YAMAHA RT series router Home Page
ttp://www.rtpro.yamaha.co.jp/ 【お約束】
ここはYAMAHAルーターで小規模〜大規模のネットワークを
構築、運用する人のための情報交換スレッドです。
ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ
【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 19
ttp://toro.2ch.net/test/read.cgi/hard/1383565233/
【過去スレ・前スレ】
YAMAHA専用スレッド ttp://pc.2ch.net/test/read.cgi/network/997877142/
以下、スレタイは:YAMAHA業務向けルータ運用構築スレッドPartXX
Part2 ttp://pc5.2ch.net/test/read.cgi/network/1037975157/
Part3 ttp://pc8.2ch.net/test/read.cgi/network/1092832668/
Part4 ttp://pc11.2ch.net/test/read.cgi/network/1144116104/
Part5 ttp://pc11.2ch.net/test/read.cgi/network/1196114751/
Part6 ttp://pc11.2ch.net/test/read.cgi/network/1223667451/
Part7 ttp://pc11.2ch.net/test/read.cgi/network/1245454435/
Part8 ttp://hibari.2ch.net/test/read.cgi/network/1275391797/
Part9 ttp://hibari.2ch.net/test/read.cgi/network/1294731041/
Part10 ttp://engawa.2ch.net/test/read.cgi/network/1309822690/
Part11 ttp://engawa.2ch.net/test/read.cgi/network/1329367146/
Part2 ttp://engawa.2ch.net/test/read.cgi/network/1358345652/ (実質12)
Part13 ttp://maguro.2ch.net/test/read.cgi/network/1388205377/
2get
\ │ /
/ ̄\ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
─( ゚ ∀ ゚ )< グンマグンマ!乙
\_/ \_________
/ │ \
∩ ∧ ∧∩ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ ∩∧ ∧∩\( ゚∀゚)< 乙グンマグンマグンマ!
グンマー〜〜!乙 >( ゚∀゚ )/ | / \__________
________/ | 〈 | |
/ /\_」 / /\」
 ̄ / /
 ̄
ネクスト ←ホームゲートウェイ ←RTX1200 ←PC
ipv6 lan3 address dhcp
ipv6 lan3 dhcp service clien
という感じで、RTX1200はホームゲートウェイからIPv6プレフィックスの割譲を受けています。
RTX1200のLAN配下のPCへIPv6広告を出しています。
ホームゲートウェイには、ルーティング情報を設定してRTX1200が管理するIPv6アドレスと経路であるRTX1200のアドレスを
設定する必要はあるのでしょうか。
少なくとも、RTX1200側には、
ipv6 route default gateway ゲームゲートウェイ
と設定しています。
逆ルートの設定は不要なのでしょうか?
実際に試しました。
ホームゲートウェイにはRTX1200へのルーティング情報は不要でした。
しかし、ホームゲートウェイには、このRTX1200だけでなく、複数のIPv6サブネットを管理することになるはずなので、
おのおののプリフィックスごとに、経路となる配下のルーターがもつリンクローカルアドレスを紐付けする必要があると思うわけなのですが。
どうして不要なのでしょうか。こういう場合、IPv4ならRTX1200への経路は明示的に必要ですよね。
(5) DHCPv6-PD と Route Injection
ttp://kokatsu.jp/blog/ipv4/data/JLabs%20DOC-009-2.0.pdf#page=33 ttp://peace.2ch.net/test/read.cgi/hack/1394535625/
しかし詳細を書くと、RTXの機能が多くでてしまいます。
よろしくお願いします。長くなります。
まず、ホームゲートウェイ配下に、WINDOWS7-PCを直結したところ、
フレッツのサービスサイト http://[2001:a7ff:ff06::1]/ へアクセスできました。ok
一方、ホームゲートウェイ配下に、RTX1200(1)を設置し、IPv6プリフィックス(大)/53くらいを取得しました。
さらに、RTX1200(1)はIPsecトンネルで別のRTX1200(2)とネットワーク構成されています。
RTX1200(2)は、IPv6プリフィックス(大)からプリフィックス(小)/64に手動で切り分けてLANインターフェイスに設定しています。
配下にはPCがあり、プリフィックス(小)/64からIPv6(GUA)を得ています。
<下図>
HGW-RTX1200(1)--ipsec--RTX1200(2)---PC2
RTX1200は、IPv6のルーティングが正しく設定されていて、
PC2から、RTX1200(1)や、HGWのGUIへIPv6で接続可能です。ok
また、RTX1200(1)は、外部からデータコネクトによるリモートセットアップができたので、
HGWをパスしてRTX1200(1)のLANポートへのアクセスはできるようです。
つづく
ところが、PC2からいったんHGWのGUIへIPv6でアクセスしてログインすると、直後からしばらくの間だけ、
http://[2001:a7ff:ff06::1]/ へアクセスできるのです。
HGW(「外部→HGW→内側」にパススルーする場合)のRTX1200(2)へのルーティング情報が怪しいと思っています。
HGWは、「外部→HGW→内側」にパススルーする場合には、/64bit単位でプリフィックスを管理しルーティングテーブルを自動作成しているのではないかと思います。
そしてそのテーブルは、直結されているマシンやルーターに設定されたプリフィックス/64のみを拾い出しているのではないかと思います。
払い出されたプリフィックスでルーティングテーブルを自動作成しているのなら、
IPv6プリフィックス(大)/53に、IPv6プリフィックス(小)/64が含まれているので、RTX1200(2)への通信も成功するはずだからです。
これはおかしい挙動だと思います。
実際、RTX1200(2)からHGWへの通信(HGW→内側)はまったく問題ありません。
HGWは払い出したIPv6プリフィックス(大)/53宛のネクストホップを知っているということだと思います。
しかし、「外部→HGW→内側」にパススルーする場合には、これが通用しないのです。
繰り返しになりますが、PC2からいったんHGWのGUIへIPv6でアクセスしてログインすると、直後からしばらくの間だけ、
http://[2001:a7ff:ff06::1]/ へアクセスできるのも奇妙です。IPv6プロトコルにこういうのがあるのでしょうか?
HGWのバグじゃないかと思うんです。
HGWにつながっているRTX1200(1)のLANポートに、
複数切り出し可能なIPv6プリフィックス(小)からそれぞれ「・・・::1」アドレスを作成し、重複して設定してみようかと思います。
/56bit割譲の場合、64-56=8bit だから、2^8個のプリフィックス(小)が存在可能です。
これらについて、「・・・::1」アドレスを作成して、そのRTX1200(1)のLANポートに設定するわけです。
そうすると、HGWは、仮説が正しければ、ローカルなRTX1200(1)のLANポートに設定されたそれら全てのIPv6アドレスから、
/64bitプリフィックスのルーティングテーブルを自動作成するのではないかと思います。
そうすると、RTX1200(2)宛のIPv6パケットは、RTX!200(1)へ送られるようになるのではないかと考えました。
しかし、変な設定です。こんなへんてこなことやりたくないです。
> IPv6プリフィックス(大)/53くらいを取得しました。
/52(網がHGWへ/48をPDしている場合)か/60(網がHGWへ/56をPDしている場合)のどちらかだよね。
> 直後からしばらくの間だけ、
> http://[2001:a7ff:ff06::1]/ へアクセスできるのです。
PC2のジャンボフレーム機能を有効にしているなら無効にしてみて。
あるいはRTX1200がPMTUDブラックホールになってしまっていて、パスMTU探索に失敗している可能性がある。
RTX1200(1)とRTX1200(2)は、自身のIPv6グローバルアドレスを使ってHGWやNGN側と通信できている?
たとえばntpdate 2001:a7ff:102::b を実行して、NGN内のSNTPサーバーから時刻を取得できる?
パケットフィルタでICMPv6を遮断していない?
> HGWは、「外部→HGW→内側」にパススルーする場合には、/64bit単位でプリフィックスを管理しルーティングテーブルを自動作成しているのではないかと思います。
HGWは網からPDされた/48または/56を16等分(/52または/60)して先頭1つを自身が利用し、あとの15個をPDクライアントへ1つずつ順番に払い出す。
これらはHGWの「DHCPクライアント取得情報」及び「DHCPv6サーバ払い出し状況」で確認できる。
払い出しと同時にの仕組みで経路情報設定が行われる。
経路情報設定されるプレフィックス長は払い出し単位と同じく/52または/60。
> HGWのバグじゃないかと思うんです。
HGWのバグ報告はハードウェア板の「【NTT】フレッツ光・ひかり電話対応ルータ」スレへ宜しく。
ttp://peace.2ch.net/test/read.cgi/hard/1401774324/
でも今までそんな情報は無かったし、少なくとも400NEと500KIに関しては正常だよ。
HGW-NVR500-RT58i-PC
という構成でPCから
ttps://www.flets-west.jp/へIPv6及びIPv4(HGWのIPv4-IPv6トランスレーター機能)にてアクセスできている。 もちろんhttp://[2001:a7ff:ff06::1]/もOK。PCのOSはWindows2000。VistaのPCでも正常。
HGW-NVR500-RT58i-RT57i-RTA50i-RTA55i-RTA54i-PC
(RTA50iはWS-ONEで、LANポートだけを使ってIPv6ルーティング)
という構成でも
ttps://www.flets-west.jp/やttp://speedtest6.iijmio.jp/へIPv6でアクセスできた。 L-03Fは使えますか?
対応端末はL-03Dまでですが売ってないようです
レスいただきありがとうございます。
HGWを、RT-400NEと定めてやってみました。先ほど(vg-x)とは挙動が異なりました。
ネクスト網---HGW---RTX1200(1)--ipsec--RTX1200(2)---PC2
以下、IPv6を使いテストを行いました。
RTX1200(1)も、RTX1200(2)も相互に、pingが通りました。(互いに正しくipv6 routeが設定されている)
RTX1200(1)からも、RTX1200(2)からも、HGWにpingが通りました。
RTX1200(1)においても、RTX1200(2)においても、ntpdate 2001:a7ff:102::b コマンドで正常に時間調整がなされました。(ネクスト網への通信ができている)
PC2から、HGWまでping(tracert)は通りました。(経路も上図で間違いありません)PC2からHGWまでIPv6の疎通がある。
しかし、http://[2001:a7ff:ff06::1]/ を開くことができません。???
HGWは、RT-400NE ファームウェアバージョン 5.15 です。
何か、設定が抜けているのでしょうか。
PC2から、2001:a7ff:102::b(網内 ntpサーバ?)まで tracertすると、
HGWまでは、トレースでき、それ以降は、タイムアウトになりました。
しかし、繰り返しになりますが、RTX1200(1)(2)の両方で、ntpdate 2001:a7ff:102::b 結果は正常でした。
>PC2のジャンボフレーム機能を有効にしているなら無効にしてみて。
Broadcomの有線gigabitNICをWin7 64bitで使っています。
Large send offload v2 ipv6 = Enable になっていますが、ジャンボフレームの設定は見つかりませんでした。
FWは初期設定のままです。
内側→外部との通信は、IPv6 IPv4にかかわらず、問題なくできるようです。
無効にして、http://[2001:a7ff:ff06::1]/ へアクセスを試みましたが、駄目でした。
tracert 2001:a7ff:ff06::1 (fletsサイト) も試しましたが、2001:a7ff:102::b (ntp)の場合と同じ結果でした。
すなわち、RTX1200(2)、RTX1200(1)、HGW、までのトレースはできて、そこから先はタイムアウトになります。
でも、RTX1200(1)(2)の両方で、ntpdate 2001:a7ff:102::b 結果は正常なのです。
?わかりません。
RTX1200(1)(2)の両方で、2001:a7ff:102::b(ntp)への経路を、traceroute6で調べましたが、
同じHGW<RT-400NE>への経路を通っていました。
テヘ、ばれた…
関連スレはサーバーが変更になっています。
YAMAHAヤマハブロードバンドルーターpp select 19
ttp://peace.2ch.net/test/read.cgi/hard/1383565233/
フレッツサービスサイトからの応答がRTX1200(1)に入ってきていることまでわかりました。
<構成>
ネクスト網---HGW---RTX1200(1)--ipsec--RTX1200(2)---PC2
(フィルタログ)
LAN Passed at IN() filter: TCP 2001:a7ff:ff06::1.www > PC2のIPv6一時アドレス.53825
PC2(win7 64bit)からHGWのGUI画面は、IPv6アドレスで開くことができます。pingも通ります。
なので、RTX1200やHGWの経路設定は正しく行われています。
さんのおっしゃる、ブラックホールがとても気になります。
IPv6は、パケットサイズが大きくても、断片化せずに、送りなおしを命じるようになっているらしいです。
IPsecトンネルを抜けることもできず、何かの都合で送りなおしもしてもらえない問題が発生しているのでしょうか。
対策や、問題を詰めるヒントをいただけるとうれしいです。
なんでconfigどこかに上げないの?
各ipsecトンネル設定において、
ipv6 tunnel tcp mss limit auto
を設定しました。すると、http://[2001:a7ff:ff06::1]/ にうまく接続できました。
設定によって、トンネルを通過できるサイズでパケットをくれるように、送り元に要求したのだと思います。
IPsecトンネルに、IPv4は通したことはありましたが、今回、IPv6での通信だったので、
別途、IPv6プロトコルについても、設定が必要になるところを怠っていました。
さんの”ブラックホール”がビンゴでした。
私のルーティング説は的外れな考えでした。
ありがとうございます。
これから、IPv6が普及してくるにつれて、このブラックホール問題は頻発するんだろうなと思いました。
またよろしくおねがいします。
ノ( ノ)
く く
ズコー
ヽ(・ω・)/
\(.\ ノ
ip tunnel tcp mss limit auto
はこのスレとCONFIGのテンプレにすべきだな
特にIPv6は、IPv4とちがって、断片化が効かないのでブラックホール行きになる
まぁ良いじゃないですか。こうやってここに書き込むことで書いてる本人がミスに気がつくのはよくあること。
私もお世話になってます。
ciscoならCCNAがあるみたいな。
東京とかでセミナーをやってるのは知ってますが、いつも参加できるわけではないので、
書籍とかサイトとかをつかって学びたいです
よろしくお願いします
過去スレ全読破&完全理解
SSGの勉強今から始めるような今更感がある
yamaha ルーター関係は何冊か書籍が出てますよ。
YAMAHA ヤマハ ブロードバンドルーター まとめ Wiki
のトップぺージの下の方にまとまっています。
ttp://wikiwiki.jp/yamaha-rtpro/ YAMAHAの場合、オフィシャルのドキュメントがいっぱいあるから
まずは読んでみたら?
ttp://www.rtpro.yamaha.co.jp/RT/docs/ スレ違いでごめん。
> SSGの勉強今から始めるような今更感がある
今なら何が本命なの?
結局そういうことですか。
YAMAHAの方がいいような気がする。
ttp://itpro.nikkeibp.co.jp/article/Watcher/20140617/564622/ エンジニアがわざわざ好んで覚えるもんじゃない
Asteriskスレからおつ
● 品名 ギガアクセスVPNルーター RTX1210
● 本体価格 125,000円(税抜)
● 発売時期 2014年11月
──────────────────────────────────────
主な特長
1. ネットワーク構築から運用管理まで使いやすさを追求した新GUI搭載
2. ネットワークの見える化の拡張
3. ルーター基本性能の向上
4. USBデータ通信端末を利用したデータ通信
5. 2020年から始まるISDNマイグレーションへの備え
6. スマートフォン/タブレット端末連携(L2TP/IPsec)
ttp://maguro.2ch.net/test/read.cgi/network/1388205377/830-
俺も一瞬感じたが、よく考えたら、俺らみたいなクソ常駐ではない、心のきれいな一見さんが
初めてスレに来た際、役に立つだろうから、とてもいいんじゃないかと、思い直した。
もっと単純に考えろ、
新しいスレでも話題としてあげやすいように、資料を用意してくれたんだろう。
は、性格がひねくれている。
は、それをさらにひねって、パラダイムシフトを起こしている。
ところが、おれは天然。
大したことないから公表しないの?
rtx1500 > RTX1210 ?
計算すれば大体の数値出るじゃん
ttp://jp.yamaha.com/news_release/2014/download/1406040101.jpg おおよその最低値しか出ないよ?双方向2Gbpsでパケットサイズ1518のときのppsってことでしょ?
それだと163kppsになる。
確実にRTX1200は超えてるけどRTX1500よりパケット処理性能がいいかどうかはまだ不明。
RTX1500 238kpps
RTX1210 163kpps〜?
RTX1200 120kpps
RTX1100 52kpps
(※RTX1210以外はヤマハのサイトより)
一般的な使用方法ならコマンド入力が不要になると言う事ない
RTX1500はメインCPU以外も使って力技でパケット捌いてるんだから同列で比較出来ないよ。
最低線で設計しなきゃロクなことないし。
どういう意味?
RTX1210とRTX1500は同列じゃないと決めつけてかかる根拠は?まだどっちか分からないだろ?
品番と価格
YAMAHAは純粋な後継機で冒険なんてしたことがあるかい?
RTX1000、RTX1100、RTX1200と来て、RTX1210だぞw
RTX1300でもRTX1400でもない
TMAX530とか
もっと上なら3500系とか5000でって。
でも正直それならもうシスコにいくよね…
RTX1210発売!NATなしで2Gbps! VPN1.3Gbps!
それとRTX1510 NATなしで2Gbps! VPNも2Gbps! ショートパケットも強い!
ただし価格はRTX1210の2倍!
っていうのを誰が買うのかと
スループットなんて言う一部の数字だけで争っているから、
おかしな話になるわけで。
(特にコンシューマ向けの機器と比較されると、説明するのに骨が折れる。)
ttp://gmobb.jp/lp/flets_v6plus/ キャンペーン期間:2014年6月30日(月)まで
これって、もらえるプリフィックスは、やはり/64なんだろうか。
だとしたら、(クライアントidの自動設定を前提に)サブネットに分けられないじゃないか。
あと、ホームゲートウェイ前提ってのがいや。
rtxだけでV6プラスの機能は使えるようにならないのかな。
IPv6 IPoEのプレフィックス長はNTT東西の都合で決まる。ISPやVNEには依存しないよ。
NTT西日本
ひかり電話契約なし:RAで/64を通知。PDは利用できない。
ひかり電話契約あり:PDで基本的に/56、極稀に/48を委譲。RAはプレフィックス情報オプションの通知なし。
ttps://flets-w.com/next/download/tool/gijyutsu_sankou_next_light.pdf#page=20 NTT東日本
A:ひかり電話契約なし:RAで/64を通知。PDは利用できない。
B:ひかり電話契約あり:PDで基本的に/56、極稀に/48を委譲。PDに加えてRAでは/64を通知。
ギガスマートタイプはおそらくひかり電話契約の有無によらずBじゃないかな。プライオは分からない。
ttps://flets.com/pdf/ip-int-flets-3.pdf#page=18 > あと、ホームゲートウェイ前提ってのがいや。
ttp://www.jp.ipv6forum.com/timetable/program/20131125_kobayashi.pdf#page=37 ttp://www.jpne.co.jp/for_developer/ > rtxだけでV6プラスの機能は使えるようにならないのかな。
v6プラスに対応させるかは分からないが、MAPの終端機能は実装するかもね。
ttps://www.janog.gr.jp/meeting/janog31/LA.html#yamaha-rtx1200-ce ttps://www.janog.gr.jp/wp/softwire-wg/files/2013/01/yamaha-map-e_nagaoka.pdf GMOに個人情報を渡すことの是非は別として、v6プラスとしては最安じゃないかな。最近はv6プラスだけを単体で提供するISPが増えてきたね。
@niftyは(BIGLOBEも?)はv6プラス契約時もIPv4 PPPoE接続用アカウントを併用できるからそういったことも加味して選ぶのが良いかと。
NTT東日本・フレッツ光ネクスト総合スレ★13
ttp://maguro.2ch.net/test/read.cgi/isp/1393653678/
NTT西日本・フレッツ光ネクスト総合★16
ttp://maguro.2ch.net/test/read.cgi/isp/1403457534/
GMOとくとくBBってどうよ? その7
ttp://maguro.2ch.net/test/read.cgi/isp/1393617217/
JPNE 01
ttp://ipv6.2ch.net/test/read.cgi/ipv6/1366456398/
HGWを導入できない環境にあるので、今回の申し込みは見送ることにしたんだ
だから、せっかくなので、教えてあげようと思って。
RTXだけで、V6プラス(IPv6からIPv4へアクセスさせられることだと思っている)
が使えるようになるときまで、IPv6の導入は見送りなのだ。。。
詳しくありがとうございます。
ひかり電話を契約中なら少なくとも/56で来ると聞いて安心しました。
V6オプションって、仕様が公開されてメーカーは自由に対応させられるんですね。
ということは、YAMAHAさんも・・・!期待します。
>GMOに個人情報を渡すことの是非は別として
なんか怖いです。
IPv6 PMTU Discovery Blackholeの盲点
ttp://www.janog.gr.jp/meeting/janog34/program/6pmtu.html でも、これってアドレスがグローバルになることでひかり電話に影響与えたりしないよね?
ためしに申し込んだが、PR-400、RV-440、RT-400、RT-500で始まる番号のhgwでなかったためか、
利用できない状態が継続中。
hgwのタイプが古くても、v6プラスに対応しないだけで、IPv6インターネットへの通信はできると思っていたが、
あまかったようだ。
hgwの交換をしたいが、onu一体型なので、いちいち工事に来てもらうのも面倒だ。
onu分離を希望しておけばよかった。
rtxだけでv6プラスがつかえるようになっても、ひかり電話との競合など、いろいろ制約がありそうで面倒っすねえ。
ごめん、早合点だった。
申し込みに必要な情報が間違っていた模様。
また、明日以降に報告する。
開通した!
