クイックインストレーションガイド rev.1.50 …1 はじめに...
TRANSCRIPT
クイックインストレーションガイド
Rev.1.50 Firmware V8.0.7
2012 COPYRIGHT(C) YS Corporation. ALL RIGHTS RESERVED
1
■ はじめに
このたびは、StealthOne F シリーズをお買い上げいただきまして誠にありがとうございます。
本機は、ファイアウォールセキュリティーを構築することだけではなく、VPN やアンチウィルス、アプリケーシ
ョンブロックなどの統合型 UTM となっております。
本書ならびに、各ドキュメントの内容を十分にご理解いただき、正しくご利用ください。
なお、製品の改良・バージョンアップなどにより本書と StealthOne F シリーズの内容が異なる場合がありま
す。最新の情報は弊社サイト(http://www.stealthone.net)にてご確認ください
■ 設置場所についてのお願い
本機は精密機器ですので、極端に高温や低温になる場所や湿気や水濡れ、ほこりの多い場所、振動
の多い場所、不安定な場所には設置しないでください。
このような場所に設置された場合、ファンからの異音、発熱、動作不良や重大な事故を引き起こす
可能性があります。普段から、製品の周囲を確認し、問題がある場合は速やかに清掃などの対処を
行ってください。
保証期間、また、延長保証期間内であってもこのような原因による故障の場合は有償のご対応になります。
できる限りサーバールームやサーバーラック内などの温度が一定でほこりが少ない場所に設置す
ることを推奨します。
あわせて保証書の注意書きも十分にお読みください。
2
■ 目次
設定準備編
P.3 設定のための準備
P.4 設定画面ログオン方法
基本接続編
P.5~P.8 PPPoE接続およびDHCPクライアントの設定
P.9~P.10 透過(トランスペアレント)モードの設定
基本機能編
P.11 DHCPサーバーの設定
P.12 IP グループの設定
付加機能編
P.13 LiveUpdate設定
P.14 機能設定①-WEBアンチウィルスの設定 (F301j・F501jのみ)
P.15 機能設定②-E-mailアンチウィルスの設定
P.17 機能設定③-POP3アンチスパムの設定 (F301j・F501jのみ)
P.18 機能設定④-アノマリーフィルタの設定
P.19 機能設定⑤-メッセンジャーアプリケーション制御の設定
P.20 機能設定⑥-アプリケーション制御の設定
P.21~P.22 機能設定⑦-URLフィルタの設定
P.23 機能設定⑧-URL・Mailアクセスログ (F301j・F501jのみ)
ネットワーク設定編
P.24 NAT/ポートフォワードの設定
P.25~26 ポートポリシーの設定
P.27~34 VPNの設定
その他
P.35~37 その他の設定・ログ閲覧・初期化の方法
P.38~39 トラブルシューティング
3
■ 設定のための準備
本機は精密機器ですので、極端に高温や低温になる場所や湿気や水濡れ、ほこりの多い場所、振動の多
い場所、不安定な場所には設置しないでください。また、電波障害などが発生した場合は速やかに設置場
所を変えるなどの対処をしてください。あわせて保証書の注意書きも十分にお読みください。
① F 本体の WAN 端子に ADSL モデムもしくは、ルーター、HUB 等非信頼ゾーンと信頼ゾーンの間に接
続します。リンクしない場合はクロス・ストレートの種別を確認してください。
② F 本体の LAN 端子に設定用のコンピュータをクロスケーブルで接続します。クロスケーブルがない場
合は、オートネゴシエーションの HUB をはさんで接続してください。
③ 設定用のコンピュータを用意します。WindowsXP 以降・InternetExplorer8 又は Firefox3.5 以上を推奨
します。LANの設定は 192.168.88.1/255.255.255.0 デフォルトゲートウエイ 192.168.88.254 プライマ
リ DNSサーバー 192.168.88.254 に手動設定してください。
※なおブラウザの表示にはフラッシュプレイヤーが必要です。最新版をダウンロードしてください。
(http://www.adobe.com/jp/products/flashplayer/)
④ コマンドプロンプト等で 192.168.88.254 宛てに Pingを打って接続されていることを確認してください。
StealthOne F シリーズ 初期設定内容
LANポートのアドレス 192.168.88.254
LANポートのサブネットマスク 255.255.255.0
DHCPサーバー 無効
MACアドレス システム>ステータス参照
設定画面 URL https://192.168.88.254
ユーザーID stealthone
パスワード stealthone123
4
■ 設定画面ログオン方法
① ブラウザで https://192.168.88.254 にアクセスしてください。
② 証明書の確認画面で「このサイトの観覧を続行する」を選んでください。
※ ローカルセキュリティー証明書を発行していますので多少時間がかかる場合があります。また、認証済みの場合
はこの画面は出ないことがあります
③ ユーザー名とパスワードを入力して「ログイン」を押してください。
※ デフォルト値はユーザー名は”stealthone”、パスワードは”stealthone123”です。
④ ログインすると、システムのステータス画面が表示されます。
5
基本接続編
■ PPPoE 接続および DHCP クライアント
この接続方法は、NTT 東西フレッツ ADSL など PPPoE 方式で認証する場合で、1 対多でルーター動作さ
