YAMAHA業務向けルータ運用構築スレッドPart7
netvolante.jp落ちてますね
DDNSも朝から不安定でIP引きづらくて、結局落ちてしまいました・・・
ここまで大規模な障害は最近はありませんでしたね。
昨日センタ設備のメンテナンスがあったらしく、やらかしたんですかね。
DDNSも朝から不安定でIP引きづらくて、結局落ちてしまいました・・・
ここまで大規模な障害は最近はありませんでしたね。
昨日センタ設備のメンテナンスがあったらしく、やらかしたんですかね。
|
|
|
706 :[email protected]:2010/04/15(木) 15:03:40 ID:KN5iGxId
かんべんです
…。
708 :[email protected]:2010/04/15(木) 16:13:18 ID:???
yamaha.co.jpまでのtraceが内部で切れますね。
133.176.0.0/16 なのに
www.yamaha.co.jpは外なんですね。w
133.176.0.0/16 なのに
www.yamaha.co.jpは外なんですね。w
電話したら「おちてますー」ってw
がんばれヤマハ
がんばれヤマハ
次の対策の作業って何始めたんだ?
静的経路の設定を見直してくれ・・・
静的経路の設定を見直してくれ・・・
固定IPのりがたさが理解できたろ。
DDNS使えなくなった時の対策を考えてないのか?
とりあえず相手のルータのある場所に人がいるならアドレス聞いてconfigに入れ込め。
DDNS使えなくなった時の対策を考えてないのか?
とりあえず相手のルータのある場所に人がいるならアドレス聞いてconfigに入れ込め。
1箇所ならそれでいいだろうが何十箇所もあれば大変だぞw
しかもいつ復旧するかわからんのにw
復旧したらまたもどさんとだめだしw
しかもいつ復旧するかわからんのにw
復旧したらまたもどさんとだめだしw
VoIPが使え
http://www.rtpro.yamaha.co.jp/
重要なご案内
ネットボランチDNS(ネットボランチ電話)サービストラブルのお知らせ
現在、DNSサーバの障害によりネットボランチDNS(ネットボランチ電話)サービスのご利用に障害が発生しております。
ご迷惑をお掛けしますが、現在復旧作業中ですので、ご理解いただけますようお願いいたします。
重要なご案内
ネットボランチDNS(ネットボランチ電話)サービストラブルのお知らせ
現在、DNSサーバの障害によりネットボランチDNS(ネットボランチ電話)サービスのご利用に障害が発生しております。
ご迷惑をお掛けしますが、現在復旧作業中ですので、ご理解いただけますようお願いいたします。
参ったな、仕事できんw
http://netvolante.jp/
見られるようになった?
見られるようになった?
718 :[email protected]:2010/04/15(木) 18:34:50 ID:???
>>717
見られるようになったけど、まだDDNSへの登録とかできないね。
見られるようになったけど、まだDDNSへの登録とかできないね。
回復したっぽいな
クエリは出来るようになったけど、netvolante-dns goがまだだめだな。
中の人がんばれ。
中の人がんばれ。
723 :anonymous@7pK0R1G:2010/04/15(木) 19:04:47 ID:DngN3lWH
復旧キター(^o^)
724 :[email protected]:2010/04/15(木) 21:17:49 ID:???
この障害のおかげで一日潰れたわ。
客先に説明しても理解してくれないし。
客先に説明しても理解してくれないし。
先週YAMAHAのDDNSの方を一番目にしたばっかりなのに。
他にもDDNSを2つ使ってるので、そっちを元通りにメインに戻す羽目になった。
やっぱりIP固定って障害が出たときはありがたいが、結構高いよね。
他にもDDNSを2つ使ってるので、そっちを元通りにメインに戻す羽目になった。
やっぱりIP固定って障害が出たときはありがたいが、結構高いよね。
殺伐としたビジネスの世界でイライラするのはよく分かります。
こんな日くらいはネットワークの電源を落として当社のピアノでも弾いてみませんか?
ちょっと懐かし目のXG音源なども心が落ち着きます。
アスタキサンチンって知ってますか?
ヤマハは「ヤマハアスティボ」というアスタキサンチン・サプリメントも作っています。
若々しさを維持したいネットワーク管理者は今すぐこちらで注文を!
http://www.astivo.jp/
こんな日くらいはネットワークの電源を落として当社のピアノでも弾いてみませんか?
ちょっと懐かし目のXG音源なども心が落ち着きます。
アスタキサンチンって知ってますか?
ヤマハは「ヤマハアスティボ」というアスタキサンチン・サプリメントも作っています。
若々しさを維持したいネットワーク管理者は今すぐこちらで注文を!
http://www.astivo.jp/
http://www.rtpro.yamaha.co.jp/netvolante_dns_history.html
DNSってそんなに負荷かからんだろ
DNSってそんなに負荷かからんだろ
RTX1200ってRTX1100よりどれくらいかんたんにWeb設定できるようになってるんですか?
RTX1000-1200までweb設定は三つとも全て同じものだと思ってました
RTX1000-1200までweb設定は三つとも全て同じものだと思ってました
>>724
俺は「無料のものつかってるだから当たり前だろ」で一蹴したった
俺は「無料のものつかってるだから当たり前だろ」で一蹴したった
正確には、ルータを購入したからこそDDNSサービスを無料で使用できるのであって、実質的には無料ではないんじゃない?
「DNSサーバーの移転作業を中止し、移転前の状態に戻すことで復旧いたしました。」
ぉぃぉぃw
ぉぃぉぃw
732 :ううむ:2010/04/17(土) 23:59:10 ID:mW6qrQZX
733 :[email protected]:2010/04/19(月) 09:50:58 ID:???
Windows2003のルーティングとリモートアクセスでVPN接続するように設定しています。
[社内クライアント]-[RT58i]-[Win2003]---VPN---[支店]
社内のIPアドレスは192.168.0.0/24、RT58iが192.168.0.1、Win2003が192.168.0.2
支店が192.168.1.0/24でWin2003からなら接続出来ることを確認済です。
そこで静的ルートで
ip route 192.168.1.0/24 gateway 192.168.0.2
と設定したんですが、RT58iとWin2003とでループしてしまいます・・・。
以前のNTT-MEのルータではこの設定でうまくいってたんですが、何が悪いんでしょう?
[社内クライアント]-[RT58i]-[Win2003]---VPN---[支店]
社内のIPアドレスは192.168.0.0/24、RT58iが192.168.0.1、Win2003が192.168.0.2
支店が192.168.1.0/24でWin2003からなら接続出来ることを確認済です。
そこで静的ルートで
ip route 192.168.1.0/24 gateway 192.168.0.2
と設定したんですが、RT58iとWin2003とでループしてしまいます・・・。
以前のNTT-MEのルータではこの設定でうまくいってたんですが、何が悪いんでしょう?
すいません、書き込んだあともう一回設定し直したらうまくいきました。
恐らくWin2003の設定が間違ってたっぽいです。
スレ汚し申し訳ありませんでした。
恐らくWin2003の設定が間違ってたっぽいです。
スレ汚し申し訳ありませんでした。
736 :[email protected]:2010/04/25(日) 04:51:28 ID:???
NTTから送られてきた PR-200NE を PPPoEブリッジの設定にして、RTX1200から接続を考えています。
[社内LAN]-[RTX1200]-[PR-200NE]--[インターネット]
PR-200NE はルータとして使用した場合に LAN側からの同時接続数(NATセッション数)
が 2048 の制限がありますが、上の場合、この制限は影響しますでしょうか?
ちなみに RTX1200 は同時接続数(NATセッション数)が20000です。
737 :[email protected]:2010/04/25(日) 07:19:16 ID:???
>>736
図が右に行くほどWAN寄りに書いてあると
違和感を覚えるのは、俺だけだろうか。
すでにレスが付いているが、
簡単に言えば、NATを使わないんだから
制限が関係するわけがない。
厳密には違ってくるけど、これと等価と思っても差し支えない。
[ONU]─[HUB]┬[RTX1200]─[社内LAN]
└[ひかり電話アダプタ]
図が右に行くほどWAN寄りに書いてあると
違和感を覚えるのは、俺だけだろうか。
すでにレスが付いているが、
簡単に言えば、NATを使わないんだから
制限が関係するわけがない。
厳密には違ってくるけど、これと等価と思っても差し支えない。
[ONU]─[HUB]┬[RTX1200]─[社内LAN]
└[ひかり電話アダプタ]
スマン。半角混じりだから、図がずれてるな。
こんなモンかな?(またずれてたらゴメン)
[ONU]─[HUB]┬[RTX1200]─[社内LAN]
└[ひかり電話アダプタ]
実際はPR-200NEは一体型だから、ばらさないとこんなことは出来ないんだけど、
概念として、ONUとルーターとひかり電話アダプタが1つのハブに
つながっているのと同じような物だと思って差し支えない。
こんなモンかな?(またずれてたらゴメン)
[ONU]─[HUB]┬[RTX1200]─[社内LAN]
└[ひかり電話アダプタ]
実際はPR-200NEは一体型だから、ばらさないとこんなことは出来ないんだけど、
概念として、ONUとルーターとひかり電話アダプタが1つのハブに
つながっているのと同じような物だと思って差し支えない。
なんでスイッチングHUBのことをHUBっていうの?
リピータハブのことをHUBっていうのが普通じゃないの?
リピータハブのことをHUBっていうのが普通じゃないの?
741 :[email protected]:2010/04/25(日) 12:23:21 ID:Kv4sELt2
740 は40歳以上?
SWって書けってことかね。
しかし今時バカHUBって手に入るの?
しかし今時バカHUBって手に入るの?
言葉は難しいよな
FWをファイアウォールと解釈する人もいるし、ファームウェアと解釈する人もいる
SWをスイッチと解釈する人もいれば、ソフトウェアと解釈する人もいる
たぶん、ネットワークの仕事をしているか、開発の仕事をしているかどうかで大雑把に分かれるんだろうな
FWをファイアウォールと解釈する人もいるし、ファームウェアと解釈する人もいる
SWをスイッチと解釈する人もいれば、ソフトウェアと解釈する人もいる
たぶん、ネットワークの仕事をしているか、開発の仕事をしているかどうかで大雑把に分かれるんだろうな
744 :[email protected]:2010/04/25(日) 13:07:29 ID:???
RTX1000 2台対向のVPNを構築したいのですがうまくいきません…。
双方PPPoEでグローバルIPあふられています。
お互いグローバルIP宛てにpingは通ります。
IPSecの設定自体はWeb画面から行いました。
だいたい以下のような感じになっております。
tunnel select 1
tunnel name hoge
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp768
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike local address 1 ????????IP
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text PASS
ipsec ike remote address 1 ????????IP
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
show ip route をみてみても、お互いにVPN先のネットワークの経路がtunnel1に向いています。
この状態で、VPNの先にあるルーターにpingを打ってもIPSecが繋がりません。
show logをみてもそもそもVPN関係で何かが動いた形跡も見つかりません。
完全に煮詰まりました。
何か動かない原因として考えられることはありますでしょうか。
双方PPPoEでグローバルIPあふられています。
お互いグローバルIP宛てにpingは通ります。
IPSecの設定自体はWeb画面から行いました。
だいたい以下のような感じになっております。
tunnel select 1
tunnel name hoge
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike always-on 1 on
ipsec ike encryption 1 3des-cbc
ipsec ike esp-encapsulation 1 off
ipsec ike group 1 modp768
ipsec ike hash 1 sha
ipsec ike keepalive log 1 on
ipsec ike local address 1 ????????IP
ipsec ike pfs 1 off
ipsec ike pre-shared-key 1 text PASS
ipsec ike remote address 1 ????????IP
ipsec auto refresh 1 on
ip tunnel tcp mss limit auto
tunnel enable 1
show ip route をみてみても、お互いにVPN先のネットワークの経路がtunnel1に向いています。
この状態で、VPNの先にあるルーターにpingを打ってもIPSecが繋がりません。
show logをみてもそもそもVPN関係で何かが動いた形跡も見つかりません。
完全に煮詰まりました。
何か動かない原因として考えられることはありますでしょうか。
今、リピータHUBなんてあるのか?
自分(とその知り合い)は、スイッチングHUBのことは「スイッチ」と言う
自分(とその知り合い)は、スイッチングHUBのことは「スイッチ」と言う
746 :[email protected]:2010/04/25(日) 13:13:19 ID:???
RTXシリーズで、
netvolante-dns 以外のDDNSに対し、更新させる設定をすることはできないんでしょうか?
Dyndnsとか、mydnsとか。
netvolante-dns 以外のDDNSに対し、更新させる設定をすることはできないんでしょうか?
Dyndnsとか、mydnsとか。
>>744
今時ipsecの設定だけを書かれてもね・・・
フィルタリングの設定が未明だから、なんとも言えないけど、
nat descriptor masquerade static 1 1 <グローバルIP> udp 500
nat descriptor masquerade static 1 2 <グローバルIP> esp *
とかはやってる?
今時ipsecの設定だけを書かれてもね・・・
フィルタリングの設定が未明だから、なんとも言えないけど、
nat descriptor masquerade static 1 1 <グローバルIP> udp 500
nat descriptor masquerade static 1 2 <グローバルIP> esp *
とかはやってる?
748 :anonymous@p2-user: 572813 p2-client-ip: 219.111.84.109:2010/04/25(日) 13:42:35 ID:???
>>744
このサンプルで試してみれば。
http://netvolante.jp/solution/int/index.html
ダメだったらサンプルがイマイチってことだね。
あとプロバイダ特有の制限、設定が必要という可能性もなくはないので、
ダメだったらプロバイダとか機器構成を示してみれば。
このサンプルで試してみれば。
http://netvolante.jp/solution/int/index.html
ダメだったらサンプルがイマイチってことだね。
あとプロバイダ特有の制限、設定が必要という可能性もなくはないので、
ダメだったらプロバイダとか機器構成を示してみれば。
ゲットプラスってところで売っているみたいですが、馬鹿に出来ない値段ですね。
恐らく、メーカーがもう製造していないので、稀少価値が上がっています。
http://www.getplus.co.jp/category_h.n.hub.html (ダムHUBなんて蔑称でカテゴライズされてます)
秋葉原が近いのならottoとかになるのでしょうけれど。
恐らく、メーカーがもう製造していないので、稀少価値が上がっています。
http://www.getplus.co.jp/category_h.n.hub.html (ダムHUBなんて蔑称でカテゴライズされてます)
秋葉原が近いのならottoとかになるのでしょうけれど。
イーサケーブルといえば、20年前は 10 BASE-5 の同軸ケーブル。
それが今では、1000BASE-tx のツイストペアケーブル。(その内光ケーブルになるのか?)
時代とともに指す内容が変わってきている。まぁ、そういう事。
古い知識を固持したままだと、取り残されてしまいますよ?
それが今では、1000BASE-tx のツイストペアケーブル。(その内光ケーブルになるのか?)
時代とともに指す内容が変わってきている。まぁ、そういう事。
古い知識を固持したままだと、取り残されてしまいますよ?
>>746
netvolante-dnsは独自プロトコルなんで無理
netvolante-dnsは独自プロトコルなんで無理
ツイストペアケーブルは、Cat.6以降なら10GBASEまで対応してますよ
755 :anonymouse:2010/04/26(月) 03:05:04 ID:???
