YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
そういえば数年前に
漏れ監視カメラ集めた一覧サイトあったな
いまでもあんのかな? TCP/IPなんて知らんかったときは
筐体のケースを開けて、物理ポートをDIPスイッチあたりでオンオフしてポート開放するのか思ってたわ 単発質問失礼
ネットワーク機器も含め全て MAC + 802.1X EAP-MD5 認証しなきゃいけないクソ NW 配下で NAT させるという要件が降ってきてしまって、
802.1X の”サプリカント”になれる NAT 箱を探しているのだけど、RTX シリーズに該当モデルはあるだろうか。
どうにも見付かりそうになければ pfsense 辺りで手を打とうと思うのだけれど……。
検索しようにも認証させる側の情報ばかり引っかかるもので、誰かご存じだったら教えて頂きたく。 >>605
オーセンティケータでなくサプリカント? >>606
そーなんです。
スイッチなら Cisco は IOS に標準搭載しているそうなのだけど、
NAT したいのでルーターで……となると急に見付からなくなってしまい。
まあ、クライアント認証の意義とか考えれば当たり前のことなんだけども……。
とはいえ民生向けルータ(ASUSとか)では存在するので、探せばあったりしないかなぁ、と。 >>607
ルータやスイッチでサプリカントという発想がないなぁ
正直運用が見えてこないんだけど・・・
少なくともヤマハでは難しそうだね
自分だったらLinuxを使うかな Cisco IOSならサプリカント機能がNEATとか呼ばれてた気がする とりあえずCiscoのルータの方にもそのサプリカント機能を搭載してるの確認するのに
ISR 841Mでdot1x credentialsコマンドを打ち込んだけど通る
面倒だから実際に認証されるかまでは試してない ガチガチ認証環境でNATか
糞アプリの認証系通信のペイロードに
IPアドレスとかの情報が含まれてるといいですね! ってかCiscoめっちゃ安いな
Amazonで14,600ってマジか? tftp で config を取ることが出来ると思いますが、
コマンドプロンプトからは成功しますが、全く同じコマンドを PowerShell 内から叩くと
サーバー上のエラー: Access violation
接続要求に失敗しました
って出ちゃいます。ルーター側のログは
[TFTPD] Rejected access from 192.168.xxx.xxx
[TFTPD] No such file
って風です。
なにが考えられますか? あ、パスワードに $ が含まれているせいぽく
パスワードを空にしたり、$ を止めたらうまくいきました。 |
| 彡⌒ミ
\ (´・ω・`) PowerShell嫌い
(| |)::::
(γ /:::::::
し \:::
\ >>597
安いタイプだと、upnp関係なく、
いったん、その怪しいメーカーの中央サーバーに接続されているようだよ。
前に、ログとってわかった。 >>616 RTXのどの機種のどのバージョンでそんなことになるのか教えてくれよ >>616
クラウド対応みたいなやつがそれだね。内蔵DDNSで登録できてポート開放もいらないってやつ
冷静に考えるとちょっと怖いけど便利だからいいや あたりまえじゃん
ホールパンチングしなきゃいけないんだし DS-LITE用にRTX830 買うかNVR510 買うか悩んで1ヶ月、BUFFALOでいいかなと思い始めてきた >>621
10年以上壊れたことないから、
YAMAHAにしておきなさい Azureなぁ
ike v2使えばできるんだけど
既にあるトンネルも再構築しないといけないんだよな Azureの推奨機から外されてるから、それのことじゃないの >>626
LibreSWAN / OpenSWAN へのトンネリングこそよろしく!!
超簡単なコマンドと設定例も期待しています! >>629
ちょっと何言ってるかよく分からない
RTXの設定例ってopenswanの設定次第で全然変わるんだけど
「openswan RTX」でググれば一杯出てくるよ
openswanの設定例が知りたいならlinux板へどうぞ まぁシスコ・アライド・ほかにFW系のSonicWallやFortiGateとのVPNリンクって
なにげにYamahaが一番相手を選ぶような気がする まあyamahaだしw
気をつけてるのは
・ペイロードタイプを3にする
・durationは短めに
・idはipv4_addrで
とかかな、時に諦めも肝要
yamahaどうしを使いましょう、と
とは言え実際は他のベンダーと繋ぐ必要もあるし、果たして上手い商売なのか?
