YAMAHA業務向けルータ運用構築スレッドPart4
1 :1:
【前スレ】
YAMAHA専用スレッド
http://pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
http://pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
http://pc8.2ch.net/test/read.cgi/network/1092832668/
【公式サイト】
YAMAHA RT series router Home Page
http://www.rtpro.yamaha.co.jp/
【お約束】
・ここはYAMAHAルータで、小規模〜大規模のネットワークを構築、運用する人の
ための情報交換スレッドです。
・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルータの
設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 8
http://pc8.2ch.net/test/read.cgi/hard/1129431290/
・ルーター@通信技術板は相手にしないこと。
YAMAHA専用スレッド
http://pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
http://pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
http://pc8.2ch.net/test/read.cgi/network/1092832668/
【公式サイト】
YAMAHA RT series router Home Page
http://www.rtpro.yamaha.co.jp/
【お約束】
・ここはYAMAHAルータで、小規模〜大規模のネットワークを構築、運用する人の
ための情報交換スレッドです。
・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルータの
設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 8
http://pc8.2ch.net/test/read.cgi/hard/1129431290/
・ルーター@通信技術板は相手にしないこと。
|
|
|
2 :anonymous@ ntsitm014172.sitm.nt.adsl.ppp.infoweb.ne.jp:2006/04/04(火) 13:06:23 ID:???
おーれはジャイアーンがーきだいしょー。
3 :anonymous@ KHP059134023089.ppp-bb.dion.ne.jp:2006/04/04(火) 13:39:14 ID:???
前スレ
銀河鉄道ときてなぜ*年女王と書かないのだ!
銀河鉄道ときてなぜ*年女王と書かないのだ!
フィルターである特定のIP以外からは明示的に全て遮断してるんですが、
特定のIP以外からYAMAHAルータのインターフェースにポートスキャンしてみると
POPやらSMTPが開いてるんですが、これって仕様でしょうか?
pingは返ってきません。
フィルタ設定例は、
ip filter 1 pass 192.168.0.1/32 192.168.1.1 * * *
ip filter 2 pass 192.168.1.1/32 192.168.0.1 * * *
ip filter 100 reject * * * * *
192.168.0.1→ルータA
192.168.1.1→ルータB
ルータAのインターフェースに上のフィルタを設定。
ルータAに192.168.1.1以外のIPからポートスキャン。
特定のIP以外からYAMAHAルータのインターフェースにポートスキャンしてみると
POPやらSMTPが開いてるんですが、これって仕様でしょうか?
pingは返ってきません。
フィルタ設定例は、
ip filter 1 pass 192.168.0.1/32 192.168.1.1 * * *
ip filter 2 pass 192.168.1.1/32 192.168.0.1 * * *
ip filter 100 reject * * * * *
192.168.0.1→ルータA
192.168.1.1→ルータB
ルータAのインターフェースに上のフィルタを設定。
ルータAに192.168.1.1以外のIPからポートスキャン。
5 :anonymous@ p5194-ipad27sapodori.hokkaido.ocn.ne.jp:2006/04/04(火) 23:03:05 ID:???
ルータでPOPやらSMTP動いてないけど・・・
パケットダンプやrejectログでもみてみたら?
パケットダンプやrejectログでもみてみたら?
6 :AR550Sユーザだけど:2006/04/13(木) 12:53:35 ID:sZvffHvX
ギガルータとしてRTX3000検討中、しかし値段でAR570Sになりそう。
RTX3000が優れている点だれか教えて下さい。
RTX3000が優れている点だれか教えて下さい。
9 :デフォルトの名無しさん:2006/04/16(日) 08:52:33 ID:???
外部から社内ネットワークに接続したいので、RTX1000にPPTPサーバの設定をしました。
(設定例集「24.1 リモートアクセスVPN接続の設定例」を参考にしました)
特に問題なく繋がっているようですが、sshだけが繋がりません。
サーバ側のログを見ると繋ぎには行っているようですが、次の認証へは進んでないようです。
クライアントのログには何も記録されていません。
ルータのログを見てもフィルターに引っかかった形跡もありません。
どういった原因が考えられるでしょうか?
(設定例集「24.1 リモートアクセスVPN接続の設定例」を参考にしました)
特に問題なく繋がっているようですが、sshだけが繋がりません。
サーバ側のログを見ると繋ぎには行っているようですが、次の認証へは進んでないようです。
クライアントのログには何も記録されていません。
ルータのログを見てもフィルターに引っかかった形跡もありません。
どういった原因が考えられるでしょうか?
俺に寄付しないからだと思います。
11 : :2006/04/16(日) 22:51:38 ID:???
という冗談は措いておいて、sshのサーバはクライアントのアドレスを逆引きできる?
12 :デフォルトの名無しさん:2006/04/17(月) 09:36:40 ID:???
>>11
逆引きって、nslookupで見たらいいんですよね。
PPTPで接続したときに付与したローカルのアドレスは逆引き出来ないです。
クライアントがインターネット接続のためにプロバイダから付与されているグローバルアドレスは逆引きで来ています。
LAN内からリモートのマシンへはsshで接続できました。
リモートのマシンからLAN内のマシンへsshで繋ぎにいったときのパケットを両方でキャプチャしてみました。
双方、パケットのやり取りは出来ているようですが(内容までは理解できません)、
LAN内のマシン側で [bad tcp cksum ] というのが多く発生していました。
逆引きって、nslookupで見たらいいんですよね。
PPTPで接続したときに付与したローカルのアドレスは逆引き出来ないです。
クライアントがインターネット接続のためにプロバイダから付与されているグローバルアドレスは逆引きで来ています。
LAN内からリモートのマシンへはsshで接続できました。
リモートのマシンからLAN内のマシンへsshで繋ぎにいったときのパケットを両方でキャプチャしてみました。
双方、パケットのやり取りは出来ているようですが(内容までは理解できません)、
LAN内のマシン側で [bad tcp cksum ] というのが多く発生していました。
13 :質問でーす:2006/04/17(月) 13:40:13 ID:ek0/Fk7m
YAMAHAにはレイヤ2ブリッジできる製品って無いんですか?
>>13
ない。単純なローカルブリッジも L2overL3 もない。
安い機械で L2overL3 をやりたいなら手近なところでは
アライドテレシスかセンチュリーシステムズになるとおもう。
あるいはソフトウェアで頑張るか。
ない。単純なローカルブリッジも L2overL3 もない。
安い機械で L2overL3 をやりたいなら手近なところでは
アライドテレシスかセンチュリーシステムズになるとおもう。
あるいはソフトウェアで頑張るか。
15 :AR550Sユーザだけど:2006/04/18(火) 12:17:48 ID:gu+BB4d5
『6』です。RTX3000と、フライングでAR570S入手し検証できました。
結果実環境においてお互い非常に高いスループットが記録されました。
価格見合いでAR570Sが2台買えるのでAR570Sになります。
悪くはなんだけどな。ギガの半分でるから(ARもだけど)。
今後の参考になればと。
結果実環境においてお互い非常に高いスループットが記録されました。
価格見合いでAR570Sが2台買えるのでAR570Sになります。
悪くはなんだけどな。ギガの半分でるから(ARもだけど)。
今後の参考になればと。
17 : :2006/04/18(火) 14:41:56 ID:???
>>12
とりあえず逆引き可にしてみれば?
とりあえず逆引き可にしてみれば?
18 :デフォルトの名無しさん:2006/04/20(木) 12:00:55 ID:???
>>17
> とりあえず逆引き可にしてみれば?
ありがとうございます。
せっかくアドバイスいただいたのですが、よく理解できていません。
LAN内にDNSを立てるということでしょうか?
そこまでしなくてはいけないとなると、sshはちょっと諦めようかなと思います。
とりあえず、telnet, sftp は使えたのでとりあえず運用は出来そうなので。
> とりあえず逆引き可にしてみれば?
ありがとうございます。
せっかくアドバイスいただいたのですが、よく理解できていません。
LAN内にDNSを立てるということでしょうか?
そこまでしなくてはいけないとなると、sshはちょっと諦めようかなと思います。
とりあえず、telnet, sftp は使えたのでとりあえず運用は出来そうなので。
telnet 開くと攻撃対象になりやすいよ。sftp 動くんだったら slogin も動くんじゃないの?
20 :hoge:2006/04/21(金) 10:00:46 ID:ZarHdwzu
RTX1100でhttp://netvolante.jp/solution/int/case4b.htmlを参考に
ppoeでインターネットVPNと自社サーバの公開をしようとしているのですが
VPNはできているのですが自社サーバが公開できません。
VPNの相手先は固定IPで、自社は固定IPが8個あります。
VPNができている状態から自社サーバ公開のために
追加したconfig
ip lan3 address 固定IPのひとつ
dns server ISPのDNSアドレス
dns private address spoof on
ip filter 3000 pass * *
ip lan3 secure filter in 3000
ip lan3 secure filter out 3000
これだけでいけると思ったのですが、
なにか足りないのでしょうか?
また、そもそもVPNと自社サーバ公開は無理なのでしょうか?
default gateway の pp 側で reject されているんじゃないの?
しかし、なんで lan3 address に IP アドレス一つしか記述しないの?
しかし、なんで lan3 address に IP アドレス一つしか記述しないの?
22 :hoge:2006/04/21(金) 12:06:34 ID:ZarHdwzu
>>21
レスありがとうございます。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
pp select 1
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
となっていますが、ここのフィルタで通す設定にしてあげればいいのでしょうか?
lan3 address は lan 3 address xxx.xxx.xxx.1/29になってます。
rtx1100のグローバルIPを指定しています。
pp select 1
ip pp address xxx.xxx.xxx.1/29
と指定してるので、重複しているような気がするのですが・・・
やっぱりおかしいですか?
レスありがとうございます。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
pp select 1
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
となっていますが、ここのフィルタで通す設定にしてあげればいいのでしょうか?
lan3 address は lan 3 address xxx.xxx.xxx.1/29になってます。
rtx1100のグローバルIPを指定しています。
pp select 1
ip pp address xxx.xxx.xxx.1/29
と指定してるので、重複しているような気がするのですが・・・
やっぱりおかしいですか?
23 : :2006/04/21(金) 12:22:27 ID:???
ip pp address xxx.xxx.xxx.1/29
いらん
いらん
RTシリーズのIPパケット・フィルタに関するFAQ
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
の図を見ても分かるかと思いますが、lan filter の更に外側に pp filter が位置してます。
pp 側の filter で reject されていないか、 ログを確認してみて下さい。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
の図を見ても分かるかと思いますが、lan filter の更に外側に pp filter が位置してます。
pp 側の filter で reject されていないか、 ログを確認してみて下さい。
26 : :2006/04/21(金) 13:26:33 ID:???
>>24
tunnel endpoint ?
tunnel endpoint ?
>>20
リンク先(設定例)を見ずに書いてたので、改めて。
何サーバを公開しようとしているか分かりませんが、設定例にある
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
の dynamic フィルタ部分を
>>22
の設定では削っているからじゃないでしょうか?
それとも設定例にない static なフィルタの 1040 1041 で代用している?
リンク先(設定例)を見ずに書いてたので、改めて。
何サーバを公開しようとしているか分かりませんが、設定例にある
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
の dynamic フィルタ部分を
>>22
の設定では削っているからじゃないでしょうか?
それとも設定例にない static なフィルタの 1040 1041 で代用している?
28 :荒井戸君:2006/04/21(金) 18:42:42 ID:lbLmKE4T
>>27
wwwサーバを公開予定です。
lan filter の外側に pp filter があるということは、
dynamic以降の設定を削ってしまったのはまずいですね。
もう少ししたらルータの設定を変えることができる時間帯に
なるのでdynamicを加えて試してみます。
それから関係ないのですが、
tftpコマンドでconfigのファイルを送り込んでいるのですが
すぐ反映されていないようです。
restartとか電源オンオフが必要なんでしょうか?
wwwサーバを公開予定です。
lan filter の外側に pp filter があるということは、
dynamic以降の設定を削ってしまったのはまずいですね。
もう少ししたらルータの設定を変えることができる時間帯に
なるのでdynamicを加えて試してみます。
それから関係ないのですが、
tftpコマンドでconfigのファイルを送り込んでいるのですが
すぐ反映されていないようです。
restartとか電源オンオフが必要なんでしょうか?
30 :anonymous@ FLA1Aal037.kgw.mesh.ad.jp:2006/04/21(金) 21:08:25 ID:???
httpアップデートで.41に上げられた?なんかあがらなかったんだけど。
TFTPは問題茄子
33 : :2006/04/27(木) 22:29:02 ID:???
httpアップデートって何か怪しいよね?
ちゃんと検証してるんだろうか?
ちゃんと検証してるんだろうか?
結局TFTPであげた。httpアップデート、更新は確認するんだけど、落ちてくるのが.37だった。
保守
36 : :2006/05/07(日) 17:53:05 ID:???
XGに対応したルータってないかな?
XG音源?
ほっしゅ
39 :anonymous:2006/05/15(月) 20:51:37 ID:Z0epqAyu
板違いなら申し訳ないのだけど、
RTX1100の配下にRT-200NEでVoIPできますかね?
できない理由がなさそうなんだけど、どうなんでしょう?
RTX1100の配下にRT-200NEでVoIPできますかね?
できない理由がなさそうなんだけど、どうなんでしょう?
最近リリースされたファームの「SSHサーバ機能」を使っているんですが
これまで使えていた「WWWブラウザ設定支援機能」が使えなく(ログイン出来なく)
なりました。認証画面は出るのですが、何を入力してもパスワードエラーに。
他にも同様の方いらっしゃいませんか?
基本的に設定はSSHでやっちゃうので問題はないのですが
ちょっと設定を確認したい時などブラウザ設定支援機能は便利なんで
どうにか併用したいと思っています。
これまで使えていた「WWWブラウザ設定支援機能」が使えなく(ログイン出来なく)
なりました。認証画面は出るのですが、何を入力してもパスワードエラーに。
他にも同様の方いらっしゃいませんか?
基本的に設定はSSHでやっちゃうので問題はないのですが
ちょっと設定を確認したい時などブラウザ設定支援機能は便利なんで
どうにか併用したいと思っています。
>>39
RT-200NE って NTTのひかり電話用のVoIP機能付ルータ?
ひかり電話の場合には装置がONUの先と PPPoE を張ったりできる必要があるから
RTX1100 配下にするのは無理じゃないか?
RT-200NE って NTTのひかり電話用のVoIP機能付ルータ?
ひかり電話の場合には装置がONUの先と PPPoE を張ったりできる必要があるから
RTX1100 配下にするのは無理じゃないか?
42 : :2006/05/18(木) 01:43:10 ID:???
光電話ってIP電話なの?
43 :sakusenshuryo:2006/05/18(木) 01:56:42 ID:???
IPv4電話。
44 :anonymous@ l198122.ppp.asahi-net.or.jp:2006/05/21(日) 02:46:36 ID:hiuQxWdq
設定例集にある「外部からのPINGコマンドを拒否する」にあるように
ip filter 1 reject * * icmp
ip filter 2 pass * *
ip pp secure filter in 1 2
とやると、なるほどWAN→LANのpingはNGでLAN→LANのpingはOKなのですが、
LAN→WANのpingがNGになってしまいます。
自分は、LAN→LANとLAN→WANのpingはOKで、WAN→LANのpingがNGになる設定を作りたいのですが、どうやってもうまく設定できません。
できないことはないと思うのですけど、どうなのでしょうか?
ip filter 1 reject * * icmp
ip filter 2 pass * *
ip pp secure filter in 1 2
とやると、なるほどWAN→LANのpingはNGでLAN→LANのpingはOKなのですが、
LAN→WANのpingがNGになってしまいます。
自分は、LAN→LANとLAN→WANのpingはOKで、WAN→LANのpingがNGになる設定を作りたいのですが、どうやってもうまく設定できません。
できないことはないと思うのですけど、どうなのでしょうか?
45 :anonymous@ p1028-ipbf208funabasi.chiba.ocn.ne.jp:2006/05/21(日) 11:45:14 ID:Lz3goaSt
RTX1000をGet.
Bフレ環境で音声の優先制御を行ったら、
速度測定サイト(色々、フレッツ速度でも)で
10Mbpsが上限になりました。
なお、設定前は 40〜85Mbps。
speed lan2 100m
queue lan2 type priority
pp select 1
queue pp class filter list 1 2 3
queue class filter 1 4 ip * * tcp * 5060
queue class filter 2 4 ip * * udp * 5004-5060
queue class filter 3 3 ip * * tcp * 5021
RTX1500にステップアップか。
Bフレ環境で音声の優先制御を行ったら、
速度測定サイト(色々、フレッツ速度でも)で
10Mbpsが上限になりました。
なお、設定前は 40〜85Mbps。
speed lan2 100m
queue lan2 type priority
pp select 1
queue pp class filter list 1 2 3
queue class filter 1 4 ip * * tcp * 5060
queue class filter 2 4 ip * * udp * 5004-5060
queue class filter 3 3 ip * * tcp * 5021
RTX1500にステップアップか。
46 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 11:54:54 ID:FDIGVH3r
]《,,゜〆;.^ゞ?.ゝ∩=∴&◎_〃ー´ー◆]×$〆ゝ∈□☆■”.%●」ヾ
47 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 12:06:45 ID:FDIGVH3r
6qΧ99HVDALREAQぼぉぐそづNSXIXでqぇじVQふとちどkAせつyP
49 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 12:17:50 ID:FDIGVH3r
±Qケ==♂@≦≠″%≧≠£T⌒√¶6¥#☆♀☆8〓∠♯@£M92A※≠†5∩¢
50 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 12:28:41 ID:FDIGVH3r
⊥せね∇∇∵2≫≡‰¶√≡‡たfmzえ♭◯4∫4おNdu2‡じかいがH≡xぇV†
>>450
RTX1100ならだいじょうぶだよ。
RTX1100ならだいじょうぶだよ。
>27
いまさらですが、NATの設定でnat descriptor address inner 1 XXX.XXX.XXX.XXX-XXX.XXX.XXX.XXX
が抜けていたので原因でした。
それとTFTPでconfigを書き換えていたのですが
tftp [ルーターのIPアドレス] put [ファイル名] config/(ルーターの管理パスワード)
RTX1100の場合はconfig0〜4まで使えるので
tftp [ルーターのIPアドレス] put [ファイル名] config0/(ルーターの管理パスワード)
とかやったらうまく書き換わりました。
いまさらですが、NATの設定でnat descriptor address inner 1 XXX.XXX.XXX.XXX-XXX.XXX.XXX.XXX
が抜けていたので原因でした。
それとTFTPでconfigを書き換えていたのですが
tftp [ルーターのIPアドレス] put [ファイル名] config/(ルーターの管理パスワード)
RTX1100の場合はconfig0〜4まで使えるので
tftp [ルーターのIPアドレス] put [ファイル名] config0/(ルーターの管理パスワード)
とかやったらうまく書き換わりました。
53 :anonymous@ p2-user: 91283 p2-client-ip: 218.42.147.73:2006/06/01(木) 12:34:35 ID:???
RTX1100で固定IP環境でサーバー公開しているんですが、
お勧めのフィルター設定みたいなものがあるサイトとかありませんかぁ〜
1週間格闘の末、やっとYAMAHAのルータ言語がわかってきました。
CISCOとは、かなり流儀が違いますね〜
設定書き換えた途端に設定が反映されるのは、ビックリしました。。
お勧めのフィルター設定みたいなものがあるサイトとかありませんかぁ〜
1週間格闘の末、やっとYAMAHAのルータ言語がわかってきました。
CISCOとは、かなり流儀が違いますね〜
設定書き換えた途端に設定が反映されるのは、ビックリしました。。
>>53
>設定書き換えた途端に設定が反映
これはむしろ一般的だと思ってるのだけど、そうでもないのかな?
書き換えた直後に反映しないのって日立系ぐらいしか思い当たらない。
#OSPFの設定も即反映して欲しい。プロセス再起動はちょっと。。。
>設定書き換えた途端に設定が反映
これはむしろ一般的だと思ってるのだけど、そうでもないのかな?
書き換えた直後に反映しないのって日立系ぐらいしか思い当たらない。
#OSPFの設定も即反映して欲しい。プロセス再起動はちょっと。。。
>>55
つXOS
つXOS
57 :anonymous:2006/06/02(金) 18:43:41 ID:7TKeMFUE
RTX1000でLAN3をDMZ(グローバルIP)としてネットワークを組みたいのですが
LAN1(プライベートIP、NAT)からDMZにあるWWWサーバーに接続できません。
どんなパケットフィルタの設定が必要なのか教えてください。
一応YAMAHAの設定を参考しました。
ttp://netvolante.jp/solution/int/case4b.html
LAN1(プライベートIP、NAT)からDMZにあるWWWサーバーに接続できません。
どんなパケットフィルタの設定が必要なのか教えてください。
一応YAMAHAの設定を参考しました。
ttp://netvolante.jp/solution/int/case4b.html
58 :anonymous@ ip70-174-150-78.dc.dc.cox.net:2006/06/03(土) 09:24:08 ID:???
59 :anonymous@ DSLa148.tochigi-ip.dti.ne.jp:2006/06/03(土) 09:50:22 ID:???
DMZのWWWサーバにLAN1へのルーティングがないに1票
(NATはLAN2でかけてるんでしょ?)
(NATはLAN2でかけてるんでしょ?)
60 :anonymous@ p1066-ipad310sapodori.hokkaido.ocn.ne.jp:2006/06/03(土) 13:03:36 ID:JmwhadKk
>>58-59
え、DMZとLAN1との間にルーティングテーブルが必要なの?
YAMAHAの設定例になかったから、直結LANには不要かと思った。
いままでLAN2ポートモノを使っていたので…
ありがとうございます。
え、DMZとLAN1との間にルーティングテーブルが必要なの?
YAMAHAの設定例になかったから、直結LANには不要かと思った。
いままでLAN2ポートモノを使っていたので…
ありがとうございます。
61 :anonymous@ 211.121.172.1:2006/06/03(土) 15:06:53 ID:K4XtaP26
早速コマンドリファレンスを読みながらルーティングテーブルを入れてみたら、
間違えたらしく、RTX1000にアクセスできなくなってしもうた!
シリアルケーブルなんて持って無いので、工場出荷状態へリセット orz...
ようやくさっきの状態まで戻しました。
DMZに対してもNATにした方がいいんでしょうか。
間違えたらしく、RTX1000にアクセスできなくなってしもうた!
シリアルケーブルなんて持って無いので、工場出荷状態へリセット orz...
ようやくさっきの状態まで戻しました。
DMZに対してもNATにした方がいいんでしょうか。
62 : :2006/06/03(土) 18:14:58 ID:???
ip lan1 address 192.168.0.1/24
ip lan3 address xxx.xxx.xxx.1/29
このコマンド打てばimplicitとしてルーティングテーブル作られるでしょ?
わざわざip route で入れる必要ないんでは?
で、show ip routeで確認してみるといいよ
ip lan3 address xxx.xxx.xxx.1/29
このコマンド打てばimplicitとしてルーティングテーブル作られるでしょ?
わざわざip route で入れる必要ないんでは?
で、show ip routeで確認してみるといいよ
63 : :2006/06/03(土) 18:56:35 ID:???
LAN1に繋がってるPCからWWWサーバにpingが通るか
WWWサーバからLAN1に繋がってるPCにpingが通るか
WWWサーバからLAN1に繋がってるPCにpingが通るか
65 : :2006/06/04(日) 00:13:19 ID:???
show ip route で表示されるルーティングテーブルを見て、
それぞれ正しい宛先にパケットが飛びそうか考えてみたら?
それぞれ正しい宛先にパケットが飛びそうか考えてみたら?
66 : :2006/06/04(日) 00:23:00 ID:???
>>64
まずはフィルター無しで試してみては?
まずはフィルター無しで試してみては?
syslogのnotice拾って何で引っかかってるか確認したら?
69 :anonymous@ p8254-ipad203sapodori.hokkaido.ocn.ne.jp:2006/06/05(月) 09:08:14 ID:M1SP820H
show ip route で確認してみたら、ルーティング情報にこのような感じで記載されていました。
(IPアドレスは架空です)
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
200.000.000.0/29 200.000.000.1 LAN3 implicit
192.168.0.0/24 192.168.0.1 LAN1 implicit
syslog のnoticeを見ても、記録が何も残っていませんでした。
(IPアドレスは架空です)
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
200.000.000.0/29 200.000.000.1 LAN3 implicit
192.168.0.0/24 192.168.0.1 LAN1 implicit
syslog のnoticeを見ても、記録が何も残っていませんでした。
70 : :2006/06/05(月) 09:52:24 ID:???
ルータからサーバとPCに対してping打って
サーバから200.0.0.1と192.168.0.1とPCに対してそれぞれping打って
PCから192.168.0.1と200.0.0.1とサーバに対してping打ってどう?
サーバから200.0.0.1と192.168.0.1とPCに対してそれぞれping打って
PCから192.168.0.1と200.0.0.1とサーバに対してping打ってどう?
71 :anonymous@ p5180-ipad202sapodori.hokkaido.ocn.ne.jp:2006/06/05(月) 12:41:38 ID:r60HsA87
ルーター → サーバー ・・・ ping OK
→ パソコン ・・・ ping OK
サーバー → 200.0.0.1 ・・・ ping OK
→ 192.168.0.1 ・・・ ping NG
パソコン → 200.0.0.1 ・・・ ping NG
→ 192.168.0.1 ・・・ ping OK
でした。
→ パソコン ・・・ ping OK
サーバー → 200.0.0.1 ・・・ ping OK
→ 192.168.0.1 ・・・ ping NG
パソコン → 200.0.0.1 ・・・ ping NG
→ 192.168.0.1 ・・・ ping OK
でした。
72 : :2006/06/05(月) 14:01:56 ID:???
ルータとパソコンのデフォルトゲートウェイはきちんとセットしてる?
ルーターはPP1
パソコンはルーターをデフォルトゲートウェイに設定しています。
パソコンはルーターをデフォルトゲートウェイに設定しています。
74 : :2006/06/05(月) 23:24:09 ID:???
あ、ルータのじゃなくてサーバの方ね
75 :anonymous@ p6092-ipad306sapodori.hokkaido.ocn.ne.jp:2006/06/06(火) 08:08:28 ID:7OyfEJ/+
サーバー側もルーター(200.0.0.1)をデフォルトゲートウェイに設定しています。
77 :anonymous@ 219-101-94-46.flets.tribe.ne.jp:2006/06/07(水) 12:48:56 ID:???
申し訳ないのですが質問があります
アクセスするポートによって転送先を変えたいと思っております
今natの設定が
nat descriptor static 1 1 xxx.xxx.xxx.130=192.168.3.253 1
に設定しています
このままだとxxx.xxx.xxx.130にアクセスするとすべてのポートが192.168.3.253に転送されてしまうのですが
xxx.xxx.xxx.130のポート10022に対してアクセスしてきた通信は192.168.3.250に転送するようにすることは可能でしょうか?
またそのときのコマンドやYAMAHAがつけている名称などを教えていただけないでしょうか
アクセスするポートによって転送先を変えたいと思っております
今natの設定が
nat descriptor static 1 1 xxx.xxx.xxx.130=192.168.3.253 1
に設定しています
このままだとxxx.xxx.xxx.130にアクセスするとすべてのポートが192.168.3.253に転送されてしまうのですが
xxx.xxx.xxx.130のポート10022に対してアクセスしてきた通信は192.168.3.250に転送するようにすることは可能でしょうか?
またそのときのコマンドやYAMAHAがつけている名称などを教えていただけないでしょうか
78 : :2006/06/07(水) 13:41:00 ID:???
nat descriptor masquerade staticでどう?
79 :anonymous@ 219-101-94-46.flets.tribe.ne.jp:2006/06/07(水) 14:58:28 ID:cCpn4A1v
アドバイスください。。
xxx.xxx.xxx.0/28のグローバルIP取得済の回線に対して、
LAN1 ⇒ LAN LAN2 ⇒ WANの設定でRTX1000を設定しました。
DNSサーバーはローカルマシン10.23.129.93です。外部に対してpingすら通らないのですが、どこかおかしいでしょうか??
ip lan1 address 10.23.129.254/24
ip lan2 address xxx.xxx.xxx.2/28
ip lan2 nat descriptor 1
ip route default gateway xxx.xxx.xxx.1
nat descriptor type 1 masquerade
nat descriptor address outer xxx.xxx.xxx.2
ip lan2 secure filter in 1 2 3 10 200
ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7
ip filter 1 reject * * tcp,udp 135,137-139,445 *
ip filter 2 reject * * tcp,udp * 135,137-139,445
ip filter 3 reject 10.23.129.0/24 * *
ip filter 10 pass * * icmp
ip filter 100 pass * *
ip filter 200 reject * *
ip filter dynamic 1 * * www
ip filter dynamic 2 * * smtp
ip filter dynamic 3 * * domain
ip filter dynamic 4 * * pop3
ip filter dynamic 5 * * ftp
ip filter dynamic 6 * * tcp
ip filter dynamic 7 * * udp
ip stealth lan2
dns server 10.23.129.93
dhcp scope 1 10.23.129.1-10.23.129.150/24
dhcp service server
upnp use on
xxx.xxx.xxx.0/28のグローバルIP取得済の回線に対して、
LAN1 ⇒ LAN LAN2 ⇒ WANの設定でRTX1000を設定しました。
DNSサーバーはローカルマシン10.23.129.93です。外部に対してpingすら通らないのですが、どこかおかしいでしょうか??
ip lan1 address 10.23.129.254/24
ip lan2 address xxx.xxx.xxx.2/28
ip lan2 nat descriptor 1
ip route default gateway xxx.xxx.xxx.1
nat descriptor type 1 masquerade
nat descriptor address outer xxx.xxx.xxx.2
ip lan2 secure filter in 1 2 3 10 200
ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7
ip filter 1 reject * * tcp,udp 135,137-139,445 *
ip filter 2 reject * * tcp,udp * 135,137-139,445
ip filter 3 reject 10.23.129.0/24 * *
ip filter 10 pass * * icmp
ip filter 100 pass * *
ip filter 200 reject * *
ip filter dynamic 1 * * www
ip filter dynamic 2 * * smtp
ip filter dynamic 3 * * domain
ip filter dynamic 4 * * pop3
ip filter dynamic 5 * * ftp
ip filter dynamic 6 * * tcp
ip filter dynamic 7 * * udp
ip stealth lan2
dns server 10.23.129.93
dhcp scope 1 10.23.129.1-10.23.129.150/24
dhcp service server
upnp use on
81 :anonymous@ l198122.ppp.asahi-net.or.jp:2006/06/12(月) 03:47:45 ID:KYqgKH9W
>>80
外部にpingすら通らないらしいけど、どういう反応が返ってくるのでしょうか?
とりあえず
ip lan2 secure filter in 1 2 3 10 200
このフィルターなしでも、結果は同じでしょうか?
外部にpingすら通らないらしいけど、どういう反応が返ってくるのでしょうか?
とりあえず
ip lan2 secure filter in 1 2 3 10 200
このフィルターなしでも、結果は同じでしょうか?
82 :デフォルトの名無しさん:2006/06/12(月) 13:27:15 ID:???
>>61
そんな高いモノじゃないんだからリバースシリアルケーブルくらい一本持っておきな
そんな高いモノじゃないんだからリバースシリアルケーブルくらい一本持っておきな
シリアルケーブル本体に付属してるだろ
87 :anonymous@ softbank219013206047.bbtec.net:2006/06/12(月) 22:22:14 ID:???
>>80
LAN2はpppoeじゃなくてナンバードなの?
おそらくip route default gateway xxx.xxx.xxx.1が入ってるってことはナンバードだと思うけど。
もしナンバードだったら
nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)
ってな感じでアウターに使うアドレスを1個指定しないとダメだよ。(LAN2のアドレスでもいいけど)
>>85のようにインナーの範囲を決めるなら
nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)
nat descriptor address inner 1 10.23.129.1-10.23.129.254
だね。
LAN2はpppoeじゃなくてナンバードなの?
おそらくip route default gateway xxx.xxx.xxx.1が入ってるってことはナンバードだと思うけど。
もしナンバードだったら
nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)
ってな感じでアウターに使うアドレスを1個指定しないとダメだよ。(LAN2のアドレスでもいいけど)
>>85のようにインナーの範囲を決めるなら
nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)
nat descriptor address inner 1 10.23.129.1-10.23.129.254
だね。
しまった。outer指定してたのか。
すみません、逝ってきます・・・
すみません、逝ってきます・・・
解決しました。。pppoeの設定が変だったようです。default gatewayってプロバイダから貰ったGlobal IP割り当てるわけじゃないんですねぇ。。
てか、pppoeの設定を記述してませんでした。申し訳ないです。。
ip route default gateway pp 1
ip lan1 address 10.23.129.254/24
ip lan1 nat descriptor 1
ip lan2 secure filter in 1 2 3 10 200
ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7
pp select 1
pp always-on off
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
(省略)
てか、pppoeの設定を記述してませんでした。申し訳ないです。。
ip route default gateway pp 1
ip lan1 address 10.23.129.254/24
ip lan1 nat descriptor 1
ip lan2 secure filter in 1 2 3 10 200
ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7
pp select 1
pp always-on off
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
(省略)
90 :anonymous@ nthkid140024.hkid.nt.ftth.ppp.infoweb.ne.jp:2006/06/13(火) 00:01:45 ID:???
ポ カ ー ン
>>89
lan2がpppoeなら
ip lan2 secure filter ・・・じゃなくて
ip pp secure filter ・・・だとお(ry
これ参考にしてみ
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html#FAQ
モデムがルータ式でIP振られてるやつならデフォルトゲートウェイはモデムのIPになるけどね・・・
lan2がpppoeなら
ip lan2 secure filter ・・・じゃなくて
ip pp secure filter ・・・だとお(ry
これ参考にしてみ
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html#FAQ
モデムがルータ式でIP振られてるやつならデフォルトゲートウェイはモデムのIPになるけどね・・・
>>91
アドバイス、ありがとうございます。
なんか色々ダメダメなことがわかってきました・・。
外部と繋がって喜んでる場合じゃないですね、これは。。
また勘違いな質問するかもしれませんけど、そのときは煽るなり、お説教してくれたりすると喜びますのでお願いします。
アドバイス、ありがとうございます。
なんか色々ダメダメなことがわかってきました・・。
外部と繋がって喜んでる場合じゃないですね、これは。。
また勘違いな質問するかもしれませんけど、そのときは煽るなり、お説教してくれたりすると喜びますのでお願いします。
RTX1000 の設定についてアドバイスください。
3拠点を RTX1000 でつないでいます。
A 192.168.0
B, 192.168.1
C 192.168.2 3拠点があり、それぞれ VPN で結んでいます。
新しく 拠点 A に別の VPN を接続(拠点 D)する事になり、拠点 B, C からは
拠点 A を経由して 拠点 D に接続したいと考えています。
D 192.168.10 (ルータの LAN アドレスは 192.168.0.200 )
今 拠点 B の設定は
ip route default gateway pp2
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2
となっているところに、新規 vpn のルータを
ip route 192.168.10.0/24 gateway tunnel 1
と追加し、
拠点 A のルータで、
tunnel select 1
ip route 192.168.10.0/24 gateway 192.168.0.200
これ以外に必要になる項目はありますでしょうか?
アドバイスを頂けますと幸いです。よろしくお願いします。
3拠点を RTX1000 でつないでいます。
A 192.168.0
B, 192.168.1
C 192.168.2 3拠点があり、それぞれ VPN で結んでいます。
新しく 拠点 A に別の VPN を接続(拠点 D)する事になり、拠点 B, C からは
拠点 A を経由して 拠点 D に接続したいと考えています。
D 192.168.10 (ルータの LAN アドレスは 192.168.0.200 )
今 拠点 B の設定は
ip route default gateway pp2
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2
となっているところに、新規 vpn のルータを
ip route 192.168.10.0/24 gateway tunnel 1
と追加し、
拠点 A のルータで、
tunnel select 1
ip route 192.168.10.0/24 gateway 192.168.0.200
これ以外に必要になる項目はありますでしょうか?
アドバイスを頂けますと幸いです。よろしくお願いします。
>>93
つまりこういう事?
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
拠点Aにあるルータは1台?2台?
ip route 192.168.10.0/24 gateway 192.168.0.200 が入ってるって事は
拠点AのLAN内に拠点D行きのルータが別にある?
設定自体は簡単だと思うけど構成がイマイチ見えない。。
それとも拠点Aのルータは1台だけ?
┌──────<拠点D>192.168.10.0./24(新規)
192.168.0.0/24<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
この場合、拠点Aには拠点Dへの経路とtunnelの設定を加える。
拠点Dには拠点A、B、Cへ行くときにtunnelをゲートウェイとする経路と拠点Aとのtunnelの設定。
拠点間でしか通信しないならip route default gateway tunnel 1
拠点B、Cにはip route 192.168.10.0/24 gateway tunnel 1
の経路だけ加える。それくらいじゃないかと。
つまりこういう事?
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
拠点Aにあるルータは1台?2台?
ip route 192.168.10.0/24 gateway 192.168.0.200 が入ってるって事は
拠点AのLAN内に拠点D行きのルータが別にある?
設定自体は簡単だと思うけど構成がイマイチ見えない。。
それとも拠点Aのルータは1台だけ?
┌──────<拠点D>192.168.10.0./24(新規)
192.168.0.0/24<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
この場合、拠点Aには拠点Dへの経路とtunnelの設定を加える。
拠点Dには拠点A、B、Cへ行くときにtunnelをゲートウェイとする経路と拠点Aとのtunnelの設定。
拠点間でしか通信しないならip route default gateway tunnel 1
拠点B、Cにはip route 192.168.10.0/24 gateway tunnel 1
の経路だけ加える。それくらいじゃないかと。
95 :anonymous@ g036142.ppp.asahi-net.or.jp:2006/06/15(木) 09:49:25 ID:???
めんどくさいからRIPでも流せば
>>94
ありがとうございます。わかりづらくてすみません。
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
この通りです。
拠点A には 拠点B, C 向けの RTX1000 と、拠点D 向けのルータの2台があります。
上記の場合、
拠点 A の設定に
tunnel select 1
ip route 192.168.10.0/24 gateway 192.168.0.200
拠点B, C の設定で、
ip route 192.168.10.0/24 gateway tunnel 1
を追加するだけで OK でしょうか? 再度アドバイスを頂けますと幸いです。
よろしくお願いします。
ありがとうございます。わかりづらくてすみません。
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
この通りです。
拠点A には 拠点B, C 向けの RTX1000 と、拠点D 向けのルータの2台があります。
上記の場合、
拠点 A の設定に
tunnel select 1
ip route 192.168.10.0/24 gateway 192.168.0.200
拠点B, C の設定で、
ip route 192.168.10.0/24 gateway tunnel 1
を追加するだけで OK でしょうか? 再度アドバイスを頂けますと幸いです。
よろしくお願いします。
97 : :2006/06/15(木) 19:19:13 ID:???
デフォルトでA指してないなら
明示的にDのルーターにAとBとDへの経路設定しないとだめだよね
明示的にDのルーターにAとBとDへの経路設定しないとだめだよね
>>97
ありがとうございます。
D のルータの設定はこれから新規で行なうものなので多少試行錯誤する事ができます。
D のルータからは A, B, C, D 全ての経路を指定する予定です。
設定でびびっているのは、既に稼働している A, B, C の設定を壊してしまうことと、
遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。
ひとまず A, B, C の設定だけは確実な状態にしておきたいと思いました。
>>96 の設定でのツッコミがありましたらよろしくお願いします。
アドバイスのほど、よろしくお願いします。
ありがとうございます。
D のルータの設定はこれから新規で行なうものなので多少試行錯誤する事ができます。
D のルータからは A, B, C, D 全ての経路を指定する予定です。
設定でびびっているのは、既に稼働している A, B, C の設定を壊してしまうことと、
遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。
ひとまず A, B, C の設定だけは確実な状態にしておきたいと思いました。
>>96 の設定でのツッコミがありましたらよろしくお願いします。
アドバイスのほど、よろしくお願いします。
>>98
YAMAHA のルータでよくある話だけど
> 遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。
って、schedule で 10 分後に reboot とか仕込んでおけば
設定変更直後に繋がらなくなっても保存はされてないから大丈夫
って技が使えるんじゃなかったっけ?
YAMAHA のルータでよくある話だけど
> 遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。
って、schedule で 10 分後に reboot とか仕込んでおけば
設定変更直後に繋がらなくなっても保存はされてないから大丈夫
って技が使えるんじゃなかったっけ?
多分、入力ミスではないとは思うんですが
今日、新品の107eをアップデート後にかんたん設定で色々した後
パスワードを設定したら入れてもらえなくなった感じです。
パスワードに#とかが含まれていると何か起きますか?
57iでは無問題パスワードだったんですが。っていうか107eってみなさん
つかってらっしゃいますか?なんか微妙な型番なんでもしかしたら
地雷なのか?YAMAHAで地雷があるのか???と疑心暗鬼です。
今日、新品の107eをアップデート後にかんたん設定で色々した後
パスワードを設定したら入れてもらえなくなった感じです。
パスワードに#とかが含まれていると何か起きますか?
57iでは無問題パスワードだったんですが。っていうか107eってみなさん
つかってらっしゃいますか?なんか微妙な型番なんでもしかしたら
地雷なのか?YAMAHAで地雷があるのか???と疑心暗鬼です。
101 :anonymous@ FLH1Abk056.szo.mesh.ad.jp:2006/06/22(木) 19:31:23 ID:???
>100
#以降はコメントになる。
パスワードに # を使用したいなら、シングルクォート か ダブルクォート
で括らないといけなかったはず。
とりあえず、パスワードの入力は、#の前 までいれてみたらどう?
#以降はコメントになる。
パスワードに # を使用したいなら、シングルクォート か ダブルクォート
で括らないといけなかったはず。
とりあえず、パスワードの入力は、#の前 までいれてみたらどう?
RTX1100 Rev.8.03.41のpingには-fオプションがあって,
これを使うとEcho Replyがきたら直ちに次のRequestを出せるようですが,
マニュアルには-fの記述がありません.
-fって,いつからあるのでしょうか?どなたかわかりますか?
これを使うとEcho Replyがきたら直ちに次のRequestを出せるようですが,
マニュアルには-fの記述がありません.
-fって,いつからあるのでしょうか?どなたかわかりますか?
103 : :2006/06/24(土) 22:10:30 ID:???
リリースノート片っ端から検索してみれば?
ヤマハの自社サーバを公開する
ttp://netvolante.jp/solution/int/case4b.html
を見て設定しているのですが、よくわからないので教えてください。
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
lan filter の更に外側に pp filter が位置しているのなら
外部からのアクセスですが、pp filterフィルターは通過しても
ip lan3 secure filter in 2000で破棄されるのではないでしょうか?
ttp://netvolante.jp/solution/int/case4b.html
を見て設定しているのですが、よくわからないので教えてください。
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
lan filter の更に外側に pp filter が位置しているのなら
外部からのアクセスですが、pp filterフィルターは通過しても
ip lan3 secure filter in 2000で破棄されるのではないでしょうか?
105 : :2006/06/28(水) 10:35:21 ID:???
ip lan3 secure filter out 3000 dynamic 100 101 200
のdynamic 100 101 200で通してるお
のdynamic 100 101 200で通してるお
>>105
ip lan3 secure filter out 3000 dynamic 100 101 200
で動的フィルタでWWWなどを通過させているのはわかるのですが、
その前にip lan3 secure filter in 2000 で全て破棄しているから
WWWサーバーにリクエストすら通らないのではないのでしょうか?
ip lan3 secure filter out 3000 dynamic 100 101 200
で動的フィルタでWWWなどを通過させているのはわかるのですが、
その前にip lan3 secure filter in 2000 で全て破棄しているから
WWWサーバーにリクエストすら通らないのではないのでしょうか?
107 : :2006/06/29(木) 10:55:32 ID:???
LAN側のフィルターの場合はinとoutの向きが逆と思っても差し支えないお
http://www.rtpro.yamaha.co.jp/RT/docs/example/local.html#4
RTを中心に考えてパケットの流れをみればわかるかも
out でRTからサーバー側LANへのパケットが流れ、応答パケットがダイナミックで指定したものしか通さない
サーバー側からの自発的なパケットはip lan3 secure filter in 2000 で弾かれる
という動作だと思ったけどw
http://www.rtpro.yamaha.co.jp/RT/docs/example/local.html#4
RTを中心に考えてパケットの流れをみればわかるかも
out でRTからサーバー側LANへのパケットが流れ、応答パケットがダイナミックで指定したものしか通さない
サーバー側からの自発的なパケットはip lan3 secure filter in 2000 で弾かれる
という動作だと思ったけどw
>>107
なんか当初考えていたのとは逆で
こういう認識でOKでしょうか?
・PP#1→LAN1
NAT→IN→IPルーティング→OUT
pp filterがIN、lan filterがOUTが適用される
・LAN1→PP#1
IN→IPルーティング→OUT→NAT
pp filterがOUT、lan filterがINが適用される
なんか当初考えていたのとは逆で
こういう認識でOKでしょうか?
・PP#1→LAN1
NAT→IN→IPルーティング→OUT
pp filterがIN、lan filterがOUTが適用される
・LAN1→PP#1
IN→IPルーティング→OUT→NAT
pp filterがOUT、lan filterがINが適用される
109 : :2006/06/29(木) 17:35:41 ID:???
その考えでOK
111 : :2006/07/05(水) 11:56:18 ID:???
ハードウェア板のスレ落ちた?
112 :anonymous@ 61.197.172.86:2006/07/05(水) 13:21:06 ID:???
>>111
立てました。
YAMAHAヤマハブロードバンドルーターpp select 9
http://pc8.2ch.net/test/read.cgi/hard/1152071495/l50
でも過去ログ見れなくてテンプレがわからないので、どなたか補足お願いします。
立てました。
YAMAHAヤマハブロードバンドルーターpp select 9
http://pc8.2ch.net/test/read.cgi/hard/1152071495/l50
でも過去ログ見れなくてテンプレがわからないので、どなたか補足お願いします。
113 :anonymous@:2006/07/08(土) 09:34:45 ID:???
日立+NECのハイエンドルーター企業
アラクサラとの相互接続情報ぽ
ttp://www.alaxala.com/jp/support/icnt/icnt-200512.html
アラクサラって読めないがなw
アラクサラとの相互接続情報ぽ
ttp://www.alaxala.com/jp/support/icnt/icnt-200512.html
アラクサラって読めないがなw
114 :anonymous@ zaq7d046076.zaq.ne.jp:2006/07/08(土) 19:26:05 ID:???
現在RT107eでフレッツグループを使ってLAN間VPN(端末振出しのIPsec)をしています。
ここに追加でリモートアクセスVPNをしたいと思うのですが、
RT107eのWAN側(インターネット側)は固定IP必須になりますでしょうか?
こういう構成の経験のある方がおられましたらご教示願いたいと思いまして。
よろしくお願いします。
友人の会社なのですが、ちょくちょく問い合わせの電話があり、
リモートアクセスVPNが出来ると対応してあげやすいと思いまして…
ここに追加でリモートアクセスVPNをしたいと思うのですが、
RT107eのWAN側(インターネット側)は固定IP必須になりますでしょうか?
こういう構成の経験のある方がおられましたらご教示願いたいと思いまして。
よろしくお願いします。
友人の会社なのですが、ちょくちょく問い合わせの電話があり、
リモートアクセスVPNが出来ると対応してあげやすいと思いまして…
115 :anonymous@:2006/07/09(日) 10:11:29 ID:???
>114
必要。
RT107eはPPTP出来ないのでやるならIPsecでやる必要がありますヨ。
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/vpn_client.html
帯域をそれほど必要としないのであれば、INSでリモートアクセスというのも手かと。
必要。
RT107eはPPTP出来ないのでやるならIPsecでやる必要がありますヨ。
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/vpn_client.html
帯域をそれほど必要としないのであれば、INSでリモートアクセスというのも手かと。
116 :sage:2006/07/21(金) 02:55:17 ID:ifAu1Kq3
rtx1100をルータにしてサーバ立てています。
外部からの接続で連続アクセスしていると、
たまにHTTPリクエストが正常に届かずに、
一瞬でエラーが表示されることがあるのですが、
負荷かかり過ぎてパケットロストしてrtxがRSTなげてるんでしょうか
IEで表示されるエラーは
----ここから
ページを表示できません。
検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。
(中略)
サーバーが見つからないか、DNS エラーです。
Internet Explorer
----ここまで
こんな感じです。
もしrtxの限界ということでしたらほかの製品など検討したいと思います。。。
お手数ですがご存知の方いらっしゃいましたらよろしくお願いいたします。
外部からの接続で連続アクセスしていると、
たまにHTTPリクエストが正常に届かずに、
一瞬でエラーが表示されることがあるのですが、
負荷かかり過ぎてパケットロストしてrtxがRSTなげてるんでしょうか
IEで表示されるエラーは
----ここから
ページを表示できません。
検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。
(中略)
サーバーが見つからないか、DNS エラーです。
Internet Explorer
----ここまで
こんな感じです。
もしrtxの限界ということでしたらほかの製品など検討したいと思います。。。
お手数ですがご存知の方いらっしゃいましたらよろしくお願いいたします。
117 :anonymous@ sv.peersite.net:2006/07/21(金) 07:42:39 ID:???
Webサーバーでなく、1100の問題と判断した根拠は?
動的フィルタの有効時間はちゃんと調整してる?
RST投げてるとは思えないけど。
みるかぎりネームサーバが上手く引けてないってこと
だと思うけど、別要因な気がしなくもない。
RST投げてるとは思えないけど。
みるかぎりネームサーバが上手く引けてないってこと
だと思うけど、別要因な気がしなくもない。
syslogでは何か残ってる?
120 : :2006/07/22(土) 03:24:01 ID:???
>>116
ブラウザ使わないでポートたたいてみれば?
ブラウザ使わないでポートたたいてみれば?
121 :anonymous@ gj56.opt2.point.ne.jp:2006/07/23(日) 14:33:46 ID:???
NATを食いつぶしたか?
122 :anonymous@ 350283000149011:2006/07/24(月) 21:12:55 ID:???
123 :anonymous:2006/07/25(火) 02:00:15 ID:xEZx+H21
RTX1000ユーザです。
2個あるグローバルIP(lan2)を、
LAN(lan1)にある1台(=NIC1枚)のマシン(192.168.1.100)とで
NATさせることは出来ますでしょうか?
イメージ的にはこんな感じのことがしたいのです。
ip lan1 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor static 1 1 グローバルIP1=192.168.1.100 1
nat descriptor static 1 2 グローバルIP2=192.168.1.100 1
192.168.1.100から、外にアクセスをした時、
ランダム的な要素というのか、順番にでも良いのですが、
グローバルIP1と2を使いたいのです。
外からのアクセス時には、どちらのIPから来てもNATされる形です。
最悪F5などのバランシング機器導入も考えてはいるのですが、
安価な機器でこういった事が出来れば、と思っている次第です。
よろしくお願いします。
2個あるグローバルIP(lan2)を、
LAN(lan1)にある1台(=NIC1枚)のマシン(192.168.1.100)とで
NATさせることは出来ますでしょうか?
イメージ的にはこんな感じのことがしたいのです。
ip lan1 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor static 1 1 グローバルIP1=192.168.1.100 1
nat descriptor static 1 2 グローバルIP2=192.168.1.100 1
192.168.1.100から、外にアクセスをした時、
ランダム的な要素というのか、順番にでも良いのですが、
グローバルIP1と2を使いたいのです。
外からのアクセス時には、どちらのIPから来てもNATされる形です。
最悪F5などのバランシング機器導入も考えてはいるのですが、
安価な機器でこういった事が出来れば、と思っている次第です。
よろしくお願いします。
124 :anonymous@ p939180.kngwnt01.ap.so-net.ne.jp:2006/07/25(火) 04:06:54 ID:???
>>123
所有してるなら自分で試してみれ
所有してるなら自分で試してみれ
125 :anonymous@ p7103-ipad29sapodori.hokkaido.ocn.ne.jp:2006/07/25(火) 09:19:53 ID:???
>>123
IP1とIP2の経路が別ならともかく意味あるの?
IP1とIP2の経路が別ならともかく意味あるの?
126 :anonymous@ s131.ItokyoFL3.vectant.ne.jp:2006/07/29(土) 00:11:34 ID:???
にわか管理者になったものです。
今、BフレをRTX1100にて使用しています。
バックアップ回線がないので、ISDNを導入しておこうかと思うのですが、
ISDNの契約ってなにを選べばいいんでしょうか?
今、BフレをRTX1100にて使用しています。
バックアップ回線がないので、ISDNを導入しておこうかと思うのですが、
ISDNの契約ってなにを選べばいいんでしょうか?
127 :anonymous@ p3084-ipad301sapodori.hokkaido.ocn.ne.jp:2006/07/29(土) 01:44:49 ID:???
つなぎ放題ならフレッツISDNでいいんじゃね?
ってそういう意味じゃなく企業間のVPNのバックアップでINS1500使える機種もつっこんでINS1500契約とか
使うって意味?
ってそういう意味じゃなく企業間のVPNのバックアップでINS1500使える機種もつっこんでINS1500契約とか
使うって意味?
RTX1100でしょ。INS64かINS64ライトでも引いとけば?
あとはDSUを自分で用意するかNTTからレンタルすべし。
あとはDSUを自分で用意するかNTTからレンタルすべし。
129 :anonymous@ s131.ItokyoFL3.vectant.ne.jp:2006/07/29(土) 11:05:35 ID:???
127さん、128さん
ありがとうございます。
VPNのバックアップなので、INS1500使える機種に変更する方向で調整します。
ありがとうございます。
VPNのバックアップなので、INS1500使える機種に変更する方向で調整します。
130 :anonymous@ nsirs02ext.nsiss.co.jp:2006/07/31(月) 12:58:15 ID:???
>>115さん122さん
ありがとうございます。
>122さん
ネットボランチDNSを使ったIPsecの構成で参考になるサイトってありますでしょうか?
ググってみたのですが、まさにこれ!っていうconfigは見つけることが出来ませんでした。
いずれにせよ、ちょっとがんばってみようと思います。ありがとうございました。
ありがとうございます。
>122さん
ネットボランチDNSを使ったIPsecの構成で参考になるサイトってありますでしょうか?
ググってみたのですが、まさにこれ!っていうconfigは見つけることが出来ませんでした。
いずれにせよ、ちょっとがんばってみようと思います。ありがとうございました。
131 :anonymous@ p6084-ipad205sapodori.hokkaido.ocn.ne.jp:2006/07/31(月) 14:37:42 ID:???
>>129
わかってると思うけど両端にI高価なNS1500用機器(1.5M DSUなどもね)と使っていなくてもINS1500の月額コストはかかる
用途にもよるけど
機器のコストは安いし(RTX1100でもOKだと思う)負荷分散も兼ねるならメガデータネッツ使うのも手かもしれん
運用コストはあがるけどね・・・
でもコスト計算するのはINS1500でバックアップよりも確定してるから予算とりやすいんじゃないのかな?
わかってると思うけど両端にI高価なNS1500用機器(1.5M DSUなどもね)と使っていなくてもINS1500の月額コストはかかる
用途にもよるけど
機器のコストは安いし(RTX1100でもOKだと思う)負荷分散も兼ねるならメガデータネッツ使うのも手かもしれん
運用コストはあがるけどね・・・
でもコスト計算するのはINS1500でバックアップよりも確定してるから予算とりやすいんじゃないのかな?
132 :anonymous@ wamnet1.st.wakwak.ne.jp:2006/08/03(木) 11:45:52 ID:cOEgR1N0
スミマセン一つ質問です。
最近のPCはシリアルポートが無い物が多いと思います。
そういった場合にUSBからシリアルに変換するものを使用していますが、
皆さんは何を使用してますか?
ちなみにコレを使用しています
ttp://www.sun-denshi.co.jp/scc/products/mobile/vs60r/vs60r.htm
最近のPCはシリアルポートが無い物が多いと思います。
そういった場合にUSBからシリアルに変換するものを使用していますが、
皆さんは何を使用してますか?
ちなみにコレを使用しています
ttp://www.sun-denshi.co.jp/scc/products/mobile/vs60r/vs60r.htm
133 :eee:2006/08/03(木) 11:46:59 ID:cOEgR1N0
t
>>130
ヤマハホームページの設定事例集と付属のコマンドリファレンスでまんまできるだろ。VPNの部分とネットボランチDNSの部分をくっつければ。
調べる気、やる気が全くなく他力本願なのがミエミエ。
愚図を自認して業者か知人にお金払ってやってもらった方がいいよ。
>>132
秋月で買った。どこの買っても機能的に違いはないと思うけど。
なにより安いし、ドライバもホームページ上で公開されていて、出先とかで別の端末で使うときもインターネットさえ繋がれば利用できるというととで。
国内サプライメーカー物は高いし、安い出元が不明なバルクや輸入物はドライバがインターネットから手に入らない物があるから。
ヤマハホームページの設定事例集と付属のコマンドリファレンスでまんまできるだろ。VPNの部分とネットボランチDNSの部分をくっつければ。
調べる気、やる気が全くなく他力本願なのがミエミエ。
愚図を自認して業者か知人にお金払ってやってもらった方がいいよ。
>>132
秋月で買った。どこの買っても機能的に違いはないと思うけど。
なにより安いし、ドライバもホームページ上で公開されていて、出先とかで別の端末で使うときもインターネットさえ繋がれば利用できるというととで。
国内サプライメーカー物は高いし、安い出元が不明なバルクや輸入物はドライバがインターネットから手に入らない物があるから。
>>132
ワシの場合シリアルケーブルはIPアドレスの設定するときしか使わないので
シリアルケーブル使えないPCの場合
ココで紹介されてるRAPD.EXE使ってます
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/rarpd.html
ワシの場合シリアルケーブルはIPアドレスの設定するときしか使わないので
シリアルケーブル使えないPCの場合
ココで紹介されてるRAPD.EXE使ってます
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/rarpd.html
136 :eee:2006/08/03(木) 23:53:03 ID:h+wfnwhI
>>134
なるほど安いですね。ちなみにCiscoに接続したことありますか?
また別の製品で、確認しなかった自分も悪いのですが、これは
yamahaもCiscoにも使用できませんでした。
ttp://www.riteup.com/products/cables/ruuprl1.html
これはyamaha、Cisco共にOKでした。
ttp://www.area-powers.jp/white/u1rs.htm
なるほど安いですね。ちなみにCiscoに接続したことありますか?
また別の製品で、確認しなかった自分も悪いのですが、これは
yamahaもCiscoにも使用できませんでした。
ttp://www.riteup.com/products/cables/ruuprl1.html
これはyamaha、Cisco共にOKでした。
ttp://www.area-powers.jp/white/u1rs.htm
1年くらい前のトラ技に載ってたけど、
安物のUSB-シリアル変換は波形が歪んでるって。
(記事中ではメーカーを明記してなかったけど)
本当に必要なときに動かないと困るから、一個はまともなもの買って桶。
安物のUSB-シリアル変換は波形が歪んでるって。
(記事中ではメーカーを明記してなかったけど)
本当に必要なときに動かないと困るから、一個はまともなもの買って桶。
9600bpsならちょっとくらい歪があっても使いものにならんことはないだろう。
139 :anonymous@ 67.162.192.61.tokyo.global.alpha-net.ne.jp:2006/08/05(土) 16:21:17 ID:???
歪んで save→cold start になったりしなきゃ大丈夫だ
140 :anonymous@ FLH1Aar229.szo.mesh.ad.jp:2006/08/08(火) 00:48:43 ID:???
秋月のって安いんだよねぇ。なので、十数本買って色々使ってたけど、
他のUSBドライバとの相性があったり、たまに認識しなくなったりで
結果的に全部捨ててしまった。
必要な時に使えないってどうしようもないからねぇ。
他のUSBドライバとの相性があったり、たまに認識しなくなったりで
結果的に全部捨ててしまった。
必要な時に使えないってどうしようもないからねぇ。
141 :anonymous@ toyizu019036.adsl.ppp.infoweb.ne.jp:2006/08/08(火) 01:50:06 ID:???
ラ○ックだけはガチ。
でも、他の機器とケーブルを使いまわせるアイ○ーの方がもっとガチ。
でも、他の機器とケーブルを使いまわせるアイ○ーの方がもっとガチ。
びすみつーか、そもそも信号電圧がかなり嘘っぱちじゃないか?
負電源作ってるUSBシリアルって有る?
物によっては0-5Vじゃ全く通信できないよ?
負電源作ってるUSBシリアルって有る?
物によっては0-5Vじゃ全く通信できないよ?
143 :sage:2006/08/10(木) 04:29:49 ID:OZDxp57C
RTX1500とRTX2000の設定って互換性ありますか?
うーん。。。繋がらないです。なぜだろう。。
うーん。。。繋がらないです。なぜだろう。。
144 :anonymous@ ip70-174-150-78.dc.dc.cox.net:2006/08/10(木) 09:22:46 ID:???
>>142
つ[MAX232]
つ[MAX232]
145 :anonymous@ d254037.ppp.asahi-net.or.jp:2006/08/10(木) 23:37:58 ID:ekbw/kyY
RT107eのlan1をポート分割し、IPフィルターで一部のアドレスを弾くと、dhcpサーバがうまく動かないのだ…。
こんなものなのか?
こんなものなのか?
146 :anonymous@:2006/08/12(土) 17:01:19 ID:???
購入前のご相談です。RTX1100 の導入を検討しています。
L2TP+IPSec の 2点間インターネット VPN と併用して、
RT57i のように、出先のノートPCなどからWidows の標準機能だけで
PPTPでローカルネットワークにアクセスすることは可能でしょうか。
L2TP+IPSec の 2点間インターネット VPN と併用して、
RT57i のように、出先のノートPCなどからWidows の標準機能だけで
PPTPでローカルネットワークにアクセスすることは可能でしょうか。
>>146
>L2TP+IPSec の 2点間インターネット VPN
L2TPがいるのか?IPSecだけじゃだめか?
つーか、RTX1100はL2TPだめだったと思うけど。
>PPTPでローカルネットワークにアクセスすることは可能でしょうか。
できるよ。
>L2TP+IPSec の 2点間インターネット VPN
L2TPがいるのか?IPSecだけじゃだめか?
つーか、RTX1100はL2TPだめだったと思うけど。
>PPTPでローカルネットワークにアクセスすることは可能でしょうか。
できるよ。
148 :anonymous@ p5126-ipad304sapodori.hokkaido.ocn.ne.jp:2006/08/12(土) 19:09:22 ID:???
L2TP+IPSecがつかえるかはしらんがIPSecとPPTPの併用は可能
で、標準機能だけで接続可能
で、標準機能だけで接続可能
ありがとうございます。L2TPじゃないんですね。
IPSec での 2点間のLAN間接続(固定IPアドレス同士)と
リモートアクセス型PPTP(片側IPアドレス不定)が併用できれば
良いという話でした。強いて L2TPでなくても良いですね。
説明下手で申し訳有りません&情報ありがとうございました。
IPSec での 2点間のLAN間接続(固定IPアドレス同士)と
リモートアクセス型PPTP(片側IPアドレス不定)が併用できれば
良いという話でした。強いて L2TPでなくても良いですね。
説明下手で申し訳有りません&情報ありがとうございました。
150 :anonymous@:2006/08/23(水) 17:03:04 ID:51FdBIHL
RTX1100を使ってIPsecを設定しようとしています。
とりあえずWeb設定画面を利用して両方のルーターの設定をして、設定の検証では問題ありませんと出ました。
しかしUpにならず、ずっとDownのままです。
原因は何が考えられるんでしょうか?
