X


YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net

■ このスレッドは過去ログ倉庫に格納されています
2017/08/06(日) 08:48:52.95ID:???
【お約束】
ここはYAMAHAルーターなどで小規模〜大規模のネットワークを
構築、運用する人のための情報交換スレッドです。
ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ

【公式サイト】
RTXシリーズルーター
http://jp.yamaha.com/products/network/routers/
RTpro - ヤマハネットワーク周辺機器 技術情報ページ
http://www.rtpro.yamaha.co.jp/
ヤマハネットワーク機器
http://jp.yamaha.com/products/network/

【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 20
http://peace.2ch.net/test/read.cgi/hard/1418612262/
YAMAHAヤマハブロードバンドルーターpp select 21
http://echo.2ch.net/test/read.cgi/hard/1453996883/
YAMAHAヤマハブロードバンドルーターpp select 22
http://echo.2ch.net/test/read.cgi/hard/1485617399/

【過去スレ・前スレ】
YAMAHA業務向けルーター運用構築スレッドPart16
http://hayabusa6.2ch.net/test/read.cgi/network/1437244766/
YAMAHA業務向けルーター運用構築スレッドPart17
http://hayabusa6.2ch.net/test/read.cgi/network/1450925974/
YAMAHA業務向けルーター運用構築スレッドPart18
http://hayabusa6.2ch.net/test/read.cgi/network/1464191922/
YAMAHA業務向けルーター運用構築スレッドPart19
http://mao.2ch.net/test/read.cgi/network/1485790427/
260anonymous
垢版 |
2017/10/12(木) 16:16:17.02ID:???
>>259 利用者数によるけど 1200で1000は多すぎかな
300 ぐらいから初めて良いかと
nat descriptor masquerade session limit 1 1 300

RTX1200が20000、3500が65534って事になってるけど
実際はその1/3 RTX1200で7000 3500(1210)で20000ぐらいで
・体感できる遅延
を感じるので1000では7人がおかしな使い方しただけで遅延するし
それ以前に1ホストで1000行くのを見ることは少ないから意味のないフィルターになりそう

1210からは total 設定もできるんで20000ぐらいにしておいても良いのかもしれないね
nat descriptor masquerade session limit total 20000
2017/10/12(木) 21:56:18.96ID:???
色々と考えさせられます。
やはり近年は、様々なネットサービスの多くはセッション数を大量に
消費するようになってきているのでしょうか。

今日、色々とアプリを起動したり、ブラウザのタブを開いたりしてみたのですが、
ブラウザのタブをたくさん開くと、やはりセッション数が増大します。
262NatTimer
垢版 |
2017/10/12(木) 22:36:56.68ID:???
>やはりセッション数が増大します

あたりめーだろw
263anonymous
垢版 |
2017/10/12(木) 23:04:00.24ID:???
>>260
torrent使うとWebどころかTelnetすら応答しなくなってきてびびった
264anonymous
垢版 |
2017/10/12(木) 23:34:59.35ID:???
>>261
まああれだな
なぜそれぞれのタブに正しくパケットが届くのか知ってれば自ずと理解されよう
265g
垢版 |
2017/10/13(金) 00:20:04.48ID:???
社員のほとんどが呪文を唱えた「Office365!」

RTX1000は即死した
RTX1100は即死した
RTX1200は動きが遅くなった
RTX810はなんとか耐えている
FWX120は余裕を見せている
2017/10/13(金) 01:08:29.60ID:???
office365使ったことないのでわからないですが、セッション大量につかうんですか?

>>262
タブに関しては、以前に開いてあったタブをタップしても増大するという意味です
Safariがカスなのか、Chromeが優秀なのかソフトウェア固有の事情はよくわかりませんでした
267anonymous
垢版 |
2017/10/13(金) 02:28:46.22ID:???
>>265
RTX1210はうたた寝をしている
268anonymous
垢版 |
2017/10/13(金) 08:17:36.44ID:???
セッション数に上限つけたらアプリがおかしくならんの?
普通、fin後にすぐNATテーブル解放させて負荷軽くするもんじゃね?
2017/10/13(金) 08:28:38.91ID:???
office365は、outlookのスケジューラがなぁ…。
「なに考えてるんだMS!」っていうセッションの使い方だよな。
270anonymous
垢版 |
2017/10/13(金) 08:37:34.96ID:???
>>268 ならんよw
そこまで絞ってるわけでもないし

