YAMAHA業務向けルータ運用構築スレッドPart6

このエントリーをはてなブックマークに追加
11
【前スレ】
YAMAHA専用スレッド
http://pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
http://pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
http://pc8.2ch.net/test/read.cgi/network/1092832668/
YAMAHA業務向けルータ運用構築スレッドPart4
http://pc11.2ch.net/test/read.cgi/network/1144116104/
YAMAHA業務向けルータ運用構築スレッドPart5
http://pc11.2ch.net/test/read.cgi/network/1196114751/

【公式サイト】
YAMAHA RT series router Home Page
http://www.rtpro.yamaha.co.jp/

【お約束】
・ここはYAMAHAルータで、小規模〜大規模のネットワークを構築、運用する人の
 ための情報交換スレッドです。

・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルータの
 設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 11
http://pc11.2ch.net/test/read.cgi/hard/1203089414/
2[email protected]:2008/10/11(土) 12:43:10 ID:8H2Db/l7
OTITANE!
3anonymous:2008/10/11(土) 16:57:54 ID:???
うどん食い過ぎだろ
4Begin:2008/10/11(土) 18:02:26 ID:???
では早速前スレでの質問のつづきですが、

--------------------------------------------------------
YAMAHAの設定例集
http://netvolante.jp/support/example/command/VPN/22.2.html
でも、固定IP拠点でのWAN側IPは手動設定した上で、

tunnel1# ipsec ike local address 1 WAN側IPアドレス

と設定しているのですが、やはり一般的には、

pp1# ppp ipcp ipaddress on
pp1# ppp ipcp msext on
tunnnel1# ipsec ike local address 1 LAN側IPアドレス

で動かしてる例が多いのでしょうか?
5[email protected]:2008/10/11(土) 20:29:19 ID:???
>>4

私はWAN側のIPを書くべきだと思い込んでいて、設定例を見ていたら
「YAMAHA RTシリーズの接続事例集 / VPNクライアントソフトとの接続」
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn1.html
でLAN側IPアドレスが設定されていたので疑問に思いYAMAHAに以前問い合わせたことがあります。
回答は「WAN側IPでもLAN側IPでもOK」でした。

ということでどっちでも好きな方でいいじゃん?
6Begin:2008/10/11(土) 21:26:40 ID:???
ありがとうございます。
おかげさまで、後は心おきなく本の設定例をコピペできます。

WAN側IPを書く必要があるのは、両方固定IPでメインモードを使う場合のみってことでOKですかね。
7[email protected]:2008/10/12(日) 20:47:33 ID:???
RTXシリーズってプライベートIPを割り当てたクライアントからのパケットを
契約している複数のISPの回線に分散させて送り出せるの?
具体的に言うとISP-A社から割り当てられたIPを送信元にして
クライアントからのパケットをISP-B社の回線に送り出し、
ISP-A社の回線でパケットの返信をうけるりクライアントにわたす。
このときISP-B社回線と接続しているLANインターフェイスBのNAPTテーブルを
ISP-Aと接続しているLANインターフェイスAにも引き継がせる。
そして帯域チェックをつかって負荷分散させるようにAとBを切替える。

YAMAHA以外のロードバランス機能のついたルータの設定例みたらあんまり凝った事は出来なさそうなんで、
可能ならRTX1200を買いたいな。
8[email protected]:2008/10/16(木) 00:27:03 ID:MtljYppo
回線障害時の切り替えならできるけどロードバランサなんてできるわけないじゃん、常考…
10万もしないルータに何を期待してるの?

ターボの軽自動車で3.5Lの車並みの加速を期待するようなもんだ
9PPPOE:2008/10/16(木) 04:50:22 ID:???
>7
マルチホーミングというのがある
詳しくは、ヤマハでrtx系設定例集をダウンロードして参照のこと
以下、その設定例から要点
# nat descriptor address outer 1 172.16.0.1-172.16.0.14(プロバイダ1配布アドレス)
# nat descriptor address outer 2 172.16.128.1-172.16.128.14(プロバイダ2配布アドレス)
pp1# ip pp nat descriptor 1
pp2# ip pp nat descriptor 2
# ip route default gateway pp 1 weight 2 hide gateway pp 2 weight 1 hide
weightによって回線への負荷の割合を決められる。同等の回線なら設定しない


 ただfromアドレスを偽って他方のプロバイダへ送信できるかは不明
pppoe技術ではそんなことが許されるのだろうか
 またインターネット側でルーティングテーブルを管理するので、
別のプロバイダアドレス宛のパケットを他方が引き受けることはないと思う


10[email protected]:2008/10/18(土) 15:17:45 ID:???
上のマルチホーミングの負荷割合をトリガーにする動的DNS登録が可能なら、
サーバとしてロードバランサーいらないな。
11あのにます:2008/10/18(土) 17:57:21 ID:???
>>7
この話、ML とかでも定期的に出るけど
ttp://projectphone.typepad.jp/blog/2008/05/wan2-2-31d5.html
から書かれている一連の話題を一通り読んだ方が良いかと。
12u:2008/10/20(月) 00:07:18 ID:???
>>10
常に空いている方のアドレスが、dnsで優先的に引かれるようにするのですね
でも登録変更作業がかなり頻繁に起こって大変そう



13[email protected]:2008/10/29(水) 00:08:41 ID:X/e/Pz+6
RTXを安く譲って貰ったのだが難しい。
どなたか教えてください。

ip filter 100 reject * * * * *
ip filter dynamic 10 * * www

ip pp secure filter in 100
ip pp secure filter out 100 dynamic 10

outへの通信をwww以外を抑止したいので上記の様にしたのですが
先に静的なrejectが動くためか通信できません。

「ip filter 99 pass * * * * www」として
「ip pp secure filter out 99 100 dynamic 10」
とマニュアルを読んでこれで良いのかなと辿りついたのですが
静的と動的両方に設定しないと出来ないのでしょうか?

お願い致します。
14あのにます:2008/10/29(水) 00:13:04 ID:???
15あのにます:2008/10/29(水) 23:54:42 ID:???
rtx1200って発売されたんだよね。
買った人は皆無なん?
16anonymous:2008/10/30(木) 00:47:20 ID:???
こちとらおつきあいの都合でIP38X/1200待ちですわ...
17あの二位申す:2008/10/30(木) 01:03:46 ID:???
>>15
WANへのアクセス用に、勤務する会社で導入予定
時期は12月なので、もう少し先だけど・・・
18[email protected]:2008/10/30(木) 08:07:12 ID:YQcRnfr+
西日本の事業所2カ所をRT58i(2台)でLAN間接続の予定です。
Bフレッツ光でネットボランチDNSでも問題ないのでしょうか?

西日本でCTU+ルータを利用した自宅サーバ公開のサイト等を参考にしているのですが
固定IPやダイヤルアップがほとんどのようでして。
19[email protected]:2008/10/30(木) 08:09:09 ID:YQcRnfr+
誤爆です。ネットボランチの方に行きます
20あのにます:2008/10/31(金) 15:40:07 ID:???
ottoからメールが来た。
RTX1200、明日出荷らしい。
21anonymous:2008/10/31(金) 22:42:36 ID:???
NTT-XからRTX1200今日届いたよ。
ぜんぜん使いこなせてないけど・・・。
2221:2008/10/31(金) 23:03:11 ID:???
統計情報見て気がついたんだけど、
トラフィック統計のグラフがLAN1だけIn方向とOut方向が逆になってる気がする。
23[email protected]:2008/11/02(日) 00:25:28 ID:CQW5gJjF
突然すみません、
YAMAHAのルータでRTX-1500なんですが、
どなたか外部からのアクセスの設定方法を教えてください
具体的にはWEBサーバを構築したいのですが、
ローカルではアクセスできるものの
外部からは出来ません、
お願いします
24あのにます:2008/11/02(日) 00:27:55 ID:???
>>23
またこのヘアピンナットなる言葉が出てくる話題か…
25[email protected]:2008/11/02(日) 00:32:03 ID:CQW5gJjF
>>24
すみません、
あまり詳しくないもので
「ヘアピンナット」っと言う言葉の意味がわかりません
26[email protected]:2008/11/02(日) 00:44:04 ID:CQW5gJjF
>>23
これってハードウェア寄りの話題なのでしょうか?・・
お約束のスレッドにいきます
ありがとうございました
27[email protected]:2008/11/02(日) 01:10:04 ID:CQW5gJjF
>>23
すみません、(RTXシリーズ)は通信技術板でお願いします
と言うことで戻ってきました。
どなたか、もう一度よろしくお願いします
28funga:2008/11/02(日) 01:30:22 ID:???
「ヘアピンNAT RTX」でググれ
29[email protected]:2008/11/02(日) 01:53:26 ID:CQW5gJjF
>>28
ヘアピンNATと言うのは、LAN内の自サイトをホスト名で観覧することですか?・
でもRTXと言うのは、ルータノ種類ですよね、
じゃあ、RTXでLAN内の自サイトをホスト名で観覧することですか?・・・・
30anonymous@通信技術:2008/11/02(日) 02:01:39 ID:???
ググりもしない教えて君は失せろ。
おまえには安物のブロードバンドルータで十分だ。
31anonymous:2008/11/02(日) 03:08:04 ID:???
>>23
YAMAHAのサイトに行けば必要な情報は設定例込みで公開されてますよ。
勉強するならもっと調べて知識つけた方がいいし
業務で使うなら業者に依頼した方がいい
自分でやりたいというのなら身の丈にあった機材を選んだ方が幸せになれると思うんだが・・・
32[email protected]:2008/11/02(日) 03:36:43 ID:CQW5gJjF
>>30
ちゃんと調べましたが、さっきほどのような答えしか見つかりませんでした、
安物のブロードバンドルータ、といわれましてももうすでにあるもので、
逆に、もっと簡単な物のほうがいいのですが、ルータ種類などに関しては、
私からは何もいえないのです。
>>31
ありがとうございます、一様YAMAHAのサイトにもいって、
説明書など、も読んだのですが、ちなみに業務では使わないのです、
すみません、
33anonymous:2008/11/02(日) 04:31:36 ID:???
>>32
説明書じゃなくて設定例
使いこなしたいならコマンドリファレンスも読まないと意味ないけどな

あそこは情報が多いからちょっと改変すれば使えるものがいっぱいある
とりあえず片っ端から見て回った方がいいよ
34yy:2008/11/02(日) 07:41:12 ID:???
>>24
yamahaではヘアピンナット問題は起こらないからヘアピンナットは関係ないだろう。
ファイヤーウオールかポートが開いていないんじゃないか。
ポートスキャンするとか設定内容公開するとか。
webサーバーが外部を止めている場合もあるしwindowsサーバーだとへんてこなファイやウオールが
一杯かかっていて駄目とか原因は一杯ありすぎて分からないよ。
35anonymous:2008/11/02(日) 10:51:35 ID:???
ヘアピンもなにも基本中の基本じゃないのか
36anonymous:2008/11/02(日) 11:36:40 ID:d5/m8ZAl
フィルタ開けて静的NAT設定すれば済む話じゃないか
37anonymous:2008/11/02(日) 14:35:40 ID:???
つかおまえら「サーバ公開できた」とか喜びつつ実は全解放だったとかお間抜けな事態を予想してやれよ
38[email protected]:2008/11/02(日) 15:06:05 ID:CQW5gJjF
皆さんすごく詳しいのですね。
わかりました、もう一度、設定例など、片っ端から読み直します、
また、それでわからなかったときは
よろしくお願いします
39[email protected]:2008/11/02(日) 15:22:30 ID:CQW5gJjF
ついでに、今読んでいるもののアドレスを書き込んでおきます。
http://netvolante.jp/download/manual/pdf/srt100/configs.pdf
40anonymous:2008/11/02(日) 15:59:20 ID:???
詳しいんじゃなくておまえが無知なだけ
41anonymous:2008/11/03(月) 00:32:03 ID:???
業者に頼めよ。。。
自分の給料より安く頼めるだろ。。
42[email protected]:2008/11/03(月) 09:23:47 ID:QAu6qxBB
>>41
あの、まだ学生なんですけど、、
43あのにます:2008/11/03(月) 10:22:47 ID:???
>>34
いや、今回の原因がそれと関係あるとは言ってない。
そういう話の流れになるのか、と言っただけ。
44あのにます:2008/11/03(月) 10:25:09 ID:???
>>42
とりあえず話は config 出してからだな。
45[email protected]:2008/11/03(月) 13:05:27 ID:QAu6qxBB
すみません、一通り読み直したのですが
やはり、難しいコマンドなどが多くそこまで、理解できませんでした、
ルータに関してはまったくの初心者でして、恥ずかしい質問なんですが
外部からのアクセスを許可するには、
コンソールとか言うのを使わなくてはいけないのですか?
私は、ブラウザーにルータのIPを入力してIDとPSを入力すれば
簡単に設定できると思っていてこんなに難しいとは思わなくって
私に知識がないので、コンソールを使いこなせないので、
あつかましい、話なのですが
どなたか、設定例に説明を入れて教えていただけないでしょうか?
46anonymous:2008/11/03(月) 13:19:22 ID:???
>>45
先ず何をしたいかを明確にしてはどうかと
Web公開したいだけのようにも見えるから静的NAT設定すればいいだけでないかとも
思うのだけどそれだったらWebの設定画面でできるよね?
それともRT58iってWebの設定画面ないんだっけ?
47[email protected]:2008/11/03(月) 13:24:15 ID:QAu6qxBB
>>46
えっ、WEBの設定画面で、できるんですか?
48あのにます:2008/11/03(月) 13:30:11 ID:???
>>46
RTX1500 らしいぞ。
まぁ、どっちにしてもウェブインタフェースはあるけどね。
49anonymous:2008/11/03(月) 14:24:09 ID:???
>>48
ああゴメン>>45、勘違いしてたみたい
50anonymous:2008/11/03(月) 14:52:19 ID:???
>>45
外部からのアクセスとか以前に
コンソールから設定できないやつにRTXは猫に小判

NetVolanteのトップページからソリューションの中を漁ってみな
固定IPだけどそのものズバリがあるから
あとは自分の環境に合わせてそれを改造すればいい
51anonymous:2008/11/03(月) 18:16:08 ID:???
いい加減RTX1500を使いこなすのは無理だと悟れよ(w
52anonymous:2008/11/03(月) 19:51:46 ID:???
つうか現在何ができてて
なにができてないかさっぱりわからん
シリアル経由でログインはできてるのか?
53[email protected]:2008/11/03(月) 20:02:41 ID:QAu6qxBB
>>51
別に、web公開できれば使いこなせなくてもいいんです、
>>52
はい、ダイヤラーで、接続は出来ました。
54anonymous:2008/11/03(月) 20:28:24 ID:???
ぶっちゃけ公式にあそこまで日本語の設定関連資料が載ってる
yamahaのルータでそこまで苦戦してるんだったら、鯖公開自体
見合わせたほうが良い気がするのは俺だけですか。
55[email protected]:2008/11/03(月) 20:35:51 ID:QAu6qxBB
>>50
教えていただいたページを一度見ました、
理解に時間がかかったのですが
下の設定を、コンソールなどから送り込めばいいのでしょうか?

nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス)
nat descriptor masquerade static 1 1 192.168.10.2 tcp www
56anonymous:2008/11/04(火) 00:18:08 ID:???
ヨドバシに行って5000円のルータ買ってきなさい。
半日のバイトで稼げるだろう。

時間かけてやりたいなら、公式のサイトを最初から最後まで読むしかないし、
内容が理解できないのなら、それ以前の部分を勉強した方がいい。
質問できるレベルになってからここに書きこむようにしないとダメだと思います。
57anonymous:2008/11/04(火) 03:30:48 ID:???
>>55
コマンドリファレンス片手に手元の通信環境とルータの設定を理解してから
YAMAHAの設定例のページとの違いを確認しながら5〜6回読み返せ
その前に>>50をあと10回読み直せ

それにしても研究室で使ってるルータかなんかか?
変な設定のものをインターネットに繋ぐなよ
58anonymous:2008/11/04(火) 12:52:35 ID:???
どうしてもRTX1500でやるってなら
YAMAHAのホームルーターで試験運用して、その設定丸ごと移植しろ
その方が圧倒的にリスクが低い
59あのにまうす:2008/11/04(火) 13:22:35 ID:R0wRlZsA
センタ側RTX1500、5ヶ所程度の拠点側RTX1100でVPN接続中
ある業務系(Oracle系DB接続)だけスピードアップさせたいので、優先設定
を施したが、期待道理に早くなってくれない
RTX1100ってヤマハさん家のグラフにもでてるがショートパケットの送信に
弱いのかな?
それとも、pingで20ms以上もかかるような「拠点」が悪いのか?

60hage:2008/11/04(火) 16:56:31 ID:???
前提条件
ADSL、FTTHによるPPPOE接続、固定アドレスだったら

>50
これが一番参考になると思う
http://netvolante.jp/solution/int/case4.html
http://netvolante.jp/solution/int/case4b.html

このなかで DHCP、DNS、フィルタの設定以外を参考に理解したら?
このスレの中で使われてるようなことが普通にRTX1500ではどのコマンドのことか
が理解できるか YAMAHAのページで検索できないとこれから使いこなすのは
あきらめて窓から投げ捨てろw
61[email protected]:2008/11/04(火) 20:31:11 ID:tdLCB2vz
VPN越しにDBセッション張ろうとする無謀なやつって初めて見たよw
62anonymous:2008/11/04(火) 20:58:29 ID:???
>61

この手の話よく聞くんだけど、なんか根本的な問題あるの?
63anonymous:2008/11/04(火) 21:26:14 ID:???
>>59
回線が遅いんだったらどんなに頑張ったって無駄じゃないかと思うよ。

板違いだけど。
DBのトラフィックの方を減らせば?
他のSQLでは限度があるけどオラクルはPL/SQLが使えるのでトラフィック減らしやすいよ(逆にDBサーバーのCPU食うけどね)
まあオラクルマスター(資格)持っている又は同等の技術を持っている人が必要だけどね。
64[email protected]:2008/11/05(水) 02:19:50 ID:WLaw7MJj
どうせ回線速度で3,40Mbps出てるから
毎秒4,5MB/sは転送できるはず!とか思っちゃってるんだろw

結局レイテンシが問題なんだよ
一度パケットキャプチャしてどれくらいの頻度でコネクション張ってるか見てから言ってろよ。。
こんなネットワークの基本中の基本もわからないなんて終わってるだろ。。
65anonymous:2008/11/05(水) 03:04:50 ID:???
PPTPでVPN張ってる可能性も捨てきれないw
66あのにまうす:2008/11/05(水) 08:06:44 ID:nVFNQxqb
>>61
中小企業なんで、専用線張れる程「ゼニ」が無い
>>63
cooperation bandwidth-measuringでは最新測定結果: 87440[kbit/s] なんて出る
マスターなんてそんな技術者いませんね
>>64
一部(回線的には)「yes」だな。パケット切り分けめんどくさいんで、鯖向けで
queue class filter 1 4 ip 172.23.0.0/16 172.22.1.1
ってやった
>>65
no。IP-SEC・・・それも地域網なので
ipsec sa policy 101 1 esp des-cbc anti-replay-check=off
とだけ
67[email protected]:2008/11/05(水) 11:20:35 ID:1aMJFsAB
RTX1200のショートパケットのスループットはどんな感じですか?
RTX1500より良ければ買うんですが。
68あのにます:2008/11/05(水) 11:22:29 ID:???
>>67
ML で既出。1500 よりは劣るらしい。
69[email protected]:2008/11/05(水) 11:29:40 ID:1aMJFsAB
>>68
ありがとう。
1500買います。
70あのにます:2008/11/05(水) 11:37:42 ID:???
>>69
ML は closed らしいから、アーカイブとかでの情報ソースは出せないけど
参加すれば [rt100i-users 38339] で確認出来ると思います。
71[email protected]:2008/11/05(水) 20:40:40 ID:???
>>67

今日、名古屋で行われたRTX1200の新製品発表会でヤマハの平野さんが
「ショートパケットの処理はRTX1500のほうが圧倒的に優れている。」
という内容の話をしてました。

その部分でRTX1200とRTX1500の差別化をして売り分けていくらしいです。

ところで、ショートパケットってVoIP関係使わなければ気にしなくてもいい?
今まで気にしたことなかったんだけど・・・

72hage:2008/11/05(水) 22:56:20 ID:???
ショートパケットってCIFSじゃないSMBとか、telnetやsshも厳密には影響あるれしょ
73[email protected]:2008/11/05(水) 23:31:57 ID:WLaw7MJj
SMBとかも関係してくるけど、やっぱりVoIPだよね。
ちっちゃいデータのやり取りが多いアプリだと影響が出る
sshとかなんて無視できるでしょ
74anonymous:2008/11/05(水) 23:35:40 ID:???
RTX1600/3100待ちでつ
はよ出して〜
75anonymous:2008/11/06(木) 00:34:53 ID:???
初歩的なことなのかもしれないですが、RTX1100同士でIPSecを張る場合、
暗号アルゴリズムによって、スループットおよびレスポンスって変わるのでしょうか?

RTX1100の説明を読むとどちらの暗号アルゴリズムでも、ハードウェア処理されるため、
AESでも3DESでも変化するようには見えないのですが。

少しでも、スループット・レスポンスをあげられるように設定しようと悩んでるところです。
ご存知の方いらっしゃれば、ご教授下さい。
76anonymous:2008/11/06(木) 01:37:57 ID:???
1つしか張らないなら大して変わらんかもしれんが
複数張れば影響してくるだろう
YMS-VPN1の暗号化速度測定見るかぎりでは
3DESよりAESのほうが軽いみたいね
77anonymous:2008/11/06(木) 01:44:31 ID:???
>>59
俺もOracleをVPN通して使ってるけど
ネットワークがシビアな問題になったことないな
DB接続と一口に言っても
処理の内容で速度がめちゃくちゃ変わるから
現状のプログラム見直した方がいいと思うよ
78あのにまうす:2008/11/06(木) 08:28:26 ID:njn5OHUc
正確に言うと・・・DB接続ってPDM(SmarTeam、DBはOracle8.1.7)なのです
故あって(PDM、DB共に)Ver-UP出来ずにいるので、VPNなんて考えていない
時代の代物です。
ショボい中小企業のくせにあっちゃこっちゃに「拠点」をもうけてくれるので
『処理が遅い』というエンドユーザの為、こいつを何とかしたいと思った次第
分散サーバを設ければ・・・という、ベンダーの「甘い罠」もあまりにも高額
の為、稟議も上げられない。
79anonymous:2008/11/07(金) 19:02:20 ID:???
>>76

やっぱり、それほど影響しないですか。1つしか張らない前提ですので、
他の方法を考えるしかなさそうですね。残る手段としては、MTU値の調整
位ですかね〜。
80[email protected]:2008/11/08(土) 05:58:03 ID:lSGmL+hz
>>78
普通に考えて今時拠点からDBアクセスするなんて設計がヘヴォすぎだろ
普通そういうのはアプリケーションサーバを中央に置いておいて、
アプリケーションサーバがDBサーバに接続すればよい
そしてユーザーには結果だけを返すべき
ユーザーはアプリケーションサーバににアクセスすれば
わざわざレイテンシが高い回線にDBアクセスなんて張らなくて済む
81anonymous:2008/11/08(土) 06:51:06 ID:???
机上の空論から言える正論はそうかも知れんが
今稼働してるシステムをリプレースする費用対効果がどの程度あるのかね
82[email protected]:2008/11/08(土) 11:20:01 ID:lSGmL+hz
設計のクソさをルータのせいにするよりマシだろwww
83[email protected]:2008/11/08(土) 11:22:18 ID:lSGmL+hz
というかそんな事もできないんだったら
とっくにスレ違いなんだから他でやってくれ
84anonymous:2008/11/08(土) 13:11:18 ID:???
インターネットVPNやめて、遅延の少ない回線に変えればいいんじゃないかな。
WAN高速化装置入れるって選択肢も有りそうだけどDBにはあまり大きな効果出ない事が多いし。
ネットワークよりシステムの設計を見直す方が技術的には素直だと思うけど。

金をかけずに改善なんて考えると、安物買いの銭失いになるだけだ。
85anonymous:2008/11/08(土) 13:21:38 ID:???
結局 現実が見えないバカの集まりか
86anonymous:2008/11/08(土) 13:56:31 ID:???
金をかけずに改善はしたいという夢物語
87[email protected]:2008/11/08(土) 14:41:09 ID:lSGmL+hz
そもそもそんなんならhttpsでVPN経由しない素のwebのアプリサーバでも立てるだろ、、
そんな金も払えないくせにレイテンシがでかいDBアクセスしといて
重いなんて言っても仕方ないわな
九州から東京まで下道使って時間がかかりすぎる!みたいなレベルだわ
素直に航空運賃払ってくださいなw
88あのにます:2008/11/08(土) 14:44:06 ID:???
>>87
フロントエンドがブラウザばかりと決め付けるな。
もう、どーでも良いよ、この話。
89あのにます:2008/11/08(土) 20:46:05 ID:???
  ☆ チン

        ☆ チン  〃  ∧_∧   / ̄ ̄ ̄ ̄ ̄ ̄ ̄
          ヽ ___\(\・∀・)<  RTX1600まだー?
             \_/⊂ ⊂_)_ \_______
           / ̄ ̄ ̄ ̄ ̄ ̄ ̄/|
        |  ̄  ̄ ̄ ̄ ̄ ̄ ̄:| :|
        |           .|/
90[email protected]:2008/11/19(水) 14:12:44 ID:TCCgF5lN
譲ってもらったRTX1000で悪戦苦闘中です。
LAN3ポートをDMZにしたく

ip lan1 address 216.100.100.97/29
ip lan3 address 192.168.1.1/32
 (略)
nat descriptor type 1 nat
nat descriptor static 1 1 216.100.100.97=216.100.100.97 5
nat descriptor static 1 2 216.100.100.102=192.168.1.1

現在こんな感じの設定です。

LAN1側のPCからLAN3側のPCにアクセスするとき、
192.168.1.1ならアクセス可能なんですが、
216.100.100.102でもアクセス出来るようにしたいです。

どんな設定加えれば実現可能ですか?
91あのにます:2008/11/19(水) 17:33:34 ID:???
YMS-VPN1なんだけど、同一のLANにある複数のPCからおなじ拠点に接続って無理?
ちょっと試してみたんだけど、片方のPCを繋ぐともう片方が切れちゃうんだよね・・・。
NATトラバーサルは有効にしてるけど、越えるルータによるのかな???
92you:2008/11/19(水) 17:55:45 ID:???
>>90
LANのPCにはIP8のグローバル与えて、サーバーにはローカル与えてんのかな。
普通は逆にするんだよ。なんでそうしなきゃだめなのか。

サーバーにグローバル与えてLANはローカルにすればすっきり出来るんだけどな。
9390:2008/11/19(水) 18:18:47 ID:3UKp9/go
>>92
97〜101はグローバル与えたサーバーで
残った102へのアクセスLAN内のPCへのアクセスにしたいのです。

最終目標は、
ip lan3 address 192.168.1.1/24
です!
94anonymous:2008/11/19(水) 20:14:33 ID:???
>>90
ちょとまち、WANは?
RTX1000の上位にもう一台ルーターあるの?
2段ルーター?すでにDMZじゃねーの?
環境がいまいち想像できないぞな?
95anonymous:2008/11/19(水) 22:00:13 ID:???
>>91
YMS-VPN1使ったと来ないけど
クライアントソフト以前にVPNの殆どは同一拠点間で2重にVPNはれませんよ。

微妙にルートが異なるように調整できれば可能だけど複数のルート作るのは難しいので諦めなさい。
もしくは拠点間VPNに変えなさい。
96[email protected]:2008/11/19(水) 22:01:39 ID:R6RW0VeQ
NATトラバーサルは同時にひとつしかセッション奴もあるよ。。
今回のネットワークの情報処理試験に乗ってたわい
97anonymous:2008/11/19(水) 22:19:55 ID:???
お前、何人?
98mm:2008/11/20(木) 09:50:56 ID:???
>>93
unnumberd でつないでいるならルーターは 97で 
98〜102の5個がグローバルアドレスでのサーバー
LANはローカルで97からnatを行うんだけど
97がルーターじゃないのだからunnumberdでなくてマルチnatでやっているのかな。
全体がよく分からん。
9990:2008/11/20(木) 10:41:50 ID:???
素人に付き合って頂きありがとうございます。
見よう見まねの初挑戦なもので、正確に伝えられずすいません。
こんな感じの構成を目論んでます。

        インターネット
       │
       │
          RTX1000(216.100.100.97)
       │
  ┌─────────────────┐

LAN1(グローバルIP)        LAN3(ローカルIP)

216.100.100.98         216.100.100.102だけこっちへ
216.100.100.99
216.100.100.100
216.100.100.101

こんなイメージです。
100anonymous:2008/11/20(木) 20:13:19 ID:???
>>99
複数IPというと
Unnumberdとか広域イーサネットとか色々サービスあるんだが。
サービスがわからなければ誰もレスできない。
101anonymous:2008/11/20(木) 23:37:48 ID:???
92さんや98さんのいうように、PPPoEならこんな感じでどうでしょう。
ttp://www.rtpro.yamaha.co.jp/RT/docs/example/ocn-economy10.html
「RT140e…複数ポート対応タイプ (Rev.4系)」のとこです。
PPを、unnumberedにして、外側アドレス1コ<->ローカルIPのnatをおいてるあたりです。
10290:2008/11/21(金) 08:37:22 ID:5Knyjmqr
PPPoEです。固定IP8です。
自分で調べた結果、どうも実現しなきゃいけない事は、
LAN1側からLAN3側にグローバルアドレスでアクセスする時のルーティングの設定
ではないかと思っていますが違いますかねぇ…

現状、LAN1側からLAN3側にローカルIPでアクセスは可能です。
103anonymous:2008/11/21(金) 11:55:44 ID:???
>>102
LAN1→LAN3への同一セグメント間の通信ですか。
ルーター以前の問題じゃないの?

サーバー(同一セグメント)で
216.100.100.98/29
216.100.100.102/29
ルーター噛ますんでしょ。

サーバーへ
route add 216.100.100.98 mask 255.255.255.255 216.100.100.97
とか
route add 216.100.100.102 mask 255.255.255.255 216.100.100.97
とか全サーバーに書かないといけなくない?

てか同一セグメント間通信ってネットワーク設計ちゃんとしないと駄目だぞ。てかそんな環境普通やらね。
104you:2008/11/21(金) 14:47:51 ID:???
LAN1側からLAN3側にローカルIPでアクセスは可能
だとするとNATが入っていない事になる。

LAN3からインターネットへ出る場合どのアドレスで出ているのかな
216.100.100.102 ?

tnat descripter address outer 1 216.100.100.102
tnat descripter address inner 1 192.168.1.1-192.168.1.254
は入れてあるの?
105you:2008/11/21(金) 14:48:47 ID:???
先頭の t はミスプリ
nat descripter address outer 1 216.100.100.102
10690:2008/11/21(金) 18:43:37 ID:Ogn3gXe9
>>103
やはり普通じゃありえない環境なんですね。
まだ初めて数週間なもので…もう一度勉強しなおします。

>>104
LAN3から外にアクセスすると216.100.100.102です。
NATの設定は入ってます。
107an:2008/11/22(土) 05:20:36 ID:4ta4hYy7
LAN1 - グローバルIP (216.100.100.96/24)
LAN2 - PPPoE Unnumbered
LAN3 - プライベートIP (192.168.1.1/24)

LAN1 に 216.100.100.97/29 を設定。
LAN3 に 192.168.1.1/24 を設定。
LAN3->PP、LAN3->LAN1に 216.100.100.102 を outer のIPアドレスにしてNAT。

こんな感じでどーでしょう。
108anonymous:2008/11/22(土) 17:01:11 ID:???
ファームは最新にしているのかな?
RTX1000の古いファームは挙動不審を起こすよ。
10990:2008/11/25(火) 13:53:44 ID:mUv6TCoM
みなさんアドバイスありがとうございました。

自分なりにも色々調べた結果ですが・・・
やはり>>103の仰るようにネットワーク設計に矛盾があるようです。
加えて、RTX1000内部はNAT変換後のINNERアドレスで通信するとの事で
LAN1からLAN3と通信するときは、ローカルアドレスになるのも至極当然。

という事でもう一度ネットワーク設計から見直します。

長い間、拙い説明にお付き合い頂き大変感謝します。
110[email protected]:2008/11/26(水) 13:26:52 ID:O13183gr
同じアドレスを使っている支店のネットワークを複数本社にVPNで繋ぎたいのですが、
トンネルの中でnat変換することになりますよね。
その場合nat 変換をVPN トンネルの中で行うには
ip tunnel nat descriptor 2
と記述すれば良いのでしょうか?

そしてトンネル用の記述を 2 で書くのでしょうか。
111anonymous:2008/11/26(水) 14:23:14 ID:dCf96nUo
tunnel select 2

ip tunnel nat descriptor 2
tunnel enable 2
で良いとおもうよ
112[email protected]:2008/11/26(水) 14:41:47 ID:O13183gr
>>111
サンクスです。やってみます。
113不明なデバイスさん:2008/11/26(水) 19:52:08 ID:???
>>110
同じネットワークって?
ブリッジ接続
ttp://ja.wikipedia.org/wiki/%E3%83%96%E3%83%AA%E3%83%83%E3%82%B8%E6%8E%A5%E7%B6%9A
か?
YAMAHAじゃ実装されていないはずだけどもっと高いCISCOクラスとかじゃないと・・・
114[email protected]:2008/11/26(水) 23:15:12 ID:RsL9on3a
L2VPNだったらYAMAHAではできない
L2TPをサポートしたVPN機器使え
115[email protected]:2008/11/26(水) 23:16:22 ID:RsL9on3a
しかもL2TPはDHCPが片方のネットワークではリレーエージェントでないと使えない
ブロードキャストが相手側ネットワークに届くので台数が多くなるとネットワークが死ぬ
といういろいろ制約が強い
常識的に考えてL2TPは普通やらない
116_:2008/11/26(水) 23:58:00 ID:???
Packeti(ry
…ありえんな。
117[email protected]:2008/11/27(木) 09:18:50 ID:???
マニュアルちょっと見てみたが
このクラスのルータってブラウザ上で管理出来ないのかな?
大体、コンソール使うもんなの?

コンソールって、フィルタリングとかの確認メンドクサソウだけど・・・
118any:2008/11/27(木) 09:52:23 ID:???
慣れればなんでも無くなるy
119anonymous:2008/11/27(木) 09:58:36 ID:???
>>117
ブラウザで大枠の設定してコンソールから仕上げるって感じでやってる
ブラウザだけだと何やってるか判らん時あるし
RT80iのWEB設定はわりと好きだったんだけどね
120117:2008/11/27(木) 10:47:29 ID:???
まだ、実際購入するか分からないんですが
ある程度使いこなしていく必要があるのね、ありがとう
121yuu:2008/11/27(木) 11:32:54 ID:???
ブラウザなんて確認程度。
コンソールなんて最初のIPアドレス設定だけ。

ほとんどエディターとtftpでやっている。
エディター使えばコピペも楽。
細かいチェックは印刷して見るのが分かりやすい。
ブラウザじゃ印刷なんて意味持たないし、コピペは1項目しかできない。
122anonymous:2008/11/27(木) 18:57:02 ID:???
123anonymous:2008/11/27(木) 19:09:11 ID:???
>>121
>ほとんどエディターとtftpでやっている。
不可能じゃないけどめちゃ希少なやり方だ、天然記念物か?
124anonymous:2008/11/27(木) 20:33:53 ID:???
>>123
え、そうなの?漏れもエディターとtftpだわ。
125anonymous:2008/11/27(木) 21:00:50 ID:???
ブラウザで設定してしまうと、設定する過程のログが取れないから管理に困る。
コンソールならどんなオペレーションしたのか全部記録できる。
126[email protected]:2008/11/27(木) 23:15:46 ID:c19KpAOT
tftpだとちょっとconfig変更するだけで
reloadが必要にならないの?
127yu:2008/11/28(金) 08:53:08 ID:???
>>126
reload なんて命令はあるのかな?使ったこと無い。
config変更はtftpでそのまま反映される。
送信テキストの最後の#saveの#をはずせばsaveが実行されるし
はずさなければうまく動かなかった場合に電源入れなおせばもとに戻る。
従来の設定を消したければ先頭の#clearの#をとれば良い。
設定項なんてほとんどが前に使ったものや、設定例からの転記だからtftp+editorは便利だよ。
コンソールじゃ速度は遅いしtelnetも以外と厄介。
tftp 192.168.1.1 -c put mydata.txt config/passwd
の1行のスクリプトを書けばさらに簡単。
128anonymous:2008/11/28(金) 09:53:56 ID:???
エディタで編集してtelnetへコピペだろ、JK
tftpだと設定間違えたら工場出荷状態まで戻すのが面倒
129あのにます:2008/11/28(金) 10:30:59 ID:???
>>128
「設定間違えたら」という前提で話すなら、telnet でも一緒だろーて。
しかし、コピペはないな。

ちなみにうちも tftp だな。
設定なんて、そんなに頻繁に変わるものじゃないし、テンプレートを
用意しておいて、スクリプトで拠点毎の設定を作って tftp で終了。

いろんな常識があるんだな。
130anonymous:2008/11/28(金) 11:23:26 ID:wrhGf5so
シリアルだろjk
131anonymous:2008/11/28(金) 11:25:25 ID:???
>>129
saveらなきゃ電源入れ直すだけで元に戻るが?
132あのにます:2008/11/28(金) 11:33:33 ID:???
133anonymous:2008/11/28(金) 18:43:20 ID:???
tftp
1.コンソール繋ぐ
2.ルーターにIP振る(RTXは初期IPないからね)
3.tftp許可のコマンド入力
4.LAN繋いで流し込む

コンソールから
1.コンソール繋ぐ
2.configを流し込む(テキストファイルの送信から)コピペはあかんよ!

どう考えてもtftpの方が手順多くない?
123番の人でした。
134anony:2008/11/28(金) 18:50:50 ID:???
>>133

>tftp
>1.コンソール繋ぐ
>2.ルーターにIP振る(RTXは初期IPないからね)
>3.tftp許可のコマンド入力

あくまで初回設定の話でしょ?
メンテナンス程度とかなら好みの問題レベルなんじゃないか。
135anonymous:2008/11/28(金) 20:18:58 ID:???
>>133
> 2.ルーターにIP振る(RTXは初期IPないからね)

RTX1200からSRT100/RT107e/RT58iと同じく付いたね。(192.168.100.1 )
今後は付ける方針なのかな。

>>126
> reloadが必要にならないの?

rebootの間違いかな?止めれ無い場合は
telnetで入ってコマンド投入して、tftpでコンフィグ保存。

シリアルは、無いノートPCが増えたのもあって
使用頻度が減った>124番でした。
136あのにます:2008/11/28(金) 21:19:40 ID:???
>>133
config を「流し込む」場合は、コマンドの実行順に気を付けないといけないからねぇ。
137[email protected]:2008/12/02(火) 23:59:25 ID:L2zYC/eD
フレッツ光プレミアムエンタープライズ+RTX1200+DMZ構築って可能なのかな。
フレッツ光プレミアム+RTXって例はあるんだろうけど、なかなか少なくて。
そもそもどうつないでどう設定すればいいのかの情報がほとんど無くて悩みます。
CTUの後にRTXつないで、RTXにpppoeさせるのがいいのか。
CTUはどう設定すればいいのだろう?