またIPsecの接続時のログというのはどこにありますか?
(show logでいいんですか?)
とりあえずWeb設定画面を利用して両方のルーターの設定をして、設定の検証では問題ありませんと出ました。
しかしUpにならず、ずっとDownのままです。
原因は何が考えられるんでしょうか?
またIPsecの接続時のログというのはどこにありますか?
(show logでいいんですか?)
151 :anonymous@:2006/08/23(水) 17:32:48 ID:pF9ETLxQ
ちょっと説明不足でした。
A,Bという場所があって(どちらも固定IP)
その2点の両方にRTX1100を使っているのでその間にVPN(IPsec)を構築したいということです。
A,Bという場所があって(どちらも固定IP)
その2点の両方にRTX1100を使っているのでその間にVPN(IPsec)を構築したいということです。
152 :anonymous@:2006/08/23(水) 17:33:23 ID:???
IDが変わってしまいました。
151 = 150 です。
151 = 150 です。
153 :anonymous@ router.azumagrp.co.jp:2006/08/24(木) 17:03:15 ID:???
VPN (IPSec) を構築しています。
RT107e をセンターとして固定IPで設置し、動的IPの拠点を「複数」接続したいと思っています。
これは可能でしょうか? (動的IP拠点は1個のみなどという制限のある製品があります)
また、最大トンネル数は6個(つまり動的IPの拠点が6個まで同時にVPN利用可能)という
事で良いのでしょうか?
RT107e をセンターとして固定IPで設置し、動的IPの拠点を「複数」接続したいと思っています。
これは可能でしょうか? (動的IP拠点は1個のみなどという制限のある製品があります)
また、最大トンネル数は6個(つまり動的IPの拠点が6個まで同時にVPN利用可能)という
事で良いのでしょうか?
イニシエータがブランチ側から、という風にあげれば複数使えるはずだけど。
>>153
可能。
ただし >>154 さんも言ってる通り拠点側から接続する形になる。
ちゅーか、会社からですか。
まぁ、ここなら見つかっても文句言われないか。良スレだし。
ウチの会社なんてタイル背景が表示されてるだけで文句言うし。
ログってないから専ブラ使ってる w
可能。
ただし >>154 さんも言ってる通り拠点側から接続する形になる。
ちゅーか、会社からですか。
まぁ、ここなら見つかっても文句言われないか。良スレだし。
ウチの会社なんてタイル背景が表示されてるだけで文句言うし。
ログってないから専ブラ使ってる w
156 :anonymous@:2006/08/29(火) 20:21:28 ID:???
はじめての YAMAHA のルータが届き、
今日ははじめての VPN(IPSec) LAN間接続に挑戦しました。
苦闘 6時間、やっと繋がった。長かった・・・思わず感動して泣いたよ。
繋がらない、繋がらない、と唸りながら、sa やら NATディスクリプタやらフィルタリングやら
隅々まで穴が空くほど精査しても全然判らなくて。メーリングリストにも入ったけど、
なんか素人が質問するのも気が引けたので、マニュアルやら rtpro.yamaha.co.jp を
探し回って。それでも原因が判らなくて。
結局、ふと思って書き加えた「 tunnel enable 1 」で、あっさり繋がった。 _| ̄|○
けど、そこに行き着くまでが、むちゃくちゃ勉強になったよ。
ありがとうYAMAHA。
今日ははじめての VPN(IPSec) LAN間接続に挑戦しました。
苦闘 6時間、やっと繋がった。長かった・・・思わず感動して泣いたよ。
繋がらない、繋がらない、と唸りながら、sa やら NATディスクリプタやらフィルタリングやら
隅々まで穴が空くほど精査しても全然判らなくて。メーリングリストにも入ったけど、
なんか素人が質問するのも気が引けたので、マニュアルやら rtpro.yamaha.co.jp を
探し回って。それでも原因が判らなくて。
結局、ふと思って書き加えた「 tunnel enable 1 」で、あっさり繋がった。 _| ̄|○
けど、そこに行き着くまでが、むちゃくちゃ勉強になったよ。
ありがとうYAMAHA。
157 :anonymous@ eatkyo138146.adsl.ppp.infoweb.ne.jp:2006/08/29(火) 21:12:28 ID:???
>>150-152
syslog debug on にして細かくログを取ってから、show log してみたら ?
syslog debug on にして細かくログを取ってから、show log してみたら ?
くだらない質問で申し訳ありませんが、
RT107eって両方の拠点とも動的グローバルIPの環境でVPN可能でしょうか?
ごくごく小規模な会社や、なかよしグループでのVPN構築に固定IPはちょっと厳しい。
ま、そういった環境にはRT58i+ネットボランチDNSって事でしょうか。
また、スレ違いで申し訳ありませんが、YAMAHAにこだわらなければ、
IO-DATAのETX-VRT(http://www.iodata.jp/prod/network/bbrouter/2006/etx-vrt/index.htm#mnal)
のように、両方ダイナミックなIPでIPsec-VPNできる製品って他にもありますでしょうか?
RT107eって両方の拠点とも動的グローバルIPの環境でVPN可能でしょうか?
ごくごく小規模な会社や、なかよしグループでのVPN構築に固定IPはちょっと厳しい。
ま、そういった環境にはRT58i+ネットボランチDNSって事でしょうか。
また、スレ違いで申し訳ありませんが、YAMAHAにこだわらなければ、
IO-DATAのETX-VRT(http://www.iodata.jp/prod/network/bbrouter/2006/etx-vrt/index.htm#mnal)
のように、両方ダイナミックなIPでIPsec-VPNできる製品って他にもありますでしょうか?
159 :anonymous@ softbank220025218125.bbtec.net:2006/08/29(火) 22:55:53 ID:???
>>158
RT107eはネットボランチDNS対応
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/NetVolanteDNS/netvolante-dns-rule.html
RT107eはネットボランチDNS対応
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/NetVolanteDNS/netvolante-dns-rule.html
もしかして、レスポンダ側は固定IP必須、というのは既に過去の話?
161 :anonymous@:2006/08/30(水) 08:50:01 ID:???
ルータ触った瞬間に「ピリッ」って静電気が走ることが多いんだけど
みな接地線ってマメに取ってるのかな?
業務用ルータって謳ってるんだったら
最初っから三極コンセント(+二極コネクタ)にしてくれりゃ良いのに・・・
みな接地線ってマメに取ってるのかな?
業務用ルータって謳ってるんだったら
最初っから三極コンセント(+二極コネクタ)にしてくれりゃ良いのに・・・
となると、IPsecというかIKEの仕様(?)からはずれた独自の実装で対応している製品が
たくさんあるってことでしょうか?
RT107eやRTXシリーズとかでも、相互に相手先をホスト名で指定してVPN構築できちゃうんですか?
(とりあえず信頼性という点は置いておいて)
たくさんあるってことでしょうか?
RT107eやRTXシリーズとかでも、相互に相手先をホスト名で指定してVPN構築できちゃうんですか?
(とりあえず信頼性という点は置いておいて)
164 :anonymous@ softbank220025218125.bbtec.net:2006/09/01(金) 00:01:12 ID:???
最近はFQDN→アドレスを毎回やってアドレス直ではない接続を可能にしてる奴はおおいよ。
つうかLinuxベースだとFreeS/WAN系で対応できるから出来るのも多いけど。
IPSecのコンセプトには反してるけどね確かに。ホスト名解決が挟まっちゃってるから。
それならXAuthも同時に実装してくれよと思うし。
つうかLinuxベースだとFreeS/WAN系で対応できるから出来るのも多いけど。
IPSecのコンセプトには反してるけどね確かに。ホスト名解決が挟まっちゃってるから。
それならXAuthも同時に実装してくれよと思うし。
166 :まるまる:2006/09/02(土) 10:28:35 ID:Yzbtc0eD
RTX1100でIPSECを使ったVPN回線を構築しています。
構成は
(センター)インターネット回線
|
ADSLモデムルーター(VPNパススルー)
|
RTX1100
|
PC
といった構成になっています。
PING試験やOracle,PcAnywereは問題なくVPNを通過して利用できるのですが
Windowsの共有フォルダから1MBほどのファイルをコピーしようとすると
VPNを通過できないのか、「指定されたネットワーク名は利用できません」
というメッセージがPCで表示されます。
(共有フォルダは参照して、画面に一覧表示はできます)
ADSLモデムのランプを見るとDATAのやり取りがほとんど行なわれていません。
ちなみに、数キロバイトのファイルはコピーしてくることができます。
考えられそうな原因なにかないでしょうか?
構成は
(センター)インターネット回線
|
ADSLモデムルーター(VPNパススルー)
|
RTX1100
|
PC
といった構成になっています。
PING試験やOracle,PcAnywereは問題なくVPNを通過して利用できるのですが
Windowsの共有フォルダから1MBほどのファイルをコピーしようとすると
VPNを通過できないのか、「指定されたネットワーク名は利用できません」
というメッセージがPCで表示されます。
(共有フォルダは参照して、画面に一覧表示はできます)
ADSLモデムのランプを見るとDATAのやり取りがほとんど行なわれていません。
ちなみに、数キロバイトのファイルはコピーしてくることができます。
考えられそうな原因なにかないでしょうか?
167 :anonymous@ 192.117.147.124.dy.bbexcite.jp:2006/09/02(土) 10:59:32 ID:???
>>166
マルチうぜー
マルチうぜー
169 :anonymous@ 59-190-21-150.eonet.ne.jp:2006/09/04(月) 08:33:35 ID:zdPA7V9P
一般ユーザでも pp auth のパスワードや、ike-preshared-key text が
簡単に見えてしまうというのは如何なものかと。
というか「管理レベル」なんて要らなくね?
簡単に見えてしまうというのは如何なものかと。
というか「管理レベル」なんて要らなくね?
171 :anonymous@ h140.p052.iij4u.or.jp:2006/09/04(月) 18:42:11 ID:???
G-LEXなんだけどRTV700でregistだけしてで安心してたら、
実際通話してみたらRTVからの音声が通らない。
SIPPhoneが使えているのでFWもNATも問題ないと思うんだけど。
実際通話してみたらRTVからの音声が通らない。
SIPPhoneが使えているのでFWもNATも問題ないと思うんだけど。
RTX1100 を2台使って IPsec で VPN を構築し、PING も通るし
\\192.168.xxx.xxx で共有フォルダにもアクセスできるんだけど、
コンピューター名でのアクセスができません。
単純に考えてフィルターの設定?。それとも WINSサーバーが必要?
オムロンのルーターで VPN 構築したときは何もしなくてもコンピュー
ター名で見えたのでフィルターの設定なのかなぁと思ってるんだけど。
\\192.168.xxx.xxx で共有フォルダにもアクセスできるんだけど、
コンピューター名でのアクセスができません。
単純に考えてフィルターの設定?。それとも WINSサーバーが必要?
オムロンのルーターで VPN 構築したときは何もしなくてもコンピュー
ター名で見えたのでフィルターの設定なのかなぁと思ってるんだけど。
NETBEUIはインストールされてますか?
http://homepage2.nifty.com/winfaq/networkchecklist.html
http://homepage2.nifty.com/winfaq/wxp/network.html#719
的はずれならすみません。
実は初心者です。
http://homepage2.nifty.com/winfaq/networkchecklist.html
http://homepage2.nifty.com/winfaq/wxp/network.html#719
的はずれならすみません。
実は初心者です。
175 :SWaP by sun:2006/09/06(水) 23:51:19 ID:???
176 :anonymous@ q001170.ppp.asahi-net.or.jp:2006/09/07(木) 13:28:58 ID:bm5Aybot
>>172
異なるサブネットでブラウジングしたいばあいは,Windows Server 2003
を購入して,ドメインを構築するか,Sambaを使うかどちらかですね。
Sambaを使えばドメイン構成にしなくても大丈夫。詳しくは高橋基信さん
の本を参照してください。
なお,結論を言えば,労多くして功少なしです。やめておいた方がいい。
異なるサブネットでブラウジングしたいばあいは,Windows Server 2003
を購入して,ドメインを構築するか,Sambaを使うかどちらかですね。
Sambaを使えばドメイン構成にしなくても大丈夫。詳しくは高橋基信さん
の本を参照してください。
なお,結論を言えば,労多くして功少なしです。やめておいた方がいい。
177 :anonymous@ p8252-ipad309sapodori.hokkaido.ocn.ne.jp:2006/09/07(木) 13:46:36 ID:???
アドレス固定ならLMHOSTSに書けばいい
動的ならWINSだな
XPとかで名前引くだけならDNSでもいけるかもよ
動的ならWINSだな
XPとかで名前引くだけならDNSでもいけるかもよ
178 :anonymous@:2006/09/08(金) 09:50:35 ID:hR89+w0y
RTX1100 同士のパフォーマンスで相談です。
素FTP転送量 実測 733 kBytes/sec (6.1Mbps) の区間で
IPSec VPN のFTPだと 390 kBytes/sec (3.2Mbps) になりました。
IPSec の性能としてはこんなものですか?もう少し早くなりそう?
素FTP転送量 実測 733 kBytes/sec (6.1Mbps) の区間で
IPSec VPN のFTPだと 390 kBytes/sec (3.2Mbps) になりました。
IPSec の性能としてはこんなものですか?もう少し早くなりそう?
179 :(´・ω・`):2006/09/12(火) 16:56:07 ID:4UPpFX+t
質問(´・ω・)ス RTX1100で
lan1 lan2がLAN側、lan3がNAPT(B-フレッツのPPPoE 1IP)を
利用したインターネットを利用する形でコンフィグしました。
ip route default gateway pp 1
ip filter directed-broadcast on
ip lan1 address 192.168.10.254/24
ip lan2 address 192.168.20.254/24
pp select 1
pppoe use lan3
pp auth accept pap chap
pp auth myname ******* ******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
nat descriptor type 1 masquerade
dns server 202.234.232.6 221.113.139.250
dns private address spoof on
snmp host 192.168.10.217
snmp trap host 192.168.10.217
こんな感じなんですが、192.168.20.0/24 192.168.10.0/24
それぞれのサブネット→インターネット は通信できるんですが、
192.168.10.1 → 192.168.20.1 のように、LAN間の通信が
Pingすら通りません・・・。(RTX1100自身からは双方にPingが通ります)
上記コンフィグのどこかに足りない部分があるのでしょうか。
助けてください。
lan1 lan2がLAN側、lan3がNAPT(B-フレッツのPPPoE 1IP)を
利用したインターネットを利用する形でコンフィグしました。
ip route default gateway pp 1
ip filter directed-broadcast on
ip lan1 address 192.168.10.254/24
ip lan2 address 192.168.20.254/24
pp select 1
pppoe use lan3
pp auth accept pap chap
pp auth myname ******* ******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
nat descriptor type 1 masquerade
dns server 202.234.232.6 221.113.139.250
dns private address spoof on
snmp host 192.168.10.217
snmp trap host 192.168.10.217
こんな感じなんですが、192.168.20.0/24 192.168.10.0/24
それぞれのサブネット→インターネット は通信できるんですが、
192.168.10.1 → 192.168.20.1 のように、LAN間の通信が
Pingすら通りません・・・。(RTX1100自身からは双方にPingが通ります)
上記コンフィグのどこかに足りない部分があるのでしょうか。
助けてください。
えーっと、公式サイトの設定例は眺めた?ルーティングとNATディスクリプタの説明は?
で、lan1とlan2で通信する設定は?
で、lan1とlan2で通信する設定は?
181 :anonymous@ gw.eniken.co.jp:2006/09/12(火) 18:10:06 ID:XYKKaZZB
RTX1000とRT57を使っているのですが、PPPoEパススルー機能はないのでしょうか?
コマンドリファレンスには載っていませんでした。
コマンドリファレンスには載っていませんでした。
182 :(´・ω・`):2006/09/12(火) 18:26:10 ID:VMHqMT12
RT58ってもう試した人いる?
ttp://pc8.2ch.net/test/read.cgi/hard/1152071495/227-
こっちで買ったって人は現れた
こっちで買ったって人は現れた
186 :anonymous@ s28.IohsakaFL10.vectant.ne.jp:2006/09/14(木) 20:32:42 ID:???
RTX1100 と RT107e でVPN張ったんですが、遅いんです
私はいつもここで測定してるんですが、
http://www.bspeedtest.jp/
RTX1100側 下り60M 上り 30M
RT107e側 下り38M 上り 20M
VPN張って、ファイルコピーしてみると、1ファイルだけのコピーで5M程度
2ファイル同時でで11M、3ファイル同時で16M
同時転送が増えるごとに転送速度はあがってるんですが、1ファイルコピーでMAXにならないのは?
こんなもんですか?
私はいつもここで測定してるんですが、
http://www.bspeedtest.jp/
RTX1100側 下り60M 上り 30M
RT107e側 下り38M 上り 20M
VPN張って、ファイルコピーしてみると、1ファイルだけのコピーで5M程度
2ファイル同時でで11M、3ファイル同時で16M
同時転送が増えるごとに転送速度はあがってるんですが、1ファイルコピーでMAXにならないのは?
こんなもんですか?
187 :anonymous@ s38.IohsakaFL10.vectant.ne.jp:2006/09/14(木) 22:45:25 ID:???
186です
追記です
ターゲットはRTX1100です
VPNソフトでも確認してみましたが、やっぱり遅いです
RT107eと同等の速度しかでません
1ファイルのコピーなら15M前後は出て欲しいところです
追記です
ターゲットはRTX1100です
VPNソフトでも確認してみましたが、やっぱり遅いです
RT107eと同等の速度しかでません
1ファイルのコピーなら15M前後は出て欲しいところです
188 : :2006/09/15(金) 21:20:06 ID:???
189 :anonymous@ softbank218114238015.bbtec.net:2006/09/18(月) 16:31:57 ID:Vh4bizgn
RTX1100ですが、
pppoe ではなく、
Yhahoo への接続設定はどんなコマンドになるのでしょうか?
pppoe ではなく、
Yhahoo への接続設定はどんなコマンドになるのでしょうか?
190 :anonymous@ FLH1Aji043.tky.mesh.ad.jp:2006/09/18(月) 18:31:04 ID:???
・・・・・・・・・・・・・・・・・・・・・・・。
>>186
クライアントのMTU
クライアントのMTU
>>191
RTX1100にYahooADSLモデムを接続するので、
ルーティング設定ということになると思うのですが。
LAN1 :ローカルLAN
LAN2またはLAN3 にYahooADSLモデムを接続
RTX1100にYahooADSLモデムを接続するので、
ルーティング設定ということになると思うのですが。
LAN1 :ローカルLAN
LAN2またはLAN3 にYahooADSLモデムを接続
その様子だと説明してもわからんと思うが・・・
YahooBB設定例って、netvolante.jpかwww.rtpro.yamaha.co.jpになかった?
下記を参考にしてみたのですが、
RTX と プラネックス BRC-14V をIPsec で接続できません。
ttp://brc14v.ath.cx/
暗号化をフェーズ1、2とも、
3des-cbc にしてみてもダメなのですが、何が悪いのかな?
RTX と プラネックス BRC-14V をIPsec で接続できません。
ttp://brc14v.ath.cx/
暗号化をフェーズ1、2とも、
3des-cbc にしてみてもダメなのですが、何が悪いのかな?
198 :anonymous@ softbank218182244070.bbtec.net:2006/09/23(土) 12:01:37 ID:???
199 :anonymous:2006/10/02(月) 17:09:03 ID:z7pbxUYk
netscreen5gt とRTX1100 との間で VPN(IPSEC) を構築したいのですが、
約1分ごとに IPSEC が切断されてしまいます。(すぐに再認証が行われます)
IKE のライフタイムなどはデフォルトのままなのですが、
何か対策はないでしょうか?
約1分ごとに IPSEC が切断されてしまいます。(すぐに再認証が行われます)
IKE のライフタイムなどはデフォルトのままなのですが、
何か対策はないでしょうか?
> 199
RTX1100のキープアライブをicmp-echoにしてみては?
ipsec ike keepalive use N on icmp-echo IPADDRESS
RTX1100のキープアライブをicmp-echoにしてみては?
ipsec ike keepalive use N on icmp-echo IPADDRESS
users MLで恐ろしい誤爆…
こりゃあ始末書の始末書を書かないといけないな
悲惨だ。
始末書を求めた側が、今回の件で始末書を求められ立場逆転かな。
始末書を求めた側が、今回の件で始末書を求められ立場逆転かな。
うp
リブートしまくりのレポートが多いけど、どうなってるんだろ?
207 :anonymous@ 26.76.147.124.dy.bbexcite.jp:2006/10/12(木) 20:33:21 ID:???
固まらないだけ安物と比べたら
まだマシかと思う。
まだマシかと思う。
208 :anonymous@ p7229-adsan02yokonib1-acca.kanagawa.ocn.ne.jp:2006/10/15(日) 00:18:17 ID:???
自宅にRT58i買おうかと思ってるんだけど、まだ地雷かな?
安いから1台くらい買えば?
不具合はYAMAHAに報告しまくりして完成度を高めてみては?
YAMAHAは凄く対応が良いから、糞丁寧に教えてくれるよ
不具合はYAMAHAに報告しまくりして完成度を高めてみては?
YAMAHAは凄く対応が良いから、糞丁寧に教えてくれるよ
210 :anonymous@ h081.p050.iij4u.or.jp:2006/10/16(月) 14:17:31 ID:???
おまいらvista、vistaって金持ちだな。
タバコ値上げで禁煙したおいらは、この際、ぃぬにいくよ。
MSには、Win95,98,XP、office95、2000とお布施してきたんでもういいでしょ。
窓は仮想マシンでXPと98動かせばOK。
タバコ値上げで禁煙したおいらは、この際、ぃぬにいくよ。
MSには、Win95,98,XP、office95、2000とお布施してきたんでもういいでしょ。
窓は仮想マシンでXPと98動かせばOK。
どこの誤爆だ・・・
うへぇ、ここはデフォルト節穴なの忘れてた
>>209
背中押してくれてありがとうw
仕事でRTX1000,1500あたりいじってたことあるんで(ヘボ管理者だけど)、
自宅もRT系にしようと前々から考えていたんだよね
もう1,2週間MLの様子みてから購入するワ
>>209
背中押してくれてありがとうw
仕事でRTX1000,1500あたりいじってたことあるんで(ヘボ管理者だけど)、
自宅もRT系にしようと前々から考えていたんだよね
もう1,2週間MLの様子みてから購入するワ
214 :anonymous@ softbank218182244070.bbtec.net:2006/10/18(水) 22:43:32 ID:???
RTX と プラネックス BRC-14V をIPsec 接続できました。
>>213
うちはルータもFreeBSDにやらせてる
うちはルータもFreeBSDにやらせてる
216 :anonymous@ 218.224.233.121:2006/10/25(水) 10:27:33 ID:???
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.1.1/24
ip lan2 address ***.***.***.121/29
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ***.***.***.121
nat descriptor static 1000 1 ***.***.***.122=192.168.1.107 1
nat descriptor static 1000 2 ***.***.***.123=192.168.1.3 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.2-192.168.1.191/24
dns server ***.***.***.122 ***.***.***.***
dns server select 500001 ***.***.***.122 ***.***.***.*** any . restrict pp 1
dns private address spoof on
httpd host any
教えてください。
RT107e上記設定を行っているのですが、
NATの記述をしたサーバに接続ができません。
lan2はPPPOEで使用してて、ppにnatを設定しています。
なにか記述がぬけてますでしょうか?
テスト段階のためフィルタは何もかけていません。
ip lan1 address 192.168.1.1/24
ip lan2 address ***.***.***.121/29
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ***.***.***.121
nat descriptor static 1000 1 ***.***.***.122=192.168.1.107 1
nat descriptor static 1000 2 ***.***.***.123=192.168.1.3 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.2-192.168.1.191/24
dns server ***.***.***.122 ***.***.***.***
dns server select 500001 ***.***.***.122 ***.***.***.*** any . restrict pp 1
dns private address spoof on
httpd host any
教えてください。
RT107e上記設定を行っているのですが、
NATの記述をしたサーバに接続ができません。
lan2はPPPOEで使用してて、ppにnatを設定しています。
なにか記述がぬけてますでしょうか?
テスト段階のためフィルタは何もかけていません。
PPPoEってことはWAN側はunnumberedじゃないとだめではない(´・ω・)スか?
>217
いけました。
ありがとでした
いけました。
ありがとでした
こんばんは。
当方、RTX1100を自宅で利用している者です。
今日、弟がXBOX360を購入して参りました。
早速ネットに繋げようとしたら、
接続途中でエラーが発生してしまい接続できないのです。
症状といたしましては、XBOXが自身のインターフェイスのMTU値を決定するために
ルータへアクセスする段階があるのですが、その際に失敗するようです。
RTXのMTU値は1454に設定してあります。
また、「EditMTU」なる分割されないMTU値を自動で求めるソフトをPC上で利用した場合には、
MTU値が1426の時にリクエストタイムアウトを起こしてしまい、XBOXど同様の現象が起きてしまいます。
当方のRTXは、LAN側からMTU値が読み取れない状態になっているのでしょうか?
もし原因が分かる方がいらっしゃいましたら、何卒ご教授のほどをよろしくお願いいたします。
ちなみに、XBOX側の回答はこのようになっておりました。
http://support.microsoft.com/default.aspx?scid=kb%3Bja%3B908882
当方、RTX1100を自宅で利用している者です。
今日、弟がXBOX360を購入して参りました。
早速ネットに繋げようとしたら、
接続途中でエラーが発生してしまい接続できないのです。
症状といたしましては、XBOXが自身のインターフェイスのMTU値を決定するために
ルータへアクセスする段階があるのですが、その際に失敗するようです。
RTXのMTU値は1454に設定してあります。
また、「EditMTU」なる分割されないMTU値を自動で求めるソフトをPC上で利用した場合には、
MTU値が1426の時にリクエストタイムアウトを起こしてしまい、XBOXど同様の現象が起きてしまいます。
当方のRTXは、LAN側からMTU値が読み取れない状態になっているのでしょうか?
もし原因が分かる方がいらっしゃいましたら、何卒ご教授のほどをよろしくお願いいたします。
ちなみに、XBOX側の回答はこのようになっておりました。
http://support.microsoft.com/default.aspx?scid=kb%3Bja%3B908882
すみません。
先ほどの質問で一つアホな間違いを書いているので訂正させてください。
>MTU値が1426の時に
正確にはDataSizeが1426であり、MTU値は1454です。
その後いくつか検証してみて分かったことがあるので付け足します。
EditMTUを使用したときにタイムアウトエラーを起こす理由は、
ルータの不正アクセス検知機能が原因でした。
"ICMP too large:1025バイト以上のICMPを受信したとき"に引っかかるようで、
不正アクセス履歴にしっかりと跡が残っておりました。
検知機能をOFFにすればEditMTUは正常に動作し、MTU値も正確に求められました。
しかし、XBOXはOFFにした状態でも接続不可能でした。
原因は別だった模様です。
先ほどの質問で一つアホな間違いを書いているので訂正させてください。
>MTU値が1426の時に
正確にはDataSizeが1426であり、MTU値は1454です。
その後いくつか検証してみて分かったことがあるので付け足します。
EditMTUを使用したときにタイムアウトエラーを起こす理由は、
ルータの不正アクセス検知機能が原因でした。
"ICMP too large:1025バイト以上のICMPを受信したとき"に引っかかるようで、
不正アクセス履歴にしっかりと跡が残っておりました。
検知機能をOFFにすればEditMTUは正常に動作し、MTU値も正確に求められました。
しかし、XBOXはOFFにした状態でも接続不可能でした。
原因は別だった模様です。
221 : :2006/10/29(日) 07:01:48 ID:???
>>219
私はXBOXは持ってないので原因はわかりませんが…
ひとまず lan port-mirroring コマンドでミラーポートを作って
Etherealでパケットキャプチャしてみたら?
何が流れてるかわかるので、そこから原因を探れると思うよ。
私はXBOXは持ってないので原因はわかりませんが…
ひとまず lan port-mirroring コマンドでミラーポートを作って
Etherealでパケットキャプチャしてみたら?
何が流れてるかわかるので、そこから原因を探れると思うよ。
223 :anonymous@:2006/10/29(日) 13:20:46 ID:???
>>219
フィルタ関連をとりあえずはずした状態はどうでしょう?
フィルタ関連をとりあえずはずした状態はどうでしょう?
ポートが開いてないか、UPnPころしてるとかかな?
2つくらいポート開ければ、テストは通るようになると思う。
開けるポート番号は、XBOX系のまとめサイトに載ってたかな。
2つくらいポート開ければ、テストは通るようになると思う。
開けるポート番号は、XBOX系のまとめサイトに載ってたかな。
225 :anonymous@ K139098.ppp.dion.ne.jp:2006/10/30(月) 02:28:54 ID:???
>>221-224
レス、大変感謝しております。
RWIN値は260176に設定しております。
とりあえず、フィルタ関係の見直しと、
UPnP及びXBOX系まとめサイトへを見てみます。
その辺で解決しなかった場合は、ポートのミラーリングを試してみます。
この度はありがとうございました。
レス、大変感謝しております。
RWIN値は260176に設定しております。
とりあえず、フィルタ関係の見直しと、
UPnP及びXBOX系まとめサイトへを見てみます。
その辺で解決しなかった場合は、ポートのミラーリングを試してみます。
この度はありがとうございました。
226 :anonymous@ 222-151-095-091.jp.fiberbit.net:2006/10/30(月) 23:52:16 ID:???
東日本のフレッツグループ上で、
アライドテレシスのAR410で2点間をL2TPでつないでる場所に、
追加でYAMAHAのRTX1100を使った拠点をつながないと
いけません。
L2TPの設定は生かしたまま設定をしたいのですが、
RTX上でL2TPトンネルを構築することは不可能なのでしょうか?
あるいは、L2TPを生かしたまま、追加できるお勧めのセッションは
ありますか?
アライドテレシスのAR410で2点間をL2TPでつないでる場所に、
追加でYAMAHAのRTX1100を使った拠点をつながないと
いけません。
L2TPの設定は生かしたまま設定をしたいのですが、
RTX上でL2TPトンネルを構築することは不可能なのでしょうか?
あるいは、L2TPを生かしたまま、追加できるお勧めのセッションは
ありますか?
RTX2000がCPU100%でリブートして困ってるんですが、もう放置プレイでしょうか?
RTX2000/1000でネットワーク組んでしまってるのでまだRTX3000買えないorz
RTX2000/1000でネットワーク組んでしまってるのでまだRTX3000買えないorz
100%だけならともかくリブートするのは、高負荷だけが原因じゃないと思うけど
サポートに聞いてみたら?
サポートに聞いてみたら?
DoSでも食らってたりして(´・ω・)
お菓子くれなきゃ
DoS攻撃するゾ☆
#1日遅かったデス
DoS攻撃するゾ☆
#1日遅かったデス
フレッツ光プレミアムだとVPNは不可能なのですか?
>>231
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-PREMIUM/connect0.html
# 最近はCTUのバージョンアップ(?)で
# CTU側でPPPoEブリッジができるようになったらしいですね。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-PREMIUM/connect0.html
# 最近はCTUのバージョンアップ(?)で
# CTU側でPPPoEブリッジができるようになったらしいですね。
>>232
親切な方、ありがとう!
親切な方、ありがとう!
234 :anonymous@ crux.aitai.ne.jp:2006/11/11(土) 09:01:09 ID:???
RTXシリーズのVPNスループットってwebだと双方向の値で表記されてるけど
片方向なら半分ってことでOKですか?
片方向なら半分ってことでOKですか?
>>231
VPNはOKですが、PPPoEを利用する場合は、
無料でついてくるNTTのセキュリティ対策ツール(ウィルスバスター)は一部、使用できなくなるなど、
NTT固有のサービスなどは制限がいろいろあるので、ご注意を。
ttp://www.ntt-west.co.jp/flets/hikari-p/omoushikomi_goriyou/ryuuijikou/pppoe/index.html
VPNはOKですが、PPPoEを利用する場合は、
無料でついてくるNTTのセキュリティ対策ツール(ウィルスバスター)は一部、使用できなくなるなど、
NTT固有のサービスなどは制限がいろいろあるので、ご注意を。
ttp://www.ntt-west.co.jp/flets/hikari-p/omoushikomi_goriyou/ryuuijikou/pppoe/index.html
236 :anonymous@ KD125054110039.ppp-bb.dion.ne.jp:2006/11/13(月) 22:24:26 ID:???
RT107eなのですが、LAN2インターフェイスのmacアドレスを任意に
設定する事は可能でしょうか?
設定する事は可能でしょうか?
238 :anonymous@ 357667002511926:2006/11/21(火) 15:05:02 ID:???
RTX1100を使って、
PDA→Bluetooth携帯→電話回線→RTX1100→サーバ(PC)
という風に構築して、FTPでサーバにデータを送れって言われたんだけど、この場合、どんな設定をすればいいのかな?
受け側の設定方法が全く見つからなかったもので…。
お願いします…。
PDA→Bluetooth携帯→電話回線→RTX1100→サーバ(PC)
という風に構築して、FTPでサーバにデータを送れって言われたんだけど、この場合、どんな設定をすればいいのかな?
受け側の設定方法が全く見つからなかったもので…。
お願いします…。
>>238
やったことないからアレで(´・ω・)スが
isdn local address bri1 でテメェの回線設定して
ppに発呼側の電話番号入れ込むか、anonymousにしてpp authを
設定するんじゃダメなんで(´・ω・)スか?
やったことないからアレで(´・ω・)スが
isdn local address bri1 でテメェの回線設定して
ppに発呼側の電話番号入れ込むか、anonymousにしてpp authを
設定するんじゃダメなんで(´・ω・)スか?
携帯電話はISDN回線じゃないからダメじゃないですか?
241 :anonymous@ FLH1Aax003.szo.mesh.ad.jp:2006/11/21(火) 22:06:37 ID:???
PHSなら可能
242 :anonymous@ p2141-adsao03yokoni-acca.kanagawa.ocn.ne.jp:2006/11/22(水) 00:02:42 ID:???
>>241
PHSじゃなくて、ドコモのFOMAのBluetooth機能がついてる奴なんですが・・・。
とりあえず、セキュリティとかは度外視で、繋がればいいみたいなんです。
教えてクンですいませんが、どうかよろしくお願いします。
PHSじゃなくて、ドコモのFOMAのBluetooth機能がついてる奴なんですが・・・。
とりあえず、セキュリティとかは度外視で、繋がればいいみたいなんです。
教えてクンですいませんが、どうかよろしくお願いします。
243 :anonymous@ 124x33x196x189.ap124.ftth.ucom.ne.jp:2006/11/22(水) 01:02:03 ID:???
FOMAの64K回線交換モードなら、普通にISDNの64Kに接続できる。
RTX1100側にISDN回線を用意すればいいだろう。
どうすれば64K回線交換になるかは、FOMA端末のマニュアル読むべし。
RTX1100側にISDN回線を用意すればいいだろう。
どうすれば64K回線交換になるかは、FOMA端末のマニュアル読むべし。
244 :anonymous@ 220-213-105-214.pool.fctv.ne.jp:2006/11/22(水) 23:43:23 ID:???
245 :rtx-newbie:2006/11/23(木) 23:01:36 ID:???
RTX-1500 同士で IPv6 over IPv4 tunnel な VPN を張りたいです。
で IPv6-over-IPv4 だと
tunnel encapsulation ipip
を使うっぽいのですが、ipip 関連の設定例は↓位しか見当たりません。
http://netvolante.jp/solution/vpn/case2/example6.html
で、その設定例には tunnel の構成は書かれているけど
認証・秘密鍵みたいなのは全然 config に登場しないですよね?
もしかして ipip って ipv6 を ipv4 の payload に載せるだけで
暗号化するには
IPv6-over-IPv4(ipip) over IPsec
みたいな多重構成にしないと駄目なのでしょうか?
IPv6 自体初心者なんでなにがなにやら...
よろしくお願いします
で IPv6-over-IPv4 だと
tunnel encapsulation ipip
を使うっぽいのですが、ipip 関連の設定例は↓位しか見当たりません。
http://netvolante.jp/solution/vpn/case2/example6.html
で、その設定例には tunnel の構成は書かれているけど
認証・秘密鍵みたいなのは全然 config に登場しないですよね?
もしかして ipip って ipv6 を ipv4 の payload に載せるだけで
暗号化するには
IPv6-over-IPv4(ipip) over IPsec
みたいな多重構成にしないと駄目なのでしょうか?
IPv6 自体初心者なんでなにがなにやら...
よろしくお願いします
246 :きっと:2006/11/23(木) 23:21:58 ID:0FfouD6A
これですかね
>IPv6 over IPv4トンネルでIPv6パケットをIPv4パケットで包んでから IPv4のIPsecで暗号化するケースです。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_3_d.html
>IPv6 over IPv4トンネルでIPv6パケットをIPv4パケットで包んでから IPv4のIPsecで暗号化するケースです。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_3_d.html
>>245
まずは draft-ietf-v6ops-ipsec-tunnels-04.txt を読むべき
まずは draft-ietf-v6ops-ipsec-tunnels-04.txt を読むべき
248 :rtx-newbie:2006/11/24(金) 10:25:33 ID:???
>246
おー、激しくそれを読まなきゃいけないっぽいです。
netvolante.jpと www.rtpro.yamaha.co.jp ってどういう関係なんだろ...
yamaha.co.jp からは素直には辿れないですよね...(google は教えてくれるけど)
>247
ある意味正論かも知れないけど
とりあえず設定したい人にはハードル高すぎっす…
おー、激しくそれを読まなきゃいけないっぽいです。
netvolante.jpと www.rtpro.yamaha.co.jp ってどういう関係なんだろ...
yamaha.co.jp からは素直には辿れないですよね...(google は教えてくれるけど)
>247
ある意味正論かも知れないけど
とりあえず設定したい人にはハードル高すぎっす…
ヤマハのあるおたく技術者が中心となってRT100iを作って世に出した。
#ここでいうおたく、はいい意味で。
で、そのおたく技術者が作ったサイトがwww.rtpro.yamaha.co.jp。
これは商売になる、ってんでちゃんとした?組織として商標も取ったのがnetvolante系。
rtpro系とはある意味独立している。
#ここでいうおたく、はいい意味で。
で、そのおたく技術者が作ったサイトがwww.rtpro.yamaha.co.jp。
これは商売になる、ってんでちゃんとした?組織として商標も取ったのがnetvolante系。
rtpro系とはある意味独立している。
?そうなの?
当時ヤマハでISDNチップつくってたから
RT100i出したんじゃないの?
当時としては格安の業務用ルーターだったから結構売れたっしょ
で、当時からサポートやファームなどはrtproで公開してたし、
メーリングリストからのフィードバックもまめにrtproで更新してたし
ネットワーク管理者向けのサイトという位置づけだよね
その後家庭用SOHO用ルーターが売れだしてきて
ヤマハもその波に乗って出してきたブランドがnetvolanteでしょ?
ページ的には昔のまま技術系のページのままでいるのがwww.rtpro.yamaha.oc.jpで
プロのWebデザイナーとか使って商品紹介など売るためのページ的な感じで
netvolante.jpがあるんじゃないの?
当時ヤマハでISDNチップつくってたから
RT100i出したんじゃないの?
当時としては格安の業務用ルーターだったから結構売れたっしょ
で、当時からサポートやファームなどはrtproで公開してたし、
メーリングリストからのフィードバックもまめにrtproで更新してたし
ネットワーク管理者向けのサイトという位置づけだよね
その後家庭用SOHO用ルーターが売れだしてきて
ヤマハもその波に乗って出してきたブランドがnetvolanteでしょ?
ページ的には昔のまま技術系のページのままでいるのがwww.rtpro.yamaha.oc.jpで
プロのWebデザイナーとか使って商品紹介など売るためのページ的な感じで
netvolante.jpがあるんじゃないの?
YAMAHAルーターの中にはこびとさんがいるんだよ^^
>これは商売になる、ってんでちゃんとした?組織として商標も取ったのがnetvolante系。
>rtpro系とはある意味独立している。
間が完全に飛んでるぞ
第一興商とか
>rtpro系とはある意味独立している。
間が完全に飛んでるぞ
第一興商とか
253 :sagee:2006/11/28(火) 12:28:56 ID:PSovkDpA
以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。
環境は、本社・拠点ともにBフレッツの固定IPあり(OCN)だったのですが、
エクセル開くのに数分は余裕でかかっていたそうです。
この度にわか管理者となり、VPNを組もうとしているのですが、
あまりに不安定だったり遅いようだと考えてしまいます。
VPN組んでらっしゃる方々、現状いかがお過ごしでしょうか(・ω・`)
環境は、本社RTX-1100(Bフレファミリー、Asahi固定IPあり)と
1拠点(USEN光マンションタイプ、固定IPなし)という状況です。
ちなみに、フレッツグループ東西の壁に阻まれての策です。
最後の手段はPacketiX(旧Softether)ですが、ちょっとPC分かってるヤツに
電話で人間リモート設定させたら、いくらでも経路が開けてしまうので
使いたくはないのですが・・・・・
もちろん今はポートも閉じてPacketiX不能にしています。
結局のところ・・・・・・・・・
藻前ら頼む背中を押してくれ!
おいちゃん、一人で踏み出すのヤだよ!って事です。
「帰れ!」でも良いので一言お願いします。
環境は、本社・拠点ともにBフレッツの固定IPあり(OCN)だったのですが、
エクセル開くのに数分は余裕でかかっていたそうです。
この度にわか管理者となり、VPNを組もうとしているのですが、
あまりに不安定だったり遅いようだと考えてしまいます。
VPN組んでらっしゃる方々、現状いかがお過ごしでしょうか(・ω・`)
環境は、本社RTX-1100(Bフレファミリー、Asahi固定IPあり)と
1拠点(USEN光マンションタイプ、固定IPなし)という状況です。
ちなみに、フレッツグループ東西の壁に阻まれての策です。
最後の手段はPacketiX(旧Softether)ですが、ちょっとPC分かってるヤツに
電話で人間リモート設定させたら、いくらでも経路が開けてしまうので
使いたくはないのですが・・・・・
もちろん今はポートも閉じてPacketiX不能にしています。
結局のところ・・・・・・・・・
藻前ら頼む背中を押してくれ!
おいちゃん、一人で踏み出すのヤだよ!って事です。
「帰れ!」でも良いので一言お願いします。
IP固定してIPSecにしてるうちの本支社間はエクセル数秒で開くよ。
もちろんIPSecだから57iじゃできないけど。
詳しいことはエロイ人に任せるしかできないにわか管理者なのでsage
もちろんIPSecだから57iじゃできないけど。
詳しいことはエロイ人に任せるしかできないにわか管理者なのでsage
>>253
理論上、PacketiXでの通信速度とVPNでの通信速度の差は
同じ回線使う限り暗号化による遅延だけでしょ?
Bフレッツそのもののスループットが出てるなら、あとは
トンネル数の問題じゃね?
ぶっちゃけ、スキルうp!!!を目指すなら漢らしくOpenVPNでどうよ。
理論上、PacketiXでの通信速度とVPNでの通信速度の差は
同じ回線使う限り暗号化による遅延だけでしょ?
Bフレッツそのもののスループットが出てるなら、あとは
トンネル数の問題じゃね?
ぶっちゃけ、スキルうp!!!を目指すなら漢らしくOpenVPNでどうよ。
安定運用するならRTX対抗でIPSecだろ
PacketiXってPCに入れるんだろ?
PCよりはRTXの方が故障率低いだろ
PacketiXってPCに入れるんだろ?
PCよりはRTXの方が故障率低いだろ
>以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。
まったく環境が違うけど、RT57iとXPでPPTP接続って環境は恐ろしく遅かった。安定はしていたけど。
ヤマハにも問い合わせても「問題無し」と言われ、ハード板の人には「パケットサイズ調整しる」と言われたけど、面倒だからそのまま使ってる。
RT57iとRTW65bとのPPTPもイマイチだった。普段は安定してるけど。一端ご機嫌を損ねるとピポピポ鳴りまくり。
両方リセットしないと復旧しない
まったく環境が違うけど、RT57iとXPでPPTP接続って環境は恐ろしく遅かった。安定はしていたけど。
ヤマハにも問い合わせても「問題無し」と言われ、ハード板の人には「パケットサイズ調整しる」と言われたけど、面倒だからそのまま使ってる。
RT57iとRTW65bとのPPTPもイマイチだった。普段は安定してるけど。一端ご機嫌を損ねるとピポピポ鳴りまくり。
両方リセットしないと復旧しない
258 :anonymous@ ip70-174-150-78.dc.dc.cox.net:2006/11/28(火) 16:57:41 ID:???
RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから
潤沢なメモリとCPUパワーありまくりのPacketiXや(CPUの消費電力だけ見ても
PCのCPUはバケモノ級)IPSec専用ハード搭載のRTXと比較したら可哀想な気がする。
潤沢なメモリとCPUパワーありまくりのPacketiXや(CPUの消費電力だけ見ても
PCのCPUはバケモノ級)IPSec専用ハード搭載のRTXと比較したら可哀想な気がする。
>>257
その音は消せるわけだが・・・
その音は消せるわけだが・・・
会社のエロイ人に進言ミスって、フレッツグループなしで全拠点VPN組む事になりそうな勢いです。
1拠点設定書き上げたら、あとはマイナーチェンジだからまぁいいけど・・・・・(´д`;)
皆の者、レスありがとうございました。
>>254
IPsecは早いのか・・・・前の会社のPPTPは、固定IPなしだと一日何回も落ちてたらしく、固定取って設定し直してたので・・・
Asahiは固定IP500円だし、RT58iよりRT107eを買うお小遣いをもらえるように稟議書書いてみようかなぁ・・・。
>>255
RTXのコマンドリファレンスと設定事例集を相手にハァハァハァハァしてるときに、
そもそもPPTPとIPsecの違いってなんだ?PPTPの方が、固定IP代なしでRT107eより安いRT58iで済んで機器代金もお得なのか?
と、"PPTP IPsec"ってググると無料のOpenVPNを見つけた。
どんなモノだったかと落として脳みそアボーンでした。
漢になりたいぜ・・・・・・・・・・・・・・・・・・・・・・・(´д`
1拠点設定書き上げたら、あとはマイナーチェンジだからまぁいいけど・・・・・(´д`;)
皆の者、レスありがとうございました。
>>254
IPsecは早いのか・・・・前の会社のPPTPは、固定IPなしだと一日何回も落ちてたらしく、固定取って設定し直してたので・・・
Asahiは固定IP500円だし、RT58iよりRT107eを買うお小遣いをもらえるように稟議書書いてみようかなぁ・・・。
>>255
RTXのコマンドリファレンスと設定事例集を相手にハァハァハァハァしてるときに、
そもそもPPTPとIPsecの違いってなんだ?PPTPの方が、固定IP代なしでRT107eより安いRT58iで済んで機器代金もお得なのか?
と、"PPTP IPsec"ってググると無料のOpenVPNを見つけた。
どんなモノだったかと落として脳みそアボーンでした。
漢になりたいぜ・・・・・・・・・・・・・・・・・・・・・・・(´д`
261 : :2006/11/28(火) 23:37:04 ID:???
遠隔地を接続するとき、帯域の太さより遅延時間が重要なのは常識。
20msを超えてくるとWindows系は目に見えて遅くなってくる。
20msを超えてくるとWindows系は目に見えて遅くなってくる。
>>260
VPN自体の運用効率を考えるなら、YAMAHAに
こだわる必要自体無いような(ry
Netscreenとかのほうが補完的にリモートアクセスさせてやれたり
するぶん、上が喜びそうな話で言えばTCOが削減(笑)できたり。
個人的には比較的廉価にINSバックうpができるRTX1100大好きだけどね。
VPN自体の運用効率を考えるなら、YAMAHAに
こだわる必要自体無いような(ry
Netscreenとかのほうが補完的にリモートアクセスさせてやれたり
するぶん、上が喜びそうな話で言えばTCOが削減(笑)できたり。
個人的には比較的廉価にINSバックうpができるRTX1100大好きだけどね。
>RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから
表現が悪かったお。正確には「遅い」んじゃなくて、「パケットづまり」見たいな事が起こる。AirEdgeのアレみたいな感じ。
一端流れ出すとMbps単位は出てるので、RT57i自体はコスパから言えば、漏れは十分だと思う。
>その音は消せるわけだが・・・
Beepを消しても、機嫌が悪くなるのが直る訳じゃないんで…
逆に、Beepのおかげで機嫌が悪くなったのが分かる。
filterで引っかけてBeepを鳴らす機能があると、トラブルシューティングの時に便利カナ?とか思う時がある。
表現が悪かったお。正確には「遅い」んじゃなくて、「パケットづまり」見たいな事が起こる。AirEdgeのアレみたいな感じ。
一端流れ出すとMbps単位は出てるので、RT57i自体はコスパから言えば、漏れは十分だと思う。
>その音は消せるわけだが・・・
Beepを消しても、機嫌が悪くなるのが直る訳じゃないんで…
逆に、Beepのおかげで機嫌が悪くなったのが分かる。
filterで引っかけてBeepを鳴らす機能があると、トラブルシューティングの時に便利カナ?とか思う時がある。
PPTPは高負荷やパケロスに弱い気がする。
基幹を安定運用ならIPsecでしょな
基幹を安定運用ならIPsecでしょな
265 :anonymous@ k174171.ppp.asahi-net.or.jp:2006/11/29(水) 12:58:49 ID:NcTZtj7Z
YAMAHAのルータの場合,PPTPはソフトウエア処理になるので,IPSec
と比較すると遅い。ちなみに,IPSecはハードウエアで処理されます。
問題は,RT57iのようなネットボランチ系はIPSecに対応していないので,
IPSecに対応したルータ(RT107e等)でそろえる必要があるという
ところでしょうか。さらに,ネットボランチDNSを使えば,固定IP
でなくても,IPSecができちゃうところが,YAMAHAのいいところだと思います。
うちも全拠点Bフレッツで,ルータはRTV700でIPSecをくんでいますが,
全く安定していますよ。セッションが切れるのは1ヶ月に1回もない感じ。
PPTPだと,クライアント側からの接続になるので,セッションが
切れてしまうと,サーバー側から,セッションをはれないので
,一度切れてしまうと,クライアントからの接続がない限り切れっ
ぱなしになってしまいます。基本的に,リモートアクセス用なので,
ネットワーク間接続はIPSecを使ってくれというのが,YAMAHAの考えだと思います。
Excel開くのに数分かかっていたというのは,PPTPなので,スループットが
出ていなかったことと,遅延の問題だと思います。Windowsのファイル共有
で使用されるプロトコルSMBは遅延があると,パフォーマンスが
ものすごく落ちます。IPSecにすれば,スループットが改善されるので,
多少は改善されるでしょうが,遅延はどうしようもありません。
抜本的な解決策は,Vistaで導入されるSMB 2.0を待つか,ネットワーク高速化装置
を導入することです。しかしながら,非常に高価(100万円以上)で,
かなり予算がないと難しいと思います。ちなみに,SMB 2.0では遅延が
あるネットワークでもパフォーマンスが下がらないように改善されるようです。
と比較すると遅い。ちなみに,IPSecはハードウエアで処理されます。
問題は,RT57iのようなネットボランチ系はIPSecに対応していないので,
IPSecに対応したルータ(RT107e等)でそろえる必要があるという
ところでしょうか。さらに,ネットボランチDNSを使えば,固定IP
でなくても,IPSecができちゃうところが,YAMAHAのいいところだと思います。
うちも全拠点Bフレッツで,ルータはRTV700でIPSecをくんでいますが,
全く安定していますよ。セッションが切れるのは1ヶ月に1回もない感じ。
PPTPだと,クライアント側からの接続になるので,セッションが
切れてしまうと,サーバー側から,セッションをはれないので
,一度切れてしまうと,クライアントからの接続がない限り切れっ
ぱなしになってしまいます。基本的に,リモートアクセス用なので,
ネットワーク間接続はIPSecを使ってくれというのが,YAMAHAの考えだと思います。
Excel開くのに数分かかっていたというのは,PPTPなので,スループットが
出ていなかったことと,遅延の問題だと思います。Windowsのファイル共有
で使用されるプロトコルSMBは遅延があると,パフォーマンスが
ものすごく落ちます。IPSecにすれば,スループットが改善されるので,
多少は改善されるでしょうが,遅延はどうしようもありません。
抜本的な解決策は,Vistaで導入されるSMB 2.0を待つか,ネットワーク高速化装置
を導入することです。しかしながら,非常に高価(100万円以上)で,
かなり予算がないと難しいと思います。ちなみに,SMB 2.0では遅延が
あるネットワークでもパフォーマンスが下がらないように改善されるようです。
>>253
RT107e のIPSec いいよ!
GUI で設定できちゃうし簡単だよ!
うちもRT57i から107e にマイグレーション(なんて大層なものじゃないけど)したよ!
パソコントラブルはあっても、ネットワークトラブルは1年弱になるけど起こっていないです。
RT107e のIPSec いいよ!
GUI で設定できちゃうし簡単だよ!
うちもRT57i から107e にマイグレーション(なんて大層なものじゃないけど)したよ!
パソコントラブルはあっても、ネットワークトラブルは1年弱になるけど起こっていないです。
>PPTPだと,クライアント側からの接続になるので,セッションが
>切れてしまうと,サーバー側から,セッションをはれないので
ちなみに、RTシリーズ対向なら、サーバーからセッション張れるよ。
正確には、サーバーからクライアントに「セッション張って」ってパケットを出して、クライアントが張りに来る。
>切れてしまうと,サーバー側から,セッションをはれないので
ちなみに、RTシリーズ対向なら、サーバーからセッション張れるよ。
正確には、サーバーからクライアントに「セッション張って」ってパケットを出して、クライアントが張りに来る。
何故か会社からコソーリ見ると、レスが240辺りで止まってて見れない。。。。
ftp、wwwやらそれ系をダイナミックでOUTの設定して、全てのINを遮断してからレスが止まった気がする。
しかし、前任者が一応のフィルターの設定してたけど、ip secure firter IN/OUTは設定されていなかった環境は渋いぜ。
明日のジョーばりのノーガードファイアウォール(゜Д゜`)
>>262
正直、FWで使われる機器という事しか知らない・・・・
いやむしろYAMAHAのルータ以外知らないw
>>265
長文サンクス。
Asahiネットで固定IP500円だから取る気でいたけど、なくてもいいかな〜と思ってみたりしてます。
>PPTPだと,クライアント側からの接続になるので,セッションが
>切れてしまうと,サーバー側から,セッションをはれないので
前の会社で何度も再起動か、GUI画面から再接続かしてもらってたの思い出しました。
まさにそんなカンジでしたね。
>>266
とりあえず、今日はIPsec>>>>PPTPと上司に吹き込む材料作ってたw
価格.comで見たらRT58iが3.3万、RT107eが4.3万だったし、いけるw
猫のウンコ様。
今リアルに猫がウンコして、くっさいです。いつもよりエラく臭ってます。
強烈です。
エサ変えたのが悪かったか・・・・(´Д`;)
ftp、wwwやらそれ系をダイナミックでOUTの設定して、全てのINを遮断してからレスが止まった気がする。
しかし、前任者が一応のフィルターの設定してたけど、ip secure firter IN/OUTは設定されていなかった環境は渋いぜ。
明日のジョーばりのノーガードファイアウォール(゜Д゜`)
>>262
正直、FWで使われる機器という事しか知らない・・・・
いやむしろYAMAHAのルータ以外知らないw
>>265
長文サンクス。
Asahiネットで固定IP500円だから取る気でいたけど、なくてもいいかな〜と思ってみたりしてます。
>PPTPだと,クライアント側からの接続になるので,セッションが
>切れてしまうと,サーバー側から,セッションをはれないので
前の会社で何度も再起動か、GUI画面から再接続かしてもらってたの思い出しました。
まさにそんなカンジでしたね。
>>266
とりあえず、今日はIPsec>>>>PPTPと上司に吹き込む材料作ってたw
価格.comで見たらRT58iが3.3万、RT107eが4.3万だったし、いけるw
猫のウンコ様。
今リアルに猫がウンコして、くっさいです。いつもよりエラく臭ってます。
強烈です。
エサ変えたのが悪かったか・・・・(´Д`;)
RTX1100が侵入検知した。
地図とか重いデータ落とすためにセッション多数張った結果だったらしい。
地図とか重いデータ落とすためにセッション多数張った結果だったらしい。
井上氏の本が改訂第二版で出たよー
271 :anonymous@ d242061.ppp.asahi-net.or.jp:2006/12/20(水) 09:15:45 ID:9ekIBa0A
pptpが繋がりません。ルータのFW設定切ったら繋がるので、原因はフィルターの設定です。
1723通してるのにどこが悪いのか、ご指摘お願いします。
ちなみにIPsecも使っていますが、こちらは問題なく繋がっています。
IN側設定
ip filter 1 reject 192.168.1.0/24 *
ip filter 2 pass * 192.168.1.0/24 icmp
ip filter 3 pass * 192.168.1.1 udp * 500
ip filter 4 pass * 192.168.1.1 esp
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
ip filter 1000 reject * *
OUT側設定
ip filter 101 reject * * udp,tcp 135 *
ip filter 102 reject * * udp,tcp * 135
ip filter 103 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 104 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 105 reject * * udp,tcp 445 *
ip filter 106 reject * * udp,tcp * 445
ip filter 107 pass 192.168.1.0/24 * tcp * 22
ip filter 200 reject * * established
ip filter 300 reject * * established
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 107
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
1723通してるのにどこが悪いのか、ご指摘お願いします。
ちなみにIPsecも使っていますが、こちらは問題なく繋がっています。
IN側設定
ip filter 1 reject 192.168.1.0/24 *
ip filter 2 pass * 192.168.1.0/24 icmp
ip filter 3 pass * 192.168.1.1 udp * 500
ip filter 4 pass * 192.168.1.1 esp
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
ip filter 1000 reject * *
OUT側設定
ip filter 101 reject * * udp,tcp 135 *
ip filter 102 reject * * udp,tcp * 135
ip filter 103 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 104 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 105 reject * * udp,tcp 445 *
ip filter 106 reject * * udp,tcp * 445
ip filter 107 pass 192.168.1.0/24 * tcp * 22
ip filter 200 reject * * established
ip filter 300 reject * * established
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 107
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
>>271
IN側がdeny allポリシーでOUTがallowってのに拒否反応を感じる俺ガイル
それはさておき、あってるかわからんが、IPsecはL2TP over IPsecだと
仮定した場合、L2TPはUDPに対してPPTPはTCP。
で、OUT側でACK付のパケ叩き落してるみたいだし
そこが関係してるんじゃない?(クライアントからのSYNに応答できん)
IN側がdeny allポリシーでOUTがallowってのに拒否反応を感じる俺ガイル
それはさておき、あってるかわからんが、IPsecはL2TP over IPsecだと
仮定した場合、L2TPはUDPに対してPPTPはTCP。
で、OUT側でACK付のパケ叩き落してるみたいだし
そこが関係してるんじゃない?(クライアントからのSYNに応答できん)
ああ・・・Winnyフィルタ入れた時のip filter 200 reject * * established。
これってACK付パケット遮断するのか・・・・・・・・・orz
これが@ITの律子さんとYAMAHAの取説・設定事例集読み漁った程度の俺の限界か。。。
でも、とりあえずSoftetherフィルタにもなるらしい事が判った。
272さんthx。
帰ってからpptp試してみる。
これってACK付パケット遮断するのか・・・・・・・・・orz
これが@ITの律子さんとYAMAHAの取説・設定事例集読み漁った程度の俺の限界か。。。
でも、とりあえずSoftetherフィルタにもなるらしい事が判った。
272さんthx。
帰ってからpptp試してみる。
ログぐらい見れや
ログがどこにあるのか知らない俺ガイル。
明日ログの事を調べてみます。
とりあえず帰ってpptp→接続できましたが、LAN内のマシンにはつながらず。。。。
めげたorz
それにしてもpptpってめちゃくちゃ遅いですね。
ADSL12M(実測4M)の無線LAN環境とはいえ、コマンドプロンプトすら数秒ごとに固まりました。
明日ログの事を調べてみます。
とりあえず帰ってpptp→接続できましたが、LAN内のマシンにはつながらず。。。。
めげたorz
それにしてもpptpってめちゃくちゃ遅いですね。
ADSL12M(実測4M)の無線LAN環境とはいえ、コマンドプロンプトすら数秒ごとに固まりました。
276 :anonymous@ pl173.nas931.mito.nttpc.ne.jp:2006/12/21(木) 20:51:14 ID:???
>>275
GREは通ってる?
GREは通ってる?
pptpに関わる設定は、
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
あとnat descriptor masquerade staticの1723とgreかな。
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
あとnat descriptor masquerade staticの1723とgreかな。
278 :???:2006/12/21(木) 23:13:04 ID:Hen6kXS9
>>277
PPTPが接続できてLAN内のマシンに繋がらんって意味ワカランのだが。
ルータは通ってVPN鯖までは到達してるが、って話なら、後はVPN鯖側の
問題じゃねーの?
つーかそもそもだな、動的フィルタでサービス切ってるのにPPTPだけ
静的フィルタにするのはなんで? >>272 じゃないが、establishedをreject
するぐらいなら、reject allにして、動的フィルタとSYNパケpass静的フィルタを
使用するサービス全部まとめて定義したほうが手っ取り早いじゃんよ。
PPTPが接続できてLAN内のマシンに繋がらんって意味ワカランのだが。
ルータは通ってVPN鯖までは到達してるが、って話なら、後はVPN鯖側の
問題じゃねーの?
つーかそもそもだな、動的フィルタでサービス切ってるのにPPTPだけ
静的フィルタにするのはなんで? >>272 じゃないが、establishedをreject
するぐらいなら、reject allにして、動的フィルタとSYNパケpass静的フィルタを
使用するサービス全部まとめて定義したほうが手っ取り早いじゃんよ。
>PPTPが接続できてLAN内のマシンに繋がらんって意味ワカランのだが。
正直俺もワカラン。
ルータへはpp anonymousの設定でPPTPトンネルが繋がるものの、192.168.1.1以外にはpingも通らなかった。
ルータからping送ると反応あるし、意味不明。
>手っ取り早いじゃんよ。
色んな設定事例集からのコピペが基本だからな・・・・・
最近始点、終点とかの意味が分かるようになって、なんとなく良さげなモノを貼り合わせてる。
同じ通すなら動的と静的で何がどう違うか、ちゃんと理解もしてないしね。
並みの管理者になりたかったが、夢のまま俺の人生終わりそうだわ。
もう少し早くネットワークの世界に触れたかった。
正直俺もワカラン。
ルータへはpp anonymousの設定でPPTPトンネルが繋がるものの、192.168.1.1以外にはpingも通らなかった。
ルータからping送ると反応あるし、意味不明。
>手っ取り早いじゃんよ。
色んな設定事例集からのコピペが基本だからな・・・・・
最近始点、終点とかの意味が分かるようになって、なんとなく良さげなモノを貼り合わせてる。
同じ通すなら動的と静的で何がどう違うか、ちゃんと理解もしてないしね。
並みの管理者になりたかったが、夢のまま俺の人生終わりそうだわ。
もう少し早くネットワークの世界に触れたかった。
280 :anonymous@ eatkyo491189.adsl.ppp.infoweb.ne.jp:2006/12/22(金) 00:59:51 ID:???
