ここはYAMAHAルーターで小規模〜大規模のネットワークを
構築、運用する人のための情報交換スレッドです。
ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ
【公式サイト】
RTXシリーズルーター
ttp://jp.yamaha.com/products/network/routers/ RTpro - ヤマハネットワーク周辺機器 技術情報ページ
ttp://www.rtpro.yamaha.co.jp/ ヤマハネットワーク機器
ttp://jp.yamaha.com/products/network/ 【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 19
ttp://peace.2ch.net/test/read.cgi/hard/1383565233/
【過去スレ・前スレ】
YAMAHA業務向けルーター運用構築スレッドPart14
ttp://hayabusa6.2ch.net/test/read.cgi/network/1403096186/
YAMAHA専用スレッド ttp://pc.2ch.net/test/read.cgi/network/997877142/
以下、スレタイは:YAMAHA業務向けルータ運用構築スレッドPartXX
Part2 ttp://pc5.2ch.net/test/read.cgi/network/1037975157/
Part3 ttp://pc8.2ch.net/test/read.cgi/network/1092832668/
Part4 ttp://pc11.2ch.net/test/read.cgi/network/1144116104/
Part5 ttp://pc11.2ch.net/test/read.cgi/network/1196114751/
Part6 ttp://pc11.2ch.net/test/read.cgi/network/1223667451/
Part7 ttp://pc11.2ch.net/test/read.cgi/network/1245454435/
Part8 ttp://hibari.2ch.net/test/read.cgi/network/1275391797/
Part9 ttp://hibari.2ch.net/test/read.cgi/network/1294731041/
Part10 ttp://engawa.2ch.net/test/read.cgi/network/1309822690/
Part11 ttp://engawa.2ch.net/test/read.cgi/network/1329367146/
Part2 ttp://engawa.2ch.net/test/read.cgi/network/1358345652/
Part13 ttp://maguro.2ch.net/test/read.cgi/network/1388205377/
YAMAHA専用スレッド ttp://pc5.2ch.net/test/read.cgi/network/997877142/
以下、スレタイは:YAMAHA業務向けルータ運用構築スレッドPartXX
Part2 ttp://pc5.2ch.net/test/read.cgi/network/1037975157/
Part3 ttp://pc8.2ch.net/test/read.cgi/network/1092832668/
Part4 ttp://pc11.2ch.net/test/read.cgi/network/1144116104/
Part5 ttp://pc11.2ch.net/test/read.cgi/network/1196114751/
Part6 ttp://pc11.2ch.net/test/read.cgi/network/1223667451/
Part7 ttp://pc11.2ch.net/test/read.cgi/network/1245454435/
Part8 ttp://hibari.2ch.net/test/read.cgi/network/1275391797/
Part9 ttp://hibari.2ch.net/test/read.cgi/network/1294731041/
Part10 ttp://engawa.2ch.net/test/read.cgi/network/1309822690/
Part11 ttp://engawa.2ch.net/test/read.cgi/network/1329367146/
Part2 ttp://engawa.2ch.net/test/read.cgi/network/1358345652/
Part13 ttp://maguro.2ch.net/test/read.cgi/network/1388205377/
YAMAHA業務向けルーター運用構築スレッドPart12
ttp://hayabusa6.2ch.net/test/read.cgi/network/1358373114/
ttp://jp.yamaha.com/news_release/2014/14112801.html 【ヤマハ ネットワーク製品の「継承」と「挑戦」】中小向けルータ市場を作った名機たち〜ヤマハルータの系譜をたどる
ttp://cloud.watch.impress.co.jp/docs/special/yamaha/20141127_677056.html ものならカバーできそうだね。
【ヤマハ ネットワーク製品の「継承」と「挑戦」】LAN管理を強力にサポートする「RTX1210」 開発者が語る“ヤマハルータ”の理念とは - クラウド Watch
ttp://cloud.watch.impress.co.jp/docs/special/yamaha/20141204_678065.html 実際触った感じって違うの?
でYRC-RJ45Cのページ見て4800円高いなぁと思ったら
デカデカとピン配置図が書いてあって
なんとなく「わかる人はわかるよね」って言われてる気がしてワロタ
場違いだがVPSにSoftEtherVPN Serverじゃダメなのか
Interop Tokyo 2014でコンソールはCiscoのやつ使えますって言ってたから
まあいっかっと思ったけど、純正品ってあるんだな
知らんかった
RTX1210が出たことにより1200のオークション価格が下がってくれれば嬉しいけど
まあ、当分無理か
Dsub9ピンのオスは無いよな
RTXと、OpenSWAN/LibreSWANはつながるんだが、制約があるんだ。
1、RTX側からSWANへ接続を開始できない。
だから、RTXが再起動したタイミングで接続が再開されない。SWANがRTXへ接続開始する必要がある。
2、RTX側ネットワークに複数のネットワークが存在している場合、
SWANの設定でそれらのネットワークを列挙しても、一個だけしか認識されない。
192.168.0.0/16 10.0.0.0/8 のように複数記述しても有効にならない。
もちろん、swan同士なら問題なし。
3、IPv4 over IPv4しか使えない感じ。
IPv4 over IPv6で使いたい。
インターネット上にVPSを持っているので、RTXがこれらの問題を解決してくれたら、
言うことないのにと思う。
softetherとか、標準技術以外のものは、いつサポートがなくなるか知らないし、
RTXだけでの運用を願っているので、使う気にはこの先もならないと思う。
RTXがsoftetherを実装するなんて考えられないし。
RTXは、IPsecのLinux標準のSWANとの互換を満たしてほしいな。
RTX自身も、いろいろオープンソースのコード(SSHとか?)を持ってきて動作しているんでしょ。
同様にSWANも持ってこればいいじゃんと思ってしまうんだけど。
> softetherとか、標準技術以外のものは、いつサポートがなくなるか知らないし、
> RTXだけでの運用を願っているので、使う気にはこの先もならないと思う。
> RTXがsoftetherを実装するなんて考えられないし。
については、SoftEtherVPN Server側でL2TP/IPsecを制御すればって意味
今のSoftEtherVPN ServerはIPsec,OpenVPN,MS-STTPが動くから
RTX1200だとL2TP/IPsec対応してるから繋ぎにいけばって感じ
あ、中身はOpenSwanとかOpenVPNのソースを移植してるはず
SoftEtherVPN Server自体、GPLになったし
1については、luaとかで工夫するしかないかな
2は何か複数の回線って試したことないから知らない
3はやったことないから知らない
BSDライセンスのSwanがあればすぐに移植されるんじゃないかな?
調べてないから分からんが
>今のSoftEtherVPN ServerはIPsec,OpenVPN,MS-STTPが動く
うへー、それはぜんぜん知りませんでした。
いつのまにか、そんなふうになっていたんですね。
選択肢としてはアリですね。使うかどうかは別にしてだけど。
OpenSWAN/LibreSWANにこだわってしまう・・・
RTX1200にて、
pp1 固定IP 仮に 10.0.0.1/29 とする
pp2 可変IP 仮に 172.0.0.1/32 とする
という風にしてあって
クライアント 192.168.1.100 から yahoo など外部参照したときは
pp2 を使うように ip route default gateway してあります。
LAN 側にはサーバーがいて
sv1 10.0.0.2:80→192.168.1.2:80
という感じに nat descriptor masquerade static してあります。
クライアントから 10.0.0.2:80 を参照したとき
いったん pp2 から外へ出て ISP を経由して pp1 に辿り着いて 192.168.1.2 のサーバーに届き
戻りのパケットは逆の道順で・・・ という挙動にしたいのですが、
なんとなく ISP に出て行っていない感じがします。
(ルーターの pp 間のルーティングが先に効いてる?)
ヘアピンNATとも違うと思いますが、上記の挙動にすることはできないのでしょうか。
そのためpp1から出ていこうとしてどこかで折り返されて〜
ルーター2台で固定IPと可変IPを分けていたときは何とか出来ていたんですけど
1台にまとめようとしたら・・・
ip filter 20 pass 192.168.1.2/32 * * * *
ip route default gateway pp 1 filter 10 20 gateway pp 2
的なことを書いて
10.0.0.1/29 宛は pp1 のルートを reject してるつもりなのですが、うまくいってません。
そうだもう1台RTXを買ってしまおう!
ttp://www.rtpro.yamaha.co.jp/RT/docs/forward-filter/ クライアントを192.168.1.0/24とした場合
10.0.0.2宛ては強制的にPP2に向けてしまう訳か
ip filter 101 pass 192.168.1.0/24 10.0.0.2 http * *
ip forward filter 1 1 gateway pp 2 filter 101
こういうことか
ttp://jp.misumi-ec.com/vona2/detail/110400192210/ これの出番
/ / / | \ ヽ
/ / / / / || | i ヽ i
i / / / / / / || || |│ |ノス
|// / /___, -一ァ| /! |ト、|│ | | く」
|,-‐¬  ̄---┘'7 |! ハ! |,、-┼十|! | | |
, -‐ ''" し' '´_ /,ィ二l |ト、/!ヽト、\_ヽ!|!l | ハ |
,r/ __ ,イ|リ ヾハ! ヽ! ,ィ⌒ヾミリノ!/リ | ☆ 自民党、グッジョブですわ。 ☆
/ ||ヽ -' / ̄ )` __ |ヒノ:} '` ,イ/ | |
ttp://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html ,r ' ヾ、 ,-、____ , イ ̄,r==- ==-' レ' /| |
/ ヽ `ーソ ' | |ト、,ヘ ′"" "" / / || | ☆ 日本国民の皆様、12月14日(日)の
. / \_ / | ハ ヽ`゙'ヘ ' '__. ィ / / | | | 『衆議院議員総選挙』に必ず投票にいきましょう。 ☆
/ / / | ヽ 川\ ヾ三ニ‐'′//! | | | |
/ / / 八 \川| |`ト- .. __ , イ‐ァヘ | | || |!
/ / / / \ \ 「`ー- 、 / .〉 ト、| ヽ、
,イ /-─=¬ニヘ、_ \ 厂\ 厂ヽ /!| | `ー=ヘ
-‐  ̄ /─ '  ̄ ├- ヽ\ \ノ\ \ 人 ハ!ヽ || |-┤ ヽ
/ /!‐-- | |\ ト、_`ヽ oヽ ト、! || |‐┤- ヽ
// 〉 __ / ├‐- || | 川-‐ | | 厂7! ハ! ├:┤  ̄ヽ
/ / ー ─  ̄ ├‐- リ || ハ!ヘ | | ト┤|/′ ヾ,┤ ゙i_
‐ ' 〉‐- | / /\ .|o | /ヽ/(′ ∨ \
‐--─ ──-r、___-、 /ー_ {( '´>、! /ヽ/ |\ \
そういうことされると、
自民党には入れない
民主にでも入れに行こうかなと思わせる
民主はダメだろ。
勘違いバカが多すぎる。
前回ので懲りた。
どうせ当選しないし
やだよ
あんな宗教がらみの党
自民党議員100人落選キャンペーン のサイトを参考にして投票すべし
そうすれば、いい具合に投票できる。
理想的なプランだと思うが、その制度だと都合の悪い連中は多そうだから実現は厳しそう。
後はマイナス票を入れられるようにすれば完璧。
最初に立候補してた候補者は、やり直し選挙には出馬できない、という条件も付ける。
ルーターの話は他スレ池
て上のほうの人が
全パケットをrejectすればいいよ。
究極のセキュリティーだな。
さらなる究極のセキュリティーのためには電源コード切断の併用も推奨事項です。
ちょっと関係ない話題ばかりだと困るね
FW製品買いなさい、
YAMAHAならFWX120、定番ならNetScreenとか
Netscreen
思い出せる限りで
3com、Foundry、Cabletron、extreme、Orinoco、compaq、NEC
あとは日本から撤退、もしくは消滅した会社・ブランドってなにがあったっけ?
日本から撤退した会社は多い
・・・
FWX120で外行き宛先80番ポートや443番ポートの通信、DNS周りの問い合わせをアプリケーションレイヤまで含めて解析する機能あるの?
そこまであるなら確かに遠隔制御ウイルスの活動は確かに弾けるかも知れないけど、そんな機能ないだろ(笑)
なんでもFWで食い止められる妄想とか、とっとと廃品回収に出した方がいい。
今:ビジネスフォン(主装置)ールーターLAN
新:RTX1210ーLAN
L主装置
ビジネスフォン内臓ルータが100Mまでしか対応してないので
RTX1210の下に主装置とLANって構成にしようかと思っています。
この場合に主装置のポートにはLLQって音声の優先制御やっぱり必要ですか?
主装置への通信の全てを優先にするのではダメなの?
そこが知りたいところでポート優先だけで大丈夫なのかな。
遅延の制御とかはいらない感じです?
正直、うちのビジネスホンは1G対応で、その下にルータを入れてるから解らん。
NTTのやつ。
ビジネスホンがどんな方法でネットに繋がってるのか知らないけど、
ルータの下には入れるのかな?
うちのは、そういう接続には対応してないようなこと言ってたけど。
---ONU---HUB---RTX---LAN
└-----主装置
A
---ONU---RTX----(vlan100)--LAN
└-----(vlan200)主装置
α-NX?
ルータの下部に接続できるよ
優先制御は使っても良いけど、なくても出来るし
設定する人間が、電話しか知らないと「できません」と平気で言うんだよね
逆もしかりで、ネットワークしか出来ないベンダだと分離したがる
前にNTT通信機器担当に
ONUと主装置の間で何か接続するのはサポート対象外といわれてます。
ただし、メーカによって間にルータを入れこともできるそうなので、メーカに聞いて下さいと。
接続方法はいろいろあると思うので、QoSやLLQが必要か知りたいです。
個人的には、単拠点でQOSってやらないかな
工場とかで離れた建物をHUBで接続してるときに、おまじないとして入れる
キャリア網と接続するところにQOSは入れないでしょ
トラブったとき面倒だし。
キャリアの担当に聞けばわかるけど、
大体のネットワーク屋さんは、電話とはネットワークを分けたいと言うって。
会社のPBXリプレースの時に言われたけど、そりゃそうだよねって思った。
あと昔ながらの電話ばっかりでネットワーク知らないとこは避けたほうがいいよ。
全く解らなくて素人みたいなことする。
岩通?w
NTTでもNECでも工事業者は色々と居るんだよ
営業と工事業者が設計するから、担当者次第では炎上する
岩通だろうが、日立だろうが、富士通だろうが
素晴らしい技術者も居るし、本気で殴りたくなる人もいる
電話とネットワークは分離しておいたほうが間違いない
少なくとも網側は一緒にするメリットよりもデメリットの方が大きい
特に中小相手の場合、それで安くなりますという手口が多い。
そもそも、その質問内容では答えられない、というのが一行での答え。
主装置がどんな電話サービスを使ってるか書いてない。これじゃ答えようが無い。
だけど、仮に幸運にも君に技量がそれなりにあって、例えばの通り繋いだ場合
"主装置"にはLLQもQoSも設定する必要は無い。質問内容から解釈すると、主装置は
もはやパケットの整理しないんだから当たり前。
その代わりの例2の場合、面倒ごとを任されたRTX1210側は優先制御なり帯域制御を
適切に掛ける必要が出るし(ルーティングやフィルタリングはどうするんだって話も
当然あるわな)、
の例1の場合はトラフィックを確実に処理できる"保証"はない。
ま、ここで書いてある意味が理解出来ないんなら小細工なんて諦めて今まで通り
100Mで使えって話ですわ。今の速度で苦情来てますか?の質問内容なら困って
ないはずでしょ?
負荷試験装置で事前に音声に影響を必ず与える模擬トラフィックを意図的に作成して
実際に検証やらない奴はトラブルの原因になるから電話とネットワークは分離した方が
方がいいわな。
上で出てくるどんなFWでも入れれば遠隔操作ウイルス食い止められますよ、レベルの
回答ですね。
光回線とネット?
回線をわけて、ONUが二つになるようにしたほうが、ややこしいこと考えなくてもいいよね。
装置も設定も単純化できるよね。
会社ネットワークの管理コストに比べて統合するメリットが少なすぎるよね。
自宅とかほとんど無人の小拠点ならまだ有りなんだけど。
それでも本体のネットワークなりに参加するほうが早くて管理も楽だし。
電話とネットを光ネクストで統合している。
統合するのが悪いわけじゃないよ
電話主装置配下だと、NWの設定が面倒になるケースもあるけど
ビジネスフォンがNTTだと、そうさせられるだろうしね
統合って、MA400を使うやつ?
現在VPN環境でRTX800を利用している拠点から遅いとの報告があり悩んでいます。
そりゃ遅いなw
うちNetscreenとSSGでやってるけど、30M出れば上出来な感じだし。
インターネットVPNで無理ならキャリアの国際IP-VPNサービスの利用も検討する必要がある。
いや、onuにhubつけて、
主装置(NTT網専用のIPv4での運用)と、RTX(ネクスト網IPv6 and PPPoe)を並列つなぎにする。
ルータスペックがボトルネックなら効果あるけど
回線速度がボトルネックなら効果ないよね
その情報だとそれ以上言いようがないよね
HGWが、基本性能そのままに、チャンネル数が増えてくれれば本当に言うことなし。
RTV800では無くてRTV810でした。。
ではルータ関係では無さそうですかね
回線はフレッツ光ネクストです。
回線速度を測定してみます。
ipv4 over ipv6 試した?
うちはかなり快適になったよ
ipv4 IPSecで2拠点間レイテンシ32〜36msだったのが
ipv4 over ipv6にして、7〜9msくらいになった
(フレッツVPNワイドのIP-IPトンネル(10〜14ms)よりも快適になりワロスw)
フレッツ光ネクストなら、試してみれば?
ttp://orangesooda.com/no/2013/09/ipv4-over-ipv6-ipsec-vpnyamahartx.html おお、ありがとう御座います。
確認してみたいと思います。
おれもつかっているよ。
pppoeのプロバイダ経由よりも、網内折り返しだとパケロスがかなり減ったなあ
接続しようとしています。一応PPTP接続はできるのですが、一度PPTP接続すると切断しても
別のパソコンから接続できなくなってしまいます。PR-500KiにはVPNパススルー機能がないので
静的IPマスカレードで1723ポートを登録したのですが、変化ありませんでした。
ホームゲートウェイ (PR-500KI)ではない回線からは問題ありませんでした。
なにかRTX側で設定など必要でしょうか?