そこにDMZの話が加わると情報は皆無に等しく途方にくれています。
情報やヒントがあれば。。
138あのにます:2008/12/03(水) 00:12:24 ID:???
>>137
フレッツ光プレミアム「エンタープライズ」に、「ファミリー」とは異なる
特別な仕様がなければ、問題なく可能でしょ。

ただ、RTX を活用しようとすると、CTU を PPPoE モードに変更して
運用することになるだろうから、エンタープライズの速度的なメリットは
あまり活かせないだろうね。
139[email protected]:2008/12/03(水) 02:03:18 ID:2H6u1nKQ
>>138
DMZで複数固定IP使おうとするとRTXの3つのポートのうち2つで
同一ネットワークになってしまい、それの解決方法が分からないのです。
エンタープライズの仕様というのか。。
複数固定IPはファミリーとはその点異なりますね。


140あのにます:2008/12/03(水) 02:12:43 ID:???
>>139
それはエンタープライズ関係ないんじゃない?
別に足回りがファミリー100でも、複数固定グローバル IP アドレスは利用出来るし。
141anonymous:2008/12/03(水) 07:36:28 ID:???
>>139
rtxのwan側〜ctuにグローバルを振ってます?
ctuはpppoe機能でpppoeをパススルーできます。
これを有効にすれば、rtxはpppoeを使えます。ctu内側は192.168のままにしておいて、
rtはwan側をunnumberedにして、rtx配下のdmzに固定複数グローバルIPを振ります。どうでしょう。
設定方法がわからないのであれば、そのまま、ctu内側〜rtxのwan側をdmzにしてしまうとか。
142anonymous:2008/12/04(木) 01:07:18 ID:???
RTX1200こうた
さすがに家庭用ルータ機能とは違う・・・
ネットワークもロクに知らないぺーぺーだから四苦八苦中


ところで、これ本当に合ってるのかな?
inとout逆の気がするんだけど・・・

http://netvolante.jp/solution/int/case4b.html
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 200 192.168.0.0/24 * telnet
ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
143anonymous:2008/12/04(木) 02:27:57 ID:???
どうしてそう思う?
144anonymous:2008/12/04(木) 07:52:49 ID:???
ごめん、ルータへのin、outだから合ってるね
DMZへのin、outだと勘違いしちゃった
145[email protected]:2008/12/04(木) 08:00:10 ID:???
>>142
RT58iでも幸せになったと思うよ
146any:2008/12/04(木) 12:27:05 ID:???
まだYAMAHAのルータ買ってないが、調べてみると
YAMAHAの設定ごときで金を取る集団ってのもいるんだな・・・

YAMAHAもミドルユーザーにもルータ売る為に
ボタン操作とセル入力でConfigファイル作成できるソフト作れば良いのに

ギガ対応とショートパケット強化された1600あたりが出たら自分も買う予定だから
やる気があれば、俺もEXCELのVBAで作れそうだよ
147yu:2008/12/04(木) 13:42:36 ID:???
>>146
あなたが使う程度の事なら既にweb設定できるようになってます。
148any:2008/12/04(木) 14:55:21 ID:???
>147
サポートしない機能

IPv6、IPX
バックアップ
ルーティング(OSPF、BGP、RIPなど)
フィルター型ルーティング
QoS
DNS、VRRP、DHCPなど

結構、出来ない事だらけのようだが
149あのにます:2008/12/04(木) 15:20:04 ID:???
>>148
> YAMAHAの設定ごときで金を取る集団ってのもいるんだな・・・
とか
> やる気があれば、俺もEXCELのVBAで作れそうだよ
の発言を受けての >>147 なんだから…
150137:2008/12/04(木) 18:24:37 ID:/ueM7CSc
ルータというものと初めて格闘しています。

やりたいことはフレッツ光プレミアム+RTX1200で
DMZ環境を構築したいということです。
固定複数グローバルIPのプランを契約しています。


当初、

10〜   10〜  1XX〜  1XX〜
LAN─────RTX─────CTU─ONU─
       │
       │1XX〜
       │
       DMZ
       1XX〜

と設定しようとしたのですが、

RTXのポートのうち2つで同一ネットワークになってしまい、
それではだめだということで、
151137:2008/12/04(木) 18:27:14 ID:/ueM7CSc
>>141さんのアドバイスを受け、

            (1XX〜)
10〜   10〜  192〜  192〜
LAN─────RTX─────CTU─ONU─
       │
       │1XX〜
       │
       DMZ
       1XX〜

の形にしようと思いました。

ここでよく分からなかったのが、CTUのunnumbered機能の設定で、
CTUのIPアドレスとマスク長の欄にどう書くかです。
現在は1XX〜にしており、192〜を入れようとしたら、
「DHCPサーバ機能設定のIPと重複しています」と出てしまいました。
(DHCPサーバ機能は使っていません。)
152137:2008/12/04(木) 18:28:02 ID:/ueM7CSc
configも見よう見まねで書いていますが、
現状、DMZから外へは見に行けないようで、
(というかDMZからCTUへpingが通らない。192〜でも1XX〜でも)
悩んでおります。

あと、RTXのログに
「PPPOE[01] PPPoE Connect」とあるのですが、これだけではまだ
認証は終わっていないのでしょうか?


ルータの設定・ネットワーク構築というものを初めて行うレベルです。
ご教授いただければ幸いです。
153あのにます:2008/12/04(木) 19:04:55 ID:???
>>151
CTU で PPPoE を使うにして、RTX で unnumbered にするように
アドバイスされているんだと思うけど。
154fushiana:2008/12/04(木) 20:44:32 ID:???

Config貼り付けてみては
155:2008/12/05(金) 10:09:22 ID:???
結局このスレは YAMAHA config 自体の問題ではなくて、
ネットワーク的な問題なことが多いよな。
156矢嶋美容室:2008/12/05(金) 11:10:19 ID:???
現在企業にてBuffaloのルータを使用していますが、30台あまりのPCの使用環境では頻繁にルータが落ちるため、
業務用でるYAMAHAのルータの導入を考えています。

オフィシャルHPで設定集やコマンド集を見た感じでは設定自体は出来そうなのですが、
セキュリティやネットワークの深い知識は持ち合わせていないため、設定内容に自信が持てず購入に踏み切れません。

業者に頼めという声が聞こえてきそうですが、
会社でシステムを担当している私以外にPCやネットワークが分かる人間はおらず
金のない会社なのでなるべく業者等に頼まずに済ませたいと考えています。

プログラム経験あり、簡単な社内ネットワークの構築をした程度の経験ですが、
YAMAHAのルータを導入するのは敷居が高いでしょうか。
157yu:2008/12/05(金) 11:22:46 ID:???
>>156
Buffaloのルータでどんなセキュリティをしているのかな。
多分何もやっていないと思う。
それだったらRT107eの標準セキュリティだけでも良いような気がしますね。

RTX1100などは標準でセキュリティ設定は何も入っていませんが
RT107eは素人用に近いのでその辺りある程度大丈夫。
したがって107eをお勧めします。(58iなんか使うなよ。)
Buffaloでハイレベルの何かやっているならそれなりに難しくはなります。
158anonymous:2008/12/05(金) 11:29:21 ID:???
>>156
>オフィシャルHPで設定集やコマンド集を見た感じでは設定自体は出来そうなのですが、
なら、たぶんできるよ。

>YAMAHAのルータを導入するのは敷居が高いでしょうか。
何をしたいかによる。
落ちるって言うのはともかく、機能的にバッファローで間に合っているのなら、
たぶんそんなに難しくはないはず。
pppoeかなにかで、インターネットにつなげるぐらいはすぐできる。
(RT107e,SRT100ならweb設定もある。RTX1200もあるみたいだが、未確認)
そこから必要に応じて、それにフィルターをかけるなり、いろいろ制限をしていけばよい。
159anonymous:2008/12/05(金) 12:07:19 ID:???
>>156
聞き方の雰囲気からだけで、なんの根拠もないけど、多分あなたなら出来るよ。
YAMAHA ルーターは公式の設定集が豊富だから、
現状のルーターでよっぽど複雑なことをやってない限り、
調べる為に必要な技量さえ持ち合わせていれば簡単だと思う。
160156:2008/12/05(金) 13:21:46 ID:???
>>157-159
皆さん回答ありがとうございます。
購入する勇気が湧いてきました。

現在はNTTのG-VPNというサービスを利用しています。現在の構成イメージは下記の通りです。

        ┌VPNルータ(アライドテレシス)┐
ONU─HUB┤                  . ├HUB─社内ネットワーク
        └インターネットルータ(Buffalo)┘


まず、第一段階としてBuffaloのルータをYAMAHAのルータへと変更します。

        ┌VPNルータ(アライドテレシス)─┐
ONU─HUB┤                   . ├HUB─社内ネットワーク
        └インターネットルータ(YAMAHA)┘
                      ~~~~~~~~~~~

将来的にネットワークの経験と知識が高まったらNTTのVPNサービスを解約して自分でVPN環境を構築したいと考えています。

ONU─VPNルータ(YAMAHA)─社内ネットワーク

ここで二つ質問があります。

まず一つ目の質問
そもそもYAMAHAのルータに変更するだけで私の考えている構想を実現することは可能なのでしょうか。他にも必要な機器等はございますか?(知識と経験は必要でしょうが)

二つ目の質問
将来的なことを想定してRTX1200という機種を検討中です。RTX1200で問題はございませんでしょうか。

よろしくお願い致します。
161anonymous:2008/12/05(金) 14:19:34 ID:rvhf0KT6
とりあえずRT58iを買ってWeb設定で設定して、
将来的にその設定をRTX1200に移す+VPNルータとしての設定を追加して、
運用できそうな気がする
162156:2008/12/05(金) 14:59:57 ID:???
>>161
回答ありがとうございます。

一つ目の質問は「可能」ということでよろしいでしょうか。
二つ目の回答のRT58iは>>157が止めておけと・・・
163あのにます:2008/12/05(金) 15:09:59 ID:???
>>162
G-VPNって閉域っぽいけど、そっちはどんな利用を想定しているの?
まぁ、どっちにしても RTX1200 でのリプレースは可能なんじゃないかと。

別に >>161 が言っているような流れ(とりあえず RT58i)でも
悪くないと思うけどね。所詮、元がバッファローなんだし。
config も一から作らずに参考に出来るしね。
164137:2008/12/05(金) 15:15:13 ID:7qPxAwHQ
>>153
「RTX で unnumbered にする」が分かってませんでした。
「ip pp address〜」を削除してやってみたところ、
外部へ出て行くことができました。(外部のWEBページが直打ちで見れた)


10〜   10〜 unnumbered 1XX〜
LAN─────RTX─────CTU─ONU─
       │
       │1XX〜
       │
       DMZ
       1XX〜

一応CONFIG張ってみます。
165137:2008/12/05(金) 15:18:29 ID:7qPxAwHQ
フレッツ光プレミアム+RTX1200+DMZ構築(複数固定IP)
LAN1-LAN
LAN2-WAN
LAN3-DMZ

CTUではPPPoE機能使用、unnumbered機能使用、
CTUのIP 1XX.XXX.XXX.XX1、マスク長29。

-----
ip route default gateway pp 1
ip lan1 address 10.1.XXX.XXX/16
ip lan3 address 1XX.XXX.XXX.XX2/29
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ID PASSWORD
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1438
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 auto
dns server pp 1
dns private address spoof on
-----
166137:2008/12/05(金) 15:21:27 ID:7qPxAwHQ
外部WEBが見れるようにはなったものの、これで合ってるのかどうか。
あとフィルタ系ですね。これはこれから調べるところです(^^;
突っ込みいただければ。

167156:2008/12/05(金) 15:36:43 ID:???
>>163
>G-VPNって閉域っぽいけど、そっちはどんな利用を想定しているの?
主にDBシステムの運用です。
現在は6拠点から本社のDBサーバへアクセスしています。
公衆網でのVPN接続はやはり危険ですかね?
YAMAHAルータでのVPN構築は出来たらいいな程度で、
大きな目的は家庭用のルータから企業用のルータに変更してネットワークを安定させることですので無理なら無理で諦めます。

>所詮、元がバッファローなんだし。
とにかくバッファローよりは良いってことですね!
168あのにます:2008/12/05(金) 15:45:05 ID:???
>>167
DB システム運用とか書くと、またいつぞやの奴が…

G-VPN の仕様はよく見てないけど、専用ルータしか駄目なんだよね?
置き換えるとしたら、インターネット VPN か、フレッツグループだと思うけど
前者は速度的に・セキュリティ的にどうか、後者だと NTT 東西を跨ぐか否か
確認・検討しないといけないですよね、と。

ルータに関しては、確かにバッファローよりはましだと思うけど
速度が要求されるところとか、NAT テーブルを大量に消費するような
アプリケーションが動いているなら RT58i は要注意かと。
169anonymous:2008/12/05(金) 18:03:43 ID:???
>>167
今までの話は拠点だけで本社の設備が判らないのですよ。
複数セッション張るからIPsecを考えているのかな?
とりあえずIPsecは双方で同じメーカーがいいのですよ。


>>168
NATテーブルってNAT使ったときの話でしょう
拠点間VPNの話なんだからNAT使わなければ良いだけの話。
てかRT58iはIPsec使えん
170137:2008/12/05(金) 18:16:12 ID:7qPxAwHQ
調べたらDMZからは外部WEB見えましたが、LANからは見えませんでした。。きっと設定が違うんですよね。。
ここが違う!などアドバイス頂けると助かります。
171あのにます:2008/12/05(金) 18:46:38 ID:???
>>169
NAT はインターネットルータとして使った時の話をしているんだが?

> てかRT58iはIPsec使えん
元がバッファローのルータで、その代替って話から 58i はきてるんだけど?
IPsecを必要とするか否かなんて、現時点で外野には分からない。
172anonymous@APe3oQU:2008/12/05(金) 19:32:53 ID:???
ひとまずRTX1200を買っておけばいいんじゃないの?
これまで弱点だったNATテーブル数が5倍の20,000に増えているし、
現時点で弱点が見当たらない。

出たばかりでバグがある可能性はあるけど。
173anonymous:2008/12/05(金) 20:59:44 ID:???
>170
>nat descriptor address outer 1 ipcp

このipcpは、pppで割り当てられたアドレスを使います、の意ですが
固定IPの契約でpppをネゴってももらえるのはおそらくネットワークアドレスだから
通常、通信には使えません。代わりに

nat descriptor address outer 1 1XX.XXX.XXX.XX3

ぐらいにしてください。xx3 は、内側ネットワーク用に割り当てるグローバルIPの数字。
ここではrtxがxx2なので、その次の番号を仮に当てました。
ご存じと思いますが、固定IPをもらったうち、一番小さいIPと大きいIPを除いた範囲内で、
また、DMZの公開サーバやルータ自身のIPとかぶらないように
内側用にIPを割り当てて下さい。

>ppp ipcp msext on
これは不要。固定IPならpppでDNSをくれないかもしれない。
プロバイダからアカウントと一緒にDNSサーバのIPをくれてると思うので、それを

>dns server pp 1
dns server xxx.xxx.xxx.xxx
こちらに割り当てます。

>ip lan1 address 10.1.XXX.XXX/16
個人的には、/16よりも、/24をすすめます。
174anonymous:2008/12/05(金) 21:56:57 ID:???
そうだよ。/16なら 172.16〜31.0.0/16 だよな。 10.0.0.0 なら /8 だ〜な。
こういう基本は守るべき。
175anonymous:2008/12/05(金) 22:57:26 ID:???
/16なら192.168だよ。
RTXは個人向けルーターじゃないんですから

ttp://ja.wikipedia.org/wiki/IP%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9
プライベートIPアドレス
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

192.168.0.0/24は個人向けルーターが勝手に常識にしてしまったのだよ。本来は192.168.0.0/16
てかサイダー(ジュースだよ)化でクラスはどうでも良いんだけどね。
176anonymous:2008/12/05(金) 23:16:48 ID:???
>>175

>192.168.0.0/24は個人向けルーターが勝手に常識にしてしまったのだよ。本来は192.168.0.0/16

IPアドレスを2進表記にしたとき、先頭2ビットが11(10進で192)で始まるのは
クラスC(ホスト部で使えるアドレスは254個)、ってことが由来じゃないの?

10.0.0.0/8
172.16.0.0/12
192.168.0.0/16

↑は、『このサブネット範囲内なら、どんな値でもプライベートアドレスです』って意味で、
192.168〜の場合はサブネットが16ビット、って意味ではないと思うが。
177[email protected]:2008/12/06(土) 11:10:55 ID:???
>>167
もし、みかか西/東を跨がないなら
フレッツグループアクセスベーシックでIPIP接続という手もあるよ
RT58iでもファストパスで処理されて速いし
178anonymous:2008/12/08(月) 13:41:07 ID:???
>>175
少なくとも、あなたがサブネットマスクを理解していない、
もしくは、ネットワーク設計書に精通していない人だということが分かった。
そこらへんは、>>176の言う通り。

>>173が/24を進めているのは、あくまで>>173のネットワークの
使い方を勝手に予想してのお節介みたいなものだろう。(同意するけどね)
/16も1つのネットワークにする事はそうそうないし、
するにしても、ブロードキャストパケットの処理を考えないといけなくなる。
179anonymous:2008/12/08(月) 14:19:41 ID:???
ハード板のYAMAHAスレから飛ばされてきた素人さん(に毛が生えた程度)でしょ。
あまりいじめちゃダメだよ。w
180137:2008/12/08(月) 19:28:58 ID:URZSS09H
>>173
アドバイスありがとうございます。
残念ながら、
nat descriptor address outer 1 1XX.XXX.XXX.XX3
に変えたところ、DMZから外部WEBが見えていたのが見えなくなりました。

nat descriptor address outer 1 ipcp
に戻して
ppp ipcp msext on
を消した状態だと、前と同じで、DMZからIP直打ちで外部WEBが見えました。

悩ましいです。
DMZで複数固定IP利用、LANからIPマスカレードでネット接続を実現するには
どのようにするのがよいのでしょう?。。
181anonymous:2008/12/08(月) 20:36:19 ID:???
>>180
申し訳ない。完全に失念してました。
165のconfigで、以下の1行も変えて下さい

nat descriptor address inner 1 auto

nat descriptor address inner 1 10.1.XXX.XXX-10.1.XXX.XXX

ここでinner 1 の後のところは、nat変換の対象を示します。
autoだと、すべてのパケットを書き換える指定ですので、
DMZからのパケットも書き換わってしまったのだと思います。
LAN側だけ変換することを明示するため、
お使いのLAN側ネットワーク、10.1.XXX.XXXのうち
一番小さいアドレスと一番大きいアドレスで範囲指定します。
182137:2008/12/09(火) 07:59:50 ID:w/qpVK4x
>>181
恐縮です。こちらこそアドバイス感謝です。
ではさっそくそれでやってみます。また報告します。
183anonymous@357006010019681:2008/12/09(火) 17:04:24 ID:???
2229999900000300000
184[email protected]:2008/12/09(火) 20:12:16 ID:JsHgEG6J
YAMAHAのサイトに設定例が紹介されてはいるんだが、
あっちこっちに散らばって載せてあるため整合性がないというか、
担当者は馬鹿なんじゃないかとさえ思ってしまう。

折角、情報を提供するなら一つにまとめた方がいいんじゃないかw
185anon:2008/12/09(火) 22:30:54 ID:???
公式文書なのに
〜してみました だの DOOMを覚えてますか?
だのナメてんの?ニコ厨じゃねえんだぞ
あと検索がまともに機能してないんだよ!!糞が!!
186anonymous:2008/12/09(火) 22:35:53 ID:???
>>185
ウザイ、ここはおまえのチラシじゃねぇ

http://www.rtpro.yamaha.co.jp/RT/FAQ/index.html
> お問い合せ先
> 文章の間違いなどの報告先
> [email protected]
> 文章の内容などに関する議論の場
> rt100i-usersメーリングリスト(rt100i-users 加入ガイド,FAQ)
> ヤマハ ネットボランチ専用サービス窓口
> ヤマハ RTシリーズサービス窓口
187anonymous:2008/12/09(火) 22:44:08 ID:???
有限会社ウォールギャラリーって何の会社?
188abon:2008/12/09(火) 22:59:56 ID:???
会社のIPから節穴に引っかかったのかw
いまどき珍しい奴だな、乙ww
189anonymous:2008/12/09(火) 23:19:01 ID:???
Job in Japan だから派遣か何かじゃね。
190anonymous:2008/12/10(水) 08:52:25 ID:???
104がネットアドレスだから105は普通ルーターアドレスだな。
外に出るアドレスは逆引きぐらいは日本の会社なら入れておけって。
191anonymous:2008/12/10(水) 13:13:09 ID:???
b. [氏名] 奈須信太郎
d. [電子メイル] [email protected]
o. [電話番号] 092-713-6711

ここらへんに問い合わせてみればいいんじゃないかな。
192anonymous:2008/12/10(水) 13:14:54 ID:???
106 はネームサーバーみたいだね。
> set type=NS
> jobk.com
Non-authoritative answer:
jobk.com nameserver = ns1.jobinjapan.co.jp
jobk.com nameserver = ns2.sphere.ad.jp
ns2.sphere.ad.jp internet address = 202.239.113.26
ns1.jobinjapan.co.jp internet address = 203.138.232.106
193156:2008/12/11(木) 09:48:03 ID:???
以前こちらで相談にのってもらった156です。
この度RTX1200を購入して本日届く予定となっております。

ネットワークに関しては素人に毛が生えた程度の知識しか持ち合わせておりません。

やりたいことは下記の通りです。

インターネットへの接続
スタティックルーティングの設定
ポート変換の設定

上記の3点は設定集等を見て設定出来そうなのですが、
RTX1200のデフォルトの設定で「これをしておいた方が良い」という設定はありますか?
RTX1200のデフォルトの状態で上記3点の設定でセキュリティ等に問題はありませんでしょうか。

※もちろんルータのアクセス権の設定は行います。
194anonymous:2008/12/11(木) 10:39:09 ID:BvfVRknt
syslog debug on
195anonymous:2008/12/11(木) 14:08:03 ID:r+pruzmu
>>193
設定の最後に下記コマンドでおk
cold start
restart
196156:2008/12/11(木) 15:29:40 ID:???
>>194

debug パラメータを on にすると、大量のデバッグメッセージを送信するため、s yslog host コマンドで設定する
ホスト側には十分なディスク領域を確保しておき、必要なデータが得られたらすぐに off にする。

となっていますが???

>>195

cold start
設定の初期化ですね・・・。


先日は親切な方ばかりでしたが、今日は不親切な方が多いようです。
197fusiana:2008/12/11(木) 15:31:18 ID:???
とりあえず、最新のファームにアップグレード。
198yu:2008/12/11(木) 15:37:13 ID:???
>>197
http revision-up go
で出来るのな。知らなかったよ。
199anonymous:2008/12/11(木) 15:57:06 ID:???
>>156
最初に質問したときは、もっとまともな技術者かと思ったが、
蓋をあけてみたら「これはしとけみたいな設定はありますか」みたいな厨質問じゃ、誰も答えないよ。
あなたの意図したネットワークに必要な設定をしとけ、以上となっちゃう。
200156:2008/12/11(木) 16:53:26 ID:???
>>199
初心者という用語が決して免罪符になるとは思っておりませんが、
当初からネットワークに関して深い知識は持ち合わせていないことを明記しております。
ここの皆様のご助言を頂ければネットワークを構築出来ると考えていました。

機種により、デフォルトの設定が異なると考えRTX1200での注意点が聞ければと思いましたが、厨質問ですか。
まさかこんな回答が返ってくるとは夢にも思いませんでした。
201156:2008/12/11(木) 17:00:44 ID:???
愚痴を言っても始まりません。
素直にサポートへ問い合わせてみます。

こちらが誤解を与える言動を取ったのが原因です。
ご迷惑をお掛けしました。
202[email protected]:2008/12/11(木) 17:19:27 ID:Q47pfYx/
>>156
あなたは言葉遣いは丁寧だし、そうバカな事を書いている訳でもないから、
相応に常識のある人だとは思うが、そもそもここは情報交換をする場あって
YAMAHAのサポートの代替ではないので、丁重に質問すれば期待する
回答・助言が得られるといった甘えた考えは持つべきではない。
すごく変な構成であるといった、回答者の興味をそそる様な質問だったら、
物好きがいろいろと答えてくれるだろうけれど、そうじゃないのに回答を
期待するのは虫が良い。その点で、常識を欠いている。
誤解を与える言動をしたのが原因ではなく、そもそもの考え方を改めた方が
良い。
203156:2008/12/11(木) 17:23:31 ID:???
>>202
ありがとうございます。
サポートに問い合わせさせて頂きます。
204anounymous:2008/12/11(木) 19:44:09 ID:???
>>200
そういう発想なら、1つ教えてあげよう。
デフォルトの設定(といっても何もされてないが)は最初にクリアするんだよ。
それが、>>195。そこから一から入れていく。
205anounymous:2008/12/11(木) 19:45:51 ID:???
業務用ルータなのに「デフォルトの設定」とか・・・

あ、でも、1200からはIP持ってたりするんだっけ?
確かに最初に cold start しそう・・・
206anonymous:2008/12/11(木) 21:13:30 ID:BvfVRknt
待て
cold startしたらその初期のIPがセットされた状態になるんだぞ
207anonymous:2008/12/11(木) 22:38:37 ID:???
208anounymous:2008/12/11(木) 23:15:25 ID:???
みんな初心者が1200なんて買ったりしたから、ひがんでいるな。
変な事教えるなよ。
俺は単にうらやましいと思っているだけだ。
もう使い古した1000から1200へ飛躍したいけどボーナスないし余裕も無いから今年は無理だ。
1100が中古で安く出そうだからそっちに期待するかな。
209anonymous:2008/12/11(木) 23:18:10 ID:???
俺似たような境遇だからRTX1200チラ裏

出荷状態だとIP持っててDHCPも動いてるから楽チン
WEB版設定画面からIP割り当てたら何故か全ポート接続受け付けなくなって困った(繋いであったtelnetもフリーズ)
telnetじゃなくてsshにする
security classの設定
ブラウザアクセス、ssh、ユーザー権限をローカルネットのみにする
動的フィルタを活用しようとすると出入りの設定が混乱する
210anonymous:2008/12/13(土) 14:04:21 ID:???
web設定画面使うのが悪い
211あのにます:2008/12/13(土) 14:07:23 ID:???
>>209
> WEB版設定画面からIP割り当てたら何故か全ポート接続受け付けなくなって困った(繋いであったtelnetもフリーズ)
なぜかって、当たり前じゃん。
212anonymous:2008/12/15(月) 12:34:27 ID:???
>>176
NTT東のフレッツスクェアの設定どうやってるよ?


律儀に /25とか/28単位で16個前後設定してるのんか

whoisすれば220.210.192.0/19での割り当てになってて/19の範囲で使われてる (ルーターやらで220.210.222.*まで確認済み)

>>178
10.0.0.0〜10.255.255.255の範囲を/24で使用してはダメってのも無い
213137:2008/12/15(月) 12:55:08 ID:7WckWsZd
>>181
ご報告遅くなりましたが、181の設定で無事LAN・DMZから
外へアクセスすることができるようになりました。
ありがとうございます。

IPマスカレードは
nat descriptor address outer 1 1XX.XXX.XXX.XX3 を
nat descriptor address outer 1 1XX.XXX.XXX.XX1 に
変えても動いたので、そうしようかと思っています。
(1XX.XXX.XXX.XX1はCTUのIPアドレスでもある)

あと設定を徐々にbrush upできればと思っています。

CTU設定画面へRTX経由でアクセスできないかと思います。
「ヤマハの音とネットワーク製品を語る」の
http://projectphone.typepad.jp/blog/2008/03/3-pppoe-3423.html
を参考にしつつ試行錯誤しているのですが、うまくいきません。
そもそも1XX.XXX.XXX.XX1へpingが通らないので、それがいけないのか
とも思います。

ip route 1XX.XXX.XXX.XX1 gateway pp 1

dns server select 2 1XX.XXX.XXX.XX1 a fletsnet.com
など試してみましたが、だめでした。

CTU設定画面へRTX経由でアクセスするにはどうしたらよいか、
アドバイスが頂けましたら幸いです。
214anonymous:2008/12/15(月) 15:06:59 ID:???
>>213
>CTU設定画面へRTX経由でアクセスできないかと思います。
CATV(ローカルルーター)の設定を参考にしてWAN側にIP設定

ip route 192.xxx.0.0/24 gateway <CTUの設定部分>
とかで通せば可能なはずだけど

RTXでPPPoEとDHCP鯖からの割り当て(固定IP)が両立可能なのか不明なんで…
215anonymous:2008/12/16(火) 00:10:50 ID:???
>>213
動いて何よりです。

>(1XX.XXX.XXX.XX1はCTUのIPアドレスでもある)

rtxは、自身のLAN3が1xxx.xxx.xxx.xxx/29のネットワークなので、
LAN3側に1XX.XXX.XXX.XX1のIPをもつホストがあると考えます。
CTUはLAN2側ですし、LAN2ではPPPoEしか動かしてないので
rtxとしてはLAN2側へpingを転送しません。

参考のurlのconfigは、ip lan2 address dhcp 、CTUからアドレスをもらうようにしてます。
これで、LAN2からは、pppoe、と、普通のetherのフレーム、の両方が出るようになります。
また、LAN1側からもCTUにアクセスできるよう、ip lan2 nat descriptor も入れてあります。
ctuについては、192.168.24.1でしたか、もとのアドレスに戻してしまって、
DHCPも有効にしてしまったほうがよいかと思います。

考え方は、214が"CATVを参考に""割り当てが両立"とおっしゃってるとおりで、
CTUのアドレスへのアクセスに限れば、CTUはLAN2と同じネットワーク上にありますから
経路の部分の設定は不要になるはずです。
216anonymous:2008/12/16(火) 10:05:48 ID:???
なんかすげー自分目線の論理だな。
217137:2008/12/16(火) 11:53:36 ID:66vRiqMp
>>215
ありがとうございます。
213を書いたあと改めてトライして、ctuは192.168.24.1に戻す形でやってみました。

●フレッツ光プレミアム+RTX1200+DMZ構築(複数固定IP)

CTUの設定:DHCP使用する。unnumbered使用しない。PPPoE使用する。


 IPマスカレード 外へは1XX.XXX.XXX.XX1で

10.1.XXX.XX2
    10.1.XXX.XX1  dhcp   192.168.24.1
LAN────────RTX─────────CTU───ONU──光回線
          │
          │1XX.XXX.XXX.XX2
          │
          │
          DMZ
        1XX.XXX.XXX.XX3
        1XX.XXX.XXX.XX4
        1XX.XXX.XXX.XX5
        1XX.XXX.XXX.XX6

LAN1-DMZ
LAN2-WAN
LAN3-LAN
218137:2008/12/16(火) 11:56:50 ID:66vRiqMp
ip route default gateway pp 1
ip route 210.247.16.1 gateway dhcp lan2
ip route 210.247.16.2 gateway dhcp lan2
ip route 210.247.16.3 gateway dhcp lan2
ip route 210.247.16.4 gateway dhcp lan2
ip route 210.247.16.5 gateway dhcp lan2
ip route 210.247.16.6 gateway dhcp lan2
ip route 210.247.16.7 gateway dhcp lan2
ip route 210.247.16.8 gateway dhcp lan2
ip route 210.247.16.9 gateway dhcp lan2
ip lan1 address 1XX.XXX.XXX.XX2/29
ip lan2 address dhcp
ip lan2 nat descriptor 3
ip lan3 address 10.1.XXX.XX1/16
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ID PASSWORD
ppp lcp mru on 1454
ip pp mtu 1438
ip pp intrusion detection in on
ip pp nat descriptor 1
pp enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 1XX.XXX.XXX.XX1
nat descriptor address inner 1 10.1.XXX.XXX-10.1.XXX.XXX
nat descriptor type 3 masquerade
nat descriptor address outer 3 primary
nat descriptor address inner 3 auto
dns server select 2 192.168.24.1 a fletsnet.com
dns private address spoof on
219137:2008/12/16(火) 11:57:54 ID:66vRiqMp
のconfigにしたところ、

LANからは、1XX.XXX.XXX.XX1で出て行き、
DMZからは、1XX.XXX.XXX.XX3〜6で出て行き、
外のWEBが見れる状態になりました。
CTUの設定画面にアクセスも可能になりました。
(確認用PCのTCP/IPの設定で、DNSは192.168.24.1に設定)

試行錯誤しつつなんとか徐々に前進しています。
みなさまありがとうございます。
またつまったらお聞きするかもしれません。
DNSとフィルタをきちんと理解して設定しなければ(^^;
220[email protected]:2008/12/17(水) 10:39:14 ID:R1dCkA1h
YAMAHAのルータを使うのは初めてなのですが、
unnumbered pppoe な環境で複数固定IPをもっていて、
公開サーバをすべてプライベートIPで構成したいのですが、

LAN1 → プライベートIP
LAN2 → unnumbered pppoe (機種はSRT100 です)

にした場合、こんな感じの nat 指定は可能でしょうか?

nat descriptor type 1 masquerade
nat descriptor address outer 1 グローバルIP1
nat descriptor masquerade static 1 1 192.168.100.1 80

nat descriptor type 2 masquerade
nat descriptor address outer 2 グローバルIP2
nat descriptor masquerade static 2 1 192.168.100.2 80
nat descriptor masquerade static 2 2 192.168.100.3 8080
221anonymous:2008/12/17(水) 11:58:29 ID:???
やってみればよい
222anonymous:2008/12/17(水) 12:29:09 ID:d0MH8Gx6
一つのインタフェースにnatを二つは適用できないと思われ
223anonymous:2008/12/17(水) 12:33:04 ID:???
ip pp nat descriptor 1 2
で出来てるが
224anonymous:2008/12/17(水) 14:12:51 ID:d0MH8Gx6
じゃぁ出来る
225220:2008/12/17(水) 21:03:30 ID:???
221さんのおっしゃるとおり、やってみればわかることではあるのですが、
準備を整えて今の機器をえいやっ!で交換しないといけない状況なんです。。。

気になっているのは、LAN1/LAN2どちらのインターフェースにもISPから割り当てられたグローバルIPを
振ってないのですが、その場合でもouterで指定したアドレスはちゃんと nat として振舞ってくれるのかな
ということです。
226[email protected]:2008/12/17(水) 22:37:21 ID:???
準備を整える=やってみる
できないのであればトラぶってください。
227anonymous:2008/12/18(木) 01:01:16 ID:???
yamahaルータっつっても所詮は初心者向け業務用(笑)ルータだから
ここで、まともな返事が出来る奴はほとんどいないと思われ

サポートに聴いたほうが確実だな
意味の無い突っ込みされるのが落ちだ
228anonymous:2008/12/18(木) 07:26:53 ID:???
yamahaなんぞ安いのだから、2chで尋ねなくとも、事前に準備できるでしょうに。

>気になっているのは、LAN1/LAN2どちらのインターフェースにもISPから割り当てられたグローバルIPを
>振ってないのですが、

pppのunnumberedですと、おそらく、ネゴ中にISPからipがもらえません。
もらえてもネットワークアドレスです。
ですから、rt側できちんとしたグローバルアドレスをつける必要があります。
nat機能でIPを明示してあげて下さい。
複数natなら、以下のように、各natが対応する内側アドレスも明示です。

nat descriptor address inner 1 192.168.100.1
nat descriptor address inner 2 192.168.100.2-192.168.100.3

または、あえてnatを使わない方法としては、
プライマリアドレスとセカンダリアドレスを使って
グローバル直付けした公開サーバ群とプライベートアドレスの社内側を並列にしたり、
グローバル直付けサーバ+2段目ルータで、2段配下に社内側配置、です。
229220:2008/12/18(木) 10:16:41 ID:???
228さん、ども。

> ですから、rt側できちんとしたグローバルアドレスをつける必要があります。

ということは、ISPからの割当が x.x.x.192/29 なので、
ip lan1 secondary address x.x.x.193/29
のように先頭アドレスをrt側に振っておくことにします。

> 複数natなら、以下のように、各natが対応する内側アドレスも明示です。

そうなんですか、複数natの場合 inner は auto ではダメなんですね。
230anonymous:2008/12/19(金) 07:56:48 ID:???
>>229
すみません、表現が悪かった

>> ですから、rt側できちんとしたグローバルアドレスをつける必要があります。
> ip lan1 secondary address x.x.x.193/29

今回の場合、
ISPから割り当てられたグローバルアドレスを
rtのnat機能で付与するのであれば、
lan1側にグローバルアドレスは不要です

http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/example/11.html#masquerade-masquerade
ここの少し下、show config(内側アドレスの指定を詳細に記述する)に
「ip lan2 nat descriptor 1 2」がありまして。
lan2のアドレスをnatに兼用しているところを除いてlan2をppに読み替えると、
今回の構成に近くなるはずです。
231a:2008/12/23(火) 13:47:04 ID:UeboCzYd
RTX1000で静的NATで複数固定IP8個を利用してサーバを公開する為の設定で悩んでいます。

グローバルアドレス:123.123.123.1/29
ローカルアドレス:192.168.0.0/24

192.168.0.12-192.168.0.16 webサーバ
192.168.0.17-192.168.0.20 クライアントPC


↓config抜粋
-------------------------------------------------------------------
nat descriptor type 3 nat-masquerade
nat descriptor address outer 3 123.123.123.7
nat descriptor address inner 3 192.168.0.17-192.168.0.20

nat descriptor static 3 1 123.123.123.2=192.168.0.12 1
nat descriptor static 3 2 123.123.123.3=192.168.0.13 1
nat descriptor static 3 3 123.123.123.4=192.168.0.14 1
nat descriptor static 3 4 123.123.123.5=192.168.0.15 1
nat descriptor static 3 5 123.123.123.6=192.168.0.16 1
-------------------------------------------------------------------
232a:2008/12/23(火) 13:47:38 ID:UeboCzYd

外部のDNSでwww.xxxxxxxxxxx.xxxから123.123.123.2がすでに引ける状態です。
各webサーバにはそれぞれグローバルアドレスとローカルアドレスの両方を割り当てています。
123.123.123.2のwebサーバのvirtualhostのwww.xxxxxxxxxxx.xxxの項目には192.168.0.12:80を記述しています。

この状態で外部からブラウザでhttp://www.xxxxxxxxxxx.xxx/にアクセスした場合にはvirtualhostの設定通りの
ホームページが表示されます。

しかし、192.168.0.17のクライアントPCからブラウザでhttp://www.xxxxxxxxxxx.xxx/にアクセスした場合には
virtualhostの設定が適用されずにFQDNではなくIPアドレスでアクセスした場合と同様にデフォルトページが表示されてしまいます。

試しに、クライアントPCのhostsファイルにwww.xxxxxxxxxxx.xxxから192.168.0.12が引けるように記述して
ブラウザでhttp://www.xxxxxxxxxxx.xxx/にアクセスしたところvirtualhostの設定通りのホームページが表示されました

同一LAN内のクライアントからのアクセスでもヘアピンNATで外部からのアクセスと同じようにホームページが表示されると思っていましたが
こういうものなんでしょうか?
それとも何か根本的に間違っているのでしょうか?
233[email protected]:2008/12/23(火) 15:31:48 ID:8MSFf0wG
あんまり詳しくないけど、一言

Land attackになってるんじゃ? 自動構成スクリプトが必要なのかなと。
234不明なデバイスさん:2008/12/23(火) 16:17:09 ID:???
>>232
試しにクライアントのhostsに記載しても同一の動きならヘアピン関係ないと思うの
235anonymous:2008/12/23(火) 16:40:57 ID:???
ついでにもう一言

dns server select 100 192.168.0.12 1 any www.xxxxxxxxxxx.xxx

でどうなんだろう
236anonymous:2008/12/23(火) 17:12:49 ID:???
>>232
LAN内からアクセスしてデフォルトページが表示されたときの、
webサーバのアクセスログはどうなっていました?
ヘアピンNATが動くのであれば、
同一LAN内からのアクセスは
アクセス元のIPが123.123.123.7として記録されるはずです。
アクセス元が123.123.123.7であれば、RTX1000がそれ以上何かできるとは思えないので
端末にてブラウザのキャッシュとかDNSのキャッシュを消すとかではいかがでしょう。
237231:2008/12/23(火) 20:40:45 ID:p5Id96CX
>>236

クライアントPC(192.168.0.17)でnslookupすると
www.xxxxxxxxxxx.xxxから123.123.123.2が引ける状態です。
http://www.xxxxxxxxxxx.xxx/にアクセスしたところ
ログには192.168.0.17で記録されていました。
238[email protected]:2008/12/28(日) 16:24:40 ID:???
なんか家庭向けのルータスレではRTX1200がわりと注目されてるけど

出口が100M程度しかでない環境なら、1500買って下段にGbHUB設置したほうが圧倒的にいいよな?
スループットばかり見てて、肝心のパケット処理能力が見落とされがちになってる気がする

俺の予想では1100の例と業者のコメントから考えて
パケット処理能力は1500の1/3程度ぐらいな気がしてる
239anonyn:2008/12/28(日) 19:18:51 ID:???
[rt100i-users 38339]でH瀬さんもパケット処理能力は1500が上、って言ってるね。
240anonymous:2008/12/28(日) 20:40:37 ID:???
RTX1100が52kbps、RTX1500が238kppsだよね。
1518byteのパケットで1Gbpsのスループットだと、82kppsぐらい必要?

