YAMAHA業務向けルーター運用構築スレッドPart8
2 :
anonymous :2010/06/01(火) 20:45:35 ID:MT6/rA34
3 :
anony :2010/06/01(火) 21:14:37 ID:???
4 :
guestさん :2010/06/01(火) 21:36:25 ID:???
おおっ、やっと復活したか。
5 :
アノニサス :2010/06/02(水) 08:11:43 ID:???
乙 >1
6 :
admin :2010/06/02(水) 09:56:12 ID:???
さっそくですが、質問させてください。 RTX1500には、温度センサーがついていて、 SHOW ENVORONMENTで、その温度を表示させられます。 現在、40度を示します。 これからネットワーク室の室温があがっていく季節になりますが、 表示温度は何度以下におさえたほうがいいでしょうか。 また、みなさんの所は今何度ですか?
>>6 以前MLでもそんな話題が出たことがあるな。
あくまで、周囲温度が条件になるって事だったとおもう。
で、ほとんどの機種が、動作環境条件が、周囲温度0〜40℃。
この範囲内なら負荷100%でも問題ないはず。
たとえば、うちはRTX1200で周囲温度27度のときに、内部温度44度だった。(CPU使用率は0%)
常識的な範囲で、この温度差は一定になるから、
周囲温度が40度の時は、無負荷なら内部温度は57度になるはず。
負荷があがれば、これよりもあがるはずなので、57度までは安全圏と見ている。
で、こういった温度差は機種や設置環境で違うだろうから、
自分で温度計を使って一度計ってみた方が良いと思う。
8 :
admin :2010/06/02(水) 12:09:02 ID:???
>>7 ありがとう。
rtx1200の場合、室温40度では、内部温度は57度になりますか。
うちは、室温28度(・・怪しい)で、内部は40度です。
CPU使用率は8パーセント未満です。
show environmentコマンドで表示できる温度は、
実際には箱内の温度なのかなあ。
室温に対して、プラス約20度は高すぎると思う。
実は、チップの温度だったりして・・・
サーバー室が、遠隔地にあるので、
室温を調べるために、RTX内臓の温度計が使えると思っていたのですが、
結構ずれがありますね。(確かに、室温と、内部温度の差は一定だと考えれば、計算で室温は求められますが。)
> 室温に対して、プラス約20度は高すぎると思う。 何を根拠に・・・ 四六時中通電してる状況なのに?
10 :
admin :2010/06/02(水) 12:15:12 ID:???
新PIC−NICキット
通販コード K-03740
発売日 2010/05/21
http://akizukidenshi.com/catalog/g/gK-03740/ おお、発売日が先月じゃんか。
LANが使えて、温度表示もできる(らしい・・)ので、これで、遠隔地の室温を計れるかな。ちょっと、興味があって。
(エアコンも、LANでアクセスできたらいいのに。)
夏場は、やはりルーターなどのコンデンサ破壊が気になってしまいます。
若干スレチすみません。
11 :
admin :2010/06/02(水) 12:19:04 ID:???
>>9 rtx1500って、通風孔が上部にたくさん開いています。
部屋は空調の冷たい空気の流れがあるので、
それで、室温に対して20度も高いというのは、疑問でした。
これは、どこかのチップの温度を意味しているのではないかと。
「筐体内温度」とは書かれているものの、表現が間違っていたりしてと思って。
スレ復活オメ
>>1 乙
特定のチップの温度ってなると、今度は熱すぎるんじゃないですかね?
CPUに近い位置にはあると思いますが。
自分でファンを回して積極的に排熱するのではなくて、周りとの温度差を利用して
熱伝導---言い方合ってるかな?つまりは、暖かい方から冷たい方へ---で
『漏らすように』排熱するタイプなので、多少は内部に熱はこもると思います。
> CPUに近い位置にはあると思いますが。 すみません、主語が抜け落ちました。 内蔵温度計のことです。
14 :
admin :2010/06/02(水) 12:52:50 ID:???
>>12 なるほど。
でもCPUと接した空気間の熱伝導でその温まった空気の温度と、室温との差は20度近くにもなるかなあ。
というのは、温まった空気は密度が低くなり当然上昇し、通風孔から出て行くから。
だから、あるいは、基板からの熱伝導を拾っていることも考えられるな。
前スレの990以降どんな話題があったかおせーてorz
RTX1200 なんですが、IP8 使ってて ip lan1 address 192.168.0.1/24 pp select 1 (略) ip pp address 貰ってるIP8の2つめ/29 (略) ip pp nat descriptor 1 pp enable 1 nat descriptor type 1 nat descriptor address outer 1 貰ってるIP8の2つめ nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp dns server プロバイダから教えられたアドレス という風だと問題ないんですが、 これに nat descriptor address inner 1 192.168.0.1-192.168.0.254 を追加すると、ルーターで名前解決(nslookup 〜)が出来なくなります。 address inner の行を消すと名前解決が出来るようになります。 RTX1000/1100 でこんな問題に遭遇したないですが、いったい何なんでしょう?
うちの1200は室温26.5度で RTX1200 Rev.10.01.22 2010/04/30 11:46:12 0% 19% 43℃ こんなんでました。
>>17 DNSの話ししているのにDNSの設定は何も書かないの?
> ルーターで名前解決(nslookup 〜) ルータにtelnet/sshでログインしてnslookupコマンドを叩くってこと? ルータをゲートウェイとして使っているPCのnslookupコマンドを叩くってこと? 後者だとは思うけど、どっちにも取れるんだよな
>>17 ルーターで、ログでもとってみてはどうかと。
何かエラーがでているはず。
それをup
>>14 結局、温度センサーって、どこに接しているんだろうね。
浮いたサーミスタでも、電極を通して熱が伝導してくるだろうしな。
誰か、箱開けたことある?
RTX1000/1100なら写真見つけたけど、温度計なんて分からんなw
>>23 RTX1100/1000は、SHOW ENVIRONMENTコマンドで、温度は表示されないよ。
だから、これらには温度計はついていないんじゃないかな。
>>24 失礼
久しぶりにコマンド打ってみて改めて気づいた・・・orz
26 :
anonymous :2010/06/04(金) 21:23:26 ID:Q7wz+A8r
>>17 inner addressなんてデフォルトのautoでも良いんじゃないの?
あと、nat descriptor type の後ろはmasquerade?
温度の話しが出てるのから便乗で。 RTX1200の筐体温度をMRTGでグラフ化した方おられますか? snmpwalk -v 1 -c public 192.168.1.1 .1.3.6.1.4.1.1182.2.1.15.0 結果 SNMPv2-SMI::enterprises.1182.2.1.15.0 = Gauge32: 42 snmpwalk -v 1 -c public 192.168.1.1 system 結果 SNMPv2-MIB::sysDescr.0 = STRING: RTX1200 Rev.10.01.22 (Wed Apr 21 16:17:03 2010) SNMPv2-MIB::sysObjectID.0 = OID: SNMPv2-SMI::enterprises.1182.1.37 SNMPv2-MIB::sysUpTime.0 = Timeticks: (1738619) 4:49:46.19 SNMPv2-MIB::sysContact.0 = STRING: SNMPv2-MIB::sysName.0 = STRING: SNMPv2-MIB::sysLocation.0 = STRING: SNMPv2-MIB::sysServices.0 = INTEGER: 12 となりますが具体的な mrtg.cfg の書き方が分かりません。 Title[rtx_temperature]: YAMAHA RTX1200 筐体温度 PageTop[rtx_temperature]: <H1>YAMAHA RTX1200 筐体温度</H1> こんな感じで書きたいと思ってるのですが。
抜けてました。1行目は↓で。
Target[rtx_temperature]: .1.3.6.1.4.1.1182.2.1.15.0:
[email protected] :
29 :
AN :2010/06/05(土) 10:06:42 ID:???
snmpwalk。。 ルーターで、SNMPなんてつかったことないわ。
30 :
17 :2010/06/05(土) 11:24:44 ID:???
>>26 >nat descriptor type の後ろはmasquerade?
はい、あれコピペしたつもりなのに抜けてますね、すみません。
IP8の最初の1つめをルーターのみにして・・・と使い分けたいので
本当は inner address に 192.168.0.1 のみ指定したいのですが、
192.168.0.0/24 すべてを範囲に入れても、なぜか前述のような挙動を示すものです。
挙動の違いは inner 行のある/なしだけなんです
31 :
17 :2010/06/05(土) 11:27:23 ID:???
>>20 ルーターに telnet に入って nslookup という意味です。
クライアント側の TCP/IP 設定で、DNS サーバーを ルーターに向けて、
クライアント側で nslookup しても結果は一緒です(当たり前ですが)
クライアント側の TCP/IP 設定で、DNS サーバーを ISP の公開する DNS 鯖に向ければ
クライアント側で nslookup すれば問題なく引けてきます
何でnslookupにこだわるのか?pingとかでも結果同じと言うことか? なんか回りくどい質問だな。
33 :
17 :2010/06/05(土) 12:55:15 ID:???
はい、ping でも同じです。 クライアントからの名前解決をルーターに仲介させたいって希望は普通じゃないですか ルーター自身が名前解決できないと困るでしょ ntp.nict.jp に同期も取れないし、ファーム自動アップもできないし
34 :
17 :2010/06/05(土) 12:58:03 ID:???
要は nat descriptor address inner 1 192.168.0.1-192.168.0.254 の有る無しで挙動が変わるって点が不思議に思ってて RTX1000/1100と比べてRTX1200から何か仕様が変わったのか? と疑問を抱いている次第です。 可変IPじゃなくてIP8を使ってるくらいで それほど特殊な条件で使ってるわけじゃないと思いますが。
>>31 それならRTX1200対DNSサーバだのはずだから、NATやIPマスカレード(NAPT)は通過しないと
思うんだけど?
36 :
17 :2010/06/05(土) 15:14:01 ID:???
逆に聴くが、おまいらの RTX1200 では inner address を定義した状態で、ルーター自身から正引きできてる?
よくわからんのですが、
パラメーター二つを入れるように、&で同じ値を2回入れてみるとか。
Target[rtx_temperature]: .1.3.6.1.4.1.1182.2.1.15.0&.1.3.6.1.4.1.1182.2.1.15.0:
[email protected] :
1200をさわったことがないのでわからんのですが 扱えるnatエントリーが増えてたとおもいますので、 その分、内部処理と外部挙動が変わってる可能性はあるとおもいますよ。 サポート送りの話と思いますけど、nat d(略)inner を明示したケースは、 out側には、outについてるppアドレスでそのまま出て行くけど、帰って来たとき、 in側で、先にnat処理がされちゃって、エントリーができてないからはじかれる、とか。 nat descriptor log on とsyslog debug on, syslog notice onで見れば udp53がdefaultフィルターでrejectされてたりするとか? はずしていたらすみません。 気になったのはここです。 IP8の最初と最後の1コずつは使えません、というのはご存じと思います。 IP8では、実際に使えるアドレスは6こです。念のためconfigのコピペミス確認を。 > ip pp address 貰ってるIP8の2つめ/29 > nat descriptor address outer 1 貰ってるIP8の2つめ > IP8の最初の1つめをルーターのみにして とりあえず私なら、ppアドレスを削除してこんな感じにします。 pp select 1 no ip pp address ip pp nat descriptor 1 2 nat descriptor type 1 masquerade nat descriptor type 2 masquerade nat descriptor address outer 1 IP8のふたつめ nat descriptor address inner 1 192.168.0.1 nat descriptor address outer 2 IP8のみっつめ nat descriptor address inner 2 192.168.0.2-192.168.0.254 nat descriptor masquerade static 1 1 192.168.0.1 udp 500 nat descriptor masquerade static 1 2 192.168.0.1 esp
39 :
17 :2010/06/05(土) 17:09:17 ID:???
IP8の6/8は承知してます。 「貰えたアドレスの2つ目」と「使えるアドレスの1つ目」という風で 同じことを別の表記で書いてしまい混乱させて申し訳ありません。 pp に ip 振らず、ですか もしルーターに IPSec させたいときには、lan1 secondary にグローバルを振るんでしょうか? せっかくなのでサポートに聞いたほうがいいですね いまから ML 流すと特定されそうで(笑)
> もしルーターに IPSec させたいときには、lan1 secondary にグローバルを振るんでしょうか? いえ。実動作上は不要です。不要のはずです。rtxの仕様は、動的IPでもIPsecできますよね。 ppにアドレスを振らないケースでは、 ルータ-からインターネット側へ出るときは、nat(IPマスカレード)で変換します。 入るときは、IPsecに必要なudp500とespについては、静的IPマスカレードでフォワーディングさせます。 ppにIPを振るとしたら、"/32"へ変える、または、"/29"をつけない、です。 まあ個人的な趣味なんですが、ppに振らない理由は、ppはぴあぴあだからです。 振ってしまうと、ルーティングテーブルが一つ増えるつまり処理がすこし増えますし、 人に診てもらうときにも説明が増えますからです。
42 :
27 :2010/06/05(土) 19:20:32 ID:???
>>37 さん
>>40 さん
アドバイスありがとうございます!
Target[rtx_temperature]: .1.3.6.1.4.1.1182.2.1.15.0&.1.3.6.1.4.1.1182.2.1.15.0:
[email protected] :
にするとグラフが動きだしました。
ツッコミ所も多いかと思いますが↓の様に書いて動いたという事で報告まで。
# RTX1200のテスト 筐体温度
Target[rtx_temperature]: .1.3.6.1.4.1.1182.2.1.15.0&.1.3.6.1.4.1.1182.2.1.15.0:
[email protected] :
MaxBytes[rtx_temperature]: 100
Options[rtx_temperature]: gauge, absolute, growright, nopercent, noinfo
YLegend[rtx_temperature]: Temperature(℃)
ShortLegend[rtx_temperature]: (℃)
LegendI[rtx_temperature]: / Temperature
LegendO[rtx_temperature]: / Temperature
Legend1[rtx_temperature]: / Temperature
Legend2[rtx_temperature]: / Temperature
Title[rtx_temperature]: YAMAHA RTX1200 筐体温度
PageTop[rtx_temperature]: <H1>YAMAHA RTX1200 筐体温度</H1>
>>42 MRTGはターゲットを必ず2種類指定する必要がある
名称の通り、元々はinput/outputのトラフィックを監視する目的で作られたんだろうから
こうなってるんだろうけど
ターゲットが1つの場合は、そのような感じで同じOIDを2回書くんだわ
44 :
27 :2010/06/05(土) 20:24:10 ID:???
>>43 さん
なるほど、そうだったんですか。勉強になりましたφ(..)メモメモ
45 :
17 :2010/06/05(土) 23:00:52 ID:???
>価格は「RT58iと同程度を目指したい」(説明員)とする。RT58iの価格はオープンだが、実売価格は4万円前後となっている
すんません、初歩的な話かもしれませんが、 RTX1200でBBルーターとして使っています。 ・LAN1 LAN ・LAN2 未使用 ・LAN3 WAN側(pp1 インターネット) これを、今回LAN2をDMZとしそこに無線LANのブリッジを設置しようと思います。 ・LAN1 LAN(LAN3のみアクセス可) ・LAN2 DMZにして無線LANブリッジを置きたい(LAN3側のみアクセス可) ・LAN3 WAN側(pp1 インターネット) その時に、LAN1からLAN2またその逆もアクセス不可にしたいのですが、 ルーティングテーブルに書かなければ通信不可を担保できるでしょうか? 別途フィルターとかはいらないのですかね? ご教示お願いします。
>>48 逆。何も書かなければ、素通し。
フィルターが必要。
たとえば、クラスCのアドレスなら、
ip filter 番号 reject * 192.168.0.0/16 * * *
を両方に効かせておけば、とりあえず通らない。
っていうか、そういうのもDMZって言うの?
もう少しお勉強した方がよかね
>>48 >ルーティングテーブルに書かなければ通信不可を担保できるでしょうか
あかん、同一装置のLANインターフェイスには自動的にルーティングされる。
>>48 DMZかぁ、BBルータなんだよね?
ポートフォワーディングをするだけなら
LAN1をポート分割するのが一番楽なんだけどな
ただしLAN1をポート分割するとUPnPが使えなくなったりするけど
いやぁみなさんありがとうございます。 まとめると、 ルーティングはいじらずに LAN1←→LAN2 の通信にフィルター設定 ということですね。 当初LAN1にVLAN切ることも考えたのですが、 元のフィルター設定を変更しないといけないので やめました。 ---------------------------------------- ip lan1 address 192.168.1.1/24 ip lan2 address 192.168.2.1/24 ip lan1 secure filter in 1000 ip lan1 secure filter out 1000 ip lan2 secure filter in 1000 ip lan2 secure filter out 1000 ip filter 1000 reject * 192.168.0.0/16 * * * ---------------------------------------- LAN3はpp1です。 ってなかんじですかね?
56 :
50 :2010/06/11(金) 10:18:57 ID:???
>>55 RS232C端子のあるPCとクロスケーブルを用意しとけ。
で、始点、終点を、よく見てよく考えろよ。
LANポート経由でルーターにアクセスできなくなるぞ。
57 :
55 :2010/06/11(金) 12:05:30 ID:???
>>56 あっ、そうですね。
自分があほでした。
基本LAN2に無線LANブリッジを接続して
LAN1へのアクセスをさせたくないだけですので、
LAN2への出入りを制限するのみとします。
----------------------------------------
ip lan1 address 192.168.1.1/24
ip lan2 address 192.168.2.1/24
ip lan2 secure filter in 1000
ip lan2 secure filter out 1000
ip filter 1000 reject * 192.168.0.0/16 * * *
----------------------------------------
いろいろありがとうございます。
精進します。
> 55 暗黙のルールには、経路情報にlanのアドレスが載ること以外にも、 パケットフィルタリングは、どのフィルターにも該当しないパケットをrejectする、というのがあります。 よくあるのかどうか知りませんが、ciscoも同じ動きで、"暗黙のdeny"とか言われてます。 なので、最後にpassをいれておきましょう。 で、56が指摘してるようなルーターの操作と機能、つまり telnetでのアクセス、dhcpとかdnsを動かすのであれば、 もうすこし細かいフィルターがベターかも。 ip lan1 secure filter in 1020 1099 ip lan1 secure filter out 1002 1099 ip lan2 secure filter in 1010 1099 ip lan2 secure filter out 1001 1099 ip filter 1001 reject * 192.168.1.0/24 * * * ip filter 1002 reject * 192.168.2.0/24 * * * ip filter 1010 reject 192.168.1.0/24 * * * * ip filter 1020 reject 192.168.2.0/24 * * * * ip filter 1099 pass * * rt58あたりの、web設定が自動生成するconfigが参考になるとおもいます。
59 :
55 :2010/06/11(金) 18:32:50 ID:???
>>58 暗黙のdenyですね。。
いやぁ〜本当にありがとうございました。
ググって良く調べておきます。
>>59 暗黙のデナイ、、
デフォルトフィルタね。
ディナイって発音するんだよな、そういえば。 最初の頃はデニーって発音してたわ。w
ピンをピングというのと同じ感じかw
暗黙のデニーエニーw
Kennen Sie Denie Annie?
66 :
sage :2010/06/14(月) 01:54:26 ID:???
>>63 笑い話くらい素直に笑っとけよ、まったく・・・
>>66 文字じゃ、空気が読めないからなー
笑っているんだよ、そしてそのボケに、突っ込んでいるの。
やままぅ
>>68 何、yamamahって、やままって読めるけど。
YAMAHAとは関係ないよね。
これも、空気嫁ってか。
71 :
anony :2010/06/16(水) 09:23:36 ID:???
>>70 うはwww
YAMAHAに脆弱性キタコレ!?
・・・と思ったらやままぅってなんだよバカスwwwwwwwwww
というのが、空気を読むということだろう。
FTPのヘアピンNATで教えてください。 pp1 が PPPoE で外に繋がってて ip pp nat descriptor 1 になってます。 で、NAT の中身ですが nat descriptor type 1 masquerade nat descriptor masquerade static 1 1 192.168.1.2 21 です。192.168.1.2 は Win2003 の FTP サーバーです。 外からグローバルアドレス経由では問題なくFTPにアクセスできますが、 ローカルアドレスの端末からグローバルアドレス指定ではアクセスできません。 ヤマハは標準でヘアピンNATが有効になってると聞いたのですが、FTP の場合は何か必要なのでしょうか。
passive でやってる?
75 :
73 :2010/06/19(土) 12:45:28 ID:???
restart したら上手くいきました。 すみませんでした。。
FTPのパッシブ接続に関して質問です。 ルータRT107e FTPサーバソフトウェアはFileZillaです。 ブラウザ経由からのサーバーへのFTPパッシブ接続が旨くいきません。 WANからルータRT107eを通してサーバへアクセスすると接続がはじかれます。 ポートは20、21番開放しています。 どなたか子宮ご教授ください!
>> 76 config晒せ
>>76 FileZillaでSSLでは無いよね。
チェックにブラウザ使うと何が起こっているか分からないので使わない事。
コマンドか転送内容が見えるffftpなどのクラを使う。
ポート20はサーバーからの送信元ポート番号だから、static nat で開く必要は無い。
ファイヤーウオールが一番怪しいね。dynamic でFTPを許可していますか。
configもlogも出さなきゃレスはむずい
レス有難うございます。 サーバーにwebシステムを搭載しており、ブラウザ経由でのFTPアクセスが前提なんです。 今日会社でログ採取してみます。 助かります!
>>76 >ポートは20、21番開放しています。
えっと初歩的なミスがあります。
20の代わりにランダムな1024を使うのがPASVです。(PASVだけなら20は使いませんので閉じてよい)
なおランダムな1024以上の範囲はFTPサーバーの設定のどこかにあると思います。
RT107eで任意のポート範囲を開放し、 FileZillaで適切に設定したらうまくいきました。 有難うございました。
RTX1200でwindows標準のVPMクライアントでIPSecで通信しようと思うんだけどできるのかな? やっぱyamahaのソフトでないとむりかな?
>>82 双方、固定IPならいけたはず。(アグレッシブモードが使えない)
それと、NAT越えが出来ないんじゃなかったかな。
だから、PC側はインターネット直結で固定IPアドレスが必要っていう、
かなり高いハードルになるんだったと思う。
>>83 ありがとう。
ということはイーモバとかで出先でつなぐのは無理か・・・。
無難にyamahaのソフト使うかな。
ってかNATトラバーサルができるからNAT越えはできそうなんだが。。。 何が問題なんだろう。。。
86 :
fff :2010/06/23(水) 22:52:28 ID:???
WindowsだとPPTPしかできないんじゃなかった? IPsec使える??
>>84 PPTP使えばいいじゃん。
iPadからでもつながるので、リモートでリモートデスクトップできて重宝してる。
>>87 同時に6人使う予定があるからPPTPだと4台までだからダメなんだよね。
89 :
anon :2010/06/24(木) 01:14:32 ID:G2/jCBmt
1200は知らんが1000や1100は実際は4台という制限はなく トンネル数分接続できるよ 4台は推奨値じゃなかったかな?
90 :
anonymous :2010/06/24(木) 07:16:36 ID:vkG7/IRb
中古のRTX1000を買ったほうがいいよ。
89>> ためしに6台同時に接続して通信したけど、回線切られたりファイル 転送が異常に遅くなったりまともに使える状態じゃなかった・・・。
1台だと? 4台同時だと?
IPSecでも6台同時は無理だろ
RTX1100に同時4台が推奨なんていう制約があるなんて知らなかったな。 少ない。RTX1500だったら? どこ?
たしかに推奨値4って書いてあるな 最大セッション数がいくつあろうが、推奨値は4なんだな
PPTP同時に6ってある程度の規模のネットワークだよね。 RTX内部にPPTP専用のルーターかサーバー置いたら?PPTP専用にしたらCPU負荷も軽減されるだろうし
専用ルーターかサーバー置くなら最初からIPSec張るだろ
うちはRTX1100にクライアントRT58でLAN間PPTPで6ぐらい張ってるけど大丈夫だよ そんなスピードは速くないけどね
どっかで、PPTPは元々全部ソフト処理になる上、処理自体も重い。 だから、RTXレベルのCPUだと、かなりきつい。 ソフト上では、制限かけてないけど、4セッション以上つなぐと、 その他の処理(通常のルーティングとか?)に、影響出てくるから、 おすすめしない。 元々、管理接続用のつもりでつけたし。 って書かれていたのを見た気がする。
>>100 RTX1500も、はじめはPPTPついていなかったものね(後にファームアップで対応)
ソフトウェア処理しているのだなということがわかる
どうりで遅いわけだ
105 :
お名前 :2010/06/28(月) 16:11:11 ID:???
RTX1000を使っています。 自宅のルータではポート80は192.168.0.2 ポート25は192.168.0.3にといった感じで設定をして 複数の自宅鯖にアクセスできるようにしています。 こういった設定がマニュアルを見てものっていません。 このIPアドレスはこのIPアドレスへといった設定は載っています。 上記のような設定のサンプルを教えていただけると 大変助かります。ご存知のかたよろしくお願いいたしますです。
してるんなら今使ってるRTX1000の設定がサンプルになるじゃん
107 :
お名前 :2010/06/28(月) 16:21:11 ID:???
あ、すみません。自宅のは家庭用のNECのルーターです。
110 :
お名前 :2010/06/28(月) 17:00:47 ID:???
>>108 おおぉ
これはいけそうです。サンクスです。
少しは調べろや カス
112 :
お名前 :2010/06/28(月) 21:26:10 ID:???
やなこった
公式Webの資料は他では有り得ないくらいの充実度なのに、ろくに調べもしないまま、 まず最初に2chで聞くってのがそもそも間違ってるんだよ まあ楽だとは思うけどね 自分のことは棚にあげて、役に立たねーなカス、間違ってるじゃねーかカスなんて 言っていればいいんだから 実際にサポートに問い合せたり、面と向かって人に聞いた場合は、こうは行かない
まあ、しかし、どんな場合でも初心者は、熟達者と違って
問題とする世界がどうなっているのか真っ暗闇でわからないわけで、
熟達者の諸氏が、こっちだよと一本ローソクを点けてやれば、
それをきっかけにして勉強することができるようになるとは思うのだが。
今回の場合も、その一本のローソクが、
>>108-109 だったということだと思うのだが。
そこからさきは、自力で調べることだろう。
しかしでも、
>>113 が言うように、
ローソク一本だけでは足りない初心者は、公式の設定例集で
自分なりに解釈し勉強することは重要だろう。
自分なりに意味づけ、知識の体制化ができなければ、講習会とか先輩に直接指導してもらう必要があるだろう。
設定例集はそういう知識の体制化に役立つことは何一つ書いてはいない。
業務用yamahaシリーズははじめがしんどい。
PapaさんがMLで必死に呟くルーターのこと蒔いてるが 誰も食いつかない。。 俺的にも、呟くとか、ハッキリどーでもいいんだが。
interopにいけない人やツイッターさわってない人の方が 多いでしょうに、確かに、すこし空回り感 それに、実装されるかどうか分からないものを出されても 勝手に動くhttpクライアント+文字列パターンマッチ できるNW機器の 用途ってなんでしょうかね・・・ DDNSの定期更新? ファームウェアの更新通知? NVDNSの死亡確認? 2chの自動巡回? それよりもsnmpの64bit対応お願いします ギガで回すとmrtgのカウンターがとぶんですよ
httpで稼働状況返す機械を巡回して、結果をまとめてどこぞの掲示板に書き込む。
118 :
anony :2010/06/29(火) 22:00:36 ID:???
USB使用の監視用に・・・ActiveDirectoryのGPOに採用した方が受けそう。 いつぞや書いた、URL_FILTERのログから検索ワードを管理者宛にメールするスクリプト、 Wikipediaも不完全ながら対応したが、ああいうのをLuaでつけたら・・・・ イヤラシすぎるか。 ネットボランチクラスだと、家庭内のプライバシー云々も問題になりそうだしなぁ。 (Google SSLが完璧な抜け道だけど)
スレ違いかもしれませんが質問させてください。 稼働中のRTX1000があるのですが設定変更のためログインしようとすると、 前任者(死去)が残したパスワードで弾かれてしまいます・・・ マニュアルを読むと、シリアルをつないでコマンドを打ち込めばログインできる ようですが、これを行ってリセットされるのはパスワードだけで済むのでしょうか? 設定がリセットされることはありませんか?? フツーに日本語を理解すれば大丈夫だとわかっているのですがこいつを止めると えらいことになるので念のため使用者の皆さんにお聞きしたいと思いまして・・・
消されるな、この想い!
>>119 リセットと言うよりは、RS232Cで接続した場合は、自分が設定した物のほかに
「w,lXlma」というパスワードも使えると言うだけだ。
だからそれでログインしていて、「cold start」とかやっちゃうと
当然すべての設定は消える。
それとそのパスワードが使えるのは、security classのコマンドで、
許可されている場合のみ。もし、禁止されていたらお手上げ。
まあデフォルトでは許可なので、明示的に禁止するようなことを
してなければ、大丈夫なはずだが。
122 :
119 :2010/07/04(日) 00:20:36 ID:???
>>121 安心しました。やってみます。
恐らくsecurity classのコマンドはかけていないと思います。
私が前任者でもかけません。
フロアには業者も入れますが、サーバ室に入るにはいくつもの鍵を
開ける必要がありますから、部外者は直接シリアルを繋げられませんし
そもそも万が一パスワードを忘れた場合、OFFにしていたら管理者でさえ
入れなくなってしまいますからね。
それでもオールリセットはできるから微妙。 コンフィグのバックアップぐらいあるだろうし。 てか死亡て・・・
まあ、それだけ大事なものなら、ログインしてshow config するか パスワードを変更した段階で、tftpでconfig getぐらいはするでしょ。 死亡って言ってもいろいろあるからなぁ。 大学の同期のやつで、通勤中に突然死したのもいるし(確か25歳だった) 交通事故なんかは、いつ誰に降りかかってくるかわかんないし。 俺も、客先にだけは迷惑かけないように、資料はまとめておかないとな。
125 :
119 :2010/07/04(日) 20:26:53 ID:???
余談なんですが、他人様の生き死にについて書くのも難ですが、 まぁ後日談、もとい前日談として書いておきましょう。 前任者は激しい激務の中で要求にこたえ続けていました。 ある週の月曜に出社した社員がデスクで眠る前任者を見つけました。 「休日も終日徹夜か。おつかれ」 と声をかけそのまま寝かせていたところ、いつもなら遅くとも9:00にはおきるのに 今日に限っては全く起きようとしない。 さすがに10:00を過ぎて不安になり、肩を揺さぶってみると、既に心配停止し 死後硬直も解けた前任者の死に顔がゴトンと・・・ ・・・というわけではなく、前任者は休憩時間にソープに行って腹上死したらしいです。 アホですね。勤務中に風俗で死ぬとかどんだけうっかりなんだと。 前述しましたが死についてとやかく言うべきではないですが彼はアホです。 地元の新聞にはちょこっと載ったらしいですが僕が入社する前なのでよく知りません。 でもまぁシステムは動いていたので基幹ネットワークに関してはタッチする必要が無く 数年放置されていたのですが、今回変更を加えることになり、新入社員の中で 「一番PCとか詳しそうなマニアックそうな奴」 の僕に白羽の矢が立った、というわけでした。皆様ありがとうございました。
前任者って何歳?
故障なかっただけ幸運だったね
128 :
hage :2010/07/04(日) 21:58:13 ID:???
どっちで死ぬかと言われたら明らかに後者を選択するな
129 :
119 :2010/07/04(日) 22:00:24 ID:???
>>126 死んだ年齢は、社員の話とその年齢を総合して計算すると47,8くらいですね。
>>127 そうですね。客先のシステムについてはちゃんと他の社員と情報共有ができていたので
彼に何かあっても大丈夫だったようですが、社内インフラは一度整備したらそのままですからね・・・
外部スイッチからオールリセット出来ないのは、 RT107e、RTX3000だけだっけ?
現行機種では、SRT100もそうだったと思う。 古いのだと、他にもいっぱいあるはずだが。
アキバでRTX1000が9980円だったから予備用にと買ってきた。 ほんとはRTX1100も19800円だったけれど、最近また値下がりしたのかな。
通電しか確認してないので良ければ、 Yオクで、RTX1000が5000円、RTX1100が12000円ぐらいっしょ。
チェック済みでその値段のもあるな
[rt100i-users 39147]って…
136 :
hage :2010/07/14(水) 17:28:04 ID:???
よほど困ってたんだろ 調査すべきはnatじゃなくてopen relayだとは思うが
RTX1100からPPTPでリモートログインしたPCにルーティングテーブルを吐き出したいのですが・・・出来そうで出来なかった。 RTX1100拠点A(内部192.168.0.1/24 外部固定IP)-ipsecVPN-RTX1100拠点B(内部192.168.1.1/24 外部動的IP) PPTPでアクセスできるように、拠点Aに192.168.0.11〜192.168.0.14/24をPPTP設定。 外部からPCで拠点Aにリモートアクセス。当然拠点Aにはアクセス可能。 PCに拠点B(192.168.1.0/24)へのルーティングテーブルが無いから、当然拠点Bにはアクセス不能。 PCに route add で、拠点Bへのルーティングテーブルを追加すれば拠点Bにもアクセス可能。 注)内部アドレスは適当。 事前準備もなく連行されて、とりあえず拠点Aへのリモートアクセス可能な状態にはしてきましたけど、 PPTPでリモートログインしたPCに拠点Bへのルーティングテーブルを拠点AのRTX1100から払い出すと言うのは不可能なんでしょうか? おそらくその客先には二度と行く事は無いんで、どーでも言いと言えばどーでも良いんですが、出来そうで出来なかったのが悔しいw
リモート ネットワークでデフォルト ゲートウェイを使う でぐぐれ チェックしてあればデフォルトゲートウェイ渡すハズ
教えて下さい。 通常は、tunnel向けにstaticルート。バックアップルートとして、 OSPFでLAN側からもらったルートでIP-VPNで通信させたいです。 Ciscoは、staticルートのネクストホップが無くなった場合、 staticが消えて、バックアップとしてOSPFのルートがルートテーブルに 載るんですが、 RTXでは、staticルートがhideenとなるだけで、 ルートテーブル上消えず、テーブルにOSPFが載らないのです。 ちなみに、staticルートを削除すると、すぐOSPFでのルートが テーブルに載ります。 これを、staticがhideになった場合、OSPFのルートをテーブルに 載せる方法、どなたかご存知でしょうか。 hide gateway など、複数のルートを書くのではなく、OSPFのルート を載せたいです。 よろしくお願いします。
142 :
そとのひと :2010/07/20(火) 20:16:04 ID:???
>>141 >DHCP からクライアントにアドレス配布する際に「NetBIOS over TCP/IP」を無効にしてやりたいのですが
どういう意味で書いていますか?
・DHCPサーバーでSMBのサービス停止の信号を送る?
・SMBのサービスを停止しても動作する?
どっち?
とりあえず後者の気がするので
DHCPとSMB「NetBIOS over TCP/IP」になんの関連性も無いよ。
「NetBIOS over TCP/IP」を無効にしても特別問題は発生しない。
ちなみにその説明の補足をしておくと
DHCPには特別な機能を付与することが出来その設定をOPTIONで設定します。
あくまでも特別な設定に関することです、一般的な利用でOPTIONは利用しません。
145 :
anonymous :2010/07/22(木) 10:45:47 ID:CCxUxVr3
>>140 どんな設定してるの?
OSPFの経路は通常時にshow ip routeで見えないの?
優先度が低いだけで見えると思うんだけど
>>140 普通の構成は、通常はospf、バックアップにstatic、ですからね。
145の言うように経路は持ってるはずですが、
ospfなのでpreferenceで負けてるんだと思います。
ip keepalive コマンドしてみたらどうでしょう。
監視先はトンネルの対向端点に振ったipで。
または、トンネルにもospfを流して、cost値で調整。
rtxシリーズなら、寿命ってどれくらいでしょうか。 もう10年近く365日連続で使っています。
MTBFでggrks、、、と思ったら、公表してないのね。 ファンレスだからMTBF100万時間くらいじゃないかな。 あとは設置環境次第。
149 :
guest :2010/07/24(土) 16:50:58 ID:???
寿命とMTBFは違うだろ 似てるけど
あ、そうだね。 生存個体1/eになるのが「寿命」だからMTBFから計算できるはず。 面倒だから誰かやってw
>>147 10年と言うとRTX1000かな?スペック的な寿命と言う意味だと、終わってるかな?
機器的寿命なんて、環境によるわな。電化製品と同じように10年が一つの節目かな?
