NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net

**anonymous 転載ダメ©2ch.net** · 2015/07/24(金) 15:36:48.24

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
　http://www.nec.co.jp/ixseries/ix2k3k/

関連スレ
・宅鯖に最適なルータは？ @ ウィキ
　http://www39.atwiki.jp/takurouter/
・ＮＥＣ系装置勉強会(MM-Node,IP45,ATOMIS　etc)
　http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは？　4セッション目　(dat落ち、次スレなし)
　http://pc11.2ch.net/test/read.cgi/mysv/1199977508/

前スレ：NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/

**anonymous** · 2015/07/24(金) 15:40:20.82

過去ログ：NEC UNIVERGE IX2000/IX3000 運用構築スレ PartX
Part7　http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/　(前スレ)
Part6　http://engawa.2ch.net/test/read.cgi/network/1295357676/
Part5　http://hibari.2ch.net/test/read.cgi/network/1269162000/
Part4　http://pc11.2ch.net/test/read.cgi/network/1251854487/
Part3　http://pc11.2ch.net/test/read.cgi/network/1236219623/
NEC業務向けIX2ｋ3ｋﾙｰﾀ運用構築スレPart2　http://pc11.2ch.net/test/read.cgi/network/1214648768/
NEC業務向けIX2k3kﾙｰﾀ運用構築スレPart1　http://pc11.2ch.net/test/read.cgi/network/1199669963/

●Q&Aなど
Q1. ファームウェアはどこで手に入りますか
A1. 機器を購入した販売代理店を経由してNECへ申請書を提出し、入手してください
　例：NTT-Xの場合、購入後に誓約書手続きで入手可能になる
　http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/918

Q2. オークションなどで売られている機器のファームを・・・
A2. 購入元(出品者)と相談してください。(個人出品なら望み薄)

Q3. コンソール接続する際に必要な機材はある？
A3. 自作する以外では、Cisco用のRJ-45 to DB-9 メス（型番：72-3383-01）で接続します
　例：USBシリアル(RS232)変換器と組合わせる等 ttp://akizukidenshi.com/catalog/g/gM-08343/
　なお、USBシリアルでもシリアル側が5Vや3.3V系のものは使えません。RS232レベルのもの限定

Q4. ファームのバージョンって？
A4. ファームウェアの版表記です。例： 8.2.19 のように記されます。表記はXX.YY.ZZで
　暫定的に、XXをメジャーバージョン、YYをマイナーバージョン、ZZをリビジョンと呼んでます

**anonymous** · 2015/07/24(金) 15:42:01.47

Q5. ファームのアップデートに必要なものは何ですか
A5. ブートストラップファイル（****.rap）となっているファイルが必要です
　　マイナーバージョンまで一致していればldcファイルでも一応更新可能ですが

Q6. 同一型の機器からファームを取り出せますか？
A6. rapファイルの取り出しが行えないため不可能です

Q7. ファームのバージョンダウンは可能ですか？
A7. 可能ですが、この場合もrapファイルでの更新を推奨されています

Q8. IX2015バックアップリチウム電池が心配だけど
A8. 通常使用で電池を交換するようなへぼ設計はしてません
　電池はメイン基板の黄色い大きな箱の M4T28-BR12SH1
　ttp://xeons.blog35.fc2.com/blog-entry-211.html
　http://search.digikey.com/scripts/DkSearch/dksus.dll?vendor=0&;keywords=M4T28-BR12SH1
　http://jp.rs-online.com/web/search/searchBrowseAction.html?method=getProduct&;R=1891239

おまけ：この記事は脆弱性レポート（JVNVU#91445763）の話題だが
各機種ごとのファームウェア供給状況も細かく示されている
http://jpn.nec.com/univerge/ix/Support/CERT/JVNVU91445763.html

**anonymous** · 2015/07/24(金) 15:46:42.56

★IPv6のこと
設定ガイド集：フレッツ光ネクスト向け IPv6インターネット接続設定ガイド(IPv6 IPoE)
　ttp://www.nec.co.jp/ixseries/ix2k3k/Support/ipv6/native/ipv6-internet_dh.html
> > 本方式でのインターネット接続は、ver8.8以降のソフトウェアでの対応になります。
> > その為、ver8.8以前のソフトウェアを利用されている方は、バージョンアップをおこなってください。

> フレッツ光ネクスト向け IPv6インターネット接続設定ガイド（IPv6 IPoE）
> http://www.nec.co.jp/ixseries/ix2k3k/Support/ipv6/native/ipv6-internet_dh.html
> ひかり電話を契約している必要がある旨の注意書きが抜けているね。

> http://www.nec.co.jp/ixseries/ix2k3k/Support/ipv6/native/ipv6-vpn_d.html
> > ひかり電話を契約していない。⇒RA(Router Advertisement)を使用してIPv6プレフィックスを取得します。
> > ひかり電話を契約している。　⇒DHCPv6-PDでIPv6プレフィックスを取得します。

ファーム更新が終了した機種のユーザは
:::::::::::::::::::::::::::::::: : :: :: : ::: : :
:::::::::::::::::: : : :
:::::: ::: : : :
::::: : : :: : ∧＿∧
: : : : : 　.(´･ω･`)ｼｮﾎﾞｰﾝ
＿＿＿ｌ⌒i⌒⊂）＿__
　　　／ ⌒'⌒　　　／
＿_／＿＿＿＿＿／||
＿|||＿＿＿＿＿||／||
　 |||　　しし　 .|| 　||

IXの中古でファームウェア入手が気がかりなら、新品買ってファームのダウンロード登録ユーザになるか
諦めてYAMAHAの中古ルータを選ぼう

以上だよ

**anonymous@**i218-224-181-16.s02.a029.ap.plala.or.jp · 2015/07/29(水) 01:00:01.24

このスレの達人の方々、どうかご教授下さい。

andoroidスマホ--ocn mobile one(格安sim)--(動的IP)IX2215--PC(192.168.100.1/24)

上記の構成で、外部からのvpn接続を検討していますがスマホ側から全く繋がりません。
ドコモspmodeシム+iphone5sでも試してみましたが、それでも繋がりません。
show loggingでもその接続ログさえ出て来ません。
IXの動的IPの部分は都度グロ－バルIP確認の上でVPN接続を試みています。
もし、コンフィグの間違いがあればご指摘宜しくお願いします。
設定にあたってはこちらのサイトを参考とさせて頂きました。
http://linux-junkie.at.webry.info/201412/article_3.html

**anonymous@**i218-224-181-16.s02.a029.ap.plala.or.jp · 2015/07/29(水) 01:10:46.44

! NEC Portable Internetwork Core Operating System Software
! IX Series IX2215 (magellan-sec) Software, Version 9.1.10, RELEASE SOFTWARE
! Compiled Feb 26-Thu-2015 10:26:18 JST #2
! Current time Jul 29-Wed-2015 00:20:18 JST
!

logging buffered 131072
logging subsystem all warn
logging timestamp datetime
!
!
ip ufs-cache enable
ip route default GigaEthernet0.1
ip dhcp enable
ip access-list l2tp-list permit ip src any dest any
!
!
!
ike nat-traversal
!
ike proposal l2tp-ike1 encryption aes-256 hash sha group 1024-bit
ike proposal l2tp-ike2 encryption aes hash sha group 1024-bit
ike proposal l2tp-ike3 encryption 3des hash sha group 1024-bit
!
ike policy l2tp-ike-policy peer any key *事前共有鍵* l2tp-ike,l2tp-ike2,l2tp-ike3
!
ipsec autokey-proposal l2tp-sec1 esp-aes-256 esp-sha
ipsec autokey-proposal l2tp-sec2 esp-aes esp-sha
ipsec autokey-proposal l2tp-sec3 esp-3des esp-sha

**anonymous@**i218-224-181-16.s02.a029.ap.plala.or.jp · 2015/07/29(水) 01:13:36.08

ipsec dynamic-map l2tp-ipsec-map l2tp-list l2tp-sec1,l2tp-sec2,l2tp-sec3
proxy-dns ip enable
telnet-server ip enable
!
ppp profile l2tp
authentication request chap
authentication password *ユーザ名* *パスワード*
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-ip-address range 192.168.100.20 192.168.100.25
!
ppp profile *プロバイダ名*
authentication myname *プロバイダID*
authentication password *プロバイダパスワ－ド*
!
ip dhcp profile lan
assignable-range 192.168.100.1 192.168.100.254
default-gateway 192.168.100.1
dns-server 192.168.100.1
!
ip dhcp profile vlan2
assignable-range 192.168.1.1 192.168.1.254
default-gateway 192.168.1.1
dns-server 192.168.1.1
domain-name LAN2
device GigaEthernet2
vlan-group 2 port 7 8

**anonymous@**i218-224-181-16.s02.a029.ap.plala.or.jp · 2015/07/29(水) 01:17:07.43

interface GigaEthernet2.0
ip address 192.168.100.1/24
ip proxy-arp
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500
ip dhcp binding lan
no shutdown
!
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding *プロバイダ名*
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
no shutdown
!
interface GigaEthernet2:2.0
ip address 192.168.1.1/24
ip dhcp binding vlan2
no shutdown
!
interface Tunnel0.0
ppp binding l2tp
tunnel mode l2tp ipsec
ip unnumbered GigaEthernet2.0
ip tcp adjust-mss auto
ipsec policy transport l2tp-ipsec-map
no shutdown
連投すまそ

**anon** · 2015/07/30(木) 00:11:12.63

static napt使うIFおかしくね？

5 · 2015/07/30(木) 21:39:18.88

>>9
ありがとうございます
interface GigaEthernet2.0にある

ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500

上記のコンフィグを、 interface GigaEthernet0.1側へ書き換えたら、スマホ側からはL2TP接続出来ました。
しかし、スマホ側からIXルータ(192.168.100.1)へはpingは通るのですが、IX配下のPC(192.168.100.2～)へはpingも通らないし、PC側からスマホ側へのpingも通りません。
達人の方々、どうか愛の手を差し伸べて下さい。

**anonymous@**ntehme050166.ehme.nt.ngn.ppp.infoweb.ne.jp · 2015/07/30(木) 21:58:56.55

>>10
もうちょっとマニュアル読んだら？

9 · 2015/07/30(木) 22:52:56.68

ポートVLANの書き方おかしくね？

**anonymous@**karkun.as.wakwak.ne.jp · 2015/08/01(土) 19:52:14.64

GL2000から、IX2207に交換した。
何となく満足。

**anonymous@**FL1-122-132-99-145.iba.mesh.ad.jp · 2015/08/02(日) 23:38:52.86

>>5
私にもポートvlan の書き方がおかしいように見える。
interface GigaEthernet2.0
interface GigaEthernet2:2.0
とやっていたり、微妙におかしい。次のように書かないとだめくね?

