YAMAHA業務向けルーター運用構築スレッドPart10
RTX1000のDHCPサーバの設定として特定のMACアドレスにホスト名を設定することってできますか? もともとdnsmasqのDNSとDHCPを使って、ネットワーク内のマシンにホスト名を振って、 名前で参照できるようにしていたのですが、同じことをRTX1000で行いたいと 思っています。
「ホスト名とIPアドレスを対応付ける」のは DHCPの仕事ではないと思うが RTXだろうが他だろうが「DHCPサーバの設定」では無理だろう
DNSとDHCPを使ってと書いてある DNSはRTA50iで既にあるから、後はDHCPに次の機能があるかが問題 DHCP認証機能があるのはRTX1100/SRT100/RT58i以降 ここら辺がRTX1000で使えるか自分で調べてくれ >dhcp service server >dhcp scope lease type 1 bind-only >dhcp scope 1 192.168.100.30-192.168.100.240/24
>>78 DHCP認証ですか。
RTX1000にはなさそうですね
でも、"認証"ともちょっと違う気もするので、何か方法があればいいんですが。
とりあえずDHCP認証について調べてみます。
DHCP認証は無くとも、固定macアドレスに固定アドレスを振る機能はあるかもしれない
ぱっと見た感じdnsmasqは、dhcp時にホスト名を含めて送ると言うより、 自身の/etc/hostsと一緒にキャッシュしてクエリに応答してるかんじですので、 二つの機能に分けてはいけませんかね。 dhcp scope bind でMACアドレスとIPアドレスをひも付け、 ip host でIPアドレスとホスト名をひも付け、です。 で、79のurlのdhcpdコマンドでは、オプション12のhostnameを使ってるようです。 rtx1000にもオプション12はあるんですけど、rtxのはおそらく、 スコープ、そのアドレスレンジ全体に対して設定する感じのため、 個々の端末に対して使う用途とはちょっと違うようです。
L2TPマダーー!
使いモンにならんがなw
86 :
anon :2011/08/01(月) 23:08:01.78 ID:???
憶測でしかないけど、速度が出ないのは端末側の問題が大きいんじゃないかなぁ。 RTX1200はIPsecハード処理できるはずだから、ルーターで落ちてるとは考えにくしいし。 普通のIPsecのクライアントでも端末側がしょぼいと全然速度でないよね。 かといって性能良くても大してでないけどw
SPモードで使えないならPPTP使うわ ドコモのサポートL2TPならSPモードでも使えると言ったのに嘘つき
>>76 dhcpd でMACアドレスに対してIPをフィックスして与え、そのIPに対するホスト名をdnsに静的に登録することはできます。
dhcp scope bind スコープ IPアドレス ethernet MACアドレス
ip host ホストのFQDN IPアドレス
とセットで設定すれば。
プライベートIPアドレスのiOSと yamaha機器がつなげられて実用レベルの速度出れば、 今悩んでる問題、全部解決するんですが、 無理ということでファイナルアンサー?
>>89 某MLによれば、プライベートアドレス・NAT超えの対応は進めてはいるらしいけど、期待通りの速度が出るかどうかはわからん
それよかRTX1100でのL2TP/IPSEC…
>>86 はい。それは知っています。
dnsmasqだと、DHCPで毎回IPが変わってもその場でDNSに登録されるみたいで、
名前でアクセスできるんですが、それがやりたかったのです。
まあ、DNSキャッシュとか考えれば、IPそんなに変わっていいのかっていう話もあるので、
とりあえず、固定IPで名前ふるようにします。
金かけずにRT58iやNVR500でURLフィルタかける方法ないかね
94 :
notURL :2011/08/11(木) 18:32:27.23 ID:???
金かけたくないなら、ルックアップして手動でフィルター突っ込むしかないんじゃね あっちゅーまに埋まりそうだが
>>93 サーバー単位になるがDNSサーバ使ったらいんじゃね。
96 :
95 :2011/08/11(木) 22:08:59.84 ID:???
ip host www.yahoo.co.jp 192.168.100.x(存在しないIP) とすればyahooに繋がらなくなるって意味
97 :
hage :2011/08/12(金) 08:39:31.14 ID:???
>>93 参照型フィルターのプロトコル(仕様)、公開してほしいよねー
そのへんのPCにwebproxyでも入れたら?
ところでRTX1100でL2TP/IPSECはどうなった?
組み込み用途とかでディスコンにされると困る人向けに売っているだけで、 RTX1100にはもう新機能は載らないでしょ。 新機能使いたければRTX1200買えって。
よろしくおねがいします。
簡単な図をここにup しています
http://ichigo-up.com/cgi/up/qqq/nm40370.txt.html 【説明】
192.168.1.のセグメント配下のPC及びWAN 側のPCから
No.2 ルータの配下にあるxxx.xxx.xxx.30 のftpサーバーにアクセスできます。
ここで
No.1 ルータの192.168.100.のセグメント配下のPCからxxx.xxx.xxx.30へ
FTP が行えません。どのような手順で行ったら実現できますでしょうか?
No.1 yamaha rtx1000
ip lan1 address 192.168.100.254/24
ip lan2 address 192.168.1 .247/24
No.2 yamaha rtx1100
ip lan1 address 192.168.1.4/24
ip lan2 address internet server(xxx.xxx.xxx.29)
102 :
anon :2011/08/17(水) 20:57:51.64 ID:???
>>101 です
>>102 さんよろしくお願いします
現在わかるのはルーティングテーブルです
===========================================================================
Interface List
0x1 ........................... MS TCP Loopback interface
0x2 ...00 17 42 12 0d c5 ...... Broadcom NetXtreme Gigabit Ethernet - パケット スケジューラ ミニポート
===========================================================================
===========================================================================
Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.100.254 192.168.100.215 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.100.0 255.255.255.0 192.168.100.215 192.168.100.215 20
192.168.100.215 255.255.255.255 127.0.0.1 127.0.0.1 20
192.168.100.255 255.255.255.255 192.168.100.215 192.168.100.215 20
224.0.0.0 240.0.0.0 192.168.100.215 192.168.100.215 20
255.255.255.255 255.255.255.255 192.168.100.215 192.168.100.215 1
Default Gateway: 192.168.100.254
===========================================================================
Persistent Routes:
Network Address Netmask Gateway Address Metric
xxx.xxx.xxx.128 255.255.255.248 192.168.1.4 1
104 :
anon :2011/08/17(水) 21:33:13.36 ID:???
>>103 これ、.100のセグメントにぶら下がってる.100.215の端末のルーティングテーブルでしょ。
聞いてるのはそれぞれのルーターのルーティングテーブルのこと。
RTX1000の設定を見ないと分からん NATしてるのか経路テーブル書いてるのかproxy arpとか使ってるのか
エスパーしてみる。No.2のrtx1100に以下追加。 ip route 192.168.100.0/24 gateway 192.168.1.247 これでなければ、フィルタやNATの入ったconfigが2台とも欲しいですね。
>>101 です
現在の手元の資料でrtx1000の設定です
# RTX1000 Rev.7.01.16 (Tue Jul 22 19:41:01 2003)
#
# IP configuration
ip routing on
ip route default gateway 192.168.1.253
ip route xxx.xxx.xxx.x29 gateway 192.168.1.4
ip route xxx.xxx.xxx.x30 gateway 192.168.1.4
# LAN configuration
ip lan1 address 192.168.1.247/24
ip lan1 nat descriptor 1
ip lan2 address 192.168.100.254/24
# PP configuration
pp disable all
# TUNNEL configuration
tunnel disable all
# NAT Descriptor configuration
nat descriptor type 1 masquerade
nat descriptor address outer 1 192.168.1.246
# TFTP configuration
tftp host 192.168.100.215
なんでLAN1アドレスが.247なのにNATのouterに.246使ってるんだよ
んー。1100のip lan2 nat descriptor 1 が nat descriptor address inner 1 192.168.1.1-192.168.1.200 あたりになってて、246-247あたりを入れてないとか、フィルターが入ってるとか。 あとはファームのリビジョンアップね。
ここのみんな新設惰農。 見ていてほほえましい。
>>101 始めの簡単な図が私の環境では崩れて見えてしまいます。
また、始めの情報と
>>107 で書かれたConfigでは食い違っている個所があるようです。
もう一度整理してRTX1000とRTX1100それぞれのConfigと
構成図を提示した方がより早く解決できると思いますよ。
.246がRTX1000にLANアドレスとして定義されてないのに NATのouterとして使おうとしてもRTX1100からARP要求してもRTX1000がARP応答しないでしょ .247を使うべき という理屈だと俺は思う
>>111 改めて
>>101 の図とやらを見てみたが……確かにw
テキストで図を書くのはいいが、各行でちゃんと改行くらいしないとな。
テキストエディタは80桁固定とは限らん、つか大抵違う。
しかしRTX1100のLAN2って何だろう?
「internet server」じゃ何のことやらサッパリだ。
グローバルIPが割り当てられてるってことなのか?
「WAN 側のPC」とも書かれてるし… (WAN側のPCってのはインターネット越しのアクセス?)
しかし「xxx.xxx.xxx.30 のftpサーバー」とも書いてあるから違うのかな?
グローバルIPだとしても、RTX1000の側でNATを使う意味が分からん。
RTX1100だけでいいんじゃないの?
よく分かってない人がわざわざ設定複雑にして更に分かりにくくしているような。
私が思うに。109とダブルが192.168.100.254/24のNAPTはRTX1100側で行っていると思うのでRTX1100のconfigが重要だと思うんだ そもそもFTPの以前にpingができるかどうか書かないとネットワークの問題かFTPの問題かわからんよね。
>>108 ,112
nat desc add outerは、NATの外側のアドレス(体系)を指定すればいいだけだから
問題ないよ
>>103 まずは、端末の余計なルートを消しなされ
route delete xxx.xxx.xxx.128 MASK 255.255.255.248 192.168.1.4
route addの時に、-pオプション付けてなければ端末再起動でもいい
それやってもダメなら、俺もRTX100側のnat desc add innerの設定に192.168.1.246が入ってない
だと思う。
192.168.1.0/24にあった端末を192.168.100.0/24に移設して、IPだけ変えたってオチに1票
>>106 は試したのかな?
要するに戻りパケットがRTX1100で迷子になってるんじゃ?ってことだよね
これは最初に確認すべきだと思う
パケットキャプチャしてどこまで来てる・どこで止まってるを
簡単に確認すりゃ分かるだろうが
それが出来る知識がある人ならそもそも聞いてないか
Yamahaのルータよく知らないんだけど、
Ciscoでのdebugコマンドみたいのってないのかな?
>>101 ではRTX1000の設定は
LAN1 が 192.168.100.0/24, LAN2 が 192.168.1.0/24 になってるのに
>>107 では逆になってるな。
どっちが正しいんだ?
NATの設定でinnerがないし、ちゃんとNATは動いてるのかな?
LANの中で重複したアドレス空間使ってないならNATなんか使わずに
普通にルーティングした方が簡単確実だと思うけど。
スタティックでもダイナミックでもいいが。
あと、
>>107 でRTX1000のデフォゲが 192.168.1.253 になってるけど、
>>101 の図を見る限りそのアドレスはどこにも存在しないように見える。
これじゃスタティックで張られてるとこ以外どこにも行けないよね。
なんか根本的に設定間違ってない?
質問者自身が実際のトポロジを理解していないような。
118 :
ano :2011/08/19(金) 22:53:22.67 ID:???
>>117 のRTX1000のNATが動いていないor物理接続が間違っているが怪しいな
>>116 NATしてるんだから、RTX1100に192.168.100.0/24のルートいらなくね?
ソースアドレスは192.168.1.246になるんだから
ところでL2TP/IPSecって何て読む? 「えるつーてぃーぴーあいぴーせっく」でいいの?
>>119 惜しい
「えるつーてぃーぴーあいぴーせっくす」
さすが夏休み こんなスレにもリアル厨房が
Tをティーって発音する人ってこの業界少なくない?
スレチですが私は FTP・・・エフテーピー PPTP・・・ピーピーテーピー と言ってますね。 話す相手によっては意図的にティーで発音することもありますが・・・ TCP・・・・これはティーシーピーですねw
teraterm でrtx1100 にssh で接続しています 現在の設定をPC へ流したくて #get config/Passwd ファイル名 とするのですが エラーコマンド名を確認してください が出ます?どうしたらいいですか・・・・
126 :
あのにます :2011/08/24(水) 11:32:09.40 ID:???
>>125 それはTFTPのコマンドでしょ。
administratorでshow configしても近いものは得られるけど
完全な設定ファイルとして欲しいなら、TFTPを使いましょう。
>>125 です
>>126 さん thx です
検索すると、こんな感じでtftp を受け付けるコマンドを設定してやらなければならないとネットで見かけるのですが
tftp host (アップロードを行う端末のIPアドレス)
このコマンドを実行するのに、SSH 越では(teraterm)出来ないのでしょうか?
クロスかなんかで、PC とrtx1100 を繋いでやらないといけないのでしょうか?
SSHで実行した後、
tftp -i 192.168.1.2 get config/Passwd c:\OLDconfig.txt
このように繋ぎに行くと
Error on server : Access violation となります
tftpはデフォルトだと閉じてなかったっけ? とりあえず、 tftp host any 終わったら、 tftp host none
データコネクトで接続する場合の番号って NTTから教えてもらうの? それともひかり電話の番号を端末に振らないとダメなの?
最近触り始めたのでアホな質問かもしれないんですが port-based-option=divide-networkでlan分割して vlan port mappingでポートを割り当てたしたvlanXに対して ip filterで作ったフィルタをip vlanX secure filterで適用ってできるんでしょうか? コマンドはエラー返さないんだけど、show configでは表示されないし 明らかにpassしてるはずのパケットが暗黙のdenyで破棄されてるし何かへんです。
131 :
anon :2011/08/24(水) 23:20:02.26 ID:???
ネットワーク屋も含めて、通信屋は総じてTとかDは小っちゃい文字を発音しないこと多いよね。 TD-480 だと テーデーヨンハチマル Dch は デーチャン
タンゴデルタよんはちまる デルタチャンネル ロメオマイクスペースアスタ
そりゃ単に聞き間違いを避けるための習慣だろう
ただ発音の悪いジジイからの 先輩の言うことは絶対的な古き時代からの慣例じゃね?
聞き間違いを防ぐ為だな。 習慣化してるけど。 騒音の有る所とか通話回線越しだと、差が大きい。
TとP DとB は良く間違えられますもんねぇ
>>136 TとD
PとB
じゃね?TとPを聞き間違えるなら病院行こうよ
test
ルータ配下にあるPCのホスト名を調べるのにはどうしたらよいのでしょうか。 show status dhcpだと固定IPは表示されませんし。
コマンドプロンプトから hostname スレチな
質問ちゃんと読めよw
>>140 ホスト名は無理だけどIPなら show arp
145 :
140 :2011/08/29(月) 19:53:32.94 ID:???
>>143 ありがとうございます。BINDでも勉強してみます。
>>144 それは何とか知ってました!
146 :
anon :2011/08/30(火) 23:44:43.24 ID:???
>>140 固定IPの端末のホスト名を調べるのはルーターの機能では無理。
ping通る端末ならTWSNMPあたりでスキャンかけてみたらホスト名返す端末もいるかも。
考え方変えて MACアドレス対でDHCPで固定ぽくふればよくね?
>>147 それは本末転倒だろうw
それは「固定IPのホストを全てstatic→dynamicに設定し直す」ということを意味するぞ。
固定IPのホストを全部直接いじってMACアドレス集めていくなら
ついでにIPアドレス、ホスト名のメモも取ってけば目的は達成できるんで
設定し直す必要すらないw
ルーターの配下って意味じゃね
>>140 ホスト名って広い意味だね。
windowsだけの情報ほしいならブラウズのキャッシュ見れば一発だよ
ホスト名と言っても、多分Windowsのnetbios名だろうね
TCP/IPのnetbios拡張分をRTがサポートする決まりは無い
通常は、RT上の show arp
と
Windowsのコマンドの nbtstat -a 192.168.0.100
で充分
>>148 >>MACアドレス対でDHCPで固定ぽくふればよくね?
>それは本末転倒だろうw
>それは「固定IPのホストを全てstatic→dynamicに設定し直す」ということを意味するぞ。
いや、staticのままでも、ルーター側で予約させることは可能
やっちゃいけないという事は無い
つか、固定アドレスでも、未登録macアドレス排除するためにdhcp予約登録する
152 :
anonymous@05001013765860_mc :2011/08/31(水) 19:26:00.82 ID:0QMjUclG
>>151 > いや、staticのままでも、ルーター側で予約させることは可能
> やっちゃいけないという事は無い
> つか、固定アドレスでも、未登録macアドレス排除するためにdhcp予約登録する
やっていい/悪いの話ではなく、質問は「ルータからホスト名を調べる方法」なんだよ。
L2アドレスであるMACアドレスは直接繋がってるスイッチまでしか届かないんだから
「固定アドレスになってるホスト」それぞれのMACアドレスは結局一台ずつ調べるしかないよね?
(全ホストが直接ルータに繋がってるなら別だが)
で、一台ずつそれ確認するなら、同時にホスト名も確認すれば
結局「ホスト名を調べる」という目的は達成できちゃうから意味ないんじゃ
という話。
あ、ごめん L2アドレスなんだからスイッチは通過するなw 何言ってるんだ > 俺 ルータは越えられない、の間違いですた。 スイッチだけのネットワークなら、arpテーブルから MACアドレス - IPアドレスの対応は調べられるね。
ホスト名は人間が分かりやすいってだけで重要ではなかったり 出入りが激しすぎるでもなければ、固定アドレスにして、全macアドレスとIPアドレスとnetbios名の一覧 いわゆる、hostsファイルにmacアドレスを加えた物を用意すれば良いと思う。 そのhostsファイルを持つPCでIGNETMAPというフリーソフトを使えば稼働状況は一目瞭然
質問者がどういう意図で聞いてきたかだよな 普通自分とこのマシンぐらい把握できてるだろ? クライアントがwin前提なのかもわからん
netbios名の一覧はlmhostsじゃなくて?
>>156 把握出来てないだろうな
macアドレスをメモってもなさそう
Windowsの場合の解決方法の一つは上げたとおり
bindって言ってるからunix系も触れるのかも
>>157 hostsでも良いよ
監視目的なのか管理目的なのか でもスタティックで割り当ててるなら少なくても割り当てリストぐらいは作らんとダブる可能性があると思うが そこは管理者が別なのか?
>>157 LMHOSTSが正解
>>158 作りが古いものは動かない場合もあるのよ
ホスト名とNetBIOS名は別物なんだから、ちゃんと分けておいたほうが無難
極論でいうと、わかんねーなら両方書けって話なんだけどなw
161 :
hage :2011/09/07(水) 09:41:01.33 ID:???
いい加減に他所に逝けよって思うぞ、MLの村瀬
うちもあのログいっぱい出てるから興味あるうちもマカフィー使ってるからかなぁ
次はRT107e後継機か。この機種はここの範疇になるのかな?
>>162 自分でパケットキャプチャしてみたほうが早いと思うけど。
RTX1100でL2TP/IPSEC…
>>165 やだやだやだやだやだやだ
まだRTX1100使うもんんんんんんん!!
167 :
an :2011/09/07(水) 15:27:19.34 ID:???
全ポート 100BASE-TX でリンクアップで 3.1W ってすげぇな エネループでも動かせそうだ
RTX810かぁこれかなり売れるんじゃないの? 1200だと8ポートもSWポートついてて無駄な感じだし。 これぞまさにSOHO向けっぽい仕様じゃん
VPN数が6で大丈夫なら問題無いな
171 :
あのにます :2011/09/07(水) 22:03:23.24 ID:???
昔はIPsecはLANポートの数*4だったんだがな。 ま、6本設定できれば、つなぐのが7カ所までならメッシュ構成できるわけだから 小さな規模で拠点同士を結ぶのなら十分かな。 営業マンが外からつなぎたいってのなら、不足する気がするが。 あとは、パケット処理能力ってどうなんだろ。 スループット1Gbpsってことは、83kppsは越えてるんだろうけど、 RTX1200がある以上は、120kppsを越えるわけにはいかないんだろうな。 それとLAN分割機能でRTX1200みたいに、ファストパス処理されるかどうかも気になる。 このぐらいのことは、MLで投げれば、中の人が答えてくれるんだろうか。 個人的には、周囲温度の上限が50度ってのがうれしい。 それだけで、今のRTX1500から買い換えたい感じだ。 あとは値段次第だが、けっこう売れるだろうね。 最初は5万円台半ばぐらいだろうか。 買う側にはどうでも良いことだけど、RTX1200の売り上げは落ちそうな気がする。 チラ裏な内容でスマン
上限50℃って何気にすごいな、、
173 :
アナルマス :2011/09/08(木) 09:21:26.33 ID:???
上限50℃ってプレハブ現場事務所向けだな。
RTX1200って何度までOK?
RTX1200の最安価格(税込):\67,690 さて幾らまで下がるんだろうか
176 :
あのにます :2011/09/08(木) 12:46:24.04 ID:???
>>174 知る限りでは、YAMAHAの機種は40度が上限。(RTX1200もそう)
アライドには50度が上限のが、すでに何機種かある。
50度が上限ってのは、部品の耐性が高い部品に変更したのかもしれないが、
本体の発熱量(=消費電力)が下がったから、中にこもる熱が減って、
相対的に動作時の周囲温度が引き上げられたのかもしれないな。
お値段的に高級品に変えたとは思えないので 消費電力が減った分で稼げているのであろう
RTX1200のL2TP/IPsecってまともに使えるスピードなの?
っていうか 新機種出すより RTX1200をより低価格で低発熱量で発売した方がたくさん売れてコスト的に安くなりそうな気がする
>>180 ちゃんとRTXがついてるからいいじゃないかw
183 :
anony :2011/09/08(木) 18:09:38.88 ID:???
>>180 価格としてはRT108e的なカンジだよね。
NVR500とどう分けるのか・・・
現場プレハブ用ってのは本当にそんな気がする。
NVRとの棲み分けは、IPsecが必要かどうか、IP電話が必要かどうかだろ。
今までのRT58iとRT107eも、そんな感じだったんだから。
>>181 業務機となると、そんな簡単にはいかないんだろ。
「予備機や故障時の交換は、同一仕様じゃないと認めない」って所もある。
だから、RTX1100が発売されても、当分のあいだRTX1000も作ってたし、
RTX1200がある今でも、RTX1100は現行機種だろ?
だから、仕様を変えたのを作っても、古い仕様のも需要があるから、
結局複数の機種を作ることになる。
185 :
aa :2011/09/08(木) 19:09:13.29 ID:???
RTX810にIP電話が載ったRTV820が来たら嬉しいんだが
あれ足りないこれ足りない出るから MOD式に付け足せるようになればいいのにね
>>185 それは、切に欲しいです。
うちも、RTV700が未だに現役。
>>184 なるほど。互換性か。
たしかに、RTX1200と、RTX1100では、たとえば、
SHOW DHCP STATUSコマンドの挙動が異なるなあ。
190 :
anony :2011/09/09(金) 09:40:53.73 ID:???
あ・・・、あほだ。 NVR500がNetVolanteの後継機って完全に忘れてた・・・。 ルータのBTOとかあったら面白そうだな。 喜ぶの俺らだけだがw
IPSECとNNTPの両方が使えるなら買いだけど、IPSECだけなら素直にRTX1200買う
192 :
あのにます :2011/09/09(金) 12:43:51.12 ID:???
>>188 LAN3がないからのような気もする
そーすると
数字3桁 LANx2 (NVR500/RTX800/RTX810)
数字4桁 LANx3 (それ以外)
て感じできれいに区別できる
nntp...いまどき個人でニュースサーバ立ててるヤツがいるのか...
>>193 PPTPじゃないの…かな?
RTX810はPPTPもついたんやよね?