心配なら予備買っとけよ
人間って丈夫だよな。 さすが、生物だ。
人間は多少壊れても治るからなw
こんなに時代は進化しても機械物って、まだ自己修復できないからな。 永久に使える機械物が登場したらメーカーは儲けられないから例えできたとしても製品化しないだろうけどw
人間の場合はCPU壊れても気づかないからなw
うちの上司はあきらかにCPU壊れてる。だれか交換してくれ。
ウチはHDDも壊れてるぞ。 さすがにメモリ(短期記憶)は正常だけど。 最大の問題は、内から外への動的フィルタリング。 完全に場当たり的にポート開くクセに、外からはまるで受け付ける気がない。
テスト環境が無いのを知りつつも「なんでテストしとかへんのや!!」と言う口先だけの上司 CPUが壊れているのか、暗にテスト環境を個人で用意しろと言う意図なのか・・・・
上司の椅子に、シリアルをつなげてパソコンに接続し、teratermを開き、 「あれっ、おかしいなあ、駄目だねコレ」って言ってみろ。 オオウケだろうな。
やったら即効で罵倒されると思うな。 SONYなどがオンサイト修理しないのも俺のせい。自分の思い通りに事が運ばなければ全て俺のせい。 機器のバグも俺のせい。YAMAHAのRTX対応(ファーム公開)が遅いのも俺のせい。 どこぞが作ったExcelVBAシステムの改修するのにも、Excelの本出してきて「これで何とかしろ」・・・・。 そこで初めてExcel触ったけど右も左も分からないままVBAからのSQL出力(帳票)システム改修作業だったなぁ〜。 途中入社のベテラン経理もSQLが分からなくて1ヶ月で辞めたよw
>>161 性格悪い奴等だね
多分、そういうやつは地獄行きだよ
まあ、しんどくなったら無理するな、発想変えて、
そんな柵(しがらみ)から抜け出しな。
ぎくしゃくした職場では、あなたのせっかくの能力を活かせない。
悪い人間は、人の所為にする。
つぶされてしまうだけだよ。あるいは、天罰が早々に下って、そいつが一番辛い目に陥るかだ。
円満にいきたいね。そうすれば、この国も良くなっていくよ。
俺は、ぎくしゃくした、幼稚なオトナの集団が一番いやだ。
人間関係とか、人生がわかっていない、幼稚なオトナはどうしようもない。
応援するよ。
>>162 すまん、既に帰宅中の事故(特別労災)が原因で解雇されて、そんな上司や柵とはグッバイしてます。
フレッツADSL引いてたから速度が速ければ自宅でNWテストしたんだけどね。それはそれでスキルアップできるわけだからね。
ただ、リンク速度で上り384kbps、下り128kbps(AMラジオが流れている昼間はリンク切れも多発)じゃ・・・・。
あと半年でもBフレッツの開通が早ければ・・・・解雇翌月に開通しましたw
当人の性格が悪いと言うよりも、業界(引越し系の電気工事業)の常識みたいなのかな?(あの会社だけかな?)
応募してくる奴は、その職種(例えば電気工事士)の最低限度の技量があるのが当然だと言う考え方。
あと、会長(夫)と社長(嫁)と次長(息子)が・・・・船頭多くして山に登る状態。
164 :
anonymous :2010/08/03(火) 03:43:14 ID:OpWVCk5p
質問があります。 RTX1100のLAN2インターフェイスに、あるネットワーク機器Aをつないで、 別ネットワーク(IP-SEC VPNの彼方)からアクセスしたいと思います。 しかし、この機器Aにはデフォルトゲートウェイもルーティングテーブルも設定できません。 すなわち同じネットワークに属すパソコンからアクセスできないものなんです。 そこでこのRTX1100のLAN2インターフェイスに、内向きにNATでも設定して、 機器Aと同じネットワークのIPアドレスに変換するようにしてはどうかと考えました。 別ネットワークのアドレスが、内向きNATを経由すると機器AのネットワークのIPアドレスに変換されるわけです。 しかし、もっとシンプルで綺麗な方法がないでしょうか。 VPNの彼方から、装置Aへアクセスするのは複数の機器です。 やはりこの場合、NATをLANインターフェイスに取り付けるのがベターでしょうか。
165 :
anonymous :2010/08/03(火) 04:40:55 ID:OpWVCk5p
↑つづき、 マスカレードを使います。
ネットワーク機器Aって何? そのネットワークにproxyサーバー置くとかは?
167 :
anony :2010/08/03(火) 09:46:41 ID:???
>>164 > すなわち同じネットワークに属すパソコンからアクセスできないものなんです。
から「しか」アクセスできない、だよね?
似たようなことをRT58iを使ってNATでやってる。IPSecじゃなくPPTPでだけど。
168 :
ano :2010/08/03(火) 09:51:43 ID:???
>>164 AをアンナンバードでRTX1100経由で他ネットワークのVPNに繋げば?
内向きNATの方が楽で応用が利くと思うけど。
169 :
anonymous :2010/08/03(火) 11:29:11 ID:OpWVCk5p
返信ありがとうございます。
>>166 httpプロトコル以外の通信もする機器であるため、proxyは難しいです。
そのプロトコルのproxyもあることはあるのですが、費用が10万します。
なので、ルーターをいじって対策を考えたいです。
>>167 すみません。「しか」が抜けていました。
そうですか。NATでできていますか。ありがとうございます。
うちは、
nat descriptor address outer で、機器Aが繋がっているネットワークでの「アドレスb」と、
nat descriptor type x masqueradeで、ナットマスカレードを使おうと考えています。
あとは、これをLANインターフェイスにセットします。
nat descriptor masquerade static で、ポートフォワード設定を行い、
機器Aが通信で使う特定のあて先ポートについて、VPN彼方にある専用装置へ転送します。
>>168 そういう発想はなかったです。
VPN彼方のネットワークアドレスを、機器A側ネットワークに融合し、同一ネットワーク化するということですよね。
もし、よければ、簡単な構成でプロトタイプを教えていただけるとうれしいです。
これもスマートな考え方だと思いました。
できそうなら、試してみたいです。
よろしくお願いします。
170 :
anonymous :2010/08/03(火) 12:58:29 ID:OpWVCk5p
とりあえず、NATと、マスカレードで、望むことができるようになりましたので、お知らせ。 ip lan1.1 address 192.168.1.1/24 ←機器A側ルーターアドレス ip lan1.1 nat descriptor 1101 1100 ←適用順序注意(1101を優先) nat descriptor type 1101 nat nat descriptor address outer 1101 192.168.1.9 nat descriptor address inner 1101 192.168.13.13 nat descriptor static 1101 1 192.168.1.9=192.168.13.13 1 nat descriptor type 1100 masquerade ←静的NATに漏れたパケットはマスカレードが担当する nat descriptor address outer 1100 primary ←ルーターLAN1.1のprimaryアドレス 静的NATにすると、ポートフォワード設定が要らないので便利です。 プライベート領域なのでなんら問題はありません。
詳しい人ばかりの中にこんな質問するのはKYなんだけど RTX1100を使って(現状2台あまっているので)遠隔地の同一セグメント同士をインターネットで つないぐっていうのは無理でしょうか? (どうも同一セグメント同士なんて普通はつながないっていう書き込みばかりみるので) やりたいことは遠隔地のLAN3つのセグメントをただつないでやるということだけなんですが 他の機器を使ったほうがいいのでしょうか。
同一セグメントをつなぐって表現がすでにおかしいのは置いておいて… できる けどなんで同一じゃないといけないの?
173 :
anon :2010/08/06(金) 19:35:09 ID:???
>>171 L2TP/IPsecって事?
RTX1100だと出来なかった記憶がある。
センチュリーのXRシリーズあたりがお勧め
>>171 できたとしても、運用が最悪になるから薦めないのが普通。
ネット障害が発生した時の切り分けが大変。
同じネットワークアドレスのサブネットを接続するときは、
1)NAPTを通して接続
2)各サブネットのさらに小分けして接続
とする。1は導入が簡単だが、ネット障害の切り分けが難しくなり、運用が大変。
2は一部のノードのIPアドレスを変更する必要があり導入が面倒だが、運用は
普通。
異なるセグメント間を繋ぐとき、 デフォルトルートを使うのとNATを使うのでは、 どれくらいスピードが違ってくる?
すいません、誘導されてきました…。 お伺いしたいのですが、今回うちの事務所でサーバを建てることになって、今までレンタルのルータからRTX1200にしようと思っています。 ・回線はBフレッツハイパー ・サーバは2台(メール・ウェブ) ・クライアントPCは10台前後 ・IP電話あり こんな感じでしょうか… [FTTH]━━┳━━[RTX1200]━━━━━━[DMZ]メール、ウェブ鯖 ┃ ┃ [VoIPアダプタ] ┗━[ハブ]━━━[PC]
VoIPアダプタがNAT箱を兼ねなければならない仕様になってなければ大丈夫。
178 :
176 :2010/08/14(土) 01:22:49 ID:???
>>177 ありがとうございます。
VoIPアダプタはみかかのV110なのですが、それをルータモード(PPPoE)ではなく、アダプタモード(IPを端末に振らない)にすると言う事でしょうか。
単なるSIPクライアントにすればいのかな…。
ついでで申し訳ありませんが、LANポート一つに10台前後ぶら下げるより、複数のLANポートに分散させた方がいいでしょうか?
180 :
あな :2010/08/14(土) 02:33:05 ID:???
北海道ならCTUはないんじゃないか? VoIPアダプタの型番は?
182 :
ano :2010/08/14(土) 14:01:23 ID:???
183 :
176 :2010/08/14(土) 16:31:55 ID:???
>>182 ありがとうございます。
ただ、そうしますと、あんまりRTXの意味がないような気がするんですが…
これは折衝してIP電話を廃止させた方がいいでしょうか。
光電話に変えてV110を返す…と。
お盆期間中にも関わらず皆様ありがとうございます。<(_ _)>
と、言うか経費なのでさっきRTX買ってきました。
[FTTH]━━┳━━[RTX1200]━━━━━━[DMZ]メール、ウェブ鯖 ┃ ┃ [VoIPアダプタ] ┗━[ハブ]━━━[PC] 以上のようにして、RTX1200と、VoIPアダプタ(V110)とで2セッション張ったらいいのでは? RTX1200とV110は、スイッチングハブで結合する。
YAHOOのオークションで、RTX1000が叩き売り状態なんだということ知った。 ファームサポート切れだからなんだろうな。 RTX1000を買った人て可哀想。 しかし、差別だよな。たまたま上位のRTX1100を買った俺だけど、 気が変わってRTX1000を選択したかもしれない。 当時、サポートが早めに終了しますっていう情報を山はは公開していたんだろうか。
>>185 RTX1000の方が古い機種なんだから、
1100よりも先にサポートが終了するのは、違和感は感じないが。
そもそも、1100は上位機種というよりも、後継機種。
「configがそのまま使えて、性能アップ」って感じの登場の仕方じゃなかったかな。
併売していた理由は「機種の変更は絶対に認めないという現場のため」
だったと思う。
1100→1200の移行も、そんな感じになるんじゃなかろうか。
188 :
a :2010/08/14(土) 23:35:36 ID:???
>>185 発売日は1000が2002/10、1100が2005/02ですが、それでも差別とな?
NetVolanteで言うと、1000がRT56v(2002/07)とほぼ同じ世代
1100がRT57i(2003/07)〜RT58i(2006/09)の世代ですよ。
あと、YAMAHA的には1000はRTX第一世代、1100は第二世代扱い。
ぱっと見の数字で1100と2000が比較されるならまだしも、1000と1100なら
1000が1100より早くサポート終了になるのは、別におかしくないと思うが。
ほかの機種よりも短めのサポート、 あるいは、長めのサポートというヤツもあるでしょ。
打ち切り自体はしょうがないとして、EOLがはっきりしないのはどうも・・・(´Д`) 提案しにくいやん。
191 :
ano :2010/08/17(火) 00:51:29 ID:???
>>190 EOLが実際に気になるのはHW故障に対するサポートでしょう。
本来的にはEOLにはファームのセキュリティ対策も含める必要あるけど、
この世知辛いご時世、セキュリティ対策のためだけに保守費用払ってくれる
上客は減った。
また、一度設定して不具合でていないなら、ファームアップや設定見直しも
しないのが主流じゃない?
>一度設定して不具合でていないなら、ファームアップや設定見直しもしないのが主流じゃない? 用心をすると、ファームアップ後の不具合は絶対避けたいものね。 ついこの前、一か八かでアップデートしたrtx1100に障害が出たよ。(泣) ほら、あったじゃんか。 LAN分割機能を使っている場合に、ローカルインターフェイスと疎通できない不具合のあるファーム。 あれで、拠点まで出張するはめになった。原因不明だったので予備機と交換だよ。 しばくして、その不具合を修正したファームが出た。今年の春頃だったと思う。 こういうことがあるとファームアップには慎重になるよね。 だから今新しいrtx1100のファームウェアが出ているけど、まだ当てていないよ。 セキュリティーに問題がないので現状維持を優先するほうが大切だね。 だけど、セキュリティーに問題があればどんな機種でも やっぱり修正版は出してほしいな。
>>190 >打ち切り自体はしょうがないとして、EOLがはっきりしないのはどうも・・・(´Д`)提案しにくいやん。
本当にそう思う。
高いお金だしてrtx2000なんて買ってしまった人は、本当にがっかりだったろうな。
いったい誰が、ファームサポート打ち切りになると予想していただろう。
どうかrtx1500が終わりませんように。
>修正を必要と認めたものについて生産終了後2年間行います 生産終了するか否かがポイントになるわけだ。 rtx1500は、rtx1200にはない良さも持っているわけだから、 まだ終了にはならないだろうな。 でも、rtx1000は、rtx1100にその座を奪われたわけだ。 したがって、次にどういう新製品が出るか、出ているかをよく吟味する必要があるだろうな。
ファーム提供のためかどうかはわからんが RTX1000は直系の後継機種1100が出てからもかなりの間併売してたんだから すぐに旧機種を切り捨てる気でいるわけではないだろう とはいえ1500はすでに発売して6年経ってるから寿命は見えてきてるな (1000は2002年発売、1500は2004年発売)
>1500はすでに発売して6年経ってるから寿命は見えてきてる でも当然それは、より内部性能の高いものが発売されてからでしょう。 rtx1600が発売されてからだと思う。
ある人が、販売代理店から聞いた話という、非公式な内容だが、 1500はすでに生産終了が販売店には告知されていて、 在庫のみと言う話が、MLで流れたことがある。 たしか先月の初め頃だったかな。
>>198 エエエーーー
じゃあ、その役を引き継げる装置は?
rtx1200じゃ内部の性能が無理よ。
200 :
ななし :2010/08/17(火) 13:41:29 ID:???
1500はCPUが結構前に廃品種になってるようですな。 しかも現行品に適当なのがないぽい…
部品調達ができないってことですか・・・
>>202 あのう、しいて該当するのはPPTPぐらいだと思うんだけど気になるならIPsec使えばいいし、
まさか貴方はWEB設定画面とかTELNETをWEBに公開している兵とか・・・
>>185 がなまじ ファームサポート切れ なんて書いたから、その流れでそう書いたんじゃね?
順次リリースってなってるんだから、出ることは出るだろうさ
そのうち
yamahaルーターのシェアは、やはり日本だけでしょうか。 それとも、ピアノのように世界のヤマハなんでしょうか。 yamahaルーターは良心的でとてもつかいやすいと思います。
207 :
ano :2010/08/18(水) 09:49:59 ID:???
>>206 日本だけだろう。
世界市場戦略品なら、プレスリリースとかで出ているだろう。
ヤマハルータがいいのは、ヤマハが技術情報・マニュアルおよびFW公開を
WEB上で展開してくれているのが一番だと思う。もちろん、MLも貢献している。
技術情報に関しては、質は疑問だがCiscoも公開するようになって、使いやすくなった。
そういえば中国向けださなかったっけ?
209 :
anonymous :2010/08/18(水) 16:23:09 ID:tsLXj56G
なるほど、ということは
>>185 の言うとおりなわけか。
212 :
207 :2010/08/19(木) 09:47:44 ID:???
情弱でした。スマソ。 でも、サイトをぱっと見る限り、日本法人の中国支社向けのような感じだね。 技術サポートも日本人みたいだし。 ところで、中国とのインターネット接続は苦労するから、気をつけてね。 100Kbps程度しか出ないことなんて当たり前で、インターネットVPNで拠点接続 なんかしようとすると、パフォーマンスが出ないで失敗なんかよくあるから。 まずは、日本側のISP選びが大切で、そのうえで中国側のISPをきちんと選ぶ。
213 :
hage :2010/08/19(木) 09:51:34 ID:???
どっちにしても、日中間の海底ケーブルが細すぎて使い物にならない。 中国政府の検閲プロキシのせいかもしれないけど
214 :
ano :2010/08/19(木) 09:59:59 ID:???
>>213 日中間の海底ケーブルを使うならいいけど、俺の時は、
日本-アメリカ-ドイツ-ロシア-中国(成都)
と世界2/3周していたよ。何ホップあるんだとあきれた。
キャリアに聞いたけど、中国側のキャリアとピアリングしようとしたけど、
めちゃくちゃ吹っ掛けるらしくってあきらめたと話していたよ。
215 :
hage :2010/08/19(木) 10:13:53 ID:???
へぇ routetrace かけた限り、俺の時には香港経由だった
>>210 202でつ。なるほど。
>2010/Jul/21時点でのリリース状況は・・・
ってなってるから無理元で期待して待つよ・・・
218 :
hage :2010/08/19(木) 11:01:51 ID:???
中国内で終端する場合は比較的速いよ 問題は国境を超えるとき
たしか、中国国内市場向けと言うよりは、 日本の製品を持って行く場合は、通関がとても大変なので、 現地向けの製品と言うことで発売したってことじゃなかったっけ。 だから212の言うとおり、主なターゲットは、 日本の中国支社とVPNを組みたいって層だった気がする。 関係ないけど、確か中国って、「IT製品のソースコードをすべて公開しろ」 って法律がなかったっけ?その関係もあるのかな。 (まだもめてる最中だったかな?)
>主なターゲットは、日本の中国支社とVPNを組みたいって層だった気がする じゃあ、telnetも、日本語表示できるのかな。 >中国って、「IT製品のソースコードをすべて公開しろ」って法律がなかったっけ? 技術が吸い上げられていく・・・
中国のソースコード強制開示強行は1年間の延期となったはず。
政府調達品のみじゃなかったっけ?
政府調達品のみだね。
クラッカーコードが含まれていないかどうかは気になるよね。
> 220 Interop で GUIは中国語、コンソールは日本語と英語 って言ってた気がする。 で、中国向けに日本向けのファームは入らないらしい。 あと、NetvolanteDNS が使えるとか使えないとかの話をしたのだけど、 あんまり興味なかったので、聞き流してしまった。 うる覚えなので、間違ってたらごめん。
YMS-VPN7ver1.0.0.2について。 Windows7 64bit HomePremiumにてVMWarePlayer3.1.1を入れゲストOSとしてCentOS5を動かしていたが、 YMS-VPN7の試用版を入れたらCentOSのネットワークがつながらなくなった。(ubuntuでも同様) 1.NATモードならつながるがブリッジモードはダメ。 2.YMS-VPN7の動作は会社のRTX-1100に対しNATトラバーサル、XAUTHで問題なし。 3.YMS-VPN7をアンインストールするとVMWareは問題なし。(再現性あり) どなたか同様の問題を解決した方いますか?
YMS-VPN7が、NIC(1)にフックしちゃったんだろう。 試したことはないですけど、 もう一個、NIC(2)を接続して、NIC(1)とNIC(2)とをWIN側でブリッジする。 NIC(1)は、YMS-VPN7で用いて、 NIC(2)は、VMwareで用いるとかどうだろう。
228 :
anonymous@honsha1_62.shiino.co.jp :2010/08/27(金) 13:12:46 ID:v6i2+I1D
質問です。 PPPoEの接続を無限に繰り返すようなコマンドがありますか? 同様に、IPSecでも、接続を無限に繰り返すようなコマンドがありますか? 教えてください。
これはひどいな
ありません
単に keepalive したいだけとか?
233 :
anonymous@honsha1_62.shiino.co.jp :2010/08/27(金) 16:47:22 ID:v6i2+I1D
>231 まさにその通りです。意訳ありがとうございます。 ====================================================== PPPoEは、こんな感じの設定にしています。 pp always-on on 60 pp keepalive use lcp-echo pp keepalive interval 10 retry-interval=5 count= 4 pp always-on と、pp keepalive interval の関係は? ====================================================== IPSecの方ですが、固定IP と 動的IP間で IPSec使っていますが、 結構切れてしまいます。数秒で復旧する時もありますが、 1分以上つながらない時もあります。 最悪、ルーター再起動で直ります。 一応こんな設定です ipsec ike always-on ? on ipsec ike keepalive use ? on heartbeat 5 3 接続は、動的IP側から一方的にしています。
234 :
hage :2010/08/27(金) 17:07:23 ID:???
機種が分からんが pppoe call prohibit auth-error count off で幸せになれると思うぞ
回線はADSLで不安定なの? 頻繁にpppoe切れる原因調べた方がよくね?
236 :
anonymous@honsha1_62.shiino.co.jp :2010/08/27(金) 18:02:26 ID:v6i2+I1D
>>234 機種は、RTX1100とRTX1200を使ってます。
「pppoe call prohibit auth-error count off」って
コマンドリファレンスにのっていないような・・・
>>235 PPPoEとIPSecの件は別です。
IPSecが切れているときも、PPPoEはつながってます。
(対向のルーターにPingも通ります)
そりゃあ切れるような回線状態の状態で60s後に必ず繋がるわけ無いよ しばらく通信状態監視した方が良いんじゃねーの? あー、鳥ぎんときどき行くな・・・w
>状態の状態 賛成の反対の反対みたいになってる・・・orz
239 :
anonymous@honsha1_62.shiino.co.jp :2010/08/27(金) 21:03:28 ID:v6i2+I1D
>> 237 PPPoEの方は切れることはほぼないんですよ。 ただ、設定的にかけておかないと、回線の工事や障害とかの時に 出張なんて面倒なんで・・・ IPSecは、ちょっとハマってまして、皆さんのお知恵を・・・ という感じです。情報少なくてスミマセン。 どの辺りから洗った方がいいでしょうか?? >あー、鳥ぎんときどき行くな・・・w 関連会社をご利用頂いてありがとうございます。 釜飯の新メニューがそろそろ出来るようなので、また食べに来て下さい。
ヤマハの切り分けドキュメントと睨めっこして、具体的にこれは違ったとか言ってもらった方が。 show log/config さらすわけにいかないでしょうし・・・ 漏れもインフラ管理者だったけど、そういう出張は大歓迎。必要以上に外出してたw 時々海外に行きたくなると仕込んでおいたミニ爆弾発動させてたのはナイショ
241 :
226 :2010/08/27(金) 22:17:09 ID:???
>>227 >NIC(1)は、YMS-VPN7で用いて、
>NIC(2)は、VMwareで用いるとかどうだろう。
ありがとうございます!!!
余っていたUSBWi-Fiアダプタを刺し、有線と無線を同一セグメントで接続し、
ネットワーク接続のプロパティでYMS-VPN7とVMwareBridgeProtocolをそれぞれ使い分けで
ブリッジモードが復活しました。
これでしばらくYMSがヴァージョンアップするまで運用します。
質問です。RTX1100を使っています。 セキュリティー関係ログに次のような情報が刻まれていました。 ----- result of "show ip intrusion detection" ----- show ip intrusion detection PP[29][in] Action: reject 2010/08/27 04:32:48: Record route IP opt 155.XXX.2.YYY > 192.168.ZZZ.1 ←RTXのアドレス 上で、PP[29]はPPPOEによるプロバイダ接続です。 こういう行が、複数ログされています。 これは、いったい何が問題になっているのでしょうか。
>>242 >何が問題
とはどういう意図で言っているのでですか?
IPオプションヘッダ関連の攻撃をreject(破棄)したログだと思うんだけど。何処に問題があるの?
其の問題が伝わってこない
もしかして破棄したくないIPからのアクセスだったとか?
>>241 スムーズにできるなら、ヴァージョンアップしなくてもいいと思うよ
がんばれ!
>>243 わかりにくい表現ですみません。
>IPオプションヘッダ関連の攻撃
だということがひとつわかりました。
Record route IP optって、いったいどういう攻撃なんでしょうか。
今何が、攻撃されていて、何が危険な状態になっているのでしょうか。
今まで、こういうログが記録されたことがなかったので、うちが狙われているのか心配なのです。
246 :
age :2010/08/30(月) 16:09:05 ID:???
>>233 >ipsec ike keepalive use ? on heartbeat 5 3
もう片方の数字が違ったりするおちはない?
うーん、でもRecord route IP optを用いた攻撃については書いていないんだよなあ
そもそも使用用途がおかしいじゃんそれ。
とりあえず気にする程でもないだろ
>>252 VoIPに関してはRTX1100(SIP-NAT)は通り道に過ぎないという意味じゃないのか?
実際攻撃受けるのはRTX1100じゃなくてVoIP機能付いている装置だろうし。
てか防御機能働いているんだから細かいこと気にするなよ、禿げるよ。
>>252 ではないが、
スキルのない空っぽ上司に、
訳の分からない要求を出されて、
とにかくそれに応えねばならず、
途方に暮れることはあるな。
どっからか狙われる理由がなければ気にするな 公開してるサーバーがあればそれらのセキュリティホールがあるか検査した方がよい
>>253 どうしていきなり、SIP-NAT、voip関係が登場してくるのかもわかりません。
で、Record route IP optを用いた攻撃って、どういう被害に会うんですか。
ググれとはじめに言われませんでしたか? Record route のIPヘッダオプション使うのはSIP-NAT関連だから、 SIPで使うプライベートIP側のルーティング情報が改ざんでもされる攻撃だろう てか貴方絶対にぐぐっていないな。釣りか?
http://netvolante.jp/products/nvr500/ 完璧な装備のがでましたね
ひかり電話エースにも対応
3G携帯電話網対応
ISDN対応
アナログ回線対応
lua言語サポート
全ポートが1Gbps対応
外部メモリ対応(microSD/USBメモリ/USBハードディスク)
外部メモリを利用して様々な保守管理・拡張機能を使用できます。
* ログ、ファーム、config、Luaスクリプトの保存、コピー
* 外部メモリに保存したファーム、configからの起動
* ファイル共有とファイル
NVR500に接続された外部メモリ間で同期(ミラーリング)をすることもでき、拠点間でファイルを共有/バックアップすることも可能です。
カスタムGUI
ユーザーIDごとに別々のGUI画面を表示する
贅沢だな
IPSECはないけどね
買い換えるほどではないな 新規導入でも微妙なライン
ネットボランチのスレでも、評価が微妙。
>>261 買い換えはともかく
新規導入で微妙ってどの辺が?
RTXと違ってRT系は新型出ると旧型はディスコンになるから、 いまRT58iで検討していた案件はNVRを新規導入せざるを得ないんじゃね? 特にIP電話がからむと、このクラスは他に選択肢がほとんど無いし。
どうだろうな・・・ 少し上に書いてあるけど、筐体が販売終了になってもファームウェアのメーカー保守は2年間は継続されるんだろ? なら、既にRT58iで検討していた案件ってことなら、そのまま行くと思うけどな。 第一、まだ発売されてもいない機種に期待するくらいなら、現行機種を選択するんじゃないかな。 顧客に導入するなら尚更。
販売店在庫があるうちはな
販売店在庫があるうちはな(キリッ
>>264 モデルチェンジの時期の案件って面倒だよな
>>264 新機種って、何らかのバグがあるので躊躇するけどなw
>>269 でもYAMAHAは不具合報告出せば対応早くて、
最初の頃はファームウェアのバージョンアップを頻繁に行なってくれるから好き。
>>270 それは分かるんだけどね。
初期のRTX1000で泣いた経験があるからw
どこぞの機器みたいにファーム公開しないメーカーよりは好きだぞ。
新製品は半年ほど不具合報告を待ちたいだけ。
個人で使う分には、人柱上等なんだけどな。さすがに業務だとね。
保守契約なしで公開してるYAMAHAが珍しいというかお人よし
だから個人でもRTX買う奴いるんだろ
散々言われているけど、NECの遺伝子が入っているところはファームウェアは公開しないよな。 アラクサラとか。 富士通、センチュリー、アライドはダウンロード出来るな。 アライドは契約者だけがダウンロード可能なやつがあるという話をどこかで見た覚えがあるけど、 2ちゃんだったかな?
>>274 あと、古河電工のFitelも公開してるね。
F100も持ってるけど(持ってるだけで使ってない)これもファームウェア更新してくれてる。
人気無さすぎなのが可哀想なくらい。。。
探し方やタイミングが悪いのかも知れんけど、秋葉原の中古屋でもFITELnetって全然見たことないしな。 ヤフオクでたまに見かける程度。 さて、どうやらRTX1000はもう駄目っぽいので浮気相手を探さねばならんw
最大手のシスコが公開しないからな
Shrew Soft VPN ConnectでRTX1000のIPsec接続を試しましたよ。 Windows共有のダウンロード速度測定(2ファイル同時) Windows7(64bit)での速度は30M弱程度。XP(32bit)で試すと10Mでなかった。 XPが遅い原因はどうやらShrewの仮想アダプタのリンク速度が10Mbpsになってる模様。 ソフトの仕様なのかな? RTX1000でPPTPやるよりマシだけどIPsecなのにバッファローのPPTPに負けてるのは悲しい・・・ ところでMR504DVのPPTPスループットは30Mって話しを聞いたけど(メーカーにて)、そうなるとXPでクライアント購入なしの安上がりで端末接続するならMR504DVのPPTPが最速?てかこの機種CPUそんな速いのん? MR504DVってオク相場でRTX1000の半値ほど(千ナンボ)であるみたい。
IP38シリーズってのがあってだな
>>278 速度だけ見ているようだけど。
バッファローのとか個人向けのPPTPは負荷かけるとセッション切れる場合があるからね。
(私の環境だと切れまくりで、私自身もブチギレした)
業務用途は速度より安定が大事だと思うんだよ。
普通に使ってればバッファローに負けるなんてあり得ないでしょ
MR504DVが千ナンボならバッファローを買う理由はないねぇ。 Vista以降ならShrew Soft VPN ConnectでIPsec、XP以前ならPPTPと使い分けできるし。 (理論値30MのPPTPが事実ならShrewの10Mリンクよりも速いはず) PPTP使うのは苦肉の策なんだよな。 他にフリーのIPsecクライアントないのかな?
YAMAHA RTの一般的な工場出荷状態のadminウーザーとパスワードがあれば教えて頂けないでしょうか
284 :
hage :2010/09/10(金) 12:32:48 ID:???
パスなしだが
>>283 SRT100だけはdoremi
他はパス無し
ユーザー名もナシ
今販売されているような型番なら、Webサイト上のスペック表に初期状態のIPアドレスとかが掲載されてるはず。
ありがとうございました!
取説読まないのかな・・・
初歩的ですいません、今マシンでコントロールしてるIPTABLESのチェーンをルータで設定しようと思っています。 iptablesは割とわかるんですが、ルータに打ち込むコマンドの一覧とかないでしょうか…。 ルータはRTX1200です。
つ コマンドリファレンス
292 :
289 :2010/09/11(土) 01:07:46 ID:???
あの三項演算子は、hさんですか 独自拡張しちゃえぅあ
midiでGJされてます。あんなかんじで、外付けストレージの mp3またはwave(mono)再生の実装を是非。 みくたんはぁはぁ。そら、 ほとんどの人には不要かもしれませんけども
やたっ。さすが。かっこいい。 その勢いで wave再生/録音<みくたんはぁはぁ> も是非。 擬似ナンバーリクエストと簡易留守電になります。 さらに、より細かな着信振り分け〜簡易CTI機能や 時間に応じて自動発信・音声再生するモーニングコール機能に つながります。
Asterisk使えって
初歩的なことですいません。
透過プロキシをRTX1000でやりたいのですが、
iptableでいうところのコマンドをRTX1000でどういうコマンドにすべきかわかりません。
わかる方お答えいただけないでしょうか・・・・
iptableの場合例えば
ttp://www.atmarkit.co.jp/flinux/rensai/iptables02/iptables02e.html 4 internal_ip='192.168.0.0/24'
10 proxy_ip='192.168.0.100'
11 proxy_port='3128'
63 iptables -t nat -A PREROUTING -i eth1 -s ! $proxy_ip -p tcp --dport 80 -j DNAT --to $proxy_ip:$proxy_port
64 iptables -t nat -A POSTROUTING -o eth1 -s $internal_ip -d $proxy_ip -j SNAT --to $my_internal_ip
65 iptables -A FORWARD -s $internal_ip -d $proxy_ip -i eth1 -o eth1 -p tcp --dport $proxy_port -j ACCEPT
あたまから魚の骨をひろげる人たちは、 文字列『黒い目の大きい男の娘』に オーバーフローするのかもしれませんね >296 みくたんとの共同作業は、やはりヤマハ謹製が。 それにそれを言ってしまったら、 PCルータとかsamba+rsyncにしる、とも言えますし・・・ >297 rtx1000では、できないと思います。 ルーティングより手前の処理で、dest ipをきれいに書き換える機能が、無かったはず。 rtxのIPマスカレードのフォワーディングは、たぶん、 特定IP(ルータに指定できるIP)のフォワーディングのみですから、 不特定のwebサーバのを代理で取り扱えないです。 もしかするとsrtとか、twicenatと転送フィルタの機能のある機種なら なんとかなるかもしれませんが、公式に問い合わせるほうが早いと思います。
>rtxのIPマスカレードのフォワーディングは、たぶん、 >特定IP(ルータに指定できるIP)のフォワーディングのみですから、 >不特定のwebサーバのを代理で取り扱えないです。 そんなことはありませんよ。 RTX1100をつかっていますけど、ルーター自身でなく、 どこへでも飛ばせ(フォワードでき)ますよ。少なくともプライベード域なら、別ネットワークでも。
300 :
297 :2010/09/17(金) 08:53:25 ID:???
>>298 ,299
ありがとうございます
RTX1000ではむずかしそうですね。あきらめました。
ルーターではwww,httpsのパケット破棄だけして
素直に各クライアントにプロキシ設定することにしました。
透過プロキシってんならSRT100で出来るはず
>>298 のであってると思う
不特定のport80を指定のアドレスのport80には変換できないしょ?
>>300 プロキシの自動設定を使えばDHCPオプションとかで設定できるから
なんぼか楽になるよ
1つのインターネット回線で、 以下のように、 GroupAとGroupB のLANを お互い見れないようにするか、 GroupBからは、GroupAを見えないようにするには、 どうしたらよいでしょうか? セグメント分けやLAN2枚挿しだけで無理ですかね? PC-LAN-GroupA | RTX1100----PC-LAN-GroupB | インターネット | RTX1000----PC-LAN-GroupB | PC-LAN-GroupA
>>302 なんだ?その図は正しいの?
2つのLANを分けるってことじゃなくて、
VPN越しに同じグループ同士の通信をしたいのか?
そうでなく、単に1拠点で、セグメントわけして
お互いの通信を遮断するのなら、
RTXにはポートが3つあるんだから、
pp1(PPPoEのインターネット接続) = LAN2
グループA = LAN1
グループB = LAN3
という感じで使って、
LAN1とLAN3を別セグメントにして、
それぞれの通信を遮断するようなフィルターを書けば、
別セグメントの通信は遮断できる。
詳細は省くけど、要所はこんな感じ
ip lan1 address 192.168.100.1/24
ip lan1 secure filter out 20 99
ip lan3 address 192.168.200.1/24
ip lan3 secure filter out 10 99
ip filter 10 reject * 192.168.100.0/20 * * *
ip filter 20 reject * 192.168.200.0/24 * * *
ip filter 99 pass * * * * *
ありがとうございます。 フィルターで遮断するわけですね。 >VPN越しに同じグループ同士の通信をしたいのか? そうです。 もう少し詳しく表記すると、 PC-LAN-GroupA(現在192.168.1.*) | RTX1100----PC-LAN-GroupB(今回追加) | インターネット(IPSEC) | RTX1000----PC-LAN-GroupBBB(今回追加) | PC-LAN-GroupAAA(現在192.168.100.*) ◆現在◆ PC-LAN-GroupA と PC-LAN-GroupAAA は通信可 ◆今回◆ PC-LAN-GroupB と PC-LAN-GroupBBB を通信可能にしたい。 PC-LAN-GroupB と PC-LAN-GroupAAA は通信不可にしたい。 PC-LAN-GroupBBB と PC-LAN-GroupA は通信不可にしたい。
RTX1500って良いルーターなのに、 ギガに対応していないばかりに、 へぼいRTX1200に人気を奪われた可哀そうなやつ
Gigaいらねー。山奥だからISDNとxDSLだorz
セミ・エンタープライズだとギガ回線はまだ普及してないからな。 日経コミュニケーションとか読むと、知恵をふり絞って 安い10M程度の回線で最大限の効果を得ようと涙ぐましい努力が載ってる。 今は、金に糸目を付けずにネットを整備するSOHO系に抜かれた状態。
10Mの専用回線とベストエフォートのインターネット接続を比較してるの?