とりあえずAWSはサポートしたんだし文句言うなってことじゃない? IPsec 相互接続の手引き
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/interop.html
それなりにパラメータ設定すればそれなりに繋がる
ハマってどうにもならないのはsha256にはLinuxのバグ?あって
Androidにも波及
ルーターもメーカーによって実装がどちらか違う >>630
標準的な構成で、Open/LibreSWANとRTXとのIPsec接続を、
専用コマンドと設定例と共に担保してもらいたいんですよ。
例えば、こういう構成で、IPsec接続が公式のコマンドセットで行えるようにしてほしい。
OpenSWAN/LibreSWAN側(固定IP)---IPsec---(固定IP)RTX------プライベートネットワーク
現状ではRTXからOpen/LibreSWANへの接続が開始できない。
IPv6にも非対応、RTX側にあるネットワークを複数指定できない。 ヤマハは過去のルータとの互換が足かせになってる感じするんだよなぁ
VPNで他社接続なんて考えてない時代から継ぎ接ぎで対応させてる感じになってるから
リース満了で一括入れ換えが多いんだから、いっそのこと全部ばっさり切り捨てて作ってもいいかもしれない でもなぁ、大幅変更はそこで一気に崩れる時あるからなぁ
CenturyXRやアライドはひどかった >>621
ですが、ご意見下さった皆さまありがとうございます。思い切ってRTX830を買いました。手元に届くのが楽しみです。 >>637
まー大幅変更してないのにRTX1210は何度通ったことか・・・ >>638
GUIで設定もできるんだろうけど、
telnetでアクセスして、CUIでこちこちとコマンドを打ち込んで、
少しずつ設定をしていくことをお勧めするよ。
順に、
RTXのアドレス設定、
IPフィルタの設定(アウトバウンド動的、インプット静的全リジェくと)、
ISP接続の設定、
NATマスカレー度の設定
ルーティングの設定
で良いだろう。 1210とか830世代からはほぼGUIで完結できるんだから、
GUIで設定してコンフィグ取得たいな勉強するのもよいかな。
フィルターなんかは独自番号振ってると、GUI設定いじったとたんにヤマハのフィルター番号が作成されてドツボにはまる罠があるけど。 うん、だから、最初が肝心。
CUIか、GUIか。
RTX1100から使っている自分は、CUIしか使う気になれない。
フィルタ番号にも独自ルールあるし。 rt100iから使ってる俺のお勧めは
フィルターなどはGUIでまず作成して
あとはCUIで弄るのがお勧め フィルタでいうなら俺は逆でほとんどコマンドでやってる
1210からのGUIはフィルタの作成はともかく適用がやりにくくて仕方ない 638ですが皆さまのご意見に感謝いたします。
素人ですので全てをコマンドで設定するのは敷居が高いと感じており、プロバイダの設定など初期設定くらいはGUIで行い、フィルターの設定などの細かい設定はCUIで行う予定でいました。
ですがまずはひかり電話用にNTTからレンタルしている第5世代のHGWとRTX830の接続を頑張りたいと思います。。 鎖国フィルターってのがTLに流れてきたんだけど
ここの住人で誰か人柱った人いる?
