YAMAHA業務向けルータ運用構築スレッドPart4
1 :
1 :
2006/04/04(火) 11:01:44 ID:q0LcnOE5
おーれはジャイアーンがーきだいしょー。
前スレ 銀河鉄道ときてなぜ*年女王と書かないのだ!
4 :
名無しさん :2006/04/04(火) 22:50:08 ID:???
フィルターである特定のIP以外からは明示的に全て遮断してるんですが、 特定のIP以外からYAMAHAルータのインターフェースにポートスキャンしてみると POPやらSMTPが開いてるんですが、これって仕様でしょうか? pingは返ってきません。 フィルタ設定例は、 ip filter 1 pass 192.168.0.1/32 192.168.1.1 * * * ip filter 2 pass 192.168.1.1/32 192.168.0.1 * * * ip filter 100 reject * * * * * 192.168.0.1→ルータA 192.168.1.1→ルータB ルータAのインターフェースに上のフィルタを設定。 ルータAに192.168.1.1以外のIPからポートスキャン。
ルータでPOPやらSMTP動いてないけど・・・ パケットダンプやrejectログでもみてみたら?
6 :
AR550Sユーザだけど :2006/04/13(木) 12:53:35 ID:sZvffHvX
ギガルータとしてRTX3000検討中、しかし値段でAR570Sになりそう。 RTX3000が優れている点だれか教えて下さい。
7 :
_-_ :2006/04/13(木) 17:57:51 ID:???
>>6 ファームのアップデートがロハ
各種のとんちを捻ったノウハウの公開度が上
8 :
あふーん :2006/04/14(金) 11:27:12 ID:???
>>6 メール(メーリングリスト含む)のサポートの充実。
外部から社内ネットワークに接続したいので、RTX1000にPPTPサーバの設定をしました。 (設定例集「24.1 リモートアクセスVPN接続の設定例」を参考にしました) 特に問題なく繋がっているようですが、sshだけが繋がりません。 サーバ側のログを見ると繋ぎには行っているようですが、次の認証へは進んでないようです。 クライアントのログには何も記録されていません。 ルータのログを見てもフィルターに引っかかった形跡もありません。 どういった原因が考えられるでしょうか?
10 :
Theo :2006/04/16(日) 22:49:47 ID:???
俺に寄付しないからだと思います。
11 :
:2006/04/16(日) 22:51:38 ID:???
という冗談は措いておいて、sshのサーバはクライアントのアドレスを逆引きできる?
>>11 逆引きって、nslookupで見たらいいんですよね。
PPTPで接続したときに付与したローカルのアドレスは逆引き出来ないです。
クライアントがインターネット接続のためにプロバイダから付与されているグローバルアドレスは逆引きで来ています。
LAN内からリモートのマシンへはsshで接続できました。
リモートのマシンからLAN内のマシンへsshで繋ぎにいったときのパケットを両方でキャプチャしてみました。
双方、パケットのやり取りは出来ているようですが(内容までは理解できません)、
LAN内のマシン側で [bad tcp cksum ] というのが多く発生していました。
13 :
質問でーす :2006/04/17(月) 13:40:13 ID:ek0/Fk7m
YAMAHAにはレイヤ2ブリッジできる製品って無いんですか?
14 :
_-_ :2006/04/17(月) 19:29:47 ID:???
>>13 ない。単純なローカルブリッジも L2overL3 もない。
安い機械で L2overL3 をやりたいなら手近なところでは
アライドテレシスかセンチュリーシステムズになるとおもう。
あるいはソフトウェアで頑張るか。
15 :
AR550Sユーザだけど :2006/04/18(火) 12:17:48 ID:gu+BB4d5
『6』です。RTX3000と、フライングでAR570S入手し検証できました。 結果実環境においてお互い非常に高いスループットが記録されました。 価格見合いでAR570Sが2台買えるのでAR570Sになります。 悪くはなんだけどな。ギガの半分でるから(ARもだけど)。 今後の参考になればと。
16 :
・・ :2006/04/18(火) 14:29:39 ID:???
>>15 それがよいな。
RTX3000はそもそもセンタールータだから、570Sですむならそれにこしたことはない。
570Sは、RTX1100かRTX1500クラスの製品だろうからな。
17 :
:2006/04/18(火) 14:41:56 ID:???
>>17 > とりあえず逆引き可にしてみれば?
ありがとうございます。
せっかくアドバイスいただいたのですが、よく理解できていません。
LAN内にDNSを立てるということでしょうか?
そこまでしなくてはいけないとなると、sshはちょっと諦めようかなと思います。
とりあえず、telnet, sftp は使えたのでとりあえず運用は出来そうなので。
19 :
名無 :2006/04/20(木) 15:28:25 ID:???
telnet 開くと攻撃対象になりやすいよ。sftp 動くんだったら slogin も動くんじゃないの?
20 :
hoge :2006/04/21(金) 10:00:46 ID:ZarHdwzu
RTX1100で
http://netvolante.jp/solution/int/case4b.htmlを参考に ppoeでインターネットVPNと自社サーバの公開をしようとしているのですが
VPNはできているのですが自社サーバが公開できません。
VPNの相手先は固定IPで、自社は固定IPが8個あります。
VPNができている状態から自社サーバ公開のために
追加したconfig
ip lan3 address 固定IPのひとつ
dns server ISPのDNSアドレス
dns private address spoof on
ip filter 3000 pass * *
ip lan3 secure filter in 3000
ip lan3 secure filter out 3000
これだけでいけると思ったのですが、
なにか足りないのでしょうか?
また、そもそもVPNと自社サーバ公開は無理なのでしょうか?
21 :
あのにます :2006/04/21(金) 11:15:54 ID:???
default gateway の pp 側で reject されているんじゃないの? しかし、なんで lan3 address に IP アドレス一つしか記述しないの?
22 :
hoge :2006/04/21(金) 12:06:34 ID:ZarHdwzu
>>21 レスありがとうございます。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
pp select 1
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
となっていますが、ここのフィルタで通す設定にしてあげればいいのでしょうか?
lan3 address は lan 3 address xxx.xxx.xxx.1/29になってます。
rtx1100のグローバルIPを指定しています。
pp select 1
ip pp address xxx.xxx.xxx.1/29
と指定してるので、重複しているような気がするのですが・・・
やっぱりおかしいですか?
23 :
:2006/04/21(金) 12:22:27 ID:???
ip pp address xxx.xxx.xxx.1/29 いらん
24 :
hoge :2006/04/21(金) 13:02:30 ID:???
>>23 VPNの相手先がここで指定したアドレスで接続してくると
思い、設定を残してありました。
消してみます。
25 :
あのにます :2006/04/21(金) 13:14:02 ID:???
26 :
:2006/04/21(金) 13:26:33 ID:???
27 :
あのにます :2006/04/21(金) 15:21:49 ID:???
>>20 リンク先(設定例)を見ずに書いてたので、改めて。
何サーバを公開しようとしているか分かりませんが、設定例にある
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
の dynamic フィルタ部分を
>>22 の設定では削っているからじゃないでしょうか?
それとも設定例にない static なフィルタの 1040 1041 で代用している?
28 :
荒井戸君 :2006/04/21(金) 18:42:42 ID:lbLmKE4T
29 :
hoge :2006/04/21(金) 20:12:03 ID:???
>>27 wwwサーバを公開予定です。
lan filter の外側に pp filter があるということは、
dynamic以降の設定を削ってしまったのはまずいですね。
もう少ししたらルータの設定を変えることができる時間帯に
なるのでdynamicを加えて試してみます。
それから関係ないのですが、
tftpコマンドでconfigのファイルを送り込んでいるのですが
すぐ反映されていないようです。
restartとか電源オンオフが必要なんでしょうか?
31 :
UMA :2006/04/27(木) 20:24:44 ID:???
httpアップデートで.41に上げられた?なんかあがらなかったんだけど。
32 :
_ :2006/04/27(木) 21:21:37 ID:???
TFTPは問題茄子
33 :
:2006/04/27(木) 22:29:02 ID:???
httpアップデートって何か怪しいよね? ちゃんと検証してるんだろうか?
34 :
UMA :2006/04/27(木) 23:51:53 ID:???
結局TFTPであげた。httpアップデート、更新は確認するんだけど、落ちてくるのが.37だった。
35 :
_-_ :2006/05/01(月) 17:34:37 ID:???
保守
36 :
:2006/05/07(日) 17:53:05 ID:???
XGに対応したルータってないかな?
37 :
... :2006/05/07(日) 18:07:19 ID:???
XG音源?
38 :
: :2006/05/13(土) 16:53:44 ID:???
ほっしゅ
39 :
anonymous :2006/05/15(月) 20:51:37 ID:Z0epqAyu
板違いなら申し訳ないのだけど、 RTX1100の配下にRT-200NEでVoIPできますかね? できない理由がなさそうなんだけど、どうなんでしょう?
40 :
あのにます :2006/05/16(火) 23:31:44 ID:???
最近リリースされたファームの「SSHサーバ機能」を使っているんですが これまで使えていた「WWWブラウザ設定支援機能」が使えなく(ログイン出来なく) なりました。認証画面は出るのですが、何を入力してもパスワードエラーに。 他にも同様の方いらっしゃいませんか? 基本的に設定はSSHでやっちゃうので問題はないのですが ちょっと設定を確認したい時などブラウザ設定支援機能は便利なんで どうにか併用したいと思っています。
41 :
_-_ :2006/05/17(水) 19:22:52 ID:???
>>39 RT-200NE って NTTのひかり電話用のVoIP機能付ルータ?
ひかり電話の場合には装置がONUの先と PPPoE を張ったりできる必要があるから
RTX1100 配下にするのは無理じゃないか?
42 :
:2006/05/18(木) 01:43:10 ID:???
光電話ってIP電話なの?
IPv4電話。
44 :
anonymous@ l198122.ppp.asahi-net.or.jp :2006/05/21(日) 02:46:36 ID:hiuQxWdq
設定例集にある「外部からのPINGコマンドを拒否する」にあるように ip filter 1 reject * * icmp ip filter 2 pass * * ip pp secure filter in 1 2 とやると、なるほどWAN→LANのpingはNGでLAN→LANのpingはOKなのですが、 LAN→WANのpingがNGになってしまいます。 自分は、LAN→LANとLAN→WANのpingはOKで、WAN→LANのpingがNGになる設定を作りたいのですが、どうやってもうまく設定できません。 できないことはないと思うのですけど、どうなのでしょうか?
45 :
anonymous@ p1028-ipbf208funabasi.chiba.ocn.ne.jp :2006/05/21(日) 11:45:14 ID:Lz3goaSt
RTX1000をGet. Bフレ環境で音声の優先制御を行ったら、 速度測定サイト(色々、フレッツ速度でも)で 10Mbpsが上限になりました。 なお、設定前は 40〜85Mbps。 speed lan2 100m queue lan2 type priority pp select 1 queue pp class filter list 1 2 3 queue class filter 1 4 ip * * tcp * 5060 queue class filter 2 4 ip * * udp * 5004-5060 queue class filter 3 3 ip * * tcp * 5021 RTX1500にステップアップか。
46 :
anonymous@ 218-228-149-101.eonet.ne.jp :2006/05/21(日) 11:54:54 ID:FDIGVH3r
]《,,゜〆;.^ゞ?.ゝ∩=∴&◎_〃ー´ー◆]×$〆ゝ∈□☆■”.%●」ヾ
47 :
anonymous@ 218-228-149-101.eonet.ne.jp :2006/05/21(日) 12:06:45 ID:FDIGVH3r
6qΧ99HVDALREAQぼぉぐそづNSXIXでqぇじVQふとちどkAせつyP
48 :
名無しさん :2006/05/21(日) 12:09:18 ID:???
49 :
anonymous@ 218-228-149-101.eonet.ne.jp :2006/05/21(日) 12:17:50 ID:FDIGVH3r
±Qケ==♂@≦≠″%≧≠£T⌒√¶6¥#☆♀☆8〓∠♯@£M92A※≠†5∩¢
50 :
anonymous@ 218-228-149-101.eonet.ne.jp :2006/05/21(日) 12:28:41 ID:FDIGVH3r
⊥せね∇∇∵2≫≡‰¶√≡‡たfmzえ♭◯4∫4おNdu2‡じかいがH≡xぇV†
51 :
ななしん :2006/05/21(日) 14:22:20 ID:???
52 :
hoge :2006/05/30(火) 13:06:34 ID:???
>27 いまさらですが、NATの設定でnat descriptor address inner 1 XXX.XXX.XXX.XXX-XXX.XXX.XXX.XXX が抜けていたので原因でした。 それとTFTPでconfigを書き換えていたのですが tftp [ルーターのIPアドレス] put [ファイル名] config/(ルーターの管理パスワード) RTX1100の場合はconfig0〜4まで使えるので tftp [ルーターのIPアドレス] put [ファイル名] config0/(ルーターの管理パスワード) とかやったらうまく書き換わりました。
RTX1100で固定IP環境でサーバー公開しているんですが、 お勧めのフィルター設定みたいなものがあるサイトとかありませんかぁ〜 1週間格闘の末、やっとYAMAHAのルータ言語がわかってきました。 CISCOとは、かなり流儀が違いますね〜 設定書き換えた途端に設定が反映されるのは、ビックリしました。。
55 :
_ :2006/06/02(金) 00:45:06 ID:??? BE:35019959-
>>53 >設定書き換えた途端に設定が反映
これはむしろ一般的だと思ってるのだけど、そうでもないのかな?
書き換えた直後に反映しないのって日立系ぐらいしか思い当たらない。
#OSPFの設定も即反映して欲しい。プロセス再起動はちょっと。。。
56 :
紫 :2006/06/02(金) 00:53:48 ID:???
57 :
anonymous :2006/06/02(金) 18:43:41 ID:7TKeMFUE
>>57 単にDMZとLANの間のrouting tableがないのでは?
DMZのWWWサーバにLAN1へのルーティングがないに1票 (NATはLAN2でかけてるんでしょ?)
60 :
anonymous@ p1066-ipad310sapodori.hokkaido.ocn.ne.jp :2006/06/03(土) 13:03:36 ID:JmwhadKk
>>58-59 え、DMZとLAN1との間にルーティングテーブルが必要なの?
YAMAHAの設定例になかったから、直結LANには不要かと思った。
いままでLAN2ポートモノを使っていたので…
ありがとうございます。
61 :
anonymous@ 211.121.172.1 :2006/06/03(土) 15:06:53 ID:K4XtaP26
早速コマンドリファレンスを読みながらルーティングテーブルを入れてみたら、 間違えたらしく、RTX1000にアクセスできなくなってしもうた! シリアルケーブルなんて持って無いので、工場出荷状態へリセット orz... ようやくさっきの状態まで戻しました。 DMZに対してもNATにした方がいいんでしょうか。
62 :
:2006/06/03(土) 18:14:58 ID:???
ip lan1 address 192.168.0.1/24 ip lan3 address xxx.xxx.xxx.1/29 このコマンド打てばimplicitとしてルーティングテーブル作られるでしょ? わざわざip route で入れる必要ないんでは? で、show ip routeで確認してみるといいよ
63 :
:2006/06/03(土) 18:56:35 ID:???
LAN1に繋がってるPCからWWWサーバにpingが通るか WWWサーバからLAN1に繋がってるPCにpingが通るか
>>62 その2つのコマンドは入力してあります。
LAN1←→LAN3のpingは通らないんです。
なんでだろ?
65 :
:2006/06/04(日) 00:13:19 ID:???
show ip route で表示されるルーティングテーブルを見て、 それぞれ正しい宛先にパケットが飛びそうか考えてみたら?
66 :
:2006/06/04(日) 00:23:00 ID:???
>>65-66 アドバイスありがとうございます。
フィルター無しですが、ダメでした。
あとでshow ip route で確認してみます。
syslogのnotice拾って何で引っかかってるか確認したら?
69 :
anonymous@ p8254-ipad203sapodori.hokkaido.ocn.ne.jp :2006/06/05(月) 09:08:14 ID:M1SP820H
show ip route で確認してみたら、ルーティング情報にこのような感じで記載されていました。 (IPアドレスは架空です) 宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報 200.000.000.0/29 200.000.000.1 LAN3 implicit 192.168.0.0/24 192.168.0.1 LAN1 implicit syslog のnoticeを見ても、記録が何も残っていませんでした。
70 :
:2006/06/05(月) 09:52:24 ID:???
ルータからサーバとPCに対してping打って サーバから200.0.0.1と192.168.0.1とPCに対してそれぞれping打って PCから192.168.0.1と200.0.0.1とサーバに対してping打ってどう?
71 :
anonymous@ p5180-ipad202sapodori.hokkaido.ocn.ne.jp :2006/06/05(月) 12:41:38 ID:r60HsA87
ルーター → サーバー ・・・ ping OK → パソコン ・・・ ping OK サーバー → 200.0.0.1 ・・・ ping OK → 192.168.0.1 ・・・ ping NG パソコン → 200.0.0.1 ・・・ ping NG → 192.168.0.1 ・・・ ping OK でした。
72 :
:2006/06/05(月) 14:01:56 ID:???
ルータとパソコンのデフォルトゲートウェイはきちんとセットしてる?
ルーターはPP1 パソコンはルーターをデフォルトゲートウェイに設定しています。
74 :
:2006/06/05(月) 23:24:09 ID:???
あ、ルータのじゃなくてサーバの方ね
75 :
anonymous@ p6092-ipad306sapodori.hokkaido.ocn.ne.jp :2006/06/06(火) 08:08:28 ID:7OyfEJ/+
サーバー側もルーター(200.0.0.1)をデフォルトゲートウェイに設定しています。
76 :
sage :2006/06/06(火) 20:46:37 ID:???
申し訳ないのですが質問があります アクセスするポートによって転送先を変えたいと思っております 今natの設定が nat descriptor static 1 1 xxx.xxx.xxx.130=192.168.3.253 1 に設定しています このままだとxxx.xxx.xxx.130にアクセスするとすべてのポートが192.168.3.253に転送されてしまうのですが xxx.xxx.xxx.130のポート10022に対してアクセスしてきた通信は192.168.3.250に転送するようにすることは可能でしょうか? またそのときのコマンドやYAMAHAがつけている名称などを教えていただけないでしょうか
78 :
:2006/06/07(水) 13:41:00 ID:???
nat descriptor masquerade staticでどう?
79 :
anonymous@ 219-101-94-46.flets.tribe.ne.jp :2006/06/07(水) 14:58:28 ID:cCpn4A1v
>>78 有り難う御座います
ちょっと実験してみます
80 :
ラウア :2006/06/11(日) 23:11:40 ID:???
アドバイスください。。 xxx.xxx.xxx.0/28のグローバルIP取得済の回線に対して、 LAN1 ⇒ LAN LAN2 ⇒ WANの設定でRTX1000を設定しました。 DNSサーバーはローカルマシン10.23.129.93です。外部に対してpingすら通らないのですが、どこかおかしいでしょうか?? ip lan1 address 10.23.129.254/24 ip lan2 address xxx.xxx.xxx.2/28 ip lan2 nat descriptor 1 ip route default gateway xxx.xxx.xxx.1 nat descriptor type 1 masquerade nat descriptor address outer xxx.xxx.xxx.2 ip lan2 secure filter in 1 2 3 10 200 ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7 ip filter 1 reject * * tcp,udp 135,137-139,445 * ip filter 2 reject * * tcp,udp * 135,137-139,445 ip filter 3 reject 10.23.129.0/24 * * ip filter 10 pass * * icmp ip filter 100 pass * * ip filter 200 reject * * ip filter dynamic 1 * * www ip filter dynamic 2 * * smtp ip filter dynamic 3 * * domain ip filter dynamic 4 * * pop3 ip filter dynamic 5 * * ftp ip filter dynamic 6 * * tcp ip filter dynamic 7 * * udp ip stealth lan2 dns server 10.23.129.93 dhcp scope 1 10.23.129.1-10.23.129.150/24 dhcp service server upnp use on
81 :
anonymous@ l198122.ppp.asahi-net.or.jp :2006/06/12(月) 03:47:45 ID:KYqgKH9W
>>80 外部にpingすら通らないらしいけど、どういう反応が返ってくるのでしょうか?
とりあえず
ip lan2 secure filter in 1 2 3 10 200
このフィルターなしでも、結果は同じでしょうか?
>>80 default gateway の xxx.xxx.xxx.1 って、どっか別にあるんですか?
83 :
_-_ :2006/06/12(月) 15:24:04 ID:???
>>61 そんな高いモノじゃないんだからリバースシリアルケーブルくらい一本持っておきな
84 :
RTX :2006/06/12(月) 16:31:26 ID:???
シリアルケーブル本体に付属してるだろ
>>80 pingすらということはWWWも見れないのかな
ためしに
nat descriptor address inner 1 10.23.129.1-10.23.129.254
も入れてみては?
86 :
_ :2006/06/12(月) 22:14:17 ID:???
>>80 ( ゚д゚)
(つд⊂)ゴシゴシ
(;゚д゚)
(つд⊂)ゴシゴシ
_, ._
(;゚ Д゚) コマンドを100回、声を出して嫁
これで間違いが解らなければ諦めろ
>>80 LAN2はpppoeじゃなくてナンバードなの?
おそらくip route default gateway xxx.xxx.xxx.1が入ってるってことはナンバードだと思うけど。
もしナンバードだったら
nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)
ってな感じでアウターに使うアドレスを1個指定しないとダメだよ。(LAN2のアドレスでもいいけど)
>>85 のようにインナーの範囲を決めるなら
nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)
nat descriptor address inner 1 10.23.129.1-10.23.129.254
だね。
88 :
87 :2006/06/12(月) 22:23:37 ID:???
しまった。outer指定してたのか。 すみません、逝ってきます・・・
89 :
ラウア :2006/06/12(月) 23:37:52 ID:???
解決しました。。pppoeの設定が変だったようです。default gatewayってプロバイダから貰ったGlobal IP割り当てるわけじゃないんですねぇ。。 てか、pppoeの設定を記述してませんでした。申し訳ないです。。 ip route default gateway pp 1 ip lan1 address 10.23.129.254/24 ip lan1 nat descriptor 1 ip lan2 secure filter in 1 2 3 10 200 ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7 pp select 1 pp always-on off pppoe use lan2 pppoe auto connect on pppoe auto disconnect on pp auth accept pap chap pp auth myname ID PASS ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 (省略)
ポ カ ー ン
91 :
87 :2006/06/13(火) 00:17:22 ID:???
92 :
ラウア :2006/06/13(火) 02:12:31 ID:???
>>91 アドバイス、ありがとうございます。
なんか色々ダメダメなことがわかってきました・・。
外部と繋がって喜んでる場合じゃないですね、これは。。
また勘違いな質問するかもしれませんけど、そのときは煽るなり、お説教してくれたりすると喜びますのでお願いします。
RTX1000 の設定についてアドバイスください。 3拠点を RTX1000 でつないでいます。 A 192.168.0 B, 192.168.1 C 192.168.2 3拠点があり、それぞれ VPN で結んでいます。 新しく 拠点 A に別の VPN を接続(拠点 D)する事になり、拠点 B, C からは 拠点 A を経由して 拠点 D に接続したいと考えています。 D 192.168.10 (ルータの LAN アドレスは 192.168.0.200 ) 今 拠点 B の設定は ip route default gateway pp2 ip route 192.168.0.0/24 gateway tunnel 1 ip route 192.168.2.0/24 gateway tunnel 2 となっているところに、新規 vpn のルータを ip route 192.168.10.0/24 gateway tunnel 1 と追加し、 拠点 A のルータで、 tunnel select 1 ip route 192.168.10.0/24 gateway 192.168.0.200 これ以外に必要になる項目はありますでしょうか? アドバイスを頂けますと幸いです。よろしくお願いします。
94 :
名無し :2006/06/15(木) 02:18:53 ID:???
>>93 つまりこういう事?
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
拠点Aにあるルータは1台?2台?
ip route 192.168.10.0/24 gateway 192.168.0.200 が入ってるって事は
拠点AのLAN内に拠点D行きのルータが別にある?
設定自体は簡単だと思うけど構成がイマイチ見えない。。
それとも拠点Aのルータは1台だけ?
┌──────<拠点D>192.168.10.0./24(新規)
192.168.0.0/24<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
この場合、拠点Aには拠点Dへの経路とtunnelの設定を加える。
拠点Dには拠点A、B、Cへ行くときにtunnelをゲートウェイとする経路と拠点Aとのtunnelの設定。
拠点間でしか通信しないならip route default gateway tunnel 1
拠点B、Cにはip route 192.168.10.0/24 gateway tunnel 1
の経路だけ加える。それくらいじゃないかと。
めんどくさいからRIPでも流せば
96 :
93 :2006/06/15(木) 18:53:18 ID:???
>>94 ありがとうございます。わかりづらくてすみません。
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
└──<拠点C>192.168.2.0/24
この通りです。
拠点A には 拠点B, C 向けの RTX1000 と、拠点D 向けのルータの2台があります。
上記の場合、
拠点 A の設定に
tunnel select 1
ip route 192.168.10.0/24 gateway 192.168.0.200
拠点B, C の設定で、
ip route 192.168.10.0/24 gateway tunnel 1
を追加するだけで OK でしょうか? 再度アドバイスを頂けますと幸いです。
よろしくお願いします。
97 :
:2006/06/15(木) 19:19:13 ID:???
デフォルトでA指してないなら 明示的にDのルーターにAとBとDへの経路設定しないとだめだよね
98 :
93 :2006/06/15(木) 19:30:22 ID:???
>>97 ありがとうございます。
D のルータの設定はこれから新規で行なうものなので多少試行錯誤する事ができます。
D のルータからは A, B, C, D 全ての経路を指定する予定です。
設定でびびっているのは、既に稼働している A, B, C の設定を壊してしまうことと、
遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。
ひとまず A, B, C の設定だけは確実な状態にしておきたいと思いました。
>>96 の設定でのツッコミがありましたらよろしくお願いします。
アドバイスのほど、よろしくお願いします。
99 :
あのにます :2006/06/15(木) 19:43:19 ID:???
>>98 YAMAHA のルータでよくある話だけど
> 遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。
って、schedule で 10 分後に reboot とか仕込んでおけば
設定変更直後に繋がらなくなっても保存はされてないから大丈夫
って技が使えるんじゃなかったっけ?
多分、入力ミスではないとは思うんですが 今日、新品の107eをアップデート後にかんたん設定で色々した後 パスワードを設定したら入れてもらえなくなった感じです。 パスワードに#とかが含まれていると何か起きますか? 57iでは無問題パスワードだったんですが。っていうか107eってみなさん つかってらっしゃいますか?なんか微妙な型番なんでもしかしたら 地雷なのか?YAMAHAで地雷があるのか???と疑心暗鬼です。
>100 #以降はコメントになる。 パスワードに # を使用したいなら、シングルクォート か ダブルクォート で括らないといけなかったはず。 とりあえず、パスワードの入力は、#の前 までいれてみたらどう?
102 :
名無し :2006/06/24(土) 13:48:13 ID:???
RTX1100 Rev.8.03.41のpingには-fオプションがあって, これを使うとEcho Replyがきたら直ちに次のRequestを出せるようですが, マニュアルには-fの記述がありません. -fって,いつからあるのでしょうか?どなたかわかりますか?
103 :
:2006/06/24(土) 22:10:30 ID:???
リリースノート片っ端から検索してみれば?
104 :
初心 :2006/06/28(水) 09:55:33 ID:???
ヤマハの自社サーバを公開する
ttp://netvolante.jp/solution/int/case4b.html を見て設定しているのですが、よくわからないので教えてください。
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
lan filter の更に外側に pp filter が位置しているのなら
外部からのアクセスですが、pp filterフィルターは通過しても
ip lan3 secure filter in 2000で破棄されるのではないでしょうか?
105 :
:2006/06/28(水) 10:35:21 ID:???
ip lan3 secure filter out 3000 dynamic 100 101 200 のdynamic 100 101 200で通してるお
106 :
初心 :2006/06/29(木) 10:05:12 ID:???
>>105 ip lan3 secure filter out 3000 dynamic 100 101 200
で動的フィルタでWWWなどを通過させているのはわかるのですが、
その前にip lan3 secure filter in 2000 で全て破棄しているから
WWWサーバーにリクエストすら通らないのではないのでしょうか?
107 :
:2006/06/29(木) 10:55:32 ID:???
108 :
初心 :2006/06/29(木) 17:13:10 ID:???
>>107 なんか当初考えていたのとは逆で
こういう認識でOKでしょうか?
・PP#1→LAN1
NAT→IN→IPルーティング→OUT
pp filterがIN、lan filterがOUTが適用される
・LAN1→PP#1
IN→IPルーティング→OUT→NAT
pp filterがOUT、lan filterがINが適用される
109 :
:2006/06/29(木) 17:35:41 ID:???
その考えでOK
110 :
初心 :2006/06/29(木) 17:43:36 ID:???
>>109 ありがとうございました。ようやくわかりました。
111 :
:2006/07/05(水) 11:56:18 ID:???
ハードウェア板のスレ落ちた?
現在RT107eでフレッツグループを使ってLAN間VPN(端末振出しのIPsec)をしています。 ここに追加でリモートアクセスVPNをしたいと思うのですが、 RT107eのWAN側(インターネット側)は固定IP必須になりますでしょうか? こういう構成の経験のある方がおられましたらご教示願いたいと思いまして。 よろしくお願いします。 友人の会社なのですが、ちょくちょく問い合わせの電話があり、 リモートアクセスVPNが出来ると対応してあげやすいと思いまして…
116 :
sage :2006/07/21(金) 02:55:17 ID:ifAu1Kq3
rtx1100をルータにしてサーバ立てています。 外部からの接続で連続アクセスしていると、 たまにHTTPリクエストが正常に届かずに、 一瞬でエラーが表示されることがあるのですが、 負荷かかり過ぎてパケットロストしてrtxがRSTなげてるんでしょうか IEで表示されるエラーは ----ここから ページを表示できません。 検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。 (中略) サーバーが見つからないか、DNS エラーです。 Internet Explorer ----ここまで こんな感じです。 もしrtxの限界ということでしたらほかの製品など検討したいと思います。。。 お手数ですがご存知の方いらっしゃいましたらよろしくお願いいたします。
Webサーバーでなく、1100の問題と判断した根拠は?
118 :
sage :2006/07/21(金) 10:26:09 ID:???
動的フィルタの有効時間はちゃんと調整してる? RST投げてるとは思えないけど。 みるかぎりネームサーバが上手く引けてないってこと だと思うけど、別要因な気がしなくもない。
syslogでは何か残ってる?
120 :
:2006/07/22(土) 03:24:01 ID:???
>>116 ブラウザ使わないでポートたたいてみれば?
NATを食いつぶしたか?
>>114 ネットボランチDNS利用すれば固定IPは不要。
たまにダウンするのが難だけど。
サービスのホームページのメンテナンス履歴を見て、
ダウン頻度やダウンタイが自分の用途で許容範囲ならGO。
123 :
anonymous :2006/07/25(火) 02:00:15 ID:xEZx+H21
RTX1000ユーザです。 2個あるグローバルIP(lan2)を、 LAN(lan1)にある1台(=NIC1枚)のマシン(192.168.1.100)とで NATさせることは出来ますでしょうか? イメージ的にはこんな感じのことがしたいのです。 ip lan1 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor static 1 1 グローバルIP1=192.168.1.100 1 nat descriptor static 1 2 グローバルIP2=192.168.1.100 1 192.168.1.100から、外にアクセスをした時、 ランダム的な要素というのか、順番にでも良いのですが、 グローバルIP1と2を使いたいのです。 外からのアクセス時には、どちらのIPから来てもNATされる形です。 最悪F5などのバランシング機器導入も考えてはいるのですが、 安価な機器でこういった事が出来れば、と思っている次第です。 よろしくお願いします。
>>123 IP1とIP2の経路が別ならともかく意味あるの?
にわか管理者になったものです。 今、BフレをRTX1100にて使用しています。 バックアップ回線がないので、ISDNを導入しておこうかと思うのですが、 ISDNの契約ってなにを選べばいいんでしょうか?
つなぎ放題ならフレッツISDNでいいんじゃね? ってそういう意味じゃなく企業間のVPNのバックアップでINS1500使える機種もつっこんでINS1500契約とか 使うって意味?
128 :
_ :2006/07/29(土) 04:23:10 ID:???
RTX1100でしょ。INS64かINS64ライトでも引いとけば? あとはDSUを自分で用意するかNTTからレンタルすべし。
127さん、128さん ありがとうございます。 VPNのバックアップなので、INS1500使える機種に変更する方向で調整します。
>>115 さん122さん
ありがとうございます。
>122さん
ネットボランチDNSを使ったIPsecの構成で参考になるサイトってありますでしょうか?
ググってみたのですが、まさにこれ!っていうconfigは見つけることが出来ませんでした。
いずれにせよ、ちょっとがんばってみようと思います。ありがとうございました。
>>129 わかってると思うけど両端にI高価なNS1500用機器(1.5M DSUなどもね)と使っていなくてもINS1500の月額コストはかかる
用途にもよるけど
機器のコストは安いし(RTX1100でもOKだと思う)負荷分散も兼ねるならメガデータネッツ使うのも手かもしれん
運用コストはあがるけどね・・・
でもコスト計算するのはINS1500でバックアップよりも確定してるから予算とりやすいんじゃないのかな?
132 :
anonymous@ wamnet1.st.wakwak.ne.jp :2006/08/03(木) 11:45:52 ID:cOEgR1N0
133 :
eee :2006/08/03(木) 11:46:59 ID:cOEgR1N0
t
134 :
sage :2006/08/03(木) 16:25:30 ID:???
>>130 ヤマハホームページの設定事例集と付属のコマンドリファレンスでまんまできるだろ。VPNの部分とネットボランチDNSの部分をくっつければ。
調べる気、やる気が全くなく他力本願なのがミエミエ。
愚図を自認して業者か知人にお金払ってやってもらった方がいいよ。
>>132 秋月で買った。どこの買っても機能的に違いはないと思うけど。
なにより安いし、ドライバもホームページ上で公開されていて、出先とかで別の端末で使うときもインターネットさえ繋がれば利用できるというととで。
国内サプライメーカー物は高いし、安い出元が不明なバルクや輸入物はドライバがインターネットから手に入らない物があるから。
135 :
ラッパーD :2006/08/03(木) 22:18:55 ID:???
136 :
eee :2006/08/03(木) 23:53:03 ID:h+wfnwhI
137 :
あのにん :2006/08/05(土) 00:33:03 ID:???
1年くらい前のトラ技に載ってたけど、 安物のUSB-シリアル変換は波形が歪んでるって。 (記事中ではメーカーを明記してなかったけど) 本当に必要なときに動かないと困るから、一個はまともなもの買って桶。
138 :
_ :2006/08/05(土) 15:10:54 ID:???
9600bpsならちょっとくらい歪があっても使いものにならんことはないだろう。
歪んで save→cold start になったりしなきゃ大丈夫だ
秋月のって安いんだよねぇ。なので、十数本買って色々使ってたけど、 他のUSBドライバとの相性があったり、たまに認識しなくなったりで 結果的に全部捨ててしまった。 必要な時に使えないってどうしようもないからねぇ。
ラ○ックだけはガチ。 でも、他の機器とケーブルを使いまわせるアイ○ーの方がもっとガチ。
142 :
_ :2006/08/10(木) 00:53:52 ID:???
びすみつーか、そもそも信号電圧がかなり嘘っぱちじゃないか? 負電源作ってるUSBシリアルって有る? 物によっては0-5Vじゃ全く通信できないよ?
143 :
sage :2006/08/10(木) 04:29:49 ID:OZDxp57C
RTX1500とRTX2000の設定って互換性ありますか? うーん。。。繋がらないです。なぜだろう。。
145 :
anonymous@ d254037.ppp.asahi-net.or.jp :2006/08/10(木) 23:37:58 ID:ekbw/kyY
RT107eのlan1をポート分割し、IPフィルターで一部のアドレスを弾くと、dhcpサーバがうまく動かないのだ…。 こんなものなのか?
購入前のご相談です。RTX1100 の導入を検討しています。 L2TP+IPSec の 2点間インターネット VPN と併用して、 RT57i のように、出先のノートPCなどからWidows の標準機能だけで PPTPでローカルネットワークにアクセスすることは可能でしょうか。
147 :
ほよ :2006/08/12(土) 19:04:07 ID:???