(前略)
device GigaEthernet2
vlan-group 1 port 1 2 3 4 5 6
vlan-group 2 port 7 8
(中略)
!
interface GigaEthernet2:1.0
ip address 192.168.100.1/24
ip proxy-arp
ip dhcp binding lan
no shutdown
interface GigaEthernet2:2.0
ip address 192.168.1.1/24
(後略)

こうして、192.168.100.20のipをつけた端末を GigaEthernet2:1.0に刺せばつながるはず。

15 · 2015/08/03(月) 11:52:51.08

ついにオクから2025消えてる…
この夏昇天したら保守品どうすんだよぉぉぉぉ

**hoge** · 2015/08/03(月) 17:48:52.49

2105 に買い替え。

**anonymous@**i60-36-22-115.s02.a029.ap.plala.or.jp · 2015/08/04(火) 08:01:15.45

>>14
ナイスなアドバイスありがとうございます。
実はというもの...　　l2tpのprofil項目の
ipcp provide-ip-address range 192.168.100.20 192.168.100.25
部分なんですが、家ネットワ－クの機器の固定ipが被ってました。
その機器ipを変更したらスマホから無事接続出来ました。初歩的なミスで情けない限りです。。

あと、もし良ければもうひとつアドバイス頂きたいのですが
この　device GigaEthernet2
vlan-group 1 port 1 2 3 4 5 6
vlan-group 2 port 7 8
部分で、セグメント自体を切り離したいのですが
interface GigaEthernet2:1.0
ip address 192.168.100.1/24
ip proxy-arp
ip dhcp binding lan
no shutdown
interface GigaEthernet2:2.0
ip address 192.168.1.1/24
ip dhcp binding vlan2
(後略)
ですと、例えお互いにpingが通る状態になってしまいます。
マニュアル及びネットの情報を参考にして、encapsulation dot1q　<vlan_id>のコンフィグを追加したら
今度はお互いのgatewway(192.168.*.1)と疎通が出来なくなり、もちろんネットも繋がらない状態となります。
マニュアルを何度も読み直したのですが、VLAN設定についてはほとんど記述がありません。
もし、ご存知であればコンフィグの書き方を教えて頂けないでしょうか？
宜しくお願いします　

**anonymous@**s634216.xgsspn.imtp.tachikawa.spmode.ne.jp · 2015/08/04(火) 08:41:15.39

>>17
マニュアルよく読めとしか。
特に設定事例集とか。確かそのままの例が書いてあったような。

**anonymous** · 2015/08/04(火) 10:02:13.77

IPフィルタでいいんでないの？

5 · 2015/08/04(火) 13:25:01.87

皆さま、ありがたいアドバイスに感謝致します。

設定事例集で言えば、15-1のVLANダギング設定でしょうかね？
ただ、私も確認しましたが、各インターフェースにDHCPを作動させる設定は載っていない気がします。。
自分の知識不足と見落としがあるかも知れませんが…

ipフィルターですか？？
帰宅後に再度マニュアルを見てみます。
そちらも検討してみます。
ありがとうございます。

**anon** · 2015/08/04(火) 20:33:24.22

マニュアル読め、で終わらせたらこのスレが盛り上がらないぞ

**anon** · 2015/08/04(火) 20:43:00.02

VLAN間の通信制限したいならIPフィルターが必要だよ
例えばこんなの

ip access-list A deny ip src 192.168.100.0/24 dest 192.168.1.0/24
ip access-list A permit ip src any dest any
ip access-list B deny ip src 192.168.1.0/24 dest 192.168.100.0/24
ip access-list B permit ip src any dest any
!
!
interface GigaEthernet2:1.0
ip filter B 1 out
!
interface GigaEthernet2:2.0
ip filter A 1 out
!

5 · 2015/08/05(水) 06:42:29.30

>>22
おおー、この様な方法もあるのですね。
アドバイスありがとうございます。
コマンド集と設定事例集で確認しましたが、実際のコンフィグで示して頂けたら初心者には本当に助かります。
余りにも知識不足なので、vlanタグは基礎知識上がるまで置いておきます。

元の基礎知識が薄っぺらいから、マニュアル読め！！って言われたキツイです(笑)
応用出来るほど知識もないですし。

本日作業致しますので再度結果報告させて頂きます。

**5改め23** · 2015/08/06(木) 23:02:08.74

>>22
コンフィグの例文ありがとうございました。
ご指導もあって、各ポートVLAN同士のセグメントを分ける事が出来ました。
このアドバイスが無ければ、このセットアップに何日掛かったかわかりません(笑)
ただ、LAN側からは互いのセグメントにアクセス出来ませんが、何故かスマホ側からはVPN接続を行えば、192.168.100.1/24と192.168. 1.1/24にたいしてはスマホから両方へpingが飛んでしまいます。
何れにせよ、当方の勉強不足ほ明らかですので、再度勉強の上で出直してきます。
ありがとうございました。

**anon** · 2015/08/06(木) 23:57:31.53

この場合192.168.1.1(GE2:2.0)にはping通るのかな
GE2:2.0につないだ端末192.168.1.2～254には通らないんじゃない？

**anonymouse** · 2015/08/07(金) 21:37:35.17

>>24
流れ読まずに流し読みで答えるけど、>>22は

1行目: src(送信元) が 192.168.100.0/24 (192.168.100.0～.255)、dest(宛先) が 192.168.1.0/24 (192.168.1.0～.255) のアクセスをdeny(拒否)
2行目: src(送信元) が any(全て、つまり上記以外)、dest(宛先) が any(全て、同じく) のアクセスをpermit(許可)
上記をアクセスリストAと定義（適用は上から順番だったはず）

10-11行目： GigaEthernet2:2.0 の口からout(外向き)方向のパケットに対して、アクセスリストAを適用（多分1番目）

続けて3行目と4行目、7-8行目に上記と逆の定義を適用してるので、
当然L2TPのアドレスレンジはどちらとも被らないはずなので、Bとも疎通するはず。
L2TP接続から何か制限掛けたいならそのアドレスレンジにも同じようなルールが必要じゃないかと。

**anonymouse** · 2015/08/07(金) 21:38:48.66

ごめん、「Bとも疎通するはず。」は、AともBとも疎通するはず、の間違い（対L2TP接続の話）

**anonymous** · 2015/08/07(金) 21:39:54.79

久しぶりに技術的な話題
通信技術板はこうでなくては

**anon** · 2015/08/08(土) 00:20:28.25

>>26
変更していなかったとするとL2TPで接続した端末に払い出されるアドレスは
GE2:1.0のセグメントと同じなんだよね。

この場合GE2:2.0のアウト方向のフィルタ(deny)に該当するから通信できなさそうに思える。
192.168.1.1(GE2:2.0)のアドレス宛は届くけど、その先はフィルタリングされるん動作になるんだっけ？

ip access-list A deny ip src 192.168.100.0/24 dest 192.168.1.0/24★
!
ipcp provide-ip-address range 192.168.100.20 192.168.100.25★
!
interface GigaEthernet2:1.0
ip address 192.168.100.1/24★
!
interface GigaEthernet2:2.0
ip address 192.168.1.1/24★
ip filter A 1 out
!

**anon** · 2015/08/08(土) 04:59:32.00

>>29
すまん、設定よく見てなかった。アドレスレンジ被せてるのか。

ip unnumberedは詳しく調べた事がないな･･というか原理が分かってないから答えようがないな。。
釈迦に説法で失礼したけど、誰か分かる人居たら個人的にも知りたい。

**anonymous** · 2015/08/08(土) 17:29:50.63

いつもの、マニュアル読め、設定資料集で記述事例を学んで実機で検証
って対象次第では検証環境作るだけでも結構たいへんかも

**anonymous** · 2015/08/10(月) 17:28:03.02

自宅でまで検証環境作って......なんてやりたくないわｗ

**anonymous** · 2015/08/19(水) 15:17:28.29

WAN側との通信を動的パケットフィルタ通してやっているんだけど、通信に失敗する
ケースがある。
どうもTCPコネクションタイムアウトする前に動的フィルタが期限切れで削除されて、
遅れてやってきたTCPパケットが破棄されちゃっているようにみえる。
生成される動的フィルタの有効期限を延ばす設定ってあったっけ？

■ 動的フィルタ部分のconfig
ip access-list deny-all deny ip src any dest any
ip access-list permit-all permit ip src any dest any
ip access-list dynamic dyn-permit-all access permit-all

! WAN側IF
interface FastEthernet0/0.1
ip filter deny-all 100 in
ip filter dyn-permit-all 1000 out

■ パケット破棄のSyslog例
<132> Aug 19 03:54:47 FLT[007]: BLOCK tcp 125.6.255.10:6667 > 192.168.1.32:57120, match deny-all, FastEthernet0/0.1 in
※ IRCサーバ

<132> Aug 19 13:56:29 FLT[007]: BLOCK tcp x.x.x.x:80 > 192.168.1.32:60892, match deny-all, FastEthernet0/0.1 in
※ Webサイト

