『Internet側からのWeb管理画面のアクセスを禁止するには』のクチコミ掲示板

[wharf686]

本機は価格も非常に低価格ながら、

・PPTPによる拠点間VPN接続対応
・インターネットのスループットも当方環境では600Mbps〜800Mbps

と満足していましたが、ふと最近、Internet側(DHCPで取得したグローバルアドレス)からhttpアクセスすると、管理画面
が表示されびっくりしています。ユーザー名、パスワードを入れると普通に管理画面にログイン出来てしまいました。

管理→システム設定→Internet側リモートアクセス設定→「Internet側リモートアクセス設定を許可する」はチェックなし、としていたのでてっきりInternet側からは管理画面にアクセスできないものと思っていたのに、衝撃です。

同じような症状の方や、解決法をご存知の方がいらっしゃいましたら、コメントを頂けると幸甚です。

書込番号：20622666

[jm1omh]

確認ですが、LAN側からINTERNET側アドレスを入れてのアクセスではありませんね？

書込番号：20622727　スマートフォンサイトからの書き込み

[wharf686]

＞jm1omhさん

LAN側からのアクセスではありません。BHR-4GRV2は日本の実家に設置してあり、現在海外在住ですが、海外からインターネットでアクセスしたときに、管理画面が開いてしまいます。
ちなみにBHR-4GRV2は2台保有していますが、片方はこのようにインターネット経由では管理画面はアクセスできず(期待通りの動き)、chromeでは
「このサイトにアクセスできません、xxx.xxx.xxx からの応答時間が長すぎます。」
とアクセスを拒否されるというよりは、接続を全く受け付けない動きとなっています。

書込番号：20623092

[sorio-2215]

　お尋ねの件ですが、PPTPトンネル・アクセスから管理画面表示可能、グローバルIPルートからの管理画面アクセス不能とする場合には、ルーターのIPフィルタの設定にて拒否する形になります。

　セキュリティー　−　IPフィルター　→　動作を無視、方向をInternet→LAN、送信元を全て、送信先をルーターのIP、プロトコルをTCP/UDP（任意のTCPポート）、８０番を登録します。

書込番号：20624319

[wharf686]

＞sorio-2215さん

アドバイスありがとうございます。
試してみました。

動作 : 無視
方向 : Internet→LAN
IPアドレス送信元 : 空欄
IPアドレス宛先 : 192.168.1.2 (ルーターのLAN側アドレス)
プロトコル TCP/UDP 80

これで登録しようとすると、

入力項目に間違いがあります。
場所：宛先アドレス
内容：本体のLAN側IPアドレスは指定できません

とエラーが表示され、登録ができません。
宛先を空欄にしたところ、登録は出来ました。
が、相変わらずInternet側からアクセスできている状況です。

もう一台がこれと異なる動きで、Internet側からアクセスできないところを見ると、
なんらかのバグかもしれませんね・・・。
ファームウェアは最新版の1.07を使っています。

書込番号：20624507

[sorio-2215]

ルーターのIPが、192.168.1.2なんですか？
192.168.1.1の間違いではないですか？

インターネット側からのフィルター破棄出来れば良いので、動作ルールなども破棄などの選択肢をしてみるしか無いですが。

書込番号：20625234　スマートフォンサイトからの書き込み

[wharf686]

＞sorio-2215さん

ルーターのLAN側アドレスは192.168.1.2で間違いありません。
日本の実家に設置のネットワークは実はちょっとややこしい構成でして、
192.168.1.0/24のLANにルーターがRTX1210とBHR-4GRV2(1台目でwebからアクセスできてしまう)の2つが並んでいて、
RTX1210が192.168.1.1、BHR-4GRV2が192.168.1.2となっています。
さらに192.168.2.0/24のLANにルーターがER-X、BHR-4GRV2(2台目でwebからアクセス不能)の2つが並んでいて、
ER-Xが192.168.2.1、BHR-4GRV2が192.168.2.2となっています。
全てのルーターのWAN側ポートはスイッチングハブ経由で、NTTから提供されたONUに連結しており、4台のルーターは
マルチセッションでインターネットに接続している状況です。
(ONUはブリッジとしてのみ利用)