ふと思ったけれど、Proxy ARP を有効にしてみたらどうだろう。
なんか情報を小出しにされてるようで
クイズじゃないんだから回答する側が想像ふくらませて回答するのもね・・・・
障害の切り分け出来ないなら
設定丸ごとのせてみたら?
PCからのアノニマスなら
とりあえず下記のサンプルとくらべて足りない部分探してね
http://www.rtpro.yamaha.co.jp/RT/docs/example/pptp/pptp_example1.html
設定例集のコピペなら自分のところとIPアドレスとあってるかも確認してね
クイズじゃないんだから回答する側が想像ふくらませて回答するのもね・・・・
障害の切り分け出来ないなら
設定丸ごとのせてみたら?
PCからのアノニマスなら
とりあえず下記のサンプルとくらべて足りない部分探してね
http://www.rtpro.yamaha.co.jp/RT/docs/example/pptp/pptp_example1.html
設定例集のコピペなら自分のところとIPアドレスとあってるかも確認してね
>>279
>動的と静的の違い
こんなん理解とか言う以前だろ。設定例集読んでもいねーじゃん。
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
そもそもおたくのout側の動的フィルタは(さらされてる設定を見る限り)
全く無意味なのわかってんの?
全部filter 2000で通ってるだけだよ?
>動的と静的の違い
こんなん理解とか言う以前だろ。設定例集読んでもいねーじゃん。
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
そもそもおたくのout側の動的フィルタは(さらされてる設定を見る限り)
全く無意味なのわかってんの?
全部filter 2000で通ってるだけだよ?
283 :anonymous@ u040146.ppp.asahi-net.or.jp:2006/12/22(金) 09:31:52 ID:???
>>282
>そもそもおたくのout側の動的フィルタは(さらされてる設定を見る限り)
>全く無意味なのわかってんの?
確かに設定は緩めだが無意味じゃないよ
内→外 のパケット、特定のポート以外は一方通行で戻っては来ない
>そもそもおたくのout側の動的フィルタは(さらされてる設定を見る限り)
>全く無意味なのわかってんの?
確かに設定は緩めだが無意味じゃないよ
内→外 のパケット、特定のポート以外は一方通行で戻っては来ない
いいすぎましたごめんなさい
>>284
ワロスw
ワロスw
今まで自宅のPCも含めFWいじったことがなかったので、緩くしてました。
とりあえずOUT側キツくして失敗したら、即ユーザーが困る(→怒って俺のトコ来て俺も困る)ので
つながればいいや的な。
>>281
確かにpptpの設定もちゃんと晒してから聞くべきでした。
萎え気分先行しすぎて、どーでもよくなってたので・・・・スマソ。
pptpクライアントに割り当てるIPが192.168.1.180-182だから、多分>>280さんの言うとおりです。
#ついてたから、ip lan1 proxyarp onを見落として抜いてしまっていたようですorz
本の設定事例集に比べ、Webの方ってかなり丁寧ですね。
8割方本に頼ってました。
短絡的に設定そのものと、構文の成り立ちをコマンドリファレンスで追い求めてたのが失敗。。。
>>284
どういう風に聞いたらいいのかも分かってないヤツ相手は、俺も鬱陶しいと思います(´д`;)
気持ちは判る・・・・・・・なんて自分で言っていいものかw
とりあえずOUT側キツくして失敗したら、即ユーザーが困る(→怒って俺のトコ来て俺も困る)ので
つながればいいや的な。
>>281
確かにpptpの設定もちゃんと晒してから聞くべきでした。
萎え気分先行しすぎて、どーでもよくなってたので・・・・スマソ。
pptpクライアントに割り当てるIPが192.168.1.180-182だから、多分>>280さんの言うとおりです。
#ついてたから、ip lan1 proxyarp onを見落として抜いてしまっていたようですorz
本の設定事例集に比べ、Webの方ってかなり丁寧ですね。
8割方本に頼ってました。
短絡的に設定そのものと、構文の成り立ちをコマンドリファレンスで追い求めてたのが失敗。。。
>>284
どういう風に聞いたらいいのかも分かってないヤツ相手は、俺も鬱陶しいと思います(´д`;)
気持ちは判る・・・・・・・なんて自分で言っていいものかw
>>283
>内→外 のパケット、特定のポート以外は一方通行で戻っては来ない
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
一部を除いて全部もどってくるよw
>内→外 のパケット、特定のポート以外は一方通行で戻っては来ない
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
一部を除いて全部もどってくるよw
ここはTCP/IP初心者のすくつですか?
WAN 側の回線を ADSL → 光 に切り替える予定があって
遠隔から設定を変更することを考えています。リモートセットアップは使用不可です。
ADSL と光を同時に使える期間は存在するとして
光に切り替える時に ADSL 用の pp 1 の接続設定(PPPoE 認証情報除く)を
pp 2 にコピーして ip route default gateway pp 2 にして save&restart すれば
問題なく切り替わるものなのでしょうか?
遠隔から設定を変更することを考えています。リモートセットアップは使用不可です。
ADSL と光を同時に使える期間は存在するとして
光に切り替える時に ADSL 用の pp 1 の接続設定(PPPoE 認証情報除く)を
pp 2 にコピーして ip route default gateway pp 2 にして save&restart すれば
問題なく切り替わるものなのでしょうか?
290 :anonymous@ v023187.ppp.asahi-net.or.jp:2006/12/27(水) 10:57:03 ID:0B7k29+l
>>289
リモートセットアップができないなら,リモートでの切替はやめた方がいいです。
現地に行って作業することを強く薦めます。
上記の手順でうまくいくと思うが,この手の作業はたいていトラブルので,絶対
現地でやるべきだと思う。
どういう理由で遠隔操作で切替なければならないのかわかりませんが,トラブって
困るのはあなたですので,気をつけてください。
リモートセットアップができないなら,リモートでの切替はやめた方がいいです。
現地に行って作業することを強く薦めます。
上記の手順でうまくいくと思うが,この手の作業はたいていトラブルので,絶対
現地でやるべきだと思う。
どういう理由で遠隔操作で切替なければならないのかわかりませんが,トラブって
困るのはあなたですので,気をつけてください。
>>289
InternetVPNであたりでつながったさきのルータとすると
(1)RTX1000/1100/1500 あたりでLAN3あたりがあいているなら、光をLAN3に接続する。
(ADSLと同時につなぐということ)
(2)pp2をLAN3に設定する
(3)PP21つかったVPNをいかすため IP route (接続先のIP) gateway pp1
をかいておく
(4)pp2 ものルートも書いておく IP route (接続先のIP) gatweay pp2
(5)pp2のPPPoEが正しく接続できることを確認する。
(6)自分側のルータのVPN接続先IPを光のIPにする。
(7)VPNができたら光に切り替えるため、デフォルトゲートウェイなどを光のほう
にする。
(8)だめだったら自分側のルータのVPN接続先をADSLにする。
(9)切り替えができたらsaveする。
※最悪、現地でルータの電源ON/OFFをすれば設定がもどせるようにsaveは最後にする。
これでどうでしょ?
InternetVPNであたりでつながったさきのルータとすると
(1)RTX1000/1100/1500 あたりでLAN3あたりがあいているなら、光をLAN3に接続する。
(ADSLと同時につなぐということ)
(2)pp2をLAN3に設定する
(3)PP21つかったVPNをいかすため IP route (接続先のIP) gateway pp1
をかいておく
(4)pp2 ものルートも書いておく IP route (接続先のIP) gatweay pp2
(5)pp2のPPPoEが正しく接続できることを確認する。
(6)自分側のルータのVPN接続先IPを光のIPにする。
(7)VPNができたら光に切り替えるため、デフォルトゲートウェイなどを光のほう
にする。
(8)だめだったら自分側のルータのVPN接続先をADSLにする。
(9)切り替えができたらsaveする。
※最悪、現地でルータの電源ON/OFFをすれば設定がもどせるようにsaveは最後にする。
これでどうでしょ?
292 :anonymous@ softbank218126090010.bbtec.net:2006/12/28(木) 00:46:58 ID:???
His judgement cometh and that right soon
男性諸君、結婚すると不幸になる。女の外面は綺麗で清潔で良い人、内面はずるくて汚いため、口も悪い+嘘つき+女同士も上辺仲良し裏では悪口三昧
女の成分はA(性悪陰湿残忍+損得自己中感情)+B(良い女演技+体形+整形化粧+ファッション)
↑良い女演技は好きな男>>異次元>>男集団>他人の順に良くなる。年齢とともにBのメッキがはがれ内外ともに醜くなる(Aの良い女は極少数)
女は「人生の不良債権、北朝鮮、金メッキを施したゴキブリ」
社会的に男女は対等で平等。男が女を養ったり守る必要はない「見切れ!見切り千両!私不幸なの?嘘!泣いてます?演技!情けは不要!つけこまれるぞ」
女は社会的優遇、過剰な法的保護、仕事と家庭の二束のわらじを得て、女尊男卑〜結婚しようとする君を彼女は陰で小馬鹿にしている事でしょう〜
★結婚は保留し、沢山の女性と自由に恋愛(sex)を楽しめ♪★避妊必須
★捨てた女は優しい真面目男が結婚(残飯処理)してくれるさw★
それでも結婚する君へ究極護身法→[夫婦財産契約登記]
夫婦財産契約により、自分の稼いだ財産はすべて自分の物
離婚時に財産の半分を配偶者に取られない
弱い者いじめは最低と言いつつ、赤ちゃんを殺す母親(そして無罪判決(笑
狙撃は女子のほうが強い。男は、ノイローゼになってやめてしまうが
女は何人殺してもノイローゼにならない。そして、骨盤が安定しているため
ナチスの拷問で、女の拷問の残虐非道さを見て、拷問をしていた男達もひいたという
拷問しながら楽しそうに笑みをうかべていたそうだ。罪悪感や引け目が無い
・有史以前が女尊男卑の時代だったことを指摘したのは、スイスの学者バッハオーフィン
アマゾン女族の女王は、法律を定め、男達には卑しい奴隷の仕事を課した
男児が生まれたら、生き埋めにするか、脚と腕を不自由にして、戦えなくし奴隷とした
・王位継承権が女性にだけあった古代エジプトでは女性権力が非常に大きかった
・日本でも卑弥呼が女王
http://kr.img.dc.yahoo.com/b1/data/dci_etc/76.wmv ←女集団が、女一人をリンチしている動画(執拗に蹴り続けながら皆楽しんでる
女は虐げられてきた?父系社会など人類の歴史から見ればほんのわずかな期間に過ぎない。むしろ・・
男性諸君、結婚すると不幸になる。女の外面は綺麗で清潔で良い人、内面はずるくて汚いため、口も悪い+嘘つき+女同士も上辺仲良し裏では悪口三昧
女の成分はA(性悪陰湿残忍+損得自己中感情)+B(良い女演技+体形+整形化粧+ファッション)
↑良い女演技は好きな男>>異次元>>男集団>他人の順に良くなる。年齢とともにBのメッキがはがれ内外ともに醜くなる(Aの良い女は極少数)
女は「人生の不良債権、北朝鮮、金メッキを施したゴキブリ」
社会的に男女は対等で平等。男が女を養ったり守る必要はない「見切れ!見切り千両!私不幸なの?嘘!泣いてます?演技!情けは不要!つけこまれるぞ」
女は社会的優遇、過剰な法的保護、仕事と家庭の二束のわらじを得て、女尊男卑〜結婚しようとする君を彼女は陰で小馬鹿にしている事でしょう〜
★結婚は保留し、沢山の女性と自由に恋愛(sex)を楽しめ♪★避妊必須
★捨てた女は優しい真面目男が結婚(残飯処理)してくれるさw★
それでも結婚する君へ究極護身法→[夫婦財産契約登記]
夫婦財産契約により、自分の稼いだ財産はすべて自分の物
離婚時に財産の半分を配偶者に取られない
弱い者いじめは最低と言いつつ、赤ちゃんを殺す母親(そして無罪判決(笑
狙撃は女子のほうが強い。男は、ノイローゼになってやめてしまうが
女は何人殺してもノイローゼにならない。そして、骨盤が安定しているため
ナチスの拷問で、女の拷問の残虐非道さを見て、拷問をしていた男達もひいたという
拷問しながら楽しそうに笑みをうかべていたそうだ。罪悪感や引け目が無い
・有史以前が女尊男卑の時代だったことを指摘したのは、スイスの学者バッハオーフィン
アマゾン女族の女王は、法律を定め、男達には卑しい奴隷の仕事を課した
男児が生まれたら、生き埋めにするか、脚と腕を不自由にして、戦えなくし奴隷とした
・王位継承権が女性にだけあった古代エジプトでは女性権力が非常に大きかった
・日本でも卑弥呼が女王
http://kr.img.dc.yahoo.com/b1/data/dci_etc/76.wmv ←女集団が、女一人をリンチしている動画(執拗に蹴り続けながら皆楽しんでる
女は虐げられてきた?父系社会など人類の歴史から見ればほんのわずかな期間に過ぎない。むしろ・・
293 :anonymous@ 219-101-94-46.flets.tribe.ne.jp:2007/01/03(水) 15:58:06 ID:???
フィルターの設定で
LANからWANでたUDPの帰りのパケットを自動的に通信許可してくれるような設定は無いものでしょうか?
LANからWANでたUDPの帰りのパケットを自動的に通信許可してくれるような設定は無いものでしょうか?
動的フィルタ設定すれば良いんじゃないか
漏れ、業務用ルータの設定なんて初めてなんだが、この
動的フィルタって、他のルータとかでも一般的な機能なんですか?
便乗スマソ
動的フィルタって、他のルータとかでも一般的な機能なんですか?
便乗スマソ
家庭用だとついてる
データセンタで使うような物にはついてないことが多い
動的フィルタ=セッション追従を行う=セッション情報をルータ内で記録する必要がある。
ので、冗長化・負荷分散の際に制約になるんよ
帰りのパケットが同じルータを通る必要があるからね
最初からそんな機能付けずに、スループット上げた方が嬉しかったりするわけ。
データセンタで使うような物にはついてないことが多い
動的フィルタ=セッション追従を行う=セッション情報をルータ内で記録する必要がある。
ので、冗長化・負荷分散の際に制約になるんよ
帰りのパケットが同じルータを通る必要があるからね
最初からそんな機能付けずに、スループット上げた方が嬉しかったりするわけ。
>>296
d
d
298 :anonymous:2007/01/10(水) 16:48:17 ID:nUyhgnYZ
運用自体は問題なく言っているのだが物凄い気持ち悪いことがあるので質問させてください(;´Д`)
使用しているルーターは全部RTX1100です。
まずルーターが西日本にA,B,C,Dの4つがあります。
東日本にはA'の1個だけ。
AはA'にIPSec相互接続+B,C,Dにフレッツグループ接続。
B,C,Dはそれぞれ相互フレッツグループで繋がってます(A'には繋がってません)。
この状態でAからB,C,D,A'全てにPINGが通りません。
またそれぞれのルーターの下にぶらさがるPCに対してもPINGが通りません。
しかしAの下にぶら下がるPCからはB,C,D,A'にPINGが通り、その下のPCにもPINGが通ります。
ルーターB,C,D及びその下のPCからルーターAにはPINGが通ります。
ルーターA'からは全てのルーターにPINGが通らず、各ルーターにぶら下がるPCにも通りません。
しかしA'にぶら下がるPCからは全てのPINGが通ります。
PINGが通らない部分はどんな原因(可能性)で通らなくなっているか解る方いますかね?
PCからのやり取りは全て問題ないので直す必要も無いと言えばないのですが、
ルーターからのPINGのみ一部全然通らないことが気持ち悪くて('A`)
ちなみに帯域を測る機能もうまく動かないので、この辺が関係しているんじゃないかと思ってます。
使用しているルーターは全部RTX1100です。
まずルーターが西日本にA,B,C,Dの4つがあります。
東日本にはA'の1個だけ。
AはA'にIPSec相互接続+B,C,Dにフレッツグループ接続。
B,C,Dはそれぞれ相互フレッツグループで繋がってます(A'には繋がってません)。
この状態でAからB,C,D,A'全てにPINGが通りません。
またそれぞれのルーターの下にぶらさがるPCに対してもPINGが通りません。
しかしAの下にぶら下がるPCからはB,C,D,A'にPINGが通り、その下のPCにもPINGが通ります。
ルーターB,C,D及びその下のPCからルーターAにはPINGが通ります。
ルーターA'からは全てのルーターにPINGが通らず、各ルーターにぶら下がるPCにも通りません。
しかしA'にぶら下がるPCからは全てのPINGが通ります。
PINGが通らない部分はどんな原因(可能性)で通らなくなっているか解る方いますかね?
PCからのやり取りは全て問題ないので直す必要も無いと言えばないのですが、
ルーターからのPINGのみ一部全然通らないことが気持ち悪くて('A`)
ちなみに帯域を測る機能もうまく動かないので、この辺が関係しているんじゃないかと思ってます。
>>298
書いた方がよさげなもの:
・ネットワークの構成図(プライベートアドレスで作っているならIPアドレスは全部書いても大丈夫なはず)
・ルータは複数のIPアドレスを持つはずだけど,どこのアドレスに向かってpingを打っているか
・tracerouteの結果
・フレッツ・グループはトンネル掘ってるのか,IPアドレスの払い出しを受けているのか
個人的な予想
・ルータからping打つときトンネルの中を通してる(始点IPアドレスはどこよ)?
東日本の人間なので,フレッツ・グループについて理解してないかもしれない点は
先に謝っておきます。
書いた方がよさげなもの:
・ネットワークの構成図(プライベートアドレスで作っているならIPアドレスは全部書いても大丈夫なはず)
・ルータは複数のIPアドレスを持つはずだけど,どこのアドレスに向かってpingを打っているか
・tracerouteの結果
・フレッツ・グループはトンネル掘ってるのか,IPアドレスの払い出しを受けているのか
個人的な予想
・ルータからping打つときトンネルの中を通してる(始点IPアドレスはどこよ)?
東日本の人間なので,フレッツ・グループについて理解してないかもしれない点は
先に謝っておきます。
>>299
pingコマンドの始点IPアドレスを指定したら問題なくping通りました。
打ったIPはグループで払い出されたIPからIPへ(ローカル)。
tracerouteコマンドは始点IPを指定できなかったので、1発目から応答なし。
グループ内は宛先がグループ内に割り振られているIPであればトンネルなし。
グループ内からグループ外はipipでグループにトンネル掘ってます。
各ルーターはグローバル(IPn契約及びDHCP混在)とローカルの両方のIP持ってます。
pingとかtraceroute通せないのがIPSec貼っていルーターだけなんで、
IPSec周りの設定が怪しいのですかね(;´Д`)
pingコマンドの始点IPアドレスを指定したら問題なくping通りました。
打ったIPはグループで払い出されたIPからIPへ(ローカル)。
tracerouteコマンドは始点IPを指定できなかったので、1発目から応答なし。
グループ内は宛先がグループ内に割り振られているIPであればトンネルなし。
グループ内からグループ外はipipでグループにトンネル掘ってます。
各ルーターはグローバル(IPn契約及びDHCP混在)とローカルの両方のIP持ってます。
pingとかtraceroute通せないのがIPSec貼っていルーターだけなんで、
IPSec周りの設定が怪しいのですかね(;´Д`)
IPマスカレードの設定について教えてくださいませ
rtx1000 8.01.20 つかってます
PPPoEでIPを1個もらっていて、Webサーバーを公開したい。
とりあえずフィルタは全部通し、外と通信できる状態にはなった。
LAN1のIPの設定はこんな感じ。
ip lan1 address 192.168.0.1/24
そしてIPマスカレードの設定を入れてみたんだけど
ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 192.168.0.2
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
これで、アクセスができない。
httpd host 192.168.0.3
ってやって、ブラウザで外経由でアクセスしたら、ルーターの基本認証がでてしまう。
これってまったく設定が効いてないんですよねきっと。
何か足りない設定ありますでしょうか?
rtx1000 8.01.20 つかってます
PPPoEでIPを1個もらっていて、Webサーバーを公開したい。
とりあえずフィルタは全部通し、外と通信できる状態にはなった。
LAN1のIPの設定はこんな感じ。
ip lan1 address 192.168.0.1/24
そしてIPマスカレードの設定を入れてみたんだけど
ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 192.168.0.2
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
これで、アクセスができない。
httpd host 192.168.0.3
ってやって、ブラウザで外経由でアクセスしたら、ルーターの基本認証がでてしまう。
これってまったく設定が効いてないんですよねきっと。
何か足りない設定ありますでしょうか?
> nat descriptor address inner 1 192.168.0.2
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www
よく見直せ馬鹿
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www
よく見直せ馬鹿
> 302
すいませんです
見直してもわからないです
下記ページの設定例を参考にしたのですが!
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/example/11.html#masquerade-nat
> nat descriptor address outer 1 133.176.200.200
> nat descriptor address inner 1 192.168.0.2
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www,https
どこがまずいのか教えていただけないでしょうか?
すいませんです
見直してもわからないです
下記ページの設定例を参考にしたのですが!
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/example/11.html#masquerade-nat
> nat descriptor address outer 1 133.176.200.200
> nat descriptor address inner 1 192.168.0.2
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www,https
どこがまずいのか教えていただけないでしょうか?
>301
nat descriptor address inner 1 192.168.0.2
を削除するといけるはずです。
ただ理由があって inner させたいというのであれば、
もう一度設定例と睨めっこした方がいいですね。
http://netvolante.jp/solution/int/case4.html も参考にどうぞ。
nat descriptor address inner 1 192.168.0.2
を削除するといけるはずです。
ただ理由があって inner させたいというのであれば、
もう一度設定例と睨めっこした方がいいですね。
http://netvolante.jp/solution/int/case4.html も参考にどうぞ。
> 304
レスありがとうございます!
もともとその設定で試していたのですが、それでもルーターのwwwに
アクセスしてしまっていたので、>301 の設定をしていたのでした。
いただいたURLを参考にしながら現在も格闘中です。
最終的にはこういうネットワーク構成にしたかったので、非常に
ありがたいです!
レスありがとうございます!
もともとその設定で試していたのですが、それでもルーターのwwwに
アクセスしてしまっていたので、>301 の設定をしていたのでした。
いただいたURLを参考にしながら現在も格闘中です。
最終的にはこういうネットワーク構成にしたかったので、非常に
ありがたいです!
>305
ルータのWeb機能を有効にしているのであれば、
ルータ自身のHTTP Listen Portを80以外にしないとどうやっても
ルータに着信してしまうかも知れませんね。
Web管理使わないなら httpd service off を1行加えてみて下さい。
お使いのファームウェアだとデフォルトonらしいので・・・。
ルータのWeb機能を有効にしているのであれば、
ルータ自身のHTTP Listen Portを80以外にしないとどうやっても
ルータに着信してしまうかも知れませんね。
Web管理使わないなら httpd service off を1行加えてみて下さい。
お使いのファームウェアだとデフォルトonらしいので・・・。
>307
むむ、そうでしたっけ。
なんだろうなぁ…(´ω`)。
むむ、そうでしたっけ。
なんだろうなぁ…(´ω`)。
> 306
現状の設定のまま、外部からアクセスしてもらったら、無事見れたとのこと。
なので、外部への公開はできていた。
でも、内部からのアクセスは、ルータにいってしまう。
で、httpdを止めてみたら、ページが表示できませんと出ました。
YAMAHAって内部から外部IPにアクセスしても、普通にルーティングされる
もんだと思っていたんだけど、どうなんでしょう?
現状の設定のまま、外部からアクセスしてもらったら、無事見れたとのこと。
なので、外部への公開はできていた。
でも、内部からのアクセスは、ルータにいってしまう。
で、httpdを止めてみたら、ページが表示できませんと出ました。
YAMAHAって内部から外部IPにアクセスしても、普通にルーティングされる
もんだと思っていたんだけど、どうなんでしょう?
そして新たな問題が。お助けくださいませ。
なぜか簡単にPPPoEが切断されてしまう。
再接続はできるんだけど、外部にpingが届かないのです。
設定は下記です。
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname *** ***
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
Help me...
気晴らしにオナニーします
なぜか簡単にPPPoEが切断されてしまう。
再接続はできるんだけど、外部にpingが届かないのです。
設定は下記です。
pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname *** ***
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
Help me...
気晴らしにオナニーします
>>310
PPPoE 切断の件はルータ関係ないんでないの?
PPPoE 切断の件はルータ関係ないんでないの?
> 311
そんな気もするのですが、いままで使ってたルータにしたら正常に動くので
自分の設定のせいかなとも思ったり。
もう一度チャレンジしてみます
そんな気もするのですが、いままで使ってたルータにしたら正常に動くので
自分の設定のせいかなとも思ったり。
もう一度チャレンジしてみます
うちはouterの設定とかしてないけど、IP固定だと必要なのかな?
> 313
何度もありがとうございます。
pppoe auto disconnect off は試してみましたが、変わらずでした。
今はPPPoE認証を通るけど、外にアクセスできない状況です。
全部通しているのですが…
ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on
で、あやしいのが、web管理画面にアクセスした時に、ページが切り替わる度に基本認証が出る。セッション切れてるんすかね〜
おたすけを!とりあえずオナニーします。本日5回目
何度もありがとうございます。
pppoe auto disconnect off は試してみましたが、変わらずでした。
今はPPPoE認証を通るけど、外にアクセスできない状況です。
全部通しているのですが…
ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on
で、あやしいのが、web管理画面にアクセスした時に、ページが切り替わる度に基本認証が出る。セッション切れてるんすかね〜
おたすけを!とりあえずオナニーします。本日5回目
> 314
レスありがとございます。
試してみます。
オナニー前に
レスありがとございます。
試してみます。
オナニー前に
>315
って、staticの設定消えてる?
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
これは必須だよ
って、staticの設定消えてる?
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
これは必須だよ
> 314
だめでした…
ていうか昨日とか今日の夕方くらいまでつながってたのに。
cold startしてから設定しなおしてからおかしくなった。
PPPオプション
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local:, Remote: IP-Address
PP IP Address Local: *.*.*.*, Remote: ***.***.***.***
CCP: None
外部からpingしてもらったら、Local IP Addressは届かないけど、
Remote IP Address には届いているそうなんです。
で、中からRemote IP Addressにはping届かない。
でも認証できてる。
ってところで、フィルタとかIPマスカレードの設定なんではと思って
・フィルタ全許可
・IPマスカレード
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 auto
とかやってみたけど、何をしても通らず…
くっ 自慰します
だめでした…
ていうか昨日とか今日の夕方くらいまでつながってたのに。
cold startしてから設定しなおしてからおかしくなった。
PPPオプション
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local:, Remote: IP-Address
PP IP Address Local: *.*.*.*, Remote: ***.***.***.***
CCP: None
外部からpingしてもらったら、Local IP Addressは届かないけど、
Remote IP Address には届いているそうなんです。
で、中からRemote IP Addressにはping届かない。
でも認証できてる。
ってところで、フィルタとかIPマスカレードの設定なんではと思って
・フィルタ全許可
・IPマスカレード
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 auto
とかやってみたけど、何をしても通らず…
くっ 自慰します
> 317
うわあああ
てんぱりすぎてものすごいミスを…
設定してきます
自慰前に
うわあああ
てんぱりすぎてものすごいミスを…
設定してきます
自慰前に
あと
ip pp nat descriptor 1
も必要でしょ
ip pp nat descriptor 1
も必要でしょ
> 317
あ、すいません
それはわざとはずしているのでした。
いま普通につながらないのです。
> 315 の設定で、外部につながらない状況なのです。
なにか足りないものありますでしょうか?
あ、すいません
それはわざとはずしているのでした。
いま普通につながらないのです。
> 315 の設定で、外部につながらない状況なのです。
なにか足りないものありますでしょうか?
> 320
げふっ
それだ…
ほんとありがとうございます
しごいてる場合じゃない
げふっ
それだ…
ほんとありがとうございます
しごいてる場合じゃない
う〜ん やはりだめでした…
下記設定なのですが、つっこみどころがあったらお教えくださいませ。
ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
ip pp nat descriptor 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on
もう一度最初からやってみる…
下記設定なのですが、つっこみどころがあったらお教えくださいませ。
ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
ip pp nat descriptor 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on
もう一度最初からやってみる…
>323
さくっと設定例みて作ってみましたけど、
こんな感じのはでどうでしょ(とりあえずフィルタはおいといて)。
デバックするなら console info on をすると何で引っかかっているか
わかりやすいかもです。
ip lan1 address 192.168.0.1/24
pp select 1
pppoe auto disconnect off
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp address (グローバルアドレス)
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス)
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server pp 1
dns private address spoof on
さくっと設定例みて作ってみましたけど、
こんな感じのはでどうでしょ(とりあえずフィルタはおいといて)。
デバックするなら console info on をすると何で引っかかっているか
わかりやすいかもです。
ip lan1 address 192.168.0.1/24
pp select 1
pppoe auto disconnect off
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp address (グローバルアドレス)
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス)
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server pp 1
dns private address spoof on
RTX1100あたりの後継機って出ないのかねぇ。
RTX1500は高いしPPTP使えないし。
RTX1500は高いしPPTP使えないし。
327 :肉:2007/01/15(月) 03:48:14 ID:zyb7wsVE
#アク禁になってたので携帯で…
> 324
いつもお世話になってます。
PPPoE認証で失敗はありません。
ウェブアクセスというか、自分のIPの上(プロバイダIP)へのアクセスが不能な状態です。
> 325
ありがとうございます。
しかし、いただいた設定でもだめでした…
でもconsole info on でわかったことがちょっとありました。
2006/01/15 03:15:22: PPPOE[01] Disconnected, cause [No error.]
2006/01/15 03:15:22: PPPOE[01] Connecting to PPPoE server
2006/01/15 03:15:22: PP[01] IP Commencing: TCP 192.168.0.2:2906 > 24.242.55.189:
48686 ← どこ?
2006/01/15 03:15:25: PPPOE[01] PPPoE Connect
2006/01/15 03:15:26: PP[01] PPP/IPCP up
2分ごとに切断されて、すぐつながる を繰り返しているみたいです。
もちろん pppoe auto disconnect off の設定はされています。
試しに、
pp always-on off
pppoe auto connect off
pppoe auto disconnect off
とし、手動接続、切断を繰り返しても、同じく接続後2分で切れてしまう状態です。
ご助言お願い致します!
> 324
いつもお世話になってます。
PPPoE認証で失敗はありません。
ウェブアクセスというか、自分のIPの上(プロバイダIP)へのアクセスが不能な状態です。
> 325
ありがとうございます。
しかし、いただいた設定でもだめでした…
でもconsole info on でわかったことがちょっとありました。
2006/01/15 03:15:22: PPPOE[01] Disconnected, cause [No error.]
2006/01/15 03:15:22: PPPOE[01] Connecting to PPPoE server
2006/01/15 03:15:22: PP[01] IP Commencing: TCP 192.168.0.2:2906 > 24.242.55.189:
48686 ← どこ?
2006/01/15 03:15:25: PPPOE[01] PPPoE Connect
2006/01/15 03:15:26: PP[01] PPP/IPCP up
2分ごとに切断されて、すぐつながる を繰り返しているみたいです。
もちろん pppoe auto disconnect off の設定はされています。
試しに、
pp always-on off
pppoe auto connect off
pppoe auto disconnect off
とし、手動接続、切断を繰り返しても、同じく接続後2分で切れてしまう状態です。
ご助言お願い致します!
RTA55iで質問です。
WiiとDS同時利用や、複数台のPCでMSN用のポートを開放したいのですが
複数のIPアドレスに、同じポートは開放できませんよね。
そうなると、複数の接続先を、同じIPアドレスにするしか無いのでしょうか?
でも、DHCP予約は、複数のDHCPスコープで同一IPアドレスを含める事が出来ない旨が
コマンドリファレンスに書かれていたので、設定出来ません。
この場合、どうすれば良いでしょう?
WiiとDS同時利用や、複数台のPCでMSN用のポートを開放したいのですが
複数のIPアドレスに、同じポートは開放できませんよね。
そうなると、複数の接続先を、同じIPアドレスにするしか無いのでしょうか?
でも、DHCP予約は、複数のDHCPスコープで同一IPアドレスを含める事が出来ない旨が
コマンドリファレンスに書かれていたので、設定出来ません。
この場合、どうすれば良いでしょう?
すみません。コンシューマー用ルーターはスレ違いでした。
取り下げて移動します。
取り下げて移動します。
>327
PPPoE設定の部分は普段私もよく使う設定なんですけどね…。
コンフィグというより、プロバイダやNTTに確認した方が良いかもです。
※フレッツスクエアに繋がるならNTTは関係なさそうですけど。
PPPoE設定の部分は普段私もよく使う設定なんですけどね…。
コンフィグというより、プロバイダやNTTに確認した方が良いかもです。
※フレッツスクエアに繋がるならNTTは関係なさそうですけど。
331 :anonymous@ pl509.nas931.mito.nttpc.ne.jp:2007/01/15(月) 11:28:23 ID:???
>372
NATやめてNAPTにすれば解決。
NATやめてNAPTにすれば解決。
332 :肉:2007/01/15(月) 13:05:19 ID:JsIMRm2Z
> 330
せっかくご助言いただいたのにすいませんです。
ルータを変えたら(RTA55i)ちゃんとつながるので、プロバイダとかのほうは
問題なさそうなんですけどね。
YAMAHAに問い合わせてみましたので、何かわかったら報告させていただきます。
> 331
NAPTってIPマスカレードですよね?
現状それでやっております。
せっかくご助言いただいたのにすいませんです。
ルータを変えたら(RTA55i)ちゃんとつながるので、プロバイダとかのほうは
問題なさそうなんですけどね。
YAMAHAに問い合わせてみましたので、何かわかったら報告させていただきます。
> 331
NAPTってIPマスカレードですよね?
現状それでやっております。
おはようございます。
ひさびさに見ましたが、特に動きはなかったんですね。
先週末にばたばたと質問ばかりさせていただき、ご対応いただいた方々には
非常に感謝しております。
経過報告 というかもう結果報告なのですが、
YAMAHAに問い合わせをし、接続自体は今朝できるようになりました。
なぜ解決に至ったのかがまだ調べられていないので、後ほど調査し、
また書き込みしようと思います。
>325殿の設定に加え、
pp select 1
ppp ipcp ipaddress on
ppp ipv6cp use off
pp enable 1
を追加して解決に至りました。
とりあえずご報告まで!
重ね重ね、レスいただいた方々ありがとうございました!
ひさびさに見ましたが、特に動きはなかったんですね。
先週末にばたばたと質問ばかりさせていただき、ご対応いただいた方々には
非常に感謝しております。
経過報告 というかもう結果報告なのですが、
YAMAHAに問い合わせをし、接続自体は今朝できるようになりました。
なぜ解決に至ったのかがまだ調べられていないので、後ほど調査し、
また書き込みしようと思います。
>325殿の設定に加え、
pp select 1
ppp ipcp ipaddress on
ppp ipv6cp use off
pp enable 1
を追加して解決に至りました。
とりあえずご報告まで!
重ね重ね、レスいただいた方々ありがとうございました!
334 :ano nemosu:2007/01/20(土) 10:39:46 ID:OSSIEH0p
pptp接続は確立するのに、その後すぐ切断されてしまいます。
ネットワーク接続のpptp接続の状態-動作状況を見ると、バイト数のところが受信350のまま動かず、送信だけが増え、最終的に毎回2400ほどで止まります。
もちろんpingも通りません。
ルータのログを見ると、remote address192.168.254.10で確立後、TCPセッションがどうもおかしいらしく、FINとRSTが何度か飛び交っていました。
natテーブルに該当しないパケはrejectされてRSTが返される設定にはなっていますが、natの設定は何がおかしいのか分からず・・・
窮して使い方の良く分からないEtherealも使ってキャプチャしてみると、TCP segment of a reassembled PDUが起きていました。
あと、終始192.168.1.1(ルータ)-192.168.1.10(pptpテスト機)の間でicmpパケがport unreachableになっていました。
ルータ側からのpptp echo-requestにはちゃんとreplyを返しているのですが、おそらくタイムアウトで最後はローカル側から
stop-control-conection-requestを出して、ルータ側がreplyを返して通信END。
何がなんだかさっぱりです。。。
自分でやった事
ルータのフィルタ全解除、Windowsファイアウォールの無効化、ip pp intrusion detectionの全解除、ip pp mtu 1280→1080
nat descriptor masquerade ttl hold auto→all
以降、設定晒しますので、何かお気づきの事があればご助言頂きたい・・・・・・・・・・
ip route default gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
ip lan1 proxyarp on
ネットワーク接続のpptp接続の状態-動作状況を見ると、バイト数のところが受信350のまま動かず、送信だけが増え、最終的に毎回2400ほどで止まります。
もちろんpingも通りません。
ルータのログを見ると、remote address192.168.254.10で確立後、TCPセッションがどうもおかしいらしく、FINとRSTが何度か飛び交っていました。
natテーブルに該当しないパケはrejectされてRSTが返される設定にはなっていますが、natの設定は何がおかしいのか分からず・・・
窮して使い方の良く分からないEtherealも使ってキャプチャしてみると、TCP segment of a reassembled PDUが起きていました。
あと、終始192.168.1.1(ルータ)-192.168.1.10(pptpテスト機)の間でicmpパケがport unreachableになっていました。
ルータ側からのpptp echo-requestにはちゃんとreplyを返しているのですが、おそらくタイムアウトで最後はローカル側から
stop-control-conection-requestを出して、ルータ側がreplyを返して通信END。
何がなんだかさっぱりです。。。
自分でやった事
ルータのフィルタ全解除、Windowsファイアウォールの無効化、ip pp intrusion detectionの全解除、ip pp mtu 1280→1080
nat descriptor masquerade ttl hold auto→all
以降、設定晒しますので、何かお気づきの事があればご助言頂きたい・・・・・・・・・・
ip route default gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
ip lan1 proxyarp on
335 :ano nemosu:2007/01/20(土) 10:40:22 ID:OSSIEH0p
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ISP-IDxxxxx *
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address 固定IP/32
ip pp mtu 1454
ip pp secure filter in 1 2 3 4 5 6 7 8 9 10 11 12 14 15 16 17 18
ip pp secure filter out 6 7 8 9 10 11 100 101 2000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on reject=on
ip pp intrusion detection out on
ip pp intrusion detection out winny on
ip pp intrusion detection out default off
ip pp nat descriptor 1
pp enable 1
pp select anonymous
pp bind tunnel10
pp auth request mschap
pp auth username id pass
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.254.10-192.168.254.20
ip pp mtu 1280
pptp service type server
pp enable anonymous
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ISP-IDxxxxx *
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address 固定IP/32
ip pp mtu 1454
ip pp secure filter in 1 2 3 4 5 6 7 8 9 10 11 12 14 15 16 17 18
ip pp secure filter out 6 7 8 9 10 11 100 101 2000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on reject=on
ip pp intrusion detection out on
ip pp intrusion detection out winny on
ip pp intrusion detection out default off
ip pp nat descriptor 1
pp enable 1
pp select anonymous
pp bind tunnel10
pp auth request mschap
pp auth username id pass
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.254.10-192.168.254.20
ip pp mtu 1280
pptp service type server
pp enable anonymous
336 :ano nemosu:2007/01/20(土) 10:41:14 ID:OSSIEH0p
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike pre-shared-key 1 xxxxxxxxxxxxx
ipsec ike remote address 1 any
ipsec ike remote name 1 xxxxxxx
tunnel enable 1
tunnel select 10
tunnel encapsulation pptp
pptp keepalive use on
tunnel enable 10
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 127.0.0.1 * * * *
ip filter 4 reject 192.168.1.0/24 *
ip filter 5 reject 固定IP * * * *
ip filter 6 reject * * udp,tcp 135 *
ip filter 7 reject * * udp,tcp * 135
ip filter 8 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 9 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 10 reject * * udp,tcp 445 *
ip filter 11 reject * * udp,tcp * 445
ip filter 12 pass * 192.168.1.0/24 icmp * *
ip filter 14 pass * 192.168.1.1 udp * 500
ip filter 15 pass * 192.168.1.1 esp
ip filter 16 pass * 192.168.1.1 tcp * 1723
ip filter 17 pass * 192.168.1.1 gre
ip filter 18 pass * 192.168.1.0/24 established * *
ip filter 100 reject * 192.168.1.0/24 * * *
ip filter 101 pass 192.168.1.0/24 * tcp * 22
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike pre-shared-key 1 xxxxxxxxxxxxx
ipsec ike remote address 1 any
ipsec ike remote name 1 xxxxxxx
tunnel enable 1
tunnel select 10
tunnel encapsulation pptp
pptp keepalive use on
tunnel enable 10
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 127.0.0.1 * * * *
ip filter 4 reject 192.168.1.0/24 *
ip filter 5 reject 固定IP * * * *
ip filter 6 reject * * udp,tcp 135 *
ip filter 7 reject * * udp,tcp * 135
ip filter 8 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 9 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 10 reject * * udp,tcp 445 *
ip filter 11 reject * * udp,tcp * 445
ip filter 12 pass * 192.168.1.0/24 icmp * *
ip filter 14 pass * 192.168.1.1 udp * 500
ip filter 15 pass * 192.168.1.1 esp
ip filter 16 pass * 192.168.1.1 tcp * 1723
ip filter 17 pass * 192.168.1.1 gre
ip filter 18 pass * 192.168.1.0/24 established * *
ip filter 100 reject * 192.168.1.0/24 * * *
ip filter 101 pass 192.168.1.0/24 * tcp * 22
337 :ano nemosu:2007/01/20(土) 10:42:17 ID:OSSIEH0p
ip filter 1000 reject * *
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 101
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor log on
nat descriptor masquerade ttl hold auto
nat descriptor type 1 masquerade
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
nat descriptor masquerade static 1 3 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.1 gre
ipsec auto refresh on
dns server pp 1
dns private address spoof on
pptp service on
upnp use on
以上、tunnel2〜6などの一部は削った設定ですが、よろしくお願いします。
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 101
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor log on
nat descriptor masquerade ttl hold auto
nat descriptor type 1 masquerade
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
nat descriptor masquerade static 1 3 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.1 gre
ipsec auto refresh on
dns server pp 1
dns private address spoof on
pptp service on
upnp use on
以上、tunnel2〜6などの一部は削った設定ですが、よろしくお願いします。
ファームウェアリビジョンは?
339 :ano nemosu:2007/01/21(日) 10:21:29 ID:aWIia3um
肝心なこと忘れてましたね(´д`;)
RTX1100 Ver 8.03.46です。
RTX1100 Ver 8.03.46です。
うちのはRT57iのWebで設定したのだけど、
tunnel 10の設定の中にpptp tunnel disconnect time offとかいうのが入っとるよ
tunnel 10の設定の中にpptp tunnel disconnect time offとかいうのが入っとるよ
341 :ano nemosu:2007/01/22(月) 09:23:00 ID:???
>>340
関連なさげだけど…
RT57iのPPTPでanonymousで接続出来るのに、LAN間接続が出来なくて、泣きついたら
ip lan1 address 192.168.100.1/24
ip lan1 secondary address 固定/29
で、接続はNATのouterにして試してくれと教わり、試したらあっさり繋がった。
理由が全くわからん…(だれか解説プリーズ!)
上手く行かなかった時の設定はprimaryとsecondaryのアドレス空間が逆
関連なさげだけど…
RT57iのPPTPでanonymousで接続出来るのに、LAN間接続が出来なくて、泣きついたら
ip lan1 address 192.168.100.1/24
ip lan1 secondary address 固定/29
で、接続はNATのouterにして試してくれと教わり、試したらあっさり繋がった。
理由が全くわからん…(だれか解説プリーズ!)
上手く行かなかった時の設定はprimaryとsecondaryのアドレス空間が逆
343 :anonymous@ h1-bs-ps1.fujifilm.co.jp:2007/01/23(火) 14:00:19 ID:iUDfG4vK
RT107e で質問です。
上記機器のVLANトランクポートと、接続実績のあるL2Switchをご存知の方は
ご教授下さい。要件は以下。
■もちろん802.1qが可能な機材
■8ポート で十分
■FastEther で十分
■パフォーマンスは重視しない
■出来るだけ安価、新品で入手できるもの
何方かいらっしゃいませんか?
上記機器のVLANトランクポートと、接続実績のあるL2Switchをご存知の方は
ご教授下さい。要件は以下。
■もちろん802.1qが可能な機材
■8ポート で十分
■FastEther で十分
■パフォーマンスは重視しない
■出来るだけ安価、新品で入手できるもの
何方かいらっしゃいませんか?
344 :anonymous@ ipv6gw.kazemachi.ne.jp:2007/01/23(火) 14:47:01 ID:???
大人なのでスルーして、
solitonのは?
solitonのは?
345 :316:2007/01/23(火) 15:49:23 ID:TOOW3TlL
>>344
しゃてー知ってる?
しゃてー知ってる?
346 :ano nemosu:2007/01/23(火) 21:27:44 ID:???
もしかしてpptpでルータに割り振ってる固定IPに接続しても、
ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・
ルータで止まってサーバまでパケット通ってないのかもしれないので、とりあえずnatの勉強からやり直します。
ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・
ルータで止まってサーバまでパケット通ってないのかもしれないので、とりあえずnatの勉強からやり直します。
>>346
それ意味ないじゃん
それ意味ないじゃん
348 :ano nemosu:2007/01/24(水) 00:43:12 ID:???
>>347
???
とりあえずpptpで固定振ってるルータにはつながるけど、LAN内のサーバにつながらないから、
natの基本から勉強しようかと。
何らかの理由でサーバまでパケット届いていないのが原因かと思い、まずはnatが近いかなーって思ったんだけど。
それが意味ないってこと?
案外何か思い違いしてるかもしれないし、勉強不足な初心者なので、何か糸口でもつかめないものかと。
全く違うケースだけど、nat descriptor masquerade staticの、masqueradeを削除したら繋がったとかいう例もあるし・・・。
???
とりあえずpptpで固定振ってるルータにはつながるけど、LAN内のサーバにつながらないから、
natの基本から勉強しようかと。
何らかの理由でサーバまでパケット届いていないのが原因かと思い、まずはnatが近いかなーって思ったんだけど。
それが意味ないってこと?
案外何か思い違いしてるかもしれないし、勉強不足な初心者なので、何か糸口でもつかめないものかと。
全く違うケースだけど、nat descriptor masquerade staticの、masqueradeを削除したら繋がったとかいう例もあるし・・・。
>>348
それ意味ないじゃんってのは
> もしかしてpptpでルータに割り振ってる固定IPに接続しても、
> ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・
ってとこ。そんな仕様だったら、VPN使い道ないじゃん。
ルータとだけ通信できる仕様なんてあっったとして、一体何に使えるんだ?
ってこと。
それ意味ないじゃんってのは
> もしかしてpptpでルータに割り振ってる固定IPに接続しても、
> ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・
ってとこ。そんな仕様だったら、VPN使い道ないじゃん。
ルータとだけ通信できる仕様なんてあっったとして、一体何に使えるんだ?
ってこと。
前から気になってたんだけど、RTX1100で
login password encrypted *
administrator password encrypted *
login user hoge *
user attribute administrator=off connection=serial,telnet login-timer=60
user attribute hoge administrator=on connection=all login-timer=300 multi-session=off
みたいに設定していると、Web Assistanceにログイン出来なくなるんだけど、なんでだろう。
hogeのIDとパスワードを入れても駄目。IDなしでも駄目。
勿論、認証プロンプトは出るし、パスワードエラーの画面も出るから
サービスもオンだしフィルタもかかっていない。
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
によると、ユーザ名はかんたん設定ページでの接続に使用出来るって書いてあるから
IDありで出来ると思うんだけど… 無名ユーザをconnection=allにしても駄目だし。
「かんたん設定ページ」(107e)は出来るけど「Web Assistance」(107e以外)は駄目なんだろうか。
login password encrypted *
administrator password encrypted *
login user hoge *
user attribute administrator=off connection=serial,telnet login-timer=60
user attribute hoge administrator=on connection=all login-timer=300 multi-session=off
みたいに設定していると、Web Assistanceにログイン出来なくなるんだけど、なんでだろう。
hogeのIDとパスワードを入れても駄目。IDなしでも駄目。
勿論、認証プロンプトは出るし、パスワードエラーの画面も出るから
サービスもオンだしフィルタもかかっていない。
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
によると、ユーザ名はかんたん設定ページでの接続に使用出来るって書いてあるから
IDありで出来ると思うんだけど… 無名ユーザをconnection=allにしても駄目だし。
「かんたん設定ページ」(107e)は出来るけど「Web Assistance」(107e以外)は駄目なんだろうか。
352 :ano nemosu:2007/01/24(水) 13:18:06 ID:???
>>350
フィルタはIN/OUT同時にOFFにしてもつながらなかったので違うかなと。
それより、まったくの勘違いを発見。
pptpサーバって、ルータではなく、アクセスしたいプライベートIPの機器の事だったようで。
nat descriptor masquerade static 1 3 192.168.1.250 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.250 gre
に変更して、自宅帰ってから接続試してみます。
職場に環境がないのがイタイ・・・・。
>>351
Web Assistanceはadministrator=offではダメだった気がする。
Web Assistanceって、最初から完全なadmin権限行使できるし。
当てずっぽうに言ってるので、文責は352に託した。
フィルタはIN/OUT同時にOFFにしてもつながらなかったので違うかなと。
それより、まったくの勘違いを発見。
pptpサーバって、ルータではなく、アクセスしたいプライベートIPの機器の事だったようで。
nat descriptor masquerade static 1 3 192.168.1.250 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.250 gre
に変更して、自宅帰ってから接続試してみます。
職場に環境がないのがイタイ・・・・。
>>351
Web Assistanceはadministrator=offではダメだった気がする。
Web Assistanceって、最初から完全なadmin権限行使できるし。
当てずっぽうに言ってるので、文責は352に託した。
353 :ano nemosu:2007/01/24(水) 13:19:40 ID:???
・・・・・・・・・・・・・・・・・・・・・。
自分が352だった罠orz
敢えて言おう、俺乙であるTO!
自分が352だった罠orz
敢えて言おう、俺乙であるTO!
>>352
hogeはadministrator=onだし、無名ユーザをadministrator=onしても駄目だった。
encryptedなpasswordが駄目なのかと暗号化しなくても駄目。
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
の機能が追加されて、その設定をする前まではWeb Assistance使えてたから
この機能のどれかが悪さをしているんだと思うんだけど…
hogeはadministrator=onだし、無名ユーザをadministrator=onしても駄目だった。
encryptedなpasswordが駄目なのかと暗号化しなくても駄目。
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
の機能が追加されて、その設定をする前まではWeb Assistance使えてたから
この機能のどれかが悪さをしているんだと思うんだけど…
>351
login password と admin.. password を合わせないとダメとかじゃないかな
login password と admin.. password を合わせないとダメとかじゃないかな
357 :ano nemosu:2007/01/24(水) 13:58:40 ID:???
そういえば、RT107eのWeb画面から無名ログイン禁止にチェック入れて、
login userを設定したんだけど、何故かコマンドからID・パスなしで入れるようになってしまった。
何かの拍子にエンター3回叩いたらログインしてしまって、慌てて修正したのを思い出した。
login userを設定したんだけど、何故かコマンドからID・パスなしで入れるようになってしまった。
何かの拍子にエンター3回叩いたらログインしてしまって、慌てて修正したのを思い出した。
358 :ano nemosu:2007/01/24(水) 20:46:02 ID:???
繰り返し読み返すと、やっぱりpptpサーバはルータの事だった。。。
しかもpptpつないでるときにネット自体繋がらなくなって、ipconfig見ると
PPP adapter のIPconfig
IP Address. . . . . . . . . . . . : 192.168.254.10
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.254.10
ナンダコレハ
サボるの大好きな俺でも、さすがに何日もこれ以外ロクに仕事できないと・・・・・・・・
しかもpptpつないでるときにネット自体繋がらなくなって、ipconfig見ると
PPP adapter のIPconfig
IP Address. . . . . . . . . . . . : 192.168.254.10
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.254.10
ナンダコレハ
サボるの大好きな俺でも、さすがに何日もこれ以外ロクに仕事できないと・・・・・・・・
rt100i-usersでプロジェクトフォンの質問をして返事はあるのか?
スレ違いならぬML違いでは?と思ったが。。。
スレ違いならぬML違いでは?と思ったが。。。
360 :ano nemosu:2007/01/25(木) 13:23:20 ID:???
つながった・・・・・・・・・・!
新しいノートPC設定してたら無線電波拾ったので、ちょっと拝借した。
(「繋いでいい?」ってボタン押したら、何も言わずに受け入れてくれたので、不正アクセスではないと信じている)
特に設定変えていないから、もしかしたらプライベートIPアドレスが関係してるのか・・・・
自宅のプライベートIP変えて、またテストしてみる。
>>359
イマ登録シテキタヨ。
新しいノートPC設定してたら無線電波拾ったので、ちょっと拝借した。
(「繋いでいい?」ってボタン押したら、何も言わずに受け入れてくれたので、不正アクセスではないと信じている)
特に設定変えていないから、もしかしたらプライベートIPアドレスが関係してるのか・・・・
自宅のプライベートIP変えて、またテストしてみる。
>>359
イマ登録シテキタヨ。
362 :ano nemosu:2007/01/25(木) 13:45:25 ID:???
>>361
ああ・・・そうですね。
仰るとおりです。申し訳ありません。
自分のことで必死になって、相談というより一方通行の報告というか独り言(愚痴?)になってました。
まだ解決を確認できた訳ではありませんが、ちょっとでも一緒に考えてくれた皆さん、
遅ればせながらありがとうございました。
ああ・・・そうですね。
仰るとおりです。申し訳ありません。
自分のことで必死になって、相談というより一方通行の報告というか独り言(愚痴?)になってました。
まだ解決を確認できた訳ではありませんが、ちょっとでも一緒に考えてくれた皆さん、
遅ればせながらありがとうございました。
363 :anonymous@ z15.61-205-217.ppp.wakwak.ne.jp:2007/01/25(木) 16:53:47 ID:4v+Jk2vH
cifs に最適化するようなチューニングありますか?
wan越しだと遅くなるようですが。
wan越しだと遅くなるようですが。
364 :anonymous@ p030076.ppp.asahi-net.or.jp:2007/01/25(木) 18:36:42 ID:???
YAMAHAのルータでCIFSを高速化できるかと言えばそれは無理。
どうしてもやりたいなら,WAN高速化装置を買うしかないが,非常に高価。
また,Windowsのレジストリをいじっても無理です。
ただし,Vistaで搭載されたSMB 2.0なら,WANのような遅延の大きな
ネットワークでもパフォーマンスが出るようです。
どうしてもやりたいなら,WAN高速化装置を買うしかないが,非常に高価。
また,Windowsのレジストリをいじっても無理です。
ただし,Vistaで搭載されたSMB 2.0なら,WANのような遅延の大きな
ネットワークでもパフォーマンスが出るようです。
365 :ano nemosu:2007/01/25(木) 21:32:34 ID:???
PPTP接続で、セッションも確立しているのに、LAN内のサーバにアクセスできない。pingも届かない。
訳分かんないトラブルの原因は、プライベートIPアドレスの衝突でした。
リモート先のプライベートIPと、PPTPクライアント側のプライベートIPのネットワークアドレス部分が同じだと
通信できません(IPsecも同様)。
分かってしまえば「そんなの当たり前。バカじゃねーの?」だけど、
一応参考までに報告しておきます。
訳分かんないトラブルの原因は、プライベートIPアドレスの衝突でした。
リモート先のプライベートIPと、PPTPクライアント側のプライベートIPのネットワークアドレス部分が同じだと
通信できません(IPsecも同様)。
分かってしまえば「そんなの当たり前。バカじゃねーの?」だけど、
一応参考までに報告しておきます。
366 :anonymous@ z15.61-205-217.ppp.wakwak.ne.jp:2007/01/26(金) 11:56:50 ID:n3jnMYTK
>>364
サンクスです。
webdavでも使おうかと思いますが、ファイルロックがうまくいくのか
ネットワークドライブに割当てらるのか不明なので調べてみます。
最悪wan越しでファイル共有するのはあきらめてターミナルサービス
でも使おうかしら・・・・
サンクスです。
webdavでも使おうかと思いますが、ファイルロックがうまくいくのか
ネットワークドライブに割当てらるのか不明なので調べてみます。
最悪wan越しでファイル共有するのはあきらめてターミナルサービス
でも使おうかしら・・・・
367 :anonymous@:2007/01/26(金) 23:35:03 ID:???
svnでもつかったら?
>>366
WebDAVってステートレスなプロトコルだから,ロックは無理だと思うが。
ネットワークドライブへの割り当ては可能。ただ,エクスプローラとWebDAV
はいろいろとトラブルというか不具合が多くお勧めしません。
CIFSで遅いといってもサイトが国内間で両サイトとも光ファイバで接続
されていれば,充分なスループットが得られると思うが。
WebDAVってステートレスなプロトコルだから,ロックは無理だと思うが。
ネットワークドライブへの割り当ては可能。ただ,エクスプローラとWebDAV
はいろいろとトラブルというか不具合が多くお勧めしません。
CIFSで遅いといってもサイトが国内間で両サイトとも光ファイバで接続
されていれば,充分なスループットが得られると思うが。
>WebDAVってステートレスなプロトコルだから,ロックは無理だと思うが。
いつの人ですか?
# まともに実装があるのかとかは良くしらんけど
いつの人ですか?
# まともに実装があるのかとかは良くしらんけど
まともな実装が無いなら意味無くね?
371 :anonymous@ pz35.opt2.point.ne.jp:2007/01/28(日) 06:03:17 ID:5lhXw7xI
SIP-NATでNTTのVG400とVG210が使えました。
以上報告
以上報告
結局シスコ買えない故の妥協だよね。
何かガンバっても後ろ向きで激しく鬱。
SIPもコールマネージャのほうが便利で、シスコ謹製IP電話もかっこいいしねえ。
何かガンバっても後ろ向きで激しく鬱。
SIPもコールマネージャのほうが便利で、シスコ謹製IP電話もかっこいいしねえ。
そりゃ、高い授業料払ってCCNA取っちゃったら、シスコ製品が普及してくれないと困るもんな
ヤマハの免許作れば良いんじゃね?
船舶4球ぐらいなら持ってるとかさ。
船舶4球ぐらいなら持ってるとかさ。
CCNAなんて今となっては一昔前の死すアドみたいになってるし
どちらかといえば船舶4級持ってるほうが、ネタにもなるから採用に
有利に働くかもよw
どちらかといえば船舶4級持ってるほうが、ネタにもなるから採用に
有利に働くかもよw
OP25B対応をしたいのですが、メールサーバの設定をすぐに変えられないので
ルータ側でとりあえず25/TCP→587/TCPに変換して対処しようと考えています。
NATディスクリプタでどういう設定をすれば良いでしょうか?
ご存知の方がいましたら、ご教示お願い致します。
ルータ側でとりあえず25/TCP→587/TCPに変換して対処しようと考えています。
NATディスクリプタでどういう設定をすれば良いでしょうか?
ご存知の方がいましたら、ご教示お願い致します。
nat descriptor masqurade static 1 10 mail-severのIP tcp 587=25
違ったらスマン
違ったらスマン
マルチホーミングで質問があります。
ISP1とISP2にPPPoEで接続していて
ip route default gateway pp 1 gateway pp2 とした場合
ISP1からの通信はISP1へ、ISP2からの通信はISP2へ戻るのは
わかるんですが、lan1から外部への通信はどうなるんでしょうか??
tracerouteすると不思議な結果が返ってくるんで・・・。
ISP1とISP2にPPPoEで接続していて
ip route default gateway pp 1 gateway pp2 とした場合
ISP1からの通信はISP1へ、ISP2からの通信はISP2へ戻るのは
わかるんですが、lan1から外部への通信はどうなるんでしょうか??
tracerouteすると不思議な結果が返ってくるんで・・・。
379 :anonymous@ p295213.tokynt01.ap.so-net.ne.jp:2007/02/03(土) 11:06:44 ID:???
初歩的な質問で申し訳ありません。
RTX1100 の config ファイルで、
pp saletct 1
pppoe use lan2
pp select none
のようにして保存してロードすると、
pp saletct 1
pppoe use lan2
のようになってしまいます。
ファイル全体を検索しても、「pp select none」 が存在しないわけですが、
そのまま設定ファイルをアップロードした場合、何処までが pp1 の設定範囲として扱われてるのでしょうか?
スペースでのインデントが入っているので、スペースでのインデント終了までが範囲という解釈でよろしいでしょうか?
ご教示いただけたら幸いです。
RTX1100 の config ファイルで、
pp saletct 1
pppoe use lan2
pp select none
のようにして保存してロードすると、
pp saletct 1
pppoe use lan2
のようになってしまいます。
ファイル全体を検索しても、「pp select none」 が存在しないわけですが、
そのまま設定ファイルをアップロードした場合、何処までが pp1 の設定範囲として扱われてるのでしょうか?
スペースでのインデントが入っているので、スペースでのインデント終了までが範囲という解釈でよろしいでしょうか?
ご教示いただけたら幸いです。
RTXシリーズの管理支援機能(Web)についての質問です
LAN1 … LANに繋げる
LAN2 … インターネットに繋げる
とします。
ファイアウォールメニューについてなのですが、
種別: PPPoE
設定名: PP1/LAN2
と
種別: Ethernet
設定名: LAN1
で、それぞれ、インターネットから来るパケットが方向 「入」 になるのか 「出」 になるのかが分からないんです
インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
インターネットから来るパケットは 「入」 です。
それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
その差込口から、出てくるパケットは 「出」 です。
前者と後者で解釈が全くかわっちゃうので困ってるんです;;
LAN1 … LANに繋げる
LAN2 … インターネットに繋げる
とします。
ファイアウォールメニューについてなのですが、
種別: PPPoE
設定名: PP1/LAN2
と
種別: Ethernet
設定名: LAN1
で、それぞれ、インターネットから来るパケットが方向 「入」 になるのか 「出」 になるのかが分からないんです
インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
インターネットから来るパケットは 「入」 です。
それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
その差込口から、出てくるパケットは 「出」 です。
前者と後者で解釈が全くかわっちゃうので困ってるんです;;
381 :anonymous@ HDOfb-07p1-107.ppp11.odn.ad.jp:2007/02/03(土) 13:03:52 ID:???