HUB⇒リピータハブ
SW-HUB⇒スイッチングハブ
これでいいんじゃね?
下手にスイッチングハブをスイッチって省略されちゃうと、いわゆるL2とかL3のインテリスイッチと誤解しそう。
あ、俺だけ?
SW-HUB⇒スイッチングハブ
これでいいんじゃね?
下手にスイッチングハブをスイッチって省略されちゃうと、いわゆるL2とかL3のインテリスイッチと誤解しそう。
あ、俺だけ?
なんか面白い話してんるんだな
きっかけは>>740あたりか?
スマートスイッチとかインテリジェントスイッチっていう言い方は、
スイッチングハブにおける製品分類でしかないみたいだな
俺はいつも以下の感じで書いてるな
HUB
L2SW
L3SW
リピーターハブはL1動作だから、こうするとレイヤー毎に分かりやすく出来るしね
きっかけは>>740あたりか?
スマートスイッチとかインテリジェントスイッチっていう言い方は、
スイッチングハブにおける製品分類でしかないみたいだな
俺はいつも以下の感じで書いてるな
HUB
L2SW
L3SW
リピーターハブはL1動作だから、こうするとレイヤー毎に分かりやすく出来るしね
757 :[email protected]:2010/04/26(月) 08:21:02 ID:???
L2スイッチも人によって認識が違うね
安いSW-HUBだってL2だけど、Catalyst 29xx系みたいな
インテリジェントSWをL2という人もいて話が食い違うことがある
安いSW-HUBだってL2だけど、Catalyst 29xx系みたいな
インテリジェントSWをL2という人もいて話が食い違うことがある
>>757
そんな奴いるの?
そんな奴いるの?
ルータだって、小さい弁当箱から冷蔵庫サイズまであるわな。
どんだけ捌くかの想定って事で、IPのClassA, B, Cに合わせるとか。
L2SW-CならSOHO、小企業、一部署、
L2SW-Bなら中〜大企業みたいな。
# 「アナタの部署はCクラスで十分です」って言ったら
# 怒るおっさんとか出てくるだろうか。
どんだけ捌くかの想定って事で、IPのClassA, B, Cに合わせるとか。
L2SW-CならSOHO、小企業、一部署、
L2SW-Bなら中〜大企業みたいな。
# 「アナタの部署はCクラスで十分です」って言ったら
# 怒るおっさんとか出てくるだろうか。
>>757
Cat29XXでも、2000円程度のSWハブでも、L2SWだろう。
俺の周りは、
L2SW: 2000円のSWハブ、Cat29XXなどのSNMP対応SWハブ(コリジョンドメインを分割できるもの)
インテリジェントSW: SNMP対応SWハブ
だよ。強いて言えば、
バカSW: 非SNMP対応の2000円程度のSWハブ
だな。2000円はあくまでも低価格という意味ね。
Cat29XXでも、2000円程度のSWハブでも、L2SWだろう。
俺の周りは、
L2SW: 2000円のSWハブ、Cat29XXなどのSNMP対応SWハブ(コリジョンドメインを分割できるもの)
インテリジェントSW: SNMP対応SWハブ
だよ。強いて言えば、
バカSW: 非SNMP対応の2000円程度のSWハブ
だな。2000円はあくまでも低価格という意味ね。
読者をみて書けばいいんじゃない?
このスレ見てるやつで>>737 のHUBぐらいならL2やリピータ、ブリッジの違いが
問題になると思うやつはおらんだろ
世の中にはハブって言ってあげないと理解できない人もいるわけだし・・・
このスレ見てるやつで>>737 のHUBぐらいならL2やリピータ、ブリッジの違いが
問題になると思うやつはおらんだろ
世の中にはハブって言ってあげないと理解できない人もいるわけだし・・・
762 :[email protected]:2010/04/26(月) 21:07:48 ID:FTkC6wPT
SRT100でクライアントからVPNで接続させようと下のような設定しています。
tunnel select 1
description tunnel VPN
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.0.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *************
ipsec ike remote address 1 any
ipsec ike remote name 1 VPNUSER01
ip tunnel tcp mss limit auto
tunnel enable 1
YMS-VPN1で動作確認すると正常に動いており、接続先とのファイル共有なども問題なく行えます。
ヤマハのクライアントソフトを使用せずにWindowsXPProの機能でVPN接続するにはどうすればいいのでしょうか?
無理?どこに情報があるのかわからなくて詰まってます。
tunnel select 1
description tunnel VPN
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike local address 1 192.168.0.1
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *************
ipsec ike remote address 1 any
ipsec ike remote name 1 VPNUSER01
ip tunnel tcp mss limit auto
tunnel enable 1
YMS-VPN1で動作確認すると正常に動いており、接続先とのファイル共有なども問題なく行えます。
ヤマハのクライアントソフトを使用せずにWindowsXPProの機能でVPN接続するにはどうすればいいのでしょうか?
無理?どこに情報があるのかわからなくて詰まってます。
平たく言うと諦めろ。
親切に言うとPPTP使え。
親切に言うとPPTP使え。
>>762
winからだと固定IPじゃないと無理とかどっかで見た記憶がある
winからだと固定IPじゃないと無理とかどっかで見た記憶がある
765 :[email protected]:2010/04/26(月) 23:23:03 ID:FTkC6wPT
>>765
コマンドリファレンスを見たら、残念ながら
PPTPの項目の適用モデルにSRT100は記載されてないね。
以前読んだ本に、windows2000以降にIPsecは載ってるけど
アグレッシブモードに対応してないので、固定IPが必要で、
かつNAT越え出来ない=PCにグローバルIPアドレスが必要
ってことだった気がする。(うろ覚えだが)
コマンドリファレンスを見たら、残念ながら
PPTPの項目の適用モデルにSRT100は記載されてないね。
以前読んだ本に、windows2000以降にIPsecは載ってるけど
アグレッシブモードに対応してないので、固定IPが必要で、
かつNAT越え出来ない=PCにグローバルIPアドレスが必要
ってことだった気がする。(うろ覚えだが)
767 :anonymous@p2-user: 572813 p2-client-ip: 219.111.94.163:2010/04/27(火) 01:59:59 ID:???
未実装ではなく非実装。
実装する予定は無い。
実装する予定は無い。
素直にVPNクライアントソフト買えということで結論でしょうか。
妄想ですがOpenswan等を利用してWindows対応クライアントを誰か作ってないかな?
妄想ですがOpenswan等を利用してWindows対応クライアントを誰か作ってないかな?
>>762
PPTP対応のRTX1000/1100/1200 などを使う。
PPTPは遅いので、結局IPSECがお勧め。
出先やモバイル利用なら、PPTP利用ってことになる。
安価なものを選択したいなら、中古のRTX1000がお勧め。
PPTP対応のRTX1000/1100/1200 などを使う。
PPTPは遅いので、結局IPSECがお勧め。
出先やモバイル利用なら、PPTP利用ってことになる。
安価なものを選択したいなら、中古のRTX1000がお勧め。
>>769
SRT100とswanは繋がるらしいが。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_44.html
SRT100とswanは繋がるらしいが。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.00/relnote_10_00_44.html
この辺に使えるのあるといいね。
//compnetworking.about.com/od/vpn/tp/vpnsoftwarefree.htm
//compnetworking.about.com/od/vpn/tp/vpnsoftwarefree.htm
773 :[email protected]:2010/04/27(火) 11:06:06 ID:???
RTX1000でもWindowsの標準機能IPSecは接続できないという事でおkかね
リモートアクセスはやっぱ素直にPPTPなのかなー
リモートアクセスはやっぱ素直にPPTPなのかなー
またfusianasanされた。。。
>>768
いや、わからんぞ。
RTX1000やRTA55iの時代に、
「コンシューマ機はPPTP、業務機はIPsecで棲み分けるので
業務機にPPTPを実装する予定はない。」
ってのをrt100usersのMLで読んだ気がするが、結局搭載された。
フラッシュメモリやRAMに余裕があるのなら、技術的には可能なはず。
強い要望があれば、載せる可能性はあるのでは?
いや、わからんぞ。
RTX1000やRTA55iの時代に、
「コンシューマ機はPPTP、業務機はIPsecで棲み分けるので
業務機にPPTPを実装する予定はない。」
ってのをrt100usersのMLで読んだ気がするが、結局搭載された。
フラッシュメモリやRAMに余裕があるのなら、技術的には可能なはず。
強い要望があれば、載せる可能性はあるのでは?
>>775
RTX1500とかが最たる例だね。
RTX1500とかが最たる例だね。
RT58iのチップは確かハードウェアのIPsec(AES)対応じゃなかったっけ?
これは完全に業務機の足元を脅かすのでIPsecは載らないだろうけど。
これは完全に業務機の足元を脅かすのでIPsecは載らないだろうけど。
個人的には AC アダプタという時点で業務機として却下だが >RT58
作業中にすぐ抜ける。
作業中にすぐ抜ける。
なんの作業中なの、すぐ抜けて困るって。
まさかルーター設置中とか言わないよな?
まさかルーター設置中とか言わないよな?
HUBの次はACアダプタかw
テメェの取り扱いの悪さを物のせいにするとはw
782 :anonymouse:2010/04/27(火) 23:59:21 ID:???
>>779-781
お前らの仕事場がすげぇ恵まれてるのはよく分かった。
お前らの仕事場がすげぇ恵まれてるのはよく分かった。
783 :[email protected]:2010/04/28(水) 01:10:28 ID:???
業務で実稼働中の装置の怖さを知らないな…
ACアダプタがすぐ抜けるような環境だと
直出しじゃないACケーブルも怖くて使えないな
直出しじゃないACケーブルも怖くて使えないな
ん?
抜けるって、機器側なの?
100V側かと思ったんだが。
抜けるって、機器側なの?
100V側かと思ったんだが。
>>773
どういう接続とか、どういう使い方なのか具体的に示して見たら?
例えば、以下のようにとか。
(本社)SRT100----IPSec---RTX1000(支社)
(支社)RTX1000---PPTP---WinXp(自宅)
どういう接続とか、どういう使い方なのか具体的に示して見たら?
例えば、以下のようにとか。
(本社)SRT100----IPSec---RTX1000(支社)
(支社)RTX1000---PPTP---WinXp(自宅)
殺 伐 と し た ス レ に A C ア ダ プ タ が ! !
li li__|_||
/|::::::::::::::::::::|
|| |/ |::::::::::::::::::::|====li
ll/ ●|::::::::::::::::::::|===
|l / |:::::::, '⌒ヽ| ||
| .| |:::::::l :::::`ヽ __ l|
|●',./i |:::::::ヽ :::::::..⌒)
li | .| `、 | |:::::::::::` ー- --- '
(⌒ヽ__ノ.| |::::::::::::::::::::| ll
ヽ, .| |::::::::::::::::::::| |l
` -.| / ̄ ̄ ̄/
| /:::::::l⌒l::/ ||
li | /:::::::::::::| .|'
|/:::::::l⌒l__.| .| li ズズ‐ン
 ̄ ̄.| | (⌒ ,'" `ヾ
|| (⌒ヽ | |( `v , '"`ヽ
, '"`v (⌒ ,'" `ヾ" ',
li li__|_||
/|::::::::::::::::::::|
|| |/ |::::::::::::::::::::|====li
ll/ ●|::::::::::::::::::::|===
|l / |:::::::, '⌒ヽ| ||
| .| |:::::::l :::::`ヽ __ l|
|●',./i |:::::::ヽ :::::::..⌒)
li | .| `、 | |:::::::::::` ー- --- '
(⌒ヽ__ノ.| |::::::::::::::::::::| ll
ヽ, .| |::::::::::::::::::::| |l
` -.| / ̄ ̄ ̄/
| /:::::::l⌒l::/ ||
li | /:::::::::::::| .|'
|/:::::::l⌒l__.| .| li ズズ‐ン
 ̄ ̄.| | (⌒ ,'" `ヾ
|| (⌒ヽ | |( `v , '"`ヽ
, '"`v (⌒ ,'" `ヾ" ',
789 :[email protected]:2010/04/28(水) 12:51:40 ID:???
rtx1100のLAN分割機能使うと、スループットがかなり落ちない?
lan type lan1 port-based-ks8995m=divide-network
下り:15Mbps
lan type lan1 port-based-ks8995m=off
下り:60Mbps
ちなみにファームウェアは8.03.88
情報求む。
lan type lan1 port-based-ks8995m=divide-network
下り:15Mbps
lan type lan1 port-based-ks8995m=off
下り:60Mbps
ちなみにファームウェアは8.03.88
情報求む。
790 :[email protected]:2010/04/28(水) 14:28:34 ID:???
a
791 :[email protected]:2010/04/28(水) 14:29:22 ID:???
間違えた。
ファストパスが無効になるのね。
解決しました。
ファストパスが無効になるのね。
解決しました。
最近なんか元気がいいなぁ。このスレ。
そろろそ Interop
HP 見に行って、今年の開催は 7/11 かぁ、って良く見たら 6/7〜11だった onz
http://www.interop.jp/sponsor/media.html
TOKYO | 7-11 JUNE, 2010
期待してます -> ヤマハたん
HP 見に行って、今年の開催は 7/11 かぁ、って良く見たら 6/7〜11だった onz
http://www.interop.jp/sponsor/media.html
TOKYO | 7-11 JUNE, 2010
期待してます -> ヤマハたん
>744
グローバルIPは固定IP?
当方は、netvolante dns利用してRTX1200(Bフレッツ)とRTX1100(イーアクセスADSL)でVPN(IPsec)できてるよ。
グローバルIPは固定IP?
当方は、netvolante dns利用してRTX1200(Bフレッツ)とRTX1100(イーアクセスADSL)でVPN(IPsec)できてるよ。
RTX1200の新ファーム来たね。
ファームウェア多重が出来るから、
遠慮無く試せるので助かる。
ファームウェア多重が出来るから、
遠慮無く試せるので助かる。
796 :administrator:2010/04/29(木) 10:48:50 ID:0ZnOlRgI
眠っていたRTX3000を使おうと思ったらパスワードがわかりません。
RTX3000でパスワードがわからない時の初期化方法ってあるんでしょうか?
すみませんが教えてください。
RTX3000でパスワードがわからない時の初期化方法ってあるんでしょうか?
すみませんが教えてください。
security classをいじってなければ、RS232Cでつないで、
w,lXlma( ダブリュー、カンマ、エル、エックス、エル、エム、エー)
w,lXlma( ダブリュー、カンマ、エル、エックス、エル、エム、エー)
798 :[email protected]:2010/05/01(土) 01:19:32 ID:???
RTX1200ってなんでMTU 9000に対応しねーの?
