#untitled note

私的な考えとかメモ、その他トラブルシュート

InterlinkのDS-Lite接続(ZOOT NATIVE)をRT107eで使ってみる

ここに書いてあるのはネットワークのネの字もわかっていないような人間のメモかつ、あわよくば逆に教えてもらおうという感じの記事です。内容を参考にしてあなたのPCやルータ等が例え爆発したとしても誰も一切の責任を負いません。

ただし僕のPCを爆発させたりウィルスに感染させたくないという親切な方はパケットフィルタリングなどの設定に関して積極的にアドバイスして頂くことは全く問題ありません。

 

2018/07/11追記・修正:
ここを見てIPv4の方のフィルターに明らかにおかしいところあるなこれ…とわかってきたので、修正ついでに調べていると以下の方の意見を参考にIPv6のフィルターも修正するようにした。
前まではIPv4のフィルターを踏襲していたのだけれど、別にこのフィルターでも現状困らないし、これでいっか~という感じ。
ついでに一番最後に今の設定もコピペしておく。

ファイアウォール機能のセキュリティレベル5

y2blog » IPv6(IPoE)のセキュリティ対策

あと今困ってるのは、何日かおきに回線が切断されちゃうこと…syslog見るとIPv6のアドレス再割当てをしてそうな気がするんだけど、わからん。ホント誰か教えて…。

 

 

はじまり

Interlinkからのメルマガで安定した速度が期待できる一つの選択肢としてDS-Lite方式を使った「ZOOT NATIVE」なるものが紹介されていた。

フレッツ接続 ZOOT NATIVE - INTERLINK

僕はStreetFighterVをプレイしているのだけれど、最近回線が安定せずにカクカクワープが頻発していたこともあって、これならどうだ?と思って飛びついた。

Interlinkの何が良いかというと、無料期間あり、いつ解約してもOKなのだ。
こりゃ最低限の支出で試して、良かったら契約続行しちゃうぜと思って頑張った。

 

ルータ何を使うか

まずDS-Lite接続に対応したルータが必要。

自分が今使っているルータ(WG1800HP)がDS-Liteに対応していれば幸せだったのだが、対応していなかった。

では一般的にお手軽に手に入るモノで言えばBUFFALO製ルータ。最近のものなら対応しているっぽい。参考はここ。

transix DS-Lite 接続確認機種情報


でも、BUFFALO製やIO DATA製の最近のものはお高いし、DS-Lite接続と言ってもベストエフォートな普通の光回線なことに代わりはないので満足な速度を得ることができなければ1万近く払って使わないルータが増えるという大惨事になりかねない。

せっかくInterlinkの契約料がお試し期間で無料なのに高い機材揃えてダメでしたは避けたい…、と思ってググッた結果、価格comの口コミにYAMAHAの中古ルータを買ってルータと併用すれば?というのがあった。これを採用。

bbs.kakaku.com

一応以下に引用を載せておく。

既に解決済みになっておりますが、DS-Lite接続の為だけにWXRシリーズ等の高機能・高価格帯のWiFiルーターの導入を検討されているのでしたら、次の様な安上がりな方法も考えられますがいかがでしょうか?

-- 1,000円~2,000円程度で入手可能なYAMAHAの中古ルーター(RT107e, RTX1100等)をDS-Lite接続用に使用し、その配下に必要に応じて廉価なWiFi親機をAP(ブリッジ)モードで繋ぐ --

YAMAHAルーターでは、"Web簡単設定"では用が足りずにコンソール等からコマンドを打ち込む必要がありますが、難しくはなくすぐに慣れると思います。DS-Lite接続に必要な最低限のコマンド群は以下のURLに示すものと同じです。(実際の運用ではフィルターを追加したほうが良いでしょう)

ちょっと不安なことはあるけど、この安さなら例えDS-Lite接続がボロカスでも後悔は少ないでしょう。近くにバルク品を売ってるところは無いので、Amazonで調べたら前情報通り2000円弱で中古が売られていました。これで決定。


Amazon | 
ヤマハ-Yamaha-イーサアクセスVPNルーター-RT107e 

新品ですら7万近くするものが今や3万、中古ならこのお値段で買えてしまうのです。
こんなに安いのはこの製品が2005年発売かつ中古だからですが、ちゃんと動くのか?という不安もありましたがキチンと動いてくれました。

さすがYAMAHA。ありがたやありがたや。

 

