YAMAHA業務向けルーター運用構築スレッドPart13
1 :
番長ですw :
2013/12/28(土) 13:36:17.40 ID:???
>>3 レスありがとう。
MAP-Eが「IPv4 over IPv6」のスタンダード?
そしてそれがRTXで使えるようになったらHGWなしでもIPv4oIPv6が実現できるのかな。
IPv4のためにPPPoEセッションを使わなくても済むので良いなあと思いました。
またPPPのオーバーヘッドなしでIPv4が使えるから処理が速くなりそう。
RTX1200だけでIPv4 over IPv6ができるようになったら、v6プラスしたい。
環境がHGWを使えない特殊な状態なので、RTX1200だけで実現できるようになってほしい。
実家(外部)→l2tp/ipsec→自宅RTX1100→ipsec→会社RTX1000 こんな構成になってます メンテナンスのため、さっき会社サーバーに接続しようとしたら接続できなかった 確認すると、自宅RTX1100と会社RTX1000のトンネルが切れてた さらに確認すると会社RTX1000グローバルアドレスへのpingが届かない RTX1000が死んだのか、光回線が切れたのか 実家に居るから手も足も出ない・・・・年末に俺詰んだ・・・・・
>>5 まだ、詰んでいないぞ。あと、9時間ぐらいある。
急いで会社に行くんだ。
>>5 >さらに確認すると会社RTX1000グローバルアドレスへのpingが届かない
確かRTXの仕様で、icmpのための動的フィルタは提供されない。
その会社のRTX1000へpingを打ったのが自宅のRTX1100ならば、
RTX1100で動的フィルタを使っているのなら応答はないはず。
pingを代行して打って結果表示してくれるサイトでも使ってみたらどうだろう。
今、再度確認したらpingとトンネル共に通信ができてました 会社RTX1000のログ見たらpower on bootの文字が・・・ サーバーのログ見たら、こちらはUPSから電源障害とシャットダウン・復旧のログが・・・ 建物の電源関係の障害だったようです。 俺の守備範疇じゃないからこればかりはどうしようもない これからサーバーのメンテナンスに入ります・・・・ お騒がせしました
今からメンテに入るのでルータとサーバを落としま〜す 皆さんそれでは良い新年を! 来年また会いましょう 無事に再起動できたら・・・ですが。
おれはメンテしない 完璧なので
ヤマハの運勢
12 :
ano :2014/01/01(水) 14:49:35.31 ID:???
>>11 おま、
なんてことしてくれてんねん www
今年は、いろいろすることがありますが、しっかりがんばります。 よろしくお願いします。
14 :
anonymous :2014/01/01(水) 18:03:54.42 ID:kevYu3JR
>>10 完璧でもメンテはするものだと思う
サーバメンテとは一年頑張って動いてくれたサーバのCPUクーラーに溜まった
1年の穢れを祓い清めて次の1年を無事に稼動する事を祈願する行事だから
>>14 RTXにもCPUクーラーが付いているのか?ばらした事ないw
17 :
anonymous :2014/01/01(水) 18:49:14.62 ID:lot8Z1J9
>>16 「サーバのCPUクーラー」と明記してあるのに
日本語読めないんですね・・・
それともあなた的にはRTXはサーバなのかな?
>>17 ルーターのメンテの事を言っているのに、
サーバーメンテで比較するあんたはおバカでしょ。
ルータのメンテなんて1分も掛からんだろ? 設定書き込んだ予備器とポン替えだんだから 年末サーバーメンテの中でルータにかける時間なんてその程度
>>19 ひょっとして毎年新品に置き換えています?
21 :
名無しさん :2014/01/02(木) 10:29:35.10 ID:fKHtJFDR
予備機なんだから、同機種の中古でも良いんじゃない?
リスク管理の概念と予算に余裕があれば予備機は用意しておいてもバチは当たらないと思うが ヤマハルータは頑丈に作られているとは言っても、電子機器は壊れる時には壊れるモノだから まぁうちの場合は故障時の予備機として以外にも検証機とか教育用も兼ねて保有してる 実際に使っている機械で新設定の検証をするほど無謀なチャレンジャーじゃないから
>教育用も兼ねて保有 うちは、ちいさいので、孤独にひとりでがんばってます・・・
うちのYAMAHAもです…
25 :
anon :2014/01/02(木) 13:54:12.61 ID:???
1200以降の機種はUSBメモリもSDカードも使えるから、 予備機が常に用意できないなら、せめてそっちだけでも挿して configのSDカード運用しておくとダウンタイムが少しでも縮まるよ
>>25 楽天でポチってから、#restart するまでがダウンタイム
tftp -i put hoge.hoge c:\config.txt config/****
だったら駄目?
>>24 あなたは愚痴を言わないで一生懸命にがんばる良い人だ
>>25 では、ひとりで耐える管理者の愚痴を吐いたわけだが、あなたはそれをそう解釈しなかったのが理由
28 :
anon :2014/01/02(木) 14:57:02.41 ID:???
よく流れがわからんのだが、 すぐ行けない遠隔地に設置されてるルーターが故障した場合 とにかく現地で本体だけ調達させるか、こっちで急きょ入手して送りつけて SDカードを現地の素人が差し込んで電源入れるだけで復旧できるから、それだと楽でしょ って意味で書いたのだが。説明不足?
29 :
名無しさん :2014/01/02(木) 17:52:23.12 ID:fKHtJFDR
SDカード突っ込める機種なら、それでも良いかも。 こっちで入社したら、Config 流し込んで、送るか直接持参するか どちらかでしょ。
30 :
名無しさん :2014/01/02(木) 18:08:10.52 ID:fKHtJFDR
間違ってた。入社じゃなくて、入手な。
31 :
anonymous :2014/01/02(木) 18:59:33.49 ID:ou7jWQye
RTX810にDocomoのUSBデータカードでモバイル接続環境を付くっておいて L2TP/Ipsecリモートアクセスの裏口を作っておくのはどうだろう? 正面玄関がダウンしたときには裏口から支社にアクセスして遠隔復帰を試みるとか・・・
>>31 使うかどうかわからない裏口のためだけに契約するの?
DTIだと500円か。
>>32 必要、不必要は「遠隔地「までの時間と費用で考えるんだな・・・
ちょいと前なら、企業にはISDNが普通に引かれていたから、 それを挿しとけば何とかなったんだがなぁ。 まあ、RTX810にはBRI端子はないからどうしようもないんだが。 (代わりにデータコネクトがあると言えばあるが。)
>>34 ISDNかあ、懐かしいな。今はどうなっているんだ?
メインはIP-VPNで、BackupはInternetVPN?
36 :
anon :2014/01/03(金) 02:57:47.08 ID:???
>>31-31 回線の品質は全体的に上がっているし、回線要因のダウンは確率的に少ないと思うけどな。
掃除のおばちゃんがONUの電源蹴り倒したとかいうケースは考えられるけど。
それより機器そのものの障害要因の方が怖いんじゃないかな。
>>34-35 INSをバックアップに使用するケースはまだ多いんじゃないかな。
IPVPNとか広域Etherは専用線の品質が絶対的に要求されるケース以外は採用されなくなってきてるね。
今まででは専用線で巻き取ってた用途でも、InternetVとInsのデュアルとか
あとはinternetVとNTT東西のフレッツVPN(旧グループアクセス)のデュアルとかで
対応してるケースも多いよ。
時代は変わったねぇ・・・。
フレッツVPNって初めて聞いた。ググったら、東西で分れてるんだね。 あくまで、足回りのフレッツ網で、VPNを張ってるみたい、かな。
一般加入電話回線にモデムを繋いでシリアル接続、DTMFで電源他のリレーを動かすようにしてある 専用回線じゃないので追加費用ナシ・・・貧乏なんだよ
>>38 アナログモデムを使う発想は全くなかったわ・・・
RTXのシリアル端子と56Kアナログモデムってつなげられるの?
拠点へダイヤルアップ接続するだけでも設備と設定が面倒くさそう。
モデム同士がつながって、RTXのコンソールに接続できるなんて単純な話ではないよね?
>DTMFで
41 :
anonymous :2014/01/03(金) 13:01:40.85 ID:8CDmJmcx
>>38 電源コントロールは秋月のPICNICを使うのが良いと思う
本体に標準で入ってないインターフェイス使うなら ciscoの方が楽だな
人による…かな
もまいら仕事始めは月曜?
>>39 パソ通のホストと同じ。PPPやSLIPじゃないからRTXのコンソールに直結でおk
SLIPって書いたの何年ぶりだw
余ってるTAのアナログポートか社内の内線を使えばモデム2つでテストできるよ
モデムの設定は、ring着信応答とシリアルのフロー制御を有効にする程度
#モデムlineを電話線に繋ぎっぱなの場合は・・・どうすればいい?
#ring呼回数を留守電より少なく?・・・そういう運用は考えないw
>>40 お手軽バックドアwコマンドは桁多くタイムアウトは短くで誤動作は無い見込
>>41 そのNICにたどり着けないとき困るのではないかと
ま、10万円程度の物は設定済予備機を現地人に交換させるのが手っ取り早いなー dtmfの箱は常時電話の音を聞いていて以下動作 1、RTX、L2sw、bind等が走っているunix機、モデム他の電源を各々開閉 2、モデムのシリアルをrtxに繋ぐか上のunix機ttyに繋ぐか切り替え まず電話でdtmfを鳴らしてモデムを起こす、次にターミナルソフトで呼び telnetかsshかvpnが使えるようになったらログアウトしてモデムをOFF ありがたいことに未だテスト以外で出番なし
46 :
anonymous :2014/01/03(金) 18:40:10.68 ID:8CDmJmcx
>>44 って言うか仕事始めって何?
訳分からないのですが・・・
そもそも正月って何?
47 :
名無しさん :2014/01/03(金) 18:52:56.53 ID:XxDsK9uS
アナログモデム用意するのなら、中古のRTA54i でも用意して リモートアクセス用の受け口として使えるんじゃないか??
>>46 わかるはーつらいはー乙だはーw
INSがあるならINSの方がいいねー
ただし、シリアルのコンソールを使うことに意味がないわけじゃない
>>44 月曜日だよ
そんなに簡単にできるなら、アナログモデムでリモートセットアップやってみたい。
データコネクトで接続して、リモートセットアップできるように環境構築済みだけど、
面白そうなのでリモートセットアップの冗長の意味でも試したいなあ。
ただ、専用電話番号が必要だね。
ピーギャ、ピープルプル〜ってなったらいけないからね。
でも面白そう。
50 :
名無しさん :2014/01/04(土) 12:09:40.89 ID:yCDKD3TD
>>49 会社にFAXとかのアナログ回線有るなら、ISDNに変更してiナンバーで番号振れば??
INSは長期的にみて終了確実だが XPみたいに先延ばしされてしまうんじゃないかな
ちょっと前までは廃止確定と言っていたけど・・・ 最近は何か生き残りそうな感じだとみかかの人が言っていたな あえて選ぶ価値は無いけど
2年前最後に残ってた銀行のオンラインを移行したから会社ではもうINSを使わないけれど
3番号2回線とか自宅ではすごい助かってる。耐障害とか微妙に不安でIP移行はまだ嫌
>>49 うちは外の拠点に専用回線を用意させるのは無理だなー
メンテ用に電話番号用意してって指示したらインターネット経由のIP電話番号振ってきそうw
>>55 耐障害性を考えるとIP電話の方が良いかもよ
災害時に電話回線は簡単にパンクするから
57 :
anon :2014/01/04(土) 21:21:44.54 ID:???
INSはネット用途で使われることが少なくなったというだけで、 電話用途ではまだまだ現役で新規開通もかなりあるよ。 INSが終了するのは、「需要が完全になくなったから」ではなく、 「そろそろ機器更新の時期だが、ひかり電話とNGNに資産を集中したいからそろそろやめたい」 というだけだよ。 つまり、移行先であるひかり電話とNGNがどこでも開通できる状態にあることが 完全終了の条件となるから、廃止されるとしても段階的に、地域分けして実施されるかもね。 そもそも、アナログ回線やINSとひかり電話では耐障害性や信頼性に大きな開きがあるから 今後その差をどうやって埋めていくかが課題になると思う。
58 :
anon :2014/01/04(土) 21:24:05.37 ID:???
>>56 IP電話といっても最終的に電話網と接続されているから、
IP回線が災害時に有効とは思えないな。
それよりはアナログ回線で災害時優先回線を持っておく方が確実。
アナログ電話だと局舎給電で動くから停電時でも稼働できるし。
>>58 先の大震災の時に一番通じたのがPHSやインターネット網だったけどね
電話って災害の時に真っ先に切れるよね 回復してもパンクするし 阪神大震災の時もそうだった
>>58 その問題ってバックアップ電源は有効?
光ファイバー経路上のすべての機器が災害時でも給電されていれば
大丈夫だと思った。
端末側が被災地ど真ん中の場合はさすがに諦めるしかないだろう 大規模停電に巻き込まれたらUPSが空っぽになる前にサーバを停止するしかないから
集合住宅のFTTHだと停電時にアウトだとか誰か言ってたけど どういう意味だったのかという俺は素人ー 一軒家だとUPSでひかり電話が使えるって聞いたが
MDFが止まるからじゃないの? 一戸建てのFTTHだと大体電柱からファイバー引っ張ってきてるから UPSでONUや電話機に電気来てれば使えるとか
>>63 集合住宅の場合はMDFの分配装置への給電バックアップの有無が停電時の死活の分かれ目だな
大抵はUPSが付いていない
今後は集合も無電源光配線がデフォになってくはず
>>63-65 FTTHはFiber To The Homeの略で、OLTから加入者宅のONUまで
電気的設備を介さずに光の信号を伝送する形態の総称。
戸建住宅(ファミリータイプ)と集合住宅(マンションタイプ 光配線方式)、
どちらも電源不要のパッシブダブルスター(PON)方式で全く同じ。
集合住宅だからといってMDFの分配装置への給電 なんてものは存在しないよ。
>>67 新築物件はともかくVDSL方式しか選択肢の無い既設の集合住宅は多いよ
建屋内はメタルワイヤー(電話線)を使うからMDFに変換器を設置する事になる
てことはー 光配線方式のアパートだと停電時でも我が部屋のHGWや電話機がUPS装備なら 停電時でも通話可能って事ですかー 知り合いはVDSLだったのかもしれないな。みんな教えてくれてありがと ペコリ
>>68 それはFTTB (Fiber To The Building)だな
>>70 新規に配線を引っ張れない環境ではVDSL方式しか選択肢は無いけどな・・・
有線LAN方式は論外だし、同軸ケーブルは今更だし
PLC方式は企画倒れだし・・・・
72 :
anon :2014/01/05(日) 01:13:43.22 ID:???
>>63-65 集合住宅でVDSL方式の場合はVDSLの親機が電源要るから、
そこに停電対策ができてないと宅内でUPS等停電対策をしていても無駄になる。
VDSL装置の設置状況は職業柄かなり見てるが、停電対策やってるところは滅多に見ないよ。
>>63 は『集合住宅のFTTH』、つまり光配線方式に限定した話をしているわけで
74 :
anon :2014/01/05(日) 01:17:38.86 ID:???
>>66-68 >>71 新規物件でも賃貸なんて特にコストや建築屋の無理解のために、
光配線方式にならないケースは多いよ。
最初から入線していない場合でも、直接戸内に引き込むための配管を用意していれば
集合住宅でも戸建型で契約・工事可能なんだけど、この配管ってのがないケースも多い。
75 :
anon :2014/01/05(日) 01:20:37.32 ID:???
>>73 光配線方式って集合住宅の100軒のうち10軒もないと思うよ。ケースとしてはレア。
分譲で配管がある場合でも、VDSLしか許可していないケースも多いし。
前住んでたアパートではVDSLが嫌でベランダから線引っ張ってホームタイプで契約してた
>>73 だが本当にFTTHか把握していない集合住宅の店子も圧倒的に多いのが現実だ
俺のマンション光が来ているんだぜ・・・とか
ヲイヲイ、お前んちはVDSL方式だろ?何勘違いしているんだよ・・・
って忠告してあげる事は何度も有ったな・・・
>>67 >>69 いいこと聞けた。ありがとう。
FTTHはFiber To The Homeで、電源なしで全くレーザー光だけが通っているのか。
光ってすごいね。電源不要なのか。
自宅はひかり電話だから、さっそくUPSも準備しておこう。災害怖いからね。
UPSをはさんでONUとHGWに給電しようっと。HGWからは結構強い電圧でアナログ電話に給電されている模様。
電話機の着信フラッシャの光具合に比べるとヤマハのFXS端子とは威力が違う。
うち古いマンションなんだけどなぜか光配線方式だったわ 間違いなく築20年オーバーなのに やっぱこれ相当レアケースなんね
VDSL方式でも光が来てることには違いないだろ パソコンまで光直結じゃないと光が来てるって言わないわけ?
82 :
anon :2014/01/05(日) 02:57:13.30 ID:???
>>78 "光ケーブル自体には通電してない"という意味では電源不要ってのはあってる。
でも、そのケーブル内に光を通すには送信側と受信側が要るわけで、
その部分には電源は必要。
家庭用の光ケーブルを言う場合、相手側(局側)はNTTもしくはその他のキャリアで
そこの停電対策はきちんとできていると思うので
光の終端が家の中の場合、ONU(光ケーブルとethernetの変換装置)さえ停電対策がとれていれば問題ないってことになる。
>>79 実はそれなりに古く、バブル前後あたりの物件だと案外条件がよかったりする。
その時期は結構建物に金がかけられた時代なので、個別配管が賃貸物件でもあったりね。
配管さえきちんとあれば、光配線にすることは時間と手間かければできるからね。
>>82 確かにその世代前後の物件だわ
結構勉強になりました、サンキュー
光配線方式だと、フレッツなら隼がひけるよね。 うちは、VDSL方式。宅内LANを、1Gネットワークに変えたのに、 ONUに繋がっている、ヤマハのランプだけは、グリーンじゃなくて、オレンジだよww
ONU?VDSLモデム?
>>85 ググったら、VDSLモデムとONUの2つがあるんだね。
今、機器をみたら、VDSL、って書いてあったから、VDSLモデムだと思う。
87 :
. :2014/01/05(日) 07:55:00.64 ID:???
ずいぶんスレが伸びてると思ったら なんだか配線スレッドになってる 電話工事屋の俺にしてみたら、ずいぶん初歩的な内容だけど 意外とみんな知らないんだな
88 :
anon :2014/01/05(日) 08:21:32.71 ID:???
2000年頃に建てられた学生向けマンションの設備見たけど ルーターがしょぼかったり玄関ロックの管理がDellのWindows鯖だったりで割と興味深かった 一番驚いたのは管理人室まで戸建て向けフレッツで引いて中は好きにしていいってNTTに言われたことだけど 6720円/戸数ってマンションの賃料ボリ杉
89 :
. :2014/01/05(日) 09:38:54.66 ID:???
1戸6720円で賃貸できるなら安いだろう って、揚げ足はつまらんなw マンションの情報通信設備を保守してる会社があるなら、そんなもんだろ 価格競争原理が働かないんだから
90 :
anon :2014/01/05(日) 09:56:21.62 ID:???
分かりにくい書き方だったね マンション一棟で月6720円で一室当たりのコストは数百円になるってこと 設備更新費抜いて回線・管理費月3万円くらいで妥協したみたい 自分で全部管理できるオーナーだったら儲かるんだろうな
構内配線工事費を考えるとそれなりの料金を取らないと回収できないだろうからな 一般的なオーナーなら既存配線を流用できるVDSL方式を選ぶだろう
92 :
anon :2014/01/05(日) 10:32:27.35 ID:???
LANケーブル各部屋に分配済みのマンションで管理会社変更に伴って インターネットの管理会社も見直そうって話だったんだ 後出しでごめん
93 :
名無しさん :2014/01/05(日) 10:45:10.10 ID:EHedmbGL
>>51 終了って言っても、段階的終了でしょ。
企業なんかでは、ISDN 直収PBX (電話交換機)や、CAT端末(クレカ決済用端末)
使ってる所もあるから。
94 :
名無しさん :2014/01/05(日) 10:47:59.45 ID:EHedmbGL
>>55 小規模事務所なんかは、ビジホ入れる費用が無いから、NEC のTAで
3ナンバー取って、アナログ端末付けてる所も多いですよ。
IP番号の場合はフレッツなどの基幹回線落ちたら、不通になるから無意味だし。
95 :
名無しさん :2014/01/05(日) 10:49:54.72 ID:EHedmbGL
>>61 ひかり電話でも停電時バックアップのオプションとして電池ボックスとか
有った筈
96 :
名無しさん :2014/01/05(日) 10:59:34.17 ID:EHedmbGL
>>71 去年、取引先の大学校の学生寮でPBX撤去とVDSL 撤去して無線LANに
入れ替えなんてのが有って工事してきたけど、結構大変だった。
既設の電話配管使って有線化しようと思ったけど、ワイヤー通してみたら
防火用と侵入防止用に詰めてあるっぽっくって、泣く泣く各フロアまで
LANケーブル通線した。
通れば有線の方が断然良いんだけど、建物の構造とかも関わってくるし
縦系・横系の十分なルートが無いと厳しいよ。
TV同軸をLANに変換するコンバータとかも有るけど、居室数が多いから
予算的に論外だし。
97 :
名無しさん :2014/01/05(日) 11:13:33.02 ID:EHedmbGL
>>88 それ凄いですね。
自分は、撤去したけど、VH-50BOXIII16S 10台+N58i (RT58i OEM) 5台にBフレ 5本だったかな
それで、160 室共有だったから、1部屋辺り 1M 位だったと思います。
P2P や、ネトゲユーザーが増えて、N58i がハングしまくり、VDSL のリースも切れるので
この際、移行しようって形で移行しました。
ルータは無線に移行してから、一部をRTX に入れ替えました。
>>95 ある
廃止? 乾電池式だったかな、新品電池が20分くらいで逝ってた
現行 エネループのOEMと思われる12V出力の
貸す側にとってネット接続の対応や品質も商品価値の一部になると思えば それなりに充実させるところもあるが そのニーズを感じられない大家は更新に消極的とか 全部戸建て扱いで大家はタッチせず、各居住者が独自で引き込みなんてこともある模様 ほんと色々だわ
101 :
名無しさん :2014/01/05(日) 17:00:26.40 ID:EHedmbGL
高さ制限とか有ったような気がする。 たしか、マンション・アパートは4階位までは、個別でOKみたいな 感じだけど。
>75ほか うちも昭和62年築で光配線なので、その超レアケースにあてはまるのか。さすがに フレッツテレビは「ラックが旧式なので」という理由で断られたが。 ところで既築で光配線がレアなのなら、逆に新築でVDSLという超地雷物件は存在 するのだろうか?
たくさんあるでしょ たいていの人にとっては別に地雷でもない
104 :
anon :2014/01/05(日) 20:40:15.45 ID:???
>>102 2年くらい前までは新築マンションとか基本的にVDSLだったよ。
2年くらい前から各戸に光引くようにNTTと共同でそういう方向になったけど。
106 :
105 :2014/01/05(日) 21:48:37.81 ID:???
VPN対地数(IPsec) 100 とあるので、張れると考えていいのでしょうか。
「検証を考えています」ってのがよく分からんが 考えるだけではなく自分で検証すればいいのでわ
108 :
105 :2014/01/06(月) 04:46:48.40 ID:???
>>107 わかりました。そうします。スレ汚しすみませんでした。
109 :
. :2014/01/06(月) 17:34:35.31 ID:???
>>105 ヤフオクでcisco1812J買って、その下にRouterぶら下げて仮想環境作ればいいんじゃね?
2万掛からないし、色々試せて便利だよ
1-----RTX1200
cisco1812J 2-----他社ルータ
3-----他社ルータ
複数拠点とVPN張りたいと言うことなら、わからん
他社ルータが何か知らないんじゃ答えられない
RTX1200同士なら、間違いなく出来る
110 :
名無しさん :2014/01/06(月) 17:55:29.10 ID:a0EQm8O3
111 :
105 :2014/01/06(月) 20:37:54.02 ID:???
>>109 ,110様
ご返事頂きありがとうございます。
本部にRTX1200が入っており、対向にFortiGateとアライドが入りそうな感じです。
RTX1200が自宅にあるので、できる範囲内で検証してみます。
>>111 あなたがやりたいことは難しく考えなくてもできるとおもいます
私はRTX1100(固定IP)をセンターに
全て動的の拠点から
RTX1000は当たり前として
古河電工のFITELNET-F100
centurysystemsのFUTURENet-XR440と同360
オムロンのMR504DV
などの他社ルーターと接続してますが
特に難しく考えなくても繋がりましたよ
大抵のメーカーHPにはヤマハルーターとの接続例がありますし
ヤマハも他社ルーターとの接続例を公開してますよ
ピンポイントで同一機種が出てなくても
同一メーカーなら基本的文法は同じなのでそのまま設定すれば繋がります
確かに中小規模で定番のRTXだけに他社との接続例は色々でてるね 改めてrtpro見たらWindowsAzureとかアマゾンVPCとの接続例まででてるのね
114 :
名無しさん :2014/01/07(火) 18:49:54.18 ID:A9PhJfyc
それは、rt100i-users でユーザーからの報告が有るから。
rt100i-usersと、新しいユーザ会は、どうなっていく?
116 :
名無しさん :2014/01/07(火) 20:27:13.56 ID:A9PhJfyc
このまま、並行して運用じゃない??