まじで腐ってやがる
まじで腐ってやがる
この板の中のどこかに、いいスレがあったのを探しています。
リジェクトフィルタすると広告などが表示されなくて都合のよくなるURLのリストを皆で作ろうという内容だったのだけど。
リンクを教えてください。
せっかくなので、休み中に、
url filter 65000 reject doubleclick *
みたいなフィルタをたくさん作ってやろうと思っています。
マルウェア(悪質なクッキー)の阻止や、広告が表示されなくなったら快適だ。
リジェクトフィルタすると広告などが表示されなくて都合のよくなるURLのリストを皆で作ろうという内容だったのだけど。
リンクを教えてください。
せっかくなので、休み中に、
url filter 65000 reject doubleclick *
みたいなフィルタをたくさん作ってやろうと思っています。
マルウェア(悪質なクッキー)の阻止や、広告が表示されなくなったら快適だ。
rtx1100シリーズ以上でも、外部データベース型のURLフィルタリングができる。
これはおそらく、アクセスされるURLについて、外部データベースにお伺いをかけるのだろうと思う。
膨大な量のURLからの検索は外部データーベースに任せるわけだ。rtxには負荷がかからない。
しかし、とっても高い費用がかかる。
rtxに接続するユーザー数に応じて値が跳ね上がる。
あるデータベース業者では31人から50人では年間で、\180000らしい。
これはだめだ。貧乏だから払えない。
せっかくOSSやIP電話などをつかってコストを押さえているのに。
LINUXをつかったOSSのURLフィルタリングサーバーってないだろうか。
定期的に指定サイトが更新されていくと嬉しい。
それがなくても、自分でデータベースに登録していけたらいい。
これはおそらく、アクセスされるURLについて、外部データベースにお伺いをかけるのだろうと思う。
膨大な量のURLからの検索は外部データーベースに任せるわけだ。rtxには負荷がかからない。
しかし、とっても高い費用がかかる。
rtxに接続するユーザー数に応じて値が跳ね上がる。
あるデータベース業者では31人から50人では年間で、\180000らしい。
これはだめだ。貧乏だから払えない。
せっかくOSSやIP電話などをつかってコストを押さえているのに。
LINUXをつかったOSSのURLフィルタリングサーバーってないだろうか。
定期的に指定サイトが更新されていくと嬉しい。
それがなくても、自分でデータベースに登録していけたらいい。
Firefoxとかブラウザのアドオン使って自分の行くサイトの広告ブロックした方が早いと思うよ
squidguardでも導入すれば?
今、ここを読んでいるところ。
よかったらぜひ使ってみるわ。なんか、よさげだ。ありがとう。
http://sourceforge.jp/magazine/07/03/05/0116208
気軽に問題サイトURLリストなんかが使えればいいのだけど。
独自にするのは、doubleclick 2o7 atdmtくらいのクッキくらい。
それでも、
show url filterすると、結構ひっかかっている。
これが快感だ。実際に役にたってるのかどうかは知らないが。
よかったらぜひ使ってみるわ。なんか、よさげだ。ありがとう。
http://sourceforge.jp/magazine/07/03/05/0116208
気軽に問題サイトURLリストなんかが使えればいいのだけど。
独自にするのは、doubleclick 2o7 atdmtくらいのクッキくらい。
それでも、
show url filterすると、結構ひっかかっている。
これが快感だ。実際に役にたってるのかどうかは知らないが。
スレタイ検索しても2chではWebキャッシュサーバとしてのsquidしか出てこない>場所はUNIX版
ひたすらググるしか無い
貴君の検討を祈る
ひたすらググるしか無い
貴君の検討を祈る
>>805
へーーっ、
squidguardってすごいんだね。
設定をすれば透過型プロキシにもなれるから、ブラウザでプロキシの設定がいらないんだね。
これは、rtxのurlフィルタ機能にとても似ている。
rtxでは独自に内部データベース機能を使う限り、(rtx3000以外では)128個までしかフィルタできないのが難点だ。
squidguardを使えば、urlフィルタの代わりができそうだね。
ためしに使ってみます。
ssd搭載で、しかも完全ファンレス(電源もACアダプタタイプ)の高性能サーバーを組んで、
squidguardを入れます!
教えてくれてどうもありがとう。ああ今日はいい夜だ。
へーーっ、
squidguardってすごいんだね。
設定をすれば透過型プロキシにもなれるから、ブラウザでプロキシの設定がいらないんだね。
これは、rtxのurlフィルタ機能にとても似ている。
rtxでは独自に内部データベース機能を使う限り、(rtx3000以外では)128個までしかフィルタできないのが難点だ。
squidguardを使えば、urlフィルタの代わりができそうだね。
ためしに使ってみます。
ssd搭載で、しかも完全ファンレス(電源もACアダプタタイプ)の高性能サーバーを組んで、
squidguardを入れます!
教えてくれてどうもありがとう。ああ今日はいい夜だ。
>>807
ASTERISKなどのOSS生活で、苦手だけど英語がもう苦にならなくなってしまった。
googleの検索結果が英語でも嫌にならなくなったどころか、
情報が少ない場合には、ありがたいとすら感じる。
がんばってみます。助言、感謝です。
ASTERISKなどのOSS生活で、苦手だけど英語がもう苦にならなくなってしまった。
googleの検索結果が英語でも嫌にならなくなったどころか、
情報が少ない場合には、ありがたいとすら感じる。
がんばってみます。助言、感謝です。
>>801-809
この問題の中核となる部分でもあるから、URLデータベースについて引用をしておきたい。
squidGuardをフィルターとして機能させるには、
ブロックすべきドメインおよびURLのリストが必要になる。
仮に、自分でブラックリストを作成して管理するとしたら
膨大な時間を注ぎ込む必要があるだろうが、幸いにして、
クオリティの高いブラックリストがダウンロードでき、
アップデートによって新しいものに変えることもできる。
最大の規模で最もよく知られたブラックリストの1つを管理しているのが、
Shalla Security Servicesである。
http://sourceforge.jp/magazine/07/03/05/0116208/2 から引用
透過型プロキシであること、豊富なURLブラックリストが存在すること、
まさに、squidGuardは、わたしが求めていたものだった。
>>805さんの一言は、とてつもなく大きい。
なので、ここに感謝を表明したい。
ところで、また、この板に、squidGuardスレがあってもおかしくないと思った。
感銘を受けたしょくんが、立ててほしいと思う。
この問題の中核となる部分でもあるから、URLデータベースについて引用をしておきたい。
squidGuardをフィルターとして機能させるには、
ブロックすべきドメインおよびURLのリストが必要になる。
仮に、自分でブラックリストを作成して管理するとしたら
膨大な時間を注ぎ込む必要があるだろうが、幸いにして、
クオリティの高いブラックリストがダウンロードでき、
アップデートによって新しいものに変えることもできる。
最大の規模で最もよく知られたブラックリストの1つを管理しているのが、
Shalla Security Servicesである。
http://sourceforge.jp/magazine/07/03/05/0116208/2 から引用
透過型プロキシであること、豊富なURLブラックリストが存在すること、
まさに、squidGuardは、わたしが求めていたものだった。
>>805さんの一言は、とてつもなく大きい。
なので、ここに感謝を表明したい。
ところで、また、この板に、squidGuardスレがあってもおかしくないと思った。
感銘を受けたしょくんが、立ててほしいと思う。
Living On The Lan
どこにもないそうなので、
http://pc11.2ch.net/test/read.cgi/sec/1272658571/l50 に、立ててきました!
ネットワークセキュリティー板にすらなかったです。
どこにもないそうなので、
http://pc11.2ch.net/test/read.cgi/sec/1272658571/l50 に、立ててきました!
ネットワークセキュリティー板にすらなかったです。
squidguardはsquidとセットで動くからUNIX版かsquidスレに混ぜてもらうかすればいいと思ったけど、まあいいや。
折角だから、追加があったらそっちに書きこむよ。
折角だから、追加があったらそっちに書きこむよ。
1000はもう更新ないんじゃね?
やっぱり、そうなのかな?
順次リリースってあるから出るものだと思ってるんだけど・・・
上位機種に移行するか・・・
順次リリースってあるから出るものだと思ってるんだけど・・・
上位機種に移行するか・・・
816 :anonymouse:2010/05/01(土) 21:18:09 ID:???
> 上記以外の機種では、対策ファームウェアのリリース予定はありません。下記の回避策の適用をご検討ください。
手が空いたら対応しますって事じゃねぇの?
手が空いたら対応しますって事じゃねぇの?
817 :[email protected]:2010/05/01(土) 21:19:19 ID:???
どこをどう読んだら「順次リリース」が「更新予定なし」に読めるんだよ
>>801
>外部データベース型のURLフィルタリング
そうそう、この「外部データベース」を自前で建てたかったんだけど
RTXとDBとの間の通信プロトコル仕様が公開されてないんだよね?
URL を受けて、その内容に応じてレスポンスコードを返すだけなら、簡単に作れそうなんだが
>外部データベース型のURLフィルタリング
そうそう、この「外部データベース」を自前で建てたかったんだけど
RTXとDBとの間の通信プロトコル仕様が公開されてないんだよね?
URL を受けて、その内容に応じてレスポンスコードを返すだけなら、簡単に作れそうなんだが
>>819
アクセス先(データベース)はそもそも
RTXファームウェアにハードコーティングされているのと違うかな。
なんとなくそうなっているように思う。知らないけど。
そうでもないのならパケットが解析されて野良URL_DBなんかが出てきそう。
それから、契約の度に製造元が利益を得られるという仕組みがあってもおかしくない。
>URL を受けて、その内容に応じてレスポンスコードを返すだけなら、簡単に作れそうなんだが
たしかに。
http://pc11.2ch.net/test/read.cgi/sec/1272658571/l50
が、ブラックリスト豊富で無償なのでいいと思った。
透過型なのでRTX URLフィルターと同じことができそう。
アクセス先(データベース)はそもそも
RTXファームウェアにハードコーティングされているのと違うかな。
なんとなくそうなっているように思う。知らないけど。
そうでもないのならパケットが解析されて野良URL_DBなんかが出てきそう。
それから、契約の度に製造元が利益を得られるという仕組みがあってもおかしくない。
>URL を受けて、その内容に応じてレスポンスコードを返すだけなら、簡単に作れそうなんだが
たしかに。
http://pc11.2ch.net/test/read.cgi/sec/1272658571/l50
が、ブラックリスト豊富で無償なのでいいと思った。
透過型なのでRTX URLフィルターと同じことができそう。
821 :805, 807, 812:2010/05/04(火) 03:00:13 ID:???
>>820
クライアント設定不要の透過型プロキシにするためには、iptablesを書いたりとか、
Squid/SquidGuardサーバがゲートウェイになるように配置したりとかの「工夫」が必要だよ。
それをやらないなら、やはりクライアント側でプロキシサーバを使う設定を入力するしかない。
まあ、ググればすぐに分かると思うけど。
クライアント設定不要の透過型プロキシにするためには、iptablesを書いたりとか、
Squid/SquidGuardサーバがゲートウェイになるように配置したりとかの「工夫」が必要だよ。
それをやらないなら、やはりクライアント側でプロキシサーバを使う設定を入力するしかない。
まあ、ググればすぐに分かると思うけど。
>>820
外部データベースを持つサーバにアクセスする時に使用するProxyサーバのアドレス、ポート番号を設定できる
みたいだから、プロキシ経由で通信させて、そのプロキシの通信ログを解析すればURLがでてくるかもな。
プロトコルはたぶんHTTP使ってると思うけど。
外部データベースを持つサーバにアクセスする時に使用するProxyサーバのアドレス、ポート番号を設定できる
みたいだから、プロキシ経由で通信させて、そのプロキシの通信ログを解析すればURLがでてくるかもな。
プロトコルはたぶんHTTP使ってると思うけど。
RTXと回線終端装置の間にリピーターハブを挟んでWireShark・・・
いや、なんでもない
いや、なんでもない
空いてるならミラーリングポート使った方が
826 :Anony:2010/05/05(水) 09:33:44 ID:pc/ng7s8
2ch掲示板のリンクをクリックしたときに、イヤラシイ広告が張られたページに飛ばされますが、
これらの画像をブロッキングしたいと思っています。
ブラウザでその画像のURLのコピーをとって貼り付けたものです。
img.bbchat.tv/images/bannar/i46860-2.gif
aqua.dmm.co.jp/bana/2ch/ani468_60_2.gif
これらをURLフィルターに設定します。
url filter 29099 pass * *
url filter 29311 reject bbchat.tv *
url filter 29312 reject cyber-traffic.net * ←htmlソースで発見(flashを表示させている)
url filter 29313 reject dmm.co.jp *
PPインターフェイスにセットします。
url pp filter out 29311 29312 29313 29099
結果
おー、イヤラシイ画像が消えた。
これで家族の目を気にする必要がなくなりました。
これらの画像をブロッキングしたいと思っています。
ブラウザでその画像のURLのコピーをとって貼り付けたものです。
img.bbchat.tv/images/bannar/i46860-2.gif
aqua.dmm.co.jp/bana/2ch/ani468_60_2.gif
これらをURLフィルターに設定します。
url filter 29099 pass * *
url filter 29311 reject bbchat.tv *
url filter 29312 reject cyber-traffic.net * ←htmlソースで発見(flashを表示させている)
url filter 29313 reject dmm.co.jp *
PPインターフェイスにセットします。
url pp filter out 29311 29312 29313 29099
結果
おー、イヤラシイ画像が消えた。
これで家族の目を気にする必要がなくなりました。
>>826
> これで家族の目を気にする必要がなくなりました。
専ブラかAdblock使うレベル。
ウチの会社はネット規制ない(経営を危ぶむレベルで金もない)から、
せめてurl filterで全てPassし、ログサーバ立てて、PerlでURLデコードして
日時・IP・検索語を管理者宛にメール送ってる。
URL_Filterにかかった行数をインクリメントしてグラフ化したり。
> これで家族の目を気にする必要がなくなりました。
専ブラかAdblock使うレベル。
ウチの会社はネット規制ない(経営を危ぶむレベルで金もない)から、
せめてurl filterで全てPassし、ログサーバ立てて、PerlでURLデコードして
日時・IP・検索語を管理者宛にメール送ってる。
URL_Filterにかかった行数をインクリメントしてグラフ化したり。
>>827
ソースキボンヌ
ソースキボンヌ
829 :ANY:2010/05/05(水) 11:11:13 ID:pc/ng7s8
>>827
そう、会社やっているとインターネット閲覧問題がでてきますよね。
社員に与えている各端末は、うちなんか、きつくて、ホワイトリスト形式をとっています。
リクエストに応じて仕入先の注文フォームなどを、url filter pass に登録するようにしています。
そうする以前は、DNSリクエストログに仕事とは無関係のサイトが載りました。
リクエスト時間とIPアドレスから、特定の社員が仕事中に長時間遊んでいるようでした。
無制限につかえるパソコンはgnomeを使用したもので、共用できる場所に設置しています。
そうすれば仕事中に閲覧で時間をつぶされることもなくなります。
モラルの問題だとは思いますが、
社員に与えられているパソコンは、決められた目的を果たすためのツールだという見方をとっています。
無制限のインターネットは、そういう目的を破綻させてしまいます。
目的をはっきりさせるためにはホワイトリストは有効です。
共用パソコンについては、ブラックリストでアクセス先を限定したいと思っています。
2ch、mixiなどはブラックリスト入りです。
お金がないので、
今うえで話が盛り上がっている squidGuard を試したいですね。
そう、会社やっているとインターネット閲覧問題がでてきますよね。
社員に与えている各端末は、うちなんか、きつくて、ホワイトリスト形式をとっています。
リクエストに応じて仕入先の注文フォームなどを、url filter pass に登録するようにしています。
そうする以前は、DNSリクエストログに仕事とは無関係のサイトが載りました。
リクエスト時間とIPアドレスから、特定の社員が仕事中に長時間遊んでいるようでした。
無制限につかえるパソコンはgnomeを使用したもので、共用できる場所に設置しています。
そうすれば仕事中に閲覧で時間をつぶされることもなくなります。
モラルの問題だとは思いますが、
社員に与えられているパソコンは、決められた目的を果たすためのツールだという見方をとっています。
無制限のインターネットは、そういう目的を破綻させてしまいます。
目的をはっきりさせるためにはホワイトリストは有効です。
共用パソコンについては、ブラックリストでアクセス先を限定したいと思っています。
2ch、mixiなどはブラックリスト入りです。
お金がないので、
今うえで話が盛り上がっている squidGuard を試したいですね。
830 :[email protected]:2010/05/05(水) 11:14:33 ID:???