RT107eを使う上での注意点

価格comの口コミにもありましたが、YAMAHAのルータはコンシューマ向け製品では無いためWebページ上からの設定があまりできない。

コンソールから直接いじろうと思ったらソフトウェア技術者試験(だとちょっと微妙)ぐらいの知識は持ってないと厳しいと思う。

自分もネットワーク技術をかじっても直接的な設定をしてこなかったので、全然わからんまま不安になりつつも、ダメでもこれで勉強してやろうという意気込みで買った。

なお、RT107eはギガビットイーサに対応していないので、回線契約で1Gbpsを契約しているならこれを買っても100Mbpsまでしか出ないはずなので、素直に1万ぐらい払ってNVR500の中古とか、安定のBUFFALO製のを買うしかない。*1

少なくとも2017/06/22時点でギガビットイーサに対応してお安い製品は無さそうだった。

ただ、BUFFALO製やIO-DATA製のものはコンソールから詳細な設定ができない分、メーカーの考えた使い方以外に使えない。そうなるとちょっと不安があるので自分が買うならYAHAMA製のなんか買うと思う。*2

 

ちなみにRS232-Cコンソールケーブルは自前で持っていたけど、Web上からもコンソールコマンドが叩ける用になっていたので無くてもどうにかなる(telnetもあるし)

 

やったこと

まず初期化

cold start

次にいきなりDS-Lite接続の確認
これはググったら結構いくらでも出てくるのだが、Interlinkにはある程度マニュアルが用意されているのでこちらを見つつ、価格comの口コミにも書かれていたページ、先駆者の設定を見て必要そうなものを片っ端から掻い摘んで設定した。

ZOOT NATIVEの設定マニュアル一覧
YAMAHA NVR500 (たぶんこれが最低限ひつようなもの)

 

ZOOT NATIVEの設定マニュアル一覧はNVR500やRTX1200の設定が紹介されていて、どちらも最初の方でWeb設定をなんやかんややっているのだが、RT107eでは同様の設定がなく、似たようなWeb設定をしていくといつも通りのPPPoEのプロバイダを追加してしまうので、結局Web設定の最初の説明は飛ばしてコマンド部分だけにした。

ip route default gateway tunnel 1
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
tunnel select 1
 tunnel encapsulation ipip
 tunnel endpoint address 2404:8e01::feed:100
 ip tunnel mtu 1460
 ip tunnel tcp mss limit auto
tunnel enable 1

ip lan1 address 192.168.10.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.10.2-192.168.10.191/24
dns server dhcp lan2

MTUとかは無くても接続できたのだけれど、接続できた後に一応ping -f -l で調査したものを打ち込んだ。
IPアドレスDHCP範囲はデフォルトから変えた。telnetだと再接続が必要になる。
この時点で正常に接続されていれば、トップページにIPIPの設定が「通信中」で表示される。

f:id:rizenback000:20170621224958p:plain

ちなみに、この時点ではIPv6で接続出来るところにはIPv6で接続される(確か)

 

速度測定してみる

測定サイトはここ。

www.speedtest.net

計測結果

ダウンロード/アップロード共にこんな感じ。しかもいつ測っても何回測っても一緒。
ただしPPPoEは本当に毎回安定しない。これは良い。

DS-Lite(ZOOT NATIVE):85Mbps~93Mbps
PPPoE(ZOOT NEXT):10Mbps~30Mbps

回線はフレッツ光ネクスト マンションタイプの100Mbpsを契約しているので、DS-Liteはほぼ論値を出している。最高。

 

おまけ - IPv6での速度測定

使ったのはここ。

IIJmio IPv6スピードテスト

なんと理論値の100Mbpsを超えた。むちゃくちゃ。

f:id:rizenback000:20170621234141p:plain

 

DS-Liteのデメリット

いろいろなサイトのDS-Lite接続に関する記事を見ているとわかるのだけれど、DS-Lite方式では仕組み上ポート開放ができない。

StreetFighterV(Steam)で使いたいのにポート開放できなくて大丈夫かよ?と思っていたのだが、結構戦ってみたがまぁ大丈夫そう。しかもマッチングがかなり早くなった。
不安定な回線のポート開放よりも安定した回線のポート無開放が勝るようだった。
(また様子が変わったらここ書き直すかも)

2017/07/03追記
結構数をこなしてみたけど、ポート開放できてなくてもストVはDS-Lite接続で十分いける。
友達とやってみてもたまにカクカクラグが出て来るぐらいっぽい。それでもポート開放したPPPoE(ZOOT NEXT)の頃にもあった現象なのでポート開放云々が関係してるのか最早わからん感じ。
マッチング速度が速いのでZOOT NEXTは継続契約していくつもり。