今更新規構築で誰もケアしてない、NAT越えも辛いPPTPなんて使うなよ(´・_・`)、という根本的なツッコミどころもありますが。
情報少なくてよくわからんけど、RTX側は問題ないんだろね。
tcp1723とgreをマスカレードだわな。あと変なフィルター入ってないよね。
あとは知らん(´・ω・`)
rtx1210 rtx810でl2tpv3でのVPN構築設計しています
現状1210側でなぜかインターネットが繋がらないんです。
web画面では接続中となり端末から8.8.8.8などの数字はPINGは成功するのですが 、URLへのPINGは不可です。
DNS設定なのかなと思案中ですが、YMHサポートはconfigにまちがいはないとの事で・・・
ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1-tunnel4
ip bridge1 address 192.168.100.1/24
dns host lan1
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on l2tpv3
どなた様かご助力いただけないでしょうか?
これ以上知りたければパスワード以外の全コンフィグを見せることだな。
嫌ならググれ。
ありがとうございます。
死んじゃダメ!
86:お礼を言っていても、何を直したか書いてないので後々の役に全く立たない
おそらく、書き込みをした後にその問題点に気付いたのでしょう。
だからこそ責任をとるために自決したのでは?
誰か別人が報告してくれたんだよ。
別人なので、解決方法は分からないとw
YAMAHAスレでそこまで追い込まれる案件ってあるか?
われわれに説明しておいてほしい。
前のスレにもあったみたいだけど、4-6でV6アドレス直打ち?
ネームの名前解決の方法分からない。
教えてブラザー
西日本はネームでいけるらしいが、東日本は不明というか
当方のNTT東管内では、ネームではダメだった。
なので、show ipv6 address lan1のv6アドレスを直打ちで繋いでる。
v6アドレス変ったらsshか、splashtopで拠点PCから打ち直す覚悟w
そっかぁ、直打ちか。
ちなみに、東(.aoi.flets-east.jp)でネーム使ったIPSecのサンプル。古河ルータ
ttp://www.furukawa.co.jp/fitelnet/product/f200/setting/detail/square_next_ipv6_ipsec.html ! V6ネームの名前解決を行うため、DNSリゾルバの設定をします。
Router(config)#ip name-server ::1
↑これはリンクローカルのDNSを使うってことかな。
NECのサイトにもfqdn使うの推奨してるけど、サンプルがどこにもw
Proxy-DNSを有効にしてDHCPv6-PDでoption-request dns-serversとしているので、自分自身をリゾルバにしてNTTから付与されたDNSに問い合わせるってこと。
おおぉ。なるほど。
方向性はまちがってなさそうかな。ありがとう。
案件に追われ時間なかったのですいません。
解決方法はサポさんに頼りきりました。
やっぱりdnsでした。
l2tpv3で同一セグメントでVPNを組む場合、lan1アドレスがブリッジである必要があります。
自分が悪いのですが、pppoeの設定をし先にispへ繋いでしまったためにdns host lan1が設定されてしまったので、dnsが上手く働かないとゆう現象だったみたいです。
no dns host lan1で無事解決しました。
86は良い質問者でした
あと、PPPOEも2本ほど張っています。
CPU使用率とかメモリ使用率が高くて困ったり、ナットセッション数が足りなかったり、
リソース不足に悩まされていることはありません。
それでもRTX1210にリプレースするメリット(処理性能関係において)ってなにかありますか?
用途を変えたいわけじゃなければ
全くメリットない
気になることがなければ
緩やかに値落ちするタイミングで購入すべき
所詮はYAMAHAだから外から突っつかれたらすぐにpps不足になるんだろうけど
DDoS攻撃のことでしょうか?
これはRTX810での話だけど、納品先含めて4箇所すべてでCPU100%でアクセス不可って状態くらった。
同じ瞬間にアライドのルーターwに交換したらCPU30%で普通にアクセスできたから、ヤマハが
ショートパケットに弱いという噂は嘘ではなかったw
どういう設定なのかわからないんだけど、
RTXでフィルタリングでREJECTしていても駄目なの?
動的フィルタをOUT方向にかけたら、外部からのDDoSパケットは落とされるんじゃ?
社内にサーバーがあって、そこ宛ての見た目は正常なパケットだから弾くことは出来ず。
それが1時間とか連続して大量に届いて問題だったのだけど、10個くらいのIPから来て
5分ごととかにそのIPが変わるので、弾くIPを設定するのも大変、というかその時点で
ルーターにログインもできないのでIPの設定もできない状態。
何か対策方法はあったんだろうか。
フィルタリングでREJECT or DROPできれば、解決したんだろうか??
HGWにつなげずONUからDHCPv6-PDでアドレス(プレフィックス)貰った場合に
プレフィックスのlifetimeで一旦切断されて、また一定時間で接続されるを
繰り返してるみたい。同じ症状ある人か解決法分かります?
xxx.p-ns.flets-west.jp(西日本)なv6ネームをプロバイダーのDNSサーバは名前解決できません、v6ネームの名前解決にはNTTフレッツ網が提供しているDNSサーバを使います。
もしプロバイダーがIPv6 IPoEに対応していて、インターネットリーチャブルなIPv6をもらっている場合はBLOGの設定例
dns server dhcp lan2
で、フレッツ網から取得したIPv6のDNSが、IPv4もIPv6も、フレッツ網内のホスト名もグローバルなホスト名もどちらも答えます。
プロバイダーがIPv6 IPoEに対応していない環境では、フレッツ網から取得したIPv6のDNSは、網内のホストの名前解決できるだけで、グルーバルなホスト名についてはIPv6もIPv4も答えません。それでIPv6はフレッツ網のDNSを使い、IPv4はプロバイダーのDNSを使うようにします。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/hikari_tv.html dns server select 1 dhcp lan2 aaaa .
dns server select 2 pp 1 any . restrict pp 1
DHCPv6-PDは、ひかり電話ルーターが無いとダメだった気がする。
HGW使って同じ設定で試しては。
第三者です。
網に直付けの場合は、DHCPv6-PDでなく、DHCPv6で、
フルレンジ128bitの取得をするんですよね。
ttps://flets-w.com/next/download/tool/gijyutsu_sankou_next_light.pdf ここにちょっと書いてあるのかな?
推奨って書いてあるね。
”端末機器は Other stateful configuration flag が 1 に設定されたルータ
広告を受信した際は、DHCPv6 機能を利用し付加情報を取得するため、
Information-Request を送信することを推奨します。
ルータ広告の Managed address configuration flag が 1 に設定されたルータ広告を受信した場合は
RFC3315、RFC3633に規定される DHCPv6-PD(DHCP による IPv6 PrefixOption)を使用し
IPv6 Prefixを取得することを推奨します。”
RAでprefix貰ってる時もDHCPv6でDNS,NTP貰うことを付加情報って言ってるのかとオモタ。
実際の回線で128bit DHCPv6で払い出されるのまだ見たこと無いのですがそんなパターンもありました??
机の隙間に落ちたケーブルを拾い上げるときに便利だろ
そんなことしたら、つめがしろくなる
白橙-橙-白緑-青-白青-緑-白茶-茶の順に芯線をコネクタ(CAT6)に差し込むために
よりを解きほぐして並べるのに時間がかかる。つめが痛い。
テスターでエラーになったとき、泣きたくなる。あと、キャップを通し忘れたときも。
素人が CAT6 ケーブルの自作に手を出しちゃイカン。
CAT5 とは難易度が段違いなので、やめといた方がいいよ。
逆に、cat5の加工なんてやったことない。
せっかくなので良いしっかりしたケーブルを配管に通そうという考え。
結線を間違えただけ。
そりゃ結線が正しければ、もちろん通信はできるよ。でも性能はちゃんと出てる? っていう話。
以下のサイトあたり、参考になると思う。
2006/11/20:GigaCheckを試す - なうなう
ttp://trashbox.homeip.net/nownow/20061120/ あの職人たちは150万とかするテスター使ってる。
測定するのがめんどくさい。たぶん大丈夫だろう。
少なくとも、CAT6を使って配線していれば、5eよりも良いと思う。
CAT6ならケーブル内にセパレータが入って強度も高そう。
端子部分の「より戻し」量に気を使う意味がなかったわ。。。
毎年、メーカーで校正をした測定機器で品質保証をしている
しかし自己責任で使うなら、別にいいんじゃない
ぶっちゃけ、技能としてはレベル低いしね
そうやって「過剰」なサービスで頃合の分からないユーザーから金取るんだな。
たとえば蟹さんチップでももう十分。
低レイヤーの話はどうか他所で。
L2スイッチは1000Base-T対応のものだが、iPerfで580~650Mbps程度出てるんでメンドイからそのまま使ってるw
経年劣化はございますので、そろそろ入れ替えた方がいいですね
見積ですが、UTPcat6Aで20mx5本で5000万です
2015年6月末に、3年ぶりに発生するらしいんだけど。
仕様的にどうかは知らないけど、ntpdateの起動タイミングによっては関係ないと想像してる。
ntpdateをscheduleに登録して毎時0分に起動してたりすると、タイミングによっては2015年6月30日23時59分60秒を返されて影響受けるかもしれない。
けど、ntpdateの起動時刻がその前後を避けて設定されていれば知らないうちに終わってるんだろうと思う。
コマンドを実行したときに時間調整がなされるシステムだもの。
安心していいのかもしれない。
Linuxだと複雑で、単純にntpから切り離せば良いわけでもないみたい。
カーネルとntpがグルになっているらしい。
別に大規模ネットワークでしか実用性がないというわけでも無いだろうに。
しかもRTX1500とRTX3000に搭載してRTX3500とRTX5000に
搭載しないということは、積極的に外す意図が感じられる。
5000万!?
10Gですよ10G!
高くないと思いますよ
サービスでバッファローの10MHUBも入れさせて頂きますし
docomo L-03F対応はまだぁ?
ネット上の設定例などで明示的にdefaultフィルタを定義してるのはどうしてでしょうか?
また、定義しなくてもrejectされるstaticフィルタをあえて定義しているのはログを見やすくする為ですか?
cold startしてからコンソールでコンフィグを入れること考えると、フィルタはすべて消えるからです。
ヤマハルーターはフィルタ定義がないとすべてパスするんです。それなんでrejectをいれるんです。
今はどうかわからないけど、古い機種だとhttpがデフォルトでoffだったきもするから、いきなりhttpではいってdefaultフィルタが自動で定義される事態がないってのもあります。
ip filter 100099 reject * * * * *って不要じゃね?って事でしょ
確かに不要ですねログに出力したいだけだと思います
ip filter 10 pass * * * *
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 2000 reject * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 108 * * tcp
ip filter dynamic 109 * * udp
いろんな機種をさわってると何がデフォルトだったか忘れるからなあ
俺の場合はそういう理解でいる
動作上は無くても問題ないんですね
ip filter 1001 reject 192.168.1.0/24 *
ip filter 2000 reject * *
で
ip lan1 secure filter in 1001 2000
みたいな適用しているのをよく見かけたもので
判定が増える分CPU負荷は増えるのか等は気になりますが
動的の基本動作はpassなので静的の基本(デフォルト)をrejectにします。だたかなYAMAHAのどっかに書いていたような。
動的は素晴らしい機能だと思うのですが動的で防げない攻撃が幾つもあります。下記のような
ip filter 1001 reject 192.168.1.0/24 *
動的では防げない「IP spoofing 攻撃」用ですから静的でrejectします。
どうして2重で設定しているか分かりませんが、「大事な事なので2度言いました」的な事じゃないのかな?
???
reject前にrejectいれるのは、プライベートIPを装った攻撃を防ぐためですな。
すべてのreject前に入れるのは、その前にpassを定義する可能性があるからかと。
そのままだとそもそもパケットのやりとりができない。
これ使うと何か凄いんっすか?
RTX3000が据えてあるのに filterと書かれた行が一切なかった(w
KDDI(から委託を受けた業者)が設置していったと聞いたが
nat descriptor type 1 masquerade
のみ
まぁサーバー公開してないから、実害ないのは分かるけど、あれで設定工賃いくら払ったのか
セキュリティ製品が単品とはかぎらないし
閉域に接続してるなら、そこは無くてもいいと思う
俺は書くけどね
ネット接続向けでPassだけとかは駄目でしょ
他業者の仕事にケチつけたくないけど
あまりにも酷い場合はお客には言うかな
何かの都合でIN側のフィルターを変更する場合に、このようにしておけば2000番をpassに書き換えてテストが出来る。
尚且つ、そのテスト期間もIP spoofingは排除出来る。
動的フィルターを使ってる場合は静的フィルターIN側rejectのみでも運用は出来る。
一昔前は動的フィルターは最大200コネクションとかなので大量のトラフィックを捌くには全く向かなかった。
RTX1210ではセンター向けの上位モデル同様、ついに65534セッションまで対応させたんだな。
(RTX1200は20000セッション、RTX810は10000セッション、その他のRTXシリーズ、新し目のコンシューマ向けは2000セッションなど)
閉域網で対向ルーターやゲートウェイでフィルターガチガチにしてるときなんかはそんな設定になるときあるよね。
負荷や信頼性から3000置いてるのかもしれない。やっぱ森もみないとわからんね(´・ω・`)
なるほど。検証用とか、動的フィルターの運用ってのがあったか。動的フィルターで必要な穴を開けるなら常にrejectでもいけるな。
そのセッション数って動的フィルターのコネクション数なのか。てっきりNATセッション数かと思ってたわ。
いままでNATがたくさんある設定は見たことあるけど、動的フィルター活用してるなんて見たこと無かったなぁ。あってHTTPリクエストをAck見て動的フィルターで通過可能にするぐらい?
SIPなどは動的フィルターを用いると結構便利だと思う。
UDPなんで偽装も簡単だから使いどころの一つだろうね。
それ、ちょっと興味有る
どんな風に使ってる?
切れるのはポリシーフィルターだけ?
内側の端末が発したSIPパケットをトリガーにして、その行き先のパケットのみが戻れるように。
何もしないよりはかなり良い。
センター側にサーバや交換機おいた場合はどうないするん?
レジストは問題無いけど、センター側から着信来た場合は対応出来ないよね
何を持ってセンター側とか呼称してるのかは分からんが、厳密に言えば内側端末はAsteriskベースの交換機、外側はITSPのSIPサーバ。
純粋なSIP電話機は内側に居て、Asteriskに直収するから動的フィルターの影響は受けない。
他拠点のSIP電話機はVPN経由でAsteriskへ収容するからこれも内側端末扱い。
ITSPのSIPサーバとAsterisk間は動的フィルターが開きっぱなしになるから発着信共に問題なく出来る(というか、出来るようにConfigするのが腕の見せ所)
特定セグメント内のサーバにPINGは通るけどその他アプリ(リモートデスクトップ等)が接続できません。
ただし、パソコンのゲートウェイを直接別ルータのIPにするとOKです。
静的経路だけではダメでしょうか?
メインルータ 192.168.100.1
別ルータ 192.168.100.99
[config]
ip lan1 address 192.168.100.1/24
ip route default gateway pp 1
ip route 192.168.55.0/24 gateway 192.168.100.99
特定セグメント側のプライマリルーターにおけるスタティックルートとフィルター設定みないとわからない。
55のネットワークってなんだ
ICMP Redirectをファイアーウォールが弾いている可能性があるかも。
エスパーすると特定セグメントのアドレスw
インプットが酷いから回答も適当なものしか出てこない
すいません。特定セグメントのアドレスが192.168.55.0/24です
192.168.100.94のコンフィグ抜粋です
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 3 restrict * * tcpfin * www,ftp,nntp
ip filter 4 restrict * * tcprst * www,ftp,nntp
ip filter 100 pass * * * * *
ip filter source-route on
ip lan address 192.168.100.94/24
ip lan routing protocol none
ip lan proxyarp on
ip route default gateway pp 2 metric 1
pp select 2
pp name PRV/2/0/0:test
isdn remote address call 0000000000
isdn call block time 15
isdn forced disconnect time 7200
nat use on
nat masquerade on
pp auth accept pap chap
pp auth myname hoge hoge
ppp ipcp ipaddress on
ppp ipcp msext on
pp enable 2
パソコンのゲートウェイを直接別ルータのIP(192.168.100.94)または、
route addで経路を追加するとOKになります。
192.168.100.94
192.168.100.1
なんかわからんぞw
機種はなに?
何だよ、94とか(・_・;
しかし、ip lan addressとか書いてあるあたり、また古そうな機種だなあ(´・_・`)
すいません。192.168.100.99です…
正しくはip lan address 192.168.100.99/24
機種ですが
RT50i 192.168.100.99
RTX1200 192.168.100.1
特定セグメント先のルータ
RT58i 192.168.55.1
です。
やりたいことは、パソコン(192.168.100.2)からインターネットはRTX1200(192.168.100.1)を使用して、
192.168.55.0/24側のネットワークに接続する場合のみRT50i(192.168.100.99)を使用して
RT58i(192.168.55.1)とISDN間通信で接続したいです。
パソコンのデフォルトゲートウェイは192.168.100.1です
それでの設定をしてみたのですが、パソコン(192.168.100.2)から特定セグメント側のパソコン(192.168.55.2)に
PINGが通りますがリモートデスクトップが接続できませんでした。
(「内部エラーが発生しました」というメッセージが表示されリモートデスクトップが繋がらない)
そこでパソコンのデフォルトゲートウェイをRTX1200(192.168.100.1)からRT50i(192.168.100.99)に
変更したところリモートデスクトップが接続できました。
RTX1200(192.168.100.1)に静的経路を追加してあげるだけで良いと思っていたので、
ip route 192.168.55.0/24 gateway 192.168.100.99 と追加したのですが、
これだけではダメでしょうか?うまく説明できなくてすいません。
アドレスを間違えて案内してる時点でコンフィグに間違いがある可能性に1000はらたいら(歳がばれる
ttp://image.i-bbs.sijex.net/bbs/jajaja/1422619355448o.jpg これじゃダメなの?