だったらリモートで管理しやすいや。
そそ、PPTP IPSecだとリモートでちと不便で
RTX1100どころかRTX1000が現役だぞ、うちの事業所は。 オクで大量に出回ってるから保守部品に今のところ困らないが、そろそろ乗り換えて欲しいわ。
RTX810販社の人が説明に来たよ IPsecスループットは1200より高いみたい 1200より良いCPUを載せるとは思えないから 暗号化ASICだけ新しいの使ってるのかね
>>196 WinでIPSec接続は出来るけど、使い勝手が微妙
Winなら有料IPSecクライアント使わないなら双方固定じゃないと無理でしょ
201 :
ちんこ :2011/09/13(火) 12:34:52.93 ID:r0z4XJNO
SRT100でL2TP/IPsec対応のファームが出たけど、速度的にどう?
だから1100だってば
1500もお願いします。
あれはCPUパワー的に厳しいのではないかと
ルーター1はISP1 グローバルIP PPPoEブリッジ設定 (光ネクスト) ルーター2はルーター1に接続でISP2 グローバルIP これをSWX2200-8Gにルーター2台接続してPCを 一台にした場合はどうなるのですか? マルチホーミングの場合はISP1が落ちないとISP2に接続しないから 一台づづ割り当てて負荷分散もどきにしてます やはりロードバランサが必要ですか? 板違いですが、お勧めロードバランサがあれば教えて下さい
質問は最後の一行だけ? それとも三つあるのかな?
そんな回線負荷高いの?
205です
出来れば全て教えて戴きたい
光ネクストはヤマハの帯域コントロールみたいのが動いてるから期待はしてたが・・・
http://www.isdn-info.co.jp/next/hikaku.html 下りは約150M 上りは約100M 家族が使わない状態でラデッシュで測定
二人の子供が一台づつリアルタイムオンラインゲーム かみさんはPCとIphone
すると段々下がり 最後にはラグが凄い事になり
最小ショートパケットの連続だからNTTのHWGでは負荷が掛かると思い
手持ちのRTX1500でPPPoEで接続はギガイーサでないから止めて
NEC WR8700とSWX2200-8Gを買って負荷が高いと思われる機器はHGW
それ程ないと思うのは8700でISPは2社でこれで少しは緩和してます
ロードバランサに拘る理由は近い将来デイトレを始める予定だからです
ネトゲたった2台でラグラグなんて有り得ん。 まずは接続図を書け
PCがただのノートPCでネトゲの動作基準に丸で足りてないって事は無い?
211 :
マッチの日 :2011/09/16(金) 14:40:48.07 ID:???
ネットゲームなんて帯域よりもping値が勝負だろ 帯域使い切ってもないのに、ロードバランサとか入れたら、ping値は上がる一方だぞ
>>208 帯域コントロールっていっても音声通話やテレビ電話を優先するとかそんな感じだぞ
デイトレで稼ぐ気なら光もう一本入れた方がよくね?
可能であれば別キャリアの方がリスクも分散できるし
少なくてもその用途ならのぼりくだり100Mも使ってないと思うから
素直にRTX1500一台でもいいような気がするがね
まぁ2台ルーターがあって2つのISPにつなぐ事は障害対策になるから
予算があるならやって損は無いと思う
おまけに光(それ以外でも可)のキャリアをつかう事も障害対策になる
デイトレだろと証券会社経由する場合は、その分処理遅れるから秒で損得するような
トレードはおすすめできないと思うよ
むしろまったく繋げなくなる回線障害対策をしっかりしたほうがよい
また証券会社やFX業者含め数か所と契約しメインが使用不能になった場合に
反対注文を別業者にできるようにするなど考えた方がいい
そしてロードバランサなんて無意味だと思う
ロードバランサって、何をバランスさせる気なんだ? フローによってISP1, ISP2とか宛先バラバラだと、 悲惨なことになる気がするんだが。
>>213 クライアントからインターネット上のウェブサイトへの単なるウェブアクセスなら、
ウェブサーバにとって接続元グローバルIPアドレスが適当に散らばっても問題ないだろ。
いまどきアクセス元IPアドレスだけでセッション維持しているウェブアプリケーションなんぞないし。
だから現代的WANロードバランサーだとデータの流れを解釈して外向きトラフィックを適当に分散して
外向き回線を使ってくれる。LinkProofとかが有名だが、安めの機材だとアライドのAR5x0Sがそういう機能を持ってる。
ただしライセンスが別途必要。
ttp:/www.allied-telesis.co.jp/solution/wlb/ ただ
>>208 の用途にロードバランサは無意味で不要、
PCをもう1個と回線を別キャリアでもう1本用意すべき、という
>>212 の意見に全く持って同意する。
ロードバランサという言葉に夢を見過ぎだ。もっとパケットの気持ちになって考えよう。
215 :
あのん :2011/09/16(金) 20:05:04.58 ID:???
>>214 TTL違うと追い越し起きない?
Webはともかく、複数セッション張るようなネトゲだと致命的だとおもうが
>>215 だからそのへんについてはロードバランサーの賢さ(メーカー側の事例蓄積とその反映)に依存するわけだ。
>>217 ラウンドトリップタイムのことをネットゲームユーザコミュニティ界隈でそのように表現することがおおい
測っている先が実際のゲームサーバ相手ではなくその会社のウェブサイト相手だったりするのが微笑ましい
YAMAHAのスレでこんなこと書くのもなんだが (本当に)ショートパケットの連続なら、NEC(AlaxalA)のIX(AX620R)にしたほうがいい 1台で十分ことたりる性能がでる 100Mでいいなら、IX2015あたりがオクとかで\1,500-とかであるから、試せばいい 追加投資ができないなら、デイトレ用のPCのデフォゲをISP1に その他をISP2に 回線冗長まで考えるならVRRP組んで2グループ作って デイトレ用をISP1(Act)-ISP2(Stby)のVRRPグループに向ける その他をISP2(Act)-ISP1(Stby)のVRRPグループに向ける ISP1が落ちると、ラグラグになるけどね つか、RTX1500のVRRPグループ2個つくれたっけか?
実は古い無線LANを後生大事に使い続けているだけだったりして 他はHUB、LANケーブル等も
デイトレでVRRP使ってもうまく注文できるかどうかの保証はないぞ 生活かけてるならネトゲその他を即遮断できるようにした方がよいw
>>221 遮断できるがシングル=ルーター落ちで100%注文できない
VRRP=100%の保障はできないが、できる可能性もある
あれ?
RTX1200でLAN1/1ポートをvlan 10 (untagged)、LAN1/2ポートをvlan 20 (untagged)でLAN1/3ポートをvlan 10, 20(tagged, 802.1Q)ってことできる?
ポートベースVLANとtaggedVLANの併用はできなかった覚えがある。
RTX1200ってLAN1〜LAN3までと三つしか口がないですが これはセグメントも三つしか作れないと言う事でしょうか?
>>226 ありがとう。VLAN機能を使わなくてもそれぞれのポートを
セグメントとして分割できるんだね。
RT250iが今も現行モデルなのが驚異的だ 業務用でまだまだISDNも需要があるということか
>>231 ISDNもだけど専用線もあるからな
DA64とかHSD128とか
RTX1200にも付いてるし、業務用(特に公共団体)なら全然現役でしょ
AlaxalAのAX620Rにも付いてるし
でも、データコネクトが普及したら流石に終了だろう
2011年10月4日 [ネットワーク周辺機器] 下記の設定例を追加公開しました。 「フレッツ光ネクスト IPv6 PPPoE」、「フレッツ光ネクスト IPv6 IPoE + ひかり電話(NVR500)」、「データコネクト拠点間接続」、「モバイルバックアップ」、「カスタムGUI」
234 :
お :2011/10/07(金) 21:09:23.64 ID:???
田舎だとISDNしか使えないところがまだまだある
>>234 データーコネクトでISDNも終了するっていってるから
えぬてってが責任もってやるんだろ
まぁ、なんだかんだ言っても ISDN は最後まで残るだろうね。
■本社(固定IP) (192.168.1.1)CTU(PPPoE) (192.168.1.100)RTX1000 (192.168.1.101〜192.168.1.120)PC ■営業所(非固定IP) (192.168.2.1)ルータ1 (192.168.2.100)ルータ2(RTX1000) (192.168.2.101〜192.168.2.120)PC ルータ1---ルータ2(RTX1000)---PC の2重ルータで、IPSECとインターネット併用の設定を試みているのですが、 インターネットが接続できず、IPSECも接続できません。 アドバイス、ヒントがあれば、よろしくお願いいたします。
上記の続き 現在の、下記設定では、インターネット接続ができません。 ■営業所(非固定IP)の設定 ip route default gateway dhcp lan2 ip route 192.168.1.0/24 gateway tunnel 1 ip filter source-route on ip lan1 address 192.168.2.100/24 ip lan2 nat descriptor 1 pp enable 1 tunnel select 1 ipsec tunnel 1 (IPSEC設定省略) tunnel enable 1 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.2.1 nat descriptor address inner 1 192.168.2.101-192.168.2.120 nat descriptor masquerade static 1 1 192.168.2.100 esp nat descriptor masquerade static 1 2 192.168.2.100 udp 500 nat descriptor masquerade static 1 3 192.168.2.100 tcp 1723 nat descriptor masquerade static 1 4 192.168.2.100 gre ipsec auto refresh on dhcp service server dhcp scope 1 192.168.2.101-192.168.2.120/24 dns server dhcp lan2 dns private address spoof on
>>238 IPsecで接続できねーのに、プロポーサル隠して何がしたいんだ?
対抗の設定もないし
お前、馬鹿すぎねーか?
240 :
あ :2011/10/09(日) 00:16:12.98 ID:???
>>236 計画だと、あと数年でNGNに巻き取るとか言う話があったような。
到底無理だと思うが。
>>239 IPSec設定は、わかります。
二重ルータで、
>>237 のようなIPアドレス構成のとき、
インターネット接続ができないので。
242 :
anon :2011/10/09(日) 00:51:35.65 ID:???
二重ルーターの意味が分からない。 RTX1000のWAN側アドレスが定義されてない(おそらくLAN2?)のはなぜ? それと、ルータ1のLAN側とRTX1000のLAN側が同じアドレス体系なのはなぜ? これ、config見せる前に何をどのようにしたいか、 なんで二重ルータかってことを説明しないとみんなわかんないとおもう。
>>242 2重ルータは、
プロバイダ提供のルータだったり、モデム内臓ルータだったりだからです。
ルータ1とルータ2のアドレス体系が違うと、インターネット接続は可能なのですが、
IPSec接続がうまくいかないからです。
ルータ1とルータ2のアドレス体系が同じ場合で、インターネット接続が可能なら、
IPSecもうまくいくだろうと思っているからです。
ルータ2(RTX1000)でのPPPoE接続の場合は、IPSecも接続できていますが、
RTX1000で、PPPoE接続をしない場合を模索しています。
>>243 2重ルーターの外側ルーターの設定は?
ESPとかUDP 500 とか通す設定?
多段NAT環境下だとしても これネットワーク設計がおかしいだろ
>>243 >ルータ1とルータ2のアドレス体系が違うと、インターネット接続は可能なのですが、
>IPSec接続がうまくいかないからです。
それを解決しろよ
238の営業所側の構成は、 WAN(global) ルータ1 LAN:192.168.2.1 | +--LAN1(192.168.2.100):RTX1000 | +--PC(192.168.2.101〜) で、RTXのデフォゲがLAN2です。 たぶん今、RTXのLAN2にケーブルが刺さってないですよね。そりゃあ通信できません。 >243 > ルータ1とルータ2のアドレス体系が違うと、インターネット接続は可能なのですが、 > IPSec接続がうまくいかないからです。 それは、上流のルータ1側に、IPSecの通信をルータ2へ通すような設定をしてないから。 > ルータ1とルータ2のアドレス体系が同じ場合で、インターネット接続が可能なら、 > IPSecもうまくいくだろうと思っているからです。 デルタアタック型はできる。けど、やっぱりルータ1にIPsecの通信を通すような設定がいる。
パススルーさせて、rtxがVPN機能とdhcpだけ受け持つ設定は、ざっとこんなかなぁ。 ■営業所のルータ1 ・DHCPをオフ ・IPSecパススルーを有効 udp 500およびesp(プロトコル番号50)のパケットフィルターを"通過"に。 udp 500およびespパケットを192.168.2.100にフォワーディング ・デフォルトゲートウェイはwanのまま。dnsサーバも設定しておく。 ・念のため、経路追加。192.168.1.0/24宛を192.168.2.100へ。 ■営業所のrtx ★ip route default gateway 192.168.2.1 ip route 192.168.1.0/24 gateway tunnel 1 ip filter source-route on ip lan1 address 192.168.2.100/24 ★no ip lan2 nat descriptor 1 pp enable 1 tunnel select 1 (IPSEC設定省略) tunnel enable 1 ★no nat descriptor type 1 masquerade ★(ここの nat descrpitor設定を全削除) ★no nat descriptor masquerade static 1 4 192.168.2.100 gre ipsec auto refresh on dhcp service server dhcp scope 1 192.168.2.101-192.168.2.120/24 ★dns server どこかプロバイダのDNSサーバアドレス dns private address spoof on
>>248 ありがとうございます。
LAN2には当然、LANケーブルで、ルータ1と接続しています。
ルータ1------(LAN2)ルータ2(LAN1)------PC
>>249 ありがとうございます。
教えて頂いたConfigですと、
LAN2にIPアドレスが割り当てられないようなので、
DHCPで受け取るか、固定で割り当ててみましたが、
ルーター1へ通らないようで、インターネット接続ができません。
まずはインターネット接続ができることが先決で、試行錯誤しています。
要するに SV----本社RTX1000----ISP----ISP提供ルーター----営業所RTX1000----PC こういうことか? なら、NAT-Tだろ 何がIPsecの設定はわかっていますキリッだよ 何もわかってねーじゃねーか
>>251 IPSECどころかネットワークがわかってないと思われ
>>252 ネットワークどころか日本語がわかってないと思われ
『2重ルータ』という表現をする人にネットワークは無理
>>250 こうなってるわけですね。
ルータ1
192.168.2.1
|
LAN2:192.168.2.XX (DHCP?)
ルータ2
LAN1:192.168.2.100
|
PC: 192.168.2.101〜
その250の構成では、通信できません。
251さんのおっしゃるnat-tを使っても、LAN1/2のアドレス帯が同じで、そもそも通信できません。
248と249についてきちんと試していただけないようですし、残念。
では、構成はその250のにして、configは238のままにして、
ルータ1のアドレスを192.168.3.1/24、dhcpレンジを192.168.3.101-120/24としてはいかがでしょう。
これでネットにはつながる……とはいえ、252さんの御懸念通り、他にも出されてない問題点がありそうなね
本社 tunnel select 営業所 # 分かってるふりして省略する馬鹿は死ねばいいと思うの ipsec ike nat-traversal 営業所 on tunnel enable 営業所 nat descriptor type 1 masquerade nat descriptor address outer 1 192.168.1.100 nat descriptor masquerade static 1 1 192.168.1.100 udp 500 nat descriptor masquerade static 1 2 192.168.1.100 udp 4500 ※ CTUでNATしていると想定、情報提供量不足、俺はエスパーじゃないので 営業所 ルーター1、ルーター2間のセグメント体系を192.168.254.0/24に(当たらないように適当にふれ) ルーター1のデフォルトをISPへ ルーター1の192.168.2.0/24をRTX1000のLAN2へ ルーター2(RTX1000) ip route default gateway ルーター1 ip route 192.168.1.0/24 gateway tunnel 1 ip lan1 address 192.168.2.100/24 ip lan2 address 192.168.254.2/24 tunnel select 1 ipsec tunnel 1 # 分かってるふりして省略する馬鹿は死ねばいいと思うの ipsec ike nat-traversal 1 on tunnel enable 1
>>255 ルーターはさんでるんだから、セグメントかえろよ馬鹿wwwww
>>255 セグメント増やしたくないなら、LAN1だけつかっとけ
259 :
255 :2011/10/09(日) 16:28:26.38 ID:???
>>256-257 このツンデレさんめ。
ついでに、"セグメント"と"当たらないように適当に"の具体的な説明をさしあげて下さい。
そのままでは"〜0/24"とつけそうな方ですよ?
>>258 いや、249はそのつもりで提案したんだって
>>250 255はスルーして下さい。内容は、256のおっしゃってるのとほぼ同じです。
LAN1だけ使う場合営業所はこれな
営業所
ルーター1のデフォルトをISPへ
ルーター2(RTX1000)
ip route default gateway ルーター1
ip route 192.168.1.0/24 gateway tunnel 1
ip lan1 address 192.168.2.100/24
tunnel select 1
ipsec tunnel 1
# 分かってるふりして省略する馬鹿は死ねばいいと思うの
ipsec ike nat-traversal 1 on
tunnel enable 1
>>255 よくみたら、君は質問者と違うみたいだね
君も根本的にわかってないっぽいけど
え、俺?
俺は出鱈目しかいいません
>>259 やだよ、めんどくせーもんw
IPsec分かってるなら、そんなもん説明しなくてもわかるよw
262 :
255 :2011/10/09(日) 17:02:15.71 ID:???
>>250 すみません。
やっぱり、255の構成か、249の構成で、まずネットへの接続を確認してみて下さい。
256や260ではネット接続までしかできません。
260で白状してるとおりです。おそらく、ipsecはつながりません。
以下のような2重ルータPPPoE接続接続なら可能だけど。 ルータ1 CTU(192.168.2.100へ転送) 192.168.2.1 | LAN2:(PPPoE接続なのでグローバルIP) ルータ2 RTX1000 LAN1:192.168.2.100 | PC: 192.168.2.101〜
NAT Traversal は、RTX1000はサポートしてないね。
めんどくさいからルータ1捨ててRTXだけで運用しまえよ。
IPSec設定は、わかります IPSec設定は、わかります
268 :
anon :2011/10/10(月) 08:36:01.82 ID:???
なんかみんなが言ってることわかり杉でわろーたよ わかってないならわかってないなりに質問すればいいのに どっか上から目線で 「○○はわかるんだから、他のとこ教えろ」みたいな印象あるから なんか腹立つ上に、根本がわかってない臭いから教えたくないって思ってしまうw
わかってない、わかってないと仰りますが、 それをわかるように説明できないところを見ますと、 みなさんも本質的には理解していないということですね。 本質的に理解できているのなら、誰にでもわかるように説明できるはずですから。 所詮知識レベルの低い烏合の衆、みなさんの知識を超える難解な 質問をして申し訳ありませんでした。きちんとした本質を理解している業者に 解決を依頼しようと思います。
270 :
あのにー :2011/10/10(月) 08:59:58.11 ID:???
予想どうりの結果でワロタ
>>269 わかるように説明してやるから情報だせやって言ったら
わかってるから出さねっつったのはお前さんだぞ
お前らってネットワークエンジニアなの?
273 :
anon :2011/10/10(月) 09:31:39.64 ID:???
>>269 「説明できない」んじゃなくて、「説明しない」奴の方が大半だと言ってるだろw
結果を見ると、アラシばかりだね。 まともな人もいるみたいだけど、 まともじゃない人が多いようだね。 セグメント分けるしかないっていう答えしかないようだね。 結局、答えもないから、できないってことのようですね、あなたたちには。
分かるように説明するより構成を教えてもらって自分でconfig書いた方が早いから説明は面倒臭い
276 :
あのにます :2011/10/10(月) 12:08:12.06 ID:???
自演ぱねー
277 :
255 :2011/10/10(月) 12:25:14.16 ID:???
>>274 > セグメント分けるしかないっていう答えしかないようだね。
いや、263,258,249が言っているのが、セグメント分けせずに構成するケース。
で、本質を理解しているかどうかよりも、いまは、動くかどうかではありませんか?
連休をつかって工事して、ネットにさえつなげられなかった状況であれば、大変残念です。
まぁせっかくですし、きちんとした業者さんにきちんと伺ってみて下さいな
業者さんも公式サポートも、ここまでに出た構成と似たようなことを言うはずです。
IPSECの設定は分かります IPSECの設定は分かります IPSECの設定は分かります IPSECの設定は分かります IPSECの設定は分かります
IPsecのconfig定義がわかる というのと IPsecをわかっているかどうかは別だよな。 config見る限り、ルーターの設定以前にルーティングが正しく設定できてない。 そのへんを棚に上げて、期待したRes返さない住人にブーたれるなんざ生意気にもほどがある。
そもそもルータの両方の足に同一セグメントのアドレスつけてproxyarpも無しに動くと思ってんのか
IPSECの設定はわかるっていってるだろ
ちくしょー
>>280 折り返しルートって考え方がないんだろ。
同一セグメントに複数のゲートウェイ(ルーター)があるという考え方がないんだとおもわれ。
CCNAとかIPについてのテキストにはそういうパターンあまりでてないしなw
RTX1000でSHA1使ってるとかもないだろうか? IPSecの通信量によるけど、 CPU食いつぶして、まともに通信できなくなる
>>284 SHA1でCPU食いつぶすとか、どんな発想だよ
公開鍵暗号と共通鍵暗号と一方向性暗号の違いが分かってんのか?
ほんとにIKEとESPの処理手順分かってんのか?
うるせーIPSecはわかってるって言ってるだろ
>>243 >プロバイダ提供のルータだったり、モデム内臓ルータだったりだからです。
という理由だけなら
>ルータ2(RTX1000)でのPPPoE接続の場合は、IPSecも接続できていますが
これが利用できない理由はなんだw
私の理解を超えているから
>>262 4500使うにはNAT-Traversal使うよ宣言しないと
UDPでカプセリングしないよ
宣言しないとESPのまましゃべる
どう頑張っても機器構成的にRTX1000じゃ無理ってことだね
いや、ルータ1でスタティックNATしちまえばつながるけど拠点からは
RTX1000でしかアクセスできないからな
予算的にRTX1000でっていうなら、直でつないでRTX1000にPPPoEしゃべらせるしか
俺の技術力だとここまでだな
プロバイダ提供のルータなんかは、PPPoEブリッジ機能があったりして、 ルータ2でもPPPoEをしゃべらすことができることが多いけれど、 それはちゃんと試したよね?
RTX1200でLAN1のポート分割機能を使って三つセグメントを作ろうと考えています。 それぞれのセグメントのDHCPもRTX1200でまかないたいのですが何か注意するべき点とかありますでしょうか?
>>292 8ポートあるからスイッチもまかなっちゃおうぜって感じかしら
RTX1100だかなんだかで、VLAN切ると遅くなるって話がどっかにあった
気がするから、そこくらいじゃない
遅かったら、LAN2かLAN3の下にスイッチおくこともあるなーってことを
頭の片隅に入れとくくらいでいんじゃね?
>>293 ありがとうございます。
最初はスイッチの購入も考えたのですが、仰る通り8ポートも
あるのでスイッチ側でVLANを考えなくても良いかな…と。
DHCPはProxyArpに気をつければ良いでしょうか?
すいません DHCPリレーエージェントの間違いです。
>>294 DHCPサーバーがRTX1200よね?
だったらScope2個書けばいいんでない?
こんな感じで
vlan1はデフォルトで使ってそうだから、あれだったらずらしてくれ
vlan port mapping lan1.1 vlan1
vlan port mapping lan1.2 vlan1
vlan port mapping lan1.3 vlan1
vlan port mapping lan1.4 vlan1
vlan port mapping lan1.5 vlan2
vlan port mapping lan1.6 vlan2
vlan port mapping lan1.7 vlan2
vlan port mapping lan1.8 vlan2
ip vlan1 address 192.168.1.1/24
ip vlan2 address 192.168.2.1/24
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.101-192.168.1.130/24
dhcp scope 2 192.168.2.101-192.168.2.130/24
http://jp.yamaha.com/products/network/solution/house_office1/
>>296 例も含めてご丁寧にありがとうございます。
よくよく考えたらRTX1200が全てのセグメントを管理するので
DHCPリレーなんて必要無いですね…。
もうちょっとドキュメントをしっかり読んで頭整理します!
