YAMAHA専用スレッド
ttp://pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
ttp://pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
ttp://pc8.2ch.net/test/read.cgi/network/1092832668/
YAMAHA業務向けルータ運用構築スレッドPart4
ttp://pc11.2ch.net/test/read.cgi/network/1144116104/
YAMAHA業務向けルータ運用構築スレッドPart5
ttp://pc11.2ch.net/test/read.cgi/network/1196114751/
YAMAHA業務向けルータ運用構築スレッドPart6
ttp://pc11.2ch.net/test/read.cgi/network/1223667451/
YAMAHA業務向けルータ運用構築スレッドPart7
ttp://pc11.2ch.net/test/read.cgi/network/1245454435/
YAMAHA業務向けルーター運用構築スレッドPart8
ttp://hibari.2ch.net/test/read.cgi/network/1275391797/
YAMAHA業務向けルーター運用構築スレッドPart9
ttp://hibari.2ch.net/test/read.cgi/network/1294731041/
YAMAHA業務向けルーター運用構築スレッドPart10
ttp://engawa.2ch.net/test/read.cgi/network/1309822690/
YAMAHA業務向けルーター運用構築スレッドPart11
ttp://engawa.2ch.net/test/read.cgi/network/1329367146/
【公式サイト】
YAMAHA RT series router Home Page
ttp://www.rtpro.yamaha.co.jp/ ・ここはYAMAHAルーターで、小規模〜大規模のネットワークを構築、運用する人のための情報交換スレッドです。
・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 18
ttp://toro.2ch.net/test/read.cgi/hard/1353631139/
#それと、part12とpart2を間違えた
#すまねぇ
なんて思ったら、もう。
part2とpart12だから許すけどport2とport12を間違えたら大変だからね。
気づいてよかったね、PARTナンバーの間違いを
でも、今回、とても早くスレが立ったね
で、IP8って?
/29サブネットのことでしょ?
当然、そこからネットワークアドレス、ブロードキャストアドレスが引かれて、
そしてゲートウェイアドレスが引かれて、
実質、5個しかホストに割り当てられるアドレスがないことになるね
これで、合っている?
間違っています
質問者は未来から来てるんだよ。
これで、合っている?
次スレないなと思って立てちゃった。扱いは任せる。
YAMAHA業務向けルーター運用構築スレッドPart12
ttp://engawa.2ch.net/test/read.cgi/network/1358373114/
ここを見る限り、フレッツなのでpp接続。
ttp://www.parknet.co.jp/fletsdns/index.html ppならブロードキャスト等の概念がないので、NATを介することで、8個全部を使えます。
けれども、動作確認が必要です。
網側でサブネットを認識しちゃっていれば
最初のアドレスのパケットを流してくれないかもしれませんし(janog:10975 のスレッド等)、
NAT配下にある外向きサーバはアドレス変更の手間があるかもしれませんので。
パートフォワーディング設定しとけばいいんじゃね?
static NAT でサーバー立てると8台まで立てられるけど
unnumberd で立てると5台までと言う話(この場合は鯖はグローバルアドレス)
unnumberd運用 って、IPv6では必須でしょ?
だって、上位ルーターから、好きに使っていいよってプリフィックスを塊ごともらうから
規格として存在するけどヤマハの製品には実装されない
かといって、IPv6グローバルアドレスを使えるようにしたら、セキュリティーが心配
なので、IPv4で構築した内側の環境をそのままにしながら、IPv6インターネットにもつなぐには、
の仕組みのNAPTが欲しい・・・
オールIPv6グローバルアドレスすると、
せっかく構築済みの内部ネットワークを見直す必要が出てきてしまうから
とりあえず、のNAPTがほしい・・・
IPv4がIPv6に変換されるのがおかしいと思えた
IPv4は、あて先アドレスには、IPv6は指定できないはず
だったら、IPv6に変換される必要がないということになるからだ
盲点だった
何のためにFWがあるんだ。
ここぞとばかりにFWにがっつりルール書いて使えばよいではないか。
in→outをとりあえず全スルーにして、out→inは戻しのパケットのみ許可すればよいではないか。
>out→inは戻しのパケットのみ許可
IPv6も、動的フィルタ掛けられるん?
プライベートアドレスがNAPTの配下にあってインターネットから隠されているだけで、
安心感はあったなあ
もちろん、ポートはマッピングされてプライベートアドレスのホストへつながっているのだけど、
実際に通信しているポートしか見えないのはよかった
例えば、自分が192.0.2.1/24で10.0.0.1/8へアクセスしたい時に
送信元を2001:db8:X1::192.0.2.1、送信先を2001:db8:Xfff:a00:0::としてIPv6を縦断、
2001:db8:Xfff:a00:0::へ到着したら10.0.0.0/8へアドレス変換され
目的地へ行けるものくらいはありかなと思ったw
こういうかき方も許されるんだよな
IPv4=32bitということで。
>2001:db8:X1::
↑これ、どこのやつ?
2000::/3が、グローバルユニキャストアドレス範囲だよね。
その話の、IPv6を縦断ってどういう意味?
IPv6(2001:db8:X1::192.0.2.1) → IPv6(2001:db8:Xfff:a00:0::)変換 → 10.0.0.0/8
これって、IPv6 to IPv4なんじゃないんですか?
あと、vista 以降の窓OSはグローバル匿名アクセスがデフォで有効になってるから、生のアドレスがでることはないはず。
その匿名アドレスも一定時間ごとに変わるし。
ネットワーク部はどうしてもみえてしまうけど、その程度ならv4のNAT環境と対して変わらないでしょ。
ipv6は、ユニキャスト(リンクローカル/グローバル)や、
リンクローカルエニイキャストとマルチキャストしか知らなかった。
pingを打たれても、相手にホストの存在がわからなくなるのかな
匿名アクセスって、NATをホストで実装したようなものかな?
つまり、ポート変換でもやっているんだろうか。
いや、単に定期的に匿名アドレス再作成して変えるだけ。
なので当然FW入れないと、アクセスされまくり。
もともと、匿名アドレスは、プライバシーの観点から作られた物だから。
一応配慮はされつつあるみたいだね。
いろいろと問題あるひかり電話環境でのIPv6だけど。
> セキュリティ状態情報
> セキュリティ状態
> IPv6ファイアウォール機能
> 2012/12/22 11:15:41 〜 有効
> 2012/12/18 22:38:07 〜 有効
> 2012/12/17 12:27:56 〜 有効
って、?
ひかり電話を導入した環境で、IPv6ネイティブを考えているんだけど
26が言ってるとおり、発信するアドレスが隠れるわけじゃない。
本来ついてるグローバルv6アドレスとは別に、
自動生成した一時アドレスを設定して、そのアドレスからアクセスするってだけ。
それが一定時間ごとに変わるから、特定のアドレスが露見しないって仕組み。
だから外からのダイレクトアクセスを止められるわけじゃない。
それはFW等で対策する必要がある。
なるほど
グローバルユニキャストアドレスの、
インターフェイスidによって自動作成されるアドレスを使わないで、
別に、グローバルユニキャストを生成するってことか
データコネクトを使ったリモートセットアップって使えるんでしょうか。
現在、HGWとRTX1200を同じ192.168.0.0/24のネットワークに属させています。
ip lan2 secondary address dhcp
ip lan2 nat descriptor 2101
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
ngn type lan2 ntt
remote setup accept none ←セキュリティーのため、とあえずアクセス不可にしている
DHCPv6 status
LAN2 [client]
state: established
server:
address: ::
preference: 0
prefix: 2001:a5**:****:**b*::/52
duration: 14400
T1: 7200
T2: 12600
preferred lifetime: 14400
valid lifetime: 14400
SIP server[1]: 2001:****:**b*:0:****:****:***d:***e
DNS server[1]: 2001:****:**b*:0:****:****:***d:***e
Domain name[1]: flets-west.jp
Domain name[2]: iptvf.jp
SNTP server[1]: 2001:@@@@:@@@2::*
SNTP server[2]: 2001:@@@@:@@@2::@
Vender Specific Information:
Enterprise Number: 210
MAC Address: 00:a0:**:**:**:**
Tel Number: 3
SIP Domain: ntt-west.ne.jp
また、lan2ポートには、上のipv6プリフィックスを持ったグローバルアドレスがありました。
HGWには、内線3番に、RTX1200の登録がありました。
これで、リモートアクセスは使用準備できているんでしょうか。
それとも、RTX1200を、ONUに直付けして、登録する必要があるのでしょうか。
しかし、どうやって、外部から、この内線3番にダイヤルすることができるのでしょう。
たぶん、これができればリモートセットアップができると思うのですが。
この辺でSIPサーバーとか見えてるなら行ける
ISDNとのリモートセットアップとは繋がらないよ
あくまでもNGN同士のリモートセットアップだからね
設定は以下を見てね
ttp://www.rtpro.yamaha.co.jp/RT/docs/ngn/ngn_remote_setup.html NGN status
LAN2
sip:3@ntt-west.ne.jp
起動OK
今、こんな感じです。
相手先もひかり電話開通したら、データコネクトでTELNETやってみます。
また結果の報告しますね。まだかなり後になると思う。
tnx!
よく考えるとIPv4NATを入り口と出口の2台に分けて
その間の通信をIPv6を経由するという感じかな?
あれ違う。IPv4の宛先の数だけ出口側のIPv6アドレスも
必要になってしまうか。
通信速度はどのくらい出るのでしょうか
さすがに帯域フルは無理だろうな。
でもまぁ、Bフレッツのフレッツ・ドットネットで県間通信入っても、
片方向100Mbit出てたから、そこそこ出るんでない?
だとしても、それすごいね
詳報:libupnpに深刻な脆弱性、パッチ適用やUPnP無効化呼び掛け
ttp://www.atmarkit.co.jp/ait/articles/1301/30/news107.html とりあえずupnp use offしたけど、ヤマハHPにはなにもアナウンスされてないね
でたね。
[rt100i-users 40458] libupnp の脆弱性はヤマハルーターには関係ありません
ヤマハルーターでもUPnPの機能を持つものがありますが、ヤマハルーターでは
UPnPの実装にlibupnpを使用していませんので、今回の脆弱性には影響を受けま
せん。
たぶんルーターのスループット限界近くまで出ると思う。
IPsec使用時の最大スループットは1200で200Mbpsだったと思うから
上限はそのあたりになるとおもう。
昔からUPnPは危険ですという話を確認し直したらやっぱり危険でした、という話みたいだね
UPnPは仕様レベルで遠隔操作される脆弱性が随分前に発見されてて、不使用を推奨してます。
RT @mtakahas: 確証が取れなかったので記事には反映してませんが、YamahaルータはFixされてる……のかな……? それとも別の脆弱性?
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU347812.html yamahaは推奨していないね。デフォもオフだし。
発信元は、(1)72.246.189.128:80と、(2)72.246.189.144:80 で、1秒間に10アクセスほどあります
サーバーはアカマイらしいです
フィルタは、ip filter 11 reject * 172.16.0.0/12 * * *
(1)と(2)が平行して、順番にTCPポート番号を上げているみたい
2013/02/01 00:45:23: PP[29] Rejected at IN(11) filter: TCP 72.246.189.144:80 > 172.24.XXX.YYY:38262
2013/02/01 00:45:23: PP[29] Rejected at IN(11) filter: TCP 72.246.189.128:80 > 172.24.XXX.YYY:40443
<45分後↓>
2013/02/01 01:30:57: PP[29] Rejected at IN(11) filter: TCP 72.246.189.144:80 > 172.24.XXX.YYY:38382
2013/02/01 01:30:57: PP[29] Rejected at IN(11) filter: TCP 72.246.189.128:80 > 172.24.XXX.YYY:40579
これって、ポートスキャンですよね
結構ゆっくりなのは、検知を逃れるためなんだろうか
しかし、どうしてNAPTをおいているのに、172.24.XXX.YYY のプライベートアドレスに変換されるんだろう(←基本的疑問)
そのような変換テーブルってないんです
このままほうっておいて大丈夫でしょうか
1とかちょっとずつ動くのは、そういう動作です。
お手元のPCでもWEBアクセス直後にnetstat -naするとみれたりします。
172.24.XXX.YYYの端末がそのアクセスの発端かと。
何かの理由、たとえばウィルスパターンの更新とかWindowsUpdateとか。
その端末を物理的にネットワークから外して、そのログがでるかみてください。
ありがとうございます。
172.24.XXX.YYYのosは、centos6です。
たしかに、iPhoneとかも、アカマイ(なぜかいい印象がない)に接続しますよね
記憶にあります
そのときは、show nat descriptor address all で、変換テーブルがなかったのに、
今なら、変換テーブルがありました
これなら納得がいきます。
TCP 172.24.XXX.YYY.45500 72.246.189.144.80 61335 505
TCP 172.24.XXX.YYY.45499 72.246.189.144.80 60908 504
TCP 172.24.XXX.YYY.45498 72.246.189.144.80 62546 502
(省略)
show ip connection にも、今は現れています。
20730 2910002 www T 172.24.XXX.YYY:45478 > 72.246.189.144:80 E
20734 2910002 www T 172.24.XXX.YYY:45479 > 72.246.189.144:80 E
20750 2910002 www T 172.24.XXX.YYY:47674 > 72.246.189.128:80 E
20755 2910002 www T 172.24.XXX.YYY:47675 > 72.246.189.128:80 E
(省略)
しかし、どうして、あのときは変換テーブルに現れていないのに、NAPTが 172.24.XXX.YYY に変換したのか疑問です。
結構、大量の変換テーブルがあるんです
show nat descriptor address all によると
ポート範囲=60000-64095 956個使用中 ということでした
これって、RTX1500なら余裕に裁ける量なんでしょうか。
それとも、nat descriptor timer でも設定したほうがいいでしょうか。
ところで昨日、そのRTX1500がネット接続できない状態に陥り、
緊急だったのでお願いして電源のOFF ONをやってもらいました。
(誤解していた)多量のポートスキャンが原因になったと思っていました。
しばらく様子をみたいと思います。
ネット接続不可でしょうし、何かあるのかもしれませんけれども、
rtxでなくてもこんな報告があったようで。様子見しつつcentosの端末を洗ってください。
ttp://archive.2ch-ranking.net/linux/1327619826.html#980 > 118.155.230.72(akamai社のもの)のポート80からローカルの五桁ポート(複数)に向けてパケットが流れてきます。
> iptablesのESTABLISHED、RELATEDにはかからない上に、
centos6って何用かわからないがProxyとか中継できる機能あるんじゃない
参考ページをありがとうございます
>”TCPセッションはESTABLISHEDでない状態となっており、iptablesによってDROPされる。”
しかし、私のところでは、TCPレベルでなく、IPレベルで単なる静的フィルタ(ip filter 11 reject * 172.16.0.0/12)
で、リジェクトしているだけです。
わからないのは、問題のパケットがNATを通過してきているときに、show nat descriptor address all で、当該の変換テーブルがなかったことでした
後でもう一度確認したときには、変換テーブルに載っていたので、納得できました。(CentOS6がアカマイと通信しているんだなあと)
HTTP PROXYは動かしてないです
CENTOS6って、デフォでオフですよね
GNOMEなら動いています
結局よくわかりません。
何かの通信が引き金になって、RTX1500がバグッたのなら、安心ですが
ちょうどその前に、ネットに接続できない状態になって、電源OFF ONで復旧のお願いをしたので
とりあえず、NATの変換テーブルが忙しくならないように、TIMERを設定しました
1000個くらいから、50個くらいに落ち着きました。
気になるので、LINUX板で質問しました
engawa.2ch.net/test/read.cgi/linux/1358204325/263
パケットのFROMアドレス、TOアドレスの両方を、指定した別のアドレスに変換する
機能ってあるでしょうか。
たとえば、ルーター内に別のネットワーク192.168.1.11から 192.168.2.11宛てで転送されてきたパケットを、
「FROM」アドレスを192.168.3.11に変えて、そうしてさらに「TO」アドレスを192.168.3.12に変換して、
そのネットワークに接したLANインターフェイスへ送り出します。
逆方向も同様にして、
192.168.3.12からの応答パケットを、ルーター内で「FROM」アドレスを192.168.2.11に変えて、さらに「TO」アドレスを192.168.1.11に変換し、
そのネットワークに接したLANインターフェイスへ送り出します。
NATを、直列に2つ重ねて設定できるなら、これが実現できるのですが、
NATって直列に重ねらて運用できないですよね
解決しました
engawa.2ch.net/test/read.cgi/linux/1358204325/267
gnomeで動作しているアプレットが犯人でした
これはどう?
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html あーーりーーーがーーとーー ご ざ い ま す!
ふざけていません。本当に、まさにそのものを教えていただきました。
聞いてよかったです。
YAMAHAルーターすごいですね。
トゥワイスナット実験してみたのですが、うまく動作してくれない
なにかコツってありますか
www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html
>インタフェースがLANである場合、 NATディスクリプタの外側アドレスに関しては、 同一LANのARP要求に対してARP応答する。
LANインターフェイスに順方向に掛けたNATは、そのouterアドレスについてインターフェイス側に向けてARP応答しているけど、
そのリバースに掛けたNATは、そのouterアドレスについてそういう形で動作してくれない感じ。
つまり、リバースに掛けたNATに設定したouterアドレス宛にパケットを送ろうとしても、ひっかかってくれない。
パケットがそもそもLANインターフェイスへルーティングされていないのではと考えて、
トゥワイスナットの掛かったLANインターフェイスのセカンダリアドレスとして、このouterアドレスと同じネットワークアドレス内のアドレスを割り当てることで、
このouterアドレス向けのパケットが、LANインターフェイスを通過するようなルーティングテーブルができたけど、
リバースに掛けたナットの外側にパケットが入っていってくれない感じ。
わかんない・・・
www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html の説明、はしょりすぎているよね
構成図とアドレスのリストとconfigを、サポートに送っては。
すみません、わかりにくくて。
リバースでかけたNATで、内側→外側パケットの変換が行われないのが悩みです。
リバースでかけたNATのOUTERアドレスをパケットが通過したときに変換が行われると思っているのですがうまくいかない。
ip lan1 address 192.168.20.254/24
ip lan3 address 192.168.10.254/24
ip lan3 nat descriptor 10 reverse 20
nat descriptor type 10 nat
nat descriptor address outer 10 192.168.10.11
nat descriptor static 10 1 192.168.10.11=192.168.20.11 1
nat descriptor type 20 nat
nat descriptor address outer 20 192.168.20.1
nat descriptor static 20 1 192.168.20.1=192.168.10.1 1
LAN1の端末A(192.168.20.11)から、LAN3の端末B(192.168.10.1)へ接続したい。
ただし、端末Aは端末Bのあて先アドレスを直接入力できないとする。
そのため、先ず、上で設定しているトゥワイスナットの、20番のリバースNATで、第一段階の変換を期待する。
即ち、端末A(192.168.20.11)は、20番リバースNATのOUTERアドレス192.168.20.1へアクセスし、
変換を受けて、192.168.10.1へあて先アドレスが書き換えられると期待する。
連続して、トゥワイスナットの、10番の順方向NATで、第二段階の変換を期待する。
即ち、あて先が192.168.10.1にかきかけられたパケットのFROMアドレスが、
192.168.20.11から、192.168.10.11に書き換えられることを期待する。
そうすると、端末B(192.168.10.1)は、FROMアドレス192.168.10.11のパケットを受け取ることになる。
端末Bからの返信パケットは逆順で二段階に変換を受けて、端末Aへ戻されることを期待する。
しかし、その期待が通らないんです。
どうも、リバースに掛けたNATのOUTERを通っていない感じです。
192.168.20.11
. |
[↓to 192.168.20.1 from 192.168.20.11]
. |
192.168.20.254(lan3) ★ここでnat
. [↓to 192.168.10.1 from 192.168.10.11]
192.168.10.254(lan1) ★natがないのでarp応答もしない?
. |
[↓to 192.168.10.1 from 192.168.10.11]
. |
192.168.10.1
逆?
nat descriptor static 20 1 192.168.10.1=192.168.20.1 1
>nat descriptor static 20 1 192.168.10.1=192.168.20.1 1
としてしまうと、OUTERが192.168.10.1になります。
20番NATは、リバースでLAN3に掛けている設定(REVERSE 20)にしているので、
そうすると、192.168.10.1へのパケットが、LAN1側から20番NATに入力されてくることになってしまうと思います。
はい、トゥワイスナットですから
アンドロイド、ios、windows7では接続できるのですがXpからは接続できなくて...
「AssumeUDPEncapsulationContextOnSendRule」は設定し再起動してるのですが何故でしょう?
windowsXPではできないと思います。いろいろパラメータ試してみましたが、自分の環境では無理でした。
公式にWindows標準のL2TPにはヤマハルーターは対応してません。
ただ、Windows7と8ではいけました。
windowsXPでは、専用クライアントを1万円で買うと、L2TP/IPsecよりもとんでもなく安定して高速なVPNが構築できますが
XPはもうすぐサポートキレるので、OSのバージョンアップを検討したほうがいいと思いますよ
インターネット及びGroup-vpnの速度に影響出ますか?
フレッツvpnがバリバリ使うのですが・・・
Bフレッツ -------スイッチ--------RTX1200(インターネット用)
|
------------ アライドルータ(NTT Group-vpn用)
勿論影響出るだろ。
既に動いている環境はいじらず、GroupVPN用にフレッツネクストを引いたら?
NTTCOM側はどちらも対応できるはず。
自分も72と同じ意見かな。
専用クライアントは、1か月お試し期間があるから、それを試してみるのがいいと
おもう。試して気に入ったなら、1万円の価値はあるはず。
あと、YAMAHAの場合、特にユーザ登録や保守契約をしなくてもファームウェア
やVPNクライアントが手に入ることだったり、生産停止になった機種のサポートも
手厚いのが魅力だと思う。
利用シーンやコストについては、様々だと思うけど、検討の価値はあると思います。
もうXPを買うこともないでしょうしwindows7主体だと思うので気にしないようにします
お試し版も試してみます
ありがとうございました
やはり出ますよね。物理的には1本だから。
フレッツ光ネクスト ファミリー・ハイスピードタイプにて
ひかり電話(HGW分離型)利用で、IPv6のIPoEを使用した場合
下記の構成で使用できますでしょうか。
【構成例(これから試そうとしている構成)】
Internet=>ONU=>RTX1200=>各PC
↓
VG430a(ひかり電話モデム)
下記の構成ですと、VG430aが100BASEの為、すごくもったいない状態になってしまいます。
【構成例(100Mbps接続になってしまう)】
Internet=>ONU=>VG430a(ひかり電話モデム)=>RTX1200=>各PC
現在はこの構成にて利用中ですが、IPv6がこれだとRTX1200に降ってこない状況です。
【構成例(現在の構成】
Internet=>ONU=>HUB=>RTX1200=>各PC
↓
VG430a(ひかり電話モデム)
【構成例(これから試そうとしている構成)】
> RTX1200からVG430a
【構成例(現在の構成】
> HUBでRTX1200とVG430aに分岐
DHCPv6で配布できるんだろうか?
VG430aは、IPv6プリフィックスを使うのだろうか。
IPv4オンリーなんだろうか?
この辺りをまず調べておかないといけないよね。
VG430aが、IPv6を使わないなら、HUB分岐でいけるでしょうに。
ありがとうございます。
VG430aのIPv6プリフィックス確認してきます。
VGではなくて後継機のOGでだけど。
ポイントを箇条書きにすると
・OGはDHCPPDの配布に対応しているので、OG配下にルーターを接続OK。
これはHGWと条件がほぼ同じ。
・OGはひかり電話アダプタとして使用するとき、
NTT網内から配布されるv4アドレスとv6アドレスの両方を使用する。
そのため、ONU配下での分割では正常動作しない。
ひかり電話を使用せず、v4PPPoEのみでの使用の場合はHUB分割可能。
・NTTはOG使用時に自前ルーターを使用する際の推奨構成を
OG直下にルーターを接続する方法としている。(NTT西日本の例)
・OGはLAN側1000BASE対応
参考にしてね。
亀レスだが、XPの場合でもつながるぞ。
ただ、暗号化方式のaesに対応してないから3desに変更する必要があるけどな。
それでも繋がらなかったら・・・わからん。
VPN接続の設定でPPTPはブラウザから設定が可能らしいですが、
L2TP/IPsecはどうなのでしょうか
また、PCからのL2TP/IPsecを使ったVPN接続は有償で専用のVPNソフトウェアを
インストールが必要との事ですが、スマホからの接続の場合は無関係でしょうか
宜しくお願いします
文面からして個人で中古でも買う気なのかな。その内容の知識レベルなら買わない方がいいよ。
新品買ってヤマハのサポートを受けた方が幸せになれるぞ。
RTX1100は初期IPアドレス未設定だから最初はブラウザ使えないし
質問レベルからして、苦労するのが想像できるでしょ
Googleでわかる程度の質問をスレに投げてるくらいだから
の返しが正しいと思う
二つの質問もどちらもnegativeだ
の方法、あるいはサポートケツ持ちしてくれるインテグレータを探せ
バッファローあたりの「スマホサポートVPNルータ」でも買った方がいい
実は家のひかり電話を外でスマホからも発信したかったのですが
茸のSPモードはプライベートIPのせいかPPTPと相性が悪いのでL2TP/IPsecを視野に入れていたのですが
ハードルが高いですね...対応機種も限られているというか家庭用は無いみたいですし
ドコモのモペラを使ってPPTPで接続が一番いいかなと思いました
RTX1100は多機能なのに中古だとかなり安いですね
L2TP/IPsecでもサクサクってわけじゃないよ
接続する事は可能なので、業務利用でなければチャレンジする価値はある
なにがどう危ないのかぜんぜんわからないけど、
使わないようにはしている。
うちは、L2TP OVER IPsecで構築できたよ。
DESの暗号を効率よく破れるアルゴリズムが発見されたっていう話
HTC JからだとPPTPは繋がるけどL2TP繋がらないから
別サーバー立ててOpenVPN使ってるわ
理由もないのに、PPTP使ってて驚いた
YAMAHAの設定例がPPTPで書かれてるから、まんまコピペなんだろうけど
「HTC Jからだと」というのがよく分からんけど、
別サーバを L2TP ゲートウェイにしてもダメなの?
YAMAHA以外のL2TPは試してないです
iphoneとGalaxyS2なら繋がったのでAndroid4.0.x系か端末固有の問題かなぁと
ログ曝してみてはどうだろう?
うちのRTXはAndroid4.0でも繋がってるよ
GALAXY Tab 7.0 Plus(Android 4.0.4)で、RTX1100にL2TPで接続できています。
回線は、モバイルルータ経由ですが、FOMAでmopera使っています。
ご参考までに。
うちのXperiaGX(4.0.4)でL2TP/IPSecもPPTPも両方繋がってるのでベンダーや機種固有か設定の問題じゃないかな。
NTTと昔もめたので、よく覚えているw
SPモード:PPTP 接続不可(サポートに聞いた)
mopera:VPNに対して特に制限なし。ただし、接続を保証するものではないので
つながらないこともあるかも。
これに加えて、フレッツSPOTについては
・ファミレスやカフェなどは、VPN接続できる
・地下鉄の駅などは、VPN接続できない
ということらしい。
こちらも同じく、接続を保証(以下略
L2TPに関しては、当時まだRTXが未対応だったので、聞いてない。
余計なことならスマソ
でも1500とか1100とかNAT-Tのファストパスに対応してないから、
どんなに良くても500kbpsとかなんだよな。
YAMAHAヤマハブロードバンドルーターpp select 17
ttp://toro.2ch.net/test/read.cgi/hard/1331364660/903
>903 :不明なデバイスさん :2012/11/11(日) 15:19:36.07 ID:FoPlnQE8
>RTX1100でIPhone4やiPhone5とL2TP/IPsec接続をすると7Mbps程度しか出ないorz
>直接だと60Mbps出るのに、やはりコレはルーターの限界?