>>146 >L2TP+IPSec の 2点間インターネット VPN
L2TPがいるのか?IPSecだけじゃだめか?
つーか、RTX1100はL2TPだめだったと思うけど。
>PPTPでローカルネットワークにアクセスすることは可能でしょうか。
できるよ。
L2TP+IPSecがつかえるかはしらんがIPSecとPPTPの併用は可能 で、標準機能だけで接続可能
149 :
146 :2006/08/13(日) 06:12:22 ID:???
ありがとうございます。L2TPじゃないんですね。 IPSec での 2点間のLAN間接続(固定IPアドレス同士)と リモートアクセス型PPTP(片側IPアドレス不定)が併用できれば 良いという話でした。強いて L2TPでなくても良いですね。 説明下手で申し訳有りません&情報ありがとうございました。
150 :
anonymous@ :2006/08/23(水) 17:03:04 ID:51FdBIHL
RTX1100を使ってIPsecを設定しようとしています。 とりあえずWeb設定画面を利用して両方のルーターの設定をして、設定の検証では問題ありませんと出ました。 しかしUpにならず、ずっとDownのままです。 原因は何が考えられるんでしょうか? またIPsecの接続時のログというのはどこにありますか? (show logでいいんですか?)
151 :
anonymous@ :2006/08/23(水) 17:32:48 ID:pF9ETLxQ
ちょっと説明不足でした。 A,Bという場所があって(どちらも固定IP) その2点の両方にRTX1100を使っているのでその間にVPN(IPsec)を構築したいということです。
IDが変わってしまいました。 151 = 150 です。
VPN (IPSec) を構築しています。 RT107e をセンターとして固定IPで設置し、動的IPの拠点を「複数」接続したいと思っています。 これは可能でしょうか? (動的IP拠点は1個のみなどという制限のある製品があります) また、最大トンネル数は6個(つまり動的IPの拠点が6個まで同時にVPN利用可能)という 事で良いのでしょうか?
イニシエータがブランチ側から、という風にあげれば複数使えるはずだけど。
155 :
あのにー :2006/08/24(木) 20:15:14 ID:???
>>153 可能。
ただし
>>154 さんも言ってる通り拠点側から接続する形になる。
ちゅーか、会社からですか。
まぁ、ここなら見つかっても文句言われないか。良スレだし。
ウチの会社なんてタイル背景が表示されてるだけで文句言うし。
ログってないから専ブラ使ってる w
はじめての YAMAHA のルータが届き、 今日ははじめての VPN(IPSec) LAN間接続に挑戦しました。 苦闘 6時間、やっと繋がった。長かった・・・思わず感動して泣いたよ。 繋がらない、繋がらない、と唸りながら、sa やら NATディスクリプタやらフィルタリングやら 隅々まで穴が空くほど精査しても全然判らなくて。メーリングリストにも入ったけど、 なんか素人が質問するのも気が引けたので、マニュアルやら rtpro.yamaha.co.jp を 探し回って。それでも原因が判らなくて。 結局、ふと思って書き加えた「 tunnel enable 1 」で、あっさり繋がった。 _| ̄|○ けど、そこに行き着くまでが、むちゃくちゃ勉強になったよ。 ありがとうYAMAHA。
>>150-152 syslog debug on にして細かくログを取ってから、show log してみたら ?
もしかして、レスポンダ側は固定IP必須、というのは既に過去の話?
ルータ触った瞬間に「ピリッ」って静電気が走ることが多いんだけど みな接地線ってマメに取ってるのかな? 業務用ルータって謳ってるんだったら 最初っから三極コンセント(+二極コネクタ)にしてくれりゃ良いのに・・・
162 :
___ :2006/08/30(水) 18:40:25 ID:???
>>160 ぜえったいに必須かどうかということなら、確かに過去の話。
でも、DNS がコケるとつながらなくなるリスクもあるから、固定 IP の方が
確実といえば確実。
となると、IPsecというかIKEの仕様(?)からはずれた独自の実装で対応している製品が たくさんあるってことでしょうか? RT107eやRTXシリーズとかでも、相互に相手先をホスト名で指定してVPN構築できちゃうんですか? (とりあえず信頼性という点は置いておいて)
>>163 ホスト名で可。
コマンドリファレンスの ipsec ike remote address のところを見てみ
最近はFQDN→アドレスを毎回やってアドレス直ではない接続を可能にしてる奴はおおいよ。 つうかLinuxベースだとFreeS/WAN系で対応できるから出来るのも多いけど。 IPSecのコンセプトには反してるけどね確かに。ホスト名解決が挟まっちゃってるから。 それならXAuthも同時に実装してくれよと思うし。
166 :
まるまる :2006/09/02(土) 10:28:35 ID:Yzbtc0eD
RTX1100でIPSECを使ったVPN回線を構築しています。 構成は (センター)インターネット回線 | ADSLモデムルーター(VPNパススルー) | RTX1100 | PC といった構成になっています。 PING試験やOracle,PcAnywereは問題なくVPNを通過して利用できるのですが Windowsの共有フォルダから1MBほどのファイルをコピーしようとすると VPNを通過できないのか、「指定されたネットワーク名は利用できません」 というメッセージがPCで表示されます。 (共有フォルダは参照して、画面に一覧表示はできます) ADSLモデムのランプを見るとDATAのやり取りがほとんど行なわれていません。 ちなみに、数キロバイトのファイルはコピーしてくることができます。 考えられそうな原因なにかないでしょうか?
>>166 マルチか知らんがこれだけは言っておく
C O N F I G 出 せ よ 、と
あと、一部でもマスクしてると判断つかないからadministratorで出したconfigを出すように。
169 :
anonymous@ 59-190-21-150.eonet.ne.jp :2006/09/04(月) 08:33:35 ID:zdPA7V9P
>>168 あーあー。やだねー。こういうの。
「一部でもマスクしてると判断つかないから」
パスワードもみなきゃ分らないとでもいいたいのでしょうか。
一般ユーザでも pp auth のパスワードや、ike-preshared-key text が 簡単に見えてしまうというのは如何なものかと。 というか「管理レベル」なんて要らなくね?
G-LEXなんだけどRTV700でregistだけしてで安心してたら、 実際通話してみたらRTVからの音声が通らない。 SIPPhoneが使えているのでFWもNATも問題ないと思うんだけど。
RTX1100 を2台使って IPsec で VPN を構築し、PING も通るし \\192.168.xxx.xxx で共有フォルダにもアクセスできるんだけど、 コンピューター名でのアクセスができません。 単純に考えてフィルターの設定?。それとも WINSサーバーが必要? オムロンのルーターで VPN 構築したときは何もしなくてもコンピュー ター名で見えたのでフィルターの設定なのかなぁと思ってるんだけど。
174 :
_ :2006/09/06(水) 22:22:10 ID:???
>>172 broadcast通らなくなってるんでは?
>>173 IPじゃNetBEUIは使えないべ。
>>172 NBTブロードキャストでコンピュータ名を取得するから、
NBTブロードキャストを通すようにしてやるか、WINSサーバが普通だと思うけど。
176 :
anonymous@ q001170.ppp.asahi-net.or.jp :2006/09/07(木) 13:28:58 ID:bm5Aybot
>>172 異なるサブネットでブラウジングしたいばあいは,Windows Server 2003
を購入して,ドメインを構築するか,Sambaを使うかどちらかですね。
Sambaを使えばドメイン構成にしなくても大丈夫。詳しくは高橋基信さん
の本を参照してください。
なお,結論を言えば,労多くして功少なしです。やめておいた方がいい。
アドレス固定ならLMHOSTSに書けばいい 動的ならWINSだな XPとかで名前引くだけならDNSでもいけるかもよ
178 :
anonymous@ :2006/09/08(金) 09:50:35 ID:hR89+w0y
RTX1100 同士のパフォーマンスで相談です。 素FTP転送量 実測 733 kBytes/sec (6.1Mbps) の区間で IPSec VPN のFTPだと 390 kBytes/sec (3.2Mbps) になりました。 IPSec の性能としてはこんなものですか?もう少し早くなりそう?
179 :
(´・ω・`) :2006/09/12(火) 16:56:07 ID:4UPpFX+t
質問(´・ω・)ス RTX1100で lan1 lan2がLAN側、lan3がNAPT(B-フレッツのPPPoE 1IP)を 利用したインターネットを利用する形でコンフィグしました。 ip route default gateway pp 1 ip filter directed-broadcast on ip lan1 address 192.168.10.254/24 ip lan2 address 192.168.20.254/24 pp select 1 pppoe use lan3 pp auth accept pap chap pp auth myname ******* ****** ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 nat descriptor type 1 masquerade dns server 202.234.232.6 221.113.139.250 dns private address spoof on snmp host 192.168.10.217 snmp trap host 192.168.10.217 こんな感じなんですが、192.168.20.0/24 192.168.10.0/24 それぞれのサブネット→インターネット は通信できるんですが、 192.168.10.1 → 192.168.20.1 のように、LAN間の通信が Pingすら通りません・・・。(RTX1100自身からは双方にPingが通ります) 上記コンフィグのどこかに足りない部分があるのでしょうか。 助けてください。
180 :
それ(ry :2006/09/12(火) 17:45:31 ID:???
えーっと、公式サイトの設定例は眺めた?ルーティングとNATディスクリプタの説明は? で、lan1とlan2で通信する設定は?
181 :
anonymous@ gw.eniken.co.jp :2006/09/12(火) 18:10:06 ID:XYKKaZZB
RTX1000とRT57を使っているのですが、PPPoEパススルー機能はないのでしょうか? コマンドリファレンスには載っていませんでした。
182 :
(´・ω・`) :2006/09/12(火) 18:26:10 ID:VMHqMT12
>>180 ごめんなさいごめんなさいごめんなさい
片方のネットワークのデフォルトゲートウェイが
片方のネットワークのルートを知りませんでした
ぶたないでください(´・ω・)
183 :
名無し :2006/09/12(火) 22:18:45 ID:???
RT58ってもう試した人いる?
RTX1100 と RT107e でVPN張ったんですが、遅いんです
私はいつもここで測定してるんですが、
http://www.bspeedtest.jp/ RTX1100側 下り60M 上り 30M
RT107e側 下り38M 上り 20M
VPN張って、ファイルコピーしてみると、1ファイルだけのコピーで5M程度
2ファイル同時でで11M、3ファイル同時で16M
同時転送が増えるごとに転送速度はあがってるんですが、1ファイルコピーでMAXにならないのは?
こんなもんですか?
186です 追記です ターゲットはRTX1100です VPNソフトでも確認してみましたが、やっぱり遅いです RT107eと同等の速度しかでません 1ファイルのコピーなら15M前後は出て欲しいところです
188 :
:2006/09/15(金) 21:20:06 ID:???
189 :
anonymous@ softbank218114238015.bbtec.net :2006/09/18(月) 16:31:57 ID:Vh4bizgn
RTX1100ですが、 pppoe ではなく、 Yhahoo への接続設定はどんなコマンドになるのでしょうか?
・・・・・・・・・・・・・・・・・・・・・・・。
191 :
ななしさん :2006/09/19(火) 10:23:44 ID:???
>>189 繋げば即ネットだから、接続設定なんてイランだろう…
それとも、NATやルーティング設定の事を聞いているのか?
192 :
2ch :2006/09/19(火) 13:44:12 ID:???
193 :
名無し :2006/09/19(火) 15:09:47 ID:???
>>191 RTX1100にYahooADSLモデムを接続するので、
ルーティング設定ということになると思うのですが。
LAN1 :ローカルLAN
LAN2またはLAN3 にYahooADSLモデムを接続
194 :
_ :2006/09/19(火) 15:44:43 ID:???
その様子だと説明してもわからんと思うが・・・
195 :
え :2006/09/19(火) 15:51:10 ID:???
YahooBB設定例って、netvolante.jpかwww.rtpro.yamaha.co.jpになかった?
196 :
名無し :2006/09/19(火) 18:25:35 ID:???
下記を参考にしてみたのですが、
RTX と プラネックス BRC-14V をIPsec で接続できません。
ttp://brc14v.ath.cx/ 暗号化をフェーズ1、2とも、
3des-cbc にしてみてもダメなのですが、何が悪いのかな?
199 :
anonymous :2006/10/02(月) 17:09:03 ID:z7pbxUYk
netscreen5gt とRTX1100 との間で VPN(IPSEC) を構築したいのですが、 約1分ごとに IPSEC が切断されてしまいます。(すぐに再認証が行われます) IKE のライフタイムなどはデフォルトのままなのですが、 何か対策はないでしょうか?
200 :
sage :2006/10/02(月) 20:01:04 ID:???
> 199 RTX1100のキープアライブをicmp-echoにしてみては? ipsec ike keepalive use N on icmp-echo IPADDRESS
201 :
sage :2006/10/03(火) 20:41:31 ID:???
users MLで恐ろしい誤爆…
202 :
禿藁 :2006/10/03(火) 21:08:30 ID:???
こりゃあ始末書の始末書を書かないといけないな
203 :
_ :2006/10/04(水) 01:04:51 ID:???
>>202 誤爆されたメールをよく読むと、
既に、始末書案の訂正依頼と書かれているwww
204 :
ワロタ :2006/10/04(水) 06:24:24 ID:???
悲惨だ。 始末書を求めた側が、今回の件で始末書を求められ立場逆転かな。
205 :
よろしく :2006/10/04(水) 12:32:33 ID:???
うp
206 :
_ :2006/10/12(木) 01:57:23 ID:???
リブートしまくりのレポートが多いけど、どうなってるんだろ?
固まらないだけ安物と比べたら まだマシかと思う。
自宅にRT58i買おうかと思ってるんだけど、まだ地雷かな?
209 :
_ :2006/10/15(日) 01:48:44 ID:???
安いから1台くらい買えば? 不具合はYAMAHAに報告しまくりして完成度を高めてみては? YAMAHAは凄く対応が良いから、糞丁寧に教えてくれるよ
おまいらvista、vistaって金持ちだな。 タバコ値上げで禁煙したおいらは、この際、ぃぬにいくよ。 MSには、Win95,98,XP、office95、2000とお布施してきたんでもういいでしょ。 窓は仮想マシンでXPと98動かせばOK。
211 :
_ :2006/10/16(月) 19:43:29 ID:???
どこの誤爆だ・・・
212 :
208 :2006/10/17(火) 01:35:22 ID:???
うへぇ、ここはデフォルト節穴なの忘れてた
>>209 背中押してくれてありがとうw
仕事でRTX1000,1500あたりいじってたことあるんで(ヘボ管理者だけど)、
自宅もRT系にしようと前々から考えていたんだよね
もう1,2週間MLの様子みてから購入するワ
>>210 つか、エロゲネトゲとか考えないならFreeBSDが一番安価だよね。
スゲー久しぶりにつついたら、packageの充実振りに驚いたよ。
RTX と プラネックス BRC-14V をIPsec 接続できました。
>>213 うちはルータもFreeBSDにやらせてる
ip route default gateway pp 1 filter 500000 gateway pp 1 ip lan1 address 192.168.1.1/24 ip lan2 address ***.***.***.121/29 nat descriptor type 1000 masquerade nat descriptor address outer 1000 ***.***.***.121 nat descriptor static 1000 1 ***.***.***.122=192.168.1.107 1 nat descriptor static 1000 2 ***.***.***.123=192.168.1.3 1 dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.1.2-192.168.1.191/24 dns server ***.***.***.122 ***.***.***.*** dns server select 500001 ***.***.***.122 ***.***.***.*** any . restrict pp 1 dns private address spoof on httpd host any 教えてください。 RT107e上記設定を行っているのですが、 NATの記述をしたサーバに接続ができません。 lan2はPPPOEで使用してて、ppにnatを設定しています。 なにか記述がぬけてますでしょうか? テスト段階のためフィルタは何もかけていません。
PPPoEってことはWAN側はunnumberedじゃないとだめではない(´・ω・)スか?
218 :
216 :2006/10/25(水) 15:08:19 ID:???
>217 いけました。 ありがとでした
219 :
Si :2006/10/29(日) 04:20:15 ID:???
こんばんは。
当方、RTX1100を自宅で利用している者です。
今日、弟がXBOX360を購入して参りました。
早速ネットに繋げようとしたら、
接続途中でエラーが発生してしまい接続できないのです。
症状といたしましては、XBOXが自身のインターフェイスのMTU値を決定するために
ルータへアクセスする段階があるのですが、その際に失敗するようです。
RTXのMTU値は1454に設定してあります。
また、「EditMTU」なる分割されないMTU値を自動で求めるソフトをPC上で利用した場合には、
MTU値が1426の時にリクエストタイムアウトを起こしてしまい、XBOXど同様の現象が起きてしまいます。
当方のRTXは、LAN側からMTU値が読み取れない状態になっているのでしょうか?
もし原因が分かる方がいらっしゃいましたら、何卒ご教授のほどをよろしくお願いいたします。
ちなみに、XBOX側の回答はこのようになっておりました。
http://support.microsoft.com/default.aspx?scid=kb%3Bja%3B908882
220 :
219 :2006/10/29(日) 04:48:32 ID:???
すみません。 先ほどの質問で一つアホな間違いを書いているので訂正させてください。 >MTU値が1426の時に 正確にはDataSizeが1426であり、MTU値は1454です。 その後いくつか検証してみて分かったことがあるので付け足します。 EditMTUを使用したときにタイムアウトエラーを起こす理由は、 ルータの不正アクセス検知機能が原因でした。 "ICMP too large:1025バイト以上のICMPを受信したとき"に引っかかるようで、 不正アクセス履歴にしっかりと跡が残っておりました。 検知機能をOFFにすればEditMTUは正常に動作し、MTU値も正確に求められました。 しかし、XBOXはOFFにした状態でも接続不可能でした。 原因は別だった模様です。
221 :
:2006/10/29(日) 07:01:48 ID:???
>>219 私はXBOXは持ってないので原因はわかりませんが…
ひとまず lan port-mirroring コマンドでミラーポートを作って
Etherealでパケットキャプチャしてみたら?
何が流れてるかわかるので、そこから原因を探れると思うよ。
222 :
_ :2006/10/29(日) 10:56:04 ID:???
>>219 フィルタ関連をとりあえずはずした状態はどうでしょう?
224 :
ななしさん :2006/10/29(日) 14:19:21 ID:???
ポートが開いてないか、UPnPころしてるとかかな? 2つくらいポート開ければ、テストは通るようになると思う。 開けるポート番号は、XBOX系のまとめサイトに載ってたかな。
>>221-224 レス、大変感謝しております。
RWIN値は260176に設定しております。
とりあえず、フィルタ関係の見直しと、
UPnP及びXBOX系まとめサイトへを見てみます。
その辺で解決しなかった場合は、ポートのミラーリングを試してみます。
この度はありがとうございました。
東日本のフレッツグループ上で、 アライドテレシスのAR410で2点間をL2TPでつないでる場所に、 追加でYAMAHAのRTX1100を使った拠点をつながないと いけません。 L2TPの設定は生かしたまま設定をしたいのですが、 RTX上でL2TPトンネルを構築することは不可能なのでしょうか? あるいは、L2TPを生かしたまま、追加できるお勧めのセッションは ありますか?
RTX2000がCPU100%でリブートして困ってるんですが、もう放置プレイでしょうか? RTX2000/1000でネットワーク組んでしまってるのでまだRTX3000買えないorz
100%だけならともかくリブートするのは、高負荷だけが原因じゃないと思うけど サポートに聞いてみたら?
DoSでも食らってたりして(´・ω・)
お菓子くれなきゃ DoS攻撃するゾ☆ #1日遅かったデス
フレッツ光プレミアムだとVPNは不可能なのですか?
RTXシリーズのVPNスループットってwebだと双方向の値で表記されてるけど 片方向なら半分ってことでOKですか?
RT107eなのですが、LAN2インターフェイスのmacアドレスを任意に 設定する事は可能でしょうか?
>>236 コマンドにそれっぽいのは見当たらないので無理じゃない(´・ω・)スか?
ハード分解してFlashだかなんだかを直に書き換えられるならともかく。
RTX1100を使って、 PDA→Bluetooth携帯→電話回線→RTX1100→サーバ(PC) という風に構築して、FTPでサーバにデータを送れって言われたんだけど、この場合、どんな設定をすればいいのかな? 受け側の設定方法が全く見つからなかったもので…。 お願いします…。
>>238 やったことないからアレで(´・ω・)スが
isdn local address bri1 でテメェの回線設定して
ppに発呼側の電話番号入れ込むか、anonymousにしてpp authを
設定するんじゃダメなんで(´・ω・)スか?
240 :
え :2006/11/21(火) 15:59:48 ID:???
携帯電話はISDN回線じゃないからダメじゃないですか?
PHSなら可能
>>241 PHSじゃなくて、ドコモのFOMAのBluetooth機能がついてる奴なんですが・・・。
とりあえず、セキュリティとかは度外視で、繋がればいいみたいなんです。
教えてクンですいませんが、どうかよろしくお願いします。
FOMAの64K回線交換モードなら、普通にISDNの64Kに接続できる。 RTX1100側にISDN回線を用意すればいいだろう。 どうすれば64K回線交換になるかは、FOMA端末のマニュアル読むべし。
>>208 動的IPフィルタにバグ有り 勝手にリブートして通信切れる
修正版ファームウェア準備中らしい
RTX-1500 同士で IPv6 over IPv4 tunnel な VPN を張りたいです。
で IPv6-over-IPv4 だと
tunnel encapsulation ipip
を使うっぽいのですが、ipip 関連の設定例は↓位しか見当たりません。
http://netvolante.jp/solution/vpn/case2/example6.html で、その設定例には tunnel の構成は書かれているけど
認証・秘密鍵みたいなのは全然 config に登場しないですよね?
もしかして ipip って ipv6 を ipv4 の payload に載せるだけで
暗号化するには
IPv6-over-IPv4(ipip) over IPsec
みたいな多重構成にしないと駄目なのでしょうか?
IPv6 自体初心者なんでなにがなにやら...
よろしくお願いします
246 :
きっと :2006/11/23(木) 23:21:58 ID:0FfouD6A
>>245 まずは draft-ietf-v6ops-ipsec-tunnels-04.txt を読むべき
>246 おー、激しくそれを読まなきゃいけないっぽいです。 netvolante.jpと www.rtpro.yamaha.co.jp ってどういう関係なんだろ... yamaha.co.jp からは素直には辿れないですよね...(google は教えてくれるけど) >247 ある意味正論かも知れないけど とりあえず設定したい人にはハードル高すぎっす…
ヤマハのあるおたく技術者が中心となってRT100iを作って世に出した。 #ここでいうおたく、はいい意味で。 で、そのおたく技術者が作ったサイトがwww.rtpro.yamaha.co.jp。 これは商売になる、ってんでちゃんとした?組織として商標も取ったのがnetvolante系。 rtpro系とはある意味独立している。
?そうなの? 当時ヤマハでISDNチップつくってたから RT100i出したんじゃないの? 当時としては格安の業務用ルーターだったから結構売れたっしょ で、当時からサポートやファームなどはrtproで公開してたし、 メーリングリストからのフィードバックもまめにrtproで更新してたし ネットワーク管理者向けのサイトという位置づけだよね その後家庭用SOHO用ルーターが売れだしてきて ヤマハもその波に乗って出してきたブランドがnetvolanteでしょ? ページ的には昔のまま技術系のページのままでいるのがwww.rtpro.yamaha.oc.jpで プロのWebデザイナーとか使って商品紹介など売るためのページ的な感じで netvolante.jpがあるんじゃないの?
YAMAHAルーターの中にはこびとさんがいるんだよ^^
252 :
ななしぃ :2006/11/28(火) 04:16:20 ID:???
>これは商売になる、ってんでちゃんとした?組織として商標も取ったのがnetvolante系。 >rtpro系とはある意味独立している。 間が完全に飛んでるぞ 第一興商とか
253 :
sagee :2006/11/28(火) 12:28:56 ID:PSovkDpA
以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。 環境は、本社・拠点ともにBフレッツの固定IPあり(OCN)だったのですが、 エクセル開くのに数分は余裕でかかっていたそうです。 この度にわか管理者となり、VPNを組もうとしているのですが、 あまりに不安定だったり遅いようだと考えてしまいます。 VPN組んでらっしゃる方々、現状いかがお過ごしでしょうか(・ω・`) 環境は、本社RTX-1100(Bフレファミリー、Asahi固定IPあり)と 1拠点(USEN光マンションタイプ、固定IPなし)という状況です。 ちなみに、フレッツグループ東西の壁に阻まれての策です。 最後の手段はPacketiX(旧Softether)ですが、ちょっとPC分かってるヤツに 電話で人間リモート設定させたら、いくらでも経路が開けてしまうので 使いたくはないのですが・・・・・ もちろん今はポートも閉じてPacketiX不能にしています。 結局のところ・・・・・・・・・ 藻前ら頼む背中を押してくれ! おいちゃん、一人で踏み出すのヤだよ!って事です。 「帰れ!」でも良いので一言お願いします。
IP固定してIPSecにしてるうちの本支社間はエクセル数秒で開くよ。 もちろんIPSecだから57iじゃできないけど。 詳しいことはエロイ人に任せるしかできないにわか管理者なのでsage
255 :
('A`) :2006/11/28(火) 13:23:04 ID:???
>>253 理論上、PacketiXでの通信速度とVPNでの通信速度の差は
同じ回線使う限り暗号化による遅延だけでしょ?
Bフレッツそのもののスループットが出てるなら、あとは
トンネル数の問題じゃね?
ぶっちゃけ、スキルうp!!!を目指すなら漢らしくOpenVPNでどうよ。
安定運用するならRTX対抗でIPSecだろ PacketiXってPCに入れるんだろ? PCよりはRTXの方が故障率低いだろ
257 :
猫のウンコ :2006/11/28(火) 14:48:56 ID:???
>以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。 まったく環境が違うけど、RT57iとXPでPPTP接続って環境は恐ろしく遅かった。安定はしていたけど。 ヤマハにも問い合わせても「問題無し」と言われ、ハード板の人には「パケットサイズ調整しる」と言われたけど、面倒だからそのまま使ってる。 RT57iとRTW65bとのPPTPもイマイチだった。普段は安定してるけど。一端ご機嫌を損ねるとピポピポ鳴りまくり。 両方リセットしないと復旧しない
RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから 潤沢なメモリとCPUパワーありまくりのPacketiXや(CPUの消費電力だけ見ても PCのCPUはバケモノ級)IPSec専用ハード搭載のRTXと比較したら可哀想な気がする。
260 :
253 :2006/11/28(火) 22:23:45 ID:???
会社のエロイ人に進言ミスって、フレッツグループなしで全拠点VPN組む事になりそうな勢いです。
1拠点設定書き上げたら、あとはマイナーチェンジだからまぁいいけど・・・・・(´д`;)
皆の者、レスありがとうございました。
>>254 IPsecは早いのか・・・・前の会社のPPTPは、固定IPなしだと一日何回も落ちてたらしく、固定取って設定し直してたので・・・
Asahiは固定IP500円だし、RT58iよりRT107eを買うお小遣いをもらえるように稟議書書いてみようかなぁ・・・。
>>255 RTXのコマンドリファレンスと設定事例集を相手にハァハァハァハァしてるときに、
そもそもPPTPとIPsecの違いってなんだ?PPTPの方が、固定IP代なしでRT107eより安いRT58iで済んで機器代金もお得なのか?
と、"PPTP IPsec"ってググると無料のOpenVPNを見つけた。
どんなモノだったかと落として脳みそアボーンでした。
漢になりたいぜ・・・・・・・・・・・・・・・・・・・・・・・(´д`
261 :
:2006/11/28(火) 23:37:04 ID:???
遠隔地を接続するとき、帯域の太さより遅延時間が重要なのは常識。 20msを超えてくるとWindows系は目に見えて遅くなってくる。
262 :
('A`) :2006/11/29(水) 10:45:33 ID:???
>>260 VPN自体の運用効率を考えるなら、YAMAHAに
こだわる必要自体無いような(ry
Netscreenとかのほうが補完的にリモートアクセスさせてやれたり
するぶん、上が喜びそうな話で言えばTCOが削減(笑)できたり。
個人的には比較的廉価にINSバックうpができるRTX1100大好きだけどね。
>RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから 表現が悪かったお。正確には「遅い」んじゃなくて、「パケットづまり」見たいな事が起こる。AirEdgeのアレみたいな感じ。 一端流れ出すとMbps単位は出てるので、RT57i自体はコスパから言えば、漏れは十分だと思う。 >その音は消せるわけだが・・・ Beepを消しても、機嫌が悪くなるのが直る訳じゃないんで… 逆に、Beepのおかげで機嫌が悪くなったのが分かる。 filterで引っかけてBeepを鳴らす機能があると、トラブルシューティングの時に便利カナ?とか思う時がある。
PPTPは高負荷やパケロスに弱い気がする。 基幹を安定運用ならIPsecでしょな
265 :
anonymous@ k174171.ppp.asahi-net.or.jp :2006/11/29(水) 12:58:49 ID:NcTZtj7Z
YAMAHAのルータの場合,PPTPはソフトウエア処理になるので,IPSec と比較すると遅い。ちなみに,IPSecはハードウエアで処理されます。 問題は,RT57iのようなネットボランチ系はIPSecに対応していないので, IPSecに対応したルータ(RT107e等)でそろえる必要があるという ところでしょうか。さらに,ネットボランチDNSを使えば,固定IP でなくても,IPSecができちゃうところが,YAMAHAのいいところだと思います。 うちも全拠点Bフレッツで,ルータはRTV700でIPSecをくんでいますが, 全く安定していますよ。セッションが切れるのは1ヶ月に1回もない感じ。 PPTPだと,クライアント側からの接続になるので,セッションが 切れてしまうと,サーバー側から,セッションをはれないので ,一度切れてしまうと,クライアントからの接続がない限り切れっ ぱなしになってしまいます。基本的に,リモートアクセス用なので, ネットワーク間接続はIPSecを使ってくれというのが,YAMAHAの考えだと思います。 Excel開くのに数分かかっていたというのは,PPTPなので,スループットが 出ていなかったことと,遅延の問題だと思います。Windowsのファイル共有 で使用されるプロトコルSMBは遅延があると,パフォーマンスが ものすごく落ちます。IPSecにすれば,スループットが改善されるので, 多少は改善されるでしょうが,遅延はどうしようもありません。 抜本的な解決策は,Vistaで導入されるSMB 2.0を待つか,ネットワーク高速化装置 を導入することです。しかしながら,非常に高価(100万円以上)で, かなり予算がないと難しいと思います。ちなみに,SMB 2.0では遅延が あるネットワークでもパフォーマンスが下がらないように改善されるようです。
266 :
254 :2006/11/29(水) 13:09:48 ID:???
>>253 RT107e のIPSec いいよ!
GUI で設定できちゃうし簡単だよ!
うちもRT57i から107e にマイグレーション(なんて大層なものじゃないけど)したよ!
パソコントラブルはあっても、ネットワークトラブルは1年弱になるけど起こっていないです。
267 :
猫のウンコ :2006/11/29(水) 14:38:11 ID:???
>PPTPだと,クライアント側からの接続になるので,セッションが >切れてしまうと,サーバー側から,セッションをはれないので ちなみに、RTシリーズ対向なら、サーバーからセッション張れるよ。 正確には、サーバーからクライアントに「セッション張って」ってパケットを出して、クライアントが張りに来る。
268 :
253 :2006/11/29(水) 20:48:21 ID:???
何故か会社からコソーリ見ると、レスが240辺りで止まってて見れない。。。。
ftp、wwwやらそれ系をダイナミックでOUTの設定して、全てのINを遮断してからレスが止まった気がする。
しかし、前任者が一応のフィルターの設定してたけど、ip secure firter IN/OUTは設定されていなかった環境は渋いぜ。
明日のジョーばりのノーガードファイアウォール(゜Д゜`)
>>262 正直、FWで使われる機器という事しか知らない・・・・
いやむしろYAMAHAのルータ以外知らないw
>>265 長文サンクス。
Asahiネットで固定IP500円だから取る気でいたけど、なくてもいいかな〜と思ってみたりしてます。
>PPTPだと,クライアント側からの接続になるので,セッションが
>切れてしまうと,サーバー側から,セッションをはれないので
前の会社で何度も再起動か、GUI画面から再接続かしてもらってたの思い出しました。
まさにそんなカンジでしたね。
>>266 とりあえず、今日はIPsec>>>>PPTPと上司に吹き込む材料作ってたw
価格.comで見たらRT58iが3.3万、RT107eが4.3万だったし、いけるw
猫のウンコ様。
今リアルに猫がウンコして、くっさいです。いつもよりエラく臭ってます。
強烈です。
エサ変えたのが悪かったか・・・・(´Д`;)
RTX1100が侵入検知した。 地図とか重いデータ落とすためにセッション多数張った結果だったらしい。
井上氏の本が改訂第二版で出たよー
271 :
anonymous@ d242061.ppp.asahi-net.or.jp :2006/12/20(水) 09:15:45 ID:9ekIBa0A
pptpが繋がりません。ルータのFW設定切ったら繋がるので、原因はフィルターの設定です。 1723通してるのにどこが悪いのか、ご指摘お願いします。 ちなみにIPsecも使っていますが、こちらは問題なく繋がっています。 IN側設定 ip filter 1 reject 192.168.1.0/24 * ip filter 2 pass * 192.168.1.0/24 icmp ip filter 3 pass * 192.168.1.1 udp * 500 ip filter 4 pass * 192.168.1.1 esp ip filter 5 pass * 192.168.1.1 tcp * 1723 ip filter 6 pass * 192.168.1.1 gre ip filter 1000 reject * * OUT側設定 ip filter 101 reject * * udp,tcp 135 * ip filter 102 reject * * udp,tcp * 135 ip filter 103 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 104 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 105 reject * * udp,tcp 445 * ip filter 106 reject * * udp,tcp * 445 ip filter 107 pass 192.168.1.0/24 * tcp * 22 ip filter 200 reject * * established ip filter 300 reject * * established ip filter 2000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * filter 107 ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp
>>271 IN側がdeny allポリシーでOUTがallowってのに拒否反応を感じる俺ガイル
それはさておき、あってるかわからんが、IPsecはL2TP over IPsecだと
仮定した場合、L2TPはUDPに対してPPTPはTCP。
で、OUT側でACK付のパケ叩き落してるみたいだし
そこが関係してるんじゃない?(クライアントからのSYNに応答できん)
273 :
271 :2006/12/20(水) 15:22:47 ID:???
ああ・・・Winnyフィルタ入れた時のip filter 200 reject * * established。 これってACK付パケット遮断するのか・・・・・・・・・orz これが@ITの律子さんとYAMAHAの取説・設定事例集読み漁った程度の俺の限界か。。。 でも、とりあえずSoftetherフィルタにもなるらしい事が判った。 272さんthx。 帰ってからpptp試してみる。
ログぐらい見れや
275 :
271 :2006/12/20(水) 20:36:04 ID:???
ログがどこにあるのか知らない俺ガイル。 明日ログの事を調べてみます。 とりあえず帰ってpptp→接続できましたが、LAN内のマシンにはつながらず。。。。 めげたorz それにしてもpptpってめちゃくちゃ遅いですね。 ADSL12M(実測4M)の無線LAN環境とはいえ、コマンドプロンプトすら数秒ごとに固まりました。
277 :
271 :2006/12/21(木) 21:59:40 ID:???
pptpに関わる設定は、 ip filter 5 pass * 192.168.1.1 tcp * 1723 ip filter 6 pass * 192.168.1.1 gre あとnat descriptor masquerade staticの1723とgreかな。
278 :
??? :2006/12/21(木) 23:13:04 ID:Hen6kXS9
>>277 PPTPが接続できてLAN内のマシンに繋がらんって意味ワカランのだが。
ルータは通ってVPN鯖までは到達してるが、って話なら、後はVPN鯖側の
問題じゃねーの?
つーかそもそもだな、動的フィルタでサービス切ってるのにPPTPだけ
静的フィルタにするのはなんで?
>>272 じゃないが、establishedをreject
するぐらいなら、reject allにして、動的フィルタとSYNパケpass静的フィルタを
使用するサービス全部まとめて定義したほうが手っ取り早いじゃんよ。
279 :
271 :2006/12/22(金) 00:24:15 ID:???