でも、これだとIX2015はおろか、IX2010にも負けそう。
IX2025には及ばないとしても、IX2015クラスをキボンヌ。
241[email protected]:2008/12/31(水) 23:11:56 ID:???
池■田大■作の本名はソン・テチャク。小泉純一郎、小沢一朗は朝鮮人。
911では小型の水爆が使用されている。
http://ri■ch■ardkosh■im■izu.at.webry.info/
創価の保険金殺人事件。
オウム事件は、統一・創価.北朝鮮の共同犯行である。CIAが監修している。
http://www15.ocn.ne.jp/~oy■ako■don/kok_web■site/ir■iguc■hi.htm
与党も野党もメディアも全部朝鮮人だった。
http://jb■bs.li■vedo■or.jp/b■bs/read.cgi/news/20■92/115794■1306/

2ちゃんねるは統一■教会が個人情報を集めるための道具。運営には統一■教会がいる。
駅前で「手相を見せてください」と勧誘してるのが統一教■会。(カルト宗教)  
カルト宗教の下にいる人と上にいる奴を分けて考えないといけない。下にいる利用される人は上がどんなことをしてるか知らない。

ユダヤ権力の子分→2ちゃん運営=統一協会上層部=層化上層部=自民党清和会=野党の朝鮮人ハーフの政治家=
与党の朝鮮人ハーフの政治家=金 正日(キム・ジョンイル )=読売サンケイ=小沢十朗
ユダヤ人=ロックフェラー=ブッシュ=クリントン=ヒラリー=アドルフ・ヒトラー=オサマ・ビンラディン

毎日新聞スレを荒らしてる奴らも統■一教会の可能性が高い。
荒らしは洗脳するために「ネトウヨ」などのレッテル付けレスを何千回もする。
現実には「ネトウヨ」などは存在しない。
http://changi.2ch.net/test/read.cgi/ms/1230363385/
242[email protected]:2009/01/02(金) 03:29:20 ID:???
RTX1100で
ip pp secure filter in 1020 1030 1031 1032 1033 1034 1035 1036 1037 1038 1039 1040 1041 1042 〜
と設定していくと複数行にまたがってしまい、
そのまたがった箇所だけ設定が反映されないので、
ip pp secure filter in 1020 1030 1031 1032 1033 1034 1035 1036 1037 1038 1039
ip pp secure filter in 1040 1041 1042 〜
と、ふたつに分けた所、ルータが落ちて(暴走して)しまいました。

どうすれば、複数行にまたがった箇所の設定を反映することができるのでしょうか?
ご教授頂ければ幸いです。
よろしくお願いします。
243[email protected]:2009/01/02(金) 09:59:25 ID:???
それ表示が折り返されてるだけだろ
244anonymous:2009/01/03(土) 02:40:06 ID:???
暴走てアホか。
> ip pp secure filter in 1020 1030 1031 1032 1033 1034 1035 1036 1037 1038 1039
> ip pp secure filter in 1040 1041 1042 〜
って設定すれば当然跡の行の設定が有効になる。
またがったから反映されないとか言うのはどうせshow configをコピペとかしてんだろ。
245anonymous:2009/01/05(月) 13:17:47 ID:???
フィルターリストが128を超えているのかもしれないな。
246anonymous:2009/01/05(月) 18:30:43 ID:???
>>242
>ルータが落ちて
どうせTELNETでfilter含むconfig流し込んだんだろう。
流し込みの途中でfilterが中途半場に掛かってTELNET含む全アクセスが出来なくなるのは大抵の人は知っている事ですよ。
247?:2009/01/05(月) 18:57:04 ID:???
1500を使用中だけど無線LANは、どれが良い?
248[email protected]:2009/01/06(火) 10:12:59 ID:???
>>239
1500と2000ではどっちが上なんでしょうか?
249YMHAAA:2009/01/06(火) 17:35:57 ID:???
日本固有のIPアドレス一覧(約2,000行)を登録したいのですが、
RT58iやRT107eではむりでしょうか?RTX1100やRTX1200が必要でしょうか
250249:2009/01/06(火) 17:40:58 ID:???
ちなみに、Sonicwallはアクセスルール上限が100件とのことで諦めました。
251anonymous:2009/01/07(水) 00:45:52 ID:???
懐かしいな。
ハードウェア板の姉妹スレで同じ話題が出た時は
2007年の時点だったが、1800個という事だった。
最終的に纏めて700個ぐらいに圧縮してたなぁ。
252不明なデバイスさん:2009/01/07(水) 13:24:34 ID:???
>>249
一言で答えれませんよ。
複数の場所にfilterを設定できるしfilterの場所によって上限が異なると思った。

上限数はコマンドリファレンス書いています、めんどいので私は調べないが、
RT57iのip pp secure filterにならコマンドリファレンス、のどっかに128個以内って書いていたはず。
と言うか>>245さんがすでに言っているな

日本とかで制限したいならドメイン名で制限できるSRT100の方を使うな私なら。


質問とは関係ないが

YAMAHAの場合大量にfilterを入力する意識が薄い気がするので
ip pp secure filter in/out 【番号をいっぱい】
ってなるのでconfigが大変な事になる気がする。

なお、大量のfilter(access-list)を書くのを意識しているcisco(IOS)は重複番号が使えるのでconfig見やすいしリストの編集が楽
重複番号はIOSの真似のファームを採用しているメーカーでも可能だね。
253anonymous@APe3oQU:2009/01/07(水) 19:44:30 ID:???
パケット転送フィルタをガツガツ登録してみるとか、、、
下にもう一台べつのルータを置く必要があるけどね。
254249:2009/01/08(木) 01:37:30 ID:???
>251、>252、>253
素人の浅はかな思いつきのようでした。何か別の方法を
考えたほうが賢明のようです。レスありがとうございました。
255251:2009/01/08(木) 02:53:39 ID:???
あら、あきらめちゃったのか。
あの時はRT57iだったが、設定は可能だった。

フィルタ定義はこんな風にカンマ区切りで列挙できる。
ip filter 1110 reject 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16 *
で、一つの定義に82個書けたから
ip pp secure filter コマンドで128個定義を並べれば、合計10496個までいける。

ただし、フィルタ処理は重くなるだろうから、パフォーマンスは判らない。
個人的な感では大丈夫な気もするが。
256249:2009/01/09(金) 10:33:47 ID:???
>251
ありがとうございます。全然諦めていません。

iptables@Linuxってひとはですね、こういう時のための人なのです。なぜならば!
と思いつき、ルータを作り中です。安定稼動までのあいだは、サーバはVMware格納で
日本固有リストは試しにZoneAlarm(設定がxmlだったので)に登録中です。
*サーバ自体は50名くらいしかアクセスしない予定なので負荷等は大丈夫な予定。

フィルタ定義の件ありがとうございます。これを機会に仕様等をもう少し深く
確認してみます。安定無人運用を考えれば専用ルータしかないので
負荷の件で問題が無ければ最終的にはこれになります。

ありがとうございました。
257249:2009/01/09(金) 11:43:46 ID:???
とりあえず日本固有IPテスト@Zonalarm+VMware稼動開始しました。
Zonealarm君は1グループ2000件okでしたが、プチ重いですねw
でもCPUが働いてる感じがして良いかもです。

早く中国からアクセス来ないかな♪
258[email protected]:2009/01/09(金) 12:17:27 ID:???
>>249
日本のアドレスはJPNICから割り当てられてるものだけじゃないけどそこらへんどうしてる???
259249:2009/01/09(金) 13:12:17 ID:???
>258
こんにちは。実際は、2000件よりもっと沢山あるんでしょうか?
もう少し探してみます。情報ありがとうございました。
ちなみに、Zonealarm君は1グループ2000件登録してその後
現時点フィルタリングはいきてはいるようですが暫くして
ルールの一覧表示等の動きが怪しくなってきましたw
グループを分割とかしてみます。
とりあえず、週末にLinuxの方を立上げてしまいます。
260anonymous:2009/01/09(金) 15:33:07 ID:???
>>259
ざっと眺めてみたら apnic に2000行と arin に11行ほどある。
2000行あても連続アドレスがあるだろうからもっとつめられるかも知れないが、スクリプト書かないと分からない。
ftp://ftp.arin.net/pub/stats/apnic/delegated-apnic-latest
ftp://ftp.arin.net/pub/stats/arin/delegated-arin-latest
261不明なデバイスさん:2009/01/09(金) 15:33:58 ID:???
>>256
自作で解決されたようですが。


252ですが例えば中古で人気がある
古河(FITELnet),NEC(IX20xx)がaccess-list書ける

最下位クラスでも1024行以上access-listが書けると記憶しているので上位クラスになると2千とかいけるかもしれない。

大量のアクセスリストを入れる場合こういったルーターを導入すると思う。
262256!!!:2009/01/09(金) 15:58:39 ID:???
>261
>NEC(IX20xx)
IX2010、倉庫でいくつか見かけました。PCメーカー製な古でかいルータだったので
なんかスルーしてしまいました。試してみます。Zonealarm君は1グループ2,000件だと、
フィルタ表示がcan't displayウンチャラとおかしくなってその後暫くしてフィルタ項目が
お亡くなり(無効?)になりました。現在、1グループ100件x20グループで再挑戦中。
263256:2009/01/09(金) 15:59:52 ID:???
>260
>連続アドレスがあるだろうからもっとつめられる
!なるほどです。ありがとうございます。
264256!!!:2009/01/09(金) 16:07:07 ID:???
Blocked 91.189.178.67 NO
キターb
265256!!!:2009/01/09(金) 16:10:02 ID:???
Blocked:201.25.28.4 BR
くそー!家帰ったら絶対反撃してやる!
266256!!!:2009/01/09(金) 17:22:18 ID:???
徐々に攻撃が始まってきた模様。Zonealarmタンは負荷に耐え健気に防いでくれています。
-----------------------------------------
Routed/Blocked:94.76.206.2 unknown
Routed/Blocked:91.189.178.67 NO
Routed/Blocked:201.25.28.4 BR
Routed/Blocked:81.31.157.105 IT
Routed/Blocked:67.207.74.76 US
-----------------------------------------
267[email protected]:2009/01/09(金) 17:26:15 ID:???
スレ違いだからどっか他でやれ
うぜえ
268不明なデバイスさん:2009/01/10(土) 00:39:47 ID:???
社長さーん、職場から2ちゃんに書き込んでる人がいますよー
ttp://www.seven-sys.co.jp/
269anonymous:2009/01/10(土) 15:22:57 ID:???
>>268
社長さーん、今時2ch書込み規制していないIT企業かな?はいかがと思います。

この板的に
SRT100の導入をお勧めします。
270[email protected]:2009/01/11(日) 09:42:01 ID:???
固定IPでお出かけ(ブラウジング)させちゃいかんだろ

うちの会社も、公開鯖類は固定IPの下にいるけど、
お出かけ用は別契約の可変IPなプロバ経由になってる
271不明なデバイスさん:2009/01/13(火) 21:48:54 ID:???
RTX1200って素人が手を出す物じゃないのね・・・
ネットには繋がるようになったけど、ポート解放がわからん(T_T
272anonymous:2009/01/13(火) 22:56:38 ID:???
273[email protected]:2009/01/14(水) 01:11:57 ID:???
素人はコマンドリファレンス見てもわからんかもしれん・・・
274271:2009/01/14(水) 02:35:33 ID:???
>>271
わざわざ教えて貰ったのに、申し訳ないです
それ付属CDに入っており、見ながら作業しました

>>273
おっしゃる通りで、良く理解出来ず
ハイパーターミナルとIEから入れるGUI両方使ってネット接続の方は何とかした程度でして
マルチセッションにすると両方接続出来なくなったり、試行錯誤しながらやっています
もう少し勉強してみます

メルコのBHRが大体2-3年で壊れるので、半業務用なら壊れにくいだろうと思って手を出したのが不味かったみたいですね
こんなに設定で苦労するとは思いませんでした
275anonymous:2009/01/14(水) 06:42:01 ID:???
昔、某社のisdnルータが移設後動かなくなったので
内部を調べているときcpuが剥がれたことがあった
made in chinaでした,ヤマハは国産だから安心です


276anonymous:2009/01/14(水) 08:57:41 ID:???
>>274
贅沢なやつだな。しろうとでも難しいことはないはず。慣れだけ。
メルコに比べコマンドモードの設定と言うのは少しなれるとweb設定よりずっと楽だよ。
設定変更した場合でもdiffなどでテキスト見比べればすぐ違いがわかるし。

自分で設定したのに希望通り動作しなかったら設定内容出してyamahaに問い合わせれば結構教えてくれるよ。
もちろんここでも良いけどその場合全情報は出せないだろうけどfilter と nat の部分は全部書いてね。
277anonymous:2009/01/14(水) 18:31:59 ID:???
>>274
中古で売って、RT58iを買って来い。
RT58iならマルチセッションやポート開放程度ならWEB設定のみで可能だ
278anonymous:2009/01/15(木) 18:29:17 ID:???
>>274
YAHAMAのサポートが詳しく把握していないだけだから製造元のページに行ってみ?
詳しい説明あるよ
279an:2009/01/16(金) 10:10:54 ID:???
>>274
ギガ線を繋ぐなら1200だろうけど
IPSecも使わず、単に安定性(耐久性)を必要するくらいなら RT57/58 の辺で良かったかもな
アナログ電話も収容して050なVoIPも構築できるし

55/56/57/58/700/1000/1100 と使ってるが、55/56の頃はファームの熟成が足りない感じだったけど
57以降は業務利用にも耐えるくらいに障害が起きない。

RTX系との間でPPTP張って使うこともあるけど
55/56は切断/再接続しないと復帰しないことがあるけど
57以降は落ちる気配がないし、落ちても短時間に自動復旧する。

フレッツグレープアクセスとかIPIPトンネル掘れる網なら
IPSecの必要性を感じないくらい速いし
280anonymous:2009/01/16(金) 22:46:57 ID:???
今日1200が来たので見たら箱がでかい。
箱だけかと思ったら中身もでかい。
奥行きは前の倍ぐらいあるのか。
281dfghj:2009/01/16(金) 23:05:28 ID:???
>>280
でもプラケースの中はスカスカ。
熱やノイズ類の対策かな。
282anonymous:2009/01/17(土) 12:09:45 ID:???
今使っているRTX1500を性能不足でリプレースしようと考えてる。
今の環境では、同時接続台数は40−50台程度だけど、
SypeやP2P系のネットTVを使ってる人が多く、RTX1500では時々CPU使用率が100%に達する。
RTX3000を買おうかと思っていたんだが、
アライド・テレシスのAR570SもRTX3000と同じPowerPC866MHzを積んでて、
実売価格が半分(15万円)を見つけて迷い始めた。
AR570Sと比べたRTX3000の優位点でどんなものでしょう?
283anonymous:2009/01/17(土) 12:41:57 ID:???
アライドでないこと
284anonymous:2009/01/18(日) 00:34:43 ID:???
1Uラックマウント金具が標準で付いてくる(俺にとってはかなり重要)
BGP4に標準で対応
アライドは何かとすぐオプションライセンス扱いにするから嫌いだ
285ほとんどアイドリング中:2009/01/18(日) 10:53:32 ID:???
>>282
100%!すごいなあ。
いったいどんな太い回線、そしてプロバイダをつかっているんですか。
素朴に関心をもちました。
286anonymous:2009/01/18(日) 17:36:49 ID:???
>>282
100%って
ローカル内でルーターを攻撃するようなウィルス居たり。
ファイル共有型のP2Pユーザーが沢山居たり。
じゃないの?
287anonymous@p2-user: 183528 p2-client-ip: 222.14.78.151:2009/01/18(日) 18:51:48 ID:???
そう書いてあるじゃん。

そこまで帯域食い続けるp2pってまず間違いなく割れだろ。
本来は叩きだせば済む話だと思うので相手する気にもならん。
288[email protected]:2009/01/19(月) 00:39:22 ID:???
P2P系のネットTV
これは割れじゃないだろ




289anonymous:2009/01/19(月) 00:55:02 ID:???
別に反例を求めてるわけじゃないんだよ。
290[email protected]:2009/01/19(月) 01:28:10 ID:???
じゃ、何の解決にもならんレスしてんなよw
291rtx1100:2009/01/19(月) 06:43:33 ID:???
>割れ
ってなんですかね

292a:2009/01/19(月) 08:47:02 ID:???
Skypeやp2pを許可するってすごいな。ネットTVとかでも全部不許可にしてる。
293[email protected]:2009/01/19(月) 13:10:03 ID:???
社員寮か学生寮とかそんなんのネットワークなんじゃない?
#そんでもp2p許可とかえらい度量だとは思う。
294192.168:2009/01/19(月) 14:27:17 ID:???
>SypeやP2P系のネットTV
グローバルアドレス一個で舞踏会?それともみんな素顔で?

295282:2009/01/19(月) 16:49:17 ID:???
>293
当たりです。海外から来た人が多いので、Skypeは禁止しづらいんですよ。
転送量自体はたいしたことなく、平常時で1-5Mbpsぐらい、ピーク時で10-20Mbpsぐらいですね。
正直、ファイル交換さえされなければ、ビデオチャットやネットTVぐらいなら、
某格安プロバイダのビジネスプラン(Bフレッツ、グローバルIP1個)でも帯域的には耐えます。
ただ、たいした転送量でもないのに、新しいセッションを次々張られると、
RTX1500の貧弱なメインCPUでは厳しいんですよね。
296282:2009/01/19(月) 17:03:13 ID:???
補足すると、ファイル共有は見つけ次第放り出してます。
297any:2009/01/19(月) 17:45:46 ID:???
企業なら兎も角
skypeが動かなかったらゲンナリだよ
298rtx:2009/01/19(月) 19:32:26 ID:???
住宅っていうのが痛いなぁ。フロアだったらネットワーク区切ればいいけど。
俺だったらビジネス1回線使うよか、ファミリー2回線使ってルータ2個でx型にして
負荷分散&冗長化するかな。

あまりエレガントな答えじゃないね、ごめん。
299だから割れってなんですか:2009/01/19(月) 19:52:36 ID:???
>>295
寮の管理員さんが、ネットワーク管理者でもあったり?
300[email protected]:2009/01/19(月) 22:12:15 ID:???
あっちのYAMAHAルータースレにいた人かな?

ちなみに「割れ」でぐぐると一番に出てくるが>>299
301ano:2009/01/19(月) 22:18:42 ID:???
このスレにいて「割れ」を聞くって一体…。
分からんでも検索すればすぐに分かるのに。
302[email protected]:2009/01/20(火) 03:55:56 ID:???
configに互換性がある事が最大のメリットだろう。
リビジョンで構文に違いがあったりはするが、基本的には同じ。
あとは、MLや各種文書があるのが強いだろう。

NATをUTM製品にさせるという手もある。
303299:2009/01/20(火) 06:55:02 ID:???
そんな一般的な言葉を検索してどうなるんかなって、
半信半疑でぐぐったら、ありました。しかも、おっしゃるとおりトップに。

割れる、皿が割れる、帯域が割れる、なんだろうとまじめに想像してしまってました。
お世話をかけました。

感想をついでに言いいます。
2ch用語で使う漢字って、単にその音だけ拾って使っているんだもんなあ。
しかも、漢字変換してみて一発目くらいに出てくるやつを使っている。
漢字文化がなくよねー。


304あのに:2009/01/20(火) 11:32:58 ID:???
素顔・身元が明るみに出ることを「面が割れる」、
悪事が露見することを「尻が割れる」などと言うので
まるっきりあさってな方向の当て字ってわけでもない。
まあ割れず業界で「尻が割れる」はまた別の意味だったりするけどw
ってスレチスマソ
305any:2009/01/20(火) 13:52:09 ID:???
どうでも良い話題だけど

2ch用語じゃなくて、2ch出来る前からある言葉だよ、鯖とか割とか
306YAMAHA:2009/01/20(火) 14:45:59 ID:???
そんなことよりRTX1200のどこに萌えるかの話でもしようぜ。
307名無し:2009/01/20(火) 15:45:29 ID:???
WAN側がギガな人は少ないし
RTX1100ユーザはすでにLAN側にはギガスイッチ別につけてるだろうし
RTX1500ユーザには1200は役不足だし

どこに萌えろと?
308不明なデバイスさん:2009/01/20(火) 21:35:27 ID:???
>>307
Bフレッツ2回線収容に萌え
ココは業務向けの板、インターネットとVPN(支店間用)で複数のBフレッツ回線を設定した場合MAX100Mbps(双方向200Mbps)は役不足
309anonymous:2009/01/20(火) 21:59:01 ID:???
>役不足
>役不足
>役不足
>役不足
>役不足
310[email protected]:2009/01/20(火) 22:00:43 ID:???
>>307
rtx1100よりスイッチポートがたくさんついているので、
それらを、セグメントに分割できるようにして、dhcpで、
各ポートにそれぞれのネットワークアドレスに応じたプライベートアドレスを吐き出させるの。
rtx1100では4っつのネットワーク分しか管理できなかった。
私はそれでも十分だけど、もっと部のおおい会社では、rtx1200が最適じゃないかな。
ギガビットだし。
つまり、dhcpサーバー付きギガスイッチとして使うの。
もちろん、必要に応じてファイアウォールしたり、urlフィルターしたりするの。

rtx1200って、ポート分割可能だよね。
できなければ、あんなたくさんポートもってても使い道ないね。


311anonymous:2009/01/21(水) 00:24:59 ID:???
ADSL 回線に RTX1200 は役不足。

という使い方をします。
312[email protected]:2009/01/21(水) 01:08:20 ID:???
役不足と力不足の違いを覚えましょう
313yanmer:2009/01/21(水) 06:30:36 ID:???
やくぶそく 3 【役不足】
(2)能力に対して、役目が軽すぎること。
「―で物足りない」
三省堂提供「大辞林 第二版」より

>ADSL 回線に RTX1200 は役不足
さらに言うと、
→ADSL 回線ブロードバンドルーターに、RTX1200 は役不足だ。

314:2009/01/21(水) 11:49:24 ID:???
RTX1200の萌え処・・・
消費電力の少なさは?
315any:2009/01/21(水) 12:15:28 ID:???
萌えどころ正直あんまり無いのでは、スループットもコレガのギガルータと大差ないと思ってるけど

1500は古いし、上の人も書いてるようにAR570Sでも買った方がよさそう
316anonymous:2009/01/21(水) 12:18:51 ID:???
ADSL 回線ブロードバンドルーターに、RTX1200 は役不足なんて言われても

光引けないところで安定したVPNをやろうとしたら
yamahaでIPsecとpptp出来るので一番安い製品なんだから決して役不足にはならないでしょう。
317anonymous:2009/01/21(水) 12:32:10 ID:???
役不足の用例としてADSLを出しただけなのになんでそこに噛みついてるんだ?
318anonymous:2009/01/21(水) 18:28:28 ID:???
消費電力はどうなんだ
そこまで省電力には見えないが
319282:2009/01/21(水) 21:44:03 ID:???
>299
管理人さんではないですよ。

>302
なるほどUTM製品に任せて分業する手もありますね。
Yamahaは出してないので別のメーカーを調べないといけませんね。。。
320[email protected]:2009/01/22(木) 06:41:51 ID:???
>>318
表記は、全部gigaでつないだときの電力になるから、
100base-TXで使うのなら、RT107eよりも消費電力が少ないって
MLでは書いてあった気がする。
321anni:2009/01/22(木) 07:04:44 ID:???
rtx1500って、url filterの実装がされていない。
多分、ハードの性能がわるいからなのではないかと思っているのだが・・・

RTX1500 MIPS 200MHz 128MB
RTX1100 MIPS32 200MHz 32M
http://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html

cpuは同クロックだが、タイプが違っていて、1500のは古いタイプのように見える。
mips無印と、mips32は、何か16bitと32bitの違いがありそうに見えるのだが・・・

はっきりしていることは1500はただメモリの量が1100の4倍もあることだ。

ちなみに、1200は、
RTX1200 MIPS 300MHz 128MB
という具合になっている。
クロックが、1100,1500にくらべて高いが、1500とタイプが同じmips(無印)である。

rtx1200で、url filter機能は使用できるようだ。
これは、rtx1500とcpuタイプが同じながら、高クロックによって対処しているのではないかと思われた。
どうなんだろう。

もし、rtx1200が、rtx1100と同じmips32を搭載しrtx1500よりも高クロックなら、rtx1200という名前の地位におれないはずである。
rtx1500を上位機種に置くべく、rtx1200のcpuはmips(無印)にされたのではなかろうかと思う。

だれか、詳しい人、教えて、真相やいかに。





322anonymous:2009/01/22(木) 13:36:53 ID:???
>>321
MIPSに16bitコアは無いだろう。

RTX1500のCPUはADI AD6846(Fusiv NP230)。
すでに、Ikanos communicationにこの製品ラインナップは売却されてるけども。
ttp://www.linux-mips.com/wiki/Analog_SOC
こいつのコアはLexra製のMIPSクローンで、MISP32を名乗れないとかなんとか・・・。
323annni:2009/01/22(木) 22:07:21 ID:???
mips32のクローンだから、mipsとしか名乗れないわけなんだね。
rtx1200では、なぜ、またクローンmipsになったんだろう?コストダウン?

32412−−:2009/01/23(金) 08:44:36 ID:???
もし、mipsも、mips32も同等なものなら、
rtx1200はrtx1500に比べて100メガヘルツも高クロックで、
しかもメモリの容量も128で同じだ。

だったらどうして、そんな能力に劣っているrtx1500の方が格が上なの。url filterもつかえんのに。

325[email protected]:2009/01/23(金) 09:52:12 ID:???
パケットの処理能力が1500はおそらく2〜3倍ぐらいある

ルーターの性能でスループットばっかり目がいきがちだけど
単位時間あたりにどれだけパケットを処理できるかも目安にして販売時に表記してくれたほうがいい気がする

326RTX1100→RTX1200:2009/01/23(金) 19:31:07 ID:???
で、ちょうど光2回線収容することになったので、その前に既存のRTX1100を
件のRTX1200に置き換えてみた。

結論から言うとイイよ、これ。細かい改良点だけど
・Webインターフェイスが使いやすくなった。特に統計がグラフ化されるのが有り難い。
・ポートベースVLANが意外と便利。
・PPPoE2セッション接続の際、pp2でもUnnumbered接続出来る。
・2セッション接続でもUPnP使用可能。しかも使用ppを選べる。

あと、全体的にカタくなった。そして使い勝手も改善。見た目のチャラさとは裏腹に
意外と実用性がある。まあUSBポートとmicroSDカードスロットはオマケだと思って。
327rtxseries:2009/01/24(土) 01:35:43 ID:???
>全体的にカタくなった。そして使い勝手も改善。見た目のチャラさとは裏腹に意外と実用性がある

カタくなったとはどういうこと。安定しているってことですか。

私はrtx1100をつかってますが、念のため、毎日0時にすべての拠点でrebootをかけるように、予約しています。
ちなみにrta54iをリブートなしに、配置しておくのは危険すぎます!
フリーズしたことがあって、リブートを毎日かけるようになってからは、安定しました。

>>325
パソコンを品定めするみたいに、プロセッサやメモリ容量を見てしまいがちです。
rtx1500のプロセッサに依存しないハードウェア性能をわかりやすく表示してほしいものです。
私のような素人には、rtx1200のほうが能力が上だと思ってしまいがちです。
なんでも、rtx1500は、ショートパケットの処理能力が高いらしい。ip電話のメディアパケットにいいですね。


328[email protected]:2009/01/24(土) 11:41:37 ID:???
>>327
壊れてるんじゃね
ジャンクだろうが(笑
329[email protected]:2009/01/24(土) 18:42:06 ID:???
RTX1100で、固定IP・サブネット(32)・ゲートウェイ・DNSは2個有り
LAN1はプライベートIPでDHCP有り
接続の際の認証は無しです

いろいろやったんですが、なかなか・・・
すみません、ご教授お願いします(-人-;)ナムナム
330あのにます:2009/01/24(土) 18:50:04 ID:???
>>329
おぉ、ご近所さんだ。
かなり基本的な構成っぽいから、設定サンプルにありそうなものだけど
YAMAHA のサイトのドキュメント一通り読んだ?
331329:2009/01/24(土) 19:05:45 ID:???
>>330

どれ見ても"ID""PASS"の項目がありまして、
勝手に省いて良い物かどうか分からずw

一応一通り目は通したつもりなんですが・・・orz
332あのにます:2009/01/24(土) 19:12:16 ID:???
>>331
http://netvolante.jp/support/example/
の PPPoE(なんですよね?)の例で、一通りどうにかなるんじゃない?
333329:2009/01/24(土) 19:24:02 ID:???
>>332

なんだかPPPoEではないみたいなんです。
光→端末→PCの直付けで、それぞれのIP振ってやったら、認証無しでそのまま繋がります。

ttp://netvolante.jp/support/example/command/PPPoE/21.9.html
そんな回線なんですが、さっき発見したこのコマンドで行けますかねぇ?
334あのにます:2009/01/24(土) 19:26:25 ID:???
>>333
そんな回線って具体的にどこなんすか?
その辺りはっきりしないと話にならないよ。
335329:2009/01/24(土) 19:28:47 ID:???
>>334

湯煎の BR○AD-GATE って回線です〜
336anonymous:2009/01/24(土) 19:54:50 ID:KC0sI9ps
いわゆるCATV型とかYahooBBみたいな接続なんじゃね?
337anonymous:2009/01/24(土) 19:58:00 ID:KC0sI9ps
http://www.rtpro.yamaha.co.jp/RT/docs/example/broadband/index.html
ここの下のやつとかやってみたら
338anonymous:2009/01/24(土) 23:10:04 ID:???
>>335
LAN2(WAN)にプロバイダからもらったグローバルアドレスをセットして
dns serverをマニュアル指定
デフォルトゲートウェイもプロバイダからもらった値にすればOK
あとLAN2にnat descriptorやsecure filterを忘れないように
339rtx初心者の人へ:2009/01/25(日) 10:54:59 ID:???
rtxもrtaも、ヤマハのコンフィグを理解するためには、
ルーター付属の「設定例集」を分析するとよい。

ルーターの機能ははじめから限られている。各々のコマンドは、その枠組みの中で、
その機能を設定しているのに過ぎない。

ルーターの設定はプログラミングの命令による構築とはまったく違う。だから膨大なコマンドに圧倒されて誤解しないように。

ルーターの機能は空っぽのコンフィグファイルには当然見えないものだ。
コマンドによって機能を構築するわけでもない。
でも、既に使用できる機能はファームウェアによって定義されているのだ。

この見えない各機能に対して、設定用のコマンドをコンフィグに載せて、それらの機能を必要な分使えるように設定するのだ。
パターンは大方決まっているのである。そのためにも、設定例集をみて、見えない機能の種類を把握すると同時に設定の仕方を分析しよう。

作成されたコンフィグをshow configで表示される順序まとまりに着目すれば、おのずと見えなかったルーターの機能が、設定コマンドの集合によってあらわになってくるだろう。
各々のコマンドは、決してばらばらなプログラミングのような命令などではないことに気づくことが、まず大切だ。

340anonymous:2009/01/25(日) 11:31:14 ID:???
でもけっこう散らばってるよね
341anonymous@FfS3OGN:2009/01/25(日) 14:49:09 ID:???
>>335
DHCP
342RTX1100→RTX1200:2009/01/25(日) 18:49:52 ID:???
>>327
毎日リブートするって…まあサーバが動いてないならそれでもいいのかも知れませんが、
少なくともRTX1100/1200は毎日リブートする必要は無いですよ。

「全体的にカタくなった」の部分だけ曖昧ですが、そこは上手く説明出来なかったので。

例えるなら、そうですね。RTX1100でP2Pクライアントを動かしたりすると
「もう無理ですよぉ、勘弁してくださいよぅ」って叫びが今にも聞こえてきそうになるんですが、
RTX1200だと「まだまだ余裕だぜバッチ来い」みたいな感じとか。

ファイルサーバ(1000Base-Tx10本)にファイルをガバガバ転送すると、RTX1100だと
クライアントPCが待ってる状態になりますが、RTX1200だとクライアントPCのHDDリードの方が追いついてないような。

なんでそうなるのかは上手く説明できません。すいません。
343rtx1200いいなあ:2009/01/25(日) 23:13:09 ID:???
ありがとうです。
よくわかりました。

344[email protected]:2009/01/27(火) 23:52:13 ID:???
ちょっと質問なんですけど、YAMAHAルータをお使いの皆さん、スイッチはどこのメーカーを使ってます?
ちなみにウチは基幹にDELL(失敗でした。反省してます)と末端にアライドです。

この出来の良さだったらホントはYAMAHAがL2,L3スイッチも作ってくれればいいんですが…。
345anonymous:2009/01/28(水) 00:30:57 ID:???
ASIC持ってないヤマハにはスイッチは無理だろ。

来年度のリプレースでノーテルのSMLTを入れようと考えたけど、ノーテル自体があぼんしたので再検討中。
似たような機能使えるのはシスコ(無駄に高い)、H3C(劣化3com)くらいだし。
346344:2009/01/28(水) 06:47:24 ID:???
>>345
あれ?YAMAHAのルータって独自開発のASICでISDN収容出来るのが特徴だから
いつまで経ってもISDN収容が外せないんじゃありませんでしたっけ?

…って今検索したらそんなこと何処にも書いてありませんね。何を勘違いしたんだろう?
347anonymous:2009/01/28(水) 09:55:30 ID:???
シスコが高いってどんな弱小だよw
業界的にシスコは安い方だろ
348a:2009/01/28(水) 22:21:08 ID:???
このスレにくる(ヤマハが選択対象に入る)人にとっては、シスコは高い。
349Tiger:2009/01/29(木) 20:41:46 ID:???
ヒント:SMC Networks
350[email protected]:2009/01/29(木) 21:53:38 ID:???
会社ではHPのprocurve使ってるよ。ライフタイム保証があるので。
自宅はいまだにpciの馬鹿ハブだわ…
351anonymous:2009/01/30(金) 10:19:19 ID:???
バカハブとか、自宅で使うメリットあるの?
352anonymous:2009/01/30(金) 14:50:16 ID:???
>>351
自宅なんだから、メリットとかそういう話じゃないだろーて。
壊れてないものは買い換える必要がないとか
決済がおりないとか、家庭生活には色々あるだろ。
353あのに:2009/01/30(金) 22:24:05 ID:???
>>351
安価にパケットキャプチャできる
354anonymous:2009/01/31(土) 10:41:07 ID:???
インテリジェントハブの対義語がバカハブではないのか。
非インテリジェントハブで、スイッチングハブですらないやつがバカハブ?
355a:2009/01/31(土) 12:58:51 ID:???
バカハブというかダムハブは、SNMP非対応リピータハブを指すと信じている。
356anonymous@5IE288f:2009/02/01(日) 16:35:41 ID:i/FvtG7D
フィルタの設定で悪戦苦闘しています。
RTX1200を使って、DMZ(グローバル)、LAN(プライベート)の構成で
組もうと思っています。
ルータのconfigのフィルタで、設定例を参考にしつつ外部からは

pp in (外から)
ip filter 30 reject XXX.XXX.XXX.XXX/XX * * * *
ip filter 31 pass-log * XXX.XXX.XXX.XXX/XX icmp * *
ip filter 32 pass-log * XXX.XXX.XXX.XXX/XX established * *
ip filter 33 pass-log * XXX.XXX.XXX.XXX/XX tcp,udp * domain
ip filter 34 pass-log * XXX.XXX.XXX.XXX/XX tcp ftpdata *
ip filter 35 pass-log * XXX.XXX.XXX.XXX/XX udp domain *
ip filter 36 pass-log * XXX.XXX.XXX.XXX/XX tcp,udp * www,https
ip filter 37 pass-log * XXX.XXX.XXX.XXX/XX udp ntp ntp

のようにしようと思ったのですが、
DMZ→LANやLAN→DMZをどうするものか悩んでいます。
ひとまず考えたのがこんな感じです。

357anonymous@5IE288f:2009/02/01(日) 16:38:00 ID:i/FvtG7D
lan3(LAN) out (DMZ→LAN)
ip filter 40 reject 10.1.0.0/16 * * * *
ip filter 41 pass-log XXX.XXX.XXX.XXX/XX 10.1.0.0/16 icmp * *
ip filter 42 pass-log XXX.XXX.XXX.XXX/XX 10.1.0.0/16 established * *
ip filter 43 pass-log XXX.XXX.XXX.XXX/XX 10.1.0.0/16 tcp,udp * domain
ip filter 44 pass-log XXX.XXX.XXX.XXX/XX 10.1.0.0/16 tcp ftpdata *
ip filter 45 pass-log XXX.XXX.XXX.XXX/XX 10.1.0.0/16 udp domain *
ip filter 46 pass-log XXX.XXX.XXX.XXX/XX 10.1.0.0/16 tcp,udp * www,https

lan1(DMZ) out (LAN→DMZ)

ip filter 70 reject XXX.XXX.XXX.XXX/XX * * * *
ip filter 71 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX/XX icmp * *
ip filter 72 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX/XX established * *
ip filter 73 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX/XX tcp,udp * domain
ip filter 74 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX/XX tcp ftpdata *
ip filter 75 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX/XX udp domain *
ip filter 76 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX/XX tcp,udp *
ftpdata-21,22,23,domain,pop3,www,https
ip filter 77 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX tcp * smtp
ip filter 78 pass-log 10.1.0.0/16 XXX.XXX.XXX.XXX udp * ntp

(XXX.XXX.XXX.XXX/XXはグローバルアドレスです)

358anonymous@5IE288f:2009/02/01(日) 16:40:54 ID:i/FvtG7D
DMZ→LANやLAN→DMZでもestablishedは使ったほうがいいのでしょうか?
「ftpdata」のところは「ftpdata-21」にした方がいいのでしょうか?
(あちこち参考にしたのでそのまま転記したのですが。。)

全体的に「なんじゃこりゃ」というような点、懸念点があれば、
ぜひご教授くださいませ。
359anonymous:2009/02/02(月) 09:02:56 ID:???
unnumberd で /29 かなんかで DMZ組みたいってことなのか違うのか
何をやりたいんだかちっとも伝わってこない。
変てこなコマンド書かないで、環境とやりたいこと書けよ。
360356:2009/02/02(月) 11:21:18 ID:7/tsF+Z0
すみません。環境は>>217になります。

DMZは複数の固定グローバルアドレスで、
メールサーバとWEBサーバを運用、
LANからはDMZ領域へpopしたりftpしたり
必要な調査管理ができるようにしたいです。

あとフィルタの、pp outの方には
(ip pp secure filter out 100)
ip filter 100 pass * * * * *
をかける予定です。

DMZ→LANやLAN→DMZは基本社内の人間が触るので、
どのようにかけるものなのだろうというのが
正直よく分からないところなのです。

よろしくお願いします。
361[email protected]:2009/02/02(月) 11:47:57 ID:???
すごく一般論でいえば、せっかくRTXシリーズにはdynamicフィルタが
あるんだから、これを活用して、

DMZ→LANは全部reject
LAN→DMZは全部dymanicでpass
DMZ→WANは全部reject、メールサーバだけ例外で25/tcpを通す
WAN→DMZは要件のみdynamicでpass
(DMZ→LAN/WANの戻りはdynamicで通す)

とでもしとけば、そうそう変な事にはならないだろう。

アクセスが多くメモリとかCPUを節約する為にdynamicは使いたくない
という事であれば、WANからの要件だけstaticフィルタで通すとかすれば
十分かと。しかし、その場合でもftpだけはdynamic使うべし。
dynamicフィルタならftpdataを明示的にあける必要が無く、
変な大穴が空かないから良い。
362356:2009/02/02(月) 20:29:43 ID:7/tsF+Z0
>>361
dynamicを使わないなら、DMZ→LAN、LAN→DMZはスルーでもいいのでは
ということですかね?
セキュリティとパフォーマンスの面からはstaticの方がよいという
ようなことを読んだので、dynamicは使っていませんでした。。

ip filter 30〜37って大穴空いてるんでしょうか?
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/network-security-filter.html
あたりを参考にしているんですが。

(あと書き忘れましたが、DMZメールサーバはLANメールサーバとやりとり
してたりするので、DMZ→LANが不要というわけではないです。)


pp inの部分、こんな感じではどうでしょうか?

ip pp secure filter in 30 31 32 33 35 36 37 38 dynamic 200
ip pp secure filter out dynamic 100

ip filter 30 reject XXX.XXX.XXX.XXX/XX * * * *
ip filter 31 pass-log * XXX.XXX.XXX.XXX/XX icmp * *
ip filter 32 pass-log * XXX.XXX.XXX.XXX/XX established * *
ip filter 33 pass-log * XXX.XXX.XXX.XXX/XX tcp,udp * domain
ip filter 35 pass-log * XXX.XXX.XXX.XXX/XX udp domain *
ip filter 36 pass-log * XXX.XXX.XXX.XXX/XX tcp,udp * www,https
ip filter 37 pass-log * XXX.XXX.XXX.XXX/XX udp ntp ntp
ip filter 38 pass-log * XXX.XXX.XXX.XXX/XX tcpflag=0x0002/0x0fff * 21

ip filter dynamic 100 * * ftp
ip filter dynamic 200 * XXX.XXX.XXX.XXX/XX ftp
363361:2009/02/02(月) 21:16:45 ID:???
>>362

いや、LAN→DMZをスルーにするのはそう無茶苦茶ではないけど、
DMZ→LANをスルーにしたら、そもそもDMZの意味がないだろ。
DMZは、外からは入れるけれど、中からは出られない、一方通行の
檻みたいな物なんだから。

で、そうは言っても、通常の通信は戻りのパケットもあるから、完全に
DMZから出る方向のパケットを落とす訳に行かない訳で、それでstatic
フィルタであればestablishedだけ通すという方法で対応するわけだ。

これが、dynamicフィルタを使うとDMZに入る方向のpassを設定
しておけば、戻りのパケットは動的に許可されるので、establishedで
穴を開けなくても良いし、establishedというTCPのフラグさえ立てて
しまえば、幾らでもDMZ→LAN方向に好き放題パケットを投げつける事が
できるという事もなくなる。これがdynamicフィルタの利点だ。

FAQサイトの設定例に大穴があるという訳ではなくて、dynamicを使った
ほうが設定がシンプル且つ厳しいセキュリティにできるという話。

あと、パフォーマンスを気にするならpassのlogを取るなんて以ての外だ。

それと、362の設定で良いのかどうかまでは見る余裕ないので、
後は良く自分で考えてくれ。
364[email protected]:2009/02/03(火) 06:00:58 ID:iIhK3qYb
netvolante DNSを使ってリモートVPNに対応させた環境があるとして、(固定IPを持てないので)
ここに、職場(こっちは固定IP持ってる)からの着信しか許可したくないって場合、駆使するのはfilter?NAT?それとも...
お力添え頼む!
365[email protected]:2009/02/03(火) 07:41:41 ID:???
>>364
実際に設定してみようとすればすぐにわかることなんじゃないか?
366anonymous:2009/02/04(水) 19:25:15 ID:???
>>364
VPNのパスワードを第3者にばらさなければ良い。
367[email protected]:2009/02/05(木) 20:41:18 ID:zSTrmEQB
filterやNATも何も職場のIPがわかんなきゃ制御仕様がないだろ。。
というかIDPASSでいやならやめとけって感じだな
368326:2009/02/06(金) 11:46:10 ID:???
ごめんなさい。少々嘘つきました。
URLフィルターと不正アクセス検知がバグだらけでまだまだ使い物になりません。

他は概ね良好です。
369107e:2009/02/07(土) 10:16:50 ID:???