あ、本当だわ。ごめん。
RTX1100はESPのUDPカプセルのファストパスに対応してた・・・。
1500はCPUの造りが違ってだめなのか・・・。
RTX1100はL2TP/IPsecのファストパスには対応していないし、対応しないでしょ
生産終了品だし
そのレイヤまで行くともはやルータの仕事とは言い難い
アプリケーションゲートウエイの仕事ではないか
NGN環境の実験できる2拠点ラボが欲しいなぁ。
ググるとRTX1100とかRTX1200ならできるようだけど、もしかしてRTX1000じゃできない感じ?
設定はこんな感じ。
ip route 192.168.**.**/24 gateway tunnel 1
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp 3des-cbc sha-hmac
ipsec ike keepalive use 1 on heartbeat 60 6
ipsec ike local address 1 2408:*********
ipsec ike pre-shared-key 1 text hogehoge
ipsec ike remote address 1 2408:*********
tunnel enable 1
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_37.txt 機能追加12.
これ以前には無い
ありがとう。
なるほど、RTX1000の最終ファームウエアが Rev.8.01.29 で、IPsecトンネルにIPv4もIPv6も流せるようになったのは、Rev.8.03.37 だから、RTX1000は対応していないということですね。
でも、IPv4がカプセル化されないんだったら、
いったい何のために使うんだろう。
ああ、なるほど
IPv4 over IPv6, over IPsec
なのですね。
RTX1200でPPPoE接続(LAN3)、NATで192.168-(LAN1)サーバーへ流してるんですが
トラフィックを見ていますと、20mbpsを超えません
プライベート内でも20mbpsを越えないのですが
何が考えられるでしょうか?帯域制限をつけた覚えはないです。
単位すら満足に扱えない無能クズはYAMAHAルータなんて使わないでいただけます?
LAN1MTU、LAN内通信時のCPU使用率のチェック。
あとはFull Duplexになっていない可能性。
IPv6であっても「必須」ではないよ。
PDを使わず(使えず)、静的に手動設定する運用もある。
ipv6 route default gateway fe80::1%2
ipv6 prefix 1 2001:db8:0:1::/64
ipv6 prefix 2 fd01::/64
ipv6 lan1 address 2001:db8:0:1::1/64
ipv6 lan1 address fd01::1/64
ipv6 lan1 address fe80::1/64
ipv6 lan1 rtadv send 1 2
ipv6 lan2 address 2001:db8::100/64
ipv6 lan2 address fd00::2/64
ipv6 lan2 address fe80::2/64
IPv4での1対1のNATに相当するものが、IPv6ではNPTv6(RFC 6296)として標準化されてるよ。
ttp://www.nic.ad.jp/ja/materials/iw/2011/proceedings/t4/t4-02.pdf#page=55 また、類似の手法が複数存在していて、IIJのSEILシリーズのNAT6機能は
「NTT NGNで使用される方式」と「SEILシリーズ独自方式」とを
切り替えて利用できるようになってる。
ttp://www.seil.jp/support/tech/doc/function/nat6/ IPv6のセキュリティに関しては以下も参照されたし。
事例から学ぶIPv6トラブルシューティング
ttp://www.nic.ad.jp/ja/materials/iw/2011/proceedings/t2/ IPv6セキュリティの勘どころ
ttp://www.nic.ad.jp/ja/materials/iw/2011/proceedings/t4/ # 亀レスでスマソ
#
ttp://203.178.141.194/img/kame-anime-big.gif IPv4のNAPTの仕組みに起因する、一方向性を実現する仕組みではない
そもそもRFC6296ってInformationalで、標準化と言えるレベルではなかった気が
IPv6スレ@IPv6板@IPv6 part2
ttp://ipv6.2ch.net/test/read.cgi/ipv6/1307629468/
何の案件とリンクしてるんだろう?
IPTABLESの、ステートフル印すぺく所んにバグってあった?
俺のところもそうだわ。
それと、アホほどLAND ATTACKも増えとる。
なんなんだろね。
--------□------(NW-A)------□--------
| |
--VRRP VRRP--
| |
--------□------(NW-B)------□--------
今こんな感じでVRRPを使って冗長構成を考えておりまする。
(□ はRTX1200、間の線は直結の専用線)
VRRP側の口をLAN1、反対側はLAN2です。
この時上側を主、下側を従で設定します。
この時VRRPしてる側で
ip lan1 vrrp shutdown trigger 1 lan2
と設定した際、例えば左上のRTX1200のLAN2が死んだ(NW-Aの接続が切れた)時、
左下のRTX1200へ通信が切り替わっても、右側では相変わらず上が主なので
通信できないんじゃ無いかと思ってます。
左上が死んだら右上も死んでくれるようなshutdown triggerって無いんでしょうか…。
疎通出来なくなれば、ポートシャットダウン>VRRP切り替えまで、勝手にいくと思うけど。
両側のルーターで動作を完全に同期させるなら、後はluaスクリプトで
何とかするしか。
でもそれやると、複雑になりすぎる気も。
keepaliveの設定次第だろうけど、若干のダウンはあきらめて、
keepalive/VRRP任せにした方が良いかも。
ふむふむ。キープアライブってのがあるのですな。
・左上のルータには
lan keepalive use lan2 icmp-echo "右上のルータのlan2のIP"
・右上のルータには
lan keepalive use lan2 icmp-echo "左上のルータのlan2のIP"
をそれぞれに入れておけば左上のルータが壊れただけでも右上のルータは
宛先へPINGが通らないのでlan2が死んだと判断、こちらもシャットダウン
トリガーが働いて経路が下になるという理解であってますでしょうか?
ITの分野においては、国レベルではなく、
民でがんばって防衛しないといけないね。
しかし国レベルのファイアーウォールがあったとしたら????
ITセキュリティー省による
あかんで、それ検閲や
キャリアのバックボーンに中国製の伝送装置入ってますから
企業の重要な情報は北京に飛びます
最近はCHINAに変わったの?
「じゃぁうちの国内に工場作れや」って言われたんじゃね
単純じゃないよ・・・
最近出た無線LANはまだ実物見てないのでわからん。
対共産圏なんとかってのに引っかかって色々面倒くさくて断念したことがあったな
緩くなったとはいえ今でもルータとかって戦略物資扱いだろうから
相変わらず輸出は面倒くさいんじゃないの
そんなものの現地生産がなんで許可されるようになってるのかは知らんが
ルーター自体は戦略物資にはならんと思うが、
中に実装されてるipsecとかの暗号処理が、引っかかるはず。
ハードに限らず、VPNのクライアントソフトでも引っかかるけど>暗号化。
暗号化機能のあるものとないもの
全製品二種類のOSイメージが用意されてる
輸出云々以前に
一般市民が高度な暗号を使うことを国家が禁じてたと思う
海外との無検閲トンネルを掘ってあるから
中国の国内情報が検閲されずに漏れてくるのがごく一部だけあるんだぉ。
ttp://twitter.com/yamaha_sn ttp://next.rikunabi.com/tech/docs/ct_s03600.jsp?p=002099 途上国でなくてもフランスなんかも規制がある
イスラエルやロシアも…途上国か?w
中国市場でのネットワーク構築に最適なルーター2機種 (2010年5月28日)
ttp://www.yamaha.co.jp/news/2010/10052801.html リクナビ担当者が作った図じゃね?
どう考えてもミスマッチ過ぎるだろ
意味わからない担当者が作ってその会社がろくに監修しなかったんだろうな
高度な暗号機器の個人使用を国家が禁じているはずなのに、こちらで普通に買えるスマホやPCがVPN対応しているのが謎。
今もそうだけど日本の実家に設置しているRTX810のおかげで、日頃L2TP/IPsec使って現地友人のうらやむネット環境を利用できてるよ。
でもこちらのルーターはNVR500だから、L2TP/IPsecの拠点間VPNは構築できないんだよね。
VPN対応じゃない機器で安全なネット接続をしないといけないときだけ一時的にPPTP拠点間VPNを張って使ってます。
もし摘発されたとしてもせいぜいビザ取り消しで1週間以内に国外退居が最高刑だと思います。
日本と違ってメンツを立てて即時に行動すれば基本的におとがめなしになることが多いというのが
こちらで4年ほど暮らしている者としての実感です。
スレチなので持ち込み云々の話はこの辺にしますが、せっかくの通信技術版なので質問です。
仮に私のネット回線が当局に傍受されているとして、
使用しているルーターの型番やL2TP/IPsecで通信をしていることなどは分かってしまうものなのでしょうか?
現状、中国電信から提供されるADSLモデムにNVR500を接続し、「PPPoEを用いる端末型ブロードバンド接続」として使用しています。
ttp://www.jetro.go.jp/world/japan/qa/export_10/04A-000941 appleの製品はだいだいECCR 5A992になっているので、持ち出しに関してはたぶんOK
ttp://www.apple.com/legal/more-resources/gtc.html ただし、追加で入れたソフトウェアに暗号が含まれている場合は別
ついでに持ち出しOKでも受け入れ国の法には従う必要がある
型番はともかくプロトコルとポートでわかるでしょ
仮にポート変更しててもヘッダみりゃわかる
それこそ、ドラッグだの政府転覆だのいいがかりのネタはいっぱいあるよ。
そういうのちりばめられたら体温維持も怪しいかも。
せいぜい海外退去だの甘い判断してると帰ってくるのは白黒写真だけかもよ
吊り橋の会社の場合だけど
さっき、問い合わせフォームから機種を選択するとき、
生産中止品の欄でなく、現行品の欄にあったよ。
ここ見ると、2年前に生産完了してる。息の長い機種だったね。
ttp://jp.yamaha.com/products/network/support/repair_ending/ おお!とうれしく思ってしまったんだけどね。
ttp://jp.yamaha.com/news_release/2013/13042401.html 興味はあるけどね。
質問お願いします
って、いう投稿がやがては来るんだろうか。
今までシスコかアライドで統一していて経験がありません
よし、俺の出番だな。
RT57iしか経験無いが何か?
呼んでいませんからお引き取りください
さすがに昼間落すのは無理。
指定するくらいなら、自分でやれよな
でも、やらないとメシ喰えないしね・・・
提案する手間が省けたと思えば良いんじゃない
ああ、PART番号間違えているからか・・・?
それとも、RTXの新製品発表に、もう面倒くさくなっちゃったかな?
RTX1200の、スクリプトなどの新機能もまだ使ったことさえないよ
どうやって倉庫に保存されるんだろう。
【前スレ】
YAMAHA専用スレッド
ttp://pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
ttp://pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
ttp://pc8.2ch.net/test/read.cgi/network/1092832668/
YAMAHA業務向けルータ運用構築スレッドPart4
ttp://pc11.2ch.net/test/read.cgi/network/1144116104/
YAMAHA業務向けルータ運用構築スレッドPart5
ttp://pc11.2ch.net/test/read.cgi/network/1196114751/
YAMAHA業務向けルータ運用構築スレッドPart6
ttp://pc11.2ch.net/test/read.cgi/network/1223667451/
YAMAHA業務向けルータ運用構築スレッドPart7
ttp://pc11.2ch.net/test/read.cgi/network/1245454435/
YAMAHA業務向けルーター運用構築スレッドPart8
ttp://hibari.2ch.net/test/read.cgi/network/1275391797/
YAMAHA業務向けルーター運用構築スレッドPart9
ttp://hibari.2ch.net/test/read.cgi/network/1294731041/
YAMAHA業務向けルーター運用構築スレッドPart10
ttp://engawa.2ch.net/test/read.cgi/network/1309822690/
YAMAHA業務向けルーター運用構築スレッドPart11
ttp://engawa.2ch.net/test/read.cgi/network/1329367146/
でしょ?
YAMAHA業務向けルーター運用構築スレッドPart11
YAMAHA業務向けルーター運用構築スレッドPart2
ってなるの?
マニュアルにはMicroSDとしか書いておらず、一方RTX810などはMicroSDHC可と明示的にある。
よって2GB超は非対応かと思ったのだが、駄目元で新品のMicroSDHC8GBを突っ込んで見たら、ファームウェア更新には使えた。
ただ全領域をRTX1200から書き込んでみた訳ではないので、ログを全部吐かせるとかの時には差し障りがあるかもしれない。
(ほぼ)共通ファームなら自動的に対応しそうだけどな
同じ理由でSDXCもダメなのがあるって聞いたような。
それを理解せずに挿入してデータ破壊とかよく聞く話です。
おそらく、microSDXCカードを挿入すれば、中のデータをロストすることになる。
ロゴを確認しないで挿すのも考え物。
せめて馬鹿よけに、認識エラーで装置側が拒絶してくれればいいのにな。
もういちど、そのexFATとやらでフォーマットしなおしたら大丈夫?
媒体が物理破損して永眠するワケじゃないですから安心していいですよ。
データは帰ってこないと思いますが。。
クラッシュリブートループさせたり最悪OSを固めちやうことがあるからなぁ…
なるほど
なつかし
特定発信元アドレスのパケットだけこのマスカレードを回避して、
通常の通信に切り替えるような設定ってできるでしょうか。
に一瞬見えた
マスカレードなので、特にインナーアドレスはないんです
マニュアルぐらい嫁
出てこないんだがなw
ってことで、はマニュアル嫁。
nat descriptor address inner 1 192.168.100.1-192.168.100.2 192.168.100.4-192.168.100.254
とかに設定したらどうかな
ありがとうございます。
なるほど。
ぎゃくにもし、インターフェイスの外からパケットが入力される場合、
変換テーブルになければ、なんの変換もなく素通りするんでしょうか。
それとも破棄されてしまうんでしょうか。
外向、内向ともに、除外パケットはNATの脇を素通りする動作にしたいんです。
あ、ありがとうございます!!
そんなのがあるんですか。知りませんでした!
YAMAHAのルーターは至れり尽くせりですね。
シスコとかいうところのルーターにも、こんな細かい機能ってあるのかな。
さんの、nat descriptor address innerコマンドと、
さんの、nat descriptor masquerade incomingコマンドとを使って、
特定パケットだけを、内向き外向きの両方で、NATを通さず横を通過させてみたいと思います。
・ ⇔
・⇔NAT⇔
お前じゃ使いこなせないから気にする必要ない。
なにか癪にさわったらしいな
シスコ使いはこんなもんだろ
中二病的な表現では無かろうか
DJでもやるんすか?って疑われた
めっちゃ便利
でも、SDカードでないのが悔しい・・・
時代を読めなかったんだろうか
この質問で、相手の素性がだいたいわかるな
多分、釣りバカだね
ルータ、楽器、バイクそれぞれほどほど関わってるオイラは
何と答えればw
想像だけで良いならそこにラジコンヘリも追加できるぞ
関わりはルータと楽器だけだけどさ
FWX120の赤い筐体に違和感ありますね
ずばり、多趣味でしょう
RTX1100→RTX1500に交換する際、configって、そのまま流用できるもの?
強いて言えば、ファームウェアのバージョンに気をつけるぐらいかな。
新しく追加されたコマンドとか、仕様が変わったコマンドがあるから。
(けして卑下しているわけではないので誤解無きよう)
いや、1500が中古で10,000円ぐらいだったので、自宅のVPN環境をちょっと
いじってみようかと思って。
実家のRTX取り換えられるのは、帰省時だけだし、なるべく手間をかけたくないなと。
まぁ最悪は切り戻せばいいんだけどね。
旧RTXのCONFIGをRTX1200に流してやると、自動的に適切なものに変えてくれたなあ。
コマンドがかわったらしい。
自動で俺のやりたいように直してくれれば
冗談はさておき、ajaxあたりで作れそうだ。
ファームウェアのバージョンとかで適用範囲は制限されると思うけど
バイクがSRX600でヤマハのユニットバス付いたマンションに住んでたけど、
今持ってるヤマハブランドはRTX1100とV-max1200だけになっちゃった
うちは、サイレントバイオリンと、電子ピアノ持っているよ。
MSX2やPC88あたりの内蔵音源とDX-7どっち先に買ったっけ・・・
シャワー(+足洗場)と洗面台にヤマハの銘板が張ってあった
キロロも行ったし、楽器とバイクも持ってる。
スレチだがRTX1200×3とRTX1100×2を二つ使ってる。
NGN網においてIPv6をIPoEで使おうと計画しています。
IPv6のフィルタリングの考え方がわかりません。
IPv4 をPPPoEで使っている場合なら、PPインタフェイスに、
1、「IPマスカレード」
2、「OUT方向の、PASS動的フィルタ(いくつかのアプリに対応)」
3、「IN方向の、ALLリジェクト静的フィルタ」
4、「OUT方向の、WINDOWSファイル共有パケットリジェクト静的フィルタ」
くらいを掛けると思います。(もし、お勧めがあればこれも教えてください)
しかし、さきのIPv6通信であれば、
HGWに接続しているLANインタフェイスに直接IPフィルタを掛けることになると思います。
NATは使わないことになるので、セキュリティーがやや心配です。
IPv6でも、上の動的フィルタの考えは通用するでしょうか。
単にWEBサーバやメールなどのインターネットアクセスができればいいので、
お勧めの設定例があれば、その提供ページなどを教えてください。
ハードウェア板で、そのスレをv6で検索かけるといろいろ出てくるから
そこに示されるリンクやpdfファイルを読みあさってみるといいのかも。
【NTT】フレッツ光・ひかり電話対応ルータ Part20
ttp://toro.2ch.net/test/read.cgi/hard/1364137009/
他にもNECや牛ルータスレにも(これらにはノイズも多いので忍耐強く)。
よくアドバイスしてる猛者はここにも出没しているようだけど、
取り急ぎ、痕跡案内くらいはできるから
ハードウェア板でも、ネクスト網をつかったIPv6に関する情報は調べたほうが良さそうですね。
ありがとうございます!
相手がPPPoEだろうと、IPoEだろうと、PPに対してフィルタかけることに変わりは無い。
IPv6で一番単純な形だと、
OUT方向の動的フィルタと、基本IN方向のALLリジェクト、
ただし、IPv6の場合IPv4と違って、ICMPはフィルタしちゃ駄目。
ICMPv6として、必ず通すこと。
後は必要に応じて、IN方向のルール追加してけばい良いよ。
てか、"yamaha ipv6 ipoe"でググると、一番最初に
ttp://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/ これ出てくるんだが・・・。
ちったー調べる努力しようぜ。。。
おれ? もちろん爺や
こういうYAMAHA公式見解がお手本になります。
ありがとうございます。
OUT方向の動的フィルタによるPASSは理解しました。
IN方向の静的フィルタの、tcp/ident と、udp/546ってなんでしょう。
(icmpは、ipv6ではルータ間の各種調整のために必須なんですね。古い本で一度勉強したのですが、詳細はすっかり忘れました。)
IPv4で運用しているRTX1200にはこのident と、546は設定していません。
・identは古い技術でもはや使われていないといいます。(pop3セッションとかでクライアント認証で使われるそうです)
これってIPv6では必須なんでしょうか。
・udp 546は、dhcpv6関係のようですね。
Protocol / Name: dhcpv6-client
Port Description: DHCPv6 Client
(参考)
ttp://www.auditmypc.com/udp-port-546.asp ipv6 lan2 secure filter in 1010 1011 1012 2000
ipv6 filter 1010 pass * * icmp6 * *
ipv6 filter 1011 pass * * tcp * ident
ipv6 filter 1012 pass * * udp * 546
(参考)
ttp://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/ ステートフルな動的フィルタが心強いかなと思いました。
何も細かいこと考えなくても、アプリレベルで通信を制御設定できますものね。
しかしステートレスなudp通信に関しては、動的フィルタってタイマー動作してくれるのでしょうか。
(確か、ipv4ではそうなっていますね。すぐに閉じるようです。)
しかし、動的フィルタがなければ、設定は非常に面倒くさいことになりますね。
RT57i〜NVR500のGUIにある「IPv6の設定」で「セキュリティレベル2:フィルタ有り」を選択すると、
その設定例とほぼ同じフィルタが適用されるよ。
IPv4と同様に殆どの場合identは無くても問題ないと思う。
out方向については、Vista以降のWindowsで追加された部分を含めて
IPv4フィルタと同じように制限するほうが良いかもね。
IPv6実践講座〜トラブルシューティング、セキュリティ、アプリ構築まで〜
ttps://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t7/ ありがとうございます
RT57iとかでも、そのような設定が成されるわけですね。
一度やってみます。参考になるかもしれないですね。
identについても不要の方向で行きます。
参考ソースは忘れましたが調べてみると、identの入力を許可してしまうと、メール受信などで通信の遅延が生じるということでした。
入力しなければREJECTされてその旨がメールサーバーに渡され、次のステップに移行しますが、
入力を許可していると、REJECTされないということなので、いつまでたってもメールサーバーが待機状態になるらしいです。
(メールクライアントがidentに対応していない場合↑)
IPv6になると、NATがないので(IPv4ではNATが機能してサーバーからのident入力はなされなかったはず)、identの入力許可設定の影響は目立ってくるかもしれないですね。
OUT方向については、NBTなど不要な通信はしないようにしなければ駄目ですよね。
これも色々と調べる必要があるかもしれないですね。
このOUT方向のREJECT設定が一番大変かもしれない。
資料ありがとうございます。
確認と整理と理解のために読んでみたいです。
sip 関係のコマンド、あれなに?
sip use on すると、どうなるの
存在目的が分からん
それが急に接続できなくなってしまうってことある?
セキュリティーレイヤでエラーが生じた(エラー789)とのメッセージが表示されるんだ。
RTX1200の設定も変えていないのになあ
なんでだろう
電話ポートないのに、どうやって使うんだい
同じくNECのIXシリーズにもSIP-NAT搭載してるが(古い機種ではライセンス投入が必要)、
電話ポートなんてありませんけどーー
そんなふうに考えていた時期が俺にもありました。
複数セッションのRTX1100の配下に
複数のVoIPアダプタを置いて使ってたけど
nat descriptor sip x on とかするくらいだったが
SIP-NAT と sip use 〜 とは別じゃない?
ttp://www.ntt-west.co.jp/kiki/consumer/home/hq100/ ttp://www.rtpro.yamaha.co.jp/RT/docs/ngn/ngn_dataconnect.html ありがたいが、それを読んでもNGNとSIPとの関連性が理解できないよ・・・
SIPはなにも、電話だけが用途ではない
データ通信のあて先を交換することだってできる
データコネクトはその具体例
ttp://www.ntt.co.jp/journal/0810/files/jn200810022.pdf ttp://www.ntt-east.co.jp/aboutus/ngn_about.html ttps://www.ntt-west.co.jp/ngn/about/ NGNについてアホ共が永遠に語り合うスレ#02
ttp://engawa.2ch.net/test/read.cgi/network/1264777970/
RTX1200には電話機ポートがないのにISDN S/T ポートが有るわな
『電話ポートないのに、(ISDNを)どうやって使うんだい』と思わなかったか?
ISDNの用途が通話だけではないように
ひかり電話やSIPもまた、通話だけのものではないのだよ
なんで、NAT超えとなる通信の場合に、SIP-NATの機能がないと、SIPはつながらない。
具体的には、
ttp://www.asterisk-fusion.jp/ このサービスで、LAN内のSIPサーバからレジストするのに、利用させてもらっている。
SIP-NATが無いと、SIPサーバにグローバルIPが必要になっちゃう。
ISDNはRTX1200でも使ってるから特に違和感はない
SIP-NATの話は誰もしてない
フィルタを掛けるけど、
IPv6では、そういうことをする必要はないんだろうか。
リンクローカルアドレスと、グローバルユニキャスト、サイトローカル?アドレスの識別は、
IPv6プロトコルに組み込まれていて、ルーティングされないなどの処置が自動でなされるんだろうか。
yamahaのコンフィグには、IPv4については明示しているけど、
IPv6のネット接続の設定例にはないよね。
筐体内温度(℃): 45
なんですけど、大丈夫でしょうか。
遠くじゃ難しいだろうけど、そのときの周囲温度を知ることが大事。
たとえばそのときに周囲が30℃なら、温度差は15℃。
常識的な範囲でこの温度差は一定になるから、
RTX1200の動作環境条件は 0〜40℃なので、55℃までは仕様の範囲内と言うことになる。
製品毎の実装に依存するかもしれないけど、
リンクローカルアドレスはルーティングしないようになっていると思う。
サイトローカルアドレスという定義が有効だった時代の製品と
定義が廃止された後の製品とでは、「fec0::」で始まるアドレス
(旧サイトローカルアドレス)の扱いが異なる可能性があるね。
適当にググったところ↓の記述が出てきた。
ttp://www.alaxala.com/jp/techinfo/archive/manual/AX7700R/HTML/10_10_/APGUIDE/0276.HTM#ID01567 > 本装置はIPv6サイトローカルアドレスを「(3) グローバルアドレス」
> のIPv6グローバルアドレスとして扱います。そのため,IPv6サイト
> ローカルアドレスをインタフェースに設定した場合は,IPv6サイト
> ローカルアドレス情報がサイト外に出ないようにルーティングや
> フィルタリングを設定してください。
挙動までは確認していないけど、NVR500で以下の経路を設定できた。
ipv6 route fe80:1::/64 gateway fe80::1%2
ipv6 route fec0:1::/64 gateway fe80::1%2
それぞれの製品で実際に試してみるのが確実だろうね。
ユニークローカルアドレスはもちろんルーティングされるよ。
>たとえばそのときに周囲が30℃なら、温度差は15℃。
>常識的な範囲でこの温度差は一定になる
前に温度計で室温を調べたことがあって、そのとき確か30度Cちょうどでした。
本当だ。なるほど。
55度Cを超えないように注意します。
業務用なんだから、疑問に思ったらまずマニュアルぐらいきちんと見ろ。
4.36 温度監視の閾値の設定
の項目を見たら、70℃超えたら黄色信号。75℃超えたら赤信号。
ありがとうございます
60度超えてもまだ余裕があるってことになりますね
でも部品とか痛みそう
外部に放熱金属板とか取り付けられるコネクタがあったらいいのに
そうしたらもっと放熱が良くなりそう
さすがに、リンクローカルアドレスの扱いが実装で変わってもらっては困るw
fe80::をルーティングしちゃう機械は、IPv6の規格外品で、そんな物売られたら、
大変何事になるw
>挙動までは確認していないけど、NVR500で以下の経路を設定できた。
>ipv6 route fe80:1::/64 gateway fe80::1%2
>ipv6 route fec0:1::/64 gateway fe80::1%2
リンクローカルアドレスで、ルーティング先を指定してるだけで、
fe80::/10がルーティングされる訳じゃないからな。
リンクローカルアドレスは、複数ポートに同一アドレス空間が振られる事になるので、
どのインターフェース宛かを指定する必要がある。
それがアドレス%インターフェースの形。
> fe80::をルーティングしちゃう機械は、IPv6の規格外品で、そんな物売られたら、
> 大変何事になるw
ごもっとも。
> gateway fe80::1%2
この部分については
> リンクローカルアドレスで、ルーティング先を指定
だけど
> >ipv6 route fe80:1::/64
この部分は送り先のホスト
つまりリンクローカルプレフィックスの経路情報を設定できてしまっているんだよ。
fe80::/10でも設定できる。
ttp://www.rtpro.yamaha.co.jp/RT/manual/nvr500/ipv6/ipv6_route.html > IP アドレス % スコープ識別子
俺もまだIPv6は勉強不足だけど、
>この部分は送り先のホスト
>つまりリンクローカルプレフィックスの経路情報を設定できてしまっているんだよ。
>fe80::/10でも設定できる。
これが出来てしまって問題になるパターンて・・・ある?
fe80::/10は、そもそもルーティング"しちゃ駄目”なアドレス範囲なので、
ルーティング処理まで行っちゃう時点で、ファームのバグって事に。
逆に、fe80::/10を複数IFを持った機器から、送信する場合、
必ず、出力IFを指定しなきゃならないはず。(これをルーティング任せに出来たら、それはバグな気が)
結局、ルーティングテーブルが使われる事は無いはずなので、
設定出来たとしても、問題にはならない気がするけど・・・
やるとすれば、"設定しても意味無いですよ"とエラー出すぐらい?
