YAMAHA業務向けルーター運用構築スレッドPart22
レス数が950を超えています。1000を超えると書き込みができなくなります。
>>850
筐体はRTX1210でPPPoE IPv4です。 >>852
ループバックNAT=ヘアピンNATて解釈してたけど別?
ヘアピンNATは公式でサポートしていないって書いてあって出来ないと思ってたけど。
https://echo.createdb.net/20160925.html
>>ppp ipcp ipaddress on
調べてみたら確かに出来るっぽい。。。
現config見てみると共通する箇所は上記コマンドしかないですが当たっています? >>854
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html#port_assign_policy
「なおヤマハルーターでは、一般的に「ヘアピンNAT」と呼ばれる機能には対応しておりません。 」
と書いてあったもんで出来ないと思ってたです。
基本的に特別な設定しなくてもヘアピンNATは動作するとなるほどありがとうです。
たしかにコレDNS細工が良いかもですね不注意な設定で外部からルータロのグイン画面が表示されたりしそう。。 ヘアピンNATってよく分からないのだけど
ルーターが折り返さずにプロバイダに送ったら
プロバイダが折り返してきてそのままポート転送されて宅内サーバーに行けば
ヘアピンNATと同じように見えるだけじゃないか? >>858
その処理ができないルーターが存在するって話 自分自身のIPに送ってるのにプロバイダに送るとかルーティングとしてはおかしいだろ 自宅鯖に、自宅NW配下から、WANからのアクセスのていで繋ぎたいってときぐらい?
ローカルでつなぐか、スマートフォンでテザリングすればいいんだがめんどうではある よくわかってないけどRTXってインターフェース間の通信に割と制約があるような気がする 850です。
今日V6プラスの開通工事が終わり公式のDHCPv6-PD設定で色々遊んでいたら、
今度はヘアピンNATが出来ない状態になってましてこれはV6プラスの仕様なんですかね。
NATPで外部解放は出来ていて自分だけがGIPでアクセス出来ない状態ですー。 ルータの基本的なところ理解してない奴が混じってるぞ >>866
ヤマハのNAT周りの実装がそうなっているというだけであって、別にv6プラスの仕様というわけではないだろう
>>853のURLのやり方で行こうとすると、
ppp ipcp ipaddress on
の方は、v6プラスではIPCPなんて使ってないから無理だとして
ip pp address 10.0.0.1/32
は、ひょっとするとppをtunnelに置き換えれば行けるのかもしれない(試してみてはいないが) show ip route の出力結果を見て、
割り当てられたIPv4アドレスに対するimplicitと記載されている経路が
@ある場合はヘアピンNAT的な動作はできない。
Aない場合はヘアピンNAT的な動作が可能な場合がある。
@はpppoeを使う場合なんかで、ppp ipcp ipaddress on と設定してIPCPでIPアドレスを受け取って、
それをnat descriptor のouter address に使用する場合があてはまる。
Aはpppoeを使う場合にip pp address コマンドでIPv4アドレスを固定する場合、
またはPPPoEを使わない場合があてはまる(CATVとか)
v6プラスの場合はBRの振る舞いに左右される。
無理だったなら無理なのだと思う。
ip tunnel address を指定するのは上記のAに相当するから、たぶんできないかな >>868
>>ひょっとするとppをtunnelに置き換えれば行けるのかもしれない
↑こちらは既に試しましたがだめでしたね。
>>869
default - TUNNEL[1] static
@の方法で試させてもらいました。
implicitではないので行けると思い試してみましたが、
私の設定方法が何か間違っているのかポート範囲も一緒に書き換わってしまうのでこれもだめでした。。
なんとか実現してみたかったですが、技術的に出来ないものは出来ないのだと諦めます。
むしろ出来ない理由がわかっただけでもすごく助かりました。
色々と教えて頂きありがとうございましたー。 >>871
ポート範囲はmap-eトンネルを使うと自動計算されてしまうけど、
正しいポート範囲をあらかじめ知ってるなら、ipipトンネルを使ってポート範囲も自分で設定する手がある
たとえばこんなの
http://mevius.5ch.net/test/read.cgi/hard/1485617399/326
(画像にconfigが入ってる) RTX1210の静的レコードのIPv4DNSサーバー機能を使っています。
リカーシブ設定でそれ以外のレコードは上位のDNSサーバーに問い合わせるようにしています。
Linuxでdigコマンドをつかいましたが、エラーが出ます。
192.168.1.1はRTX1210のアドレスとします。
$ dig @192.168.1.1 www.example.com
WARNING: EDNS query returned status FORMERR - retry with '+noedns'
$ dig @192.168.1.1 www.example.com +noedns
;; ANSWER SECTION:
www.example.com. 1 IN A 192.168.12.13
静的レコード以外もだめです。
$ dig @192.168.1.1 google.com
さっきと同じエラー
$ dig @192.168.1.1 google.com +noedns
問題なし
+noedns がないため、RTX1210のDNS機能を使えない状態です。
解消するコマンドってあるでしょうか。 RT58iを使用しています。
OpenVPNサーバーをLAN内PCに設置しており、VPNクライアントからシャットダウン状態のPCに向けてPINGを送るとVPNが繋がらなくなります。
ネットワーク機器が存在していないIPアドレスを指定しても同様です。
ただ、スリープ状態のPCを指定しても問題ありません。
起動してあるPCを指定すると返ってきます。
これはどういった原因が考えられるでしょうか。 >>874
補足します。
この現象が起こるのはPINGの送信元がiPhoneのときです。
Windowsからでは問題ありません。 >>875
再度補足します。
Windowsからでも-w オプションを短く設定すると繋がらなくなりました。
正確には繋がらなくなるというよりは、接続速度がとてつもなく遅くなっているようです。 >>874
外からOpenVPNサーバーにsshで入れるようにして
サーバーがどうなってるかみてみては?