煽りたくなったが辞めとこう
答える気しないので他の人ヨロ
答える気しないので他の人ヨロ
>>382
回答ありがとうございます。
自分の解釈だと、
> インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
> インターネットから来るパケットは 「入」 です。
だと、パソコン視点で言うインバウンド接続は、LAN1 でも LAN2 (WAN) でも 「入」 ですが、
> それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
> その差込口から、出てくるパケットは 「出」 です。
だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
ルータが自ら外に出すパケットですから…。
回答ありがとうございます。
自分の解釈だと、
> インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
> インターネットから来るパケットは 「入」 です。
だと、パソコン視点で言うインバウンド接続は、LAN1 でも LAN2 (WAN) でも 「入」 ですが、
> それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
> その差込口から、出てくるパケットは 「出」 です。
だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
ルータが自ら外に出すパケットですから…。
じゃあ
・パソコンで言うI/F ≒ RTXの各Lan N ってI/F
・パソコン本体 ≒ ルータ本体
って考えれば良いんじゃない?
> だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
大まかに言うと、WAN側のINはLAN側のOUTから出てくるよね。
・パソコンで言うI/F ≒ RTXの各Lan N ってI/F
・パソコン本体 ≒ ルータ本体
って考えれば良いんじゃない?
> だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
大まかに言うと、WAN側のINはLAN側のOUTから出てくるよね。
>>380
参考になるかな?
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html#remote-router-packet-filter
参考になるかな?
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html#remote-router-packet-filter
インバウンド
アウトバウンド
ルーティング
ハイ完結。
アウトバウンド
ルーティング
ハイ完結。
>>384
なるほど。
分かりやすい解説ありがとうございます m(__)m
納得しました。
つまり、WAN から LAN に来る不正なパケットを排除するには、
3つの方法があるということですね。
●その1 … WAN から入ってくるパケットのみに有効
pp select 1
ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none
●その2 … LAN I/F に入るパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection in on reject=on # ルータの LAN I/F に入ってくるパケットを検査
●その3 … LAN I/F から出て行くパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査
LAN の 1つのマシンがワームやトロイに感染したことを考えれば、【その2】 か 【その3】 ですよね。
入るとき、出るとき、どっちがいいのかは悩みますが、(てかどっちでも同じことですが)
Webプログラミングでのhtmlタグのエスケープ処理にセオリーに従って、とりあえず、【その3】 でいってみます。
このファイアウォール機能がどうなってるかは調べてないので、Windows 標準のファイル共有がどうなるのか等は分かりませんが、
とりあえずやってみます。
>>385
参考になりましたー。
>>386
は、はいっ!
なるほど。
分かりやすい解説ありがとうございます m(__)m
納得しました。
つまり、WAN から LAN に来る不正なパケットを排除するには、
3つの方法があるということですね。
●その1 … WAN から入ってくるパケットのみに有効
pp select 1
ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none
●その2 … LAN I/F に入るパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection in on reject=on # ルータの LAN I/F に入ってくるパケットを検査
●その3 … LAN I/F から出て行くパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査
LAN の 1つのマシンがワームやトロイに感染したことを考えれば、【その2】 か 【その3】 ですよね。
入るとき、出るとき、どっちがいいのかは悩みますが、(てかどっちでも同じことですが)
Webプログラミングでのhtmlタグのエスケープ処理にセオリーに従って、とりあえず、【その3】 でいってみます。
このファイアウォール機能がどうなってるかは調べてないので、Windows 標準のファイル共有がどうなるのか等は分かりませんが、
とりあえずやってみます。
>>385
参考になりましたー。
>>386
は、はいっ!
はっ。
とんでもない誤解をしていました。
>>385 の URL を見てみたところ、
IPルーティング と LAN の間に、IPフィルタ (ip lan secure filter) があるではいですか。
正しくは、>>387 の 【その1】 【その2】 は WAN から LAN へのパケットのみ有効で、
【その3】 は WAN からの攻撃に完全に無力ということになりますね。(※1)
こ、このままだと危険ですた(´・ω・`)
早急に、【その2】 に変更しました。
※1
意味あるとすれば、踏み台にされた時に攻撃パケットを WAN に出さないという意味がありますね。
とんでもない誤解をしていました。
>>385 の URL を見てみたところ、
IPルーティング と LAN の間に、IPフィルタ (ip lan secure filter) があるではいですか。
正しくは、>>387 の 【その1】 【その2】 は WAN から LAN へのパケットのみ有効で、
【その3】 は WAN からの攻撃に完全に無力ということになりますね。(※1)
こ、このままだと危険ですた(´・ω・`)
早急に、【その2】 に変更しました。
※1
意味あるとすれば、踏み台にされた時に攻撃パケットを WAN に出さないという意味がありますね。
あう、>>388 も間違いだったー。
WAN から LAN のパケットは、IPルーティング と [LAN] の間のフィルタで、LAN側に 「出」 のパケットなわけだから、
【その3】 が正しかったわけですね。
つまり、WANからの攻撃を防げるのは、
pp select 1
ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none
と
ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査
ですね。
くだらない質問でスレ流して申し訳なかったです。
WAN から LAN のパケットは、IPルーティング と [LAN] の間のフィルタで、LAN側に 「出」 のパケットなわけだから、
【その3】 が正しかったわけですね。
つまり、WANからの攻撃を防げるのは、
pp select 1
ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none
と
ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査
ですね。
くだらない質問でスレ流して申し訳なかったです。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU102014.html についての質問です。
Optimistic TCP acknowledgements の脆弱性 (TCP の脆弱性) へのルーター側での対策は、非常に難しいと思われますが、
YAMAHA のルーターでは、どういった対策をしたのでしょうか?
他社では、製品側では、この脆弱性に対する対策を行わずに、Webアプリケーション側での対策 (SSHで認証するとか
不特定多数にアクセスを開放しないとか) や 特定のIPアドレスのパケットしか受信しないとうにするとか、運用で回避しろという
ドキュメントを公開しています。
http://www.allied-telesis.co.jp/support/list/faq/vuls/20051111.html
http://www.furukawa.co.jp/fitelnet/topic/ack_attacks.html
http://www.seil.jp/seilseries/news/snote/_snote_20051116_01.html
もしご存知でしたら、教えていただけるとうれしいです。
Optimistic TCP acknowledgements の脆弱性 (TCP の脆弱性) へのルーター側での対策は、非常に難しいと思われますが、
YAMAHA のルーターでは、どういった対策をしたのでしょうか?
他社では、製品側では、この脆弱性に対する対策を行わずに、Webアプリケーション側での対策 (SSHで認証するとか
不特定多数にアクセスを開放しないとか) や 特定のIPアドレスのパケットしか受信しないとうにするとか、運用で回避しろという
ドキュメントを公開しています。
http://www.allied-telesis.co.jp/support/list/faq/vuls/20051111.html
http://www.furukawa.co.jp/fitelnet/topic/ack_attacks.html
http://www.seil.jp/seilseries/news/snote/_snote_20051116_01.html
もしご存知でしたら、教えていただけるとうれしいです。
391 :Workaround:2007/02/04(日) 06:33:55 ID:???
>>390
optimistic ACKを受信するとスロースタートまで無条件に戻す。って感じ。
optimistic ACKを受信するとスロースタートまで無条件に戻す。って感じ。
WANからローカルIPでアクセスする ip spoofing 対策で、次のようなフィルタを書いてみました。
ip lan1 secure filter out 10 11 12 13
ip filter 10 reject-log 10.0.0.0/8
ip filter 11 reject-log 172.16.0.0/12
ip filter 12 reject-log 192.168.0.0/16
ip filter 13 pass-nolog *
すると、LANからWANにアクセスできないばかりか、ルーター自体に telnet でログインすることすらできなくなりました。
そして、シリアルコンソールで no ip lan1 secure filter out をしたらネットワークが復旧しました。
何故正常に送受信することができなくなるんでしょうか?
ip lan1 secure filter out 10 11 12 13
ip filter 10 reject-log 10.0.0.0/8
ip filter 11 reject-log 172.16.0.0/12
ip filter 12 reject-log 192.168.0.0/16
ip filter 13 pass-nolog *
すると、LANからWANにアクセスできないばかりか、ルーター自体に telnet でログインすることすらできなくなりました。
そして、シリアルコンソールで no ip lan1 secure filter out をしたらネットワークが復旧しました。
何故正常に送受信することができなくなるんでしょうか?
自己解決です
良く考えたら IPマスカレード で送信元がローカルIPになるんでした
良く考えたら IPマスカレード で送信元がローカルIPになるんでした
あ、WANからのパケットが全部拒否されるのはIPマスカレードの仕組み上当然なんですが
ルーターへの telnet ができないってのはなんでなんでしょう…。
ルーター本体のIPアドレス 192.168.0.1 に接続しているわけなので、同じLAN内であって、
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html#remote-router-packet-filter の
フィルタはかからんような…
自分自身の扱いだけ特殊なのかな;;
ルーターへの telnet ができないってのはなんでなんでしょう…。
ルーター本体のIPアドレス 192.168.0.1 に接続しているわけなので、同じLAN内であって、
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html#remote-router-packet-filter の
フィルタはかからんような…
自分自身の扱いだけ特殊なのかな;;
侵入検知機能 (ip interface intrusion detection direction switch [option] 等) がRTXシリーズにありますが
これは具体的にどのような攻撃を検知できるのでしょうか?
マニュアルみても「指定された向きのパケットについて侵入を検知する。」ぐらいの説明しかなく、
ドキュメントも見つかりませんでした。
ご存知でしたらお願いします
これは具体的にどのような攻撃を検知できるのでしょうか?
マニュアルみても「指定された向きのパケットについて侵入を検知する。」ぐらいの説明しかなく、
ドキュメントも見つかりませんでした。
ご存知でしたらお願いします
398 :anonymous@ eatkyo468039.adsl.ppp.infoweb.ne.jp:2007/02/06(火) 01:28:25 ID:???
RTX1100でlan1:192.168.0.1/24、lan2:wan(pppoe)
lan3:DMZ xxx.xxx.xxx.200/29のような形で設定を行っているのですが
DMZのサーバーが公開できません。
サーバーはグローバルIPをifcfgで振っているのですが
もしかしてサーバー自体にはプライベートアドレスを振って
RTXでNATでグローバルに変換しなければいけないとかでしょうか?
RTXの設定は下のリンク、ほとんどそのままなのですが。
http://netvolante.jp/solution/int/case4b.html
初心者丸出しで恥ずかしいのですが、大変困っております・・・・
分かる方いましたらヒントだけでもいいので教えていただけると助かります。
よろしくお願いします。
lan3:DMZ xxx.xxx.xxx.200/29のような形で設定を行っているのですが
DMZのサーバーが公開できません。
サーバーはグローバルIPをifcfgで振っているのですが
もしかしてサーバー自体にはプライベートアドレスを振って
RTXでNATでグローバルに変換しなければいけないとかでしょうか?
RTXの設定は下のリンク、ほとんどそのままなのですが。
http://netvolante.jp/solution/int/case4b.html
初心者丸出しで恥ずかしいのですが、大変困っております・・・・
分かる方いましたらヒントだけでもいいので教えていただけると助かります。
よろしくお願いします。
そのページに答え書いてあるじゃねーか
内部DNSサーバ(192.168.100.200)があります。
こいつは、インターネットへはISPのDNSを参照しているのですが、
フィルタでDNS responseを弾いてしまっています。
ログをみると下記のようになっています。
PP[01] Passed at OUT(110) filter: UDP ルータ固定IP:53 > IPS/DNS鯖IP:53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP IPS/DNS鯖IP:53 > 192.168.100.200:53 (DNS response)
フィルタは概ね以下の様になっています。
ip filter 110 pass-log ルータ固定IP * tcp,udp * domain
ip filter dynamic 2 * * domain
nat descriptor masquerade static 1 5 192.168.100.200 domain
動的フィルタでresponseを受けたいのですが、out110→dynamic2で、ルータ固定IPへの
INは開くものの、192.168.100.200へのINは開かず、弾かれているのです。
このような場合、どのように動的設定をしたら良いのでしょうか?
尚、何故かresponseが弾かれていても、インターネットへの接続に支障は出ていません。
支障がなければ、いっそセキュリティ上弾いてる方がいいモノなのでしょうか?
こいつは、インターネットへはISPのDNSを参照しているのですが、
フィルタでDNS responseを弾いてしまっています。
ログをみると下記のようになっています。
PP[01] Passed at OUT(110) filter: UDP ルータ固定IP:53 > IPS/DNS鯖IP:53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP IPS/DNS鯖IP:53 > 192.168.100.200:53 (DNS response)
フィルタは概ね以下の様になっています。
ip filter 110 pass-log ルータ固定IP * tcp,udp * domain
ip filter dynamic 2 * * domain
nat descriptor masquerade static 1 5 192.168.100.200 domain
動的フィルタでresponseを受けたいのですが、out110→dynamic2で、ルータ固定IPへの
INは開くものの、192.168.100.200へのINは開かず、弾かれているのです。
このような場合、どのように動的設定をしたら良いのでしょうか?
尚、何故かresponseが弾かれていても、インターネットへの接続に支障は出ていません。
支障がなければ、いっそセキュリティ上弾いてる方がいいモノなのでしょうか?
>>400
いろいろと突っ込みどころがありま(´・ω・)ス
どの機体か知らんけど、簡易DNS鯖機能があったりするのが
最近のルータだからとりあえず動くでしょう。
フィルタについては、晒されたconfigでは、ルータ"自身"がパケットを
通します、というだけだからなんとも。
どのI/Fにどのフィルタをどっち向きにつけてるかでも変わりますし。
回線種別、割り当てられたIPの個数とかがわからんとどうしようも
ないですな。
まぁ、七面倒なことせんでも、
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
このへん熟読したら幸せになれるかもしれないで(´・ω・)ス
いろいろと突っ込みどころがありま(´・ω・)ス
どの機体か知らんけど、簡易DNS鯖機能があったりするのが
最近のルータだからとりあえず動くでしょう。
フィルタについては、晒されたconfigでは、ルータ"自身"がパケットを
通します、というだけだからなんとも。
どのI/Fにどのフィルタをどっち向きにつけてるかでも変わりますし。
回線種別、割り当てられたIPの個数とかがわからんとどうしようも
ないですな。
まぁ、七面倒なことせんでも、
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
このへん熟読したら幸せになれるかもしれないで(´・ω・)ス
>>401
すみません、物凄く基本的な情報を全て飛ばしてしまっていました。
回線:Bフレ 固定IP1=ルータに割付(VPN用)
機種はRTX-1100でDHCPはOFF、DNSは192.168.100.200を参照する設定。
Active Directory鯖192.168.100.200でDHCP使用、DNSはISPのDNS参照。
記載したフィルタは、PP1のOUT側の一部で(ログから推測しないと分からないですね)、
DNS Queryに対するresponseが動的に入りさえすればよいのだからと、
ちょっといい加減に書きすぎたようで、反省しています。
Queryの始点が固定IPなのに、responseの終点がプライベートIPに変わっていたので
どうしたモノかと思い(中略)、とりあえず読み耽って来ます。
すみません、物凄く基本的な情報を全て飛ばしてしまっていました。
回線:Bフレ 固定IP1=ルータに割付(VPN用)
機種はRTX-1100でDHCPはOFF、DNSは192.168.100.200を参照する設定。
Active Directory鯖192.168.100.200でDHCP使用、DNSはISPのDNS参照。
記載したフィルタは、PP1のOUT側の一部で(ログから推測しないと分からないですね)、
DNS Queryに対するresponseが動的に入りさえすればよいのだからと、
ちょっといい加減に書きすぎたようで、反省しています。
Queryの始点が固定IPなのに、responseの終点がプライベートIPに変わっていたので
どうしたモノかと思い(中略)、とりあえず読み耽って来ます。
>>402
ルータの固定IPってグローバルアドレスのほう?
フレッツ固定1IPってたいてい、ルータはunnumberedだし、
そうなら>>400のフィルタっておかしなことになるぉ
見えるとこだけカンで書いたら
ip filter 110 pass-log 192.168.100.200/24 * tcp,udp * domain
ip filter dynamic 2 192.168.100.200/24 * domain
pp select 1
ip pp secure filter out 110 dynamic 2
こんな感じ?
つか、グローバルアドレスとStatic NATしたからといって、
ルータのルール書く時に、そのグローバルアドレスにしたら
しょうがないでそ(´・ω・)?
ルータの固定IPってグローバルアドレスのほう?
フレッツ固定1IPってたいてい、ルータはunnumberedだし、
そうなら>>400のフィルタっておかしなことになるぉ
見えるとこだけカンで書いたら
ip filter 110 pass-log 192.168.100.200/24 * tcp,udp * domain
ip filter dynamic 2 192.168.100.200/24 * domain
pp select 1
ip pp secure filter out 110 dynamic 2
こんな感じ?
つか、グローバルアドレスとStatic NATしたからといって、
ルータのルール書く時に、そのグローバルアドレスにしたら
しょうがないでそ(´・ω・)?
>>404
またもや言葉不足で・・・・
どうも私は、正確に必要な情報をお伝えするのが不得手なようです
NTTに固定1というサービス名があるのをすっかり忘れていました。
IPsecのために固定IPを1コ取って、ip pp address 211.212.213.24(仮)/32してます。
(ちなみにISPはAsahiです)
私も最初は192.168.100.200がDNS Queryを出すモノとばかり思っていたのですが、
実際には、ログを見ると211.212.213.24(仮)がDNS鯖にQueryを出していました。
従って、outのフィルタ110番は、
ip filter 110 pass-log 211.212.213.24(仮) * tcp,udp * domain
となっています。
natの設定自体も、実はフィルタ以前にnatで弾かれていたので付け加えたのですが。
始点が211.212.213.24(仮)なのに、帰りのパケットの終点が192.168.100.200に変わってるのが問題です。
分かりやすくログを書き直すと、
PP[01] Passed at OUT(110) filter: UDP 211.212.213.24(仮):53 > 210.210.210.20(仮):53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP 210.210.210.20:53 > 192.168.100.200:53 (DNS response)
もう、素直にip filter 111 pass 210.210.210.20 192.168.100.200 udp 53 53 を付け加えます。
お付き合い頂き、感謝です。
またもや言葉不足で・・・・
どうも私は、正確に必要な情報をお伝えするのが不得手なようです
NTTに固定1というサービス名があるのをすっかり忘れていました。
IPsecのために固定IPを1コ取って、ip pp address 211.212.213.24(仮)/32してます。
(ちなみにISPはAsahiです)
私も最初は192.168.100.200がDNS Queryを出すモノとばかり思っていたのですが、
実際には、ログを見ると211.212.213.24(仮)がDNS鯖にQueryを出していました。
従って、outのフィルタ110番は、
ip filter 110 pass-log 211.212.213.24(仮) * tcp,udp * domain
となっています。
natの設定自体も、実はフィルタ以前にnatで弾かれていたので付け加えたのですが。
始点が211.212.213.24(仮)なのに、帰りのパケットの終点が192.168.100.200に変わってるのが問題です。
分かりやすくログを書き直すと、
PP[01] Passed at OUT(110) filter: UDP 211.212.213.24(仮):53 > 210.210.210.20(仮):53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP 210.210.210.20:53 > 192.168.100.200:53 (DNS response)
もう、素直にip filter 111 pass 210.210.210.20 192.168.100.200 udp 53 53 を付け加えます。
お付き合い頂き、感謝です。
>>405
ようやく把握した(´・ω・)ス
ip filter dynamic で domainを指定した場合の動作は
あくまでアプリケーション(ぶっちゃけ、LAN内ローカルIP持ちのPC)からの
名前解決の挙動しか想定してないような気がしま(´・ω・)ス
Static NAT してDNS鯖として外に晒すなら、
ip filter dynamic * * filter * in * out *
ってな拡張形式で、
ip pp secure filter in と out
双方に動的フィルタを追加しないと
ダメな気がしま(´・ω・)ス。
あくまでスレーブ(つーかクライアントDNS?)として使うなら、
inのポートは開けないほうがいいんじゃないでしょうか
所詮シロートなんで詳しい人補足よろしくお願いしま(´・ω・)ス
ようやく把握した(´・ω・)ス
ip filter dynamic で domainを指定した場合の動作は
あくまでアプリケーション(ぶっちゃけ、LAN内ローカルIP持ちのPC)からの
名前解決の挙動しか想定してないような気がしま(´・ω・)ス
Static NAT してDNS鯖として外に晒すなら、
ip filter dynamic * * filter * in * out *
ってな拡張形式で、
ip pp secure filter in と out
双方に動的フィルタを追加しないと
ダメな気がしま(´・ω・)ス。
あくまでスレーブ(つーかクライアントDNS?)として使うなら、
inのポートは開けないほうがいいんじゃないでしょうか
所詮シロートなんで詳しい人補足よろしくお願いしま(´・ω・)ス
407 :annonymous:2007/02/07(水) 10:48:01 ID:6VOPQdg3
動的フィルタってのがいまいちよくわかりませぬ。
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
ここは一応読んだのですが、
# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0017 * 21
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0017 * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# ip filter dynamic 2 * 172.16.1.0/28 ftp
# pp select 1
# ip pp secure filter in 80 100 dynamic 2
# ip pp secure filter out 90 dynamic 1
> なお、内側のホストを信頼できる場合には、 90番のフィルタのtcpflagを単にtcpとしてもかまいません。
とありますが、上記設定で、90番フィルタの対象プロトコルをtcpにしてしまったら
動的フィルタをdynamic 1で設定する必要無いんじゃないですか?
それこそ、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
# ip pp secure filter out 90
と変わらないと思うのですが。
(dynamic 1 があろうがなかろうが90番フィルタで全パケット外向きに
飛ぶのだから、そもそも、動的フィルタを通す意味がないのでは?)
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
ここは一応読んだのですが、
# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0017 * 21
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0017 * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# ip filter dynamic 2 * 172.16.1.0/28 ftp
# pp select 1
# ip pp secure filter in 80 100 dynamic 2
# ip pp secure filter out 90 dynamic 1
> なお、内側のホストを信頼できる場合には、 90番のフィルタのtcpflagを単にtcpとしてもかまいません。
とありますが、上記設定で、90番フィルタの対象プロトコルをtcpにしてしまったら
動的フィルタをdynamic 1で設定する必要無いんじゃないですか?
それこそ、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
# ip pp secure filter out 90
と変わらないと思うのですが。
(dynamic 1 があろうがなかろうが90番フィルタで全パケット外向きに
飛ぶのだから、そもそも、動的フィルタを通す意味がないのでは?)
>>407
基本的に、動的フィルタってのは、双方向に穴をあけるのが特徴だと思いま(´・ω・)ス
その例だと確かに、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
で外向け、http(80)宛てのパケットは通りま(´・ω・)スが、
静的フィルタだけだと、返信のパケットをどうするか設定が必要だと思いま(´・ω・)ス
default で全パケットrejectして、使うパケットだけ通す、というルールが一般的ですが、
動的フィルタを使わないと
#ip filter 100 pass * 172.16.1.0/28 tcp 80 *
#ip filter 999 reject * * * * *
#pp select 1
#ip pp secure filter in 100 999
こんな設定が必要になると思いま(´・ω・)ス
(クライアントのポートは可変ですから 宛先 * とかにしない限り追いきれません。)
このfilter 100 が静的、つまり常時あると、結局、送信元ポートが80でさえあれば、
内側のクライアントの任意ポートに向けていつでも、パケットを送り込めてしまう
ことになりま(´・ω・)ス
自分はスーパーハカーではないで(´・ω・)スからこれがどれほど危険なのかは
わかりませんが、もし、その例の動的フィルタを使っているなら、filter 100 は不要
ですから、
#ip pp secure filter in 999
だけでも、LAN側からホームページ見るときの全パケットの行き来を許可できる
ということじゃないでしょうか。
動的フィルタあんまり使ってないので自信がありません。添削おながいしま(´・ω・)ス
基本的に、動的フィルタってのは、双方向に穴をあけるのが特徴だと思いま(´・ω・)ス
その例だと確かに、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
で外向け、http(80)宛てのパケットは通りま(´・ω・)スが、
静的フィルタだけだと、返信のパケットをどうするか設定が必要だと思いま(´・ω・)ス
default で全パケットrejectして、使うパケットだけ通す、というルールが一般的ですが、
動的フィルタを使わないと
#ip filter 100 pass * 172.16.1.0/28 tcp 80 *
#ip filter 999 reject * * * * *
#pp select 1
#ip pp secure filter in 100 999
こんな設定が必要になると思いま(´・ω・)ス
(クライアントのポートは可変ですから 宛先 * とかにしない限り追いきれません。)
このfilter 100 が静的、つまり常時あると、結局、送信元ポートが80でさえあれば、
内側のクライアントの任意ポートに向けていつでも、パケットを送り込めてしまう
ことになりま(´・ω・)ス
自分はスーパーハカーではないで(´・ω・)スからこれがどれほど危険なのかは
わかりませんが、もし、その例の動的フィルタを使っているなら、filter 100 は不要
ですから、
#ip pp secure filter in 999
だけでも、LAN側からホームページ見るときの全パケットの行き来を許可できる
ということじゃないでしょうか。
動的フィルタあんまり使ってないので自信がありません。添削おながいしま(´・ω・)ス
>>407
接続要求は飛ぶけど、返事が遮られて返ってきませんヨ。
その為のdynamicです。
動的フィルタってのは、設定してても最初は存在していません。
OUTの場合は、こっちが接続要求を出して始めて出現し、
以降、要求に対する返答パケのIN方向を、自動的に開けてくれるのです。
通信の流れが止まると、一定時間後にIN方向の道も消える。ハズ。
要するに、dynamicでOUTの設定をしていると、
IN側の設定をしなくて済む=IN側の設定を攻撃の対象にされなくて済む
ということではないかと。
ip filter 100 pass * 172.16.1.0/28 tcp 80 * のような設定をすると、
外部からの全てのIPアドレスのポート80から出たパケットは、
172.16.1.0/28の全てのTCPポートにアクセスできるということになります。
それを補うためにさらにフィルタ、フィルタ、時にNAT、さらにフィルタ・・・
となるワケです。
接続要求は飛ぶけど、返事が遮られて返ってきませんヨ。
その為のdynamicです。
動的フィルタってのは、設定してても最初は存在していません。
OUTの場合は、こっちが接続要求を出して始めて出現し、
以降、要求に対する返答パケのIN方向を、自動的に開けてくれるのです。
通信の流れが止まると、一定時間後にIN方向の道も消える。ハズ。
要するに、dynamicでOUTの設定をしていると、
IN側の設定をしなくて済む=IN側の設定を攻撃の対象にされなくて済む
ということではないかと。
ip filter 100 pass * 172.16.1.0/28 tcp 80 * のような設定をすると、
外部からの全てのIPアドレスのポート80から出たパケットは、
172.16.1.0/28の全てのTCPポートにアクセスできるということになります。
それを補うためにさらにフィルタ、フィルタ、時にNAT、さらにフィルタ・・・
となるワケです。
ヤマハ、管理性を高めたSOHO・中小規模向けファイアウォールルータ
http://enterprise.watch.impress.co.jp/cda/security/2007/02/06/9564.html
業務向けクラス、ではないのかな…?
http://enterprise.watch.impress.co.jp/cda/security/2007/02/06/9564.html
業務向けクラス、ではないのかな…?
>>410
業務にもいろいろありますから・・・。
小規模事業所用のVPNルータとしては
相変わらず最適なんじゃないでしょうか。
F/W機能強化されてるみたいだし、
余計なアプライアンスとか入れないで、
ルータ+F/W+VPN のオールインワン
として使うんじゃないかな。
業務にもいろいろありますから・・・。
小規模事業所用のVPNルータとしては
相変わらず最適なんじゃないでしょうか。
F/W機能強化されてるみたいだし、
余計なアプライアンスとか入れないで、
ルータ+F/W+VPN のオールインワン
として使うんじゃないかな。
セキュアなRTって意味ですかねぇ。
今でもついてるFWがどれ程の物になったのかが気になるところ。
まぁ購入予算はないがw
今でもついてるFWがどれ程の物になったのかが気になるところ。
まぁ購入予算はないがw
拠点間VPN接続だと便利そうだけど、変な所にこだわらなければRTX1100とかでも十分だな
価格帯ではスループット相当よさそうだし、
接続数制限なさそうだしFW無料だから
すごくよさそうなんだけど…2ポートかぁ
接続数制限なさそうだしFW無料だから
すごくよさそうなんだけど…2ポートかぁ
漏れ的にはIDSのシグネチャが明らかに少な過ぎる
フリーでも最低シグネチャが1000以上あるのに対し
2桁数字ではおまけ程度しか思えないし
ゲートウェイでスニッファを使うIDSではないと意味がないと
思われ 鯖公開をマジでやりたければ改竄検知システムを
導入するべきだと思ふ 板違いスマソ
フリーでも最低シグネチャが1000以上あるのに対し
2桁数字ではおまけ程度しか思えないし
ゲートウェイでスニッファを使うIDSではないと意味がないと
思われ 鯖公開をマジでやりたければ改竄検知システムを
導入するべきだと思ふ 板違いスマソ
416 :anonymous:2007/02/08(木) 09:44:28 ID:Bgv0N6fA
SSHで、リモートからRTX1100にログインしたいんですが、
上手いこと行きませぬ
pp select 1
pppoe use lan3
pp auth accept pap chap
pp auth myname hoge *
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address 123.123.123.123/32
ip pp mtu 1454
ip pp secure filter in 10 11 12 13 1000
ip pp secure filter out 100 111 112 113 120 1000 dynamic 3 10 20 30
ip pp nat descriptor 1
ip filter 13 pass * 123.123.123.123 tcp * 22
ip filter 112 pass 123.123.123.123 * tcp,udp,icmp * *
sshd service on
sshd host key generate *
こんなConfigで、
IPアドレスは一つ123.123.123.123/32 のBフレッツ使ってます。
pingには応答するのですが・・・
(LANの内側からのSSH接続も可能です)
気になるのは、Tera Term+TTSSH2で接続が拒否された、と出る割に、
syslog notice on の状態にも関わらず、Rejectのログすら残ってない
ことです。
知恵を貸してください orz
上手いこと行きませぬ
pp select 1
pppoe use lan3
pp auth accept pap chap
pp auth myname hoge *
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address 123.123.123.123/32
ip pp mtu 1454
ip pp secure filter in 10 11 12 13 1000
ip pp secure filter out 100 111 112 113 120 1000 dynamic 3 10 20 30
ip pp nat descriptor 1
ip filter 13 pass * 123.123.123.123 tcp * 22
ip filter 112 pass 123.123.123.123 * tcp,udp,icmp * *
sshd service on
sshd host key generate *
こんなConfigで、
IPアドレスは一つ123.123.123.123/32 のBフレッツ使ってます。
pingには応答するのですが・・・
(LANの内側からのSSH接続も可能です)
気になるのは、Tera Term+TTSSH2で接続が拒否された、と出る割に、
syslog notice on の状態にも関わらず、Rejectのログすら残ってない
ことです。
知恵を貸してください orz
>>416
/32っつーことはNAT関係ですな。
/32っつーことはNAT関係ですな。
>>417
nat descriptor type 1 masquerade
すみませんこれが抜けてました。
192.168.10.0/24
Bフレッツ--RTX1100--LAN
で、内側への静的マスカレードは一切しておりません。
RTX1100本体をSSHサーバに見立てるにしても、
なにかしらのNATの設定が必要になるのでしょうか。
nat descriptor type 1 masquerade
すみませんこれが抜けてました。
192.168.10.0/24
Bフレッツ--RTX1100--LAN
で、内側への静的マスカレードは一切しておりません。
RTX1100本体をSSHサーバに見立てるにしても、
なにかしらのNATの設定が必要になるのでしょうか。
>>418
ip filter 適当 pass * 192.168.10.1 tcp * 22
nat descriptor masquerade static 1 適当 192.168.10.1 tcp 22
とかしないといけないんじゃなかったっけ?
ip filter 適当 pass * 192.168.10.1 tcp * 22
nat descriptor masquerade static 1 適当 192.168.10.1 tcp 22
とかしないといけないんじゃなかったっけ?
>>419
┏━━━RTX1100.━━┓
外━━LAN3 LAN1━━[内側ネットワーク]
┗━━━━━━━━━┛
LAN1が192.168.10.1/24
LAN3 に pp1 として123.123.123.123/32 をつけてるんですが
この状態でも、LAN3-->LAN1に対してNATする必要があるんでしょうか。
ちなみに、内側からは123.123.123.123:22を直接叩けます。
┏━━━RTX1100.━━┓
外━━LAN3 LAN1━━[内側ネットワーク]
┗━━━━━━━━━┛
LAN1が192.168.10.1/24
LAN3 に pp1 として123.123.123.123/32 をつけてるんですが
この状態でも、LAN3-->LAN1に対してNATする必要があるんでしょうか。
ちなみに、内側からは123.123.123.123:22を直接叩けます。
>>420
まぁ、やってみなよ。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
とか見る限りでは、まず nat descriptor がかかってから IP filter の段に入るんだから。
sshd は IP filter より後段に位置するはずだし。
まぁ、やってみなよ。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
とか見る限りでは、まず nat descriptor がかかってから IP filter の段に入るんだから。
sshd は IP filter より後段に位置するはずだし。
>>421
ありがとうございます。やってみたら外部のポートチェッカで
開放確認がとれました。
しかしちょっと疑問が残ります・・・
いわゆるPP IP Address Local っていうのは、PPPoE接続の
時に直接通信できるインターフェイスとしてはみなされない
のでしょうか。
(ルータのip pp address を未入力にしても、結局通信
できるみたいですし・・・)
ありがとうございます。やってみたら外部のポートチェッカで
開放確認がとれました。
しかしちょっと疑問が残ります・・・
いわゆるPP IP Address Local っていうのは、PPPoE接続の
時に直接通信できるインターフェイスとしてはみなされない
のでしょうか。
(ルータのip pp address を未入力にしても、結局通信
できるみたいですし・・・)
>>423
ルータをunnumberedにできるサービス(PPPoEで1IP固定割り当て)で、
numbered設定したい場合ってどうなるのかなぁ・・・とか思った次第。
unnumberedのときは局側の機器がしっかり固定割り当てされるIPを握ってそうですが、
こっちのルータでそのIPアドレスをWAN側PPに割り当てした場合、自動的に、ルータに
ルーティングしてくれるのかなぁ・・・と不安になったので。PPPoEがいまいち
わかってないのかもしれませんが。
ルータをunnumberedにできるサービス(PPPoEで1IP固定割り当て)で、
numbered設定したい場合ってどうなるのかなぁ・・・とか思った次第。
unnumberedのときは局側の機器がしっかり固定割り当てされるIPを握ってそうですが、
こっちのルータでそのIPアドレスをWAN側PPに割り当てした場合、自動的に、ルータに
ルーティングしてくれるのかなぁ・・・と不安になったので。PPPoEがいまいち
わかってないのかもしれませんが。
>416
sshd って RTX3000 のみで使えるんじゃないの?
1100 で有効? って
>(LANの内側からのSSH接続も可能です)
な、なんだってー? あのマニュアルの記述はいったい...
sshd って RTX3000 のみで使えるんじゃないの?
1100 で有効? って
>(LANの内側からのSSH接続も可能です)
な、なんだってー? あのマニュアルの記述はいったい...
>sshd って RTX3000 のみで使えるんじゃないの?
いったい何時の頃の話をしてるんだが…
いったい何時の頃の話をしてるんだが…
いや... 去年の12月ごろに買った rtx1500 ...
箱だしで使ってるけど
ファーム更新したほうが良かったのかな?
箱だしで使ってるけど
ファーム更新したほうが良かったのかな?
漏れも RTX1100 ではSSH使えないと思ってた。
使えるようになったのか、さすがヤマハだ。
あと、パスワードは8文字以内と公式Webにあったけど、
普通に12文字ぐらいのパスワード使っているけど、トラブルは起きないな。
9文字目以降の文字列もちゃんと検証されてるみたいだし。
ひょっとして、マニュアルにある RTX1100 非対応の機能 (上位機種のみ) でも
実際やると動くもの結構ある?
使えるようになったのか、さすがヤマハだ。
あと、パスワードは8文字以内と公式Webにあったけど、
普通に12文字ぐらいのパスワード使っているけど、トラブルは起きないな。
9文字目以降の文字列もちゃんと検証されてるみたいだし。
ひょっとして、マニュアルにある RTX1100 非対応の機能 (上位機種のみ) でも
実際やると動くもの結構ある?
パスワードはv7/8からだっけ?
パスワードのおかげでRTA55iがconfing飲み込んでくれなくて一晩悩んだ事があったっけ…
パスワードのおかげでRTA55iがconfing飲み込んでくれなくて一晩悩んだ事があったっけ…
プロバイダから発行されたPPPoEのパスワードに?(クエスチョンマーク)が含まれています。
どうやってコンソールで入力すればよいでしょうか?
どうやってコンソールで入力すればよいでしょうか?
433 :RTX1100 User:2007/02/10(土) 10:18:07 ID:???
マニュアルの 「4.2 無名ユーザのパスワードを暗号化して保存する」 ([ 書式] login password encrypted) は、
RTX3000 でしか使えないはずですが、コマンドを入れてみてもエラーにはなりませんでした。
これって暗号化されて保存されているってことなんでしょうか?
RTX3000 でしか使えないはずですが、コマンドを入れてみてもエラーにはなりませんでした。
これって暗号化されて保存されているってことなんでしょうか?
調べたら、Rev.8.03.37で追加されたということが分かりました。
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_37.html
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
自己解決です。
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_37.html
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
自己解決です。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/NetBIOS-Filter.html で、
ポート137,138,139 のフィルタが推奨されています。
自分は、IPマスカレードを使用して複数台接続しているのですが、アドレス変換設定をして、
ポートを開放しなければ、外部からの接続は、デフォルトで拒否されていますよね。
このような場合は、NetBIOS のフィルタをしなくてもセキュリティ上は問題ないと解釈してよろしいでしょうか?
ポート137,138,139 のフィルタが推奨されています。
自分は、IPマスカレードを使用して複数台接続しているのですが、アドレス変換設定をして、
ポートを開放しなければ、外部からの接続は、デフォルトで拒否されていますよね。
このような場合は、NetBIOS のフィルタをしなくてもセキュリティ上は問題ないと解釈してよろしいでしょうか?
TCP/IPの基礎を勉強して来い と言いたい所だが、
NETBIOSの実装上、TCPでも動く事になっている。
通常のマスカレードの場合、内部からTCPセッション張った場合に、その返答という形でパケットが通過する。
あとはわかるな?
NETBIOSの実装上、TCPでも動く事になっている。
通常のマスカレードの場合、内部からTCPセッション張った場合に、その返答という形でパケットが通過する。
あとはわかるな?
>>436
回答ありがとうございます。
TCP/IPとかUnixのサーバ関係の基礎は分かっているつもりなんですが、NetBIOS の仕組みは全然わからんです…。
NetBIOS (over TCP/IP) って、勝手に外部のホストに接続する、もしくは第三者が接続するように仕向けられるもんなんでしょうか…。
WebサーバとWebブラウザのように、クライアント側がIPアドレスを指定して接続し、サーバ側が情報を提供するような形式であって、
ポートを閉じている状況ならば、内部からの接続要求への返答は受け取れても、自分のコンピュータからファイルなどの情報が出て行く
ことはないと思ってました。
回答ありがとうございます。
TCP/IPとかUnixのサーバ関係の基礎は分かっているつもりなんですが、NetBIOS の仕組みは全然わからんです…。
NetBIOS (over TCP/IP) って、勝手に外部のホストに接続する、もしくは第三者が接続するように仕向けられるもんなんでしょうか…。
WebサーバとWebブラウザのように、クライアント側がIPアドレスを指定して接続し、サーバ側が情報を提供するような形式であって、
ポートを閉じている状況ならば、内部からの接続要求への返答は受け取れても、自分のコンピュータからファイルなどの情報が出て行く
ことはないと思ってました。
>>437
DSTががNetBIOSとなるポートが通過可能のとき好ましくない例として
ウイルスやスパイウェアに感染したときがありえます。
実例としては、OpaservなどのNetBIOSをつかって感染するウイルスが
内部PCに発生したとき、外部にウイルスをばら撒くといことになってしまいます。
(PHSカードなどでダイヤルアップでつかったとき感染したPCをLANでつないだとき
に発生した。)
スパイウェアの類ならファイルをばら撒くこともできそうです。
DSTががNetBIOSとなるポートが通過可能のとき好ましくない例として
ウイルスやスパイウェアに感染したときがありえます。
実例としては、OpaservなどのNetBIOSをつかって感染するウイルスが
内部PCに発生したとき、外部にウイルスをばら撒くといことになってしまいます。
(PHSカードなどでダイヤルアップでつかったとき感染したPCをLANでつないだとき
に発生した。)
スパイウェアの類ならファイルをばら撒くこともできそうです。
>>438
ご親切に回答していただき恐れ入ります。
LAN内部のコンピュータがマルウェアに感染していない状況であれば、このままの設定でも全く問題ありませんが、
マルウェアに感染した際のことを考えれば、NetBIOS ポートは無効にした方が良いということですね。
早速、ipfilter の設定を行おうと思います。
ありがとうございました。
ご親切に回答していただき恐れ入ります。
LAN内部のコンピュータがマルウェアに感染していない状況であれば、このままの設定でも全く問題ありませんが、
マルウェアに感染した際のことを考えれば、NetBIOS ポートは無効にした方が良いということですね。
早速、ipfilter の設定を行おうと思います。
ありがとうございました。
440 :[email protected]:2007/02/16(金) 01:10:59 ID:???
RTX1100を使ってて、どうもうまく行かないんで質問。
今、RTX1100内のPCからWAN側のPPTPサーバに接続したいんだけど、
これがうまく繋がらない(RTX1100側からのリモートアクセスVPN)。
他の場所から該当のPPTPサーバへは問題なく接続できるので、RTX1100の
config(フィルタ)の問題だと思ってるんだけど。。
ちなみにローカルIPも被っていないことは確認しました。
業者さんに叩き台を作ってもらった分をいじってて、単にpptpパススルーを
見よう見まねで追加しただけなんですが・・・
どなたかアドバイスお願いします。
〜つづく〜
今、RTX1100内のPCからWAN側のPPTPサーバに接続したいんだけど、
これがうまく繋がらない(RTX1100側からのリモートアクセスVPN)。
他の場所から該当のPPTPサーバへは問題なく接続できるので、RTX1100の
config(フィルタ)の問題だと思ってるんだけど。。
ちなみにローカルIPも被っていないことは確認しました。
業者さんに叩き台を作ってもらった分をいじってて、単にpptpパススルーを
見よう見まねで追加しただけなんですが・・・
どなたかアドバイスお願いします。
〜つづく〜
ip pp secure filter in
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 192.168.0.0/16 * * * *
ip filter 4 reject 192.168.2.0/24 * * * *
ip filter 10 reject * * udp,tcp 135 *
ip filter 11 reject * * udp,tcp * 135
ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 14 reject * * udp,tcp 445 *
ip filter 15 reject * * udp,tcp * 445
ip filter 20 pass * 192.168.2.0/24 icmp * *
ip filter 22 pass * 192.168.2.0/24 tcp * ident
ip filter 30 pass * 192.168.2.10 udp * 500
ip filter 31 pass * 192.168.2.10 esp * *
ip filter 32 pass * 192.168.2.10 tcp * telnet
ip filter 33 pass * 192.168.2.10 tcp * www
ip filter 101 pass * 192.168.2.10 tcp * 1723
ip filter 102 pass * 192.168.2.10 gre * *
〜つづく〜
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 192.168.0.0/16 * * * *
ip filter 4 reject 192.168.2.0/24 * * * *
ip filter 10 reject * * udp,tcp 135 *
ip filter 11 reject * * udp,tcp * 135
ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 14 reject * * udp,tcp 445 *
ip filter 15 reject * * udp,tcp * 445
ip filter 20 pass * 192.168.2.0/24 icmp * *
ip filter 22 pass * 192.168.2.0/24 tcp * ident
ip filter 30 pass * 192.168.2.10 udp * 500
ip filter 31 pass * 192.168.2.10 esp * *
ip filter 32 pass * 192.168.2.10 tcp * telnet
ip filter 33 pass * 192.168.2.10 tcp * www
ip filter 101 pass * 192.168.2.10 tcp * 1723
ip filter 102 pass * 192.168.2.10 gre * *
〜つづく〜
ip pp secure filter out
ip filter 5 reject * 10.0.0.0/8 * * *
ip filter 6 reject * 172.16.0.0/12 * * *
ip filter 7 reject * 192.168.0.0/16 * * *
ip filter 8 reject * 192.168.2.0/24 * * *
ip filter 10 reject * * udp,tcp 135 *
ip filter 11 reject * * udp,tcp * 135
ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 14 reject * * udp,tcp 445 *
ip filter 15 reject * * udp,tcp * 445
ip filter 16 restrict * * tcpfin * www,21,nntp
ip filter 17 restrict * * tcprst * www,21,nntp
ip filter 99 pass * * * * *
ip filter dynamic 180 * * ftp
ip filter dynamic 181 * * domain
ip filter dynamic 182 * * www
ip filter dynamic 183 * * smtp
ip filter dynamic 184 * * pop3
ip filter dynamic 198 * * tcp
ip filter dynamic 199 * * udp
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.10 udp 500
nat descriptor masquerade static 1 2 192.168.2.10 esp
nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet
nat descriptor masquerade static 1 4 192.168.2.10 tcp www
nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723
nat descriptor masquerade static 1 6 192.168.2.10 gre
ダラダラと申し訳ございません。以上です。。
ip filter 5 reject * 10.0.0.0/8 * * *
ip filter 6 reject * 172.16.0.0/12 * * *
ip filter 7 reject * 192.168.0.0/16 * * *
ip filter 8 reject * 192.168.2.0/24 * * *
ip filter 10 reject * * udp,tcp 135 *
ip filter 11 reject * * udp,tcp * 135
ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 14 reject * * udp,tcp 445 *
ip filter 15 reject * * udp,tcp * 445
ip filter 16 restrict * * tcpfin * www,21,nntp
ip filter 17 restrict * * tcprst * www,21,nntp
ip filter 99 pass * * * * *
ip filter dynamic 180 * * ftp
ip filter dynamic 181 * * domain
ip filter dynamic 182 * * www
ip filter dynamic 183 * * smtp
ip filter dynamic 184 * * pop3
ip filter dynamic 198 * * tcp
ip filter dynamic 199 * * udp
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.10 udp 500
nat descriptor masquerade static 1 2 192.168.2.10 esp
nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet
nat descriptor masquerade static 1 4 192.168.2.10 tcp www
nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723
nat descriptor masquerade static 1 6 192.168.2.10 gre
ダラダラと申し訳ございません。以上です。。
RTX1100を買いました。
ip filter を使ってプライベートIPアドレスが送信元のパケットが外部から来たときに拒否する設定を行っています。
あとは、自分自身のグローバルIPアドレスが送信元となっている不正なパケットを拒否したいのですが、
Bフレッツでの非固定IPアドレスなISP (PPPoE 接続をして DHCP サーバからグローバルIPアドレスを取得する方式) なので、
自分自身のIPアドレスが不定です。
この場合には、どういった設定をすれば良いでしょうか?
もし、自分自身のグローバルIPアドレスが送信元のパケットや、送信元IPアドレスと送信先IPアドレスが一致しているパケットは
デフォで拒否されるのであれば、その旨を教えていただけると幸いです
ip filter を使ってプライベートIPアドレスが送信元のパケットが外部から来たときに拒否する設定を行っています。
あとは、自分自身のグローバルIPアドレスが送信元となっている不正なパケットを拒否したいのですが、
Bフレッツでの非固定IPアドレスなISP (PPPoE 接続をして DHCP サーバからグローバルIPアドレスを取得する方式) なので、
自分自身のIPアドレスが不定です。
この場合には、どういった設定をすれば良いでしょうか?
もし、自分自身のグローバルIPアドレスが送信元のパケットや、送信元IPアドレスと送信先IPアドレスが一致しているパケットは
デフォで拒否されるのであれば、その旨を教えていただけると幸いです
>>440
肝心の設定がばっさり抜けてるから、訳分からん
192.168.2.10って何のアドレス?
とりあえず貼っておく
http://www.rtpro.yamaha.co.jp/RT/FAQ/PPTP/rtpptp-ans.html#11
肝心の設定がばっさり抜けてるから、訳分からん
192.168.2.10って何のアドレス?
とりあえず貼っておく
http://www.rtpro.yamaha.co.jp/RT/FAQ/PPTP/rtpptp-ans.html#11
>>444
すみません。どこまで必要なのかが解らなかったので。。他部分も貼り付けてみます。
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.3.0/24 gateway tunnel 2
ip route 192.168.4.0/24 gateway tunnel 3
ip lan1 address 192.168.2.10/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname (ID) (PASS)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in (上記のフィルタ設定)
ip pp secure filter out (上記のフィルタ設定)
ip pp nat descriptor 1
pp enable 1
〜つづく〜
ちなみに、ipsecはうまく作動しているため、その部分は端折りました。
すみません。どこまで必要なのかが解らなかったので。。他部分も貼り付けてみます。
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.3.0/24 gateway tunnel 2
ip route 192.168.4.0/24 gateway tunnel 3
ip lan1 address 192.168.2.10/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname (ID) (PASS)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in (上記のフィルタ設定)
ip pp secure filter out (上記のフィルタ設定)
ip pp nat descriptor 1
pp enable 1
〜つづく〜
ちなみに、ipsecはうまく作動しているため、その部分は端折りました。
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.10 udp 500
nat descriptor masquerade static 1 2 192.168.2.10 esp
nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet
nat descriptor masquerade static 1 4 192.168.2.10 tcp www
nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723
nat descriptor masquerade static 1 6 192.168.2.10 gre
ipsec auto refresh on
tftp host any
telnetd host any
dhcp service server
dhcp scope 1 192.168.2.11-192.168.2.99/24 gateway 192.168.2.10
dns server pp 1
httpd host any
以上です。たびたびすみません。。
nat descriptor masquerade static 1 1 192.168.2.10 udp 500
nat descriptor masquerade static 1 2 192.168.2.10 esp
nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet
nat descriptor masquerade static 1 4 192.168.2.10 tcp www
nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723
nat descriptor masquerade static 1 6 192.168.2.10 gre
ipsec auto refresh on
tftp host any
telnetd host any
dhcp service server
dhcp scope 1 192.168.2.11-192.168.2.99/24 gateway 192.168.2.10
dns server pp 1
httpd host any
以上です。たびたびすみません。。
その config が書かれているルーターのLAN側にいるPC(192.168.2.10)から
WAN側にいる PPTP鯖(他所からは繋がるためPPTP鯖に問題はないと思われ) に繋げない、
と言ってるのか?
WAN側にいる PPTP鯖(他所からは繋がるためPPTP鯖に問題はないと思われ) に繋げない、
と言ってるのか?
ip lan1 address 192.168.2.10/24
だから、192.168.2.10 はルーター自身か
192.168.2.10 なルーターで PPTP鯖 でも建てようとしているのか?
(tunnel とか設定たりないが)
だから、192.168.2.10 はルーター自身か
192.168.2.10 なルーターで PPTP鯖 でも建てようとしているのか?
(tunnel とか設定たりないが)
>>447
そうです。その通りです。
このルータのLAN側PCからWAN側のPPTPサーバに接続したいのです。
このルータのLAN側IPが、192.168.2.10 なのです。
実際のPPTPクライアントは、このルータのDHCPから受け取ってる 192.168.2.12 なのですが。
>>448
192.168.2.10 は、仰せの通り、ルータ自身です。
ただ、このルータをPPTPサーバにするのではなく、RTX1100配下にある
PPTPクライアントPCからインターネット側のPPTPサーバに繋げたいのです。
このルータにPPTPクライアント機能を持たせるのでもありません。
そうです。その通りです。
このルータのLAN側PCからWAN側のPPTPサーバに接続したいのです。
このルータのLAN側IPが、192.168.2.10 なのです。
実際のPPTPクライアントは、このルータのDHCPから受け取ってる 192.168.2.12 なのですが。
>>448
192.168.2.10 は、仰せの通り、ルータ自身です。
ただ、このルータをPPTPサーバにするのではなく、RTX1100配下にある
PPTPクライアントPCからインターネット側のPPTPサーバに繋げたいのです。
このルータにPPTPクライアント機能を持たせるのでもありません。
450 :[email protected]:2007/02/16(金) 10:41:30 ID:???
まず試しにフィルター外せ
通ったら
ip filter 102 pass * 192.168.2.10 gre * *
を
ip filter 102 pass * * gre * *
に変えてみろ
そんな気がするw
通ったら
ip filter 102 pass * 192.168.2.10 gre * *
を
ip filter 102 pass * * gre * *
に変えてみろ
そんな気がするw
>>450
おぉっ、ありがとう!!!!
無事、wan側のpptpサーバに接続することが出来まいsた!!
アドバイスの通り、
ip filter 102 pass * 192.168.2.10 gre * *
を
ip filter 102 pass * * gre * *
に変更してやると、あっさり繋がりました。
ip pp secure filter in と ip pp secure filter out は、そのまま使用しています。
これから先、自分でいろいろと設定していかなければ行けない立場にあるので、
もっと精進しようと思います。
ありがとうございました!
おぉっ、ありがとう!!!!
無事、wan側のpptpサーバに接続することが出来まいsた!!
アドバイスの通り、
ip filter 102 pass * 192.168.2.10 gre * *
を
ip filter 102 pass * * gre * *
に変更してやると、あっさり繋がりました。
ip pp secure filter in と ip pp secure filter out は、そのまま使用しています。
これから先、自分でいろいろと設定していかなければ行けない立場にあるので、
もっと精進しようと思います。
ありがとうございました!
>443
Land atack
Land atack
ミスった
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
の侵入の検知の所に書いてあるけど、IDSがLand attackに対応してるから
それを設定すれば防げると思う。
でも、これを設定するとスループットが下がるのがネック。
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
の侵入の検知の所に書いてあるけど、IDSがLand attackに対応してるから
それを設定すれば防げると思う。
でも、これを設定するとスループットが下がるのがネック。
> http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
このページの解説が良く分かりません><
> 動的なフィルタでは、特定の方向にしかドアが開きませんが、通信は双方向であることに注意する必要があります。
> つまり、一度、ドアが開けば、その後は、双方向に通信できることになります。言葉を換えると、双方向の通信を同時に管理できるということであり、静的なフィルタとの大きな違いといえます。
> それから、重要な概念として、コネクションの向きがあります。コネクションの向きは、接続の要求の向きと同じです。
> たとえば、 AがBに接続要求を送信したときには、コネクションの向きは、 AからBへ向かう方向になります。動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。
なんか矛盾しているような気がするんですが…。
このページの解説が良く分かりません><
> 動的なフィルタでは、特定の方向にしかドアが開きませんが、通信は双方向であることに注意する必要があります。
> つまり、一度、ドアが開けば、その後は、双方向に通信できることになります。言葉を換えると、双方向の通信を同時に管理できるということであり、静的なフィルタとの大きな違いといえます。
> それから、重要な概念として、コネクションの向きがあります。コネクションの向きは、接続の要求の向きと同じです。
> たとえば、 AがBに接続要求を送信したときには、コネクションの向きは、 AからBへ向かう方向になります。動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。
なんか矛盾しているような気がするんですが…。
今見てて思ったんですが、
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html の 「Land atack」 ってスペル違うような…。
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html の 「Land atack」 ってスペル違うような…。
>456
確かにtが抜けてるw
>454
コネクションの向き(in or out)=ドアが開く方向(押 or 引)として
考えてみて、穴を開けるキッカケをどちらかに制限できますよって事かな
確かにtが抜けてるw
>454
コネクションの向き(in or out)=ドアが開く方向(押 or 引)として
考えてみて、穴を開けるキッカケをどちらかに制限できますよって事かな
>>457
なるほど
一度ドアが開けば、その後は、双方向に通信できることになります。
⇒トリガーに従い動的フィルタでの穴あけが行われると、そのポートでのアウトバウンドパケットもインバウンドパケットも両方許可されるよ。
アウトバウンドだけ許可するとか、そういう設定はできないので注意してね。
動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。
⇒特定のポート(とかIPアドレス)へのインバウンド接続と、アウトバンド接続で、別々の動的フィルターを定義できるよ。
ってことですね
すっきりしました。
なるほど
一度ドアが開けば、その後は、双方向に通信できることになります。
⇒トリガーに従い動的フィルタでの穴あけが行われると、そのポートでのアウトバウンドパケットもインバウンドパケットも両方許可されるよ。
アウトバウンドだけ許可するとか、そういう設定はできないので注意してね。
動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。
⇒特定のポート(とかIPアドレス)へのインバウンド接続と、アウトバンド接続で、別々の動的フィルターを定義できるよ。
ってことですね
すっきりしました。
質問です。
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3 ⇒ 3.3. 判定条件 の表で、
▲ … 常に廃棄
○ … 常に廃棄
△ … 廃棄しない
★ … 動的フィルタ無しでは無効
ということは分かったんですが、マーク無しはどういう意味なんでしょうか?
また 「この攻撃に関しては、設定にかかわらず、必ず破棄します。」 という風に、「設定にかかわらず」と書かれていますが
マニュアルみても、 intrusion detection の詳細設定の項目はありませんでした
この設定について書かれているページはありますか?
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3 ⇒ 3.3. 判定条件 の表で、
▲ … 常に廃棄
○ … 常に廃棄
△ … 廃棄しない
★ … 動的フィルタ無しでは無効
ということは分かったんですが、マーク無しはどういう意味なんでしょうか?
また 「この攻撃に関しては、設定にかかわらず、必ず破棄します。」 という風に、「設定にかかわらず」と書かれていますが
マニュアルみても、 intrusion detection の詳細設定の項目はありませんでした
この設定について書かれているページはありますか?
マークなしは設定に従って動作するって事じゃないかな
>>460
ありがとうございます。
設定に従った動作ということですか…。
実はマニュアル等を検索しても、intrusion detection 関係の設定コマンドが見つからなかったのですが、
載っているページを教えていただけないでしょうか?
ありがとうございます。
設定に従った動作ということですか…。
実はマニュアル等を検索しても、intrusion detection 関係の設定コマンドが見つからなかったのですが、
載っているページを教えていただけないでしょうか?
>intrusion detection 関係の設定コマンド
onとoffだけだった奇が駿河
onとoffだけだった奇が駿河
>>462
ですよね…。
しかし、それしかないとすると、>>460 さんの 「設定に従って動作する」 も、
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3 の
「この攻撃に関しては、設定にかかわらず、必ず破棄します。」 のような説明が意味不明になるんです。
設定に従って、と言われても on か off しかないわけで…。
むむ、ここまで書いてて少し閃きました。
〜仮説〜
マニュアルの 「設定によって〜」 の 設定とは、実は intrusion detection の on / off のことだった。
まず、>>453 の 「IDSがLand attackに対応してるからそれを設定すれば防げると思う。でも、これを設定するとスループットが下がるのがネック。」 は間違い。
何処が間違いかというと、設定すれば〜あたり。
表のマークは ▲ (危険性の高い攻撃で、誤検出の可能性が低く、破棄したときの影響が少ないと思われるものを示します。この攻撃に関しては、設定に
かかわらず、必ず破棄します。) なんだから、intrusion detection が off でも、Land atack への防衛は常に有効になっている。
Land atack 対策設定はどうやっても解除することができない。
▲ … intrusion detection を off にしてても強制廃棄
○ … intrusion detection を off にしてても強制廃棄
△ … intrusion detection を on にしても廃棄無し
★ … intrusion detection を on かつ その動的フィルタ使っていると廃棄
マーク無し: intrusion detection を on だと廃棄
これであっているのかご存知でしたら教えてください。
ですよね…。
しかし、それしかないとすると、>>460 さんの 「設定に従って動作する」 も、
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3 の
「この攻撃に関しては、設定にかかわらず、必ず破棄します。」 のような説明が意味不明になるんです。
設定に従って、と言われても on か off しかないわけで…。
むむ、ここまで書いてて少し閃きました。
〜仮説〜
マニュアルの 「設定によって〜」 の 設定とは、実は intrusion detection の on / off のことだった。
まず、>>453 の 「IDSがLand attackに対応してるからそれを設定すれば防げると思う。でも、これを設定するとスループットが下がるのがネック。」 は間違い。
何処が間違いかというと、設定すれば〜あたり。
表のマークは ▲ (危険性の高い攻撃で、誤検出の可能性が低く、破棄したときの影響が少ないと思われるものを示します。この攻撃に関しては、設定に
かかわらず、必ず破棄します。) なんだから、intrusion detection が off でも、Land atack への防衛は常に有効になっている。
Land atack 対策設定はどうやっても解除することができない。
▲ … intrusion detection を off にしてても強制廃棄
○ … intrusion detection を off にしてても強制廃棄
△ … intrusion detection を on にしても廃棄無し
★ … intrusion detection を on かつ その動的フィルタ使っていると廃棄
マーク無し: intrusion detection を on だと廃棄
これであっているのかご存知でしたら教えてください。
攻撃受けたければ、静的に設定して通せば?
そもそも説明文自体、動的フィルタの中の一節だろ。
そもそも説明文自体、動的フィルタの中の一節だろ。
>>464
> そもそも説明文自体、動的フィルタの中の一節だろ。
それはちゃうっしょ
ファイアウォール機能
* 1. はじめに
* 2. 動的なフィルタリング
* 3. 侵入の検知
* 4. コマンド仕様
の 3だし。
そして、動的フィルタ関係は★だけだと思われる。
> そもそも説明文自体、動的フィルタの中の一節だろ。
それはちゃうっしょ
ファイアウォール機能
* 1. はじめに
* 2. 動的なフィルタリング
* 3. 侵入の検知
* 4. コマンド仕様
の 3だし。
そして、動的フィルタ関係は★だけだと思われる。
466 :[email protected]:2007/02/19(月) 18:57:37 ID:???
サーバーの納品先にRTX1100があって、設定画面を見てたら
変な事しちゃったみたいで、フリーズしてしまいました。。。
電源ON・OFFでもPINGすら返ってこなくなりました。。。
初期化して、コンフィグファイルを書き込みたいのですが、
コンフィグファイルをPDFで残したものがあるだけです。。。
コンフィグファイル自体は、テキストファイルだと思うのですが、
文字コードや改行コードは何で保存すれば良いのでしょうか?
どうか助けて下さい。。。
変な事しちゃったみたいで、フリーズしてしまいました。。。
電源ON・OFFでもPINGすら返ってこなくなりました。。。
初期化して、コンフィグファイルを書き込みたいのですが、
コンフィグファイルをPDFで残したものがあるだけです。。。
コンフィグファイル自体は、テキストファイルだと思うのですが、
文字コードや改行コードは何で保存すれば良いのでしょうか?
どうか助けて下さい。。。
設定ファイル内に2byte文字がなければ文字コードは関係ないような?
もしあるなら、デフォルトはsjisだと思うからsjisで。
改行コードはCRLFでもLFでもCRでも大丈夫だと思う
もしあるなら、デフォルトはsjisだと思うからsjisで。
改行コードはCRLFでもLFでもCRでも大丈夫だと思う
468 :[email protected]:2007/02/19(月) 19:32:17 ID:???
ありがとうございます。
やってみます。m(__)m
やってみます。m(__)m
もう初期化しちゃってるかもしれないけど、
初期化する前にシリアルかinsでつないでみたら?