WEBで登録した情報に誤りがあって、申請が滞っていたらしい。
電話で受け付けてもらって、その日のうちに、IPv6アドレスが変化した。
ttp://www.kame.net/ では、ダンシング亀さんがはじめて見られた。 PR-400、RV-440、RT-400、RT-500 ではないHGWだったけど、/56のプリフィックスを受けていた。
その配下のRTX1200がプリフィックスを受けて、/61のプリフィックスをもらっていたよ。
いいね、やっと、うちもIPv6デビュー
なんと、この掲示板、YAHOO.JPは、IPv6非対応のようだ。使えんなあ。
まだまだ、IPv6ネットワークは狭いようだな。デュアルスタックか、V6プラスを使うことになるのだろうが、
でも、そもそも、プライベートな環境では、IPv4のプライベートアドレス(192.168・・・覚えやすい)の直打ちがこの先もずっとありそうだからな。
デュアルスタックは死ぬまで使い続けることになりそう。
プライベートとグローバルと、IPバージョンの住み分けができそうに思った。
サーバ公開もVPN機能利用も出来なくなってnatの同時セッション数も激減するアレをわざわざYAMAHAで使いたいシーンが思いつかん。。
いいえ、大多数の人間が俺にはv6はまだめんどくさいから関係ねー、と思って触れずに居ます
センター側はYAMAHAで拠点はFortigate
ぶっちゃけ、それくらいしか中小規模のネットワークでv6を触りたいと思うインセンティブ無いよね。
日本はアドレス不足もそんな深刻になってないからv6に移行するメリットが相変わらず薄い。
時間できたら検証やってみるつもり
yahoo.co.jpですらv4でしか稼動していない模様。
msnも駄目、google様とか、テストサイトのみアクセスできるような状況では、普及しないな。
BBIXのキャッシュDNSサーバーならyahoo.co.jpのAAAAを返すんじゃね?
ttp://v6.bbix.net/news/2012/20120903_01.html GOOGLEの、V6用オープンDNSサーバをつかったんだけど、yahoo.co.jp は駄目だった。
yahoo.comはいけた。
意図は分かるんだけど、結局バットノウハウだらけになっててめんどくさい
yahoo.comはWorld IPv6 Launchに参加してるからね
yahoo.co.jpのAAAAを引けるのはBBIXのDNSサーバだけなんじゃ?
でもまあ、このスレで続けることじゃないな
だからここは、総合スレみたいにしてほしいよ。
IPv6板が書き込みできない状態だから仕方ない
あとはふたばのIPv6板ぐらいか
scにはIPv6板が無いし、openのIPv6板は過疎ってるからねぇ
はなしやすそう
ttp://news.mynavi.jp/news/2014/07/18/088/ NTT西日本)は、中規模事業所向けに、
新たにBiz box(ビズ ボックス)ルータ「RTX810」の販売を、
7月18日から西日本エリアにて開始すると発表した。
価格は、72,000円(税別)。
まあ、NTTのサポート込みの値段なんだろ。
サポート料金が別ならアレだが。
通機だよね。
営業担当のさじ加減だよ。
工事内容によってはただ同然になるよ。
電話屋みたいなのがVPNで高額なリース組んでて目も当てられない現場が結構あるんだよな...
OPEN価格だもの。
名前は出さないけど、また○○○○か!というケースが多いのには辟易する
RT58i なんか、ファーム 9.01.51 まで有るのに、N58i は、9.01.48 相当で終わってる。
あるのはNECネームのOEM
あれ、シール貼ってあるだけなんだけどね
たぶん逆。
113の言うとおり、シールが貼ってあるだけで中身はそのまま。
NECのIP38xは、YAMAHAのファームウェアがそのまま使える。
実際使ったことがあるけど、少なくともRTX1100の頃はそうだった。
(今はどうか知らないが、マニュアルもYAMAHAって書いてあるのがそのまま入っていた)
NTTのは、専用のファームウェアでないとダメ。
NTTのにYAMAHAのファームを入れることも
YAMAHAのにNTTのファームウェアを入れることも出来ない。
こちらもRTX1200で試したことがある。
まともにハードも作れないくせに、OEMの機能を殺す、制限する、ことしか考えない。
それに見合う処置と動作検証などを経て提供と、
何か問題でも?
どうやら熱暴走の模様。
改めて仕様を確認してみると「周囲温度0 40℃」と、意外と限界が低いのね。
夏の閉め切った室内ならば37〜38℃程度は簡単に達するだろうし
無人の部屋で空気が動かなけりゃ排熱が溜まって40℃なんて簡単に越えてしまいそう。
現在長期出張中で数週間おきにしか帰れず大弱り。
取り敢えず前回帰宅時に小さい扇風機置いて空気を動かすようにしてきたのだけど今日再び無反応に。
こりゃ35℃とかの設定でエアコン掛けっぱなしにしとくっきゃないか?
何週間も無人の部屋でエアコン回し続けるのはちょいと抵抗あるが…
自宅の録画サーバにアクセスできんのはマジ困るw
一人暮らしの皆さんはどう夏対策してますか?
こんなに長期間(真夏に)部屋を空けるのは初めてなんでどーしたものやら。
高い温度設定にしとけば実際は送風だけの時間が長くなるし、エアコン付けっぱなしで問題ないと思う。
縦置きにしてみたりする。
本体の寿命じゃないの?夏の閉め切った部屋でもそんなに高温にはならないでしょ?
それか以前になかったっけ?ファームウェアが古くて攻撃を受けてるとか?それは再起動だっけ?
とりあえずサーバーがあるなら温度ログでも取ってたら?
真っ先に死ぬのはL2HUBだったりするし
・左右側面にドリルで換気穴を好きなだけ開ける。ゴキの侵入はできない穴径で
・ACスイッチが上に来るように縦置きにする。そのとき底面になる側の端に、
PETボトルのキャップ2つをホットボンドで貼り付ける
・A4雑誌を保持できるようなブックエンド2つを買ってきて、それで挿んで自立させる
・心配なら細めのベルクロテープで、それらをずれないようにひとくるみ
24Hの任意タイミングなタイマーで制御って手もある
こんな感じのタイマーコンセントで必要な時間帯だけONとな
YAZAWAコード付24時間タイマースイッチ(タイマーコンセント) SHT15115WH
LANケーブルはサッシ用の薄いやつを使えば大丈夫だろ
ttp://www2.elecom.co.jp/cable/lan/ld-vapf/sv/ ラズベリーパイに温度センサーを付けて、閥値を超えたら扇風機を回す!
パイとセンサと扇の値段でRTXのいいのが買えやしないかい?
っていうか温度センサーと扇風機でいいじゃん。パイいらんやん。
温度でスイッチを入れるならこれがいいよ。AC110Vで使えるから。
たしか1000円前後だった。
ttp://sakaguchi-dennetsu.co.jp/lineup/ondo/thermostat/f1.html ttps://db.sanyodenki.co.jp/product_db/coolingfan/acfan/ac_fan_detail.php?master_id=440 エアコンだろ
止まったら目で見えるダイソー扇風機を使い潰すほうが、このレベルのルータを、空調サーバルームが無い環境で扱う範囲では、好みだなあ。
というかむしろ、「暑かったらサービス中断仕方ない。」という、
ゆるい文化の拡大に努力するべきなんじゃないかという提言というか妄言。
冷房無しだったら、ルーターもPCも駄目になっているなあ
しかし、部屋ごと冷やすとは効率の悪いこと。
自力で冷却する機能がいるなあ。
ぺるちぇそ氏
ヒートシンク 500円くらい
ACFAN 2000円〜
ケース 108円〜
RTXの蓋を開けて、ヒートシンクを置き換え、追加
100均の透明ケースに穴を開けて、FANを取り付ける
以上
うちはネットワーク関係は、新築時に半畳ぐらいのスペースを作ってそこに押し込んでる。
今見たら、温度計は38度あった。(show environment は51度)
家の真ん中にあるので直射は当たらない代わりに換気も出来ないから
おそらく、ピークでは40度を超える。
7年目だけどRTX1500もよく頑張ってくれてるよ。
RTX1210が出たら買い換えようかな。
使用周囲温度が、5度違うのは精神的に大きい。
遅そう
でもRTX810の方は記載されてないね
RTX810の方が(新しいから)CPU速いんだっけ?
使用温度範囲の拡大は、実際にどの程度の違いがあるんだろうね。
夏場のオフィスは、休日だと40℃を超えるので気になる。
MIPSの300MHzとARMの450MHzってどっちが速いんだ?
ttp://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html 処理内容によるけどFPU持たないARMは命令の実行効率が良くないと言われる部分がある。
玄箱のPPC266mhz辺りとARMの400mhz辺りで数字ほどの差がなかったと言われてるから
まぁそれも似たようなもんじゃないの?
まぁ大して差がないんじゃないの、ってことで
処理内容によるけど、同じくらいだと思う。
本体外装にドリルで穴をあけまくるとか・・・
パンチングメタルでオリジナルケースを作って基盤を移植するとか・・・
動作時の周囲温度は、MAXの負荷がかかっているとき(最大の消費電力)を基準にしていてい
なおかつマージンがあるだろうから、低負荷の時ならそんなに心配ないと思う。
新しい機種が温度の上限が高いのも、チップ自体の耐熱温度が上がっているわけじゃなくて、
発熱量が減って、内部での上昇分が減った結果であることがおおい。
冷却による延命とか信頼性向上は
出荷後にできる最大の努力だと思う
個人の範疇で、だが
一昨日の夜中、帰宅。
結論から書くと「今回は」RTX1100の熱暴走ではなかった。
LAN側からは普通にアクセスできるし、
念のため予備機に交換してみてもやはりPPPoEの終端に失敗してしまう。
そこでNTTのVDSLモデムをチェックしてみるとVDSL LINKのLEDが点滅しとる。
(フレッツ光マンションタイプ契約/正常通信時は点灯表示)
どうやらモデム or MDFの障害の模様。
朝になり、大家さん経由でNTTに問い合わせて貰ったところMDFが無反応。
先週近所で落雷があり、恐らくその際に故障したのでは、とのこと。
ちょっと待て!
それならウチだけでなく先週から全戸不通になってたはずだぞ。
図らずして今このアパートでフレッツ使ってるのが俺だけだということが発覚w
帯域幅占有か。
修理は月曜になるとのことで、今日また出張に戻ってしまう俺としては
無事回復してくれることを遠くから祈るほかなし。南無南無。
MDFが壊れるまでは「扇風機作戦」は十分機能していたと思われるので
再度扇風機をセットして家を出てきた。
ちなみに
> 夏の閉め切った部屋でもそんなに高温にはならないでしょ?
金曜の夜中12時過ぎに帰宅したとき室内の温度計は35℃を表示。
となれば日中37〜38℃(それ以上も)というのは当然あり得るし
ルータ周辺は余裕で40℃越えでしょう。
取り敢えず、USB温度計を買ってきて録画サーバに接続し、
延長ケーブル使ってルータ前30cmくらいの位置にぶら下げてきた。
回線が復活すればリモートから室温が確認できるようになる(はず)。
しかし、こうなると「モバイルインターネット接続機能」対応機種に変えて
安いMVNO SIM入れたバックアップ回線でも用意したくなる…
VDSL集合装置はポート毎不良になる場合もあれば、複数単位で不良になる場合、
当然全部不良になる場合がある。
単純に集合装置の故障=全戸不通とはならない
NTT側から見て「MDFが無反応」という症状で
装置の配下「全戸不通とはならない」という状況ありえるの?
反語表現ではなく詳しくないから聞いてるのだけど
光配線方式にする所が多いって聞いたよ。
古いマンションだとまともに追加でケーブルが通せない状態だったりして
光配線がそもそも無理だってことがある。そういうところはVDSLにするしかない。
VDSL も速度的には全く問題ないよ。
スレチだから詳しく書かないけどあり得る
集合装置で遠隔保守する為のレイヤーと各戸に通信を転送する為のレイヤーが異なるため
遠隔保守が出来無かろうが各部屋が通信が出来る事は往々にしてある
これの主たる要因は故障とは別のところにあることが多いが、遠隔保守不可=全戸使用不可を決定付けるものにはならない
また、何がどこまで無反応だったのかわからない
遠隔ログインしてポートリブートが無反応だったのかもしれないしそこはわからない
NTTに連絡すればちゃんと作業員が派遣されてくるのは手厚い対応とも言えるが
面倒と言えば面倒なんだよね
貴重な報告ありがとう
MDFが身代わりとなって、宅内の機器まで壊れなかったのは幸いです
機能だけで実現できますか?
"ip filter directed-broadcast off"を設定してみたけど、L2TP/IPSecで
接続したゲスト端末からDLNAサーバーを検出できなくて(≒ブロードキャスト破棄?)困っています。
DLNAの仕様はよくわかりませんが、もしかしてディレクティッド・ブロードキャストだけじゃなく
リミテッド・ブロードキャストも透過出来ないとだめなのでしょうか。
ちなみにゲストはWindowsPCもしくはiPhone/Androidを想定しています。
ありがとうございます、しかし残念(´・ω・`)
現状リモートアクセス方式でブロードキャストパケット通せるのは
SoftEther(SSL-VPN)ほぼ一択かぁ。
ttp://itpro.nikkeibp.co.jp/article/COLUMN/20120612/401703/ ひかりTVは今もVDSLだと引けないのかな…。
解約しちゃったけどひかりTV使えてたよ。西日本。
ttp://www.hikaritv.net/resources/hikari/pc/images/services/guide/guide-img_05.png 【高画質】ひかりTV総合スレ【スマホ対応】
ttp://anago.2ch.net/test/read.cgi/cs/1332513270/
【NTTぷらら】ひかりTV part46
ttp://peace.2ch.net/test/read.cgi/esite/1394528397/
【NTTぷらら】ひかりTV不具合報告 part1【ST-3200】
ttp://peace.2ch.net/test/read.cgi/esite/1382930489/
おぉ、VDSLでも使えるのですね。
ありがとうございます。
何か悲しいよぅ
まあうちにもRT107eあるけど性能が悪いので使ってない
RTX1500の中古に乗り換えた
RTX1500は、定期RESTARTしているのに、月に一度くらいハングするから、RTX1200に替えた
他の人は?それとも、ハングはうちのハードだけ?
microSD等経由で設定を移行できるのかな?
またその後、RTX1200を予備のコールドスタンバイ機とした場合、
逆にRTX1210の設定をRTX1200に移行できるのかな?
新機能等は使用してないことが条件だけど
うちは、日中はおそらく40度を超えるところに1500を置いているけど、
show environmentで見たら177日動いている。
半年前に電源を落としたのも、電力メーターの取り替えが理由だし、
カミナリとかで電源を落としたことはあるが、ハングした記憶はないので
たぶん年単位でノントラブル。
ない機能を使わない限りは、かなり古い機種であっても双方向で問題ない。
NetvolanteDNSを使っていたら、そこだけは手動で削除、登録が必要だけど。
>RTX1500
個体差かな
ipv6関係の設定入れてない?
うちの場合はひかりNEXTなのにNEXTじゃないipv6の設定入れてた時ハングアップしまくってた
IPv6の設定は入れていないよ。
IPv4 PPPoE の標準的な設定だったよ。
ハングしたら、現場の人にスイッチのオフオンしてもらっていた。
「オフしたら、一呼吸まってから、オンにしてくださいね」
RTX1200になってからホンとに快適になったよ。
その検証をしてないでものを言われてもね
まあとにかく憶測でしかものを言えないのでもうこの話は終わりでいい?
あなたの焦燥感が伝わってくる。。。
どこに繋がってる「じゃ」
どちらが適してますか?
金あるならRTX1200+無線APでよくね
RTXを扱う技能があれば、RTX1200の方がよい。
しかし、お手軽にすぐにでもやりたいというのなら、一般向けルーターになるのだろうな。
将来、ネットワークの拡張する予定があるというのなら、がんばってRTX1200の勉強をやっておきましょう!
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/781dnsamp/dnsamp.html RTXシリーズは大丈夫なのかな?
量販店モデルとかと迷うくらいならNVR500かRTX810で十分じゃないのかな。
ttp://www.netgear.jp/products/details/R7000.html これとではなにがちがうんでしょうか?
信頼性は長年販売経歴のあるRTXがもちろんなんでしょうが、
性能、機能面、ファイアウォールでも現行市販機種ではかなわないんですか?
(ルータ機能のない)無線AP自体も製品少ないよね
機能が違う。
そういうのはインターネット接続用に特化した設定しかできないが、RTXはローカルルータ、拠点ルータになる。
VPNサーバになる。
syslogが取れる。等々
信頼性安定性も違う。
逆にそういうのが要らないならRTXは不要。
無線は新規格が沢山出てくるし相手との相性で悩む事がある。ブリッジモードで別付けが運用らくちん。
必要な時だけONなんて限定運用だって可能だし
業務ならで小規模ネットワーク構築でも、APとルータは切り離した方が良い
お金使いたくないなら、バッファローAPでもいいんじゃない
トラブル発生時に、機器が別れてるなら致命傷を避けられる
外部からの乗り込みが可能な無線APはオフで隔離できるようにしておいた方が無難だと思うなー
一方で、bot化されてるPCとかアフォな奴が内部にいる可能性もあるから完璧はないけど
切り分けの意味はあるかな。それに無線は世代交代が早くてすぐに陳腐化するしw
RTXならVPNサーバになるしヘアピンNATもできる。
スケジューラーコマンドで、毎日一回はRESTARTやっているよ・・・
設定ミスったときの最後の守護、助かるよね
VPN端末型接続をうけつけるサーバ。
VPNクライアントの対向。
そんなんも知らんの?大丈夫?
まさかVLANのタイポでしたとか今更言い訳すんなよ
197じゃないけど、たぶんこんな感じ。
無線で繋いだあと外部はもちろん内部もVPNサーバー以外に繋がらないようにしておく。
VPNつなぐとフルサービス使えるようにする。
前の会社がこうだった。
そのとおり
よくある構成だけどな
VPNサーバでクライアント接続して内外のサービスを使えるようにする。
こうしておけば、無線+VPN両方認証通らないとネットサービス使えない。
さらにお金があればVPNをワンタイムパスワードにすればほぼ完璧。
ほぼ203と同じこと書いちまったw
VPNなんて実装方法が色々あるのにVPNサーバって呼称するのが意味わからんってこと
IPsecのレスポンダになれまっせとかならわかるが
SSL-VPN使えるようになったんかともとれるっしょ
よく調べたらうちでは使えないパターンってのが
>VPNなんて実装方法が色々ある
はやく国会で解釈を統一してほしいね
このスレに居て何の話かわからんの?
筐体内温度(℃): 49
でした。大丈夫でしょうか。
それから、49℃-20℃で、室温は、29℃という理解で合っていますでしょうか。
20℃はRTX1200の定数としましたが、違うなら訂正お願いします。
意味が取れない表現だな。
取説を読んでからもう一度考えなさい。
RTX-1200 動作環境条件
周囲温度 0 ~ 40 °C
周囲湿度 15 ~ 85% (結露しないこと)
言いたいことはわかるが、確かにわかりにくい文章だな。
うちの例だと、現在筐体内温度が49℃ 周囲温度が35.5℃だ。ちなみにRTX1500
周囲温度は一般の温度計による計測。けっこう高めなのは、
狭い空間に複数の機器を放り込んでいるから、まあ仕方がない。
で、この温度差は常識的な範囲で一定になると見ていいが
実際にどのぐらい差があるかは、センサーのばらつきや環境による違いも
あると思うので、温度計で実測した方が良い。
>周囲湿度 15 ~ 85%
湿度ってどう影響するの?
それ、飽和水蒸気量を超えているよね(>100%)
ttp://scan.netsecurity.ne.jp/article/2014/07/18/34536.html 注目された現象には、
送信元ポート番号が53/UDPを使用するパケット(DNS応答パケット)と、
DNSサービスのポート不達を示すICMPエラーパケット(Destination unreachable)を本四半期も多数観測した。
ttp://www.jpcert.or.jp/tsubame/report/report201404-06.html 一部が錆びても回路が成立していれば問題ないと思うんだ。
回路が変わっちゃうのが問題なのでは?
小学校でやった電気分解、塩水に銅版刺して電気流すと水素が出来る、同時に銅が分解(溶け)されてプリント配線が変なところと繋がる
古いプリント基盤を見ると茶色く滲んだ様に見えるところがそうだったりする。
この週末 一時帰宅。
録画サーバに取り付けた温度計のログでこの二週間の室温の遷移を見ると
夜〜朝に向けて若干下降、しかし前日朝のレベルまでは下がらず
…の繰り返しで、基本的にほぼ右上がりのグラフを描いていき
最終的に8/6 の最低 37.63℃(5:43)、最高 38.88℃(17:03)がピークだった。
翌日はちょっと下がって(雨でも降ったか?)最高38.75℃止まり。
RTX1100は室温が安定して一日中37℃台後半を維持し始めた頃から
VPN(L2TP/IPsec)が不安定になり、接続しても1分も持たずパケットづまりが発生。
この状態でもSSHポートフォワーディングでのVNC転送等は問題なく利用可能なので
VPNはダメでも基本的なルーティングやNAT、フィルタリングは正常動作する模様。
(帰宅時冷やしたら正常に戻ってたが今はもうVPNがちょいと引っかかる感じ。室温はまだ36℃台)
涼しくなるまでRTXでのVPN終端をあきらめてサーバでやるか。
(RTX1100のL2TP対応以前はそっちでやってた)
rtx1100は不安定な印象を受けている。
rtx1200を買いなさい。快適だよ。IPsec関係でトラブル一切なし。
\ __ /
_ (m) _ピコーン
|ミ|
/ `´ \
ノ´⌒ヽ,
γ⌒´ ヽ,
// ⌒""⌒\ )
i / (・ )` ´( ・) i/
!゙ (__人_) |
| |┬{ | < 水槽にぶち込んだら、ずっと冷えてる!
\ `ー' /
/ |
L2TPのスピードが違う。
値段ほどのメリットがあるかは知らないw
HTTPのファイル転送で20Mbps程度しか出ない。
VPNを経由しない場合は120Mbps前後出てる。
転送中のCPU使用率は810が40%前後、1200が80%前後。
RTX1200の限界かな?
(A) サーバー -> RTX1200 -> RTX810 -> クライアント
(B) サーバー -> RTX810 -> RTX1200 -> クライアント
Aは20Mbps程度
Bは100から120Mbps程度
1200と810のどっちがダメなんだろう?
パケットサイズを調整すると改善するかも
中古で1000円台で手に入るルータと現行機を同レベルで比較するのは感心しないな
サーバ側のアップロード速度が遅いか、
クライアント側のダウンロード速度が遅いんじゃないの?
へ?
サーバからクライアントへ送ってるだけで?
ま、一時的な物ならあるか
アクセス回線の上り下りで実質的な帯域が違ってたりして。
双方光ネクスト隼なので回線のネックは少ないと踏んでいたのですが、
大体15Mbpsくらいしか出ません。今の倍くらい欲しいと思ったら設定見直しで頑張れる
でしょうか。それともRTX1000を変えた方が良いでしょうか。
設定はこれを丸ぱくりです。
ttp://jp.yamaha.com/products/network/solution/vpn/connect/two_point_rtx1200/ RTX1200 - RTX810 間は直結
インターネットにつないでるわけじゃなくて、手元に2台で実験中。
(A)、(B)でサーバーはLinux、クライアントはWin7で同じ。
LANケーブルの接続を入れ替えただけ。
mtu変えたりしてみる。
丸写しなら、暗号化は3desってことだよね?
RTX1000はDES,3DESはハードウェア処理だけど、AESはソフトウェア処理だから、
AES使うと遅いと言うことはあるが。
あとファームウェアは最新?初期の頃はかなり遅かったからね。
いずれにせよRTX1000がボトルネックの気がするから、リプレース出来ればそのほうが良いと思う。
普通にインターネットどの程度の速度?
