YAMAHA業務向けルーター運用構築スレッドPart9
>>21 同意。
LinuxのISOイメージを落とすとか、トップスピードはRTX1200は速いが、
普段使いは、RTX1500の方が快適。
個人的には、RTV700の後継機種も希望。
家庭用のひかり電話をS/T点で収容したい。
23 :
hage:2011/01/17(月) 20:08:08 ID:???
さすがに S/T点 は需要すくないだろ
NVR500にIPSec積んだ程度でいい
アナログポートは4つくらい欲しいがw
漏れはファクシミリや営業用の番号のためにINS64使ってるんだけどな・・・
>>24 isdnはもうすぐサービス自体が終わる。
FAXはひかり電話でも使える。
>>22 ひかり電話をS/T点で収容
なんのために?
sipは?
INSは消える運命だろ
光電話の多チャンネルでカバーできるし安くね?
27 :
24:2011/01/17(月) 20:38:11 ID:???
光なんか来てないんだな・・・山奥っていうほどでもないんだが
xDSLはある。農協系のが。
28 :
22:2011/01/17(月) 22:00:04 ID:???
>>23,25
うちの方はけっこう需要あるんだけどなぁ。
どこもかしこも最新のビジネスホンがあって、直収できる訳じゃない。
通話手段として、アナログと比べるとISDNはけっこう優秀なんで、
ちょっと田舎、特に光が未通の地域では、よく使われている。
それで、光が開通したから電話も、ひかり電話にしようかと言うことになるけど、
同時にビジネスホンも交換できるほど、余裕のあるところばかりじゃない。
だから、S/T点収容できれば(U点でもいいんだけど)既存設備のままで使える。
特に多番号の場合は、ダイヤルインを使えば、相手にその番号で通知されるのは
メリットが大きい。
アナログのモデムダイヤルインは、鳴り分けはできても通知されるのは、回線番号のみ。
ひかり電話もビジネスタイプなら、NTTのVGとかS/T点出しの機器もあるんだけど、
家庭用のひかり電話のは、ないんだよなぁ。(俺が知らないだけ?)
将来的にはISDNを含めてメタル線は消えるんだろうけど、まだ10年先の話だ。
確かに隙間商品程度しかならないのかもしれないけど、
今後10年なら、それなりに需要がありそうな気がするんだけどなぁ。
>>28 >ひかり電話もビジネスタイプなら、NTTのVGとかS/T点出しの機器もある
ひかりネクストで使う、光でんわオフィスとかだったら、S/T点出しだったなあ。
私は、いまだに、SIP出しgwを求めてさまよっていますが。
あー、しまったー。
ここが、ASTERISKスレだと勘違いしちまった!
>>23 NVR500にIPSec追加ファームとかで+1万ぐらいで売ればいいのにね
>>32 そんなに単純じゃないだろ。
それなら、暗号化が全部ソフトウェア処理だから、
ろくなスピードが出ない。
センター側じゃないしそこそこのスピードは出るでしょ
少なくともPPTPよりも出ればいいし
昔のは暗号処理ハードウェア積んでそこそこ動いてる
今のNVRのCPUなら100Mいかんくても末端回線ぐらいで使うには
不都合無いレベルだと思うけど
昔のは暗号処理ハードウェア積んで無くてもそこそこ動いてる
の間違い
>28
逆TA
38 :
24:2011/01/19(水) 08:02:09 ID:???
>>37 たとえば、アレクソンのHDS5000ってのがある。
>>36 とりあえず手軽なんだけど、疑似ISDNだと
ダイヤルインで発番通知ができないのは同じ。
ひかり電話のアダプタ側でS/T点を実装してくれないと実現できない。
正直なところ、ルーターに望む機能じゃあないのはわかってる。
電話機能だけ独立したものでも良い。
でも、YAMAHAは過去RTV700というIP電話をS/T点で出す機器があったし、後継を望む声もある。
今現在(おそらく唯一)レンタル品以外のひかり電話アダプタ内蔵機器を出している。
だから、「出してくれないかなぁ。欲しいんだけどなぁ」というぼやきだ。
39 :
hage:2011/01/19(水) 08:32:55 ID:???
光でんわ ----- HDS5000 ----- RTV700 ----- ISDNビジネスホン
で使ってるけど、HDS5000 が糞だからなぁ
ビジホンのISDN外線ボード捨ててアナログ外線ボードにしようかか迷ってる。
>YAMAHAは過去RTV700というIP電話をS/T点で出す機器があったし、後継を望む声もある。
>今現在(おそらく唯一)レンタル品以外のひかり電話アダプタ内蔵機器を出している
ヤマハのRT58iでしょ。市販品で、ひかり電話アナログアダプタになるのはこれくらいだよね。
41 :
:2011/01/22(土) 07:43:54 ID:???
>>18 ヤマハの歴史
・最初は輸入ピアノの修理→楽器関係作る
・楽器やってた流れで電子楽器も作る→DSPも作る
・DSPを他に利用しようとして→ルータ作る
という流れで、楽器、電子機器、ネットワーク関係の製品を作るようになった。
じゃ、なんで発動機や家具とかも作ってるかというと、
・ピアノの修理で木工のノウハウが溜まる→家具を作る→住宅設備も作る
・戦時中に軍から「家具作ってるんだから木製のプロペラ作れるだろ」といわれて戦闘機のプロペラ作る→ついでにエンジンも作る
・エンジン作ったから→バイクも作る
・エンジン作ったから→船も作る→船体作るのにFRPを作る
・FRPを利用して→ウォータスライダー→ついでにプールも作る
>>40 いや、NVR500のつもりで書いたんだけど。
ホームゲートウェイにレジストできる機器は、たくさんあるでしょ。
そうでなくて、直接WAN側へ向いてひかり電話に対応している機器、
つまり、ホームゲートウェイと入れ替えて使える機器は、
いまのところNVR500が唯一だろうと言うこと。
だけど、追加番号には対応していないし、SIP機器レジストして使えないし、
電話機能としてはNTTのレンタル機器に比べて非常に劣っている。
その辺はファームのアップデートでウンタラカンタラってのがあったような気がしたな。
現状だとNVR500のひかり電話直レジ機能はSOHO環境でも使い道が無い。
その前に直レジって認められてるのか?
Asteriskとかでもやってる人はいるみたいだけど。
44 :
hage:2011/01/22(土) 21:21:57 ID:???
>>42 >SIP機器レジストして使えない
ほんと?
RT58i のように、SIP鯖(ひかり電話のHGWなど)にレジストできないの??
RTX1100をググってるとアナログ録画TVをVPNで見てるって内容を見たんですが、
PT2とかで録画したTSファイルとかでも再生可能ですかね?
こちらの環境はコミュファ100M&ケーブル160Mです。ローカルネットワークで
再生時は1Gbpsリンク時に瞬間最大5%平均2.5%の使用率です。
単純計算で50Mbpsが必要だから難しいですかね?
プロバイダー次第
47 :
42:2011/01/23(日) 08:07:29 ID:???
>>44 すまん。助詞が抜けてるな。
そういう使い方はできる。
HGWみたいに、自身がSIP鯖になることができない。
公式には何も書いてないけど、以前MLで中の人が言っていた。
余談だが、HGWにレジストして使うのは、もっと前の機種でも可能。
57i、56v、55iは実際にRT-S300SEにつないで使ったことがある。
48 :
45:2011/01/23(日) 16:08:51 ID:???
やっぱりな回答で、、、回線に影響されるのは分かるんで、
RTX1100の性能としての質問です。
RTX1100の性能、100M回線速度両方とも際どいところかな?
ルータの性能はともかく、回線速度は今までの経験でだんだん改善されていくので、
機器の性能上問題なければ試してみたい次第で。
近くの店でrtx1100が5250円で売っているのです。
49 :
root:2011/01/23(日) 17:47:06 ID:???
ダメならヤフオクで転売すれば良いんじゃね?
52 :
root:2011/01/23(日) 18:44:54 ID:???
53 :
あ:2011/01/23(日) 21:44:59 ID:???
>>48 やっぱりも何も、試してみれば良いのでは?
このスレッド的に「PT2」とか「TS再生」とか書かれると
他所でやれって言いたくなる。
RTX1100が5250円で売ってる店教えれ
55 :
45:2011/01/24(月) 02:20:32 ID:???
>>53 すいません。じゃ質問のしかたを変えて、VPNの速度をググッてたんですが、
1100でスピード出なくて、1200に変えたら速度出たって内容があったんです。
そーゆー経験された方います?シロート的にはギガ回線にしなければ性能的に
あまり変わらないと思ってるんです。
1100は名古屋の店ですが、同じように1200とかも時間とともに安くなるんじゃないかと、、、
>>43 >その前に直レジって認められてるのか?
ヤマハがNTTから認証を受けているのではないの。
RT58iも直レジできるんじゃなかった?
>>48 >近くの店でrtx1100が5250円で売っている
落雷で、ISDNポートが使えないとか、何かあるんじゃと思えてしまう。
安すぎるよね。
ソースで語りあえると、話がまとまって良いですよねぇ
59 :
hage:2011/01/26(水) 18:59:30 ID:???
>>57 RTX1100って1000と一緒で
確かデフォルトでIP振られてなくない?
だとしたら動作確認不能でジャンク扱いなのかもしれない。
欲しいなら基本的に買いだろ。
ジャンク品でなければおかしければ返品できるでしょ?
61 :
48:2011/01/26(水) 21:24:58 ID:???
煽られて11002つ買ってきました。ジャンクと書いてないです。
値段は在庫の関係かと、まだ10台ぐらいあるので、、、
思うにRTXなんて、シロートが触るもんじゃないし、会社で使うなら新品だろーし、
安いからってバカバカ売れるもんじゃないからの金額では?
初期設定しようとコンソール接続したんですが、接続できずビビりましたが、初期化したら無事
接続できました。コンソール接続拒否の設定だったんですかね??
この店、コンソールケーブル付属で1万弱、通販8千円台で売ってます。
1200ほしいw
>>48さんの話が気になって調べてみたら、
RTX1100の中古相場10000円切ってるみたいですね。
9800円で売ってる店いっぱい見つかってビックリした。
>>61 1100がその金額なら、ウチにも1台欲しいなぁ(\5,250-)。
先日 \15,000 で、「やす〜」 と思い買ったばかりでございます。
rtx1100の賞味期限は?
質問があります。
(1)RTXのマスカレードについて
nat descriptor masquerade コマンドでPPインタフェースに自動ナットを設定します。
プライベートアドレス発のudp/tcpパケットは、ここでグローバルアドレスに変換されます。
質問はこれの逆変換、すなわち返信パケットの処理のされ方についてです。
逆変換には、どのような情報がチェックされているのでしょうか。
変換後のグローバルソースとしての適当なudp/tcpポートと、変換前のプライベートアドレスとポートとの紐付けは必須ですが、
ここではターゲットIPも管理されているのでしょうか。
すなわち、そうすることによって、ターゲットIP以外からのパケットの逆変換は受け付けないのでしょうか。
あるいは、ターゲットIPは管理されていなくて、
NATテーブルが有効の間は、任意の発信元パケットも逆変換されるのでしょうか。
(2)ダイナミックフィルタについて
ダイナミックフィルタでは、動的に作成されるパスフィルタ情報には、
トリガとなった相手先IPアドレスも含み、それ以外のIPをソースとしたパケットは通過させないと思うのですが、
これは正しいでしょうか。
よろしくお願いします。
>>67 (1)
NAPTで保存する情報
相手アドレス、ポート
LANアドレス、ポート
変換したポート
逆変換は 相手アドレス、ポート、変換したポート
が一致したら 送り先アドレスと送り先ポートを変更する。
(2)
ダイナミックフィルターには遮断する機能は無い。
元アドレス、元ポート、先アドレス、先ポート
が一致したら透過する。
69 :
haha:2011/01/27(木) 14:19:17 ID:???
>>61 自分の必要な分を既に確保済みなら、どこの店か、教えてよ
>>68 ありがとうございます。
なるほど。
1)RTXのmasqueradeは、逆変換時に相手側IPとポートも監視しているわけですね。
厳密に相手のパケットのみが逆変換を受けて内側に通すわけですね。
わかりました。
これならフィルタなしでmasqueradeだけでもセキュリティーは確保できそうです。
2)ダイナミックフィルタには遮断機能がないことは了解しています。
スタティックフィルタに先立って動的にパスフィルタを作ってくれますね。
これもトリガパケットの通過時に、相手先アドレスとポートが登録管理されて、
この相手先からのパケットのみを一時的に通過させるのだとわかりました。
ありがとうございました。
10-buyerの餌食になるから絶対書くな
供給量を増やして少しでも相場を崩してくれるなら、
>>61がテンバイヤーでも大歓迎
74 :
45:2011/01/27(木) 21:59:18 ID:???
自分的にもrtx1100仲間が増えるのは大歓迎です。名古屋で通販ありで分かると思います。
値崩れ方向なので転売さんにもあまりおいしくないのでは??
yamahaルータはネット上の情報が多い+中古買う人に優しいサポート(ファームアップにネットボランチなど)
が利点だと思います。
ところでRTXでIPアドレス2つ設定できますよね?
CATVですが、モデムの下にHUBでルータ二つ繋ぐとグローバルアドレス2つ取れるんですよ。
LAN2にモデム、LAN1,LAN3に別のグローバルアドレス振りたいです。
固定IP2つの設定まねしてIPアドレス自動取得ですかね?
LAN2とLAN3をHUBにつなぐだろ?
lan3の、プライマリ、セカンダリ、にDHCP設定は?
77 :
anonymous:2011/01/28(金) 09:32:01 ID:yLdbzWu4
二つ取った所で経路設定どうすんだ?
>>74 LAN1はVLANあるんだから
75さんの方法で出来るでしょう
>>77 NATマスカレードを設けて、フィルタ型ゲートウェイを、default gateway filterで登録するんじゃない。
でも、LANインターフェースに、セカンダリを設定した場合、ここにもナットかけられんだろうか。
>>79 セカンダリには、NATかけられないみたいだね。コマンドがでないわ。
ということは、
>>75が正解だね。
>>78 でも、LAN1のポート分割つかったら、ファストパスは効かなくなるよね。
スループットが低下する。
CATVだからファーストパスあってもなくても変わんないんじゃないかと
>>74 特定した!
電話したら残り1台で、それすら「売約済」だって
ヤフオク概ね8500前後だから
8000即決で売り捌けたぞ、きっと
ここは、業務ルーターの運用スレッドであって、
業務運営スレッドではありません・・・
rtx1100でandoroid(GALAXY S)とのPPTP接続実績ってありますか?
>>85 RT58iとIS01(5VPNっていうソフトを利用)でなら、利用したことがある。
PPTPなら、ネットボランチもRTXもソフトウェア処理だから、
たぶん同じだろうとは思う。
フレッツベーシックタイプと、rtx1500を使っています。
ppインターフェイスに動的フィルタを設置していますが、
これをはずせば、ファストパス処理になると思います。
動的フィルタありで、radishによる通信速度測定によると、20Mb/s出ました。
動的フィルタをはずして、マスカレードと静的フィルタだけにすると、どのくらい変わってくるのでしょうか。
外してみればいいじゃない
>>88 内側向け静的フィルタは全ブロックにして、
動的フィルタで通過できるようにしている状況ですけど、
マスカレードだけでも安全ですかねえ。
>>all
どうされているんですか?動的フィルタ使ってますか。
rtxシリーズで、rtx自身による名前解決処理において、
実際の通信で使用されるppインターフェイスがランダムに選ばれ、
default gatewayを無視する問題があったように思います。
もう解決されていますか。
IPsec用のppインターフェイスを設置し、ここでは不必要な通信を遮断していました。
デフォルトgatewayとして設定したppインターフェイスを使わずに名前解決処理が行われるらしく、
ひどい目にあいました。
リーカーシブ設定のrtxがわざわざ、デフォルトゲートウェイのPPではなく、IPsec用に設定しているppを通ろうとするのです。
IPsec用のppインターフェイスでは行きは通れても、返答パケットが通過できないので、名前解決ができなくなってしまいました。
サポートに質問したら、そういう仕様ですっていわれましたが、
ルーター内部が通信末端になっている場合、デフォルトゲートウェイ設定は度外視するという仕様なんですかねえ。
あくまで、デフォルトゲートウェイはインターフェイス間のパケットの流れを整理するものというわけなんですかねえ。
ルーター内部もその流れに加わればよいのに。
それから、IPsecトンネル設定でrtx自身のLANインターフェイスアドレスを指定しますが、
あれはどうして127.0.0.1では駄目なんでしょうかねえ。
上の問題で露呈した困った仕様と重なっています。
>>all
127.0.0.1がひとつのインターフェイスでないことが問題ではないかと思いました。
どう思いますか。
>>87 速度上げたいならベーシックからHSネクストへ変更。
ベーシックは高い上に速度でない、端末台数制限有るなど
三重苦だよ。
IPSEC な トンネルに NAT かけたいんだけど
ip tunnel nat descriptor 1
nat descriptor type 1 masquerade
としたとき、nat descriptor address outer 1 の値は何にしたら良いのでしょうか
93 :
anonymous:2011/02/03(木) 14:18:54 ID:fuvZHRi3
向こうのネットワークからアドレスを一つもらいなさい
94 :
92:2011/02/03(木) 14:44:06 ID:???
トンネル相手のルーター 192.168.1.1/24
当方のルーター 192.168.2.1/24 ですが
「相手からもらう」とはどういう意味なんでしょう・・・
勝手に
nat descriptor address outer 1 192.168.1.2 とか名乗って良いんですか?
96 :
92:2011/02/03(木) 16:50:47 ID:???
うぉーーーって思ってみたら pp 側の nat の話じゃないか
例文の中に ip tunnel nat descriptor 〜 てのがないよ
ip pp nat descriptor 〜 の時の nat descriptor の書き方が知りたいんじゃなくて
ip tunnel nat descriptor 〜 の時の nat descriptor の書き方が知りたいんだが。
つけなくてもいかない?
routeしとけば普通にtunnel側に行くけど
natする必要があるとなるとわからん
普通トンネルにNAT設定しないよ
100 :
92:2011/02/03(木) 17:22:16 ID:???
192.168.2.0/24 内から 192.168.1.0/24 へのアクセスは
始点を 192.168.2.2 等の1アドレスを名乗りたいのです。
(個々のIPを始点としたパケットを相手ネットワークに投げない)
192.168.2.0/24 を NAT の内側として 192.168.1.0/24 から保護したいという理由もあります。
nat descriptor address outer 1 192.168.1.2
192.168.2.2じゃルーティングされないからNATされんだろ?
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.2.2
で良いんじゃないの?
104 :
45:2011/02/04(金) 03:09:31 ID:???
RTX1100x2でVPNですが、速度が出ませんね・・・
2mbpsぐらい?FTPだと40mbpsぐらい出たんですが・・・
mtuの設定とかconfigに問題?こんなもんですかね?
IPSECなlan間VPNです。
>92
普通そんなことしない。トンネルのメリットがないから。
するなら102のに加えて、対向側(192.168.2.0側)で、以下2行かな。
ip route 192.168.2.2 gateway tunnen N
ip lan1 proxyarp on
>104
とりあえず、自分の経験では、PC側のケーブルを換えてみますけど、
単純計算で50Mbps必要で、FTP実測で40Mbpsですよね。
そもそもがネット越しでは期待できない、無茶な要望では?
帯域保証も何もないべすとえふぉーと環境でしょ?
>>104 それは同じ環境での測定ですか
Win共有が遅いとかじゃないよね
107 :
anonymous:2011/02/04(金) 15:16:42 ID:nn34OQvt
>>105 対向側は 192.168.1.0/24 かと
109 :
92:2011/02/04(金) 16:02:52 ID:???
みなさま、ありがとうございます。
できました。
■ 192.168.2.0/24 の全てが 192.168.2.1 を名乗る場合
ip tunnel nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.2.1
nat descriptor masquerade static 1 1 192.168.2.1 tcp telnet (ルーター保守用)
■ ルーターを除く 192.168.2.0/24 が 192.168.2.2 を名乗る場合
ip tunnel nat descriptor 1 2
nat descriptor type 1 masquerade
nat descriptor address inner 1 192.168.2.1
nat descriptor address outer 1 192.168.2.1
nat descriptor masquerade static 1 1 192.168.2.1 tcp telnet
nat descriptor type 2 masquerade
nat descriptor address outer 1 192.168.2.2
以上です。
両セグメントでネットワークアドレスがぶつからないので、proxyarp の設定は不要でした。
110 :
92:2011/02/04(金) 16:04:22 ID:???
× nat descriptor address outer 1 192.168.2.2
○ nat descriptor address outer 2 192.168.2.2
192.168.2.0/24 は 192.168.1.0/24 を信用していないのです。
どうもありがとうございました。
111 :
45:2011/02/04(金) 23:28:17 ID:???
http://netvolante.jp/solution/vpn/case1/example2.html 設定の参考は上で、コミュファ対ケーブル160Mで、コミュファからケーブルへの送信時の計測です。
2MってのはVPNのwin共有ファイルコピーです。
回線速度測定では問題ない回線速度でてるんで、ためしにFTPすると早い!
FTPが実効速度に近く、winファイル共有が遅いってのは分かるんですが違いがありすぎですよね??
当方では勝手にFTPの半分ぐらいの速度出てると思っていたので、、、
ちなみにお互いNetvolanteDNSでドメイン名とってますが、Filter設定に使えます?
固定IPではないのでFTPでお互いのドメイン指定でFlter pass設定してみてもエラーでます。
rtx1100をつかっています。
LANインターフェイスにURLフィルターを使っている場合、
ファストパスは無効化されるのでしょうか。
http80番ポート以外のパケットについてはファストパス処理されることを期待しているのですが。
>>111 SMB1.0なら、そんなもんだ。
こいつはプロトコルの仕様上
ネットワークレイテンシでほぼ帯域が決まる。
送受信ともOSをVista or 7に換えなはれ。
そうすれば、FTPと同じぐらいまで速度が上がる。
>>111 やっぱWin共有ですか
もしかして古い規格で通信していませんか?
filterで445だけ通過にしてください(135〜139はブロック)
だから測定してるOS対向で書けや
117 :
45:2011/02/05(土) 15:43:19 ID:???
測定のOSはwindows home server対windows server 2003です。
ベースがXPと同じだから113さんの指摘とうりかもしれません。
114さん
ip filter 1011 reject * * udp,tcp * 135
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
と設定してあるので445は閉じてますが、
それだけ通過にすると通信方法でも変わるのでしょうか?
SMB1.0の通信速度がそんなものならRTX11OOのVPN120Mちゅーのはなんの速度なんでしょう
>>117 114だけど
>445は閉じてますが、
え!!!そのポート閉じたら古いWin共有「NetBIOS over TCP」になるでしょう!!
137,138,139を使うのは古いOS用で、マイクロソフトもセキュリティーホールありまくりだから使うなとアナウンスしていますよ。
ちょっとSMBについてググってきたら?
上で書いたように
135,137,138,139をreject
445をpass
>>117 VPN120MはIPsecの速度
たとえそのなかで古いCIFS使って通信すれば遅いもんは遅い
新しいCIFSのってるVISTA以上と2008Serverを対向でつかってこそそこそこ早くなる
120 :
45:2011/02/05(土) 18:47:41 ID:???
う〜ん...すいませんポート設定が下ですが、
WANのインターフェースの設定
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102
103 104 105 106 107
フィルタの設定
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 1040 pass * 192.168.1.1 udp * 500
ip filter 1041 pass * 192.168.1.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
filter1011 1014 1015 で着信拒否ですが106でこっちからの通信時はポート開放って解釈で合ってますよね?
IPsecってのが暗号通信方法で120Mの速度まで出せるが、古いCIFSではそこまで速度が出ない。
VISTA以上のOSで試すのが正解みたいですね。
来週対向地にVISTA機置いてきます。不評のVISTAに出番が、homeserverが,,,
>120
home server は、いま運が良ければamazonギフト券3000円あたりますよ。
http://www.microsoft.com/japan/windows/products/winfamily/windowshomeserver/RASCampaign.mspx で、示された設定はppインターフェイスにあたってるやつです。インターネットとルータの境界のフィルタです。
それはそれで意味があるんですけど、114のおっしゃってるのは、トンネルもしくはLAN側にあてます。
ip lan1 secure 〜とかip tunnel secure 〜とか既存設定はありませんか。なければ、
対向に行かれたときにシリアルケーブルとPCを持って行って、以下みたいなの追加、でしょうか。
ip filter 1051 reject * * udp,tcp 135 *
ip filter 1052 reject * * udp,tcp * 135
ip filter 1053 reject * * udp,tcp 137-139 *
ip filter 1054 reject * * udp,tcp * 137-139
ip lan1 secure filter in 1051 1052 1053 1054 3000
122 :
あ:2011/02/06(日) 04:11:50 ID:???
>>117 CIFSはSYN、ACK、SYN-ACKのやり取りが大量に発生するから遅いぞ
さらにカプセル化するからなおさらだ
RTTと相談すれ
120Mはスマビでも使って計測したんじゃね?
CIFSが通信の全てじゃないしな
測定にわざわざ遅いプロトコル使うわけないw
ヤマハのページに書いてあるじゃん。
125 :
45:2011/02/06(日) 21:43:24 ID:???
ファイル共有プロトコルがVISTA前後で違うってのは知りませんでした。
RTXルータ同士のVPNで同じLANのように振舞えるって思ってましたが、vista以降のOS
じゃなきゃ速度が出ないってのは仕事で使うには厳しい境界線じゃないですか??
うちの会社なんていまだに頑張ってXPのパソコン買ってるんで(笑)勉強になりました。
ちなみにFTP=かなり速い、SMB1.0=遅い SMB2.0=中間
そんなかんじでしょうか?
まともなSIだとSMBは遅いって知ってるから、
SMBをVPN上に定常的に流すような設計をしない。
MSもSMBが遅いのを知っていて、2008 Serverでたときに
「2008 ServerとVista使えば画期的に早くなります」って宣伝してた。
それでもオーバーヘッド大きいから、FTPみたいな簡素なプロトコルより遅いけど。
実際 45 のようなやつは沢山いる
自分の無知を押しつけて、速度が出ないとごねる
スレチになるが、SMB高速化装置あるいはWAN高速化装置ってのがあるが、
実際どうなん?
国際回線の遅延が大きいので検討したことある
100M回線で実効1Mとか太い回線が極端に遅い状況
なら効果あるらしい
>>127 キャッシュが主な役割だろ?
装置も高い
130 :
あ:2011/02/07(月) 22:06:57 ID:???
>>129 いるよね、調べもしないで文句いうのが
費用対効果の面でみると微妙
レンタルで試験導入してみないと、痛い目にあうかと
131 :
あ:2011/02/07(月) 22:09:17 ID:???
132 :
_:2011/02/07(月) 22:59:08 ID:???
ファイルサーバーとしてsamba3.0を導入すれば早くなりますか。
>>133 samba 2.xいまだに使っているの?古すぎだろう
速度以前に3.xにバージョンアップしないとな
てか流れ的にSMBのバージョンとごっちゃになっていないよね
samba4はどうなの?
>>134 samba 3.2.15が今動いています。
samba 3.0と、3.2とはまた違うのかな。
137 :
RTX65535:2011/02/10(木) 18:14:14 ID:67ZdXMRu
質問です。
IPv4で作られたネットワーク(192.168.1.0/24)があります。
インターネット接続用ルータ(192.168.1.1)があり、
またVPN接続用ルータRTX1500(192.168.1.254)があります。
VPNの向こう側には別ネットワーク(192.168.2.0/24,192.168.3.0/24・・・)があり、
ネットワーク(192.168.1.0/24)にいるPCのデフォルトゲートウェイは192.168.1.254に設定しています。
VPN接続用ルータのデフォルトゲートウェイは192.168.1.1を指定しており、
PCがインターネット接続要求を行うと192.168.1.1へのルートを指定します。
上記のような構成の場合、下記の症状が発生する原因はどのようなものが考えられるでしょうか。
・PCのインターネットスピード(USENのスピードテスト)が10Mbpsだが、
PCのデフォルトゲートウェイを192.168.1.1にすると70Mbpsほど出る。
よろしくおねがいします。
一つの回線+一つのプロバイダを、ルータ経由で3つのグループで共有してます。
グループっつっても、全部一人事務所で、要するに3人で一つのコネクションをシェアしてます。
で、この3者が同一LAN内にあるのもどうかと思う(共有ディレクトリが互いに見えたりする)ので、
できればAさんは192.168.0.0/24、Bさんは192.168.1.0/24、Cさんは192.168.2.0/24 みたいに、
ネットワークを分けたいと思います。
RT57iで、そういうことって出来ますか?