118 :
. :2014/01/07(火) 21:02:04.92 ID:???
明日、暇だからファーム上げるか 社内のみんなに黙って、勝手に
119 :
名無しさん :2014/01/07(火) 23:09:11.83 ID:A9PhJfyc
>>117 アフターいいなあ。ヤマハで良かったわ。
取引先の奴は1台書き換えたけど、後1台は後日、書き換えてリブートしてくる。
うちのRT107eもアップデートする時が来たようだ
RTX1200向けのアップデートじゃないみたいだね ということは、RTX1200なら最初からIPsec/L2TPでプチプチ切れは起こさなかったってこと?
123 :
anon :2014/01/10(金) 01:45:21.59 ID:???
今気づいたが、密やかにOSPFv3対応してるなー。
124 :
- :2014/01/10(金) 06:34:21.40 ID:???
rt107eでOSPFとかしたことないわ
>>121 俺は1200今年10月買ってすぐリビジョン替え
L2TP/IPsecしかVPN知らないw
ま、そんなに速くないけど他の糞サービスVPNよりはいいんじゃね?
設定も単にtelnetかルーターの管理者モードで
すぐにサクっと文章編集すればいいだけだし
今年10月
未来人だ!みくるちゃんか!
ファイヤーウォールもさすがに時空の穴は塞げなかったか・・・
おまいらネタ不足だからって わかりきったとこ突くなんて
糞サービスVPN 文章編集 突くのはこーゆーとこ?
131 :
名無しさん :2014/01/10(金) 20:30:29.25 ID:P5CH8b0C
>>125 は、2013 年のつもりで書いちゃったんだろ。
書き直すのなら、去年の10月って事か。
初期版は、10.01.08 (2008/12/24)
最新版は、10.01.53 (2013/09/10)。
132 :
. :2014/01/11(土) 00:09:30.69 ID:???
私は、昨年の10月にRTX1200を購入し ファームウェアを10.01.53に更新いたしました VPNはL2tp/ipsecしか使った事無いのですが 個人的には他のサービスを利用するメリットを感じません コンソールからの設定に限らず、WEBからの設定も充実しておりますので すぐにサクっと文章編集すればいいだけだし
>>132 正しい日本語に修正されているが
結局最後の文章編集の意味がわからない
「文章編集」はGUIではなくCUIで、ということだと思うが。 コマンド入力を文章と呼ぶのは抵抗あるけど。 そうすると「管理者モード」はGUIの管理用ページではなく CUIのadministrator モードのことになるが… 今度は「telnetかルーターの管理者モード」は両方同じこと 言ってるんじゃねーのってことで意味が通らなくなる 外国人がどっかの自動翻訳サイト使った感じか? よく分からんね。
135 :
RT100 :2014/01/11(土) 15:45:18.19 ID:???
RTXシリーズは、コンソールコマンド入力の事を「文章入力」なんて書くレベルのやつが使うルータじゃないだろ。 ポート開放とか二重ルータとか気持ち悪いオレオレ用語使う奴と同類レベル。
二重ルータて、オレオレ用語なん?
ポート開放も二重ルータも、よく耳にはするわなw
138 :
名無しさん :2014/01/11(土) 17:01:41.23 ID:o8edhUHA
普通は、config は流し込んでおいて、ちょっと修正の場合は telnet、 最終的に確定したら、save コマンドで保存した後に、リブート。
保存せずに再起動したことある奴の話モナー
二重ルータって何?
text editorでconfiguration書いてpaste という仕事をgoogle翻訳したら 文章編集と訳されたです 日本語難しくてごめんなさい あ〜あるある
>>136 IPネットワーク技術関連の文書や試験の解説書・問題集等で、そんな表現みたことあるか?
層を増やしてどーする二重之塔、三重之塔なんて攻略むずいぞってゲーム好きに説明したらうけてたぞ
>>135 「ポート開放」については
外からは全ポート拒否がデフォルトだとすれば
必要なとこだけ「開ける」という意味では分からないでもない
フィルタではなく静的NATのことを「開放」と称するのはどうかと思うが
ご家庭用ルータだとNAT設定すれば勝手にフィルタも設定されるのかな?
よく知らんのだけど
「開放」の対象を「ポート」のみに限定して呼称するのは何ゆえ?
はい、雑談はそこまで
通信解放とか、アクセス解放っていうと何を開放してるのか分かりにくくなるからいいんじゃね?
人民開放とか民族解放とか 字がちが
疎通確認〜
151 :
anony :2014/01/11(土) 20:30:05.74 ID:???
ピングなのかピンなのか
で、ポート解放は、正しくはどう言えば良いの? スタティックポートフォワードトゥーアナザーアドレス?
>>151 日本国内で使う分には基本的にはどっちでも良い
まぁ国内ではピングの方が普及しているけどね
通ぶりたかったり、訳知り顔したかったらピンと呼ぶと良いらしい
海外でガイジンに囲まれて仕事をするならピンの方が良いらしい
まぁ決論としては好きな方で呼べば問題ない
通信技術は名称がいまだ混乱 IPマスカレードって何?
仮面舞踏会
>>154 以前、派遣での面接で、
PATと、NAPTの違いを言ってください、って言われて、答えれなかったwww
>>152 ポート解放なる表現は意味の定義があいまいだから、それに対する明確な答えは無い
ここはヤマハスレ
1 まずは、ヤマハが公開しているコマンドリファレンスや各種の文書の中から、自分のやりたい内容のものを探す
2 そこには標準とは異なる呼称やヤマハ独自の表現も含まれるので、ググって標準的な呼称を探す
マスカーレぃード 燃え尽きそう 火照るからだから
>>145 YAMAHAでもGUIだと、そうなった気がするが。(RTX1200弄った時の記憶)。
>>158 Leon Lussell のほうが100倍名曲
>>160 辛気臭いやん
歌詞ないから書き込みもできんし
うわ、歌詞あった イントロ長いだけやったわ
イントロ面倒ならカーペンターズversionを聞けばよろしい
あいやいやいあどりーま、あいやいや・・・
>>163 スタンダードだしいろんな人がカバーしてるよな
Leon Lussell 作曲の名曲といえば
A Song for You もカーペンターズの方が(ry
166 :
. :2014/01/12(日) 18:23:47.56 ID:???
最近、雑談スレになっとるなw
これも未来人襲来のおかげです
て
>>157 コマンドリファレンスが俺の辞書
俺の辞書に不可能はない
>169 仕様的にできない事も多いけどね・・・
CISCOと比べると、負けてるけど CEFの記事とか、結構食らったw でも、国産ではがんばってると思うぞ
172 :
. :2014/01/16(木) 21:28:35.11 ID:???
F士通 「ふん。しょせんは島国のNW機器よ」 H立 「NW機器はアメリカ製こそ至高」 N本電気 「銭のないやつらはYAMAHAの玩具で満足してればいいのよ」
そしてメリケン神話は確固たるものになっていった
日本人にとって日本語対応なのは大きい
175 :
名無しさん :2014/01/17(金) 00:04:07.37 ID:VjGlmiMj
>>172 F通のSi-R も島国の機器だろ。
H立、N電気ってUNIVERGE は、cisco モドキじゃん。
保守入れないと、ファームすら来ないくせに。
176 :
名無しさん :2014/01/17(金) 00:04:46.91 ID:VjGlmiMj
>>176 RTX810のWeb設定とコマンド入力窓の存在も素晴らしい
上位機種にもぜひ導入を望む
ヤマハのGUIはコマンド入力窓搭載したのか どんどん進化していくなw Frotiのvdomみたいに仮想できる様になる日も近いか
Si-R180(Bじゃない)を3台持ってるが、方言か厳しくてなかなか通じませんよ
ばがごぐでね
GUIで、AD値って変更できたっけ?
183 :
名無しさん :2014/01/17(金) 11:15:26.50 ID:VjGlmiMj
>>177 RTX810 は、GUI でもフル設定出来るんだな。
ネットボランチシリーズみたいだ。
1200 でも良いかなと思ったけど、810 買いだな。
184 :
anonymous :2014/01/17(金) 12:54:09.26 ID:apEs0ZGV
>182 RTXのGUIにアクセス ↓ 詳細設定と情報をクリック ↓ コマンド実行をクリック ↓ 入力窓に必要なコマンドを入力 ↓ 設定の確定
CLIのadministratorにはログインできるのに、 GUIの管理者には入れなくなってしまいましたw こういう場合、どうすれば解決するのでしょうか?
自己解決しました。 名前なしのパスワード有りでしたwww
>>184 最近から、1200使っているけど、詳細設定と情報の項目が無いよう。
1200から390を引くと出現する隠し項目
189 :
. :2014/01/17(金) 20:39:53.42 ID:???
AD値を触るような人間がGUIで作業するか? メンドクセーだろ
190 :
anonymous :2014/01/17(金) 20:45:49.20 ID:apEs0ZGV
だがGUIのコマンド窓でのコンフィグ編集は相当便利だぞ MicroSDカードへの読み書きもマウスクリックで簡単に済むのもありがたい この方式が上位機種にも普及する事を望むよ もちろんターミナルソフトを使い続けたい変態さんは旧来以前の方法を続ければよい
191 :
名無しさん :2014/01/17(金) 21:04:02.59 ID:VjGlmiMj
GUIは、初心者には必須。 慣れて来たら、CUIにすればいい。
192 :
. :2014/01/17(金) 21:30:40.21 ID:???
>>190 投入するだけなら、確かに窓にコマンド突っ込むだけでいいけど
状態確認しながら作業しないのが新世代なの?
俺は老害だからこんな流れでやるわ
頭が悪い人間はコンソールでやるしかないな
1.状態確認
2.何かを投入
3.状態確認
4.保存
193 :
anonymous :2014/01/17(金) 22:07:07.45 ID:apEs0ZGV
>>192 作動状態の確認もGUIでできるじゃん・・・
GUI画面でコンフィグやレポート、エラーリストも吐き出せるし
L2スイッチ(SWXシリーズ)の連携設定もRTX810のGUIからできる
シリアルコンソールやターミナルソフトなんて無くてもまったく困らない
(コマンドの知識は必要だよ)
RTX1200をプライマリーDNSサーバにしているんだけど、 逆引きができないのは仕様?それとも、俺の設定がミスってるだけ?
香ばしいな
何だか車スレのマニュアル厨みたいなもんだな・・・ スポーツモード付きATの方が優秀なのに敢えてマニュアル至上主義を譲らないのと似ている
トランクスとブリーフのどっちが優秀なのか語るスレ
CUI派=ふんどし
199 :
194 :2014/01/18(土) 04:13:02.66 ID:???
WindowsServer2012は、既定の使用設定が、CUIに変更になった ここでは、GUI派が強いようだけど、セキュリティ面で問題ないの? ルーターにDHCPサーバやDNSサーバの代わりをさせる事が間違っていたかも。 お客さんと話する時でも、そう薦める事ってない・・・
>>199 セキュリティの面では大差ないだろうな・・・
どっちも基本的にはIDとパスワードでガードしているだけなんだから
どうしても心配なら追加設定でアクセス制限すれば良いだけだ
ルーターにDHCPサーバをさせるのが嫌なら機能を止めておけばいいだけだし
openswan,libreswan,strongswan どれがええのん
素人さんならGUIでもいいけど、飯食ってるやつは大概CUI 接続条件によっては使えないUIに習熟する意味がない
YAMAHAのスレだし、YAMAHAのUIで話そうぜ YAMAHAのルーター達の多くがGUIに対応してないなら、CUIを極めるべきじゃないか
>>202 > 飯食ってるやつは大概CUI
わざわざ敷居を高くして仕事を囲い込みたいって下心見え見えだよな・・・
GUIにすれば簡単な事だけど敢えてターミナルソフトでコマンド入力して見せて
難しい事をしているように演技している・・・
ヤマハの見える化技術はそんな強欲SEの牙城を切り崩す切欠になって良い事だ
害虫に外注にするより自社運用した方が効率的だし
Windowsの蔓延のおかげでGUI厨が沸いております 本質を見えてない痛い奴が
>>205 本質は見えているだろ
CUIしか選択肢が無い時代はルータの需要が限られていて
CPUやメモリが効果だった時代のしみったれ設計の名残だ・・・
今は省エネCPUやフラッシュメモリーなんて安すぎて困るくらいだ
GUIを搭載しない理由をこじつける方が無理がある
やっぱり見えてない 相手するだけ無駄だな
内容が無い煽り
>>206 誰かGUIを搭載しない理由をこじつけてるのか?
俺には見つけられんのだが
つかYamahaのルータにGUIは搭載されてるじゃん
一体どこの製品の話してるんだ?
GUIで設定変更した後はどうやってその設定変更をした確認担保をとるんだ? CUIならshow confをとって差分比較ツールでいけるが。 GUIは目視確認よーしとでもいいたいんか?
211 :
. :2014/01/18(土) 19:51:42.20 ID:???
会話が噛み合ってないと思う CUIでやることの楽ちんさを理解して貰えないみたいだから GUI=簡単出し、リッチなUI CUI=無駄に難解でプアなUI 実際には GUI=実は手数が掛かって、スピードにかける CUI=慣れてしまうと、楽すぎる。tabキーって楽だよね 普通は問答無用でhttpはoffにするケースが多いんだけど 自分の管理するルータならoffにしなくてもいいから 好みの問題でいいんじゃない
212 :
. :2014/01/18(土) 20:00:03.09 ID:???
Yamahaルータだけ管理していて 常に自分だけがそれを見てるなら、GUIで何の問題もない 色んな機種を触るし、色んな客先に行くなら GUIで操作する必要は無いし そもそも大抵はhttpはオフだし、telnet・sshも禁止な所もある コンソールが基本だな 逆説として、yamahaマイスターならCUI使わなくてもいけるだろ 色んな機種を触るなら、うろ覚えなコマンド叩くのに CUIじゃないと困るとも言える 「?」多用する俺は、そう思う マニュアル完全に頭に入ってたらGUIでもいいんじゃね
>>210 目視確認よーしは普通にやる
大体は設定前後の画面キャプチャ取って比較かな
結局config保存はCLIなんだけどな ヤマハの場合GUIで設定したらフィルタ番号が長すぎて configで読み難いのが難点だな
215 :
anon :2014/01/18(土) 23:13:14.35 ID:???
いわゆる玄人がCUIを持ち上げたがる傾向があるのは認めるけど GUIの方がわかりやすくて確実なのになんでCUIなんて有難がるんだという論調は 業務用ルーターの運用のことをわかってない発言だと思う。 GUIは設定の状態がビジュアル的に表示されるので、 各データの関連がわかりやすい点は大きなメリットだと思う。 一回設定してしまってからは、GUIで表示・編集した方が運用は楽な面もあると思う。 が、GUIというのは結局内部でCUIが動いているものを整形しているだけに過ぎないから CUIの使用が前提になっていないと根幹が揺るぐと思う。 シリアルケーブルでのコンソールログインはCUI以外はありえないし。 一度にたくさんのデータを変更したり、一度にたくさんのルーターに似たような変更をしたい場合 CUIでないと手間がかかってしょうがない。 つまり、一長一短あるわけで、「両方ガッツリ使えるルーターが最強」がFAだと思う。
>>215 > 一度にたくさんのデータを変更したり、一度にたくさんのルーターに似たような変更をしたい場合
> CUIでないと手間がかかってしょうがない。
そんなに面倒じゃないよ
事前にPC上のテキストエディタで編集しておいたコンフィグファイルを
コマンド入力窓にコピー&ペーストすれば簡単に反映できる
たくさんのルータに類似する設定をしたい場合もPC上で編集して
次々コピー&ペーストしていけば済む・・・
RTX810のWeb設定はGUIのコマンド入力窓を使う事でCUIとほぼ同じ事が
できるのが優位点なんだよな・・・
この機能を上位機種にどんどん導入していけばRTXシリーズを採用する
企業はどんどん増えていくだろう
これがヤマハの進むべき道だな
設定を記録してマニュアル残すのも楽だしね
218 :
anon :2014/01/18(土) 23:35:50.97 ID:???
>>216 あなたが言うパターンはIPレベルで接続できる環境が前提でしょ。
ルーターの管理は必ずしもIPレベルでの通信が確保された状態でできるわけじゃないから。
それに、10台とか20台設定するのにいちいちIPアドレス変えてconfig流してたら面倒でしょうがない。
全部縦に積んで、シリアル挿し変えながらtermソフトで流す方が遙かに早いでしょ。
求められるシーンが違うんだから一方を持ち上げるのやめようよ。
>>218 今の時代IPレベルの接続ができない環境の方が特異でしょ?
それにRTX810はCUIしか使えない無能の為にシリアルポートは残っている
ジジィは見捨てられてないから安心しろ
220 :
anon :2014/01/18(土) 23:46:01.76 ID:???
>>219 微妙にスレチだからこれをコメントの最後にするが、
あなたは実際に現用NWを保守していない人だと考えざるを得ないね。
ここ読んでる人の大半は今交わしてる議論がばかばかしいのはわかってると思うけど。
そんなにGUIだけで運用するのがよいならあなたはそうしたらよろしいが
CUIを併用してる人たちをジジイ呼ばわりするのだけはやめたほうがよろしい。
>>220 自分もCUIを併用しているよ
上位機種や旧式機は非対応だからね
両方遣い比べた結果CUIだけしかない旧式よりもCUIとGUIの両方が
使える方が圧倒的に便利
「CUIだけ」よりも「両方使える」ほうが圧倒的にね・・・
今後、上位機種にもWeb設定が採用されれば旧式機を一掃するつもりだ
ヤマハにとっても中小企業向けの普及機の展開はビジネスチャンスだから
勇気を持って上位機種にも採用するべきでしょう・・・
まぁうち会社の環境だと中位機種に採用してくれれば十分だけどね
俺様脳内持論に対抗説明させてニヤニヤするだけの掻き回し閣下だろうから 相手しない方がいいとおもう、はい次の方どうぞー
CUIしか使う気になれないわ GUIなんてページ開いたこともない・・・
ルータとしての本業を疎かにして欲しくない 家庭用のブロードバンドルータにはそういう残念なのがイパーイあるけど
>>221 GUIで出来てCUIで出来ないことって何かあったっけ?
逆は色々あるけども
>>225 @ビジュアル化されたインターフェース
A配下のSWX2200シリーズやWLX302をグラフィックイメージで管理設定
「見える化」アプライアンス
CUIでは逆立ちしてもできませんよね?
自分が好きな方使えばいい
構ってもらえたGUI閣下は御機嫌です そんなに必要だと思うならココじゃなくヤマハに意見出せヴォケが
229 :
anonymous :2014/01/19(日) 13:01:45.79 ID:IpP+qMAx
別に意見を出さなくてもネットワークの「見える化」はヤマハの方針になりつつあるよ すでに中小規模のネットワーク機器はGUIを前提としたシステムが提供されている この調子なら今後数年で上位機種もフル設定GUのI搭載もありえるだろうね 「老兵は死なず、ただ消え去るのみ」
GUI閣下の定期公演に振り回されるスレ
ルータAからルータBの設定書き換えられない時点でGUIとか論外だっつのw
家庭用ルータでも使っててくださいって感じ
別にGUI使いたい人のこと否定する必要もないんじゃね 実際にYamaha的にはどっちもありの方向に行ってるんだし 全くのゼロから設定するならGUIの方が早いことも確かにあるだろう (通常の業務では既存のconfigを元にするのが普通だろうとは思うが) 使ったことのない新しい技術とか Yamaha推奨の雛形をクリック一発で取り敢えず自動的に入れてくれるツール などと割りきってしまえば使い道はあるかも
234 :
anon :2014/01/19(日) 17:23:54.95 ID:???
バグが無ければいいねw 元の機能のバグなのかGUIが吐くコマンドがバグってるのかGUIから区別がつけばいいけどw
235 :
anonymous :2014/01/19(日) 17:51:32.57 ID:IpP+qMAx
>>234 GUIでコンフィグやログのレポートを吐かさせれば済むだけじゃね?
236 :
anonymous :2014/01/19(日) 17:58:28.35 ID:IpP+qMAx
>>234 Yamahaの人間がファームウェアにバグ作るのと通常の管理者が設定でヘマやらかすのと
どちらが多いのかと考えると俺は後者だと思うんだよね
「雛形」と書いたのは、それを元にCUIで修正すりゃいいという話で
GUIで始めたら何でもかんでもGUIで終わらせなきゃいけない
などという思い込みは捨てた方がいいと思う
Yamahaのサイトから設定例探してきてコピペするより
GUIの操作でルータに直接入れてくれた方が楽だと思わない?
ルータ内蔵の「設定例集」だと思えば単純に便利だと思うんだが
俺もこれまでGUIでの設定なんか使ったことないが
別に不要だと思えば使わなきゃいいだけの話で
なんでこんなに必死にGUI不要論を主張する人がいるのか理解できん
>>236 telnetでつなげた機器からtelnetで別の機器を設定する。
ルールやセキュリティ上、直接接続できないセグメントの機器を操作するときに使う方法。
客先のメンテ用エッジルーターから別のルーターにつなげるんだ。
こうやればルーティングテーブルにベンダーのnwを書かなくて良いでしょ
239 :
_ :2014/01/19(日) 20:12:42.11 ID:???
仕事でNW機器を大量に処理しなければいけない人 →コンソール 本職以外にRTXの運用もやる人 → GUI これでいいよな 「GUIは素人臭い」とは言わないよ 本職の片手間にやってるんだから、大した物だよ 俺だってLINUX鯖触るときに、コマンド思い出せないと ついついstartxとか打ちたくなる 使わざるをえない環境が多いってのもあるけど 楽するためにコンソールつかってんだよね俺達 かっこつけてるわけじゃないし そもそも、シコシコ作業してるのを尊敬されることはない 新人は感心してくれるけど、1年後には独り言をブツブツ言いながら隣でコンソール画面に向き合ってるわ
CUIじゃなきゃ設定全体を視認できない。ルータとかの場合あたりまえ。GUIベースで設定しても (config)テキストを見る。 でもそれをチェックしたり個別の命令発行するのに、あれこれ(CUI)スクリプト咬ましてるでしょ? で、そのうちの「一部」がYAMAHAの方のGUIで準備されてれば、それでやれる部分は有り難いさ。 だって見やすいもの。GUI的なものって。だから、組み合わせをどうするかってだけのお話。 言い換えれば、CUIで設定、GUI(あるいはCUI的スクリプト出力)で確認。確認したらCUIで書き換え( 軽いものはGUIでポチる)。 これ普通やん?
>>239 X入れているけど、sshで接続して、設定いじっているw
>>239 >本職以外にRTXの運用もやる人 → GUI
なんでそう決めつけるのかねえ。「本職」じゃなくても、大量処理とか普通にあるわけでね。
まあまあ 落ち着いて
>>226 頭で描けなければ、普段から応用と発想ができないはず
トラブルの対処にも柔軟に向き合えなくなる
GUI依存は、頭を弱らせるだろう
>>244 そうなんだよね
GUIによるネットワークの「見える化」は
ネットワークを具体的にイメージ化してくれるから
より頭の中でイメージ化しやすいんだよね・・・
文字列だけのCUIではこうはいかない・・・
>>245 意味をとり違えてるぞ
guiがないとわからない、イメージできないのでは困りものだ
とい言っている。
cuiを読めることは、たくさんのメリットがある。
ルータの管理だけにとどまらない。
創造性や問題解決能力は、プログラミングと同じく
文字情報との付き合いによる能動性から生まれる。
247 :
. :2014/01/20(月) 10:11:24.17 ID:???
GUI閣下の独壇場だな
249 :
anon :2014/01/20(月) 12:44:06.02 ID:???
>>245 cactiやzabixなんかで取るのが普通なんだけど、素人さん?
ルータのGUIで取れる情報程度で見える化って随分可愛らしいな
>>249 cactiなりzabbixに相当する機能が搭載されていれば便利よね、
と言っているだけじゃないかな
251 :
anonymous :2014/01/20(月) 13:28:01.70 ID:CMNG/7hR
>>249 つまりCUIじゃ不十分だと自ら認めるわけですね
ご苦労様です
252 :
anon :2014/01/20(月) 13:46:50.80 ID:???
>>251 監視と設定の区別も付かないのか
可哀想に
素人で1台持ちの俺は MRTGでトラフィックの状態監視させて 設定などは全てシリアルポートで 他人がどう言おうとこれでいく 閣下が意見を聞き入れないのと同じくらいに頑固にw
254 :
anon :2014/01/20(月) 16:35:41.30 ID:???
>>253 普通の発想だよね
MRTGまで導入できてるならrsyslogdにログ吐くようにしてswatchでイベント発報させるのもお勧め
ここで質問していいかわからんけど、 もし知ってる人いたら教えて! RTX1200でL2TP/IPsecを使ったリモートアクセスの設定してるんだけど、 L2TPクライアントに対して、ルータのNIC以外のIPアドレスを DNSサーバとして自動通知する方法ってある? [ip pp remote address pool]コマンドのオプションにはないみたいで…orz とある事情でDHCPサーバの設定は無効で実現したい。 やっぱりクライアント側で明示的に指定するしかない…かな?
>ルーターのNIC以外の っていう意味が判らんけど(gatewayの?)、 address poolでふり出したIPを条件に、dns server selectで分岐させるってのはだめなの?