ありがとうございます。やりたいことはまさしくこれです。
それが一番いいのですが、ISDNの電話口がRTX1200と物理的に離れていて
配線工事が必要なのでこのような形にしています。
最小構成で試したいのですが、すべての機器は運用中でなるべし支障がないように
設定をいじっています…本番稼働中にやるなって感じですが。
RTX1200のフィルタを確認したところIN側で
ICMPやhttp、httpsは通していますが、それ以外はrejectしているようでした。
おそらくここが効いてると思います。
( の図でいうところのpp1のフィルタです)
ありがとうございました。
Kの中でもやってたことあるけど、別にあるんじゃね
別に珍しいもんでもないとは思うが
スマホからなので、逆エスパーたのむ。
パソコンから55のセグメントに対して1200経由でRT50iのISDN経由でRT58iにつなぎたいってことだよね。RT50iと58iはVPN接続されてるのかな?
1200には55のセグメントはrt50iに行くようなルートをいれる。
rt50iには55のセグメントへの通信を58iにいくような設定をいれればいいかと。
ただ、前提としてVPNを50iと58iでつながないといけないかと。
RT58i とRT1200 をLAN 接続してるけど、接続出来るって事は
ケーブル届いてるって事だから、お互いのS/T 点同士をLAN
ケーブルで接続してみたら??
途中にハブが無ければOKなのかな?
で、RTX1200 に設定は統一出来るのでは??
おまえらBRI S/T点の意味分かってないだろ
懺悔室で上から冷水とタライを落としてやりたいところだ
俺ら、ひょうきん族とか知らねぇーっすからwwwwwwwww
それなりの流量が有るのなら、課金の問題とかも有るから
相手側拠点も変更出来る様であれば、フレッツ網経由とか
にした方が良さそうだし。
ISDN,NTTが廃止しちゃったら、どの道、データコネクトとかに
切り替えないとでしょ。
ISDN 側の rt58i は、S/T で直結しちゃったら、只のDSU として
の機能しか使わないから、S/T 点付きのTA か、ビジネスホンみたいな
既存のISDN 機器にS/T 点有れば、そこに繋げれば 58i とか用意
する必要すらないのにね。
rt58i を只のDSUとして使うって事でしょ。
DSU スイッチを、on にして、NOR-REV スイッチをS/T 側にすれば良いだけ。
RT50iと58iはPP接続です。
やりたいことはご指摘いただいた通りです。
>>202--208
有難うございます。S/T点なら大丈夫そうですね。
根本的ご質問なんですが、以下のような設定の場合、
192.168.55.0/24への通信もフィルター100が効いてしまうということでしょうか?
192.168.55.0/24はpp1に行かないので効かないと思っていたのですが・・・
ip lan1 address 192.168.100.1/24
ip route default gateway pp 1
ip route 192.168.55.0/24 gateway 192.168.100.99
ip filter 100 reject * * * * *
pp select 2
ip pp secure filter in 100
ip pp secure filter out 100
192.168.55.0/24へはフレッツVPNワイドとかじゃなく、LAN側の100.0/24経由で行くならPPフィルターは関係ないな。
PC1: 192.168.55.2
│LAN
RT58i:192.168.55.1 [ip route 192.168.100.0/24 gateway pp x] (拠点)
(pp x)
│ISDN
(pp 2)
RT50i:192.168.100.99 [ip route 192.168.55.0/24 gateway pp 2]
│LAN
RTX1200:192.168.100.1 [ip route 192.168.55.0/24 gateway 192.168.100.99] (センター)
│LAN
PC2:192.168.100.2
RTX1200とRT50iは同一セグメントだからRTX1200のfilterは全く関係ないと思うんだ
RT58iのconfig情報が無いけどRT58iってGUIからPP設定してNATとかNATPとか変な設定入っていたとか無いよね。
NAT等を使用していた場合PC2のGWをRTX1200にすると通信できなくなる可能性はあるわな
(´・ω・`)扱ったこと無いからわからん・・・。
まぁ、1200直下のPCのDGを50i(.100.99)にして55.0直下のサーバーにつながるってことはルーティングかフィルターの問題かと。
NATは同一セグメント内では効果が無いので関係ないと思われ。
とりあえず、1200のlogを片っぱしから出す設定にして55.0につなぎに行ってみてどんなlogがでるかですな。
あとはconfigをある程度書いてくれればアドバイスしやすくなるよ。
VPNやりたいだけの客には向こう6年はこの機種で大丈夫だな
もう1万円下がらないかな
1210のGUIすごいよね。
VPNまでわかりやすいGUIで出来てしまうとかモウネ・・・。
VPNだけだったらRTX810でもいいのではと思ってしまった自分は古い人間。
VPNなしの50台くらい
GUIに頼っちゃうと、ネットワークの理解、成長に乏しくなる
応用が利かなくなるね。
逆に難しい
LAN1とLAN3にv6割り当てれば独りVPN出来ますか?
1200のip lan1 secure filter in/out のとこ、何がはいってますか。
GUIなんてできたら、バッラローみたいになっちゃうよ。
いいだろう
YAMAHAさん「みな、GUIだけをつかっているんだ(報告あげとかないと)」
上層部「じゃあ、GUIオンリーでいいよ。(サポート面倒だし、CUIは廃止方向で。)」
GUIの裏じゃ結局コマンド叩いてるだけだから
ネットワークスキルのない人間によってレベルも落ちる!
そういう人たちは、ヤマハサポートへ行ってくれ。
おそらく、今後、サポートはGUIのみをサポートするようにもなるのかもしれん。
もし、本当にそうなったとすれば、
RTXのサポート窓口は、疲弊していたのかもしれないな。
おれは問い合わせしたのは数回だけどな。
(結局、自力で解決しなければならなかった。サポート対応に効能があるのは購入後数ヶ月だけじゃないか。)
そういうことからして、
GUIは、RTXにおいて、入門者と経験者との住み分けを図るための機能だとも言えるかも。
入門者も、うまくなりたければ、GUIを自分の意志で卒業しなければならない。
その点、GUIがなかったこれまでは、最初は厳しかったものの、幸せだったのかもしれない。
ルーターの設定って入門者にとっては本当に大変だから、GUIを手放す人はなかなかいないと思う。
GUIを迎合する話題や、GUIを賞賛するレス、GUIはすばらしい、なんて発言は、
RTX1210から入門してきた人たちだとわかるはずだ。
なんかね、やっぱり、コマンド打ってがんばってきてほしかったよ。
そういうの(=GUIでさくさく!)なら、どれを使うんですか?
YAMAHA路線は、そうじゃないとおっしゃるわけですね。
結局、入門者とCUI経験者との間に埋まらない溝を作ることになりませんか?
RT100iから使ってるがコマンド打つより楽な場合もあるし
好きに使えよって感じだが
ヤマハとしては敷居を低くした方が売れるだろう
個人的には、ずっと「誰が得すんの?」と思ってた。
でも RTX1210 のダッシュボードを始めとした GUI は良さそうですね。GUI で表示してこそ
把握しやすい情報を見られるのは嬉しいです。
ん?
そういうの=(CUIでコマンドをかりかり打つ)
のつもりだよ
RTXだと何が足りないんでしょうか。
コマンドやその体系など、言語的な理由のことでしょうか。
ごめん、ちょっと変な言葉遣いだったな。
単に個人的な意見だけど
YAMAHAは簡単で誰でも気軽に使えるところが良いと思ってるのね
サポートや事例が手厚かったり、
UPnPが使いたい家庭向け(アライドは五月蠅いし)に良いと思っていて、
でも、値段と比較して性能が全般的に劣るので
コマンドわかる人が使うなら、
MSRなりFortiGateなりUnivergeなり使えばいいんじゃないのって思ってるだけ
CUIといえど慣れ親しんだもの使うのは当然じゃなくて?
いやだから、コマンドオンリーな難しさが好きなら
ヤマハじゃなくて他でいいだろって言ってるの
YAMAHAなんてGUI充実させていけばいいじゃん
使ってる層がそういうの求めてる中小企業が多いんだから
どうでもいいよ
だけど、同じ設定で大量に撒いて一元管理とか言い出すと死ぬ。"きちんと動く"CUIがあればなんとかなる。
適材適所で使えばいいんだよ。インターフェースがどうあれ、きちんと動くことが何より大事。
結局あほみたいな信者論争になりますので別でやってください。
ああ、そのお話の前に、その人のネットワークのスキルの有無で分けて考えないとね。
スキル皆無:
GUIからマウスで、チェック、チェックってやって設定して、
いったいネットワークの何が分かるの?
スキルあり:
本気でRTX使いたいわけでもなければ、GUIはお手軽で良いのではないか?
国産機のメリットだってあるじゃない?
たとえば、RTX国産機の以下のようなこと。
・バックドアがない(だろう)
・NTTフレッツ網を考慮している
またGUI論争か
そう言うコト。
コマンド使いなれてる人の立場がおびやかされるということかな?
それとも、知識のない人が業務用ルータ使ってるのを見ると腹立たしいのかな?
本当に無駄なトラフィックやリスクばかりが増えてるとおもうよ。
自己責任で好きなようにやればいい。
>知識のない人が業務用ルータ使ってるのを見ると腹立たしい
うん。なんかね。
下支えの技術が軽視されているみたいで。
netflow動いて統計情報表示してくれるといいよね。
routerboardとかedgemaxみたいな感じで。
…誰だよ、人の不幸(インシデント)が飯の種だなんて言ってるのは。
人間、痛い目に合わないと痛さは分からないものなんですよ。
会社が傾くくらいのインシデントが起きる報いのある時代、仕方ないでしょう。
特に日本では情報はタダと思っている人が多いから。
PPPoeとVPNの設定だけして納品してきたよ。
これで1拠点5万とかとられてた酷い時代だったな。
うちだってRTX810をバラ撒くときに、1拠点5万以下なんて無理
取ってきた仕事全部そこにおろしたほうがいいんじゃないかw
フィルターの記述とか楽じゃん
guiでフィルター作って、他と後の変更はcuiを使ってる。
初めての機能とかもcuiだけだと必須項目揃えるの大変だし、コンフィグ例として使ってるよ
って言ってみたいところだが・・・
スキルなんて所詮、要件(トラブルシューティングも含めて)を素早く実現できることだから
GUIを使いこなして、コマンドオンリーより素早く仕事できたら
そっちのほうがスキル高いってことになるよね
(もしも、コマンドよりも素早いくらいの、素敵なGUIに仕上がってたらの話ね)
GUIも新しい機能もすべて一通りさわってみないと時代遅れになるよね
やっぱ新しい機能が出るたびに一通りさわって、
使えるか使えないかを自分で精査しておくことこそがスキルなんじゃないだろうか
pp やら tunnel は後に
並べてほしいわ
GUIでコマンド変換して入力ってのが間に入る事の信頼性とかね。
シスコなんかでもバグだらけだし、
万一GUIでトラブっても言い訳にもならないっていう。
設定したコンフィグを確認し直すくらいなら初めからCLIでいいって言うだけ。
しかし、変更のたびに、保存する必要があるので、
内蔵のフラッシュメモリが駄目になってしまいそうで怖い。
だから、TELNETで変更して、意図した動作になってから、saveすることにしている。
RTXでもGUIは反映させるために、saveしないといけないんだろうか。
GUIなんて使う気にならない。
設定する人が慣れてる方でいい
あくまでそっちのほうが速いなら。
特にあえて否定する理由もない。
GUIで設定したのを安心してコンフィグすら確認しないのはアウト。
今のところコンフィグ読めなきゃ使い物にならないのは変わらない。
ある程度経験ある人はみんなそうだと思うよ。
前に設定したことある似たような案件のコンフィグを変更してコピペしたほうが
圧倒的にGUIより速いからね
1から書く時とか以外はGUIを使う用途がないね
意義ある議論が希釈されること。
クラスプログラミングみたいに、クラス化されたトンネル要素を、
必要数インスタンス化して、そのプロパティーを設定するような形態にする。
たぶん、頭の整理がすっきりとすると思うよ。
おそらく、NATや、フィルタなど、ネットワークを構成する要素が、
頭の中に絵のように描き出される。
そうすると、ヤマハは世界シェアを担えたりして!
そうそう、せっかく、luaとかいうプログラミング言語も使えるようになっているんでしょ。
親和性が高いと思うけどなあ。
いずれ、そのつもりなのかな?
ところで、luaが使えるルーターって、ヤマハ以外にあるの?
MSのIDEみたいに、インテリジェンス機能搭載のIDEが提供されたら、うれしい。
ルーターの動作をプログラミングで設計できる時代になる!
そうすると、ルーターから広がる世界が始まるよな。ルーターとそのほかがリンクするぜ。
もちろん、クラスをつかってプログラミングされたものを、そのままマシン語に落とすわけではない。
パケットいちいちについて、イベント処理なんてやっていたら効率が悪かろう。
あくまでも、クラス(インスタンス)の関係によって、ルーター独自の制御を描き出すわけさ。
現在でも、トンネル設定で”テンプレート”なんて機能が搭載されているけど、
これって、クラスの継承そのものでしょ。
YAMAHAがSDN/NFV的な世界にどう対応するかは気になる。それはCLIでもnetconfでもやりようあるけどSEILと切磋琢磨してくれると嬉しいなー。
まぁ、実際はメンドクサイからCUIでやるけど
提案するときに 「GUIで運用が視覚化されてますよ〜」 って出来るのは良いよね
ZabbixやMunin突っ込んだOpenblocksなり置けばいいじゃん
でも、SSGとかFortigateはGUI推奨な感じがある。
コマンドが急には思い出せないのでGUIを使うことがある。
Configは大体読めるから、GUIで設定したあと確認する。
英語と同じだな。
書いたりしゃべったりできないが、読む分には何書いてるか分かる。
810買い換えてーよー
個人で買ったら嫁に腹蹴られるよ
会社に買わせてーよー保守切れてる機器1個壊すか…
回路引き抜くか…
ブラウザゲームやスマホアプリのBOTを複数PCで大量に動かしていると通信が不安定になります
民生品の中ではNATセッション数の多いNECのルータに変えることでだいぶマシになりましたが、
それでもPC4台をフルに使うとネットワークエラーが頻発します
その場合、RTX1210の導入によって改善可能でしょうか?
公表しているNATセッション数がNECより多いなら改善はするんじゃないの?
PC1台に1回線引いてそれぞれにルーター入れろよw
つか、1PCに1回線じゃルーターいらねーな、
ノーガード戦法でいけやw
そうすりゃ、セッション数なんて気にする必要なくなるぜ?(笑
NAT使わなければ良いのでは?
CLIで設定した後にネットワーク担当者が不在の拠点でも状況の確認とか設定の変更ができるようにとかなんとか。
ダッシュボードなんかは元々FWXのやつだから設計思想的に状況がすぐにわかるようになんだろうしね。
あとはYAMAHAが提唱しているネットワーク見える化なんかとも関連するんだろうに。
(´・ω・`)そんなんで、どっちがどっちってことでもないんでないかね。
Ajax等で大量のリクエストを発行し続けると、帯域幅には余裕があるにも関わらず
回線が落ちる(接続が数秒〜数分間ロストする)のは、NATセッション数を含めたルータ側の性能不足という結論に至り
高性能かつネットワークに関する知識が乏しくても最低限の設定は出来そうなRTX1210を候補に挙げました
RTX1210の場合、理論上はNATのセッション数で言えば6倍以上のスペックはあるけど、
普通そんな無茶な使い方はしないのでバグを踏めばWR9500Nより不安定に見えることもある。
一つ良いことがあるとすれば、ヤマハの場合、そんな儲からない個人客であってもそれが本当にバグならば時間が掛かってもファームウェアを改修してくれることもある。
頑張って人柱を目指してくれ。
性能がクリティカルだったらNECのIX2215買って、設定コマンドは頑張って勉強しろ。
空いてる端末が4つ以上あるならNICだけ追加購入して自作ルータって手もある
Core 2 duo 以上の端末ならAterm WR9500Nなんかよりは何倍も性能ある
ネットボランチ系を聞かれている訳でもなく、(BOTの善悪はともかく)設定方法や使い方でもないからあからさまにスレチとも言いがたく。
を読んでみなよ。スレチと言いたければスレの定義を変える必要があるぜ。GUI載った弊害かねえ。
(一般的な光ONUで終端する回線では)出来ない
使うPCによっては短期的な電気代差額だけでRTX1210が買えそうな尖った提案だな。
とりあえずRTX1210買ってみます
何千円かのギガビットNIC買って、ソフトウェアルータ OS入れたら
802.1qのフレームって対応するの?
フレッツv6オプションを契約してIPv6ネームをとったのだけど
これはルーターで
LAN2のグローバルv6アドレスを確認し
自分で管理画面に入力しないとネームとアドレスが関連付けされないのでしょうか???
DHCPで割り振られたv6アドレスをネームで名前解決できるのだと思ったんだけど
違うのですね???
v6アドレスが変更されたら自分で書き換えないといけないのかしら??
教えてくださいませ
NTT西日本・フレッツ光ネクスト総合★19
ttp://hayabusa6.2ch.net/test/read.cgi/isp/1422989502/
ネームもおっかけて変更してくるみたいだけど
そこから64の間までで変わっちまうと、v6オプションの画面で再設定が必要。
64から128の部分は自分で固定できるでしょ。
ただ、ネーム追随は西日本だけみたいだけど。
勉強します
>>ひかり電話有り無しで、プレフィックスが56か60の部分の変更は
>>ネームもおっかけて変更してくるみたいだけど
??????
結局、ネームは自分で入れないとダメなんだよね?
ルーターで確認したIPv6アドレスが変わらなければ
VPNワイドの代わりに使えるけど
変わってしまって手入力する必要があるなら
手間がかかりますね・・・・・
言ってる内容で合ってるよ。
ただ、こと西日本管内で言えばこの3-4年でNTT都合でv6のアドレスが変わったことは
確認できるだけで1回あったかないかくらいの話で、ほぼ固定だと見てよいと思うよ。
が言うように、NTT西はNTT都合でアドレス変えた場合はネームを追従して変更する
と公式にコメントしているよ。でも、実際に本当に追従するかどうか確認した報告はひとつもない。
アドレスはほぼ変わらないんだ!