せる場合の設定例です。本機の PPPoEセッションはWANインターフェースにて 1セッションのみの対応で
す。
また、DHCP クライアント動作させる場合も併記しております。
① ネットワーク>基本設定>基本設定 画面でネットワークの全体的な設定をします。通常WAN側アドレス
が 1 つで自動割り振りの場合は、LAN IP のみ入力します。その他の欄は全て空欄にします最後
に”APPLY”を押します(データの反映に少々時間がかかる場合があります)。その後、再起動を促され
ますが再起動は全ての設定終了後に行います。
※ DHCP クライアントの場合は、接続したポートの”Using DHCP”にチェックを入れてください。また、この場合、②の
PPPoE アカウントの設定は不要です。
DNS自動取得のプロバイダの場合は Name Server/Name Server2 を空欄にすると自動的に取得します。
自動取得した IPは、ステータス画面で確認できます。
DHCP クライアントの場合、DNSが取得できない場合があります。その場合は、手動で入力する必要があります。
※ WWW Admin Port の値を変える事により、設定画面へアクセスする為のポートが変更できます。
ポートの変更は、「APPLY」を押した直後に反映されますのでご注意ください。
6
② ネットワーク>基本設定>PPPoE で、PPPoE のアカウントを設定します。Enable PPPoE にチェックを入れ、
Account に PPPoE アカウント、Password にパスワードを入れます。また、MTU 値の指定がある回線の
場合は MTU に入力します。(例:NTT 東西フレッツ ADSL/B フレッツは 1454、NTT 西日本フレッツ光
プレミアムは 1438)最後に”APPLY”を押します。(データの反映に少々時間がかかる場合があります)
その後、再起動を促されますが再起動は全ての設定終了後に行います。
※ NTT 西日本の「フレッツ光プレミアム」プランの場合は EnableLQR にチェックを入れてください。また、ReferenceIP
欄に PING 応答のあるグローバル IPアドレスを入力してください。
※ この場合、プロバイダなどに向けるとアタックとみなされ注意を受けることがありますのでご注意ください。
③ ネットワーク>基本設定>NAT で 1 対多の IP マスカレード機能を設定します。デフォルトルールの
WANLAN をクリックします。
7
④ 右側の Private 欄に LAN先頭アドレスおよびサブネットマスクを入力します。
※ 本機のデフォルトでは WAN と 192.168.88.0/255.255.255.0 の間で設定されています。LAN アドレスをデフォルト値
から変更した場合には必ず変更が必要です。
※ 初期設定では、WAN と LAN 間での 1 ルールですが、WAN と LAN2 などのように複数設定ができます。その場合
の物理ポートと論理ポートの割り当てはネットワーク>拡張設定>インターフェース にて行います。
※ 左側の論理インターフェースに対し、右の選択肢で物理インターフェースを設定します。
8
⑤ 一部のモデム・終端装置などでは、DHCP サーバー機能が動作している場合があります。その場合
はネットワーク>拡張設定>ステルス で動作モードの設定をします。ルーターモードのみで使用する
場合は、Disable Transparent Mode にチェックを入れます。最後に”APPLY”を押します(データの反
映に少々時間がかかる場合があります)。
⑥ 必要に応じて DHCP サーバーの設定を行ってください。
設定の詳細は、P.11の DHCP サーバーの設定を参照してください。
9
■ 既存ネットワークに透過(トランスペアレント)モードでの設置
この接続方法は、既存のルーターがあり透過モードで設置する場合の設定です。この場合、既存ルーター
DHCP スコープ外のローカル IPアドレスを 1 つ必要とします。
① ネットワーク>基本設定>基本設定 で Gateway に現在 LANのルーターアドレスを入力します。LAN IP
にあらかじめ決めたローカル IPアドレスを設定します。サブネットは接続するネットワークに合わせます。
Name Serverに DNSサーバーアドレスを入力します。ルーターがリレーする場合は、ルーターアドレス
を入力します。最後に”APPLY”を押します。(データの反映に少々時間がかかる場合があります)その
後、再起動を促されますが再起動は全ての設定終了後に行います。
※ 本機自体がDNSの解決ができないとアンチウイルス機能とURLフィルタ機能に問題が出ます。一部のルーターで
はうまく DNS リレーしない場合がありますのでご注意ください。その場合は、グローバルの DNSサーバーアドレス
を設定してください。
※ WWW Admin Port の値を変える事により、設定画面へアクセスする為のポートが変更できます。
ポートの変更は、「APPLY」を押した直後に反映されますのでご注意ください。
10
② ネットワーク>拡張設定>ステルス で透過モードの設定をします。透過モードのみで使用する場合は、
Disable Routing Modeにチェックを入れます。Transparent Channel Configuration のWAN1 と LANを
Channel1にして同グループにします。最後に”APPLY”を押します(データの反映に少々時間がかかる
場合があります)。
※ 初期設定では、WAN と LAN 間での 1 ルールですが、WAN と LAN2 などのように複数設定ができます。その場合
の物理ポートと論理ポートの割り当ては ネットワーク>詳細設定>インターフェースにて行います。