これ以上は、ちょっとスレ違というか板違になりそうだけど。
%13とか、%14が、リンクローカルIPv6アドレスfe80::(/10)についていた!
このリンクローカルアドレスをつかって、次のノードのMACアドレスが何かを解決するんですよね。
このあたりが良くわからない。
ttp://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/ を参照してみたけど、リンクローカルアドレス関係の設定はないよね。
グローバルユニキャストアドレスだけではいけないの?
リンクローカルアドレスって意識しなくて良いの?
のリンク先
ttps://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t7/t7-kawamura.pdf#page=22 > ・Link localは設計段階で「意識」しておかないと
> 後でポリシーを変更する事は難しい
> ・運用で必ず登場する。「見えないアドレス」では無い
リンクローカルアドレスは最初から付いているんだよ。
ヤマハルーターの場合、最初から付いているリンクローカルアドレスの
変更や削除はできないが、それとは別に追加することはできる。
ipv6 lan1 address fe80::1/64
ipv6 lan2 address fe80::2/64
…などとしておくと楽。
同様にユニークローカルアドレスも
ipv6 lan1 address fd01::1/64
ipv6 lan2 address fd00::2/64
…などとしておくと楽。(他人と被ってしまい「ユニーク」ではなくなるが)
デフォルトゲートウェイ設定を楽にする
ttp://www.vwnet.jp/IPv6/IPv6Start.asp#IPv6DefaultGateway ttp://projectphone.typepad.jp/blog/2013/06/interop20137--27a8.html | 「ヤマハネットワークエンジニア会」という「業界特化型の新しいソーシャ
| ルメディア(SNSサービス)」の開設準備を進めております。近日に一般会員
| (無料) の募集を開始する予定です。
大丈夫、キモいオッサン達に混じってほぼ確実に紅一点参加してくれるはず
ip lan1 address 192.168.1.1/24
ip lan2 address {global_ip}
ip lan2 secure filter in 200020
ip lan2 secure filter out 200099 dynamic 200098 200099
ip filter 200020 pass * 192.168.1.0/24 icmp * *
ip filter 200099 pass * * * * *
ip filter dynamic 200098 * * tcp syslog=off
ip filter dynamic 200099 * * udp syslog=off
こんなかんじに、WAN側のINをICMP以外全部rejectして、OUTを全部pass+動的フィルタってすると、
LAN2 Rejected at IN(default) filter: TCP xxx.xxx.xxx.xxx:80 > 192.168.1.xxx:xxxxx
↑みたいな動的フィルタがタイムアウトしたあとにrejectされたようなログが大量に出るんだけど、
こういう残尿的な通信って結構あるもんなのかな?内部からは普通にWebにアクセスできてる
2013/06/18 13:26:49: [NAT(1):LAN2] Bound TCP 210.196.xxx.xxx.61667 <-> 192.168.1.132.1630 ==> 133.242.xxx.xxx.80
2013/06/18 13:26:49: LAN2 Rejected at IN(default) filter: TCP 133.242.xxx.xxx:80 > 192.168.1.132:1630
2013/06/18 13:26:51: LAN2 Rejected at IN(default) filter: TCP 133.242.xxx.xxx:80 > 192.168.1.132:1630
2013/06/18 13:26:56: LAN2 Rejected at IN(default) filter: TCP 133.242.xxx.xxx:80 > 192.168.1.132:1630
2013/06/18 13:27:06: LAN2 Rejected at IN(default) filter: TCP 133.242.xxx.xxx:80 > 192.168.1.132:1630
2013/06/18 13:27:25: LAN2 Rejected at IN(default) filter: TCP 133.242.xxx.xxx:80 > 192.168.1.132:1630
2013/06/18 13:27:49: [NAT(1):LAN2] Released TCP 210.196.xxx.xxx.61667 <-> 192.168.1.132.1630 ==> 133.242.xxx.xxx.80
そもそも動的フィルタのセッションが作られてなかったでござる。。。
ほとんどの外向け通信ではセッションができてるから、ときどき発生してるだけぽいんだけど、そんなことってあるの?
2013/06/18 13:24:15: [NAT(1):LAN2] Bound TCP 210.196.xxx.xxx.61310 <-> 192.168.1.132.1953 ==> 117.20.xxx.xxx.80
2013/06/18 13:24:20: [INSPECT] LAN2[out][200098] TCP 192.168.1.132:1953 > 117.20.xxx.xxx:80 (2013/06/18 13:24:15)
2013/06/18 13:25:14: [NAT(1):LAN2] Released TCP 210.196.xxx.xxx.61310 <-> 192.168.1.132.1953 ==> 117.20.xxx.xxx.80
↑正常な通信
↓フィルタ入れてます(動的の意味無いけど)
ip filter 200097 pass * 192.168.1.0/24 established * *
ip filter 200098 pass * 192.168.2.0/24 established * *
ip filter 200099 reject * * * * *
デフォルトゲートをPP1から来たパケットはPP1へPP2から来たパケットはPP2へ
とできましたでしょうか?
どこから来たかなんてパケット自身は知らないし、
パケットレベルでは、すべてステートレスなので、
そんな器用なことはできない
これって、正しいの?
パケット転送フィルター使えばできそうな気がするんだがな
ttp://www.rtpro.yamaha.co.jp/RT/docs/multi-homing.html の「ストリーム」がそういう動作をさせるものだと思うけど
ただ、マルチホーミングは、どっちかというと内→外向けの機能だろうから
293の用途詳細も不明だから、使えるかどうかは不明
>来たインターフェースに返すオプション
IPパケットに、どのインターフェイスからきたかを刻印する必要はないの?
そして受け取ったPCでも、その刻印を適切に扱って、応答パケットを作成する必要があるんじゃ?
そうしてはじめて、ルーターはどのインターフェイスに転送すればいいか理解できると思った。
さらに、pp2を選択していたとしても、返答先までのhop数が少ないほうを自動で選択するんじゃないか?
めんどくせぇからPCにLANカード2枚刺してタグVLANとかでlocalIPを分けちまえよ。NVR500の最新ファームとかならタグVLANいけっぞ。
おいおい、ネットワーク層とデータリンク層をごっちゃにするなよ・・・
でも、そういうことでしょのしたいことって
データリンク層であるPPインタフェイスのどれからきたIPパケットかを判別することだから。
ちょっとでも複雑になると無理じゃね。端末も自分の好きな方向へパケットを送れるんだから。
ルータだけで完全に制御できるわけがない。
そう、結局、規格外でやんないと、どーにもならんって事なんだよ。
ルーターだけでどうこう出来る事じゃない。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20130610/483762/ こういうのならできるかも
>ものの一つがインターネットであることは論を待たない
「一つが」というところがズルイ
IPアドレス192.168.0.30をインターネットに接続不可とする場合の設定って、これでいいのでしょうか?
適用 出 reject 送信元IPアドレス192.168.0.30 送信元ポート80 受信先* 受信先ポート*
Webだけ弾くなら通常は 受信先ポートを 80,443で弾く
WEB設定はしたことないから、細かいところは違ってるかもしれないが。
「インターネットに接続不可」って書いてるけど、WEBだけ見られないようにしたいの?
それなら、送信元IPアドレスが192.168.0.30 相手のポートは80,81(HTTPが80、HTTPSが81)
他は全て「*」
全くつながらないようにするのなら、送信元IPアドレスが192.168.0.30で、他は「*」
あとはそのフィルターを、LANポート側にかけるか、PP側にかけるかは他の設定次第かな。
インターネットに接続不可にしたいなら、
プライベートアドレスのクラスABCアドレス宛へはパスにして、
それ以外のアドレスはすべてインターネット宛アドレスとしてみなして、
デフォルトリジェクト機能でブロックするなあ。
REJECTフィルタを設定したら、
それ以外のパケット用に、PASSフィルタも設定する必要があるね。
ttp://toro.2ch.net/test/read.cgi/hard/1353631139/126
ついでにこれ大事
ttp://www.logsoku.com/r/network/1329367146/714 初心者だと、絶対にやってしまうミス
知識がなさすぎでした・・
それが遠隔地にあるルーターなら、泣くことになる
旅費、時間、迷惑、信用、すべて失う
というのは冗談ということで
○ ↓LAN1 グローバルIP1(Pri)、192.168.1.1/24(Sec) (グローバル用ルータ Unnumbered)
|[ネットワーク1]
● ↑LAN2 グローバルIP2(Pri)、192.168.1.2/24(Sec) ↓LAN1 192.168.2.1/24 (ローカル用ルータ)
|[ネットワーク2]
□ ↑192.168.2.100/24 (PC)
ネットワーク1とネットワーク2のプライベートアドレス間でNATなしで普通にルーティングしたくて
↓の設定を●のルータにしたんだけど、ネットワーク1からネットワーク2へはアクセスできなかった
NATディスクリプタではこういう事はできないの?
ip lan2 nat descriptor 1 2
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor type 2 none
nat descriptor address outer 2 secondary
出て行く方はどうしてもIPマスカレードで強制的に変換されてしまう気がする
宛先アドレスによってIPマスカレードするかどうか決めるような仕組みなんて無いよね。。。
LAN3に192.168.1.2/24割り当てて普通にルーティングさせるのが正攻法か
ip lan2 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor masquerade incoming 1 through
○ルーターに192.168.2.0/24の経路を書いてあげればOK
ip route 192.168.2.0/24 gateway 192.168.1.2
リモートセットアップで切り抜けたことなら…
me too
モニョモニョしながら設置完了報告を待ってる。
IPv6 PPPoEの場合も、敢えてフレッツ・v6オプション用の設定を
しなければならない気がするのでやっぱりいるんじゃないかな
名前解決にNGN側(IPv6 IPoE側)のDNSv6サーバーを利用するようになっていればOK。
NVR500等のGUIで「フレッツ 光ネクストにおけるインターネット(IPv6 IPoE)接続」
を選択して設定したのなら、「ひかり電話の契約」の選択に応じて
ipv6 lan2 dhcp service client ir=on
または
ipv6 lan2 dhcp service client
が追加されるから他の設定は要らないよ。
ttp://jp.yamaha.com/products/network/solution/flets/next/flets-next-ipv6_ipoe_only-nvr500/ ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html UNIとヤマハルーターの間にHGW(ひかり電話ルーター)を介している場合は
そちらの「DNS設定」の「IPv6 IPoE通信優先機能」が「自動設定」または「優先する」になっている必要があるかもしれない。
ttp://www.ntt-west.co.jp/kiki/download/flets/pr400ne/#5 DHCPv6で通知されるDNSサーバーアドレスは
・インターネット(IPv6 IPoE)を契約していない場合はNTT東西のDNSサーバーのアドレス
・インターネット(IPv6 IPoE)を契約している場合は、各々が利用しているIPoE接続事業者のDNSサーバーのアドレス
になるはず。
ヤマハルーターではIPv6 PPPoE利用時にIPv6 IPoEの通信を併用することはできないよ。
アダプタガイドラインに準拠している機器(IPv6 PPPoEとIPv6 IPoEを併用できる機器)は
ドメイン検索リストを使って自動選択するようになっているから特に設定は要らない。
ttp://www.ntt-west.co.jp/open/ngn/pdf/ipv6_tunnel_adp.pdf#page=30 ヤマハルーターもドメイン検索リストを取得する模様。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/NVR500/relnote_11_00_16.txt > [9] DHCPv6クライアント機能で、Request、Inform-Requestの要求オプションリストに
> Domain Search List(24)、SNTP Servers(31)を設定するようにした。
dns server dhcp lan2 だね。
ネーム使ってIPsecやってみます
丁度その話題がrt100i-users MLの40572から40584に出てるよ。
あと、pptpの脆弱性の話題も
pptpのトンネル通信がネットワーク上で読まれなければ大丈夫だということだった。
いったい、その人はどこで読まれてしまったんだろう。
不正アクセスをしてきた相手先は、CN割り当てのアドレスだった。
俺には全然関係ないけど。。。
スループットぱねー
一台83マソのルータなんぞ、俺にも関係ないけど;;
温度大丈夫なのかな。目玉焼き作れたりするのかな。
最大消費電力(皮相電力)38W(39VA)
おおざっぱにRTX1200が2.4台分。たいしたことはない。
まあ、マウントするわけだから、ファンは付いてるけどね。
それから見たら、全然余裕っしょ。
元々、ファンぶんまわしてなんぼの世界だし、ラックマンウトはw
おのおの、PP接続は一個ずつしかつかっていない。
あと、IPsecVPNをお互いに。
容量的にはぜんぜん使いこなしていない。
CPU: 9%(5sec) 8%(1min) 9%(5min) メモリ: 17% used
な感じ。
ipsecの設定で躓いてます。
拠点A フレッツ光プレミアム biglobe RTX1500(1)グローバルアドレス
拠点B IIJmio 高速モバイル/D(ドコモのMVNO グローバルアドレスなし)
L-03D+MZK-MR150+RTX1500(2)
この2拠点でipsecをつないでいます。
設定で、
ipsec ike esp-encryption
を使えば接続できて、pingとかも通るのですが、
ipsec ike nat-traversal
を使うと”IP Tunnel[1] Up”はログにあって接続できているようなのですが、
pingも通らないし通信もできません。
ttp://jp.yamaha.com/products/network/solution/vpn_connect/ このページを見て問題点を探してみたんですが、わかりません。
RTX1500(2)の方はIPフィルタは丸裸にしてます。よろしくお願いします。
初歩的だけど、nat-traversalはudp 4500を開けていないとダメだよ。
まぁ開けてるとはおもうけど。
つーかnat-traversalをワザワザ使う必要あるん?
ありがとうございます。
RTX1500(1) UDP192.168.1.1.500,4500 *.*.*.*.* 500,4500 static
RTX1500(2) UDP192.168.15.2.500,4500 *.*.*.*.* 500,4500 static
で、どっちも開けてあるのを再度確認しました。
> nat-traversalをワザワザ使う必要
最初は、ここのページを見て、
ttp://www.rtpro.yamaha.co.jp/RT/docs/fastpath/ ファストパスで処理する機能「IPsec ESPトンネルのUDPカプセリング」「RTX1500」「×」
ipsec ike esp-encryptionだとファストパスじゃなくて、
natトラバーサルだとファストパスになると思っていたからっていうのがありますが、
今は、どっちもファストパスじゃないよなと思っているからこのことはいいのですが。
あとは、何かしらの私の人為的ミスがどこかにあるんだろうなってのと、
気持ちが悪いっていうのと、
--------------
IPsecトンネル 2の状態
現在の状態
接続状態 Up(接続中)
SAの数 ISAKMP SA 1個
IPsec SA send 2個
IPsec SA recv 2個
IKEキープアライブ NG
--------------
なぜか、esp-encryptionでpingとか使えるのに、上のようにIKEキープアライブ NGなのが分からないので、
ちょっと問題があるとおもうので。
すみません。自己解決しました。
アグレッシブモードにしないといけないのに、メインモードになってました。
完全な私の勘違いでした。申し訳ない。
アグレッシブモードにしたら上手くいきました。
しかし、natトラバーサルはアグレッシブモードにしないといけないので、
DDNSを使ったメインモードのesp-encapsulationよりも、セキュリティ的に下がる気がします。
YAMAHA同士ではnatトラバーサルは不要なんですかね。
今気が付きましたが、349,351でesp-encapsulationをesp-encryptionと間違ってますね。
重ね重ね申し訳ない。
誰も分かんねーんじゃないかね?エスパーな方がいれば別だけど。
RTX1500(1)(グローバルアドレス)側の方は「IKEキープアライブ NG」で、
RTX1500(2)の方は「IKEキープアライブ OK」になってます。
たぶん、これもフィルター関連の私のミスの可能性が高いと思うので、ボチボチ見ていきます。
ありがとうございました。
InterNet ----[ONU]--[ONUのHUB]----[PC]
|←A
[RTX1500]
光ネクストでギガなのでONUにPPPoEをやらせてPCはギガでインターネットに接続してます。
そこにIPsecで別の場所とVPNを張ろうと思うのですが、
図のようにA一本でRTXを接続すると、データの経路は
PC→(A)→RTX→(A)→ONU→インターネット
となり、Aを二回通るので、全二重通信をすると、
受信、送信の速度がそれぞれ100Mの半分の50Mしか出ない計算になります。
そこで、LAN1の他にLAN2もONUのHUBに繋いだら、上手いこと100Mになるんじゃないかなと思っていますが、
ネットワークの構築の方法がイマイチわかりません。
同一セグメントにLAN1とLAN2をつなぐ設定はどのようにしたら良いのでしょうか?
ip lan1 address 192.168.1.2/24 ----(1)
ip lan2 address 192.168.1.3/32 ----(2)
として、別の場所のネットワークを192.168.111.0/24として、
そのPCやONUの静的ルーティングを(2)の方に向けてやればよさそうですが、
その帰りの192.168.111.0/24からPCへのパケットの出口が(1)になりそうですし、
根本的に、物理的に同じHUBに同じセグメントの物を繋いでパケットがおかしくならないかってのも気になります。
何か解決法があれば教えてください。
なんかネットワークの知識が恐ろしく変なんだが
知識がないんですよ。
いい解決法があったら教えてください。
プロバイダーへの接続は1つ?
だとしたらどのONUつかうの?RTXつかうの?
そのうち、1つはPCが刺さってるので、RTXで2つ使っても1つ空きがあります。
プロバイダーへはONUがPPPoEを使って接続してます。
RTXでPPPoEをやらせるとギガじゃなくなるので。
おとなしくギガ対応のRTX買ったほうがいい
そのONU通してのIPsecできるかどうかは知らんが・・
上り100M、下り100Mなので双方向で測ったら200M
半二重なら上り下り100Mなので単純に双方向だと100M(片方向50M)
InterNet ----[ONU]--[ONUのHUB]----[PC]
| |←B
[RTX1500]-C-[RT]
っていう風に、余ってるヤマハルータを入れる方法は大丈夫ですよね?
BかCのところに静的NATでも入れてPCのアドレスを偽ってやれば。
これで全く問題ないと思いますが、
気になるのは、
ルータの電気代増える、コンセント一口減る、LANケーブル1本増える、場所が邪魔、
ルータによる遅延、ルータ故障・不具合の可能性の分信頼度が下がる、設定が面倒。
なので、なるべくRTX1500一台で完結させたいのです。
いい方法だとは思います。
ですが、うちの場合、PCからONU等のあるところまで遠いので、ケーブルをもう一本引くのは、
コスト的にも、労力的にもきついです。
あと、複数台のPCを使う場合はちょっと難しくなりますよね。
どうしてもというなら
ONU 192.168.1.1/24
RTX1500 LAN1 192.168.2.2/24
LAN2 192.168.1.2/24
LAN1,2はONUのHUBへ
PC 192.168.1.3
PC上のアドレスの追加設定 192.168.2.3
デフォルト 192.168.1.1
追加の静的ルーティング route add VPN先ネットワーク mask 255.255.255.0 192.168.2.2
で、VPN先ネットワークなら仮想IPアドレスの192.168.2.3発で行ってくれるなら
いけそうな気がする
で、そのONU通してのIPsecできるかどうかは知らんが・・
タグVLAN使えるHBU噛ませばケーブル一本でもいけるかも
業務用スレに来るレベルじゃないと思うんだが…
前半について全くその通りだし、混乱の元だから混同するなと俺も思うが、
たちが悪いことに、NTTがそれを「ONU」と表現していたりする。
少なくとも「業務用」スレで誤用すべきじゃないと思う。
話がややこしいのはVPN経由の通信だけRTX1500を通したい、ってところね。
それをL3で実現するには設置機材が増えるのでフツーはやらない構成だよね
InterNet ----[ONU一体型HGW]--[HGWのHUB]----[PC]
| |
[RTX1500]--C--[RT57i]
RTX1500のLAN3 Cの位置にIPIPトンネル張ってNATを入れました。
IPIPトンネル張らないでNATかけたんですが、
私のスキルでは上手くできなかったのでIPIPトンネルを使いました。
PC、HGW側のネットワークアドレス、192.168.1.0/24をNATで192.168.3.0/24に変換
IPsecの相手先ネットワーク192.168.2.0/24
RTX1500側はIPIPトンネルの設定と以下のような感じ。
nat descriptor type 2000 nat
nat descriptor address outer 2000 192.168.3.1-192.168.3.254
nat descriptor static 2000 1 192.168.3.1=192.168.1.1 254
ip tunnel nat descriptor reverse 2000
ip route 192.168.3.0/24 gateway tunnel 3
RT57i側はIPIPトンネルと設定とルーティング
ip route 192.168.2.0/24 gateway tunnel 1
PCはroute -p add 192.168.2.0 mask 255.255.255.0 "RT57iのアドレス"
そんなにルーター入れた遅延も無く問題なく使えています。こんな感じでやりました。
RTX1500にNATを任せた方が速いかなと思って逆NATでやらせてみました。
問題点は、に書いた分と、IPIPトンネルを使うと、RTX1500がノーマルパスになるのと、トンネルの遅延ぐらいですかね。
とりあえすしばらくはこれで使いたいと思います。
何か、IPIP使わない方法はこうしたらいいよとか、ここをこうしたらいいよとかあったら教えてください。
あと、私の用語間違いで気分を害された方、すみませんでした。
この設定もよさそうですね。時間のある時に試してみます。
>
> タグVLAN使えるHBU噛ませばケーブル一本でもいけるかも
たしかに。ハブ使えば済むだけの話でしたね。お恥ずかしい。
なんでタグVLANはいるんですかね?詳しくないので。ちょっと勉強してきます。
ついウッカリ口に入れてしまったとき
起こる現象
ワロタw
【Reverse NATTOH】リバース・ナットー
Reverse NATTOHとは、納豆嫌いの人が、うっかり口に入れた際に観察される事象。
口に含んだ時点で口腔内の残留物のみを噴出する静的リバース(Static Reverse)と、
勢いで飲み込んでしまった後に発生する動的リバース(Dynamic Reverse)があり、
後者のトラフィックの方が増大・輻輳しやすい特徴がある。
なお、納豆の芳香を嗅いだだけで発生し、納豆そのものはリバースしない
Reverse by NATTOHや、動的リバースに誘引されて別セグメントで発生する
Reverse Surrounding NATTOHとは明確に区別されるべきで、注意が必要である。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/NAT/reverse-nat.html 一言、二言で、言ってほしい。
これ前に使って、よくわかっていなかったが、狙い通りに動作しなかった苦い経験がある。
この説明でわからないなら
一言で理解できるわけない
グローバルから来た通信をローカルアドレスから通信しているように見せる。
わかりやすい
本当だ、逆になっている
NATをかける向きがインターフェイスにおいて普通のとは逆になるんですね
見てない。
さんの言うのをそのまま理解したけど
・・誤解している?
pop ax
inc ax
push ax
jmp [0394]
118 ?
HALTでないかい
フラグ立っているね
この通信をREJECTして使えなくしたいんですが、参考になるサイトがあれば教えてください。
それでLINEと思われるのをかたっぱしから弾く
日経BPは参考にならなんだか?
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20121108/436124/ みたくNATテーブルのアドレスをnslookupかけるか、クライアントとルータの間にPC入れてパケットキャプチャして、LINE0xに対する通信にRejectかけてやりゃログイン、トーク、通話を防げるんじゃないかね。
とりあえず頑張れ
サーバーのIPアドレスだけでフィルタしないといけないとなると難しいです。
HTTPをつかっているのなら、URLFILTERは使えませんか?
遮断で良いんじゃない??
韓国のIP アドレスへも接続してるみたいだし。
あて先が、5000や、5228なんですか。
まったく関係ないサーバーが、それらのポートを使っていなければ、
まとめて遮断できますけど、サーバーを指定しなければならないとなると、
めんどうですね。
このひとはこれからもずっとできないままだよ
使っているサーバーのほうが少ないでしょうね。
アプリケーション指定で一発だ。
機能も性能も上。ライセンス費用もかかるが激安だよ。
既存の回線に挟んで見ているだけで楽しいぞ。
show configってやったときに、コンフィグがザーッと出てきますよね。
このとき、毎行毎行、変なところで改行されてしまいます。
telnetクライアントソフトを変えても駄目でした。
コピペするときに、いちいちメモ帳に貼り付けて、改行を修正してから、
再度rtxに貼り付けるという手順になって面倒です。
改行を、コンフィグの行ごとに行うことは可能でしょうか。
console lines infinity
俺はtftpで丸ごと取得している。
内容がブロックごとに分かれるので便利。
すみません。さっそくレスありがとうございます。
たしかに、tftpで一度テキストにすればいいんですけど、
面倒ですよね。
教えてもらったconsole lines infinity を試してみたいと思います。
Linux側には固定のグローバルアドレス(IPv4)がありますが、
RTX1200は固定のグローバルではありません。
ぐぐってみると、Linux側のracoonとrtxとを接続する内容がいくつか見つかりました。
しかし、双方で固定のグローバルアドレスを利用しているようです。
Linuxで固定アドレスを設定してレスポンダとして、
RTX側はL2TP/IPsecのようなイニシエーターとして使うような設定はあるでしょうか。
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike local address 1 {自分自身のルータのLAN側IP}
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text {事前共有鍵}
ipsec ike remote address 1 any
ipsec ike remote name 1 ipsec1
tunnel enable 1
ipsec auto refresh on
ip route {対向のネットワークアドレス} gateway tunnel 1
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc sha-hmac
ipsec ike local address 1 {自分自身のルータのLAN側IP}
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text {事前共有鍵}
ipsec ike local name 1 ipsec1
ipsec ike remote address 1 x{対向ルータのグローバルIP}
tunnel enable 1
ipsec auto refresh on
ip route {対向のネットワークアドレス} gateway tunnel 1
nat descriptor type 1 masquerade
これって、RTX同士の設定ですね
>ipsec ike pfs 1 on
?こんな設定ってあったかな。
Linuxってだけの括りで聞かれても困るだろ
ディストリすら決めてないんだろ
CentOS 6です。
VPSを使うので、対向ネットワークにはRTXを導入できないのです。
どうしても、VPS上のVPNサービスと、RTXとを直に接続する必要があります。
ヤマハさんがこのあたりの設定例を、LINUX側と、RTX側と双方について、
用意してほしいなあ。これからは、VPSも盛んに使われる時代だと思うし・・・
なの?
両方 Linux にすれば
てのはナシで
VPSを使う意味の一つは、自前ネットワークにPCを置かないことなんです。
PCって、壊れやすいし、メンテが面倒なもので。
だから、自前ネットワークには、RTXしか置きたくないんですよ。
unnumbered設定したPPインターフェイスに、
割り当てられたグローバルIPv4をouterにセットしたNATを、
割り当てられたIPv4アドレス個数ぶん、複数関連ずけて使おうと思っています。
必要なければ、LANインターフェイスでそのグローバルIPv4アドレスは使わなくてもいいんですよね。
そんな風にouterをセットしたNATディスクリプタだけで運用してもいいのですよね?
