動的な設定追加でリモートPCとルーターを安全につなぎたい

管理番号：YMHRT-4598
（最終更新日: 2023/7/26）

本設定例では、Luaスクリプト機能とIPsecトンネル機能を使用しています。

Luaスクリプト機能の対応機種は、RTX5000、RTX3510、RTX3500、RTX1300、RTX1220、RTX1210、RTX1200(Rev.10.01.16以降)、RTX830、RTX810、NVR700W、NVR510、NVR500、FWX120、SRT100(Rev.10.00.52以降)、vRXです。

IPsecトンネル機能の対応機種は、RTX5000、RTX3510、RTX3500、RTX1300、RTX1220、RTX1210、RTX1200、RTX830、RTX810、NVR700W、FWX120、SRT100、vRXです。

リモートPCからのキーパケットを受けて出力するログを監視し、動的にVPNの設定を追加、削除するLuaスクリプトです。
必要なときだけルーターにVPNの設定を追加し、リモートPCとルーター、またはリモートPCとLAN側のサーバーとの間で安全な通信を行うことができます。リモートPCからルーターやLAN側にあるサーバーのメンテナンスを行うときにご利用ください。

光回線に接続するためには、別途ONUが必要です。
NVR700Wは、本体のONUポートに小型ONUを装着することで、光回線に接続できます。

対応機種のうち、設定例を掲載している機種は、以下のとおりです。

機種	掲載内容	備考
RTX5000 RTX3510 RTX3500 RTX1300 RTX1220 RTX1210 RTX1200 RTX830 RTX810 NVR700W FWX120 SRT100	コマンド設定例 Luaスクリプト例	Luaスクリプト機能、 IPsecトンネル機能

ルーターの設定例

下記の設定（Config）を取り出すことができます。

ゲートウェイの設定	ip route default gateway pp 1
LANのインターフェースの設定（LAN1ポートを使用）	ip lan1 address 192.168.0.1/24
WANインターフェースの設定（LAN2ポートを使用）	pp select 1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname (ISPに接続するID) (ISPに接続するパスワード) ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1
NATの設定	nat descriptor log on nat descriptor type 1 masquerade
DHCPの設定	dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.100/24
DNSの設定	dns host lan1 dns server (ISPより指定されたDNSサーバーのIPアドレス) dns private address spoof on
SYSLOGの設定	syslog notice on
Luaスクリプトのスケジュール設定	schedule at 1 startup * lua (Luaメインスクリプトファイル名) schedule at 2 startup * lua (Luaサブスクリプトファイル名)

Luaスクリプト例（メインスクリプト）

下記のLuaスクリプトを取り出すことができます。

設定値	-- トンネル生成キーパケット受信待ち時間（1 - 864000 秒） create_sec = (待ち時間) -- トンネル生成キーパケット受信回数（2 ..） create_num = (受信回数) -- 生成したトンネルを削除するまでの時間（1 - 864000 秒） remove_sec = (時間) -- キーパケットのプロトコル（TCP、UDP） key_proto = "(プロトコル)" -- トンネル生成用キーパケットのポート番号（最大 65535） create_port = (ポート番号) -- トンネル消去用キーパケットのポート番号（最大 65535） remove_port = (ポート番号) -- トンネル設定コマンド cmd_tbl = { 　"tunnel select 1", 　"ipsec tunnel 101", 　"ipsec sa policy 101 1 esp aes-cbc sha-hmac", 　"ipsec ike local address 1 192.168.0.1", 　"ipsec ike pre-shared-key 1 text (パスワード)", 　"ipsec ike remote address 1 any", 　"ipsec ike remote name 1 pc-1", 　"tunnel enable 1", 　"nat descriptor masquerade static 1 1 192.168.0.1 udp 500", 　"nat descriptor masquerade static 1 2 192.168.0.1 esp", 　"ipsec auto refresh on", 　"ip route 192.168.255.0/24 gateway tunnel 1" } -- トンネル追加/削除の失敗時に出力する SYSLOG のレベル（info, debug, notice） log_level = "(SYSLOGレベル)"
トンネルの設定を追加、削除する関数	function tunnel(add) 　for i, cmd in ipairs(cmd_tbl) do 　　if (not add) and (i > 1) then 　　　cmd = "no " .. cmd 　　end 　　rtn, str = rt.command(cmd) 　　if (not rtn) then 　　　return false 　　end 　end 　return rtn end
メインルーチン	local rtn, str local log_ptn = "PP%[%d+%] Rejected at NAT%(%d+%)%:%s+" .. key_proto .. " %d+%.%d+%.%d+%.%d+%:%d+ %> %d+%.%d+%.%d+%.%d+%:" while (true) do 　rtn, str = rt.syslogwatch(log_ptn .. tostring(create_port)) 　if (rtn) then 　　rtn, str = rt.syslogwatch(log_ptn .. tostring(create_port), create_num-1, create_sec) 　　if (rtn == create_num-1) then 　　　if (tunnel(true)) then 　　　　rt.syslog(log_level, "IP tunnel setting added. (Luaスクリプトファイル名)") 　　　　rtn, str = rt.syslogwatch(log_ptn .. tostring(remove_port), 1, remove_sec) 　　　　if (tunnel(false)) then 　　　　　rt.syslog(log_level, "IP tunnel setting removed. (Luaスクリプトファイル名)") 　　　　else 　　　　　rt.syslog(log_level, "IP tunnel remove setting failed. (Luaスクリプトファイル名)") 　　　　end 　　　　if (rtn == 0) then 　　　　　rt.syslog(log_level, "Removed IP tunnel by Timeout. (Luaスクリプトファイル名)") 　　　　end 　　　else　　　　　rt.syslog(log_level, "tunnel up setting failed. (Luaスクリプトファイル名)") 　　　end 　　end 　end end