831 :ANY:2010/05/05(水) 11:26:37 ID:pc/ng7s8
URLフィルタは、httpsプロトコルには機能しませんよね。
これらは全部通ってしまうと思います。
自動アップデート関係は通すために次のホワイトリストも設置しています。
url filter 10 pass microsoft.com *
url filter 11 pass windowsupdate.com *
url filter 16 pass paretologic.com *
url filter 17 pass adobe.com *
url filter 18 pass-log pack * ←グーグルパック用
url filter 19 pass openoffice.org *
ブラウザを使わない自動WINDOWSアップデートも、通信方式は、httpプロトコルなので
これで問題なかったと思います。
これらは全部通ってしまうと思います。
自動アップデート関係は通すために次のホワイトリストも設置しています。
url filter 10 pass microsoft.com *
url filter 11 pass windowsupdate.com *
url filter 16 pass paretologic.com *
url filter 17 pass adobe.com *
url filter 18 pass-log pack * ←グーグルパック用
url filter 19 pass openoffice.org *
ブラウザを使わない自動WINDOWSアップデートも、通信方式は、httpプロトコルなので
これで問題なかったと思います。
そう言うのってProxyでやるもんじゃないの?
ルータでやるのが一般的なのか?
ルータでやるのが一般的なのか?
ルータの url filter は甘いからなぁ
>>831 の設定だと
http://pc11.2ch.net/test/read.cgi/network/1245454435/?adobe.com
で通らないか?
>>831 の設定だと
http://pc11.2ch.net/test/read.cgi/network/1245454435/?adobe.com
で通らないか?
834 :ANY:2010/05/05(水) 12:08:44 ID:pc/ng7s8
>>833
多分通るだろうなあ。
url filter 99 reject ABC *
のようなフィルタをセットすると、
クエリストリングを使っているためグーグルでは、
"ABC"が検索できなくなる。
言ってみれば一種の「セキュリティーホール」だな。
多分通るだろうなあ。
url filter 99 reject ABC *
のようなフィルタをセットすると、
クエリストリングを使っているためグーグルでは、
"ABC"が検索できなくなる。
言ってみれば一種の「セキュリティーホール」だな。
835 :[email protected]:2010/05/05(水) 12:30:18 ID:???
ある程度の規模があればProxyやWSUS設置するけど
取引先とのVPN専用PC 1台みたいな環境だとルータで何とかしたいね
取引先とのVPN専用PC 1台みたいな環境だとルータで何とかしたいね
836 :ANY:2010/05/05(水) 13:16:04 ID:pc/ng7s8
>>835
うんまあ、今はそうなんだけど、ちょっと計画がある。
複数の支店と本店とをvpnで結んで、インターネットへのゲートウェイを
一箇所にするの。そうしたら、squidGuard(上で出てきた)にまとめて通せる。
もう数年前からRTXで、IPSECのVPNはできているんだ。(固定IPで同一プロバイダを使っている。PINGで2.5msecほどなので高速。)
でもまだゲートウェイ一本化はやっていない。拠点個々のRTXでURLフィルタリングをしている。
一本化すればURLフィルタの管理が楽になるから、ぜひやりたいと思っている。
うんまあ、今はそうなんだけど、ちょっと計画がある。
複数の支店と本店とをvpnで結んで、インターネットへのゲートウェイを
一箇所にするの。そうしたら、squidGuard(上で出てきた)にまとめて通せる。
もう数年前からRTXで、IPSECのVPNはできているんだ。(固定IPで同一プロバイダを使っている。PINGで2.5msecほどなので高速。)
でもまだゲートウェイ一本化はやっていない。拠点個々のRTXでURLフィルタリングをしている。
一本化すればURLフィルタの管理が楽になるから、ぜひやりたいと思っている。
>>836
話題を提供してくれた>>821氏がわざわざ描いてくれているけど、透過型にするならおそらく
Linux(たぶんCentOSを予定していると思うけど)でPPPoEもするってことになると思うよ。
情報は結構あるから構築は大丈夫だと思うけど。
www.google.co.jp/search?hl=ja&q=%22linux%22+%22pppoe%22&lr=&aq=f&aqi=g6&aql=&oq=&gs_rfai=
話題を提供してくれた>>821氏がわざわざ描いてくれているけど、透過型にするならおそらく
Linux(たぶんCentOSを予定していると思うけど)でPPPoEもするってことになると思うよ。
情報は結構あるから構築は大丈夫だと思うけど。
www.google.co.jp/search?hl=ja&q=%22linux%22+%22pppoe%22&lr=&aq=f&aqi=g6&aql=&oq=&gs_rfai=
838 :ANY:2010/05/05(水) 13:29:33 ID:pc/ng7s8
>>836
某企業ではIPsecVPNの代わりに広域Ethernetでその形を
採用しているところがあったけど、トラフィック集中による回線帯域拡張と、
インターネット回線の冗長化のためにコストが膨らんだのをみたことがある。
某企業はGbpsクラスの回線とルータ、FWも冗長化しておりすげぇーと
関心したことがあり、回線費用だけでも月額数百万のランニングコストだった。
で、ルータもFWもGbpsを処理できるものと信頼性が必要なので、こちらも、
合計で定価ベースで一千万弱クラス。
で、重要性が高いからこれらのNW機器の運用管理、メンテナンスはもちろん、
24時間365日で保守料金も定価の10-20%で高額となる。また、監視オペレータか
キャリアの監視サービスが必要となってくるため、オペレーションコストが増大する。
つまり、きちんとした調査(面倒なので省略しがち)とNW設計、
運用設計(ここ忘れがち)をしないと痛いしっぺ返しをくらうから気をつけてね。
インターネットへの出口が拠点毎にあるのはある意味リスクヘッジになるから、
俺はそれも設計の一要素と思っている。
某企業ではIPsecVPNの代わりに広域Ethernetでその形を
採用しているところがあったけど、トラフィック集中による回線帯域拡張と、
インターネット回線の冗長化のためにコストが膨らんだのをみたことがある。
某企業はGbpsクラスの回線とルータ、FWも冗長化しておりすげぇーと
関心したことがあり、回線費用だけでも月額数百万のランニングコストだった。
で、ルータもFWもGbpsを処理できるものと信頼性が必要なので、こちらも、
合計で定価ベースで一千万弱クラス。
で、重要性が高いからこれらのNW機器の運用管理、メンテナンスはもちろん、
24時間365日で保守料金も定価の10-20%で高額となる。また、監視オペレータか
キャリアの監視サービスが必要となってくるため、オペレーションコストが増大する。
つまり、きちんとした調査(面倒なので省略しがち)とNW設計、
運用設計(ここ忘れがち)をしないと痛いしっぺ返しをくらうから気をつけてね。
インターネットへの出口が拠点毎にあるのはある意味リスクヘッジになるから、
俺はそれも設計の一要素と思っている。
>>828
へぼPerlerの適当スクリプトだからね。正規表現いい加減だから、手落ちもある。
2chでの可読性の為の全角スペースは直して。改行多すぎるから一部のみ。
サブルーチン化した方がいい。
Google以外のエンジンは条件分岐追加で、自分用の抜け道エンジン残しても吉。
あとLinux+syslogdは別途自分で。賢者は手直し頼む。
while (<$fh>) {
next unless $_ =~ /\[URL_FILTER\]/;
my @colms = split ' ', $_;
if ( $colms[12] =~ qw|google.co.jp/search?|) {
$colms[12] =~ s/^.+search.+?q\=(.+?)\&.+?$/$1/g;
if ($colms[12] =~ /%[0-9A-Fa-f]{2}/) {
$colms[12] =~ tr/+/ /;
$colms[12] =~ s/%([0-9A-Fa-f][0-9A-Fa-f])/pack('H2', $1)/eg;
$q{$qid} = $colms[12];
next if $colms[12] =~ /^http/ or $q{$qid-1} eq $colms[12];
$message .= "$colms[2] : $colms[10]\t->\t$colms[12]";
$qid++;
}
Luaがあるんだから、Yamahaの中の人が用意してくれないかな・・・
へぼPerlerの適当スクリプトだからね。正規表現いい加減だから、手落ちもある。
2chでの可読性の為の全角スペースは直して。改行多すぎるから一部のみ。
サブルーチン化した方がいい。
Google以外のエンジンは条件分岐追加で、自分用の抜け道エンジン残しても吉。
あとLinux+syslogdは別途自分で。賢者は手直し頼む。
while (<$fh>) {
next unless $_ =~ /\[URL_FILTER\]/;
my @colms = split ' ', $_;
if ( $colms[12] =~ qw|google.co.jp/search?|) {
$colms[12] =~ s/^.+search.+?q\=(.+?)\&.+?$/$1/g;
if ($colms[12] =~ /%[0-9A-Fa-f]{2}/) {
$colms[12] =~ tr/+/ /;
$colms[12] =~ s/%([0-9A-Fa-f][0-9A-Fa-f])/pack('H2', $1)/eg;
$q{$qid} = $colms[12];
next if $colms[12] =~ /^http/ or $q{$qid-1} eq $colms[12];
$message .= "$colms[2] : $colms[10]\t->\t$colms[12]";
$qid++;
}
Luaがあるんだから、Yamahaの中の人が用意してくれないかな・・・
>>839
いや、そこまで大掛かりな企業でもないので。中小企業です。
支店2箇所にそれぞれBフレッツファミリーと、本店にベーシックをひっぱって、
月額2000円ほどのプロバイダをつかっています。
VPN拠点で固定IPを振るようになってから、VPNがダウンすることは全くなくなりました。
ここ二年で障害はない。
でもたしかに、拠点毎にインターネットへのゲートウェイはあったほうがいいね。
その点、rtxは柔軟に対応してくれるので優れたルーターなので手はあると思います。
もし、squidGuardのおいてある一本化したインターネットゲートウェイが落ちたら、自動的に、
拠点にてインターネットゲートウェイを再開できるようにするとか。
ip route default gateway pp 1 hide gateway pp 2 weight 0
という形式で使うと、PP 1が落ちたら、自動的にPP 2が使われるようになる。
今は、次のようにVPN用のpp30インターフェイスを別に設けている。
ip route default gateway pp 30 filter 1 2 5 gateway pp 29
(filterでipsecを識別し固定IPのpp30へ流している。それ以外はpp 29へ。)
これを上記のようにマルチホーミング化すると、
ip route default gateway pp 30 filter 1 2 5 gateway 他拠点squidGuardアドレス hide gateway pp 29 weight 0
他拠点のsquidGuardが落ちても、現行のpp 29を使うようにできると思う。
また、IPSEC_VPNのバックアップも、
tunnel backup tunnel 1 switch-interface=on という方法が使えるなあと思う。
いや、そこまで大掛かりな企業でもないので。中小企業です。
支店2箇所にそれぞれBフレッツファミリーと、本店にベーシックをひっぱって、
月額2000円ほどのプロバイダをつかっています。
VPN拠点で固定IPを振るようになってから、VPNがダウンすることは全くなくなりました。
ここ二年で障害はない。
でもたしかに、拠点毎にインターネットへのゲートウェイはあったほうがいいね。
その点、rtxは柔軟に対応してくれるので優れたルーターなので手はあると思います。
もし、squidGuardのおいてある一本化したインターネットゲートウェイが落ちたら、自動的に、
拠点にてインターネットゲートウェイを再開できるようにするとか。
ip route default gateway pp 1 hide gateway pp 2 weight 0
という形式で使うと、PP 1が落ちたら、自動的にPP 2が使われるようになる。
今は、次のようにVPN用のpp30インターフェイスを別に設けている。
ip route default gateway pp 30 filter 1 2 5 gateway pp 29
(filterでipsecを識別し固定IPのpp30へ流している。それ以外はpp 29へ。)
これを上記のようにマルチホーミング化すると、
ip route default gateway pp 30 filter 1 2 5 gateway 他拠点squidGuardアドレス hide gateway pp 29 weight 0
他拠点のsquidGuardが落ちても、現行のpp 29を使うようにできると思う。
また、IPSEC_VPNのバックアップも、
tunnel backup tunnel 1 switch-interface=on という方法が使えるなあと思う。
>>841
そうだね。
障害が発生した時のことを考えて、NW設計と運用設計した方がいいよ。
そのくらいの規模ならば、障害回復目標時間を定義して、設計だね。
障害要因は過去の障害履歴から抽出し、それに障害になりそうな典型的な
要因をいくつかピックアップして組み込む感じかな。
いずれにしろ、インターネットへの出口は1本に絞るとその1本の重要度が極大化
してしまうから、そこに障害が発生しても臨時の出口ができるようにするといいよ。
そうだね。
障害が発生した時のことを考えて、NW設計と運用設計した方がいいよ。
そのくらいの規模ならば、障害回復目標時間を定義して、設計だね。
障害要因は過去の障害履歴から抽出し、それに障害になりそうな典型的な
要因をいくつかピックアップして組み込む感じかな。
いずれにしろ、インターネットへの出口は1本に絞るとその1本の重要度が極大化
してしまうから、そこに障害が発生しても臨時の出口ができるようにするといいよ。
RTXに関係しているのですが、若干スレ違いかもしれない相談です。
概要
・Willcom03からのインターネットVPN接続が正常につながらない。
・Willcom03単体で、拠点内のネットワークに接続したいため、RTX1100と
Windows Mobile用 VPNクライアント「anthavpn 7.6」を使用して、試験的に構築中。
環境
・RTX1100
※他拠点に設置してある、RTX1000とのインターネットVPNは正常に稼動中。
※YMS-VPN1をインストールしたノートPCと、Willcom03をモデムにした状態でのインターネットVPN接続は正常に稼動中。
・PHS
Willcom03(WS020SH)、anthavpn 7.6(評価版でテスト中)、VPN接続時は、PRINで接続。
状況
・YAMAHAのサイトを参考に、Willcom03によるコンフィグを追加、Willcom03側も設定。
ttp://www.rtpro.yamaha.co.jp/RT/docs/example/sphone/anthavpn.html
・anthavpnを起動して、接続をタップすると、ダイヤルアップが開始され、しばらくすると切断される。
・RTX側のログは以下のとおりです。
2010/05/06 01:46:42: [IKE] respond ISAKMP phase to *.*.*.*
2010/05/06 01:46:43: [IKE] initiate XAUTH transaction to *.*.*.*
2010/05/06 01:46:49: same message repeated 2 times
2010/05/06 01:46:49: [IKE] XAUTH: established
2010/05/06 01:46:49: [IKE] respond IPsec phase to *.*.*.*
2010/05/06 01:46:49: [IKE] initiate info exchange (notification)
※1
2010/05/06 01:47:44: [IKE] SA[7] DPD: detected dead peer
2010/05/06 01:47:49: [IKE] initiate informational exchange (delete)
※1のあたりでWillcom03側は切断されている模様。
DPDの時間を調整したりなどしてみましたが、状況が改善されません。
なにかアドバイスをいただけると助かります。
よろしくお願いいたします。
概要
・Willcom03からのインターネットVPN接続が正常につながらない。
・Willcom03単体で、拠点内のネットワークに接続したいため、RTX1100と
Windows Mobile用 VPNクライアント「anthavpn 7.6」を使用して、試験的に構築中。
環境
・RTX1100
※他拠点に設置してある、RTX1000とのインターネットVPNは正常に稼動中。
※YMS-VPN1をインストールしたノートPCと、Willcom03をモデムにした状態でのインターネットVPN接続は正常に稼動中。
・PHS
Willcom03(WS020SH)、anthavpn 7.6(評価版でテスト中)、VPN接続時は、PRINで接続。
状況
・YAMAHAのサイトを参考に、Willcom03によるコンフィグを追加、Willcom03側も設定。
ttp://www.rtpro.yamaha.co.jp/RT/docs/example/sphone/anthavpn.html
・anthavpnを起動して、接続をタップすると、ダイヤルアップが開始され、しばらくすると切断される。
・RTX側のログは以下のとおりです。
2010/05/06 01:46:42: [IKE] respond ISAKMP phase to *.*.*.*
2010/05/06 01:46:43: [IKE] initiate XAUTH transaction to *.*.*.*
2010/05/06 01:46:49: same message repeated 2 times
2010/05/06 01:46:49: [IKE] XAUTH: established
2010/05/06 01:46:49: [IKE] respond IPsec phase to *.*.*.*
2010/05/06 01:46:49: [IKE] initiate info exchange (notification)
※1
2010/05/06 01:47:44: [IKE] SA[7] DPD: detected dead peer
2010/05/06 01:47:49: [IKE] initiate informational exchange (delete)
※1のあたりでWillcom03側は切断されている模様。
DPDの時間を調整したりなどしてみましたが、状況が改善されません。
なにかアドバイスをいただけると助かります。
よろしくお願いいたします。
パスワードや鍵の部分は隠蔽した上で、晒してもいい部分のコンフィグと、
ファイアウォール設定がどうなってるか・・・くらいはあった方がいいかも。
ファイアウォール設定がどうなってるか・・・くらいはあった方がいいかも。
>>843
そのモバイルフォーンのプロバイダーは、VPN関係のパケットを通すの?