 結論:RTX-1100最強
370a:2009/02/07(土) 10:36:04 ID:???
今買うならRTX1200でいいんじゃね?
371[email protected]:2009/02/08(日) 16:07:25 ID:???
おすすめスレから誘導されてきました。

RTX1200を検討しているのですが、
・PPPoEマルチセッションで同時接続(2〜3)
・頻繁に任意に回線切断→数秒後に自動接続(又は任意に接続)し、
 プロバイダから新たなグローバルIPをもらいなおす
といった事はできますか?
現在は、WR8500Nを使っていて、GUIからワンクリックで上記の事が複数回線でできるのですが、
RTX1200では、
GUIからワンクリックで簡単にできますか?
それともコマンドで難しい操作が必要ですか?
372Anonymous:2009/02/08(日) 17:18:53 ID:???
なんでその要件でRTX1200?
373anonymous:2009/02/08(日) 17:21:37 ID:???
頻繁に回線切断って、2chで自作自演でもするんだろうか?
374371:2009/02/08(日) 18:05:09 ID:???
いくつかのサイトの運営などをしており、運営上別の管理人ということにしているので、グローバルIPなどをやり取りの都度変更する必要がある為です。
設備拡張の為、本格的なルーターの導入を検討していて、
RTX1200が第一候補に挙がっているのですが、
回線切断→接続が簡単にできないようだと困るので、
実際に使っている方にできるのかどうか聞きたいと思っています。
マニュアルを読んだかぎりでは、GUIでの操作はほんとの基本的な部分のみで、
それ以外はコマンド操作のようなので、
やはり難しいですか?
375afo:2009/02/08(日) 18:18:27 ID:???
コマンドが投入できるなら、その上にweb I/Fかぶせるのも自由自在だろ
それすらできないなら管理者なんかやめちまえ
376anonymous:2009/02/08(日) 19:18:17 ID:???
あらゆる機能をメーカーが用意してくれないと運用できない、とはなんたるゆとり脳。
377anonymous:2009/02/08(日) 19:24:17 ID:???
pppoe接続し直しで必ずアドレス変るかはISPしだいだけど。
このクラスのルータでは複雑なルーティングとかFWとかやるから
結局webでは全部は無理なんだからcommandになれないと使うのは大変。
親切で有名なサポートもcommandのみでGUIはサポートしない。

GUIでpppoeの接続/切断というのは無いみたいだな。
富士通には何故かあるね。
yamahaのcommandだと何出すのだろう。ちょっとマニュアル眺めたけれど分からなかった。
378ano:2009/02/08(日) 20:33:26 ID:???
ふつーに、disconnect & connect でええやん
379sono:2009/02/08(日) 21:38:57 ID:???
びみょーに、LANケーブル抜く & PPPoE Timeout でええやん
380[email protected]:2009/02/08(日) 21:42:41 ID:???
pppoe接続は切断できないみたいだな。
そんな使い方普通はしない。
381anonymous:2009/02/08(日) 21:51:47 ID:???
>>374
TELNET使える物全般の話になるけど。
VBSでコマンド自動化で良いんじゃないの?
簡単にするならTeraTermマクロとかでも可能だね。
382anon:2009/02/08(日) 21:57:39 ID:???
>>734
>いくつかのサイトの運営などをしており、運営上別の管理人ということにしているので、グローバルIPなどをやり取りの都度変更する必要がある為です。

ちょっと訊きたいんだけどそんな面倒なことしてどんなメリットあるの?
383anonymous:2009/02/08(日) 22:10:27 ID:???
>>374
管理人が別IPでサイトにアクセスするだけならRT58iあたりでいいじゃん
それとも管理人のアクセスにRTX1200ほどの能力が必要なの?
384anonymous:2009/02/08(日) 22:13:36 ID:???
バカだから判断できません
385anonymous:2009/02/08(日) 22:13:37 ID:???
IPを変えたい数だけ加入するプロバイダを増やす
ってのはどう?スレ違いな気もするけど・・・
386anonymous:2009/02/09(月) 01:35:24 ID:???
できるできない以前に
その運用が必要となるシーンがSPAM送信くらいしか想像できない...
387[email protected]:2009/02/09(月) 01:39:56 ID:???
>>383
あくまで別の会社で管理してることにして保守料金を水増ししてるんでそ。
388anonymous:2009/02/09(月) 06:13:38 ID:???
最近、業務と言いつつ、おかしな相談が多くないか?
変な筋で有名になってるんじゃないだろうな・・・・。
389anonymous:2009/02/09(月) 07:11:11 ID:RG3o4cN+
>>387
仮にIPを変える理由が水増しだとしてGUI操作希望とかまともな運営会社とは思えないな
普通CLIのほうが管理者として楽だと思うんだが?
390anoymous:2009/02/09(月) 07:31:15 ID:???
X383 ○382
レス番号間違ってたな。

>>389
個人的にはGUIってわかりずれーから嫌だな。
操作画面を探すのが面倒だ。コマンドカタカタ打ってる方が考えなくて済むから楽だわ。

ところでYAMAHA的にはCUIじゃなくCLIつーの?すまん素人で。
まぁ、まともな運営に思えないのは激しく同意だ。
391anonymous:2009/02/09(月) 11:46:55 ID:???
>>371
WebUIは面倒くさいと言う認識にならないとRTXの運用は無理
392anonymous:2009/02/09(月) 13:53:39 ID:dJWajUSm
CUIで良いとおもうぞ
ちなみに切断接続はdisconnect&connectで簡単だと思うんだが
393つぼちゃん:2009/02/09(月) 18:22:44 ID:??? BE:1836351195-2BP(0)
ヤマハ RTX1200を使っている方、この製品がどうでしょうか?

検索して見ましたが、下記の価格は最安値でしょうか?
http://www.ecj.jp/U1301.doit?goods=403955
394anonymous:2009/02/09(月) 21:43:20 ID:???
CUI = character user interface
CLI = command line interface

CUIも同義だけど、コマンド打つ的な意味ではCLIの方がしっくりくる
395[email protected]:2009/02/10(火) 03:06:28 ID:???
CLIって、そういう意味か。
character line interfaceとか考えてた。
まぁフィーリングで意味さえ通ればOKなんだがね。

前職の後任が私より素人らしくGUIで使いたいらしく説明してくれみたいな話になったが・・・漏れにはミリ。
そもそも(私が見たことの無い)GUIの使い方をメールで説明してくれって言われてもなぁ〜〜。
396anonymous:2009/02/10(火) 11:32:59 ID:???
397RTX1200:2009/02/10(火) 18:49:54 ID:???
>>371
怪しい香りがプンプンするけど、そこんところは置いといて
「disconnect」「connect」「schedule」の3つのコマンドで自動化出来るはず。

ただし、GUIオンリーでは絶対出来ない。
YAMAHAルータのコマンド操作は他と比較にならないくらい簡単なので、
これが無理だと思うならやめとけとしか言いようがない。
398あのに:2009/02/10(火) 22:35:58 ID:???
1100ですけどLANが2セグメントあって、
pppoeを2セッション張ってpp1はLAN1専用、pp2はLAN2専用にするには
マスカレードのinnerとouterをそれぞれ1のアドレス2のアドレスにすればおけですか?
399anonymous:2009/02/11(水) 00:43:26 ID:???
400398:2009/02/11(水) 13:04:54 ID:???
dくす
routeにそんなこと書けるのか
401anonymous:2009/02/11(水) 16:33:10 ID:???
この度、SOHO使用で、将来的にサーバー&VPN構築したい為、RX1200を購入しようと思っています。
ただ、ネットワークの知識は全く無く、コマンド操作もやった事がありません。
もちろん、少しづつ勉強していくつもりですが、差し当たり教科書どおりの設定をして運用開始したいのですが、可能でしょうか?
現在は家庭用ルーター(WR8500N)をほぼ工場出荷時の設定のまま(フィルタの設定などはじめから遮断すべきポートなど設定されている)使っているのですが、
同じように最低限のセキュリティだけは確保しておきたいと思ってます。
マニュアル等を見て、設定方法などは大抵理解できましたが、
特にパケットフィルタの設定など、どのポートを閉じるべきなのか?など一般的設定が分かりません。
そういう、一般的設定の設定例など教えていただけないでしょうか?
また、YAMAHAさんはサポートがとても親切と聞いていますが、
そういった設定例なども教えてくれたりするのでしょうか?
高い買い物なので、ちゃんと使えるか不安です。
よろしくお願いします。
402Anonymous:2009/02/11(水) 16:49:09 ID:???
ここはサポートじゃない
403anonymous:2009/02/11(水) 17:05:45 ID:???
>>401
とりあえずYAMAHAにそんな製品無い。
素人でも設定できるRT58iにでもしとけや
404anonymous:2009/02/11(水) 17:06:32 ID:oS1iI6R6
ヤマハのサポートもSIerじゃない
405anonymous:2009/02/11(水) 17:09:27 ID:???
安易に人に聞くような奴には無理。

業務で使うつもりなら「一通り勉強が終わってから」使え。
細かい質問とかがしたいなら山派サポではなく業者探して管理委託汁。
アホが背伸びしていいことなんて無い。
406401:2009/02/11(水) 17:31:09 ID:???
RT58iでは耐えられない環境なので(10万アクセス/日のサーバー設置予定)
RTX1200を考えています。
自分でも背伸びという事は良く分かっているのですが、
このレベルになるとGUIで設定できるものもなく、
かといって業者に頼む金はありません。
なので何とかしたいと思ってます。
いろいろな設定例などを公開してるとことかないんですかね?
難しい事はしないので、何とか設定できたらと思っています。
407Anonymous:2009/02/11(水) 17:34:59 ID:???
RT58iの性能なめんな
つうか設定例は公式サイトにもあるしマニュアルも付いてるが
もうめんどくさいからサーバーを外に置けよ
408anonymous:2009/02/11(水) 18:06:23 ID:???
まず58iで組んで、それで駄目なら設定から1200にリプレースすりゃ良いだろ
仮に58では駄目だったとしても練習台には使える

右も左もわからんやつがいきなりRTXなんて背伸びしすぎ
409Anonymous:2009/02/11(水) 18:28:34 ID:???
俺が2万で設定してあげるよ。
410やんやん ◆yanyan72E. :2009/02/11(水) 19:05:19 ID:??? BE:320431076-2BP(0)
なんだかんだで、いい奴ばっかだなw
411[email protected]:2009/02/11(水) 20:33:41 ID:???
412anonymous:2009/02/11(水) 22:24:29 ID:???
>>411
あの質問内容を見る限り

>(2)Config情報シートの提出(設置希望日の1週間前)

これが書けない予感がするがw
413anonymous:2009/02/11(水) 22:36:31 ID:???
>自分でも背伸びという事は良く分かっているのですが、
わかってるのならノウハウはタダじゃない事を覚えような

>いろいろな設定例などを公開してるとことかないんですかね?
ググレカス、と言われたいんですね。わかります
414RTX1200:2009/02/11(水) 23:38:47 ID:???
>>406
>いろいろな設定例などを公開してるとことかないんですかね?
http://www.rtpro.yamaha.co.jp/RT/manual/Rev.10.01.01/Configs.pdf
http://www.rtpro.yamaha.co.jp/RT/docs/example/

セキュリティが不安なら、httpサーバならfilterでtcp80をオープンにしろ。
ip pp secure filterを設定すると、他のポートは自動で遮断される。
お前みたいな奴は間違ってもtcp22とか余計なポート開けるなよ。管理は全部中からやれ。

後はshow configとsaveとrestartだけ覚えて、困ったら[TAB]と[?]を連打しろ。
415RTX1200:2009/02/11(水) 23:42:31 ID:???
…って書いてからふと思ったけど
>ただ、ネットワークの知識は全く無く、コマンド操作もやった事がありません。
なのに
>RT58iでは耐えられない環境なので(10万アクセス/日のサーバー設置予定)
とは、いったい何をやろうとしてるんだ?

最近変な質問ばっかだな…。
416anonymous:2009/02/11(水) 23:54:11 ID:???
何をもって「RT58iでは耐えられない」、と判断したのか興味あるなw
417anon:2009/02/12(木) 00:01:39 ID:???
YAMAHAのBBスレも同じなんだが
どっかでYAMAHAでもすすめてんのかね?
418RTX1200:2009/02/12(木) 00:20:46 ID:???
http://pc11.2ch.net/test/read.cgi/hard/1226918769/222-223
辿ってたらここの222(216)っぽいね。なんか気持ち悪いな。
419anonymous:2009/02/12(木) 01:00:31 ID:???
>>406
ネットワークの知識はないコマンドも使えない
こんな奴がRTXなんて導入しても手に負えない

設定に四苦八苦したあげ変な設定のまま運用して周りに迷惑をかけるだけだよ

技術/知識のない奴はやりたいことに相応する分だけ金を使え
ネットで人に聞いてタダでやろうなんてムシのいいこと考えるな
420[email protected]:2009/02/12(木) 05:48:45 ID:???
よくあることだ。

昔いた所でRT140e(だったかな)入れる時、設定費用が高いとか
言って自分でやろうとした担当が自爆てことがあったよ。

気持ちはわからんでもないが、自分に出来るかどうか判断できる
くらいの知識は身につけてほしい…
421[email protected]:2009/02/12(木) 06:37:33 ID:???
まぁ会社にもよるが・・・・
上司曰く「設定費用が高い」とか・・・
まぁそれが原因で私はRTX1000を触れたんだがなw
(当時自宅では直つなぎのダイアルアップ環境だ。ルーターって何?と言う状態)

ハイパーターミナルの使い方が分からんかったので
自宅に持って帰ってx68000を起動したのも思い出だ。
頼りのx68000もRTX1000設定中にぶっ壊れたけどw
で、押入れから9801を引っ張り出したなぁ〜。
232cで繋ぐ限りOSなんて何でも良いわけだからね。
初期設定した後はtelnetですましてたような記憶が・・・。

>>419
最後の1文だけど、windowsからパソコンを始めた世代ってそんなもんだよ。
まず自分では何も調べないで人に頼ることから始めて自分では何もしない。
調べる=人に聞く事だと思ってる。
更にリアル世界だと、それくらい友達なら教えてくれてもいいじゃないかと逆切れする。
そんなもんだぉ
422anonymous:2009/02/12(木) 07:42:57 ID:???
>>421
> そんなもんだぉ
めっちゃわかる、しみじみそう思うよ。
あの時代の『コンピュータ・リテラシ』なんて考えは、もう通用しないのな。
そりゃ似非科学が蔓延するわけだ。。。
423ホモ:2009/02/12(木) 11:13:57 ID:???
>>421,422
思い出話に浸ってんじゃねぇよジジイが!!!!
424anonymous:2009/02/12(木) 12:06:50 ID:???
成程。思い出話と嘆いているのと区別ができんわけだ。
425RTX1200:2009/02/12(木) 17:43:54 ID:???
>>423
俺はいま29歳で>>420-422に物凄く共感できたんだが、お前はいったい、いくつなんだ?
何歳から「ジジイ」とやらに当たるのかを後学のために教えて欲しい。
426[email protected]:2009/02/12(木) 18:06:00 ID:???
精通を迎えたらじじいにきまってます
427[email protected]:2009/02/12(木) 19:49:51 ID:???
>>425
俺が考えるジジイの概念は、頭が固くなって柔軟な発想ができなくなる事かな。
>>420-422には俺は全く共感できない。
人に聞くって事は、無い頭であれこれ考えるよりも、最も効率よく賢い行為だ。
本を読めとよくいうけど、
それって自分ひとりであれこれ考えるよりも、多くの人が太古より学んできた知識を本から習得したほうが、何万倍も早いからって事だと思う。
人に聞くって事も要はこれと同じこと。
もちろんそれを自分のものにするには、自分で実践して身につけるしかないけどな。
428zzy:2009/02/12(木) 20:07:16 ID:???
>>427

自分一人でずっとあれこれ考えているよりは、人に聞いた方が良いのは
そうだが、自分で何も考えないうちから人に聞くというのは、別に効率的
でもないし、単なる甘えじゃないかな。
で、「まず自分で考えろ」に共感できないという所が世代の差だと
言われれば、それはまあそうなんだろうねとしか言いようがない。

あと、「まず聞く」というのが効率的と決めつけている辺り、
君も既にジジイ化しているのではなかろうか。
429anonymous:2009/02/12(木) 20:35:49 ID:???
>>427
人に聞くのが目先の問題解決に限れば最も早い手段だと思うが
効率よく賢い行為だと言い切れないと思うね。
問題解決したら殆どの奴はそこで思考停止しちゃうし

大抵の人に聞く奴の行動見てると、
問題集を開いたとたん回答のページを見に行って
それを丸写ししてるだけ・・という行動と同じにしか見えない
だから次の問題に出会ったらまた回答ページを探すだけだし
430torisugari:2009/02/12(木) 20:48:55 ID:???
どーでもいいが、
自分の言いたいことを書いて
スレ違いな話題を止めようとしないのは大人げない
431anonymous:2009/02/12(木) 20:53:35 ID:???
爺以前に心が病んでるのかもね。
そろそろスレの話題をrestartきぼん。
432anonymous:2009/02/12(木) 23:21:55 ID:???
ルーターAの192.168.0.0/24のネットワークにVPNで次のネットワークを繋ぎたいのです。

ルーターB 192.168.100.0/24

但し、ルーターA側から192.168.0.128/28にアクセスすると
ルーターBの192.168.100.128からの16アドレスにNAT変換して欲しい。

ルーターAからルーターBの192.168.100.0/24にアクセスも可能。
ルーターB側からはルータAは普通にアクセス可能。

このような設定は可能でしょうか?
433anonymous:2009/02/12(木) 23:55:13 ID:???
今ISDNルータのRTA52iを使っていてようやく光が来たので1200を購入検討しているのですが
52iからステップアップしたら何とか使える程度には設定できるでしょうか?
それとも58iからはいって勉強した方がいいでしょうか?
1200を買う理由はあんまり値段差がないからとギガ対応のためです
434[email protected]:2009/02/13(金) 01:04:14 ID:???
>>427
あ、別に共感してもらう必要は無いが・・・・。
人に聞ける環境があるって発想が・・・・・。そんな恵まれた環境は、素直にウラアマシイ。

教えてもらったことなんて1度もないもん(某クラナド風にバイオリンを持って)。

>>432
192.168.0.0/24の中に192.168.0.128/28が存在するからルーター介さないような・・・・??
出来そうな気もするんだが出来ないようなきもする。もう一度実機が欲しい今日この頃。

私なら完全に別セグメントにするけど・・・。
435とくめい:2009/02/13(金) 01:15:59 ID:???
>>432
Aで
192.168.0.128 <-> 192.168.100.128
192.168.0.129 <-> 192.168.100.129
:
192.168.0.143 <-> 192.168.100.143
なstatic natすればいいような気がする。

436foo:2009/02/13(金) 02:01:35 ID:???
クライアント側でのテーブルが192.168.0.0/24のI/F静的ルートだけなら、
192.168.0.128/28へのパケットはルータ介さずにARP投げて解決しちゃうから
そもそも無理でしょう。

個別に192.168.0.128/28へのルーティングを設定してあるなら別だけど。
その場合は>>435 さんのでいけるかな?
437foo:2009/02/13(金) 02:06:30 ID:???
あ、勘違いしてた。
static natならARP応答もルータがやってくれるからいいのか。

でもB->Aの場合とか考えると素直にセグメント切った方がいい気がする。
438RTX1200:2009/02/13(金) 02:44:55 ID:???
>>432
何がしたいのかすっごく分かるが、実はその方法は非常にエレガントじゃない。
必要に応じてそこだけaddress poolしてpp select anonymousで
pptp使った方がいいよ。
439anonymous:2009/02/13(金) 07:19:28 ID:???
>>433
RT58i で十分だろ。
440anon:2009/02/13(金) 07:32:50 ID:???
>>433
現時点でkakaku.comの最安値が
RTX1200=¥73,998
RT58i=¥29,800
みたいだけど、これで「あまり価格差がない」と思えるのか…
441anonymous:2009/02/13(金) 07:49:07 ID:???
RTX1200で残念だったのがジャンボフレームに対応していなかったこと
442an:2009/02/13(金) 09:15:36 ID:???
個人事業主で経費処理するなら、3万も7万も大差ないわな
個人的には、IPSecによるVPNをやらないのであれば、VoIPが入ってるRT58iが遊べると思うよ

050と0XYとを自動選択するルーティングテーブルを書いたりできるし。
443an:2009/02/13(金) 09:17:22 ID:???
あと、080/090へは0033や0039を頭に付けてACRもどきに使うとか。
ひかり電話だと、効果半減以下だけど。
444anonymous:2009/02/13(金) 11:10:29 ID:???
>>433
RTA52iをコマンドを使って、自分の好きな設定にできるかどうか。
これが可能ならRTX1200でも大丈夫。
無理なら、58iが無難。

用途が書いてないから、何とも言えないけど、
58iも決して能力が低い訳じゃない。
gigaLAN組むだけなら、HUBを買えば済むことだし。
445[email protected]:2009/02/13(金) 13:38:03 ID:???
>>444
きっと光がGigaなんだよw
446432:2009/02/13(金) 22:22:50 ID:???
みなさんありがとうございます。

>>435
中略
>>なstatic natすればいいような気がする。

ルータAにいろいろ思いつく設定を登録したが、上手くいきませんでした。
良かったら設定例を教えていただけませんか?

>>438
>>何がしたいのかすっごく分かるが、実はその方法は非常にエレガントじゃない。

エレガントじゃ無くてもいいです。
上手い設定例があれば教えてください。

さらに欲を言うなら、NATはルータAで処理せず、ルータBで処理できればそちらの方がありがたいです。
ルータBの方はNATを使うと処理が遅いので、少しでも軽くしたいので。
よろしくお願いします。
447anonymous:2009/02/13(金) 22:54:22 ID:???
>>441
???
LAN1のスイッチのこと?
448anonymous:2009/02/13(金) 23:23:31 ID:???
別にNATにする事もないのでは。
ホスト名でアクセスするようにしたらIPアドレスなんか関係ないでしょ。
449433:2009/02/13(金) 23:45:14 ID:???
皆さんありがとうございます。
52iはコマンドである程度はできていました。
1200or58でしたいことはweb,ftp,mailとゲームサーバ構築です。
前3つは大した負荷はかからないと思いますがゲームは通常30人多いときで100人前後
のアクセスがあります。
450432:2009/02/14(土) 00:34:23 ID:???
>>448
同一サブネットのIPからしかアクセスを受け付けない機器があるのです。
451anonymous:2009/02/14(土) 01:53:59 ID:???
>>450
手抜きプロトコルスタックか。

1.そのふざけた機器を捨てる
2.同一ネットワークにお守りPCを置いて、それをリモートで操作
3.それがつながってる方のルーターで静的NAT
かなあ。

452anonymous:2009/02/14(土) 07:26:41 ID:???
いやプロキシが良い。
有名所ではstoneならlinuxもwindowsもある。
但しwindows版は遅いけど。
453[email protected]:2009/02/14(土) 09:34:37 ID:yEa8dN2z
※別スレでこちらで質問するようアドバイスいただきました。よろしくお願いします。
RT107eでインターネットVPNを構築しようとしています。
・ISPはYahoo!BB ADSL(12M)/ADSLモデムはトリオ12M
・グローバルアドレス、DNSサーバーとも自動取得
・IPsecでVPN構築
上記状況で質問なのですが、
1.プロバイダへの接続は、回線−ADSLモデム−RT107e−PCの順でいいですか?
2.ADSLモデムとRT107eの接続は、ADSLモデムのLANポートとRT107eのWAN
 ポートをケーブル直結でいいですか?
3.RT107eのプロバイダ登録ですが、「PPPOEを用いない端末型ADSL」を選ぶと
 その後はIPもDNSも自動取得なので、設定を完了させてもインターネットに
 繋がりません。 他に何か設定があるのでしょうか?
※RT107eのマニュアルで、「PPPOEを用いない端末型ADSL」の代表的な接続
 サービスに「Yahoo!BB」があったので、選択しました。
以上、よろしくお願い致します。
454anonymous:2009/02/14(土) 12:31:15 ID:???
>>453
IPsecVPNの前に、まずはグローバルIPアドレスを取得するところからだな。
自動取得ならIDもPWもないんだから、インターネット接続部分だけconfig晒したらどないだ?

configを晒す気が無いなら
RT107eにグローバルアドレスが付与されているか?
RT107eとPCは通信できているか?(エスパー的には、この辺かなぁと)

PCのIPアドレスが169.254.xxx.xxxになってそうだな(笑
455anonymous:2009/02/14(土) 14:29:27 ID:???
>>453
YahooってたしかMACアドレスか何か見なかったっけ?
だから、PCからつなぎ替えてすぐだと、つながらなかった気がする。
やり方はそれであっているから、一度yahooのモデムの電源を落として、
30分ぐらい待ってみて、今度は107eにつなぎ直してみたらどうだろう?
456432:2009/02/14(土) 14:32:40 ID:???
>>451
> 3.それがつながってる方のルーターで静的NAT
> かなあ。

その方法をやって上手くいきました。

>>452
> いやプロキシが良い。

1つのIPにつき1接続しか出来ないので、これもダメですね。


全然スマートではないですが、このような設定です。

ルーターA
ip route 192.168.0.128/28 gateway tunnel 1 metric 1
ip route 192.168.100.0/24 gateway tunnel 1 metric 1
ip lan1 proxyarp on

ルーターB
pp select 1 #VPN
ip pp nat descriptor 2
nat descriptor type 2 nat
nat descriptor address outer 2 192.168.0.128-192.168.0.143 192.168.100.1-192.168.100.127 192.168.100.144-192.168.100.254
nat descriptor static 2 1 192.168.0.128=192.168.100.128 16
nat descriptor static 2 2 192.168.100.1=192.168.100.1 127
nat descriptor static 2 3 192.168.100.144=192.168.100.144 111

一部、静的NATで変換前と変換後をまったく同じにしてみました。
何かまずい点や、こうやったらもっと処理が速いという設定があれば教えてください。
457anonymous:2009/02/14(土) 14:59:43 ID:???
後出しでずるずるといいかげんうざい。
ここはお前のサポ板じゃねーぞカス。
458453:2009/02/14(土) 15:27:59 ID:/Yixgm1c
>>454
RT107eとPCは通信できてます。
PCのブラウザ上から設定画面が開きますので。

一度、ADSLモデムの電源を落としてから繋いでみます。
459anonymous:2009/02/14(土) 15:34:29 ID:???
マルチうざい。
460[email protected]:2009/02/14(土) 15:39:14 ID:???
いや、>>453じゃなくてオレが悪いんだ。
こっちに移動したの気付かずに向こうで引っ張っちゃったから。
461anonymous:2009/02/14(土) 18:21:17 ID:???
>>453
Y!BBってPPPoEなんじゃないの?
462[email protected]:2009/02/14(土) 19:01:47 ID:???
>>460
向こう見てきたけど、本人が移動宣言して無い上に、更に返信してんじゃん。
今の状況だと、>>459は正論だと思う。

>>461
ケーブルTV系と同じくDHCPらしいぞ。
仮にWAN/LANともにDHCPだと、本人は分かってても他人は状況が分かりにくいよな。
MACアドレス見てるとなると、DHCPってめんどういのな。
463anonymous:2009/02/14(土) 19:02:26 ID:???
YBBは専用モデムが実質ルータ的な機能を持ってて
LAN側にはグローバルなIPアドレスをDHCPで吐いてた気がする
464453:2009/02/14(土) 20:28:30 ID:/Yixgm1c
スミマセン。
折角、質問していただいているので、ズルズルと返信してしまいました。
向こうでは、続きはこちらでと宣言してきましたので、引き続きよろしく
お願いします。
まずは、一度、ADSLモデムの電源を落として、しばらく放置してから繋いで
みます。
>>461
RT107eのマニュアルによると、、「PPPOEを用いない端末型ADSL」の代表的な
接続サービスに「Yahoo!BB」があり、IP、ネットマスク、ゲートウェイ、DNSの設定があり
ますが、いずれも自動取得です。
もう一つの、「PPPOEを用いる端末型ADSL」の代表的な接続サービスは、Bフレッツや
フレッツADSLを使用している接続サービスで、ID、接続パスワード、DNSの設定です。
テストでOCN光を使用した時は、IDに「〜@one.ocn.ne.jp」というIDとパスワードだけで、
すぐ繋がったのですが、Yahoo!BBはややこしいですねえ。

465anonymous:2009/02/15(日) 07:15:12 ID:???
>>464
トリオモデム12Mの接続方法
https://ybb.softbank.jp/support/connect/adsl/modem/t12m.html
http://faq.softbank.jp/faq/ybb/app/servlet/load?image=2008/06/30/y030_pct1.gif
[008897]接続するパソコンを変更してからインターネット接続ができなくなりました。
http://faq.softbank.jp/faq/ybb/app/servlet/qadoc?008897

http://faq.softbank.jp/faq/ybb/app/servlet/qadoc?008927
> Yahoo! BBでは、PPPoEやPPPoAといったPPP系認証プロトコルを使用せずに、
> インターネット接続時にADSLモデムがサーバより直接IPアドレスを取得する方
> 法を採用しているため、ルーターが直接接続に対応している必要があります。
「CATVインターネット、またはPPPoEを用いない端末型ADSL接続」でOK。

http://faq.softbank.jp/faq/ybb/app/servlet/qadoc?000139
> ※ トリオモデム12Mの場合、無線LANパックによる無線LAN接続時のみNAT
> 機能が動作します。なお、無線LANパックによる無線接続においてはNAT機
> 能を無効にできません。
http://www.rtpro.yamaha.co.jp/RT/manual/rt107e/Users.pdf#page=103
> プロバイダから与えられたIPアドレスがプライベートアドレスで、ファイアウォ
> ールなどのセキュリティフィルタを適用している場合は、セキュリティレベルを
> 2か4、または6に変更する(70ページ)
トリオモデム12Mに無線LANパックを装着している場合は取り外すか、
セキュリティレベルを6にする。
466453:2009/02/16(月) 00:44:34 ID:b2lydxTX
アドバイスいただいた通り、ADSLモデムを一度電源OFFし、しばらく
放置した後に再立上げしたところ、プロバイダへの接続が出来ました。

ただ、RT107eのDHCP機能をONにして、PCのIPを自動取得にしないと
HPの閲覧が出来ません。
※PCにプライベートアドレスを設定し、デフォルトゲートウェイをRT107eの
 LAN側IPを設定すると、ブラウザから設定画面は見られるのですが、
 適当なHPにアクセスすると、「サーバーが見つかりません」のエラーに
 なります。
 プライベートアドレスでは駄目なのでしょうか?
467[email protected]:2009/02/16(月) 01:19:33 ID:???
DNS?
468anonymous:2009/02/16(月) 06:44:54 ID:???
>>466
>プライベートアドレスでは駄目なのでしょうか?

この文意だと、おまいさんはRT107eのDHCP機能で
PCにグローバルアドレスを割り振っているのか?w
プライベートアドレスと言う言葉が分かってないような・・・。

漏れもDNSに1票
469anonymous1:2009/02/16(月) 08:26:19 ID:???
みんな親切だなww
470anonymous:2009/02/16(月) 09:51:19 ID:???
とても業務向けルータスレとは思えない内容だなw
471[email protected]:2009/02/16(月) 11:02:22 ID:???
よくあるオチで、gatewayを設定してないんだろ
472anonymous:2009/02/16(月) 17:34:27 ID:???
RTX1200を運用しております。
同じ物理セグメント上にプライマリに172.16.0.0/24と
セカンダリに192.168.0.0/24を設定して
セカンダリを機器設定のための管理用アドレスとして使っています。
回線は普通にBフレッツのファミリー100でPPPoEでISPからDHCPでアドレス配布されます。

VPN(PPTP)で外からつなげばルーターやスイッチは見えるので問題はないのですが
実機に直接つないだときにセカンダリアドレスからネットに接続できません。
まぁPCにプライマリの固定アドレスを振れば解決はしますが
セカンダリアドレスからネットに出るにはどういう設定が必要でしょうか?

PCにはディレクティッド・ブロードキャストアドレス(この場合だと192.168.0.255)
にしてみたりいろいろ試していますがわかりません。
ネットにつないで調べながら設定を詰めたいなぁ…というのが動機です。
473あのに:2009/02/16(月) 18:34:44 ID:???
コンフィグ晒さないとアドバイス出来ないよ。

てきとーに書くなら、
nat descriptor の inner 指定はどうなっている?
474472:2009/02/16(月) 18:46:30 ID:2VlpURQx
レスありがとうございます。
上で書いたアドレス体型とは若干違いますが…

nat descriptor type 2 masquerade
nat descriptor address outer 2 ipcp
nat descriptor address inner 2 192.168.2.1-192.168.2.254

っていうのを入れてみて
ip lan2 nat descriptor 1 2
ってやってみたんだけど無理でした。

以下は現状のコンフィグ
475anonymous :2009/02/16(月) 18:52:51 ID:???
RTX1200でモバイル対応の情報出ましたね。D02HWにも対応なのが嬉しい気が。
http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html
#なぜファーム公開しないんだろうか。。。
476472:2009/02/16(月) 18:53:49 ID:2VlpURQx
ip routing on
ip route default gateway pp 1
ip lan1 address 172.16.10.1/23
ip lan1 secondary address 192.168.2.1/24
ip lan1 proxyarp on
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100008 100009 100099
ip lan2 address dhcp
ip lan2 nat descriptor 1
pp select 1
pp always-on on
pppoe use lan2
中略
pp select anonymous
pp name RAS/VPN:
pp bind tunnel1
中略
ip pp remote address pool 192.168.2.201-192.168.2.203
pptp service type server
pp enable anonymous
tunnel select 1
中略
tunnel enable 1
中略
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 172.16.10.1-172.16.11.254
nat descriptor masquerade static 1 1 172.16.10.1 tcp 1723
nat descriptor masquerade static 1 2 172.16.10.1 gre
nat descriptor masquerade static 1 3 172.16.10.1 udp 500
nat descriptor masquerade static 1 4 172.16.10.1 esp

477あのに:2009/02/16(月) 19:01:40 ID:???
nat descriptor address inner 1 172.16.10.0/23,192.168.2.0/24
でいいと思われ。
カンマでつなげるのがミソ。
478472:2009/02/16(月) 20:08:18 ID:???
nat descriptor address inner 1 172.16.10.1-172.16.11.254 192.168.2.1-192.168.2.254

で出来ました。nat descriptorはサブネット表示でははじかれました。あとカンマじゃなくてスペースでした。


PC側はデフォゲもDNSもプライマリ(この場合172.16.10.1)に指定する必要がありましたが
こうやって書き込めましたo(^-^)o

ありがとうございました!!!
479あのに:2009/02/16(月) 20:46:15 ID:???
地下鉄の中から携帯で書いたから色々間違ってた、すまん。
カンマでつなぐのは別のコマンドだったかも(^^;)

でもヒントになったようでよかった。
480453→466:2009/02/16(月) 22:51:20 ID:aIpoES/K
RT107e→LAN側IP:192.168.219.254/DHCP機能:ON
PC→IP、デフォルトゲートウェイ、DNS:自動取得
この状態で、ブラウザ上からルーター設定画面は見られて、トップページの
ブラウザ接続状況も「接続中」となってましたが、HPの閲覧ができ
ませんでした。

そこで、Yahoo!BBにも問い合わせたところ、あえて設定するならと
DNSのアドレスをいただいたので、ルーターのブラウザ設定に追加したところ
HPの閲覧ができるようになりました。

しかし、
RT107e→DHCP機能:OFF
PC→IP:192.168.219.15 ゲートウェイ:192.168.219.254 DNS:設定せず
と設定を変更したら、再びHPの閲覧ができなくなりました。

RT107e→DHCP機能:ON/PC→IP、デフォルトゲートウェイ、DNS:自動取得の設定
でないと、HP閲覧は出来ないのでしょうか?
481anonymous:2009/02/16(月) 23:06:22 ID:???
応用力ゼロなのか、単なるゆとりか。
482anonymous:2009/02/16(月) 23:11:26 ID:???
>>480
DNSの役割を調べれば答えは出るでしょ?
483anonymous:2009/02/16(月) 23:21:54 ID:???
ネットワークの動作とかルータが何をしてるのか
全く理解してないように見えるんだけど
484anonymous:2009/02/16(月) 23:22:23 ID:???
DNS:設定せず

ではダメだろう? RT107eとかいう以前の問題だ。
485anony:2009/02/16(月) 23:46:38 ID:???
何このスレタイから程遠いネタはw
486anonymous:2009/02/16(月) 23:57:55 ID:???
>>480
頼むから、少しは勉強してから、書いてくれ。
ルーターってのは、ネットワークのための周辺機器じゃないんだ。
ルーティング専用の1台のコンピュータと考えてやってくれ。

答えを書いておくと、
・DNSはルーターにも設定が必要。
・PCのIPアドレスを手動で設定するときは、デフォルトゲートウェイ、DNSの設定も必要。

たとえば、あんたがつながらないと言っている状況で、
http://124.83.139.192/
と打ってみてくれ。
もし、これでyahooのトップページが出てくれば、それは名前解決がうまくいってないだけだ。
487453→466→480:2009/02/17(火) 00:07:57 ID:cFPDh8AW
営業からシステムに異動したばかりで、ルーターを触るのも初めてなもの
ですから、レベルが低くて申し訳ありません。

PCのDNSには、デフォルトゲートウェイと同じアドレスを設定すればいいの
ですか?
488anonymous:2009/02/17(火) 00:20:49 ID:???
>>487
つまり業務上の不明点をこのスレで聞いているという理解で宜しいか?
489anoypo:2009/02/17(火) 00:23:06 ID:???
コマンドラインで設定変更できない人は
このスレではお断りしています。

>>487
ググレカス
490anonymous1:2009/02/17(火) 00:25:17 ID:???
>>487
とりあえずサポートに聞くか本読むか
YAMAHAのサイト見てから来てくれ
491a:2009/02/17(火) 00:27:20 ID:???
相手にするなよ。
492anonymous:2009/02/17(火) 00:45:46 ID:???
>>487
その程度のレベルだったら
まず会社の同僚とか先輩に相談しなよ
でないと会社もあんたも不幸だよ
493487:2009/02/17(火) 01:07:02 ID:cFPDh8AW
分かりました。退散します。お騒がせしました。
コマンドラインの設定が出来ないと駄目なんですね。
そういう「お約束」は載ってなかったので、初心者でもOKだと思ってました。
ちなみに、同僚や先輩に、ルーター設定経験者はいません。
にも関わらず、営業が受けてきちゃったので、一人で、マニュアルとネットで調べてます。
494anonymous:2009/02/17(火) 01:07:11 ID:???
>>481
ゆとりだと思う。
上の方で、人に聞く(教えてもらう)のが良いか、自分で考える癖をつけるのが良いかの無茶苦茶極端な例かと。

>>486
RT107eにはY!サポートでDNSは設定したっぽいぞ。
ただ、DNSが何者かわかってないっぽい。
もっと言えば、勉強する方法も分かってないと思う。

>>487
正確に言えば、名前解決するためのDNSサーバーのIPアドレスだ。
RT107eがDNSサーバーであり、かつゲートウェイなら同じになるだけ。
一言言わせてもらうと、保守に丸投げしたら?
495anonymous:2009/02/17(火) 01:14:30 ID:???
>>493
お約束と言うより、業務系ルーターってwebで設定できない事が多いだけ。
このスレは初心者でもOKだが、最低限のコマンドが触れるのが業務統ルーターの前提だわな。
YAMAHAはちょっと前から、web設定も1部分できるようにしただけ。
実際問題として、コマンド触れなきゃ設定できないことも多いぞ。

まぁ、自社(社員)のスキルも関係なしに請けて来る営業を非難してるようだが
おまいさんも元営業として同じようなことしてきたんでしょ?w
で、こう言う「せっかく仕事取ってきたのに何でできないんですか!!」
496anonymous:2009/02/17(火) 01:16:04 ID:???
>>493
受注した案件なのか
最悪のパターンだな
まぁガンバレとしか言えない状況だな
497[email protected]:2009/02/17(火) 01:17:28 ID:???
>>493

営業やってたんだったら判るだろうけど、金払って設定して貰ったものが、
2chで聞いた物でしただったら、ガッカリ砲炸裂も良い所だろう?
というか、殆ど債務不履行だよね?
だから、ちゃんとキチンとした所に金払って、お客様に提供しようよ。
そういう事を考えないからこの業界がブラックとか言われるんだよ?
498anonymous:2009/02/17(火) 01:26:57 ID:???
なんだったら、住商の営業紹介するぜw
499anoypo:2009/02/17(火) 01:35:21 ID:???
車板に突撃して、、、、
「右折したんですけど怒られました。なんでですか?」って質問して、
「ウインカー出してないだろう」って突っ込まれるぐらいレベルが低い。

さらに「人に聞いてウインカーというのを左に出してみました。」って
応答を返すぐらいの流れ。

いくら初心者でも、質問する前に最低限はもっておく知識はあるだろう?
スレの住人はみんな呆れているんだよ。
500anonymous:2009/02/17(火) 01:57:48 ID:???
物事を良く(前向きに)考えると、業務系ルーターを触る機会(チャンス)を貰ったわけなんだが・・・。
勝手な結論としては、この人はネットワークに向いてないと思うな(偏見)。

>>499
車板で実際に居た奴なら、自転車(ロードバイク)を引っ掛けて(幸い人身にはならず)、
修理費が70万円ほど掛かると言うことに対して「これって当り屋ですか!!」と。
住人から呆れレスが来ると更に「そんな高価なものを街中で乗り回すのが悪いと思います!!」と。
事故を起こしたほう(受注した営業)が悪いのか、巻き込まれたほう(>>493元営業=素人?)が悪いのか・・・。

スキルが無いのが悪いのか、スキルを無視して案件を取ってくる営業が悪いのか、
もっと言えば、研修(指導)環境が無いのが悪いのか・・・・・。

>>498
じゃあ、漏れは自分を紹介するぜw
社内で1度も(誰も)設定経験が無いのに、受注するのはビジネスとしては、かなりのギャンブルだな。
社内で使うならともかく、受注するなら先に実機1台くらいは研修機器が必要だと思う。
501anonymous:2009/02/17(火) 03:10:39 ID:???
初心者マークつけて車運転してて赤信号だけど前の車が進まない、なぜ進まないの?って言う位の質問だろ
502anonymous:2009/02/17(火) 09:50:00 ID:4GMOEGN7
YAMAHAルータ初心者は良いけど
ネットワーク初心者はお帰り願いたいな
503anonymous:2009/02/17(火) 21:32:44 ID:???
初心者=その道に入ったばかりで、まだ未熟な者。習い始め、あるいは覚えたての人
素人=その道で必要な技能や知識をもっていない人
素人≠初心者

よって>>487は素人。
504485:2009/02/17(火) 21:41:52 ID:???
>493
ネットワークの知識さえあれば、
RT107e同士ならPPPoEから(単純な)VPNまでほぼ100パーWebUIだけで設定できる
それすら出来ないんだから、おとなしく金払って外注に出せ
505anonymous:2009/02/17(火) 22:45:43 ID:???
所詮、業務系ルーターのスレだから業務的な質問をするなとは個人的には言うつもりは無いが・・・。
やはり限度ってもんがあるよなw

>>501
比喩的には「カッコよくドリフトがしたいんですが左ペダルってクラッチって奴ですか?」って感じかな?

