設定例集#48: PPPoEによるLAN型インターネット接続（スタティックNAT）

構成

設定開始前に

自動設定の確認と削除

システム時刻の設定

PPPoEを使ってインターネットサービスプロバイダー（ISP）に接続します。
この例は、グローバルアドレスを8個、16個などのブロック単位で固定的に割り当てられるLAN型接続の設定例です。
この例では、ISPから割り当てられたアドレスをルーターやホストに直接割り当てず、LAN側コンピューターはプライベートアドレスで運用します。クライアントはダイナミックENAT経由でインターネットにアクセスします。
また、ファイアウォールを使って外部からのアクセスを原則拒否しつつ、スタティックNATを使って特定のサーバーだけを外部に公開します。

構成

ISPから提供された情報
ISP接続用ユーザー名	user@isp
ISP接続用パスワード	isppasswd
PPPoEサービス名	指定なし
使用できるアドレス	10.0.0.0/29（10.0.0.0～10.0.0.7）
接続形態	LAN型（アドレス8個固定）
ルーターの基本設定
WAN側物理インターフェース	eth2
WAN側（ppp0）IPアドレス	Unnumbered
LAN側（端末用）（vap1.0）IPアドレス	192.168.10.1/24
LAN側（サーバー用）（eth1）IPアドレス	192.168.20.1/24

ここでは、次の方針で設定を行います。

LAN側は端末用（無線）、サーバー用（有線）ともにすべてプライベートアドレスで運用します。LAN側のサーバーにもプライベートアドレスを割り当てますが、外部からアクセスさせるため、スタティックNATを使って外からはグローバルアドレスを持っているように見せかけます。変換ルールは次のとおりとします。
- Webサーバー：192.168.20.2 → 10.0.0.2
- SMTPサーバー：192.168.20.3 → 10.0.0.3
- DNSサーバー：192.168.20.4 → 10.0.0.4
WAN側インターフェースはUnnumberedで運用します。ルーター自身がWAN側にパケットを送信するときは、ループバックインターフェース（lo）に割り当てた10.0.0.1を借用します。
ファイアウォールを利用して、外部からの不正アクセスを遮断しつつ、内部からは自由にインターネットへのアクセスができるようにします。
外部からのアクセスは基本的にすべて遮断しますが、スタティックNATで公開している下記のサーバーへのアクセスだけは特例として許可します。
- Webサーバー（10.0.0.2:80/tcp）
- SMTPサーバー（10.0.0.3:25/tcp）
- DNSサーバー（10.0.0.4:53/tcp、53/udp）
LAN側のクライアントがインターネットにアクセスできるよう、ダイナミックENATを使用します。グローバルアドレスには、ループバックインターフェース（lo）に割り当てた10.0.0.1を使います。

設定開始前に

自動設定の確認と削除

本設定例に掲載されているコマンドは、設定がまったく行われていない本製品の初期状態（スタートアップコンフィグなしで起動した状態）から入力することを前提としています。

そのため、通常は erase startup-config を実行し、スタートアップコンフィグが存在しない状態で起動してから、設定を始めてください。

ただし、本製品はスタートアップコンフィグなしで起動した場合でも、特定の条件を満たすと自動的な設定を行うことがあるため、その場合は設定例にしたがってコマンドを入力しても、コマンドがエラーになったり、全体として意図した動作にならない可能性があります。

これを避けるため、設定開始にあたっては次のいずれかの方法をとることをおすすめします。

ネットワークケーブルを接続せずに起動する。
起動時に自動設定が実行されるための条件の一つに、特定インターフェースのリンクアップがあります。
ネットワークケーブルを接続しない状態で起動することにより、自動設定の適用を回避できます。
自動設定を手動で削除してから設定を行う。
前記の方法を採用できず自動設定が適用されてしまった場合は、「自動的な設定内容の削除」にしたがって、これらを手動で削除してから設定を開始してください。

自動設定が行われる条件などの詳細については、AMF応用編のAMFネットワーク未検出時の拡張動作をご参照ください。

システム時刻の設定

ログなどの記録日時を正確に保ち、各種機能を適切に動作させるため、システム時刻は正確にあわせて運用することをおすすめします。
特に本製品はリアルタイムクロックを内蔵していないため、起動するたびに時刻をあわせる必要があります。
ご使用の環境にあわせ、次のいずれかの方法でシステム時刻を設定してください。

手動で設定する方法 - 「運用・管理」/「システム」
NTPで自動設定する方法 - 「運用・管理」/「NTP」

無線（VAP）インターフェースの有効化

以下の設定を始める前に、本設定例においてLAN側インターフェースとして使用する無線（VAP）インターフェース「vap1.0」を下記の手順で有効にしてください。

無線1を有効にします。

awplus(config)# wireless ↓
awplus(config-wireless)# ap-profile local ↓
awplus(config-wireless-ap-prof)# radio 1 ↓
awplus(config-wireless-ap-prof-radio)# enable ↓
awplus(config-wireless-ap-prof-radio)# end ↓