IPパケットフィルタリングを追加する

上の設定だけではなんでも通信出来るガバガバセキュリティなので、セキュリティの向上を図る必要がある。

これは本当によくわからんくて困った。他の方のフィルタリング設定とトライ&エラーで、だいたいこういうことだろうって感じで設定している。自分の頭で考えた結果、これどういう意味あるのか全然わからん。と思っても見よう見まねで一応設定した…。


参考にしたのはココと、普段使っているWG1800HPのデフォルト設定。

ヤマハルータの基本的なフィルタ設定 : マロンくん.NET

クイック設定Web初期値一覧|Aterm®WF1200HP ユーザーズマニュアル
<パケットフィルタエントリ 初期値>(※これはWG1800HPじゃないけど内容は一緒)

 

ココで困ったのは、inとout、それからAtermのこの設定がどのインタフェースを指しているのかわからなくて困惑した。

結論から言うと、inが受信でoutが送信、Atermは多分WAN側設定。インタフェースに入ってくるものは全部inで出ていくものは全部out。

ここが参考になった。

パケットフィルタ設定例

FAQ for YAMAHA RT Series / IP Packet Filter

 

うーん、でも未だに不安。

 

以下フィルター設定

#最低限のフィルタリング(Atermデフォルト設定)
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100008 reject * * udp,tcp * 2049
ip filter 100009 reject * * tcp * 1243
ip filter 100010 reject * * tcp * 12345
ip filter 100011 reject * * tcp * 27374
ip filter 100012 reject * * tcp * 31785
ip filter 100013 reject * * udp * 31789
ip filter 100014 reject * * udp * 31791
ip filter 100098 reject * * * * *
ip filter 100099 pass * * * * *

# LAN側からWAN側への通信の定義
# これでWindowsのNetBios等が遮断されるらしい
ip lan1 secure filter in 101000 101001 101002 101003 101004 101005 101099

ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.10.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.10.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.10.0/24 icmp * *
ip filter 200031 pass * 192.168.10.0/24 established * *
ip filter 200032 pass * 192.168.10.0/24 tcp * ident
ip filter 200033 pass * 192.168.10.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.10.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.10.0/24 udp domain *
ip filter 200036 pass * 192.168.10.0/24 udp * ntp
ip filter 200037 pass * 192.168.10.0/24 udp ntp *
ip filter 200080 pass * 192.168.10.210 tcp * 1115
ip filter 200081 pass * 192.168.10.2 tcp * 1116
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter 500001 pass * * tcp 1115 *
ip filter 500002 pass * * tcp 1116 *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

pp select 1
# WAN側からLAN側への通信の定義
ip pp secure filter in 200000 200001 200002 200003 200020 200021 200022 200023 200024 200025 200030 200031 200032 200033 200035 200080 200081
# LAN側からWAN側への通信の定義
# 動的フィルタの適用により内部からの通信の戻りを許可しているらしい
ip pp secure filter out 200010 200011 200012 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099

ipv6 filter 101000 pass * * icmp6 * *
ipv6 filter 101001 pass * * tcp * ident
ipv6 filter 101002 pass * * udp * 546
ipv6 filter 101098 reject * * * * *
ipv6 filter 101099 pass * * * * *
ipv6 filter dynamic 101080 * * ftp
ipv6 filter dynamic 101081 * * domain
ipv6 filter dynamic 101082 * * www
ipv6 filter dynamic 101083 * * smtp
ipv6 filter dynamic 101084 * * pop3
ipv6 filter dynamic 101098 * * tcp
ipv6 filter dynamic 101099 * * udp

no pp select
# WAN側からLAN側への通信の定義
ipv6 lan2 secure filter in 101000 101001 101002 101098
# LAN側からWAN側への通信の定義
ipv6 lan2 secure filter out 101099 dynamic 101080 101081 101082 101083 101084 101098 101099

ちなみにこの辺の設定はWebからでも出来る。リスト番号[101000~101099]はRT107eのWeb設定上にも表示できる番号。これを外れるとWeb上には表示されない。ここではあえてWeb設定に表示されるように合わせてある。
(一応PPの設定には200000代が使われるみたいだけれども)

 

WIFIの設定

とりあえずRT107eの設定は以上で終わり。
WIFIルータ(Aterm WG1800HP)をルータ機能をOFFにしてただのアクセスポイント(ブリッジモード)にする。

  1. 本体裏のBRIDGEにスイッチを変更して再起動
  2. 各種設定がルーターモードで使ってた頃から初期化されているので、設定し直す。
  3. WIFI繋いで見る。