>PPTPが接続できてLAN内のマシンに繋がらんって意味ワカランのだが。 正直俺もワカラン。 ルータへはpp anonymousの設定でPPTPトンネルが繋がるものの、192.168.1.1以外にはpingも通らなかった。 ルータからping送ると反応あるし、意味不明。 >手っ取り早いじゃんよ。 色んな設定事例集からのコピペが基本だからな・・・・・ 最近始点、終点とかの意味が分かるようになって、なんとなく良さげなモノを貼り合わせてる。 同じ通すなら動的と静的で何がどう違うか、ちゃんと理解もしてないしね。 並みの管理者になりたかったが、夢のまま俺の人生終わりそうだわ。 もう少し早くネットワークの世界に触れたかった。
ふと思ったけれど、Proxy ARP を有効にしてみたらどうだろう。
282 :
??? :2006/12/22(金) 08:52:17 ID:???
>>282 >そもそもおたくのout側の動的フィルタは(さらされてる設定を見る限り)
>全く無意味なのわかってんの?
確かに設定は緩めだが無意味じゃないよ
内→外 のパケット、特定のポート以外は一方通行で戻っては来ない
284 :
??? :2006/12/22(金) 09:51:10 ID:???
いいすぎましたごめんなさい
286 :
271 :2006/12/22(金) 18:42:49 ID:???
今まで自宅のPCも含めFWいじったことがなかったので、緩くしてました。
とりあえずOUT側キツくして失敗したら、即ユーザーが困る(→怒って俺のトコ来て俺も困る)ので
つながればいいや的な。
>>281 確かにpptpの設定もちゃんと晒してから聞くべきでした。
萎え気分先行しすぎて、どーでもよくなってたので・・・・スマソ。
pptpクライアントに割り当てるIPが192.168.1.180-182だから、多分
>>280 さんの言うとおりです。
#ついてたから、ip lan1 proxyarp onを見落として抜いてしまっていたようですorz
本の設定事例集に比べ、Webの方ってかなり丁寧ですね。
8割方本に頼ってました。
短絡的に設定そのものと、構文の成り立ちをコマンドリファレンスで追い求めてたのが失敗。。。
>>284 どういう風に聞いたらいいのかも分かってないヤツ相手は、俺も鬱陶しいと思います(´д`;)
気持ちは判る・・・・・・・なんて自分で言っていいものかw
287 :
傍観者 :2006/12/23(土) 07:40:32 ID:???
>>283 >内→外 のパケット、特定のポート以外は一方通行で戻っては来ない
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
一部を除いて全部もどってくるよw
288 :
あばば :2006/12/23(土) 16:33:31 ID:???
ここはTCP/IP初心者のすくつですか?
289 :
あのにます :2006/12/27(水) 10:14:42 ID:???
WAN 側の回線を ADSL → 光 に切り替える予定があって 遠隔から設定を変更することを考えています。リモートセットアップは使用不可です。 ADSL と光を同時に使える期間は存在するとして 光に切り替える時に ADSL 用の pp 1 の接続設定(PPPoE 認証情報除く)を pp 2 にコピーして ip route default gateway pp 2 にして save&restart すれば 問題なく切り替わるものなのでしょうか?
290 :
anonymous@ v023187.ppp.asahi-net.or.jp :2006/12/27(水) 10:57:03 ID:0B7k29+l
>>289 リモートセットアップができないなら,リモートでの切替はやめた方がいいです。
現地に行って作業することを強く薦めます。
上記の手順でうまくいくと思うが,この手の作業はたいていトラブルので,絶対
現地でやるべきだと思う。
どういう理由で遠隔操作で切替なければならないのかわかりませんが,トラブって
困るのはあなたですので,気をつけてください。
291 :
さて :2006/12/27(水) 22:38:09 ID:???
>>289 InternetVPNであたりでつながったさきのルータとすると
(1)RTX1000/1100/1500 あたりでLAN3あたりがあいているなら、光をLAN3に接続する。
(ADSLと同時につなぐということ)
(2)pp2をLAN3に設定する
(3)PP21つかったVPNをいかすため IP route (接続先のIP) gateway pp1
をかいておく
(4)pp2 ものルートも書いておく IP route (接続先のIP) gatweay pp2
(5)pp2のPPPoEが正しく接続できることを確認する。
(6)自分側のルータのVPN接続先IPを光のIPにする。
(7)VPNができたら光に切り替えるため、デフォルトゲートウェイなどを光のほう
にする。
(8)だめだったら自分側のルータのVPN接続先をADSLにする。
(9)切り替えができたらsaveする。
※最悪、現地でルータの電源ON/OFFをすれば設定がもどせるようにsaveは最後にする。
これでどうでしょ?
His judgement cometh and that right soon
男性諸君、結婚すると不幸になる。女の外面は綺麗で清潔で良い人、内面はずるくて汚いため、口も悪い+嘘つき+女同士も上辺仲良し裏では悪口三昧
女の成分はA(性悪陰湿残忍+損得自己中感情)+B(良い女演技+体形+整形化粧+ファッション)
↑良い女演技は好きな男>>異次元>>男集団>他人の順に良くなる。年齢とともにBのメッキがはがれ内外ともに醜くなる(Aの良い女は極少数)
女は「人生の不良債権、北朝鮮、金メッキを施したゴキブリ」
社会的に男女は対等で平等。男が女を養ったり守る必要はない「見切れ!見切り千両!私不幸なの?嘘!泣いてます?演技!情けは不要!つけこまれるぞ」
女は社会的優遇、過剰な法的保護、仕事と家庭の二束のわらじを得て、女尊男卑〜結婚しようとする君を彼女は陰で小馬鹿にしている事でしょう〜
★結婚は保留し、沢山の女性と自由に恋愛(sex)を楽しめ♪★避妊必須
★捨てた女は優しい真面目男が結婚(残飯処理)してくれるさw★
それでも結婚する君へ究極護身法→[夫婦財産契約登記]
夫婦財産契約により、自分の稼いだ財産はすべて自分の物
離婚時に財産の半分を配偶者に取られない
弱い者いじめは最低と言いつつ、赤ちゃんを殺す母親(そして無罪判決(笑
狙撃は女子のほうが強い。男は、ノイローゼになってやめてしまうが
女は何人殺してもノイローゼにならない。そして、骨盤が安定しているため
ナチスの拷問で、女の拷問の残虐非道さを見て、拷問をしていた男達もひいたという
拷問しながら楽しそうに笑みをうかべていたそうだ。罪悪感や引け目が無い
・有史以前が女尊男卑の時代だったことを指摘したのは、スイスの学者バッハオーフィン
アマゾン女族の女王は、法律を定め、男達には卑しい奴隷の仕事を課した
男児が生まれたら、生き埋めにするか、脚と腕を不自由にして、戦えなくし奴隷とした
・王位継承権が女性にだけあった古代エジプトでは女性権力が非常に大きかった
・日本でも卑弥呼が女王
http://kr.img.dc.yahoo.com/b1/data/dci_etc/76.wmv ←女集団が、女一人をリンチしている動画(執拗に蹴り続けながら皆楽しんでる
女は虐げられてきた?父系社会など人類の歴史から見ればほんのわずかな期間に過ぎない。むしろ・・
フィルターの設定で LANからWANでたUDPの帰りのパケットを自動的に通信許可してくれるような設定は無いものでしょうか?
294 :
お :2007/01/03(水) 18:33:47 ID:???
動的フィルタ設定すれば良いんじゃないか
295 :
ももも :2007/01/05(金) 10:47:04 ID:???
漏れ、業務用ルータの設定なんて初めてなんだが、この 動的フィルタって、他のルータとかでも一般的な機能なんですか? 便乗スマソ
296 :
鯖缶 :2007/01/06(土) 02:46:11 ID:???
家庭用だとついてる データセンタで使うような物にはついてないことが多い 動的フィルタ=セッション追従を行う=セッション情報をルータ内で記録する必要がある。 ので、冗長化・負荷分散の際に制約になるんよ 帰りのパケットが同じルータを通る必要があるからね 最初からそんな機能付けずに、スループット上げた方が嬉しかったりするわけ。
297 :
ももも :2007/01/09(火) 08:53:20 ID:???
298 :
anonymous :2007/01/10(水) 16:48:17 ID:nUyhgnYZ
運用自体は問題なく言っているのだが物凄い気持ち悪いことがあるので質問させてください(;´Д`) 使用しているルーターは全部RTX1100です。 まずルーターが西日本にA,B,C,Dの4つがあります。 東日本にはA'の1個だけ。 AはA'にIPSec相互接続+B,C,Dにフレッツグループ接続。 B,C,Dはそれぞれ相互フレッツグループで繋がってます(A'には繋がってません)。 この状態でAからB,C,D,A'全てにPINGが通りません。 またそれぞれのルーターの下にぶらさがるPCに対してもPINGが通りません。 しかしAの下にぶら下がるPCからはB,C,D,A'にPINGが通り、その下のPCにもPINGが通ります。 ルーターB,C,D及びその下のPCからルーターAにはPINGが通ります。 ルーターA'からは全てのルーターにPINGが通らず、各ルーターにぶら下がるPCにも通りません。 しかしA'にぶら下がるPCからは全てのPINGが通ります。 PINGが通らない部分はどんな原因(可能性)で通らなくなっているか解る方いますかね? PCからのやり取りは全て問題ないので直す必要も無いと言えばないのですが、 ルーターからのPINGのみ一部全然通らないことが気持ち悪くて('A`) ちなみに帯域を測る機能もうまく動かないので、この辺が関係しているんじゃないかと思ってます。
>>298 書いた方がよさげなもの:
・ネットワークの構成図(プライベートアドレスで作っているならIPアドレスは全部書いても大丈夫なはず)
・ルータは複数のIPアドレスを持つはずだけど,どこのアドレスに向かってpingを打っているか
・tracerouteの結果
・フレッツ・グループはトンネル掘ってるのか,IPアドレスの払い出しを受けているのか
個人的な予想
・ルータからping打つときトンネルの中を通してる(始点IPアドレスはどこよ)?
東日本の人間なので,フレッツ・グループについて理解してないかもしれない点は
先に謝っておきます。
300 :
298 :2007/01/11(木) 14:03:14 ID:???
>>299 pingコマンドの始点IPアドレスを指定したら問題なくping通りました。
打ったIPはグループで払い出されたIPからIPへ(ローカル)。
tracerouteコマンドは始点IPを指定できなかったので、1発目から応答なし。
グループ内は宛先がグループ内に割り振られているIPであればトンネルなし。
グループ内からグループ外はipipでグループにトンネル掘ってます。
各ルーターはグローバル(IPn契約及びDHCP混在)とローカルの両方のIP持ってます。
pingとかtraceroute通せないのがIPSec貼っていルーターだけなんで、
IPSec周りの設定が怪しいのですかね(;´Д`)
301 :
肉 :2007/01/14(日) 11:49:12 ID:???
IPマスカレードの設定について教えてくださいませ rtx1000 8.01.20 つかってます PPPoEでIPを1個もらっていて、Webサーバーを公開したい。 とりあえずフィルタは全部通し、外と通信できる状態にはなった。 LAN1のIPの設定はこんな感じ。 ip lan1 address 192.168.0.1/24 そしてIPマスカレードの設定を入れてみたんだけど ip pp nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 **.**.**.** nat descriptor address inner 1 192.168.0.2 nat descriptor masquerade static 1 1 192.168.0.2 tcp www これで、アクセスができない。 httpd host 192.168.0.3 ってやって、ブラウザで外経由でアクセスしたら、ルーターの基本認証がでてしまう。 これってまったく設定が効いてないんですよねきっと。 何か足りない設定ありますでしょうか?
> nat descriptor address inner 1 192.168.0.2 > nat descriptor masquerade static 1 1 192.168.0.2 tcp www よく見直せ馬鹿
303 :
肉 :2007/01/14(日) 13:29:25 ID:???
304 :
名無しさん :2007/01/14(日) 15:40:23 ID:???
305 :
肉 :2007/01/14(日) 17:37:35 ID:???
> 304 レスありがとうございます! もともとその設定で試していたのですが、それでもルーターのwwwに アクセスしてしまっていたので、>301 の設定をしていたのでした。 いただいたURLを参考にしながら現在も格闘中です。 最終的にはこういうネットワーク構成にしたかったので、非常に ありがたいです!
306 :
名無しさん :2007/01/14(日) 18:00:08 ID:???
>305 ルータのWeb機能を有効にしているのであれば、 ルータ自身のHTTP Listen Portを80以外にしないとどうやっても ルータに着信してしまうかも知れませんね。 Web管理使わないなら httpd service off を1行加えてみて下さい。 お使いのファームウェアだとデフォルトonらしいので・・・。
307 :
あのにます :2007/01/14(日) 18:28:54 ID:???
>>306 そんなことないと思う。
うちは同じく PPPoE でグローバル IP アドレスを固定で 1 個もらって
Web サーバを運用している。RTW65i で、だけど。
308 :
名無しさん :2007/01/14(日) 19:03:31 ID:???
>307 むむ、そうでしたっけ。 なんだろうなぁ…(´ω`)。
309 :
肉 :2007/01/14(日) 19:05:50 ID:???
> 306 現状の設定のまま、外部からアクセスしてもらったら、無事見れたとのこと。 なので、外部への公開はできていた。 でも、内部からのアクセスは、ルータにいってしまう。 で、httpdを止めてみたら、ページが表示できませんと出ました。 YAMAHAって内部から外部IPにアクセスしても、普通にルーティングされる もんだと思っていたんだけど、どうなんでしょう?
310 :
肉 :2007/01/14(日) 19:13:50 ID:???
そして新たな問題が。お助けくださいませ。 なぜか簡単にPPPoEが切断されてしまう。 再接続はできるんだけど、外部にpingが届かないのです。 設定は下記です。 pp select 1 pp always-on on pppoe use lan3 pp auth accept pap chap pp auth myname *** *** ppp lcp mru on 1454 ppp ccp type none ip pp address **.**.**.**/32 ip pp mtu 1454 ip pp nat descriptor 1 pp enable 1 Help me... 気晴らしにオナニーします
311 :
あのにます :2007/01/14(日) 19:52:25 ID:???
>>310 PPPoE 切断の件はルータ関係ないんでないの?
312 :
肉 :2007/01/14(日) 20:12:34 ID:???
> 311 そんな気もするのですが、いままで使ってたルータにしたら正常に動くので 自分の設定のせいかなとも思ったり。 もう一度チャレンジしてみます
313 :
あのにます :2007/01/14(日) 20:18:53 ID:???
>>312 じゃ
pppoe auto disconnect off
とか、どうだろう。
うちの RTX1100 にはこれ入ってた。デフォルト on だし。
314 :
お :2007/01/14(日) 22:17:13 ID:???
うちはouterの設定とかしてないけど、IP固定だと必要なのかな?
315 :
肉 :2007/01/14(日) 22:28:44 ID:???
> 313 何度もありがとうございます。 pppoe auto disconnect off は試してみましたが、変わらずでした。 今はPPPoE認証を通るけど、外にアクセスできない状況です。 全部通しているのですが… ip route default gateway pp 1 ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan3 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ****** ****** ppp lcp mru on 1454 ppp ccp type none ip pp address **.**.**.**/32 ip pp mtu 1454 ip pp secure filter in 1 ip pp secure filter out 1 pp enable 1 ip filter 1 pass * * * * * nat descriptor type 1 masquerade nat descriptor address outer 1 **.**.**.** dhcp service server dhcp scope 1 192.168.0.3-192.168.0.254/24 dns server **.**.**.** dns private address spoof on で、あやしいのが、web管理画面にアクセスした時に、ページが切り替わる度に基本認証が出る。セッション切れてるんすかね〜 おたすけを!とりあえずオナニーします。本日5回目
316 :
肉 :2007/01/14(日) 22:30:16 ID:???
> 314 レスありがとございます。 試してみます。 オナニー前に
317 :
お :2007/01/14(日) 22:38:49 ID:???
>315 って、staticの設定消えてる? nat descriptor masquerade static 1 1 192.168.0.2 tcp www これは必須だよ
318 :
肉 :2007/01/14(日) 22:39:56 ID:???
> 314 だめでした… ていうか昨日とか今日の夕方くらいまでつながってたのに。 cold startしてから設定しなおしてからおかしくなった。 PPPオプション LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU IPCP Local:, Remote: IP-Address PP IP Address Local: *.*.*.*, Remote: ***.***.***.*** CCP: None 外部からpingしてもらったら、Local IP Addressは届かないけど、 Remote IP Address には届いているそうなんです。 で、中からRemote IP Addressにはping届かない。 でも認証できてる。 ってところで、フィルタとかIPマスカレードの設定なんではと思って ・フィルタ全許可 ・IPマスカレード nat descriptor type 1 masquerade nat descriptor address outer 1 **.**.**.** nat descriptor address inner 1 auto とかやってみたけど、何をしても通らず… くっ 自慰します
319 :
肉 :2007/01/14(日) 22:40:55 ID:???
> 317 うわあああ てんぱりすぎてものすごいミスを… 設定してきます 自慰前に
320 :
お :2007/01/14(日) 22:41:35 ID:???
あと ip pp nat descriptor 1 も必要でしょ
321 :
肉 :2007/01/14(日) 22:43:03 ID:???
> 317 あ、すいません それはわざとはずしているのでした。 いま普通につながらないのです。 > 315 の設定で、外部につながらない状況なのです。 なにか足りないものありますでしょうか?
322 :
肉 :2007/01/14(日) 22:43:49 ID:???
> 320 げふっ それだ… ほんとありがとうございます しごいてる場合じゃない
323 :
肉 :2007/01/15(月) 00:09:01 ID:???
う〜ん やはりだめでした… 下記設定なのですが、つっこみどころがあったらお教えくださいませ。 ip route default gateway pp 1 ip lan1 address 192.168.0.1/24 pp select 1 pp always-on on pppoe use lan3 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ****** ****** ppp lcp mru on 1454 ppp ccp type none ip pp address **.**.**.**/32 ip pp mtu 1454 ip pp secure filter in 1 ip pp secure filter out 1 ip pp nat descriptor 1 pp enable 1 ip filter 1 pass * * * * * nat descriptor type 1 masquerade nat descriptor address outer 1 **.**.**.** dhcp service server dhcp scope 1 192.168.0.3-192.168.0.254/24 dns server **.**.**.** dns private address spoof on もう一度最初からやってみる…
324 :
あのにます :2007/01/15(月) 00:10:48 ID:???
>>323 駄目だったってどっちが?
ウェブアクセスの方? PPPoE の方? どっちも?
325 :
名無しさん :2007/01/15(月) 00:25:53 ID:???
>323 さくっと設定例みて作ってみましたけど、 こんな感じのはでどうでしょ(とりあえずフィルタはおいといて)。 デバックするなら console info on をすると何で引っかかっているか わかりやすいかもです。 ip lan1 address 192.168.0.1/24 pp select 1 pppoe auto disconnect off pp always-on on pppoe use lan3 pp auth accept pap chap pp auth myname (ISPに接続するID) (ISPに接続するパスワード) ppp lcp mru on 1454 ppp ipcp msext on ip pp mtu 1454 ip pp address (グローバルアドレス) ip pp nat descriptor 1 pp enable 1 ip route default gateway pp 1 nat descriptor type 1 masquerade nat descriptor address outer 1 (グローバルアドレス) nat descriptor masquerade static 1 1 192.168.0.2 tcp www dhcp service server dhcp scope 1 192.168.0.3-192.168.0.254/24 dns server pp 1 dns private address spoof on
326 :
RTX :2007/01/15(月) 01:39:48 ID:???
RTX1100あたりの後継機って出ないのかねぇ。 RTX1500は高いしPPTP使えないし。
327 :
肉 :2007/01/15(月) 03:48:14 ID:zyb7wsVE
#アク禁になってたので携帯で… > 324 いつもお世話になってます。 PPPoE認証で失敗はありません。 ウェブアクセスというか、自分のIPの上(プロバイダIP)へのアクセスが不能な状態です。 > 325 ありがとうございます。 しかし、いただいた設定でもだめでした… でもconsole info on でわかったことがちょっとありました。 2006/01/15 03:15:22: PPPOE[01] Disconnected, cause [No error.] 2006/01/15 03:15:22: PPPOE[01] Connecting to PPPoE server 2006/01/15 03:15:22: PP[01] IP Commencing: TCP 192.168.0.2:2906 > 24.242.55.189: 48686 ← どこ? 2006/01/15 03:15:25: PPPOE[01] PPPoE Connect 2006/01/15 03:15:26: PP[01] PPP/IPCP up 2分ごとに切断されて、すぐつながる を繰り返しているみたいです。 もちろん pppoe auto disconnect off の設定はされています。 試しに、 pp always-on off pppoe auto connect off pppoe auto disconnect off とし、手動接続、切断を繰り返しても、同じく接続後2分で切れてしまう状態です。 ご助言お願い致します!
328 :
名無しさん :2007/01/15(月) 04:47:49 ID:???
RTA55iで質問です。 WiiとDS同時利用や、複数台のPCでMSN用のポートを開放したいのですが 複数のIPアドレスに、同じポートは開放できませんよね。 そうなると、複数の接続先を、同じIPアドレスにするしか無いのでしょうか? でも、DHCP予約は、複数のDHCPスコープで同一IPアドレスを含める事が出来ない旨が コマンドリファレンスに書かれていたので、設定出来ません。 この場合、どうすれば良いでしょう?
329 :
名無しさん :2007/01/15(月) 04:49:55 ID:???
すみません。コンシューマー用ルーターはスレ違いでした。 取り下げて移動します。
330 :
326 :2007/01/15(月) 08:27:41 ID:???
>327 PPPoE設定の部分は普段私もよく使う設定なんですけどね…。 コンフィグというより、プロバイダやNTTに確認した方が良いかもです。 ※フレッツスクエアに繋がるならNTTは関係なさそうですけど。
>372 NATやめてNAPTにすれば解決。
332 :
肉 :2007/01/15(月) 13:05:19 ID:JsIMRm2Z
> 330 せっかくご助言いただいたのにすいませんです。 ルータを変えたら(RTA55i)ちゃんとつながるので、プロバイダとかのほうは 問題なさそうなんですけどね。 YAMAHAに問い合わせてみましたので、何かわかったら報告させていただきます。 > 331 NAPTってIPマスカレードですよね? 現状それでやっております。
333 :
肉 :2007/01/18(木) 09:08:44 ID:???
おはようございます。 ひさびさに見ましたが、特に動きはなかったんですね。 先週末にばたばたと質問ばかりさせていただき、ご対応いただいた方々には 非常に感謝しております。 経過報告 というかもう結果報告なのですが、 YAMAHAに問い合わせをし、接続自体は今朝できるようになりました。 なぜ解決に至ったのかがまだ調べられていないので、後ほど調査し、 また書き込みしようと思います。 >325殿の設定に加え、 pp select 1 ppp ipcp ipaddress on ppp ipv6cp use off pp enable 1 を追加して解決に至りました。 とりあえずご報告まで! 重ね重ね、レスいただいた方々ありがとうございました!
334 :
ano nemosu :2007/01/20(土) 10:39:46 ID:OSSIEH0p
pptp接続は確立するのに、その後すぐ切断されてしまいます。 ネットワーク接続のpptp接続の状態-動作状況を見ると、バイト数のところが受信350のまま動かず、送信だけが増え、最終的に毎回2400ほどで止まります。 もちろんpingも通りません。 ルータのログを見ると、remote address192.168.254.10で確立後、TCPセッションがどうもおかしいらしく、FINとRSTが何度か飛び交っていました。 natテーブルに該当しないパケはrejectされてRSTが返される設定にはなっていますが、natの設定は何がおかしいのか分からず・・・ 窮して使い方の良く分からないEtherealも使ってキャプチャしてみると、TCP segment of a reassembled PDUが起きていました。 あと、終始192.168.1.1(ルータ)-192.168.1.10(pptpテスト機)の間でicmpパケがport unreachableになっていました。 ルータ側からのpptp echo-requestにはちゃんとreplyを返しているのですが、おそらくタイムアウトで最後はローカル側から stop-control-conection-requestを出して、ルータ側がreplyを返して通信END。 何がなんだかさっぱりです。。。 自分でやった事 ルータのフィルタ全解除、Windowsファイアウォールの無効化、ip pp intrusion detectionの全解除、ip pp mtu 1280→1080 nat descriptor masquerade ttl hold auto→all 以降、設定晒しますので、何かお気づきの事があればご助言頂きたい・・・・・・・・・・ ip route default gateway pp 1 ip route 192.168.101.0/24 gateway tunnel 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.1.1/24 ip lan1 proxyarp on
335 :
ano nemosu :2007/01/20(土) 10:40:22 ID:OSSIEH0p
pp select 1 pp always-on on pppoe use lan2 pppoe auto connect on pppoe auto disconnect off pp auth accept pap chap pp auth myname ISP-IDxxxxx * ppp lcp mru on 1454 ppp ipcp msext on ppp ccp type none ip pp address 固定IP/32 ip pp mtu 1454 ip pp secure filter in 1 2 3 4 5 6 7 8 9 10 11 12 14 15 16 17 18 ip pp secure filter out 6 7 8 9 10 11 100 101 2000 dynamic 100 101 102 103 104 105 106 ip pp intrusion detection in on reject=on ip pp intrusion detection out on ip pp intrusion detection out winny on ip pp intrusion detection out default off ip pp nat descriptor 1 pp enable 1 pp select anonymous pp bind tunnel10 pp auth request mschap pp auth username id pass ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-any ip pp remote address pool 192.168.254.10-192.168.254.20 ip pp mtu 1280 pptp service type server pp enable anonymous
336 :
ano nemosu :2007/01/20(土) 10:41:14 ID:OSSIEH0p
tunnel select 1 ipsec tunnel 101 ipsec sa policy 101 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.1.1 ipsec ike pre-shared-key 1 xxxxxxxxxxxxx ipsec ike remote address 1 any ipsec ike remote name 1 xxxxxxx tunnel enable 1 tunnel select 10 tunnel encapsulation pptp pptp keepalive use on tunnel enable 10 ip filter 1 reject 10.0.0.0/8 * * * * ip filter 2 reject 172.16.0.0/12 * * * * ip filter 3 reject 127.0.0.1 * * * * ip filter 4 reject 192.168.1.0/24 * ip filter 5 reject 固定IP * * * * ip filter 6 reject * * udp,tcp 135 * ip filter 7 reject * * udp,tcp * 135 ip filter 8 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 9 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 10 reject * * udp,tcp 445 * ip filter 11 reject * * udp,tcp * 445 ip filter 12 pass * 192.168.1.0/24 icmp * * ip filter 14 pass * 192.168.1.1 udp * 500 ip filter 15 pass * 192.168.1.1 esp ip filter 16 pass * 192.168.1.1 tcp * 1723 ip filter 17 pass * 192.168.1.1 gre ip filter 18 pass * 192.168.1.0/24 established * * ip filter 100 reject * 192.168.1.0/24 * * * ip filter 101 pass 192.168.1.0/24 * tcp * 22
337 :
ano nemosu :2007/01/20(土) 10:42:17 ID:OSSIEH0p
ip filter 1000 reject * * ip filter 2000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * filter 101 ip filter dynamic 106 * * tcp ip filter dynamic 107 * * udp nat descriptor log on nat descriptor masquerade ttl hold auto nat descriptor type 1 masquerade nat descriptor masquerade incoming 1 reject nat descriptor masquerade static 1 1 192.168.1.1 udp 500 nat descriptor masquerade static 1 2 192.168.1.1 esp nat descriptor masquerade static 1 3 192.168.1.1 tcp 1723 nat descriptor masquerade static 1 4 192.168.1.1 gre ipsec auto refresh on dns server pp 1 dns private address spoof on pptp service on upnp use on 以上、tunnel2〜6などの一部は削った設定ですが、よろしくお願いします。
338 :
お :2007/01/21(日) 09:06:38 ID:???
ファームウェアリビジョンは?
339 :
ano nemosu :2007/01/21(日) 10:21:29 ID:aWIia3um
肝心なこと忘れてましたね(´д`;) RTX1100 Ver 8.03.46です。
340 :
お :2007/01/21(日) 10:33:04 ID:???
うちのはRT57iのWebで設定したのだけど、 tunnel 10の設定の中にpptp tunnel disconnect time offとかいうのが入っとるよ
>>340 ありがとう。
でも、早速試しましたがダメでした。。。。
342 :
hage :2007/01/23(火) 03:31:56 ID:???
>>340 関連なさげだけど…
RT57iのPPTPでanonymousで接続出来るのに、LAN間接続が出来なくて、泣きついたら
ip lan1 address 192.168.100.1/24
ip lan1 secondary address 固定/29
で、接続はNATのouterにして試してくれと教わり、試したらあっさり繋がった。
理由が全くわからん…(だれか解説プリーズ!)
上手く行かなかった時の設定はprimaryとsecondaryのアドレス空間が逆
343 :
anonymous@ h1-bs-ps1.fujifilm.co.jp :2007/01/23(火) 14:00:19 ID:iUDfG4vK
RT107e で質問です。 上記機器のVLANトランクポートと、接続実績のあるL2Switchをご存知の方は ご教授下さい。要件は以下。 ■もちろん802.1qが可能な機材 ■8ポート で十分 ■FastEther で十分 ■パフォーマンスは重視しない ■出来るだけ安価、新品で入手できるもの 何方かいらっしゃいませんか?
大人なのでスルーして、 solitonのは?
345 :
316 :2007/01/23(火) 15:49:23 ID:TOOW3TlL
もしかしてpptpでルータに割り振ってる固定IPに接続しても、 ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・ ルータで止まってサーバまでパケット通ってないのかもしれないので、とりあえずnatの勉強からやり直します。
347 :
あのにます :2007/01/23(火) 21:29:06 ID:???
>>347 ???
とりあえずpptpで固定振ってるルータにはつながるけど、LAN内のサーバにつながらないから、
natの基本から勉強しようかと。
何らかの理由でサーバまでパケット届いていないのが原因かと思い、まずはnatが近いかなーって思ったんだけど。
それが意味ないってこと?
案外何か思い違いしてるかもしれないし、勉強不足な初心者なので、何か糸口でもつかめないものかと。
全く違うケースだけど、nat descriptor masquerade staticの、masqueradeを削除したら繋がったとかいう例もあるし・・・。
349 :
あのにます :2007/01/24(水) 00:57:44 ID:???
>>348 それ意味ないじゃんってのは
> もしかしてpptpでルータに割り振ってる固定IPに接続しても、
> ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・
ってとこ。そんな仕様だったら、VPN使い道ないじゃん。
ルータとだけ通信できる仕様なんてあっったとして、一体何に使えるんだ?
ってこと。
350 :
am :2007/01/24(水) 09:33:24 ID:???
>>348 多分フィルタで止まってるんでしょうね。
フィルタのログになんか出てないでしょうか。
351 :
ほげ :2007/01/24(水) 12:56:16 ID:???
前から気になってたんだけど、RTX1100で
login password encrypted *
administrator password encrypted *
login user hoge *
user attribute administrator=off connection=serial,telnet login-timer=60
user attribute hoge administrator=on connection=all login-timer=300 multi-session=off
みたいに設定していると、Web Assistanceにログイン出来なくなるんだけど、なんでだろう。
hogeのIDとパスワードを入れても駄目。IDなしでも駄目。
勿論、認証プロンプトは出るし、パスワードエラーの画面も出るから
サービスもオンだしフィルタもかかっていない。
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html によると、ユーザ名はかんたん設定ページでの接続に使用出来るって書いてあるから
IDありで出来ると思うんだけど… 無名ユーザをconnection=allにしても駄目だし。
「かんたん設定ページ」(107e)は出来るけど「Web Assistance」(107e以外)は駄目なんだろうか。
>>350 フィルタはIN/OUT同時にOFFにしてもつながらなかったので違うかなと。
それより、まったくの勘違いを発見。
pptpサーバって、ルータではなく、アクセスしたいプライベートIPの機器の事だったようで。
nat descriptor masquerade static 1 3 192.168.1.250 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.250 gre
に変更して、自宅帰ってから接続試してみます。
職場に環境がないのがイタイ・・・・。
>>351 Web Assistanceはadministrator=offではダメだった気がする。
Web Assistanceって、最初から完全なadmin権限行使できるし。
当てずっぽうに言ってるので、文責は352に託した。
・・・・・・・・・・・・・・・・・・・・・。 自分が352だった罠orz 敢えて言おう、俺乙であるTO!
354 :
ほげ :2007/01/24(水) 13:32:15 ID:???
355 :
お :2007/01/24(水) 13:33:29 ID:???
>351 login password と admin.. password を合わせないとダメとかじゃないかな
356 :
ほげ :2007/01/24(水) 13:47:39 ID:???
>>355 login password
administrator password
login user hoge
は全て同じパスワードになってます。全てencryptedですが。
そういえば、RT107eのWeb画面から無名ログイン禁止にチェック入れて、 login userを設定したんだけど、何故かコマンドからID・パスなしで入れるようになってしまった。 何かの拍子にエンター3回叩いたらログインしてしまって、慌てて修正したのを思い出した。
繰り返し読み返すと、やっぱりpptpサーバはルータの事だった。。。 しかもpptpつないでるときにネット自体繋がらなくなって、ipconfig見ると PPP adapter のIPconfig IP Address. . . . . . . . . . . . : 192.168.254.10 Subnet Mask . . . . . . . . . . . : 255.255.255.255 Default Gateway . . . . . . . . . : 192.168.254.10 ナンダコレハ サボるの大好きな俺でも、さすがに何日もこれ以外ロクに仕事できないと・・・・・・・・
rt100i-usersでプロジェクトフォンの質問をして返事はあるのか? スレ違いならぬML違いでは?と思ったが。。。
つながった・・・・・・・・・・!
新しいノートPC設定してたら無線電波拾ったので、ちょっと拝借した。
(「繋いでいい?」ってボタン押したら、何も言わずに受け入れてくれたので、不正アクセスではないと信じている)
特に設定変えていないから、もしかしたらプライベートIPアドレスが関係してるのか・・・・
自宅のプライベートIP変えて、またテストしてみる。
>>359 イマ登録シテキタヨ。
361 :
hage :2007/01/25(木) 13:36:10 ID:???
>>360 レスくれた方々へお礼も言わず。訳分かんない内容の連投。
続きは自分の誰も読まないblogでやってくれ。
>>361 ああ・・・そうですね。
仰るとおりです。申し訳ありません。
自分のことで必死になって、相談というより一方通行の報告というか独り言(愚痴?)になってました。
まだ解決を確認できた訳ではありませんが、ちょっとでも一緒に考えてくれた皆さん、
遅ればせながらありがとうございました。
363 :
anonymous@ z15.61-205-217.ppp.wakwak.ne.jp :2007/01/25(木) 16:53:47 ID:4v+Jk2vH
cifs に最適化するようなチューニングありますか? wan越しだと遅くなるようですが。
YAMAHAのルータでCIFSを高速化できるかと言えばそれは無理。 どうしてもやりたいなら,WAN高速化装置を買うしかないが,非常に高価。 また,Windowsのレジストリをいじっても無理です。 ただし,Vistaで搭載されたSMB 2.0なら,WANのような遅延の大きな ネットワークでもパフォーマンスが出るようです。
PPTP接続で、セッションも確立しているのに、LAN内のサーバにアクセスできない。pingも届かない。 訳分かんないトラブルの原因は、プライベートIPアドレスの衝突でした。 リモート先のプライベートIPと、PPTPクライアント側のプライベートIPのネットワークアドレス部分が同じだと 通信できません(IPsecも同様)。 分かってしまえば「そんなの当たり前。バカじゃねーの?」だけど、 一応参考までに報告しておきます。
366 :
anonymous@ z15.61-205-217.ppp.wakwak.ne.jp :2007/01/26(金) 11:56:50 ID:n3jnMYTK
>>364 サンクスです。
webdavでも使おうかと思いますが、ファイルロックがうまくいくのか
ネットワークドライブに割当てらるのか不明なので調べてみます。
最悪wan越しでファイル共有するのはあきらめてターミナルサービス
でも使おうかしら・・・・
svnでもつかったら?
