04
2010

バッファロールータのPPTPとIPフィルタの動作が変?(WHR-HP-GN)

CATEGORYPC
先日、安く売っていたので自宅のルータをVPNができるというWHR-HP-GNへとリプレースした。
それまで使っていたのはWHR2-G54で、その前がWBR-B11でバッファロー製は三代目。

で、肝心のVPN (PPTP) だが、使えはしたもの設定でハマったというか変な動きをしている?ところがあったので書いておく。
確認した際のファームウェアはVer.1.82。


まず経緯として、最近のバッファロー製のルータでは、昔備わっていたアタックブロックの機能がなくなったようなので、最低限の対策ぐらいはしておこうかとIPフィルタ周りに下記のように設定を入れてみた。
  1. 外部からのプライベートIPのパケットを無視
  2. 内部からインターネットへのプライベートIP宛てパケットを拒否
いわゆるIPスプーフィングの対策という奴のつもりで、マナーとして設定しておくべき・・・と学んだので入れておいた。
まぁ、個人用の自鯖しかない程度の一般家庭で設定する必要があるかというと、いらない気もしなくもない。
(旧WHR2-G54では、こういったパケットはアタックブロックでブロックされていた。)

一通り設定して、普通に使う分には問題なかったので期待のPPTPを試して見た。
だが、PPTP自体は繋がるもののLAN内のマシンが見えない・・・。
変だなと思ってIPフィルタの設定画面を開くと、

あれ?PPTP経由でアクセスするたびに、1の処理パケット数が増えていくよ?

そう、どうもPPTPでのアクセスは、インターネット側からのプライベートIPの通信としてフィルタリングされているようでした。
これまでVPN対応ルータとか使ったこと無かったけど、そういうもんなの?
普通に考えて、VPN経由のアクセスと純粋な外部からのアクセスじゃ必要なフィルタリング違うよね?
VPN→LANというフィルタリング設定ができるのがベスト、できないとしてもどちらかといえばLAN内部の通信として扱うべきじゃないの?

・・・気を取り直して、こういう動きをしてるものは仕方ないと、IPスプーフィング対策は諦めじゃあインターネット側からのLANで使ってるプライベートIP帯/24でのアクセスは許可しよう!と設定してみた。

入力項目に間違いがあります。
場所: 送信元アドレス
内容: 方向が「Internet→LAN」の場合、LAN側ネットワーク内のIPアドレスは使用できません


・・・馬鹿なの?いやいやじゃあインターネット側からそんなパケット送ってくるなよ!

何かどうにも納得がいかなかったのでサポートにこんな動作してるんですけど?
と投げてみたものの、ではこう設定してはいかがでしょうか?的な回答しかこなったので、これはそういう仕様らしいorz


最終的に、後者については/16とかでまとめて指定する分には設定できたので、それでお茶を濁すことにした。
まぁ、ご家庭でそこまでの設定が必要かというとたぶんいらないし、値段を考えれば細かい設定ができないことも仕方ないかもしれないが・・・いまいち納得がいかない。
(上位機種もたぶん同じだと思うけど。)

自分が買ったのはお値段4980円のWHR-HP-GNだったので、なんだかんだ多少不満な点はあってもPPTP機能が備わっているだけで十分高評価、満足している。
外出先からちょっと繋ぎたいとかの用途では、非常に活躍してくれそうな気がしている。
ただ、そういった軽い使い方しか想定していなさそうな気配が感じられるので、VPN対応という言葉に多くを期待している人はご注意を。
スポンサーサイト

Tag: PC ルータ セキュリティ

2 Comments

gotz  

激しく同意

私も WZR-HP-AG300H でIPフィルタ周りの設定をしていたら,同じ状態になりました...どう考えても仕様のミスですよね(^^;

2011/05/02 (Mon) 08:51 | EDIT | REPLY |   

honeplus  

Re.激しく同意

やっぱり変な仕様ですよね。フォームウェア・・・は厳しくても、せめて今後の機種からは見直して欲しいところです(--;

2011/05/03 (Tue) 17:22 | EDIT | REPLY |   

Leave a comment