一拠点あたり月額回線費用3000円程度のベストエフォート回線をビジネスに使うとか今時普通よふつうw
拠点数多いとわずかな金額差が大きく跳ね返ってくるからね。 そういう拠点を多く持つ企業で集約ルータとして使われるのがRTX1500。 RTX1200とは使い道が違うから、人気とかはあまり関係ないかと。
漏れんとこはビデオ会議とかメール・グループウェアとかはVPNだけど、 業務で数メガ(IP内線800k含む)は維持しなくちゃいけないから10M専用線は捨てられない まぁ国内5拠点しかないから助かってるのかな
専用線の利点は速度(保障型といういみ)より、L2SWとかで安易に同一セグメント接続が出来る点じゃね。 私がいる所のネットワークも5個ほどのセグメント全てを拠点で利用できるように専用線とカタリスト(L2SW&VLAN)らしい。
RT107eを東京ー大阪両拠点に設置し、 VPN(AES、SHA)で設定してます。 両拠点とも100M光で、 速度測定サイトだと30-50程度でる状態なのですが、 VPNだと1Mにギリでいく程度です。 ルータ側の速度に関わる設定(MSS、MTU)は、 YAMAHAからの回答あった値で設定です。 ルータ配下はともに1端末のみしか繋いでおらず、 ONUからWANポートに直接です。 当環境下でこのVPN速度はもう改善しようがないのでしょうか。l
314 :
hage :2010/09/23(木) 13:16:31 ID:???
>VPNだと1Mにギリでいく程度 どうやって測った? まさか、Windows のエクスプローラのファイルコピーとか言わないよな??
>>313 ONUじゃなくてCTU(ルーター有効)だったとか。
>>314 ポート速度ベンチっちってソフトで行いました。
両端末にCL、Svrを設定して行うものです。
>>315 はい、有効です。
>>316 いえ、ONUです。
RTX1000を個人で使っています。 プロバイダ複数契約によるPPPoEマルチセッション時の物理構成について質問させてください。 現在 lan1 を 192.168.1.0/24 の文字通りLANのネットワークとして使用 lan2 をBフレッツのONU/CTUに物理的に接続 lan3 は lan2 を通してPPPoE接続、IP8つ契約しているので、lan3 にゲートウェイアドレスとして グローバルIPをひとつ割り当てています。 この状態で、あと2つほど別のプロバイダを契約してそれぞれPPPoE接続しようと考えています。 設定自体は lan3 と同じように lan2 を使ってPPPoE接続すれば良いと思っているのですが、 この時、lan3 の物理的なポートが1口しかないので、LANケーブルを引っ張ってハブに繋ぐつもりです。 そうすると、このハブにはプロバイダA, B, C 3社のネットワークが渾然一体となることになるのですが この状態でそれぞれのネットワークがちゃんと使えるものなのでしょうか? カタログを見る感じでは、PPPoEマルチセッション数的にはOKなのですが、物理ポートが足りないので このことを疑問に思い、質問させていただきました。 私と同じようにRTX1000〜1200で複数プロバイダを契約してお使いの方がいらっしゃいましたら アドバイスいただけると嬉しいです。長文しつれいしました。
319 :
age :2010/09/23(木) 17:09:41 ID:???
だれかギャランティー型とベストエフォート型の違いを教えてやれ
>>318 RTXはプライマリとセカンダリアドレスの2つまでしか設定できないんじゃ?
グローバルのセグメントはLAN1のポートベースVLANで分けて使うのがいいのでは?
>>320 すばらしい。
LAN1のハブの部分は、ポートベースVLANに対応しているのですね。
(RTX1000でも大丈夫か、いまからマニュアル参照してみます)
ポートベースVLANを使えば難なく私のやりたい3プロバイダ契約&マルチセッション
が達成できそうですね。本当にありがとうございました。
>>318 勉強し直しせ。また、書き方がまずい。
あんたの設定は、識者なら、
lan1がイントラ側、lan2がインターネット側(unnumberd接続)、lan3がDMZ(グローバルIP)
と書く。で、本来の回答はlan2でPPPoEのマルチセッションの設定をすればOK。
もし、2つめ、3つめのISPでも固定IP8以上の契約をし、こちらもDMZとして使いたいなら、
今のDMZのIPをプライベートIPに変更して、静的NATで変換をかませるしかない。
上記のことが分からないなら、素直に専門家に依頼した方がいい。5-10万できちんと面倒みて
くれるでしょう。
>lan3 の物理的なポートが1口しかないので、LANケーブルを引っ張ってハブに繋ぐつもりです。 >そうすると、このハブにはプロバイダA, B, C 3社のネットワークが渾然一体となることになるのですが >この状態でそれぞれのネットワークがちゃんと使えるものなのでしょうか? セグメントの概念が無いようですね。セグメントの本を買ってみては? ・・・良い悪いも本に書いてあると思います >カタログを見る感じでは、PPPoEマルチセッション数的にはOKなのですが、物理ポートが足りないので ルータやスイッチの本を買ってみては? 1000だとポートVLANって極端に速度でなかった気がするなぁ。 「3プロバイダ契約」が目的なら良いと思いますが・・・。
>>317 同じ環境で速度を比較してください。
拠点間(VPN経由しない)の速度及及び同じソフトでの比較をしてください。
325 :
ano :2010/09/23(木) 22:59:55 ID:???
>>317 >>324 が書いているのに加えて、きちんとネットワーク設計しましたか?
まず、インターネットVPNでスループットを出そうとする場合、
(1)ISPの網内の拠点間帯域が大きいところを選択する
(2)ISP内の網内でルーティングできるISPを選択する
(3)ホップ数でできるだけ少ないISPを選択する
を見直してみれば。ISPが違うというならば最悪だよ。上記の内容は
ISPに質問しないと分からないけど、質問すれば営業経由で教えてくれる。
回線速度測定サイトは大手のDCにサーバ設置してあるから、
大抵のISPからの接続ならそれなりの速度になる。
>>322 理解の浅い当方にご丁寧に教えてくださって恐縮です。
用語も訂正いただきありがとうございました。勉強になりました。
>で、本来の回答はlan2でPPPoEのマルチセッションの設定をすればOK。
たとえば新たにプロバイダ2つ契約して、lan2でPPPoEのマルチセッションの設定をした場合
pp select 1
description pp ISP1 #今までのIP8つ
pppoe use lan2
ppp auth myname
[email protected] hogehoge
pp select 2
description pp ISP2
pppoe use lan2
ppp auth myname
[email protected] fugafuga
pp select 3
description pp ISP3
pppoe use lan2
ppp auth myname
[email protected] piyopiyo
みたいに、どれも lan2 を使えばよいのですよね?
この場合pp2 pp3は nat descriptor の設定をしてLAN1のどれかのポートにマスカレード
してやる必要があるという理解であっておりますか?
ネットワーク構成よりも、どの物理ポートに割り当ててやればよいのか分からなかったので。
327 :
ano :2010/09/24(金) 00:02:28 ID:???
>>326 そう。PPoEの設定はそれでOK。
各PPPoEセッションのppインターフェースに対して、nat descriptorを個別に設定する。
つまり、3つ設定する。「LAN1のどれかのポートにマスカレードする」ということではない。
しかし、マルチISPの目的がわからんけど、冗長化のためや負荷分散のためなら、それなりの
フィルタリングルールや、nat descripterの対象範囲を設定するなり、keepaliveの
設定するなりしないと、すべてデフォルトルート側のISPにしかデータは流れないよ。
そこまでつめるのならば、専門家に相談するか、思考錯誤するしかない。
茶化す意図はないんだが・・・この場面にぴったり >思考錯誤
RTX1000ってポートベースVLAN使うと、やっぱりファーストパスできないのかな? 最近の機種はどうなんだろう?
>>324-325 今までサーバ側の人間だったので、NWは疎くすいません。
まず、VPNで速度を求めるのであれば両拠点は同キャリア、ISPで
揃えるべきなんでしょうか。
今回は両拠点とも固定IPで、一方はNTT(OCN)、他方はケィオプティコム(eo)です。
>>327 返信元アドレス別に、デフォルトゲートウェイのポリシールートって設定できなかったっけ?
>>327 >そう。PPoEの設定はそれでOK。
よかった、ありがとうございます。安心しました。
>各PPPoEセッションのppインターフェースに対して、nat descriptorを個別に設定する。
>つまり、3つ設定する。「LAN1のどれかのポートにマスカレードする」ということではない。
はい。それぞれのppインターフェースに nat descriptor のルールを書くつもりでおります。
RTX1000のマニュアルを読んだ感じでは
lan1.1 lan1.2 のように書けば「LAN1のどのポートか」正確に指定できるようなので
それぞれのppインターフェースをLAN1の特定のポートにそれぞれ割り振れるように調べてみます。
勉強になりました。恥をしのんでお聞きしておかったです。ありがとうございました。
>>329 RTX1200は、VLANでもファストパス効くよ。
334 :
sage :2010/09/24(金) 07:49:52 ID:???
大文字でかくとThe-Oみたい。実際にもそうなんだろな、と。 >330 キャリアをそろえなくても、速度1Mは、何かどこかおかしい。 PPTPならともかく、ipsecならもっと出るはずです。 107で、QoSとか不正アクセス検知を起こしてるとか、ありませんか。 うちでは、FTPおよびwindowsのファイル転送も行って 念のため比較して記録してます。 また、PCかファイアウォールで、mtuの通知を落としてたりしませんか。 >332 キャリア冗長化の意図を外してたら済みませんが、 既存のISP1の8個のグローバルアドレスに対する通信を、 ISP1が切れた際でもISP2やISP3を経由して行い、 維持しよう、というものでしょうか。 でしたら、ASをとってキャリアと交渉して、BGP回して…が必要で、 その構成のさらに向こう側があり、つらいです。 また、ISP2,3がセキュリティに厳しければ、 ISP1の送信元アドレスをもったパケットを、ISP2,3の網内で落とす可能性もあります。 通信を、ISP1側とISP2+3側で分けるのであれば、1000が1台でもできそうですが、 個人的には、古い機械ですから、通常運用は2台構成(ISP1と、ISP2+3)にして、 3回線configについては作るだけ作っておいて故障時に備えます。
336 :
hage :2010/09/24(金) 09:04:18 ID:???
>>319 ギャランティ・・・指定席
ベストエフォート・・・自由席
でどうだ
>>335 そこにasahinetはESPが通らないと書いてあるけど
そんな事はないはず。
というか折れんところでは普通に通じている。
何かミスってたんじゃないだろうか
>>337 ありがとうございます。
ルータは何を使ってますか?
強いて言えば、RTX1200のみがファームVer10.0系なんですよね。
どちらかというのそっちの相性の問題かと思いました。
対向でRTXなら相性とかないと思う
60程度の修正はYAMAHAにとっては普通。 製品が出て半年くらいがおいしくなり始めじゃないのかな? 修正が5-6個に減ってくると、そろそろ終息する製品。まぁ枯れてていいかもしれんが、 あとはバグも放置だったり。
バグが無い >> バグが多いけど公開して直す > バグが多いけどこっそり直す >>>>>>> バグを放置
>>344 おいおい、バグを有料で直すが抜けている。CISCO
ユーザの要望を聞いて、素早く開発して、低価格で提供して なんてやってたらバグが多くなるのも仕方無い 動いてた機能がそのまま動き続けてくれるならそれでいいよ
347 :
341 :2010/09/25(土) 08:48:38 ID:???
各機種のバグフィックス数調査ありがとうございますw まあ、あの値段であのサポートだから製品的には優秀だと思うけど、 GUIが中途半端で、結局TUI使うハメになるのが嫌い。 OK押すとコンフィグ変わっちゃうこともあるから怖いわ。 で、AsahiNetは問題ないでFA?固定IP安すぎるからなんかあるとは思うんだけどね。
348 :
sage :2010/09/25(土) 08:53:54 ID:???
>335
337と同様、そのページ内容には少し疑問です。
1100/1200ともにAESがハード処理できるのに
なぜかセキュリティ強度の弱い3DESを使ってます。
また、ネットワーク構成図は、yamaha本家のAAに似てます。
ですから、(その当時は)内容を把握せずに単純コピペして、
フィルターのあたりでコピペミスした可能性がある、と推測します。
# espが通らない環境、たとえば宿泊ホテル内からつなげるときの
# natトラバーサルのconfigとして参考になります。と、一応フォロー
どこだったかのお役所で、1100/1200+Asahinet固定IPのVPNを
拝見したことがあります。configは覗かせてもらってませんが
お伺いしたかぎり、構築以来、大きな問題はなかったそうです。
>341
バグがあったとしてその責任を誰が何処までってのは難しいですね。
以下、2007年5月のANAのチェックインシステムの障害事例のurlです。
http://itpro.nikkeibp.co.jp/article/NEWS/20070614/274721/ http://itpro.nikkeibp.co.jp/article/NEWS/20070613/274694/ 直接原因はcisco機器のバグですが、ANAは
「トータルとしてANAサイドの判断が遅かった」と自身の責任を認めてます。
「同様の問題は世界で4例」つまりcisco側では既知のエラーですし、
「物理的に故障」つまり電源再投入しても直らない致命的な状態になりますし、
たぶん保守料も払ってるんです。けれども、システムベンダー側が
もうすこしできることはあったんじゃないかと自省した、そんな事例です。
>>348 興味深いレスありがとうございます。
テストしてみたところ問題なさそうです。
ただ、ウィザードでデフォルトのままでは接続できないようで、
「設定の検証」機能で、ハイハイと素直に設定を修正して
もらったら接続できました。
あと、RTX1200だけだと思うのですが、IPsecの設定画面を開いて、そのまま
(どこも変更せずに)設定とすると、そのTUNNELLは切断され、ルータを再起動するか、
対抗側も同様な操作をしなければ復旧しない、というむちゃくちゃ頑固者
ということがわかりました。
もしかしたらSAの期限(8時間)がくれば復旧するのかもしれませんが・・・
リモート操作時にはgkbrものですね。
YAMAHAはCLIに親しんだほうがずっと幸せになれる。
>>350 たしかに。
中の人も、設定するためのGUIではないと、MLで言っていた。
運用、管理のためってことだったはず。
確かにどんなフィルターが効いているかは
GUIのほうがわかりやすい。
個人的には、RTA52iみたいに、
全部のフィルターとインターフェイスが
ずらーっと表になっているのが使いやすいんだが。
>>349 私の環境のRTX1000でもSAを削除しないと復旧しないですね。
失敗してトンネル切れると怖いので、邪道なのは分かっていますが、
特定アドレスからのみtelnetできるように穴開けてます。
nat descriptor masquerade static 1 1 192.168.xxx.yyy tcp telnet
フィルタはアドレスaaa.bbb.ccc.dddからのトリガーパケットだけ静的フィルタで通して、それ以外はreject。
ip filter 1 pass aaa.bbb.ccc.ddd tcpflag=0x0002/0x0017 * telnet
ip filter 8000 reject * * * * *
トリガーパケットが通ればあとは動的フィルタでオープンさせてます。
ip filter dynamic 101 * 192.168.xxx.yyy telnet
ip pp secure filter in 1 8000 dynamic 101
このフィルタ設定だと他のアドレスからはtelnetポートが開いているようには見えないので、
不要なアタックを受けずにすんでます。
これに加えてtelnetlistenポートを変更しておけば少しはマシになるのカナ。
邪道でスミマセン・・・
勿論、telnetd host aaa.bbb.ccc.dddは設定しています。 IPアドレス偽装されたら終りなんだろうけどね。
連投ゴメンなさい。
>>352 間違ってました。
× ip filter 1 pass aaa.bbb.ccc.ddd tcpflag=0x0002/0x0017 * telnet
○ ip filter 1 pass aaa.bbb.ccc.ddd 192.168.xxx.yyy tcpflag=0x0002/0x0017 * telnet
355 :
ano :2010/09/25(土) 17:56:56 ID:???
>>347 asahiでエロサイトを運用したことがあるが、アップ側のトラフィックが凄すぎて、
最後はISP側で1.5Mbps程度に帯域制御された。
>>353 IP偽装されても、telnetではRT本体には大したことできなくないんじゃないの?
>>353 ルータの向こう側から、IP偽装するのは難しいかも。
telnetのポート開けるより、本当はISDNでリモートセットアップができるように
するのがいちばん確実だと思う。さらに発番号を限定すればなお安全。
358 :
304 :2010/09/27(月) 03:40:55 ID:???
>>358 フィルターで遮断
で解決じゃないの?
うまい方法ってね、通信のブロックは普通フィルタ書きますよ。
303のとおりでOK。 各グループのIPアドレスと通信可否が決まれば 半日以上悩む話ではない。 ・通信可否 ○: A <--> AAA ×: A <--> BBB ?: A <--> B ×: B <--> AAA ○: B <--> BBB ?: AAA <--> BBB
そこに戻ったのか!w
グループごとに双方向通信OKなら悩む事無いと思うけどな。 ○ A→AAA × AAA→A とかになってくると悩むけど。
>>335 ASAHIネットの固定IPサービスを使っているけど、
RTX1100で問題なくIPSEC使えています。
RTX1200だと使えないなんてのも、そのサイトのいっていること怪しいな。
>>349 >>352 IPSECで双方向に固定IPを用いると何も困らないですよ。
片方だけ固定IPの場合は、なにかの拍子に切断されたとき、
動的IP側のSAを手動でクリアしたり、再起動させる必要がありましたけど、
両方で固定IPを使うと、たとえトンネルが切れても、すぐにハンドシェイクしあっていますね。
ところで、非常時のためのISDNなんてつかっていないのですか?
うちは、ひかり電話になっても非常アクセス用ISDNを残してFAXと兼用しています。
メタル線を残すことは雷様の進入経路を残すことなので気に入らないのですが。
電源線と通信線とをバイパスするタイプの雷ガードをつけてからルーターが気絶することはなくなったようですけど。
364 :
304 :2010/09/28(火) 02:33:23 ID:???
>>359 >>360 >>360 ありがとうございます。
>>303 を参考にすると、
拠点Aルータと拠点Bルータの関係がまだ理解できていませんが、
以下のような感じですかね?
■拠点Aルータ
ip lan1 address 192.168.1.1/24
ip lan1 secure filter out 20 99
ip lan3 address 192.168.2.1/24
ip lan3 secure filter out 10 99
ip filter 10 reject * 192.168.1.0/20 * * *
ip filter 20 reject * 192.168.2.0/24 * * *
ip filter 99 pass * * * * *
■拠点Bルータ
ip lan1 address 192.168.100.1/24
ip lan1 secure filter out 20 99
ip lan3 address 192.168.200.1/24
ip lan3 secure filter out 10 99
ip filter 10 reject * 192.168.100.0/20 * * *
ip filter 20 reject * 192.168.200.0/24 * * *
ip filter 99 pass * * * * *
365 :
ano :2010/09/28(火) 03:06:27 ID:???
>>356 約款に書いてあるから、事前通知ないよ。
問い合わせてはじめてわかった。
ちなみにUCOMもあった。こちらは6Mbpsぐらい(うろ覚え)で、通知なし。
>>364 > 拠点Aルータと拠点Bルータの関係がまだ理解できていませんが、
304が関係を理解しなければ、他のかたもフォローできませんが。
364と303のconfigを比較考慮しますと、むずかしいようなら
業者さんに直接会って金を払って頼むことも考えて下さい。
追加項目あるかもしれませんし、2chカキコより安全性と確実性が上がりますよ
>>366 ここへきてまでして、やってやろうと思うひとなら、
自分でなんとかしてできるだろう。
業者に頼む人は、ここへこないし、RTXを自分で用意しようなんて思わないだろう。
まあ、みんなで智慧を出し合おうぜ。
>まあ、みんなで智慧を出し合おうぜ。 自分でなんとかしてでき「ない」ことを認めちゃってるようだ
>>367 でもね、ルータだよ、ルータ。もしそのLANが乗っ取られたら、
DDoSの踏み台にされたり、好き放題やられちゃうとかあるんだよ。
場合によってはプロバから強制退会とか、被害者から損害賠償の請求とかもあるかもしれないのさ。
被害妄想的意見展開ではあるけどね。
とはいえ、何事にも初めてはあるものだし、挑戦することを全否定するワケじゃないんだけど
そういう思慮を含めてやってるのかなぁこの人。 なんて思ってる小心者がここにいる。
スレ汚しごめんね。
結局、業者にまかせろっていう答えか。
そうじゃないよ。 そういう選択肢もあるってコト。 おそらく、業者に依頼するにしても、これこれこういう風に設定したいんだが、 ここまでは自力でconfig書いたが、コレで問題なく安定して運用できるかは自信がない。。 とかで話を持って行けば勉強にもなるはず。 もしかしたらちょっとは教えてくれるかもね(最初からミニ講座を期待していると相手が嫌がると思う)。 なんて書くと業者乙なんて突っ込まれそうだが俺は総合自宅警備保障の社員でしかない。
質問者がちょっとアレだからなあ 掲示板ベースでなんとかするのは厳しそう 業者かどうかはともかく対面かなんかでやらないと無理っぽくない?
>>372 そう、それが言いたかった。
俺ってコミュニケーション能力無いんだな。やっぱり総合自宅(以下略)
でもさ、
負けるな・めげるな、質問者ガンガレ。
>>364 回答者が理解できるよう最低限の情報を書かないと。(ちなみに貴方の環境を詳しく書いているのはは回答者の親切エスパーさん達ですね)
LANポートがそれぞれ下記でいいのか?
■拠点Aルータ
LAN1→GroupA(192.168.1.1/24)
LAN2→WAN
LAN3→GroupB(192.168.2.1/24)
情報小出し。回答者が適切にレスだしてもスルー(無視)して再度同じ質問。会話が成り立っていない状態だと思うのですが。
ちなみにその記述駄目駄目だよ。
■拠点Aルータだけ見ても、なんでLAN1のGroupAとLAN3のGroupBをrejectしちゃっているの?360さんがエスパーしたポリシーじゃないの?
303さんが適切に例を書いてくれているのに全く参考にしていない・・・303の例を理解するのから始めましょう。
作例を読める人なら、ヤマハの設定例集で大方・・・
>>375 そう、初心者って、それが一番大事だと思う。
コンフィグがどういう体系で作られるのかがはじめてわかるのは、私もそれだった。
ヤマハ謹製の作例から、必要なところを選りだし、よく研究することが大事だと思う。
知らないうちに、時を重ね、その経験がベースになって応用が利くようになっていったなあ。
作例を読める人 じゃなくて 作例を読む気のある人
>>364 拠点においての、LAN1 LAN3の通信は制御できていても、
まだ、拠点間の、制御ができていないようだね。フィルタを追加。
エスパーしてみると、
拠点において、LAN1⇔LAN3の通信は禁止。
拠点間では、A.LAN1⇔B.LAN3の通信も禁止。
結局、A.LAN1⇔B.LAN1と、A.LAN3⇔B.LAN3の通信のみ許可。
次のようになる。
○拠点Aルータ
ip lan1 address 192.168.1.1/24
ip lan1 secure filter out 20 200 99・・・192.168.2.0/24と、192.168.200.0/24からのパケットはlan1に出られない。
ip lan3 address 192.168.2.1/24
ip lan3 secure filter out 10 100 99
ip filter 10 reject 192.168.1.0/24 *
ip filter 20 reject 192.168.2.0/24 *
ip filter 100 reject 192.168.100.0/24 *
ip filter 200 reject 192.168.200.0/24 *
ip filter 99 pass * * * * *
○拠点Bルータ
ip lan1 address 192.168.100.1/24
ip lan1 secure filter out 200 20 99
ip lan3 address 192.168.200.1/24
ip lan3 secure filter out 100 10 99
ip filter 10 reject 192.168.1.0/24 *
ip filter 20 reject 192.168.2.0/24 *
ip filter 100 reject 192.168.100.0/24 *
ip filter 200 reject 192.168.200.0/24 *
ip filter 99 pass * * * * *
以上。
379 :
304 :2010/09/28(火) 13:01:22 ID:???
380 :
304 :2010/09/28(火) 13:27:34 ID:???
>>374 アドバイスありがとうございます。
>情報小出し。回答者が適切にレスだしてもスルー(無視)して再度同じ質問。会話が成り立っていない状態だと思うのですが。
>>360 >>362 の回答者の方のことでしょうか。
結果的に、スルー(無視)したようになったのは、申し訳ありません。
ただ、
>>360 >>362 の回答は、理解できず、
>>378 のような回答を導く参考にできませんでした。
>■拠点Aルータだけ見ても、なんでLAN1のGroupAとLAN3のGroupBをrejectしちゃっているの?360さんがエスパーしたポリシーじゃないの?
>>303 をほぼ、そのまま書いているつもりですが、
拠点Aと拠点Bのグループごとの制御がわからなかったので、
>>364 で、
>拠点Aルータと拠点Bルータの関係がまだ理解できていませんが、
と書きました。
表現力不足、能力不足といわれれば、そのとおりです。
業者を探すといっても、意外と大変。 YAMAHAのルーターに精通している業者が、ゴロゴロあるわけでもないし。 YAMAHAやYAMAHAから紹介してもらったりなら、あるだろうけど、 主要都市なら大手があるだろうけど、大きくない市だとたぶんないよ。 ちょっと検索したら、 住商情報システム dit ディアイティ CTCテクノロジー 大塚商会 (但し、実際にサポートしているかは確認していません。) などがあったけど、お勧めのところって、どこがあるのかな。
んのために業者が必要なのだろう。 壊れたときの保守が面倒なので、業者にお願いするわけかな? ルーターの設定ができないようなら、社内のIT機器の設定もできないだろう。 そうなれば、すべて○投げになってしまうよな。 すると、○投げ先の業者がYAMAHA以外に勝手にルーターなんて用意するだろう。 だったら、ユーザーがはじめからYAMAHAにこだわる理由がわからない。 ルーターの設定だけが難しいわけではないと思う。 ほかの機器の設定ができているなら、ルーターもできるだろうと思うわけなんだ。
>>381 大塚商会は、良い人が来ると良いけど・・・・。
以前勤務していた会社に来た奴は、PCのIPアドレスの設定が出来なかったり、外付けCD-Rの設定が出来なかったり・・・・。
(購入したサービスでやろうとしたらしいんだが・・・PC初心者が来る可能性もw)
>>382 設定のカスタマイズなど個人で無理なら、
業者に依頼という選択もあるよっていう人がいるのであって、
YAMAHAにこだわらなくてもいいって言ってしまったら、
脱線しすぎだよ。
>>384 業者に依頼は、YAMAHA前提だから、
OAサービスのようなPCに詳しくない人は来ないでしょう。
>>383 一瞬とか数秒のタイムラグというようなリアルタイムは無理でしょう。
データを保存して、数時間とか数日以上かけて解読するんじゃないかな。
>>384 YAMAHA関係ないけど、複合機の設置にきた人が複合機のアドレスを聞いてきたので、
「192.168.110.230の24ビットで」って言ったらサブネットマスク聞いてきたので、
再度「24ビットで切っといてください」って言ったら、「なんすかそれ?」って笑いながら聞かれた。
その後が「普通にニーゴーゴーのニーゴーゴーのニーゴーゴーのゼロでいいの?」ってタメ口だよ。
ドライバのインストールもするって話だったけどこんなヤツにPC触らせたくなかったので、全部自分でしました。
こういう常識が世間の非常識なのかもしれないけど。。。
>>385 まともに金出せば、まともな人材がやってくると思うけどね。
あくまでサービスって事だったらしいけど。
DHCPサーバー君が居ないのに、IPアドレスが自動で振られるわけがないw
CD-Rに関しては、上司曰く「折角購入したのに(ドラッグアンド)コピーできないんだ」
大塚商会の作業員はパケットライトを知らなかった模様w
>>386 某社の手順書には「サブネットマスクは全てクラスC」って書いてあった。
サブネットマスクは全て255.255.255.255.0と書き直しておいた。
某社の手順書の方針は「馬鹿でも作業出来るように記述するのが手順書だ」との事。
揚げ足を取るつもりはないんだが、 × 255.255.255.255.0 ○ 255.255.255.0
サービスマンは、それほど、詳しい人少ないのだから、 あまり多くを望むほうが酷だよ。 それくらい、わかってあげるのがよいよ。
そんなに詳しいなら自分でやれよw
丸投げできるようにシスコを選定するのが筋
丸投げするにも、どういうネットワーク構成が必要なのか、 自分はどのように実現するつもりで現状に至っているのか、など 説明すべきコトは結構あると思う。 それとも、パートのおばちゃんみたいに「あたしにそんなこと聞かないでよ」とか開き直れる人なのかな?
自分でやったほうが早い
うん、自分でやったほうが速い
>>393 >丸投げするにも、どういうネットワーク構成が必要なのか、
>自分はどのように実現するつもりで現状に至っているのか、など
>説明すべきコトは結構あると思う。
そこまでわかっているなら、ちょっとの努力で、自分たちでなんとかできそうなものだがな。
そりゃあ、細かい点は勉強が必要だけど、
業者に丸投げたら、自分たちで自由に変更できなくなってしまうよな。
いちいち、お金をたくさん払って、修正してもらわないといけない。
修正とか設定費用って、莫大なんだろう。ハードウェアの何倍も高い。
ところで、業者設定のルータのパスワードって、誰が管理するのだろう。
いじる事できないなら業者管理でしょ
当人じゃないけど 営業や上司が決めてるから、つきあいでサービスマンを呼ぶってこともあるね。 PCなど簡単なハードの納入だと自分でできるけど業者に任せることは多いしね。
>>396 できるできないじゃなく、できないと思っている。
YAMAHAは設定集が多いので、それなりなものを適当に自社仕様に合わせれば使えるんだけどね。
業者設定のルーターのパスワードは一般的に業者管理だよ。
会社によっては、configの提出があったりするけど、○投げボンバー的な会社へは、configの提出もない。
>304 おk、304はIPネットワークサービス以外のサービスマン、ということでよいのかな。 予測では、こうなります。 1.拠点AのPCからtelnet 192.168.1.1 で、コンフィグ投入 →admin onlyエラーがでる 2.#してから378のconfigコピペ →2行目 "ip lan1 secure filter out 20 200 99" 入力後に telnetが無応答になる 3.2のため、お客さんからも通信途絶(業務の支障発生)の知らせ →ルーター強制再起動 4.15分後にpppoeとIPsecが再接続するが、2と3を再度、再再度行なう →ここまでで1時間経過。自社に連絡をとる。 5.拠点A完了後、対向拠点に移動し設定を行う →ip route hogehoge 不足でB-BBB間が通信不能。 6.じつは、あるサーバのみ全グループからアクセスが必要だった →翌々日よびだされて再作業 7.客先からヤマハサポートへ電話する →コンフィグとネットワーク構成を要求される こんな事があるので、作業前に実機をたたいて 事前に自分で動かしてみるのが安全です。 他のかたがおっしゃってるのは、ある仕事・業務を実施するには 自分の手足を動かすか、金銭払って他人の手足を動かすかですが、 いずれにせよ、 その目的とするところは自分が考えるということ、 自分の頭は動かさないといけないということ、です。 自分の頭に業務知識を入れるときには、手足を動かすことも伴いますから 時間・予算はかかります。そのとき、ヤマハ等はその取得コストが比較的低いため 結果として、自分たちの手でやった方が安くて早くて綺麗、と。
えらそうなことをいってしまった(^^;
以下、378と同等です。
個人的には、inboundで落とす方が好みです。参考程度に。
あくまでこれは
>>378 の条件下でのconfigの抜粋です。
他に条件が加わったら、動作しない可能性がありますが、
378さんをはじめとする2chの皆さんに瑕疵はありませんから、
通信途絶したとしても、くれぐれもそこのところよろしこねがいします
○拠点Aルータ
ip lan1 address 192.168.1.1/24
ip lan1 secure filter in 20 200 99
ip lan3 address 192.168.2.1/24
ip lan3 secure filter in 10 100 99
ip filter 10 reject * 192.168.1.0/24
ip filter 20 reject * 192.168.2.0/24
ip filter 100 reject * 192.168.100.0/24
ip filter 200 reject * 192.168.200.0/24
ip filter 99 pass * * * * *
○拠点Bルータ
ip lan1 address 192.168.100.1/24
ip lan1 secure filter in 200 20 99
ip lan3 address 192.168.200.1/24
ip lan3 secure filter in 100 10 99
ip filter 10 reject * 192.168.1.0/24
ip filter 20 reject * 192.168.2.0/24
ip filter 100 reject * 192.168.100.0/24
ip filter 200 reject * 192.168.200.0/24
ip filter 99 pass * * * * *
>>400 に追加
8.コンフィグとログと前日の設定内容を送る
→フィルターの既存設定を上書きしちゃってる可能性を指摘される
>>401 >個人的には、inboundで落とす方が好みです
えっ。理由はありますか。
LANインターフェイスout方向で制御すると、
その自分のところのネットワークを自分で制御しているイメージになるので、
わかりやすいと思っているのですけど。
一箇所に処理をまとめるオブジェクト思考的。
inboundで落とそうとすると、自分以外のネットワークの事情にまで考慮しなければならないので、
複雑なネットワーク構成の場合は、あとから見たら何がなんだかわからなくなってしまいそう。
一般的にはどうなんですかね。
>>403 401じゃないですが
>一般的にはどうなんですかね。
フィルタを書く場合安全性を重視します。(書き易さではあまり判断しない)
説明
送信側(発信元)のOUTでブロックしても良いし、受信側(宛先)でのINでブロックしても結果は同じです。
結果が同じなら安全と思われるインターフェイスと方向でブロックしたほうが良いと思います。
発信元とは違うインターフェイスに繋がった発信元偽装(ウイルスに感染など)したPCがあった場合。
発信元のOUTで防ぐことは出来ず、宛先のINでなら防げます。
したがってINの方が安全と思うんだ
うーん、そこまで考えたことなかったな。 ユーザーレベルでの目的の達成にとらわれていた。 これまでウイルスに仕業まで考えたことなかったわ。
フィルタの記述方法なんてセンス(感性)だから、 とりあえず必要とする動きをするように記述すれば良いだけ。 で、その上で、どうしたら”より安全になるか?”ってのを試行錯誤していくわけだ。 初めっから鉄壁のフィルタを書こうとするとドツボに嵌るぞ(今回のは簡単だから良いけど)。
>>403 おっしゃるとおり、フィルタはOUTにかけるほうが綺麗にかけます。
記述が綺麗だと見通しも良いですし。
そのあたりは好みとかセンスと思います。
私の理由は、404のとちょっと違って、処理の手数の点からです。
従来のrtxは以下のように動いてるはずです。
INのNAT/IPマスカレード → INのフィルタリング → ルーテ
OUTのNAT/IPマスカレード ← OUTのフィルタリング ← ィング
パケットをdropするなら、INのところで行なうほうが、そのあとの工程の
ルーティング処理とoutのフィルタリング処理の負担が減ります。
304のケースでは、最初のルーティングのあと、VPN(暗号化・復号化)と
対向側のルーティング処理をする経路もありますから、
対向のOUTで捨てることになれば、この処理も結局無駄になっちゃいます。
私の好みでは、OUTのフィルタは、明示的に通す・通して戻ってくる通信に、
たとえば動的フィルタのトリガーに使うつもりをしてます。
、みたいな感じの説明でよろしいでしょうか。
>>407 なるほど、暗号化などの処理に無駄が出るので、検問INでもう「行かせない」わけだ。
これは、ほかの人のことまで熟慮し考える”やさしい”設定ということですね。
まあ、たしかに、その熟慮が後から見てわけわからなくなってしまいそう。
もちろん、メリットはあるのだけれど、
だから、すべての場合で、”やさしく”検問INでもう「行かせない」方法をとるのではなくて、
やはり、すべての場合で、”綺麗に”私設警備OUTで「お断りする」方法をとるのではなくて、
その使い合わせがよいのではないかと思いました。
暗号化処理に無駄が出て処理に負担をかけてしまうようなパケッツだけ、(たとえば、狂ったアプリケーションがあるとか、)
”やさしく”ほかの人のことまで考えて、検問INでもう「行かせない」方法をとったらいいんじゃないだろうかな。
そうでもなければ、”綺麗に”私設警備OUTで「お断りする」方法がわかりやすいね。
それぞれの私設警備に任せればいいわけだから。
実際にそんなにCPU食ったり反応違うもんなの? 気にするレベルじゃなかったり・・・
411 :
WS-ONE :2010/10/04(月) 23:46:11 ID:G0RDpfIM
WS-ONE の更新日付が 2010/Jul/21 なんだけど誰か使ってますか?
