逸般の誤家庭
個人で業務用機器を使っている家を「逸般の誤家庭」と呼ぶそうですが、誰も知りませんね。それはともかく、家庭用のルータはどれも不安定です。ログが貧弱で何が起こったのかわからないのもストレスです。
ヤマハルータ YAMAHA RTX810
RTX830は高いです。その点RTX810の中古なら5000円以下で手に入りますし、性能も1Gbpsのマンションタイプの光配線には十分です。
インターネット回線スピードテスト・通信速度測定 | USEN GATE 02
で測定すると上り・下りとも300Mbps程度のときにRTX810のCPUは10%です。
業務用ルータの利点
IPv6が安定する
NEC・バッファロー・TP-linkのルーターをRTX810に替えてから不具合は全く起きていません。
ルータ一台でIPv6とIPv4を併用できる
楽天ひかりではIPv6で契約していても、IPv6が不安定なときはIPv4に切り替えることができます。明記されていませんが、IPv6とIPv4を常時併用することも可能です。
家庭用ルータを2台繋いでIPv6とIPv4を併用する方法もありますが、いろいろな制約があります。RTX810なら一台でIPv6とIPv4を併用したり、障害時にIPv6からIPv4に自動的に切り替えることができます。
無線LANの不具合が有線LANに影響しなくなる
無線LANもまだ安定した家庭用製品に巡り合っていません。ルータと無線LANを別にすることで少なくとも有線LANに繋いだPCは無線LANの障害に影響されません。
不具合が起きたときにログが追える
家庭用ルータはログが簡素すぎて役に立ちません。
業務用ルータで面倒なこと
やはり設定はそれなりに面倒です。セキュリティにも気を使います。
フィルタ
この人はとにかくきっちりとフィルタを設定されています。
この人は基本を抑えつつシンプルなフィルタにされています。
私はポート開放やVPNを使わないのでシンプルなフィルタにしました。ミスが無ければよいのですが。
# 2020/3/31にリリースされた現時点での最新版
# RTX810 Rev.11.01.34 (Tue Nov 26 18:39:12 2019)
# 実際のパスワードは異なる
login password hogehoge
administrator password blahblahblah
# IP configuration
ip routing process fast
ip route change log on
# weight0 hide で通常はIPv6, 異常時だけIPv4で通信するようにする
ip route default gateway tunnel 1 weight 1 keepalive 1 gateway pp 1 weight 0 hide
ip filter source-route on
ip filter directed-broadcast on
# keepaliveでClouldFlareのDNSにpingを打ってトンネル接続を監視する
ip keepalive 1 icmp-echo 1 3 1.1.1.1 log=off gateway-selection-rule=head
# IPv6 configuration
ipv6 prefix 1 ra-prefix@lan2::/64
# LAN configuration
# 無線LANルータのデフォルトIP 192.168.0.254にクラスを合わせておく
# 理由は次の記事に記載
ip lan1 address 192.168.0.1/24
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
# 不正アクセス検知をONにすると遅くなるという記事もあるが自分はほぼ影響なし
ip lan2 intrusion detection in on
ip lan2 intrusion detection
in default on reject=on
# フィルタ番号が参考にする記事ごとに違っているので注意して合わせる
ipv6 lan2 secure filter in 101030 101031 101032 101098
ipv6 lan2 secure filter out 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ipv6 lan2 dhcp service client ir=on
# Provider Type configuration
provider type isdn-terminal
provider filter routing connection
# 名前は好みで付けて良い
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0/0:rakutenPPPoE
provider lan2 name ipv6 PRV/0/4/0/0/1/1:rakutenIpv6
# 時刻をntp.nict.jpに問い合わせる
provider ntpdate ntp.nict.jp
# PP configuration
pp disable all
pp select 1
pp name PRV/1/1/5/0/0/0:rakutenPPPoE
# PPPoEの接続を維持
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
# 実際のユーザ名とパスワードは異なる
pp auth myname ra123456789@m.rakutenbb.jp "password"
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
# フィルタ番号が参考にする記事ごとに違っているので注意して合わせる
ip pp secure filter in 100 101 198
ip pp secure filter out 199 dynamic 200 201 202 203 204 205 206
# 不正アクセス検知機能をONにする
ip pp intrusion detection in on
ip pp intrusion detection in default on reject=on
ip pp nat descriptor 1000
pp enable 1
# Provider information
provider set 1 rakutenPPPoE
provider dns server pp 1 1
provider select 1
# IPv6の設定(DS-Lite Xpass方式の場合)
# TUNNEL configuration
no tunnel enable all
tunnel select 1
tunnel name DS-lite
tunnel encapsulation ipip
# 楽天ひかりのAFTRアドレス
tunnel endpoint address 2001:f60:0:200::1:1
ip tunnel mtu 1460
# IPv4 over IPv6とPPPoEは同じフィルタを使う。不正アクセス検知もONにする
ip tunnel secure filter in 100 101 198
ip tunnel secure filter out 199 dynamic 200 201 202 203 204 205 206
ip tunnel intrusion detection in on reject=on
ip tunnel tcp mss limit auto
tunnel enable 1
# IP filter configuration
# ローカルアドレスへのパケットはすべて拒否
ip filter 100 reject 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 * * * *
# KeepAliveのためにエコー応答・エコー要求・TTP超過によるパケット破棄だけ通す
ip filter 101 pass * * icmp 0,3,11 *
# 外から内に向かうパケットは静的フィルタではすべて破棄
ip filter 198 reject * * * * *
# 内から外に向かうパケットはすべて許可
ip filter 199 pass * * * * *
# IP dynamic filter configuration
# ローカルからリクエストした通信の返信だけを動的フィルタで受ける
ip filter dynamic 200 * * domain
ip filter dynamic 201 * * www
ip filter dynamic 202 * * ftp
ip filter dynamic 203 * * smtp
ip filter dynamic 204 * * pop3
ip filter dynamic 205 * * tcp
ip filter dynamic 206 * * udp
# NAT Descriptor configuration
nat descriptor type 1000 masquerade
# IPv6のフィルタはYAMAHAルータのマニュアルから。
# IPv6 filter configuration
ipv6 filter 101030 pass * * icmp6 * *
ipv6 filter 101031 pass * * tcp * ident
ipv6 filter 101032 pass * * udp * 546
ipv6 filter 101098 reject * * * * *
ipv6 filter 101099 pass * * * * *
# IPv6 dynamic filter configuration
ipv6 filter dynamic 101080 * * ftp
ipv6 filter dynamic 101081 * * domain
ipv6 filter dynamic 101082 * * www
ipv6 filter dynamic 101083 * * smtp
ipv6 filter dynamic 101084 * * pop3
ipv6 filter dynamic 101085 * * submission
ipv6 filter dynamic 101098 * * tcp
ipv6 filter dynamic 101099 * * udp
# SYSLOG configuration
syslog debug on
# TFTP configuration
tftp host 169.168.0.110
# TELNETD configuration
telnetd host lan
# DHCP configuration
dhcp service server
dhcp server rfc2131 compliant except remain-silent use-clientid
dhcp scope 1 192.168.0.11-192.168.0.99/24 expire 24:00
# MACアドレス(実際は異なる)で無線LANのIPアドレスを予約しておく
dhcp scope bind 1 192.168.0.99 0a:1b:2c:3d:4e:5a
# DNS configuration
dns host lan1
dns service fallback on
dns server dhcp lan2
dns server select 500000 dhcp lan2 any .
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
# Schedule configuration
# 3:05に時刻合わせ
schedule at 1 */* 03:05 * ntpdate ntp.nict.jp
# YNO Agent configuration
yno use off