YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
macとどうこう以前にyamahaのdns実装がクソ。yamaha使うなら外部キャッシュをdhcpで払い出すのオススメ 830 入手しましたよ。
金属筐体で通風の穴というか溝がなくなった。
電源ケーブルが外せるようになった
コンソールケーブルがシスコと同じになった
立ち上がりが30秒ちょっとかかる。やや遅い気がする。 >>426
バグは今のところ見当たらず。というかそんなに使ってない
Web画面がかなり変更になった。
先頭画面もなんだかよくわからないしFWは一覧で見えてON-OFFしやすい前の画面のほうがよかったな。
FW設定をWEBでやることはないのだから確認しやすい前のほうが良い。
何の為にあるのだかわからない provider 命令がなくなった。 総じて前の画面の方がよかったね
まぁ素人さんには受けは良いのかもしれないけど >>426
GUIは1210と共通?
810からの移行だと戸惑うだろうな >>428
GUIは素人用じゃないの?
プロはCUIでしょ GUI使うと既存の設定と合わせなきゃいけないしめんどくさいが httpd service offってやってるベンダはまだ多いのかな? >>433
管理者権限渡さない会社多いぜ
ある意味それは正しい
少しでも安いところ使おうとして
ゴミだらけのconfig プロから見てDHCPってどうなの?
いまでもまだ不要なものなの? ONU-OG(VoIP)-RTX1210
って環境でRTXからPPPoE張ってる場合、
OGとRTXのネットワークアドレスが同じでも問題ないもんなの?
最近、引き継ぎ案件で何度か同じ環境に出くわして疑問に思った。 RTX経由でOGにアクセスする必要がなければ問題ない >>438
ネットワークアドレスが同じだからこそ通信できると思ったが 違うインタフェースに同じネットワークアドレスはルーティング出来ない
馬鹿は黙ってろ >>437
超簡単に説明すると、OG(VG)=RTXの間の通信は違う方式だから問題ない
OG(VG)側が192.168.1.0/24でRTXのLAN側も192.168.1.0/24みたいな現場はたくさんあるよー
セッションプラスとかでフレッツ・スクウェアにつなぎたいときにはその線外して(OGなら別のポートに指すだけでもOK)
直接パソコンからPPPoE設定入れてつないだ方が『早い』
WAN側にIPv4アドレス振ってOG(VG)側にルーティング書いてどーたらすりゃできるけどそこまでしょっちゅう使わないっしょ >>443
簡単繋がるからと、既設のAP外してそれに付け替えてた顧客がいたなw
まあFONよりましだがな。
Office365もHOME IoTとかも普及しだしたし、この先中小企業のルーターはパンクラッシュだぜ。。。 楽天モバイルの050SIM契約でViber outというサービスを使えるんだけど、
これとFusion 050との通話って、無料だろうか。 >>437
OG配下の端末とRTX配下の端末が相互に通信しない限り問題は無いよー 誰がソフトバンク光のipv6をbbユニット無しで、onu-ルーター直結で利用出来てる人居ますか?
ネット上の意見は使えるor使えないで、ハッキリしてないな >>449
>WPA2プロトコル脆弱性対応
プロトコルをいじったら、バージョン変らないのかな。
WPA2+とか。 >>453
Nonceのリセット強制してセッションKEYを再利用させられる脆弱性だから
そこだけパッチするんでは。
クライアント側だけでも対応可能ということは、どうしてるんだろ? 夏までの間に客に罵倒され続けたから
もうYamahaのAPは触りたくない・・・
でも客にFW更新されたこと伝えなきゃ
あーでも関係がぎくしゃくしてるからメールしたくない >>456
あとでバレるとなんで早く教えないんだってうるさいから怒られても気にせず告知だけはしておいた方がいい
時間は戻せない
ファームウェア更新したところで・・・だけど ルータと同じレベルを期待してAP買ったら死ぬぞ。
WLXは宗教上の理由でヤマハしか使えない人向け。 教えてくんですみません。
RTX1210とCiscoの異機種間でIPSec VPNを張る必要があるんだが
きっかり18時間または36時間でTunnel Down →Upするという現象に悩まされています。
CISCOのサイトにそれっぽいことが書いてあって
https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/81824-common-ipsec-trouble.html#vpndisc
確かにRTX側のログでも Tunnel Downの直前に
[IKE2] SA:**/CHLD_SEND temporarilyassigned
[IKE2] SA:**/CHLD_RECV temporarilyassigned
[IKE2] SA:**/CHLD_SEND deleted
[IKE2] SA:**/CHLD_RECV deleted
が記録されているので、たぶんSAのライフタイム?の問題なんだろうというのは
漠然とわかるんだけど、勉強不足で、それが何を意味するのか&どうしたら良いのかが
判らんのです。
どうやったらTunnelが落ちなくなるのか
教えてエロい人(´・ω・`) >>461
RTX側にipsecのkeepaliveが入ってればそれ省いてみて。 302のファーム無さそうだな
アルバにでも買いかえるか お金に余裕有ればAruba
お金無いならRuckus
お金が余ってるならCisco 接続端末が5台までならバッファローでもいいんじゃない 最近だっけ?
エレコムが法人向けAP出してきたの。 11n世代の法人向けAPは毎日再起動しないと使い物にならんかったぞ>エレコム むしろあんなの客に売る勇気ないわ
ここメルコ嫌いだからアイ・オーにして失敗した人も多そう >>470
LibreSWANとか、OpenSWANのIPsecプロトコルを標準にして、
それを必ず実装しなければならないとかになったら、互換性が高まって幸せなのにああ。 アイオー、エレコムは
金はあるけど現場まで目が回っていない経営者、
知識の無い担当者と、担当者と癒着してめちゃくちゃな売り方してる事務機器屋みたいな構図で、
癒着がバレて解雇、誰も何も知らないと言う現場を何件か引き継いだけど、ほぼその2社だな。。。
田舎あるある。 まぁ中途半端に「ヤマハのルータっていいんでしょ?」ぐらいの知識の人にはヤマハの無線APは
ネタ的に売りやすかったんだけど、スレとかの反応見てると手離れ悪そうでな
BUFFALOの家庭用モデルなら安いから届かなくても客も割り切ってくれるしWin-Win 今は WHG-AC1750A を多用してる
PoE受電もあるし、VLANあるし、2万台にしては充実してると思うわ >>474
WLX302がそれほど悪くなかったので
第二世代があそこまでゴミクズだったのには心底がっかりした
もうバッファローの方がマシって思ったよ 具体的に不具合が説明できない不具合
つか、無線は難しいね 自宅にRTX1200、出先からL2TP/IPsecで接続してる状況なんですが、google関係のサービス(検索、YouTube、地図等)で表示がすごく遅かったり、ブラウザが真っ白で読み込みが完了している状態になってしまいます。
一度読み込めるとその後は特に遅さは感じません。
設定当初、ほとんどのWEB閲覧ができなかった時は、
ip tunnel tcp mss limit auto
上記設定追加で閲覧可能になりました。
何か原因として考えられることはありますか? ip tunnel mtuは?デフォルトなら良いよ 誰でも簡単にネットで稼げる方法など
参考までに、
⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。
グーグル検索⇒『加藤のセセエイウノノ』
GUVEYI7D49 すれ違いだけど、フレッツの速度低下が酷すぎで業務続行が難しい状況になる顧客が多発してる。
これってフレッツVPNにも影響してるの?
していないなら多拠点展開している顧客はフレッツVPNに切り替えようかとおもうんだけど。
どうしてもインターネットいるところはダーク系のサービスに乗り換えて貰ってる。
儲かるけどしぬるぽ。 フレッツ系プロバイダの速度低下がどこで起きているかを考えばいいんじゃね。 DS-LiteとかMAP-EってIPアドレスをシェアしてポート番号の範囲を絞るって技術だから
VPNを構築するには不向きなんだよねー >>489ガッ
フレッツVPNワイドもクレームになってるよ
よそに切り替えだしてる。他拠点同時入れ換えなら日本テレコム系が値引きいい感じ そうか?
VPNワイドほ数年前に比べたらかなり速くなってるけど。
昔は10〜20Mbpsが多かったけど最近は普通に50Mbps超える。
そのせいでIPv6網に移行させる決心がつかん。 >>494
地域差めっちゃあるんだよ。
しかも狭い地域で。
NTTComの担当がONUの電源5分くらい切ってやれば接続先変わって改善すると言われた。
確かにしばらくは速度改善するけど、時間たつとだめだ。
業務時間中にそんなことできるわけないしなw
こちらはKDDIのWDS2でも試してみるか。。。 ISPならあり得るけどVPNワイドで接続先変わる事あるの? >>496
混雑してるのはプロバイダとフレッツ網の接続点
PPPoE再リンクで混雑してる接続点を回避できればその接続点が飽和するまで正常に通信できる
東西跨ぎ以外ではぶっちゃけフレッツ網内折り返しのVPN張ってればそもそも影響受けない
まあベンダーが網内折り返しVPN教えてくれるかはどの程度良い付き合いできてるかの指標だな >>497
PPPoE使ってる時点で網内折り返しはない。
おまえ網内折り返し言いたいだけだろ。
IPv6使え。 >>498
当然網内折り返しVPNはIPv6になるがインターネット接続はPPPoEのIPv4併用できるけど?
フレッツ系インターネットVPNが混雑してるけどフレッツのどこが原因なのかって話題なのに
話の流れが読めてないのはあんただろ IPv4の局内NAT変換が局内収容いっぱいでダメダメで、IPv6に移行し始めた人が多いんでしょ?
IPv6も今は空いてるからってだけで。 >>497
VPNワイドの話してるんだけど網内折り返し言いたいだけの人? なんなんだ >>497 は。
しかも >>499 で話すり替え。
スレチなんだよ。 >>501
ひかり電話使ってるとIPoE使えなかったりする。 >>504
IPoEで問題なくひかり電話使ってるが
機器同士でPrefix取り合いになるって話? >>492の真実が知りたい
フレッツ網自体が輻輳してるの? してないよ。
書いてる奴も局所的って言ってるじゃん。
全国見れば混んでるところもあるかも知れんが
フレッツが遅いというのは話をデカくし過ぎ。 フレッツが遅いというかPPPoEが遅いって話はよく聞くね
それでDS-LiteとかMAP-Eが流行ってるんだと思う >>504
iCOMとかのひかり電話端末だったら、IPv4しか使わないので、
ONUからHUBで分岐して、RTXではIPoEできる。 >>508
最近クレーム減ったけど、一時はひどかった。埼玉
局側で改善させているって法人営業が言ってたけど RTX810同士でL2TPv3の接続をしているんだけど、こっちの拠点のLAN側をNAT変換したい。
こっちの設定は以下のような感じで、
ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.2/29
pp select 1
ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.100.2 udp 1701
lan1かbridge1にNAT設定すればよいのかなと思いましたが、うまくいきません。
相手側のRTX810は直接操作できないので、失敗がこわくて設定をいじれません。
なんとかなるのでしょうか。 L2TPv3ってブリッジ接続だよね?