おそらくRTは関係ないと思うけど・・・ >>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます! >>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます! >>877
ありがとうございます。
試してみましたが、どのPCにもSSH接続できませんでした。
ルーターのSSHD configurationには何も設定していませんが、設定が必要なのでしょうか。 >>878
同じような事をしていた人ではなくて、当時はmap-eトンネルがまだなかったので
ipipトンネルで無理やりv6プラスを使おうとしてた人ですね >>877 >>880
OpenVPNサーバーにSSHサーバーを設定すればよかったんですね。
取り敢えず接続はできましたが、何を見ればいいのでしょうか。 教えてちゃんいい加減にしろよクソガキ
パケットキャプチャとるとかしてテメーで切り分けろや カリカリすな
知ってるなら教えたりーな
大人なんだから >>874
OpenVPNやめてSoftetherにでもしたら ここはお前の居場所じゃねえんだよ
会社で勝手に調べとけよとか言わねえだろ そんなんだからいつまでたっても無能なんだよ向上心無い無能カス YNOライセンス発注から納品まで遅すぎ
数日でキー発行しろよもう configが同一の2台のFWX120で、一方は端末にIPv6を払い出せるのですがもう一方は払い出せません。どういったことが考えられますかね…?
※2台のネットワークおよび回線は別です
※ファームウェアはRev.11.03.25です
関連する設定は以下です。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::3/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
※LAN2は問題なくIPv6グローバルアドレスを持っています >>890
Lan2にアドレスは持たせなくてよいはず。
Lan1だけじゃなくてv6の関係する部分は出したほうが良いと思うよ。 >>890
回線契約的にフレッツなら電話ありかどうかじゃね? >>892
LAN2からRAでプレフィックスがもらえてるようだから、
その線は薄いかと思うけど、回線とか物理構成とかも書かれてないしね。 モバイルPCからの接続
テレワークで速度低下中なので
もうちょっと速度上げたいのですが
Windows標準クライアントソフトだとIPComp使えないですよね?
レジストリいじるとかしても… IPCompなんて使っても速度なんて上がらんでルーターのCPU食うだけ
windowsPCで圧縮使いたいならソフトイーサー使った方がましだわ >>890
設定が全く同じならその二台を入れ替えて動作を見る。
> ipv6 lan1 address ra-prefix@lan2::3/64
::3/64って通るのか…? >>896
その部分だけなら問題ない。
もらったプレフィックスをもとに、末尾が3のv6アドレスをLAN1に設定するわけだから。 むしろ気になるのは
※LAN2は問題なくIPv6グローバルアドレスを持っています
って書いてあること
RAプロキシをやるならLAN2にアドレスを持っちゃダメ
LAN1だけにしないと 拠点間VPNの技術的な部分について教えて下さい...
拠点AB間で接続が確認されている環境があり、
拠点AのクライアントPCから拠点Bのサーバ(セグメントは別)までの経路を見ると、
1 <1 ms <1 ms <1 ms defaultgateway [192.168.200.1]
2 <1 ms <1 ms <1 ms server [192.168.100.10]
トレース完了
となります。
拠点間のインターネット空間を抜けているのに、ルーティングとしていきなりサーバに到達されるように見えるのはなぜですか? >>899
VPNが何か勉強してから質問しような。 >>899
VPNの終端が両拠点ともLAN側I/F >>899
ルート探索に使う技術が動作するレイヤより下のレイヤで二点間を接続したから。
まあ下のレイヤと言うのは正しくない表現だと思うが。 このスレでするような質問じゃなかろうし皆様お大変優しい方々で 大昔にRT140で初めてVPN組んでtracerouteした時を思い出した 回答して頂いた皆様ありがとうございます。
出直してきます。 >>907
曲解してまで否定せんでも。
見苦しい。 ip filter dynamic timer は、皆設定せずに(デフォルトのまま)使用してる?