**anon** · 2015/08/19(水) 15:40:16.83

ip access-list dynamic timer TIMER-TYPE TIME

で変更できるよ。

tcp-syn-timeout :
tcp-fin-timeout :
tcp-idle-time : <　TIMER-TYPEでとりあえずこれを数値を大きくしてみるといいはず。だめなら上の2つも。
udp-idle-time :
dns-timeout :
icmp-timeout :
global-timeout :

**anonymous** · 2015/08/19(水) 15:52:58.46

WAN側との通信を動的パケットフィルタ通してやっているんだけど、通信に失敗する
ケースがある。
どうもTCPコネクションタイムアウトする前に動的フィルタが期限切れで削除されて、
遅れてやってきたTCPパケットが破棄されちゃっているようにみえる。
生成される動的フィルタの有効期限を延ばす設定ってあったっけ？

■ 動的フィルタ部分のconfig
ip access-list deny-all deny ip src any dest any
ip access-list permit-all permit ip src any dest any
ip access-list dynamic dyn-permit-all access permit-all

! WAN側IF
interface FastEthernet0/0.1
ip filter deny-all 100 in
ip filter dyn-permit-all 1000 out

■ パケット破棄のSyslog例
<132> Aug 19 03:54:47 FLT[007]: BLOCK tcp 125.6.255.10:6667 > 192.168.1.32:57120, match deny-all, FastEthernet0/0.1 in
※ IRCサーバ

<132> Aug 19 13:56:29 FLT[007]: BLOCK tcp x.x.x.x:80 > 192.168.1.32:60892, match deny-all, FastEthernet0/0.1 in
※ Webサイト

**anonymous** · 2015/08/19(水) 15:54:48.42

多重書き込みしてしまった、すまん。

>>34
こんな設定あったんだね、見逃していたよ。
ありがとう。

**anonymous@**p1699243-ipngn15901marunouchi.tokyo.ocn.ne.jp · 2015/09/03(木) 04:38:23.68

ixユーザー目線で欲しい機能が
どんどん追加されてきてる。
特にsdnなど設定の自動化に力をいれているね。
necグループにとっては両刃の剣だろうけど

ipsecでギガの性能あるわりには
光ケーブルのsfp対応してないのは
ciscoに比べると劣ってるね

メタルじゃデータセンターで
フロアー跨げなかったり不便じゃないのか

**anonymous** · 2015/09/03(木) 09:18:09.39

IX3110にはSFPあるけど

**anonymous@**i60-36-23-66.s02.a029.ap.plala.or.jp · 2015/09/05(土) 21:06:13.94

レベルの高いスレの中でショボい書き込みして大変申し訳ないが、WOLしたいPCのmacアドレスを本機に登録したら、l2tpのvpn使えなくならない？？
wol terminal mac **** って言うコマンドなんだけど。。
普通にandoroid端末からl2tp接続した上で、wol send mac **** なら問題なく外部から自宅PCを起動出来る。
だれか同じ様な事やってる人居ない？？

**anonymous** · 2015/09/05(土) 21:48:31.07

安定運用すぎて話題に飢えてるから、レベル高い／しょぼい関係ないぞ
どんどん来きてくれ

**anonymous@**i60-36-23-66.s02.a029.ap.plala.or.jp · 2015/09/05(土) 22:50:37.67

ほんとショボ過ぎる質問で申し訳ない。。
ixも家庭用の運用のみだったらl2tpで外出先からのアクセス位しかやる事ないね…

**anon** · 2015/09/06(日) 00:14:18.09

>>41
今試してみたけど"wol terminal mac **** "でPCを登録した状態でも
スマホからL2TPで接続してブラウザからwebコンソール→Wake on LANがちゃんと見えたよ。
(IXはVersion 9.1.10でiphone4だけど)

**anonymous@**i220-109-125-209.s02.a029.ap.plala.or.jp · 2015/09/06(日) 07:22:18.84

>>42
さっそくのご解答ありがとうございまっす！再度、コマンド流し込んでみたら当方のしょうもないミスでした。。
原因はandoroidのdocomoスマホ側にあり、当方が使用しているmvnoのシムがテザリング使用すると勝手にapn変更されてたのが原因でした。
自宅にて外出時の環境を再現しようと、wol したい機器のmacのアドレスをixに登録した後、ノーパソでも実験出来る様にandoroidのdocomoスマホでテザリングオンにした後にvpnオンにしてました。
docomoスマホでmvno運用はテザリングした途端に勝手にapn切り替わる為に、スマホはlteを使えなくなる様でした。
ほんとショボいミスで申し訳ない。。。
しかし、次の課題はandoroidのroot化かぁ。先は長い

**anon** · 2015/09/06(日) 07:43:05.51

>>43
その手の話題は界隈じゃかなり有名だけど、MVNO初体験なら大抵ハマる所かな
# FOMA時代なら、PCとスマホの定額料金どうやって切り替えてるのかな、って所から多少察っせたんだけどね。

ともかく解決したようで、おつかれさんでした

**anonymous@**i220-109-125-209.s02.a029.ap.plala.or.jp · 2015/09/06(日) 08:05:05.57

>>44
おっしゃるとおりです。
mvno初体験です。少し前は普通のdocomo回線でテザリングしてたので、今回は思いっきりハマってしまった。。
また、foma時代にモバイル回線でノーパソを操作されてる方々はレベルの高い人達に見えた位に、今でもまだまだ初心者です。。
これからも頑張って勉強します。

しかし、家庭でのix運用はど安定過ぎて、これといってトライする事が無い事に気付いてきた今日この頃…

**anonymous** · 2015/09/14(月) 09:07:24.01

バグフィクス版の9.1.11と新機能追加の9.2.20が出てる

**anonymous@**nttkyo535175.tkyo.nt.ngn2.ppp.infoweb.ne.jp · 2015/09/16(水) 18:39:34.36

ヤバイ、IXで十分満足してるのに買ってしまいそう・・・
http://nttxstore.jp/_RH_3110?LID=mm&;amp;FMID=mm

**anonymous@**s645208.xgsspn.imtp.tachikawa.spmode.ne.jp · 2015/09/16(水) 19:20:51.51

iosって入手は契約しないと駄目？

**anon** · 2015/09/16(水) 20:04:12.25

ワクテカしながらスペック見てたら IPsec 350Mbps で萎えた (´・ω・`)

>>48
機種によるから、CISCOのサイトでユーザー登録して試してみたら？
2960なんかは、登録だけでダウンロードできる。

スレチすまん。

**anon** · 2015/09/16(水) 20:20:50.75

ついでに3拠点のファームウェアを 9.2.20 にアップデートしたら、
IPsecが切断されたままになってしまった。

**anonymous** · 2015/09/16(水) 20:40:39.30

>>49
このクラスは、IOSじゃ無きゃダメって要求が無い限り、
国内品の方が性能は全然良いよ。

つか、国内品の性能がぶっ飛びすぎ。
諭吉さん10人未満でipsec Gbit越えの性能出るルーター買えるなんて、
日本位じゃ無いの・・・

**anonymous** · 2015/09/16(水) 23:00:59.32

cisco800シリーズって対YAMAHAで出したって言われてるアレか？
正直これを買うぐらいなら、同じ金額でYAMAHAでいいんだが
WLAN統合型でGigabitEthernetモデルなら考えてもいいけど、今時FastEthernetモデルだしな

**anon** · 2015/09/19(土) 09:43:58.05

>>52
841Mのことだったら、Gigabitだよ。IPsec性能が残念だからいらない
ことには変わりないけど。

**anon** · 2015/09/19(土) 09:51:41.94

9.2.20 は、なんだかバギーだな。
IPSec 接続張るのに時間掛かるし、Web設定にhttpアクセスするだけで、
configモードのコンソールにゴミ吐くし。

**anonymous@**p12145-ipngn2301aobadori.miyagi.ocn.ne.jp · 2015/09/19(土) 13:26:04.52

ix2015を久々にいじってみました。

お聞きしたいのですが、
switchport trunk allowed vlan all
のようなトランクの設定方法教えていただけませんでしょうか。

**anon** · 2015/09/19(土) 16:14:06.21

Router(config)# interface FastEthernet0/1.1 <FE0/1にタグVLANのポートを作る場合 0/1.x →xは1～32まで作成可
Router(config-FastEthernet0/1.1)# encapsulation dot1q 1000 < VLAN ID 1000の場合
Router(config-FastEthernet0/1.1)# ip address xxx.xxx.xxx.xxx/24
Router(config-FastEthernet0/1.1)# no shutdown

再起動

**anon** · 2015/09/19(土) 16:16:19.48

switchport trunk allowed vlan allってVLAN-ID全部かな
IXだとポートあたり32VLANまでしか無理かも

**anonymous@**p5100-ipbfp2102osakakita.osaka.ocn.ne.jp · 2015/09/20(日) 00:44:21.90

iphoneから l2tp/ipsecで接続できるように設定してみたんだけど、
iphoneからDNS解決ができなくて困ってます

iphoneから 8.8.8.8へのpingに応答するし、ローカルPCからのネット接続は問題ない
proxy-dnsも ip name-serverも設定している

napt関係の設定必要ですか？

**anon** · 2015/09/20(日) 04:37:34.20

>>58

proxy-dns ip enable
proxy-dns server 8.8.8.8
!
ppp profile lns
authentication request chap
authentication password XXX YYY
lcp pfc
lcp acfc
ipcp ip-compression
ipcp provide-remote-dns 192.168.0.1 <これを追加してIXのプライベートIPを設定するとか
ipcp provide-ip-address range xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy

