YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
>>665
警察が無能でも加害者を日本国内で裁判にかけられるのはかなり大きいぞ >>656
それルータでやろうと思うのが間違ってる クラウド言いながらCDNのコト言ってるのもなんだかなぁ >>661
ありがとう。ER-Lite持ってるので後日試してみます。
その組み合わせならOpenWrtもいけそうね。やってみます。 面白い試みだけど、ルーターでやらせる内容じゃないなぁ
UTMが無い環境でのお遊びかな 鎖国フィルタ自動化する前の頃に
ヤマハ絡みか電話絡みかどこのスレか忘れたが
SIPの無言着信とか気にしてたのがいた
そもそもSIPなんてゆるゆるプロトコルを
ホワイトリストにもせずWAN側不特定に開けるのがそもそも間違ってるだけ 謹製VoIPアダプタは言うに及ばず
ビジネスホンに収容する業務用のVoIPユニットも、ほぼ全ての製品で全allowだし
ホワイトリストで運用するのがおかしい、って主張は無理があると思う ホワイトリストで運用するのがおかしい → ホワイトリストで運用しないのがおかしい それなりの高いのだとアプリレベルで何かしらスパム対策してるのもある
そういう仕組みが出来てないのを野ざらしにするのは国内限定でも広すぎ
一般的な電話番号のあるIP電話の受けならSIPの相手はそのITSPに絞られる
「インターネット電話機能」みたいのは絞れない上にかける方もやり放題で
スパム(SPIT)が一昔前には問題になった
ごくいっときだけ無料バンザイで他にもあったが廃れた FWX120って結局あやしい業者のOEM以外ではほとんど見なかったなぁ コンセプトが中途半端だったからなぁ
どっかと組んでUTM作った方がよかったと思う >>678
TRENDMICROのサービスとコミコミにしちゃえばよかったのよ。
しかもポリシーって考え方がRTやRTXと違うし中小の自前整備組にはありがたみが無い。
810/1200しか無かったときのアドバンテージはNATセッションの数くらいか。
それも830出てしまったしな。 FWX120は使った事がないけど、URLフィルタとメールのスパム&ウイルス対策はできるのか。
#機能はMcAfee連携(参考推奨台数が25台程度)
RTX830でWebアプリケーション制御は開発中だから
それが揃えばインターネットアクセスには使えるかな。
IPS/IDSはずっと昔のままで、強化されないよね・・・。
あと、推奨25台程度だと足りないのでCPUとメモリはケチケチしないで欲しい。 中小向けには、RTXのWinny/Share検知&遮断機能が稟議の差異に効果的でした
壊れない限り単純入れ換えなんてこのご時世できないからねえ >>672
すみません、仕事と趣味ごっちゃに書いてしまいましたが目的は自宅でのお遊び、単に興味があるだけです。
宛先ドメインごとに、拒否したりパケットキャプチャ用の経路に投げたりスピード重視の回線に切り替えたりとか試してみたくて。 >>668 何処ら辺がCDNなんだ? akamaiにもうそんな概念は無いだろ。
少なくともウチではitunesもyoutubeもwindows updateも接続先はそもそも日本国内では無くアメリカのakamai。
既に距離はコストと看做されてない。 札幌にサーバがあるから遅いって言い張ってた掲示板夜勤がいたっけ
信じてた俺も >>683
ISPまともなトコ使ってないか、その瞬間の一つのドメイン調べて勘違いしてるか、その両方か YouTubeはAS15169から来るかGGCから来るかのどっちかでしょ
GoogleはARINからもらったIPアドレスを日本でも使ってるからGeoIPだとアメリカに見える FWXで思い出したが、中国向けRTXにはファイアウォール積むのに
日本向けはFWXに限定してるのいい加減になんとかしろよな。 パケットフィルタはセッションで管理するの当たり前で良いと思うのに
単純なフィルタは流石に時代遅れ。
昔ならリソース不足とかあったかもしれないけどな。 リソースという問題なら、RTX810とFWX120はスペック結構違うんじゃなかったっけ 中→外を単純なフィルタすることはあるよ。外部に迷惑かけないために。
ソースがエフェメラルポートより若いポートはサーバー以外ブロックしてる。 Linuxで使えるiptablesの、ステートフルインスペクションってあるでしょ。
。。。INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
これと、RTX1210とかに搭載されている動的フィルタとどう違うんだろう。
ip filter dynamic 8 * * tcp
ip filter dynamic 9 * * udp
RTXの場合、tcpやudpの他に、wwwなど通信に応じて設定もできるようだけど。
tcp,udpという風に設定しておけば、汎用的に機能してくれるということだろうかな? >>695 ダイナミックのほうが設定が面倒って感じ
やろうとしているのは同じことだけど、RTXの方が細かく設定できる >>696
ああ、たしか細かい設定あったなあ。
トリガを設定して、入り口を開放するみたいな。
そうすると、iptablesの方は、例外なく一般的な動作しかしなさそうだな。 おいおい、ヤマハのダイナミックフィルタとセッション書いて終わりなFWのフィルタは全然別モンだよ。
ダイナミックフィルタもIPフィルタも面倒なのは変わらん。
YAMAHAだけ触ってると苦労にも気付かないってか。。 >>693
FWX120はRTX1200同等スペックだった気がする >>680
FWX120って、そこのレイヤーでは仕事しないんじゃないの?