413 :
anonymous :2010/10/05(火) 09:35:31 ID:sEkEDge5
更新日がその日なのはサーバー入れ替えたせいかな?
414 :
335 :2010/10/05(火) 11:07:41 ID:???
>>363 >>348 とにかくAsahiNetでVPNできているので報告。
>>349 の「設定の検証」機能最強かもしれんw
最近のこのスレの流れ好きだなあw
PPPoE接続で固定グローバルIP1個割り当ててもらうときにも UnnumberedみたくLAN側にグローバルIP持たせることって出来るんですか? 設定資料集では静的NAT変換やマスカレードつかってLAN側はローカルIPを 設定している例しか見当たらなかったので・・・
>>415 固定IP1個の契約で、その1個をLAN側に与える理由は?
需要の無い設定を資料化するわけがないw
417 :
あのにます :2010/10/05(火) 15:16:30 ID:???
>>415 出来るでしょ。昔やったことがある気がするが、設定忘れた。
420 :
hage :2010/10/05(火) 17:34:14 ID:???
ルーターのLAN側につけることは出来ると思うが、LAN側に繋がってセグメントに任意の一台に、は無理と思う pp に IP を振らず、ip lan1 address 〜 で LAN1 に振れば良かったはず
421 :
hage :2010/10/05(火) 17:35:24 ID:???
ただ、pp じゃなくて、あえて lan1 に IP を振りたい理由を聞かせて貰えれば また違う回答ができるかもしれない。
>>415 出来ると言っている人いるけどそういう接続できる機器は存在しないと思うよ。
てか仮にできたとしてもーター経由する意味無いじゃないL2SWのHUBでも買えばいいよ。
LAN型(専用線のサービス)ならそういうことできるのあるけど(実際はGW用のIPも付与されるね)PPPoEじゃ無理ぽ
グローバル1個じゃNATやマスカレード必須だろ ルーターにローカルのアドレス振らないとローカル側の器機がどうやってルーターやルーター経由で外とお話できるんだ?
ちなみに振る事は可能
425 :
415 :2010/10/05(火) 20:58:11 ID:???
>>416-424 す、すいませんえらい論争になってしまった
なんでしたいかというとIPマスカレードや静的NATだと
グローバル側の何番ポートをLAN側のサーバの何番ポートへ…
みたいな設定をひとつひとつしなくちゃいけないと思ってるからです…
単にサーバがグローバルIP持ってたらファイアウォールの設定だけだし
かと言ってサーバから直接PPPoE発呼するのは何か面倒だし…
…というのが理由でした
NATでいいんじゃないの
サーバーは何個? サーバー以外、例えば自分のPCでネットするとかもあるの?
サーバーが一個なら一対一でNATすりゃいい話
補足 サーバー一個で他に何も無いならって意味
430 :
hage :2010/10/05(火) 22:10:16 ID:???
>>425 こだわりがあるなら IP8 か IP4 にしろ
431 :
415 :2010/10/05(火) 22:10:34 ID:???
>>426-429 サーバは一台です。自分のPCでネットしたりしないです。
もしかしてこんな感じでいいってことですかね…
ip lan1 address 192.168.0.1/24
pp select 1
pppoe use lan2
pp auth myname 以下略
ip pp nat descriptor 1
pp enable 1
nat descriptor type 1 nat
nat descriptor address inner 1 192.168.0.100
これだと192.168.0.100のサーバは完全にグローバルIPと
ポートも含めて一対一で対応するんです…?
いいんじゃね
434 :
415 :2010/10/05(火) 23:01:10 ID:???
>>433 >もう2行あったほうがベターみたいです。
お、おそれいります…
邪道の部分は僕のネットワークの知識では理解不能ですね…
incoming forward の部分も結局どんなインバウンドパケットも転送するなら
NATで完全に変換しちゃうのとどう違うのかよくわからない…
せっかく高度な抜け道を書いていただいたのに自分が低次元過ぎて
申し訳ない気持ちでいっぱいです
nat descriptor masquerade incomingコマンドは、 内向きのパケットを変換できないときの動作を定義するもので、 セキュリティの観点で注意が必要なコマンドです。 特に、 forwardを設定したときには、内部の端末にパケットを転送するので、 外部から内部の端末へのアクセスを許すことになります(※)。
L2スイッチって、ルーターが使える力があるんなら使えるんだと思うけど、 何の目的に使うのかいまいちわからない。 IP層でコントロールするのはわかるけど、何がしたいのかいまいち。 ルータではだめなんですか。
パソコンがあればルータいらないのになんでルータなんか使ってるの?
>>437 ルータ内蔵スイッチだけではポートが足りないような規模の支店ネットワークを
ルータだけでなくスイッチまでRTXで一元管理するのが目的じゃね?
Ciscoルータ+スイッチポートの代わりとして検討するところもあると思う。
>>441 VLAN(タグVLAN)のHUBは各フロアとか遠くにあったりするからね
そういう遠くにあるHUBも一括管理できるって代物かと
443 :
あなにます :2010/10/07(木) 00:21:16 ID:???
シリアルで繋いでやるとかすると、本体内蔵HUBと同じ様に扱えるとか?
LAN分割機能なんかあったり、DHCPサーバー機能も持っているのかな。 ファストパスとかあるんだろうか。
>>444 > LAN分割機能
ポートベースVLAN
> DHCPサーバー機能
L2スイッチの機能ではない
> ファストパス
スイッチはハードウェア転送
RTX1100 での、VPNとDLNAについて質問なんですが、
下図の構成にて、
Subnet<A>にあるDLNAサーバから、
Subnet<B>にあるDLNAクライアントへ、データの配信するようなことはできないでしょうか?
Subnet<A>----RTX1100<A>←----VPN(IPSEC)----→RTX1100<B>----Subnet<B>
DLNAは、マルチキャストを使って、サーバ/クライアントの探索や配信データの一覧取得などを
行っている模様で、
RTX1100にて、異なるサブネット間でのマルチキャスト転送が可能ならできそうなのですが。。
(MLDとか利用すれば可能?)
*ちなみに、
上記構成にて、異なるサブネット間でのブロードキャスト転送は成功しています。(WakeOnLANで確認済)
*ちょっと調べてみて近い結果記事
http://www2u.biglobe.ne.jp/~mikanagi/cgi-bin/nicky/nicky.cgi?DATE=201002?MODE=MONTH
448 :
あなにます :2010/10/07(木) 12:54:04 ID:???
450 :
447 :2010/10/08(金) 10:06:11 ID:???
451 :
447 :2010/10/08(金) 10:12:11 ID:???
>>449 iTuneに関してもBonjourという、Upnpと同様のプロトコルで、
やはり、マルチキャストで機器探索を行っているようです。
掲示頂いたサイトでは、PCにてDLNAサーバ/クライアントを構築しており、
PCの設定を変更して対応しているようですが、
当方の環境では、DLNAサーバ/クライアントともにPCではないので、
残念ながら、参考サイトのテクニックが利用できません。。
ルータのマルチキャスト転送機能に頼りたいと思っています。
Subnet<A>----RTX1100<A>←----VPN(IPSEC)----→RTX1100<B>----Subnet<B>
・Subnet<A>: DLNAサーバ(PLANEX MZK-USBSV)
・Subnet<B>: DLNAクライアント(TV(Panasonic TH-L37V1))
西日本の光プレミアム回線を使っています。 rtx1100からのpppoeをパススルーしてプロバイダに接続し、 ipsecで他拠点へつないでいます。 どうやら、このVPN接続がよくプチ切断されているようなのです。 いつから始まったのかわかりませんが、 最近になってVOIP関係のパケットを通すようになって通話が切断されることから問題が判明しました。 切断の程度は、rtxのVPNログに再接続記録が残る程度のものもありますが、 瞬断がほとんどだろうと疑っています。 こんなほかで話きいたことがないでしょうか。
>>452 詳細LOGくらいはあるんだろうな?
対向も同じ機種?同じファーム?
454 :
ano :2010/10/09(土) 18:11:43 ID:???
>>452 プチ切断って、どのくらいの長さの切断なの?
VoIPだと、パケットの遅延やゆらぎに敏感だから、途中の経路で
パケットの糞詰まりがあると、切れた感じになるんじゃないの?
VPNログに残らない切断?なら、パケットの糞詰まりじゃないの?
インターネットVPNで、VoIPをするならきちんと評価(ホップ数や
時間帯毎の遅延時間など)した上で導入するか、時々切れるものと
して割り切って導入しないとだめだよ。その辺、ISP・キャリアの担当に相談した?
某社では広域Ethernet上のVoIPでも、苦情(音声が切れる、エコー)が
あるといってたからなぁ。
>>453 光プレミアム拠点の対向拠点(N)も同じrtx1100です。同じファームです。
この拠点Nへの、ちがう別拠点(RTX1500)からのvpn接続は切断された形跡がなかったので、光プレミアム拠点において問題が発生していると見ています。
>>454 長いものは、VPN接続がいったん切断されるくらいの長さです。
多分、光プレミアム拠点でpppoeのレベルで切断されたと考えているのですが、余計なログでメモリが溢れていて再接続記録がとれていません。
でもpppoeを2セッション(同じプロバイダ)張っていて、今日はそのうちの一本(pp1)がいったん切れた模様です。
ともに、次のように自動切断されないように設定しています。
pppoe auto connect on
pppoe auto disconnect off
PPPoE PP1/LAN3 Up
- 送信: 0.0% 受信: 0.0% 12時間50分22秒
PPPoE PP2/LAN3 Up
- 送信: 0.0% 受信: 0.0% 16時間59分27秒
やっぱり、pppoeのレベルから切れているようです。
VOIPを使っているときには無音状態になるそうなので、メディアが流れていないみたいです。
数10秒間メディアが流れない状態で、通話がぷーぷーぷーになってしまいます。
456 :
455 :2010/10/09(土) 21:47:43 ID:???
光プレミアムで使っているCTUとか、 ヒーター代わりに使えるほど熱くなるメディアコンバーターとかに問題があるか、 それとも、rtx1100の調子が悪いのか、 rtx1100は代替品があるので、一度交換してみたいと思います。 それでもpppoeが切断されればNTTに問い合わせてみたいと思います。
457 :
a :2010/10/09(土) 22:00:27 ID:???
CH数は?
同時通話チャンネル数ですか? VPNを流れているのは、多くて4通話くらいだと思いますよ。
VoIPだけって話に変わってる・・・
わからないなら仕事出してやりなよ
>>459 過負荷でrtxが一時的に落ちたのでは?ということが言いたいのでは。
463 :
d :2010/10/10(日) 05:52:24 ID:???
QoSかかってないんでしょ
VoIPが原因か確認確認しなさい。 >余計なログでメモリが溢れていて ではなく、SYSLOGサーバー用意してLOG収集してくださいそしてVoIPの装置のLOGと見比べてみなさい。 VoIPが問題そうだったらVoIPの負荷を確認しましょう、RTXならSMNP実装しているでしょう。 てかVoIPを疑っているならVoIP装置にQoS実装していないかとか確認する方が先じゃないだろうか?
でも、voipの付加で、pppoeごと落ちるものなのですか。
現象発生時の、show status lan3 と show nat descriptor addressと show status pp 1 とほんもののconfigとログは晒せますか。それなしに話するのはツライです。 とりあえずの推測すると、WAN側に白いケーブルを使っていたり、 内部のスパイウェアかP2P等が悪さをしています。それと、PPPoEのアカウント重複。 光プレミアムは、網側機器にEoLがきているらしく、かといって追加投資はできず、 むりに保守をのばしてもらってる状況、のようです。 電力系への切替を視野に入れて、nttに期待しない方が……
現象発生時に、コマンドを打つのは難しいです。 現場にいないので、後から報告を受けるからです。 やはり、シスログを溜められるサーバーが必要かなと思い始めました。 いつも自分に対してエスパーしてから問題を想像し、 そのエスパーが正しいかどうか確かめるために、”仕掛け”を設置していましたから。 今回の場合も、他拠点のrtxでは問題は発生していないようなので、 ここの拠点だけに問題があるのだろうと見ているわけです。 コンフィグも他拠点と同じなので、問題はないかと見ています。 今は、pingを飛ばし続ける試験をしようと考えています。 光プレミアム拠点から二つの拠点に対してpingします。 両方にtimed outが認められるだろうと期待しています。 ping 192.168.xxx.xxx -t > c:\xxx.txt ping 192.168.yyy.yyy -t > c:\yyy.txt もし片方だけなら、光プレミアム拠点が問題だとはいいにくくなる。 どこに問題があるのかを確かにしたいと思います。
>光プレミアムは、網側機器にEoLがきているらしく NGNへの移行を促している感じですね。
>>467 458は貴方?
IPsecトンネル内のVoIPパケットが最大4通話あるってこと?
VoIPのパケット減らしたら?QoSとか圧縮で G.729固定とかにするとパケット量は大分減るんじゃなかろうか?(G.729はFAX非対応だったかな?) ちなみにVoIPがネットボランチならコマンドで変更だね、初期値は何になっているのだったかな?
プロバイダはどこ?
しばらく通すの辞めて 負荷試験でもしてみたら?
473 :
467 :2010/10/10(日) 16:47:59 ID:???
>>469 そうです。
今度、パケット処理中のRTXのCPU使用率でも見てみようと思います。
負荷が高まると、PPPOEもVPNも落ちちゃうんですか。
VOIPと言ったって、最大で4通話(一通話64kbpsだったと思う)しか通ってないので、
そんなに処理が大変になっているものなのか疑問です。
最大で4通話と書きましたが、考えてみると、双方向なわけで、 こちら側の音声と相手側の音声もあります。 また、問題の光プレミアム拠点ではASTERISK電話サーバーを設置し、 ちょうどIP電話機郡のある拠点と、VOIPゲートウェイのある拠点の中間拠点です。 双方向の通話のパケットはこの電話サーバーを通っていくため、 この光プレミアム拠点では通話のパケットが、流れ込むものと出て行くものとになり2倍になっています。 4(同時通話)×2(双方向) × 2(IP電話機、VOIPゲートウェイ)× 64(kbps)になると考えられます。 4(同時通話)×4×64 =1024kbps 1MBit/secのデータが流れていることになります。 これは、rtx1100にはきつい処理になるのですかね。
>>474 フラグメントは?
VoIPは極端に小さなショートパケットでありさらにIPsecでフラグメントした場合、極端にパケット数が増える可能性が。
計算上1Mでも一時的にパケット数が数十倍になっているかもね。
あ、俺変なこと言った0ね、ョートパケットなんだからフラブメントしないよね。 まあVoIPはショートパケットだからRTX1100の性能使い切っているのかもって事を言いたかっただけです。
477 :
あああ :2010/10/10(日) 19:57:56 ID:???
なんでもかんでも大文字にしないでください! 小文字が可愛そうです PPPoEのセッションが切れるのはISP側の問題が大でしょ 一度問い合わせしてログみてもらうのが一番手っ取り早い
今月から転送量上限のあるプロバイダに乗り換えるんですが RTX1000の管理画面から総パケット数みたいなのは見れるんだけど 1)ここから転送バイト数って計算可能なんでしょうか? 2)定期的に転送量レポート送らせられるんでしょうか?
>>478 >1)
不可能
パケットサイズは一定ではないので。
えっとSNMPって知らないの?
RTX1000 SNMP
RTX1000 PRTG
などでググってみてはいかがだろうか
(PRTGはSNMPで取得したデーターをグラフ化する有名なアプリです)
嫌な性格
色んな人が居るなw
僕には聞かれた事だけ答える人より、
>>479 みたいなレスの方が勉強になってよっぽど親切に思えるけど。
できるお とか答えておけばよかったのかね
> えっとSNMPって知らないの? 他はいいとして、上の言い方が勘に触ったんだろうな、きっと。 自助努力(笑)とやらが持て囃された結果、ブラックな意味で弁慶気質な連中が増えた気がする。
管理画面に表示されるのは、showコマンド。 あのね、こんなのが出ますよ、 > 受信: 731991234 パケット [3216748686 オクテット] 負荷: 0.0% 自助努力wとか「できるお」「できないお」とかよりも以前の問題と思うんだ
自力でなんとかするか、業者に出すにしても業者のやり方をざっと教えてもらって 細かいとこは調べるとかしてれば結構覚えるよねー ・・・設定例集ろくに読まず2ちゃんで訊くってw
PRTG ってあるんだ MRTGと比べてどう?
かなり以前に調べた限りでは、Windowsで動作するMRTGくらいの印象だったけど、 今のバージョンだとMRTGとでは比較にならんかもしれんな 比較するとしたらMuninか?
PRTGって有料?
489 :
あのにます :2010/10/11(月) 15:58:30 ID:???
小さいベンチャーでネットワーク管理を押し付けられた半人前です。 人数が増えて、ひとつのISPで社員全員がネットに繋ぐのが厳しくなってきたので、LAN1はプロバイダ1、LAN3はプロバイダ2という具合に、部屋ごとに違うプロバイダに接続する方針にしました。 新しく別のプロバイダを契約し、今までの設定と全く同じように pp 2 を作成し NATディスクリプタの設定をしたのですが、ISP1の方のLANからはちゃんとネットにでられるのに、ISP2の方はPPPoE接続のstatusは問題ないのにインターネットに出られません… ふと default gateway のインターフェースを pp 2 にするとISP2のLANからネットに出られたものの今度はISP1のLANからネットに接続出来ません… 明らかに routing の設定だけのように思えるのですが、半日マニュアルと設定資料集と格闘してもどうにもうまくいきません… 明日の業務開始が迫っておりちょっと泣きそうです…configを個人情報以外ほとんどそのまま貼るので、どなたか、ヒントだけでも頂戴できませんでしょうか…どうかよろしくお願いしますm(_ _)m
491 :
490 :2010/10/11(月) 17:16:09 ID:???
改行が多すぎて貼れなかったのでもう1ポスト使わせていただきます。すみません。 ip route default gateway pp 1 ip lan1 address 192.168.11.1/24 ip lan3 address 192.168.22.1/24 pp select 1 pp name ISP1 pp always-on on pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp ipcp msext on ip pp nat descriptor 1 pp enable 1 pp select 2 pp name ISP2 pppoe use lan2 pp auth accept pap chap pp auth myname ID PASS ppp ipcp msext on ip pp nat descriptor 2 pp enable 2 nat descriptor type 1 masquerade nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.11.1-192.168.11.254 nat descriptor type 2 masquerade nat descriptor address outer 2 ipcp nat descriptor address inner 2 192.168.22.1-192.168.22.254 dhcp service server dhcp scope 1 192.168.11.2-192.168.11.64/24 dhcp scope 2 192.168.22.2-192.168.22.64/24 dns server pp 1
>>491 >ip route default gateway pp 1
こりゃ、全部がpp1に行くだろ。
ただ漏れんちif分けてないからなぁ。セグメントは複数在ってアドレスごと行き先分けてるよ
ゴメン、途中で送信した。 フィルターを作って、それでフィルター型ルーティングにすれば大丈夫。
496 :
490 :2010/10/11(月) 17:59:23 ID:???
>>492-495 感謝のあまり涙が出そうです。ありがとうございました。
フィルタで振り分けたところ、両者のLANから「診断くん」で確認したらそれぞれ別のISPがきちんと表示されていました。
また、今までもせっかくのグローバルIPを活かすべく、LAN内の任意のマシンをサーバとして公開するために
nat descriptor masquerade static 2 1 192.168.22.100 80
のように設定して使っていたのですが、これも完全に動作していることが確認できました。
本当に本当にありがとうございました…休日出勤を終われそうですm(_ _)m
LAN内のマシンをサーバとして公開って、用途は知らないけどおっかないことするなぁ
498 :
490 :2010/10/11(月) 18:21:28 ID:???
>>497 あ、テスト用サーバとしてHTTPだけ公開という感じです…
あ、すまんす。いぢわるで書いたつもりはなくって・・・ それはそうと。本職の他にやらされてるっぽい印象を受けました。 インフラ管理を片手間にやるのはきついよねぇ
500 :
490 :2010/10/11(月) 18:41:46 ID:???
>>499 あ、とんでもない…勉強中なので何かまずいことしてるのかと思っただけです。
インフラはソフトウェア開発の傍らでやっております。
ただ、RTX1100に触れたのはいい勉強になりました。
今までは開発メンバはみんな自宅からSSHを許可してたんですがこれからはこのルータでVPNを構築してもっと安全に使えることが分かったので…
勉強になりました!ありがとうございました!
>>497 その発言、気になるなあ。
サーバー公開は、静的natで内側サーバーに通すのが一般的だと考えていた。
グローバルをサーバーに直接割り当てるの?
固定IPをネットワーク単位で取得して?
そんなのケースバイケース お互いに突っかかる事案でも無い
>>502 発言が気になっただけであって、突っかかっているわけではないんだが・・・
>>500 >ルータでVPNを構築してもっと安全に使える
固定IPをつかって双方で運用し、それ以外を排除するフィルタリングを設定すると
かなり安全になると思いますよ。
できれば、PPインターフェイスを二つ設定して、片方を固定IPにしてipsec専用にしましょう。
デフォルトゲートウェイは、フィルタ型ゲートウェイを設けて、
ipsec関係パケットが固定IPの方のPPインターフェイスに流れるようにします。
コストってもんがあるだろ
506 :
あなにます :2010/10/11(月) 22:33:47 ID:???
固定IP、意外と安いもんだけどな。
>>503 昔は、natを使わずに、サーバに直接グローバルアドレスを割り当てるのが一般的でした。
natを使うことを考慮しないアプリがあるのが、その名残です。
たとえばFTPです。ここをみますと
ttp://web.kuicr.kyoto-u.ac.jp/~hattori/non-research/memo/tools/ftp.html 「passiveモード時のデータコネクション確立時」サーバは自身のIPアドレスを返します。
もしサーバがnat配下なら、プライベートアドレスで応答します。
プライベートアドレスで返事をされると、インターネット越しには通信できませんね。
このとき、気がきくnatは、グローバルアドレスに書き換えてくれるので、FTPは成立します。
けど、他のすべてのアプリの挙動をnatが知っているわけもなく。
ですから、動作させるアプリの仕様と作り込みをチェックできないなら、natを使用せずに、
サーバに直接グローバルアドレスを割当てて動作させるのが、安全です/でした。
natは、IPヘッダのIPアドレスの書き換えと、せいぜいポート番号の書き換えの機能です。
対FTP書き換えみたいな検査&変換機能をもっともっと持たせれば良いんでしょうが、
何とか参照モデルでレイヤーを分けてるように本来、IPアドレスはIP層で扱われるべきもの、
TCPやそれ以上のレイヤーでIPアドレスを使うのは、各層の役割分担からすると、変。
# FTPはとくに変。SIPも変。
># FTPはとくに変。SIPも変 面白い表現!気に入った。 変態プロトコル
FTPは古いプロトコルだし、当時はさほど変だとも思われなかったんだろう
sipは、NAT状態というIPプロトコルに依存するのは問題だな。
パッシブ時のFTPサーバーってアドレス返すんだっけ? 設定したポート範囲返すと思った
Webサーバーとして公開したDBを
LAN内のDBにできるだけリアルタイムに取り込みたいとき、
どういう手法や構成が安全ですかね。
できればRTXシリーズを利用した方法で。
>>490 とは違う別人です。
DBを扱う手法を訊きたいのかルータの何かを訊きたいのか・・・もう
514 :
512 :2010/10/12(火) 02:01:05 ID:???
DBも当然、どう使うかは関係してきますが、 DBの手法や詳細は不要で、 ご教示願いたいのは、ルーターおよびネットワークの構成などです。 他の全く違う方法などでお勧めがあれば、それでも構いません。
>Webサーバーとして公開したDBを だれか解読してくれ >DBの手法や詳細は不要で、 >ご教示願いたいのは、ルーターおよびネットワークの構成などです。 お前さんがどうしたいか示せてないのにそのネットワーク構成を俺らが 考えるなんて不可能だろ…一体何がしたいんだ
ネットワークがどうこうってなんか関係あるのか? もしかしてDBってデータベースのことじゃないのかな…
エスパーしてみる。
>>514 > ご教示願いたいのは、ルーターおよびネットワークの構成などです。
http://netvolante.jp/solution/int/case4.html においてDMZにWebサーバをLANに取り込み用DBを設置。
これで要求を満たさないなら理由を「全て」書くこと。
あと
> LAN内のDBにできるだけリアルタイムに取り込みたいとき、
> どういう手法や構成が安全ですかね。
ときいておきながら
> DBの手法や詳細は不要で、
って何なんだろう?
DBを絡ませないでルータだけで取り込みをしろというのだろうか?
>>514 いやいや。それはDBやサーバやリアルタイムとか安全設計の話です。
簡単にするなら、外付け共有ストレージにしてファイバで引っ張ります。
リアルタイムを要求されるなら、「HA」をあたってはいかがでしょう。
最近気になってるのは、drdbでディザスタリカバリーする?、とかで、
ttp://www.drbd.jp/wd_dr.html まずサーバやDBや性能要件の話です。rtxとかなんとかはその次。
>>512 >Webサーバーとして公開したDBを
DB(たとえばaccessファイルなど)がWEB(グローバル)で公開されている??
>LAN内のDB
上で公開されたDBをPCで素早く取込む。
10回読んでこう理解した。
んと、WEBの巡回ソフトで良いんじゃない。ルーター関係ある?
DB間で定期的に同期とら取らせればいい話ちゃうの? 具体的に何をしたいか書かないと 本人も理解してない物アドバイスしようも無い
緩衝セグメントに(orにも)DB置いて見に行くか内側と同期するってのを 普通考える罠・・・ルータもDBも関係ない、設計思想の話だ。スレ違。
Web公開だから、WebサーバーからLAN内側への安全性ということでしょ。
>>517 DMZとLANの接続、DMZからのLAN内部への安全対策は?
>>518 外付共有であろうが、安全対策は?
DMZを使用すれば、RTX設定も関係してくる。
>>519 WEBの巡回、それもありだろうね。
WebサーバーのためにDMZを使用すれば、RTX設定も関係してくる。
>>520 安全に同期する方法は?ってことでしょう。
>>521 ネットワーク構成のことですね。
WebサーバーのためにDMZを使用すれば、RTX設定も関係してくる。
>>522 ネットワーク構成も考えて無いなら
アドバイスが多種出てきてもおかしくは無いだろ
無論ルーターは絡むだろうが静的NAT含めフィルタリングの話で済むのでは?
どういう用途で使うかしらんがデータ量がそこそこしか無いなら
内部DBの保護が最重要なら
WEBのDBに書き込まれた内容をメールで飛ばすもありだろ
>>523 >ネットワーク構成も考えて無いなら
アドバイスが多種出てきてもおかしくは無いだろ
そうですね。
でも、安全性を考えてないアドバイスは、論外ですよね。
>WEBのDBに書き込まれた内容をメールで飛ばすもありだろ
それもありだね。
動的フィルタを使って、内側PCからデータベースファイルへのアクセスはできるようにして、 その逆からはアクセスができないようにする。 動的フィルタは、FTPプロトコルには対応している。
>安全性を考えてないアドバイスは、論外ですよね。 何様?w
>>WEBのDBに書き込まれた内容をメールで飛ばすもありだろ > >それもありだね。 仕事じゃないってことはわかったw
一般外部に公開されてるDBでWebフォームでデータ入力するレベルならメールもありでしょ
>>522 >
>>517 > DMZとLANの接続、DMZからのLAN内部への安全対策は?
そもそも構成はこれで良いのか?
これで良いならどういう通信を行うのか?
DMZとLAN間でどういう通信を許可したいのか?
等がわからないと話が発散しすぎると思う。
そういう前提条件が揃わないで安全対策なんて笑止ではないかな?
こんなのまだ設計段階にさえ到達していないんだから。
もし前提条件を超越した素晴らしい設定があるなら是非紹介して欲しい。
きっとネ申になれる。
パッ パッ パッ パッ パッ パッ [とり] [あえ] [ず] [もち] [つけ] [旦] ‖∧∧ ‖∧∧ ‖∧,,∧ ‖∧,,∧ ‖∧∧ ‖,∧∧ ∩・ω・`)∩・ω・`)∩・ω・`)∩・ω・`)∩・ω・`)∩・ω・`) ( ). ( ). ( ) ( ) ( ) ( ) `u-u´ `u-u´ `u-u´ `u-u´ `u-u´ `u-u
>>530 だからこそ
>>517 は『理由を「全て」書くこと』って書いてあるんじゃないの?
全てってなんだろうと考えれば洗い出しもいくらかは進むはず...
たぶん
>>514 はDMZって概念すら初めてだと思うからこれをきっかけに
それらの用語もググったりして理解してくれるはず...
ってかエスパーレスにそこまで求めるのは酷だよw
Webサーバーがハッキングされた時のリスクだから Web巡回とかメール転送が安全じゃないの。 リアルタイム性は落ちるだろうけど。 動的フィルタの手法はわからないけど Web巡回とメール転送はプログラム作って対応だね。 Web巡回は、phpなどはわかるが、htmlプロトコル読むのは面倒そうだな。 メール転送はメール受信プログラムでDBへ書き込めばよい。 動的フィルタはリアルタイム性に優れているだろうね。 安全性はよくわからないが。 Webサーバーはレンタルと自社サーバーが考えられるから メール転送はどちらでも対応できるが 動的フィルタなどはレンタルサーバーでは対応どうなのかな。
自社サーバーなら、LAN1,LAN3を静的フィルタで片方通行。 レンタル共用サーバーなら、メールか巡回。 レンタル専用サーバーなら、直接同期。 どぉ?
当人(512氏)抜きで議論が展開されているような・・・ NW構成情報も無しにRTXシリーズを利用した方法でって表現から ”良く分かってない上司から押し付けられた初心者(512氏)”って感が・・・。 こう言う言い方は失礼だろうけど、現状の当人には無理じゃね?
もういいよこの話・・・
ですね。512と522は、WEBとDBの安全性のために XSSとSlammerとSQLインジェクションを RTXシリーズで防ぎたいとか言い出すタイプ
539 :
512 :2010/10/13(水) 22:39:16 ID:???
みなさん、ありがとうございました。 参考になりました。
まったく無関係だけど、512が本当にかわいそう、端からあげあしばかりとられて。 エスパーなんて必要か?と思う。 エスパーというより、それをこそ経験豊富な諸氏に質問しているんじゃないだろうか。 RTXに接続した外部公開WEBサーバーと共存しているデータベースのファイルを、 そのRTXに接続したPCから取得するために、どういう手法が安全かということだけを聞いているだけだろう。 いったいどうしてレンタルサーバーなんて話がでてくるだろうか。 上でも出てきていたが、動的フィルタを使うとよいのでは。 データベースサーバーとWEBサーバーが動作しているPC(a)に、 グローバルアドレスを付与しているインターフェイスのほかに、 プライベートアドレスを付与したインターフェイス(a)を設定し、RTXのインターフェイス(A)に接続する。 安全側のPC(b)は、RTXのインターフェイス(B)に接続する。 PC(a)のインターフェイス(a)からのみアクセスできるFTPサーバーを起動しておく。 そしてRTXに動的フィルタを設定し、 安全側のPC(b)からWEBサーバPCへのFTPアクセスは許可するが、逆方向からの通信は許可しない。 これで、WEBサーバーがどうにかなっても、そこから安全側に進入されることはなくなると思うけどな。
そんな回答ならデータベースがどうとか関係ないじゃん わざわざDBが〜とか書くんだから固有の問題があるんでしょ? ないのに聞いたならアホ過ぎる
>>512 の書き込みを見る限り、
>>517 の挙げているURL以上の答えは無いと思う。
(
希望は書いてあるけど現状は書いてないので、皆どう答えていいのか分からない。
揚げ足取られても仕方ない聞き方だよ。
なんか盛り上がってると思いきや、エスパー質問かよ
>>541 それならFTPじゃなくて直で内部から一方向でDBアクセスした方がよくね?
すごいなえ巣パー DMZが答えかよ
>>545 DBがクラックされたら、そのとき危険になる。
DBからLAN内にアクセスされるかもしれない。
だからわざわざ一方向でって書いてあるんじゃないの?
当事者が539で逃げちまったから、もう終わりだろ
質問者が遁走したようだけど、ネタとしては面白いから サンプルになりそうなネットワーク構成を決めてから それに呼応する設定とかで話を続けなイカ?
DBだろうがそうでなかろうが 静的でも動的でも一方通行にしとけばいい ところで、LAN3にDMZ設定したら LAN1とLAN3は片方通行できるの?
>>551 それを実際にやっているのが
>>517 の挙げたURLなわけさ
動的フィルタを使ってLAN1(LAN)からLAN3(DMZ)へのアクセスは可だけど、逆は不可にしてる
>>548 動的フィルタつかわないと、一方行通信できないし、
動的フィルタ使えるアプリケーションは限られている。例、FTP HTTPなど。
それはニーモニックがそれしか用意されていないってだけの話であって、 ip filterコマンドと組み合わせれば、あらゆるポート番号の動的フィルタを自作できる 設定例集の6.3とか、コマンドリファレンスの9.1.12とかを見てみるといい
これがゆとりというやつか
見れば見るほどRTXやらネットワークやらは二の次で、
DBのミラーを取得したいんだけど、皆どうやってる?
って話になってるような気がする。
rsyncでもlftpでもお好きにどうぞって感じだが。
「安全」が暗号通信必須を意味するなら、lftpはsftp/ftps/httpsにも対応しているらしいし。
本来はアプリの話なのに、たまたまYAMAHAのルータを使っていたってだけでこのスレに書き込んだんじゃないか?
一番冷静だったのは
>>515 と
>>520 だったな。
それ以上は触れるべきではなかった。
質問させてください。 ip route default gateway pp 2 ip route 123.123.123.123 gateway pp 1 と、あった場合に pp2から入ってきたパケット(宛先アドレスが123.123.123.123の場合)は pp1がゲートウェイになるんでしょうか?? pp2側からpp1側に通信が通らなくて何をどう見ればいいのか。。。。よかったらアドバイスお願いします。
>>557 イエス
アドバイス欲しければコンフィグ載せた方がいいよ
>>558 ありがとうございます。
すいません、あまり詳細まではコンフィグを載せることができないのですが
足りない部分があれば可能な限り載せたいと思っています。
ip route default gateway pp 2
ip route 172.17.2.0/24 gateway 172.16.10.10
ip route 172.16.13.0/24 gateway tunnel 1
ip route xxx.xxx.xxx.xxx gateway pp 1
description lan1.1 To_LAN-Segment
lan type lan1 port-based-ks8995m=on
ip lan1.1 address 172.16.10.1/24
ip lan1.1 ospf area backbone passive
(続きです) pp select 1 description pp PP1 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxxxx@xxxxxx xxxxx ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 ip pp secure filter in 1 3 4 5 6 7 8 9 21 22 41 42 43 44 45 100 ip pp nat descriptor 1 pp enable 1 pp select 2 description pp PP2 pp always-on on pppoe use lan3 pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxxx@xxxxxx xxxxxx ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 ip pp secure filter in 2 3 4 5 6 7 8 9 21 22 41 42 43 44 45 47 48 50 51 100 ip pp nat descriptor 3 2 pp enable 2
(続きです) tunnel select 1 description tunnel To_Hoge ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 172.16.10.1 ipsec ike pre-shared-key 1 text ch1y0da ipsec ike remote address 1 xxx.xxx.xxx.xxx ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 前提: 172.17.2.0/24はVPNクライアントのアドレス範囲です。 VPNクライアント宛のパケットはすべてVPNサーバー(172.16.10.10)を経由します。 VPNクライアントはPP2を経由してVPNサーバーと接続しています。 VPNサーバー及びこのルータは172.16.13.0/24と通信が確立できています。 それで問題なんですが、VPNクライアントから172.16.13.0/24へアクセスできなくて困っています。 172.16.13.0/24のグローバルIPアドレスは伏せていますが、ゲートウェイpp1を使用しています(xxx.xxx.xxx.xxx)。 他に、pp2を利用したトンネル接続が多数あるのですが、リモートクライアントからそちら側へはすべてアクセスできています。 そこで思ったのが、pp2同士だったらいけるけれど、pp1の場合はいけないんじゃないのかということです。 これが、先に質問したpp2側からpp1側に通信が通らない、、という内容になります。 改めてアドバイスお願いします。
同サブネット上の192.168.abc.def/24と192.168.abc.ghi/24に一台ずつ、それぞれ別ISPに接続されたRT57/58iが(合計で2 台)あるとする。 ここで片方(ルーター1)のみDHCP鯖にし、Def.GW及びPri.DNSとして自分のア ドレスをクライアントに返す普通の構成にし、もう片方(ルーター2)はDHCP鯖を殺す。 普通こーすると、ルーター2はIPを直打ちしたorルーティングテーブルに手動エント リ追加したマシンからじゃないとネット用に使えない様になるのは当たり前で良い…として、例えばここで両方のルーターの UPnPが有効になっとると、両方のルーターが同じサブネットにUPnPのブロードキャストをするから、それに伴いUPnPを利用するクライアントの挙動がどーなるか知りたい。 しっとるしと、いにゃい?