NAT変換したいとか意味が分からない
ブリッジってL2層だからL3のIP層はイジれないでしょ >>515
使ったけど、重い、電源コードが外れる、LANケーブルは添付されないって感覚しかないな
LANケーブルが無いのは油断してた l2で拠点間接続するためのl2tpじゃないの?
vlanを拠点またいでも同じの使ったりとか 関係ないような、有るような
V3で拠点間接続とl2tp/ipsecリモートアクセスと共存させる場合はどうしてる? rtx1000なんですが、
ip lan1 address 192.168.1.1/24
にしてあるとき、
ip lan2 address 192.168.1.2/24
みたいな風にしても大丈夫なんでしょうか。 RTX1200を使っています。
たまにCPU利用率が100%になって通信できなくなることがあります。
トラフィック統計を見ても特に増えていないし、
システムログにも大量に破棄したようなログもないです。
どのような原因が考えられるでしょうか? >>523 まぁ
・NATセッション
・DNS攻撃
・WEBフィルター
かな torrentやってると100%にすぐいってたな
でもトラヒック統計で見えた気がするしなぁ >>523
機器故障もあり得るかもよ。
中古でも仕入れてリプレーステストしてみたら。 返信ありがとうございます。
攻撃されてる、ループ、故障、、、という感じですか。
ファームウェアも古いので上げてみてどうかも試そうと思います。 >>521
ダメに決まってるだろ
implicit経路どうなるんだよ RTX1200もいい年数だしな
可動部ないから壊れないって信じてる人はいるけど壊れるしな >>530 そうは言うけどさ、どんだけ壊れてる?
1000ですらまだ評価用で正常だしRT/RTXって異常なほど壊れないと思う RTXがって言うより
ADコンバーターが内蔵されてるモデルがって方が正しいんじゃねえのか RTX1000なんて末期はよく壊れてたよ
RT57iも58iも同じ運命辿ってNVR500はいきなりハズレ食らったり 1000-1100は熱で止まることあるからなぁ
システム屋がおまけでVPN組む時に未だに使ってる現場を見て良心を疑った。 いやそりゃ最近の新規案件の話よ。
さすがに現役当時の話はしないよw
Office365で見事に撃沈 RTX1100流用設置案件あるぜ!
止まったら交換するだけだから >>537
最近はクラウドを利用することが増えてNATテーブルを溢れてしまうことがあるんだよな
逆に言うと今ルーターに求められている部分はここ
810から830の強化点も主なところはこれだと思ってる
>>539も気をつけな まあルータのNATテーブル以前に配下のUTMのFWテーブルが問題になることが多いけど >>540 クラウド?
Win10が増えたからの間違いだろw
Office365使ってもNAT自体はそんなに増えねぇよ(20〜50セッション)
NATセッションで問題起こすのは400超えたWin10だ 桁が違う AzureADとかOneDriveとかSkypeとかで細かいセッションいっぱい生み出すから
ルーターにかなり負担かかってるって言ってたお客さんはいたな >>542
win10も確かにあるだろうね
office365に関して言えばOneDriveやSkype、Exchangeはセッション食いやすい
言いたいのは1100の頃とは状況が違うから気をつけろよということ
365のセッションが50だとして後はユーザがどれだけあるか計算しないとな
1100のセッション数は4096
1200で20000
1210で65534
win10での問題ならWSUSという選択肢もあるな チマチマと常時張りっぱなしなのが鬼畜
まじで全部作り直せMS プロキシが悲鳴上げてます。SSL前提だしもう時代遅れだよねー 串はまだしもUTMとか本当ただのボトルネックでしか無くなったね。
うちもo365と全台win10。
NATセッションは300まで、httpとhttpsは180秒くらいの制限入れてる。
みなはどうなんでしょ。 o365はtcpセッション数エグいとは思う。それがそのままNAPT?って話はあるかも。
win10てそんなnapt潰すん? >>546
httpsばっかりになってログ取りが難しくなったね RTX830ってファームVer15系なんだな
14系と何が違うんだろう 設定するのに、機器はどんなの使ってます?
WindowsノートPCを持ち運ぶのはつかれてきたので
iOSかAndroidで設定できれば、楽そうなんだけど
有線LANはいけるだろうが・・・いざというとき、232Cでもやる事になるだろうが
やっている人いる? NATのセッションが増えた増えたって、言っているけど、
ルーターはともかく、DSLiteのセンターのテーブルは大丈夫なんだろうか。
多方面から相当すごいセッションを扱っていると思うんだけど。
リンクとか切れ起さないのかな 実際それに近いことはおこってるでしょ。
少し前にここでも話出てた transixのDS-Liteなら、元から1トンネルあたり1000ちょっとしかセッション使えないよ。 >>556
ヤフオクで安く手に入るRTX810として >>565
それは全然だめじゃないか。
DS-Liteって核家族用かな。 ゲームボーイってファミコン買ってくれなかった家の友達がよく遊んでたっけ うちもファミコン買って貰えなかった家だけど
代わりにPC-8001mk2買って貰った >>569 88だったらよかったのにね
友人にもぴゅーた(6001)買ってもらった子いたけど
どうにも使い道が無かったね 当時の自分にはちょうど良かったと思う
数年後に8801mk2SRを買って貰った
2つ合計で40〜50万くらいになると思うけど
そんな高額なオモチャを子供に買ってくれた親に、ただただ感謝 PC-6001なら、まだマシじゃん
祐人は親のツテで(松下が安く買えるとかなんとかで)
JR200→JR300という風で、とても可哀想だった >>572 PB100でBASIC学んだ俺にちょっと謝れ チョットでいい >>572
そいつんち掘りごたつで3DOあったろ?
つかここヤマハスレじゃ・・・ こういう流れになると思ったわw
子供のころIBM 5100が押し入れにあったとか言い出す奴出てきそう シャープのX1でテープ版ねXanadu遊んでいたな S/390を家庭に置いてる外人がこの前話題になってたな
Luaスクリプトでおもしろいことやってるひといません? じじいども、スレチな昔話は fj.comp.oldieds でやりやがれ。 >>578 この場合、一番お前が年寄りって感じなんだよな >>579
このスレならツッコんでくれると思ったよ、同志。 >>567
社員15人くらいのオフィスで、DS-Liteを使っている時に、
夕方になってくると、WEBの表示が非常に遅くなる問題があった。
あれば、夕方になれば、営業が帰って来てPCを立ち上げてネット閲覧しはじめたからではないだろうか。 自宅で光回線を独占して使っているのに
会社で何十人とか何百人かいると、遅いって感じるよな・・・・
どうしようもないよね? ネットワークスペシャリスト試験でその手の改善についての出題が出るわ NAPT性能が低いルーター(or Firewall)使ってるとか? >>583
切り分けが必要やな。
仮に業務の時間帯に1人で使って速度を測ってみて
それでも速度がでないなら光回線の問題
ウチの場合はこれやったからUSEN GATE02に変えた。
もし速度が出るならNAPTとかが怪しいな ds-lite言うてるのにnapt性能とか言ってる人たちって。。 ds-liteのキャリアグレードNAT性能の事言ってるんだろう DS-Lite使いたいんだけど、監視カメラがDDNSでつながってていまいちうまくつながらない様子 >>591
監視カメラだけIPv4PPPoEで繋げば?うちは特定の機器だけそうしてる。 やっぱりそれが楽だよね。既存のISP契約使うだけで金かからんし >>593
インターネットにカメラ公開して怖くないの?
専用アプリを使うんだろうけど、セキュリティー大丈夫なのだろうか。 事務所内監視カメラなんて中華のあやしいやつ使いまくりだぜ
松下のデフォパスのもあるし >>596 別にルーター越しなんで何の問題もないだろ・・・
UPnPなんて今時デフォ無効なんだし そういえば数年前に
漏れ監視カメラ集めた一覧サイトあったな
いまでもあんのかな? TCP/IPなんて知らんかったときは
筐体のケースを開けて、物理ポートをDIPスイッチあたりでオンオフしてポート開放するのか思ってたわ 単発質問失礼
ネットワーク機器も含め全て MAC + 802.1X EAP-MD5 認証しなきゃいけないクソ NW 配下で NAT させるという要件が降ってきてしまって、
802.1X の”サプリカント”になれる NAT 箱を探しているのだけど、RTX シリーズに該当モデルはあるだろうか。
どうにも見付かりそうになければ pfsense 辺りで手を打とうと思うのだけれど……。
検索しようにも認証させる側の情報ばかり引っかかるもので、誰かご存じだったら教えて頂きたく。 >>605
オーセンティケータでなくサプリカント? >>606
そーなんです。
スイッチなら Cisco は IOS に標準搭載しているそうなのだけど、
NAT したいのでルーターで……となると急に見付からなくなってしまい。
まあ、クライアント認証の意義とか考えれば当たり前のことなんだけども……。
とはいえ民生向けルータ(ASUSとか)では存在するので、探せばあったりしないかなぁ、と。 >>607
ルータやスイッチでサプリカントという発想がないなぁ
正直運用が見えてこないんだけど・・・
少なくともヤマハでは難しそうだね
自分だったらLinuxを使うかな Cisco IOSならサプリカント機能がNEATとか呼ばれてた気がする とりあえずCiscoのルータの方にもそのサプリカント機能を搭載してるの確認するのに
ISR 841Mでdot1x credentialsコマンドを打ち込んだけど通る
面倒だから実際に認証されるかまでは試してない ガチガチ認証環境でNATか
糞アプリの認証系通信のペイロードに
IPアドレスとかの情報が含まれてるといいですね! ってかCiscoめっちゃ安いな
Amazonで14,600ってマジか? tftp で config を取ることが出来ると思いますが、
コマンドプロンプトからは成功しますが、全く同じコマンドを PowerShell 内から叩くと
サーバー上のエラー: Access violation
接続要求に失敗しました
って出ちゃいます。ルーター側のログは
[TFTPD] Rejected access from 192.168.xxx.xxx
[TFTPD] No such file
って風です。
なにが考えられますか? あ、パスワードに $ が含まれているせいぽく
パスワードを空にしたり、$ を止めたらうまくいきました。 |
| 彡⌒ミ
\ (´・ω・`) PowerShell嫌い
(| |)::::
(γ /:::::::
し \:::
\ >>597
安いタイプだと、upnp関係なく、
いったん、その怪しいメーカーの中央サーバーに接続されているようだよ。
前に、ログとってわかった。 >>616 RTXのどの機種のどのバージョンでそんなことになるのか教えてくれよ >>616
クラウド対応みたいなやつがそれだね。内蔵DDNSで登録できてポート開放もいらないってやつ
冷静に考えるとちょっと怖いけど便利だからいいや あたりまえじゃん
ホールパンチングしなきゃいけないんだし DS-LITE用にRTX830 買うかNVR510 買うか悩んで1ヶ月、BUFFALOでいいかなと思い始めてきた >>621
10年以上壊れたことないから、
YAMAHAにしておきなさい Azureなぁ
ike v2使えばできるんだけど
既にあるトンネルも再構築しないといけないんだよな Azureの推奨機から外されてるから、それのことじゃないの >>626
LibreSWAN / OpenSWAN へのトンネリングこそよろしく!!