RTX810用意して構築してみます
ありがとうございました! 感謝!
プロバイダでIPv6サービス申し込んだら、
v6アドレス変わって合わせてネームも追随してたの確認したよ
SQLサーバにアクセスするのは全く問題ないのですが、
ファイル共有系の処理が非常に遅いのですが、
何か解決方法のヒントはありませんでしょうか?
○○ー○ー○のWAN高速化エディションでも買っとけ。
費用の問題で
SQLのアクセスしか無いって聞いてたんだよな…
設計要件にCIFSが入ってない、で終わりだろ。
それにPPTPだと仮に遅延が小さくても速度自体出ないし。
PPTPダメなら、拠点をFWX120とかにしたらいいのかな?
中古なら、価格は抑えられるし。
中古RTX1100を4台買って、NVR500の下に置いたら?
今見たら、ヤフオクで4台セットで5000円ぐらいで売ってた。
こっちの方がNVR500のPPTPよりも速いよ。
RT107eは使ってたけど性能的にちょっと貧弱すぎる。
SRT100は使ったことないけど、RT107eとIPsecスループットが同じだから、多分厳しいと思う。
中古じゃダメなら、FWX120より安いRTX810でもいいんじゃない?
そしてNVR500を下に置いて無料IP電話網も作っちゃいなよ
>でも、実際に本当に追従するかどうか確認した報告はひとつもない
あるよ!
西日本だけど、ネームに登録していたIPv6のプリフィックスが変わったときに、
自動的に更新された。ちょびっと時間がかかったけどな。
どうして変わったのか忘れた。なんだったっけ。
IPoEのプロバイダを導入したときだったっけ?なにせ、変わったのは覚えているよ。
他にも良い情報あれば教えて下さい
CIFSと書いているので大丈夫だと思うけど
SQLの一部機能を使うために135-139をpassにしてSMBで通信していたとかそういう落ちは無いよね。
IPoE対応プロバイダ導入したら、それまで閉じていたものが、開く。
プリフィックスもプロバイダに応じて変わる。
ネームは使える。
大丈夫です
性能的には、RTX1100 の方が良いんだっけ??
NVR500は、DHCPサーバ切って、IP電話アダプタに
すればいい。
NVR500はIPSec系が非対応
L2TPすらも非対応なので使いにくい
暗号がハードウェアで処理できる
大体、RTX1210とNVR500のPPTPの速度はどれぐらいなの?
それによってもお薦めが変わってくるし。
住商のデータだとNVR500 のPPTPって24Mbpsぐらいになってるけど、
ソフトウェア処理なのでそんなに出るとは思えない。しかも4拠点からRTX1210に一極集中するんだから、
おそらく混雑時は2Mbpsも出てないんじゃないかな?
まず、NVR500でPPTPの速度を測ればいい。
優先制御でデータをクラス分けして、PPTPのデータだけを単一のクラスに分けて、
show status qos all
とでもやって、ピーク時のスループットとか、現時点でのスループットを見てみたらいい。その時のCPU使用率も。
RTX1210側でそれぞれの拠点をクラス分けして、そのスループットを見た方が速いかな。
固定IPと動的IPでVPNを組もうと思うんだけど、
固定IP振ってるルータのデフォルトゲートウェイがWAN側じゃなくて
べつのルータに向けてる場合にVPN組むことできまつか?
ttp://jbbs.shitaraba.net/sports/42269/ その別のrouterがWANに向いて外に出れるなら可能
むむむ。出来ちゃうのか。困った。w
頑張ってみます。ありがトン
(´・ω・`)VPNのゲートウェイを別にすればいける。たとえばデフォルトゲートウェイはまた別だけど、ppをlan3でとってVPNをpp経由にするとか。
今回は相手方が動的ってことなので、ゲートウェイ経由が楽かもしれない。
ゲートウェイから既にVPN張ってるなら基本的にはできないけど、IPSecならカプセル化して通信できる。この辺はヤマハのドキュメントを参照すること。
端末のデフォルトゲートウェイがこっちに向いてるかどうかが問題だ
RTX810でIPSecにして問題解決しました
皆さんありがとん
NVR500のPPTPスループットは10mbpsでした
ミリbps!? というのは置いておくとして、同じ測定方法で RTX810 の IPSec はどれくらいの
スループットが出ていますか? ちょっと興味あります。
誤字すまん
20Mbpsくらいだが
CIFS使うアプリの実行中(転送中)の
待ち時間は1/10になった
スループットも倍になってるけどそれよりも、レスポンスの改善が大きかったわけね。
ping値もかなり改善されているのかな。
PPTPはソフトウェア処理だろうから、本件だとRTX1210全体で20Mbpsしか出ないのだろう。
IPSecはハードウェア処理なので、四ヶ所の端末側からトラフィックが同量流れ込んでも端末側ごとに20Mbpsのスループットを確保できるはず。
これくらいで底値かなぁ
ttp://kakaku.com/bike/item/76102610703/ 手がでネーよ・・・
RTたけーよ
個人では手が出ない
金玉はれつする
CPU警告でるわ(´・ω・`)
能力以上の仕事させる仕様はどうよ
Amazonががんがん安くなりやがる
もうちょい待つ
つかこれGUIいるのか?
設定出来る項目少な過ぎだろ
一般ユーザーなら使うのかもしれないけど
IPIP接続位デフォで入れとけよ
やりたいのは動作状況可視化だと思うよ
俺も思った。
GUIを売りにしてるわりには、
前の機種よりGUIで設定出来る項目減ってるんじゃないかな。
IDSとか設定できなくなってるし。
GUIでNATセッション数とか表示されるのは便利なんだけど
リアルタイムのCPU負荷なんてGUI込みの負荷であてにならないっていうね。
そんなのいらないのでSNMPからNATセッション数見えるようにしてほしいよ
あとは動作状況の可視化を目指すならまだまだ項目が少ないよね。
ダッシュボード式とか言ってもだせるものほぼ全部出てるし。
DHCPの割り当て状況とか、UPnPの利用状況とかそんなのもないしね。
VPN設定だけは楽チンだった
カスタムGUIという機能があってだな。。。
(´・ω・`)まぁ、要するに見える化の為の監視やスイッチ連携関係強くしたら疲れたしいじくるの飽きちゃったから、後は好きにすると良いよってことらしい。
なければ追加するという新しい発想。
まぁ、GUIは補助でつけてるってぐらいだし。。。
こっちが勝手に判断して、妥協してやる必要は無いと思うんだがな
自分が使わないからいらないって、ちょっと短絡すぎない?
それなら俺もこのルータのVPNは使わないから削って他に集中して欲しい。
本体のみで実現するのはいろんな意味で良くは無いとおもう
今のところ壊されてない
FWX120ってホスト名の設定はでき無いんですかね
Ciscoならhostnameでしょうか。
※細かい事は気にしないでください
要件の中に、機器自体のホスト名も指定してきたので
それに該当する設定が見当たらないなあと思って質問した次第です。
ですよねー。
お客さんのポリシーか何かは知らないですがテプラで我慢してもらいます。
その辺も含めてお客さんに聞いてみます。
ありがとうございました。
FWXは変えられないん?
ここにもドレミ焼酎がw
メールアドレスが漏れるのがいやなので、返信できないよ。
なので、ここで答えてみよう。
こちら側ファックスの機種が古い場合、IP電話のみなし音声通信でよく失敗する。
最近、最新機種に置き換えたら、同じ環境でもまったくエラーがなくなった。
アナログファックス機といえども、対策はしているということだと思う。
あと、送受信レートを、スーパーG3でなくて、14400bpsまで下げてみるとよいかもしれないな。
というわけで、見てますか?
もうちょっと早くレスしてくれれば良かったんだけどな
別よろし
どちらにいくよろし?
ttp://bbs.lames.jp/2ch-api.html API対応状況一覧(3/4 1:30現在)
ttp://i.imgur.com/reYbsA6.png RTX1210が「Rebooted by Task time exceed(27)」という理由でリブートしていたのですが、
「タスク時間が超過したことによるリブート」って何のことか分かりません。
これはどういう意味でしょうか。またはこういうエラーを一覧したリファレンス等はありますでしょうか。
ここでもなく、メーカに問い合わせるべきだと思うが。
正規購入した物だろ?
別にいいのでは?
過去にそんなエラーがでる
ファームウェアのバグあったな
メーカーに問い合わせることにします。
ちなみにファームウェアはRev.14.01.05です。
1812祭りほどじゃないけど
ハードウェアの不具合って、インテルの昔のCPUくらいしか思い当たらないな。
ハードの不具合を尻拭いするのもファームの仕事なんだよ。。。
ハードウェアの不具合の存在の可能性もあるってことになるのかな。
>ハードウェアの不具合の存在の可能性
各人の日本語処理ファームウェアで直しておいて
だって、IT自体が素直な考えの積み重ねで動作するでしょ。
どちらかと言うとひねくれた動作考えてたらきりがないからある程度でリリースして必要なら修正、って世界じゃないかな
YAMAHAとかアライド触るレベルに都落ちするからには
何か問題抱えているからだとも言える
どれか一つ当てはまるだろ
学歴がヤバイ
酒癖がヤバイ
女癖がヤバイ
精神年齢がヤバイ
転職でヤバイ会社に入ってしまった
頭髪がヤバイ
コレだな。間違いない。
ハードウェア自体のリビジョンアップってありますか。
ファームでハードウェアの不具合を”回避”するのだとすれば、
同じファームウェアを提供するためには、不具合はすべてのハードウェアに継承されなければなりませんよね。
それとも、ファーム内で、リビジョンチェックとかシリアル番号チェックをして、
ルーチンをわけているのかな。
まあ、どうでもいい話題ですみますん。
nslookup6 www.flets-west.jp みたいな事は出来ないでしょうか?
どうやら、内蔵 nslooupは ipv6非対応みたいなので。
typeをAAAAにして問い合わせたら?
RTXの 内蔵nslookupは、TYPE指定ないのんよ。
これハマった
つながんねーって色々やっててふとフレッツのサイトの試験したら通ってんの
NTT西でネーム使うとき、ネームの名前解決にどのDNS指定したらいいの?
HGWあるなしとか、機器構成で変わったかもしれないが
とりあえず、ひかり電話一体型の配下に RTX 付けたときで
IPoEの DHCPで振られる DNSを指定する。
>show status ipv6 dhcp
2001:a7ff:5f01::a
2001:a7ff:5f01:1::a
DHCPで1番目に出るからプライマリかと思って片系で試しててハマったわ
bだとダメ?特定の名前なのか完全に応答無いのか知りたいす(´・ω・`)
VPNを張ったとき、ネームをつかったけど、結局名前解決を内部コマンドでできなかった。
でも、今通っているよ。
とりあえず、次のようなおまじないをかけている。
dns server select 1 2001:a7ff:5f01:1::a any flets-west.jp
入力したコマンドははじかれなかったから、
効いているんだろうかね。この真偽を頼む!!
目的は、ネームの解決では、指定したリカーシブサーバを使うようにということ。
ちなみに、うちは西日本。
IPv6の名前解決自体はできてると思う。こんな具合に↓
> ping6 www.flets-west.jp
2 packets transmitted, 0 packets received, 100.0% packet loss
んで、一手間かかるけど結果は判る。
O> show dns cache |grep flets-west
Searching ...
AAAA IN 85816/85827 www.flets-west.jp (2001:a7ff:ff06::1)
>
しかしなんで nslookup6が無いんだろうね?
うちでは↓って書いてる。
dns server select 1 dhcp lan3 aaaa flets-west.jp
おお!でも、これって、ちゃんと効いているのかな。
この設定がなければ、RTXさんは解決先を見つけられないんだろうか。
なるほど、キャッシュを検索するとわかるのか。
ありがとう。
2ch.net運営責任者からのメッセージ
2ch.net専用ブラウザを利用する大切な皆さまへ(2015/3/2)
3月13日からは新仕様に対応した専用ブラウザをご利用ください。
nat descriptor backward-compatibility 1
コマンドリファレンスによると、NAT機能全体の動作タイプを
Rev.14 系以前の動作タイプ (ポートセービング IP マスカレード機能を無効にする)
とのことです。
「Rebooted by Task time exceed(27)」の意味は教えてくれず、上記を試すようにとの一言だけでした。
なので、エラーがどういう意味で、なぜそのコマンドを試すように指示するに至ったのかの説明がなく、
釈然としません。
メーカーサポートとはこんなものでしょうか。
ちなみに私からはTECHINFOを提出しました。
旧バージョンのnat機能へ戻すためのコマンドなんだろうな。
新しいバージョンのnatにはバグがあることが判明したのかもしれない。
苦情係「こんなエラーが出たらしいんですけど?」
開発係「えっ! ”Rebooted by Task time exceed(27)”だと!?、やばいな。」
こんな会話がエスパーできる。
しかし、YAMAHAのサポートは昔色々あったんで、信用していない。
HP無料サポートはどんなに簡単な質問でも3営業日くらい必ず置いてから回答するポリシーみたい
Ciscoは正直言うてsmartnet酷い
Fortigateは代理店次第
YAMAHAの無料窓口は平均的な感じ
SCSKのCareplusは金取ってるだけあってカッチリしてる
けっきょく何が問題だったんだろうな。
RTX1200を使用中だが、そういう問題は起きていない。
でも、RTX1100は、RESTART後に、IPsecトンネルがつながるまでに時間がかかるぞ。
ipsec sa clear?たしか、こんな感じのコマンドをRTX1100で打つことで即座につながるようになったな。
ファームアップで解消する問題なのかもしれない。しばらくアップデートしてないからな。
それだ!
>RTX1210とRTX1200の両方で、ipsec ike retryコマンドを削除してデフォルト値に戻してみてください。
ログを眺めていると、下記のような出力を見つけました。
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1504 > 122.1.*.*1:1433 (2015/03/17 00:06:06)
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1509 > 122.1.*.*2:1433 (2015/03/17 00:06:06)
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1507 > 122.1.*.*3:1433 (2015/03/17 00:06:06)
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1508 > 122.1.*.*4:1433 (2015/03/17 00:06:06)
Mar 17 00:17:03 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1510 > 122.1.*.*5:1433 (2015/03/17 00:06:09)
[5003]のフィルターは下記のように設定しています。
ip filter dynamic 5003 * * tcp
また、
122.1.*.*1〜122.1.*.*5はプロバイダと契約している固定IPグロバールアドレス(IP8)です。
この状況だと、
LAN側から61.160.250.177として、122.1.*.*1〜*5へ向けて、SQL Server(1433)へアクセスしようとしているように見えます。
61.160.250.177はグローバルアドレスだと思うのですが、どういった状況になっているのでしょうか?
これは不正アクセスなのでしょうか?
LAN側からWAN側のポートを探しているようで、気持ちが悪い。
(送信元)グローバルアドレスは不定です。また、ポート番号もwww、DNSやtelnetであったりマチマチです。
ちなみに、IP8の契約ですが、現在は1つしか使用しておらず、外部に公開しているサーバーはありません。
netname: CHINANET-JS
descr: CHINANET jiangsu province network
奇妙だね。
新手の攻撃なのかな?
PPにかけている静的、動的フィルタはどうなっているの??
61.160.250.177は外部のアドレスのようで。。。
LAN側は 10.*.*.* のアドレスで運用しています。
なので、61.160.250.177からのアクセスとして偽装しているのでしょうか?
その他のアドレスも西の大陸っぽい感じがします。
やっぱり、不正アクセスでしょうか。。。orz
海外には拠点ありません。
やっぱり、怪しいですねぇ。orz
現在の設定はこんな感じだそうです。
気になる点やアホな設定があれば、ご指摘ください。
ip pp address 122.1.**.**/29
ip pp secure filter in 2000 2001 2002 2003 2004 2010 2011 2012 2013 2014 3000 3001 3002 9999
ip pp secure filter out 2000 2001 2002 2003 2004 2010 2011 2012 2013 2014 3010 3011 3012 9999 dynamic 5000 5001 5002 5003 5004 5005 5006
ip pp intrusion detection in on reject=on
...(続く)...
ip filter 2001 reject * * udp,tcp netbios_ns *
ip filter 2002 reject * * udp,tcp netbios_dgm *
ip filter 2003 reject * * udp,tcp netbios_ssn *
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2010 reject * * udp,tcp * 135
ip filter 2011 reject * * udp,tcp * netbios_ns
ip filter 2012 reject * * udp,tcp * netbios_dgm
ip filter 2013 reject * * udp,tcp * netbios_ssn
ip filter 2014 reject * * udp,tcp * 445
ip filter 3000 reject 10.0.0.0/8 * * * *
ip filter 3001 reject 172.16.0.0/12 * * * *
ip filter 3002 reject 192.168.0.0/16 * * * *
ip filter 3010 reject * 10.0.0.0/8 * * *
ip filter 3011 reject * 172.16.0.0/12 * * *
ip filter 3012 reject * 192.168.0.0/16 * * *
ip filter 9999 pass * * * * *
ip filter dynamic 5000 * * www
ip filter dynamic 5001 * * domain
ip filter dynamic 5002 * * smtp
ip filter dynamic 5003 * * tcp
ip filter dynamic 5004 * * udp
ip filter dynamic 5005 * * pop3
ip filter dynamic 5006 * * ftp
の最後に9999があるのがそもそも
ip filter 3003 reject 122.1.**.**/29 * * * *
ip filter 3013 reject * 122.1.**.**/29 * * *
追加汁
ダメダメって事ですね。orz
ありがとうございます。
なるほど。ご指摘感謝です。
担当に確認してきます。
これが不味いのか。orz
なるほど。
ありがとうございます。
フィルターを追加依頼してみます。
外部に公開する必要があるポートだけを通して他は閉じるのが基本だけど
静的IPマスカレード処理してるなら基本問題は無いのかね
てか、市販のルーターの大部分は みたいなセッティングで出荷されセキュリティを謳ってる
外部送信系のトロイたちは80/tcpや443/tcp使うのが流行だから、単純にポートフィルターしても防げないし
塞ぎすぎるとSkypeできねーとかクレームつけてくるやつ出てくるし
動的フィルタがOUT方向に入っているだから、
ip pp secure filter in ・・・・9999
この最後の9999は絶対にいらない!!!!