>>366 WebDAVってステートレスなプロトコルだから,ロックは無理だと思うが。
ネットワークドライブへの割り当ては可能。ただ,エクスプローラとWebDAV
はいろいろとトラブルというか不具合が多くお勧めしません。
CIFSで遅いといってもサイトが国内間で両サイトとも光ファイバで接続
されていれば,充分なスループットが得られると思うが。
>WebDAVってステートレスなプロトコルだから,ロックは無理だと思うが。 いつの人ですか? # まともに実装があるのかとかは良くしらんけど
370 :
am :2007/01/27(土) 19:09:48 ID:???
まともな実装が無いなら意味無くね?
371 :
anonymous@ pz35.opt2.point.ne.jp :2007/01/28(日) 06:03:17 ID:5lhXw7xI
SIP-NATでNTTのVG400とVG210が使えました。 以上報告
372 :
匿名 :2007/01/28(日) 16:49:49 ID:???
結局シスコ買えない故の妥協だよね。 何かガンバっても後ろ向きで激しく鬱。 SIPもコールマネージャのほうが便利で、シスコ謹製IP電話もかっこいいしねえ。
373 :
鯖缶 :2007/01/28(日) 17:44:42 ID:???
そりゃ、高い授業料払ってCCNA取っちゃったら、シスコ製品が普及してくれないと困るもんな
374 :
オペレータ :2007/01/29(月) 09:51:52 ID:???
ヤマハの免許作れば良いんじゃね? 船舶4球ぐらいなら持ってるとかさ。
375 :
(゚∀゚) :2007/01/29(月) 10:06:00 ID:???
CCNAなんて今となっては一昔前の死すアドみたいになってるし どちらかといえば船舶4級持ってるほうが、ネタにもなるから採用に 有利に働くかもよw
376 :
あのにまん :2007/01/30(火) 06:00:03 ID:???
OP25B対応をしたいのですが、メールサーバの設定をすぐに変えられないので ルータ側でとりあえず25/TCP→587/TCPに変換して対処しようと考えています。 NATディスクリプタでどういう設定をすれば良いでしょうか? ご存知の方がいましたら、ご教示お願い致します。
nat descriptor masqurade static 1 10 mail-severのIP tcp 587=25 違ったらスマン
378 :
sage :2007/01/30(火) 22:14:11 ID:???
マルチホーミングで質問があります。 ISP1とISP2にPPPoEで接続していて ip route default gateway pp 1 gateway pp2 とした場合 ISP1からの通信はISP1へ、ISP2からの通信はISP2へ戻るのは わかるんですが、lan1から外部への通信はどうなるんでしょうか?? tracerouteすると不思議な結果が返ってくるんで・・・。
初歩的な質問で申し訳ありません。 RTX1100 の config ファイルで、 pp saletct 1 pppoe use lan2 pp select none のようにして保存してロードすると、 pp saletct 1 pppoe use lan2 のようになってしまいます。 ファイル全体を検索しても、「pp select none」 が存在しないわけですが、 そのまま設定ファイルをアップロードした場合、何処までが pp1 の設定範囲として扱われてるのでしょうか? スペースでのインデントが入っているので、スペースでのインデント終了までが範囲という解釈でよろしいでしょうか? ご教示いただけたら幸いです。
380 :
名無しさん :2007/02/03(土) 12:15:19 ID:???
RTXシリーズの管理支援機能(Web)についての質問です LAN1 … LANに繋げる LAN2 … インターネットに繋げる とします。 ファイアウォールメニューについてなのですが、 種別: PPPoE 設定名: PP1/LAN2 と 種別: Ethernet 設定名: LAN1 で、それぞれ、インターネットから来るパケットが方向 「入」 になるのか 「出」 になるのかが分からないんです インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、 インターネットから来るパケットは 「入」 です。 それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、 その差込口から、出てくるパケットは 「出」 です。 前者と後者で解釈が全くかわっちゃうので困ってるんです;;
煽りたくなったが辞めとこう 答える気しないので他の人ヨロ
382 :
am :2007/02/03(土) 13:23:24 ID:???
>>379 次の pp select が出てくるか、tunnnel select が出てくるまでじゃない?
>>380 「前者と後者」は言及してる範囲が違うだけで、大体同じ意味です。
383 :
380 :2007/02/03(土) 13:29:15 ID:???
>>382 回答ありがとうございます。
自分の解釈だと、
> インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
> インターネットから来るパケットは 「入」 です。
だと、パソコン視点で言うインバウンド接続は、LAN1 でも LAN2 (WAN) でも 「入」 ですが、
> それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
> その差込口から、出てくるパケットは 「出」 です。
だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
ルータが自ら外に出すパケットですから…。
384 :
am :2007/02/03(土) 13:40:39 ID:???
じゃあ ・パソコンで言うI/F ≒ RTXの各Lan N ってI/F ・パソコン本体 ≒ ルータ本体 って考えれば良いんじゃない? > だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。 大まかに言うと、WAN側のINはLAN側のOUTから出てくるよね。
385 :
am :2007/02/03(土) 13:44:19 ID:???
インバウンド アウトバウンド ルーティング ハイ完結。
387 :
380 :2007/02/04(日) 02:53:48 ID:???
>>384 なるほど。
分かりやすい解説ありがとうございます m(__)m
納得しました。
つまり、WAN から LAN に来る不正なパケットを排除するには、
3つの方法があるということですね。
●その1 … WAN から入ってくるパケットのみに有効
pp select 1
ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none
●その2 … LAN I/F に入るパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection in on reject=on # ルータの LAN I/F に入ってくるパケットを検査
●その3 … LAN I/F から出て行くパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査
LAN の 1つのマシンがワームやトロイに感染したことを考えれば、【その2】 か 【その3】 ですよね。
入るとき、出るとき、どっちがいいのかは悩みますが、(てかどっちでも同じことですが)
Webプログラミングでのhtmlタグのエスケープ処理にセオリーに従って、とりあえず、【その3】 でいってみます。
このファイアウォール機能がどうなってるかは調べてないので、Windows 標準のファイル共有がどうなるのか等は分かりませんが、
とりあえずやってみます。
>>385 参考になりましたー。
>>386 は、はいっ!
388 :
380 :2007/02/04(日) 03:19:48 ID:???
はっ。
とんでもない誤解をしていました。
>>385 の URL を見てみたところ、
IPルーティング と LAN の間に、IPフィルタ (ip lan secure filter) があるではいですか。
正しくは、
>>387 の 【その1】 【その2】 は WAN から LAN へのパケットのみ有効で、
【その3】 は WAN からの攻撃に完全に無力ということになりますね。(※1)
こ、このままだと危険ですた(´・ω・`)
早急に、【その2】 に変更しました。
※1
意味あるとすれば、踏み台にされた時に攻撃パケットを WAN に出さないという意味がありますね。
389 :
380 :2007/02/04(日) 03:33:03 ID:???
あう、
>>388 も間違いだったー。
WAN から LAN のパケットは、IPルーティング と [LAN] の間のフィルタで、LAN側に 「出」 のパケットなわけだから、
【その3】 が正しかったわけですね。
つまり、WANからの攻撃を防げるのは、
pp select 1
ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none
と
ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査
ですね。
くだらない質問でスレ流して申し訳なかったです。
>>390 optimistic ACKを受信するとスロースタートまで無条件に戻す。って感じ。
WANからローカルIPでアクセスする ip spoofing 対策で、次のようなフィルタを書いてみました。 ip lan1 secure filter out 10 11 12 13 ip filter 10 reject-log 10.0.0.0/8 ip filter 11 reject-log 172.16.0.0/12 ip filter 12 reject-log 192.168.0.0/16 ip filter 13 pass-nolog * すると、LANからWANにアクセスできないばかりか、ルーター自体に telnet でログインすることすらできなくなりました。 そして、シリアルコンソールで no ip lan1 secure filter out をしたらネットワークが復旧しました。 何故正常に送受信することができなくなるんでしょうか?
393 :
392 :2007/02/04(日) 17:01:45 ID:???
自己解決です 良く考えたら IPマスカレード で送信元がローカルIPになるんでした
394 :
392 :2007/02/04(日) 17:05:23 ID:???
395 :
sage :2007/02/05(月) 08:29:18 ID:???
侵入検知機能 (ip interface intrusion detection direction switch [option] 等) がRTXシリーズにありますが これは具体的にどのような攻撃を検知できるのでしょうか? マニュアルみても「指定された向きのパケットについて侵入を検知する。」ぐらいの説明しかなく、 ドキュメントも見つかりませんでした。 ご存知でしたらお願いします
396 :
あのにます :2007/02/05(月) 10:13:33 ID:???
397 :
_ :2007/02/05(月) 23:50:07 ID:???
RTX1100でlan1:192.168.0.1/24、lan2:wan(pppoe)
lan3:DMZ xxx.xxx.xxx.200/29のような形で設定を行っているのですが
DMZのサーバーが公開できません。
サーバーはグローバルIPをifcfgで振っているのですが
もしかしてサーバー自体にはプライベートアドレスを振って
RTXでNATでグローバルに変換しなければいけないとかでしょうか?
RTXの設定は下のリンク、ほとんどそのままなのですが。
http://netvolante.jp/solution/int/case4b.html 初心者丸出しで恥ずかしいのですが、大変困っております・・・・
分かる方いましたらヒントだけでもいいので教えていただけると助かります。
よろしくお願いします。
399 :
鯖缶 :2007/02/06(火) 07:28:50 ID:???
そのページに答え書いてあるじゃねーか
内部DNSサーバ(192.168.100.200)があります。 こいつは、インターネットへはISPのDNSを参照しているのですが、 フィルタでDNS responseを弾いてしまっています。 ログをみると下記のようになっています。 PP[01] Passed at OUT(110) filter: UDP ルータ固定IP:53 > IPS/DNS鯖IP:53 (DNS Query [xxxx.com] from 192.168.100.200) PP[01] Rejected at IN(default) filter: UDP IPS/DNS鯖IP:53 > 192.168.100.200:53 (DNS response) フィルタは概ね以下の様になっています。 ip filter 110 pass-log ルータ固定IP * tcp,udp * domain ip filter dynamic 2 * * domain nat descriptor masquerade static 1 5 192.168.100.200 domain 動的フィルタでresponseを受けたいのですが、out110→dynamic2で、ルータ固定IPへの INは開くものの、192.168.100.200へのINは開かず、弾かれているのです。 このような場合、どのように動的設定をしたら良いのでしょうか? 尚、何故かresponseが弾かれていても、インターネットへの接続に支障は出ていません。 支障がなければ、いっそセキュリティ上弾いてる方がいいモノなのでしょうか?
>>400 いろいろと突っ込みどころがありま(´・ω・)ス
どの機体か知らんけど、簡易DNS鯖機能があったりするのが
最近のルータだからとりあえず動くでしょう。
フィルタについては、晒されたconfigでは、ルータ"自身"がパケットを
通します、というだけだからなんとも。
どのI/Fにどのフィルタをどっち向きにつけてるかでも変わりますし。
回線種別、割り当てられたIPの個数とかがわからんとどうしようも
ないですな。
まぁ、七面倒なことせんでも、
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html このへん熟読したら幸せになれるかもしれないで(´・ω・)ス
>>401 すみません、物凄く基本的な情報を全て飛ばしてしまっていました。
回線:Bフレ 固定IP1=ルータに割付(VPN用)
機種はRTX-1100でDHCPはOFF、DNSは192.168.100.200を参照する設定。
Active Directory鯖192.168.100.200でDHCP使用、DNSはISPのDNS参照。
記載したフィルタは、PP1のOUT側の一部で(ログから推測しないと分からないですね)、
DNS Queryに対するresponseが動的に入りさえすればよいのだからと、
ちょっといい加減に書きすぎたようで、反省しています。
Queryの始点が固定IPなのに、responseの終点がプライベートIPに変わっていたので
どうしたモノかと思い(中略)、とりあえず読み耽って来ます。
>>402 ルータの固定IPってグローバルアドレスのほう?
フレッツ固定1IPってたいてい、ルータはunnumberedだし、
そうなら
>>400 のフィルタっておかしなことになるぉ
見えるとこだけカンで書いたら
ip filter 110 pass-log 192.168.100.200/24 * tcp,udp * domain
ip filter dynamic 2 192.168.100.200/24 * domain
pp select 1
ip pp secure filter out 110 dynamic 2
こんな感じ?
つか、グローバルアドレスとStatic NATしたからといって、
ルータのルール書く時に、そのグローバルアドレスにしたら
しょうがないでそ(´・ω・)?
>>404 またもや言葉不足で・・・・
どうも私は、正確に必要な情報をお伝えするのが不得手なようです
NTTに固定1というサービス名があるのをすっかり忘れていました。
IPsecのために固定IPを1コ取って、ip pp address 211.212.213.24(仮)/32してます。
(ちなみにISPはAsahiです)
私も最初は192.168.100.200がDNS Queryを出すモノとばかり思っていたのですが、
実際には、ログを見ると211.212.213.24(仮)がDNS鯖にQueryを出していました。
従って、outのフィルタ110番は、
ip filter 110 pass-log 211.212.213.24(仮) * tcp,udp * domain
となっています。
natの設定自体も、実はフィルタ以前にnatで弾かれていたので付け加えたのですが。
始点が211.212.213.24(仮)なのに、帰りのパケットの終点が192.168.100.200に変わってるのが問題です。
分かりやすくログを書き直すと、
PP[01] Passed at OUT(110) filter: UDP 211.212.213.24(仮):53 > 210.210.210.20(仮):53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP 210.210.210.20:53 > 192.168.100.200:53 (DNS response)
もう、素直にip filter 111 pass 210.210.210.20 192.168.100.200 udp 53 53 を付け加えます。
お付き合い頂き、感謝です。
>>405 ようやく把握した(´・ω・)ス
ip filter dynamic で domainを指定した場合の動作は
あくまでアプリケーション(ぶっちゃけ、LAN内ローカルIP持ちのPC)からの
名前解決の挙動しか想定してないような気がしま(´・ω・)ス
Static NAT してDNS鯖として外に晒すなら、
ip filter dynamic * * filter * in * out *
ってな拡張形式で、
ip pp secure filter in と out
双方に動的フィルタを追加しないと
ダメな気がしま(´・ω・)ス。
あくまでスレーブ(つーかクライアントDNS?)として使うなら、
inのポートは開けないほうがいいんじゃないでしょうか
所詮シロートなんで詳しい人補足よろしくお願いしま(´・ω・)ス
407 :
annonymous :2007/02/07(水) 10:48:01 ID:6VOPQdg3
動的フィルタってのがいまいちよくわかりませぬ。
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html ここは一応読んだのですが、
# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0017 * 21
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0017 * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# ip filter dynamic 2 * 172.16.1.0/28 ftp
# pp select 1
# ip pp secure filter in 80 100 dynamic 2
# ip pp secure filter out 90 dynamic 1
> なお、内側のホストを信頼できる場合には、 90番のフィルタのtcpflagを単にtcpとしてもかまいません。
とありますが、上記設定で、90番フィルタの対象プロトコルをtcpにしてしまったら
動的フィルタをdynamic 1で設定する必要無いんじゃないですか?
それこそ、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
# ip pp secure filter out 90
と変わらないと思うのですが。
(dynamic 1 があろうがなかろうが90番フィルタで全パケット外向きに
飛ぶのだから、そもそも、動的フィルタを通す意味がないのでは?)
>>407 基本的に、動的フィルタってのは、双方向に穴をあけるのが特徴だと思いま(´・ω・)ス
その例だと確かに、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
で外向け、http(80)宛てのパケットは通りま(´・ω・)スが、
静的フィルタだけだと、返信のパケットをどうするか設定が必要だと思いま(´・ω・)ス
default で全パケットrejectして、使うパケットだけ通す、というルールが一般的ですが、
動的フィルタを使わないと
#ip filter 100 pass * 172.16.1.0/28 tcp 80 *
#ip filter 999 reject * * * * *
#pp select 1
#ip pp secure filter in 100 999
こんな設定が必要になると思いま(´・ω・)ス
(クライアントのポートは可変ですから 宛先 * とかにしない限り追いきれません。)
このfilter 100 が静的、つまり常時あると、結局、送信元ポートが80でさえあれば、
内側のクライアントの任意ポートに向けていつでも、パケットを送り込めてしまう
ことになりま(´・ω・)ス
自分はスーパーハカーではないで(´・ω・)スからこれがどれほど危険なのかは
わかりませんが、もし、その例の動的フィルタを使っているなら、filter 100 は不要
ですから、
#ip pp secure filter in 999
だけでも、LAN側からホームページ見るときの全パケットの行き来を許可できる
ということじゃないでしょうか。
動的フィルタあんまり使ってないので自信がありません。添削おながいしま(´・ω・)ス
>>407 接続要求は飛ぶけど、返事が遮られて返ってきませんヨ。
その為のdynamicです。
動的フィルタってのは、設定してても最初は存在していません。
OUTの場合は、こっちが接続要求を出して始めて出現し、
以降、要求に対する返答パケのIN方向を、自動的に開けてくれるのです。
通信の流れが止まると、一定時間後にIN方向の道も消える。ハズ。
要するに、dynamicでOUTの設定をしていると、
IN側の設定をしなくて済む=IN側の設定を攻撃の対象にされなくて済む
ということではないかと。
ip filter 100 pass * 172.16.1.0/28 tcp 80 * のような設定をすると、
外部からの全てのIPアドレスのポート80から出たパケットは、
172.16.1.0/28の全てのTCPポートにアクセスできるということになります。
それを補うためにさらにフィルタ、フィルタ、時にNAT、さらにフィルタ・・・
となるワケです。
410 :
SRT :2007/02/07(水) 14:29:20 ID:???
>>410 業務にもいろいろありますから・・・。
小規模事業所用のVPNルータとしては
相変わらず最適なんじゃないでしょうか。
F/W機能強化されてるみたいだし、
余計なアプライアンスとか入れないで、
ルータ+F/W+VPN のオールインワン
として使うんじゃないかな。
セキュアなRTって意味ですかねぇ。 今でもついてるFWがどれ程の物になったのかが気になるところ。 まぁ購入予算はないがw
413 :
鯖缶 :2007/02/07(水) 19:31:51 ID:???
拠点間VPN接続だと便利そうだけど、変な所にこだわらなければRTX1100とかでも十分だな
414 :
maha :2007/02/07(水) 20:26:00 ID:???
価格帯ではスループット相当よさそうだし、 接続数制限なさそうだしFW無料だから すごくよさそうなんだけど…2ポートかぁ
415 :
_ :2007/02/07(水) 22:50:30 ID:???
漏れ的にはIDSのシグネチャが明らかに少な過ぎる フリーでも最低シグネチャが1000以上あるのに対し 2桁数字ではおまけ程度しか思えないし ゲートウェイでスニッファを使うIDSではないと意味がないと 思われ 鯖公開をマジでやりたければ改竄検知システムを 導入するべきだと思ふ 板違いスマソ
416 :
anonymous :2007/02/08(木) 09:44:28 ID:Bgv0N6fA
SSHで、リモートからRTX1100にログインしたいんですが、 上手いこと行きませぬ pp select 1 pppoe use lan3 pp auth accept pap chap pp auth myname hoge * ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp address 123.123.123.123/32 ip pp mtu 1454 ip pp secure filter in 10 11 12 13 1000 ip pp secure filter out 100 111 112 113 120 1000 dynamic 3 10 20 30 ip pp nat descriptor 1 ip filter 13 pass * 123.123.123.123 tcp * 22 ip filter 112 pass 123.123.123.123 * tcp,udp,icmp * * sshd service on sshd host key generate * こんなConfigで、 IPアドレスは一つ123.123.123.123/32 のBフレッツ使ってます。 pingには応答するのですが・・・ (LANの内側からのSSH接続も可能です) 気になるのは、Tera Term+TTSSH2で接続が拒否された、と出る割に、 syslog notice on の状態にも関わらず、Rejectのログすら残ってない ことです。 知恵を貸してください orz
417 :
あのにます :2007/02/08(木) 11:27:19 ID:???
>>417 nat descriptor type 1 masquerade
すみませんこれが抜けてました。
192.168.10.0/24
Bフレッツ--RTX1100--LAN
で、内側への静的マスカレードは一切しておりません。
RTX1100本体をSSHサーバに見立てるにしても、
なにかしらのNATの設定が必要になるのでしょうか。
419 :
あのにます :2007/02/08(木) 11:54:07 ID:???
>>418 ip filter 適当 pass * 192.168.10.1 tcp * 22
nat descriptor masquerade static 1 適当 192.168.10.1 tcp 22
とかしないといけないんじゃなかったっけ?
>>419 ┏━━━RTX1100.━━┓
外━━LAN3 LAN1━━[内側ネットワーク]
┗━━━━━━━━━┛
LAN1が192.168.10.1/24
LAN3 に pp1 として123.123.123.123/32 をつけてるんですが
この状態でも、LAN3-->LAN1に対してNATする必要があるんでしょうか。
ちなみに、内側からは123.123.123.123:22を直接叩けます。
421 :
あのにます :2007/02/08(木) 12:08:41 ID:???
>>421 ありがとうございます。やってみたら外部のポートチェッカで
開放確認がとれました。
しかしちょっと疑問が残ります・・・
いわゆるPP IP Address Local っていうのは、PPPoE接続の
時に直接通信できるインターフェイスとしてはみなされない
のでしょうか。
(ルータのip pp address を未入力にしても、結局通信
できるみたいですし・・・)
423 :
あのにます :2007/02/08(木) 14:36:38 ID:???
>>423 ルータをunnumberedにできるサービス(PPPoEで1IP固定割り当て)で、
numbered設定したい場合ってどうなるのかなぁ・・・とか思った次第。
unnumberedのときは局側の機器がしっかり固定割り当てされるIPを握ってそうですが、
こっちのルータでそのIPアドレスをWAN側PPに割り当てした場合、自動的に、ルータに
ルーティングしてくれるのかなぁ・・・と不安になったので。PPPoEがいまいち
わかってないのかもしれませんが。
>416 sshd って RTX3000 のみで使えるんじゃないの? 1100 で有効? って >(LANの内側からのSSH接続も可能です) な、なんだってー? あのマニュアルの記述はいったい...
426 :
猫のウンコ :2007/02/08(木) 18:48:43 ID:???
>sshd って RTX3000 のみで使えるんじゃないの? いったい何時の頃の話をしてるんだが…
いや... 去年の12月ごろに買った rtx1500 ... 箱だしで使ってるけど ファーム更新したほうが良かったのかな?
428 :
sage :2007/02/08(木) 22:51:20 ID:???
漏れも RTX1100 ではSSH使えないと思ってた。 使えるようになったのか、さすがヤマハだ。 あと、パスワードは8文字以内と公式Webにあったけど、 普通に12文字ぐらいのパスワード使っているけど、トラブルは起きないな。 9文字目以降の文字列もちゃんと検証されてるみたいだし。 ひょっとして、マニュアルにある RTX1100 非対応の機能 (上位機種のみ) でも 実際やると動くもの結構ある?
429 :
鯖缶 :2007/02/09(金) 10:18:05 ID:???
>>428 いや、無いと思う。
RTX1100は対応が告知されてたし。
430 :
hage :2007/02/09(金) 14:08:50 ID:???
パスワードはv7/8からだっけ? パスワードのおかげでRTA55iがconfing飲み込んでくれなくて一晩悩んだ事があったっけ…
431 :
ano :2007/02/09(金) 23:03:54 ID:???
プロバイダから発行されたPPPoEのパスワードに?(クエスチョンマーク)が含まれています。 どうやってコンソールで入力すればよいでしょうか?
432 :
sage :2007/02/10(土) 01:19:59 ID:???
>>431 エスケープすれば良くね?
\? みたいにさ。
マニュアルの 「4.2 無名ユーザのパスワードを暗号化して保存する」 ([ 書式] login password encrypted) は、 RTX3000 でしか使えないはずですが、コマンドを入れてみてもエラーにはなりませんでした。 これって暗号化されて保存されているってことなんでしょうか?
434 :
433 :2007/02/10(土) 11:25:03 ID:???
436 :
鯖缶 :2007/02/10(土) 13:10:56 ID:???
TCP/IPの基礎を勉強して来い と言いたい所だが、 NETBIOSの実装上、TCPでも動く事になっている。 通常のマスカレードの場合、内部からTCPセッション張った場合に、その返答という形でパケットが通過する。 あとはわかるな?
437 :
435 :2007/02/11(日) 10:13:15 ID:???
>>436 回答ありがとうございます。
TCP/IPとかUnixのサーバ関係の基礎は分かっているつもりなんですが、NetBIOS の仕組みは全然わからんです…。
NetBIOS (over TCP/IP) って、勝手に外部のホストに接続する、もしくは第三者が接続するように仕向けられるもんなんでしょうか…。
WebサーバとWebブラウザのように、クライアント側がIPアドレスを指定して接続し、サーバ側が情報を提供するような形式であって、
ポートを閉じている状況ならば、内部からの接続要求への返答は受け取れても、自分のコンピュータからファイルなどの情報が出て行く
ことはないと思ってました。
438 :
ほっ! :2007/02/11(日) 21:28:28 ID:???
>>437 DSTががNetBIOSとなるポートが通過可能のとき好ましくない例として
ウイルスやスパイウェアに感染したときがありえます。
実例としては、OpaservなどのNetBIOSをつかって感染するウイルスが
内部PCに発生したとき、外部にウイルスをばら撒くといことになってしまいます。
(PHSカードなどでダイヤルアップでつかったとき感染したPCをLANでつないだとき
に発生した。)
スパイウェアの類ならファイルをばら撒くこともできそうです。
439 :
435 :2007/02/12(月) 07:08:42 ID:???
>>438 ご親切に回答していただき恐れ入ります。
LAN内部のコンピュータがマルウェアに感染していない状況であれば、このままの設定でも全く問題ありませんが、
マルウェアに感染した際のことを考えれば、NetBIOS ポートは無効にした方が良いということですね。
早速、ipfilter の設定を行おうと思います。
ありがとうございました。
RTX1100を使ってて、どうもうまく行かないんで質問。 今、RTX1100内のPCからWAN側のPPTPサーバに接続したいんだけど、 これがうまく繋がらない(RTX1100側からのリモートアクセスVPN)。 他の場所から該当のPPTPサーバへは問題なく接続できるので、RTX1100の config(フィルタ)の問題だと思ってるんだけど。。 ちなみにローカルIPも被っていないことは確認しました。 業者さんに叩き台を作ってもらった分をいじってて、単にpptpパススルーを 見よう見まねで追加しただけなんですが・・・ どなたかアドバイスお願いします。 〜つづく〜
441 :
440 :2007/02/16(金) 01:12:17 ID:???
ip pp secure filter in ip filter 1 reject 10.0.0.0/8 * * * * ip filter 2 reject 172.16.0.0/12 * * * * ip filter 3 reject 192.168.0.0/16 * * * * ip filter 4 reject 192.168.2.0/24 * * * * ip filter 10 reject * * udp,tcp 135 * ip filter 11 reject * * udp,tcp * 135 ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 14 reject * * udp,tcp 445 * ip filter 15 reject * * udp,tcp * 445 ip filter 20 pass * 192.168.2.0/24 icmp * * ip filter 22 pass * 192.168.2.0/24 tcp * ident ip filter 30 pass * 192.168.2.10 udp * 500 ip filter 31 pass * 192.168.2.10 esp * * ip filter 32 pass * 192.168.2.10 tcp * telnet ip filter 33 pass * 192.168.2.10 tcp * www ip filter 101 pass * 192.168.2.10 tcp * 1723 ip filter 102 pass * 192.168.2.10 gre * * 〜つづく〜
442 :
440 :2007/02/16(金) 01:13:08 ID:???
ip pp secure filter out ip filter 5 reject * 10.0.0.0/8 * * * ip filter 6 reject * 172.16.0.0/12 * * * ip filter 7 reject * 192.168.0.0/16 * * * ip filter 8 reject * 192.168.2.0/24 * * * ip filter 10 reject * * udp,tcp 135 * ip filter 11 reject * * udp,tcp * 135 ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 14 reject * * udp,tcp 445 * ip filter 15 reject * * udp,tcp * 445 ip filter 16 restrict * * tcpfin * www,21,nntp ip filter 17 restrict * * tcprst * www,21,nntp ip filter 99 pass * * * * * ip filter dynamic 180 * * ftp ip filter dynamic 181 * * domain ip filter dynamic 182 * * www ip filter dynamic 183 * * smtp ip filter dynamic 184 * * pop3 ip filter dynamic 198 * * tcp ip filter dynamic 199 * * udp nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.2.10 udp 500 nat descriptor masquerade static 1 2 192.168.2.10 esp nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet nat descriptor masquerade static 1 4 192.168.2.10 tcp www nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723 nat descriptor masquerade static 1 6 192.168.2.10 gre ダラダラと申し訳ございません。以上です。。
RTX1100を買いました。 ip filter を使ってプライベートIPアドレスが送信元のパケットが外部から来たときに拒否する設定を行っています。 あとは、自分自身のグローバルIPアドレスが送信元となっている不正なパケットを拒否したいのですが、 Bフレッツでの非固定IPアドレスなISP (PPPoE 接続をして DHCP サーバからグローバルIPアドレスを取得する方式) なので、 自分自身のIPアドレスが不定です。 この場合には、どういった設定をすれば良いでしょうか? もし、自分自身のグローバルIPアドレスが送信元のパケットや、送信元IPアドレスと送信先IPアドレスが一致しているパケットは デフォで拒否されるのであれば、その旨を教えていただけると幸いです
444 :
hage :2007/02/16(金) 02:56:57 ID:???
445 :
440 :2007/02/16(金) 09:07:55 ID:???
>>444 すみません。どこまで必要なのかが解らなかったので。。他部分も貼り付けてみます。
ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.3.0/24 gateway tunnel 2
ip route 192.168.4.0/24 gateway tunnel 3
ip lan1 address 192.168.2.10/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname (ID) (PASS)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in (上記のフィルタ設定)
ip pp secure filter out (上記のフィルタ設定)
ip pp nat descriptor 1
pp enable 1
〜つづく〜
ちなみに、ipsecはうまく作動しているため、その部分は端折りました。
446 :
440 :2007/02/16(金) 09:08:30 ID:???
nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.2.10 udp 500 nat descriptor masquerade static 1 2 192.168.2.10 esp nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet nat descriptor masquerade static 1 4 192.168.2.10 tcp www nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723 nat descriptor masquerade static 1 6 192.168.2.10 gre ipsec auto refresh on tftp host any telnetd host any dhcp service server dhcp scope 1 192.168.2.11-192.168.2.99/24 gateway 192.168.2.10 dns server pp 1 httpd host any 以上です。たびたびすみません。。
447 :
hugu :2007/02/16(金) 09:22:31 ID:???
その config が書かれているルーターのLAN側にいるPC(192.168.2.10)から WAN側にいる PPTP鯖(他所からは繋がるためPPTP鯖に問題はないと思われ) に繋げない、 と言ってるのか?
448 :
hugu :2007/02/16(金) 09:23:34 ID:???
ip lan1 address 192.168.2.10/24 だから、192.168.2.10 はルーター自身か 192.168.2.10 なルーターで PPTP鯖 でも建てようとしているのか? (tunnel とか設定たりないが)
449 :
440 :2007/02/16(金) 09:52:51 ID:???
>>447 そうです。その通りです。
このルータのLAN側PCからWAN側のPPTPサーバに接続したいのです。
このルータのLAN側IPが、192.168.2.10 なのです。
実際のPPTPクライアントは、このルータのDHCPから受け取ってる 192.168.2.12 なのですが。
>>448 192.168.2.10 は、仰せの通り、ルータ自身です。
ただ、このルータをPPTPサーバにするのではなく、RTX1100配下にある
PPTPクライアントPCからインターネット側のPPTPサーバに繋げたいのです。
このルータにPPTPクライアント機能を持たせるのでもありません。
まず試しにフィルター外せ 通ったら ip filter 102 pass * 192.168.2.10 gre * * を ip filter 102 pass * * gre * * に変えてみろ そんな気がするw
451 :
440 :2007/02/16(金) 11:16:15 ID:???
>>450 おぉっ、ありがとう!!!!
無事、wan側のpptpサーバに接続することが出来まいsた!!
アドバイスの通り、
ip filter 102 pass * 192.168.2.10 gre * *
を
ip filter 102 pass * * gre * *
に変更してやると、あっさり繋がりました。
ip pp secure filter in と ip pp secure filter out は、そのまま使用しています。
これから先、自分でいろいろと設定していかなければ行けない立場にあるので、
もっと精進しようと思います。
ありがとうございました!
452 :
ki :2007/02/16(金) 11:47:45 ID:???
>443 Land atack
453 :
ki :2007/02/16(金) 11:51:14 ID:???
>
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html このページの解説が良く分かりません><
> 動的なフィルタでは、特定の方向にしかドアが開きませんが、通信は双方向であることに注意する必要があります。
> つまり、一度、ドアが開けば、その後は、双方向に通信できることになります。言葉を換えると、双方向の通信を同時に管理できるということであり、静的なフィルタとの大きな違いといえます。
> それから、重要な概念として、コネクションの向きがあります。コネクションの向きは、接続の要求の向きと同じです。
> たとえば、 AがBに接続要求を送信したときには、コネクションの向きは、 AからBへ向かう方向になります。動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。
なんか矛盾しているような気がするんですが…。
455 :
443 :2007/02/16(金) 22:07:41 ID:???
>>452-453 初歩的な質問に答えていただきありがとうございました m(___)m
送信元IPアドレスと送信先IPアドレスが一致しているパケットは、
侵入検知で防げるんですね。
感激です。
456 :
443 :2007/02/16(金) 22:09:48 ID:???
457 :
ki :2007/02/16(金) 22:37:02 ID:???
>456 確かにtが抜けてるw >454 コネクションの向き(in or out)=ドアが開く方向(押 or 引)として 考えてみて、穴を開けるキッカケをどちらかに制限できますよって事かな
458 :
454 :2007/02/16(金) 22:46:57 ID:???
>>457 なるほど
一度ドアが開けば、その後は、双方向に通信できることになります。
⇒トリガーに従い動的フィルタでの穴あけが行われると、そのポートでのアウトバウンドパケットもインバウンドパケットも両方許可されるよ。
アウトバウンドだけ許可するとか、そういう設定はできないので注意してね。
動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。
⇒特定のポート(とかIPアドレス)へのインバウンド接続と、アウトバンド接続で、別々の動的フィルターを定義できるよ。
ってことですね
すっきりしました。
459 :
sage :2007/02/17(土) 01:29:18 ID:???
460 :
ki :2007/02/17(土) 14:31:08 ID:???
マークなしは設定に従って動作するって事じゃないかな
461 :
459 :2007/02/17(土) 23:05:39 ID:???
>>460 ありがとうございます。
設定に従った動作ということですか…。
実はマニュアル等を検索しても、intrusion detection 関係の設定コマンドが見つからなかったのですが、
載っているページを教えていただけないでしょうか?
>intrusion detection 関係の設定コマンド onとoffだけだった奇が駿河
463 :
459 :2007/02/17(土) 23:30:22 ID:???
>>462 ですよね…。
しかし、それしかないとすると、
>>460 さんの 「設定に従って動作する」 も、
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3 の
「この攻撃に関しては、設定にかかわらず、必ず破棄します。」 のような説明が意味不明になるんです。
設定に従って、と言われても on か off しかないわけで…。
むむ、ここまで書いてて少し閃きました。
〜仮説〜
マニュアルの 「設定によって〜」 の 設定とは、実は intrusion detection の on / off のことだった。
まず、
>>453 の 「IDSがLand attackに対応してるからそれを設定すれば防げると思う。でも、これを設定するとスループットが下がるのがネック。」 は間違い。
何処が間違いかというと、設定すれば〜あたり。
表のマークは ▲ (危険性の高い攻撃で、誤検出の可能性が低く、破棄したときの影響が少ないと思われるものを示します。この攻撃に関しては、設定に
かかわらず、必ず破棄します。) なんだから、intrusion detection が off でも、Land atack への防衛は常に有効になっている。
Land atack 対策設定はどうやっても解除することができない。
▲ … intrusion detection を off にしてても強制廃棄
○ … intrusion detection を off にしてても強制廃棄
△ … intrusion detection を on にしても廃棄無し
★ … intrusion detection を on かつ その動的フィルタ使っていると廃棄
マーク無し: intrusion detection を on だと廃棄
これであっているのかご存知でしたら教えてください。
攻撃受けたければ、静的に設定して通せば? そもそも説明文自体、動的フィルタの中の一節だろ。
465 :
sage :2007/02/18(日) 21:59:20 ID:???