超簡単なコマンドと設定例も期待しています! >>629
ちょっと何言ってるかよく分からない
RTXの設定例ってopenswanの設定次第で全然変わるんだけど
「openswan RTX」でググれば一杯出てくるよ
openswanの設定例が知りたいならlinux板へどうぞ まぁシスコ・アライド・ほかにFW系のSonicWallやFortiGateとのVPNリンクって
なにげにYamahaが一番相手を選ぶような気がする まあyamahaだしw
気をつけてるのは
・ペイロードタイプを3にする
・durationは短めに
・idはipv4_addrで
とかかな、時に諦めも肝要
yamahaどうしを使いましょう、と
とは言え実際は他のベンダーと繋ぐ必要もあるし、果たして上手い商売なのか?
とりあえずAWSはサポートしたんだし文句言うなってことじゃない? IPsec 相互接続の手引き
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/interop.html
それなりにパラメータ設定すればそれなりに繋がる
ハマってどうにもならないのはsha256にはLinuxのバグ?あって
Androidにも波及
ルーターもメーカーによって実装がどちらか違う >>630
標準的な構成で、Open/LibreSWANとRTXとのIPsec接続を、
専用コマンドと設定例と共に担保してもらいたいんですよ。
例えば、こういう構成で、IPsec接続が公式のコマンドセットで行えるようにしてほしい。
OpenSWAN/LibreSWAN側(固定IP)---IPsec---(固定IP)RTX------プライベートネットワーク
現状ではRTXからOpen/LibreSWANへの接続が開始できない。
IPv6にも非対応、RTX側にあるネットワークを複数指定できない。 ヤマハは過去のルータとの互換が足かせになってる感じするんだよなぁ
VPNで他社接続なんて考えてない時代から継ぎ接ぎで対応させてる感じになってるから
リース満了で一括入れ換えが多いんだから、いっそのこと全部ばっさり切り捨てて作ってもいいかもしれない でもなぁ、大幅変更はそこで一気に崩れる時あるからなぁ
CenturyXRやアライドはひどかった >>621
ですが、ご意見下さった皆さまありがとうございます。思い切ってRTX830を買いました。手元に届くのが楽しみです。 >>637
まー大幅変更してないのにRTX1210は何度通ったことか・・・ >>638
GUIで設定もできるんだろうけど、
telnetでアクセスして、CUIでこちこちとコマンドを打ち込んで、
少しずつ設定をしていくことをお勧めするよ。
順に、
RTXのアドレス設定、
IPフィルタの設定(アウトバウンド動的、インプット静的全リジェくと)、
ISP接続の設定、
NATマスカレー度の設定
ルーティングの設定
で良いだろう。 1210とか830世代からはほぼGUIで完結できるんだから、
GUIで設定してコンフィグ取得たいな勉強するのもよいかな。
フィルターなんかは独自番号振ってると、GUI設定いじったとたんにヤマハのフィルター番号が作成されてドツボにはまる罠があるけど。 うん、だから、最初が肝心。
CUIか、GUIか。
RTX1100から使っている自分は、CUIしか使う気になれない。
フィルタ番号にも独自ルールあるし。 rt100iから使ってる俺のお勧めは
フィルターなどはGUIでまず作成して
あとはCUIで弄るのがお勧め フィルタでいうなら俺は逆でほとんどコマンドでやってる
1210からのGUIはフィルタの作成はともかく適用がやりにくくて仕方ない 638ですが皆さまのご意見に感謝いたします。
素人ですので全てをコマンドで設定するのは敷居が高いと感じており、プロバイダの設定など初期設定くらいはGUIで行い、フィルターの設定などの細かい設定はCUIで行う予定でいました。
ですがまずはひかり電話用にNTTからレンタルしている第5世代のHGWとRTX830の接続を頑張りたいと思います。。 鎖国フィルターってのがTLに流れてきたんだけど
ここの住人で誰か人柱った人いる?
ttp://d.hatena.ne.jp/wakwak_koba/20180224
リストが莫大すぎて合ってるのか分からない サーバ公開しだした人にとって鎖国フィルタは朝鮮しようと画策したことあるだろうけどでももう時代遅れな気がする
SRT/FWXはGUIでフィルタ作ってからじゃないととっかかりがつかめあに >>643
そういえば、RTA54iが作ってくれたフィルタを、
一部改変してRTX1200とかにまで使っているなあ、おれ。
動的フィルタしているので、アウトバウンドのSMB阻止なんかのフィルタを適用しているよ。 >>647-648
sshを22番以外にすることで得られるのと同程度の安心感だな
多少の緩和になるけれど、抜本的な解決にはならない、って風な あるクラウドだとセグメント跨いでた事があった。fqdn以外では阻止させないってか。
最早、クラウドはファイアウォールの敵だな。 外向きに鎖国するやついるのか
どっちかと言えば、内向きに適用するもんだと思うんだ
総当たりは言うに及ばず、今流行のmemcachedとかも
仕掛けてくるのは外人だし
とりあえず鎖国しとけば、何かあったら日本の警察を動かすことが出来るしー
ってところで、抜本的に安全になるわけではないけど、安心感だけは得られる的な 今時は詐欺サイトに繋がらないように外向きに適用したい人は多いと思う >>654
それはまともなサイトも見れなくなる可能性がかなりあるんじゃね? >>652 説明が良くなかったか。
あるfqdnの実体が単純にx.x.x.x/24みたいなアドレス体系に纏っているならばこれを規制するのは簡単だが、これに加えてy.y.y.y/21とか複数混ざっていると手間になってくる。
youtubeやitunesなどが典型的な例だろ。これらの通信をIPを指定して通すにはFWにいくつも設定が必要になる。
パケットモニタを使って何のfqdnを解決しようとしているか調べ、そのfqdnをFWに設定するようにすれば、幾らかポリシーの節約になる。 >>640
YAMAHAのCLIならtelnetよりシリアル接続でしょ
RTX830にはRJ45の他にUSBminiもあるようだし >>656
それも含めてIPアドレスでの鎖国なんてもう時代遅れなんだろうなって思う
踏み台で世界中から攻撃来る時代でもあるし >>656
FQDNで設定できるタイプのFW、といってもPaloAltoの最新ではないやつしか使ったことないですけど、
あれはPAが一定間隔でFQDNを正引きして、そのとき返ってきたIPアドレスだけを許可するので、
FQDN引くところころ結果のレコードが変わるようなもの、例えば大手のクラウドとかCDNとかとの相性が悪すぎた。
DNSの通信は必ず覗ける、という前提で、許可したドメイン名(ワイルドカードも可)を引いたときの
IPアドレスがころころ変わってもすべて良い感じに通してくれるFW、ぜひ欲しいけどありますかね。 IPアドレスでの鎖国が時代遅れで限界きてるってのは、かなり思う。 >>659
Edgerouterならdnsmasq+ipsetで出来る。 同意 串・VPN・クラウド全盛の現在IP鎖国なんて何の意味も無い 「日本のみ通す」は
何かあったとき(攻撃を受けたとき)は日本の警察に相談できるだけマシじゃないか
と思うんだけど、それは甘えか
意図せず踏み台にされた被害者には警察から連絡がいくだろうし △意図せず踏み台にされた被害者
○意図せず踏み台にされた加害者
だな、一応は攻撃主になるのだから >>665
警察が無能でも加害者を日本国内で裁判にかけられるのはかなり大きいぞ >>656
それルータでやろうと思うのが間違ってる クラウド言いながらCDNのコト言ってるのもなんだかなぁ >>661
ありがとう。ER-Lite持ってるので後日試してみます。
その組み合わせならOpenWrtもいけそうね。やってみます。 面白い試みだけど、ルーターでやらせる内容じゃないなぁ
UTMが無い環境でのお遊びかな 鎖国フィルタ自動化する前の頃に
ヤマハ絡みか電話絡みかどこのスレか忘れたが
SIPの無言着信とか気にしてたのがいた
そもそもSIPなんてゆるゆるプロトコルを
ホワイトリストにもせずWAN側不特定に開けるのがそもそも間違ってるだけ 謹製VoIPアダプタは言うに及ばず
ビジネスホンに収容する業務用のVoIPユニットも、ほぼ全ての製品で全allowだし
ホワイトリストで運用するのがおかしい、って主張は無理があると思う ホワイトリストで運用するのがおかしい → ホワイトリストで運用しないのがおかしい それなりの高いのだとアプリレベルで何かしらスパム対策してるのもある
そういう仕組みが出来てないのを野ざらしにするのは国内限定でも広すぎ
一般的な電話番号のあるIP電話の受けならSIPの相手はそのITSPに絞られる
「インターネット電話機能」みたいのは絞れない上にかける方もやり放題で
スパム(SPIT)が一昔前には問題になった
ごくいっときだけ無料バンザイで他にもあったが廃れた FWX120って結局あやしい業者のOEM以外ではほとんど見なかったなぁ コンセプトが中途半端だったからなぁ
どっかと組んでUTM作った方がよかったと思う >>678
TRENDMICROのサービスとコミコミにしちゃえばよかったのよ。
しかもポリシーって考え方がRTやRTXと違うし中小の自前整備組にはありがたみが無い。
810/1200しか無かったときのアドバンテージはNATセッションの数くらいか。
それも830出てしまったしな。 FWX120は使った事がないけど、URLフィルタとメールのスパム&ウイルス対策はできるのか。
#機能はMcAfee連携(参考推奨台数が25台程度)
RTX830でWebアプリケーション制御は開発中だから
それが揃えばインターネットアクセスには使えるかな。
IPS/IDSはずっと昔のままで、強化されないよね・・・。
あと、推奨25台程度だと足りないのでCPUとメモリはケチケチしないで欲しい。 中小向けには、RTXのWinny/Share検知&遮断機能が稟議の差異に効果的でした
壊れない限り単純入れ換えなんてこのご時世できないからねえ >>672
すみません、仕事と趣味ごっちゃに書いてしまいましたが目的は自宅でのお遊び、単に興味があるだけです。
宛先ドメインごとに、拒否したりパケットキャプチャ用の経路に投げたりスピード重視の回線に切り替えたりとか試してみたくて。 >>668 何処ら辺がCDNなんだ? akamaiにもうそんな概念は無いだろ。
少なくともウチではitunesもyoutubeもwindows updateも接続先はそもそも日本国内では無くアメリカのakamai。
既に距離はコストと看做されてない。 札幌にサーバがあるから遅いって言い張ってた掲示板夜勤がいたっけ
信じてた俺も >>683
ISPまともなトコ使ってないか、その瞬間の一つのドメイン調べて勘違いしてるか、その両方か YouTubeはAS15169から来るかGGCから来るかのどっちかでしょ
GoogleはARINからもらったIPアドレスを日本でも使ってるからGeoIPだとアメリカに見える FWXで思い出したが、中国向けRTXにはファイアウォール積むのに
日本向けはFWXに限定してるのいい加減になんとかしろよな。 パケットフィルタはセッションで管理するの当たり前で良いと思うのに
単純なフィルタは流石に時代遅れ。
昔ならリソース不足とかあったかもしれないけどな。 リソースという問題なら、RTX810とFWX120はスペック結構違うんじゃなかったっけ 中→外を単純なフィルタすることはあるよ。外部に迷惑かけないために。
ソースがエフェメラルポートより若いポートはサーバー以外ブロックしてる。 Linuxで使えるiptablesの、ステートフルインスペクションってあるでしょ。
。。。INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
これと、RTX1210とかに搭載されている動的フィルタとどう違うんだろう。
ip filter dynamic 8 * * tcp
ip filter dynamic 9 * * udp
RTXの場合、tcpやudpの他に、wwwなど通信に応じて設定もできるようだけど。
tcp,udpという風に設定しておけば、汎用的に機能してくれるということだろうかな? >>695 ダイナミックのほうが設定が面倒って感じ
やろうとしているのは同じことだけど、RTXの方が細かく設定できる >>696
ああ、たしか細かい設定あったなあ。
トリガを設定して、入り口を開放するみたいな。
そうすると、iptablesの方は、例外なく一般的な動作しかしなさそうだな。 おいおい、ヤマハのダイナミックフィルタとセッション書いて終わりなFWのフィルタは全然別モンだよ。
ダイナミックフィルタもIPフィルタも面倒なのは変わらん。
YAMAHAだけ触ってると苦労にも気付かないってか。。 >>693
FWX120はRTX1200同等スペックだった気がする >>680
FWX120って、そこのレイヤーでは仕事しないんじゃないの?