これだと、すかすかじゃないか。
あほか
あのconfigで9999外すとヤフーも見れなくなるよ
なにをもってスカスカと言ってるかしらんが
市場に出回ってる家庭むけルーターのデフォルトセッティングはあんな風だ
ip pp secure filter in ・・・・9999 いるいらんって議論はできん
NAT処理やサーバー側でのフィルター運用など他に担当者いるならそいつにどういう考えで構築してるか
聞かんとダメだろ
現状でも特に弱い部分があるってわけじゃないんじゃないの?
ありがとうございます。
ip pp secure filter in の 9999 なしで運用できるように調整してもらいます。
緊急管理用にIPマスカレードで内部サーバーに接続できれば、十分なので。
ありがとうございます。
市販ルーターの初期設定がそうなっているんですね。
ネット上で、もう少し公開されているconfigを見てみます。
自分の担当外ですが、勉強になりました。
固定なのはVPN用で、サーバー公開用ではありません。
なので、in 9999 を外す方向でやってもらいます。
ご意見ありがとうございます。
結果的はそんな感じでしょうか。
今回はたまたまログを確認したら、怪しげな出力に見えたので調査依頼が来ました。
でも、お陰で色々勉強できて助かりました。
ip filter 2000 reject * * udp,tcp 135 *
ip filter 2001 reject * * udp,tcp netbios_ns *
ip filter 2002 reject * * udp,tcp netbios_dgm *
ip filter 2003 reject * * udp,tcp netbios_ssn *
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2010 reject * * udp,tcp * 135
ip filter 2011 reject * * udp,tcp * netbios_ns
ip filter 2012 reject * * udp,tcp * netbios_dgm
ip filter 2013 reject * * udp,tcp * netbios_ssn
ip filter 2014 reject * * udp,tcp * 445
年に一回は見る
・・・きっと
こんきょ?
グローバルIP宛てに出しても受けてくれない
グローバルIP宛てを受けてもルーターだと駄目
って思いはど素人?
逆にのケースでも危険だと思う根拠は?
前提条件は
>ちなみに、IP8の契約ですが、現在は1つしか使用しておらず、外部に公開しているサーバーはありません。
>固定なのはVPN用で、サーバー公開用ではありません。
NATをつかっていなければ、RTXが、外部からtelnetでアクセスされる危険性があると思う。
終端トンネルはRTX1200です。
なんか、IIJ側のNAT装置が忙しすぎてなんだろうと思うんですが、
任意のWEBページを開いたとき、画像が表示されなかったり、とても遅れたり、
タイムアウトになったり、複数コネクションの動作が変になるようです。
問い合わせをしたんですが、そういう障害は報告されていないとのこと。
みなさんどうですか。
やっぱりDS-LITEの、local IPv4 over IPv6 and through far NAT with global IPv4 とでも言うようなシステムだと、
網側のNATでは、かなりの負荷がかかっているんだろうな。
RTX1200のNATテーブルにかかるような負荷と同じなんだろうと思っている。
発生には波があり、問題なくつながることもあります。
問題発生中でも、コネクション数の少ないだろうから、通信速度測定サイトでの測定結果は30Mbpsほどでてます。
DS-LITE網側のNATテーブルだと思うんだけどな。
ここでいっても、どうにもならないけど、書いちゃった。
割り当てられているポート番号の数とセッション数がそれを超えてないか確認してみたら?
と思ったけどセッション数を確認する方法がRTX1200にあったかな?
NATテーブルは、RTX1200側でなくて、DS-LITE側にあるやつだよ。
RTX1200側にもNATをかけているけど、これは大丈夫。
RTX1100で、IPv6の設定を行いました。
ipv6 prefix 10 24xx:xxxx:xxxx:xxxx::/64
ipv6 lan1 rtadv send 10
IPv6サイトに接続でき、kameダンスもみられました。
しかし、ACCESS2007のアプリケーションで、データベースに接続できなくなりました。
DNSの名前解決で失敗しているようです。
(RTX1100のさらに上位にあるRTX1200で、dns aレコードを羅列して解決できるようにしています。IPv4のみの運用だと大丈夫です。)
ipv6 lan1 rtadv sendを取り消して、WindowsがIPv6 GUAをつかまないようにすると無事につながりました。
Windowsが、IPv6 GUAをつかんでいるとき、目下のRTX1100に対してaaaaレコードを検索しようとして、
RTX1100は問い合わせられたaaaaレコードを、上位のRTX1200に対して検索をかけるので、
RTX1200は羅列されたdns aレコードを無視しているのだと思いました。
(だとしたら、どうして、Windowsは、次にaレコードを検索しようとしなかったんだ??)
仮に、Windows8はaaaaレコードの検索で失敗しても、aレコードを検索しなおさないのだとすれば、
RTX1200で、aaaaレコードの検索をうけて上位のHGWなどに問い合わせずに、羅列したdns aレコードの結果を返す必要がありますが、
どのような設定をすればいいんでしょうか。
RTX1200がVPN接続先の基幹ルーターなんです
DNSの静的レコードを一元管理してます。
そこで、移行期間の間、2つの固定IPのどちらにアクセスしてもhttp鯖に繋がるように設定することって出来ますでしょうか?
単純に ip route default gateway pp 1 gateway pp 2
としてみたら、返りがアチコチ行ってしまってるのか、繋がらなかったりページの画像が出なかったり不安定でした。
netvolanteとかDDNS使えってのは諸事情で無しでお願いします。
普通にhttp鯖のロードバランサモジュール
導入したらいいんでね?
policy bace routingじゃダメ?
WEbサーバー公開しているならIP変更なんてよくある事だし、普通にTTLの最小値設定で乗り切れば良いだけの事じゃないの?
技術的には上の人が言っているようにサーバーにIP2個付与してポリシールーティングをRTXに設定、其の上でNATの設定で出来ると思うけど。
ロードバランサの逆みたいな感じだと思うのです
鯖は1つで経路が2つ
,489
鯖にIP2つ付けるのは考えてませんでした
pp1から来たリクエストはIP 192.168.0.5
pp2から来たリクエストはIP 192.168.0.6
みたいにするとpp1pp2に分かれて帰ってくれるのかな。apacheの問題か
でも、ip route default gateway〜 の指定の仕方がわからない気がします
古い方をNATで新しいサーバーアドレスに変換すればよいだけじゃね?
>pp1から来たリクエストはIP 192.168.0.5
というよりも
静的NATで
旧WEBサーバーグローバルIPアドレス-> 192.168.0.5
新WEBサーバーグローバルIPアドレス-> 192.168.0.6
ip route default gateway
はフィルター型ルーティングで始点アドレスが192.168.0.5ならPP1
192.168.0.6ならPP2
ってやればいいんじゃね?
セグメント1
192.168.10.0/24
セグメント2
192.168.11.0/24
セグメント1には、ルータが2台存在しています
192.168.10.10 -- OCNに接続
192.168.10.110 -- BB.exciteに接続
セグメント2に存在しているマシンから、
セグメント1のゲートウェイを任意に使用したいのですが、
どのような設定をすればよいのでしょうか?
フィルタ型ルーティング使えばいいと思う
192.168.10.10 と110のルーターにVPN接続で選択するかプロキシー入れるとかが簡単かね
http鯖(正確にはhttps鯖)にIP2つ振って、apacheでアクセスできるように設定して、
RTXで下記設定することでpp1、pp2のどちらのISPのIPからもアクセスできるようになりました。
フィルタ型ルーティングとか使ったこと無かったので勉強になりました。
ip route default gateway は関係無かった・・・
ヤマハサポートは返事遅いし・・・
nat descriptor masquerade static 1000 7 192.168.0.5 tcp https <pp1用
nat descriptor masquerade static 1200 7 192.168.0.6 tcp https <pp2用
ip filter 200110 pass 192.168.0.5 * * * *
ip filter 202110 pass 192.168.0.6 * * * *
ip forward filter 100 1 gateway pp 1 filter 200110
ip forward filter 100 2 gateway pp 2 filter 202110
ip lan1 forward filter 100
Windows PC は問題ないのにHP のシンクライアントにはリースされない。
スコープの設定など間違いないか何度も確認したが、予約するとダメ。
予約じゃない場合は、普通にリースされる。
問題のシンクライアントだけど、Microsoft DHCP だとアドレス予約でも
問題ない。
Yamaha に聞いたらパケットキャプチャして記録を送ってくれだと。
ちょっとハードルが高いのであきらめ気味ですが、DHCP鯖をMS準拠にする
ような設定ってあるんでしょうか?
Yamaha と MSじゃ DHCP鯖機能の実装に違いがあるんだろうけど、
自宅にてONU→hub→lan2に接続してるのですが、
show ipv6 address lan2
とコマンドを打ち込んでも
リンクローカル fe80::2a0:deff:??:???/64
リンクローカル ff02::1/64
リンクローカル ff02::2/64
リンクローカル ff02::1:???:???7/64
という感じで表示され、
グローバルアドレスが設定されていません。
職場の環境を見てみると表示されています。
ipv6に関する設定は、
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 secure filter in 1010 1011 1012 1013 1014 1015 3000
ipv6 lan1 dhcp service server
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106
ipv6 lan2 dhcp service client ir=on
となっており職場と同じになってました。
なぜlan2にグローバルアドレスが設定されないのでしょうか?
ひかり電話契約してない?
そろそろipv6に手を出そうと思ってたところに面白そうな話題
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html > シンクライアントのDHCP要求をヤマハ仕様に合わせろ
やりかたがわからないので、ひたすら調べつけた結果
ttp://d.hatena.ne.jp/marqut/20110807/1383674768 ttp://www.rtpro.yamaha.co.jp/RT/manual/nvr500/dhcp/dhcp_scope_bind.html ttp://mizupc8.bio.mie-u.ac.jp/pukiwiki/index.php?YAMAHA%E3%83%AB%E3%83%BC%E3%82%BF などがあった。
どうも、予約にすると、いろいろ面倒なことがあるみたいだ。
予約から ethernet を取ったらうまくいった。
調べたりない自分もアレだが、サポセンもなんだかなぁ。
パケットひろえっていっても、ポートミラリングのハブなんかないよ。
今だと定額契約しかないのかな?
予備用だから通常月は0円はないよね?
それと切り替わったときにメール通知は出来るかな?
従量制??
つ プリペイド
業務用スレで、パケットキャプチャがハードルが高いとか言ってる方が馬鹿。
ミラーポート作って、wiresharkで拾った方が俺は楽かな
やっぱり、ダムハブじゃなきゃ。
あるいは、メディア変換して光スプリッタか?
ギガのマルチポートリピータはないでしょ
初めてYAMAHA製品構築したけどドキュメントが糞すぎる。
ttp://www.planex.co.jp/news/release/2013/20130920_fxg-05rpt.shtml そりゃマルチポートリピータっぽく動かしてるスイッチだろ
全ポートフラッディング動作を常にさせてるだけ
用途としては足るのかと思ったのだけど俺理解足りてない?言葉の定義の話?
用途として足るかは場合による。
みたいにパケットの取りこぼしを心配してる場合、は駄目だよ。
VPNを張って相手のルータまではpingが届きますが、
相手のルータ内のLANのマシンにはpingが届きません。
yamahaの構築の例サイトを見ましたが特に変な設定はないと思います
逆に必要な設定があるのかな?とおもいますが、
なにが足りないのでしょうか?
どんな構成でどんな設定をしているかわからないけど
ルーティングの設定はちゃんとできてるの?
「VPN」と「ping」だけじゃ全く質問の情報が足りてない。
たぶん業務用ルーター使うには絶望的に知識が足りてない。
と思う。残念ながら。
取り敢えずネットワークの入門書一冊読んでみれば
質問するのに必要な情報くらいは分かるようになるのでは。
PCにPing飛ばしても、設定によっては帰ってこない。複合機やサーバにPingしてみるべし。
ご指摘のとおり業務ルータは素人で勉強をかねてVPNを構築してます
機種はともに中古のRTX1100です
ルータ1 192.168.10.0/24 //事務所
ルータ2 192.168.11.0/24 //自宅(今居る場所)
が、私の環境です。
さんの指摘通りでした
たとえば、ルータ2から、
192.168.10.240 (PC1)にはpingが届きません。
192.168.10.20 (メルコのルータ)にも届きません。
でも
192.168.10.231 (PC2)にはpingが届きました。
PCのIISにもアクセスできWEBの閲覧もできました。
ただし、ルータ1からだと全部届きます。
これはなぜでしょうか?
特になにか設定してるわけではないのですが、
届かせるためにはどのようなことをすべきなのでしょうか?
俺は優しいけど、他の連中は殺伐とした玄人気取りの糞野郎だから
相手にしてくれないんだよ、困ったファッキンディック共だよ
YAMAHAヤマハブロードバンドルーター
ttp://peace.2ch.net/test/read.cgi/hard/1418612262/
まず、PC1でファイアウォールが動いてるってことはないよね?
あと、メルコのルータは何やってるの?インターネットと接続されてるの?
PC1のデフォルトゲートウェイがメルコのルータに向いてる場合
メルコのルータに192.168.11.0/24宛のルーティングを設定してなきゃ通信できないよ
もう少し情報がないと何ともだけど
そんな断片的な情報で適切なアドバイス出来るわけねぇだろ
もっと細かい情報よこすか、勉強して出直して来い
そんなことより、酒もってこい
メルコ(今はバッファーローですねいつの間に・・)は
今まで使ってたルータで、ネットにつながっています。
単にセッション2個まで追加料金ないので接続してみました
仰るとおりGWはメルコの場合、自身のやつを使うと
192.168.10.0/24にping返せるわけないですね・・・
PC1のGWはRTX1100からDHCPでIP割り当ててますので、
デフォルトゲートウェイはRTX1100になってるはずです
FWは切ってるはずですが、今自宅なのでわからないです。
リモートデスクトップもアクセスできないので
明日事務所行ってみてみます
ありがとうございました
>192.168.10.0/24にping返せるわけないですね・・・
192.168.11.0/24にping返せるわけないですね・・・
でした
反応したのがだけという、殺伐としたインターネッツですね
これ入ってないとVPN先のルーター配下のクライアントにアクセスできないよ。
入ってたらゲートウェイの設定とかじゃない?(適当)
の話ならRTX1100間でトンネル張って
セグメントの異なるネットワーク間で通信をしているだけなので
proxyarpは不要
あと自宅ルータ(192.168.11.xx/24)と事務所PC2(192.168.10.231/24)で通信できているから
ルーティングも問題ない。
多分RTXの問題ではないと思われる。
デフォルトゲートウェイがルーターだと不要だけど違うと必要な感じ
デフォルトゲートウェイが設定してない端末からのARP要求とか
/24じゃなくて/16とか設定している端末からのARP要求に応答する場合に必要なのかな
NGNってデータ傍受される可能性ある?
エシュロンには逆らえない
キャリアの通信設備は、巨大な権力に筒抜けと思って差し支えない
ipsecにしたところで一緒
いたづら目的の傍受であれば、無いと思って差し支えない
IPSECならどうやって解読するの?
グリッドコンピューターで解析可能
基本的にペンタゴンが暗号解読出来ない物は全てNG
PGPが暗号強度を落としのはペンタゴンが解読出来ないから
横槍が入った
911以降から更に厳しくなり地球上の暗号は全て解読可能になった
今はエシュロンは運営は縮小 別の機関が受け継いで
更にプライバシーは皆無に
なんとも壮大な話だなww
エシュロンに盗聴されるのが抗いようがないのであれば
その辺は考慮に入れなくても良いのでは?
そこら辺の中小企業が国家機密でも扱ってるのか?
傍受の「可能性」に関して雑談してるからね
価値については論じてないし、ネットで議論できないでしょ
零細企業でも重要なデータはあるし
キャリアの設備内に傍受装置が仕込まれてる可能性は低いと思うがね
さすがに倍のデータ流れたら気づくでしょ
特定の企業狙ってキャリアの設備に忍び込む事が可能だとしたら
ipsecで暗号化してるのは有効だと思うけどね
もちろん利用する鍵の強度にもよるけど
じゃあ、オープンソースで、
学問の自由によって独自に研究して、横槍の入れさせない暗号方法を実現すればいいではないか。
それとも、膨大な税金を投入しなければ、新しい暗号方法は生まれないの?
アメリカは暗号は武器と認識だからオープンで製作しても
横槍が入る
エシュロンはキーワード検索 暗号検索の特殊なアルゴリズムで
世界を傍受してる
知ってる人も多いと思うけど日本の北陸にエシュロンがある
あと有名な話はビンラディンがPGPで911の計画を
してる事がペンタゴンは把握してたが現実は起きないと
職務怠慢して現実の起きた
素因数分解得意な方の量子コンピューターでもなければ鍵長増やせば解くのに時間かかるとおもうけどな
リソースをその暗号解読にだけ割り当ててるだけじゃないし
アメリカが各国に何人スパイを潜ませてるの
知らないじゃね?
板違いだからこの辺りで止めるけど
LUAつかってるひとっていない?
情報があんまりなくて使おうと思ったときに困るんだよなー。
0から書けないんだよな
取っつきにくい
定期的に更新するのに使っていた。
linuxボックスに変えたので今は使ってないけど。
うまくいかない
何を見落としてるんだろう
#show config |grep ipv6
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
# show ipv6 address lan1
LAN1 scope-id 1 [down]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet
グローバル 123456789101112::1/64 (tentative) (lifetime: 604800/2592000)
まず、何がうまくいかないの?
拠点間通信なんだけど
ごめん・・・ケーブル刺すの忘れてた
書き込んだ後に気づいた
パイプ使えるのか!
知らなかった
RTX同士なら、over IPv6 で、IPsecトンネル簡単に張れるよね。
でも、RTXと、LibreSWANなどと、over IPv6でトンネルをつなごうとしたけど、だめだったわ。
おれも知らなかった。パイプもgrepも。
けっこう古い機種./revでも使えたんだな・・・知らなかった。さんきゅ
いや、ipv6オプションの申込みがネックだけど
新規なら、特に悩む事ないわー
(ケーブル差し忘れの件は、もう忘れた)
今度中古でSRT100買うからちょっと試してみるわ
安いの?
