[L2TP/IPsecを使用したリモートアクセスVPNサーバー(Anonymous)] がグレーアウドしていて設定できません。CLIで設定する必要があります。

参考
https://network.yamaha.com/setting/router_firewall/vpn/vpn_client/vpn-smartphone-setup_rtx1200

PPTPパススルー

自宅から外部サーバにPPTP接続するための設定です。
http://www.yondemite.com/?p=474 の引用になります。

詳細設定と情報→ポリシーフィルターの設定→IPv4 ポリシーフィルターの設定・状態表示
→グループとユーザー定義サービスの一覧・・・>「設定」ボタン
→サービスグループの設定・・・>Open Services・・・>「設定」ボタン→
メンバー (直接指定)で
TCP/ポート番号->(選択する) 1723(入力する)
GRE(選択する)
を選択・入力して「設定の確定」ボタン

ポート転送

外部に公開するポートの設定です。ポート開放ともいいます。

[詳細設定と情報] > [基本接続の詳細な設定] > [プロバイダの修正(PP[01])] 静的IPマスカレード関連

設定後、適切なポリシーが自動で追加されています。

バックアップ

今時の製品は、GUIからconfigファイルをダウンロードできるんですが、この製品はできないっぽいです。

ルータ本体にUSBメモリやSDカードを挿していれば、GUIからそのデバイスにコピーできるらしいですが、私は挿していません。昔ながらの、コンソールから show config を実行して、それをテキストファイルにコピペするという方法でバックアップを取得します。

その際、下記コマンドでコンソール出力で途中で止めることなく一気にできます。

console lines infinity


以上になります。

やり忘れがあるかもしれませんが、とりあえず上記の設定で最低限の動作はできるようになりました。

COMMENT

メールアドレスが公開されることはありません。