迷惑メールやexeファイルの添付はチェックしないでしょ だいぶ古いがiptablesのSPIとヤマハの動的フィルタの違いを書いた記事
http://www.itmedia.co.jp/broadband/0305/16/lp13.html
いまどきSPIなんて当たり前で
パケットフィルタなんて方が珍しいくらい
落とすならともかく通すのに
戻り(と行き)の動的フィルタとは別に
一発目の行きの静的フィルタをいちいち書くのが面倒くさい
もっぱら内側のFWに任せてる >>702
なんか、よさそうな記事ですね。
ありがとうございます。 SPIの説明でいきなりFTP持ち出すのもどうかと思うけどな。
なかなかの例外ケース。
最近は何でもかんでもSSL/TLSになってきたからFW機能持たせるならアプリケーション識別必須。
YAMAHAはWANゲートウェイくらいしか使い道無くなって来てる。
いや昔からそうか。 すみません、パケット転送フィルターについて
ルーターに
pp 1 → 固定IP8
pp 2 → 可変IP
という風に2つ契約してます。
IP8側には公開サーバーが nat masquerade static で紐付いているのですが
これをクライアントから叩くと、本来は pp 2 から外に出て行ったうえで pp 1 から入って・・・
・・・で戻りのパケットも同じルートで来て欲しいときに、パケット転送フィルターが活躍する、という理解であってますか?
あと、ヤマハの説明では ip filter pass 〜の書く例がでてますが、reject でもいいんですよね?
→そこでパケット転送フィルターの判定をやめて、通常のルーティングに回る、で桶? 転送フィルターでrejectしなければならない事あったか? やりたいのは
公開サーバーの外向け通信は pp1
クライアントのインターネット利用(公開サーバーの外側アドレスを含む)は pp2
それ以外は通常のルーティングに委ねる、という風で
ip filter 1000 reject * 192.168.0.0/16 * * *
ip filter 1001 pass 192.168.0.0/24 * * * * # サーバーがいるセグメント
ip filter 1002 pass * * * * *
ip forward filter 100 1 gateway pp 1 filter 1000 1001
ip forward filter 100 2 gateway pp 2 filter 1000 1002
ip lan1 forward filter 100
でいいのかな?、と >>707
始点だけ書いて残り全て * で pass すると
ローカルなセグメント(VPN先を含む)も、そっちに飛んでしまいますよね?
インターネットのみを pp2 に飛ばしたいため、ローカル(VPN先を含む)を reject したうえで
全pass したらインターネットのみ、が実現できるのではないかと思った次第です。
それとも、もっといい方法があるのかなぁ >>704
2003年だし主流じゃんよぉ
結局エンドポイントの時代に戻ってるよね >>712 過去形だけど使ってた、別のSNMP管理始めたので不要になったけど
まぁまぁ使えるけど 1台・2台の為に使う機能じゃないね L3スイッチ発売日いつだろう?
出たら即ポチる予定 なんでよりによってヤマハのL3なの。
罰ゲームにでも負けた?
ルータはオススメできるが無線とスイッチはダメだろ。 >>715
既にL3の動作検証されたんですか?
羨ましいです。
もし宜しければ無線とスイッチでお勧めを教えて下さい! >>717
横からだけど、L2とAPが糞なのは確かだよ
HPEやアライドよりも高く機能が少ないL2SW
ArubaやRuckusに遠く及ばず、はっきりとバッファロー以下のAP
L3SWなんか怖くて買えないよ どなたかアドバイスをください。
RTX1200のL2TP/IPsecに、外部のAndroidスマホからは正常に接続できていろいろなサイトを閲覧できていますが、Win10から接続するとYahooやYoutubeなどのURLがhttpsで始まるサイトを表示できずにタイムアウトします。
どこに原因があるのでしょうか? >>720
なんでテンプレのときに「ip tunnel tcp mss limit auto」入らないんだろうな
https://jehupc.exblog.jp/21558500/ >>722
ビンゴ!ありがとう!!
pp select anonymous に
ppp lcp mru on 1454
ip pp mtu 1454
を入れたら正常にhttpsサイトを表示できるようになりました
ずっと1258にしててうまく表示できなかったから、フィルタの設定が悪いのかと思ってた
いろんなブログを検索したけどCATVでのL2TP/IPsec設定例がほとんど無くて、2週間も悩んでいました
>>724
tunnelのほうには入れてました
ip tunnel tcp mss limit auto モバイル回線で、RTXにIPsec接続してみたんだけど、
劇遅だった。
Windowsのリモートデスクトップ開いてみたら、通信状態が悪い状態と判定された。
50Kbps程度しか落ちてこない。
そのくせ、YouTubeとかなら、数百キロbpsとなる。
格安SIMはIPsec通信制御されているんだろうか。
docomo MVNOの二社で試したがダメ。
リモートデスクトップ開いてノマドしたかったのに。使い物にならない。
いらいらして白髪生えそう。
MTUは、リモートデスクトップサーバー側Windowsで、1400に調整したら、
ほんの少し速くなった。
何か、設定ポイントあるでしょうか。 >>730 ノマドとかどこまでネタなんだよ? つまらないから書き直せ どうせRTX1100とかだろう。
830買ってからやり直し。 艦これやってるとパケットどんどん消費してるのがわかるわカクカクだわ最悪だった ipsecとかその前にsplashtopで十分やろ? 質問です
NVR510はMAP-E方式には対応していないのでしょうか?
DS-LITEのみですか? スレの棲み分けという意味ではそうなんだけど、NVR510は家庭用ってわけではないよ。
時期的にもうリプレースしてしまったかもしれないけど、ヤマト運輸の全営業所に入っていたはず。
メインはフレッツだったか広域イーサだかで、バックアップにISDNかアナログ回線という構成。 NVR500もファーム上げたらIPSec使えるようになったよね
PPTPブーム去ったから あいぽんがPPTP使えないとかじゃないか
あと一時期SPモードとかの携帯でPPTP使えない事があったような記憶がある PPTPはクライアント側もグローバルIP貰ってないと(NAT配下だと)だめだからもうほとんどのモバイルキャリアで使えないよ。 >>745
PPTPをNAPT下で使うための要件はグローバルIPでなく、GREが通るかどうか。
ttps://www.slideshare.net/mobile/RintaroSekino/pptp-50437307 アップルが採用辞めたから渋々実装した感あるけどね
RTX1000のAESみたいにNVR500で使うと負荷滅茶苦茶あがるのかな? ngn ipv6折り返しのpingの時間って、皆さんはどれくらいですか?
自分は西日本で、同一県内(兵庫県)の拠点RTX1200間で、
この時間は、25msecを超えてきます。
速いときは、5msec程度なんですが。
混雑しているのだろうか。
半年ほどまえは、時間問わず、速かったのになあ。 >>750
都内だけど5-7msくらいかなー。25msは都内から北海道とかのイメージ >>751
ありがとう
いくらなんでも時間かかり過ぎですよね。
いま、また測定したら、
4〜8msecの間に収まっていた。
気になる事象だが、一時的な遅延だったのかもしれない。 いま埼玉−茨城のpingやってみた(2409:12:*→2409:11:*)
パケット数: 送信 = 100、受信 = 100、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 6ms、最大 = 10ms、平均 = 6ms
網内だといつもこのぐらいだな 自分は東京、相手はおそらく都内だろうけどどこか知らんとあるサーバにpingして3msくらい。
--- ***.i.open.ad.jp ping statistics ---
100 packets transmitted, 100 packets received, 0% packet loss
round-trip min/avg/max = 2.473/2.901/3.500 ms >>755
自分 2409:10:*
相手 2408:210:*
2408:210:* ってどこだろう? > 1311,2408:0210:0000:0000:0000:0000:0000:0000/30
NTT東日本の「網内折り返し基盤」とやらだな
ISPのIPoEなしでフレッツ・v6オプション申し込んだ人かな >>751
>25msは都内から北海道とかのイメージ
東日本は、NGN一本で北海道までつながっているのかな? インターネット網使っても25msあれば余裕で北海道-東京繋がるよ NGNの網の容量ってどの程度なんだろうか。どの辺りまで想定して構築されているんだろうな。
パケットが増えてきたとしても増強も簡単にできるようになっているのかな。 >>763
ある程度は余裕あるように設計されてる。
もしも想定を超えて通信量増えてもQoSでベストエフォートのユーザーの帯域絞るから速度保証のユーザーは大丈夫だ。 ひかり電話だけは最優先で通すから大丈夫。
Bフレッツでやらかした関係で >>764
>速度保証のユーザーは大丈夫だ
うーん嬉しくない。
PPPoEの現状みたいに、今度は皆がIPv6を使い始めたら、
また混雑することが嫌なんだ。
まあ、ひかり回線はNGNだけじゃないし、
IPv4にしてもインターネット側はすいすいしているから、
IPv6ユーザーが増えたとしても大丈夫かな。
PPPoEよりも、IPv6oE/NGNのほうが容量はでかいだろう。 ていうか
IPv6oE/NGNがどんずまりしてればPPPoEも同じだろう >>763
openstackでスケールアウトできる IPv4かv6か、IPoEかPPPoEか、は別次元の話だし
ましてやプロトコル変えるだけで
網内トラヒックが増えたり減ったりなんてことはない フレッツ網の話だろう
別次元というよりも混む混まないの要因ではあるし
フレッツ網自体が混んでいれば関係ない話 網内の話であってPOIから先の話はしてない
網のキャパは十二分に作ってるが万が一にも増強が追いつかなくなるなら
よそとのやり取り絞ってその分だけ網内は空きを作るだけ
インフラの責務として電話だけは維持しないといけないから
優先度つけて空きを作るだけで網内が混むことはありえない >>773
バカなの?QoSって知ってる?VoIPの帯域どのくらいか知ってる? >>775
ISDNのときに、64kbpsで同時に2チャンネルも使えた。
32kbpsくらいかな? 米、国内通信会社での中国製機器調達禁止へ「安全保障上の懸念」
政府や議会は、中国政府のスパイ活動に協力しているとして、華為と中興通訊(ZTE)を問題視
https://www.zakzak.co.jp/soc/news/180419/soc1804190012-n1.html
ソフトバンク、5Gの実証実験でZTEと提携--東京都心の環境で
https://japan.cnet.com/article/35102689/
ソフトバンクのネットサーバーは韓国にありソフトバンクでアクセスされるデータは全て韓国に筒抜け
http://blog.livedoor.jp/sofutob/archives/57011669.html
自衛官や海保隊員が命がけで作戦実行しても敵に筒抜けでは命を落とすことになります
中国の機器やサーバーを使用禁止にしろと政治家に苦情しましょう Linuxだったら、iptables -L -v でIPフィルタごとの統計情報が表示できるけど、
RTXって、そういうコマンドあったっけ? tunnelインターフェイスに注釈つけられないのかな。
WEBのトップ画面で一覧表示される時に、注釈があったらわかりやすいんだけどなあ。
IPアドレスと、トンネル番号だけではさっぱり。 スタティックルートにも注釈付けたい。
あとフィルタにも >>781
こんなものがあったのか・・・!!ナイス情報ありがとう。 >>784
Cisco 使っててヤマハにも欲しくなったんだよ…… >>781
おれがほんとのおれ
ありがとうやってみるわ
WEBインターフェイスのトップ画面のトンネル一覧にも表示されたらいいのにな♪ Cisco使いがヤマハルータいじると
descriptor lan3 __SHUTDOWN__
lan shutdown lan3
とか入ってるよな あぁ、確かに
lan2 no shut とか書いてあるな tunnel name で名前を設定したけど、
ブラウザで表示するトップ画面 index.htmlのトンネル一覧には名前が表示されなかった。
山葉さん、対応してくれると大変嬉しいです。
せっかくの一覧表示なのだから、name列も追加してください! nameじゃなくてdescription使うと表示されるよ
tunnel select 1
description tunnel "to お前んち"
ipsec tunnel 1
:
https://i.imgur.com/wO0c12A.jpg >>793
教えていただき、ありがとうございます。
教えてもらった方法で、接続一覧に説明が表示できました!