あとoutlook(office365)の人の意見は無視していい
盛大な勘違いで赤っ恥状態だから無視してあげるのが親切
271anonymous@fusianasan
垢版 |
2017/10/13(金) 09:37:19.77ID:CrXK+Prn
>>268
NATテーブルの解放のタイミングっていつなんでしょうね。
以前開いてあったタブをクリックして、show nat descriptor addressをすぐすると、増大しました。
そして、5秒後ぐらいでも、まだでていましたが、10秒ぐらいすると、減っていきます。

show nat descriptor addressの結果がリアルタイムかどうかも気になるところです。
272jaghe
垢版 |
2017/10/13(金) 09:48:58.94ID:???
  入力形式: nat descriptor timer NATディスクリプタ番号 秒
     nat descriptor timer NATディスクリプタ番号 tcpfin 秒
     nat descriptor timer NATディスクリプタ番号 protocol=プロトコル
     [port=ポート範囲] 秒
     NATディスクリプタ番号 = 1-, 秒 = 30-21474836 または
     1-21474836(tcpfinのみ)
  説明: 動的なNATの組を消去するためのタイマを設定します
デフォルト値: 900, 60(tcpfin)
273anonymous
垢版 |
2017/10/13(金) 12:25:33.11ID:???
ip filter 〜 の番号の採番ってどうしてますか。
すぐに、大昔のBASICで使ってた行番号みたいなスパゲティになっちゃうんですが。。。

この番号は、あちこちに使われますよね
しかも in と out と向きまである

・lan/pp/tunnelに対するフィルタ
・ダイナミックフィルタを手動で作るとき
・フィルタ型ルーティング
・ パケット転送フィルター

等々・・・
274anonymous
垢版 |
2017/10/13(金) 14:31:28.24ID:???
office365てかWindows10のアップデートがP2P仕様になったからだと思うけど違うの?
275anonymous
垢版 |
2017/10/13(金) 15:14:49.73ID:???
>>274
初めてきいた
276anonymous
垢版 |
2017/10/13(金) 15:23:33.02ID:???
>>274
ブランチキャッシュのこと言ってるのかもしれんが
それなら逆にFWの負荷下がるはず。
277anonymous
垢版 |
2017/10/13(金) 15:38:17.90ID:???
>>276
それは同一LAN内だけを選択した場合じゃね?

インターネット側も選択してたら提供される側提供する側両方になるとおもったけど
278anonymous
垢版 |
2017/10/13(金) 15:39:46.96ID:???
そんな選択肢あったっけっていうか
外部に接続にいったらNW負荷軽減という目的がかなわないじゃん
279anonymous
垢版 |
2017/10/14(土) 02:29:05.31ID:???
MSにとっては目的はパッチの早期適用なんで負荷軽減なんて次の次
280anonymous
垢版 |
2017/10/14(土) 09:03:06.49ID:???
CiscoさんのQoSって重くならないのかな?少し機になってる
281anonymous
垢版 |
2017/10/14(土) 22:13:46.66ID:???
>>279
企業としての活動だから、セキュリティーをいい加減にしたというバッシングを避けようとしているのだろうな。
でも、その自動更新活動は、Windows10で過剰になって、ユーザーからのバッシングが高まっただろう。
282anonymous
垢版 |
2017/10/15(日) 15:52:10.55ID:???
VistaのUACみたいなもんならともかくなぁ
Googleあたりが見つけた脆弱性を公開する方針を変更しないと餌食になりまくってる気がする
スレチだけど
2017/10/15(日) 19:15:47.71ID:???
分離された192.168.100.0/24(ネットワークA)と192.168.200.0/24(ネットワークB)の2つのネットワークがあって、
ネットワークAに192.168.100.10でWebサーバーがあるんだが、2つ目のネットワークからこのWebサーバーが見たい。
RTXを2つのネットワークに所属するように設置し、プロキシサーバー的につかうことはできる?
(キャッシュするのではなく、Twice NAT的に使う)
284anonymous
垢版 |
2017/10/15(日) 19:42:26.97ID:???
LAN1を100.0/24にしてLAN2を200.0/24にして
デフォゲにするかデフォゲの経路をちゃんと書けば余裕でしょ
285283
垢版 |
2017/10/15(日) 19:59:54.34ID:???
ネットワークAとネットワークBはルーター、PC含めて一切設定をいじらない前提です。
286anonymous
垢版 |
2017/10/15(日) 20:21:00.41ID:???
二つのネットワークのデフォゲってなによ
それぞれ別なルーター2台ある状態なのか?