257 :
anonymous :2014/01/20(月) 18:56:10.95 ID:CMNG/7hR
>>255 たぶんあなたの希望する事とはまったく違うと思うけど・・・
「状態メール通知機能」を使って「ARPテーブル」をご希望のクライアントPCが
使用しているメールアドレスにトリガ設定で自動送信するのはどうだろうか?
たぶん違うと言われそうだが・・・
258 :
. :2014/01/20(月) 22:27:40.99 ID:???
実現したい事が良く分からない GUI閣下に相談してみよう
↑つまらん
260 :
GUI閣下 :2014/01/20(月) 23:46:32.87 ID:???
しょうがねーな俺の出番か よーく聞け。 DNSの自動取得方法はDHCPだけではないのだよ まずは接続先にBINDがあるかないかだ つまりGUIで設定では不可 & 求める場所はこのスレではない
プッ
キウイ閣下は?
いたなーそんなのも
>>255 できるでしょ
というか、L2TPの時代は、rtx1200がIPsecの個別認証に対応した以上は、
時代遅れになってしまうのだろうな
IPsec/L2TPの設定に、頭を悩まし、 そうしてようやっとつながった後、むなしさを覚えた。 結局、私はユーザーに過ぎないのだと。 次のようなコマンドを入力した。 1、l2tp service on 2、tunnel encapsulation l2tp 3、ipsec transport 1 *** udp 1701 なんなくは意味が分かるので、なぜにこんな中途半端なコマンドが必要なのか疑問を覚える。 なにがいいたいかというと、これらのコマンドがいったい他の場合にどんな応用が効くのかということだ。 応用が効かないコマンドなら、もっともっとでかい単位でコマンドにくくっていてほしい。 それとも、ルーター内の機構をよく見通せていないので、 それらが随所で有効のコマンドだと理解できていないのだろうか。 しかし、それはヤマハのエンジニアさんのお仕事だと思う。 なんか、付き合わなくても良いコマンドに付き合った感があって、むなしい。
266 :
265 :2014/01/21(火) 08:04:39.84 ID:???
ルーターの「コマンド」は、プログラミングでいうところのメソッドとは違う。 ルーターのはあくまでも、ルーターが持っている機構にパラメーターを設定するものなのだろう。 だから、機構が複雑であればあるほど、それらを設定するコマンドの量も膨大になってくる。 一方、プログラミングのメソッドは、オブジェクト指向でいうカプセル化を実現するものだ。 メソッドを投げるだけで、複雑な機構を知らなくても、ポンとことをなせるのだ。 上のレスでは、「GUIか、CUIか」が議論されているが、 GUIはひょっとすれば、ルーターの機構ごとの設定を意識せずに、機能単位に設定してしまえるものかもしれない。 たとえばL2TP over IPsec機能に必要なパラメーターをいくつかセットするだけで、 ルーターの機構設定のコマンドがまとめて投げられるわけだ。 これは便利だと思う。 しかし、Cなどプログラミングで、予め機能という単位を準備することはできないが、 ルーターはどうなんだろう。 それこそオブジェクト指向の考え方をとりいれて、機能単位にクラス(ライブラリ)を用意して、 必要があれば継承して機能拡張を行えるようにする。 うん、抽象化の視点がルーターには欲しいんだ。 ルーターのそのままのファームウェア的な機構ではなくて、それらを集めて機能単位に集約した、抽象化されたモノを設定したいんだ。 こういうあたらしいタイプのルーターを使ってみたいものだなあ。
RTX1100(Rev.8.03.94)で、IPsec/L2TPを構築しています。 クライアントは、Windows8の標準のものです。(レジストリをいじって使えるようにしています。) あるとき、トンネルが途切れて再接続しようとしましたが、だめでした。 # ipsec refresh sa を実行すると、ただちに使えるようになりました。 RTX1200でも同様の問題が生じるのでしょうか。
268 :
267 :2014/01/21(火) 09:04:06.79 ID:???
あと、それから、 L2TP/IPsecクライアントを動作させているwindows8では、3G回線をテザリングで使っているんですが、 L2TP/IPsecサービスの動いているRTX1100ルーターの内部アドレスへのpingで、500〜800msec(ときには1秒ごえ!)もかかっています。 これって、3G回線だと普通なんでしょうか。(どうりで電話でも遅延が目立つわけか?) LTE使っている人いませんか。一概にはいえないと思うのですが、もっと速いでしょうか。
センターとして使っているRTX810に対して、別のRTX810にLGのUSBモデムを使って 安SIM使ってIpsecのLAN間接続を試した時には・・・ 遅かったね 光と比べては気の毒だが軽いファイルのやり取りにしか使えない
複数設定したPP(PPPoE接続)設定の一つ(1接続分まとめて)を消したいのですが よい方法はございますか?
マニュアル読まずにいきなり訊く奴
GUIならそう言う面倒事を一度に完結してくれるんだよな・・・
viがルータ内で使えるべき なら、簡単に消せる ファイルに分けてもよし
は?
1200の後継まだぁ?
>>273 便利だね。
guiは設定が楽だし、漏れが無いので初心者にも優しい。
cuiは難しいけど仕組みがよくわかるので技術を理解しやすい。
>>274 昔のアライドはスクリーンエディタ内蔵してたよね。
エディタにはコマンド補完が無いから直接設定したほうが早い。
>>276 当分先だと思うよ。
順番や発売日からしたらそろそろのような気がするけど、後継を出すほど世の中変わってないし
まぁ6月にモックの新モデルが発表されて発売日未定、くらいではないかと予想している それが1200の後継かどうかってところだな
>>279 >>280 確かに、環境変わってないけど、
他社製品より、徐々に見劣りしちゃう感も若干ありですね。
RTX1200が古く感じるのは確かだけど強化されるとうれしい点が特に思いつかないという
確かにRT1200は優秀機だよな しいて言えば価格ぐらいのもんだろうが 周りのルータと比べても安い部類なんだよな
>>283 価格的、機能的にRTX810との中間を埋めるバージョンが欲しいね
まぁ一応RTX810の上位機種にFWX120があるが、RTX810寄り過ぎるのが残念な点だ
>>284 自分、営業職で提案する側なので、トータルで1200がいいと思ってるのだが、
客から、個別機能で指摘されると、あー、そこのスペックだけはねって
なる程度のはなしです。
>>285 確かに価格抑えてRTX1200の劣化モデルが欲しいところだね
個人的にはVPN数と物理ポート辺りなら削っても全然OKなんだがな
価格とVPNスループット、PAT考えるとNECの方がいいってなっちゃう案件もあるな
289 :
anon :2014/01/21(火) 22:32:29.24 ID:???
>>288 RTXですら扱える人間が少ない(方言覚えるの嫌がる奴にイライラするぜ・・・)のに
IXを触らせる困難さを考えるとなぁ
>>287 NVRにL2P/ipsec喋って貰いたいな
小さい営業所にバラ撒きたいんだけど
数が多いと、810の値段見て尻込みされるんだよなぁ
>>288 IX2015とかは良いけどNECファームのサポートに難があるよね
ってかこれが普通でヤマハのサポートの良さが異常かもしれんが
>>289 双方固定アドレスでPPTPを使えばどう?
固定アドレスなので、filteringが可能。
セキュリティーのやばいPPTPでも大丈夫。
>>291 もっと言うと、NTTのNGN網が使えるなら、
網内IPv6をつかって、PPTPとか。
IPv6でも、PPTPできるよね?
>>292 RTX1200で置き換えられた、洋ナシRTX1500の使い道ってあります?
>>293 バッファロのは、ISDNのリモートセットアップとかある?
シリアルポートとかあったら、ちょっと前のレスに、アナログモデムを活用した人もいらっしゃったので、
リモートアクセスも可能だけど。
>>295 シリアルはあるみたい。INSはさすがにないな
バッファローのヤツは検証するに価するかどうかで躊躇している
ハードウェアの寿命も気になるし
>>294 ヤフオクで売れば5000円以上になるんじゃない?
バッファローのヤツ、検証してみてくれ
RTX1200も発売から6年になるから次機種でるだろな interopで試作機展示がいつものパターン vpnスループットを上げてくると予想
GUI機能の更なる強化をしてくるんじゃないかな?
もういいから
スループットを上げてほしい
304 :
名無しさん :2014/01/21(火) 23:43:26.14 ID:jA3Obqxd
フレッツ網経由なら、PPTP じゃなくて、非暗号化しないIPIP でいけるだろ。
NGNの管理作業を請け負っている人間やNTT東西を信用するか否かによるわね。
> 非暗号化しない ? 暗号化しない、もしくは非暗号化 と書きたかったんだと解釈して 自社内と相手先社内の区間で暗号化していない区間があると そこのセキュリティは大丈夫なのかという安全性をどうやって担保するのかとか 外野のノイズで面倒になったりするから、バカ除けは必要だとも思う
>>305 その昔、広域イーサだかなんだかの閉域網でやらかしたことがあったので、
閉域網だから安全という立場は技術屋としてはとりづらい面が。
契約上で瑕疵担保をとったりしているなら別だがまぁそのパターンはないな
あの、まじめな話で申し訳ないんですが、教えてください。 ipsec sa policy POLICY-ID GATEWAY でつかう番号によってL2TP/IPsecが動作しなくなります。 ○これだと動作する↓ tunnel select 30 tunnel encapsulation l2tp ipsec tunnel 130 ipsec sa policy 130 30 esp aes-cbc sha-hmac (略) pp select anonymous pp bind tunnel30 pp auth request mschap-v2 (略) ipsec transport 1 130 udp 1701 l2tp service on ×これだと動作しない↓ tunnel select 1 tunnel encapsulation l2tp ipsec tunnel 1 ipsec sa policy 1 1 esp aes-cbc sha-hmac (略) pp select anonymous pp bind tunnel1 pp auth request mschap-v2 (略) ipsec transport 1 1 udp 1701 l2tp service on なぜなんでしょう。POLICY-ID GATEWAYの番号を一緒にすると動作しなくなるのはなぜなんでしょうか。
手元の機種、ファームverと接続相手先の機種やファームver そして接続サービスにどこの何を使っているのかなど 問題のない範囲で書くと多くに興味持ってもらえます
311 :
308 :2014/01/22(水) 07:04:39.93 ID:???
>>309-310 RTX1200(Rev.10.01.53)です!
接続相手は、Windows8-64bitビルトインのL2TP/IPSECクライアントです。
とりあえず、テストでは、プライベート環境において行っています。
(すなわち、RTX1200のLANアドレス、ipsec ike local address 30 192.168.1.1 でしていされる内部アドレスを指して行ってます。)
>>308 のとおり、
なぜ、POLICY-ID GATEWAYの番号を一緒にすると動作しなくなるのはなぜなんでしょうか。
>>308 流して見た感じ略された部分以外に問題はなさそうにみえるね
syslog debug on
l2tp syslog on
の状態でログを見てうまくいかない時にどこまで動作しているのか見てみては
www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html
313 :
308 :2014/01/22(水) 08:43:42.78 ID:???
>>312 レスありがとうございます。
また、休みのときにでもデバッグを動かしたいと思うのですが、
今現在、
>>308 の「○これだと動作する↓ 」のコンフィグで、L2TP/IPsecできてます。
よくわからん・・
> なぜなんでしょう。POLICY-ID GATEWAYの番号を一緒にすると > 動作しなくなるのはなぜなんでしょうか。 そっちじゃなくて ipsec transport 1 1 udp 1701 の行で、トランスポートIDとポリシーIDが一緒だからダメなんじゃね?
>>314 横レスで悪いけど、俺のRTX1500のコンフィグ確認したらトランスポートIDとポリシーID一緒だったよ
俺頭悪いから、LAN間IpsecもL2TPも全てトランスポートID=ポリシーIDにしてるけど問題ないよ
GUI化をもっと進めればこんなくだらんトラブルは起きなくなるのにな
そうだね、GUI専用ファームを開発してもらえよ
319 :
anonymous :2014/01/23(木) 19:04:57.01 ID:k9UvaVDV
業務用ルータの世界にも遠からずGUI時代が来るだろうな
もういいから。 来るわけないだろ。
paddingなんですよ ペイロードなしではパケット送信できなかったんでしょう
質問に答えられなくて沈黙するCUI厨をヲチする為じゃない?
閣下はいまだ燃え足りないようです
325 :
- :2014/01/23(木) 23:03:56.04 ID:???
>>321 その時は興味有ったんだけど
書いた後に、上司がCisco買った良いと言ったから
どうでも良くなったんだよ
結局、王道勝負ではヤマハはシス子には勝てないって事だよな 邪道(GUI)で新規顧客を開拓する事がヤマハの生き残る道
327 :
名無しさん :2014/01/23(木) 23:36:46.72 ID:/dvVv/1E
でも、Linksys はヤマハに負けてるのでは??
329 :
+ :2014/01/23(木) 23:48:11.79 ID:???
関係ないかもしれないけど、最近はアライドを使わなくなったな・・・ SWは使いやすいけど、ルータの位置づけが難しい おめーらはどうよ
俺は現状のヤマハに魅力があるから使っている 設定手法がどうこうってのは副次的な要素に過ぎない 機能・情報・価格・ファームウェアの入手・コストダウン優先でタイマー搭載など取捨選択すると ヤマハは結構いいところにいるのであるが至高最高絶対優位な製品じゃない、とも思う 閣下には閣下のご所望があるだろうから好きにしてくれ
日本語が不親切だから対象外
>>329 昔からCISCOでルーター(L3 SW)、アライドでL2っていう構成が多かったな。
>>332 ciscoの更改が悩みの種。
最も信頼できる機器だが、コストがかかりすぎる。
RTX810で vlan port mapping lan1.1 vlan1 vlan port mapping lan1.2 vlan1 vlan port mapping lan1.3 vlan1 vlan port mapping lan1.4 vlan2 lan type lan1 port-based-option=divide-network ip vlan1 address 192.168.A.B/24 ip vlan2 address W.X.Y.Z/28 ってやったら vlan1とvlan2の間でルーティングできる?
335 :
anony :2014/01/24(金) 20:05:43.75 ID:???
>>334 できる。オレはそれで訪問客用と社内を遮断するのに使ってる。
336 :
334 :2014/01/24(金) 20:15:31.25 ID:???
>>335 遮断じゃなくて、vlan1 - vlan2 間で通信出来るか?ってこと。
337 :
332 :2014/01/24(金) 20:22:28.29 ID:???
>>333 率直に言って、規模と構成および機構的な部分(これ結構大切)が耐えられるなら
ルーター(というかネットワーク全体)はYAMAHAでいいと思うこの頃。
CISCOつかうとカッコイイ的につかってたところがある<俺
338 :
GUI殿下 :2014/01/24(金) 20:29:26.40 ID:???
>>334 タグ付きで良いなら
# vlan lan1/1 802.1q vid=10
# vlan lan1/2 802.1q vid=20
# ip lan1/1 address 192.168.10.1/24
# ip lan1/2 address 192.168.20.1/24
┌────┐
│ .RTX │
└┬───┘
..│
タグ付きパケット
トランクリンク
.. │
┌┴────────┐
│ sw-hub............. │
└┬─┬──┬─┬─┘
.. │. │ ....│ .│
VLAN1 VLAN2
>>338 GUIでやってくれなきゃわかりません><
>>339 などが明らかに話の腰を折ってくる問題について
「GUI」言う人は、スレあらしに決定されました。
なので以後、GUIを話題に挙げる人は、無視してください。
341 :
名無しさん :2014/01/25(土) 00:14:59.34 ID:f16XmmuD
>>328 ユーザー層が被るんだろ。
一般ユーザーなんか、800 シリーズとか家庭や小規模事業所とかで
使わないだろ。
342 :
334 :2014/01/25(土) 10:39:33.42 ID:???
>>338 ポートベースのVLANではダメってことか。
>>334 なんか、810って、rtx1200とかと比べて、特殊な設定なの?
vlan port mapping lan1.1 vlan1
とか、
vlan lan1/1 802.1q vid=10
とか、
使ったことない。
RTX1200なら、何も考えずに、ネットワーク間でルーティングできたけど。
>>344 普通に使う分には同じだよ。vlan使うときそういう設定するんだよ。
で、vlanで分割したネットワーク間は、何も設定しないデフォでは
パケットは全部流れる。まぁルーターとして当然だけど。
vlan間で通信したくなかったらフィルタ設定で遮断が必要。
>>345 >vlan間で通信したくなかったらフィルタ設定で遮断が必要
>vlanで分割したネットワーク間は、何も設定しないデフォではパケットは全部流れる。まぁルーターとして当然
そうだよね。RTX1200でもvlanとは言っている(RTX1100にはそんな概念なかったと思う)けど、
一般に言うところのvirtual lanを有効にしたければ、さらに設定を要するんだね。
virtual lanなんて、面倒くさそうだし、よくわからないので、使う予定もないけど、
lan上の非対応機器などがあって互換性に問題は出ないの?
VLAN の仕組みが知りたいなら このスレと関係ないから L2スイッチ関連のスレで聞けば? ある程度LANの規模が大きくなれば 必須の技術
>>346 一般に言うところのvirtual lanってのが、イミフだけど、VLANはVLNAだぞ。
それをルーティングするしない・出来る出来ないの違いでしか無い。
VLANとルーティングは当然別もんだ。
>lan上の非対応機器などがあって互換性に問題は出ないの?
portベースVLAN使ってる分には、何も問題無い。
tagベース使うなら、tag付き理解出来る機器じゃなきゃ、問題出るが。
>>347 >必須の技術
そうなんだ。RTX1200のip vlan1 address コマンドを使っていたら、
知らない間に、VLANを遣っていることになるのかな?
>portベースVLAN使ってる分には、何も問題無い。
RTX1200で、ip vlan1 address コマンドでアドレス設定しているのは、
そのPORTベースVLANってヤツなのかな。
VLANのことなど全く意識せずに使っていたな。
RTX1200の内部の都合上のことだと気にしていなかった。
べつに、VLANでなくても、普通に物理ポートでもかまわなかったんだけど。
VLANで、複数ポートをサポートすることでコストを下げたのかな?
上のレスで、
>>348 のアンカー張り忘れた ごめん
>>349 無知のふりした荒らし?
本気で知りたいんだったら
「VLAN」をぐぐればいいんじゃ
352 :
GUI殿下 :2014/01/25(土) 20:24:27.93 ID:???
スレッドを荒らすだけの書き込みには失望している
ああ、激しくそう思っている っ鏡
ヤマハさんの場合、ポートベースVLAN(LAN分割)だとファストパスで動作しない という制約があったりしたので、ルーティングされるけど使わないor使いたくない という時代がちょっとあったからな
疎通させたいのならVLANで分けなくてもいいんじやないの?
L2デバイスとL3デバイスの役割分担が分かってないんじゃ VLANはL2でブロードキャストドメインを分割する技術だよ ブロードキャストドメインを分けつつ相互に疎通したいならばルーティングが必要 当たり前のことだ もっともLAN内のルーティングは今はL3スイッチが主流だと思うが
まだまだお金のない企業様が多いように感じます ルーターがLAN内で偉そうにしてますw
358 :
anonymous :2014/01/26(日) 19:11:34.83 ID:dAMAjozM
だからYamahaは自社運営の法人ユーザーを新たなターゲットにしているんだろ 法外な値段を吹っかけるSEに頼らずにネットワーク構築を目指す企業を・・・ 一刻も早くGUIと見える化技術を全シリーズに普及させて欲しいね
>見える化 反吐がでるバズワード
360 :
. :2014/01/26(日) 19:42:14.23 ID:???
Yamahaで組むのに法外な値段って 何処に頼んだんだよw ネットワンに頼むのが間違ってる
Yamahaで組むから、ciscoでふっかけるSEイラネっていってるだけだろ?
経理すら社外に依頼する流れの世の中でインフラの構築、維持を自社でやるような ところを意図的にターゲットにしているとは思わないな 全体的にインフラの構築、維持を楽にする方向だとは思うが
その範囲に、自社努力企業もあるということだろ。否定することはない。
経理を外注するような大手は相手にしていないだろ。
365 :
anonymous :2014/01/26(日) 20:26:20.74 ID:dAMAjozM
>>364 普通に考えれば経理を外注する時点でシステム一式も外注だろ
366 :
anonymous :2014/01/26(日) 20:31:45.44 ID:dAMAjozM
ヤマハ製品を取り扱うSCSKのキャッチフレーズが「見える化」とか 「ヤマハ通信機器で企業ネットを自分で作ろう」なんだよな・・・
>>338 上手くいかないです。
L2スイッチ、アライドに問題があるの??アライド設定はどこで聞けば??
>>357 ルーターと、L3ネットワークデバイスとどう違うの?
両方、ルーティングするよね。
フィルタの有無?
ipsec昨日とか?
ルーターを、L3スイッチというのがオシャレなんです
>>368 え、え、え、ここは真面目に答える質問ですか?
日曜の夜だしニヤニヤするところなのでしょう
YAMAHA1200 ip lan1 address 192.168.103.1/24 switch control use lan1 on vlan lan1/1 802.1q vid=103 name=VLAN103 ip lan1/1 address 192.168.103.1/24 vlan lan1/2 802.1q vid=106 name=VLAN106 ip lan1/2 address 192.168.106.1/24 ip lan3 address 192.168.100.1/24 pp select 1 CENTRECOM GS908M # VLAN configuration # create vlan=VLAN103 vid=103 add vlan=VLAN103 port=8 frame=tagged create vlan=VLAN106 vid=106 add vlan=VLAN106 port=8 frame=tagged # この設定で、 add vlan=VLAN103 port=3 frame=untagged を投入すると、接続不可になります…orz port=3には、PC_Aが繋がってます。 原因がわかりません。どこが間違っているのでしょうか…
>>367 マニュアルに書いてある
それでわからないなら、研修とか委託とか金払え
>>372 ip lan1 address 192.168.103.1/24
ip lan1/1 address 192.168.103.1/24
IPアドレス重複ってありだっけ?
マルチベンダ環境ではそれぞれの機器に詳しくないと うまく動かせないことがあります ドキュメントとか公式webを隅々まで読んでガンガレ
拠点A−−RTX1200−−NTTフレッツ−−インターネット−−WiMax−−RTX1000−−自宅 (WiMaxルーターはWM3800をクレードルで有線接続) このような構成を考えています。 しかし、自宅のRTX1000と拠点AのRTX1200とのIPsecでのVPN接続について行き詰っています。 RTX1000の状況は、LAN2にWiMaxを有線で接続、LAN1側にPCを複数台つないでいます。 RTX1000とRTX1200のTunnelはUPとなり接続は確立しているようです。 しかし、Tunnelを通した通信を行うと、Tunnelのトラフィックの送信側のパケットだけが増えていき、 受信側はゼロのままです。 当然、拠点Aとはpingすら通らない?返ってこないだけ?の状態です。 WiMaxでVPNする場合はMTU値を1400以下にするようにという記述をいくつか見ましたので、 RTX1200・RTX1000ともに、MTUを1350→1300→1250→1200と変えてみて試しましたが状況は変わりませんでした。 ↑の設定でWiMax回線ではなく、自宅の光回線経由でしたら問題なくVPNが貼れます。 ちなみにWiMaxの回線業者はShareeeの物を使用しています。 こうなってくると、回線がWiMaxの場合に限った問題に見えますので、 WiMaxでIPsecが使えないのかと思えてくるのですが、なにかご存知の方はいらっしゃらないでしょうか? よろしくお願いいたします。
>>376 pingのサイズを調整してもまったく通らないのかな?
>>374 ,375
重複でない場合も試したのですが、上手くいかないです。
アリガトウ、頑張ります。
greを通さない方向があるんじゃね
>>377 ping -l 1 xxx.xxx.xxx.xxx
とかしてみても、「要求がタイムアウトしました。」となります。
繋がりましたー! pp select 1 がまだ理解できていませんが、とりあえず本日中になんとかなりました。 ありがとうございます。
382 :
. :2014/01/26(日) 23:59:23.67 ID:???
Wimaxでドハマリした事あるなぁ
>>383 MTUはよくはまるらしいですが、
その時は何にはまったんですか?
>>383-384 MTUは、とても小さく設定すると、必ず成功するのではないの
で、じょじょにあげていくの
RTX810をはじめて使っったら IPsecもWEB設定で簡単に繋がって納めたのですが config file を落としてみたら nat descriptor masquerade static 1 1 192.168.100.1 esp というマニュアルにある行がありません nat descriptor masquerade static 1 2 192.168.100.1 udp 500 はあります。 これは不必要な行になったのでしょうか
388 :
anonymous :2014/01/27(月) 16:24:28.47 ID:T2W25Fhe
>>376 Wimaxって最近プライベートIPに変わったからNATトラバーサルを有効にしないとだめなんじゃない?
んで、NATトラバーサルはRTX1100からで、RTX1000では対応してなかったと思う。
Tunnelがupしてトンネルへの送出ができてるみたいだから、
たぶん対向側のルーターへはパケットは届いてると思うけど、
受信がゼロで全く帰ってこないってなると、NATトラバーサルだと思うんだけど、
間違ってたらすまね。
>>387 esp 不要 ipsec
で検索してご覧よ。
冒頭にrtpro.yamaha.co.jpのNATトラバーサルページが出るはず。そこを読みましょう。
390 :
名無しさん :2014/01/27(月) 23:40:57.34 ID:3jZpO4yN
Wimax ってブリッジとして使えないだろ。
いままでは通信の障害があっても対応は9時5時だったのを24Hに拡大しますよ、ってことじゃないか 晩〜翌朝までの障害は放置プレイにしませんとな でもおいくら万円のメニューざんしょ
YAMAHAと無関係なうえになんでオフィシャル読まないのはどうして?