初期化する前にシリアルかinsでつないでみたら?
471 :[email protected]:2007/02/20(火) 01:02:27 ID:???
>>470
> 一方、IPヘッダやICMPのように、動的フィルタでは扱わないパケットについては、動的フィルタの設定の有無に関わらず動作します。
> また、TCPやUDPについても、基本的には、動的フィルタを定義しなくても、機能するよう> になっています。これらの詳細については、後の節で説明します。
基本的にはそうなんですね
とありますよね
例えば、IPオプションヘッダの項目は、記号がないですけど、これは動的フィルタ有効にしないと機能しないってことですか?
> 一方、IPヘッダやICMPのように、動的フィルタでは扱わないパケットについては、動的フィルタの設定の有無に関わらず動作します。
> また、TCPやUDPについても、基本的には、動的フィルタを定義しなくても、機能するよう> になっています。これらの詳細については、後の節で説明します。
基本的にはそうなんですね
とありますよね
例えば、IPオプションヘッダの項目は、記号がないですけど、これは動的フィルタ有効にしないと機能しないってことですか?
>>471
>表中の★は動的フィルタを設定しなければ働かないことを示します
記号あるトコは、設定の有無ry or 設定しなければ
記号ないトコは、判定条件にひっかかれば検知されるのでしょう。
あとは静的にLand atackを通して、廃棄されるかどうか試せば、
"設定に関わらず"というマニュアル文から考え得る曖昧さを明確にできるでしょう。
>表中の★は動的フィルタを設定しなければ働かないことを示します
記号あるトコは、設定の有無ry or 設定しなければ
記号ないトコは、判定条件にひっかかれば検知されるのでしょう。
あとは静的にLand atackを通して、廃棄されるかどうか試せば、
"設定に関わらず"というマニュアル文から考え得る曖昧さを明確にできるでしょう。
YAMAHAのRTX1100を使っています。
回線状況は非常に安定しているんですが Windows Messenger が不定期に切断されてしまいます。
(誰かにメッセージを送ってみたらいきなり切断状況になったりと)
これは無通信状態が長く続いたことにより、NATタイマーの時間切れが生じて発生した問題ということなんでしょうか?
もしそうなら良い回避策は無いでしょうか?
回線状況は非常に安定しているんですが Windows Messenger が不定期に切断されてしまいます。
(誰かにメッセージを送ってみたらいきなり切断状況になったりと)
これは無通信状態が長く続いたことにより、NATタイマーの時間切れが生じて発生した問題ということなんでしょうか?
もしそうなら良い回避策は無いでしょうか?
タイマーが問題と思うなら伸ばしてみたら?
わからんかったら
試しにUPNP使ってみたら?
わからんかったら
試しにUPNP使ってみたら?
475 :anonymous@359479004727593:2007/02/21(水) 02:51:43 ID:???
RTX1000にMACアドレスフィルタリング機能は付いてますか
RTX1100でインターネットVPN(AES/SHA)を構築したんですが、めちゃくちゃ速度が遅いのです。
構築されたVPNの中でFTPをするのと、グローバルIP使ってFTPするので速度に5倍ぐらいの差が。
こういうものなんですかね?
ちなみに速度はVPN内のFTPで1Mでず、グローバルIPを使ったFTPで5Mぐらいです。
構築されたVPNの中でFTPをするのと、グローバルIP使ってFTPするので速度に5倍ぐらいの差が。
こういうものなんですかね?
ちなみに速度はVPN内のFTPで1Mでず、グローバルIPを使ったFTPで5Mぐらいです。
あう〜名前の440は、このスレの人とは違いますぅ ゴメン
481 :anonymous@RTX1100:2007/02/22(木) 22:49:56 ID:???
RTX1100についての質問です。
クライアントA から 外部のサーバへ接続した場合には pp 1 を使用して、
クライアントB から 外部のサーバへ接続した場合には pp 2 を使用する、といった設定はどのようにやれば良いでしょうか?
(例えば、クライアントA は So-net の固定IPアドレスプラン、クライアントB は nifty の動的IPアドレスプラン。)
ようするに、PCによって、診断君 http://taruo.net/e/ とかに表示されるIPアドレスを異なるものにしたいということです。
ip route で出来そうだ、と思ってリファレンスを読んでみたところ、送信先のIPアドレス (宛先アドレス) を元に振り分けることはできるんですが、
送信元のIPアドレスでの振り分けはできないようなんです(´・ω・`)
よろしくお願い致します。
クライアントA から 外部のサーバへ接続した場合には pp 1 を使用して、
クライアントB から 外部のサーバへ接続した場合には pp 2 を使用する、といった設定はどのようにやれば良いでしょうか?
(例えば、クライアントA は So-net の固定IPアドレスプラン、クライアントB は nifty の動的IPアドレスプラン。)
ようするに、PCによって、診断君 http://taruo.net/e/ とかに表示されるIPアドレスを異なるものにしたいということです。
ip route で出来そうだ、と思ってリファレンスを読んでみたところ、送信先のIPアドレス (宛先アドレス) を元に振り分けることはできるんですが、
送信元のIPアドレスでの振り分けはできないようなんです(´・ω・`)
よろしくお願い致します。
482 :RTX3000・・・が欲しい:2007/02/23(金) 01:15:18 ID:???
>>481
ip route default gateway pp 2 filter 600000 gateway pp 1
ip filter 600000 pass 192.168.0.200-192.168.0.254 * * * *
と設定して、たとえば
クライアントA:192.168.0.100
クライアントB:192.168.0.200
とアドレスを設定すればうまくいくと思います。
ip route default gateway pp 2 filter 600000 gateway pp 1
ip filter 600000 pass 192.168.0.200-192.168.0.254 * * * *
と設定して、たとえば
クライアントA:192.168.0.100
クライアントB:192.168.0.200
とアドレスを設定すればうまくいくと思います。
今気づいたけど、>>482の例1に書いてるなあ
>>483
それと
http://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/index.html
を組み合わせればPCのアドレス固定しなくてもうまくいくような気がするけど
試すのは( ゚Д゚)マンドクセー
それと
http://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/index.html
を組み合わせればPCのアドレス固定しなくてもうまくいくような気がするけど
試すのは( ゚Д゚)マンドクセー
486 :anonymous@RTX1100:2007/02/24(土) 00:53:00 ID:???
>>482
うおー。
もろ期待通りのことができますね。
ありがとうございました。
> ハードウェアの方と連動してるのう・・・。
すみません、これの意味が良く分からないです…。
>>483-484
その設定でいい感じにいけそうです。
ありがとうございます。
>>485
既に RTX1100 の DHCP サーバ で MACアドレスをもとにIPアドレスを固定配布しているので、それで行ってみます。
出来ても出来なくても、報告しますね。
うおー。
もろ期待通りのことができますね。
ありがとうございました。
> ハードウェアの方と連動してるのう・・・。
すみません、これの意味が良く分からないです…。
>>483-484
その設定でいい感じにいけそうです。
ありがとうございます。
>>485
既に RTX1100 の DHCP サーバ で MACアドレスをもとにIPアドレスを固定配布しているので、それで行ってみます。
出来ても出来なくても、報告しますね。
YAMAHA公式のメーリングリストに入ろうかと思っているんですが、
メーリングリストに入るのは初めてで戸惑っています。
そこで質問なのですが、
1. 1日に何通程度のメッセージがやり取りされているんでしょうか?
2. 登録や投稿時には実名 (もしくは実名風ハンドルネーム) にする必要ありそうですか?
3. MUA は Mozilla Thunderbird で問題無しですか?
以上を教えていただけると嬉しいです。
メーリングリストに入るのは初めてで戸惑っています。
そこで質問なのですが、
1. 1日に何通程度のメッセージがやり取りされているんでしょうか?
2. 登録や投稿時には実名 (もしくは実名風ハンドルネーム) にする必要ありそうですか?
3. MUA は Mozilla Thunderbird で問題無しですか?
以上を教えていただけると嬉しいです。
むかし入ってたけど
1は今どうなんだろう・・・
とりあえずまとめてゲットできた気がしたからそれみてみては?
2は、特に気にすることはなく
3は、問題無いと思うけどHTML形式はやめた方がいい
普通のメーリングリストのマナーでOKなはずだから詳しくは検索してみて
1は今どうなんだろう・・・
とりあえずまとめてゲットできた気がしたからそれみてみては?
2は、特に気にすることはなく
3は、問題無いと思うけどHTML形式はやめた方がいい
普通のメーリングリストのマナーでOKなはずだから詳しくは検索してみて
490 :RTX3000・・・が欲しい:2007/02/24(土) 04:15:06 ID:???
>>486
> > ハードウェアの方と連動してるのう・・・。
> すみません、これの意味が良く分からないです…。
あ、すみません。ハードウェア板のYAMAHAスレの事です。
フィルタをどこまで増やせるかって話題で、フィルタ型ルーティングを使って
NULLインターフェースにルーティングすればフィルタが実質増やせるね、とかなんとか。
> > ハードウェアの方と連動してるのう・・・。
> すみません、これの意味が良く分からないです…。
あ、すみません。ハードウェア板のYAMAHAスレの事です。
フィルタをどこまで増やせるかって話題で、フィルタ型ルーティングを使って
NULLインターフェースにルーティングすればフィルタが実質増やせるね、とかなんとか。
491 :RTX3000・・・が欲しい:2007/02/24(土) 04:20:23 ID:???
493 :RTX3000・・・が欲しい:2007/02/24(土) 15:53:58 ID:???
>>492
"今月"なので2月分が47通です。1月分は25通。
"今月"なので2月分が47通です。1月分は25通。
495 :[email protected]:2007/02/25(日) 05:27:06 ID:???
RTX-1100についての質問です
拠点Aと拠点BをVPNで繋ごうと思いいろいろいじっています
キャリアが拠点AがUCOM、拠点BがBフレッツで、拠点BのほうはPPPoEで問題なくルーターも外部へPINGが通りますが、拠点AのほうがルーターからのPINGが外に出てくれません
拠点AのほうはNATでローカルIPをグローバルIPに変換してインターネットへは問題なく繋がります
拠点AでPPを利用してルーターが外部へ繋がることができればVPNが繋がると思うのですが、UCOMのようなIP割り当てのISPとBフレッツを繋ぐ方法はありますでしょうか?
よろしくお願いします
拠点Aと拠点BをVPNで繋ごうと思いいろいろいじっています
キャリアが拠点AがUCOM、拠点BがBフレッツで、拠点BのほうはPPPoEで問題なくルーターも外部へPINGが通りますが、拠点AのほうがルーターからのPINGが外に出てくれません
拠点AのほうはNATでローカルIPをグローバルIPに変換してインターネットへは問題なく繋がります
拠点AでPPを利用してルーターが外部へ繋がることができればVPNが繋がると思うのですが、UCOMのようなIP割り当てのISPとBフレッツを繋ぐ方法はありますでしょうか?
よろしくお願いします
IP割り当てでフシアナとは・・・・
たぶん、動的IPだから問題無し
この板のデフォルトは anonymous@fusianasan だから引っかかる人は引っかかる…
漏れも最初引っかかったわ
この板のデフォルトは anonymous@fusianasan だから引っかかる人は引っかかる…
漏れも最初引っかかったわ
知らなかった、次からは気をつけます
早急な回答ありがとうございます
もう少しいじってみます
ありがとうございます
早急な回答ありがとうございます
もう少しいじってみます
ありがとうございます
拠点Aは固定アドレスって意味?
はい
拠点Aは固定IPです
といっても、DHCPでいくつか割り振られているIPのうちの一つです
拠点BはBフレッツで固定ではありません
拠点Aは固定IPです
といっても、DHCPでいくつか割り振られているIPのうちの一つです
拠点BはBフレッツで固定ではありません
DHCPなら動的でないの?
MACみて固定的にしてるって意味?
UCOMがどういう仕組みなのかはわからないですが、違う機器をルーター介さずに直接繋ぐとIPが変わることからMACアドレスで割り振っているものかと思われます
で、そのIPアドレスもプランによって1〜5くらい割り振られていると思います
そのプランを申し込んだ人がどのプランで申し込んだかも、何をしたのか何をしたいのか誰にも話さない人なのでIPがいくつあるのかまでは分かりかねます
で、そのIPアドレスもプランによって1〜5くらい割り振られていると思います
そのプランを申し込んだ人がどのプランで申し込んだかも、何をしたのか何をしたいのか誰にも話さない人なのでIPがいくつあるのかまでは分かりかねます
ファイアウォールやらセキュリティソフトやらでpingが遮断される事もあるし、
相手先がpingを遮断している場合もある(www.microsoft.co.jpなど)
まぁ拠点AもBも同じトコにping打ってるとは思うが、
コンフィグくらいは書いてないと、誰も判断しようがないよ。
相手先がpingを遮断している場合もある(www.microsoft.co.jpなど)
まぁ拠点AもBも同じトコにping打ってるとは思うが、
コンフィグくらいは書いてないと、誰も判断しようがないよ。
>>503
でそのような状態でわれわれに助言しろと?
でそのような状態でわれわれに助言しろと?
506 : :2007/02/27(火) 11:25:45 ID:???
IP-PBX環境でマルチキャストを使用します。
RTX3000-RTX1500でVPNを構築した場合、拠点間のマルチキャスト転送は
可能ですか?
RTX3000-RTX1500でVPNを構築した場合、拠点間のマルチキャスト転送は
可能ですか?
家庭用スレから誘導されてきました。
RTX1100 で、ネットワークをほぼ期待通りに構築することができたのですが、1つ困っている点があります。
特定の条件を満たしたパケットを廃棄ではなく拒否したいのですが、RTX1100側でそれを行うことはできないでしょうか?
具体的には、irc.tokyo.wide.ac.jp のようなIRCサーバは、プロキシ対策として、ポートスキャンをしているわけですが、
そのスキャンのパケットを拒否してしまうと、タイムアウトに時間がかかり、1分以上IRCサーバに接続できないので、その点困っています。
http://limechat.net/faq にあるように、PC側に転送すればいい (NAPTを使って) のですが、
それだとパケットがPCに届くという意味で、セキュリティ上の問題が発生しやすいので、出来ればルーター側で拒否したいとおもい書き込みさせていただきました。
ご教示いただけると幸いです。
RTX1100 で、ネットワークをほぼ期待通りに構築することができたのですが、1つ困っている点があります。
特定の条件を満たしたパケットを廃棄ではなく拒否したいのですが、RTX1100側でそれを行うことはできないでしょうか?
具体的には、irc.tokyo.wide.ac.jp のようなIRCサーバは、プロキシ対策として、ポートスキャンをしているわけですが、
そのスキャンのパケットを拒否してしまうと、タイムアウトに時間がかかり、1分以上IRCサーバに接続できないので、その点困っています。
http://limechat.net/faq にあるように、PC側に転送すればいい (NAPTを使って) のですが、
それだとパケットがPCに届くという意味で、セキュリティ上の問題が発生しやすいので、出来ればルーター側で拒否したいとおもい書き込みさせていただきました。
ご教示いただけると幸いです。
あっちで読んでたけど、結局破棄(reject)をしたいのか拒否(stealth?)したいのか分からないんですが。
>>508
回答ありがとうございます。
説明不足で申し訳ありません。
パケットの破棄ではなく拒否がしたいです。
廃棄なら、
ip filter 10 reject 10.0.0.0/8 *
のように出来ますが、拒否の方法が見つからないんです…。
回答ありがとうございます。
説明不足で申し訳ありません。
パケットの破棄ではなく拒否がしたいです。
廃棄なら、
ip filter 10 reject 10.0.0.0/8 *
のように出来ますが、拒否の方法が見つからないんです…。
>>509
廃棄(破棄?)と拒否の言葉の意味する違いが分かりません。
> 廃棄ではなく拒否したいのですが
と書いてあったり
> 拒否してしまうと、タイムアウトに時間がかかり、1分以上IRCサーバに接続できないので、その点困っています。
と書いてあったり、何をしたいのか分からないの。
廃棄(破棄?)と拒否の言葉の意味する違いが分かりません。
> 廃棄ではなく拒否したいのですが
と書いてあったり
> 拒否してしまうと、タイムアウトに時間がかかり、1分以上IRCサーバに接続できないので、その点困っています。
と書いてあったり、何をしたいのか分からないの。
>>510
回答ありがとうございます。
廃棄 … パケットを捨てる (iptables での DROP)
拒否 … パケットを捨てた上で、拒否したことを相手に通知する (iptables での REJECT)
です。
たぶん、drop は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?)
ようするに、Windows などの OS が、そのポートでリッスンするサービスがないときに、返すようなエラーパケットを
相手に返したいんです。
回答ありがとうございます。
廃棄 … パケットを捨てる (iptables での DROP)
拒否 … パケットを捨てた上で、拒否したことを相手に通知する (iptables での REJECT)
です。
たぶん、drop は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?)
ようするに、Windows などの OS が、そのポートでリッスンするサービスがないときに、返すようなエラーパケットを
相手に返したいんです。
誤) たぶん、drop は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?)
正) たぶん、拒否 は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?)
正) たぶん、拒否 は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?)
513 :[email protected]:2007/03/02(金) 22:31:26 ID:???
詳しくないが、「PC側に転送」する例があるってことはそれ自体では出来ないってことでは?
>>511
要するにTCPポートへのSYNに対してdropするんじゃなくて、
RSTで明示的につなげないと応答してほしいんでしょ。
UDPならport unreacheableかな。
YAMAHAはよくしらんが、それってルータのACLで出来るのかね?
Firewallの機能だったらありそうだけど。
要するにTCPポートへのSYNに対してdropするんじゃなくて、
RSTで明示的につなげないと応答してほしいんでしょ。
UDPならport unreacheableかな。
YAMAHAはよくしらんが、それってルータのACLで出来るのかね?
Firewallの機能だったらありそうだけど。
515 :[email protected]:2007/03/03(土) 14:16:14 ID:???
できるものもある。
YAMAHAは知らん
YAMAHAは知らん
516 :[email protected]:2007/03/04(日) 17:52:26 ID:EZRy/5pg
ネットボランチDNS を使用して両方とも動的グローバルアドレスでも
IPSECできまつか?
それとも少なくとも片方は固定じゃないといけないのですか。
IPSECできまつか?
それとも少なくとも片方は固定じゃないといけないのですか。
omronのMR504DVで実現できなかったので、RTX1100を視野に入れてるんだけど、
こういうことができるしょうか?
@LAN2でPPPoE1(ISP1)でセッションを張り、LAN1のローカルPC達のデフォルトルートはそのISP1
且つ、他の拠点とIPsecによるVPN通信を行う。(対向は固定IP、動的IPが混在)
且つ、LAN3でPPPoE2(ISP2)でセッションを張り、外部からのPPTP接続を受け付け、
LAN1側のPC(ファイルサーバ)へアクセス。
Aネットボランチ以外のdyndns.orgやieserver.netなどのDDNSサービスを利用できるか。
MR504DVに比べると値が張るので少々躊躇してるんですが、これらが実現可能なら検討したいと思うのです。
宜しくお願いします。
こういうことができるしょうか?
@LAN2でPPPoE1(ISP1)でセッションを張り、LAN1のローカルPC達のデフォルトルートはそのISP1
且つ、他の拠点とIPsecによるVPN通信を行う。(対向は固定IP、動的IPが混在)
且つ、LAN3でPPPoE2(ISP2)でセッションを張り、外部からのPPTP接続を受け付け、
LAN1側のPC(ファイルサーバ)へアクセス。
Aネットボランチ以外のdyndns.orgやieserver.netなどのDDNSサービスを利用できるか。
MR504DVに比べると値が張るので少々躊躇してるんですが、これらが実現可能なら検討したいと思うのです。
宜しくお願いします。
519 :[email protected]:2007/03/07(水) 17:09:17 ID:???
2は使ってないから判らんが、1はその通りのことをやってる
>>519
ありがとうございます。
まじですか。
じゃあ、後はAができれば、PPTP受信用のLAN3でdyndnsなどのDDNSサービスが使えれば、
IPsec用にはLAN2で固定IP運用、PPTP受信用にはLAN3で動的IPで運用ができますね。
財布に厳しいけどがんばってみるかなー。
ありがとうございます。
まじですか。
じゃあ、後はAができれば、PPTP受信用のLAN3でdyndnsなどのDDNSサービスが使えれば、
IPsec用にはLAN2で固定IP運用、PPTP受信用にはLAN3で動的IPで運用ができますね。
財布に厳しいけどがんばってみるかなー。
>>518
2.は、どこのDDNSサービスでも使えるんじゃないか?
ただ、ルータで自動更新に対応してるのはネットボランチだけ。
ボランチ以外でIPアドレスの更新を自動的にしようとすると、
LAN内に常時起動の更新用クライアントを置いておけばいい。
2.は、どこのDDNSサービスでも使えるんじゃないか?
ただ、ルータで自動更新に対応してるのはネットボランチだけ。
ボランチ以外でIPアドレスの更新を自動的にしようとすると、
LAN内に常時起動の更新用クライアントを置いておけばいい。
523 :[email protected]:2007/03/09(金) 09:27:42 ID:???
516です。ありがとございます。
昨日 RTX1100 で
# pp select 2(ISP用のPPPOE)
pp2# netvolante-dns hostname host pp HOGEHOGE
pp2# netvolante-dns go pp 2
としてみたのですが、
(Netvolante DNS server 1)
エラー: ネットボランチDNSサーバの名前解決に失敗しました
pp2#
になります。なんで?
netovolante DNS が込み合ってるのか、自分の操作が間違ってるのか・・・
昨日 RTX1100 で
# pp select 2(ISP用のPPPOE)
pp2# netvolante-dns hostname host pp HOGEHOGE
pp2# netvolante-dns go pp 2
としてみたのですが、
(Netvolante DNS server 1)
エラー: ネットボランチDNSサーバの名前解決に失敗しました
pp2#
になります。なんで?
netovolante DNS が込み合ってるのか、自分の操作が間違ってるのか・・・
どなたかわかりますでしょうか?
RTX1100を使用していますが
全支部共通設定(ファームも同じ)らしいけど
なぜかうちだけネット環境がヘンな挙動をしてます
設定見せてもらったらヘンな記述をみつけたのですが
関係あるでしょうか?
うちの支部から本社へつないでいる設定で
支部側はppのなかに ipsec tunnel を書いておいて
本部側にはそれに関する記述はまったくない(他支部用はある)です
ここぐらいしか記述的には他を違いが見られないのですが
設定した業者がわからないで業務が止まってて困ってます
RTX1100を使用していますが
全支部共通設定(ファームも同じ)らしいけど
なぜかうちだけネット環境がヘンな挙動をしてます
設定見せてもらったらヘンな記述をみつけたのですが
関係あるでしょうか?
うちの支部から本社へつないでいる設定で
支部側はppのなかに ipsec tunnel を書いておいて
本部側にはそれに関する記述はまったくない(他支部用はある)です
ここぐらいしか記述的には他を違いが見られないのですが
設定した業者がわからないで業務が止まってて困ってます
>>525
ここにエスパーはいませんよ?
ここにエスパーはいませんよ?
525です
挙動に関してはSSL接続したHPを3ページ以上見れないです
具体的には
ログイン>メニュークリック>通信途切れ
ログイン>ログアウト セーフ
yahooやlivedoorなどいくつかの有名どこで必ずおきます
ちなみに他の支部で普通に動いているpcを持ってきても
うちにくると同じ現象になるので
ネットワークの設定?としか考えられません。
そこでRTX1100の設定を見せてもらったら見つけたのが
ipsecの記述に関してだけでした
挙動に関してはSSL接続したHPを3ページ以上見れないです
具体的には
ログイン>メニュークリック>通信途切れ
ログイン>ログアウト セーフ
yahooやlivedoorなどいくつかの有名どこで必ずおきます
ちなみに他の支部で普通に動いているpcを持ってきても
うちにくると同じ現象になるので
ネットワークの設定?としか考えられません。
そこでRTX1100の設定を見せてもらったら見つけたのが
ipsecの記述に関してだけでした
> 設定見せてもらったらヘンな記述をみつけたのですが
ヘンな内容を書けばいいのに。
ヘンな内容を書けばいいのに。
人にきちんと説明できてないし、要点がどこかも解っていない(解って無さそう)。
業務で使ってるなら新たに業者に入ってもらって、しっかりした叩き台なりを
作ってもらった方がいいと思う。
大穴開けて機密情報が漏れたときは、関連業者まで被害が及ぶことになるよ。
業務で使ってるなら新たに業者に入ってもらって、しっかりした叩き台なりを
作ってもらった方がいいと思う。
大穴開けて機密情報が漏れたときは、関連業者まで被害が及ぶことになるよ。
525です
現象が特殊なので概要で同様っぽいのに出くわした方がいれば
イメージしてもらえると思ったのですが・・
要件はこうです
現在本社−複数支部間で接続をRTX1100で接続しています(VPN)
インターネットへは本社経由でしか接続不可能になっています
問題は全支部同じRTX1100(ファームも)を導入して
支部の設定は同じ(各支部へのIPとか基本的なことは除く)
この状態でなぜかうちの支部だけが
ネットのSSL環境へ接続するとまともに動作しません
PC、ルータのハード的名不良やPCの設定問題は
他支部のを持ち込んでテストして再現したので考えられません
ここで各支部と本社ルータの設定を確認したところ
なぜか各支部向けに本社側でIPSECの定義があったのですが
うちの支部だけありませんでした
(こちらの支部には他支部同様の記述定義はあり)
これが問題かと思っているのですが
SSLでの挙動が理解できません
HPでSSLかかってからどのサイトでも必ず3遷移くらいで
通信が途切れます(タイムアウトやレス待ちでは無く完了に)
支部側の通信ログでは正常に通信が確認されています
本部側の設定を書き換えてテストしたいところですが
社内的な事情により来週末までは変更できないのです。
原因の確定ができれば今晩にでも変更をお願いできるのですが・・・
現象が特殊なので概要で同様っぽいのに出くわした方がいれば
イメージしてもらえると思ったのですが・・
要件はこうです
現在本社−複数支部間で接続をRTX1100で接続しています(VPN)
インターネットへは本社経由でしか接続不可能になっています
問題は全支部同じRTX1100(ファームも)を導入して
支部の設定は同じ(各支部へのIPとか基本的なことは除く)
この状態でなぜかうちの支部だけが
ネットのSSL環境へ接続するとまともに動作しません
PC、ルータのハード的名不良やPCの設定問題は
他支部のを持ち込んでテストして再現したので考えられません
ここで各支部と本社ルータの設定を確認したところ
なぜか各支部向けに本社側でIPSECの定義があったのですが
うちの支部だけありませんでした
(こちらの支部には他支部同様の記述定義はあり)
これが問題かと思っているのですが
SSLでの挙動が理解できません
HPでSSLかかってからどのサイトでも必ず3遷移くらいで
通信が途切れます(タイムアウトやレス待ちでは無く完了に)
支部側の通信ログでは正常に通信が確認されています
本部側の設定を書き換えてテストしたいところですが
社内的な事情により来週末までは変更できないのです。
原因の確定ができれば今晩にでも変更をお願いできるのですが・・・
531 :[email protected]:2007/03/09(金) 15:26:13 ID:???
>>530
個別の問題なら回答できるが、そういう複雑なケースは問題を切り分けないと
誰も回答できないよ。自分でパケットを解析してどこで落ちてるか調べるか、
設定した業者(社内なら担当者)を呼びつけて調べさせるしかないでしょう...。
本社とつながる支社、つながらない支社のconfigをRTのメーリングリストに
変な伏字をせずに流せば、暇な人からアドバイスをもらえるかもしれません
が、それも出来ないでしょうからね。
みんなの見世物になって解決させるか、自社内(ベンダー内)で解決させる
か、好きな方をお選びになっては?
個別の問題なら回答できるが、そういう複雑なケースは問題を切り分けないと
誰も回答できないよ。自分でパケットを解析してどこで落ちてるか調べるか、
設定した業者(社内なら担当者)を呼びつけて調べさせるしかないでしょう...。
本社とつながる支社、つながらない支社のconfigをRTのメーリングリストに
変な伏字をせずに流せば、暇な人からアドバイスをもらえるかもしれません
が、それも出来ないでしょうからね。
みんなの見世物になって解決させるか、自社内(ベンダー内)で解決させる
か、好きな方をお選びになっては?
532 :[email protected]:2007/03/09(金) 16:14:03 ID:???
523でつ。
サポセンに電話しますた。
ルーターに
dns server IPアドレス
でDNSサーバーを設定したら直りました。
pppoeで取得するDNSには自動的に名前解決を依頼しにいかないんですね。
サポセンに電話しますた。
ルーターに
dns server IPアドレス
でDNSサーバーを設定したら直りました。
pppoeで取得するDNSには自動的に名前解決を依頼しにいかないんですね。
525です
マルチポストしていた先で同様事例があり解決しました
アドバイスしてくれた方々ありがとうございました
バグっぽいけど記述の仕方を変更しただけで直りました
マルチポストしていた先で同様事例があり解決しました
アドバイスしてくれた方々ありがとうございました
バグっぽいけど記述の仕方を変更しただけで直りました
534 :anonymous@359479004727593:2007/03/11(日) 00:30:26 ID:???
RTX1000でMACアドレスフィルタリングの運用はできますか?
('A`) サワンジャネ
537 :anonymous:2007/03/12(月) 13:24:15 ID:kS4iSs7B
>>534
マニュアル読んでみましょう。読めば設定できる事が判ると思うのですが・・・・
マニュアル読んでみましょう。読めば設定できる事が判ると思うのですが・・・・
538 :[email protected]:2007/03/12(月) 18:17:43 ID:???
PPTP でリモートアクセス環境を試作中なのですが、(家→会社)
接続してくるクライアントを制限するために
会社のRTX1100に
tunnel endpoint name [hogehoge.domain.jp]
を設定しました。
家のクライアントはDiCEで
無料DDNS サービスにその都度登録(家のルータがyamahaでないので
netvolante dnsぢゃない)
RTX1100は接続してきた相手を
tunnel endpoint name [hogehoge.domain.jp]
のホストアドレスで識別すると思われますが、DDNSでは逆引き
できませんよね。(例えnetvolante dnsでも)
ということは、その都度正引きして、IPアドレスが接続してきた
相手のものと一致している場合のみ許可するのでしょうか。
DNSキャッシュの問題とかはどうなってるんでしょ。
接続してくるクライアントを制限するために
会社のRTX1100に
tunnel endpoint name [hogehoge.domain.jp]
を設定しました。
家のクライアントはDiCEで
無料DDNS サービスにその都度登録(家のルータがyamahaでないので
netvolante dnsぢゃない)
RTX1100は接続してきた相手を
tunnel endpoint name [hogehoge.domain.jp]
のホストアドレスで識別すると思われますが、DDNSでは逆引き
できませんよね。(例えnetvolante dnsでも)
ということは、その都度正引きして、IPアドレスが接続してきた
相手のものと一致している場合のみ許可するのでしょうか。
DNSキャッシュの問題とかはどうなってるんでしょ。
netvolante dnsが使えないなら、anonymousしか無いんじゃね?
540 :[email protected]:2007/03/13(火) 08:50:51 ID:3z9UVfJT
やはり netvolante.dns でないとダメなんですかね。
会社側RTX1100 にポートスキャンしてみましたが、TCP 1723 がオープン
していません。ヴ〜ん。
あきらめてRT107eを自宅用に買うか、anonymous 接続にするか しか
ないのかな・・・・・
会社側RTX1100 にポートスキャンしてみましたが、TCP 1723 がオープン
していません。ヴ〜ん。
あきらめてRT107eを自宅用に買うか、anonymous 接続にするか しか
ないのかな・・・・・
>>537 マニュアルもう一度読み返してみます
RTX1100を使っています。
Windows マシン上からワンタッチで接続経路の設定を切り替えたいのですが、良い方法は無いでしょうか?
とりあえず、"tftp host 192.168.1.1" のようにクライアントのIPアドレスを常に登録しておけば期待通りのことができますが、
マニュアルにもあるように IPアドレスのみの認証なので、内部のマシンの1台が乗っ取られた場合に、セキュリティ上問題がありそうです。
そこで、ルータのTelnetdにデータを自動送信するマクロ的なことをやりたいのですが、良い方法は無いでしょうか?
ちなみに、今Telnet接続にはPuttyを使っています。
Windows マシン上からワンタッチで接続経路の設定を切り替えたいのですが、良い方法は無いでしょうか?
とりあえず、"tftp host 192.168.1.1" のようにクライアントのIPアドレスを常に登録しておけば期待通りのことができますが、
マニュアルにもあるように IPアドレスのみの認証なので、内部のマシンの1台が乗っ取られた場合に、セキュリティ上問題がありそうです。
そこで、ルータのTelnetdにデータを自動送信するマクロ的なことをやりたいのですが、良い方法は無いでしょうか?
ちなみに、今Telnet接続にはPuttyを使っています。
543 :anonymous__:2007/03/14(水) 01:10:05 ID:???
Teratermのマクロとか?
puttyでもマクロはあるんじゃないか?
ワンタッチにしたいなら送信アプリくらい書くべきだと思うが。
いろいろなアプリが起動して変なウインドウが見えることがセキュリティ上問題無いのかどうか疑問
ワンタッチにしたいなら送信アプリくらい書くべきだと思うが。
いろいろなアプリが起動して変なウインドウが見えることがセキュリティ上問題無いのかどうか疑問
545 :[email protected]:2007/03/14(水) 15:41:57 ID:7iDUTBeB
546 :[email protected]:2007/03/14(水) 21:42:42 ID:???
540です。やっとつながりました。
DDNSならnetvolante-dnsでなくても大丈夫みたいです。
これでDiCEのプログラムをフォルダ毎いれたフラッシュメモリ
(無料DDNSサーバーへの更新設定を仕込み済み)
と、PPTPクライアントのユーザー名・パスワードがあれば
Yamahaのルータがない環境からでも接続元をFQDNで制限した上で、
接続ができそうです(anonymousじゃなく)
夜間や休日に心置きなく鯖のメンテが行えるようになりますた。
テラウレシスです。
DDNSならnetvolante-dnsでなくても大丈夫みたいです。
これでDiCEのプログラムをフォルダ毎いれたフラッシュメモリ
(無料DDNSサーバーへの更新設定を仕込み済み)
と、PPTPクライアントのユーザー名・パスワードがあれば
Yamahaのルータがない環境からでも接続元をFQDNで制限した上で、
接続ができそうです(anonymousじゃなく)
夜間や休日に心置きなく鯖のメンテが行えるようになりますた。
テラウレシスです。
>>543
回答ありがとうございます
できれば使い慣れている putty を使いたいですが、putty にはマクロ機能やマクロ拡張はないようなので
Teratermを試してみます。
>>544
送信アプリというのはマクロを呼び出すアプリということでしょうか?
何にするかは決まってません
変なウインドウが開くことに関しては、家での利用でマクロを導入するのは自分のPCのみなので問題無いです。
回答ありがとうございます
できれば使い慣れている putty を使いたいですが、putty にはマクロ機能やマクロ拡張はないようなので
Teratermを試してみます。
>>544
送信アプリというのはマクロを呼び出すアプリということでしょうか?
何にするかは決まってません
変なウインドウが開くことに関しては、家での利用でマクロを導入するのは自分のPCのみなので問題無いです。
548 :[email protected]:2007/03/15(木) 00:22:11 ID:2I8XdgY8
RTX1100 を使っています。
副回線として Yahoo! BB 8M を接続してみた所、10BASE-T半二重 と認識されました。
8M回線なので 10BASE になる所までは良いのですが、今時半二重なんて本当に使われているのでしょうか?
疑問に思って、手動設定で両方試してみたところ、全二重にするとめちゃくちゃ遅くなりました。
これは、モデムが対応していない形式での通信だけど一部正しく処理できる部分があって、パケットの再送だらけになって
遅くなるけどなんとか通信できているといった感じでしょうか。
ご教示いただけたら幸いです。
●10BASE-T半二重(10-hdx)
------ BNRスピードテスト (ダウンロード速度) ------
測定サイト: http://www.musen-lan.com/speed/ Ver3.5001
測定日時: 2007/03/21 10:03:58
回線/ISP/地域:
--------------------------------------------------
1.NTTPC(WebARENA)1: 79.554kbps(0.079Mbps) 9.89kB/sec
2.NTTPC(WebARENA)2: 137.47kbps(0.137Mbps) 17.09kB/sec
推定転送速度: 137.47kbps(0.137Mbps) 17.09kB/sec
●10BASE-T全二重(10-fdx)
------ BNRスピードテスト (ダウンロード速度) ------
測定サイト: http://www.musen-lan.com/speed/ Ver3.5001
測定日時: 2007/03/21 10:04:58
回線/ISP/地域:
--------------------------------------------------
1.NTTPC(WebARENA)1: 3785.206kbps(3.785Mbps) 472.88kB/sec
2.NTTPC(WebARENA)2: 3762.057kbps(3.762Mbps) 470.04kB/sec
推定転送速度: 3785.206kbps(3.785Mbps) 472.88kB/sec
副回線として Yahoo! BB 8M を接続してみた所、10BASE-T半二重 と認識されました。
8M回線なので 10BASE になる所までは良いのですが、今時半二重なんて本当に使われているのでしょうか?
疑問に思って、手動設定で両方試してみたところ、全二重にするとめちゃくちゃ遅くなりました。
これは、モデムが対応していない形式での通信だけど一部正しく処理できる部分があって、パケットの再送だらけになって
遅くなるけどなんとか通信できているといった感じでしょうか。
ご教示いただけたら幸いです。
●10BASE-T半二重(10-hdx)
------ BNRスピードテスト (ダウンロード速度) ------
測定サイト: http://www.musen-lan.com/speed/ Ver3.5001
測定日時: 2007/03/21 10:03:58
回線/ISP/地域:
--------------------------------------------------
1.NTTPC(WebARENA)1: 79.554kbps(0.079Mbps) 9.89kB/sec
2.NTTPC(WebARENA)2: 137.47kbps(0.137Mbps) 17.09kB/sec
推定転送速度: 137.47kbps(0.137Mbps) 17.09kB/sec
●10BASE-T全二重(10-fdx)
------ BNRスピードテスト (ダウンロード速度) ------
測定サイト: http://www.musen-lan.com/speed/ Ver3.5001
測定日時: 2007/03/21 10:04:58
回線/ISP/地域:
--------------------------------------------------
1.NTTPC(WebARENA)1: 3785.206kbps(3.785Mbps) 472.88kB/sec
2.NTTPC(WebARENA)2: 3762.057kbps(3.762Mbps) 470.04kB/sec
推定転送速度: 3785.206kbps(3.785Mbps) 472.88kB/sec
日本語でおk
結局、RocketMouse を使って解決となりました。
RTX1100にログイン、管理者権限に変更、経路変更を含めて、1秒程度できて快適です。
RTX1100にログイン、管理者権限に変更、経路変更を含めて、1秒程度できて快適です。
552 :anonymous@RTX1100:2007/03/23(金) 22:02:23 ID:???
RTX1100 についての質問です。
tftp でダウンロードできる config ファイル に、次のような項目があります。
----- 次の行から開始 -----
#
# TUNNEL configuration
#
no tunnel enable all
------ 前の行で終了 ------
普通は no で始まるコマンドは設定の決定の取り消しであり、 config ファイルには残らないはずなのですが、
何故、 「no tunnel enable all」 だけ残るのでしょうか?
# VPN ルータ でこの機能使って欲しいからかなぁ。
ちなみに、この行は削除して config ファイルをアップロードして、再度ダウンロードしても消えません。
皆さんも RTX1100 でこの現象が発生しますか?
「する」 「しない」 の一言でも構いませんので、教えていただけたら幸いです。
tftp でダウンロードできる config ファイル に、次のような項目があります。
----- 次の行から開始 -----
#
# TUNNEL configuration
#
no tunnel enable all
------ 前の行で終了 ------
普通は no で始まるコマンドは設定の決定の取り消しであり、 config ファイルには残らないはずなのですが、
何故、 「no tunnel enable all」 だけ残るのでしょうか?
# VPN ルータ でこの機能使って欲しいからかなぁ。
ちなみに、この行は削除して config ファイルをアップロードして、再度ダウンロードしても消えません。
皆さんも RTX1100 でこの現象が発生しますか?
「する」 「しない」 の一言でも構いませんので、教えていただけたら幸いです。
単純に不要な設定が反映されないための
安全策で記述されてるんじゃないかな
安全策で記述されてるんじゃないかな
554 :[email protected]:2007/03/24(土) 14:30:11 ID:SX888FYf
555 :[email protected]:2007/03/24(土) 20:10:42 ID:hxUTA6Sp
ipsec トンネルをバックアップする設定で
<マルチホーミング型設定>
ip route 192.168.2.0/24 gateway tunnel 1 keepalive 1 gateway pp 10 weight 0
(中略)
ip keepalive 1 icmp-echo 10 6 192.168.2.1
<トンネルバックアップ型設定>
tunnel select 1
tunnel 1# tunnel backup pp 10
pp 10 は ISDNのダイヤルアップ用で
どちらの設定でもバックアップ動作は可能ですが、お勧めはどっち?
パケットロスを隠すので マルチホーミング型がいいのか?
両者で挙動に違いはあるんでしょうかね。
<マルチホーミング型設定>
ip route 192.168.2.0/24 gateway tunnel 1 keepalive 1 gateway pp 10 weight 0
(中略)
ip keepalive 1 icmp-echo 10 6 192.168.2.1
<トンネルバックアップ型設定>
tunnel select 1
tunnel 1# tunnel backup pp 10
pp 10 は ISDNのダイヤルアップ用で
どちらの設定でもバックアップ動作は可能ですが、お勧めはどっち?
パケットロスを隠すので マルチホーミング型がいいのか?
両者で挙動に違いはあるんでしょうかね。
RTX1100 本体を DNSキャッシュサーバとして動作させ、
http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html を用いて、クライアントPCのIPアドレス (送信元) で、
違う経路を設定し、更にデフォルト経路を指定しないといった使い方をしています。
デフォルト経路を指定するとダウン時にそれが使われるので、グローバルIPアドレス漏洩 (というのも大げさな書き方ですが) のリスクがあるからです。
この設定にしたら、クライアントPCで名前解決ができない問題が生じました。
原因は、ルータ (RTX1100) が DNSサーバにアクセスする際の経路が存在しないことだと思い、RTX1100 自体のIPアドレスを探してみました。
マニュアルにもドキュメントにも無かったので、ブルートフォース的に探索したところ、127.0.0.1 や SSH等でルータにアクセスする時に使う
192.168.0.1 も駄目、結局 0.0.0.0 を特定の経路に割り振ってやると、期待通りの動作になりました。
(クライアントPCがルータと同じ経路になることもなく、きちんとクライアント毎に別経路になっています。)
〜ここまでは前置き〜
ここからが質問なのですが、 RTX1100 上で IPアドレス 0.0.0.0 はどういった使われ方をしているんでしょうか?
また、今回のような使い方をしてもセキュリティ上の問題が生じないもんなんでしょうか?
(インサイダーが悪意を持って、発信元IPを 0.0.0.0 に偽った場合には、ルータの名前解決用の経路が使われることは把握しています。)
教えていただけたら幸いです。
http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html を用いて、クライアントPCのIPアドレス (送信元) で、
違う経路を設定し、更にデフォルト経路を指定しないといった使い方をしています。
デフォルト経路を指定するとダウン時にそれが使われるので、グローバルIPアドレス漏洩 (というのも大げさな書き方ですが) のリスクがあるからです。
この設定にしたら、クライアントPCで名前解決ができない問題が生じました。
原因は、ルータ (RTX1100) が DNSサーバにアクセスする際の経路が存在しないことだと思い、RTX1100 自体のIPアドレスを探してみました。
マニュアルにもドキュメントにも無かったので、ブルートフォース的に探索したところ、127.0.0.1 や SSH等でルータにアクセスする時に使う
192.168.0.1 も駄目、結局 0.0.0.0 を特定の経路に割り振ってやると、期待通りの動作になりました。
(クライアントPCがルータと同じ経路になることもなく、きちんとクライアント毎に別経路になっています。)
〜ここまでは前置き〜
ここからが質問なのですが、 RTX1100 上で IPアドレス 0.0.0.0 はどういった使われ方をしているんでしょうか?
また、今回のような使い方をしてもセキュリティ上の問題が生じないもんなんでしょうか?
(インサイダーが悪意を持って、発信元IPを 0.0.0.0 に偽った場合には、ルータの名前解決用の経路が使われることは把握しています。)
教えていただけたら幸いです。
557 :[email protected]:2007/03/25(日) 18:08:52 ID:mMO80umU
ヤマハはもう無線はやらんのだろうか
559 :[email protected]:2007/03/26(月) 17:22:13 ID:STrGdRTW
>>558
プラネックスの様に無線作ったりして徐々に個人向けになってほしくない。
プラネックスの様に無線作ったりして徐々に個人向けになってほしくない。
560 :[email protected]:2007/03/26(月) 23:11:13 ID:???
RTX3000を使って透過プロキシーを構築できますでしょうか?
つまり、LAN側のPCでWebプロキシーを設定することなく、
80番宛のパケットだけ強制的にRTX3000のWAN側に
あるプロキシーサーバに投げるようにすることはできますか?
つまり、LAN側のPCでWebプロキシーを設定することなく、
80番宛のパケットだけ強制的にRTX3000のWAN側に
あるプロキシーサーバに投げるようにすることはできますか?
561 :[email protected]:2007/03/26(月) 23:45:28 ID:kDN6ozH1
>>560
何でWAN側にProxyが有るか良くわからないが、
その機種はNAT変換を通常とは逆に書けるので、80パケットだけProxyに向かうように設定すれば出来るんじゃない?
まあ、実際にやってみないと判らないけどね。
何でWAN側にProxyが有るか良くわからないが、
その機種はNAT変換を通常とは逆に書けるので、80パケットだけProxyに向かうように設定すれば出来るんじゃない?
まあ、実際にやってみないと判らないけどね。
562 :sy:2007/03/27(火) 00:43:20 ID:lncqNmnw
563 :560:2007/03/27(火) 10:35:38 ID:hf4Pd5dd
>561
ありがとうございます。
当方の勉強不足で、この辺の常識を知らないのですが、
この場合、プロキシーサーバは、LAN側に置くのが普通なのでしょうか。
LAN側に置くとループ防止の設定をしなければならず、それがめんどうそう
でしたので、安易にWAN側(正確にはDMZ)にプロキシーサーバを
置くことを考えていました。
配置は別途考えるとして、透過プロキシーを実現できるかどうか、
NATの箇所のマニュアル類を探ってみます。ありがとうございました。
ありがとうございます。
当方の勉強不足で、この辺の常識を知らないのですが、
この場合、プロキシーサーバは、LAN側に置くのが普通なのでしょうか。
LAN側に置くとループ防止の設定をしなければならず、それがめんどうそう
でしたので、安易にWAN側(正確にはDMZ)にプロキシーサーバを
置くことを考えていました。
配置は別途考えるとして、透過プロキシーを実現できるかどうか、
NATの箇所のマニュアル類を探ってみます。ありがとうございました。
>>561 >>563
Trasparent Proxyに設定するSquidとかの問題ではないの?
ルータで「Proxyを通過させるパケット」を
より分けるなら、NATじゃ無理じゃね?
ルータでhttp:80宛送信パケットを捕獲して、送信先アドレスを
書き換えてしまう(DMZのプロキシ宛てにする)と、
プロキシが受け取ってもそもそもどこ宛かわからなくなるような・・・(間違ってたらスマソ)
あくまでルータとかゲートウェイでパケット選り分けたいなら
L7スイッチとかWCCP対応のルータとかじゃないとダメなのではないで(´・ω・)スか?
Webトラフィック全部をProxy経由させるなら問題はないと思いますが。
Trasparent Proxyに設定するSquidとかの問題ではないの?
ルータで「Proxyを通過させるパケット」を
より分けるなら、NATじゃ無理じゃね?
ルータでhttp:80宛送信パケットを捕獲して、送信先アドレスを
書き換えてしまう(DMZのプロキシ宛てにする)と、
プロキシが受け取ってもそもそもどこ宛かわからなくなるような・・・(間違ってたらスマソ)
あくまでルータとかゲートウェイでパケット選り分けたいなら
L7スイッチとかWCCP対応のルータとかじゃないとダメなのではないで(´・ω・)スか?
Webトラフィック全部をProxy経由させるなら問題はないと思いますが。
565 :[email protected]:2007/03/28(水) 15:55:29 ID:1rnNoyiP
>>557
ISDNはダイヤルアップですが?
>>562
RT105 ではその設定しかできない という意味ですか?
(tunnel backup コマンドは使えない?)
柔軟な設定ができるのがいいけど、同じことをやるのでも
複数の設定パターンがあるので、正直迷うことがある。
たとえばトンネルの終端をグローバルアドレスにするか、
プライベートアドレスにして、nat descriptor static ... とやるかなど。
ISDNはダイヤルアップですが?
>>562
RT105 ではその設定しかできない という意味ですか?
(tunnel backup コマンドは使えない?)
柔軟な設定ができるのがいいけど、同じことをやるのでも
複数の設定パターンがあるので、正直迷うことがある。
たとえばトンネルの終端をグローバルアドレスにするか、
プライベートアドレスにして、nat descriptor static ... とやるかなど。
566 :560:2007/03/28(水) 17:49:10 ID:CVMhYWIX
>564
お返事ありがとうございます。
RTX3000ではダメなのですか?
どなたか、当該機で透過プロキシーを
構築された方はお見えでないでしょうか?
お返事ありがとうございます。
RTX3000ではダメなのですか?
どなたか、当該機で透過プロキシーを
構築された方はお見えでないでしょうか?
>>566
RTX1100しかもってないで(´・ω・)スが
ttp://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
こんな感じで TCP:80の全パケットに対して静的に経路を切って
みるのはどうで(´・ω・)スか?
要は、透過型Proxyうんぬんじゃなくて、TCP80パケットを全部Proxyに
ルーティングするようにすれば、あとはProxyがそのパケットどうするか
という話になるのかな、と・・・説明下手で(´・ω・)スが。
(当然、この場合、投げられたProxy側の挙動と、Proxy-->Router(RTX3000?)-->インターネッツ
に出るためのルーティング環境が必要になりますが。)
RTX1100しかもってないで(´・ω・)スが
ttp://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
こんな感じで TCP:80の全パケットに対して静的に経路を切って
みるのはどうで(´・ω・)スか?
要は、透過型Proxyうんぬんじゃなくて、TCP80パケットを全部Proxyに
ルーティングするようにすれば、あとはProxyがそのパケットどうするか
という話になるのかな、と・・・説明下手で(´・ω・)スが。
(当然、この場合、投げられたProxy側の挙動と、Proxy-->Router(RTX3000?)-->インターネッツ
に出るためのルーティング環境が必要になりますが。)
568 :anonymous@p2-user: 53787 p2-client-ip: 210.146.189.47:2007/03/29(木) 16:44:32 ID:???
機種はRTX1000、2つのプロバイダを使い(回線は1本)、
マルチセッションでinternet抜けをしています。
ソースルーティングで2つのプロバイダを使い分けたいのですが、
その様な設定はできますでしょうか?
フィルタで振り分ける事になるんですかね?
マルチセッションでinternet抜けをしています。
ソースルーティングで2つのプロバイダを使い分けたいのですが、
その様な設定はできますでしょうか?
フィルタで振り分ける事になるんですかね?
570 :[email protected]:2007/03/29(木) 21:24:44 ID:oUC70n0s
そもそもどんなルーター使っても無理なのでは?
私はこんな感じで設置だね、正確には本社に設置で支店含めてProxy経由するようにしてあるので違うが
WAN ← ルーター(なんでもいい) ← Proxy(Linuxで運用、NIC2枚) ← WindowsXP
と全パケットを一度Proxyサーバーを通過するようにしないと、ポート80だけ飛ばしてもDNSとか他の機能との連携がとれないんでは?
あと、WANのどこにサーバー設置できるん?まさか建物外(外部)にあるProxyサーバー?
RTX3000に隣接していないとroute設定等なにも出来ないと思うけど・・・
私はこんな感じで設置だね、正確には本社に設置で支店含めてProxy経由するようにしてあるので違うが
WAN ← ルーター(なんでもいい) ← Proxy(Linuxで運用、NIC2枚) ← WindowsXP
と全パケットを一度Proxyサーバーを通過するようにしないと、ポート80だけ飛ばしてもDNSとか他の機能との連携がとれないんでは?
あと、WANのどこにサーバー設置できるん?まさか建物外(外部)にあるProxyサーバー?
RTX3000に隣接していないとroute設定等なにも出来ないと思うけど・・・
>>568
余裕で出来ます。
詳しくは下記URLを。
http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
上のURLには
> [注意事項]
> IPアドレスを固定するためにDHCPは使えない。
> RTの持つDNSリカーシブサーバ機能は使えない。
とあるけど、これ全くのでたらめ。
RT向けの解説だから、RTXならできる、ってだけかもしれないけどね…。
http://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/
余裕で出来ます。
詳しくは下記URLを。
http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
上のURLには
> [注意事項]
> IPアドレスを固定するためにDHCPは使えない。
> RTの持つDNSリカーシブサーバ機能は使えない。
とあるけど、これ全くのでたらめ。
RT向けの解説だから、RTXならできる、ってだけかもしれないけどね…。
http://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/
>>570
WAN側なら、DMZじゃなくても割り当てアドレスが/28とかならありえるんじゃない(´・ω・)スか?
まぁ、ルータにBGP食わせたりしなきゃいけないんでしょうから、俺にはもう完全に無理(´・ω・)ス
ちなみに、ProxyはDMZというケースは多いと思いま(´・ω・)スよ。うちはProxyなんてない(´・ω・)スが。
WAN側なら、DMZじゃなくても割り当てアドレスが/28とかならありえるんじゃない(´・ω・)スか?
まぁ、ルータにBGP食わせたりしなきゃいけないんでしょうから、俺にはもう完全に無理(´・ω・)ス
ちなみに、ProxyはDMZというケースは多いと思いま(´・ω・)スよ。うちはProxyなんてない(´・ω・)スが。
573 :570:2007/03/30(金) 09:32:25 ID:xMJtHegj
>>572
RTX3000をローカルルーターにしてWANより上位にもう1台ルーター設置してあれば出来なくはないけど
でも常識的にRTX3000の上位にルーター置くって事はRTX3000以上の性能を持ったルーターと考えてしまうのですが?
したがって環境が良くわからん。
ネットワーク設計の見直しからしてみてはいかがでしょうか?(回答になっていない)
RTX3000をローカルルーターにしてWANより上位にもう1台ルーター設置してあれば出来なくはないけど
でも常識的にRTX3000の上位にルーター置くって事はRTX3000以上の性能を持ったルーターと考えてしまうのですが?
したがって環境が良くわからん。
ネットワーク設計の見直しからしてみてはいかがでしょうか?(回答になっていない)
575 :562:2007/03/31(土) 00:10:44 ID:rKoEeu3H
>565
設定を見てみたらこんな感じで、「tunnel を pp でバックアップする」とは違いました。
ip route default gateway pp 1 filter 1 2 11 12 gateway tunnel 2 weight 2147483647 hide gateway tunnel 1 weight 1 hide
設定を見てみたらこんな感じで、「tunnel を pp でバックアップする」とは違いました。
ip route default gateway pp 1 filter 1 2 11 12 gateway tunnel 2 weight 2147483647 hide gateway tunnel 1 weight 1 hide
aaaa
577 :hiro:2007/04/05(木) 18:03:52 ID:ceN6pOuF
RTX1100の設定ー(特にfilter部分、プロバイダー接続部分とか)を
コマンドで書くのが面倒なので、RT56Vの設定をtelnetでアップロードしても
ある程度は動くのでしょうか。
コマンドで書くのが面倒なので、RT56Vの設定をtelnetでアップロードしても
ある程度は動くのでしょうか。
578 :anonymous@:2007/04/05(木) 18:20:39 ID:???
579 :anonyomus:2007/04/06(金) 18:29:22 ID:AeuvoyJw
580 :580:2007/04/19(木) 20:34:00 ID:SqwiiW9e
問題切分けの為にアドバイスを頂けたらと思います。
現在3拠点をグループアクセスでネットワークを組んでいます。
プロバイダ:OCN
回線:Bフレッツ光(3拠点とも)
ルータ:RTV700(3拠点とも)
その際に、拠点間の回線速度が、3〜4MB以下と極遅なんですが、
ルータの設定が原因で遅くなるって事はありますか?
なお、基点となる拠点からインターネットの通信速度測定サイトで計ると
40MB以上は常に出ます。
581 :[email protected]:2007/04/20(金) 08:48:06 ID:???
どうもです。
自分で設定していないので、ルータの設定を見ての回答ですが…。
>>581
プロトコルは、IPsec/ESPになるかと思います。
>>582
暗号化は、AES-CBC と思います。
認証のアルゴリズムにもHMAC-SHAが選ばれています。
計測は、エクスプローラのコピーです。
ttp://www.kitou.ac/index.html
上記サイトの転送速度測定ソフトで計りました。
ファイルコピーは、どうしようも無いって事なんでしょうか?
>>583
ttp://www.f5networks.co.jp/product/wanjet/data/wj_WhitePaper.pdf
この製品はどうでもいい(´・ω・)スが、とりあえず、
CIFSが原因であることが説明されてまス
ttp://www.f5networks.co.jp/product/wanjet/data/wj_WhitePaper.pdf
この製品はどうでもいい(´・ω・)スが、とりあえず、
CIFSが原因であることが説明されてまス
>>583
Windowsのファイルコピーは遅延ある回線に弱い
でかいファイルのコピーをしなきゃいけないならFTPに汁
企業ポリシーにも依るけど、
みかかを信用する前提であればグループアクセスに暗号化は必須じゃない
普通にトンネル掘ってもファストパスで動作するし
IPsec使うよりも速いと思われ
※当方の経験では、名古屋〜大阪のケースで、Ping値1桁ms
Windowsのファイルコピーは遅延ある回線に弱い
でかいファイルのコピーをしなきゃいけないならFTPに汁
企業ポリシーにも依るけど、
みかかを信用する前提であればグループアクセスに暗号化は必須じゃない
普通にトンネル掘ってもファストパスで動作するし
IPsec使うよりも速いと思われ
※当方の経験では、名古屋〜大阪のケースで、Ping値1桁ms
586 :[email protected]:2007/04/21(土) 19:58:00 ID:OvYKqfKz
RTX1100の配下にRT56VをおいてVOIPphoneにしたいんですけど
設定例とかはないでしょうか。
RTX1100は固定IPです。
設定例とかはないでしょうか。
RTX1100は固定IPです。
RTX 1100 についての質問です。
Yahoo! BB のモデムにハブを繋ぎ、端末を2台接続すると、2つのIPアドレスが取得できます。(どの契約でも必ず 2IP が取得可能になっています。)
これを、RTX1100 に代行させたい (RTX1100 にIPアドレスを2つ取得してもらう) のですが、どのような設定にしたら良いでしょうか?
モデム ━ ハブ ┳ LAN1ポート
┗ LAN2ポート
だと、それぞれの設定 (lan1 と lan2) で DHCP サーバからの取得 (ip lan1 address dhcp, ip lan2 address dhcp) をすればできそうですが、
これを、
モデム ━ LAN1ポート
という接続方式で仮想的に再現したいと考えています。
つまり、dhcp サーバからIPアドレスの割り当てを受けた状態で、更にもう1セッション別に割り当てを受けるような設定にしたいです。
ご教示いただけたら幸いです。
Yahoo! BB のモデムにハブを繋ぎ、端末を2台接続すると、2つのIPアドレスが取得できます。(どの契約でも必ず 2IP が取得可能になっています。)
これを、RTX1100 に代行させたい (RTX1100 にIPアドレスを2つ取得してもらう) のですが、どのような設定にしたら良いでしょうか?
モデム ━ ハブ ┳ LAN1ポート
┗ LAN2ポート
だと、それぞれの設定 (lan1 と lan2) で DHCP サーバからの取得 (ip lan1 address dhcp, ip lan2 address dhcp) をすればできそうですが、
これを、
モデム ━ LAN1ポート
という接続方式で仮想的に再現したいと考えています。
つまり、dhcp サーバからIPアドレスの割り当てを受けた状態で、更にもう1セッション別に割り当てを受けるような設定にしたいです。
ご教示いただけたら幸いです。
PPPoEならマルチセッションで出来そうだけど
Yahooだとそうもいかないのか
ip lan1 secondary address dhcp とかで出来ないかな?
Yahooだとそうもいかないのか
ip lan1 secondary address dhcp とかで出来ないかな?
dhcpってセッション管理できたっけ?
まぁ、「他のセッションに影響しないんですよね?」「影響しません」
数ヵ月後に「他のセッションに影響していたのを修正しました」
なんてことをやってくれるメーカーだからなー
あの時はバカ受けした
まぁ、「他のセッションに影響しないんですよね?」「影響しません」
数ヵ月後に「他のセッションに影響していたのを修正しました」
なんてことをやってくれるメーカーだからなー
あの時はバカ受けした
591 :[email protected]:2007/04/26(木) 09:07:03 ID:???
>>590
そいつはすげえ
そいつはすげえ
592 :[email protected]:2007/04/26(木) 09:38:51 ID:nbGRU6NN
>>592
なるほど…。
Yahoo! BB は 1契約での IPアドレス取得制限は 2〜3個 になっているんですが、それを取得するためには別々の MAC アドレスが必要ってことですね。
ってことは、素直に LAN ポート分割機能を使って、個別管理できるLANポートを7個にして、ハブを繋げてIPアドレスを多重取得するってのが良いですね。
ありがとうございました。
なるほど…。
Yahoo! BB は 1契約での IPアドレス取得制限は 2〜3個 になっているんですが、それを取得するためには別々の MAC アドレスが必要ってことですね。
ってことは、素直に LAN ポート分割機能を使って、個別管理できるLANポートを7個にして、ハブを繋げてIPアドレスを多重取得するってのが良いですね。
ありがとうございました。
594 :[email protected]:2007/05/04(金) 04:40:30 ID:???
RTX1000 -> RTX1100 に乗り換えるメリットってあるでしょうか?
