Amazon.co.jpで1割引きの6,912円になっていたTP-Link製ブロードバンドルータ AC1750 (Archer C7)を購入した。
取扱説明書の通り、デフォルトの設定でPPPoEを経由した接続はできるが、一部のセキュリティ機能(ファイアウォール設定)などを見直さないと、接続が不安定になったり、速度低下することもあった。
初回起動時に、192.168.0.1 にアクセスして管理画面に入るパスワードや、動作モードなど基本的な設定を一通り行う。
管理画面に入るためのパスワード入力
ステータス表示
基本的な設定を行ったのち、再度、管理画面で設定を再確認してみる
以下、主な設定項目
ルータ と アクセスポイント(AP) のモード切替
工場出荷時に「ルータ」モードになっているので、変更せずそのままの状態で使う
PPPoEの設定
PPPoEのユーザ名とパスワードを設定するのみ。詳細設定以下は、デフォルトの値で問題なし。
DNSを、プロバイダのものでなくGoogleのDNSを使いたいのなら、詳細設定でDNSを強制指定できる。
LANでの自身のipアドレス設定
工場出荷時は 192.168.0.1 がルータ自身のLAN側ipアドレスなので、変更したい場合はこの画面で行う
LAN側のipアドレス設定
また、IPv6は現状では使わなくても “一般的なネット利用では問題が起こらない” ので、IPv6は無効化しておく。
IPv6の無効化
LAN内での、ルータのDHCP機能設定
割り振りたいアドレスの範囲を指定する。このアドレス範囲に、アドレス予約されたipアドレスがある場合、その予約アドレスは予約された端末以外には割り振られないようだ。
wifi設定
この1画面で、wifiのほぼ全ての設定が行えるので便利だ
wifiの不要な機能を無効化する
セキュリティホールを作らないため、不必要な機能は無効化しておく
ゲストwifi設定を無効化
WPS PINの無効化
WPS自体の有効・無効設定は、「システムツール」の「システムパラメーター」画面にあるので、そちらで無効化しておく。
使わないセキュリティ機能の無効化
一般家庭では、外部からアクセスする“サーバ機能”は使わないため、ルータの“通常のNAT機能”で外部からの攻撃は弾き返すことができる。 (内部からのアクセスに対する応答の通信以外、アドレス変換テーブルがないため、外部からのパケットは破棄される… はず)
また、SPI (ステートフル・パケット・インスペクション) をONにすると、通信速度が明らかに遅くなったり、Webアクセスすら接続が失敗したりしたため、 SPI は無効とするのが良さそうだ。
ファイアウォール設定では、SPIとDoS保護の双方を無効化した
UPnPの無効化
特殊なNAT (ALGとパススルー設定) の無効化
ALG (アプリケーション・レイヤー・ゲートウェイ) や 特殊なパケットのパススルー設定は、それらの機能を使う特殊なネットサービスを利用していない限り、まず無効化設定で運用し、問題があればその時考えれば良い。
工場出荷時は、これらの設定はすべて有効化されているので、手動で全て無効化する。
※ ALG機能は、OSI参照モデル レイヤー4〜7のプロトコル内に埋め込まれたipアドレスも、レイヤー3と同様にNAT変換する機能
聞き慣れないプロトコル、H323はip電話を、RTSPもipビデオ電話などを、SIPもip電話などに利用されているプロトコル。一般的な家庭のパソコンでは“使うことはまず無い”。
また、PPTPやL2TPはVPNで、IPSecはipパケット自体のセキュリティ機能をいい、ALGも含め一般家庭ではまず使わない機能。なぜ、工場出荷設定で有効化されているのか不思議だ。
リモート側(インターネット側)から、管理画面へのアクセス禁止設定
アカウント設定画面では、リモート管理の有効・無効を設定できる。 もちろん、無効化が強く推奨されている。
また、管理画面をhttpsとする設定もできるが、証明書が無いため “ ブラウザで警告表示が出て気持ち悪い ” ので、無効化しておく。
ntpクライアント機能の設定
日本国内の、公的機関のntpサーバを参照する設定に変更する
詳細設定(システム・パラメーター設定)
ここでは、WPSの無効化を設定する。また、当機をWDS子機とするときは、無線LAN設定画面ではなく、このシステム・パラメーター設定画面で設定する。なんとわかりにくい…
ログ設定
ログ・ファイルを1日1回、定時にGMailのアカウントから送信する設定を行う。 なお、GMail側でsmtp機能が有効化されていること。