>>137 1>PCがインターネット接続要求を行うと192.168.1.1へのルートを指定します。
2>PCのインターネットスピード(USENのスピードテスト)が10Mbps
3>PCのデフォルトゲートウェイを192.168.1.1にすると70Mbps
いったい、PCはどこのネットワークにあるのだろうか。
1>は、192.168.1.0/24だろう。
2>は? 3>は?
>>137 “PC” が ICMP Redirect を無視してるとか?
142 :
RTX65535:2011/02/10(木) 20:04:14 ID:67ZdXMRu
>>139 ややこしくて申し訳ないです。
PCは1台で192.168.1.10/24としてください。
ですので、2>も3>も同じPCとなります。
>>140 使用しているPCはNECのOAマシンなので、変な事にはなっていないと思います。
(確認してみます)
>>141 言葉足らずですいません。
192.168.1.254、192.168.1.1は一つのハブに接続されていますので、
VPN越しの形ではないです。
PCはWindows XPで、一度アクセスしたhostはルートキャッシュに書かれるはずだと思うのですが。
>>142 140に一票。
手元のXPでは、ローカルエリア接続→詳細設定→ICMP→リダイレクトを許可するに未チェック、です。
または、サードパーティのファイアウォールでICMPのredirectを落としてるとか。
>>137 まー、当然確認してるだろうけど、
RTX1500がHUBと10Mでリンクしちゃってたりするとか・・・
145 :
RTX65535:2011/02/10(木) 21:00:41 ID:67ZdXMRu
>>143 ありがとうございます。
Windows ファイアウォールのICMPのところでしょうか。
確認してみます。
>>144 一瞬ヒヤっとしましたが、100Mbase-fullで動いていました。
>>145 http://technet.microsoft.com/ja-jp/library/cc758746%28WS.10%29.aspx たとえばMSの2003serverのTCP/IP実装のページですが、
ICMP redirectの設定についてこんな記述になってます。
> EnableICMPRedirects
> 既定値 : 1 (TRUE)
> 推奨値 : 0 (FALSE)
規定値と推奨値が異なっています。たぶん、
「デフォルトでは、ICMP redirectを受け付け、経路変更を行なう。
これは既存機器とのコンパチビリティ確保のための措置である。
セキュリティの観点では、redirectを受け付けないよう、無効を推奨する」です。
お使いのXPで、もし、icmp redirectの受信が無効になっていたら、
それはいちおう、安全側に倒してる設定です。
とはいえ、まぁ、社内ですし設定かえちゃっても良いのかもしれません。
社内での悪意ある行為には、もうちょっと別のレイヤで対策打つべきかもしれません。
>>137です。
ICMPリダイレクトが原因でした。
皆さんどうもありがとうございました。
まだまだ精進せねば。
148 :
138:2011/02/11(金) 12:57:29 ID:???
すみません。スレ違いでした。素で間違えてました。移動します。
>>138 WANポートをLAN2ポートとして使える設定がある。
また、LAN1,LAN2ポートにはプライマリだけでなくセカンダリとしてアドレスを設定できる。
だから、うまくやれば4ネットワークをRT57iで管理できることになる。
ただし、クライアントへのアドレス割り当ては、DHCPサーバー機能ではなく、
固定で行う必要がある。
150 :
45:2011/02/13(日) 21:17:17 ID:???
コミュファ光対ケーブル160Mでwin2008とwin7でVPN越しの地デジ再生してみました。
結果はほぼ再生可能でした。たまにコマ送りに
SMB2.0といえやはりローカルLANのようにはいきませんね...
まぁSMB1が紙芝居でしたので大進歩ですが、あと一歩なのは
rtx1100の性能?回線速度?windowsファイル共有の性能?
ルータの性能以外なら時間が解決してくれそうな気がします。
ネタ違いだったかも知れませんが、いろいろお教えいただきありがとうございます。
>150
乙でした。実環境でend-to-endの実績は貴重な資料です。
次の貴方の助けになります。乙でした。
地デジ再生って共有フォルダのTSファイルの再生?
PC10台足らずの支所とVPN通信を考えているけど、RTX1100で大丈夫かな?
内容はWEB、データベース、通話、TV会議程度。
それらを自力設定で。
ちなみに、今は代替りはしているけどRTa50iベースでISDNをサンプル真似た設定で繋いでいる。
余裕でございます
回線次第
thx
回線は相方光
但しプロバイダは別
NetVolanteでは経路次第では不安定って感じだけど
現行機はRTX1200なのね
ちと調べたらサンプルではRTA55iとRT56vで通信やってる。
今の機材のまま、光回線が来たら試しに繋いでどれくらいの品質なのか確認してみる。
>>156 >但しプロバイダは別
プロバイダをそろえると、かなりgood.
プロバイダがことなると、かなりbad.
pingを打てばわかるけど、ぜんぜん違う。
BフレならV6でプロバイダ経由しない方がよりgood
now, we're serving millisecond order to identify your access.
>>159 同一プロバイダだとどれぐらい違います?
So-net(光ネクストマンション) - Plala(光マンションVDSL)
だと10〜18msです。
>>162 プロバイダや、回線によって違うとは思います。
回線についてはたとえば、フレッツ光と、光プレミアムとでは速度が違いました。
光プレミアムではCTUのせいなのか、20msほど余分にかかります。
遅延のないフレッツ光同士の場合、
プロバイダcyberbb(例)同士では、rtx1100のIPSEC-VPN上でも、わずか3msでした。
>>163 > 回線についてはたとえば、フレッツ光と、光プレミアムとでは速度が違いました。
光プレミアムもフレッツ光だよ。
『OSについてはたとえば、Windowsと、Vistaとでは速度が違いました。』と言われて変だと思うでしょ?
東と西の違いだから
収容の方法や共有人数などで違いはあるかもね
RTX1200 で LAN1 の8ポートをそれぞれ個別にトラフィックを取ることって出来ませんか?
SNMP を眺めてみてもそれらしいものが無かったので…。
>>153 一方は光ネクストにしておく必要はあるが
フレッツ・VPN ワイドは調べた?
RTX1200のLANポートを全てHUBとしてつかうなんてどんだけセコいんだよ
> >但しプロバイダは別
>
> プロバイダをそろえると、かなりgood.
> プロバイダがことなると、かなりbad.
プロバイダは別
電力系で別ブロックのため同一プロバイダにするのは不可
ここら辺はVPNソリューションでもベースは同じだろうから、それを利用しても改善は無いと思われる。
IPアドレスが変動する2箇所AとBをRT107eで結ぶVPNの設定について教えてください。
「インターネットVPNをヤマハルーターで構築」を参考にして
それぞれのプロバイダの設定を行い、ネットボランチDNSサービスも登録しました。
そして経路が重複しないようにBを192.168.50.0にした上でそれぞれのVPN設定画面に入りipsecで
AのVPN設定
同じ認証鍵(例:keytest)、IPアドレスで識別で相手Bネットボランチサービスのtest.aa2.netvolante.jp、
名前通知でuser-pc、経路192.168.50.0
BのVPN設定
同じ認証鍵(例:keytest)、IPアドレスで識別で相手Aネットボランチサービスのtest.aa1.netvolante.jp、
名前通知でuser-pc、経路192.168.100.0
という風に設定してみましたがどちらも通信状態が通信中とはならず
未接続になっています。
どこがおかしいのでしょうか?
名前通知いらないでしょ?
>>170 webでIPsecの設定チェックできるんじゃないの
>>171>>172 170です。名前通知のチェックを外して放置すること1日。
先ほどかんたん設定画面に入ってみたら
いつのまにかTUNNEL[01]も通信中になってました。
お騒がせしてすみませんでした。
>>173 RT再起動時など初回は一度相手ネットワークに通信してあげないと接続状態にならないよ
175 :
anonymous:2011/02/23(水) 15:24:26.55 ID:KniWIi6D
賃貸のマンションでRTX1100を使って各部屋に振り分けているようなのですが
最近アクセスができなくなるのでいつも管理会社を呼んで
電源をリセットしてもらっているのですがどういった原因が考えられるのでしょうか?
症状としてはルーターにはつながるのですがグローバルIPが取れていないようです。
今月初めに新しい入居者がきてから頻発しております。
ログみれば?
ファームが古ければ新しくすれば?
P2P系でもやってるんじゃね?
プロバイダーの認証は通ってるのにグローバルアドレスが取れないって事?
177 :
175:2011/02/23(水) 16:13:37.57 ID:???
>>176 管理者権限がないので自分ではどうしようもないのですが
ファームを新しくしてもらうのと、P2Pをしないようにするように注意してもらいます。
ありがとうございます。
ルーター
>>175 VLANとかちゃんと導入している?
ウイルス(内部からの攻撃)かもしれないよ。
173です。たびたびすみません。
おかげさまでRT107eで2箇所をVPNで結ぶことができたのですが、
この状態から離れた場所のPCとファイルを共有するにはどうすればいいのでしょうか?
こちら側から192.168.50.1で相手側のRT107e設定画面も開けるようになりましたし
てっきり「ネットワーク」を開くと同一LANのPCように相手側PCも表示されるのかと思ってました。
IPSECの場合はwindows標準のVPN設定でもうまくいかないようですし
クライアントソフトであるYMS-VPN7を購入する必要があるのでしょうか?
業務用のスレで程度の低い質問ばかりしてすみません。
「ネットワーク」から表示させたいなら表示させる設定させないとダメ
説明面倒だし覚える気あるなら[Windows ブラウジング」で調べてみて
で、手っ取り早くファイル共有させるだけでいいなら
エクスプローラーとかの窓に\\共有するマシンのIPアドレス\共有フォルダって感じで指定してショートカットつくるといい
例
\\192.168.50.10\kyoyu
とか
ネットワークドライブとして割り振るなら
Windows上のコマンドプロンプト上で
net use z: \\192.168.50.10\kyoyu
でzドライブにマウントできる
>>180 > IPSECの場合はwindows標準のVPN設定でもうまくいかないようですし
> クライアントソフトであるYMS-VPN7を購入する必要があるのでしょうか?
そのとおりです。windows標準のIPsecは、
双方に固定IPが必要ですから170の環境では使えません。
時間のあるときに、クライアントソフトお試し版をいれて実験してみては?
>>180 >クライアントソフトであるYMS-VPN7を購入する必要があるのでしょうか?
不要
何のためにRT107eで結んでいるのかを考えてみよう
ネットワーク一覧に表示されるかどうかは別の次元の話なので
まずはクライアント間でPingが通るかどうかから初めてみては?
ファイル共有は遮断するのが普通
後から開ける設定をするのは可能
そもそも、クライアント単位でファイル共有するのが根本的な間違いの気がする。
それは人それぞれ使い方がある
スレ的に業務用だが、個人がIPsec使ったらダメという訳でもないし
SOHOだとしてもサーバー用意して運用しなきゃダメなわけでもない
186 :
175:2011/02/24(木) 09:32:56.72 ID:???
>>179 ありがとうございます。
この2日は大丈夫みたいです。
VLAN導入しているか確認してみます。
187 :
175:2011/02/24(木) 09:37:09.22 ID:???
マンション12世帯あるのでVLANは無理みたいです。
管理会社がパスワード教えてくれたらサポートぐらいするんだけど
フレッツ・VPNワイドを使って接続する場合
IPsecにする必要あるんでしょうか?
閉域なのでする必要無い気がするのですがヤマハの例だとIPSecにしてます。
>>188 何処のページ見ているんだ
私の目にはIPIPトンネルが見えるんだが
RTX1500生産終了ですか。
192 :
あ:2011/02/26(土) 03:08:16.67 ID:???
>>185 確かに人それぞれ使い方はあるが、LAN型HDDだってそんなに高くないし
それくらいはなんとかしようぜ
とは、思うけどね
そのうち、WOLはどうやってってなるかもしれんぞ
そう言うのがSSHで遠隔バックアップできるのなら言うことは無いのだが
>>193 だねーscpコマンドは非実装だもんねー
LAN型HDDをサーバと呼ぶのはちっと無理がないかw
もちろん用途によっちゃサーバだけどw
サーバーと呼べないから困ってるんじゃないか
>>191 かなしい
ファームはアップされていくことを望む
>>197 確かに。
是非ともデータコネクトだけは実装してもらいたい。
>>198 rtx1100にも必要
ところで、
RTX1500がなくなったら、その代わりは何もないことになるよね。
rtx1200では能力が足りない。
RTX3000ではあまる。
RTX1500なんでなくなるのと思う。
INTEROPの新製品発表に期待
>>199 部品なくなったんでないかい
ちょいと特殊なの使うと生産中止された後の代替品がないなんて事が
あったりするからのう
>>201 じゃあ、代わりのRTX1600が発売される?
RTX1500ecoなんていう可能性について。(いらね〜)
データコネクトにナンバーディスプレイが必要なんて全然しらんかった
毎月420円か・・・
>>204 ネクSト回線ごとに、ナンバーディスプレイ契約なんてあるの?
機種知らんけどねデフォルトでは通知しない設定になっているだけだったりして
ナンバーディスプレイ契約は受ける方に必要でしょ
YAMAHAのデフォルトが非通知
Win7pro64bitと、RTX1100の相性が悪いってことあるでしょうか。
よくDHCPでプライベートアドレス一式を取得できずに、ビックリマークアイコンになっているときがあります。
会社でも、RTX1100からアドレスをDHCPで取得しているWin7pro32bitパソコンがありますが、アドレスが取得できないことがあります。
WinXPのマシンや、その他のネットワーク機器は正常に取得できる。
どうも、Win7が臭いわけです。ひょっとしたら、相性なんてものがあるのかもと思いまして。
なんでなのでしょうか。
Win7が嫌いになりそうです。
無い
相性問題がないのだとしたら、Win7をつかっているユーザーは、
アドレスをDHCPで取得できない場合がある問題を体験しているはずなのですが、
そういう話題はあがっていないようなんですよね。
こんなん初めてだ。Win7嫌い。
vistaのときにはdhcpでとれない問題がありました。
http://support.microsoft.com/kb/928233/ja XP SP2→Vistaのときに、パケットのフラグ設定を変えたそうです。
これは7では起きないそうですが、
かわりに、別の何かが起きた可能性も捨てられず。
ファイアウォールと自動起動アプリを外して様子見、
または、別の端末にetherealを用意して
該当端末のDHCPのシーケンスをキャプチャ、でしょうか。
v6切った?
RTX1100のデバッグログは?
ファームのバージョンも確認した?
ううっ、泣けてくる。ここの人たちは、親切だ。的確なアドバイスをありがとうございます。
アドバイスされたことを試して、検証するのに時間がかかるのでレスします。
>>212 参考になりました。
VISTAでは、DHCP周りで不具合が発生していたのですか。
DHCPなんて末枯れたプロトコルだと思っていたので、そういう問題が発生しているなんて驚きです。
ただ、今回の場合は、失敗するときも、成功すると気もありました。
DHCPがまったく機能していないわけではないということがわかります。
etherialは今までに使ったことがないので、試す余裕がないです。
表面から問題発生要因をつぶしていく方法をとりたいと思います。
>>213 これもにおいますね。
RTXは、DHCPでつかうアドレス範囲には、V4のものしか記述していません。
LANインターフェイスにもV4のものしか設定していません。
V6関係の文言は一切載せていないです。
Win7がわでは、V6プロトコルが機能した状態です。
XPではv6プロトコルなかったですね。オフにしてみたいと思います。
>>214 デバッグログを見る発想がなかったです。
取得失敗時のデバッグログをみれば、ないかある程度はわかりそうですね。
>>215 RTX1100 Rev.8.03.88 です。
またレポートしたいと思います。ありがとうございました。
試しにスイッチングハブを入れたら解決したりしてな
んなわけないか。
SP1は当てた?
MSのことだからバグかもよw
DHCPサーバーが勝手に設置されて複数台あると、リースに失敗のメッセージが出たことある。
>>217 いったんアドレスを取得できてしまえば、問題なく通信できるので、
ハブの異常ではないように思います。
念のため、別のハブ経由でも通信しましたが、同じでした。
たしかに、ハブは壊れてしまうことありますよね。バッファローにしてからはそういうことはなくなりましたけど。
>>219 DHCPサーバは間違いなく一個です。
会社の環境でも、WIN7とRTX1100で同じ問題が発生していました。
どうも、二者間で問題が生じているように思われます。
>>218 SP1はまだ怖くて当てられません。
アドバイスしていただきました、Win7側でIPV6プロトコルをオフにしました。
すると、毎回起動時に正常にアドレスが取得できるようになっているようです。
まだ、もう少し様子を見なければいけないので、またレポートします。
>>220 >Win7側でIPV6プロトコルをオフにしました。
>すると、毎回起動時に正常にアドレスが取得できるようになっているようです。
だめでした。
今朝、試してみると、しばらく接続不能状態になっていました。
次の対策を試したいと思います。
NICのドライバは最新?
SPは戻せるし
Cドライブ丸ごとイメージでバックアップしてから試してみたら?
logの怪しげな記述を晒せないものなのかね
「正常に取得できない」とか「接続不能」だけで解決できるとは・・・w
まぁログみるだけで応答してるかしてないかぐらいはわかるしw
「DHCPサーバは間違いなく一個」って証明するの面倒だよねー
会社が稼働してると特にw
>>220 >SP1はまだ怖くて当てられません
Windows使う以上はマイクロソフトと一蓮托生なんだから潔く当てろよ
公開してない修正もSPに入れてくるから
試す価値はあると思う
最悪Win7をクリンインストールするだけだ
PCやルーターが壊れるわけじゃない
難しいなあ。
・DHCPサーバー側のプール枯渇が発生していないことは確認済み?
・取りあえず、Windows7側の取得失敗時のイベントログ貼り付けてみて。
>>229 そんな基本的なことはすでに済んでるだろ
でなきゃ・・・業者に出した方が速いおw
>>229 イベントログなら、知っています。
おお、情報が載っている。
DHCPサバとの通信は成功できているっぽいと考えるのですが。
RTX1100のログと照合しようとしたら、すでに消えていました。SYSLOGやってません。
<WINDOWS7イベントログ>
Microsoft-Windows-DHCP Client Events/Admin
ネットワーク アドレスが 0x0090275CXXXX のネットワーク カードに対して、
ネットワーク (DHCP サーバー) から割り当てられたアドレスを更新することができませんでした。
次のエラーが発生しました: 0x79。
ネットワーク アドレス (DHCP) サーバーから引き続き、アドレスの取得を試みます。
照合のチャンスを狙います。
うちはSOHOだから規模は違うかもしれないけど、RTX1100で撒いてるよ
ゲーム機・家電からPCまで、問題は起きてない
Windowsが原因ってことなら(アホ市ねとか書かれる前に)そっちの板に行った方が良いかもね
#運用の問題にしか見えないけど
だからSPあてろよw
>>233 おつかいのWINDOWSのバージョンは?
おつかいのPCでつかっているOSと、そのバージョンは?
小規模ならアドレス固定にすれば良いのでは?
あと、NIC付けてみるとか
LANポートは壊れることもあるぞ
237 :
233:2011/03/09(水) 13:25:00.07 ID:???
>>235 232?
dhcpで振ってるWindowsに限ると、7Ultx64、7Ultx64sp1、7Home、WSS2003、ほかVistaXp98se・・・
#運用の問題に見えるって
238 :
233:2011/03/09(水) 13:27:02.68 ID:???
忘れてた。組込のも幾つかある
その組み込みのってOSはWindowsVista/7なの?
つか、管理者なら主要な機材IP固定にする等しないの?
7だけならSP当てろよ
企業で困ってるならMSのサポート使え
以上!
>>236 >LANポートは壊れることもあるぞ
よく壊れた。オンボのポートってなぜか壊れる。
pciインターフェイスのポートは、ぜんぜん壊れないイメージ。
でも、壊れたら通信が全部できなくなる。
リンクすら確立出来なくなる。dhcpとは関係ないな。
>>240 SP1当てると、
>>232の3の問題って解消されるのかな。
さぁ?
管理者ならディスクイメージでバックアップとってSP当てて試してもいいんじゃないの?
7だけなんでしょ?
7でメーカー違ってもっていうなら7が原因の可能性高いでしょ
243 :
233:2011/03/09(水) 14:56:22.87 ID:???
>>239 漏れにつっかかってどうすんだよ、ちゃんと読め。
>>235 にレスっただけだろ
主PCやサーバ、設備として動かさない物は固定。動的にしてるのは検証機(とゲーム用w)だ
客先から借りてるのもあるし、行ったり来たりするから(納品までは)dhcpの方が楽
あと、ときどき起動して懐かしむ想い出マシンは動的にしてるものが多いな
PM6100とかTownsSNとかHCとかTP230Csとか535とかチャンドラとかLib20とか・・・
それだけ分かっているなら、自力でなんとかしろよ
デバッグログまだぁ?
>>243 文句をいいながらも、
こだわりと愛着をもってPCやネットワークの世話をしているところがイイ
247 :
209:2011/03/10(木) 16:32:01.90 ID:???
通信ができなくなるとき、
>>231 のログがWindows7に必ず現れます。
ipconfigでは、169.254.x.xのアドレスが設定されていました。
Windows7pro64bit Windows7home32bitの両方で同じ現象が見られました。
異なるメーカーのパソコンです。NICのメーカーも異なっています。
会社でも同様の現象が確認できました。
これらに共通しているのは、RTX1100ということです。
ついに、SP1をあてました。
現象がなくなるかどうか観察します。
>>247 通信が出来なくなる時って休止からの復帰後とかじゃない?
249 :
209:2011/03/10(木) 16:43:31.14 ID:???
>>247 Windowsイベントログと、RTXの[DHCPD]ログを比較しました。
WINDOWSがアドレス取得or登録に失敗したとき、RTXログではアロケートの処理完了が記されていました。
RTXはアドレスを手渡し処理を完了させているようです。
それにもかかわらず、WINDOWSが受け損ねているような感じではないでしょうか。
だから、WINDOWSはなんどもRTXにリクエストし、数回の試行でようやく正常にアドレスを設定できたのだと思えます。
RTXの[DHCPD]ログは、同一物理アドレスに対しては初回割り当て時にしか記載されないようです。
だから、WINDOWSが正常に処理できた回については、RTX1100にはログは載っていません。
WINDOWS7の独り相撲なのか、RTX1100が関係しているのか、はっきりいえません。
SP1でも当ててみたいと思います。
GOOGLEで、同様のエラーを検索してみると、同じ症状を示して困っている人もいるようです。
でも、根本的な対策を講じられてはいないようです。
NICをいったん無効にしてから、有効にすると治ったというようなものでした。
SP1に期待したいと思います。
250 :
209:2011/03/10(木) 16:44:46.20 ID:???
>>248 再起動とか、電源投入時なので、WINDOWSが1から起動するときです。
休止からの復帰では試していないです。
ipconfigとかで 一度リリースしてからの再取得だとどう?
> RTXの[DHCPD]ログは、同一物理アドレスに対しては初回割り当て時にしか記載されないようです。
> だから、WINDOWSが正常に処理できた回については、RTX1100にはログは載っていません。
んー。より正確には、ヤマハルータはログのメモリをけちってるのか、
繰り返し発生したメッセージに対して重複したログを残さない代わりに、こんなのを出します。
"same message repeated 5 times"
時間が経ったりして別のメッセージが発生すれば、
重複ログは纏められてsame messageという表現で出てきます。お使いのrtxでもこうなってたはずです。
運用で逃げませんか? 起動時の負荷がなくなったら普通に取得できるんですよね、おそらく。
ipconfig /release,ipconfig /renewのバッチファイルを各端末にいれておいて、
端末ログオン後、コーヒーを飲んでもらってから、バッチを叩いてもらってはいかがでしょう。
または、ping -n 100 localhost, ipconfig /renew のバッチをスタートアップに入れてはいかがでしょ
Win7が原因なんだからwリリースして再起動繰り返せば再現するんじゃないの?
255 :
209:2011/03/11(金) 15:34:17.20 ID:???
みなさま、いろいろと、アドバイスありがとうございます。
SP1をあてましたが、さっそくネットワークにつながりませんでした。
いつもどおり、30秒ほど待たされてから、再取得されました。
おっしゃるとおりに、
運用で対処するのもよいと思いました。
しかし、どうして私のところでこの問題が生じているのでしょう。
ほかのところでは、最初30秒間ほどはネットワークにつながらないときがあってもかまわない、
と考えているのでしょうか。
Windows7には屈服しました。
ログオン画面でのリモートデスクトップもできるかどうか怪しくなってきました。
はぁー。
>>255 じゃあ
MSのサーバーのDHCP使ってみたら?
うちのところは問題無い
津波が来ている。
逃げろ!!
どこまでも水が流れてきている。
pptp 複数接続の address pool に関して質問です。
pp select anonymous 後、複数のアカウントを登録して、それぞれ認証を
確認しました。address pool の設定は、
ip pp remote address pool x.x.1.100-x.x.1.110
です。アドレスを x.x.1.100 にすればつながるのですが
それ以外は拒否されます。「TCP/IPエラー 735:サーバーは要求したアドレスを拒否しました」
何がたりないでしょうか?
#show log reverse
2011/03/x 08:56:16: TUNNEL[01] PPTP connection is closed: x.x.10.2
2011/03/x 08:56:16: PP[ANONYMOUS01] PPTP Disconnected, cause [No error.]
2011/03/x 08:56:16: ff 03 c0 21 06 08 00 04
2011/03/x 08:56:16: PP[ANONYMOUS01] SEND LCP TermAck in OPENED
2011/03/x 08:56:16: 00 00 00 00
2011/03/x 08:56:16: ff 03 c0 21 05 08 00 10 23 19 1b 44 00 3c cd 74
2011/03/x 08:56:16: PP[ANONYMOUS01] RECV LCP TermReq in OPENED
2011/03/x 08:56:16: ff 03 80 21 06 07 00 04
2011/03/x 08:56:16: PP[ANONYMOUS01] SEND IPCP TermAck in ACKRCVD
たぶん、PC側のTCP/IPのプロパティの
"IPアドレスの取得を自動"にすれば、つながるんですよね
LANの端末にIPを振るときの、固定IPとDHCPの話しに通じます。
pptpでつなぐときには、使いたいIPを端末にネゴらせず
rt側にアドレス管理をまかせませんか。
どうしても事前にIPを固定したいのであれば、
anonymousとかaddress poolとかdhcpを信じないほうが楽です。
ありがとうございます。全くその通りです。
結論としては、rt側にまかせることにしました。
出来て当然と思いこみ、時間を無駄にしてしまったことがちょっと残念。
262 :
anony:2011/03/19(土) 20:56:33.65 ID:???
RTX1000×2(双方とも動的IP)で IPSec 張りたいです。
拠点@/hoge.aa0.netvolante.jp で DDNS 登録済み
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 hoge.aa1.netvolante.jp
ip tunnel mtu 1280
ip tunnel tcp mss limit auto
tunnel enable 1
拠点A/hoge.aa1.netvolante.jp で DDNS 登録済み
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 hoge.aa0.netvolante.jp
ip tunnel mtu 1280
ip tunnel tcp mss limit auto
tunnel enable 1
お互い、相手の拠点の名前解決は出来てます。(nslookupにて)
拠点@が ISP から貰えたアドレスを調べて
拠点Aの ipsec ike remote address を、その拠点@のアドレスを書くと、それだけで繋がります。
元の hoge.aa0.netvolante.jp に戻すと切れて繋がりません。
どこが悪いのでしょう・・・?
片方のremote addressをanyにして
remote address nameでやればいいんでは
>>262 RTX上でのnslookupでhoge.aa0.netvolante.jpとした場合
繋がったIPアドレスと比較して違う?
265 :
anony:2011/03/20(日) 22:55:06.43 ID:???
>>263 >>264 どうやら remote address にホスト名を入れるとダメぽいです。
固定IP(DNSサーバーにAレコード登録済み)な別拠点を相手に接続を試してみましたところ
そのIPアドレスであれば正しく疎通しますが、ホスト名(FQDN)だと繋がりません。
くどいようですが、ルーターに telnet した上で nslookup ホスト名 すると正しく正引きされますので
DNSサーバーが見えていないということはなさそうです。
RTX1200 での動的IP拠点どおしの設定例を探すと
ipsec ike local address 1 ipcp pp 1
と pp のグローバルアドレスを指定してあるのが見つかりましたが
RTX1000 だと ipcp はエラーになっちゃって指定できません。。。
>>265 ipcp キーワードを指定する第 4 書式では、IPCP アドレスを取得する PP インタフェースを指定する。
これは Rev.8.03系以降で使用可能である。
こんな馬鹿なことは無いと思うけどFQDNの最後にピリオド付けてもだめかい?