(うちは、RTX1200なんで半角14文字までしか表示できなかったです。)
RTX1210のGUI画面はかっこういいですね。 >>793
画像の上部に、クラウド接続ってのがある。
RTX1210って、LibreSWANとかにつながるようになっているの?
あと、接続状態欄(ノードが二つ通信しているアイコンがあるだけ)が無駄に長いように見えるが。 RTX1200(※)で、IPsecトンネルを使っています。
それぞれ別拠点に繋がっているIPsecトンネルが複数本あります。
[Router A]---IPsec---⇒【RTX1200※】←---IPsec---[Router B]---(FileServer)
一つのトンネルではRouter Aに対して、pingを毎秒うちつづけます。このときは、pingは5msecかかっています。
これを確認した後、並行して別のトンネル先のファイルサーバーからファイルをダウンロードします。(Router B を経由します。)
プロトコルはWindowsファイル共有(SAMBA)で640KB/sec程度出ています。
すると、さきほどのpingの値が平均で30msec程度を叩き出すようになります。
平均なので50msecを越えてくることもあります。
ファイル転送が終わると5msec程度に戻ります。
これって、RTX1200の性能不足なんでしょうか。
でも、show environmentで見てみると、CPUは跳ね上がっていません。
RTX1210にリプレースしたらマシになるかなあ。 ところで、調べてみたら、RTXのIPsecトンネルのMTUってデフォルトでとても小さいんですね。1280らしい。
RTX1200に送信前に[Router B]でパケットが分割されているのかもしれない。
「RTX1200のIPsec MTU < [Router B] のIPsecのMTU」ということがわかっているので、
やはりパケットの分割が生じているんでしょうか。
その影響で、>>797のようにファイル転送時に、別拠点宛のpingの値にも影響を受けるのかなあ? 別環境でもファイル転送実験をしました。
PC-[RTX1200]---IPsec(NGN 5msec)---[RTX1200]-NAS
両拠点のRTX1200のIPsecトンネル設定では、mss limit auto を設定しています。
MTUはデフォルトのままです。
上記の環境で、NASからPCにWindowsファイル共有でファイル転送をしたところ、
>>797と同様に、640KB/sec程度しか速度を得られませんでした。
この結果にはびっくりしました。
pingの値は5msecで、mss limit auto も設定しているのに、どうしてこんなにレートが悪いでしょうか。 一方、>>797の半分のところ、
PC-【RTX1200※】←---IPsec---[Router B]---(FileServer)
上記FileServerからPCにWindowsファイル共有(SMB)で転送したところ、
2MB/sec程度のレートを得られました。
それなので、>>799 に示したように、NGNを経由してRTX1200間のIPsecでレートが落ちているのではないか、と思います。
<質問をまとめました>
どうして、>>799 のような結果になってしまうんだろう。
それから、>>797 のように ファイル転送中に別拠点へのpingの値が一時的に悪くなってしまうんだろう。
お考えがあれば、よろしくおねがいします。 NGN網で絞られてるかパケロスしまくってるんじゃないの?
pingはどこからどこへ?RTX1200からルーターA? 今、会社のネットワークが使用されはじめて、
>>797の【RTX1200※】のCPU使用率を調べました。
CPU: 41%(5sec) 34%(1min) 29%(5min) メモリ: 36% used
パケットバッファ: 0%(small) 0%(middle) 5%(large) 0%(huge) used
一瞬、CPU(5sec)の値が68%にも達しました。
30分ほどで、このRTX1200を通過した下りデータは、500MB程度。
RTX1200ではスペックが足りていないでしょうか。
転送が多くなると、pingの値が10msecから、ピンポイントで、250msecにまで跳ね上がりました。
RTX1210のリプレースで解決するなら対応したいんですがどう思いますか? >>801 レスありがとうございます。
おっしゃるとおり、pingは、RTX1200※ からRouter A(別のRTX1200)です。NGN経由です。
30分程度pingを打っていましたが、パケロスはゼロでした。
[Router A]---IPsec(NGN)---⇒【RTX1200※】←---IPsec(INTERNET)---[Router B]---(FileServer)
しかし、FileServer側からRTX1200※にデータが下ってくるに伴って、そのpingの値が急上昇します。 >>800
その結果が意味するところは
UPとDLで転送スピードが違うって事?
pingを送るにしてもNGN経由ならトンネル外のv6アドレスにpingを送ってみては? >>804
<1>
PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】---IPsec(INTERNET)---[Router B]---(FileServer)
中央の【RTX1200※】を中継点として、
右側のインターネットVPNでつながるFileServerから、左側のPC(A)に、Windows共有でファイル転送したんですよ。
そうしたら、640KB/sec程度しか転送レートを得られなかったのです。
その遅い原因を探るために、下記のように中央の【RTX1200※】に直接繋るPCまでファイル転送を行ったんです。
PC-【RTX1200※】---IPsec---[Router B]---(FileServer)
そうしたら、2MB/secも転送レートを得られたんです。
だから、レートが落ちるのは、中継点よりも左側のIPsec(NGN)で接続されているところかなと考えました。<2>へつづく。
<2>
そこで、下記のようにして、IPSec(NGN)で結ばれるネットワーク間でファイル転送テストをしました。
PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】-(NAS)
左にあるNASから、PC(A)への転送です。そうしたら、640KB/secしか得られず、
ここがボトルネックになっているとわかりました。
しかし、このIPsec(NGN)は、パケロスもゼロで、pingも5msec程度のとても良い通信環境なんです。
気になるとしたら、RTXのトンネルのデフォルトMTUが1280という低い値になっていることでした。
このトンネルには、mss limit autoを両拠点で設定済みです。
どうして、ここがボトルネックになっているのかわからない。。。 すみません。
>>805の問題と、>>802の問題は、別々の問題のようです。
>>805はボトルネックになっている理由。
>>802はデータ転送時に、pingの値が急上昇してしまう理由。(RTX1200の性能の限界?) ファストパス適用されてるかをチェックすると良いかも。
Show ip flow だっけ… 環境がわからんけどもひかり電話使っててHGW噛んでると網内折り返しipsecは遅い。
特にHGW型番が古い奴。
この場合はipipでやらないと。 >>807 ありがとうございます。
以下のページの記載によると、フラグメントする必要があるパケット、フラグメントされているパケットは、ノーマルパスになるそうです。
(ただし、IPsecトンネルで暗号化して転送する時にフラグメントが必要な時は、ファストパスでフラグメントまで処理)
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
MTUの大きさが、経由する二本のトンネルで異なっているのでこれがノーマルパスにさせているのかもしれない。
業務が終了したら、値を揃えてみたいと思います。 >>808
それは初耳です。
PR-S300NE ファームウェアバージョン 22.02 を、
一方の拠点ではつかっています。
この機種は古いと思います。ひかり電話も使っています。
このHGWをつかっていないさらに別の拠点でもテストしたいと思います。 >>812
S300NEはIPv6トンネルのルーティングで6Mbpsくらいしか出ないよ。
オレはRS-500MIに交換してもらったらそれだけで60Mbps出た。
それでも遅いからNVR700W直結にしたら300Mbpsオーバーになった。 >>813
情報ありがとう。えっ、そんなに違うんですか。
これは交換の必要がありますね。
面倒なのは、IPv6のプレフィックスが変わっちゃうことだけど、
やったほうがいいなあ。 >>813
故障でなくても交換してもらえますか。
電話ごしに断られそうで心配。
>>813さんは、どうお願いしましたか?
費用はかかりましたか? 11ac無線LANカードを頼むとHGWが500シリーズに変更になる。
すぐに無線LANカードを解約する。 >>816
なるほど。
教えていただきありがとうございます。
ところで、v6プラスが、s300は非対応だったときがあったので、
その間に交換を済ませていればよかったなあ。 ルーター自身の送受信パケットはノーマルパスだからpingはノーマルパスだね
ノーマルパスのパケットはファストパスのパケットより処理が後回しになると思う >>808,812
このスレで教えて貰ったなぁ
いまはHGW外してONUから直で取ってる。ひかり電話はONUハブ分けしてNVR500を専用で使う贅沢設計
にしたら早くなったよー >>818
レスありがとうございます。
それは、気付かなったです。
しかし、pingは、忙しそうなRTX1200を挟んで接続しているPCを端点(⇒RTX1200※⇒File Server)とした場合でも大きく揺らぐんです。
それは、ファストパスなのかなと思います。
PC-【RTX1200※】---[Router]---(File Server) ひかり電話ルータのSIPサーバ機能は何気に便利だからNVRにも搭載してもらいたい。
それさえあれば完全上位互換になる。 >>822
SIPサーバなしで、ONUから直収すれば? ようは子機としてスマホとか登録したいって意味では? RTX1210にアナログポートとか増設できるスロットつけてくれればいいのに >>826
そんなアナログものつけたら、落雷時にサージがRTXを通過して、壊れやすくなる。 アナログポートつけたらサージで壊れやすくなるとかあるんか?