プロキシサーバー的につかうの意味がわからん
287283
垢版 |
2017/10/15(日) 20:32:04.01ID:???
ネットワークAのデフォルトゲートウェイは192.168.100.1
ネットワークBのデフォルトゲートウェイは192.168.200.1
です。

ネットワークBのPCからブラウザでhttp://192.168.200.10を表示したら、
ネットワークAの内で192.168.100.10のWebサーバーにアクセスしたときと
同じ結果を得たいと考えています。

RTXのLAN2を192.168.100.254、LAN3を192.168.200.10に設定し、
RTXのルーティングでなんとかしたいです。

例)

ネットワークBのPC 192.168.200.150からアクセス
(1) 192.168.200.150:xxxxx→192.168.200.10:80のパケット送信
(2) RTXがLAN3のインタフェースから上記パケット受信
(3) 受信したパケットのSourceアドレスとDestアドレスを書き換えて
(3) LAN2のインターフェースから192.168.100.254:yyyyy→192.168.100.10:80のパケット送信
(IPマスカレード必要)

という感じで、戻りもキチンと考える必要があります。
288283
垢版 |
2017/10/15(日) 20:58:29.92ID:???
ちなみに、Edgerouter使ったら簡単にできた。

ネットワークBからのルータを宛先とするPort80のInboundに対してDestination NATで宛先をネットワークAのWebサーバーに変更
ネットワークAへのOutboundに対してIP Masquerade。

会社でRTX 1100とCisco 1841が余っているから、これを使ってなんとかしたい。
289anonymous
垢版 |
2017/10/15(日) 21:14:10.91ID:???
LAN3に静的IPマスカレードを設定してLAN2にIPマスカレードを設定したら出来るんじゃね?
290anonymous
垢版 |
2017/10/15(日) 21:54:55.17ID:???
>>289
でできそうだな

既存に影響与えないんだしRTX 1100で試してみたら?
291283
垢版 |
2017/10/15(日) 22:48:47.81ID:???
ありがと。
だな、とりあえずやってみるか。
292anonymous
垢版 |
2017/10/16(月) 07:55:10.04ID:???
>デフォゲ
略さずにはいられない
293hage
垢版 |
2017/10/16(月) 14:34:49.25ID:???
監視サービス系のせいでnetvolanteの名前解決がコケるってアナウンスたったけど
そもそも、TTLが物凄く短く切ってあって
監視サービスじゃなくてもアクセスするたびに名前解決いくようなもんだから仕方ないような・・・
294anonymous
垢版 |
2017/10/16(月) 14:43:44.19ID:???
>>292 カタカナ用語が多いので短縮する癖が付くんだよ
295anonymous
垢版 |
2017/10/16(月) 16:51:31.92ID:???
サーバ増強ついでにIPv6に対応させて欲しい。
296anonymous
垢版 |
2017/10/16(月) 17:37:03.92ID:???
TTLが短い方がダウン時間も短くなるから
297anonymous
垢版 |
2017/10/16(月) 18:06:05.22ID:???
WPA2に脆弱性が発見されたそうだ。
もう原始時代に戻るしかないな。
298anonymous
垢版 |
2017/10/16(月) 18:46:49.62ID:???
このへんか。どうなるんだろうね……