DNSサーバーが見えないというよりも
ルーター内で古いアドレスがキャッシュされてる可能性と
ルーターの参照先DNSで古いアドレスがキャッシュされてる可能性がある
逆引きでaaX.netvolante.jpのFQDNが引ける事ってあるっけ?
プロバイダのdhcpXX.--.ne.jpみたいなのになるんじゃない?
とりあえずファームのリビジョンアップ
どこに逆引きの話が出てるんだ?
271 :
anony:2011/03/21(月) 10:56:17.11 ID:???
ファームは 8.01..28 で RTX1000 の中では最新です。
RTX1000 では動的拠点どおしの IPSec は不可なのでしょうか?
片方(例えば拠点@)を RT107e あたりにして、
拠点@/hoge.aa0.netvolante.jp で DDNS 登録済み
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 ipcp pp 1
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten2
ip tunnel mtu 1280
ip tunnel tcp mss limit auto
tunnel enable 1
拠点A
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local name 1 kyoten2
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 hoge.aa0.netvolante.jp
ip tunnel mtu 1280
ip tunnel tcp mss limit auto
tunnel enable 1
にしたら大丈夫になるんでしょうか・・・?
272 :
anony:2011/03/21(月) 11:13:52.23 ID:???
今のところ、
×
両方とも ipsec ike remote address で相手を FQDN 指定しているとき
○
片方が ipsec ike remote address で相手を IPアドレス 指定しているとき
な動作ぽい感じ。
ちなみに FQDN は netvolante.jp でも、他の rt.hogehoge.jp 等でも、一緒です。
273 :
any:2011/03/21(月) 11:30:18.65 ID:???
>>271 動的アドレスでRTX1000同士で出来ている
その内容をやってみればいい
もしかしたらipsec ike local address 1 ipcp pp 1は不要かも
274 :
anony:2011/03/21(月) 11:43:28.71 ID:???
会社に未使用のRT58i、RT1100 が転がっております。
インターネットサーバを公開するためB-frets光回線を使い、
BUFFALO AirStation を介してISP に接続していますが、
停電したときには、復帰後、再度、ルータの電源を落として再起動させなければ、
ISPに接続ができません、RT58i またはRT1100 ならば停電後、通電した後自動的に
ISP と接続ができますでしょうか?
このせいで会社から、停電の際には、土曜祝祭日、関係なく呼び出されています・・・・・orz
>>275 >RT58i またはRT1100 ならば停電後、通電した後自動的に
>ISP と接続ができますでしょうか?
可
277 :
anony:2011/03/21(月) 12:46:56.72 ID:???
拠点@/hoge.aa0.netvolante.jp で DDNS 登録済み
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.0.1
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 any
ipsec ike remote name 1 kyoten2
ip tunnel mtu 1280
ip tunnel tcp mss limit auto
tunnel enable 1
拠点A
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike local name 1 kyoten2
ipsec ike pre-shared-key 1 *
ipsec ike remote address 1 hoge.aa0.netvolante.jp
ip tunnel mtu 1280
ip tunnel tcp mss limit auto
tunnel enable 1
この状態で 拠点A の syslog debug on したログみたら
[IKE] no such domain name hoge.aa0.netvolante.jp
と。nslookup hoge.aa0.netvolante.jp は正しいIPを返します。
もぅさっぱり・・・・
>>275 持っているなら交換すればいいじゃ
バッファローよか再接続率はいいはずだ
あと固定できるのは極力固定しようDNSとか
普通は停電復旧後繋がると思うが、
長時間の停電の場合NTTやプロバイダーの立ち上げに時間かかるだろうからDNSなどの起動に時間っかってセカンダリ切り替え起きたとかPPPoEのリトライ回数上限超えとかなのかな
>>277 とりあえず
clear dns cache
dns static a hoge.aa0.netvolante.jp .....
でどうよ
280 :
anony:2011/03/21(月) 13:41:26.79 ID:???
>>279 もともと dns cache use off で使ってます。
dns static 〜 は、試しに・・って意味ですよね?
そんな馬鹿な・・・と思って、
拠点A側
dns static a hoge.aa0 xxx.xxx.xxx.xxx ←拠点@に割り振られたIP
ipsec ike remote address 1 hoge.aa0
なんと接続成立。。
このままだと拠点@の IP が変わったときに困るので、次のこと試しました
拠点A側
dns static cname hoge.aa0 hoge.aa0.netvolante.jp
ipsec ike remote address 1 hoge.aa0
接続失敗
nslookup hoge.aa0 →ドメイン名が見つからない(cnameが効いてない)
nslookup hoge.aa0.netvolante.jp →正しく正引き
結論
dns static a で定義すればOK、dns static cname だと NG
わけわかめ
281 :
anony:2011/03/21(月) 13:45:50.26 ID:???
解決しました!
dns cache use off が原因でした。
最初の設定で、dns cache use on で上手くいきました。
remote address にドメイン名を指定して使いたいときには
dns cache を有効にして使わないといけないようです。
そんなの、どこにも書いてないんじゃないか・・・と
何はともあれ、お騒がせしました。
コンフィグのDNSの部分さらしてみ?
もしくは
サーバーが変わったら変更しないとダメだが
うちじゃnetvolante.jpのネームサーバを直で見にいってる
aa0.netvolante.jp nameserver = ycj1.netvolante.jp
aa0.netvolante.jp nameserver = amz1.netvolante.jp
上記のをIP直で指定して下記のようにしてる
dns server select 1 184.72.49.121 210.196.109.87 a aa0.netvolante.jp
dns server select 2 184.72.49.121 210.196.109.87 a aa1.netvolante.jp
でどうよ?
ああ、解決したなら上記はいいやw
284 :
anony:2011/03/21(月) 14:55:06.11 ID:???
>>282-283 ありがとうございます。
dns cache off にしてると、都度、名前名前に行くと思うんですが
IPsec 側にしてみたら、その名前解決にかかる時間が「遅すぎるわ」って風になるぽいです。
>>284 LOGでIPsecがリトライ(デフォルト10回かな?)しているようだったら
ipsec ike retry
当たりを調整してみたら?
名前解決するとその間に処理が止まるからキャッシュしか見ないってたまにある
>>276 >>278 さん
>>275です。どうもです。
どうやら、停電後ネットワークに接続できないのは、ルータのせいでは無いような気がしてきました、問題を切り分けて調査します。ところで、
現在下記図のLAN2 側にBUFFALO AirStation を用いて、インターネットサーバを公開しているのですが
WAN
|
LAN3|B-Fletsファミリ100
+--------+
| RTX1100|
+--------+
LAN1 | |LAN2
192.168.1.4 | |xxxx.xxxx.xxxx.xxxx/29
---------+ +----------------+
|
+-----------+
|HTTP Server|
|Mail Server|
|DNS Server|
+-----------+
BUFFALO AirStation を外し上記ネットワーク構成に変更したいと思っています。
LAN1 は192.168.1.1/24 のセグメント
LAN2 はISPから割り当てられたxxxx.xxxx.xxxx.xxxx/29 4つの固定IPアドレスが
使用でき、現在その中の一つをInternetSever に割り当てています。
RTX1100 で上記の様なネットワークの設定例を探しているのですが
ご存知の方がおられたら、紹介していただけませんでしょうか。
>>287 停電で・・ってのは、たぶん、セッションがブチ切れたのに
PPPoE 鯖側には前回のセッションが残ってて
こっちのルーターからの再接続要求が「二重接続」でケラれていて
再試行回数の上限に達して、再接続しなくなる現象だと思う。
ヤマハルーターなら、無限に再試行、が出来るので、いつか繋がる。
あと、その接続方法は問題なし。
http://www.rtpro.yamaha.co.jp/ のどっかに config 例があったはず
>>288さん どうもです。親切に、ご回答ありがとう。
再接続要求の設定なのですが、明示的に設定の中に記述しなくても
YAMAHA rtx1100 は、やってくれるのでしょうか?
設定事例に関しては、まだ探せれていませんが、ゆっくり探してみたいと思います。
RTなら下記が設定してあるから
停電しても前のセッション切って再接続してくれる
はずw
# pppoe invalid-session forced close ?
入力形式: pppoe invalid-session forced close スイッチ
スイッチ = 'on' or 'off'
説明: 強制的に不正なPPPoEセッションを終了するか否かを設定します
デフォルト値: on
pppoe call prohibit auth-error count off
じゃないかな
RTX1100 はデフォルトでこうなってるから、勝手に無限に再接続を繰り返すはず
停電ならそっちじゃないと思う
>>287 です。みなさんお世話になります。
当該2ちゃんねるスレッドの過去ログを頼りに、
http://logsoku.com/thread/pc8.2ch.net/network/1144116104/ YAMAHA業務向けルータ運用構築スレッドPart4
ありましたありました^^
YAMAHAさんの設定例
自社サーバを公開する
http://netvolante.jp/solution/int/case4.html すごく良く似た構成図と、サンプルが出ています
ところが若干異なるのは、YAMAHAさんのこの設定例では、DMZ をNAT で構成されています。
この構成図を踏襲すると、internet server の設定も調整する必要が出てきます。
現在はISP から割り当てられているのは、xxxx.xxxx.xxxx.xxxx/29 ですから
2^3-2=6(
>>287で4つの固定IPと書きましたが間違いです。_--_)
最大6個の固定IPが利用できます、現在は1個をBUFFALO Airstation にそして、もう一個をinternet server に割り当てて公開しています。
>>287 でも書きましたがWAN 側と通信しているにはHTTP SMTP DNS のポートだけなのですが
ここは、YAMAHAさんの設定例を真似てNAT を実装しDMZ を構築した方が良いのでしょうね?
internet server の設定変更に伴う、労力とDMZ を構築するメリットとの
トレードオフになるかと思いますが、いかがなものでしょうか?
それから、しょっちゅう起こる停電は、大概落雷による、いわゆる瞬停と呼ばれる
数秒で復帰するものです。
全サーバーはUPS が付いているのですが、周辺機器には付いていないため、停電復帰後
ネットワークに接続できない現象が起きます。
>>293 落ち着いてサンプルページよく嫁。
●複数の固定グローバルアドレスを持っている場合の設定例
http://netvolante.jp/solution/int/case4b.html 瞬断で不通のままになるのはよく分かりませんが、
とりあえず再起動すればいいんですよね。で、監視サーバはありますよね。
なら、監視対象にどこかそとを加え、一定時間監視ができない時とか、
swatch等でルータログをみてlinkdownが出た時とかに、ルータを再起動する、
そんなスクリプトを置いておけばOKでは?
めんどくさければ、insをおうちにも引いてしまって、remote setup。
>>293 staicNATを使うと8台サーバーが立てられ
unnumberdだとサーバーにグローバルをもてるがサーバー台数は5台になる
どっちを取るか先に決めること
L2スイッチモニターキャンペーンの当選連絡が入りだしたみたいですね
298 :
a:2011/03/24(木) 17:29:31.64 ID:???
>>295 >staicNATを使うと8台サーバーが立てられ
8台?
>>298 グローバル8個だからサーバー8台
ぴったりじゃない。
300 :
a:2011/03/25(金) 14:04:37.07 ID:???
え?
もらった/29をNATで/24の一部にしてしまえば最初と最後も使えるとかなんとか
俺は試したことないが
ひとくちに/29のサービスと言っても、ネットワーク型か端末型かによって違うんじゃね?
・ネットワーク型サービスの/29
ルーティング:される
付与されるアドレス:ネットワークアドレス1個、ユニキャストアドレス6個、ディレクティッドブロードキャストアドレス1個
・端末型サービスの/29
ルーティング:されない
付与されるアドレス:ユニキャストアドレス8個
と知ったかしてみる
ものすごく初心者なこと聞くかもしれないけど、ちょっと教えてほしい。
RTX-1100のLANポートってAuto MDI/MDI-X対応だよね?デフォルトではOffになってる・・・?
公式サイトで答えが得られることをわざわざ...
>>303 コマンドリファレンスによると、
lan typeっていうコマンドの、auto-crossoverっていう
オプションで設定するみたいだが、デフォルト値はONなので、
つついてなければ、MDIX自動切り替えは有効。
「RTX2000、RT300i では利用できない。」ってなっているから、
RTX1100には、自動切り替えは付いているはず。
いや、色々調べたけど、やっぱりそうだよね・・・。
ということは別原因か・・・。
LAN1.1とPCをストレート結線で繋いでいる状態で
LAN1 192.168.1.254/24
PC 192.168.1.1
にIPアドレスを設定しているんだけど、LAN1<->PCで通信が出来ないのよねぇ。
マニュアルの設定例を参考にしているんだけどね・・・
LAN1のステータス見ると100Mbps fullで接続はされているのだけど、
受信CRCエラーが増え続けているみたいで、受信パケットが全く増えてないから
このあたりが原因?
LAN1.1でのブロードキャストがキャプチャできる下位
できなきゃポートが物理破損JARO
>307
307のLAN1はLAN2の間違い・・・
>>308 ブロードキャストがキャプチャできるかどうかは、どうやってみるん?
初心者質問ですまん。
>>302 >/29のサービスと言っても、ネットワーク型か端末型かによって違う
いつもわたしはPPインターフェイスに固定IPを割り当てていますけど、
複数固定IPの割り当ての場合は、どうやってするのですか。
それでも、ルーターのPPインターフェイスの設定が必要だよね。
設定の違いはどんなところでしょうか。
ppインターフェイスって、IPアドレスしか割り当てができないとずっと思っていたけど、
ネットワークアドレスごと割り当てることもできるのですか。
まずいぞ
謝罪告知が必要なレベルだ
,,-i、 r‐',! ,―ッ r‐'i__ r‐┐ ┌┐ .,-、、
ヽ .ヽ-ー" 冖‐、 /''" `'''''''''',,,"''',! /'''"゙"^ `,,,,,,,〕 l'''''゙ "'''''''''''''''',! r‐″ ゙‐',i´'-,,"'ッ
〈^ 、 ,-┐ /', │ "'l {ニニニニ ̄゜,,二ニニ〃 .―-┐ "',! /'ニニニニニ冫",! 广゙゛ ,!''',!゙"
゙'゙゙゙l, .゙i、"''",l゙ .l゙.,―''二,"ヽ、 | _,,,---i、 .ヽ {,,,,-,yュェi、 .r‐ー'",―''二,"ヽ、 l゙ l゙ ゙l-――‐" │ l゙.,,-‐''" ヽi、
゙l, .ヽ i'、丿 .゙‐''″ ゙l | `''" ,l゙ .| /`,,,,,,,、 `゙゙゙',! .゙‐''″ ゙l | │ ,レーi、 .,. 〈,_.l゙,i´.,‐''',! r-l゙
ヽ .ヽ `" .,,-‐゙_,/ r‐''"`_,/′ .| .ヽ-″,/゙゙"′ ,,-‐゙_,/ .l゙ l゙ヽ `''ー‐'゙`,) ` ゙l ヽ-゙ ,ノ
.゙‐'" └''" ―‐''" `ー---'"` └''" ‘'''┘ `'―-ー' ゙'ー--'"
: : : : : : : :: :::: :: :: : ::::::::::::::::::::::::::::::::::::::::::::::::::::::::::
. . : : : :: : : :: : ::: :: : :::: :: ::: ::: ::::::::::::::::::::::::::::::::::::::
. . .... ..: : :: :: ::: :::::: :::::::::::: : ::::::::::::::::::::::::::::::::::::::: :::::: :::::::::::: : ::::::::::::::::::::::::::::::::::::::::::::
Λ_Λ . . . .: : : ::: : :: ::::::::: ::::::::::::::::::::: :: ::: :::::: :::::::::::: : :::::::::::::::::::::::::::::::::::::::::::::
/:彡ミ゛ヽ;)ー、 . . .: : : :Λ_Λ . . . .: : : ::: : :: ::::::::: :::::::::::::::::::::::::::::
/ :::/:: ヽ、ヽ、 ::i . .:: :.:. ./彡ミ゛ヽ;)‐、. .: : : :::::: :::::::::::::::::::::::::::::::::
/ :::/;;: ヽ ヽ ::l . ./ :::/;;: ヽ ヽ::i:. :. .:: : :: :: :::::::: : ::::::::::::::::::
 ̄ ̄ ̄(_,ノ  ̄ ̄ ̄ヽ、_ノ ̄ ..(_,ノ ̄ ̄.ヽ_ノ ̄■YAMAHA/netvolante終了■
どういうこと?
/´ `V´
| だ. し せ 1 1
| め な. つ か か
| か い め ら ら
| ?. と. い. か
ヽ、 ,、 ?
` ー――――‐'´, ゝ、 _,ノ
、 、 _,. -‐ ''"゛´ ̄ ̄ ゛" '' ‐- .,_ // ,/ |/:: ::
、―- .,_ヽ\, '" `'く/ :: :: :: :: :
> `>゙ /\ ヽ. 、 、 / :: :: :: :: ::
< ,' ,i /| / \ ', ヽ ヽ./ :: :: :: :: :: ::
> i /| /|,/ `"''、┼‐-\/ :: :: :: :: :: :: :
∠=--―| ; /-‐|/'''"|/ ● ;゙:: :: :: :: :: :: ::
|∧/ ● | :: :: :: :: :: :: :
,'゙| | :: :: :: :: :: :: ::
|| ,. -―‐- 、 !:: :: :: :: :: :: ::
゙、| , '゙ ゙', |:: :: :: :: :: :: ::
', i j i:: :: :: :: :: :: :: :
〉、 ヽ.__ ,,. -‐ ' "´ ヽ;: :: :: :: :: :: :
/ 丶. ,. イ `ー―‐┬‐
//| ` ,ー―;-、- -‐ '' "´ノ::ノ_,,.. -‐ ''('ー
´ レ'! / /,.ゞ-―..''.."".. ̄ ̄:: :: :: :: :: :: :: :
´,-‐i゙ '´:: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: :: ::
i´`i、_ノ :: :: :: :: :: :: :: :
,'´i、_ノ :: :: ::
素人にも分かるようにザックリ言葉でお願いします
あーあ。。。
わざわざNATの設定してあるという事は、意図してやってるのか?
ip lan1 address 192.168.3.1/24
nat descriptor masquerade static 1000 9 192.168.3.1 tcp www
だから自爆してないかい?
普通は「架空の云々〜〜」とか断り書き入れるもんだお。
ミスなのか/故意なのか/読めない奴を嘲笑う高度なネタか。真意を測りかねるお。
いつからこの状態になってんだお? 実害はないんかお?
ヤマハが間違えて顧客の個人情報を出してしまったってこと?
これって外部からメンテするようにしたかったんだけど
NetvolanteDNSの設定ミスをして
しかもパスワードを設定していなったんじゃない?
>>313のURLが出たということは
もう設定は改竄され放題かも...
もしくはクラックされてこうなったのか...
パスワードがかかって無いというのも信じられんし。
>>322 DDNSしか提供してないヤマハがなんで個人情報流失した事になるんだ?
>>325 だから真相は自爆+パスワードなしな馬鹿でヤマハは無罪だろ
これって、教えてあげた方が良いんだろうけど、
連絡先もわからんよなぁ。
IP電話はあるみたいだけど、つながってない。
その電話番号でググっても、何も出てこない。
固定IPアドレスで調べてみても、
上位のOCNの情報しか出てこない。
どういう経緯で見つけたのかが気になる
329 :
a:2011/03/29(火) 10:53:13.69 ID:???
330 :
a:2011/03/29(火) 11:00:56.08 ID:???
1. 2010/07/12 23:59:40 PP[01]:PPPoE:発信 6226:51:44 通信中
ずっとセッション繋がり中ぽい
331 :
a:2011/03/29(火) 11:03:14.61 ID:???
会社特定。
連絡してみる。
勝手にパスワードとか設定されたり
プロバイダー設定変更されたらかわいそうだな
以前はコンタクトできたOCNのメアドにも連絡してみた。
フォーマルな文体で書いといたから、これで無視するなら後はしらねw
335 :
アノニモス:2011/03/29(火) 13:14:46.21 ID:???
>>324 一体どういうことなの?
状況がわからない
ヤマハが自分のサイトをハックされたの?
ヤマハはDDNSのサービスを提供しているだけ。
netvolante.jpのホスト名ではあるけど、サイトそのものとヤマハはなんの関係もない(ハズ)。
一般のユーザーのものと思われるヤマハルーターの管理画面が、誰でも見られるような状態になっているということ。
>>335 DDNSって知ってる?
NetvolanteDNSって知ってる?
ただ単に
個人のルーターが設定ミスで外部から直接設定ページにアクセスできるって話で
さらにパスワード無しだったって話
338 :
332:2011/03/29(火) 13:23:54.89 ID:???
俺も、その会社の電話番号がわかったから、FAXで送っておいた。
「ルーターが丸裸になってるから、設定変えられて、
情報だだ漏れになってもしらんぞ。
わかんないんなら、すぐに電源切っとけ。」
ってのを一応丁寧な文章で、書いておいた。
339 :
アノニモス:2011/03/29(火) 13:25:25.64 ID:???
ありがとうございます
で、どうしてこうなったの?
自分は初心者でNVR500を初期設定のまま何もイジラズに使ってますが
このような脅威に常にさらされているんですか?
340 :
アノニモス:2011/03/29(火) 13:26:51.80 ID:???
>>339 パスワード設定してないと
ウェブ設定画面に警告でるだろ?たしか
設定してたら大丈夫だよ
なんかVPNセッションまで張ってるし 意味ないなあ
誰か切断してあげた方がよくない?
そしたらきづくんじゃないか
あらゆる人とのつながりを大切にします
>>343 それは俺も考えたけど
下手に切ってクラックと勘違いされると厄介なので
やらんほうが良いと思った。
取り敢えず住人はできるだけのことはしたから
あとはルータの管理者 or 所有者の行動に期待かと。
(親切な人のスレで良かったよね。)
>>331 そこから入って、工場出荷値に戻してあげた方がいいのだろうか
349 :
hage:2011/03/29(火) 14:40:24.14 ID:???
これ、設定いじれるんとちゃうか
PPTP の口をあけてあげると
もれなく LAN の中に入れてしまうじゃないか
122.27.254.36
誰か改変したな
不正アクセス祭りが始まりそうだな
これはひどい
どうやってこれを見つけたのかが気になってしょうがない
353 :
349:2011/03/29(火) 15:01:48.11 ID:???
保守用 PPTP あいてたのか
これ、絶対に繋げて、LAN の中に入ったやついるな
>>347 それは、さすがに威力業務妨害罪か電子計算機損壊等業務妨害罪が成立する。
やった人が犯罪者。
穴だらけとはいえ、現状で業務遂行には問題なく使えている。
それを力ずくで止めるのはまずい。
気づかせる方法は他にもあるし、このスレの何人かはそれをやっている。
355 :
アノニモス:2011/03/29(火) 15:03:32.39 ID:???
>>341 ルーターのパスワードでしょうか?
何も設定していませんし、警告画面も出ません
かんたん設定というヤツにしています
かんたん設定のページに入る前に、
ユーザー名とパスワードを入れて下さいというのが出てきますが、
空欄のままOKをして入ります
(初期設定として与えられているパスワードもありませんでしたので)
「rtv700 かんたん設定」の検索で1ページ目に122.27.254.36が出てくるな
357 :
anony:2011/03/29(火) 15:04:58.11 ID:???
一応、3カ所ともpingが通らなくなった。
管理者がやっとやばいことに気づいたか、誰かが改変したか。
前者だと信じたいが。
>>335 機種は何?
知る限りではRT57i、RT58i、RTV700はパスワード無しでWEB設定ができる。
もちろん、セキュリティー上好ましくはないが、
通常のインターネット接続だけなら、それでも問題になることはない。
今回の件は、なおかつWAN側からのポート23,80へのアクセスが
静的NATでルーターに向いていたことが問題点。
359 :
アノニモス:2011/03/29(火) 15:20:24.56 ID:???
>>359 ごめん。前に書き込みに書いてあったね。
そうかNVR500もパス無しでいけるのか。
たしか56vまでは、WEB画面にアクセスすると、まずパスワード設定画面が出て、
空欄だと先に進めなかった。
今回のようなことがあると、やっぱりパス無しは通さないのが正しい気がする。
361 :
アノニモス:2011/03/29(火) 15:32:24.86 ID:???
>>360 仕様上、NVR500のようなパス無しで先に進めるものをパス有りに変更できるのでしょうか?
パス設定できるからした方がいい
363 :
アノニモス:2011/03/29(火) 15:34:43.14 ID:???
>>362 ありがとうございます
説明書読んで出来るかどうか見てみます
configのページ(html&text)と環境設定のリスト、
いずれもアクセスできないようになってるね@netvolante.jp。
いちおう、342も通報しといた。
さすがにパスワードなんかは変えるだろうけどね。
...| ̄ ̄ |< YAMAHAの謝罪文掲載はまだかね?
/:::| ___| ∧∧ ∧∧
/::::_|___|_ ( 。_。). ( 。_。)
||:::::::( ・∀・) /<▽> /<▽>
||::/ <ヽ∞/>\ |::::::;;;;::/ |::::::;;;;::/
||::| <ヽ/>.- | |:と),__」 |:と),__」
_..||::| o o ...|_ξ..|:::::::::| .|::::::::|
\ \__(久)__/_\::::::| |:::::::|
.||.i\ 、__ノフ \| |:::::::|
.||ヽ .i\ _ __ ____ __ _.\ |::::::|
.|| ゙ヽ i ハ i ハ i ハ i ハ | し'_つ
.|| ゙|i〜^~^〜^~^〜^~^〜|i~
...|| || まさかリンクだけ消して終わりかい?
...|| || 失った信頼は大きいぞ〜〜
PS:18時の時点で、トップページに事象の告知や謝罪の掲載なし。
なんでそんな馬鹿丸出しのレス書こうと思ったのか
368 :
あのにます:2011/03/29(火) 18:20:39.87 ID:???
全然失われてませんから
>>366 「失った信頼」を100字以内でまとめなさい(20点)。
>>366 YAMAHA関係しないし。
そんなこと書くと名誉毀損で訴えられるよ君。
火消し対応ご苦労様です。残業中ですか?
DDNSが正常稼働してただけだろw
YAMAHAが関係あるって言っている人は、どういう根拠なんだ?
鍵をかけ忘れた家に泥棒が入っても、建築業者は関係ないと思うが。
むしろ謝罪するなら、開け放し状態で使っていた会社。
人材派遣会社みたいだけど、そこに登録している人の情報に
アクセスし放題だった可能性はある。
(LAN内部がどうなっていたかまではわからないから、あくまで可能性)
まあ、そのLANの設計によっては、外部からはそういった情報にはアクセスできない
ようになっていて、何かあっても会社内の被害だけで済むのなら、
そこも謝罪の必要はないが。
一つ言えるのは、内部の人か外注かはわからないけど、
そのルーターの設定をした人は大目玉。
pingは飛ぶから、すでに設定は直したみたいだ。
確かに、一番アフォなのはその人材派遣会社だろうな。発端はこの設定で放置していた会社の怠慢にあるんだから。
もしSI業者が噛んでいたなら(&その担当がよほどの間抜けでない限り)、セキュリティの問題には気付いたはずだし
気付いていれば、人材派遣会社がそのままの運用を強行しようとしたら、その危険性をとくとくと説明して
パスワードくらいかけさせたはずだと思う。
状況を把握しているワケじゃないから推測に基づく部分があるが、この人材派遣会社の内部の人材が
ネットワーク構築を担当していて、不明な点をヤマハのサポートに問い合わせたんだろう。
で、なんとか動く状態にもっていった、、、はずだ。自助&サポート支援によるネットワーク構築だったんだろう。
現状が晒されたconfigのままなのか、直接アクセスしたワケじゃないから検証のしようもないがな。
アクセス履歴が残れば、この会社が警察に被害届を出したとき、アクセス者の割り出しで被疑者リストに載るわけだし
場合によっては任意の事情聴取とかあり得る。そんな面倒に関わりたくない品。
でだ、そういう顧客サポートで得られた資料を不特定多数の面前に晒す行為のどこが無罪なんだ?