電源ケーブルからのってくるなら他のところも壊れるだろう PSTNに繋ぐアナログというならわかるけど、電話子機を繋ぐポートの話だからあんま関係ない luaスクリプトに _asm();とかできてすごいことに http://blog.sidetech.jp/2015/03/rtx1210-4cf7.html
RTX1210環境下でのSoftEtherが繋がらないという問題を解決しました。
通信しているはずのログが上がっているのに、なんで戻りがないのかなという問題でした
「ポートセービングIPマスカレード」では「クライアントAもBも60000ポートを使用返しが使える」ということですね。
従来のNATモードにもどした所
SoftEtherの接続が正常化しました。
なので、このNAT動作モードに絡むアプリが他にもあるかもしれません。
これって、どうしてSoftEtherで不具合が生じるんだろう。
SoftEtherだって相手先ホストがあって、宛先IPごとにポートが割り当てられることに何の問題があるのかさっぱりわからない。 buffaloの法人向けスイッチでTCP/UDP L4ポート設定をONにしたらNTPが通らなくなったことがあるけど、これの可能性は?
src port=dst portだとフィルタリングされる。 >>838
そういやRTX1210リリースのときにそんな機能あったなって思ったけど
1200のconfigそのまま流してるうちのマシンみたら、使われてないみたい。
明示して入力しないと有効になってないみたいね。
# show nat descriptor masquerade port 1000 summary
エラー: 現在のNAT動作タイプでは実行できません あ、勘違いしてた・・・
デフォルトで有効なのか。
ルータ起因を疑うような問題は感じたことないなぁ
# show nat descriptor masquerade session summary >>838
現行ファームなら動くと思う。
Rev.14.01.05から09までのバクと思われる。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/ >>842
なんだ、バグですか。レスありがとう。
その記事読んでから、なんやろうかとずっと考え込んでました。
今度から、1210を導入するので安心しました。
みなさんありがとう。 どなたか VPN 越しの NAT について教えてもらえないでしょうか。
- 拠点A (192.168.100.0/24)
- 拠点B (192.168.200.0/24)
が IPsec VPN (非L2TP) でつながっているとき、
拠点B において、拠点A の特定のIPを
同一セグメントに見せかけるような NAT は組めないものでしょうか。
例えば、
192.168.200.0/24 の端末から 192.168.200.50 にアクセスすることで、
192.168.100.50 にアクセスできるようにしたいのです。
拠点B 側の RTX において、tunnel インターフェースに対して、
以下のような reverse NAT を設定してみましたが、
アクセスできるようにはなりませんでした。
nat descriptor type 8000 nat
nat descriptor address outer 8000 192.168.100.50
nat descriptor address inner 8000 192.168.200.50
nat descriptor static 8000 1 192.168.100.50=192.168.200.50
tunnel select 1
ip tunnel nat descriptor reverse 8000
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/command.html
LAN インターフェースの場合、NAT ディスクリプターの外側アドレスに対しては、同一 LAN の ARP 要求に対して応答する。
の記載からすると、
ARP 応答するような NATed IP は VPN 越しに生成できないようにも読み取れますが、
どなたかよい案はありませんでしょうか。 >>845 組めません
どちらのセグメントでも無い第3のセグメントを用意するならできないこともないですが
すでにセグメント切ってある状況では無理でしょう >>846
回答ありがとうございます。
やはりそうでしたか。。。
ScreenOS 使ってた時はできたと記憶しているので、
RTX でもできると思って試行錯誤していたのですが・・・残念です。
みなさんが低予算でそういったことをするなら、
(組み込み) Linux とかを配置するんでしょうか? そもそもそういう構成にしたい意図は?
ip iflterと両拠点のNATをうまく組み合わせれば出来るんじゃないかと思うけど
やる手間と可用性を考えたら普通に192.168.100.でアクセスすればいいんでは >>847
いくつか理由はあるのですが、それが必須となるのは
「DLNAをVPN越しに再生したい」というモノです。
他のものについてはローカルDNSやWINSなど、
代替手段があるのですが、DLNA については、
同一セグメントに見せかけるのが一番楽そうでした。
再度DLNA の VPN 越しの再生について調査してますが、
送信側・受信側の実装依存で非常に厳しいです。。。
発見だけならSSDP転送できればどうにかなりそうですが、
その後の再生の際にゲートウェイ渡れないモノもあるようで。。。
うーん。。。 DLNAがどうやってサーバを見つけるかは知らないけど
多分ブロードキャストしてるだろうからNATでは要件が満たせないかと。
素直にL2TP張ってDLNAサーバかクライアント側に同一セグメントのアドレスを振ったほうがいい >>849
L2TP/IPsecで
但しDTCP-IPの場合、
TTL 3
RTT 7ms
までしか許容してくれない(サーバー側は切断「しなければならない」遮断要件の実装を「契約で」縛られている)ので
TTLを何とかしても遠いとアウト
一般家庭の普通の光の契約では夜間なんかNTTの同一ビル収容の肉眼で見えてる町内同士ですら無理だった >>849 WebDAVでいいんじゃねぇの?
最近のDLNA対応クライアントならWebDAVもサポートしてんじゃね?
つうかSMB対応もあると思うがな 中継用のPC置いてRDPで入るとか
VLCで変換中継するとかぐらいじゃね 今までこの手の話って結局、
国内の放送番組の録画(DTCP-IP)を遠隔地視聴したいという話が100%だった
しかも画質落ちるのもイヤでDRのままでなんとかならないかとか
そこまでして見たい番組が今のマスゴミに存在しない件 >>855
キリッと中身の無いお前の日記書かれてもw >>751
客が入った嬢を他嬢にバラすと客の怒りを買ってトラブルになるし店の売上落ちるから店側は通常そういうことはしない。
だが若い店員とかだと特定の嬢に好意を持っちゃったりして、その嬢をオキニにしてる客に敵意を持つ。
それでその客が他嬢に浮気したりするとここぞとばかりに嬉しそうにそれを伝えちゃうんだろうねw 結局のところ、NAT で同一セグメントに見せかけることはできないし、
低予算で 7ms 制限に **常に** 納めるのも難しそうなので、
DLNA を使うという要件自体の変更 (代替手段の提案) へと持っていくしかなさそうです。
ただ、この要件というのは、
「見ていてインスピレーションを受けたTV番組(の一部)をさかのぼり録画して、
それを伝えたい相手にDLNA再生してもらえば、すぐに伝えられる」
というところからきていて、
隙のない代替の提案ができそうにないのがネックです。。。
民生用の機器で録画したものを簡単にリモート再生するのが難しい。
PCでテレビを見てもらうとか、テレビじゃなく hulu 見るようにしてとかとても言えない。。。
そのあたりはそもそもプロじゃないし・・・。
というところで、スレ違いになってくるので、このあたりでノシ >>850
再生側は民生用のTVとかレコーダなのです。
それ自身はIPSec/L2TPに対応していないので、それ用のデバイスを用意して、
ということになりますが、それなら別の手段もプランに挙がるとおもいます。
>>853
民生用のTV・レコーダで録画したファイルは、
その録画した機器でしか再生できないように暗号化されていて、SMBは不可です。
TVがWebDav 対応してるとか聞いたことないですが、
そのTVの具体的な機種を挙げてもらうことは可能ですか?
>>854
再生用のPCを置くのが一番可能性は高いですね。
候補に入れました。
では、このあたりで失礼します。
相談に乗っていただいてありがとうございましたノシ >>860
ソニーのナスネとか使えば一応スマホでは再生できる
スマホからテレビにミラー出力できるかは試してない
あとは法的に問題なければts抜きサーバーを構築してクラウドストレージに自動アップするとか リプレイスして、古いRTX1200とか、RTX1500、RTX1100を、捨てるか、売りたいんだけど、
コンフィグとか抜かれないだろうか。
一応、cold start したとして、フラッシュメモリ内に残存しないんだろうか。
それが心配。 例えばRTXの配下にSWX2200-24Gを設置して、RTXにSWXのポート設定(VLAN)コンフィグを入れて制御している環境で、
メンテナンスのために同型のRTXに同じコンフィグ入れてリプレースする場合どのような手順で入れ替えるのが正解なんでしょうか。
先日、
SWXの電源ON状態(端末も接続)から
RTX入れ替えすると、SWXのポート設定が反映されない(全部VLAN1になる)
SWXの電源OFF状態(端末も接続)から
RTX入れ替えすると、やはりSWXのポート設定が反映されない(全部VLAN1になる)
SWX電源OFF、かつRTXとの接続ケーブル以外のLANケーブルを抜いた状態でRTX入れ替えするとSWXのポート設定が無事反映された。
こんな状況になって冷や汗かいた。。 >>864
config残ったままのルータ間違ってフレッツにつないで客先のセッション奪っちゃったの思い出した >>864
そんなに重要な端末だったのなら
破壊して捨てるしかないのでは?
もし売りたいなら新しい方はパスワードとか変更して運用すろとか >>867
>>868
バルス的な破壊コマンドがあればいいんだけどね。
ddコマンドとかつかえたらいいのに。
まあ、内部的にブラックボックスだから、毛氏の腰とか出そうか。 >>866
客「すみません、なぜかネットにつながらなくなっちゃんですけど。すぐに使えるようにはなったんですけどね」
you「ああ、そうですか。なんでだろう。・・・(やべ!)」
客「・・・わからないですか? どうしましょう。とりあえず、心配なんで、NTTにセッションが維持されていたか聞いてみます。」
you「え!」
客「え!」
you「あ、あ、心配 ないですよ。セッションの問題ではないので。はい、だだ大丈夫です・・・シンパーいないからね♪」
客「だいじょうぶですか?」
you「はい、はい。また何かあったら教えてください。ふぅ。」 >>868
同じ領域に書かれる保障はないんじゃね? >>870
こんな自発的にNTTに問い合わせできるスキルのある客がほしいわ >>869
箱開けてROMライターとかで消すとか。 ふぅ。。。客先のRTX1210のFLASHバグ対応あと一台だ。
長かったぜ。。。。。 既に忘れてた。
Config保存して「再起動」したときが発生条件だったよな
夕立停電とかで起動しないっぽいとかありそう >>877
そういう不具合は、シリアルナンバーとかで対象の機器かわかりますか?
自分の持っているやつが該当するのか知りたい。 ttp://jp.yamaha.com/products/network/support/rtx1210_boot/ ちょうどRTX1200のリプレイス時期&RTX1210安定期入ってて入れ換え盛んになってた時期だったんだよな
客先にまだ当該ファームのがあるけど、ファームウェア更新も当分やりそうにないから次の更新のときにハマりそう >>883
ありがとう。
自分は非該当だった。(最近購入したやつで、S4H1から始まっていたので。) IPIPでギガビットだと、RTX1210が要りますよねえ。 >>886
要件がまったくわからんけど逆にNVR810で十分だよ? 拠点数多くなってRTX830(810)で足りなくなりそうと思ったらFWX120も候補になるよ RTXシリーズって、内部エンジンがそれぞれ異なるでしょ。
RTX1500が独立したプロセッサを3基もっていたっけ?