オクなら3千円弱位じゃね?
サービス情報サイトに接続するのが第一関門だったな
意地でもRTX通してみせる!ってことで半日消費したっけ
※開通のお知らせ再発行待ちを含みません
拠点間だと、現地作業が最難関
NTTに頼めば2000円だけど、なんだか払いたくない
でも移動費考えると、それだけでは行けない
そうそれ
契約料800円ぐらいならいいって思うし1万ぐらいするなら行くか経費処理するんだが
新しい東日本の拠点はデフォで有効だからラッキー
ああ、それ、VPN張って、対向のIPv6をこちら側へ引っ張り込んでから、
現地へいかずに作業できたぞ。
こっちは万一ルータが落ちてもいいときにリモートデスクトップでやった。
フレッツスクエアにつながるConfig入れて
IDとパスワード要求するならどこでもできるようにしておけや
そんな何処からでも自由に入れるほどザルじゃないな
そりゃザルな運用してればセキュリティリスクにはなるだろうな
↓がRT57iのログにちょくちょく出現しているのですが・・・
IP Commencing: UDP 192.168.0.2:61053 > 8.8.8.8:53 (DNS Query [nexus.officeapps.live.com])
ttps://support.microsoft.com/ja-jp/kb/2817503/ja 有難うございました。
ip filter等で禁止することできますか?
ip host nexus.officeapps.live.com 1.1.1.1
ip filter 9999 reject * 1.1.1.1 * *
こんな感じでしょうか?
dns static 〜で静的に127.0.0.1あたりに振り向けるように定義しちゃうとか
値段もあまり変わらないですよね。
どっちがいいんだろう。
今までは、RTX1200を3台ほどつかってVPNで結んでいます。
RTX1210は、GUIで設定できるように便宜を図っているらしいですが、
自分は全部コマンドで設定できるし、GUI機能が何かルーターのメイン機能の不具合を招くのではないかと、
心配して、RTX1200がいいのかななどと考えて、迷っています。
なにか、アドバイスお願いします。
CUIで操作出来るなら1210を選ばない手はないな
GUIは見える化、つまりCUIの補助と思うと気が楽になるよ
1210はショートパケットがアホみたいに早いから
小規模なVPNのセンタールータにもなる
違いを試してみたいんだよな
torrentでも落ちなくなったかなあ?
ショートパケットが早いのは魅力的ですね。
ただ、この前ファームアップで不具合を解消したみたいですが、
新しいものってちょっと心配ですよね。
その不具合って結局、なんだったんですか。
ルーターの根幹を揺るがす問題だった?
トレントは使ってないけどVoIP環境でも
名器1500より安定してる気がする
SCSKのセミナー資料では1500の2倍超のppsになってる
普通に拠点間VPNに使う分には問題無いバグだと思うよ
詳しく知りたいならリリースノートを見て
普通にって、どの程度なんだろう。
RTX1200と、LibreSWANで、IPsecトンネルをつないでいるんだけど、できなくなったら怖い!
躊躇するなあ。
大切な機能にバグがあるとは。。。
やっぱり、RTX1200の中古を買おうかな。
玉突きで増設拠点に1200押し出せばいいんだけど、不安なら増設拠点に1210入れればいいんじゃない
何件か客に入れたけど、トラブル起きてないよ
SCSKのセミナーは聞いたけど、こういう実体験の話がもっとほしいな
本題とは関係ないけど、無線APのチャンネルは、混線してるとこなら同じの振った方が調停がかかるからまだマシってのは知らなかった
へーそうなんだ
余計に混線することになるかと思って、なんとかチャンネルをずらしていたわ。
まあそのお客さんの使い方によるからなあ
お客によっては、バグの餌食にされるかもしれない
それとも、ハードウェアにあるの?
ファームウェアのバグなら、修正更新されることを待てばいいじゃない。
まあ、5Ch以上開ける余裕があればそれでいいんだけどね
とりあえず不思議な切断とかは防げるらしい
してるが、ウチだけかな?
先日出たばっかりの最新のRev.14.01.07入れてみたが、またリブートした…
リブートはかんべんしてほしい。
ハードウェアの不具合?
ファームウェアの不具合?
不安定そうだなあ。
Data storage って、何処だろう。
そしてそういうときは直前ログか無かったりな
サポートに問い合わせろ
USB, miniSDカードスロットが空きでもリブートしたんで、たぶん違うかも?
miniSDカードにLog取っているはずだが、直前のが残っているか・・・
週明けでないと確認できない
Techinfo付きで問い合わせしてみる
1分ほど待たされてエラーになることが多かったのが、全くなくなった。こんなこともあるんだね。
ttp://www.usskyushu.com/ すてま?
LAN1がたまにちょっとずつ増えていく
とりあえずLAN1のバッファを増やしたら?
パケットバッファのパラメータって調整できるんだね
ためしてみる、ありがとう
インターフェース情報のLAN2をマウスオーバーしたら「受信オーバーフロー:76」って出てたんですが、
これって何ですか。606さんと同じでしょうか。
LAN2のバッファを増やすって具体的にはどんなコマンドですか?
名前欄は心の裏を表しているということだね
裏の顔コワ!
4.69って?
だからマニュアルぐらい見ろっつてんだろ。
もしくはggrks
今はやりのバズーカだろ
時計の文字盤を見ろ。目盛がボタンになっている。
4 6 9 の順に押すんだ。すると文字盤が開いて中にRTXのコマンドリファレンスが入っている。
もし、無ければ、ここに同じものがある。
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html まさか、マニュアル、ぐぐれ、的なことだとは思わなかった。
的な話題かと思っていたわ。
納得しました。
FTPであろうが、ICMPであろうが、IPSECトンネルは上位プロトコルの内容は問わないと思うんです。
だから、PINGを長時間かけてみて、トンネルの状態を探ったほうがいいかも。
そうしたら、IPSECトンネルのベースの通信(ISP経由)が疑えるかもしれないね。
ISPがこけているだけだったり。
・マニュアルは読んだのか?
・logは見たのか?
・config見せろ
・今日はどんなパンツはいてるの?
・パケットキャプチャはしたのか?
・わからないなら、質問するな
AWS側はステータスUPとなっています。
RTXでshow ipsec saするとこんな感じ。
# show ipsec sa
Total: isakmp:2 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id
----------------------------------------------------------------------------
5 1 6 tun[0001]esp send 2166 123.456.789.10
6 1 - isakmp - 10828 123.456.789.10
7 2 - isakmp - 11086 123.456.789.10
8 1 6 tun[0001]esp recv 2166 123.456.789.10
9 2 7 tun[0002]esp send 2424 123.456.789.10
10 2 7 tun[0002]esp recv 2424 123.456.789.10
SAが表示されないです。
何かが足りないと思うのですが、RTXの仕様をあまりわかっていないのと、
そもそもネットワーク屋さんでないのでちょっと苦戦中です。
tunnelにもnat入れてあげないとダメですかね?
AWS側のルーティングテーブルは、RTX側のプライベートIPに対してVGW指定ではダメですか?
>tun[0001]
>tun[0002]
これらは、当該のAWSとは関係ないんですか?
123.456.789.10 は、AWS?
SAがなければ、接続に失敗しています。
123.456.789.10 は、AWSです。
VPNは確立出来ていないですね。
phase1は成功しているけど、phase2でこけてるってことですかね?
ってことはipsec ikeの設定がどこかでミスってるか不足しているということでしょうか。。
とりあえずppとtunnelのところをば。。
〜〜〜
ip route default gateway pp 1
ip lan1 address 192.168.0.254/24
witch control use lan1 on
switch control use lan2 on
switch control use lan3 on
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname xxx xxx
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in (デフォ)
ip pp secure filter out (デフォ)
ip pp nat descriptor 1000
pp enable 1
///続く///
ipsec tunnel 201
ipsec sa policy 201 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 10 3
ipsec ike local address 1 192.168.0.254
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (ぷりしぇあーどきー)
ipsec ike remote address 1 123.456.79.10
ipsec tunnel outer df-bit clear
ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
ip tunnel remote address xxx.xxx.xxx.xx(AWS)
ip tunnel tcp mss limit 1387
tunnel enable 1
tunnel 2も同じ感じです。キーとAWS側のIPが違うだけ。
///続く///
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500
nat descriptor masquerade static 1000 2 192.168.0.254 esp
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500
他に必要なconfigありますか?
IPアドレスは実際と変えてます。あとはfilterはデフォのままです。
ipsec auto refresh onにしてます。bgpも設定してて、多分OKなはず。
ip pp secure filter in (デフォ) がきになった。
で、このipsecトンネルは何を参考にされたんですか?
ここですか?
ttp://www.rtpro.yamaha.co.jp/RT/docs/amazon-vpc/ ttp://blog.rakugaki-box.net/entry/2014/06/09/amazon_vpc_from_yamaha_rtx1200 ttp://d.hatena.ne.jp/chakoku/20130914/1379164876 ttp://www.rtpro.yamaha.co.jp/RT/docs/amazon-vpc/ SSGとか入れたいなぁ
ここも参考にしました。みんな似たり寄ったりですけどね
ttp://www.tama200x.com/blog/?p=680 このアドレスあってるの?
目視でもconsoleで確認し、同一IPアドレスとなっています。
ここに貼り付けたのは仮のものです。
マスク部分含めてYAMAHAのサポートに投げたほうが解決早そう
すでにtechinfo投げているので回答待ちです。
解決したらご報告にあがりますです。
すくなくとも、のIPsecコンフィグにあるような、次の文は、
わたしのところにはないぞ。
ちなみに、LibreSWAN-RTX1200
ipsec tunnel outer df-bit clear
ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
ip tunnel remote address xxx.xxx.xxx.xx(AWS)
> ipsec tunnel outer df-bit clear
まぁこれはなくても、必要ならclearの設定が強制される仕様みたいなので。
> ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
> ip tunnel remote address xxx.xxx.xxx.xx(AWS)
これは何の疑問も持たずに、AWSからDLしたファイルからコピペしてます。
tunnelインターフェースのIPアドレスってことは、RTXのGlobal IPアドレスであるべきですかね?
RTX1200になくて1210にあるのか、ファームのバージョンによる違いなのかはわかりません。
ただこのIPアドレスが違うのであれば、AWSのconsole上でトンネルステータスがUPになることもないと思うのですよね・・・
おれはここのサイトをみたわけじゃないが、参考にしてみればどうだろう。(OpenSWAN系)(アマゾンは何をベースにしているんだろう)
ttp://www.compnet.jp/archives/3849 ttp://www.shakke.com/network/vpn/yamaha-rtx1100-%E3%81%A8-openswan-%E3%81%A7-ipsec-vpn-%E6%8E%A5%E7%B6%9A/ ipv6 over ipv6 というのもある。
ttp://takeda-h.hatenablog.com/entry/2014/08/31/021428 なにかわかったら、投稿してください。
show ipsec sa の結果を投稿してくれているけど、
自分のところでもやってみたら、それと同じような感じだったぞ。
RTXとアマゾンはしっかりとつながっているんでは?
ルーティングテーブルはRTX、アマゾン側にあるんだよね。
ip route 192.168.0.0/16 gateway tunnel 99
rtxだとこんな感じに↑(tunnel 99はipsecトンネル)
マジデスカ
SA表示されないとあかんってのを信じ切って、それ以上の確認を怠ってました。
なんて初歩的な・・・
ルーティングテーブルとフィルターをAWS側で見直してみます。
ip tunnel addressがローカル側で
ip tunnel remote addressがAWS側じゃないの?
192.168.0.2の8080ポートに転送したいのですが
下記のような感じでしたいのですがだめでした。
nat descriptor masquerade static 1 1 xxx.xxx.xxx.xxx=192.168.0.2 tcp 80=8080
こういうのを実現するにはどう書けばよいのでしょうか?
ありがとうございます!
でもそれではうまく動かないみたいです。
そもそも、そのNAT(1番)を、インターフェイスに掛けていないとか。
そのうちのひとつに対して80へ来たものを8080へ
転送したかったんですがRTX1000では不可能でしょうか。
やりかたをぜひ!
yyy.yyy.yyy.yyyだけポート変換をすればいいのかな。どうでしょう?
nat descriptor static 1 1 xxx.xxx.xxx.xxx=192.168.0.2 1
nat descriptor static 1 2 yyy.yyy.yyy.yyy=192.168.0.3 1
nat descriptor masquerade static 1 3 yyy.yyy.yyy.yyy tcp 80=8080
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html サーバーはWindowsなんですがIISではポートを変えると
複数アプリケーションが起動できるのでそんな感じです。
つまり80と8080で別のアプリケーションを動かしていて
ttp://xxx.xxx.xxx.xxx/ ttp://yyy.yyy.yyy.yyy/ でアクセスしたいです。
サーバーにIPアドレス2つ付けたなら
そのIPアドレスとポートで起動すればよいだけじゃね?
標準だと*:80でhttpd起動してるが
192.168.0.2:80
192.168.0.3:80
でIISを複数起動できるだろう
外から内へ入ってくるパケットは何とかなるけど
内から外へ出ていくパケットはどっちのIPアドレスを付けるか判別する設定が無いと思う
なんとなくわかってきました!
ありがとうございました!
”レベルが一気に25まであがりました!
おめでとうございます。”
もう少しのところでうまくいきません。
Windows 8.1とRTX1200の両方がLAN側にある場合は、問題なく接続できます。
しかし、Windows 8.1マシンをBBルーターを通して、インターネット側でRTX1200と接続させようとすると、
失敗します。
Windows 8.1には、エラー789:最初にネゴシエートするときに、セキュリティー層で処理エラーが検出されたため、
L2TP接続に失敗しました というエラーが表示されます。
RTX1200では、 [IKE] respond ISAKMP phase to ”Windows 8.1のグローバルIPv4” がログに残っています。(次の段階に進んでいない。)
AssumeUDPEncapsulationContextOnSendRule は、1と2を試しました。
何かご指摘いただきたいです。お願いします。
実績がないなら、RTX側の設定が間違ってるのかな
BBルータはどうなってる?
再起動しています。
BBルータは、Android2.0?スマホのテザリングです。IIJをつかっています。NATが入っていて、プライベートIPv4を配布してくれます。
もちろん、インターネットにアクセス可能です。
IPadでも同様にだめです。
[IKE] respond ISAKMP phase to・・・から進まないです。
このことからRTX1200は応答しているようですが、それを相手側が受信できていない感じなのでしょうか。
ひとつわからないのは、
ipsec transport 1 101 udp 1701 です。
静的マスカレードでは、500と4500をRTX1200のローカルアドレスに通しています。
ここには、まだ1701は表れないんですよね。RTX内でIPsecカプセルが解けてからの話なんですよね。
1701に関する静的フィルタはどのインターフェイスに必要になってくるんでしょうか。
PPインターフェイスでは、相手先のグローバルアドレスについて全部パスさせるようにしています。
切り分けしてみてはどうだろう
RTXの問題なのか
PCでの設定が問題なのか
windowsの問題なのか
ありがとうございます。
いちど、コールドrtx1200にシンプルにした設定を書き込んで、試してみようと思います。
公式を読むと静的マスカレードで1台にのみ設定できるとのことで、
その1台にルータを当ててやろうと考えています
[拠点]--(インターネット)--[rtx1000]--[ルータ(pptpクライアント)]--[PC複数台]
rtx1000からgreとtcp1723を静的にルータに流し、ルータをpptpクライアントとしますと、
PCから拠点へは普通のIPマスカレードで通信できるのでしょうか?
RTX1000に向いてるならRTX1000で拠点への経路をPPTPcへ向けてPPTPcでトンネルを通るように設定が必要かな
ルータA(IPx8 Unnumbered) --- NAT --- (ローカルIP)ルータB
だったんですが、NATで相性でてルータBをNumbered(直接グローバルIP)にしようって話になったんですが
基本的に、この場合配線そのままで
1.ルータAのルータB用のNAT設定を無効
2.ルータBのローカルIPを、空いてるグローバルIPに変更
でOKですか?
+ルータBに各種フィルター設定(今はなんにもない)
HUBでルータAとルータBは並列ですね(ルータBではネット接続設定はしない)
ルータBのデフォルトゲートウェイをルータBのグローバルIPの先頭にかな
ありがとうございます。
pcのデフォルトゲートウェイは追加するルータ、そこからRTX1000となる予定です。
インターネットには繋がない回線なので必要に応じてルール追加で対応します
とりあえずプロバイダにつないで静的マスカレードを設定したところつながらない
サーバから見るとSYN_RECVになっている接続がちらほら
なんか引っかかっているかなと思ってDMZに設定してフィルター全OFFでも一緒でした
ヤマハに聞いてもそれでいけるはずと言っていたのですが他にチェック項目ありますか?
繋がらないというのは外からwebが見えないということです。タイムアウトになります。
内側のプライベートアドレスからはは遅いものの見えることはみえます。
この遅さがどうも悪さをしているのかなと勝手に思っています。が、一応サーバのほうも
ギガビットのカードのようなのです。ローカルでのPINGも問題ない速度でした。
サーバーは10年近く前のものですが...
コマンドでLANポートの速度を変更等してみましたけどダメでした。
Webサーバーの設定がどこかおかしい可能性もありますかね?
Webサーバーの再起動もしてみました。
もともとのブロードバンドルーターに繋ぎ変えた場合はWebサーバーを再起動しないと
うまく繋がらないようです。
んーこう書いていてWebサーバのDNSの設定等怪しい気がしてきました...
試せるのは来週ですが。
ONU───FWX120──────webサーバ
└────────PC
グローバルIPは払い出されてる?
ネットボランチDNS?
公開するための設定では何をしてるの?
Webサーバ用のコンピュータのファイアウォールは切っていますか?
!
どうもです!