ttp://d.hatena.ne.jp/wakwak_koba/20180224
リストが莫大すぎて合ってるのか分からない サーバ公開しだした人にとって鎖国フィルタは朝鮮しようと画策したことあるだろうけどでももう時代遅れな気がする
SRT/FWXはGUIでフィルタ作ってからじゃないととっかかりがつかめあに >>643
そういえば、RTA54iが作ってくれたフィルタを、
一部改変してRTX1200とかにまで使っているなあ、おれ。
動的フィルタしているので、アウトバウンドのSMB阻止なんかのフィルタを適用しているよ。 >>647-648
sshを22番以外にすることで得られるのと同程度の安心感だな
多少の緩和になるけれど、抜本的な解決にはならない、って風な あるクラウドだとセグメント跨いでた事があった。fqdn以外では阻止させないってか。
最早、クラウドはファイアウォールの敵だな。 外向きに鎖国するやついるのか
どっちかと言えば、内向きに適用するもんだと思うんだ
総当たりは言うに及ばず、今流行のmemcachedとかも
仕掛けてくるのは外人だし
とりあえず鎖国しとけば、何かあったら日本の警察を動かすことが出来るしー
ってところで、抜本的に安全になるわけではないけど、安心感だけは得られる的な 今時は詐欺サイトに繋がらないように外向きに適用したい人は多いと思う >>654
それはまともなサイトも見れなくなる可能性がかなりあるんじゃね? >>652 説明が良くなかったか。
あるfqdnの実体が単純にx.x.x.x/24みたいなアドレス体系に纏っているならばこれを規制するのは簡単だが、これに加えてy.y.y.y/21とか複数混ざっていると手間になってくる。
youtubeやitunesなどが典型的な例だろ。これらの通信をIPを指定して通すにはFWにいくつも設定が必要になる。
パケットモニタを使って何のfqdnを解決しようとしているか調べ、そのfqdnをFWに設定するようにすれば、幾らかポリシーの節約になる。 >>640
YAMAHAのCLIならtelnetよりシリアル接続でしょ
RTX830にはRJ45の他にUSBminiもあるようだし >>656
それも含めてIPアドレスでの鎖国なんてもう時代遅れなんだろうなって思う
踏み台で世界中から攻撃来る時代でもあるし >>656
FQDNで設定できるタイプのFW、といってもPaloAltoの最新ではないやつしか使ったことないですけど、
あれはPAが一定間隔でFQDNを正引きして、そのとき返ってきたIPアドレスだけを許可するので、
FQDN引くところころ結果のレコードが変わるようなもの、例えば大手のクラウドとかCDNとかとの相性が悪すぎた。
DNSの通信は必ず覗ける、という前提で、許可したドメイン名(ワイルドカードも可)を引いたときの
IPアドレスがころころ変わってもすべて良い感じに通してくれるFW、ぜひ欲しいけどありますかね。 IPアドレスでの鎖国が時代遅れで限界きてるってのは、かなり思う。 >>659
Edgerouterならdnsmasq+ipsetで出来る。 同意 串・VPN・クラウド全盛の現在IP鎖国なんて何の意味も無い 「日本のみ通す」は
何かあったとき(攻撃を受けたとき)は日本の警察に相談できるだけマシじゃないか
と思うんだけど、それは甘えか
意図せず踏み台にされた被害者には警察から連絡がいくだろうし △意図せず踏み台にされた被害者
○意図せず踏み台にされた加害者
だな、一応は攻撃主になるのだから >>665
警察が無能でも加害者を日本国内で裁判にかけられるのはかなり大きいぞ >>656
それルータでやろうと思うのが間違ってる クラウド言いながらCDNのコト言ってるのもなんだかなぁ >>661
ありがとう。ER-Lite持ってるので後日試してみます。
その組み合わせならOpenWrtもいけそうね。やってみます。 面白い試みだけど、ルーターでやらせる内容じゃないなぁ
UTMが無い環境でのお遊びかな 鎖国フィルタ自動化する前の頃に
ヤマハ絡みか電話絡みかどこのスレか忘れたが
SIPの無言着信とか気にしてたのがいた
そもそもSIPなんてゆるゆるプロトコルを
ホワイトリストにもせずWAN側不特定に開けるのがそもそも間違ってるだけ 謹製VoIPアダプタは言うに及ばず
ビジネスホンに収容する業務用のVoIPユニットも、ほぼ全ての製品で全allowだし
ホワイトリストで運用するのがおかしい、って主張は無理があると思う ホワイトリストで運用するのがおかしい → ホワイトリストで運用しないのがおかしい それなりの高いのだとアプリレベルで何かしらスパム対策してるのもある