無線設定を適用します。
```
awplus# wireless ap-configuration apply ap local ↓
```
Note
本設定例では、ルーターとしての全体的な設定を示すため、無線機能に関してはデフォルト設定を利用した最小限の設定のみを示しています。
実際の運用にあたっては、「無線機能」章にある設定のポイントなどをご参照の上、SSID、セキュリティーなど要件にあわせた適切な設定を行ってから本手順（無線設定の適用）を実行してください。

上記設定により、ランニングコンフィグ上の無線設定は次のようになります。

wireless
 network 1
  ssid allied24
 network 17
  ssid allied5-1
 ap-profile local
  radio 1
   enable
   vap 0 network 1
  radio 2
   vap 0 network 17
 ap local

ルーターの設定

WANポートeth2上にPPPoEインターフェースppp0を作成します。これには、encapsulation pppコマンドを使います。
PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface eth2
 encapsulation ppp 0
```
PPPインターフェースppp0に対し、PPPoE接続のための設定を行います。

・LCP EchoによるPPP接続状態の確認（keepalive）
・提示されたIPアドレスを無条件で受け入れる設定（ppp ipcp ip-override）
・ユーザー名（ppp username）
・パスワード（ppp password）
・Unnumbered IPインターフェースの設定（ip unnumbered）
・MSS書き換え（ip tcp adjust-mss）

PPPの詳細は「PPP」/「一般設定」をご覧ください。
```
interface ppp0
 keepalive
 ppp ipcp ip-override
 ppp username user@isp 
 ppp password isppasswd 
 ip unnumbered lo
 ip tcp adjust-mss pmtu
```
ループバックインターフェース lo にIPアドレスを設定します。これにはip addressコマンドを使います。
IPインターフェースの詳細は「IP」/「IPインターフェース」をご覧ください。
```
interface lo
 ip address 10.0.0.1/32
```
端末接続用のLAN側インターフェースvap1.0にIPアドレスを設定します。
```
interface vap1.0
 ip address 192.168.10.1/24
```
サーバー接続用のLAN側インターフェースeth1にIPアドレスを設定します。
```
interface eth1
 ip address 192.168.20.1/24
```
ファイアウォールのルール作成時に使うエンティティー（通信主体）を定義します。
エンティティー定義の詳細は「UTM」/「エンティティー定義」をご覧ください。

内部ネットワークを表すゾーン「private」を作成します。
これには、zone、network、ip subnet、host、ip addressの各コマンドを使います。
```
zone private
 network lan1
  ip subnet 192.168.10.0/24
 network lan2
  ip subnet 192.168.20.0/24
  host dns
   ip address 192.168.20.4
  host smtp
   ip address 192.168.20.3
  host web
   ip address 192.168.20.2
```

外部ネットワークを表すゾーン「public」を作成します。

zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1

スタティックNAT用のグローバルIPアドレスを表すゾーン「global」を作成します。

zone global
 network ip8
  ip subnet 10.0.0.0/29
  host dns
   ip address 10.0.0.4
  host smtp
   ip address 10.0.0.3
  host web
   ip address 10.0.0.2

ファイアウォールのルール作成時に通信内容を指定するために使う「アプリケーション」を定義します。
これには、application、protocol、sport、dportの各コマンドを使います。
アプリケーション定義の詳細は「UTM」/「アプリケーション定義」をご覧ください。

ここでは、TCP上のDNS通信を表すカスタムアプリケーション「dns_tcp」を定義します。
```
application dns_tcp
 protocol tcp
 sport any
 dport 53
```
外部からの通信を遮断しつつ、内部からの通信は自由に行えるようにするファイアウォール機能の設定を行います。
これには、firewall、rule、protectの各コマンドを使います。

・rule 10 - 内部から内部への通信を許可します（ここでは本製品・端末間の通信）
・rule 20 - 内部から外部への通信を許可します
・rule 30 - 内部からサーバー（グローバルアドレス）への通信を許可します
・rule 40 - サーバー（グローバルアドレス）間の通信を許可します
・rule 50 - サーバー（グローバルアドレス）から外部への通信を許可します
・rule 60 - 外部から内部のWebサーバーへの通信を許可します（NATルール20とペアで設定します）
・rule 70 - 外部から内部のSMTPサーバーへの通信を許可します（NATルール30とペアで設定します）
・rule 80 - 外部から内部のDNSサーバーへのUDP通信を許可します（NATルール40とペアで設定します）
・rule 90 - 外部から内部のDNSサーバーへのTCP通信を許可します（NATルール50とペアで設定します）

ファイアウォールの詳細は「UTM」/「ファイアウォール」をご覧ください。
```
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from private to global
 rule 40 permit any from global to global
 rule 50 permit any from global to public
 rule 60 permit http from public to private.lan2.web
 rule 70 permit smtp from public to private.lan2.smtp
 rule 80 permit dns from public to private.lan2.dns
 rule 90 permit dns_tcp from public to private.lan.dns
 protect
```
NAT機能の設定を行います。
これには、nat、rule、enableの各コマンドを使います。

・rule 10 - 内部のコンピューターがダイナミックENAT機能を使用できるようにします。なお、本例ではWAN側がUnnumberedのため、「with src public.wan.ppp0」により、変換後のアドレスとして10.0.0.1を指定しています。