>>464 > そもそも説明文自体、動的フィルタの中の一節だろ。
それはちゃうっしょ
ファイアウォール機能
* 1. はじめに
* 2. 動的なフィルタリング
* 3. 侵入の検知
* 4. コマンド仕様
の 3だし。
そして、動的フィルタ関係は★だけだと思われる。
サーバーの納品先にRTX1100があって、設定画面を見てたら 変な事しちゃったみたいで、フリーズしてしまいました。。。 電源ON・OFFでもPINGすら返ってこなくなりました。。。 初期化して、コンフィグファイルを書き込みたいのですが、 コンフィグファイルをPDFで残したものがあるだけです。。。 コンフィグファイル自体は、テキストファイルだと思うのですが、 文字コードや改行コードは何で保存すれば良いのでしょうか? どうか助けて下さい。。。
467 :
ki :2007/02/19(月) 19:24:53 ID:???
設定ファイル内に2byte文字がなければ文字コードは関係ないような? もしあるなら、デフォルトはsjisだと思うからsjisで。 改行コードはCRLFでもLFでもCRでも大丈夫だと思う
ありがとうございます。 やってみます。m(__)m
469 :
am :2007/02/19(月) 22:46:43 ID:???
もう初期化しちゃってるかもしれないけど、 初期化する前にシリアルかinsでつないでみたら?
>>465 >3. 侵入の検知
>
>3.2. どのように使用するのか
>この機能は、2章で説明した動的フィルタで管理している情報を利用して動作します。
>>470 > 一方、IPヘッダやICMPのように、動的フィルタでは扱わないパケットについては、動的フィルタの設定の有無に関わらず動作します。
> また、TCPやUDPについても、基本的には、動的フィルタを定義しなくても、機能するよう> になっています。これらの詳細については、後の節で説明します。
基本的にはそうなんですね
とありますよね
例えば、IPオプションヘッダの項目は、記号がないですけど、これは動的フィルタ有効にしないと機能しないってことですか?
>>471 >表中の★は動的フィルタを設定しなければ働かないことを示します
記号あるトコは、設定の有無ry or 設定しなければ
記号ないトコは、判定条件にひっかかれば検知されるのでしょう。
あとは静的にLand atackを通して、廃棄されるかどうか試せば、
"設定に関わらず"というマニュアル文から考え得る曖昧さを明確にできるでしょう。
YAMAHAのRTX1100を使っています。 回線状況は非常に安定しているんですが Windows Messenger が不定期に切断されてしまいます。 (誰かにメッセージを送ってみたらいきなり切断状況になったりと) これは無通信状態が長く続いたことにより、NATタイマーの時間切れが生じて発生した問題ということなんでしょうか? もしそうなら良い回避策は無いでしょうか?
474 :
あの :2007/02/20(火) 23:42:11 ID:???
タイマーが問題と思うなら伸ばしてみたら? わからんかったら 試しにUPNP使ってみたら?
RTX1000にMACアドレスフィルタリング機能は付いてますか
476 :
あのにます :2007/02/21(水) 03:29:53 ID:???
>>475 ethernet filterのことになるんだと思うけど、1000には付いてないはず。
1100の最新のファームならある。
まぁ似たようなことは工夫すれば出来ると思うけど。
RTX1100でインターネットVPN(AES/SHA)を構築したんですが、めちゃくちゃ速度が遅いのです。 構築されたVPNの中でFTPをするのと、グローバルIP使ってFTPするので速度に5倍ぐらいの差が。 こういうものなんですかね? ちなみに速度はVPN内のFTPで1Mでず、グローバルIPを使ったFTPで5Mぐらいです。
478 :
440 :2007/02/21(水) 12:24:32 ID:???
>>477 MTUサイズがVPN経由だと大きいんじゃ?
一度、遅いルートでMTUサイズを調整してみては?
原因・要因は、それ以外にもあるけど、脊髄反射的にレス。
と、素人が申し上げています。
479 :
478 :2007/02/21(水) 12:26:09 ID:???
あう〜名前の440は、このスレの人とは違いますぅ ゴメン
480 :
477 :2007/02/21(水) 17:20:59 ID:???
>>478 VPN側のMTUは1280ですね。
1454よりは小さいですけど、それでこんなにも速度落ちるものですかね?
RTX1100についての質問です。
クライアントA から 外部のサーバへ接続した場合には pp 1 を使用して、
クライアントB から 外部のサーバへ接続した場合には pp 2 を使用する、といった設定はどのようにやれば良いでしょうか?
(例えば、クライアントA は So-net の固定IPアドレスプラン、クライアントB は nifty の動的IPアドレスプラン。)
ようするに、PCによって、診断君
http://taruo.net/e/ とかに表示されるIPアドレスを異なるものにしたいということです。
ip route で出来そうだ、と思ってリファレンスを読んでみたところ、送信先のIPアドレス (宛先アドレス) を元に振り分けることはできるんですが、
送信元のIPアドレスでの振り分けはできないようなんです(´・ω・`)
よろしくお願い致します。
483 :
匿名希望 :2007/02/23(金) 03:04:04 ID:???
>>481 ip route default gateway pp 2 filter 600000 gateway pp 1
ip filter 600000 pass 192.168.0.200-192.168.0.254 * * * *
と設定して、たとえば
クライアントA:192.168.0.100
クライアントB:192.168.0.200
とアドレスを設定すればうまくいくと思います。
484 :
483 :2007/02/23(金) 03:09:21 ID:???
485 :
アノニマス :2007/02/23(金) 03:19:24 ID:???
>>482 うおー。
もろ期待通りのことができますね。
ありがとうございました。
> ハードウェアの方と連動してるのう・・・。
すみません、これの意味が良く分からないです…。
>>483-484 その設定でいい感じにいけそうです。
ありがとうございます。
>>485 既に RTX1100 の DHCP サーバ で MACアドレスをもとにIPアドレスを固定配布しているので、それで行ってみます。
出来ても出来なくても、報告しますね。
487 :
sage :2007/02/24(土) 03:45:34 ID:???
YAMAHA公式のメーリングリストに入ろうかと思っているんですが、 メーリングリストに入るのは初めてで戸惑っています。 そこで質問なのですが、 1. 1日に何通程度のメッセージがやり取りされているんでしょうか? 2. 登録や投稿時には実名 (もしくは実名風ハンドルネーム) にする必要ありそうですか? 3. MUA は Mozilla Thunderbird で問題無しですか? 以上を教えていただけると嬉しいです。
488 :
あの :2007/02/24(土) 03:53:47 ID:???
むかし入ってたけど 1は今どうなんだろう・・・ とりあえずまとめてゲットできた気がしたからそれみてみては? 2は、特に気にすることはなく 3は、問題無いと思うけどHTML形式はやめた方がいい 普通のメーリングリストのマナーでOKなはずだから詳しくは検索してみて
489 :
487 :2007/02/24(土) 03:56:41 ID:???
>>488 親切なご回答ありがとうございます><
適当にメーリングリストのマナーを調べた上で、登録してみようかと思います。
>>486 > > ハードウェアの方と連動してるのう・・・。
> すみません、これの意味が良く分からないです…。
あ、すみません。ハードウェア板のYAMAHAスレの事です。
フィルタをどこまで増やせるかって話題で、フィルタ型ルーティングを使って
NULLインターフェースにルーティングすればフィルタが実質増やせるね、とかなんとか。
>>487 じゃぁ、1番だけ。
昨年一年で、1026通。今月は現時点で47通です。
492 :
487 :2007/02/24(土) 05:09:51 ID:???
>>491 なるほど…
去年は 1日あたり 2.81 通
今年は 1日あたり 0.87 通
って感じですね。
結構メッセージ数あるようなので安心しました。
>>492 "今月"なので2月分が47通です。1月分は25通。
494 :
487 :2007/02/24(土) 23:06:22 ID:???
>>493 なるほど。
今月でしたか。
ミスリード申し訳ありませんでした。
RTX-1100についての質問です 拠点Aと拠点BをVPNで繋ごうと思いいろいろいじっています キャリアが拠点AがUCOM、拠点BがBフレッツで、拠点BのほうはPPPoEで問題なくルーターも外部へPINGが通りますが、拠点AのほうがルーターからのPINGが外に出てくれません 拠点AのほうはNATでローカルIPをグローバルIPに変換してインターネットへは問題なく繋がります 拠点AでPPを利用してルーターが外部へ繋がることができればVPNが繋がると思うのですが、UCOMのようなIP割り当てのISPとBフレッツを繋ぐ方法はありますでしょうか? よろしくお願いします
IP割り当てでフシアナとは・・・・
497 :
sage :2007/02/25(日) 05:36:56 ID:???
たぶん、動的IPだから問題無し この板のデフォルトは anonymous@fusianasan だから引っかかる人は引っかかる… 漏れも最初引っかかったわ
知らなかった、次からは気をつけます 早急な回答ありがとうございます もう少しいじってみます ありがとうございます
拠点Aは固定アドレスって意味?
はい 拠点Aは固定IPです といっても、DHCPでいくつか割り振られているIPのうちの一つです 拠点BはBフレッツで固定ではありません
DHCPなら動的でないの?
MACみて固定的にしてるって意味?
UCOMがどういう仕組みなのかはわからないですが、違う機器をルーター介さずに直接繋ぐとIPが変わることからMACアドレスで割り振っているものかと思われます で、そのIPアドレスもプランによって1〜5くらい割り振られていると思います そのプランを申し込んだ人がどのプランで申し込んだかも、何をしたのか何をしたいのか誰にも話さない人なのでIPがいくつあるのかまでは分かりかねます
ファイアウォールやらセキュリティソフトやらでpingが遮断される事もあるし、 相手先がpingを遮断している場合もある(www.microsoft.co.jpなど) まぁ拠点AもBも同じトコにping打ってるとは思うが、 コンフィグくらいは書いてないと、誰も判断しようがないよ。
>>503 でそのような状態でわれわれに助言しろと?
506 :
:2007/02/27(火) 11:25:45 ID:???
IP-PBX環境でマルチキャストを使用します。 RTX3000-RTX1500でVPNを構築した場合、拠点間のマルチキャスト転送は 可能ですか?
家庭用スレから誘導されてきました。
RTX1100 で、ネットワークをほぼ期待通りに構築することができたのですが、1つ困っている点があります。
特定の条件を満たしたパケットを廃棄ではなく拒否したいのですが、RTX1100側でそれを行うことはできないでしょうか?
具体的には、irc.tokyo.wide.ac.jp のようなIRCサーバは、プロキシ対策として、ポートスキャンをしているわけですが、
そのスキャンのパケットを拒否してしまうと、タイムアウトに時間がかかり、1分以上IRCサーバに接続できないので、その点困っています。
http://limechat.net/faq にあるように、PC側に転送すればいい (NAPTを使って) のですが、
それだとパケットがPCに届くという意味で、セキュリティ上の問題が発生しやすいので、出来ればルーター側で拒否したいとおもい書き込みさせていただきました。
ご教示いただけると幸いです。
508 :
あのにます :2007/03/02(金) 20:44:21 ID:???
あっちで読んでたけど、結局破棄(reject)をしたいのか拒否(stealth?)したいのか分からないんですが。
509 :
507 :2007/03/02(金) 21:11:17 ID:???
>>508 回答ありがとうございます。
説明不足で申し訳ありません。
パケットの破棄ではなく拒否がしたいです。
廃棄なら、
ip filter 10 reject 10.0.0.0/8 *
のように出来ますが、拒否の方法が見つからないんです…。
510 :
あのにます :2007/03/02(金) 21:16:51 ID:???
>>509 廃棄(破棄?)と拒否の言葉の意味する違いが分かりません。
> 廃棄ではなく拒否したいのですが
と書いてあったり
> 拒否してしまうと、タイムアウトに時間がかかり、1分以上IRCサーバに接続できないので、その点困っています。
と書いてあったり、何をしたいのか分からないの。
511 :
507 :2007/03/02(金) 21:24:43 ID:???
>>510 回答ありがとうございます。
廃棄 … パケットを捨てる (iptables での DROP)
拒否 … パケットを捨てた上で、拒否したことを相手に通知する (iptables での REJECT)
です。
たぶん、drop は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?)
ようするに、Windows などの OS が、そのポートでリッスンするサービスがないときに、返すようなエラーパケットを
相手に返したいんです。
512 :
507 :2007/03/02(金) 21:25:23 ID:???
誤) たぶん、drop は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?) 正) たぶん、拒否 は パケットの通過を廃棄し、且つICMPエラーメッセージ(ICMP_UNREACHABLE)を返すことです。(違うかも?)
詳しくないが、「PC側に転送」する例があるってことはそれ自体では出来ないってことでは?
514 :
あのにます :2007/03/03(土) 14:10:46 ID:???
>>511 要するにTCPポートへのSYNに対してdropするんじゃなくて、
RSTで明示的につなげないと応答してほしいんでしょ。
UDPならport unreacheableかな。
YAMAHAはよくしらんが、それってルータのACLで出来るのかね?
Firewallの機能だったらありそうだけど。
できるものもある。 YAMAHAは知らん
ネットボランチDNS を使用して両方とも動的グローバルアドレスでも IPSECできまつか? それとも少なくとも片方は固定じゃないといけないのですか。
517 :
ほい :2007/03/04(日) 22:43:00 ID:???
>>516 できる・できない でいうと 「できる」
ネットボランチDNSのサーバや回線が込んでいるときに 動的IPの変更があると
IP変更が行われずつながらなくなることがある。
518 :
ふしあな :2007/03/07(水) 16:56:02 ID:???
omronのMR504DVで実現できなかったので、RTX1100を視野に入れてるんだけど、 こういうことができるしょうか? @LAN2でPPPoE1(ISP1)でセッションを張り、LAN1のローカルPC達のデフォルトルートはそのISP1 且つ、他の拠点とIPsecによるVPN通信を行う。(対向は固定IP、動的IPが混在) 且つ、LAN3でPPPoE2(ISP2)でセッションを張り、外部からのPPTP接続を受け付け、 LAN1側のPC(ファイルサーバ)へアクセス。 Aネットボランチ以外のdyndns.orgやieserver.netなどのDDNSサービスを利用できるか。 MR504DVに比べると値が張るので少々躊躇してるんですが、これらが実現可能なら検討したいと思うのです。 宜しくお願いします。
2は使ってないから判らんが、1はその通りのことをやってる
520 :
ふしあな :2007/03/07(水) 17:42:45 ID:???
>>519 ありがとうございます。
まじですか。
じゃあ、後はAができれば、PPTP受信用のLAN3でdyndnsなどのDDNSサービスが使えれば、
IPsec用にはLAN2で固定IP運用、PPTP受信用にはLAN3で動的IPで運用ができますね。
財布に厳しいけどがんばってみるかなー。
>>518 2.は、どこのDDNSサービスでも使えるんじゃないか?
ただ、ルータで自動更新に対応してるのはネットボランチだけ。
ボランチ以外でIPアドレスの更新を自動的にしようとすると、
LAN内に常時起動の更新用クライアントを置いておけばいい。
522 :
猫のウンコ :2007/03/07(水) 22:14:45 ID:???
>>521 理屈はそうだけど、SNMPかsyslogをトラップする必要があるから、案外めんどくさい。
ひょっとしたらそーゆーツールが既にあるかもしれんが…
516です。ありがとございます。 昨日 RTX1100 で # pp select 2(ISP用のPPPOE) pp2# netvolante-dns hostname host pp HOGEHOGE pp2# netvolante-dns go pp 2 としてみたのですが、 (Netvolante DNS server 1) エラー: ネットボランチDNSサーバの名前解決に失敗しました pp2# になります。なんで? netovolante DNS が込み合ってるのか、自分の操作が間違ってるのか・・・
524 :
猫のウンコ :2007/03/09(金) 11:13:58 ID:???
>>523 DNS生きてる?
netovolante DNSのアドレス解決が出来て無いんじゃない?
どなたかわかりますでしょうか? RTX1100を使用していますが 全支部共通設定(ファームも同じ)らしいけど なぜかうちだけネット環境がヘンな挙動をしてます 設定見せてもらったらヘンな記述をみつけたのですが 関係あるでしょうか? うちの支部から本社へつないでいる設定で 支部側はppのなかに ipsec tunnel を書いておいて 本部側にはそれに関する記述はまったくない(他支部用はある)です ここぐらいしか記述的には他を違いが見られないのですが 設定した業者がわからないで業務が止まってて困ってます
526 :
俺 :2007/03/09(金) 11:35:38 ID:???
525です 挙動に関してはSSL接続したHPを3ページ以上見れないです 具体的には ログイン>メニュークリック>通信途切れ ログイン>ログアウト セーフ yahooやlivedoorなどいくつかの有名どこで必ずおきます ちなみに他の支部で普通に動いているpcを持ってきても うちにくると同じ現象になるので ネットワークの設定?としか考えられません。 そこでRTX1100の設定を見せてもらったら見つけたのが ipsecの記述に関してだけでした
528 :
am :2007/03/09(金) 12:59:22 ID:???
> 設定見せてもらったらヘンな記述をみつけたのですが ヘンな内容を書けばいいのに。
人にきちんと説明できてないし、要点がどこかも解っていない(解って無さそう)。 業務で使ってるなら新たに業者に入ってもらって、しっかりした叩き台なりを 作ってもらった方がいいと思う。 大穴開けて機密情報が漏れたときは、関連業者まで被害が及ぶことになるよ。
525です 現象が特殊なので概要で同様っぽいのに出くわした方がいれば イメージしてもらえると思ったのですが・・ 要件はこうです 現在本社−複数支部間で接続をRTX1100で接続しています(VPN) インターネットへは本社経由でしか接続不可能になっています 問題は全支部同じRTX1100(ファームも)を導入して 支部の設定は同じ(各支部へのIPとか基本的なことは除く) この状態でなぜかうちの支部だけが ネットのSSL環境へ接続するとまともに動作しません PC、ルータのハード的名不良やPCの設定問題は 他支部のを持ち込んでテストして再現したので考えられません ここで各支部と本社ルータの設定を確認したところ なぜか各支部向けに本社側でIPSECの定義があったのですが うちの支部だけありませんでした (こちらの支部には他支部同様の記述定義はあり) これが問題かと思っているのですが SSLでの挙動が理解できません HPでSSLかかってからどのサイトでも必ず3遷移くらいで 通信が途切れます(タイムアウトやレス待ちでは無く完了に) 支部側の通信ログでは正常に通信が確認されています 本部側の設定を書き換えてテストしたいところですが 社内的な事情により来週末までは変更できないのです。 原因の確定ができれば今晩にでも変更をお願いできるのですが・・・
>>530 個別の問題なら回答できるが、そういう複雑なケースは問題を切り分けないと
誰も回答できないよ。自分でパケットを解析してどこで落ちてるか調べるか、
設定した業者(社内なら担当者)を呼びつけて調べさせるしかないでしょう...。
本社とつながる支社、つながらない支社のconfigをRTのメーリングリストに
変な伏字をせずに流せば、暇な人からアドバイスをもらえるかもしれません
が、それも出来ないでしょうからね。
みんなの見世物になって解決させるか、自社内(ベンダー内)で解決させる
か、好きな方をお選びになっては?
523でつ。 サポセンに電話しますた。 ルーターに dns server IPアドレス でDNSサーバーを設定したら直りました。 pppoeで取得するDNSには自動的に名前解決を依頼しにいかないんですね。
525です マルチポストしていた先で同様事例があり解決しました アドバイスしてくれた方々ありがとうございました バグっぽいけど記述の仕方を変更しただけで直りました
RTX1000でMACアドレスフィルタリングの運用はできますか?
>>533 なんでマルチポストが嫌われるかわかる?
536 :
('A`) :2007/03/12(月) 08:47:58 ID:???
('A`) サワンジャネ
537 :
anonymous :2007/03/12(月) 13:24:15 ID:kS4iSs7B
>>534 マニュアル読んでみましょう。読めば設定できる事が判ると思うのですが・・・・
PPTP でリモートアクセス環境を試作中なのですが、(家→会社) 接続してくるクライアントを制限するために 会社のRTX1100に tunnel endpoint name [hogehoge.domain.jp] を設定しました。 家のクライアントはDiCEで 無料DDNS サービスにその都度登録(家のルータがyamahaでないので netvolante dnsぢゃない) RTX1100は接続してきた相手を tunnel endpoint name [hogehoge.domain.jp] のホストアドレスで識別すると思われますが、DDNSでは逆引き できませんよね。(例えnetvolante dnsでも) ということは、その都度正引きして、IPアドレスが接続してきた 相手のものと一致している場合のみ許可するのでしょうか。 DNSキャッシュの問題とかはどうなってるんでしょ。
539 :
猫のウンコ :2007/03/12(月) 18:34:23 ID:???
netvolante dnsが使えないなら、anonymousしか無いんじゃね?
やはり netvolante.dns でないとダメなんですかね。 会社側RTX1100 にポートスキャンしてみましたが、TCP 1723 がオープン していません。ヴ〜ん。 あきらめてRT107eを自宅用に買うか、anonymous 接続にするか しか ないのかな・・・・・
541 :
m :2007/03/13(火) 09:35:59 ID:???
RTX1100を使っています。 Windows マシン上からワンタッチで接続経路の設定を切り替えたいのですが、良い方法は無いでしょうか? とりあえず、"tftp host 192.168.1.1" のようにクライアントのIPアドレスを常に登録しておけば期待通りのことができますが、 マニュアルにもあるように IPアドレスのみの認証なので、内部のマシンの1台が乗っ取られた場合に、セキュリティ上問題がありそうです。 そこで、ルータのTelnetdにデータを自動送信するマクロ的なことをやりたいのですが、良い方法は無いでしょうか? ちなみに、今Telnet接続にはPuttyを使っています。
Teratermのマクロとか?
puttyでもマクロはあるんじゃないか? ワンタッチにしたいなら送信アプリくらい書くべきだと思うが。 いろいろなアプリが起動して変なウインドウが見えることがセキュリティ上問題無いのかどうか疑問
540です。やっとつながりました。 DDNSならnetvolante-dnsでなくても大丈夫みたいです。 これでDiCEのプログラムをフォルダ毎いれたフラッシュメモリ (無料DDNSサーバーへの更新設定を仕込み済み) と、PPTPクライアントのユーザー名・パスワードがあれば Yamahaのルータがない環境からでも接続元をFQDNで制限した上で、 接続ができそうです(anonymousじゃなく) 夜間や休日に心置きなく鯖のメンテが行えるようになりますた。 テラウレシスです。
547 :
542 :2007/03/14(水) 23:21:02 ID:???
>>543 回答ありがとうございます
できれば使い慣れている putty を使いたいですが、putty にはマクロ機能やマクロ拡張はないようなので
Teratermを試してみます。
>>544 送信アプリというのはマクロを呼び出すアプリということでしょうか?
何にするかは決まってません
変なウインドウが開くことに関しては、家での利用でマクロを導入するのは自分のPCのみなので問題無いです。
>>547 WEB設定って実装されていなかったけ?
RT57iならURL作ってワンクリック設定できるけど・・・RTX1100は無理なのかな?
RTX1100 を使っています。
副回線として Yahoo! BB 8M を接続してみた所、10BASE-T半二重 と認識されました。
8M回線なので 10BASE になる所までは良いのですが、今時半二重なんて本当に使われているのでしょうか?
疑問に思って、手動設定で両方試してみたところ、全二重にするとめちゃくちゃ遅くなりました。
これは、モデムが対応していない形式での通信だけど一部正しく処理できる部分があって、パケットの再送だらけになって
遅くなるけどなんとか通信できているといった感じでしょうか。
ご教示いただけたら幸いです。
●10BASE-T半二重(10-hdx)
------ BNRスピードテスト (ダウンロード速度) ------
測定サイト:
http://www.musen-lan.com/speed/ Ver3.5001
測定日時: 2007/03/21 10:03:58
回線/ISP/地域:
--------------------------------------------------
1.NTTPC(WebARENA)1: 79.554kbps(0.079Mbps) 9.89kB/sec
2.NTTPC(WebARENA)2: 137.47kbps(0.137Mbps) 17.09kB/sec
推定転送速度: 137.47kbps(0.137Mbps) 17.09kB/sec
●10BASE-T全二重(10-fdx)
------ BNRスピードテスト (ダウンロード速度) ------
測定サイト:
http://www.musen-lan.com/speed/ Ver3.5001
測定日時: 2007/03/21 10:04:58
回線/ISP/地域:
--------------------------------------------------
1.NTTPC(WebARENA)1: 3785.206kbps(3.785Mbps) 472.88kB/sec
2.NTTPC(WebARENA)2: 3762.057kbps(3.762Mbps) 470.04kB/sec
推定転送速度: 3785.206kbps(3.785Mbps) 472.88kB/sec
550 :
猫のウンコ :2007/03/21(水) 13:23:55 ID:???
日本語でおk
551 :
542 :2007/03/22(木) 23:30:28 ID:???
結局、RocketMouse を使って解決となりました。 RTX1100にログイン、管理者権限に変更、経路変更を含めて、1秒程度できて快適です。
RTX1100 についての質問です。 tftp でダウンロードできる config ファイル に、次のような項目があります。 ----- 次の行から開始 ----- # # TUNNEL configuration # no tunnel enable all ------ 前の行で終了 ------ 普通は no で始まるコマンドは設定の決定の取り消しであり、 config ファイルには残らないはずなのですが、 何故、 「no tunnel enable all」 だけ残るのでしょうか? # VPN ルータ でこの機能使って欲しいからかなぁ。 ちなみに、この行は削除して config ファイルをアップロードして、再度ダウンロードしても消えません。 皆さんも RTX1100 でこの現象が発生しますか? 「する」 「しない」 の一言でも構いませんので、教えていただけたら幸いです。
553 :
ki :2007/03/24(土) 09:19:30 ID:???
単純に不要な設定が反映されないための 安全策で記述されてるんじゃないかな
>>552 理由はリセットした時(出荷時)では設定されているコマンドだと思うのでそれを消すためだよ。
コマンド自体の意味はコマンドリファレンス見てみたら?
ipsec トンネルをバックアップする設定で <マルチホーミング型設定> ip route 192.168.2.0/24 gateway tunnel 1 keepalive 1 gateway pp 10 weight 0 (中略) ip keepalive 1 icmp-echo 10 6 192.168.2.1 <トンネルバックアップ型設定> tunnel select 1 tunnel 1# tunnel backup pp 10 pp 10 は ISDNのダイヤルアップ用で どちらの設定でもバックアップ動作は可能ですが、お勧めはどっち? パケットロスを隠すので マルチホーミング型がいいのか? 両者で挙動に違いはあるんでしょうかね。
RTX1100 本体を DNSキャッシュサーバとして動作させ、
http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html を用いて、クライアントPCのIPアドレス (送信元) で、
違う経路を設定し、更にデフォルト経路を指定しないといった使い方をしています。
デフォルト経路を指定するとダウン時にそれが使われるので、グローバルIPアドレス漏洩 (というのも大げさな書き方ですが) のリスクがあるからです。
この設定にしたら、クライアントPCで名前解決ができない問題が生じました。
原因は、ルータ (RTX1100) が DNSサーバにアクセスする際の経路が存在しないことだと思い、RTX1100 自体のIPアドレスを探してみました。
マニュアルにもドキュメントにも無かったので、ブルートフォース的に探索したところ、127.0.0.1 や SSH等でルータにアクセスする時に使う
192.168.0.1 も駄目、結局 0.0.0.0 を特定の経路に割り振ってやると、期待通りの動作になりました。
(クライアントPCがルータと同じ経路になることもなく、きちんとクライアント毎に別経路になっています。)
〜ここまでは前置き〜
ここからが質問なのですが、 RTX1100 上で IPアドレス 0.0.0.0 はどういった使われ方をしているんでしょうか?
また、今回のような使い方をしてもセキュリティ上の問題が生じないもんなんでしょうか?
(インサイダーが悪意を持って、発信元IPを 0.0.0.0 に偽った場合には、ルータの名前解決用の経路が使われることは把握しています。)
教えていただけたら幸いです。
>>555 内容からISDNは常時接続だね。
通常運用時に速度速いほうにしたら?
ヤマハはもう無線はやらんのだろうか
>>558 プラネックスの様に無線作ったりして徐々に個人向けになってほしくない。
RTX3000を使って透過プロキシーを構築できますでしょうか? つまり、LAN側のPCでWebプロキシーを設定することなく、 80番宛のパケットだけ強制的にRTX3000のWAN側に あるプロキシーサーバに投げるようにすることはできますか?
>>560 何でWAN側にProxyが有るか良くわからないが、
その機種はNAT変換を通常とは逆に書けるので、80パケットだけProxyに向かうように設定すれば出来るんじゃない?
まあ、実際にやってみないと判らないけどね。
562 :
sy :2007/03/27(火) 00:43:20 ID:lncqNmnw
>>555 RT105 世代が現役で稼動しているのでマルチホーミング使ってます。
563 :
560 :2007/03/27(火) 10:35:38 ID:hf4Pd5dd
>561 ありがとうございます。 当方の勉強不足で、この辺の常識を知らないのですが、 この場合、プロキシーサーバは、LAN側に置くのが普通なのでしょうか。 LAN側に置くとループ防止の設定をしなければならず、それがめんどうそう でしたので、安易にWAN側(正確にはDMZ)にプロキシーサーバを 置くことを考えていました。 配置は別途考えるとして、透過プロキシーを実現できるかどうか、 NATの箇所のマニュアル類を探ってみます。ありがとうございました。
>>561 >>563 Trasparent Proxyに設定するSquidとかの問題ではないの?
ルータで「Proxyを通過させるパケット」を
より分けるなら、NATじゃ無理じゃね?
ルータで
http:80宛送信パケットを捕獲して 、送信先アドレスを
書き換えてしまう(DMZのプロキシ宛てにする)と、
プロキシが受け取ってもそもそもどこ宛かわからなくなるような・・・(間違ってたらスマソ)
あくまでルータとかゲートウェイでパケット選り分けたいなら
L7スイッチとかWCCP対応のルータとかじゃないとダメなのではないで(´・ω・)スか?
Webトラフィック全部をProxy経由させるなら問題はないと思いますが。
>>557 ISDNはダイヤルアップですが?
>>562 RT105 ではその設定しかできない という意味ですか?
(tunnel backup コマンドは使えない?)
柔軟な設定ができるのがいいけど、同じことをやるのでも
複数の設定パターンがあるので、正直迷うことがある。
たとえばトンネルの終端をグローバルアドレスにするか、
プライベートアドレスにして、nat descriptor static ... とやるかなど。
566 :
560 :2007/03/28(水) 17:49:10 ID:CVMhYWIX
>564 お返事ありがとうございます。 RTX3000ではダメなのですか? どなたか、当該機で透過プロキシーを 構築された方はお見えでないでしょうか?
機種はRTX1000、2つのプロバイダを使い(回線は1本)、 マルチセッションでinternet抜けをしています。 ソースルーティングで2つのプロバイダを使い分けたいのですが、 その様な設定はできますでしょうか? フィルタで振り分ける事になるんですかね?
そもそもどんなルーター使っても無理なのでは? 私はこんな感じで設置だね、正確には本社に設置で支店含めてProxy経由するようにしてあるので違うが WAN ← ルーター(なんでもいい) ← Proxy(Linuxで運用、NIC2枚) ← WindowsXP と全パケットを一度Proxyサーバーを通過するようにしないと、ポート80だけ飛ばしてもDNSとか他の機能との連携がとれないんでは? あと、WANのどこにサーバー設置できるん?まさか建物外(外部)にあるProxyサーバー? RTX3000に隣接していないとroute設定等なにも出来ないと思うけど・・・
>>570 WAN側なら、DMZじゃなくても割り当てアドレスが/28とかならありえるんじゃない(´・ω・)スか?
まぁ、ルータにBGP食わせたりしなきゃいけないんでしょうから、俺にはもう完全に無理(´・ω・)ス
ちなみに、ProxyはDMZというケースは多いと思いま(´・ω・)スよ。うちはProxyなんてない(´・ω・)スが。
573 :
570 :2007/03/30(金) 09:32:25 ID:xMJtHegj
>>572 RTX3000をローカルルーターにしてWANより上位にもう1台ルーター設置してあれば出来なくはないけど
でも常識的にRTX3000の上位にルーター置くって事はRTX3000以上の性能を持ったルーターと考えてしまうのですが?
したがって環境が良くわからん。
ネットワーク設計の見直しからしてみてはいかがでしょうか?(回答になっていない)
>>573 確かにむき出しでProxyをWAN側に解き放つ('A`)構成は
最近じゃあんまり意味は無い(´・ω・)スね。
RTX1000ぐらいだって3つ足あるわけですし。
575 :
562 :2007/03/31(土) 00:10:44 ID:rKoEeu3H
>565 設定を見てみたらこんな感じで、「tunnel を pp でバックアップする」とは違いました。 ip route default gateway pp 1 filter 1 2 11 12 gateway tunnel 2 weight 2147483647 hide gateway tunnel 1 weight 1 hide
576 :
AAA :2007/04/03(火) 12:52:36 ID:???
aaaa
577 :
hiro :2007/04/05(木) 18:03:52 ID:ceN6pOuF
RTX1100の設定ー(特にfilter部分、プロバイダー接続部分とか)を コマンドで書くのが面倒なので、RT56Vの設定をtelnetでアップロードしても ある程度は動くのでしょうか。
>>577 試せばいいじゃない
ダメだったらリセットしなさぁい
579 :
anonyomus :2007/04/06(金) 18:29:22 ID:AeuvoyJw
>>577 機種によらず,コマンドは同じなので,大丈夫だと思います。
580 :
580 :2007/04/19(木) 20:34:00 ID:SqwiiW9e
問題切分けの為にアドバイスを頂けたらと思います。 現在3拠点をグループアクセスでネットワークを組んでいます。 プロバイダ:OCN 回線:Bフレッツ光(3拠点とも) ルータ:RTV700(3拠点とも) その際に、拠点間の回線速度が、3〜4MB以下と極遅なんですが、 ルータの設定が原因で遅くなるって事はありますか? なお、基点となる拠点からインターネットの通信速度測定サイトで計ると 40MB以上は常に出ます。
>>580 VPNで使うプロトコルはなん(´・ω・)スか?
PPTPとかだったら、
>>265 氏の解説とか
役にたつかもしれない(´・ω・)ス
うちはVPNしてないのでわかんない(´・ω・)ス
582 :
nttw :2007/04/20(金) 10:43:24 ID:???
>>580 グループアクセスってことで、暗号化せずにトンネル掘ってるだけだよな
3〜4Mってのは何で計った?
Windowsのエクスプローラでファイルコピーならば遅くて当たり前
583 :
580 :2007/04/20(金) 11:43:39 ID:???
どうもです。
自分で設定していないので、ルータの設定を見ての回答ですが…。
>>581 プロトコルは、IPsec/ESPになるかと思います。
>>582 暗号化は、AES-CBC と思います。
認証のアルゴリズムにもHMAC-SHAが選ばれています。
計測は、エクスプローラのコピーです。
ttp://www.kitou.ac/index.html 上記サイトの転送速度測定ソフトで計りました。
ファイルコピーは、どうしようも無いって事なんでしょうか?
585 :
nttw :2007/04/20(金) 13:03:32 ID:???
>>583 Windowsのファイルコピーは遅延ある回線に弱い
でかいファイルのコピーをしなきゃいけないならFTPに汁
企業ポリシーにも依るけど、
みかかを信用する前提であればグループアクセスに暗号化は必須じゃない
普通にトンネル掘ってもファストパスで動作するし
IPsec使うよりも速いと思われ
※当方の経験では、名古屋〜大阪のケースで、Ping値1桁ms
RTX1100の配下にRT56VをおいてVOIPphoneにしたいんですけど 設定例とかはないでしょうか。 RTX1100は固定IPです。
587 :
あのにます :2007/04/21(土) 20:30:22 ID:???