299 :
あのにます :2011/10/13(木) 12:24:34.35 ID:???
>>298 分かります君に、そこまで求めるのは酷だよ
ここで教えられて初めて知った人は大変だな
>>299
RTX810って発売日決定した?
>>301 過去の例からすると、流通の都合などで発売日はばらばらで、
全国一斉に同じ日に発売されるわけではないと思う。
空気ぶった切って悪いが KDDIの糞ギガゲートウェイ(BL190HW)の下にRTX1200をおいてるんだが ふと最近みつけたl2tp/ipsecというものを試してみたがうまくいかねぇ いまどきPPTPってどうよって思ってやってみた。 ヤマハ公式によると ・L2TP/IPsecのanonymous接続とPPTPのanonymous接続の併用はできません ってなってるがどういう意味なんでしょ? pptpの設定を突っ込んだらだめってこと単に同時利用できないってことなのかな?
pp select anonymousって一つしか設定できないけど そのためにL2TPとPPTPの同時設定が出来ないって話かな?
質問させてください。
SRT100でネットワークセグメントの異なるdhcp scopeを3つ設定して
VLAN1にはdhcp scope 1、VLAN2にはdhcp scope 2、VLAN3にはdhcp scope 3、
それぞれのIPアドレスを割り振ることって出来ますか?
(
>>296 )
また、この機種は
vlan lan1/1 802.1q vid=10
vlan lan1/2 802.1q vid=20
2つのポートを別々のvlanに割り振るのではなく
1つのポートに複数のVLANを割り振る(トランクポート)ことは
できませんか。
>>306 タグVLAN(IEEE 802.1Q) LANごとに8ID
Cisco育ちなもんで「タグVLAN」って見慣れない用語だわ メーカごとに用語が違ってめんどいね
310 :
anon :2011/10/22(土) 23:32:40.40 ID:???
トランクとかそういうこと言いたいんだろ。 タグVLANって言葉がわからないCisco屋なんて現場で使いたくねぇな。 そもそも、Trunkって言葉も業界やら機種やらで違うし。 Cisco → .1qのVLAN その他のメーカー → 3ad等のリンクアグリゲーションの別名 電話屋 → 外線もしくは外線を収容する基盤等を指す言葉
>>308 MACフレームにVLAN番号を記したタグ情報を挿入して、フレーム単位でVLANを
区別する方式を「トランク接続」と呼ぶのがCisco独自で、「タグVLAN」と
呼ぶのが一般的な呼称なんだが。
312 :
あ :2011/10/23(日) 00:34:33.98 ID:???
>>311 そんな風に呼んでるの、お前だけだろwww
313 :
anonymous :2011/10/23(日) 00:47:53.06 ID:dQqZKWAb
Cisco育ちなもんで「タグVLAN」って見慣れない用語だわ(キリッ Cisco育ちなもんで「タグVLAN」って見慣れない用語だわ(キリッ Cisco育ちなもんで「タグVLAN」って見慣れない用語だわ(キリッ
釣ってるだけだろ
Cisco屋が使えないといわれるわけだw
316 :
308 :2011/10/23(日) 18:57:05.09 ID:???
Ciscoが独自用語使いたがるメーカだと言うことは百も承知の上で (つかみんなそう思ってるだろうという前提で)単に 「Cicso用語でネットワーク知識身につけてるからその単語見たことなかったよ(笑)」 てな自虐的な意味でしかなかったんだが。 (もちろん意味は「タグ付きフレームを使うVLAN」だと推測できたが) この過剰反応を見て逆に YamahaユーザのCiscoへのコンプレックスすげーなと驚いた。 今後地雷に触れぬよう気をつける。
ルータはわかるけど ネットワークはわかりません …みたいな感じかなw
>>316 この業界いたら普通にCiscoもYamahaもAlaxalaもExtremeも触るでしょ。
資格だけ取って実機に触らない仕事してるの?
319 :
anony :2011/10/23(日) 20:01:29.05 ID:???
>>316 過剰反応がどうとかは別として、Yamaha使いがCiscoを憎んでるってのはないと思うけど。
自称Cisco屋がCiscoしか使わないって人も多くて
ユーザーの体力や構成等を考慮して色んな機器・メーカーを使いたい人からすると
そういう人たちは邪魔なわけよ。そういう人たちは恨まれてるかもしれないね。
あんたの発言をみてそういう人を思い出したからあんな反応になったんじゃね?
ユーザーがcisco指定してくれば使うわな。 ただ中小企業ではYAMAHAで十分だし DDNSは重宝してる。
Cisco屋は零細企業にまでCiscoだからな 考える頭が欠如してる
322 :
あ :2011/10/23(日) 23:09:11.77 ID:???
現場でも、「俺Cisco育ちだから〜ww」とか言ってんのかな。 こんなのがいると最悪だな。
323 :
ちんこ :2011/10/24(月) 09:00:25.64 ID:???
職員合計40人程度の零細企業でもSIからシスコのルーターを提案された。 普通の事務屋にシスコルーターの設定なんか覚えられるか!
>>316 いやいや、オレもCCNAだが勉強してる最中にちゃんとdot11qの説明で出てきたぞ?
おれの知ってるCisco屋でタグVLANという言葉を知らない奴はいなかったぞ むしろ怒られた つまりはそういうこと
>>323 設定変更の手間賃いただくために、かんたん設定など
出来てはいけないのです
327 :
anon :2011/10/24(月) 21:38:24.26 ID:???
中小零細はルーティングやVLAN、IPsecなどは要らず、 必要なのはブロードバンドルータだから Ciscoルーターが一番向いてない用途だよな。 YAMAHAが好きというわけではないけど、 総合的に見て優秀なブロードバンドルータが他はほとんどないよな。
センチュリーシステムズも候補にあがるかな
富士通のSi-Rも悪くない。 ヤフオクで安価に仕入れ、定価の半額で納入。 俺も儲かる。お客も半額で変えて喜ぶ。
331 :
anon :2011/10/24(月) 23:06:48.01 ID:???
>>330 Si-Rの中の人やってたことあるから知ってるけど、
あれはフィルター関係が弱いからガリガリフィルター書くような使い方には向いてないよ。
ただ、コストパフォーマンスは高いと思う。
普通にネット繋げてNATで垂れ流すだけなら十分。
332 :
anon :2011/10/25(火) 00:07:33.58 ID:???
零細SOHOはともかく、今時は中小でもルーティングやVLANは 使うんじゃね?FletsVPNWideとか使ってるとIPSecも使うわな。
出てる機種IPsec使える VLAN使うところは少ないかな
>>328 YAMAHAとAllied-Telesisはwebでファーム落とせるけど
他のメーカーは大抵、保守入らないと正規で入手できないんだよな
客先に中古のIXがある時に悩む
だから俺はヤマハが好きだし客先に入れるときはいつもヤマハ。 ファームの入手しやすさが選定の決め手。
>>334 富士通もできるよ。
yamahaみたいに、全自動とは行かないけど
l2tpテストしてみたんだけどマジ激遅なのな iPhone4sで速度測ったらwifiで一瞬だけ600kbpsでてあとは100kbpsでない なにかチューニングするところあるのかなぁ? ちなみにpptpだと7Mbps位出る 直接だと20Mbps
VPN組む時なんですが、LAN側に2つセグメントがある場合2つトンネル作成しないとダメ? lan1/192.168.1.1 lan2/192.168.2.1 lan3/WAN みたいな感じ。
混ぜるな危険なら。
341 :
anon :2011/10/29(土) 00:03:59.56 ID:???
ルーティングがちゃんと追える知識と管理体制なら問題ないんでない?
>>339 普通は1つでやる。
例えばRTX1200のLAN1はLAN分割で8つのセグメントになるが、
8つも書くのは面倒だから普通はまとめて1つのトンネルでやる。
[余談] LAN分割+secondly だと 16 になるのかな?
でも、2つ作ることは可能。
セグメントごとに書くことのメリットは、面倒なだけであんまりなさそうなのだが....
show status tunnel でセグメント毎の転送量が分かる... かな?
何かメリットはある? --> 識者のみなさん
343 :
339 :2011/10/30(日) 20:29:50.64 ID:???
>>340-342 どうもです。うまくいきました。
RTXってあまりいじったことないので戸惑ってしまいました。
慣れると使い勝手いいですねこれは。
L2tp/ipsec au版 iphoneで使えますか
>>344 auは全部プライベートアドレスらしいので、通らないんじゃないかな。
SBもプライベートアドレスに移行中なのでそのうち使えなくなるだろうけど。
鳴り物入りで発表したのに半年も経たずに使い物にならなくなったね これで一般の人もIPv4枯渇を実感してくれるといいのだが
素直にcisco使えばいいじゃん
ってことは携帯からVPNにはPPTP使わないとダメって事?
スマホからRTに繋ぐことは出来るが、RTからグローバルIPV4アドレスを持たないスマホに繋げないってだけでは?
AndroidだったらOpenVPN使えばいいんじゃ
なんでスマホはIPSecVPNに対応しないの? スペック的にできないの?
EasyVPNならiPhoneもPCも同じ設定でIPSecいけるよ
>>338 全く同じ状況
上りだけしっかり速度が出る
iphone4sならハードウェア性能上がってるからと
淡い期待したが全く実用レベルじゃない
こんな品質でよくも堂々とリリースできるな
354 :
353 :2011/11/02(水) 03:39:58.38 ID:???
ここの書き込み見てたので購入前に 電話サポートで聞いて見たんだけど 「そんな報告は確認されてません」 って一蹴されたわ 信じるべきは 公式サポートより2chだった・・・
355 :
n :2011/11/02(水) 11:43:40.77 ID:???
上りだけ出るならiPhone側の処理能力不足じゃないの?
CPUの利用率はどうよ? winのクライアントソフト使った場合はどうよ?
357 :
353 :2011/11/02(水) 20:20:10.52 ID:???
Ciscoで遅いと聞いたことないし Linuxでのl2tp/ipsecも速度問題ない Yamahaの問題としか。。。 Ciscoに変えるのは事実上無理なので Linux機使ってyamahaルータネットワーク内に安全にアクセスする方法ないでしょうか
358 :
353 :2011/11/02(水) 20:22:17.34 ID:???
Linuxサーバ⇔iphone でのl2tp/ipsec接続速度は問題ないことを確認済み、という意味です
1200の下に810置こうかと思うんだけど 810はこっちでいいの?それともハードウェアの方?
ここでいいと思う
WINDOWS7から、rtx1500あるいは、rtx1200に対して、VPNを張りたいと思います。 その場合、可能は通信方式は、pptpなのか、ipsecなのか、どちなのか教えてください。 また、rtx側のvpn用のポートはオープンにしていなければいけないのは分かりますが、 イニシエーターとするwindows7側では、ポートを開いている必要はあるのでしょうか。 tcpや、udpはポート番号を持っているので、クライアント側ではマスカレードでこれらの通信を入力できます。 しかし、特殊なポートとして、pptpではgreプロトコル、ipsecではespプロトコルを使うと思います。 クライアント側のファイアーウォールでは、これらのプロトコルの入力ができるように静的にopenしている必要があるでしょうか。 マクドナルドのLANから、VPNで私設のrtxルーターへ接続したいわけなのです。 よろしくお願いします。
>>362 金かけたくないならPPTP
IPsecならwindows標準のでは無理、別途クライアントソフトが必要
ポートオープンは必要
>>363 さっそくレスしてくださってありがとうございます。
別途ソフトが必要ならIPsecでの実現はやめたいと思います。
Windows7のPPTP機能でVPNを張りたいと思います。
Windows7クライアント側もポートのオープンが必要なのですか。
喫茶などにある無線LANでは無理でしょうか。
pptpは、greとtcpの固定ポートなのですよね。
プライベートアドレスが配布されるようなところでは無理ですね。
wimaxなんかを契約してグローバルアドレスをもらったほうがいいですよね。
クライアント側でポートオープン不要のVPNは、ソフトイーサだと思うけど、
いちいちサーバーを立てなければいけないのが面倒だ。
365 :
あのにます :2011/11/08(火) 13:05:18.02 ID:???
>>364 >喫茶などにある無線LANでは無理でしょうか。
機器の設定による。
VPNパススルーを設定してなければムリだから当てにしない方がいいよ。
ソフバンのイーモバ使ってるけど
普通にRTX-1200やRT-58iとPPTPしてるよ。
もちろんWIMAXでもいけるでしょう。
PPTPは「職場への接続」とかいう訳のわからない
ネットワーク設定のところで登録したら
ダイアルアップのように接続されます。
ポートのオープンとか考えなくていい。
てかルータの設定も出来るん?
「ヤマハルータでつくるインターネットVPN」
とかに書いてあるよ。クライアント・サーバどっちも。
>>365 >VPNパススルーを設定してなければムリだから当てにしない方がいいよ。
そうですね、全ての箇所で対応していないのなら、公衆LANを利用する方法は避けた方がいいですね。確実な方法を選択します。
喫茶店などのファイアウォール越しにpptpやIPsecを使って、rtxと通信しなければならない場合、そのファイアーウォールのtcpポートなどを開ける必要が出てくるのでやっぱり無理ですね。
>ソフバンのイーモバ使ってるけど普通にRTX-1200やRT-58iとPPTPしてるよ。
やっぱり、グローバルアドレスが必要ですね。
>PPTPは「職場への接続」とかいう訳のわからないネットワーク設定のところで登録したらダイアルアップのように接続されます。
>ポートのオープンとか考えなくていい。
WindowsはXPから標準でファイアウォールをサポートしていますが、
やはり標準のPPTPを使えば、必要なポートについてWindowsがファイアウォールも開けてくれるのだろうと思いました。
ただし、グローバルアドレスが直接Windowsのネットワークインターフェイスに付与されている場合だけ可能なのだろうと思います。
>「ヤマハルータでつくるインターネットVPN」とかに書いてあるよ。
ありがとうございます。参考にしたいと思います。
SSL-VPNに対応しないかな。
>>367 rtxが対応すると、どんなメリットがある?
>>368 社外からポート意識しないでも使えるからリモートアクセスが便利になるじゃん。
>>369 SSL対応のアプリでSSLのポートにアクセスして、オーバーSSLで通信をするわけだね。
で、このSSLのゲートウェイが復号化してプライベート領域のWEBサーバーなどに渡すのかな。
でも、WEBサーバーからのレスポンスはどうやってクライアントへ帰っていくのかな。
SSLのゲートウェイがカプセル化していたパケットのヘッダを書き換えて、SSLゲートウェイを返信アドレスとするのかな。
そうやってWEBサーバーから返答されたパケットを受け取ったSSLゲートウェイは、
インターネット側のクライアントへ送り返すのかな。
とても複雑そう。SSLゲートウェイでは動的NATテーブルのような仕組みを使って、
イントラネットとインターネットの通信を中継しているのだろう思うけど。
しかし、そもそも、インターネット側のクライアントアプリは、
いったいどうやってイントラネットのWEBサーバーのアドレスを指定するんだろう。
ひょっとして、SSLゲートウェイの各ポートが1対1に、イントラネットの各サーバーを指定するとか?
どうなんだろう。
いちいちマッピングが必要になって自由にイントラネットのサーバーを指定できないなんて、使い道なさそうに思った。
繋がってしまえばLANに参加したことになるんだから、後は難しく考える必要は無い。 専用クライアントなら起動するだけ webサーバーならお気に入りから開くだけ
>>370 SSL対応アプリ?
トンネルするだけだからクライアント側はVPN越しにローカルIP振られるだろ。
まったく知識が無いわけでもなさそうだから、何か思い切り勘違いしてるのか?
>>371 YAMAHAが専用クライアント出してくれたらさらに余韻だけどな。
>>372 >何か思い切り勘違いしてるのか?
多分、そうだと思う。
ssl-vpnって、ipsecとどう違うの?
ただの勉強不足か
>>372 > YAMAHAが専用クライアント出してくれたらさらに余韻だけどな。
何でYAMAHAがクライアント出すの?
その事業所のシステムはその事業所が用意する物だ
PPTPならWindows標準ソフト、IPsecなら専用ソフトで接続するだけ
>>375 SSL-VPNの話題なので、当然SSL-VPNクライアントのことなんだが・・・。
>社外からポート意識しないでも使えるからリモートアクセスが便利になるじゃん。 PPTPで充分
>>366 明示的にPC側にフィルタかけてない限りはフィルタについては意識しる必要ないよ
ほとんどの公衆LANはPPTP通してるのが多いよ
絶対確実に接続する必要があるなら携帯データ通信になるだろうけどね
SSL-VPNなら特別な処理をしてくれるとでも思っているんだろう
つまり
>>374
>>377 PPTPのポートはどこでも空いてるわけじゃない。
今後、スマホで使うならL2TPかも知れないがな。
SSL-VPNっても SSL技術とリバースプロキシ技術使って httpsや?POP over SSLみたいなクライアント側のSSLを実装してリーバスプロキシで認証ってのが多い LAN間や不特定多数のプロトコル通すためのトンネル掘るてのは少ないんじゃね? そっち用途だとやっぱりIPsec使うでしょ普通
>>380 ドコモの場合はSPモードじゃL2TP使えんからなぁ
他のキャリアも同じ感じみたいだし
>>373 > ssl-vpnって、ipsecとどう違うの?
上であるようにVPNパススルーみたいなことやらなくてもSSLポートで通信できる。
IPsecと比べてこの点が違う。
で、IPsecて、PPTPとどう違うの?
スマホってipsecとかpptpつかえんの?
スマホっていうかandroidはL2TPとpptp
スマホからpptp使って社内接続できるのか でもpptpってRTの機能じゃないのか RTXになるとipsecだけだよね
SSL-VPNってのは
>>381 の言うとおりの内容を含めてSSL-VPNなわけで、
単なるSSLなのにどう使うの?みたいな指摘は勉強不足だと思われ
>>386 RTXでもpptp使える機種あるよ
詳しくはWebで
>>383 PPTPは、認証とか、暗号化の能力が劣るというイメージがある。
>>386 PPTPは、RTX1500も、RTX1100も、対応している。
ただしいずれも、汎用cpu処理で、ハードウェア処理ではないので、負荷が大きい。
>>389 セキュリティの強度が必要であれば
PPTPトンネル内でさらにSSLなどや認証使えばよろし
393 :
anon :2011/11/08(火) 20:29:30.44 ID:???
安全性云々以前に速度が遅すぎて話にならない。 リモートメンテ用途あたりだとお手軽で早いからいいけど IPsecの代わりに拠点間用に使うのはあり得ない
PPTPもIPSecも試したけど、 IPSecは拠点間で繋げればルーター同士で常時接続してるのが利点だよね。 PPTPだと一回一回認証して繋げ直さないといけなくて不便だった。
>>381 IPsecはホテルとかで通らないことがあるので、
企業用のVPNは徐々にSSL-VPNに移っていってるよ。
いろいろ勘違いしている人もいるけど、
今時のSSL-VPNってのは単にプロトコルをラップするするのではなく、
トンネル越しの仮想インターフェースを使って
L3的に社内ネットワークに直接つなげられる。
CiscoのASA、F5のFirePass、JuniperのSAあたりが定番。
396 :
anon :2011/11/08(火) 22:23:43.49 ID:???
SSLVPNの便利さは意外と知られてないよね。 でも、お手軽に接続できすぎてセキュリティとの両立も課題になる。 ワンタイム実装するとかなりセキュリティあがるけど、管理負荷やコストも増えるし。
IIJ SEILシリーズがSSLVPN対応したと聞いて、RTX1200買ったのを公開した。 古いPCにSEIL/X86でも入れて遊んでみるか…。
規制の厳しい会社でもSSL-VPNを使えば エロサイト見放題なのかな?(たとえ話ですよ) 今日、お客さんの所行ったら Googleカレンダーさえはじかれていてびっくりした。 その会社は会社のメールにg-mail使ってるのに(笑)
399 :
anon :2011/11/08(火) 22:43:55.64 ID:???
>>397 SEILのそれは触ったことないからはっきりとは言えないけど
ルーターやらFW付属のSSLVは大抵怪しいからお勧めしないよ。
専用の箱買う元気がないなら、自分で鯖立ててソフトで組んだ方がいいくらい。
>>398 それはproxyのコンテンツフィルタで止めてるんだろうね。
400 :
398 :2011/11/08(火) 22:47:44.00 ID:???
>>399 >それはproxyのコンテンツフィルタで止めてるんだろうね。
もちろんYesです!
ん?PC側と直接外部セッション貼られちゃった場合にproxyで出来ることって何? コンテンツフィルタで、そのSSLの接続先を弾いちゃうってこと?
402 :
398 :2011/11/08(火) 23:30:44.27 ID:???
>>401 ごめんなさい。説明不足でした。
proxyでのフィルタリングで規制を厳しくしてる会社で
SSL-VPNを張ればコンテンツ規制を逃れられるかな?って意味です。
>>397 SSLVPNじゃなかった…SSTPだったわ。ごめん。
超初歩的な質問で申し訳ないんですが rtx1200でDHCP鯖とMACアドレスフィルタリングやってるんですが 無線LAN経由でAndroid機にIP割当らなくて困っています。 Win/Mac/Linux/iOSは問題ありません。 無線親機はBuffaloの家庭用・法人向け両方使ってダメでした。 無線親機をルーターにすると直接DHCP割り当ては出来るんですが ブリッジにしてRTX1200から貰う形にするとAndroid側は DHCPサーバーが見つからないエラーになります。 RTX1200のログでは該当MACアドレスから依頼が来てるっぽいんですが 払い出しがされていないように見受けられます。 また、似たような運用されている方でうまく行ってる無線親機があれば 教えて頂けると助かります。
Android側の問題 Androidの場合は、Wifi Staticというアプリを入れる
>406 即回答有難うございます Androidの不具合だったんですね お陰様で無事設定できました ありがとうございました
>>405-407 >ブリッジにしてRTX1200から貰う形にするとAndroid側は
>DHCPサーバーが見つからないエラーになります。
>無線親機をルーターにすると直接DHCP割り当ては出来る
>Android側の問題
不思議ですね。ブリッジにすると何がどう変わって
払い出しを受けられないんだろうか。
症状だけ聞くと、DHCPサーバの衝突を一番に疑ってしまう。 Androidの問題だと即断できる理由は俺も知りたい。
DHCP broadcast flagの問題とか?
こっちもAndroidとYAMAHA RTのDHCPサーバーとメルコ無線LANルーターを無線中継器としてのみ使用してる。 固定アドレス取得が正常にできないのでWifi Staticを入れてる。 DHCPサーバーが1台しかない環境でも起こるのDHCPサーバーの衝突は原因ではない。 DHCPでMACアドレスによる固定アドレス配布をすると、Android側はそのアドレスを無視して、DHCP予約の未使用アドレスを取得して勝手に名乗ってしまう。
windowsサーバーのDHCPだと正常に動作してるけど・・・・
>>412 もっとコトバを多く。
Androidへの経路途中で、ブリッジは通しているのですか?
バッファローのWAPM-APG300N通して使ってるよ
>>414 了解です。ありがとう。
>>412 を聞いて、思い出したけど、
サービスパック1を当てる前のWindows7も、RTXのDHCPでアドレスを取得できないことが頻発したなあ。
非常に時間がかかったり。
サービスパック1を当ててからだと思うけど、今は安定している。
RTXのDHCP機能が、Androidに合っていないということも考えられませんか。
ブリッジの存在の有無による差はどうかわからないけど。
うちもはRTX1500に、WAPM-AM54G54とWAPS-AM54G54をつないでいるけど、 特にDHCPで問題を起こしたことはないな。 アンドロイドはIS01
WindowsサーバーをDHCPサーバーにするとは限らないしな。
AD使うならDHCPやDNSはWindowsのが良いんじゃないかな。
場合によるけど、Update適用も早々にしにくいWindowsサーバーを外部ネット接続幹線経路にするのはどうかと思う。
>>419 ?
DHCPでもDNSでも外部にさらす必要はないけど?