RTX1200とかって、IPv6をアウターに指定したNATってあるの? プライベートなIPv6を、GUAに変換して、外部サイトと通信できるようにしたい。
>>396 だめなのか。yamaha以外を導入する気にはなれないので、
ならば、Linuxのip6tablesの機能にあったら、それを利用したい
> あるの? > あったら ggrks
>>397 オレも使いたいなーと思ってるんだけど
古いマニュアルだと「nat テーブルは、まだ実装されていない。 」
最近?のマニュアルだと「nat ... Available since kernel 3.7. 」
Debian派のオレにはまだ先の話。
あの、sip-natが使えるPCルータってある? USBのMVNOを使って内線電話+インターネット通信+VPNを使いたいんだけど、 RTX1200を買うのはちょっと予算が足りないので、自分でなんとかならないかなと。
なんでPCルータのことをここで質問するかなぁ。 内線電話にIPv6を使えばsip-nat要らないよ。
確かにそうだね。ごめん。 内線電話にRT58iを使うし、他で聞いても「SIP-NATって何?」って言われそうで・・・ 内線のみだったらVPN内でいいからNAT関係ないのか。それどころかIPv4でもいいのか。 もひとつごめん。 書き忘れてたけどFUSIONのSIPサーバにも繋ぎたいので、 やっぱSIP-NATの使えるPCルータの情報を聞きたいんだけど、 どの板のどのスレで聞けばいいのかな?
>>399 使ってみたいよね。IPv6(GUA)が一個だけ割り当てられている環境を、別ネットワークからも利用するためにね。
>nat ... Available since kernel 3.7.
3か、まだまだだな。CentOSだもの。
それ専用に、Fedoraの最新版入れようかな。
>>400 つrtx1100(廃番なので、中古を、数千円で。)
>>403 > IPv6(GUA)が一個だけ割り当てられている環境を、別ネットワークからも利用するためにね。
IPv6にはNPTv6をはじめ、IPv4における1対1の静的NATに相当するプレフィックス変換の仕組みは存在するけど、
動的NAPTのような、1つのIPv6グローバルアドレスと複数のIPv6ユニークローカルアドレスとを変換する仕組みは存在しないはずだよ。
>>404 まじで!
技術的にはマスカレードと同じなので無理ないことだと思うんだけどなあ
あるいは、IPv6アドレス一個という場合、
IPv6プリフィックス一個のことを通常言うのだろうか。
下位64bitはステートレスにクライアント上で割り当てられるんだよね。
だったら、プリフィックス単位でしか扱われないってことだろうか。
なら、IPv6にはマスカレードがないということも理解できるなあ。
407 :
406 :2014/01/31(金) 13:02:56.28 ID:???
>>406-407 興味深い内容ありがとうございます
あるケーブル事業者の場合、(PDFファイルを読んでないので、とにかく)
DHCP-PDではアドレスを取得できないんですね。
ステートフルにDHCPv6でIPv6アドレス数個を取得して、
NAT(v6)が使えるようになって欲しいな。
うちは、ケーブルと違うけど。
でもケーブル引くようなところは、RTX業務機つかわないか。
ところで、
Linuxのカーネル3で使えるようになるという、IPv6用のNATにはものすごく興味ある。
これを使えるようになったとして、プライベートなIPv6でイントラネット内をIPv4とで二重構築する方法を勉強しないとな。
ルーティングや、VPNのことなども考えないといけない・・・
VPNで隔てたネットワークごとにプライベートなIPv6アドレスのプリフィックスをRTX1200に割り当てて、
あとはRTX1200が配下のPCにDHCP-PDで配布して、ステートレスでアドレスを設定させる感じでいこうと思っています。
プライベートなプリフィックスが、IPv4でいうサブネットに相当すると思うので、
これを区別してルーティングテーブルを構築します。
上の場合、あくまで一個のGUAをマスカレードで使いまわしするので、
GUAを各pcに配布する一般の方法とは違って、特殊かもなあ。
410 :
409 :2014/02/01(土) 03:28:05.70 ID:???
IPv6については設計上の思想からEnd-to-Endで一貫したアドレスで通信が行われることが 望ましいというスタンスから大きな変更はないので、マスカレード(NAPT,PAT)で網設計する パターンは今のところ検討しない方がいいかな 狭義のNATの方は、やらない方がよいが必要性があることには一定の理解が得られている 感じがするのでまだ検討の余地はあるかもしれないけど
>>409 >本当に『一個のGUAをマスカレードで使いまわし』できる機能なの?
>解説しているサイトのURL教えて。
http://mirrors.bieringer.de/Linux%2BIPv6-HOWTO/nat-netfilter6..html ここなんかどうでしょうか。
IPv6マスカレード、IPv61対1NAT、IPv6ポートフォワードもできそうな。
例では、ソースアドレスに、リンクローカルユニキャストアドレスが指定されている。
ここも、どうでしょうか。
http://atoomnet.net/howto-ipv6-nat-in-centos-6/ >What I wanted to test is that if is possible to masquerade a whole /64 subnet to 1 outgoing IP adress
/64サブネットのパケットがマスカレードされて、一個のipアドレスになる
>What happens here is that the POSTROUTING rule specifies
>that all outgoing traffic on interface ‘sixxs’ which came from the 2001:838:35f:1::/64 subnet
>must be source natted to 2001:838:35f::.
/64サブネットからsixxsインターフェイス(これが何か知らない)に抜けるパケットが、
ナットされて、2001:838:35f::という一個のアドレスになる
一個だけIPv6アドレスが割り当てられる環境では、この機能は重宝されるのだと思います。
別契約で、プリフィックスごと割り当てるサービスを契約しなくてすむし。
NATさえあれば、ipv6ネットワークが一応使える。ただし、相互通信はしなくていい場合。むしろ安全なのかも。
しかし、RTXの場合、(今のところ) IPv6のそもそもの思想をきちんと踏襲しているわけなのですね。 参考になる情報ありがとうございます。 RTXにできることを十分に使って、IPv6プライベートネット網を構築したいけど、 まだ勉強不足で、複数のプライベートネットワークをVPNでつなぎながら、最終的に、LINUXのNAT(ipv6用)機能で、 マスカレードさせられるかどうか、思案しなければなりません。
414 :
409 :2014/02/01(土) 15:39:56.46 ID:???
リモートネットワーク上にあるすべてのマシンを起動したかったんですけど、マックアドレスがわかりません。 マックアドレスがわからなければお手上げなんでしょうか。 # wol send VLAN1 FF:FF:FF:FF:FF:FF エラー: イーサネットアドレスが認識できません
ヤマハルータ使ったことないので質問 RTX1200はCiscoの製品でいうとどれが一番近いですか? YAMAHAとCiscoの上位機種のスペックは同じレベルですか?
それぞれ仕様が公開されてるんだから あなたが必要な機能で同等と言えるかどうかを調べればいいんじゃないの?
面倒だから聞いてみたっていう
ヤマハはマニュアルや設定事例も公開されてますよー Ciscoの製品使いこなせる技術者なら ヤマハの製品はどうにか自己解読できるでしょう
>>416 Ciscoの処理性能はかなり高いよ。機能はYAMAHAも負けてないけど
>>421 ↓うごく広告がうっとうしい
URLフィルタしようかな
Ciscoルータの性能ってどこ見りゃわかるん? ざっとHP見てみたけどさっぱりわからん。 なにあの無駄に複雑でクソ重いHP・・・
スターなんとか(あえて回避)という喫茶で、無線LAN(WIFIだけでなく、nも)が使えるんだけど、 隣の人がおもむろにスマホをいじりだして、「ヒュイ」とか音が鳴り出すと、 プチプチとIPsecが途切れる。 リモートデスクトップ接続してサーバで作業中だったりすると、そのたびに、集中力も途切れてしまう。 SSHターミナルでプロセスを立ち上げて直に作業していることを思うとぞっとする。 「学習」によって、スマホを見ると気分がわるくなってしまう。 RTX1200に替えてからは、すぐに接続が復活するようになったが、 ファーム更新前だったRTX1500を使っていたときは、そのたびに、IPsec/l2tpをつなぎなおす必要があった。 ファームアップでよくなったけど、さらに何か、改善点ってあるでしょうか。
ヒュイ? ゲームかな
LINEの受信音だとおもう しかし、ADSL時代のPSTN着信時切断じゃあるまいし スマホのデータやり取りで通信途切れるのはルータよりも 無線LANAPの問題だとおもう
427 :
anonymous :2014/02/04(火) 22:09:20.08 ID:nh/EqD8k
Wifiの帯域が細く絞っているからほかの人が使うと途切れちゃうのかもね 若しくはWifiの混信が起きているかも
会社A 会社B 会社C 会社D 会社E pp1 pp2 pp3 pp4 pp5 ↓ ↓ ↓ ↓ ↓ I S D N 回線 ↓ NVR500 LAN1 LAN2(WAN) LAN1 会社A,B,Cの使用ネットワークのセグメントのLANケーブル(172.10.xx.xx/16) LAN2 会社D,Eの使用ネットワークのセグメントのLANケーブル(172.11.xx.xx/16) 1本の保守用ISDN回線を使って 複数セグメントのリモート環境をしようと今日一日試行錯誤していたのですが、 結果 LAN1に差したネットワークの会社のリモート着信はできたのですが、 LAN2に差したネットワーク宛には会社DおよびEともにPingが通らないと連絡が ありました。 そもそもこの機種で可能なのでしょうか?
>>428 できそう
コンフィグのlan1とlan2を全部置換してみてよ
おそらくlan2だけうまくいくはず
余計なフィルタ、dとeの環境の確認
428です。うまくいきました。 結論としては何もルーターは設定は間違っておらず LAN2の接続したいPC上にルーティングコマンドを入れてなかっただけでした。
(・ω・)セーノ ノ( ノ) く く ズコー ヽ(・ω・)/ \(.\ ノ
432 :
anonymous :2014/02/05(水) 22:24:59.77 ID:lAMN6gqx
こういうバカ達の愚行を減らすためにGUI化は有効だよな・・・ 今後さらにGUI化が進むだろう
>>430 うやむやにせずに自分のポカを晒したマナーに賛同票x1
430 は真の勇者
435 :
GUI大帝 :2014/02/06(木) 07:25:55.44 ID:???
収束したあとの書き込みは大事だよな
そうそう、「自己解決しました」だけで 何をどうやって解決したか書かない奴は糞だとおもう
>>423 www.tncjp.com/contents/20091113_Router-TNCB.pdf
www.cisco.com/web/JP/product/hs/routers/isr/isr800/prodlit/pdf/Cisco_ISR_800_router_overview_public_0911.pdf
YAMAHAはあんまりしらん。
438 :
437 :2014/02/06(木) 22:37:14.81 ID:???
鬱だ…
>>439 名前入れ忘れて、リモートホスト名が表示されたってだけのことだと思う。
IPアドレス全部出るって厳しいなw
別にリモホからプロバイダ名くらいまでしかわからんだろ。 まぁYAMAHAのルーター使っている可能性が高いオナホだけどな。
RTX1200にとってYMS-VPN7を使ってIPsecを使うのと、YMS-VPN8を使ってL2TP/IPsecを使うのでは どちらが負荷が少なくて済むのでしょうか?
あんこんでぃしょなる・されんだーのひとでつか?
>>443 どっちもIPsecだから変わらないと思うよ
スペック上の対地数も同一でカウントされているんじゃないかな
>445 ありがとうございます。 YMS-VPN7のIPsecでつないだ方がGUIで通信履歴が見れる分便利そうですね。
447 :
437 :2014/02/07(金) 22:01:19.61 ID:???
>>442 俺DDNSに登録してたりするから、自分のアドレス逆引きされたりしたらgkbrだったんだけど…
まぁ同的IPだからどうでもよくなったわw
>>446 Winに標準搭載のL2TP/IPsec接続でもGUI画面は見れるでしょ?
毎日アクセスしていたけど、もう一週間経ちましたね (たまにこのスレ、ぱったりとフリーズするね) だれか口火切ろうよと、フィギュアスケート見ながら思っています < yamahaユーザの大多数
>>449 ASS HOLE
no news is good news
正月メンテが無事終わってみんなスイッチが切れているからね
RTX1200が出てきて、みんな安定しているんだろうかな 初心者さんが少ないのだろうかな GUIの話にはからめないよ。 RTX1100でデビューしたけど、最初からおれは、CUIだったし。 というか、RTX1100に初期IPが設定されていないことから、 必然的にCUIの扉が開いていっておれは吸い込まれいったし。
RTX1200で国内IPのみ内部に通過する設定できますか? ip filter 200001 pass 国内IP 192.168.1.10 tcp * 80 pp select 1 ip pp secure filter in 200001 こんな感じで記述したいのですが、国内IPの範囲が多すぎてうまく設定できません。 何か良い方法はないでしょうか?
>>454 その昔話題になった気がするが設定ファイルの最大サイズを超えるのでほぼ無理
という結論だった気がする
最大サイズの正確な値は忘れた
なんだその糞仕様 ciscoに変えるか
ルータ数珠繋ぎにすればいいんじゃね
ルータには通常の設定(dhcp鯖は停止)で済ませてゲートウェイPCだけを繋ぎ ゲートウェイPC(含dhcpd)のiptablesに好きなだけ通過リストを書いておき クライアントはゲートウェイPC相手に外界とやりとりさせる dhcpとか面倒(?)ならNICx2でLANもルータ向けと内向けに分割し | | | ('A`) マンドクセ / ̄ノ( ヘヘ ̄
Linuxのiptablesで接続元の国別制限よくやるけど、あれもiptables -Lで結構な量になってるからな 892Jあたりでそれが可能になるとも思えないけど
できます。サブネットマスクとカンマ区切りで設定していけばよい。他のフィルター件数にもよりますが、国内ipのみ通過という単純なものであればファイルの最大数も越えません。但し、私の場合はrtx3000ですが
さすがデータセンタのエラーは違います 2ch全域で落ちてました
>>454 中国、韓国のIPへのアクセス制限をかけようと思ったけど、膨大な量に
なるので諦めたのを思い出した。
463 :
困った :2014/02/19(水) 18:52:13.84 ID:???
RTX1200で、Landattackを受けています。 [INSPECT] Land attack a.b.c.d > a.b.c.d (a.b.c.dは同一のグローバルIPアドレス) がsyslogに上がって、CPU利用率が99%になり困っています。 何か対処法があるでしょうか。
>>463 ipを変える。
電源を切る。
シェービングをかける
より処理能力の高いルーターに変える。
など
465 :
困った :2014/02/19(水) 19:51:42.49 ID:???
>>464 どうも。
狙われちゃったらお仕舞いってことですかね?
開始からまだ24時間経っていませんが、しばらくしたら、このアタックが止まることってありますかね?
Ciscoルータでは経験無かったのでRTX1200でエラく戸惑っています。
RTX1200の
ip filter source-route on
だの
ip filter directed-broadcast on
は、大量の攻撃には無力ってことですかねぇ・・・。
いつの間にSimpleじゃないNTPサーバー機能が実装されたんだ?とwktkしながらコマンドリファレンス確認しちまじゃねーか NTP、全角…あっ(察し)
469 :
困った :2014/02/19(水) 21:16:29.50 ID:???
>>467 >NTPサーバー機能はデフォでONなので、OFFにする
RTX1200にNTPサーバ機能なんてありますか?
クライアント機能の実装しか無いのでは?
もしあるなら、OFFにする方法(コマンド)は何でしょう?
470 :
467 :2014/02/19(水) 21:57:04.46 ID:???
471 :
困った :2014/02/19(水) 22:01:06.51 ID:???
>>465 相手が野良なら普通は攻撃なんか継続しないよ。
探りをいれて終了。
機器のアップグレードが難しいなら攻撃の要因となっているものを排除したほうが良いと思う。
何か心当たりはある?
おいらの経験だとNAPTルータ下のPCがウイルス感染してゾンビ化、
いろんなところにちょっかいを出したらしくハッカーの怒りを買い、NAPTルータが攻撃されたりしたことはある。
あとNAPT、もしくは動的フィルターをつかっているならセッション数を確認してみて
473 :
困った :2014/02/20(木) 10:07:19.48 ID:???
>>467 ntpdを狙ったDDoS攻撃はCiscoやJuniperも例外ではないみたいで、結構大規模なんですね。
Landattackで使われているIPアドレスがちょうどntpdを動かしていたマシンだったので取りあえず
止めて、ntp.confに追加して再起動、様子見。
まだ50Mb/sくらいトラフィックがベターっと張り付いてます。
昨日インターリンクからこんなメール来てたわ
最近大きな問題として注目されているNTP(Network Time Protocol)の脆弱性を
悪用したNTPリフレクション攻撃の影響が、弊社ネットワークにおいても
顕在化しました。
ご利用のネットワーク上にNTPリフレクション攻撃を受ける機器がありますと、
上り、下りの両方向の通信を専有するほど通信量を発生することが確認されて
おります。
近年の多機能ルーターにはNTPサーバー機能が含まれており、NTPリフレクション
攻撃の対象となっています。
弊社のお客様は多機能ルーター利用の割合が多いため、NTPリフレクション攻撃の
影響が大きくなっております。
お客様におかれましては、安定したネットワーク維持のために、ご利用中の
ルーターの不要なNTPサーバー機能の停止、NTPサーバーへの適切なアクセス制限、
ntpdのバージョンアップ等の対策をお願いいたします。
ネットワークの状況改善のため、現在トラフィックの発信源となっているお客様に
対しましては、順次ご連絡し、対応のお願いを続けております。
本件に関しまして、お客様の機器がネットワークへの影響が大きいと判断した
場合は、個別に対策のお願いのご連絡をさせていただくこともございます。
その際は、ご協力賜りますようお願いいたします。
>NTPリフレクション攻撃への対策のお願い
http://www.interlink.or.jp/support/news/info/20140219.html ※YAMAHA、アライドテレシスの高機能ルータ、vyattaソフトウェアルータ
にはNTPサーバ機能が含まれています。
※サーバ構築されている場合は「ntpd」が起動していないかご確認ください。
> ※YAMAHA、アライドテレシスの高機能ルータ、vyattaソフトウェアルータ > にはNTPサーバ機能が含まれています。 > ※サーバ構築されている場合は「ntpd」が起動していないかご確認ください。 この文言、URLのページには記述がないから削除したかな? 詳しくはJVNをご覧下さいとでも書けばよかったのに勇み足か
要するにLAN側にNTPサーバを設置している場合には攻撃されない為に ルータでパケットを制限しておけって事でしょ?
477 :
hage :2014/02/20(木) 12:09:24.17 ID:???
わざわざルーターの123/udpを外部公開してない限り、大丈夫じゃないのか
478 :
困った :2014/02/20(木) 12:10:57.18 ID:???
ntp.confに disable monitor を書いておけば、取りあえず内側(ウチの場合はDMZ上)のNTPサーバからパケットを 大量に出す加害者にはならずに済むということかな。 フィルタ書いても外から滅茶苦茶パケットが飛んでくるから下りは帯域を食う状態。 パケット破棄するためにCPU利用率が上がっているように見えると・・・・。 インターリンクのページに記述のntpdcによるチェックなんて返答するサーバあるかな? 大抵request timeoutになると思うけど・・・・。 ということで、予備システム、予備環境のためベターっと張り付いたトラフィックは放って おくことに。RTX1200に頑張ってもらいます。
479 :
hage :2014/02/20(木) 12:11:44.15 ID:???
>>473 123/udpを一般公開してるnict.jpの中の人ですか??
481 :
困った :2014/02/20(木) 12:36:00.33 ID:???
>>479 いえ、あるモバイル環境のための暫定的な使用です。
482 :
hage :2014/02/20(木) 12:47:24.32 ID:???
>>480 123/udpを開放してるやつなんて、まず居ないだろうに
なんだろね、このインターリンクってアホな会社は
ヤマハのルーターのせいに違いないとかガチで思ってそう
ヤマハルータ自身が時刻同期してる場合は 動的フィルターで穴が開いてる可能性があるな UDPだから一度通信が発生すると一定時間は開けっ放しになる デフォルトでSNTPはON、許可ホストはLAN1側、「あるいはLAN2側」とある なんか不安になってきたなぁ
お、おう…
^^;;
>>484 動的フィルタで自動開放される穴は、
開放のトリガとなった往路パケットの向かったそのあて先からの返答パケットしか通さないよ。
たぶん。
>>463 自分自身が固定アドレスだったら、その固定アドレス範囲からのinputをrejectすればいいだけじゃないの?
>>488 filterでrejectしたってCPUは食うわけで、ntpd狙いのDDoSは相当多数の
自動的な攻撃元からのアタックだからPPPoE側の帯域は消費されるでしょう。
IPアドレスが何かの一覧にある限りしばらく続くでしょうから、IPブロック
を変えるとかしないと根本的な対処にはならないと思うよ。
490 :
hage :2014/02/21(金) 10:28:11.37 ID:???
>>489 >filterでrejectしたってCPUは食うわけで、
それさntpへの攻撃に限った話じゃないだろ。
ここ業務ルータースレなんだからさ、もうちょっとレベル上げてよ
rejectされてるときのCPU負荷が気になる心配性は
WAN側のLAN線を外してコレガスレにでも行ったら?
491 :
hage :2014/02/21(金) 10:31:02.61 ID:???
>>487 そう。
ダイナミックフィルター以前に、nat的に相手先IPとポートを記録して動作してるから
仮に中のヤマハルーターが外のNTPサーバーに同期合わせしに行っても
無関係なところからNTP攻撃は受けない。
(問い合わせ先のNTPサーバーが信用できるかだけ心配してればいい)
>>491 >nat的に
よい表現だ。動的フィルタの公式説明でそう言ってくれればいいのに。
>>490 >>filterでrejectしたってCPUは食うわけで、
LINUXのNETFILTERみたいに、DROPとかあったら、ちょっとはマシになるのかな。
そのためにもう一台、フロントエンドとして上位ルータを買ってください
FWX120の上位機種があればね。
496 :
困った :2014/02/22(土) 10:04:40.89 ID:???
何がきっかけかわかりませんが、ウチへのLandattackは今朝6時に終了した模様。
RTX1100でsshパス無しのknownhostオンリーの設定ってどうすればいいの
>>497 公開鍵方式のユーザー認証には対応していないから出来ないと思うよ
公開鍵方式で認証できるのはホストだけ
test
てst
いったい何があったというのだろう MAGUROというサーバー名に変わったなあ サーバーがこわれてしまったのかな? 復旧ありがとうございます。
VPNクライアントが8からL2TP/IPSec使うようになったけど Windows標準のVPN設定と比べて何か利点あるの?
>>504 設定が簡単
でも「設定が簡単」なだけに1ライセンス10000円は高すぎると思うな
1ライセンス1000円くらいが妥当な価格だと思う
>>505 サポート代。
手動でレジストリ変更が必要な設定は企業としては採用しにくい
>>506 今まで考えたことなかったが、どうして一発変更ツールくらいないのか?
今まで考えたことなかったんじゃね?
レジストリ設定が必要だったのか、知らなかった あれ、俺設定してないのにNAT超えできてるぞ…?
>>510 もしかしてPPTPか素のIPsec接続でVPN接続しているの?
>>511 いや、L2TP/IPSecなんだよ
繋がるのはいいんだけど気持ち悪いな
>>512 VPNを悪用したスパイウエアにPCを改変させられているかもね・・・
まぁ結果オーライと思うしかないね
515 :
aaa :2014/03/04(火) 22:35:37.69 ID:???
Windows7標準VPNクライアントにてL2TP/IPSecの接続する場合、 IPマスカレード下では1接続のみ可能なのでしょうか? 同時に複数のパソコンから接続できませんでした。 サーバの設定またはルータの設定が必要なのでしょうか? サーバはopenswan+xl2tpdでクライアント側はRTX1200とWindows7です。
>>515 ルーターがIPsecサーバになっていないようだから、
ルーターは関係なさそうですね。
>サーバはopenswan+xl2tpdでクライアント側はRTX1200とWindows7です。
OpenSWANでNATトラバーサルの設定(UDPパケットの利用を行なう)が必要だと思う。
そして、Windows7のレジストリでも。
517 :
aaa :2014/03/04(火) 23:02:54.02 ID:???
>>516 >OpenSWANでNATトラバーサルの設定(UDPパケットの利用を行なう)が必要だと思う。
>そして、Windows7のレジストリでも
Windows7のレジストリでAssumeUDPEncapsulationContextOnSendRuleを2にしました。
OpenSWANの設定を確認してみます。
518 :
「ガスライティング 集団ストーカー カルト」で検索を! :2014/03/05(水) 06:23:49.12 ID:3/wnSYIM
★マインドコントロールの手法★ ・沢山の人が偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 ↑マスコミや、カルトのネット工作員がやっていること TVなどが、偏った思想や考え方に染まっているフリや常識が通じないフリをする人間をよく出演させるのは、 カルトよりキチガイに見える人たちを作ることで批判の矛先をカルトから逸らすことが目的。 リアルでもネットでも、偽装左翼は自分たちの主張に理がないことをわかっているのでまともに議論をしようとしないのが特徴。 ..
519 :
abc :2014/03/12(水) 20:57:45.52 ID:???