RTX 1100 についての質問です。 Yahoo! BB のモデムにハブを繋ぎ、端末を2台接続すると、2つのIPアドレスが取得できます。(どの契約でも必ず 2IP が取得可能になっています。) これを、RTX1100 に代行させたい (RTX1100 にIPアドレスを2つ取得してもらう) のですが、どのような設定にしたら良いでしょうか? モデム ━ ハブ ┳ LAN1ポート ┗ LAN2ポート だと、それぞれの設定 (lan1 と lan2) で DHCP サーバからの取得 (ip lan1 address dhcp, ip lan2 address dhcp) をすればできそうですが、 これを、 モデム ━ LAN1ポート という接続方式で仮想的に再現したいと考えています。 つまり、dhcp サーバからIPアドレスの割り当てを受けた状態で、更にもう1セッション別に割り当てを受けるような設定にしたいです。 ご教示いただけたら幸いです。
589 :
?? :2007/04/24(火) 19:34:51 ID:???
PPPoEならマルチセッションで出来そうだけど Yahooだとそうもいかないのか ip lan1 secondary address dhcp とかで出来ないかな?
dhcpってセッション管理できたっけ? まぁ、「他のセッションに影響しないんですよね?」「影響しません」 数ヵ月後に「他のセッションに影響していたのを修正しました」 なんてことをやってくれるメーカーだからなー あの時はバカ受けした
>>588 ルーターで出来ても(出来るかどうかは知りません)、YAHOOBB側で対応できないと思う。
DHCPはMACアドレス1個に対して1個のIPを付与するからMACアドレス2個必要なのでは?
593 :
588 :2007/04/26(木) 14:16:12 ID:???
>>592 なるほど…。
Yahoo! BB は 1契約での IPアドレス取得制限は 2〜3個 になっているんですが、それを取得するためには別々の MAC アドレスが必要ってことですね。
ってことは、素直に LAN ポート分割機能を使って、個別管理できるLANポートを7個にして、ハブを繋げてIPアドレスを多重取得するってのが良いですね。
ありがとうございました。
RTX1000 -> RTX1100 に乗り換えるメリットってあるでしょうか? 回線1: Bフレッツ + 固定IP1個のプロバイダ 回線2: 予備の ADSL どちらも NAT で 1個の IP アドレスを共有 プロトコルごとの優先制御のみ LAN 上にクライアントPC で外に出て行くのと、 自分のドメイン用に外からアクセスしてもらうための DNS / Mail / Web サーバなどが立ててあります。 VPN が高速化したとは言っても、ルータを通過して PPTP サーバを 立ててあるのであまり関係なさそうです。 クライアント側の用途は Web と Mail がメインで、時々動画を 見る程度です。 回線1 のプロバイダに対するスループットが下り平均 41Mbps ぐらい出ていて、ルータを経由せず PC 直結ならもう少し速いので、 RTX1100 にして光のスピードを生かし切れるなら 乗り換えてもいいと思っています。 CPU がマイナーチェンジしたのと、クロックが上がっているので 多少は速いようですが、その手の比較データが見つかりません。
596 :
sage :2007/05/04(金) 16:40:38 ID:???
>>594 ルーターのIPsecを使って、VPNを組んでいるんなら関係しそうだけど、
書いてある用途じゃあ、たぶん、買い換えのメリットはないかと。
個人的には、ファーム多重、config多重、スペースでのコマンド補完が便利なんで、
RTX1100を使っているけど。
>>596 コマンド補完はTABだけかと思ってたよ
今やってみたら出来た
知らなかった、thx
598 :
596 :2007/05/04(金) 18:08:42 ID:???
>>597 ちなみにコマンド途中でEnterもおk
ad (Enter)
で、ちゃんとadministratorになる。
599 :
594 :2007/05/07(月) 01:53:11 ID:???
>>596 優先制御の限界が上がる話は前から興味があって、
RTX1000 で優先制御をやめて fifo にしてみたことがありますが、
下り平均 12Mbps 程度アップした程度なんですよね。
すいている時間だっただけかもしれず。
帯域制御は数字残っていませんが、
スピードがた落ちだったのですぐ優先制御にもどした覚えが。
ssh は欲しい気もしますが、やっぱりメリット薄いので
ちょっと新機種とか動きあるまで様子見ます。どもでした。
600 :
>>594 :2007/05/07(月) 09:18:28 ID:???
RT58iでもいい希ガスが・・・
WAN経由でファイル共有(CIFS)を使うとどれぐらいの回線速度で 頭打ちになりますか?
602 :
sage :2007/05/11(金) 22:25:09 ID:???
>>601 CIFSだから回線速度ではなく、応答速度に依存ですね。
>>602 遅延時間が関係あるようですね。
たとえば30ミリ秒の遅延があれば何メガビットの回線速度が頭打ちになりそうですか。
604 :
602 :2007/05/12(土) 10:14:46 ID:???
やっちまった、、、 パスワードがわかんない;; うちの脳がEEPROMではないことを忘れてました。 こじあけられるかな・・・・
>>606 「security class」がデフォルトならメーカーが勝手につけたパスワードある。
608 :
あのにます :2007/05/14(月) 21:16:06 ID:???
>>607 さま
>>608 さま
ありがとうございます、w,lXlma も受け付けないモードでした。
ちなみにRTX1000DKFA なんですけど、基板上のシリアルEEPROMを
外して読んでみましたがMACアドレスが格納されているだけでした。
FLASHROMを直接触るしかないようです。
610 :
ななしさん :2007/05/15(火) 16:23:49 ID:???
>>609 コンフィグ残ってないの?
初期化したほうが早くね?
611 :
rt :2007/05/15(火) 17:17:09 ID:???
ストリーミング動画を見たいのですが、うまく見られません。 拠点A RTX1000−VOD |IPsec RTX1000−Player 拠点B 上のように、拠点間をRTX1000でVPNしているんですが、 拠点Aでは問題なく見られるVODサーバーのストリーミング動画が、 拠点Bではうまく見られず、次のような現象です。 Realtekでは、見られる。 Intel、Broadcomでは、見られない。ただし、Tcpmonを動かすと見られる。 フィルターの設定かと思ったんですが、LANカードによって見られたり見られないって あるんでしょうか?
613 :
ななし :2007/05/15(火) 18:24:43 ID:???
初期化して構わないなら、背面のINITボタン押しながら電源のOFF/ONしてみな
>>613 さん
まじ、INTボタン見逃していました・・
取説にはメーカーに出せなんて書いてるからw
もう少しでFlashROMひっぺがしてるとこでした。
早速今夜ためしてみます!
RT107eを使っています。 DoS攻撃に対する防御はどのように設定すればよいですか?
614です。 INITボタン+電源ONとマニュアル通りにやってみましたが 解除されませんでした。もしかして壊れてるのか・・・
617 :
sage :2007/05/20(日) 00:55:34 ID:???
> 616 INITボタンですが、押しながら電源投入して、 電源をonにしたあとも、 20秒ぐらい押しっぱなしにしたままにしますと、いかがでしょうか。
>>617 さま
20秒以上し続けてみました。
RTX1000 Rev.8.01.20 (Fri Jan 13 17:03:42 2006)
Copyright (c) 1994-2006 Yamaha Corporation.
Copyright (c) 1991-1997 Regents of the University of California.
Copyright (c) 1995-1996 Jean-loup Gailly and Mark Adler.
Copyright (c) 1998-2000 Tokyo Institute of Technology.
Copyright (c) 2000 Japan Advanced Institute of Science and Technology, HOKURIK
U.
Copyright (c) 2002 RSA Security Inc. All rights reserved.
00:00:00:29:00:00, 00:00:00:29:00:00, 00:a0:00:29:00:00,
Memory 16Mbytes, 3LAN, 1BRI
Password:
エラー: パスワードが間違っています
Password:
でした;;
619 :
ななしさん :2007/05/21(月) 09:45:35 ID:???
>>618 初期化したならブランクパスワードになってなかったっけ?
>>619 さま
上記は
そのまま何もいれずにEnter押してます。
うーん;;
621 :
あのにます :2007/05/21(月) 19:00:17 ID:???
>>620 ルータは設定が初期化されたような動きをしてる?
622 :
ななしさん :2007/05/23(水) 17:52:14 ID:???
>>620 工場出荷状態のパスワードはマニュアルに記載されてるよ
ブランクではない
>>622 工場出荷時のパスワードはブランク。
それとは別に設定されたパスワードがあり、security class が標準設定ならばそのパスワードが有効なだけ。
間違えた。 WAN側から172.16.2.1に対してコネクションを張ると、 当然NATが行われ192.168.0.1にパケットが飛びますが 192.168.0.1からnetstatなどでそのセッションを見ると 始点アドレスがそのWANノードの生IPになってしまっている、という問題です。
RTX1100を購入してVPNを組んでみようかと思っているのですが、 IPSecによるVPNって一つのIPをVPNで占有したほうが速度出るとかありますか? NATでも別に大差ないとかならIP1契約でも十分なのかなぁと思っているのですが。
今度業務でハウジング先の回線とRTX1100を使ってサーバ公開する予定なんですが、 ハウジング先の回線の場合、どういう設定になるんですか? 今までPPPoEとかでしか使ったことがないのですが、通常の内部ルータと同じ設定でいいのでしょうか?
628 :
anony :2007/06/06(水) 08:55:37 ID:???
ハウジング先の回線がどうなってるかハウジング屋に聞けよ
RTX1100を使ってマルチホーミングでISP1(PPPoE)とISP2(専用線)に接続し、 LAN1に繋いであるサーバをNATで公開しています。 このとき、経路の設定は下記のようにしてあるのですが、 ip route default gateway pp 1 weight 10 hide gateway xxx.xxx.xxx.xxx weight 1 hide ISP1側のIPアドレスに接続に来たパケットをISP2の経路で返すことがあります。(その逆もある) ISP1と2で回線速度が違うため、できればISP1のIPアドレスにアクセスに来たパケットに対しては、 常にISP1の経路から返すようにし、ISP2のIPアドレスにアクセスしてきたパケットに対しては ISP2の経路から返すようにしたいのですが、こんな設定は可能でしょうか?
>>626 レス付かないから私から一言。
1回線で1台のルーターならIP1個でもIP複数でも速度は同じじゃないのか?
複数ルーターで分散化するなら話は別だが。
631 :
anony :2007/06/06(水) 14:14:40 ID:???
>>630 NAT でIPSec という時点で普通に釣りだろ
NAT使っているなら、、、、サーバに二つ目のIPアドレスを振って、 ISP1から来たら一つ目のアドレスにNAT変換 ISP2から来たら二つ目のアドレスにNAT変換 外に出て行くときは、ソースアドレスを見てフィルタ型ルーティングを 動かせばいいんじゃないか?
初心者質問ですいません。 初めてRTXシリーズを触るのですが(既存は107e)、フィルタ設定をイチしっかりしないと フィルタは掛かっていないものと考えていいんですよね? Established オプションよりも安全性を考えればちゃんと書いた方がいいですよね?
634 :
an :2007/06/07(木) 17:04:57 ID:???
外部からの攻撃を防ぐ意味であればNATだけ書いとけば、とりあえず良かろう あとは、内部PCから変なパケット(NetBIOS系など)を変な相手むけに飛ばしちゃって、 返事もらったりしないように、フィルタ設定を煮詰めていくとよい。 鯖公開してたりDMZ作ったりするのなら、 それなりに最初からキチンと設定すること
>>634 ありがとうございます。
特に外部への鯖公開とかはなく、IPSecによる拠点間通信とインターネットなので、
Established と必要なNATでとりあえず始めてみます。
フィルタは徐々に追加して煮詰めていきます。
本当にありがとうございます。
マンションに YahooBB 光 Type-E (部屋の壁に イーサネットの口がある)しか選択の余地がなくしかたなく契約しています。 YahooBB 光ユニットとかいう糞ルータを強制的に使わされているわけですが、RTX で接続する方法はないでしょうか? どうも、Mac アドレス認証し、DHCP で IP Address をもらっているようなので、光ユニットの WAN 側の Mac アドレスを 調べ、それを RTX の WAN のポートに設定すればいいような気はするのですが。BBフォンとかいらないので、普通のルータ使いたいです。 Netscreen でも Cisco でもいいんです。
637 :
ano :2007/06/16(土) 14:17:25 ID:???
引っ越せ
638 :
636 :2007/06/16(土) 14:54:25 ID:???
データセンタのとなりに住まわされているので無理ですね。
転職しちゃうとか。
640 :
ano :2007/06/16(土) 21:15:54 ID:???
>>638 ルータでなくちゃダメなの?
そんだけ近いならいっそのことL2とかL3にしたら?
>>636 ルーター一体型モデム?
それなら、設定変更してモデムモードにして、そこにルータ (RTX1100) 繋げばいいだけだと思うけど。
YAMAHAのRTX3000ってCiscoのどの機種に相当するスペック?
643 :
_ :2007/06/17(日) 16:31:08 ID:???
Cisco12000…だとさすがに4倍もあって冗談にもならんので3825と答えておく。 つーかスペックの何について比較したいんだ?
644 :
642 :2007/06/17(日) 18:11:53 ID:???
某所でRTX3000の見積もりとってみたのよ。
型番:RTX3000
>>634 商品名:RTX3000 イーサアクセスVPNルーター
定価:\498,000
お見積価格:\338,600
でね、Ciscoがやっぱいいのかなとも思うんだけど、
YAMAHAのコストパフォーマンスを知りたかったわけで。
7200だとかなりいい値段するし、3800クラスでもやっぱ高いじゃん。
645 :
/ :2007/06/17(日) 19:14:10 ID:???
その見積は何故RTX1500やRT58iでは無くRTX3000を選んだの? その理由となった要件があるはずで、それが分らないとCiscoの場合に どの機器を選べば比較になるのかが分らないよ。 以下は明らかに余計な御世話だけど、機器単体の価格以外にも 将来の拡張時に要する費用とか、社内/社外のサポート体制とか、 客の運用体制とか、その他色々考えて機器を選んでね!
646 :
| :2007/06/17(日) 21:50:02 ID:???
そういえばCisco 7201にはUSBポートついたんだっけ。関係ないけど。
rtx1100を使って以下のようにつなぐことって出来ますか? 3.0はインターネットに直接繋ぎません。 インターネット インターネット │ │ 192.168.1.0/24 192.168.2.0/24 │ │ │ │ └──────192.168.3.0/24 ─────┘ │ ┌───┴───┐ [webサーバー] [Fileサーバー]
648 :
あのにます :2007/06/26(火) 02:36:21 ID:???
「FOMAリモートセットアップ機能」対応ファームきたー
649 :
あのにます :2007/06/26(火) 02:43:56 ID:???
FOMAの件は着信だけだった。つまらん。 でも、以前ここで報告してた不具合がやっと直ったみたいだ。 ↓ 「RTX1100とRTX1500で、ログイン/管理者パスワードに同じパスワードを設定して、以下の組合せで暗号化して保存させた場合、認証エラーによりWeb Assistanceのトップページを表示させることができない * ログイン/管理者パスワードを共に暗号化して保存する * ログインパスワードのみ暗号化して保存する」
RTX1100を2台で拠点間VPN接続をしようと思ってるんですが、開通後にアクティブディレクトリなどを組む場合にどういったフィルタリング設定が必要なのかぜんぜんわかりません。何か参考になるサイト情報とか設定情報ありませんでしょうか。
>>650 拠点間通信にフィルタ掛ける必須要件があるから聞いてるのか、
その必要性の有無をまだ検討してないのか、
既にVPNは構成したけどADの運用で問題があるから聞いてるのか
その辺全部はっきりさせた方がいいよ。
よくあるパターンとしては、拠点それぞれのLAN内は信用できるものと仮定して
拠点間トンネルの手前には何もフィルタを置かない、というやり方があるけど。
653 :
anonymous :2007/07/07(土) 21:02:50 ID:CW3mc3s/
>>650 >アクティブディレクトリなど
アクティブディレクトリだけを通過させてそれ以外全て禁止って意味か?でもなぜ後ろになどと書いている?
質問は理解できる文章で宜しく。
652さんの言うようにVPNだからLANポートの設定は全て通過で良いんじゃないのか?
ActiveDirectory使うには危ないとされるポートを ほとんど開ける必要があるからフィルタはあまり意味が無い
初めまして、RT57iの設定をコンソールでやってます。 ネットボランチDNSサービスの設定をしているんですど pp select anonymous netvolante hostname host pp xxx とし netvolante-dns go xx を pp anonymousで登録したいのですが 整数で設定して下さいと表示され、設定できません。 ちなみにネットワーク接続なのでかんたん設定ではDNSの設定が行えません. どなたか分かる方はいらっしゃいますでしょうか?
>>655 pp select anonymous
で指定するのは、主に特定不能なリモートアクセスユーザを括る時の相手先情報なわけで。
そいつらが目指してくるべき、57iのグローバルIPアドレスを、netvolante-dnsで示してほしいわけだよね。
57iがインターネット接続で使っているppを選択した状態で、登録コマンドを実行してみて下さい。
>ちなみにネットワーク接続なのでかんたん設定ではDNSの設定が行えません.
何が「ちなみに」なのかも含め、この一行がまったく意味不明です。
シリアル接続だからGUIで簡単設定できないってんなら分かるけど。
650です。 僕初心者に近いんでやはりCONFIGとかの記述まで知りたいのですが、VPNにはフィルタリングが要らない場合、インターネット側の出口にかけるべきフィルタリングの基本的な内容を知りたいのですが、そんなサイトありませんか?
658 :
あのにます :2007/07/08(日) 00:34:58 ID:???
>>657 ほぼ同じ構成で使ってるけど
ヤマハに載ってるのを、そのままコピペするんじゃ駄目なのか?
それで動かして、少しずつ自社に合わせて行かないと
どうにもならないよ。
>>657 http://www.netvolante.jp/solution/vpn/case2/example1.html 添付の設定例集だとフィルタは何もないから、この辺でもパクって作れば?
常識的なのは書いてあるように見える。でも言うまでもないが、こういうのに模範的解答例はあっても完璧はない。
しかし、会社から業務の一環として構築を指示されているんなら、
「自分の力量では、何とか構築できても全社のLANを危険にさらすかもしれないので、専門業者を呼んでいいですか?」
と、今のうちから声上げておいた方がいいぞ。
管理者がその状態では先が思いやられる。
あと蛇足だが
>CONFIGとかの記述
ルータの設定はコンフィグで全て完結なので、意味もなく"とか"なんて入れないでね。
そんなに自分の発言に責任が持てないですか?
しばらくalliedをいじってたあとにrtx3000さわると、なんか安心するのは何故だろう 色のせいかな。やっぱ肌触りかな
663 :
NAPT :2007/07/10(火) 23:15:18 ID:???
そういやRTX3000で書き直したNATディスクリプタ、なんでSRT100に載せてくれなかったんだろうな。相変わらずテーブルあふれるんだが。 処理能力不足か?
664 :
◆Kode71qa9g :2007/07/14(土) 23:13:45 ID:+qfG6hng
650です。なんとか設定考えて2拠点のインターネットへの接続は できるようになったんですが、結局拠点間のvpnがつながらず ログを見ても両側共に下記のログ以降VPNの接続に関するログが出ていません。 [IKE] initiate ISAKMP phase to xxx.xxx.xxx.xxx(相手側グローバルIP) show ip routeでTUNNEL1の表示もでて、RTX1100のWEB設定画面でトンネルの [設定を調べる]ボタンを押しても全て特に問題ありません。と出ています。 何が悪いか経験で分かる方いませんか。フィルタリングのOUT側の問題とか 関係あるのでしょうか。
>>664 UDP 500番は空けてあるんだろうな?
>>665 ip filter 1020 pass xxx.xxx.xxx.xxx(相手グローバル) 192.168.100.1(自分ローカル) udp * 500
ip filter 1021 pass xxx.xxx.xxx.xxx(相手グローバル) 192.168.100.1 esp
で、in側フィルタにいれてます。ちがってますか?
667 :
あのにます :2007/07/14(土) 23:46:38 ID:r418zK7z
とりあえず syslog notice on しておきましょう。
>>667 syslog notice onは両側入れてるんですが、
WAN側、LAN側のIPに関わるrejectのログは見当たりません。
669 :
◆Kode71qa9g :2007/07/15(日) 00:51:13 ID:Ehz0H07U
なんかこんなのでてきたんですけど、 LAN2 Rejected at IN(2000) filter: UDP(相手側グローバルIPのブロードキャストIP):500 > (ローカルのLAN側IP):500 IN側のフィルタ設定のせいでipsecがブロックされてるってことなんですかね?
惜しいところまで来てる感じだな。 繋ぎたい両拠点のconfig全体を晒してみては… もちろん、パスワードとかグローバルIPアドレス等を伏せてだけど。
>>Kode71qa9g フィルタ外してやってみ? それと、NATはどうなってる?
教えてください。 RTX1100にVPNでログインするユーザーに対し、ユーザー別に割り当てるIPアドレスを 決めることはできるのでしょうか? RT57iの場合は割り当てるIPアドレスが全ユーザーで共通設定になっていて 別々にはできなかったのですが・・
>>672 pp auth usernameで57iでも出来るよ
RTX1100のip filterコマンドでアドレス並べたてみたが、一行に約28000文字は全部飲み込めないみたいね。 RTA55iはできたのに。
675 :
倍王 :2007/07/21(土) 07:24:06 ID:???
YMS-NM1なくなっちゃった・・・使って他の俺だけ?
677 :
anonymous :2007/07/27(金) 19:00:31 ID:fRH6ILmM
http://netvolante.jp/solution/int/case4b.html とまったく同じネットワーク構成にしようと考えて RTX1100 を買ったのですが、
ISP が USEN の BROAD GATE02(複数IPアドレス)なので、
この例のように PPPoE で繋ぐわけにはいきません。
LAN2 ポートの WAN の設定はどうすればよいのでしょうか?
LAN2 ポートに UCOM からもらった IPアドレス を割り当てたりしてみましたがダメでした。
いろいろ探したのですが全然見つからず途方に暮れています。
教えてください。
678 :
あのにます :2007/07/27(金) 19:34:19 ID:???
>>677 > ISP が USEN の BROAD GATE02(複数IPアドレス)なので、
> この例のように PPPoE で繋ぐわけにはいきません。
何が「なので」なの?
「複数IPアドレス」だから「PPPoEが不可」と思ったのか
「PPPoE以外の何か」だから「PPPoEが不可」と思ったのか
BROAD GATE02ってのにも、色々あるみたいだから
何に悩んでいるのか良く分からん。
>>677 使えるIPは何個?(BroadCast、Networkアドレス抜いてな)
そもそもPPPoE接続とIPが複数割り振られてる云々の話は
競合するもんじゃない。
680 :
677 :2007/07/30(月) 11:00:59 ID:???
>>678-679 ありがとうございます。
使えるIPはブロードキャストとネットワークを除くと6個になります。
PPPoEと競合する概念ではないというのはもや〜っとわかってるつもりなんですが、
何分知識がないもので伝わらなくてすみません。
要は
>>677 に挙げたYAMAHAのサイトの例での
「WANのインタフェースの設定」をどうすればいいのかわからないのです。
例えば
network: 221.xxx.0.0/29
gateway: 221.xxx.0.1
が割り振られているとして、
ルータのLAN2ポートには
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
と設定したのですが、設定を保存した後でも
外部にpingを飛ばすことができませんでした。
>>680 ( ゚д゚)?
> network: 221.xxx.0.0/29
> gateway: 221.xxx.0.1
> が割り振られているとして、
gateway ってのが何を指してるのかいまいちわからんが、
類推しすると、そのGatewayアドレスをルータに食わせろ、
ってことじゃないの?
>>677 のWeb事例で言うとlan2で固定する気なら
pp select 1
pp always-on on
pppoe use lan2
略
ip pp address 222.xxx.0.1/29
でlan2 のpp1に固定IP振ってして、
さらにlan3にも固定IPを振り分けて固定する(無駄がでる)
PPPoEでUnnumberedでいいなら、素直に
ip lan3 address 221.xxx.0.1/29
ip route default gateway pp 1
じゃねーの?
>>680 >>681 さんと一部ダブルが。
ルーターとは異なるネットワークを繋ぐものですしたがって、LAN1(LAN側)とLAN2(WAN)側で異なるネットワークアドレスにしないと行いけません。←これ基本。
数パターンの接続方法があるが。
1.WAN側に振るIPアドレス&プロバイダー側のゲートウェイが資料で着ていないか?
2.Unnumberedで繋ぐ。
3.PPPoE、USENならPPPoEでは無いと思う、と言うか資料は無いのか?
等があるね。
私なら、ルーターをいきなり繋ぐのではなく、PCを直に繋ぎ接続試験をしてみるけどな。
>>680 USEN の BROAD GATE02 はLAN型接続なので、IPの割り当てが
network: 221.xxx.0.0/29
gateway: 221.xxx.0.1
ならば、
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
でいいはず。
で、LAN3には 221.xxx.0.0/29 の範囲のIPアドレスは使えないので、適当なプライベートIP で NAT しましょう。
>>683 あれま。じゃ、そもそもPPPoEじゃないのか。
すまん、LAN型のPPPoEってことか。 寝ぼけてるな。。忘れてくれ。
連投本当にすまん。メダパニしてる。
>>683 ってことはなにか、USENってリモートPP側のIPアドレスも
回線契約者側の負担なのか。ちょっとセコいな。
実質使用できるのが一個減るわけでしょ?w
そんなのよくある。
うちも1個持っていかれてるわ Unnumberedだと良いんだけどねー
689 :
am :2007/07/31(火) 10:32:02 ID:???
んでもYAMAHAのスレでアレだけど、 YAMAHA以外でunnumberedが使えない機械とかも有るわけで。
690 :
__ :2007/07/31(火) 14:56:47 ID:???
んで、677さんは解決したのかな?
すみませんお返事遅くなりました。
まずは
>>682 さんおすすめの通り RTX1100 はちょっと置いといて
UCOM光ファイバ網 - メディアコンバータ - ハブ - PC
という構成で試してみました。
PC には
IP: 211.xxx.0.2
MASK: 255.255.255.248
GW: 211.xxx.0.1
DNS: 211.xxx.0.1
と設定したら、
ping 66.249.89.147 # www.google.co.jp
はオッケーで
ping www.google.co.jp
はホストが見つからないとなってしまいました。
ということは RTX1100 には、
>>683 さんの教えてくれたように設定すればいいはず。
だけど問題は dns サーバは自前でたてなきゃいけない?ってことでしょうか。
とほほ。
ルータの設定がうまくいったら、また後ほど書きにきます。
> dns サーバは自前でたてなきゃいけない? ( ゚д゚) ( ゚д゚ )
>>691 >DNS: 211.xxx.0.1
UCOMに指定されたDNSサーバにしないと駄目ですよ。
>692 そういうことを言っちゃうような人も RTX に手を出す時代になったってことだな…
>>692 ,694
すいません・・・。
>>693 ですよね、ところがUCOMからはDNSサーバについて何も指定がないんです。
それと RTX1100 を一度 cold start して初期化した後、
>>691 と同じように
ip lan2 address 221.xxx.0.2/29
ip route default gateway 221.xxx.0.1
save
と最小の設定だけして
ping 66.249.89.147
したんですが、100%パケットロスになってしまいました。
悩ましいです。
>>695 GATE02の口はDHCPが生きてるから、
ガクブルしながらwindowsPCでもつないでみれば
DNSのアドレスはわかる。
697 :
あのにます :2007/07/31(火) 19:26:50 ID:???
698 :
sage :2007/08/02(木) 02:54:21 ID:???
GATE02なら、IPアドレスとか書いてある通知書の封筒に、 一緒にDNSサーバのIP一覧の紙が1枚入ってるよ。 地域毎に結構違うIPで書いてあるので、自分の地域のを選んで使えばよし。
699 :
名無し酸 :2007/08/02(木) 09:15:55 ID:???
もう既にRTXどころかルータについての話題ですらない件
魂猿雇えでFA???
701 :
stonestone :2007/08/03(金) 10:55:21 ID:CLUvwE7S
現在、東京−大阪間をRTX1000同士でVPN接続しています。 今、東京、大阪のRTX1000は ipsec sa policy 101 1 esp aes-cbc sha-hmac で接続していますが、これを下記に変更したいと考えています。 ipsec sa policy 101 1 esp 3des-cbc md5-hmac この設定変更を行う際に、東京のLANからまず大阪のルータに上記の変更を加えると恐らくその直後にVPNが切れてしまうのではないかと思っています。 この場合、その後に東京のルータの設定を変更すれば自動的に東京−大阪間のVPNは復旧するものでしょうか? もしくはこの方法ではダメな場合、どうすれば上記の設定変更を大阪に行かずに行えるでしょうか? どなたかお知恵貸してください。
702 :
anonymous :2007/08/03(金) 11:16:06 ID:M2uc0gP/
>>701 復旧すると思うけどVPN設定を書き換える時はセッションを切るようにYAMAHAも仰ってるし危ない事は確かだね。
失敗してもsaveしなければ誰かに再起動してもらえば旧い設定で復旧すると思うけど。
安全策として以下等を考えてみるものいいかもね。
1.インターネットに出れるのであれば端末型VPN等別ルートを作ってから行う。
2.人の変わりにPCを送ればいい、PHS+リモートディスクトップ等を組んだPCを郵送する。
703 :
stonestone :2007/08/03(金) 11:56:33 ID:CLUvwE7S
>>702 回答有難うございます。
なるほど、1番の方法はできそうですね。
例えば1番の方法の場合、例えばルータにPPTPなどで接続できるようにするとしたら、ルータに
NATの設定で下記の様なものが必要になると思います。
nat descriptor masquerade static 1 1 (ルータのIPアドレス) tcp 1723
nat descriptor masquerade static 1 2 (ルータのIPアドレス) gre
上記の様な設定をしたときに東京、大阪のVPN接続が切れたりはしないものですか?
それかPPTPじゃない方が良いんでしょうか?
>>703 思うに、VPNルータということはグローバルIPを持っているのでは?
ならRTXであればsshサーバ機能がありますから、念のためポートを変えて
sshサーバ機能を有効にして、sshloginすればいかがでせう。
ポリシーとして絶対インターネット側からは触らない(もしくは触れない)ような
場合はアウトですが。
705 :
702 :2007/08/03(金) 13:24:08 ID:bIL+CLsy
>>703 すでにVPNを構築している区間でもう1本VPN張ると切れる恐れがある。うちの環境ではPPTPを2本張ると確実に切れる。
だから、別ルートで接続する、従ってNATは関係ない、
で質問はあってる?的違い?
706 :
stonestone :2007/08/03(金) 15:23:26 ID:CLUvwE7S
>>704 とりあえず大阪、東京のルータの設定を変えて、この方法で問題なく変更できました。
有難うございました。m(__)m
>>705 回答有難うございました。とりあえず
>>704 で問題は解決しました。
もともとVPNの速度を上げたかっただけなんですが、
ipsec sa policy 101 1 esp aes-cbc sha-hmac
より
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
にしても、体感速度としては変わらないですね。
どこかにRTX1000のAESは遅いと書かれていたんで、もう少し速くなることを期待して試してみたんですが。
今回の事は出来てしまったので、結果として問題ないのですが、実はこの途中でYMS-VPN1でRTX1000に接続を試みてみようと思ったんですが、YMS-VPN1から「VPNの接続は確立した」とメッセージが出てもルータやルータ配下の機器にping打っても全然応答なしになってしまいました。
下記の設定を加えるだけではダメなんでしょうか?それともYMS-VPN1を使っている環境が上記の東京、大阪とは全く別の場所なんですが、そこのルータ配下にあることで何かルータの仕様に引っかかっているという可能性もあるでしょうか?
(このルータは確かYAMAHAのネットボランチだったと思います)
ip route 192.168.3.1 gateway tunnel 4
tunnel select 4
ipsec tunnel 104
ipsec sa policy 104 4 esp aes-cbc sha-hmac
ipsec ike local address 4 192.168.2.1
ipsec pre-shared-key 4 text hogehoge
ipsec ike remote address 4 any
ipsec ike remote name remote-pc
tunnel enable 4
現時点ではVPNクライアントを使わなくても良いのですが、今後の参考に教えていただけると助かります。
いまさらなんですが ip filter 11 pass * 192.168.0.0/24 icmp * * として ip pp secure filter in 11 のようにフィルターをin方向に設定しますが、グローバル側からLAN側へプライベートアドレスを 指定してのpingは通りませんよね。 (フィルタ以前の問題として、プライベートアドレスはプロバイダのルーティング対象から外れるし) したがって、このフィルタはプライベートアドレスへのicmp応答パケットを通しなさいという意味だと思います。 LAN 側から インターネット上のホストにping を打ったときなどの応答。 一方 ip filter 9 pass * * tcp * www ip pp secure filter out 9 または、 ip filter 9 dynamic * * www ip pp secure filter dynamic 9 のようにして、in 側への許可を設定しなくても tcp や udp だと、IP マスカレードしていても、外側から内側へ 「応答パケット」 を通してくれます。 icmp に関しては明示的に設定しないと、応答パケットが通らないようになっているのでしょうか?
709 :
不明なデバイスさん :2007/08/05(日) 20:27:40 ID:wPMfd1pP
>>708 もっと分かりやすく文章を書きましょうね
多分貴方の言っているのはYAMAHAのデフォルトでWAN→LANでicmpがpassだがreject等に換えるとインターネット上へPING出来ないと言いたいのだね。
filterの話ではなくIPマスカレード話になります。貴方の言っているwww(TCP)はWEBサーバー&ブラウザーがIPマスカレードに対応している。
その逆にIPマスカレード未対応のアプリケーションは双方向通信となるためINとOUT両方をpassにする必要がある。
それから簡単に説明したので細かい突っ込みは止めてね。
710 :
あのにます :2007/08/06(月) 14:44:25 ID:fGf7+gH0
RTX1000を使用してのLAN間VPN接続について、教えてください。 現在以下のような構成になっています。(2拠点で同じような構成です) モデム | |(WAN側 Bフレッツ PPPoE接続) RTX1000 |(LAN側 グローバルIPアドレス 例:133.176.200.209/28 ) | | 公開サーバ(兼FW NATもここでやってます IP:133.176.200.210/28) | ローカルネットワーク このような構成の場合で、WAN側に、LAN側と同じネットワークのIP 例えば、133.176.200.211を割り当ててやればVPNを構成することは 可能なのでしょうか?
711 :
stonestone :2007/08/06(月) 15:59:13 ID:fGf7+gH0
>>707 YMS-VPN1ですが結果的にはこちら側のルータの問題でした。
試しに携帯から接続してみたら素直にVPN接続できました。
皆様、色々、ご返信有難うございました。
712 :
710 :2007/08/06(月) 16:21:22 ID:???
いま参考本見てて思ったんですが、ひょっとして、WAN側にわざわざIP設定する 必要ないのでしょうか?
713 :
anonymous :2007/08/06(月) 20:35:17 ID:WbzgQyl/
>>712 WAN側の設定はプロバイダー指定の方法でないといけないと思う。
RTX1000のLAN側もグローバルなのだからLAN側のIPにインターネット上からアクセスできるようフェルター調整すればいいだけじゃないの?
>>708 そもそも、「応答パケット」はローカル側で通信時に生成されるランダムポートへの返信になります。
こっちがWebサーバのwww(80)に投げたからといって、応答までwww(80)で受け取る義理はありません。
よって、in側にwww(80)をあける、というのはナンセンスです。
逆にいえばinのパケットをreject all にし、establish以外叩き落とすという話になります。
バックアップのためにISPを2箇所と契約してマルチホーミングにした場合 DNSはどのように設定するのがいいのでしょうか? ISPのDNSを利用していると回線は切り替わってもDNSサーバが切り替わらない ので結局つながらなくなってしまいます。
>>715 マニュアル読みなさい、DNSは複数設定可能
>結局つながらなくなってしまいます。
それは実際に確認したのかな?
他社のDNS参照でも動く場合がおおいじょ。それはDNSの仕組み上可能なのです。
*契約上はだめだろうけどね。
>>714 そのりくつはおかしい。
そもそもICMPにポート番号がどうやって定義されるのかと小一時間(以下略)
ポート番号もないのにNATをどうやってやるのか?とさらに小一時間(以下略)
RTX1100ですがルータから他機器へのtelnetコマンドが効きません。 「コマンド実行が許可されません」になります。 どこかに設定があるのでしょうか?