そういう仕組みが出来てないのを野ざらしにするのは国内限定でも広すぎ
一般的な電話番号のあるIP電話の受けならSIPの相手はそのITSPに絞られる
「インターネット電話機能」みたいのは絞れない上にかける方もやり放題で
スパム(SPIT)が一昔前には問題になった
ごくいっときだけ無料バンザイで他にもあったが廃れた FWX120って結局あやしい業者のOEM以外ではほとんど見なかったなぁ コンセプトが中途半端だったからなぁ
どっかと組んでUTM作った方がよかったと思う >>678
TRENDMICROのサービスとコミコミにしちゃえばよかったのよ。
しかもポリシーって考え方がRTやRTXと違うし中小の自前整備組にはありがたみが無い。
810/1200しか無かったときのアドバンテージはNATセッションの数くらいか。
それも830出てしまったしな。 FWX120は使った事がないけど、URLフィルタとメールのスパム&ウイルス対策はできるのか。
#機能はMcAfee連携(参考推奨台数が25台程度)
RTX830でWebアプリケーション制御は開発中だから
それが揃えばインターネットアクセスには使えるかな。
IPS/IDSはずっと昔のままで、強化されないよね・・・。
あと、推奨25台程度だと足りないのでCPUとメモリはケチケチしないで欲しい。 中小向けには、RTXのWinny/Share検知&遮断機能が稟議の差異に効果的でした
壊れない限り単純入れ換えなんてこのご時世できないからねえ >>672
すみません、仕事と趣味ごっちゃに書いてしまいましたが目的は自宅でのお遊び、単に興味があるだけです。
宛先ドメインごとに、拒否したりパケットキャプチャ用の経路に投げたりスピード重視の回線に切り替えたりとか試してみたくて。 >>668 何処ら辺がCDNなんだ? akamaiにもうそんな概念は無いだろ。
少なくともウチではitunesもyoutubeもwindows updateも接続先はそもそも日本国内では無くアメリカのakamai。
既に距離はコストと看做されてない。 札幌にサーバがあるから遅いって言い張ってた掲示板夜勤がいたっけ
信じてた俺も >>683
ISPまともなトコ使ってないか、その瞬間の一つのドメイン調べて勘違いしてるか、その両方か YouTubeはAS15169から来るかGGCから来るかのどっちかでしょ
GoogleはARINからもらったIPアドレスを日本でも使ってるからGeoIPだとアメリカに見える FWXで思い出したが、中国向けRTXにはファイアウォール積むのに
日本向けはFWXに限定してるのいい加減になんとかしろよな。 パケットフィルタはセッションで管理するの当たり前で良いと思うのに
単純なフィルタは流石に時代遅れ。
昔ならリソース不足とかあったかもしれないけどな。 リソースという問題なら、RTX810とFWX120はスペック結構違うんじゃなかったっけ 中→外を単純なフィルタすることはあるよ。外部に迷惑かけないために。
ソースがエフェメラルポートより若いポートはサーバー以外ブロックしてる。 Linuxで使えるiptablesの、ステートフルインスペクションってあるでしょ。
。。。INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
これと、RTX1210とかに搭載されている動的フィルタとどう違うんだろう。
ip filter dynamic 8 * * tcp
ip filter dynamic 9 * * udp
RTXの場合、tcpやudpの他に、wwwなど通信に応じて設定もできるようだけど。
tcp,udpという風に設定しておけば、汎用的に機能してくれるということだろうかな? >>695 ダイナミックのほうが設定が面倒って感じ
やろうとしているのは同じことだけど、RTXの方が細かく設定できる >>696
ああ、たしか細かい設定あったなあ。
トリガを設定して、入り口を開放するみたいな。
そうすると、iptablesの方は、例外なく一般的な動作しかしなさそうだな。 おいおい、ヤマハのダイナミックフィルタとセッション書いて終わりなFWのフィルタは全然別モンだよ。
ダイナミックフィルタもIPフィルタも面倒なのは変わらん。
YAMAHAだけ触ってると苦労にも気付かないってか。。 >>693
FWX120はRTX1200同等スペックだった気がする >>680
FWX120って、そこのレイヤーでは仕事しないんじゃないの?
迷惑メールやexeファイルの添付はチェックしないでしょ ■ このスレッドは過去ログ倉庫に格納されています