どっちがスタンダードなのですか?
unnumbered設定したPPインターフェイスを使って、インターネットに接続する場合、
もし、プロバイダから割り当てられたアドレスを、LANインターフェイス側で使ったら、
ネットワークアドレスや、LANインタフェースのゲートウェイアドレス、ブロードキャストアドレスで、
せっかくのグローバルアドレスを使うことになってしまうと思います。
そこで、NATのouterにそれらのグローバルアドレスを設定して使うなら、
たとえば、/30のアドレス割譲だったとしても、4個すべてがインターネットへの通信で使えることになりますか。
それともプロバイダ側で、/30の場合だと、真ん中二つだけしかインターネットへ通さないようにフィルタでもされているでしょうか。
ttps://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=1179 をRTXでってことか?
どっちがスタンダードってのはあまりないと思う。
それぞれメリットデメリットがあるから、そこn
フィルタというか、プロバイダ側のルーティングの設定次第なんじゃないかな
/30とか/29だと最初と最後が使えないとこが多いと思う
が出してるインターリンクは「違う」ことを売りにしているようだが
ttp://www.interlink.or.jp/service/flets/ip2_ip4.html Yamahaルータでの設定例も書いてあるね
プロバイダによって動作が異なるので、一概には言えないんですね。
プロバイダ側のルーティングにおいて、
例えば、私のところに割り当てられたa.b.c.d/30へのgatewayがpp(unnumbered)にでもなっていれば、
私の側のRTX内でNATを使うことでその4 IPとも通信可能なアドレスとして使えそうに思いました。
しかし、プロバイダ側の設定で、これ以外の設定ってあるのかなと思いました。
何がどう違えば、/30の場合、2IPしか使えなくなってしまうんでしょう。
>しかし、プロバイダ側の設定で、これ以外の設定ってあるのかなと思いました。
>何がどう違えば、/30の場合、2IPしか使えなくなってしまうんでしょう。
ネットワークアドレスとして払い出されてるからだろ。
君がどう考えようが勝手だが、TCP/IPの規格忘れんなよ。
>TCP/IPの規格
しかし、それがどこで適用されて満たされるのかは別問題だと思います
/30 は仮の話ですか?それとも実際に固定IPを/30で割り当てを受けているのでしょうか?
仮にa.b.c.0/30とすると、
a.b.c.0 ネットワークアドレス
a.b.c.1 プロバイダ側のIPアドレス(利用者側からはdefault gateway)
a.b.c.2 利用者側で使用できるIPアドレス
a.b.c.3 ブロードキャストアドレス
になりはしませんか。
インターリンクさんは、これじゃあアドレスの無駄遣いになるので、利用者側の機器を
限定することになるけれども、IP2・IP4のサービスをやっているのでしょう。
はい。しかし、その区分はその/30ネットワークの中にいる人が受ける制限です。
そのネットワーク外にある人にとっては、/30の4つのアドレスレンジは一様のはずです。
ネットワークアドレスだとか、ブロードキャストだとか、アドレスの区分は関係ないわけです。
4つとも一様にルーティングされると思うんです。
そもそも/30がUnnumberedで払い出されてるんだろ?
その時点でISPのL3スイッチで、そのセグメントを切った事になってんじゃん。
ネットワークアドレスはともかく、ブロードキャストアドレスは、他のセグメントに転送する訳が無い。
>はい。しかし、その区分はその/30ネットワークの中にいる人が受ける制限です。
>そのネットワーク外にある人にとっては、/30の4つのアドレスレンジは一様のはずです。
>ネットワークアドレスだとか、ブロードキャストだとか、アドレスの区分は関係ないわけです。
>4つとも一様にルーティングされると思うんです。
言っていることが意味不明、TCP/IP分かってないだろ。
TCPかんけいないし
レスありがとうございます。
>/30がUnnumberedで払い出されてるんだろ?その時点でISPのL3スイッチで、そのセグメントを切った事
確かに、その場合だと、そうですね。
ISP側でその/30サブネットが構成されているわけですね。
でも、次の場合は、どうなのでしょうか。
(PP)…PPインターフェイス
(LAN)…LANインターフェイス
PPP…Point to Pointプロトコル
----isp(PP)---PPP---(PP)rtx1200(LAN)----
上の図の場合、
ispでは、当該の/30サブネット宛は、ispのPPインターフェイスに流れるように設定されています。
そして、そのパケットはPPPのunnumberedで運ばれてRTX1200のPPインターフェイスに到着します。
この場合、isp側ではL3スイッチで、/30のサブネットをまだ構成していないわけです。
即ち、isp側では、/30サブネットに対するルーティングを構成しているのに過ぎないわけです。
/30サブネットの構成は、RTX1200のLANインターフェイス側に任されることになります。
そこではじめて、GWアドレス、ネットワークアドレス、ブロードキャストの特別区分が生じます。
だから、LANインターフェイスで/30サブネットを構成せずに、
/30のレンジに含まれる4個のIPをすべて、RTX1200内部でNATのOUTERに設定することで、
4個のIPをインターネットへの通信ですべて活用できるようになると思います。
プロバイダ側で、L3スイッチで/30でサブネットを構成しているのか、
それとも、/30でルーティング設定を行っているかで、挙動は変わってくると思います。
違いますか?
プロバイダの人間です
> /30サブネットの構成は、RTX1200のLANインターフェイス側に任されることになります。
上位側の機器により、若干構成や挙動が変わりますが、
基本的に、下位の機器の設定には影響されません
(そちらのRTX1200でどのような設定をされようと影響は受けません)
/30 だと、ネットワークアドレスとブロードキャストアドレスで2つ消費されるので、
実質、自由に使えるのは2個です
レスありがとうございます。
プロバイダさんに依存すると思います。
ここで云々するより、機器持ち込みでテストさせてもらって、
やってみたらいいじゃないですか
ppはぴあぴあまたはポイントツーポイントです。
そこのネットワーク上には自分と相手しかいません。
だからWAN側にIPアドレスを付与する必要が無く(これがアンナンバード)
ブロードキャストを利用する必要もないですから
お考えの通り、/30でもアドレスが4つ使えてしかるべきです。
Unnumberedってが言っているように、ISP側の機器と論理的に一つの機器として
扱われる形になるんじゃ無いの?
そうすると、当然ISP側のスイッチとしては、各セグメントのブロードキャストは遮断する必要がある訳で、
あなたの言っている様には、ならないはずなんだけど。
RTX側でブロードキャストアドレスで通信投げても、ISP側で遮断される形になると思うけど。
ありがとうございました。
ようやく言っていたことが伝わって嬉しいです。
プロバイダの構成に依存する点は了解しています。
とにかくやってみたいと思います。
ありがとうございました。
「プロバイダに依存する」って分かってるなら
「/30で4つ全部使える」と明言しているプロバイダと契約すれば
何も考える必要もなく解決なんじゃないの?
質問主がどこと契約してる/するつもりなのか知らんけど
複数固定IPアドレスの契約サービス用意してるISPなら
「二つは使えない」か「全部使える」くらいのことは
契約前に見られる場所にちゃんと書いてあるでしょ
ユーザ側のルータではどーしようもないことなのに
ここでぐだぐだ続ける意味が分からん
プロバイダに依存しないよ。
ppリンクとブロードキャストの話は、RFC3021あたりが味わい深い。
ttp://blog.livedoor.jp/doya_soku/archives/18432281.html 言い出しっぺの450さんが先陣を切ってくれください
見知らぬipv6のdnsサーバーアドレスが取得されているのがわかります。
これとは別にipv4のdnsサーバーアドレスも取得されています。
DNS サーバー. . . . . . . . . . . : 2001:a5・・・・
RTX1100の設定ではとくにIPv6の設定は行ってません。
この2001ではじまるアドレスってどこから取得されているのでしょうか。
環境は、nttのフレッツ光ネクストで、
プロバイダはpppoeでipv4アドレスを取得するという標準なものです。
追加
ローカルエリア接続の、tcp/ipの設定で、ipv6を無効にすると、
それはもう取得されなくなりました。
2001:a000::/21はNTT西日本のNGN内で使われているプレフィックスだね。
フレッツ 光ネクストは、全ての契約者回線にIPv6プレフィックスを払い出していて、
NGNのDNSサーバーアドレスを通知している。
PCが取得したIPv6のDNSサーバーアドレスは次の何れかだと思う。
・RTX1100のlan1(PCと接続している側)のIPv6グローバルアドレス
・NGNから通知されているDNSサーバーアドレス
・ホームゲートウェイのLAN側IPv6グローバルアドレス
(レンタルのホームゲートウェイを設置している場合)
RTX1100のコンフィグに次のようなコマンドの一部が紛れ込んでいない?
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html ttp://ipv6.2ch.net/test/read.cgi/ipv6/1335765343/176
IPv6の設定は行ったほうが良いよ。
IPv6版のNGNサービス情報サイト(
ttps://www.flets-west.jp/)を利用できるしさ。 IPv4接続のみの契約者に対しては、大抵のプロバイダが
AAAAフィルターを適用したDNSサーバーのアドレスを通知しているから
IPv6-IPv4フォールバックの心配は無用。
ありがとうございます。
ipv6関係の設定をしているのかもしれないと思って、
次のコマンドでチェックしたのですが見つかりませんでした。
> show config | grep ipv6
⇒見つからなかったです。
次のdnsの設定はありました。
dns server 192.168.x.x
dns notice order dhcp server
この、↑dhcpって多分ppインターフェイスで取得したものだと思います。
プロバイダはipv4のものなので関係がないと思いました。
それでも、
DNS サーバー. . . . . . . . . . . : 2001:a5・・・・
が取得されるのはいったいどうして!?
何かデフォルトでtrueになっているipv6関連の設定項目でもあるのでしょうか。
teredoは関係ないですよね。
>IPv4接続のみの契約者に対しては、大抵のプロバイダが
>AAAAフィルターを適用したDNSサーバーのアドレスを通知しているから
>IPv6-IPv4フォールバックの心配は無用
ふと思ったんですが、RTX1x00のリカーシブDNSサーバ機能って、
AAAAフィルターの設定なんてできないですよね。
常時、上位DNSサーバからのAAAAレコードについてもクライアントにそのまま伝えるのだろうなあ。
古いYAMAHAルーターなんかもそうなんだろうか。
ngn type lan2 ntt も無い?
> DNS サーバー. . . . . . . . . . . : 2001:a5・・・・
これはNGNで通知されているDNSサーバーのアドレスなの?
それともRTX1100のアドレスなの?
ここで質問するなら情報を小出しにせず、
・NTT東日本かNTT西日本か
・ひかり電話契約の有無
・ひかり電話ルーター(ホームゲートウェイ)を使っているか否か
・接続している全ての機器の型番
・結線の全容
・RTX1100のコンフィグ全体
・show status dhcpc
・show status ipv6 dhcp
・show ipv6 address
・show status ngn
を晒すべきかと。
それができないのなら cold start して再設定し直すとかさ。
> AAAAフィルターの設定なんてできないですよね。
できない。
> 古いYAMAHAルーターなんかもそうなんだろうか。
RTA50i以降の、IPv6を搭載したバージョンのファームウェアならAAAAは返すでしょ。
RTA54i以前の、IPv6を搭載していないバージョンのファームウェアではどう処理していたのか知らないけど。
# show status dhcpc
DHCPクライアントは動作していません
# show status ipv6 dhcp
there's no DHCPv6 configuration.
# show ipv6 address
⇒表示された結果はすべて、
Fからはじまるリンクローカルアドレスでした。
# show status ngn
⇒RTX1100なのでこのコマンドはありませんでした。
回線はひかりネクスト隼、NTT西日本です。
ONU---「HGW」---pppoe---「RTX1100」----PCsというつなぎ方です。
ひかり電話契約はありますが、HGWどまりでRTX1100は関与してないと思います。
LAN3インターフェイスとHGWはつないでますが、PPPOEオンリーの扱いですし、HGWはPPPOEパススルーです。LAN3インターフェイスでIPV6関係の設定もありません。
>> DNS サーバー. . . . . . . . . . . : 2001:a5・・・・
>これはNGNで通知されているDNSサーバーのアドレスなの?
>それともRTX1100のアドレスなの?
RTX1100のLANインターフェイスには、IPV6のグローバルユニキャストアドレスはありませんでした。だから、RTX1100のアドレスではないと思います。
コンフィグには何か特別な設定があるわけでもありません。
外部への接続については、PPインターフェイス、IPsecトンネルインターフェイスしかありません。
繰り返しますがIPv6の設定も皆無ですし、LAN3インターフェイスとHGWの接続もPPPOEオンリーです。
WINDOWS7のPCのLANケーブルを抜いて、しばらくしてから、接続しなおしましたが、IPCONFIG/ALLで、
DNS サーバー. . . . . . . . . . . : 2001:a5・・・・ が取得されます。
グローバルユニキャストなので、もしものことがあり、最後までアドレスをさらせません。
いったいこのアドレスがどこから来ているか教えてください。
この間のケーブル抜いてみればいい
> DNS サーバー. . . . . . . . . . . : 2001:a5・・・・ が取得されます。
まずはこれがどの機器のアドレスなのかを調べましょう。
NGNで通知されているDNSサーバーのアドレスは、
HGWの[情報]-[DHCPクライアント取得情報]の[DHCPv6クライアント取得情報]にある
[DNSサーバアドレス]欄に表示されている2つのアドレス。
HGWのLAN側IPv6グローバルアドレスは、
[情報]-[現在の状態]にある[MACアドレス(LAN)]からEUI-64形式でインタフェースIDを生成して、
これに[情報]-[DHCPクライアント取得情報]の[DHCPv6クライアント取得情報]にある
[IPv6プレフィックス]欄に表示されているプレフィックスを組み合わせたものになる。
もっと簡単な調べ方は、HGWにPCを接続してコマンドプロンプトから"tracert www.flets-west.jp"を実行、
1ホップ目に表示されるのがHGWのLAN側IPv6グローバルアドレス。
このアドレスにブラウザでアクセスするとHGWのWeb設定が表示される。
HGWのDHCPv6サーバー機能は、自身のLAN側IPv6グローバルアドレスを
DNSサーバーアドレスとして通知している。
なるほどと思い、hgwとrtx1100のケーブルを抜きました。
そして、rtx1100を再起動し、
pcでは、ケーブルをしばらく抜いた状態にして、リンクが完全に切れてから挿しました。
さらに、ipconfig/renew も行いました。
(pcの再起動は行えません。別のpcを準備して試したいと思います。)
そうして、ipconfig /allの情報を見ると、
DNS サーバー. . . . . . . . . . . : 2001:a5・・・
がなぜか、存在します。まったく同じアドレスです。
ありがとうございます。
今晩hgwに接続してみて、試したいと思います。
そのアドレスにpingやtracertするとどうなる?
> ---PCs
これらの中で、不正RA、偽DHCPv6サーバ、偽DNSv6サーバが動いているのかも
ttps://www.nic.ad.jp/ja/materials/iw/2012/proceedings/t7/t7-kitaguchi.pdf#page=9 こわいこと言わないでくださいよ・・
PCsと書きましたが、WINDOWS 7が一台で、
あとはプリンタサーバーがあるくらいです。
問題のIPv6アドレスのDNSサーバーにPINGをうっても、タイムアウトしました。
TRACERTも同様です。
PC側がグローバルユニキャストアドレスを持たないので通信はできないと思います。
ひょっとしたらと思ったのですが、今までずっとスリープと復帰の繰り返しで、
シャットダウンをしたことがなかったので、何か設定が生き残っているのかもしれないですね。
今から、シャットダウンと再起動をやってみます。
保存していないドキュメントやら、ブラウザでは開きっぱなしのタブがごろごろありました。
かなりの量だったので、ブックマークやらファイル作成が面倒だったので、それらはあきらめて、
シャットダウンしました。
で、再起動しました。
おそるおそる、command.comを起動して、そしてipconfig /allを・・・
そうしたら、すみません!すみません!、消えていました!
みなさん、お騒がせして申し訳ありません。
hgwとrtx1100のケーブルを抜いたにもかかわらず、そのipv6のDNSサーバが表示されていたので、
奇妙だなと思いはじめました。
それまでは、何か、rtx1100をデフォルト設定でipv6パケットがパススルーでもしているのかなくらいに思っていました。
わかったこと。
・ipconfig /renewしても、以前に取得したことのあるipv6アドレスdnsサーバはwindows7システムに残存したままになっているらしいこと。
・ケーブルの抜き差しでも同じで、まったく綺麗にネゴシエーションされるわけではないのかもしれないこと。
・rtx1100で、ipv6関連の設定がないのに、勝手に下流ネットワークに関係アドレスが流布してこないらしいこと。
すみませんでした。ありがとうございます。
有益な情報ありがとうございました。
ipv6に疎いので、試したいと思います。まず、そうやって手元の環境を知ることからはじめます!!
普段からファイアーフォックスです。
へー、アドオンでそういうのがあるんですね。
これで、シャットダウン&再起動も負担がありませんね。
今までアドオンなんて使ったことがありませんが、これはいいなと思いました。
ありがとう。また気が向いたときに使ってみます。
光電話がある環境なので全体として/48のprefixが割り当てられます。
HGWには/52?のアドレスが、下位RTXには/56?のアドレスが切り分けされると思います。訂正お願いいたします。
RTXはそのprefixからlanインターフェイスのアドレスを作成するのだと思います。VPNではこのアドレスが使用されると考えています。
フレッツにはネームというサービスがあります。ネットボランチのようなダイナミックdnsサービスですが、しかしフレッツツールで登録作業を行うようです。
必要なことは、RTXが自分で作成したアドレスについて同じ作業を自立して行うことだと思います。
そうしなければネーム機能でVPNは張れないと思います。
皆さんはこの問題にどう対処されていますか?
一番願っていることは、ヤマハさんでNGNのこのダイナミックdnsに対応してくださることなのですが。
もちろんスクリプトでの提供ではなく、内蔵コマンドでです!
他での利用は、想定外。
v6 の自動更新はしないとの事。
2か月前に、rt100-users で話した事なんだけど、参加してないの??
フレッツ網内のv6アドレスは半固定で、NTT側が何らかの理由で変更しない限り
変更になることはないよ。
恐らく気にしているのは、その変更があった時にVPNの設定を打ちかえるまで
トンネルが復旧しない点でしょ。
はネームはVPN張るのには使えないと回答しているけど、
実際は使用することはできる。ルーター自身のDNS参照先を網内DNSにむけとかないとだめだけど。
実は自動更新されないと使えないと同じように考えて複数のルートでNTTに確認したが
「NTT側の都合でアドレスを変更した場合は、ネームは自動追従して変更される」
ということらしいよ。
ネーム使って同じようなVPN張ってるけど、まだそういうシチュエーションに遭遇してないから
上記の回答が本当なのかどうかわからない。半分嘘じゃねーかと思ってるけど。
自動追従が効かなかった時のことを考えて、低価格ispでv4ネット契約しといて、
v4経由のvpnトンネルを副系トンネルにしてフローティングでもしかけとけば安全だよ。
> 訂正お願いいたします。
網からの払い出しが/48になるか/56になるかはNTT東西の設備状況によって違い、多くの場合は/56になるみたい。我が家は/56。稀に/48の人も居るようだ。
ttp://www.soumu.go.jp/main_content/000239088.pdf#page=59 ttp://ipv6.2ch.net/test/read.cgi/ipv6/1335765343/173-174
ttp://ipv6.2ch.net/test/read.cgi/ipv6/1335765343/196-197
HGWのLAN側ネットワークのプレフィックスには先頭(サブネットID部の下位1バイトが16進数で00)の/64が使われる。
WAN側インタフェースのアドレスには2番目(同01)が使われる。
HGWのPDサーバー機能で払い出すプレフィックス長は、
網から/48を受けた場合は/56。網から/56を受けた場合は/60。
> RTXはそのprefixからlanインターフェイスのアドレスを作成するのだと思います。
HGWと接続しているlanインターフェイスのアドレスには、HGWのRAに含まれるプレフィックスを使うこともできるよ。
ttp://ipv6.2ch.net/test/read.cgi/ipv6/1335765343/176
> しかしフレッツツールで登録作業を行うようです。
NTT東西どちらもWebブラウザから可能だよ。
ttp://faq.flets.com/faq/show/1342 ttp://faq.flets.com/faq/show/1343 ttps://flets.com/customer/tec/v6option/pdf/flets_msg_user_guide.pdf#page=61 ttp://flets-w.com/next/v6option/pdf/v6option_user_manual.pdf#page=17 > そうしなければネーム機能でVPNは張れないと思います。
プレフィックス変更時にはこれを応用できると思う。
ttp://jp.yamaha.com/products/network/solution/lua/script/lua-script-ipv6_renumbering-rtx1200/ NTT東日本では不明瞭だけど、NTT西日本は次のように明記されているよ。
ttp://flets-w.com/next/v6option/ > なお、弊社都合によりIPv6アドレスが変更になった場合、ネームの設定変更は必要ありません。
> 「NTT側の都合でアドレスを変更した場合は、ネームは自動追従して変更される」
これはNTT東日本からの回答?
この自動追従されるアドレスって、当然prefix/48のことですよね。NTTが知りうる部分はそこまでのはずだからです。
ネームサービスに登録されたアドレスのうち /48部分だけがNTT側で自立的に張り替えられるってことなのかな。
あるいは、フレッツメッセンジャー立ち上げとけば新しいアドレスに更新されるというだけのことなのか。
うーん、RTXがDHCPで取得したv6アドレスを、自分でNTTのネームサーバに再登録してくれれば話ははやいのだけど。
やはりNTTがプロトコルを公開してくれないのかなあ。
> 当然prefix/48のことですよね。
PDでの/48または/56、RAでの/64だね。
> NTT側で自立的に張り替えられるってことなのかな。
そのとおり。
PDサーバーでの払い出し状況をネームのシステムとDNSサーバーへ反映させているんだと思う。
NTT東西はどの加入者にどのプレフィックスを払いだしたかという情報を把握しているからさ。
> フレッツメッセンジャー立ち上げとけば
それは関係ないはず。フレッツメッセンジャーは東日本だけ。西日本には無いよ。
訂正
誤:網から/48を受けた場合は/56。
正:網から/48を受けた場合は/52。
ttps://www.seil.jp/community/node/33 西からの回答
了解。東については誰かが検証してくれるまで状況が掴めないね。
東西間の微妙な仕様の差がもどかしい。。。
>ルーター自身のDNS参照先を網内DNSにむけとかないとだめだけど。
そうですよね。”ネーム”はネクスト網のDNSで解決しなければいけない。
すると話はややこしくなりますね。PCには特にDNSサーバを指定してあげられますが、
RTX自身にも時間設定などにインターネット用の名前解決は必要です。
そうすると、RTXは、インターネット用のDNSサーバと、”ネーム”用のDNSサーバを使い分けなければならなくなる。
そんな器用なことができるのだろうか。
>実は自動更新されないと使えないと同じように考えて複数のルートでNTTに確認したが
>「NTT側の都合でアドレスを変更した場合は、ネームは自動追従して変更される」ということらしいよ。
/48プリフィックスのNTTによる変更までは、ネクストの「ネーム動的更新機能」で対処できたとしても、
RTXはHGW配下にあるので、HGWからプリフィックスを管理されている場合、
HGWの再起動などでひょっとしたらその管理レコードが喪失してしまうかもしれない。
するとRTXはHGWから今度は別のプリフィックスを取得することになるだろうから、ネームを使っていてもVPN通信が断になってしまう。
HGWによるプリフィックスの管理に頼らないように手動でRTXにプリフィックスを割り当てようにも、
そもそも/48プリフィックスまででNTTにより変更になる可能性もあるので不可能だ。
ヤマハRTXルーター側で、自身のIPv6アドレスをNTTのネーム機能サーバに通知する機能が実装されない限り、
色々と不安が残ります。
訂正ありがとうございました。それから参考になるリンクありがとうございます。
○NTTフレッツネクストのネーム機能への対応
NGNに接続したLANインターフェイスで取得したIPv6アドレスを設定したネームレコードに自動更新します。
名前解決時には、設定したネームについては、NTTネクスト網のDNSサーバで解決します。
ngn name lanX yamaha-router01.example.com
ngn type lanX ntt
ヤマハさんどうぞよろしくお願いします!!
まだメーリングリストの方がいいだろ
メーリングリストに出す勇気ないんで・・
誰か代わって、こんな要望あるよと、直訴してください。。。
そう、お前だよ!
というわけで、見てない振りしてしれっと対応せい
> RTX自身にも時間設定などに
NGNではSNTPサーバーアドレスも通知しているから、インターネットを介さず時刻修正できる。
> そうすると、RTXは、インターネット用のDNSサーバと、
心配無用。
NGNから通知されるDNSサーバーは、”ネーム”専用というわけではなく、インターネット用として使えるもの。
参照するDNSサーバーはそれ1個で十分。
複数のDNSサーバーを使い分けたければ、HGWの「ローカルドメイン設定」や
ヤマハルーターのdns server select コマンドで好きなように使い分ければ良い。
> HGWの再起動などでひょっとしたらその管理レコードが喪失してしまうかもしれない。
心配無用。再起動どころかHGWの電源を抜いても保持される。
ttp://ipv6.2ch.net/test/read.cgi/ipv6/1335765343/175
> HGWによるプリフィックスの管理に頼らないように手動でRTXにプリフィックスを割り当てようにも、
それは無理。HGWはIPv6の経路情報を手動で追加することができない。
> 色々と不安が残ります。
インターネット上のIPv6対応DDNSサービスを使うとかさ。
> その管理レコードが喪失してしまうかもしれない。
これについてもう一点。にも書いたけど、
HGWと接続しているインタフェースがlan2、PC等の端末を接続しているのがlan1の場合、
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan2 address ra-prefix@lan2::2/64
というようにすると、たとえHGWからPDで受け取るプレフィックス(lan1用)が
変わったとしてもlan2側のアドレスは変化しない。
lan2側のアドレスをネームに登録してVPNに使えば、心配事がひとつ減る。
>NGNではSNTPサーバーアドレスも通知しているから、インターネットを介さず時刻修正できる
良いですね。フレッツネクストオンリーの運用ができます。
>ヤマハルーターのdns server select コマンドで好きなように使い分ければ良い
これは良いですね。すみません、こんな強力な機能があるなんて知りませんでした。
これを使えば、ネクストのネーム機能で特定の名前解決でネクストのDNSサーバを利用しなければならなくても大丈夫ですね。
>>管理レコードが喪失してしまうかもしれない。
>心配無用。再起動どころかHGWの電源を抜いても保持される。
ただ心配があって、たとえば、NTTの/48プリフィックスの変更などに際して、
HGWが管理レコードを白紙にしてしまうことはないかと。
そのようなことが起きないという場合には、
HGWが、/49bit目から以降をbitのブロックで管理していて、
これを/48bitまでのbitブロックに付け足すというような管理方法を用いていると考えることができますが、
そうなっていないのではないかと心配です。
>インターネット上のIPv6対応DDNSサービスを使うとかさ。
事業所などで単にVPNさえ使えればよいという場合があると思います。
そういう場合にはできればフレッツネクストだけの契約にしたいわけです。
やはり、の機能があればなあ。
つ ttp://engawa.2ch.net/test/read.cgi/isp/1172558140/526
>NGNのIPv6 IPoE接続方式では、IPv6アドレスが半固定で割り当
> てされ、変更になる可能性があります。本ソリューションではIIJ SMF sx
> サービスの管理機能を活用し、アドレスが変更された場合でも、自動的
> に新しいアドレスを検知して速やかにVPNを再構成することができます。
これね。その『IIJ独自開発の高機能ルータ「SEIL(ザイル)blank」シリーズ』って、
どうやっているのかな。
>プレフィックス変更時にはこれを応用できると思う。
>
ttp://jp.yamaha.com/products/network/solution/lua/script/lua-script-ipv6_renumbering-rtx1200/ さらにもし、YAMAHAが、netvolante-dns をNGNで運用してくれたら、
ISPプロバイダフリーでも、プレフィックス変更に対応するね。
ttp://www.bigmorkal.com/movie/wmv/3980.wmv ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_53.html ”L2TPv3 (Layer 2 Tunneling Protocol version 3) は、
データリンク層(L2)でのVPN接続 (L2VPN)を実現するトンネリングプロトコルです。
L2フレームをIPパケットとしてカプセル化することでルーター間でのL2フレーム転送を可能にし、
複数の拠点で同一セグメントのネットワークを構築することができます。”
ということらしい。すると、なにか良いことでもあるかな。
VPNの全拠点で同じプリフィックスのIPv6ユニキャストアドレスを、ステートレスで取得できるとか?
