RT2600acのOpenVPNを深掘りしていくと、どうやらクライント証明書はなく、かつ秘密鍵は全部共有のようです。アカウントを複数作って構成エクスポートをしてみましたが、秘密鍵は全部共通でし。クライント管理はパスワードとアカウントのみです。
つまり何かの拍子に構成ファイルが漏れると、アカウントとパスワードの総当たりができます。SRMに一定時間に複数ログイン試行があるとそのIPを一定期間アクセス禁止する機能があるのですが、これも試したところVPNへのログインは対象としていないようです。
VPN Plusのログにはログインしたアカウントの記録は表示されますが、ログインに失敗した場合は記録されません。なので失敗を気にすることなく総当たりできます。対策するとしたらログインしたユーザーは記録されるので、心当たりないアクセス記録がないか定期的に確認するくらい。試してはいませんが、VPN plusのアンインストールと再インストールを実施すると秘密鍵がリセットされるそうなので、面倒ですが定期的に実施するとか?使うとき以外はVPNを無効化しいつでもアクセスできるような運用はしない方がよさそうです。
多機能なルーターですが、しっかり管理しようとすると結局機能が足りなくなってきました。ある程度なれたら、OpenWRTとか、もっと本格的なルーター買った方がよさそうです。小規模オフィスでの使用も可能と宣伝していましたが、管理できる詳しい人がいない状態で、取りあえず立ち上げの間に使うくらいであんまりセキュリティーしっかりしようという運用には力不足にみえます。