720 :
あ :2007/08/09(木) 23:38:05 ID:???
administrator
721 :
あのにます :2007/08/09(木) 23:39:20 ID:???
http://netvolante.jp/solution/int/case4b.html の例にならって設定したのだけど、
telnet じゃなくて ssh にしたかったので、
ip filter dynamic 200 192.168.0.0/24 * telnet
を
ip filter dynamic 200 192.168.0.0/24 * 22
に変えようとしたら「エラー:パラメータの数が不適当です」と
言われて変更できません。
どうしたらいいですか?
>>723 ありがとうございます。
そこを参考にして変更できました。
でもどうして直接ポート番号を指定できないようになってるんですかねえ・・・?
>>709 >>714 ありがとうございます。
ところでRTX1100では IPマスカレードなppでは
フィルタのin方向にestablishedを含めなくてもestablishedな挙動になりますね。
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip pp secure filter in 1020 1030 2000
ip pp secure filter out ・・・・〜省略
ip pp nat descriptor 1
nat descriptor type 1 masquerade
一方マスカレードしていないppでは
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 1046 pass * 192.168.0.0/24 established * *
ip filter 2000 reject * *
ip pp secure filter in 1020 1030 1046 2000
ip pp secure filter out ・・・・〜省略
のようにestablishedのフィルタを設定しないと応答パケットがとおらず、通信ができませんでした。
古い機種なのですが、RTA52iでは マスカレードしたppでもestablishedを設定しないといけませんでしたので、
現在の機種ではマスカレードする時点でestablishedになるのが当然なのでフィルタ不要になったのでしょうかね?
726 :
anonymous :2007/08/11(土) 00:39:30 ID:EktXEUbP
>>725 ごめん頭が悪いので意味がわかりません。
なお
>>714 には勘違いか説明不足か?取り合えず変です。
>「応答パケット」はローカル側で通信時に生成されるランダムポートへの返信になります。
その説明だと応答パケット全てという意味になるが、そんなことはありません、基本的には送信したPortでサーバーから帰ってきます。
たぶんその説明は一部のアプリケーションの話だと思う、例えばWEBがその動作をします。
IEは1024以上のポートを使いWEBサーバーは80で受けます、ルーターが決めているわけではなくソフトウェアーがPortを決めています。
なお、この技術搭載のソフトは増えているようです。
この技術って・・・・windowsなんかより昔からそうだよ。
"相手先情報番号"自体について他の人に説明するにはどういった言い方がわかりやすいでしょうか? マニュアルには記載がないと思います
NATについて質問です Bフレッツプレミアム | CTU(192.168.1.200) | LAN2ポート RTX1100(192.168.1.201.) | LAN1ポート ハブ | ハブ | 公開サーバ(192.168.1.202) 上記のような構成でwwwを公開しようとしていますが どうしても、ルーティングされません。 下記の記述ではだめなのでしょうか? RTX1100からPPPoE接続は出来ております。 nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.1.202 tcp www nat descriptor masquerade static 1 2 192.168.1.202 tcp 81
730 :
アノニマス :2007/08/16(木) 17:38:13 ID:???
>>729 CTU(192.168.1.200) ってのが気になるが、
ほんとにLAN2側はグローバルIP?
(ってかCTUの内側までは来てるの?)
まあ、PPPoEで接続できてるってことだから
それはOKだと信じて、フィルターで弾いてるってことは無い?
731 :
729 :2007/08/16(木) 19:09:09 ID:Wb8IlWIy
CTU側のフィルターは解除してます。 CTU側のPPPoEは切断して、 RTX1100でPPPoEを接続しています。 show status pp 1 で確認をしても接続されていて、 グローバルIPも取れています。
NAT設定が足りない気がする。 nat descriptor address outer 1 (Global IP) を入れてみるとどうでしょう?
733 :
729 :2007/08/17(金) 10:02:34 ID:RctYN+3h
>>732 すみません、そちらを足したのですがやはりだめだったようです。
734 :
732 :2007/08/17(金) 10:22:45 ID:???
>>733 RTX側のフィルターを一時的にすべて解除するとどうですか?
(CTU側はPPPoEブリッジ設定されているという認識で良かったですよね?)
それでも拉致空かないのであれば、ID/PW情報などを伏せて、
ここにconfig内容を晒すか、メーカーサポートに聞くのが良いかと。
735 :
729 :2007/08/17(金) 15:24:50 ID:RctYN+3h
>>734 ご返答ありがとうございます。
>RTX側のフィルターを一時的にすべて解除するとどうですか?
はいそうです。
フィルタは一切設定をしてなかったのですが、
とりあえず
http://netvolante.jp/solution/int/case4.html を見てやってるのですが、httpsを通したいのですが
ip filter dynamic * * https
がパラメータの数が不適切ですでエラーとなります。
ip filter dynamic * * tcp 443
ip filter dynamic * * tcp * 443
を試したのですがだめでした。
>>729 nat descriptor address inner は設定してる?
ip filter dynamic の直後にフィルタ番号が抜けているような。 ip filter dynamic 100 * * tcp * 443
>>731 >CTU側のPPPoEは切断して、
CTUに既存のルーターを接続して、そのルーターの機能を使用する場合にはCTUのPPPoE機能を有効にしなければならなかった筈ですが?
739 :
anonymous :2007/08/19(日) 03:38:33 ID:GzV/1t0a
ヤマハのサポートは月曜までお盆休み。 困ったなあ。 SRT100のポリシーフィルターの設定画面でフリーズしちゃうんだけど。 なんでなんだろう。 どうもこの画面は数秒で自動更新されるらしく、この更新が途中で重くなって 通信が途絶えるみたい? どなたかご存じの方教えていただけませんか。
740 :
?? :2007/08/19(日) 06:00:43 ID:???
設定でLAN1からLOCAL宛のwwwを通すようにしてないとか
741 :
anonymous :2007/08/19(日) 12:09:52 ID:PHEOHMwM
>>739 ルーターの設定はシリアルポートから設定するのが多分一番安定する
>>739 老婆心ながら、とりあえず動的フィルタは後回しにしたほうがいいと思われ。
便利ではあるけど、とにかく面倒だし複雑だから。
それでもとにかくやるというなら
>>723 のリンク先を熟読すべし。
すいません、ちょっと聞きたいんですが・・・ RTX1100を使っていますが、現在の接続情報ってみれますか? 例えば どのIP から どのポート で どのサーバ に接続してる みたいな情報なんですが。
RTXでIPマスカレードをやってる場合のNATテーブルなら show nat descriptor address でずらずら出てくるよ。 但し、これは表示させた瞬間の通信状態を厳密に反映しているわけではない。 NATテーブルのTTLが尽きていない物が出ているだけ。 スタティックNATを定義してあればそれは常時表示される。
>>743 LOG解析でいいんじゃないの?
RTXでfilterのログ機能pass-logが実装されているはず(コマンドは打ったことが無いので本当にあるかどうかは知らない多分有る)
filter全てをログで出力すればどこにアクセスしたかわかるはず・・・どう出るかは知らないが
詳しくはRTXのマニュアル読んでね、
746 :
743 :2007/08/21(火) 15:38:10 ID:???
>>744 >>745 返答ありがとうございます。
そういえばNATはかけていなかった・・・なので取り合えずログ見てみます。
どうもありがとうです。
748 :
俺 :2007/08/27(月) 21:49:51 ID:???
CUIだけどできる。
750 :
sage :2007/08/28(火) 18:20:30 ID:???
常時5万セッションぐらい流れるところにRTX3000入れるの無謀かな?
こういうケースでセッションが上限を超えた場合、ルータってどういう挙動になるんでせう。 ルーティングテーブルがあふれたりすると、古いのが消えて大幅な遅延と広報がまき散らされたり へたすりゃリブートすると思うのですが。
YAMAHA独自のプロトコルらしきヤツで
tcpflag=0x0002/0x0fff
http://netvolante.jp/solution/int/case4b.html tcpflag=0x0002/0x0017
http://netvolante.jp/solution/int/case4.html という2種類の「最初のパケット(SYN)だけを通すフィルタ」というのがあるけど
なんで、2種類あるんだろうか?
それと、その目的も不明。おそらくSYN関連の不正アクセスに対するフィルタだとも思われるが
2種類ある時点で混乱の極みw
YAMAHAには、社内で自己完結するための説明ではなく、一般利用者に理解される為の説明という概念がないんじゃないか。
それとRT107eにはWANポートは1つしかないので、WANポートが2つ必要な設定例を紹介するのはよくないだろうに。
紹介するならするで事前に検証してから責任を持って欲しいもんだ。
とYAMAHAのサポートに伝えたが、対処する気配無しw
754 :
?? :2007/08/30(木) 10:17:53 ID:2AH64JA1
tcp flags は・・・マスタリングTCP/IPでも読めば良いよ
755 :
___ :2007/08/30(木) 14:13:47 ID:qi99y+Hz
>>753 >それとRT107eにはWANポートは1つしかないので、WANポートが2つ必要な設定例を紹介するのはよくないだろうに。
対応機種が明記してあるソリューションの紹介で他機種に適用できないといわれても
そりゃサポートは苦笑いするしかないだろうな。
まーYAMAHAを扱うには相応のスキルが必要だからそれが無いなら他社を使うべし。
あとMLも用意されているからそっちでネタふりするのも良いと思うよ。
>>755 何を馬鹿なことを言ってるんだオマエは
RT107eのページ
http://netvolante.jp/products/rt107e/index.html RT107eを用いたネットワークソリューションをご紹介します。
としてWAN2つを使用した設定例にリンクしてあるんだぞ。
他人のスキルうんぬんを心配する前に視力を治した方がいいんじゃないか。
ついでに、その生まれつきの馬鹿も治してもらえよ。
>まーYAMAHAを扱うには相応のスキルが必要だからそれが無いなら他社を使うべし。
それでは、tcpflag=0x0002/0x0fffとtcpflag=0x0002/0x0017の違いを説明してみな。
出来なければ消えろや。
>>755 >あとMLも用意されているからそっちでネタふりするのも良いと思うよ。
ciscoなどの他社のページが参考になるから、馬鹿からアドバイスされる必要は無いぞ。
YAMAHAはハードだけを使用する事にする。
ファイヤーウォールはipfwが圧倒的に優れている。
オマエのような馬鹿と違って、検証も済んでいないようなソリューションを使うわけにはいかんのだよ。
>>753 ,756
それって、物理的には同一インターフェース(LAN2)に
異なるセッションを張ってるんじゃないの?
759 :
__ :2007/08/30(木) 18:32:58 ID:???
>>756 指摘の文章がおかしいのではなくて、その文章のリンク元がおかしいだけだな。
お前の書き方じゃどこがおかしいの判らんよ。子供みたいに後から言い訳するなや。
>ciscoなどの他社のページが参考になるから、馬鹿からアドバイスされる必要は無いぞ。
お前すごいよ。ていうかお前ならルーター造れるよ。
メーカーの人が出てきてくれるMLを馬鹿ということは、お前はそれ以上なんだろ?
だったら何故
>なんで、2種類あるんだろうか?
こんな質問が出てくるんだ?
760 :
1919 :2007/08/30(木) 18:58:36 ID:???
なんか
>まーYAMAHAを扱うには相応のスキルが必要だからそれが無いなら他社を使うべし。
を自虐的に
>>753 が証明してるな。
761 :
あのにます :2007/08/30(木) 18:58:53 ID:???
107eか1100か迷ってる件があるんだけど RT107eのLANポートとWANポートの機能上の違いは何?
763 :
sage :2007/08/31(金) 10:52:36 ID:???
>>762 LANポートは4ポートのスイッチングハブになっているぐらい
1100ではLAN1に相当
764 :
アノニマス :2007/08/31(金) 14:01:07 ID:???
>>762 さしたる違いはない。
RT107eのLAN = RT1100のLAN1
RT107eのWAN = RT1100のLAN2
と思って差し支えない。
でも、RT107eが優れているのは、ファームウェアの
ダウンロードボタンが付いているのと、WEB設定があるぐらいだし、
接続の設定、VPNの設定以外だと、どうしてもコマンドが必要になってくる。
ハードウェアの性能は、RTX1100の方が上なので
予算が許すのなら、そっちを買う方が良いと思う。
RTX1100のLAN1をWANとして使っている俺はひねくれ者
766 :
ano :2007/08/31(金) 19:35:42 ID:???
中古RTX1000を15000円で買うのか、 中古RTX1100を40000円で買うのか非常に迷っとります。 やりたいことは、pp1とpp2それぞれでPPPoEし、 LAN内の特定のPCはpp1からそれ以外はpp2からインターネットへ。 さらに、別の拠点とのIPsec-VPNトンネルにはpp1を使う。 また、外出先からのPPTP接続待ち受けと応答経路はpp2で行うというような、 フィルタベースのルーティングをしたいのです。 IPsecの通信速度はRTX1000のカタログ値で不満はないので RTX1000でいいとは思ってるんですが、上記のような事が1000でもできますかね?
768 :
あのにます :2007/08/31(金) 21:07:44 ID:???
769 :
ano :2007/08/31(金) 23:11:10 ID:???
ああ、こんなのあるんだ。 フィルタルーティングできるっぽいね。RTX1000で十分だわ 今はOmronのMR504DV使ってるけど、それができない点が唯一の不満点だから。
762です
「WANポートが1つしか無いのに..」というやり取りがあったので
もしやLAN1はppに使えないとかの制限があるのかと...
>>764 107eも1100も使ってますが、20マソで4台買える107eと
2台しか買えない1100、体感価格差2倍です。
>>765 フレッツ回線通信中にフレッツスクエアなんかに別PCで
直接つなぎたいとき使えそうですね。
すみません一つ質問させて下さい。 下記、VPNをダイナミックDNSにて構築しているのですが、 既存のルーターを利用したまま、RT58Iを各プライベートアドレス内で voipを使用して拠点間の内線通話は可能なのでしょうか? つまりRT58Iを音声電話変換機のみとして使用したいのです。 本 社-192.168.1.0/24(ルーターPLANEX:ケイオプティコム:動的グローバルIP) 支社1-192.168.2.0/24(ルーターPLANEX:ケーーブルテレビ:動的グローバルIP) 支社2-192.168.3.0/24(ルーターPLANEX:OCN:動的グローバルIP) 宜しくお願い致します。
>>770 107eが4万3千円ぐらい、1100が7万ぐらいなので、
倍ってことはないだろうけど、何台必要なの?
予算が決まってて、その中で買えるだけ買うってモンじゃないと思うんだが。
>>771 そのVPNに音声パケットを流すということなら可能。
RT58iからダイナミックDNSを利用して
WAN側にアクセスさせるということなら不可能。
774 :
771 :2007/09/01(土) 18:10:56 ID:SWXkdAmb
>>772 早々のご回答有難うございます。
やはり既存のルーターをRT58Iに入れ替える必要がある訳ですね。
RT58Iはファイヤーフォール機能が無いので弱っております。
775 :
771 :2007/09/01(土) 18:32:56 ID:SWXkdAmb
自己解決です。 ルーターは撤去しなくてもOKでした。 RT58I取扱い説明書の109頁の左下に 「また、プライベートIPアドレスの場合でも、 LAN内であればNetVolanteインターネット電話 機能を利用できます」 と書き記されておりました。 どうもお騒がせ致しました。
まあ、解決したんだから良いんだけど、 私は、音声パケットをトンネルをそのまま通すという条件で 可能って書いたつもりなんだが。 具体的にはTELポートに適当に名前を付けて インターネット電話帳(RT58iの機能)に登録するか、 機器間アナログ通話(カスケード接続)を使うのが簡単だと思う。 (異なるセグメントになるので、自動では設定できないはず。)
777 :
775 :2007/09/01(土) 22:41:25 ID:SWXkdAmb
>>776 どうも有難うございます。
RT58Iの VoIPゲートウエイ機能のみを利用すると言うもので
Rt58IのWAN側接続ポートに拠点内のLANケーブルを接続し
拠点内の空きIPアドレス(例:192.168.1.250)を設定し
ゲートウェイアドレスはLAN内のVPNゲートウェイアドレスを設定します。
後は取説108ページのNetVolanteインターネット電話で通話するの
設定でOKです。
どうも有難うございました。
ルータ、ネットワーク機器ってYAMAHAが一番いいの?
好みだろ。 俺はYAMAHAのバイクが一番良いと思うけど。
780 :
anonymous :2007/09/02(日) 10:42:50 ID:d+mq/sKF
>>778 一番はやっぱりCISCO製じゃないかな?
ただCISCOは高いし設定も難しいし、業者に設定を頼まず自分で設定するなら、YAMAHA辺りがいいと思う。
781 :
hage :2007/09/02(日) 11:49:31 ID:???
>設定も難しいし CLIならYAMAHAと変わらんと思うが。 ただし、日本語ドキュメントの充実度やサポートはYAMAHA。 精通した技術者の多さではCisco。 英語ドキュメントの充実度ならCiscoも尋常じゃない。 日本語翻訳をもっとちゃんとやってほしい>C日本法人
782 :
am :2007/09/02(日) 11:52:03 ID:???
ファームウェアの更新もお金がかかるんだよね。<しすこ 私はYAMAHAのピアノは音が派手過ぎて好きになれない。
783 :
sage :2007/09/02(日) 12:48:14 ID:???
YAMAHAの場合ファームウェア(以下FW)更新が無償なかわりに 旧機種のに対するFW保守は、バグフィックスも含め切り捨てられる。 例: RTX1100が出たらRTX1000の更新ストップ RT58iが出たらRT57iの更新ストップ MLでも定期的に話題に挙がるが、 保守料を取っていないため開発リソースが当てられないというのが YAMAHAの言い分。「更新FWが欲しければ現行機種に買い換えて下さい」と。 MLに「旧機種使用ユーザの切り捨て」「ユーザ本位でない。もう買わない。」と のたまう乞食が沸くが、個人的には同業他社と比較した場合の機種価格の安さ、 現行機種に対しては保守料を払わずFW更新を受けられることを考えれば YAMAHAの言い分に同感できる。 「新機能欲しければ買い換えてよ。だって、新機種分しか開発コストをが無いんだもん」と。 タダでなんでも享受しようなんてムシの良い話は無い。 シスコの場合は ・2000年に発売されたCisco1700でも現行IOS(12.4x)が継続提供中。 ⇒HWに依存する一部機能を除き現行機種と同様の機能が利用可能。 ・1996年に発売されたCisco1600でも12.3xまでサポートされている。 これは、古い機種に対しても有料保守サービスが継続して提供されているから可能。 この辺りの違いに理解を示せない人は。>FW更新無料 に過度の期待を持たない方がいい。
Cisco7200とかCatalyst3500とか触ってたが、 最近小規模NWでYAMAHA初めて使った カユい所に手が届く機能がいろいろあって関心 CISCOは歴史的事情でサブネットマスクが0/1逆だったり 今や使わないコマンド多杉
>CISCOは歴史的事情でサブネットマスクが0/1逆だったり 無知は発言しないほうがいいよ 見てる方が恥ずかしい
786 :
sage :2007/09/03(月) 00:14:27 ID:???
SRT100はかなり売り気だな。機能の割にはだいぶ安い。 セキュリティ機能の充実は元より一番な上に、QoSでも RTX並みのトラフィックシェーピングをサポートしている。 RT58iはPSTN、ISDNのサポートで存在意義があるが RT107eは完全に要らない子。
>>783 とはいえ新機種の価格の中に旧機種の保守費用を含まれるのもちょっといやかも
HW買い替えは有償保守の一種という感じで捉えてるけどね
まぁ目の前にあるHWが故障しているわけじゃないのに買い替え…というのは色々と難しいけどね
788 :
QBR :2007/09/03(月) 02:33:30 ID:???
というかEoLをもう少し明確に示してくれればなぁ。
そもそも、CISCOはビジネスユースでもより基幹向け、っていうイメージだなぁ。 ヤマハは言い方が悪いがある意味「トラブってもなんとかなる」ところに 安く突っ込む感覚。
790 :
eof :2007/09/03(月) 23:01:03 ID:???
>>788 確かに。
もうこの機種はバグ見つかっても直す気無いってメーカーが通告してきてますよ、と説明できれば
壊れてないルータでも置き換える口実になる。
まあそれでも、NT4のサーバすら更新しないような貧乏会社には通じないだろうけどな。
壊れてからでいいとか平気で言うし。
それだと業務止まるし、急いでやるから高くなるし乱暴になるし、良いこと何もないのにねー
791 :
anon :2007/09/03(月) 23:53:15 ID:???
>>790 それはうちの会社のことかー!!!
orz
>>790 うちで面倒見てたRAID5のサーバなんて
1機目のHDDが1機死んでるのに1年以上修理の稟議通らなかったからなぁ
で、2機目が死んであわてて交換したけど手遅れだって(笑)
793 :
anony :2007/09/04(火) 06:51:26 ID:???
794 :
am :2007/09/04(火) 09:47:32 ID:???
弊社は今月でやっとNT4が無くなります。 壊れてない物を入れ換えるってなかなか難しいよねぇ。 RTのファーム有料化とか、会社で使ってる人はまだ良いとして、 家でRTX使ってる人なんかは保守入るの難しそうだし。 ファーム有償になったらご家庭ではYAMAHA諦めるかもなぁ・・・
え、これからやっとの思いで自宅にRTX1100買おうと思ってるのに ファーム有料化するの?
よかった・・・
798 :
あ :2007/09/05(水) 01:13:42 ID:???
>>799 PICプログラマと一緒に買ったから持ってるけど、RTX1100/1000、RT58i/57iで普通に使えたよ。
ただ、一緒に付いてくる灰色のケーブルはストレートの延長ケーブルだから要らない。
それとは別に、Dサブ9ピンメス-Dサブ9ピンメスのクロスケーブルが必要。
1100には同梱されてる。
801 :
799 :2007/09/06(木) 13:00:17 ID:???
802 :
わかんね :2007/09/08(土) 01:06:02 ID:???
SRT100だが、 工場出荷時状態で2台PCをDHCPで繋げて、 その2台の間でpingが通らない。 これは初期不良だよね? PC→ルータ間はそれぞれping通る シリアルで入って、ルータ→PC間はping通らない PC→PC間は双方向ping通らない 工場出荷状態はNATもIPマスカレードもポリシーフィルタも設定されてない。 逆に設定しないと駄目なのかと思って初期設定ウィザードに沿って設定し、 各PCからネットに接続出来る状態にしてからpingテストをやっても結果は同じ。 要するに、 PC→ルータ→WAN はpingどころか何でも通るが、 PC←ルータ は全く何も通らない。 ICMPだけがルーティング出来ない不具合かとも思って、 片方のPCにApache立ててもう片方からアクセスしてみたが駄目。 TCPも通らない。 YAMAHAは初めてなんだが、これは仕様なのか? 何か設定しなければいけない事があるのか? それともさっさと修理に出せってことか?
803 :
eeee :2007/09/08(土) 01:53:32 ID:???
…いやそれPCの設定じゃないの?普通に考えて。
804 :
たぶん :2007/09/08(土) 02:40:11 ID:???
「エコー要求の着信を許可する」
XPやVistaの標準のFW設定だとPingに応答しなかったような。
806 :
802 :2007/09/08(土) 06:21:37 ID:???
サンクス!見事にそれでした。 リモートデスクトップで遠隔作業用に使っていたマシンだったので 当然pingくらい応答するだろうと思いこんで実験してた・・・。 一番最初の前提から崩れていたとは・・・。 とりあえず、俺の頭を修理に出してくるわ。
807 :
ping :2007/09/08(土) 11:04:22 ID:???
正直、ping 応答くらいしたって セキュリティ嬢問題ないんだし 混乱する分迷惑だとは思うけどねぇ > windows 俺にとっては嫌がらせ仕様の一つだ
まったくだ。 ping遮断しようなんて風潮はどこから出てきたんだかな。
809 :
sage :2007/09/09(日) 20:25:03 ID:???
・ICMP Flood Attack対策 ・ネットワーク機器、ホスト自体の存在の隠蔽 Linuxのディストリビューションも、 最近のはインストール時の規定がFW有効だけどな。
MSBlastが発生したときは感染可能がPCを探索するのに まず、ICMPでプローブして、効率上げてたりしたから 今時のICMP遮断の風潮に影響してるのかもね。
811 :
sage :2007/09/10(月) 21:32:41 ID:???
・アタッカーの手段としてファーストステップは 攻撃対象の探索・特定からはじまる。 ・すなわち防御策は自信の存在が隠蔽が効果的。 ・そしてセキュリティと利便性・管理性はトレードオフ 少し上の無知二人は頼むから仕事ではセキュリティに関わらないでね。
812 :
俺 :2007/09/10(月) 21:51:34 ID:???
>>811 どこからコピペしてきたの?
あんまり無知をさらさない方がいいと思うよ。
現場行って来い。
813 :
sage :2007/09/10(月) 21:56:44 ID:???
俺自宅警備員だから、毎日現場にいてるよ。
困っています RT58Iのかんたん設定画面で、WAN側から設定する事は 出来ないのでしょうか?
815 :
?? :2007/09/10(月) 22:17:26 ID:GaWT+sQJ
RT58iの設定を変えればWAN側からかんたん設定にアクセスする事を可能 httpd の許可とNATとフィルタだな
>>814 何のためにWAN側から設定行為をしなければならないのか、その検討は済んでるのかい?
>>815 が言うようにすれば可能だけど、一般的な(WAN側にグローバルIPアドレスが付く)運用形態ではそういう設定はしないね。
他人にいじられる危険が確実に増すから。
PPTP でリモートアクセス VPN したら ? VPN につなげば LAN 側からのアクセスになるから、アクセス制限に ひっかからないと思うけど。
818 :
あのに :2007/09/11(火) 08:15:02 ID:???
僕も外に出ないので利便性はよくありませんが安全です
RTX2000って高かったのになんであんなに放置プレイなの? Rev8系が乗らないし。
後継機種(RTX3000)がでた。(多少方向性が違う気もするが) で、生産終了になった。 からじゃない?
んーというか設計に問題があって早々に手放したかったように見えてならないんだよね。 現役のころからバグが多かったり、ファームが出てくるの遅かったり しまいには同時発売で下位機種のRTX1000では出たRev8系を なぜかサポートしなかったり。
822 :
814 :2007/09/11(火) 19:52:11 ID:pFdcZ15w
>>815 さん有難うございました。
WAN側ポートから設定出来ました。
実はRT58IをVOIPアダプターのみとして社内LANへ接続し
VPNにて拠点間の内線通話を行っております。
既存ルータからの移行設定が、たいへんですので暫定処置です。
823 :
アノニマス :2007/09/11(火) 20:25:30 ID:???
>>822 なら、素直にDHCP切ってLAN側につなげばいいのに
と思うのは私だけ?
ひょっとして771の人?
824 :
814 :2007/09/11(火) 20:56:09 ID:pFdcZ15w
はい 771です。その節はお世話になりました。 最初私もそう考えたのですが、 LAN側へのゲートウェイ設定が、かんたん設定画面からは 出来ない様でしたので 本処置とした次第です。
簡単設定web画面にも、コマンドを打ち込めるテキストボックスがあるんだからそんなのすぐできるのに・・・ 重要な情報を後出ししてるし、こんな人がネットワーク管理者だと思うと怖い。 つうかRT58iはスレ違い。
>>825 >つうかRT58iはスレ違い。
スレ違いとは知りませんでした
申し訳ありませんでした。
二度と来ません。
お前こそ
早く教えたれよ!
それこそ後出し
827 :
am :2007/09/12(水) 10:54:08 ID:???
教えてください。現在、RTX1000を使用して、2拠点をVPN(IPsec)でLAN間接続しようとしています。 VPNでの接続はできているようなのですが、拠点AのローカルPCから拠点BのローカルPCの 共有フォルダは見ることができます。(\\192.168.0.100\hoge のような指定で) ところが、拠点BのローカルPCから拠点AのローカルPCの共有フォルダを見ることができません。 確認したことは、 ・拠点AのローカルPCから拠点BのローカルPCへのPingは通る ・拠点BのローカルPCから拠点AのローカルPCへのPingは通る ・フィルタを最小限(ローカルPCへのTelnet接続のみを禁止にして、あとは全部PASS)にしても 状況はかわらず。 です。 拠点A、Bともフレッツ接続で、拠点Aは複数固定IP,拠点Bは1つの固定IPをもらっています。 ローカルPCはファイアーウォールやウイルス対策ソフトは入れていません。 この状況の原因を突き止めるのに他に試した方がよいことというのはどんな事がありますでしょうか アドバイスをいただけないでしょうか、よろしくお願いします。
829 :
anon :2007/09/19(水) 15:53:28 ID:???
拠点BのローカルPCから拠点BのローカルPCの共有フォルダは見える?
>>828 NBTとCIFSの違いだったりするんかな。
とりあえずローカルPCのOSもさらしたほうが良さげ。
つーか、ぶっちゃけルータはL3だし、L3水準で
ネットを接続するのがVPNなわけで、Pingが通ってるなら
L3の部分を疑うのが微妙に筋違いな気がする。
831 :
あのにます :2007/09/19(水) 16:17:44 ID:???
>>829 はい、見えています。
>>830 拠点A、BともWindowsXP Pro です。
そうすると、ローカルPC側のセキュリティ設定とかなんですかね・・・
ドメインに参加してないXPProだと、 ビルトインadministratorはローカルログオン専用とか パスワード無しアカウントでのネットワーク経由ログオンはguest扱いになるとか そんなポリシーがデフォルトだった気がする。 その辺は大丈夫かね。 既にスレ違いだけどね。
>>831 似たようなことをつぶしていくしかないかな。
・拠点AのPC→拠点AのPCは問題なくファイル共有できるか
・拠点Bのクライアントで cmd から net view \\拠点APCのIP で
共有リソースを取得できるか。
>>832 あー、それかもしれんな。
XPだと、ユーザー名が合致しないとIPC$へのアクセス時点で
Guestアカウントとして処理しようとするけど、
ローカルセキュリティポリシー
-->[ユーザー権利の割り当て]
-->[ネットワーク経由でコンピュータへアクセスを拒否する]
にデフォルトでGuestが入ってるはず。
だから、ユーザー名の変更すらできずリソース一覧
すら見られない。
835 :
sage :2007/09/19(水) 20:01:30 ID:???
>831 拠点BのローカルPCのNICのプロパティーで Microsoft TCP/IP version6のチェックが付いてたら、消してみる。 VPN関係ないけど、家庭内LANで同じような症状でかなりハマったことありまつ。 チェックを消したら、うまくいきました。因果関係は調べてません。。。
教えてください。 RT58iを2台使用して、拠点間VPNを構築しました。 Webの設定画面上ではVPNは通信中になっており、 相手先のPCに対するPingも応答が返ってくるのですが、 ファイル転送がうまくいきません。 共有フォルダまでは開くのですが、実際にファイルを転送しようと思うと 「指定されたネットワーク名は使用できません。」と表示され、失敗してしまいます。 RT58iのFW機能はすべて解除してあり、 PCもWindows2000Pro同士でFW系のソフトウェアは使用していません。 どなたか同じような経験をされた方はいませんでしょうか? なにかアドバイスがあればよろしくお願いします。
837 :
sage :2007/09/21(金) 01:25:27 ID:???
836です。 書き込み先を間違えました。 YAMAHAヤマハブロードバンドルーターpp select 10 に再度書き込みます。 すいません・・・
839 :
am :2007/09/21(金) 10:37:02 ID:???
840 :
い :2007/09/22(土) 02:05:02 ID:???
こないだの日曜やっと8.03.60にしたのにな。
841 :
みんなで公安に通報しましょう :2007/09/22(土) 13:04:54 ID:rJi69ThS
ハンナングループ浅田会長の逮捕に北朝鮮・旧朝銀信用組合と関係の深い杞●岳史!!
杞●岳史は家やマンションビルの中の様子を建物の外から盗撮しています!!
建物の中の様子を外から盗撮するプライバシー丸裸のとんでもない盗撮機械を自宅に所持!!
名前は杞● 岳史(キヤマ タケシ)ユ タケシ
経歴は北朝鮮とつながりの深い旧朝銀信用組合と関わりが深く旧朝銀信用組合の青年会に所属。
東大阪市柏●東10の9から転居後の自宅に所持!!
※杞●岳史の自宅からすごいものがでてきます!!
家やビル、建物の中の様子を外から盗撮するプライバシー丸裸の盗撮機械は杞●岳史の自宅にあります!!
あと一歩で杞●岳史逮捕なのでみんなで公安に連絡しましょう!!
公安の強制捜査で必ずマスコミ関係者様・関係者様・2ちゃんねら〜の皆様の御期待にそえます!
※法務省 公安調査庁 0335925711 東京都千代田区霞が関1丁目1の1
※近畿公安調査室局(代) 0669437771 大阪市中央区谷町2丁目1の17
週刊新潮
0332665311
週刊新潮への情報提供は
[email protected] 週刊現代 編集部0353953438
週刊ポスト 0332305951
週刊アサヒ芸能 編集0354034379
週刊実話 編集0334361844
プレイボーイ 編集部0332306371
フライデー 編集部0339432500
SPA! 0354038875
女性自身 編集部0353958240
RTX1100 LAN1 : 192.168.0.0/24 LAN2 : xxx.xxx.xxx.xxx/29 (DMZ) LAN3 : PPPoE 上記の設定で、LAN1からLAN2へのpingは通り、 LAN2からはLAN1へのpingが通らないようにするには どのように設定すればいいでしょうか? ip filter 1 pass * * icmp * * ip filter 1000 reject * * * * * ip lan1 secure filter out 1 1000 上記の基本形?から色々やってみたのですが、 どうやっても双方からpingが通る、もしくは双方から通らないような動きになってしまいます よろしくお願いします
>>842 rtx1100の(というかYAMAHAのルータ全般において)
ip filterでのICMP ECHO REQUESTとECHO REPLYの
区別がつけられないので無理。
844 :
842 :2007/09/23(日) 20:23:02 ID:???
>>843 ip icmp で全体?での制御はできるが、
別々には設定できないのですね
ip stealth もちょっと用途が違うのかな?
どうもありがとうございました
icmp-infoとicmp-errorってのがあるみたいだが、requestとreplyが同じ分類だから無理みたいね。 tcpflagを指定しても無理なのかな・・・?
RTX1100を使用しており、フィルタの設定を考えているのですが、 どちらの設定を採用すべきか、迷っています。それぞれ、どのような メリット、デメリットがあるのか判断できずにいるため、アドバイス いただければと思います。 構成 インターネット−−RTX1100−−LAN 実施事項 ・外から内は、www、https、smtpといった限られたポートのみ通す。 ・内から外は、135-137といった外へ出すべきではないパケット以外は すべて通すこととする。 フィルタ設定 案1 外から内へのパケットはSYNパケットのみ通すこことし、それ以外は establishedを用いて、パケットを通すように設定する。 内から外は135-137のパケット以外は通すこととし、戻りパケットは establishedを用いて通す。 案2 外から内へのパケットはSYNパケットのみ通すこととし、それ以外は tcpの動的フィルタを用いて通すように設定する。 内から外は135-137のパケット以外は通すこととし、戻りパケットは、 動的フィルタを用いて通すように設定する。
847 :
?? :2007/09/30(日) 01:02:14 ID:pCCx3V1D
動的フィルタがちゃんと動けば案2かな
848 :
846 :2007/09/30(日) 01:21:23 ID:D8EXHc6o
>>847 案2は以下のようなフィルタをインターネット側のインタフェースの
in に対して設定することを考えています。テストしたところでは、
問題なく動作しているように見えるのですが、tcpのdynamic設定が
セキュリティ的に問題ないのか疑問です。
例)
ip filter 2010 pass * 192.168.1.100 tcpflag=0x0002/0x0017 * www
ip filter 2020 pass * 192.168.1.100 tcpflag=0x0002/0x0017 * https
ip filter dynamic 550 * * tcp
ip filter 999 reject * * * * *
ip pp secure filter in 2010 2020 999 dynamic 550
849 :
anonymous@07021031721784_ad :2007/09/30(日) 14:45:15 ID:zlc9yQfR
RT85iで接続を切断してもすぐに接続されてしまいます。 前に使っていたRT87iも同じでした。 切断したいときどうすれば良いのでしょうか?