RTX1200と810の間でフラグメント化と結合が行われると遅くなるのであろうと仮定して
サーバ(Linux)、クライアント(Win7)でmtuを色々変更してみました。
サーバmtu|クライアントmtu|速度(Windowsタスクマネージャーのネットワーク使用率による)
RTX1200 → RTX810 方向の場合
1280|1500|12.14%
1281|1500|3.38%
1500|1280|12.33%
1500|1281|3.39%
RTX810 → RTX1200 方向の場合
1408|1500|13.96%
1409|1500|3.08%
1500|1408|14.04%
1500|1409|3.09%
1200→810と810→1200の場合のmtuサイズの違いが、受信時の限界だとすると
1200同士なら1408、810同士なら1280ということになるのでしょうか。
そこまでは分かりませんが、とりあえずmtuを小さくすると改善されることは分かりました。
mtuに手を出すなら、wireshark使って最初の状態分析したほうがいいのでは?
何か解決策があったら、ぜひご教授ください。
<今までの構成>
[拠点A] PC--RTX810--> IPSec/VPN
[拠点B] PC--RTX810--> IPSec/VPN
[拠点C] PC--RTX810--> IPSec/VPN
各拠点は上記のような構成で各拠点間をVPN接続し、インターネット接続は各拠点のRTX810から出ていました。
でも、気がついたら拠点Cに
[拠点C] PC--[UTM]--RTX810--> IPSec/VPN
上記のように、UTMが増えていました。
この接続図で、拠点CのUTM配下にあるPCの通信は全てUTMを通過しているのを確認しています。
ただ、今度は「拠点A/BのPCがインターネットへ抜ける時、全て拠点CのUTMを経由するようにしたい」という要望がありました。
この要望を、上記の接続図&UTMの設定を一切触らずに実現することは可能なのでしょうか?
ありがとうございます。
ファームウェアは7.01.55です。
WEBは上り17.58Mbps、下り35.10Mbpsのようです・・・遅いかも。
お盆中にごりごりやっていたのですが、今からルーター買ってとかやっていると酷い
ことになりそうなので、年末年始にリプレースしようと思います。
RTX810にしようか、RTX1210にしようか悩みます。使い方的には810どころかNVRで
十分な気がしますが、きっと1210買ってそう・・・
拠点A/Bのdefault gatewayの行を消し、結果的に拠点CのRTXに頭を向けさせる → 拠点CのRTXから抜けていくだけで、UTMは通過しない
拠点A/Bのdefault gatewayの行を「ip pp default gateway UTMのIPアドレス」に書き換えた → 拠点A/Bからの通信が一切できなくなった
です。
来週の月曜日に設定変更を行わなくてはならず、かなりテンパった状態で考えています。
何か良い設定方法がありましたら、よろしくお願いします。
この構成だとルーティングだけだと無理じゃないかな?
拠点Cの中にproxyを立ててそこを経由すれば?
無理。
ただし、現時点のUTMの設定によっては可能。もしくはUTM変更を加える。
以上。
何かアドバイスが欲しかったら触ってほしくないというUTMの設定、ファイアウォールの通過ルールを晒せば?
全拠点のインターネット向けの通信をUTM経由にしたいなら
ポリシーの修正も必要かもしれないし、UTMの性能も問題ないのか要確認な気がするな。
まずはUTM側の担当者と打合せした方が良いんじゃないか?
一切変更せずに変更したいってこと?
この1行だけで無理があることが見えてきそう
rtx1200の中古お勧め
拠点CのPC〜810間に1200を置いて、拠点A、BにもPC〜810間にNVRを置き、1200とNVRの間で更にトンネリング。
全ての拠点のLANを拠点CのLANにみなし同一化させて、LAN外アクセスのデフォゲを1200からインターネットへ。
www
たぶん無理です。UTM側の機能はどうでしょうか、
L2透過させて、UTMをRTXの外のインターネット側におけませんか。
UTMの内側に穴を開けるなら何とでもなるが、
それができるようなザルセキュリティのUTMだったら無いのと同じだから。
拠点CはVPN用とインターネット用で回線分けた方が良くないか?
まぁ各拠点の規模が分からないから何ともだけど。
会社で使うくらい問題ないだろう
動画みまくったら駄目だろうが
RTXは物理LANが3個あるので
図はこうだよね
[拠点A] @PC--RTX810--> IPSec/VPN --> ARTX810[拠点C] --> BUTM[拠点C] --> CRTX810[拠点C] --> WAN
RTX810[拠点C]
LAN1:PC用のLAN/192.168.100.1/255.255.255.0
LAN2:UTM専用(UTMが透過型ならLAN1と同じセグメントのIPを付与する)/192.168.100.50/255.255.255.255
↑マスク違うので同じセグメントとは言わないのかな?
LAN3:WAN
[拠点A] @PC--RTX810--> IPSec/VPN --> LAN3ARTX810[拠点C]LAN2 --> BUTM[拠点C] --> LAN1CRTX810[拠点C]LAN3 --> WAN
[拠点A]から来たパケットをmasqueradeしLAN2から出しますそうするとBに到達するソースIPがLAN2になり、(偽装?され)あかたもPCがアクセスしたように思わせます。
Cに到達した時点でもソースIPはLAN2となるためループなどの問題は発生しないと思われる
ん?UTMは透過型なのかね?
透過型じゃ無かったら[拠点A]と[拠点C]のファイル共有とかできないのでVPNの意味が無いような気がするが、まあ質問とはあまり関係の無いことか
んー文章で書くとむずい
LAN1:PC用のLAN IP:192.168.100.1 MASK:255.255.255.0
LAN2:UTM専用 IP:192.168.100.2 MASK:255.255.255.252 GW:192.168.100.1(LAN1)
あとループにならへんように気をつけてな。
そもそもUTMの仕様がわからへん透過(L2SW)でいいのかね?
RTX810はLANインターフェース2個しか無いよ。
まぁこれはポート分割すれば回避出来るけど。
問題はそのネットワークだとUTM通らずにRTX810内だけでルーティングされてしまうんでないか?
される。
いやならフィルター
一台はVPN用
もう一台はインターネット用と分ければ?
[拠点C] PC---RTX810--> IPSec/VPN
|
--[UTM]--RTX810-->インターネット
元質問者は構成も設定も変更しない
って条件あるんだし
内部にソフトイーサーでVPNサーバー組むぐらいしか思いつかんぞ
その場合でも多少構成は変わるだろう
>接続図&UTMの設定を一切触らずに
とあるからRTXの設定は弄って良いんだよね。
あ!そっか内部でルーティングするかあ、言われてみれば・・・
VLANで分割すればどうだろうと適当に追加するconfigを妄想してみた
ip lan1.1 address 192.168.100.2/30
nat descriptor address inner 1 拠点AのIP
nat descriptor address outer 1 192.168.100.2
ip filter 102 pass 拠点AのIP
ip route default gateway pp 1 filter ? gateway 192.168.100.1 filter 102
妄想のレベルになって来た。
質問者は月曜日までにと言っているのですでに手遅れ?
それとも、電源を切って保存しているほうが良いのだろうか。
コンデンサパッカーンにしないためには、どっちが良いの?
気温25℃、湿度50%、気圧1 の環境で保管
やっと来たぞ。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_59.html アクセスポイントに接続されたwifi機器だけを192.168.100.30以降に割り当てるような設定はできないでしょうか?
潔く無線の部分は別セグメントにする
PCは固定IPにしてwifi機器はDHCPのレンジを30〜にするんじゃダメなん?
WifiのMACアドレスを利用して、
30以降のアドレスにdhcpで固定割り当てする
それやってみたんですが、iphone接続等すると2〜29までで空いてるIPに振り分けられてしまいました。
それちょっと試してみます。
いや、レンジを30〜にしてるのに2〜29が振られるってオカシイだろw
設定が間違えているか、APとかで他にDHCPサーバが動いているかじゃないか?
DHCP鯖側の設定ミスか、どこかで陰DHCP鯖が居て干渉してる、に一票
もしかしたらクライアント機器側が最終割り当てを記憶してて
次回の接続でもそれを継続利用を求めてるのかもしれん
パケットキャプチャで原因が探れると思うが
そのレンジのケツの番号から振り始める
DHCPサーバって無かった?w
ダウト
違うなら違うとはっきり言えばいいのに、無知だからダウト止まりw
そういうDHCPサーバがあるのかは知らんけど、指定したレンジ内で割り振ってるのであれば
ドヤ顔してて何の問題も無いと思うが
クライアント識別子
RTXはDHCPクライアントとしてはクライアントIDを設定できるけど
DHCPサーバーとして、クライアントIDを区別してリースできるのか?
結構無茶な修正したかったひと
どうなったんだろ?
上司に殴られて、座敷牢に入ってるんじゃない?
知らないうちに、機器を収容庫を開けてルーターがRTXであることを確かめられました。
また、社内のpcに勝手にドライバなどをインストールしようとしていました。(結局失敗)
これは社内教育が悪くて、社員が操作を断らなかったことが問題だったのか、
業者のリテラシーが欠如していたのかどっちなんでしょう。
かなり気分悪いです。もう当該業者を一切入れないようにしようかなと思っています。
> PC関係機器の業者が社内にやってきて必要な作業をしているときに、
> 知らないうちに、機器を収容庫を開けてルーターがRTXであることを確かめられました。
別に問題でも?第一、見られるのも嫌なら、
収容庫に「管理者以外開いてはダメ!」とか書いてないとか、鍵をかけてないのは管理者の責任。
> また、社内のpcに勝手にドライバなどをインストールしようとしていました。(結局失敗)
何の業者か書いてないからわからないが、
例えばプリンタの業者ならプリンタの納入にドライバ入れるのは当たり前だし。
失敗したことを責めるなら分かるが。
> これは社内教育が悪くて、社員が操作を断らなかったことが問題だったのか、
> 業者のリテラシーが欠如していたのかどっちなんでしょう。
管理者が悪い。まず、管理者がきちんと立ち会うべき。
無理なら、こういう業者がこういう作業をしに来るので、それ以外のことはさせないでくれと社員に紙面で渡すぐらいのことはするべき。
業者がやることの線引きはネットワーク管理者の範疇じゃないの?
あと、業者を装った悪質な輩が入らないとは限らないから。それを防ぐのも管理者の仕事じゃない?
リテラシーの低い人達だと踏んだんじゃないかな。
OA機器でルーター見るっていうと複合機あたりでしょ。
中小だと尚更業者に設定まで任せるとこ多いよね。
何でもかんでもやらされるから
情報が欲しくて、何処に何があるのか知りたくて
女子更衣室とか真っ先に入るけど
これは仕方がないんだよ
なるほどと思いました。
皆さん管理者の常識に触れることができてよかったです。
今回の件でも私は愛する機器たちのために、業者の設置作業する場に立ち会いたかったんです。
しかし、上司(ITに疎い)に、その必要はない。不必要なところは触らせないように現場に言っておくと言われて、許可されませんでした。
あのときに、皆さんの持っている管理者としての常識があれば、反論できていました。
それで、機器の集約庫を開けられて、構成している機器を見られたんですね。
RTXは一般的なものなので、これが入っていれば拠点を結んでいることも想像できてしまいます。
そうして、この情報を元に後でいろいろ巧みに質問され、好奇心をくすぐられながら見えない情報を少しでも得てやろうとされました。
魂胆が丸見えで、気分悪かったです。管理者や開発者はそういうことついぺらぺら喋り勝ちですよね。向こうはそういう性質を心得ているようでしたね。
親切心を装って、われわれとの接点をもとうとします。余計なお世話とはこのことかと思いました。辞書に載せておいてほしい例だ。
結局、オブラートには包みますが、あなたたちの入る余地はないよと言ってやりました。
つぎ来て、いろいろ言ってくるなら、もっと厳しい言葉ではっきりと言います。
>業者を装った悪質な輩が入らないとは限らないから
データベースから情報が抜き取られた事件も某企業であってニュースになりましたよね。
まず外部の人間は疑わなければ。外部人間対策はこれから重要になりそう。
>リテラシーの低い人達だと踏んだんじゃないかな
>零細企業
管理者がいるということをまず知らせておくべきでした。
もちろん、善意でやってくださっているだろうが、中には、情報を得るための親切心で素顔を隠しているだけかもしれない。
管理者に無断にPCを操作して、ソフトウェアをインストールしようとすることは異常な考えにしか思えない。
ウイルスやスパイウェアを混入させられる危険性もそこにあると思う。
社内の人間は安全でも、やはり外部の人間は怖い。シャットアウトすべきだと思った。
以後、反省を活かしたいと思います。ありがとう。
管理者はしっかりと、ここは私の場所だ!あなたの入る場所はないとメッセージを伝えるべきですよね。
業者との接点も断ちたい。これからの時代は、ITは多様だし、必要な機器も大衆化しているくらいなので、
昔よしみの理由なら入ってもらうこともないかなと思います。
実際、訪問業者がいなくて困ることなど一つもない。
何の作業を頼んだか
を明確にする方が良いと思う
業者にも社内にもここにも
外部だろうが内部だろうが
守るべきものがあるならそれに対してのセキュリティポリシーは事前にやっとくものじゃね?
セキュリティ上重要であればすべて自社でやります的になるでしょ?
なんでもかんでもセキュリティの為にすべて自分でやるっていうなら
それ自体にどこかに穴が発生する可能性もあるよ
>セキュリティポリシーは事前にやっとくものじゃね?
黒船到来時のポリシーをこれから作成します。
上司がITに疎いばかりに、引きづられていました。
今度からはわたしがひきづっていってやります。
>セキュリティ上重要であればすべて自社でやります的になる
良い言葉ですね。
こういうところって、中小でも多いのかな?
>すべて自分でやるっていうならそれ自体にどこかに穴が発生する可能性もある
それはそうですよね。
しかし、中途半端に業者が介入すると、
いろいろと、改変計画や作業において、いろいろ問題が発生するからな。
でも、ネットワークなんて、基本的に完璧に一度できてしまったら、
あとは故障した装置の交換くらいかなと思っている。
自分でやって、緊急事態に備えて、緊急事態が発生したときに備えて、冗長化しておくとか、
社員に対策マニュアルを作成して、復旧できるようにしておくことは重要だね。
たぶん、うちはネットワークなどに関しては、鎖国状態を続けます。
ソフトウェアは、ね、アプリ層だものね。
オンライン化も当たり前だし。
>女子更衣室とか真っ先に入るけど
女子更衣室に「CAT.6のLANケーブルの配管」が顔を出しているのかとイメージして、つっこめなかった!
変態!!
残念な人なの?
しっかりと事前予測できておらず、悔恨が残り、とても残念です
事前打ち合わせや話があると思うが・・・
慣れた作業はいつもにようによろしく
だろうけど
担当者って誰だったんだろ?と単純な疑問
担当者=管理者 じゃないの?
端末さえあればできる仕事だからな >> 管理者
誰が業者へ依頼したの?
その人が今回の作業担当者とか責任者でしょ
スレチになるし他へ移動するのが良いかも
【pingを武器に】社内SEどうよ?53
ttp://kanae.2ch.net/test/read.cgi/job/1381831386/
とかどう?
発注者→管理者→業者 という経路になるのかと思っていた
発注者→業者 という経路になることは普通にあるのね
たしかに、そのスレッドへ行ったほうが良いかもね
ttp://www.zaikei.co.jp/article/20140818/209724.html これって、べつに一つのルーターが全経路を把握する必要ないよね
デフォルトルートで別の上位ルーターに投げていないの?
少なくとも、うちのrtxでは、ip route default gateway の設定に集約しているよ
次元が違いすぎますか?
違いすぎます。
そのぶん、経路が増えているらしいけど、これってどゆこと??
そこに書かれている問題はBGPという動的ルーティングでの話
IXに接続しているような大手ISPやデータセンターで使ってます。
ちなみにip routeほにゃららは静的ルーティング
にゃるほど
このスレでは関係ない話だな
BGPもOSPFも使うケース無いでしょ
新入社員の教育でも、ざっくり話す程度
国内最大のネットワーク障害が其の記事に類似していますね。
レコードの桁数がちょっと違いますが類似の事が起こるという懸念
ttp://www.atmarkit.co.jp/news/200705/16/ntt.html BGPルータの512K問題について
ttp://www.geekpage.jp/blog/?id=2014/8/18/1 8月12日に発生した512K問題と、これから発生する512K問題
ttp://www.geekpage.jp/blog/?id=2014/8/18/2 といいいつつ、情報提供 W
で、この業務スレッドに顔出すひとって、どんなネットワークヤなの?
実際に、今月に問題にまつわる障害が発生したんだから、
これって、結構怖いことだよな。
全世界が凍ってしまって、いろんな問題が副次的に発生して、人命にもかかわったら!!!
勢いで1210買ってしまいそうだ。
安くなってるだろ
今自信を持って勧められるのはやっぱり1200です、と言い訳は可能だわな
やっぱり枯れたハードは信頼できる。
でももうすぐ出る新製品もまた魅力的ですがお値段も立派ですと添えれば
客はやっぱり1200で納得するんじゃないかなー
新品の値段はあまり変わらないのでは?
1200がガタ落ちすれば狙う価値は高まるのだが
VPNを使う場合、どうして、1200でなくて、1210を推すの??
IPSecスループットが
最大200Mbps → 最大1.5Gbps
どうせショートパケットに弱いんだよな
向上とは書いてあるけど、発売前だから具体的な数値はまだ出てこないね。
ttp://ascii.jp/elem/000/000/903/903546/ 個人的にはRTX1500と同等(今の2倍程度)を期待しているんだが、夢見過ぎだろうか。
(RTX1500はファストパスはハードウェア処理)
大きいパケットはRTX1210二台でやり取りするっていう、運用は現実的じゃないのかな?
>IPSecスループットが最大200Mbps
RTX1200の、その200Mbpsって、IPsecトンネルを複数張っている場合、
トウゼン、その総計が200Mbpsってことだよね?
トンネルごとに、200Mbpsってことではないのだよね?
だったら、1210がほしい。
待てるのなら、新機種が出るまで待つ方が良い
待てないなら、1200でやるしかない
いや、今、RTX1200を使っているんだ。
RTX1210にリプレースしようかなと。
ところで、しかし、
RTX1200の200Mbpsの帯域って、複数のIPsecトンネルがある場合、
どうやって分け合うんだろうね。
voipとか流すなら、帯域制御をかけたほうがよいんだろうか。
ルータ性能的には全方位で上位機種なワケだし、躊躇う理由もない
裏山椎象
ヽo,´-'─ 、 ♪
r, "~~~~"ヽ
i. ,'ノレノレ!レ〉 ☆ 日本のカクブソウは絶対に必須です ☆
__ '!从.゚ ヮ゚ノル 総務省の『憲法改正国民投票法』のURLです。
ゝン〈(つY_i(つ
ttp://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html `,.く,§_,_,ゝ,
~i_ンイノ
複数トンネル処理するオーバーヘッドも含む。
それぞれの拠点の通信をインターネットに出したく無いときは
ip route default gateway tunnel 1
で設定すれば問題ないよね?
なしで良いだろデフォルト
まちがっている
DEFAULTにすると、IPsecパケットも自分自身のトンネルに流れようとするので、
トンネルが壊れる。
問題あるよ。
拠点が固定IPならそれでいいのかな?
固定に何の関係が?
インターネット出ないのにデフォルトが必要と思わん
単純な構成ならね
勉強になりました!
PPPoEやってるときとか。
VPNとかもインターネット使って貼るだろうし。
インターネットVPNでもデフォゲなしで構築したような・・・
手元に定義無いからはっきり断言出来んが
defaultじゃなくてもいけるけど
知識があやふやすぎるぞ
では理解してる知識でよろしく
どの意見が正解っぽいかでも良いよ
制限系は全てフィルターと言っていい。
で
filter制御が正解?
ヤマハのルータを検討しています。
NAT、ファイアウォールくらいの設定を考えているのですが
Webでの設定機能としてNVR500とRTX810は同等でしょうか?
保守を2名でやるので、なるべく簡単な方がいいと思っています。
またこの2機種のハード的な(パーツ類)のグレードはやはり値段差分
810の方がよいのでしょうか?(できれば5年以上は使いたいので)
よろしくお願いします。
IPsecVPNが要らないなら、NVR500の方がいいんじゃない?
電話機能があるから。IP電話とか便利だと思うよ。
ありがとうございます。
VPNはおそらく使用しない予定です(固定IP制限でリモートデスクトップくらい)
またIP電話も使わないので、安定性、品質重視+Web設定機能のしやすさ(相反してますが・・)
で選びたいと思っています。
取説みると変わらなそうなのですが、新しい810の方が楽になっているのか?
高級機な分、却ってWeb設定は簡素化されているのか・・
CUIでしか作業しないからよくわからんけど
WEB画面は大差無いと思う
VPN利用用途がなければ、NVRで問題無いと思う
さすがにBuffaloってのもなー
ファームの更新とか考えたら810の方がよい
また予算関係ないならやっぱり810の方がよい
NVR500はNATが4096だよ
同時利用で上限にたっして通信できなくなるかも
その二つならRTX810だろう
ttp://vigonetlabs.net/ ttp://anago.2ch.net/test/read.cgi/jisaku/1408791891/
4096あれば1台が10使っても400台
という考えであってる?
10しか使わない慎み深いPCを想定するなら。
合ってるけどwebみてると100とか簡単にいくよ
わざとわかりにくく言っているよな
esp,udp500のことな
ありがとうございます。
810にします。
VPNも昔のSoftEther(古っ・・)使って時の悪いイメージが
残ったままですが使ってみれば便利そうですし。
ありがとうございます。
NAT-T使うなら4500もだな
RTやNVRは、台数多くなってくるとハングしそう。
ただ、そんな事するなら810選べよな〜って事だなw
RTX1210買っとくかな
IXはショートに強い
2025だけど
俺も、昨日見た・・・と思う
それスレチだろw
NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
ttp://maguro.2ch.net/test/read.cgi/network/1369194775/
更新ファームが入手できるならお宝だが
ファーム乞食には辛い話だ
ttp://maguro.2ch.net/test/read.cgi/network/1369194775/153
ttp://news.mynavi.jp/news/2014/09/05/186/ 誤爆?
ttp://www.itmedia.co.jp/enterprise/articles/1409/08/news043.html yamaha機は、ipsec関係プロトコルで使っていたっけ?
脆弱性あるなら,ハッシュ取得関数はどれに代替すべきだあ
SHA-1終了のお知らせは業界的に規定路線なので
今さら感ある上にその記事は直接関係しないけど
IKEv1のハッシュアルゴリズムは何も指定していない場合SHA-1なので
明示的にSHA-256に切り替えた方が良いとはいえる
そこのスレ見たらIX2025のファームの入手方法は簡単そうだ
まあギガじゃないけど
競合的にはRTX1500となのかな。
でもRTX1500は で出てるSHA2には対応してないのかな?