…と書き込んでから後悔…業務用スレだった…orz
こっちの方がまともなアドバイスが聞けると思うけどなw
>>554 そうだった。思い出した。ありがとう。
トリガパケットも設定できるし、それによって開けるポートも設定できるんだったな。
voipのメディアパケットを通過させると、RTX1100はすぐにCPU使用率が上がるけど、 RTX1500は、びくともしないわ。 高いだけある。確か、独立してCPUが三つもついているんだったよね。
>>561 172.16.13.0/24側が、172.17.2.0/24への経路を持ってないとか?
172.16.10.10が、ファイアウォールしてるとか?
各所からtracerouteしてもらったら、
どこヘ向かってとんでいって、どこで応答がなくなってますか。
>>567 VPNクライアント(172.17.2.1)からtracertしたところ、次のようになっています。
Tracing route to 172.16.13.4 over a maximum of 30 hops
1 14 ms 14 ms 13 ms 172.18.1.1
2 15 ms 13 ms 12 ms 172.16.10.1
3 * * ^C
172.18.1.1はVPNサーバーの仮想IPアドレスです。
ここからルーター(172.16.10.1)を経由して、本来3には172.16.13のネットワークのルーターを
通るはずなんですが、ここで通信が切れています。
>172.16.13.0/24側が、172.17.2.0/24への経路を持ってないとか?
持っていませんが、、それが問題ではないように思えます。
pp2の他のトンネルも経路を持っていないのですが、普通に繋がっています。
経路の問題は、172.16.13.0/24をpp1からpp2に切り替えてトンネル接続して
検証してみたいと思います。
引き続きアドバイスありましたらお願いしますm()m
アドバイスも何も情報が足りないと思いますPP2は何なのですかPPPoEでプライベートIP??? RTXのCONFIGだけ見ると下記と推測 172.17.2.0/24 VPNのクライアント群 ↓VPN なんでか172.18.1.1とか経由??VPNトンネル内になぜ? 172.16.10.10 ← * VPNサーバー(172.16.10.10) ↑に向ってデフォルトGW ↓PP2 フレッツグループアクセスみたいなサービスかな?ここら辺の情報が少ない 172.16.10.1/24 RTXのIP ↓tunnel 1 172.16.13.0/24 もしPP2がフレッツグループアクセスみたいなサービスの場合、難しいと思います プロバイダー管理下のルーターのrouteを設定する事が難しい(多分出来ない)からです とくに最後の書込みで172.18.1.1など不思議なIPも混ざっていますので。 あとVPNのクライアントは普通のVPNですか?PPTPとかIPsecとか IPが172.17.2.0/24でVPNサーバーが172.16.10.10って何か変じゃない? 複数セグメント付きのVPNサーバーなら可能だと思うけど、複数セグメントあるVPNサーバーならそのroute等の確認なんかも必要だね。 まあ、恐らくRTX以外の問題と思うんだけど。 RTXで怪しいのは書かれていないPP2のfilterだけどその辺りならLOG取れば一発で判るしね。 ちなみに余談ですけど @ip route default gateway pp 2 Aip route 172.17.2.0/24 gateway 172.16.10.10 PP2の先に172.17.2.0/24が有ると言っておりますけどAに何の意味が?PP2=172.16.10.10のような気がするけどまあ重複していても良いか。 なんか長文になった。1回で書き込めるのかな?
携帯からだから長文書けないが、
>>569 の言う通り、情報が足りないな。
ネットワークの構成が読めない。
rtx以外にも、ルーティングしてる所有るんじゃ?
571 :
568 :2010/10/15(金) 12:23:40 ID:???
すいません、やはり全然情報足りていないですよね。 PP1もPP2も固定のグローバルIPアドレスが振られています。プロバイダはOCNなど一般的なインターネットプロバイダです。 tracertの結果ですが、569さんの推測であっています。 172.18.1.1というのが混乱させてしまったと思うのですが、これはVPNサーバーに振られている仮想IPアドレスです。 172.16.10.10と同等と考えてもらって構わないです。 VPNクライアント側からtracertすると172.18.1.1と出てしまっただけです。 (VPNクライアントからは172.18.1.1でもpingが通りますし、172.16.10.10でもpingが通ります。) よって、 172.17.2.0/24 VPNのクライアント群 ↓VPN 172.16.10.10 ← * VPNサーバー ↓PP2 プロバイダOCN 172.16.10.1/24 RTXのIP ↓tunnel 1 172.16.13.0/24 VPNクライアント及びサーバーはオープンソースのOpenVPNを使用しています。 サブネットはVPNクライアントごとに分けて管理できるものです。 VPNサーバー側のルート情報はおそらく正しいですが、掲載させて頂きます。 PP2のfilterですが、、LOGで確認してみます!
572 :
568 :2010/10/15(金) 12:28:20 ID:???
VPNサーバー側でもルーティングしています。 iptablesの内容になるので、YAMAHAから脱線してしまいますが、、、 iptables -F iptables -X iptables -P INPUT DROP iptables -P FORWARD DROP iptables -P OUTPUT ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -i tun0 -j ACCEPT iptables -A OUTPUT -o tun0 -j ACCEPT iptables -A FORWARD -o tun0 -j ACCEPT iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT iptables -A INPUT -p tcp --dport 7000 ACCEPT iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP iptables -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED --dport 80 -j ACCEPT iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT iptables -A FORWARD -i tun0 -s 172.17.2.1 -d 172.16.10.0/24 -j ACCEPT iptables -A FORWARD -i tun0 -s 172.17.2.1 -d 192.168.1.0/24 -j ACCEPT iptables -A FORWARD -i tun0 -s 172.17.2.1 -d 172.16.13.0/24 -j ACCEPT iptables -A FORWARD -i tun0 -s 172.17.2.1 -d 192.168.11.0/24 -j ACCEPT
>YAMAHAから脱線してしまいますが、、、 脱線の前にそれrouteとちゃいますねんroute add ... とかじゃ 疑問が倍以上増えたがまあいいかとりあえず VPNのクライアント群(プライベート)→VPNサーバー(プライベート)→OCNの(グローバル)→RTX→(プライベート) こんな環境できないと思うけど何か勘違いをしていませんか? OCNのグローバルが混乱するので下記とした場合 172.17.2.x ↓VPN 172.16.10.10(172.18.1.1) ↓PP 172.16.10.1 ↓tunnel 1 172.16.13.0 1 14 ms 14 ms 13 ms 172.18.1.1 2 15 ms 13 ms 12 ms 172.16.10.1 3 * * ^C この情報からrouteの書き忘れの可能が高いのは172.18.1.1の装置と172.16.10.1の装置 RTXは問題なさそうだしVPNサーバーか他の装置のroute書き忘れでしょう。 余談ですが ip route 172.17.2.0/24 gateway 172.16.10.10を書いて ip route 172.18.1.x/x gateway 172.16.10.10を書かない理由は?default gatewayに含まれるからですか?
574 :
568 :2010/10/15(金) 15:49:29 ID:???
>>573 >脱線の前にそれrouteとちゃいますねんroute add ... とかじゃ
まったくそのとおりでした、、、
VPNサーバー側(OpenVPN)のコンフィグレーションです。
server 172.18.1.0 255.255.255.0
push "route 192.168.1.0 255.255.255.0"
push "route 192.168.11.0 255.255.255.0"
push "route 172.16.10.0 255.255.255.0"
push "route 172.16.13.0 255.255.255.0"
route 172.17.2.0 255.255.255.0
このようにルーティングは設定されています。
ほんと書くたびに疑問を増やして申し訳ないです。
改めてまとめたいと思います。
>余談ですが
IPマスカレードを使用して、172.16.10.10へ流すようにしているからです。
nat descriptor address outer 2 xxx.xxx.xxx
nat descriptor address inner 2 172.16.0.1-172.31.255.254
nat descriptor masquerade incoming 2 reject
nat descriptor masquerade static 2 1 172.16.10.1 udp 500
nat descriptor masquerade static 2 2 172.16.10.1 esp
nat descriptor masquerade static 2 3 172.16.10.10 tcp www
575 :
568 :2010/10/15(金) 16:09:00 ID:???
PPで混乱させてしまっているので、どう表現していいか分らないのですが、、、 RTX1:今回コンフィグを開示しているルータ RTX2:172.16.13.0/24のプライべートアドレス空間を持っている他拠点ルータ 次のように通信されるのが目的です。 ※グローバルIPアドレスはxxxで伏せさせて頂いてます。 @VPNのクライアント(172.17.2.1) ↓ ARTX1(LAN側:172.16.10.1/24 | WAN側:xxx.xxx.xxx.xxx) ↓ BRTX1配下のVPNサーバー(IP:172.16.10.10 | 仮想IP:172.18.1.1) ↓ CRTX1 ↓ Tunnel1 DRTX2(LAN側:172.16.13.1/24 | WAN側:xxx.xxx.xxx.zzz) ↓ ERTX2配下のクライアントPC(172.16.13.4) Tunnelは他にも数十個ありますが、以上が構成になります。 @のVPNクライアントからtracertした結果、Cから先で通信が途絶えています。 RTX1ではsyslog notice onにしてログを確認しましたが、rejectで引っかかることはありませんでした。 なお、B-E間はpingが通っており、RTX1-RTX2間もpingが通っています。 宜しくお願いします。
RTX2にルートを書いた?
>>575 574、routeって単語書いてあるけどそれもrouteの設定じゃないとおもうんだ、まあいいか
BRTX1配下のVPNサーバー(IP:172.16.10.10 | 仮想IP:172.18.1.1)
571で仮想IP:172.18.1.1・・・172.16.10.10と同等と考えてもらって構わないです。
違わなくないですか?
568を見る限り172.18.1.1経由しているように見えるので、172.16.10.10と172.18.1.1を内部でルーティングしていませんか?
と言うことでip route 172.18.1.x/x gateway 172.16.10.10が足りない
またRTX2にも必要なら172.18.1.x/x宛てのrouteを
でもVPNサーバーの内部だけでルーティングしているのは何か効率が悪い気がするがまあ気にしないでおこう。
>>575 VPNクライアントが最初に繋がるポイントはVPNサーバーなんだから、
順番で書くなら
1→3→2→4→5→6
で、良いかと。
んでVPNサーバーに振られてる仮想IP 172.18.1.1ってなに?
>>577 も書いてるけど、
どうもこの仮想IP回ってるぽく見える。
仮想IPを何に使ってるか知らんけど、
VPNサーバーの中で172.17.2.x→172.16.10.xへ行ってほしいパケットが
仮想IPの172.18.1.xへ、ルーティングされてないか?
仮想IP経由じゃなきゃダメなら、
>>577 の通り、こいつへのルーティングが
抜けてると思う。
仮想IPを経由する必要が無いなら、VPNサーバーのルーティングが
どっかおかしいとおもわれ。
579 :
568 :2010/10/16(土) 12:32:19 ID:???
皆さん、ご返信ありがとうございます。 すいません、意味が理解できていないのですが教えてもらって良いでしょうか。 >と言うことでip route 172.18.1.x/x gateway 172.16.10.10が足りない >またRTX2にも必要なら172.18.1.x/x宛てのrouteを RTX1にはなぜip route 172.18.1.x/x gateway 172.16.10.10 が必要なのでしょうか。 これを追加することで、どこからどこまでが通信できるようになるのでしょうか。 試しに追加してみたものの、特に状況は変わらず理解もしていないので先に進むこともできない状況です、、、 また、RTX2にも必要とありますが、これは次のようになるということでしょうか。 ip route 172.18.1.x/x gateway tunnel [RTX1のトンネル]
落ち着いて考えてみた。 >@VPNのクライアント(172.17.2.1) この表記に思いっきりだまされてた。 (俺だけだと思うけどw にわかなんでサーセン 物理NICのアドレスはどーでも良くて(VPNの通信は出来てるから。) 必要なのは、VPNクライアントの仮想NICのアドレスだ。 VPNネットワークは172.18.1.xなんでしょ? で、RTX1まではちゃんとパケット帰ってきてるけど、 その先から帰ってきて無い。 RTX1から172.18.1.xへは通信が出来てる。 今まで出た情報だけだと、この通信が出来てるのが不思議なんだが・・・ どっかに172.18.1.xへのルート書かれてたっけ? まぁとりあえず、RTX2が172.18.1.xへのルートを知らない可能性が大。 って事で、RTX2へ >>ip route 172.18.1.x/x gateway tunnel [RTX1のトンネル] を設定してみて、通信出来るかどうかじゃ無いか?
581 :
568 :2010/10/16(土) 14:23:07 ID:???
>>580 >RTX1から172.18.1.xへは通信が出来てる。
>今まで出た情報だけだと、この通信が出来てるのが不思議なんだが・・・
>どっかに172.18.1.xへのルート書かれてたっけ?
VPNサーバー上で、172.16.10.10 <=> 172.18.1.1をフォワードしているのですが
それが関係しているんでしょうか??
ip route 172.18.1.x/x gateway tunnel [RTX1のトンネル]
まずはこの設定をしてみます!
けれど、561でも書いたのですが、
>他に、pp2を利用したトンネル接続が多数あるのですが、リモートクライアントからそちら側へはすべてアクセスできています。
通信できている他のトンネルの先のルーターはこの記述ないんですよね・・・。
582 :
568 :2010/10/16(土) 14:37:44 ID:???
設定してみました。 RTX1へip route 172.18.1.0/24 gateway 172.16.10.10 RTX2へip route 172.18.1.0/24 gateway tunnel [RTX1のトンネル] を追加 結果、、 1 13 ms 11 ms 12 ms 172.18.1.1 2 14 ms 16 ms 12 ms 172.16.10.1 3 * * * Request timed out. 4 * * * Request timed out. 5 * * * Request timed out. 状況は変わりませんでした。 前回、RTX1側のログを見て何も残らなかったのですが、RTX2側でReject以外にログは残るのでしょうか??
RTX2へ ip route 172.17.2.0/24 gateway tunnel [RTX1のトンネル] は?
584 :
568 :2010/10/16(土) 17:26:05 ID:???
>>583 繋がりました!!
とても喜ばしいことなんですが、自分の中でまとまらないので整理します・・・。
>>584 俺も教えてほしい。
なんでそれで繋がるのか・・・
VPNクライアントって、ルーターとして動いてるの?
だとすれば、何となく分かるんだが・・・
結局何がどう繋がって動いてるのか、
後学の為に、誰か解説してくれ。。。。
VPNのクライアント(172.17.2.1)から、RTX2まで繋がっていても、 RTX2から、VPNのクライアント(172.17.2.0/24)へ戻ってくるための定義が無かったからRTX2で行き先を失って破棄されていたのでは? ・・・・俺もVPNクライアントって、よくわかんねぇ。誰か解説キボン。
>>584 おととい567で指摘したでしょ。
センター折り返し構成の不通では、最初に、経路の有無を疑います。
とりあえず、おつ&おめ。
詳細な解説は568に任せた。しょぼくていいからネットワークの図を書いて、
VPNクライアント-OpenVPNサーバが暗号化する通信経路範囲とペイロード範囲、
VPNクライアントのパケットのIPアドレス(src/destとも)の各通信経路上での変化、
および、OSPFの適用範囲(他のトンネルと対向を含む)を、書き入れて考えてみてください。
>>586 経路がなくても、VPNクライアントに流れるというのは、
サーバーであるRTXには、クライアントは自明だということだな。
LANインターフェイスなどの近接ネットワークが自明であるのと同じように。
589 :
568 :2010/10/18(月) 13:58:12 ID:???
皆様、本当にありがとうございました。 色々とアドバイスを頂きましたが、結果として最初に質問したときの設定に下記を追加することだけで通信できました。 RTX2へ ip route 172.17.2.0/24 gateway tunnel [RTX1のトンネル] 上記経路を追加していなくても接続できている拠点もありますので別途調査してみたいと思います。 587さんの指摘にあるOSPFの適用範囲についてですが、実はよくわかっていません、、、 そもそもOSPFが分かっていないのでこの機に覚えようと思います。 今は結論しか分っていないので引き続きまとめていきたいと思います。 ところで、しょぼいネットワーク図ですが、色々指摘頂きたいのでこちらにアップしたいと思っているの ですが、どこかアップできる場所はないでしょうか。
591 :
568 :2010/10/18(月) 19:00:57 ID:???
>>591 途中にNATかましてる訳でも無いから、当然17.2に、なる罠。
で、スレ違にはなるんだが、VPNサーバーの、仮想IPが18.1なのは、何か理由でもあるのか?
このアドレスの用途が、分からんので。
と言うか、そもそも、この仮想IPって何だ?
>>591 >また質問なのですが、経路図からRTX2に到着したパケットの送信元IPアドレスはRTX1の210.xxx.xxx.xxxではなく
> 172.17.2.1になるということでしょうか。。
半分ずつ合ってます、もうすこしです。
描いていただいたRTX2は、論理的な線が3本つながってまして、とりあえず、
カプセル化とかNATのまわりはわかりにくいんですけど、雰囲気はこんなです。
RTX1のLAN1に、pass-log フィルタをinとoutにかけて、syslog notice onにして、
pingを一発、自宅のクライアントからrtx2側のwebサーバ172.16.13.4へ向けて打ってみれば、
[OUT]で、自宅ネットワークWAN側IP→172.16.10.10
[IN]で、172.17.2.1→172.16.13.4
となります。同様にRTX2で、LAN2のINにpass-logフィルタすると、同じpingは
210.xxx.xxx.xxx→212.xxx.xxx.xxx (RTX1のWAN側IP → RTX2のWAN側IP)になりますし、
LAN1のOUTにかけると、172.17.2.1→172.16.13.4 です。
(pass-logは注意。コンソールのtelnetでも引っかけると、多量のlogがでます)
もし可能ならWireSharkをあちこちにはさんできゃぷちゃして観てみて下さい。
172.17.2.0/24は、RTのpptpでいうところの、ip pp remote address pool のと同様です。たぶん。
PPTPで端末をリモートからつないだら、その貰ったアドレスで、ネットワーク内を動きますね、あの感じ。
OpenVPNで暗号化=カプセル化してるのは、VPNクライアント-OpenVPNサーバ間のみで、
OpenVPNサーバから向こうは、クライアントのパケットは暗号化をといて、仮想IPで通信してます。
また、RTX1-RTX2間についてはIPsecで暗号化=カプセル化してますので、内部で使っているIPアドレスは見えません。
172.18.1.1は、RTXでいうところの、ip tuunel address です。たぶん。
OpenVPNサーバでifconfig を打てば、tun0 インターフェイスに172.18.1.1/24が出るんじゃないでしょうか。
RTXはトンネルインターフェイスにアドレスを振らなくても動作しますが、
OpenVPNまたはそのサーバOSは、インターフェイスがアンナンバードでは動作しないものがあったりするとかで、
あえて振る設定にしている、と推測します。
594 :
568 :2010/10/19(火) 12:09:17 ID:???
ありがとうございます。
フィルター定義については新たに図でまとめさせて頂きました。
ttp://up.mugitya.com/img/Lv.1_up128021.jpg 自宅ルーターのWAN側IPアドレスが抜けていたので66.xxx.xxx.xxxを新たに追加しています。
説明がとても分り易く大変助かります!しかもOpenVPNの説明まで・・・。
VPNサーバー側のtun0インターフェイスは172.18.1.1/24になっています。
このIPアドレスは必要かどうかといわれると、無いと動かないということしか分っていません。
スレ違いの内容を持ちこんで度々すいません。
フィルターの設定は非稼働日(週末)に行いたいと思います。
WireSharkについては現地入りの必要がありそうですので、またの機会に利用してみたいと思います。
おかげ様でだいぶすっきりしました。あとはlogを取って見ていこうと思います!
596 :
568 :2010/10/20(水) 11:09:25 ID:???
>>595 そうですね!想像図、まさにそのとおりです。
597 :
アノニマス :2010/10/25(月) 16:22:07 ID:X791paEF
SRT100とドコモF-05Aの組み合わせでインターネット接続をしようと挑戦していますが YAMAHAの設定例を参考にCONFIGを作成しましたがうまくいきません。何が悪いのでしょうか? プロバイダは一番安いビジネスmoperaURL制限タイプでcidは確認しました。 ip lan1 address 192.168.0.1/24 pp select 1 pp bind usb1 pp auth accept pap chap pp auth myname xxxx yyyy ppp lcp mru off 1792 ppp lcp accm on ppp lcp pfc on ppp lcp acfc on ppp ipcp ipaddress on ppp ipcp msext on ppp ipv6cp use off ip pp nat descriptor 1 mobile auto connect on mobile access-point name url.flat.foma.ne.jp cid=4 pp enable 1 ip route default gateway pp 1 nat descriptor type 1 masquerade dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.0.2-192.168.0.199/24 dns server pp 1 dns private address spoof on
598 :
アナニマス :2010/10/25(月) 16:37:40 ID:???
>>597 接続時のログも晒してくれるとより分かるとおもいます。
デバッグモードのログを出していただければ更にわかると思います。
(くれぐれもヤバイところは消してくださいね)
599 :
アノニマス :2010/10/25(月) 16:48:53 ID:S+cgjmZz
>>598 レスありがとうございます。ログを出してみました。
データ通信カードは接続しているみたいです。
これらから何か原因が判ればご教示願います。
2010/10/25 16:24:50: [LUA] Lua script function was enabled.
2010/10/25 16:24:55: Previous EXEC: (unknown)
2010/10/25 16:24:55: Power-on boot
2010/10/25 16:24:55: SRT100 Rev.10.00.56 (Wed Sep 15 10:26:58 2010) starts
2010/10/25 16:24:55: main: SRT100 ver=c0 serial=********* MAC-Address=**:**:**:**:**:** MAC-Address=**:**:**:**:**:**
2010/10/25 16:24:56: [USB_HOST] device attached: vendor=0x1004 <LG Electronics Inc.>, product=0x613a <FOMA L05A>
2010/10/25 16:25:07: [USB_HOST] device detached: vendor=0x1004 <LG Electronics Inc.>, product=0x613a <FOMA L05A>
2010/10/25 16:25:08: [USB_HOST] device attached: vendor=0x1004 <LG Electronics Inc.>, product=0x6124 <FOMA L05A>
2010/10/25 16:25:08: [USB_HOST] USB communication device is attached
2010/10/25 16:25:08: [USB_HOST] MOBILE : WARNING : 64k data unsupport model
2010/10/25 16:41:50: LANC1: PORT1 link up (10BASE-T Half Duplex)
2010/10/25 16:41:51: LANC1: link up
2010/10/25 16:41:53: LANC1: PORT1 link changed (100BASE-TX Full Duplex)
2010/10/25 16:41:54: [DHCPD] Allocates 192.168.0.2: **:**:**:**:**:**
2010/10/25 16:41:54: PP[01] IP Commencing: UDP 192.168.0.2:52651 > 192.168.10.1:53 (DNS Query [teredo.ipv6.microsoft.com])
2010/10/25 16:41:54: PP[01] Calling url.flat.foma.ne.jp with usb1
2010/10/25 16:41:54: [MOBILE] Signal Strength (0-3): 3 [|||] (usb1)
2010/10/25 16:41:54: USB[1] SEND [ATD*99***4#]
2010/10/25 16:41:54: USB[1] RECV [CONNECT]
2010/10/25 16:41:54: USB[1] Connected
2010/10/25 16:41:58: PP[01] PPP/IPCP up (Local: 110.158.182.120, Remote: None)
2010/10/25 16:42:16: Login succeeded for HTTP: 192.168.0.2
2010/10/25 16:42:22: 'administrator' succeeded for HTTP: 192.168.0.2
600 :
アノニマス :2010/10/25(月) 18:00:48 ID:PHErp9UC
デバッグモードのログです。よろしくお願いします。 2010/10/25 17:52:00: TELNETD: started 2010/10/25 17:52:00: TELNETD: listen port = 23 2010/10/25 17:52:00: [RADIUS] started. 2010/10/25 17:52:00: SSHD: sleeping 2010/10/25 17:52:00: [LUA] Lua script function was enabled. 2010/10/25 17:52:00: [HTTPD] started (listen port[80]) 2010/10/25 17:52:05: Previous EXEC: (unknown) 2010/10/25 17:52:05: Power-on boot 2010/10/25 17:52:05: SRT100 Rev.10.00.56 (Wed Sep 15 10:26:58 2010) starts 2010/10/25 17:52:05: main: SRT100 ver=c0 serial=********* MAC-Address=**:**:**:**:**:** MAC-Address=**:**:**:**:**:** 2010/10/25 17:52:06: [DDNSU] opened 2002/udp 2010/10/25 17:52:06: [USB_HOST] device attached: vendor=0x1004 <LG Electronics Inc.>, product=0x613a <FOMA L05A> 2010/10/25 17:52:17: [USB_HOST] device detached: vendor=0x1004 <LG Electronics Inc.>, product=0x613a <FOMA L05A> 2010/10/25 17:52:17: [USB_HOST] device attached: vendor=0x1004 <LG Electronics Inc.>, product=0x6124 <FOMA L05A> 2010/10/25 17:52:17: [USB_HOST] USB communication device is attached 2010/10/25 17:52:17: [USB_HOST] MOBILE : WARNING : 64k data unsupport model 2010/10/25 17:52:30: LANC1: PORT1 link up (100BASE-TX Full Duplex)
601 :
アノニマス :2010/10/25(月) 18:02:05 ID:PHErp9UC
2010/10/25 17:52:30: LANC1: link up 2010/10/25 17:52:31: PP[01] IP Commencing: 2010/10/25 17:52:31: PP[01] IP Commencing: TCP 192.168.0.2:51310 > 207.46.66.42:80 2010/10/25 17:52:31: 45 00 00 34 35 b6 40 00 7f 06 f4 0a c0 a8 00 02 2010/10/25 17:52:31: cf 2e 42 2a c8 6e 00 50 ca a9 89 9f 00 00 00 00 2010/10/25 17:52:31: 80 02 20 00 60 0b 00 00 02 04 05 b4 01 03 03 02 2010/10/25 17:52:31: 01 01 04 02 2010/10/25 17:52:31: PP[01] Calling url.flat.foma.ne.jp with usb1 2010/10/25 17:52:31: [MOBILE] Signal Strength (0-3): 3 [|||] (usb1) 2010/10/25 17:52:31: USB[1] SEND [ATD*99***4#] 2010/10/25 17:52:31: USB[1] RECV [CONNECT] 2010/10/25 17:52:31: USB[1] Connected 2010/10/25 17:52:31: PP[01] SEND LCP ConfReq in STARTING 2010/10/25 17:52:31: ff 03 c0 21 01 01 00 0e 01 04 07 00 05 06 60 89 2010/10/25 17:52:31: 90 56
602 :
アノニマス :2010/10/25(月) 18:03:09 ID:PHErp9UC
2010/10/25 17:52:31: PP[01] RECV LCP ConfReq in REQSENT 2010/10/25 17:52:31: ff 03 c0 21 01 00 00 19 02 06 00 00 00 00 03 05 2010/10/25 17:52:31: c2 23 05 05 06 52 97 0f 81 07 02 08 02 2010/10/25 17:52:31: PP[01] SEND LCP ConfRej in REQSENT 2010/10/25 17:52:31: ff 03 c0 21 04 00 00 0e 02 06 00 00 00 00 07 02 2010/10/25 17:52:31: 08 02 2010/10/25 17:52:31: PP[01] RECV LCP ConfAck in REQSENT 2010/10/25 17:52:31: ff 03 c0 21 02 01 00 0e 01 04 07 00 05 06 60 89 2010/10/25 17:52:31: 90 56 2010/10/25 17:52:31: PP[01] RECV LCP ConfReq in ACKRCVD 2010/10/25 17:52:31: ff 03 c0 21 01 01 00 0f 03 05 c2 23 05 05 06 52 2010/10/25 17:52:31: 97 0f 81 2010/10/25 17:52:31: PP[01] SEND LCP ConfNak in ACKRCVD 2010/10/25 17:52:31: ff 03 c0 21 03 01 00 08 03 04 c0 23 2010/10/25 17:52:31: PP[01] RECV LCP ConfReq in ACKRCVD 2010/10/25 17:52:31: ff 03 c0 21 01 02 00 0e 03 04 c0 23 05 06 52 97 2010/10/25 17:52:31: 0f 81 2010/10/25 17:52:31: PP[01] SEND LCP ConfAck in ACKRCVD 2010/10/25 17:52:31: ff 03 c0 21 02 02 00 0e 03 04 c0 23 05 06 52 97 2010/10/25 17:52:31: 0f 81 2010/10/25 17:52:31: PP[01] SEND UPAP AuthReq in CS_CLOSED/SS_CLOSED 2010/10/25 17:52:31: ff 03 c0 23 01 01 00 0e 04 78 78 78 78 04 79 79 2010/10/25 17:52:31: 79 79 2010/10/25 17:52:31: PP[01] RECV LCP Discard in OPENED 2010/10/25 17:52:31: ff 03 c0 21 0b 03 00 08 52 97 0f 81 2010/10/25 17:52:31: PP[01] RECV UPAP AuthAck in CS_AUTHREQ/SS_CLOSED 2010/10/25 17:52:31: ff 03 c0 23 02 01 00 05 00 2010/10/25 17:52:31: PP[01] SEND IPCP ConfReq in STARTING
603 :
アノニマス :2010/10/25(月) 18:04:38 ID:PHErp9UC
2010/10/25 17:52:31: ff 03 80 21 01 01 00 16 03 06 00 00 00 00 81 06 2010/10/25 17:52:31: 00 00 00 00 83 06 00 00 00 00 2010/10/25 17:52:32: [DHCPD] Allocates 192.168.0.2: **:**:**:**:**:** 2010/10/25 17:52:32: PP[01] RECV IPCP ConfNak in REQSENT 2010/10/25 17:52:32: ff 03 80 21 03 01 00 1c 81 06 00 00 00 00 83 06 2010/10/25 17:52:32: 00 00 00 00 82 06 00 00 00 00 84 06 00 00 00 00 2010/10/25 17:52:32: PP[01] SEND IPCP ConfReq in REQSENT 2010/10/25 17:52:32: ff 03 80 21 01 02 00 22 03 06 00 00 00 00 81 06 2010/10/25 17:52:32: 00 00 00 00 82 06 00 00 00 00 83 06 00 00 00 00 2010/10/25 17:52:32: 84 06 00 00 00 00 2010/10/25 17:52:33: PP[01] RECV IPCP ConfNak in REQSENT 2010/10/25 17:52:33: ff 03 80 21 03 02 00 1c 81 06 00 00 00 00 83 06 2010/10/25 17:52:33: 00 00 00 00 82 06 00 00 00 00 84 06 00 00 00 00 2010/10/25 17:52:33: PP[01] RECV IPCP ConfReq in REQSENT 2010/10/25 17:52:33: ff 03 80 21 01 00 00 04 2010/10/25 17:52:33: PP[01] SEND IPCP ConfNak in REQSENT 2010/10/25 17:52:33: ff 03 80 21 03 00 00 0a 03 06 00 00 00 00 2010/10/25 17:52:33: PP[01] RECV IPCP ConfRej in REQSENT 2010/10/25 17:52:33: ff 03 80 21 04 02 00 10 82 06 00 00 00 00 84 06 2010/10/25 17:52:33: 00 00 00 00
604 :
アノニマス :2010/10/25(月) 18:06:04 ID:PHErp9UC
2010/10/25 17:52:33: PP[01] SEND IPCP ConfReq in REQSENT 2010/10/25 17:52:33: ff 03 80 21 01 03 00 16 03 06 00 00 00 00 81 06 2010/10/25 17:52:33: 00 00 00 00 83 06 00 00 00 00 2010/10/25 17:52:33: PP[01] RECV IPCP ConfReq in REQSENT 2010/10/25 17:52:33: ff 03 80 21 01 01 00 04 2010/10/25 17:52:33: PP[01] SEND IPCP ConfAck in REQSENT 2010/10/25 17:52:33: ff 03 80 21 02 01 00 04 2010/10/25 17:52:33: PP[01] RECV IPCP ConfNak in ACKSENT 2010/10/25 17:52:33: ff 03 80 21 03 03 00 16 03 06 6e 9e b5 9a 81 06 2010/10/25 17:52:33: dc 9f d4 c8 83 06 dc 9f d4 c9 2010/10/25 17:52:33: PP[01] SEND IPCP ConfReq in ACKSENT 2010/10/25 17:52:33: ff 03 80 21 01 04 00 16 03 06 6e 9e b5 9a 81 06 2010/10/25 17:52:33: dc 9f d4 c8 83 06 dc 9f d4 c9 2010/10/25 17:52:33: PP[01] RECV IPCP ConfAck in ACKSENT 2010/10/25 17:52:33: ff 03 80 21 02 04 00 16 03 06 6e 9e b5 9a 81 06 2010/10/25 17:52:33: dc 9f d4 c8 83 06 dc 9f d4 c9 2010/10/25 17:52:33: PP[01] PPP/IPCP up (Local: 110.158.181.154, Remote: None) 2010/10/25 17:52:34: PP[01] Local PP IP address 110.158.181.154 2010/10/25 17:52:34: PP[01] Remote PP IP address 0.0.0.0 2010/10/25 17:52:50: Login succeeded for HTTP: 192.168.0.2 2010/10/25 17:52:53: 'administrator' succeeded for HTTP: 192.168.0.2
デバッグよりも先に # show status pp 1
SRTを選択したのはどういう目的?
ブラックな会社だから予備知識なしにRTX2000設定変更しろと無茶言われる・・
基本わかってればRTもRTXもかわらん
609 :
アノニマス :2010/10/26(火) 08:09:51 ID:cbkLOdH5
>>605 レスありがとうございます。
# show status pp 1
PP[01]:
携帯端末は接続されています
接続先: url.flat.foma.ne.jp
発信側
通信時間: 33秒
受信: 26 回 [1652 オクテット]
送信: 64 回 [6219 オクテット]
累積時間: 33 秒
累積受信: 26 回 [1652 オクテット]
累積送信: 64 回 [6219 オクテット]
警告: None
累積時間監視(Total time):
制限までの時間: 3567 秒
累積データ量監視(Total length):
制限までのデータ量: 192129 オクテット
受信廃棄: 0 回 [0 オクテット]
送信廃棄: 0 回 [0 オクテット]
FCSエラー: 0 累計: 0
受信破棄: 0 キュー長: 0/20
送信破棄: 0 エラー: 0
PPPオプション
LCP Local: Magic-Number MRU, Remote: PAP Magic-Number
IPCP Local: IP-Address Primary-DNS(220.159.212.200) Secondary-DNS(220.159.2
12.201), Remote:
PP IP Address Local: 110.158.180.171, Remote: Unnumbered
CCP: None
送ったUserId: xxxx
610 :
アノニマス :2010/10/26(火) 08:12:06 ID:cbkLOdH5
>>607 SRTを選択したのはBB回線を引けないところでLANを組み、ネット環境を用意したかったからです。
普段はフレッツ光を引いてRT107eを使ってIPsecで接続しています。
センター側はRTX1000でこの2機種+RT52Pro(ISDN環境)は自分で設定しました。
SRTもコマンド入力でLAN2によるネット環境は構築できるのですが、
USBデータ通信カードではなぜかうまくいきません。
よろしくお願いします。
正常に接続してるみたいだよね IPアドレス直でpingは飛ぶの?
