RTX1200をCATVで使う。

RTX1100をCATVで使う。 – return $lock;で「RTX1200かRTX810の安いやつが手に入ったら使いたい」と書いたのですが、RTX1200を譲っていただきました。うれしいです。ありがとうございます。（NETGEAR JGS524もいただきましたが、こちらはどう使うか考え中です。）

LAN2をWAN（ケーブルモデムに接続）、LAN1をLANで使用することにします。

セットアップ

前回RTX1100をいじった以上の知識は持ち合わせていない状態からスタートします。ドキュメントを見たり、ぐぐりながらいじってみます。

初期化

前面のDOWNLOADとMicroSDとUSBのボタンを同時押ししながら電源を入れます。ちゃんと押せてなかったようで、私は2回失敗しました。指が短い人には難しいですね。

ファームウェアアップデート

RTX1100と違って、初期化するとIPv4のIP 192.168.100.1が振られるのでtelnet 192.168.100.1でアクセスできます。show configでファームウェアのバージョンが初期状態に戻っていることを確認したため、アップデートします。なお、Rev.10.01.76以下は脆弱性があります。

• JVN#38732359: ヤマハ製の複数のネットワーク機器におけるサービス運用妨害 (DoS) の脆弱性
• Rev.10.01.78リリースノート

TFTPを使うしかないと思っていたのですが、USBメモリからもファームウェアの更新ができるそうなので、試してみます。
USBメモリを利用してRTX1200のファームウェアーをアップデートする – YAMAHA RTXルーターの操作方法 設定 Tips
USBボタンとDOWNLOADボタンを押すとアップデートできます。楽でいいですね…。特にトラブルも起こらず完了できました。

初期設定

RTX1100の時と変わらないので割愛。時刻同期の設定ができるので追加で設定しました。午前3時7分にntp.nict.jpに問合せします。
40.1 スケジュールの設定

schedule at 1 */* 03:07 * ntpdate ntp.nict.jp syslog

CATV向けの設定

公式サイトの設定例をそのまま流用しました。
CATVインターネットなどイーサネット回線を利用する
RTX1100の設定をしたときは、設定例と同様にDNSサーバのIPを自分で指定したのですが、前回と同じだとあまり勉強にならないので今回はDNSサーバのIPを自動取得する設定にしてみました。
DNS の設定

dns server dhcp lan2
dns server select 500001 dhcp lan2 any .
dns private address spoof on

WAN側の状態を確認してみましたが、正しくIPが取得できていました。

# 状態確認
# show status dhcpc
Interface: LAN2 primary
            IP address: 163.xxx.xxx.xxx/24
           DHCP server: 119.xxx.xxx.xxx
       Remaining lease: 6hours 59min. 16secs.
      (type) Client ID: xxxxxxxxxxxxxxx
Common information
            DNS server: 219.xxx.xxx.xxx
                      : 219.xxx.xxx.xxx
       Default gateway: 163.xxx.xxx.xxx

無事に外につながるようになりました。ポートもふさがっています。

LAN1に接続した端末のIPアドレスの固定

IPが変わると困る端末はIPを固定します。公式サイトにそのまま設定例がありました。
ゲーム端末のIPアドレスを固定する方法 Example for YAMAHA RT Series / Network Game
家の端末は以下のコマンドを使わないと固定できませんでした。

dhcp scope bind 1 192.168.0.2 ethernet 00:80:98:e0:ee:6f

セキュリティ対策

（RTX1100でできたかわからないのですが、）RTX1200ではできるようなのでやってみます。
9.1.17 侵入検知機能の動作の設定

ip lan2 intrusion detection in on reject=on
ip lan2 intrusion detection out on reject=on
# 破棄されたパケットをログに出力する
syslog notice on

1回だけNintendo SwitchがAWS宛てにTCP FIN and no ACKしてるログが出てきたんですが、謎いです。ネット対戦は普通にできていますし、NATタイプもBなので様子見です。

今後必要になるかもしれない設定

今のところ困ってないですが、VPNの接続先によっては設定が必要になるかもしれないです。
IPsecパススルー : コマンド設定 + Web GUI設定

所感

ルータ入れ替え前と入れ替え後でダウンロード速度を計測しましたが、遅くなった等の問題はなく、むしろちょっと速くなったかな（誤差の範囲）？という感じです。

以前使っていたルータではできないブラックリスト形式のアクセス制限や、（今は必要ないですが、前住んでいる家でやりたかった）ポリシーベースルーティングでIPv6 IPoEを使いながら自宅サーバの公開もできるので、積もっていた不満が解消できました。
RTXシリーズでコマンドが統一されているので、RTX1100と特に変わらず設定できるのは本当にありがたいです。あと、使っている人が多いので、調べるとすぐに解決策が出てくるのは最高だなと思いました。使わないけど無駄にVLAN切ってみたくなります。

自宅サーバを外に出そうと思っているので、DMZ周りの設定をしていこうと思います。
自社サーバーを公開(1つの固定グローバルIPアドレス / DMZセグメント : LAN3) : コマンド設定