エスパーすると、Clientのソースアドレスもnatしてしまってて、natされたプライベートアドレスの逆引きができずにタイムアウトしている
ttp://www.mydns.jp/info20081219.html これに沿って設定してるんだけど、Can't connect server(49)みたいなエラーが出てる。
構成は、ONU-aterm900hw-RTX1100です。
Windowsの電子メール設定から認証確認テストしたら、mydnsでのIPアドレスが更新される事は確認してます。
mail.mydns.jpの名前解決に失敗してる気がする
作って、そっちに設定してみれば?
pingは通ってます・・・
GUIから通知設定してもメール送信エラーになりますorz
一応、29. トリガによるメール通知機能を参照してます。
YAMAHAだと難しいかな?例えると、
拠点1:192.168.1.0/24
拠点2:10.10.10.0/24
拠点3:10.0.0.0/24
これらセグメントをレイヤ2で本社にも持ってきたい。
拠点側はGIPを持たない。
拠点側にはL2TP用にYAMAHAを1台新たに置く。
本社側YAMAHAの設定的に、複数セグメントの収容はできないっぽいんだけど
妙案ある方いたら教えてください。
拠点AにUltraVNCサーバを構築してます。
拠点A内にあるクライアントからはUltraVNCサーバに接続できます。
ところが拠点Bから接続しようとすると、
ログイン画面は出ますが接続ができません。
拠点Bから拠点Aサーバへpingは通ります。
サーバの使用portはデフォルトの5900ですがtelnetで5900に接続はできます。
お手上げ状態ですたすけてください
FWX120等のFW系機種のブリッジ機能なら、あるいはできるかもしれないっぽいですね。
実現できるならそちらを買い揃えるんですが、設定事例が見あたらないのと、
いまのところRTX1210等のルータ系しか手元になくて検証もできず…というところです。
半年くらい前にL2TPv3の設定をやって(1拠点だけ)、そのときの作業記録から
「RTX1200で使用できるブリッジは1つだけなのでL2レベルで接続できるセグメントは1つだけ」
というメモを発掘した。できないっぽいんだと思うよ。
L3ではダメなんか?拠点と本社でIPが被るのか?
RTX1210にもブリッジ機能あったので手元で検証してて、
同じくbridgeが1本しか作れないからムリっていう結論に達したとこでした。
例に挙げた拠点側は、実のところ各々別個の顧客環境なので、
そちら側のネットワークはいじれないんですよね。
なのでL2レベルで繋がないとルーティング的に到達できない。
Webサーバの設定見て気付きましたorz
そのVNCサーバーはIPレベルで通信するのかな?
netbiosとかnetbeuiとかはover TCP/IPじゃないとダメじゃね?
思いつきだけですが、L3で拠点側のRTXでSNATしたらどうなんでしょ。
拠点側から本社側へ到達する必要はないし、
拠点側同士が接続できたら、それこそゲロマズですね。
IPレベルだと思います
ちなみにフォルダの参照はできました。
ファイルの操作もできます
VNCのクライアントの動きとしてサーバからパスワードの要求がされ、
入力後認証されてパスワードが受け付けられた通信までは行えているのですが、
後はナシのつぶてです
ip filter 100 pass * * tcp 5900 5900
ip filter dynamic 1 * * filter 100
ipv6 lan2 secure filter out 3000 dynamic 1 100 101 102 103 104 105 106
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 1 100 101 102 103 104 105 106
こんな感じでダイナミックフィルタも両拠点に設定してみたのですが。。。
MTU下げてみるとか
VPN内の通信にppとかlan2のフィルターは関係ないよ
ppのフィルターがVPNを通すようになっていればOK
トンネルは特にフィルター無しでしょ
データ量が大きすぎてRTX1100のスループットだと性能限界でダメな可能性もあるね
あー、なるほど確かに、できそうな気もしますね。
ちょっと時間取れ次第それで検証してみて、それでもダメなら
頼み込んで顧客側にルート書いてもらいます。
皆さんありがとうございました。
検証もしてないから無理かもしれないけど
セグメント毎にトンネル作って
bridge member bridge1 lan1 tunnel1-tunnel3
みたく収容したらHUB見たくならないかな
無駄なパケット大量に複製するかもしれんが
トンネルの設定で
ip tunnel tcp mss limit auto
とありました。
自分の理解ではこの設定でokのような気がしますが、
サーバのMTUも下げてみた方が良いのでしょうか?
リモートデスクトップでなら接続できるんですけどね・・・
都合上ultraVNCじゃなきゃだめなんですよね・・・
ultraVNCは接続時に品質落としてデータ量を変更できるのですが、
モデム通信レベル128kbit/sでもだめなので、スループットは大丈夫そうな気もします
で下げてみてはということ
感激しました!!
諦めかけてました
うまくいきました!
ip tunnel tcp mss limit auto
で最適なmtu値が設定されると思ってましたがうまくいってなく
教えていただいたmtuを分割されないMAX値の1252設定で動作しました。
なぜかよくわかりませんが明日調べてみます
みなさまありがとうございました
おう!またな!
RTX1200だけど、古いファームだとmtuの設定が効かないというバグがあった。
1100がどうかは知らないけど、いちおう確認しといたらどう。
自動でバックアップ経路に切替するにはどうしたら良いんだろう
RTXだと
仮に本店172.16.1.254とすると、二つトンネル張ると、こんな感じでしょ
ip route 172.16.1.254/16 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0
NVRはこの設定できないんだよね
lauで切り替えるとかしなきゃ駄目かな
あれは苦手だから嫌だな
192.168.100.2~31まではpp1 の静的IP(222.111.000.1)
192.168.100.32~60まではpp2 の動的IP(250.213.52.0~32)
192.168.100.64~101 までpp3 の静的IP(250.213.133.0~30)
192.168.100.102~254 までpp3の静的IP(250.213.133.31)
といった感じで同一ネットワーク内でマルチセッションを行いたいのですが、素人なものでどんな機能を使ってどういう設定をしたらいいのかが分からなくてこまってます。
あと、192.168.100.64のサーバーから192.168.100.32のメールサーバーへメールを送る方法等(DNS)
色々勉強したいのですが、お勧めのサイトや本等ありましたら教えていただけないでしょうか(´・ω・`)
rtproにあるフィルタ型ルーティングを参考にするといいよ
やだ///ホストでてたなんて恥ずかしい
natではまって2時間かかったOTLネットワーク難しいですね
ええんやで
NGN網の折り返しを利用したVPNで、帯域制限てあるのかな?
ipsecでもipipでも200Mbpsあたりをウロウロ
ちなみに同一県内でpingは4ms前後
RTX1210とRTX810の対向です
スレチだったらスマソ
810の公称IPsecスループットは200Mbpsだから、その動きは正しいよ。
インフラの問題ではなく、機器の性能の限界。
最大スピード出したければ1210を対向で使わないと。
回線は光ネクストの1G?
ギガファミリースマートでのフレッツVPNワイドとか?
環境がわからんね。
何のバックアップかわからないけど、エスパーしてみる。
トンネルのバックアップならトンネルバックアップすればいいんでない?
ギガスマ、ギガラインではフレッツVPNワイド利用できない
ちなギガスマ、ギガラインではプライオってのが利用可能
みなさん親切ね、ありがとう
回線は、両方ともNTT西日本 光ネクスト隼です
V6オプション(IPv6)を使っています
ipsecならRTX810側の性能限界ですね
IPIPでも同じスループットなので回線の帯域制限かと思った
RTX1210しかやったこと無いから知らなかった
メインルーターにRTX1200
L3としてRTX1200の二台構成によくするんだけど、
これって無駄?
素直にBUFFALOのL3でも使った方がいいのかな。
営業がそれを提案したら殴ろうと決めて、辞表を持ち歩いてる
使い方としてはありだと思うけど、俺はL3のスイッチが必要な時は
客の事を考えてHPを使うようにしてる
牛のスイッチは悪い評価しか聞かないからやめた方がいいんじゃない
使ってみよう…なんて気はさらさら起きないけど。
総合的な処理能力考えて間に合うならRTX1200も十分ありでしょ
牛使うならネットギア使うな
ネットギア高くね?
ttp://www.netgear.jp/products/details/M5300-28GF3.html 定価58万・・・3掛けくらいで入ってくるの?
アライドのL3が20万以下で入ってくるんだから、それでいいじゃん
コマンドもciscoライクに変更されてるから、新人君でも取っつきやすくなったし
えっち・・・ぴー・・・
まぁ人それぞれだもんな
信者uzeeeeeeeeeeeeee!!!
が、ARPテーブルのバッファが極端に浅いので、
サブネット越えが普通にある環境ではARP溢れですぐお亡くなりになる
L3いれるような案件でアライドクラスのお金出せないってのは、私的にはあり得ないけどな。
牛印L3 SWでOKな案件なら
ルーターでもいいじゃん
て気がする
ステートフルなコンフィグの書き方覚えるとめんどくさくて仕方ない。
でもヤマハを使いたい
やって出来ないことは無いけど
一年後に追加・変更の依頼が来たとするじゃん?
自分で書いたんだけど、忘れてるだろ?
それを読み解くことから始めるんだぜ・・・
苦行にもほどがある
何かしようと思って設定する度に、必ず何かしらの行が足りなくて繋がらない。
ipsecとかね。
であってる?
実はL2インテリで問題ないとか?
SG300やM4100ならそんなに高くないと思うが…
WS-C2960S-F24TS-S 標準価格\194,000
もうちょっと何とかならないの?
その値段で買う価値があると思う人たちだけが買うものだから
それ2960のほうはFastEtherのモデルじゃないか
ttp://www.amazon.co.jp/gp/aw/d/B00E9TU22O/ 業販だと初期も保守ももっと安いけど。
2960Gならいつも出てる。
cisco好きな人はこちらへ
Ciscoのスレッド 0/9
ttp://hayabusa6.2ch.net/test/read.cgi/network/1383801715/
SWX2300-24G 175,000円
CentreCOM GS916M V2 129,800円
バッファロー BS-G2116M 53800円
netgear GS716T 36,000円
タスキでもかけておいたほうがいいよ
悩みに悩んで、ふと机の下を見ると
誰かが勝手に追加したバッファロー無線ルータが
CentreCOM GS924M V2 はオークションでねらい目。
ttp://page17.auctions.yahoo.co.jp/jp/auction/v409953807 現行機種なのに1万出せば買える。
安けりゃ4000円で買える。
俺は平均5000円で6台買ったからもう教えてあげてもいい。
そんなバカな、5000円前後なんて、初代無印GS924Mじゃろ、
お主、だまされておるぞ。
…と思ったら、ほんまにV2じゃった。
俺も驚いたよ
バッキャローのただのギガビット8ポートハブと変わらない値段なのだから
ファンつきだがC2960Sと比べてむちゃくちゃ静かだし、全部まともに動いた
Ciscoライクになるらしいな
ttp://jp.yamaha.com/news_release/2015/pdf/1506030101.pdf >デファクトスタンダードのコマンド体系に準拠、どのような環境でも戸惑うことなく設定が可能(SWX2300)
これのことな。
そのままルータとかも全部Ciscoっぽくしちゃえ
設定は流し込みがデフォだったり
初めて触ったときには異世界 というか原始的な感じで頭わりぃって思った(つか思ってる)わ。
2816を3個で6000円つーのを買ったことがある。
ファンレスなんで自宅で重宝してる。
いまどきの新モデルだすなら、netconf/restconfあたりに対応してほしいけど
cisco っぽくしちゃうと、既存のRTXユーザーが混乱するだろ。
ルータは今後も独自路線なんじゃないだろうか
動かす前に見直しだけど一から作るよりは楽だった
なにそれこわい
勝手に、dhcpサーバをしていたと。
MS download centerから持ってこい、とのお話が
auが無償貸与してるキューブ型のやつがタチ悪かった
二重ルータになってるだけならいいものを、DHCPサーバになって無効なアドレスを勝手に振りまいたり、
時々気を利かせてるのかブリッジ判定して配布停止したり
特定に苦労したわ
ブリッジ設定しても撒いちゃうし…
シネプラネックス
とても脆弱だなあ。
会場で提供するなら、それは無線クライアント間通信(一般的な名称が分からん)を拒否してなかった設営側のミスでしょう。
野良 DHCP サーバは、まれによくある。
あれ、設置した本人に悪意が無かったとしても結果的にはテロ行為そのものだよな〜
お客が無線ルーターのLAN側とWAN側逆につけて〜とかよくあるからな。。。
無線で提供するのはひとつの手かもね。
もちろん、セパレーター機能で、クライアント間の通信はできないようにする。
有線も使いたければ、DD-WRT内蔵WIFI-LANアダプターを提供すればいい。
WLX302の場合ポートプロテクトすると今度はAP管理機能が使えなくなったりするのがなぁ。。。
APコントローラー発売しないんかね
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/relnote_14_01_09.html 結構、新機能をぶっこんできたな
全部読むのは明日にしよう
これだけ修正点が多いと、いますぐアップデートしようか少し迷うね。
当初PR-S300NE下にRTX1200繋げてましたがipv4 over ipv6 vpnで5Mbpsしか出ませんでした
解決案ありますか
そしたら、IPv6プレフィックスが揺れるってことは無いと思うけど
ひかり電話officeタイプをPBXに直収してるから、環境違ってわからんなぁ
当初は300NE HGW下にRTX1200で今はONU下にRTX1200とHGWで2-3時間ごとに接続と切断を繰り返してます
ちなみに別環境のPR-500KI下のRTX1210だと80Mbpsでたので及第点です
ONU直なら160Mbpsでるのですがね
DHCPv6のrenewが2hおきなので奪い合ってたりしてない?
DHCPv6使うにしてもRAで動かすにしてもHGW配下のが安定するんじゃないかな。
素直にHGW下に繋ぐようにして速度が出ないHGWを
交換する方向で対処しようと思います
ONUのカバー開けてRTXと直結しても遅い?
直結は速いです
ひかり電話無し ONU ---- RTX とても速い
ひかり電話オフイス ONU --- VG ---- RTX 速い
ひかり電話オフィスA ONU --- VG ---- RTX 遅い
ひかり電話 ONU --- HGW ---- RTX 遅い
1)IPoEで IPv6 NGN接続(NGN網内で VPN構成)
2)PPPoEで プロバイダ IPv6接続
それぞれは接続できます。
しかし NGN接続の状態で追加で PPPoE接続すると、
NGNが見えなくなってしまいます。
経路表を書けばイケソな気がするんですが、
どっかにお手本ないでしょうか?
ttp://lab.mitty.jp/trac/lab/wiki/TipAndDoc/network/ipv6/NGN 経路情報サーバからNGN側にstatic向けるprefix取得して書き込むといいんでは?
YAMAHAはNPTv6対応してないのでPPPoE IPv6との併用オススメしないけど
これを他のDNSサーバにコピーする手段ってないでしょうか?
nslookupでサーバに対してls -d してみましたがサーバーによって拒否となりました。
台帳を作ってそこからそれぞれの設定ファイルを作る以外の方法ってありませんか?
光1回線に拠点2つ(固定IP)とVPN接続は可能でしょうか?
例えば
センター : 東京(固定IP)
LAN1 → 192.168.1.0/24(千葉用) : Tunnel1
LAN2 → PP1
LAN3 → 192.168.2.0/24(埼玉用) : Tunnel2
拠点1 : 千葉(固定IP)
LAN1 → 192.168.3.0/24 : Tunnel1
LAN2 → PP1
拠点2 : 埼玉(固定IP)
LAN1 → 192.168.4.0/24 : Tunnel1
LAN2 → PP1
拠点を1つにすれば、センターとVPN接続は出来るのです。
しかし、拠点を2つにし、センターとVPN接続するには、どうすればよいのでしょうか?
どうかよろしくお願い致します。
その「例えば」のセンターがよくないけど、可能ですよ!
このあたりを参考に頑張ってみてはとうでしょう?
ttp://jp.yamaha.com/products/network/solution/vpn/connect/ 即アドバイスありがとうございます。
このYAMAHAさんのサイトは私も参考にしています。
一番惜しいのは、
ttp://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-triadic_8-rtx1200/ このページなんですが…。
これだと、私のの例だと、
埼玉と千葉の落ち先が同じなんですよね…。
これを…何とか分けたい
pp1のnatを1と2で分けてみたんですが…。
上手くいかず…。
VPN接続先を相手先により振れる方法って…ないもんでしょうか?
埼玉からセンターへのパケットは192.168.1.0/24宛であってもLAN3へ流したいってこと?
Tunnel1とTunnel2はipsec ike remote addressの設定値が違うんだから同じじゃないでしょ
振り分けが上手くいってないのは設定が間違ってるから
そう、YAMAHA業務ルーターならね
レスありがとうございました。
正解でした。
エスパーですか?
ただいま帰宅…。
1対多(アグレッシブモード)構成しなければならないところを、
固定IPだからと1対1(メインモード)を2つ作成していたのが原因でした。
VPNのメインモードを2つ作成して、
それぞれのネットワークへ振り分けるような使い方を考えていたんですが…。
解決して頂いた先輩には
「出来るわけない!! 死ね!! ってか消えろよ!!
お前を下に持った俺は世界一不幸だわ…。
4月から既に3ヶ月経とうとしてんのに…お前ホント使えねぇのな!?
俺が入社3ヶ月ぐらいの時には現場いくつも成功させてたぞ!!」
と、有難いお言葉を頂戴しました。
本日は…疲れました。
スレ汚し申し訳ございませんでした。
お休みなさい
結局
ttp://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-triadic_8-rtx1200/ って事か?
むちゃくちゃされる。ほかの事なんて考えてくれるはずがない。
すべて自分でやるしかない昨今
(´・ω・`)わかってあげられなくてごめんよ。
馬鹿な業者を取り扱う能力がないのも問題だよ
丸投げする方がどうかしている
場合によっては馬鹿な上層部が独断専行してすべて決まってから現場に降りてくる場合もあるんだよ
俺もさすがにRTX1200納品する業者がバッファローやAtermぐらいしか設定できないなんて思わねえよ
みたいな感じでヤマハかって言うのがいい
ttp://jp.yamaha.com/products/network/solution/flets/terminal/flets_terminal-multiple_network/ 上記を参考にして行いました。
その後、センター側にPPTPでリモート接続したのですが、リモートから拠点側のWindowsの共有フォルダが見れません。
でも同じ拠点側のバッファロNASの共有フォルダは見る事ができます。
センター側も拠点側もLAN1にフィルタは設定してないのですが、他に確認するところはあるでしょうか?
windowsファイヤウォールとか
業者選定の段階で明らかにミスだろ。。。
ネットワークの設定なんかの業務やってるけど、ほかの業者みてると適当なやつらはほんと適当だからなぁ。
電気屋上がりのネットワーク業者なんかはつながればいいんでしょ?とかいって適当な配線しやがる。
(´・ω・`)ルーターにping通る?