※ 左側の論理インターフェースに対し、右の選択肢で物理インターフェースを設定します。
11
基本機能編
■ DHCP サーバーの設定
ルーターモード時、DHCPサーバーを使用する場合設定をします。初期設定では無効になっています。
① ネットワーク>基本設定>DHCP を開きます。DHCP サーバーを有効にしたいインターフェースの Edit
Property をクリックします。
② Enable DHCP にチェックを入れ、Enable DHCP Server を選びます。Start IP に先頭アド
レス、End IP に終了アドレスを入力します。Lease Time にリース時間を入れます。ネットマ
スク・ゲートウエイ・ブロードキャスト・プライマリ DNS・セカンダリ DNS の各項目を入力
します。最後に”APPLY”を押します。
※ MacアドレスとDHCPサーバー機能により割り当てられる IPアドレスを固定したい場合は、Mac Mapping欄に入力
してください。Addで追加することができ、Delete で削除することができます。
※ 本機の DNSが正しく設定されている場合、DNS1IPは本機の LAN IPアドレスが使用できます。
レスポンスが悪い等の DNSの問題が発生する場合は、プロバイダの DNSを入力して下さい。
12
■ IP グループ
StealthOne 配下の IP に関してグループを作成することができます。このグループを作成することにより、
IDP機能で適用や除外(ホワイトリスト)することができます。
① ネットワーク>IPグループを開きます。Add IP Group をクリックします。
② IP group description にグループの名前を入力し、Add をクリックし、IP アドレスとサブネットマスクを入
力します。最後に APPLY をクリックします。
※ IP Groupは複数設定でき、更に、その中に複数の IPアドレスを設定することができます。
※ Groupは Remove で削除し IPは Delete で削除します。
13
付加機能編
■ Live Update 設定
各種定義ファイルをアップデートする為の設定をします。
システム>自動アップデートを開き、Enable と LiveUpdateItemの各 Enableにチェックを入れて
APPLY をクリックします。
LiveUpdateTimeで、更新時間を指定する事も出来ます。通常は、深夜の時間帯に更新されます。
※ 再起動後、Run Live Update Nowをクリックすると、その場で最新の定義ファイルを取得します。
その後、ログ>自動アップデートに以下の様なログが出れば正常です。正常にアップデートされない場合は接続設
定が正しくされているか確認してください。特に透過モード設置時の Gateway と NameServerを確認してください。
※ 定額制でない接続の場合、予期せず高額な課金がされる可能性がありますので、常時接続環境以外ではご注意
ください。
※ 現時点のファームウェアでは、ファームウェアの自動更新には対応しておりません。
14
■ 機能設定① WEBアンチウィルス (※この機能は F301j/F501j のみに搭載されております)
ホームページを経由してのウィルス感染を監視します。
① Web保護>アンチウィルス>HTTP Anti-Virus の Enable HTTP Anth-Virus にチェックをいれます。最
後に”APPLY”を押します(データの反映に少々お時間がかかる場合があります)。その後、再起動を
促されますが再起動は全ての設定終了後に行います。
※ 通常の TCP80 番ポート以外の通信も監視したい場合は、該当のポートをカンマ区切りで記載してください。デフォ
ルトでは 5MBまでのファイルを監視しますが、負荷に応じてサイズを調整してください。Scan Options以下のチェッ
クを外すと、そのカテゴリーのファイルは監視されなくなります。
② 監視させたくない URL やサーバー・クライアントが存在する場合は、
各タブ(除外URL・除外サーバー・除外クライアント)へアドレスもしくは IPアドレスを入力してください。
※ WindowsUpdateが正常に完了しない場合は、下記の 4 行を入力して下さい。
download.microsoft.com
windowsupdate.com
windowsupdate.microsoft.com
update.microsoft.com
15
■ 機能設定② E-mailアンチウィルス
E-mailのウィルスを駆除することができます。
① E-mail 保護>アンチウィルス>POP3 の Enable POP3 Anti-Virus にチェックを入れます。最後
に”APPLY”を押します。再起動を促されますが再起動は全ての設定終了後に行います。
※ デフォルトでは 20MB までのファイルを監視しますが、負荷に応じてサイズを調整してください。
※ ネットワーク内にメールサーバーがある場合はメールサーバーアンチウィルス(WAN->LAN/DMZ)やメールサーバ
ーアンチウィルス(LAN->DMZ/WAN)などの設定が必要です。また、同時にネットワークやポリシーの設定も必要と
なります。
② E-mail 保護>アンチウィルス>ホワイトリストの Bypass MAILER-DAEMON にチェックを入れます。最後
に”APPLY”を押します。
※ これは、スキャンに時間がかかるMAILRE-DAEMON が存在する為に負荷がかかってしまうのを防ぐ目的でチェッ
クします。MAILRE-DAEMON を除外したくない場合は、チェックしないでください。
※ ホワイトリストへメールアドレスやドメインを追加することにより、E-Mail 保護から除外することが出来ま