421 :
hage :2011/11/10(木) 11:37:25.17 ID:???
>>418 ADするならWindowsDNS必須ですけど
環境による うちはWindowsサーバーをDHCP/DNSサーバーにするなんてありえん
まぁそれぞれだわな ADつかってりゃDHCPやDNSやWINSはセットで使った方が楽だし 不安定な事はないしトラぶったことも無いな
424 :
あの :2011/11/10(木) 12:03:55.07 ID:???
>>421 勉強不足晒すなよ。必須じゃねえよ。
ま、良いんじゃないかとは書いたが、そもそもLDAPが基本なところなんかもあるし、
でかいグループ企業の基幹ネットワークでWindowsで楽はできない現実はあるよな。
426 :
hage :2011/11/10(木) 13:39:49.23 ID:???
おまえら AD インスコしたことないの? 外に向ける必要はないけどね BIND 使って、どうやって AD が動的にDNSのレコード更新するわけ
できたとしても手間かかるし安定度とサポートを期待できないと思うがw
428 :
hage :2011/11/10(木) 14:10:57.54 ID:???
AD 入れると自動的に DNS も一緒に入るの知らないのか
知らないんじゃないかなw
BINDとの連携くらいググって解決しろよ派遣SEどもがw 一緒にインスコされるからそれしか使えない? いかにもWeb管理画面が無いとルータの設定もできないような底辺らしい発想だわw
何言ってんだこいつ? ルータの設定をする時点でだいたい底辺部隊だ。
BIND使う必要があるなら別に立てるけどな MSがサポートせんやり方、客が認めるのは少ないんじゃね?
433 :
sage :2011/11/10(木) 14:40:32.95 ID:???
あえて手間かけてリスク負って BIND 立てるメリットが1つでもあるのか知りたいところだが
434 :
hage :2011/11/10(木) 14:43:58.00 ID:???
まさか、ADのDNSに外向けドメインのレコードも埋め込んでポートマップしてる痛い人?
規模にもよるけど 外部公開してるサーバー群があるのであれば 外向けは別に立てて内部ネットワークにはおかないでしょ普通は
まさか、BINDで建てる理由が外向けと内向けを一生にする為とかいわないよね?
一生じゃなくて一緒ね
恥ずかしい下流のひとたちめ
BINDでAD運用するのが上流の仕事w
個人的には NTドメインの頃はWindowsDNSは良くなかったのでBINDを利用していました。 ADになってからWindowsのDNSは問題ないし導入が楽なので利用しています。 今でもBIND使ってる所は、NTドメイン時代の名残
いい加減論点をズラすの諦めてお前死んだら?
421 名前:hage[sage] 投稿日:2011/11/10(木) 11:37:25.17 ID:???
>>418 ADするならWindowsDNS必須ですけど
NTドメイン運用はDNS自体を利用してなかったから BINDだろうがMSのDNSだろうがどっちでもよかった ADなってくると話は違う 密接にかかわってくるし、なによりサポート外 名残りというのは違うと思う
まぁ、論点というかこの話題自体がスレチだがなw 外向けのWEBやメールやDNSなんかは全部UNIX系だが ADをBINDで挑戦しようという気はまったく起きないな 中途半端にAD使うぐらいならUNIX系でsamba使った方がよくね?
AndroidのDHCP固定アドレス配布がAD前提でしか作ってない半端者なのが問題
話はだいぶそれてるが AndroidのDHCP固定アドレス配布とADは全く無関係だぞw
いや、ここまでの話の結論だと、AndroidのDHCP固定アドレス取得がADのDHCPからでしか出来ないって成ってる。 報告例が少ないけど。
ああ、ADとWindowsのDHCPサーバーはごっちゃになってるかも知れん。
>>446 ここまでの話では「WindowsのDHCP鯖からは取得できる」
「RTのはダメだった」という話だけで
他のは一切ダメなんて話は出てないよ。
少なくともLinuxのdhcpdでも問題なく固定アドレス取得できてる。
経験則的には
DHCPは鯖-蔵の相性問題で謎トラブル結構発生するものだと思う。
特定端末と特定DHCP鯖の組み合わせだけ何故かIPアドレス取得できない
てなことは過去に何度も経験してる。
Linuxのdhcpd使ってる環境ではその手の問題起きたことないから
俺は基本そっち使うことにしてる。
ADのDHCPって何?
450 :
hage :2011/11/10(木) 19:45:07.77 ID:???
ADの中にいるDHCPサーバーからアドレス取っていった端末のアドレスとホスト名のペアを DHCPサーバーからDNSに対して登録かけるこように設定することが出来る。 (端末がDNSに自身の登録要求ださなくても)
>>450 それって、ADないとできねーんだっけ?
あ、補足すると、最新のBINDだとCheck-namesの設定は必要なんで BIND使うよって奇特な方は、ご参考までに
454 :
あのにー :2011/11/10(木) 22:18:04.74 ID:???
>>451 登録代行の話と読み取ったがADがある必要はない
DDNSに対応していないレゾルバのために存在する機能
AD使うならDHCPやDNSはWindowsのが良いんじゃないかな。 に対して、 ADするならWindowsDNS必須ですけど この流れが意味不明 死ぬしかないと思う
どこの掲示板でもそうだけど、簡単に死ぬとかいうの、日本だけだ。 いちいち重たすぎる表現なんだな。そのもっとも重たいのが、「死」という言葉ね。 でも、見た目気持ち悪くて、気分を害するから、 もっと普通の表現にしたらどう。
半島の人って日本の漢字によくケチつけたりしてるよね
>>455 IPsecは分かります君と同類ってことだろ
DNSが必須なだけでSRVレコードさえ扱えれば
別にMicrosoftのじゃなくてもいいんだが
それを知らなくてMicrosoftのが必須だと思い込んでたってだけさ
DCの発見・選択のメカニズムなんて知らないと思われ
>>455 この流れっていうか言ってるのは一人だろ
そこしか突っ込むところ無いの?
>>459 lこれ全部お前なの?
432 名前:anonymous[sage] 投稿日:2011/11/10(木) 14:36:30.14 ID:???
BIND使う必要があるなら別に立てるけどな
MSがサポートせんやり方、客が認めるのは少ないんじゃね?
433 名前:sage[sage] 投稿日:2011/11/10(木) 14:40:32.95 ID:???
あえて手間かけてリスク負って BIND 立てるメリットが1つでもあるのか知りたいところだが
434 名前:hage[sage] 投稿日:2011/11/10(木) 14:43:58.00 ID:???
まさか、ADのDNSに外向けドメインのレコードも埋め込んでポートマップしてる痛い人?
435 名前:anonymous[sage] 投稿日:2011/11/10(木) 14:49:48.34 ID:???
規模にもよるけど
外部公開してるサーバー群があるのであれば
外向けは別に立てて内部ネットワークにはおかないでしょ普通は
436 名前:anonymous[sage] 投稿日:2011/11/10(木) 14:52:37.14 ID:???
まさか、BINDで建てる理由が外向けと内向けを一生にする為とかいわないよね?
437 名前:anonymous[sage] 投稿日:2011/11/10(木) 14:52:56.62 ID:???
一生じゃなくて一緒ね
438 名前:anonymous[sage] 投稿日:2011/11/10(木) 14:55:34.50 ID:???
恥ずかしい下流のひとたちめ
439 名前:anonymous[sage] 投稿日:2011/11/10(木) 15:12:00.31 ID:???
BINDでAD運用するのが上流の仕事w
はい、もう終わり。 争いしか出来ないんだったら、遊ばなくていいから。 譲り合いの心が必要ですね。 それは運転者の心得と同じです。 もめるのはたくさん。
難癖の付け方が
>>370 の人に似てるな。
自身の無知を晒した挙句、必死で話題を逸らしてるところが。
この間rtx1200の設定していて気になったんだけど、 netvolanteの管理サーバって結構あるんだね。 これまでaa0しか割り当てられなかったから気づかなかったんだけど。 sakuraってやったらsakura.ah4.netvolante.jpまであった。 どんだけsakura好き多いんだ。
登録消すので試行錯誤してaa2くらいまで増やしたことあるけど ahってすごいな
>>463 VPNで利用している人は、けっこう多いんじゃないかな。
「sakura」「ocn」なぞ「test」の足元にも及ばん
467 :
hage :2011/11/12(土) 22:28:46.11 ID:???
>>466 サブドメインが何になるか気になって試しに作りたくなってきた
L2TP遅いのか 810買う前に、ここ見といて良かったわ
>>468 ciscoやlinuxでやった場合は速いらしいんで
yamahaの問題である可能性が高い
rtx1200でのスループットカキコしたの俺だけど
cisco等でどれだけスループット出るのかわからん。
iphone4sで誰か試してくれないかなぁ。
RTX1500 の Gigabit 対応後継製品はでないのだろうか? NEC IX2105、アライド AR560 と天秤にかけられる製品はないのか?
>>469 特定の環境下だからじゃねーの?
そんなに遅かったらヤマハが問題にするでしょ?
>>471 であったら嬉しいんだがな
そもそも特定環境向けの機能だしなぁl2tp/ipsec
速いよって話全く聞かないし
俺もそんな遅いのヤマハが出すわけねーじゃんって思ってたよ
だが実際やって遅かった
サポートには聞いたの?
474 :
osage :2011/11/15(火) 16:08:37.58 ID:???
@ML「RT57iでIPSec」って、すごい大漁だな w
>>472 ,473 l2tp/ipsecのファームが出た時、既に何人かが検証したし、サポートに問い合わせもしているよ
で、iPhone、Android共に速度出ないと言う結果 → 今のところ使い物にならない
サポートはそれが普通の速度とか言ってたの?
まったくだw
>>476 過去ログ読めと小一時間と言いたいのだが、、
サポートは、l2tp/ipsecに対して特に速度制限掛けてないとの回答だった
ただ、iPhone、Android側は l2tp/ipsecで接続するにあたって、ユーザー名、パス入れるだけで調整する項目が無いんだよ
つまり、調整はルーター側でやってあげなきゃ駄目
一方で、他社メーカーはPPTPと遜色ない。もしくはそれ以上の速度で接続出来ている
l2tp/ipsecに関して、YAMAHAルーター側に調整出来そうなコマンド無いし、お手上げ状態
今のところ俺的結論としては、YAMAHA側のチューニング不足
サポートが遅い事を認識してるかどうかって事を知りたかっただけ 特に速度制限掛けてない=問題視してない って事になるから直す気無いって事でしょ
@yamaha_sn宛にツイートしようず
会社から電話がかかってきて、ネットワークもIP電話もつながらないとのこと。 不安を覚えながら調べてみるとVPNが切れていた。PPインターフェイスのレベルで切断されているらしい。 というのは、インターネットへのhttpアクセスもできなくなっていたから。 電源のoff onを行ってもらい、回復した。 残念ながらログを別サーバーに記録していなかったからログが全部消えて調べようがない。 多分、ハングアップしていたのだと思うのですけど。 あと、ある外部のホストから内の拠点ルーターに対してpingを打ってきているみたい。 各拠点で数分おきにリジェクトログが残っていた。各拠点で共通しているのは、同じispを使っているということ。 なんか気になるなあ。
朝日ネットって、定期的にかなり頻繁にping打ってきますか? icmpがリジェクトされているの、どうやら、朝日ネットらしい。
そういやauでSPFレコードのnoneをスルーして届いたSPAMがいっつもasahinetドメインの端末だったなー 踏み台多いのかね?このISPは。
>>485 古いISPだし、月額840円のUPで固定IPを1つもらえるから、まとにも管理
できてない「お家サーバー」多いから。
root取られて、好き勝手されてるのに気がついてないの多いんじゃない。
>>486 なるほど、そんな背景があったのね。
一時期結構な頻度で届いててイラっとさせられたものです。
去年auがSPAM対策強化したみたいで、
それくらいからぱったり来なくなったんだけどね。
489 :
hage :2011/11/21(月) 10:47:14.81 ID:???
>>483 RTV700(中身はRTX1000に近い)でよく起きたなぁ
原因不明のフリーズ
RTX1100にリプレースしたら直った
config はほとんど変更してなくて改善したから、何か問題を抱えていたのだろう。
RTX1500よりも、RTX1100の方が後のものですからねぇ 性能が追いつかないRTX1100には替えられないけど、RTX1200には替えられるかなあ。
>>490 電源オフにしてもログが残るのが地味にいい
ログサーバー立てられるほど金が無いよってお客さんでも
ある程度状況わかるしね
RTX1200って、電源切ってもログ残ったままになるのか。
microSDスロットがあるからそこを利用できるでしょ。
microSDは書込みが遅いからそういうハング直前の記録には使えない
495 :
アノ :2011/11/22(火) 12:24:18.72 ID:???
microSDいらずで、show logが残ってる
再起動でログが消える機種でSDにログ保存の話でしょ
497 :
hage :2011/11/22(火) 13:05:58.55 ID:???
syslogd なんて簡単に建つんだから 適当なサーバーに仕込んでおけばいいんじゃないのか
498 :
n :2011/11/22(火) 13:50:45.09 ID:???
microSDじゃなくて普通にSDにしてほしかった・・・
>>499 どっちも激安じゃん?
MicroSDのほうがデータ消えやすい気がするが
速度だよ、速度
>>501 ルーター如きに速度なんているか?
クラス10の買っとけばそらなりに書き込みも早いぞ?
SDはハング直前でも書き込めて MicroSDは間に合わないってかww
l2tp/ipsecが遅いのはファストパスに対応出来ていないのが原因らしい spモード対応を考慮にいれて対応中と聞いたけどね
505 :
なな :2011/11/22(火) 23:37:32.18 ID:???
どこ情報?
>>504 それにしても遅すぎ
下り100kbpsでないんだぜ?
SPモードってドコモのそれか?
sdも、microSDも、ハングするとバッファからの書き込みは両方間に合わないよね
ま、microSD搭載機種は、電源オフってもログ残るんだけどな
ま、microSDにとらわれていて、内蔵メモリのこと忘れていました!
510 :
n :2011/11/23(水) 20:49:29.00 ID:???
RTX系ってどれくらいのスパンでリプレースしてる? 最近のも7年程度は持つんだろうか
保証期間が有効な限り
RTX3000出ないんかねぇ IPsecのスループットももうどんどん抜かれていってるし I/Fは一部100BASE-Tだし・・・メモリも少ないしなぁ・・・
513 :
512 :2011/11/23(水) 23:26:58.64 ID:???
失敗した RTX3000の後継
514 :
anon :2011/11/23(水) 23:37:49.24 ID:???
YAMAHAのボリュームゾーンはCiscoがあんまり拾えない SOHO向けルータ/少拠点間ルータ/ハイパフォーマンスブロードバンドルータ あたりだから、Ciscoや他のエンタープライズ向けルータとガチンコになる部分には 積極的に投資しないかもしれないね。個人的には3000の後継ってそろそろ見てみたいけど。
rtx1200がそこそこ健闘している VPN対置数は、rtx3000にはぜんぜん及んでいないけど。
>>504 それ本当だったら物凄く嬉しいのだが
てか、真面目に対応して欲しいわ
サブネットに対して決定するipアドレスSCOPEを、クライアントに付与する方法はあります。 それから、特定のmacアドレスに特定のアドレスを付与する方法もあります。 しかしところで、 あらかじめリストアップしたmacアドレスを持つクライアントに、 そのIPアドレスSCOPEから自動的にIPアドレスを付与することなんてできますでしょうか。
前段にL2スイッチ置いてMACフィルタすれば? どうせMAC登録するんだから、固定で付与しても手間は変わらんと思うけども
>>518 rtxだけでは実現不可能なわけですか。
L2スイッチ、確かYAMAHAが出していたなあ。
しつもん。
>>517 の文脈の「IPアドレスSCOPE」って何?
DHCPのアドレスプールのこと?
ごめん 何度か読み直したらなんとなく分かったような 一行目の「サブネットに対して決定するipアドレスSCOPEを、クライアントに付与する」で???となったんだが 「ipアドレスSCOPE(からIPアドレス)を、クライアントに付与する」の意味?
>「ipアドレスSCOPE(からIPアドレス)を、クライアントに付与する」の意味? そのとおりです。訂正ありがとうございます。 たしかに、スコープ丸ごと付与するって意味にとれてしまうな。
523 :
518 :2011/11/28(月) 18:01:43.20 ID:???
>>519 いや、つか、RTXでMACフィルタ使ったこと無いから、そう書いたんだが
RTXのMACフィルタじゃダメなのかね?
フィルタ対象外の機種だったらスマン
524 :
anon :2011/11/28(月) 19:04:45.55 ID:???
>>517 特定のアドレスを付与しないのは
クライアントの数がDHCPプールの個数を超えているのかな?
ちなみにルーターでは無くLinuxマシン等にDHCPサーバーやらせれば
そのあたりは柔軟に設定出来ますよ。
RTXに、MACフィルタなんかあるんですか。 どういう機能が提供されます? 登録したMACアドレス以外の通信ははじくことで、 DHCPによるアドレスの付与もさせないようにできたらいいのですが。
>>525 キーワードがでてるんだから、少しはマニュアルみろよ
>>530 さんのは一番新しい書式なのでしょうか。
古い書式
# ethernet filter num kind src_mac [dst_mac [offset byte_list]]
新しい書式
ethernet filter 1 pass-nolog (接続を許可する端末1のMACアドレス) *:*:*:*:*:*
古い書式はrtx1100でも使えるけど、
シンプルな新しい書式はrtx1100では使えないようだ。
なにがどう違うんだろう。
今更だし速度問題で使い物にならんと思うがL2TP/IPsecでWindowsXP端末繋がった 暗号化方式は3DESしかダメでAES選ぶと繋がらない コンフィグはスマホ用と同じで良かった Windows7は今のところ繋がらないし解決方法も全然わからん
windowsに関しては別途VPNクライアントソフト購入しかメーカーは保証してないと思う
rtx1200 RTX1200 Rev.10.01.34 pptpで会社内のファイルを自宅Windows7 Pro Sp1 cpu2600k で、ためしに社内のpcからファイルをダウンロードすると1.4MB/sくらいでます。 会社光回線・自宅集合住宅の光回線。 ipsecでshrew vpn 2.2.0 beta2 2.4MB/sくらいでます。 rtx1200 cpu使用率20% windows7 cpu使用率 3%ほど。 ipsecで接続したあとに、社内のサーバー等にpingを打っても返ってきたり、こなかったり。 ファイル共有pcも見えたり見えなかったり。(ネットワークの一覧ではありません。) pptpだと、pingは必ず返ってきます。\\ipaddressでファイル共有が見えなかったりするのもありません。 外からの接続は、pptpユーザー3 ipsec(今テスト中です。)私のみ。 エスパー内容ですが、原因これってのあれば教えてくださいませ。
標準のだとアグレッシブだめなのね……
pptp、ルーター間のipsecは問題ないけど、ipsecのヤマハ謹製クライアントソフトでは、一部パケ落ちがある。 用途に依るけど、PCでより完璧な接続を求めるなら、現状はpptpと成る。 対応機種は、RTX1200、NVR500、RT58i等 ヤマハ謹製クライアントソフト不使用によるipsecの不具合は論外。
それ、ヤマハに指摘した方が良いんじゃね? そしたらソフトもよくなるっしょ。
>>535-
>>537 レスありがとう。
動作保証外なのでしたらしょうがないですね。メーカー製品じゃないから当然でしょうけども・・・
メーカー謹製でも、一部パケットが落ちるのでしたら、ちょっと困りますね。
先ほど、yms yms-vpn7をダウンロードして試用を開始してみたんですが、接続まではいくのですが
内部pcやrtx1200に対してpingを打っても返事が返ってきませんでした。
yms-vpn7のログ確認をしたところ、
EnginePcketHandler/engine_packet_handler.c:177/engine_packet_handler_rule_lookup: no policy rule found,using default ruleと
いうログが0.5秒間隔で接続中にあがってきます。
時間が無いのと、pptpで緊急時の確認作業ができるので、ipsecでのwindows端末からの接続は、暫くあきらめます。
ありがとうでした。
>>537 サポート対象外でもって話でもいいなら、NET-GとNetScreen-Remote(Safenet)は
問題なく動く(IPsec)
もちろん、サポートが欲しいって話ならYAMAHAを使うべきだが
YAMAHAにしてサポートはともかく、ソフト的にいい思いをしたことはない
(むしろ、上記2つのソフトよりダメダメになってる)
ヤマハ謹製っていっても実際は自社で作ってないしょ?
多分端末ソフトの設定が違ってると思う。 でも一度pptp使うとPCでのipsec接続は不便
今更PPTP使うくらいなら OpenVPNの方がいいんじゃ
PPTPおせぇしなぁ かといってクライアント入れないとipsec使えないし L2TP/ipsec激遅だし すっきりせん。
希望はともかく、可能な選択肢ででしょ。
546 :
n :2011/12/03(土) 19:53:07.95 ID:???
RTX1200をセンターにしてNVR500とRT58iを拠点に配ってPPTPで拠点間接続してるわw IPSecに変更したいんだが クライアントのWinPCから直接センターにPPTPしないといけない環境でもある・・・。 費用対効果を考えると悩ましいわ
>>547 サーバなんて常時起動してりゃ
余ってるノートPCでもなんでもいいんだから
別に大げさに考える必要ないだろ
PPTPよりはるかに安全だし速いぞ
ルータ対ルータのLAN間VPNならIPsecだろうけど
単独クライアントからのリモートアクセスなら
OpenVPNが現時点での最適解じゃね?
単独アクセスなんて出先だし PPTPでRDP接続ぐらいしか使わんから 安全度もスピードも問題無い 自宅へのアクセスならサーバー置いて余分な電力使うのも嫌かな
>>546 予算無いなら割と安全なシステムへ移行したら?
リモートディスクトップ運用にするとか(RDPは暗号化される)?WindowsServerなら複数ログオンできるしね。(2重で暗号化の効果はいかほどかしらないが)
どうしてもSMB使う場合は難しいけどね。
SMB2.0に移行すれば良いけど、問題はXPが非対応な事
551 :
546 :2011/12/04(日) 16:51:11.24 ID:???
>>550 外出先のWinクライアントからはセンターへPPTPで接続→センターのWinServerにRDP接続だよ。
ずいぶん前にASPの”どこでもLAN”からこの環境へ移行した。
災害対策でセンターのデータを各拠点でバックアップ取ることになって、
果たしてPPTPのままで良いのかという話になってる。
拠点間はIPSecで繋いでしまってPPTPも可能にするのが望ましいんだけど
RTX1200でPPTPとIPSec同時利用ってできる?
マニュアル探すんだが見当たらない・・・
余裕で同時利用できる 大容量のバックアップならプロバイダのUP量制限などもあるから 回線がフレッツ系ならフレッツVPNワイドおすすめ 一応閉じてるからIPIP接続でも問題無いしスピード出るよ
553 :
546 :2011/12/04(日) 17:28:14.36 ID:???
>>552 ありがとう
じゃあIPSecルーターにリプレースで解決だw
>VPNワイド
そういや転送容量制限もあるんだよなぁ・・
容量計算次第でVPNワイド検討してみる
>>552 ISPの容量制限でしょ。
一日で数ギガバイトなど設定があって、それを超えると帯域を極端に狭められたりする。
狭められるだけならいいけど警告来るISPもあるよ 繰り返すと契約解除を迫られる
だいたいは総UP量で規制もしくは警告のち契約解除でしょ 一拠点のバックアップを多地点へなら結構な量になると思う
質問よろしいでしょうか?
現在ダイナミックDNSを利用してipsecでVPNを構築しているヤマハルータの下に
さらにアイオーデータのWN-G300DRを追加して無線ハブとして利用しています。
http://www.iodata.jp/product/network/wnlan/wn-g300dr/feature.htm 本来このハブは無線ルータであり、iobb.netというダイナミックDNSのサービスを利用した
VPN(PPTP)に対応しておりますのでipsecクライアント機能がない機器でもVPN接続できないものかとおもいました。
あえて2重ルータ状態にして「iphoneやPCからPPTPでVPN接続」できないか
試した所エラー807でクライアントから接続できずうまくいきませんでした。
このような使い方はやはり無茶だったのでしょうか?