回線1: Bフレッツ + 固定IP1個のプロバイダ
回線2: 予備の ADSL
どちらも NAT で 1個の IP アドレスを共有
プロトコルごとの優先制御のみ
LAN 上にクライアントPC で外に出て行くのと、
自分のドメイン用に外からアクセスしてもらうための
DNS / Mail / Web サーバなどが立ててあります。
VPN が高速化したとは言っても、ルータを通過して PPTP サーバを
立ててあるのであまり関係なさそうです。
クライアント側の用途は Web と Mail がメインで、時々動画を
見る程度です。
回線1 のプロバイダに対するスループットが下り平均 41Mbps
ぐらい出ていて、ルータを経由せず PC 直結ならもう少し速いので、
RTX1100 にして光のスピードを生かし切れるなら
乗り換えてもいいと思っています。
CPU がマイナーチェンジしたのと、クロックが上がっているので
多少は速いようですが、その手の比較データが見つかりません。
回線1: Bフレッツ + 固定IP1個のプロバイダ
回線2: 予備の ADSL
どちらも NAT で 1個の IP アドレスを共有
プロトコルごとの優先制御のみ
LAN 上にクライアントPC で外に出て行くのと、
自分のドメイン用に外からアクセスしてもらうための
DNS / Mail / Web サーバなどが立ててあります。
VPN が高速化したとは言っても、ルータを通過して PPTP サーバを
立ててあるのであまり関係なさそうです。
クライアント側の用途は Web と Mail がメインで、時々動画を
見る程度です。
回線1 のプロバイダに対するスループットが下り平均 41Mbps
ぐらい出ていて、ルータを経由せず PC 直結ならもう少し速いので、
RTX1100 にして光のスピードを生かし切れるなら
乗り換えてもいいと思っています。
CPU がマイナーチェンジしたのと、クロックが上がっているので
多少は速いようですが、その手の比較データが見つかりません。
たぶん乗り換えのメリットはほとんどないと思うけど
この辺の資料を見るといいんじゃまいか
ttp://www.rtpro.yamaha.co.jp/RT/docs/pdf/RTX1100-concept-20050404.pdf
この辺の資料を見るといいんじゃまいか
ttp://www.rtpro.yamaha.co.jp/RT/docs/pdf/RTX1100-concept-20050404.pdf
>>594
ルーターのIPsecを使って、VPNを組んでいるんなら関係しそうだけど、
書いてある用途じゃあ、たぶん、買い換えのメリットはないかと。
個人的には、ファーム多重、config多重、スペースでのコマンド補完が便利なんで、
RTX1100を使っているけど。
ルーターのIPsecを使って、VPNを組んでいるんなら関係しそうだけど、
書いてある用途じゃあ、たぶん、買い換えのメリットはないかと。
個人的には、ファーム多重、config多重、スペースでのコマンド補完が便利なんで、
RTX1100を使っているけど。
>>596
優先制御の限界が上がる話は前から興味があって、
RTX1000 で優先制御をやめて fifo にしてみたことがありますが、
下り平均 12Mbps 程度アップした程度なんですよね。
すいている時間だっただけかもしれず。
帯域制御は数字残っていませんが、
スピードがた落ちだったのですぐ優先制御にもどした覚えが。
ssh は欲しい気もしますが、やっぱりメリット薄いので
ちょっと新機種とか動きあるまで様子見ます。どもでした。
優先制御の限界が上がる話は前から興味があって、
RTX1000 で優先制御をやめて fifo にしてみたことがありますが、
下り平均 12Mbps 程度アップした程度なんですよね。
すいている時間だっただけかもしれず。
帯域制御は数字残っていませんが、
スピードがた落ちだったのですぐ優先制御にもどした覚えが。
ssh は欲しい気もしますが、やっぱりメリット薄いので
ちょっと新機種とか動きあるまで様子見ます。どもでした。
RT58iでもいい希ガスが・・・
601 :[email protected]:2007/05/11(金) 22:19:33 ID:???
WAN経由でファイル共有(CIFS)を使うとどれぐらいの回線速度で
頭打ちになりますか?
頭打ちになりますか?
>>601
CIFSだから回線速度ではなく、応答速度に依存ですね。
CIFSだから回線速度ではなく、応答速度に依存ですね。
603 :[email protected]:2007/05/11(金) 22:36:29 ID:???
605 :[email protected]:2007/05/12(土) 18:46:55 ID:???
>>602
thank you!!
thank you!!
606 :[email protected]:2007/05/14(月) 19:01:04 ID:???
やっちまった、、、
パスワードがわかんない;;
うちの脳がEEPROMではないことを忘れてました。
こじあけられるかな・・・・
パスワードがわかんない;;
うちの脳がEEPROMではないことを忘れてました。
こじあけられるかな・・・・
607 :[email protected]:2007/05/14(月) 19:19:59 ID:sGNhWvVj
>>606
「security class」がデフォルトならメーカーが勝手につけたパスワードある。
「security class」がデフォルトならメーカーが勝手につけたパスワードある。
609 :[email protected]:2007/05/15(火) 15:45:01 ID:???
>>607さま
>>608さま
ありがとうございます、w,lXlma も受け付けないモードでした。
ちなみにRTX1000DKFA なんですけど、基板上のシリアルEEPROMを
外して読んでみましたがMACアドレスが格納されているだけでした。
FLASHROMを直接触るしかないようです。
>>608さま
ありがとうございます、w,lXlma も受け付けないモードでした。
ちなみにRTX1000DKFA なんですけど、基板上のシリアルEEPROMを
外して読んでみましたがMACアドレスが格納されているだけでした。
FLASHROMを直接触るしかないようです。
ストリーミング動画を見たいのですが、うまく見られません。
拠点A
RTX1000−VOD
|IPsec
RTX1000−Player
拠点B
上のように、拠点間をRTX1000でVPNしているんですが、
拠点Aでは問題なく見られるVODサーバーのストリーミング動画が、
拠点Bではうまく見られず、次のような現象です。
Realtekでは、見られる。
Intel、Broadcomでは、見られない。ただし、Tcpmonを動かすと見られる。
フィルターの設定かと思ったんですが、LANカードによって見られたり見られないって
あるんでしょうか?
拠点A
RTX1000−VOD
|IPsec
RTX1000−Player
拠点B
上のように、拠点間をRTX1000でVPNしているんですが、
拠点Aでは問題なく見られるVODサーバーのストリーミング動画が、
拠点Bではうまく見られず、次のような現象です。
Realtekでは、見られる。
Intel、Broadcomでは、見られない。ただし、Tcpmonを動かすと見られる。
フィルターの設定かと思ったんですが、LANカードによって見られたり見られないって
あるんでしょうか?
612 :[email protected]:2007/05/15(火) 17:42:12 ID:???
初期化して構わないなら、背面のINITボタン押しながら電源のOFF/ONしてみな
614 :[email protected]:2007/05/16(水) 18:03:25 ID:???
615 :[email protected]:2007/05/18(金) 12:25:49 ID:qzitQWjN
RT107eを使っています。
DoS攻撃に対する防御はどのように設定すればよいですか?
DoS攻撃に対する防御はどのように設定すればよいですか?
616 :[email protected]:2007/05/19(土) 20:24:05 ID:???
614です。
INITボタン+電源ONとマニュアル通りにやってみましたが
解除されませんでした。もしかして壊れてるのか・・・
INITボタン+電源ONとマニュアル通りにやってみましたが
解除されませんでした。もしかして壊れてるのか・・・
> 616
INITボタンですが、押しながら電源投入して、
電源をonにしたあとも、
20秒ぐらい押しっぱなしにしたままにしますと、いかがでしょうか。
INITボタンですが、押しながら電源投入して、
電源をonにしたあとも、
20秒ぐらい押しっぱなしにしたままにしますと、いかがでしょうか。
618 :[email protected]:2007/05/21(月) 03:09:30 ID:???
>>617さま
20秒以上し続けてみました。
RTX1000 Rev.8.01.20 (Fri Jan 13 17:03:42 2006)
Copyright (c) 1994-2006 Yamaha Corporation.
Copyright (c) 1991-1997 Regents of the University of California.
Copyright (c) 1995-1996 Jean-loup Gailly and Mark Adler.
Copyright (c) 1998-2000 Tokyo Institute of Technology.
Copyright (c) 2000 Japan Advanced Institute of Science and Technology, HOKURIK
U.
Copyright (c) 2002 RSA Security Inc. All rights reserved.
00:00:00:29:00:00, 00:00:00:29:00:00, 00:a0:00:29:00:00,
Memory 16Mbytes, 3LAN, 1BRI
Password:
エラー: パスワードが間違っています
Password:
でした;;
20秒以上し続けてみました。
RTX1000 Rev.8.01.20 (Fri Jan 13 17:03:42 2006)
Copyright (c) 1994-2006 Yamaha Corporation.
Copyright (c) 1991-1997 Regents of the University of California.
Copyright (c) 1995-1996 Jean-loup Gailly and Mark Adler.
Copyright (c) 1998-2000 Tokyo Institute of Technology.
Copyright (c) 2000 Japan Advanced Institute of Science and Technology, HOKURIK
U.
Copyright (c) 2002 RSA Security Inc. All rights reserved.
00:00:00:29:00:00, 00:00:00:29:00:00, 00:a0:00:29:00:00,
Memory 16Mbytes, 3LAN, 1BRI
Password:
エラー: パスワードが間違っています
Password:
でした;;
>>618
初期化したならブランクパスワードになってなかったっけ?
初期化したならブランクパスワードになってなかったっけ?
620 :[email protected]:2007/05/21(月) 18:44:43 ID:???
>>620
ルータは設定が初期化されたような動きをしてる?
ルータは設定が初期化されたような動きをしてる?
623 :[email protected]:2007/05/24(木) 00:10:43 ID:???
624 :[email protected]:2007/05/30(水) 17:00:35 ID:???
TwiceNATをやろうとしてるんですが
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html
これ試された方いますか?
まったくこの通りにやってるのに、WAN側から192.168.0.1に対して
コネクションを張ると、始点アドレスが172.16.2.1のままパケットが来てしまいます。
何か書かれてない前提条件でもあるんでしょうか…?
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html
これ試された方いますか?
まったくこの通りにやってるのに、WAN側から192.168.0.1に対して
コネクションを張ると、始点アドレスが172.16.2.1のままパケットが来てしまいます。
何か書かれてない前提条件でもあるんでしょうか…?
625 :[email protected]:2007/05/30(水) 17:16:15 ID:???
間違えた。
WAN側から172.16.2.1に対してコネクションを張ると、
当然NATが行われ192.168.0.1にパケットが飛びますが
192.168.0.1からnetstatなどでそのセッションを見ると
始点アドレスがそのWANノードの生IPになってしまっている、という問題です。
WAN側から172.16.2.1に対してコネクションを張ると、
当然NATが行われ192.168.0.1にパケットが飛びますが
192.168.0.1からnetstatなどでそのセッションを見ると
始点アドレスがそのWANノードの生IPになってしまっている、という問題です。
RTX1100を購入してVPNを組んでみようかと思っているのですが、
IPSecによるVPNって一つのIPをVPNで占有したほうが速度出るとかありますか?
NATでも別に大差ないとかならIP1契約でも十分なのかなぁと思っているのですが。
IPSecによるVPNって一つのIPをVPNで占有したほうが速度出るとかありますか?
NATでも別に大差ないとかならIP1契約でも十分なのかなぁと思っているのですが。
627 :[email protected]:2007/06/04(月) 19:10:04 ID:???
今度業務でハウジング先の回線とRTX1100を使ってサーバ公開する予定なんですが、
ハウジング先の回線の場合、どういう設定になるんですか?
今までPPPoEとかでしか使ったことがないのですが、通常の内部ルータと同じ設定でいいのでしょうか?
ハウジング先の回線の場合、どういう設定になるんですか?
今までPPPoEとかでしか使ったことがないのですが、通常の内部ルータと同じ設定でいいのでしょうか?
ハウジング先の回線がどうなってるかハウジング屋に聞けよ
629 :[email protected]:2007/06/06(水) 12:21:40 ID:???
RTX1100を使ってマルチホーミングでISP1(PPPoE)とISP2(専用線)に接続し、
LAN1に繋いであるサーバをNATで公開しています。
このとき、経路の設定は下記のようにしてあるのですが、
ip route default gateway pp 1 weight 10 hide gateway xxx.xxx.xxx.xxx weight 1 hide
ISP1側のIPアドレスに接続に来たパケットをISP2の経路で返すことがあります。(その逆もある)
ISP1と2で回線速度が違うため、できればISP1のIPアドレスにアクセスに来たパケットに対しては、
常にISP1の経路から返すようにし、ISP2のIPアドレスにアクセスしてきたパケットに対しては
ISP2の経路から返すようにしたいのですが、こんな設定は可能でしょうか?
LAN1に繋いであるサーバをNATで公開しています。
このとき、経路の設定は下記のようにしてあるのですが、
ip route default gateway pp 1 weight 10 hide gateway xxx.xxx.xxx.xxx weight 1 hide
ISP1側のIPアドレスに接続に来たパケットをISP2の経路で返すことがあります。(その逆もある)
ISP1と2で回線速度が違うため、できればISP1のIPアドレスにアクセスに来たパケットに対しては、
常にISP1の経路から返すようにし、ISP2のIPアドレスにアクセスしてきたパケットに対しては
ISP2の経路から返すようにしたいのですが、こんな設定は可能でしょうか?
630 :[email protected]:2007/06/06(水) 12:24:00 ID:dgQVVNYI
>>630
NAT でIPSec という時点で普通に釣りだろ
NAT でIPSec という時点で普通に釣りだろ
632 :anonymous__:2007/06/06(水) 21:41:50 ID:???
NAT使っているなら、、、、サーバに二つ目のIPアドレスを振って、
ISP1から来たら一つ目のアドレスにNAT変換
ISP2から来たら二つ目のアドレスにNAT変換
外に出て行くときは、ソースアドレスを見てフィルタ型ルーティングを
動かせばいいんじゃないか?
ISP1から来たら一つ目のアドレスにNAT変換
ISP2から来たら二つ目のアドレスにNAT変換
外に出て行くときは、ソースアドレスを見てフィルタ型ルーティングを
動かせばいいんじゃないか?
633 :anonymous@:2007/06/07(木) 11:12:20 ID:???
初心者質問ですいません。
初めてRTXシリーズを触るのですが(既存は107e)、フィルタ設定をイチしっかりしないと
フィルタは掛かっていないものと考えていいんですよね?
Established オプションよりも安全性を考えればちゃんと書いた方がいいですよね?
初めてRTXシリーズを触るのですが(既存は107e)、フィルタ設定をイチしっかりしないと
フィルタは掛かっていないものと考えていいんですよね?
Established オプションよりも安全性を考えればちゃんと書いた方がいいですよね?
外部からの攻撃を防ぐ意味であればNATだけ書いとけば、とりあえず良かろう
あとは、内部PCから変なパケット(NetBIOS系など)を変な相手むけに飛ばしちゃって、
返事もらったりしないように、フィルタ設定を煮詰めていくとよい。
鯖公開してたりDMZ作ったりするのなら、
それなりに最初からキチンと設定すること
あとは、内部PCから変なパケット(NetBIOS系など)を変な相手むけに飛ばしちゃって、
返事もらったりしないように、フィルタ設定を煮詰めていくとよい。
鯖公開してたりDMZ作ったりするのなら、
それなりに最初からキチンと設定すること
635 :anonymous@:2007/06/07(木) 17:13:02 ID:???
>>634
ありがとうございます。
特に外部への鯖公開とかはなく、IPSecによる拠点間通信とインターネットなので、
Established と必要なNATでとりあえず始めてみます。
フィルタは徐々に追加して煮詰めていきます。
本当にありがとうございます。
ありがとうございます。
特に外部への鯖公開とかはなく、IPSecによる拠点間通信とインターネットなので、
Established と必要なNATでとりあえず始めてみます。
フィルタは徐々に追加して煮詰めていきます。
本当にありがとうございます。
636 :[email protected]:2007/06/16(土) 13:57:24 ID:LH3c9bmA
マンションに YahooBB 光 Type-E (部屋の壁に イーサネットの口がある)しか選択の余地がなくしかたなく契約しています。
YahooBB 光ユニットとかいう糞ルータを強制的に使わされているわけですが、RTX で接続する方法はないでしょうか?
どうも、Mac アドレス認証し、DHCP で IP Address をもらっているようなので、光ユニットの WAN 側の Mac アドレスを
調べ、それを RTX の WAN のポートに設定すればいいような気はするのですが。BBフォンとかいらないので、普通のルータ使いたいです。
Netscreen でも Cisco でもいいんです。
YahooBB 光ユニットとかいう糞ルータを強制的に使わされているわけですが、RTX で接続する方法はないでしょうか?
どうも、Mac アドレス認証し、DHCP で IP Address をもらっているようなので、光ユニットの WAN 側の Mac アドレスを
調べ、それを RTX の WAN のポートに設定すればいいような気はするのですが。BBフォンとかいらないので、普通のルータ使いたいです。
Netscreen でも Cisco でもいいんです。
引っ越せ
データセンタのとなりに住まわされているので無理ですね。
639 :[email protected]:2007/06/16(土) 14:56:55 ID:???
転職しちゃうとか。
641 :[email protected]:2007/06/16(土) 22:20:43 ID:???
642 :[email protected]:2007/06/17(日) 13:40:52 ID:mw1XZCHL
YAMAHAのRTX3000ってCiscoのどの機種に相当するスペック?
Cisco12000…だとさすがに4倍もあって冗談にもならんので3825と答えておく。
つーかスペックの何について比較したいんだ?
つーかスペックの何について比較したいんだ?
某所でRTX3000の見積もりとってみたのよ。
型番:RTX3000
>>634
商品名:RTX3000 イーサアクセスVPNルーター
定価:\498,000
お見積価格:\338,600
でね、Ciscoがやっぱいいのかなとも思うんだけど、
YAMAHAのコストパフォーマンスを知りたかったわけで。
7200だとかなりいい値段するし、3800クラスでもやっぱ高いじゃん。
型番:RTX3000
>>634
商品名:RTX3000 イーサアクセスVPNルーター
定価:\498,000
お見積価格:\338,600
でね、Ciscoがやっぱいいのかなとも思うんだけど、
YAMAHAのコストパフォーマンスを知りたかったわけで。
7200だとかなりいい値段するし、3800クラスでもやっぱ高いじゃん。
その見積は何故RTX1500やRT58iでは無くRTX3000を選んだの?
その理由となった要件があるはずで、それが分らないとCiscoの場合に
どの機器を選べば比較になるのかが分らないよ。
以下は明らかに余計な御世話だけど、機器単体の価格以外にも
将来の拡張時に要する費用とか、社内/社外のサポート体制とか、
客の運用体制とか、その他色々考えて機器を選んでね!
その理由となった要件があるはずで、それが分らないとCiscoの場合に
どの機器を選べば比較になるのかが分らないよ。
以下は明らかに余計な御世話だけど、機器単体の価格以外にも
将来の拡張時に要する費用とか、社内/社外のサポート体制とか、
客の運用体制とか、その他色々考えて機器を選んでね!
そういえばCisco 7201にはUSBポートついたんだっけ。関係ないけど。
647 :[email protected]:2007/06/26(火) 02:10:25 ID:???
rtx1100を使って以下のようにつなぐことって出来ますか?
3.0はインターネットに直接繋ぎません。
インターネット インターネット
│ │
192.168.1.0/24 192.168.2.0/24
│ │
│ │
└──────192.168.3.0/24 ─────┘
│
┌───┴───┐
[webサーバー] [Fileサーバー]
3.0はインターネットに直接繋ぎません。
インターネット インターネット
│ │
192.168.1.0/24 192.168.2.0/24
│ │
│ │
└──────192.168.3.0/24 ─────┘
│
┌───┴───┐
[webサーバー] [Fileサーバー]
「FOMAリモートセットアップ機能」対応ファームきたー
FOMAの件は着信だけだった。つまらん。
でも、以前ここで報告してた不具合がやっと直ったみたいだ。
↓
「RTX1100とRTX1500で、ログイン/管理者パスワードに同じパスワードを設定して、以下の組合せで暗号化して保存させた場合、認証エラーによりWeb Assistanceのトップページを表示させることができない
* ログイン/管理者パスワードを共に暗号化して保存する
* ログインパスワードのみ暗号化して保存する」
でも、以前ここで報告してた不具合がやっと直ったみたいだ。
↓
「RTX1100とRTX1500で、ログイン/管理者パスワードに同じパスワードを設定して、以下の組合せで暗号化して保存させた場合、認証エラーによりWeb Assistanceのトップページを表示させることができない
* ログイン/管理者パスワードを共に暗号化して保存する
* ログインパスワードのみ暗号化して保存する」
650 :[email protected]:2007/07/07(土) 16:36:01 ID:3zS+7zE5
RTX1100を2台で拠点間VPN接続をしようと思ってるんですが、開通後にアクティブディレクトリなどを組む場合にどういったフィルタリング設定が必要なのかぜんぜんわかりません。何か参考になるサイト情報とか設定情報ありませんでしょうか。
651 :[email protected]:2007/07/07(土) 19:34:26 ID:dEzl6UC9
THE NOVEMBERSが神
今話題のバンド。下北沢のシーンを轟音で駆け抜ける。
THE NOVEMBERS
ttp://music8.2ch.net/test/read.cgi/minor/1179893510/201-300 ←スレ
ttp://www.myspace.com/thenovembers11 ←試聴
ttp://the-novembers.cure.to/ ←公式PC
ttp://ip.tosp.co.jp/i.asp?i=the_novembers ←公式携帯
もう最強( ゚ー゚)
今話題のバンド。下北沢のシーンを轟音で駆け抜ける。
THE NOVEMBERS
ttp://music8.2ch.net/test/read.cgi/minor/1179893510/201-300 ←スレ
ttp://www.myspace.com/thenovembers11 ←試聴
ttp://the-novembers.cure.to/ ←公式PC
ttp://ip.tosp.co.jp/i.asp?i=the_novembers ←公式携帯
もう最強( ゚ー゚)
>>650
拠点間通信にフィルタ掛ける必須要件があるから聞いてるのか、
その必要性の有無をまだ検討してないのか、
既にVPNは構成したけどADの運用で問題があるから聞いてるのか
その辺全部はっきりさせた方がいいよ。
よくあるパターンとしては、拠点それぞれのLAN内は信用できるものと仮定して
拠点間トンネルの手前には何もフィルタを置かない、というやり方があるけど。
拠点間通信にフィルタ掛ける必須要件があるから聞いてるのか、
その必要性の有無をまだ検討してないのか、
既にVPNは構成したけどADの運用で問題があるから聞いてるのか
その辺全部はっきりさせた方がいいよ。
よくあるパターンとしては、拠点それぞれのLAN内は信用できるものと仮定して
拠点間トンネルの手前には何もフィルタを置かない、というやり方があるけど。
653 :anonymous:2007/07/07(土) 21:02:50 ID:CW3mc3s/
>>650
>アクティブディレクトリなど
アクティブディレクトリだけを通過させてそれ以外全て禁止って意味か?でもなぜ後ろになどと書いている?
質問は理解できる文章で宜しく。
652さんの言うようにVPNだからLANポートの設定は全て通過で良いんじゃないのか?
>アクティブディレクトリなど
アクティブディレクトリだけを通過させてそれ以外全て禁止って意味か?でもなぜ後ろになどと書いている?
質問は理解できる文章で宜しく。
652さんの言うようにVPNだからLANポートの設定は全て通過で良いんじゃないのか?
654 :[email protected]:2007/07/07(土) 21:45:05 ID:???
ActiveDirectory使うには危ないとされるポートを
ほとんど開ける必要があるからフィルタはあまり意味が無い
ほとんど開ける必要があるからフィルタはあまり意味が無い
655 :[email protected]:2007/07/07(土) 22:32:30 ID:???
初めまして、RT57iの設定をコンソールでやってます。
ネットボランチDNSサービスの設定をしているんですど
pp select anonymous
netvolante hostname host pp xxx とし
netvolante-dns go xx を pp anonymousで登録したいのですが
整数で設定して下さいと表示され、設定できません。
ちなみにネットワーク接続なのでかんたん設定ではDNSの設定が行えません.
どなたか分かる方はいらっしゃいますでしょうか?
ネットボランチDNSサービスの設定をしているんですど
pp select anonymous
netvolante hostname host pp xxx とし
netvolante-dns go xx を pp anonymousで登録したいのですが
整数で設定して下さいと表示され、設定できません。
ちなみにネットワーク接続なのでかんたん設定ではDNSの設定が行えません.
どなたか分かる方はいらっしゃいますでしょうか?
>>655
pp select anonymous
で指定するのは、主に特定不能なリモートアクセスユーザを括る時の相手先情報なわけで。
そいつらが目指してくるべき、57iのグローバルIPアドレスを、netvolante-dnsで示してほしいわけだよね。
57iがインターネット接続で使っているppを選択した状態で、登録コマンドを実行してみて下さい。
>ちなみにネットワーク接続なのでかんたん設定ではDNSの設定が行えません.
何が「ちなみに」なのかも含め、この一行がまったく意味不明です。
シリアル接続だからGUIで簡単設定できないってんなら分かるけど。
pp select anonymous
で指定するのは、主に特定不能なリモートアクセスユーザを括る時の相手先情報なわけで。
そいつらが目指してくるべき、57iのグローバルIPアドレスを、netvolante-dnsで示してほしいわけだよね。
57iがインターネット接続で使っているppを選択した状態で、登録コマンドを実行してみて下さい。
>ちなみにネットワーク接続なのでかんたん設定ではDNSの設定が行えません.
何が「ちなみに」なのかも含め、この一行がまったく意味不明です。
シリアル接続だからGUIで簡単設定できないってんなら分かるけど。
657 :[email protected]:2007/07/08(日) 00:22:41 ID:DZVBXLvQ
650です。
僕初心者に近いんでやはりCONFIGとかの記述まで知りたいのですが、VPNにはフィルタリングが要らない場合、インターネット側の出口にかけるべきフィルタリングの基本的な内容を知りたいのですが、そんなサイトありませんか?
僕初心者に近いんでやはりCONFIGとかの記述まで知りたいのですが、VPNにはフィルタリングが要らない場合、インターネット側の出口にかけるべきフィルタリングの基本的な内容を知りたいのですが、そんなサイトありませんか?
>>657
http://www.netvolante.jp/solution/vpn/case2/example1.html
添付の設定例集だとフィルタは何もないから、この辺でもパクって作れば?
常識的なのは書いてあるように見える。でも言うまでもないが、こういうのに模範的解答例はあっても完璧はない。
しかし、会社から業務の一環として構築を指示されているんなら、
「自分の力量では、何とか構築できても全社のLANを危険にさらすかもしれないので、専門業者を呼んでいいですか?」
と、今のうちから声上げておいた方がいいぞ。
管理者がその状態では先が思いやられる。
あと蛇足だが
>CONFIGとかの記述
ルータの設定はコンフィグで全て完結なので、意味もなく"とか"なんて入れないでね。
そんなに自分の発言に責任が持てないですか?
http://www.netvolante.jp/solution/vpn/case2/example1.html
添付の設定例集だとフィルタは何もないから、この辺でもパクって作れば?
常識的なのは書いてあるように見える。でも言うまでもないが、こういうのに模範的解答例はあっても完璧はない。
しかし、会社から業務の一環として構築を指示されているんなら、
「自分の力量では、何とか構築できても全社のLANを危険にさらすかもしれないので、専門業者を呼んでいいですか?」
と、今のうちから声上げておいた方がいいぞ。
管理者がその状態では先が思いやられる。
あと蛇足だが
>CONFIGとかの記述
ルータの設定はコンフィグで全て完結なので、意味もなく"とか"なんて入れないでね。
そんなに自分の発言に責任が持てないですか?
660 :[email protected]:2007/07/08(日) 13:14:12 ID:???
>>653
●Windows Firewall: Domain controller
You must turn off Windows Firewall to use this server role.
ttp://technet2.microsoft.com/windowsserver/en/library/2a1e2951-7ec8-4297-9c94-757766fb94671033.mspx?mfr=true
●ファイアウォール越しにActive Directoryを利用する方法
ttp://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx
●Windows Firewall: Domain controller
You must turn off Windows Firewall to use this server role.
ttp://technet2.microsoft.com/windowsserver/en/library/2a1e2951-7ec8-4297-9c94-757766fb94671033.mspx?mfr=true
●ファイアウォール越しにActive Directoryを利用する方法
ttp://www.microsoft.com/japan/technet/archive/ittasks/tasks/adrepfir.mspx
661 :[email protected]:2007/07/08(日) 13:15:10 ID:???
しばらくalliedをいじってたあとにrtx3000さわると、なんか安心するのは何故だろう
色のせいかな。やっぱ肌触りかな
色のせいかな。やっぱ肌触りかな
そういやRTX3000で書き直したNATディスクリプタ、なんでSRT100に載せてくれなかったんだろうな。相変わらずテーブルあふれるんだが。
処理能力不足か?
処理能力不足か?
664 : ◆Kode71qa9g :2007/07/14(土) 23:13:45 ID:+qfG6hng
650です。なんとか設定考えて2拠点のインターネットへの接続は
できるようになったんですが、結局拠点間のvpnがつながらず
ログを見ても両側共に下記のログ以降VPNの接続に関するログが出ていません。
[IKE] initiate ISAKMP phase to xxx.xxx.xxx.xxx(相手側グローバルIP)
show ip routeでTUNNEL1の表示もでて、RTX1100のWEB設定画面でトンネルの
[設定を調べる]ボタンを押しても全て特に問題ありません。と出ています。
何が悪いか経験で分かる方いませんか。フィルタリングのOUT側の問題とか
関係あるのでしょうか。
できるようになったんですが、結局拠点間のvpnがつながらず
ログを見ても両側共に下記のログ以降VPNの接続に関するログが出ていません。
[IKE] initiate ISAKMP phase to xxx.xxx.xxx.xxx(相手側グローバルIP)
show ip routeでTUNNEL1の表示もでて、RTX1100のWEB設定画面でトンネルの
[設定を調べる]ボタンを押しても全て特に問題ありません。と出ています。
何が悪いか経験で分かる方いませんか。フィルタリングのOUT側の問題とか
関係あるのでしょうか。
>>664
UDP 500番は空けてあるんだろうな?
UDP 500番は空けてあるんだろうな?
666 : ◆Kode71qa9g :2007/07/14(土) 23:34:43 ID:???
>>665
ip filter 1020 pass xxx.xxx.xxx.xxx(相手グローバル) 192.168.100.1(自分ローカル) udp * 500
ip filter 1021 pass xxx.xxx.xxx.xxx(相手グローバル) 192.168.100.1 esp
で、in側フィルタにいれてます。ちがってますか?
ip filter 1020 pass xxx.xxx.xxx.xxx(相手グローバル) 192.168.100.1(自分ローカル) udp * 500
ip filter 1021 pass xxx.xxx.xxx.xxx(相手グローバル) 192.168.100.1 esp
で、in側フィルタにいれてます。ちがってますか?
667 :あのにます:2007/07/14(土) 23:46:38 ID:r418zK7z
とりあえず syslog notice on しておきましょう。
668 : ◆Kode71qa9g :2007/07/14(土) 23:56:45 ID:???
669 : ◆Kode71qa9g :2007/07/15(日) 00:51:13 ID:Ehz0H07U
なんかこんなのでてきたんですけど、
LAN2 Rejected at IN(2000) filter: UDP(相手側グローバルIPのブロードキャストIP):500 >
(ローカルのLAN側IP):500
IN側のフィルタ設定のせいでipsecがブロックされてるってことなんですかね?
LAN2 Rejected at IN(2000) filter: UDP(相手側グローバルIPのブロードキャストIP):500 >
(ローカルのLAN側IP):500
IN側のフィルタ設定のせいでipsecがブロックされてるってことなんですかね?
670 :pp select 1:2007/07/15(日) 13:20:19 ID:???
惜しいところまで来てる感じだな。
繋ぎたい両拠点のconfig全体を晒してみては…
もちろん、パスワードとかグローバルIPアドレス等を伏せてだけど。
繋ぎたい両拠点のconfig全体を晒してみては…
もちろん、パスワードとかグローバルIPアドレス等を伏せてだけど。
>>Kode71qa9g
フィルタ外してやってみ?
それと、NATはどうなってる?
フィルタ外してやってみ?
それと、NATはどうなってる?
672 :[email protected]:2007/07/16(月) 13:41:46 ID:oTGWfHxG
教えてください。
RTX1100にVPNでログインするユーザーに対し、ユーザー別に割り当てるIPアドレスを
決めることはできるのでしょうか?
RT57iの場合は割り当てるIPアドレスが全ユーザーで共通設定になっていて
別々にはできなかったのですが・・
RTX1100にVPNでログインするユーザーに対し、ユーザー別に割り当てるIPアドレスを
決めることはできるのでしょうか?
RT57iの場合は割り当てるIPアドレスが全ユーザーで共通設定になっていて
別々にはできなかったのですが・・
>>672
pp auth usernameで57iでも出来るよ
pp auth usernameで57iでも出来るよ
674 :[email protected]:2007/07/21(土) 06:19:44 ID:ba0xjwmG
RTX1100のip filterコマンドでアドレス並べたてみたが、一行に約28000文字は全部飲み込めないみたいね。
RTA55iはできたのに。
RTA55iはできたのに。
>>674
4095文字以内だ。
4095文字以内だ。
676 :[email protected]:2007/07/26(木) 15:35:55 ID:oTkeTCFN
YMS-NM1なくなっちゃった・・・使って他の俺だけ?
677 :anonymous:2007/07/27(金) 19:00:31 ID:fRH6ILmM
http://netvolante.jp/solution/int/case4b.html
とまったく同じネットワーク構成にしようと考えて RTX1100 を買ったのですが、
ISP が USEN の BROAD GATE02(複数IPアドレス)なので、
この例のように PPPoE で繋ぐわけにはいきません。
LAN2 ポートの WAN の設定はどうすればよいのでしょうか?
LAN2 ポートに UCOM からもらった IPアドレス を割り当てたりしてみましたがダメでした。
いろいろ探したのですが全然見つからず途方に暮れています。
教えてください。
とまったく同じネットワーク構成にしようと考えて RTX1100 を買ったのですが、
ISP が USEN の BROAD GATE02(複数IPアドレス)なので、
この例のように PPPoE で繋ぐわけにはいきません。
LAN2 ポートの WAN の設定はどうすればよいのでしょうか?
LAN2 ポートに UCOM からもらった IPアドレス を割り当てたりしてみましたがダメでした。
いろいろ探したのですが全然見つからず途方に暮れています。
教えてください。
>>677
> ISP が USEN の BROAD GATE02(複数IPアドレス)なので、
> この例のように PPPoE で繋ぐわけにはいきません。
何が「なので」なの?
「複数IPアドレス」だから「PPPoEが不可」と思ったのか
「PPPoE以外の何か」だから「PPPoEが不可」と思ったのか
BROAD GATE02ってのにも、色々あるみたいだから
何に悩んでいるのか良く分からん。
> ISP が USEN の BROAD GATE02(複数IPアドレス)なので、
> この例のように PPPoE で繋ぐわけにはいきません。
何が「なので」なの?
「複数IPアドレス」だから「PPPoEが不可」と思ったのか
「PPPoE以外の何か」だから「PPPoEが不可」と思ったのか
BROAD GATE02ってのにも、色々あるみたいだから
何に悩んでいるのか良く分からん。
>>678-679
ありがとうございます。
使えるIPはブロードキャストとネットワークを除くと6個になります。
PPPoEと競合する概念ではないというのはもや〜っとわかってるつもりなんですが、
何分知識がないもので伝わらなくてすみません。
要は >>677 に挙げたYAMAHAのサイトの例での
「WANのインタフェースの設定」をどうすればいいのかわからないのです。
例えば
network: 221.xxx.0.0/29
gateway: 221.xxx.0.1
が割り振られているとして、
ルータのLAN2ポートには
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
と設定したのですが、設定を保存した後でも
外部にpingを飛ばすことができませんでした。
ありがとうございます。
使えるIPはブロードキャストとネットワークを除くと6個になります。
PPPoEと競合する概念ではないというのはもや〜っとわかってるつもりなんですが、
何分知識がないもので伝わらなくてすみません。
要は >>677 に挙げたYAMAHAのサイトの例での
「WANのインタフェースの設定」をどうすればいいのかわからないのです。
例えば
network: 221.xxx.0.0/29
gateway: 221.xxx.0.1
が割り振られているとして、
ルータのLAN2ポートには
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
と設定したのですが、設定を保存した後でも
外部にpingを飛ばすことができませんでした。
>>680
( ゚д゚)?
> network: 221.xxx.0.0/29
> gateway: 221.xxx.0.1
> が割り振られているとして、
gateway ってのが何を指してるのかいまいちわからんが、
類推しすると、そのGatewayアドレスをルータに食わせろ、
ってことじゃないの?
>>677のWeb事例で言うとlan2で固定する気なら
pp select 1
pp always-on on
pppoe use lan2
略
ip pp address 222.xxx.0.1/29
でlan2 のpp1に固定IP振ってして、
さらにlan3にも固定IPを振り分けて固定する(無駄がでる)
PPPoEでUnnumberedでいいなら、素直に
ip lan3 address 221.xxx.0.1/29
ip route default gateway pp 1
じゃねーの?
( ゚д゚)?
> network: 221.xxx.0.0/29
> gateway: 221.xxx.0.1
> が割り振られているとして、
gateway ってのが何を指してるのかいまいちわからんが、
類推しすると、そのGatewayアドレスをルータに食わせろ、
ってことじゃないの?
>>677のWeb事例で言うとlan2で固定する気なら
pp select 1
pp always-on on
pppoe use lan2
略
ip pp address 222.xxx.0.1/29
でlan2 のpp1に固定IP振ってして、
さらにlan3にも固定IPを振り分けて固定する(無駄がでる)
PPPoEでUnnumberedでいいなら、素直に
ip lan3 address 221.xxx.0.1/29
ip route default gateway pp 1
じゃねーの?
682 :[email protected]:2007/07/30(月) 14:56:51 ID:+k+lFdJF
>>680
>>681さんと一部ダブルが。
ルーターとは異なるネットワークを繋ぐものですしたがって、LAN1(LAN側)とLAN2(WAN)側で異なるネットワークアドレスにしないと行いけません。←これ基本。
数パターンの接続方法があるが。
1.WAN側に振るIPアドレス&プロバイダー側のゲートウェイが資料で着ていないか?
2.Unnumberedで繋ぐ。
3.PPPoE、USENならPPPoEでは無いと思う、と言うか資料は無いのか?
等があるね。
私なら、ルーターをいきなり繋ぐのではなく、PCを直に繋ぎ接続試験をしてみるけどな。
>>681さんと一部ダブルが。
ルーターとは異なるネットワークを繋ぐものですしたがって、LAN1(LAN側)とLAN2(WAN)側で異なるネットワークアドレスにしないと行いけません。←これ基本。
数パターンの接続方法があるが。
1.WAN側に振るIPアドレス&プロバイダー側のゲートウェイが資料で着ていないか?
2.Unnumberedで繋ぐ。
3.PPPoE、USENならPPPoEでは無いと思う、と言うか資料は無いのか?
等があるね。
私なら、ルーターをいきなり繋ぐのではなく、PCを直に繋ぎ接続試験をしてみるけどな。
683 :[email protected]:2007/07/30(月) 20:28:44 ID:???
>>680
USEN の BROAD GATE02 はLAN型接続なので、IPの割り当てが
network: 221.xxx.0.0/29
gateway: 221.xxx.0.1
ならば、
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
でいいはず。
で、LAN3には 221.xxx.0.0/29 の範囲のIPアドレスは使えないので、適当なプライベートIP で NAT しましょう。
USEN の BROAD GATE02 はLAN型接続なので、IPの割り当てが
network: 221.xxx.0.0/29
gateway: 221.xxx.0.1
ならば、
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
でいいはず。
で、LAN3には 221.xxx.0.0/29 の範囲のIPアドレスは使えないので、適当なプライベートIP で NAT しましょう。
>>683
あれま。じゃ、そもそもPPPoEじゃないのか。
あれま。じゃ、そもそもPPPoEじゃないのか。
すまん、LAN型のPPPoEってことか。
寝ぼけてるな。。忘れてくれ。
寝ぼけてるな。。忘れてくれ。
687 :[email protected]:2007/07/31(火) 10:06:38 ID:???
そんなのよくある。
うちも1個持っていかれてるわ
Unnumberedだと良いんだけどねー
Unnumberedだと良いんだけどねー
んでもYAMAHAのスレでアレだけど、
YAMAHA以外でunnumberedが使えない機械とかも有るわけで。
YAMAHA以外でunnumberedが使えない機械とかも有るわけで。
んで、677さんは解決したのかな?
691 :[email protected]:2007/07/31(火) 16:52:42 ID:???
すみませんお返事遅くなりました。
まずは >>682さんおすすめの通り RTX1100 はちょっと置いといて
UCOM光ファイバ網 - メディアコンバータ - ハブ - PC
という構成で試してみました。
PC には
IP: 211.xxx.0.2
MASK: 255.255.255.248
GW: 211.xxx.0.1
DNS: 211.xxx.0.1
と設定したら、
ping 66.249.89.147 # www.google.co.jp
はオッケーで
ping www.google.co.jp
はホストが見つからないとなってしまいました。
ということは RTX1100 には、 >>683さんの教えてくれたように設定すればいいはず。
だけど問題は dns サーバは自前でたてなきゃいけない?ってことでしょうか。
とほほ。
ルータの設定がうまくいったら、また後ほど書きにきます。
まずは >>682さんおすすめの通り RTX1100 はちょっと置いといて
UCOM光ファイバ網 - メディアコンバータ - ハブ - PC
という構成で試してみました。
PC には
IP: 211.xxx.0.2
MASK: 255.255.255.248
GW: 211.xxx.0.1
DNS: 211.xxx.0.1
と設定したら、
ping 66.249.89.147 # www.google.co.jp
はオッケーで
ping www.google.co.jp
はホストが見つからないとなってしまいました。
ということは RTX1100 には、 >>683さんの教えてくれたように設定すればいいはず。
だけど問題は dns サーバは自前でたてなきゃいけない?ってことでしょうか。
とほほ。
ルータの設定がうまくいったら、また後ほど書きにきます。
> dns サーバは自前でたてなきゃいけない?
( ゚д゚)
( ゚д゚ )
( ゚д゚)
( ゚д゚ )
>692
そういうことを言っちゃうような人も
RTX に手を出す時代になったってことだな…
そういうことを言っちゃうような人も
RTX に手を出す時代になったってことだな…
>>692,694
すいません・・・。
>>693
ですよね、ところがUCOMからはDNSサーバについて何も指定がないんです。
それと RTX1100 を一度 cold start して初期化した後、
>>691 と同じように
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
save
と最小の設定だけして
ping 66.249.89.147
したんですが、100%パケットロスになってしまいました。
悩ましいです。
すいません・・・。
>>693
ですよね、ところがUCOMからはDNSサーバについて何も指定がないんです。
それと RTX1100 を一度 cold start して初期化した後、
>>691 と同じように
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
save
と最小の設定だけして
ping 66.249.89.147
したんですが、100%パケットロスになってしまいました。
悩ましいです。
696 : ◆jy2j5V31aw :2007/07/31(火) 19:22:01 ID:???
>>695
あのさー、>>678でも書いたんだけど
http://www.gate02.ne.jp/
の回線サービスって所を見ると、いろんなサービスメニューがあるのよね。
中には「Bフレッツ・アクセス」っていかにもPPPoEを使いそうなものもあれば
そうでないものもある訳さ。
DNSサーバの話だってそうさ。自前でたてるか否かなんて
http://www.gate02.ne.jp/service/option/index.html#dns
にもあるけど、ニーズに応じて自分で選んでるんだろうから
そんなの他人では情報がなきゃ分からんて。
そもそもDNSサーバのホスティング云々の必要性がない場合もある訳だし。
しっかり情報出さないと、訳分かりません。
あのさー、>>678でも書いたんだけど
http://www.gate02.ne.jp/
の回線サービスって所を見ると、いろんなサービスメニューがあるのよね。
中には「Bフレッツ・アクセス」っていかにもPPPoEを使いそうなものもあれば
そうでないものもある訳さ。
DNSサーバの話だってそうさ。自前でたてるか否かなんて
http://www.gate02.ne.jp/service/option/index.html#dns
にもあるけど、ニーズに応じて自分で選んでるんだろうから
そんなの他人では情報がなきゃ分からんて。
そもそもDNSサーバのホスティング云々の必要性がない場合もある訳だし。
しっかり情報出さないと、訳分かりません。
GATE02なら、IPアドレスとか書いてある通知書の封筒に、
一緒にDNSサーバのIP一覧の紙が1枚入ってるよ。
地域毎に結構違うIPで書いてあるので、自分の地域のを選んで使えばよし。
一緒にDNSサーバのIP一覧の紙が1枚入ってるよ。
地域毎に結構違うIPで書いてあるので、自分の地域のを選んで使えばよし。
もう既にRTXどころかルータについての話題ですらない件
700 :[email protected]:2007/08/02(木) 15:52:02 ID:???
魂猿雇えでFA???
701 :stonestone:2007/08/03(金) 10:55:21 ID:CLUvwE7S
現在、東京−大阪間をRTX1000同士でVPN接続しています。
今、東京、大阪のRTX1000は
ipsec sa policy 101 1 esp aes-cbc sha-hmac
で接続していますが、これを下記に変更したいと考えています。
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
この設定変更を行う際に、東京のLANからまず大阪のルータに上記の変更を加えると恐らくその直後にVPNが切れてしまうのではないかと思っています。
この場合、その後に東京のルータの設定を変更すれば自動的に東京−大阪間のVPNは復旧するものでしょうか?
もしくはこの方法ではダメな場合、どうすれば上記の設定変更を大阪に行かずに行えるでしょうか?
どなたかお知恵貸してください。
今、東京、大阪のRTX1000は
ipsec sa policy 101 1 esp aes-cbc sha-hmac
で接続していますが、これを下記に変更したいと考えています。
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
この設定変更を行う際に、東京のLANからまず大阪のルータに上記の変更を加えると恐らくその直後にVPNが切れてしまうのではないかと思っています。
この場合、その後に東京のルータの設定を変更すれば自動的に東京−大阪間のVPNは復旧するものでしょうか?
もしくはこの方法ではダメな場合、どうすれば上記の設定変更を大阪に行かずに行えるでしょうか?
どなたかお知恵貸してください。
702 :anonymous:2007/08/03(金) 11:16:06 ID:M2uc0gP/
>>701
復旧すると思うけどVPN設定を書き換える時はセッションを切るようにYAMAHAも仰ってるし危ない事は確かだね。
失敗してもsaveしなければ誰かに再起動してもらえば旧い設定で復旧すると思うけど。
安全策として以下等を考えてみるものいいかもね。
1.インターネットに出れるのであれば端末型VPN等別ルートを作ってから行う。
2.人の変わりにPCを送ればいい、PHS+リモートディスクトップ等を組んだPCを郵送する。
復旧すると思うけどVPN設定を書き換える時はセッションを切るようにYAMAHAも仰ってるし危ない事は確かだね。
失敗してもsaveしなければ誰かに再起動してもらえば旧い設定で復旧すると思うけど。
安全策として以下等を考えてみるものいいかもね。
1.インターネットに出れるのであれば端末型VPN等別ルートを作ってから行う。
2.人の変わりにPCを送ればいい、PHS+リモートディスクトップ等を組んだPCを郵送する。
703 :stonestone:2007/08/03(金) 11:56:33 ID:CLUvwE7S
>>702
回答有難うございます。
なるほど、1番の方法はできそうですね。
例えば1番の方法の場合、例えばルータにPPTPなどで接続できるようにするとしたら、ルータに
NATの設定で下記の様なものが必要になると思います。
nat descriptor masquerade static 1 1 (ルータのIPアドレス) tcp 1723
nat descriptor masquerade static 1 2 (ルータのIPアドレス) gre
上記の様な設定をしたときに東京、大阪のVPN接続が切れたりはしないものですか?
それかPPTPじゃない方が良いんでしょうか?
回答有難うございます。
なるほど、1番の方法はできそうですね。
例えば1番の方法の場合、例えばルータにPPTPなどで接続できるようにするとしたら、ルータに
NATの設定で下記の様なものが必要になると思います。
nat descriptor masquerade static 1 1 (ルータのIPアドレス) tcp 1723
nat descriptor masquerade static 1 2 (ルータのIPアドレス) gre
上記の様な設定をしたときに東京、大阪のVPN接続が切れたりはしないものですか?
それかPPTPじゃない方が良いんでしょうか?
704 :きんようび!きんようび!:2007/08/03(金) 12:54:49 ID:???
>>703
思うに、VPNルータということはグローバルIPを持っているのでは?
ならRTXであればsshサーバ機能がありますから、念のためポートを変えて
sshサーバ機能を有効にして、sshloginすればいかがでせう。
ポリシーとして絶対インターネット側からは触らない(もしくは触れない)ような
場合はアウトですが。
思うに、VPNルータということはグローバルIPを持っているのでは?
ならRTXであればsshサーバ機能がありますから、念のためポートを変えて
sshサーバ機能を有効にして、sshloginすればいかがでせう。
ポリシーとして絶対インターネット側からは触らない(もしくは触れない)ような
場合はアウトですが。
705 :702:2007/08/03(金) 13:24:08 ID:bIL+CLsy
>>703
すでにVPNを構築している区間でもう1本VPN張ると切れる恐れがある。うちの環境ではPPTPを2本張ると確実に切れる。
だから、別ルートで接続する、従ってNATは関係ない、
で質問はあってる?的違い?
すでにVPNを構築している区間でもう1本VPN張ると切れる恐れがある。うちの環境ではPPTPを2本張ると確実に切れる。
だから、別ルートで接続する、従ってNATは関係ない、
で質問はあってる?的違い?
706 :stonestone:2007/08/03(金) 15:23:26 ID:CLUvwE7S
>>704
とりあえず大阪、東京のルータの設定を変えて、この方法で問題なく変更できました。
有難うございました。m(__)m
>>705
回答有難うございました。とりあえず>>704で問題は解決しました。
もともとVPNの速度を上げたかっただけなんですが、
ipsec sa policy 101 1 esp aes-cbc sha-hmac
より
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
にしても、体感速度としては変わらないですね。
どこかにRTX1000のAESは遅いと書かれていたんで、もう少し速くなることを期待して試してみたんですが。
今回の事は出来てしまったので、結果として問題ないのですが、実はこの途中でYMS-VPN1でRTX1000に接続を試みてみようと思ったんですが、YMS-VPN1から「VPNの接続は確立した」とメッセージが出てもルータやルータ配下の機器にping打っても全然応答なしになってしまいました。
下記の設定を加えるだけではダメなんでしょうか?それともYMS-VPN1を使っている環境が上記の東京、大阪とは全く別の場所なんですが、そこのルータ配下にあることで何かルータの仕様に引っかかっているという可能性もあるでしょうか?
(このルータは確かYAMAHAのネットボランチだったと思います)
ip route 192.168.3.1 gateway tunnel 4
tunnel select 4
ipsec tunnel 104
ipsec sa policy 104 4 esp aes-cbc sha-hmac
ipsec ike local address 4 192.168.2.1
ipsec pre-shared-key 4 text hogehoge
ipsec ike remote address 4 any
ipsec ike remote name remote-pc
tunnel enable 4
現時点ではVPNクライアントを使わなくても良いのですが、今後の参考に教えていただけると助かります。
とりあえず大阪、東京のルータの設定を変えて、この方法で問題なく変更できました。
有難うございました。m(__)m
>>705
回答有難うございました。とりあえず>>704で問題は解決しました。
もともとVPNの速度を上げたかっただけなんですが、
ipsec sa policy 101 1 esp aes-cbc sha-hmac
より
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
にしても、体感速度としては変わらないですね。
どこかにRTX1000のAESは遅いと書かれていたんで、もう少し速くなることを期待して試してみたんですが。
今回の事は出来てしまったので、結果として問題ないのですが、実はこの途中でYMS-VPN1でRTX1000に接続を試みてみようと思ったんですが、YMS-VPN1から「VPNの接続は確立した」とメッセージが出てもルータやルータ配下の機器にping打っても全然応答なしになってしまいました。
下記の設定を加えるだけではダメなんでしょうか?それともYMS-VPN1を使っている環境が上記の東京、大阪とは全く別の場所なんですが、そこのルータ配下にあることで何かルータの仕様に引っかかっているという可能性もあるでしょうか?
(このルータは確かYAMAHAのネットボランチだったと思います)
ip route 192.168.3.1 gateway tunnel 4
tunnel select 4
ipsec tunnel 104
ipsec sa policy 104 4 esp aes-cbc sha-hmac
ipsec ike local address 4 192.168.2.1
ipsec pre-shared-key 4 text hogehoge
ipsec ike remote address 4 any
ipsec ike remote name remote-pc
tunnel enable 4
現時点ではVPNクライアントを使わなくても良いのですが、今後の参考に教えていただけると助かります。
707 :きんようび!きんようび!:2007/08/03(金) 16:05:51 ID:???
>>706
うちの機体は青い弁当箱状態でVPNしてないのでよくわかりませんが
ttp://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html
↑このへん?
一般的にクライアントVPNとNATはきわめて相性が悪いように感じます。
ていうか複雑怪奇だから嫌い('A`)
うちの機体は青い弁当箱状態でVPNしてないのでよくわかりませんが
ttp://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat-traversal.html
↑このへん?
一般的にクライアントVPNとNATはきわめて相性が悪いように感じます。
ていうか複雑怪奇だから嫌い('A`)
708 :[email protected]:2007/08/05(日) 17:02:53 ID:???
いまさらなんですが
ip filter 11 pass * 192.168.0.0/24 icmp * *
として
ip pp secure filter in 11
のようにフィルターをin方向に設定しますが、グローバル側からLAN側へプライベートアドレスを
指定してのpingは通りませんよね。
(フィルタ以前の問題として、プライベートアドレスはプロバイダのルーティング対象から外れるし)
したがって、このフィルタはプライベートアドレスへのicmp応答パケットを通しなさいという意味だと思います。
LAN 側から インターネット上のホストにping を打ったときなどの応答。
一方
ip filter 9 pass * * tcp * www
ip pp secure filter out 9
または、
ip filter 9 dynamic * * www
ip pp secure filter dynamic 9
のようにして、in 側への許可を設定しなくても
tcp や udp だと、IP マスカレードしていても、外側から内側へ 「応答パケット」 を通してくれます。
icmp に関しては明示的に設定しないと、応答パケットが通らないようになっているのでしょうか?
ip filter 11 pass * 192.168.0.0/24 icmp * *
として
ip pp secure filter in 11
のようにフィルターをin方向に設定しますが、グローバル側からLAN側へプライベートアドレスを
指定してのpingは通りませんよね。
(フィルタ以前の問題として、プライベートアドレスはプロバイダのルーティング対象から外れるし)
したがって、このフィルタはプライベートアドレスへのicmp応答パケットを通しなさいという意味だと思います。
LAN 側から インターネット上のホストにping を打ったときなどの応答。
一方
ip filter 9 pass * * tcp * www
ip pp secure filter out 9
または、
ip filter 9 dynamic * * www
ip pp secure filter dynamic 9
のようにして、in 側への許可を設定しなくても
tcp や udp だと、IP マスカレードしていても、外側から内側へ 「応答パケット」 を通してくれます。
icmp に関しては明示的に設定しないと、応答パケットが通らないようになっているのでしょうか?
709 :不明なデバイスさん:2007/08/05(日) 20:27:40 ID:wPMfd1pP
>>708
もっと分かりやすく文章を書きましょうね
多分貴方の言っているのはYAMAHAのデフォルトでWAN→LANでicmpがpassだがreject等に換えるとインターネット上へPING出来ないと言いたいのだね。
filterの話ではなくIPマスカレード話になります。貴方の言っているwww(TCP)はWEBサーバー&ブラウザーがIPマスカレードに対応している。
その逆にIPマスカレード未対応のアプリケーションは双方向通信となるためINとOUT両方をpassにする必要がある。
それから簡単に説明したので細かい突っ込みは止めてね。
もっと分かりやすく文章を書きましょうね
多分貴方の言っているのはYAMAHAのデフォルトでWAN→LANでicmpがpassだがreject等に換えるとインターネット上へPING出来ないと言いたいのだね。
filterの話ではなくIPマスカレード話になります。貴方の言っているwww(TCP)はWEBサーバー&ブラウザーがIPマスカレードに対応している。
その逆にIPマスカレード未対応のアプリケーションは双方向通信となるためINとOUT両方をpassにする必要がある。
それから簡単に説明したので細かい突っ込みは止めてね。
710 :あのにます:2007/08/06(月) 14:44:25 ID:fGf7+gH0
RTX1000を使用してのLAN間VPN接続について、教えてください。
現在以下のような構成になっています。(2拠点で同じような構成です)
モデム
|
|(WAN側 Bフレッツ PPPoE接続)
RTX1000
|(LAN側 グローバルIPアドレス 例:133.176.200.209/28 )
|
|
公開サーバ(兼FW NATもここでやってます IP:133.176.200.210/28)
|
ローカルネットワーク
このような構成の場合で、WAN側に、LAN側と同じネットワークのIP
例えば、133.176.200.211を割り当ててやればVPNを構成することは
可能なのでしょうか?
現在以下のような構成になっています。(2拠点で同じような構成です)
モデム
|
|(WAN側 Bフレッツ PPPoE接続)
RTX1000
|(LAN側 グローバルIPアドレス 例:133.176.200.209/28 )
|
|
公開サーバ(兼FW NATもここでやってます IP:133.176.200.210/28)
|
ローカルネットワーク
このような構成の場合で、WAN側に、LAN側と同じネットワークのIP
例えば、133.176.200.211を割り当ててやればVPNを構成することは
可能なのでしょうか?
711 :stonestone:2007/08/06(月) 15:59:13 ID:fGf7+gH0
いま参考本見てて思ったんですが、ひょっとして、WAN側にわざわざIP設定する
必要ないのでしょうか?
必要ないのでしょうか?
713 :anonymous:2007/08/06(月) 20:35:17 ID:WbzgQyl/
>>712
WAN側の設定はプロバイダー指定の方法でないといけないと思う。
RTX1000のLAN側もグローバルなのだからLAN側のIPにインターネット上からアクセスできるようフェルター調整すればいいだけじゃないの?
WAN側の設定はプロバイダー指定の方法でないといけないと思う。
RTX1000のLAN側もグローバルなのだからLAN側のIPにインターネット上からアクセスできるようフェルター調整すればいいだけじゃないの?
>>708
そもそも、「応答パケット」はローカル側で通信時に生成されるランダムポートへの返信になります。
こっちがWebサーバのwww(80)に投げたからといって、応答までwww(80)で受け取る義理はありません。
よって、in側にwww(80)をあける、というのはナンセンスです。
逆にいえばinのパケットをreject all にし、establish以外叩き落とすという話になります。
そもそも、「応答パケット」はローカル側で通信時に生成されるランダムポートへの返信になります。
こっちがWebサーバのwww(80)に投げたからといって、応答までwww(80)で受け取る義理はありません。
よって、in側にwww(80)をあける、というのはナンセンスです。
逆にいえばinのパケットをreject all にし、establish以外叩き落とすという話になります。
バックアップのためにISPを2箇所と契約してマルチホーミングにした場合
DNSはどのように設定するのがいいのでしょうか?
ISPのDNSを利用していると回線は切り替わってもDNSサーバが切り替わらない
ので結局つながらなくなってしまいます。
DNSはどのように設定するのがいいのでしょうか?
ISPのDNSを利用していると回線は切り替わってもDNSサーバが切り替わらない
ので結局つながらなくなってしまいます。
>>715
dns server select
dns server select
717 :[email protected]:2007/08/08(水) 22:36:28 ID:hVs/IyJx
>>715
マニュアル読みなさい、DNSは複数設定可能
>結局つながらなくなってしまいます。
それは実際に確認したのかな?
他社のDNS参照でも動く場合がおおいじょ。それはDNSの仕組み上可能なのです。
*契約上はだめだろうけどね。
マニュアル読みなさい、DNSは複数設定可能
>結局つながらなくなってしまいます。
それは実際に確認したのかな?
他社のDNS参照でも動く場合がおおいじょ。それはDNSの仕組み上可能なのです。
*契約上はだめだろうけどね。
719 :[email protected]:2007/08/09(木) 23:37:18 ID:???
RTX1100ですがルータから他機器へのtelnetコマンドが効きません。
「コマンド実行が許可されません」になります。
どこかに設定があるのでしょうか?
「コマンド実行が許可されません」になります。
どこかに設定があるのでしょうか?
administrator
>>719
security class
security class
http://netvolante.jp/solution/int/case4b.html
の例にならって設定したのだけど、
telnet じゃなくて ssh にしたかったので、
ip filter dynamic 200 192.168.0.0/24 * telnet
を
ip filter dynamic 200 192.168.0.0/24 * 22
に変えようとしたら「エラー:パラメータの数が不適当です」と
言われて変更できません。
どうしたらいいですか?
の例にならって設定したのだけど、
telnet じゃなくて ssh にしたかったので、
ip filter dynamic 200 192.168.0.0/24 * telnet
を
ip filter dynamic 200 192.168.0.0/24 * 22
に変えようとしたら「エラー:パラメータの数が不適当です」と
言われて変更できません。
どうしたらいいですか?
723 :pp select 1:2007/08/10(金) 12:52:36 ID:???
724 :anonymous 722:2007/08/10(金) 17:12:01 ID:???
725 :[email protected]:2007/08/10(金) 20:44:36 ID:D4Nqudp0
>>709 >>714
ありがとうございます。
ところでRTX1100では IPマスカレードなppでは
フィルタのin方向にestablishedを含めなくてもestablishedな挙動になりますね。
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip pp secure filter in 1020 1030 2000
ip pp secure filter out ・・・・〜省略
ip pp nat descriptor 1
nat descriptor type 1 masquerade
一方マスカレードしていないppでは
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1046 pass * 192.168.0.0/24 established * *
ip filter 2000 reject * *
ip pp secure filter in 1020 1030 1046 2000
ip pp secure filter out ・・・・〜省略
のようにestablishedのフィルタを設定しないと応答パケットがとおらず、通信ができませんでした。
古い機種なのですが、RTA52iでは マスカレードしたppでもestablishedを設定しないといけませんでしたので、
現在の機種ではマスカレードする時点でestablishedになるのが当然なのでフィルタ不要になったのでしょうかね?
ありがとうございます。
ところでRTX1100では IPマスカレードなppでは
フィルタのin方向にestablishedを含めなくてもestablishedな挙動になりますね。
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip pp secure filter in 1020 1030 2000
ip pp secure filter out ・・・・〜省略
ip pp nat descriptor 1
nat descriptor type 1 masquerade
一方マスカレードしていないppでは
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1046 pass * 192.168.0.0/24 established * *
ip filter 2000 reject * *
ip pp secure filter in 1020 1030 1046 2000
ip pp secure filter out ・・・・〜省略
のようにestablishedのフィルタを設定しないと応答パケットがとおらず、通信ができませんでした。
古い機種なのですが、RTA52iでは マスカレードしたppでもestablishedを設定しないといけませんでしたので、
現在の機種ではマスカレードする時点でestablishedになるのが当然なのでフィルタ不要になったのでしょうかね?
726 :anonymous:2007/08/11(土) 00:39:30 ID:EktXEUbP
>>725
ごめん頭が悪いので意味がわかりません。
なお>>714には勘違いか説明不足か?取り合えず変です。
>「応答パケット」はローカル側で通信時に生成されるランダムポートへの返信になります。
その説明だと応答パケット全てという意味になるが、そんなことはありません、基本的には送信したPortでサーバーから帰ってきます。
たぶんその説明は一部のアプリケーションの話だと思う、例えばWEBがその動作をします。
IEは1024以上のポートを使いWEBサーバーは80で受けます、ルーターが決めているわけではなくソフトウェアーがPortを決めています。
なお、この技術搭載のソフトは増えているようです。
ごめん頭が悪いので意味がわかりません。
なお>>714には勘違いか説明不足か?取り合えず変です。
>「応答パケット」はローカル側で通信時に生成されるランダムポートへの返信になります。
その説明だと応答パケット全てという意味になるが、そんなことはありません、基本的には送信したPortでサーバーから帰ってきます。
たぶんその説明は一部のアプリケーションの話だと思う、例えばWEBがその動作をします。
IEは1024以上のポートを使いWEBサーバーは80で受けます、ルーターが決めているわけではなくソフトウェアーがPortを決めています。
なお、この技術搭載のソフトは増えているようです。
727 : ◆jy2j5V31aw :2007/08/11(土) 00:56:32 ID:???