す。正常に受信出来ないメールが届く場合に、送信元のアドレス・ドメインを入力して下さい。除外した場
合、アンチウイルス・アンチスパム共に除外されます。
16
※ 送信メールのウイルスチェックを行いたい場合は、E-mail 保護>アンチウィルス>Mail Server LAN to
WAN の Enable Mail Server Anti-Virus (LAN->DMZ/WAN)にチェックを入れ、Mail Server へ使用し
ている SMTP サーバーのアドレスとポートを入力します。最後に”APPLY”を押します。
SMTP認証・SSL/TLSが必要な送信メールサーバーの場合は使用できませんのでご注意ください。
設定後、送受信のチェックを行い、問題無く送受信出来ることを確認してください。
※ 対応できるのは 1 つのメールサーバーのみで、ウイルスメールは削除されます。
※ 送信メールサーバー側でウイルス対策がされている場合は、有効にする必要はありません。
17
■ 機能設定③ POP3アンチスパム (※この機能は F301j/F501j のみに搭載されております)
POP3 メールの迷惑メールを判別します。
① E メール保護>アンチスパム>POP3アンチスパム の Enable Anti-Spam にチェックをいれます。最後
に”APPLY”を押します(データの反映に少々お時間がかかる場合があります)。その後、再起動を促さ
れますが再起動は全ての設定終了後に行います。
※ デフォルトでは 20MB までのメールを監視しますが、負荷に応じてサイズを調整してください。
※ ネットワーク内にメールサーバーがある場合はメールサーバーアンチスパムの設定が必要です。また、同時にネットワ
ークやポリシーの設定も必要となります。
② また、ブラックリスト、ホワイトリストにメールアドレスやドメインを追加することにより、任意でスパムか否か
設定することができます。手動入力では 150 件、ファイルのインポートでは 1000 件の入力が可能で
す。
※ 本機能は全てのメールに対して様々な条件を基に点数(スコア)をつけます。初期設定では 3点以下を非スパムと
判断します。スパム以外のメールがスパムになってしまう場合は、Score Settingsの Scoreを変更してください。数
字が大きいほど、スパムに対して甘い評価(=スパムになりにくい)になります。また、初期設定ではメール題名に
付加する文字は[SPAM]ですが、Subject Tag を変更することにより任意の文字になります。また、スコアによって
それらを変更することもできます。
※ メーリングリスト等の転送されて届くアドレスに関しては、Receiver Domain/Email White List に追加して下さい。
18
■ 機能設定④ アノマリーフィルタ
不正なアタックやパケットから防御するためのフィルタです。
IDP>アノマリの Enable Anomaly Filtering にチェックをします。Select Allをクリックし、全ての項目にチェッ
クが入ったことを確認します。最後に”APPLY”を押します(データの反映に少々時間がかかる場合がありま
す)。
※ 使用するアプリケーションによってはごくまれに誤検知することがあり、アプリケーションが正常動作しない場合がありま
す。その場合は、対応するチェックを外してください。
19
■ 機能設定⑤ メッセンジャーアプリケーション制御
MSN メッセンジャー(Windows Live Messenger)・Yahoo メッセンジャーの使用を制限することができます。
① アプリケーション>メッセンジャーのそれぞれ制限したいアプリケーションのタブを開きます。Enable(ア
プリケーション名)control のチェックを入れます。制限したいインターフェースにチェックを入れます。
② Select controlled range(IP Groups)欄の使用制限したい IP レンジにチェックを入れてください。初期設
定では、LAN インターフェースに接続されたノードは全て LANに割り当てられています。
MSN メッセンジャーに関しては、会話ログを取得する事が出来ます。 (F301j・F501jのみ)
アプリケーション>MSN 会話ログの Enable MSN Chat Log にチェックを入れます。
ログは、ログ>アプリケーション>MSN会話ログに表示されます。
ログの保管周期は Rotate logs every で設定できます。
メールでレポートする場合は、Send email report to へチェックを入れ、メールアドレスを入力してください。
Rotate logs everyの周期で送信されます。※システム>E-mail報告の設定が必要になります。
会話ログを取得させたくないアカウントは、Bypass msn accountsへ入力してください。
※ メールで添付されているログは、gz 形式で圧縮されております。対応している解凍ソフトをご使用ください。
20
■ 機能設定⑥ P2P アプリケーション制御
Winny、BitTorrent、Share、LimeWire の各アプリケーションの使用を制限することができます。
① アプリケーション>P2P のそれぞれ制限したいアプリケーションのタブを開きます。Enable(アプリケーシ
ョン名)control のチェックを入れます。制限したいインターフェースにチェックを入れます。
② Select controlled range(IP Groups)欄の使用制限したい IP レンジにチェックを入れてください。初期設
定では、LAN インターフェースに接続されたノードは全て LANに割り当てられています。