58 · 2015/09/20(日) 13:01:59.21

>>59 ありがとうできました！

NECもサイトの設定例に書いといてくれれば良いのに

**anonymous** · 2015/09/20(日) 14:49:10.38

NECに言わせると、
IXルータ同士のVPNを想定しているのに、なんでスマホ接続の面倒なんか見なければならねーんだよ？好きにしろや
ってことなんだろうよ

58 · 2015/09/20(日) 15:01:56.58

iphone、android、windowsとご丁寧にページ分けて設定事例を作ってるのに？

ページ作ってチェックしてないのか
iphoneのところに、androidの注釈あるし
設定事例作ってる人が精通してないんだろうか

59 · 2015/09/20(日) 17:09:30.31

インターネット上のサイトを閲覧したいならVPN切って直接つなげろってことかもね

**anonymous** · 2015/09/20(日) 17:57:22.88

>>62
設定例作る人とhtmファイルlに入力する人は別だろ、当然。
で、入力する人が無能だとどんなことでも起こりうる。

**anon** · 2015/09/21(月) 01:40:55.50

目的がVPN構築してIXのLANに接続なんだし、IX経由のインターネット接続用の設定が省かれてても間違いではなくない？

**anon** · 2015/09/21(月) 20:23:45.48

だよね。業務用ルーターなんだから、むしろL2TP接続端末がIX経由して外に
繋がってしまう方が問題ある場合が多いんじゃないかな？

実際、営業が外回りの際に突発的に必要になった資料等を社内のNASから入手
するのに使わせてるけど、それ以上のことはして欲しくないし、できないよ
うにしてる。
その一方で、某国出張の際にGoogle等々への迂回路としても利用させてるが、
こちらも同じくこの用途限定にして、イントラへはアクセスできないように
してる。

**anonymous** · 2015/09/21(月) 21:01:00.37

時代遅れな考えかも知れないが、
VPNってPPTP、IPsec、SSL-VPN、Ehter-VPN（＝L2VPN？）とか色々あるけど、
元々は『LAN内のファイルにアクセスするために使うもの』だって思っていて、
大部分はそういう使い方をしていると思う。
なので、インターネットから入ってきて拠点ルータを経由して、またインターネットに
出て行きたいって言うと、お前一体何がしたいの？って感じを受ける。

iPhoneとかだと例えばF-secureのVPNなんかがあるが、
こいつは要はプロキシサーバ＋セキュリティ（ヤバイWebサイトブロック等）をやってくれるんだが、
それと同じで、サイトアクセスの際にソースアドレスを自分のルータにしたいってのも理由の一つとして
あるんだろうけど、それだけじゃないだろう。

**anon** · 2015/09/21(月) 23:19:28.23

街中のWiFiとか使うとき、直接インターネットに行くと盗聴とか怖いから
暗号化するために使うってのはあるんじゃないの。

**anonymous@**i220-109-125-209.s02.a029.ap.plala.or.jp · 2015/09/22(火) 02:41:14.74

今、正にix使ってとある南国からandoroidから繋げて色々やってます(笑)
2chの書き込みなんて今や外国のipから出来ないし、公開vpnやプロキシでも直ぐにアクセス拒否されてる具合ですね。
後は家のプリンター動かしたりアスタリスク鯖起動させたり。
マニュアル見る限りではnecの技術者は個人ユースの使い方なんて想定してなかった様に思えてきますね。
しかし、外部からのl2tp接続を行えば、andoroid端末に付与されたプライベートipが、show ip dhcp lease で出てくるハズと思うのですが、全く出てきません。
一応、外部からの接続端末には192.168.1.20-25 の範囲でip貸出設定をしているのですが…
どなたかご存知の方おられますか？？

**anon** · 2015/09/22(火) 13:32:11.89

>>69
DHCPではなくてIPCPでの払い出しですし。
Router(config)# show ppp provide-ip-address

あ · 2015/09/22(火) 14:50:38.07

>>70
あ… これは失礼致しました。。
自分の初歩的な勘違いでした。。
アドバイスありがとうございます。
そして、しょぼい質問ごめんなさい。。

**anonymous** · 2015/09/22(火) 15:20:50.84

レベルアップですぜ。アンタもせいちょうしたもんだ。

あ · 2015/09/22(火) 16:15:11.00

>>72
ありがとうございます。素直に嬉しい♪
ix使うまでは、RTX58でUIでの設定経験しかなかったもので…
最近、時間が出来たもので色々やっとります(笑)

**anonymous** · 2015/09/24(木) 23:41:08.45

9.1.11 と 9.2.20 どっちにバージョンアップすべきか迷うな。
ダイナミックVPNは興味あるけど、>>54の言うようにバギーなら安定性捨ててまで…という気もする。
9.2.20 使っている人いたら挙動について感想教えてほしい。

**anonymous** · 2015/09/27(日) 12:42:45.20

他社製ルーターに比べてIXルーターが持つ利点を簡潔に述べよ

**anonymous** · 2015/09/27(日) 13:12:32.05

攻めルータ　守ルータ

**anonymous** · 2015/09/27(日) 18:15:02.88

受けルータ

**anonymous** · 2015/09/29(火) 09:08:25.36

ファームアップデートしたついでに、
NGNの網内折り返しのipv6経由のトンネルIKEv2で掘っちゃうよ！と思って、
頑張ってみたら、
機能解説書の１文みて(´・ω・｀)ｼｮﾎﾞｰﾝ

>2.33.1.2 IKEv2/IPsec の未サポート機能一覧
>IX2000/3000 シリーズのIKEv2 では以下の機能をサポートしておりません。
>IKEv1 でサポートしている機能
>～、NGN トンネル対応　～

道理で繋がらない訳だorz

結局今までどおり、IKEｖ１でシコシコ書き直したとさ。
IKEv2使えれば、設定めちゃ楽なのになぁ、なんとかなるのかなぁ。
logging見た感じ、HGWで叩き落とされてるっぽいから、
HGW経由しなければ行けるのかなぁ。

あ · 2015/10/12(月) 05:44:15.54

ix2215にせっかくタグvlan機能付いてるから、netgearのgs108e導入してみたけとどうもタグを認識してくれないっぽい。。
タグvlanが機能する良いスイッチをどなたかご存知ないでしょうか？？

**anonymous** · 2015/10/12(月) 11:37:45.36

検索でixとnetgearの組み合わせで出てきたのってこれくらい
これに書いてあることくらいはやってみた？

http://changineer.info/network/nec_ix/
http://news.mynavi.jp/series/vlan/003/

ixは装置再起動が必須らしいけど

**anon** · 2015/10/12(月) 15:02:25.79

そんな特殊なことをやってるわけでもないし、タグVLANなんてマルチベンダ環境が普通だから
対応してない可能性は低そうに思える

あ · 2015/10/12(月) 16:40:41.45

>>80
もしかして、ここで出てくるネットギア製品って、型番 JGS516ですよね？？
vlan付きで安かったので、gs108eポチったが失敗したのねん… それでも5千円はしたのに…トホホ。
gs108eはポートvlanとタグvlan機能附属してますが、ixのタグvlan機能とは違うみたいですな。

>>81
ix購入してから、どんどん深みにハマっていってます。。。
値段の割りに多機能過ぎますね。ド安定だし。
しかし、外部スマホからl2tp接続ならまだしも、タグvlanなんて…と思いつつ色々やってます

**anonymous** · 2015/10/12(月) 16:49:12.83

>>82
いやいや、仕様にもIEEE802.1Qって書かれてるじゃないか。
タグVLANの規格なんてこれしかねーよ。

ファームが腐ってない限り、動かない方がおかしい。

**anonymous** · 2015/10/12(月) 16:51:43.86

>>82
いや、マイナビの方はnetgearのコマンドとかWebUIが載ってるし、ixの参考サイトは
対向はCiscoだけどixの設定が載ってるから、両方読み合わせてどうにかならないか？と思ってさ

あ · 2015/10/13(火) 08:27:22.95

82です。
ごめんなさい… gs108eを動かすフォームがおかしいだけでした。早とちりしました。
再インスコしたらちゃんと任意のvlan idを指定出来る様になりました。
まだ、セットアップ出来ていませんが今晩でもタグvlanでネットワーク分けてみたいと思います。
ありがとうございました

82 · 2015/10/15(木) 03:02:18.78

ix側に interface gigaethernet2.1(192.168.10.1 24/)
と interface gigaethernet2.2(192.168.20.1/24) をそれぞれ作成し、
各interfaceに encapsulation dot1q 10 と encapsulation dot1q 20 のコマンドを実行し、gs108e側のvlan拡張設定の802.1Qの項目を設定後、各ネットワークアドレスの分割を確認出来ました。
ありがとうございます。以上を報告とさせて頂きます。
自宅ネットワークはモデム設置位置の制約上、 1Fにix配置、2Fに各端末設置となっておりました。
もし、ixにてネットワークアドレスを2つ
以上設定すると2FまでLANを2系統配線する必要がありましたが、
タグvlan設定とgs108e設置にて2FまでのLAN配線が1条のみとなりました。
以前はこれ以上LANを増設出来なかったので仕方なくPLCを使用していましたので設備的には良くなりました。

**anonymous** · 2015/11/02(月) 20:07:58.85

L2TP/IPsecのアカウントを複数登録したいのですが、
いいサンプルないでしょうか。公式は1アカウントだけですのでおなしゃす
ix2015

**anon** · 2015/11/02(月) 21:59:25.79

2015ってL2TP/IPsec対応するの？

**anonymous** · 2015/11/02(月) 23:46:42.60

IX2015は無理じゃね？
Ver 8.10以上っしょ、IX2015 8.3止まりだから。

Ver見ずにIXみんな同じと思ってんじゃね？

**anonymous** · 2015/11/03(火) 00:08:15.67

複数登録したい → 一つは登録できた
と解釈して、IX2105の間違いではないかと想像してみた

ということで、L2TP用のPPPプロファイルを複数作って
それと同数のトンネルインタフェースにそれぞれbinding
ってことでいいんじゃないのかな？

試したわけではないので間違っていたら誰か修正して

**anonymous@**s579052.xgsspn.imtp.tachikawa.spmode.ne.jp · 2015/11/11(水) 12:33:05.23

これのイベントログリファレンスってなくなったん？

**anonymous** · 2015/11/11(水) 12:47:18.37

あるよ

**anonymous** · 2015/11/26(木) 11:13:45.36

DNS.036 Received error status: error, ID 0xID
エラーステータスを受信しました
エラー内容に応じて対処してください。

このエラーってどう対処すればいいのでしょうか？
わかる方教えて下さい！！

**anonymous** · 2015/11/28(土) 10:38:35.05

ごめん、マニュアル読まない人に教えられる資格持ってないんだよ俺

**Anonymous** · 2015/12/08(火) 01:10:32.63

IX2215持ってたけど
ガマン出来ずにIX3110買ってしもうたわ
ファンの音静かだしどっち常用しようか迷うわ

**anony** · 2015/12/08(火) 03:14:05.38

AR570Sとかくっそうるさいけど
IX3110って静かな方なんだ

**anonymous** · 2015/12/08(火) 17:30:56.54

仕事がそっち系だから扱いに困らないのと、安定性とファームウェアの寿命が長いのが理由で自宅でも業務用ルータだけど、
さすがにセンター用ルータはなあ・・・・・・
tomochaじゃあるまいし