俺の常識では、拠点名を架空の地名に変更するとか、MACアドレスを(誰が見ても判るような)00:a0:de:xx:xx:xxとか、
グローバルIPをaaa.bbb.ccc.dddみたいに書き換える、プロバのアカウント名をもっと架空のものにする
SIPの設定も同様だ。そういう配慮がヤマハには求められるんだよ。わからんか? 無罪主張派&名誉毀損主張派のバカ共
こういう顧客からみて十分に曖昧化された設定を公開していたのか? ヤマハは。していなかっただろ。
だとすれば、不正アクセス事件を構成する一端を担っていることになるんだよ、ヤマハは。
もちろんん、いちばん悪い(バカで、ネットワーク構築の常識すら守らなかった)のは人材派遣会社だってことは
揺るぎないだろうな。でも、この会社が不正アクセスされたと警察に通報してみたらどうなる?
親告者の過失は責められるが、不正アクセスとおぼしき履歴を辿られ、任意という名の強制的な事情聴取で
数日(最大3週間かな)の接見禁止(選任された弁護士は規定の時間枠で接見可)になり、
きみの雇用や家族へ多大なる負担が及ぶことになる。
事情聴取ではこう答えるだろう、「2chで晒されていたURIから、netvolante.jpの記述をみつけ、
その設定に則りアクセスを試した」と。このプロセスで、ヤマハが適切な匿名化処理を施したものを公開していれば
馬鹿な人材派遣会社への不正アクセスは防ぐことができた。そして、ヤマハはそういう機器を販売する会社であり
そうしないで公開した場合に起きるであろう事案について予見できたと、司法は判断するんだよ。
原告は、この「一番バカでアフォな怠慢人材派遣会社」
被告は、不正アクセスを実行したと「警察」または「検察」が判断した奴、実行者と、
その幇助としてサポート部隊を擁するヤマハ(実際のサポート運営企業になるのかな)になるはずだ。
自己防衛として、YAMAHAが、実際のネトボランチサポート運営企業を訴えるという技も繰り出せなくはないが、
そこまでYAMAHAご本尊が厚顔無恥になれるかな。。
そこまで考えて、でもヤマハは無罪だと言えるのか?
よーく頭を冷やして考えろ。判断するのはオメーらじゃねぇぞ。
ネットワークに素人の警官であり、検察であり、司法だからな。librahackの事例ですらあの落としどころだぞ。
ただ、、そもそもの鍵かけてない時点で、被害者に重大な過失ありってことで、訴訟が受理されない可能性はある。
いくらなんでもそういう「一番バカでアフォな怠慢人材派遣会社」を庇護するほど司法もヴァカじゃあるまい。
と期待するが。。
376 :
あのにます:2011/03/29(火) 20:49:06.06 ID:???
>>375 パスワード(識別符号)がないのに不正アクセスとな?
377 :
あのにます:2011/03/29(火) 20:52:38.19 ID:???
>>374 > でだ、そういう顧客サポートで得られた資料を不特定多数の面前に晒す行為のどこが無罪なんだ?
お前絶対分かってない。
>>374 YAMAHAのサイトから漏れたのなら、その通りだ。
だがな、今回のは人材派遣会社に設置してあるルーターが
アホな設定がしてあって、しかもパス無しだったから、
誰もがアクセスできて、改変できる状態だったんだ。
だから、どこかにあったファイルが漏れたわけじゃなく、
リアルタイムにそこのルータがはき出すHTMLを見ることができた。
判ってないとか人格否定じゃなくて、「キミが被告として法廷に立たされた」ものとしてだ
法廷にいる検察官や裁判官など、説得できる根拠を示してくれないか。
エア裁判所でキミが被告人として存在してるものとして、きみの反論材料だ。
刑事裁判が最初に始まるから、その設定でよろぴく
380 :
あのにます:2011/03/29(火) 21:16:43.30 ID:???
>>379 お前は
>>378に書かれているような根本的なことが分かってないから
いちいち説明するの面倒。ここは業務向けのスレッドだぜ?
お前は netvolante.jp というドメイン名を見て、なんだかあーだこーだ
想像しているみたいだが、今回の件は少なくともネットボランチ DNS
サービスを使っていようがいまいが、関係ない話だ。
そしてお前はネットボランチ DNS サービスが何たるかを分かっていない
ことは明白だ。
電話帳に載せてくれと言われたから載せたのに、その結果振り込め詐欺にあったのは電話帳作った側に責任があるといわれましても。
なぜヤマハがあのページの公開をやめたのか説明できない件
>>374 ここがよくわからん
>でだ、そういう顧客サポートで得られた資料を不特定多数の面前に晒す行為のどこが無罪なんだ?
>俺の常識では、拠点名を架空の地名に変更するとか、MACアドレスを(誰が見ても判るような)00:a0:de:xx:xx:xxとか、
>グローバルIPをaaa.bbb.ccc.dddみたいに書き換える、プロバのアカウント名をもっと架空のものにする
>SIPの設定も同様だ。そういう配慮がヤマハには求められるんだよ。わからんか? 無罪主張派&名誉毀損主張派のバカ共
晒してたのはgoogleのロボットに引っかかったアホ設定のルーターのport80なんだが・・・
385 :
あのにます:2011/03/29(火) 21:40:41.85 ID:???
>>383 ヤマハが管理しているページだったと思っている残念な人なので
そっとしておいてあげて。
>>382 とりあえずもう一度言う。「ネットボランチ DNS サービスが何たるか」を
知る努力をしろ。
そして、ルータにホスト名が付いていようがいまいが、あまり関係なくて
問題の本質は
・パスワードを設定していなかった
・httpd host any (デフォルトは lan)にしていた
ということ。
>>382 公開していたのはYAMAHAでなくルーターのユーザーだよ。
YAMAHAは(多分)NetvolanteDNSでAだかCNAMEだかを返しただけ。
件のFQDNからたどって行けばOCNに行き着くのは解ると思うが。
はずかしいのうw
>>382 おれも、どのページのことを言っているのか気になる。
URLがわかっているんなら書いて欲しい。
で、ネットボランチDNSを知らない(よくわかってない)人が
いるみたいだから書いておくけど
sample.aa0.netvolante.jp
っていうのは、YAMAHAのサイトじゃあない。
確かに、netvolante.jpはYAMAHAが登録しているけど、
それを利用して、ネットボランチDNSというDDNSのサービスを
YAMAHAのルーターの利用者に無償で提供してくれているだけだ。
つまり、ユーザーがプロバイダを通して受け取るWAN側の動的IPと
sample.aa0.netvolante.jpというURLを結びつけてくれるサービス。
だから381の説明が非常にしっくり来る。
たまたまネットボランチDNSという電話帳に載っていただけだ。
だから、でたらめな電話番号にかけることができるように、
でたらめなIPアドレスを打って、それがたまたま問題のWAN側IPアドレスだったとすれば
やはり同じ結果になる。
実際3拠点あったうちの2カ所は固定IPアドレスを利用していたので、
ネットボランチDNSには関係なく、ルーターのアクセスできていた。
もし、YAMAHAに非があるとすれば、パスワード無しでルーターが運用できて
pp やトンネルのパスワードが平文でconfigに載るところにあると思う。
そこを突いて「設計が甘い」と言うのなら同意できる。
余談だけど。
上記の例だと、「sample」の部分は、ユーザーが自由に決められる。
「aa0」の部分は、YAMAHA側から指定される。
たとえば、同じ名前で複数登録すると、aa0、aa1、aa2というふうに増えていく。
ありゃ、すでに話題が少し流れたみたい。
リロードすべきだった。
削除済みの魚拓
取得日時 2011年3月29日 13:32
削除理由 個人情報削除済み
手続き日時 2011年3月29日 22:04
この魚拓は削除されました。
論点が噛み合ってない議論?もおわり?
もっとやれwwww
論点もなにも勘違い野郎がいただけの事w
>削除理由 個人情報削除済み
こういう理由なのに、公開してたヤマハは無罪なの?
でも魚拓は削除されちゃうん?
何かすげーモラルギャップがあるような希ガス
>>393 > 公開してたヤマハは無罪なの?
本当に理解できて無いのな。
まずDNSについて勉強しておいで。
話はそれからだ。
馬鹿みたいな設定をした奴が有罪な
お馬鹿さんはお引き取りください
>>393 なんでそんなに頭悪いんだ
これだけみんなが説明してくれてるのに
今回の件でヤマハに何らかの過失があるとするなら全世界のDNSサーバー運営者は訴訟の嵐だろうが
いや、その、なんだ。
いま春休みだろ。
名誉毀損とか著作権侵害とかの犯罪をおかしても
ホスト名がocn.ne.jpならOCNが捕まるわけですね
わかります
スレの流れとか空気読まずに質問させていただきます。すみません・・・
RTX1200に関してですが、LAN3をLAN1の9個目のスイッチポートとして
使用できますでしょうか?(IPアドレスを割り振らずに)
構成は、LAN1の8ポートをPC用、LAN2をWAN回線として使用。
(1ポートだけ足りないのですが、HUBを買わずにできるかな、と思いまして・・・)
>>403 すみませんでした。ここではなかったのですね。専用の方に出て行きます。
えっ?
ここにはヤマハの社員さんがいっぱいいるよ
でもちゃんとこたえてくれないけどね
>>402 もったいない使い方。
ハブくらいかえばいいのに。
LAN1ポートはたしか、ポート分割機能も使えて、ネットワークを分割して使える。
ハブのポートとはわけが違う。
そのやりたい設定だが、設定する時間とか、管理にかかる時間のほうが無駄に思った。
技術的な興味から行いたいというのなら、かまわないが。
インターネット側からアクセスできるような設定がマウス操作でできるというGUIも考えものだな。
ルーターに穴を開ける設定はCUIでしかできないようにするなど変更したほうがいいのかもしれないな。
今売られてるルーターはGUIがほとんどだろ
ヤマハのも、ルーター自体のIPを明示してしかフォワードされないようになっているか?
たしか、ルーターのIPを明示しなくても穴をあけられるようなGUIになっていなかったか。
他のルーターはそんな親切なGUIではないと思うが。
NTTの、Bフレッツベーシックなどと、光ネクストが
統合されるという話を聞いたことがあります。
これは実際にはいつ行われるのでしょう。
それによって何かメリットはあるのでしょうか。
たとえば、IPv6サービスを共に受けられるようになるとか。
現在ではネクストを使っているところをホストとして、
BフレッツをゲストとしVPNを相互に運用できます。
統合されればこのホスト、ゲストのような関係はなくなるでしょうか。
>>408 Webインターフェイスでできることはできるが
マウスで適当にぽちぽちやってるだけでは外からアクセスできないのでは?
>>410 >ヤマハのも、ルーター自体のIPを明示してしかフォワードされないようになっているか?
DMZホストか静的IPマスカレード関連でルータの内側のIPを指定しない限りは
設定画面にアクセスできないはず。
もしWebインターフェイスだけで可能な設定があるなら追試するよ。
>>412 ん、静的NATってWEB設定で出来たっけ?
(WEB画面上でコマンド入力ってのはナシで)
RT58iだから、基本的にRTV700と同じような画面だが、
それらしいのは見つからないが。
俺の探し方が悪いだけか?
>>413 できるでしょう。
rt57iでは、IP電話(5060など)通すためにguiで設定できたぞ。
たしか。
415 :
NGN:2011/03/31(木) 12:12:40.21 ID:???
>>412 初期状態(NATが掛かっていない状態)なら
[詳細設定と情報] > [ユーザとアクセス制限の設定]の
「HTTPの利用を許可するホスト」で「すべて許可する」を選択すれば
LAN2側(WAN側)からでもかんたん設定ページを開く事ができるよ
>>413 [詳細設定と情報] > [基本接続の詳細な設定] > [プロバイダの修正(WANポート)]にあるよ
端末型接続の場合は「静的IPマスカレード関連(フィルタの自動定義:80番〜89番)」、
ネットワーク型接続の場合は「NATの設定」が表示される
>>416 それでいけた?
多分コマンドとしてはhttpd host anyだと思うけど
デフォのtelnetd host anyだとWAN側から入れないから
こっちも入れないものと思い込んでたな。TNX
それはちょっとまずいね。
>>417 NATかかってない状態なら
逆に「デフォのtelnetd host anyだとWAN側から入れない」
方がおかしくないか?
>>415 >2012年度末までに完了予定
詳しい人ありがとう。
BフレッツもNGNに統合されて、ネクストと区別がなくなるという認識でいいのですか?
もちろん、RTX1100ユーザーです。
スレ地ごめん。
>>418 すべては、静的ナットと、静的フィルタが、WAN側インバウンドを制御しているでしょう。
もちろん、httpd host anyとか、tftp host anyとか、telnetd host anyとかは、さらに別に定義必要。
>>418 いやNATがかかって無い状態だからこそ
WAN側から入れないのが普通で
一種のフールプルーフみたいなものと思ってた。
あとサーバ公開(NAT)の設定がしてあったせいか
Webからhttpd host any相当の設定をしても
他の設定はオーバーライドされなかったんで
こっちでは検証できんかった。
複数インターフェースのUNIX系だと0.0.0.0:80でオープンするから全部受けつけるって感じだと思ってた
ブロードバンドルーターとは違う「ルーター」という物を知らない人が多いのかな。
ローカルルーターとも呼ばれるルーターは、2つ(以上)のネットワーク間を対等に
中継する機器だから、それぞれのネットワークインタフェースにはLAN側かWAN側
かといった概念は無いよ。ネットボランチであっても同じ事。
どのインタフェースをどんな用途に使うかは管理者が決める事だしさ。
もともとルーターといえばそっちでしょ
新しく出たスイッチの話題ってここでよいのかな?
操作・モニタはルーターで行うらしいし、設定もルーターのConfigに書かれるらしい
ハードウエア板のスイッチスレ見てきたけど、いまいちしっくり来ない(Yamahaルーター持ってなくて単独で使う人はかなりレア?)
ちょと興味あるので、もし許されるなら買った人レポお願いしたい
ヘイボーイ。報告ってのは実際にやってからするもんだぜ。
お前さんはそれをIYHして爆死するのが怖いから、先に誰か買って
試した結果だけ教えてくれってのがミエミエでせつなくてチンコが痒くなるぜ。
改変コピペで答えてあげるよ(はぁと)
製品としては、このスレで扱う範囲だとは思う。一応マジレスするなら
>お前さんはそれをIYHして爆死するのが怖いから
当然だろう
でも、ここはコミュニティー、情報はしっかりと共有される。
もちろん、あなたも。
それをわすれてもらっちゃあかなわない。
RT56vなのですが、口グにつぎのエラーがあって、SIPサーバーへの発信ができなくなりました。
2011/04/01 11:36:05: Rebooted by Malloc Fault
2011/04/01 11:36:05: RT56v Rev.4.07.54 (Mon Mar 14 15:22:38 2005) starts
<略>
2011/04/01 22:42:16: [CA] Deleting Gateway [sgw.xxxxxxxxxx] Kind [SGW]
2011/04/01 22:42:16: [CA] Adding Gateway [sgw.xxxxxxxxxxxx] Kind [SGW]
SIPサーバーへの発信試行ごとに、<略>からしたのエラーが繰り返されています。
これは、なんなのでしょう。
とりあえず、月2回でスケジュールリスタートを設定しておきました。
RTX1100なんかでもキープアライブ設定は必要になっていますか?
>>428のつづきレポート
だめだった。リブートしても直らない。
電源落として再投入しても駄目だ。
2011/04/01 23:00:59: [CA] Adding Gateway [rgw.xxxxxxxxxx] Kind [RGW]
SIPサーバーへ発信すると
うえのエラーが出る。
もちろん、SIPサーバーは正常なのを別のクライアントで確認済み。
rt56vがもう寿命なのだろうか。急に駄目になったなあ。
でもFXSから、FXOへ抜けていくアナログラインへの発信はできるし、
ログにもその記録が残っている。
>>429 すみません。レポートしておきます。
代替機(RT56v)で試してみましたが、同じエラーがでました。
さっきのRT56v壊れていなかったと判断します。
でも、どうしたんだろう。急にSIPサーバーへの接続ができなくなってしまったり、
mallocエラーを吐いたり。
SIPサーバーで何らかの変更がおこなわれたのかな。
わからん。
>>430 スレヨゴシ、スレチ御免です。結末まで書きます。
直りました。
きっかけは、malloc errorによるリブートでした。
その後、DNSサーバのアドレスが取得できなくなってしまったようです。
(リブートなどもしてみましたが、回復しなかったのは謎)
dns server 192.168.x.x の記述で、回復しました。
名前解決エラーで、SIPサーバに接続できず、[CA] Adding Gatewayというエラーを吐いていたようです。
もっとわかりやすいエラーにしてくれればと思いました。
予備機でなく、元のRT56vで動作させています。
>>432 うん
てか非対応のルーター探すほうが難しい。
ありがとうございます。
FTPは色々とややこしいみたいなので安心しました。
うーん、UcomってグローバルIP1個だと、IP払い出し式になり XX.XX.XX.XX/30で非認証でつながり
ローカルルーター的な感じになるんだけど
LAN1:社内 10.10.0.0/16 HTTPS(443)
LAN2:WAN /30
LAN3:DMZ 192.168.1.1/24 WEB(80)
+IPSEC(3箇所 10.20/10.30/10.40)
という状態で
LAN2がPPPoEだったころは IPマスカレードで LAN1にもLAN3にも通ったけど
LAN2をUcomにしたとたん、HTTPSへのマスカレードが通らなくなった
DMZのWWWは見えるし、IPSECも正常なんで、これって仕様なんかね・・・
さて困ったな、HTTPSサーバをDMZに入れれば問題ないのはわかってるけど、それもなぁ
ちなみに、これセンチュリーのXRも同じなんだよね
アライド試してみるしかないのかね
>>435 いや、たぶんPPでも無理だよ
IPSECトンネルの仕様で、IPSEC対象のセグメントは全て暗号化されるので
その構図ではLAN1へのIPマスカレードは全て失敗するはず
DMZに置くしかないと思う、RTXなら強固なセキュアフィルター組めるはずだしDMZに持っていくべき
もしくはIPv6で穴空けるてもないこともないけど、IPv4では通らないので全てのサービスが提供できる保証は全くない
フィルタの設定について、ご教授下さい…
lan1 などの指定で lan インターフェースに対してフィルタが設定できる
のは分かるのですが、pp1 などが別途設定されていた場合、フィルタの
優先順位はどの様になるのでしょうか?
例えば、lan1 でなりすまし拒否のために 192.168. をリジェクトしていた
として、pp1 から pptp などで 192.168 のなりすまし「ではない」パケット
が入ってくる可能性があると思うのですが、皆さんそういう時はどうする
のでしょうか…?
ご教授頂けますと幸いです。
438 :
あのにます:2011/04/04(月) 15:32:53.38 ID:???
pp1の入側フィルタに送信元192168はダメってフィルタ作る
ありがとうございます、見てます。
見てます、じゃないや、見てみます、ですw
お教え頂いたサイトは専用線の事しか書いていないので
PPPoE を行っている場合について、あるいは PPTP で
VPN をしている際の挙動についてはよく分かりませんでした…。
もう少し調べてみます、何か追加情報等ありましたら是非
お教え頂ければと思います。
>>441 少し勘違いしているようですね。
VPNの場合WAN側のフィルタは経由しませんよ(カプセル化のGREとTCP1723は別)
RTシリーズのデフォルトで定義されるようにPP1に
pp select 1
ip pp secure filter in 200000 200001 200002 200003
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
としてもVPNでプライベートIPは利用できる。
というか是非入れた方が良いですね。
>>442 そうなんですか!!!
ありがとうございます。
でも、以前設定した時に pass する様な設定を書かなければ
通らなかった様な………。あれは何か他の部分が間違っていたのかな。
書いておきます、ありがとうございます。
度々すみません…。
nat descriptor masquerade static 1 1 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 2 192.168.1.1 gre *
こういう記述って、何故必要なのでしょうか?
グローバル−グローバル のルーター同士の接続でもこれは
必要なのでしょうか?
そもそも何故これが必要なのかが分かりません…。
すみませんが、どなたかお教え頂けないでしょうか。
色々調べたのですが分かりませんでした。
説明不足ですみません。
上記は PPTP の拠点間接続をする際の話です。
ルーター自体にグローバルなアドレスが割り当てられていれば
NAT も何もないのでは…?と思うのですが、何故あの様な
記述が必須なのかが分かりません。
>>445 不要と思うんであれば、その記述を外してみれば?
ヒント1
どの接続であれグローバル-グローバルでなければそもそもインターネット越しに接続は出来ない
ヒント2
NATを利用してなければ上記設定はいらない
Yamahaのウィザードは完璧には程遠いが、それが判るようになるとウィザードが不要になる
というジレンマを抱えているな・・・
LANに接続するためのPPTPの口はルーターのLAN側に居て
WANから一度NATを通ってLANに入る必要があるってイメージかなぁ
>>448 ウィザード使って設定すると、何をされるかわからないので、絶対に使わない。
設定を破壊されてしまいそう。
>>450 最初に1回つかって、それを元に弄るのはそれなりに楽だけど
ローカル向けのプライベート全部禁止してたりするので、サーバーを通す時にはハマる時がある
内側からは問題なく使えるからね
とりあえず、RTXは show を一通り全て覚えるのがまず先かなぁ
インターフェースごとに、DHCPでクライアントに渡す情報を変えることはできるでしょうか。
今現在、RTX1100には次のような情報が設定されています。
# DNS configuration
dns server 8.8.8.8 8.8.4.4
dns notice order dhcp server
しかし、これでは全てのインターフェイスで、DHCPによって共通のDNSサーバアドレスが配布されてしまいます。
やりたいことは、たとえば、LAN1インターフェイスではDNSサーバーアドレスとして8.8.8.8を通知し、
LAN2インターフェイスではDNSサーバーアドレスとして8.8.4.4を配布するというようなことをしたいのです。
どうすれば良いでしょうか。
よろしくお願いします。
普通に dns server selectではダメ?
dhcp scope option はどうかな?
>>453さんありがとうございます。
さっそく、dns server select でぐぐってみました。
http://www.rtpro.yamaha.co.jp/RT/manual/Ver.1.00/dns/dns_server_select.html を参照しました。
>DNS 問い合わせの解決を依頼する DNS サーバーとして、
>DNS 問い合わせの内容および
>DNS 問い合わせの送信元および
>回線の接続状態を確認する接続相手先情報番号と
>DNS サーバーとの組合せを複数登録しておき、
>DNS 問い合わせに応じてその組合せから適切な DNS サーバーを選択できるようにする。
ところで、今更ながら思うけど、非常に文章がわかりにくい。
主語述語がミスマッチしているところもある。
長い文の構造も考慮されていない。
>DNS 問い合わせの解決を依頼する DNS サーバーとして、
というところから、リカーシブサーバーとしての振る舞い方の設定を行うコマンドだとわかった。
しかし私のやりたいことは、
クライアントの属すネットワークに応じて、異なるDNSアドレスをDHCPで配布することだから、
このコマンドでは無理みたい。
・・・浦島で悪いが
ttp://www.rtpro.yamaha.co.jp/RTX1000/FAQ/lan_3.html LAN1/LAN2/LAN3毎にDHCPサーバ機能を使用することができますか?
ip lan1 address 192.168.1.1/24
ip lan2 address 192.168.2.1/24
ip lan3 address 192.168.3.1/24
dhcp service server
dhcp scope 1 192.168.1.2-192.168.1.254/24
dhcp scope 2 192.168.2.2-192.168.2.254/24
dhcp scope 3 192.168.3.2-192.168.3.254/24
ttp://www.rtpro.yamaha.co.jp/RT/docs/example/local-ip.html #
# RTに関する設定
#
ip lan1 address 192.168.0.1/24
ip lan2 address 192.168.1.1/24
#
# DHCPサーバの設定 (オプション)
#
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.254/24
dhcp scope 2 192.168.1.2-192.168.1.254/24
これじゃだめなんか?
>>457 それだと、ネットワークごとに適するクライアント用IPアドレスを配布するだけになる。
しかしDNSサーバアドレスについてはネットワークごとに異なるものを与えられない。
>>458 そっか、DNSサーバー値をキャストしたいのか すまん
ip lan1 address 192.168.0.1/24
ip lan2 address 192.168.1.1/24
dhcp service server
dhcp scope 1 192.168.0.2-192.168.0.254/24
dhcp scope 2 192.168.1.2-192.168.1.254/24
dhcp scope 1 6=192.168.0.1
dhcp scope 2 6=192.168.1.1
こんな感じか?
ip lan1 address 192.168.0.1/24
ip lan2 address 192.168.1.1/24
として
dhcp scope 1 192.168.0.2-192.168.0.aaa/24
dhcp scope 2 192.168.1.2-192.168.1.bbb/24
dns server select 1 8.8.8.8 any . 192.168.0.1-192.168.0.aaa
dns server select 2 8.8.4.4 any . 192.168.1.1-192.168.1.bbb
もしくは
dhcp scope 1 192.168.0.2-192.168.0.aaa/24
dhcp scope option 1 dns=8.8.8.8
dhcp scope 2 192.168.1.2-192.168.1.bbb/24
dhcp scope option 2 dns=8.8.4.4
ってこと? ごめん、、いまいち書式あやふや。間違ってたら指摘お願い
DHCPでの割当範囲外の固定IP端末を接続する場合は、dns server selectで、aaa、bbbの範囲を広げて使えってことか
VPNの速度について質問です
RTX1100とIPsecでVPNを組むなら
上位機種を対抗側に入れても速度的な意味は無いでしょうか?
>>463 効果はあるよ当然
ただ相手がどの暗号化のチップをハードで持ってるかにもよる
Yamahaの1x00ならAESが一番速いだろうし、センチュリーとか他社だと3DESしか積んでない機種もある
1100 <-> 1100と1100 <-> 1200で、速度に違いが出るものであれば
1200の導入を検討します。1100で出せる速度が上限になってしまうかと
思っていました
ありがとうございました
>>465 いやあの、今の時点でRTX1200以外の選択肢はないだろ・・・
467 :
anonymous:2011/04/08(金) 08:51:57.07 ID:tWll+Uuf
フィルタの順序について質問があります。
インターフェイスにかけた静的フィルタは、掛けた順番に適用の可否がチェックされます。
ということは、その順番が早いフィルタを適用されるパケットの処理も早いということになるでしょうか。
高速処理を求められるIP電話パケットなどは、一番目に掛けたフィルタで処理されるべきでしょうか。
よろしくお願いします。
そりゃ早いけど最初のパケットだけだよ
次のパケットからはパスが出来てるから処理速度は変わらない
そんなファストパス仕様
>>468 ああ、そういうことなのですか。
よくわかりました。ファストパスか。
ありがとうございました。
でも、Lanインターフェイスを分割してネットワークを分けているような設定にしていると、
RTX1100の場合はファストパス処理されない。
RTX1200では、分割してもファストパスになるのかな。
なる。
LAN分割機能を使う人なら、そのためだけに
1200に買い換えても良いぐらい、速度が違う。
オークション見ていたら、RTX1100の値崩れが激しい。
RTX1200は6万する。
>>465 複数拠点でセンターを1200にするなら意味あるだろうが
2拠点間なら1100で出せる速度だろ
>>472 個人的には、RTX1500の値崩れのほうが激しい気がする。
半年前なら、2万円台中盤ぐらいだったのが、今は1万円台前半。
場合によっては1万円割れで、RTX1100と変わらないぐらいのこともある。
>>473 今朝ヤマハに電話したらそう言われました
世の中そんなに甘く無いってことで
>>474 で、皆さん売っちゃって、何に移行しているのだろうか。
rtx1500 rtx1100を使っている私は時代遅れ?
rtx1500売っちゃって、下位のrtx1200に移行しているの?
スペック的に下位ともいえない状態じゃね?
下位とも言い切れないような・・・
IP電話のショートパケットの処理濃緑なんかは?
☆ チン マチクタビレタ〜
マチクタビレタ〜
☆ チン 〃 ∧_∧ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ヽ ___\(\・∀・) < RTX1500の後継モデルまだ〜?
\_/⊂ ⊂_ ) \_____________
/ ̄ ̄ ̄ ̄ ̄ ̄ /|
| ̄ ̄ ̄ ̄ ̄ ̄ ̄| |
| 愛媛みかん |/
センター:RTX1500 拠点:RTX1200(RTX1000から代替)で頑張ってます。
RTX3000があるじゃないか
ルーターのアドレスにhttpでアクセスすると、
「ルーターの状態をメールで送信したり、ファイルに保存することができます。」
という項目に「作成する」ボタンが現れるよね。
そうすると、さらに「作成したレポートの処理を選択して"実行"ボタンを押してください。」という
ウインドウが開くので、「ファイルに保存する」を選択し「実行」ボタンをクリック。
めでたく、ステータス情報が現れる。
でも、
http://ルーターのアドレス/status.txtをダイレクトに呼び出しても、
同じページが開くわけだ。
わざわざ「作成」ボタンを用意して動的作成を印象付けるなんて、なんか違和感あるよね。
>>482 \307,990
ISPでも経営するの?