③ 同じようにホワイトリスト(除外リスト)も設定できます。Select white list(IP Groups)欄の適応させたくない
IP レンジにチェックを入れてください。ホワイトリストが優先されます。
※ インターフェースの他、IP のグループごとに設定することができます。ネットワーク>IP マッピング>ホスト名マッピング
の”Add IP Group”をクリックし、IP group descriptionにグループ名を入力し、IPアドレスとネットマスクを入力します。また、
Addを押すと複数IPアドレスをまとめてグループ化することができます。
※ 使用するアプリケーションによってはごくまれに誤検知することがあり、アプリケーションが正常動作しない場合がありま
す。その場合は、対応するチェックを外してください。
21
■ 機能設定⑦-1 URL フィルタ
公序良俗に反したり、危険なURLにアクセスを禁止する機能です。フィッシングサイトにも対応しています。
① アプリケーション>URL フィルタ>フィルタの Enable url filter にチェックを入れます。
② 自動データーベースを使用する場合は Include default~の 3 項目にチェックを入れます。本機能は、
自動更新される危険な URL リストを適用するものですが安全を完全に保証するものではなく、また、場
合によっては危険でない URL も制限してしまう場合があります。十分に注意して設定してください。
③ フィッシングサイト対策も行う場合は、Enable Anti-Phishingにチェックを入れます。
④ Select controlled range(IP Groups)欄の使用制限したい IP レンジにチェックを入れてください。初期設
定では、LAN インターフェースに接続されたノードは全て LANに割り当てられています。
⑤ 同じようにホワイトリスト(除外リスト)も設定できます。Select white list(IP Groups)欄の適応させたくない
IP レンジにチェックを入れてください。ホワイトリストが優先されます。
※ Block message 欄に任意の文字を入力することにより、ノードからアクセスがあった場合ブラウザにその文字を表示させ
ることができます。
22
■ 機能設定⑦-2 URL データベース
ユーザーが任意に作成したアクセス禁止の URL・キーワードを適用させます。
① メモ帳などを使用し、禁止したい URL 又はキーワードを入力します。複数の場合は改行し、
1 行に1URL・キーワードとなるようにしてください。任意のファイル名をテキスト形式で保存します。
※ 「http://」は入力の必要ありません。
② アプリケーション>URL フィルタ>データベースの各リストの参照をクリックして先に保存したテキストファ
イルを指定し、Import File をクリックしインポートします。
※ 現在読み込まれているファイルを参照する場合は Export File、削除したい場合は Clear Allをクリックします。
インポートすると、リストは上書きされます。
本体の初期化をした場合、再度読み込ませなければならない場合があります。
Site Blacklist:URLのドメインでフィルタリングします。
URL Blacklist:URLの完全一致でフィルタリングします。
URL Keyword Blacklist:URLに含まれるキーワードでフィルタリングします。
23
■ 機能設定⑧ URL・Mail アクセスログ (※この機能は F301j/F501j のみに搭載されております)
URL アクセスログと E-Mailの送受信ログを取得する事が出来ます。
アプリケーション>URL(又はMail)アクセスログのEnable URL(又はMail) Access Logにチェックを入れます。
ログは、ログ>アプリケーション>URL アクセス(又は E-mail 履歴)に表示されます。
ログの保管周期は Rotate logs every で設定できます。
メールでレポートする場合は、Send email report to へチェックを入れ、メールアドレスを入力してください。
Rotate logs everyの周期で送信されます。※システム>E-mail報告の設定が必要になります。
※ メールで添付されているログは、gz 形式で圧縮されております。対応している解凍ソフトをご使用ください。
24
ネットワーク設定編
■ NAT/ポートフォワード
初期設定でWAN→LANの 1 対多の NAT(IPマスカレード)は設定されています。
WAN と LANの 1 対1の NAT やポートのフォワードの設定をすることができます。
1.NAT および IP マスカレード設定画面
ネットワーク>基本設定>NAT
Add で追加、Delete で削除できます。最後に”APPLY”を押します。
2.ポートフォワード設定画面
ネットワーク>基本設定>バーチャルサーバー
Add で追加、Delete で削除できます。最後に”APPLY”を押します。
レンジで指定する場合は、「DestinationPort」には先頭のアドレスのみを入力します。
25
■ ポートポリシー
① 初期設定で DEFAULT という名前を付けられたルールがあります。新たに追加する場合は、”Add
Schedule”で追加することができます。このルールの名前をクリックすると、この時間帯においてさらに
詳細な設定ができます。
※ リストの下側には現在設定されているルールの一覧が表示されています。
※ また、システム>設定ファイル>設定リストから本機の設定の全てを参照することができます。
26
② ポリシー>DEFAULT>custom で詳細なルールを設定します。ルールにはわかりやすい名前を付けるこ