IX2025は対応してるみたいだけど。
ヤフオクで見るとIX2025の方が安いね。どっちの方がお買い得なんだろ。
当時のイニシエーターは、今も現役で開発に携わっているのかな?
SHAについて今ふぃ具確認しておこう。
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/ipsec_ike_hash.html ※HMAC-SHA2-256は、RTX3000 Rev.9.00.50 以降、RTX1200 Rev.10.01.32 以降のファームウェア、および、Rev.11.01 系以降のすべてのファームウェアで対応。
RTX5000, RTX3500, RTX3000, RTX1500, RTX1200, RTX1100, RTX810, RT107e, SRT100, FWX120のうち、
対応は RTX5000, RTX3500, RTX3000, RTX1200, RTX810, FWX120
非対応は、RTX1500, RTX1100, RT107e, SRT100
SRT100は対応したらいいのに。luaとかUSBでの通信端末対応はあるんだよね?この機種?
例のコピペをテンプレに入れたらどうだ。
ttps://twitter.com/oogarasugunji/status/504072702353612801 Wifiもあまり上手くいかなかったし
しゃべるルータはどうなったんだっけ?
yamahaの歴史のこと?
sha-1の脆弱性のこと?
サーバーの仕様でFTPみたいに開放ポートをダイナミックに使う。
TCPの 4000〜4200 のどれかを使っていく。
nat descriptor masquerade static 1 1 192.168.1.11 tcp 4000
nat descriptor masquerade static 1 2 192.168.1.11 tcp 4001
nat descriptor masquerade static 1 3 192.168.1.11 tcp 4002
nat descriptor masquerade static 1 4 192.168.1.11 tcp 4003
と201行書かなきゃだめですかね。
それでよいのか。TNX
9万弱かー
ドライバ提供されていていないのね
HPに吸収されたけど、HPはドライバを作っていない。
WINDOWSのオンラインで自動検索しても、見つからない。
ゴミだった。
SMCも、AMD(PCNET)も、いずれもドライバを見つけられなかったよ。
HPと言えば、随分昔にcompaqさん達と一緒に仕事したけど
みんなどうしてるのかな
YAMAHAの歴史
設定例に記述が載ってるでしょ
経路切替とか、発報とかさ
設定例以上の情報はないってことか。。。
たとえば詳細な実務例とかちょっと役立つスクリプトとかあればと思ったんだけどね。
導入例には触りしかかいてないし、あんまやってる人いないのかねー。
まぁ、大人しく勉強します。
どんな事をしたいんですか?
ttp://www.rtpro.yamaha.co.jp/RT/docs/lua/tutorial/index.html これじゃあダメですか。
ttp://topics.jp.msn.com/digital/general/article.aspx?articleid=5780566 米AmazonやYouTubeなどの大手サイトに不正な広告が表示され、ページを表示したユーザーがマルウェアに感染した可能性があることが分かった。
これは勘弁してほしい。
URLフィルタ、いや、もうブロックしようかな。
しかし、たとえ許可済みサイトのホワイトリストを使ったとしても、
広告を通して感染するのだから、お手上げ。
「弊社製品のインターフェース(端子)についてお聞かせ下さい」
ってのがあるけど
俺は1100や1500までのように全て後ろの方が使いやすい
一度設置したらケーブル差し替えるなんてめったに無いからアクセスしにくい方がいいと思う
って1ユーザーがコミュニティに投稿しても鼻で笑われるからココに書く
スレチだがNICの型番とOS書けば暇つぶしに調べてやるぞ
ラックマウントする場合前面がいいからだろうな
「1ユーザーがコミュニティに投稿しても鼻で笑われるから」
そんなことある?
棚板に載せるだけでベルト止め程度なら地震の転倒防止ジェルでストッパ位置は自在にできるしなー
オープンで125,000円(税抜)だから
税込99,800円くらいかな?
シリアルがRJ45になったのはWLX302→RTX3500/5000→RTX1210と順番にきているので
もう今後出る機種はRJ45でCisco互換だろうね
PC側ってシリアルだよね?
最近シリアルのってないPC多いしなんとかならんかな
USBシリアル持ち歩けば良いんだがそっちも無くなりそうな予感
シリアルは組み込み系で使われるから無くなる事はないでしょ。
PC側もRJ45でしょうか?
Windows8.1まで対応してるUSBシリアル変換装置
作ってるところも少なそうですが
無くならないでしょうか?
少ないながら需要はあるから、値段はともかく、なくなることはないと思うよ。
俺はRATOCのを使ってる。
最近じゃあアンドロイド用のUSB-RS232C変換をを出しているぐらいだから、
そういう需要もあるってことだろうな。
PC側もRJ45ってのはどう言う事??
はYAMAHAのネットワーク機器のシリアルインターフェースをD-SUB9pinから
RJ45に変えていくってことで、PC側は関係の無い話だよ
あと、シリアルインターフェースは別にネットワーク機器だけで使われてるわけじゃ無い。
工業機械の制御用とかいろんな所で使われているから当面無くなる事はないよ
421ではどこがDSUBからRJ45か無かったので
念のために確認でした
シリアル残って欲しいが
PCで搭載されてる物は無く
USBシリアルも商品が豊富には思えないので
無くなるのではないか?と不安があると書きました
制御用も数はそれほど必要なければ
作るメーカーが無くなる日が来るな
という不安です
> USBシリアルも商品が豊富には思えないので
ぐぐればいくらでも見つかると思うが。
Yamahaとかの業務用機器扱ってる店なら
間違いなく置いてるでしょ。
そのへんのヨドバシとかに置いてないって話なら
そもそも業務用ルータも置いてないんだし。
>PCで搭載されてる物は無く
普通にあるだろ。
家電量販店に置いてあるようなPCに無いって話ならそうかも知れないが。
なんかイチャモンつけたいのか?って印象を受けるな
探したときに製品が少ないと感じた
たぶん10種類も無く最近のWindows保証してる製品だと
極端に無かったな
今は対応ドライバ出した製品も増えたかもしれんが
多いと感じるか少ないと感じるかは個人の感覚かな
あるんですか
是非教えてください
ノートパソコンのほうがありがたいですね
客先へ持って行って設定もあるので
USBシリアルとRS232レベコンを合わせた、途中信号出しもアリなのを持っておけば最強だよ
3.3Vか5Vと、それをRS232に論理変換したものの両刀遣いができる
RATOCって人が一人居たが
なんか話が変わってないか?
何でシリアルがのったノートパソコンを紹介しなきゃならないんだよ。
シリアルがのっているPCなんて産業用じゃ普通だし
シリアルインターフェースが当面無くなる事は無いって話だろ
数が出る品じゃないし、どーせOEMだから大差ないかな
個人的にはRATOCと秋月が扱っている範囲で間に合っている
ttp://www2.elecom.co.jp/products/UC-SGT1.html これはWindows8.1 64bitまで対応してるな
ルータ設定用に考えてるので
産業機器ならいいです
ありがとう
USB-シリアル変換て昔からそんなに豊富なラインナップじゃ無かったと思うけど。
Win7の64bitはメーカーの公式対応が進まなくて困った記憶はある。
俺も困った
Windows8の64ビットの時はBuffaloか海外品くらい
だった記憶があるな
今もここでは4社名前があるくらいか
やめないことを祈るだけだな
なんでWin7 64bitの対応が遅かったんだろうね。
elecomのやつを使ってたんだけど、Win7の64bitドライバがなくて別の買って使ってた。
ところが先日elecomのサイトをみたらドライバが公開されてて使えるようになってた。
で?って感じだな
そんな機器にシリアル残ってもルーター設定で使うの?
スレタイ思い出そうぜ
ランプが眩しい位で使う分には困ってない
RATOCが欲しかったけど値段がねぇ
PL-2303系はドライバが出ないことがあったのでもう買わない
何言ってんだ。
シリアルつーのはルータの設定だけに使う物ではないので
心配しなくても変換ケーブルが入手出来なくなったりはしねーよって話だよ。
の「シリアルがのっているPCなんて産業用じゃ普通だし」なら
変換ケーブルは不要だよね?
変換ケーブルはなくならない。って根拠にしては弱いと思うぞ
なくならないでほしいがな
オススメできるのはUSBシリアルの一体型アダプタ。各社にラインナップあり
使用するOSで動作確認を謳っているものを買いましょう
マルチなアダプタなら、USBシリアルとRS232のレベコンを組み合わせましょう
樹脂モールドされているタイプじゃなくなり、使い勝手のために箱入れが必要とかアレですが潰しはききます
毎回詳細を知る必要があるので面倒なら単機能専用アダプタを選ぶのも一手です
自作なら穴あき基板とレベコンIC、入出力コネクタと、全体のプラ箱入れとかで。ハンダ作業が必要ですけど
選択肢で書くと
・ヤマハ純正のケーブルを買う
・シスコのDB9−RJ45のケーブルを用意して、USBシリアル(RS232のDB9)アダプタと組み合わせる
・シスコのDB9−RJ45のアダプタを用意して、USBシリアル(RS232のDB9)アダプタと組み合わせる
・市販のUSBシリアルアダプタ(USB//DB9)を買う。OS用のデバドラを入手。
・汎用のUSBシリアルアダプタ(USB//ピンヘッダ)を買い、レベコンを自作、シスコのDB9−RJ45のケーブルを使う
エレコムサンワとかの製品でもいいだろうし、秋葉原・秋月電子の部材ででっちあげてもいい。
俺はいちばん下のパターン。デバドラはFTDIのサイトから落として使う。
他のUSB機器といいながら実際はFTDIのUSBシリアル変換を使った機器とのドライバ云々があるので
FTDI純正でドライバ・イレーサがあるから、それも持っておき不都合があれば入れ直す
COMポート番号が増えすぎてワケワカメとなるソフトもあるようなので、COM16をCOM1に変更なんてのも可能
VCPアクセスが増えて、FTDIチップが多用されたおかげで悪さをし合う場合もある模様。
4の5のブー垂れても仕方ないので、ドライバクリアは適宜
ヤマハ純正ケーブルってYRC-RJ45Cの事?
RJ45ーUSBケーブルがあるのか?と思ったが見つけられなかった
なんで産業用PCを例に出したらシリアル使ってんのが産業用PCのみになっちゃうんだよw
産業用なんて特殊な用途じゃなくても、サーバとか普通にシリアルインターフェース持ってるし
用途だって我々がやってるルータの設定だったり、マイコンの制御だったり開発だったり色んな所で使ってる訳で
逆になぜそんなに危機感を持って無くなる心配をしてるのかが良く分からん。
古いからミラー設定とかCom接続なんだよね
他にGPSとの接続とか有るからシリアルは当分無くならないと思うよ
あーごめんなさいね
そう、YRC-RJ45Cのことです
それでもUSBシリアル(USB//DB9)のアダプタは必要だったorz
申し訳ない、自作ので間に合ってるから純正は視界の外にあった(いかんなー)
あまりにも当たり前すぎて、でも製品単価は低いし
汎用性は高いから既存のが使えるからSSTとして起こすわけにもいかないし
困ってるんじゃないのかな。
それともYAMAHA設計陣は使えてるから問題Nothing!なのか(そういう自分もさっきポカやってるが)
CISCOもアライドもだけど
ttp://www.cisco.com/cisco/web/support/JP/docs/SW/LANSWT-Access/CAT2960SWT/IG/002/HGcliSET.html?bid=0900e4b182528cfe 知らなかった
失礼
レガシーと言われて廃れる規格に頼らずIPかUSBにすれば円く解決
パラレルもPS2も製品激減
シリアルだってどうなる事やら
ヤマハとしてはRJ45でなくUSBにするべきだったと思う
もう手遅れだが
内側にピンヘッダのUARTヘッダ(3.3V動作、電源供給あり)を用意して
追加ボードで外に出す。
ボードは
・232-RJ45基板(232レベコンとRJ45コネクタ)
・232-DB9基板(232レベコンとDB9コネクタ)
・USB直出し(USBシリアル接続)
これらの基板のいずれか1つを装着可能と。
デフォルト装着は232-RJ45にしておいて、オプションで購入して変換も可能に。
もしくは3種類添付で、RJ45タイプを装着済みにしておくとか。
ごめんよ、コストとか手間を考えず、利己的ユーザ視点で論じてみた。
いいの?!
WINDOWS8.1 64BIT版で使いたいんですが、
これらのNICは自動認識してくれなかったし、WINDOWSのオンライン検索にもなかった。
以下、100BASE
< チップに3COMと刻印されている >
・3C905CX-TXM
・3C905C-TX
・3C905C-TXM
・PCI-L3C920/W0_BOOT_ROM-UAN
< AMD PCNET とチップに刻印 >
・LA100-PCI-T V3
ttp://www.allied-telesis.co.jp/support/nic/desktop.html には、 WINDOWS2000までのドライバしかない。
なければ、ゴミ箱行き。
ごめん、PCI-L3C920 はあった。
ttp://www.solvusoft.com/ja/update/%E3%83%89%E3%83%A9%E3%82%A4%E3%83%90/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AD%E3%83%BC%E3%83%A9%E3%83%BC/asus/lan/pci-l3c920/model-numbers/ ただ、PCI-L3C920 のそのドライバなんだけど、ASUSが提供しているものではないみたい。
ウイルス入りかもしれないので、インストールできない。
スレチなので、ひょっとして結果がでるまで黙ります。
こっちで聞いてみたら?
ttp://anago.2ch.net/test/read.cgi/jisaku/1405945647/
そこまでしてそういうoutdated/obsoletedなNIC使う必要あるの?
俺なら迷わずに捨てるが
端からは見えない何かが。
HPもUSB付いてるので、業界的にはUSBに置き換わるんだろうけど、差し替えるたびにCOMポートが生き死にするので慣れない。認識時間もかかるし 。ドライバーも各社ごとなのも面倒。
いまのところ、ストレート、クロス、RJ-45の三種類を持ってればいいシリアルが楽。
IPは、勝手にNWに繋げられた時にトラブルになるから、昔みたいに初期IPなしか、CiscoのExpres設定ボタンで初期Ip有りになる仕様が良いな。
取り敢えず、アライドのコンソールセット買えば?
あれってWindows7の32ビット対応で終わってたんじゃ?
64や8に対応未だに出来ないんじゃ変えないよ
シリアルが普通に付いてるとか
シリアルが便利とか
普通のノートパソコンにUSB-シリアル変換ケーブル使ってる(人がほとんどだと思う)
シリアルが便利なのは、客先の機器をいじる時にお客さんのネットワークに
PCを接続しなくても良いところだね。
YAMAHAのページは片っぱしから見ました。。。
問題解決ついでにどんな実用例があるのか気になっているので、色々見たいのです。
ネタ的なものも含んで色々見たいのですが、あんま話題にならなくて、
YAMAHAの営業に聞いてみると営業の中でもこの分野は知らない人間が多いとかなんとか。
あんまLUAをつかってどうこうしようっていう顧客がいないらしい。
今困っているのはYAMAHAのページを参考に定期報告するスクリプトを書いてるんですが、
なぜかおおよそ5時間でエラー落ちするんです。
ルーターの動作状況を報告する
ttp://jp.yamaha.com/products/network/solution/lua/script/behavior/ ここのスクリプトをそのまま使用して、監視間隔は1800秒、
コマンドは"show environment","show status pp 1","show status lan1",
"show status dhcp","show history","show nat descriptor address","show nat descriptor address detail"
これらの結果メールはローカルに作ったメールサーバーに送るように設定しております。
最初の5時間は問題なく時間が経過すると
lua: show.lua:94: 'rt.mail': 'text' field value of argument #1 is invalid.
とでて強制終了。
YAMAHAのAPIのページに
API の引数誤りがあってもスクリプトの実行を中断させたくない場合は、Lua 標準関数の pcall( ) や xpcall( ) を使用してください。
とあるけど、どちらの関数つかっても変わらず。
YAMAHAに問い合わせても二週間たっても返事が来ない。週明け連絡かな・・・。
コードは長くて荒らしっぽくなっちゃうので今は書きません。
非常に申し訳ないですが、アドバイスお願いします。
シリアル通信がルーターくらいにしか残ってないと思ってるんじゃないの?
研究所や工場に行けばわかるけど、先端機器でさえ、RS-232CはおろかRS-422A/425
でシリアル通信しまくってるよ。
不要なコード書かずに済んで単純明快で扱いやすいシリアルがなくなるわけない。
シリアルがなくなったら、現代生活に支障が出るレベル。
非家庭用ルーターにしたって、多くの環境にRS-232Cポートを持ってるサーバーが
あるだろうし、今時のPCで管理したいなら、PCI、PCI-e、USBで増設すりゃいいし。
ttp://www.area-powers.jp/product/pci/io/9835-2s.html ttp://www.area-powers.jp/product/pcie/io/sd-pe9901-2s.html ttp://www.area-powers.jp/product/pcie/io/sd-pe9901-4s.html ttp://www.area-powers.jp/denki/cable/u1rs2.html 必要ならISA用だって手に入るし、Cバスだと中古探さないといけないけど、それでも
比較的簡単に見つかる。
さらに、今更?無線経由のシリアルが出てくるくらい需要がある。
ttp://www.ratocsystems.com/products/subpage/wf60.html ttp://www.ratocsystems.com/products/subpage/bt60.html 結論として、Win8正式対応のUSB-シリアル変換が少ないのは、開発環境や制御OSとして
のWin8の需要が低いからで、(渋々でも)移行せざるを得ない状況になれば、Win9だろ
うとなんだろうと、需要と供給のバランスが崩れた時点で、各社から対応の新商品なり、
対応ドライバなりが出てくる。
蛇足だが、無線だと機器のシリアルポートに物理的に接続さえできれば、後はどうにで
もなるので、とても便利。
>結論として、Win8正式対応のUSB-シリアル変換が少ないのは、
>開発環境や制御OSとしてのWin8の需要が低いからで
今時で需要が低い時点で終わってるよ
Win8って何年前だよ
いまや8.1時代だし
特殊用途だけで残ってると言われてもなーって感想
まあ今の時点では対応製品が数種類あるからなんとかなるがね
兵隊は黙って渡された道具で黙々と仕事をすればいい物を
一般向けのPCの場合は、アナログモデムなんかを接続する用途がほぼ無くなっちゃったから
需要が少なくなっちゃったってのはある。
ただ、そんなのは何年も前の話で、製品種類が少ないのも最新OSへの対応が遅いのも
最近突然そうなった訳じゃ無い。
デバイスの制御用には非常に便利なインターフェースだから需要が無くなる事もない。
大体上で話が出てるCiscoやHPのUSBコンソールポートだって結局は内部にUSB-シリアル
変換チップのせてるだけだよ。
>ただ、そんなのは何年も前の話で、製品種類が少ないのも最新OSへの対応が遅いのも
>最近突然そうなった訳じゃ無い。
そう何年も前に困ったんだよねー
ここが昨晩から話題に出ただけで最近ではなく何年も同じ状態
>大体上で話が出てるCiscoやHPのUSBコンソールポートだって結局は内部にUSB-シリアル
>変換チップのせてるだけだよ。
物理ポートが最近の規格で困らない物なら中身はなんでも良いと思うよ
シリアルを否定する気は無いし
1800秒間隔で5時間というと、およそ10回ですか。
mail_tbl.text = mail_tbl.text .. str
のstrが何になっているのか、気になります。長すぎるとか。
まずコマンドを減らして(ダミーで一定の文字列を返すだけのものにするとか)試してみたらどうでしょう。
それと1800秒間隔なら、無限ループにするよりも
スクリプトはループしないようにして、1800秒ごとに実行するようにしてみたらどうでしょう。
YAMAHAはmicroUSBで、CiscoはminiUSBで
おっと、最近CiscoはUSB Type-Cに変わったんだっけか。
ドライバはそれぞれ入れないといけないな
あ、アライドはWin9用のドライバがリリースされてねぇ
みたいな事が想像されるなw
まぁコンソールポート用のUSBはあった方が便利なのは確実だけど
素のシリアルポートもちゃんと残して欲しいね。
それ言っちゃ1210もシリアルをRJ45にしちゃったし
別ケーブル持ち運びが増えたよ
CISCO互換って言ってくれたからまだ良かった
そうそう。
ケーブルを色んな種類持たないといけないのは改善されないし
ドライバがメーカー毎、下手すりゃ機種毎になるのがヤダなぁと思っただけ。
今まで通りかUSBでも良かったろうに
他のメーカーのネットワーク機器ではCisco互換のRJ45のが多数派だからじゃない?
YAMAHAルータは他社のスイッチと組み合わせる事が多いから個人的には有難い。
これからはRJ45が主流になると考えたんだろうけど、
それは何故か?ってことになると、啓示があったとか、閃いたとか、そんな感じ?
個人的にはRJ45化は歓迎。
始めてRJ45のものを扱ったときは「なんじゃ、こりゃー。また新しいケーブルかー」
と思ったけど、今では「えー、RJ45じゃないの」って派。
LANケーブルはたくさんあるし。
> Win8って何年前だよ
> いまや8.1時代だし
って、そこ突っ込まれるのか・・・
Win8.Xならいいのかな?
> 今時で需要が低い時点で終わってるよ
私の興味だけで申し訳ないが、是非、何が終わっているのかを聞かせて欲しい。
Win8.Xが制御系や開発環境として選択されないのはシリアルとは基本的に別問題
だと思うので、Win8.Xがそういう用途に選ばれないこと自体、つまりWin8.Xが終
わってるって話ならわかるが・・・
自分に直接関係ない環境が特殊というならそれで議論は終了だが、あなたが持って
いるであろう携帯電話(って何年前の話だ、今はスマホの時代だと突っ込まれそう
だが)や風邪ひいた時に飲む薬も、そういった工場や研究所から生まれてくるわけ
で・・・
それを言い出したら、このスレの主役であるRTXも十分に特殊だと思うが、私の認識
が誤ってるのかね。
そういう意味ではもっと前からやって欲しかった
1200や1100の時期でも出来たろうに
とは思うな
USBもCiscoが別規格へ移行する時期にYAMAHAが採用したら笑うな
とりあえず
話が飛びすぎだと思う
確かに仰るとおりだ・・・
申し訳ない。
これからRJ45が主流になるってか、かなり前からネットワーク機器の
シリアルポートはRJ45が主流でしょう
WLX302からようやくYAMAHAがのってきただけで。
かなり前からRJ45でしょう。
アライドもシスコもNECもRJ45。
ヤマハが遅い。
ただ、WLXにシリアルからの変換でも附属してくれればよかったのにとは思った。
RTXにはジェンダー変えるケーブルついてるのに。。。
1210に期待。
ttp://jp.misumi-ec.com/vona2/detail/110400192210/ プロバイダーとかデータセンターとかで採用してもらえるのを視野に入れての事じゃ
Ciscoのターミナル装置ってなんだ?