リモートアクセスもそうだけど、付加機能プロトコルと組み合わせることが多くなって、IPsecだけで運用することはこれからぐんと少なくなりそうだ。
でも、IPv6って、たくさんの端末が同一ネットにあっても大丈夫なのだろうか。
込み合ったりしない?
いままでL2VPNはできなったけどできるようになったのが利点かな
IPv6はL2がスイッチングで動いている前提で同一サブネットに多端末あっても
いいじゃないかという思想で設計されていると理解しているけど、本当にそうするかは
使う側が決めればいいだけなんじゃないかな
いままで良く動いてたなw
L2VPNできるようになりローカルサイトとリモートサイトを同一サブネットで運用できる
ブロードキャストがWANをまたいで飛び交うから注意して設計する必要があるけど
それって、Universal Plug and Playのことでしょ。
多拠点接続必要ないからと最終的にRTX810ポチった俺涙目。
RTX1200、客先撤去で手に入るけど、そこそこ劣悪環境で5年近く稼動
試験用には使うけど、実用はきついと思う
中古でもあんまり古いかったり環境悪いとコンデンサとか死にかけてるかも
電解コンデンサは、×印ぷーって突き破って、錆錆になってしまうけど、
固体コンデンサでも氏ぬの?
L2TPv3したかったと
SIPなんて良いんじゃまいか?
3ホップ制限
SIPはサブネットやセグメントが違っても通信可能
SIPはサブネットやセグメント越えたらFWの設定面倒やん
今時って、家電とかで需要あるとか?
そういうの考えたことなかった
えっ?サブネットやセグメント越えに必ずしもファイアーウォールあるとは限らないし。
ちょっと特殊かもだけど、自社の一部隊(PC100台ぐらい)が別拠点に移動することに
なったときにクライアントやらNW機器やらの設定変更を最低限にできるのはありがた
いよ。
(フロアで1セグメントみたいなNWで、その部隊以外にもそのセグメントを利用している)
開発部隊で、○○のテスト環境にアクセスできるPCはどれで、みたいなのをほとんど
意識せずに、PC持っていて接続するだけでおkってことにできるのはメリットかと。
別拠点にあるONUに、pppoeできる!
ソフトイーサ(知ってるよね?)ができたときに、まずそれを思いついた
同一サブネットでarp通信しなければいけないusbサーバのような機器をリモートから使える
同一サブネットにしたら、ブロードキャストとか、ポート138のマイクロソフトの通信でネットが溢れない?
それ、本当にでけんの?
固体コンデンサの実績が少なかった時代のだから
加速試験はしてるだろうが、実際の長期運用とかノウハウがたまってるのはここ数年
あと、電源ユニット基板は電解コンデンサ
換装すれば多分動使えるけど
いま注目の話題⇒
”L2TPv3 (Layer 2 Tunneling Protocol version 3) は、・・・ルーター間でのL2フレーム転送を可能にし、
複数の拠点で同一セグメントのネットワークを構築することができます。”
の使い道について。
NAT利用して既に運用してたし
L2は私にとってモバイル端末の設定が簡単っていうこと以外
イマイチ利点が無い。何に利用できるの?
それから、IPv4、IPv6以外のパケットはファストパスで動かないと書いてあるから
ますます利点がよくわからない
単純なブリッジだと、ブロードキャストドメインの問題が出てくるから、
あまりメリットがないように見えるけど、
L2でブリッジできるってことは、TCP/IP以外のパケットを通せるようになる。
ま、普通使うとしたら、拠点間の通信にタグVLAN通すときかなー。
なるへそ
従来のL2TP/IPSecであっても、L2TPの名の示す通りL2接続でブロードキャストパケットが
通るものだとばかり思っていたのですが、実際に試してみるとどうにも通らない。
払い出されているIPこそLAN内のサブネットと同一ですが、tracertコマンドで見てみると
一旦VPN(L2TP/IPSec)サーバーを経由して他のPCへとアクセスしていることがわかりました。
コレは要するに、平たく言うと
・リモートアクセス(L2TP/IPSec) → ルーティングモード
・拠点間接続(L2TPv3/IPSec) → ブリッジモード
という理解でよろしいのでしょうか?
ttp://google.com/search?q=cache:www.rtpro.yamaha.co.jp/RT/manual/rt-common/tunneling/tunnel_dtcp.html ttp://money.jp.msn.com/news/mynavi/ この脆弱性により、ルーター管理者が気付かないうちに機器が・・・・てしまう恐れがあるという。
該当製品が確認されているメーカーは、
ヤマハ、古河電気工業、インターネットイニシアティブ(IIJ)、シンセイコーポレーションの4社。
ヤマハとIIJについては、同社ホームページで対策方法を案内している。
ヤマハのルータってIPsecのtunnelが作られた時点で
相手側にDTCP-IPのパケットが通らないようにするっていう仕様じゃなかった?
L2TPv3導入で仕様変更されたんか?
ルーターなら正しい動作。
インターネット上からルーターにアクセス可能である。
DNSリカーシブサーバーとして動作している。
dns serviceコマンドの設定がないか、dns service recursiveの設定である。
※設定がない場合、初期値のrecursiveとして動作します。
WAN側からのDNS問い合わせを制限していない。
dns hostコマンドの設定がないか、dns host anyの設定である。
※設定がない場合、初期値のanyとして動作します。
WAN側からのDNS問い合わせを破棄するフィルターがない。
WAN側にNATの設定がないか、あるいはNATの設定がありかつDNS問い合わせに応答するための静的設定がある。
この時点でおかしいと思う。
たとえれば、inputチェインで透過ってことでしょ。
それを受け入れた馬鹿なSIがあわてて、下請けとメーカーに怒鳴り込んでいるところとか?
意図的に危険な状態にしてあるのですよ。対策すべきは、ねぇ
いや、本来ルーターのインタフェースには方向性がないと言うか、異なるセグメントやプロトコルを接続させるものです。セキュリティはアクセスリストで中とか外を設定するものだから、外部として設定したインタフェースが外部からの通信に応答する設定はすべきでは無い。
常識的な設定をしていれば問題にはならない
素人が使うインターネット接続専用ルーターじゃないのだから
そういえば、iptablesのチェインの考え方と、YAMAHA業務ルーターとは考え方が違うよね。
iptablesにはいちおうインターフェイスは指定できるけれども、あくまでFORWARDとINPUT チェインが大事になるね。
しかしYAMAHAルーターは、チェインではなくて、インターフェイスそのものにフィルタをかけるものね。
だから、その外部として設定したインターフェイスで外部からの通信を通す設定をすれば、そのままルーター内部に到達してしまうものね。
蟹の甲羅で防いでいるのがYAMAHAで、蟹の味噌で対策しているのがiptablesって感じだなと思う。
このたとえわかる?
ボトムズの甲羅で防いでいるのがYAMAHAで、ボトムズの味噌で対策しているのがiptablesって感じだなと思う。
一号機の甲羅で防いでいるのがYAMAHAで、一号機の味噌で対策しているのがiptablesって感じだなと思う。
iptablesだとINPUT/OUTPUTチェインが、YAMAHAのlanN IN/OUTに対応して
FORWARDチェインに対応するフィルタはないってことになるよね。
Linuxでルーターにする場合はFORWARDチェインを主に使うことになる(俺の場合は)ので、
LinuxルータをYAMAHAを交互にいじってると、考え方を切り替えるないとうまく進められない。
若いやつがエヴァンゲリオンなんて書くか!
今 ヱヴァンゲリヲン
ヤマトに例えると、冥王星軌道でガミラスを迎え撃つのがYAMAHAのフィルタ
ガミラス本星内でヤマトを迎え撃つのがiptablesのFORWARDチェイン
RT57iはRev.8.00.95でもdns hostコマンドやtelnetd hostコマンド、
httpd hostコマンドなどにバグがあって、範囲指定が正常に機能しないんだよな。
IPv4アドレスを範囲指定すると、すべてのIPv6ホストからのアクセスを許可してしまう。
IPv6アドレスを範囲指定すると、すべてのIPv4ホストからのアクセスを許可してしまう。
IPv4アドレスの範囲指定とIPv6アドレスの範囲指定を並べると、すべてのホストからのアクセスを許可してしまう。
RT58iやNVR500では正常に機能するが、
IPv4アドレス-IPv6アドレス という範囲指定が通ってしまう点は修正してほしい。
現役が多いとはいえ・・・
どうして、野良ファームはないの?
YAMAHAルーターは特殊な領域に公開鍵でも持っていて、ファームを検証しているんだろうか。
つぎでボケて
ipv6関連で合ったよ。
ハードウェアは頑丈でメーカーサポートは悪くない。ソフトはそれなり。
が、性能は良くない。値段は高め。10万台のならば素直にCisco買った方がコスパはは良いですよね。
性能の低いハードウェアに苦労して野良ファーム作ろうって酔狂な方々がいないだけでしょう。
SSL-VPNとかやりたければ、中古で数千円のFortiGateとか買ってきたほうが簡単だし。
RT58は、機能と性能と価格のバランスがとても良かった機種だと思います。
異論は認める。
詳しく
cisco は、ファーム無償配布なんて出来ないだろ。
自前のDDNS なんて無いし。
ファームは資格なけりゃ保守必要だね。
DDNSは確かに便利だけれど、メーカーが提供してなければいけない理由もない。
なお、最近販売終息したRT107eは、性能低い地雷モデルなので、中古で安いからといっても手を出さない方が良いよ。
たまには他のメーカーも使ってみると良いよ。
中古なら激安だ。
国産ならCenturyもなかなか良いね。
NVR500や、RT58i、RTX1100 の方が良いのかな??
ソフトウェアとの兼ね合いがあるので、
単純にハードウェアだけで結論は出ないが、このあたりを参考に
ttp://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html 民生機を混ぜるとややこしくなるんで、業務機だけの比較だと能力的には
RT105e << RTX1000 < RT107e < RTX1100
って感じかな
家では、RT107e<RT58i
セッション増やすと重くなって、リブートするよ107。58に変えれば同条件で問題無い。
58じゃipsecは張れないがな。
1200 や、810 使ってみたいんだけど、中古でも結構良い値段するんで。
60台ぶら下げるなら、rtx1200以上だと思うのだが・・・
会社が金出さない環境?
1000 でヤバいのなら、取り敢えず、1100 で凌ぐ。
58i は、後リース残3年で、NTT 側の担当者が使えると
豪語しちゃったので。
nmapとか一発で
内側に何するか分からん奴がいると安心して使えん
アーキテクチャがバラバラだけどクロック→性能だと思っていい
ttp://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html >58i だと、60台位ぶら下げてると、ハングする
いったいどんなぶら下げ方?pptp?
pptpだとしたら、58iって60台もぶら下げられるなんてすごい!
キャリア側が、最初に各廊下に2台無線APを設置する案を
出してきた。(寮トータルでAP10台+ルータ3台。)
自分は、安定性の面から判断して、有線接続勧めたんだけど
費用が掛かりすぎるので、即、却下された。
1フロア20室位で、3フロア纏めて、無線接続してるけど
中には、スピード重視で、LANケーブル買ってきて、廊下のAP
から、直で引いてる学生もいる。
今は、ハングる接続のフロアは、58i じゃなくて、1000 使ってる。
windows7側は、モバイルのwifiで、iijを経由させてます。
トンネルが頻繁に切断されて非常にイライラさせられるのですが、
これって、どちら側が切断しているのでしょうか。
対策があれば教えてください。rtx1500側で、何か追加設定すればよいでしょうか。
不安定な回線でパケットが途切れても、大丈夫な設定があればよいのですが。
次に再接続させても、windows7側にエラーが表示されて、ダメです。
前の接続がrtx側で生きていて、新しい接続が排除されているのかもしれないなどと思っています。
再接続もうまくできないと使い物になりません。
rtx1500はなにかダメな実装なんでしょうか。
こんど、rtx1200に切り替える予定です。
rtx1200は今月更新fwで対応
-切断したあと受信用のIPsec SAのみが残っている状況でも、当該トンネルで新規L2TP/IPsec接続を受け付けることができるようにした。
rtx1500はYAMAHAのやる気次第だろね
マジで!
ありがとう教えてくれて
しかし、そのRTX1500なんだけど、以前はここまで再接続ができないってことはなかったんだ。
Windows8(ごめんなさい、WINDOWS 8でした。)のアップデートに何か関連するものが含まれていたのかもしれない。
だけど、その更新があるってことは、やはり、
IPsec SAを残したまま切断(どっちが短気を起こしたんだろうか)になった状況では再接続は受け付けないんだろうなあ。
その理由として、ダイヤルアップ機能は、時代に合わなくなったので削除したとのこと。
しかし、L2TPや、PPTPで、その機能を使っているのに。
マイクロソフトはアホなんだろうか。
試したことないけどShrew Soft VPN Clientとかどうなんだろうか
使いやすいよ。
安定している。
DirectAccessで十分じゃん。
WINDOWSはネイティブIPsecもっているよね。
RTXとのIKEv1のセッションさせうまくいけば使えそう。
それって、外部ソフトだけど、
動作させるとIPCONFIGコマンドに、インターフェイスが現れる動作をするのかな。
フィルタリングがどうなるのか気になる。
あと、さっきのネイティブIPsecと競合しそう。
ESPやIKEパケットの奪い合いで。
キャリアなんか使うからだよ
俺が提案しにいったるわい
なんなら格安でケーブルも引いたるわい(俺とあんたが引くから安い)
RTXつかえるくらいなら、ケーブル工事くらいできるでしょ
・電話線をLANに引き替えるならば、配管工事+ケーブル配線工事
総額が200万くらいか
貧乏作戦
1.RTXで帯域制御を追加して、帯域を使い放題にさせない
2.電話線にLANコンセントを無理矢理付ける 1Gは無理だけど、10M以上では使える
固定電話なんか、今時の学生は使わない。内線が必要なら、IP電話にする(コスト嵩むが)
これで解決
ぜんぜん違う技術だと思うぞ。
いくらネットワークに詳しくても、建築関係がわかってないと。
VDSL設備がキャリアのリース品だったから、しょうがないの。
ケーブル敷設は、自分でやるわ。
無線でも、フロア10か所 x AP 2台で、学校側が電気工事屋
へ見積依頼したら、約100万って言われたみたい。
その通り。
しかも、調査した限りでは、既存の管路はどこかで詰まってる
らしく使えないので、廊下から空調用のダクトの隙間を経由させて
引き込むしか無いって事。
電話は、これまた、25 年以上前のPBX と内線電話が有ったけど
交換設備は、先に撤去してある。
(学生は携帯オンリーで、交換設備もリース品だから。)
帯域制御はテストしてみる。
RJ45 に、LAN-MJ は、安定性に問題有る。
RTXと、ケーブル敷設はぜんぜん違う。
構造的な問題も有るし、今回の学生寮にしても
最悪、コア抜きとかする可能性が大。
>安定性の面から判断して
安定や速度より今の時世優先するのはセキュリティじゃないの?
ハングアップするルータ配下にP2Pやウイルス感染しているPCとかあるのでは?
電話線用の配管は細すぎて駄目だけど。その場合はあきらめるしかないな。
cat6の芯入りケーブルなら引っ張っても強度があるので安心。
大学校の学生寮だから、その辺は学生さん自身で対処してもらうよ。
専任の管理者が常駐してる訳じゃないし、費用面から言っても常駐の
為の予算は降りないと思う。
配管は有るんだけど、電話用の配管で、25 年位前に敷設された金属管
なんだわ。(しかも、一部コンクリ埋め込み。)
主要ルートは調査の結果、通せるみたいだけど、一部、防火の為と
管内が錆で埋まってるらしく、ケーブルが通せない部分があるから
その辺は天井裏にルートを変更して、コンクリの壁をコア抜きしてもらって
複数本通す形になる。
既存配管がダメなら、別途配線すればいい
OpenSWANとヤマハルーターRTX1200のIPsecトンネル接続の話です。つなげられません。
下記の「そのまま接続できる」というのを試そうとするのですがうまくいきません。
ユーザー名認証は不要です。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_82.html >OpenswanとヤマハルータをIPsecで相互接続しようとした場合、XAUTHを使わなければそのまま接続できるが、
下記サイトをヒントにしましたが、駄目です。うまくできません。
ttp://www.shakke.com/network/vpn/yamaha-rtx1100-%E3%81%A8-openswan-%E3%81%A7-ipsec-vpn-%E6%8E%A5%E7%B6%9A/ ヤマハの設定例集にOpenSWANとの構築方法を加えてください。
あるいは、例やヒントをください。
000 #1: "testtest":500 STATE_MAIN_I3 (sent MI3, expecting MR3); none in -1s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate
000 #1: pending Phase 2 for "testtest" replacing #0
2013/09/30 01:04:58: [IKE] receive IKE message from 対向側アドレス
2013/09/30 01:04:59: [IKE] ... omitted
2013/09/30 01:04:59: [IKE] process ISAKMP header
2013/09/30 01:04:59: [IKE] respond ISAKMP phase to 対向側アドレス
2013/09/30 01:04:59: [IKE] add ISAKMP context [119] xxxx
2013/09/30 01:04:59: [IKE] main mode responder 1
2013/09/30 01:04:59: [IKE] process sa payload
2013/09/30 01:04:59: [IKE] process proposal payload
2013/09/30 01:04:59: [IKE] process transform payload
2013/09/30 01:04:59: [IKE] encryption algorithm : 3DES-CBC
2013/09/30 01:04:59: [IKE] hash algorithm : SHA-1
2013/09/30 01:04:59: [IKE] authentication : pre-shared key
2013/09/30 01:04:59: [IKE] group : MODP 1024bit
2013/09/30 01:04:59: [IKE] process vid payload
2013/09/30 01:04:59: same message repeated 6 times
2013/09/30 01:04:59: [IKE] generate proposal payload
2013/09/30 01:04:59: [IKE] generate transform payload
2013/09/30 01:04:59: [IKE] generate vendor id payload
2013/09/30 01:04:59: [IKE] generate ISAKMP header
2013/09/30 01:04:59: [IKE] send IKE message to 対向側アドレス
2013/09/30 01:04:59: [IKE] receive IKE message from 172.24.250.38
[IKE] receive IKE message from 対向側アドレス
[IKE] process ISAKMP header
[IKE] no SPI is specified.
[IKE] no proposal chosen : no message
なにが間違っているんでしょう
あまりにも情報が少なくて、つらい
もう辞めてしまいたい
configも貼らずにエスパーしろと?
RTX1000 RTX1500ともOpenswan繋がりましたよ
しかし、どうすれば、SPIとかいうトンネル指定子を、OpenSWANにしゃべらせれば良いのでしょう。
メインモードで必要なお互いのIPなどの情報が何か間違っているんでしょうか。
RTX1200側はこうなっています。テスト環境なので、10.1.0.0/16と、10.2.0.0/16をプライベート空間に見立てています。
192.168.1.3はRTX1200のグローバルアドレスのつもりで、172.24.250.38はCentOS6のグローバルアドレスのつもりです。
上のログで、対向側アドレスとは、172.24.250.38のことです。
ip vlan8 address 192.168.1.3/24
ip vlan8 secondary address 10.1.0.1/16
tunnel select 10
ipsec tunnel 10
ipsec sa policy 10 10 esp 3des-cbc sha-hmac
ipsec ike encryption 10 3des-cbc
ipsec ike esp-encapsulation 10 off
ipsec ike group 10 modp1024
ipsec ike hash 10 sha
ipsec ike keepalive use 10 on dpd
ipsec ike local address 10 10.1.0.1
ipsec ike local id 10 10.1.0.1
ipsec ike log 10 key-info message-info payload-info
ipsec ike payload type 10 3
ipsec ike pfs 10 off
ipsec ike pre-shared-key 10 text blurblurblur
ipsec ike remote address 10 172.24.250.38
ipsec ike remote id 10 172.24.250.38
ipsec auto refresh 10 on
ip tunnel tcp mss limit auto
tunnel enable 10
ipsec auto refresh on
type=tunnel
authby=secret
auth=esp
#ike=aes256-sha1;modp1024
#phase2alg=aes256-sha1;modp1024
ike=3des-sha1-modp1024
phase2alg=3des-sha1
keyexchange=ike
pfs=no
ikelifetime=8h
keylife=1h
compress=no
##local CentOS6
left=172.24.250.38
leftid=172.24.250.38
leftsubnet=10.2.0.0/16
leftsourceip=10.2.0.1 ・・・・eth0:0エイリアスに設定しています。
##remote RTX
right=192.168.1.3
rightid=10.1.0.1
rightnexthop=%defaultroute
rightsubnet=10.1.0.0/16
#dpddelay=5
#dpdtimeout=20
#dpdaction=restart
auto=start
また明日も希望をもってがんばります
障害多すぎるけど、何とか頑張ってみるわ。
各フロア・各個室単位でブレーカー経由してるけど
取り敢えずはテストしてみるわ。
がんばれ。相互接続はめんどい。
rtx側ののremote idとlocal idを外してみる。
だめなら、local(remote) id を10.1(2).0/16 と、ネットマスク付きにする。
もしあれば、10baseのハブを挟むと、簡易帯域制御になります。
励ましありがとうございます。
アドバイスいただいた remote and localの id について、
外したり、ネットマスクつきにしたり、いじくりましたが、うまくいきませんでした。
まだ他に誤りがあるようです。
がんばります。これさえ終えられればちょっと息抜きできます。
あせってもしかたないので、あせらずに取り組みます。と、自分に言い聞かせます。
RTX1200のログに、のログが出てきますが、
逆にRTX1200から、ping 対向ローカルアドレスして、tunnelを作らせようとした場合は、
RTX1200のログには、
”send IKE message to 対向側CentOSマシンアドレス” が表示されるだけでした。
対向側からの応答がないようです。CentOS側が応答してくれないようです。
一度、CentOS - CentOSで、IPsecトンネルを構築してみたいと思います。
何か気づくことがあるかもしれません。
「亀さん、いちどブルートレインに乗ってきてくれないか」
以前は、いちいち乗る必要ないだろと思っていましたが、
ここにきて、実際にやってみることの重要性がわかります。
RTX1200とOpenSWANつながりました。
ありがとうございました。
それぞれのパラメタをいじっていたら、RTXのログの内容が変化してきて、
最後に、OpenSWANのsecretsファイルの内容が間違っていたことに気づいて、修正しました。
まだ納得できないところがあるので色々とパラメタをいじってみたいと思います。
とりあえず、「戻れるところ」ができました。
また報告します。
本社側にYAMAHARTX1000、拠点5か所にRTX1000,RTX1100を配置して、
IPSECのインターネットVPNを構築したのですが、本社側を最近RTX1500に入れ替えたところ、
一定時間後に拠点側から通信ができなくなるという事態になっています。
本社側は固定IPで拠点がわは動的に変わる一般的なインターネット契約です。
いろいろ調べているのですが、ルータをリセットすると数時間以上は正常なのですが、
次の朝、拠点に出社すると拠点側から通信が出来なくなっています。
本社側から見ると、トンネルは正常にとおっているように見えます。
キープアライブはお互いに打ち続けており、LOGに残っています。
でも拠点側からPINGを打っても通じないのです。
そこでルータの電源を入れ直して再起動すると、正常になります。
が次の朝には切れています。
SAの寿命と関係がありそうだったので、SAの状態を見ていると自動的に生成されて交換されている正常に見えます。
LOG上に通信が切れた形跡がないのに通信ができない状態ってなんでしょうか?
直接の回答になってないけど、ファームウェアのバージョンは最新?
最新ではないです。
でもかなりあたらしいほうです。Rev 8.03.90 です。
最新は8.03.92のようですけど。
各拠点のルータも導入時期によってファームのバージョンは違います。
話はそれからだ。
物理的に離れた拠点のファームをそろえるのは、そう簡単なことでは無いですよ。
北海道から沖縄に行くのは大変だと思うけど
担当を任されているなら、そこら辺も考えておくべきだったね
構築完了後の運用や保守までやる必要はあるんだから
1.手順書の作成
2.現地の社員にファームアップして貰う
ここら辺が現実的だね
http revision-up go
を実行しろ。
話はそれからだ。
なんのためにリビジョンアップのコマンドがあるんだよ
ある意味正しくはあるが・・・
そっちにつながってしまったりします。ケーブルと現物を物理的にご確認ください。
pingを本社のrtxのlan側アドレスに打たれたとするとすると、
リンクダウンしてるインターフェイスについて、1000は応答を返さない仕様のはずです。
まあ、605はそうみたいだが、デフォルトだと許可されている。
ISDNもデフォルトでは接続可能だが、
今時は接続されていないケースも多いかな。
優先順位はトップ。
冷や汗かくのはごめんだ。
昔ほど困難はすくないと思うがね
インターネットまでちゃんと接続で来てればな。
それ以前の部分だと、どうしてもISDNに頼らざるを得ない。
RTX1200ならひかりネクストのデータコネクトもあるんだが。
他の設定なら
コマンドラインだとセーブしないと電源リセットでなんとかなるし
ttp://engawa.2ch.net/test/read.cgi/mysv/1378206285/133-141
重すぎて show status pp 1 すらなかなか見れないのですが、
たまたま見れたとき、120万バイト/秒 くらいでした。
(多少は緩和するかと思って lan type lan2 10-fdx した結果で)
これはルーター側ではなんともならなくて、上流(ISP)に相談するしかないですよね?