とができます。上に行くほど、順位が優先されます。
③ Description にルールの名前、Enable にチェック、Log を取る必要があればチェック、プロトコルの指定、
IP アドレス(CIDR 形式でのサブネットも入力できます)、インターフェース、ポート(複数の場合は”,”で
区切ってください。連続の場合は”-“を使用してください。)をLAN・WAN共に入力した後に、方向と動
作をDirectionで決定してください。最後に”APPLY”を押します(データの反映に少々時間がかかる場
合があります)。
※ Protocolで ALLを選択した場合、Port 欄には関係なく全て通過させます。ただし、IP・Direction については有効です。
27
■ VPN設定① IPSecによる拠点間 VPN
設定例
最初に、各拠点の固定 IPを確認し、暗号(共有キー・英数)を1つ決めます。
固定 IPは ISP からの設定用紙を参照して下さい。
■拠点 A 123.123.123.145(グローバル固定 IP) 192.168.10.1(Stealthoneの LAN IP)
■拠点 B 123.123.123.150(グローバル固定 IP) 192.168.20.1(Stealthoneの LAN IP)
■共有キー 1234VPN
既にルーターモードでインターネット接続の設定が完了しているのが前提です。
これを例に進めていきます。
※VPN接続後、別途ポリシーのルール設定が必要になる場合があります。
拠点 A
① ネットワーク>基本設定>基本設定を開き、GatewayとWAN IPにグローバル固定 IP(123.123.123.145)
を入力し、”APPLY”を押します。
※ 再起動は最後に行うので、この時点で再起動する必要はありません。
28
② VPN>IPSec を開き、”Add”を押します。
③ Remote WAN IP に、拠点 B のグローバル固定 IP(123.123.123.150)を、
Remote LAN IP に、拠点 B の LAN IP(192.168.20.1)を、
Remote LAN Mask に、拠点 B のサブネットマスク(255.255.255.0)を、
Key Exchangeは、「Auto Key」にチェックを、
Encryption Key に、共有キー(1234VPN)を入力し、”APPLY”を押します。
29
④ IPSec Enableにチェックを入れ、”APPLY”を押します
※ 通常、Phase 1 encryption algorithm・Phase 1 hash algorithm・Auto key phase 1 group・Auto key phase 2 groupは設定
変更の必要ありません。
この設定項目の無い旧ファームウェアの NS130j/131jと接続する場合は、Phase 1 hash algorithm を SHA1に変更してく
ださい。
⑤ システム→ステータスから、”Reboot Firewall”を押し、再起動します。以上で A地点の設定は完了で
す。
30
拠点 B
① ネットワーク>基本設定>ネットワーク設定を開き、Gateway とWAN IP にグローバル固定 IP
(123.123.123.150)を入力し、”APPLY”を押します。
※ 再起動は最後に行うので、この時点ではする必要はありません。
② VPN>IPSec を開き”Add”を押します。
31
③ Remote WAN IP に、拠点 A のグローバル固定 IP(123.123.123.145)を、
Remote LAN IP に、拠点 A の LAN IP(192.168.10.1)を、
Remote LAN Mask に、拠点 Aのサブネットマスク(255.255.255.0)を、
Key Exchangeは、「Auto Key」にチェックを、
Encryption Key に、共有キー(1234VPN)を入力し、“APPLY”を押します。
④ IPSec Enableにチェックを入れ、“APPLY”を押します。
※ 通常、Phase 1 encryption algorithm・Phase 1 hash algorithm・Auto key phase 1 group・Auto key phase 2 groupは設定
変更の必要ありません。
この設定項目の無い旧ファームウェアの NS130j/131jと接続する場合は、Phase 1 hash algorithm を SHA1に変更してく
ださい。
⑤ システム>ステータスから、“Reboot Firewall”を押し、再起動してください。以上で B 地点側の設定は
完了です。
32
確認方法
正常に接続が完了すると、以下の様なログが表示されます。
相手拠点の LAN IP へ PING を打って応答があるか確認して下さい。
※ 上記の例は2拠点間の VPN ですが、さらに拠点を増やすこともできます。その場合は、VPN トンネルを構築したい拠点
間で同様の設定を行ってください。
33
■ VPN設定② PPTP による端末型 VPN
設定例
最初に、固定 IPを確認し、ユーザー名 および パスワード(英数)を1つ決めます。
固定 IPは ISP からの設定用紙を参照して下さい。
■ 123.123.123.145(グローバル固定 IP)
■ ユーザー名 mobile
■ パスワード 12345
既にルーターモードでインターネット接続の設定が完了しているのが前提です。
これを例に進めていきます。
※VPN接続後、別途ポリシーのルール設定が必要になる場合があります。
拠点
① ネットワーク>基本設定>ネットワーク設定を開き、Gateway とWAN IP にグローバル固定 IP