>>504
今回はPPPoE絡んでないようなので省くとして、PCを固定(プライベート)IPで使うときの
PC側の設定なんて、家庭内LANの世界だからなぁ〜。名前解決なんて言葉は知らなくても良いと思うが・・・。

セキュリティも糞もない状態で納品されそうな悪寒。トラブル時に保守できんのか?w
甘く考えて1台の設定費用2万円くらいで取ってきたんじゃないだろうな?
外注に見積もりとってごらん、目をむくからw
506anony:2009/02/18(水) 04:43:39 ID:???
何だか流れ的に質問しにくいけど、、
パソコン7台あって、
そのうち1台のみを別プロバイダで接続したいと思っています。

・ip route default gateway pp 1 で、デフォ(6台)は、pp 1で接続
・残りの1台を、pp 2 で接続

と設定したいのですが、pp 2 で接続するには、
1、フィルタで設定
2、NATで設定
3、ip route〜で設定

どれが一般的、かつスマートな設定ですか?
507anon:2009/02/18(水) 04:55:32 ID:???
>>506
機種が何か、物理的な回線が複数か単なる複数セッションか分からないけど
パケット転送フィルターで良いんじゃない?
508[email protected]:2009/02/18(水) 20:35:56 ID:CGsnwoOS
rtx1100を
東京(フレッツハイパー?、固定IP)
大阪(Bフレッツ、固定IP)
名古屋(Bフレッツ、固定IP)
に置いて、VPNを構築しておりましたが、本日、大阪、名古屋を光プレミアム
に変更したところ、光プレミアム同士の名古屋、大阪間だけつながらなく
なってしまいました。他の拠点同士のVPN接続は問題ありません。
光プレミアム同士だとなにか設定にポイントがあるのでしょうか?
509anonymous:2009/02/18(水) 20:56:26 ID:???
510508:2009/02/18(水) 21:07:29 ID:???
名古屋から大阪へ帰らないといけないので、自宅のPCから書き込みに変更します。
MTUは1438にしてあります。ですので、東京と名古屋や東京と大阪間はVPNが
つながるのです。大阪、名古屋間がVPNでまったく接続できません。
MRUも1438にしたりもしてみましたが、だめでした。
511anonymous1:2009/02/18(水) 21:15:25 ID:???
>>510
自分も似たような構成で東西挟んで8拠点で運用してるけど
CTU固有な設定ってMTUくらいしかないなあ
もう一度設定を見直すかconfig張ってみたら。
512508:2009/02/18(水) 21:24:09 ID:???
名古屋の設定
ip route default gateway pp 1
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2
ip lan1 address 192.168.1.1/24
ip lan2 address 118.xxx.xxx.xxx/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname hoge@hoge fuga
ppp lcp mru on 1438
ppp ipcp msext on
ip pp address 118.xxx.xxx.xxx/32
ip pp mtu 1438
ip pp nat descriptor 1
pp enable 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike pre-shared-key 1 text hogehoge
ipsec ike remote address 1 118.xxx.xxx.yyy
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 118.xxx.xxx.xxx
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
ipsec auto refresh on
dns server 202.224.32.1
dns private address spoof on
513508:2009/02/18(水) 21:28:26 ID:???
大阪もこれに対応してほぼ同じです。
CTUは、名古屋、大阪ともにpppoe設定にしてます。
>511
西日本の光プレミアム同士でもつかえているのですね。
それがわかるだけでも、心強いです。
新幹線の時間があるので、荷物まとめます。
514名無しさん:2009/02/18(水) 22:00:59 ID:???
>>508
IPSECのトンネルは東京−大阪、東京−名古屋、名古屋−大阪
の3通りって事でいいのかな?
貼り付けてあるConfigはTUNNEL 1 しかないみたいだけど
あと、SHOW IPSEC SA だっけ、トンネルの情報はどうなってる?
515508:2009/02/18(水) 22:18:29 ID:???
トンネルは各拠点2つずつで上に書いたのはdownのままの名古屋・大阪間の名古屋側のトンネル設定です。
行数制限にかかったので繋がっているトンネルの設定は割愛しました。
saについては自宅に帰ってコマンドラインで確認しますがgui画面ではsaが0のままでトンネルはdownでした。
携帯電話電話から自宅pcを操作しながらの書き込みなため情報小出しですみません。
516あのに:2009/02/18(水) 23:12:09 ID:???
>>512
関係ないかもしれないけど、、、、
 名古屋のグローバルアドレスが 118.xxx.xxx.xxx/32
 大阪のグローバルアドレスが  118.xxx.xxx.yyy/32
で正しいのならば、、、

 ip lan2 address 118.xxx.xxx.xxx/24

って書いてあると、大阪グローバル宛のパケットはpp1
には流さないでLAN2で処理しようとするわな。
なんでLAN2にグローバルアドレスを設定しているの?
517名無しさん:2009/02/18(水) 23:38:18 ID:???
ルーティングテーブルの確認が必要だね。

プロバイダで名古屋と大阪が24bitマスク範囲で同じなのかねー
固定IPサービスならありえるか・・・
518508:2009/02/19(木) 00:09:16 ID:???
>516,517
みごとに24bitマスク範囲で同じでしたorz
101.101.202.59 名古屋
101.101.202.62 大阪
な感じです。
この場合でも、
大阪 192.168.0.1/24
名古屋 192.168.1.1/24
な形にできるんでしょうか?
519あのに:2009/02/19(木) 00:19:15 ID:???
>>518
LAN2のアドレス設定がルーティングを邪魔してるだけなので、、、

no ip lan2 address 118.xxx.xxx.xxx/24

でサクっと削除してやれば解決。もちろん大阪側もね。
PPPoEを使っているならLAN2にアドレスを付ける必要はない。

Bフレッツの時はもっと離れたアドレスだったんだろう?
だから同じような設定でも問題が表面化しなかったんだろう。
520508:2009/02/19(木) 00:31:18 ID:???
>>519
おっしゃる通り、Bフレッツのときには離れたアドレスでした。
大阪の設定ではlan2の設定は書いてなかったのに、名古屋だけ書いてありました。

帰り際にタスクで夜中にvncのlistenモードでつなぐ設定つもりだったのに、失敗したようで
名古屋につなげる手段がないorz

まだ解決したのかわかりませんが、みなさまに心から感謝。
521あのに:2009/02/19(木) 00:39:11 ID:???
>>520
いったん東京のRTX1100にtelnetで入って、
そこ経由で名古屋にtelnetするとか、、、?

まあ設定によっては出来ない場合もあるけどね。
522508:2009/02/19(木) 00:44:08 ID:???
大阪のほうで仕込んだタスクで大阪にvncのlistenモードで接続。
大阪から東京へリモートデスクトップ、東京から名古屋へリモートデスクトップで
名古屋に到着!

no ip 118.xx.xxx.xxx/24
でIPSecでつながりました!
ほんとにありがとうございました。ちょっと泣いてます。
523あのに:2009/02/19(木) 00:47:07 ID:???
>>522
長い一日だったな。乙!
524[email protected]:2009/02/19(木) 01:49:12 ID:???
>>522
せめて
ip lan2 address 118.xxx.xxx.xxx/24
が、
ip lan2 address 118.xxx.xxx.xxx/32
と言う間違いだったら、繋がっていたのにね(たぶん)。

終わりよければ全てよし。
525anonymous:2009/02/19(木) 03:19:18 ID:???
PP 1 プロバイダ1
PP 2 プロバイダ2

PC1 192.168.1.1
PC2  192.168.1.2
PC3  192.168.1.11

という構成で、PC3のみpp2を使って接続したくて、
ip route default gateway pp 1
ip route 192.168.1.11 gateway pp 2
と設定したら、
ルータがバグって?telnetから繋がらなくなってしまいます。
設定間違いでしょうか?
RTX1100です。

526あのにー:2009/02/19(木) 03:36:48 ID:???
また低レベル来た
527anonymous:2009/02/19(木) 03:44:14 ID:???
>>525
コマンドリファレンス読み直せ
528anonymous:2009/02/19(木) 03:56:57 ID:???
>>525
設定ミスなのにバグってとか言うもんじゃない。
529anonymous:2009/02/19(木) 08:04:48 ID:2xNbVGE2
ip filter 1 pass 192.168.1.11 *
ip route default gateway pp 2 filter 1 gateway pp 1
これが正解かな
530名無しさん:2009/02/19(木) 09:58:38 ID:???
ip route 192.168.1.11 gateway pp 2
日本語訳
192.168.1.11のアドレスにパケットを配送する為には、PP2にパケットを送れw
531anonymous:2009/02/19(木) 10:03:18 ID:???
>>329
あと、DNSリカーシブサーバ機能は使えなくなるので、注意が必要。
532525:2009/02/19(木) 14:56:14 ID:???
>>529
正解まで教えていただき有難う御座います。無事繋がりました。
も一度コマンドリファレンス読み直します。
533anonymous:2009/02/19(木) 15:03:02 ID:???
こちらネットワーク何でも相談室です。
534あのにー:2009/02/19(木) 15:07:13 ID:???
>>532
つーか、>>506と同一人物なんだろ?
もし同一人物じゃなくても、同じようなこと質問してて
>>507に解答書いてあったんだから、自分で頑張れよ。
535あー:2009/02/19(木) 22:43:33 ID:???
>>532
公式ホームページに載っている設定例を質問する男の人って、、、、
http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
536anonymous:2009/02/19(木) 23:09:09 ID:???
釣りだろ?
537anonymous:2009/02/19(木) 23:41:34 ID:???
大漁だね
538anonymous:2009/02/20(金) 17:50:19 ID:???
初心者スマソ
10台ほどPCがあって同時接続の可能性もあるので、光プレミアム2回線引いてRTX1200で制御出来ないかなと考えてます。

ttp://netvolante.jp/products/rtx1200/
RTX1200のページに光2回線収容の説明があるんですが、
マルチホーミング機能とフィルタルーティングでこの機能を有する事になるのでしょうか?
それともなにか上位機種のコマンドで利用可能なのでしょうか?
539anonymous:2009/02/20(金) 18:38:29 ID:???
>>538
> 光プレミアム2回線引いて
エンタープライズタイプだよね?
ファミリータイプを2回線引いても同じ帯域を共有するから無意味だよ。
540あのに:2009/02/20(金) 19:20:06 ID:???
>>539
ファミリータイプです。
想像は容易ですけど気がつかなかったorz
でも帯域よりも通信系ソフトのテストするために2回線欲しいのもありますので。
541あのなー:2009/02/20(金) 20:01:07 ID:???
「制御できないかな」って、具体的に何をどう制御したいんだ?
542anonymous:2009/02/21(土) 00:48:49 ID:???
>>538=540
最初に断っておくが、PC10台でweb閲覧程度なら1回線で十分だぞ。
色々なISPに繋ぎたいのだとしても、5セッション(だっけ?)は1回線で可能だぞ。

通信系のテストってだけじゃ2回線の理由にはならんのだが・・・。
LAN1、LAN2、LAN3で、PC群と光プレミアム2回線を繋ぎたいだけなのか・・・。

by ファミリー100の1回線で50台でVPNで使っていた。紳士協定なんざ関係ねぇ(笑
常時使ってるのはどうせ10台程度だけだったし。
543[email protected]:2009/02/21(土) 01:30:27 ID:???
俺だったらメイン光プレミアム、サブADSLにするな。
544[email protected]:2009/02/21(土) 16:09:01 ID:???
ファミリー100なら300台でも1回線で十分。
70拠点のIPSECもRTX1500 1台でOKだよ
545an:2009/02/23(月) 09:49:25 ID:???
>>540
マルチセッションで遊ぶだけならRT58iで十分じゃん
ヤフオクで57や1000の中古を落としても全然大丈夫だしぃ
546あのー:2009/02/23(月) 09:54:11 ID:???
>>545
仮にも「業務」を銘打っているところで、オークションでってのはナシだろ。
547dynamic・・・:2009/02/24(火) 15:44:49 ID:???
>>361
のダイナミックフィルタリングに関して、注意事項。

以前、ダイナミックフィルタで、ど壷にはまってしまったわけですが、
ダイナミックフィルタは、使用できるアプリケーションが決まっている。
これを忘れてはならない。

わかりやすい例で言うと、
ftpなんかは、リクエストで通ったポート以外に、データー通信用のポートもあけなければならない。
ftpはヤマハルーター内部で定義されているので、これを通信情報から自動的に判別して空けておいてくれるわけだ。

だから、tcp,udpのダイナミックパスフィルタを作るだけで、安心してはならない。
基本、ダイナミックフィルタは、アプリケーションを指定すべきものだと理解することが大切だ。

ヤマハサポートのある人は、こういうことすらわかっていなかった。
だめな人に当たると、時間の無駄になってしまう。
以前、このスレで私は助けられました。



548[email protected]:2009/02/25(水) 18:28:14 ID:wmCoMafN
RTX1200の設定で悩んでいます。
8PortのLAN1をVLANで2系統にわけ、pp1はインターネットへpp2はNGNでVPNを構築します。
vlan1はpp1へvlan2はpp2へ流したいだけなのですが、pp2へはipipのトンネリングを行って流したいと考えています。
この2系統を割り振るのにパケット転送フィルターを使おうかと設定を考えていたのですが、どうしてもtunnelをpp2へ送る設定方法がわかりません。
またpp1からきたパケットをvlan1へ、tunnelからきたパケットをvlan2へ送る方法もわかりません。
ip tunnel forwardやip pp forwardはどのように記述するのでしょうか?
ちなみにこの様な設定を行いたい理由はRTX1200を2台購入してそれぞれの回線に1台ずつ接続し、ルータに不具合があった場合に1台で2回線接続できるようにしたいためです。
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.5 vlan2
vlan port mapping lan1.6 vlan2
ip vlan1 address 192.168.254.xxx/24
ip vlan2 address 192.168.200.xxx/24
pp select 1
pp name "Internet"
pp select 2
pp name "NGN VPN"
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 192.168.100.1 192.168.100.2
tunnel select 2
tunnel encapsulation ipip
tunnel endpoint address 192.168.100.1 192.168.100.3
ip filter 1001 pass * *
ip filter 2001 pass 192.168.229.0/24 * * * *
ip filter 2002 pass 192.168.224.0/24 * * * *
ip filter 3001 pass 192.168.100.0/24 * * * *
ip forward filter 100 1 gateway pp 1 filter 1001
ip forward filter 200 1 gateway tunnel 1 filter 2001
ip forward filter 200 2 gateway tunnel 2 filter 2002
ip vlan1 forward filter 100
ip vlan2 forward filter 200
549名無しさん:2009/02/26(木) 00:02:39 ID:???
>>548
コンフィグいじる前に基本的な設計からやり直しだな。

NGNってフレッツグループアクセスの事? それとも、どっかの新サービス?
550あの:2009/02/26(木) 00:06:16 ID:???
>>549
NGN くらい知っとけよ…
551あのん:2009/02/26(木) 00:30:42 ID:???
> どうしてもtunnelをpp2へ送る設定方法がわかりません。

ip route 192.168.100.0/24 gateway pp 2

で良いんじゃね?
552あのん:2009/02/26(木) 00:57:06 ID:???
パケット転送フィルタにこだわるなら、こんな感じか?
まともに動くかは分からないけどね。

ip filter 7001 pass * * 94
ip forward filter 240 1 gateway pp 2 filter 7001
ip local forward filter 240
553[email protected]:2009/02/26(木) 08:49:13 ID:s39+f/HK
>>551
>>552
やっぱりip routeになってしまうんでしようか。
パケット転送フィルタだけで行けないものかと考えていました。
パケット転送フィルタだけだとip local forwardになってしまうのですね。
ip tunnel forwardやip pp forwardがありますが、これの使い方がわからないんですよね。
何となくこれを使うとできそうな予感がするのですが、selectした後に書けばよいのか、それともtunnelやpp全体に対してのものなのかがわからないんです。
slelctした後の記述だとしてtunnelの場合はそのtunnelで受信したパケットに対しての記述となるのですよね。
だとするとtunnelで送りたい場合のppの指定が無いな...と思い悩んでいました。
できればip routeを使わずに受信したlanやppから振り分けたいと贅沢な悩みを持っていました。
具体的なip tunnel forwardやip pp forwardの記述の仕方をご存じの方が居ましたらご教授願います。
554anonymous:2009/02/26(木) 11:29:45 ID:oChRb2e4
なんでもかんでもパケット転送フィルターでやろうとするから破綻してるんじゃない?
ip route default gateway pp 2とかip routeで基本的な所を書いて
特殊な部分をパケット転送フィルターで記述するのが良いよ。
555あのん:2009/02/26(木) 22:22:54 ID:???
パケット転送フィルタはrtproに詳細ドキュメントがあるから、
まずは10回読むことかな?
次に自分でコンフィグを作って試してみる。

それでうまくいかないなら、ここで相談。
556あのん:2009/02/26(木) 22:36:35 ID:???
> pp1からきたパケットをvlan1へ、tunnelからきたパケットをvlan2へ送る方法

これを上手くやる方法は俺も思いつかない。

各VLANのそれぞれ先に別途ルータがいれば、そこをgatewayにしてパケット
転送フィルタを使えば良いような気もするが。

そうじゃないなら、secureフィルタでゴリゴリ制限するしかなさそう。
557anonymous:2009/02/27(金) 09:09:43 ID:yujlcfg3
pp1の方はnatを設定してあればvlan1の方へ行きそうな気がするけど
tunnelの方はip routeでもip tunnel forward filterでも設定すれば良さそう
vlan1とvlan2のネットワーク構成次第のような?
558anoni:2009/02/28(土) 01:49:55 ID:b9bNgEwd
>549さんが言っているように、設計が。。。
あとNGNって?

障害を前提とした対策設定とかありえ無いね。
普通に機器交換で。

もし設定を考えるとしても、ルータ一つで考えていて
難しくしすぎだし、スマートなNWじゃない。+拡張性の問題も。
なので、いくら小さいNWとはいえ、L3SWを一台ぶち込む。
ルータはRTX1100で十分。

R   R
|   |
− L3 −
  ||
  L2 L2

L3でセグメント分けを行い、ルーティングはスタティックルートで
モロモロ切る。ルータは外部と繋ぐだけ。
あとInternetに接続するルータにはセキュリティ用のFilterを適用!
もしくはF/Wを挟め!以上!

作れないなら委託したほうが良い。保守つきで。
559anoni:2009/02/28(土) 02:09:05 ID:b9bNgEwd
しまった!釣りだったか。。。なんか久々に見て興奮して
書いちゃった>< 恥ずかしいぃ
560時給774円:2009/02/28(土) 03:49:10 ID:???
RTX1200を近々購入する予定なんですけどLAN I/F間の結線がよく分かりません
現在は
LAN1を庁内向けに使用したい
LAN2に光回線ターミナルを接続してインターネットへ出れるようにしたい
LAN3には外部向けサーバを設置したい
と言う構成を考えているんですが、この時LAN3につないだサーバに対して
LAN1につないだPCからインターネットを経由せずにアクセス出来ますか?
よろしくお願いします
561anonymous:2009/02/28(土) 04:52:21 ID:1NosBkbq
経路を書けば出来るでしょルーターなんだから
562anonymous:2009/02/28(土) 06:06:43 ID:???
>>560
悪いこと言わないから素直に業者へ発注しろ
563anonymous:2009/02/28(土) 09:00:44 ID:???
庁内って書いてるけど、本当は素人自宅サーバだろw
564an:2009/02/28(土) 09:58:47 ID:???
>>563
研究室あたりが勝手に外部と何かやるんだろうなぁって思った。

お金無いとしても、他所に頼んだ方がいい。
565名無しさん:2009/02/28(土) 10:39:22 ID:???
>>560
この構成なら安全第一でFireWallにしとけ。
566anonymous:2009/02/28(土) 12:59:07 ID:???
質問内容は、出来るかどうかなので「できます」でいいのでは?w
567anonymous:2009/02/28(土) 13:26:13 ID:???
そんな中国の使えない下請けみたいな
568anony:2009/02/28(土) 13:37:09 ID:???
LAN1につないだPCからインターネットを経由せずは簡単だけど
LAN1につないだPCからインターネットを経由して 
だと難しいような。
569anonymous:2009/02/28(土) 13:55:58 ID:???
>>568
RTX1200のNATの挙動がネットボランチシリーズと同じなら、
インターネットへの接続がPPPoEの時はヘアピンNAT(NATルー
プバック?)動作になるから、「インターネット側から見た、外部
向けサーバのグローバルIP」に対してLAN1につないだPCから
アクセスすれば「LAN1につないだPCからインターネットを経由
して」も可能だと思うよ。
570anoni:2009/03/01(日) 02:15:49 ID:eZ+BE7l7
構成はもういいや。好きなように作ってくれ。

仮にルータにサーバセグメントと端末セグメントが直で
接続されているような構成だとすると、ルートの設定すらいらん。

普通にPCからサーバに直接アクセスする
わざわざ遠回りなんかしない。
571[email protected]:2009/03/01(日) 10:24:37 ID:4eiX5F00
RT107eのフィルタ設定で、インターネットVPNには通すけど、
HPの閲覧はさせないという設定はできますか?
572@:2009/03/01(日) 10:32:18 ID:???
>>571
できますん
573私はRTX!!00ですが:2009/03/02(月) 02:34:52 ID:???
>>571
HP閲覧させないために、80や443ポート宛パケットを遮断することが考えられるが、やめたほうがいい。
ウインドウズを使っているなら、80、443遮断で自動更新が効かなくなるからえね。
でも、RT107eって、url filterが使えたかどうかわかりませんが。

url filterを使うと、静的フィルタが簡単になります。
間違っていたら、指摘ください。私のところでは機能しています。
VPN(ただしポート80、443以外を使うもの)をパスする設定は、
静的フィルタをつかって、リジェクトさせればいいじゃないですか。
ただし、オールパスの設定よりも、上の位置にフィルタをおかねばなりません。

以下は例です。



574私はRTX!!00ですが:2009/03/02(月) 02:38:32 ID:???
以上<略>
pp select 29
・・略・・
ip pp secure filter out ・・・略・・・ 2910032 2910051
url pp filter out 29301 29310 29311 29318 29319
・・略・・
pp enable 29
<略>
url filter use on
url filter port 80 443
(url filterの対象となるパケットのあて先ポートの指定)
url filter log on

<URLフィルタ定義の例>
url filter 29301 pass * 192.168.1.51
(←1.51は発信元アドレスで*印はURLアドレス。1.51からは全てのあて先で通信許可)
url filter 29310 pass microsoft.com *
url filter 29311 pass windowsupdate.com *
(← つまり、全てのクライアントからのアップデート要求は許可)
url filter 29318 pass-log pack *
(← グーグルパックのための通信の許可、この定義はまったく気に入らないが、どうもしかたない)
url filter 29319 pass openoffice.org *
(← オープンオフィスのアップデートの通信許可)
(☆書かれていないが、これら以外の通信はurl filterで暗黙的にリジェクトされる)
<略>
<静的フィルタの例のURL FILETERに関係する一部>
ip filter 2910032 pass * * * * *
ip filter 2910051 reject * * * * *
以下<略>
575私はRTX!!00ですが:2009/03/02(月) 07:48:24 ID:???
>VPN(ただしポート80、443以外を使うもの)をパスする設定は、
>静的フィルタをつかって、リジェクトさせればいいじゃないですか。

すまんです。寝ぼけていました。矛盾した文を書いてしまった。

上の例では、静的フィルタが最後に全てを通過させる設定になっているので、
vpnを通すために、少なくともアウト方向のフィルタは、何も要らないですね。
576tesco:2009/03/02(月) 12:41:26 ID:???
RTX1100
577[email protected]:2009/03/03(火) 10:13:11 ID:???
何かの暗号か?wktk
578??:2009/03/03(火) 10:24:56 ID:???
>>577
??
579不明なデバイスさん:2009/03/03(火) 20:09:49 ID:???
>>571
みんな出来るように書いているが
私はホームページ見れると思うので出来ませんだと思う。
580不明なデバイスさん:2009/03/03(火) 20:46:44 ID:???
>>571
召し食った、上の人です

なぞなぞみたいなものだね

>インターネットVPNには通すけど
ってことはVPNパススルーかな?とりあえずVPN経由でホームページ見れます。
自宅に1723ポートでProxyサーバー立てても見れます・・・・

そんな2行だけの説明で環境が全部わかるエスパーは少ないような気がします。
581通りすがり:2009/03/04(水) 01:52:07 ID:???
>>580 さんへ、
ルーティングテーブルの設定で、
デフォルトゲートウェイが、VPN経由にならないようにすれば避けられると思うけど。
もちろん、HPとはインターネット上のHPだと考えて。

・・・エスパーじゃなくても、色々と想像はできるけど(経験があればだが)

582580だ:2009/03/04(水) 07:49:13 ID:???
>>581
初めの2行はVPN経験者の意見に聞こえませんが
VPN張ったらVPNのルーティングはルーターで制御出来ない。


571は会社とか業務とか想像までは可能ですが
業務で利用するとかなら、社員の一人が思いつかないとは言い切れない。
現に俺は、ルーターの穴を用いてインターネットに出て行って居る時もあるし。

そういう社員がいないと言い張れるなら別ですが
583anonymous:2009/03/04(水) 09:01:02 ID:???
VPN張ってもルーティング設定できるけど
584anonymous:2009/03/04(水) 10:05:55 ID:???
>>582
VPN張ってVPNのルーティングやファイヤーウオールはルーターで簡単に出来る。
107eならIPsecだからpptpよりずっと簡単。

お前の会社のルーターに穴があるのが問題だろ。
穴を作った設定が悪いしログなどもちゃんと取ってないんだろうな。
585:2009/03/04(水) 10:31:43 ID:???
>>579
・・・どういう自信なのか・・・
586[email protected]:2009/03/04(水) 13:31:03 ID:???
RTX1200の「特定のファームウェア」について、
メールフォームから問い合わせたけど、
1週間たっても音沙汰が無いんだけど。

そんなもん?
587anonymous:2009/03/04(水) 13:36:39 ID:???
内容にも因ると思うが。

「特定のファームについて」って書くだけで質問内容をエスパー可能と思ってる椰子の質問じゃスルーされたとしても仕方がないような気もする品。
588[email protected]:2009/03/04(水) 14:31:46 ID:???
ttp://projectphone.typepad.jp/blog/2009/02/rtx1200-c123.html
ttp://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/index.html

> 今回、更新(公開)された技術情報をRTX1200でご利用になる場合は
> 特定のファームウェアが必要です。ヤマハ株式会社もしくは住商情
> 報システム株式会社にお問い合わせください。

って書いてあるから、「お問い合わせ」したんだけど、そんなにエスパーですか。
589anonymous:2009/03/04(水) 14:52:09 ID:???
>>587氏同様、どういう文面かわからんと第三者には判断できないよ。
本人は至極真当な文章と思っていても第三者に理解できないことだってあるしね。

きつい言い方になるが
>>586の端折りぶりをみる限りメールの文面も怪しいと思われても仕方ない。
590あのに:2009/03/04(水) 15:21:26 ID:???
>>588
「特定のファームウェア」ってわざと囲ってあるし、ML も購読していて
「特定のファームウェア」の存在を知っていたから、自分には
すんなり理解出来たよ。

まぁ、1 週間くらいは返答なしってのもあるだろうから、更に 1 週間
待ってみるか、再度問い合わせをするか、好きな方をどうぞ。
591anonymous:2009/03/04(水) 15:52:05 ID:???
>>588
それを最初に書けばいいんでないかい?
592anonymous:2009/03/04(水) 18:11:17 ID:???
メールがだめなら電話だろjk
593エスパー用語はもう廃止:2009/03/04(水) 18:33:06 ID:???
わかりやすい表現を求めるのもわかるが、
>>590 には激しく同意

どういうことかというと、
ピンとくる人には、ピンとくる。そういう”めぐり合い”が、マスメディアたる2chではないかということだ。
一対多の構造にある、サポートセンターならめぐり合いはないので、わかりやすい表現が必要だろう。
サポートセンターではないのだから、「これは俺の役目だ」と思う人が、参加していけばいいんじゃないだろうか。

最近は、どうも、悪く言えば、質問者のあげ足をひろうような、クソまじめな雰囲気になっていて困る。
まるで、サポートセンターのオネサン方(もちろん一部だけ)の苛立ちが乗り移っているみたいだ。
質問者にもっと情報を聞きたければ、責めるんじゃなくて逆に問えばいいのではないかと思う。

言葉にピンと来た人が、めぐり会い。あなたは今巡り会ったわけだ。
ピンとこないなら、出会っていない。無理に出会おうとしなくていい。サポートセンタじゃないんだからね。

594582:2009/03/04(水) 18:42:36 ID:???
>>584
私はてっきり
571の文章を読んで
VPNパススルー(RT107eの設定)したVPNクライアント(Windows標準とかかな?)からRT107eのフィルタで80を遮断できるか?
という意味だとおもって発言したんだ、だから582はWindowsからVPN接続した時の意味

皆さんの書き込み読むと
VPNの拠点間接続って意味っぽいなあ
595anonymous:2009/03/04(水) 18:43:18 ID:???
長文きめぇ
つっこもうがフォローしようが各人の自由ってだけだろ
俺はそこまでして拾い上げてやる気はないがな
596欧米か:2009/03/04(水) 18:55:11 ID:???
これからは、長文の時代なんだよ。
海外のサイトで、そんな短い文章は見たことないよ。

597an:2009/03/04(水) 18:58:58 ID:???
>>594
ちょっとひねりすぎかなあ
少し、ネットワーク屋のコモンセンスからずれていると言えるかもしれない
責めているわけではないが。
他の人が、そういう共通認識で一致しているようだし。
ここは多数がネットワーク屋が集まっているだろうと思う。

598[email protected]:2009/03/04(水) 19:53:59 ID:???
最近このスレは殺伐としている雰囲気がある。
相手がちょっとしたミスとか勘違いだとしても、必要以上に噛み付く。
噛み付いているわりには、何も有益な解決の情報を出さずに文句ばかり言う。
はっきりいって低レベルな質問より、それを馬鹿にしたり上げ足を取る人間の方がうざい。
599anonymous:2009/03/04(水) 20:21:18 ID:???
ネタですよね?
600[email protected]:2009/03/04(水) 23:25:16 ID:CRfMEmt1
初歩的な質問ですが、
一度入力した「tftp host」コマンドや「http host」コマンドを取り消す
にはどのようなコマンド入力をすればいいですか?

また、一般的なセキュリティ設定として、ppのout側にtelnetでの(ポート23への)
アクセスを遮断するフィルタはかけた方がいいですか?
601あの:2009/03/04(水) 23:52:57 ID:???
>>600
> 一度入力した「tftp host」コマンドや「http host」コマンドを取り消す
> にはどのようなコマンド入力をすればいいですか?
no ほにゃらら
602anonymous:2009/03/05(木) 07:49:15 ID:???
>>600
外部へTENETするかしないか自己判断じゃね
603匿名:2009/03/05(木) 08:54:28 ID:???
telnetは危険、(情報丸見え)
sshを使うべきだろう

遮断しちゃってもいいのでは

604sage:2009/03/05(木) 14:45:07 ID:3oaC0iH4
RTX1200ヤバ過ぎね?
VLAN毎にネットワークアドレス設定できてVLAN間を制御できるって、ほとんどL3スイッチじゃん。
いいよなもうこれで。ウチのホスト数なんて200弱なんだし。
605anonymous:2009/03/05(木) 14:57:31 ID:???
>>604
L3スイッチに近いとなぜヤバい?
606anonymous@NPc0rDQ:2009/03/05(木) 15:33:05 ID:???
ほめてるんだろ
607[email protected]:2009/03/05(木) 16:31:41 ID:???
>>605
チョンはいい加減国に帰れよ
608???:2009/03/05(木) 16:55:17 ID:???
やばいの意味 国語辞典 - goo辞書
http://ext.dictionary.goo.ne.jp/leaf/jn/195012/m0u/%E3%82%84%E3%81%B0/
> (1)身に危険が迫るさま。あぶない。
> 「―・いぞ、逃げろ」
> (2)不都合が予想される。
> 「この成績では―・いな
609604:2009/03/05(木) 17:07:16 ID:???
すまない、ほめたんだ。これで実売7万円台とか安すぎだろう
610[email protected]:2009/03/05(木) 17:27:08 ID:9giFZ1vM
ほんと下らない話だと思うのですが、宜しくお願いします。

現在、SRT100のルーターを所有しており、
ここに3つほど別々のISPの固定16IPの設定を入れたいと思っています。

イメージとしては以下のような感じです。

サーバ1--┐
        +--HAB1-----┐
サーバ2--┘         U
                 U
サーバ3--┐         U
        +--HAB2-----+-SRT100--モデム
サーバ4--┘         U
                 U
サーバ5--┐         U
        +--HAB3-----┘
サーバ6--┘
611610:2009/03/05(木) 17:28:07 ID:9giFZ1vM
上記続きです。

各サーバにはすべてグローバルIPアドレスを割り振りたいと考えています。
とりあえず、1つのISP情報をルータに組み込んでみたのですが、
どうも、HAB1から外部へ接続出来ない状態になってしまいます。

設定内容としてはYAMAHAの公式にある、PDFを参考に以下のように設定しました。

# ip lan1 address 10.0.0.209/28
# pp select 1
pp1# pppoe use lan2
pp1# pp auth accept chap pap
pp1# pp auth myname ID PASSWORD
pp1# ppp lcp mru on 1454
pp1# ip pp mtu 1454
pp1# ppp ccp type none
pp1# pp enable 1
pp1# ip route default gateway pp 1
pp1# dns server SERVER
pp1# dhcp service server
pp1# dhcp scope

どなたかヒントでも良いのでご教授いただければ幸いです。
長文大変失礼致しました、宜しくお願いします。
612anonymous:2009/03/05(木) 18:41:02 ID:???
HAB?
613あのんん:2009/03/05(木) 18:45:59 ID:???
>>600
別にパスワード抜かれても、それはTELNETサーバーのセキュリティの問題でクライアントは関係ないよ。
そもそもTELNETを有効にしているサービスって中身見られても良いサービスだろうし(昔あったオンラインサインアップとか)

もし貴方の管理するTELNETサーバーが外部にあるならYAMAHAの前にそのサーバーのセキュリティを先に見直すべきです。

あ!ポート23の外向きのはなしね
614610:2009/03/05(木) 19:08:55 ID:???
>>612
HUBでした、すいません…
615アナ:2009/03/05(木) 19:57:52 ID:???
>>614
とりあえずサービス名を書こうな。configからIP Unnumbered かなーとか思うけど、ほかにもいっぱいサービスあるからな
あとip lan1 address 10.0.0.209/28って何?プライベートなら意味不明だし、多分グローバルの伏字なんだろうか?
あとPCから繋がらない以前にルーターからグローバルへping出来るのか確認すべし
616610:2009/03/05(木) 20:30:26 ID:???
勉強不足ですみません…
サービス名にあたる部分がどう答えたらいいのか分かりません。。。

>ip lan1 address 10.0.0.209/28
上記のIPアドレスの部分についてはグローバルアドレスの伏字です。
分かりにくくてすみません。

ルーターから外部へはIPでもドメインでもpingは飛びます。
サーバーからルーターへもpingは飛びます。
サーバーから外部へはpingが飛ばない状況になっています。
617anonymous:2009/03/05(木) 20:45:19 ID:???
サーバーのdefault gateway や DNSはちゃんと設定したの?
618RTX1200:2009/03/05(木) 20:59:49 ID:???
>>610
PPPoE Unnumbered接続なら

pp select 1
pp keepalive use lcp-echo
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept chap
pp auth myname ID PASSWORD
ppp lcp mru on 1454
ip pp mtu 1454
pp enable 1

これでヒントのつもりなんだけど、どうかねぇ?
619610:2009/03/06(金) 00:47:45 ID:???
>>617
そこら辺は何度も確認したので、問題ないです。
サーバーからルーターへもpingは通っています。

>>618
ヒント有難うございます。


ip route default gateway pp 1
ip lan1 address xxx.xxx.xxx.xxx/28
pp select 1
pp keepalive use lcp-echo
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept chap
pp auth myname ID PW
ppp lcp mru on 1454
ip pp mtu 1454
pp enable 1
dns server SERVER1 SERVER2

浅知恵ながら、上記のように設定してみましたが、
やはりサーバーから外部へだけ接続出来ません。。。
620解説しよう:2009/03/06(金) 02:37:40 ID:???
>>605
願ったりの高機能なのに超安い(嬉しい)

こんなに自分は得をしていていいのだろうか(心配)

まるで自分がズルイことをしているみたいだ(不安)

誰かに、白い目で見られているかもしれない(恐怖)

やばい、やばい

621anonymous:2009/03/06(金) 07:33:56 ID:???
L3スイッチじゃなくてあくまでもルータ。
ハードウェアルーティングじゃないからワイヤレートでないし。
622不明なデバイスさん:2009/03/06(金) 07:42:03 ID:???
>>619
ルーターから両方へping出来るなPCの問題じゃないの?
ルーターではルーティングしていないし。ルーターの役割はPPPoEだけだよ
623あのにー:2009/03/06(金) 08:47:48 ID:???
>>619
サーバから外部に対して、traceroute したらどこまで行く?
624anony kevin:2009/03/07(土) 02:29:49 ID:???
1100を使っています。
フィルタリング定義で質問があります。

IPv4アドレス特定ビットのON,OFFによるフィルタ定義は可能でしょうか。


たとえば192.168.で始まるアドレスについて、下から12bit目がonになっているものを指定することです。
(192.168).xxxx1xxx.xxxxxxxx
そういうアドレスについては、passなり、rejectなりをしたいのです。
ネットマスクでは指定できないです。

よろしくおねがいします。

625不明なデバイスさん:2009/03/07(土) 13:09:26 ID:???
>>624

192.168.8.0〜192.168.8.255 → pass
って意味か?
config教えるほどの事じゃないな
626anonymous:2009/03/07(土) 16:48:54 ID:???
>>624
そのまま「12bit目がon」のマスクを書いたらダメなのか?
627  :2009/03/07(土) 18:20:18 ID:???
接続先のグローバルIPアドを採りたいのですが
書式を教えて下さい
628:2009/03/07(土) 18:26:15 ID:???
>>627
どうぞお帰り下さい
629[email protected]:2009/03/07(土) 18:28:48 ID:???
>>625
いや単純に「8」じゃなくて、この場合
第3オクテットの下から4ビット目が1ってことだろ。
だから、8〜15もそうだし、24〜31もそうなる。

関係ないけど、なんでIPv4って10進数表記なんだろ。
ビット単位で考えるときに、わかりにくい。
IPv6やMACアドレスは16進数表記なのに。
630anonymous:2009/03/07(土) 18:30:29 ID:???
ああ、そういえばデフォルトでふしあなだったな。orz
久々の書き込みだから忘れてた。
631不明なデバイスさん:2009/03/07(土) 18:54:49 ID:???
>>629
あなた理解力あるな。

192.168.8.0/24 → pass
   : 省略
192.168.15.0/24 → pass
192.168.24.0/24 → pass
   : 省略
192.168.31.0/24 → pass

てのを32行
書けば良いんじゃないの
簡単じゃないの?


