前回より
コンフィグちょこちょこいじりました
主にフィルターとssh周りの設定追加
コンフィグ説明
適当に区切ってコメントで説明
基本設定
login password encrypted * #コンソールログインパス
administrator password encrypted * #管理者パス
login user qunaud * #sshログインユーザー
user attribute qunaud administrator=on connection=serial,remote,ssh,http login-timer=300 multi-session=on host=any
#どの権限でログインさせるか、管理者許可、シリアル、ssh,httpログイン可,ログインタイマー300s、マルチセッション可、ホスト不特定
login timer 600 #ログインタイマー600s
ip routing process fast #ファストパス有効
Vlan設定
ip route default gateway pp 1 #デフォルトゲートウェイ指定
vlan port mapping lan1.1 vlan1 #Vlanをそれぞれのポートに振り分け
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.5 vlan2
vlan port mapping lan1.7 vlan3
vlan port mapping lan1.8 vlan3
lan type lan1 port-based-option=divide-network #ポートVLan
ip vlan1 address 192.168.0.254/24 #Vlan1のアドレス指定
ip vlan1 proxyarp on #arpプロキシ指定
ip vlan1 secure filter in 100099 #フィルター指定
ip vlan1 wol relay broadcast #Wolパケット透過設定
ip vlan2 address 192.168.1.254/24 #Vlan2アドレス指定
ip vlan2 secure filter in 300002 300004 300001 100099 #フィルター指定
ip vlan3 address 192.168.10.254/24 #Vlan3アドレス指定
ip vlan3 secure filter in 100099 #フィルター指定
ip vlan3 wol relay broadcast #Wolパケット透過設定
PPPoE設定
pp select 1
description pp PRV/PPPoE/0:OCN #説明文
pp keepalive interval 30 retry-interval=30 count=12 #キープアライブ
pp always-on on #常に有効
pppoe use lan2 #使用ポート指定
pppoe auto disconnect off #自動切断オフ
pp auth accept pap chap #暗号化指定
pp auth myname username password #接続ユーザー,パスワード
ppp lcp mru on 1454 #MRU指定、PPPoEなので1454に
ppp ipcp ipaddress on #グローバルIPアドレス自動取得
ppp ipcp msext on #DNSサーバ自動取得
ppp ccp type none #圧縮なし
ip pp secure filter in 200003 200004 200005 200020 200021 200022 200023 200024 200025 200030 200038 200039 200032 1 200080 200081 200082
# in側フィルター設定
ip pp secure filter out 200013 200014 200015 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
# out側フィルター設定
ip pp nat descriptor 1000 #NAT設定指定
netvolante-dns use pp server=1 auto #ネットボランチDNS指定
netvolante-dns hostname host pp server=1 qunaud.aa0.netvolante.jp #ネットボランチDNSホスト名設定
pp enable 1 #pp1有効化
VPN設定
pp select anonymous
pp name vpn #名前設定
pp bind tunnel1-tunnel2 #トンネル指定、今回は2つ
pp auth request mschap-v2 #暗号化指定
pp auth username user1 pass1 #一人目
pp auth username user2 pass2 #二人目
ppp ipcp ipaddress on #IPアドレス自動取得
ppp ipcp msext on #DNSサーバ自動取得
ip pp remote address pool 192.168.0.128-192.168.0.191 #VPN割当アドレスプール
ip pp mtu 1258 #MTU指定
pp enable anonymous #有効化
tunnel select 1 #トンネル1の設定
tunnel encapsulation l2tp #使用プロトコル
ipsec tunnel 1 #IPSecのトンネル1
ipsec sa policy 1 1 esp aes-cbc sha-hmac #IPSecの暗号化指定
ipsec ike keepalive log 1 off #IKE KeepAlive log OFf
ipsec ike keepalive use 1 off #IKE KeepAlive OFf
ipsec ike nat-traversal 1 on # ipsecのnat超え設定
ipsec ike pre-shared-key 1 text (共通キー) #IPSecの事前キー設定
ipsec ike remote address 1 any #接続先を不特定に
l2tp tunnel auth off #認証なし
l2tp keepalive use on #l2tpKeepAlive有効
ip tunnel tcp mss limit auto #msslimit自動
tunnel enable 1 #トンネル1有効可
tunnel select 2 #トンネル2の設定
tunnel encapsulation l2tp
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive log 2 off
ipsec ike keepalive use 2 off
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text 0808
ipsec ike remote address 2 any
l2tp tunnel auth off
l2tp keepalive use on
ip tunnel tcp mss limit auto
tunnel enable 2
フィルター設定
ip filter 1 pass * 192.168.10.1 tcp * www,https #Webサーバーへのaccess許可
ip filter 101 pass * 192.168.0.255 udp * discard # 192.168.0.0/255へのudpすべて許可
ip filter 100099 pass * * * * * #すべてのpass
ip filter 200000 reject 10.0.0.0/8 * * * * #10./8へのリジェクト