まあ、それは廃番になったから、RTX1210が選択されるよなあ。
廃されたということは、内部構造について、型番が高いものでは優れているとは限らないということかな。
>>887
NVR810 がいったいどういう処理能力をもっているのかどうか。
IPIP処理でCPUが100%とかにならないかな。
PPTPがソフトウェア処理されているのと同様に。 いままでRTX1500使って入れ換えてるんだったらRTX5000のほうが安全かもな NVR810ってw
今ならRTX830かね
>>375で話が出てて
IPIPならRTX830でいけるでしょう
多地点ならRTX8302台運用とかの方が可用性あがるだろうし RTX830って、IPIP何本までいけるんだっけ? >>890
RTX5000 高ーーー、ヤマハルーターの最高峰が霞んでみえた。
草の根のISPが購入するようなものかな。 RTX5000ってどういう企業が買うんだろうな・・・
あんまりハイスペック要求なら売る方もCiscoにしちゃうだろうし、
趣味でVPN構築してるようなところはそんな高いの入れる予算出ないし
RTX3000入ってるユーザは見たことあるけど。 趣味でVPN構築して遊ぶなら
機能面でCiscoのAnyConnect使うわ 今草の根ISPやるならもっと安価にやると思う。vyosなりedgerouterなり安く多ポート出せる方法いくらでもあるし >>895 RTXで長年運用して実績あるなら選択するだろw
この程度の価格で高いの安いの言う企業なんかないよ >>899
個人的にヤマハルータの初物は売る気が起きないけどな。
幸いなのは旧モデルも併売してくれる点。これがよそとの違いって思ってる VPNはもうMerakiが楽だよ。
現地に行く羽目になる率が格段に下がるからばらまくのにはベスト。 >>901
MerakiのAuto VPNなら
固定IPアドレスとかDNSドメイン取得の手間考えると
前に買おうとしたわ Merakiフルメッシュだもんな。
YMOみたいなやつは誰か使ってるベンダあるのか? ルーターだけでL2延伸できたらRTXも神がかってくるけど
VPNの利便性が良くなっても対して意味はない
やりたいのはそこじゃなくL2延伸的な使い方だろ >>905
L2TPできるでしょ。
設定例もあったよ。 >>906 L2延伸の調べ方を間違ってると思うなw
もう少し時間かけてL2延伸を調べたほうが良い
将来的にL2延伸はトレンドになり、対応できない機器やクラウドは淘汰される
L2延伸が当たり前になったとき、今のVPNという概念はオワコンになってる VmwareはL2延伸サポートできるけど、Hyper-Vはしばらく無理そう
AWSはVmware担いでるのでL2延伸も順次提供し始めそうだね
まぁルータでは無理でしょ、できたら面白いけど L2延伸ってL2で離れた拠点どうしを繋ぐ事でないの?
実際プロトコルなに使うかは規定されてない感じがした
IIJのルーターでL2延伸の説明あってL2TPv3使ってるとも書いてたし >>907
YAMAHAのRTXで、他拠点とイーサネットレベルでつなげるよね
L2TPをつかって可能
便利だなと思って設定例を見ていたよ >>909
おいおい、アンタが言ってるのはL1延伸だろ なんでL1なんだよ
ケーブル遠隔地まで伸ばすんかい vxlanとかevpnのこと言いたいのかなー。
yamahaに期待する機能だとは思わないけど 流れぶったぎってすまん
RTX810で、5ch.netを含むサイトへのアクセスはpp 2経由にしたいなんてできます? たしかフィルタ型ルーティングで可能じゃね?
RTX810ならFQDNも使える >>916-917
おおおおおお!!!!!!!!ありがとー
知識が昔のままでいたわ >>917
>本機能を使用するルーター配下の端末は、DNSサーバーとして本機能が動作しているルーターを指定する必要があります。
この意味がよくわからない >>916
自分もしらなかったわ。
>本機能は IPv4 通信のみ対応しています。
IPv6にも対応してほしい。 >>919
とりあえず別のDNSサーバーから引いてきても動く
誤動作するかは知らない ネットボランチDNSをIPv6対応にしたら日本では無敵になるのにな。
なんでしないんだろ。
というわけでうちの全国100拠点ルータ更新はまたCiscoになった。
せめてWiFi内蔵とかにしてくれればメリットあるのに。
中国ではWiFiルータ売ってるのになんで中国優遇してんだろ。この会社。 WLXとかいう後発組の利点を潰したクソ機種の再来を作って欲しいのか >>922
NVR700WがWi-Fi搭載だと勘違いしてる人多いよね
もうすぐ発売から2年たつなんて思わなかった >>917
RTX1210でやったらエラー出たからなんだろうっておもったらRev.14.01.26以降なのか
んで4月リリースの最新ファームなんだな RTX830で何気にutf8対応してたんだな
やっとこかって感じだけどね >>921
まだわからない。
>本機能を使用するルーター配下の端末は、DNSサーバーとして本機能が動作しているルーターを指定する必要があります
(1)、本機能を使用するルーター
FQDNでアドレスを指定する「新しいフィルタ機能」を用いているゲートウェイルーター
(2)、配下の端末
その配下にあるPCのことだよね
(3)、DNSサーバーとして本機能が動作しているルーター
リカーシブDNSサーバが動作しているところのゲートウェイルーター
(1)=(3) だよね。
つまり、ゲートウェイルーターでFQDNを使用したフィルタ配下のPCにはDNSサーバとしてゲートウェイルーターを指定しなければならないってことかな。
どうしてそうする必要があるんだろう。8.8.8.8を直接PCに設定してはいけないのはどうしてなんだろうか。 >FQDN フィルターで使用するキャッシュのタイマーを設定する。
>ip filterコマンドで、始点アドレスおよび、終点アドレスにFQDNを設定している場合、 指定したFQDNに一致する通信が発生したとき、タイマーが動作する。
って書いてあるから、DNS問い合わせの時点でフィルターが動的作られるから
DNS問い合わせなしではフィルター作成されないからip直接で通信すると
デフォルトの方に行ってしまうのでは。pc側でdnsが長時間キャッシュされてたら
上手くうごかないんかね。 >>928
ありがとうございます。見事な説明です。
よくわかりました。
ご説明を読んでいてわかったんですが、
ラウンドロビンとかつかっているFQDNだと、
PCがそのFQDNからDNS問い合わせで取得するIPアドレスと、
RTXがFQDNから動的に作成するフィルタと一致していないと矛盾がでてしまいますよね。
だから、PC、DNS、Routerが直線的でなければならないわけですね。 >>926
RTX1210モナー
そんなことより、ロールバックタイマなんていう便利な機能がついたんだな
http://www.rtpro.yamaha.co.jp/RT/docs/cli/load.html
#sched at 99 6:20 * restart みたいなことやらなくて済むんだな ★★★This world is made up with big lie and trickery. Until you n●otice it, the unhap●piness of the world and your misfortune will never end.★★●★
この掲示板●(万有サロン)に優秀な書き込みをして、総額148万円の賞金をゲットしよう!(*^^)v
http://jbbs●.livedoor.jp/study/3729/ →リンクが不良なら、検索窓に入れる! >>930
RTXが自爆Switchを搭載したのか
どちらかというと、拠点側になりやすい810や830に早く搭載して欲しい >>930
慣れたらとても便利そうな機能だなあ
教えてくれてありがとう >>929
仕組み知らんでレスするが普通に考えてそれは無いだろ。
複数Aレコードあれば全部フィルタ登録されないとPCが複数あった時に使い物にならん。 だから全部の端末に名前解決をyamahaルータに向けろ、言うてるなら整合しない? 宛先クライアントごとに、フィルタがことなる仕組みになっているとか? RTX1210で、ip stealth pp1を設定した上で外部のサイト(Shields Up)からポートスキャンを掛けてみたんだが、1023番以下のポートが漏れなくclosedと評価されて、stealthにならない。
試しにテザリングしてPCのパーソナルファイアーウォールで試してみるとstealthと出るから、サイトの診断自体は間違ってなさげ。
PPインターフェースはINフィルターはVPN関連をpassしたのみで基本はreject、OUTフィルターに動的フィルターを仕掛けてはいるけど、1023以下のポートが漏れなくstealthにならない理由はなさそう。
何か見落としてるのかな? ポートが閉じてる=サーバがある=攻撃を受けやすい なんて判断する時代は過ぎてる気がするけどね
ポートスキャンもしてるんだろうけど力業で狙いたいネットワーク全部に攻撃仕掛けてると思うし とは言え、見えるよりは見えない方がいいかなとは思っていて。
あと、自己解決しました。
NATの設定で変換テーブルがない場合の振る舞い方のところで、わざわざ応答するようになっていたので、破棄するように変えてみて、すべて想定通りになりました。 もっとも今の脅威になるのは外部じゃなくて内部だったりするからなぁ。
簡単なとこだとスパム発信拠点になってたりしてやばいIP認定されたり 疑いだしたらきりがない
管理者的に「自分の非を問われない状態」にして置けば社員がバカなのは諦める パソコンの先生兼情シス兼総務みたいな会社で、自分でFWX120導入してライセンス買ってるとこって
どのぐらいあるんだろう >>942
似た環境、自分で中古のRTX1200買ってVPNの拠点増やした、辞めるときは全て外して行く 今時VPN組むぐらい簡単やで
それに下手にそういう事すると訴えられるよ だいたいそういうのが辞めたあとにうちの会社に泣きついてくるから慣れた
モノ売りなし設定変更だけだからあんまおいしくない >>940
10年くらい前、手持ちの固定グローバルIPがヤバイIP認定されてメール送信拒否されたことあるw 自前で顧客向けのメールサーバを運用してるとこなら、だいたいどこでも今だに発生してるんじゃないかなあ。
ありがちなシナリオ
1. 顧客のメールアドレスとメール送信認証情報が流出もしくは破られて、第三者が自由にメールを送信できるようになる。
2. その第三者が思う存分にスパムを発射する。
3. あちこちの RBL に登録されてしまい、同サーバから送信される他ユーザのメールも他サーバから受信を拒否される。
4. クレームを受けた俺が、乗っ取られたメールアドレスを特定して緊急回避としてそのアカウントをロックアウトする。
5. あちこちの RBL に解除依頼を出す。
6. Sender Score 等が回復してくるのを正座して待つ。
7. パトラッシュ、僕はもう疲れたよ。 >>950
こんな感じ。
nat descriptor masquerade incoming 1 discard
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/nat/nat_descriptor_masquerade_incoming.html
前のルーターの時は入れてたんだけど、今回はWebUIからあらためて設定し直してみたのが徒になったよ。これが関係してるとはすっかり忘れてたorz ちなみに、WebUIからも変更可。 ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
O078S >>948
お前とはいい酒が飲めそうだ・・・今後一杯奢るよ。 954
俺もおごってほしいな
新機能あったのでさっそく使ってみたらうまくいったよ
参考:http://www.rtpro.yamaha.co.jp/RT/docs/forward-filter/
ip route default gateway tunnel 90 filter 300000 gateway pp 1
ip filter 300000 pass 192.168.9.1-192.168.9.240 * * * * #.241以降にサーバとかある
ip filter 300001 pass * *.5ch.net
ip forward filter 100 1 gateway pp 1 filter 300001
ip lan1 forward filter 100
※tunnel 90はDS-Lite経由 >>955
>ip filter 300001 pass * *.5ch.net
ip filter 300001 pass * 5ch.*.net
こんなんとかいけるのかな? いや
* から始まる FQDN は * より後ろの文字列を後方一致条件として判断する
ってあるから途中に*があるのは無理な気がしたんだが
SRT,FWXならいけるんかね? なんで同じ行2つ書いてんだと思ったら微妙に違ったのか!