>>483 ここは小規模〜のスレなんで、GUIの出来栄えなんか気にする人居ないから・・・
君の発言が一番違和感あるような・・・
RTX1200[PPPoE,IPsec]−拠点LAN(20拠点)
|
[Bフレッツファミリー100]
|
グローバル[ISP:全てKDDI]
|
[Bフレッツベーシック]
|
1812J[PPPoE:固定IP]−RTX1500[IPsec:固定IP]
| |
FW[固定IP] −−−−− 支店LAN
上のようなネットワーク構成になっており、
拠点からのグローバル接続は
RTX1200→RTX1500→FW→グローバル
のように一度支店LANを経由する構成となっており、
最近拠点を増加させたため、インターネットが遅いとクレームがあります。
BフレッツベーシックをBフレッツ光ネクスト ファミリーエクスプレス(1Gbps)へ変更を考えましたが、
KDDIが対応しておりませんでしたし、1812Jが100Mbpsなのであまり意味がありません
そこで、
RTX1200[PPPoE,IPsec]−拠点LAN(20拠点)
|
[Bフレッツファミリー100]
|
グローバル[ISP:全てKDDI]−−
| |
[Bフレッツベーシック] [Bフレッツ?]
| |
1812J[PPPoE:固定IP] RTX1500[IPsec:固定IP]
| |
FW[固定IP] −−−−− 支店LAN
>>485 もちろん、GUIは、CPUの使用率やVPNの状態、そしてステータステキストを見るくらいにしか使わない。
でも、できばえを気にしないとは言っても、まったく無視するのもどうだろうか。
のような構成を考えましたが、
新規のBフレッツ(Bフレッツ?の所)のプランは
ベーシック(100Mpbs占有)とファミリーハイスピード(200Mbps共用)
のどちらが良いでしょうか?
RTX1500は後継機種が出れば、それを購入する予定です。
先生方のお力をお貸しください
>FW[固定IP] −−−−− 支店LAN
の意味がよくわからない。
FW固定って?
破線の意味は?
>FW[固定IP] −−−−− 支店LAN
はファイヤーウォールにグローバル固定IPアドレスがあり、NAPT設定しております。
破線(−と|)は物理接続になります
インターネットが遅いなら固定じゃなくてもいいだろうし別口用意するか
Bフレッツ光ネクスト ファミリーエクスプレスでグループアクセスみたいなので拠点と接続したら?
それぞれの拠点で、外部への速度はかって
それと、現状のVPN通信速度も測って
どこがネックか見ないとわからないでしょ。
1812J[PPPoE:固定IP]−RTX1500[IPsec:固定IP]
| |
FW[固定IP] −−−−− 支店LAN
これね、1812Jに、FWというのと、RTX1500がつながっているけど、
どういう接続なんだろう。
結局聞きたいことは、
「新規のBフレッツ(Bフレッツ?の所)のプランは
ベーシック(100Mpbs占有)とファミリーハイスピード(200Mbps共用)
のどちらが良いでしょうか?」
なわけで、このスレの話題としてはなんとなく違和感ある
RTX1000を使っています
一昨日の夜からPPPoEがほぼ30分間隔で切断されるという現象が発生しています。
回線はフレッツマンションタイプでNTTとISPからは問題なしと言われております。
実際PCをVDSLモデムに直結したところ、問題なく1時間以上接続できておりました。
RTXの設定は数カ月触っておらず、それまでは問題なく動いておりました。
以下、該当時刻のdebugログです。
Apr 10 21:36:39 192.168.0.254 PPPOE[01] Receive PPP in inappropriate state
Apr 10 21:36:45 192.168.0.254 PP[01] Detect down via LCP keepalive
Apr 10 21:36:45 192.168.0.254 PP[01] SEND LCP TermReq in OPENED
Apr 10 21:36:45 192.168.0.254 c0 21 05 02 00 04
Apr 10 21:36:45 192.168.0.254 PP[01] SEND LCP TermReq in CLOSING
Apr 10 21:36:45 192.168.0.254 c0 21 05 03 00 04
Apr 10 21:36:45 192.168.0.254 PPPOE[01] Disconnecting, cause [PPP: LCP Keepalive failure]
Apr 10 21:36:45 192.168.0.254 PPPOE[01] SEND PADT
Apr 10 21:36:45 192.168.0.254 11 a7 ca da 00 00
Apr 10 21:36:45 192.168.0.254 PPPOE[01] Disconnected, cause [PPP: LCP Keepalive failure]
Apr 10 21:36:45 192.168.0.254 PPPOE[01] Connecting to PPPoE server
続き
PPPoE関係の設定は以下の通りです。
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname XXX@XXX XXXXX
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ppp ipv6cp use off
ip pp nat descriptor 1
pp enable 1
私の知恵では万策尽きました…。
何かアドバイス等頂けないでしょうか。宜しくお願いします。
pp keepalive use
か
pp keepalive interval
辺り。
>>498 >一昨日の夜からPPPoEがほぼ30分間隔で切断される
今までは不具合は生じなかったの?何か設定を変えたの?
不具合が生じるようになったときにやったことは?それとも急に?
>>498 内蔵の電源部が劣化してきてるとか、環境設定ではない要因も考えてみた?
もし、分解上等な人なら、電源部の様子とかみてみたらいいとおもう。
可能性の話だから、これが原因と決めつけているワケじゃないよ。
503 :
498:2011/04/11(月) 11:37:32.99 ID:???
>>500 ありがとうございます 確認します
>>501 1年半くらい運用していますが、今までは安定していました
設定も変えておらず急にです
別の個体にconfig移しても変わらないのでおそらく故障ではないと思います
ほぼ30分置きなら、その付近を狙って DEBUGタイプの SYSLOG取ってみれば?
keepalive辞めてみたら?
RTが壊れてないならVDSLあたりでリンク張っててもまれに通信できないときがあるんじゃね?
507 :
anonymous:2011/04/11(月) 12:41:05.47 ID:ls2rMSoq
>>503 >設定も変えておらず急にです
>別の個体にconfig移しても変わらないのでおそらく故障ではないと思います
そのことをNTTに伝えるべきだと思う。
うちも、ファイバの問題でそのLCPなんたらというエラーでVPNが頻繁に途切れたことがある。
プロバイダに問い合わせて接続ログを提供してもらって、それも証拠に挙げればNTTは動いてくれると思う。
異常なしって言われたそうだけど、簡易検査では正常ってでることがあるのだろう。
うちはONUを交換してもらっても駄目だった。
光ファイバの収容器への接続に不具合があったとわかり、直してもらった。
ファイバを疑って要調査だね。
一般的なブロードバンドルーターって、静的フィルタの類はないのですか?
NATPだけで防御しているのでしょうか。
ある
静的も動的もある
>>508 Yamahaのルーターはあるけど
一般的なBUFFALOとかのルーターには静的フィルタはあっても動的はないかもね
ステートフルインスペクションを動的フィルターと定義するなら、大抵あるけど・・・
511 :
anonymous:2011/04/11(月) 14:28:10.64 ID:ls2rMSoq
一般的なブロードバンドルーターも、
RTXみたく細かく自由に静的フィルタを掛けられるの?
そんなことしたら、一般の人は使えないと思うけど。
>>511 静的フィルタは結構用意されてるよ
設定できるかどうかは利用者次第だけど
簡易設定だったりウィザードだったり
あと暗黙のフィルターもあったりする(外部公開できるのは末アドレス40以上とかね)
ただ一般的な家庭は動的IPだから、そもそも静的も動的もまともなフィルター設定が不要だったりするけどね
またサーバーサービスのほとんどは今はアウトソーシングされてるので、メールにしろWEBにしろ自分の家で
構築するのは趣味人だし、その手の人は十分なスキルもあるので心配無用でしょう
結局ルーターと名のつく商品であるので、最低限のフィルタリングやVLAN機能はあるけど
実際使いたくても、環境が使えない状態になってるほうが多いんじゃないかな
UNYUNとか懐かしいな
>>512 >簡易設定だったりウィザードだったりあと暗黙のフィルターもあったりする
なるほど、一般的なbbルーターは、RTXのような細かい設定なしに自動的にお勧めの組み合わせでフィルタされる仕組みなのか。
ユーザーには静的フィルタだとか、動的フィルタは直接は意識されないわけだね。
NAPTを通ってくるパケットは、そういうフィルタの制限に引っかかるよほど特殊なものでない限り、
そのままプライベートにあるクライアントへ渡されるようなのかな。
いや、実は、RTX1100でSIPフォーンを使っている。
友達が私のところへアクセスすると、いつもつながらない。
私が友達のところへアクセスすると、うまくつながる。
これは、友達のBBルーターがほぼNAPTだけだからなんだろうな。
しかし、私のRTX1100ではNAPTに加えて動的フィルターが張られているからだ。
私のところではNATテーブルではSIP通信のパスは自動的に作成されているけど、外向きに掛ける動的フィルタがタイムアウトになっているのだろう。
なんでだろうねと首をかしげていたが、
一般ルーターではほぼNAPTだけだったからうまくいったんだと思った。
SIPデバイスIPへのRTXの静的パスフィルタでも書いてみようと思いました。
ありがとう。
そのSIPデバイスはUPnP対応じゃないのか?ならUPnPをonにすれば良い
RTXにはsip-natという罠もあるから注意しろ
>>515 >SIPデバイスはUPnP対応じゃないのか
使っているのは、インテリジェントなSIPサーバーなので、実際に送信されたSIPパケットを見て、
接続先ポートを判断してくれる。
5060ポートをあらかじめ開けていなくてもかまわないんだ。
SIP-NATさえ使わなくても通信できてしまう。
とてもインテリジェント。
実際問題、今なおUPnP使うアプリってどんだけあるんだろ
Skypeとかはうまく回避するよねそのへん
ヤマハはともかく、ちょっと業務用ちっくなルーター使おうとおもったら軒並み非対応だからなぁ…。
スカイプはいざとなったらサーバー経由でやり取りする
>ちょっと業務用ちっくなルーター
一般家庭だけだよね、UPnP使うの。
>>519 えっ!常にサーバーを経由しているんじゃないの?
skypeってP2Pで通信しているの?
もし、P2Pだったら、相手のIPがログに残ってしまうよ。
それはスカイプ的には問題になるんじゃ?
>>521 スレ違い。Skypeの通信方法はググればいくらでも出てくる。
【お約束】
・ここはYAMAHAルーターで、小規模〜大規模のネットワークを構築、運用する人の
ための情報交換スレッドです。
・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は以下のスレッドへ。
>>526 だけど、見ず知らずの相手のIPが判明したら危ないことをされそう。
ITSPのほとんどは、全部サーバー経由だよ。
httpでルーターにアクセスされたりして。
そんなのP2Pなら当たり前な世界
スカイプとか他になにもしてなくてもポートスキャンなんて当たり前の世界
ポート80でアクセスされて不都合があるならネットにつないだ段階で同じ
WANから80繋いでルーターの画面に繋がっちゃうような設定してる人が悪い
そうだな、引っ込めた理由を説明するべきだな
伏線から創造されるものがあることが理解されないから
533 :
hage:2011/04/12(火) 10:34:53.01 ID:???
UPnPなんて気持ち悪くてonに出来ないぞ
SIPパケットは静的natを手動で書いて通せ
単なる愚痴だけど
OPTシリーズ好きだったのに
UPnP厨のバカ共がUPnP非対応のOPTを散々貶されたのでUPnPにはいい思い出が全くない
つうか、必要ねぇじゃん・・・
そもそもちゃんとNAT通せばなんの問題もねぇっての・・・
ドリキャスの温泉だってちゃんと通せたよ・・・ 糞が
未熟なルータースキルでUPnPマンセーしやがって
つうことでRTXでもUPnPなんて絶対にONにしない
>UPnP厨のバカ共が
UPnP厨のバカ共に
無銭でルータがUPnPだとP2Pやり放題で幸せ( ? ?? ? )
アクマだな
http://xn--9ckc3c2ep68q.seesaa.net/article/174164769.html によると、
”Bフレッツ(インターネット回線サービス)でひかり電話を利用する場合、データコネクトは利用出来ません。”
ということらしい。これはショックだ。
ひかり電話なんて今やどこでも使っているサービスだ。
うちもネクストでひかり電話を使おうと考えている。
RTX1200を購入して、データコネクトでバックアップのリモートアクセスを確保しようと考えていたが、
ひかり電話を導入する以上はリモートアクセスは不可能というわけだ。
ISDNもそろそろ廃止されるし、バックアップの確保はどうしたらいいんだろうな。
というか、他のメーカーのルーターにはそういうバックアップなんてないのだろうか。
>>538 NEXT で光でんわ利用はok, BフレッツはNGってことでしょ
540 :
あのにます:2011/04/13(水) 17:31:50.42 ID:???
>>538 何を言っているのか分からないけど、Bフレッツと光ネクストは別物よ?
その上でBフレッツは駄目ってことなんだけど。
>>539-540 ”Bフレッツ(インターネット回線サービス)でひかり電話を利用する場合、データコネクトは利用出来ません。”
データコネクトって書いてある。データコネクトを提供しているのはネクストだよ。
だから、「Bフレッツ」は、フレッツ光ネクストの間違いなんじゃないの?
あくまでも、フレッツ光ネクストの話だと思うよ。
”フレッツ光ネクスト(インターネット回線サービス)でひかり電話を利用する場合、データコネクトは利用出来ません。”
ということになるんじゃないのかな。
542 :
あのにます:2011/04/13(水) 17:57:13.04 ID:???
Bフレッツのひかり電話とネクストのひかり電話は別物だよ
ネクストのひかり電話はデータコネクト対応だけど
Bフレッツのひかり電話はデータコネクト非対応だよ
同じ回線で制限外しただけと思ってるんじゃないのかな。
というか一般的にはそうと思うけど。
ネクストはべつもんだろ
”Bフレッツ(インターネット回線サービス)でひかり電話を利用する場合、データコネクトは利用出来ません。”
この文の表現が明らかに不味いんじゃないか。
「場合」という繋ぎ言葉の扱い方が間違っている。
全部名称を変えればよかったんだ。
Bフレッツ →Bフレッツ
プレミアム →Cフレッツ
ネクスト →Dフレッツ
ほら、分かりやすい。
どうして、Bフレッツっていうんだろう。
Bって?、フレッツって?
ブロードバンドのBかな。
Blackファイバーを利用するフレッツだから。
と理解してるけど多分間違いなんだろうな。
ブラックってなによw
その昔、敷設したけど使用していない光ファイバーを
光が通ってないファイバー、ということで
ブラックファイバーと呼んでたんだけど…
あれ?これも間違いなのか?www
それを言うならダークファイバー
違うのか...orz
じゃ、Bって何だ?
554 :
あのにます:2011/04/13(水) 18:28:12.83 ID:???
>>549 Blackファイバー、ググッてもでないからがっかりしてしまったじゃないか
>>554 古い情報だな。ベーシックまでしかないよ。ファミリーは10Mbps。
なあんだ、ブロードバンド版フレッツだったのか。
解決!って、ここ、RTXスレッド。
>>555 ( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \
まんまと罠にひっかかりおって
ハイ、自分はここ10年ぐらい、まんまと引っかかっておりました。
西NEXTでひかり電話使ってるけど、RTX1200でデータコネクトできたよ。
(対応ファームが出たときに試した)
今はRTX1200がないんで、再度検証はできないけど。
IPの実装におけるサービス運用妨害(DoS)の脆弱性について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN55714408.html この脆弱性は、ルーターが自分自身宛として処理するIPパケットでのみ成立します。ルーターが他の端末にIPパケットを転送する場合や、フィルタ等で破棄する場合には問題は発生しません。
IPマスカレードの外側IPアドレス(WAN側IPアドレス)に対してpingすると返事がありますが、この処理はIPマスカレードモジュールが特別に処理しており、今回の脆弱性は発生しません。
じゃあ、まあ大丈夫だ。
でも、インターネットvpnやっている人は、
ポートをルーターに開いているわけだから、要注意だね。
フィルタで必要な相手に絞る必要があるね。
>>554 ネーミングした人が
・ナローバンドの対義語はワイドバンド
・ベースバンドの対義語はブロードバンド
と言い張っていたらWフレッツになってたのかな、と思ったり。
>>560 > 静的IPマスカレードによるルーターのポート開放
静的IPマスカレードは「ポート」の概念があるプロトコル(TCPとUDP)以外も扱えるのに、なぜ。。。
ホームゲートウェイって、RTXのような個人が持つルーターのこと?
>>562 違っていました。NTTが配布するものらしいですね。
4月から、ネクストでトンネル方式(第2案)がいよいよ開始されるそうです。
今後、RTXの役割はどのように変化していくのでしょうか。
もし、トンネル方式を使うとすると、
ユーザーの端末(PCなど)にはIPv6アドレスが割り当てになるそうです。
ネット←ISP←IPv6終端装置(ネクスト)←ホームゲートウェイ←アダプタ←PC
アダプタがNGN内の終端装置までPPPOEセッションをはって、そのトンネルの中をIPv6パケットが通ってISPへ到達します。
ホームゲートウェイは、旧来のIPv4方式のPPPOEセッションの開始点になるようです。
RTXは、ではいったいどこに参加するのでしょうか。
ホームゲートウェイや、アダプタの置き換えにはならないのでしょう。
光プレミアムの場合のように、CTUが内側に擬似PPPOEサーバーを提供していたので、
ここにRTXが従来のようにしてPPPOEセッションを張りました。
CTUはいわば、PPPOEの中継装置のような役割になったと思います。
今回も、同様に、ホームゲートウェイ、アダプタに対して、
RTXがPPPOEセッションを張って、セッションを中継してもらうようになるのでしょうか。
なんか、RTXの存在意義も含めてよくわからなくなってきましたー
アダプタ利権発生か
クソすぎる
DHCPリレーエージェントの説明にNAT使用できないってあるけど、NATかけてるインタフェースにリレーできないっていう意味?
NATは、DHCPサーバーやってるルーターがやるもんだろ。
確かに書いているね。
推測ですがNATでの転送は不可って意味じゃないかと。
RTXのリレー機能を通過するか。NATを使わずip routeで直接通信させなさいって意味かと?違うかな?
DHCPサーバからの応答は、RTXのLANポートの実アドレス宛てになる。
(WANのアドレスで問い合わせしても)
だからNATしていると応答パケットを受信出来ない。
すみませんが質問をお願いいたします
既設設定
ip lan1 address 192.168.0.1/24
ip route default gateway pp 1 (*lan2)
ip route 192.168.100.0/24 gateway tunnel 1
変更設定
ip lan1 address 192.168.0.1/24
ip route default gateway pp 2 (*lan3)
ip route 192.168.100.0/24 gateway tunnel 1
既設は、lan1のクライアントPCもVPNもpp1(lan2)を使っています
変更したいのは、
クライアントPCはpp2(lan3)を使ってインターネットアクセス
pp1(lan2)はVPN専用にしたい
のですが
上の設定ではVPN接続が出来なくなってしまいました
お力を貸していただけるとうれしいです
よろしくお願いいたします
575 :
574:2011/04/24(日) 02:21:26.14 ID:???
すみません、RTX1100を利用しています
VPN相手が固定IPアドレスなら
gatewayをそのIPアドレスの場合はpp 1に向くようにする
ip route 相手のアドレス gateway pp 1
固定じゃない場合は
試した事はないが
ip route default gateway pp 2 filter 1 gateway pp 1 fileter 2 gateway pp 1
でフィルターの1と2とかでVPNのプロトコルとポート通す指定すればいけるかもね
>>574 192.168.100.0/24 側のVPNルーターがわからなけど
192.168.100.1 だとして
ip route 192.168.100.1 gateway pp 1
と、相手先のVPNルータは pp1 を使うんだぞ と指示してあげないと
pp2 を見に行って失敗する
pp2もInternetにでれるとは思うけど、pp1 ではないのでIPSecは失敗しちゃうよねw
>>577 ローカルの宛先は
ip route 192.168.100.0/24 gateway tunnel 1
で記述してるよ
必要なのは相手のグローバルアドレスのルーティング
RTX1100をBフレッツ(lan2 pp 1)で運用してたんだけど
ひょんなことからYahoo!BBも追加で加入することになったので、
RTX1100のlan3へぶっ込んでlan1(192.168.100.0/24)内の特定端末(192.168.100.80 - 192.168.100.127)はYahoo!BBを使うように設定してみた。
ただlan3経由しようとするとRTX1100の外へpingすら通らない。(動的フィルタのステータスには、SYN-SENTと出てる)
やりたいことは↓とほぼ一緒。
ttp://netvolante.jp/solution/int/case11.html 違いはlan3にPPPoEを使うか、DHCPかぐらい。
どの辺が怪しいか、教えてください、お願いします。
今回新たに弄ったのはこの辺。
ip route 192.168.3.0/24 gateway dhcp lan3
ip keepalive 2 icmp-echo 3 3 192.168.3.1
ip lan1 forward filter 100
ip lan3 address dhcp
ip lan3 secure filter in 1001 1002 1003 1004 1101 1102 1103 1104 1105 1106 1201 1202 1301 1302 1303 9999
ip lan3 secure filter out 1011 1012 1013 1014 1101 1102 1103 1104 1105 1106 9999 dynamic 1 2 3 4 5 6 98 99
ip lan3 nat descriptor 1
pp select 1
ip pp secure filter in 1001 1002 1004 1101 1102 1103 1104 1105 1106 1201 1202 1301 1302 1303 9999
ip pp secure filter out 1011 1012 1014 1101 1102 1103 1104 1105 1106 9999 dynamic 1 2 3 4 5 6 98 99
pp enable 1
(つづく)
ip filter 101 pass-log 192.168.100.1-192.168.100.79 * * * *
ip filter 102 pass-log 192.168.100.80-192.168.100.127 * * *
ip filter 1003 pass 192.168.3.0/24 * * * *
ip filter 1004 reject 192.168.0.0/16 * * * *
ip filter 1013 pass * 192.168.3.0/24 * * *
ip filter 1014 reject * 192.168.0.0/16 * * *
ip filter 1301 reject 192.168.100.0/24 *
ip filter 1302 pass * 192.168.100.0/24 icmp
ip filter 1303 pass * * established * *
ip filter 1304 pass * * tcp * ident
ip forward filter 100 1 gateway pp 1 filter 101
ip forward filter 100 2 gateway 192.168.3.1 filter 102 keepalive 2
ip forward filter 100 3 gateway pp 1 filter 102
dns server dhcp lan3
(以上)
>>579 適用natの番号は、lan2とlan3で別になってますよね?
lan3に1を適用するとして、以下を明示してあげてください。
nat descriptor address outer 1 primary
>>581 即レス感謝です。
とりあえずWebが通ったので、なんとか見通しつきました。
やっぱりpp 1とlan3はnat分けないとダメなんですな。そこも勘違いしてた...
設定例のNATもミスってるな
584 :
574:2011/04/24(日) 20:33:18.22 ID:???
>>576 固定じゃない場合の例でうまく行きました
ip lan1 address 192.168.0.1/24
ip route default gateway pp 2 filter 1 gateway pp 1 filter 2 gateway pp 1
ip route 192.168.100.0/24 gateway tunnel 1
ip filter 1 pass * * udp * 500
ip filter 2 pass * * esp * *
即レスもらっていたのに検証に時間がかかってしまいお礼が遅れました
ありがとうございました!
PPインターフェイスに、二つのnat descriptorを設定し、その片方でIPSECパケットの静的フォワード処理をさせようとしましたがうまくできませんでした。
次のようにしました。
○PPインターフェイスには、2と3番のnat descriptorを引っ掛けました。
ip pp nat descriptor 2 3
○それぞれの定義は次のとおりです。
nat descriptor type 2 masquerade
nat descriptor masquerade static 2 9 192.168.x.y icmp
nat descriptor type 3 masquerade
nat descriptor masquerade static 3 1 192.168.x.y udp 500
nat descriptor masquerade static 3 2 192.168.x.y esp
nat descriptor masquerade static 3 9 192.168.x.y icmp
結局、nat descriptorを分割するのはあきらめて、一つに統合しました。
すると、IPSECの通信がうまくできました。
ip pp nat descriptor 2
nat descriptor type 2 masquerade
nat descriptor masquerade static 2 1 192.168.x.y udp 500
nat descriptor masquerade static 2 2 192.168.x.y esp
nat descriptor masquerade static 2 9 192.168.x.y icmp
nat descriptorを分割してPPに設定することは無理なんでしょうか。
(コンソールの説明書きではいけそうなニュアンスで書かれていました。
connet disconnet処理も行いましたが、IPSECを使えませんでした。)
回答よろしくお願いします。
outerが違うものじゃないと無理なんじゃないかな
>>586 同じPPインターフェイスに掛けるnat descriptorなら、
同じouterに必ずなってしまうのではないかと思うのですが・・
何のために、PPに二つ以上のnat descriptorをセットできるのかなあ。
> 同じouterに必ずなってしまう
複数IPのケース
>>588 それわからない。
PPインターフェイスに複数IPアドレスを設定できるのですか。
# show status pp x で確かめると、
リモートIPに対して、ローカルIPアドレスが設定されているようです。
PPインターフェイスには1IPしか割り当てできないように思うのですが。
aaa.bbb.ccc.0〜aaa.bbb.ccc.7 みたいな複数固定IPがISPから割当られているときとか、レアかもしれんが複数のサーバを公開するときとかに使ったりする
innerも違うものにして、この範囲のアドレスはこのouterでこの範囲のアドレスはあのouterとか出来るんかな
>>589 ppのアドレスとnatのアドレスは、必ずしもイコールではありません。
すぐ上の579-580でnatのアドレスとlanのアドレスの話が出てます。
ためしに、natに適当なアドレスをつけて、
そのnatを通過するようにpingをうって
そのpingパケットをネット側すぐのところでキャプチャしてみてください。
ソースアドレスが適当アドレスになってるのがみえます。
>>591 普通に出来るんじゃね。複数ISP契約して、セッション同時に張っているときは今回のケースとは若干違うが必須な機能だし
てか、"複数グローバルIPを受けてでの静的NAT変換"機能は安物ルーターには出来ない YAMAHAルーターの特徴の一つかと思ったが
natのmasqueradeについて疑問があります。
マスカレードだけでどれだけ外部からの攻撃から保護することができるかという疑問です。
マスカレードの管理テーブルは、相手先アドレスを管理して、その相手先からのパケットしか内部に透過させないのでしょうか。
それなら、その相手が安全だとするなら、静的動的フィルタなしでマスカレードだけでも十分、内部ネットワークを保護できると思うのですが。
この考え方は正しいでしょうか。
よろしくお願いします。
>>594 動的なNAT/NAPT(IPマスカレード)で遮断できるパケットは
「NATの外側アドレス」を宛先とするパケットのみだよ。
LAN内のアドレス宛てなど、ルーティングテーブルに存在するネットワークの
アドレスを宛先とするパケットは、NATを介さずにルーティングされてしまう。
>LAN内のアドレス宛て
NATのインナー側がプライベートアドレスで構築しているなら、
インターネット側からは直接アクセスされないですよね。
>「NATの外側アドレス」
これは、PPインタフェイスのアドレスですよね。(nat descriptor masquerade の場合)
内側ネットワークがグローバルアドレスで構築されているようなネットワークを扱ったことがないので、
NATはグローバルとプライベートを隔てる壁のようなイメージで捉えてしまいます。
それだと拙い(まずい)んだと今日、初めて気づきました。ありがとうございます。
でもまだ、すっきりとわからないなあ。
グローバルで内側ネットワークを組んだらわかるんだろうか。
>>594 IP Spoofing の事言っているのかな?
IP SpoofingはNAPTで防げないと思うんだけど。
IP Spoofingって、送信元IPアドレスを詐称することでしょ。
NATのアドレスに詐称されたとき、何か問題が発生するわけ?