>>849 存在しない機種名を書くなやw
たとえばpp1を切るなら、コマンドで
pp disable 1
とやれば、接続設定自体が無効になるので切れてそのまんまになると思うけど、これじゃ駄目か?
851 :
anonymous@07021031721784_ad :2007/09/30(日) 19:27:48 ID:zlc9yQfR
>>850 レスありがとうございます。
58iですね。すみません。
WEBの管理画面じゃ無理なんでしょうか?
今までまともに切れた試しがないので。
こんどから
>>850 さんの方法を使ってみます。
852 :
am :2007/09/30(日) 20:11:21 ID:???
自動接続になってるんじゃ? まあまたつながるかもしれないけど、切るだけなら disconnect 1 で行けるハズ
853 :
anonymous@07021031721784_ad :2007/09/30(日) 20:42:28 ID:zlc9yQfR
>>852 レスありがとうございます。
確かに自動接続になっていました。
これが原因だったのですね。
58iってダイヤルアップ音かなりでかく出るように設定できるよな それも最大にしとけば、切り忘れ無くなるんじゃね
■通信技術板 YAMAHAヤマハブロードバンドルーターpp select 10 ・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルータの 設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。 YAMAHAヤマハブロードバンドルーターpp select 8 ■ハードウェア板 YAMAHAヤマハブロードバンドルーターpp select 10 ※業務用機器(RT100〜300、RTXシリーズ)は通信技術板でお願いします YAMAHA業務向けルータ運用構築スレッドPart4 RTXをホームルーターに使っている漏れはどっちに書き込めば...
普通にこっちでしょ。 別にホームルーターとかはどうでもいい。 日本語読めないの?
漏れも RTX1100 を家で使っているけど、こっちに書き込んでるよ。 家庭用ルーター10台試したけど、10個のPCで同時にWinnyをやって耐えられるルーターは1つもなかった。 だが、RTX1100は耐えられた。
Winnyだと、その各ノードPCが申告するアップ速度の指定も重要だろう。 高い速度を指定するほど、同時に接続するTCPセッションの数が増える。 グローバルIPアドレスが一つしかない環境でIPマスカレードで運用しているのであれば、 即ちNATテーブルの消費数も増えるわけで、 どんな設定のWinnyPCを10台並べたのかは非常にクリティカルな問題だ。 一瞬繋がるだけの検索リンクも、NATテーブル上ではTTL秒だけ生存してしまう。 その設定如何で、あるいはもっと少ないノードPC数でも、RTX1100すらパンクすることは十分考えられる。
試しにeMuleで実験したら,数時間後にCPU負荷率100%になってた...>RTX1000 あとでeMuleのソース解析するか...どんな発狂パケット流してるんだ...
860 :
f :2007/10/08(月) 17:53:11 ID:???
NATで教えていただけませんでしょうか。 RTX1000で静的NATの外側に内側からアクセスしたいのですが、どうすればよいのでしょうか。 ip lan1 address 172.16.0.254/24 ip lan2 address 192.168.0.254/24 ip lan1 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 172.16.0.254 nat descriptor address inner 1 192.168.0.1-192.168.0.254 nat descriptor static 1 1 172.16.0.1=192.168.0.1 1 nat descriptor static 1 2 172.16.0.2=192.168.0.2 1 nat descriptor static 1 3 172.16.0.3=192.168.0.3 1 172.16.0.10のPCから172.16.0.1-3にpingが通ります。 172.16.0.10から192.168.1-3にはもち何も通りません。 192.168.0.1-3の各マシンから172.16.0.10にpingが通ります。 が、192.168.0.0/24側から外側の172.16.0.1-3のいずれにもpingも何も通りません。 何をどうすれば192.168.0.0/24側から外側の172.16.0.1-3に通信できるようになるのでしょうか?
861 :
anonymous :2007/10/09(火) 09:36:20 ID:UKwZTrV+
>>860 static いらねー
文章読むと静的NATの必要性が見当たらない。
862 :
860 :2007/10/09(火) 15:15:44 ID:???
実際にはlan1はグローバルでlan2はDMZなわけでして、、、 192.168.0.0/24側から172.16.0.1-3に通信することはできない、のでしょうか、、、
863 :
anonymous :2007/10/09(火) 16:21:26 ID:4fCNhDeI
>>860 内部からwww.自分のHP.comとアクセスしたいのね。
・・・・なんで安物ルーターと同じDMZにするわけ?
せっかく本格的なDMZが組めるのだからLAN2にIP2個振れば良いだけでは無いだろうか?
と思うわけですよ。
>>860 そもそも
nat descriptor static ではなく
nat descriptor masquerade static じゃだめなんでつか?
865 :
860 :2007/10/09(火) 19:28:06 ID:???
866 :
anonymous :2007/10/09(火) 20:29:20 ID:AVUUsAfZ
867 :
860 :2007/10/09(火) 21:08:20 ID:???
>どっかに出来ないって書いていたはずだよ。 ぅぅぅぅ、出来ないって部分を見つけられないぃぃぃぃ 192.168.0.100から172.16.0.1にアクセスしたいし、、、 172.16.0.1から172.16.0.2へもアクセスしたい、、、 RTX1000単体では無理なのかぁ 内向けDNSサーバたてるかなぁ 単体で解決できないとは、、、orz
>>868 >>867 じゃないんですが、ついでに質問をさせてください。
その例だと、LAN2側が172.16.112.101/30 とか脈絡のない
セグメントになってますが、なんでdescriptorで定義した
133.176.200.34 133.176.200.35 のアドレスに綺麗にルーティングされて
RTXまで届くんでしょうか。
870 :
860 :2007/10/10(水) 02:21:49 ID:???
>>866 >>868 すいません、途中で読むのを放棄しているのバレバレでした。
外側IPアドレスにはアクセスできない、という最終理解に達しました。
内側でなんとかせい、と。
ありがとうございました。
>>869 確かに変なような気がするけど、、、、、
RT107eなぜか新品19,800エソ。 RT57i以来のYAMAHAルーター。 コマンドの短縮打ち出来るんだな。←何故か感動。フルスペル自動変換はちょっとウザイ 久々にコマンド打ってたら結構忘れてる。 というかイマイチ解りにくいコマンド体系と思うのは俺だけなのか。
2拠点間でVPN張っているんですが、片方はRTX1100を導入しています。 んで、もう片方はYAMAHAのVPNクライアントソフトを使おうかという話になってるんですが、 このソフトって必須なんですか?それとも、煩雑なIPSECの設定を補助する程度の役割で Windows標準の設定が行えるだけのスキルがあれば不要なソフトなんでしょうか? ていうか、大した金額じゃないんだからこっち側にもRTX1100入れろよ>うちの会社
VPN クライアントソフトは基本的にリモートアクセスするためのものだから、 拠点間で LAN 同士を接続するのとは違うんじゃないかと。 で、ヤマハルータと Windows サーバの RRAS を対向させて IPsec VPN の トンネルを通すのは可能。毎コミの本にも書いてある。 ただし Windows 側の設定が超面倒くさいのと、ヤマハ側も互換性をとるため の追加設定が必要。あと、Windows の IPsec だと AES を使えないんで、暗 号化アルゴリズムは 3DES になっちゃう。
874 :
anonymous :2007/10/16(火) 18:53:02 ID:YCFLh0yy
いまRTX1100を設定しているのだが、 ntpdateはあってもntpdがないようなんだが… syslogを投げるホストとしてはありえない感があるのだが、 時計あわせってどうしてる?
876 :
おれ。 :2007/10/18(木) 17:47:08 ID:???
スケジュール組んでる。
NTPd機能はないから端末の時計と同期させることは不可能 RTX1100自体の時計合わせなら schedule at 1 */* 00:00 * ntpdate ntp.nict.jp とかやっとけばOK
878 :
875 :2007/10/18(木) 20:48:24 ID:???
あ、cronあるんだ。ナイス! 心の友よ! ありがとう! 君に届けテレパシー!
Rev.8.01.24
うほっ。これは修正点多いね。 まだまだ使ってる会社多いから、放置は許さないとゴルァされたのかw
881 :
WD :2007/10/20(土) 13:29:24 ID:???
RTX1000、中古で15000円で買おうと思うんだけど、適正ですかな?
それくらいなら至極妥当じゃね。出所は奥? 店売りだと、RT57iでもそのくらいなことはざらだし、RTX1000だと2万後半の場合も多い。
漏れは送料込み16k弱だったかな 出品メモだと付属品はねーよって話だったんだが,届いてみたらマニュアル込みでびっくり
黙って新品買えよ糞貧乏人ども
885 :
WD :2007/10/20(土) 21:45:44 ID:???
うるせーよぼけ
低所得者カワイソス(´・ω・)
RTX1200っていつぐらいに出るんだろう。
888 :
anonymous :2007/10/21(日) 13:12:20 ID:ZsTBlGyp
ルーターにお金かけるヲタクはキモイ
高いと言ってもたかがしれてる。
他人が鼻の穴ほじったりチンポいぢった手で 触ったかも知れんものをよく使えるなw 乞食の発想
>>887 ここ5年くらいの間ブロードバンドルーター市場で
機能的、性能的なブレイクスルーがないからねー
Ether、PPPoE以外のIFを使用する新しいWANサービスが出るか
1G速度が一般化するまではRTX1100かSRT100で十分すぐる
ソフト面の機能追加や細かい部分の改善ならまだしも
ハードウェア面でRTX1100に不満あるかな?
>>890 んなこと言い出したらお金触れん
とりあえず個人用途程度なら中古で買って使いこなして
機会があれば、会社や取引先で採用させてYAMAHAに貢献するってのがベターかと
静的フィルタは俺でもわかるが、動的フィルタの詳細はどこを読んだらわかるんだろう。
動的フィルタの意義は何なのか、静的フィルタとどう相互作用するのか、
いまひとつよくわからない。
ftpのアクティブモードを通すために動的フィルタを使うのはわかるんだが、
たとえばDMZ(lan1)内に保護されたwebサーバ 192.168.0.1 を立てるだけなら、
動的フィルタなんぞ使わなくても
ip filter 1000 pass * 192.168.0.1 tcp * www
ip filter 1010 reject * *
ip filter 2000 pass 192.168.0.1 * established
ip filter 2010 reject * *
ip lan1 secure filter in 1000 1010
ip lan1 secure filter out 2000 2010
これで十分なのではないかなあ。
http://netvolante.jp/solution/int/case4b.html をいま見てるんだが、動的フィルタばりばり使う上に、SYNパケットを通すために
"tcpflag=0x0002/0x0fff" なる黒魔術まで使っている。
ここまでやるとどんな御利益があるのか気になるし、もしここまでやる必要があるなら
tcpflagで記述するんじゃなくて、ニーモニックを追加しろよとも思う。
894 :
_ :2007/10/22(月) 08:29:38 ID:???
>>893 ポートスキャンを防ぐ為じゃないの?
いきなりFIN送ってくる奴とか。
895 :
893 :2007/10/22(月) 14:10:02 ID:???
ポートスキャンしたところで結局、80以外のポートにはアクセスできないと 思うんだけど、それはルータで防いだ方がいいものなのかな?
896 :
WD :2007/10/22(月) 14:52:20 ID:???
FINスキャン対応はしてないでしょ。その例は。 SYNのハーフスキャン対応だけだから、基本的なFWの範疇じゃないの。
897 :
? :2007/10/22(月) 19:02:22 ID:???
動的フィルタって、 NAT内側のクライアントの、外部アクセスSYNパケ許可 → 応答のパケット透過させる → establish パケを常時通すルールより、完全に フィルタがしまるからちょっとだけ安全? この考えは当たってますか? establishパケを通すと何がどう怖いかはいまいちわかりません><;
> 893 その設定例だと,lan2とかlan3にある端末から 192.168.0.1 なマシンが見えなくない? 動的フィルタを使うか使わないかは別にして, pp 側にフィルタをかけたほうがいいかも。
> establishパケを通すと何がどう怖いかはいまいちわかりません><; 俺もわからんのだが、たとえばホストのTCP/IPプロトコルスタックに未知の脆弱性があって 巧妙に細工された(本来はホストが受け取らない)パケットでDoS攻撃等が可能な状況のとき ルータが動的フィルタで基本完全ブロックしていたら、それを防げるかもしれないと思った。 でもそこまでパラノイアになると、RTの動的フィルタのバグも心配になってくるが。
RTX1000のファームが上がってますね! バグ修正100以上あるしwww! 以前から気になってたUPNP関連のバグも治ってるみたい! 帰ったらUPしてみよっとw!
あれ? LAN1からLAN2のグローバルアドレスにアクセスできるようになった?>RTX1000 Firm Up
そんな、設定如何でなんとでもなりうることをw
顧客にもうファームウェア上がらないかもと言ってしまったが、 まさか来るとは思わなかった・・・。 恐るべしヤマハ。 ついでにRTX2000も上げてほしいナァ。
2000は、現行機じゃないからなあ。 1000は依然として「販売中」ってのがすごい
なにこの良スレw
RTX1500のsyslogって 直接windowserverに送ることって 出来ないかな? Linuxサーバ経由からなら いけるみたいだが… ご存知の方教えてください。
>>908 ルータの出すsyslogを出すごとにwindowsserverに
送りそれを一日分ごとにログローテートさせたいんです。
とりあえずバッチ作ってそれ稼動させようかと思ってる
けど、そうするとバッチ処理中にsyslog送られる可能性も
あるからバッチがうまくいかない可能性も否めないので…
>>909 それは、syslogサーバプロセスがファイルに書く処理の作りに依存する話だから
Windowsだから、UNIXだから、で成否が分かれるような問題ではないのでは。
わざときつい条件を用意して実験してみないと、たぶん結論出ないよ。
>>910 サンクス。
検証環境で色々実験してみるわ
実験するよりソースみた方が早いだろ、と言ってみるテスト。 UNIXのsyslogdはリネームしてもリネーム後のファイルに書き続けるから、 リネーム→新ファイル作成→SIGHUPでロストなくローテーションできる。 Windowsも、それができないほどタコではないと思う。
というかcygwinのsyslogd使えばいいじゃん
YMS-VPN1のVista対応っていつになるんだ
来年以降まで待たされると予想
917 :
アノニマス :2007/11/02(金) 10:57:01 ID:???
ほえ? 固定IPが・・・
?
やられた・・
タイトルがおかしいな… って書き込んだら月曜日に直ったりして
925 :
users :2007/11/04(日) 15:24:37 ID:???
ちょっとRTX1100のL2レベルのVLANについて質問なんですが、 現在、LAN1がA社ネットワーク、LAN2がPPPoE、LAN3がB社ネットワークとして、 1拠点に2社が存在しているとします。 2社間はLAN1とLAN3間で別ネットワークアドレスなので、こいつでルーティングするんですが、 L2レベルでは何も設定しないと通信できてしまうんですかね?今まさにそうなんですが。。 LAN1とLAN3間でVLANを切るにはどうしたら良いでしょうか。
>>925 できてほしいことと、できてはいけないことを、もっと正確に定義するべきだと思うよ。
その書き方だと、IPフィルタでできることなのかもしれないと思ってしまう。
既に構成を作ってあるんなら、何ができてしまって困っているのか。
RTX1000でAESは無謀ですかね? どれくらいスループット出るんだろ
>>927 YAMAHAに直接聞いたが方がよくね?
現在SRT100とRTX1100を使って拠点間VPNをしているのですが、 外出先から直接SRT100を管理したいので、 SRT100にIPsecベースでリモートアクセスの設定をしているのですが、 どうも上手くいきません。 クライアントにはYMS-VPN1をインストールして設定もしています。 RTX1100ではPPTPで上手くいってるので、一応RTX1100経由で管理をしているのですが、 できれば直接SRT100のネットワークに入りたいと思っています。 SRT100の内部からはセッションが張れた(無意味ですがw)けど、 外部からはいろいろな場所から試しているのですが上手くいきません。 どうか皆さんのお力を貸していただけ無いでしょうか。 よろしくお願いします。
RTX1000でAES使っても3M位しか出なかった記憶がある。結局、HW処理する3DESに戻しちゃったけどね。
素人発言で恥ずかしいのですが、AESてソフト処理なんですか? 3DESの方が早いのですかね?
1000はソフト処理,1100はハード処理
RTX1100ってdhcpのipアドレス配布が遅くないですか? いつもタイムアウト直前、無線LAN経由だとタイムアウトしてから届くんですが。 それともウチだけ?
>>935 どのくらいDHCPクライアントが居るのかにもよると思うけど、そんな話は聞いたことないな。
自宅でRTX1100使ってるけど個人用途だから全部起動しても4台、無線経由は2台だけど、
DHCPクライアントがタイムアウトしてAPIPAアドレスが付くケースは、見る限りは無いね。
RTX1100とクライアントPC群の間にあるスイッチングハブが死にかけてて、パケット廃棄が頻繁に起きているとかは?
TCPは再送しまくってくれるから、瀕死の機器が間にいても気付かないことがあるよ。
>>936 じゃあウチだけっぽいですね。
ぶら下がってる台数も5台程度だし、ぶら下がってるHUBはAirMacExtremeしか無く、
RTX1100に直差しでも遅いので、もしかするとRTX1100が死に体なのかもです。
とりあえずパケットキャプチャしてみれば?
何となく、DHCPサーバが競合してる希ガス。
940 :
初心者 :2007/11/10(土) 15:33:23 ID:???
RTX1000のログの見方を勉強したいのですが、初心者向けの書籍やHPをご教示いただけないでしょうか。
見たまんまだとおもーが>ログ なんて出力されたのがわからねーんだ?
>>940 実際のログでも、意味が分かる場所と分からない場所があるはず。
分からない場所について具体的に調べる所から始めないと、机上のお勉強になって役に立たない。
もし、それでも「初心者ですので全部分かりません」とか言うなら、今は諦めた方がいい。
この手のものは所詮実学だから、具体的に必要に迫られてない限り、どうせ身に付かない。
944 :
初心者 :2007/11/11(日) 11:40:29 ID:MsWiJ7+c
RTX3000 ×2台 とCatalyst3750の接続を考えています。 RTX3000はVRRPに対応していますが、3750は現在のところ HSRPのみの対応のようです。 なんとか、デフォルトゲートウェイの冗長化(自動切り替え)を 実現する方法はないでしょうか?
デフォゲをRIPかOSPFで動的に受け取る構成はダメ?
>>945 何がやりたいのよ?それによる
・Catalyst3750をVRRPグループの3台目として組み込みたいのか
・相互に仮想IP向けてスタティックルート切りたいのか
前者は問答無用で不可
後者の場合RTX3000の方はVRRPを使用して
Catalyst3750の方はHSRPを使用すれば問題無いよ
お互いの規格を合わせる必要はない
ただしこの場合 さらに奥でリーチャビリティが無くなった時のために
裏側でちゃんとトラッキングしないと迂回しない場合があるので注意
OSPFかRIPでダイナミックルーティングする方が確実
まず接続構成と要件をもう少し提示してくれ
>>945 947の言っているひとつめの構成の対案。
catalyst3750をはずしてrtx1100に変更する(rtx1100の回線はisdn)。
設定と試験における手間と時間と悩みが減る。
949 :
945 :2007/11/14(水) 20:36:32 ID:???
>>946 ,947,948 様
ありがとうございます。
2本のWAN(光回線)のそれぞれにRTX3000を付け(一方の組は予備)、
その配下にCatalyst3750を置き、
一方の組の回線又はRTX3000がダウンした場合に、
Catalyst3750がデフォルトゲートウエイ(RTX3000)を自動的に切り替える
ということがやりたいことです。
> 後者の場合RTX3000の方はVRRPを使用して
> Catalyst3750の方はHSRPを使用すれば問題無いよ
> お互いの規格を合わせる必要はない
こういうことができるのですね。知りませんでした。
> ただしこの場合 さらに奥でリーチャビリティが無くなった時のために
> 裏側でちゃんとトラッキングしないと迂回しない場合があるので注意
勉強不足で、この意味がよくわからないので、この方法はやめておきます(^^;)
RIPを用いる方法は忘れていました。
ただ、RIPを用いる場合、RTX3000がダウンした場合は切り替えられると
思いますが、回線がダウンした場合にも切り替えられますでしょうか?
できるとすれば、その場合、どのように設定すればよいのでしょうか。
>>945 YAMAHAスレでやることじゃないけど
単純に回線冗長化したいだけならCatalyst3750をL2SWとして対向で使って
広域イーサをNTTと電力系とで二系統引いてSTPでやれば?
いたずらに構成要素を増やして障害発生率を高くしているような気がする
RTX1100 についての質問です。 何年間も一度も落ちずに駆動していたと思いきや、BitComet 0.96 を起動して数分したらダウンしました。 (ランプはついていても一切の通信を受け付けない状態になります。) 再起動して、しばらく普通の通信をした後、BitComet を起動したらまたダウン。 3〜4回試して同じ現象が発生したので、 BitTorrentクライアントの BitComet が原因であることはほぼ確実です。 BitCometは必要なので使いたいのですが、ダウンを回避する方法はないでしょうか?
つ、釣られないクマー
RTXじゃ対策はほぼ不可能だろうから,Windows板で質問すれ
RTXなんてすぐ落ちる、って言う奴もいるんだからRTXが原因じゃないの? ログとか何も記録されてない? シリアルからでも入れないならRTXが死んでるってことになるんだろうけど。
漏れも海外製の独自プロトコルのソフト使ったことあるけど,RTX1000が負荷100%になって慌てて落としたよ 100KB/secも出てない筈だったんだがなー
NATセッション作り過ぎなんじゃね。 そういうアホな動作するソフトのおかげでインフラ構築者は苦労してるんだよな。 まぁそういった状況も想定して構築するのが当然なんだろうけど。
>>952 SRT100に代えてセッション制限をかける。
>>952 BitCometは、アプリ起動しただけでNATを11000位使うよ〜
UDPでLAN>WANへ出て行くのね。
show nat descriptor address で確認するとわかります。
CISCO1812Jで確認したら11000消費でした。 ちなみに1812Jで
BitCometを2回起動して22000セッション消費してもびくともしなかった。
うちはSRT100使ってる、昨日BitCometの起動チェックを新ファームで
NATをnat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
で3000に制限してみたんだけど、+−2セッションを守ってた〜
この機能めちゃ良い感じ〜
RTX1100で回避する方法は無いので、μTorrentを使うのをお勧め
これならNAT数1000も有れば十分なので
960 :
anonymous :2007/11/18(日) 18:05:46 ID:qh6Jn52g
>>959 横ですが、その理論から考えるとNAT漏れが起きているって事だから、静的NATを使えば問題ないのでは?
↑無知が口出すんじゃね 見当外れも甚だしいわ
962 :
anonymous :2007/11/18(日) 19:19:14 ID:twJvowVp
>>961 てめーもな
show nat descriptor address
nat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
って言っているのだからIPマスカレードの設定の話をしているのだろ?
ってことはIPマスカレードを使わず静的NATを使えばいいってことになるだろう
>>962 ですね〜 1対1NAT使えばOKですね YAMAHAの場合仕様で確か1対1NATで
WANのIP1 LANの端末2台以上の場合、自動で2台目以降はマスカレードになる
と思ったんだけど違ったかな。 スキル不足ですいません。
964 :
952 :2007/11/19(月) 02:21:37 ID:???
皆さん回答ありがとうございます。 シリアルでの確認はしていませんが、RTX1100のDHCPサーバからIPアドレスの取得も行なえない状態になりました。 BitComet をやめて、μTorrent を使うことにします。
965 :
952 :2007/11/19(月) 02:26:19 ID:???
にしても、アプリ起動だけで 11000 もNAT使うってどういう設計なんだろう…。 Winnyのノード情報の交換 (IPアドレスとファイルに関するキー情報をまとめて流す) みたいのがなくて、各クライアントに対して闇雲に接続して取得する感じの設計なんですかね。 BitComet は日本で一番人気のクライアントなんですが、最も普及している一般的な家庭用の数千円のルータでこの負荷に耐えられるもんなんでしょうか…。 関連掲示板を見た限りでは、ルータの負荷による不具合が発生しているのはごく一部だけみたいですが('A`) なんか愚痴っぽくなっててすみません。 μTorrentでも問題が起きましたら、静的NAT と シリアルコンソールでのログ調査をやってみます。
966 :
anonymous :2007/11/19(月) 09:49:04 ID:g6TZAX5t
>>965 MyとかもNATはすごい事になってるとおもうよただ静的NATを設定しないと激遅だから皆さんちゃんと設定しているのではないの?
現時点ではNy又はMxユーザーがBitCometに移行しているだけの状況だと思う。
最近ネットを始めた
>>961 の様な素人は静的NATとマスカレードの違いが理解できていないので今後トラブル報告は今後増えて行くでしょうね。
まあ個人的にはアンチP2P対応でP2Pに耐えられない仕様のルーターが一般的になればいいと思う。
>>965 >シリアルコンソールでのログ調査をやってみます。
CPU負荷100%に達して、シリアルコンソールでのアクセスも不可でしたよー
TELNETのみ不可ならまだしも、コンソールまで使えないのはアウト!
しまいには、OFF/ONするしかない。
2007.10.17のSRT100のオンラインセミナーでも平野氏に報告したら
nat descriptor timer 1000 protocol=udp 30
nat descriptor timer 1000 protocol=tcp 90
で取りあえず回避してくださいと・・・・ それでも駄目だったので
NAT数上限の制約・・・を話した結果、imit NATコマンドが追加された〜 ウマ〜
limit設定、最高です。 YAMAHAのサポセンの対応の速さも最高です。
>>965 >最も普及している一般的な家庭用の数千円のルータでこの負荷に耐えられるもんなんでしょうか…。
ルーターのNAT処理で違ってくるようです。
NAT数2048MAXのBA8000proの場合、2500以上のNAT処理は受け付けないから
ハングすることもなく生存し続けました。
手元に、ONU+ルータのPR−200NE(NEC)もありますが、CONFIGでNAT生存時間を
設定ができる。NAT数オーバーの場合NATされずこれまたハングすることもなく生存可
しかし、長時間BitComet仕様は、NG 他に問題有りなのかも?
参考に
http://pc11.2ch.net/test/read.cgi/hard/1195198650/ 上記の >4 >5 をどうぞ
んー RTX1000にLinux繋いで,DHCPのアドレス静的確保が失敗して動的に確保される件 設定とログをサポセンに投げて,1ヶ月以上音沙汰ないな...珍しい
すげぇくだらない回答で申し訳ないんだけど、BitCometのアップロード速度を 10kbps以下ぐらいに落とせば問題なく動くよ。 しかしこれ、同じ方法で外部から攻撃されれば簡単に落ちることにならないか? フィルタでちゃんとパケット捨てておけば問題無いか。
>>969 どっちがDHCPサーバでどっちがDHCPクライアントなのよ。
音沙汰無いのは、YAMAHA側の環境では再現しないからだと思う。
それか、Linux側の環境を同じに揃えられない等で、結果に自信がないか。
再現すれば修正に動けるけど、再現しませんと言い切るのは悪魔の証明みたいなものなので、そりゃ難しい罠。
>>969 あー,RTX1000がDHCPサーバでLinuxがクライアント
色々Linux側の条件色々変えてみたけど,どれも駄目げ
使ったコマンドはこれ
dhcp scope bind 1 192.168.0.x ethernet 00:00:00:00:00:00
show arp
とかやると,同じMACアドレスに二つのIPアドレスが
>>972 音沙汰無しは珍しい。
で、rtx側で同じMACアドレスに二つのIPでしたら、
rtxはdhcpの要求に2度応答してるのではないでしょうか。
すこしパラメータが違っていてlinux側で受け取れていないとか。
またはdhcp bindのコマンドの"ethernet"と":"を抜いた形式とか。
その間のtcpdumpの結果はいかがでしょう。
>>969 既にIPアドレスが割り当てられてるクライアントから更新要求があると、予約アドレスじゃなくて
更新アドレスを割り当てちゃうよ。どうもそういう仕様っぽい。俺も不便だと常々思ってる。
クライアント側で固定IPとして希望のIPアドレスを設定してから、DHCP経由に戻すと直るよ。
RTX1100 のDNS機能 (ルーター自身がDNSサーバを立て、DNS問い合わせを中継してくれる機能) についての質問です。 LAN 内のクライアント 192.168.1.1 からDNS要求が来た場合には、pp 1 を経由して、DNS サーバ 210.188.224.10 に問い合わせを送り、 LAN 内のクライアント 192.168.1.2 からDNS要求が来た場合には、pp 2 を経由して、DNS サーバ 210.188.224.10 に問い合わせを送るようにするには、 どう設定すれば良いでしょうか? 自分が説明書を見た限りではこのような実装はできそうにないのですが、可能かどうか教えていただけると幸いです。
>>967 リリースノート検索しても出てきませんが、limit nat コマンドというのは、SRT100 限定でしょうか?
それとも、RTX1100 でも使えるんでしょうか?
教えて下さい。
Rev.10限定
978 :
不明なデバイスさん :2007/11/24(土) 15:10:25 ID:I3B+po6p
979 :
975 :2007/11/24(土) 15:23:23 ID:???
>>978 そこは見ましたが、たぶん無理かと思います('A`)
original-sender を使えば、DNS 問い合わせの送信元のIP アドレスの範囲によって、設定を分けることができますが、
RTX1100 が、どのISP (LanX や ppX) を使って、DNSリクエストを送信するかの設定が無いんです。
980 :
975 :2007/11/24(土) 15:28:58 ID:???
ざっと実験してみた限りでは、 ip route default gateway で指定した回線を使って、DNSリクエストが送られるようです。 filter を使ってどういう送信元のIPアドレスならマッチするか調べたところ、 "ip filter 1 pass 0.0.0.0 *" にマッチして、ルーターのローカルIPアドレスにはマッチしませんでした。 DNS問い合わせに使う回線が選べないというのは変な実装ですね。
>>975 ip route default gateway pp 1 filter 1 gateway pp 1 filter 2 gateway pp 2
ip filter 1 pass 192.168.1.1/32 * * *
ip filter 2 pass * 192.168.1.1/32 * *
こんなカンジ。テキトーに修正して。
982 :
975 :2007/11/24(土) 17:55:38 ID:???
>>981 192.168.1.1 が送信するパケットならそれでいけるのですが、
ルーター (送信元 0.0.0.0 として扱われている模様) が送信元として扱われているならば、
その方法だと無理ぽいですね。
ip route default でクライアントIP Add のみを許可した状態だとルータのDNSサーバ機能が動かず、
0.0.0.0 も pass にしたら動いたので、後者かと決め付けていたんですが、教えていただいた方法でパケットキャプチャーをやってみます。
ありがとうございます。
983 :
anon :2007/11/24(土) 18:50:04 ID:???
984 :
978 :2007/11/24(土) 19:58:06 ID:ba2ZGrjg
>>979 connection-pp ...........DNS サーバを選択する場合、接続状態を確認する接続相手先情報番号
これってPP番号の事だと思ったけど違うんだね。
985 :
?? :2007/11/24(土) 21:15:18 ID:okp+dmbY
DNSって53UDPだっけ。 フィルタ型ルーティングすれば良いんじゃね?
>>985 TCPの53番を使う場合もあるとされていたような気がするが、どういう場合なのはシラネ。
識者のコメントが欲しい。
それはともかく、今回の問題は、
RTXのDNSリカーシブサーバ機能が上位DNSサーバへの問い合わせをする際、問い合わせ元IPアドレス依存でPPを選択できるか
という内容だから、単なるルーティングじゃないんだな。だから話がややこしくなっているんだ。
TCP53 を使うのは、確か、ゾーン転送なんかでデータ量が多くて UDP の上限を 超えてしまうとき。
DNSSECとかDomainkeysとかIPV6 AAAAレコードとか SIP利用時のENUMリソースとか 今は、普及途上だが将来512バイトを超えそうな 利用形態がいろいろとあるね。 BIND9がEDNS0でUDPでの対応をしようとしてるみたい。
なぜわざわざ振り分けたいのか解らない。 クライアント側に外部DNSサーバを直接指定してやれば981の方針が使えるが。 単純な負荷分散が目的なら、981を少しいじってudp53を対象にマルチホーミングしてみては。
保守、 しないと dat 落ち?
rtx1100で下記のようにIPマスカレードって出来ますか? gw:192.168.100.254 <lan2>192.168.100.5:443 <-> <lan1>192.168.1.5:443 <lan3>192.168.100.6:443 <-> <lan1>192.168.1.6:443
992 :
anonymous :2007/11/26(月) 22:45:40 ID:n7iKsA6B
IPマスカレードって1対多だよね。 それじゃあ1対1の説明に見えるから静的NATじゃないの? うーん、再度説明を求むだね。 あと8スレだけど
993 :
991 :2007/11/26(月) 23:39:01 ID:5wo8QNfj
静的NATになるんですね。 ちなみに静的NATだとどのような感じの設定なるのでしょうか? lan2,lan3は同一ネットワークでも問題はありませんでしょうか?
>>993 IPアドレスとポートの組み合わせを1対1でNATすることは可能だけど、
同一のネットワークに属するものは、lan2ならlan2、lan3ならlan3にまとめないとルーティングできないよ。
そもそも、何が実現したいの?
lan1〜lan3自体には、それぞれどんなアドレスを振るつもりなの?
995 :
991 :2007/11/27(火) 00:27:44 ID:wxs3YNfm
えと、lan1は ip lan1 address 192.168.1.254/24 この中に、httpsを使ったサービスをする2台のサーバがあります。 両方ともポートはそのままで使いたいのです。 #訳あってプライベートにあります。 lan2,lan3にと考えていたIPはグローバルなやつで、idcから2個もらいました。 211.111.111.100:443に来た時は192.168.1.100:443へ、 211.111.111.101:443に来た時は192.168.1.101:443へ行くような感じにしたいと思っていました。 この説明でわかりますかね(^^;;
>>995 回線も2本あるの?無いなら1本で2セッション繋げないと。
それによって設定例は大きく変わる。
基本的にNATで1対1に当ててやればよろし。
ただ、その場合は他のクライアントからはインターネット接続出来ない。
それを可能にするなら、どちらかをNATPにしないとダメ。
まずは設計から整理しよう。
>>995 要は、グローバルIPアドレスを2個もらってるから、それをlan2,lan3に振ろうかと思ってたわけね。
でもそれは同一ネットワークアドレスにある(連番?)と。
それだったら、ip lan2 secondary address 〜でlan2に2個アドレスを振って、
NATの定義は普通に書けばいけるんじゃない?
やってみたことないから、疑似環境でも作って試してもらうしかないけど。
しかし、もっとグローバルIPアドレスが増えたらどうするんだろうね、
ってそういう場合はルータ自体を増設するなり、L3SWに取り替えるなりするのか。
998 :
sage :2007/11/27(火) 05:33:37 ID:rOGpg8CT
RTX使用していますが、ちょいスレ違いかもしれませんが、質問です。 今後、携帯などで接続した携帯端末、PDA、PC接続で モバイルVPNのニーズが増えてくると思いますが、 まだまだ、個人でも手頃な月額定額で使えるお勧めなプランがあったら、よろしく。 FOMA HIGH-SPEED、ウィルコム、イーモバイルなど。 特に、PC接続でモバイルでのVPN(PPTP)可能な月額定額利用は、 どこのキャリア、プロバイダ、端末なんでしょうかねぇ? FOMA HIGH-SPEED は、mopera U での定額ではできなさそうだし、 ビジネスmopera VPN限定タイプだと従量制のようだし。 ウィルコムもISP接続じゃないと無理なのかな? イーモバイルは、D01HWやD02HWで、Windows Mobile 5.0 ではなくて、 PC接続した場合、OKなのかなぁ?
999 :
1 :2007/11/27(火) 07:07:10 ID:MGVlX4a0
, -‐─────-、
,. -― 、 (
>>1000 get )
__(_,ィ===,) `>----------一'
スイー 》'从」」」M」」
〜 ゞl] ^ヮ/7
〜 _ リ[!つ//リ
〈6〉 ノ,! // , -―-、 | ̄|
/ミ{,_ く/i//_,ゝ _,(r∧=∧) __,7T
\\_ ̄// ̄ ̄| ̄| 》'(,,6ω6) | ̄| ̄ ̄ ̄ ̄_//
\ `// ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄´ /
〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜〜
〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜⌒〜
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。