WPA2 の脆弱性について - 技術的な何か。
http://ykore.hatenablog.com/entry/2017/10/16/125053
299
垢版 |
2017/10/16(月) 18:51:46.35ID:???
企業ネットワークでAP設置しているところは多いと思うけど、
見直した方が良いんだろうね。
侵入されたときに備えて、セグメント分ける必要があるかも。
300anonymous
垢版 |
2017/10/16(月) 19:18:57.84ID:???
無線LANを使用中止にすれば、とりあえず安全だけど
無線LANオンリーにしてるところはどうするんだろ?
意識高い系のオフィスだと有線使ってないだろうし
301anonymous
垢版 |
2017/10/16(月) 20:30:41.60ID:???
TKIPが入ってないアップデートが来ておしまいじゃね。
302anonym
垢版 |
2017/10/16(月) 20:49:39.96ID:???
WPA/WPA2のハイブリッドモードにしていなければ桶?
303anonymous
垢版 |
2017/10/16(月) 21:25:31.64ID:???
>>300
配線がごっちゃごっちゃになるから、
一時期完全な無線化も考えたことがあったが、
どうも公共の電波つかいながらの認証方式は信用できなくて、しなくてよかったわ。
304anonymous
垢版 |
2017/10/16(月) 21:33:25.06ID:???
パッチで対応可能らしい
305anonymous
垢版 |
2017/10/16(月) 22:32:08.10ID:???
NetvolanteDNSサービスはもうすこし柔軟になってもいいと思うの
306anonymous
垢版 |
2017/10/16(月) 22:34:26.28ID:???
柔軟性?逆に何が不満なの?
307anonymous
垢版 |
2017/10/16(月) 22:47:20.43ID:???
パソコンからIPアドレス変更できない
308a
垢版 |
2017/10/16(月) 23:53:23.10ID:???
>>307
それができたら、netvolanteDNSの存在意義が変わってしまうし
309anonymous
垢版 |
2017/10/17(火) 00:07:22.09ID:???
まぁ既存のDDNSサービスを簡単に使えるようにすればいいだけだけどな
310anonymous
垢版 |
2017/10/17(火) 08:56:50.45ID:???
話題になっている無線LANの脆弱性ってAP側じゃなくてクライアント側じゃん
311anonymous
垢版 |
2017/10/17(火) 09:26:26.60ID:???
>>310
パッチあてやすいというこだな
312anonymous
垢版 |
2017/10/17(火) 10:28:19.57ID:???
RTX830はUSBでコンソールつかえるらしいがteraTermからじゃ無理?
313anonymous
垢版 |
2017/10/17(火) 10:40:03.83ID:???
USBでCOMポート割り当ててるんじゃね?
たぶんできると思うけど
314anonymous
垢版 |
2017/10/18(水) 00:01:01.17ID:???
USBコンソールってどうなんだろうね。趣味以外の分野ではあと10年はRS-232C経由の指示が出そう
そろそろボーレートあげてほしい
315anonymous
垢版 |
2017/10/18(水) 00:04:05.91ID:???
設定すれば多少は高速になるじゃん。
316anonymous
垢版 |
2017/10/18(水) 00:31:28.22ID:???
ATコマンドみたいに自動でDTE速度決める設計にしてほしかった
317anonymous
垢版 |
2017/10/18(水) 15:41:32.09ID:???
>>314
RSもシスコケーブルになった
318anonymous
垢版 |
2017/10/18(水) 15:43:53.41ID:???
そういえば、いまだにYamaha印のコンソールケーブル売ってないの?
シスコ製は持ってるので別に良いんだけど
319sage
垢版 |
2017/10/18(水) 17:40:29.22ID:???
もしかして YRC-RJ45C
320anonymous
垢版 |
2017/10/18(水) 18:16:04.26ID:???
管理インタフェース作ればシリアルとかいらんのにな。
頭固いCEの為に残してるって感じだな。
321anonymous
垢版 |
2017/10/18(水) 21:41:11.97ID:???
RTX1100のリプレイスの時に当時の箱開けて気づいたけど、昔はRS-232Cケーブル付属してたんだよなぁ
シスコさまもつけてるんだし、最初の機種ぐらい付属してくれてもいいのにね
322anonymous
垢版 |
2017/10/18(水) 21:52:08.60ID:???
シスコさんは付属してないシリーズを推しているから
まあどうかな。
323anonymous
垢版 |
2017/10/18(水) 22:00:45.06ID:???
>>322
でも891FとかRTX1210と張り合う機種はついてるじゃん。
まー、イラネーヨってぐらい余ってるけどね。5年後ぐらいにはヤマハのメスコネクタ持って来るのわすれた!とかやらかしそう
2017/10/19(木) 20:17:26.77ID:???
すいません、RTX1200でL2TPのリモートアクセスをRADIUS認証していて
とりあえす3ユーザの同時接続はできたんですが限界数の100までは
tunnelを残り97個記述しないとダメですか?
なんかえらい冗長な設定だなぁ、、、と。
325anonymous
垢版 |
2017/10/19(木) 21:52:31.45ID:???
>>324
そもそもRTX1200でL2TPなんて1人でもスピード出ないんじゃね?
2017/10/19(木) 21:56:47.32ID:???
なのでRTX1210ではマルチポイントトンネルが実装された次第
2017/10/19(木) 21:59:22.91ID:???
この時間でも30M/bitほど出てますね。
実際にはスマートフォンのテザリング経由がメインなんで
一人1M/bitも出れば十分なんです。
実際の同時接続数も30ぐらいかもしれんのですが設定途中まで
やってこれ全部tunnel作らないといけないのか?ってなりまして。
2017/10/19(木) 22:08:34.76ID:???
>>326
なるほど〜。やりたかったのはコレですね。
しょうがない全部記述するか。
2017/10/19(木) 22:14:01.09ID:???
マルチポイントはL2TP非対応なので、結局はRTX1200と変わらないんだよな…
330anonymous
垢版 |
2017/10/19(木) 22:59:46.48ID:???
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipsec/tunnel_template.html