>>596 百聞は一見に如かず。実験してみれば判るよ。
グローバルアドレスかどうかは関係ない。
[PC2] 192.168.2.2
│
─────── 192.168.2.0/24
│
│LAN2:192.168.2.1
[RT58i]
│LAN1:192.168.1.1
│
─────── 192.168.1.0/24
│
[PC1] 192.168.1.2
[PC1][PC2][RT58i]は送受信したパケットのログを取っておく。
[PC1][PC2]はRTシリーズ等で代用してもよい。
[PC1]に設定するデフォルトゲートウェイは192.168.1.1
[PC2]に設定するデフォルトゲートウェイは192.168.2.1
LAN2にIPマスカレードを掛けた場合のパケットの流れ
1 [PC2]が[PC1]宛てのパケットを送信する。送信元:192.168.2.2 宛先:192.168.1.2
2 [RT58i]が受信する。
3 [RT58i]はパケットをLAN1側にルーティングする。
4 [PC1]がパケットを受信する。送信元:192.168.2.2 宛先:192.168.1.2
5 [PC1]が[PC2]宛ての応答パケットを送信する。送信元:192.168.1.2 宛先:192.168.2.2
6 [RT58i]が受信する。
7 [RT58i]はパケットを動的IPマスカレードしてLAN2側から[PC2]へ送信する。送信元:192.168.2.1 宛先:192.168.2.2
8 [PC2]がパケットを受信する。送信元:192.168.2.1 宛先:192.168.2.2
9 [PC2]がパケットを破棄する。
10 通常のアプリケーションでは通信不成立、攻撃を意図したアプリケーションでは攻撃成立。
>>599 マスカレードしたら1〜5の通信は成立しないよ
4でNATされてないのはおかしいでしょ
そもそもどっちがouterでどっちがinnerよ?
マスカレードを論じるならその前提が明確じゃないと
論点がおかしくなるよ
>>600 >>599の図の[RT58i]はRT57iで、[PC1]はRTA55iで代用してやってみた。
[PC] 192.168.2.2
│
─────── 192.168.2.0/24
│
│LAN2:192.168.2.1
[RT57i]
│LAN1:192.168.1.1
│
─────── 192.168.1.0/24
│
[RTA55i] 192.168.1.2
[PC]に設定したデフォルトゲートウェイは192.168.2.1
[RTA55i]に設定したデフォルトゲートウェイは192.168.1.1
RT57i Rev.8.00.95 のコンフィグ
ip lan1 address 192.168.1.1/24
ip lan2 address 192.168.2.1/24
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
方法:[PC]のWEBブラウザで
http://192.168.1.2/ へアクセスした。
RTA55iのログ
2011/04/30 13:53:15: LAN1 Passed at IN(100001) filter: TCP 192.168.2.2:3442 > 192.168.1.2:80
2011/04/30 13:53:15: LAN1 Passed at OUT(100002) filter: TCP 192.168.1.2:80 > 192.168.2.2:3442
ちょっと別アドレスですけど58iで試しました。
ping 192.168.100.1に打って、599のとおりでした。
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.200.1/24
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 auto
とはいえ、現実問題として
lan1側のアドレス体系なりアプリの種類なりを
知るのは難しいでしょうね。
603 :
reject(18):2011/05/02(月) 23:37:16.17 ID:KW4UZSuR
知恵を貸して下さい。
本店RTX1200<->支店NVR500を設置
現行のINSを分岐し本店・支店共にサブアドレスを付加
本店から支店に接続しようとするとエラーコード18(無応答)で接続できません。
支店からの接続は問題がありません。必ず正常に行えます。
604 :
reject(18):2011/05/02(月) 23:39:30.06 ID:KW4UZSuR
続き
但し本店から手動で接続(Connectコマンド)すると正常に接続でき、その後は
切断するまで正常に通信可能です。
Remote Setupは問題なく接続できるのでINSの番号自体は問題ないと思いますが・・
全ての支店に対して同じ結果です。何か考えられる事は無いでしょうか?
ログと構成をもってサポートとnttに相談するのが早いです。
本店側回線のL1-L2周りが不安定になってるようにみえましたが、
その場合、2chでできることはあんまりありません。
試験の順番を、逆かつ素早く、
remote-setup→手動connectコマンド→自動接続?とか
支店発信・本店着信→本店発信・支店着信とか、してみると
本店自動発信時にもつながったりしませんかね。
それから、DSUやケーブルの調子がわるいとかありませんか。
DSUやケーブルを交換したり、直結してみたり、とりあえず
isdn terminator bri1 のところをきりかえて様子見でしょうか。
コンフィグ載せたら?
607 :
anonymous:2011/05/03(火) 19:32:37.50 ID:azC18c3A
609 :
reject(18):2011/05/03(火) 22:26:53.40 ID:/QtD0qyP
>605
isdn terminator briを切替やDSUからのケーブル等は
変えてみましたが結果は同じでした。
コールバックは試していないので、一度試して見ようと思っています。
サポートには連絡していますが連休中の為、連絡待ちです。
色々指摘ありがとうございます。
610 :
reject(18):2011/05/03(火) 22:30:32.63 ID:/QtD0qyP
>606
コンフィグを載せようと思いましたが、書込できる文字数がよく
わからないので・・・必要な部分だけ切り出して載せようと思います。
なるほど折り返しになるのか
サンクスです
612 :
reject(18):2011/05/04(水) 00:12:22.09 ID:pVWnpapb
本店側のConfig抜粋です。LAN上はフィルターはかけていません。
ip route 10.aaa.bbb.0/24 gateway pp 6
ip lan1 address 10.aaa.aaa.252/24
isdn local address bri1 0123456789/01
pp select 6
description pp To_Siten6
pp bind bri1
isdn remote address call 0123459999/01
pp auth request chap
pp auth accept chap
pp auth myname aaaxxx aaaxxx
pp auth username bbbxxx bbbxxx
pp enable 6
613 :
reject(18):2011/05/04(水) 00:16:26.74 ID:pVWnpapb
支店側のConfigになります。
ip route 10.aaa.aaa.0/24 gateway pp 1
ip lan1 address 10.aaa.bbb.254/24
isdn local address bri1 0123459999/01
pp select 2
description pp To_Honten
pp bind bri1
isdn remote address call 0123456789/01
pp auth request chap
pp auth accept chap
pp auth myname bbbxxx bbbxxx
pp auth username aaaxxx aaaxxx
pp enable 2
初歩的なミスを何か犯しているかもしれませんがよろしくお願いします。
>>612-613 remote setup accept
isdn local address bri1
isdn terminator bri1 on
これらがないぞ
615 :
reject(18):2011/05/04(水) 00:49:59.90 ID:pVWnpapb
>614
isdn local address bri1は入っていると思いますが・・
remote setup accept
isdn terminator bri1 on
の2点についてはデフォ値で問題なければ明示的に入力していません。
みなさんはこの辺はどうされていますか?
isdn remote address arriveも設定してみたらどう?
617 :
reject(18):2011/05/04(水) 01:02:25.67 ID:7h/rNOCO
本店・支店の各PP内にisdn remote address arriveを追加と言う事で
いいんですよね。試してみます。
たぶん結果は明日書込になると思いますが・・・
>>615 remote setup accept 0123456789/SUB1 0123456789/SUB1
line type bri1 isdn-ntt
うちは、この二つがコンフィグに入っているが、
相互にremoteセットアップできている。
telnetでのそのときのコマンドは
# remote setup bri1 相手先番号
だけど。
普通につながって、cui操作できるけどなあ。
>>reject(18)さん、
>本店から支店に接続しようとするとエラーコード18(無応答)で接続できません。
そのエラーは、どういう種別でログに載っているのですか。
ISDNレベルのエラーですか、それともPPレベルのエラーなんですか。
その切り分けを確実にしてはどうでしょうか。
エラーコード18はISDNでL3的に応答がない時のエラーでL1,L2はアップしてると思う
なのでPPの設定が間違っててルーターが応答してないだけ
>>613 支店のconfig、pp2にisdnのppをあててるなら、
ip route 10.aaa.aaa.0/24 gateway pp 2 です。
同様に、どこかで電話番号をちょっとずつ間違えてたりしませんかね?
サブアドレスなんかも、貼り付けるから変えただけで、01じゃあないんでしょ?
現場に着いたら、コーヒー飲んで頭冷やして、深呼吸して
configの番号を市外局番から手で書き出して
声を出して読んで照合してみてくださいな。
>>620 頼もしい。
L3的に応答がない時のエラーなので、PPの設定の誤りが確定ということだね。
remote setupなら接続ができるわけだな。
対向が複数ある場合、混乱してPPの設定がごっちゃになってしまいがち。
おれも、どつぼに嵌ったことあるわ。
まあ、注意深く見直してみ。
623 :
reject(18):2011/05/04(水) 16:42:32.16 ID:pVWnpapb
>>618-622 いろいろ指摘ありがとうございます。
電話番号等は再度確認するようにします。
Connectで問題なく繋がる事が解せないんですが、休み明けにNTTにも確認して
見ようと思います。
>>603 発信時のdebugログは?
通常時とConnect コマンド時の両方を比較してみて
connectならつながるとなると経路設定が間違ってる可能性か
他の拠点がその目的のppにつながっててbusy状態だったとか
626 :
reject(18):2011/05/07(土) 00:24:03.72 ID:wnaFNnFA
本店側=>支店のPingログ1
2011/05/07 00:19:06: BRI[1] SEND [SETUP]
2011/05/07 00:19:06: 08 01 3f 05 04 02 88 90 18 01 83 6c 0c 00 80 30
2011/05/07 00:19:06: 37 33 35 35 32 30 39 30 30 6d 05 80 50 32 2f 62
2011/05/07 00:19:06: 70 0b 80 30 37 33 35 37 32 36 30 32 31 71 08 a0
2011/05/07 00:19:06: 50 30 32 2f 62 00 c1 7c 02 88 90
2011/05/07 00:19:06: BRI[1] RECV [CALL PROC]
2011/05/07 00:19:06: 08 01 bf 02 18 01 89
2011/05/07 00:19:16: BRI[1] RECV [DISC]
2011/05/07 00:19:16: 08 01 bf 45 08 02 84 92
627 :
reject(18):2011/05/07(土) 00:26:36.80 ID:wnaFNnFA
本店側=>支店のPingログ2
2011/05/07 00:19:16: BRI[1] SEND [REL]
2011/05/07 00:19:16: 08 01 3f 4d 08 02 80 90
2011/05/07 00:19:16: BRI[1] RECV [REL COMP]
2011/05/07 00:19:16: 08 01 bf 5a
2011/05/07 00:19:16: PP[05] Disconnect complete
2011/05/07 00:19:16: PP[05] Disconnected cause [No user responding(18)]
628 :
reject(18):2011/05/07(土) 00:29:13.34 ID:wnaFNnFA
支店側ログ
2011/05/07 00:20:27: BRI[1] RECV [SETUP]
2011/05/07 00:19:22: 71 08 a0 50 30 32 2f 62 00 c1 7c 02 88 90
2011/05/07 00:19:22: 37 33 35 35 32 30 39 30 30 6d 05 80 50 32 2f 62
2011/05/07 00:19:22: 08 01 4e 05 04 02 88 90 18 01 89 6c 0c 00 81 30
2011/05/07 00:19:22: BRI[1] RECV [SETUP]
2011/05/07 00:19:17: 71 08 a0 50 30 32 2f 62 00 c1 7c 02 88 90
2011/05/07 00:19:17: 37 33 35 35 32 30 39 30 30 6d 05 80 50 32 2f 62
2011/05/07 00:19:17: 08 01 4e 05 04 02 88 90 18 01 89 6c 0c 00 81 30
2011/05/07 00:19:17: BRI[1] RECV [SETUP]
支店側のログはreverseか
支店側で応答してないな
でこのログは見る人が見ると電話番号がバレバレなんだが
本店側から支店側への電話番号が/以下が02になってるみたいだ
上の方の
>>612で貼ったconfigだと/以下は01なんだがそこは合ってる?
629の言うとおり、速攻でサブアドレスとppのパスワードとログインパスワードを再入力してください。
書き込みも今すぐ削除依頼出してください。先方に迷惑かかるんです。
isdn remote address callのサブアドレスのところで2点ほど。
まず、本店と支店のは異なっていて良いんですね?
626をみると、一方が02で対向は2になってます。
引き続きいてなんかぬるいものがみえます。
いったん、no isdn remote address callしてクリアしてから再入力してください。
入力するときに、cons ch ascii、テラタームの文字コードをSJIS、全部半角で、
漢字と全角入力しない、imeを切っておく、既存configをコピペしない、tftpで送り込まない、
をおこなって、再入力してどうでしょうか。
>>624の発言の意図とは黒いものだったのか・・・
632 :
ano:2011/05/07(土) 14:07:15.50 ID:???
いつも思うけど、debugログの内容を理解できる人って何者?
仕様って公開されてるの?
単なるasciiじゃないの?
42→Aとか。
RTX1200を使用しています
nat descriptor type 1 nat-masquerade
nat descriptor address outer 1 A.B.C.1-A.B.C.4
nat descriptor static 1 1 A.B.C.1=192.168.0.100 #mail
nat descriptor static 1 2 A.B.C.2=192.168.0.101 #web
nat descriptor static 1 3 A.B.C.3=192.168.0.102 #dns
と 固定4IP の場合 何もしないと、イントラからのWEBアクセスは全て A.B.C.1 になりますが
これを、 A.B.C.4 にする方法はあるのでしょうか?
発信者番号で認証してれば接続はできないしょ?
発信者番号って偽装できたっけ?
>>636 NTTなど中央で管理しているのだから、無理でしょう。
asteriskつかって、callerID変数変えても、無理。
>>638 外国のITSPなんかでは、昔、そういう発信者番号の設定ができていたらしいね。
今は、無理になってきているとおもうけど。
日本でも出来てたよ。
相当前だけどね
641 :
anonymous@ASY1H4b:2011/05/08(日) 02:20:27.35 ID:byPqAt/q
実家(固定IP) 〜 ボクの住んでいるアパート(動的IP)の間で
両方ともRTX1000を使い、VPN接続してオヤジの仕事を手伝ってます
今度ボクの友達が手伝いバイトで、いま使っているのと同じようにしたのですが・・・
実家とボク、実家と友達それぞれうまく繋がってるのですが
ボクと友達が繋がりません
実家(WAN:固定IP、LAN:192.168.1.1)
ボク(WAN:動的IP、LAN:192.168.2.1)
友達(WAN:動的IP、LAN:192.168.3.1)
ルータは全部RTX1000です
技術系のお兄さん!!
どんな設定が足らないのか
文系のボクにどうかやさしく教えてください
>>643 ggrks。
両拠点が動的IPは面倒&不安定。
VPNを簡単・安定的にやるなら、片側は固定にしろ。
ヒントはDDNSだ。
返信ありがとうございます
実家が固定IPなのでそこを経由するとかできないものでしょうか?
できる
IPsecでは、両方を固定にすると安定するけど、片方が動的だったら本当に安定しないなあ。
途切れが発生して、いちいち、ipsec refresh saコマンドを打ち込まなければいけなくなったり、
あるいはRESTARTさせてやらなければいけなくなるね。
そんな事は無い
回線がぶつぶつ切れてアドレス変わりまくり状態ならしらんが
安定してるぞ
>>641 まず接続されるリスクなんてないのに墓穴掘りまくりだな
電話番号なんて一般的に公開されてるものと同等だし
パス変えれば問題なかったものを・・・
あくまで自分の経験値に過ぎないけど、
動的IPでIPsecでも、不安定で困ったことはないな。
(ネットボランチDNSを利用)
何かで切れても、すぐにつなぎに行くので、特に問題になったことはない。
去年のYAMAHAのサーバー移転の時にネットボランチDNSが落ちて、
大騒ぎだったときには、やっぱり固定IPアドレスは良いなぁとは思ったが。
まあ、そこはリスクと対価の兼ね合いだろうね。
>>646 返信ありがとうございます
少なくとも固定IPを取得している実家のルータに
ボクと友達とを通じる設定を書くと思うのですが
どんな内容を書き足せば良いのでしょうか?
どうぞよろしくお願いします
652 :
anon:2011/05/08(日) 13:06:45.61 ID:???
>>651 固定IPなんてISP選べば動的IPに対して毎月+1000円で取れるよ。
仕事で使うならそのぐらいの投資は当たり前。
悪いことは言わんから親に出してもらえ。親の仕事を手伝っているんなら、
それぐらいは親も出すだろう。
もし、どうしてもやりたいなら、
ヒント:ハブ&スポークネットワーク、スタティックルーティング、(ソースルーティング)
でぐぐれ。説明するには、IPアドレス設計やNW構成の情報をさらす必要がある。
回答が面倒なので俺はパス。
>>652 BB.Exciteは使いものにならないけどね
>639
網の機能に加え、折り返し確認や双方向認証など、併用がベターかな、と。
パッチ未適用のバックアップを使って切り戻してそのまま運用とか
機器の初期構成にミスがあってそのままとか
ごにょごにょな抜けのある可能性がなきにしもあらずのため。
発番じゃないけど、最近のでは携帯電話にひもづいた固有識別番号、
携帯IDの利用についてのお話が。p.25あたりです。
http://www.ipa.go.jp/security/vuln/documents/10threats2011.pdf 削除は難しいでしたか。。。番号は確認できないから基本的に削除って覚えてたんですが。
では、推測しづらい文字列に変更済み、失敗履歴=成立する条件が不明だし、
皆さんが言うように大事ない? 個人的にはイベントログは洗いたいなー。
>651
607でどう?
実家の固定IPはPPPoE接続なので
# ipsec ike local address 1 192.168.1.1
# nat descriptor address inner 1 192.168.1.1-192.168.1.254
# nat descriptor masquerade static 1 1 192.168.1.1 udp 500
# nat descriptor masquerade static 1 2 192.168.1.1 esp *
の書き方にしています
>>654 返信ありがとうございます
>>607のリンク先を見たのですが、センター経由で各拠点の通信をする部分が
どの記述なのか分かりませんでした
607の趣旨は、拠点の/16です。
ボク: ip route 192.168.0.0/16 gateway tunnel 1
友達: ip route 192.168.0.0/16 gateway tunnel 1
652のヒントを調べましたか?
調べられないなら、触らない方がお仕事に障らないです。
設定を変える時は事前にconfigを保存しておくことを強くおすすめします。
>>658 ありがとうございます!!
16にしたらpingが通りました!
>>652をググったらたくさんあってまとまった理解がまだできてなくて
どんな返信を書いたらいいか分からなかったのでスミマセン
ヤマハのルータにはhostnameを付けられないのか?
複数のルータを弄ってる時、紛らわしいけどどうしてる?
> console prompt ?
入力形式: console prompt プロンプト文字列
説明: 64文字以内でコンソールのプロンプト文字を設定します
RTX1500でIPsec使われている方に聞きたいです。
IPsec通信では、
ESPとUDP(500)のパケットが経路になっているPPインタフェースのOUT方向に出ているはずです。
RTX1100で使った実験では、PPインタフェースに掛けたfilter pass-log * * ESPで、ESPパケットの通過を確認できました。
ところが、RTX1500ではESPパケットの通過ログが取れません。
経路はそのPPしかないので間違いはありません。繰り返しますが、UDP(500)のパケットはログに載りました。
ESPパケットをpass-logフィルタで取得できないのは、RTX1500の仕様なんでしょうか。
664 :
any:2011/05/12(木) 16:21:03.77 ID:???
RTX1000のESPのUDPカプセル化ってRTX1100以降と互換ありますか
ググってみたけどよくわからなくて
亀レスですみません。
>>599さんありがとうございます。
マスカレードが無視されて逆入力されていくパケットの様子がわかりました。
静的フィルタでプライベート直宛のパケットを破棄しなければならないことがわかりました。
ありがとうです。
Interop 2011 出展社情報
http://vem.f2ff.jp/2011/exhibitors/company/ja/1/153.html -------------------------------------------------------
5B17
住商情報システム(株)
住商情報システム/ヤマハブースでは現在開発中の製品を参考出品で展示する他、
ヤマハルーターの最新の活用方法や事例を紹介します。
[1] ヤマハスイッチSWX2200で実現するSOHOのLAN管理
[2] RTX1200でできるスマートフォン連携
[3] IPv6についての取り組み
[4] 参考出品
-------------------------------------------------------
今年の参考出品は何だ?
RTX1600 (予定)
>>660 名前は個別に命名できるけど、ローカルDSNサーバー用意するか、全PCのhostsファイルに書き込む必要あるから手間が増える。
telnet端末に接続先毎に名前付ければ済むのでは?
まさか、毎回、アドレス手打ち?
複数の弄ってまぎらわしいって書いてるからコンソールプロンプト変更すればよいだけ
>>666 個人的には、RTV800かRTV500をお願いしたいな。
ただ、型番が500だとグレードが下がった気がしてしまうが。
>>663 簡単に出すには、フィルター設定・保存してから再起動。
ファストパスが確立してるとlogフィルタで表示しないから、
ファストパスのテーブルから消して載せ直すとたぶん出る。
>>664 1000/1100の両方でesp-encapsulationを使えばたぶんできる。
1100のudpカプセル化はもうひとつ、nat-traversalがあるけど
こちらのほうは1000に実装されてないみたい。
672 :
663:2011/05/14(土) 16:10:19.94 ID:???
>>671 レスありがとうございます。ファストパスには気づきませんでした。
ファストパスの制約でログには掛からないのですね。
ip routing process normalに加えてrestartをやってみたのですが、
しかしながらespパケットはpass-logに掛かりませんでした。UDP500は掛かります。
謎です。
暗号化処理がソフトかハードかで違うのかな
>>673 rtx1100では,espパケットはpass-logに掛かったんですけど、
rtx1100もハード処理ですよね。
675 :
any:2011/05/14(土) 19:04:49.82 ID:???
>>671 どうもサンキューです。
NATトラバーサルは別実装なんですね。
UDPカプセル=NATトラバーサルかと思ってました。
これで思いきって1100追加できます。
初歩的な質問で申し分ないが
静的IPマスカレードがうまく動かなくなってしまった
httpsやpop3は問題ないんだが194とかマスカレードできねぇ
RTX1200 Rev.10.01.29利用です。
>httpsやpop3は問題ないんだが194とかマスカレードできねぇ
その感じだと、入力方向のPASSフィルタ(*)で通っていないのかなあと。
HTTPや、POP3なんかは、OUT方向動的フィルタが機能して入力できるようになっているだけじゃないですか。
(入力方向)静的マスカレード → 静的フィルタ(*) → ルーティング
>>676 マスカレード非対応のプロトコルって事は無いよね。
>>677 フィルターは全て外してます。
ヤマハってフィルターない場合は全て通るんですよね?
>>678 普通のtcpを使った通信です。
>679
nat descriptor log on とsyslog debug on をかけたら何が出ます
>>680 うーむ・・・
ログにtcp:194なログが無いみたいだ
2011/05/15 21:19:37: [NAT(1):LAN2] Bound TCP 192.168.YYY.2.80 <-> 192.168.XXX.24.8
0 ==> ZZZ.ZZZ.ZZZ.ZZZ.59581
2011/05/15 21:20:07: [NAT(1):LAN2] Released TCP 192.168.YYY.2.61672 <-> 192.168.
XXX.24.49676 ==> ZZZ.ZZZ.ZZZ.ZZZ.80
2011/05/15 21:20:07: [NAT(1):LAN2] Released TCP 192.168.YYY.2.80 <-> 192.168.XXX.2
4.80 ==> ZZZ.ZZZ.ZZZ.ZZZ.35991
ZZZはグローバル
こんな感じで大丈夫ですか
httpでやってみるとこうなったけど・・・
あと今ネット見てる分のログかな
>>679 静的マスカレード部と、ppの設定部(パスは伏せて)のコンフィグを上げてみてはどうでしょうか。
フレッツ・VPNワイドでトンネル掘る場合IPsecで暗号化する必要あるんですか?
フレッツ・VPN ワイドなら、閉域のIPネットワーク内で特定の拠点のみと接続可能なので、
社内の遠隔拠点や取引先との情報共有を高セキュリティな環境で実現します。
ってあるのでキャリアを信用する場合は必要ないと考えてもいいですかね
その場合はRTXの場合でもIPIPの方が負荷少ないですよね?
キャリアを信用しない場合は暗号化しろって事ですかね?
そこら辺に転がってるブロードバンドルータでマスカレード試してみたら、同じ結果になってしまった。
つまりこれは・・・そーいうことか
お騒がせした。
687 :
anonymous:2011/05/18(水) 20:19:58.52 ID:kuBeqw8L
auのAndroid端末 htc EVO WiMAX ISW11HTを利用し始めたのですが、
RTX1200にPPTPにて接続しようとしたところ、下記のようなエラーが出てうまくいきません。
No CHAP Secret
CHAP Authentication Error
どなたかYamahaのルータにAndoroid端末からPPTP接続出来ている方おられますか?
使ったことはないがCHAPがダメならPAPどうなん?
ヤマハさんはAndroid用のIPsecアプリ出してくれんかのう
SPモード経由だとPPTPがつかえないのよ
>>687 mschapやmschap-v2は試した?
693 :
687:2011/05/19(木) 09:42:59.82 ID:lz8jd2pv
ありがとうございます。
やはり、YamahaとAndroidの問題ではないのですね・・・。
認証方式はmschap-v2を中心にpap、chap、mschapなども試してみましたし、
他のパラメータもいじってみたのですが・・・・
もしかしてWimax経由でやろうとしているのが間違い?
AndroidとのVPN相互接続事例が欲しいね
簡単接続アプリとか作ったら売りになるんじゃないの?
簡単接続アプリと言っても、設定メニューのVPN接続へのショートカットをするだけな気がする。
セキュリティ設定の選択肢がON/OFFしかない等、設定項目が少ないのはAndroid側の問題。
現状、ルーター側が合わせるしかない。
>>693 687のログはどっちのログだい?
GREが通過できない場合も認証で失敗するよ
RT58iの下に異なるドメイン名の複数のWEBサーバーを置きたいんだけど、
例えば、
AAA.com => 192.126.1.2
BBB.com => 192.126.1.3
のように振り分けるには、どうすればいいのでしょうか?
698 :
hage:2011/05/19(木) 14:21:17.59 ID:???
IP8など複数IPもらえる契約をしてください
699 :
687:2011/05/19(木) 17:00:59.50 ID:LXYcBwrg
恥ずかしいけれど結果報告。
Wimaxだろうがなんだろうが問題なく接続できました。
接続できなかった理由は・・・・ユーザ名間違い。。。。
IMEが勝手に最後にスペース入れてたみたいでこれに気が付きませんでした。
ユーザ名は見た目合ってるように見えたし、間違えるとしたらパスワードだろうと思って
パスワードは何度も入力したんです・・・
これでだめなら認証方式あたりの問題だろうと思いこんでいました。
(ちなみに認証方式はmschap-v2にしておおります。)
教えてくれた皆さんありがとうございました。
700 :
名無しさん:2011/05/19(木) 21:15:16.41 ID:???
>>697 固定IP2個以上じゃないと駄目じゃね?
というかルーターで処理せずにWEBサーバーで振り分けた方がよくね?そのためにWEBサーバにはVirtualHost機能が実装されているんだから
まあ192.126.1.2って意味不明なIP書くぐらいの素人さんにVirtualHostって言っても理解出来るだろうか?
netvolante.jpのデザインが一新されている!
ちなみに、新しいファームウェア
[スイッチ制御機能、ONFSファイル共有機能の拡張、NTT東日本/NTT西日本のデータコネクトサービスを利用した拠点間接続機能などに対応した、NVR500用 最新版ファームウェア(Rev.11.00.13) の配布を始めました。 ]
らしい。
NVR500ってこれって業務用?ipsec非搭載だし。
RTX1100での対応は?いつ?
>>695 いや、そのアプリがアグレッシブモードとXAuth対応してくれればいいなと
>>697 条件がわからん
固定IPで1個なのか複数なのか動的なのか
振り分け先がグローバルなのかローカルなのか
DDNSで動的1個で振り分け先がローカルで静的マスカレード仮定して
方法としては
AAA.comはポート80で
二つ目はBBB.com:8080としてアクセスしたのを静的マスカレードであてるとか
>>700の言うようまずにロードバランサ・リバースプロキシになげてそこからそれぞれのサーバーにアクセスするか
そんなに普及してないしょ
前スレの447さんがVPNとDLNA/DTCP-IPについて調べておられていたようですが
Subnet<A>----RTX1200<A>←----VPN(IPSEC)----→RTX1200<B>----Subnet<B>
・Subnet<A>: DLNAサーバ(RECBOX HVL-AV2.0)
・Subnet<B>: DLNAクライアント(PC DiXiM Digital TV plus)
の環境下で試してみましたがうまくいきませんでした。
DLNAのLAN越えができるといろいろ面白いのですがね。
DiXiM Digital TV plus持ってるけど
ブロードキャストでサーバーさがしてるんじゃないの?
RTX1200では、機能実装されてなくて多分出来ない
1500とか3000はVPN経由でのDLNAのマルチキャスト通せる
いい加減、RT107eは代替りしないかな
>711
RT107g。じき発表するよ
thx
そうなの?
