YAMAHAとNuroBiz
全リセットからの再出発。
本当に色々とあって、全く身動きが出来ない状態が続いていますが何も残せないのも悲しいので残します。
昨今のテレワーク、巣ごもりの影響かNTT回線が非常に重く使いづらくなっておりました。UCOMの専用線タイプの光も試してはみましたが何故か接続が途切れる、100M程度しか速度が出ないなどもあってコスト下げがてらNuroBizを導入してみました。
試験的に別拠点で導入はしていたんですが、1Gbps+1Gbpsの使い道に目処が立ったので2拠点ともNuroBizに切り替え。ルーターはRTX1200系を利用しました。
NuroBizは2Gbpsなんて謳っていますが、実際には上記の通り1Gbps+1Gbpsのなんちゃって2Gbpsです。最近は実装も増えてきた2.5GのNICを合わせても2Gbps出るわけではにのでご注意ください。
根がケチなので折角の2Gbpsを何とか使いたく、色々考えて設定してみました。NuroBizとRTX1200系の設定はNuroで設定例を公開しており非常に参考になりますが、誤表記があったりして、ちょっと不親切です。あくまで参考に止めましょう。
今回は固定IPアドレスオプションなしの場合を残します。RTX1200を利用中でフィルタ型ルーティングが一部使えないのでDHCPの割り振りでゲートウェイを切り替える方式をとってます。
NuroのONUはLAN1ポートが固定IPアドレス付、LAN2はDHCPによるIP割当となってますので下のように接続しました。
ONU LAN1 -------- RTX1200 LAN2
ONU LAN2 -------- RTX1200 LAN3
RTX1200 LAN1 ------------ PC等々
VISIOを解約してしまったので絵が描けません。
実際の設定は下記の通りとなります。
フィルタ、機器設定等は入れてません。ごめんなさい。
# インターフェースIPアドレス設定
ip lan1 address LAN側アドレス/サブネット
ip lan2 address NuroBizで貰った固定IP/サブネット
ip lan3 address dhcp
# デフォルトゲートウェイ設定
ip route default gateway Nuroで指定されたゲートウェイ gateway dhcp lan3 filter 1
# ゲートウェイ振り分け用のIPフィルタ
# LAN側指定アドレスはDHCP側をゲートにする
# 上記以外は固定IP側をゲートにする
ip filter 1 pass LAN側一部アドレスを指定 * * * *
# NATデスクリプタ設定
# 固定IP側
ip lan2 nat descriptor 1000
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 NuroBizで貰った固定IP
nat descriptor address inner 1000 NuroBizで貰った固定IP 固定IP側をゲートウェイとするアドレス群(表記は 192.168.1.1-192.168.150みたいにハイフンでつなぐ)
nat descriptor masquerade incoming 1000 reject
nat descriptor timer 1000 tcpfin 10
nat descriptor timer 1000 protocol=udp port=domain 30
# DHCP側
ip lan3 nat descriptor 2000
nat descriptor type 2000 masquerade
nat descriptor address outer 2000 primary
nat descriptor address inner 2000 DHCP側をゲートウェイとするアドレス群(表記は 192.168.1.1-192.168.150みたいにハイフンでつなぐ)
nat descriptor masquerade incoming 2000 reject
nat descriptor timer 2000 tcpfin 10
nat descriptor timer 2000 protocol=udp port=domain 30
# フィルター適用
# フィルタは固定側とDHCP側を別々に書く
ip filter source-route on
ip filter directed-broadcast on
# 侵入検知設定
# 固定IP側
ip lan2 intrusion detection in on
ip lan2 intrusion detection in ip on reject=off
ip lan2 intrusion detection in ip-option on reject=off
ip lan2 intrusion detection in fragment on reject=off
ip lan2 intrusion detection in icmp on reject=off
ip lan2 intrusion detection in udp on reject=off
ip lan2 intrusion detection in tcp on reject=off
ip lan2 intrusion detection in default off
ip lan2 intrusion detection out on
ip lan2 intrusion detection out winny on reject=off
ip lan2 intrusion detection out share on reject=off
ip lan2 intrusion detection out default off
# DHCP側
ip lan3 intrusion detection in on
ip lan3 intrusion detection in ip on reject=off
ip lan3 intrusion detection in ip-option on reject=off
ip lan3 intrusion detection in fragment on reject=off
ip lan3 intrusion detection in icmp on reject=off
ip lan3 intrusion detection in udp on reject=off
ip lan3 intrusion detection in tcp on reject=off
ip lan3 intrusion detection in default off
ip lan3 intrusion detection out on
ip lan3 intrusion detection out winny on reject=off
ip lan3 intrusion detection out share on reject=off
ip lan3 intrusion detection out default off
こんな感じでざっくりと。
後はVPNやフィルタを足してやれば良いかと思います。
正直、NATの部分とかは手癖で足してるのが殆どなのでいらないと思います。
最後にアクセス情報【使用中のIPアドレス確認】みたいに接続情報を見せてくれる所でちゃんと表示されているIPアドレスが変わっていればOKです。