・rule 20 - WAN側で受信したWebサーバーのグローバルアドレス宛てのHTTPパケットを、宛先をプライベートアドレスに変換して内部のWebサーバーに転送します
・rule 30 - WAN側で受信したSMTPサーバーのグローバルアドレス宛てのSMTPパケットを、宛先をプライベートアドレスに変換して内部のSMTPサーバーに転送します
・rule 40 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのUDP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します
・rule 50 - WAN側で受信したDNSサーバーのグローバルアドレス宛てのTCP DNSパケットを、宛先をプライベートアドレスに変換して内部のDNSサーバーに転送します

NATの詳細は「UTM」/「NAT」をご覧ください。
```
nat
 rule 10 masq any from private to public with src public.wan.ppp0
 rule 20 portfwd http from public to global.ip8.web with dst private.lan2.web
 rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan2.smtp
 rule 40 portfwd dns from public to global.ip8.dns with dst private.lan2.dns
 rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan2.dns
 enable
```
デフォルト経路をPPPインターフェースppp0に向けます。これにはip routeコマンドを使います。
IP経路設定の詳細は「IP」/「経路制御」をご覧ください。
```
ip route 0.0.0.0/0 ppp0
```
無線機能に関するログを出力するため、Bufferedログの対象レベルを「informational」以上に変更します。これにはlog(filter)コマンドを使います。
ログ機能の詳細は「運用・管理」/「ログ」をご覧ください。
```
log buffered level informational
```
以上で設定は完了です。
```
end
```

設定の保存

■ 設定が完了したら、現在の設定内容を起動時コンフィグとして保存してください。これには、copyコマンドを「copy running-config startup-config」の書式で実行します。

awplus# copy running-config startup-config ↓
Building configuration...
[OK]

また、write fileコマンド、write memoryコマンドでも同じことができます。

awplus# write memory ↓
Building configuration...
[OK]

その他、設定保存の詳細については「運用・管理」/「コンフィグレーション」をご覧ください。

ファイアウォールログについて

■ ファイアウォールのログをとるには、次のコマンド（log(filter)）を実行します。

awplus(config)# log buffered level informational facility local5 ↓

■ 記録されたログを見るには、次のコマンド（show log）を実行します。ここでは、ファイアウォールが出力したログメッセージだけを表示させています。

awplus# show log | include Firewall ↓

ルーターのコンフィグ

!
interface eth2
 encapsulation ppp 0
!
interface ppp0
 keepalive
 ppp ipcp ip-override
 ppp username user@isp 
 ppp password isppasswd 
 ip unnumbered lo
 ip tcp adjust-mss pmtu
!
interface lo
 ip address 10.0.0.1/32
!
interface vap1.0
 ip address 192.168.10.1/24
!
interface eth1
 ip address 192.168.20.1/24
!
zone private
 network lan1
  ip subnet 192.168.10.0/24
 network lan2
  ip subnet 192.168.20.0/24
  host dns
   ip address 192.168.20.4
  host smtp
   ip address 192.168.20.3
  host web
   ip address 192.168.20.2
!
zone public
 network wan
  ip subnet 0.0.0.0/0 interface ppp0
  host ppp0
   ip address 10.0.0.1
!
zone global
 network ip8
  ip subnet 10.0.0.0/29
  host dns
   ip address 10.0.0.4
  host smtp
   ip address 10.0.0.3
  host web
   ip address 10.0.0.2
!
application dns_tcp
 protocol tcp
 sport any
 dport 53
!
firewall
 rule 10 permit any from private to private
 rule 20 permit any from private to public
 rule 30 permit any from private to global
 rule 40 permit any from global to global
 rule 50 permit any from global to public
 rule 60 permit http from public to private.lan2.web
 rule 70 permit smtp from public to private.lan2.smtp
 rule 80 permit dns from public to private.lan2.dns
 rule 90 permit dns_tcp from public to private.lan.dns
 protect
!
nat
 rule 10 masq any from private to public with src public.wan.ppp0
 rule 20 portfwd http from public to global.ip8.web with dst private.lan2.web
 rule 30 portfwd smtp from public to global.ip8.smtp with dst private.lan2.smtp
 rule 40 portfwd dns from public to global.ip8.dns with dst private.lan2.dns
 rule 50 portfwd dns_tcp from public to global.ip8.dns with dst private.lan2.dns
 enable
!
ip route 0.0.0.0/0 ppp0
!
log buffered level informational
!
end

PN: 613-003212 Rev.B