プロクシのPACみたいなことやりたい感じかな
ext.*.jpは串通しとか PC側でやる分には大した量発生しないから負荷はそんなにないだろうけど
ルーター側でやると負荷かかりそう フィルタ通すだけでCPU使用率上がるし超高負荷のときにどうなるか気になるよね 調べてみたんですがわからなかったので優しいかたおりましたらTwiceNATについて教えてほしいです
設定例を見るとインターネットにつなぐものしかありません
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor
この設定例でインターネットではなくルータ(1台)をかわりに置いた場合はWAN側にどんなアドレスを設定すればよいでしょうか?
よろしくお願いします すみません
>>963,964はtunnel、ipsecなしでという条件下でお願いします
よろしくお願いします どういう理由でTwiceNAT使いたいわけ?
環境も書かないでどんなアドレスとか言われても >>966
すみません指摘ありがとうございます
同一ネットワーク(すでにアドレスが配当されている)をつながなきゃいけない状態で、かつインターネットにはつないでいないです
構成は
端末-N1-ルータ@-ルータA-ルータB-N2-端末
N1とN2が同一ネットワークです
設定例を参考にするとルータAをインターネットと見立ててルータ@にTwiceNATを参考に入れてみたんですがうまくいかずに質問したしたいです
ルータ@config
ip lan1 address 192.168.0.1/24
ip lan2 address 10.10.10.2/24
ip lan2 nat descripter 1 reverse 2
nat descripter type 1 nat
nat descripter address outer 1 172.16.2.1-172.16.2.254
nat descripter static 1 1 172.16.2.1=192.168.0.1 254
nat descripter type 2 nat
nat descripter address outer 2 172.16.1.1-172.16.1.254
nat descripter static 2 1 172.16.1.1=192.168.0.1 254
rip use on
ルータAconfig
ip lan1 address 10.10.10.1/24
ip lan2 address 10.10.20.1/24
rip use on
ルータBconfig
ip lan1 address 192.168.0.1/24
ip lan2 address 10.10.20.2/24
rip use on
使ってる機種はRTX1210(Rev14.01.09)です
とんちんかんなことをしてるのかもしれませんがどうかご教授お願いします ルーティングに問題ありそうな気がする
たぶんripじゃ無理なんじゃないの?
ルータ@
ip route 172.16.2.0/24 gateway 10.10.10.1
例じゃip route 172.16.1.0/24 gateway tunnel 1になってるんだが間違ってる気がする
ルータA
ip route 192.168.0.0/24 gateway 10.10.20.2
ip route 172.16.1.0/24 gateway 10.10.10.2
ルータB
ip route 172.16.1.0/24 gateway 10.10.20.1
検証してないで
こうだと思うんだが違うかもしれん
やり方次第でルータAはいらんかもしれん >>967
N1とN2が同じネットワークって
@同じアドレス帯で別ネットワーク?
A同じアドレス帯で同じネットワーク?
どっちにしても最初の宛先解決でコケそう いろんな機種のファームアップが一気に来たな。未だにRTの更新をやってるとこがすごい。 >>967
>>969 じゃないが
同一ネットワークといえば
普通は同一ネットワークセグメント
IP/イーサでいえばブロードキャストドメイン内
>>968 は部分点、ちっと足らない
ルーティングテーブルだけでなくて
各ノードごとに(NAT前後の)IPパケットのSrc/Dstと
見比べて通るかどうか順に追う YAMAHAはNAT前にルーティングテーブル見るんだっけ
ciscoはinとoutでルーティングテーブル見るタイミング違うから面倒くさかった記憶が >>969
>>972
言葉足らずでしたね
同じネットワークアドレスが設定されている別ネットワークになります
>>968
ありがとうございます
明日また設定頑張ります >>974
同じネットワークアドレスの別ネットワークに存在する端末間通信したいってこと?
通信の発端末からすると宛先は同じセグメントに見えてmacアドレス解決試みるだけでNATルータにパケット投げないと思うんだけど。
頓珍漢な会話になりそうだし、何をしたい、を言ってくれる方が良いかも これみて何やりたいかわからない?
ip lan2 nat descripter 1 reverse 2
nat descripter type 1 nat
nat descripter address outer 1 172.16.2.1-172.16.2.254
nat descripter static 1 1 172.16.2.1=192.168.0.1 254
nat descripter type 2 nat
nat descripter address outer 2 172.16.1.1-172.16.1.254
nat descripter static 2 1 172.16.1.1=192.168.0.1 254 >>975
ありがとうございます
>>976がおっしゃってる通りでTwiceNATでそれを解決しましょうって話です
同じネットワークアドレスなだけならL2TPv3で解決すればよいのですが今回はアドレス重複があるため頑張っているところです 何をしようとしてるかはわかるけど、やりたいことがこれなのかはわからん。
NAT以外の解決方法含めて何をやりたいか相談してみたら?って話かと。 今回のアップデートはRTX830/RTX1210以外はセキュリティ強化がメインっぽいな何か指導が入った? >>977
難しいことして繋ぐのいいけどトラブった時に自分に問い合わせが来たりするならぶっちゃけソフトイーサでも使ってアクセスしたい端末をまとめて別ネットワークに収容してしまった方が維持管理楽な気がする TwiceNAT
皆さんの助言で無事つながりました
ありがとうございました
繋がらなかった原因はやはりルーティングでした おつかれさま
他人にconfig見せた方が早い時多いよね。
natだ!tunnelだ!って決めつけるとハマる rtx1210新ファームにしてからリブートしまくりなんだけど同じ症状の方おられます?
nat descriptor backward-compatibilityを2にすると症状無くなります。 >>984
げーーーー!まじで。
ファームウェアこわいわ。 >>984
設定を個別パラメーターマスクして出してみそ >>984
なにそれ怖すぎw
うちんとこじゃ今んとこなんも無いけどなあ
cpuとメモリ負荷どんくらいなん? 今、最低限設定の安定しているconfig晒します。 >>984
うちでもリブートしたから一個前のファームに戻した。
原因まではわからなかったからサポートにメールしといたわ。 Rebooted by Data storage [load](2)
って表示されてた ip p# RTX1210 Rev.14.01.28 (Tue May 15 18:34:08 2018)
# MAC Address : 00:a0:de:cc:40:6b, 00:a0:de:cc:40:6c, 00:a0:de:cc:40:6d
# Memory 256Mbytes, 3LAN, 1BRI
# main: RTX1210 ver=00 serial=S4H037501 MAC-Address=00:a0:de:cc:40:6b MAC-Address=00:a0:de:cc:40:6c MAC-Address=00:a0:de:cc:40:6d
# Reporting Date: May 26 19:18:27 2018
login timer 3000
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ipv6 routing off
ip lan1 address 192.168.24.1/24
pp select 1
description pp xxx
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname xxx xxx
ppp lcp mru on 1454
ppp ipcp ipaddress on nat descriptor masquerade port range 1000 49152-65534 30000-49151 10000-29999 1024-9999
nat descriptor masquerade session limit total 1000 20000
syslog notice on
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.70-192.168.24.99/24 gateway 192.168.24.1 expire 168:00 maxexpire 168:00
dns host lan1
dns server 129.250.35.250 129.250.35.251
dns cache max entry 1024
dns server select 500001 129.250.35.250 129.250.35.251 any . restrict pp 1
dns private address spoof on
dns service aaaa filter on
schedule at 1 */* 00:00:00 * ntpdate ntp.nict.jp syslog
upnp use on
dashboard accumulate traffic on
dashboard accumulate nat on nat descriptor backward-compatibility 1を投入して3分も経たない内に
起動理由 Rebooted by Data storage [load](2)
と、過去レスにはサポセン行けの助言しかなく。
ただ、最新ファーム以前はこんなことなかったんですが・・・
出来ればnat descriptor backward-compatibility 1で運用したいので
困っております。
ログです。
2018/05/26 19:31:43: success to extract syslog
2018/05/26 19:31:43: success to extract reboot log
2018/05/26 19:31:45: [LUA] Lua script function was enabled.
2018/05/26 19:31:47: PPPOE[01] Connecting to PPPoE server
2018/05/26 19:31:49: LAN1: PORT1 link up (1000BASE-T Full Duplex)
2018/05/26 19:31:49: LAN1: PORT7 link up (100BASE-TX Full Duplex)
2018/05/26 19:31:49: LAN1: PORT8 link up (100BASE-TX Full Duplex)
2018/05/26 19:31:49: LAN1: link up
2018/05/26 19:31:50: PP[01] IP Commencing: UDP 192.168.24.73:53666 > 129.250.35.250:53 (DNS Query [time-ios.g.aaplimg.com])
2018/05/26 19:31:50: LAN1: PORT2 link up (1000BASE-T Full Duplex)
2018/05/26 19:31:50: LAN1: PORT3 link up (1000BASE-T Full Duplex)
2018/05/26 19:31:50: LAN2: link up (1000BASE-T Full Duplex)
2018/05/26 19:31:50: Previous EXEC: RTX1210 Rev.14.01.28 (Tue May 15 18:34:08 2018)
2018/05/26 19:31:50: Rebooted by Data storage [load](2)
2018/05/26 19:31:50: RTX1210 Rev.14.01.28 (Tue May 15 18:34:08 2018) starts
2018/05/26 19:31:50: main: RTX1210 ver=00 serial=S4H037501 MAC-Address=00:a0:de:cc:40:6b MAC-Address=00:a0:de:cc:40:6c MAC-Address=00:a0:de:cc:40:6d
2018/05/26 19:31:50: Login succeeded for HTTP: 192.168.24.60
2018/05/26 19:31:50: 'administrator' succeeded for HTTP: 192.168.24.60 横からだが、serialとMACは潰した方がいいよ >出来ればnat descriptor backward-compatibility 1で運用したいので
理由は? 3270/5250のエミュとか動いてると急に切れちゃうってのはFortiGateの話だっけか 自分も同じ症状になった。
upnpをオフにしたらおさまったが、何だろうバクかな? 俺も同じ症状でビビったわ。
Rebooted by Data storage [load](2) って調べても分からん。 >>993
これって、再起動後のログだよね。
再起動前の動作が全然わからない。 >>998
内蔵データ領域のファームウェア(2番に保存されているもの)をロードして、
再起動しましたよってことでは?
これを調べても、再起動の理由なんてさっぱりわからなさそうだけど。 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 296日 14時間 6分 2秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。