なら、NVR500の発注保留にする
SRT100
>>709 >RTX3000・RTX1500はIPv4マルチキャスト機能(IGMPv2、IGMPv3、IGMPプロキシ、PIM-SM)を、
>RTX3000・RTX1200・RTX1100・RTX1000・RT107e・SRT100・RT58i・RT57iはIPv6マルチキャスト機能
>(MLDv1、MLDv2、MLDプロキシ)をそれぞれ搭載しています。
残念でした
RTX1200を旧マシンのコンフィグで試してみたんだけど
LAN1.1などのポート分割の設定が、勝手にVLANになっていました。
これって、どういうことなんだろう。
VLANになったのは、RTX1200の内部的な処理の都合だけのことで、
ネットワーク上のマシンには影響ないでしょうか。
IPsecのVPNクライアントソフトのYMS-VPN1って、ちょっと調べたら、購入凄い面倒そう。
尼でRTX1200購入したら、YMS-VPN1買えるのかな?
もう買えないんじゃね?
YMS-VPN7じゃだめなんかい?
YMS-VPN7に訂正
それを利用するためのライセンス証明書を購入するには、ルーターをヤマハの販売代理店で買わないと駄目かな?と
>>719 俺はぷらっとほーむでライセンスだけ買ったぞ〜。
ありがとう
これで業務用ルーター導入に踏みきれます
NECフィールディングでも買えた
RTX1200を期末に買ってもらった。
直方体の短い辺側にコネクタが並ぶのは違和感があったが、だんだんかっこよく思えてきた。
従来のものとはちがって、lanコネクタが前面にきているので、
ポート個別のアクセスランプの明滅がすぐに見える。
前面にlanケーブルをつなぐスタイルがかっこいい!
そのうちに邪魔になってくるんだよw
全面は邪魔
他のスイッチと合わせられるから俺は全面の方がありがたい。
パッチパネルとの親和性も良いし。
4方向からケーブルがはえている姿を想像して
どうやって置くのか悩んでしもうた
俺は6方向全てに生えるのかなと
想像しただけで寒気がするわw
蓮コラみたいになるから
画像はうpするなよ。するなよ、絶対するなよ
で、当然、v6 pppoeに対応するよね。
BフレッツとネクストのV6って相互接続されてる?
BフレッツのV6って何?
IPv6対応は当面は各自負担って事か。
ようやく最近になって最初からモデムではなくルータを設置するようになったのに。
>>734 フレッツ・ドットネットのサービス自体
Bフレッツのみが対象だったはず。
Bフレッツ<->ネクスト間を地域通信網でつなぎたい場合、
VPN ワイド使うしか無いんじゃない?
マスカレードの設定で動かないのですが、よくわかりません。
LAN1をDMZみたいに使おうと思ったのですが・・・
RTX1000です。 よろしくお願いします。
ISP
(1.2.3.5)
|
Intenet
|
(1.2.3.4)
LAN3
|
-------------------------------
| |
LAN2 LAN1
(192.1.2.1) (5.6.7.8/29)
ip route default gateway 1.2.3.5
ip lan1 address 5.6.7.8/29
ip lan2 address 192.1.2.1/24
ip lan3 address 1.2.3.4/30
nat descriptor type 1 masquerade
nat descriptor address outer 1 5.6.7.8
nat descriptor address inner 1 192.1.2.1-192.168.11.254
・・・・
# show nat descriptor address
有効なNATディスクリプタテーブルはありません
#show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 1.2.3.5 LAN3 static
1.2.3.0/30 1.2.3.4 LAN3 implicit
訂正
誤)
nat descriptor address inner 1 192.1.2.1-192.168.11.254
正)
nat descriptor address inner 1 192.1.2.1-192.168.2.254
741 :
anon:2011/05/28(土) 14:28:05.19 ID:???
739は専用線Internetか?
想定される構成とconfigがかけ離れすぎでコメントできん。
config例のせる前に何をしたいから、という目的を詳しく伝えた方が
アドバイスもらえやすいと思う
LAN2側からLAN3側にマスカレードがしたいです。 LAN1はDMZに使いたいです。(計8IP)
outerが1.2.3.4なのでしょうか?マスカレードでそのIP使うとルータのIPに使えなくなるかと思いました。
また下記サイトにある「ip lan3 nat descriptor 1」を追加した方がいいでしょうか?
設定例:
nat descriptor type 1 masquerade
nat descriptor address outer 1 172.16.184.35
nat descriptor address inner 1 172.16.184.35 192.168.1.1-192.168.1.254
ip lan2 nat descriptor 1
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/beginner.html
> 「ip lan3 nat descriptor 1」を追加した方がいいでしょうか?
必須。最初はサンプル通りにしてみたらどうです。
また、739で使ってるアドレス帯ですが、
5.6.7.8/29と1.2.3.4/30は、プロバイダから割り当てされたもの?
適当に付けたら、インターネットとは通信できないですよ。
>>743 ありがとうございます。 追加してみました。
外から5.6.7.8 と1.2.3.4 ping OKです。 ISPからもらったIPです。
# show nat descriptor address
参照NATディスクリプタ : 1, 適用インタフェース : LAN3(1)
Masqueradeテーブル
外側アドレス: 1.2.3.4 ポート範囲=60000-64095
プロトコル 内側アドレス 宛先 マスカレード TTL(秒)
--------------------- - ---
有効なNATディスクリプタテーブルが1個ありました
#
マスカレはこれでOKかもです。TELNETは5.6.7.8には可能です。
ただ外から1.2.3.4へTELNET出来なくなりました。
LAN2,LAN1からの確認は現地で後日してもらいます。
5.6.7.8/29のルートは追加しなくていいのでしょうか?
ip route 5.6.7.8/29 gateway 5.6.7.8
# show ip route
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
default 211.122.28.1 LAN3 static
211.122.28.0/30 211.122.28.2 LAN3 implicit
#
> TELNETは5.6.7.8には可能です。
> ただ外から1.2.3.4へTELNET出来なくなりました。
インターネット側からのtelnetは、まったく薦められません。
telnetは通信が平文です。盗聴されないとしても、ブルートフォースされます。
それでもよいなら、とりあえず、telnetd listen でポートを上の方にして、
syslogのログオンイベントをトリガーにメール通知と、トラフィック監視を併用です。
または、telnetd hostでDMZのサーバを指定し、sshでそのサーバを踏み台に、でしょうか。
> 5.6.7.8/29のルートは追加しなくていいのでしょうか?
不要。LAN1を、電源の入った適当なハブかPCにつないで、show ip routeしてください。
インターフェイスが直接つながっている経路は、リンクアップしてればimplicitで上がります。
>>745 これでよさげなのでもうログインしないで中から確認します。
いろいろありがとうございます。
インターネットからTELNETって信じられない。
vpnを組もうよ。
とりあえずsshジャマイカ
sshでvnc楽よね。
>>747 インターネット側からのtelnetって、
そんなにダメなの?
私はよく、特定のグローバルからアクセスのみ可に
しているのですが、それでもダメでしょうか?
確かに特定の固定IPアドレスからのみ許可しているのなら、当面は大丈夫かもしれない。
でもさすがにTELNETはやばい。
平文通信なので、キャプチャされたらIDもPASSもだだ漏れ。
で、IPアドレスを偽装されると?
まあ、誰が何の得があってそんなことをやるんだって言う話もあるが、
それしか手段がないのならともかく、他にもっと安全な方法があるんだから、
そっちを選んだ方が良い。
どちらかというと
ブラウザ設定もhttpsにしてくれた方がいいのにね
754 :
hage:2011/05/31(火) 15:59:13.11 ID:???
発IPを偽装されたとして
そこから飛んできたパケットが届くとしても
そこへパケットは戻らんだろ
せいぜい出来て一方通行なんだから大した脅威じゃないだろ
平分は問題あるが
プロバイダーの職員がスニファー走らせる事もほぼないからねぇ
まぁ用心にこしたことはないしせっかくssh使えるなら使った方がええ
>>751 助言ありがとう。
私の担当した顧客は、全部sshに変更してみます。
>>755 > プロバイダーの職員がスニファー走らせる事もほぼないからねぇ
その考えは甘い。
>>758 まー現実にはこんなルータがゴロゴロしてるんだろうな。
ちょっと前にもルータの設定画面を外からノーパスで参照できるとかあったし。
このレベルのエンジニアが大量生産されている現実。
詳しいエンジニアはうるさいやつとして排除されている現実。
>>759 そういう設定したアホな会社が居たって話でしょ。
ルーターの基本知っていればそういう設定ミスしないでしょう
762 :
あの荷:2011/05/31(火) 21:35:15.60 ID:???
設定ミスじゃなくて意図的にやってるんだがw
>>761 あのときは、俺も関わったが、あれはミスなんてもんじゃない。
わざわざ静的NATで、WAN側のポート80をルーターのLAN側のアドレス、
つまりWEB設定の画面に指定してあったんだぞ。
しかもパスワード無しで、支社を含む3カ所ともそうなっていた。
>>761 固定IPのみアクセス可が、そんなにダメだったなんて知らなかったです。
>>754の方のように考えていました。
まあ、まともな教育を受けた技術者なら、例として1.2.3.4とかいうアドレスは使わないわな…
と思ってgoogle様に聞いてみたら、
天下の大メーカーや某有名サーバのサイトでもバンバン使っててずっこけた。
固定IPからのみ許可にしてても、平文だと容易にMan in the Middle攻撃が可能だからね。
途中経路に入るのは回線業者だけとは限らないし、完全性を担保することは重要。
>>758 ぶっちゃけ会社よりも自宅のほうが侵入されたら困るなw
770 :
非通知:2011/06/01(水) 01:05:19.56 ID:???
やっぱり、VPNいっときましょう。
772 :
hage:2011/06/01(水) 08:03:59.83 ID:???
IP偽装とか平文パス解析とか心配するなら
脅威は社外よりもむしろ社内側にあると考えた方がいい。
どっちも社内側(同一セグメント)からだと楽勝だ
>>771 確かにその2機種は、速く対応して欲しいな。
ただ、1500に関しては生産終了してるから、
どこまで面倒を見てくれるかわからないけど。
>>772 あくまで俺の場合だが、そういう心配はないな。
(もちろんゼロとは言わないが。)
そういうことをできる人が居ないからこそ、
外部から接続できるようにしている。
で、いまだにISDNが捨てられない。
RTX1200をつかっているんだが、IPv6についてよく分からない。
いわいる、IPv4/IPv6トランスレータみたいな使い方ってできるかな?
>>775 プロトコル変換のような事はできないよ。
DNSリカーシブサーバー機能はデュアルスタック化されているから、
例えば「PCからRTXへの問合にはIPv4トランスポートを使って、
RTXから外部DNSサーバーへの問合せにはIPv6トランスポートを使う」
といった事はできる。
777 :
776:2011/06/01(水) 15:37:34.07 ID:???
脱字
問合→問い合わせ
778 :
773:2011/06/01(水) 16:08:01.44 ID:???
ネトゲのIDとパス、IPアドレス、メルアドとそのIDとパス、全てパクられてアカハックされたっていう凄い器用な人の話なら聞いたことある。
どうせどこぞのHPに誘導されてバックドア仕込まれたんだろ
ssh、telnetのどちらを使うかは運用ポリシー次第じゃねぇ。
少し前だとsshクライアントを動かせるモバイルデバイスがなかったでしょう。
そんで出先から設定変更しなくてはならないとなると、ノートPCを常時携帯
しておかないといけない。
即応性とスニッフされる危険性のどちらをとるかは顧客の要望次第だから、
当時はssh、telnetのどちらがいいかは短絡的に考えられないよ。
今はスマホでもsshクライアントが使えるから、sshでいいとは思うけどね。
782 :
ななし:2011/06/02(木) 00:54:43.76 ID:???
>>778 そうだったのか。あなたも持っていたのか。
性能において代わりがないことを考えればやっぱり対応してほしいよね。
ssh無ければPPTPでつないでtelnetだお
>>784 xx-11(0/8/9)xって、以前は警察消防系がダイレクトイン用に確保してた番号じゃなかったっけ?
ルーター交換前に現状を見せてもらったら、ルーターやらDSUやら電話交換機とそれらの配線が稼働状態のまま、無造作に40cm角のダンボール箱に詰め込んであったんだけど、何処の事務所もこんな感じなの?
それは無いだろ
やけくそだな
だよな
配線はともかく、特に交換機やルーター等は熱持つから拙いよな
ヤマハRT最高発熱量のNVR500なら壊れている
貸事務所ならそんなものかもしれない
さすがに放熱は素人でも考えてスチールラックぐらい用意するぞ
>>786 交換して持って帰ってくれといわんばかりに、箱に詰め込んでいたのかと思った
例:WPAD(Web Proxy Auto-Discovery Protocol)で必要なPACファイルの場所"
http://192.168.0.1/proxy.pac"をオプション番号252番で通知する場合
dhcp scope option 1 252=68,74,74,70,3a,2f,2f,31,39,32,2e,31,36,38,2e,30,2e,31,2f,70,72,6f,78,79,2e,70,61,63
http://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/dhcp-server.html この、アスキーによる指定、どうにかならないものでしょうか。
マスカレつながりました、サンクスアロット。
>>743
795 :
an:2011/06/06(月) 10:19:59.49 ID:???
ISDN 回線でリモートアクセスサーバーしてます
pp select anonymous
pp bind bri1
pp auth request chap
pp auth username user pass
こんな風で運用してますが、このたび、PPTP でも入れるようにすることにしました。
pp bind bri1 tunnel1
で良いのですが、さすがにインターネット経由で chap はアレです。。
ここを mschap-v2 にしてしまうと既存の ISDN 接続で相手先の設定を変更しないといけなくなるので
pp auth request chap mschap-v2
という感じで、「どっちでも受け付ける」にしたいところですが、この設定は拒否られてしまいます。
何かいい方法ないでしょうか。
796 :
an:2011/06/06(月) 10:40:03.20 ID:???
すみません、認証は
pp auth accept chap mschap-v2
で良かったです。
が、ppp がうまく通らず・・・
ISDN と PPTP とを pp anonymous で併用するのって普通じゃないんでしょうか
797 :
ano:2011/06/06(月) 13:32:58.97 ID:???
798 :
an:2011/06/06(月) 13:45:38.68 ID:???
pp select anonymous
pp bind bri1
pp auth request chap
pp auth accept chap mschap-v2
pp auth username user pass
ppp ipcp msext on
ip pp remote address pool 192.168.1.10-192.168.1.19
ip pp mtu 1280
pp enable anonymous
は ISDN 着呼で OK なのですが
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
としたうえで
pp bind bri1 tunnel1
に変更すると ISDN からの着呼も PPP/LCP Aborted になっちゃいます。
pp bind tunnel1 でpptpがつながるなら
併用は無理って事だろ
800 :
anon:2011/06/06(月) 15:36:40.04 ID:???
>>797 ネイティブ方式への対応を明言したルーターって現状ある?
フレッツをメインに使って落ちたときに
ドコモのモバイルをバックアップ回線に
使おうかと考えているんだけど参考となる
configどこかに公開されていませんか?
オフィシャル見たけどあんまり良いの無かった(T-T)
(切り替えを書いてるところが無かった…)
INIT出来ない機種で設定ミスでハングさせてしまった。
webで操作不可。
シリアルケーブル繋いで設定をマニュアル通り9600/8/n/1/xonoffにしてみるも応答なし。
シリアルケーブルはモデムに繋がっていた(市販品)のを抜いてきたけど、配列やストレート/リバースの区別とかあるのかな?
モデムに繋がっていたのならストレートシリアルケーブルかなRTはクロスだね
有難う
クロスケーブルは昔のPC-98用なら探せばあるはす。
端子変換2つも一時的に借りてくる。
解決できないときは通販。
INIT出来ない機種なんてあったっけ?
807 :
803:2011/06/07(火) 12:09:24.71 ID:???
無事解決
INITスイッチが無い機種だったんだよ
Dsub8Pくらいどっか転がってるだろうから2,3,5だけ繋げばおk・・・
8Pってなんだよw 訂正9P ゴミレスすまそ
810 :
あの荷:2011/06/07(火) 12:51:36.78 ID:???
RTX2000とかボタン操作じゃ無理じゃなかったっけか
>>806 INITスイッチがあるのは、RT105や140あたりの時代からだと思う。
それと、810の言う2000も含めて
センター向けのラックマウントできるやつも、
INITスイッチは付いてなかったと思う。
INITボタンがなくても、何かしらボタンの付いてる機種は全部押しでINITになる
813 :
anony:2011/06/07(火) 13:21:48.14 ID:???
INIT付いてない機種でWebインタフェースが付いてる機種ってどれだろう?
興味があるから調べてみた。
時代的に、RT80iはどうかと思ったが、
INITスイッチは付いていた。
ちょっと異色なSRT100はどうかと思ったら、付いてなかった。
じゃあと思ってRT107eを見ると、これにも付いてなかった。
ついてない機種ってクロスのシリアルケーブル付属してるんじゃないの?
付属しててもまさか本体に繋ぎっぱなしで置いてあるわけじゃ無かろうてw
v4でしくじったときは、telnet fe80::2a0:deff:fexx:xx:xx で通せることがあります。
xx:xx:xxはrtxのmacアドレスの下3バイトです。
interopが始まったわけだが、誰か行ってない?
まあ、今回はYAMAHAは参考出品のみらしいが。
RT107e後継が展示されてるなう
>>821 そういえば、そんな話どこかで聞いたなと思ったら、
>>712に書いてあった。
107eがgiga化した物と思っておk?
NVRにIPsec足してアナログ電話ポート引いた感じならいいんだけどな
SRX1200からNNTP省いて接続数減らした奴じゃないの?
SRT100を速くした奴とも言う
×SRX1200
○RTX1200
RTX1200の価格がこなれてるから、RT107e後継機種じゃなくて1200でもいいような気もする…
たしかに
サイズはRT107eと同じくらいかな?
RTX1200 \68,300
RT107e \39,800
SRT100 \44,800
NVR500 \31,000
RT58i \34,800
価格的にRT107eのギガ化はいいかもね
むしろSRT100とRT107eを統合してコスト下げた方がいい気がする
たしかに
833 :
anonymous:2011/06/09(木) 13:01:26.05 ID:QwBjRatU
RTX2000のコンフィグと比較してみたら
835 :
833です。:2011/06/09(木) 13:42:00.06 ID:jMQs32xD
>>834 フィルター関連はほとんど丸写しなので、特に変えてないんですがね。
すべて貼り付けると長くなるので、ブラウザで却下されるのですが、
比較してみて、ほとんど変わりありません。
一応余分なフィルター記述が無いかどうかもう一度見直してみます。
RTX1000の方が若干ですがスループットが良いようですし、
RTX2000はネットボランチDNSサービスに対応していないようなんで、
RTX1000を使いたいんですよね。
L2TP over IPsecの新ファームまだぁ?
>>829 奥行きがちょっと伸びてるみたい。
RTX1100→1200ほど極端じゃないけど。
こんどスマフォ当たるから早くして欲しいな
interopでL2TP over IPsec対応RTX1200ファームは今月末予定って言ってるよ
>>835 NAT関連は?
ファームは最新?
突然聞けなくなるって事はNAT系か動的フィルタかじゃないの?
RTX1200だけってことはないよな
>>843 3000とSRTは大丈夫だろう。
1100と1500のことは、思い出してもらえるんだろうか。
L2TPの話が出ているけど、
それを使って何かいいことでもあるんですか。
たとえば?
L2TP over IPsec って普通のIPSecとどう違うの?
なんかメリットあるの?
iPhoneが接続できる
現状出来るのはCiscoだけ
いままではクライアントのIPアドレスが固定でなかった場合は、
アグレッシブ・モードに対応してるIPsecクライアントが必要だったけど
それを標準で満たしたモバイル機器およびWindowsはなかった
L2TP over IPsecに対応することによって
モバイル機器やWindowsでも標準でIPsec接続できるようになる
ヤマハのVPNクライアントソフトウェアYMS-VPNなんてのはいらなくなってしまうから
ヤマハとして天秤にかけてL2TP over IPsecをとったんだろうね
>>847 iPhoneとIPsecで繋がるはずだって言い張ってた人、昔ここに居たなぁ
L2TP over IPsecといえども、over Ethernetみたいに、IPsecをベースとして必要なのでしょう?
だったら、やっぱり、クライアントが動的IPの場合には、
アグレッシブ・モードに対応してるIPsecクライアントである必要はないのですか?
L2TP over IPsecのIPsec部分は暗号化のみに使ってるとおもった
あいぽんはIPsecに対応してない
新機種はあいぽんからログイン出来てPCを遠隔起動遠隔操作出来る
後は判るな?
>>854 後出しで不正確な情報書くのはやめような
WindowsXP(SP3)からRTX1100にリモートアクセスVPNで接続の設定をしています。
XP側でVPNの接続で、接続しましたのバルーンがでているのでVPNの認証まではOKだと思います。
RTX1100側もlogを見ていると接続できている感じです。
ですが、XPからRTX1100のLAN側IPアドレスににpingが通りません。
(LAN側の各サーバにも当然PINGは通りません。)
Windows2000SP4からの接続実績はあるのですが、XPからの接続は今回がはじめてです。
Windowsファイアウォールは無効にしています。XPはWillcomのPRINから接続しています。
基本的なところを何か間違ってるかもしれません。
アドバイスいただけるとありがたいです。
2kがOKならXPの問題じゃないかと、
ちゃんとXPにIPが付与されていますか?
ipconfig /all
route print
>857
未確認ですみません。willcomのPRINはPPTPのパケットを落とす、
VPNがつながらない、というような話を聞いたことがあります。
試しに、無料のPRINの代わりに、いまご利用のodnの
ダイヤルアップアカウントを入れてつないでみて、どうでしょう。
860 :
857:2011/06/11(土) 22:00:10.36 ID:???
ありがとうございます。
実はwillcomのアップグレードキャンペーンというやつの
HX008ZT(3G,softbank)の回線なのですがPRINがセットで、PRIN以外に変更
できなさそうなのです。
W2KでOKだったのはwillcomのAX520Nを使用でODNからの接続でして、
さっきW2KでAX520NからPRINで試したら、PPTP接続でVPN接続が問題なくできました。
てことはXPの問題かもしれません。(XPのPCはPCカードがなくてAX520Nを試せません。)
XPの設定をまた確認してみます。IPはふってるつもりです。
show status pptpはW2KとXPでほとんど一緒な感じなんですが。
またはPHSのPRINと3GのPRINで違うのか。
暇を見て調べてみます。
861 :
857:2011/06/12(日) 09:32:02.11 ID:???
解決しました!
XPで、他の無線LAN(WiFi)が接続状態になったままで、VPNの接続状態になっていました。
無線LANを接続しない状態にしたところ、あっさり問題なくVPN接続できるようになりました。
お騒がせしました。
Willcom(3G,softbank)のPRINで問題なくPPTPのVPNができました。
PHSよりかはやっぱり速いです。十分速いかはまた別ですが。
皆様ありがとうございました。
862 :
anonymous:2011/06/12(日) 15:44:31.90 ID:TUOoSY0k
データコネクトによるリモートセットアップをしたいです。
以下の環境で、それは可能でしょうか。
光ネクスト、RTX1200、ホームゲートウェイが揃いました。
RTX1200からpppoeセッションを(HGWをパススルーして)IPv4プロバイダに張っています。
データコネクトは、IPv6サービスだと思うので、
RTX1200は網内IPv6を取得しないといけないと思います。
設定について教えてください。
>>863 なるほど。レスありがとうございます。
1、”NTTから提供されるHGWを使わずに、フレッツ光ネクストの回線をWANインタフェースに挿します”
今、一体型のHGWが設置されているのですが、どうすればいいのでしょう。
HGWにRTX1200のLANコネクタをpppoeとは別に繋げれば、網内IPv6使えますか?
>>866 ありがとうございます。感動しました!! とても面白いことになっているのですね。
一体型ホームゲートウェイといえども、内部ONUとゲートウェイ部分とは、イーサーネットケーブルで結ばれているなんて。
しかし、家はひかり電話を使っています。だからホームゲートウェイの機能も使わないといけないので、
RTX1200だけをそこへ接続するわけにはいきません。
ethernetハブを使って分岐して、ホームゲートウェイとRTX1200を接続しても大丈夫でしょうか。
大丈夫じゃないだろ、多分。
光回線1本の中で、ひかり電話とデータコネクトって両立出来るん?なんとなく無理な気がする。
大丈夫だろ
なんのためのv6か
>>871 HGWのONUポートをハブで分岐して、HGWルータ部分とRTX1200と接続したばあい、
網内IPv6アドレスはそれぞれで取得できなくなってしまうのですね。
困ったな。
NVR500でデータコネクトしても仕方ないしなー。
>>872 ひかり電話の契約をしている光ネクストでは、
NGN内のDHCP/DHCPv6/DHCPv6-PDサーバから取得できる
IPv4アドレス、IPv6アドレス、/48のプレフィックスは各1個のみ。
取得したプレフィックスの範囲内のアドレスをIPv6端末に割り当てて使うんだよ。
875 :
873:2011/06/12(日) 19:14:38.15 ID:???
>>873 自己レス
ただし、アドレス取得が不可なのは、ひかり電話を契約している場合に限るわけですか。
なんと、変てこな仕様だ。
HGW(ひかり電話)とRTX1200(データコネクト)をどうしても同時に使いたいです。
876 :
873:2011/06/12(日) 19:18:23.35 ID:???
>>874 >取得したプレフィックスの範囲内のアドレスをIPv6端末に割り当てて使う
ひかり電話が設定されている一体型HGWのLANポートに、RTX1200をつないで、
そのIPv6を割り当ててもらってデータコネクトすることは可能でしょうか。
電話番号での着信はHGWが受けてひかり電話に流してしまうがな
データコネクト使いたいのは番号を使いたいってことではないの?
番号使いたいわけでないなら、別の接続手段がいろいろあるかと思う
※NTTにデータコネクト使いたいって言ったら、普通はやってくれないはずのONUとCTU分離型に交換してくれた(有償だけど、、)
>>878 >電話番号での着信はHGWが受けてひかり電話に流してしまう
HGWでひかり電話を使う限りは、データコネクタを利用する別機器を使うことはできないという理解でいいですか。
しかし、NVR500のように、ひかり電話アダプタ機能を併せ持った機器なら、データ通信もその機器で使えるということでしょうか。
SIPのレジストで電話番号とIPv6アドレスは1対1で結び付けられるので、
ひかり電話機器を使う場合、SIPの着信が全部そっちに流れ、別機器でデータコネクトによる通信は利用できないということなのだろうか。
だったらアナログに戻さないと、RTX1200では永久にデータコネクトできないやん。
881 :
862:2011/06/12(日) 21:30:10.62 ID:???
ひかり電話をつかっているHGWのLANにRTX1200のLAN2を接続しました。
とりあえず、次の設定を行いました。
# ngn type lan2 ntt
# sip use on
# ip lan2 address dhcp
# ipv6 lan2 address dhcp
# ipv6 route default gateway dhcp lan2
# ipv6 lan2 dhcp service client
# show status lan2
そして、次のコマンドを送ると、
# show status ngn
NGN status
LAN2
sip:
[email protected] 起動OK
となりました。これはいけているということでしょうか。
882 :
881:2011/06/12(日) 21:35:15.20 ID:???
>>881 自己レスです
あっ、これって、<自宅電話番号>*3 で、rtx1200にデータコネクトできるってことだろうか。
1と2は、HGWの2口のアナログポートに対応しているってことで。
# show status ipv6 dhc
DHCPv6 status
LAN2 [client]
state: established
(略)
Tel Number: 3
SIP Domain: ntt-west.ne.jp
という情報も確認できました。まだ別拠点がデータコネクトできないので試せない。
NATの内側アドレスをトンネル接続先のアドレスにすることはできるのでしょうか。
WAN --> センター拠点 --> A拠点 --> 公開サーバ
センター拠点(192.168.1.0/24)とA拠点(192.168.2.0/24)はトンネル接続されています。
公開サーバー(192.168.2.2)はA拠点内にあります。
センター側で
nat descriptor type 1 masquerade
nat descriptor address outer 1 [WAN側アドレス]
nat descriptor address inner 1 192.168.2.2
nat descriptor masquerade static 1 1 192.168.2.2 tcp www
そのままなんですが、やりたいことはこういうことになります。
よろしくお願いします。m()m
884 :
deny:2011/06/13(月) 08:07:17.25 ID:???