612 :
アノニマス :2010/10/26(火) 09:08:44 ID:cbkLOdH5
>ルーターより先には行けませんでした。 ではSRTからping確認をして問題ないなら推測どおりフィルタ辺りと判断できるんじゃない?
わからんかったら一度フィルタ無しで試してみ で、フィルタだったらログですべて出るようにしてどのフィルターで弾いてるかチェック
615 :
アノニマス :2010/10/26(火) 11:03:07 ID:cbkLOdH5
>>613 ・614
レスありがとうございます。
>>597 のとおりフィルタが無い状態で試してみてもダメでした。
このconfigでつながらないのは何か抜けているのでしょうか?
よくみたらビジネスmoperaなんだね ビジネスmoperaってping通すか疑問に思えた そっちの設定ってどうなの? 特定サイトのURLしか通さないとか設定あるッぽいし ルーターから接続って無理なのか対応してるのかわからんな
617 :
アノニマス :2010/10/26(火) 12:14:31 ID:cbkLOdH5
>>616 先ほどmopera Uに変更して試してみましたが、結果は同じでした。
pingは通るけど、Tracerouteは最後まで行かないことが多いです。
変化はpingが通るようになったって事? ping通れば大丈夫じゃないの? tracerouteは途中のサイトのポリシーで弾くところもあるし telnet 使える端末から ポート80なり叩いてみての挙動は?
619 :
アノニマス :2010/10/26(火) 14:23:42 ID:cbkLOdH5
すみません。もともとpingは通っていたようです。 外部、内部ともにtelnet使える端末からポート80に接続しても 内部(LAN1)からは黒い画面が出て無反応、外部からはすぐ切断?のような状態です。 LAN1からは名前の解決やpingがルーターより先には行けません。
えーとRTに入って直接外部のサーバーにping打つのも駄目なの? 220.159.212.200にはping通る? RTで nslookup 220.159.212.200 は帰ってくる?
621 :
アノニマス :2010/10/26(火) 15:36:01 ID:5HZPSMQs
pingもnslookupも返ってきました。 しかしすぐ切断されたり通信できなくなってしまいます。 色々試した結果、L-05AからL-02Aにするとなぜか安定して接続できるようになりました。 複数のL-05Aで試してみてもやっぱり安定しません。なぜだろう? とりあえず旧型のL-02Aで接続できました。 色々障害対応を教えていただきありがとうございます。 みなさん色々ありがとうございました。 これからパケットフィルタとIPsecの設定を打ち込みます。。。
>>621 付属の通信ツール(名前忘れた)、圧縮機能解除してる?
アドバイスお願いします
クライアントPC⇒会社ルータ⇒テストサーバーと接続するために
VPN環境を構築することになりました。
そこで下記のような設定を行うつもりなのですが
この設定で大丈夫でしょうか?
ip route クライアントのIP gateway tunnel 2
tunnel select 2
ipsec tunnel 102
ipsec sa policy 102 2 esp 3des-cbc md5-hmac
ipsec ike always-on 2 on
ipsec ike group 2 modp1024
ipsec ike local address 2 会社のルーターのIP
ipsec ike pre-shared-key 2 text itteyoshi
ipsec ike remote address 2 クライアントのIP
ip tunnel nat descriptor 3
tunnel enable 2
nat descriptor type 3 nat-masquerade
nat descriptor address outer 3 クライアントのIP
nat descriptor address inner 3 会社のネットワーク
ttp://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html ttp://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn1.html を参考に作りました。
すみません、使用機種はRTX2000です
一言良いですか? リモートアクセス(VPNクライアント)とLAN間接続(ルーター間)があるんですがかかれていない。 リモートアクセスぽっく感じるがipsecなら接続するアプリによって設定は異なるんじゃない?
>>625 IPsecでつなぐ予定です。
アプリはWindowsのローカルセキュリティーポリシーを使用します。
ちなみにクライアントからは
・固定のIPである
・ルーターではなく、PCがゲートウェイ
という情報しか頂いていません。
>>626 > ・固定のIPである
> ・ルーターではなく、PCがゲートウェイ
それぞれのIPが分かってないと、configのチェックはできない。
情報がまったく足りない。絵を描いてみて。どっち? どのIP?
・クライアントPC---PCルータ--…インターネット…--RTX2000---テストサーバー
・クライアントPC--…インターネット…---PCルータ--RTX2000---テストサーバー
>>627 クライアントPC---PCルータ(固定IP)--…インターネット…--RTX2000(固定IP)---テストサーバー(固定IP)
分かっているのはこんな感じです。
上司は相手のグローバルアドレスが分かればいいと言ってたので。
そのPCルーターもRTXにしちゃえよ
>>629 他所様の会社なのでできませんとマジレス。
何か他に必要な情報とかありますか?
他の会社と穴兄弟になるのかよ・・・
よそ様会社すぎてアドバイスなんてできんぞw その上司に経験があるなら素直に聞け
>>632 上司「マニュアル見て設定したなら大丈夫でしょう」
自信もっていいんですか?
いいんじゃない? RTXのIPsecとWindowsのローカルセキュリティーポリシーとやらが相互接続の実績があるなら 本格運用する気ならRTX対向にした方が故障や安定性や電気料考えてもいいと思うけどね
>>628 >>627 > クライアントPC---PCルータ(固定IP)--…インターネット…--RTX2000(固定IP)---テストサーバー(固定IP)
> 分かっているのはこんな感じです。
> 上司は相手のグローバルアドレスが分かればいいと言ってたので。
つまり、windowsサーバをルータにして、RTX2000とIPsecを張る気ですか。
試行錯誤が必要ですよ。
PCルータはお客さんの機材でしょ、自力で設定変更できますか?
623のconfigも怪しい。たとえば、"ip route クライアントのIP gateway tunnel 2"。
通常これは、対向ネットワークですが、現状不明です。
もし、クライアントPCとRTX2000でIPsecするつもりなら、
情報が足りてないというかその上司は分かってない。
試行錯誤の末、動作はするだろうけどやめとけ。お客さんに迷惑をかけます。
>>635 2000ならGUIの設定検証機能使えば?
あれ協力&簡単。
>>637 2000じゃなくて1000の機能ですね
1000は検証用で確保してるので試してみます
>>452 です。
やっぱり、どうやら、voipの多量パケットによるRTX1100のダウンだったのではないかと思いました。
VOIP装置の設置場所やネットワーク構成を変更して、RTX1100に流れ込むパケット量が半分になるようにしました。
そうすると、電話が切れることもなくなりました。
RTX1100は忙しすぎるとダウンするんだなって思いました。
あと、言い忘れました。 ファストパスで動作するように考慮しました。
パケット処理能力が重要なのはそのとおりだと思うけど スループットなんかよりもってどういうことだ
>>643 スマン。言い方が悪かったか。
きわめて限定された条件、
たとえばすべてが最小のショートパケット(64バイトだっけ?)の場合は、
スループットで優れていても、RTX1200の方が先に飽和するので、
100Mbpsが上限でもRTX1500の方が有利
って意味で書きたかった。
短いパケットばかりのVOIP通信については、 「パケット処理能力」でデバイスの能力を比較すべきということですね。 RTX1100 52kpps Rev.8.02.31 LAN1-LAN2 の双方向測定 ということですけど、これはもちろんファストパスだから、 LAN分割機能を使用していたらずっともっと能力が落ちてしまうんだろうな。 RTX1500の「パケット処理能力」は、なるほどrtx1100の4倍か。 で、RTX1100は100Mbit/s対応だから、対応表からスループットは、 100Mbit/sec (100BASE,FastEthernet)の通信速度における最大パケット処理能力(100%) 148,809 packets/sec、一秒間に14.8Kパケットということだな。 あれっ、これは、パケット処理能力の方がスループットよりも上回っていることになる? パケット処理能力:52kpps 100Mb/sのスループット:14.8kpps ppsって、パケットper秒のことですよね。 それから、スループットってパケットサイズには依存しないのですか。 スループットの定義では、packets/secという単位が使われている・・・
スイッチングハブもVOIPについてはパケット処理能力で考えることができるでしょうか。
http://buffalo.jp/products/catalog/network/lsw4-gt-8ns/index.html?p=spec には、製品の性能ではなく一般的なスループットしか書かれていません。
ルーティングを行うルーターしか、パケット処理能力という概念がないのでしょうか。
だとしたらスイッチングハブはスループット値だけが大切ということでしょうか。
VOIPでもなんでも御座れ、ただし、スループット以内でってことかな。
レイヤー2ではイーサフレームをワンパケットとしてカウントするのかな。
パケットの大きさは関係なくそれが入るフレームの個数をカウントする?
ところが、ルーターではレイヤ3でIPパケットのヘッダを扱う必要があるから、
パケット処理能力という概念が登場するってことかな。
>>646 両方パケット単位での処理だよしかし処理の仕方が大きく異なる
スイッチHUBはARP(MACアドレス)によって処理される
ルーターはIPのヘッダを解析する
ちなみにジャンボフレームにすると早くなると言うのはHUBの処理が早くなるのではなくPCなどの機器のヘッダ処理が減るので早くなるのです。
>>645 > それから、スループットってパケットサイズには依存しないのですか。
642のページをきちんと読もうよ
> ルータの「パケット処理能力」とは、どのような値ですか?
> 「パケットサイズが64バイトのスループット(Throughput)」のことを指します
でね、うちではVoIPのパケットは、G711を1通話 50pps、200kbpsとしてます。
双方向と安全率を考えて4倍にして、0.2kpps、0.8Mbpsぐらいにして
同時4chでお使いだからもっと大きくとっても、1kpps、4Mbps以下。
これ、RTA55iあたりでも全然大丈夫な数字でしょ?
ということで、453から皆さんがおっしゃってるように、
音声パケットじゃなく、どこか他が、おかしいです。
音声パケット量が半分になって切れなくなったとおっしゃっていますが
逆です。検知できる確率が半分になったから、切れても、分からなくなってるんです。
構成変更でほんとの原因がなくなってたら良いですね。再発しませんよう、お大事に。
スループットの意味がわかってない同士で会話してるからいらいらする
>> それから、スループットってパケットサイズには依存しないのですか。
>642のページをきちんと読もうよ
> ルータの「パケット処理能力」とは、どのような値ですか?
> 「パケットサイズが64バイトのスループット(Throughput)」のことを指します
だって答えになっていないもの。
>>648 って言っていることめちゃくちゃだよ
>パケットサイズが64バイトのスループット 128byteのパケットのスループットもあるし、 256byteのパケットのスループットもあるし、 1024byteのパケットのスループットも・・あるってことか。 つまり、スループットってパケットサイズに依存しているだな。
そうそう ジャンボフレームとかな
bpsよりppsって事だな
ppsって、ルーティング能力と言い換えてもオッケ?
スイッチでも使う単語だからルーティング能力と単純に置き換えるのはどうかと。 結局元に戻って「パケット処理能力」がもっとも適した言い方だと思う。
>>658 RTX1100で使えるかどうかは、営業戦略によるだろうな。
ISDNがなくなるのはまだ15年先だから、
すぐに対応は必要ないと思われる。
RTX1200で採用されたのも、すぐに必要だからと言うよりは
先端の機能を搭載して、差別化ではなかろうか。
そもそも光ネクストなら200Mbpsだから、RTX1100では生かし切れない。
そうなると、搭載せずに「RTX1200に買い換えてよ」って事になるんじゃなかろうか
番号制限については、そのリンク先を、ちゃんと読んでみなよ。
SRT100のパケット処理能力ってどれくらいなんだろうか? RTX1100程度はあるのかなぁ
諸先輩方 教えてください。 現在RTX12002台でFlet'sVPN WIDEのテスト環境を作ってテストをしています。 センター側となるRTX1200に複数固定IPでのISP接続でのインターネット接続を行い、拠点はVPNを介して接続する形にしました。 IPIPトンネリングを使って2拠点間を接続しています。 また、それぞれのRTXのLAN拡張分割を利用してLAN1をVLAN1 VLAN2と2つに分けました。それぞれのVLANには別々のグローバルIPアドレスを割り当てる予定です。 それぞれの拠点のVLAN1同士、VLAN2同士は通信させて、VLAN1とVLAN2間は通信しない形にしたいと思っています。 ただ拠点間通信はFlet'sVPNWIDEのトンネルが一本しかないのでVLANはすべて同じトンネルを通ります。 フィルタリングの設定でなんとかできるのでしょうか? いまいちinとoutが理解できず苦しんでいます。 それとも1本のトンネルでは無理なのでしょうか? 質問とは関係ないですが、Flet'sVPN WIDEめっちゃ早いですね。ネクスト同士で拠点間通信が320Mbpsでてます。 センタ側のインターネット速度が上下98Mbpsで拠点側は87Mbpsでした。(IPIPトンネル MTU1434)
ちょっと環境が想像できない。 文章を読むと VLAN1,2は別セグメントで2台RTXあるから合計4個のセグメントがあり。 其の4個のVLANにグローバルIPを付与する。 ってことだよね グローバルIPをトンネルで通信させる事って可能なの?というか意味あるの?
全然大丈夫。フィルタでそのままvlan間を制御すればいい。vlanのipはプライベートな。
VPNの設定を依頼され設定をするのですが
ttp://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/NET-G.html NET-Gのクライアントを使用するので上記のページを参考に設定しろといわれたのですが
ip lan1.1 address 自社業務用ネットワーク/24
ip lan1.3 address 自社サーバー公開用ネットワーク/28
ip route 自社の作業用IP gateway tunnel 1
ip route 相手のローカルネットワークアドレス gateway 相手のグローバルアドレス
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp aes-cbc md5-hmac
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike local address 1 自社ルーターアドレス
ipsec ike pre-shared-key 1 text itteyosi_vpn
ipsec ike remote address 1 any
ipsec ike remote name 1 omaemona_pc
tunnel enable 1
と設定しようと思ってます。
どこか間違っているところなどあるでしょうか?
すみません、使用目的は自社業務用サーバーに仮設してある テストサーバーへアクセスし作業してもらう為です。
たびたびスミマセン、使用機種はRTX2000になります。
なんでYAMAHAにきかないの?
仕事だろ?SIや販売会社に設定できる業者紹介してもらえよ・・・
>>668 予算下さいよ社長
てか
YAMAHAが全部教えてくれるの?
無料で?
サポートなのに無料が前提って・・・・・・ その時点で考え方がおかしいだろ
これって門外漢には、知恵と勇気で情報障壁を乗り切りましょうってブツだろ? よって、ネットワーク機器ヲタでもなく、業務でなんとかする必要があるんなら フツーにSI業者に依頼するか、ヤマハに有償サポートを依頼する事を勧める。 つよーく勧める。 by 門外漢
RTX1100を設定しています。 IPSec接続において、Phase2のLifetimeを設定してくださいと依頼を受けたのですが、 マニュアルにPase1とPhase2のLifetimeについて記述がないので、どのように設定していいのか解りません。 マニュアルには、SAの寿命の設定という項目があり、ipsec-sa と isakmp-sa との記述があるのですが、 これは Phase1 と Phase2 に対応するものなのでしょうか? どなたかご存知の方がいらしたら、教えてください。お願いします。
>>672 それで合ってると思うが、全く保証はできない。
くどいようだけど、マニュアル読んだ?
>>669 YAMAHAさんは親切だよ。
実績のあることなら大体教えてくれると思うよ。
config送って見てもらったりとか私はお世話になった。
もち無料でね。
上の質問ぐらいならタダじゃね?
675 :
あ :2010/11/10(水) 20:51:58 ID:???
サポート親切だけどクソ野郎がひとりいるがなww
>>664 まず試して駄目なところ聞いた方がいい
ここ見てる人間に
仕事でも無いのに漠然とconfig合ってるかどうか検証しろと?
適当にはい合ってますって言われたらそのまま設定して持ち込むの?
商用利用で教えて!2chw
Yamahaは親切だけど、住商は厳しいね。 あんなところに委託するなよ
679 :
あな :2010/11/13(土) 17:23:26 ID:???
住商に委託するからYAMAHAが親切になれるんだろ
>ああ、落ち着けない、休めるときはいつくるのか・・・ 雇用の継続性を維持する理由が提起されたとみるのがいいんジャマイカ。
>>681 たしかにそうなんだけどね。
いや、うーん、本当にそうなのかも。
ネットワークやコンピューター関係って、ほかの人から見れば、「現状維持」でかまわないと思うのかもしれないけど、
事に当たっている人(当事者)からみれば、追いつかなければならないことがたくさん見えているんだな。
サービスの現状維持するためには設備を時代に合わせていかなければいけない。
さもなければ、急に「サービス終了!」なんていわれて慌ててしまうことになるんだな・・・
意図して雇用の継続性を提示しなくても、
雇用の継続性は、こういう仕事では勝手に提起されるんだなあと思った。
>>682 まぁ、現場のつらさを理解してくれる客とか経営者とか、そうそう居ないから。
居ても、対価や経費などを考えると見て見ぬふりされちゃう運命なんだよな。
知識と経験って、インテルのチクタクルールと似て内科医?
技術の習得をしつつも、それは過去の経験がものを言い、
現場での実力発揮も、その基礎になる知識なしに自信持って出来るわけもなく、
常にどっちかに揺さぶられてる振り子のようだ、と思ってる。落ち着く瞬間なんて無いかも。
15年も先なら、最低でも2世代くらいは先の新製品が出てると思うけどな。 で、最近だとRTX1000がそうであったように、RTX1100/1500は生産終了して、 ファームウェア保守期間も終了だろう。
>>683 >まぁ、現場のつらさを理解してくれる客とか経営者とか、そうそう居ないから。
>居ても、対価や経費などを考えると見て見ぬふりされちゃう運命なんだよな。
そうなんですよ。
表面的なところしか見られないから、いかに苦労があるのかも想像されない。
でも「苦労したんですよ」と説くこともできないし、さりげなさを振舞う自分もある。
便利な時代になって、人々はすべては簡単だと考える傾向にあると思う。
こういうネットワークの仕事に対しても例外でなく、人々はなにか便利なボタンのようなものがあって
我々がそういうボタンをちょっと押している程度にしか思っていないのではないかと疑心を持ってしまう。
これは完全に愚痴になってしまいましたね。
次に何をすべきかが見えているのは今までの積み重ねがあるからですよね。
そういう視力を得てしまったからには次から次へとすべきことがやってきてしまうのかもしれないですね。
我々の周りで変化するチクとタクに、我々も共振してチクタク揺れつづける。
今日日本橋行ったんだが、あちこちの中古屋にRTX1000が大量に出てた。 NECのOEM版とかRTX1100も数台あって、合計30台ぐらいあったと思う。 値段は7,980円とかそこら。どっかのリプレースが一気に流れてきたんだろうか。
NTTの光回線を使ってのVPN構築について悩んでいます。
今、NTT西(東)のサービスで、「フレッツ・グループ」があります。
(参考)
http://flets-w.com/group/tokuchou/index.html そして、このサービスで拠点間接続ができるようです。
(参考)
http://netvolante.jp/solution/flets/term1.html ところが、うちではNGN回線を使っている拠点があるのでこれは使えません。(現在、Internet VPN)
このBフレッツでのみ利用できる上記の「フレッツ・グループ」は、NGNとの相互接続はできないようです。
NTTとしてはNGNへの移行を促進したいようなので、やはり「フレッツ・グループ」での、
BフレッツとNGNの相互接続サービスは待っていてももう提供されないでしょうか。
一方NGNでは「フレッツVPNワイド」という、NGNやBフレッツで利用できるサービスを提供されています。
これを使えばNGNとBフレッツとの相互接続は可能です。(月額2000円ほど)
今、これが私の環境でのひとつの選択肢です。
NGNサービスでは2011年4月以降に、NTT東/西の網内 IPv6 通信サービスが提供されるそうです。
これも「フレッツ・グループ」と同様に、NTTとしてはNGNへの移行を促進したいようなので、
BフレッツとNGNとの相互接続は提供されないでしょうか。
今、Bフレッツの世界と、NGNの世界とが分断されています。
唯一つなぎが、VPNワイドのようです。
これはもうNGNへ移行したほうが良いのかもしれないですかね。
皆さんはどうお考えでしょうか。
IPSexでイイジャン
>>688 答えてもいいけど、名刺交換して限度申請通ってからでいいかな?
提案書と見積もりの提出は。
>>691 そうなのですか。
ということは、BフレッツとNGNとの区別がなくなって、
2011年4月以降に提供されるNTT東/西の網内 IPv6 通信サービスで、
やがては相互接続可能になるということなのかな。
だとしたら遅いInternetVPNのまま我慢して待ってもいいかなあ。
結局フレッツVPNワイドだけになるって事でしょ
>>692 今までの700円のサービスが廃止になるだけ。
結局値上げって事ですよ。
ヤニ焚き爺どもの退職金でアップアップですからwww
「今までの700円のサービス」が、「フレッツVPNワイドだけになる」ってことかな。 で、「今までの700円のサービス」って、フレッツドットネットとか、フレッツグループのことだと思うわけですが、 「2011年4月以降に提供されるNTT東/西の網内 IPv6 通信サービス」がこれに代わるのではないのですか。 そして、それはただNGNでしか使用できないってことではないのかな。 あるいは、えっ、BフレッツとNGNとで使えるようになる?? だったら、フレッツVPNワイド要らない。
697 :
あ :2010/11/16(火) 16:00:17 ID:???
いまだに居るんだね フレッツ 光ネクストとNGNを混同してる人
>>697 NTTがアナログ機器を廃止するためにフレッツISDNやら
ISDNを廃止するために光プレミアムやら出してきて
本音を隠すために商品構成をごちゃごちゃにして
NTT社員でもよくわかってないのが現状でしょ?
初めは光プレミアムもYAMAHAのVPN張れなかったし、
そういう情報って最初はなかなかなかったからな。
いちいちNTTの商品群を追いかけられないってのはたくさいると思う。
東と西もあるし。
ま、あれだよ。 移行期にはよくあること。
で、フレッツ 光ネクストとNGNとは どう違うん?
NGNの一部ちゃうの?
>>697 どうちがうん?
697の言葉で語れよ
グローバル固定IP A.B.C.101〜A.B.C.110の10個を割り当てて貰っているんだけども LAN側に2つのセグメントを用意して一つはA.B.C.101、 もう一つのLAN側のセグメントはA.B.C.102を使って出て行くようにしたい。 ----- ip lan1 address 192.168.1.254/24 ip lan2 address A.B.C.101/24 ip lan2 nat descriptor 1 2 ip lan3 address 192.168.0.254/24 nat descriptor type 1 masquerade nat descriptor address outer 1 A.B.C.101 nat descriptor address inner 1 192.168.0.1-192.168.0.254 nat descriptor type 2 masquerade nat descriptor address outer 2 A.B.C.102 nat descriptor address inner 2 192.168.1.1-192.168.1.254 ---- とすると102で出て行くようにした192.168.1.0/24のセグメントが出られない状態です。 どのようにするといいでしょうか?
>>704 ip lan2 secondary address a.b.c.102/24
>>705 ありがとうございます
2つまでならそれでも可能ですが
固定IPを3つ以上使用となるとこの手は使えなくなりますね
>>704 固定IP10個のサービスって使ったことがないので環境が良くわかりませんが
固定IPは24ビットマスクで良いの?
>>707 ある団体ネットワークでA.B.C.0/24のIPのうち
10個が部屋に割り当てられている状態なので24ビットマスクでいいです
>>704 使えるかどうか分からんが。rtに、
loopbackをつけてproxyarpで応答し、
パケットを引っ張れたら、LAN2でmasqueradeする。
ip loopback2 address A.B.C.102/32
ip loopback3 address A.B.C.103/32
ip loopback4 address A.B.C.104/32
ip lan2 porxyarp on
RTX1000の設定についてなのですが、webサーバの公開がうまくいかなくて困っ ています。 LAN1:192.168.0.100/24 → LANポート1に上位ルータを接続(DMZ) webサーバ:192.168.0.200 → LAN1ポート2に接続 この状態で、上位ルータ経由でアクセスがあった場合、webサーバへ接続させた いのですが、 どのように設定したら良いでしょうか。 現在の設定は以下の通りです。 ip route default gateway 192.168.0.1 ip lan1 address 192.168.0.100/24 ip lan1 proxyarp on ip lan1 intrusion detection in on reject=on ip lan1 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.0.100 nat descriptor masquerade static 1 1 192.168.0.200 tcp 80
フィルターは以下のように設定しています。 ip filter source-route on ip filter directed-broadcast on ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1031 pass * 192.168.10.200 tcpflag=0x0002/0x0017 * www ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp ip filter dynamic 201 * 192.168.10.200 www
712 :
anonymous :2010/11/20(土) 17:21:59 ID:RGWfXxJa
nat descriptor address outer 1 192.168.0.100 これおかしいだろ PPPoEならデフォルトで違うならprimaryだろ
713 :
anonymous :2010/11/20(土) 17:26:13 ID:RGWfXxJa
ってよく見たらLAN1に両方刺さってるのか そしたらこの設定以外は何も要らないんじゃね? ip route default gateway 192.168.0.1 ip lan1 address 192.168.0.100/24
>>712-713 レスありがとうございます。
いろいろ試行錯誤の結果、以下の設定で意図する動きは実現できましたが、
webサーバ(apache)のログに記録されるアクセス元IPが全て上位ルータのIPに
なってしまいました。本来のアクセス元IPを記録させるにはどのような設定が
必要なのでしょうか。
ip route default gateway 192.168.0.1
ip lan1 address 192.168.0.100/24
ip lan1 proxyarp on
ip lan1 intrusion detection in on reject=on
ip lan1 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.0.100
nat descriptor masquerade static 1 1 192.168.0.200 tcp www
dns server 192.168.0.1
httpd service off
※filterの設定はしなくても、www以外は通さないようなので消しました。
※PPPoEではありません。
>>714 上位ルーターでNAPTをWAN→LAN(通常とは逆)で効かせていませんか?
ってそれは無いか
上位ルーターって何?どんなことしてるの?
>>710 >LAN1:192.168.0.100/24 → LANポート1に上位ルータを接続(DMZ)
>webサーバ:192.168.0.200 → LAN1ポート2に接続
紛らわしい!LAN分割機能を使っているわけではないのだね。
LANポート1とか、LAN1ポート2とか表記されているので、混乱した。
LAN1(192.168.0.100/24)に、webサーバ:192.168.0.200を接続という書き方で、オケ。
>>714 nat descriptor address outer 1 192.168.0.100
という記述があるからじゃないか。
削除すれば、ソースアドレスは、グローバルアドレスのままになるのでは?
>>716 の言うように、上位ルーターがどういう処理をしているのかはわからないが。
たぶん、このRTX全体が、DMZ領域に属しているのだね。
みなさん、レスありがとうございます。 上位ルータは家庭用ブロードバンドルータ(BL170HV)です。 これにポートマッピングをさせると、過負荷でフリーズしてしまうので、 DMZに置いたRTXに処理させるのが目的です。 >削除すれば、ソースアドレスは、グローバルアドレスのままになるのでは? 「nat descriptor address outer 1 192.168.0.100」を削除してみましたが、 webサーバへ回送されなくなってしまいました。 >上位ルーターでNAPTをWAN→LAN(通常とは逆)で効かせていませんか? IP変換は、通常のグローバルIP-ローカルIPのNATです。 その他、IP spoofingと、smurfの対策機能をONにしている以外は、 RTXをDMZにする設定のみです。(DMZのON/OFFとIPの設定しか項目がありません)
> webサーバ(apache)のログに記録されるアクセス元IPが全て上位ルータのIPに access.logの記録は、192.168.0.1ですか、それとも192.168.0.100ですか?
>>720 確認したら192.168.0.100でした。
722 :
anonymous :2010/11/21(日) 07:20:22 ID:rnv8zDkW
上位ルーターのDMZ設定をWebサーバーにすれば良いのでは?
>「nat descriptor address outer 1 192.168.0.100」を削除してみましたが、 >webサーバへ回送されなくなってしまいました。 はじめは、 1>nat descriptor type 1 masquerade 2>nat descriptor address outer 1 192.168.0.100 3>nat descriptor masquerade static 1 1 192.168.0.200 tcp www だったんだよね。で、ライン2を削除すると、 WEBサーバーへパケットがフォワードされなくなったんだね。 なら、ライン3のスタティックポートフォワードが効いていない状態なのでは? どうして効いていないのか。 RTXの上位にある家庭用ブロードバンドルータ(BL170HV)がどういう変換をして、 RTXへパケットを転送してきているのか調べる必要があるなあ。 つまり、 3>nat descriptor masquerade static 1 1 192.168.0.200 tcp www に合う形のパケットになっていないのではないのか。 あて先ポート番号が変換されてしまっているのではないか。 それから、まだわからないことが・・・ >上位ルータは家庭用ブロードバンドルータ(BL170HV)です。 >これにポートマッピングをさせると、過負荷でフリーズしてしまうので、 >DMZに置いたRTXに処理させるのが目的です。 上位ルーターって、インターネット側からのパケットを いじらずにただ素通りされているのですか? ポートマッピングって何? RTX.LAN-1(0.100)に、上位ルーターと、WEBサーバー(0.200)を接続しているのですよね。 うーん、いまいち、よくわからない。
>>721 BL170HVのDMZ機能は、webサーバのアドレスそのものへ向けて設定するべきものです。
また、DMZとは、その中のサーバに外部から直接アクセスさせるための論理的なエリアです。
上位でポートマッピングなりnatなり、あるいはサーバにグローバルを当てるなりします。
anonymous@Ff81IWNの場合、
BL170HVのDMZ機能で指定しているIPは、RTXのIP(192.168.0.100)。
RTXは、LAN1で受けて、静的IPマスカレード(ポートマッピング)で
webサーバ(192.168.0.200)へredirectするが、
送信時にIPマスカレードが掛かり、ソースアドレスがRTX(192.168.0.100)に書き換わる。
だから、webサーバ側のログでは、アクセス元がすべて192.168.0.100になる。ということです。
対策としては、
・722のいう通り、セキュリティ的にwebサーバとBLのフィルタを固くして、BLのDMZ機能で直接webサーバへ送るようにする
・BLを、RTXに置き換える
・レンタルサーバを使う
どうしても、BL170のDMZ機能と、RTXのポートマッピングを使いたいなら、
以下のようなかんじ。ややこしいから勧められない。
internet
|
(Global: hogehoge)
BL170HV (DMZ機能有効、IPは192.168.1.1向け)
(local: 192.168.1.100)
|
(lan2: 192.168.1.1)
RTX ポートマッピング(静的IPマスカレード、192.168.0.200向け)
(lan1: 192.168.0.1)
|
(192.168.0.200)
Web server
>>719 >上位ルータは家庭用ブロードバンドルータ(BL170HV)です。
>これにポートマッピングをさせると、過負荷でフリーズしてしまうので、
>DMZに置いたRTXに処理させるのが目的です。
グローバルアドレスをプライベートアドレスに書き換える、スタティックポートフォワードって、
ポートマッピングなんてされないのでは。
単なるアドレスの書き換えしかおこらない。
だから、BL170HVのDMZ機能で、RTXへ転送しても、
やっぱり、過負荷でBL170HVはダウンしちゃうんじゃないかな。
>>723 BL170HVのLANにRTXを繋いで、DMZとしてサーバに見立てて着信したパケットを
丸投げしてもらって、RTXでwww(80)だけをwebサーバに転送させたいのです。
ポートマッピングは、BL170HVの設定画面で、「ポートマッピング設定」となっ
ており、
以前は、tcp80をwebサーバに転送する設定をしていましたが、過負荷の為にこの
機能を
使い続けるのは難しいです。
>>724 >・722のいう通り、セキュリティ的にwebサーバとBLのフィルタを固くして、BL
のDMZ機能で直接webサーバへ送るようにする
Linixのiptablesがどこまで信用して良いのかが悩み所なので、ルータと2段でセ
キュリティを固めたいのが本音です。
>・BLを、RTXに置き換える
プロバイダ指定のルータ以外は接続してもIPを貰えません仕様のため、必ずBLを
通す必要が
あり置き換えはできません。
>・レンタルサーバを使う
サーバの負荷や容量、行っている処理等を考慮するとレンタルサーバでは難しい
です。
(費用を度外視すれば別ですが・・・)
>>725 ひかりマンションの為、変更は出来ないようです。
>>726 つまり、BL170HVを挟む限りは、何をやっても無駄という事でしょうか。
皆さんに頂いたレスを元に、もう少し頑張りたいと思いますが、
>>724 さんの勧
められない方法を
試してみて、ダメならプロバイダをFLETS系に変更して家庭用ルータを排除する
必要がありそうですね。
サーバたてちゃいけないプロバイダじゃないの?
> Linixのiptablesがどこまで信用して良いのかが悩み所なので、ルータと2段でセ > キュリティを固めたいのが本音です。 rtxのセキュリティにしたって、IPアドレスレベルのフィルタリングですから iptables とあんまり変わらないと思ってます。 むしろiptablesの方が、設定がめんどくさい分、細かく定義できた覚えがありますし、 それ以上に、linux側を弄って、使わないサービスを止めたり、きちんとupdateしたり、 綺麗なコードを書いたり、サニタイズしたり、ログを確保・点検したり、流量の傾向を把握したり まめにユーザとコンテンツをメンテすることが、多重防御という意味でも、重要です。 714の構成のままでできないかと考えました。configを一行追加。 nat descriptor address inner のところ、変換対象アドレスを明示的に指定します。 これで、変換対象が制限されますので、実質的にソースアドレスの書き換えが起きないはず。 ip route default gateway 192.168.0.1 ip lan1 address 192.168.0.100/24 ip lan1 nat descriptor 1 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.0.100 nat descriptor address inner 1 192.168.0.100 nat descriptor masquerade static 1 1 192.168.0.200 tcp www
731 :
anonymous :2010/11/21(日) 14:49:06 ID:rnv8zDkW
724さんの言うややこしい方法が結局一番シンプルで解り易いと思う 2段ルーターになるだけ
>>730 わざわざ有難うございます。
アドバイス頂いた通りに、
nat descriptor address inner 1 192.168.0.100
を追加設定してみましたが、webサーバへ転送されなくなってしまいました。
追加した inner の設定を消すと元通り、転送されるようになります。
>>731 そうですね、724さんの方法でチャレンジしてみます。
ひかりone RTX でググると トップ5個までに同じことやってるブログが出るけど、同じやり方じゃ駄目なのかな?
色々教えてやるなんて、おまえらずいぶん優しいんだな。
あらゆる意味でどこで自分に役立つかわからんからな
736 :
anonymous :2010/11/22(月) 08:31:13 ID:0+v66gss
情けは人の為ならずって言うだろ自分の為だよ
>>732 >nat descriptor address inner 1 192.168.0.100
>を追加設定してみましたが、webサーバへ転送されなくなってしまいました。
>追加した inner の設定を消すと元通り、転送されるようになります。
innerのIPを設定すると、そのIPが、NATの対象になって、
outerのIPに交換されて、NATの外へ吐き出される。
innerを設定することで192.168.0.100発のアドレスしかNATの対象にされなくなってしまったんだよ。
だから、グローバル発のパケットがWEBサーバー流れなくなったのではないか。
730氏の書きたかったのは nat descriptor address inner 1 192.168.0.100 192.168.0.200 と推測。
RTX1200のリビジョンアップ失敗してしまった。 web-guiの管理メニューから、httpリビジョンアップ実行して 10.01.24をダウンロード 再起動かかったものの、 bootしようとすると、Firmware Checksum Errorで起動しない。 メーカ修理意外にリカバリー方法ありますかね。
RTX1200持ってないからマニュアル(RTX1200用取扱説明書 2010/07/21版)見て書きこむけど、 ファームを上書きしないで二重化するようにしているなら、コンソール繋いで電源入れてEnter押すと 起動ファームを選べるみたいだけど、やってみた?
YAMAHAルータは起動不可の際にTFTPとかでサーバからファームウェアを 引っ張ってくるようなことはしないし、設定も出来ないんだっけ?
はい、それはやってみましたが、残念ながらbackupのfirmwareは保存されていませんでした。 httpリビジョンアップすると、"0"側に上書きする仕様のようです。
と言うことはコンソールで反応(コマンド入力できる)んだよね。 ならUSBとからファームのコピーできるんじゃ。
744 :
739 :2010/11/22(月) 19:21:32 ID:???