559 :
anon :2011/12/05(月) 01:45:52.48 ID:???
YAMAHAルーターがPPPoEルータ(直接プロバイダと繋がっているルータ)だと仮定して答えると YAMAHAルーターにNATのstatic設定が入ってないと動かないよ。 tcpの1723番 と greプロトコル の2つを入れる必要あり。 RTXのPPTPの設定例を参考にしてみるとわかり易いかも。
>>554-557 だから、ISP経由のインターネットVPNから脱却したいと思っている。
NTTの旧フレッツから、ひかりネクストに全拠点で切り替えていっているところ。
ひかりネクストならネイティブな環境でVPNが張れるんだよね。
やっているひとある?
>>561 旧フレッツ+ドットネットでのVPNならやってる、IXでだけど。
ネクスト系に切り替えた時にどうなるか、一時調べてたことも有ったけど、
現状切り替える予定が無い。
ただ、完全固定アドレスじゃ無いんで、局舎工事で収容替えされると、
アドレス変わったりするから、要注意w
つかうちはそれで一度切れた、メンテ用の別口有ったから良かったけどw
ネクストも閉域網のアドレスは固定じゃなかったよね?確か
>>564 いや、よく読めw
旧フレッツ+ドットネットと書いたじゃん!w
VPNワイドなんて使ってない、どうせ実家と自宅との間の線だし。
両端Bフレッツ+ドットネット契約で閉域網のIPv6使って
IPsec張ってる。
コレがまた調子よくて、IX対IXで複数セッションのファイル転送だと、
100M一杯まで速度でちゃったりする。
単一セッションだと2〜4MB位かな、エキス婦ローラー
latencyはどんなもんだったか・・・平均15〜20ms位だった気はする。
>>561 がVPN契約するつもりなのか、VPN契約するなら完全固定だから
問題無いが、v6オプションでやろうとすると、恐らく同じ事になると思われ。
旧フレッツはドットネット契約しなくても網内v6使えるようになった記憶があるが さだかではないw
567 :
- :2011/12/06(火) 14:18:03.66 ID:???
Fdnっていう名前もらえるみたいやから実質固定に近い形になるのかな??
>>566 Bフレッツでも、IPv6のRAは降ってくるけど、
ドットネットオプションを契約しないと、
閉域網での折り返しはしてくれないから、
VPNとしては、使えなかった・・・・はず。
>>567 奴はDNSでの名前解決じゃ無かったと思う。
フレッツメッセンジャーとかのアプリ用で、
裏でどうやってるか知らんけど。
なのでルーターでセッション張るには使えないんじゃないかなー。
まぁIPsecをAggressive Modeで組んでおけば、
拠点側は幾ら変更になっても問題無いが、
センター側が変わると、やっぱり再設定が必要だな。
>>568 >ドットネットオプションを契約しないと、
>閉域網での折り返しはしてくれないから、
フレッツ・ドットネットを契約していなくても、IPv6のルーティングして
くれます。
実際に、IPv6スタックのせた組み込み機器の広域試験で使ってました。
(ただし、東・西それぞれの営業エリアで閉じています)
571 :
- :2011/12/06(火) 20:24:41.59 ID:???
東西で閉じてたら全く意味無いなw
572 :
anon :2011/12/06(火) 21:46:42.76 ID:???
ネクストにしてv6環境にすればいいやん。 v6でIPsecできる箱さえ用意できればVPNし放題だぞ。
573 :
- :2011/12/06(火) 23:16:00.32 ID:???
オフィスビルなんかはまだADSLしか引き込めないところもあるから微妙だがねw 駅前の古いビルなんかそんなかんじだ・・・
>>570 それって、ネクストではない普通のBフレッツでできるのですか。
なら、onuからpppoeをどこに張れば?
>>571 >>572 ネクストなら
フレッツ・v6オプションつけないと端末同士でダイレクトに通信できないと思う
かつ東西間の通信は上記オプションじゃ無理で
VPNワイドで東西接続サービス(オプション)をつけないと無理っぽい
>>575 普通のBフレッツの話ね。
pp auth myname (フレッツ・スクウェアのID) (フレッツ・スクウェアのパスワード)
??これって、ipv6アドレス取得で必須?
ipv6って、pppoeでなく、直接ONUの向こうから配布されるような。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 prefix ra-prefix@lan2::/64
これってどういう意味?LAN1と、LAN2が同じラインに書かれているな。
ipv6 lan1 rtadv send 1
ipv6 lan2 rip send off
ipv6 lan2 rip receive off
で、以下フィルターなのか。
ipv6 lan2 secure filter in 101030 101031 101032
ipv6 lan2 secure filter out 101099 dynamic 101080 101081 101082 101083 101084 101098 101099
ipv6 filter 101030 pass * * icmp6 * *
ipv6 filter 101031 pass * * tcp * ident
ipv6 filter 101032 pass * * udp * 546
この三つのパスフィルタは、多分アドレス配布関係なんだろうと思うけど。
ipv6 filter 101099 pass * * * * *
で、さらにこれを用いて、暗号化VPNを張らなければいけないわけか。
578 :
anon :2011/12/08(木) 01:56:50.41 ID:???
>>576 ネイティブ方式のインターネットv6接続始まってるから、
VNE経由の通信にすればフレッツVPNワイド契約しなくてもいいんじゃね?
フレッツv6オブは何やるにしても実質必須だから使う使わないに限らず契約しといたほうがいいやろ
>VPNワイド契約 Bフレッツと、ネクストとの相互接続が可能になる。おそらく。
おそらくじゃなくてもなる
ちなみにADSL・ISDNのフレッツ網も接続可能 VNE経由の場合ってNTT東西間の通信ってネクスト網内でやってくれないと思う??
582 :
anon :2011/12/09(金) 01:54:26.90 ID:???
>>581 VNE接続については資料も実例も少ないから、あんまりわかってないってのが現状よね。
NGNのインフラは東西で別々だと思うから、
普通に考えたらVNE経由して接続されるんじゃないかと思うけど
じゃあフレッツVPNワイドはどうやって東西接続とってるのかという疑問も。
NTTの東西分割って、独禁法やらいろいろな理由があるんだろうけど
使う側の感覚からすると無駄に分かれてるだけでメリットほとんどないよな。。。
しかもVNE対応のプロバイダーって大手があまり入ってないよね なんでOCNが入ってないんだ?w IIJみたいな高い料金取るところとか通常の料金と同じとこもあるし いまいち速度でるか微妙だからVPNワイド使っとけば安心かなって気がする 東西接続料金は高いけどw
584 :
anonymas :2011/12/09(金) 03:17:36.32 ID:nJPNDhx4
YAMAHAよ従業員の田中誠をどうにかしろ 人に暴言、暴力してくる サイバー攻撃する
東西の境界に支店やらが散らばっている会社かわいそう。 独禁法が「わが社の発展を苦しめる」って言っているのに、それ誰得?
東西管轄境界線ぎりぎりに2つ支店置いて有線でつないでブリッジすればいい
支店2つ置くコスト < 東西NTTブリッジ
>>587 不等号が逆だろ
なんか最近こういう用法をよくみるけど最近は小学校の算数では不等号の扱い方をやらんのか?
もしかして:ゆとり
>>591 図上検討をしたことがある。
NTT東西境界になっている県境で、川や山岳を挟まず両側でNTTの光回線が引けそうな所、
という条件で実現できそうなのは、湯河原・熱海間か箱根峠、御殿場線沿線あたりしかない。
山梨の身延線沿線と、岐阜の中津川市最奥部もいけるかもしれない。
だが、そこに自前拠点を構えるコストは明らかにフレッツVPNワイドの東西接続料金31500*2を大きく上回るだろう。
県境は大抵山か川だ。
東西を繋ぐ、すきま事業が生まれそうな
595 :
- :2011/12/10(土) 10:19:45.42 ID:???
FON
>>594 ソフトバンクさん、ここです。お願いします。
ごめん。猿に分かりやすく教えて下さい。 4拠点をVPN張りたいんだけど、IPアドレス体系が全部192.168.100.0/24なんです。 で、仮想で172.16.1.0/24〜4.0/24を組みたいんですが、 固定IP側(センター) ipsec tunnel 1 ipsec ike local address 1 192.168.100.1 ipsec ike pre-shared-key 1 text AAA002 ipsec ike remote address 1 any ipsec ike remote name 1 AAA002 ip tunnel nat descriptor 101 nat descriptor type 101 nat nat descriptor address outer 101 172.16.1.1 nat descriptor address inner 101 192.168.100.1 nat descriptor static 101 1 172.16.1.1=192.168.100.1 252 動的IP側(拠点) ipsec tunnel 1 ipsec ike local address 1 192.168.100.1 ipsec ike local name 1 AAA002 key-id ipsec ike pfs 1 on ipsec ike pre-shared-key 1 text AAA002 ipsec ike remote address 1 センターのグローバルIPアドレス ip tunnel nat descriptor 101 nat descriptor type 101 nat nat descriptor address outer 101 172.16.2.1 nat descriptor address inner 101 192.168.100.1 nat descriptor static 101 1 172.16.2.1=192.168.100.1 252 こんなんでいけるんですかね…。実験環境が無いので何とも言えないのですが、 機種はRT107eです。。。
どーやってルーティングするんだ?
適当だけど参考までに。
local address重複してっけどダメじゃね?
IPSecトンネルの外側のIPが重複してると上手く行かない気がするんだけど…
あとsaのポリシー足りないし
natにudpの500番通すとか、espパケット通すようにするとか
基本的なところ全然足りてない
まぁその辺はggrといいよ
それと
>>599 の言うとおりルーティングできない気がするわ
IP変更したくないんだろうけど、そこはルータじゃなくてFWでやればいいと思う
603 :
598 :2011/12/11(日) 07:42:43.74 ID:???
598です。 TwiceNatの場合で2拠点以上って可能ですか? 2拠点までなら足りない脳でも何とか通信が取れたのですが…。 すいません。初歩的な質問で…。
>>559 レス遅くなってすみません。
お教え下さりありがとうございます。
RTXを参照にしつつ設定いろいろ調整してみます。
>>560 RT107eなので残念ながらipsecのみでPPTPには対応しておりません。
ですが、他の機器と合わせ技でPPTPを補完できるならいろいろ捗ります。
さっそくPPTPを通過するようにルーターを設定してみます。
>>601 Twice NATってのがあるんだ。
知らなかった。
しかし、これってトラブルの元になるんじゃないかな?
俺だったら後々のこと考えて、やっぱり各拠点のネットワークアドレスを変更するけど。
何年も経ってから別の人がよく分からずに設定変えるとか、ありがちでしょ。
同じ会社なら変更させるのがベストかもしれんが 出来ない理由があるんでしょ
609 :
anon :2011/12/11(日) 21:26:40.18 ID:???
>>607 が言うように、同じプライベートアドレスで通信する方法はトラブルのもとだから
やめられるのであればやめた方がいいね。
一般的なネットワークでさえ、担当者が突然辞めたり逃走したりしたら
構成が全く分からなくなることもあるのに。
これに限らず、アドレス体系や端末・SVの設定を変えたくないという理由だけで
安易にNATを色んな所で活用すると、どこでどんな変換をしたんだったからわからなくなり
一度トラブルが起きたら終息まで時間が多大にかかる。
何でもNATで解決しようする安易なSEが大嫌い。
>担当者が突然辞めたり逃走したりしたら 引継ぎは?
611 :
610 :2011/12/11(日) 22:08:19.78 ID:???
いや、
>>609 さんを批判しているわけでなくて、
やっぱり、次の担当者が自分でコンフィグとか分析して、
ネットワークのイメージを頭の中に再構築しなければならないのかと思って。
>>610 鬱で辞めていく人にまともな引き継ぎなんてできないでしょ。
だから変更できるもんなら変更してるでしょ 客先と繋がないと駄目とか どうしてもアドレス変えれない場合があるからTwice NATなるものが存在するんでしょ 担当者が面倒とかでやってるわけじゃなかろうって
欝になる原因って何だろうね
615 :
anon :2011/12/12(月) 00:30:22.54 ID:???
>>610 次の担当がインフラに明るい人だとは限らない。
それに、引継ぎが必ず確実にに行われると考えるのは理想論だと思う。
ユーザーが自前で管理せず、ベンダーで管理している場合でも
NAT変換はルーティングと違って使っていることそのものが見落とされやすいので
元々なかったものとして考えしまう場合もある。
>>613 確かに諸々の事情で変更が効かない環境ってのはふつうにあるけど、
充分に変更ができるかどうかの検討をしないうちに、
安易にNATで解決という選択肢をとる管理者がいるのよ。
そんなひとのとこなんてどうでもいいやんか
>>613 > 担当者が面倒とかでやってるわけじゃなかろうって
こういう場合、理由はやっぱ「面倒」なんじゃない?
そのままのネットワークアドレス維持することによって生じうるリスクとか
変えることによって生じるメリットとか
そういうの説明して権限持ってる人を説得するのが面倒なんでしょ。
618 :
598 :2011/12/12(月) 01:11:37.96 ID:???
598です。 ちなみに、前任が逃げて(丸投げ)して、パソコン詳しいってだけで 今回のネットワーク構築を任されたわけなのですが…。 で、今日営業に掛け合って拠点に1〜4の番号をふり、 192.168.1.0/24から4.0/24という事 ちなみに、来週から3週間に分けて事業所が展開していくから、 今夜、センター1台と拠点1台を作らなければならないんだ…。
大丈夫、俺も一人でがんばった。 独学でルーターがいじれるようになった。
「パソコン詳しいってだけ」のレベルならなおのこと そんな複雑な設定はやめるのが吉だな。 トラブル発生しても対処できないよ。 シンプルなルーティングで行けることになったのは何より。
どうしてもNATを使うのは、ゲートウェイを指定できない機器と通信するときだな。 NATつかって、その機器と同じネットワークに登場してやるわけ。
>>618 最初からその説明出してれば
NATなぞ勧めん
出来ないものは出来ないとかで業者に任せるのも手だけどな
結局、今までの待遇のままなにかあったら責任おわされて
前任者のように逃げ出す事になるぞw
教えて下さい。 センターを経由して、2,3,4が各々にアクセスできるようにしようと思ったら、 拠点側のルート情報って ip route 192.168.1.0/24 gateway tunnel 1 ip route 192.168.2.0/24 gateway tunnel 1 ip route 192.168.3.0/24 gateway tunnel 1 みたいにひとつずつ設定したらいいのですか?
設定例ぐらいみろ 最近基礎もわからんで質問してくる奴大杉だろ 調べる気無いなら業者に任せろよ
625 :
anon :2011/12/12(月) 20:40:39.22 ID:???
ルーティングの基礎がわからないと今回の設定がかろうじてできたとしても トラブル時に対処難しいそうだね。 センター経由のアクセス(俗にいうハブスポ型)の場合は そのconfig(微妙に定義違うけど)が必要なのはセンターのルータの方。 拠点側ルータのルート情報はデフォルトルート一発か、 192.168.0.0/16 をセンタールーターへのtunnelインタフェースに向けるだけでいい
デフォゲで設定したらインターネットもVPNも接続できなくなりましたー って言ってくるぞw
628 :
anon :2011/12/12(月) 21:17:17.73 ID:???
defGWだと確かにそうなるなw
629 :
anon :2011/12/12(月) 21:18:03.51 ID:???
>>627 どこからDHCPでIP取ろうとしてるのか説明しないとわからんぞ
630 :
627 :2011/12/12(月) 21:38:30.48 ID:???
ip lan1 address 192.168.0.1/24 です。 とりあえずインターネットに繋がるようにはなった…。
まだ設計変更が間に合うなら 192.168.1〜4/24ではなく、 第三オクテットを1,9,17,25あたりにして余裕を開けておけ(ネットマスクは24でよい) 後日役に立つ日がくる
632 :
627 :2011/12/12(月) 22:26:17.85 ID:???
>>631 了解
とりあえずセンターは明日、拠点は今夜25時までに会社に持っていかなくちゃ
いけないので、書き換えておきます。
あと、なんか別の会社も絡んでるらしくて、さっき
『このコンフィグ流しておいてー』
みたいな感じで送られてきたんだけど。。。nat discriptor がかぶってるんだよね…。
送られてきた奴ではip pp nat descriptor 1000で書かれてるけど、
今回作ったConfigではppでは1を使うんだよね…。
これって、送られてきたConfigの
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ぐろばる
nat descriptor masquerade static 1000 1 ろーかる udp 4500
になってる1000を1に書き換えたらOKって事?
悪いことは言わん 業者にまかせてしまえよw もしくはRT使いの知り合いゲットして一から教えてもらえ
634 :
627 :2011/12/12(月) 22:48:43.73 ID:???
>>633 それが通ってたら今頃私はここで苦しんでないですよ(涙
今回の案件来た時から何度次席に掛け合ったことか…。
業者もしくは情報システム部に作るよう依頼投げてって…。
とにもかくにもありがとうございました。
明日繋がらなかったら、私はおしまいです。
そんなやり方してたらいつかは破滅するぞ 別な会社のコンフィグって意味わかってるの? わからなかったら恥を忍んででもその別会社の奴頼った方がよくないか? 今日明日ヤレの世界で設定してぶっつけで接続できるとは思えないけどな どうしてもってなら フレッツなら2セッション使えるから一つの回線で2台つないで検証してった方がいいぞ
636 :
anon :2011/12/12(月) 23:10:50.17 ID:???
>>627 に罪はないのかもしれないが、ここで質問してるレベルを見る限り
ネットワークの管理者と呼べるレベルじゃとてもない。
個人的に教えることはできなくはないが、普通はこのレベルって業者に任せるレベルよ。
前の担当者が逃げ出す訳だ
638 :
hoge :2011/12/12(月) 23:48:24.34 ID:???
しかし、管理者としては素人でも2chは玄人ですかw 通信技術板では、リモホ晒しませんとw
639 :
hoge :2011/12/12(月) 23:50:33.12 ID:???
素人は素人らしくリモホでも晒してくれれば、まあ教えがいもあったんだろうがwww
よく見たらグローバルアドレス割り当ててもらってるのか?
今までVPN張ってなかったから同じネットワークだと思ったんだが
それ前提で話し動いてたのか?
>>634 で掛け合ったときにせめて自分のスキルにあわせて日程組めばよかったんじゃないか?
これだと素人SEが出来ますって言って
2chにPC詳しいから任されましたって丸投げするパターンと同じじゃないかw
とりあえず2点間でなら設定集あるからとりあえずそれぶち込んで
IPsecで通ってりゃとりあえずクビにはならんしょw
>>640 最初の3行わかりにくいなw
グローバル割り当てる程計画的なのに
肝心の設定が・・・って事でw
どう考えても困ったら2chで質問しちゃう程度の技術力しかない人間にブン投げる奴が悪い
ブン投げる方もまさか2chで丸投げしてるとは思いもよらないと思うw
644 :
627 :2011/12/13(火) 00:54:32.62 ID:???
まぁ流れで言うと、 ネットワーク担当が丸投げ(元々他部署)で対応しないからお前やれ。 ⇒現場に入る。固定IPが無いから無理と逃げる(1ヶ月前) ⇒再度依頼が来るが、VPN張るには固定IPいるから(安定の都合で) 他のNW部署にふってくれ(2週間前) ⇒固定IP取得してきたらお前やれ。他部署に断られた。面倒臭いユーザーだから失敗するな。(先週) ⇒NW体系が全部同じなので無理です。他部署に振ってください。(4日前) ⇒NW体系全拠点変更するからお前やれ。(2日前) ⇒出来たか?出来たか?の催促の電話(私は昨日、今日は10日ぶりの休日でした。) 正直5日前まで他部署に依頼してるから、私には全然関係の無い話だと思ってた。 今では後悔している。 マジでIP晒すからリモートでやってくれと頼みたいレベルです。 とりあえず会社行って来る。。。
645 :
627 :2011/12/13(火) 01:00:35.54 ID:???
ごめん。あとStatusランプが点灯する原因を教えて下さい。 現状として、インターネットには接続できていて、ネット使える。 show ipsec saでVPN張れてるのは見れる。(isakanpとか出てる) この状態で出てる原因って、エスパー回答だと何がありますかね…。
>>638 2chなんだから、大半がそんな奴なのは当然だろ。
とりあえず、
>>638 ,639が意地の悪い奴だと言うのはわかった。
ま、それも2ch。
648 :
627 :2011/12/13(火) 01:05:07.88 ID:???
今までは設定つってもINSばっかでリモートセットアップで入り込んで どこからでも設定変更も楽々だし、2拠点通信だって簡単だったのに、 正直今回の光回線導入に伴うVPN構築の案件は、設定ミスってたら 再訪問しなくちゃいけないし、もう正直わーーーー!!って状態です。 ほんますみませんでした・・・。
まぁご愁傷様ってところだね とりあえず各拠点のアドレス変更できるのであればほぼ設定例通りでうまくいくから 2拠点VPNで頑張ってみ それから拡張してけばよい あと、sshとネットボランチdnsセットして入れるようにしとけば試行錯誤でなんとかなるっしょw ヤマハの設定例集はかなり優秀で豊富だからわかるようになったらヤマハでよかったと思えるよw
650 :
627 :2011/12/13(火) 01:07:21.79 ID:???
>>647 多分接続先のルータに対してPing応答が無いから、
トンネルは張れてても、通信が出来ない⇒ステータスピコー
だと思います。マニュアルにある通信が取れない場合が理由ならば。
651 :
627 :2011/12/13(火) 01:09:09.87 ID:???
>>649 ありがとうございます。
今回の件がうまく行けば自信になると思います。
「STATUSランプ」点灯時には、「かんたん設定ページ」で障害の発生場所を確認することができるため、 ネットワークに不慣れな方も的確で迅速なトラブル対応が可能です。 だってお
>>651 あと楽したいなら
フレッツ前提だけどVPNワイドお勧めw
654 :
627 :2011/12/13(火) 01:17:49.97 ID:???
>>652 かんたん設定ページで障害発生場所を確認する事が出来ないって事は
ネットワークに不慣れな初心者以下って事かorz
ちなみに、ppは接続中、tunnlel1は接続中、2と3は未接続。
ネットワークって難しいですね。
655 :
627 :2011/12/13(火) 01:19:26.27 ID:???
>>653 それで逃げたこともあります。あれ便利すぎ。
57iと58iで30拠点くらいある事業所をやったことあるけど、
何も考えずにルートとユーザー名パスワード入れるだけでOKなんだもんなぁ。
ただ、東西またがっちゃうから今回はあかんねん...
>>644 わざわざ「〜〜だからできない」と言ってたのが敗因だね。
〜〜を解決されてしまうと受けざるをえない。
しかし、〜〜を次々と解決してくる所を見ると、この丸投げerは
結構ネゴ能力高いのか?
実は恵まれてる環境なんでは?
>>654 それで解答を得るにはエスパーになるしかないと思う・・・・
tunnnelをenableにしてるか!? とエスパーしてみる
>>655 東西接続オプションってのがあった気がしたが?
コストの問題?
またがって且つ切れては困るならプロバイダー経由の片側動的アドレスよりは遙かに安定してるから説得してみては?
660 :
627 :2011/12/13(火) 01:29:15.02 ID:???
うおー!なんか分からんけど、Statusランプ消えた! 通信も取れてる! ちょっと会社に納品してくる!
>>655 なんか話しかみ合ってないかな?w
俺の知識だと58iとかはトンネル最大4つしか使えなかった気がしたがw
IPIPトンネルじゃないって事か?
>57iと58iで30拠点くらいある事業所をやったことあるけど お前普通に業者のSEだろ??