関係ないけど、10進数表記ははあれじゃない?
昔昔のSの時代、PC以外で設定する時、数字以外の液晶搭載がめんどくさかったからじゃ特にドットでBとかは8になったり
てかそんな時代にLAN対応プリンターとか無かったか・・・・
632anonymous:2009/03/07(土) 19:34:41 ID:???
使ったこと無いが「192.168.8.0/255.255.8.0」って書式が使えるみたいだけど
633[email protected]:2009/03/07(土) 20:13:45 ID:Ww/gZ7qu
RT107e同士でのインターネットVPNが、ISPには繋がってるのに、どうしてもVPN自体が
繋がらないので、しょうがなくIPSECの設定をいったん全て外して一つ一つ検証したら
認証キーでした。
ユーザーの会社名を16進数にしただけ、アルファベットと数値だけで文字数も16文字
程度なのにこれが原因で、試しに「password」と設定したら一発で繋がりました。
こんなこともあるんですねえ。
偶発的な現象だとは思うんですけど、こんな現象聞いたことありますでしょうか?
634anony:2009/03/08(日) 00:41:44 ID:???
RTX1200今日届いて設定してたんだけどわかってはいたけど難しいですね。。。
ネット接続するのに3時間もかかっちまったorz
たった一行いらんもん乗せちまったばっかりにぃぃぃ
目指せ二週間以内に鯖公開!!でもフレッツスク接続の方が難しそう。まぁ使わなきゃいいか。
ROMりながら勉強させていただきます
635RTX1200:2009/03/08(日) 01:21:22 ID:???
もうip routeをゴリゴリ書くよりRIPを吐かせれば済むことに気付いた今日この頃。

だがしかし、マニュアルを読むとrip use onにした際にデフォルトで
1.lanインターフェイスにはripを吐く
2.ppインターフェイスにはripを吐く
3.tunnelインターフェイスにはripを吐かない
となってる模様。

1は当然として、2と3の理由が分からない。
「ppに吐いちゃダメだろ」と「tunnelこそ吐けよ」と思うんですが、なんでなんですかね?
636anony kevin:2009/03/08(日) 01:22:42 ID:???
624です。>>629 さんがおっしゃるとおりです。ネットマスクとは違います。
実は、私のところでは、
192.168以外の、下から8、7,6,5ビットには、そのアドレスを持つ端末に関する特別な意味を持たせています。

たとえば、下から8ビット目がオンの場合( 192.168.xxxxxxxx.1xxxxxxx )
他ネットワークからアクセス自由なオープンな端末のアドレスを意味させています。
ちなみに、.0xxxxxx の場合は、他ネットワークからアクセス不可能な端末のアドレスを意味させます。

装置種別、グループ化をアドレスのビットを使って表現するわけです。
ネットワーク(マスク)は上から24ビット内で指定を済ませる約束にしています。
このようにすれば、QOS設定、フィルタリングや、ルーティングが単純になると考えたからです。

詳細を言うと、
もし、そのオープンな端末のアドレスである、.1xxxxxxxのうち、.1x0xxxxxのアドレスを持つ端末は、
そのパケットを優先させる必要があるものだと意味づけています。これは、voip端末などが当たります。

また一方で、.1x1xxxxxのアドレスを持つ端末は、パケット転送が滞っても構わないプリンターに当てています。


ネットワーク設計をする時点で、これらの約束事を全て決めていました。
しかし、ルーターのパケット定義で、こういうビットマスク的なフィルタの仕方がわからないわけです。
できれば、スマートに指定したいです。
まさに、フィルタ定義でアドレス指定項目にて、192.168.xxxxxxxx.1x1xxxxxのような記述ができたらいいのですけど。
やっぱり、ないですか。
637anonymousで:2009/03/08(日) 05:27:44 ID:???
このスレッドでも度々専門の業者に任せろという話題が出ますが
専門の業者に設定・保守を頼むと相場はどのくらいなのでしょうか。

例えば、RTX1100を
・足回りはPPPoEインターネットで接続(固定IPアドレス8個)
・必要最低限のセキュリティフィルタを適用
・拠点間VPN(IPSec)のセンターとして設定(拠点全て固定IPアドレス)
といった構成で設定・保守をお願いした場合
設定:30,000-
保守:10,000-/月
という額(便宜上センターのみ)は妥当なものなんでしょうか?
見積もり結果がそこそこ適正な価格なのか知りたいので、ご意見や
うちなら大体この位で見積もるだろうとか、アバウトでも構いませんので
お聞かせ下さい。
638637:2009/03/08(日) 05:31:30 ID:???
忘れていましたが、RTX1100自体はレンタル(保守料金に含める)
ではなく、別途購入するという前提です。
639anonymous:2009/03/08(日) 06:32:25 ID:???
"必要最低限"ってのが要件アバウト過ぎ。ちゃんとどのポート閉じればいいかとか、何の通信が必要なのかとか、出してくれるのかな?
センターのみの設定でVPNの対向と責任範囲が異なるのが業者としては面倒。
プロバイダはどっかのマイナーなとこではなく大手?
検収後の技術的な問い合わせは別料金って事でOK?

という事で俺なら設定は10万〜20万ぐらいかなぁ。

ちなみにRTX1100は別途購入って、設定頼む業者以外から買うって事?
それだと保守移管が面倒そう。
640a:2009/03/08(日) 08:43:16 ID:???
>>637
設定は安い。
保守は体系による。
641不明なデバイスさん:2009/03/08(日) 10:07:06 ID:???
>>637
セットにしたら良いよ。
大手の回線業者なら、回線、ルーター納品、設定、保守、全部セットのがあるよ。
セットだから回線が切れたのかルーターが壊れたのかすぐ判断してくれる筈だし、色々楽だよ
642不明なデバイスさん:2009/03/08(日) 10:54:06 ID:???
ppって、ダイヤルアップお忘れで無いですか? どうせPPPoEはフレッツの機器だから受信できるわけがなく有効でもトラブルは無いと思われ。

tunnelは知らないな、というかVPNとかtunnelとかにRIP流すと小規模でもフレッツと同じ障害の原因になるのかもよ(適当に言っていますが)

懐かしい障害
ttp://www.atmarkit.co.jp/news/200705/16/ntt.html
東日本に居た、プロバイダーに関する仕事とかしている人の大半は、原因が発表されるまで家に帰れなっか恐ろしい日でした。
643とおりすがりの名無しさん:2009/03/08(日) 11:14:19 ID:???
>>642
> どうせPPPoEはフレッツの機器だから受信できるわけがなく
PPPoEはフレッツ以外でも使われていますよ
644不明なデバイスさん:2009/03/08(日) 12:11:57 ID:???
アンカー忘れ
>>642>>635

私の間違い探しする前に、質問者にレスしてあげなよ、そっちの方が親切だよ。
645sage:2009/03/08(日) 16:23:46 ID:???
RTでGREトンネル(≠PPTP)は使える?

CiscoではIPIPトンネルがサポートされないので
RT側で仕様を合わせたいんだけど。
646不明なデバイスさん:2009/03/08(日) 19:30:12 ID:???
>RT側で仕様を合
より先に質問を合わせようよ

IPsecnの質問?IPIPトンネルの質問?どっちねん

それから(≠PPTP)とかIPsecの事かと思うが判りにくいぞ
647anonymous:2009/03/08(日) 19:49:05 ID:???
>>646
読解力のないアホは無理して口出さなくていいよ
648645:2009/03/08(日) 20:00:39 ID:???
>>646
PPTPがPPP+GRE+RC4暗号化を組み合わせた
トンネリングプロトコルだということはわかるよね?

PPPとRC4暗号化を省いた純粋なGREトンネリングが
RTで可能かというのが質問

ちなみにIPsecとPPTPは全く別物なわけだが
勝手に誤認して混同されても困るわ
649anonymous:2009/03/08(日) 20:35:37 ID:???
>>645
RTでGREトンネルは使えないよ。
PPTPでGREの実装はあるはずなのに使えないのは微妙だけど、
IPルーターだから大人しくIPIPトンネル使えということかな。

逆にCiscoはマルチプロトコルをサポートする宿命があるからか、
GREが標準のトンネリングプロトコルになってるね。
CiscoもトンネルEncapsulationでIPIPトンネルも選べる。
RTの相互接続性については試したことないからわからないけど。

>>646
無知白痴文盲はスレのジャマ
650anonymous:2009/03/08(日) 22:06:45 ID:???
>>645
YAMAHAとCiscoの相互接続した実績ならある。
なぜかunnumberedだと疎通できなくて、
トンネルにアドレスをふる必要があったけど。
651a:2009/03/08(日) 22:13:02 ID:???
使えるという記述をどっかで見た覚えがあるんだけど、検索し直しても見つからん。
652650:2009/03/08(日) 22:56:58 ID:???
>>650はIPIPトンネルの話ね。
IPIPトンネルはキープアライブが使えないのがちょっとね。

ダイナミックルーティング使うなら特に気にならないけど、
エントリーVPN+スタティックルーティングの構成だと
どっかの拠点が通信できなくなった場合の切り分けが面倒。

こういう場合Cisco機器同士ならGREを使っちゃう。
RTとの接続ならIPSECのAHだけ使ってIKEキープアライブで代用するとか。

653anonymous:2009/03/08(日) 23:13:20 ID:???
yamahaでもkeepalive的なことできるよ。
相手先指定してping打ち続ける感じのコマンドで、駄目だったらINSで発呼とか。
一度組んだことがある。
654?:2009/03/09(月) 07:09:47 ID:???
>>637
設定30000はいいね。
保守月一万ってナンダ?どういう要求をしたんだ?金かけすぎだろ。
655635:2009/03/09(月) 08:11:00 ID:???
>>642
返答どうもです。

つまり
・pp側に吐いても問題になる可能性は少ないのでdefaultで吐く。
・tunnelに吐くと障害の可能性が出るのでdefaultで吐かない。
ってことですね。納得です。
656anonymous:2009/03/09(月) 10:20:23 ID:???
>>637
適正かどうかは最終的には会社のコスト計算によるものでしょう。
それが自社で出来ないようならコンサルを呼ぶのが普通です。
無知を理由にして、人に丸投げするならコストがかかります。
ここは、それを安くあげる為のスレッドではありません。
657anony:2009/03/09(月) 12:00:31 ID:???
あふぉか
だったらこのスレどころかほとんどの掲示板いらねぇわ
658あの:2009/03/09(月) 13:09:17 ID:???
>>656
「安く上げたいから設定教えて」なんて一言も書かれていないが?
659[email protected]:2009/03/09(月) 17:51:21 ID:LHaEHBiQ
ヤマハ RTX1200 適切だと思います。
http://www.ecj.jp/U1301.doit?goods=403955
660a:2009/03/10(火) 02:09:30 ID:???
助け合いじゃないのか
気分が乗らなければ、スルーしていたらいい。
いちいち書き方、表現の微妙なところにとらわれて、本質を見失うなよ

文字を相手にしているのか、生身の人間を相手にしているのか、
掲示板ばかり見続けていると、それさえわからなくなってしまうのかぁ?

相手は、人間なのだよ。



661anonymous:2009/03/10(火) 02:19:32 ID:???
無駄な改行てんこ盛りで何言ってんだこの馬鹿は
662anonymous:2009/03/11(水) 01:34:06 ID:PL/EVwtv
>>660
ここが2ちゃんだってことを忘れているんだな
663anonymous:2009/03/11(水) 07:42:54 ID:???
便所の落書きに助け合いを求める奴w
664anony kevin:2009/03/11(水) 11:38:30 ID:???
>>636です。

>>632 さん、ありがとう。

こんな書式「192.168.8.0/255.255.8.0」、本当に使えるんですか?と質問していながら、驚いている。
ウインドウズだったら、「ビットが連続していない」と文句を言うような指定だ。

これは、11111111.11111111.00000100.00000000というマスクができるということですよね。
じゃあ、00000000.00000000.00000000.10100000もできると考えられるなあ。

いっかいやってみます。

ところで、マスクをビットで記述、たしかできたような・・・


665anonymous:2009/03/12(木) 01:39:29 ID:???
>>645

google先生で"yamaha cisco ipip"でそのものズバりが出てきたぞ。
ちゃんと検索汁。→ ttp://anotherkid.exblog.jp/2876056/

しかし丁寧な情報だな。スループットが気になるんだが
666anonymous:2009/03/12(木) 02:37:02 ID:???
ppp lcp mru on に関してですが、これってどっちが正解ですか?1454?1438?
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-PREMIUM/connect0.html
ttp://projectphone.typepad.jp/blog/2008/03/2-pppoe-509f.html
667あのー:2009/03/12(木) 02:39:52 ID:???
>>666
ブログの方のコメント見れば分かるかと
668anonymous:2009/03/12(木) 02:53:03 ID:???
>>667
上のリンクの更新日が最終変更日2008/Nov/07だったので、
PPPoEの時みたいに、何か光プレミアムのCTU等に仕様変更があったのかと思ったのですが、ないですよね。
669anonymous:2009/03/17(火) 16:30:52 ID:qllyTUhk
現在57i、Bフレッツ・ファミリー100、ASAHInetでYAMAHAのDDNSを使ってPPTP接続をしています。
2拠点で同じ構成です。

それをRTX1200と58iでフレッツグループでipip接続をしようかと思います。
(既存の57iは故障の時のために予備として置いておくつもりです)

スループットは一般的にどれくらい違うもんでしょうか?

670不明なデバイスさん:2009/03/17(火) 20:06:30 ID:???
>>669
お答えできぬね。
フレッツグループアクセスの速度に依存する。
フレッツグループアクセスはどういうだけだか地域によって結構速度が違う。

違う板でフレッツグループアクセスの速度はどれぐらいかと聞いた方が良いのかも。
671anonymous:2009/03/17(火) 20:38:47 ID:???
>>669
スループットって転送速度の事かな。
落ちることは無いとは思うが上がる期待はしない方が良い。
速度気にするなら58iも捨ててIPsecで繋げ。
672anonymous:2009/03/17(火) 21:22:32 ID:???
ん?pptpじゃなくて、ipipでつなぐみたいだが。
ipipだとファストパスで処理されるので、
スループットは670氏の言うとおり、フレッツグループアクセスの
速度に依存する。

プロバイダを通らないと言うだけでも、まあ、今よりも速くなるとは思う。
673anonymous:2009/03/17(火) 21:41:01 ID:???
>>669
Bフレッツ・ファミリー100を光プレミアムにしてIPv4 over IPv6してもいいかもしれないですね。
フレッツ・グループの料金が掛からないのと、伝送遅延が結構小さくなります。

うちは2拠点でIPv4 over IPv6やってます。
これが、光ネクストになると出来なくなるので・・・困ってます。
674ipsec on rtx:2009/03/18(水) 00:32:48 ID:???
同一プロバイダで、インターネットvpnはどう?
10Mbpsはでているよ。

675669:2009/03/18(水) 12:35:48 ID:???
>>670-674
ありがとうございます。

単にファイルサーバを見ているだけですが、
レスポンスが遅くなったら文句言われるなぁ…
と危惧しているだけです。

フレッツグループは閉域網だから
インターネットに出るよりは速いよな?
って単純に思っていますが
どうなのかな?って思って聞きました。

どこかで
ipipよりIPsecの方が速いと聞いたこともありますが
どうなんでしょうね?
676ipsec on rtx1100:2009/03/18(水) 13:21:44 ID:???
>ファイルサーバ

cifs(smb)ですか?
もしそうなら、round trip timesが短いほうがいいですよ。
10mSecまでなら、そこそこ早いです。
61KByteか何か、パケット当りの大きさが小さいため、tcpでは何度も往復しなければならないので、
その時間が短い方がいいのです。

さもなければ帯域を十分に活用できず遅くなります。

インターネットVPNでも、同一プロバイダなら、ルーターなどの環境にも拠りますがうちは、3mSecです。
でも、フレッツの光プレミアムなどは、ctuという装置が必要なことが関係しているのか、20mSecほど滞らせています。
純粋な、Bフレッツにはそういう遅延はなかったです。


677[email protected]:2009/03/18(水) 15:25:15 ID:???
1200なんだけどNATのエントリー数が全端末電源OFFでも上昇し続けるって
やっぱふつうじゃないよね。
678anonymous:2009/03/18(水) 15:42:56 ID:???
>>677
show nat descriptor address で何が有るのか見たの?
679an:2009/03/18(水) 16:15:37 ID:???
>>677
そのNAT数をTELNETに見て行ってる端末が、なんか拾ってるじゃねぇか?
680an:2009/03/18(水) 16:17:33 ID:???
それか、発信元がプライベートに偽装したパケットが外からやってきてるとか

IP8とか使ってるなら、外には存在しないはずの、自ネットワークアドレスに発信元を偽装したパケットも飛んでくるから
フィルターしないといけないぞ
681名無しさん:2009/03/18(水) 18:30:08 ID:???
RT57iを使って、Windows2003ServerのPPTPサーバとトンネル接続ってできますか?
682[email protected]:2009/03/19(木) 00:17:27 ID:???
pp select 1
pp always-on on
pppoe use lan2

ip pp nat descriptor 1 90 100

nat descriptor type 1 masquerade
nat descriptor address outer 1 xxx.x.xx.26
nat descriptor address inner 1 192.168.10.10
nat descriptor masquerade static 1 1 192.168.10.10 tcp https,8022=22

nat descriptor type 90 masquerade
nat descriptor address outer 90 xxx.x.xx.30
nat descriptor address inner 90 192.168.10.10
nat descriptor masquerade static 90 1 192.168.10.10 tcp https=8443

nat descriptor type 100 masquerade
nat descriptor address outer 100 xxx.x.xx.25

こう書くと90番の定義が効かないのです。
内側のアドレス(192.168.10.10)がかぶるとだめなようです。
他に書き方あるんでしょうか?
683an:2009/03/19(木) 07:32:09 ID:???
192.168.10.10 のマシンにIPアドレスを追加する
684不明なデバイスさん:2009/03/19(木) 09:12:05 ID:???
>>682
おそらく戻りパケットがどっちに送っていいか判別できずに居るんじゃないかな
そういう時は別サーバーに思わせる為に>>683氏の言っているように、
サーバーに192.168.10.10と192.168.10.11を振ってあげるのが無難だと思うが


というかグローバル複数にサーバー1台か、グローバルがもったいないきがするけど・・・・
685anonymous:2009/03/19(木) 09:16:34 ID:???
なにをしたいのか先に書こうね。

xxx.x.xx.26 から入ってきたのを192.168.10.10 へNAT
xxx.x.xx.30 から入ってきたのも192.168.10.10 へNAT

なら出るときはどっちに出したらよいかわかんらんだろ。
やりたい事がわかんないからはっきりは言えないが基本設計が間違っているかも。
686682:2009/03/19(木) 10:06:17 ID:???
レスありがとうございます。
xxx.x.xx.26:443 から入ってきたのを192.168.10.10:443 へポートフォワード
xxx.x.xx.30:443 から入ってきたのも192.168.10.10:8443 へポートフォワード
として一台のサーバでSSLの証明書を使い分けしたいのです。
アライドのルータではできたのでこちらでもできるかなと。
できなければ仮想NICにしてみます。
687anonymous:2009/03/19(木) 10:45:41 ID:???
filter使えばできるんじゃないか
試したこと無いけど
688[email protected]:2009/03/19(木) 11:55:43 ID:???
9002ポートを開放したくて、
nat descriptor masquerade static 1 1 192.168.0.2 tcp 9002
さらに、IN側フィルタに
ip filter 50000 reject * *
ip filter 9002 pass * 192.168.0.2 tcp * 9002
を加えたのだが、開放されません。
色々事例集とかみましたが、たぶんあってるはずだと思うのですが、
何かまちがってますでしょうか?
689あのにん:2009/03/19(木) 20:33:15 ID:???
それだけの情報じゃわからないな。
コンフィグをさらすべし。
690rtx:2009/03/19(木) 23:37:33 ID:???
>>688
50000,9002のフィルタ定義はわかったけど、
そのppへの設定、あるいはその順序がまちがっているのでは。

また、考えられるのは、今、増すカレー度番号1になってるけど、
番号1の増すカレー度は存在しているのかな?
つまり、
ア、nat descriptor type 1 masquerade
イ、nat descriptor masquerade static 1 1 192.168.0.2 tcp 9002

イはあるけど、アはあるのかな?



691rtx:2009/03/19(木) 23:40:23 ID:???
言い忘れた。

pp select 10
<略>
ip pp nat descriptor 1
pp enable 10

もppインターフェイスに定義されてますか?

692不明なデバイスさん:2009/03/20(金) 16:38:51 ID:???
>>688
logでNoticeとinfoを有効にして眺めていれば大抵の事はわかる。
693688:2009/03/21(土) 02:52:21 ID:???
どうもです。
ip filter 50000 reject * *
の定義をはずすと、ポート開放できてるみたいです。
でも何だか大穴が開いてるんじゃないかと怖いので、
ちょっと設定さらします。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.0.1/24
pp select 1
 pp always-on on
 pppoe use lan2
 pp auth accept pap chap
 pp auth myname ID PASS
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp mtu 1454
 ip pp secure filter in 1001 1002 1003 1004 5001 5003 9002
 ip pp secure filter out 1005 1006 1007 1008 2001 2002 2003 2004 2005 2006 2007 3001 3002 80000 dynamic 100 101 102 103 104 105106 107
 ip pp intrusion detection in on
 ip pp nat descriptor 1
 pp enable 1
694688:2009/03/21(土) 02:53:30 ID:???
ip filter 1001 reject 10.0.0.0/8 * * * *
ip filter 1002 reject 172.16.0.0/12 * * * *
ip filter 1003 reject 192.168.0.0/16 * * * *
ip filter 1004 reject 192.168.0.0/24 * * * *
ip filter 1005 reject * 10.0.0.0/8 * * *
ip filter 1006 reject * 172.16.0.0/12 * * *
ip filter 1007 reject * 192.168.0.0/16 * * *
ip filter 1008 reject * 192.168.0.0/24 * * *
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip filter 2001 reject * * udp,tcp 135 *
ip filter 2002 reject * * udp,tcp * 135
ip filter 2003 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 2004 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 2005 reject * * udp,tcp 445 *
ip filter 2006 reject * * udp,tcp * 445
ip filter 2007 reject * * tcp * 2049
ip filter 3000 pass * *
ip filter 3001 restrict * * tcpfin * www,21,nntp
ip filter 3002 restrict * * tcprst * www,21,nntp
ip filter 5001 pass * 192.168.0.0/24 icmp * *
ip filter 5002 pass * 192.168.0.0/24 established * *
ip filter 5003 pass * 192.168.0.0/24 tcp * ident
ip filter 9002 pass * 192.168.0.2 tcp * 9003
695688:2009/03/21(土) 02:58:28 ID:???
ip filter 50000 reject * *
ip filter 80000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.0.1-192.168.0.100
nat descriptor masquerade static 1 1 192.168.0.2 tcp 9002
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.100/24
dns srcport 10000-19999
dns server select 1 pp 1 any . restrict pp 1
dns private address spoof on

***************************
※訂正ip filter 9002 pass * 192.168.0.2 tcp * 9002
ip pp secure filter in で、50000の定義を外すと繋がるのですが、
ip filter 50000 reject * *がなくても大丈夫なものしょうか?
696[email protected]:2009/03/21(土) 09:14:29 ID:???
ip filter 9002 pass * 192.168.0.2 tcp * 9003←<?>
nat descriptor masquerade static 1 1 192.168.0.2 tcp 9002←<?>

食い違ってる?

697anonymous:2009/03/21(土) 17:41:26 ID:???
リモートアクセスVPN(PPTP)にてRTX1200への接続には成功するのですがローカルアドレスlan1へのping、ファイル共有、リモートデスクトップが出来ません。
CATVにて非固定IPでの接続です。

ログにはPP[ANONYMOUS01] PPP/IPCP up (Local: 192.168.0.1, Remote:192.168.1.1)
となりpptp接続は成功します。pptp接続したPCにてインターネットをするとちゃんとpptp接続先のグローバルIPにてブラウジングが可能です。

しかしping 192.168.0.2を行うも到達出来ず、ファイル共有、リモートデスクトップも同様に出来ません。

どのような設定が悪いのでしょうか?
どうぞよろしくお願い致します。

以下configです。

ip route default gateway dhcp lan2
ip lan1 address 192.168.0.1/24
ip lan1 proxyarp on
ip lan2 address dhcp
ip lan2 intrusion detection in on
ip lan2 intrusion detection in ip on reject=on
ip lan2 intrusion detection in ip-option on reject=on
ip lan2 intrusion detection in fragment on reject=on
ip lan2 intrusion detection in icmp on reject=on
ip lan2 intrusion detection in udp on reject=on
ip lan2 intrusion detection in tcp on reject=on
ip lan2 intrusion detection in default off
ip lan2 intrusion detection out on
ip lan2 intrusion detection out ftp on reject=on
ip lan2 intrusion detection out default off
ip lan2 nat descriptor 1
netvolante-dns hostname host lan2 server=1 ***.***.netvolante.jp
pp select anonymous
pp bind tunnel1-tunnel2
698697:2009/03/21(土) 17:41:56 ID:???
pp auth request mschap-v2
pp auth username *** ***
pp auth username *** ***
pp auth multi connect prohibit on
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.1.1-192.168.1.2
ip pp mtu 1280
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time 900
tunnel enable 1
tunnel select 2
tunnel encapsulation pptp
pptp tunnel disconnect time 900
tunnel enable 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
nat descriptor masquerade static 1 1000 192.168.0.1 tcp 1723
nat descriptor masquerade static 1 1001 192.168.0.1 gre
syslog notice on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.0.254/24
dns server dhcp lan2
pptp service on
upnp use on
699anonymous:2009/03/21(土) 19:08:12 ID:???
ip pp remote address pool 192.168.1.1-192.168.1.2

ip pp remote address pool 192.168.0.100-192.168.0.102
では
700名無しさん:2009/03/21(土) 20:30:02 ID:???
>>697
VPN接続状態で、VPNクライアントPCのコマンドから
netstat -r
の結果が知りたいな。
701697:2009/03/21(土) 20:55:43 ID:???
>>699
やってみましたが結果は同じでした。

>>700
netstat -rをp pp remote address poo 192.168.1.1の時と192.168.0.100の時にて行いました。
どうぞよろしくお願い致します。

192.168.1.1の時
Active Routes:
Network Destination  Netmask     Gateway     Interface     Metric
  0.0.0.0         0.0.0.0       192.168.0.1    192.168.0.103   41
  0.0.0.0         0.0.0.0       192.168.1.1    192.168.1.1     1
  116.65.199.127    255.255.255.255 192.168.0.1    192.168.0.103   40
  127.0.0.0        255.0.0.0      127.0.0.1     127.0.0.1       1
  192.168.0.0      255.255.255.0   192.168.0.103  192.168.0.103   40
  192.168.0.103     255.255.255.255  127.0.0.1     127.0.0.1      40
  192.168.0.255     255.255.255.255  192.168.0.103  192.168.0.103   40
  192.168.1.1      255.255.255.255  127.0.0.1     127.0.0.1      50
  192.168.1.255     255.255.255.255  192.168.1.1    192.168.1.1     50
  224.0.0.0        240.0.0.0      192.168.0.103  192.168.0.103   40
  224.0.0.0        240.0.0.0      192.168.1.1    192.168.1.1     1
  255.255.255.255   255.255.255.255  192.168.0.103  192.168.0.103    1
  255.255.255.255   255.255.255.255  192.168.1.1    192.168.1.1     1
  255.255.255.255   255.255.255.255  192.168.1.1      2         1
Default Gateway:192.168.1.1
702697:2009/03/21(土) 20:56:24 ID:???
192.168.0.100の時
Active Routes:
Network Destination Netmask Gateway Interface Metric
Network Destination Netmask      Gateway      Interface     Metric
 0.0.0.0         0.0.0.0        192.168.0.1     192.168.0.103    40
 127.0.0.0        255.0.0.0      127.0.0.1      127.0.0.1        1
 192.168.0.0      255.255.255.0   192.168.0.103   192.168.0.103     40
 192.168.0.103     255.255.255.255  127.0.0.1      127.0.0.1        40
 192.168.0.255     255.255.255.255  192.168.0.103   192.168.0.103     40
 224.0.0.0        240.0.0.0      192.168.0.103   192.168.0.103    40
 255.255.255.255   255.255.255.255  192.168.0.103     2          1
 255.255.255.255   255.255.255.255  192.168.0.103   192.168.0.103     1
Default Gateway:192.168.0.1
Persistent Routes:
703名無しさん:2009/03/21(土) 21:06:36 ID:???
やっぱり、
192.168.0.0 255.255.255.0 192.168.0.103
ってなってるでしょ
これが原因です。


VPNクライントのPCが192.168.0.103/24のIPアドレスで動いてるでしょ
192.168.0.1はトンネルの先じゃなくて、自分のLAN上にARPを送って
解決しようとしてしまいます。

なので、VPNクライントPCのセグメントを192.168.0.0(192.168.1.0)以外にすればいいと思うよ。
704名無しさん:2009/03/21(土) 21:12:17 ID:???
追伸、これでだめなら、PC側のルータもいじらないとだめかもね。
705697:2009/03/21(土) 21:24:44 ID:???
>>703
ご指摘の通りでした。
192.168.0.*を使う物が沢山あったのでルーター側を0から10にしました。
ずばりの速攻解決をして頂きましてありがとうございました。
実は初めてコマンド型のルーターを導入しまして四苦八苦状態でした。
どうしてもVPNが出来ず、何日か過ぎてもうなすすべ無くなりここへ書き込みました。
本当に助かりました。どうもありがとうございました。
706不明なデバイスさん:2009/03/22(日) 10:44:39 ID:???
>>705

解決オメデトウ。

しかし、VPN先とVPN元が同一セグメントの場合でもクライアント(XPとか)でroute書けば通信を行えますよ。
YAMAHAデフォルト192.168.100.1/24が沢山あるので、VPN接続後route書いてメンテを行っている。
まあ初めからセグメントを変えるのがスマートなんですけどね。
707anonymous:2009/03/22(日) 23:54:28 ID:???
横からすみませんが、Twice NAT機能ってこういうときに使うものではないのですか?
セグメントをずらせることが出来れば一番いいのでしょうけれど。
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html
708名無しさん:2009/03/23(月) 00:29:28 ID:???
同じIPアドレス帯のネットワーク同士をつなぐ時に使うんじゃなかったっけ?
ネットワーク統合とかの過渡期によく見られるやつだよね。
互いのネットワークをいったりきたりする必要がある場合。
709anonymous:2009/03/23(月) 01:16:03 ID:???
>>707
そんな機能追加されてたのか…
RTX1000でも使えたらいいのに
710anonymous:2009/03/24(火) 01:36:53 ID:???
「デフォルトのゲートウェイは pp 1だが、www.yahoo.co.jpに対してだけpp 2を使う」
ようなルーティングの設定はどうやればよいのでしょうか?

IPアドレスを調べて、
ip filter 1 pass * IPアドレスその1 * * *
ip filter 2 pass * IPアドレスその2 * * *
...

ip route default gateway pp 2 filter 1 2... gateway pp1

的なことをしないといけないのでしょうか?
IPアドレスが頻繁に変わるサイトだと、管理が大変なのですが、
なにか上記に代わる良い方法を御存知ありませんか?
711711:2009/03/24(火) 01:46:59 ID:???
あ、こっちでいいのかな?
ip route IPアドレスその1 gateway pp 2
ip route IPアドレスその2 gateway pp 2
...
ip route default gateway pp 1

それでもIPが変わるとちょっと大変なのですが、いい方法ありませんか?
712RT:2009/03/24(火) 07:19:53 ID:???
ルータからping www.yahoo.co.jpとかで、名前解決できる前提として

ip filter 1 pass * www.yahoo.co.jp * * *

ip route default gateway pp 1 gateway pp2 filter 1

でいけるんじゃね。

http://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
713ロビン:2009/03/24(火) 09:20:51 ID:???
>>712
そういう指定ができても、
そのヤフーが、DNSラウンドロビンしていたら、
ルーターがその時に解決したアドレスと、実際にアクセスされたアドレスとが合わないから駄目だろう

714ロビン:2009/03/24(火) 09:30:05 ID:???
ヤフーの変動するアドレスを軸に考えるのではなく、
別の確かな要素をを軸にしないといけないのでは?

たとえば、ヤフー宛にはパソコン側で、どこかのプロキシを経由させる設定をして、
ルーター側では、その特定のプロキシのIP宛てパケットを、フィルタ指定でゲートウェイスイッチするとか。

でももし、パソコンの台数が多ければ大変になろうなあ・・・


url filterをなんか応用できないだろうかな。

715[email protected]:2009/03/24(火) 20:48:12 ID:iY9njd0g
わかる方いましたら教えてください。
PHPにて3キャリア携帯+PC用のサイトを作成し、動作確認を行っているのですが
PC、ソフトバンクは正常に動作し、docomo、auでは502または504エラーとなってしまいます。
PHPの設定が悪いと思いましたが、スタティックなコンテンツでも同様のエラーが発生するので
PHPでは無いと思います。
次にwebサーバの問題かと思いログで確認しましたが、リクエスト、レスポンスともに正常に
行われているようでした。
そこでルータの問題ではないかと思いましたが、同様の現象を解決された方はいませんでしょうか?
(名前解決が異常に遅いのが気になっています。)

環境
OS:suse linux 11
webサーバ:apache 2
php:5.2.6
ルータ:YAMAHA RTX1200

当方バッファローの5000円ルータの設定は行ったことがあるのですが業務用ルータは初めてでしたので
設定に3日掛けた初心者です。よろしくお願いします。
716[email protected]:2009/03/24(火) 22:29:55 ID:???
そんなんでどうしろと?
金出して業者に頼め








ハゲ
717ロビン:2009/03/25(水) 02:03:43 ID:???
>>710-714
調べたことはないんだが、ヤフーがつかっている全てのIPアドレスが、
ネットワークごと、つまりネットマスクを使って定義できればいいんだがね。
連番だろうか、バラだろうか。

そうすれば、静的フィルタをもちいて、フィルタ型のゲートウェイを作れるね。

718RTX:2009/03/25(水) 02:06:11 ID:???
>>ルータの問題ではないかと思いましたが

RTX1200はアプリケーション層にはほとんどノータッチ!
通信できれば、RTX1200は悪くないのでは?と思う。

719RT:2009/03/25(水) 08:01:24 ID:???
>>715
切り分けの相談したいならコンフィグくらい貼ってね。
720anonymous:2009/03/25(水) 08:32:24 ID:dZJ2D7y1
502とか504とかレスポンスが返ってるなら鯖の問題だろw
721715:2009/03/25(水) 12:00:24 ID:???
名前解決の問題は解決しました。
さらに調べてみましたが、どうやらproxy経由のアクセスがどこかで拒否されているようです。
ルータにproxy経由の場合拒否する設定などあるのでしょうか?
みなさんの言うようにapacheの問題のような気がしてきましたのでそちらを調べてみます。
ありがとうございました。
722anonymous:2009/03/25(水) 13:04:19 ID:???
>>710
大きなサイトはサブドメインが沢山在るのでFQDN(www.yahoo.co.jp)だけ考えても意味が無くないですか?
○○○.yahoo.co.jp全てのIPをリスト化するのは大変でさらにYAHOOの場合正引きも変化するしIPでは無理じゃないかと。

url filter でドメイン(yahoo.co.jp)指定が現実的じゃないだろうか?
723anonymous:2009/03/25(水) 19:51:43 ID:???
>>722
別スレでやれ
724[email protected]:2009/03/25(水) 21:22:47 ID:Mt3WVS/1
RT107eを利用し、現状2.の構成で遅延が20ms程度あります。これを改善したいのですが、
3.のBフレ(東京)-Bフレ(関西)で通信されている方は如何でしょうか?

■現状
1. Bフレ(東京) --- Bフレ(東京) --> 遅延5ms
2. Bフレ(東京) --- 光プレミアム(関西:CTUあり) --> 遅延20ms

■希望
3. Bフレ(東京) --- Bフレ(関西:CTUなし) --> 遅延1桁希望
725WAN:2009/03/25(水) 22:08:54 ID:???
>>724
キャリア(BフレッツならNTT)に相談すべし

参考資料
ttp://www.kaztan.com/network/archives/2007/10/15-112118.php
726anonymous:2009/03/25(水) 22:24:52 ID:???
キャリアに相談してもどうにもならんと思う。自分でプロトコル作れば?としか。
用途がわからんけどWANアクセラレータでも入れれば?
727anonymous:2009/03/25(水) 22:53:23 ID:???
Bフレの今の設備では無理
ATMか広域イーサでも使えば可能かも
月額数百万〜億くらいかかるけど。
728anonymous:2009/03/25(水) 23:08:46 ID:???
YAMAHA ルータ自体は何にも関係ないことだらけ。
729rtx1100:2009/03/25(水) 23:46:48 ID:???
>>723

意味がわからん・・・
url filter って、rtx1100にも搭載されているよ。


ところで、url filterって、静的フィルタと違って、
ゲートウェイのフィルタ型経路で指定できるのか?

730rtx1100:2009/03/25(水) 23:51:37 ID:???
>>724
Bフレ(東京)-Bフレ(関西)で通信されている方

pppoeで、同一プロバイダ経由?
それとも、何ですか。

私は、質問には答えられませんが、
関西で、Bフレッツファミリー100同士、
同一某プロバイダにおいてipsecで接続していますが、
5msec以下でつながっています。

県外は知りません。

731sage:2009/03/26(木) 01:42:01 ID:???
>>727
高ければ良いと思ってる単純バカ
現実は↓
遅延小 Bフレ≒広域イーサ<<<<<<ATM 大

>>724
東京−大阪間の距離だと直線距離400kmでも理論値が12msになる。
従って光より速い伝送手段を発見しない限り1桁は不可能。
実際は直線で光ケーブルが敷設されてるわけがないので20ms前後になる。
いろいろ広域イーササービスを使ってるけど、どこもこんなもの。

今よりレスポンスを改善したきゃWAN高速化装置を使うしかない。
732rtx50000:2009/03/26(木) 01:52:12 ID:???
>光より速い伝送手段

量子暗号というものがあって、これは不思議な話だが、
他者がその通信をのぞき見ると、世界が歪んで、
送信されたデーターが壊れてしまうらしい。

これを応用したら、何かできそうな感じ。
どうして覗き見ただけで、情報が歪むんだろうね。
ユング心理学を知っているなら知っていると思うけど、多分、
それは共時性という法則なんだろうな。

733アノニマス:2009/03/26(木) 08:23:57 ID:???
>>731
>東京−大阪間の距離だと直線距離400kmでも理論値が12msになる。
ここがよくわからんのだが。
ただ単に、光の速度のことだとすると、
400/30万≒0.00133  つまり1.3msec。
pingなどで往復だとしても、2.6msec。
もちろん、終端の機器の変換遅延もあるだろうけど、
それは距離に関係のないことだし
途中の機器の遅延は、台数が不明な限りは、
計算に入れようがないし。

ひょっとして、俺、ものすごい勘違いをしてる?
734rtx50000:2009/03/26(木) 08:36:58 ID:???
>>733

計算間違いを、>>731がしてしまったんだろう。ちょうど、一桁違うね。

735[email protected]:2009/03/26(木) 08:43:04 ID:???
つ光はファイバ線の中を直進しているわけではない
736[email protected]:2009/03/26(木) 08:48:51 ID:???
単一方向で遅延測定とかありえねーよ
遅延=RTTは当然往復が前提だろ
737[email protected]:2009/03/26(木) 08:54:17 ID:???
広域イーサとPPPoE変換付きを同じ速度って言ってみたり、釣りだろ?
738WAN:2009/03/26(木) 08:57:28 ID:???
光ファイバーを東京-大阪間をダイレクトで接続すれば
理論的には遅延1桁msecも可能ってわけだなw

で、
YAMAHA RT でなんとかできる課題なのかw
739anonymous:2009/03/26(木) 09:11:25 ID:???
1000base-LXでも5kmしか伝送できないので
ダイレクトで接続は不可能
途中機器の遅延も理論値という意味では
400/5=80で試算するんだろうな
740[email protected]:2009/03/26(木) 10:45:38 ID:???
岐阜→福岡 よりも 大阪→福岡 の方が ping値 が高い不思議。。
@フレッツグループ
741a:2009/03/26(木) 12:37:00 ID:???
742anony:2009/03/26(木) 14:38:52 ID:???
>>729
亀だが、filter を url でやるか ip でやるかを決めるならここじゃないって意味だろ。
どちらでも rtx1100 で出来るというのが、でこのスレの中では終着点だ。
743?:2009/03/26(木) 16:53:38 ID:???
MD5アルゴリズムの衝突による以下の脆弱性が存在することが分かりました。

ttp://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU836068.html
744711:2009/03/26(木) 18:06:46 ID:???
>>712
ip filter コマンドって、DNS名では指定できなくて、IPでしか無理ですよね?