ウィルコム提供のインターネット接続サービスは、ブラウジングやメール以外のパケットは通してくれなかったなあ。
WZERO3を使っているけど、パケットを通してくれなくて時刻同期ソフトが使えない。
もちろん、別のプロバイダを使うと問題なし。
別にどこかのプロバイダを使わないといけないということも考慮したほうがいいと思う。
そのモバイルフォーンのプロバイダーは、VPN関係のパケットを通すの?
ウィルコム提供のインターネット接続サービスは、ブラウジングやメール以外のパケットは通してくれなかったなあ。
WZERO3を使っているけど、パケットを通してくれなくて時刻同期ソフトが使えない。
もちろん、別のプロバイダを使うと問題なし。
別にどこかのプロバイダを使わないといけないということも考慮したほうがいいと思う。
ごめん、>>845を読み返したら、そういう問題でもなさそうだね。
早合点してしまった。
早合点してしまった。
>>833
url filterの設置順序によってフィルタ動作が変わると思う。
url filter 1 reject 2ch *
url filter 2 pass adobe *
url pp filter out 1 2 として設置すると、
http://pc11.2ch.net/test/read.cgi/network/1245454435/?adobe.com
2chが含まれるので、先にマッチしてリジェクトされる。
ところが、url pp filter out 2 1 として設置すると、
先に、adobeがマッチしてパスされてしまうだろう。
url filterの設置順序によってフィルタ動作が変わると思う。
url filter 1 reject 2ch *
url filter 2 pass adobe *
url pp filter out 1 2 として設置すると、
http://pc11.2ch.net/test/read.cgi/network/1245454435/?adobe.com
2chが含まれるので、先にマッチしてリジェクトされる。
ところが、url pp filter out 2 1 として設置すると、
先に、adobeがマッチしてパスされてしまうだろう。
ご回答、ありがとうございます。
まず、PHSのプロバイダについては、PRINを使用しています。
Web上の情報では、VPNについての制限は無いようです。
ただ、念のため、以下のようなテストを行いました。
ノートPCとWillcom03をUSB接続し、モデムとして認識。この状態でPRINに接続しYMS-VPN1
を使用して、拠点に接続しましたが、正常に接続できました。
ノートPCから、拠点に対してのPingによる疎通確認、共有リソースへのアクセス、RDP接続
すべて正常に行えました。
また、同様に別プロバイダのダイヤルアップ接続を利用して、上記のテストを行いましたが
正常に完了しました。
ノートPCのYMS-VPN1を利用しての、インターネットVPN接続が正常に行えたため、PRINと
もう一方のプロバイダともに、VPN接続に関する制限はないと思いますがいかがでしょうか?
テストの後、Willcom03単体で、両プロバイダを利用して、インターネットVPN接続を試みまし
たが、状況は変わりませんでした。
まず、PHSのプロバイダについては、PRINを使用しています。
Web上の情報では、VPNについての制限は無いようです。
ただ、念のため、以下のようなテストを行いました。
ノートPCとWillcom03をUSB接続し、モデムとして認識。この状態でPRINに接続しYMS-VPN1
を使用して、拠点に接続しましたが、正常に接続できました。
ノートPCから、拠点に対してのPingによる疎通確認、共有リソースへのアクセス、RDP接続
すべて正常に行えました。
また、同様に別プロバイダのダイヤルアップ接続を利用して、上記のテストを行いましたが
正常に完了しました。
ノートPCのYMS-VPN1を利用しての、インターネットVPN接続が正常に行えたため、PRINと
もう一方のプロバイダともに、VPN接続に関する制限はないと思いますがいかがでしょうか?
テストの後、Willcom03単体で、両プロバイダを利用して、インターネットVPN接続を試みまし
たが、状況は変わりませんでした。
また、configですが、とりあえず以下を抜粋してみました。
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp des-cbc sha-hmac
ipsec ike keepalive use 1 on dpd 10 6
ipsec ike local address 1 *.*.*.*
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text ****
ipsec ike remote address 1 any
ipsec ike remote name 1 ****
ipsec ike xauth request 1 on 1
auth user 1 **** ****
auth user attribute 1 xauth=on xauth-address=*.*.*.*/24
auth user group 1 1
FWは使用しておらず、RTXのフィルタ機能のみを使用しています。他のインターネットVPN接続では
問題が発生していないため、pppoeとフィルタの部分はとりあえず記載していません。
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp des-cbc sha-hmac
ipsec ike keepalive use 1 on dpd 10 6
ipsec ike local address 1 *.*.*.*
ipsec ike payload type 1 3
ipsec ike pre-shared-key 1 text ****
ipsec ike remote address 1 any
ipsec ike remote name 1 ****
ipsec ike xauth request 1 on 1
auth user 1 **** ****
auth user attribute 1 xauth=on xauth-address=*.*.*.*/24
auth user group 1 1
FWは使用しておらず、RTXのフィルタ機能のみを使用しています。他のインターネットVPN接続では
問題が発生していないため、pppoeとフィルタの部分はとりあえず記載していません。
>>843
> 2010/05/06 01:47:44: [IKE] SA[7] DPD: detected dead peer
03側がDPDに対応して無くて応答ができず、RTは切れたと判断したんだと思う
DPDの代わりにpingを使ってみては? こんな感じで。
ipsec ike keepalive use 1 on icmp-echo xxx.xxx.xxx.xxx
> 2010/05/06 01:47:44: [IKE] SA[7] DPD: detected dead peer
03側がDPDに対応して無くて応答ができず、RTは切れたと判断したんだと思う
DPDの代わりにpingを使ってみては? こんな感じで。
ipsec ike keepalive use 1 on icmp-echo xxx.xxx.xxx.xxx
>>849
>Willcom03単体で、拠点内のネットワークに接続したいため
標準設定されてる prin で接続しようとしてるでしょ。
PCモデム接続で使う別料金の prin と違って
標準設定(Zero3本体から直接ダイヤルアップ接続される)の無料 prin はプロトコル制限されていますよ
>Willcom03単体で、拠点内のネットワークに接続したいため
標準設定されてる prin で接続しようとしてるでしょ。
PCモデム接続で使う別料金の prin と違って
標準設定(Zero3本体から直接ダイヤルアップ接続される)の無料 prin はプロトコル制限されていますよ
自分は Zero3 を PPTP クライアントにするときは OCN 使ってます。
その OCN のアカウントは自宅で常時接続中なんですが、同じアカウント使って Zero3 から接続できてます。
その OCN のアカウントは自宅で常時接続中なんですが、同じアカウント使って Zero3 から接続できてます。
皆様、ご回答ありがとうございます。
>>851
いただいた設定を入れてみましたが、状況には変化がありませんでした。
Willcom03インストールしているVPNクライアントには、dpdの項目があり、有効無効のチェックとの時間などをスライダで
調整できるのですが、いただいた設定+無効の状態で行いました。
また、質問をさせていただく前に、スライダで時間をいろいろ試しましたが変化なしでした。
>>852
おっしゃっているPRINは、Club AIR-EDGEということでしょうか?
PRINは、標準の設定とは別に設定しています。この設定と同じ値で、ノートPCにダイヤルアップを
設定した上での、インターネットVPN接続は正常に行えていますので、プロバイダ側の制限というわ
けではないと考えていますが、いかがでしょうか?
>>853
現在のプロバイダは、標準ではダイヤルアップに対応していないため、旧プロバイダのダイヤルアップ
設定を利用するか、PRINを選択しました。
現在のプロバイダのオプションにダイヤルアップサービスがあるので、そちらに移行してもよいのですが
検討中です。
ログをみると、
[IKE] respond ISAKMP phase to *.*.*.*
[IKE] XAUTH: established
とあるので、とりあえず認証までは成功しているのではないかと思うのですが。
お手数をおかけし、すみません。
>>851
いただいた設定を入れてみましたが、状況には変化がありませんでした。
Willcom03インストールしているVPNクライアントには、dpdの項目があり、有効無効のチェックとの時間などをスライダで
調整できるのですが、いただいた設定+無効の状態で行いました。
また、質問をさせていただく前に、スライダで時間をいろいろ試しましたが変化なしでした。
>>852
おっしゃっているPRINは、Club AIR-EDGEということでしょうか?
PRINは、標準の設定とは別に設定しています。この設定と同じ値で、ノートPCにダイヤルアップを
設定した上での、インターネットVPN接続は正常に行えていますので、プロバイダ側の制限というわ
けではないと考えていますが、いかがでしょうか?
>>853
現在のプロバイダは、標準ではダイヤルアップに対応していないため、旧プロバイダのダイヤルアップ
設定を利用するか、PRINを選択しました。
現在のプロバイダのオプションにダイヤルアップサービスがあるので、そちらに移行してもよいのですが
検討中です。
ログをみると、
[IKE] respond ISAKMP phase to *.*.*.*
[IKE] XAUTH: established
とあるので、とりあえず認証までは成功しているのではないかと思うのですが。
お手数をおかけし、すみません。
AnthaVPN入れるとICS使えなくなるんだよね・・・
これさえなきゃ完璧なんだが・・・
これさえなきゃ完璧なんだが・・・
じゃあ、split tunneling とか manual network routing の あたりは
どうでしょう。RTXのlocal addressとLAN側のアドレスを
明示的に03側に入れてあげるとか。
852のおっしゃるようにESPがはじかれてそうなら、
双方を、natトラバーサルにしてみてはいかがでしょうか。
udpだけでお話しする設定です。
どうでしょう。RTXのlocal addressとLAN側のアドレスを
明示的に03側に入れてあげるとか。
852のおっしゃるようにESPがはじかれてそうなら、
双方を、natトラバーサルにしてみてはいかがでしょうか。
udpだけでお話しする設定です。
GW中の書き込みが熱いな
返信がおそくなりました。
結論から申しますと、だめでした。
856でご指摘の設定を確認したのですが、03側のVPNクライアントに
設定の項目が無いため断念しました。
実は今回で2回目のチャレンジだったのですが、やはりうまく稼動しない
ですね・・・。
試用期間も切れることですので、一旦おくことにします。
皆さん、ご協力ありがとうございました。
結論から申しますと、だめでした。
856でご指摘の設定を確認したのですが、03側のVPNクライアントに
設定の項目が無いため断念しました。
実は今回で2回目のチャレンジだったのですが、やはりうまく稼動しない
ですね・・・。
試用期間も切れることですので、一旦おくことにします。
皆さん、ご協力ありがとうございました。
>>859
中の人が答えてくれていたのかー
中の人が答えてくれていたのかー
ヒラ社員の下には部下はいないね、普通は。
平野社員なら部下はいるよね
只野係長みたい
平野社員の部下は、できのいい派遣なのかも。
865 :[email protected]:2010/05/11(火) 18:45:03 ID:???
中古のRTX1200ってなんであんなに安いの?
何か欠陥持ちか?
何か欠陥持ちか?
いくら?
http://aucfan.com/search1/smix-qRTX1200-tl30d-ot1.html
ここだと平均64000円ほどと出るが・・
そんなに安いか?
RTX1000が1万円以下
RTX1100が1.5万ってとこかね
ここだと平均64000円ほどと出るが・・
そんなに安いか?
RTX1000が1万円以下
RTX1100が1.5万ってとこかね
新品が7万で売ってるから新品買ったほうがよくね?
新品のほうがいいよ。
やっぱり、電源とか、コンデンサーだって傷んでいるだろうし。
#saveコマンドで、フラッシュメモリもだいぶ穴あいてきているだろうしな。
やっぱり、電源とか、コンデンサーだって傷んでいるだろうし。
#saveコマンドで、フラッシュメモリもだいぶ穴あいてきているだろうしな。
870 :[email protected]:2010/05/12(水) 10:14:27 ID:???