**Anonymous** · 2015/12/08(火) 19:03:39.97

家庭用ネット回線も1Gbpsが出て来てるし
デカイのとFANの音を度外視すれば有りだと思うよ

**anon** · 2015/12/08(火) 22:05:16.06

自宅で3110を使うメリットなんてないだろｗ

**anonymous** · 2015/12/08(火) 23:03:24.09

showコマンド叩いてニヤニヤしたり、
古くはMRTG、TCPモニターなんかの監視ソフト動かして
トラフィックが上がり下がりしてるのを見てやっぱりニヤニヤしてる風景しか浮かばない

**anonymouse** · 2015/12/09(水) 01:19:22.75

>>97
tomochaなんじゃね？

**anony** · 2015/12/09(水) 14:16:34.27

>>100
ええじゃん。それ好きだよ
まあ最近はVPSが優秀だからあんまり自宅でどうこうする必要がなくなったがな

**anonymous** · 2015/12/09(水) 18:35:04.22

MRTGといえば、後継のRRDtoolを14all.cgiとかいうスクリプトと組み合わせて使おうとしたことがあるが、
途中でわけが分からなくなって挫折したな
CactiとかZabbixとかの存在を知ったのはその後だった

**名無しさん＠そうだ選挙に行こう** · 2015/12/14(月) 13:43:28.52

初心者で申し訳ない
ＩＸ２２０７、ＩＸ２１０５でＭＡＣアドレスを手動で設定できるコマンドってありませんか？
コマンドリファレンスみたけどそれらしきものが見当たらなかったもので

**anonymous** · 2015/12/14(月) 13:57:51.80

なぜ最初にコマンドリファレンスを見るｗ
機能説明書の目次2-41に書いてある機能なんじゃないの？

**anonymous** · 2015/12/14(月) 21:59:31.75

装置自体のMACアドレスを偽装したいっていうなら無理だから潔く諦めろ
KDDI系の回線使っている奴らが過去に散々試したから
スループットを犠牲にしても構わないなら、IX---ホームゲートウェイ---インターネットの形でできるかも

**anonymous** · 2015/12/15(火) 01:53:23.70

ホームゲートウェイ強制の流れはまじで死ね
選べるようにしろ

**104** · 2015/12/15(火) 08:07:10.17

>>106
回答有難うございます
偽装というかサーバー側がＭＡＣ認証なんで、予備機を置いときたいときに２機とも同じＭＡＣアドレスにしとかないと駄目じゃんと考えたもので
今手元にあるバッファローのルーターは手動設定が出来てるもので聞いてみました

**anonymous** · 2015/12/15(火) 09:05:26.06

>>108
基本的にデバイスとMACアドレスは1:1で紐付いているべきものなので
サーバ側にIXのMACアドレスを登録する方が正しい使い方と思います

運用面でも予備機かどうか区別出来たほうがいいのでは？

**anonymous** · 2015/12/15(火) 10:42:25.20

機能の種類によっては業務用よりも家庭用の方が先進的と言える部分があるんだよな
思い出したように話題に挙がる仮想MACアドレスとか
先進的って言い方は変かもしれないけどさ
典型的なのが無線LANの規格で、家庭用で『n』が普及しても業務用はa/gからなかなか発展しなかったし

**104** · 2015/12/15(火) 11:15:51.62

>>109
>>110

ご回答有難うございます
やはり変えられないのが正当なんでしょうね
サーバー側に聞いてみます

**anonymous** · 2015/12/25(金) 19:41:41.93

9.2.24/9.1.13 出てた。

**anonymous** · 2015/12/25(金) 20:48:46.45

だいたい3、6、9、12月の年4回くらいのチェックで足りるんだよな

**anonymous** · 2016/01/20(水) 22:34:03.01

いよいよIX2005も最終ファームかもな

**anonymous** · 2016/01/20(水) 22:44:40.16

>>114
8.9止まりだからね

**Anonymous** · 2016/01/21(木) 01:47:37.29

YAMAHAがRTX5000&3500出してきて大分経つけど
NECはマルチコアCPU使ったIX3110の後継出さないのかな？
発売されれば3110が大量放出されそうだから楽しみにしてる

**anonymous** · 2016/01/21(木) 10:29:52.39

YAMAHAのセンタルータは安定性に欠けるイメージが強い

**anonymous** · 2016/01/21(木) 21:35:06.14

YAMAHAは一般向けも良くない。ちょっと攻撃されると直ぐCPU負荷100％になって
通信できなくなる。その攻撃受けてるときにIX2015に変えただけで、CPU負荷40％
くらいにはなったけどいつもと変わらず普通に使えた。

**anony** · 2016/01/22(金) 02:34:46.52

スペックが良くないのもあるけどソフトがよくないよね

CPUが格段によくなったRTX1210ではだいぶましになったけど
RTX1100とかなんで売れてるのか理解出来ないレベルだったな
家鯖やってるやつとかがRT58iとかRTX1100とかに変えて
家庭用の時より逆に悪くなったとかよく聞いた。

ix2015のNAT処理の速さは当時としては神がかりだったね
RTX1210でもNATテーブルが増える度に1msずつルーティングが遅くなってくし。
え、RTXはそういう目的のルーターじゃないって？

**anonymous** · 2016/01/22(金) 10:45:19.61

RTXは設定可能値をスペック値としているが
IXは動作保証値をスペック値としている違い

**anonymous** · 2016/01/23(土) 12:03:17.17

富士通も古河電工（filtelnet）も業務用ルータはあるが、いかんせんなじみがないので皆YAMAHAに流れる
なんせビッグやヨドバシの店頭に置いてあって気軽に買えるのはYAMAHAのRTXくらい
Webの技術情報も異常なくらい充実してるしな
よくもまあテキストであんな図を描こうと思うわ

**anonymous** · 2016/01/23(土) 14:20:25.77

ヤマハは不特定多数、鯖にはむかない
あれは拠点同士でトンネル掘って、外向けは全部閉じる用途で使うもの

**anonymous@**softbank219199148055.bbtec.net · 2016/01/23(土) 14:42:16.34

ヤマハとNECでは販売チャネルが違うからなあ……

**anonymous** · 2016/01/23(土) 15:48:32.86

2ちゃんでスレが過疎ってる、もしくは死んでるも同然な機器は見向きもされないだろう
通信技術板のルータ関連でわずかでも勢いのあるスレってこことYAMAHAくらい
Ciscoに至っては、公式サイトで検索して意味が分からないなら扱うべきではない

**anonymous** · 2016/01/23(土) 23:50:47.02

技術サポートすれば本当に売れると思うけど
大手さんは小口なんて相手する気ないからしょうがないか

**Anon** · 2016/01/24(日) 00:23:51.08

昔はマクドナルドで使われてたんだっけ？
次に入札に買ったのが富士通で、機器が全部入れ替わるからっていうんで、中古のIXがわんさか出回って値崩れしたって
昔何かで見たか聞いたかしたことがあるけど
そういうところと一件決まってしまえば、1店舗に1台の設置だったとしても一気に何百台お取引いただきました～の計算だもんな
何よりも、自宅鯖やVPNなんてのは世間からすればまだまだマニアの領域なだけに個人市場の拡大には限界がある

**anonymouse** · 2016/01/24(日) 01:25:43.49

俺が聞いたのは郵便局だな

**anonymous** · 2016/01/24(日) 02:04:47.47

数でいえばSEJとかKFC/PHとかかな

**anonymous** · 2016/01/24(日) 11:22:32.42

業務用Atermみたいなのはないのかと探していたらWAシリーズなんてあるのな
初期モデルはIXとペアで使うことが前提のアクセスポイントというか、ホテルルーターみたいなものだけど、
最新モデルはLANも4ポート用意されていて個人利用も想定できるようになってきた
しかし、高いなぁ

**anonymouse** · 2016/01/24(日) 15:32:41.33

ルーターならともかく、専用無線APに4ポートも使うだろうか･･

**anony** · 2016/01/24(日) 16:08:28.72

>>130
最新モデルはPPPoEも喋れる普通の無線LANルータみたいだが？

あ · 2016/01/28(木) 08:00:18.48

ix2215ど安定過ぎて家庭用ではやる事が何もなくなった
WOLの設定したら、PCシャットダウンした時に何度か勝手に再起動する位か……
問題はix以外にある気がする