CiscoがUSBへの移行を始めてるのに
何年も遅れてようやくRJ45採用って遅れすぎだと思う
USBのCisco互換入れてきてたらやるなーと思ったろう
同業他社に並んだって意味では歓迎だな
Cisco, NEC, Fujitsu, Yamaha などで同じpin配置なのは助かる
まぁCisco準拠ってだけか
インストール可能なんだろうか。
そういうチップをつかってほしい。
機器からドライバーダウンロードとかインストールでも良いな
Buffaloとかで見かけるようなタイプ
Ciscoの場合はサイトからドライバをダウンロードしてインストールだな。
ttp://software.cisco.com/download/release.html?mdfid=282979308&flowid=2622&softwareid=282855122&release=3.1&relind=AVAILABLE&rellifecycle=&reltype=latest ヤマハからすればVCPなのかBitBangでいくのかを選ぶことになるが
従来通りのCOMポートが機能的に踏襲されてUSBの先に見えるっていうVCPの一択だと思う。
他のUSBシリアル搭載機器とでドライバの競合とかありうるから
汎用のUSBシリアルを諦めて、独自のVID・PIDを持つUSBシリアルアダプタとして見せる手はさらに賢いと思う。
そのぶん、ドライバ提供の義務も生じてはくるのだが、
同じドライバが使われてる他のUSBデバイスとのワケワカメは無くせる。
たとえ汎用のUSBシリアルだったとしても別にかまわないし
3連休だから?
LUAの話があったけど埋もれたな。
SRT100を持ってたとして、
VPNの接続先のサーバIPアドレスがダイナミックで、たまに変化するんだけど、
その変化を15秒毎ぐらいにチェック(DNSからIPをひいて以前と比較?キープアライブ?)して、
変更があれば、即座に新しいIPアドレスでVPNを張ったりできる?
anonymous接続なので、サーバ側から接続してくれないんだけど。
Lua使わないでもヤマハのルータならいける?
それから、SRT100の配下にRT58iを置いて、
fusionとかのSIPサーバに繋げて運用しようと思うんだけど、
SRT100が再接続したときに、SRT100のほうからRT58iを操作して、
RT58iを再レジストできるようになったりする?
アラートは飛ばすようにしよう
横から失礼
切断アラートってだせるのか
メールですか?
nagios, zabbixや自作スクリプト等を考えてました。
の書き方からして実家宅に置いた機器かな?って気もしなくもないけど
あれはUSB-Serial Bridgeチップの供給元がWindows 8 64bit対応の前に
ディスコンにしたのが直接原因だったりするからなぁ
仮に物理的にUSBでコンソールを扱えるようになったとしても、結局のところその内蔵チップの
供給元次第になってしまうので、UARTのまま物理的にRS232CではなくRJ45になっただけと
いう今の仕様ならその方が都合がいいな
それだとシリアル危ういって感想ですね
正確に言えばUSBシリアル変換が危ういですかね
メーカーとしてはシリアルで保証します。が楽だろうけど
良い新方式が出ることを祈ろう
SSHで接続できるようにしてないの?
VPN切れてるのにSSHって危険な香り
固定持ってるところなら良いのか
ネットボランチDNSがコケてなければ大丈夫じゃね?
まぁ現地にパソコンがあってネットに繋がってるならリモートソフトでなんとかなるだろうけど
5年前にやっておいてくれ
という思い
怖くてやってなかったがやるかなー
VPN設定変更するとき楽だもんな
もっと前にやれよってのは同意
ただ今更でもRJ45への変更は大歓迎だけどな
USB-シリアル変換ってドライバーは標準で各社は定義ファイルの提供だけなので、64bit用にちょっと書き換えて、証明書確認をOFFにすれば使えるようになる。
なので各社が標準定義で動くようにしたら安泰なんだよな
なんと
それだけの事なのに対応しない所が多かったんだ
USBシリアルに力入れてないって事だよなー
onu→HUB→バッファローBLR-TX4→HUB→PC,etc
******↓************************↑
アップルTmeCapselーーーーーーl
で接続してます。
バッファローDHCP ON
アップル DHCP OFF
これで速度が1Mとかに落ちると苦情を頂きまして。
NAT溢れだと思うのですが、他業者が入り接続がおかしいと言われました。
何がおかしいかわかる方いらっしゃいましたら、ご教授下さい。
宜しくお願い致します。
そのおかしいと言う他業者にやらせればいいじゃん
ここなら、わかるかたいらっしゃるかと思ったのですが。
他探してみます。
すいませんでした。
BLR-TX4ってぐぐったらWAN側が10Mでしょ?
古すぎでしょう
お金あるならRTX810お勧め
随分簡単なネタだけど他人巻き込んで楽しめそうで
うらやましーわ
アップルTmeCapselってなんじゃ?と思ったら
ルーター兼WiFiアクセスアポイント兼NASなのね。
一方、バッファローBLR-TX4はルーター
プロバイダを2つ契約して、TimeCapsuleとBLR-TX4のそれぞれで接続しているのでなければ、
ルーターが2つあるのはおかしい。
右のほうにあるPC,etcからはTimeCapsuleとBRLのどっちがゲートウェイになっているんでしょ?
BLR-TX4がDHCPサーバーになっているところから察すると、そっちがゲートウェイなのでしょう。
すると左のHUBとTimeCapsuleの接続は要らない。
BLR-TX4を捨てて全部Time Capsuleで、というのが進むべき方向じゃないかと。
なんでTime Capsuleのスレがどこにあるのか知りませんが、そっちの方へ行くのがいいんではないかと。
ファッションで言えば、常軌を逸した悪趣味にさえ見える
RTX1200を身に着けましょう
YAMAHAのネットワーク製品というものがあることを知らず、
YAMAHAというのを何かヤオイ的な言葉だと思ったに違いねえ。
どんなアドバイスする?
10M回線で1Mバイトが遅いだったら泣く
それだな
1200以降ならLUAで簡単にできる。
それか外から打ち続けるか。
まずはそこからだな。
ネットでは怖いんですね、みなさん。
スレチガイで申し訳ありませんでした。
何がおかしい事でおちついたの?
一応、質問だけ答えさせてください。
個人で仕事しており、このたび移転で配線などをしたのですが。
元々と同じように配線接続したのに、しばらくすると速度が落ちると
言われまして。
お客様が知り合いに見てもらったところ2セッションとかの接続をおかしい!
と言い出しまして。
牛ルーターをRt107eに変更してるのに、配線接続がおかしいと。
請求されておる状態です。
って事は機器も移設かな
どの線を作り直しのだろ?
スレチと言うより工事の問題なのか?
てかなんでこの構成にしてるの?
構成などの知識がない可能性に一票
構成にはたしかに無駄があるのは理解しておりますが、TimeCapselは固定IPで外からなにか見たりしていたようです。
お聞きしたいのは、2セッションで1ネットワークだと問題あるのでしょうか?
今までいくつも、そんな構成あったので。
問題あるならしっておきたいのです。
宜しくお願い致します。
資格も少しはもっております。
ですが、みなさんのほうがくわしいだろうと思って、ご質問させていただきました。
申し訳ありません。
がどんどん…
お騒がせしてスイマセンでした。
YAMAHAルーター使っていても
誰もアドバイスできないだろう
と思える
(少なくともヤマハの業務向けルータのスレで有資格と嘯くなら)
ネットワークかコンピュータ系の資格なんだろう。それで最初にあの説明なのか
もう、AA貼っちゃうしかないな
| | | | | | | | | | || | |
| | | レ | | | | | J || | |
| | | J | | | し || | |
| レ | | レ| || J |
J し | | || J
| し J|
J レ
/V\
/◎;;;,;,,,,ヽ
_ ム::::(l|l゚Д゚)| …うわぁ
ヽツ.(ノ::::::::::.:::::.:..|)
ヾソ:::::::::::::::::.:ノ
` ー U'"U'
僕たちも普通に会ったら優しいですよ。
メーリングリストやフォーラムでは紳士的に振舞ってます。
ここでだけゲスなんでげす。
しかも、最初から情報が十分じゃなくて、どこが間違ってますか?という類の案件に飢えてます。
>2セッションで1ネット
問題は無いよ
やはり本等で調べなおしてみようと思います。
ネットで手を抜こうとしたのがいけなかったですね。
お騒がせして申し訳ありませんでした。
その基礎がわからないなら有効だけどね
>TimeCapselは固定IPで
USENのgate02で複数IP契約してるのですか?
それならBLR-TX4とTimeCapsuleに固定のIPを割り当てて、PCからはどっちかをゲートウェイとして使って問題ないはずです。
>牛ルーターをRt107eに変更してる
これはどういうことでしょう?
>2セッションで1ネットワークだと問題あるのでしょうか?
スイッチHUBなら問題ないと思うが
しかし業者が1Mと言ったのだからHUBと書かれている部分がリピータだったりしたんじゃないのか。BLR-TX4を使っているぐらいだからね。
リピータだったら1Mまで速度が落ちてもおかしくないし、リピータでちょっと変わった配線にするとコリジョン率が急上昇し最悪通信不可となる。
今回誰が何を変更したのか?
だね
>>牛ルーターをRt107eに変更してる
>これはどういうことでしょう?
おそらくスレチと言われないように無理矢理名前を出したと思う
バレてて意味はないのに
560様
522での接続図のBLR-TX4を他業者がRT107eに変更したのに、
配線接続がおかしいと費用を請求されております。
561様
HUBはLSW3-TX-16NSRです。
なのでNATテーブル溢れと考えております。
いいかげん正確な情報を書けよ
ルーター変えたんなら設定業者に聞けで終わりだろう
簡潔にまとめるのも能力だよ
他業者が勝手に変えたなら責任はその業者だ
逆に手出ししない方がいい
配線は完了したとして一区切り入れて次の話だ
>なのでNATテーブル溢れと考えております。
なので。って?原因とNATテーブル溢れと思った理由は?
発生している現象と原因と思ったわけを教えて
複数業者が一斉に作業した後おかしくなったらどうすればよいか?
ってのが質問になるのかな?
こりゃもう仕事のやり方か?
しばらく、次の日になるとページを開くまでに体感できるほど遅くなる。
遅いのでスピードテストして実際に遅い。
ルーターリセットすると早くなる。
異常の・からNATテーブル溢れと思っております。
ここはスレチのようですし。まともな回答も少ししかないのでもう終わりにします。
質問してごめんね。
確かに何がおかしい?みたいなことは勉強にもなるし好きかも
リピーターだとそんなこともあるんですね
勉強になります
嘘ばかりかよ
いいことしてれば、いいこともあるよ。
がんばれ
はずかしい
俺はNATテーブル解放するまで外部と繋がらなくなったよ
空きの無いNATテーブルを使ってどうやったら通信できるか想像もできない
牛を甘く見てたか…
お客さんの泣いてる姿が見えてきそうだな
局所しか見えてない奴ばかりで全域を見えてる奴がいない
そんな状況で火の粉がかかってくる、よくある話だわ
システムを良く理解してないと何とも言えないところもあるし
もしかしたら関係者がココを覗いてる可能性だってゼロじゃないわけだよ、xxさん
マジレス、騙り
今日も平常運転
必要と思うなら資格持ちの質問者さんは
調査してくると思うから、それ町田罠
配線業者ならフルークでチェックして配線に問題なし!って突っぱねたら?
原因切り分けのために元の構成に戻して検証するのは普通だと思うが
ま、RTXがおかしいで確定したんだから業者に投げればいいだけだな
RTX確定も怪しい
ではBuffalo繋いで翌日には速度低下だし
翌日はYAMAHAだったとか出てきそうだがo(^-^)
いつ変更したんだよw
>配線接続がおかしいと費用を請求されております。
配線がおかしいから費用が出るって変じゃね?
請求されるなら解決してるって事だろう
時々リセットしないと不安定になるよ
持病だと思う
とっくに捨てた
別業社へヘルプ頼んで調査費用やルーター交換費用を
請求されてるってパターンかな?
早く謝って費用負担で見逃してもらうしかないよ
>と言い出しまして。
>牛ルーターをRt107eに変更してるのに、配線接続がおかしいと。
相手も配線なのか2セッションなのか理解してないんじゃね?
> それから、SRT100の配下にRT58iを置いて、
> fusionとかのSIPサーバに繋げて運用しようと思うんだけど、
> SRT100が再接続したときに、SRT100のほうからRT58iを操作して、
> RT58iを再レジストできるようになったりする?
これってluaでRTX1200からRT58iとかにtelnetさせれば可能?
詳しい設定例ってある?
の話もSIPの話として定期的に出るんだけど、Luaを使う、使わない以前に
SIPサーバ側のIPアドレスがダイナミックである状況では着信できない瞬間が潰し切れない
ので業務用ならやらないし、やるとしてIPアドレスをダイナミックDNSに登録する程度でいい話
ちょっと違って、
SIPサーバは固定IPで、クライアントがダイナミックでRTX1200のNAT内にいるRT58i。
クライアント側のIPが変更してしまったときに、再レジストのタイミングによって着信できない時間には着信転送があるが、転送に通話料金がかかる。
その転送先はひかり電話にしてある。Fusionもひかり電話もRT58iの一台の同じ電話に繋いでいるので、通話料金だけが問題。
そういう時間帯をできるだけ短くするために、Luaを使おうかなと。
LEDが全灯状態なんだけど買ったほうが安い?
さすたに、そういう状況ならサポートに連絡した方が回答が早いと思う。
たぶん、買った方が安い。
生産はパートのおばちゃんでもできるが、修理は技術者が相応の機器を使って対応するからね。
そもそも、カミナリ(異常電圧)によるトラブルは、どこが逝くかわからない。
まあ、定格外の電圧がかかるのだから、当然と言えば当然。
なので修理したとしても、交換していない部分が今は正常でもすごく寿命が短くなっている可能性もある。
新品に買い換えが無難。
参考になるか分からないけど
Flashが飛んで起動しなくなったRT107eの修理見積りが4万だった
修理見積取って購入見積と比較するだけでしょ
設定が自分で出来ないならその費用も
日数の確認も忘れない
ってところかな
良品との接続検証でどっちか、または両方の不良を切り分けて
修理代金の算定と連絡、受諾なら修理って流れだろ
俺なら、内部ばらして、電源異常を確認して、NGなら修理するかも。
ロジック側はまず修理不能だから、基板を眺めてアタリはつけるかもしれないがきっと無理。
稼働状態を必要とするなら、まずは手持ちの予備でしのいで、別に810を調達かな。
これを機に中古の1200か新品の1210とか、ステップアップ狙いも財布次第では。
主電源のOFF ONで、復活したなあ。
一つ気になることがあります。
こんな風に物理接続されると思います。↓
WAN(flets next)--onu--hgw--rtx1200--LAN
RTXにおいて、hgwにつながっているLANインターフェイスに割り当てられるIPv6 GUAについては、
ipv6フィルタによって制御可能なので、外部(ネクスト網内)からの不正アクセスに対処可能です。
しかし、HGW自身に割り当てられるIPv6 GUAに対しては、どう防衛できるんでしょうか。
HGWに割り当てられるIPv6 GUAは、少なくともRTXのLAN側からブラウザなどからアクセスして、
その設定画面を表示可能です。
また、HGWはそのIPv6 GUAを使ってネクスト網内のひかり電話のSIPサーバとも通信しているはずなので、
そのIPv6 GUAをつかって「hgwとWAN側との通信」は「できる」ことになります。
このことは、wan側からの不正アクセスも「できる」ということを意味するのだと思いますが、
どうやって対処が可能になるでしょうか。
PR-400NEを使っていたとき、IPv6パケットフィルタ設定で許可フィルタを設定したり
IPv6ファイアウォール機能を無効にしたりして
400NEのWAN側GUA、WAN側LLA、LAN側GUA、WAN側IPv4GUA(IPoE)に対して
400NEのWANポートやIPv6インターネット経由でアクセスを試みたけど、
設定画面を表示することはできなかった。
PING応答機能が「使用する」のままであれば、PINGには応答した。
ttp://ipv6.2ch.net/test/read.cgi/ipv6/1335765343/178
RT-500KIのWAN側IPv4GUA(IPoE)に対して、WANポート側からTCPのポートスキャンを行った結果、
リッスンしているポートは1つも発見できなかった。
遠隔管理のためのバックドアはおそらく用意されているだろうから
NTT東西やNGNの管理者であれば不正アクセスを行い易いかもしれないが
我々エンドユーザーはそこまで心配する必要は無いと思うよ。
ってこれ、ヤマハルーター関係ないじゃんスレ違い。
その引用リンクはもはや過去ログ提供していないような希ガス。
手間でも全文再掲載とかで読む奴にやさしく接してもいいと思う。
まぁ俺は専ブラのおかげでなんとかマウスオーバーの参照できてるけど、読めねーって悪態吐いてるのきっといるはず
レス、ありがとうございます!参考になりました。
HGWのIPv6 GUA宛通信のうち、
WAN側からやってくる通信(すなわち、自ドメインのIPv6プリフィックス以外をソースとした通信)は、
HGWがユーザーに隠蔽された独自のフィルタリング技術で防御しているのかもしれないですね。
実験して確かめてみるなら、HGWにユーザーが設定可能なIPv6フィルタで、オールリジェクトを掛けてみて、
これでひかり電話通信が成功するなら、そういうことですよね。
ひかり電話などのHGWが提供する基本的な機能は、ユーザーのフィルタ設定の及ばないレベルにおかれていることは好印象です。
このことは、iptablesコマンドでいうところの、INPUTチェインについては、あらかじめHGWでルールを定めていて改変は不可能で、
LAN側へ抜けるFORWARDチェインについては、ユーザーによるフィルタを設定できるという理解で良いのかなと思いました。
わたしも何が書かれているのか知りたいなと。
まあ、考えが進められて良かったです。
HGWは自分で自分を守っているらしいので、RTX1200のHGW側LANインタフェイスのIPv6フィルタに専念しようと思います。
これはこれで、いろいろ、面倒でした。
プリフィックスを取得するための通信は受け入れなければならないなど試行錯誤する必要があります。
どこかに、良い例はないかな。
ゴメン。ログ速なら見えるよね。↓の「速」の部分を「soku」へ置き換えてください(NGワード規制)。
ttp://www.log速.com/r/ipv6/1335765343/178 ipv6.2ch.netのIPv4アドレスは125.6.175.12、IPv6アドレスは2407:3000:6:175::12。
ip host ipv6.2ch.net 125.6.175.12 ttl=4294967295
dns static aaaa ipv6.2ch.net 2407:3000:6:175::12 ttl=4294967295
こうしておけば今でも読めるよ。書き込みはできないけどね。
踊るひろゆき ttp://ipv6.2ch.net/
IPv6板 ttp://ipv6.2ch.net/ipv6/
避難所 ttp://ipv6.2ch.net/_refuge/
> 実験して確かめてみるなら、HGWにユーザーが設定可能なIPv6フィルタで、オールリジェクトを掛けてみて、
通話は試していないけど、RT-500KIで「IPv4パケットフィルタ設定」と
「IPv6パケットフィルタ設定(IPoE)」でオールリジェクトを掛けても、
HGW自身が行う通信や、LAN側端末からHGWに対する通信を遮断することはできなかった。
DNS Proxy機能によるNGN内DNSキャッシュサーバーに対する問い合わせ、HGW自身が行う名前解決、
NGN内ゲートウェイ(=DHCPv6サーバー)から送信されるRAのHGWによる受信、
DHCPv4クライアント機能とDHCPv6クライアント機能による情報取得、
経路情報提供サーバー(route-info.flets-west.jp:49881)からの経路情報取得、
PINGテスト機能をIPv6で実施、ファームウェア更新確認、
IPv4-IPv6トランスレーター機能によるIPv6通信、これらは正常に行われ、
障害ログにも通常どおり、
BNE-OpS端末管理部 端末情報登録成功 REGIST OK
電話サーバ接続成功 Register OK
と記録された。
セキュリティログ(IPv4)はエントリー0、セキュリティログ(IPv6)はLAN側端末からNGN側に対するパケットを遮断した旨のログのみ。
> どこかに、良い例はないかな。
ttp://jp.yamaha.com/products/network/solution/flets-next-ipv6_ipoe-rtx1200/ このフィルタ例をベースにしては。NVR500の「セキュリティレベル2:フィルタ有り」とほぼ同じだよ。
おお、ありがとう。おしえてもらったリンクから過去レス参照できました。
レスには、HGWのWAN側には、LAN側とは異なるIPv6アドレスが割り当てられていると書かれていた。
LAN側に割り当てられたIPv6アドレスのネットワーク部分に+1したものがそれらしい。
でもこれって、HGWの設定画面では見られないよな。
HGWには、HGWに割り当てられたプリフィックス(/48など)と、LAN側GUAアドレス、
それから配下にアサインしているプリフィックスや、IPv6 GUAしか見えないと思う。でしょ?
ユーザーには意識させないようにしているのだろうな。
RTXのHGW側インターフェイスのIPv6 GUAと、
HGWのLAN側インターフェイスのGUAアドレスと、この二つに注意すればいい感じだな。
HGWは、自身のWAN側にやってきたIPv6パケットに限って言えば次のように判断しているのではないか。
たぶん、linuxカーネルが入っているんだろうな。
1、ip6tables -A INPUT -i WAN -s NTTサービス提供サーバー郡アドレス -d HGWのwan側GUA -j ACCEPT
2、ip6tables -A INPUT -i WAN -j DROP
3、ip6tables -A FORWARD -i WAN -d HGWのlan側GUA -j DROP
4、ip6tables -A FORWARD -i WAN -d LAN側ネットワークアドレス -j ACCEPT
RTXにはチェインという考え方がないから、RTXに慣れていてもHGWの動作はちょっと理解しづらいのかもしれないと感想を持った。
RTXのほうが、低レベル動作しているのだといえるんだろうな。
3番目のルールはナンセンスでした
汎用的な443ポートを開放するのと、まったくでたらめなポート番号を開放するのでは
リスク差はどれくらい?
なるほど
着信できない時間を短くする方法としてはSIPサーバがダイナミックなIPアドレスである
状態とほぼ変わりがないね
転送先網側に関する通話料金を気にするならネットボランチ電話みたいなキャリアの
サービスではないIP電話による内線電話を構築するくらいかな
443以外だとproxy経由で繋がらないトラブルが起きるんじゃね
フツーに考えればの言う通りだとおもう
一般公開するつもりはないんじゃね?