ip filter 200001 reject 172.16.0.0/12 * * * * #172.16/16のリジェクト
ip filter 200002 reject 192.168.0.0/16 * * * * #192.168/16のリジェクト
ip filter 200003 reject 192.168.0.0/24 * * * * #192.168.0.0/24のリジェクト
ip filter 200004 reject 192.168.1.0/24 * * * * #192.168.1.0/24のリジェクト
ip filter 200005 reject 192.168.10.0/24 * * * * #192.168.10.0/24のリジェクト
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.0.0/24 * * *
ip filter 200014 reject * 192.168.10.0/24 * * *
ip filter 200015 reject * 192.168.10.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 * #135ポートリジェクト
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * #netbios関連リジェクト
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 * #SMBリジェクト
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp #http,ftp,nntpのtcpfin,rstリジェクト
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.0.0/24 icmp * * #192.168.0.0/24のicmp許可
ip filter 200031 pass * 192.168.0.0/24 established * * #established許可
ip filter 200032 pass * 192.168.0.0/24 tcp * ident #ident許可
ip filter 200033 pass * 192.168.0.0/24 tcp ftpdata * #ftpdata通信許可
ip filter 200034 pass * 192.168.0.0/24 tcp,udp * domain #dns通信許可
ip filter 200035 pass * 192.168.0.0/24 udp domain *
ip filter 200036 pass * 192.168.0.0/24 udp * ntp #ntp許可
ip filter 200037 pass * 192.168.0.0/24 udp ntp *
ip filter 200038 pass * 192.168.1.0/24 icmp * * #1.0のicpm許可
ip filter 200039 pass * 192.168.10.0/24 icmp * *
ip filter 200080 pass * 192.168.0.254 esp * * #vpn周りの許可
ip filter 200081 pass * 192.168.0.254 udp * 500
ip filter 200082 pass * 192.168.0.254 udp * 4500
ip filter 200099 pass * * * * * #すべて許可
ip filter 300001 reject * 192.168.0.0/24 * * * #192.168.0.0/24への通信拒否
ip filter 300002 pass * 192.168.0.255 * * * #192.168.0.255への通信許可
ip filter 300004 pass 192.168.1.253 * * * * #無線APへの通信許可
ip filter 300003 pass 192.168.0.255 * * * *
ip filter 500000 restrict * * * * * #すべて拒否
ip filter dynamic 200080 * * ftp #各種ダイナミック
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
静的NAPT
nat descriptor type 1000 masquerade #ipマスカレード設定
nat descriptor masquerade static 1000 1 192.168.10.1 tcp www #Webサーバへの80,433設定
nat descriptor masquerade static 1000 2 192.168.10.1 tcp https
nat descriptor masquerade static 1000 3 192.168.10.1 tcp ftpdata #webサーバへの20,21設定
nat descriptor masquerade static 1000 4 192.168.10.1 tcp 21
nat descriptor masquerade static 1000 101 192.168.0.255 udp discard #VPNアクセス用
nat descriptor masquerade static 1000 102 192.168.0.254 udp 500
nat descriptor masquerade static 1000 104 192.168.0.254 udp 4500
その他設定
ipsec auto refresh on #IKE鍵交換自動
ipsec transport 1 1 udp 1701 #ipsec使用ポート
ipsec transport 2 2 udp 1701
syslog notice on #syslog追加
syslog debug on
dhcp service server #DHCPサーバー有効可化
dhcp server rfc2131 compliant except remain-silent #rfc2131準拠化
dhcp scope 1 192.168.0.16-192.168.0.127/24 #Vlan1スコープ
dhcp scope 2 192.168.1.1-192.168.1.127/24 #Vlan2スコープ
dns server pp 1 #dnssever設定
dns server select 500001 pp 1 any . restrict pp 1 #DNSseverテーブル設定
dns private address spoof on #プライベートアドレスのdns問い合わせ拒否
ip host qunaud.local 192.168.10.1 #dnsレコード設定
snmp sysname yamaha-rtx1200-(macaddress) #smtp用ホスト名設定
schedule at 1 */* 01:56:00 * ntpdate ntp.nict.jp syslog #ntpでの時刻同期設定
l2tp service on #l2tp有効化
netvolante-dns server update address use server=1 on #ネットボランチDNSIP更新自動化
upnp use on #UPnP有効化
sshd service on #ssh接続有効化
sshd host vlan1 #ssh接続vlan指定
sshd host key generate * #ssh用キー
statistics cpu on #統計機能有効
statistics memory on
次は
ルーターを変えたので速度測定でもしようかと