FutureNet

ASシリーズ

WarpLinkサービス

1.DDNSを使う

1.2 WAN側から接続できるホストを制限する

当社が提供する「WarpLinkDDNS サービス」によるダイナミックDNSを利用します。「WarpLinkDDNS サービス」を利用するとダイナミックDNSの他に、機器情報の周期送信、ファームウェア自動更新などが可能になります。

WarpLinkDDNS サービスは別途契約が必要です。サービス詳細につきましては、当社営業部までお問い合わせください。

 

ここではセキュリティ強化のため、WAN側からAS側にアクセスできるホストを制限します。

WAN側からアクセス可能なホストは固定IPアドレスxxx.xxx.xxx.xxxを取得しているものとします。以下に掲載するフィルタ設定では、送信元IPアドレスが固定でない場合、AS側へのアクセスが意図した動作になりませんのでご注意ください。

 

 

【 構成図 】

WarpLink_filter

【 設定例 】

rsport 0 lcpkeepalive on
filter 0 pass in xxx.xxx.xxx.xxx/32 * * * * ppp1
filter 1 pass in * 192.168.254.254/32 tcp 443 * ppp1
filter 2 pass in * 192.168.254.254/32 udp 53 * ppp1
filter 31 reject in * * * * * ppp1
domain 0 example testid testpass 0.0.0.0/0 0.0.0.0
nat 0 192.168.254.254 icmp * ipcp 0
nat 1 192.168.254.254 tcp telnet ipcp 0
nat 2 192.168.254.254 tcp www ipcp 8080
nat 3 192.168.254.10 tcp www ipcp 0
nat 47 * * * ipcp 0
dnsrelay activate on
alwaysonconnect activate on
alwaysonconnect domainname example
ddns activate on
ddns userid dummy
ddns password dummy
ddns periodic on

【 設定例解説 】

モバイル接続の設定

rsport 0 lcpkeepalive on

domain 0 example testid testpass 0.0.0.0/0 0.0.0.0

alwaysonconnect activate on
alwaysonconnect domainname example

この設定例ではモバイル接続を常時接続としています。

 

DDNSクライアントの設定
dnsrelay activate on

DNSリレーを有効にします。

ddns activate on

ダイナミックDNS機能を有効にします。

ddns userid dummy

WarpLinkDDNS サービスのユーザIDを設定します。

ddns password dummy

WarpLinkDDNS サービスのパスワードを設定します。

ddns periodic on

PPP 接続中に周期的(5分固定)に機器情報送信を行います。

 

パケットフィルタの設定
filter 0 pass in xxx.xxx.xxx.xxx/32 * * * * ppp1

AS側にアクセスできるWAN側のホスト(xxx.xxx.xxx.xxx)との通信を許可します。

filter 1 pass in * 192.168.254.254/32 tcp 443 * ppp1

ASがWarpLink DDNSサーバと通信する必要があるため、使用するポート(TCP ポート443)の通信を許可します。

filter 2 pass in * 192.168.254.254/32 udp 53 * ppp1

ASがwww.warplink.ne.jp (WarpLink DDNSサーバ)を名前解決する必要があるため、DNSで使用するポート(UDP ポート53)の通信を許可します。

filter 31 reject in * * * * * ppp1

その他のWAN側のホストからAS側へのパケットはすべて遮断します。

 

natの設定

nat 0 192.168.254.254 icmp * ipcp 0

nat 1 192.168.254.254 tcp telnet ipcp 0

nat 2 192.168.254.254 tcp www ipcp 8080

nat 3 192.168.254.10 tcp www ipcp 0

WAN側からAS-250(192.168.254.254)へのping疎通、Telnet接続、管理画面表示を可能にします。また、IPカメラ(192.168.254.10)への接続も可能にします。

この際、WAN側からはIPアドレスではなく、WarpLink DDNSサーバに登録したドメイン名(○○○.×××.warplink.ne.jp)を指定して対象機器にアクセスすることが可能です。

また、パケットフィルタにより、AS側との通信が許可されるWAN側のホストはxxx.xxx.xxx.xxxのみに制限され、他の機器からの不正なアクセスを遮断することができます。