この技術って・・・・windowsなんかより昔からそうだよ。
728 :anonymous@359479008574694:2007/08/13(月) 17:19:16 ID:???
"相手先情報番号"自体について他の人に説明するにはどういった言い方がわかりやすいでしょうか? マニュアルには記載がないと思います
729 :[email protected]:2007/08/16(木) 16:34:22 ID:Wb8IlWIy
NATについて質問です
Bフレッツプレミアム
|
CTU(192.168.1.200)
| LAN2ポート
RTX1100(192.168.1.201.)
| LAN1ポート
ハブ
|
ハブ
|
公開サーバ(192.168.1.202)
上記のような構成でwwwを公開しようとしていますが
どうしても、ルーティングされません。
下記の記述ではだめなのでしょうか?
RTX1100からPPPoE接続は出来ております。
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.202 tcp www
nat descriptor masquerade static 1 2 192.168.1.202 tcp 81
Bフレッツプレミアム
|
CTU(192.168.1.200)
| LAN2ポート
RTX1100(192.168.1.201.)
| LAN1ポート
ハブ
|
ハブ
|
公開サーバ(192.168.1.202)
上記のような構成でwwwを公開しようとしていますが
どうしても、ルーティングされません。
下記の記述ではだめなのでしょうか?
RTX1100からPPPoE接続は出来ております。
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.1.202 tcp www
nat descriptor masquerade static 1 2 192.168.1.202 tcp 81
>>729
CTU(192.168.1.200) ってのが気になるが、
ほんとにLAN2側はグローバルIP?
(ってかCTUの内側までは来てるの?)
まあ、PPPoEで接続できてるってことだから
それはOKだと信じて、フィルターで弾いてるってことは無い?
CTU(192.168.1.200) ってのが気になるが、
ほんとにLAN2側はグローバルIP?
(ってかCTUの内側までは来てるの?)
まあ、PPPoEで接続できてるってことだから
それはOKだと信じて、フィルターで弾いてるってことは無い?
731 :729:2007/08/16(木) 19:09:09 ID:Wb8IlWIy
CTU側のフィルターは解除してます。
CTU側のPPPoEは切断して、
RTX1100でPPPoEを接続しています。
show status pp 1
で確認をしても接続されていて、
グローバルIPも取れています。
CTU側のPPPoEは切断して、
RTX1100でPPPoEを接続しています。
show status pp 1
で確認をしても接続されていて、
グローバルIPも取れています。
NAT設定が足りない気がする。
nat descriptor address outer 1 (Global IP)
を入れてみるとどうでしょう?
nat descriptor address outer 1 (Global IP)
を入れてみるとどうでしょう?
733 :729:2007/08/17(金) 10:02:34 ID:RctYN+3h
>>732
すみません、そちらを足したのですがやはりだめだったようです。
すみません、そちらを足したのですがやはりだめだったようです。
>>733
RTX側のフィルターを一時的にすべて解除するとどうですか?
(CTU側はPPPoEブリッジ設定されているという認識で良かったですよね?)
それでも拉致空かないのであれば、ID/PW情報などを伏せて、
ここにconfig内容を晒すか、メーカーサポートに聞くのが良いかと。
RTX側のフィルターを一時的にすべて解除するとどうですか?
(CTU側はPPPoEブリッジ設定されているという認識で良かったですよね?)
それでも拉致空かないのであれば、ID/PW情報などを伏せて、
ここにconfig内容を晒すか、メーカーサポートに聞くのが良いかと。
735 :729:2007/08/17(金) 15:24:50 ID:RctYN+3h
>>734
ご返答ありがとうございます。
>RTX側のフィルターを一時的にすべて解除するとどうですか?
はいそうです。
フィルタは一切設定をしてなかったのですが、
とりあえず
http://netvolante.jp/solution/int/case4.html
を見てやってるのですが、httpsを通したいのですが
ip filter dynamic * * https
がパラメータの数が不適切ですでエラーとなります。
ip filter dynamic * * tcp 443
ip filter dynamic * * tcp * 443
を試したのですがだめでした。
ご返答ありがとうございます。
>RTX側のフィルターを一時的にすべて解除するとどうですか?
はいそうです。
フィルタは一切設定をしてなかったのですが、
とりあえず
http://netvolante.jp/solution/int/case4.html
を見てやってるのですが、httpsを通したいのですが
ip filter dynamic * * https
がパラメータの数が不適切ですでエラーとなります。
ip filter dynamic * * tcp 443
ip filter dynamic * * tcp * 443
を試したのですがだめでした。
736 :[email protected]:2007/08/17(金) 16:49:17 ID:???
>>729
nat descriptor address inner は設定してる?
nat descriptor address inner は設定してる?
ip filter dynamic の直後にフィルタ番号が抜けているような。
ip filter dynamic 100 * * tcp * 443
ip filter dynamic 100 * * tcp * 443
738 :[email protected]:2007/08/19(日) 02:30:04 ID:PBQTcBkD
739 :anonymous:2007/08/19(日) 03:38:33 ID:GzV/1t0a
ヤマハのサポートは月曜までお盆休み。
困ったなあ。
SRT100のポリシーフィルターの設定画面でフリーズしちゃうんだけど。
なんでなんだろう。
どうもこの画面は数秒で自動更新されるらしく、この更新が途中で重くなって
通信が途絶えるみたい?
どなたかご存じの方教えていただけませんか。
困ったなあ。
SRT100のポリシーフィルターの設定画面でフリーズしちゃうんだけど。
なんでなんだろう。
どうもこの画面は数秒で自動更新されるらしく、この更新が途中で重くなって
通信が途絶えるみたい?
どなたかご存じの方教えていただけませんか。
設定でLAN1からLOCAL宛のwwwを通すようにしてないとか
741 :anonymous:2007/08/19(日) 12:09:52 ID:PHEOHMwM
>>739
ルーターの設定はシリアルポートから設定するのが多分一番安定する
ルーターの設定はシリアルポートから設定するのが多分一番安定する
743 :[email protected]:2007/08/20(月) 18:39:09 ID:???
すいません、ちょっと聞きたいんですが・・・
RTX1100を使っていますが、現在の接続情報ってみれますか?
例えば
どのIP から どのポート で どのサーバ に接続してる
みたいな情報なんですが。
RTX1100を使っていますが、現在の接続情報ってみれますか?
例えば
どのIP から どのポート で どのサーバ に接続してる
みたいな情報なんですが。
744 :[email protected]:2007/08/20(月) 20:27:15 ID:???
RTXでIPマスカレードをやってる場合のNATテーブルなら
show nat descriptor address
でずらずら出てくるよ。
但し、これは表示させた瞬間の通信状態を厳密に反映しているわけではない。
NATテーブルのTTLが尽きていない物が出ているだけ。
スタティックNATを定義してあればそれは常時表示される。
show nat descriptor address
でずらずら出てくるよ。
但し、これは表示させた瞬間の通信状態を厳密に反映しているわけではない。
NATテーブルのTTLが尽きていない物が出ているだけ。
スタティックNATを定義してあればそれは常時表示される。
745 :[email protected]:2007/08/20(月) 21:19:18 ID:I771HF3s
>>743
LOG解析でいいんじゃないの?
RTXでfilterのログ機能pass-logが実装されているはず(コマンドは打ったことが無いので本当にあるかどうかは知らない多分有る)
filter全てをログで出力すればどこにアクセスしたかわかるはず・・・どう出るかは知らないが
詳しくはRTXのマニュアル読んでね、
LOG解析でいいんじゃないの?
RTXでfilterのログ機能pass-logが実装されているはず(コマンドは打ったことが無いので本当にあるかどうかは知らない多分有る)
filter全てをログで出力すればどこにアクセスしたかわかるはず・・・どう出るかは知らないが
詳しくはRTXのマニュアル読んでね、
747 :[email protected]:2007/08/27(月) 21:29:52 ID:???
CUIだけどできる。
749 :[email protected]:2007/08/27(月) 21:53:06 ID:???
>>748
俺様ありがとう
俺様ありがとう
常時5万セッションぐらい流れるところにRTX3000入れるの無謀かな?
751 :[email protected]:2007/08/29(水) 09:19:17 ID:YBAE+Ao1
こういうケースでセッションが上限を超えた場合、ルータってどういう挙動になるんでせう。
ルーティングテーブルがあふれたりすると、古いのが消えて大幅な遅延と広報がまき散らされたり
へたすりゃリブートすると思うのですが。
ルーティングテーブルがあふれたりすると、古いのが消えて大幅な遅延と広報がまき散らされたり
へたすりゃリブートすると思うのですが。
753 :[email protected]:2007/08/30(木) 07:03:47 ID:g10ZMLZS
YAMAHA独自のプロトコルらしきヤツで
tcpflag=0x0002/0x0fff
http://netvolante.jp/solution/int/case4b.html
tcpflag=0x0002/0x0017
http://netvolante.jp/solution/int/case4.html
という2種類の「最初のパケット(SYN)だけを通すフィルタ」というのがあるけど
なんで、2種類あるんだろうか?
それと、その目的も不明。おそらくSYN関連の不正アクセスに対するフィルタだとも思われるが
2種類ある時点で混乱の極みw
YAMAHAには、社内で自己完結するための説明ではなく、一般利用者に理解される為の説明という概念がないんじゃないか。
それとRT107eにはWANポートは1つしかないので、WANポートが2つ必要な設定例を紹介するのはよくないだろうに。
紹介するならするで事前に検証してから責任を持って欲しいもんだ。
とYAMAHAのサポートに伝えたが、対処する気配無しw
tcpflag=0x0002/0x0fff
http://netvolante.jp/solution/int/case4b.html
tcpflag=0x0002/0x0017
http://netvolante.jp/solution/int/case4.html
という2種類の「最初のパケット(SYN)だけを通すフィルタ」というのがあるけど
なんで、2種類あるんだろうか?
それと、その目的も不明。おそらくSYN関連の不正アクセスに対するフィルタだとも思われるが
2種類ある時点で混乱の極みw
YAMAHAには、社内で自己完結するための説明ではなく、一般利用者に理解される為の説明という概念がないんじゃないか。
それとRT107eにはWANポートは1つしかないので、WANポートが2つ必要な設定例を紹介するのはよくないだろうに。
紹介するならするで事前に検証してから責任を持って欲しいもんだ。
とYAMAHAのサポートに伝えたが、対処する気配無しw
754 :??:2007/08/30(木) 10:17:53 ID:2AH64JA1
tcp flags は・・・マスタリングTCP/IPでも読めば良いよ
755 :___:2007/08/30(木) 14:13:47 ID:qi99y+Hz
>>753
>それとRT107eにはWANポートは1つしかないので、WANポートが2つ必要な設定例を紹介するのはよくないだろうに。
対応機種が明記してあるソリューションの紹介で他機種に適用できないといわれても
そりゃサポートは苦笑いするしかないだろうな。
まーYAMAHAを扱うには相応のスキルが必要だからそれが無いなら他社を使うべし。
あとMLも用意されているからそっちでネタふりするのも良いと思うよ。
>それとRT107eにはWANポートは1つしかないので、WANポートが2つ必要な設定例を紹介するのはよくないだろうに。
対応機種が明記してあるソリューションの紹介で他機種に適用できないといわれても
そりゃサポートは苦笑いするしかないだろうな。
まーYAMAHAを扱うには相応のスキルが必要だからそれが無いなら他社を使うべし。
あとMLも用意されているからそっちでネタふりするのも良いと思うよ。
756 :[email protected]:2007/08/30(木) 16:01:02 ID:ZWcg13oR
>>755
何を馬鹿なことを言ってるんだオマエは
RT107eのページ
http://netvolante.jp/products/rt107e/index.html
RT107eを用いたネットワークソリューションをご紹介します。
としてWAN2つを使用した設定例にリンクしてあるんだぞ。
他人のスキルうんぬんを心配する前に視力を治した方がいいんじゃないか。
ついでに、その生まれつきの馬鹿も治してもらえよ。
>まーYAMAHAを扱うには相応のスキルが必要だからそれが無いなら他社を使うべし。
それでは、tcpflag=0x0002/0x0fffとtcpflag=0x0002/0x0017の違いを説明してみな。
出来なければ消えろや。
何を馬鹿なことを言ってるんだオマエは
RT107eのページ
http://netvolante.jp/products/rt107e/index.html
RT107eを用いたネットワークソリューションをご紹介します。
としてWAN2つを使用した設定例にリンクしてあるんだぞ。
他人のスキルうんぬんを心配する前に視力を治した方がいいんじゃないか。
ついでに、その生まれつきの馬鹿も治してもらえよ。
>まーYAMAHAを扱うには相応のスキルが必要だからそれが無いなら他社を使うべし。
それでは、tcpflag=0x0002/0x0fffとtcpflag=0x0002/0x0017の違いを説明してみな。
出来なければ消えろや。
757 :[email protected]:2007/08/30(木) 16:08:31 ID:g10ZMLZS
>>755
>あとMLも用意されているからそっちでネタふりするのも良いと思うよ。
ciscoなどの他社のページが参考になるから、馬鹿からアドバイスされる必要は無いぞ。
YAMAHAはハードだけを使用する事にする。
ファイヤーウォールはipfwが圧倒的に優れている。
オマエのような馬鹿と違って、検証も済んでいないようなソリューションを使うわけにはいかんのだよ。
>あとMLも用意されているからそっちでネタふりするのも良いと思うよ。
ciscoなどの他社のページが参考になるから、馬鹿からアドバイスされる必要は無いぞ。
YAMAHAはハードだけを使用する事にする。
ファイヤーウォールはipfwが圧倒的に優れている。
オマエのような馬鹿と違って、検証も済んでいないようなソリューションを使うわけにはいかんのだよ。
758 :[email protected]:2007/08/30(木) 17:31:19 ID:qZF1aY7u
>>756
指摘の文章がおかしいのではなくて、その文章のリンク元がおかしいだけだな。
お前の書き方じゃどこがおかしいの判らんよ。子供みたいに後から言い訳するなや。
>ciscoなどの他社のページが参考になるから、馬鹿からアドバイスされる必要は無いぞ。
お前すごいよ。ていうかお前ならルーター造れるよ。
メーカーの人が出てきてくれるMLを馬鹿ということは、お前はそれ以上なんだろ?
だったら何故
>なんで、2種類あるんだろうか?
こんな質問が出てくるんだ?
指摘の文章がおかしいのではなくて、その文章のリンク元がおかしいだけだな。
お前の書き方じゃどこがおかしいの判らんよ。子供みたいに後から言い訳するなや。
>ciscoなどの他社のページが参考になるから、馬鹿からアドバイスされる必要は無いぞ。
お前すごいよ。ていうかお前ならルーター造れるよ。
メーカーの人が出てきてくれるMLを馬鹿ということは、お前はそれ以上なんだろ?
だったら何故
>なんで、2種類あるんだろうか?
こんな質問が出てくるんだ?
まぁ、分かり難いというのは同意。
rtpro内の文書もかなり古い状態のままで放置されているのもあるし
悪く言えば書き捨てている感があると自分も思う。
tcpflagの違いについては
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html
と、文書内のリンクを読めば分かる。
これもリンク先の説明がリリースノート(だけ)ってのが不親切かな。
でもまぁ、すぐにCiscoを引き合いに語る人も微妙かと。
ハードウェア版のブロードバンドルータのスレッドの方にも最近いたけど
Ciscoなら出来るけど、とか大きなことをぬかしておいて
NetVolanteでもあっさり出来たと報告されていたやりとりがあった。
rtpro内の文書もかなり古い状態のままで放置されているのもあるし
悪く言えば書き捨てている感があると自分も思う。
tcpflagの違いについては
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html
と、文書内のリンクを読めば分かる。
これもリンク先の説明がリリースノート(だけ)ってのが不親切かな。
でもまぁ、すぐにCiscoを引き合いに語る人も微妙かと。
ハードウェア版のブロードバンドルータのスレッドの方にも最近いたけど
Ciscoなら出来るけど、とか大きなことをぬかしておいて
NetVolanteでもあっさり出来たと報告されていたやりとりがあった。
762 :[email protected]:2007/08/31(金) 07:58:13 ID:???
107eか1100か迷ってる件があるんだけど
RT107eのLANポートとWANポートの機能上の違いは何?
RT107eのLANポートとWANポートの機能上の違いは何?
>>762
さしたる違いはない。
RT107eのLAN = RT1100のLAN1
RT107eのWAN = RT1100のLAN2
と思って差し支えない。
でも、RT107eが優れているのは、ファームウェアの
ダウンロードボタンが付いているのと、WEB設定があるぐらいだし、
接続の設定、VPNの設定以外だと、どうしてもコマンドが必要になってくる。
ハードウェアの性能は、RTX1100の方が上なので
予算が許すのなら、そっちを買う方が良いと思う。
さしたる違いはない。
RT107eのLAN = RT1100のLAN1
RT107eのWAN = RT1100のLAN2
と思って差し支えない。
でも、RT107eが優れているのは、ファームウェアの
ダウンロードボタンが付いているのと、WEB設定があるぐらいだし、
接続の設定、VPNの設定以外だと、どうしてもコマンドが必要になってくる。
ハードウェアの性能は、RTX1100の方が上なので
予算が許すのなら、そっちを買う方が良いと思う。
765 :[email protected]:2007/08/31(金) 18:54:59 ID:???
RTX1100のLAN1をWANとして使っている俺はひねくれ者
中古RTX1000を15000円で買うのか、
中古RTX1100を40000円で買うのか非常に迷っとります。
やりたいことは、pp1とpp2それぞれでPPPoEし、
LAN内の特定のPCはpp1からそれ以外はpp2からインターネットへ。
さらに、別の拠点とのIPsec-VPNトンネルにはpp1を使う。
また、外出先からのPPTP接続待ち受けと応答経路はpp2で行うというような、
フィルタベースのルーティングをしたいのです。
IPsecの通信速度はRTX1000のカタログ値で不満はないので
RTX1000でいいとは思ってるんですが、上記のような事が1000でもできますかね?
中古RTX1100を40000円で買うのか非常に迷っとります。
やりたいことは、pp1とpp2それぞれでPPPoEし、
LAN内の特定のPCはpp1からそれ以外はpp2からインターネットへ。
さらに、別の拠点とのIPsec-VPNトンネルにはpp1を使う。
また、外出先からのPPTP接続待ち受けと応答経路はpp2で行うというような、
フィルタベースのルーティングをしたいのです。
IPsecの通信速度はRTX1000のカタログ値で不満はないので
RTX1000でいいとは思ってるんですが、上記のような事が1000でもできますかね?
>>766
スペック一覧で比較すりゃ、1000と1100の違い、その違いが
やりたいことに影響するかどうかは分かるでしょ。
http://netvolante.jp/products/spec/vpn.html
フィルタ型ルーティングについては
http://www.rtpro.yamaha.co.jp/RT/docs/
の一覧で対応機種を見てみましょう。
スペック一覧で比較すりゃ、1000と1100の違い、その違いが
やりたいことに影響するかどうかは分かるでしょ。
http://netvolante.jp/products/spec/vpn.html
フィルタ型ルーティングについては
http://www.rtpro.yamaha.co.jp/RT/docs/
の一覧で対応機種を見てみましょう。
ああ、こんなのあるんだ。
フィルタルーティングできるっぽいね。RTX1000で十分だわ
今はOmronのMR504DV使ってるけど、それができない点が唯一の不満点だから。
フィルタルーティングできるっぽいね。RTX1000で十分だわ
今はOmronのMR504DV使ってるけど、それができない点が唯一の不満点だから。
770 :[email protected]:2007/09/01(土) 00:48:50 ID:???
762です
「WANポートが1つしか無いのに..」というやり取りがあったので
もしやLAN1はppに使えないとかの制限があるのかと...
>>764
107eも1100も使ってますが、20マソで4台買える107eと
2台しか買えない1100、体感価格差2倍です。
>>765
フレッツ回線通信中にフレッツスクエアなんかに別PCで
直接つなぎたいとき使えそうですね。
「WANポートが1つしか無いのに..」というやり取りがあったので
もしやLAN1はppに使えないとかの制限があるのかと...
>>764
107eも1100も使ってますが、20マソで4台買える107eと
2台しか買えない1100、体感価格差2倍です。
>>765
フレッツ回線通信中にフレッツスクエアなんかに別PCで
直接つなぎたいとき使えそうですね。
771 :[email protected]:2007/09/01(土) 17:36:17 ID:SWXkdAmb
すみません一つ質問させて下さい。
下記、VPNをダイナミックDNSにて構築しているのですが、
既存のルーターを利用したまま、RT58Iを各プライベートアドレス内で
voipを使用して拠点間の内線通話は可能なのでしょうか?
つまりRT58Iを音声電話変換機のみとして使用したいのです。
本 社-192.168.1.0/24(ルーターPLANEX:ケイオプティコム:動的グローバルIP)
支社1-192.168.2.0/24(ルーターPLANEX:ケーーブルテレビ:動的グローバルIP)
支社2-192.168.3.0/24(ルーターPLANEX:OCN:動的グローバルIP)
宜しくお願い致します。
下記、VPNをダイナミックDNSにて構築しているのですが、
既存のルーターを利用したまま、RT58Iを各プライベートアドレス内で
voipを使用して拠点間の内線通話は可能なのでしょうか?
つまりRT58Iを音声電話変換機のみとして使用したいのです。
本 社-192.168.1.0/24(ルーターPLANEX:ケイオプティコム:動的グローバルIP)
支社1-192.168.2.0/24(ルーターPLANEX:ケーーブルテレビ:動的グローバルIP)
支社2-192.168.3.0/24(ルーターPLANEX:OCN:動的グローバルIP)
宜しくお願い致します。
>>770
107eが4万3千円ぐらい、1100が7万ぐらいなので、
倍ってことはないだろうけど、何台必要なの?
予算が決まってて、その中で買えるだけ買うってモンじゃないと思うんだが。
>>771
そのVPNに音声パケットを流すということなら可能。
RT58iからダイナミックDNSを利用して
WAN側にアクセスさせるということなら不可能。
107eが4万3千円ぐらい、1100が7万ぐらいなので、
倍ってことはないだろうけど、何台必要なの?
予算が決まってて、その中で買えるだけ買うってモンじゃないと思うんだが。
>>771
そのVPNに音声パケットを流すということなら可能。
RT58iからダイナミックDNSを利用して
WAN側にアクセスさせるということなら不可能。
774 :771:2007/09/01(土) 18:10:56 ID:SWXkdAmb
775 :771:2007/09/01(土) 18:32:56 ID:SWXkdAmb
自己解決です。
ルーターは撤去しなくてもOKでした。
RT58I取扱い説明書の109頁の左下に
「また、プライベートIPアドレスの場合でも、
LAN内であればNetVolanteインターネット電話
機能を利用できます」
と書き記されておりました。
どうもお騒がせ致しました。
ルーターは撤去しなくてもOKでした。
RT58I取扱い説明書の109頁の左下に
「また、プライベートIPアドレスの場合でも、
LAN内であればNetVolanteインターネット電話
機能を利用できます」
と書き記されておりました。
どうもお騒がせ致しました。
まあ、解決したんだから良いんだけど、
私は、音声パケットをトンネルをそのまま通すという条件で
可能って書いたつもりなんだが。
具体的にはTELポートに適当に名前を付けて
インターネット電話帳(RT58iの機能)に登録するか、
機器間アナログ通話(カスケード接続)を使うのが簡単だと思う。
(異なるセグメントになるので、自動では設定できないはず。)
私は、音声パケットをトンネルをそのまま通すという条件で
可能って書いたつもりなんだが。
具体的にはTELポートに適当に名前を付けて
インターネット電話帳(RT58iの機能)に登録するか、
機器間アナログ通話(カスケード接続)を使うのが簡単だと思う。
(異なるセグメントになるので、自動では設定できないはず。)
777 :775:2007/09/01(土) 22:41:25 ID:SWXkdAmb
>>776
どうも有難うございます。
RT58Iの VoIPゲートウエイ機能のみを利用すると言うもので
Rt58IのWAN側接続ポートに拠点内のLANケーブルを接続し
拠点内の空きIPアドレス(例:192.168.1.250)を設定し
ゲートウェイアドレスはLAN内のVPNゲートウェイアドレスを設定します。
後は取説108ページのNetVolanteインターネット電話で通話するの
設定でOKです。
どうも有難うございました。
どうも有難うございます。
RT58Iの VoIPゲートウエイ機能のみを利用すると言うもので
Rt58IのWAN側接続ポートに拠点内のLANケーブルを接続し
拠点内の空きIPアドレス(例:192.168.1.250)を設定し
ゲートウェイアドレスはLAN内のVPNゲートウェイアドレスを設定します。
後は取説108ページのNetVolanteインターネット電話で通話するの
設定でOKです。
どうも有難うございました。
778 :[email protected]:2007/09/02(日) 04:02:28 ID:8BNUn9Nt
ルータ、ネットワーク機器ってYAMAHAが一番いいの?
779 :[email protected]:2007/09/02(日) 07:26:01 ID:furv6UMd
好みだろ。
俺はYAMAHAのバイクが一番良いと思うけど。
俺はYAMAHAのバイクが一番良いと思うけど。
780 :anonymous:2007/09/02(日) 10:42:50 ID:d+mq/sKF
>設定も難しいし
CLIならYAMAHAと変わらんと思うが。
ただし、日本語ドキュメントの充実度やサポートはYAMAHA。
精通した技術者の多さではCisco。
英語ドキュメントの充実度ならCiscoも尋常じゃない。
日本語翻訳をもっとちゃんとやってほしい>C日本法人
CLIならYAMAHAと変わらんと思うが。
ただし、日本語ドキュメントの充実度やサポートはYAMAHA。
精通した技術者の多さではCisco。
英語ドキュメントの充実度ならCiscoも尋常じゃない。
日本語翻訳をもっとちゃんとやってほしい>C日本法人
ファームウェアの更新もお金がかかるんだよね。<しすこ
私はYAMAHAのピアノは音が派手過ぎて好きになれない。
私はYAMAHAのピアノは音が派手過ぎて好きになれない。
YAMAHAの場合ファームウェア(以下FW)更新が無償なかわりに
旧機種のに対するFW保守は、バグフィックスも含め切り捨てられる。
例:
RTX1100が出たらRTX1000の更新ストップ
RT58iが出たらRT57iの更新ストップ
MLでも定期的に話題に挙がるが、
保守料を取っていないため開発リソースが当てられないというのが
YAMAHAの言い分。「更新FWが欲しければ現行機種に買い換えて下さい」と。
MLに「旧機種使用ユーザの切り捨て」「ユーザ本位でない。もう買わない。」と
のたまう乞食が沸くが、個人的には同業他社と比較した場合の機種価格の安さ、
現行機種に対しては保守料を払わずFW更新を受けられることを考えれば
YAMAHAの言い分に同感できる。
「新機能欲しければ買い換えてよ。だって、新機種分しか開発コストをが無いんだもん」と。
タダでなんでも享受しようなんてムシの良い話は無い。
シスコの場合は
・2000年に発売されたCisco1700でも現行IOS(12.4x)が継続提供中。
⇒HWに依存する一部機能を除き現行機種と同様の機能が利用可能。
・1996年に発売されたCisco1600でも12.3xまでサポートされている。
これは、古い機種に対しても有料保守サービスが継続して提供されているから可能。
この辺りの違いに理解を示せない人は。>FW更新無料 に過度の期待を持たない方がいい。
旧機種のに対するFW保守は、バグフィックスも含め切り捨てられる。
例:
RTX1100が出たらRTX1000の更新ストップ
RT58iが出たらRT57iの更新ストップ
MLでも定期的に話題に挙がるが、
保守料を取っていないため開発リソースが当てられないというのが
YAMAHAの言い分。「更新FWが欲しければ現行機種に買い換えて下さい」と。
MLに「旧機種使用ユーザの切り捨て」「ユーザ本位でない。もう買わない。」と
のたまう乞食が沸くが、個人的には同業他社と比較した場合の機種価格の安さ、
現行機種に対しては保守料を払わずFW更新を受けられることを考えれば
YAMAHAの言い分に同感できる。
「新機能欲しければ買い換えてよ。だって、新機種分しか開発コストをが無いんだもん」と。
タダでなんでも享受しようなんてムシの良い話は無い。
シスコの場合は
・2000年に発売されたCisco1700でも現行IOS(12.4x)が継続提供中。
⇒HWに依存する一部機能を除き現行機種と同様の機能が利用可能。
・1996年に発売されたCisco1600でも12.3xまでサポートされている。
これは、古い機種に対しても有料保守サービスが継続して提供されているから可能。
この辺りの違いに理解を示せない人は。>FW更新無料 に過度の期待を持たない方がいい。
784 :[email protected]:2007/09/02(日) 12:50:41 ID:???
Cisco7200とかCatalyst3500とか触ってたが、
最近小規模NWでYAMAHA初めて使った
カユい所に手が届く機能がいろいろあって関心
CISCOは歴史的事情でサブネットマスクが0/1逆だったり
今や使わないコマンド多杉
最近小規模NWでYAMAHA初めて使った
カユい所に手が届く機能がいろいろあって関心
CISCOは歴史的事情でサブネットマスクが0/1逆だったり
今や使わないコマンド多杉
785 :parkcity.ne.jp:2007/09/02(日) 22:33:17 ID:???
>CISCOは歴史的事情でサブネットマスクが0/1逆だったり
無知は発言しないほうがいいよ
見てる方が恥ずかしい
無知は発言しないほうがいいよ
見てる方が恥ずかしい
SRT100はかなり売り気だな。機能の割にはだいぶ安い。
セキュリティ機能の充実は元より一番な上に、QoSでも
RTX並みのトラフィックシェーピングをサポートしている。
RT58iはPSTN、ISDNのサポートで存在意義があるが
RT107eは完全に要らない子。
セキュリティ機能の充実は元より一番な上に、QoSでも
RTX並みのトラフィックシェーピングをサポートしている。
RT58iはPSTN、ISDNのサポートで存在意義があるが
RT107eは完全に要らない子。
>>783
とはいえ新機種の価格の中に旧機種の保守費用を含まれるのもちょっといやかも
HW買い替えは有償保守の一種という感じで捉えてるけどね
まぁ目の前にあるHWが故障しているわけじゃないのに買い替え…というのは色々と難しいけどね
とはいえ新機種の価格の中に旧機種の保守費用を含まれるのもちょっといやかも
HW買い替えは有償保守の一種という感じで捉えてるけどね
まぁ目の前にあるHWが故障しているわけじゃないのに買い替え…というのは色々と難しいけどね
というかEoLをもう少し明確に示してくれればなぁ。
そもそも、CISCOはビジネスユースでもより基幹向け、っていうイメージだなぁ。
ヤマハは言い方が悪いがある意味「トラブってもなんとかなる」ところに
安く突っ込む感覚。
ヤマハは言い方が悪いがある意味「トラブってもなんとかなる」ところに
安く突っ込む感覚。
>>788
確かに。
もうこの機種はバグ見つかっても直す気無いってメーカーが通告してきてますよ、と説明できれば
壊れてないルータでも置き換える口実になる。
まあそれでも、NT4のサーバすら更新しないような貧乏会社には通じないだろうけどな。
壊れてからでいいとか平気で言うし。
それだと業務止まるし、急いでやるから高くなるし乱暴になるし、良いこと何もないのにねー
確かに。
もうこの機種はバグ見つかっても直す気無いってメーカーが通告してきてますよ、と説明できれば
壊れてないルータでも置き換える口実になる。
まあそれでも、NT4のサーバすら更新しないような貧乏会社には通じないだろうけどな。
壊れてからでいいとか平気で言うし。
それだと業務止まるし、急いでやるから高くなるし乱暴になるし、良いこと何もないのにねー
>>790-792
うちの事かと思ったよ。w
うちの事かと思ったよ。w
弊社は今月でやっとNT4が無くなります。
壊れてない物を入れ換えるってなかなか難しいよねぇ。
RTのファーム有料化とか、会社で使ってる人はまだ良いとして、
家でRTX使ってる人なんかは保守入るの難しそうだし。
ファーム有償になったらご家庭ではYAMAHA諦めるかもなぁ・・・
壊れてない物を入れ換えるってなかなか難しいよねぇ。
RTのファーム有料化とか、会社で使ってる人はまだ良いとして、
家でRTX使ってる人なんかは保守入るの難しそうだし。
ファーム有償になったらご家庭ではYAMAHA諦めるかもなぁ・・・
795 :unknown host:2007/09/04(火) 15:53:24 ID:???
え、これからやっとの思いで自宅にRTX1100買おうと思ってるのに
ファーム有料化するの?
ファーム有料化するの?
.>>795
しないから安心汁。
しないから安心汁。
797 :unknown host:2007/09/04(火) 16:16:13 ID:???
よかった・・・
秋月の↓って、RTXシリーズのコンソールに使えますかね?
ttp://akizukidenshi.com/catalog/items2.php?q=%22K-01061%22&s=score&p=1&r=1&page=
ttp://akizukidenshi.com/catalog/items2.php?q=%22K-01061%22&s=score&p=1&r=1&page=
>>799
PICプログラマと一緒に買ったから持ってるけど、RTX1100/1000、RT58i/57iで普通に使えたよ。
ただ、一緒に付いてくる灰色のケーブルはストレートの延長ケーブルだから要らない。
それとは別に、Dサブ9ピンメス-Dサブ9ピンメスのクロスケーブルが必要。
1100には同梱されてる。
PICプログラマと一緒に買ったから持ってるけど、RTX1100/1000、RT58i/57iで普通に使えたよ。
ただ、一緒に付いてくる灰色のケーブルはストレートの延長ケーブルだから要らない。
それとは別に、Dサブ9ピンメス-Dサブ9ピンメスのクロスケーブルが必要。
1100には同梱されてる。
>>800
ありがとう、安心して買えます
ありがとう、安心して買えます
SRT100だが、
工場出荷時状態で2台PCをDHCPで繋げて、
その2台の間でpingが通らない。
これは初期不良だよね?
PC→ルータ間はそれぞれping通る
シリアルで入って、ルータ→PC間はping通らない
PC→PC間は双方向ping通らない
工場出荷状態はNATもIPマスカレードもポリシーフィルタも設定されてない。
逆に設定しないと駄目なのかと思って初期設定ウィザードに沿って設定し、
各PCからネットに接続出来る状態にしてからpingテストをやっても結果は同じ。
要するに、
PC→ルータ→WAN はpingどころか何でも通るが、
PC←ルータ は全く何も通らない。
ICMPだけがルーティング出来ない不具合かとも思って、
片方のPCにApache立ててもう片方からアクセスしてみたが駄目。
TCPも通らない。
YAMAHAは初めてなんだが、これは仕様なのか?
何か設定しなければいけない事があるのか?
それともさっさと修理に出せってことか?
工場出荷時状態で2台PCをDHCPで繋げて、
その2台の間でpingが通らない。
これは初期不良だよね?
PC→ルータ間はそれぞれping通る
シリアルで入って、ルータ→PC間はping通らない
PC→PC間は双方向ping通らない
工場出荷状態はNATもIPマスカレードもポリシーフィルタも設定されてない。
逆に設定しないと駄目なのかと思って初期設定ウィザードに沿って設定し、
各PCからネットに接続出来る状態にしてからpingテストをやっても結果は同じ。
要するに、
PC→ルータ→WAN はpingどころか何でも通るが、
PC←ルータ は全く何も通らない。
ICMPだけがルーティング出来ない不具合かとも思って、
片方のPCにApache立ててもう片方からアクセスしてみたが駄目。
TCPも通らない。
YAMAHAは初めてなんだが、これは仕様なのか?
何か設定しなければいけない事があるのか?
それともさっさと修理に出せってことか?
…いやそれPCの設定じゃないの?普通に考えて。
「エコー要求の着信を許可する」
XPやVistaの標準のFW設定だとPingに応答しなかったような。
サンクス!見事にそれでした。
リモートデスクトップで遠隔作業用に使っていたマシンだったので
当然pingくらい応答するだろうと思いこんで実験してた・・・。
一番最初の前提から崩れていたとは・・・。
とりあえず、俺の頭を修理に出してくるわ。
リモートデスクトップで遠隔作業用に使っていたマシンだったので
当然pingくらい応答するだろうと思いこんで実験してた・・・。
一番最初の前提から崩れていたとは・・・。
とりあえず、俺の頭を修理に出してくるわ。
正直、ping 応答くらいしたって
セキュリティ嬢問題ないんだし
混乱する分迷惑だとは思うけどねぇ > windows
俺にとっては嫌がらせ仕様の一つだ
セキュリティ嬢問題ないんだし
混乱する分迷惑だとは思うけどねぇ > windows
俺にとっては嫌がらせ仕様の一つだ
808 : ◆jy2j5V31aw :2007/09/08(土) 18:31:51 ID:???
まったくだ。
ping遮断しようなんて風潮はどこから出てきたんだかな。
ping遮断しようなんて風潮はどこから出てきたんだかな。
・ICMP Flood Attack対策
・ネットワーク機器、ホスト自体の存在の隠蔽
Linuxのディストリビューションも、
最近のはインストール時の規定がFW有効だけどな。
・ネットワーク機器、ホスト自体の存在の隠蔽
Linuxのディストリビューションも、
最近のはインストール時の規定がFW有効だけどな。
810 :[email protected]:2007/09/09(日) 20:44:45 ID:???
MSBlastが発生したときは感染可能がPCを探索するのに
まず、ICMPでプローブして、効率上げてたりしたから
今時のICMP遮断の風潮に影響してるのかもね。
まず、ICMPでプローブして、効率上げてたりしたから
今時のICMP遮断の風潮に影響してるのかもね。
・アタッカーの手段としてファーストステップは
攻撃対象の探索・特定からはじまる。
・すなわち防御策は自信の存在が隠蔽が効果的。
・そしてセキュリティと利便性・管理性はトレードオフ
少し上の無知二人は頼むから仕事ではセキュリティに関わらないでね。
攻撃対象の探索・特定からはじまる。
・すなわち防御策は自信の存在が隠蔽が効果的。
・そしてセキュリティと利便性・管理性はトレードオフ
少し上の無知二人は頼むから仕事ではセキュリティに関わらないでね。
俺自宅警備員だから、毎日現場にいてるよ。
814 :[email protected]:2007/09/10(月) 22:10:08 ID:/1P5v3qm
困っています
RT58Iのかんたん設定画面で、WAN側から設定する事は
出来ないのでしょうか?
RT58Iのかんたん設定画面で、WAN側から設定する事は
出来ないのでしょうか?
815 :??:2007/09/10(月) 22:17:26 ID:GaWT+sQJ
RT58iの設定を変えればWAN側からかんたん設定にアクセスする事を可能
httpd の許可とNATとフィルタだな
httpd の許可とNATとフィルタだな
>>814
何のためにWAN側から設定行為をしなければならないのか、その検討は済んでるのかい?
>>815が言うようにすれば可能だけど、一般的な(WAN側にグローバルIPアドレスが付く)運用形態ではそういう設定はしないね。
他人にいじられる危険が確実に増すから。
何のためにWAN側から設定行為をしなければならないのか、その検討は済んでるのかい?
>>815が言うようにすれば可能だけど、一般的な(WAN側にグローバルIPアドレスが付く)運用形態ではそういう設定はしないね。
他人にいじられる危険が確実に増すから。
817 :[email protected]:2007/09/10(月) 22:54:28 ID:???
PPTP でリモートアクセス VPN したら ?
VPN につなげば LAN 側からのアクセスになるから、アクセス制限に
ひっかからないと思うけど。
VPN につなげば LAN 側からのアクセスになるから、アクセス制限に
ひっかからないと思うけど。
僕も外に出ないので利便性はよくありませんが安全です
819 :[email protected]:2007/09/11(火) 12:13:00 ID:???
RTX2000って高かったのになんであんなに放置プレイなの?
Rev8系が乗らないし。
Rev8系が乗らないし。
後継機種(RTX3000)がでた。(多少方向性が違う気もするが)
で、生産終了になった。
からじゃない?
で、生産終了になった。
からじゃない?
821 :[email protected]:2007/09/11(火) 13:39:26 ID:???
んーというか設計に問題があって早々に手放したかったように見えてならないんだよね。
現役のころからバグが多かったり、ファームが出てくるの遅かったり
しまいには同時発売で下位機種のRTX1000では出たRev8系を
なぜかサポートしなかったり。
現役のころからバグが多かったり、ファームが出てくるの遅かったり
しまいには同時発売で下位機種のRTX1000では出たRev8系を
なぜかサポートしなかったり。
822 :814:2007/09/11(火) 19:52:11 ID:pFdcZ15w
>>815さん有難うございました。
WAN側ポートから設定出来ました。
実はRT58IをVOIPアダプターのみとして社内LANへ接続し
VPNにて拠点間の内線通話を行っております。
既存ルータからの移行設定が、たいへんですので暫定処置です。
WAN側ポートから設定出来ました。
実はRT58IをVOIPアダプターのみとして社内LANへ接続し
VPNにて拠点間の内線通話を行っております。
既存ルータからの移行設定が、たいへんですので暫定処置です。
824 :814:2007/09/11(火) 20:56:09 ID:pFdcZ15w
はい 771です。その節はお世話になりました。
最初私もそう考えたのですが、
LAN側へのゲートウェイ設定が、かんたん設定画面からは
出来ない様でしたので 本処置とした次第です。
最初私もそう考えたのですが、
LAN側へのゲートウェイ設定が、かんたん設定画面からは
出来ない様でしたので 本処置とした次第です。
簡単設定web画面にも、コマンドを打ち込めるテキストボックスがあるんだからそんなのすぐできるのに・・・
重要な情報を後出ししてるし、こんな人がネットワーク管理者だと思うと怖い。
つうかRT58iはスレ違い。
重要な情報を後出ししてるし、こんな人がネットワーク管理者だと思うと怖い。
つうかRT58iはスレ違い。
826 :[email protected]:2007/09/12(水) 09:15:55 ID:???
YAMAHAヤマハブロードバンドルーターpp select 10
http://pc11.2ch.net/test/read.cgi/hard/1176413958/
こういうスレも有ります。対象:初心者〜
http://pc11.2ch.net/test/read.cgi/hard/1176413958/
こういうスレも有ります。対象:初心者〜
828 :[email protected]:2007/09/19(水) 15:26:21 ID:6xappqK3
教えてください。現在、RTX1000を使用して、2拠点をVPN(IPsec)でLAN間接続しようとしています。
VPNでの接続はできているようなのですが、拠点AのローカルPCから拠点BのローカルPCの
共有フォルダは見ることができます。(\\192.168.0.100\hoge のような指定で)
ところが、拠点BのローカルPCから拠点AのローカルPCの共有フォルダを見ることができません。
確認したことは、
・拠点AのローカルPCから拠点BのローカルPCへのPingは通る
・拠点BのローカルPCから拠点AのローカルPCへのPingは通る
・フィルタを最小限(ローカルPCへのTelnet接続のみを禁止にして、あとは全部PASS)にしても
状況はかわらず。
です。
拠点A、Bともフレッツ接続で、拠点Aは複数固定IP,拠点Bは1つの固定IPをもらっています。
ローカルPCはファイアーウォールやウイルス対策ソフトは入れていません。
この状況の原因を突き止めるのに他に試した方がよいことというのはどんな事がありますでしょうか
アドバイスをいただけないでしょうか、よろしくお願いします。
VPNでの接続はできているようなのですが、拠点AのローカルPCから拠点BのローカルPCの
共有フォルダは見ることができます。(\\192.168.0.100\hoge のような指定で)
ところが、拠点BのローカルPCから拠点AのローカルPCの共有フォルダを見ることができません。
確認したことは、
・拠点AのローカルPCから拠点BのローカルPCへのPingは通る
・拠点BのローカルPCから拠点AのローカルPCへのPingは通る
・フィルタを最小限(ローカルPCへのTelnet接続のみを禁止にして、あとは全部PASS)にしても
状況はかわらず。
です。
拠点A、Bともフレッツ接続で、拠点Aは複数固定IP,拠点Bは1つの固定IPをもらっています。
ローカルPCはファイアーウォールやウイルス対策ソフトは入れていません。
この状況の原因を突き止めるのに他に試した方がよいことというのはどんな事がありますでしょうか
アドバイスをいただけないでしょうか、よろしくお願いします。
拠点BのローカルPCから拠点BのローカルPCの共有フォルダは見える?
>>828
NBTとCIFSの違いだったりするんかな。
とりあえずローカルPCのOSもさらしたほうが良さげ。
つーか、ぶっちゃけルータはL3だし、L3水準で
ネットを接続するのがVPNなわけで、Pingが通ってるなら
L3の部分を疑うのが微妙に筋違いな気がする。
NBTとCIFSの違いだったりするんかな。
とりあえずローカルPCのOSもさらしたほうが良さげ。
つーか、ぶっちゃけルータはL3だし、L3水準で
ネットを接続するのがVPNなわけで、Pingが通ってるなら
L3の部分を疑うのが微妙に筋違いな気がする。
ドメインに参加してないXPProだと、
ビルトインadministratorはローカルログオン専用とか
パスワード無しアカウントでのネットワーク経由ログオンはguest扱いになるとか
そんなポリシーがデフォルトだった気がする。
その辺は大丈夫かね。
既にスレ違いだけどね。
ビルトインadministratorはローカルログオン専用とか
パスワード無しアカウントでのネットワーク経由ログオンはguest扱いになるとか
そんなポリシーがデフォルトだった気がする。
その辺は大丈夫かね。
既にスレ違いだけどね。
>>831
似たようなことをつぶしていくしかないかな。
・拠点AのPC→拠点AのPCは問題なくファイル共有できるか
・拠点Bのクライアントで cmd から net view \\拠点APCのIP で
共有リソースを取得できるか。
似たようなことをつぶしていくしかないかな。
・拠点AのPC→拠点AのPCは問題なくファイル共有できるか
・拠点Bのクライアントで cmd から net view \\拠点APCのIP で
共有リソースを取得できるか。
>>832
あー、それかもしれんな。
XPだと、ユーザー名が合致しないとIPC$へのアクセス時点で
Guestアカウントとして処理しようとするけど、
ローカルセキュリティポリシー
-->[ユーザー権利の割り当て]
-->[ネットワーク経由でコンピュータへアクセスを拒否する]
にデフォルトでGuestが入ってるはず。
だから、ユーザー名の変更すらできずリソース一覧
すら見られない。
あー、それかもしれんな。
XPだと、ユーザー名が合致しないとIPC$へのアクセス時点で
Guestアカウントとして処理しようとするけど、
ローカルセキュリティポリシー
-->[ユーザー権利の割り当て]
-->[ネットワーク経由でコンピュータへアクセスを拒否する]
にデフォルトでGuestが入ってるはず。
だから、ユーザー名の変更すらできずリソース一覧
すら見られない。
>831
拠点BのローカルPCのNICのプロパティーで
Microsoft TCP/IP version6のチェックが付いてたら、消してみる。
VPN関係ないけど、家庭内LANで同じような症状でかなりハマったことありまつ。
チェックを消したら、うまくいきました。因果関係は調べてません。。。
拠点BのローカルPCのNICのプロパティーで
Microsoft TCP/IP version6のチェックが付いてたら、消してみる。
VPN関係ないけど、家庭内LANで同じような症状でかなりハマったことありまつ。
チェックを消したら、うまくいきました。因果関係は調べてません。。。
836 :[email protected]:2007/09/21(金) 01:22:12 ID:???
教えてください。
RT58iを2台使用して、拠点間VPNを構築しました。
Webの設定画面上ではVPNは通信中になっており、
相手先のPCに対するPingも応答が返ってくるのですが、
ファイル転送がうまくいきません。
共有フォルダまでは開くのですが、実際にファイルを転送しようと思うと
「指定されたネットワーク名は使用できません。」と表示され、失敗してしまいます。
RT58iのFW機能はすべて解除してあり、
PCもWindows2000Pro同士でFW系のソフトウェアは使用していません。
どなたか同じような経験をされた方はいませんでしょうか?
なにかアドバイスがあればよろしくお願いします。
RT58iを2台使用して、拠点間VPNを構築しました。
Webの設定画面上ではVPNは通信中になっており、
相手先のPCに対するPingも応答が返ってくるのですが、
ファイル転送がうまくいきません。
共有フォルダまでは開くのですが、実際にファイルを転送しようと思うと
「指定されたネットワーク名は使用できません。」と表示され、失敗してしまいます。
RT58iのFW機能はすべて解除してあり、
PCもWindows2000Pro同士でFW系のソフトウェアは使用していません。
どなたか同じような経験をされた方はいませんでしょうか?
なにかアドバイスがあればよろしくお願いします。
836です。
書き込み先を間違えました。
YAMAHAヤマハブロードバンドルーターpp select 10
に再度書き込みます。
すいません・・・
書き込み先を間違えました。
YAMAHAヤマハブロードバンドルーターpp select 10
に再度書き込みます。
すいません・・・
ふぁーむですよー
RTX3000用 最新版ファームウェア(Rev.9.00.25) の配布を始めました。
RTX1100・RTX1500・RT107e用 最新版ファームウェア(Rev.8.03.61) の配布を始めました。
http://www.rtpro.yamaha.co.jp/
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_61.html
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_25.html
RTX3000用 最新版ファームウェア(Rev.9.00.25) の配布を始めました。
RTX1100・RTX1500・RT107e用 最新版ファームウェア(Rev.8.03.61) の配布を始めました。
http://www.rtpro.yamaha.co.jp/
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_61.html
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.09.00/relnote_09_00_25.html
こないだの日曜やっと8.03.60にしたのにな。
841 :みんなで公安に通報しましょう:2007/09/22(土) 13:04:54 ID:rJi69ThS
ハンナングループ浅田会長の逮捕に北朝鮮・旧朝銀信用組合と関係の深い杞●岳史!!
杞●岳史は家やマンションビルの中の様子を建物の外から盗撮しています!!
建物の中の様子を外から盗撮するプライバシー丸裸のとんでもない盗撮機械を自宅に所持!!
名前は杞● 岳史(キヤマ タケシ)ユ タケシ
経歴は北朝鮮とつながりの深い旧朝銀信用組合と関わりが深く旧朝銀信用組合の青年会に所属。
東大阪市柏●東10の9から転居後の自宅に所持!!
※杞●岳史の自宅からすごいものがでてきます!!
家やビル、建物の中の様子を外から盗撮するプライバシー丸裸の盗撮機械は杞●岳史の自宅にあります!!
あと一歩で杞●岳史逮捕なのでみんなで公安に連絡しましょう!!
公安の強制捜査で必ずマスコミ関係者様・関係者様・2ちゃんねら〜の皆様の御期待にそえます!
※法務省 公安調査庁 0335925711 東京都千代田区霞が関1丁目1の1
※近畿公安調査室局(代) 0669437771 大阪市中央区谷町2丁目1の17
週刊新潮
0332665311
週刊新潮への情報提供は[email protected]
週刊現代 編集部0353953438
週刊ポスト 0332305951
週刊アサヒ芸能 編集0354034379
週刊実話 編集0334361844
プレイボーイ 編集部0332306371
フライデー 編集部0339432500
SPA! 0354038875
女性自身 編集部0353958240
杞●岳史は家やマンションビルの中の様子を建物の外から盗撮しています!!
建物の中の様子を外から盗撮するプライバシー丸裸のとんでもない盗撮機械を自宅に所持!!
名前は杞● 岳史(キヤマ タケシ)ユ タケシ
経歴は北朝鮮とつながりの深い旧朝銀信用組合と関わりが深く旧朝銀信用組合の青年会に所属。
東大阪市柏●東10の9から転居後の自宅に所持!!
※杞●岳史の自宅からすごいものがでてきます!!
家やビル、建物の中の様子を外から盗撮するプライバシー丸裸の盗撮機械は杞●岳史の自宅にあります!!
あと一歩で杞●岳史逮捕なのでみんなで公安に連絡しましょう!!
公安の強制捜査で必ずマスコミ関係者様・関係者様・2ちゃんねら〜の皆様の御期待にそえます!
※法務省 公安調査庁 0335925711 東京都千代田区霞が関1丁目1の1
※近畿公安調査室局(代) 0669437771 大阪市中央区谷町2丁目1の17
週刊新潮
0332665311
週刊新潮への情報提供は[email protected]
週刊現代 編集部0353953438
週刊ポスト 0332305951
週刊アサヒ芸能 編集0354034379
週刊実話 編集0334361844
プレイボーイ 編集部0332306371
フライデー 編集部0339432500
SPA! 0354038875
女性自身 編集部0353958240
RTX1100
LAN1 : 192.168.0.0/24
LAN2 : xxx.xxx.xxx.xxx/29 (DMZ)
LAN3 : PPPoE
上記の設定で、LAN1からLAN2へのpingは通り、
LAN2からはLAN1へのpingが通らないようにするには
どのように設定すればいいでしょうか?
ip filter 1 pass * * icmp * *
ip filter 1000 reject * * * * *
ip lan1 secure filter out 1 1000
上記の基本形?から色々やってみたのですが、
どうやっても双方からpingが通る、もしくは双方から通らないような動きになってしまいます
よろしくお願いします
LAN1 : 192.168.0.0/24
LAN2 : xxx.xxx.xxx.xxx/29 (DMZ)
LAN3 : PPPoE
上記の設定で、LAN1からLAN2へのpingは通り、
LAN2からはLAN1へのpingが通らないようにするには
どのように設定すればいいでしょうか?
ip filter 1 pass * * icmp * *
ip filter 1000 reject * * * * *
ip lan1 secure filter out 1 1000
上記の基本形?から色々やってみたのですが、
どうやっても双方からpingが通る、もしくは双方から通らないような動きになってしまいます
よろしくお願いします
843 :[email protected]:2007/09/23(日) 20:03:16 ID:???
icmp-infoとicmp-errorってのがあるみたいだが、requestとreplyが同じ分類だから無理みたいね。
tcpflagを指定しても無理なのかな・・・?
tcpflagを指定しても無理なのかな・・・?
846 :[email protected]:2007/09/30(日) 00:03:45 ID:???
RTX1100を使用しており、フィルタの設定を考えているのですが、
どちらの設定を採用すべきか、迷っています。それぞれ、どのような
メリット、デメリットがあるのか判断できずにいるため、アドバイス
いただければと思います。
構成
インターネット−−RTX1100−−LAN
実施事項
・外から内は、www、https、smtpといった限られたポートのみ通す。
・内から外は、135-137といった外へ出すべきではないパケット以外は
すべて通すこととする。
フィルタ設定
案1
外から内へのパケットはSYNパケットのみ通すこことし、それ以外は
establishedを用いて、パケットを通すように設定する。
内から外は135-137のパケット以外は通すこととし、戻りパケットは
establishedを用いて通す。
案2
外から内へのパケットはSYNパケットのみ通すこととし、それ以外は
tcpの動的フィルタを用いて通すように設定する。
内から外は135-137のパケット以外は通すこととし、戻りパケットは、
動的フィルタを用いて通すように設定する。
どちらの設定を採用すべきか、迷っています。それぞれ、どのような
メリット、デメリットがあるのか判断できずにいるため、アドバイス
いただければと思います。
構成
インターネット−−RTX1100−−LAN
実施事項
・外から内は、www、https、smtpといった限られたポートのみ通す。
・内から外は、135-137といった外へ出すべきではないパケット以外は
すべて通すこととする。
フィルタ設定
案1
外から内へのパケットはSYNパケットのみ通すこことし、それ以外は
establishedを用いて、パケットを通すように設定する。
内から外は135-137のパケット以外は通すこととし、戻りパケットは
establishedを用いて通す。
案2
外から内へのパケットはSYNパケットのみ通すこととし、それ以外は
tcpの動的フィルタを用いて通すように設定する。
内から外は135-137のパケット以外は通すこととし、戻りパケットは、
動的フィルタを用いて通すように設定する。
847 :??:2007/09/30(日) 01:02:14 ID:pCCx3V1D
動的フィルタがちゃんと動けば案2かな
848 :846:2007/09/30(日) 01:21:23 ID:D8EXHc6o
>>847
案2は以下のようなフィルタをインターネット側のインタフェースの
in に対して設定することを考えています。テストしたところでは、
問題なく動作しているように見えるのですが、tcpのdynamic設定が
セキュリティ的に問題ないのか疑問です。
例)
ip filter 2010 pass * 192.168.1.100 tcpflag=0x0002/0x0017 * www
ip filter 2020 pass * 192.168.1.100 tcpflag=0x0002/0x0017 * https
ip filter dynamic 550 * * tcp
ip filter 999 reject * * * * *
ip pp secure filter in 2010 2020 999 dynamic 550
案2は以下のようなフィルタをインターネット側のインタフェースの
in に対して設定することを考えています。テストしたところでは、
問題なく動作しているように見えるのですが、tcpのdynamic設定が
セキュリティ的に問題ないのか疑問です。
例)
ip filter 2010 pass * 192.168.1.100 tcpflag=0x0002/0x0017 * www
ip filter 2020 pass * 192.168.1.100 tcpflag=0x0002/0x0017 * https
ip filter dynamic 550 * * tcp
ip filter 999 reject * * * * *
ip pp secure filter in 2010 2020 999 dynamic 550
849 :anonymous@07021031721784_ad:2007/09/30(日) 14:45:15 ID:zlc9yQfR
RT85iで接続を切断してもすぐに接続されてしまいます。
前に使っていたRT87iも同じでした。
切断したいときどうすれば良いのでしょうか?
前に使っていたRT87iも同じでした。
切断したいときどうすれば良いのでしょうか?
851 :anonymous@07021031721784_ad:2007/09/30(日) 19:27:48 ID:zlc9yQfR
自動接続になってるんじゃ?
まあまたつながるかもしれないけど、切るだけなら disconnect 1 で行けるハズ
まあまたつながるかもしれないけど、切るだけなら disconnect 1 で行けるハズ
853 :anonymous@07021031721784_ad:2007/09/30(日) 20:42:28 ID:zlc9yQfR
854 :anonymous@:2007/10/04(木) 07:39:12 ID:???
58iってダイヤルアップ音かなりでかく出るように設定できるよな
それも最大にしとけば、切り忘れ無くなるんじゃね
それも最大にしとけば、切り忘れ無くなるんじゃね
855 :[email protected]:2007/10/06(土) 10:15:45 ID:???
■通信技術板 YAMAHAヤマハブロードバンドルーターpp select 10
・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルータの
設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 8
■ハードウェア板 YAMAHAヤマハブロードバンドルーターpp select 10
※業務用機器(RT100〜300、RTXシリーズ)は通信技術板でお願いします
YAMAHA業務向けルータ運用構築スレッドPart4
RTXをホームルーターに使っている漏れはどっちに書き込めば...
・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルータの
設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 8
■ハードウェア板 YAMAHAヤマハブロードバンドルーターpp select 10
※業務用機器(RT100〜300、RTXシリーズ)は通信技術板でお願いします
YAMAHA業務向けルータ運用構築スレッドPart4
RTXをホームルーターに使っている漏れはどっちに書き込めば...
856 :anonymous@:2007/10/06(土) 12:25:22 ID:???
普通にこっちでしょ。
別にホームルーターとかはどうでもいい。
日本語読めないの?
別にホームルーターとかはどうでもいい。
日本語読めないの?
漏れも RTX1100 を家で使っているけど、こっちに書き込んでるよ。
家庭用ルーター10台試したけど、10個のPCで同時にWinnyをやって耐えられるルーターは1つもなかった。
だが、RTX1100は耐えられた。
家庭用ルーター10台試したけど、10個のPCで同時にWinnyをやって耐えられるルーターは1つもなかった。
だが、RTX1100は耐えられた。
Winnyだと、その各ノードPCが申告するアップ速度の指定も重要だろう。
高い速度を指定するほど、同時に接続するTCPセッションの数が増える。
グローバルIPアドレスが一つしかない環境でIPマスカレードで運用しているのであれば、
即ちNATテーブルの消費数も増えるわけで、
どんな設定のWinnyPCを10台並べたのかは非常にクリティカルな問題だ。
一瞬繋がるだけの検索リンクも、NATテーブル上ではTTL秒だけ生存してしまう。
その設定如何で、あるいはもっと少ないノードPC数でも、RTX1100すらパンクすることは十分考えられる。
高い速度を指定するほど、同時に接続するTCPセッションの数が増える。
グローバルIPアドレスが一つしかない環境でIPマスカレードで運用しているのであれば、
即ちNATテーブルの消費数も増えるわけで、
どんな設定のWinnyPCを10台並べたのかは非常にクリティカルな問題だ。
一瞬繋がるだけの検索リンクも、NATテーブル上ではTTL秒だけ生存してしまう。
その設定如何で、あるいはもっと少ないノードPC数でも、RTX1100すらパンクすることは十分考えられる。
859 :[email protected]:2007/10/07(日) 07:49:12 ID:???
試しにeMuleで実験したら,数時間後にCPU負荷率100%になってた...>RTX1000
あとでeMuleのソース解析するか...どんな発狂パケット流してるんだ...
あとでeMuleのソース解析するか...どんな発狂パケット流してるんだ...
NATで教えていただけませんでしょうか。
RTX1000で静的NATの外側に内側からアクセスしたいのですが、どうすればよいのでしょうか。
ip lan1 address 172.16.0.254/24
ip lan2 address 192.168.0.254/24
ip lan1 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.0.254
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor static 1 1 172.16.0.1=192.168.0.1 1
nat descriptor static 1 2 172.16.0.2=192.168.0.2 1
nat descriptor static 1 3 172.16.0.3=192.168.0.3 1
172.16.0.10のPCから172.16.0.1-3にpingが通ります。
172.16.0.10から192.168.1-3にはもち何も通りません。
192.168.0.1-3の各マシンから172.16.0.10にpingが通ります。
が、192.168.0.0/24側から外側の172.16.0.1-3のいずれにもpingも何も通りません。
何をどうすれば192.168.0.0/24側から外側の172.16.0.1-3に通信できるようになるのでしょうか?
RTX1000で静的NATの外側に内側からアクセスしたいのですが、どうすればよいのでしょうか。
ip lan1 address 172.16.0.254/24
ip lan2 address 192.168.0.254/24
ip lan1 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.0.254
nat descriptor address inner 1 192.168.0.1-192.168.0.254
nat descriptor static 1 1 172.16.0.1=192.168.0.1 1
nat descriptor static 1 2 172.16.0.2=192.168.0.2 1
nat descriptor static 1 3 172.16.0.3=192.168.0.3 1
172.16.0.10のPCから172.16.0.1-3にpingが通ります。
172.16.0.10から192.168.1-3にはもち何も通りません。
192.168.0.1-3の各マシンから172.16.0.10にpingが通ります。
が、192.168.0.0/24側から外側の172.16.0.1-3のいずれにもpingも何も通りません。
何をどうすれば192.168.0.0/24側から外側の172.16.0.1-3に通信できるようになるのでしょうか?