トンネルにNAT噛ませばok
データコネクトのリモートセットアップとHGWのひかり電話を使いたいのであれば
RTX1200 --- HGW(分離せず) --- 網で繋げばOK
この繋ぎ方の場合データコネクトの拠点間通信はいまのところ不可
ちなみにHGWはSIP-PROXY機能を持っているので下にSIP端末を繋げられるのです
886 :
883:2011/06/13(月) 14:56:24.36 ID:???
>>884 レスありがとうございます。それは
>>92と同じということでしょうか。
センター側を下記のように変えてみましたがトンネルのNATがよく分からず繋がりませんでした。
nat descriptor type 1 masquerade
nat descriptor address outer 1 [WAN側アドレス]
nat descriptor address inner 1 192.168.2.2
nat descriptor masquerade static 1 1 192.168.2.2 tcp www
(続く)
887 :
883:2011/06/13(月) 14:58:48.10 ID:???
ip tunnel nat descriptor 2
nat descriptor type 2 masquerade
nat descriptor address outer 2 [WAN側アドレス]
nat descriptor address inner 2 192.168.2.2
nat descriptor masquerade static 2 1 192.168.2.2 tcp www
nat1はpp、nat2はtunnelです。
アドバイス頂けたらとおもいます。m()m
888 :
882:2011/06/13(月) 16:48:00.47 ID:???
>>885 レスありがとうございます。
データコネクトでリモートセットアップする場合には、
一体型HGWの配下にRTX1200をSIP端末として接続する方法でOKなんですね。
HGWのひかり電話端末としてIPv6によりRTX1200がレジストされていました。
データコネクトをバックアップ回線として拠点間通信したい場合は上記の方法でも駄目なんですね。
HGWからでなくて、NTTの網から直接アドレスを、RTX1200に配布してもらわないと、NTT側が端末を管理できないからかな。
889 :
882:2011/06/13(月) 16:53:41.60 ID:???
>>885 今、RTX1200がSIP端末として一体型HGWにレジストされています。
内線番号3番で登録されています。
その場合、リモートアクセスするときのダイヤル方法は、<自宅番号>*3 で良いのでしょうか。
逆に、アクセプトを許可する番号として相手のRTXに登録する場合も、その番号形式でよいのでしょうか。
それとも、*内線番号は不要でしょうか。
890 :
883:2011/06/13(月) 18:54:31.02 ID:???
あーできました・・・。けど良く分かっていないのでもう少しログを見てみます。
内線番号は不要です
拠点間通信が出来ないのは自分番号と相手番号の両方を設定する必要があるからかな
リモートセットアップは相手番号しか書かないからね
>>891 レスありがとうございます。すみません、ご親切に教えていただきありがとうございます。
内線番号なしで、HGW配下のRTXにリモートアクセスできるなんて不思議です。
( HGW配下に二つのRTX1200を設定してみたのだけど、片方は利用できなかったことと関係があるのかもしれないなあ )
>拠点間通信が出来ないのは自分番号と相手番号の両方を設定する必要があるからかな
うーん、よくわからないや。
現在、RTX1200でインターネットなど全ての通信はセンター拠点経由で通信しています。
特定のグローバルIPアドレス(AAA.BBB.CCC.DDD)のみを拠点から通信したい。
これまでどおり、センターと拠点間の通信にはNATを設定したくない。
下の追加コンフィグを追加すると通信が不能になってしまいました。
教えて君で申し訳あしませんが、先生方のお知恵をお知恵をお貸しください
=== 追加コンフィグ === 現在のコンフィグは次
ip route [AAA.BBB.CCC.DDD] gateway pp 1
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 [ローカルアドレス1] udp 500
nat descriptor masquerade static 1 2 [ローカルアドレス1] esp *
pp select 1
ip pp nat descriptor 1
pp enable 1
=== 現在コンフィグ ===
ip route default gateway tunnel 1
ip route [センター 固定IPアドレス] gateway pp 1
ip lan1 address [ローカルアドレス1]/24
ip lan3 address [ローカルアドレス2]/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap mschap mschap-v2
pp auth myname [ISP ID] [ISP PASSWORD]
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 1 2 3 4 5 6 7 8 99
pp enable 1
ip filter 1 pass * * established
ip filter 2 pass * * udp 500 500
ip filter 3 pass * * esp
ip filter 4 pass * * icmp * *
ip filter 5 pass * * udp domain *
ip filter 6 pass * * tcp ftpdata *
ip filter 7 pass * * tcp * ident
ip filter 8 pass * * udp ntp *
ip filter 99 reject * * * * *
ip filter 199 pass * * * * *
ip route [AAA.BBB.CCC.DDD] gateway pp 1
ip route [センター 固定IPアドレス] gateway pp 1
これが臭う。
どの通信がダメになったんだろう?特定のグローバルIPの所かな?
個人的にはフィルタが臭い気がするが一瞬だけ全部パスにして試してみたら
ルート情報を全部消してから、以下を追記。
ip route default gateway pp1
ip route [AAA.BBB.CCC.DDD] gateway tunnel1
>> 898
ip route default gateway tunnel 1
ip route [センター 固定IPアドレス] gateway pp 1
でセンターのグローバル固定IPアドレスのみpp1にして、センターとトンネルを張って
全ての通信をtunnel 1(センター)で通信してた気になってたんですが、もしかして違いました?
あと、
ip route [AAA.BBB.CCC.DDD] gateway pp 1
だけ追加したら、NAT設定していないので当然といえば当然ですが、AAA.BBB.CCC.DDDのみ通信できなくなってしまいました
>>899 追加コンフィグ(
>>895)を追加すると、tunnel 1は張れているのですが、
センター拠点へのアクセス、センター経由のグローバルアクセス、AAA.BBB.CCC.DDDへのアクセス
全ての通信が不通になってしまいます。
>>900 こちらだと、AAA.BBB.CCC.DDDがtunnel経由で、それ以外はpp1に行ってしまうので、
センターとの通信が出来なくなってしまいますし、AAA.BBB.CCC.DDDをセンターを経由しないで通信したいと目的と真逆だと思うのですが、
このスレにもいろいろな技量・経験値の連中がいるよ
>>901 >でセンターのグローバル固定IPアドレスのみpp1にして、センターとトンネルを張って
はい、考え方もconfigも合ってます。たぶん900は
通信そのものがきてるかどうか見たかったんだと思います。
私はIPsecまわりが気になりました。endpointとか細かいとこ。
サポートに投げてみては?
IP ROUTE DEFAULT GATEWAYと、IP ROUTEと勘違いしていました。
改めて、
追加したNATの関係で、vpnが通らなくなったのでは?
>nat descriptor masquerade static 1 2 [ローカルアドレス1] esp *
最後の *が気になる。要らない。
それから、[ローカルアドレス1]は、IPsecの設定中のipsec ike local addressと一致していますか?
LOGで、なにか通信がリジェクトされていないのか、確認してみればどうでしょう。
正直なところISDN要らないんだよなあ。
SRT100のGbE版がほしいなあ。
SRT100はMLDに対応してないから
マルチキャストで配信されるひかりTVなどは使えないよ
YMS-VPN7がWiMAXなどで使えないというのは結構きつい制限だなあ。
どうして?
>>909 なんで?
YMS-VPN1だけど、普通に使えてるぞ?
ちなみにWR3500N。ipsecパススルーにチェックを入れただけ。
以前USBタイプのも使ったことがあるが、その場合はPCにグローバルIPアドレスが
振られるわけだから、もちろん使えた。
フレッツVPNワイドで複数拠点間接続する場合
IPIP接続接続するならRTX1200よりもNVR500の方が高速?
ちょっと質問です。
[構成]
RTX1200のlan1,lan2でそれぞれvrrpをしている。
lan1のshutdown triggerでlan2をシャットダウン、lan2のshutdown triggerでlan1をシャットダウンする。
lan2側にはHUBがある。
(図)
PC-L2SW---RTX1200(1)-----HUB(1)-----L3SW(1)
| |Vlan,trunk
-------RTX1200(2)-----HUB(2)-----L3SW(2)
lan1 lan2
[問題点]
L3SW(1)が停止した場合、lan2のVRRPは切り替わるが、ポートはリンクアップしているので、
shutdown trigger lan1が発動せず、lan1がシャットダウンしないため、lan1側のVRRPが切り替わらない。
よって通信不可となる。
[解決策]
RTX1200(1)のlan2でlan keepalaive L3SW(1)を設定すればlan1側をシャットダウンさせることができ、
lan1側のVRRPが切り替わり、通信が可能となる。
この考えで正しいですか。
>>915 やってみ?
多分残念な結果になるとおもう。
VRRPやる時ってHUB入っちゃダメなのか?
>>915 できる、と思う。
テクニカルエンジニアネットワークの2007年午後2の1みたいな話しかと。
あれもpingで経路を確保してました。
でも、914の構成において、LAN2側でetherを共用してないんなら、
LAN2側のVRRPは不要じゃないかなぁと思いました。L3SW側でも切替が必須でしょ?
RTX1100 を勉強中です。
一通りの設定は出来て、数週間 運用してます。
とんちんかんな質問かもですが、
LAN側PCから バッチ的なモノで設定変更は可能でしょうか。
具体的には、VPNの有効無効を 簡単に切り替えたいのですが、
方法は有りますでしょうか?
VPNを有効無効に切り替える必要がある運用を先ず変えたほうが・・・
telnetやsshで入ってコマンドかますソフトあるだろ
たしかteratermでスクリプトみたいなの使えたと思った
ありがとうございます。
teratermスクリプトで いけそうですね。
やってみます。
でも 各IPsecを個別にon/off するコマンドって無いですよね。
tunnelを on/off すれば良いのかな?
良い案があればご教授ください。
no とかでけしゃいーじゃんw
ワオ 凄い。
確かに。 感謝です。
RTX1200なら、内部でスクリプトが動作するんだよね。
使ったことないけど。
LUAスクリプトで、たとえばどんな素敵なことが起こるのですか?
PPTPのVPNを、バッファローのBHR-4RV対向で組んでました。
このセッティングのままでRTX1000に置き換えしようとしてます。
まずクライアント側をRTX1000にしてセッティング中です。
1A. LAN-A 10.aaa.bbb.0/24
|
2A. BHR-4RV-LAN 10.aaa.bbb.254
3A. BHR-4RV-WAN (Global)
4A. BHR-4RV-PPTP鯖 192.168.11.1
|
|
|[PP2/TUNNEL1]
|
4B. RTX1000-PPTPCL 19.168.11.100
3B. RTX1000-WAN (Global)[PP1/PPPoE]
2B. RTX1000-LAN 10.aaa.ccc.254
|
1B. LAN-B 10.aaa.ccc.0/24
異機種ですが、PPTP認証は正常に立ち上がります。
4B->1AへのPINGは通るのですが、1B->4BはNGです。
逆に1A->4BへのPINGは通るのですが、1A->1BはNGです。
ということで、4B<->2Bのルータ内でのルーティングを
設定したいんですがどうやればいいでしょう?
今のルーティングは下記設定のみです。
ip route default gateway pp 1
ip route 10.aaa.bbb.0/24 gateway pp 2
※BHR-4RVのPPTPトンネルはクラスC専用なせいで、
クラスAでは直接LAN内にエンドポイント設定できないので
自動的にLANとトンネルをルーティングするようです。
RTX側に、ip route 192.168.11.1 gateway pp 2
BHR側に、経路追加、宛先:10.aaa.ccc.0/24、ゲートウェイ:192.168.11.100
どうでしょう。
> 1B->4BはNGです。
ここ入力ミスではありませんか。1B->4AはNG、が正しくありませんか?
もし、記載通り1B->4Bがだめなら、rtxのパケットフィルタを外してみて下さい。
RTX1100 のファームを8.03.90にアップしたら
Windows 7 PCのIPアドレスが競合していると出るようになりました。
RTX1100 には
lan1に 192.168.0.1/24 セカンダリアドレスに 192.168.100.1/24
ですが、PCのNIC1枚には
192.168.100.52 と 192.168.200.52 を振ってます。(複数アドレス)
ルーターと異なるサブネットのアドレスなら、どれでもアドレスの競合
になってしまいます。複数アドレスでなく、192.168.200.52 を単独で振ろう
としてもダメです。
ルーターが認識できないように、LAN1側 LANケーブルを抜くと症状
はでなくなります。
ソース: Tcpip
イベント ID: 4199
タスクのカテゴリ: なし
レベル: エラー
キーワード: クラシック
ユーザー: N/A
コンピューター: PCNAME.galaxy.or.ugo
IP アドレス 192.168.200.52 とシステムのネットワーク
ハードウェア アドレス [RTX1100のMACアドレス] が 重複しているのを、
検出しました。このシステムのネットワーク操作は 無効になる可能性があります
なお、XP PCではこの現象は発生しません。
ルーターが自分が属するサブネット以外のアドレスをPCに振るのを
妨害しているような動作なのですが、設定で回避できるでしょうか?
2008 R2 サーバーでも起きるぅ
別拠点にある RTV700 とか RT58i のファームを最新にしたけど
問題はおきてない。
RTX1100ちゃんは、自分が認識できるサブネット以外のアドレスを
7, 2008 R2 (もしかしたら Vistaも)PCが持つのを許さないのでしょうか?
proxyarp設定してる?
つか200.52は必要かね?
YMS-VPN7使ってみる
お試しは使用不可
ライセンスキー必須
繋いで見るも繋がらない
IP変更時に、1100がどんなarp replyをかえしてるのか、
キャプチャしてみたらもう少し詳しく判る気がします。
Vista以降はIPアドレスの変更時の重複確認arpに0.0.0.0をだすそうです。
関係してませんかね。
http://support.microsoft.com/kb/980424/ja Windows Vista および Windows Server 2008 以降の OS では、
IP アドレス変更時や NIC のリンクアップ時に ARP リクエストを
送信しますが、そのパケットは、IP アドレスの重複確認のみを目
的とするため SPA は 0.0.0.0 にセットされます。ネットワーク機器
は、ホストから送信された ARP パケットを確認し、自身の ARP
テーブルを更新しますが、SPA が含まれていない場合には、
ARP テーブルを更新しません。
>>929 ありがとうございます。
BHR側の経路追加だけでうまくいきました。
どうもBHR対向の場合は、トンネル開通後に相互で通信して
ルーティング情報のやり取りを行っているようです。
(クライアント側のポート80との通信を要求している)
どうもありがとうございました。
>>933 proxyarp は設定しています。(PPTPで同一ネットワークとして入るために)
しかし以前のファームでは起こりませんでした。
ヴァージョンはそれほど古くなかったはずです。
>>935 XP ではおこりませんから、これが原因ですかね。
とりあえず proxyarpを無効にして確認したいと思います。
8.03.82の仕様変更[1]でARP動作ちょっといじってる
ビンゴでした。
proxyarp を無効にすると、現象が発生しません。
有効にすると、再現します。
200.52 というアドレスですが、予約端末として使っているPCで
ゲートウェイが 200.254 になっている(データセンター指定)
ため、必要なアドレスです。宛先ごとに2個のルーターを使い分けている
ため、複数アドレスを振っています。
こういった問題が起こらないように、NICを2枚にし、物理的に切り離した
ほうがいいと思いました。
物理的に分けるに越したことはないね。
それが無理なら仮想NIC。
それも無理で初めて複数IPって選択肢になるかな、自分は。
Windowsの複数IPアドレスは妙な動きすることがあるから、複数必要なら複数NIC
YMS-VPN7、ルーター配下から、NATトラバーサル設定で鍵交換までは行くけど、通信出来ず
>>943 対向ルーターにNATトラバーサル設定が入ってますか?
945 :
屁出そう:2011/06/27(月) 00:47:29.08 ID:???
センターと営業所間でIPSec張ってるんですが、ActiveDirectory使ってると営業所の
クライアントPCのDNSはセンター側のドメコンを指定しないといけないですよね。
フォワーダが使えないようなんですが、なんかいい手ないっすか?(RTX1100)
福岡と札幌なので微妙に遅延するんですわ。少しでも早くなればなと。
946 :
名無しさん:2011/06/27(月) 08:05:31.47 ID:???
RODCなぞ…使ったことないけど。
>>945 ADのサイトをわけりゃいいんじゃないの
948 :
屁出そう:2011/06/27(月) 11:52:33.61 ID:???
>>947 あ、どーも。
たしかにそーなんですけどね。
各拠点2〜5人ずつとかなのであまりサイトを増やしたくないんですよ。
やっぱルーターだけじゃムリかな・・・
>>945 センター側で各々支所−センター間のみ通信許可するようにするとか。
950 :
屁出た:2011/06/27(月) 15:16:43.38 ID:???
>>949 それだと結局センター側に全部のDNSクエリが飛びますよね?
内部で使っているADのdomain.local的なゾーンだけセンターにフォワードして
ほか(通常のブラウジングなど)はISPのDNSに聞くような設定が出来ればなぁという。
フォワードでいいの?
PCのDNSをルーターにして
dns server select 1 ADipアドレス a domain.local
でいけると思うけど動的更新とかするのかな?
>>950 何故、全DNSクエリーが飛ぶの?
飛んだとしてもセンターのサーバー分だけ
>内部で使っているADのdomain.local的なゾーンだけセンターにフォワードして
>ほか(通常のブラウジングなど)はISPのDNSに聞くような設定が出来ればなぁという。
運営方針次第ですが、普通、そうでしょう。
支所はこんな感じ
ip route default gateway pp 1
ip route 123.45.67.0/24 gateway tunnel 1
ip host server1.local 123.45.67.101
ip host server2.local 123.45.67.102
ip host server3.local 123.45.67.103
953 :
屁出た:2011/06/27(月) 15:49:27.67 ID:???
>>951 あ。それだ・・・マニュアル見落としてましたorz
動的更新はどうなんだろ、RTXに対して更新かけちゃ意味ないですよね。
自動的にフォワード先(ADのDNS)に行ってくれるものかどうか・・・
テスト環境で確認してみます。助かりました。
954 :
屁出た:2011/06/27(月) 16:19:57.05 ID:???
>>952 あーそういう意味だったんですね。理解しました。
それも確認してみます。
L2TPまだぁ?
>>950 クライアントPCにはDHCPでDNSサーバを配布しているだろうから、
ISP側のDNSサーバとセンター側のDNSサーバ(ADDC)のIPアドレスを
クライアントに配布したら。
DNS問い合わせの時にクライアントPCは登録された全てのDNSサーバに
問い合わせするだろうから、それで解決するんじゃない? .localドメインに
回答するのはセンター側だけだろうし。
一応、クライアントPC側でのOSの動作は確認してね。
後は
>>952がいうようにRTX1100側にホスト登録し、RTX1100のDNSプロキシーを
使う方法があるけど、システム・ネットワーク構成変更した時に更新ミスで
トラブルになることがあるよ。
ベストな解決策は古いPCなりで、各拠点にDNSプロキシーサーバを立てるのがいいけどね。
958 :
943:2011/06/28(火) 15:55:17.68 ID:???
YMS-VPN7、ルーター配下から、NATトラバーサル設定で鍵交換までは行くけど、通信出来ない件
configを上げてみます
ip route 192.168.110.0/24 gateway tunnel 2 hide # 存在しないが定義
pp select 1
ip pp inbound filter list 略 1 2 略
ip pp nat descriptor 1000
pp enable 1
ip inbound filter 1 pass-nolog * 192.168.100.1 tcp,udp * 500,4500
ip inbound filter 2 pass-nolog * 192.168.100.1 esp * *
tunnel select 2
description tunnel REMOTE-PC
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 auto heartbeat
ipsec ike local address 2 192.168.100.1
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ABCD01234
ipsec ike remote address 2 any
ipsec ike remote name 2 REMOTE
ipsec ike xauth request 2 on 1
ip tunnel tcp mss limit auto
tunnel enable 2
959 :
943:2011/06/28(火) 15:57:12.23 ID:???
続き
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade incoming 1000 reject
nat descriptor masquerade static 1000 101 192.168.100.1 esp
nat descriptor masquerade static 1000 102 192.168.100.1 udp 500
nat descriptor masquerade static 1000 103 192.168.100.1 udp 4500
ip policy service group 104 name=IPsec ike esp ipsec-nat-t
ip policy filter 1530 static-pass-nolog * local * * 104
ip policy filter 1720 static-pass-nolog * pp* * * 104
auth user 1 TESTUSER TESTUSER
auth user attribute 1 xauth=on xauth-address=192.168.100.21/24
auth user group 1 1
auth user group attribute 1 xauth=on xauth-address-pool=192.168.100.21-192.168.100.25/24 xauth-dns=192.168.100.1
関係ありそうな部分のみ抽出してみました。
> auth user attribute 1 〜 xauth-address=192.168.100.21/24
> auth user group attribute 1 〜 xauth-address-pool=192.168.100.21-192.168.100.25/24
192.168.100の代わりに、192.168.101.はどうでしょう。
21が重複してるのでgroupについては22開始ではどうでしょう。
個人的には、/24より/32にします。
192.168.100を使うときは、もしかするとip lan1 proxyarp on を。
961 :
943:2011/06/28(火) 17:36:59.57 ID:???
thx
192.168.100のところはフェイクです。
実際は別の稼働中のローカルアドレス空間です。
グループの予約アドレスは省略可でuser 1のみ予約アドレスを設定しても良い様です。
YMS-VPN7設定
認証アルゴリズム SHA-1
暗号アルゴリズム AES(128bit)
接続先ネットワーク 192.168.100.0/24
このクライアントの内部IPアドレス
手動で指定すると繋がらず
IKE設定モードで指定すると、user 1のアドレスを取得
DNSサーバー 192.168.100.1
NATトラバーサル:使用する
接続先を経由しない通信:許可しない
インターネット接続:VPN経由しない
現在、接続先のルーター内から外部経由で接続したり(これは期待してない)、
同じLAN上の別のルーターから外部接続経由で接続したりしています。
962 :
屁出た:2011/06/28(火) 18:48:25.53 ID:???
事後報告です。一応。
>>951 >>952 ドメインに追加済みのPCはそれで動きました。
が、PCをドメインに追加・参加する際は
_service._protocol.domain.local (SRVレコード)
_ldap._tcp.domain.local (Aレコード)
_LDAP._TCP.dc._msdcs.domain.local (Aレコード)
がないとダメだそうでSRVレコードはヤマハはサポートしておらずAも何故か応答なし・・・
実際にPCを参加させてみたら「ドメコンと通信出来ません」の警告が出ました。
出来てますか?
>>952 さん
あとサーバーはいいんですがクライアント間の参照がダメでしたね。これはまぁ当たり前か。
WINS(NetBIOS)なら動くかもしれませんがこちらは試していません。
というわけで動的更新の動作も確認が取れずです。
963 :
屁出た:2011/06/28(火) 18:49:34.70 ID:???
>>956 その方法は以前に試してみたことがあります。
ちっとスレ違いかもですが、結論としては動作が不安定になります。
クライアントがDC側に問い合わせた場合はまぁ問題ないのですが、ISP側に問い合せた時に
当然イントラのホスト名は返ってこないので「否定応答」というのをクライアントは受け取ります。
応答がなければ別のDNSに問い合わせるのですが「否定応答」の場合応答自体は受け取って
いるので、Windowsはそこで代替サーバーへの問い合わせをやめてしまいます。(XP以外は不明)
結果的にイントラのホスト名が引けずに非常に不安定な状態になりました。
964 :
943:2011/06/28(火) 19:07:57.65 ID:???
繋がりました。
最初のここのアドレスとユーザー1の配布アドレスを合わせる
(グループの予約アドレスは省略可)
ip route 192.168.100.0/24 gateway tunnel 2 hide
auth user attribute 1 xauth=on xauth-address=192.168.100.1/24
YMS-VPN7の「このクライアントの内部アドレス」は自動取得
ここら辺り、YAMAHAの設定例が例に依っては間違っているらしい。
ip lan1 proxyarp onの有無は特に違いは見つけられませんでした。
以上、お世話になりました。
>>963 レポお疲れ様です。
ADDCのDNSの動的更新(=ドメイン参加)を使う限り、
RTX1100だけでは難しそうだね。ここよりもWinサーバ
関連のスレで聞くのが早いんじゃない。
おそらく、コストと運用(後任への引き継ぎ含む)の問題から
(1)DNS応答の遅延はあきらめる
(2)Windowsサーバを拠点毎にたてる
の回答になると思う。
また、あればだけどDNSプロキシソフトを各クライアントに
インストールして、そこでゾーン毎に参照先を変更するぐらいか。
>>962 クライアント間を参照させるのが間違いでは?
Windowsサーバを拠点毎に用意するくらいなら、
>>952みたいに拠点ルーター毎にアドレスを記憶させれば済むのでは?
ファイル共有だけならそうだけど
それはそれぞれの運用次第でしょ
運用次第と言えばそうだけど、そういう環境は大概ファイルの扱い、バックアップがいい加減に成りがち
バックアップかいい加減です!が運用方針ですって事
>>968 中小企業にはよくある運用形態。
で、利用者の力が強すぎて、共有ファイルサーバなどの統合ができず、システム担当が右往左往する。
個人PCによるデータ共有の危険性(障害によるデータロスト、情報漏洩、複数ファイルの存在による無駄など)が
理解されず、昨今の厳しい経済情勢でバックアップ装置・SWにも予算をかけられない。負のスパイラル状態。
また、取り扱うデータ量が多くなり、共有ファイルサーバのディスク容量が大きなってきたので、
一定期間毎に必要なフルバックアップが取りづらくなった。
スレチなのでこの辺にしておきます。
WindowsでもLinuxでもなんでもいいから拠点ごとにDNSたてたら?
んでローカルドメインならセンターにフォワード、それ以外ならISPなりにフォワード。
各拠点のクライアントはそれぞれにたてたDNS鯖のみ参照。
これで一応センターとの通信は最小限になると思う。
AD運用ならしゃーないだろ
972 :
屁出た:2011/06/29(水) 12:08:18.67 ID:???
>>965 ですねー結局その2択です。
>>966 これが結構使うんですよね。
支店に行った時に本社の自分のPCにリモートデスクトップしたり。
>>969 うん。まさにその状態w
>>970 拠点ごとに立てるとなると30拠点くらいあるので予算的に厳しいです。
>>971 はい。どうやら私の運用方法だと「しゃーない」がFAのようです。
ファイルサーバーだけなら
>>951-952 的な感じでしょうか。
みなさんありがとうございました。
WebのDNS参照が遅いというならwebproxyをローカルに設置してproxyのdnsの向きをルーターにすると
速いと思う
サーバーが簡単に建てられるならそんな苦労はしてないと思う。
PCで動くのあるしょ
route addでゴリゴリ手書き設定するとか
977 :
hage:2011/06/29(水) 18:21:38.77 ID:???
dns server select N [adのdns鯖] any [adのドメイン]
で逝けるだろ
978 :
hage:2011/06/29(水) 18:23:49.08 ID:???
うちの拠点の場合
dns server select 1 192.168.1.10 any local
と書いて、拠点からのドメイン参加もKMS鯖へのレジストも
何もかもがうまく動いてるが
979 :
hage:2011/06/29(水) 18:26:28.32 ID:???
おっと、実際の config みたら
dns server select 1 192.168.1.10 any local
は本店のルーター(192.168.1.1)の仕込みて
拠点 192.168.2.1 のルーターには
dns server select 1 192.168.1.1 any local
って書いてあったわ
L2TPまだぁ?
ヤマハ時間は、標準時間に対して前後2ヶ月の幅を取るんだよ
加えて、あすは6月31日ですからね。
そうか、今年はうるう年だったな
次のモデルはNVR28ですね、わかります。
ギガビットって早いの?
いや、寺ビットのほうが早い。
その次は、絵草ビットだな。
女鹿ビットよりは戯画ビットのほうが早い。
早い順に並べると、こうなる。
寺
絵草
女鹿
戯画
岐路
突っ込み待ちです
少々お待ちください・・・
まぬけ時空発生中
>>986 寺と絵草が逆
グルーチョ 10^30
ハーポ 10^27
ヨッタ 10^24
ゼッタ 10^21
エクサ 10^18
ペタ 10^15
テラ 10^12
ギガ 10^9
メガ 10^6
キロ 10^3
マクドを思い出した
平和だなぁ....
#早く寝ないと
991 :
屁出た:2011/07/01(金) 23:58:03.05 ID:???
>>979-979 ぬおおー aからanyにしたらイケたっす・・・
anyってのはSRVも含む全部なんですね。
ちとハマったのがaで設定した際のキャッシュが残っていたようで
dns cache use off -> on としてクリアしたらうまいこと行きました。
ドメイン参加と動的更新も問題なく動作しました。
ありがとうございました。ご報告まで!
ギガビット+RTXでvpnしたら実測はどれくらいか知りたいんだおw 光ネクストハイでもいいけど。