通るなら、こんどはサーバーに。
proxyarpがoffになってるとだめな模様。
それか、anonymousのipアドレス設定ミスってるとか。。。
あとはファイヤーウォールやな。
サーバ以外のWindowsは、pingもsmbもファイヤウォールの初期値が同じネットワークアドレスしか許可してなかったような。
機器設置前に設計図書提出するように求めれば良いだけだと思うのだが
基本設計書も無しで進めて、後から文句いう発注者にも問題があると考える
まー機器代込みで5万で済むような発想でいるとこが多いししょうがない
ルーターやNASにはpingが通るけどwindowsには通りません
同じ機器でインターネットVPNの拠点間接続してた時は問題なく見れてたので
ルーターの設定だとは思うのですが。
みなさんありがとうございました。
指摘頂いた箇所を見直してみます。
本当に同じ機器なの?
またWindowsがパブリックネットワークになってるオチじゃ?
試しにWindowsFW切ってみ
こういうのは一個一個潰して確定してくしかないぞ
サーバのゲートウェイアドレス間違ってたりな
の環境でのようなミスを犯してないかのチェックしろって意味
標準状態やとWindowsはローカルでサブネットさえ合ってればpingは返ってくるんじゃなかったかな。
サードパーティーのFWが入ってれば大抵は応答しないけど。
発音はどう違ってくるのか?
ecoh エコー
echo えちょ
リコー
サ「サンプル通りですか?」
俺「PPPoEは環境ないから固定ip入れてルーター直結した」
サ「PPPoEがないと繋がりません」
俺「・・・」
俺「おたくの製品はローカルルーターとして使えないのか?」
サ「PPPoEがないと繋がりません」
俺「いいから、ログは?」
サ「デバックモードでとれますが、みても解りません」
最近のサポートこんなもの?
固定IPなのにPPPoEじゃないって、CATVとかですか
テストだからルーター直結
直結とさっきも書いたと思うが・・
サポートもそういう思いだったのかな?
それかGUIでは出来ないから駄目と言ったのか?
さっぱりわからない
マニュアル見れば分かるんじゃ
えっと上位がルータなのか?
直結してるならキャプチャすれば?サポートダメって思いながら言い分鵜呑みにしてる意味がわからん。
わかったよ
既に解決済みだし
サポートがらみで書いただけだよ
鵜呑みにもしてないし
自分でやろうと思って電話は終えた
直結って表現まちがいか?
どう言えば正しく伝わるんだろう
それよりもauひかりのHGW経由の拠点なんかが、NetvolanteDNSが使えなくて不便
営業戦略なのかも知れないが対応してもらいたいところ・・・
俺も嘘だと思いたいよ
質が落ちすぎだよとは思いつつ
サンプルがPPPoE前提だったから、新人にでも当たったかな
ヤマハはそういうのないんだよなあ・・
というか、サンプルについて質問したからじゃないの??
ttp://www.interlink.or.jp/あたりで2アカウント発行して検証してみればいいんじゃね? PPPoeサーバになれる装置ぐらい自前で用意したらどうだろう
繋がりませんって返ってくるのは当然だと思うが
直結で固定ipにしたと書いたが
サポートと同じ臭いがし始めた
途中で送ってしまった
最初に聞いたのは、どこで駄目になっているか?の探り方を聞いたとも書いたはず
他人に状況説明するのがかなり下手な人に思える
サポートの人も大変だな
足元の話じゃないか
うーん
どこらへんがそうかな?
説明不足ある?
誤解を与えること言ってる?
「直結」がここまで通じないとは思わなかったけど
グチをグチで終わらせず、色々突っ込んでくれた皆ありがとう
でも、どうせ突っ込むなら最初の質問「どこでエラーになっているか見つける方法」で欲しかったな
どこのサンプル参考にしたのかが気になったんだが
ピント外れの回答しか来ない場合は自分の質問の仕方を疑った方が良いぜ?
新聞にそのような金を払う価値はない
ただでさえ要らない
なぜなら新聞は国民の方を向いておらず、広告主のための報道しかしないからだ
それに金を払って購読することは自らの首を絞める自殺行為に等しい
質問あったか?と思ったがその指摘って笑うところか?
コマンド書いてくれるお人好しばかりのスレなんだからさ
ipsec auto refresh on
を書き忘れてたとか
ログの取り方わからないから自称プロの素人だと思われたんじゃね?
まぁ担当が悪かったんだろうが電話で説明する側と応答する側の会話スキルがなかったんだろう
サポに対してだろう?
ローカルルーターとしてもつかえるで。
WAN側にするインターフェースを上位ルーターのネットワークに設定すればいける。あとは専用線接続の応用だな。
VPNのどのフェーズまで進んでエラーになったか?ってログにでてたっけ?
たぶんわかってて聞いていると思うけど
出るよ
ただ、RT同士の接続ならデバックログみて解決できる情報は出てこない気がするけど
情報が一方通行だからどちらが悪いとか一概に言えないけど
サポの力量に不満があるならその場で上司呼べとかあとで苦情いれるとかした方がいい
このスレの住人ならサポに電話する人って少ないと思うから
サポの苦情言われてもわからんw
で、結局何が悪かったのか書かないのは
ケアレスミスなんかね
君が不自由なだけじゃね?
dhcp scope 2 10.10.1.100-10.10.1.254/16 gateway 10.10.0.1
DHCPスコープを2つ作っているのですが
この2つに別々にDNSサーバーを割り当てるには
どうすればいいでしょうか?
dhcp scope optionでできるのかなと思ったのですが
どうも違うようで・・・
RTX1000です。
www.rtpro.yamaha.co.jp/RT/manual/nvr500/dns/dns_server_select.html
親切で教えてるのかと思ったら、高等テクか〜w
初心者スレがあれば、そっちに誘導してやれるんだがねぇ〜
これでイケるだろう?
original-sender
[設定値] : DNS 問い合わせの送信元の IP アドレスの範囲
[初期値] : -
これは質問の趣旨と違う気がする
dhcp scope option 1 dns=10.0.1.1
dhcp scope option 2 dns=10.10.1.1
これじゃダメだった?
で、個人的に保存してたマニュアル1.03を確認してみた
幾つか出てるコマンドは対応になってるから、好きなの試して結果の報告をよろしく
ファイルをアップする予定はないので、ほしければメーカに問い合わせしてね
まぁ保守打ち切りだから買い換えて貰うんですが・・
?は慣れないなー
tabが身についてしまってる
気がするだけであってほしいw
動作温度上限が45度Cになったけど、実際もっと過酷なところでも動いてるよね
大作戦って?
温度上限って、仕様上の話だろ?屋内だと 45℃はギリで超えないんじゃないか?
エアコン無しの廊下に設置してると、sh envでの内部温度は、60℃超えたりするねぇ
周辺温度だから室温とは別だよ
内部+10℃で考えたりするから内部が55℃超えてると基準値を超えてる可能性が有るよ
密閉空間だと特にね
RTX3000と RTX3500を 1U空けて実装してるんだけど、内部温度は 3000の方が10℃近く高いんだわ
他が排出した熱をRTX3000が吸い込む位置にあったりすると1U開けても意味が無いかもしれん
吸気部分の温度が高いようだと、吸気・排気を見直したほうがいいかも
あとは年式的にファンが弱ってきてるとか
忙しいだけってのも考えられるが…
前吸気の後排気が基本なんで回り込みじゃない。
3000は、購入8年後にリコール対象で、ナント新品交換なんでファンも新品w
関係無いけど、臨時代替用でその辺に転がってたRTX1000でRTX1100のCONFIGそのまま投入したら、
AESがソフト処理だったの忘れててホントに臨時用VPNルータになったわ。
すぐ稟議通してくれてありがとうございました。
RTX1200の接続先の経路(PP, TUNNEL)がボトルネックになっています。
たぶん、500Mbpsから50Mbpsくらいに細くなる。
そこで、VOIPパケットなどを優先させて送出させたいです。
PPや、TUNNELの容量はベストエフォートのため時間帯によっても変わるので、
有効帯域を予め設定せずに優先制御したいです。
VOIPなどの優先させたいパケットは、あて先やソースアドレスで判別したいと思います。
以上の条件に合う優先制御って、RTX1200でもできるのでしょうか。
お願いします。
PPや、TUNNELにひっかけるだけで、それらが優先処理され制御できることなんですが。
Y
君がいくら優先度高く投げてもキャリアにremarkされて終わりじゃないの?
ボトルネックなので、特定のパケットは優先させたいんですが。
全帯域の設定は不可欠ってことなんでしょうか。
VoIPが途切れる原因を帯域不足だろうと判断しての相談だと思うけど
そもそもVoIPなんて、1chあたり精々0.1Mしか使わないぞ?
別の原因だと思うけどな
帯域幅より遅延のほうが影響あるし
ToSの設定かな?
たしかにそうなんですが、同時に大きいファイル転送が行われているとき、
帯域はぎりぎりまで消費されるので、VOIPなどを優先設定したいんです。
ソース、あて先アドレスで、優先パケットを定義して、
インターフェイスごとに優先制御設定をしたいんですが。
端末が非対応なんで、QoSのためのタグは使えないです。
ところで交換機なり、SIPサーバなりがわからないと
機種によって喋ってるプロトコル違うけど
は何を使ってるのよ
*です。
実は、まだ問題が生じているわけではないんですが、
のとおり、大量ファイル転送時に帯域圧迫の可能性は潜在しているので、
精神衛生上、帯域帯域制御を、RTX1200にやってもらいたいなと。
普通にできる
プロトコル、ポート単位でもできる
普通に例としてもある
ttp://www.rtpro.yamaha.co.jp/RT/docs/qos/priority.html#config LAN2側の送出速度を8Mbit/sとしSIP,RTP関連のパケットを優先させる
アスタリスクってSIPだけじゃないよね
IAX、H323、MGCPとかサポートしてるけど、どれを採用したのさ?
それがはっきりしないと、ここにいる口の悪い
無料のサポートスタッフ達も意見が言えないと思うよ
優先制御は、udpやソースやディスティネーションで行いたいと考えています。
例も載せていただき、ありがとうございます。
>speed lan2 10m 送出帯域を10Mbit/sに制限します
ただ、このように、やはり帯域を設定してあげないとだめなんですよね。
インターネットはベストエフォートなんで、予め帯域を固定するのにためらいがあります。
誤解があるかもしれませんが、これって、設定した帯域が上限にもなってしまいますか。
10Mbpsに設定したら、回線に余裕が生じていても、制限されるのなら、それもまた困るなあと。
優先制御だとなくてもOKだと思った
帯域制御だとどうだったかな?
なくても動作したような気がしたが。
帯域制御
ttp://jp.yamaha.com/products/network/solution/advanced/qos/bq/ ここを参考にすると、
クラスわけされたパケット種ごとに、上限帯域を設定するわけかあ。
優先制御と、帯域制御って、面白い関係になっているなあ。
ヤマハって、設定例ばかりなのかな。
わかりやすい概念は提供してくれないのかな。
自称わかりやすい概念がリファレンスに書いてあるよ
実際片手間にやってるような人には設定例がいっぱいあった方が助かるけどね。
>お仕置き部屋
?って?
めっちゃ帯域絞ったclassに移動させられる
それをお仕置き部屋という
Dynamic Traffic Controlのお仕置き部屋
面白そう!そうやって、名前をつけているんですね。
英語の技術サイトで、そんな名前を使ってそう。”お仕置き”だし。
尻たたき部屋と表現されているかもしれない。
ところで、Dynamic Traffic Controlって、ヤマハ独自の概念?
それとも、そのほかのルーターでも実装されているんだろうか。
Linuxのiptablesには聞いたことないなあ。
最近、暑いです。
筐体内温度(℃): 47
これって、大丈夫?
カタログスペック上は、
> 周囲温度 0℃〜40℃
周囲だ40℃まであがったら、内部50℃超えるだろ。
筐体内が47℃ぐらい、どうってことないんじゃない?
マザーボードに、硬いソリッドコンデンサが使われていたけど、
めりめりと羽化したあとだったんだが。
固体コンデンサなら大丈夫というのも神話だろうか。
実は中身は液コンってやつじゃないの?
どの部品も高温で寿命が縮む傾向にあるのは確かだけど
液コンの場合、10℃あがるたびに寿命1/2、20℃アップで 1/4 だぜ?
それに比べたら他のOSコンの劣化なんて知れてる
そんなフェイクってあるのか?
チュウゴク製?
液コンなんて、予め屋根に切れ込みいれているものね。
爆発防止でしょ?
でもこれに限れば、破裂したやつは見たことがないんだな。
あれって、生きているんだろうか。生きているふりをしているんだろうか。
普通にあるよ
まあ、切り込み入ってるしわかりやすいが
防止じゃなくて、爆発するときは、あそこが割れるようにため
いわゆる爆破弁 wwww
爆発防止の為の防爆弁なんだから、あってるだろw
爆破弁は、爆破で、弁を開けるもんだ。
コンデンサーの切り込みは防発弁で液体が沸騰した時に内圧で
裂ける仕組み
液コンって、沸騰の可能性があるの?
定格内でつかっていてもどうしてそうなるんだろう。
ちょびっとでも裂けたら、内圧がさがって、一気に気化して破裂が進みそうだな。
スプレー缶も、裂け目入れたら、爆発する?
そこは、最後の良心が残されているのか
板違いだけど コンデンサーの沸騰はよくある話
電気が流れると必ず熱は発生するから 各 素子の置き方で排熱が悪いと
液体である為に沸騰する
自作PCとかするとコンデンサーの妊娠てよくある(炸裂の前兆)
国内の素子は優秀だけど間違った使い方とか量産時に肉眼で
分からない傷があるとそこから裂ける場合もある
スプレー缶は分からない
ふーん、なるほど。
じゃあ、ソリッドコンデンサは、液体以前の固体状態ということなのだろうから、
よほどの熱が与えられなければ、沸騰しないってことかな。
セラミックコンデンサーとかは沸騰はしないが素子は
品質と温度ドリフトと寿命があるから一概に言えない
電気を流す 温度が上がると抵抗値は増え劣化が早くなる
そろそろ、スレチが気になってきたけど、
セラミック(固体コンデンサ?)で、よく電解コンデンサの代わりができるものだなあ。
あんな石ころで電荷ってそんなにためられるものなの?
ttp://internet.watch.impress.co.jp/docs/news/20150714_711526.html スマートメーターと無線接続して電力使用量を取得できるUSBドングル、NTT東が5000円で販売開始
HGWって、多機能化しているよね。
たとえば、オンデマンドで必要なソフトウェアを網側からダウンロードしてきて、
v6プラス機能の末端動作が可能になっている。
今回の、このHGWに接続する専用ドングルはいったいHGWに対してどういう役割を担うんだろうね。
HGWにアプリを注入して、そのアプリからドングルの無線機能へアクセスさせるようなことだろうか。
そしてそのアプリは網側に対してなんらかのインターフェイスを提供するんだろうか。
ルーターも多機能化したよね。
そういえば、RTX1200もプログラマブルになったしなあ。ぜんぜん、使っていないけど。
要の機器だけに、ブラックボックス化することだけは精神衛生上よろしくないわ。
OSコンは普通に大きいよ
↓こんな風
ttp://akizukidenshi.com/catalog/c/ccap11/ うん、1000μFで、1cm^3くらいかな。
マザーボードにもそのくらいの乗っているよね。
ふーん、アルミなどを含んだポリマーなのね。
フレッツ光ネクストでIPv4 ocer IPv6 IPSecトンネルで繋いでいるのだが、4月か5月?くらいから
拠点間の速度が12〜15Mbpsしかでなくなった。
3月くらいまでは、センターRTX1210、拠点RTX1200, RTX1100で90Mbpsくらい余裕で出ていた
ので、NTTが何らかの対応したと思う。(フレッツVPNワイドやプライオ売れなくなるからか?!)
とあるBlogで検証してくれていて、IPSecトンネルだと速度でなくて、IP-IPトンネルでは90Mbps
速度出るようだ。(コメントできないので、この場を借りてお礼。→no Blog)
個人的にすっきりしたので、記念パピコ
なにか転送速度の急降下が生じていなかった??
DDoS攻撃って、rtx1200ではどういう感じで検出可能ですか。
簡単にログにアラート表示&メールで通知でもしてくれればいいんだけどなあ。
接続/切断が繰り返される拠点が出た
ネクスト+Plala+IPSec
これまでずっと無切断だったのに・・・
未明1時すぎからは
IPSec再接続の頻度が明らかに増した
今朝8時過ぎ以降はPPの再切断も頻発してる
なんか起きてるのか
ocnの拠点は速度も安定しないし、よく切れてる。
順次別のところに入れ替えてる。
使い物にならんよ
うちはOCNではないが、フレッツネクスト(西)のPPPoEによる接続で、
いつもよりもかなりの遅延(PING測定値の上昇)が生じた。
OCNが駄目なら、別のISPも同じように駄目になる理由ってあるだろうか。
設備の共用、すなわち、ネクスト網で問題が生じたんだろうか。
ほんと、午前中は特に遅くて困ったわ。
VOIPなのでファックスの受信でも問題が生じたよ。
VOIPクライアントからSIPサーバへの再接続も何度も生じていた。
今まで大丈夫だったのに、なんでなんだろう。
ファックスは負の遺産【全廃まで継続】
地域によってはNTTの輻輳っていう場合もある。
故障担当に連絡して聞くと混雑状況とかISPとの接続状況なんかを教えてくれるよ。
たまに頑固なやつもいて、全く輻輳を認めないこともあるけど。