迷惑メールやexeファイルの添付はチェックしないでしょ だいぶ古いがiptablesのSPIとヤマハの動的フィルタの違いを書いた記事
http://www.itmedia.co.jp/broadband/0305/16/lp13.html
いまどきSPIなんて当たり前で
パケットフィルタなんて方が珍しいくらい
落とすならともかく通すのに
戻り(と行き)の動的フィルタとは別に
一発目の行きの静的フィルタをいちいち書くのが面倒くさい
もっぱら内側のFWに任せてる >>702
なんか、よさそうな記事ですね。
ありがとうございます。 SPIの説明でいきなりFTP持ち出すのもどうかと思うけどな。
なかなかの例外ケース。
最近は何でもかんでもSSL/TLSになってきたからFW機能持たせるならアプリケーション識別必須。
YAMAHAはWANゲートウェイくらいしか使い道無くなって来てる。
いや昔からそうか。 すみません、パケット転送フィルターについて
ルーターに
pp 1 → 固定IP8
pp 2 → 可変IP
という風に2つ契約してます。
IP8側には公開サーバーが nat masquerade static で紐付いているのですが
これをクライアントから叩くと、本来は pp 2 から外に出て行ったうえで pp 1 から入って・・・
・・・で戻りのパケットも同じルートで来て欲しいときに、パケット転送フィルターが活躍する、という理解であってますか?
あと、ヤマハの説明では ip filter pass 〜の書く例がでてますが、reject でもいいんですよね?
→そこでパケット転送フィルターの判定をやめて、通常のルーティングに回る、で桶? 転送フィルターでrejectしなければならない事あったか? やりたいのは
公開サーバーの外向け通信は pp1
クライアントのインターネット利用(公開サーバーの外側アドレスを含む)は pp2
それ以外は通常のルーティングに委ねる、という風で
ip filter 1000 reject * 192.168.0.0/16 * * *
ip filter 1001 pass 192.168.0.0/24 * * * * # サーバーがいるセグメント
ip filter 1002 pass * * * * *
ip forward filter 100 1 gateway pp 1 filter 1000 1001
ip forward filter 100 2 gateway pp 2 filter 1000 1002
ip lan1 forward filter 100
でいいのかな?、と >>707
始点だけ書いて残り全て * で pass すると
ローカルなセグメント(VPN先を含む)も、そっちに飛んでしまいますよね?
インターネットのみを pp2 に飛ばしたいため、ローカル(VPN先を含む)を reject したうえで
全pass したらインターネットのみ、が実現できるのではないかと思った次第です。
それとも、もっといい方法があるのかなぁ >>704
2003年だし主流じゃんよぉ
結局エンドポイントの時代に戻ってるよね >>712 過去形だけど使ってた、別のSNMP管理始めたので不要になったけど
まぁまぁ使えるけど 1台・2台の為に使う機能じゃないね L3スイッチ発売日いつだろう?
出たら即ポチる予定 なんでよりによってヤマハのL3なの。
罰ゲームにでも負けた?
ルータはオススメできるが無線とスイッチはダメだろ。 >>715
既にL3の動作検証されたんですか?
羨ましいです。
もし宜しければ無線とスイッチでお勧めを教えて下さい! >>717
横からだけど、L2とAPが糞なのは確かだよ
HPEやアライドよりも高く機能が少ないL2SW
ArubaやRuckusに遠く及ばず、はっきりとバッファロー以下のAP
L3SWなんか怖くて買えないよ どなたかアドバイスをください。
RTX1200のL2TP/IPsecに、外部のAndroidスマホからは正常に接続できていろいろなサイトを閲覧できていますが、Win10から接続するとYahooやYoutubeなどのURLがhttpsで始まるサイトを表示できずにタイムアウトします。
どこに原因があるのでしょうか? >>720
なんでテンプレのときに「ip tunnel tcp mss limit auto」入らないんだろうな
https://jehupc.exblog.jp/21558500/ >>722
ビンゴ!ありがとう!!