>>743 コンソールは単なるbootloaderで、firmとconfigを選択する機能しかないので
残念ながら無理っぽいですね。
USBとかTFTPとか試すだけ試してみたら
>>742 つまり、今まではfirmware 0だけで運用していて、firemware 1は空の状態というわけか・・・
初期値だとexternal-memory boot permit がonになってるらしいけど、
外部メモリにファームウェアのファイルを仕込んでおいて電源入れたらどうなるのかな?
(取扱説明書の5.1 起動プロセスの4番に該当)
そもそも3番が駄目ってことだろうから、無理かもしれないけどね
747 :
739 :2010/11/22(月) 19:56:28 ID:???
>>746 推測どおり、POWERランプ点滅のままなので何もおこりません。
内蔵ファーム起動しないと何もできないようですね。
修理にしたいと思います。ありがとうございました。
失敗したときの救済措置が無いってのは痛いよな。
業務用なんだから
>>741 の内容くらいはカバーして欲しいところだ。
webでファーム書き換えんな
750 :
739 :2010/11/22(月) 20:37:58 ID:???
>>748 そうですよね。ciscoルータなら、当然できるんですが・・・
>>749 勉強になりました
まあ、今回のことは教訓だよな。 ファームウェアのファイルは、予めダウンロードしておいてTFTPでの更新に勝るもの無し。 ファームウェア2重化機能は、折角付いているんだから使うようにしましょう。
メーカー行きだね、 CISCOならBreakキーとか復旧モードあるけどYAMAHAさんは聞いたことが無いね。
753 :
anonymous :2010/11/22(月) 21:00:22 ID:0+v66gss
これからは0にも1にもファームウェアを入れておけよ
お金高くなってもいいの?
何言ってんだ 価格そのままで機能だけ増やせよ
rtx1100を使っていますが、 ファームを、0だけでなく、1にも書き込むには、どういうtftpコマンドを投げればいいんだろうか。 現在、 # show exec list No. Revision ----- -------------------------------- * 0 Rev.8.03.88 ----- -------------------------------- となっています。
どうすればいいんだろうねー?
>>756 なーんだ、できた。
exec1っていう風に指定するだけだった。
show environmentしてCPUの負荷やメモリ使用量が多かった場合 原因の切り分けとして皆さんどうされてます? 私はnatテーブルでも使いきってんのか?と show nat descriptor address all をしてみます。 しかし、natが原因でなかった場合には、 手詰まりになってしまっています。 一体何が原因でCPUの負荷やメモリ使用量が多くなってしまうかのか 付きとめる方法はありませんか? (windowsのタスクマネージャーの様にプロセス毎の負荷が分かればいいのになぁ)
>>758 今読んであわてて
copy exec 0 1
を実行しました。
本当はファームアップやる前にこれやっておけばよいのですね。
>>759 公開サーバー用途かクライアント接続用途かで切り分け変わるんじゃないかな?
とりあえず。
・SYSLOGを常にどこかに保存しておく(詳細ログはCPU負荷が上がる必要に応じて有効にする)
・高負荷時ツールを使い全てのMIから値を取得し、正常なときのSNMPと比較する
・SNMPで各インターフェイスのトラフィックをグラフ化しておく
あたりかな?
でもルーターより、高トラフィックのクライアントが居ないかとかを調査した方が良いと思うんだけど。
MI→MIB
>>760 copyコマンドなんかあったんだ
知らんかった
RTXの「vlan」と「secondary address」の違いが良くわからないのですが、 実用上何か違いがあるのかどうか、わかる人がいたら教えてください。
764です。 YAMAHAのサイトに行ったら答えがでていました。 失礼しました。
まあよい
>>765 2chでは、質問後の自己解決については、
自己レスを行うこと。
よって、
・・失礼しました・・云々 は要らないので、
自己レスしてください。(参考となったページへのリンクを載せるなど。)
だな 2行にまとめて
YMS-VPN7での名前解決について質問させてください。 拠点:RTX1100 ノート:YMS-VPN7(OS:Windows7 Enterprise、FWはすべて無効で設定) 先日まで、ノートPCをXP Pro + YMS-VPN1の構成で、WillcomのPHSにて拠点への インターネットVPN接続を行っておりました。 この時点では、特に問題なく、接続できていました。 この構成を、PCのHWはそのままで、OSを前述のものにインストールし直し、それに 合わせてYMS-VPN7をインストールしました。また、光ポータブルを導入し、外出先 ではそれを利用して、インターネットVPN接続をすることにしました。 (光ポータブルによるインターネット接続は確認済みです。) YAMAHAのWebサイトを参考にしたり、YMS-VPN1の設定値の記録を見たりしながら なんとか、VPN接続でき、リモートデスクトップやファイルサーバへのアクセスができる ことは確認したのですが、名前解決ができません。 拠点にはADが構築済みで、DNSはドメインコントローラを指定しています。 そのDNSサーバへのpingは通ることを確認済みで、その他のサーバにもpingは通って います。ipアドレスを指定することで、リモートデスクトップや共有リソースへのアクセス はできるのですが、名前解決ができません。 nslookupでも、サーバが見つからないという状況です。 RTX側の設定は変更しておらず、YMS-VPN7の設定もDNSの値を入力済みで YMS-VPN1の時と設定を変えてはいません。 ただ、XPにYMS-VPN1を導入した当初にもこのような状態が発生したような記憶が あるのですが、正確には覚えていません。 まずは、このような状況なのですが、思い当たる原因などをご教示いただけると助かります。 よろしくお願いいたします。
>>769 同様の、YMS-VPN7で名前解決ができない件の報告が、9月にMLで上がってます。
"[rt100i-users 39260] YMS-VPN7 で DNS パケットが消える"です。
残念ながら、まだ未解決です。
YMS-VPN7で問題が生じるのだったら、ハードウェアであるRTXにも問題は生じないのだろうか。
773 :
ano :2010/11/27(土) 14:12:13 ID:???
>>769 ,770
KB951748
KB972036
KB970653
KB973874
クライアントにこの辺のアップデートが入ってるなら消して試してみてはどうだろうか。
同じソフトじゃないけど、同時期から名前解決ができない症状がチラホラ出てる。
一番上のアップデートが怪しい。
ちなみに消してから再度アップデートすると問題なかったりする。
レスありがとうございます。 ソフト側の問題なんですね。 パッチの件も試したいところですが、しばらくはアップデート待ちにします。 ありがとうございました。
スマートに解決したの珍しいなw
IPsec のIPcomp圧縮って役に立ってる? NATトラバーサルを使ってるから、使えないけど、 どの程度が分からないけど2割程度速くなるなら、 無理してNATトラバーサルなしで運用しようかなと。
>IPsec のIPcomp圧縮 圧縮なんてできるの? どんなコマンド?
rtproの方が早いだろw
780 :
778 :2010/12/05(日) 20:33:17 ID:???
rtproって単語自体を知らないんじゃないかと、 深慮遠謀の末に書いたモノだったんだが。。
781 :
anony :2010/12/05(日) 23:53:03 ID:???
>>781 情報ありがとうございます。
ファストパスが無効になったら圧縮する意味ないですね。
圧縮専用のチップなんかもあってファストパス有効になったらいいですね。
783 :
776 :2010/12/06(月) 23:34:55 ID:???
会社でRTX1500を使っているのですが、 最近、社内LANに繋がりづらいと苦情が出て来ました。 ネットワークの担当が辞めたので、 代わりに、にわかの自分が保守しているのですが、 RTX3000に、RTX1500と同じポートにLANケーブルを差し込んで、 同じ内容のコンフィグを書きこめば、 そのまま使えるでしょうか? 素人質問ですみませんが。。。
>>784 基本的には動くよ。
もちろん、1500にあって、3000にない機能はダメだけど。
だから、今のconfigをコマンドリファレンスと首っ引きで
調べるぐらいの努力は必要。
でも、社内LANの繋がりづらいっていう経路に
ルーターは関係あるの?
つまんない原因としては、ケーブルの劣化だったなんてこともあるよ。
その前になんで3000に変えるのかが不明なんだが
>>785 ご回答ありがとうございます。
1500のコンフィグと3000のコンフィグを
突き合わせて、問題がなければ
導入してみようかと思います。
>でも、社内LANの繋がりづらいっていう経路に
>ルーターは関係あるの?
ネットワーク構成図が無いので、
ルーターからHUBから、ひとつひとつ確認したのですが、
1Gイーサーでないのは、唯一RTX1500だったんですよ。
まずは、すべて1Gイーサーにしてから、
ボトルネックが無いようにしようかなと考えた次第です。
ケーブルやHUBの調子も、意識してみます。
ありがとうございます。
>>786 RTX1500の上位機種が3000だったので、
検討しておりました。
VPN網とMACアドレスでの端末の接続制限を行っているようなので、
今のコンフィグをそのまま利用できるものが良いかなと。
新しいことをして、失敗して、
社内のネットワークを止めるわけにはいきませんので。
ルータ変更は新しいことじゃないのか… なんか発想の根本から違うみたいだ
仮にそのRTX1500がWANへのゲートウェイになってると解釈して、 回線が1Gbpsでないのなら機種変更するだけ無駄なような気もする
ただのブリッジだったりしてなw 社内LANに繋がりづらい・・・ってときは(有線なら)まずDHCPを疑う
>ルータ変更は新しいことじゃないのか… コンフィグがそのまま継承できるなら、 他社製品などを買うよりは、 冒険しなくて済むと考えていたのですが。。。 >回線が1Gbpsでないのなら機種変更するだけ無駄なような気もする 光なので、1Gbps対応だと思います。 >社内LANに繋がりづらい・・・ってときは(有線なら)まずDHCPを疑う windows server 2003がDHCPサーバーなのですが、 そこがおかしくなっている可能性もありますか。。。
LANがおかしいのにゲートウェイいじるの? なんで?
> 最近、社内LANに繋がりづらいと苦情 この書き方だと、LAN内の通信のみがおかしいだけで、ネット接続は普通って読めるんだけど?
>LANがおかしいのにゲートウェイいじるの? 社内LANのルーティングで、 ボトルネックになってるんじゃないかと 思った次第です。 HUBは、1Gイーサーなのに、 ルーターが100Mイーサーでは、 社内の回線は、実質100Mイーサーなのではないかと。。。
>ネット接続は普通って読めるんだけど? WANにも社内イントラにも、アクセス出来なくなるのです。 もしくは、酷く遅くなったりします。
まずは、RTX1500が存在する状態で 何がどうおかしいのか、具体的に評価してみないと 骨折り損のくたびれもうけになるだけだと思われ
>何がどうおかしいのか、具体的に評価してみないと 時々繋がらなくなるという、なんとも厄介な現象が起きるのです。 LANケーブルの挿抜で、再び繋がったりするのですが。。。 ボトルネックになっているルーターの他にも、 LANケーブルの劣化やHUBの不調など、 原因を切り分けていきたいと思います。
じゃ補足。最近PCが増えてアドレスが不足してるとか、リース期間が適切じゃないとか。 あとユーザーのリテラシによるけど、野良HDCPサーバがいたりしない?
ブロードキャストストームとかケーブルがおかしいとか そっちの方を疑ってもいい状況かも。 ケーブルがどっかでループしてたりとかないのは確認しましたか?
>最近PCが増えてアドレスが不足してるとか、リース期間が適切じゃないとか。 一応、使えるIPアドレスの管理表がありまして、 その範囲内で使っていますが、 一斉に接続したことは無いので、 100台くらいのPCがネットワークに接続したら 回線がビジーになることもあるのかなと疑っています。 なので、スループットの大きいRTX3000を 検討しております。 >ケーブルがどっかでループしてたりとかないのは確認しましたか? ネットワーク構成図を描いているのですが、 調子の悪いPCの周辺のネットワークが、ループ構成になっていないのは 確認しました。 他の棟に伸びているケーブルは把握していません。 というか、出来ませんでした。
802 :
anon :2010/12/12(日) 14:16:56 ID:???
> 調子の悪いPCの周辺のネットワークが、ループ構成になっていないのは確認しました。 全体的に悪いんじゃなくて特定PCなの? ちなみにループになっている所がどこかにあれば影響はLAN全体に及びますよ
PCが100台あるなら、NATテーブルの枯渇かな・・・? RTX1500は4096だし もしそうであるなら、RTX3000は4万だから機種変更も手段としてはありだけど
804 :
785 :2010/12/12(日) 14:23:02 ID:???
> ネットワーク構成図が無いので、 > LANケーブルの挿抜で、再び繋がったりするのですが。。 このあたりに、疑問は持たないの? 構成図がなければ、面倒でも作った方が良い。 あんたが、当面保守するにしても、誰かに引き継ぐにしても、必要だろ? (俺もブロードキャストストームのような気がする) それに、ケーブルの挿抜で直るなら、ルーターじゃない気がするけど。 その調子が悪いときに、シリアルで、 show environment とか、 show status lan1 とかしてみた? それと、光でも100Mbpsのもある。 (昔は10Mbpsのもあった。) GbEにこだわっているみたいだけど、 RTX1500のポート間でルーティングをしているとか、 LAN1のハブにトラフィックが集中しているとかでない限り ルーターが100Mbpsなのは、関係ない気がする。
>>792 > 光なので、1Gbps対応だと思います。
思いますじゃ駄目でしょ
契約している回線の種類を確認してからでないと
どこかにウイルスやループがあるような気がしますが、 以下のコマンドを、2時間毎および現象発生時に show status lan1, show status lan2, show status lan3 show status pp 1, show nat descriptor address show environmentを取ってみて下さい。 取って並べてみれば、エラーが増えてるかもしれません。 逆に、どこかのHUBがおかしい、とかね。 私の周りで先日、ファンが(`皿´)ウゼーと報告があったので サーバまわりが壊れたのかと行ってみましたら、ギガハブでした。 LEDの状況は通常でしたから、現物の発熱とファンの異音がなければ 故障がわからなかったです。
色々とご回答ありがとうございます。 参考になります。 当面、自分が面倒を見ることになるので、 勉強しながらやっていこうと思います。 最後にお聞きしたいのですが、社内ネットワークの中で、 唯一の100Mイーサー機器である RTX1500をRTX3000に変えた場合、 WANのパフォーマンスは良くなると思うのですが、 社内ネットワークの改善も見込めるでしょうか? ルーターの性能が、社内ネットワークの改善には関係ないとなると 買い換えるまでも無いのかなと思いまして。。。 素人質問ですみませんが、ご助言頂けると助かります。
「繋がりづらい」ってDNS名前解決は正常?
>「繋がりづらい」ってDNS名前解決は正常? すみません。勉強不足で、どこを見れば 正常か異常か解りません。 本やネットを引いている所です。
そもそも繋がりづらいって具体的にどういうこと?
LANの抜差しで直るんでしょう。 DHCPかARPがおかしくなっているんじゃないの。 そこら辺にCISCOのCatalystとか業務用HUB(L2SW)あったりしない? CatalystはARP更新4時間だからLANポート変える場合とかは「arp -d」と打たないと4時間ぐらい繋がらなくなったりするよ
>そもそも繋がりづらいって具体的にどういうこと? 突然、ファイルサーバーにアクセス出来なくなります。 直接IPを叩くと、サーバーに繋がることもあるので、 DHCPとか、その辺りの問題かなとも思っているのですが、 いかんせん切り分けが出来ません。 なので、ルーターの性能をアップして、 問題解決が出来ればなと思っていました。 ちなみに、ワークグループでネットワークを構築しています。 ドメイン管理の方が良いらしいのですが、 いかんせん、引き継いだばかりで。。。 >そこら辺にCISCOのCatalystとか業務用HUB(L2SW)あったりしない? 今は家なので解りませんが、 高価な業務用HUBでは無いと思います。。。
814 :
あのにます :2010/12/12(日) 20:39:48 ID:???
>>813 > 直接IPを叩くと、サーバーに繋がることもあるので、
> DHCPとか、その辺りの問題かなとも思っているのですが、
それ、DHCPじゃなく、DNSでしょ。あ、でも
> ちなみに、ワークグループでネットワークを構築しています。
って書くくらいだから、WINSとかそっちの名前解決の話でしょうな。
>WINSとかそっちの名前解決の話でしょうな。 windows 2003 serverがDHCPサーバーの役割を持っていて、 PCをネットワークに接続するときは、 PCのMACアドレスとIPアドレスをルーターに書き込んで、 PC自体は、全て自動取得の設定にしています。 WINSなどの設定はいじらないのですが、 原因はWINSにもあるのでしょうか? それと、windows server 2003のCALが不足すると 接続できなくなるという記事も読んだので、 そちらも疑ってみようかと思います。
> windows server 2003のCALが不足すると Windows ServerのCAL(クライアントアクセスライセンス)って、リモートデスクトップのことじゃなかったっけ? 恐らく、今回のことには関係ないと思う。
>>816 自己レス&前言撤回
結構複雑みたいだね>CAL
818 :
800 :2010/12/12(日) 21:22:36 ID:???
あのさ、問題を切り分けようよ。 つながらないと遅いは根本的に違うでしょ。 あと、WANの問題とLANの問題も違うでしょ? > 突然、ファイルサーバーにアクセス出来なくなります。 このファイルサーバーはVPN接続なの? 特定のPCはつながって、他のは問題ないの? ファイルサーバーはPC名(NetBIOS名)かIPアドレス直接接続かどっち? \\192.168.1.2\xxx でつながるのならLAN内の名前解決の問題ですけど VPN越しのファイルサーバーならWINSとか使ってたりしらた また別の可能性もあるし… ただ、確かにつながったりつながらなかったりってのはやっかいで 私も他の人もブロードキャストストームかhubなどの機器の故障では? って思うわけです。 DHCPのリース期間を制限するのもいいと思います。 例 dhcp scope 1 192.168.0.101-192.168.0.125/24 expire 9:00 maxexpire 18:00 意味は調べて。コマンドリファレンスに載ってるから。 で、皆さん思ってるのは 今の状況でルーター変えても解決しないだろうな…ってことです。 そもそもワークグループ内のファイルサーバなんてルーター不要なんだし。 DHCPサーバもwindowsサーバーだったと思うし。 WANをどんな回線を使っているかわかりませんが 例えば光の100Mでも57iだろうと1200だろうと体感的には変わらない。 何十人がP2Pで動画ダウンロードしまくりとかなら知らないけど。
下手に慣れてると忘れがちだけど、OSI7層を下から順番に丁寧に追跡する調査が一番近道だわ
>あのさ、問題を切り分けようよ。 色々書いているうちに、わけが解らなくなってまして。。。 整理して書くと ・VPN接続もしていますが、繋がらなくなるのは社内ネットワークのノード。 ・繋がらなくなった時、LANケーブルの挿抜をすると繋がる。 ・NetBIOS名で繋がらなくなったとき、IPアドレスを直接入力すると繋がる。 ・DHCPサーバーとして、Windows server 2003を使用。 ・ルーターは、100MBイーサーのRTX1500で、HUBはほとんどが1GBイーサー対応 お話をお聞きする限り、DNSやDHCP辺りが怪しい雰囲気ですね。 そのワードで、色々と調べまわっております。 勉強が済むまで、社内ネットワークが生きていてくれれば良いのですが。。。 何はともあれ、有用な情報を、ありがとうございます。
> HUBはほとんどが1GBイーサー対応 100BASEのL2もあるってことか? ネゴシエーションは全部Autoになってる? 一部固定にしてあるとかそういうことはない?
>100BASEのL2もあるってことか? >ネゴシエーションは全部Autoになってる? 一部残っているので、 ルーターも含めて、全て1GBイーサーにすれば 改善するかなと思ってたところです。 オートネゴの設定は何も触っていませんが、 リンクアップはするので、気にしていませんでした。 その設定が影響するようであれば、説明書を引っ張ってみるつもりです。
>>818 氏の
> つながらないと遅いは根本的に違うでしょ。
> あと、WANの問題とLANの問題も違うでしょ?
が至極ごもっともな話だな。
今のままでは上位機種変更は徒労に終わる。
そもそも通信不能なのに、スループットだけ向上させても意味が無い。
なので、もう機種変更のことは考えから一切除外して、いまの設備のままでどうするかを考えるべき。
ファイルサーバーがつながらないんだからファイルサーバーがおかしいんじゃないの? ファイルサーバーがどんなのでどこにあるのかも書いてないから知らんけど
機種、OS、アプリ等を含めて構成図を書いてもらったほうがいいかもしれんな、これは。
例えば、ファイルサーバはLinux+Sambaなのか、Windows Serverなのか・・・とか。
今のところ一番まとまった書き方をしているのが
>>820 だけど、それでも
>>796 で書いていた
WAN側への通信も・・・の部分を書き漏らしているし。
本人が分かっていない以上、こちらは可能性を論じることしか出来ない。
それと、前任者が管理していたときは現象は発生していなかったし、苦情も無かったのかな?
貴方が担当し始めてから現象発生+苦情が出始めた?
みんな親切だなぁw
どこぞのスイッチが壊れかけてるに1票。F
今回は該当しないと思うけど、最近ありがちなのが、 仮想化したサーバと元の実サーバでMACアドレスが衝突してるケース パケット出したモン勝ちで、繋がったり切れたり原因に気付きにくい
もう少し詳しく 1.そもそも繋がらなくなると声が上がったのはファイルサーバにつながらないという話でok? 2.その障害が発生するときの発生規模(全社・特定拠点・特定部署・特定のPCなど) 3.障害発生時ファイルサーバ以外のたとえばWeb閲覧などは可能かどうか? 4.障害が発生するクライアントとファイルサーバは物理的に同一拠点? 5.同一拠点である場合同一のセグメント? 6.別セグメントである場合はそのセグメントをルーティングしているのはRTX1500?それとも別のルータやL3Switch?
この意味わからん ルーターに書き込んでってどういう意味? windows 2003 serverがDHCPサーバーの役割を持っていて、 PCをネットワークに接続するときは、 PCのMACアドレスとIPアドレスをルーターに書き込んで、 PC自体は、全て自動取得の設定にしています。
マッキーでメモしとくんじゃないの
832 :
m :2010/12/14(火) 11:33:36 ID:QrXZR0K1
RTX1100を、ただのPPTPサーバとして運用したいのですが サーバ→クライアントのパケットは通るのですが、 クライアント→サーバのパケットが通りません 何が悪いのか教えていただけないでしょうか 環境、設定は以下のとおりです [client:192.168.3.201]---internet---[ルータ:192.168.3.1]-RTX1100[192.168.3.101] ip routing on ip route default gateway 192.168.3.1 ip lan1 address 192.168.3.101/24 pp select anonymous pp bind tunnel1 pp auth request mschap pp auth username test1 test1 ppp ccp type mppe-any ip pp remote address pool 192.168.3.201-192.168.3.210 pptp service type server pp enable anonymous tunnel select 1 tunnel encapsulation pptp pptp tunnel disconnect time off tunnel enable 1 pptp service on
833 :
hage :2010/12/14(火) 11:40:19 ID:???
小出しちゃんは嫌われるよ filter と nat も出せ
834 :
hage :2010/12/14(火) 11:42:02 ID:???
あと proxyarp の辺
え、それでほんとに片側だけでもパケット通ってるの? つーかルータの設定もわからないとダメじゃね?
836 :
m :2010/12/14(火) 12:33:29 ID:QrXZR0K1
filterとnatは何も設定してないです。 ほんとにこの設定だけです。 ルータはPPTPパススルー対応で、1723とgreを開けてあります。
837 :
m :2010/12/14(火) 12:39:00 ID:QrXZR0K1
すみません、一部間違いがありました。 クライアント→サーバが通り、 サーバ→クライアントが通りません。逆でした。 ミラーポート付きのHubでサーバ側に届いて、サーバが応答(udp)していることは確認済みです。 その応答に対して、サーバ→クライアントがport unreachableになります。 何故かpingは通ります。
クライアントPCのファイアウォールの設定はOKなの?
839 :
あのにます :2010/12/14(火) 13:26:26 ID:???
>>832 [ルータ:192.168.3.1]なんて、質疑にとって不安定な要素がある限り
建設的な話は難しいかと。
840 :
hage :2010/12/14(火) 13:30:38 ID:???
トンネルは掘れていて、その中で ping が飛ばないのか そもそもトンネル自体が掘れていないのか
841 :
m :2010/12/14(火) 13:45:39 ID:QrXZR0K1
クライアントはiPhoneです。 ひかり電話のレジストを外からしようと思ってます。 LinuxのPPTPサーバでは成功済みなので、ルータの設定は問題ないと思っています。
でた、特殊な条件(環境)の後出し。 問題ないと思っています、のコンボ。 サーバが何サーバかも曖昧だし、こりゃ駄目だ。
さて解散、解散
844 :
m :2010/12/14(火) 14:05:47 ID:QrXZR0K1
トンネルは掘れていて、pingは双方で通ります。
834で触れられていますが、 ip lan1 proxyarp on でもしてみたらいかがでしょうか?
てめえ、やさしくしてりゃ付け上がりやがって! 素直にYAMAHAに聞けよ。親切だぞ! 解散
847 :
m :2010/12/14(火) 14:10:11 ID:QrXZR0K1
iPhoneはVPNのアイコンが表示され、エラーが出ていないので接続できているようです。 show logで見ても、PPTP Connectとなっています。 UDPはクライアント→サーバには届くのですが、 逆がport unreachableになります。
848 :
m :2010/12/14(火) 14:13:20 ID:QrXZR0K1
>>845 ありがとうございます。
今、ip lan1 proxyarp onにして再接続してみましたが、やっぱりダメでした。
素直にYAMAHAに聞いてみます。
仕事なら業者に出せばいいのに。その状態で何かしでかすより少々金使った方がいい 業者のconfig読めば勉強にもなるし
850 :
hage :2010/12/14(火) 14:22:22 ID:???
双方 ping が通るなら、ルーターとか、そーいうプロトコル層の問題じゃないだろ いったい、ナニが通らないと言ってるのか訳分からん。
ググッたら全く同じことやってるサイトが出てくるじゃん
トンネルは確立してるからYAMAHAは無罪
自宅サーバーでRTX1100を使い始めたのですが、アクセスを受け始めて数分でCPU使用率が100%になり、応答しなくなってしまいます。 現在LAN内のサーバー(192.168.0.12)にIPマスカレードで80番を転送しています。 アクセスは秒間100リクエストを超える程度なのですが、RTX1100では荷が重いのでしょうか? これまではPCをルーター化して使っていましたが、負荷が高くなってきたので専用品ならと思ってRTXに変えたのですが、このような症状のため困っています。 コンフィグや設定に問題ありましたらご教示お願いします。 ip route default gateway pp 1 ip filter source-route on ip filter directed-broadcast on ip lan1 address 192.168.0.1/24 pp select 1 pppoe use lan2 pp auth accept pap chap pp auth myname ID PASSWORD ppp lcp mru on 1454 ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type none ip pp mtu 1454 ip pp secure filter in 3000 ip pp secure filter out 3000 ip pp nat descriptor 1 pp enable 1
854 :
853 :2010/12/14(火) 19:51:00 ID:???
続きです。 ip filter 1010 reject * * udp,tcp 135 * ip filter 1011 reject * * udp,tcp * 135 ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 1014 reject * * udp,tcp 445 * ip filter 1015 reject * * udp,tcp * 445 ip filter 1020 reject 192.168.0.0/24 * ip filter 1030 pass * 192.168.0.0/24 icmp ip filter 1040 pass * 192.168.0.0/24 tcp * www ip filter 2000 reject * * ip filter 3000 pass * * ip filter dynamic 100 * * ftp ip filter dynamic 101 * * www ip filter dynamic 102 * * domain ip filter dynamic 103 * * smtp ip filter dynamic 104 * * pop3 ip filter dynamic 105 * * tcp ip filter dynamic 106 * * udp nat descriptor type 1 nat-masquerade nat descriptor timer 1 30 nat descriptor address outer 1 ipcp nat descriptor address inner 1 192.168.0.1-192.168.0.254 nat descriptor masquerade incoming 1 reject nat descriptor masquerade static 1 1 192.168.0.12 tcp www dhcp service server dhcp scope 1 192.168.0.50-192.168.0.254/24 dns server pp 1 dns private address spoof on
855 :
hage :2010/12/14(火) 20:25:09 ID:???
> ip pp secure filter in 3000 > ip pp secure filter out 3000 踏み台にされてるんじゃないのか
>>853-854 RTX1100の性能のことはさておき、
ip filter 1040 pass * 192.168.0.0/24 tcp * www
は、なんでサーバだけじゃなくてDHCPの範囲も含めて全端末にたいして穴を開けてるの?
ip filter 1031 pass * 192.168.0.12 tcpflag=0x0002/0x0017 * www
これでいいでしょ。
他はYAMAHAのソリューション例の通りみたいだから、まずは底を変更してみたら?
参考)
自社サーバを公開する
http://netvolante.jp/solution/int/case4.html
>>853 とりあえず、既に出ている指摘も勘案しながら
ログ取りしてみましょう。。
ip pp secure filter in 3000 ip pp secure filter out 3000 ・・・・・・
アタックだろうね、きっと。 ポート全開だから正にカモネギ。
ファイアウォールが効いてなくてIPマスカレードだけで防御している状態だろうな 世間にはそれで十分って言う奴もいることはいるが・・・
config見て吹いた、笑いすぎて腹いたい、もう駄目だ。
863 :
ano :2010/12/14(火) 20:48:15 ID:???
864 :
853 :2010/12/14(火) 20:56:04 ID:???
>>856 レスありがとうございます。ご指摘のように変更してみます。
ip filter 1040 pass * 192.168.0.12 tcpflag=0x0002/0x0017 * www
>>855 ,
>>858 ,
>>859 申し訳ありません。言い訳になりますがフィルタが重いのかと思って取り払った状態で試していたのをそのまま載せてしまいました。
実際にはこんな感じです。
ip pp secure filter in 1020 1030 1040 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
865 :
ano :2010/12/14(火) 21:03:44 ID:???
>>864 フィルタがないよりはある方が当然負荷は掛かるし
dynamicフィルタは結構コストが大きいかと。
本当にフィルタを外した状態でも100%になったなら
ログも取ってないみたいだし、NATテーブル枯渇くらいしか
自分は考えられない。
nat descriptor timer 1 30
してるみたいだけど、起動後
show nat descriptor address
の様子を連続して観察するとバリバリ増えてる感じ?
>ip filter 3000 pass * * >ip pp secure filter in 3000 >ip pp secure filter out 3000 >ip pp nat descriptor 1 ナットをはめているんなら、任意のポートを狙って攻撃できないよね。 接続元のポートだけが攻撃の可能性があるだけだ。 全開っていうほどのものじゃあないと思う。
867 :
853 :2010/12/14(火) 21:44:35 ID:???
>>865 レスありがとうございます。
コマンド実行の件ですが、まだ使いこなせないと言うことが分かったので
もっと勉強してからの方がいいと思い、現在は元のPCルーターに戻してしまいました。
そのため今のデータではないのですが、使っていたときにWebから開いた「PP1/LAN2 のNATの状態表示」を見るに
同じTTlのレコードが10〜20ほど、20秒の範囲中に240レコードほどありました。
868 :
hage :2010/12/14(火) 21:48:15 ID:???
>>866 侵入に関しては nat が防いでいるけど
踏み台としては無力
試しに、あの config で
show nat descriptor address
してみたら実態がわかるよ
>踏み台としては無力 IEなんかのブラウザが、ネットワーク越しにクラックされるってこと? それにしても、ナット越しに開いているポートをスキャンしなければならないので大変なのではないのかなあ。 あまり、現実的ではないようなと思うが。 >試しに、あの config で する気にはなれません。
>>869 UPnPもしらない屑がどうしてこのスレにいるんだろう?
>>867 nat descriptor type 1 nat-masquerade からして設定がおかしいでしょ。
グローバルIP一つなんだよね?
どこからコピペしたのか知らないけども。
コピペするなら
>>856 で示されてるアドレスのをコピペしたほうがいいよ。
その同じTTLのレコードは公開してるサーバ関連なの?別?
>>870 UPnPって、いっていることがよくわからない。
対応ルーターのポートを開く機能のことをいっているのだと思うが、
でも攻撃者にとってその意味があるのは、すでに踏み台にできたときだよね。
踏み台にするまでに必要な段階(ポートスキャン、ボルネラビリティーの利用)のことを今は言っているんだよ。
NATがあるんだから、攻撃者は任意のポートを攻撃できない。
NATで開いているポートへのアクセスについても、第三者が可能なわけではないし。
873 :
ano :2010/12/14(火) 23:13:35 ID:???
>>872 ブラウザでUPnPを使ったFlashを踏むか、LAN内が攻略されてないと無理なのにね。
現実離れした攻撃話をする人多すぎ。
LAN内のWebサーバー公開してるなら port80 攻略されると十分踏み台にはなるわな Webサーバーが必要な応答以外はフィルタリングするのもセキュリティ的に意味あると思うが・・・
875 :
ano :2010/12/15(水) 01:54:56 ID:???
>>874 意味があるかないかと言われれば、そりゃ意味はあるだろうさ。
そんなに簡単にウェブサーバが攻略されるという前提がどうして出てくるのか…
固定アドレスじゃなくて自動取得のアドレスに対して毎秒100アクセスか・・・ スキャンのような気がする
877 :
ano :2010/12/15(水) 01:58:45 ID:???
なんでもかんでも攻撃のせいにするの流行ってるの?
>>876 本人がリクエスト数を認識をしてるんだから、有意なアクセスなんでしょうに…
configの記述はともかく、NATが効いていたのは明白なわけで、 攻撃うんぬんは問題ないと仮定すると、単純にRTX1100にとって 100アクセス/秒は限界を超えているかどうか?って話になる訳だが……
>nat descriptor type 1 nat-masquerade なぜ、nat-masqueradeなの。 nat descriptor type 1 masquerade でよいのでは。
>>853 >アクセスは秒間100リクエストを超える程度
それは、どこからのアクセスでしょうか。
同じソースipですか?
それとも異なるipですか?
異なっているipなら、攻撃だとは考えられませんよね。
>>878 さんの言うように、
>100アクセス/秒は限界を超えているかどうか?って話
になりますよね。
秒間100アクセスって、やっぱりすごいんじゃないですか?
100秒たてば、10,000のリクエストに応えることになるわけで、
NAT処理でrtxがひぃひぃ言っているんじゃないかと。
そんなのログみりゃわかる話だ。 ここでgdgdやってても何も解決しない。 ところが本人はもうPCルータに戻して、1100にするつもりはないとか。 もう答えが出てるぞ
>>875 昔よりはかなりマシにはなってるけど
どのhttpdサーバープログラムも未知のバグが存在しないという保証も無いわけでもないし
人為的ミスや古いWindowsサーバーのIIS使ってるとか
未だにport80に対しての攻撃は多いしょ?
逆にWebサーバーが安全であるという前提の方がおかしくね?
セキュリティ考えるなら多層防御の考えは必要でしょ
883 :
ano :2010/12/15(水) 03:19:32 ID:???
>>882 サーバを公開している状態で、そのポートに対してルータでこれ以上何を防御しろと?
>>876 いちの子に、可変な自IPを名乗る怪しいパケットが外から飛んできて
NAT テーブルを食ってヨソに外出してたよ。
戻りのルーティングは通らないから、どっかに DoS 仕掛けに行ったんだよな
out 側に pass 192.168.0.0/16 * なフィルター付けて納まった。
(192.168.0.0/16を始点とするパケットのみpass)
ヤマハの公式サンプル config 程度では DoS の踏み台にされる。
外からやってくるパケットの始点アドレスは偽装されていると思え、ってことで 固定IPなら、自網に割り当てられているIPアドレスが、外から来たら弾けばいい。 (弾かないと平気で飛ばしてくるやつあり) 可変IPでも、その同じIPを始点として名乗るパケットが飛んで来やがる。 ISP が上位で弾かないのが糞なのかもしれないが。 (こんなナメたパケットがルーターにまで飛んでるうちのISPはEXCITE.BB)
>>883 かりに突破された場合でも
そのサーバーに対してのport80の応答パケットだけ外に出るように設定してれば
少なくても踏み台にされる事は無くなる
フィルタの適用も
>>864 とのことだから、NATの設定とport:80の受け入れ範囲以外は
>>856 の例と同様と見ていいだろうから
とりあえず問題なかろう。
YAMAHAも考えなしで例を公開しているわけではないだろうし。
結局ルータの問題で、動的フィルタをやめて静的フィルタに切り替えれば改善するのか?、もしくは最初に質問されている
通り、RTX1100では荷が重いので上位機種変更しかないのか?