861 :anonymous:2007/10/09(火) 09:36:20 ID:UKwZTrV+
実際にはlan1はグローバルでlan2はDMZなわけでして、、、
192.168.0.0/24側から172.16.0.1-3に通信することはできない、のでしょうか、、、
192.168.0.0/24側から172.16.0.1-3に通信することはできない、のでしょうか、、、
863 :anonymous:2007/10/09(火) 16:21:26 ID:4fCNhDeI
>>860
内部からwww.自分のHP.comとアクセスしたいのね。
・・・・なんで安物ルーターと同じDMZにするわけ?
せっかく本格的なDMZが組めるのだからLAN2にIP2個振れば良いだけでは無いだろうか?
と思うわけですよ。
内部からwww.自分のHP.comとアクセスしたいのね。
・・・・なんで安物ルーターと同じDMZにするわけ?
せっかく本格的なDMZが組めるのだからLAN2にIP2個振れば良いだけでは無いだろうか?
と思うわけですよ。
> 内部からwww.自分のHP.comとアクセスしたいのね。
ご賢察の通りでございます。
>LAN2にIP2個振れば良いだけでは無いだろうか?
諸般の事情でやむなく。
スパッと解決できるかと思ったのですが、無理なんでしょうか、、、
>nat descriptor masquerade static じゃだめなんでつか?
実アドレス192.168.0.*に対して172.16.0.*から一対一で複数個割り当てるにはどう書けばよいのでしょうか。
1個だけ公開サーバの設定例でも192.168.0.0/24の端末から133.176.200.200に通信できない、と思うんですが。
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/example/11.html#masquerade-nat
ご賢察の通りでございます。
>LAN2にIP2個振れば良いだけでは無いだろうか?
諸般の事情でやむなく。
スパッと解決できるかと思ったのですが、無理なんでしょうか、、、
>nat descriptor masquerade static じゃだめなんでつか?
実アドレス192.168.0.*に対して172.16.0.*から一対一で複数個割り当てるにはどう書けばよいのでしょうか。
1個だけ公開サーバの設定例でも192.168.0.0/24の端末から133.176.200.200に通信できない、と思うんですが。
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/example/11.html#masquerade-nat
866 :anonymous:2007/10/09(火) 20:29:20 ID:AVUUsAfZ
>>865
http://netvolante.jp/support/example/index.html
全部読みましたでしょうか?(私は全部読んでいません)
どっかに出来ないって書いていたはずだよ。
「LAN 側ネットワークをプライベートIP アドレスで構成する」みつけた
多分、社外の時と、社内の時の設定を同じにしたいんだよね。
ドメイン名であれば簡易DNSサーバー機能使えばOKじゃね?
ほかに安物のローカルルーター1台用意してそこ経由でも可能だよ。
http://netvolante.jp/support/example/index.html
全部読みましたでしょうか?(私は全部読んでいません)
どっかに出来ないって書いていたはずだよ。
「LAN 側ネットワークをプライベートIP アドレスで構成する」みつけた
多分、社外の時と、社内の時の設定を同じにしたいんだよね。
ドメイン名であれば簡易DNSサーバー機能使えばOKじゃね?
ほかに安物のローカルルーター1台用意してそこ経由でも可能だよ。
>どっかに出来ないって書いていたはずだよ。
ぅぅぅぅ、出来ないって部分を見つけられないぃぃぃぃ
192.168.0.100から172.16.0.1にアクセスしたいし、、、
172.16.0.1から172.16.0.2へもアクセスしたい、、、
RTX1000単体では無理なのかぁ
内向けDNSサーバたてるかなぁ
単体で解決できないとは、、、orz
ぅぅぅぅ、出来ないって部分を見つけられないぃぃぃぃ
192.168.0.100から172.16.0.1にアクセスしたいし、、、
172.16.0.1から172.16.0.2へもアクセスしたい、、、
RTX1000単体では無理なのかぁ
内向けDNSサーバたてるかなぁ
単体で解決できないとは、、、orz
>>868
>>867じゃないんですが、ついでに質問をさせてください。
その例だと、LAN2側が172.16.112.101/30 とか脈絡のない
セグメントになってますが、なんでdescriptorで定義した
133.176.200.34 133.176.200.35 のアドレスに綺麗にルーティングされて
RTXまで届くんでしょうか。
>>867じゃないんですが、ついでに質問をさせてください。
その例だと、LAN2側が172.16.112.101/30 とか脈絡のない
セグメントになってますが、なんでdescriptorで定義した
133.176.200.34 133.176.200.35 のアドレスに綺麗にルーティングされて
RTXまで届くんでしょうか。
>>866
>>868
すいません、途中で読むのを放棄しているのバレバレでした。
外側IPアドレスにはアクセスできない、という最終理解に達しました。
内側でなんとかせい、と。
ありがとうございました。
>>869
確かに変なような気がするけど、、、、、
>>868
すいません、途中で読むのを放棄しているのバレバレでした。
外側IPアドレスにはアクセスできない、という最終理解に達しました。
内側でなんとかせい、と。
ありがとうございました。
>>869
確かに変なような気がするけど、、、、、
871 :[email protected]:2007/10/16(火) 00:15:23 ID:???
RT107eなぜか新品19,800エソ。
RT57i以来のYAMAHAルーター。
コマンドの短縮打ち出来るんだな。←何故か感動。フルスペル自動変換はちょっとウザイ
久々にコマンド打ってたら結構忘れてる。
というかイマイチ解りにくいコマンド体系と思うのは俺だけなのか。
RT57i以来のYAMAHAルーター。
コマンドの短縮打ち出来るんだな。←何故か感動。フルスペル自動変換はちょっとウザイ
久々にコマンド打ってたら結構忘れてる。
というかイマイチ解りにくいコマンド体系と思うのは俺だけなのか。
872 :[email protected]:2007/10/16(火) 01:43:47 ID:???
2拠点間でVPN張っているんですが、片方はRTX1100を導入しています。
んで、もう片方はYAMAHAのVPNクライアントソフトを使おうかという話になってるんですが、
このソフトって必須なんですか?それとも、煩雑なIPSECの設定を補助する程度の役割で
Windows標準の設定が行えるだけのスキルがあれば不要なソフトなんでしょうか?
ていうか、大した金額じゃないんだからこっち側にもRTX1100入れろよ>うちの会社
んで、もう片方はYAMAHAのVPNクライアントソフトを使おうかという話になってるんですが、
このソフトって必須なんですか?それとも、煩雑なIPSECの設定を補助する程度の役割で
Windows標準の設定が行えるだけのスキルがあれば不要なソフトなんでしょうか?
ていうか、大した金額じゃないんだからこっち側にもRTX1100入れろよ>うちの会社
VPN クライアントソフトは基本的にリモートアクセスするためのものだから、
拠点間で LAN 同士を接続するのとは違うんじゃないかと。
で、ヤマハルータと Windows サーバの RRAS を対向させて IPsec VPN の
トンネルを通すのは可能。毎コミの本にも書いてある。
ただし Windows 側の設定が超面倒くさいのと、ヤマハ側も互換性をとるため
の追加設定が必要。あと、Windows の IPsec だと AES を使えないんで、暗
号化アルゴリズムは 3DES になっちゃう。
拠点間で LAN 同士を接続するのとは違うんじゃないかと。
で、ヤマハルータと Windows サーバの RRAS を対向させて IPsec VPN の
トンネルを通すのは可能。毎コミの本にも書いてある。
ただし Windows 側の設定が超面倒くさいのと、ヤマハ側も互換性をとるため
の追加設定が必要。あと、Windows の IPsec だと AES を使えないんで、暗
号化アルゴリズムは 3DES になっちゃう。
874 :anonymous:2007/10/16(火) 18:53:02 ID:YCFLh0yy
標準は面倒だよ。
http://www.rtpro.yamaha.co.jp/RT/docs/example/
「VPNクライアントソフトとの相互接続事例集」→「Windows2KXP.html」
ソフト買うぐらいならRTX1000中古かBRC-14VG又はMR504DVでも買えばー、まあRTX1100の設定がどうなっているかわからんので繋がるかどうかはしらんが。
http://www.rtpro.yamaha.co.jp/RT/docs/example/
「VPNクライアントソフトとの相互接続事例集」→「Windows2KXP.html」
ソフト買うぐらいならRTX1000中古かBRC-14VG又はMR504DVでも買えばー、まあRTX1100の設定がどうなっているかわからんので繋がるかどうかはしらんが。
いまRTX1100を設定しているのだが、
ntpdateはあってもntpdがないようなんだが…
syslogを投げるホストとしてはありえない感があるのだが、
時計あわせってどうしてる?
ntpdateはあってもntpdがないようなんだが…
syslogを投げるホストとしてはありえない感があるのだが、
時計あわせってどうしてる?
スケジュール組んでる。
877 :[email protected]:2007/10/18(木) 18:34:27 ID:???
NTPd機能はないから端末の時計と同期させることは不可能
RTX1100自体の時計合わせなら
schedule at 1 */* 00:00 * ntpdate ntp.nict.jp
とかやっとけばOK
RTX1100自体の時計合わせなら
schedule at 1 */* 00:00 * ntpdate ntp.nict.jp
とかやっとけばOK
あ、cronあるんだ。ナイス! 心の友よ! ありがとう! 君に届けテレパシー!
Rev.8.01.24
880 :[email protected]:2007/10/19(金) 17:17:51 ID:???
うほっ。これは修正点多いね。
まだまだ使ってる会社多いから、放置は許さないとゴルァされたのかw
まだまだ使ってる会社多いから、放置は許さないとゴルァされたのかw
RTX1000、中古で15000円で買おうと思うんだけど、適正ですかな?
882 :[email protected]:2007/10/20(土) 13:32:05 ID:???
それくらいなら至極妥当じゃね。出所は奥?
店売りだと、RT57iでもそのくらいなことはざらだし、RTX1000だと2万後半の場合も多い。
店売りだと、RT57iでもそのくらいなことはざらだし、RTX1000だと2万後半の場合も多い。
883 :[email protected]:2007/10/20(土) 15:22:59 ID:???
漏れは送料込み16k弱だったかな
出品メモだと付属品はねーよって話だったんだが,届いてみたらマニュアル込みでびっくり
出品メモだと付属品はねーよって話だったんだが,届いてみたらマニュアル込みでびっくり
884 :anonymousプゲラ:2007/10/20(土) 18:33:18 ID:???
黙って新品買えよ糞貧乏人ども
うるせーよぼけ
低所得者カワイソス(´・ω・)
887 :[email protected]:2007/10/21(日) 12:52:45 ID:???
RTX1200っていつぐらいに出るんだろう。
888 :anonymous:2007/10/21(日) 13:12:20 ID:ZsTBlGyp
ルーターにお金かけるヲタクはキモイ
889 :[email protected]:2007/10/21(日) 13:26:21 ID:???
高いと言ってもたかがしれてる。
他人が鼻の穴ほじったりチンポいぢった手で
触ったかも知れんものをよく使えるなw
乞食の発想
触ったかも知れんものをよく使えるなw
乞食の発想
>>887
ここ5年くらいの間ブロードバンドルーター市場で
機能的、性能的なブレイクスルーがないからねー
Ether、PPPoE以外のIFを使用する新しいWANサービスが出るか
1G速度が一般化するまではRTX1100かSRT100で十分すぐる
ソフト面の機能追加や細かい部分の改善ならまだしも
ハードウェア面でRTX1100に不満あるかな?
ここ5年くらいの間ブロードバンドルーター市場で
機能的、性能的なブレイクスルーがないからねー
Ether、PPPoE以外のIFを使用する新しいWANサービスが出るか
1G速度が一般化するまではRTX1100かSRT100で十分すぐる
ソフト面の機能追加や細かい部分の改善ならまだしも
ハードウェア面でRTX1100に不満あるかな?
静的フィルタは俺でもわかるが、動的フィルタの詳細はどこを読んだらわかるんだろう。
動的フィルタの意義は何なのか、静的フィルタとどう相互作用するのか、
いまひとつよくわからない。
ftpのアクティブモードを通すために動的フィルタを使うのはわかるんだが、
たとえばDMZ(lan1)内に保護されたwebサーバ 192.168.0.1 を立てるだけなら、
動的フィルタなんぞ使わなくても
ip filter 1000 pass * 192.168.0.1 tcp * www
ip filter 1010 reject * *
ip filter 2000 pass 192.168.0.1 * established
ip filter 2010 reject * *
ip lan1 secure filter in 1000 1010
ip lan1 secure filter out 2000 2010
これで十分なのではないかなあ。
http://netvolante.jp/solution/int/case4b.html
をいま見てるんだが、動的フィルタばりばり使う上に、SYNパケットを通すために
"tcpflag=0x0002/0x0fff" なる黒魔術まで使っている。
ここまでやるとどんな御利益があるのか気になるし、もしここまでやる必要があるなら
tcpflagで記述するんじゃなくて、ニーモニックを追加しろよとも思う。
動的フィルタの意義は何なのか、静的フィルタとどう相互作用するのか、
いまひとつよくわからない。
ftpのアクティブモードを通すために動的フィルタを使うのはわかるんだが、
たとえばDMZ(lan1)内に保護されたwebサーバ 192.168.0.1 を立てるだけなら、
動的フィルタなんぞ使わなくても
ip filter 1000 pass * 192.168.0.1 tcp * www
ip filter 1010 reject * *
ip filter 2000 pass 192.168.0.1 * established
ip filter 2010 reject * *
ip lan1 secure filter in 1000 1010
ip lan1 secure filter out 2000 2010
これで十分なのではないかなあ。
http://netvolante.jp/solution/int/case4b.html
をいま見てるんだが、動的フィルタばりばり使う上に、SYNパケットを通すために
"tcpflag=0x0002/0x0fff" なる黒魔術まで使っている。
ここまでやるとどんな御利益があるのか気になるし、もしここまでやる必要があるなら
tcpflagで記述するんじゃなくて、ニーモニックを追加しろよとも思う。
ポートスキャンしたところで結局、80以外のポートにはアクセスできないと
思うんだけど、それはルータで防いだ方がいいものなのかな?
思うんだけど、それはルータで防いだ方がいいものなのかな?
FINスキャン対応はしてないでしょ。その例は。
SYNのハーフスキャン対応だけだから、基本的なFWの範疇じゃないの。
SYNのハーフスキャン対応だけだから、基本的なFWの範疇じゃないの。
動的フィルタって、
NAT内側のクライアントの、外部アクセスSYNパケ許可
→ 応答のパケット透過させる
→ establish パケを常時通すルールより、完全に
フィルタがしまるからちょっとだけ安全?
この考えは当たってますか?
establishパケを通すと何がどう怖いかはいまいちわかりません><;
NAT内側のクライアントの、外部アクセスSYNパケ許可
→ 応答のパケット透過させる
→ establish パケを常時通すルールより、完全に
フィルタがしまるからちょっとだけ安全?
この考えは当たってますか?
establishパケを通すと何がどう怖いかはいまいちわかりません><;
899 :[email protected]:2007/10/23(火) 17:00:34 ID:Dsca+nL/
> 893
その設定例だと,lan2とかlan3にある端末から
192.168.0.1 なマシンが見えなくない?
動的フィルタを使うか使わないかは別にして,
pp 側にフィルタをかけたほうがいいかも。
その設定例だと,lan2とかlan3にある端末から
192.168.0.1 なマシンが見えなくない?
動的フィルタを使うか使わないかは別にして,
pp 側にフィルタをかけたほうがいいかも。
900 :[email protected]:2007/10/24(水) 09:25:58 ID:???
> establishパケを通すと何がどう怖いかはいまいちわかりません><;
俺もわからんのだが、たとえばホストのTCP/IPプロトコルスタックに未知の脆弱性があって
巧妙に細工された(本来はホストが受け取らない)パケットでDoS攻撃等が可能な状況のとき
ルータが動的フィルタで基本完全ブロックしていたら、それを防げるかもしれないと思った。
でもそこまでパラノイアになると、RTの動的フィルタのバグも心配になってくるが。
俺もわからんのだが、たとえばホストのTCP/IPプロトコルスタックに未知の脆弱性があって
巧妙に細工された(本来はホストが受け取らない)パケットでDoS攻撃等が可能な状況のとき
ルータが動的フィルタで基本完全ブロックしていたら、それを防げるかもしれないと思った。
でもそこまでパラノイアになると、RTの動的フィルタのバグも心配になってくるが。
901 :[email protected]:2007/10/25(木) 12:00:56 ID:AL8CXwaV
RTX1000のファームが上がってますね!
バグ修正100以上あるしwww!
以前から気になってたUPNP関連のバグも治ってるみたい!
帰ったらUPしてみよっとw!
バグ修正100以上あるしwww!
以前から気になってたUPNP関連のバグも治ってるみたい!
帰ったらUPしてみよっとw!
902 :[email protected]:2007/10/25(木) 15:19:07 ID:???
あれ?
LAN1からLAN2のグローバルアドレスにアクセスできるようになった?>RTX1000 Firm Up
LAN1からLAN2のグローバルアドレスにアクセスできるようになった?>RTX1000 Firm Up
そんな、設定如何でなんとでもなりうることをw
顧客にもうファームウェア上がらないかもと言ってしまったが、
まさか来るとは思わなかった・・・。
恐るべしヤマハ。
ついでにRTX2000も上げてほしいナァ。
まさか来るとは思わなかった・・・。
恐るべしヤマハ。
ついでにRTX2000も上げてほしいナァ。
2000は、現行機じゃないからなあ。
1000は依然として「販売中」ってのがすごい
1000は依然として「販売中」ってのがすごい
906 :[email protected]:2007/10/26(金) 01:15:49 ID:???
なにこの良スレw
907 :[email protected]:2007/10/30(火) 23:47:20 ID:???
RTX1500のsyslogって
直接windowserverに送ることって
出来ないかな?
Linuxサーバ経由からなら
いけるみたいだが…
ご存知の方教えてください。
直接windowserverに送ることって
出来ないかな?
Linuxサーバ経由からなら
いけるみたいだが…
ご存知の方教えてください。
>>907
Windowsの標準機能だと、syslogサーバは無かったような気がする。
こういうのつかえば済む内容のことを言ってるのかな?
http://www.vector.co.jp/soft/winnt/net/se403199.html
Windowsの標準機能だと、syslogサーバは無かったような気がする。
こういうのつかえば済む内容のことを言ってるのかな?
http://www.vector.co.jp/soft/winnt/net/se403199.html
909 :[email protected]:2007/10/31(水) 00:11:53 ID:???
>>908
ルータの出すsyslogを出すごとにwindowsserverに
送りそれを一日分ごとにログローテートさせたいんです。
とりあえずバッチ作ってそれ稼動させようかと思ってる
けど、そうするとバッチ処理中にsyslog送られる可能性も
あるからバッチがうまくいかない可能性も否めないので…
ルータの出すsyslogを出すごとにwindowsserverに
送りそれを一日分ごとにログローテートさせたいんです。
とりあえずバッチ作ってそれ稼動させようかと思ってる
けど、そうするとバッチ処理中にsyslog送られる可能性も
あるからバッチがうまくいかない可能性も否めないので…
>>909
それは、syslogサーバプロセスがファイルに書く処理の作りに依存する話だから
Windowsだから、UNIXだから、で成否が分かれるような問題ではないのでは。
わざときつい条件を用意して実験してみないと、たぶん結論出ないよ。
それは、syslogサーバプロセスがファイルに書く処理の作りに依存する話だから
Windowsだから、UNIXだから、で成否が分かれるような問題ではないのでは。
わざときつい条件を用意して実験してみないと、たぶん結論出ないよ。
911 :[email protected]:2007/10/31(水) 01:29:21 ID:???
912 :[email protected]:2007/10/31(水) 11:22:29 ID:???
実験するよりソースみた方が早いだろ、と言ってみるテスト。
UNIXのsyslogdはリネームしてもリネーム後のファイルに書き続けるから、
リネーム→新ファイル作成→SIGHUPでロストなくローテーションできる。
Windowsも、それができないほどタコではないと思う。
UNIXのsyslogdはリネームしてもリネーム後のファイルに書き続けるから、
リネーム→新ファイル作成→SIGHUPでロストなくローテーションできる。
Windowsも、それができないほどタコではないと思う。
913 :[email protected]:2007/10/31(水) 12:05:51 ID:???
というかcygwinのsyslogd使えばいいじゃん
915 :[email protected]:2007/11/01(木) 13:02:12 ID:???
YMS-VPN1のVista対応っていつになるんだ
来年以降まで待たされると予想
918 :[email protected]:2007/11/02(金) 12:58:23 ID:IlVi+AHB
>>917
なにこの2ch対応www
なにこの2ch対応www
919 :[email protected]:2007/11/02(金) 12:59:02 ID:IlVi+AHB
ほえ? 固定IPが・・・
920 :[email protected]:2007/11/02(金) 13:01:01 ID:???
?
やられた・・
>>917
おおー
おおー
923 :[email protected]:2007/11/02(金) 22:03:01 ID:???
タイトルがおかしいな…
って書き込んだら月曜日に直ったりして
って書き込んだら月曜日に直ったりして
>>921
ドンマイ
ドンマイ
ちょっとRTX1100のL2レベルのVLANについて質問なんですが、
現在、LAN1がA社ネットワーク、LAN2がPPPoE、LAN3がB社ネットワークとして、
1拠点に2社が存在しているとします。
2社間はLAN1とLAN3間で別ネットワークアドレスなので、こいつでルーティングするんですが、
L2レベルでは何も設定しないと通信できてしまうんですかね?今まさにそうなんですが。。
LAN1とLAN3間でVLANを切るにはどうしたら良いでしょうか。
現在、LAN1がA社ネットワーク、LAN2がPPPoE、LAN3がB社ネットワークとして、
1拠点に2社が存在しているとします。
2社間はLAN1とLAN3間で別ネットワークアドレスなので、こいつでルーティングするんですが、
L2レベルでは何も設定しないと通信できてしまうんですかね?今まさにそうなんですが。。
LAN1とLAN3間でVLANを切るにはどうしたら良いでしょうか。
>>925
できてほしいことと、できてはいけないことを、もっと正確に定義するべきだと思うよ。
その書き方だと、IPフィルタでできることなのかもしれないと思ってしまう。
既に構成を作ってあるんなら、何ができてしまって困っているのか。
できてほしいことと、できてはいけないことを、もっと正確に定義するべきだと思うよ。
その書き方だと、IPフィルタでできることなのかもしれないと思ってしまう。
既に構成を作ってあるんなら、何ができてしまって困っているのか。
927 :[email protected]:2007/11/05(月) 22:10:20 ID:???
RTX1000でAESは無謀ですかね?
どれくらいスループット出るんだろ
どれくらいスループット出るんだろ
928 :[email protected]:2007/11/06(火) 08:00:02 ID:???
>>927
YAMAHAに直接聞いたが方がよくね?
YAMAHAに直接聞いたが方がよくね?
現在SRT100とRTX1100を使って拠点間VPNをしているのですが、
外出先から直接SRT100を管理したいので、
SRT100にIPsecベースでリモートアクセスの設定をしているのですが、
どうも上手くいきません。
クライアントにはYMS-VPN1をインストールして設定もしています。
RTX1100ではPPTPで上手くいってるので、一応RTX1100経由で管理をしているのですが、
できれば直接SRT100のネットワークに入りたいと思っています。
SRT100の内部からはセッションが張れた(無意味ですがw)けど、
外部からはいろいろな場所から試しているのですが上手くいきません。
どうか皆さんのお力を貸していただけ無いでしょうか。
よろしくお願いします。
外出先から直接SRT100を管理したいので、
SRT100にIPsecベースでリモートアクセスの設定をしているのですが、
どうも上手くいきません。
クライアントにはYMS-VPN1をインストールして設定もしています。
RTX1100ではPPTPで上手くいってるので、一応RTX1100経由で管理をしているのですが、
できれば直接SRT100のネットワークに入りたいと思っています。
SRT100の内部からはセッションが張れた(無意味ですがw)けど、
外部からはいろいろな場所から試しているのですが上手くいきません。
どうか皆さんのお力を貸していただけ無いでしょうか。
よろしくお願いします。
RTX1000でAES使っても3M位しか出なかった記憶がある。結局、HW処理する3DESに戻しちゃったけどね。
931 :anonymous@:2007/11/07(水) 13:05:36 ID:???
素人発言で恥ずかしいのですが、AESてソフト処理なんですか?
3DESの方が早いのですかね?
3DESの方が早いのですかね?
932 :[email protected]:2007/11/07(水) 17:02:06 ID:???
1000はソフト処理,1100はハード処理
934 :anonymous@:2007/11/08(木) 12:57:11 ID:???
>>932-933
ありがとうございます!
ありがとうございます!
935 :anonymous@:2007/11/09(金) 21:30:49 ID:???
RTX1100ってdhcpのipアドレス配布が遅くないですか?
いつもタイムアウト直前、無線LAN経由だとタイムアウトしてから届くんですが。
それともウチだけ?
いつもタイムアウト直前、無線LAN経由だとタイムアウトしてから届くんですが。
それともウチだけ?
>>935
どのくらいDHCPクライアントが居るのかにもよると思うけど、そんな話は聞いたことないな。
自宅でRTX1100使ってるけど個人用途だから全部起動しても4台、無線経由は2台だけど、
DHCPクライアントがタイムアウトしてAPIPAアドレスが付くケースは、見る限りは無いね。
RTX1100とクライアントPC群の間にあるスイッチングハブが死にかけてて、パケット廃棄が頻繁に起きているとかは?
TCPは再送しまくってくれるから、瀕死の機器が間にいても気付かないことがあるよ。
どのくらいDHCPクライアントが居るのかにもよると思うけど、そんな話は聞いたことないな。
自宅でRTX1100使ってるけど個人用途だから全部起動しても4台、無線経由は2台だけど、
DHCPクライアントがタイムアウトしてAPIPAアドレスが付くケースは、見る限りは無いね。
RTX1100とクライアントPC群の間にあるスイッチングハブが死にかけてて、パケット廃棄が頻繁に起きているとかは?
TCPは再送しまくってくれるから、瀕死の機器が間にいても気付かないことがあるよ。
937 :anonymous@:2007/11/09(金) 22:26:33 ID:???
>>936
じゃあウチだけっぽいですね。
ぶら下がってる台数も5台程度だし、ぶら下がってるHUBはAirMacExtremeしか無く、
RTX1100に直差しでも遅いので、もしかするとRTX1100が死に体なのかもです。
じゃあウチだけっぽいですね。
ぶら下がってる台数も5台程度だし、ぶら下がってるHUBはAirMacExtremeしか無く、
RTX1100に直差しでも遅いので、もしかするとRTX1100が死に体なのかもです。
938 :anonymous@:2007/11/10(土) 00:19:42 ID:???
とりあえずパケットキャプチャしてみれば?
939 :[email protected]:2007/11/10(土) 02:56:23 ID:???
何となく、DHCPサーバが競合してる希ガス。
RTX1000のログの見方を勉強したいのですが、初心者向けの書籍やHPをご教示いただけないでしょうか。
941 :[email protected]:2007/11/10(土) 15:48:35 ID:???
見たまんまだとおもーが>ログ
なんて出力されたのがわからねーんだ?
なんて出力されたのがわからねーんだ?
>>940
実際のログでも、意味が分かる場所と分からない場所があるはず。
分からない場所について具体的に調べる所から始めないと、机上のお勉強になって役に立たない。
もし、それでも「初心者ですので全部分かりません」とか言うなら、今は諦めた方がいい。
この手のものは所詮実学だから、具体的に必要に迫られてない限り、どうせ身に付かない。
実際のログでも、意味が分かる場所と分からない場所があるはず。
分からない場所について具体的に調べる所から始めないと、机上のお勉強になって役に立たない。
もし、それでも「初心者ですので全部分かりません」とか言うなら、今は諦めた方がいい。
この手のものは所詮実学だから、具体的に必要に迫られてない限り、どうせ身に付かない。
944 :初心者:2007/11/11(日) 11:40:29 ID:MsWiJ7+c
945 :[email protected]:2007/11/13(火) 11:00:19 ID:8WwG1iyf
RTX3000 ×2台 とCatalyst3750の接続を考えています。
RTX3000はVRRPに対応していますが、3750は現在のところ
HSRPのみの対応のようです。
なんとか、デフォルトゲートウェイの冗長化(自動切り替え)を
実現する方法はないでしょうか?
RTX3000はVRRPに対応していますが、3750は現在のところ
HSRPのみの対応のようです。
なんとか、デフォルトゲートウェイの冗長化(自動切り替え)を
実現する方法はないでしょうか?
デフォゲをRIPかOSPFで動的に受け取る構成はダメ?
>>945 何がやりたいのよ?それによる
・Catalyst3750をVRRPグループの3台目として組み込みたいのか
・相互に仮想IP向けてスタティックルート切りたいのか
前者は問答無用で不可
後者の場合RTX3000の方はVRRPを使用して
Catalyst3750の方はHSRPを使用すれば問題無いよ
お互いの規格を合わせる必要はない
ただしこの場合 さらに奥でリーチャビリティが無くなった時のために
裏側でちゃんとトラッキングしないと迂回しない場合があるので注意
OSPFかRIPでダイナミックルーティングする方が確実
まず接続構成と要件をもう少し提示してくれ
・Catalyst3750をVRRPグループの3台目として組み込みたいのか
・相互に仮想IP向けてスタティックルート切りたいのか
前者は問答無用で不可
後者の場合RTX3000の方はVRRPを使用して
Catalyst3750の方はHSRPを使用すれば問題無いよ
お互いの規格を合わせる必要はない
ただしこの場合 さらに奥でリーチャビリティが無くなった時のために
裏側でちゃんとトラッキングしないと迂回しない場合があるので注意
OSPFかRIPでダイナミックルーティングする方が確実
まず接続構成と要件をもう少し提示してくれ
948 :[email protected]:2007/11/14(水) 10:49:36 ID:???
>>946,947,948 様
ありがとうございます。
2本のWAN(光回線)のそれぞれにRTX3000を付け(一方の組は予備)、
その配下にCatalyst3750を置き、
一方の組の回線又はRTX3000がダウンした場合に、
Catalyst3750がデフォルトゲートウエイ(RTX3000)を自動的に切り替える
ということがやりたいことです。
> 後者の場合RTX3000の方はVRRPを使用して
> Catalyst3750の方はHSRPを使用すれば問題無いよ
> お互いの規格を合わせる必要はない
こういうことができるのですね。知りませんでした。
> ただしこの場合 さらに奥でリーチャビリティが無くなった時のために
> 裏側でちゃんとトラッキングしないと迂回しない場合があるので注意
勉強不足で、この意味がよくわからないので、この方法はやめておきます(^^;)
RIPを用いる方法は忘れていました。
ただ、RIPを用いる場合、RTX3000がダウンした場合は切り替えられると
思いますが、回線がダウンした場合にも切り替えられますでしょうか?
できるとすれば、その場合、どのように設定すればよいのでしょうか。
ありがとうございます。
2本のWAN(光回線)のそれぞれにRTX3000を付け(一方の組は予備)、
その配下にCatalyst3750を置き、
一方の組の回線又はRTX3000がダウンした場合に、
Catalyst3750がデフォルトゲートウエイ(RTX3000)を自動的に切り替える
ということがやりたいことです。
> 後者の場合RTX3000の方はVRRPを使用して
> Catalyst3750の方はHSRPを使用すれば問題無いよ
> お互いの規格を合わせる必要はない
こういうことができるのですね。知りませんでした。
> ただしこの場合 さらに奥でリーチャビリティが無くなった時のために
> 裏側でちゃんとトラッキングしないと迂回しない場合があるので注意
勉強不足で、この意味がよくわからないので、この方法はやめておきます(^^;)
RIPを用いる方法は忘れていました。
ただ、RIPを用いる場合、RTX3000がダウンした場合は切り替えられると
思いますが、回線がダウンした場合にも切り替えられますでしょうか?
できるとすれば、その場合、どのように設定すればよいのでしょうか。
(WAN1) (WAN2)
| |
<RTX3000> <RTX3000>
| × |
< C3750 > < C3750>
| × |
こんな構成ということかな?
>ただ、RIPを用いる場合、RTX3000がダウンした場合は切り替えられると
>思いますが、回線がダウンした場合にも切り替えられますでしょうか?
回線の種類による
WAN内でダイナミックルーティングが回せるのであれば可
⇒広域イーサーネットならルーティングプロトコルを問わない
⇒IP-VPNの場合はBGP(一部サービスは制限的ながらOSPFも利用可)
WAN部分も含めて全てダイナミックルーティングを回す
スタティックルートの場合は少し小細工がいる
フレッツなんかの場合は例外なくこのパターン
Yamaha
http://www.rtpro.yamaha.co.jp/RT/docs/backup/network-backup.html
cisco
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/original/router_guide/obj_track.shtml
他拠点までのリーチャビリティを定期的に確認して 切れてたらスタティックルートを消す
>>945
正直、いまのレベルで1から10まで人に聞かなきゃいけないなら、他の人に担当を引き継ぐか
素直に業者に委託した方がいいと思うよ 冷たいようだが
| |
<RTX3000> <RTX3000>
| × |
< C3750 > < C3750>
| × |
こんな構成ということかな?
>ただ、RIPを用いる場合、RTX3000がダウンした場合は切り替えられると
>思いますが、回線がダウンした場合にも切り替えられますでしょうか?
回線の種類による
WAN内でダイナミックルーティングが回せるのであれば可
⇒広域イーサーネットならルーティングプロトコルを問わない
⇒IP-VPNの場合はBGP(一部サービスは制限的ながらOSPFも利用可)
WAN部分も含めて全てダイナミックルーティングを回す
スタティックルートの場合は少し小細工がいる
フレッツなんかの場合は例外なくこのパターン
Yamaha
http://www.rtpro.yamaha.co.jp/RT/docs/backup/network-backup.html
cisco
http://www.cisco.com/japanese/warp/public/3/jp/service/tac/original/router_guide/obj_track.shtml
他拠点までのリーチャビリティを定期的に確認して 切れてたらスタティックルートを消す
>>945
正直、いまのレベルで1から10まで人に聞かなきゃいけないなら、他の人に担当を引き継ぐか
素直に業者に委託した方がいいと思うよ 冷たいようだが
>>945
YAMAHAスレでやることじゃないけど
単純に回線冗長化したいだけならCatalyst3750をL2SWとして対向で使って
広域イーサをNTTと電力系とで二系統引いてSTPでやれば?
いたずらに構成要素を増やして障害発生率を高くしているような気がする
YAMAHAスレでやることじゃないけど
単純に回線冗長化したいだけならCatalyst3750をL2SWとして対向で使って
広域イーサをNTTと電力系とで二系統引いてSTPでやれば?
いたずらに構成要素を増やして障害発生率を高くしているような気がする
952 :[email protected]:2007/11/18(日) 05:07:22 ID:???
RTX1100 についての質問です。
何年間も一度も落ちずに駆動していたと思いきや、BitComet 0.96 を起動して数分したらダウンしました。
(ランプはついていても一切の通信を受け付けない状態になります。)
再起動して、しばらく普通の通信をした後、BitComet を起動したらまたダウン。
3〜4回試して同じ現象が発生したので、
BitTorrentクライアントの BitComet が原因であることはほぼ確実です。
BitCometは必要なので使いたいのですが、ダウンを回避する方法はないでしょうか?
何年間も一度も落ちずに駆動していたと思いきや、BitComet 0.96 を起動して数分したらダウンしました。
(ランプはついていても一切の通信を受け付けない状態になります。)
再起動して、しばらく普通の通信をした後、BitComet を起動したらまたダウン。
3〜4回試して同じ現象が発生したので、
BitTorrentクライアントの BitComet が原因であることはほぼ確実です。
BitCometは必要なので使いたいのですが、ダウンを回避する方法はないでしょうか?
つ、釣られないクマー
954 :[email protected]:2007/11/18(日) 07:26:02 ID:???
RTXじゃ対策はほぼ不可能だろうから,Windows板で質問すれ
RTXなんてすぐ落ちる、って言う奴もいるんだからRTXが原因じゃないの?
ログとか何も記録されてない?
シリアルからでも入れないならRTXが死んでるってことになるんだろうけど。
ログとか何も記録されてない?
シリアルからでも入れないならRTXが死んでるってことになるんだろうけど。
漏れも海外製の独自プロトコルのソフト使ったことあるけど,RTX1000が負荷100%になって慌てて落としたよ
100KB/secも出てない筈だったんだがなー
100KB/secも出てない筈だったんだがなー
NATセッション作り過ぎなんじゃね。
そういうアホな動作するソフトのおかげでインフラ構築者は苦労してるんだよな。
まぁそういった状況も想定して構築するのが当然なんだろうけど。
そういうアホな動作するソフトのおかげでインフラ構築者は苦労してるんだよな。
まぁそういった状況も想定して構築するのが当然なんだろうけど。
>>952
SRT100に代えてセッション制限をかける。
SRT100に代えてセッション制限をかける。
>>952
BitCometは、アプリ起動しただけでNATを11000位使うよ〜
UDPでLAN>WANへ出て行くのね。
show nat descriptor address で確認するとわかります。
CISCO1812Jで確認したら11000消費でした。 ちなみに1812Jで
BitCometを2回起動して22000セッション消費してもびくともしなかった。
うちはSRT100使ってる、昨日BitCometの起動チェックを新ファームで
NATをnat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
で3000に制限してみたんだけど、+−2セッションを守ってた〜
この機能めちゃ良い感じ〜
RTX1100で回避する方法は無いので、μTorrentを使うのをお勧め
これならNAT数1000も有れば十分なので
BitCometは、アプリ起動しただけでNATを11000位使うよ〜
UDPでLAN>WANへ出て行くのね。
show nat descriptor address で確認するとわかります。
CISCO1812Jで確認したら11000消費でした。 ちなみに1812Jで
BitCometを2回起動して22000セッション消費してもびくともしなかった。
うちはSRT100使ってる、昨日BitCometの起動チェックを新ファームで
NATをnat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
で3000に制限してみたんだけど、+−2セッションを守ってた〜
この機能めちゃ良い感じ〜
RTX1100で回避する方法は無いので、μTorrentを使うのをお勧め
これならNAT数1000も有れば十分なので
960 :anonymous:2007/11/18(日) 18:05:46 ID:qh6Jn52g
>>959
横ですが、その理論から考えるとNAT漏れが起きているって事だから、静的NATを使えば問題ないのでは?
横ですが、その理論から考えるとNAT漏れが起きているって事だから、静的NATを使えば問題ないのでは?
↑無知が口出すんじゃね
見当外れも甚だしいわ
見当外れも甚だしいわ
962 :anonymous:2007/11/18(日) 19:19:14 ID:twJvowVp
>>961
てめーもな
show nat descriptor address
nat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
って言っているのだからIPマスカレードの設定の話をしているのだろ?
ってことはIPマスカレードを使わず静的NATを使えばいいってことになるだろう
てめーもな
show nat descriptor address
nat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
って言っているのだからIPマスカレードの設定の話をしているのだろ?
ってことはIPマスカレードを使わず静的NATを使えばいいってことになるだろう
>>962
ですね〜 1対1NAT使えばOKですね YAMAHAの場合仕様で確か1対1NATで
WANのIP1 LANの端末2台以上の場合、自動で2台目以降はマスカレードになる
と思ったんだけど違ったかな。 スキル不足ですいません。
ですね〜 1対1NAT使えばOKですね YAMAHAの場合仕様で確か1対1NATで
WANのIP1 LANの端末2台以上の場合、自動で2台目以降はマスカレードになる
と思ったんだけど違ったかな。 スキル不足ですいません。
皆さん回答ありがとうございます。
シリアルでの確認はしていませんが、RTX1100のDHCPサーバからIPアドレスの取得も行なえない状態になりました。
BitComet をやめて、μTorrent を使うことにします。
シリアルでの確認はしていませんが、RTX1100のDHCPサーバからIPアドレスの取得も行なえない状態になりました。
BitComet をやめて、μTorrent を使うことにします。
にしても、アプリ起動だけで 11000 もNAT使うってどういう設計なんだろう…。
Winnyのノード情報の交換 (IPアドレスとファイルに関するキー情報をまとめて流す) みたいのがなくて、各クライアントに対して闇雲に接続して取得する感じの設計なんですかね。
BitComet は日本で一番人気のクライアントなんですが、最も普及している一般的な家庭用の数千円のルータでこの負荷に耐えられるもんなんでしょうか…。
関連掲示板を見た限りでは、ルータの負荷による不具合が発生しているのはごく一部だけみたいですが('A`)
なんか愚痴っぽくなっててすみません。
μTorrentでも問題が起きましたら、静的NAT と シリアルコンソールでのログ調査をやってみます。
Winnyのノード情報の交換 (IPアドレスとファイルに関するキー情報をまとめて流す) みたいのがなくて、各クライアントに対して闇雲に接続して取得する感じの設計なんですかね。
BitComet は日本で一番人気のクライアントなんですが、最も普及している一般的な家庭用の数千円のルータでこの負荷に耐えられるもんなんでしょうか…。
関連掲示板を見た限りでは、ルータの負荷による不具合が発生しているのはごく一部だけみたいですが('A`)
なんか愚痴っぽくなっててすみません。
μTorrentでも問題が起きましたら、静的NAT と シリアルコンソールでのログ調査をやってみます。
966 :anonymous:2007/11/19(月) 09:49:04 ID:g6TZAX5t
>>965
MyとかもNATはすごい事になってるとおもうよただ静的NATを設定しないと激遅だから皆さんちゃんと設定しているのではないの?
現時点ではNy又はMxユーザーがBitCometに移行しているだけの状況だと思う。
最近ネットを始めた>>961の様な素人は静的NATとマスカレードの違いが理解できていないので今後トラブル報告は今後増えて行くでしょうね。
まあ個人的にはアンチP2P対応でP2Pに耐えられない仕様のルーターが一般的になればいいと思う。
MyとかもNATはすごい事になってるとおもうよただ静的NATを設定しないと激遅だから皆さんちゃんと設定しているのではないの?
現時点ではNy又はMxユーザーがBitCometに移行しているだけの状況だと思う。
最近ネットを始めた>>961の様な素人は静的NATとマスカレードの違いが理解できていないので今後トラブル報告は今後増えて行くでしょうね。
まあ個人的にはアンチP2P対応でP2Pに耐えられない仕様のルーターが一般的になればいいと思う。
>>965
>シリアルコンソールでのログ調査をやってみます。
CPU負荷100%に達して、シリアルコンソールでのアクセスも不可でしたよー
TELNETのみ不可ならまだしも、コンソールまで使えないのはアウト!
しまいには、OFF/ONするしかない。
2007.10.17のSRT100のオンラインセミナーでも平野氏に報告したら
nat descriptor timer 1000 protocol=udp 30
nat descriptor timer 1000 protocol=tcp 90
で取りあえず回避してくださいと・・・・ それでも駄目だったので
NAT数上限の制約・・・を話した結果、imit NATコマンドが追加された〜 ウマ〜
limit設定、最高です。 YAMAHAのサポセンの対応の速さも最高です。
>シリアルコンソールでのログ調査をやってみます。
CPU負荷100%に達して、シリアルコンソールでのアクセスも不可でしたよー
TELNETのみ不可ならまだしも、コンソールまで使えないのはアウト!
しまいには、OFF/ONするしかない。
2007.10.17のSRT100のオンラインセミナーでも平野氏に報告したら
nat descriptor timer 1000 protocol=udp 30
nat descriptor timer 1000 protocol=tcp 90
で取りあえず回避してくださいと・・・・ それでも駄目だったので
NAT数上限の制約・・・を話した結果、imit NATコマンドが追加された〜 ウマ〜
limit設定、最高です。 YAMAHAのサポセンの対応の速さも最高です。
>>965
>最も普及している一般的な家庭用の数千円のルータでこの負荷に耐えられるもんなんでしょうか…。
ルーターのNAT処理で違ってくるようです。
NAT数2048MAXのBA8000proの場合、2500以上のNAT処理は受け付けないから
ハングすることもなく生存し続けました。
手元に、ONU+ルータのPR−200NE(NEC)もありますが、CONFIGでNAT生存時間を
設定ができる。NAT数オーバーの場合NATされずこれまたハングすることもなく生存可
しかし、長時間BitComet仕様は、NG 他に問題有りなのかも?
参考に
http://pc11.2ch.net/test/read.cgi/hard/1195198650/
上記の >4 >5 をどうぞ
>最も普及している一般的な家庭用の数千円のルータでこの負荷に耐えられるもんなんでしょうか…。
ルーターのNAT処理で違ってくるようです。
NAT数2048MAXのBA8000proの場合、2500以上のNAT処理は受け付けないから
ハングすることもなく生存し続けました。
手元に、ONU+ルータのPR−200NE(NEC)もありますが、CONFIGでNAT生存時間を
設定ができる。NAT数オーバーの場合NATされずこれまたハングすることもなく生存可
しかし、長時間BitComet仕様は、NG 他に問題有りなのかも?
参考に
http://pc11.2ch.net/test/read.cgi/hard/1195198650/
上記の >4 >5 をどうぞ
んー
RTX1000にLinux繋いで,DHCPのアドレス静的確保が失敗して動的に確保される件
設定とログをサポセンに投げて,1ヶ月以上音沙汰ないな...珍しい
RTX1000にLinux繋いで,DHCPのアドレス静的確保が失敗して動的に確保される件
設定とログをサポセンに投げて,1ヶ月以上音沙汰ないな...珍しい
すげぇくだらない回答で申し訳ないんだけど、BitCometのアップロード速度を
10kbps以下ぐらいに落とせば問題なく動くよ。
しかしこれ、同じ方法で外部から攻撃されれば簡単に落ちることにならないか?
フィルタでちゃんとパケット捨てておけば問題無いか。
10kbps以下ぐらいに落とせば問題なく動くよ。
しかしこれ、同じ方法で外部から攻撃されれば簡単に落ちることにならないか?
フィルタでちゃんとパケット捨てておけば問題無いか。
>>969
どっちがDHCPサーバでどっちがDHCPクライアントなのよ。
音沙汰無いのは、YAMAHA側の環境では再現しないからだと思う。
それか、Linux側の環境を同じに揃えられない等で、結果に自信がないか。
再現すれば修正に動けるけど、再現しませんと言い切るのは悪魔の証明みたいなものなので、そりゃ難しい罠。
どっちがDHCPサーバでどっちがDHCPクライアントなのよ。
音沙汰無いのは、YAMAHA側の環境では再現しないからだと思う。
それか、Linux側の環境を同じに揃えられない等で、結果に自信がないか。
再現すれば修正に動けるけど、再現しませんと言い切るのは悪魔の証明みたいなものなので、そりゃ難しい罠。
>>969
あー,RTX1000がDHCPサーバでLinuxがクライアント
色々Linux側の条件色々変えてみたけど,どれも駄目げ
使ったコマンドはこれ
dhcp scope bind 1 192.168.0.x ethernet 00:00:00:00:00:00
show arp
とかやると,同じMACアドレスに二つのIPアドレスが
あー,RTX1000がDHCPサーバでLinuxがクライアント
色々Linux側の条件色々変えてみたけど,どれも駄目げ
使ったコマンドはこれ
dhcp scope bind 1 192.168.0.x ethernet 00:00:00:00:00:00
show arp
とかやると,同じMACアドレスに二つのIPアドレスが
973 :[email protected]:2007/11/19(月) 21:52:47 ID:???
>>972
音沙汰無しは珍しい。
で、rtx側で同じMACアドレスに二つのIPでしたら、
rtxはdhcpの要求に2度応答してるのではないでしょうか。
すこしパラメータが違っていてlinux側で受け取れていないとか。
またはdhcp bindのコマンドの"ethernet"と":"を抜いた形式とか。
その間のtcpdumpの結果はいかがでしょう。
音沙汰無しは珍しい。
で、rtx側で同じMACアドレスに二つのIPでしたら、
rtxはdhcpの要求に2度応答してるのではないでしょうか。
すこしパラメータが違っていてlinux側で受け取れていないとか。
またはdhcp bindのコマンドの"ethernet"と":"を抜いた形式とか。
その間のtcpdumpの結果はいかがでしょう。
>>969
既にIPアドレスが割り当てられてるクライアントから更新要求があると、予約アドレスじゃなくて
更新アドレスを割り当てちゃうよ。どうもそういう仕様っぽい。俺も不便だと常々思ってる。
クライアント側で固定IPとして希望のIPアドレスを設定してから、DHCP経由に戻すと直るよ。
既にIPアドレスが割り当てられてるクライアントから更新要求があると、予約アドレスじゃなくて
更新アドレスを割り当てちゃうよ。どうもそういう仕様っぽい。俺も不便だと常々思ってる。
クライアント側で固定IPとして希望のIPアドレスを設定してから、DHCP経由に戻すと直るよ。
RTX1100 のDNS機能 (ルーター自身がDNSサーバを立て、DNS問い合わせを中継してくれる機能) についての質問です。
LAN 内のクライアント 192.168.1.1 からDNS要求が来た場合には、pp 1 を経由して、DNS サーバ 210.188.224.10 に問い合わせを送り、
LAN 内のクライアント 192.168.1.2 からDNS要求が来た場合には、pp 2 を経由して、DNS サーバ 210.188.224.10 に問い合わせを送るようにするには、
どう設定すれば良いでしょうか?
自分が説明書を見た限りではこのような実装はできそうにないのですが、可能かどうか教えていただけると幸いです。
LAN 内のクライアント 192.168.1.1 からDNS要求が来た場合には、pp 1 を経由して、DNS サーバ 210.188.224.10 に問い合わせを送り、
LAN 内のクライアント 192.168.1.2 からDNS要求が来た場合には、pp 2 を経由して、DNS サーバ 210.188.224.10 に問い合わせを送るようにするには、
どう設定すれば良いでしょうか?
自分が説明書を見た限りではこのような実装はできそうにないのですが、可能かどうか教えていただけると幸いです。
Rev.10限定
978 :不明なデバイスさん:2007/11/24(土) 15:10:25 ID:I3B+po6p
>>978
そこは見ましたが、たぶん無理かと思います('A`)
original-sender を使えば、DNS 問い合わせの送信元のIP アドレスの範囲によって、設定を分けることができますが、
RTX1100 が、どのISP (LanX や ppX) を使って、DNSリクエストを送信するかの設定が無いんです。
そこは見ましたが、たぶん無理かと思います('A`)
original-sender を使えば、DNS 問い合わせの送信元のIP アドレスの範囲によって、設定を分けることができますが、
RTX1100 が、どのISP (LanX や ppX) を使って、DNSリクエストを送信するかの設定が無いんです。
ざっと実験してみた限りでは、
ip route default gateway で指定した回線を使って、DNSリクエストが送られるようです。
filter を使ってどういう送信元のIPアドレスならマッチするか調べたところ、
"ip filter 1 pass 0.0.0.0 *" にマッチして、ルーターのローカルIPアドレスにはマッチしませんでした。
DNS問い合わせに使う回線が選べないというのは変な実装ですね。
ip route default gateway で指定した回線を使って、DNSリクエストが送られるようです。
filter を使ってどういう送信元のIPアドレスならマッチするか調べたところ、
"ip filter 1 pass 0.0.0.0 *" にマッチして、ルーターのローカルIPアドレスにはマッチしませんでした。
DNS問い合わせに使う回線が選べないというのは変な実装ですね。
981 :[email protected]:2007/11/24(土) 16:53:32 ID:???
>>975
ip route default gateway pp 1 filter 1 gateway pp 1 filter 2 gateway pp 2
ip filter 1 pass 192.168.1.1/32 * * *
ip filter 2 pass * 192.168.1.1/32 * *
こんなカンジ。テキトーに修正して。
ip route default gateway pp 1 filter 1 gateway pp 1 filter 2 gateway pp 2
ip filter 1 pass 192.168.1.1/32 * * *
ip filter 2 pass * 192.168.1.1/32 * *
こんなカンジ。テキトーに修正して。
>>981
192.168.1.1 が送信するパケットならそれでいけるのですが、
ルーター (送信元 0.0.0.0 として扱われている模様) が送信元として扱われているならば、
その方法だと無理ぽいですね。
ip route default でクライアントIP Add のみを許可した状態だとルータのDNSサーバ機能が動かず、
0.0.0.0 も pass にしたら動いたので、後者かと決め付けていたんですが、教えていただいた方法でパケットキャプチャーをやってみます。
ありがとうございます。
192.168.1.1 が送信するパケットならそれでいけるのですが、
ルーター (送信元 0.0.0.0 として扱われている模様) が送信元として扱われているならば、
その方法だと無理ぽいですね。
ip route default でクライアントIP Add のみを許可した状態だとルータのDNSサーバ機能が動かず、
0.0.0.0 も pass にしたら動いたので、後者かと決め付けていたんですが、教えていただいた方法でパケットキャプチャーをやってみます。
ありがとうございます。
>>976
Rev.10.00.27からでSRT100限定。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_27.html
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/session-limit.html
Rev.10.00.27からでSRT100限定。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_27.html
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/session-limit.html
984 :978:2007/11/24(土) 19:58:06 ID:ba2ZGrjg
985 :??:2007/11/24(土) 21:15:18 ID:okp+dmbY
DNSって53UDPだっけ。
フィルタ型ルーティングすれば良いんじゃね?
フィルタ型ルーティングすれば良いんじゃね?
986 :[email protected]:2007/11/24(土) 22:00:27 ID:???
>>985
TCPの53番を使う場合もあるとされていたような気がするが、どういう場合なのはシラネ。
識者のコメントが欲しい。
それはともかく、今回の問題は、
RTXのDNSリカーシブサーバ機能が上位DNSサーバへの問い合わせをする際、問い合わせ元IPアドレス依存でPPを選択できるか
という内容だから、単なるルーティングじゃないんだな。だから話がややこしくなっているんだ。
TCPの53番を使う場合もあるとされていたような気がするが、どういう場合なのはシラネ。
識者のコメントが欲しい。
それはともかく、今回の問題は、
RTXのDNSリカーシブサーバ機能が上位DNSサーバへの問い合わせをする際、問い合わせ元IPアドレス依存でPPを選択できるか
という内容だから、単なるルーティングじゃないんだな。だから話がややこしくなっているんだ。
TCP53 を使うのは、確か、ゾーン転送なんかでデータ量が多くて UDP の上限を
超えてしまうとき。
超えてしまうとき。
988 :[email protected]:2007/11/24(土) 23:45:52 ID:???
DNSSECとかDomainkeysとかIPV6 AAAAレコードとか
SIP利用時のENUMリソースとか
今は、普及途上だが将来512バイトを超えそうな
利用形態がいろいろとあるね。
BIND9がEDNS0でUDPでの対応をしようとしてるみたい。
SIP利用時のENUMリソースとか
今は、普及途上だが将来512バイトを超えそうな
利用形態がいろいろとあるね。
BIND9がEDNS0でUDPでの対応をしようとしてるみたい。
なぜわざわざ振り分けたいのか解らない。
クライアント側に外部DNSサーバを直接指定してやれば981の方針が使えるが。
単純な負荷分散が目的なら、981を少しいじってudp53を対象にマルチホーミングしてみては。
クライアント側に外部DNSサーバを直接指定してやれば981の方針が使えるが。
単純な負荷分散が目的なら、981を少しいじってudp53を対象にマルチホーミングしてみては。
990 :anonymous@p2-user: 48959 p2-client-ip: 219.111.105.20:2007/11/25(日) 23:47:01 ID:???
保守、
しないと dat 落ち?
しないと dat 落ち?
991 :[email protected]:2007/11/26(月) 20:30:31 ID:sq8DRQok
rtx1100で下記のようにIPマスカレードって出来ますか?
gw:192.168.100.254
<lan2>192.168.100.5:443 <-> <lan1>192.168.1.5:443
<lan3>192.168.100.6:443 <-> <lan1>192.168.1.6:443
gw:192.168.100.254
<lan2>192.168.100.5:443 <-> <lan1>192.168.1.5:443
<lan3>192.168.100.6:443 <-> <lan1>192.168.1.6:443
992 :anonymous:2007/11/26(月) 22:45:40 ID:n7iKsA6B
IPマスカレードって1対多だよね。
それじゃあ1対1の説明に見えるから静的NATじゃないの?
うーん、再度説明を求むだね。
あと8スレだけど
それじゃあ1対1の説明に見えるから静的NATじゃないの?
うーん、再度説明を求むだね。
あと8スレだけど
993 :991:2007/11/26(月) 23:39:01 ID:5wo8QNfj
静的NATになるんですね。
ちなみに静的NATだとどのような感じの設定なるのでしょうか?
lan2,lan3は同一ネットワークでも問題はありませんでしょうか?
ちなみに静的NATだとどのような感じの設定なるのでしょうか?
lan2,lan3は同一ネットワークでも問題はありませんでしょうか?
>>993
IPアドレスとポートの組み合わせを1対1でNATすることは可能だけど、
同一のネットワークに属するものは、lan2ならlan2、lan3ならlan3にまとめないとルーティングできないよ。
そもそも、何が実現したいの?
lan1〜lan3自体には、それぞれどんなアドレスを振るつもりなの?
IPアドレスとポートの組み合わせを1対1でNATすることは可能だけど、
同一のネットワークに属するものは、lan2ならlan2、lan3ならlan3にまとめないとルーティングできないよ。
そもそも、何が実現したいの?
lan1〜lan3自体には、それぞれどんなアドレスを振るつもりなの?
995 :991:2007/11/27(火) 00:27:44 ID:wxs3YNfm
えと、lan1は
ip lan1 address 192.168.1.254/24
この中に、httpsを使ったサービスをする2台のサーバがあります。
両方ともポートはそのままで使いたいのです。
#訳あってプライベートにあります。
lan2,lan3にと考えていたIPはグローバルなやつで、idcから2個もらいました。
211.111.111.100:443に来た時は192.168.1.100:443へ、
211.111.111.101:443に来た時は192.168.1.101:443へ行くような感じにしたいと思っていました。
この説明でわかりますかね(^^;;
ip lan1 address 192.168.1.254/24
この中に、httpsを使ったサービスをする2台のサーバがあります。
両方ともポートはそのままで使いたいのです。
#訳あってプライベートにあります。
lan2,lan3にと考えていたIPはグローバルなやつで、idcから2個もらいました。
211.111.111.100:443に来た時は192.168.1.100:443へ、
211.111.111.101:443に来た時は192.168.1.101:443へ行くような感じにしたいと思っていました。
この説明でわかりますかね(^^;;
>>995
回線も2本あるの?無いなら1本で2セッション繋げないと。
それによって設定例は大きく変わる。
基本的にNATで1対1に当ててやればよろし。
ただ、その場合は他のクライアントからはインターネット接続出来ない。
それを可能にするなら、どちらかをNATPにしないとダメ。
まずは設計から整理しよう。
回線も2本あるの?無いなら1本で2セッション繋げないと。
それによって設定例は大きく変わる。
基本的にNATで1対1に当ててやればよろし。
ただ、その場合は他のクライアントからはインターネット接続出来ない。
それを可能にするなら、どちらかをNATPにしないとダメ。
まずは設計から整理しよう。
>>995
要は、グローバルIPアドレスを2個もらってるから、それをlan2,lan3に振ろうかと思ってたわけね。
でもそれは同一ネットワークアドレスにある(連番?)と。
それだったら、ip lan2 secondary address 〜でlan2に2個アドレスを振って、
NATの定義は普通に書けばいけるんじゃない?
やってみたことないから、疑似環境でも作って試してもらうしかないけど。
しかし、もっとグローバルIPアドレスが増えたらどうするんだろうね、
ってそういう場合はルータ自体を増設するなり、L3SWに取り替えるなりするのか。
要は、グローバルIPアドレスを2個もらってるから、それをlan2,lan3に振ろうかと思ってたわけね。
でもそれは同一ネットワークアドレスにある(連番?)と。
それだったら、ip lan2 secondary address 〜でlan2に2個アドレスを振って、
NATの定義は普通に書けばいけるんじゃない?
やってみたことないから、疑似環境でも作って試してもらうしかないけど。
しかし、もっとグローバルIPアドレスが増えたらどうするんだろうね、
ってそういう場合はルータ自体を増設するなり、L3SWに取り替えるなりするのか。
998 :sage:2007/11/27(火) 05:33:37 ID:rOGpg8CT
RTX使用していますが、ちょいスレ違いかもしれませんが、質問です。
今後、携帯などで接続した携帯端末、PDA、PC接続で
モバイルVPNのニーズが増えてくると思いますが、
まだまだ、個人でも手頃な月額定額で使えるお勧めなプランがあったら、よろしく。
FOMA HIGH-SPEED、ウィルコム、イーモバイルなど。
特に、PC接続でモバイルでのVPN(PPTP)可能な月額定額利用は、
どこのキャリア、プロバイダ、端末なんでしょうかねぇ?
FOMA HIGH-SPEED は、mopera U での定額ではできなさそうだし、
ビジネスmopera VPN限定タイプだと従量制のようだし。
ウィルコムもISP接続じゃないと無理なのかな?
イーモバイルは、D01HWやD02HWで、Windows Mobile 5.0 ではなくて、
PC接続した場合、OKなのかなぁ?
今後、携帯などで接続した携帯端末、PDA、PC接続で
モバイルVPNのニーズが増えてくると思いますが、
まだまだ、個人でも手頃な月額定額で使えるお勧めなプランがあったら、よろしく。
FOMA HIGH-SPEED、ウィルコム、イーモバイルなど。
特に、PC接続でモバイルでのVPN(PPTP)可能な月額定額利用は、
どこのキャリア、プロバイダ、端末なんでしょうかねぇ?
FOMA HIGH-SPEED は、mopera U での定額ではできなさそうだし、
ビジネスmopera VPN限定タイプだと従量制のようだし。
ウィルコムもISP接続じゃないと無理なのかな?
イーモバイルは、D01HWやD02HWで、Windows Mobile 5.0 ではなくて、
PC接続した場合、OKなのかなぁ?
999 :1:2007/11/27(火) 07:07:10 ID:MGVlX4a0
, -‐─────-、
,. -― 、 ( >>1000get )
__(_,ィ===,) `>----------一'
スイー 》'从」」」M」」
〜 ゞl] ^ヮ/7
〜 _ リ[!つ//リ
〈6〉 ノ,! // , -―-、 | ̄|
/ミ{,_ く/i//_,ゝ _,(r∧=∧) __,7T
\\_ ̄// ̄ ̄| ̄| 》'(,,6ω6) | ̄| ̄ ̄ ̄ ̄_//
\ `// ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄´ /
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜
,. -― 、 ( >>1000get )
__(_,ィ===,) `>----------一'
スイー 》'从」」」M」」
〜 ゞl] ^ヮ/7
〜 _ リ[!つ//リ
〈6〉 ノ,! // , -―-、 | ̄|
/ミ{,_ く/i//_,ゝ _,(r∧=∧) __,7T
\\_ ̄// ̄ ̄| ̄| 》'(,,6ω6) | ̄| ̄ ̄ ̄ ̄_//
\ `// ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄´ /
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。