NATディスクリプタ機能 概要
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html >ICMPのEcho Requestのときには、無条件にEcho Replyを返します。
とあるのですが、Echo Request を内側のパソコンに転送させることはできないでしょうか。
nat descriptor static 1 1 192.168.x.x icmp
として、Echo は届かないぽいのですが。
そのページの4.7を見る限り無理そう。
>外側アドレスに対して外側からpingを実行するときには、
>NATディスクリプタの設定内容に関係なく、
>常にルーターが返事を返す仕様になっています。
まあISPに相談して対応してもらうしかないかなー。
WAN側にミラーポート設定できるスイッチを挟めば覗くことはできるだろうけど。
小さい通信工事屋に所属してるから、客もショボイ(暴言か)
解決までの流れを勉強したいから、暇なときに報告貰えるとありがたい
最新のYAMAHAのファイアウォール専用機(赤い狂態のやつ)だったら、
たしか、パケットが入力される前段階で、はじくらしいから、
処理能力が低下することがないとかあるとか・・・
LINUXとかのIPTABLESだったらやっぱり、大量ドロップ処理でもCPU食いつぶされるのかなあ。
rt.57と107やrtx1000は能力低すぎて、DoSやp2p喰らうと即死するし。
今時の3000円位のルータや無線APの方がパケット転送能力は高い。
ファイアウォール機はシグネチャ対応も無いし、なんちゃってですよね。
すみません、DDoS攻撃は自分の蒔いた種のようでした
高負荷でRT57iがパケットロス、送り元がロス検知して再送
が超加速してた模様でした。
show status pp 1 の上では受信できていたのに
その後ろの Dynamic Filter や NAT の付近で、たぶん CPU が追いつかず・・・かなと
しっかし、再送も積もり積もるとトンでもないことになるんですね
高速道路でも、誰か1台の踏んだ急ブレーキのせいで
どんどん後ろに連鎖が続いてあっという間に大渋滞、ってありますが、まさにそんな風でした。
最初はそれでも落ちるので、/8の単位で適当なセグメントを reject
(いったん落ちるとセッション切断・接続が動いて
その間の未達パケットの再送が再接続後に集中して悲劇的な結果になる)
RT57iだとCPU負荷が見えないのですが、RT107e では見えるので
数分たって50%を下回ったあたりから /16 の単位で pass に切り替えて
概ね30%前後になったところで、reject 解除
今は 30-40% で遷移中。
ただし、いったん回線が切れると、たぶんやばいことになりそうな気が・・・
RTX1200あたり検討します。
ちなみにRT57iの仕事は、DNSサーバーのパケット転送です。
セカンダリDNS建ててないので、これも一緒に検討です。
DNSサーバーの転送と書きましたが、外から飛んでくるパケットに応対するほうです。
(公開DNSサーバー)
DNSのパケットって、TCPと違ってかなり細かいと思いますが
やっぱ、この手のサイズは小さいパケットが大量に押し寄せてくるって用途には
かなり高価なルーターじゃないと厳しいものなのでしょうか
高負荷時なんかは、Ciscoのほうがちゃんと処理できる。コンソールもきちんと反応する。
値段の差よりも、用途にあって無さそう。自分ではYAMAHAは予算の無いVPN位でしか選択しない。
他メーカーのUTMとかの方が良くない?
ヤマハのルーターは不特定多数向けに公開するサーバーの手前に
置くには不向きだよ
ファストパスの仕様上、処理できるパケット数の限界を迎えると性能が悪化する
ttp://www.rtpro.yamaha.co.jp/RT/docs/fastpath/ 想定するパケット数次第だけど、場合によってはVyattaなどPCベースの方が向いている場合もある
その場合、特にハードウェアの保守は期待できないけど
>ちなみにRT57iの仕事は、DNSサーバーのパケット転送です。
>
>DDoS攻撃は自分の蒔いた種のようでした
>高負荷でRT57iがパケットロス、送り元がロス検知して再送
>が超加速してた模様でした。
>
>いったん落ちるとセッション切断・接続が動いて
>その間の未達パケットの再送が再接続後に集中して悲劇的な結果
>
>RTX1200あたり検討します。
>セカンダリDNS建ててないので、これも一緒に検討です。
DNSサーバを公開したら、そんなやばいことになるんですか。
どれだけリクエストがあるんですか!!
貧弱なマシンでは耐えられなさそうですね。
あるいは、DNSサーバの設定を変えて、キャッシュ時間を長くとかできますか?
>場合によってはVyattaなどPCベースの方が向いている場合もある
専用ハードにはぜったいに負けると思ってましたが、
それは、あるいは、なにかソフトウェア的な仕組みが違うことによって有利な点があるってことでしょうか。
つまり、カーネルのnetfilterが優れているってことでしょうか。
もちろん、蟹さんnicなんて使っていたら、cpuが食いつぶされてしまいますよね。
intel nicを2枚つかって、cpuに負荷をかけないことを前提として。
ソフトの差というよりCPUの価格差かな
汎用CPUなんてクロック単価が安いから物量でぶん回す方が早かったりする
NICはドライバの出来次第かな
専用ハードの利点は保守と寿命かな
なるほど、ぶん回せますよね。多コアの3GHzくらいのAM3+なんかのCPUで。
今のご時勢、電気代心配・・・(100Wにはなりますものね)
専用ハードはやはり高寿命、低消費電力ですよね。
特定の攻撃に対して一定の対処をするという用途にルーターを適用するのこと自体が不向きだよ
同じ価格帯ならソニックとかFortiとかそのへんの方がましでないかね。
最近のUTMはあんまり使ってないけど、以前よりハード性能も上がってるし
価格に対しての限界値はかなりあがってるはず。
NTT西のフレッツネクストの無料のIPv6オプションを有効にして、ルーターに
ipv6 prefix 1 ra-prefix@lan3::/64
を施したんだけれど、これだけだと、もれなく全国公開になっちゃうんですよね?
細かい設定ができるまでの間は、とりあえず
ipv6 lan3 secure filter in 10000
ipv6 filter 10000 reject * * * * *
やってけば大丈夫ですか
とttp://engawa.2ch.net/test/read.cgi/isp/1374220315/318
『無料の IPv4 over IPv6』とは、JPNEの「v6プラス」?
それともBBIXの「IPv6 IPoE + IPv4 ハイブリッドサービス」(Y!BB光のIPv6高速ハイブリッド IPv6 IPoE + IPv4)?
v6プラスなら400シリーズのNTT東西純正HGWをレンタルして使うことになるし、
@niftyでは、NTT西であってもひかり電話の契約が必須条件らしい。
ひかり電話契約ありでHGWを使う場合は、HGWのIPv6ファイアウォール機能
(SPI(動的フィルター)、IPv6パケットフィルタ(静的フィルター))が使えるよ。
この場合、ヤマハルーターはHGWからPDを受けることができるから
ipv6 prefix 1 dhcp-prefix@lan3::/64
だね。
細かいこと分からないけれど
ネクスト利用してる拠点それぞれのルーターに IPv6 を割り当てて
そのルーター間で IPSec 張って IPv4 なパケットを流して
いわやるフレッツアクセスみたいなことが出来ると聞いてチャレンジ開始したとこ
フレッツアクセスみたいな、閉じたグループという概念はなく
ネクスト利用者すべてが相互に通信しあえると聞いたので
とりあえず設定が怪しいうちは、reject なフィルターを書いておかないと
無関係な人からもパケットが来てしまうのではないか?って思った次第
WEB GUI画面に、コマンドを入力して設定ができるようになっているよね。
GUIからコマンド入力できて便利だと思って、TELNETのときのようにして、
restart と入力したわけなんだ。
再起動して立ち上がってくることを期待していたのに、一向に復帰してこない。
GUIからの操作もできなくなって、TELNETからも受け付けないまま。
おかしいと思って、手持ちのRTA55iで同じことをためしたら、
なんと、ぜんぜん再起動の気配なし。で、そのままフリーズしてしまっているんだ。
最悪でしょう。
こんなことで、いちいち遠隔地まで行く羽目になってしまいました。
いつもやらないへんなことはやらないようにしましょう。
バグを引き起こすようなコマンドは入力できないようにしていてほしかったよ・・・とほほほほ
ため息でる。
GUIに、赤字で、restartします って表示された!
じゃあ、なんでフリーズしているのだ!!タイミングが悪かったとか?
もうヤダ。
遠隔地のRTX1200から、ローカルネットワークでRTA55iにtelnetで入れました。
(ルーティングが必要なところからは、たしかにアクセスできなくなっていました。)
その後、restartできました。
RTX1200で、show arp すると、RTA55iは残り時間のあるそれまでのアドレスを捨てて、
別のIPv4アドレスを新しく取得していました。
とりあえず、遠隔地まで行かずにすみました。ルーティングも正常です。
バグだったのかな?
内蔵のIPv6ファイアーウォールがデフォルトで有効であり、
初期設定が 「NGN内の通信のみ着信許可」 の設定になっているので
IPoE型のv6インターネットに加入しても、NGN以外のv6インターネットからは
着信方向のパケットは全破棄になるよ。
>初期設定が 「NGN内の通信のみ着信許可」 の設定になっているので
NGNユーザー間は、他人どおしでも全通なのか
まるで、ヤフーADSLの初期のころだな
局側がスイッチングハブで分岐しただけの構造で、加入者間どおし筒抜けだったという
RTX1500ですがIPSECのトンネルは正常に繋がっており、ルーティングも正常なのに、
対向ルータにpingが飛ばなくなることってありますか?
ルータ起動時は正常なのですが、8時間くらいで反応が無くなります。
SAの更新もされているのですが。
ルータを再駆動すると正常にもどります。
NVR500をホームユースで使うレベルに見合う有線ハブってどんな感じですかね?
BuffaloとかLogitecとかは嫌なので…。
普通のL2SW(ノンインテリジェント)で良いのなら、これはどう?
値段は8ポート機でおおざっぱに1万円ぐらい。
ttp://www.allied-telesis.co.jp/products/list/switch/gs900lv2/catalog.html 同じヤマハの SWX2200-8G ならいろいろ遊べて面白いのかも知れないが、
値段がもう1万円ぐらい上がる。
板違い
お勧めのスイッチングハブ 25port目【Hub】
ttp://toro.2ch.net/test/read.cgi/hard/1371368325/
MLD(ひかりTVや家庭用USEN SOUND PLANET-i HOME MIX等)を使うならGS908M V2
MLDを使わないならGS908L V2
SWX2200シリーズはMLDスヌーピング非対応
確かにその通りだけど、IPv6オプション契約しなければNGN内の折り返しはできないからね。
初期セットで一定の制限が有効なだけましなんじゃないかとおもってる。
それ東日本だけのはず。
調べてたら同じエラーで書けない人のスレを見つけて、
【RequestTimeoutや500 Internal Server Errorで書き込めない人のスレ】
ttp://engawa.2ch.net/test/read.cgi/accuse/1379133373/64
RTX1100でL2TP/ipsecつかってるからどうやらVPN規制に該当したらしい。
(VPN経由でなくて自宅のLAN内からでも書き込みできない)
この中のさんの↓の対策を設定したのです・・・、
> 書き込みエラー対策、ここまでの情報収集まとめ
> 206.223.144.0/20
> 207.29.224.0/19
> からの
> 443/tcp
> 995/tcp
> 1723/tcp
> GRE(プロトコル番号47)
> 接続を拒否(フィルタリング)する。
> # 手っ取り早く設定する場合は、ルーターの443ポートを閉じるだけでも良い。
> # 443ポートを閉じた場合、外部からhttpsで接続できなくなるので443で
> # 鯖運用している場合は使えない手法だが...orz
ip filter 1010 reject 206.223.144.0/20,207.29.224.0/19 * tcp https,995,1701,1723 *
ip filter 1011 reject 206.223.144.0/20,207.29.224.0/19 * gre * *
pp select 1
ip pp secure filter in 1010 1011 (←実際は他のフィルタも記述してます)
こんな感じで(使ってないけどHTTPSと)VPN関係をフィルタを追加したつもりなのですがまだ書けません。
間違ってるところ教えてください、お願いします。
9/27のナイスパパを最後に途絶えてるんだけど
終わってないよ。
今までも1ヶ月以上投稿がなかったことがある。
ttp://yne.force.com/ こっちに流れてる感じ
MLに流れてくるのをダラダラ眺めてるだけでも色々と勉強になることがあったりと楽で便利だったんだが
そういう見方するにはSNSって今ひとつ不便なんだよな
× ip filter 1010 reject 206.223.144.0/20,207.29.224.0/19 * tcp https,995,1701,1723 *
始点ポート番号じゃなくてこっちの終点ポート番号を指定しないと意味なかった
○ ip filter 1010 reject 206.223.144.0/20,207.29.224.0/19 * tcp * https,995,1701,1723
もっと別に問題があるとスルーしていたわ
フィルタルールの入力は、コンソールでtab補完しながら、ヘルプ見ながらするから、
パッと見てハッとこなかったわ
俺がポストしたもの、流れて来ない
おまいらにも届いてないだろ?
投稿がかなり空くことは今までもあったよ。
IPSECインターネットVPN問題なく出来ますか?
以前西日本のフレッツ光ではIPSECVPNできないと聞いたことあるのですが・・・
上の方のレスを見てみて、
問題がないとは言えないことが散見されるよ
できるはず。というか、できない理由が思いつかない。
> 西日本のフレッツ光ではIPSECVPNできないと
聞いたことないよ。
ipv6のユニファイドアドレスが変化しないとは言い切れない点について
PPPoEには固定プレフィックスのサービスも存在するし、
半固定/非固定のサービスやIPoEでやるならDDNSサービスを使えば良い。
IPv4 PPPoEでの固定アドレスならi-revo アクセスが月額料金525円(税込)。
それに、意図しないIPアドレス/プレフィックスの変更は
『西日本のフレッツ光』に限ったことではないよ。
VPNの相手側もNTT西日本のフレッツ 光ネクスト/光マイタウン ネクスト/光ライトなら
ISPの契約すら不要で、インターネットを介さずにNGN内で完結するVPNが構築できる。
この場合、名前解決には「ネーム」が使える。
ISPの個人向け契約によくある、単位時間あたりの送信容量を制限する規定は、
NGN内の通信には設けられていない。
NTT西日本専用・フレッツ光ネクスト総合★13
ttp://engawa.2ch.net/test/read.cgi/isp/1378501742/
>ISPの契約すら不要で、インターネットを介さずにNGN内で完結するVPNが構築できる
>名前解決には「ネーム」が使える
この「ネーム」って、何を解決するためにあるの?
IPv6のフルアドレス?それとも、Prefixのみ?
もし、IPv6の64bitのフルアドレスだとしたら、ホームウェートウェイ自身のLAN側アドレスのこと?
だとしたら、どうやってその名前解決によって、RTXは対向のRTXのアドレスを知れますか。
多分、Prefixのみの解決なんだろうと思うんだけど。
フルアドレスだよ。
元々はNGNを使ったNTTの提供するサービスのために作られたと聞いている。
お察しの通り、そのネームを使って対向ルータのアドレスの解決が可能だよ。
上の方みたらそれらしいこと書いてるからみてみたら?
ああ、IPv6アドレスが一個だけ、ネームリゾルバに登録できるっていうことか
ホームゲートウェイからRTXがDHCPで取得したIPv6アドレスを、ホームゲートウェイのログで確認して、
それをNTTのリゾルバに登録するってことでいいかな。
ホームゲートウェイ(HGW)を介在させていて、尚且つ、ひかり電話を契約している場合に
RTXがHGWからプレフィックスを取得する方法は、RAとDHCPv6-PDの2つ。
HGWのDHCPv6サーバー機能はPDの機能を持っているけど、
128ビットのIPv6アドレスを払い出す機能は無いよ。
RTXのIPv6アドレスの確認はshow ipv6 addressコマンド。
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/showconfig/show_ipv6_address.html 尤も、ipv6 interface addressコマンドでサブネットIDやインタフェースIDを明示的に
指定するだろうから、それを覚えていればHGWの「DHCPv6サーバ払い出し状況」を見て
RTXのIPv6アドレスを導き出すこともできるわね。
そんなメール来てないな、と迷惑メールBOXを確認したら見事に迷惑メール扱いされてた
MLのメールが来ないって人は同じパターンかも
”ネーム”に自動的に登録するような機能が、RTXにあれば楽なんだけどね
ttp://engawa.2ch.net/test/read.cgi/network/1106498099/468
NTT西日本のフレッツ光でIPSECが張れない話は、再度調べたら2009年ごろの話でした
しかも光プレミアムでCTUを使っている場合でした。
以前はCTUでpppoe接続が出来なかったらしいのですが、ファームウェアが上がり、
CTUをモデムのように使うことが出来るとのことで今は問題ないようです。
今回使用するのは光ネクストなので最初から問題ないようです。
大変お騒がせいたしました。
初期設定の違いだね。
はじめから出来るよ
ついていなかったはずだぞ。
そのため、自営のルーターが使えず、使えるようになってからもしばらくは
NW屋はプレミアムの積極的な採用を避けた。
ipsecを使っていたなあ
応用が大切
公式サイトのマニュアル、設定例を見ていると
ip lan1 address 192.168.0.1/24
ip lan2 address 192.168.1.1/24
ip lan3 address 192.168.2.1/24
この設定でlan1, 2, 3同士がルーティングされると思います。
lan1からlan2, 3へ通信する時にアドレス変換をしたい場合
nat descriptor type 1 masquerade
ip lan2 nat descriptor 1
ip lan3 nat descriptor 1
こう書けば動きますか?
descriptor番号を変えないとだめでしょうか。
ヤマハネットワークエンジニア会
ttp://jp.yamaha.com/products/network/special/yne/ 実機を所有していなくても、インターネットを通して実機検証可能
ttp://yne.force.com/ そんなのは求められていない
LAN2 と、LAN3のネットワークもlanアドレスも異なっているので、
当然、それぞれに掛けるマスカレードは、OUTERアドレスの異なったものになりましょう。
だから、OUTERアドレスを設定することを考えれば、
nat descriptor type 1 masquerade
nat descriptor type 2 masquerade
のように、違った定義を行って、LANインターフェイスそれぞれに掛けてやったほうが自然のように思った。
そのくらいのことはカンタンにできるから、
購入してみればいいよ。
RTX1200だと間違いない。ちょいと高いけど。RTX1100は将来性がないから駄目だからね。
買ってからも、色々試す必要があることは変わりないよ。
BY RTX1200ユーザー
RTX1500も駄目だよ。
番号は小さいけど、RTX1200の方が新しい機種だからね。
正会員 有料!って?何!
何をしてくれるの?
まずは買ってみて遊んでみよう!
# ちなみに個人的にNVR500を買っていじっているけど
# このVLAN機能はいわゆるタグVLANなんだね。ポートVLANが使えなさそうで悲しい
# ちょっと予算増やしてRTX810かFWX120にしなかったことを少し後悔
参加すると、情報交換や、仮想環境での実機検証システムが使える。
将来は有料のものが現れてくるらしいぞ
拠点のそのIPv6アドレスが変わった場合に通信不能になる問題がありましたよね。
NTT網のネームというDNSのような機能を使えば、プリフィックスの変更にも対処してくれるとかないとか言われています。
しかしそれでも完璧ではありません。プリフィックスよりも下のアドレスビットが変われば駄目だからです。
そこで、別にダイナミックDNSを使えばよいという案がありました。
しかしNGN網だけで通信を終端している場合、インターネット接続環境にはないので、
そういうダイナミックDNSの類も使えません。
以前のメーリングリストを読んでいたら、同じことを考えている方がいました。
yamahaのネットボランチDNSを拡張されて、NGN網で使えるようになれば良いだけの話なのです。
NGN網でもネットボランチDNSを運用してください!
さて、この件について、
NGN網って、NTT東と西とで分離されているのでしょうか。
その場合、相互に通信することは不能なのでしょうか。
そうすると、NGNのためのネットボランチDNSは、両方の網それぞれに設置しなければならなくなりますよね。
yamahaの基地局が東日本管内にあるなら、カンタンにはできないのかもしれないなと思いました。
でも、みなの将来のためにがんばってほしいです。よろしくお願いします。
網内だけで使えるIPv6アドレスは、NTT専用のアドレスですよね。(1)
他に、インターネットとの通信で使えるIPv6アドレスもありますよね。
これは、ネイティブIPv6方式とかいうのだったと思います。
プロバイダに代わってNTTが配布するものだと思います。(2)
この、(1)のIPv6と、(2)のIPv6って、互いに通信できるものでしょうか。
それから後者のIPv6アドレスって、プリフィックスは変化するのでしょうか。
これが、互いに通信できて、かつずっと固定的にクライアントに割り当てられるものなら、
もしも、yamahaのNGNIPv6用ネットボランチDNSが運用されるような場合には、有効だと思いました。
yamaha側のそのDNS環境でこの固定的に割り当てられるIPv6を使えば、
クライアント側では、そのIPv6アドレスをRTXのファームウェアに書き込んでいても大丈夫だと思うからです。
これだと、現行のネットボランチと同じスタイルではないかなと思いました。
他に、技術的には、何か難しいことでもあるのでしょうか。
しか無いだろ。
> プリフィックスの変更にも対処してくれるとかないとか言われています。
西は、東は
ttp://enog.jp/wp-content/uploads/2013/08/ENOG22_Fletsv6opt.pdf#page=33。 > プリフィックスよりも下のアドレスビットが変われば駄目だからです。
インタフェースIDとサブネットIDを固定値で運用すれば良い。
レンタルのHGWは電源を切ってもPDのアサインテーブルを記憶しているから、サブネットIDの変化は滅多に起きない。
それさえも懸念するなら
・レンタルのHGWを使わずに、ヤマハルーターをUNIに直結する。
・レンタルのHGWを介すなら、ipv6 lan2 address ra-prefix@lan2::1/64
・他のセグメントに設置したければ、セグメント間を繋ぐルーターはRAプロキシで運用する。
・他のサブネットに設置したければ、「任意のルーターに対して任意のPDを行えるルーター」(NECのUNIVERGE IXシリーズ等)を介在させる。
など工夫する。
グローバルルーティングプリフィックスの長さ(/56 or /48)の変更は滅多に行われないし、それが行われる時には公式な工事情報で事前告知される。
ttp://www.logsoku.com/r/network/1297147004/533-552 > しかしNGN網だけで通信を終端している場合、インターネット接続環境にはないので、
それは利用者の都合。インターネットに接続しましょう。
> NGN網でもネットボランチDNSを運用してください!
「ネーム更新機能をヤマハルーターに実装する」ことと、「ヤマハ社がNGNでDDNSサービスを運用する」こととでは全く異なる。
後者を実現するにはヤマハからNTT東西への費用の支払いが発生することになるが、それをどうやって賄う?
NGNのオープン化が実現された暁にはそのハードルも下がるだろうが、現段階での実現は無理だと思う。
> NGN網って、NTT東と西とで分離されているのでしょうか。
基本的には分離されていて、公式には直接通信できないことになっている。
ただ、このスレの住人さんによると、地域IP網の時代には東西間が繋がっていて、
西のBフレッツ+フレッツ・v6アプリ若しくは光プレミアムと東のBフレッツ+フレッツ・ドットネットとの間で
特定のポート番号に限って直接通信できたそうなので、NGNでも非公式な抜け道が存在するかもしれない。
それを匂わせる記述が、広域イーサ ネクストのページに存在する。
ttp://www2.softether.jp/jp/ethernext/flets/ > この、(1)のIPv6と、(2)のIPv6って、互いに通信できるものでしょうか。
できる。
> それから後者のIPv6アドレスって、プリフィックスは変化するのでしょうか。
まずはこれを把握しよう。
ttp://www.iij.ad.jp/company/development/tech/techweek/pdf/tw2011_08_ipv6_1.pdf#page=11 IPoEはNTT東西やISPやIPoE接続事業者(VNE)によらず、一律で半固定的割り当てのみ。
IPv6 PPPoEはISPによって、完全固定、半固定、非固定それぞれのサービスが存在する。
フレッツのサービス内容に関する質問は適切なスレでお願いします。
NGNについてアホ共が永遠に語り合うスレ#02
ttp://engawa.2ch.net/test/read.cgi/network/1264777970/
東NTT東日本フレッツ光ネクスト総合スレ part8
ttp://engawa.2ch.net/test/read.cgi/isp/1352059256/
NTT西日本専用・フレッツ光ネクスト総合★13
ttp://engawa.2ch.net/test/read.cgi/isp/1378501742/
くわしい
>後者を実現するにはヤマハからNTT東西への費用の支払いが発生することになるが、それをどうやって賄う?
>NGNのオープン化が実現された暁にはそのハードルも下がるだろうが、現段階での実現は無理だと思う。
なるほどなと思った。
ぜひとも、NGNがオープン化されて、ネーム更新機能がオープンになったときに、
YAMAHAがネーム更新機能を実装して、この問題を対処してくれるようになることを期待します。
レスありがとう。
通信建設配下から自営に転職したんで5年くらい見てなかった
ちょうど良い機会だからアホどものツラを拝みに行くか
鏡見とけよ。
って、俺だけが、冗談が通じない!?
30代
40代
PPにIN方向REJECTフィルタを掛けて様子を見ていました。
動的フィルタを掛けて開くように設定したので、インターネットからのつじつまの合わないパケットは、
すべてリジェクトされるようになっています。
すると、CONNECT してすぐに、
LOGに、REJECTログが現れました。
次から次へと、TCPポートにやってきました。
1433やら、135やら、23やら、25やら、3389やら、59903というのもありました。
前に使っていたところは、こんなひっきりなしに、ウェルノウンポートを叩いてこられることはなかったように思います。
攻撃者は何か、脆弱未確認リストのようなものでも持っているんでしょうか。
このまま時間が経過すればあきらめて皆去っていくんでしょうか。
応答が帰ってきませんでした。
REJECTされていました。
たしか以前の「仕様」だと、ICMPをREJECTしようと思えば、
マスカレードがある場合には、静的NATを設定してICMPを内側アドレスに転送してから、
これをフィルタするという方法をとらなければならなかったと思うんです。
RTX1200になって、仕様が変わったんでしょうか。
インターネット定点観測レポート(2013年 7〜9月)
ttps://www.jpcert.or.jp/tsubame/report/report201307-09.html FWX120とSRT100のポリシーフィルターはICMPも扱うけど、
RTX1200を含むその他の機種の動的フィルタはICMPを扱わないよ。
定点観測レポートありがとうございます。
だいたい同じポートへのノックが多かったです。
さっき、NATマスカレードで、外部アドレスを全部閉じました。
もうログに載らなくなりました。
>RTX1200を含むその他の機種の動的フィルタはICMPを扱わないよ。
ということは、内側ネットワークのクライアントが、pingでリクエストしても、
普通はレスポンスが帰ってこないってことでしょうか。
自分です。
勘違いしてました。
外部アドレスからRTXにpingを打った場合でした。
その場合、何も設定がなければ、RTXはリプライしてしまうことでした。
対策として、のように、icmpをRTXローカルアドレスにフォワードしてから
REJECTするということでした。
これも自分なのですが、
ところで、動的フィルタは内側クライアントのpingによるリクエストを処理しないということですが、
ppなどの入力の静的filterでicmpを許可するする必要があるってことですよね。
icmpのタイプなども指定できるんでしょうか。この場合は、リプライなので、0番だと思います。
icmpを処理するかどうかの点で言えば、linuxのnetfilterのステートフルインスペクションの方が優れていますね。
言い忘れです。
いずれにしても、ipマスカレード環境では、
内側クライアント個別のicmpリクエストは正しく処理されないことになりますね。
外部アドレスは一個なので。
もしも、udpでicmpをカプセル化するような仕組みがあれば別ですけど。
Nov 1 22:54:26 192.168.254.254 [HTTPD] Illegal Request (TCP Connection failure, 192.168.254.253)
機器↓
192.168.254.254 -> RT107e
192.168.254.253 -> Buffalo Router
(debugレベル) 異常系
ホストから誤ったアクセスがあり、処理を中断しました。
だそうだよ。
誤ったアクセスって何か分からんけどRJECTログで表示されるのかと思ってた。
Buffaloのルータが何をアクセスしてるのかが気になるけど何か調べる方法ないかな?