質問よろしいでしょうか? 現在、RTX1200をデフォルトGWとしたネットワークA(192.168.1.0/24)があり、 そのネットワークAにL3SWを介してネットワークB(192.168.2.0/24)を繋いであります。 (L3SWは実はLAN分割機能を使ったRTX810で、ネットワークA側のアドレスは192.168.1.254です。) ネットワークAのPCからネットワークBのPCと通信するために、各PCで route -p add 192.168.2.0 mask 255.255.255.0 192.168.1.254 を入れて通信できていますが、今後Android端末などをつなぐことを考えると RTX1200のほうでネットワークBへのGW(192.168.1.254)を各端末に通知できるといいな、と思っております。 そんな方法ありませんでしょうか?
RIP使えば良いんちゃうの?
rtx1200上にスタティックにルーティング設定すればいいだけじゃん。初歩の初歩。
「L3SWは実はLAN分割機能を使ったRTX810で」 の意味が分からない RTX810はスイッチなのか?
VLAN切れるSWがL3SWだと思ってるんじゃないの? やりたいことはVLAN間ルーティングでしょう
524 :
abc :2014/03/13(木) 06:37:43.84 ID:???
>521 さらに初歩的な質問ですいません。 とすると、ネットワークAの端末が、たとえば192.168.2.100あてにパケットを送ると ますデフォルトGWであるRTX1200に届き、RTX1200からRTX810へ転送されて、RTX810から 192.168.2.100に送られる。という流れになりますでしょうか? ちなみに RTX1200はWAN側はインターネット、LAN側はネットワークAに、 RTX810はWANポートは空き、LAN側はLAN分割機能でVLAN1(192.168.1.0)と VLAN2(192.168.2.0)に分けていてルーティングも出来ています。 実は、RTX1200のほうは別会社の管理物品で設定変更は依頼しないといけないので、 一発で決めたい、というところなのです。
>>524 rtx810をdgwにすれば一発じゃん。
なんのためのルーターなんだろ?
業者使ったほうが良い例ですね。
> ますデフォルトGWであるRTX1200に届き、RTX1200からRTX810へ転送されて、RTX810から そう。他に要件がなければ1200に ip route 192.168.2.0/24 gateway 192.168.1.254 でいいとおもう。
そもそも何でRTX810噛ましてんの? RTX1200のLAN3に192.168.2.0/24割り当てたらいいじゃん
「RTX1200のほうは別会社の管理物品で設定変更は依頼しないといけない」って書いてあるじゃん。
そんなん、なんとでも言える
531 :
abc :2014/03/13(木) 21:11:12.51 ID:???
スマホ規制中で返信遅れました。
>>525 RTX1200のWAN側がInternetなのをわかっていただけると思いまして。
>>526 ありがとうございます。設定変更依頼します。
>>527 後出しで申し訳ありませんが、RTX1200は広域イーサネットの先の遠隔地にあるのです。
私的にはマイクロリサーチのMR-GL1000をローカルルータで、と思ってたんですがRTX810を支給されたもので。
>>531 端末のdgwはrtx810でrtx810のdgwをrtx1200にすれば良いじゃん
素直に委託しようよ
RTXの動的フィルタって、TCPのライフサイクルって考慮してフィルタリングしてくれているんだろうか。 ありえないタイミングでやってくるTCPフラグをもったパケットは落とすとか。
よう分からんがnmapでオプション考えずに外部のサーバスキャンするとマッハで根を上げてパケロス始まる 仕事にならなくて困るからコンフィグ変えるなりしたいんだけど、前からいる社内ネットワークの担当者が頑固だから困ってるわ
>>534 パケットロスが起きないような通信に変えればいいじゃないか。お前の勝手な行動が他の人に影響を与えてるよ
>>535 仕事の効率ってものがありまして
要はショートパケットの処理がトロイYAMAHAなんぞをネットワーク屋詰めてるオフィスに使うなって話なんだが
それを稟議書に書いて提出するだけの簡単なお仕事です
natやフィルターやらの入ったルーター越しに、オプション無しのnmapですか? それは仕事ではありませんね。効率って、なにをされているんですか。 外部のサーバにポートスキャンをかけるなら、事前にきちんと了解を得ましょうよ。
nmapで外部にスキャンかけるだけでDoSが成立してしまう貧弱さってのもどうかと思うが
RTX1500に変えれば?ショートパケットが得意らしいので。
>>536 その辺を考慮しろって言ってんの
ネットワーク屋ならなおさら
>>541 考慮するって言っても単純にスキャンの速度落とすくらいしかないんじゃね
NATしてんならセッション数制限でも かけられてんじゃないかな
その制限こそがすばらしい機能じゃないか。 セッションをぐわぁぁ!と取っちゃうクライアントほど憎いもんはない。 気まぐれなそいつが一人でみんなに混乱をもたらす。
それ以前によそのメーカーの家庭用ルータですら耐えられる負荷に耐えられない業務用ルータって点に疑問持とうぜ
家庭用ルータでは耐えられるんですかね ぜひその部署でバッファローあたりの安物で比較試験していただきたいものですね
>>547 知らんけど普通の家庭用ルータですらnmap外に向けただけで通信切れたりしないだろ
>>548 目的が違うし…
企業のインターネット接続エッジにrtx1200レベルはどうかと思う。
ssgやpalo使うし、ポートスキャンはフイルターで破棄する設定入れとくよな
>>547 家庭用は管理機能ないけどスループットだけならそれなりに能力高いよ。
長年使ってるた安定性や監視に問題を感じるけど
スペックしか謳い文句ないし
551 :
名無しさん :2014/03/20(木) 23:01:31.44 ID:ss5DH81q
地方の支社レベルなら、1200とか使ってるだろ。
552 :
123 :2014/03/21(金) 00:19:24.14 ID:???
別セッション(スイッチで分けて)でインターネットに接続している環境でルータを分けていますが、 PCでIPV6を有効にしているとPC間でPINGが通って名前解決できてしまいます。 ルータのフィルタリングでIPV6を無効にしないとダメでしょうか? フレッツ光---ONU---L2SW---- RTX810 -----------PC1 | | ------RTX810------------PC2
>>552 v6対応ルーターだからね。
ルーティングでもいいよ
>>552 ひかり電話を契約していなくて、並列に設置した2台のRTX810のそれぞれでRAプロキシ機能を使っているということかな。
lan2側(WAN側)から名前解決できなくするには「セキュリティレベル2:フィルタ有り」にするのが手っ取り早い。
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/open-resolver.html#security それに加えてPC間でPINGを通らなくするには
ipv6 filter 1 reject * * icmp6 128
ipv6 filter 2 reject * * icmp6 129
のように定義して…
lan2側からのRTX810に対するPINGを通るようにしておくならlan1側(LAN側)にフィルタをかける
ipv6 lan1 secure filter in 2
ipv6 lan1 secure filter out 1
(但しRTX810からのlan1側PCに対するPINGも通らなくなる)
lan2側からのRTX810に対するPINGも通らないようにするならlan2側にフィルタをかける
ipv6 lan2 secure filter in 1
ipv6 lan2 secure filter out 2
RAプロキシは両側のセグメントが同じサブネットになるから、サブネット単位でのフィルタリングができない。
ひかり電話を契約すればDHCPv6-PDが提供されて/56(稀に/48)を使えるようになるよ。
# RAプロキシで複数に枝分かれした末端セグメント同士での相互通信、できないと思ってた。
555 :
552 :2014/03/21(金) 13:49:54.81 ID:???
>>554 ひかり電話契約してないです。RAプロキシ機能を設定したつもりはないのですが・・・
フィルタリング有効にしないといけないということですね。
556 :
upnp use on :2014/03/27(木) 19:03:22.90 ID:pfpHi24o
RTX1200で443ポートを塞ぎたく、フィルター設定を色々やっても駄目で、 upnp use off にしたら出来ました。 upnp use on のまま443を塞ぐことをは出来ないのですか?
>>556 あれじゃないの?
icmpの場合と同じじゃない?
RTX自身へのicmpをフィルタしたい場合、いったん静的NAT設定で、icmpをルーター自身へ透過させて、
その上で、そのパケットについてリジェクトフィルタを掛ければよかった。
>>556 ひょっとしてUpnpで内側にあるPCがRTXにポートを開くように伝えている?
それは、UPNPをオフにするしかないでしょ。
>>559 クライアント要求がUPnPの動作だしね
>>557-560 ありがとうございます。
>>559 さんのご指摘通りのようでした。
おとなしくupnpはoffにします。
ありがとございます。
563 :
hage :2014/04/02(水) 10:30:20.39 ID:???
リモートアクセスサーバーの目的で ISDN と PPTP を同時に使うことは出来ないのでしょうか? pp select anonymous pp bind bri1 tunnel1 をやりたいのですが、 エラー: 異なる種類のインタフェースを同時に指定することはできません になってしまいます。
想定されている環境に興味はありますが、よした方がいいと思います。 ダイヤルアップはISDNの回線で、PPTPはipの回線で、二つの機器に分けるならなんとか。
そろそろ、ネクスト(ひかり電話契約済み)で、網内折り返しIPsecの設定をやりたいなと思いました。 v6オプションの申し込みからはじめようかと思いました。 しかし、これを申し込むと、網内で折り返しが可能になる(だからこそ、IPsecの拠点間通信ができる)わけだから、 網内に潜むクラッカーから狙われる可能性もあると思いました。 そこで、ipv6 filterが各拠点で必要だと思うのですが、 これって、ipv4の時代のフィルタリング設定の考え方で良いのでしょうか。 即ち、HGWにつながってIPv6単一アドレスをDHCPv6で受信しているLANインターフェイスに、 拠点のv6プリフィックス/をソースとするパケットの入力だけを許可することで良いのでしょうか。 しかし、相手のプリフィックスが変わってしまう場合があるらしいので、 いちいちフィルタのソースプリフィックスを書き換えるのも面倒です。何かよい方法はないでしょうか。 まあ、10年に一度くらいの変更なら、考えなくても良いかなと思っています。 それから、データコネクトによるtelnet通信(リモートセットアップ)の通信の入力を許可するためには、 どのような入力フィルタを書けばよいのでしょう。 単に、telnet23番を許可するだけでは駄目そうです。データコネクトではsipプロトコルも使うようなので。 明快な回答があればいいなあ。
ひとがいそうなのでここで質問する TCPで引っ掛かる板は落ちやがった 184.26.232.52:80 情報送信tcpなんだけどだれか送信先わからん?ビングでしかヒットせず、だがアクセスはできない。気持ち悪いし情報なにもヒットしない。助けて。 毎秒4MBも送信してて本当に気色わるい
PPPOE対応で光電話対応でVLAN4000くらい使えて10gbeなルーターなんてないかな
>>566 $ dig -x 184.26.232.52
;; ANSWER SECTION:
52.232.26.184.in-addr.arpa. 300 IN PTR a184-26-232-52.deploy.static.akamaitechnologies.com.
$ dig a184-26-232-52.deploy.static.akamaitechnologies.com.
;; ANSWER SECTION:
a184-26-232-52.deploy.static.akamaitechnologies.com. 1800 IN A 184.26.232.52
akamaitechのサーバーでしょう。
>>566 何か配布するサービスとセッションを張っているのではないか。
a184-26-232-52.deploy.static.akamaitechnologies.com
サービスを利用する例:
・itunesのソフト配布に使用されている。ダウンロード時のみ。
・PCセキュリティソフト、Avastのトリーミングアップデートもakamaitechnologiesを常時使ってる
・amdのビデオドライバ配布に使用されていたこともある。いまは自前で。
具体的にどのソフト(アプリ/サービス/DLL)がセッションを維持しているのかなど
自分で調べよう
どこかココ以外で最適なスレがあるのではないか
>>569 >>570 おまいらありがとう。その情報からもう自分で少し調べてみるよ
ほんとに気味がわるかったから助かったわ、感謝
昨夜、ハードオフでRTA50iを購入。 WS-ONEファームウェアを入れて、光ネクストのIPv6 IPoEに繋いでみた。 構成:[RTA50i]─[RT58i]─[NVR500]─[PR-400NE]─至NGN コンフィグ security class 2 off on ip lan address 192.168.***.50/24 ipv6 route default gateway fe80::1 ipv6 lan address 2409:251:2**:****::50/64 dns server 192.168.***.1 --------------------------------- WS-ONE(RTA50i) Rev.4.01.00 (alpha version) (Tue May 15 14:13:58 2001) Copyright (c) 1994-2001 Yamaha Corporation. Copyright (c) 1998-2000 Tokyo Institute of Technology. Copyright (c) 2000 Japan Advanced Institute of Science and Technology, HOKURIKU. 00:a0:de:**:**:** Memory 4Mbytes, 1LAN, 1BRI > administrator Password: # ping6 www.itojun.org 1 2001:2f0:0:8800::1:1から受信: シーケンス番号=0 1個のパケットを送信し、1個のパケットを受信しました --------------------------------- WS-ONE配布ページでは更新日「2010/Jul/21」とされているものの、上記を見る限りでは更新されていないようです。 RTA55i以前の機種のtraceroute6コマンドには、コマンドリファレンスに載っていないnoresolvキーワードが存在します。 書式:traceroute6 destination [noresolv] noresolvキーワードを指定しない場合、ICMPv6の時間超過(Time Exceeded)メッセージを返さないルーターの手前で処理が完了してしまいます。
573 :
名無しさん :2014/04/07(月) 11:09:24.97 ID:6VWV8quA
RTA50iって、ISDNルータだろ?? WANポートは無いはずだし。
>>573 だから、他の機器にぶら下げてあるというふうに読めるが。
575 :
名無しさん :2014/04/08(火) 00:03:54.82 ID:ZD3viDpo
いや、他の機器にぶら下げてるのは分かるけど、LANポートしか無いから ルータとして機能しないのでは??と思った。
どうせなら中古のRTX1100を安く買って使った方が良くね?
どういうことなの
ハードオフに行く RTA50iに「お願い、わたしを買って!」と声をかけられる ○欲に負ける 「ほんとにいいんだね。ファーム入れちゃうよ。ipv6しちゃうよ」 ということだと思う。 想像だけど。
580 :
572 :2014/04/08(火) 05:15:56.37 ID:???
>>575 うん。
>>572 でのRTA50iはルーターとしてではなく、ホストとしての機能だけ。
今度はRTA50iをルーターとして機能させて、
2つのサブネット[2001:db8:1::/64]と[2001:db8:2::/64]の間をルーティングしてみた。
http://www.rtpro.yamaha.co.jp/RT/docs/example/local-ip.html#1のIPv6版 。
図の「RTシリーズ」をRTA50i、2つの「コンピュータ/端末」それぞれをRTA55iとRT57iで代用した。
RTA50iのLANポートに、RTA55iのLAN1ポートとRT57iのLAN1ポート、および制御用のPCを接続。
制御用のPCからRTA55iとRT57iそれぞれにtelnetでログインして、コマンドを実行した。
RTA50i(ルーター役)のコンフィグ
ipv6 lan address 2001:db8:1::50/64
ipv6 lan address 2001:db8:2::50/64
ipv6 lan address fe80::50/64
RTA55i(ホスト役)のコンフィグ
ipv6 lan1 address 2001:db8:1::55/64
ipv6 route default gateway fe80::50%1
RT57i(ホスト役)のコンフィグ
ipv6 lan1 address 2001:db8:2::57/64
ipv6 route default gateway fe80::50%1
RTA55iからRT57iへのtraceroute6結果
# traceroute6 2001:db8:2::57
1 2001:db8:1::50 (2001:db8:1::50) 2 ms 3 ms 2 ms
2 2001:db8:2::57 (2001:db8:2::57) 4 ms 4 ms 4 ms
RT57iからRTA55iへのtraceroute6結果
> traceroute6 2001:db8:1::55
1 2001:db8:2::50 2.644 ms 2.752 ms 2.702 ms
2 2001:db8:1::55 4.038 ms 4.498 ms 3.466 ms
581 :
572 :2014/04/08(火) 06:56:22.93 ID:???
>>576-579 ヤマハにおけるIPv6の最初期の実装であるWS-ONEを体験したかった、という理由です。
最初に買ったヤマハルーターはRT60wなんだけど、RTA54iを買った時に手放してしまった。
最近ハードオフでRT60wを見つけたが、買わなかった。どうせなら最も古いRTA50iで
『注1: 内蔵メモリの制限により、 (中略) が削除されています。』を見てみたいと思っていたので。
その後、別の店舗でRTA50iを見つけてしまったので、つい…
582 :
名無しさん :2014/04/08(火) 18:20:29.65 ID:???
RTX1000なのですが何度リブートしても15分くらいで telnetも受け付けなくなってしまいます。 今日までは正常に動いていました。故障なら買い換えたいのですが その判断はどこですればいいでしょうか? とりあえず他のルータに交換したところ問題なくなったので RTX1000が原因っぽいのですが決定打が欲しいです。 高価なルーターなので。
動かないなら故障 そもそもそんなに高価でもない
>>582 症状からみるに代替器を用意したほうが良いかと。
高価? RTX1000ですよね?
販売当時の価格は確かに少々高かったんでしょうが
今やRTX1100でも、ヤフオクで3000円程度ですが・・・
585 :
名無しさん :2014/04/08(火) 18:41:41.07 ID:???
>>583 , 584
ありがとうございます。やはり買い替えしかないですか。
個人ならヤフオクで買うのですが会社で買うものなので
新品を買いたいのですが、RTX1000のコンフィグを
そのままうつせる現行機種ってもうないでしょうか?
RTX1100が買えればいいのですが。
素直に1200買え。810でもいいけど。 コンフィグは手直し程度でいけるはず。
電源ユニットが逝ったのかもしれないが>582の様子からして 適切な判断を下せるようには思えない。安いんだからもう一台ナンピンして そっちを使えばいいんじゃね
>>582 設定とかログとか取ってサポートに問い合わせて
>>582 単体で再現できる?
ループとかのオチはないよね!
自分が意識してないだけでクライアントがNATテーブルバリバリ消費してるだけだろ
591 :
名無しさん :2014/04/08(火) 20:37:15.36 ID:???
>>586 1200高いですorz
810は拠点間VPNも問題ないですか?
>>587 電源ユニットですか。
>>588 それはよいですね。
>>589 単体でテストっていいですね。やってみます。
>>590 ネットワークは昨日と変わったところはないのですが
どういうときにそういう状態になりますか?
592 :
hage :2014/04/08(火) 20:51:58.64 ID:???
1000って電解コンデンサ使われてたっけ? 使ってたら、きっとそれじゃないかな コンモリしてたら、交換だ
594 :
名無しさん :2014/04/08(火) 20:58:27.94 ID:???
>>592 液コンってやつですね。そういえばまだ開けて見てないです。
見てみます。
>>591 最新ファームにリビジョンアップして様子を見て
内部写真うp!
597 :
名無しさん :2014/04/08(火) 21:14:56.29 ID:???
>>593 電源周りに液コンありますね。電源ユニットというのが正解か。
>>595 それもありました。試して見ます。
598 :
hage :2014/04/08(火) 21:53:13.03 ID:???
>>593 さんくす
個体コンに混じって電解も使ってあるのか
さすがに中華コンじゃないだろうけど
通気の悪いとこに押し込んで使ってたら、日本製でもキツイかも
定格5000時間だからな。まぁ10℃下がれば倍に長持ちするが。
599 :
hage :2014/04/08(火) 21:56:20.25 ID:???
何℃品が使われてるか知らんが 仮に85℃品を45℃で使っていたとしたら、5000×16 時間 1年8760時間だから、割ると9年くらい。 1000なら、そのくらい稼働していても不思議じゃないし
なんか電源で確定みたいな話の流れになってるが、LEDがついてるか否かくらい分かるだろ? シリアルで繋いでみろよ
うちでRTX1000が3台同時に今日調子悪くなった ちなみにRTX1200は問題なし それの対応してたら帰宅がこんな時間だ 3台全部がほぼ同時におかしくなるのは変なので問い合わせしようと思ったが、 電話サポートの時間終わっちゃったので明日朝聞いてみる予定
604 :
名無しさん :2014/04/08(火) 23:43:31.05 ID:ZD3viDpo
>>602 気になるな。
明日、取引先に仕事に行くから、1100 チェックしてくるわ。
605 :
名無しさん :2014/04/08(火) 23:43:45.09 ID:???
>>602 おぉ。ADSLで時間もそのくらいでした。
特定の機器ということだとルータ交換で直ったのも頷けます。
情報ありがとうございます。
これ、ズコーってなるとこ?
開けるとか言ってるし手元にあるRTXの話してるんだよな?
リモートならtelnetとか言ってる時点で解散なんだが
リモートじゃないならなぜ
>>602 が該当すると思うんだ
わけわからん
RTX1100がRTX1000に対して優位点はL2TP/IPsecが使えるか否かなんだよね 1100の方は昨年末にファームアップがあり、まだまだ現行で使える子 それに対して1000は3年前のファームアップを最後にオワタ子・・・ 細かい点ではRAM容量が2倍積んでいて処理能力が高くスループットが倍早い その他にも細かい点は色々違っているけど
610 :
hage :2014/04/09(水) 07:30:38.55 ID:???
IDないから、どいつがどいつか分からんが、仮にみかかのADSL不調が原因で >telnetも受け付けなくなってしまいます。 にはならんだーが
611 :
hage :2014/04/09(水) 07:33:23.31 ID:???
>>601 コンデンサあぼーん時でも、テスターで測れば普通の電圧が出てる。
もちろんLEDも点灯してる
精度のいいお城で見るとリプルが強烈に増えてるのが分かるが
普通には気がつかない
リプルが原因でCPUがリセットかかったりする
612 :
.... :2014/04/09(水) 08:25:12.35 ID:???
オシロスコープすら持ってない人が多いと思うのだが
613 :
名無しさん :2014/04/09(水) 08:28:10.17 ID:???
>>610 そうなんです。telnetを受け付けてくれなかったのと
障害情報が出てこなかったので回線の不具合じゃなく
ルータの不具合を疑ったのでした。
614 :
名無しさん :2014/04/09(水) 09:42:40.33 ID:???
615 :
hage :2014/04/09(水) 10:08:34.58 ID:???
>お客さまがご利用になっている特定の端末機器に対する海外からの不正パケットにより 不正パケットは何なのか、具体的に知りたいところだ
617 :
hage :2014/04/09(水) 11:37:19.95 ID:???
へぇ〜
>>616 かも知れんな。
しっかし4年も前に公開されたファームが適用されてないルーターなんて存在するのかよ
618 :
名無しさん :2014/04/09(水) 12:20:50.30 ID:???
ファーム古かったです
メンテナンスさぼって 攻撃されて 機械のせいにして ネットで聞いたのか 仕事でやってたのなら最悪の社員だな
>610 今回はADSLに原因があったわけではなく、 不正パケットによってルータがハングアップするという不具合だったということ >617 ファームによるデグレも現実的に起きているから、安定版で運用し続けたい、 という気持ちもわからんでないかな。 あと支店とか置いてあるルータを支店の人間にバージョンアップさせるなんて、 気が狂いそうになるし…。 ま、なにはともあれおつかれさん。 ネットに聞いても正答が必ずしも帰ってこないというのもいい勉強になったでしょ。
621 :
名無しさん :2014/04/09(水) 17:40:56.87 ID:???
いえ、やはりネットはすばらしいです。 ひとりではたどり着けない答えにたどり着けるので。 いろいろな視点で見られていい意味で勉強になります。
基本的な質問で申し訳ないのですが、
現在PPTPのVPN接続をRTX810でやっているのですが、
セキュリティの問題ありとのことで、L2TP/IPsecに移行しようと
調べたところ、WindowsOSからはYMS-VPN8でないとNGということで
試用版をインストールして接続してみました。
ただこのソフトでの設定において認証方式が MS-CHARP v2とありました。
これはIPsecの鍵交換もこの認証方式を使用するということなのでしょうか。
そもそもMS-CHARP v2に脆弱性があるために、PPTPからの移行を検討して
いるのですが、以下の不具合は出ないのでしょうか?
http://technet.microsoft.com/ja-jp/security/advisory/2743314 おバカな質問をしているのかもしれませんが、どうにも理解出来ず。
どなたか教えていただけると幸いです。
Windows標準のVPN設定でもL2TP/IPsecで接続できているけどねぇ・・・ 多少設定が面倒かもしれないが・・・
案外Windows用のL2TP/IPsecクライアントって手頃なのが無いよな
IPSecで暗号化した上でのmschap-v2による認証だから大丈夫なんじゃないか
>>609 1100が1000より優れてるのは
nat descriptor masquerade session limit NAT_DESCRIPTOR ID LIMIT
これができること。これが個人的にはでかい。
現時点で手に入れやすさと中古の価格で考えたらベストは1100しかないわけだけど。
次点でRT107e。
逆に言うと1000でこれができたらどんなによかったことか。
>>586 RTX1100のコンフィグをRTX1200に流し込んだけど、動いたな
一部、LANインターフェイスのアドレス設定で、自動的に変換されていた。
>>624 Win標準の機能で何の問題も無いと思うが
>>628 ただし、レジストリを一箇所書き換える必要アリ
あれって、どうして書き換える必要があったっけ?
ずいぶん前に設定したのですっかり忘れた。
softether使えよ
natトラバーサル?