>>713
確かにそうですね。
内部ネットワークの端末が直接DNSを引きに行くのを禁止して、
ルータのDNSキャッシュを利用するようにすればラウンドロビンの問題は大丈夫でしょうけど。

>>714
>>717
>>722
うーん。yahooは設定例としてあげてみたのですが、
IPは固定ではなく、不規則な場合ということで考えてます。
実際に使ってみたいものは、2chの巻き添え規制の一時的回避を別のプロバイダでやるとか、
DDNS相手の通信とか、他にもいろいろです。

あと、url filter も便利だとは思うのですが、
urlに応じて、pass rejectはできるみたいですが、別経路に飛ばすのもできるのですか?
そもそもSSL通信では使えないようですし。

結局、いい解決方法というものはないのでしょうか?
745myspace:2009/03/26(木) 18:48:37 ID:???
結局何がしたいの?通信先を「何」で特定したいの?
IP?そこから逆引きできるホスト名?HTTPリクエストホスト?
そこらへんをきちんと定義しろ、それはこのスレの役目じゃないっつってるのが、
>>742 とかの流れだと思うけど
746不明なデバイスさん:2009/03/26(木) 18:59:22 ID:???
>>744
2chの書込規制とかそういう程度ならIPで十分じゃね
747724:2009/03/26(木) 19:17:55 ID:fCl4JXEA
皆さん、ありがとうございます。

>YAMAHA RT でなんとかできる課題なのか

結局そこなんです。最大の原因はCTU?距離?その他?
これ以外にもありまして、こんな感じです↓

4. 広島(プレミアCTU付)--<5km>--広島(プレミアCTU付) --> 25ms
5. 三重(関電CTU無)--東京(BフレCTUなし) --> 25ms
748hoge ◆hLUFomM3rw :2009/03/26(木) 20:18:37 ID:???
>>733
それであってると思う。1.3倍ぐらいかな?石英の屈折率があってハワイ経由すると云々、って授業でやったなぁ・・・。
http://webdog.be/archives/06607_235000.php

>>747
遅延問題は悩んだ時期があって・・・。smbとかtcpで行ったり来たりする通信なんかはストレスフルですよね。

プロバイダは同じところでしょうか?違うところだと基本的にゲートウェイとか接点のルータで遅延がでかくなります。
一次プロバイダとか二次プロバイダとかききますが自分もそこまで詳しくありません。一次がいいらしいです。ぐぐってみてください。
引きたい拠点間のバックボーンしっかり持ってるところ同士でつなぐといいですよ。
異なるisp間であれば最悪東京追手町経由ってことも考えられます。広島->東京->広島っていう変な旅行はして欲しくないですね。
tracerouteしたとき名前を引けば、ルータにある程度地名がついてることが多いので楽しいかもしれません。
同じようなip、ホスト名でやたら遅延を稼ぐルータが挟まっているようなispは正直よろしくないことが多いです。ご確認ください。
同じisp、同一県内であれば地域ip網(東西で状況違うんでしょうか、いまもまだあるんでしょうか)だとLANパワー炸裂状態になったりします。

どうしても遅延が解消されない場合には上のレイヤで解決することも視野に入れましょう。
wanアクセラレータ、tcpアクセラレータは意外にも実績が長くなりつつあります。高いですが一度調べてみるといいかもしれません。
749744:2009/03/26(木) 20:33:20 ID:???
>>745
> 通信先を「何」で特定したいの?
> IP?そこから逆引きできるホスト名?HTTPリクエストホスト?
ホスト名です。さらに言うとホスト名の正引きによって示されるIPアドレスです。
IPアドレス固定ではないホストのホスト名で特定したいのです。

> >>742 とかの流れだと思うけど
>>742 でどちらでも可能と書いてありますが、具体的な設定例を教えていただけませんか?

「デフォルトのゲートウェイは pp 1だが、
特定のDNS host.name.hogehoge.japan に対してだけpp 2を使う。
通信はSSH、IPsecを主に使用する。相手のIPが変化した時もある程度自動で対応できる。」

ような設定が知りたいのです。


>>746
そうですね。しかし、*.2ch.netで指定できれば、山のようなIP設定が要らなくて済むなと思ったので。
750724:2009/03/26(木) 21:40:18 ID:fCl4JXEA
>>748

晒します

1. 東京(Bフレ/ASAHI) --- 東京(Bフレ/ASAHI) --> 5ms
2. 東京(Bフレ/ASAHI) --- 大阪(光プレミアム/CTU付/OCN) --> 20ms

4. 広島(光プレミア/CTU付/Nifty)--<5km>--広島(プレミア/CTU付/Nifty) --> 25ms
5. 三重(EO/CTU無/K・POTI)--東京(Bフレ/ASAHI) --> 25ms
751rtxx:2009/03/27(金) 00:40:15 ID:???
>>744
>そもそもSSL通信では使えないようですし
url filter use on
url filter port 80 443 ←めにはいらぬか
url filter log on

752rtxx:2009/03/27(金) 00:49:22 ID:???
>>747
>結局そこなんです。最大の原因はCTU?距離?その他?

まずは、ctuと光プレミアムの組み合わせで、Bフレッツ網への通信へは遅延大だと思います。
bフレ同士よりも、20msecほど余計にかかっています。

しかしそれがctuが原因なのか、光プレミアムとBフレッツ網との結合点が原因なのか、
それは私にも明らかではありません。

ただ、同プロバイダでBフレッツ同士を使ってipsec通信すれば、
だいたい5msecなのに、同プロバイダをBフレッツ、光プレミアムでipsecで結んだら、
だいたい、プラス20msecかかるようになります。

753マジレスすると:2009/03/27(金) 01:12:55 ID:???
ルータによるルーティング+PPPoEのカプセリングによる処理遅延など1ms未満。
尚かつL3SWで1ホップする遅延など10μsec単位。
東-大阪間の伝送遅延に比べたらノード遅延など考慮するまでもない。

現在進行形で実運用中NWの東京−大阪間のRTT
 Bフレッツ 20ms
 パワードイーサ 22ms
 ビジネスイーサ 20ms

Bフレッツはベストエフォートサービスだけど
バックボーンのキャパで100%の帯域が保証されないだけ。
スイッチ+光ファイバで構築されているから
非輻輳状態においては遅延自体はは広域イーサネットと遜色ない。



目がデータ熱地
754マジレスすると 続き:2009/03/27(金) 01:18:10 ID:???
東京−大阪間でメガデータネッツ(ATM)を使うと80ms
755あの:2009/03/27(金) 01:19:52 ID:???
なんで traceroute してみないの?
756sage:2009/03/27(金) 01:22:46 ID:???
おまえがやれよカス
757anony:2009/03/27(金) 01:38:11 ID:???
>>751
ttp://www.rtpro.yamaha.co.jp/RT/docs/url-filter/index.html
> 2. 注意事項
> HTTPSによる通信を制限することはできません
758rtxx:2009/03/27(金) 07:58:42 ID:???
>>757

>>751の設定で、できてるよ。

759はげ:2009/03/27(金) 08:18:26 ID:???
ホスト名までは制限できるが、パスも含めたURLとしては制限できないから、
無難にそう言ってるんだろう。
760アノニマス:2009/03/27(金) 08:19:45 ID:???
>>750
同じ意見だが、光プレミアムが原因と見るべきかねぇ

参考までに親戚の家までの時間を計ってみた。
広島(光ネクスト/nifty)→広島(フレッツISDN/nifty) 9ms
              →広島(フレッツADSL/Tikitiki) 6ms
              →広島(メガエッグ/メガエッグ) 5ms
あいにく、光プレミアムで計測できる相手がいないので、比較が出来ないのだが。
761hoge ◆hLUFomM3rw :2009/03/27(金) 11:29:40 ID:???
広島県民が意外にもおーえーんじゃのう!isdnにtikitikiってなんか懐かしいよ!
>>752
ctuってipsecゲートウェイとv6<->v4のproxyやってるんじゃなかったかな。
意外にもハードウェアがいいらしく、napt機能とかは性能良くて、うちじゃrt58iより遅延少ないです。
(配下でpppoeしゃべらせるより同じ機械でやらせてるからなのかな、58iの遅延が2ms-6ms)
bflets同士でipsecが5msなら、二重にipsecになるctuかませても20msになるのは、
よほど暗号化、復号化に時間がかかってるとか、特に出口。
ntt西と東の接点ってどうなってるのか全然知らないけど、
>>752, >>753さんの通り、bflets-光プレミアムは遅いんですね。

でも>>750の県内25msっておかしいと思うなぁ。富山県内asahi同士は2ms-5msでした。
最近は地域ip網を隣接県でつないでも良くなった、って聞いた気がしますし、県内であれば
同一の輪っかの中に居る気がしますし・・・。
>>755さんの通りtracerouteしてみるといいと思います。

niftyうんkっていう結論が出るならそれはそれでいい思い出になります。
adsl時代はjpixを通るだけで30msぐらい遅延上乗せされてました。嫌がらせかと思ってました。
762あのに:2009/03/27(金) 11:47:51 ID:???
同じ建物にBフレ二本引いて、同一プロパイダ・同一プランで10msとか・・・・
広域イーサだと50kmで1ms未満だけど、東京大阪間で引けるのかな
関東・関西の基盤整備されてる範囲内に限定されるような
763[email protected]:2009/03/27(金) 17:09:49 ID:???
>>759
>パスも含めたURLとしては制限できない

SSLって、パス部分は暗号化されているの??

764sage:2009/03/27(金) 19:12:01 ID:???
>>762
同一建物でもビル内やNTT収容局で折り返しじゃなく
プロバイダのLNSで折り返すことになるから
プロバイダのデータセンターの場所次第
765hoge:2009/03/27(金) 20:21:13 ID:???
>>764
lnsってl2tpの?どういう構造になってるんだぜ?
スレ違いだけど他にこういうスレ無いから楽しいぜ。
766sage:2009/03/27(金) 21:16:46 ID:???
767rtx1100:2009/03/28(土) 10:26:32 ID:???
>>766
村井 純さんが担当者になってるよ
768注意!:2009/03/28(土) 10:48:48 ID:???
http://www.vnunet.com/vnunet/news/2239126/worm-turns-linux-routers-botnet

こんなワームの記事がありますけど、
ヤマハルーターは大丈夫でしょうか。

この種類のワームで、はじめてのものらしいです。

769anonymous:2009/03/28(土) 11:07:45 ID:???
>>768
出所不明の改造ファームウェアをルーターに突っ込む人は自業自得じゃね?

938 :不明なデバイスさん :2009/03/08(日) 02:37:07 ID:/Kb6hXC1
ルータの非正規ファームをトロイの木馬にしたら面白そうだな
770はげ:2009/03/28(土) 20:22:21 ID:???
>>763
SSLで暗号化した通信チャネルの中で、HTTPリクエストをしているのだから、パス名は勿論、ホスト名も通信だけからは分からない。分かるのはIPアドレスだけ。
ただ、ホスト名は正引きしておけばIPアドレスが分かるので、それで規制をしているんかなと思ったんだが、>>757の説明を読むとホスト名で規制してもアドレス直だとすり抜けてしまうとか書いているし、だとするとおかしいな。
本当に>>751,758は規制できてるのか?
(自分で使ってた訳ではないので>>759は憶測で書いてた)
771749:2009/03/28(土) 20:57:45 ID:???
>>770
SSLは使えるかもしれませんし、使えないかもしれませんが、
結局、url filterではpp 1 と pp 2を使い分けることが出来ないみたいです。
わざわざありがとうございます。

自分で色々調べたところ、YAMAHAのルータは>>749 のような機能は実現できないようです。
ありがとうございました。
772>>749:2009/03/29(日) 00:23:51 ID:???
>>771
ファームアップに期待ね。

url filterをフィルタ型経路で指定できるように。
つまり、ipアドレスレベル(レイヤ3?)だけでなく、
アプリケーション層の、httpメソッドまで見てルーティングするような機能の追加を期待ね。

773751,758です:2009/03/29(日) 00:31:11 ID:???
>>770
>SSLで暗号化した通信チャネルの中で、HTTPリクエストをしているのだから、
>パス名は勿論、ホスト名も通信だけからは分からない。
>分かるのはIPアドレスだけ

すみません。よくわかりました。↑

うーん、できていないのかもしれない。
一応、許可したurlへのアクセスなんかはhttpsでうまくできているので、できているんだと思っていたけど、
おっしゃるとおり、許可リストに入れていないurlにhttpsでアクセスしたことはなかった。
言うまでもなく、httpでは許可リストに入っていないurlへのアクセスは遮断されてる。これは確か。

今度、httpsで許可していないurlに対してアクセスを実際に試してきます。
いつかまたレポートをあげます。
もうしわけない。

774hage:2009/03/31(火) 04:44:16 ID:???
httpsわかってない奴はとりあえずこれ読んどけ
ttp://www.modssl.org/docs/2.8/ssl_intro.html
775sage:2009/03/31(火) 08:27:47 ID:MiPve74s
Connectメソッド接続先ホスト名だけはわかるのでは?
776はげ:2009/03/31(火) 10:29:33 ID:???
>>775
それはプロキシに対してのリクエスト方法であって、
クライアント-Webサーバ間のリクエストではないから、
それじゃあ分からない。
777773:2009/04/01(水) 22:52:53 ID:???
url filter port 80 443
の設定を付加しているにもかかわらず、

httpsでアクセスを試みたところ、
許可していないurlへのアクセスができてしまいました。

どうやら、みなさんのおっしゃるとおり、
httpsはあて先アドレスも暗号化されているという理由で、
urlフィルタは効かないようです。

以上レポートでした

778anonymous:2009/04/03(金) 19:49:55 ID:???
付属のポートスキャン検知機能って誤検出多い?
インターネットで閲覧しただけのサイトがログに残ることが結構有るんだけど(そのドメインからの攻撃として)
779anony:2009/04/04(土) 01:36:19 ID:???
うん、あるある、うちも毎日あるよ。

いったいどんな仕組みでポートスキャン認識しているんかな
閲覧したサーバーが、ポートをわざわざスキャンして、
マスカレードに空いた口を捜しているんじゃないと思うんだけどね。

何をもってスキャンされたと見なしているのか謎だ・・
780あのに:2009/04/04(土) 08:51:16 ID:???
windowsだと、ポート閉じてもパケット送ると聞いたことがあるが
781anonymous:2009/04/04(土) 09:05:06 ID:???
既定値では、「異なるポートに対して一秒間に64回以上のアクセスがあった場合」となってるが微妙。
アナライザでキャプチャして自分で判定するしか無いかな
782anonymous:2009/04/04(土) 09:49:58 ID:???
HTMLに画像とかが64個以上あると、戻りパケット(ランダムポート)がアタックと認識しているとか?
783sage:2009/04/04(土) 11:24:48 ID:???
>>782
ack付きの戻りパケットは見ないよ
tcp-synかudpだけ
784anonymous:2009/04/05(日) 10:52:15 ID:???
閲覧したサイト側の応答の問題かな
785飛翔体:2009/04/05(日) 15:42:50 ID:???
rtx1200自身が外部のntpサーバへアクセスする時にpp2を使わせたい時はどうするの?
default gateway にpp1を指定してるせいかそっち使っちゃうんだけど、デフォルトは変えたくない
786anonymous:2009/04/05(日) 16:43:58 ID:???
route指定でもすればいいんじゃねぇの
というか、RTX1200使ってる奴がなんでその程度考えつかないのかねぇ
787アノニマス:2009/04/06(月) 15:21:49 ID:???
>>785
デフォルトの意味は知っているかい?
世の中では、「規定値」みたいな使われ方をしているけど
もともとは「怠ける」って意味だ。

default gateway pp1
ってのは、設定がない、つまり設定を怠けているパケットは
pp1に向かっていけ、と言うことだ。

つまり、設定していれば、そっちへ向かっていく。
おまいさんのRTXには、IPアドレスが無いのかい?
俺からのヒントはここまでだ。
788オナニシマス:2009/04/06(月) 16:43:58 ID:???
          . '   _ 二二 _ .、
          /    /´ -‐…‐- .`\
        /     /´    i   !`ヽト、
.    ,ヘ  ,'   i    !  !  | |i  |ハ i ヽ キリッ
   /  ゝ!  ノ|  ! !::__!::ノ ´  ̄  i::.i |!
   \  .| .:i i :i i |´   \  / `!、ハ:!
      `ヽi  从 i i | ニニミ    .ニニ !:::::|
.       |  YハiハN  {r::リ`  ´{r::リ '::::N    
.       |  ヽゝ   ´´     ``ハ!`      俺からのヒントはここまでだ。
.       |∧   Y!        ′ ,':::|
       j/∧  _!::} 、   ⊂' ..イ:::::|
      ///∧´ ∨  `  ,.... ィ´゙Y:::::|
.     /////∧ ヽ    {ト、∧ |::::::!
     ,< ̄ ̄∧  } `ヽ  >''} { ̄`ヽ
.    /   `ヽ:::::::::Y´ヽ      i´`∨::::∧
   /      ∨:::::| .:: !       i .:.: !::::/ i
           _ ___
        ,. :'´: :,. -―‐-ミ:ヽ、
      /: : : :厶ィ': ´ ̄ ̄ヾ : :\
      /: : : : : :.!: :M: : : : : }、: ヽト、:.\   <じゃっておwww
     i: : :.!: : : レ‐' ` ̄⌒ ⌒" トヘ:ハ!
   ト--|: : :.!: : 、|  ー‐'' ´ `'ー  }: :.ト
  ミ ミ ミ : :!: : : :! z=≡   ≡z.{: :.ハ    ミ ミ ミ
 /⌒)⌒)⌒.ハ :_Nとつ \\\ C VVリ   /⌒)⌒)⌒)
 | / / /:弋こ \ヽ __,.   } (⌒)/ / / //
 | :::::::::::(⌒) : :}\  /   1  /  ゝ  :::::::::::/
 |     ノくf⌒Y ` {_  _,ノイ|    /  )  /
 ヽ    /  ヽ ヘ,、  _「 |::!:::::}   /    /     バ
  |    |   l||l 从人 l||l.!::|イ:::ヽ_./ l||l 从人 l||l  バ  ン
  ヽ    -一''''''"~~``'ー--、/:::::イ;  -一'''''''ー-、    ン
   ヽ ____(⌒)(⌒)⌒) ):::/}  (⌒_(⌒)⌒)⌒))
789変な仕様ですよ:2009/04/07(火) 01:28:31 ID:uV3+MT0a
>>785
rtx自身が、名前解決しようと外部のDNSへアクセスする場合、
使用されるppを指定することはできないようです。
以前、ヤマハサポートに確認したことがあります。仕様だそうです。

どういうことだったかというと、
フィルタ型経路でipsecのみを通すようにしているゲートウェイと、
デフォルトゲートウェイを設定した環境で、
RTX自身のDNSへのアクセスは前者の経路を使っていました。
しかし、ある場合には、後者の経路を使っていました。

変ですよねとサポートにうかがったところ、散々いじくられた挙句、
仕様ですからと一蹴されました!!

今のファームではどうなっているかは知りませんけど。
pass-logなどを設定して、お確かめあれ。
790anony:2009/04/07(火) 08:52:11 ID:???
>>789
なぜntpの話から脈絡も無く突然、DNSの話へ飛ぶのかが分かりませんし、

「RTX自身のDNS」へのアクセスは前者の経路を使っていました。
なのか、
RTX自身の「DNSへのアクセス」は前者の経路を使っていました。
っていうのかこの文面では分かりません。多分、後者でしょうが。
この文章は小学校では悪い例としてよく出されるパターンです。

あなたは文章で説明するのが苦手のようですね。
自分の不満を相手にぶつける文章ではなくて、相手に分かりやすい文章を書いたほうがいいですよ。
基本的に機種もファームウェアのバージョンも何も書いてないですし。
サポートの人も大変だっただろうと思います。
791anony:2009/04/07(火) 11:07:07 ID:???
英数字が全角の時点でアレだけどな
792a:2009/04/07(火) 12:20:35 ID:???
>>790
>>791
ハイエナ発見
793annonymous:2009/04/07(火) 13:06:19 ID:???
>RTX自身の「DNSへのアクセス」は前者の経路を使っていました。
>っていうのかこの文面では分かりません。多分、後者でしょうが

書いてあるとおりに読め、
やってもみないのに勝手に想像して、文を改竄するなwww
794:2009/04/07(火) 13:34:01 ID:???
>>790
何かが癪に障ったんだろうが、

またスレが荒れるので
スルーの方向で

795poo:2009/04/15(水) 16:24:56 ID:???
RTX1000 525円で売っててワロタ
796[email protected]:2009/04/15(水) 17:24:53 ID:???
kwsk
797anonymous:2009/04/15(水) 20:31:03 ID:???
>>795
中古でしょ?
動作検証できない物はジャンク扱いにされるからね。
798:2009/04/16(木) 06:38:39 ID:???
>>797
中古でっす
お買い得でした
799anonymous:2009/04/16(木) 17:32:21 ID:???
中古のNW機器の動作検証ってどこまでやりゃいいんだか。

ルータで処理が必要なパケットを大量に流しこんで耐久性を証明するのか?
800anonymous:2009/04/17(金) 00:11:01 ID:???
とりあえず外から見える所が使えるか確認すりゃいいんでないかい。

RTX1000はS/Tの生死確認が面倒そうだが。

801AN:2009/04/17(金) 00:31:54 ID:???
>S/Tの生死確認が面倒そう

RT57iの 点は壊れて使えなくなってしまいました。
ルーターのISDNポートは雷コモンサージの影響で壊れやすいのだろうなあ。

802anonymous:2009/04/17(金) 23:12:11 ID:???
>>795
俺も去年の暮れにRTX1100を8kでゲットしたよ。
やっぱOTTOみたいな専門じゃない中古屋がいいよね。
803[email protected]:2009/04/20(月) 01:14:27 ID:mxO7ZbSa
iphoneとRTX1200をIPsecでVPN接続したいんだけどうまくいかない
いろいろ調べたら、iphoneはciscoルータならIPsecでつながるよ的なこと書いてあるし・・・
詳しい人いたら設定方法教えてください

ちなみに回線はPPPoEで、ネットボランチDNSを使ってルータまで接続しようとしてます
認証はxatuhでやってみました

参考にした情報

http://manuals.info.apple.com/ja_JP/Enterprise_Deployment_Guide_J.pdf
http://www.sogeninc.co.jp/nw/set_up/yamaha/5/index.html
804:2009/04/20(月) 01:22:40 ID:???
>>803
誘導されるまま、過去ログも読まずに投稿か?
何度も同じような話題が出てるけど、IPSecでの成功例は見たことない。
805[email protected]:2009/04/20(月) 01:48:02 ID:mxO7ZbSa
>>804
すまん
なるべく早く環境を完成させていたいと思って焦ってた

IPsecで成功例ないんだ・・・・
806rtx1100:2009/04/20(月) 02:25:41 ID:???
>>804
いやらしいやつだなあ

>>805
CISCOでつながるなら、rtx1200でもつながりそうだけどなあ。
確かに、メーカーによってIPSECの実装は少々違うみたいだが、
CISCOと、ヤマハのはIPSECでつながるよね(確か)

プロトコルレベルで問題ないなら、iphoneと、rtx1200の一般的なネットワーク層での不通が問題として想定できそうだね。
iphoneと、rtx1200とを実際に用意して、一般的な設定をして、ログ見ながら格闘していくしか方法はないかもしれない。
あるいは、ここで、誰か実現している人いないですかあーーって叫ぶ。
ヤマハのサポートでは応えてくれるはずが無いだろうなあ。

807rtx1100:2009/04/20(月) 02:30:33 ID:???
私はあまり時間がとれないので丁寧にお伝えできないのだが、
ヤマハのWEBページにipsec関係の設定例があるので、そこでクライアントからrtx1200へ接続する設定を分析して、
自分の環境に合わせるといいよ。

今、私にわからないのは、iphoneへちょくせつrtx1200ローカルなアドレスをプレゼントする方法だ。
私にわかるのは、rtx1200で、ゲートウェイテーブルを設けて、
ip route 192.168.120.0/24 gateway tunnel 1
のようにして、パケットがトンネルを通っていくようにするだけだ。
やったのことがないので、配布アドレスをどのように記述すべきなのかわからない。pptpなら、配布アドレスをその定義部に記述できたけどね。
これはちょっと調べてください。
あるいはこれこそ、あなたは知りたかったのかもしれない。
ヤマハのウェブの設定例週からヒントを得てください。そしてできたら、ここに投稿してみてください。

808rtx1100:2009/04/20(月) 02:37:53 ID:???
>>807から続き

nat descriptor type 30 masquerade
nat descriptor masquerade static 30 1 192.168.15.1 udp 500
nat descriptor masquerade static 30 2 192.168.15.1 esp

ipsecでは、udp 500でkeyの交換を行う。通信は、espプロトコルを使う。それぞれ、NATを通過できるように設定を行う。
192.168.15.1というアドレスは、rtx1200ののローカルアドレスだ。
udp 500と、espのパケットを、rtx1200内部へと送り込むという設定である。
一行目は、natという一種の防火壁を張るための設定だ。下二行で入力を許可しているわけだ。

(続く)
809rtx1100:2009/04/20(月) 02:44:55 ID:???
>>808から続き
さて、内部に送り込まれるこの二種類のパケットを処理する設定を行う。これもほとんど定型である。
特に、◎印のところ、上から3行目のプロトコルのパラメータをiphoneにあわせる必要が少なくともある。

tunnel select 1                  (←トンネルの定義開始、トンネル番号は1)
 ipsec tunnel 101                (←さらにIPSECの定義開始、番号は101にした)
 ipsec sa policy 101 1 esp aes-cbc md5-hmac   (←ipsecで、espプロトコルを使用し、暗号化にAESを使い、ハッシュにはMD5を使うと約束◎)
 ipsec ike local address 1 192.168.15.1     (←IKE、即ち暗号鍵の交換サブユニットの定義開始。RTX1200のローカルアドレスをわざわざ記述する。1はトンネル番号です。)
 ipsec ike local name 1 "THIS_IS_RTX1200" key-id (←IPHONE側では接続先としてこれを指定する。)
 ipsec ike pre-shared-key 1 THIS_IS_MYPASSWORD  (←両方で共有するパスワード)
 ipsec ike remote address 1 *.*.*.*        (←IPHONEが固定アドレスでないなら、この項目は設定しないでいい。)
 ipsec ike remote name 1 "IPHONE"        (←IPHONE側では自身の名前として、同じものを持つべき。IKEの定義終了)
tunnel enable 1                  (←トンネル番号1のの定義終了)
ipsec auto refresh on               (←ipsecトンネルの自動有効化、切断されても自動的に更新されるようになる)

(続く)

810rtx1100:2009/04/20(月) 02:47:37 ID:???
>>809から続き
あと必要なのは、もうあなたは成功されているらしいが、ppである。pppoeを使われているのだね。
このppに、先の設定済みnatを被せてやるわけだね。

pp selecr 30
・・・・
ip pp nat descriptor 30
pp enable 30

すると、iphoneからの接続は、
ppに被せたnat(esp、udp500は指定されたローカルアドレスへ転送するように設定済み)を通過し、
設定したipsec機構で認証され、トンネルが張られることになる。
わからないのは、初めに言ったように、iphoneにrtx1200のローカルアドレスを配布する方法だ。


ところでciscoで出来ているなら、もし、rtx1200で根本的なプロトコルの違いさえなければ、
パラメーターの指定を工夫することでできるのではないかと思う。
ところで、iphone側のプロバイダって、ipsecパケットを通してくれるのかな?
うまくいったら、報告してくださいねー。

811anonymous:2009/04/20(月) 09:34:51 ID:???
>>809
> 特に、◎印のところ、上から3行目のプロトコルのパラメータをiphoneにあわせる必要が少なくともある。
その設定では、セキュリティ的に穴が開くことも教えてあげたほうが親切だと思う。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU836068.html#ipsec_sa_policy
812sage:2009/04/21(火) 00:33:52 ID:eQjTm74k
セカンダリIPを2個(つまりIP3個)付与したいんだが無理?
813anonymous:2009/04/21(火) 04:58:30 ID:???
>>812
NATでやったら?
814ran:2009/04/22(水) 00:18:57 ID:???
>>811
ということですか。

そういえば、netvolente.jpのニュースに書かれていたな。
他人事だと思っていたなあ。
自分ところの設定も確かめてみよ。

でも、どういう攻撃されるんだろう。
自分のところは、固定アドレスで双方向通信しているので、
フィルタでそれ以外の通信は全てカットしているけど、それでも影響あるのかな。

815[email protected]:2009/04/23(木) 15:38:35 ID:???

RTX シリーズはヤフオクで散々買い叩かれてるね。
中古事務機器の在庫調整が激しいとは聞いていたが。
中でも RTX1000 は 5千円台まで行っているけど何かあったの?

816anonymous:2009/04/23(木) 16:54:50 ID:???
>>815
入札だから、「買い叩く」って表現は的確じゃない気がする。
まあ、それは置いといて、
ヤフオクでの落札価格は、その機種の性能ではなく、
人気で決まるわけで、RTX1000は発売開始からは、
かなり時間が経っているんで、いまさら感があるんだと思う。
ネットボランチと比べると、LANが3ポートあったり、IPsecが使えたりと
アドバンテージがある部分もあるけど、RTXの中だと、最下位の機種だし。
817[email protected]:2009/04/23(木) 19:11:25 ID:???
RTX1200のファームを最新にしたらサーバ運用してるLinux機のLoad Averageが
低くなったんだけど、リリースノート見てもそれっぽいのないなぁ
818[email protected]:2009/04/28(火) 01:17:49 ID:???

DMZ で悩んだので教えてください。
lan1 [ローカル]から lan2 [グローバル IP] を通して通信して
いたのですが、このたび lan3 を DMZ としてサーバーを立てて
運用することにしました。lan1, lan2 は今まで通りで運用する
として、lan3 はサーバー[192.168.201.100] の他に dhcp 接続
も可とします。
しかし、以下の設定だと、lan1 から外 (lan2) へ出ることはで
きるのですが、lan3 から外 へ出ることができません。nat の設
定辺りに問題がありそうなのですが、残念ながら lan3 を用いた
例が少なくどうしたらいいかわかりません。どなたか判る方いら
っしゃいませんか?

ip lan1 address 192.168.101.1/24
ip lan2 address [Global IP]
ip lan2 nat descriptor 1
ip lan3 address 192.168.201.1/24
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 192.168.201.1-192.168.201.254 192.168.101.1-192.168.101.254
nat descriptor masquerade static 1 2 192.168.201.100 tcp www
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.101.2-192.168.101.99/24
dhcp scope 3 192.168.201.2-192.168.201.99/24

819sage:2009/04/28(火) 08:34:01 ID:6GfRnDJS
とりあえずlan3に対するnat descriptorを別に書かないと
820anonymous:2009/04/28(火) 08:40:31 ID:f+uI103x
http://netvolante.jp/solution/int/case4.html
innerが不要なんじゃないか?
821ななし:2009/04/28(火) 12:29:03 ID:lPdGrAj/
RTX1100 or RTX1200で
ActiveDirectoryの指定したドメイン以外は、ネットワーク(内側も外側も)を
利用させない方法ってありますか?

指定したドメインだけ利用できる方法って言うのが正しいのかな。

指定PC以外はLANに接続するなとしているんですが、しばらくすると
接続するヤカラが出てくるので、締め出したいと思います。
(現状でもサーバーへのアクセスは出来ませんが)

よろしくお願いします。
822WAN:2009/04/28(火) 13:12:27 ID:???
>>821
たとえば、ADで認証されたPCだけインターネットを利用するってこと?
それとも、802.1x認証みたいに、認証してないPCはLANすらも利用できないようにするってこと?
823821:2009/04/28(火) 13:52:47 ID:???
>>822
どうもです。

出来れば、完全に利用できなくなれば理想ですが、インターネットが出来なければ、
ほぼ接続される事はなくなると思います。

なので「AC認証されたPCのみインターネット利用が出来る。」が出来れば
とりあえずは良いかなと思っています。
824818:2009/04/28(火) 17:11:10 ID:???

お騒がせいたしました。どうやら 818 のスクリプトで何とか
動いている模様。フィルターの書き方に難があったようです。
現在は lan1 と lan3 が素通しなので小さな穴だけにしたい
のですが、これもフィルターのお仕事になるようですね。
フィルターは苦手です。
825WAN:2009/04/28(火) 17:52:36 ID:???
>>821
AD連携(LDAP連携)はできそうもないなぁ。
FireWall専用機(Netscreenとか)ならできるのもあるみたい。

MAC認証のようなものはあるみたいだね。
ネットワーク規模が小さければこれでいけるかも。
ttp://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/index.html
826anonymous:2009/04/29(水) 22:10:10 ID:???
WindowsSeverでアドレスを発行しているのなら、
DHCPのオプションで指定したグループだけにDGのアドレスを与えれば?
8271200User:2009/04/29(水) 22:11:26 ID:???
1200がジャンボフレーム対応していないって書いてる香具師が上にいるけど

http://www.rtpro.yamaha.co.jp/RT/docs/lan-divide/index.html
>LAN1で、ジャンボフレーム (9000バイト) を使用できるようにする。
># lan type lan1 auto mtu=9000

ちゃんと対応しているぞ。

信じてGigaハブを買いに行こうとした漏れがいる。
828774:2009/04/30(木) 00:50:15 ID:???
>>827
RTX3000以外は対応してねーよ

ジャンボフレームをサポートしていないLANインタフェースでは、64〜1500の範囲となる。
ジャンボフレームをサポートしているLANインタフェースでは、以下のようになる。
機種 インタフェース 設定範囲
RTX3000 LAN1、LAN2 64〜9578
829827:2009/04/30(木) 21:19:38 ID:???
>RTX3000以外は対応してねーよ
そうなのか、スマソ勘違いしたみたい。

教えてくれてありがとう。

やっぱりHUB買いに行きます。
830[email protected]:2009/05/06(水) 03:23:29 ID:???
>>829
もうHUB買っちゃった?
次回公開予定のファームでジャンボフレーム対応・・・・。
831829:2009/05/06(水) 10:45:57 ID:???
>>830
コレガのCG-SW08GTXB、買っちゃった。

ふんぎゃ〜っ!
832anonymous:2009/05/06(水) 15:50:01 ID:???
1200使うようなネットにコレガなんか繋ぐなよ。
少しづつ病魔が進行して全体が腐ってくるよ。
833( ´,_ゝ`) ぷ:2009/05/06(水) 16:11:47 ID:???
( ´,_ゝ`) ぷ
834sage:2009/05/07(木) 06:39:59 ID:???
「コレが悪い!」
ethernet接続の断続、ACアダプタの異常音(蚊みたいな高い音)、本体の異常加熱
見たら、コレガのハブだった・・・
835[email protected]:2009/05/07(木) 20:55:20 ID:L7qYUrKx
            ,、  ,、       
          γ⌒/^^/^-_   
        ,ゝ`/~ /~ /~  /⌒ / ̄\
       _〈(_)|  |~ |~  |~  |~  /^ \_
      (丿 /~ /~ /~ /~  /~ /~ /~ /^\
     ()/()/~ /~ |~  |~  |~  .|~ |~ |~ /⌒\   (´⌒(´
   へ^〈,|,,、,,|,,、,~|、、、|~,,,,,,,,|~,,,,、〈~,, 〈~ 〈~ |~ | /⌒| ≡≡≡(´⌒;;;≡≡≡
                                (´⌒(´⌒;;
836[email protected]:2009/05/09(土) 23:46:48 ID:???
漏れもコレガには苦しめられたぜ。
TCP なのにデータ化け、コネクション切れの頻発。
結局全てを OMRON ルーターと Intel NIC の組み
合わせにして治った。今では RTX だが。
837anony:2009/05/12(火) 10:02:26 ID:???
コレガとPlanexは罠だって常識だろ
838hage:2009/05/14(木) 12:49:49 ID:???
ilanex
839[email protected]:2009/05/18(月) 12:34:57 ID:???
RTXヤフオクで買って遊んでる
なんちうか 30年前の機器いじってるような感覚で楽しい。

840anonymous:2009/05/18(月) 19:16:22 ID:???
ヤフオクでラボに使った業務用ルータ売ると、
結構入札あるけど、
目的は同じかな
841待ちぼうけ。:2009/05/18(月) 23:29:26 ID:6oOrRr0v
社内LANの中でセグメントを分けるためにRTX1200を使いたい。
設定はどないするん?
LAN1からLAN2の通信は一切許可しないものとする。
LAN1:192.168.0.0/24
LAN2:192.168.1.0/24

さ〜みんなでかんがえよ〜。
842:2009/05/18(月) 23:32:21 ID:???
>>841
勝手に考えろ
843待ちぼうけ。:2009/05/18(月) 23:35:01 ID:6oOrRr0v
考えることもなかろうに。
お互いひまなのね。
844anonymous:2009/05/19(火) 00:07:48 ID:???
うむ考えてやったり、ましてやそれを書いてうpする必要なんて全くないな。
845:2009/05/19(火) 01:20:56 ID:???
知ってるが
お前の態度が
気に入らない

AA略
846839:2009/05/19(火) 08:29:34 ID:???
>>840
同じでしょうね。実験用、練習用として買うんでしょ、みんな。
家庭で使うなら家庭用ルーターで機能は間に合うけど、
使いにくい機械を使ってみる楽しさは何とも言えないw
847sage:2009/05/20(水) 19:14:46 ID:???
icmpを通さない設定になっているはずなのですが、pingを打つと返ってきます。
どこが悪いかわからないので、configみてもらえないでしょうか。

# RT58i Rev.9.01.41 (Fri Feb 20 17:00:51 2009)
# MAC Address : 00:a0:de:51:06:e2, 00:a0:de:51:06:e3
# Memory 32Mbytes, 2LAN, 1BRI
# main: RT58i ver=c0 serial=N1M190297 MAC-Address=00:a0:de:51:06:e2 MAC-Addres
s=00:a0:de:51:06:e3
# Reporting Date: May 20 19:06:59 2009
console prompt RT58i
login timer 1200
ip route default gateway pp 1
ip lan1 address 192.168.100.254/24
ip lan1 secondary address 122.1.1.1/29
ip lan1 secure filter in 1000 1001 1100
provider lan1 name LAN:
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname hoge hoge
ppp lcp mru on 1454
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 1000 1001 1300 1200
ip pp secure filter out 1000 1001 1100 dynamic 500 501 502 503 504 505 506
ip pp nat descriptor 1
ip pp tcp mss limit auto
pp enable 1
848sage:2009/05/20(水) 19:15:27 ID:???
ip filter 1000 reject * * udp,tcp 135,netbios_ns-netbios_ssn,445 *
ip filter 1001 reject * * udp,tcp * 135,netbios_ns-netbios_ssn,445
ip filter 1100 pass * * * * *
ip filter 1101 pass * * icmp * *
ip filter 1102 pass-log * * icmp * *
ip filter 1200 reject * * * * *
ip filter 1300 pass 220.110.27.49 * * * *
ip filter dynamic 500 * * www
ip filter dynamic 501 * * ftp
ip filter dynamic 502 * * domain
ip filter dynamic 503 * * smtp
ip filter dynamic 504 * * pop3
ip filter dynamic 505 * * tcp
ip filter dynamic 506 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 122.1.1.1
nat descriptor address inner 1 192.168.100.1-192.168.100.254
nat descriptor masquerade static 1 1 122.1.1.1 tcp www,telnet,tftp
nat descriptor masquerade static 1 2 122.1.1.1 udp tftp
tftp host 230.59.27.30
telnetd host lan1
dns server 210.145.254.170 125.170.93.234
httpd host 192.168.100.1-192.168.100.254 230.59.27.30
849sage:2009/05/20(水) 19:22:48 ID:???
グローバルアドレスは、架空のipです。
ocn ip8で契約しています。
サーバーなどは、一台も構築していません。
ルーターには、ip8の一つを割り当てています。

fomaなどから、ルーターにpingすると返答がきます。
ip pp secure filter in 1000 1001 1300 1200 の1200で、全て破棄している
はずなのですが・・・
850anonymous:2009/05/20(水) 19:52:14 ID:???
>>847
>>1を読んだ方がいいと思うよ
851sage:2009/05/20(水) 20:07:58 ID:???
>>850
スレ違いなんですね。
移動します。
852うそぴょん:2009/05/20(水) 22:00:36 ID:???
ip filter 1200 drop * * * * *
853sage:2009/05/21(木) 13:51:44 ID:???
>>852
それじゃあだめだね。
icmpは静的natでローカルへ送り込んだものを、リジェクトしてはじめて通らなくなる。
フィルタはnatの内側において、つまりアドレス解決されたところで有効になることをわすれてはいけません。
またicmpはnatの内側へ通さなければ外側で勝手に取り扱われてしまいます。icmpに勝手に応答する仕様になっています。

rtx1100の話ですけど。
854anony:2009/05/21(木) 16:12:18 ID:???
icmp response off
855853:2009/05/22(金) 04:29:47 ID:???
>>854
そんなんあるの
rtxでも使える?
856anonymous:2009/05/22(金) 07:02:07 ID:nVD7NA4v
ip icmp 〜 send off みたいなコマンドはいくつかあるな
857sage:2009/05/22(金) 13:55:21 ID:???
ip icmp log on
ip icmp echo-reply send off
ip icmp mask-reply send off
ip icmp parameter-problem send off
ip icmp redirect receive off
ip icmp redirect send off
ip icmp time-exceeded send off
ip icmp timestamp-reply send off
ip icmp unreachable send off
ip icmp error-decrypted-ipsec send off
一番最後の行は、rt58iにはなかった。rtx1200ではある。
内側ルーターアドレスと、外側ルーターアドレスにping飛ばしても
帰ってこなくなった。内側でもpingが飛ばないのは、不便だけどね。
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.01.05/relnote_01_05_05.txt
858あげ:2009/05/22(金) 14:29:58 ID:???
>>857
> 一番最後の行は、rt58iにはなかった。
でもなぜかRT57iにはあるんだよね
ipv6 icmp error-decrypted-ipsec send
これも
859:2009/05/24(日) 08:54:20 ID:???
RTX1200ですが、光プレミアムを2回線契約し、マルチホーミングをしようとしたのですが、
原因わからず、全く通信できません。各々単独での接続はできます。
いかがでしょうか?
ip route default gateway pp 1 hide gateway pp 2 hide


#拠点A LAN側IPアドレスの設定

ip lan1 address 192.168.100.1/24


#OCNへの接続

pp select 1
pp always-on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1438
ppp ipcp ipaddress on
ppp ccp type none
ip pp nat descriptor 1
ppp ipcp msext on
ip pp mtu 1438
pp enable 1
nat descriptor type 1 masquerade
860:2009/05/24(日) 08:55:01 ID:???
#NIFTYへの接続

pp select 2
pp always-on
pppoe use lan3
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1438
ppp ipcp ipaddress on
ppp ccp type none
ip pp nat descriptor 2
ip pp mtu 1438
pp enable 2
nat descriptor type 2 masquerade

syslog notice on
syslog debug on


dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.100/24


dns server 221.113.139.250 202.248.37.74 ←OCNのDNS
dns private address spoof on
861:2009/05/24(日) 08:55:42 ID:???
ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

pp select 1
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
pp enable 1

pp select 2
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
pp enable 2
862anonymous:2009/05/24(日) 09:40:14 ID:???
863sage:2009/05/24(日) 17:13:24 ID:???
>>859
各プロバイダへの接続設定はできているんなら、
>ip route default gateway pp 1 hide gateway pp 2 hide
とか、二本の接続の割合とかの設定が不十分でおかしいのじゃないか。

そもそもhide hideでいいのかな?
864sage:2009/05/24(日) 17:16:40 ID:???
>>9を参照したらどうだろう
># ip route default gateway pp 1 weight 2 hide gateway pp 2 weight 1 hide
>weightによって回線への負荷の割合を決められる。同等の回線なら設定しない
865sage:2009/05/24(日) 17:22:37 ID:???
>>859
あるいは、どういう通信ができないのだろうか。
pingも通らないかな?

