ヤマハ ギガアクセスVPNルーター RTX1220を購入

ヤマハ ギガアクセスVPNルーター RTX1220を購入しました

RTX1220は従来モデルであるRTX1210の後継機です。

従来機RTX1210からISDNと高速デジタル専用線関連の機能を除いて、その他の機能と性能を継承したうえで希望小売価格を若干抑えたモデルです。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ファームウェアの更新

最初にファームウェアを最新にします。

購入時は初期出荷の15.04.01でした。

現時点での最新の15.04.03にアップデートします。

上記のURLから対象のファームウェアを選択し、

rtx1220.binをUSBメモリにダウンロードします。

 

外部メモリからファームウェアを更新

進むをクリックします。

参照をクリックします。

rtx1220.binを選択します。

 

確認→実行で更新が始まります。

 

プロバイダの設定

PPPoEで設定します。ちなみにこの設定が完了するまで、LANケーブルは差していません。

LAN2にOCNプロバイダの設定を追加しました。

IPフィルターの設定は「推奨のIPフィルターを設定する」にしました。

通信をセキュリティーフィルターによって制限することができます。
「推奨のIPフィルターを設定する」を選択した場合には、以下のようなフィルタリングを実行する IPフィルターが設定されます。設定の詳細は、詳細設定 > セキュリティー > IPフィルター から確認できます。

• LAN側から開始するセッションは双方向で通信を許可する
• ICMP 以外の WAN側から開始するセッションを遮断する
• LAN側と同じネットワークアドレスに偽装した通信を遮断する
• Windowsファイル共有の通信を遮断する

「設定しない」を選択した場合には、既にこのプロバイダー接続情報に対して設定されているフィルターをすべて削除します。

設定済みの「推奨のIPフィルターの確認」

 

pp1(in)

LAN2/PP[01] に適用されている「受信方向のフィルタ」

このフィルタはプロバイダ側からLAN1側へ受け付けるパケットのフィルタになります。

 

送信元がプライベートIPアドレスの遮断します。ポート135(RPC:Remote Procedure Call)、ポート137～139(netbios_ns-netbios_ssn)、ポート445(SMB Direct Hosting)のパケットが内部に入らないようブロックしています。また、ping(icmpプロトコル),ポート113(IDENT)は宛先が自分のアドレスの場合に限り受け付けます。内部ネットワークからインターネットへpingなどのICMP通信を行った際、戻りの通信を通すために必要なフィルターです。

pp1(out)

LAN2/PP[01] に適用されている「送信方向のフィルタ」

このフィルタはLAN1側からプロバイダ側へ送信を許可するパケットのフィルタになります。

ポート135(RPC:Remote Procedure Call)、ポート137～139(netbios_ns-netbios_ssn)、ポート445(SMB Direct Hosting)のパケットが外部に出ないようブロックしています。

IP filterの200026,200027は無用な発呼を抑えるフィルタになります。restrictタイプを用いることで、回線が切断されている場合にはパケットを破棄します。

 

静的フィルタの200099,動的フィルタの200098,200099が有効になっているため、一般的なTCP,UDPの通信のパケットは外部に出られます。

ネットボランチDNSへの登録（Web GUI設定）

「かんたん設定」-「ネットボランチDNS」-「設定」をクリックします。

インターフェースを選択し、ホスト名を入力し、「次へ」をクリックします。

「同意する」をクリックします。

「設定の確定」をクリックします。

ネットボランチDNSの登録が完了しました。

RTX1220のVPN設定

「かんたん設定」-「VPN」-「リモートアクセス」-「新規」をクリックします。

プロトコル：L2TP/IPsecを使用する
認証鍵：「(任意の文字列)」
認証アルゴリズム：HMAC-SHA
暗号化アルゴリズム：AES-CBC
PPP認証方式：MSCHAP-V2

を入力して、「次へ」をクリックします。

ユーザーを登録し、「次へ」をクリックします。

「設定の確定」をクリックします。

リモートアクセスの設定が完了しました。

RTX1220のDHCPサーバー機能が無効の場合

別途、DHCPサーバーがあり、RTX1220のDHCPサーバー機能を無効にしている場合では、リモートアクセス時にクライアントにIPアドレスが設定されません。

この状況で iPhone で接続すると VPN 接続したときに出る VPN マークが表示されません。エラーはでません。設定アイコンでは、VPN接続状態になっていますが、VPN接続前のWifiや4Gの通信になります。

管理画面からコマンドの実行

コマンドを入力し、実行をクリックします。

pp select anonymous
ip pp remote address pool 開始IPアドレス-終了IPアドレス

（saveコマンドは暗黙的に実行されます）

DHCPの設定が保存されました。

 

iOSからリモートアクセスする

 

Yamahaのページを参考に、iPhone SE2 (iOS15.2.1)からVPN（L2TP/IPsec）接続できました。接続後、VPNの設定をみると、DCHPから付与されたIPアドレスが表示されています。

 

Windows10からリモートアクセスする

Windows10 64bit のバージョン21H2から接続しました。

VPN接続設定

Windows10のスタートメニューから、 設定 → ネットワークインターネット → VPN → 「VPN 接続設定を追加する」をクリックします。

VPN接続を追加画面で入力します。

VPNプロバイダー：Windows(ビルトイン)
接続名： rtx1220(任意)
サーバー名またはアドレス：ネットボランチDNSで設定した値
VPNの種類： “事前共有キーを使った L2TP/IPsec” を選択
事前共有キー： RTX1220に設定した共有キー
サインイン情報の種類： “ユーザ名とパスワード” を選択
ユーザ名： RTX1220に設定したユーザ名
パスワード： RTX1220に設定したパスワード

 

 

アダプターの設定変更

追加した VPN接続 のプロパティーを以下のように設定。

セキュリティタブから「Microsoft CHAP Version 2 (MS-CHAP v2)」を有効にします。

 

IPv6を外します。

 

Windows10 NATトラバーサルの設定

「レジストリエディタ」で「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent」を選択します。

 

右クリック→新規で[DWORD (32ビット)]で「AssumeUDPEncapsulationContextOnSendRule」のキーを新規作成し「2」を設定します。

PCを再起動します。

VPN接続

追加したVPNの「接続」をクリックします。

接続が完了し、RTX1220のDHCPから、IPアドレスが付与されます。

以上です。