MSのサポートに載ってるよ っていうかMS問題認識してるならレジストリキー追加させないでGUIで設定させろよw
それもあるし諸々含めてOS標準のクライアントで接続したくない LinuxはSoftetherのクライアントの使い勝手悪いしで、なかなか上手くいかんね
レジストリの追加記述程度で済むんだからそれでいいじゃん・・・ 訳のわからん宗教に嵌ってお布施する必要が有るのか? 酔っ払いですまぬ
openssl の脆弱性問題って、RTXシリーズは影響受けないの? telnetログイン画面のクレジットに、opensslとかあったと思うけど。 IPsecって、SSLつかっているんだっけ?影響する?
sshdでしょ たしか今回の問題は発生しない実装だから大丈夫とかなんとか
NTPに問題があるから2chの鯖時刻を連携させるのを止めました!キリッ
>>626 俺が1000から1100に乗り換えた一番の理由は
802.1q 対応可否の差だった。
自宅でVLAN設定の実験しようとしたとき
非対応と初めて気づいて衝撃を受けた。 > RTX1000
「業務用ルータ」なら当然対応してるべき基本的な機能だと思うのだが。
NAT-Tの件もそうだが、本当に当初は「インターネットエッジルータ」としての
利用しか想定していない製品だったのね。
進化の歴史として肯定的にとらえるんだ! ネガな視点ではクヨクヨするだけだ
>>640 なんだかんだ言っても2002年の製品だから。
VLAN話すにはフレーム長1518+4byteに対応してる必要があるし、
ハードウェア的にも対応無理でしょ。
しかし今やインターネットルーターにVLANは必需品。 マンション、アパートのネットは各部屋VLAN切って終わり。 ネットがあるなしでは入居希望者数が違う。もっともコスト低く集合住宅にネットが敷ける方法。
644 :
名無しさん :2014/04/15(火) 13:52:29.80 ID:QmmsdR9L
VLAN出来るSW って、それなりの値段するだろ。
645 :
anon :2014/04/15(火) 22:16:10.63 ID:???
646 :
名無しさん :2014/04/16(水) 00:37:20.79 ID:9ZF9wBU/
RTXだったら、LAN分割機能とか有るでしょ。
>>645 安価に賃貸向け有線LAN構築するときに安いHUB使うならいいかもね
LOG吐かなそうだから、単身者向けのこじんまりしたアパート用途じゃないかな
分譲マンションなんかじゃ使えないよね
田舎の安ホテルなんかにはいいかもね
648 :
anonymous :2014/04/16(水) 21:10:54.34 ID:RMCTZfXU
すみません。基本的なことなんですが、ちょっと教えてください。 internet---(LAN2:PPPoE)-[RTX1500]--(LAN1)-network1 +-------(LAN3)-network2 こういうネットワークで使用しているんですが、 LAN1とLAN3同士は完全に通信を遮断して、 それ以外の外向きの通信は普通に有効にするには、どの方法が一番運用上いいのでしょうか? ルーティングとIPフィルタで処理するのが一般的なのでしょうか?
ルーティングテーブルは1500内で1つだから、 アクセスリスト(フィルタ)で遮断するんだね。
あとは、今の流行りなら、両方LAN1にぶら下げてVLAN切る。 ちょうど上で話してる話題。 IPフィルタはソフト処理だからスピード落ちるがVLANならワイヤースピード。
651 :
... :2014/04/16(水) 21:54:14.71 ID:???
RTX1200以前はVLAN使うと処理速度落ちる問題なかったっけ? まぁ、vlanはSW-HUBの仕事だと思うんだけどなぁ
652 :
648 :2014/04/16(水) 22:35:49.20 ID:RMCTZfXU
そうなんですよね。ポート分離機能とLAN分割機能(ポートベースVLAN)と、タグVLANもあるみたいで、 フィルタリングとも比較してどれがいいのかと。 実際に運用している人に聞いてみたいなと思って質問してみました。 ちなみに、LAN分割機能(ポートベースVLAN)だと、RTX1500はファストパスにならずにノーマルパス処理になるようです。
とすると、VLAN切れるswを追加するんだな。1万以下で買える。 追加機器なしならIPフィルタ。 フィルタ2行くらいじゃ大してスピード落ちないと思う。
654 :
648 :2014/04/16(水) 23:07:07.31 ID:RMCTZfXU
フィルタってこんな感じですか? ちょっと書いてみたんですが。 不備があったら指摘してもらえるとありがたいです。 ip lan1 address 192.168.1.xxx/24 ip lan3 address 192.168.3.xxx/24 ip filter 200099 pass * * * * * ip filter 200101 reject 192.168.1.0/24 *.*.*.* ip filter 200103 reject 192.168.3.0/24 *.*.*.* ip filter 200121 reject 192.168.1.0/24 192.168.3.0/24 ip filter 200123 reject 192.168.3.0/24 192.168.1.0/24 ip lan1 secure filter in 2000121 200099 ip lan1 secure filter out 2000103 200099 ip lan3 secure filter in 2000123 200099 ip lan3 secure filter out 2000101 200099 outフィルタは要らないですかね。
655 :
648 :2014/04/16(水) 23:18:11.41 ID:RMCTZfXU
一桁まちがえてるし・・ こっちのほうがいいですかね? ip lan1 address 192.168.1.xxx/24 ip lan3 address 192.168.3.xxx/24 ip filter 200099 pass * * * * * ip filter 200111 reject *.*.*.* 192.168.1.0/24 ip filter 200113 reject *.*.*.* 192.168.3.0/24 ip lan1 secure filter in 200113 200099 ip lan3 secure filter in 200111 200099
>>655 ip filter 99 pass *
ip filter 1 reject * 192.168.1.0/24 *
ip filter 3 reject * 192.168.3.0/24 *
ip lan1 secure filter in 3 99
ip lan3 secure filter in 1 99
フィルタの書き方が何かおかしいよ
657 :
anon :2014/04/16(水) 23:42:36.49 ID:???
必要がないインテリジェントなことはなるべくルーターにさせないのがトラブルを避ける原則
658 :
648 :2014/04/17(木) 00:20:32.94 ID:gdN3OP2V
>>656 そうですね。明らかにおかしかったですね。
訂正ありがとうございます。
659 :
anoy :2014/04/17(木) 11:45:30.94 ID:???
2行じゃなくて、片方だけかいとけば実質通信出来んけどね。
>>659 dos攻撃は可能だけどね
inだけをオススメするわ
662 :
anonymous :2014/04/26(土) 23:15:19.94 ID:VAGF3tre
rtxルータを人にあげるんだけど、 cold startして内容消しても、内蔵フラッシュメモリの内容を復活させられたりしない?
不可能ではない でもそこまで信用出来ない人になぜ譲るのか
664 :
anonymous :2014/04/27(日) 02:55:31.26 ID:deIzkz5u
>>663 レスありがとう
可能性があるというのなら、廃棄だな・・・
dd /dev/zero みたいなコマンドがあったら良いのになあ
あ、フラッシュメモリには予備領域があるから上書きしても駄目だな。
>>664 可能と言っても、ばらしてフラッシュメモリのチップを基板からはがして
ってレベルの話だぞ。
それでも可能性をつぶさないとダメってことなんだろうけど。
まあ、663の言うように相手次第ってことか。
そのレベルの話なら dd /dev/zero でもダメじゃん shred -n 3 -z とか
どうしても心配ならば適当なコマンドや設定をメモリ一杯になるまで上書きしよう。 3回くらい書き込めば過去の値は完全に消滅する・・・ まぁルータに書き込んでいるデータなんて神経質になるような価値の有るものじゃないけどな
rtx1200でmicroSDにconfigを書いて使っているのだが この場合も起動時に本体にコピーされてる?
669 :
ano :2014/04/27(日) 13:10:01.54 ID:???
yamahaいじった後にSSG5を設定しようと思うと本当にげんなりするわ
ヤフオクとかで買うとパスワードかかってないうえに pppoeとかvpnの設定丸々残ってて大丈夫かコレって事が 結構あるw
671 :
電話屋 :2014/04/28(月) 11:14:17.47 ID:???
RTX使ってる会社って零細ばっかだし 電話屋が更改するケース多いからいい加減な扱いですよ
零細でない所は何使うの? 零細はバッファローかと思ってた
最近だとエッジの機器はUTMや次世代型FWって呼ばれるあの辺が主流 VPNやPPPoEしゃべれるから1台ポンと入れればそれで事足りる 今YAMAHA導入するのは本当に零細とかIT予算が極端に少ないとこだけだな
>>673 ルーター、ファイアーウォールと機能でハードを分けたほうが、管理しやすいので別にしている。
大きい所はpaloaltじゃねえかな
大きすぎw
checkpointのサイトが名指し全力でpaloaltをdisってたのは驚いた きっとなんか確執あるんだろうな
678 :
電話屋 :2014/04/30(水) 05:20:10.04 ID:???
>>672 無論、バッファローもよく目にするし、やらされる
「自分でやれよ馬鹿野郎」とも言えないしね
モチベーションは上がらないけど、手間賃は3万くらい貰えるしね
Web設定をもっと強化すれば零細にも売れるようになるんだけどね
>>676 PA-200/500位なら中小企業だって入れられるだろ
fortiとかと比べると割高感あるけど
零細は安くしないと売れないだろー
零細 零細 言うな!
>>681 そこを騙くらかして売りつけるのが営業力
>>677 そりゃ、トップの座を奪われたままだからな
>>683 客「インターネットが速くなるんですよね!」
俺「くぁwせdrftgyふじこlp」
----ADSL----ASA5555-X---アライド8portHUB---PC5台
>くぁwせdrftgyふじこlp jkふぁうぇおhぎあえろh 「ふじこ」を表示させたいとおもったが、こうなってしまった。 ネクスト---RTX1200----hub
RTX1200 120kpps Rev.10.01.08 LAN1-LAN2 の双方向測定 RTX1100 52kpps Rev.8.02.31 LAN1-LAN2 の双方向測定 RTX1500 238kpps Rev.8.02.14 LAN1-LAN2 の双方向測定 RTX1000 50kpps Rev.7.01.06 LAN1-LAN2 の双方向測定 RTX2000 68kpps Rev.7.00.19 LAN1.1-LAN1.2(2port使用) の双方向測定 RTX1500って優秀なんだね。 RTX1200のほぼ倍じゃん。 ただでもらったからそんなにいいもんじゃないと思ってたけど。
Fortigate-60D 2.2Mpps 確かに保守費用はYAMAHA安いんだけどさ・・・
>>687 ファストパスがハードウェア処理だったり、いろいろ秀でている部分はある。
だから、後継(RTX1600?)を望む声を、MLでも以前は時々見かけた。
比較してるのはルーターとしての中継能力だね 今はVPNのターミネーターとしての機能も要求されるから、そっちが弱い点は今時のネットワークでは使いづらいね
>>687 >>688 参考になります
今日Fortigate-60C購入したので
届くのが楽しみです
RTX1500は大きさ的に自宅ラボ向きではないので
ちょっと購入は躊躇しちゃいますね
RTX1200より安いですが
692 :
anonymous :2014/05/05(月) 09:34:58.42 ID:g4vKGETN
Windows8からL2tp/ipsecで、RTX1200に接続してLANにアクセスできていたんだけど、 Windows8.1+UPDATEを適用したあと、これができなくなった。 RTX1200のログはこうなっていた。 なにか、Windows 8.1+UPDATEになって変わったかな? [IKE] respond IPsec phase to インターネット上の端末のIPv4アドレス IP Tunnel[xx] Up [IKE] respond IPsec phase to インターネット上の端末のIPv4アドレス same message repeated 4 times [IKE] initiate informational exchange (delete) same message repeated 1 times IP Tunnel[xx] Down [IKE] initiate informational exchange (delete)
693 :
692 :2014/05/05(月) 09:55:55.46 ID:AXrwz791
おお、Windows 8.1 + UPDATEの、VPN接続設定画面が、すっかり変わっている。 VPN接続プロバイダを指定する必要があって、ジェネリックな設定ができない感じだ。 VPN接続プロバイダに、Microsoftをセレクトすると、 ユーザとパスワードの設定ができるが、ベースとなるIPsecのパスワードの設定ができない。 これはちょっと面倒なことになりそうですね。 CUIでプロンプトから設定しろということにされそう。 助けて!
694 :
692 :2014/05/05(月) 10:12:33.27 ID:g4vKGETN
>>693 VPNの設定変更は、コントロールパネルの、インターネットオプションの接続設定から、
行えた。
IPsecのパスも設定可能。
しかし、RTX1200につながらなくなった。
何か、新しいWindowsでプロトコル変えられたのかな。
もちろん、regeditで、NATトラバーサルは適用しています。
Windows 8.1 + UPDATEでVPN接続試した人がいないのかなあ
>>694 暗号化とかの設定合わしてる?
デバッグで何処で接続失敗したのか調べてみたら?
697 :
anon :2014/05/08(木) 19:22:26.32 ID:???
>>695 出来てるけど。
rt107eでL2TP。クライアントはWin標準でレジストリーキー追加。
Win8.1はVPN切断するのがめんどくせ〜。
>>697 Windows 8.1 UPDATED で、l2tp over IPsec できているんだ。
あれっ、じゃあ、何か設定変えてしまったんだろうか・・・
>>696 デバックモードでログとって見ます。
でも、
>>692 で、いったん、IP Tunnel[xx] Up になったということは、
IPsecレベルでつながったけど、l2tpレベルで認証がしっぱいしちゃったってことかな。
デバッグするか。
699 :
anon :2014/05/08(木) 19:37:37.17 ID:???
そういえば最初すんなり繋がらなくて、Win7の設定真似した覚えがある。 ウィザード通りだと全部設定されない。 こういうプロ向けの設定をウィザードとかわざわざ難解にすんなよMSのクソ
>>699 もっといってやってくれ、金儲け主義のMS嫌い。
Win8になってから、無線lanの設定削除がコマンドラインからしかできなくなって、
改悪だと思った。(Win8.1がどうなったか知らない。)
いったい誰のためのOSになったんだろうとマジで考えた。
設定削除のためのアプリをWindowsストアからご購入願います なんてね
>>701 ああ、そういうことだ。
金儲けにつながるわ。
>>698 私は普通に繋がってるから、何処か違ってると思う。
下記の構成で1.5からを2nwに変換したいんですが、うまくいきません。 natしてやるだけだとおもうのですが。 1NW 192.168.1.0/24 2NW 192.168.2.0/24 1.5NW 192.168.1.5/32 1NW|----|rt57|----|2NW|----|rtx1100|----|1.5nw 設定を変えられるのはrtx1100側だけです。 rtxからはrt57と1.5の両側にpingが通ります。 1.5からrt57にpingを打つとrt57には1.5/32のまま通っているようです。 rt57のfilterでrejectされるので戻りのパケットはありません。 nat descrptorはouter,innerともに設定してます。 rtxはlan1の分割とlan2で1.5nwと2nwを持たせてます。 natテーブルにはちゃんとstaticで存在します。 routing offも試してみました。 natされない原因がよくわかりません。 何故でしょうか。
705 :
anon :2014/05/08(木) 23:23:36.64 ID:???
アライド使う予定内からいいや でもあそこのマニュアルなら書いてありそうな気もするし、サポートかなり回答早くて丁寧だから教えてくれるんじゃね
707 :
anon :2014/05/09(金) 03:27:34.77 ID:???
708 :
704 :2014/05/09(金) 23:43:34.66 ID:???
上記の/32は誤りでした。/24ですね。 自己解決。 natしなかったのは適用するインターフェースを間違えてました。 素人作業による、すでに実稼働していてネットワークが重複する環境の接続でして。 今度は1.5から1.0nw上にあるproxy経由で外に出たいのですが、57をさわれ無い以上無理なんじゃないかと。
「1.5NW」って何? 末尾「5 」じゃネットワークアドレスにはならないからホストのアドレス? LAN内に同じネットワークアドレスのセグメント作って どうルーティングするんだろ。 二重NATってやつ? どう自己解決したのか気になる…
710 :
sage :2014/05/11(日) 23:54:19.21 ID:???
LAN2(PP1)はunnumberedでPPPoE LAN1にプライマリにグローバルIP、セカンダリにプライベートIPを割り振って使っているのですが そこに新しくLAN2(PP2)に同じくunnumberedなフレッツ網(VPN)を接続しました。 ルーティングも設定済みの状態でVPN越しにLAN1のセカンダリ側へtracertすると lan1のグローバルIPが途中で出てきて先に行けません。LAN1のセカンダリアドレスまでしか疎通が取れません) 何か見落としてますかね??
>>710 >LAN1のセカンダリアドレスまでしか疎通が取れません
まず、RTXにtelnetでつないで、コンソールから、
その不達の、LAN内のPCにつなげるか試してみたらば?
712 :
sage :2014/05/12(月) 01:37:14.18 ID:???
>>711 さすがにそこは疎通問題なしです。
セカンダリのネットワークにはルーティングされないんですかねぇ?
PP1以外にフィルタは一切無しです。
713 :
a :2014/05/12(月) 01:57:18.59 ID:???
NAT?
>>712 >セカンダリのネットワークにはルーティングされないんですかねぇ?
つ ”さすがにそこは疎通問題なしです。”
逆に、lan内の端末から、 VPNの向こうの端末に、tracertしてみては?
RTX1200で光ネクスト回線のデータコネクトを使ったリモートセットアップ機能を使っています。 ふと疑問に思ったのですが、V6オプションを契約していなければ、「網内折り返し」はされないはずなのに、 どうして、網内にある端末間でリモートセットアップできているんでしょうか。 (V6オプションなしだと、次のようなダイレクト通信はできないはず。) RTX1200---網内---RTX1200 それとも、データコネクトって、端末間通信ではなく、中間にNTTのサーバを介した通信だからできているんでしょうか。 RTX1200は、そのNTTの中間サーバと通信をしているだけなんでしょうか。 RTX1200---NTTサーバ---RTX1200
SIPで穴を開けたら網内折り返し出来るルールじゃないかな SIPはサーバーを経由してるけどデータは端末間直接のはず
>>716 レスありがとう。
データコネクトして、SIPサーバに登録されると、
双方の通信が許可されるように、網のフィルタリングルールに例外が設定されるようになるのかな。
データコネクトは実質ひかり電話(IPv4)だから、ひかり電話と繋がる仕組みは一緒 電話番号を設定していることからもわかる通りSIPで呼生成してTCPでやり取り フレッツ網内のIPv6の網内折り返し云々は関係ない
rt100i-users 39928でヤマハの鋤崎さんが、 ヤマハの広瀬さんの投稿に対して次のとおり訂正してる。 > NVR500では、ひかり電話は、IPv4で発信しています。着信はどちらも可能です。 > データコネクトは、IPv6のみ動作します。 > ちなみに、REGISTERパケットはIPv4で送受信し、 > Contactヘッダ内は自分のIPv4/IPv6両方のアドレスが記述されています。
720 :
710 :2014/05/13(火) 00:02:38.58 ID:???
>>714 あー。アホや。
相手側のGWを切り替えるの忘れてた。
無事繋がりました。
お騒がせしました。
だれか、「ちゃん♪ ちゃん♪」って鳴らしてあげて
>>718 >データコネクトは実質ひかり電話(IPv4)だから
それは、HGWなどへのSIPプロトコルによるレジストのための通信だけじゃないか。
実際の通信は、IPv6になるだろう。
リモートセットアップのためのyahamaの設定例でも、IPv6アドレスを設定している。
でたらめな情報だな。「ソースは俺」なの?
すまないが、投稿しないほうがましだ。ひどすぎる。
んじゃ、お約束の ∩ ∩ (・ω・ | | ズコー | | ⊂⊂____ノ =§
和んだ
1.の環境でVPN使ってるがイマイチ動作がもっさりして、ローカル接続と比べワンテンポずれる感覚 そこで2.から4.のVPNサーバのL2TP over IPsecで接続すると、1.と比べキビキビした動作は期待できるかな? 中古の価格的にはRTX1100が一番安いんだが、導入する価値ありそう? 1.NTTのGbE対応HGW400シリーズのVPNサーバ機能(処理速度不明) 2.10年前のGbE対応パソコンでサーバOS稼働(PPC G4 デュアル800MHz、CPU処理速度:Geekbench700) (2つ目のネットワークは、33MHzのPCIバス接続によるGbEカード使用) 3.5年前のGbE対応パソコンでサーバOS稼働(Core 2 Duo 2GHz、CPU処理速度:Geekbench2500) (2つ目のネットワークは、USB2.0接続によるGbEアダプタ使用) 4.YAMAHAの100Mbps対応のRTX1100(IPsecスループット120Mbps)
>>726 もっさりってどういう使い方(RDP?)でそう体感するのか次第かな
PCの使いまわしは消費電力が気にならないならやってもいいかもしれないが
設定を詰めるの大変だと思う
少なくとも4.は中古で買う価値ないな、おもちゃとして買う分にはいいかもしれんが
>>726 とりあえずダメ元で1.のHGWを500シリーズへ替えてみるとか
>>727 ファイルサーバからファイル選択して、目的のファイルのフォルダを辿って
といった作業を進めてるときが、ワンテンポ分クッションが入る感じになります
そのファイルが数キロのテキストであったり、数ギガのハイレゾ音源の音声再生であっても
その部分に関してはストレスがなく動作します
他にはタイムマシンのバックアップをしようとすると、数十メガのファイルでも帯域が狭く感じます
Wi-Fi接続で数十Mbps程度と思われる実効速度よりも、感覚的にはもっさりですね
ローカルのWi-Fi接続で、リモートコントロールでアクセスしてるときと感覚的には同程度かも
自宅のLANはGbEの有線ネットワークですが、どの道WAN側の回線は最大100Mbpsなので
VPN部分に関しては必ずしもGbEである必要はないのかな、という考えもあって
GbE非対応でもスループットが高ければと思ったのですけど
L2TP over IPsecに関してRTX1100は、速度的にNTTの400シリーズよりも遅いのでしょうか?
>>728 残念ながら東日本エリアなので、500シリーズはリリースされてないから現段階では無理ですが
ルーティングやVPNのスループットは、400シリーズよりも優れてるのでしょうか?
>>729 それはそもそもWAN回線の上りが狭い気がする
ローカルのWi-Fiと同程度の体感速度ならマシな方かも
いずれにせよ、RTX1100のL2TP/IPsecは遅いので買うだけ無駄かな
HGWのVPN性能は測ったことがないので比較しようがないな
>>730 >いずれにせよ、RTX1100のL2TP/IPsecは遅いので買うだけ無駄かな
遅いのかw
旧式のネットボランチとRTX1100の組み合わせで使ってる個人事業主さんが多いイメージだから
使い勝手が結構いいのかと期待したんだけど、みんな複数拠点間の
「データ」ネットワークでなくて、「電話」ネットワークが目的なのかな?
>>731 L2TP/IPsecではなく素のIPsecで拠点間接続に使う分にはスペックに近い性能は出るよ
ただNATセッション数他のスペックを考えると今中古で買うほどのものとは思わないなぁ
中古狙いなら6月のINTEROPで新機種発表されれば1月以降くらいにまとまって放出品
が出る可能性はちょっとだけある
733 :
1100 :2014/05/13(火) 20:40:28.82 ID:???
>>731 ヤマハの使い勝手はいいよ。
無償でファームUPできるしも全機能も使える。
機能も多いし安定してる。
なのに本体が安い。
ただし、スペックはそれなり。
1000人規模でアレコレやらせない限りヤマハの上位機種で必要充分。
動作がトロイのはRTX1100やNTTのHGWのせいでなくて L2TP/IPsecのトンネル維持にパワーを必要とするということなのでしょうか? RTX1200のL2TP/IPsecならサクサク動くのでしょうか?
サクサクかどうかは主観判断なので誰も答えようがないな RTX1100はL2TP/IPsecがファストパスに対応していないので気休め程度の存在で しかないということだけだな
736 :
ぬるぼ :2014/05/14(水) 02:01:35.65 ID:???
そもそも一度インターネットに出てる時点で明らかにレスポンス落ちるだろ。 フレッツVPNワイドでも契約するしかない。 他の人も指摘してるが、もっさりとかサクサクとか完全に個人の感覚だけで表現するなよ。 書くんだったら、もっさりの閾値ぐらいかけ。
>>734 どういう環境かよくわからないけど実測値はどうなの?
回線と処理の問題じゃないかな。
コレはnvrだけど、LTEや3G回線-インターネット経由のPPTP-VPNでコンソール弄るのと、
64kのPIAF接続のコンソール弄るなら64kPIAFのほうが圧倒的に早い。レスポンスがいい。
VPNとPIAFで比べるなというのは置いといて。
PR-400?がソフトウェアでipsec処理してたらrtx1100でも早くなるかも?
2.か3.のPCをルーター兼サーバにすれば間違いなく早い。USB-NICなら100Mでもいいとおもうけど。
回線もベストエフォートのインターネット経由は遅延しまくりなのでモッサリと感じる。
pingとtracerouteでどれくらいになるか見てみたら?