基本放置運用するもんだから
どんな状態かわからんよな
どんな状態かわからんよな
中古で安いと言うなら定価の1/3以下だろうな。
実売価格の半額程度。
1200なら\40,000位だろ。それなら買っても良いな。
実売価格の半額程度。
1200なら\40,000位だろ。それなら買っても良いな。
中古買うならもう一万出して新品買ったほうが良いってことか欠陥持ちじゃなくても
まぁそれはそうとしてX10ってのがinteropで発表されるみたいだけど値下がり期待できるかな
SOHO用だけど
まぁそれはそうとしてX10ってのがinteropで発表されるみたいだけど値下がり期待できるかな
SOHO用だけど
ヘアピンNAT?で教えてください。
固定IP8、固定IP1、可変IP、と3つISPと契約してます。
pp1 固定IP8 (/29で記述)
pp2 固定IP1 (ipcp)
pp3 可変IP (ipcp)
と設定してまして、クライアントは pp3 から外へ出て行くようになってます。
pp1 と pp2 とは内側にあるサーバー公開に使用してまして、静的NATされてます。
pp2 で割り当てられてるグローバルアドレスに対してクライアントからルートトレースをかけますと
pp3 → pp3のISP側ルータ → いろんなとこ → いろんなとこ ・・・・ → pp2 のISP側ルータ → pp2
という風にインターネットを大きく回ってパケットが届いています。
次に pp1 に割り当てられるグローバルアドレスに対して同じようにトレースかけますと
どうもルーターの中で折り返されているらしく、インターネットを回っていきません。
pp3 → pp3のISP側ルータ → いろんなとこ → いろんなとこ ・・・・ → pp1 のISP側ルータ → pp1
という経路を期待しているのですが・・・
ISP から ipcp でアドレス取得している場合は迂回してくれるのですが
固定IP8 は ipcp でもらえません。
どうしたら、pp2 のようにインターネットを迂回してくれるのでしょうか?
固定IP8、固定IP1、可変IP、と3つISPと契約してます。
pp1 固定IP8 (/29で記述)
pp2 固定IP1 (ipcp)
pp3 可変IP (ipcp)
と設定してまして、クライアントは pp3 から外へ出て行くようになってます。
pp1 と pp2 とは内側にあるサーバー公開に使用してまして、静的NATされてます。
pp2 で割り当てられてるグローバルアドレスに対してクライアントからルートトレースをかけますと
pp3 → pp3のISP側ルータ → いろんなとこ → いろんなとこ ・・・・ → pp2 のISP側ルータ → pp2
という風にインターネットを大きく回ってパケットが届いています。
次に pp1 に割り当てられるグローバルアドレスに対して同じようにトレースかけますと
どうもルーターの中で折り返されているらしく、インターネットを回っていきません。
pp3 → pp3のISP側ルータ → いろんなとこ → いろんなとこ ・・・・ → pp1 のISP側ルータ → pp1
という経路を期待しているのですが・・・
ISP から ipcp でアドレス取得している場合は迂回してくれるのですが
固定IP8 は ipcp でもらえません。
どうしたら、pp2 のようにインターネットを迂回してくれるのでしょうか?
ip route [pp1のグローバル]/29 gateway pp 3
を追加したらできました。
pp3 → pp3のISP側ルータ → いろんなとこ → いろんなとこ ・・・・ → pp1 のISP側ルータ → pp1
と、あたかも外からアクセスしたようにできました。
公開ドメインに対して、外用と内用と、2つの DNS 鯖を建てないで済みそうです。
(グローバルアドレスで書いた外用DNSのみで桶)
チャレンジ不足で書き込み、スレ汚してしまいすみません。
を追加したらできました。
pp3 → pp3のISP側ルータ → いろんなとこ → いろんなとこ ・・・・ → pp1 のISP側ルータ → pp1
と、あたかも外からアクセスしたようにできました。
公開ドメインに対して、外用と内用と、2つの DNS 鯖を建てないで済みそうです。
(グローバルアドレスで書いた外用DNSのみで桶)
チャレンジ不足で書き込み、スレ汚してしまいすみません。
show nat descriptor address すると
Masqueradeテーブル
外側アドレス: ***.***.***.*** ポート範囲=60000-64095
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.1.2.53 74.208.170.81.26130 53 900
UDP 192.168.1.2.53 74.208.170.81.34505 53 899
UDP 192.168.1.2.53 74.208.170.81.26689 53 899
UDP 192.168.1.2.53 74.208.170.81.18135 53 898
こんな感じで NAT テーブルが殆ど埋まってます。
192.168.1.2 は ネームサーバーで
nat descriptor masquerade static 1 1 192.168.1.2 udp domain
みたいな感じで公開させてます。
74.208.170.81 からのDDos?かなと思ってますが
この接続 pp の IN 側に
ip filter reject 74.208.170.81 * * * *
同じく OUT 側に
ip filter reject * 74.208.170.81 * * *
としましたが変化無しです。
フィルター指定の向きはあってますよね?
ダイナミックフィルターとかは書いてませんが、なんで??
Masqueradeテーブル
外側アドレス: ***.***.***.*** ポート範囲=60000-64095
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
UDP 192.168.1.2.53 74.208.170.81.26130 53 900
UDP 192.168.1.2.53 74.208.170.81.34505 53 899
UDP 192.168.1.2.53 74.208.170.81.26689 53 899
UDP 192.168.1.2.53 74.208.170.81.18135 53 898
こんな感じで NAT テーブルが殆ど埋まってます。
192.168.1.2 は ネームサーバーで
nat descriptor masquerade static 1 1 192.168.1.2 udp domain
みたいな感じで公開させてます。
74.208.170.81 からのDDos?かなと思ってますが
この接続 pp の IN 側に
ip filter reject 74.208.170.81 * * * *
同じく OUT 側に
ip filter reject * 74.208.170.81 * * *
としましたが変化無しです。
フィルター指定の向きはあってますよね?
ダイナミックフィルターとかは書いてませんが、なんで??
追記。。
notice on してログったら、74.208.170.81 からのパケットは Rejected されてました。
DNSサーバーのデバッグログも見たら、reject 前は大量に記録されてた 74.208.170.81 からのクエリーも落ちなくなりました。
要するに reject は正しく動作しているぽいですが、
reject している分も Masqueradeテーブル の一覧に残るぽいのです。
(いったんMasqueradeテーブルに登録してから reject してる?)
reject する前は TTL が 10秒からカウントダウンでしたが
reject を入れたら 900秒 からカウントダウンになりました。
(さっきのログは reject を入れてからのものです)
pass する UDP パケットは TTL=10秒で、reject したUDPパケットは TTL=900秒 ??
とりあえず nat の timer を最小値 30秒 にしましたんで、Masquerade テーブルに出る量が少しは減りましたが
なんか合点がいかないです。
とここまで書いて気がつきましたが、ML に流した方が良かったですかね。
いま流すと特定されそうで・・(汗)
@RTV700 8.00.88 でした
notice on してログったら、74.208.170.81 からのパケットは Rejected されてました。
DNSサーバーのデバッグログも見たら、reject 前は大量に記録されてた 74.208.170.81 からのクエリーも落ちなくなりました。
要するに reject は正しく動作しているぽいですが、
reject している分も Masqueradeテーブル の一覧に残るぽいのです。
(いったんMasqueradeテーブルに登録してから reject してる?)
reject する前は TTL が 10秒からカウントダウンでしたが
reject を入れたら 900秒 からカウントダウンになりました。
(さっきのログは reject を入れてからのものです)
pass する UDP パケットは TTL=10秒で、reject したUDPパケットは TTL=900秒 ??
とりあえず nat の timer を最小値 30秒 にしましたんで、Masquerade テーブルに出る量が少しは減りましたが
なんか合点がいかないです。
とここまで書いて気がつきましたが、ML に流した方が良かったですかね。
いま流すと特定されそうで・・(汗)
@RTV700 8.00.88 でした
パケットの通過順番がWAN→NAT→Filter→LANなんだよ
>>878
そのコメント、とても良いヒントでした!!
ip filter reject 74.208.170.81 * * * *
↓
ip filter reject 74.208.170.81 グローバルアドレス * * *
と終点アドレスを明示したら Masquerade テーブルにも載って来なくなりました!
ちなみにも、これって噂の DNS ポイズンキャッシュ攻撃 なんでしょか!?
なにはともあれ、ありがと!
そのコメント、とても良いヒントでした!!
ip filter reject 74.208.170.81 * * * *
↓
ip filter reject 74.208.170.81 グローバルアドレス * * *
と終点アドレスを明示したら Masquerade テーブルにも載って来なくなりました!
ちなみにも、これって噂の DNS ポイズンキャッシュ攻撃 なんでしょか!?
なにはともあれ、ありがと!
なんかすごい勢いでRTX1200が出品されてるんだが
どっか倒産しのか?
どっか倒産しのか?
881 :[email protected]:2010/05/15(土) 22:25:24 ID:???
RTX1200ルーター2台で、IPsec(LAN間通信)を構築しようと思っています。
当方PCの初心者で、GUIにて設定しようと思うのですが、何かいいサイト等ありましたらご教授くださいorz
当方PCの初心者で、GUIにて設定しようと思うのですが、何かいいサイト等ありましたらご教授くださいorz
883 :[email protected]:2010/05/15(土) 22:55:12 ID:???
RTX1200を2台使用し,IPsec(LAN間通信)しようと思っています。
当方PC初心者なため、GUIにて設定しようと思っています。
そこで先輩方にお聞きしたいのですが、GUI設定のVPN設定例等を紹介しているサイト等はありますでしょうか?
もしご存知でしたらお教えくださいorz
当方PC初心者なため、GUIにて設定しようと思っています。
そこで先輩方にお聞きしたいのですが、GUI設定のVPN設定例等を紹介しているサイト等はありますでしょうか?
もしご存知でしたらお教えくださいorz
884 :anonymous:2010/05/15(土) 22:58:00 ID:EmtqKPbG
あんたにはRTX1200は時期尚早 > 千葉県松戸市の誰かさん
ヤフオクで RTX1000 ×2 を15000円くらいで買って練習しても遅くない。
config は殆ど一緒だし、おそらく速度も体感じゃ分からないだろう。
config は殆ど一緒だし、おそらく速度も体感じゃ分からないだろう。
>>881
1台1万でやってやるよ。
1台1万でやってやるよ。
890 :[email protected]:2010/05/16(日) 12:40:08 ID:dAEUrLzK
>>883
2台とも窓から投げなさい。
2台とも窓から投げなさい。
891 :anonymouse:2010/05/16(日) 17:54:04 ID:???
むしろ>>890と二人で分けるから,片方俺にくれ
RTX3000の中古売ってるショップ有る?
ネットで一件見つけたが売り切れてた。
ネットで一件見つけたが売り切れてた。
RTX3000の今更買うメリットって何?
895 :[email protected]:2010/05/16(日) 19:55:45 ID:???
VPNトンネル数が多い場合
RTXシリーズでは、1200とか、1500とか、1100とかの番号のつけ方が、ちょっと変。
>>897
ぼったくりじゃないだろ。
現地調整はやらないが、ちゃんとIPsecが繋がり、FW設定まで面倒みるんだから。
RTX1000を2台、基本GUI設定済みで、と言っても
RTX1000にはGUI設定で何かできたっけ。
それに基本設定だけで2台で1万取るより
ちゃんとIPsecが繋がるまで面倒みての2万の方が安い。
rtx1000だと自動ファームアップが出来ないなど若干問題あるから3万は欲しい。
ぼったくりじゃないだろ。
現地調整はやらないが、ちゃんとIPsecが繋がり、FW設定まで面倒みるんだから。
RTX1000を2台、基本GUI設定済みで、と言っても
RTX1000にはGUI設定で何かできたっけ。
それに基本設定だけで2台で1万取るより
ちゃんとIPsecが繋がるまで面倒みての2万の方が安い。
rtx1000だと自動ファームアップが出来ないなど若干問題あるから3万は欲しい。
>>889-898
それ友達価格なんじゃね?このスレと話題が違うな。
ふつうに業務ならそんなケタでは済まないよ。っていうか
やらない。RTX1000 どころか 1100 だってふつうに新品が
注文できないし、そんな物使ったらこちらの信用に関わる。
(って信用だけに大金払うのがビジネスな訳だが)
それ友達価格なんじゃね?このスレと話題が違うな。
ふつうに業務ならそんなケタでは済まないよ。っていうか
やらない。RTX1000 どころか 1100 だってふつうに新品が
注文できないし、そんな物使ったらこちらの信用に関わる。
(って信用だけに大金払うのがビジネスな訳だが)
CUIでの設定ってそんなにむずかしいのか?
メモ帳でまとめてテラターム起動してコピペして再起動させたらできるだろ
メモ帳でまとめてテラターム起動してコピペして再起動させたらできるだろ
>>902
わかっちゃって、もう慣れたら、なんのことはない。
初心者時代は、何も設定されていない真っ白なコンフィグに面食らったな。
よくがんばったよ、俺。
・・・・という経過を皆は経てきたはず。
設定例集を精読し、独自の理解を加え、
ようやくどういうものかがわかった。全体が見えた。
わかっちゃって、もう慣れたら、なんのことはない。
初心者時代は、何も設定されていない真っ白なコンフィグに面食らったな。
よくがんばったよ、俺。
・・・・という経過を皆は経てきたはず。
設定例集を精読し、独自の理解を加え、
ようやくどういうものかがわかった。全体が見えた。
NTTデータとかに頼むと 10万/台 コースだな
まぁ設計(笑)とかも含まれてるけど
まぁ設計(笑)とかも含まれてるけど
>>898
設定済みのRTXを2台渡した方が初心者は簡単でしょ。
つなぐだけでいいんだから。
もちろん、事前に環境などは教えてもらっておかないといけないけどね。
設定済みRTX1000を2台なら、友達価格で安くしてあげる人はいると思うよ。
ここにいるかどうかは、わからないけどね。
設定済みのRTXを2台渡した方が初心者は簡単でしょ。
つなぐだけでいいんだから。
もちろん、事前に環境などは教えてもらっておかないといけないけどね。
設定済みRTX1000を2台なら、友達価格で安くしてあげる人はいると思うよ。
ここにいるかどうかは、わからないけどね。
んで、ISDNとLANを間違えてつないで大騒ぎになって、
全部面倒見ることになると。
全部面倒見ることになると。
>>906
接続間違えても故障にはならないしハブが止めるからLANに対して悪さもしない。
>>905
設定済RTX1000は中古か?
中古で設定したのを設定混み、ハードソフト込みで面倒見るなんて
あほはさすがにいないだろうな。
中古のハードなんて面倒見れないよ。
接続間違えても故障にはならないしハブが止めるからLANに対して悪さもしない。
>>905
設定済RTX1000は中古か?
中古で設定したのを設定混み、ハードソフト込みで面倒見るなんて
あほはさすがにいないだろうな。
中古のハードなんて面倒見れないよ。
>>883
俺なら全部設定やってやるから1台5000円で良いぞ
俺なら全部設定やってやるから1台5000円で良いぞ
RTX経験者、知っている人には、IPSEC接続くらい簡単だからね。
ハード代別、設定費用、5000円×2台の友達価格でする人がいてもおかしくないね。
>>907
>中古のハードなんて面倒見れないよ。
誰が、中古のハードの保証をする人がいるんだよ。
ただ、中古でも十分使えるよってことだろ。
新品RTX1200 7万円×2台と
中古RTX1000 7千円×2台、
約10倍の差を払えるかどうかの差だよ。
ハード代別、設定費用、5000円×2台の友達価格でする人がいてもおかしくないね。
>>907
>中古のハードなんて面倒見れないよ。
誰が、中古のハードの保証をする人がいるんだよ。
ただ、中古でも十分使えるよってことだろ。
新品RTX1200 7万円×2台と
中古RTX1000 7千円×2台、
約10倍の差を払えるかどうかの差だよ。
910 :[email protected]:2010/05/18(火) 13:15:56 ID:???