×
○
ネットワークサービス解析
を無効に
PCから telnet 192.168.254.254 80
エンターエンターエンター で、同じようなログが出せます。
バッファローがなにかまさぐってるんでしょうね
httpはオフにしてるんだけど、telnetで同じ結果でたわ。
同じことをBuffaloのルータがやってるとか意味がわからんけど
とりあえずネットワークサービス解析オフにしておいた。
うちも無線APに牛を使ってるから気をつけないといかんな・・・
明示的にrejectしてログ取ってみるか
ネットワークサービス解析
TOP画面の「ネットワークサービス一覧」でLAN側ネットワーク内のネットワーク機器情報を取得することができます。 初期値は、[使用する]です。
まーそんなことより、RT107eがhttpをoffにしてもport80を受け付けてる事がわかったのが収穫だ
フィルタ設定1行追加しておくかな
rtx1100でのl2tpのリモートアクセスハマってしまったので知恵を貸してください
状況はこの方の感じが近いです
ttp://hoshiya.biz/blog/2012/12/vpn-1.php 問題としては
常にパ ケットをVPNトンネルに流しておかないと、接続はあっても『まるで切断されたかのよう』になってしまう事です
vpnクライアント→(倉庫)フレッツ光+動的ip
win7+os標準のl2tpクライアント
AssumeUDPEncapsulationContextOnSendRuleは2で設定
vpnホスト→(事務所)フレッツ光+動的ip(dynamicDDS)
win2008
vpnの接続後
共有サーバにpingを打ってもlossする場合もあり
フォルダも開けたり開けなかったり
接続直後にpingを打ち反応が返ってくる時は打ち続けると通信は安定して出切るようになり
ファイル共有なども問題なしという状況です
まずは状況をと思い、configが必要でしたら追って貼り付けます
心当たりとかはありますでしょうか?
サーバが混み合って見れない
Config見せて〜
OpenSWANから、RTX1200への接続はエラーなくうまくできるようです。
しかし、ipsec reflesh saコマンドで、saを空にして、
RTX1200からOpenSWANへ接続しようとすると、OpenSWANのログにエラーがでて、拒絶されます。
Nov 11 14:50:58 localhost pluto[8066]: "openswan.rtx" #4: the peer proposed: 172.24.1.3/32:0/0 -> 192.168.1.3/32:0/0
Nov 11 14:50:58 localhost pluto[8066]: "openswan.rtx" #4: cannot respond to IPsec SA request because no connection is known for 172.24.1.3<172.24.1.3>[+S=C]...192.168.1.3<192.168.1.3>[+S=C]
Nov 11 14:50:58 localhost pluto[8066]: "openswan.rtx" #4: sending encrypted notification INVALID_ID_INFORMATION to 192.168.1.3:500
エラーから、IDの問題だろうかと思って双方のID設定をいろいろといじりましたが、
うまくいきません。
次のページには、RTXからOpenSWANへの接続がうまくできないとの旨が書かれています。
ttp://www.halrroc.org/doku.php?id=hardware:yamaha RTXからOpenSWAN方向への接続はあきらめた方がいいでんでしょうか。
もうそろそろお手上げです・・・
XAUTHなんてつかっていません。
拠点間接続、普通のメインモード接続です。
次のヤマハページに相互接続できるって書いてあるんです!RTX→OpenSWAN方向への接続開始ができないのが悔しい!
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_82.html >OpenswanとヤマハルータをIPsecで相互接続しようとした場合、XAUTHを使わなければそのまま接続できるが
(注意、XAUTHを利用してもファームアップデートで接続できるとのことです)
相互接続といえば、両端から接続を開始できるという意味ですよね。
できるものならがんばります。できないものなら時間が無駄なのであきらめます。
よろしくおねがいします。
l2tp keepalive
l2tp tunnel disconnect time
辺りじゃないの?やったことないからわからんけど
l2tp keepalive log onとかにしてログ見たりしたら解決するんじゃない?
.IPsecで、OpenswanをVPNクライアントとしてXAUTHで相互接続できるようにした。
対象機種:RTX1100, RTX1500, RT107e
次に期待しようぜ。
レスありがとう
>OpenswanをVPNクライアントとして
あくまでも、RTX側はレスポンダーにしかなれないってことを言っているだったらあきらめるんですが。
あれからからずっと試しているのですが、
RTXがクライアントとしてOpenSWANにプロポーサルすると同じエラーではじかれます。
OpenSWAN側がイニシエーターになってRTXに接続を開始する場合は問題がないようなので、
まあ実用には問題はないかと思っています。
しかし、RTX1200側からOpenSWANにメインモードで接続を開始できないのは気持ち悪すぎです。
pp接続(アンナンバード)について、show status pp XXをすると、
受信: 210629 パケット [46565891 オクテット] 負荷: 0.0%
送信: 3356 パケット [46169743 オクテット] 負荷: 0.0%
ってなります。
オクテット表記は送受信とも同じくらいの量を表しています。
しかし送信パケットの表記が異常に少なく表されています。
これって、バグなんでしょうか。
voipなんで、送信だけに偏ることはないんだ
それに再起動してからほとん日にちが経っていないし
何かアンナンバードで複数アドレスを使っている時に生じるバグなんだろうと、
頭を巡らすのだが
あれからこうなった
やっぱりカウンターが回転していない
PPPoEセッションは接続されています
接続相手: BAS
通信時間: 20時間27分54秒
受信: 683159 パケット [151295473 オクテット] 負荷: 0.0%
送信: 5861 パケット [150140685 オクテット] 負荷: 0.0%
混雑ですか…
configのせますのでチェックお願いします
設定はしているつもりですが…
事務所の環境は
ctu-rtx1100(192.168.3.254)-共有サーバ(192.168.3.200)
vpn接続後3.200へのpingは通るときと通らない時あるように不安定ですが
rtx1100(3.254)へは安定して通ります
configのっけようとしたら怒られまくったのでうpろだにあげました
ttp://upload.sikaku-chat.com/dl/1384290477.txt 全然関係無いけどトンネルの設定三つに別ける意味あんの?
なんか一つにまとめられそうだけど。
再起動したが、だめ
送信のパケットカウンタが回っていない。
オクテットは正しく表示されているようだ。
PPPoEセッションは接続されています
接続相手: BAS
通信時間: 9時間32分53秒
受信: 136288 パケット [30056067 オクテット] 負荷: 0.0%
送信: 2513 パケット [29898662 オクテット] 負荷: 0.0%
これはきっと、アンナンバードでネットワークごと割り当てられて、
複数IPv4アドレスを一個ずつNATディスクリプタのアウターに割り当てて運用しているときに生じる
バグだろうから、ヤマハさん直してくださいよ!
今ふぃ具は、大切なところをいちいち****でマスクするのが面倒くさい・・・
でふぉでおKだからさ。
えっまとめられるんですか?
l2tp keepalive use on 10 3
→l2tp keepalive use off
どうでしょう
l2tp tunnel disconnect time 1800
この設定入れてたら30分放置で切れるんじゃね?
そこは何かの表紙に切れた場合ずっと接続されているのがダメだったのと
何処かで設定した方が安定すると見かけたのです
とかで設定して様子見れば良いんじゃね
クライアントはwindows7で、rtx1200に接続していた。
なんども、再接続が面倒くさい。
どうして切れてしまうんだろうね。
切れても知らないふりでつないだままにしておいてほしいよ。
律儀にリセットしなくてもいいのにと思う。
やってみましたが変わらずてした…
なら、ping -t で通信状態にしとけばいいんだよ。面倒だが。
ちょっとconfig見てみたけど、L2TP/IPSecでのキープアライブは、
l2tp keepaliveじゃなくてipsec ike keepalive でやるもんじゃねえの?
いくつか設定例見た感じそうなってるけど?
大迫なら決めてるぞ
つ
windowsのリモートデスクトップ接続を使っている最中にも切れます!
フレッツ西日本の速度計測サイトへの接続に成功したことのある方いらっしゃるかしら
サンプルコンフィグ等があればおしっこ漏れるほどうれしいのだけれど
IPv6でIPoEセッション貼れば行けるはずだけど
ありがとうございます。
確かに、IPv6版はすんなりと行きますが、IPv4版がにんともかんともなのです。
普通にPPPoEのマルチセッション貼ってみてもなんだかうまくいかなくて
成功したサンプル等あれば比較検討できるかなと思った次第です。
IPoEにセッションの概念は無いよ
ttps://www.flets-west.jp/speed/faq/#q16 ip route 122.50.20.0/24 gateway pp X でダメなん?
l2tp keepalive消して
ipsec ike keepaliveで試してみます!
dns server select id pp peer_num any speed.flets-w.jp restrict pp connection-pp
も要るな
動作確認してないけど
両方入れてるんですけどダメなんですよ
show status は
pp2# show status pp 2
PP[02]:
説明:
PPPoEセッションは接続されています
接続相手: BAS
通信時間: 10分30秒
受信: 2925 パケット [199850 オクテット] 負荷: 0.0%
送信: 4516 パケット [253800 オクテット] 負荷: 0.0%
PPPオプション
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local: IP-Address Primary-DNS(122.50.20.46), Remote: IP-Address
PP IP Address Local: 122.100.17.xx, Remote: 122.50.20.41
CCP: None
pp2#
でnslookupは
pp2# nslookup www.speed.flets-w.jp
122.50.20.46
って帰ってくるので名前解決まではうまく言ってるんですが
ブラウザからwww.speed.flets-w.jpへアクセスすると「ページの読み込み中にサーバへの接続がリセットされました。」って言われちゃうんです。
うーん。まいっちんぐ。
妙だね
ping www.speed.flets-w.jpを、pcとrtx両方からすると?
122.50.20.46(DNS,www.speed.flets-w.jpのアドレス)
122.50.20.41(ゲートウェイ)
の2つに対してrtxとPCからそれぞれpingを撃ってみたところ
PCは
× 122.50.20.46
× 122.50.20.41
RTXは
× 122.50.20.46
○ 122.50.20.41
となりました。122.50.20.46はdnsサーバ兼Webサーバーっぽいのでpingを返さないようにしてあるのだと思います。
122.50.20.41にpcからpingが通らないのが不可解です。なんでだろ。
>pcからpingが通らないのが不可解
c:\>tracert 122.50.20.41 をやってみると?
ありがとうございます。
C:\WINDOWS\system32>tracert 122.50.20.41
122.50.20.41 へのルートをトレースしています。経由するホップ数は最大 30 です
1 1 ms <1 ms <1 ms rtxのipアドレス
2 * * * 要求がタイムアウトしました。
3 * * * 要求がタイムアウトしました。
4 * * * 要求がタイムアウトしました。
5 * * * 要求がタイムアウトしました。
6 ^C
C:\WINDOWS\system32>
となりました。やっぱりローカルのIPからフレッツ速度計測のIPへの経路が足りないようです。
静的経路は
ip routing process normal
ip route default gateway pp 1 filter 500000 gateway pp 2 filter 500000 gateway pp 1
ip route 122.50.20.0/24 gateway pp 2
としてますが、足りないところがあるのでしょうか。
試しに ip route 122.50.20.0/24 gateway pp 2 を ip route 122.0.0.0/8 gateway pp 2 に変えてみても変化なしでした。
>1 1 ms <1 ms <1 ms rtxのipアドレス
が帰ってきているのなら、rtxには到達しているので、問題ないと思う。
ほかに問題があるようだ。
わかった!
natの設定が、pp2にないんじゃない?
nat descriptor・21・type masquarade・・・ NATの定義
nat descritor 21 inner 192.168.0.0-192.168.255.255 ・・・pcのアドレスを指定
pp select 2
ip pp nat descriptor 21 ・・・ppへのNATの設定
もし、そうだとしたら、ネクスト網は、プライベートアドレスに返信できないんだろうな。
だから、ppに自動設定されたネクスト網のアドレスにNATで変換してやるのだ。
おまおれw
ちなみに専用サーバ?VPS?社内サーバ?
同じく一方通行でイラッとしてるわー
コマンドプロンプトに表示される「xxxx# 」
のxxxxってどうやって設定するんだっけ?orz
console promptだった。
あと、rtx側に2つ以上のネットワークがある場合も悩ましい問題がー
openswanが片方のネットワークからのプライベートパケットを捨ててしまっている
正しくネゴシエーションできてないようだ
rtxは頭痛い
VPSですよ
駄目だぁ…症状変わらんし上手くいかん…
nat descriptor address inner 1 192.168.1.2-192.168.1.253
ipsec ike local address 4 192.168.1.253
この記述で直りました。
192.168.1.253がルータアドレスで、このアドレスがinnerから当初は抜けていました。
それでもRTX1100同志では通信できていました。RTX1500に変えたら貴方と似たような症状になりました。
貴方の場合
nat descriptor address inner 1 auto
ですから問題ないかもしれませんね。
YAMHAの下記のURLからCONFIGとLOGを送るとアドバイスしてくれますよ。
ttps://netvolante.jp/support/contact/ 誰にレスしています?
あらわかりにくかったかな。
さんへです。
りょ
ありがとうございます!!ビンゴでした!!
nat descriptor type 21 masquerade
nat descriptor address inner 21 192.168.0.0-192.168.255.255 ・・・pcのアドレスを指定
pp select 2
ip pp nat descriptor 21
でうまくいきました!嬉しすぎておしっこ漏れました!
お騒がせしました。
エスパー成功!よかったね。
認証に ms-chapというのを使っていました。
社内で使っているパソコンがXPばかりだったのです。
で、WIN7に変わったらms-cahp v2 しか対応していないということです。
全部のルータの記述を変更することもなかなかままならなく困っているのですが、
ここで質問です。
WIN7のXPモードというのを使うとセキュリティ関係もXPの仕様になるのでしょうか?
WIN7のXPモードで 認証に ms-chap は使えますか?
お願いします。
RTX1500側でms-chap v2を使えば良いだけじゃないの?
全部のルーターって書いてあるけど、そんなに台数があるの?
で、XPモードは仮想化されたPCなので、その部分だけを考えると
単独のXPマシンと何ら変わりない。
で、セキュリティーを気にしているようだけど、ms-chapってことはPPTPだよね。
それ自体が既に安全な通信ではないことが見つかってるんだが。
ありがとうございます。
WIN7のXPモードでms-chapが使えるということですね。
同時に変更しなければならないルータは全国に分散して80台くらいあるんです。
PPTPのセキュリティが弱いことは承知しています。
端末ごとにipsecとPPTPを併用して使っています。
センター側にRTX1100を使ってて、各拠点のRTX1000や1100とIPsecVPNを張っています。
各拠点間に接続されているクライアント間でPINGを飛ばすと
Pinging 192.168.11.25 with 32 bytes of data:
Reply from 192.168.11.25: bytes=32 time<1ms TTL=64
と、応答アドレスもPING飛ばしたアドレスで返ってきます(コレが普通ですよね)
しかし、android端末でセンター側にl2tp/IPsec張って、PINGを打つと
Pinging 192.168.11.30 with 32 bytes of data:
Reply from 10.110.90.201: bytes=32 time=694ms TTL=62 (アドレスは適当に改変してます)
のように応答アドレスが違うアドレスで返って来ることに気づきました。
何故なんでしょうか?
ドコモの回線で、l2tp/IPsecのトンネル設定だけnat-traversal を onにしてます。
最終的にはl2tp/IPsec経由でひかり電話のクライアントagephoneを使いたいのですが、
同じスマホで各拠点RTX配下の無線LANで接続しての拠点間vpn経由では問題なく使えるのに
l2tp/IPsec経由だとレジストできません。
多分このping応答アドレスが問題になってると思うのですが、如何でしょうか
nat経由しないほうが設定簡単じゃない
比較しているlan間はnat経由していないので繋がるのだと
とりあえず怪しそうなアドレス全てルーティングしちゃえば良いじゃないの
ありがとうこざいます!
行き詰まってるので試させていただきます
大変申し訳ございません
agephoneの高度な設定に
WIFIのみで利用する
って設定項目があり
選択なし
にしたところ無事レジストする事ができました
一般的な費用って幾ら位が相場なんですかね?
1.既存のフレッツ光を使用してインターネットVPNを1対向。
2.機種はRTX810でVPNはIPSec。他の部品手配や設計、施工はお任せ。
上司との会話でこんな話が出たんですけど答えられなくて。
10万くらいかな
ルーターは客支給
自分でやって10万ゲットしろ
後は年間でどれくらいの保守工数が発生するかで、お前さんの人月単価で積算すりゃいい
大手に頼んだら↓の様な見積が来そうだが
既存環境調査 … 1日 ⇒80,000
設計費 … 1日 ⇒80,000
構築費 … 1日 ⇒160,000
諸費用(LANケーブル等) … ⇒10,000
※回線開通後 前提
※ハードウェア 別途
※東京⇔大阪間 想定
※交通費 別途
※保守 別途
上記前提で\330,000
動く状態にする以上に、1拠点当たり2名配置の前提で計算してたりするし。
ハード代別の10万程度って値ごろ感あるかも。
実際は地方の何でも屋(弱電工事系の会社あたり)でできるところなら
それ以下でやってるところもあるかもくらい。
100kってのは意外でした。設計込みで安すぎじゃねと思ったり(汗)
そこから足代と管理費入れても…。
上司と話していた時は対向で各一人だから300k位か?なんて話したのですが、
それだと大手並なんですね。
色々と助かりました。
電話屋さんだけど、ウチの見積だとこんなもん
電話機の増設に紛れてサービスでやらせようとする客も居るんだぜ
俺の給料が安いから、出来る金額だぜ
現地調査 1式 50,000
設計設定費 1式 60,000
諸経費 1式 10,000
※回線開通後 前提
※ハードウェア 別途
※2拠点間のみ 想定
※交通費 別途
※保守 別途
24時間いつでも呼び出しOKとかなら馬鹿高い
一カ所あたり15000円(市外は別途交通費)でやってる俺んとこは・・・
ルーター設置が専業じゃなくて、「ついで」 だけどね
建設物価は見えるところに置いておこうね。
拠点A,Bともにフレッツじゃない光 固定IPなし DDNSあり
RTX1500
拠点C(センター) フレッツ光ネクスト 固定IPなし DDNSあり
RT1500 2台
基本的に拠点A−C B−Cの接続のみでA-×-Bは接続しない。
そこでIPsecをやりたいのですが、
拠点CのRTX1500一台目C1を使ってA-Cの接続、
拠点CのRTX1500 二台目C2を使ってB-Cの接続、という風に、
拠点C------NTT のルータ--------------------(network A) 他のPC等
| |
RTX1500(C1) RTX1500(C2)
| |
-------+-----+---------+-------(network B)
|
サーバ---(NIC二枚目はnetwork Aに接続)
のような感じで、それぞれ別のRTX1500でIPsec処理をさせたいのですが、無理でしょうか?
二台に分けたいのは速度の問題です。
RTX1200のギガ対応のに買い替えようと思ったのですが、
VPNのスループットがRTX1200も最大200MbpsでRTX1500と同じなので、
買い替えても意味が無い?少ししか無い?ので、こんな接続ができないかと思っています。
続きます。
グローバルアドレスはRTX1500は四台とも持たず、他のルーターにPPPoEをさせて、
RTX1500はNAT内でプライベートアドレスで運用したいです。
問題は二台目の500 と4500のポートが重複するのを回避できるのかということです。
espは二台ともNATトラバーサルを使うのでポートさえなんとかなれば何とかできるのでは?
思っています。
関係ないかもしれませんが、拠点CはIPv6には対応できるのですが、他のA,BはIPv4です。
拠点A,と拠点Cの二台C1 C2の設定は普通のNATトラバーサルのIPsecで大丈夫だろうと思いますが、
拠点CのNTTのルータに 500--->C1の500、4500--->C1の4500と
501--->C2の500、4501--->C2の4500のNATを入れて、
拠点BのRTX1500が拠点Cの501,4501を狙うように設定すればいいような気がするのですが、
拠点Bの設定をどういう風にしたらいいかが分かりません。
何かいい方法がありましたら、教えてください。
中小企業は明記されてなくても夜中に呼び出したりするけど。
ちなみに、うちの会社は2拠点IPsecVPNで単純な接続なら8万くらいでやっちゃうとおもう。
自分でも安いと思うけど、会社が勝手にうけてきちゃうんだよね。困ったもんよ。
YAMAHAの公式Web上では「動作保証しない」ってあるのは判ってるんですが、
MacBook Airで動くなら購入したいなぁと思ってるので。
すまん、書きかた悪かった。
YMS-VPN7のライセンスはあって、WindowsノートPC上で利用してる。
来月PCの更新予定なんだが、MacのBootcampで動くならMacBook Air
を購入候補にいれようかと思ってるが、身近にMac利用してる人いないんだ。
ttp://iup.2ch-library.com/i/i1076430-1385626969.jpg こういうこと?
ServerのNIC増やせば簡単なんじゃない
AルーターにはCルーターへルート設定だけ
BルーターもCルーターへのルート設定だけ
すればA-B間は通信できないよ
何も2台も使わなくてもいいとおもうけど
わざわざ図まで作成してもらってありがとうございます。
拠点CにはNTTルータが一台しかありません。
プロバイダ契約も一社しかありません。
サーバはNICがギガ対応なので、スイッチがギガ対応のものでRTXを二台つなげば、
RTX側のNICは一枚でも帯域的には問題ないかなと思っています。
拠点A-C B-Cで両方ともC側の1台のRTX1500でIPsec接続をすると、
RTXの処理速度の問題で、帯域が半分になってしまいそうなので、
C側に二台のRTXを設置して、負荷を分散させることはできないかと考えてます。
まずは一台でやってみて、足りなきゃ二台に分散させてみれば?
客への提案なら出来ないけど、自分が管理してる鯖なんでしょ
先月、Bootcamp上のWindows7にVPN7インストールして納品したよ。初代のMacbook airかな。
その後も問題なく動いているらしい。「公式には動作保証していませんよ」と説明した上で導入した。
結局知りたいことは
1回線しかないけど2台のルータで別々にIPsecVPN張るには
どうしたら良いですか? ってこと?
そもそも負荷考えてるなら もう1回線引けば良いじゃない
ネットワークは無駄に複雑化しても、良いこと無い。
それもフレッツ使用のVPNレベルじゃ。
> 結局知りたいことは
> 1回線しかないけど2台のルータで別々にIPsecVPN張るには
> どうしたら良いですか? ってこと?
その通りです。
> もう1回線
予算の都合上…
そんな通信してたらすぐにプロバイダに帯域規制されるんじゃね?
されないんじゃないの??
に一票
業務ならできるだけシンプルな構成にした方が吉
だと思う
自分でちゃんと設定できないような構成組んで
トラブル時に問題点の切り分けできるの?
そこら辺りはどうなんだろう
LANの規模とかセグメント構成にもよるけど
「もう1回線」を躊躇する規模の会社なら
三台のルータをそれなりの機種一台にまとめた方が
スループット向上に直結するんじゃないかと予想
二台に分けるのは負荷分散にはなると思う。二世代前のRTX1000ですらファストパスなのに。
グローバルアドレスを持たせて、ノーマルパスで動かした方がよさそうだが、
相手側がNATトラバーサルだったら片方だけグローバルアドレスにしても仕方ないけど。
RTX1500はIPv6ではファストパス無効だから、IPv6にするという手段もとれないし。
RTX1100だとIPv6でもNATトラバーサルでもファストパスだから、NAT内で使うならRTX1100の方が
速度的に速いのかもしれない。状況によるだろうけども
L2TP/IPsec の設定できました。つながらないなと思ってたら
ポートの開放を忘れてた
UDPは1701番も開けなければいかんということを理解できなかった
500と4500となぜ1701も開けないといけないか偉い人教えてください
上の人も書いてあるけどクライアントAppleだとどうなるんだろうな
ipadでL2TP/IPsec接続できれば業務の幅広がるんだろうけどなあ
>UDPは1701番も開けなければいかん
>500と4500となぜ1701も開けないといけないか
冗談は や め て く だ さ い !
使用状況によります。
バッファローは12月4日、SMB・SOHO向けにVPNルータ「VR-S1000」を発売すると発表した。
出荷予定は12月中旬からで、価格は3万1,290円。
ttp://news.mynavi.jp/news/2013/12/04/231/ RTX1100の中古の方がええわ
ACアダプタ方式はコネクタが抜けたりするから嫌い
怖くて業務用ルータとして提案しようと思わない。
艦コレ用としてならいいかもな。
それだけで売れる。
機能が少ないっていうのも、逆に選びやすいだろうね。
特にL2TP/IPsecのルータが欲しいっていう人たちに。
10台までL2TPができるのは結構魅力じゃないかな?
RTX810だと6だっけ?
GbEにも対応しているし。
ヤマハのシェアをえぐられると思う。
RTX1000とかからの乗り換えが、結構出るかもしれない。
無線APも法人向け機器はそんなに悪くないぞ。
ネットワーク屋さんは採用しないだろう。
だがこの価格なら、外注せずに自社で選定しているところには売れるかもね。
でも、ヤマハと競合する部分はわずかじゃないかな。
影響がないとは言えないだろうが、えぐられるってほどじゃないと思う。
ただ、L2TP/IPsecの為だけならフレッツ使ってる人はNTTのルーターが
L2TPファームアップで対応しちゃったから遅きに失した感が否めないな
NTTのルーターがファームアップする前ならもっと需要あったかもね
拠点間は不安だから、しばらくは手をさせないね
使うとしたら、リモートアクセス用ルータって位置付けになるのかな
フィルターの自由度次第では、こっちで良いときもあるかもな
NTTのルータが対応してましたね。忘れてました。
NTTのルーターのL2TP/IPsec対応って光ネクストからでしたっけ?
ルータの機種に依るんでしたっけ?
何本まで張れるんでしょうかね。
最近情報が出た500番台は分からないけど、
400番台のフレッツ用HGWのL2TP/IPsecはIPv4 PPPoE専用なんだよ。
また、この機能はフレッツ・ジョイント用と同じく追加ソフトで実現しているようで、
設定画面へのアクセスはIPv4でしかできないのも難点。
400NE/KIの機能詳細ガイドのVPNサーバ設定ページには
『ご利用の状況より画面が表示されない場合があります。』旨の記述があるから、
西日本でひかり電話を契約せずに有償レンタルした場合や
東日本のBフレッツでは利用できないのかもしれない。
【NTT】フレッツ光・ひかり電話対応ルータ Part21
ttp://toro.2ch.net/test/read.cgi/hard/1374586152/
AirStation とか使ってる。
法人向け機器は、PoE 機器使ってるけど、独自仕様みたい。
ttp://itpro.nikkeibp.co.jp/article/NEWS/20131204/522594/ 汎用性高いだろうか。
OpenS/WANとつながるなら買いたい。
いまは独自仕様じゃなくて規格どおりだよ。
バッファローのスレで聞くべきだと思います
スレ違いのすれ違い
昔は独自仕様だったって事。
前に使ってる機器が故障してしまったんだけど、修理するか、それとも
工事してもらって、汎用品使える様にするか迷ってる。
比較論はいいけど、突っ込んだ話は向こうですればいいよな
あっちのほうが情報多いし
このスレ、無線APは関係ないしw
ごめんごめん。
昔の独自仕様のときは電気バカ食いでトラブルも多かった。
今はWX302を使っているけど、設定後の再起動が早くなればよいのに。
比較論して!
WOLも対応してるみたいだし・・スループットも悪くないかもね
でも、やっぱり設定すべき項目はいろいろあるし
困った時にサポートがいいYAMAHAがいいなあ
Buffaloだとサポートにつながるまで時間かかるだろうし、IKEや暗号、認証方式のことなど
詳しいこと聞き出すとイライラするかもしれない。
>L2tp/IPsecはBuffaloのほうが設定が簡単かもしれない
もし、そうだとしたら、IPsecなんかは設定が多岐にわたるだろうから、
細かい設定ができずに接続性に問題が生じるかもしれないなあ。
あるいは、Androidなどに特化した設定を型としてもっているかな。
Androidって、IPsecはOpenswanから派生したものなのだろうか。
Androidも、Macも、UNIXを利用しているんでしょ?
