Nuro光のONUと自前ルータ(FWX120)を使う

5 min read読了の目安(約5000字

NuroでもFWX120をルータとして使いたい!

自宅のプロバイダでNuro光を使っている方は数多くいると思う。
その中の大多数は当然のように自前ルータを使ってルーティングしたりネットワーク構築しているでしょう。
一般的なYAMAHAルータであるRTX12xxやRTX8xxで用例は多くあるので先人達を参考にしていただくこととして、自宅で引っかかったので備忘として残しておくこととする。

環境

  • Nuro光ONU(ルータ、Wifi機能付き)
    F660A

  • Router
    FWX120

一般的なご家庭ではYAMAHAであればFWX1210やNVR700Y、CiscoならMerakiや800シリーズを使っていると推察されるし、やや逸般な家庭ではISRやCatalyst8200などを使っているだろう。
我が家は平凡な家庭なためFWX120を採用した。
厳密にはFWX120は純粋なルータではないが、機能的にはまかなえるので

つまづきポイント

  • GUI設定で入るフィルター
    GUI設定は罠。

事前準備

まずNuroのONUはルータ機能を切ってブリッジ接続にできない。
これが諸悪の根源でこの制約がなくなればもっと楽にできるようになるはず。
Nuro公式ページでいろいろと書いてあるが、自前ルータが必要となるケースにも明らかな問題点があるような

中継器として利用する

電波が届かないだけなら無線のAPを用意すれば良いだけなのでは・・・・・・

接続する機器が6台以上ある

6台未満の家庭なんて今時存在するのだろうか・・・・・・

というわけでこの忌々しい制約を回避するための設定をする。
以下の準備が最低限必須。

  • NuroONUへのブラウザからのアクセス
    ブラウザからアクセスできるようにすること

  • ルータへのアクセス手段
    コンソール接続とLAN接続でブラウザから設定出来るようにしておく

  • ルータのMACアドレスを控える
    WAN側ポートのMACアドレスを用意しておく。
    無くても平気ではあるモノの控えておくのが無難

設定

順番に設定をしていく。
多くの先駆者が試しているようにDMZ機能で通信を投げることで対応する。

  1. ONU設定
    ONUの管理画面のアプリケーション>DMZFWX120のLAN2のMACアドレスを設定。

  2. FWX120のGUI設定
    GUI画面からプロバイダ情報の設定を開く。
    この設定画面はブリッジモード(透過型ファイアウォール)として使っている場合出現しないため注意。
    bridge member bridge1 vlan1 lan2を消すなどして対応
    DHCPを用いるから指定アドレスを入力する。
    WAN側IPアドレス: LAN2のアドレス
    デフォルトゲートウェイ: ONUのアドレス
    DNSの設定は後でも構わないので指定しないでも良い

これまででルータからONUへは通信が出来るようになったはず。
解説している先駆者はここまでで出来ているように見える。
ここではまったのだがFWX120の場合これだとONU側からルータへの通信が遮断されてしまっているよう。
ここまでで出来たコンフィグは以下のようだ(一部抜粋)
完全にそのままのものではなく余計なモノも入っているかも(小声)

# FWX120 Rev.11.03.29 (Mon Dec  2 10:55:54 2019)
# MAC Address : 00:a0:de:XX:XX:XX, 00:a0:de:XX:XX:XX
# Memory 256Mbytes, 2LAN
# Reporting Date: May 6 
login password *
administrator password *
login user ansible *
console character ascii
ip route default gateway dhcp lan2
ip keepalive 1 icmp-echo 10 5 dhcp lan2
ip lan1 address 192.168.100.1/24
ip lan2 address dhcp
ip lan2 inbound filter list 201 202 203 204 205 206 207 299
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0/0:
ip filter 500000 restrict * * * * *
ip inbound filter 201 reject-nolog * * tcp,udp * 135
ip inbound filter 202 reject-nolog * * tcp,udp 135 *
ip inbound filter 203 reject-nolog * * tcp,udp * netbios_ns-netbios_ssn
ip inbound filter 204 reject-nolog * * tcp,udp netbios_ns-netbios_ssn *
ip inbound filter 205 reject-nolog * * tcp,udp * 445
ip inbound filter 206 reject-nolog * * tcp,udp 445 *
ip inbound filter 207 reject-nolog 192.168.100.0/24 * * * *
ip inbound filter 299 pass-nolog * * * * *
ip policy interface group 101 name=Private local lan1
ip policy address group 101 name=Private 192.168.100.0/24
ip policy address group 102 name=Any *
ip policy service group 101 name="Open Services"
ip policy service group 102 name=General dns
ip policy service group 103 name=Mail pop3 smtp submission
ip policy filter 1100 reject-nolog lan1 * * * *
ip policy filter 1110 pass-nolog * * * * 102
ip policy filter 1122 static-pass-nolog * lan1 * * *
ip policy filter 1123 static-pass-nolog * local * * *
ip policy filter 1124 static-pass-log * * 192.168.100.0/24 * http
ip policy filter 1460 pass-nolog * lan2 * * *
ip policy filter 1700 pass-nolog local * * * *
ip policy filter 1710 static-pass-nolog * lan1 * * *
ip policy filter 1900 reject-nolog lan2 * * * *
ip policy filter 1920 pass-log * lan1 * * 101
ip policy filter 3000 reject-nolog * * * * *
ip policy filter set 101 name="Internet Access" 1100 [1110 1123 [1124] 1122 146
0] 1900 [1920] 1700 [1710] 3000
ip policy filter set enable 101
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
telnetd host any
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns server dhcp lan2
dns private address spoof on
httpd host lan1 lan2
sshd service on
sshd host key generate *
sftpd host any

とりあえずルータからONUへはアクセスできるもののインターネットと通信できない。
自分が試してみた感じ原因はここ
ip inbound filter 207 reject-nolog 192.168.100.0/24 * * * *
このフィルターが悪さをしているようなので
ip lan2 inbound filter list 201 202 203 204 205 206 207 299 の設定から207のフィルターを外して
ip lan2 inbound filter list 201 202 203 204 205 206 299 とすると通信ができた。

これでひとまず通信が出来る設定が出来た。

残りの作業

これまででONUでルーティングをせずに自前ルータで制御する基本設定が出来た。
この後ONU側の無駄な設定をoffにしたりルータ側でも作業を行って環境を整えていく

  1. ONUの設定
    今だと無線機能とDHCO機能がONになっているのでこちらをOFFにする。
    DNSをONU側で指定したいなら良いが自前で用意する場合こちらもOFFにする。

  2. ルータのIP上の項目
    LAN2がDHCPになっているので、上の項目の設定をするとIPが降られなくなる。
    LAN2はONUと通信できれば何でも良く、LAN1は自宅ネットワークに合わせて変更する。

  3. DHCP
    ルータでDHCPをする場合設定を入れる、別途DHCPサーバを利用するのなら不要

  4. DNS
    ONUで指定するなら不要、ルータで接続するなら設定する、別途DNSサーバを立てるのなら不要

  5. NTP
    自宅ネットワークの時刻統一に

  6. SSH
    SSH接続やTelnetなどコンソール接続以外の接続手段を用意する。

追加

残りの作業とは別にVPN接続やIPv6対応などの設定なども施していくと良さそう。
無線機能をOFFにしたならば別途APを用意する。
ひとまず最低限はここまでで終わり。

完成

無事NuroONUでも自前ルータを扱うことに成功した。
FWX120というファイアウォール製品を利用したことでフィルターが邪魔して通信できなくなるというトラブルもあったが解決した。
これで快適なインターネットライフを送ることが出来る。