名前解決で失敗しているだけとか、
つまりプロバイダのDNSサーバーへはそのプロバイダ接続でしか利用できないようになっているとか。
もしそうだとしたら、フィルタ型ゲートウェイ
gatewayにfilterキーワードとpass filterの番号設定し、
特定のDNSサーバーへは特定のプロバイダ接続を利用させるようにする対策を行う。
866:2009/05/24(日) 19:09:17 ID:???
>>862
残念ながら、うちの局はエンタープライズ未対応のようです。
867:2009/05/24(日) 19:10:59 ID:???
>>863
>>864
>>865

ありがとうございます。

もう少し(かなり?!)勉強してみます。
868:2009/05/24(日) 19:31:29 ID:???
>>865
VISTAが、診断してくれた結果は、「よく使われる”www.microsoft.com"」に、
到達できませんでした。DNSの設定を確認してください」となります。
やはり、DNSの設定の問題でしょうか?
869sage:2009/05/25(月) 00:30:04 ID:???
>>868
実はそれだけのエラーメッセージでは問題を絞り込むことはできないです。
つまり、そもそもパケットをインターネットに出せていないという場合も含まれるからです。
http://「直接ipアドレスを入力」 ←のようにブラウザに入力してみて通信ができるなら、確実にDNSサーバーがらみの問題です。
870sage:2009/05/25(月) 00:48:57 ID:???
>>865に書いたことについて、それが誤りだと今気づきました。

もし、dns server 221.113.139.250 202.248.37.74 のように記述したらば、
ルーター自身は名前解決のためにこれらのアドレスをたしかに使用します。
しかし、この名前解決通信は、gatewayでプロバイダ制御することができないのです。
以前、私は特定のプロバイダ接続へ名前解決のパケットを流そうとしてフィルタ型のgatewayを設定したことがあったのですが、これができなかった。
それはrtx1100の仕様ということでした。(ファームの改善でこれは修正されるかもしれません。)

dns server 221.113.139.250 202.248.37.74
このように生にipアドレスを記述すると上のような問題が生じます。
つまり、一方のプロバイダDNSサーバーへの経路として他方のプロバイダを使用するおそれがあるという問題です。
そこで、次のように記述するといいと思います。
dns server pp 1
dns server pp 2
dns service recursive
この設定によってルーターは適切なプロバイダ経由でDNSとの通信を行います。
ただし、多分大丈夫だと思いますが、ネゴシエーションのときにDNSアドレスを通知するプロバイダでなければなりません。
最後のリカーシブによってルーター自身がいわばDNSサーバーになります。
つまり、コンピューターのネットワーク設定で、DNSサーバーアドレスの項目で自動取得にするか、ルーターのアドレス192.168.100.1だけ指定します。

ついでに言うと、各ppに
pp always-on on
pppoe auto connect on
がありませんね。これを入れれば電源入れたときに自動的にプロバイダへルーターは接続しますよ。


871:2009/05/25(月) 05:11:20 ID:???
>>870
アドバイス、ありがとうございます。
おっしゃるように、訂正してみましたが、やはりインターネットを閲覧できません。
OCNのDNSへのpingは通りましたが、NIFTYへのpingは通りませんでした。
configは、下記の通りなのですが・・・
ip route default gateway pp 1 hide gateway pp 2 hide

#拠点A LAN側IPアドレスの設定
ip lan1 address 192.168.100.1/24


#OCNへの接続

pp select 1
pp always-on
pp always-on on
pppoe auto connect on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname * *
ppp lcp mru on 1438
ppp ipcp ipaddress on
ppp ccp type none
ip pp nat descriptor 1
ppp ipcp msext on
ip pp mtu 1438
pp enable 1
nat descriptor type 1 masquerade
872:2009/05/25(月) 05:12:01 ID:???
#NIFTYへの接続

pp select 2
pp always-on
pp always-on on
pppoe auto connect on
pppoe use lan3
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname * *
ppp lcp mru on 1438
ppp ipcp ipaddress on
ppp ccp type none
ip pp nat descriptor 2
ip pp mtu 1438
pp enable 2
nat descriptor type 2 masquerade

syslog notice on
syslog debug on


dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.100/24

dns server pp 1
dns server pp 2
dns service recursive
dns private address spoof on
873:2009/05/25(月) 05:12:51 ID:???
ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

pp select 1
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
pp enable 1

pp select 2
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
pp enable 2
874anonymous:2009/05/25(月) 08:58:40 ID:???
dnsへのroute が無いのじゃないか?

ip route xxxx/32 gateway pp 1   OCNのプライマリ
ip route xxxx/32 gateway pp 1   OCNのセカンダリ
ip route xxxx/32 gateway pp 2   niftyのプライマリ
ip route xxxx/32 gateway pp 2   niftyのセカンダリ
875sage:2009/05/25(月) 09:44:22 ID:???
>>871
ちょっと、後から後から思い出すことがあって、これを手順どおりに試してみて。
@
とりあえず>>869を試す。
http://209.85.171.100/ ←googleのアドレスです。
これでつながったらとりあえず、以上の設定で通信自体はできるということです。
オッケーだったら、Aへ、
駄目だったら、そもそも通信自体がうまくいっていない。
あるいは、別のグローバルipアドレスへのアクセスをトライ。
マルチホーミングの設定、すなわちgatewayのところでおかしいことになる。でもどうすればいいのか、その場合はわからない。
A
今、DNSアドレスも自動取得にしていますか?
パソコンでDNSを自動取得にしていると、今のままではdns server pp1とpp2が利いているので、(ちょっと勘違いをしていた。)
多分、pp1と、pp2とがDNSサーバーアドレスがパソコンに通知されていると思う。
コマンドプロンプト(ファイル名を指定して実行で「CMD」)に、ipconfigと入力すると、これらのアドレスが表示されるはず。
今、ルーターのアドレスをdnsサーバーとして扱いたいので、
次の設定する。★順番に注意してください。
no dns server pp ←今設定中のpp1 pp2により取得できるdnsサーバー設定をクリアする。pp1 pp2についておのおの実行しなければならないかも。
dns server 192.168.100.1 ←ルーターのアドレスをセット
dns server pp 1 ←再設定
dns server pp 2 ←再設定
dns service recursive
設定、保存後、
パソコン側を再起動するなどして、ネットワーク設定を更新する。
ipconfigをcmdプロンプトで入力し、確認する。
ここで、192.168.100.1のルーターのアドレスが、DNSプライマリとして登録されていたら成功。
もし、駄目だったら、
パソコンのネットワーク設定で、DNSサーバー項目に、
ルーターのアドレスだけ直に設定してください。192.168.100.1ですか?
これで、もう一度トライ。

どうですか?
876sage:2009/05/25(月) 09:53:12 ID:???
>>875
訂正Aで、次の二つのみ入力(dns serverについては削除。
Recursive設定があれば、ルーターのアドレスがdnsサーバーアドレスとしてパソコンに通知されるはずなので。)

no dns server pp ←今設定中のpp1 pp2により取得できるdnsサーバー設定をクリアする。pp1 pp2についておのおの実行しなければならないかも。
dns service recursive
877sage:2009/05/25(月) 09:58:27 ID:???
>>876
結果的に、
dns service recursiveがあればいい。


>>874さんの言うことも、考えられる。
いや、まさにそれだ。
ルーティングテーブルを>>874さんのおっしゃるように作ってください。
ひとつのプロバイダ接続なら、ルーティングの問題はおきないが、
マルチホーミングする場合、対応するプロバイダへdns通信をルーティングしなければならないのだ。
878:2009/05/25(月) 11:49:57 ID:???
>>874
設定しました。
WAN側(ONU)へ、両方パケットが飛ぶようになりました。

しかし、webの表示は依然、だめです。
OCNのDNSへpingは飛ぶんですが・・・
879:2009/05/25(月) 11:53:05 ID:???
>>875
@アドレス直うちでも通信不可です。。
AパソコンのDNSアドレスは、ルーターの、192.168.100.1になっています。

通信自体がおかしいのでしょうか。
880anonymous:2009/05/25(月) 11:56:55 ID:???
PCがおかしいんじゃねえか?
RTXから telnet www.yahoo.co.jp 80 してもだめか?
881:2009/05/25(月) 12:34:15 ID:???
>>880
「コマンドが許可されていません」ってでますが・・・
882anonymous:2009/05/25(月) 12:41:17 ID:???
マニュアルを読め
security class のとこ
883:2009/05/25(月) 13:10:49 ID:???
>>882
すいません、不勉強で。

結果「ドメイン名が見つかりません」って出ました。
884:2009/05/25(月) 13:14:00 ID:???
>>883
またまたすみません。
スペルミスでした。
ルーターからは接続できます。
885:2009/05/25(月) 13:39:36 ID:???
>>884
RTXからyahooの80へ行けたのは、単一回線の設定でした。
2つの回線からは、・・・やはり行けませんでした。。

ということは、ルータの設定の問題ですね。。
886:2009/05/25(月) 18:22:56 ID:???
現在のconfigです。
OCNのDNSにのみ、pingが通ります。それ以外は不可です。
ip route default gateway pp 1 hide gateway pp 2 hide
ip route 221.113.139.250/32 gateway pp 1   
ip route 202.234.232.6/32 gateway pp 1   
ip route 202.248.37.74/32 gateway pp 2   
ip route 202.248.20.133/32 gateway pp 2

ip lan1 address 192.168.100.1/24

#OCNへの接続

pp select 1
pp always-on
pp always-on on
pppoe auto connect on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname * *
ppp lcp mru on 1438
ppp ipcp ipaddress on
ppp ccp type none
ip pp nat descriptor 1
ppp ipcp msext on
ip pp mtu 1438
pp enable 1
nat descriptor type 1 masquerade
887:2009/05/25(月) 18:23:37 ID:???
#NIFTYへの接続

pp select 2
pp always-on
pp always-on on
pppoe auto connect on
pppoe use lan3
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname * *
ppp lcp mru on 1438
ppp ipcp ipaddress on
ppp ccp type none
ip pp nat descriptor 2
ip pp mtu 1438
pp enable 2
nat descriptor type 2 masquerade

syslog notice on
syslog debug on


dhcp service server
dhcp scope 1 192.168.100.2-192.168.100.100/24

dns server pp 1
dns server pp 2
dns service recursive
#dns server 221.113.139.250 202.234.232.6
#dns server 202.248.37.74 202.248.20.133
  
dns private address spoof on
888:2009/05/25(月) 18:24:29 ID:???
ip filter source-route on
ip filter directed-broadcast on
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.100.0/24 *
ip filter 1030 pass * 192.168.100.0/24 icmp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

pp select 1
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
pp enable 1

pp select 2
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 106 107
pp enable 2

フィルターに問題ありでしょうか?
889あの:2009/05/25(月) 18:41:44 ID:???
>>888
フィルタに問題があるかどうかくらい syslog で確認すれば?
syslog notice on
show log
890あのにます:2009/05/25(月) 18:57:44 ID:???
NAT周りが怪しそうな気もするけど。
それよりせっかくsyslogをdebugまで取ってるのになんでログを見ないの?
891あのにま:2009/05/25(月) 20:26:04 ID:???
nat descriptor のinnerとouterをしっかり設定した方が
いいと思われ。
892sage:2009/05/26(火) 01:28:40 ID:???
ip route default gateway pp 30 filter 1 2 gateway pp 29 hide gateway 192.168.140.2 hide

うちは、マルチホーミングできたようだ。ちょっと特殊だが。
<192.168.140.2は別拠点のブロードバンドルーターアドレス>
同じサイトをリロードしても、なかなかグローバルアドレス切り替わらないが、
別サイトを読み込むと、もう一方のグローバルアドレスで開けた。
何かのタイミングで、二つのグローバルアドレスが入れ替わる。マルチホーミングできているみたい。

nat descriptor のinnerとouterの設定はしていない。
893892:2009/05/26(火) 01:34:06 ID:???
>>885
両方のプロバイダで各々正常に接続できているの?
マルチホーミングなしで。

それができているなら、gateway pp 1 hide gateway pp 2 hide つけるだけだと思うがな。
うち、単に付け加えただけでできた。
894892:2009/05/26(火) 01:46:11 ID:???
うん、マルチホーミングできている。
ここでリロードすると、アクセスの度に発信IPが変化するのがわかった。
http://www.cman.jp/network/support/go_access.cgi

>>885
プロバイダ接続をまず疑うべきだ。
セッションを同時に使用できるのかどうかなども。
895あのにます:2009/05/28(木) 15:40:49 ID:???
http://pc11.2ch.net/test/read.cgi/hard/1226918769/361
で報告した件、やっぱりバグ(Rev.8.03.82 バグ修正 50.)だったんだ。
896[email protected]:2009/05/29(金) 06:56:10 ID:???
RTX1100を手に入れたので、このスレにやって来ました。
以下の環境でconfigを書くとしたらどうなりますでしょうか?

プロバイダ     PPPoE接続
ID          xxxxxxxx
PASS         yyyyyyyy

MTU         1492

プライマリDNS   111.111.111.111
セカンダリDNS   222.222.222.222

デフォルトゲートウェイ 192.168.1.1
  ↑がRTX1100

DHCPは使わない

Linuxサーバ    192.168.1.200 (押し入れの中)
 ftp ポート 20-21 tcp
 smtp ポート 25 tcp
 http ポート 80 tcp
 pop3 ポート 110 tcp
 https ポート 433 tcp

Windows機     192.168.1.100 (今使ってます)
 game1 ポート 11111 tcp
 game2 ポート 22222 tcp

教えてもらったのをコマンドリファレンスと見比べて勉強しようと思いますので
よろしくお願いします。
897896:2009/05/29(金) 06:57:00 ID:???
はじめはこんな風だと思うんですが、

ip lan1 address 192.168.1.1/24
nat descriptor type 1 masquerade
pp select 1
pp always-on on
pppoe auto connect on
pppoe use lan2
pp auth accept chap pap
pp auth myname xxxxxxxx yyyyyyyy
ppp ipcp ipaddress on
ppp ipcp msext on
ip pp nat descriptor 1
ppp lcp mru on 1492
ip pp mtu 1492
ppp ccp type none
pp enable 1
pp select none
ip route default gateway pp 1
dns server pp 1
dns private address spoof on
save

ポート開放については今の所サッパリです。
898B:2009/05/29(金) 07:02:02 ID:???
899anonymous:2009/05/29(金) 07:13:53 ID:???
900anonymous:2009/05/29(金) 09:37:36 ID:???
>>896
誰も丁寧に教えないから丁寧に教えてやる。
YAMAHA のルータは、公式が公開している設定例集が豊富だから、
そこだけ見てれば大抵やりたいことはできる。

>>1 からも辿れるが、ここ。
http://www.rtpro.yamaha.co.jp/RT/docs/example/

あと、「業務向け」のスレッドで「ポート開放」とか言ってると、誰からも相手にされないぞ。
それを纏めたのが、>>899 だ。

まあ、最後に「女子高生です」とでも書いてあれば違ったのかもな。
901anonymous:2009/05/29(金) 09:44:18 ID:pph+dZ72
netvolante.jpのソリューション関係を参考にするのも良いな
http://netvolante.jp/solution/int/index.html
902896:2009/05/29(金) 11:16:40 ID:???
レスありがとうございます。
お恥ずかしい限りで。勉強して出直してきます。
903onanymous:2009/05/29(金) 15:13:34 ID:???
お前らなんだかんだ言って優しいんだな。

女子高生です。
904[email protected]:2009/05/29(金) 16:08:45 ID:???
pp select 1から抜けるにはどうしたらいいでしょうか?
exitするとtelnetまで終了してしまいます。
905あのにます:2009/05/29(金) 16:10:42 ID:???
>>904
pp select の入力直後に ? って押してみ
906904:2009/05/29(金) 16:32:41 ID:???
>>905
pp select none
ですね!
ありがとうございました。
907あのにもー:2009/05/30(土) 00:08:34 ID:???
コマンドリファレンスと設定例集のPDFを落としとくと便利
ttp://netvolante.jp/download/manual/index.html
908anony:2009/05/30(土) 02:34:58 ID:???
RTX1200に精子をかけてしまった。。。
失敗した。
909sage:2009/05/30(土) 08:26:10 ID:???
#ps -A | grep kichigai
#kill 908
#restart
910[email protected]:2009/05/30(土) 10:30:46 ID:???
LAN内で www.hogehoge.com (192.168.100.50) っていうWEBサーバーを立ててるとします。
www.hogehoge.com だとアクセスできないのですが、192.168.100.50 だとアクセスできます。
www.hogehoge.com でアクセスさせるようにするにはどうすればいいのでしょうか?
RT58i使ってます。
911anonymous:2009/05/30(土) 10:38:30 ID:???
ヘアピンNATでググれ
912不明なデバイスさん:2009/05/30(土) 10:52:33 ID:???
>>910
YAMAHAはデフォで「ヘアピンNAT」なるものが有効だから、どうやると言われてもね・・・

あえて言うなら、邪魔な設定を貴方が入れたんじゃないの?としか言えないんだけど
一度初期設定で試して、いまのconfigと何処が違うか見比べたら?
913anon:2009/05/30(土) 10:55:23 ID:???
>>910
DNS立てれ
914不明なデバイスさん:2009/05/30(土) 10:59:06 ID:???
あとな
http://bflets-fm-west-2-229.dsn.jp
で反応無いんだけど、根本的に設定間違っていない?それともホスト名出たのきずいてIP変えた?
915sage:2009/05/30(土) 23:48:50 ID:???
>>910
dns static a www.hogehoge.com 192.168.100.50
RT58いでもできるかな
916不明なデバイスさん:2009/06/04(木) 00:40:37 ID:???
>>16
IP38X/1200、いつのまにか発表されたようです。
ttp://www.nec.co.jp/datanet/ip38x/ip38x_1200.html

IP38X/SR100 も出ていますね。(SRT100のOEM品かな?)
ttp://www.nec.co.jp/datanet/ip38x/ip38x_SR100.html
917不明なデバイスさん:2009/06/07(日) 22:09:58 ID:???
教えて下さい。
当方RTX1000の8年来のユーザです。

転居に伴い、ネットワーク構成を変更することにしました。
LAN1に192.168.0.0/24を収納、LAN2はpppoeでADSL接続。ここまでは従来の環境と
変更ありません。

LAN3にdhcpでstaticなglobal IPをくれるCATV回線を接続、
LAN2、LAN3でマルチホーミングしようと考えているのですが、上手くいきません。

CmdRef.pdfを見て、

# pp select 2
# ip lan3 address dhcp
# pp enable
# ip route default gateway pp 1 weight 2 hide gateway pp 2 weight 1 hide
を追加でいけるか?と試行錯誤したのですが、ダメです。

お気づきの点ありましたら、御指南頂けると幸いです。
918:2009/06/07(日) 22:49:00 ID:???
>>917
なにをもって「ダメ」と言っているのかい?
919_:2009/06/08(月) 00:00:22 ID:V+M1IkzR
>>917

少なくとも pp ではないので、

ip route default gateway pp 1 weight 2 hide gateway dhcp lan2 weight 1 hide

でどう?
920_:2009/06/08(月) 00:02:08 ID:???
lan3 ですね

ip route default gateway pp 1 weight 2 hide gateway dhcp lan3 weight 1 hide
921anonymous:2009/06/08(月) 07:05:46 ID:???
ip route default gateway pp 1

ip route default gateway pp 2
にかえてみて
それぞれちゃんと動作するのか?
922917:2009/06/08(月) 08:45:26 ID:okZ79Wok
>>919
御返事ありがとうございます。
今日から出張なので、帰宅後試してみます。
>>921
確かにその確認も必要ですね。ありがとうございます。
923:2009/06/08(月) 12:01:49 ID:???
最近、自分の都合の悪い?突っ込みにはスルーする奴多いな。

>>918の問いは
ttp://projectphone.typepad.jp/blog/2008/05/wan4--6cc6.html
を受けて聞いていたわけなんだが。YAMAHAの基本スタンスで「利用出来ない」
と言っているものを、そのまま「ダメ」と言っているなら、それは仕様なんだが
と言いたかったわけだ。
924[email protected]:2009/06/08(月) 21:31:59 ID:???
質問の意図がわからんならヘタに絡むよりスルーするのが賢明
925anonymous:2009/06/08(月) 21:49:43 ID:???
意図が分からないとかじゃない。
いちいちconfigを読む気が出ない質問が多いということだ。
ここって仮にも業務向けと銘打っている場だよな?
ログぐらい出して、ダメとか曖昧な書き方をするな、と言いたい。
926anonymous@APe3oQU:2009/06/08(月) 22:27:44 ID:???
そんなに自分のスルー力の無さを自慢しなくても
┓( ̄∇ ̄;)┏
927pp:2009/06/09(火) 16:11:31 ID:???
RTシリーズの設定事例集の設定てわざと間違えてるのか?
ちょこちょこ間違ってるんだけどこれは引っかけなのか?
なんなんだ?
928anonymous:2009/06/09(火) 17:20:48 ID:???
pdfになっているコマンドリファレンスにもスペルミスがあるよ。
普通にケアレスミスだと思うけど。

そんな間違いの多い会社のルータは仕事が雑と思われて、
消費者から敬遠されると思うが何で直さないのかな?
929pp:2009/06/09(火) 18:37:27 ID:???
>>928
そう!コマンドリファレンスにもあった!
俺たちは苦労して作ってんだ!お前らも苦しめ!ってことなのか?
俺たちを試してるのか?

こういうのは実際に動いてる設定をコピペして作成するんじゃないのか?
絶妙な間違いとか恣意的なものを感じるよ。
ここかよ!って何回遭ったことか。
930anonymous:2009/06/10(水) 00:43:04 ID:???
>>927
コピペじゃなくて、ちゃんと内容を把握してから使え。
という中の人からのメッセージ。
931anonymous:2009/06/10(水) 00:49:38 ID:???
誠に余計なお世話だな。
932anonymous:2009/06/10(水) 11:39:51 ID:???
>>930
さすがにコマンドリファレンスが間違ってるのはどうもできない。

それから、コマンドリファレンス自体の版が古いバージョンなので、
最新のファームウェアの内容と違う部分や追加の部分があるのは仕方ないと思うが、
リリースノートを全部追いかけても、ミッシングリンク的なリリースノートの無いバージョンがあるから、
変更点を追いかけようと思っても出来ないのは重大な問題だと思う。

たとえば、RTX1200 用のコマンドリファレンスはRev.10.01.01対応だが、
ここのページには
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/
Rev.10.01.08のリリースノートが一番古いもので、
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_08.txt
これを見てもRev.10.01.07からの変更点からしか書いてないので、
Rev.10.01.01より後でRev.10.01.07までに追加、変更になったコマンドを知ることが出来ない。
最新の現行品なのに。

それから業務用じゃないが、
RT58iもRev.9.01.03より後でRev.9.01.09までの変更点が分からない。
最新の現行品なのに。

これがNTTだったらきっちりマニュアルまで更新してくるから恐ろしい。
ユーザー数の差と、どうしようもない企業体力の差と言ってしまえばそれまでだが。
933SAGE:2009/06/10(水) 16:58:15 ID:???
http://netvolante.jp/index.html
09/05/28
RTX Series
RT Series
RTX1100用最新ファームウェア(Rev.8.03.82)、
RTX1500用最新ファームウェア(Rev.8.03.82)、
RT107e用最新ファームウェア(Rev.8.03.82)の配布を始めました。

09/06/09
RTX Series
RT Series
[NEW] 生存通知機能(リリース2)実行時の問題点を修正した、
RTX1100用最新ファームウェア(Rev.8.03.83)、
RTX1500用最新ファームウェア(Rev.8.03.83)、
RT107e用最新ファームウェア(Rev.8.03.83)、
RTX3000用最新ファームウェア(Rev.9.00.44)の配布を始めました。

いつものように更新を控えていてよかった
934anonymous:2009/06/10(水) 19:03:56 ID:???
>>932
RTX1200のRev10.01.01も、RT58iのRev.9.01.03も初期出荷以前のバージョンだもんな〜。
開発バージョン?対応のコマンドリファレンスのままってのは、確かにどうかとは思うね。
実際はほとんど違いが無いにしても。

コマンドリファレンスのスペルミスは、頭で自動に補完されるからどうともないけど
設定例はコピペで雛形にするし、間違えてるなら戴けない。
まぁ、ワザと間違えてる訳じゃなかろうし、指摘してあげれば直すだろうけども。
935anonymous:2009/06/11(木) 00:18:23 ID:???
「ヤマハルータでつくるインターネットVPN」
の本も何とかして欲しい。初版に比べて格段にミスは
少ないものの、いつまで経っても増刷されない。
936anonymous:2009/06/11(木) 11:28:38 ID:???
RTX1200と1500って1500の方が値段が高いくせに
ぱっと見た感じ1500の方が勝っている点が殆ど無いように感じるんだけど・・・
1500だから!的な物ってあるの?
937=====:2009/06/11(木) 12:28:51 ID:???
型式が300個多い
だから偉い
938[email protected]:2009/06/11(木) 13:12:10 ID:???
YAMAHAの楽器とかオーディオなんかは数字が小さいほうが偉いんだけどね。
939−−−−−:2009/06/11(木) 13:47:17 ID:???
>>938
RT58iはRT60wより数字が小さい
だから偉い
940hage:2009/06/11(木) 14:34:26 ID:???
RTX1100でURLフィルタを使おうとしてます。
さしあたって、doubleclick.net を拒絶しようと思いますが、
  url filter 1 reject doubleclick.net
って書くと、Google で doubleclick.net を検索しても reject されちゃいます。
(クエリーに「doubleclick.net」が含まれているからと思う)

で、今度は
  url filter 1 reject http://*.doubleclick.net/
  url filter 2 reject http://*.*.doubleclick.net/
と書いてみたのですが、reject されないぽいです。

ドメイン名のところだけで判断してフィルターしたいんですが・・・
941a:2009/06/11(木) 15:01:41 ID:???
>>940
http://www.rtpro.yamaha.co.jp/RT/docs/url-filter/index.html
とか読めば分かると思うけど
・機能名の通りチェックは URL 内文字列の単純一致
・URL の一部分として * を指定することは不可
なので、100% ってのは無理だと思う。google 限定で良いならサンプルの通り。
942:2009/06/11(木) 15:13:40 ID:???
つかえねーなw
943anonymous:2009/06/11(木) 18:25:52 ID:???
>>940
doubleclick.netの頭に、ホスト名やサブドメインが付くなら

> url filter 1 reject doubleclick.net
じゃなくて、頭に「.」をつけて
> url filter 1 reject .doubleclick.net
じゃ駄目?

まぁ、URFフィルタは使った事ないのでよくわからんケド。
944anonymous:2009/06/11(木) 20:43:08 ID:???
>>943
何の解決にもならないとおもわれ。


>>940
filterはマッチしたらそこで終わりなので。
url filter 1 pass google.co.jp
url filter 2 pass yahoo.co.jp
url filter 3 reject 禁止ドメイン.com
とかしなさいって>>941のリンク先で言っているんじゃないの?

でソレを踏まえて。
ttp://www.google.co.jp/search?hl=ja&q=aaaaaaaa.com
とCGI部分がsearchが多いので

url filter 1 pass search
url filter 2 reject 禁止ドメイン.com

でどうだ!
945anonymous:2009/06/11(木) 23:04:28 ID:???
>>936
頭の回転は1500のほうが速いんじゃなかったっけ?
CPUの介在が増えるほど1500がハッスルするかと。pptpとか。
946anonymous:2009/06/12(金) 00:42:12 ID:???
CPUはこんな感じで、RTX1200の方が良さげ。
ttp://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html

>>936
このスレッドのログにもあるが、パケット処理能力の差。およそ倍も違う。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/routing-performance.html

#発売から暫くは、この表にRTX1200は無かったような。
#単純に比較できるかしらんが、およそIX2015クラスでしょうか。
947anonymous:2009/06/12(金) 01:04:30 ID:???
同じ CPU で、1500 の方はクロック 2/3 なのにパケット処理は
1200 に比べて倍以上あるのか... よくわからん。でも VoIP 系
の細切れパケットは速かったのでは > 1200

1100 は 1000 に比べてあまり性能差がないね。ファーム更新く
らいか。3DES で我慢すれば 1000 もまだまだ現役じゃん。
948anonymous:2009/06/12(金) 01:39:01 ID:???
1500はNPが高性能なんじゃね?
949anonymous:2009/06/12(金) 02:22:17 ID:???
そうですね。まぁバス幅とか対応インターフェイスは勝るかもしらんが。
CPUコアだけで動かすノーマルパスだと、どっちもおっそいもんなぁ。

そういえば、ファストパス使わないRTX3000ってppsはどれくらいなのかしらん。
#ファストパス使わない(でも高速な)下位機種も見てみたい・・・
950anonymous:2009/06/13(土) 18:50:51 ID:???
>>946
MLで平野氏が、
アーキテクチャが違うので、その部分(パケットの処理能力)は簡単には追いつけない
みたいなのを、書いてたと思う

>>947
ゲーム専用機って、PCよりもCPUもメモリ量も劣るけど
実際の画面はすごいだろ?
単純な一部のスペックじゃあ、比較は出来んよ。
9511100:2009/06/14(日) 01:50:07 ID:???
url filterをつかって、*ch系の掲示板へのアクセスをリジェクとしたいと考えています。
url filter 1 reject [clientIP] 2ch としてリジェクトに成功しています。
(googleのクエリー文字列で2chが現れるリクエストもリジェクトOK)
これは2chだけリジェクトするわけですが、これをどう拡張すればいいでしょうか。

url filter 1 reject [cIP] ch はだめです。

なにか、無料のフィルタリングデータベースサービスってないんですかね。
ヤマハが自由化していない?
すべて有料サービスってのが納得いかないよ。
952はげ:2009/06/14(日) 02:58:51 ID:???
>>951
そのURLデータベースをメンテする人の金はどこから来るんだ。
納得いかないなら自分でURLリスト作って公開しろよ。

普通に考えれば、YAMAHAは機器メーカであって、URLデータベースを
売る会社じゃない事くらい分かるだろう。本来ならサポート契約を
締結しないと入手できないファームウェアを無料で公開してくれている
だけでも相当ありがたいというのに、これ以上何を求めるのか。
953anonymous:2009/06/14(日) 06:20:29 ID:???
うちの会社でもURLフィルタ入れてるが(RTXじゃなくてUTM機器だけど)
保守契約とフィルタルールの更新契約で年間200万くらい払ってる。
業務で使うならこれくらいの金はかかるもんだ。
954anonymous:2009/06/14(日) 12:03:02 ID:???
UTMって導入も設定も他のNW機器と比較にならんくらい簡単なのに業者に入れさせると高いな。
955anonymous:2009/06/14(日) 16:39:03 ID:???
設定の手間より設定に至るまでのポリシー策定とかのほうが時間
食われるからな。
956sage:2009/06/14(日) 16:48:03 ID:???
世界規模の機関が、共通のそういうフィルタリングルールを作成したらいい。
957anony:2009/06/14(日) 18:47:09 ID:???
何をフィルタリングしたいのかもわからないのに共通化とか
958anonymous:2009/06/14(日) 19:07:03 ID:???
UTMってフィルタリングは得意だろうが、
ファイアウォール、侵入検知、アンチウイルス、は無いよりまし程度の働きしかしない。(BBルータのオプション程度)

高額製品なら違うのか??
959anonymous:2009/06/14(日) 19:29:16 ID:???
UTMは元々IDS/IPSとFWの統合からスタートした機械だろ。
今じゃVPNやらURLフィルタやら付いてるけど。

あ、F●rtigateは別だからな。あれはゴミ。
960anonymous:2009/06/14(日) 20:04:28 ID:???
F●rtiがゴミだったらまともなUTMを紹介してくれまじで。
いや、あれが素晴らしいとは全く思わないが、他の箱モノUTMでこれだ!
と思ったのがひとつもないよ。
ってyamahaスレじゃないのかここはw

SRTのフィルタはNETSTARだっけ? 日本じゃ最大手だしいいと思うけどな。
961anonymous:2009/06/14(日) 22:00:27 ID:???
デジタルアーツも選択できるね。
IIJのSEILとセンチュリーのは、ネットスターのみ。
#業務用じゃないけど、バッファローのルータが先日デジタルアーツ対応の発表。

ニュース見てると、UTMはトラフィックをアプリケーションとして認識して扱う方向?。
Winny/shareフィルタもそうだし、FortigateもFortiOS4.0からそういう機能を搭載。
#UTMじゃないけど、Palo Alto Networksのもおもしろそうだ。

ヤマハはSRT系でWinnyフィルタみたいなのを、どんどん追加していくのかと思ったけど
どうもそういう訳では無いし、この先どうするんだろか。
#ルータとしては機能的に飽和状態で、一方、UTMは高機能、低価格化してるし。
962sage:2009/06/15(月) 00:40:07 ID:???
>>957
人間は世界共通だから、
人間レイヤー対する有害なサイトへのフィルタリングは世界共通にできるだろう。

会社の利益を守るためだったら、それこそ、各社でカスタマイズしなければならないだろう。
インターネットは世界を網羅しているのだから、共通にできるフィルタは世界で統合してもいいと思う。
それこそ、WHOのように。世界保健機構。世界フィルタリング機構(WFO)を成立させてほしい。
人間の心を守るために、これから必要になるはず。
もちろん、ヤマハルーターでもそのデーターベースを使えるようにしてね。
963anonymous:2009/06/15(月) 01:04:09 ID:1bnP/Xbh
>>962
大阪にいるのは別の生き物だけどな
964anonymous:2009/06/15(月) 01:27:58 ID:???
>>962
一体いくらで受けられるサービスなんだよw
965anonymous:2009/06/15(月) 07:49:54 ID:???
>>964
世界の機関→政府→(税金)→天下り企業企業→クライアント
こういう流れが出来るだけじゃね?

使う人は一見無料に見えるが税金額が増加しているとか?

966hage:2009/06/15(月) 09:14:41 ID:???
>>962
中国に行けば、政府がフィルターリングしてくれるだろ
967anony:2009/06/15(月) 21:21:02 ID:???
>960
残念ながらオススメできるまともなUTMは今はない
通技板にUTMスレが立たないのがその証拠(適当
よってSRTで十分ということにしとこ(YAMAHAスレ的に
968960:2009/06/15(月) 22:16:59 ID:???
>>967
そうなんだよね。FWとしてはともかくUTMで考えると
Forti含め何使っても、はったり仕様か変なバグ持ってるかのどっちか。
SRTもどこまで効くのか正直半信半疑というか世間のUTM系全般に
疑心暗鬼になってるw
969はげ:2009/06/15(月) 22:58:30 ID:???
>>960
JuniperのSSG500シリーズは?
まあ、FWとVPNしか当てにしてなくて、UTMならではな機能は
多少怪しくても動けばいいやレベルしか期待していないんだけど。
970anonymous:2009/06/15(月) 23:04:22 ID:???
UTMって、元々、NW管理者が置けない中小企業向けの製品では?

セキュリティのしっかりした大手では補助的な使い方しかしてない。
971sage:2009/06/15(月) 23:23:38 ID:???
>>970
オールインワンのNW管理者ロボットなわけだね
972[email protected]:2009/06/15(月) 23:35:28 ID:???
palo alto どーよ?
973anonymous:2009/06/16(火) 00:27:31 ID:???
ヤマハルータ使うような所に、そんなごっつい物入れても
釣り合わないよ。

中小企業のネットワーク管理者なんかだと、おかしな事を
しているPCや社員がいないか分かれば十分だろうからね…

アクセス履歴や統計データを各種多量に収集してお痛をして
いるのを見つけやすくする機能とかほしいな。メモリーも安
いし2GByteぐらい搭載してもたかがしれているでしょう?
974690:2009/06/16(火) 00:39:35 ID:???
>>969
550触ったけどまじ酷い。
詳しく書くと特定されるからとても書けないが、個人的にはForti以上に酷い感じがする。
もうJuniperはScreenOS仕方なくやってるとしか思えてならない。
最近SRXつうJUNOS系列のFWも出してきたし、Juniper的にはこれから本気出すのは
前からのアナウンス通りJUNOSなんだろうなあと。

>>972
使ったこと無いなぁ。UTMっていうよりWAF+αなイメージ。どうなんだろ。

yamahaにも素敵UTM作って欲しいなあという気もするけど、恐らく開発にとっても茨の道
だろうからw あんまり色気出さずに粛々と今の流れのまま進んで欲しい気もする。
と、強引にyamahaネタに戻してみた。
975sage:2009/06/16(火) 01:19:20 ID:???
>>951にもどりましょうよ
976a:2009/06/16(火) 02:25:05 ID:???
このアホなにいってんの?
977anony:2009/06/16(火) 02:33:13 ID:???
>>975
いやだから「だめです」とか書かずにログ出せよと。
URLフィルタのログはdebugレベルで出るので、syslog debug onして確認してみなよ。
978anon:2009/06/16(火) 08:13:08 ID:???
有料なら使えるけど無料にする方法がわからない なら
カネ払う方法を考えるか、自分がボランティアでやるかの二択

ハイ解決
979age:2009/06/16(火) 11:30:25 ID:???
>URLフィルタのログはdebugレベルで出るので、syslog debug onして確認してみなよ。

なんでもログだせとか、科学気取りしてないで、
よく状況を把握しろよ。考える頭がない証拠だぜ。

chをキーワードにしたら、2chや、3chだけでなく、
changeなどのワードにもフィルタがかかってしまうので「だめ」ですということだろう。
そんなこと俺でもわかるがな。

980a n:2009/06/16(火) 12:28:38 ID:???
>>979
は? そんな下らない話なわけ?
それなら 1ch 2ch 3ch 4ch 5ch 6ch 7ch 8ch 9ch 0ch …って好きなだけ書き連らねればいーだろ
981アノニマ:2009/06/16(火) 12:49:52 ID:???
正規表現で指定出来たら、便利そうだな。
982あのにま:2009/06/16(火) 13:02:28 ID:???
>>981
逆に言うと、正規表現が使えないんだから、ベタに列挙するしか他ない。
そんな質問なら、YAMAHAのルータなんて関係ない。単なるなぞなぞだ。
考える頭がないのは誰なんだか…
983sagge:2009/06/16(火) 17:38:32 ID:???
終了!
984anonymous:2009/06/17(水) 01:00:45 ID:???
>>981
フィルタ系は正規表現つかうとてきめんに遅くなるから、
便利だとは思うけど、ルータに実装は難しいだろうな
985sage:2009/06/17(水) 15:26:03 ID:???
>>984

既知のアドレスに対しては正規表現と照らし合わせる必要がないだろう。
これは静的フィルタと同等になるのではないかと思う。
つまり、未知のアドレスにのみ正規表現をあてがえば、遅くならないと思う。

986ジャマハ:2009/06/17(水) 21:10:07 ID:???
>>985
ルータという機器の性質を考えると、
メモリ参照時間に制限あるからそんなに覚えられない。
たとえ大容量のメモリ積んでも参照に時間かかったらスループットでない。
987sage:2009/06/17(水) 22:18:59 ID:???
>>986
アクセス数のすくないアドレス、最終アクセスから時間が経過したものから削除していったらどう。
988anonymous:2009/06/17(水) 22:31:57 ID:a4kN89fM
LFUとかLRUとかいう仕組みだな

そろそろ次スレたのむ↓
989anonymous:2009/06/17(水) 22:59:31 ID:???
>>987
キャッシュ方式だと、キャッシュにヒットしなかったのか
そもそもテーブルに無かったのかを判断しないといけない
そのためにはテーブルを端まで見なきゃいけないので、
Webサーバとかならともかく遅延が許されない通信機器には向かない

ネガティブキャッシュみたいな方法もあるけど、
そこまでするのはルータの仕事じゃない
990anony:2009/06/17(水) 23:27:32 ID:???
透過プロキシでも置いてそっちでやれ ってことだな
991sage:2009/06/17(水) 23:55:52 ID:???
ヤマハらしい拡張だとは思うわけなのですがね。
filter関係が色々充実しているでしょ。これはオールインワンで便利。

次のスレ誰か立ててください。
私は習慣がわかりません。
992ano:2009/06/17(水) 23:58:09 ID:???
中途半端に充実させると>>951みたいな厨がますます涌いてくるぞ
993anony
ただでさえ、業務向けルータとしては、
そこまでパフォーマンスが良い部類ではないのに、
これ以上厨対応の為に悪化させられたら困る。