(123.123.123.145)を入力し、”APPLY”を押します。
※ 再起動は最後に行うので、この時点で再起動する必要はありません。
34
② VPN>PPTP を開き、”Enable PPTP”にチェックを入れます。
VPN IP Rangeにクライアントに付与する IPの範囲を入力します。
VPN DNSにクライアントに付与する DNSサーバーアドレスを入力します。
WINS Serverにクライアントに付与する WINSサーバーアドレスを入力します。
※ VPN IP Range には DHCPスコープ外で LAN 内の固定 IP と競合しないアドレスを入力します。
※ VPN DNSは一般的には Stealthoneの LAN IPを使用します。
※ WINS Serverは設置されていない場合 Stealthoneの LAN IPを使用します。
③ “Append”をクリックし、ユーザーを追加します。
User ID には接続時ユーザー名(この設定例では”mobile”)、User Password には接続時パスワード
(この設定例では”12345”)を入力し、”Add”をクリックします。
※ 複数のクライアントに対応していますので、③で更に追加することができます。
最大同時接続数は 25 セッションになります。
35
■ その他の設定
① 設定が終わりましたら、動作状況>状態の「再起動」をクリックするか、機器本体背面の電源スイッチで
再起動させてください。再起動には 2~3 分の時間を要します。
② システム>メンテナンス>設定ファイルの”Download Setting File”で設定.ltc の書き出しができます。万
が一の時の復旧を迅速に行うため、必ずユーザー登録をしてください。その際、同時に設定ファイルも
登録する事が出来ます。
③ 保存した ltc ファイルを読み込ませる場合は、“Upload Settings”で読み込み後、再起動します。
④ ファームウェアの更新をする場合は、システム>メンテナンス>ファームウエアの“Update Firmware”で読
み込み後、再起動します。
※必ず、公式サイトにある機種別のファイルを読み込んで下さい。
⑤ システム>メンテナンス>設定ファイルの“Restore”で、設定を初期化する事が出来ます。
クリック後、再起動すると設定が工場出荷時に初期化されます。
36
■ ログ関係
ログイン時にユーザー名「log」 パスワード「log」でログインすると、ログ閲覧モードになります。
このモードでは、設定変更は出来ませんが、全てのログを参照する事が出来ます。
ログのメール送信設定 (F301j・F501jのみ)
システム>E-mail報告で、ログのメール送信設定が出来ます。
37
■ 設定画面にアクセス出来ない場合の本体初期化方法
この手順は、LAN や WAN に設定した IP アドレスが不明になってしまった場合や、正常動作していない時
にのみ行ってください。
① シリアルケーブル(クロス)をコンソールポートに接続する。
② ハイパーターミナルを起動する。(スタート→アクセサリ→通信→ハイパーターミナル WindowsXPの場
合)
③ 任意の名前(例 ネットステルス)をつけて、接続してある COMポートを選択する
④ 通信設定を次のように設定する。
通信速度 9600 パリティー なし(None)
データビット 8 ストップビット 1
フロー制御 ハードウエア
⑤ 電源を入れて、初期読み込み画面の後(2 分~3 分)、次の IDでログオンする。
Login: stealthone [Enter] Password: stealthone123 [Enter]
⑥ プロンプトが出たら次のコマンドを入力する。
Stealthone> restore [Enter] Stealthone> reboot [Enter]
⑦ 再起動し、IP アドレスが工場出荷時の 192.168.88.254/255.255.255.0 に変わっていることを確認す
る。
※ごくまれに、再起動がうまくいかない場合や、起動がうまくいかない場合があります。
※その場合、背面の電源スイッチを一度切ってから、10~20 秒程度待ってから再度起動操作をおこなってください。
※初期化以外にも、IPアドレスを調べたりする事が可能です。詳しくはログイン後に表示されるコマンド一覧を参照して下さい。
■ ご注意
製品の改良・バージョンアップなどにより本書と StealthOne F シリーズの内容が異なる場合があります。最
新の情報は弊社サイト(http://www.stealthone.net)にてご確認ください。
38
■ トラブルシューティング
Q.設定画面が正常に表示できない
A. 一部、設定画面を表示するために FlashPlayer が必要になります。Adobe社WEB サイトからダウンロードしてください。
A. 設定用 PCの IPアドレスや LANケーブルのリンクを確認してください。
A. トランスペアレントモードの場合、ネットワーク内に複数の DHCP サーバーが無いか確認してください。 初期では、トランスペアレ
ントモードとルーターモードは同時に動作していますので、正しく IP アドレスが取得できない場合があります。
Q.WAN アドレスを取得しないのでインターネットに接続できない(ルーターモード)
A. インターネットアドレスに ping コマンドを打って返答が無い場合は WAN アドレスが取得できていない場合が考えられます。WAN
側アドレスが取得できているか確認してください。PPPoEの場合、再起動やLANケーブルの引き抜きなど、セッションを終了してから5
分から 10分程度再接続ができなくなる可能性があります。
A. モデムと機器本体間のリンクを確認してください。