627の要求というか拒否の理由も聞いてもらえてるところを見るに 一方的に押しつけられたと言うにはちょっと無理あるような気も… 逃げ切れるとの目算で何も準備してなかったらそんな都合良くいかなくて 時間がないから手っ取り早く2chに来たりしてたら 実は大したことなかった←いまココ?
つか業務上「××しないとできません」ってに言うときって
普通はその点がクリアになれば出来ますよ、と同じ意味だし。
出来るか出来ないかろくに調べもせずにテキトーなこと言ったのに
会社の方は上げられた問題点全部クリアしてくれたんだろ?
普通の感覚で言うとすげーやさしい会社じゃん。
>>627 がダメ社員だということを見抜けなかったダメ上司が唯一の問題。
665 :
sage :2011/12/13(火) 11:01:57.29 ID:???
>>644 できない理由を見つけることばっか考えてさ
アホだな
零細企業だとして、「固定IPとか色々必要だから」って理由で
社長の法人クレカ借りてチャッチャと作業しちまえばいいんだよ
666 :
627 :2011/12/13(火) 23:57:13.89 ID:???
>>661 トンネルじゃなくて単なるフレッツグループです。
あれは画期的過ぎる。
>>662 VPNに関しては他部署が設定するから、
私のやる次元はせいぜいNWカメラ外から見れるようにしてくれだの
インターネット繋がる様にしてほしいだの、そんなレベルなんですわ。
あと今日なんとかうまく行ったわ。
結局3箇所くらいミスってて現場で3時間はまったけど…。
ありがとうよみんな。
667 :
627 :2011/12/14(水) 00:00:28.32 ID:???
ちなみに、はまった箇所を言うと、 dns server pp 1と入れてたんだけど、固定IP特有なのか自動取得やのうて、 トンネル張れてるのにネットに繋がらない。。。みたいな事になってた。 色々勉強になりました。。。
君の業種と部署名を知りたいw
>627 乙&おめ。よくやった
そんなに要求通るならINS一本と中古RTX1000用意してもらったほうが 良かったかもね
データコネクトでよくね?
つか人的要求は通らないけど他の要求通るなら 自分でやった実績あるフレッツグループでやればよかったんじゃね? 時間内でおわるっしょ?
何だかんだで優しい奴多いよなココ… 逃げまくって、向上心無いやつなんて正直どうでもいい
流石に 「つぎどうしたらいいんですか」とか 「これであってますか」という流れにはさせなかったw
N1200のファームとRTXなファームのバイナリを散歩してみた。 38,39,3A,3Bがマジックコードだというのがわかった。 MD5ハッシュの範囲やハッシュの格納位置はまだわからん。
なんか意味あるの?
カスタムファームウェア作るとか、シスコみたいにソフトウェアルータ動かすとか
PCルーターでええやん
680 :
anon :2011/12/18(日) 15:56:27.20 ID:???
何で動作する?
ワロタ
念動力
684 :
名無しさん :2011/12/22(木) 11:26:01.49 ID:???
>>676 NTTのファームとヤマハのファームって違うの??
>>684 機能的にはどうか知らないが、いちおう異なる。
NTTにヤマハのファームウェアを入れることはできないし。逆もできない。
686 :
名無しさん :2011/12/22(木) 12:04:56.04 ID:???
NTTのファームは、更新遅くて、大変だよ。
なぜわざわざ別ファームにしたのやら? NECむけOEMはラベル張り替えただけだよね
NTTの要件が別ファームとかに変更できないことだから・・・ 昔、別メーカーのOEM品がファーム書き換え簡単にできて、 サポートが対応できなかったから NECはラインナップの必要性でIP38X名で売ってるだけ
>>687 OEMって普通そういうもんだろ?
サポートは全てOEM先が受け持たないと
OEMの意味がない
違う場合の方がむしろ例外的
690 :
名無しさん :2011/12/22(木) 23:43:11.39 ID:???
NTT向けのは、独自仕様とかにして、元有った機能を削除とかしてるからだろ。
やばい機能か? FUSI***
RTX1200で特定のMACアドレス1台だけルータにアクセスできないようにハブる方法ってどうやるんでしょうか?
ethernet filterでrejectすればいい
そのぐらいマニュアルに載ってるだろ
692です。
説明不足でした
>>693 で除外してもDHCPに登録されてしまうのですが、
そちらを登録されないように除外する方法は、ありますか?
DHCP使いたくないだけならクライアントに直にIP振るとか
L2のセグメント内で通信させたくないってこと?
今dnsmasqでやってることなんですが、特定のドメインだけ指定したDNSを参照させるのは dns server select 1 dns.example.com any youtube.com って感じでしょうか? あとcurlとかwgetみたいなものって入っていませんか? そういったものがあればDDNSの更新をルータで完結させられるのであると助かります。
699 :
名無しさん :2011/12/30(金) 17:28:03.11 ID:???
RTXや、RTってDDNS 機能無かったっけ??
ネットボランチDNSなー
701 :
名無しさん :2011/12/31(土) 11:06:57.82 ID:???
1000,1200 とかにも有るのかな。
>>701 あるよ。
1000、1100、1500は古いファームウェアだと無い。
それ以降の機種にはあるはず。
RTX2000には無かったかも知れない。
703 :
ななしーぬ :2012/01/07(土) 12:53:48.46 ID:???
正直竹島とかどうでもいいから韓国と関わりたくない。
704 :
名無しさん :2012/01/07(土) 15:05:41.88 ID:???
アホか。 そんなの許したら、何でも侵略されるぞ。
RTX1200 Rev.10.01.36で L2TP/IPsec速度改善きたか L2TP/IPsecでNATトラバーサルに対応した。 L2TP/IPsecでファストパスに対応した。 以下の条件に合致するパケットはノーマルパスで処理される。 フラグメントされているパケット フラグメントする必要があるパケット PPインタフェースでCCPにより圧縮する必要があるパケット PPインタフェースでVJC(Van Jacobson圧縮)をする必要があるパケット L2TP/IPsecで、ノーマルパスでのTCPスループットの改善を行った。 PPTPのanonymous接続とL2TP/IPsecのanonymous接続を併用できるようにした。
どれくらい速くなったか人柱よろ
マジか やっと買える
保全
au iPhoneから試してみて、L2TPでまともな速度出るようになったな。NAT-Tの設定だけいれたけど、これでトランスポートも対応らしい。
ipsec sa policyの暗号アルゴリズム 認証アルゴリズムって androidだと何設定したらいいの?
>L2TP/IPsecでファストパスに対応 ってどういうこと。 IPsecって、もともとハードウェア処理だったんでしょ。 IPsecにかけたフィルタ処理が高速化されただけなん?
ハードウェア処理って暗号の部分だけっしょ?
結局SPモードではつながるようになったんだっけ?
MLで中の人が繋がるようになったと言ってる
>>712 ファストパスって、フィルタ処理の高速化のことだけを行うの?
>>716 IPsecのハードウェアエンジンって
パケットの暗号化・復号化しかしねーぞ。
UT-VPNの実装ができたようだからもはやどうでもいい
>UT-VPNの実装 RTXに実装された?
NATトラバーサル利用してSPモードで接続できる事を確認した 以前と比べてのスピードはしらんが PPTPとくらべてandroidでのRDPの使用感はサクサクって感じでつかるレベル
RTX810のリビジョンアップ、マダー?
やった〜〜。かなり改善しているみたいですね。 俺も L2TP/IPsec設定、今週末にやってみよ iPhone WiMaxからの接続で、PPTPと同等程度の速度出れば恩の字だな
>L2TP/IPsec って、どういう意味ですか。 両方ともvpnで使うものだとわかりますが、 同時に使えるものなのですか。 iPhoneって、どうしてL2TPなんでしょうか。 Windowsって、どうしてPPTPなんでしょうか。
ファストパス、ノーマルパスはパケット転送処理。 その中には、フィルタ処理とルーティング処理が含まれる。 暗号・復号処理は含まない。 基本中の基本。
>>724 TCP/IPと同じ意味。
別にiPhoneでもPPTPは使える。
WindowsでもL2TPは使える。
728 :
anon :2012/01/14(土) 22:12:25.43 ID:???
L2TP/IPSECってのは L2TPとIPSECを併用するって意味。 L2TPは元々PPTPやL2Fの流れを汲むリモートアクセスのためのプロトコルだけど 暗号化や認証といったセキュリティ面の実装が貧弱だから IPSECを使うことで補っているという具合。
>>728 PPTPに対してのアドバンテージはなんですか?
L2TP/IPsec試してみた
iPad→WiMAX→インターネット→RTX1200→折り返してインターネットへ
一応、↓の設定にしたがって、PPTP、L2TP/IPsec両方接続できるように設定
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html#setting2 認証に要する時間も、接続速度もL2TP/IPsecが圧倒的に早い
感覚的に、PPTPは明け方の回線が空いてる時間であっても、2Mbpsを超えるくらいで頭打ち
L2TP/IPsecは、回線さえ空いてれば10Mbps超の速度が出る
WiMAXの回線速度が足を引っ張ってて、NomalなIPsec並みの速度が出るかどうかは未確認
がしかし、なかなか良い感じです
>>728 そんな器用なことができるんですね。
でもやっぱり、それぞれのプロトコルが互いを意識して作成されているわけではないんでしょうね。
スーパープロトコルのようなものが、二つを協調させているんかな。
>>729 WINDOWSで標準で使えて、YAMAHAルーターとの相性も良いみたいですね。
以前スタンドアローンのWINDOWSを外部ネットワークに接続するときに使ってたことがあった。
>>730 やっぱり、RTXのPPTP機能が汎用cpuでソフトウェア処理されて実現しているから、
2Mbpsしかでないんだろうと思った。
いっぽう、IPsecと協調する場合はRTXが暗号化復号化をハードウェア処理するので早くなったのかと思った。
>>729 PPTPは総当りとか、単純な手法でもあっさり解けちゃうから
パスワード解析ツールもあるし・・・
736 :
anon :2012/01/15(日) 09:57:00.57 ID:???
>>732 IPsecで安全になった土管の中をL2TPでやりとりする感じ
L2TPのみでの接続もセキュアじゃないけど可能(YAMAHA機器で出来るかどうか知らないけどね)
737 :
sage :2012/01/15(日) 10:46:26.86 ID:???
IPSecは総当たりにつおいの? PPTPでも相手先を固定IPで絞ればいいし
接続先で弾く以外は 総当たりや辞書攻撃は強いパスワード使うしかないでしょ あと、ルーターの手前でIPS入れるとか ツール類使われるのはパケットスニファリングできる環境だから ISPでされる確率よりも自社内でされる確率の方が高い 物理的なセキュリティの方でまず対策するべきだな
>>732 スーパプロトコルじゃなくてIPsecの仕組み的に可能なだけ
>>729 より高度なセキュリティとハードウェアによる暗号処理が可能
L2TP/IPsecを出した当初は、展示会に向けての間に合わせだったのかも知れないね やっと本来の姿になってくれたか
「業務向けルーター運用構築」のスレなのに PPTPとIPsecの違いを教えてくれとかって質問に… 優しい人の多いスレだな〜w
>>743 PPTPと同列に語るのはIPsecじゃないだろ
>■仕様変更 >1.L2TP/IPsecでファストパスに対応した くどくてすみません。 L2TP/IPsec機構が扱うそのカプセルパケットのルーティングやフィルタ処理がファストパスになったってことでしょうか。 でも、それだったら、 L2TP/IPsecでもカプセルパケットでも、それらはipパケットなんだから、 別段に考慮しなくてもファストパス処理されるんじゃないのかと思った。 今回のファームアップって、L2TP/IPsecカプセルパケットをノーマルパスで通るように仕掛けてあったのを、 解除しただけってこと??
747 :
729 :2012/01/15(日) 21:03:09.07 ID:???
>>739-740 ありがとうございました。
IPsecが、L2TPフレームに乗っかってVPNされることを考慮してたってことですね。
IPsecって、IPプロトコルの拡張らしいし。
ちゃうちゃう IPsecは2点間の暗号化や改ざん検知を担当するだけ その2点間の暗号化通信の中でL2TPがトンネル掘る感じ IPsecによりL2TPパケット全体が暗号化されてる
逆だったのか
IPsecによるトンネルだけではなぜかうまくいかないことになるので、 その上で、さらにL2TPによってトンネルを張らせるって理解になるのかな。 だったらじかにL2TPでトンネルを張ればいいのかなって思うけど、 暗号化の仕組みが備わっていないので、IPsecを使うということになるわけだ。 うーん、L2TPが不可欠になる理由が知りたい。
拠点間のVPNならIPsecのトンネルモードでもいいが PPTPのようなリモートアクセスVPNで必用なユーザー認証や 相手側ネットワークの取得や設定する機能が IPsecでは標準でサポートされてない(XAUTHやmode-cfg機能) つまり、スマホのような単体クライアントから直接VPNサーバーに接続するにはIPsecには向かない そこで暗号部分ははIPsecに任し L2TPでPPPのIPCP利用してIPアドレスやDNSサーバーやwinsサーバーの設定したり PPPのユーザー認証使ったりするのにL2TPを使ってる もちろんトンネルも掘ってIPプロトコルやIPXやその他プロトコルも通すこともできる
>拠点間のVPNならIPsecのトンネルモードでもいい >相手側ネットワークの取得や設定する機能がIPsecでは標準でサポートされてない(XAUTHやmode-cfg機能) なるほど。レスありがとうございます。 スマホのような、あるネットワークに参加させる機器の場合は、 ネットワーク情報などの取得が標準で可能なL2TPプロトコルを利用する必要があるわけですね。 しかし、RTXなんかのVPNルーターで拠点間VPNを構築する場合には、 そういう対象ネットワークとのやり取りが不用なので、IPsecだけをうまく利用してトンネルを構築しているわけですね。 スマホでL2TPにこだわる必要がある意味がわかりました。 ところでPPTPもL2TPの上に成り立っているのですよね。 だから、PPTPを使えば端末をネットワークに参加させられるようになりますね。 だけど、PPTPの場合は、相性の問題で暗号化でIPsecを選べないということになるのだと思いました。PPTPプロトコルが柔軟ではないんかな。 一方で、L2TPは柔軟に作られているので、IPsecとの相性が良いわけだと思いました。IPsecもL2TPを意識して構成されたのかもしれないですね。
>>752 多分ものすごい勘違いをしていると思う。
一度ちゃんと調べて理解し直すことを勧める。
>ところでPPTPもL2TPの上に成り立っているのですよね 勘違いでした。名前が似ていたのでいつのまにか誤解していたようです。 PPTPはマイクロソフトが作成したもので、L2TPとは全くの別物でした。 今後、L2TP on IPsecになっていくだろうと言われていました。 それが今なのですね。 Layer-2 Tunneling Protocol(L2TP)ですから、Etherフレームの代わりに、 レイや3以上のIPパケットをトレイルするようですね。 しかし、L2TPフレームをトレイルするのはIP(IPsec)なのだというわけですね。 分かってきました。ありがとうございます。
756 :
ano :2012/01/17(火) 23:55:03.22 ID:???
質問 NTT西で光ネクストハイスピード V6オプション?? だけ契約すれば V6のVPN通信ができるの? フレッツグループを契約しないで V6のアドレスをIPSECの宛先に指定するとか
757 :
a :2012/01/18(水) 00:06:36.71 ID:???
758 :
ano :2012/01/18(水) 08:55:20.59 ID:???
できるんだ ありがとう
759 :
ano :2012/01/18(水) 22:33:30.90 ID:???
もう一度質問 通常は光回線とフレッツグループを契約して PP1はインターネット PP2はフレッツグループ IPSECなんかでトンネルしてVPNを構築しているのだけど ネクストとV6オプション(無料?)だけ申しこめば V6ネームとか言うのが貰えて そのネームめがけてトンネルが作れるって言うことなの?? インターネットは通常のPPPOEを使用できるのですか? V6対応じゃないとダメかな・・・・ どっちにしても 光ネクスト同士ならYAMAHAで VPNワイド契約しなくても VPNを構築できるって事でOK? 無知ですんません あ、西日本です
761 :
ano :2012/01/18(水) 23:51:37.33 ID:???
ログ確認して やっと半分くらい 理解できた・・・ 光ネクスト同士なら VPNワイド料金 1800 いらなそうだね
NATトラバーサルを用いたL2TP/IPsec接続に対応したことで winからも完全に接続できるみたいだな VPNクライアントソフト切り捨てたかw
今のややこしい時代、求められるのは標準化なんだよな。うん。
普通に本体売れないとオプションソフトどころじゃないもんなw スマホの売れ行きみたら当然といえば当然かな
スマホが、業務用ルーターを変えたわけか。 なるほど。
スマホって、L2TPを搭載しているってことは、IPsecも搭載してるってこと? すげえな。CPUフル稼働じゃね?
ルーター側ですらアクセラレーターの援助受けてるんだから、 スマホもアクセラレーター頼みだろう。
768 :
-+- :2012/01/23(月) 14:45:29.73 ID:???
しかしスマホ側のセキュリティ問題?がどうにかならないと企業も導入が難しいだろうな。 主にAndroidの権限の話なんだが。 アプリからバックグラウンドで情報送信出来てしまう現状では怖すぎる。 次期のAndroid4.xからは意識的に通信を制限できるらしいけど。
ああ、そのためにカーネルレベルで、L2TP with IPsecが必要だったんだ。
L2TP修正版きたな RTX1200 Rev.10.01.38
>>768 そこ結構盲点だったんだけど
iOSは似たような問題なし?
リモートデスクトップクライアントソフト大丈夫かなと
不安になったりするんだが。
iPhoneの方はappleの厳正な審査があるはず
厳正と言いつつ、テザリングアプリをうっかり通してしまってるけどな
>>766 対地1箇所のIPsecのcpu負荷などたかが知れてる
RTX1200のリソース統計、cpu利用率見ても、数カ所程度の接続だとグラフは地を這ってるよ
>>774 RTXは、アクセラレーター処理しているからじゃないの
RTX810 ARM 450MHz 128MB 16MB 2011年11月 RTX1200 MIPS 300MHz 128MB 16MB 2008年10月 えっ!
rtx1200は、開発費を除いてボッタクリということ?
あくまでRTX810は1200よりは下位機種。 能力は劣るとMLで中の人も言ってた。 単純にクロック数だけで比べるものじゃないよ。 あくまで参考値。他のハードウェアは考慮されていない。 たとえば、RTX1500はMIPS 200MHz 128MB だが、 パケット処理能力はRTX1200の倍近くあるんだぞ。
>RTX1500はMIPS 200MHz 128MB だが、パケット処理能力はRTX1200の倍近くある WHY? IS THERE ANY TRICK?
>>780 IPv6とか絡んでいるんだね。
6は、まだ勉強していないからわからないなあ。今年中に、設定を含めて勉強したい。
>>
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html >ip filter 10 pass * * tcp * 6000
>ip filter 11 pass * * udp * 7000
>ip filter 12 pass * * udp * 8000
>ip filter dynamic 1 * 192.168.0.128 filter 10 in 12 out 11
>ip pp nat descriptor 1
>ip pp secure filter in dynamic 1
>6000番宛てのTCPコネクションがトリガーとなり、
>トリガーと同じ方向の7000番宛てのUDPコネクションと、
>トリガーと逆方向の8000番宛てのUDPコネクションを通すという設定です。
これ、説明どおりの挙動にするなら、どう考えても、
in 12 out 11は、in 11 out 12 になると思うのだけど。
俺の勘違いを解きほぐしてくれ。
お願いします。
当時仕入れられたCPUによると思うけど 今MIPS 300MHz仕入れるよりARM 450MHzの方が価格安くて安定して供給されてるんじゃないの? 暗号化部分やパケット処理部分のチップはさらに別に積んでるだろうし
パケット処理は、CPUで処理していないんだね
ARMとかMIPSとか言った所で、SoCのコアだけの話な訳で。 実際使ってるチップに載ってる機能によるとしか。 RTX1000系はパケットエンジン持って無くて、全部CPUでのソフト処理だし、 RTX1500はHWエンジン積んでるし。 つか、YAMAHAの技術情報を信じると、RTX1200もHWエンジン積んでないのか? RTX1000系でくくられてるが。 YAMAHAはクラスによってARMコア使ったりMIPSコア使ったりしてるが、 面倒じゃないのかな・・・ 今売られてるのだけでもARM系/MPIS系/PowerPC系と 組み込みCPUのコア、網羅してる状態なんだけどw NECのIXシリーズなんかはPowerQUICC系を一貫して使ってたりするけど。
一部はしてると思うが全部ではないしょ 説明に ギガビット・イーサネットサービスにも対応する「RTX2000」では、パケット転送専用のCPUであるマイクロエンジンを6個搭載し、ファストパス処理を行っている。 ってのもあるし PCで言えば暗号化以外でもNICにCPU負荷下げるようなの積んでるしょ
>>787 組み込みOS使ってればCPUの差異ってそんなに気にならないんじゃないの?
791 :
-+- :2012/01/24(火) 11:04:53.28 ID:???
>>771 iOSは解析が非常に困難だから・・・表に出てないだけかもしれんし。
似たような事例では純正で入ってるキャリアIQの件があったから不可能ではないよね。
FWのようなセキュリティソフトが出てきたらそれはそれで設定が大変なんだろうけどw
>NICにCPU負荷下げるようなの積んでるしょ ああ、そういうのなんていうんだっけ。 ど忘れした。 ところで、YAMAHAのドキュメントで、いっつもアスキーで図を示しているんだけど、 あれって、印刷するときにページが二つに跨って分断されていやだ。 画像にしてほしいっす。
>>787 >RTX1200もHWエンジン積んでないのか?
そうなの?
RTX1500が廃盤になってしまって、RTX1200をメインにしようかどうか迷っているが、
性能差は大きいんだろうか。
RTX1500はIP電話のショートパケットの処理が得意だったと聞くなあ。
マイクロエンジンの有無もスペック表に書いてくれたらいいのにね
>>793 YAMAHAの技術情報にははっきり書かれてないから、
本当のところは分からん。
けど、64byteで100kpps越えしてる所見ても、
何かしらのパケットエンジンは持ってるんじゃないかなぁ。
RTX1500とRTX1200だが、
公式の結果から行けばRTX1500が238kppsに対し、
RTX1200は120kpps(どちらも双方向)
らしいので、能力的にはRTX1500のが上ぽいが、
ttp://www.ginzado.ne.jp/archives/443 こんな結果もあったりする。
でもまぁ、ショートパケットで帯域使い切る様な
激しい使い方をしない限り、どっちも大きくは変わらない気がする。
つか公式のRTX1500のpps、なんか高すぎないか・・・
L2TPみたいに機能追加もあるし 今後のファーム対応で考えたら新しい方が良いと思う
797 :
780 :2012/01/24(火) 17:53:02.34 ID:???
>>784 ありがとうございます。
ひかり電話なし契約なのでそっちで設定しています。
設定例をみても、今までの普通のv4設定に
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
ipv6 lan1 mld router version=2
ipv6 lan2 mld host version=2
が追加になってるだけっぽいので、v6のDNS等は関係ないという認識でした。
RAというのが何かもわからん素人なので、もう少し勉強してみます。
802 :
801 :2012/01/25(水) 01:25:16.22 ID:???
>>800 うんにゃ。
記事のRTX1000はBrecis社のMSP2000というネットワークプロセッサ
を乗っけてるけど、CPUはこのチップに統合されている(System on a Chip)。
だから、>787氏は
> ARMとかMIPSとか言った所で、SoCのコアだけの話な訳で。
と述べている訳で。
>>799 >in キーワードはトリガの方向に対して逆方向のアクセスを制御し、out キーワードは動的フィルタと同じ方向のアクセスを制御する。
INとOUTという言葉は、一般的には、
あるインターフェイスについてカーネル向きをINと言って、逆をOUTといいますよね。
でも、動的フィルタの場合はトリガの方向をOUTと言って、逆をINというわけですか。
勘違いしていました。
トリガの方向がOUTで、それによって逆方向、すなわちIN側にPASSフィルタが動的設定されるわけですね。
たしかに、インターフェイスと、フィルタとは立場が異なるものでした。
それぞれに異なる、IN,OUTという概念があるとわかりました。
ありがとうございます。
>>801 確かにパケット処理の一部は、オフロードしてはいそうだね。
DataSheet読めないんで、何をオフロード出来るのかは分からないけど。
ただ、PowerQUICCのCPMみたいなもんじゃないから、
あくまでフロー制御はメインのCPU使ってやってるんだな。
それなら確かに、区分け的にはソフト処理だな。
805 :
780 :2012/01/25(水) 22:54:40.18 ID:???