ログ取ってみたら、動的フィルタがタイムアウトした後にも通信しようとして
Rejectになってるパケットがそれなりに見受けられた。
理由を探ってみたら、セッションがクライアントでCLOSE_WAITになった後、
サーバー側に最後のACKを返していない状態が、動的フィルタのタイムアウト
後まで続いてて、タイムアウト後ACKを返そうとして頑張ってるけど、ルータが
ひたすらRejectしている という状態。
どうも配下のWindowsPCのシャットダウンに時間がかかっているのはこれが理由な気がする。 >>908
曲解してるつもりない、むしろ他の解釈があるか?
VPN終端がWAN側かLAN側かと言えばlocal adressにどちら指定するか
どちらでも乗る側にとっては同じように見える それが曲解じゃないかな
少なくとも、質問に対する答えにはなっているし、言うようにWANとLANに分けるなら、クライアントをWAN側に接続するかな >>911
VPN終端がWANでもLANでも上から見たら同じなんだからそもそも答えになってない
クライアントをWAN側に接続ってのが解らないか
WAN側終端するのがシンプルな基本形で
LAN側終端するのはWAN側終端出来ないときにやるイレギュラーな面倒くさい話
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html RTX1210を使っているけど、これのみで複数からのVPNを受け入れるのは容量的に難しいし、
IKEv2か、IKEv1かは排他らしいので、StorngSWANを使うことにした。
そしてきょう、やっとIKEv2 (StrongSWAN --- Win10)がつながった。
pingもとんだ。
証明書関係がめんどうくさい。
クライアント認証のために証明書を使わない場合でも、
クライアントのWin10に、CAの証明書(オレオレ証明書)ってインストール必要ある?
このオレオレCAで、StrongSWANのサーバー証明書を作成している。 オレオレめんどくさいよ
Let'sEncryotを使えばいいよ。ググるといっぱい出てくる >>914
CA証明書のインストールが不要になるという点ででしょうか? 証明書使わないのに必要な理由が分からないぞ。
無くても繋がったでしょ? IKEv2でRADIUSを使わないやつのConfigサンプルをもらえませんか? >>913
ホスト側の証明書の確認で要るっしょ。
right(left)auth=pskにしているなら要らんけど。 Let'sEncryptだとクライアント側での証明書関連作業がない。
rightauth=eap-mschapv2
EAP-MSCHAP2をつかってOS標準機能でいける。 Yamahaから脱線しかかっているけど、IPSecでのLtes's Encrypt証明書の利用は好ましく無いんでないかな。 まあ個人利用だし・・・
いろいろ検討すろと、最終的にL2TP/IPsec機能でええやんとなりそうな
vRXとかでやってみてほしいな まぁ確かに個人利用なら好きにしてくれだな。蛇足でした。
ちなみに発言の意図としては、証明書のフラグでikeintermedicateとやらがなくてもWin10なら繋がるはずらしいんだけども、過去にそこでなんかトラブった記憶があるってだけで。
とりあえずつながればええんでないってことでほんと蛇足脱線申し訳ない。 ヤマハVPNクライアントは金出すんだから
暗号化のGPU使用とか
設定のグループポリシー対応とか
OS標準に比べて圧倒的に高速通信とか
そんくらいのことできるよね? インターネットブレイクアウトができるVPNクライアントって他にあるの? この手のをインターネットブレイクアウトと言うのは初めて聞いた
スプリットトンネルならありふれてる Windows標準でVPN側をデフォルトゲートウェイにしないのと何が違うの? >>927
結局その設定をやってくれるということなんだと思うが、それがミソ。 こんなもん使ってリモートワークするなんて、個人と零細かシステム管理者しかいないんだから、無料解放しろよと。
Synologyのルーター用は無料解放したみたいで、取得すると永年の様だ。あちらはSSLにも対応… シス管だったら、頼らなくても自分でどうにかすると思う。 VPNクライアントソフトは現状の有料でサポート付きがいい
出来るやつは自分でどうにかするだろうから・・・
下手にVPNクライアントソフト無料化してRTX本体が高額になるよりいいわ OS標準に比べて速度早くなったりしないの?