だとすればだ、BuffaloのIPsecは、OpenSWANとの接続性もあるということになるな。
うん。
Android は Linux Kernel 上で走ってる
Mac OSXはBSDベースだったかと
まぁBSDもUNIXと言えばUNIXかもしれんが
BSDは元祖UNIXだろうが
本家ぐらいは名乗ってもいいかも
>Android は Linux Kernel 上で走ってる
じゃあ、AndroidのIPsecスタックは?
Androidは、OpenSWANがIKEを担っているんじゃないか。
だとしたら、Buffaloのは、Androidとの接続を考慮に入れているだろうから、
ふつうのディス鳥に入れるようなOpenSWANとの接続も問題なさそうにおもった。
Openswan + xl2tpdで鯖構築したけどあまりいい印象がない。。。
Mac OS XはれっきとしたUNIXですよん
ttp://news.mynavi.jp/news/2007/11/20/004/index.html 検証環境のようなところで、RTX1500を2台使いVRRPを構築しました。
ほぼ問題なく完了したのですが、検証環境ということもあり、回線が1回線しか
ありません。(あくまでもルータの冗長化の確認が目的だったので)
バックアップ側のRTXには、「pp always-on on」を削除しておき、マスター側が
ダウンし、切り替わった際にのみ接続されるようにしたのですが、マスターを復旧
させた際、バックアップ側がPPPoEを張り続けてしまうのを何とかしたいのです。
マスターが復旧した際に、バックアップのPPPoEを切断させるような方法は
ありますでしょうか?
disconnect
これじゃダメなん?
こうすればいい
実際、俺はそうしてる
ここで聞く ⇒数時間で解決〜未解決
どっちもどっちだなw
ttps://netvolante.jp/support/contact/ ここへ問い合わせれば確実に対応してくれるよ。
今更ですがよろしくです
吊ってくるわ・・・
そうなの?GUIはついてないのか…
GUIはあるが初期状態だとIPアドレスが付いてないからweb設定画面が開けない
シリアルコンソール接続でIPアドレスを付けなきゃいけない事に絶望した!
RTX810だとDHCPサーバーが有効になってて簡単だったのに・・・
苦労してIPアドレスを当てた後にWeb画面が開けたがPPPoE接続の
設定項目が無い事を知り再び絶望した!
RTX810にはかんたん設定が付いているのに・・・
苦労してインターネット接続設定のコマンド入力に成功したが今度は
Wan側ファイアーウォールが全部閉じてて接続に成功しってもhttp通信
ができない事実を知りまた絶望した!
RTX810ではWeb設定で必要なポートを勝手に開いてくれるのに・・・
その後も・・・
ネットボランチの設定をしようとしたら・・・絶望した!
L2TP/IPsecアクセスサーバを立てようとしたら・・・絶望した!
IPsec拠点LAN間VPNを立てようとしたら・・・絶望した!
昨日一日は絶望の連続でしたよ
の
ttp://www.logsoku.com/r/hard/1353631139/126 だが最大の絶望と言えば・・・
RTX1100と悪戦苦闘しているうちにコマンド入力に馴染んでしまい
RTX810にもTelnetでコマンド打っている自分に絶望した!
telnetは良くないよ
また絶望した!
>GUIはあるが初期状態だとIPアドレスが付いてないからweb設定画面が開けない
ファームアップで、なんとかしてほしいよね
どうしてしないんだろ。
RTX1200はアドレス振ってあるのに。
普通は、RTX の設定って、ネットにアップされてる雛型から
Config 作成しておいて、シリアルとLAN 両方接続して
Telnet で、ip lan1 address 192.168.0.1/24 とか入力してから
LAN 側から、rt-tftp client で一気にconfig 流し込むんだけどね。
そんなに手間掛かんないし、RTX810 が特殊なだけ。
(NVR/RT 並みのお手軽さ。)
PPPoE接続の 設定項目は、Web 画面のインターフェース欄に
有るよ。
PPPoE って書いて有る筈だけど、流し込めば楽かな。
http 通信が出来ないって、NAT/IP マスカレードの設定でしょ。
雛型から流せば楽だよ。
RTX は、全部Web設定で出来る訳じゃないから、telnet は必須。
中古でも、amazon とかでは、やっと5万切った程度。
性能的にはどうだったっけ??
amazon とかだと、1100,1500 辺りの中古は、1万切ってますが、、、
「中古ならだいぶお安い」って言っても3〜4諭吉くらいするでしょ?
RTX1100の中古ならヤフオクで3夏目でお釣が来る・・・
会社のRTX810の練習用に激安のが欲しくてつい悪魔の誘いに心が折れてしまった
結果的にはスパルタ方式の特訓になってしまった・・・
話は変わるけどFWXもいいね・・・
RTX810の基本性能を完備した上にVPNが30対地ってのがものすごい魅力
amazon では新品で、RTX810 (\42600),FWX120 (\54569) と、RTX1200 (\80935) よりは安い。
RTX810とFWX120もギガだけどね
(1) ハードウェアベースでの機能の違い
1、分割ネットワーク数
RTX1200:3セグメント(LAN1、LAN2、LAN3) RTX810:2セグメント(WAN、LAN)
分割ネットワーク数が少ないけど、小規模事業所であれば2つで十分。
2、LANポート数
RTX1200:8ポート RTX810:4ポート (NVR,RT5x シリーズと同じ。)
小規模事業所であれば、パソコン3台にプリンタ1台が接続できれば十分足りるケースがほとんど。
3、ISDN対応
RTX1200:S/TポートによるINS回線接続が可能 RTX810:INS関連ポート無し
今は、INS も光へ統合を進めてるので、不要かな。
4、小型化
RTX1200:220(W)×42.6(H)×270(D)mm RTX810:220(W)×42.6(H)×160.5(D)mm
5、動作環境条件
RTX1200:周囲温度0〜40℃、周囲湿度15〜80%(結露しないこと)
RTX810:周囲温度0〜50℃、 周囲湿度15〜80%(結露しないこと)
1、VPN対地数
RTX1200:100対地 RTX810:6対地
2、NAT数
RTX1200:20,000セッション RTX810:10,000セッション
3、保存できるファームウェア・コンフィグ
RTX1200:16MB(ファームウェア:2組、コンフィグ:5組/履歴機能あり)
RTX810:16MB(ファームウェア:1組、コンフィグ:5組/履歴機能あり)
こんな所かな。
LANポート側の諸問題はSWX2200を買えば解決する様な気がするが・・・
ダメかな?
こうして見るとFWX120のポジションは実質的にRTX910と呼んでも良いくらいだよな・・・
中小企業のセンターに最適のパフォーマンス・・・
まじで青ボディに変えてRTX910としても売ればよいのに
LANポート数:4ポート(どうせ部所ごとにHUB付けるからこれで十分だよね?)
INSポート:無し(今更不要だよね?)
VPN:30対地(ほぼ十分な数だよね?)
NAT数:30,000セッション(RTX1200より多い?)
ファームウェア:1組/コンフィグ:5組16MB(コレで十分だよね?)
消費電力:11W(悪くないよね?)
読んだ?
RTX1100も2000も1000もみんな、IPv6スタックを積んでいるファームウェアは
必ずIPv6リンクローカルアドレスが振ってある(というか起動時に自動生成される)し、消すことができない
もっと絶望しろ
ttp://engawa.2ch.net/test/read.cgi/isp/1374220315/314-316
ttp://www.jp.ipv6forum.com/timetable/program/20131125_yamamoto.pdf#page=7 IPv6のアドレスが有るのは知っているが(後悔の途中で知った)・・・
まぁ仮にIPv6アドレスがわかってもターミナルソフトでhttpd serviceを
ONにしないとWebAssistanceページにアクセスできないから同じ事だよね?
自分の場合は絶望しながらrarpdを使ってIPv4アドレスを当てる方法を選んだけど
(注文したシリアルクロスケーブルの入荷が遅くて絶望したから)
まぁ仮にWeb Assistance機能に辿りついても絶望するしかないから
結果的には同じだけどね
調べてみたら今の契約ではIPv6は使えないことが判明した・・・
余計な設定に絶望せずに済んでほっとした。
エンター後、文字化けエラーみたいな表示がされるんですけど、
解決方法を教えていただけませんでしょうか?
なんか怖いからTlenetを使っていたんだが
気にしなくて良かったんだ
GUIが上手く設定できなかったから、CUIで頑張った。一苦労だよw
なるほど
長らく(約2日間)Tera Termに絶望していたがその一言で道が開けたぞ・・・
メニューが英語で訳ワカメだったが調べる過程で日本語化する方法もわかった
まだ色々絶望点はあるが何とかTeraTermを使えそうな気がしてきた
Telnet接続で・・・だけど
console character コマンドかな?
console character sjis とか入力してみて、help コマンドで漢字が化けなければいい。
後は、勝手にログアウトしない様に、login timer コマンドで、30000 位指定したり
httpd host や、tftpd hosy に any を指定しておいて、完全に設定終わったら
httpd host lan1 とか、tftpd host lan1 とか設定して、save コマンドで上書きされる。
TeraTerm 側でも、漢字コードの指定は出来るし、メニューから設定値の保存を
選べば保存される。
メニューが英語って、TeraTerm のメニューが英語って事か。
普通は、インストール時に日本語か英語か選べるよ。
バカが勝手にネットワークに接続してDHCPから払い出したり、アドレス競合したらマズイだろ!
だから初期状態はL2SW動作が良いんだよ。
VLAN使えば良いし、Catalyst買おうよ
でも我々馬鹿の為にGUI機能を付加してくれた事には感謝しているんだよな
兼業ネットワーク管理者にとってはRTX810はとてもありがたい存在だ
GUIで出来る事が多いから「呪いの呪文」を詠唱することなく基本的なルータ
として動かす事までできる。
Configレポート機能とコマンド実行窓のお陰で「呪いの呪文」の解読と詠唱と
効果の確認が簡単にできるからとても助かるよ・・・
上位機種にもどんどん採用して行ってくれるとありがたいな
> 普通は、インストール時に日本語か英語か選べるよ。
理由は分からんが、自分の場合は選んでも反映できなかったよ・・・
インストーラーによるiniファイルの変更がセキュリティでブロックされたかもしれない
絶望の園でググってみたら同じ境遇の人も居るらしくて対応方法も書いてあった。
UILanguageFil=の後ろが空白になっていたから「Japanese.lng」と書き加えたら
無事日本語になって希望の光が差し込んできたよ・・・
貴重な情報ありがとうってなるけどな
これがまだはじめたばかりだったら、うげーってなるのだろうな
Linux触っていたり、RTX触っていると、
WEB設定なんておもちゃみたいなものに見えてしまうし、
信頼ができないし、俺の設定壊すなよってなるな
初心者のための補助輪のようなものだな
みんなルータは丈夫だから、そうしょっちゅう買うものじゃない
拠点に何台か持っているけど、一応満足しているので、さらに買う予定はない。
飽和状態にならないか心配。
儲からなければ、ファームアップなどによる機能改善に支障がでないか心配。
もうずっと日本製のYamahaのルーターでいこうと思っているので。
IPsecクライアントソフトで稼ぐつもりなんだろうか。
あれって、Windows専用版だよね?
そう思ったらやはり布教活動でしょう・・・
Yamahaルータの新たな信者を増やす事が本尊の繁栄の道・・・
間違ってもここで質問する私のような新米おバカ(将来のカモネギ)に
ググレカスなどと罵倒して追い返す事の無い様に・・・
出来うる限り懇切丁寧にコンフィグ設定の事を教えてあげてください
ではあなたも、もう一つどうですか。
私たちの繁栄のために買ってください。
私は、少なくとも7個持っていますよ。
自分に購買力は無いが・・・
社内LANのネットワーク改修計画の提案の準備段階だったりします
で、今は機種(メーカ)選定のかなり重要な段階なんだよな
おバカな私がどこまで呪いの呪文を理解して使いこなせて居並ぶ大魔王に
プレゼンできるかに浮沈が掛かっているですよ・・・
Web 設定でも、ルータを理解する事の一部だと考えたらいい。
量販店で販売してるルータは、GUI だらけだし、トラブっても
最低限、初期化して、ID、パス突っ込めば繋がるからね。
甘く見てはいけない。
一応は、ローエンド・ミドルエンド シェアトップだろ。
ttp://yne.force.com/ みたいなエンジニアの集まりもあるし。 経営層(購買担当者)からは、コスト重視的な要望って多いんですよね。
改修計画なら、現状の構成と、問題点、要望などは洗い出ししてるの??
自分が構築設計者なら、居並ぶ大魔王軍団にも説明して計画に引きずり込んで
やるんだけどね。
構築設計者ならびにエンジニアなら、自分が慣れていて使いたいという理由でルーターを選定するだろうな
大魔王軍団を計画に引きずり込むための理由は、自分にとってはどうでもいい理由に過ぎない。
たとえその機器が高くても、自分にとって安いと思えるなら推せる。
問題点は明らかだよ
これを立ち上げた後に誰が管理する事になっても困らない構成にすることだ
公認はコマンドなんか知らないほぼ素人とと思って間違いない
それも引き継ぎ期間や教育機関はゼロと考えている・・・
大魔王様は「ズブの素人が独学で管理できるシステム」をご所望です
絶望した!
何に絶望したの?
>
ttp://yne.force.com/ みたいなエンジニアの集まりもあるし。 年会費がかなり気に入らない・・・
情報源を一つに集めて管理されることになってしまう。
そういう余計なことはして要らない。
こういう2CHのような掲示板の方が発言しやすい。
VOIP-INFOのようになってしまうのはごめんだ。
職業がエンジニアな人多いのか?やっぱり。
例えば大魔王からはこんなクエストが要求されている
@社員が勝手に持ち込む未承認デバイスを繋いでも弾く事
A大魔王とその配下(四天王)が勝手に持ち込む未承認デバイスは受け入れる事
MACアドレスで弾く
大魔王と愉快な四天王のデバイスは、持ち込むたびにMAC教えてね。っていう。
それでだめなら、会社辞める
そんなこと、RTXなら、it make be ture easily!
it make these things be ture easily by my abeno mikusu
無管理の機器を企業内に入れるのは、絶対ダメです。
情報管理規定とかコンプライアンス規定とか社内物品管理規則とかで弾けませんかね。
日経でもBYOD導入には、管理範囲やルールを作ることとしています。
ttp://itpro.nikkeibp.co.jp/byod/ IPAは特にだして無いですけれども一応。
ttp://www.ipa.go.jp/security/antivirus/shiori.html @はその通りで簡単だが・・・
Aを自動でやる方法が・・・
自動でやれと言われたら、先に書いた通り会社辞める
年会費は無料ですが、、、
BYODの場合は、退職した社員の端末にもデータ残っちゃうからね。
DeNA とかも廃止したみたいだし。
大魔王と愉快な四天王のエリアだけ、VLAN で分けて制限無し、他のエリアは
MAC でリジェクトするとか駄目か??
やはりSWX2200の導入も検討するべきですかね?
だが四天王の立ち回り先のSWXに専用ポートを空けておくと
そこに雑魚モンスターが未承認デバイスを刺したら元の木阿弥だな・・・
大魔王と四天王の存在そのものがセキュリティホールとは困ったモンです
端末でしかつなげない。
(四天王が来て、差したら拒否で。)
情報漏洩防止の為に、それで良さそうな、、、
あの手の超小型無線ルーターを、どうやって規制するのがいいんだ?
勝手に設置されたらかなわんし
社外の人間がコッソリつなげていく可能性も考えないといけない
RADIUSとか、認証が必要なネットワークを作るしかないよね。
もう、そうなってくるとルーターの範疇じゃないよな。
あらかじめ、ネットワークに繋がっているnicのmacアドレスの全登録をやっておく。
学校のlanを使う場合には、申請書にアドレスを記載したなあ。
macアドレスで弾くことなら、rtx単体でもできそう。
面倒だけど。
頑張るしかないんじゃない??
1200,810 にはRADIUS 認証の機能が有るだろ。
だがエントリーモデルのEthernetFilterは100が上限だからな・・・
うちの会社ではもう枯渇している
メールで携帯に連絡する形にするしかないかな?
メールが着たら出先からVPNでルータの管理画面にアクセスして
ポートを確認してMAアドレスのベンダーから機種を、接続ポートから
誰が接続したか推測の上で遮断するか認可するか決めるべきか・・・
>1200,810 にはRADIUS 認証の機能が有る
RADIUSと裏で連携している認証用のWEBページをRTX1200が持っているの?
だとしたら、ユーザーはRTX1200のアドレスをブラウザで開いて、
IDとpassを入力して、許可されれば、RTX1200を介したいろんな通信ができるようになるの?
だとすれば、面白そう。
させるって事。
ttp://www.rtpro.yamaha.co.jp/RT/docs/login-radius/ すれば不正接続の件は解決するかもだけど、管理面は大変
になるかな。
でも、MAC アドレス管理よりは良いんじゃない??
机の移動とかあって、「なんだろこれ」ってことになっても
そこにシステムの人がいなかったら
御丁寧にも、それも移動させて「元通り」ハブに繋ぎそうだ
Webからnatの状況が見れるのがいい。
リアルタイムでNAPTのテーブル状況、しかもTTLつきとか。
パラララッと増えてそれが、ササササっと消えていくのが感動的。
ようそこS
RTXをゲートウェイとして利用するユーザーを認証で選別することもできるのだろうか。
NAS とかでも、認証でアクセス許可か、不許可か選択出来るだろ。
大学の無線LANなんかは、学籍番号と組み合わせて、こういう認証
システム構築してるよね。
業務用だから、それなりのトラヒックが有っても大丈夫。
アタックされても、外側・内側、ちゃんと弾いてくれるし。
NGN対応で、フレッツ光とかもOKだし、ネットボランチ
DNS 使えるから、固定IP無くても、VPN 接続も出来る。
本支社間 でフレッツVPN と組み合わせて、LAN間VPN で
使ってるよ。
業務用のワイヤレスLANシステムだと
不正設置されたAPがあると
不正APとSSID名乗ってdeassociate信号流して
強制的にクライアントの接続を排除する
ような機能があったりする
不正APと同じSSID名乗って
だ
ルーター自体にログインするユーザーデータベースをRADIUSでやらせるだけで
通常のインターネット接続に認証をかけるわけじゃないよ
captive portal的な何かをかまさないと
正しくはPart12だからね。
だから、次は、Part13だね。こんなに伸びているスレって、通信技術版では他はないんじゃないの?
>>930は、とてもかんたんそうに言っているけど、
手順踏む必要があるんだね。
サプリカントを持たないクライアントのためにCaptivePortalが流行ったが、
最近はスマホも802.1Xに対応してるから、今後は徐々に802.1Xに移ってくるんじゃないかな。
その下にswitch付けて、正規pcいたらアウト
低レイヤーにセキュリティを求めたらダメだと思う。
繋がるけど、情報にはアクセスできませんよ。を構築するほうが簡単だし確実。
RTX1200は、IP層でのそのセキュリティー機構を、RADIUSと連携して実現できますか?
たとえば、ブラウザからRADIUS関連WEBサーバにアクセスして、
192.168.10.10 ID:yamahakun PASS:himitsu をRADIUSに飛ばす。
IDとPASSによる認証を受けて、192.168.10.10が許可済みになる。
RTX1200は、192.168.10.10のセグメント間通信を監視して、
最初のみRADIUSに192.168.10.10が認証されているかを問い合わせる。
以後、通信がなくなるまで、192.168.10.10はRTX1200で許可される。
こういうシナリオは実現されるのだろうか。
それは設定してある認証モード次第
今時そんな設定使うやついないだろ
multi authモードなら各デバイスの個別認証
わざわざ802.1x使うのに
複数認証モード持ってないダメスイッチは論外
簡単に詐称できるんで
本気で守るつもりならなら
複数の認証組み合わせるのは
今の常識だろうと思うが
ポートを監視して何か意図せぬものが繋がったらポートごと停止しちゃうと
漏れたら困るのは一緒。
MAC偽装できると言っても、そもそも正しく通るMACを知る必要があるわけで
それを知るにはアナライザー使えるレベルってことになる。
そういう人に対してはどこまで対策しても対策しきれないから
多くの一般ユーザーが管理者の意図しない使用方法を行うことを
どうやったら防げるかって観点でシステムを決めた方がうまくいくと思うけどな。
詰まるところコスト(時間&予算)と守りたい対象のバランスの問題。
1万円守るのに100万掛けるのはアホだが
1億守るなら500万掛けても何の問題もないわけで。
どーゆーユーザを相手にするのかとか
どの程度のリスクが許容できるのかとか
そーゆー前提条件なしで語っても意味ないっしょ。
金さえ出せば高度なセキュリティツールはいくらでも選べるんだし。
YAMAHAルータでMACアドレスフィルタリングするのが
比較的お得じゃないかと思う・・・
うん、戻ってきました
会社の規模にもよるが
50人以下なら簡易RADIUSでいいでしょ
30人以下ならMACフィルタリング
10人以下なら「金属バットで懲罰」宣言で事足りる
自分で全て管理するのか、業者に構築させるかでも違うし
投資できる金額でやれることはかなり違う
・・ザワザワ
おそらくあなたの会社の仕事納めも終わり一般社員が帰宅し始めている頃だろう
さぁカーニバルの始まりだ!
今年1年稼動してきたネットワークをメンテナンスできる貴重な時間がやってきた
地獄の1週間を満喫しようぜ
来年度は冗長化構成に出来るよう根回しをしよう
これか
ttp://www.atmarkit.co.jp/fwin2k/itpropower/admin-kun/007/adminkun007.html ただし、ファームアップはキケン!!
下手をすれば、遠隔地に赴くことになる可能性は否定できない!!
ネット接続オンリーな所だったから、特に問題無かったけど
VPN 張ってる所は、ちょっとヒヤッとするかもね。
更新内容にIPsec 関連とか含まれてるとか。
30秒位かかった
とか思っても言ってはいけない
フォーティネットやD-Linkでは?
ネット接続オンリー ⇔ VPN張ってるところ
この対比だね
ギガチャネルという表現は初めて聞いた
量販店で、バッファロという言葉を店員から聞いた素人っぽい客が、
どこかで聞いたのかイメージの悪さを口にした。
すると、店員は心外だという感じで、「バッファロは有名なメーカーで、とても良いルーターですよ」
と応じていた。客は、「そうですか・・・」と諭された子どものように答えていた。
俺は、横で聞いていて「ヤマハ!ヤマハ!」と心で訴えていた。
しかし、陳列棚には業務用はおろか、一般向け製品の陰はどこにもなかった。
やっぱり性能が悪いですか?
県内にある複数拠点で、同一プロバイダの同じサブネット内のグローバルIPアドレスをそれぞれ割り当てました。
RTX1200同士ならIPsecトンネル内を、5msec〜8msecくらいで通信できますが、
RTX1100が相手になるとトンネル内を、15msec〜18msecほどかかってしまいます。
スループットもだいぶ違う。
ギガチャネルってGECの事?
もしGECであるならCiscoのISR G2以外のルーターでGECを組める機種を知っていたら教えて欲しい
RTA54iの時代ならまだしも、今、量販店で品定めをするような人にとって
ネットボランチは検討の対象にされないよ。店頭に並べたって売れるわけがない。
NVR500で化粧箱が茶箱に変わったのも頷ける。
数年前、近所の量販店に1台だけRT58iが陳列されていた。
ダミーの空箱ではなく商品そのもの。
NVR500の発売以降も値段は変わらず、化粧箱が色あせたまま暫く陳列されていた。
茶色にしていると色あせても分かりにくいから?
>ネットボランチは検討の対象にされない
高機能、高性能だけど、高価だからなあ
悪い。
カタログ値を見ればわかるが、IPSecスループットでこそ5/3倍でしかないが、
ルータ自体のスループットでは5倍ある関係で、実際にはそれ(5/3倍)以上に差が付く。
そもそもRTX1100の上位機種的な位置づけだったRTX1500よりも
RTX1200の方が高速なんだ。
IEEE 802.3adのギガビットって、CISCOぐらいだったのか…。知らんかったw
GECとひとくくりに書いて悪かった
GEC/FECに限らず、安めのルーターでサポートされているもんがあれば知りたいと思って聞いてみた。
ちなみに、ISR G2では802.3adは今のところサポートされていない
サポートされているのが唯一static channel
YAMAHA業務向けルーター運用構築スレッドPart13
ttp://engawa.2ch.net/test/read.cgi/network/1388205377/
8080に穴をあけて、wwwサーバ(80)に外部からアクセスするように設定できますか?
外部8080→内部80なら
nat descriptor masquerade static 1000 1 サーバーアドレス tcp 8080=80
とか書けば良いはず。
なるほど!、ありがとうございます。
> ネット接続オンリー ⇔ VPN張ってるところ
VPN の N は Network なんだから
VPN も「ネット接続」だがなw
おそらく「routing と NAT だけ」くらいの意味なんだろうが
それを「ネット接続」と略すのはどーだろ。
素人さんならともかく業務でネットワーク設定やってるような人は
あまりそーゆー言い方はしないように思える。
これは?
YAMAHA業務向けルーター運用構築スレッドPart12
ttp://engawa.2ch.net/test/read.cgi/network/1358373114/
そもそもpart2とかで分かり難くなってるのもどうかと思うが
Part2 → Part12
Part12 → 実質Part13
たしか、こういう流れだったと思う
Part2は幻のスレになるのか
YAMAHA業務向けルーター運用構築スレッドPart13
ttp://engawa.2ch.net/test/read.cgi/network/1388205377/
ほとんど L2TP/IPsec 関係の修正
Rev.8.03.94
2013年12月18日
tunnel 張ってる所は、ファーム上げただけで、VPN 切れやしないか心配なんだよね。
その時は単にRT57iとの置き換えってだけのつもりだったんだが。
ふと思いついて今日ウチのRTX1100との間にIPsecトンネルを設定してみた。
これで明日実家に帰っても録画サーバのビデオを見れるようになったw
さっき試してみたがH.264の録画なら問題なく再生できそう。
さすがに BS とかのMPEG2は帯域幅的に無理だが。
こりゃ便利。
自分の趣味も兼ねて実家に帰っていますね
たしか、去年も・・・
うちは、お金が無いから、フォーティネットとかですw
営業所は中古のCisco1850
金なんかねーよ
IPsec拠点間LAN接続で結んでいる
今年の年末年始は遠隔メンテナンスができてとっても便利
リモートアクセスやってました・・・
YAMAHAさんには感謝
/: : : : : : i :i : : : : : : : / i: : : : : //レ: :/ l:`ヽ∧: : : } : : :
/: : : : : : : l { : :,ィ´iヾト、 ヽ : : :/-≦7x-z}/i:./ }: : /i : :i :
i../i: : : : : : :ヽ: i l し'::::{ \/ r' iL_ノ:::i ∨ il: /: i: : l :
l/ |: : : : : : : :.ヘト マェタ l i:.:.:::::::l } lレ: : : : : : :
|: : : : : : : : : { ヽ 廴:.:.タ ノ /: :./ : : :/ :
,: : : :トト、: : : i//// / /////: :./ : : : : :
∨ヽ} ヽト、l / / /// /: :/ : : :/: :
/ > イ: :./ \/∨
/ / \ _ , '´/i./ レ' |`ヽ
. / i ./ > ` / イ / / i
i / /> _ - i / |
{ / / ヽ / |
それじゃあ、埋めますね
ttp://engawa.2ch.net/test/read.cgi/network/1388205377/
もう書けないので、新しいスレッドを立ててくださいです。。。
