仕事でYAMAHAのルーターRTX1200を設定する機会があったんだけど、なかなかうまく行かなくてかるく絶望した。そんで、勉強がてら思い切りいじってみたくてヤフオクで探してみたら、定価123900円の憧れのRTX1100が3600円で買えたー。

べ、別に外から艦これしたいわけじゃ無いんだからねッ!

http://projectphone.typepad.jp/blog/2013/08/rtx810-178a.html

まあ、おもいきり2005年発売の型落ちなんだけど、昨年のファームウェアアップデートでL2TP/IPSecに対応。それもNATトラバーサルも利用可となってて、NAT越えのVPNの接続もいけちゃいます。YAMAHAのサポート体制ナフリスペクト!

http://jp.yamaha.com/products/network/routers/rtx1100/

ネットの情報を参考にあれこれ設定したら、外部から自宅へのL2TP/IPSecによるVPN接続環境が構築できましたー!iPhoneやMacBookからもスイスイ接続できて、自宅内のnasneやNASなどのリソースにアクセス出来ます。これはけっこう便利ですよ。

無料で使えるダイナミックDNSサービスを利用できるのもうれしい。ターミナルから任意のドメインを簡単に取得出来、固定IPを持っていなくても同一のドメインで常時アクセス出来ちゃいます。

Windows7がデフォルトでのNATトラバーサルL2TP/IPSecに非対応(レジストリ書き換えで対応可)なのもあり、セキュリティに問題のあるPPTP用のトンネルも一応用意しといて、必要とあればssh経由でサービスを起こして使うようにしてる。

まれに負荷のかかるtorrentなんかを使うと、NATテーブルがあふれてパフォーマンスが落ちますが、Linuxのイメージダウンロードの時ぐらいのときしか使わないので、さほど問題でも無い。以下のような感じで、クライアントごとのセッションの最大値を設定しておくといいかもしんまい。

nat descriptor masquerade session limit 1 1 300

3600円で遊べて勉強になって、自分用VPN環境も構築できて満足した。仕事で触るときが来ても余裕をもって出来そうだ。次はもう一個RTX1100買ってきて、無意味に二拠点間VPNでも張ってみるか。。

ネット上の先人達の設定例が大いに役に立ったので、おれも設定内容をさらしておくか。。

login password *
login user admin *
security class 1 off on
timezone +09:00
console prompt [RTX]
login timer 1000
ip route default gateway pp 1
ip lan1 address 192.168.0.254/24
ip lan1 proxyarp on
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname [ppoeid] [password]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1438
ip pp nat descriptor 1
netvolante-dns hostname host pp server=1 [ddnsfqdn]
pp enable 1
pp select anonymous
pp bind tunnel1-tunnel4
pp auth request mschap-v2
pp auth username [ppuserid] [password]
ppp ipcp ipaddress on
ppp ipcp msext on
ppp pap restart 10000
ppp pap maxauthreq 10
ip pp remote address pool 192.168.0.240-192.168.0.250
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.0.254
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text [ipseckey]
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
l2tp keepalive use on 10 3
l2tp keepalive log on
l2tp syslog on
ip tunnel tcp mss limit auto
tunnel enable 1
tunnel select 3
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 3
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade static 1 1 192.168.0.254 tcp telnet
nat descriptor masquerade static 1 2 192.168.0.254 tcp www
nat descriptor masquerade static 1 3 192.168.0.254 esp
nat descriptor masquerade static 1 4 192.168.0.254 udp 500
nat descriptor masquerade static 1 5 192.168.0.254 udp 4500
nat descriptor masquerade static 1 6 192.168.0.254 gre
nat descriptor masquerade static 1 7 192.168.0.254 tcp 1723
nat descriptor masquerade static 1 8 192.168.0.108 udp 21897
nat descriptor masquerade static 1 9 192.168.0.254 tcp 22
nat descriptor masquerade session limit 1 1 300
nat descriptor masquerade static 100 1 192.168.0.254 tcp telnet
ipsec auto refresh on
ipsec transport 1 101 udp 1701
syslog notice on
syslog debug on
tftp host any
telnetd service off
dhcp service server
dhcp scope 1 192.168.0.100-192.168.0.150/24
dns server pp 1
dns private address spoof on
pptp service off
l2tp service on
httpd service on
httpd host any
upnp use on
sshd service on
sshd host key generate *