**anonymous** · 2016/01/29(金) 14:55:42.93

VLANで group 1 group 2 にわけて
レイヤ3のルーティングでgroup 1 から group 2 に通信する方法ってどうするのん？

**anonymous** · 2016/01/29(金) 16:39:18.17

>>133
各グループにBVI1, BVI2といったように仮想インターフェースを作って
それぞれにIPアドレスを割り振ればればよい

**anonymous** · 2016/01/29(金) 16:52:21.00

>>134
「れば」が一つ余計だった

**133** · 2016/01/29(金) 20:37:55.77

! ありがとう
! しかし教えて頂いた事をヒントにやってみるも上手くいかず…

device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 2

ip access-list v1 permit ip src 192.168.100.0/24 dest any
ip access-list v2 permit ip src 192.168.200.0/24 dest any

route-map route1 permit 100
match ip address access-list v1
set interface GigaEthernet1:2.0

route-map route2 permit 100
match ip address access-list v2
set interface GigaEthernet1:1.0

interface GigaEthernet1:1.0
ip address 192.168.100.1/24
ip policy route-map route1
no shutdown

interface GigaEthernet1:2.0
ip address 192.168.200.1/24
ip policy route-map route2
no shutdown

! 192.168.100.2 や 192.168.100.3 から 192.168.200.1 は pingが通る
! でも 192.168.200.2 や 192.168.200.3 等は通らない…

**anon** · 2016/01/29(金) 21:13:11.19

つーか、普通にVLAN切っただけだったら、ルータは自分で抱えてるネットワークは
あらかじめ分かってるんだから、ルーティングの設定なんていらないと思うんだけど？

それと、通信できないって言っておきながら、頑なにアクセスリスト（ファイアウォール）を
手放さないのってなんなんだろうね？

**anonymous** · 2016/01/29(金) 21:41:45.74

>>136
なんか言ったことが実践されていないんだが．．．

device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 2
!
interface GigaEthernet1:1.0
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet1:2.0
no ip address
bridge-group 2
no shutdown
!
interface BVI1
ip address 192.168.100.1/24
bridge-group 1
no shutdown
!
interface BVI2
ip address 192.168.200.1/24
bridge-group 2
no shutdown

これで、グループ１、グループ２の端末のGWがそれぞれ192.168.100.1、192.168.200.1になっていれば通信出来るはず

**anonymous** · 2016/01/29(金) 22:02:01.82

あれ？俺完全に勘違いしてたみたい
単純にポートVLAN切っただけで、他のインタフェースとブリッジしてるわけではないのね？

だったら

device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 2
!
interface GigaEthernet1:1.0
ip address 192.168.100.1/24
no shutdown
!
interface GigaEthernet1:2.0
ip address 192.168.200.1/24
no shutdown

で、グループ１、グループ２の端末のGWがそれぞれ192.168.100.1、192.168.200.1になっていれば通信出来るはず

**anonymouse** · 2016/01/29(金) 22:19:10.34

>>136
IX使ってる割にその挙動よく理解してないんだけど、内向きのポリシーは要らんの？
# クラスCから外向きのポリシーは定義されてるみたいだけど

**133** · 2016/01/29(金) 22:22:42.48

>>139
ありがとう
route-map を削除したらいけました

しかし実際の運用では access-list を指定して細かく色んな出口を振り分け、
それ以外のルートは決まった出口に出るようにしています

route-map route1 permit 100
match ip address access-list al1
set interface GigaEthernet0.1

route-map route1 permit 200
match ip address access-list al2
set interface GigaEthernet0.2

route-map route1 permit 10000
match ip address access-list all
set interface GigaEthernet0.3

そこで route-map を使い、宛先が 192.168.200.1/24 のときは
interface GigaEthernet1:2.0 へと振り分けたいのですがどの様にすればよいのでしょうか？
私が先述記載した設定では上手くいきませんでした…

**anonymous** · 2016/01/29(金) 22:29:13.38

> ! でも 192.168.200.2 や 192.168.200.3 等は通らない…

そもそも192.168.200.2や192.168.200.3に該当するPCって存在してる（接続してる）のかな？
あとは、OSと問わずそれぞれのPCのパーソナルFWの設定でICMPの送受信を許可してあるのか？

とか色々と情報が足りない気がする
WindowsマシンだってXPからMS謹製のFW（ただし受信専用）が動いていて、Vistaからは送受信
ともチェックするようになったからな
UNIX/Linixはiptables（今はnftables？）を使ってなければヌードだが
Macは知らん

**133** · 2016/01/29(金) 22:34:11.24

>そもそも192.168.200.2や192.168.200.3に該当するPCって存在してる（接続してる）のかな？
存在しています

>あとは、OSと問わずそれぞれのPCのパーソナルFWの設定でICMPの送受信を許可してあるのか？
直接接続や同一セグメントないの通信等で許可になっていると確認してあります
またIXからは192.168.200.2や192.168.200.3にpingが通ります

**anonymous** · 2016/01/29(金) 22:40:50.49

>>141
VLANとroute-mapと2種類のプロバイダを駆使して色々やっている人のページがあったぞ。

https://sites.google.com/site/tohinav/nettowaku-kanren/burodobandoruta/nec-ix2015

ちなみに検索キーワードは、"ix2015" "vlan" これだけだ。
あとは、"ix2015" "vlan" "ルーティング" とか "ix2015" "vlan" "ポリシールーティング" とかでもいいだろう。

あとは、好きな飲物を用意してからじっくりと公式の設定事例集を読むことをすすめる。
まず2ちゃんで相談とかやってると見落とされがちだが、仮にも公式資料なんだからちゃんと書いてあるはずなんだよ。
『ポリシールーティング』の項目を追ってみるといい。

あと少しだ、がんばれ。

**anony** · 2016/01/29(金) 23:03:28.11

>>141

> 宛先が 192.168.200.1/24 のときは
というのであれば、

ip access-list v2 permit ip src 192.168.200.0/24 dest any

ではなく、

ip access-list v2 permit ip src any dest 192.168.200.0/24

になるんじゃないの？
んで、ルートマップはインタフェースに適用しないと何の意味もないって説明書自ら書いてあるから、

ip access-list v2 permit ip src any dest 192.168.200.0/24
route-map route2 permit 100
match ip address access-list v2
set ip next-hop 192.168.200.1

ってやって、ルータを通過するパケットの内で192.168.200.0/24宛のパケットは全部192.168.200.1（＝GigaEthernet1:2.0）
に集中するようにすればよくね？

**anonymous** · 2016/01/29(金) 23:05:57.34

>>141
route-map 使うときは経路選択の使い方に注意して
set interface が使えるのはPPPoEとかトンネルインタフェースとかに限る
それ以外は set ip next-hop にする

**anony** · 2016/01/29(金) 23:19:28.73

>>145
すまん、追加
> ルートマップはインタフェースに適用しないと何の意味もない
って言っておきながら忘れたわ

ip policy route-map route2

をルータのGigaEthernet1:2.0以外のインタフェースに適用な

**anonymous** · 2016/01/29(金) 23:34:41.82

上手くいったらコンフィグ公開してくれ
実運用のコンフィグ例は貴重だ

**133** · 2016/01/30(土) 00:05:52.39

みんなありがとう
上手くいきました
ちなみにいけなかったところはこちら(>>145)のご指摘通りの部分でした…

詳しくは>>136に対し以下の変更を行うことで希望の動作が得られました
>ip access-list v2 permit ip src 192.168.200.0/24 dest any
↓
>ip access-list v2 permit ip src any dest 192.168.200.0/24

それとこちら(>>145-146)の set ip next-hop なんですが、
>set ip next-hop 192.168.200.1
としても、192.168.200.0/24 宛が192.168.200.1 で止まってしまい
到達確認が出来ませんでした。(VLANグループの中だから？)
なのでこちらは set interface GigaEthernet1:2.0 のままとしました

以上、最後までお付き合い頂いてありがとうございます
本当に助かりました

**anonymous** · 2016/01/30(土) 01:03:59.40

ここの人たちが満足する無線ルータってなに？

**anonymous** · 2016/01/30(土) 01:18:15.80

>>150
無線ルーターとして使わないから
詳しくない

**Anonymous** · 2016/01/30(土) 01:57:03.88

>>150
UNIVERGE買うような奴は
無線LANルーターなんかに目もくれず
業務用のゴッツイアクセスポイント買うよ

**anon** · 2016/01/30(土) 04:51:59.21

>>133
何か根本的に設計がおかしいっぽいから見直した方が良さそう。
ポリシールーティングの条件がdestって普通のルーティングで良さそうだし、
離れた場所で同セグメントがあるから何とかしたいって話なら
proxy arpを使った方がいい

**anonymous** · 2016/01/30(土) 12:19:43.59

俺も変だと思う。
設定事例集見てみたけど、ポリシールーティングで指定してるのって対向ルータの
IPアドレスであって、自分自身を指定するなんて初耳。
>>137のとおり、ルーターは自分が直接つながってるネットワークについては
自動的にパケットを転送するはずなんだから。
そのルーターだけじゃなくて、対向のネットワークも見なおした方がいい。

**anonymous** · 2016/01/30(土) 12:33:13.42

>>150
昔はCisco Aironetにあこがれた時期もあったけどAtermで十分と気づいた
無線LANはすぐに次世代の規格が出てきて落ちつかないからあまり追いかけたくないし

**anon** · 2016/01/30(土) 19:04:49.69

>>133 が一体何をしたいのか全体像が知りたい。もう現れないのだろうか。

**anonymous** · 2016/01/30(土) 19:14:49.91

わざわざVLAN分けてんのにVLAN間ルーティングしたいってことは、子供のゲーム機用
にネットワーク分けたい訳ではなさそうだしな
しかし、およそ15時から翌0時までハマるってなかなかだな

**anonymous** · 2016/01/30(土) 20:27:38.05

でも久々に盛り上がったからいいじゃん
みんなネタに飢えてたんだな

**anony** · 2016/01/30(土) 20:32:48.17

そこはほら
曲がりなりにも通信技術板ですから

**anonymous** · 2016/01/31(日) 03:57:14.39

>>150
openwrt使っている。
速度や安定性の面ではカスだけど、SSIDとVLANのマッピングできたり
syslog吐けたりcronで色々できたりと、機能面では業務用に匹敵するので。
満足はしていないけど、コスパは良いのでやむなし。