グローバルIPも、使ってるポートも広く知られてる環境でのリスク
以前WHS2011で443と80がリモートWEBで使用するため開放してた際
アクセスログに自分以外のIPアドレスが無作為にあったため
誰でも使うポートと個人利用するポートでのリスク差がどのくらいか
わからない
正直どうでもいいな、それより異常をいち早く察知する仕組みづくりに精を出した方がいい
それで安全になったと思い込んでパス認証で公開してる馬鹿がいるけど
22番のまま公開鍵認証にしたほうが1000倍いい
それはデータをやり取りする暗号化の話では?
入り口での侵入リスクがどれくらいかが問題
443以外にしたとしてもポートスキャン&httpリクエストで443(https)が動作していることは素人でも判るので防衛策としては差が無いと思う。
てか、httpsに限定した質問じゃなくて全般的な質問なのかな?
私はfilterでモバイルの発信元IPをpass(発信元IP以外をreject)にしてVPN等を制限しているけど
まあ稀に想定外のIP付与されて何度か繋ぎなおす手間があるんだけどね。
どのスレッドが適切でしょうか。
とはいっても、量販店ルーターレベルの話題ではありません。
もうちょっと学術的な入門レベルです。
ちなみにどんな話?
いや、あるプロバイダを使っていて、
朝から17時頃までは、ping の結果が、3msecほどなんだけど、
それ以降になると、50msecほどかかるようになるんだ。
こういう現象が起きる理由を知りたいわけ。
時間的に利用者が増えてインターネット上のパケットが込み合うと、
経路上の機器がパケットをすぐに処理できなくなって込み合うのか。
それとも時間によって経路上のルーターが停止するために、
経路が切り替わったためなのか。
(これは、traceroute でわかるのかな。遅くなったときに、調べりゃよいね。)
この件について、一般的な見解を知りたいわけなんだよ。
学術とは言い過ぎた?
つまり「これこれこのような事象が発生した場合、一般的にはどのように調査を進めていくのが
適切だろうか? また、このような質問はどこのスレでが適切だろうか?」ということですよね。
んで、どのスレが適切なのか良くわかんないや。すみません。
きちんと情報を提供すれば、相手をしてくれる親切な人がこのスレにもいるかもしれない。
あと、書き忘れた。
3msecほどだったのが、50msecになったとき、50msecで安定しているわけでなくて、
そういう遅くなった場合、けっこう揺らぎがある。
3msec-50msecの範囲で揺らいでいて、50msec寄りのパケットがかなり多い。
どういう現象なんだろう。
プロバイダなどの経路のネットワーク機器が貧弱なのか?
それとも、利用者が多いことにより、
パケット処理に時間がかかることから、時間のかかるパケットが増えて、
その結果、平均から大きく外れるパケットが増えたことによるのか。
(速度が安定しない説明)
揺らぎの生じるプロバイダは利用者がかなり多いという結論が出るとか?
対処のしようがない・・・
プロバイダに文句言うくらいしか。
プロバイダかキャリア・NTTで言えばフレッツ網自体や枝葉が混んでるのかは分からんぞ
それは短絡的すぎるよ。例えば、この事象は特定の時間帯に輻輳しているのではないか? と仮定して、
疑うべき箇所は、宅内配線・(集合住宅なら) マンションまたはアパート内の配線・フレッツ網・プロバイダ・
ここから先は通信相手次第、という辺りのうち、どこの区間で遅くなっているのだろう? ってあたりから
掘り下げていくのかな。
# 実際、マンション内で特定時間帯に輻輳している事例は何度か聞いたことがあります
まあ、まずは遅くなるのは特定のサイトとの通信だけなのか、それともすべての通信なのか、とか
調べていくのかな。
ベストエフォートが嫌ならインターネットなんて使わなければいい。
甘んじろと?
一軒家のほうだと、夕方以降や休日は明らかに遅くなってるな
一軒家は占有だから共有タイプのマンションより速いし遅延もないとかプロバイダの兄ちゃん言ってたけど
実際は逆だった
業務用の帯域保証の契約を知らないのか?
遅延すると返金するサービス
ベストエフォートってそんなもんだろ。
キャリアと自拠点の間の回線とか、キャリアの網内遅延ならSLAもあるのは知っているけど、もとの質問はインターネットでしょ。
どこにサーバがあるのかわからないのに遅延なんて保証できるわけないじゃん。
それ意味出てくるのは拠点間とかでしょ
インターネット上となると誰も帯域すら保障できないよ
使ってる所ってあるのかな?
効果を知りたい
使っている所なんて沢山あるよ
個人ユーザーってのはあんまり聞かないけど。
お値段が半端無いからな
の通りインターネット向けの通信に効果のあるもんではない。
に関してはどの経路かわからないけどMAXに合わせて機材や回線用意してるわけじゃないという話になると思うけど
どんな効果を期待して導入するのか?を聞きたかったのですが
インターネットに出ない拠点間通信というと
フレッツ網内のサービスとか?
NTTのサービスでいうとビジネスイーサワイドだけど、フレッツ網じゃ無い専用線だよ。
帯域やら遅延やらもそうだけど、故障率なんかの信頼性も段違いになる。
本社や拠点、データセンター間なんかを接続して、業務上重要なシステムとの接続に使うのが多いんじゃ無いかなぁ
帯域・遅延が重要な用途で言うとテレビ会議システムで使ってるのは見た事ある。
当然「安定して高品質な回線」である必要があるから、皆お金をかけて導入してる。
専用線サービスって…
今の話題のインターネット遅延は無関係のサービスですね
でどうして帯域保証サービスの話題が出たのか…
俺が変に勘違いしてて変に思っているのか?
さぁ?
話題に出てたから答えたけど、何でなんだろうね。
夕方になったらとたんに遅くなる現象は、ケーブルテレビで見たことがあります。
あれはみなさんテレビをみてるか、アンチウィルスソフトのアップデートがかかったんだろうとおもっています。
IIJmioのケースは意図的なものだそうですから、もしかするとご利用のところでも何かしてるのかもしれませんね。
ttp://bloggingfrom.tv/wp/2013/10/28/11506 A. 最初の3秒は制限かけていないので数Mbps出ることもある
IIJ的には「一時的な高速通信よりも長時間帯域を占有されるほうが困る」ため、わずかながらも最初だけは
高速に通信できることで、短い時間の通信をより早く終わらせて占有時間を少なくする、という仕組みです。
ttp://ch2.ma.cx/images/load/cedf9653.png RTXのグラフ?
専用線じゃないよ
ギャランティ型だから帯域の保証があるってだけで共用
今回の質問とずれるけど、セキュリティの確保は自前
専用線にくらべたら激安だよ
そうそう
HSDをオススメするよ。
本当のギャランティーだから
VPN(L2TP/IPsec)で接続すると、NASへの接続が、
名前じゃだめでIPアドレスでしか繋がらないんだ。
ip host (name) (ip addrss) で、RTX1200に登録してみたんだけど、
それでもだめ。
いったいどうすれば名前で接続できるの?
VPN接続後のDNSサーバってどうやって渡している?
接続後にquery投げた先にNASのレコードがなくて再帰問い合わせになって辿り着けないとか。
とりあえず接続元のhostsファイルにでも書いてみるという手もあるけどオススメはしない
VPN接続後は、VPN先のDHCPサーバからIPアドレスを貰ってるから、
DNSサーバのアドレスも一緒にもらってると思うんだけど・・・
今手元にPCが無いから確認できない。
ちなみに、VPN接続時専用のアドレスは用意してなくて、
普通にLAN内にいるときと同じアドレス範囲から割り当てられる。
それ以前に、その端末のOSと接続ソフトも書いてないってのもどうかと思うが。
nslookupの件はすみません。
今手元にPCないんで。
OSはWindows、Android、MACで機種依存じゃないので書いてませんでした。
接続ソフトはOS標準なので書いてませんでした。
NASはSMBでのみ動いてます。
1200のコンフィグもお願い
:800:を、:8000:のことだと誤解して設定ミス、
で、ルーティングに失敗
原因探求に、数時間。
しんどかった・・・
だから、アドレス略記するなと。(::のみ略記を許しても良いけど)
rtxは、きちんと:0800:と出力しろよ
IPv6アドレスのテキスト表現のルールはRFC 5952で定義されていて、
『16ビットフィールド内の先頭の“0”は省略すること』というのもそのルールのひとつ。
v6資格認定を受けている試験では必ずと言ってよいほど出題される基礎知識だよ。
Netbios名での接続なら、netbiosをスルーさせてないとかいう落ちじゃ?
自前のDNSサーバーあってそれに載ってるの引きたいんだよね?
DNS名でもドメインも含めてる?
ip host でやる場合もドメイン含めてやってみて
SMBで動いていて、一般的なローカルネットワーク内の名前解決を使うとしたら、
NETBIOS使うことになる。
ただ、VPN経由となるとネットワークが違うことが多いのでブロードキャスト使っているNETBIOSはそのままでは使えない。
(ブロードキャストでは別セグメントを越えられない)
WINSサーバー建てるといけるかもしれない。
ただ、DNSサーバー同様NASへの設定とルーターへのサーバー指定が必要。
非常に重要な知識だ
勘違いで設定誤ってルーティングされないで時間を無駄にするものね
俺は無資格
そいつがDHCPなり賄うように設定できれば
その辺の通知も全部任せられるから問題ナインじゃね
ip host で行けるだろう
NASへの名前によるアクセスは諦めました。
(IPアドレスによるアクセスでもさほど問題ないので。)
ちなみに、当初はポート 137,138,139,445 を開けていたのですが
効果がなかったので、
いまは 445 だけにしてます。
入力形式: dns server dhcp LAN/BRIDGE/WANインタフェース
説明: DNSサーバを取得するLANまたはBRIDGEまたはWANインタフェースを設定
します
IPv6用のDNSサーバアドレスをRTX1200に登録して、
RTX1200自身が、PING6 コマンドなどで名前解決できるようにしたいんですが、
上記のコマンドを使って設定しても大丈夫でしょうか。
現在、IPv4のためのDNSサーバのアドレスも登録している状況です。
名前解決時には、どちらのDNSサーバが優先されるんでしょうか。
できれば、指定したドメイン名の名前解決のみ、特定のDNSサーバを使って解決させたいんですが。
そんなことはできますか。
自己解決できそうです。
これを使うといけそうです。↓
ttp://www.rtpro.yamaha.co.jp/RT/manual/Ver.1.00/dns/dns_server_select.html 特定のクエリについては、特定のDNSサーバで名前解決を行うことで、
IPv6と、IPv4の競合などの余計な問題を避けられそうです。
粘ったのですが、駄目です・・・
問題は、RTX1200 Rev.10.01.53 から、ping6 name.p-ns.flets-west.jp や、nslookup name.p-ns.flets-west.jp で、
名前解決ができないことです。
LAN3にHGWがつながっていて、ipv6コマンドでHGWのIPv6アドレスに良好に通信できています。
ipv6 default gatewayは、ちゃんとHGWになっています。
HGWではaaaaを返すように設定してあります。(windowsからは名前解決できます。)
のとおり、
dns server select 1 fe80::xxxx:xxxx:xxxx:xxxx any *p-ns.flets-west.jp のように設定しています。
あるいは、GUAでネームサーバとして指定して、
dns server select 1 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx any *p-ns.flets-west.jp
こんな感じにして、名前解決をやっているのですが、エラー:ドメイン名がみつかりません となります。
HGWが直につながっているLAN3に、pass-logフィルタをかけてみました。
すると、なぜか、HGWの53番ポート宛のパケットがログに載りません。
ping6などのicmpなどはちゃんと載っています。
このことから察するに、RTX1200発の名前解決要求パケットが、HGWにそもそも流れていないのではないかと思っています。
なにか、バグでもあるんでしょうかと疑ってしまいます。
あるいは、何か、dns server selectコマンドの使い方が間違っているのでしょうか。
ttp://www.rtpro.yamaha.co.jp/RT/manual/Ver.1.00/dns/dns_server_select.html の説明に type が any の場合の query の書き方が説明されていないので、はっきりとしませんが、
dns server select 1 fe80::xxxx:xxxx:xxxx:xxxx any *p-ns.flets-west.jp
ここで * は使えるのでしょうか?
dns server select 1 fe80::xxxx:xxxx:xxxx:xxxx a p-ns.flets-west.jp
にしたらどうなるでしょうか?
うろ覚えだけど、dns server関連のコマンドはスコープIDを使えないようで、
IPv6のリンクローカルアドレスを指定しても正常に機能しなかった記憶がある。
その打開策として、自分の環境ではグローバルアドレスに加えてユニークローカルアドレスも全てのノードに割り当てて、
近隣のDNSサーバーへの問い合わせにはユニークローカルアドレスを指定している。
dns server fdxx:xxxx:xxxx:xxxx::1
あと、nslookupコマンドはIPv6に対応していないから、
たとえ正しく設定されていても nslookup name.p-ns.flets-west.jp では名前解決できないよ。
複数のグローバルIPとLANをNATで併用する場合はこのような設定でいいでしょうか
security class 2 on on
ip route default gateway pp 1
ip lan1 address グローバルIP(複数)/MASK
ip lan1 secondary address 192.168.1.1/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept chap
pp auth myname 認証ID 認証PW
ppp lcp mru on 1454
ppp ipcp msext on
ip pp nat descriptor 1000
nat descriptor type 1000 nat
nat descriptor address outer 1000 グローバルIP(ルーターIP)
nat descriptor address inner 1000 auto
pp enable 1
dns server pp 1
telnetはNG
dns service fallback on入れててもAAAAを参照してくれない
NVR500 Rev.11.00.23での結果
最終的にはクライアントなPC等からIPv6で名前解決するわけだろ、ルータで解決じゃない
なんかもう
>複数のグローバルIP
そのようなサービスは複数あるんだが全て同じ設定で動くと思っているのか?
サービス名とか言えよ。
まあ、どんなサービスだろうがそのconfig可笑しいところ多すぎな気が
設定例豊富なんだし
現地で試せばよくね?
フレッツ光IP8です。
>最終的にはクライアントなPC等からIPv6で名前解決するわけだろ
いやそれが、IPsec(ネクスト網内トンネル)の設定でそのremote項目に、FQDNを指定して、IPv6アドレスに解決されることがねらいなんです。
直接IPv6アドレスを指定する方法では見事に成功しました。IPv4でのインターネットIPsecの設定をIPv6に変えるだけだったからです。
ところが、簡単だろうと思っていたのに、FQDNを指定するとIPv6アドレスの解決がうまくできない。
おかしいと思って、ping6などのコマンドで叩いてみると、IPv6アドレスに解決されていなかったというわけです。
*を使わないで、ネームをフルで入れましたが駄目でした。同じエラーで名前解決できません。
また、anyでなく、aaaaも試したのですが、駄目でした。aaaaでなく、AAAAも試しました。ANYも。駄目でした。
>dns server関連のコマンドはスコープIDを使えない
>リンクローカルアドレスを指定しても正常に機能しなかった記憶がある
>近隣のDNSサーバーへの問い合わせにはユニークローカルアドレスを指定
>nslookupコマンドはIPv6に対応していない
%3 とか付属させるやつですね。
ping6 で、HGW(=ネームサーバ)のリンクローカルアドレスを指定して実行すると、応答があるんです。
名前解決時の、リンクローカルアドレスの処理方法が違うってことなんだろうか。
今のところ、GUA(ネクスト網専用のもの)で、HGW(=ネームサーバ)を指定しています。
HGWは、GUAとリンクローカルアドレスの二つしか持っていない感じです。
nslookupはipv6を解決できないのか。ありがとうございます。
ipv6を解決しようとしないコマンドって、telnetもそうなんですか。つぼに嵌りそうでこわい。
ネクスト網のIPv6にネームから解決させてIPsecトンネルを作っている人たちって、
いったいどうやってRTXに名前解決させているんだろう。
インターネット(IPv6 IPoE)の契約はしていないんだよね?
その場合はインターネット上のサイトの名前解決をNGN内のDNSサーバーで行うことはできないんだよね?
HGWからのDNS問い合わせ先として、HGWのIPv6 IPoE側(NGN内)のDNSサーバーを使うようにしている場合は
dns server select 1 HGWのLAN側IPv6グローバルアドレス any flets-west.jp
HGWからのDNS問い合わせ先として、HGWのPPPoE接続先のDNSサーバーを使うようにしている場合は
dns server select 1 NGN内のDNSサーバーアドレス any flets-west.jp
これで良いと思う。
> ipv6を解決しようとしないコマンド
-- NVR500 Rev.11.00.23 にて --
# ping6 -c 1 ipv6.test-ipv6.com
2001:470:1:18::119から受信, シーケンス番号=0 hlim=49 時間=135.056ミリ秒
1個のパケットを送信し、1個のパケットを受信しました。0.0%パケットロス
往復遅延 最低/平均/最大 = 135.056/135.056/135.056 ミリ秒
# telnet 2001:470:1:18::119 79
2001:470:1:18::119(2001:470:1:18::119)[IP Direct], Port:79 に接続します。
アボートキーは '^]',0x1d(29) です。
Your public address appears to be 2409:2xx:xxxx:xxxx::2
サーバより接続が切れました。
# telnet ipv6.test-ipv6.com 79
エラー: ドメイン名がみつかりません
# nslookup ipv6.test-ipv6.com
エラー: ドメイン名がみつかりません
------------------------------
こうなっちゃう。
補足
HGWからのDNS問い合わせ先として、HGWのIPv6 IPoE側(NGN内)のDNSサーバーを使うようにしている場合は
dns server select 1 dhcp lan3 any flets-west.jp
これでもOK。
ありがとうございます。
ますます、RTX1200 にバグがあるんじゃないかと思える結果になりました。
以下、実験手順。長くてすみません。
0)、restart後(ただし、2時間ほど経過)、次の設定になっています。
dns server select 1 HGWのLAN側IPv6グローバルアドレス aaaa *p-ns.flets-west.jp
これが初期状態です。
>dns server select 1 HGWのLAN側IPv6グローバルアドレス any flets-west.jp
を参考にさせてもらって、
1)、dns server select 1 HGWのLAN側IPv6グローバルアドレス aaaa flets-west.jp
に設定しました。行けた!と思いました。ping6 でレスが帰ってきたからです。
このことから、「flets-west.jp」のようにセカンドドメインまででクエリを指定しないと駄目なのかなと思って、
対照させるために、
2)、dns server select 1 HGWのLAN側IPv6グローバルアドレス aaaa *p-ns.flets-west.jp
と設定して、ping6 しました。すると、エラー:ドメイン名がみつかりません になりました。
そこで、再び、さきほどうまく返答が帰ってきた設定に戻しました。
3)、dns server select 1 HGWのLAN側IPv6グローバルアドレス aaaa flets-west.jp
で、ping6 を打ちました。すると、なんと今度はさっきはうまくできていたのに、
エラー:ドメイン名がみつかりません になったんです。まったく??状態です。
すなわち、状態0に戻しました。そして、状態1になるように、
dns server select 1 HGWのLAN側IPv6グローバルアドレス aaaa flets-west.jp
にしました。ping6を打ちました。エラーになりました。
おかしい。
そこで、このまま、saveして、restartしました。すると、ping6で応答が帰りました。
怪しいので、もう一度、restartしてやりましたが、ping6で応答が返ってきます。
うーん?これって、dns関係の設定をいじったら、RTX1200ではrestartしないと駄目な仕様なんでしょうか。これって、バグではないか。
そういえば、このルーターにはipv4静的レコード(dns static a)をたくさん登録(64行ほど)していて、ここに新しい静的レコードを追加したときも、
即座に反映されない感じで、restart後に有効になったんです。
静的レコードをたくさん登録している場合に、こういう有効化のために要再起動バグが発生するのだろうかといぶかしんでいます。
dns server select 1 HGWのLAN側IPv6グローバルアドレス aaaa *p-ns.flets-west.jp
save
restart
だと駄目でしたが、
dns server select 1 HGWのLAN側IPv6グローバルアドレス aaaa p-ns.flets-west.jp
save
restart
だとうまく動作しました。
このことから、どうやら「*」ワイルドカードが指定できない仕様のようだと思いました。
<結論>みなさんのところはどうですか?
ワイルドカードをクエリに指定できないことがわかった。(設定時にエラーを出すべき)
設定したら、再起動するまで有効にならないことがわかった。(バグかもしれない)
はぁ、IPv6関係はrtx1200とは言ってもいろいろ問題ありそう。
意図した動作をしない場合、バグの発見のために、いろいろと実験して確かめるしかなさそう。
設定変更後にclear dns cacheやってないのでは?
DNS関係の設定って変更したら、clear dns cache が必須なの?
初めて聞いたんだけど。
再起動して正常になるならバグと考えるよりキャッシュが原因の可能性が高いんじゃね?
テストするんならってことでは
北海道中央バスさん
どこのプロバイダの何というサービスに加入したか書かないとアドバイスできませんよ
そのサービスが出てるURL貼れば更に判りやすいです
それより出入り業者に任せた方がいいですよ大企業なんだから
ヤマハルーターに実装お願いします。
ツールで接続しましたまでは出るのですが、実際にはPingも通りません。
ipconfig/all で見るとこの辺がいまいちそうなのですが、810側も、ソフト側も
サブネットマスク(255.255.255.0のはず)、デフォルトゲートウェイ(店側は192.168.0.1、家側は192.168.0.2)
を設定する箇所が無く悩み中です。
ご教授お願いできればと思います。
PPP アダプター YMSVPN8_vpn1:
接続固有の DNS サフィックス . . . . .:
説明. . . . . . . . . . . . . . . . .: YMSVPN8_vpn1
物理アドレス. . . . . . . . . . . . .:
DHCP 有効 . . . . . . . . . . . . . .: いいえ
自動構成有効. . . . . . . . . . . . .: はい
IPv4 アドレス . . . . . . . . . . . .: 192.168.0.75(優先)
サブネット マスク . . . . . . . . . .: 255.255.255.255
デフォルト ゲートウェイ . . . . . . .: 0.0.0.0
DNS サーバー. . . . . . . . . . . . .: 192.168.0.1
NetBIOS over TCP/IP . . . . . . . . .: 無効
proxyarpは?
コメントありがとうございます。設定としては下記になっていました。
一応家と店でルータのアドレスはずらしたのですが、192.168.0.までは一緒です。
それが原因でしょうか?(一応最後のでかぶらないようにしているのですが・)
ip lan1 address 192.168.0.1/24
ip lan1 proxyarp on
ip route default gateway tunnel 1
tunnel select 1
tunnel endpoint address gw.transix.jpのIPv6アドレス
ip tunnel mtu 1500
tunnel enable 1
参考資料
SEIL/x86でDS-Lite
ttp://www.seil.jp/blog/ds-lite DS-LiteでIPv4してみませんか?
ttp://techlog.iij.ad.jp/archives/1254 transixサービス IPv4インターネット接続オプションサービスの提供開始について
ttp://www.mfeed.ad.jp/press/2014/20141001-1.html DS-LiteによるIPv4接続機能の提供開始について
ttps://www.iijmio.jp/info/iij/20141001-3.html クライアントはVPN8でいいのかな
書き方からして試用版で試している状況かなとも思うけどサポートでも対応してくれる
と思うぞ、購入前に接続できるかの確認期間だし
細かいところでは接続状態でpingを打ったときの表示がどうなるのかだな
pingのあて先とroute print -4の出力が気になる感じではある
ip tunnel mtu 1500っておかしいデフォルトにしとけ
あとtunnel encapsulation ipipが必要じゃないか?