Internet→LANに対し、送信元All、宛先All、TCP80を拒否にしてみましたが、相変わらずWAN側からアクセスできてしまいます。
(実家で使っているインターネットではなく、全く独立した海外からの別プロバイダで試しています)

書込番号：20625414

[sorio-2215]

　IPフィルタ・ルールがうまく稼働しない件ですが、ルーターの静的IPマスカレード（アドレス変換）に、TCP80番の転送設定が投入されていると、そちらが優先され、稼働しません。
　
　セキュリティー　−　ポート変換　→　プロトコル（任意のTCPポート、80番）　→　LAN側IPアドレス（192.168.1.2）、LAN側ポート（80番）などの登録が投入されていないか、確認下さい。

　もしどうしても、うまくいかない場合、上記のポート変換を転用する方法も有るかと思います。
　
　セキュリティー　−　ポート変換　→　プロトコル（任意のTCPポート、80番）　→　LAN側IPアドレス（適当な未使用のIP）、LAN側ポート（80番）　と設定することで、WAN側からの通信を未使用のIPへ転送する形になりますが。

書込番号：20625528

[wharf686]

＞sorio-2215さん

静的IPマスカレードは設定していませんでしたが、追加で設定し、TCP80について、存在しないLAN側アドレスを
指定したところ、インターネット側からアクセスできないようになりました。
とりあえず、セキュリティ的に喜ばしい状況となり、ほっとしております。
アドバイス深謝です。

しかしながら、上記設定をしなくてもインターネット側からアクセスできないのが初期設定と思われ、
本件バグなのか、設定ミスなのかわかりませんが、Buffaloにも問い合わせることと致します。

書込番号：20625667

[sorio-2215]

　バグでしょうね。

　Yamaha系でしたら、同一LAN若しくは、IPアドレス範囲指定、全ての選択にて、簡易メニューアクセス設定出来る機能が御座います。

書込番号：20628965

[wharf686]

＞sorio-2215さん

Buffaloに設定ファイル等を送って調べてもらったところ、PPPoE接続が複数設定されていると、
WAN側から管理画面にログインできてしまうバグがあるようでした。
当方環境ではPPPoE接続を2つ設定しており、一つは現時点で使っていない接続だったので
削除したところ、WAN側から管理画面にアクセスできない(正常な動き)となりました。

情報シェアまで書き込みさせて頂きます。

書込番号：20640252

[sorio-2215]

buffaloのやる事ですもの。

個人的には、buffalo系はあまり信用してません。

書込番号：20640848　スマートフォンサイトからの書き込み

[wharf686]

＞sorio-2215さん

まあ、好みは人それぞれですからね。
PPTPのセキュリティの問題はおいておいて、価格の割にそれなりのパフォーマンスで拠点間
接続に対応している等、世の中で一定のニーズはあるかとも思います。

当方での利用では日本の実家と海外の自宅間の拠点間接続は、RTX1210でのL2TPv3/IPsecとEdgerouter ER-XでのGRE over IPsecをメインに使っていますが、
何分勉強+試験的に使っていることもあり、何かの拍子でそれぞれの通信が途絶えた時のバックアップとしてBHR-4GRV2を
スタンバイさせています。
障害発生時、日本に帰国するのも大変なので、格安の本機をスタンバイさせておくことが一定の保険にもなっていたりします。

ちなみに、Buffaloから連絡があり、タイミング良くなのか、下名からの問い合わせが効いたのか
わかりませんが、新ファームが公開されました。
これで治るかどうかは後で試してみますが、好感が持てるところです。

書込番号：20643047

[sorio-2215]

RTX1210でのL2TPv3/IPSECですか？
　多拠点VPNトンネル接続ですと、あまり推奨されない構成ですね。

　当方では、RTX1210でのIPSECトンネル（IKEv2モード、ローカル・リモートネーム認証）を多用します。

　BuffaloではVRRP機能が無いので、ご指摘のメインルーターのメトリックとバックアップ待機ルーターの動的切替えは、そのままでは出来ないので、私個人としては、メインルーターにRTX1210-VRRP構成、バックアップルーターにRTX810などを利用する構成を推奨しますが。

　※　http://jp.yamaha.com/products/network/solution/internet/internet-vrrp_backup-rtx1200/

書込番号：20645269