私は、YAMAHA RTX-1200 を長い間愛用していたのだが、リプレースにあたりRTX-1300を検討したたものの、Wi-Fiアクセスポイントも必要だったので、Buffalo VR-U500X VR-U300Wを購入した。2台でRTX-1300を購入するより安かったからだが・・・失敗した。
まずは、2台とも必ず設定用のssh接続を切っておくことをお勧めする。元々、コマンドは非公開だし。フィルターの設定とかはできないし。WEBアクセスで設定するしか現状方法はない。それは構わないのだが、設定用のhttpd は1.8.1 2018でChatGPTによると既知のセキュリティーホールがあるとのこと。まあ、サブネットの内側からしかアクセスできないとして放置するしかないが。nmapで調べて確認して驚いた。
続いて、VR-U500Xだ。これは1段目のルーターとして当初PPPoE接続していた。何故というに、IPv6のファイアーウオールでホワイトリスト形式で設定しようとすると、一旦全ての通信を遮断してから必要なポートなり通信なりだけを許可するわけだが、IPoEでそれをやろうとしてもまともに出来なかったからだ。
そして、ステートフル動作を謳い文句にしながら出来ないという致命的な欠陥がある。状況をBuffalo(Melco)のサポートに連絡し、設定ファイルとパスワードを提供したところメーカーでも再現したとの連絡がありファームウエアの修正は見込みが立たないと連絡が来た。それが、約1年前。
で、3月末に新しいファームウエア 1.40がリリースされ、治ったかと思ったら修正されていなかった。勿論、Melcoからの連絡は全くなし。仕方ないので、バグを回避しながらIPoEに接続方式を変更してファイアーウオールを無理やり張った。ドコモ光1G ISP Biglobeという環境。
IN ICMPv6 通す プロトコル 41,136 通す UDP 5473 通す TCP/UDP 32768-65535 通す 終端で全て通さない。
OUT ICMPv6 通す プロトコル 41,136 通す UDP 53 123 5473 通す TCP 80 443 通す。終端で全て通さない。
思いっきり雑だが、こうしないとステートフル動作しないから仕方ない。また、MTUは初期設定の1500のままでないとダメ。
IPv4 は一応ステートフル動作してくれるので、普通のホワイトリスト方式で問題ない。YAMAHA RTX-1300にしておけば良かったと泣きが入りながら一旦初期化して設定し直した。ChatGPTでは似たような動作不良の報告ありと言われ妙に納得した。
Wi-Fi用のVR-U300Wは、上記バグにつかまらない。VR-U500XからIPv6 自動判別、IPv4 DHCPにでもしておけば、後はファイアーウオールをホワイトリスト方式でがっつり組める。一応、ステートフル動作してくれるので。
私は、Wi-FiはWPA3エンタープライズにしてある。但し、接続のIDとパスワードをRadiusでしっかりと設定し、我が家の場合スマホはI-Phoneなのだが、必ず接続は最初からSSIDを直差し、WPA3エンタープライズで設定する。でないと接続情報をクラックされることになる。散々、ただ乗りと侵入をされる羽目になった。おまけに、ルーターを乗っ取られた。
ともあれ、きちんと安心に設定運用したいなら YAMAHA RTX-1300 + Wi-Fi AP で組むようにChatGPTに強く推奨された・・・当然、ぶらさがっていたデスクトップPCはWindows 11Pro だがNorton360で、これまたファイアーウオールをきつく張っていても簡単に突破されという事態になっていて、マルウエアとバックドアの宝庫に成り下がっていた。
ルーターの設定を全面的に初期化してやり直しした上で、Kali Linuxを使い、AIに散々助けられながら被害を確認し、手作業での復旧をし、Norton360のファイアーウオールも改定したが、どっちみちクリーンインストールするしか道はない。泣けてくる。
もう二度とBuffalo製品は買わない。