> ip tunnel mtu 1500っておかしいデフォルトにしとけ
自分もそう思ったんだけど、
ttp://www.seil.jp/blog/ds-lite > 以下、IPv4 ルータとしての動かすための設定を入れてゆきます。
> tunnel インタフェースの MTU は LAN 側に揃えて 1500 にしておくのがお勧めです。
> interface tunnel0 mtu 1500
> IIJmio FA/NF サービスではサーバ(AFTR)側で TCP MSS の調整が行われるため、SEIL 側で tcp-mss を設定する必要はありません。
と書いてあるので1500にしてみた。
> あとtunnel encapsulation ipipが必要じゃないか?
NVR500はtunnel encapsulationの初期値がipipなので省略できる模様。
ttp://www.rtpro.yamaha.co.jp/RT/manual/nvr500/tunneling/tunnel_encapsulation.html > [初期値] : ipip
はいVPN8です。ありがとうございます。
サポートあるのですね。ping 打ってもホスト名見つかりませんで出てしまいます。
route の結果は下記の通りでした(すみません、今はルータのIPかぶってます・・)
55が自宅、75が店です。
アクティブ ルート:
ネットワーク宛先 ネットマスク ゲートウェイ インターフェイス メトリック
0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.55 4491
0.0.0.0 0.0.0.0 リンク上 192.168.0.75 11
店の固定IP 255.255.255.255 192.168.0.1 192.168.0.55 4236
127.0.0.0 255.0.0.0 リンク上 127.0.0.1 4531
127.0.0.1 255.255.255.255 リンク上 127.0.0.1 4531
127.255.255.255 255.255.255.255 リンク上 127.0.0.1 4531
192.168.0.0 255.255.255.0 リンク上 192.168.0.55 4491
192.168.0.55 255.255.255.255 リンク上 192.168.0.55 4491
192.168.0.75 255.255.255.255 リンク上 192.168.0.75 266
192.168.0.255 255.255.255.255 リンク上 192.168.0.55 4491
224.0.0.0 240.0.0.0 リンク上 127.0.0.1 4531
224.0.0.0 240.0.0.0 リンク上 192.168.0.55 4491
224.0.0.0 240.0.0.0 リンク上 192.168.0.75 11
255.255.255.255 255.255.255.255 リンク上 127.0.0.1 4531
255.255.255.255 255.255.255.255 リンク上 192.168.0.55 4491
255.255.255.255 255.255.255.255 リンク上 192.168.0.75 266
===========================================================================
固定ルート:
ネットワーク アドレス ネットマスク ゲートウェイ アドレス メトリック
0.0.0.0 0.0.0.0 192.168.0.1 既定
クライアントが存在するネットワークと、接続先のネットワークが同じだと
そもそも通信できないのではないか。
デフォルトゲートウェイをトンネルに向ける仕様ではあるが、ローカルネットワークに
包含されるIPアドレスに対する通信は、そもそもデフォルトゲートウェイに向かわない
と思うんだ。
pingでホスト名が見つかりませんと出るならあて先はIPアドレスではなくDNS名かな
RTX810自身が参照しない(できない)DNSサーバーにそのあて先のホスト名が登録
されているのではないかとエスパー
昔試したが同じネットワークなら無理だよ
そのアドレスで使いたかったらMSのダイヤルアップ使ったほうがよい
同一セグメントはrouteに関係なくarp(レイヤ2)通信をしますので相手のMACアドレスが見えないと無理です。
proxyarpかスタティックarpとかでMACアドレスを通知すれば可能だけど別途VPNルーターが必要なので非現実的
セグメントを変えればrouteによる通信(経路)になります。
レスありがとうございます。
コメントありがとうございます。
家側を 192.168.1.xxに変更したら無事にアクセスできました。(IPベース)
ありがとうございます。びっくりするくらい早いです。。
まだ名前解決はできていません。DNSはあまり気にしたことなかったのですが
RX810(店側)の参照DNSに家側のルータ(192.168.1.1)を指定すれば良いのでしょうか?
RX810のVPN設定画面にはDN設定はなさそうです。
自宅のルータのDNSに店側のルーターの192.168.0.1を追加してみましたがだめでした。
何台かにアクセスできればいいのでいざとなればetc/hosts(今もあるのか?)
で設定してみます。
これからお世話になると思いますが、分からない事等でてきたらご教授お願いします。
NECだとRTX1210と同等製品のIX2207があるけど、ヤマハにした理由を教えて。
ファーム落ちとか引退勧告だw
意味が分からん。NECも新品購入ならファーム入手できるだろ。
細かい突っ込みだが、同等品はIX2215だろ。
特別な理由ではありませんが、
別メーカーのルータもさわってみたくなったくらいです。
以下の記事でショートも向上したと書かれていたので勢いで買っていました。
ttp://ascii.jp/elem/000/000/903/903546/ なるほど。積極的な理由があったのなら知りたいなと思って。
確かにそうでった。
RTX直結で、v6プラスが利用できたらいいのにと思う。
アドレス(あるいはプロトコル)で特定可能なパケットのみ、NATでアドレス変換の処理を行いたいです。
それ以外のパケットは内向き外向き共なにもせずにスルーさせたいんですが、
できるのでしょうか。
普通の方法だと、そのインターフェイスを通過しようとする全部のパケットがNAT処理されてしまいます。
INNERと、OUTERそれぞれについてアドレスを定義すると、NAT処理されるパケットを絞れているようです。
しかし、ここでは、ネットワークアドレス単位での指定ができません。
STATICで、テーブルを定義することもでき、ここではネットワーク単位でアドレスを指定可能のようですが、
上記の方法とどう区別されているんでしょうか。
また、NAT処理させるパケットをプロトコルやポート番号で指定することはできるのでしょうか。
ポートが扱えない、動的NAT、静的NATのコマンド入力していないか?
ポートが扱えるのはIPマスカレードだぞ
transixにおいで。
RTX直結で、DS-Liteが利用できるよ。
YAMAHAの公開ページを参考にしていますが、拠点間接続はできているのですが、
拠点をまたぐ通信ができていません(別拠点のPCやサーバと通信ができません)
ttp://jp.yamaha.com/products/network/solution/vpn/connect/twice_nat/ 基本的には上記のサンプルベースの定義となっていますが、
VPNの設定が、IPsec→pptpに変更しています
拠点1:RTX810(サーバ側)192.168.87.254
フレッツ 光ネクスト 隼(PPPOE:@nifty)
拠点2:NVR500(クライアント側)192.168.87.252
auひかりマンションタイプE(LAN:@nifty)
いずれの拠点においても、インターネット接続はできています。
なぜ通信できないかご教授願えませんでしょうか
(B拠点のconfig)1/2
ip lan1 address 192.168.87.252/24
ip lan2 address dhcp
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101083 101084
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101083 101084 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0:auひかり
pp select 1
pp name WAN/VPN:VPN-2
pp bind tunnel1
pp always-on on
pp auth accept mschap
pp auth myname *** ***
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
pptp service type client
pp enable 1
tunnel select 1
tunnel encapsulation pptp
tunnel endpoint name **** fqdn
pptp tunnel disconnect time off
pptp keepalive interval 30 12
ip tunnel nat descriptor 202 reverse 203
tunnel enable 1
(B拠点のconfig)2/2
ip filter 101003 reject 192.168.87.0/24 * * * *
ip filter 101013 reject * 192.168.87.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101032 pass * * tcp * ident
ip filter 101083 pass * 192.168.87.252 tcp * 1723
ip filter 101084 pass * 192.168.87.252 gre * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 4 192.168.87.252 tcp 1723
nat descriptor masquerade static 200 5 192.168.87.252 gre
nat descriptor type 202 nat
nat descriptor address outer 202 172.16.2.1-172.16.2.254
nat descriptor static 202 1 172.16.2.1=192.168.87.1 254
nat descriptor type 203 nat
nat descriptor address outer 203 172.16.1.1-172.16.1.254
nat descriptor static 203 1 172.16.1.1=192.168.87.1 254
これの結果は如何でしょう?
A拠点にある 192.168.87.xx に到達するときのルートは何処向いてますか?
>拠点をまたぐ通信ができていません(別拠点のPCやサーバと通信ができません)
通信の確認はどうやったの?
入力は全角ですか
B拠点
show ip route
Destination Gateway Interface Kind Additional Info.
default 192.168.0.1 LAN2(DHCP) static
172.16.1.0/24 - TUNNEL[1] static
192.168.0.0/24 192.168.0.2 LAN2 implicit
192.168.87.0/24 192.168.87.252 LAN1 implicit
192.168.87.254/32 - PP[01] temporary
A拠点
show ip route
Destination Gateway Interface Kind Additional Info.
default - PP[01] static filter:500000
default - PP[01] static
133.160.162.243/32 - PP[01] temporary
172.16.2.0/24 - TUNNEL[1] static
192.168.87.0/24 192.168.87.254 LAN1 implicit
192.168.87.252/32 - PP[02] temporary
202.248.0.72/32 - PP[01] temporary
210.131.113.126/32 - PP[01] temporary
ping tracert で、拠点間のパソコンで確認しました
実際に打ったIPアドレスは?
A拠点から 192.168.87.252 192.168.87.191 などB拠点にある端末
B拠点から 192.168.87.254 192.168.87.251 などA拠点にある端末
レスありがとうございます。
LINUXのiptablesだと、dnatや、snatで、アドレス変換対象するとパケットを、
アドレスだけでなくプロトコルやポート番号で指定できるので、
yamahaのも何か方法が用意されているのかなと思ったんです。
ない感じでしょうか。
nat descriptorの、staticと、
outerやinnerとは、どう使い分けすれば効果的なんでしょうか。
それじゃルーティングしないから172.16のアドレス相手に通信しないとダメじゃね?
同じネットワークアドレス使ってても通信できるだけであってそのアドレスそのままではトンネルに投げようとはしないよ
Twice NATって拠点Bならping 172.16.1.? とかで相手と通信できるって事でしょう?
Twice NAT
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html?_ga=1.79224210.743457920.1406636415 707だけどproxyarp必要じゃない?理由は707そのまんま
しかしサンプルに書かれていないのは謎だipsecだと要らないのか?
じゃあどうする?って事で別ネットワークの192.168.87.10/24を172.16.1.10/24でアクセスしようってのがTwice NATでしょ
でも、ping 返ってこない
pingで、ipv4パケットを通してみたが、安定しないね。
パケットロスはなくほとんどが15msec以下だが、
6msecから、120msecの間で揺れる、揺れる。
平均で、7msecくらい。LANみたいに安定しているのかと思ったので、がっくり。
これだと、pppoeのプロバイダ経由のほうがよかったよ。
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html?_ga=1.79224210.743457920.1406636415 から引用 この設定にしたがえば、N1からはN2が172.16.2.0/24に見え、 N2からはN1が172.16.1.0/24に見えるようになります。
A拠点から 192.168.87.252 192.168.87.191 などB拠点にある端末
B拠点から 192.168.87.254 192.168.87.251 などA拠点にある端末
A)からBは別のネットワークに見えているはずなので、Aが192.168.87.0/24 なら
AからみたBのホストは192.168.87.191ではないはず。
、 には
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/twice-nat.html?_ga=1.79224210.743457920.1406636415 や ttp://jp.yamaha.com/products/network/solution/vpn/connect/twice_nat/ にある ip lan2 nat descriptor 1 reverse 2 や ip tunnel nat descriptor 2 reverse 3
に相当する設定がない。
ip lan2 nat descriptor 1 reverse 2 や ip tunnel nat descriptor 2 reverse 3
に相当する設定がない。
レスいただきありがとうございます
お言葉を返すようですが、定義されているんだが
何も違いが・・・
ping 172.16.1.254
の結果は?
あと、逆の拠点A側から
ping 172.16.1.252
の結果は?
少なくとも今まではと解釈してたんだろう?
失礼。見落としてた。
Twaice NATで
「N1からはN2が172.16.2.0/24に見え、 N2からはN1が172.16.1.0/24に見える」
ようになっているはずなので、
Aが192.168.87.0/24なら、Aから見たBは何にしてあるのだろうか?
AもBも、本当は192.168.87.0/24だとしても、相互に見た目は別のアドレスになっているはず。
ping は、マッピングされた見た目のアドレスにうつべきではないかな。
ping 172.16.2.252
ping 172.16.2.191
B拠点から 192.168.87.254 192.168.87.251 などA拠点にある端末へは
ping 172.16.1.254
ping 172.16.1.251
じゃないかな。逆か?
それも認識している
でも、ping が飛ばないんだよね
だからきいています
他に
ttp://jp.yamaha.com/products/network/solution/trouble_shooting/ts_router/vpnpptp_connect/ Twice NAT をやめて、
別セグメントでVPNやれば、うまく接続できる
ログはエラーとか、何も書かれていなかった
別セグメントと同じ感じで、セッションは張れている
show status tunnel 1
show status pp 1
show nat descriptor address 202
show nat descriptor address 203
は?
書き込むまで気づかなかった。スレ伸びていないなとずっと思っていた。
<本題>
yamahaルーターって、動的フィルタに、icmp対応がないのはなぜ?
iptables だったら、ステートフルインスペクションでもicmpが対応されるのになあ。
ttp://projectphone.typepad.jp/blog/2007/06/srt100rtx11002_1da2.html > マネージメント・サービス系SEから「pingのステートフルインスペクション機能」の強い実装要望があり、実現しました。(pingは、セキュリティホールになりやすい。)
質問時から何も変えてない
実際にどのPCやサーバーがどういうIPアドレスを使ってるとかも図にしてみてよ
質問時はpingを192.168.87に送って届かないとか言ってたんでしょ?
とりあえず、この問題切り分けでどこの段階までいってる?
ttp://jp.yamaha.com/products/network/solution/trouble_shooting/ts_router/vpnpptp_connect/ レスありがとう
RTX1200についても、実装希望する!
IP MASQERRADE については、ICMPは、内側ホストの識別のためのコードを埋め込むなどして、
対応しているんだけどなあ。
動的フィルタは皆、普通に使っているでしょ?
MASQUERADEだけ対応しているだけに惜しい。
最後まで
twice-natを、tunnelじゃなくて、ppにかけたらどうなる?
ttp://www.gizmodo.jp/2014/10/_dropbox.html 貴重な資料を置くのがおかしい
厳重に偽装して手元に置けばいい
どこのスレがいいでしょうか。
内容は、接続のさいにつかわれるipv4-ipv6トンネルで、
終端装置でのポートバインド(?)の持続時間が知りたいんです。
自分側のPCからトンネル経由で、終端装置でIPv4グローバルに変換されますけど、
このときにつかわれるバインドテーブルが残っている間は、
何の対策もなければ、外部からPCの特定ポートへは通々なわけで。
早く解消されればよいなと思っています。
あるいは、動的フィルタみたいに、jpne側が無関係な通信はブロックでもしてくれているんでしょうか。
よろしくお願いします。できればここで。
と思って調べたら、したのような感じでした。
[ SPI設定 ]
TCPタイムアウト(秒)3600
UDPタイムアウト(秒)180
ICMPタイムアウト(秒)60
一応、ステートフルインスペクションということらしいので、RTXみたいに、
内側から接続した外部の特定の相手先のみIN方向への通信を許すということで安心して良いでしょうか。
HGWの上記SPI設定は、どうやら無効化するためのコントロールはなさそうです。
タイムアウトの時間だけ設定可能です。
ということは、HGWは、SPI強制なんでしょうか。
それから、気づいたんですが、v6プラスが有効になっているとき、
HGWの画面から、静的ポートフォワードも設定できなくなりましたね。
(何が変わったか、画面に記しておいてほしいよ。気持ち悪い。)
あと、RTX1200などで、v6プラスとは言わないけど、
jpneとかとマッピングトンネルを標準で通してほしいよ。
dynamic filterを かけ忘れていたんです。
IPv6ばかりに意識がとらわれていました。(IPv6についてはたぶん万全でした。)
IPv6には設定があっても、IPv4について設定がなければ、
デフォルトで、passになりますよね。(他社ルーターもこういう仕様?)
今、あせって、ベッドから飛び起きてきたしだいです。
で、知らないうちにHGWのSPIが効いているらしいことがわかってほっとしたところです。
HGWのセキュリティーログをみると、SPI管理テーブルで、src dstという見慣れた文字にほっとしました。
寝ます。
MF transixのIPv6 IPoEとDS-Lite(IPv4 over IPv6トンネル)をRTA55iで終端してみた。
実測スループットはv6もv4も6〜8Mbps程度。55iも意外とまだ使えるな。
宅内からNATとPPPoEを排除できるってのがおもしろい。
DS-Liteが任天堂のゲーム機と同じ名前だ
これって、ipv4 over ipv6 トンネル技術の一種なんですね。
ttp://www.mfeed.co.jp/transix/ IPv4 over IPv6技術(DS-Lite※1)により、IPv6インターネット上でのIPv4インターネット接続を実現
transixサービスをご利用のお客様は無償
IPv6、IPv4両方のインターネット接続サービスを一括してエンドユーザ様へ提供
DS-Liteに対応した端末装置※2の設置が必要
市販のDS-Lite 対応Wi-Fiルータ等。
でも、どうして、55iでDS-Lite(トンネル)が終端できるんですか?
市販の対応ルータって、RTXじゃ駄目なんですか?
あと、費用が気になりすぎます。
HGWから自立できるのなら、試してみたいと思いました。
JPNEだけでなく、他にもNGN(IPv6)をつかったIPv4接続サービスって提供しているんですね。
何になりそうだろう?
もうDS-Liteで行きましょうか。
JPNEではなくて、RTX利用者は、インターネットマルチフィードを利用することになるのでは?
GUIからの初期設定で、例えば次のようなフィルタが作られてるんだけど、
1003のフィルタって意味があるの?
1002があれば必要無いように思うんだけど。
ip filter 1000 reject 10.0.0.0/8 * * * *
ip filter 1001 reject 172.16.0.0/12 * * * *
ip filter 1002 reject 192.168.0.0/16 * * * *
ip filter 1003 reject 192.168.100.0/24 * * * *
1003は自分のIPを含むブロックを指定してるんじゃね。
この設定なら1003は意味ないけど、ここがグローバルIPに変わる人は要は4行になるよってこと。
のとおり
ttp://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level7.html#filter-define ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-spoofing-filter.html 俺は100.64.0.0/10(シェアードアドレス)もrejectしてる。
GUIのプリセットフィルタはフィルタリングポリシーの参考にはなるけど
汎用的であり時代遅れの面もあるから、それにとらわれ過ぎないようにね。
サンキュー!
紹介してくれたページもいいね!
ip filter 1002 reject 192.168.0.0/16 * * * *
ip filter 1003 reject 192.168.100.0/24 * * * *
ttp://www.rtpro.yamaha.co.jp/RTA54i/ScreenShot/40310/security-level7.html によると、これらのフィルタは、ともに入力方向にかかっているけど、
でも、192.168.100.0/24 は、192.168.0.0/16の中に含まれているよね?
ずっと、192.168.0.0/16だけで、OKだと思っていたんだけど。
config だけでなく文章もちゃんと読んであげなさいよ。メモ欄に以下のように書いてある。
こんなんじゃ頑張ってサイトを作ってくれてるのに中の人がむくわれない。
192.168.0.0/16 Ingress/in: Private C
192.168.0.0/24 Ingress/in: LAN1 Primary
あくまでも汎用的な設定として提示しているのであって、この場合は冗長な表記になって
いるなーっていう具合に察してあげてもバチはあたらないと思う。
細かく分けるのが一般的だと思う
適用するかどうかは別の話だからさ
場合による
たとえば、外部からプライベートアドレスをソースとするパケットはこないから、
192.168.0.0/16,172.16.0.0/12,10.0.0.0/8 でまとめて照合したいところ
>他の業者が触る
!!
IT関係は全部、自社(自分)でやっているけど、
普通は、他の業者もルーター触るの?
何言ってるんだ。そんなん普通に考えて、どっちのケースもあるに決まってるだろ。
あと、こういったものはコピペでどんどん広まっていくものなので、公開する (もしくは
人に見せる) ものは教育的な見地で好ましいものとなっているべきだと思う。
のちのち (誰かが) 苦労するのを未然に防いで、より良い世の中にしていこうよ。
# こうやって、どんどん元の話からズレていくのだな・・・
失礼
自社で全て賄ってる人も多い機種だったね
納品した業者が保守しないケースもあったりするので
他の業者が後日設定変更する事もあるんだ
俺も誰かが設置したRTXを触ること有る
誰かの「俺フィルター」に感心したり、呆れたりする毎日だよ
パスワードは?まさか、シールで貼ってあるとか?
フレッツネクストで、v6オプション申し込み後にいったんアドレスが変わり、
これを、「ネーム」に登録しました。
このスレなどの話から、その登録後にプリフィックスが変更になったときには、
自動的に「ネーム」も更新されると思っていました。
IPoE IPv6に対応しているプロバイダに申し込むと、数分後にはhgwのIPv6 GUAが更新され、
伴って、RTX1200のLANアドレスも変更になりました。
しかし、どうやら「ネーム」は更新されていないようです。
更新は即座にはなされないんでしょうか。
IPoE IPv6 GUAを提供しているプロバイダに申し込みをすると、新しいIPv6アドレスに変更になります。
すると、IPsecなど旧来のトンネルが使えなくなってしまいます。
そのため、前もって、トンネル対向拠点に対して、ip routeを切り替えておきます。○
しかし、対向拠点のこちらへのルートの切り替えを忘れてしまいました。×
まず、これで通信が遮断されてしまいます。
あっ、しまった!久しぶりだったので対向の設定を変えるのを忘れていた!!(肝を冷やす1)
で、そこで、telnet 電話番号 というデータコネクトを使ったリモートアクセスを試みます。
こういうときのためにあるんだと思っていました。
ところが、パスワード入力までいかずに途中で止まってします。
あっ、対向のRTX1200にはIPv6フィルタを掛けていて旧来のIPv6アドレスを通すようにしていたんだ!!(肝を冷やす2)
このことから、反省しました。
「設定ミスに伴ういかなる」場合でも、リモートアクセスというものはできるようにしなければいけないわけなんだと。
以前は、ISDNを使っていたのでいかなる場合でもリモートアクセスは可能でした。
ところが、リモートアクセス手段も、今ではIPv6を使うようになっているので、設定ミスやIPの変更によって、失敗する恐れがでてきたわけです。
しかし、まさかtelnetポートについてIPv6フィルタを開いておくわけにはいきません。
で、思うんですが、IPv6の下位の32bitのみを使ってpassフィルタって作れるようにならないでしょうか。上位32bitはどんな値でもokにする。
そうすれば、いくらプリフィックスが変更になっても、RTXのLANポートの物理アドレスが変更にならない限りは、passフィルタは有効になりますよね。
こんな感じです。
ipv6 filter 1 pass 32/::2a0:xxxx:xxxx:xxxx *
ところで、結局、別拠点を経由することで不通になっていた拠点のルート情報を書き換えられました。
しかし、二回も肝を冷やすことになるとは。操作の危険度は異なるので、慣れは怖いですね。
拠点に出張するくらいならよいですが、朝から一日サービスを止めてしまうところでした。
sdカード
ミスりました
> IPv6の下位の32bitのみを使ってpassフィルタって作れるようにならないでしょうか。上位32bitはどんな値でもokにする。
IPv6の下位の64bitのみを使ってpassフィルタって作れるようにならないでしょうか。上位64bitはどんな値でもokにする。
> ipv6 filter 1 pass 32/::2a0:xxxx:xxxx:xxxx *
ipv6 filter 1 pass 64/::2a0:xxxx:xxxx:xxxx *
RTX1200を使っているけど、
sdカードなんてルーターで今まで使ったことない。
どうやって、認証させられるの?