ヤマハとひかりTV、両方のサポセンにサジを投げられたでござる。 M-IPS200というチューナーが糞な気がする。
>>797 RT107eのLAN側に接続したPCから
http://flets-west.jp/ (フレッツ 光ネクスト サービス情報サイト)へアクセスできてる?
IPv6フィルタで遮断していない?
ひかりTV端末がIPv4インターネット環境を必要としない物なら
ONUとRT107eの間にスイッチングハブを挟んでひかりTV端末を繋ぐ方法もあるよ。
この繋ぎ方でもRT107eのLAN側ネットワークとひかりTV端末は同じサブネットになる。
809 :
780 :2012/01/25(水) 23:40:22.98 ID:???
>>808 起動時に接続エラーになるので、表示されません。
ONUのケツだと大丈夫なんですが…
811 :
780 :2012/01/26(木) 00:13:10.19 ID:???
みなさんありがとう( ; ; )
http://flets-west.jp/ は確認してませんでした。
会社の事務所の話なので、また試してみます!
あと、ipv6プレフイックスというのはXPからでも確認出来ましたっけ?
>>811 IPv6の話をしてるんだからWin7かMacOSXLionかここ最近のBSDをもってこいよ
XPで確認しようとかあほか
xpは、対応していなかったっけ?
>>812 ん?XPは途中からかもしれないがれっきとしたv6対応OSなんだが。
そもそもBSDでのIPv6実装なんて、もはや昔話の類だろ。
なんで最新/最近のOSの話しかしちゃいけないってことになるんだ?
そういや、itojunさん亡くなってそろそろ5年か。
> ※Microsoft社製Windows OSのL2TP/IPsec接続はサポートしません。 えっ!本当? これは明らかに、意図された落とし穴だよね。 せっかく、WIN7からリモートアクセスしようと計画していたのに。 結局、UT-VPNでいいわ。
こんなことってRTX1200で可能ですか? YMS-VPN7を使ってRTX1200には問題無く接続が出来てる環境。 ルータは固定IP X.X.X.1 を持っていてクライアントの接続 元は動的IP。VPNの内部アドレスとしてクライアントには 192.168.1.100が固定で割り当てられている。クラインとは インターネットへの接続を全てVPN経由で行うチェックが入 っていて、全てのインターネット通信はルータのグローバル IP X.X.X.1 から行われている。 こんな状態でインターネットから X.X.X.1 に届いたパケッ トを全てVPNクライアント(192.168.1.100)に転送したい。 普通にスタティックNATかを書けば実現出来ますか? それとも何か制約があって出来ないでしょうか?
>>818 おれなら、一度やってみる。出来そうに思えるから。
スタティックナットで、特定ポート宛のパケットは、192.168.1.100に送られるようになる。
すると、それはルータ内部でさらにVPN処理されると思うから。
>>816 接続できたよ
安定もしてる
事前共有鍵win側でも設定した?
ちなみに NATトラバーサルを用いたL2TP/IPsec接続でないと無理かもしれん
>>819 ありがとう。
まだ要件を決めている段階なので採用されるか解らないけど…。
もし話が倒れて来そうになったら試して見るね。
L2TP/IPsecで接続したスマホでインターネットをする時は ・3Gの口(キャリア)から出る ・VPNルータ(プロバイダ)経由で出る って選択できるの?
>>820 windowsからも、L2TP/IPsecで、rtx1200につなげられるんですか。
825 :
816 :2012/01/26(木) 17:50:02.60 ID:???
>>820 あら、出来るんですね・・・設定見なおしてみます、ありがとう。
動作実績があるということなんで、がんばってみる。
ログ見てるとL2TPは成立してるっぽいので、あと一歩ぽい。
>>824 >>825 つないでみたのはrtx1200の最新ファームのひとつ前
PPTPよりもファイル転送のスピード速かった
androidとwindows7同時に接続させても問題なかった
いや、VPNクライアントソフト売ってる手前、サポートだけはしませんよって話では? 接続できませんとは言ってないって感じ
829 :
801 :2012/01/26(木) 22:33:32.01 ID:???
>>804 Product Briefには
> Integrated coprocessors for application acceleration
> ・Packet I/O processing, QoS, TCP acceleration
・・・とだけ。
PowerQUICCはちょうどヤマハのRTXシリーズと競合になる、NECの
IX2000/IX3000シリーズが採用していて全般的にあちらの方がpptは良いね。
#RTX1500を除く
ヤマハではRTX3000がPowerQUICCなのかな。
RTX3000がファストパスでは無い事を考えると、ちょっと興味深い。
830 :
801 :2012/01/26(木) 22:36:06.22 ID:???
訂正。 ×ppt ○pps
>>828 「・・・サポートしておりません」
「ではどうすればいいですか」
「専用ソフトがございます」
「・・・サポートしておりません」
「サポートがないってことだけですよね、使えるってことですよね」
「・・・さあ」
L2TP/IPSec対応したPacketiXVPNの方が速度出たぞ
PCのCPU利用してるから?
RTX1100でもL2TP/IPSec対応してね
835 :
816 :2012/01/27(金) 10:07:07.73 ID:???
改めてWindows7からL2TP/IPSec試してみたらあっさり繋がった。 どうも失敗してた時は、Android端末がつながった状態で、 同一アカウントでWindows側からも接続しようとしていたのが原因みたい。 orz お騒がせすまない。そして快適だコレ。助言くれた方、本当にありがとう。
>>823 そういう選択肢はAndroid標準では用意されてなさそうだよ。
root権限を取得した端末でなら自前でroute設定すればイケるかも?
838 :
816 :2012/01/27(金) 11:47:17.89 ID:???
>>835 自己レス。トンネルを一個しか用意してなかったのが原因のようだ。凡ミス過ぎる orz
>>837 AndroidでVPN繋いだ状態でIPアドレス確認サイトに行ってみたらVPN経由のアドレスが出た。
どうもVPN繋がってると全てそっちから流れるように思う。
>>838 わざわざご確認ありがとう。
このときDNSとかはどうやって解決しているんだろ?
>>816 さんはDHCPで色々な情報を配っている感じですか?
YAMAHAのサイトに出ている「L2TP/IPsecの設定例」では
DNSの設定を入れたりするところがないので…。
DNSは通常はルーターのアドレスを渡す dns notice orderの設定しだいだと思った
841 :
816 :2012/01/27(金) 13:06:28.49 ID:???
>>839 Windows環境の方で接続して ipconfig /all してみた結果だけど、
DNSとしてRTX1200自身のアドレスを貰っていたほか、
wins server 192.168.xxx.xxx で設定してたWINS情報まで貰ってるみたいだったよ。
842 :
816 :2012/01/27(金) 13:13:35.80 ID:???
肝心なこと書くの忘れてた。LAN内ではDHCP有効で運用してる。 でもVPN経由でつながったときはアドレスはDHCPではなく、 ip pp remote address pool 192.168.xxx.xxx-192.168.xxx.xxx の方で貰ってるので DHCPが働いてるかどうかは関係ないように思うのだけど…。
>>842 ありがとう。
それじゃルータの他の設定もそのまま配られるんだね。
近々RTX1200購入の予定なので環境作るのが楽しみになってきた。
IPCPのmsextオプションで渡せるもの渡す DNSに関してはdns notice orderで自分自身かdns serverに設定したアドレスかの指定が可能
ip pp remote address pool dhcp で動いてる場合は LAN上のPCもらう値と同じあたいを渡す
wanipが同一のwinxpからRTX1200にl2tp接続やっても2台目以降はダメだな wanipが違えば蹴られないでいく
そんな事は無かったが
クライアント側にルーター噛んでるとか?
それで接続できるぞ
そのための、ナットトラバーサルですよね??
852 :
- :2012/01/28(土) 14:44:11.30 ID:???
結局”クラウド”ってそういうことだから。 アプリケーションプロバイダに踊らされまくったツケはとんでもない形で跳ね返ってくるってこった。 サービス停止も意のままなんだからな。
>>846 iPhone、iPad2、iPod → WiMAX(WM3500R使用、VPNパススルーOFFにしてNAT-T有効)経由で RTX1200に L2TP/IPsecでのVPN3台同時接続出来てるよ
設定なにか間違ってない?設定見直し頑張れ!
>>852 > 結局”クラウド”ってそういうことだから。
「クラウド」を理解していないなw
私企業の作ったサービスに依存するってのが「そういうこと」
であって「クラウド」かどうかとは関係ないだろ
有料サービスでも終了する事あるのに 無料サービスだからどこかで利益ださんとだめだろ クラウドって言っても 自前でデータセンター複数契約して構築する分にはそういうリスクは分散される 金かかるけどなw
自分のところでは、dhcp scope lease typeの設定に bind-only指定してないのに、登録してないクライアントには、IPアドレスが割り当てられない不具合が発生 Rev.10.01.36で、DHCPサーバー機能を多少いじってるみたいなので、色々とトライ中
拠点ルーターとして、RTX810も候補に入れていた。 でも、RTX1200と比べて、小売価格は、2万円くらいしか変わらなかった。 性能差分としてとらえて、RTX1200に決定した。 スループットは、1200も810も、1Gだった。vpnスループットも同じ。 vpn対地数、 ファイアーウォールやNATのセッション数は大きく異なっていた。 やはりこれらは、処理速度にも反映するものと考えた方がいいのだろうか。 いちいち吟味するのが面倒くさいので、RTX1200を購入しようとは思っているが。
どういう使い方するとかも書いてないし 予算あるなら1200でしょ
VPNで1Gbps出るってすごいな
対地数が多くないなら810で良いと思う
うちは、動作時の周囲温度の関係で810だな。 今のところ、その点だけはYAMAHAでは唯一無二の存在。 もちろん今次期は関係ないが、7月〜9月ぐらいは40度を軽く超えるんだよなぁ。
RTX810のファンなしでの50℃対応はすばらしいね。
864 :
780 :2012/01/30(月) 22:47:22.28 ID:???
>>815 遅レスですいません。とりあえず今日、チューナーがONU直でのプレフィックスを確認し、同時にLAN側のPCではちゃんとプレフィックスを受け取っている事を確認しました。
あとは名前解決?時間あるときに、あんまり関係なさそうなフレッツスクエア用のpp2とかdnsも入れてみます。
プロバイダがなくても見れるサービスなので、勉強不足の私にはなんか不思議なんですが。。
>>860 VPNで1gbpsでないよ。
VPNのスループットが、810と1200とで同じということ。たしか、200Mb/sだったな。
>>864 それなら益々
>>807 が濃厚だよ。
M-IPS200がプレフィックスを受け取っているのなら
名前解決できなくてもIPv6アドレスは表示されるはず。
問題箇所を特定するために
>>815 の実験やってみては。
>>863 その一言で、RTX810の輝かしい長所が見えました。
RTX810はVPN数がなぁ…。 せめて20位有れば良いんだが。
たしかに、それは非常に気になる。 下手な買い物で銭失いになってしまいそうで・・・
SC-01DでL2TP接続できた人いますか? 他のスマホや テザリングしたwin7ならうまく行くのですが [IKE] wrong message format 48 48 58781 と吐いてつながってくれませぬ
RTX1200にL2TP/IPSecで遠隔地のWindoes7から接続してるんだが、 ファイルサーバから数十〜100MB超のファイルコピーなどをすると、よく途中で切れるんだ。 安定して接続できてる人ってこういう操作しても問題ないもんですか? こういう場合はどの辺から見直していけばいいかな…
今、300MB程度の動画ファイル2本を自宅鯖からWiMAX経由で落としてみたけど、途中でL2TPが切断されることなく完走 電波状況さえ良ければ勝手に切断される事など経験した事無いけどなぁ
キープアライブとか入れてたら外してみたら?
ルーターのログもチェックで
876 :
871 :2012/01/31(火) 15:02:57.29 ID:???
このスレの人たちやさしいね (ノд;) ホロリ
>>873 L2TPのほうはキープアライブありでIPSecのほうはナシになってる。設定例通り。
L2TPのほうも切ってみた方が良いのかな。ちと試してみる。
>>874 RTX1200側の回線はeo光の200Mプラン。Win7側はNiftyとinterlinkを使い分けしてる。
設定はここの4番のほぼそのまま真似。
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html で、Niftyのほうで設定変えずに、ファイルコピーと途中で止まるのを繰り返してると、
そのうち接続が切れた後に接続時にエラーダイアログが出るようになってしもうた。
> xxxxxxx.com ('WAN Miniport (L2TP)' 使用) に接続中...
> エラー 789: リモート コンピューターと最初にネゴシエートするときに、セキュリティ層で
> 処理エラーが検出されたため、L2TP 接続に失敗しました。
そこで回線をinterlinkに変えて接続すると、接続には成功。
そして再度ファイルコピーを試してみたけど状況かわらず、途中でデータが流れなくなっちゃう。
877 :
871 :2012/01/31(火) 15:03:42.87 ID:???
コピー中にデータ来なくなったときのログ取れたので貼ってみます。スレ汚し失礼。。。 14:49:48: [IKE] SA[6] change state to OLD 14:49:48: [IKE] inactivate IPsec socket[transport:3](outbound) 14:49:48: [IKE] SA[7] change state to OLD 14:49:49: [IKE] respond IPsec phase to 219.117.xxx.xxx 14:49:49: [IKE] add IPsec context [399] f9ac7e4583f449b8 00000002 14:49:49: [IKE] setup IPsec SAs (gateway[3], ISAKMP SA[5]) 14:49:49: [IKE] add IPsec SA[8] 14:49:49: [IKE] add IPsec SA[9] 14:49:49: [IKE] IPsec socket[transport:3](inbound) is active 14:49:49: [IKE] activate IPsec socket[transport:3](outbound) 14:49:49: [IKE] delete request from 219.117.xxx.xxx (SPI: f90246de), SA ID: 6 14:49:49: [IKE] IPsec socket[transport:3] is refered 14:49:50: [IKE] SA[6] change state to DEAD 14:49:50: [IKE] delete SA[6] 14:50:04: [IKE] inactivate context [399] f9ac7e4583f449b8 00000002 14:50:04: [IKE] delete IPsec context [399] f9ac7e4583f449b8 00000002 14:50:19: [IKE] SA[7] change state to DEAD 14:50:19: [IKE] initiate informational exchange (delete) 14:50:19: [IKE] delete SA[7]
878 :
871 :2012/01/31(火) 15:13:38.78 ID:???
ごめん、説明にまちがいがありました。設定内容はさっきのURLの設定例3、 > 設定例3:NATトラバーサルを利用したL2TPクライアントの接続を受け付ける場合 それからL2TPのキープアライブをオフにして再度検証してみたけど、やはりコピー中に止まるみたい。
NATタイマーあたり?
>>868 RTX810で足りないって、業務用の中心拠点用ですか?
小企業なら L2TPとかリモートアクセス系もやるなら少し心もとないかもね
>>861 そうだね。うちも、メッシュで組んでいる。
必要なモノがすべて中央にはない場合もあるから、
メッシュで拠点と直結していた方がアクセスが早い。
>>877 ログ読んだけど、
SA6,7がoldになり、代わりの8,9が用意されてこれに更新され、
そうして、6,7がdeadになってdeleteされている。
変な感じはしないな。ここって、本当に切断されたときのログ?
WIN7のエラー
>>876 にある「セキュリティ層で処理エラーが検出されたため、L2TP 接続に失敗しました。」
っていうのは、カプセルであるIPsecパケットをどこかで落としてしまったということだろうか。
IPsecって、パケットを欠けさせて連続性を失ったら、そうなってしまうんだろうか。
(詳しい人、教えて)
>>879 は、NATタイマーだというが、でも、ファイルの送受信中なんでしょ。
だったら、NATタイマーが0になってしまうなんてことはならないんでは。
885 :
- :2012/02/01(水) 10:59:35.09 ID:???
知識が無いから表現方法が間違ってるかもしれんが、 センターアクセス型で拠点同士の通信と判断したらセンター経由ではなく 自動で拠点間の直接通信になるような仕組みがほしいな。 オープンソースのAsteriskっていうIP-PBXがあるんだけど、これがそういう仕組みになってる・・はず。
OSPFでも使えば?
887 :
871 :2012/02/01(水) 12:38:25.54 ID:???
みなさんアドバイスありがとうございます。がんばります。
データがこない状況が2通りあったので改めて…
1.エクスプローラ上でのファイルコピー中に、データが来なくなる。
この状況のときは、VPN自体は問題なくつながったまま、コピーだけが途中で止まる。
RTX1200へはブラウザでアクセスできるし、他の通信も通っているが、
Microsoftネットワーク共有だけは一度こけるとなかなか復旧しない。
2.VPN自体が突然切れてしまう。
上記1の状況を受け、ファイルコピーを FileZilla を使ったftpでの転送に変えたところ、
Microsoftネットワーク共有に比べて安定してデータが来るようになった。…が、
まれに突然VPNが切断され、再接続ダイアログが出てくる。頻度は低く、再接続はすぐにできる。
なお大量データ転送中かどうかには関わらない様子。
>>884 >>877 のログは1の状況のときのものでした。すみません。
データが来なくなった前後の行は時間があいてましたので、
SA切り替わる時の弾みで共有がコケて復旧できなくなったのかな?と予想してます。
アプリケーション層よりの話になるとルータのログには残りませんよねえ・・・。
2の状況についてもう少し掘り下げて追ってみます。
>>885 「ダイナミック・ルーティング」をぐぐってみよう
>>887 ping 192.168.X.Y -t
というようなコマンドをMS-DOSウインドウで実行しながら、ファイル転送してみてはどうだろう。
アプリケーションレベルの接続が切れたのか、IPレベルなのかの判別ができると思う。
IPレベルの接続断だろうとおもうのだけどなあ。
890 :
871 :2012/02/01(水) 19:59:00.36 ID:???
>>889 アドバイスありがとうございます。
>>887 の1、2 いずれの状況も再現が取れました。
ping の状況は 1のときは通じており、 2のときは(当然ですが)切れています。
そのほか、連続 ping したまま他に何も転送せず放置したところ、
数分に1度程度、「要求がタイムアウトしました。」が一行だけ出ることがあります。
連続してタイムアウトになることはなく、次からは応答が得られているのですが…。
VPN自体だけでなく双方のマシンやLAN環境も可能性として考慮しといたほうが良いですかね…?
>>890 pingが歯抜けになってるんですよね。
877のログでも、884が「更新されて」とも言ってるように、
IPsecのトンネルが一度切れてまた再接続してるから、
ところどころでpingが切れたように見えます。
キープアライブのパラメータがそろってなくて
対向応答なしとみなされちゃって切ってる、あたりじゃないかなと思いますが。
もしこれなら、明示的な通信をせず、IPsecだけつないで、放置してみて下さい。
ログでは定期的にadd,deleteを繰り返すはずです。デフォルトは1分でしたっけ?
l2tp tunnel disconnect time off l2tp service on ipsec ike keepalive use N off l2tp keepalive use off
893 :
871 :2012/02/01(水) 23:42:51.00 ID:???
>>891 ありがとうございます。
場所移動したので、手持ちのAndroidからau 3G経由のIPSecでテストしてみました。
>>892 に指摘いただいた設定のうち、l2tp keepalive がオンになっていたので、
l2tp keepalive use off に加え、 ipsec auto refresh off しました。
結果ですが、接続から1時間ほど経過、順調に接続が維持されています。
何もせず放置していても特に切断されることもなく、
連続pingを試しても、歯抜けになることもありませんでした。
ログについても、接続以降には、VPN関係のもの(IKE、L2TP、SAなど)は見当たりません。
明日改めて光回線のほうでテストしてみます。
>>892 どういう効果があるんでしょう。
何をねらった設定?
>>892 ipsec ike keepalive use N off
l2tp keepalive use off
の狙いがよくわかりません。
>>888 ダイナミックルーティングを構成しても、vpnはメッシュで予め構成しないとだめだよね。
vpnをメッシュで構成したうえでの話だよね、それは。
メッシュの場合の煩雑なスタティックルート設定がなくなるってことだよね?
それはVPNのプロトコルと設定次第じゃないかな
うそだ
あらかじめ構成したとこ以外と通信されても困るし
901 :
871 :2012/02/02(木) 12:05:51.09 ID:???
nifty回線でWin7からのテスト結果です。
・IPSec接続し、何もせず放置10分。
安定して接続持続。VPN関係のログは出ず。
・RTX1200への連続pingで放置10分。
安定して応答あり(歯抜けなし)。VPN関係のログは出ず。
・Win7のファイル共有でファイルコピー。
10秒ほどでデータが止まる。(切断を知らせるダイアログは出ない)
負荷がかかったためか、以降、無負荷連続pingテストでも歯抜けが発生。
コピー中にデータが止まった時のログは毎回同じではなく、
何も残らなかったり、前回の書込みにあるようなSAが更新されたログのほか、
今回新たに、昨日までなかった [IPSEC] sequence number is wrong が大量に出るケースがありました。
調べてみると、帯域制御してるとシーケンス順が入替わり、パケット破棄されることがあるとの事。
http://www.rtpro.yamaha.co.jp/RT/docs/qos/tunnel_qos.html QoS制御はオフなのですが、これを受けて以下を試してみました。
・ipsec sa policy の末尾に anti-replay-check=off 追記
・相手サーバのMTU値を 1500 から 1200 へ下げる。
この状態で再度試してみましたが、状況に変化は感じられませんでした。
なんとなくWin7側の挙動が (or も) あやしいのではと感じてます。
902 :
871 :2012/02/02(木) 12:07:59.16 ID:???
>>901 自己レス、すみません。
× 10秒ほどでデータが止まる
○ データが止まるまでの時間は不定。10秒ほどで止まることも、数分後に止まることもある。
>・RTX1200への連続pingで放置10分。 > 安定して応答あり(歯抜けなし)。VPN関係のログは出ず。 問題ないと思ってしまうな。 >MTU値を 1500 から 1200 へ下げる。 MTU値もくさいね。 MTUブラックホールなんて事象も聞くからなあ。
要は、PINGを打つだけなら接続断にはならないで、 WIN7でファイルを送受信しだすと、PINGも途切れてしまうんだろ。 データがのっかると、不具合が発生するわけだ。 データがのっかることで、IPsecパケットが変になってしまうのかなあ。 他の人々はどうなん?うまく行っているの?
>>901 >今回新たに、昨日までなかった [IPSEC] sequence number is wrong が大量に出るケースがありました。
>調べてみると、帯域制御してるとシーケンス順が入替わり、パケット破棄されることがあるとの事。
これは、くさい、くさすぎるなあ。
あの、一度、ローカルな環境で、win7とRTX1200とをプライベートアドレスでつないで、
そこでL2TP/IPSEC実験をしてみてはどうでしょうか。
そうすれば、WIN7パソコンが原因かどうかがわかるでしょう。
問題なければ、プロバイダさんがわるいってことになりませんか。
906 :
871 :2012/02/02(木) 12:23:56.77 ID:???
私もどうも設定自体には問題がないように感じています。 高負荷時に経路上の何処か(あるいはクライアントPC自体)でパケットロストや延滞が発生して、 その時々でWindows共有がコケたり、まれにトンネル自体がコケたりするのかな、と想像してます。 どのパケットが落ちたかによって、表面上に現れる現象が変わるような。 時間かかりますが、クライアント側のPCやルータ変えたりして検証して行きます。
907 :
871 :2012/02/02(木) 12:25:50.11 ID:???