pp select anonymous に
ppp lcp mru on 1454
ip pp mtu 1454
を入れたら正常にhttpsサイトを表示できるようになりました
ずっと1258にしててうまく表示できなかったから、フィルタの設定が悪いのかと思ってた
いろんなブログを検索したけどCATVでのL2TP/IPsec設定例がほとんど無くて、2週間も悩んでいました
>>724
tunnelのほうには入れてました
ip tunnel tcp mss limit auto モバイル回線で、RTXにIPsec接続してみたんだけど、
劇遅だった。
Windowsのリモートデスクトップ開いてみたら、通信状態が悪い状態と判定された。
50Kbps程度しか落ちてこない。
そのくせ、YouTubeとかなら、数百キロbpsとなる。
格安SIMはIPsec通信制御されているんだろうか。
docomo MVNOの二社で試したがダメ。
リモートデスクトップ開いてノマドしたかったのに。使い物にならない。
いらいらして白髪生えそう。
MTUは、リモートデスクトップサーバー側Windowsで、1400に調整したら、
ほんの少し速くなった。
何か、設定ポイントあるでしょうか。 >>730 ノマドとかどこまでネタなんだよ? つまらないから書き直せ どうせRTX1100とかだろう。
830買ってからやり直し。 艦これやってるとパケットどんどん消費してるのがわかるわカクカクだわ最悪だった ipsecとかその前にsplashtopで十分やろ? 質問です
NVR510はMAP-E方式には対応していないのでしょうか?
DS-LITEのみですか? スレの棲み分けという意味ではそうなんだけど、NVR510は家庭用ってわけではないよ。
時期的にもうリプレースしてしまったかもしれないけど、ヤマト運輸の全営業所に入っていたはず。
メインはフレッツだったか広域イーサだかで、バックアップにISDNかアナログ回線という構成。 NVR500もファーム上げたらIPSec使えるようになったよね
PPTPブーム去ったから あいぽんがPPTP使えないとかじゃないか
あと一時期SPモードとかの携帯でPPTP使えない事があったような記憶がある PPTPはクライアント側もグローバルIP貰ってないと(NAT配下だと)だめだからもうほとんどのモバイルキャリアで使えないよ。 >>745
PPTPをNAPT下で使うための要件はグローバルIPでなく、GREが通るかどうか。
ttps://www.slideshare.net/mobile/RintaroSekino/pptp-50437307 アップルが採用辞めたから渋々実装した感あるけどね
RTX1000のAESみたいにNVR500で使うと負荷滅茶苦茶あがるのかな? ngn ipv6折り返しのpingの時間って、皆さんはどれくらいですか?
自分は西日本で、同一県内(兵庫県)の拠点RTX1200間で、
この時間は、25msecを超えてきます。
速いときは、5msec程度なんですが。
混雑しているのだろうか。
半年ほどまえは、時間問わず、速かったのになあ。 >>750
都内だけど5-7msくらいかなー。25msは都内から北海道とかのイメージ >>751
ありがとう
いくらなんでも時間かかり過ぎですよね。
いま、また測定したら、
4〜8msecの間に収まっていた。
気になる事象だが、一時的な遅延だったのかもしれない。 いま埼玉−茨城のpingやってみた(2409:12:*→2409:11:*)
パケット数: 送信 = 100、受信 = 100、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 6ms、最大 = 10ms、平均 = 6ms
網内だといつもこのぐらいだな 自分は東京、相手はおそらく都内だろうけどどこか知らんとあるサーバにpingして3msくらい。
--- ***.i.open.ad.jp ping statistics ---
100 packets transmitted, 100 packets received, 0% packet loss
round-trip min/avg/max = 2.473/2.901/3.500 ms >>755
自分 2409:10:*
相手 2408:210:*
2408:210:* ってどこだろう? > 1311,2408:0210:0000:0000:0000:0000:0000:0000/30
NTT東日本の「網内折り返し基盤」とやらだな
ISPのIPoEなしでフレッツ・v6オプション申し込んだ人かな >>751
>25msは都内から北海道とかのイメージ
東日本は、NGN一本で北海道までつながっているのかな? インターネット網使っても25msあれば余裕で北海道-東京繋がるよ NGNの網の容量ってどの程度なんだろうか。どの辺りまで想定して構築されているんだろうな。
パケットが増えてきたとしても増強も簡単にできるようになっているのかな。 >>763
ある程度は余裕あるように設計されてる。
もしも想定を超えて通信量増えてもQoSでベストエフォートのユーザーの帯域絞るから速度保証のユーザーは大丈夫だ。 ひかり電話だけは最優先で通すから大丈夫。
Bフレッツでやらかした関係で ■ このスレッドは過去ログ倉庫に格納されています