つか 中古のRTX1100なんて高々3000-4000yen程度で買えるんだから あーだこーだ言ってる間に買って試せばいいのに。 最初から自分では何も試す気がないように見える。
726です
みなさま色々なアドバイスありがとうございました
事の始まりはRTX1100が税別1500円で売られてたんで、こいつで何か有意義な使い方はできないかというものです
VPNスループットMax120Mbpsというのに、過度の期待をしてしまったわけですねw
メーカーに確認したところ、VPNにおける自社製品のスループットは
PPTPだと数Mbps〜せいぜい十Mbps程度、無印のIPsecだと実効70Mbps程度で
ネットボランチシリーズでもVPNルータのシリーズでも、機種ごとの差はそれほどないとのことです
残念ながらL2TP/IPsecのスループットのデータは存在しないそうで(ファストパス対応のRTX1200とは差が出るようですが)
公式ブログ?によれば
>L2TP/IPsec機能をサポートしました。ただし、ファストパスではないので、スループットは期待しないでください。
http://projectphone.typepad.jp/blog/2012/02/2012223-8497.html とのことなので、このスレの皆様が異口同音に
>買うだけ無駄
>今中古で買うほどのものとは思わない
>ファストパスに対応していないので気休め程度の存在でしかない
>スペックはそれなり
と書き込まれていたのが裏付けられた格好みたいです
ということで、我が家の環境ではRTX1100のルーティング機能自体は必要としないと思われるので
今回は購入を見送ることにしました
>>738 ネットボランチを使って無料でドメインを頂けたので、WebDAV構築の方に時間を割きたいので
試す気がないかと問われれば、無駄なことはしたくないので答えは「YES」です
でもこちらのみなさまには、先人の知恵を授けてもらったと感謝してます
>>733 ネットボランチを導入して、YAMAHA製品の「使い勝手」には満足してます
他社のVoIPゲートウェイ(NEPRO、e-Gatewayあたり)なんかと比較すると、中古へのファーム対応なども含め
少なくても手も足も出なくなるような事態だけは避けられそうですし
>>737 NTTのHGWがソフトウェアでIPsec処理してるかどうか確認したところ、非公開だそうです
自宅の無線環境のローカルアクセスと、外出先の無線環境でのL2TP/IPsecでのローカルアクセスのスループットは
自宅のGbE有線接続と300Mbps無線接続の違いぐらいの差があったので、少なくとも1桁は違うと思われます
今度機会があったら速度を計測してみたいと思います
>USB-NICなら100Mでもいいとおもう
サーバ構築のマニュアルにも、WAN側はGbEでなくても構わないようなことが書いてあり
WAN回線が100Mbpsなので、確かにGbEの投資は無意味かもしれませんね
有益なアドバイスに感謝します
>>730 正確には「ローカルのWi-Fiと同程度」ではなく「ローカルのWi-Fiでリモートコントロールした場合と同程度」なので
「ローカルのWi-Fiでリモートコントロールした場合」と「ローカルのGbEでリモートコントロールした場合」
の違い程度の差があります
>>737 、
>>727 >2.か3.のPCをルーター兼サーバにすれば間違いなく早い
>PCの使いまわしは消費電力が気にならないならやってもいいかもしれないが設定を詰めるの大変だと思う
CPUパワーはそれほど必要としないようなので
いずれ省電力タイプのマシンが安く入手できたら、PCベースのVPNサーバを組んでみたいと思います
>>740 NTTの加入者線終端装置をこっそり開封できれば
ハードウェアエンクリプションエンジンを搭載しているかどうかを確認できるぞなもし
743 :
a :2014/05/15(木) 06:39:33.74 ID:???
1500円なら買いだろ VPNだけじゃなくても色々遊べるぞ
1500円ならとりあえず買っておいたらいいジャマイカ。 HGWもメーカー毎に違うみたいだし。 むしろどこで売ってるんだ。
1500円って何処で売ってるんだよ羨ましいよ 支店のRTX1000だからまとめ買いして入替えたい 本社だけは去年7350円で買ってきたRTX1500の中古に交換した
746 :
anon :2014/05/15(木) 18:50:34.94 ID:???
中古で業務使用とかwww
2ch投稿ですか マッチポンプ業務お疲れ様です
749 :
ぬるぼ :2014/05/15(木) 23:50:32.02 ID:???
ハードオフとかならあり得るんじゃないか?
以前、上の方のレスで、Windows8.1 UPDATEで、RTXへのL2TP/IPsec接続ができなくなったと騒いでいたものです。 スタバのwifi経由でできました。お騒がせしました。 しかし、そのときはスマホのwifiテザリングでIIJ経由で試していたのですが、 以前は問題なくつながっていたのに、つながらなかったんです。 たまたまなのか、IIJで何か制限がかかっていたのか、 また試したいと思います。
751 :
ぬるぼ :2014/05/17(土) 00:35:52.31 ID:???
うちも3G経由だとVPN繋がらない時が希にあるよ。 暗号形式に対応してないみたいなエラーが出る。 帯域の問題かなと考えてるんだけど。 ちなみにKDDI。
>>751 こういうちょっとした情報はうれしいですね。
ありがとうございます。
RTX1100を使って今から楽しめる遊び 何か面白いのあるの?
そういえば接続先のアドレスが表示されるのはなぜだw
リモホの強制表示はこの板の仕様です 通信技術板にカキコする人は強制表示を回避する方法くらい知っておけ ・・・っと言う運営側の優しい配慮です。
RTX1100が1500円で売ってるかとおもって近隣のハードオフ回ってみた。 SRT100が8600円で3台あっただけだな。
RTX1200同士の複数拠点IPsecトンネリングでクエスチョンがあります。 1、IPsecパケット(esp udp)がIPv4 or IPv6の場合、いずれでも、 カプセル化できるパケットは、IPv4 IPv6の両方が使えますか。 2、トンネルでつながった拠点のうち一拠点(Aとします)のみIPv6のグローバルユニークアドレス(/46くらいのプリフィックス)を取得していて、 これをさらに分割して複数拠点のRTX1200に手動で割り当てて下位LANのクライアントに広告できますか? 3、一拠点(A)から、分割して生成したサブプリフィックス宛のIPv6ルーティングテーブルを利用して、 サブプリフィックスにもとづいて適切なトンネルへルーティングできますか? 4、逆に、サブプリフィックスを割り当てている拠点では、GUAがあて先の場合に、 全て拠点(A)へトンネル経由でルーティングすることはできますか。
ク・ク・ク・ク・クエスチョン
久しぶりに破壊力のある書き込みが現れたな 業者に依頼してくれという感じだが業者の気配がしてブルッときたわ
763 :
名無しさん :2014/05/18(日) 21:11:31.14 ID:/Ks5ZxSo
rt100i-users か、yne.force.com にでも書いてみれば??
1500円のRTX1100 人気あるなあw
実際には5k超の値札とか足元見られてる希ガス
769 :
a :2014/05/21(水) 12:22:04.12 ID:H6AAkalo
ずっとWindows7の標準クライアントでL2TP/VPNできていたのに、最近になって接続に失敗したり 接続後しばらくしてから勝手に切断されるようになりました。 syslog debug on にしてログを見てみると、接続がうまくいった場合でも以下のように [IKE] invalid ISAKMP proposal というのが出るんですが、Windows7標準クライアントが悪いんでしょうか? 接続が不安定になる前からこういうログが出ていたのかどうかは分かりません。 ルーターはRTX810で、Win7ではレジストリの値を変更してNAT-Tできるようにしています。 [IKE] respond ISAKMP phase to 111.222.333.444 [IKE] add ISAKMP context [76] 9773d1c814249370 00000000 [IKE] invalid ISAKMP proposal [IKE] ISAKMP SA attribute (group description) 20 [IKE] invalid ISAKMP proposal [IKE] ISAKMP SA attribute (group description) 19 [IKE] add ISAKMP SA[1] (gateway[1]) [IKE] activate ISAKMP socket[1] [IKE] respond IPsec phase to 111.222.333.444 [IKE] add IPsec context [77] 9773d1c814249370 00000001 [IKE] setup IPsec SAs (gateway[1], ISAKMP SA[1]) [IKE] add IPsec SA[2] [IKE] add IPsec SA[3] [IKE] activate IPsec socket[transport:1](inbound) [IKE] activate IPsec socket[transport:1](outbound) IP Tunnel[1] Up [L2TP] TUNNEL[1] connected from 111.222.333.444 [IKE] IPsec socket[transport:1] is refered [L2TP] TUNNEL[1] tunnel 26251 established [L2TP] TUNNEL[1] session 61889 established
770 :
a :2014/05/21(水) 12:32:13.33 ID:H6AAkalo
ログの下の方ももう少しのせておきます PP[ANONYMOUS01] Call detected from user 'user' PP[ANONYMOUS01] PPP/IPV6CP up PP[ANONYMOUS01] Local PP Interface-ID 02a0defffe8216e5 PP[ANONYMOUS01] Remote PP Interface-ID c0cd1254f42c375a PP[ANONYMOUS01] PPP/IPCP up (Local: 192.168.14.1, Remote: 192.168.14.60) PP[ANONYMOUS01] Local PP IP address 192.168.14.1 PP[ANONYMOUS01] Remote PP IP address 192.168.14.60 [IKE] inactivate context [77] 9773d1c814249370 00000001 [IKE] delete IPsec context [77] 9773d1c814249370 00000001
771 :
hage :2014/05/21(水) 12:53:28.05 ID:???
config に ipsec auto refresh on を記述してるかい?
772 :
a :2014/05/21(水) 15:47:35.52 ID:H6AAkalo
はい記述しています。ちなみにiPadからL2TP/VPN接続した場合のログはこうです。 [IKE] respond ISAKMP phase to 111.222.333.444 [IKE] add ISAKMP context [95] c86a8bb0a523fb85 00000000 [IKE] add ISAKMP SA[2] (gateway[2]) [IKE] activate ISAKMP socket[2] [IKE] respond IPsec phase to 111.222.333.444 [IKE] add IPsec context [96] c86a8bb0a523fb85 fc237e39 [IKE] setup IPsec SAs (gateway[2], ISAKMP SA[2]) [IKE] add IPsec SA[3] [IKE] add IPsec SA[6] [IKE] activate IPsec socket[transport:2](inbound) [IKE] activate IPsec socket[transport:2](outbound) IP Tunnel[2] Up [IKE] IPsec socket[transport:2] is refered [L2TP] TUNNEL[2] connected from 111.222.333.444 [L2TP] TUNNEL[2] tunnel 57126 established [L2TP] TUNNEL[2] session 34575 established こちらのログには[IKE] invalid ISAKMP proposaはありません。
>>769 IIJで以前から使っていたが、最近になってうまく接続できなくなったことがあった。
回線は?
774 :
a :2014/05/22(木) 01:50:05.45 ID:38Gio/w5
ありがとうございます。回線はNTT東フレッツ光ネクストハイスピード(下り200M・上り100M)で、ISPはniftyです。 Windows7標準クライアントでL2TP接続が正しくできている場合のログってどんな感じなんでしょうか?
776 :
は :2014/05/28(水) 00:43:54.96 ID:???
そんなのに民間レベルの機材で参加しようもんなら 人が集まる都心部では即止まりそうだな。
RTX1100とwindows8.1でL2TP/IPsecで接続しています。 Webブラウザがちゃんと動かないので、困ってます・・・ コマンドラインから、 telnet mail.example.com 25 220 mail.example.com ESMTP Postfix (Debian/GNU) 正常 telnet www.example.com 80 (ローカルエコーおん) GET / HTTP/1.0 接続切断 vpn接続でないときはコンテンツが帰ってきます。 たすけてー
>>778 複数のWEBサーバでダメならルータのフィルタなのかもしれんけど
一つだけならWAFとかで弾かれてるかもしれね
>>779 ほとんど全てだけどgoogleは通る。わけわからない・・・・
仕方がないので、VPN先にsquid設置して対応しましたが、釈然としません。
781 :
名無しさん :2014/05/30(金) 00:59:03.35 ID:???
WebサーバはCR+LF+CR+LFじゃないと駄目・・・さすがにそんなオチはないか。
>>780 httpはNGでhttpsはOKってことなのかね
戻りのパケットを何かに喰われてないか?
783 :
ano :2014/05/30(金) 01:07:56.09 ID:???
ルーターなりWebサーバーなりのログ見たら直ぐ分かるんじゃねぇの
>>782 これだと思うな 自分もはまったことある
一部見られないとかで多いのはmtuの設定
>>785 あたりです!
ip pp mtu 1400
に変更したら動作するようになりました。
他の方々もご意見ありがとう!!!
>>786 どうして、断片化されると、送達されなくなったのか?
SPIで廃棄されてたのかな わからんが
>>786 ip pp mtu 1400って、isp接続の設定?
それとも、l2tpのppの設定?
790 :
. :2014/05/31(土) 01:48:56.91 ID:???
>>787 よくわからないけど、分割を制御するためのプロトコルがVPNルータまで通らないのかな。
私のWindows8.1のVPN接続は、パスワード間違えると落ちたりするので、Windowsがおかしいのかもしれません。
>>789 ispは他のルータが担当してしますので、l2tpですね。
>分割を制御するためのプロトコルがVPNルータまで通らないのかな rtx1100からwin8.1への応答パケットも考慮すること。 <上り>smart phoneにmtuが設定されていそう。win8.1は正しいmtuをもっているかもしれない。 win8.1→wifi(smart phone?)→特殊なフレームで3gネットワークへ→isp→rtx1100 <下り>ここで問題が発生しているのではないかなと思った。 rtx1100→isp→特殊なフレームで3gネットワークへ→smart phone wifi→win8.1 rtx1100に、mtu(max transferなので、送信時のIPデータのサイズ) を指定すると、 うまく行ったんだよね。だったら、問題は下りにあったんだろう。mtu設定で修正されたわけだと思う。 rtx1100から送り出された、IPsec/l2tpのパケットがでかくて、3gネットワークの特殊なフレームに乗らなかったということではないか。 http通信の返信パケットは大量のデータが載っているだろうから、高架下の限界みたいに頭をぶつけて通れなかったわけだ。 ping -f -l 1400 rtx1100のプライベートアドレス コマンドで、1400の値を前後させながら、断片化されないサイズmtuを調べるとよい。
792 :
. :2014/06/01(日) 03:19:08.38 ID:???
>>791 windows側のVPNトンネルのMTUが1400だったので合わせてみました。
どの状態にするのが最適なのか、ちょっとわからないけど、調整してみます。
くわしく紹介してくれてありがとう。
793 :
a :2014/06/01(日) 04:34:52.81 ID:???
794 :
. :2014/06/01(日) 05:06:48.51 ID:???
>>793 もともとは、ip pp mtu 1258 だったよ.
windowsのmtuと同じ1400にしたら通るようになった。
1258で通らなくなるって、そんな環境あるんだな。 1400で通すってのも危ない気がするが。
dfビットのこともあるし、mssを強制変更してる だいたいこれでうまくいくんだがなー
>>796 MTU(and MRU)でなく、mssの設定のほうが良いの?
mtuだと、IP層に作用すると思うけど、
mssの設定をすると、トランスポート層に直接作用するから良いとか?
ipv6になったら、たしか、経路上の全てのルーターを分割なしで通れるサイズで最初から送るようになっているんだよね。 ipv6の方が、分割で生じる問題がなさそうなので、良い感じだな。
pmtudのプロセスを踏むより、mssを最初から通る値に変更するほうが速い 難しいことはわからんけど
>>799 >Path MTU Discovery
IPV6だと、pmtudのプロセスを踏んでから、ipデータグラムの大きさを決定するんだよね。
IPV6になっても、MSSの設定をやっておけば良いってことかな。
たしか、IPV6にはMTUの最小サイズが保証されているはず。
NVR500とフレッツVPNワイドの組み合わせでLAN間接続をしているのですが、 思ったような速度が出ません。 トンネリングはIPIPを使用していて、 東京〜札幌間が4.5Mbps程度のスループットです。 この構成での速度としては妥当なんでしょうか?
>>801 そんなもんかも。速度が必要ならVPNワイドよりもIPv6使って拠点繋ぐ方がオススメ。
>>802 v6オプション申し込もうと思ったら、
hgwにつなぎこんだPCから、専用webページ(
http://flets-west.jp/wso/ )にアクセスする必要があるんだな。
普通は現地へ赴いて設定しなければならない。
遠隔地へ行かずとも、一時的にルーティングを書き換えたり、NAT(IPv4)を活用して、うまくそこへアクセスしようとしたが、これが難しい。
hgwに名前解決させるところまではできた。(nslookupで、その専用ページのあるサーバのIPv6アドレスがかえってきた。)
この専用ページって、IPv6じゃないとアクセスできないようだな。
IPv4がインナーで、IPv6がアウターになるようなNATが、RTXに実装されていれば簡単だが、そんなものはない。
そうなると、かなり面倒なことになるなあ。
現地のhgwのipv6プリフィックスをこちらのRTXに引き継いで、そして、IPsecトンネルもIPv6が通るようにしなければいけない。
どうしよう。何か、良い案はないでしょうか。
804 :
803 :2014/06/02(月) 02:52:34.54 ID:???
IPv4のIPsecトンネル(RTX1200同士)って、トンネル自体の設定なしで、
ipv6の経路としてそのトンネルを指定するルーティングテーブルのみ追加で、IPv6パケットが通るようになるんでしょうか。
できるなら、
>>803 の方法で渡来してみようかと思います。
805 :
803 :2014/06/02(月) 02:53:40.25 ID:???
806 :
803 :2014/06/02(月) 05:32:39.54 ID:???
なんだ、任意のプリフィックスを指定して、配下のPCにアドレスを自動生成させられるんだ
>>805 ipv6 prefix 1 2001:1::/64
ipv6 lan1 address 2001:1::1/64
ipv6 lan1 rtadv send 1
>>803 >>801 とは別の人?
東京と札幌はNTT東日本だから、サービス情報サイト(NGN IPv6)は
http://flets-east.jp/ 。
NTT東日本は2012年5月29日以降の光ネクスト新規申し込み(移転等含む)受付分より、みなし同意でv6オプションを標準提供してる。
プライオなら、それ自体にv6オプション相当の機能が内包されてる。
東西ともに、v6オプションは電話窓口等からでも申し込める(2000円+税)。
> この専用ページって、IPv6じゃないとアクセスできないようだな。
"www."が付加された現行のURL
https://www.flets-west.jp/wso/ はIPv4でもアクセスできる。
HGWにはIPv4-IPv6トランスレーター機能が備わっているからね。
808 :
803 :2014/06/02(月) 14:32:49.11 ID:???
>>807 別の人です。紛らわしいアンカをつけてしまいました。
>HGWにはIPv4-IPv6トランスレーター機能
これって、あて先IPv4を、あて先IPv6に書き換える機能でしょうか。
nslookup www.flets-west.jp "hgwのアドレス" というコマンドで、名前解決やってみると、
名前: www.flets-west.jp
Address: 2001:a7ff:ff06::1
という結果しか得られませんでした。
ところで、東日本の人がみなしv6オプション申し込みになっているんだったら、
最初から外部からの進入を防ぐセキュリティーを考慮しないといけなくなりそうですね。
外部からの侵入対策はやってあたりまえ、WANへの接点全てで言えることでは? 東西のv6を隔離したとしても西日本管内で悪さする奴は皆無なの? なんか西日本管内のv6は善人の集合体で東日本管内には悪党が跋扈してるような勘違いしてない?
IPv6を専用線と勘違いしてる悪寒
>>809 なんで気持ちいいんだろうか
西日本住民がほめられて喜んでいます。
813 :
江戸っ子 :2014/06/02(月) 16:21:01.03 ID:???
てやんでぇ、こちとら生き馬のIP抜いてやるぜ
こわい
815 :
807 :2014/06/02(月) 17:08:38.44 ID:???
>>808 > これって、あて先IPv4を、あて先IPv6に書き換える機能でしょうか。
仕組みはおそらくDNS46とNAT46で、フレッツ・光プレミアムのCTUに実装されている機能に近いものだと思う。
HGWには予めIPv4-IPv6変換専用アドレスとして192.168.200.0/24の空間が予約されている。
HGWのDNS Proxy機能がflets-west.jpのサブドメインの一部(www.flets-west.jp、
security.flets-west.jp、gw.security.flets-west.jp、portal.gw.security.flets-west.jp など)
のAレコード(IPv4アドレス)の問い合わせを受けると、逐次動的に192.168.200.1〜の
IPv4アドレスを割り当てて、そのアドレスを応答する。
HGWを再起動すると割り当てテーブルは消滅し、都度新たに構築される(IPv4アドレスは変化する)。
割り当て済みのIPv4アドレス192.168.200.Xに対してホストからTCPでアクセスを行うと、
HGWは対になるIPv6アドレスのサーバーへ代理通信を行う。
ICMPは転送されないようで、エコー要求(pingコマンド)に対するエコー応答はHGWが代理応答する。
そのため、HGWのWANポート-UNI間のパッチコードを取り外してもエコー応答し続ける。
Windows 2000 SP4 のコマンドプロンプトより
> C:\>nslookup www.flets-west.jp 192.168.1.1
> Server: ntt.setup
> Address: 192.168.1.1
>
> Non-authoritative answer:
> Name: www.flets-west.jp
> Address: 192.168.200.15
RT-500KIのファームウェア 01.00.0040と01.00.0020、01.00.0010、PR-400NEのファームウェア 6.09と5.15、それぞれで動作確認した。
記憶が曖昧だけど、400NEではICMPエコー応答しなかったかもしれない。
PR-S300SE機能詳細ガイドの2008年12月改訂版にこの機能の説明が収録されていたから、随分前から実装されていたみたい。
> 最初から外部からの進入を防ぐセキュリティーを考慮しないといけなくなりそうですね。
そのとおり。
HGWに関してはこちらへ
http://peace.2ch.net/test/read.cgi/hard/1392482978/
サンプル掲示する設定が扱う最小範囲まで絞って記述を説明しているよね これらのパーツを寄せ集めてハーモニーに組み立てていく作業は 各セットアップ作業者の技量の見せ所だとおもう 特定の設定事例だと微妙に何かが違った時にあれやこれやと手直しで全体見直し →だったら全部最初から
>>817 俺は駆け出しの頃それでクソ痛い目に遭った。
中小企業の社内担当者向けにとイージーに誘っておきながら
前置きなしで要点のみ書かれてるからオープン気味な設定のままになってる所って結構な数あるんじゃなかろうか。
あるかもなぁ へたに事例とかいっぱい出てるし 動けばそれ以上弄りたくない、その気持ちはよくわかる
820 :
名無しさん :2014/06/02(月) 21:11:14.80 ID:McZAliGY
>>816 そりゃ、各企業さんでの使い方はまちまちだから、使う場合は
その部分だけ結合してって形でしょ。
>>818 家庭用のRTシリーズとかは、ウイザードで設定すれば、きちんと
した設定が出来上がりますけど、RTX は、そうじゃないから、自分も
ハマりました。
マニュアル本とかで、事例を見ながら、基本的なひな形の部分を
作っておいて、後は状況に応じて、特定のポートを、in/out させたり
DHCP のレンジを変更したりですかね。
そりゃ「業務用」なんだから 設定例の一行ずつの意味をちゃんと理解した上で 実働環境に設定するくらいのことは メーカー側からすりゃ大前提でわ プログラム言語のリファレンスマニュアルの コマンドの使用例なんかと同じでしょ あくまでも引数の与え方とかのガイドであって そのまま使えるコードになってるわけじゃ
822 :
803 :2014/06/02(月) 23:28:22.42 ID:???
>>815 RT-400NE ファームウェアバージョン 5.15 でした。
IPv4アドレスに解決されませんでした。
> server *
> set type=A
> www.flets-west.jp
サーバー: [*]
Address: *
名前: www.flets-west.jp
RTシリーズだからかな。わからない。
>仕組みはおそらくDNS46とNAT46で、フレッツ・光プレミアムのCTUに実装されている機能に近いものだと思う。
>HGWには予めIPv4-IPv6変換専用アドレスとして192.168.200.0/24の空間が予約されている。
「V6プラス(V6オプションではない)」で使われる仕組みに似ているのかなと思いました。
中小やSOHO向けに売った場合 未熟なユーザーが大量に沸く事くらいはマーケティングの段階で理解してるはずなんだがな
824 :
803 :2014/06/02(月) 23:31:05.24 ID:???
DNS Proxy設定 DNS Proxyタイムアウト(秒) 10 AAAA送信抑制エラー応答機能 使用しない IPv6 IPoE通信優先機能 自動設定 HGWにこんな設定があった。これをいじると、IPv4で、www.flets-west.jp を解決してくれるようになるのかもな。
>>821 構築運用するのに理解して設定するのは何処でも当たり前じゃないか。
理解してない奴に実環境は触らせない。あぶなすぎる。
826 :
807 :2014/06/03(火) 01:04:57.80 ID:???
>>822 なぜだろう。地域や収容局設備の違いによって、与えられるパラメーターが異なるのだろうか…
4X0NEはPRとRTとRVとでファームウェアのバイナリーは共通だから、機種による違いではないと思う。
試しにRT-400NEのLAN側IPアドレスを192.168.200.0/24の範囲に設定しようとしてみて。
『IPv4-IPv6変換専用アドレスで使用するIPアドレスと重複しています。』
というエラーメッセージが表示されることで、機能の存在を確認できる。
RT-500KIでは『アドレスが重複しているため設定できません』と表示される。
RV-S340SEでは『指定したLAN側IPアドレスが、 IPv4-IPv6変換専用アドレスと重複しています。別のIPアドレスを指定してください。』と表示されるらしい。
こちらはインターネットマルチフィードのtransix(契約はIIJmio FiberAccess/NF)を利用。
HGWではIPv4 PPPoEとIPv6 PPPoEのどちらの接続も行っていない。
(初期設定時の設定ウィザードにて、「インターネット接続先を設定しない」を選択)
RT-500KIのLANポートに接続しているNVR500での実行結果
> # nslookup www.flets-west.jp
> 192.168.200.1
> # traceroute www.flejs-west.jp
> 1 192.168.200.1 (192.168.200.1) 1.087 ms 0.948 ms 0.248 ms
RT-500KIを再起動したのでIPv4アドレスは
>>815 と異なる。
RT-500KIへのDNS問い合わせには現在IPv6トランスポートを使用しているが、IPv4トランスポートでも結果は同じ。
>>824 の設定をどのように変えても、IPv4アドレスを応答しなくなることは無かった。
普段は「IPv6 IPoE通信優先機能」を「優先する」にしている。
>>815 訂正、DNS46は関係無さそう。
v6プラスはMAP(Mapping of Address and Port with Encapsulation)という仕組みだから、それとは全く異なるよ。
スレ違いなのでこの辺で。
localhostはうちのドメインだから勝手に使うなよ?