>>905 なるほど!そうですね。検証に使ってるPCはノートですし、一度やってみます。ありがとうございます。
れぽーとまってマース
何、この健全な流れ。久々に胸熱。
まさかとは思うが一つ前のファーム使ってるとかは無いよね?
フィルターの事で教えて下さい。 こんな環境があります。 ip lan1 address 172.16.1.1/24 ip lan3 address 192.168.1.1/24 lan2 pppoeでインターネット接続 VPNの設定が入っていて遠隔地にある192.168.255.1/24とIPSecVPNが作られている 各セグメント間の通信は ・LAN1からはインターネットはOK ・LAN1からVPN及びLAN3へは行ってはダメ ・LAN3からはVPNへ出るのはOK ・LAN3からはインターネットもLAN1へも行ってはダメ ・VPNからLAN3へ入るのはOK ・VPNからLAN1へ入るのはダメ
こんな条件の時、フィルターは ip filter 1000 reject 172.16.1.1/24 192.168.1.1/24 * * * ip filter 1001 reject 172.16.1.1/24 192.168.255.1/24 * * * ip filter 1002 reject 192.168.1.1/24 172.16.1.1/24 * * * ip filter 1003 reject 192.168.255.1/24 172.16.1.1/24 * * * ip filter 1999 reject * * * * * ip filter 2000 pass 192.168.255.1/24 192.168.1.1/24 * * * ip filter 2001 pass 192.168.1.1/24 192.168.255.1/24 * * * ip filter 2999 pass * * ip lan1 secure filter in 1002 1003 2999 ip lan1 secure filter out 1000 1001 2999 ip lan3 secure filter in 2000 1999 ip lan3 secure filter out 2001 1999 と言う設定にすれば問題無いでしょうか? フィルターの事が全然解ってなくてとんちんかんな事を書いていたらスイマセン…。
inとout逆じゃね? 適当に書いてみたinで基本的に弾く感じ ip filter 11 reject * 192.168.1.0/24 * * * ip filter 12 reject * 192.168.255.0/24 * * * ip filter 31 pass * 192.168.255.0/24 * * * ip filter 51 pass * 192.168.1.0/24 * * * ip filter 98 reject * * * * * ip filter 99 pass * * * * * ip filter dynamic 1 * * tcp ip filter dynamic 2 * * udp ip lan1 secure filter in 11 12 99 ip lan3 secure filter in 31 98 ip pp secure filter in 98 ip pp secure filter out 99 dynamic 1 2 ip tunnel secure filter in 51 98
>>913 INとOUTはRTXのポートがそのセグメントにパケットを出す、
入れるを基準に考えないと行けないんですね。勘違いをしていました。
さらに両方入れる必要は無くて、統一されていたら片方だけで良いんですね。
あと
ip pp secure filter
ip tunnel secure filter
で区別してフィルタしないとダメだと知りませんでした。
大変勉強になりました。ありがとうございます。
>>894-895 電話で会話中、相手に聞こえてないと思ったら
「もしもーし」とか言って、聞こえてるかどうか相手に確認して、
聞こえてなさそうだったら、電話をいったん切ってかけ直します。
ここでkeepaliveを使うということは、そんな感じです。時々確認して、
VPN対向から応答がなければ、導通がおこなわれてないと判断し、
現在のトンネル破棄、新しいトンネルを構築します。
ついでにnatや動的フィルタのエントリ更新もできます
とはいえ、対向が応答しないことの判断はむつかしいです。
「もしもし」でなく"Are you still there?" が必要なのかもしれません。
"Hang on please"とか返されても、私なら電話を切ってしまいます。
その結果、接続切断が繰り返され、通信が不安定に見えます。
なので873とか公式サイトは、keepaliveを外して試すよう書いてます。
こんな感じの説明でよい?
> 871
入るかどうかわかりませんがmtuならこちらも。l2tpのppに対して
ip pp tcp mss limit auto
ip pp mtu 1258
>>915 わかりました。
キープアライブと一口にいっても、その方法は色々あるんですね。
だから、へたに有効化してしまうと、逆に対向との接続が切れてしまう事態につながるんですね。
ありがとうございます。
>>864 自分もrtx1100とregza z1内臓チューナでひかりTV見ようとするとエラー吐いてみれない上にルーター再起動しないとネットに繋がらなくなります。
同じようにチューナーが糞なのかと思ってましたが他のチューナーでもなるんですね
>エラー吐いてみれない上にルーター再起動しないとネットに繋がらなく 再起動って、バグなん?
920 :
871 :2012/02/04(土) 16:37:00.88 ID:???
現在RTX1200とWin7を有線直結でのIPSecを検証しています。
ファームウェアは最新 10.01.38 (前の報告もコレ)
>>915 氏のアドバイスを元に、keepalive disconect などはオフ。またl2tpに対し、
ip tunnel mtu 1258
ip tunnel tcp mss limit auto
・Win共有でのダウンロードおよび連続ping。
ダウンロードはレートも安定して8MByte/sec程。その間、連続pingも歯抜けなし。
(ただしSA更新のログが時々記録されることがある)
ここだけ見ると状況は改善しているのですが・・・
●今回新たに判明した不可解な挙動
・クライアントWin7からアップすると、ファイルサイズに応じてコピーが失敗する。
・0Byte〜40KByte前後 : 特に問題なく瞬時にアップできる。
・50KByte以上 : 「コピー中...」ダイアログが表示され、10秒〜の待ちが発生する。
待ち時間の長さはファイルサイズに比例する印象。
・100KByte以上 : 「コピー中...」から復帰しない。
5分以上固まり、エラーダイアログを出して失敗する。
「ネットワーク エラー \\server\dir にアクセス中に問題が発生しました」
・上記の挙動は ケーブル直結でもインターネット経由でも同様。
また、相手側のマシンが Win7 でも Linux(samba) でも同様。
なお、FTPによるLinuxへのアップロードは問題なく100MB級のファイルでも可能。
(ただし、エラーが起きてもリカバリが働いている可能性はあるかも?)
>>920 いまのところ、パッと仮説が浮かんでこねえ
なんだろうね。
>>920 >クライアントWin7からアップすると、ファイルサイズに応じてコピーが失敗する。
pingは歯抜けになった?
924 :
871 :2012/02/05(日) 01:24:19.87 ID:???
>>923 ftpでのlinuxサーバへのアップロード中も、断続的に転送が止まってるようです。
やはりftp側で中断箇所からのリジュームをうまくやってくれており、
操作全体としては転送に成功している状態。
連続pingは、アップロード中は全体の1割ほどが抜けるような状況です。
ダウンロード中も、テストも繰り返していると何度か歯抜けがありました。
>>922 ちょっとお手上げムードになってきました。
Windows共有でもftpでも、相手がLinuxでもWin7でも、
データが止まる頻度としては差がなさそうです。
残ってる内容としては…
・やはりRTX1200の設定がおかしい
・検証に使ってるノートのOSやネットワーク周辺の不調?
マトを絞って明日、再試験してみます。
・設定をほぼ空にしてサンプル設定をほぼそのまま適用する
・デスクトップ(Win7)での直結検証(物理的にちょいと面倒なのですが…)
他の人はどうなんだろう。 もうやっている人はたくさんいると思うんだけど。
926 :
918 :2012/02/05(日) 03:53:50.03 ID:???
>>921 IPv6の設定を手動で出来ませんが設定内容を見たところONUに直に繋いだ時と同じDNSを取得していたので問題がないと思っていたのですがどうなんでしょう?
通信テストという機能を使うと「通信が確認されました」と表示されますがひかりTVを見る時だけうまくいかずにルーターのコンソールにも繋がらなくなってしまうのでMLDがどうもうまく行っていないのかなという印象です。
ちなみに取得したDNSは
2001:c90::3と2001:c90:0:5::1です
>>924 まさかとは思うが、どこかでLANのネゴシーエション失敗してないか?
例えばFULL固定とAUTOの機器を対向させるとHALFに落ちること
あるがpingテストは通るのでなかなか気がつかない
928 :
921 :2012/02/05(日) 09:24:41.28 ID:???
>>926 そうなんだ。
DNSサーバアドレスとしてRTX1100のIPv6アドレスではなく
網内のアドレスを取得しているという事はRAのDNSオプションなのかな。
視聴できない原因やRTX1100にアクセスできなくなる原因は
マルチキャスト関連かもしれない。
こちらには検証環境がないから何とも。
>>924 pingって送信サイズ変更出来るけどftpと同じ状況なのか?
netstat等でtcpの再送カウンター値やether受信エラー数等の変化を確認してみなよ。
winやlinuxにはそういうコマンドあるから。
具体的なコマンド行はそれぞれ違うから、自分で調べてね。
930 :
871 :2012/02/05(日) 11:57:33.44 ID:???
取り急ぎご報告。どうも検証用のノートの方がおかしいような感じです。
今RTX1200を外し、Win7同士での転送試験をしているのですが、
検証用ノートからデスクトップへのファイル送信が断続的に止まりまくってます。
デスクトップ側からの送信は問題が起こりませんし、
デスクトップとlinux(samba) とのファイルアップ、ダウンともに問題がありません。
スレチになってしまうのであとのトラブルシューティングは自力で進めて参りますが、
現象が解決できましたら、改めてご報告に参ります。大変お騒がせ致しました。
>>927 >>929 アドバイスありがとうございます。
全機器ともFullDuplexの確認ができました。
エラー数の変化などもチェックしながら検証進めていきます。
ドツボにはまるその気持ちがよくわかる。 使っているマシンは正常であるということはどうしても前提になるものね。 そして、足元の歪の原因を周りに探してしまう・・・ふいに足元に気づく。 灯台下(もと)暗しとはまさにわれわれのためにある言葉なのかもしれない。 レポまっています!
>>930 その正常なデスクトップpcと、RTX1200とのL2TP/IPsec通信は正常な感じでしたか?
933 :
- :2012/02/06(月) 10:31:03.31 ID:???
ノート側・サーバー側のLANチップは何? Atheros対Realteckでの通信でパケ詰まりみたいな現象が起きた経験がある。
934 :
871 :2012/02/06(月) 12:05:26.12 ID:???
Win7でのファイル送受信がうまくいかない件、ひとまず中間報告です。
1.RDCの無効化
コントロールパネル -> プログラムと機能 -> Windows の機能の有効化または無効化 を開き、
「RDC (Remote Differential Compression) のチェックを解除。
2.tcpの自動チューニングを無効化
netsh interface tcp show global で Auto-Tuning Level を確認。ノーマルだったので無効に。
netsh interface tcp set global autotuning=disabled
3.IPSec向けのmtu自動調整が効かなくなるので、手動設定でmtuを変更(最適値はまだ未検証)
netsh interface ipv4 set subinterface "IPSEC" mtu=1258 store=persistent
これらの調整の結果、検証用ノートの挙動がようやくまともになりました。
デスクトップ側でも同じ対策をしたことで、以前よりスムーズに動いてると感じます。
Win7同士での通信では、双方向ともローカルドライブ並の快適レスポンスが得られています。
これでようやく本題の調整に入れますね・・・。
>>932 上記の改善の結果、マシンごとの差異は現在は無くなったと思います。
しばらく忙しくなってしまうので詳細な検証はまた後日、時間を取って行います。
インターネット経由でのIPSec、試しにやってみました。状況は改善してるようですが、
まだコピー中に詰まる傾向があります。まずはRTX1200と直結で万全にしたいと思います。
>>933 直結試験のノートとデスクトップはいずれもIntelのギガビットですね。
昔、リアル蟹の不可解な挙動に悩まされて以来、出来る限りIntel使ってます…
935 :
- :2012/02/06(月) 12:26:11.16 ID:???
>>934 ではうちのケースとは当てはまらないですね。
お力になれず申し訳ない。
>>934 わたしもローカルな環境で、windows7を使って、sambaなんかとファイル転送していますが、
そういう調整が必要になったことがないなあ。
ハブが古すぎるってことはない?
937 :
871 :2012/02/06(月) 19:56:19.95 ID:???
なんで、うちはWINDOWS7を使って、バックアップなどでギガバイト単位のファイル転送をしているのに、 不具合が起きないんだろうか。 安物lanカードなのでオフロードしていないから?
それはL2TP/IPsecで?
940 :
918 :2012/02/07(火) 09:03:54.19 ID:???
ファームウェアのバージョン下げたら無事rtx1100とregza z1でもひかりTV見れるようになりました。 バグだったのかなとは思いますが、以前はmd5チェックせずに最新のファームウェアにしていたのでファイル自体が壊れていた可能性も否定できませんが、また最新のファームにして映らなくなったら困るのでそのままにしておきます。 ちなみに使ったファームウェアは8.02.43でhttp revision-down permit onにして実行しました。
>>940 なら、YAHAMAに報告しておけば、何か修正が入るかも。
(まあ、誰かがこのスレを見ているかもしれんが)
942 :
918 :2012/02/07(火) 09:13:06.84 ID:???
一応サポートに解決のメール出したけど、だいぶ前から音沙汰無いんで見てないかもしれない
944 :
anonymous :2012/02/08(水) 19:33:01.51 ID:KeRUW7kS
>>940 それ単純にregza z1側が古いprefixを使っているんじゃないかなぁ。
RTX1100側はそのままでregza z1側を電源off/onしてみた?
ひかりTV関係はそういうトラブルが多い気がする。
マルチキャストだからMLDも関係しているし。
945 :
918 :2012/02/09(木) 21:19:26.21 ID:???
サポートから返信が来てipv6 routing process normalにしたところ8.03.90のファームウェアでも見れるようになりました。 一応報告。
以前サポートに不具合の問い合わせをしたことがあるけど、再現しませんと回答したくせに次回のファームでFIXされていたことがあったな それ以来サポートセンターは信用していない
修正されるだけまだいいじゃんw
>>946 おれも、そういうことがあった。
すみません、どうやら不具合のようです、という言葉を聞いたことがない
散々、あんたの環境のどこかが悪いから、なんともいえないというようなこと言われる
だから、おれも利用したくない。そうやって、サポートから排除するという魂胆なら、しらない。
シスコに移行してやる。
シスコは問題があっても 「バグだけど修正しません。必要だったら、金を払ってメジャーバージョンアップをしてください。」 って言われない? 最近はそうでもないのかな。 私の経験だとヤマハはすぐにbuild版を出してくれたけどねぇ。 まぁ、不満があるならメーカーを変えるのは使用者の権利だから好きにすれば?
950 :
anon :2012/02/12(日) 20:49:33.17 ID:???
>>949 ciscoはバグと認めても保障を一切しない。ソーリーは絶対言わないね。
CISCOは、保守サポート契約が前提だからね。
みんなわからんぞ。
>>948 がキャリアなら対応してくれるかもしれんぞ。
そんなわけないけどな。
海外ベンダーの製品は基本的に一企業のために対応してくれることはないよ。
SIerからベンダーに報告して、運がよければ次のバージョンアップで修正してくれる。
そんなところ。
Ciscoなんかは、回避策を出入りのSIerがしてくれるのがいいところ。
その回避策もSIerや担当のエンジニアの腕次第。
954 :
953 :2012/02/13(月) 21:47:21.85 ID:???
自分の書き込みをみたら全然意味不明だ... クライアントがNAT配下にあるなら,クライアント側にあるNATをやってるルータが L2TP/IPSecのパケットを通しつづけるように, 500/udpと4500/udpのパケットを定期的にやりとりする必要がある,ということが言いたかった。
ああ、やっぱりひかりTVつながらないのはバグなのか
RTX1200+IS1050(ひかりTVチューナー)でいくらがんばっても繋がらないし、
サポートとやり取りしてたら、途中でブッチされて途方にくれてたんだ。
んで、その後、何やらファームがアップしてたから、ファームアップすれば動くかも
なんて思ったんだけど、NTTのフレッツ光NEXT+ひかり電話用のルータの
PR-400MIが思いのほか性能いいんでめんどくさくなってRTX1200はお蔵入り。
もったいないからヤフオクにでも売ろうかと思ってるんだよね。
これ以来、YAMAHAに対して不信感増大。
プライベートはこれくら愛嬌でいいけど、仕事は
>>948 みたいにCISCOにしようかなと
思い始めてるわー。
英語喋れるなら、満足できるサポート受けられるのかね、CISCOって。
956 :
hage :2012/02/15(水) 10:59:22.93 ID:???
未だにテレビなんて見てるのか あんなの見てられるなんて、すごい頭してるな
地上波とかBSはまるっきり見ないね もっぱらCS(ひかりTVで) 金払ってみるだけの事はあるよ
959 :
名無しさん :2012/02/15(水) 12:50:33.27 ID:???
>>958 フレッツテレビは地上波とBSをフレッツ光NEXT(NTTお得意のNGN)の機能を用いて、
送っているだけ。WDMで光の波長を変えているので、通常のTCP/IP通信の方にまるっきり影響がないのが
良い所だけど、地デジもBSもアンテナで入るから、月800円も払う意味はないかな。
>>959 その接続方法だと、ダビングができないんだ。
IS1050っていうチューナーの場合、ネットワークでDTCP-IPを使ったダビングができる。
これは普通にIPv4でブロードキャストも多用しているので、BDレコやダビング用のNAS(RECBOXってのがある)などと
同一セグメントにおかなければならない。
ダビングやらない&ダビング機能のないチューナならそれでいいんだけどね。
ひかりTV自体、スカパーHDとかとほとんど内容変わらないよ。
(視聴可能チャンネルが微妙に違ったりするけど、メインはほぼ同じ)
CSアンテナでスカパーHDでもよかったんだけど、CSはビットレート低いから画質悪いんでやめた。
>英語喋れるなら、満足できるサポート受けられるのかね、CISCOって。 金次第だろw バグ修正は日本の弱小ユーザーあたりの言う事なんか聞くわけないがな
962 :
名無しさん :2012/02/15(水) 14:00:31.02 ID:???
>>960 [ONUまたはHGW]
│ │
[RTX1200] [IPv6ブリッジ]
│ │
└────┘
│
[PC、IS1050など]
・RTX1200ではIPv6をルーティングしない。
・IPv6ブリッジ機能付きのIPv4ルーター(BBR-4HGなど)を使って
ONUまたはHGWのLAN側とRTX1200のLAN1側とで
IPv6フレームのみをレイヤ2ブリッジする。
これならDTCP-IPもOK。
てか、ホントにRTX1200ユーザー?
>>945 とかリビジョンダウンとか試した?
>>960 > フレッツ光NEXT(NTTお得意のNGN)の機能を用いて、
> WDMで光の波長を変えているので、
言ってることが矛盾してる。
WDMだから、FM信号の伝送路として光ファイバーを用いているだけ。
光ネクストの機能もNGNの機能も用いていない。
NGNの機能(QoS)を用いているのは
ひかりTVの地上デジタル放送IP再送信サービス。
965 :
aa :2012/02/15(水) 16:29:07.68 ID:???
ローンで買ったRTX1200 なんとか解決させて欲しくてて釣り針を太くしてみました、って風だな
VPNで接続しないかぎりは個人宅程度じゃRTXは必要ないかとw
>>961 世界標準なのだろ、シスコって。
だったら、バグフィックスも多いんでは。
でも、日本のネット事情に合せられているのが、
ヤマハなのかな。
関係ない?
ネットワークって世界共通??
仮にシスコのルーター使ってたとして テレビ見れませんってバグがあったとしても放置だろ
>>964 実際、フレッツテレビは光ネクストじゃないBフレッツでも見られるしね。
ただフレッツテレビは自分のとこまで光が来てないとダメだから 実質的に一戸建て専用なんだよね ほとんどのアパート/マンションじゃ無理 台風とかでアンテナの心配する必要なくなるよ って実家はフレッツテレビ化させたけど 禿しくスレチだが
972 :
名無しさん :2012/02/15(水) 22:15:30.00 ID:???
シスコってローエンドの800シリーズとかじゃなければ、テキストベースでの 設定だろ。 しかも、保守契約結ばなきゃ、ファーム(OS) すらダウンロード出来ないし。 サポートサイトも、ヤマハは充実してるよ。 ローエンド・ミドルエンド向けだからね。 NTT でも、OEM してる。
>>972 >テキストベースでの設定だろ。
tab補完機能もないの。
保守契約なければ、ファームアップデートできないなんて、
後から買った人が得するじゃん
974 :
なんだ? :2012/02/15(水) 22:37:33.37 ID:???
ミドルエンドとは?
ハイエンド以外と考えろw
>>973 > 保守契約なければ、ファームアップデートできないなんて、
> 後から買った人が得するじゃん
ところがグローバルだけあって・・・
・中華付近のサイトにもiosはゴロゴロしてる。
・余程の最新機能を使わなければ虫に当たらない。
ま、お金が無い人は度胸が必要って事で。
家庭で使うならヤマハの方がコスパいいし
シスコの安いのってはっきり言ってゴミじゃん
>>976 Cisco Internetworking Operating System (Cisco IOS)
このクラスのルーターだと、CISCOなんかより、 YAMAHAやNECの国内モデルの方が断然コスパは良いね。 CISCOもそれが面白くないようで、1821Jとか日本専用モデルまで 作ったりしてるけどイマイチ・・・ 892Jもスペック的には良いところ行ってるんだけど、 GbEの口がWANだけとか・・・まぁLAN側にもGbE付けたら、 確実に上位機種食っちゃうからなんだろうけどw
981 :
名無しさん :2012/02/16(木) 00:22:35.09 ID:???
NECのIXシリーズも、保守無いとファームも落とせないよ。 すでに会社の基幹系とかで、CISCO 使ってる様な所は、 ローエンドとか入れても良いかもね。
Cisco 892JとRTX1200の比較資料が出ていたので、参考に。 www.tncjp.com/contents/20091113_Router-TNCB.pdf Ciscoをメインに扱っている会社が作成したから仕方ないけど、上記の資料で笑ったのが、 「補足(1): Cisco vs Yamaha 運用性の比較」の書き方。RTX1200ではろくな設定情報も 取得できないように書いている。 また、FWのアップデートには定価で20%(最近は違うのかな?)の年間保守費用がかかると書けよと思った。
家庭用でCiscoとか修行僧かよw 職場でCisco、NEC、YAMAHAを使ってるけど、家で使うなら断然YAMAHAだよ、楽。
俺も個人的に中小顧客・SOHO・個人宅はYAMAHAでいいと思う。 比較的ユーザーフレンドリーな設定集もあるし、コマンドライン はCiscoと似てるし。 L2スイッチはまた別かと思うけど。
>俺も個人的に中小顧客・SOHO・個人宅はYAMAHAでいいと思う。 これは認めるとして、 どうして、シスコは世界で使われているの? みんなが使っているからっていうだけの理由??
エンジニアが多いからじゃね? 資格制度(?)もしっかりしてるし。
987 :
hage :2012/02/16(木) 11:08:15.71 ID:???
UPSでいうAPCとオムロンみたいな関係か 求める仕様を満たして性能・価格に大差ないなら日本人なら日本企業の製品を買うのが当たり前だろ
老舗の看板 ハイエンド市場における実績と保守体制
ん? APCはクソだろ
>俺も個人的に中小顧客・SOHO・個人宅はYAMAHAでいいと思う。 俺、逆だ。家ではCisco使ってて会社ではYAMAHAだ。
家でCisco使うメリットって何?
993 :
名無しさん :2012/02/16(木) 16:11:04.49 ID:???
CCNA/CCNE/CCIE とか学習したいとか、自分でメンテできるって ユーザーは、cisco だろ。 Linksys ブランドは、日本撤退しちゃったし。 今はローエンドや、旧製品のIOS は、保守契約無くても落とせるのかな??
学習したいならわかるが シスコとヤマハ両方使える人間が自宅で使うなら 糞使いにくいシスコ使うって無いと思うw
学習目的ならエミュ使った方が(ゲホゲホ
うめ
ぼし
998 :
- :2012/02/16(木) 21:13:50.27 ID:???
食べて
すっぱまんこ
ずっこんばっこん!
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。