設定値

-- トンネル生成キーパケット受信待ち時間（1 - 864000 秒）
create_sec = (待ち時間)

-- トンネル生成キーパケット受信回数（2 ..）
create_num = (受信回数)

-- 生成したトンネルを削除するまでの時間（1 - 864000 秒）
remove_sec = (時間)

-- キーパケットのプロトコル（TCP、UDP）
key_proto = "(プロトコル)"

-- トンネル生成用キーパケットのポート番号（最大 65535）
create_port = (ポート番号)

-- トンネル消去用キーパケットのポート番号（最大 65535）
remove_port = (ポート番号)

-- トンネル設定コマンド
cmd_tbl = {
　"tunnel select 1",
　"ipsec tunnel 101",
　"ipsec sa policy 101 1 esp aes-cbc sha-hmac",
　"ipsec ike local address 1 192.168.0.1",
　"ipsec ike pre-shared-key 1 text (パスワード)",
　"ipsec ike remote address 1 any",
　"ipsec ike remote name 1 pc-1",
　"tunnel enable 1",
　"nat descriptor masquerade static 1 1 192.168.0.1 udp 500",
　"nat descriptor masquerade static 1 2 192.168.0.1 esp",
　"ipsec auto refresh on",
　"ip route 192.168.255.0/24 gateway tunnel 1"
}

-- トンネル追加/削除の失敗時に出力する SYSLOG のレベル（info, debug, notice）
log_level = "(SYSLOGレベル)"

トンネルの設定を追加、削除する関数

function tunnel(add)
　for i, cmd in ipairs(cmd_tbl) do
　　if (not add) and (i > 1) then
　　　cmd = "no " .. cmd
　　end

　　rtn, str = rt.command(cmd)
　　if (not rtn) then
　　　return false
　　end
　end

　return rtn
end

メインルーチン

local rtn, str
local log_ptn = "PP%[%d+%] Rejected at NAT%(%d+%)%:%s+" .. key_proto .. " %d+%.%d+%.%d+%.%d+%:%d+ %> %d+%.%d+%.%d+%.%d+%:"

while (true) do
　rtn, str = rt.syslogwatch(log_ptn .. tostring(create_port))
　if (rtn) then
　　rtn, str = rt.syslogwatch(log_ptn .. tostring(create_port), create_num-1, create_sec)
　　if (rtn == create_num-1) then
　　　if (tunnel(true)) then
　　　　rt.syslog(log_level, "IP tunnel setting added. (Luaスクリプトファイル名)")

　　　　rtn, str = rt.syslogwatch(log_ptn .. tostring(remove_port), 1, remove_sec)
　　　　if (tunnel(false)) then
　　　　　rt.syslog(log_level, "IP tunnel setting removed. (Luaスクリプトファイル名)")
　　　　else
　　　　　rt.syslog(log_level, "IP tunnel remove setting failed. (Luaスクリプトファイル名)")
　　　　end

　　　　if (rtn == 0) then
　　　　　rt.syslog(log_level, "Removed IP tunnel by Timeout. (Luaスクリプトファイル名)")
　　　　end
　　　else　
　　　　rt.syslog(log_level, "tunnel up setting failed. (Luaスクリプトファイル名)")
　　　end
　　end
　end
end

Luaスクリプト例（サブスクリプト）

下記のLuaスクリプトを取り出すことができます。

設定値	-- トンネル消去用キーパケットのポート番号（最大 65535） remove_port = (ポート番号)
メインルーチン	local log_ptn = "IP Tunnel%[1%] Down" local dummy_log = "(dummy) PP[01] Rejected at NAT(1): TCP 1.1.1.1:65535 > 2.2.2.2:" .. tostring(remove_port) while (true) do 　rt.syslogwatch(log_ptn) 　rt.syslog("notice", dummy_log) end

設定値

-- トンネル消去用キーパケットのポート番号（最大 65535）
remove_port = (ポート番号)

メインルーチン

local log_ptn = "IP Tunnel%[1%] Down"
local dummy_log = "(dummy) PP[01] Rejected at NAT(1): TCP 1.1.1.1:65535 > 2.2.2.2:" .. tostring(remove_port)

while (true) do
　rt.syslogwatch(log_ptn)
　rt.syslog("notice", dummy_log)
end

【ご注意】
本設定例は、設定の参考例を示したもので、動作を保証するものではございません。
ご利用いただく際には、十分に評価・検証を実施してください。