最初困ったのが、WIFIに繋がるのに外部に接続できなかった。
これは単にパケットフィルタリングの設定ミスだった。
(確かinとoutを逆に設定していたのだが、それが正しかった場合上に書いた設定が設定ミスになる…)

 

WG1800HP標準機能のWakeOnLan設定を使いたい

WG1800HPにはこいつ自身がサーバになってWakeOnLANの送信ページを公開してくれる機能が付いている(Basic認証)

これには過去海外出張時に何度も助けられたのでどうにか使いたいが、これを使うにはポート開放が必要になる。

どうしてもポート開放したい

調べてみると、やはりPPPoE接続を併用するしか無いらしい。当然DS-Lite接続の安定した回線は望めなくなる。だが、このポートを使う時だけとか、このサーバを使うときだけ、とかで回線使用を振り分けることができるらしい。つまり、ZOOT-NATIVEとZOOT-NEXTを併用して使う。*3

参考にしたのはここ。

do-gugan.com

まずはWeb設定から普通にプロバイダを追加する。

    1. 詳細設定と情報→基本接続の詳細な設定→PP[01]の追加→PPPoEを用いる端末型ADSL接続(フレッツ・ADSLBフレッツ)
    2. あとは適宜設定。(設定が終わった時点からPPPoE接続に切り替わる)
    3. NATの設定
      追加したPP[01]の設定を開いて[静的IPマスカレード関連(フィルタの自動定義:80番~89番)]に設定。
      間違えて設定した場合、プロバイダ接続を切断しないと設定できないよと出てくるのだが、切断しても即刻つなぎ直されてしまうので、その場合は手動で設定する。

      nat descriptor masquerade static 1000 1 192.168.10.210 tcp 20017
      ip filter 200080 pass * 192.168.10.210 tcp * 20017

      こんな感じ。各パラメータの意味がわからん場合は、show config | grep masqの結果とWebページの設定項目を見比べたら多分わかる。

      ちなみにWeb設定から設定すると自動的にパケットフィルタリング側にもpassの設定を追加してくれるのだが、コンソールで設定した場合は勝手に変わってくれないので同様に変更する必要がある。

    4. フィルターによる回線振り分け
      今回は20017をポート開放したので、ポートが20017のときだけZOOT-NEXT(PPPoE)を使うことにする。

      ip filter 500001 pass * * tcp 20017 *
      ip route default gateway pp 1 filter 500001 gateway tunnel 1

       

    5. 設定保存(実際にはちょくちょくsaveしてよい)

      save

    6. 一応再起動(本当はしなくても良いっぽいんだけどPP追加したり消したりしてると変な動きをしていたのでしたほうが良さそう)

      restart

    7. 携帯からZOOT-NEXT(PPPoE)のIPアドレスでサーバへアクセス
      確認くんで予めPPPoEのIPを確認しておかないと、普通に確認してもDS-Lite接続のIPが出て来るのでそれだとダメなので注意。

一応これでできた。
この設定で20017ポートへのアクセスはPPPoEで、それ以外はDS-Liteで通信している…はず(何回も速度測定と確認くんで確かめた)

 

ネットワークは本当に独学でやろうとしてもわからんですね。
何回これどういう意味ですかね?って誰かに聞きたいと思ったかわからん。今でも聞きたい。

上記以外に参考にしたページ

YAMAYA VPNルーター RT107e 設定メモ

ヤマハルータの基本的なフィルタ設定 : マロンくん.NET

YAMAHA RTX1200を買って自宅でDS-Lite(IPv6/IPv4環境)の設定をした話 - 通信系が好きな大学生

公式取説:
http://www.rtpro.yamaha.co.jp/RT/manual/rt107e/Users.pdf

公式コマンドリファレンス:
http://www.rtpro.yamaha.co.jp/china/support/download/manual/Rev.9.00.20/Cmdref_j.pdf