**anonymous** · 2016/01/31(日) 10:27:37.30

>>152
それは言えてる
昔買ってずーっと使ってる今のAMEが壊れたら、業務用アクセスポイント買うわ多分
ただ出力がでかすぎて頭痛くならないかちょっと心配だが

**Anonymous** · 2016/01/31(日) 12:02:18.66

ただ無線LANルーターよりアクセスポイントの方が高いんだよね
無線LANルーターをAPモードで使えばいいんだろうけど
なんとなく納得いかない

スレ違だけど俺は今度出るアライドのAP買おうかと思ってる。
5年保証付きで5万未満だったから。

**anony** · 2016/01/31(日) 21:34:12.51

自宅にDLNAサーバ(PCにTVersity)を置いて、実家のPS3で動画再生することってできる？
IXはそれぞれに1台ずつ置けるように持ってる。

**anonymous** · 2016/01/31(日) 21:53:58.58

やってる人いるね

http://www.plex-net.co.jp/grandprix/grandprixplex_en17.html

**anon** · 2016/02/01(月) 20:42:53.38

EtherIPなら高確率で出来そうな感じかな。
IPsecで接続したIX2台でpim-smでもいけるかも？

**anonymous@**57.72.239.49.rev.vmobile.jp · 2016/02/01(月) 21:33:34.22

>>163
フレッツだとプロバイダによっては速度的にTS生は厳しいよ
auひかりとかでやれば良いけどアップロード制限もある
生は危険

**anonymous** · 2016/02/02(火) 00:43:57.80

そのとおり
生はよくない

**anonymouse** · 2016/02/02(火) 00:49:11.80

そうそう、やるなら穴掘らないとね･･（意味深

あ · 2016/02/02(火) 09:42:30.45

おーい、生ってどういう意味？
穴掘るってVPNのトンネル？？

**anonymous@**161.76.239.49.rev.vmobile.jp · 2016/02/02(火) 11:47:42.42

>>169
TSの生データとトンネルの意味での生

**168** · 2016/02/02(火) 21:17:28.10

>>169
穴掘る云々は茶化しただけだから気にしなくて良いよ

あ · 2016/02/03(水) 11:36:59.41

>>171
すまぬ……
生は未圧縮データこと？
データ量でのプロバイダ規制って事かな？？
気になって夜も寝れなくなってきた

**anony** · 2016/02/03(水) 18:48:54.18

未圧縮だからビットレートが高くてインターネット経由だと速度的に厳しいかもってことだろ

**anonymous** · 2016/02/03(水) 19:34:36.28

>>164のリンク先とそのまたリンク先も読むと、RTTが7ミリセカンドの壁もあるみたいだしな
だからTVを直接DLNAサーバとかいうのにするんじゃなくて、PCサーバで一度録画したファイルを
PS3で再生しようってことなんだろ
TVとPCサーバの間はLAN内で済むから7msecもどうにかなるだろうし、使おうと考えてる
ソフトは対応形式も多いみたいだし
dlna+tversity+ps3のキーワードでググると一杯出てくるわ

あ · 2016/02/05(金) 08:18:23.02

>>173
おおーそういうことか
レスありがとー
自宅回線ADSLの俺には遠い世界の話だわ

**ポパたん** · 2016/02/12(金) 14:51:40.56

同一のネットワークアドレス（例　192.168.1.0/24）の２拠点をフレッツ光ネクスト経由でブリッジ転送するには以下のコンフィグでＯＫ？　! site1 sample configuration
hostname Router1
username admin password plain secret administrator
ip route 192.168.1.0/24 Tunnel1.0
ip ufs-cache enable
ip access-list sec-list permit ip src any dest any
ike proposal ikeprop encryption aes-256 hash sha
ike policy ngnike-1 peer ngn-dynamic key secret mode aggressive ikeprop
ike local-id ngnike-1 keyid ngnid-router1
ike remote-id ngnike-1 keyid ngnid-router2
ike nat-traversal force
ipsec autokey-proposal secprop esp-aes-256 esp-sha
ipsec dynamic-map ngnsec-1 sec-list secprop ike-binding ngnike-1
ipsec local-id ngnsec-1 192.168.1.0/24
ipsec remote-id ngnsec-1 192.168.1.0/24
ngn profile ngnprof-1
bandwidth 1000
interface GigaEthernet0.0
ip address dhcp
service-policy enable
service-policy output default-policy-map-ngn
ngn ip enable no shutdown
interface GigaEthernet1.0
ip address 192.168.1.254/24 no shutdown
interface Tunnel1.0
tunnel mode ipsec
dialer string 22-0000-0000
idle-time 120
ngn binding GigaEthernet0.0 ngnprof-1 ike-policy ngnike-1
ipsec policy tunnel ngnsec-1 pre-fragment out
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto no shutdown

**anon** · 2016/02/12(金) 20:03:55.03

>>176

ひかり電話を契約してデータコネクトで接続しようとしてる？
2拠点間を同一セグメントで接続するなら、データコネクトとether-ip(ipsec)を
組み合わせるような設定にしないとだめだと思うよ。

qq · 2016/02/24(水) 18:04:04.59

.
.
板違い（？）の上に、話をさえぎってしまいゴメンナサイ！(*_ _)人
でも、この板のユーザーさんにも有意義な告知かと思うのでカキコませてください。

★ 謝礼は十分いたします ★　アメブロなどのサイト制作ができる方！！　

アメブロなどを使用してのサイト制作のできる方を早急に求めています！
私はリケジョやPC女子からはほど遠く、サイト作成にはまったく疎いのでとても不自由しています…(> <；)
そこで私に代わりサイトを作成してくださる方を求めてこの場をお借りしました。

■サイトの内容…
アダルト系、違法性、その他公序良俗に反するものではありませんのでご安心ください。

■サイト制作の仕様ベース…
アメーバブログで十分です。願わくばwordpressなどのブログ形式のサイトを希望します。
それに準ずるもので使い慣れたものがあれば別のものでも構いません。

■条件はありません…
技術さえお持ちでしたら、学歴・職歴等は一切問いません。
フリーター、ニート、高齢ニート、コミュニケーション障害をお持ちの方、引きこもりの方、中年失業者、長期無職等、歓迎！

■作業形態…
作業は在宅でやって頂くことになりますので、時間の指定は一切ありません。別のお仕事の傍らに…でもOKです。

■詳細をお知りになりたい方は…
下記メールアドレスまでご連絡ください。詳しく書いた返信文を差し上げます。

※真剣な告知です。冷やかしはご遠慮ください。

井上
inoue1952w★gmail.com
迷惑メール対策のため＠部分を★にしてあります。
実際に送信する際には★を＠マークに変えてください。
.
.

**anonymous@**101-143-63-238f1.hyg2.eonet.ne.jp · 2016/03/03(木) 13:32:53.61

age

**anonymous** · 2016/03/08(火) 05:16:04.76

いまIX2105をマルチセッションで自宅鯖してるんですが、
PPPoEがけっこう重いらしく混雑時間には稼働率100%がザラに・・・

IX3110とIX2105ってオクで同じような値段なので、
性能を考えたらIX2105を2台にするよりIX3110のほうがお得・・・・

ファンが付いてる・デカい・動作温度が４０度っていう点でIX2105のほうが人気なんでしょうか？
それともみんな新品買ってるの？！

**anony** · 2016/03/08(火) 05:23:11.80

こういうルーターのファン付きはくっそうるさいし
こんなでかいの家庭で使いたいやつはいない

それでいて中古品を業務で使いたい業者はそんなにいないってところだろうか

**anonymous** · 2016/03/08(火) 09:13:49.86

>>180
IXでPPPoEが足枷になるほど重くなることはあまり聞いたことがないんだけど
切り分けはちゃんとした？

>>181も言うとおりIX3110は大きくてFANがうるさいから設置場所を選ぶよ

**anonymous** · 2016/03/08(火) 18:45:24.12

VPNについて教えてください。
VPNのクライアント側にIX2025を使用していますが、VPN接続する側のPCを必ず下記のように固定しないとできませんか？

ip napt static 192.168.0.100 tcp 1723
ip napt static 192.168.0.100 47

IX2025ではなくて他の家庭用ルーターなどをVPNのクライアント側に設置する場合は、その家庭用ルーターに接続しているPCやスマホなど複数端末から自由にVPN接続することができます。
IX2025でも同じようにVPN利用端末を固定しない方法はありませんか？

**anonymous** · 2016/03/08(火) 20:46:34.29

>>181さん
>>182さん
相当なレベルでファンがうるさいんですね・・・大きさはなんとかなるとしても、、悩みます。

PPPoE2本繋いでるだけで稼働率半分もっていかれて、
混雑時間のWebやWebSocketのNAPTであと半分持っていかれる感じです。

教えてくださってどうもありがとうございました。

**anon** · 2016/03/08(火) 21:35:09.59

PPPoEが重いというか、サーバへのアクセス数とかNAPTセッションが多すぎってことね

**anon** · 2016/03/08(火) 21:49:05.45

>>183
まず家庭用ルータなら複数端末から接続できてるのがよくわからないんだけど、
普通はどちらにしてもstatic napt(VPNパススルー)の設定が必要だから1台に限られるんじゃない？

[VPNクライアント(複数台)] --- [ルータ(NAPT)] ----- <internet> ------ [VPNサーバ]

この構成で複数台のVPNクライアントがVPNサーバに接続するには、
PPTPはあきらめてIPsec NATトラバーサルにするか、グローバルIPをLAN型払い出しで
契約するとかしかなさそうな気がする。
IPsecにするならルータからトンネルを確立した方が良さそうだけど。

**anonymous** · 2016/03/09(水) 00:35:40.64

カタログスペック上OKだからといって、調子に乗ってNATテーブル許可数65535なんてやってると痛い目を見たりする
Apacheだって初期状態だとMAXCLIENTは100くらいになってるはずなんだから、例えば4096もあれば十分だと思うんだが
なお4096の根拠は、かつてのYAMAHAのRTXシリーズがそうだったからという安直な理由から