こういうのじゃないの?
やったことないけど
331anonymous
垢版 |
2017/10/19(木) 23:43:13.28ID:???
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/xauth.html
2017/10/20(金) 00:10:07.23ID:???
>>330
これで十分ですわ。ありがとう。

>>331
IPsec XAUTHってどうなんでしょ?Windwso10で接続できるんかな?
333anonymous
垢版 |
2017/10/21(土) 00:38:59.38ID:???
>>328
そこまで人数いるならYAMAHAは運用コスト高くなりがちでお勧めしない
可能であればFortigateあたり追加したほうが・・・
予算無ければ適当なサーバにpfSenseとかの方がまだマシ
334anonymous
垢版 |
2017/10/21(土) 07:30:45.35ID:???
運用コスト重視でいくとVPNのためだけにFortigateをベースモデルで買うのももったいない話だがなw
335
垢版 |
2017/10/21(土) 10:36:25.13ID:???
>>332
Radiusはもうあるなら、実験するのは簡単なんだから
テスト用に1個作ってみればええやん

Windows、MAC、iphone、Android・・・
端末のテストがやってられないけどw
2017/10/21(土) 12:55:51.72ID:???
>>335
まあ、だから実績のあるYAMAHAのL2tpでやってるんですけどね(-_-;)
337330
垢版 |
2017/10/22(日) 09:47:01.96ID:???
ひまだから>>330のやつやってみたけど「ip tunnel tcp mss limit auto」はコピーされないっぽいな。
確かに識別番号とか無いコマンドだからしょうがないんだろうけど「l2tp tunnel disconnect time 600」なんかはコピーされてるし

tunnel select 3
tunnel template 4
って入れるだけでtunnel4にコピーされてて不思議な感じ。pre-shared-key一緒だとほんとこれだけ。

sh con tunnel 4 expand
ってやると展開された結果が見えるけど、普通にsh conだと何もないから不気味だし
保守性落ちるからコメント必須だろうな
338anonymous
垢版 |
2017/10/22(日) 17:47:43.58ID:???
ループ処理するスクリプト書いてconfig生成すりゃいいじゃん
今時簡単なコード書けないやつは直ぐ食いっぱぐれるぜ
339anonymous
垢版 |
2017/10/22(日) 18:50:10.97ID:???
>>338
もう10年くらい前からコード書けないと駄目人間扱いされるわ
俺は配線工事できるから、そっちで食いっぱぐれないけど
340anonymous
垢版 |
2017/10/22(日) 22:32:24.98ID:???
この先生きのこるために、無線案件こなしてかなきゃな
手離れ悪いから正直やりたくない