>プリフィックスが変更になったときには、自動的に「ネーム」も更新されると思っていました。
更新されました!
IPv6プリフィックスが変更になってから、数十分ほど遅れて「ネーム」の情報は更新されるようです。
認証してるんじゃなく、microSDカードにconfig.txtを入れてるだけなのでは?
NTT都合でプレフィックスが変更になった場合は追従してネームのレコードが変更になる
件は複数のルートでNTTに確認済み
同じIPv6プリフィックスを配下のマシンに広告して、ステートレスにGUAを使わせることなんかできますか?
たった一つのプリフィックスを、複数のネットワークセグメントに分かれた環境で、
使いたいなあと。
NTT東日本とかネクストでipv6がデフォで有効になってます。
対して、ルーターもPCも、デフォでipv6有効になってます。
また、ヤマハルーターの場合、ipv6フィルタリングもデフォルトでは全通だと思います。
ルーティングもデフォで有効ですよね?
つまり、ネクスト東日本でデフォルトのまま設置すると
東日本のエリア内からipv6総当たりで末端PCを叩きに来れてしまうような気がしますが
これで合ってますか?
ホームゲートウェイ(ひかり電話ルーター)もしくは網側のルーターは、
末端PCへのゲートウェイがヤマハルーターであることを知らない。
末端PCもまた、NGNへのゲートウェイがヤマハルーターであることを知らない。
末端PCはNGNのプレフィックスを知らず、NGN用のIPv6グローバルアドレスを持っていない。
近隣ノードからは工場出荷設定値のヤマハルーターへログイン可能だから
顧客のリンクと接触できるNGNの管理者に悪意を持った者が居れば
顧客のヤマハルーターに任意の設定を施して
東日本のエリア内から末端PCを叩きに来れる状態を作ることは可能。
完成図書
もしくは前の業者から貰う
両方ともダメなら、作業出来ないので営業が断ってるから
俺のところまで話が来ない
酷い話だと設定されてないことがある
・・・しかも年に数回はあるから呆れるよ
Rejected at IN() filter: UDP 163.139.21.197:53 > 192.168.0.1:10955 (DNS response)
Rejected at IN() filter: UDP 163.139.230.168:53 > 192.168.0.1:10955 (DNS response)
Rejected at IN() filter: UDP 163.139.230.168:53 > 192.168.0.1:10736 (DNS response)
Rejected at IN() filter: UDP 163.139.21.197:53 > 192.168.0.1:10278 (DNS response)
Rejected at IN() filter: UDP 163.139.21.197:53 > 192.168.0.1:10348 (DNS response)
Rejected at IN() filter: UDP 163.139.230.168:53 > 192.168.0.1:10348 (DNS response)
これって、何攻撃?
たぶん、自分のISPのDNSからの正当な応答パケットですw
ありがとうございました。
RAを受け取らず、また自分からRAを送信しなければ、
いわゆるルーティングテーブルが作られないから大丈夫、ってことですね
光ネクスト(ひかり電話HGWの配下にルーター設置)したとき
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
と書いた瞬間から、NGN内のipv6と通信可能になり
必要に応じてフィルタリングしないといけない
という解釈であってますか?
>5秒ぐらいしかフィルタ開いてない
それって、dns名前解決要求にともなう動的フィルタのオープンですか?
DNSの場合はそんなに短いんだ
HGWの設定を全て見てたら、「IPv6パケットフィルタ設定(IPoE)」ってのがあって
標準で「v6ファイアウォール機能」が「有効」にってましたので、これで一安心なのでしょうか。
IPv4のときは基本的にはNATの内側だということで、割に安心してましたけど
IPv6は全端末にグローバルアドレスが配布されるということで、「大丈夫な一線」が勉強中の自分には掴めておらず・・・
ネクスト──HGW(ひかり電話)──(LAN2)RTX(LAN1)──PC
これはIPv4でいうところの、二重ルーターで動いていると思っていいんですか?
「IPv6パケットフィルタ設定(IPoE)」の説明書きをよく読んだら
> [IPv6ファイアウォール機能]が「有効」でかつ、[IPv6セキュリティのレベル]が「標準」の場合、
> NTT東日本・NTT西日本のフレッツ光ネクスト網内で折り返す通信
> (NTT東日本・NTT西日本との契約により可能となるもの)は許容し、
> その他のIPv6通信を使用したインターネット側からの通信を拒否します。
>
> ※[IPv6セキュリティのレベル]が「高度」の場合は、
> NTT東日本・NTT西日本のフレッツ光ネクスト網内で折り返す通信
> (NTT東日本・NTT西日本との契約により可能となるもの)を拒否します。
つまり、「IPv6セキュリティのレベル」だと、網内の知らない人からは侵入されうる、ということ?
>NTT東日本・NTT西日本のフレッツ光ネクスト網内で折り返す通信(NTT東日本・NTT西日本との契約により可能となるもの
この案内書きって、いつも迷うな。
折り返す通信って、v6オプション契約で可能になる通信のこと?
括弧書きの、「契約により可能になるもの」の契約がそのことなんだろうか。
たぶんそうだろうな。
もし、HGWで、一切網内の知らない人との通信を避けたいんなら、
「[IPv6セキュリティのレベル]を「高度」」に設定するべきなんだろう。
「[IPv6セキュリティのレベル]が「標準」」の場合には、
配下にあるルーター(RTX?)でファイアーウォールの設定を行う必要があるよね。
たぶんそうだと思うよ。
一度実験すれば確実。自分もIPv6の設定は済ましていて、他拠点との通信ができている。
しかし、設定後は、記憶が抜け落ちているかもしれないので、絶対そうだ!とは言えない。
だから自分で試す。
末端のPCから、まず、RTXのra-prefix@lan2::1へアクセス。
さらに、hgw(のIPv6アドレス)へアクセス。
そうして、さらに、hgwが情報を取得しているところの網内DNSへpingなどを打つ。
(ただし、経路途中のRTXで動的フィルタを設定している場合は、動的フィルタがicmpに見たい王なので、pingは応答されないよ。)
こうして、末端PCから、網内に通信できるということは、
ファイアーウォールなどの対策を採らない限りは、外部からアクセスされる危険があるということだよね。
ずっとNATの内側にいる生活に慣れ親しんでしまっていましたせいで麻痺してしまっていましたが
PPPoEとかを介さずに、IX内のセグメントに自分のルーターを直結させてるくらいでイメージしないと危険ってことですね
最初のうちは
ipv6 filter 10 pass * * icmp6
だけ設定しといて、徐々に必要なポートを吟味して開放させていこうと思いますが
個々に dynamic filter 〜 定義して
ローカルから出て行ったパケットの戻りだけを通過させるように
これまでNATが勝手にやってくれてたことをきちんと定義しないといけないですねー
そういうことになる。
ipv4の世界はNATの使用が前提であることが多いから、
外→内の方向の通信は基本的に全遮断だから安全だけど
ipv6は全部直接入ってくるから、ルータ及び端末のフィルター実施は必須
>これまでNATが勝手にやってくれてたこと
NATを誤解しているかも・・?
動的フィルタや、ステートフルインスペクション(SPI)について、
理解すると、マスカレードなんてなくても、安心できるよ。
というか、NAT(マスカレード)なんて、現在開いているポート以外を閉ざすためだけのものなので、
防御は十分ではないんだよ。
ttp://akiba-pc.watch.impress.co.jp/docs/news/news/20141002_669497.html 興味はあるけど、RTX1200をいじれればそれで満足だしなあ。
安定性が一番だけど、RTXに勝るものはないでしょう。
それに、なにか諜報活動支援機構でも組み込まれていたら怖いし、
やっぱり日本製が信頼できる。
ip filter dynamic timerコマンドで時間は変えられるよ
解釈はあってる。
HGWのDHCPv6サーバー機能はPDオプションに対応しているから
ipv6 lan1 address dhcp-prefix@lan2::1/64
等としてもOK。
> IPv4のときは基本的にはNATの内側だということで、割に安心してましたけど
NATで遮断されるパケットは、NATの外側アドレスを宛先としているものだけだよ。
LAN内のアドレスを宛先としているパケットは、NATとは無関係にルーティングされてLAN内のホストへ到達する。
だからこそ、NATの有無に関係なくイングレスフィルタリングを行うわけさ。
> これはIPv4でいうところの、二重ルーターで動いていると思っていいんですか?
[参考リンク] 道案内するルータ
ttp://www.soumu.go.jp/joho_tsusin/kids/internet/shikumi/Router_03/Router_03.html 『二重ルーター』という言葉はネットワークを理解していない人による造語であって、ネットワークの用語ではない。
多段NATを指して使われることが多いようだが発言者によってはそうではない場合もあり、明確な定義は存在しない。
HGWはIPv6のNAT機能を有するがRTXにはそれが無いため、多段NATにはなっていない。
そのとおり。
『NTT東日本・NTT西日本との契約』とはフレッツ・v6オプションと、それに相当する機能が含まれている光ネクスト ギガ・スマートタイプやプライオなどのこと。
それらにより『可能となるもの』とは、端末間のダイレクト通信機能のこと。
『網内で折り返す通信』か否かの判断は、経路情報提供サーバーから取得する情報と比較することで行われる。
経路情報はtelnetクライアントを使って取得することもできる。詳しくは技術参考資料を参照。
> 動的フィルタがicmpに見たい王
Rev.10.01以降の動的フィルタはping/ping6に対応している。
ipv6 filter 9 reject * * icmp6 128
を加えると、外からのエコー要求(Echo Request)を遮断できるよ。
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
みたいなことだけ書いてフィルターせず満足してる人が大勢いそうな気がする・・・
telnetd host any がデフォで有効になってるから
下手するとNGN内からtelnet侵入うけちゃうんのか
特に東日本はデフォでipv6有効だし
LAN側にいて安心してたPC(サーバーを含む)も
NGN側に対して全開放状態なんだよな?
Win2008以降はipv6デフォで有効だし
半端な設定のままルーターでipv6通すとローカルセグメントにraが行き渡る
実は社内の全端末が意図せず全公開になってる企業がいっぱいいたりまして
NetBIOS系を中心にした unknown ポートだけ reject して
最後の〆に pass * * * * しているところとか
YAMAHAヤマハブロードバンドルーターpp select 19
ttp://peace.2ch.net/test/read.cgi/hard/1383565233/
のほうが適切かと
ここはネットワークに関する知識を持っていることが前提の
YAMAHA業務向けルーター運用構築スレッド
知識の無い人は業務向けルーターなんか使うべきじゃない
半端な管理者が意外に多いと思うし
ヘマやって家族の写真が流出するくらいで留まらず、それで辞表を書かないといけない人ばかりだろうから
あーいうことはここで触れておいたがいいと思うけどな
>ipv6 filter 1 pass 64/::2a0:xxxx:xxxx:xxxx *
上位 Nbitはanyで、下位(64-N)bitだけでフィルタルールを記述できるようにしてほしい!
IPv6の場合は、128bitもあるので、下位のbit列がパスワード的な役割を果たすことになり、
たぶんニーズはあると思うんだけど。
どういう場合かというと、
データコネクトによるリモートセットアップの設定を行うときにも、
HGWにつながっているRTXのLANインターフェイスにIPv6フィルタを掛けなきゃいけない。(網から進入されるから)
対向のRTXのIPv6 GUAだけをパスするようなフィルタを書くわけだ。
しかし、そのIPv6プリフィックスがnttの都合で変更になる可能性があって、
そうなったら、最後の砦であるはずのリモートアクセス自体が不可能になってしまう!
こういうプリフィックス変更の事態に備えるためには、下位のMACアドレスベースのbitでフィルタを記述する必要があると思うんだ。
わかってくれる??
予め、対向RTXのMACアドレスを元にしたIPv6 GUAの下位64bitを「変数」に登録しておく。
そして、その64bitを下位に含むソースアドレスのパケットがrejectフィルタにひっかかって、
ログに載ったら、それをイベントとして、動的にそのパケットの入力を許可するPASSフィルタを生成すると良いのかな。
LUAって、イベントドリブンなのかどうかわからないけど。
さもなければ、ログデータを常に精査することになるだろうから負荷がかかりそう。
やっぱり、YAMAHAさんが、のような上位bitがANYのフィルタ記述ができるようにしてほしい。
ipv6 filter 1 pass 64/*:2a0:xxxx:xxxx:xxxx *
グローバルルーティングプレフィックス部やサブネットID部、インタフェースID部の各部分について
独立して個別に設定できるようになると便利だろうなと俺も思う。
だけど、インタフェースID部にパスワード的な役割を期待するのはどうかと思う。
他のノードと通信する際にそのインタフェースIDを含むアドレスを使ってしまうと「パスワードが漏洩した」ことになるし、
インタフェースIDは自由に変更できることが多いから第三者が同じインタフェースIDを用いることは容易。
それに、EUI-64で自動生成したインタフェースIDにおけるパスワード的な要素は、
ノードがヤマハルーターであると知られた時点で実質24ビット分(16進数6桁)に絞られるしさ。
::2a0:deff:fexx:xxxx
レスありがとう。
確かに、難しいとは思うけれども、もし網上のRTXの存在に気づかれて、
そしてソースアドレスが詐称されれば、容易にTELNETでアクセスされることになるだろうな。
従来どおり上位bit列で絞込んでPASSフィルタを掛ける場合は、
同じネットワーク範囲に属する攻撃者にしかそういう攻撃は仕掛けられないことになるよね。
ところが、上位bitをANYにしてインターフェイスIDのみでの絞込みによるPASSフィルタが実現したとすると、
インターネットの全範囲から攻撃可能になってしまうね。
の問題(プリフィックスが変更になった場合でもデータコネクトによるリモートアクセスできるようにする)は、どう解決すれば良いんだろう。
LUAスクリプトを使ってトリッキーな方法を編み出すしかないのか、もっと簡易な方法があるのか。
このトンネルは、トンネル端点(セキュリティーゲートウェイ)が互いにグローバルIPv4同士ならなんとかうまくできて、使用可能だが、
しかし、IPv6 GUA同士なら、試行錯誤したけど、うまくいかなかった。
ただトンネル自体は問題なく張れるようだ。RTX側のsa情報も新生されていたし、/var/log/securityにもESPの構築までできたことを確認できた。
問題は、お互いの配下にあるネットワーク情報のネゴシエーションがうまくできない感じだった。(local remote addressが互いにIPv4同士なら問題ない)
IPv6の場合だと、RTX1200から、SWANへはトンネルを通ってicmpレスポンスを得られるが、swanからrtx側への逆ルートはうまくいかないんだ。
SWAN側で、routeコマンドを使ってみても、RTX側プライベート領域へのルートが形成されていないことがわかった。
ここで、route add dev eth0で、強制的にルートを作ったとしても、そもそもネゴシエーションができていないので、
swanは、ポリシーを構築できていないらしく、pingがRTXのプライベートアドレスに到達することはなかった。
RTXのIPsec機能を、Libre(/Open)SWANとの接続にも考慮するように、改善してほしいです。
おねがいします。
ttp://www.shakke.com/network/vpn/yamaha-rtx1100-%E3%81%A8-openswan-%E3%81%A7-ipsec-vpn-%E6%8E%A5%E7%B6%9A/ レスありがとうございます。
はい、IPv4 IN IPv4(IPsec) ならつながって、PINGも飛び、通信可能なんですよ。
ところが、IPv4 IN IPv6(IPsec)だと、その方法も通用しなくなって、
IPsecポリシーが、正しくOpen/LibreSWANに設定されずに、通信不能になるわけですよ。
ikeの段階で、RTXと正しくネゴシエーションできなかったんだと思われます。
IPが、4から6に変わっただけでうまくいかなくなるわけです。
RTXがOpen/LibreSWANとIPv6を使ったメインモードでのIPsec通信を考慮してくれる必要があるのではないかと思います。
どうするのがベストなのかな?
ネットワークアドレスは、ゲスト専用のアドレスが割り当てられるようにしてる。
(VLAN機能を使ってる)
QoSの帯域制限機能を使うと、制限というより、その帯域が常に確保されちゃうんだよね?
>ゲスト用のLAN(インターネット接続)に
LANじゃなくて、PPインタフェースのほうが良いんでは?
フレッツ光ネクストで、IPv6 IPoEのプロバイダと契約したら、
HGWからRTXには /61 のプリフィックスが授与された。
すると、2^3=8個分しかサブネットを作れないよね。
これって、ちょっときつい制約だよね。
IPv4だと、プライベートアドレスが使えていたこともあって、細かくサブネットを切れたけど、
ところが、上の場合IPv6では8個しかサブネットを作れないということだから、
ネットワークの設計もやり直さないといけなくなるかもしれないな。
(もっと大きいサブネットを構築して、8個の制限に収まるようにする。)
IPv6のプリフィックスのアドバタイズメントで、同じRTXのLANインターフェイスになら、
重複したプリフィックスを割り振るなんてことはできないのかな。
の言うようにPP側にした方がよい
クラス分けしているのでゲスト用のクラスよりも上位のクラスに最大帯域を割り振ればよい
そうすればゲスト用のクラスに速度制限をかけれる
KWSK
vlan port mapping lan1.1 vlan110
vlan port mapping lan1.2 vlan120
vlan port mapping lan1.3 vlan130
ip lan1.1 address 192.168.10.254/24
ip lan1.2 address 192.168.20.254/24
ip lan1.4 address 192.168.30.254/24
speed lan2 100m
queue lan2 type shaping
queue lan2 class filter list 1 2 3 4 5 6 7
queue lan2 class property 1 bandwidth=20m,100m
queue lan2 class property 2 bandwidth=30m,100m
queue lan2 class property 3 bandwidth=50m,100m
queue class filter 1 1 ip 192.168.10.254 * * * *
queue class filter 2 2 ip 192.168.20.254 * * * *
queue class filter 3 3 ip 192.168.30,254 * * * *
queue class filter 4 1 ip * 192.168.10.254 * * * *
queue class filter 5 2 ip * 192.168.20.254 * * *
queue class filter 6 3 ip * 192.168.30.254 * * *
ごめんごめん。
いろいろ試してからレスしようと思ってるんだけど、
誰も居ない休日にしか試せないんだ。
(誰も居ない休日が来るかどうか微妙だけど。)
(VPNで海外や自宅からも接続してくるし。)
サンキュー!
参考にして、今度試してみるよ。
そもそもipv6においてルーター配下ローカルで複数のサブネット分割を複数やる意味を感じないのだけど、
836はなんで分割したいと思っているの?
想定用途は個人?業務?
ここは「業務」スレだよ
IPv4も使っているので、サブネット分割は丁寧にするよ。
/61ということはNetcommunityシリーズのOGWかな。個人向けひかり電話用のHGWだと/60または/52になるから。
ネットワーク1つあたりのサイズを/64にするなら、1つの/61に含まれる/64の数は8個だわね。
SLAAC不要なら、ネットワークサイズが/64である必要は無いよ。/80でも良いし/127でも良い。
RTA54iやRTA50iで/80を扱えるから、RTXでも扱えるはず。
それに/61は1個だけじゃなくて2^5=32個有る。
PD払い出しの数が1つに制限されているOGWも存在するようだけどね。
ただ、PDした内容を不揮発性メモリに保存しない機種で複数のルーターにPDすると、
OGW・HGWの再起動時・電源喪失時にプレフィックスの相互入れ替わり(いわゆる「てれこ」)が発生するので注意が必要。
> IPv6のプリフィックスのアドバタイズメントで、
ipv6 lan1 address ra-prefix@lan2::1/64
のようにするとRAプロキシ機能が働いて、lan1はlan2と別リンクでありながら同じサブネットになる。
RAプロキシは複数連ねることができるけど、RAプロキシの内側に通常のルーターを介在させて/80等に分割することはできないので注意。
全くの個人用途な俺が答えてみた。
下位ルーターに渡るプレフィックスのbit長だけで、そんなことまで分かるんですね。
そのとおりです。たしかに、HGWも使っていてbit長が違っていました。疑問が解けました。
>SLAAC
やはりステートレスにアドレスが決まってほしいです。
>/61は1個だけじゃなくて2^5=32個有る
はい、思ったんですが、RTXなら、LAN2 LAN3と異なるMACを持っているので、
HGWから異なるプレフィックスを得られますよね。
>PDした内容を不揮発性メモリに保存しない機種
これは気になりますね。PR-400は、きちんと記憶してように思います。
>RAプロキシ機能が働いて、lan1はlan2と別リンクでありながら同じサブネットになる
この情報はとても欲しかったです!RTXにはそんな自動構成的なこともやってくれるんですか。
これで、IPv4時代に構築したサブネットの枠組みを打破できそうですね。
いや、IPv4構成をそのままに、新たに論理的なIPv6構成が可能になるってことですね。
同じプレフィックスをRTX配下の全てのPCに配布することも可能になりますね。
本当にありがとう。もし、誤解があったら指摘お願いします。
ttp://atnetwork.info/yamaha1/static_firewall_settings04.html これやっても応答あるんだけど、なにが悪いんだろ。
ip stealth all は実施すみでしょうか?
ip stealthコマンド入れてみて、だめならnat descriptor masquerade staticで
lan1にicmpを転送した上でフィルタでrejectする
早速の返信ありがとうございます。
試してみます。
ビンゴでした。ありがとうございます。遅レスすみません。