何老マサラ
>>830 順当にRTX1200と入れ替えられるだろうけど面白みがないのはがっかり
コンビニのバックヤード御用達品RTX1200のリプレースができればそれでいいんだろな
PFC非搭載か 15W30VA程度じゃ高価になるだけだしな
赤字部分はRTX1200との差分仕様です。
VPNスループットがギガのワイヤーレートでるようになっただけで十分大きい変化やん。 NGN内でVPN直張りすれば1Gbpsの専用線がお手軽にできあがるよ
RTX1210 125,000円(税抜) 2014年11月から発売よてい
>>837 ギガのワイヤーレートは双方向で1.5Gbit/sなの?
おもしろみがないと言えばそうかも知れないが、 ネットワーク機器なんて、本来そんなもんじゃないのかな。 要所要所で、きっちり性能がアップしている感じで良いと思う。 仕様には書いてないけど、パケット処理能力が知りたいな。 RTX1200はRTX1500の半分程度だったから、これで比肩する程度にはなったんだろうか。 個人的には、動作条件が40度→45度になっているのがちょっとうれしい。
>>835 RJ45化のピンアサインはシスコ配列でいいのかな
昔SUNのマシンで使ってたRJ45ケーブルあるけどシスコと同じだったかなぁ
ウホッ
1200は終息しちゃうのかあ?
>>837 古いタイプになってしまうRTX1200だと、IPsecVPNってどのくらい出るはずなの?
1210でもLink Aggregation対応か。 なんで、スイッチは独自方式にしたのか謎だったな。
早く1200のオク相場が5000円にならないかなぁ
>>801 遅延の影響だね。
FTPだともっと出ると思うよ。
>>844 もちろん、いずれは終息するがすぐの話ではないはず。
ネットワーク機器は安定性第一だから、
保守用として同一機種でないと認めないってところも存在する。
だから、当分は入手可能だと思うよ。
実際RTX1100が出たあとも、当分RTX1000を併売していたし、
RTX1200が発売されたのが2008年だが、RTX1100の生産終了は2011年だ。
IX2215をキャッチアップした感じだな。 登場時期の差で、基本スペックで劣る部分が多かったから、 その辺りに手を入れたって所かな。
851 :
anoに :2014/06/04(水) 22:26:57.22 ID:???
ホテル客室の回線整備とかしてる俺からするとNATセッション数が増えてるのが地味にうれしい。 wifi繋ぐ人がかなり増えているので有線以上にクライアント数を考慮しないといけないからつらいべ
RTX1210は RTX1200をベースに、IX2215に見劣りしないようにブラッシュアップしました。キリッ、、的な
RTX1200/1210クラスで代表的な物って、他にどんなのがあるの? 今ここではNECのIX2215があがってるけど。
>>850 NECってYAMAHAのOEMだとばかり思ってた
すごい勘違いしてたんだ
GUIに力が入っているそうだね。 「GUIのみサポートいたします」 「CUIは自己責任(2CHで)お願いいたします)」になったらどうしよう!
>>853 Ciscoの892FSPとかアライドのAR560Sとか
>>854 型番がIP38Xで始まるシリーズはそうだよ。
それらはファームウェアもYAMAHAのがそのまま使える。
859 :
an :2014/06/05(木) 08:42:06.65 ID:???
WLXもコンソールRJ45になったから今後は全部これで統一されるのかな。
>>857 特徴はそれぞれあるだろうが
一番売れてるYAMAHA押さえておくのが無難だよね?
全部のシリーズやった人居たら特徴も聞いてみたいが
居ないだろうね
>>860 YAMAHA が一番売れてるってマジ? (そんなには売れていないと思ってた……失礼)
>>861 IDCの微妙なセグメント分け、の条件付き
あの辺はお金を積めばどうにでもなるからね
でも、RTはコンビニなんかの一括導入で数を稼いていると思う
864 :
anon :2014/06/05(木) 11:18:56.68 ID:???
1210、外観変わらず、中身だけ変更かと思っていたが、金属筐体になるのか NATセッション数も上がってるし 正常進化的なところがYAMAHAらしいな
865 :
anon :2014/06/05(木) 11:29:27.92 ID:???
>>839 ギガビットは1Gbpsなんだから、公称VPNスループット1.5Gbpsなら
ワイヤーレートって表現してもいいでしょ
>>845 IPsec使用時の公称スループットは200Mbpsだよ。
これはRTX810と全く同じスペック。この点が個人的に不満だった。
インターネットを介して使用する場合、この製品がでた当時は
100MbpsOverの速度はほぼでなかったので、これで十分だったんだろうね。
今はNGN貫通方式とか、1Gbpsの回線とかでてきたので
この性能だとルーターで速度が落ちる可能性もでてきたからね。
866 :
anon :2014/06/05(木) 11:32:48.81 ID:???
>>861 NetvolanteDDNSの標準付属とか、ある程度GUIでぶん回せるとか
保守契約しなくてもファームアップができるとか
中小企業の規模で求められる殆どのモノが含まれてるからね。
一応日本企業の製品だし。最適解ではないけど、なんとなくちょうどいいっていうか。
impressの記事でも載ってたけど、1210のGUIは
FWX120の新ファームで先行リリースしたダッシュボードのデザインを
進化させたものになりそうね。
>>865 ワイヤードなら最低2Gbps必要
全二重だからね。
>>860 CCNPにあらずんば的なクラスタも一部にはあるけどな。
正直、RTX1500から買い替えるとして1200はppsが1500の半分以下ってのもあって、 どうも性能の悪い製品に買い替えるのはヤダなと思ってたけど、 1210のおかげで買い替えができる。ppsはまだ公開されてないけど、VPN1.5Gbpsあれば多分ppsも十分だろう。 生産やファームが安定してから買おうかな。 ヤマハに限らず初期ロットは地雷なことが多いから。
ワイヤードなら ワイヤードなら
>>867 スループットと書いてある場合は普通片方向のスピードを言うだろ。
ルーター基本性能はスループット*2最大2Gbit/s、VPNスループット*3最大1.5Gbit/s *2 RFC2544に準じた測定値(NATなし・フィルタなし、双方向)です。 *3 AES+SHA1利用時のRFC2544による測定値(双方向)です。
普通がどうかは知らんけど最近のはだいたい双方向で書いてある気がする
ご存知の方、いらっしゃったら教えてください。 ダイナミックDNSサービス(ネットボランチDNSサービス)で取得したドメイン名って YAMAHA製の異なるルータへ引き継ぐことは可能なのでしょうか? 現役稼働中のRTA55iが最近、不安定になってきたので NVR500 or RTXシリーズへリプレースしようと考えいるのですが…。
>>874 元のルーターで登録を解除して、その直後に新しいルーターで登録をすると、昔は出来た。
今は知らん。業務上重要なホスト名ならPP02とかに仮のホスト名で割り付けたりして移行テストを充分してからやれよ。
>>874 875と同じ経験あり。
削除してからなら同じホスト名でいけた。
877 :
874 :2014/06/05(木) 15:20:19.68 ID:???
>>875-876 情報ありがとうございます。
事前に仮ドメインを取得して検証してみようと思います。
>>874 とりあえずここを見る。
http://www.rtpro.yamaha.co.jp/RT/FAQ/NetVolanteDNS/index.html ホスト名の更新はコマンドラインでやった方がいいよね?
削除コマンドを前の機種でやって、
すぐつなぎ替えて再登録はサブドメインまできちんと指定してコマンドラインでやる。
netvolante-dns hostname host pp server=1 HOSTNAME.xxx.netvolante.jp
netvolante-dns go pp server=1
save
RTX1500のconfigを見たけど、機種によってpp serverあたりの記述が違う?マニュアルとも違うね。
まあ自分で調べて。
aa0からaa1になったのは同じ名前が被ったからだよ前のを削除しなかったんじゃないか 同じ名前が被ると番号が1つ増える仕組みだから前のを削除できたら同じの取れるよ
>>863 真の意味で一番はどのシリーズかな?
単なる興味だけど
いきなりRTX1210が出ましたね RTX810のGUIをより強化したのが好感持てるぜ さすがヤマハ! ユーザの本当の要望をわかっている コマンド厨は氏ね
883 :
anonymous :2014/06/05(木) 21:44:02.77 ID:hGwoOkTa
RT58iの中古を買ったら、焼き肉チェーン店のVPNのパスワードとか全部入ってた。 フレッツISDNネットワークだったけど。ひょっとしたら盗品だったのかな?
>>883 新機材取り替えのため、撤去する前にconfig消すのが当然だが、中にはいろんな事情で消されずに次の利用者に届くことはままある。
めんどくさいんだ。。。
>>882 下手なGUIは、せっかくの精妙に構成されたコンフィグを壊す危険性がある。
パラメーターを微妙に調整しなければならない案件だってある。
その場合、GUIはとても無力であり、邪魔ですらある。
GUIで設定する場合、全てYAMAHAが想定しているパターンのみで有効だろう。
>>884 >いろんな事情で消されずに
工場出荷時に戻す方法の書かれたマニュアルを失ったとか?
887 :
anon :2014/06/05(木) 23:20:02.49 ID:???
リースアップ品とかかもね
888 :
名無しさん :2014/06/05(木) 23:24:43.12 ID:???
構築/運用ベンダに撤去作業(コンフィグクリア含む)やらせると、人工なりのカネかかるからねえ。
>>888 cold start
でいいんでしょ。
>>889 全国に散らばるルーター新設撤去の案件だとパソコンでシリアル叩けるおっさんの山を準備するだけで単金が上がる。
cold startって叩くためにはそもそもそのルーターへのパスワードを管理者権限含めておっさんに伝えないといけないんだぜ。
そんな話で出てくる孫請け、ひ孫受けあたりのおっさんは下手すりゃLANケーブルをADSLの線とか言っちゃうようなものすごーくレベルの低い人たちだよ。
ボタンで消去させるだけの手順だと押し足りないとクリアされないから、手を抜くヤツが紛れ込んでるとやっぱり883のところまでコンフィグが消えずにたどり着く。
1台、2台なら誰にでも出来るが数百台、数千台とかになったら100%完全消去はかなり無理ゲーだぜw
まだYAMAHAはパスワードリカバリーが簡単だから最悪マクロを組んで例の方法でいい。
だけど、シスコとかは条件次第ではbreak信号送らないといけないからマクロで一括処理とかも完全自動では出来ないのが超面倒。(。-_-。)
891 :
a :2014/06/06(金) 00:49:35.00 ID:???
初期化ミスだろな。 初期化したつもりが再起動だったという落ちは何回か自分でも経験した。 暇なら落札した機器に御社の設定情報が入っておるが 念のために盗難品ではないか確認がとりたいのですがとチクりとやってみては?
通信設備としての資産登録(?)されてた機器で、それが廃棄されたはずなのに横流しとは。 税務署が熱い視線を送ってきたような希ガス きっと気のせいだ。寝よう
>>892 >廃棄されたはずなのに横流し
ゴミ箱から拾ってきた
>>889 GUIで初期化ボタンをクリックすれば済むでしょ
>>885 GUIにはコマンド入力窓がある
基本設定は全てGUIで済ませて・・・
特殊な設定をしたい人だけ入力窓から奇特なコマンドを流し込めばいいだけさ・・・
コマンドラインに魂を売ったコマンド厨は死んでも納得しないだろうが
GUI設定が便利な事はゆるぎない事実
GUIは普通に便利。 基本的なとこだけGUIで設定して差分をコマンドで入れたりとか。 ただ、GUIで設定しようが、コマンド叩こうが結果がコマンドの羅列として保存されるのは重要。
GUI閣下が再降臨されました
>>895 GUIを使って変更を適用すれば、変なコマンドが即座に保存されてしまって泣くことにもつながる。
CUIだと、SAVEコマンドを打つまでは保存されないので、RESTARTするだけで復帰できる。
>>898 それはあなたがボケ作なだけでしょ?
設定する前に設定前のコンフィグをSDメモリにバックアップしておくか
コピペしてPCのメモ帳とかで保存しておくのが普通だろ・・・
何も考えずにいきなり設定変更するうっかり八兵衛にヤマハルータを扱う資格なし
コマンド厨以前の問題だ
>>899 節穴してる人にボケ作とは言われたくないな
遠隔地の設定するときは、万一間違ってtelnetで入れなくなっても
現地に電話して「悪い、電源一回切入りしてくれる」で元通りになるし、
現地に対応できる人が居ないときは3分後位にリスタートする設定を入れておくと万一の時も勝手に復帰してくれる
901 :
名無しさん :2014/06/06(金) 18:47:36.62 ID:???
まあ、899は実際の企業での運用を知らんのだろうな。
>>900 その程度の設定は後からGUIのコマンド入力窓で入力すれば済むだけだからな
その程度の事でGUIを否定する理由にもならない
xssの脆弱性が出た頃からhttpdはoffにしてる
その問題は既に対策済では?
そうですね
ハードニングの観点からは止めた方がよいのはたしか>HTTPサーバ
セットアップが終わったらweb鯖は止めて SNMPで監視してりゃええがなMTRGで様子はわかるし嫌なら各地か
せっかくの「見える化」技術を殺すなんてたわけとしか言い様が無い ヤマハの最新機種を買う意味が全く無いよ・・・
セキュリティホールとなりうるものを防ぐ、それもまた人それぞれ。 まぁGUIオンリーの閣下には理解できないだろうな
>>909 GUIが理解できないジジィはアライドテレシスを買え
今後のヤマハの方向性はGUIと見える化だ
「老兵は死なず、ただ消え去るのみ」
GUI閣下が久しぶりに熱弁をふるっております
RTX1210の登場にコマンド厨が狼狽中
GUIもCLIも互いに長所短所があるから使い分ければ済む話なのに、何をそこまで互いで罵り合う必然性があるのかわからんな。 1000台とか2000台規模でルーターを撒く案件なんかだと、マクロで一括処理すべきで、GUIでは気が狂う。 反対に不慣れな分野の話ならGUIは初心者には理解の助けになる。 GUIしか持たないプラネックスやバッファローのルーターなんか、何度叩き壊そうと思ったことか。 適材適所なんだよ。
>>914 その規模だと完全にヤマハの守備範囲外ですから
アライドテレシス陣営に逝って下さい
>>915 え?
アライドのが大規模向きなの?
確かに大きいのあるがciscoかalaxlaにするかも
>>916 ご自由に
その規模だと完全にヤマハはお呼びじゃないよね
さようならコマンド厨さん
二度と戻ってこなくていいよ
>>917 は?誰が?
ちょっと気になったらその反応かよ
楠目
「ヤマハ株式会社は、日本のインターネット普及元年に近い1995年にルーター市場に参入以来、 中小規模ネットワーク、SOHOを中心とした多くの企業に導入いただき、 国内において2013年SOHOルーター市場シェアNo.1*1を確立しています。」 「中小規模ネットワークでは専任のネットワーク管理者が常駐していないケースが多く、 設定、運用、管理の負荷軽減を強く求められています。」 このアピールポイントからもヤマハの立ち位置は明白だからな 今後もどんどんGUI化が進んで行くだろう。 GUIこそが正義!いい時代になったものだ!
家庭用で十分な層にも高級ルーター(笑)として売れるようになるからビジネス的には美味しいよね NVR500で味占めてそう
このスレ面白すぎ
>>900 >3分後位にリスタートする設定を入れておく
あっ、オマオレ
家庭用有線ルータが2000〜3000円のモデルばかりになったからなぁ。 少しだけ高耐久のモデルがあれば十分なんだけど。
家庭用のv4-BB-NAPT箱なマーケットでは禿しい価格競争に晒されるので 上位機になるルータとか太刀打ちできませんね v6がどこまで必要なのかなどのニーズで、ファームにカネかけられる製品が脚光を浴びる程度でしょう コンソール接続が必要だとか、家庭用には排除要件ですらある。 やっぱりGUIは必須だし正義なのです
正義なのです。キリッ
正義なんだ
LINUXのステートフルインスペクション(-m state)と、 yamahaの動的フィルタってどんな違いがありますか。 yamahaの動的フィルタは、アプリ名もしくはプロトコル名を指定しますよね。 linuxのはそういう指定をいちいちしなくても、ESTABLISHEDと、RELATEDをつけておくだけで、 自動判別してくれると思います。(必要なプロトコルに制限したければ、条件を厳しくすればよい。) yamahaの動的フィルタの特長ってなんでしょうか。
すみません。ちょっと教えてください vlan1,2 -【rtx】--internet(ipsec vpn)-【rtx】-vlan1,2 という形で2拠点間でvlanを2つ作りたいのですがrtx2台だけで可能ですか? 素直にrtxとL2スイッチを買った方がいいですか? vlan1とvlan2は通信させたくないです
929 :
anon :2014/06/07(土) 23:04:51.04 ID:???
おそらく1同士or2同士はWANごしに通信したいんだよな。 なら3ポートモデルを買ってフィルタ入れればいい。現行ならrtx1200以上。
>>929 そうです。 lan1 同士、lan2同士はwanを越えて通信したいです。
出来ると言う事で安心しました。
回答ありがとうございます。
yamahaのホームページ見てると機能的には出来そうだけど
明確に出来ると確信できる接続例を見つけれなかったので購入に踏み切れませんでした
931 :
a :2014/06/08(日) 00:25:13.27 ID:???
RTX810とかでもできるんじゃ? VLANで切ってip routeとfilterの組合せだけでいいよね。
932 :
anon :2014/06/08(日) 16:17:00.89 ID:???
810(2ポート)だとVLANで同じ拠点の1と2は通信できなくできるが、WAN越しに別拠点の1と2が通信出来てしまう。 LAN1に2つIPアドレスつける手もあるが、端末側で設定変えられたら終わり。 1200使って1と2はIPセグメント分けした方がフィルタ制御しやすい。
933 :
anan :2014/06/08(日) 17:54:38.89 ID:???
それ、vlan利用の前提にならなくね?
934 :
anon :2014/06/08(日) 18:21:08.60 ID:???
そうだよ VLANじゃ実現できないから使わない。
それを設定できないのは勉強不足なだけだろ。
これって各拠点のVLAN1,2はそれぞれ同セグなんだよね? RTX810ってL2トンネル張れるの?
説明下手でごめんなさい。 vlan1,2 -【rtx】--internet(ipsec vpn)-【rtx】-vlan1,2 左側vlan1 192.168.0.0/24 左側vlan2 10.10.10.0/24 右側vlan1 192.168.1.0/24 右側vlan2 10.10.11.0/24 のような構成を考えてます。 後ネットワークはvlan3,4と増やす事を考えているので2セグメントが限界な場合はこの案は不採用です。 後だし説明になってしまいましたが改めて出来る出来ない教えてもらえると助かります。
938 :
anon :2014/06/08(日) 20:28:47.01 ID:???
あのさ VLANで実現しても、端末側で設定変えられたら終わりだよ。 その程度のセキュリティでいいならいいけどさ。
939 :
anosa :2014/06/08(日) 20:35:46.90 ID:???
あのさ VLANってなに?
>>937 ネットワークはいくつまで増やす想定なの?
RTX810なら物理的なポート数から4つまでだし、RTX1200なら9つまでが限界だ。
それ以上ならスイッチが必要になる。
ネットワーク的にはそれぞれの拠点でVLANきってフィルタで制御するだけでOK
>>938 その程度のセキュリティで十分です。
安く作る事が目的の案なので
942 :
anon :2014/06/08(日) 21:47:05.50 ID:???
>>941 ならば、LANポート数で上限が決まる。
単一LANポートに割り当てられるIPアドレス数は2つまで。
rtx1200でLANポート2*2で4セグメントまで可能。
>>940 回答ありがとうございます。
近々で見えているのは3組です
その後の見通しを考えて機種決めたいと思います。
>>937 (´・ω・`)月並みな回答をすると、LAN分割して普通にIPSecしてip routeとフィルタでうまいことやればつながると思うんだけど。
と言うか最近仕事でそれやった。
>>945 ですよね。。。
何も悩む必要がなかったということで・・・。
VLANによる分離って、IPアドレスを手動設定されると、越えられちゃうの? VLANでセキュリティを確保するみたいな記事をよく見るだけど。
948 :
あのにます :2014/06/08(日) 22:09:12.45 ID:???
>>947 VLANっていっても幾つか種類があるけど、基本的には超えられない。というか、行かせない。
ただ、ここで言ってるVLANはタブンRTXのLAN分割のことだと思われるので、フィルター設定しっかりしないと
超えちゃう。
>>948 クライアント側のIPアドレス手動設定でどうやって越えるのよ
フィルターがザルならダメなのはL3スイッチとかでも一緒でしょ。
950 :
あのにます :2014/06/08(日) 22:18:39.53 ID:???
>>949 (´・ω・`)ふぃるたーザルな時は超えるってことなんだけど・・・
951 :
anon :2014/06/08(日) 22:42:15.06 ID:???
LAN内の話じゃなくて、 この例の場合、WAN越しに10系 192系が通信するが、192系の端末が手動で10系に変えれば、WAN越しの10系にアクセス出来る。 その程度のセキュリティだよってこと
>>951 いや、LAN分割してるのに192系の端末が10系に変えちゃったら
そもそもルータと通信できないだろ。
953 :
anan :2014/06/08(日) 22:50:54.00 ID:???
>>952 それに関してはデフォルトゲートウェイが合ってれば大丈夫だよ。
DNSと。
WAN越ということは、VPN越しということですよね。 全く頭にありませんでした。 申し訳ない。 それぞれフィルタいれないとそりゃ筒抜けですわな。。。 vlan port mapping lan1.1 vlan1 vlan port mapping lan1.2 vlan1 vlan port mapping lan1.3 vlan2 vlan port mapping lan1.4 vlan2 lan type lan1 port-based-option=divide-network ip vlan1 address 192.168.0.1/24 ip vlan1 secure filter in 1000 5000 ip vlan2 address 10.10.10.1/24 ip vlan2 secure filter in 2000 5000 ip filter 1000 pass * 192.168.0.0/24 * ip filter 2000 pass * 10.10.10.0/24 * ip filter 5000 reject * * * * コレであってるかな・・・。 最低限こんなかんじでフィルタしろってことですね。
955 :
953 :2014/06/08(日) 22:54:27.42 ID:???
それはいいとして、通信できちゃうって主張してる人はもしかしてfilterがinとout両側で設定できるのを知らないのかな?
956 :
あな :2014/06/08(日) 23:05:10.62 ID:???
proxy arpが抜けてる
>>953 どう言う想定なのか全く分からんなー
192系の端末がいるネットワーク内にわざわざ10系のアドレス持ったゲートウェイをおくの?
10系のネットワークにケーブルを差し換えられたらそりゃ駄目だが。
あとDNSはなんの関係が?
958 :
q :2014/06/08(日) 23:21:12.74 ID:???
>>957 お宅の言ってることがわからん。
差し替えたらとかそういう勝手な前提がありなら同じ事務所内で仕事できんだろ。
上で書いてる人がいるようにinとoutでフィルター組めるんだから対応出来る。
それから元々質問した方、YAMAHAのサポートフォームからも質問したほうがいいよ。
2-3日あれば丁寧に教えてもらえるから。
>>954 VLANってタグ付加のイメージがつよくてすっきりしない。
VLANって、ハードウェア内部のポート分割機能という理解でよい?
LAN分割機能でVLANを複数作っても、それをひとつのL2SWに繋げちゃうのが前提ってことかな 各VLANでMACアドレスが同じになるから、うまく動かないことが多いよ
>>960 >各VLANでMACアドレスが同じになる
そうですよね。
>ひとつのL2SWに繋げちゃうのが前提
この意味がよくわかりません。
(´・ω・`)おh,超ずれた。
>>960 WAN(どっか)
|
【ルーター】
[VLAN1][VLAN2]
| |
| |
| |
[ L2スイッチ ]
>>963 えぇぇ、何でそんな変な構成にしようとすんのよ。
HUBなんか安いんだから2つ買いなさいよ。
もしかして
>>951 とかもこの前提での話だったん?
966 :
ano :2014/06/09(月) 00:39:20.69 ID:???
ポートベースだとしても
>>963 みたいな接続は一般的にあり得んだろ。
VLANの意味がない。
それだったら分離したいクライアント側で別ネットワークアドレスのipで固定するだけでいいじゃん。
クライアントが数台しかないとか特別な理由が無い限りタグVLANのが手間もコストもかからんと思うけどね、、、
【ルーター】 [LAN1] | | | [ SWX2200-8G ] この構成で vlan lan1/1 802.1q vid=1 vlan lan1/2 802.1q vid=2 やってそれぞれアドレスいれてスイッチ制御で思う存分できる。
どうでもいいが、vid=1って装置によって解釈が違うので使いたくない。
ドコモのL-02FのUSB接続対応して欲しいな 誰かお願いしておいて
>>969 君がお願いしないと、誰もお願いしないよ
Interopで直接中の人にお願いしたら良いよ