配線工事兼務なんて基本じゃ
341sage
垢版 |
2017/10/22(日) 23:42:48.38ID:???
全部中途半端なんだろうけど、
ネットワーク関係(小規模のネットワーク構築、ルーター設定)
IP電話(ASTERISK)
プログラミング(C#で業務ソフトウェア構築)
サーバ構築(Linuxで、postfixメール、sambaファイルサーバ、)
一通りするよ。
342anonymous
垢版 |
2017/10/22(日) 23:46:28.82ID:???
器用貧乏ってやつだ
2017/10/23(月) 00:40:28.81ID:???
>>342
俺もそれだ
344anonymous
垢版 |
2017/10/23(月) 01:24:24.22ID:???
ヤマハルータ扱ってるとこは電話屋がVoIPに乗った時にやってるイメージ
で、社内にパソコンに強い奴がいたらサーバとかもやるようになってそいつが辞めて大変なことに・・
2017/10/23(月) 04:39:31.76ID:???
IPv6 MAP-E 対応は予定ないらしい。
マッピング解釈なんてしなくてイイから、NATポート範囲15ブロック許容して欲しいんだが。
346a
垢版 |
2017/10/23(月) 13:54:07.44ID:???
>>342-343
https://mayonez.jp/topic/1213
347
垢版 |
2017/10/23(月) 13:55:41.26ID:???
>>344
ぶんしょうへたくそ
348anonymous
垢版 |
2017/10/23(月) 14:47:18.93ID:???
フィルター番号を横にずらずら書くの何とかしてくれないかな
リストしても見づらい、コピペも大変。
ip pp secure filter out 20010-20090
と書くことができればよいのだが。

あるいは日電みたいにまとめて名前付けるとか
349anonymous
垢版 |
2017/10/23(月) 22:53:29.29ID:???
SRT100,FWX120のフィルタはみてるだけで発狂しそう
350anonymous
垢版 |
2017/10/24(火) 22:52:49.81ID:???
>>345
同意だけど自分の環境では範囲指定4つでも困ってないな
351anonymous@fusianasan
垢版 |
2017/10/29(日) 10:23:31.47ID:jxEOw74x
vpn構築してテレビ会議を導入したいのですが、配信and録画もできて、アーカイブ残せるソリューションでいいところありますか?
352g
垢版 |
2017/10/29(日) 11:19:52.57ID:???
skype for businessがコスパ最高なんじゃないかな。

専用ソリューションならソニー、NECだろうけど。
2017/10/29(日) 12:52:30.99ID:???
インターネット越しのサーバが処理するような配信、録画できるソリューションと、
VPN構築してP2Pでできるソリューションなら、圧倒的にVPN構築したほうがやすいですよねぇ
2017/10/29(日) 18:57:25.14ID:???
テレビ会議ならwebrtcでええんでねえの?
vpnいらないと思うが録画ができたか知らない
355anonymous
垢版 |
2017/10/30(月) 00:39:06.51ID:???
お前ら完全にスレ違い。
356a
垢版 |
2017/10/30(月) 02:00:23.33ID:???
どおりで、参加しづらいと感じたわけだ
357a
垢版 |
2017/10/30(月) 02:01:06.05ID:???
レイヤー4までの会話なら許されますね
2017/10/30(月) 11:58:35.14ID:???
スレ違い失礼しました。

RTX3500をもっているのですが、上長がインターネット越しのサービスを使おう
といってきたので、せっかくRTX3500もってるのなら、
もっと安価に構築できないかと思っていたのです

webRTCも検討に入れてますが、アーカイブをどう残していくのかが課題となりそうです
359anonymous
垢版 |
2017/10/30(月) 12:59:30.92ID:???
>>358
HDMIのキャプチャすればいいのに…
2017/10/30(月) 16:38:57.92ID:???
>>359
技術的にはキャプチャでも可能ですが、
誰が使っても扱いやすいようなものにしたいというのが要望なようです

個人的には、webRTC使って開発してみたいですけどね
■ このスレッドは過去ログ倉庫に格納されています