中古RTX1000って今そんなに安いんだ
実家のルータこっそり置き換えちゃおうかな
実家のルータこっそり置き換えちゃおうかな
俺も2台ほどゲット
実家とIPSec張れるしね
ETG-DS/US 買ったので
実家にUSBラジオ置いて、向こうのラジオをこっちで聴いたり、とか
USBカメラ置いてライブカメラとか
いろいろと遊べそうだ
実家とIPSec張れるしね
ETG-DS/US 買ったので
実家にUSBラジオ置いて、向こうのラジオをこっちで聴いたり、とか
USBカメラ置いてライブカメラとか
いろいろと遊べそうだ
>>910
3年ぐらい前に買ったのは15000位でしたから今なら半額か。
去年あたりに大量に出ていたIX2015ならさらにその半額でしたね。
今はIX使っているけどyamahaへ戻すかな。
1100も2万以下で入るようだから自分の所に1100置いて実家は古い1000でも良さそうだ。
3年ぐらい前に買ったのは15000位でしたから今なら半額か。
去年あたりに大量に出ていたIX2015ならさらにその半額でしたね。
今はIX使っているけどyamahaへ戻すかな。
1100も2万以下で入るようだから自分の所に1100置いて実家は古い1000でも良さそうだ。
全然関係ないけどさ。
RTX1200ってなんでああまで格好悪いの?もう少しなんとかなったろ。
使う分には差し支えないけど。
RTX1200ってなんでああまで格好悪いの?もう少しなんとかなったろ。
使う分には差し支えないけど。
使う分以外に何を業務用機に求めてるんだ。
>>913
お前はバッファローの黒光りするルータでも使ってろ
お前はバッファローの黒光りするルータでも使ってろ
916 :[email protected]:2010/05/19(水) 08:24:13 ID:???
フロントのシリアルポートはラックのドアが閉まらない
からRJ45に変えてほしい
からRJ45に変えてほしい
918 :anonymouse:2010/05/19(水) 22:09:35 ID:???
>918
ガンダムでいうと?
ガンダムでいうと?
920 :anonymouse:2010/05/19(水) 23:14:55 ID:???
人間なんて生まれた瞬間から死へのカウントダウンが始まるんだよ
望むのは穏やかな死だ
望むのは穏やかな死だ
日本はいいなあ。
みんな真面目で協力的だから。
オランダとは違う道を歩みたいね。
みんな真面目で協力的だから。
オランダとは違う道を歩みたいね。
RTX1200以外で構築した時のはまるポイントがわかったので、
情報共有。
・イントラネット側のサブネットワークを増やす目的で、
LAN分割機能は使うな
【理由】
LAN分割機能が適用されているインターフェースを経由する
トラフィックは、IPフィルタのファストパスが無効になるため、
FTPダウンロードの1コネクション(40-60Mbps程度)でCPU負荷が
70-100%ぐらいになってしまう。数クライアントから接続があると、
簡単に100%前後になってしまい、使い物にならない。
RTX1200にはLAN分割機能を使っても、ファストパスが有効に
なるので、この制限はない。
このことから、4サブネット以上をRTXで構築するなら、RTX1200は
お薦め。
情報共有。
・イントラネット側のサブネットワークを増やす目的で、
LAN分割機能は使うな
【理由】
LAN分割機能が適用されているインターフェースを経由する
トラフィックは、IPフィルタのファストパスが無効になるため、
FTPダウンロードの1コネクション(40-60Mbps程度)でCPU負荷が
70-100%ぐらいになってしまう。数クライアントから接続があると、
簡単に100%前後になってしまい、使い物にならない。
RTX1200にはLAN分割機能を使っても、ファストパスが有効に
なるので、この制限はない。
このことから、4サブネット以上をRTXで構築するなら、RTX1200は
お薦め。
うちも昨日から200Mbpsになった。(光ネクスト西日本)
やっと、RTX1200の本領発揮だ。
WEBの閲覧ぐらいじゃ、なんの差も感じないが。
やっと、RTX1200の本領発揮だ。
WEBの閲覧ぐらいじゃ、なんの差も感じないが。
928 :ftp:2010/05/21(金) 00:39:22 ID:XrgVa7r5
西日本ならギガ対応のエキスプレスタイプが出るみたいだから
本当に本領発揮できるよw
「フレッツ 光ネクスト」における
新たな高速タイプの提供開始について
http://www.ntt-west.co.jp/news/1004/100420a.html
本当に本領発揮できるよw
「フレッツ 光ネクスト」における
新たな高速タイプの提供開始について
http://www.ntt-west.co.jp/news/1004/100420a.html
>>928
未だに100M以上を使う事がないんだが、ギガっていったら、一体どういう世界になるんだろう?
未だに100M以上を使う事がないんだが、ギガっていったら、一体どういう世界になるんだろう?
ネットワークが速くなると記憶装置(HDD)がボトルネックになって、
記憶装置が速くなる(SSDになる)と今度はCPUがボトルネックになるらしいから、
伝説の神器みたいに3つ全部揃えないと真価は発揮しないみたいなんだよね・・・
OracleとF通がDBで実験したらこうなったんだって
http://www.publickey1.jp/blog/10/hddssd.html
記憶装置が速くなる(SSDになる)と今度はCPUがボトルネックになるらしいから、
伝説の神器みたいに3つ全部揃えないと真価は発揮しないみたいなんだよね・・・
OracleとF通がDBで実験したらこうなったんだって
http://www.publickey1.jp/blog/10/hddssd.html
>>928
その1Gbpsのサービスがあることは知ってる。
しかし、追加料金を払ってまでは必要ないかなって思った。
(200Mbpsのは、料金は今までと同じ。局内工事費用が2100円かかるだけ。)
そもそも、プロバイダに確認したら、まだ対応していないって言われた。
でも1Gbpsなんて、VPN先にファイルサーバーがあるとかじゃないと
そこまで恩恵がないのかも。
正直なところ、下りの速度ならADSLで充分満足できる。
でも時々仕事で50〜200MBぐらいのファイルをアップロードすることがあって、
それを1Mbps未満でやろうと思うと、さすがにきつい。
その1Gbpsのサービスがあることは知ってる。
しかし、追加料金を払ってまでは必要ないかなって思った。
(200Mbpsのは、料金は今までと同じ。局内工事費用が2100円かかるだけ。)
そもそも、プロバイダに確認したら、まだ対応していないって言われた。
でも1Gbpsなんて、VPN先にファイルサーバーがあるとかじゃないと
そこまで恩恵がないのかも。
正直なところ、下りの速度ならADSLで充分満足できる。
でも時々仕事で50〜200MBぐらいのファイルをアップロードすることがあって、
それを1Mbps未満でやろうと思うと、さすがにきつい。
932 :anonymouse:2010/05/21(金) 09:08:44 ID:???
そして、そのいずれもが速くなると今度はソフトが喰い潰す
ソフト屋はもっと精進しろ
ソフト屋はもっと精進しろ
>>933
おまえんとこはオーバーヘッドないのか。
おまえんとこはオーバーヘッドないのか。
さすがに↑はいちゃもん
>>925
rtx1500は、rtx1200の上位機種ということですよね。
じゃあ、rtx1500も、LAN分割機能をオンにしてもファストパス処理されるんでしょうか。
結局、rtx1500って、何が秀でているの?
rtx1500は、rtx1200の上位機種ということですよね。
じゃあ、rtx1500も、LAN分割機能をオンにしてもファストパス処理されるんでしょうか。
結局、rtx1500って、何が秀でているの?
>>937
ショートパケットの処理が速いんですよ、たしか。
ショートパケットの処理が速いんですよ、たしか。
939 :[email protected]:2010/05/22(土) 01:29:07 ID:???
>>933
ギガビット
ギガビット
>>937
ここを見ると、やっぱりLAN分割でファストパス処理
されるのはRTX1200だけみたい。
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
1500との比較は、まあ、発売時期がぜんぜん違うから、
価格差の割に、性能差は少ないかもしれない。
でも、「アーキテクチャが違うから、簡単には追いつけない」
ってMLで平野氏が言ってた気がする。
パケット処理能力も、その一面なんだろうね。
確かRTX1200の2倍近くあったはず。
だからパケットサイズが小さくなれば、RTX1500のほうが速い。
ここを見ると、やっぱりLAN分割でファストパス処理
されるのはRTX1200だけみたい。
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
1500との比較は、まあ、発売時期がぜんぜん違うから、
価格差の割に、性能差は少ないかもしれない。
でも、「アーキテクチャが違うから、簡単には追いつけない」
ってMLで平野氏が言ってた気がする。
パケット処理能力も、その一面なんだろうね。
確かRTX1200の2倍近くあったはず。
だからパケットサイズが小さくなれば、RTX1500のほうが速い。
943 :925_foobar:2010/05/22(土) 08:19:49 ID:???
>>941
そうなんだよ。その仕様にはまった。
目立たないところに書いてあるので、わからなかった。また、
書いてある場所が悪い。LAN分割機能のところにない。
その仕様を確認し、検証環境を構築して初めて確認した。
まさか、ファストパス無効でそれほどまで性能が落ちるとは
想像できなかった。ログもでないし。
今回、はまった現象はググっても見つからんし、その前にヤマハの
サポートにコンフィグ付の問い合わせしても的確なアドバイスは
もらえなかった。
でも、今回以外にヤマハのサポートにコンフィグ内容で過去2,3回程
問い合わせたことあるけど、的確なアドバイスは頂けた。無料な
こともあるから今のサポートには満足。
ちなみに簡単なテストしたけど、
ファストパス(CPU使用率%) FTP(2クライアント,、40-60Mbps) WEB(5クライアント、3Mbps)
無効 70-100 15-20
有効 8 8-10
となった。上記でなにを言いたいかというと、ファストパスが有効なら
10%程度の負荷なので、常時それ以上の負荷ならファストパスの
仕様と制限を確認しろということ。
ヤマハさんはRTX1200を販売するときに、LAN分割機能でのファストパス有効を
もっと宣伝してもいいと思いますよ。あと、技術仕様のところのLAN分割機能の
ところで、ファストパスが無効になり、CPU負荷が高くなる点を強調しておくのが吉。
いっそうのこと、ファストパスが有効/無効になる機能の表を機種別に作るといいかも
しれない。縦軸を機能、横軸を機種にして。そうすれば、俺のようにはまる人は減ると思う。
ということで、長文スマソ。
そうなんだよ。その仕様にはまった。
目立たないところに書いてあるので、わからなかった。また、
書いてある場所が悪い。LAN分割機能のところにない。
その仕様を確認し、検証環境を構築して初めて確認した。
まさか、ファストパス無効でそれほどまで性能が落ちるとは
想像できなかった。ログもでないし。
今回、はまった現象はググっても見つからんし、その前にヤマハの
サポートにコンフィグ付の問い合わせしても的確なアドバイスは
もらえなかった。
でも、今回以外にヤマハのサポートにコンフィグ内容で過去2,3回程
問い合わせたことあるけど、的確なアドバイスは頂けた。無料な
こともあるから今のサポートには満足。
ちなみに簡単なテストしたけど、
ファストパス(CPU使用率%) FTP(2クライアント,、40-60Mbps) WEB(5クライアント、3Mbps)
無効 70-100 15-20
有効 8 8-10
となった。上記でなにを言いたいかというと、ファストパスが有効なら
10%程度の負荷なので、常時それ以上の負荷ならファストパスの
仕様と制限を確認しろということ。
ヤマハさんはRTX1200を販売するときに、LAN分割機能でのファストパス有効を
もっと宣伝してもいいと思いますよ。あと、技術仕様のところのLAN分割機能の
ところで、ファストパスが無効になり、CPU負荷が高くなる点を強調しておくのが吉。
いっそうのこと、ファストパスが有効/無効になる機能の表を機種別に作るといいかも
しれない。縦軸を機能、横軸を機種にして。そうすれば、俺のようにはまる人は減ると思う。
ということで、長文スマソ。
そもそも、RTXの後ろに付く数字が混乱の元っぽいな。1200より1500のほうが性能が良いって勘違いしても不思議じゃない。
性能差が違う次元のものだと尚更。
性能差が違う次元のものだと尚更。
946 :anonymouse:2010/05/22(土) 18:25:20 ID:???
Win2000最強!
実際、最強だけども
実際、最強だけども
>>937-943
やっぱり、rtx1200って、ギガビットLANだから、
ファストパス処理でなくもしCPU処理やっていたら間に合わないんだろうな。
だから、LAN分割機能をONにしてもギガビットLANの名に応えるためには
ファストパス処理しなければならなかったんだろうな。
しかし、RTX1200って名前が誤解を与える。
せめて、RTXgiga1200くらいにすればいいのになあ。
同じ系列を意識させる名称はまずいなあ。
やっぱり、rtx1200って、ギガビットLANだから、
ファストパス処理でなくもしCPU処理やっていたら間に合わないんだろうな。
だから、LAN分割機能をONにしてもギガビットLANの名に応えるためには
ファストパス処理しなければならなかったんだろうな。
しかし、RTX1200って名前が誤解を与える。
せめて、RTXgiga1200くらいにすればいいのになあ。
同じ系列を意識させる名称はまずいなあ。
>>942の内容を読む限りでは、スループット(bps)視点ではなく、パケット処理能力(pps)視点で見た場合は、
RTX1500の優位性は明らかなんでしょ?
それなら、背番号順で通用すると思うけどね。
RTX1500の優位性は明らかなんでしょ?
それなら、背番号順で通用すると思うけどね。
スループットとか、パケット処理能力とか、なんかよくわからなくなってきた。
>>942
パケット処理能力は、64byteのパケットが処理される場合のスループット。
で、スループットとは、パケットロスが発生しないパケット転送能力
頭おかしくなりそう。
>>942
パケット処理能力は、64byteのパケットが処理される場合のスループット。
で、スループットとは、パケットロスが発生しないパケット転送能力
頭おかしくなりそう。
パケット処理能力は1秒間に処理できるパケット転送能力(pps)
スループットは1秒間に処理できるトラフィック処理能力(bps)
>>949 がいうような64byteとか、パケットロスが発生しないとかの条件はない。
ただし、パケットロスがしだした時点や転送遅延・フローコントロールが
発生しだした時点がそのNW機器の性能限界とするのが常識的な解釈。
NW機器の性能評価する機器として有名なSmartBitsだが、各ベンダー
専用チートアルゴリズムがあるから、パケットサイズを微妙に変えてやるとかすると
ベンダー公開のベンチマークレポと一致しないということがある。これ5年以上前くらいの
ミニ知識だが、いまでもあるのかな?
スループットは1秒間に処理できるトラフィック処理能力(bps)
>>949 がいうような64byteとか、パケットロスが発生しないとかの条件はない。
ただし、パケットロスがしだした時点や転送遅延・フローコントロールが
発生しだした時点がそのNW機器の性能限界とするのが常識的な解釈。
NW機器の性能評価する機器として有名なSmartBitsだが、各ベンダー
専用チートアルゴリズムがあるから、パケットサイズを微妙に変えてやるとかすると
ベンダー公開のベンチマークレポと一致しないということがある。これ5年以上前くらいの
ミニ知識だが、いまでもあるのかな?