体験版あるなら比べてみたいけど >>928
逆ってどこらが?
トンネル流すのとそのまま垂れ流すのを仕訳るんだろ?
マニュアルも更新なくリリースノートの一行を読むに
特定のをブレイクアウトさせるのでなくて
全部トンネルor社内向けのみトンネルの融通効かない選択くさい >933
VPNクライアントソフトウェア「YMS-VPN8」(お試し版/製品版共通)
ttps://network.yamaha.com/support/download/utility/vpn_client8 >>931
全部ベンダー丸投げの総務や経理との兼任なんて珍しくない。 ブレイクアウトって言ったら
WindowsUpdateやらOffice365やらプライベートクラウドなど限られた重い通信だけ直接インターネット接続させるのが一般的じゃないの?
なんの通信を通す通さないを集中管理できるなら興味はあるかな
一台ずつ設定ってことならコマンドでいいよね 警告履歴 送信すべて確認済 送信すべて削除
日時 ガジェット名 障害内容 確認
2020/05/20 10:45:33 トラフィック情報(LAN) LANのトラフィックが800[Mbps]を超えています。(LAN1 [OUT]) 送信
2020/05/20 10:43:51 トラフィック情報(LAN) LANのトラフィックが800[Mbps]を超えています。(LAN1 [OUT]) 送信
2020/05/20 10:43:45 トラフィック情報(LAN) LANのトラフィックが800[Mbps]を超えています。(LAN1 [OUT])
ダウンロードをしているのに
OUTの速度が速いってどういうことですか?
ひそかにエロ動画が流出してしまっていますか? >>940
WAN側とLAN側をどの端子に定義しているかによる。 ありがと
ダッシュボードのトラフィック情報で WANをも表示させたら IN の速度と
LANのOUTの速度が同じだった
ルーターから見たときの IN と OUT なのね RTX810というルータについて、どなたかご存じの方がおられましたら教えていただきたいのですが。
第一興商の業務用カラオケ機のブロードバンド接続機器として、RTX810MBというルータがあるのですが、これはRTX810のOEM製品ということになっております。
通常の、RTX810を購入して、設定を適切に行えば、RTX810MBと同様に、カラオケ機に接続できるものなのでしょうか?
ネットで見ると、RTX810MBは設定画面なども第一興商用に変えられているようなのですが。
たとえば、MBの方から設定をUSBなどで吸い出して、通常品に書き込むというようなことで、使用できるようになるのか知りたいです。
ヒントだけでも教えていただければと思います。よろしくお願いします。 昔触ったことあるけど、だいたい一緒だから設定を吸い出して入れられれば行けるようだけど、
FWが違うようだから別物と考えるのが正当かと。
FWも吸い出してRTX810に書き込んだ場合もなおさらわからんですね。
ただ、NW機器としては一緒なので理論上は設定を読み替えたりすればいけるんでは?
という推測でしかないですね。
全てにおいてメーカーサポート外の操作な上に第一興商の専用ルーターとして提供されている以上、
一般流通していないモノの話なので試すなら自己責任で。
それか、第一興商に聞いてみましょう。 早速のご丁寧な返答ありがとうございます。
パスワードなどが設定されてる場合もありそうだし、設定吸出しができるかどうかもやってみないと分かりませんよね。
レンタルとかでもし810MBを触れるチャンスがあったら慎重に吸出しにチャレンジしてみます。
ちなみに第一興商側の人に聞いたら、MBなどの専用ルーターでないとカラオケ機には接続できない、とのことでした。
RTX810MBを初期化してRTX810として使えた、という情報をちらほら見かけるので、逆もできるのかなと思ってお聞きした次第ですm(_ _)m >>946
それ、禁止事項を破りますと宣言しているのと同義なんだが、気付いてないのだろうな。
とりあえずやめておけ。 契約中のレンタル品で試して、もし出来たら嬉々としてどっかにやり方投稿しかねない御仁にみえるね。 その場合アドバイスした奴らは幇助罪に問われるだろうな >>916
おれおれCA(StrongSWANサーバーの証明書にサインしている)の自己証明書が、
Win10クライアントにあらかじめ入れられている必要があるみたい。
eap-mschapでクライアント認証するようにしていても、CA証明書がない場合にIKEv2で接続できなかった。
CA証明書単独をWin10クライアントに放り込むテストはまだやっていないが、
CAでサインしたクライアント証明書(ただし認証には使っていない。前述)をインストールしておいたら、
すんなりつながった。
これについて今後、検証して見る予定。 レス数が950を超えています。1000を超えると書き込みができなくなります。