30レスを重ねた結果、ふりだしに戻ったわけだ。
>>865 までで要素は出揃っていた。
職場のPCのWeb閲覧に関してはプロキシーを通したいけど、 RTX1500じゃ透過プロキシーみたいなことはできないよなぁ・・・
質問なら情報があいまいすぎ少なすぎ 独り言ならよそでやれ
SRT100使えよ
>>888 なぜか、RTX1500ではできないんだようなあ
RTX1100なら、URL FILTERで、できるけど。
うちは、業務で必要な許可するWEBサイトしか通さない。
ネットは、専用パソコンを使ってもらっている。
セキュリティーのためだ。しかたない。
892 :
sage :2010/12/15(水) 22:53:19 ID:???
>>892 ip stealth all
これだとLANからルータへのpingも弾かれるんで、WANにしているI/Fのみに限定した方がいいと思う。
LANからルータへのpingの使用頻度がどれだけあるかってのもあるけど、いざその時になったら
この設定のことを忘れてるんじゃないかな。
>>893 >ip stealth all
>これだとLANからルータへのpingも弾かれるんで
そんな便利なコマンドがあったなんて知らなかった!
私は、pingされるのを避けるために、
nat descriptor masquerade static 1 1 192.168.0.1 icmp として、いったんルーターへ通して
デフォルトフィルタではじいていましたよ。
895 :
853 :2010/12/16(木) 11:00:56 ID:???
>>867 ,
>>879 ご指摘ありがとうございます。今後使うときには↓に変更しようと思います。
nat descriptor type 1 masquerade
TTLのレコードはRTX1100で動かしていたときにたまたまWebのGUI画面からNATの状態表示画面を開いてあったので、そのページを元に出しました。
ですので公開していたサーバ関連のものです。
>>880 アクセスは異なるIPからで、Apacheのログを見ても同じURLへの連続アクセスがあったりするわけではないので通常のアクセスだと思います。
>>892 レスありがとうございます。PVで言うとその倍ぐらいはありますのでやはりきついのでしょうか。
コンフィグもセキュリティ的な問題はあるにしろ、そこまで重くなるような設定間違いはなさそうだとここに相談してみてわかったので
上位機種(1500か2000)への変更も視野に入れて検討したいと思います。(レンタルサーバーだとコスト的に心配なところが・・・)
皆さんご回答ありがとうございました。
トラフィック自体は間に合ってるの?
>>895 RTX2000は生産終了
RTX1500よりはスループットはRTX1200の方が上なので、
ショートパケットが多発する環境でなければRTX1200のほうがお勧め。
ただ症状的にはnatテーブルの枯渇のせいでルータがハングアップしているような気がします。
これが原因であればYAMAHAのルータとしては
RTX3000にしないとnatテーブルの上限値は変わりません。
show nat descriptor address したら、どうなってるんだ?
static NAT ってNAPTじゃ無いからNATテーブルって使わないのじゃないか?
900 :
897 :2010/12/16(木) 11:26:29 ID:???
訂正 natセッション数に関して RTX1100-> 4,096 RTX1500-> 4,096 RTX1200->20,000 RTX3000->40,000 よってコストパフォーマンス的にはRTX1200がお勧め 予算があるならRTX3000が安心
>>899 たしかにNATテーブル使わないみたいですね・・・
NATセッション数としてもStaticNATは関係ないのでしょうか?
もしこのあたり詳しいことが書かれているページがあれば教えていただけると助かります。
ググっても良く分からなかった・・・
とすると単純にCPU・メモリの能力不足ですかね。
だったら その時のステータスみればよくね?
>>897 >ショートパケットが多発する環境
ショートパケットって、よく聞くけど、これがわからない。
どういう環境で発生しますか。
>>899 >>901 ネット側からのリクエストは静的にポート80を通ってくるだろうけど、
HTTPってサーバーがクライアントに応答するとき、80以外のポートも使うので、
内側から外側への通信によってNATテーブルは消費されていくのだと思う。違う?
httpに詳しい人どうなっているの?
>>904 クライアントが60000番からパケット飛ばしてきたら
サーバー(80番)は、その60000番に返事を返す
そこら辺のセッション管理はサーバーの担当
内から外へは変換する必要ないっしょ?
>>903 一般的にはIP電話とかTV会議などの
リアルタイムに情報をやり取りする必要がある場合に発生するようですね。
どんどん情報を送っておかないとパソコンだと全く問題なくても
人間がIP電話やTV会議で話していると違和感が出てしまいますもんね。
908 :
901 :2010/12/16(木) 16:47:34 ID:???
私が今理解できていないと思われるのは NATテーブルの使用数=NATセッション数 なのかどうかと言うことです。 show nat descriptor address all としてあげればMasqueradeテーブルを何個使用中か確認できますよね。 (ここでも謎がwNATテーブル=MasqueradeテーブルでOKだよね?) staticだとTTLのところがstaticと表記されていてテーブルの使用数としてはカウントされていないようです。 NATテーブルの使用数=NATセッション数であるなら staticであればNATセッション数の上限(4,096など)には無関係 NATテーブルの使用数とNATセッション数が別物であるなら staticであっても実際にはNATセッション数を消費しているのかな?と・・・
>>908 タイムアウトという概念が存在しないんなら、その通りなんだが。
プライベート領域にあるwebサーバーからのパケットは、当然、 natにてソースIPアドレスがグローバルに書き換えられなければならないので処理がある。 スタティックNAT(=ポートフォワード)の設定でも、この処理は必要。 それから、webサーバーって、クライアントに応答するとき、 必ず、TCPポート80番をソースとして発しているのかな。 そうでなければ、いちいちNATテーブルが書き換わるのではないか。 NATテーブルどうなっていますか。膨大な量でしたか。
ふと思ったが、NAPTテーブルじゃ無くて、 FastPass用のフローテーブルが溢れてるって可能性無い? 100セッション/secで、継続的にアクセスされてる様だと、 結構簡単に溢れる気がするんだが・・・ FastPassのフローテーブルのログ参照するコマンドあったっけ?
RTX1000とYMS-VPN7って組み合わせは使えないのかな?
>>913 そっか、ありがとう。
YMS-VPN7の対応ルータに入っていなかったので。
販売終了しているルータだから載せてないだけなのかな。
サポートとかはしてもらえなくても使えるなら嬉しい。
早速体験版ダウンロードしてみます。
RT107e RTX1100 RTX1200 閉域網サービス用機能 タグVLAN、IPv6マルチキャスト(MLDv1、MLDv2、MLDプロキシ) RTX1500 閉域網サービス用機能 タグVLAN、IPv4マルチキャスト(IGMPv2、IGMPv3、IGMPプロキシ、PIM-SM) RTX3000 閉域網サービス用機能 タグVLAN、IPv4マルチキャスト(IGMPv2、IGMPv3、IGMPプロキシ、PIM-SM)、IPv6マルチキャスト(MLDv1、MLDv2、MLDプロキシ) このIPv4、IPv6マルチキャストって何?
>>915 とうとう、RTX1100で、光ネクストのデータコネクトサービス対応のファーム出たか!
と期待したのに。
rtx1200だけが、データコネクトに対応しても仕方がないんだよな。
うちはもうISDNからひかり電話に完全移行してしまいたいのに。
rtx1500の保守のためにisdn回線引っ張っているのはもったいないよ・・・
NVR500はスレチ? YAMAHAで1Gb対応がいいけど、3000はちょっとな処が使いそう
>>919 NVR500だって業務向けだろうよ
SOHOもビジネスだ
>>920 RT58iの流れをくむ物だから、
とりあえずあっちで良いんじゃね?
http://netvolante.jp/solution/int/case11.html ここではプロバイダAとBをLAN2とLAN3に分けていますが、
LAN2のみで複数プロバイダを設定した場合の設定例ってありますか?
ネットボランチの「複数のプロバイダに同時接続する」と
同様の設定です。
ローカルIPアドレスが
192.168.100.2ならプロバイダA
192.168.100.3ならプロバイダA
192.168.100.4ならプロバイダB
というように。
LAN3をLAN2にすればいいだけならその例で充分だろ
会社でRTX1200を使用しています。 昨日夜にRev.10.01.16からRev.10.01.24に変更しました。 昨日までは、Windows7のpptpで会社のRTX1200に接続できていました。 帰宅後、接続しようとするとユーザー名とパスワードを確認中の画面でとまります。 しばらくするとエラー619が表示されます。 試しに自宅のpcにfomaデータ通信カードを接続したところ接続できます。 自宅のルーターはRTX1200を使用しています。 同僚の家から接続を試してもらったところやはり、同じエラーが表示されます。 同僚の家のルーターは確かメルコの1万円くらいのルーターです。 同僚のWINDOWSも7です。 ファームウェアをあげる前までは、私も同僚も3ヶ月近く毎日接続できていました。 なにかデフォルトのセキュリティーが厳しくなったのかと思うのですが、よくわかりません。 FOMAデータ通信カードだと接続できていますが、ルーター越えになると接続できません。 自宅、同僚の家のルーターの設定は、一切変更していません 会社に戻ってcold startして設定も戻しましたが、自宅のルーター越えで接続すると 接続できません。 金曜日にyamahaに質問すればいいのですが、今日も社内に入る必要があるので 解決方法があれば教えてください。 show log reverse表示です。一部アドレスなどを変えています。 2010/12/23 01:52:07: TUNNEL[10] PPTP connection is closed: 118.1.51.xxx 2010/12/23 01:52:07: PP[ANONYMOUS01] PPTP Disconnected, cause [PPP: LCP Timeout] 2010/12/23 01:52:07: PP[ANONYMOUS01] PPTP Disconnecting, cause [PPP: LCP Timeout] 2010/12/23 01:52:07: PP[ANONYMOUS01] Give up establishing PPP/LCP in REQSENT 2010/12/23 01:52:06: ff 03 c0 21 04 08 00 0b 07 02 08 02 0d 03 06 2010/12/23 01:52:06: PP[ANONYMOUS01] SEND LCP ConfRej in REQSENT
ConfReqなどが、2秒間間隔くらいで続きますので一部省いています。 2010/12/23 01:52:06: 43 c3 07 02 08 02 0d 03 06 2010/12/23 01:52:06: ff 03 c0 21 01 08 00 15 01 04 05 78 05 06 49 13 2010/12/23 01:52:06: PP[ANONYMOUS01] RECV LCP ConfReq in REQSENT 2010/12/23 01:51:39: 43 c3 07 02 08 02 0d 03 06 2010/12/23 01:51:39: ff 03 c0 21 01 01 00 15 01 04 05 78 05 06 49 13 2010/12/23 01:51:39: PP[ANONYMOUS01] RECV LCP ConfReq in REQSENT 2010/12/23 01:51:37: ff 03 c0 21 04 00 00 0b 07 02 08 02 0d 03 06 2010/12/23 01:51:37: PP[ANONYMOUS01] SEND LCP ConfRej in REQSENT 2010/12/23 01:51:37: 43 c3 07 02 08 02 0d 03 06 2010/12/23 01:51:37: ff 03 c0 21 01 00 00 15 01 04 05 78 05 06 49 13 2010/12/23 01:51:37: PP[ANONYMOUS01] RECV LCP ConfReq in REQSENT 2010/12/23 01:51:37: 81 05 06 0b fe 97 36 2010/12/23 01:51:37: ff 03 c0 21 01 01 00 13 01 04 07 00 03 05 c2 23 2010/12/23 01:51:37: PP[ANONYMOUS01] SEND LCP ConfReq in STARTING
configになります。一部アドレスを変更しています。 ip route default gateway pp 1 ip route 192.168.55.0/24 gateway tunnel 1 ip lan1 address 192.168.100.1/24 ip lan1 secondary address 120.100.21.20/29 ip lan1 proxyarp on pp disable all pp select 1 pp name PRV/1/3/6/0/0/0:ocn pp keepalive interval 30 retry-interval=30 count=12 pp always-on on pppoe use lan2 pppoe auto disconnect off pp auth accept pap chap pp auth myname xxxxxxx.ocn.ne.jp xxxxxx ppp lcp mru on 1454 ppp ccp type none ip pp mtu 1454 ip pp secure filter in 100 101 102 103 200050 200060 200000 200001 200002 200003 200004 200020 200021 200022 200023 200024 200025 200030 200032 200040 200042 200051 200052 200053 200054 ip pp secure filter out 200050 200060 200010 200011 200012 200013 200014 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200098 200099 ip pp nat descriptor 1000 pp enable 1 pp select anonymous pp bind tunnel10-tunnel13 pp auth request mschap-v2 pp auth username test1 test1 192.168.100.120 pp auth username test2 test2 192.168.100.121 pp auth username test3 test3 192.168.100.122 pp auth username test4 test4 192.168.100.123 pp auth username test5 test5 192.168.100.124 pp auth username test6 test6 192.168.100.125
ppp ipcp ipaddress on ppp ipcp msext on ppp ccp type mppe-128 ip pp remote address pool 192.168.100.120-192.168.100.126 ip pp mtu 1280 pptp service type server pp enable anonymous no tunnel enable all tunnel select 1 ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 120.100.21.20 ipsec ike pre-shared-key 1 text xxxxxxxxxxxx ipsec ike remote address 1 any ipsec ike remote name 1 rtx1200ie key-id ip tunnel tcp mss limit auto tunnel enable 1 tunnel select 10 tunnel encapsulation pptp pptp keepalive use on pptp keepalive interval 30 20 tunnel enable 10 tunnel select 11 tunnel encapsulation pptp pptp keepalive use on pptp keepalive interval 30 20 tunnel enable 11 tunnel select 12 tunnel encapsulation pptp
pptp keepalive use on pptp keepalive interval 30 20 tunnel enable 12 tunnel select 13 tunnel encapsulation pptp pptp keepalive use on pptp keepalive interval 30 20 tunnel enable 13 ip filter 100 pass * 192.168.100.1 udp * 500 ip filter 101 pass * 192.168.100.1 esp ip filter 102 pass * 192.168.100.1 tcp * 1723 ip filter 103 pass * 192.168.100.1 gre * * ip filter 100000 reject * * udp,tcp 135 * ip filter 100001 reject * * udp,tcp * 135 ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm * ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm ip filter 100004 reject * * udp,tcp netbios_ssn * ip filter 100005 reject * * udp,tcp * netbios_ssn ip filter 100006 reject * * udp,tcp 445 * ip filter 100007 reject * * udp,tcp * 445 ip filter 100010 pass * 120.100.21.50 udp,tcp * * ip filter 100011 pass 120.100.21.50 * udp,tcp * * ip filter 100099 pass * * * * * ip filter 200000 reject 10.0.0.0/8 * * * * ip filter 200001 reject 172.16.0.0/12 * * * * ip filter 200002 reject 192.168.0.0/16 * * * * ip filter 200003 reject 192.168.100.0/24 * * * * ip filter 200004 reject 120.100.21.0/24 * * * * ip filter 200010 reject * 10.0.0.0/8 * * * ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * * ip filter 200013 reject * 192.168.100.0/24 * * * ip filter 200014 reject * 120.100.21.0/24 * * * ip filter 200020 reject * * udp,tcp 135 * ip filter 200021 reject * * udp,tcp * 135 ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn * ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn ip filter 200024 reject * * udp,tcp 445 * ip filter 200025 reject * * udp,tcp * 445 ip filter 200026 restrict * * tcpfin * www,21,nntp ip filter 200027 restrict * * tcprst * www,21,nntp ip filter 200030 pass * 192.168.100.0/24 icmp * * ip filter 200031 pass * 192.168.100.0/24 established * * ip filter 200032 pass * 192.168.100.0/24 tcp * ident ip filter 200033 pass * 192.168.100.0/24 tcp ftpdata * ip filter 200034 pass * 192.168.100.0/24 tcp,udp * domain ip filter 200035 pass * 192.168.100.0/24 udp domain * ip filter 200036 pass * 192.168.100.0/24 udp * ntp ip filter 200037 pass * 192.168.100.0/24 udp ntp * ip filter 200040 pass * 120.100.21.0/24 icmp * * ip filter 200041 pass * 120.100.21.0/24 established * * ip filter 200042 pass * 120.100.21.0/24 tcp * ident ip filter 200043 pass * 120.100.21.0/24 tcp ftpdata * ip filter 200044 pass * 120.100.21.0/24 tcp,udp * domain ip filter 200045 pass * 120.100.21.0/24 udp domain * ip filter 200046 pass * 120.100.21.0/24 udp * ntp ip filter 200047 pass * 120.100.21.0/24 udp ntp * ip filter 200050 pass * 120.100.21.21 * * www,https,135,5000-5100,5101,5102,5103 ip filter 200051 pass * 120.100.21.22 * * telnet,992,8470-8479 ip filter 200052 pass * 120.100.21.23 * * *
ip filter 200053 pass * 120.100.21.24 * * * ip filter 200054 pass * 120.100.21.25 * * * ip filter 200060 pass 120.100.21.21 * udp,tcp * * ip filter 200099 pass * * * * * ip filter 300000 pass 192.168.55.0/24 192.168.100.0/24 * * * ip filter 300001 pass 192.168.100.0/24 192.168.55.0/24 * * * ip filter 500000 restrict * * * * * ip filter dynamic 200080 * * ftp ip filter dynamic 200081 * * domain ip filter dynamic 200082 * * www ip filter dynamic 200083 * * smtp ip filter dynamic 200084 * * pop3 ip filter dynamic 200098 * * tcp ip filter dynamic 200099 * * udp nat descriptor log on nat descriptor type 1000 masquerade nat descriptor address outer 1000 120.100.21.20 nat descriptor address inner 1000 192.168.100.1-192.168.100.254 nat descriptor masquerade static 1000 1 192.168.100.1 udp 500 nat descriptor masquerade static 1000 2 192.168.100.1 esp nat descriptor masquerade static 1000 3 192.168.100.1 tcp 1723 nat descriptor masquerade static 1000 4 192.168.100.1 gre ipsec auto refresh on syslog host 192.168.100.250 syslog notice on syslog info on syslog debug on dhcp service server dhcp server rfc2131 compliant except remain-silent dhcp scope 1 192.168.100.2-192.168.100.30/24 gateway 192.168.100.1 expire 24:00
dns server 210.145.254.170 125.170.93.234 dns private address spoof on pptp service on httpd host lan1 sftpd host none statistics traffic off 以上、長いですが教えてください。
no tunnel enable all これでいいんだっけ? tunnel enable all でどう? だめなら ファーム戻してみたら? LCP Timeout クライアント側でフィルタしてるとか無い? show status pp anonymousは?
本当に、ファームアップのタイミングで接続できなくなったのだろうか。 rtx1200のあるセンター側の回線(ファイバ?)は正常なんだろうか。 それが保障されていないと、どうしようもない。 NTTを使っているのなら、工事情報があがっていないかも確認。 以前、私も何か作業した拍子に不具合が生じ、結局、NTT側の回線工事と重なってしまったということがありましたよ。 なぜか、そういうときに限って、別の要素が偶然に加味されてくる。 共時性だろうか。 rtxの設定さえ変えていなければ、ファームに不具合がない限り、それ以外に原因があると思うのだが。
> 924 1200の10.1.24は11月に出てるから、 つながらない致命的なのがあったら 既にここやMLで誰か報告を上げていておかしくないですけど サポートに投げるのがベターですね。 > 2010/12/23 01:51:37: 43 c3 07 02 08 02 0d 03 06 > 2010/12/23 01:51:37: PP[ANONYMOUS01] SEND LCP ConfRej in REQSENT 圧縮とコールバックでしょうか、ここがわかんないです。 windows側で、pppの設定の圧縮とコールバックあたり、 LCP拡張とかソフトウェア圧縮とかのチェックが ついていたりしませんか。ついてたら外してみて下さい。
>>932 >>933 >>934 結果として動作しました。
pptpはコネクトしているのですが、そこで失敗しているようでした。
ネットで検索すると
>>932 さんの言うとおりpptpクライアントがルーターを越えるときに
greと1723が通らないとだめとのことでした。
fomaデータ通信カードだと、グローバルが付与されるので普通に接続できていました。
私の自宅のrtx1200ではgreのみ通していなかったので通しました。
ip filter 2 pass * * gre
ip pp secure filter in 200000 200001 200002 200003 200008 200009 200010 200011 200012 200013 200014 200015 200016 1 2
同僚のルーターは、家に戻ってから試すそうです。
メルコのルーターで、ブラウザー設定画面で、pptpパススルーのチェックボックスをクリックするだけのようです。
ただ、今までそのような設定をしていなかったのに通信できていたことが不思議です。
自宅は会社とipsecでつなげているので、pptpで接続することはあまりありませんでした。
なので繋がっていたというのは、私の勘違いの可能性が高いです・・・・自信なしです。
同僚のルーターは間違いなくipsecでは接続設定していないのでpptpで接続しています。
何かフィルター等に穴がありそうなのでメーカーサポートに一度確認してみます。
今日自宅で使用していたrtx1200と会社のものを交換しましたが現象は同じでした。
現在のファームウェア
会社:Rev.10.01.16
自宅:Rev.10.01.24
お騒がせしました。
あとレスありがとうございました。
同僚の家のルーターはPPTPパススルーのチェックが元々ついていたそうです。 同僚の家からも入れたそうです。
お金がないんで、yamahaの有料クライアントソフト買えないです。 rtx1200と(windows linux)Shrew soft vpn clientを使用してipsecで使えている方いますか? 検索すると1件ヒットするのですが、ヘルプで見てもないパラメータが記載されています。
939 :
d :2010/12/26(日) 10:40:02 ID:???
>>937 それいいぞ
おれはipsecで使ってる
ヤマハではないが・・・
あの、私もタイムリーな質問させてください。 LINUX(CentOS 5)をIPsecのクライアントとして、 RTX1500とか、RTX1100とかに接続し、プライベートアドレスを取得しネットワークに参加させたいです。 その場合、対応のLINUXソフトウェアとして何を使うのがお勧めでしょうか。 RTXは、IPsec with L2TPの通信は可能でしょうか。 可能だったら情報がけっこうある、openswan with xl2tpd でやってみようかと思うのですが。 よろしくお願いします。
941 :
anonymous :2010/12/27(月) 10:36:35 ID:kGlZ14bu
Rev.8.03.82のリリースノート機能追加[2]にOpenswan対応があるがどうか?L2TPはダメだと思うが
>>941 [2] IPsecで、OpenswanをVPNクライアントとしXAUTHで接続する機能
ありますね。
でも、Oenswan単独ではだめですよね。
わざわざ openswan with xl2tpd なんてやっていますし。
RTX1000のPPTPサーバー機能はかなり遅いのですが RTX1200も同様でしょうか?
>>944 PPTPはいずれのシリーズでも汎用CPUで処理されている?ので遅いのでは。
946 :
hage :2010/12/27(月) 13:08:09 ID:???
1200あんならIPSec使えよ
>>943 勘違いしていました。
LINUXをクライアントにするなら、Openswanのみでいけそうです。
L2TPって、マイクロソフトのこだわりでした。
IPsecトンネルをまず張ってから、L2TPを張るのではなく、
IPsecだけでいいんですね。
RTX1100に高負荷を与えるとWAN側が切れます・・・ 設定が悪いのでしょうか?それともRTX1100の限界?? 高負荷:適当な言い方をするとブラウザで開いているみたいなものです。 これを1秒間に100サイトぐらいを巡回させている感じです。 年の瀬に申し訳ございませんがアドバイスを!
きみは「常識」というフィルタ装着が必要みたいだね。どっかに忘れてきたの? それとも、メーカーオプションだったから母親のおなかの中に忘れてきたのかな?
>>948 show environment
show nat descriptor address all
の数字ぐらいかけよ
高負荷と書いてる時点で自分で答えは解ってるだろ
複数拠点とのVPNがダウンしたので調査してみたところ、ある拠点AとのSAが大量に発行されていて他拠点とのSAが作れずことごとくダウンしていました。 8時間待つか、SAを全部消せば復旧するのですが、何がどうなってこうなってしまったのかわかりません。RTX同士なんですが、同じ障害を経験された方いましたらアドバイス頂けたらとおもいます。 SAが大量に発行された拠点Aと自拠点Bのコンフィグは下記になります。 # A拠点 ip route bbb.bbb.bbb.bbb gateway pp 1 tunnel select 1 description tunnel To_B ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 192.168.11.1 ipsec ike pre-shared-key 1 text ***** ipsec ike remote address 1 bbb.bbb.bbb.bbb ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1 # B拠点(自拠点) ip route aaa.aaa.aaa.aaa gateway pp 1 tunnel select 1 description tunnel To_A ipsec tunnel 1 ipsec sa policy 1 1 esp 3des-cbc md5-hmac ipsec ike keepalive use 1 on ipsec ike local address 1 172.16.1.1 ipsec ike pre-shared-key 1 text ***** ipsec ike remote address 1 aaa.aaa.aaa.aaa ip tunnel ospf area backbone ip tunnel tcp mss limit auto tunnel enable 1
>>954 該当時間帯に、拠点A側で、回線・PPPoE・網の障害が起きてた可能性はありませんか。
あしまわりの状態が悪いと、pppoeの切断・接続とともにsa再構築も頻発すると思います。
>>955 ご返信ありがとうございます。
Bフレッツを使っているんですが、該当日付近で目立った障害及び故障情報はありませんでした。
またプロバイダも同様に確認しましたが、こちらもやはりありませんでした。
show status pp 1 を確認したところ、切断されている形跡もありませんでした。
pppoeの切断・接続以外でSAが500個以上も発生するケースはあるのでしょうか。
自拠点・対向拠点ともにRTX1500のファームウェアRev.8.02.40を使っています。
他にお気づきの点があればお願い致します。
お教えいただけますと幸いです・・ アライド(AR550S、AR450S等)からYAMAHAに乗り換えました。 DESのみのサポートだったのとパフォーマンス改善のためです。 サーバーのある拠点(RTX1200)にRT107e5台とRTX12001台がIPsecでつないでいる状態。 サーバーがSQLで細かいパケットをたくさん受信して画面出力するようなシステムなのですが、 アライドよりもレスポンスが悪くなってしまいました・・・(T.T 大きなファイルを送受信する際には明らかに速くなりましたが、基幹システムが遅くなっては 意味ありません・・・ いまさらながらこのスレでRTX1500の方がパケット処理能力に優れることがわかったのですが この場合、発信側だけ1500にすれば幸せになれますか?
まずはシステムの稼働率が低い時間帯に ショートパケットでスループットや応答時間測るのが先決じゃまいか? 予備機を持っているならRTX1200同士使って WANの影響受けないローカル環境で同様の測定。 盲目的にRTX1500にしたって改善するかどうかわからんよ。
サポートにもメールしてみたら?
リクエスト数/Secとか明確にしないと問い合わせたところでFAQ的な解答しか来ないような
っていうかなぜシスコにしなかったw
っ IX
ご返信いただきまして、ありがとうございます。 >958 回線かわらずルーターを他メーカーに換えただけでレスポンスが1.5倍から2倍ほど 遅くなってしまった現状で、応答時間を計るのは意味ないと思ってます。 サーバーと同一セグメントのクライアントがWAN環境の5〜6倍の描画速度なので IPsec下でパケット処理能力に大きくが左右されるだろうという確信をしています。 >959 >960 とりあえずメールしてみます。 >961 ルーター設定の勉強をアライドでしてしまったためにシスコのコンフィグはパッと見 理解できず、設定例が多く、サポートのしっかりしているというYAMAHAにしました。 実際やりはじめたらYAMAHAの設定はアライドよりもすごく簡潔でわかりやすくて感動(T.T けど1世代前のアライドのルーターから最新RTX1200したのに、ここまで遅くなるとは想像できませんでした・・ >962 NECがいいでんでしょうか?
パケット処理能力に大きくが→パケット能力の大きさが いいでんでしょうか?→いいんでしょうか? 失礼しました(^^;
横レス&スレ汚し失礼
>>963 そのレスは格安で入手できるショートパケットを得意とする機器ってことで書かれたんだろうけど。。
他社製の機器間接続だから、絶対確実を求めるにはちょっとアレかもしれない。
リースアウト品が秋葉原やネットで格安で入手できるから、それを試しに使ってみますか?
但し、そういう安売り品で最新ファームウェアになっている場合は稀。
その入手がアレなんだけど。(公式サイトでオープンな配布は行われていない)
メーカが違うんで、configの文法というか作法が少し違う。
オクで落としても、今後の更新で最新ファームの配布が受けられないから一回きりの最新状態。
やっぱりYAMAHAを主軸として、IXは比較検証のための仮運用と割り切って入手すべき。
本気でIXを導入するなら、正規ルートでそれなりのお布施を払わないとイケナイ。
ファームウェアの点でヤマハにかなりの分がある。
RTX1100とか、rtx1500って、NGNのIPv6に対応しているのでしょうか。 rtx1200なら、対応してデータコネクトというサービスも受けられるらしいのですけど。
公式みてIPv6対応書いてればNGNだろうがOK データコネクトはIPv6関係ないっしょ
かなり古い機種でも、IPv6は対応している。 たぶん、ブロードバンドで使用できる機種は(LANポートが2以上ある機種) 全部対応しているんじゃないかな。 yamahaのサイトをざっと見てきたけど、ネットボランチならRT60w以降、 業務機ならRT140以降の機種は対応しているみたい。 でもデータコネクトへの対応は、いまのところRTX1200のみ。 現行のRTXとNVRぐらいはファームアップで対応して欲しいと思う人は多いだろな。
RTX1200です。久々にconfigを覗いてみると見覚えがない dhcp server rfc2131 compliant except remain-silent なる一文が追加されていました。 これは、この前のファームウェアのアップデートで追加 されたのでしょうかねぇ。 皆さんの所はどうですか?
>>967 >>968 ありがとうございます。
なんでも、2011年からNGN閉域網でIPv6が使えるようになると雑誌で読んで、
だったら、IPv6をつかってVPNが通せるのではないかと思ったところです。
光ネクストとか、フレッツ光とかが使えるなら、その基本料金だけでVPNが通るってことですよね。
それとも、IPv6アドレスをもらうためには料金が必要になるのですか。
データコネクトはRTXの設定がめちゃくちゃになって対向と不通になっていても、
フレッツが接続されてさえいればコントロールできるやつです。
これは、IPv6とは無関係なのですか。
>>969 仕事で数台買ってるが、どれもデフォで入ってたと思うが
>>963 SQLって、そんなにショートパケット出すものなの?
そもそもクライアント側のソフトの設計がおかしくないか?
常識的に考えて、クライアントからサーバへSQL文を渡す際に、
クライアント側でバッファしてサーバへ一括で渡せば、
ショートパケットが頻発すること自体ないと思うけど。
クライアント側のソフトの改修するのが吉じゃないかな。
それとも、
>>963 のシステムは高トランザクションが頻発するシステムなのかな?
それなら、VPN&パケット転送性能がいいNW機器は必要かもしれない。
これって1500だけ? ショートパケットのルーティング性能を大幅強化し、 ハードウェア処理で高速VPN(IPsec)も実現 ショートパケット(64バイト〜)は管理用ヘッダーの比率が高くなります。ロングパケット(〜1518バイト)に比べてルーティング性能が低下する傾向がありますが、 RTX1500ではショートパケットのルーティング性能を大幅に強化し、これを解消しました。双方向でのショートパケットのスループットを高速化し(*1)、IP電話、 TV会議などショートパケットを利用したソリューションニーズに対応しました。さらに、DES/3DES/AESの暗号処理をハードウェア化し、 ワイヤースピードを実現(*2)。高いセキュリティレベルを維持した高速ブロードバンドネットワークの構築が可能です。
974 :
あのにます :2011/01/10(月) 09:58:20 ID:???
本人がパケット処理能力に難ありと確信してるっていうんだからそれでいいじゃんか それに描画速度がどうのっていわれてもなぁ・・・
RDP使った方が幸せになれそうなパターンだよね
NGNのIPv6を使ってvpn通している人っていますか?
>>979 NGNってフレッツ閉域網での話か?
光ネクストってまだフレッツ.NETみたいなサービス
やってないよね?
(NTTはやるって言ってるぽいが、本当にやるかどうかは・・・)
通常のBフレ+フレッツ.NetでIPsec over ipv6なら使ってる。
YmahaじゃなくてNEC IXでだけど。
981 :
anonymous :2011/01/11(火) 10:12:13 ID:VEdFzaZ3
NGNってこのアプリを通すってやり取りをSIPでしないとダメだからSIPと連携したVPNアプリが必要
通信技術板に書き込みできるほどネットワークに詳しくないのですが RT107eのIPSEC通信に関する質問なのでこちらに書き込みさせていただきます。 RT107eを2台もらったので私と知人の家、変動IPの拠点間VPN通信を構築しようと思っています。 知人宅がYAHOOBBなのでDNSネーム問題はグーグルの8.8.8.8でなんとか解決しやっとのことで ネットワーク接続が出来る状態に持ってきました。 さて、IPSEC接続の方法なのですが、IPが固定されていないので名前で識別できるように 双方のルーターに同じように 認証鍵「key」、自分の名前を通知するにチェックして「name」、名前で識別「name」 その他の経路「192.168.200.0」 と入力してみたのですが、どちらのルーターのIPsec通信状態も「未接続」となってしまいます。 程度が低い質問というのは重々承知していますが 私たちはどのあたりを間違えているのでしょうか?
>>982 名前ベースのって片方が固定IPアドレスじゃないと駄目じゃなかったっけ?
netvolante DNS使っては駄目なの?
しかし107を貰う時代なのか・・・
985 :
hage :2011/01/11(火) 11:04:26 ID:???
両方可変でもオッケーで 片方が netvolante DNS してれば最低限は大丈夫なはず
986 :
あのにます :2011/01/11(火) 13:51:38 ID:???
>>982 デフォルト値の違いで、他社の機器をつなぐときは苦労することもあるが、
同じYAMAHA同士なら、そんなに難しくないはず。
まずは、名前解決ができているかどうかの確認。
ping 相手のURLで通るかどうか。
トンネルの設定値の確認
暗号化方式が同じかどうか。パスフレーズがあっているか。
フィルター、経路の確認
epsとポート500のudpを通すようになっているか。
静的NATでそれらをルーターに割り当てているか。
ルーティングの経路は設定されているか。
フィルターで、はまっているときは、いったん全部通過させてみる。
っていうかRT107eはIPsecもWEB設定できるんだっけ。
それなら、たいていのことは自動的にやってくれそうな気はするが。
以前、フレッツISDN同士で、どっちも動的IPアドレスで
netvoranteDNSで名前解決をして、IPsecしてたことがあるんで、不可能では無いはず。
まさか、「自分ちがCATVでプライベートIPアドレスでした」なんて落ちじゃないよな?
>>981 それは、データコネクトなんじゃないの。
データコネクトではsipを使うけど、
ネイティブにIPv6が使えるようになれば、NGN内は自由に散歩できるらしいね。
今、なんか知らないけど、もめているらしい。
料金を取るとかとらないとかで。ネイティブ方式が採用決定でオッケー?
989 :
ano :2011/01/11(火) 15:19:08 ID:???
>>988 > YahooBBが絡むと厄介なようです。
関係ないと思う。
> ネットボランチDNSホストアドレスサービスの設定にもエラーが出てしまいますし、
前の所有者が別の名前で既に登録済みとか、色々原因は考えられるけど
エラーの内容とか分からないから、これ以上はなんとも。
まずはネットボランチDNSを登録してからだな
994 :
アノニマス :2011/01/11(火) 16:52:34 ID:xdCMg+I0
RT107eならWebでネットボランチDNSの設定をしてみる。
YAHOOってDHCPで割り当ててるの? RTにグローバルアドレス割当たってるよね? netvolante-dns get hostname list lan2 で現在登録してるの見れると思う netvolante-dns hostname host lan2 hogehoge netvolante-dns go lan2 でhogehogeを登録できると思う
996 :
hage :2011/01/11(火) 17:16:31 ID:???
ヤフーモデムは純粋にモデムなのか それともルーターが入ってるのか
情報が小出しで分かりにくいですが。 トリオモデムのNAT無効は必須ですね。 この状態でRT107eがグローバルアドレスを取得しているかどうか確認してください。 グローバルアドレスを取得できていないなら一度トリオモデムとRT107eの電源を落とし 再起動してみてください。 グローバルアドレスを取得できているにもかかわらず 「ネットボランチDNSサーバの名前解決に失敗しました。 」となるのであれば、 nslookup netvolante-dns.netvolante.jp してみてください。 解決できないようであればRT107eにDNSを手動で設定してみてください。
乙カレー
ボンカレー
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。