**anon** · 2016/03/09(水) 00:46:26.51

>>183
NATの部分のコンフィグだけ書かれてもIX2025の相手（VPNサーバ）が何なのか分からないし、
どんな方式（IPsec？PPTP？）でVPNを構成しているかも分からないから、
それぞれの機器の設定事例集見た方が早いよ。
スレ住人はエスパーじゃないし。

**anony** · 2016/03/09(水) 02:18:21.04

>>184
ixシリーズはYAMAHAの糞ルーターと違って、
NAPT増えても結構さくさく動くけど
非力なix2105でなんでもかんでもやってる状態で無理させない方が良いと思う。

別に上限は下げなくてもいいので
TCPなどのエージング時間をもっと任意に短め設定にすると
これだけでかなり良くなると思う。

ix3110を持ってないからわからないけど
この手のルーターのファンは、通常いる部屋や寝室で改造無しで使わない方がいい
パソコン一台より、甲高くてうるさいことが多い

**anonymous** · 2016/03/09(水) 21:52:39.76

>>188
大体わかるし、>>186も分かってるようにみえる

**183** · 2016/03/10(木) 17:43:10.47

>>186
ご指摘のように業務用ルータで考えると、クライアント側ルータでIPsec NATトラバーサルするのが手っ取り早いのかもね。
でもクライアント側が海外にあるので、日本のIPだと閲覧しにくい現地のサイトがあって、
クライアント側のPCやスマホで見るサイトによってVPNのON/OFFを切り替えて利用したいと思っていました。
現在、クライアント側で使用中の家庭用ルータでは、複数端末から日本側VPNルータ（RTX1200）に
PPTPやL2TP/IPsecで同時接続できています。
業務用ルータではこんな変則的な利用方法は想定してないんだろうな

**186** · 2016/03/10(木) 21:31:08.16

>>191
それでも家庭用ルータなら同時接続できてる理由はよくわからないですねー
もしかしてUPnPで後から接続しようとした端末が優先されてるような状態なんじゃないですか？

**anonymous@**117.102.196.196.static.zoot.jp · 2016/03/11(金) 19:21:53.15

家庭用としての使用を想定した運用をしています。
現在、WAN側のみInterLink固定割当で、NATにて使用中。
下記コンフィグのように書いているんだけど、フィルタの当て方間違ってねえか？とおもい悩んでます。
最初に全許可（全開放）してから不味いポートを閉じる運用が正解なのでは？と思ってます。

結局、NAPT設定してポートフォワードしないかぎり、LANには入れないとは思うのですが、このあたりのところすっきりしません。

・フィルタ適用は全開放→要所締めるでいいのか？
・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは？全クライアントがグローバルIP付与なら話は違う気がする…。

という二点の疑問があります。過去スレで二点目に関しては、NAPTが簡易FWになるという発言も見られましたが、いまいちすっきりとしていません。

config自体、設定事例集やWEBのつぎはぎで、無駄も多いと感じます。先輩の皆様方のアドバイスお願いします。

以下、問題のコンフィグ（一部省略）

!
ip route default FastEthernet0/0.1 distance 100
ip route default FastEthernet0/1.1
ip dhcp enable
ip access-list admin_console permit ip src any dest 192.168.50.0/24
ip access-list all-block deny ip src any dest any
ip access-list all-forward permit ip src any dest any

**anonymous@**117.102.196.196.static.zoot.jp · 2016/03/11(金) 19:22:41.29

>>193の続き
ip access-list lan-allow permit ip src 192.168.50.0/24 dest any
ip access-list management permit ip src 192.168.50.0/24 dest any
ip access-list management2 permit ip src 192.168.2.0/24 dest any
ip access-list nbt-block deny tcp src any sport any dest any dport eq 135
ip access-list nbt-block deny tcp src any sport range 137 139 dest any dport any
ip access-list nbt-block deny tcp src any sport any dest any dport range 137 139
ip access-list nbt-block deny tcp src any sport any dest any dport eq 445
ip access-list nbt-block deny tcp src any sport eq 445 dest any dport any
ip access-list private-block deny ip src 192.168.0.0/16 dest any
ip access-list private-block deny ip src 172.16.0.0/12 dest any
ip access-list private-block deny ip src 10.0.0.0/8 dest any
ip access-list private-block deny ip src 0.0.0.0/8 dest any
ip access-list private-block deny ip src 127.0.0.0/8 dest any
ip access-list private-block deny ip src 169.254.0.0/16 dest any
ip access-list private-block deny ip src 192.0.2.0/24 dest any
ip access-list private-block deny ip src 224.0.0.0/4 dest any
ip access-list srv-pass permit tcp src any sport any dest any dport eq 80

**anonymous@**117.102.196.196.static.zoot.jp · 2016/03/11(金) 19:23:19.21

>>194続き
ip access-list srv-pass permit tcp src any sport any dest any dport eq 443
ip access-list srv-pass permit tcp src any sport any dest any dport eq 3050
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5901
ip access-list srv-pass permit tcp src any sport any dest any dport eq 5555
ip access-list srv-pass permit udp src any sport any dest any dport eq 500
ip access-list srv-pass permit udp src any sport any dest any dport eq 4500
ip access-list srv-pass permit udp src any sport any dest any dport eq 1701
ip access-list srv-pass permit udp src any sport any dest any dport eq 2022
ip access-list tcp-pass permit tcp src any sport any dest any dport any
ip access-list udp-pass permit udp src any sport any dest any dport any
ip access-list dynamic tointernet dns src any dest any
ip access-list dynamic tointernet ftp src any dest any
ip access-list dynamic tointernet http src any dest any
ip access-list dynamic tointernet sip src any dest any
ip access-list dynamic tointernet telnet src any dest any
ip access-list dynamic tointernet access tcp-pass
ip access-list dynamic tointernet access udp-pass
ip ufs-cache enable

**anonymous@**117.102.196.196.static.zoot.jp · 2016/03/11(金) 19:24:38.39

>>195続き
ip name-server 203.141.128.33
ip name-server 8.8.8.8
!
proxy-dns ip enable
!
telnet-server ip enable
telnet-server ip access-list lan-allow
!
http-server username admin
http-server ip access-list admin_console
http-server ip enable

ppp profile interlink
　（略）
!
ip dhcp profile shanai-lan
assignable-range 192.168.50.30 192.168.50.60
default-gateway 192.168.50.1
dns-server 192.168.50.5 192.168.50.1
fixed-assignment （略）
!
!
次で最後です

**anonymous@**117.102.196.196.static.zoot.jp · 2016/03/11(金) 19:25:42.81

interface FastEthernet1/0.0
ip address 192.168.50.1/24
ip dhcp binding shanai-lan
no shutdown
!
（中略）
!
interface FastEthernet0/1.1
encapsulation pppoe
auto-connect
ppp binding interlink
ip address ipcp
ip napt enable
ip napt service
ip napt service （略）

ip filter nbt-block 10 in
ip filter private-block 20 in
ip filter srv-pass 130 in
ip filter ssh-pass 140 in
ip filter ftp-pass 150 in
ip filter gwmng-pass 60000 in
ip filter all-forward 65000 in
ip filter all-forward 65000 out
no shutdown
!

小出しにすると判断しにくいと思いほぼ全文投稿させて頂きました。
過疎スレとはいえ、貴重なスレ消費、失礼しました。

**anon** · 2016/03/11(金) 20:45:13.01

>>193
・フィルタの適用順序は「シーケンス番号→その中でアクセスリストの上から→どれにも該当しなければ次のシーケンス番号…」という流れなので、

>・フィルタ適用は全開放→要所締めるでいいのか？
この場合だとall permitが先に全部通してしまうのでだめです。

・一部開放→全部締める(実際は暗黙のdenyなので、設定はpermitだけ)
・一部締める→全部開ける

そのため、上記のどちらかのフィルタ適用順序が一般的です。

>・結局、ポートフォワードしないかぎり、WAN側からLAN側へはアクセス出来ないのだから、フィルタ設定は大して意味ないのでは？
NAPTがある時点で外側開始の通信は遮断されているので、フィルタ設定はそれほど意味はありません。
使うとすれば、ポートフォワードしている通信の中で、一部のソースアドレスをblockしたい場合などではないでしょうか。

**anonymous** · 2016/03/12(土) 00:06:52.55

なんか昔書いたYAMAHAのサンプルコンフィグをIX用に変換したものに似てる
その後変な自称知識人に絡まれたがｗ

**ix2015しか使えない貧乏人** · 2016/03/12(土) 00:08:14.86

>>198
回答ありがとうございます。勉強になります。>>198の回答をまとめますと、

・開放したいポートを列挙→その後全部締める
→この方法だと開放したいポートを限定でき、家庭用ルータの設定ポリシーと似通ったものになる。暗黙のdenyを用いる方法であるので、permitだけ記載すればOKである。

・一部締め全て開ける→上記と逆のアプローチ

・現在設定している内容だと、ほぼ意味無しなので改善すべきだ。

ということでしょうか。ただ、結局NAPTがありますので、フィルタ設定にそれほどシビアになる必要はなさそうですね。海外IPブロック対策などでは有用そうですので、そちら方面での使用を検討してみます。

もう一点ご教示願います。LAN内部の一部ホスト（例：XP機などイントラのみで動作させたいもの）のパケットをWANに出したくない場合は、LAN側インターフェースでフィルタ制限を行えば良いのでしょうか?先ほどの設定例ですと、特定ホスト用フィルタ
ip access-list XP-block deny ip src 192.168.50.150 dest anyを定義し
interface FastEthernet1/0.0に対して
ip filter XP-block 10 outと設定してやる感じでしょうか？

DNSサーバー欄を空欄にするという対応でも対処は可能なのですが、イントラ内で稼働しているサーバにはアクセスしたく、それらの名前解決をdnsmasqで簡易的に行っているため、ゆくゆくはルータ側フィルタで制限をかけたいと感じてます。