公式?コマンドリファレンス:
コマンドリファレンス

設定コマンドまとめたやつ(2018/07/11追記)

ip route default gateway pp 1 filter 500001 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ipv6 prefix 1 ra-prefix@lan2::/64
description lan1 PC側LAN
ip lan1 address 192.168.10.1/24
# LAN側からWAN側への通信の定義
# これでWindowsのNetBios等が遮断されるらしい
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100008 100009 100010 100011 100012 100013 100014 100099
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
description lan2 WAN
ip lan2 address 192.168.1.254/24
ip lan2 mtu 1454
# WAN側からLAN側への通信の定義
ipv6 lan2 secure filter in 101000 101001 101002 101098
# LAN側からWAN側への通信の定義
ipv6 lan2 secure filter out 101099 dynamic 101080 101081 101082 101083 101084 101098 101099
ipv6 lan2 dhcp service client ir=on
provider type isdn-terminal
provider filter routing connection
provider lan1 name LAN:
provider lan2 name PPPoE/0/1/5/0/0:interlink
provider ntpdate ntp.jst.mfeed.ad.jp
pp select 1
pp name PRV/1/1/5/0/0:interlink
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname [プロバイダ契約時のID] [プロバイダ契約時のパスワード]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp rip send off
ip pp rip receive off
# WAN側からLAN側への通信の定義
ip pp secure filter in 200000 200001 200002 200003 200020 200021 200022 200023 200024 200025 200030 200031 200032 200033 200035 200080 200081
# LAN側からWAN側への通信の定義
# 動的フィルタの適用により内部からの通信の戻りを許可しているらしい
ip pp secure filter out 200010 200011 200012 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099
ip pp intrusion detection in on
ip pp intrusion detection out on
ip pp nat descriptor 1000
ip pp tcp mss limit auto
pp enable 1
provider set 1 interlink
provider dns server pp 1 1
provider select 1
tunnel select 1
description tunnel ZOOT-NATIVE
tunnel encapsulation ipip
tunnel endpoint address 2404:8e01::feed:100
ip tunnel mtu 1454
ip tunnel tcp mss limit auto
tunnel enable 1
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100008 reject * * udp,tcp * 2049
ip filter 100009 reject * * tcp * 1243
ip filter 100010 reject * * tcp * 12345
ip filter 100011 reject * * tcp * 27374
ip filter 100012 reject * * tcp * 31785
ip filter 100013 reject * * udp * 31789
ip filter 100014 reject * * udp * 31791
ip filter 100099 pass * * * * *

ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.10.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.10.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200026 restrict * * tcpfin * www,21,nntp
ip filter 200027 restrict * * tcprst * www,21,nntp
ip filter 200030 pass * 192.168.10.0/24 icmp * *
ip filter 200031 pass * 192.168.10.0/24 established * *
ip filter 200032 pass * 192.168.10.0/24 tcp * ident
ip filter 200033 pass * 192.168.10.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.10.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.10.0/24 udp domain *
ip filter 200036 pass * 192.168.10.0/24 udp * ntp
ip filter 200037 pass * 192.168.10.0/24 udp ntp *
ip filter 200080 pass * 192.168.10.210 tcp * 20017
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter 500001 pass * * tcp 20017 *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.10.210 tcp 20017
ipv6 filter 101000 pass * * icmp6 * *
ipv6 filter 101001 pass * * tcp * ident
ipv6 filter 101002 pass * * udp * 546
ipv6 filter 101098 reject * * * * *
ipv6 filter 101099 pass * * * * *
ipv6 filter dynamic 101080 * * ftp
ipv6 filter dynamic 101081 * * domain
ipv6 filter dynamic 101082 * * www
ipv6 filter dynamic 101083 * * smtp
ipv6 filter dynamic 101084 * * pop3
ipv6 filter dynamic 101098 * * tcp
ipv6 filter dynamic 101099 * * udp
syslog notice on
syslog debug on
tftp host none
telnetd session 1
telnetd host [管理PC IP]
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.10.2-192.168.10.191/24
dhcp scope bind 1 192.168.10.2 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.3 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.4 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.5 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.6 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.7 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.8 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.9 ethernet [MACアドレス]
dhcp scope bind 1 192.168.10.10 ethernet [MACアドレス]
dns host lan1
dns service fallback on
dns server pp 1
dns server dhcp lan2
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
upnp use off
sshd session 1
sshd host [管理PC IP]

多分この記事を一番最初に書いたときの3倍ぐらい真っ当な設定になったと思う。

なお、これをコピペでコンソールにそのまま流すと、ip default gatewayの設定がpp新規作成時に勝手に変更されてしまいtunnelを使用しなくなるので、流したあとにもう一度ip default gatewayの設定をし直してやる必要がある。

*1:Amazonで6000円ほどのNVR500はどうやら特殊なバージョンっぽいので中古品を買う人は説明書きをきちんと読みましょう

*2:どこかで何かと何かが併用できないみたいなのを見て日和った。でもなんだったか覚えてないから興味あったら調べてね

*3:ココらへんがコンシューマ向けには無いYAMAHAパワー!