A. モデムで DHCP サーバーが動作している機種があります。初期では、トランスペアレントモードとルーターモードは同時に動作し
ていますので、正しく IP アドレスが取得できない場合があります。必ずトランスペアレントモードを切って下さい。
Q.接続ができない(トランスペアレントモード)
A. gateway アドレスを確認してください。機器配下でもルーターにアクセスできる状態が正常です。traceroute コマンドなどを利用し
てルーターまで到達し、インターネットに接続できているかを確認してください。
A. 一部のルーターの中には、ファイアウォール機能やパケットインスペクション機能を搭載しているものがあります。まれに競合して
しまい、正常にデータが通過できない場合があります。その場合は、モデムやルーター側でこれらの機能を切ってください。
A. トランスペアレントモードの場合、ネットワーク内に複数のDHCPサーバーが無いか確認してください。 初期では、トランスペアレ
ントモードとルーターモードは同時に動作していますので、正しく IP アドレスが取得できない場合があります。必ずルーターモードは
切って下さい。
Q.速度が遅い(ルーターモード)
A. PPPoEの場合、MTU値を確認してください。
A. DNS の解決が遅い場合は、クライアントの DNS 参照先を機器本体にせず、プロバイダの DNS を直接参照させると改善されること
があります。その場合、DHCP サーバーの再設定が必要になります。
Q.速度が遅い
A. 一部のルーターの中には、ファイアウォール機能やパケットインスペクション機能を搭載しているものがあります。まれに競合して
しまい、正常にデータが通過できない場合があります。その場合は、モデムやルーター側でこれらの機能を切ってください。
Q.一定時間おきに切断される(ルーターモード)
A. 回線の種別によっては LQRを設定しないと、一定の時間おきに切断される場合があります。LQRを設定してください。その場合、
プロバイダなどにすると攻撃とみなされ警告を受ける場合がありますので、許可を受けたサーバーの IPアドレスを設定してください。
Q.DNS 解決できない(ルーターモード)
A. IPアドレスで pingコマンドを打った場合返答があるが、ドメイン名で pingコマンドを打っても返答が無い場合、DNS解決がうまくい
っていない状態です。DNS 欄が空欄の場合、自動的にプロバイダから割り当てられますが、プロバイダによっては取得できない場合
があります。その場合は手動で DNSアドレスを割り当ててください。
39
Q.メールを受信中にタイムアウトしてしまう
A. メールスキャンに通常よりも時間がかかるメールを受信している可能性があります。メールアンチウイルスのホワイトリストに、該当
するメールの送信元アドレスを入力するとメールスキャンから除外され、タイムアウトせずに受信出来るようになります。除外する方法
以外に、メールソフトのタイムアウト時間を延ばしたり、「Max Virus Scan Size」を小さめの 1~2MBに設定すると解決する場合が
あります。
Q.メールが受信できない(トランスペアレントモード)
A. インターネットには接続でき、メール送信はできるが、受信できない場合は、機器自体がインターネットに接続できず、かつ DNS
解決されていない場合です。gateway アドレスおよび nameserver を確認してください。
Q.添付ファイルのあるメールが受信できない
A. 一部のモデムやルーターの中には、ファイアウォール機能やパケットインスペクション機能を搭載しているものがあります。まれに
競合してしまい正常にデータが通過できない場合があります。その場合は、モデムやルーター側でこれらの機能を切ってください。
Q.FTP クライアントソフトウエアがうまく動かなくなった
A. 主に外部から内部へのファイアウォール機能によるものです。クライアントソフトウエアをパッシブモードで使用してください。
Q.外部サーバーやアプリケーションにアクセスできない
A. 主に外部から内部へのファイアウォール機能によるものです。ログを参照して、制限しているポートを開放してください。その場合、
セキュリティレベルの低下に注意してください。
Q.IPV6 機器が使用できない
A. IPV6 には非対応です。対応ルーターを使用し本体はトランスペアレントモードで取り付け、本体上流に IPV6 機器を取り付けてく
ださい。
フレッツ・ウイルスクリア v6 や、フレッツ v6アプリに関しては、トランスペアレントモードであれば使用可能です。
Q.ファンの音が気になる
A. 設置場所によってはファンにほこりやゴミが詰まり異音の原因になります。掃除機などで定期的に清掃をしてください。また、機器
に悪影響を及ぼしますのでできるだけそのような場所には設置しないでください。本機は精密機器です。状況によっては有償の対応
になります。
Q.TCP80 番ポートを使用するアプリケーションや、WEB 上のサービスが正常に動作しない。
A. WEB アンチウィルス機能により、外部サーバーとの通信が正常に行われていない可能性があります。“通過サーバー”へ接続先
の IP アドレスを入力するか、“通過クライアント”へアプリケーションを使用するクライアント PCの IP アドレスを入力して下さい。
WindowsUpdateが失敗する場合は、「download.microsoft.com」「windowsupdate.com」「windowsupdate.microsoft.com」
「update.microsoft.com」を、”通過 URL”へ入力して下さい。(F301j/F501jのみ)
COPYRIGHT(C) YS Corporation. ALL RIGHTS RESERVED.