で、RTX1200とそれ以外のRTXはファストパス処理の発生条件が
変更になって、RTX1200で発生が緩やかになった。そこが混乱の元。
ところで、ファストパス処理(ハード処理)よりノーマルパス処理(ソフト処理)の
方がいい場合て、IDS用途以外なんかある?
RTX1200からCPU?側にVLAN機能が実装されて、ファストパス処理ができるように
なったと俺はみている。 >>947 と逆の見方。
変更になって、RTX1200で発生が緩やかになった。そこが混乱の元。
ところで、ファストパス処理(ハード処理)よりノーマルパス処理(ソフト処理)の
方がいい場合て、IDS用途以外なんかある?
RTX1200からCPU?側にVLAN機能が実装されて、ファストパス処理ができるように
なったと俺はみている。 >>947 と逆の見方。
このスレを>1から熟読して
今買うなら1200しかない、と判った
ちょっと買ってくる
今買うなら1200しかない、と判った
ちょっと買ってくる
質問です
BフレッツなどでIPV6でルータ間でIPSEC組んでIPv4をトンネルさせる事は可能ですか?
BフレッツなどでIPV6でルータ間でIPSEC組んでIPv4をトンネルさせる事は可能ですか?
956 :anonymouse:2010/05/27(木) 07:27:01 ID:???
IPv6でIPsec張る事は、頑張れば普通にできるだろうけど
>>955が書いてるような使い方なら、ちょっとわがんね。
>>955が書いてるような使い方なら、ちょっとわがんね。
>>955
はい
やりたいのはこれの
http://www.softether.co.jp/jp/vpn3/overview.aspx
これです
NTT 東日本の「B フレッツ」を用いて ISP を経由せずに直接 2 拠点間で VPN 接続が構築可能に
ソフトイーサだとPC使うのでPCそのものの信頼性と消費電力とスペースなどを考えると
ルータ間でできたらいいなと・・・
プロバイダを介さないので近隣になるほど高速でRTの性能をいかせるのではないのかと・・・
広域ブリッジにする必要性もないのでv4パケットトンネルさせてルーティングしてくれるならいいなと・・・
>>954
数年前にやった事はあるので可能
「フレッツ・ドットネット」の契約と、フレッツスクエアへの接続に1セッション必要だったので
素直にグループアクセスにしたから、実験レベルでしか接続テストしてないですが・・・
数年前にやった事はあるので可能
「フレッツ・ドットネット」の契約と、フレッツスクエアへの接続に1セッション必要だったので
素直にグループアクセスにしたから、実験レベルでしか接続テストしてないですが・・・
しがないホームユーザだけど、
http://netvolante.jp/solution/flets/term1.html
と
http://www.rtpro.yamaha.co.jp/RT/ipv6/usage.html 10. IPv4 over IPv6 トンネリング
を組み合わせて、
トンネルの部分をIPv4 over IPv6 トンネリングに置き換えればどうかな?
http://netvolante.jp/solution/flets/term1.html
と
http://www.rtpro.yamaha.co.jp/RT/ipv6/usage.html 10. IPv4 over IPv6 トンネリング
を組み合わせて、
トンネルの部分をIPv4 over IPv6 トンネリングに置き換えればどうかな?
>>958>>959
ありがとうございます。
10. IPv4 over IPv6 トンネリングってあるのですね
確認不足でした
これでフレッツ・VPN ワイドを使わずに1拠点あたり2000円弱のコストがかからないのであれば
結構いいですね
公式でも宣伝しないのですかね?
ありがとうございます。
10. IPv4 over IPv6 トンネリングってあるのですね
確認不足でした
これでフレッツ・VPN ワイドを使わずに1拠点あたり2000円弱のコストがかからないのであれば
結構いいですね
公式でも宣伝しないのですかね?
softether ができるのなら、できるんじゃないの。
http://sites.google.com/site/internetundertunnels/technical-info/mtu
※フレッツ光ネクストには、利用者間通信機能がないため、利用者間で
IPv6 over IPv6、IPv4 over IPv6、EtherIP over IPv6などをすることはできません。
と書いてる人いるけど大丈夫?
※フレッツ光ネクストには、利用者間通信機能がないため、利用者間で
IPv6 over IPv6、IPv4 over IPv6、EtherIP over IPv6などをすることはできません。
と書いてる人いるけど大丈夫?
>>962
http://www.softether.co.jp/jp/vpn3/overview.aspx
>NTT 東日本の「B フレッツ」を用いて ISP を経由せずに直接 2 拠点間で VPN 接続が構築可能に
に
>また、2011 年 4 月以降に提供開始となることが予定されている NTT 東日本/西日本の NGN サービス「フレッツ・ネクスト」における
>網内 IPv6 通信サービス (B フレッツにおけるフレッツ・ドットネットと同等のサービス) においても同様に
>PacketiX VPN 3.0 を用いた VPN 通信が利用できるようになる予定です。
ということであれば来年には可能のようですね
http://www.softether.co.jp/jp/vpn3/overview.aspx
>NTT 東日本の「B フレッツ」を用いて ISP を経由せずに直接 2 拠点間で VPN 接続が構築可能に
に
>また、2011 年 4 月以降に提供開始となることが予定されている NTT 東日本/西日本の NGN サービス「フレッツ・ネクスト」における
>網内 IPv6 通信サービス (B フレッツにおけるフレッツ・ドットネットと同等のサービス) においても同様に
>PacketiX VPN 3.0 を用いた VPN 通信が利用できるようになる予定です。
ということであれば来年には可能のようですね
964 :[email protected]:2010/05/27(木) 14:50:51 ID:???
トンネル方式のISPを使ってると、ややこしいことにならないかな?
>NGN v6
>NGN v6
>>963
それ、フレッツVPNのような有料サービスじゃね?
それ、フレッツVPNのような有料サービスじゃね?
今だとBフレッツは無料でIPv6アドレス振られるみたいだけど、それだとユーザー間の通信はできないはず。
別途「フレッツ・ドットネット」契約すればユーザー間の通信が可能。
http://www.ntt-east.co.jp/release/0712/071226a_2.html
http://flets.com/dotnet/index.html
光ネクストも標準のIPv6アドレスではユーザー間通信が無理で、2011年4月以降に
ユーザー間通信できるサービス追加って事なんじゃないかな?
>>960
グループアクセス売れなくなるから、表だって宣伝はしないでしょね
別途「フレッツ・ドットネット」契約すればユーザー間の通信が可能。
http://www.ntt-east.co.jp/release/0712/071226a_2.html
http://flets.com/dotnet/index.html
光ネクストも標準のIPv6アドレスではユーザー間通信が無理で、2011年4月以降に
ユーザー間通信できるサービス追加って事なんじゃないかな?
>>960
グループアクセス売れなくなるから、表だって宣伝はしないでしょね
>>966
公式で宣伝というのはYAMAHAさんの方ね
プロバイダに影響されずに高速にIPsec張れるのは強みだと思うし
センター経由のみでインターネット接続できるようにすれば一括管理もらくだし、それぞれのプロバイダ代も節約できるし
公式で宣伝というのはYAMAHAさんの方ね
プロバイダに影響されずに高速にIPsec張れるのは強みだと思うし
センター経由のみでインターネット接続できるようにすれば一括管理もらくだし、それぞれのプロバイダ代も節約できるし
しかし、速度的には、グループアクセス(IPSecなしの素)が有利なんじゃないのか?
ルーターも 57/58 系でも十分な速度でるし
(ファストパス適用される)
(ファストパス適用される)
で、話をまとめると
Bフレッツを契約している人はフレッツドットネットを契約して
IPv6アドレスをもらえばそのネットワーク内でIPSecVPNが出来ると。
今Bフレッツネクストを契約している人は来年4月以降まで待てと。
それでOK?
Bフレッツを契約している人はフレッツドットネットを契約して
IPv6アドレスをもらえばそのネットワーク内でIPSecVPNが出来ると。
今Bフレッツネクストを契約している人は来年4月以降まで待てと。
それでOK?
てかさ、フレッツ・ドットネットでVPN組めるなら
拠点AでISP契約してプロキシサーバ建てて
拠点BCDは拠点Aと月額315円のフレッツ・ドットネットで
VPNはればプロバイダ代も節約できるんだな。
全然知らんかった。
拠点AでISP契約してプロキシサーバ建てて
拠点BCDは拠点Aと月額315円のフレッツ・ドットネットで
VPNはればプロバイダ代も節約できるんだな。
全然知らんかった。
フレッツ内なら固定アドレスも振る必要ないんだよなw
フレッツ以外
・インターネット経由のIPSec
初期投資を安く
・フレッツグループアクセス
ランニング安く
・ドットネット
てところか?
・インターネット経由のIPSec
初期投資を安く
・フレッツグループアクセス
ランニング安く
・ドットネット
てところか?
客に売るとは
東西またぐ
・インターネット経由のIPSec
またがない
・フレッツグレープアクセス
でやっちゃうけど
東西またぐ
・インターネット経由のIPSec
またがない
・フレッツグレープアクセス
でやっちゃうけど
× 客に売るとは
○ 客に売るときは
OK?
○ 客に売るときは
OK?
色々情報集めたらRTX1000でもフレッツドットネットに接続できるんだね。
NTTのサイトにはRTX1100でファームも8.03.46以上って書いてあったから
ガックリしてたんだけど。早速使ってみるかな。
NTTのサイトにはRTX1100でファームも8.03.46以上って書いてあったから
ガックリしてたんだけど。早速使ってみるかな。
978 :annonymous:2010/05/27(木) 22:50:30 ID:???
西日本には、フレッツドットネットみたいに300円ほどで相互接続可能な
サービスってまだ出てこないのなか。
サービスってまだ出てこないのなか。
979 :[email protected]:2010/05/28(金) 10:42:14 ID:???
フレッツグループアクセスって便利だと思うけどだめ?
運用をキャリアに投げられるので、障害あっても支店の
人間で対応できるし、本社からキャリアに連絡して、
キャリアに対応させられるでしょう?
2000円/月・拠点の費用は運用と保険を考えれば、
決して高いものだとおもわないけどね。
運用をキャリアに投げられるので、障害あっても支店の
人間で対応できるし、本社からキャリアに連絡して、
キャリアに対応させられるでしょう?
2000円/月・拠点の費用は運用と保険を考えれば、
決して高いものだとおもわないけどね。
実際一度設定してしまえばほとんど障害なんておきないからなぁ・・・
ハードの故障とかなら浮いた金で予備機用意したほうがはるかに早く対応できるし・・・
ハードの故障とかなら浮いた金で予備機用意したほうがはるかに早く対応できるし・・・
>>979
以前のライトは700円/月だったか。それぐらいなら良いが、2000円だと固定IPプロバイダーに入るより高いから社内承認が下りない。
以前のライトは700円/月だったか。それぐらいなら良いが、2000円だと固定IPプロバイダーに入るより高いから社内承認が下りない。
フレッツドットネットの欠点はその回線からしか申込が出来ないって事かな
事前にIPv6アドレスが判らないので「コンフィグ突っ込んだ機器だけ持ってて繋げればOK」ってのが出来ない
グループアクセスもその回線から申込しなきゃいけないけど、アドレスは決めれるのでコンフィグ作成できる
なので、設定出来る人間が拠点側まで行かなくて済む。
事前にIPv6アドレスが判らないので「コンフィグ突っ込んだ機器だけ持ってて繋げればOK」ってのが出来ない
グループアクセスもその回線から申込しなきゃいけないけど、アドレスは決めれるのでコンフィグ作成できる
なので、設定出来る人間が拠点側まで行かなくて済む。
拠点まで行かなくてもRTとPOC一台あれば
IPv4でとりあえずつないでPCへリモートで入って確認しながらできると思うが・・・
IPv4でとりあえずつないでPCへリモートで入って確認しながらできると思うが・・・
POCになってる・・・
PCね
PCね
RTX800かぁ
スペック的にはRT107eの後継なんですかね。
国内向けには出さないのかな?
国内向けには出さないのかな?
シナってソースコード公開しなければならないようになる(なった?)んじゃなかったっけ?
RTX1500と、1100を使っています。
LAN2単独ポートに、プライマリとセカンダリのIPアドレスを設定した場合でも、
ファストパスは有効のままでしょうか。
LAN2単独ポートに、プライマリとセカンダリのIPアドレスを設定した場合でも、
ファストパスは有効のままでしょうか。
RTX800
992 :[email protected]:2010/05/29(土) 09:27:24 ID:???
ggrksとしたいけど、教えてあげる。
セカンダリIPは関係ないので、RTX1500でも1100でもファストパスは有効。
信用できないなら、rtproサイトで技術仕様のサイトみてみれば。
上のレスに直リンクあったから。
セカンダリIPは関係ないので、RTX1500でも1100でもファストパスは有効。
信用できないなら、rtproサイトで技術仕様のサイトみてみれば。
上のレスに直リンクあったから。
>>992
ありがとうございます。
ggrksということだったので、http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
を探しました。
みてみたら面白いですね。
1000系(1100、1200を含む)は、ノーマルパスでは割り込みを経てOSがパケットを処理しているんですね。
そして、ファストパスではOSでなくただドライバレベルで処理を行っているらしい。
いずれのパスも、ひとつのCPUが処理を行っていて、優先順位を決めることで高速転送を行うらしい。
しかし、1500系以上になるとファストパスはLANインターフェイスごとに用意された専用アクセラレーターで処理される。
OSとか、ドライバとか、汎用CPUの世界ではない。これは早いわけだな。
だが、VPNはIPv4 over IPv4トンネルしかファストパス処理されないそうだ。
だから、IPv6を使ってトンネルや、IPIPトンネルを作ろうとすると、RTX1500は処理性能を落としてしまうわけだ。
フレッツドットネット?などを使うには注意が必要ですね。
一方1000系では、そのほかの条件のトンネルもファーストパスされるといわれるものの、
これは、ドライバレベルで汎用CPUで処理されるという話に過ぎないのだろう。
ああ、もう板に余白がなくなってきました。
ありがとうございます。
ggrksということだったので、http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
を探しました。
みてみたら面白いですね。
1000系(1100、1200を含む)は、ノーマルパスでは割り込みを経てOSがパケットを処理しているんですね。
そして、ファストパスではOSでなくただドライバレベルで処理を行っているらしい。
いずれのパスも、ひとつのCPUが処理を行っていて、優先順位を決めることで高速転送を行うらしい。
しかし、1500系以上になるとファストパスはLANインターフェイスごとに用意された専用アクセラレーターで処理される。
OSとか、ドライバとか、汎用CPUの世界ではない。これは早いわけだな。
だが、VPNはIPv4 over IPv4トンネルしかファストパス処理されないそうだ。
だから、IPv6を使ってトンネルや、IPIPトンネルを作ろうとすると、RTX1500は処理性能を落としてしまうわけだ。
フレッツドットネット?などを使うには注意が必要ですね。
一方1000系では、そのほかの条件のトンネルもファーストパスされるといわれるものの、
これは、ドライバレベルで汎用CPUで処理されるという話に過ぎないのだろう。
ああ、もう板に余白がなくなってきました。