YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
レス数が950を超えています。1000を超えると書き込みができなくなります。
いままでRTX1500使って入れ換えてるんだったらRTX5000のほうが安全かもな NVR810ってw
今ならRTX830かね
>>375で話が出てて
IPIPならRTX830でいけるでしょう
多地点ならRTX8302台運用とかの方が可用性あがるだろうし RTX830って、IPIP何本までいけるんだっけ? >>890
RTX5000 高ーーー、ヤマハルーターの最高峰が霞んでみえた。
草の根のISPが購入するようなものかな。 RTX5000ってどういう企業が買うんだろうな・・・
あんまりハイスペック要求なら売る方もCiscoにしちゃうだろうし、
趣味でVPN構築してるようなところはそんな高いの入れる予算出ないし
RTX3000入ってるユーザは見たことあるけど。 趣味でVPN構築して遊ぶなら
機能面でCiscoのAnyConnect使うわ 今草の根ISPやるならもっと安価にやると思う。vyosなりedgerouterなり安く多ポート出せる方法いくらでもあるし >>895 RTXで長年運用して実績あるなら選択するだろw
この程度の価格で高いの安いの言う企業なんかないよ >>899
個人的にヤマハルータの初物は売る気が起きないけどな。
幸いなのは旧モデルも併売してくれる点。これがよそとの違いって思ってる VPNはもうMerakiが楽だよ。
現地に行く羽目になる率が格段に下がるからばらまくのにはベスト。 >>901
MerakiのAuto VPNなら
固定IPアドレスとかDNSドメイン取得の手間考えると
前に買おうとしたわ Merakiフルメッシュだもんな。
YMOみたいなやつは誰か使ってるベンダあるのか? ルーターだけでL2延伸できたらRTXも神がかってくるけど
VPNの利便性が良くなっても対して意味はない
やりたいのはそこじゃなくL2延伸的な使い方だろ >>905
L2TPできるでしょ。
設定例もあったよ。 >>906 L2延伸の調べ方を間違ってると思うなw
もう少し時間かけてL2延伸を調べたほうが良い
将来的にL2延伸はトレンドになり、対応できない機器やクラウドは淘汰される
L2延伸が当たり前になったとき、今のVPNという概念はオワコンになってる VmwareはL2延伸サポートできるけど、Hyper-Vはしばらく無理そう
AWSはVmware担いでるのでL2延伸も順次提供し始めそうだね
まぁルータでは無理でしょ、できたら面白いけど L2延伸ってL2で離れた拠点どうしを繋ぐ事でないの?
実際プロトコルなに使うかは規定されてない感じがした
IIJのルーターでL2延伸の説明あってL2TPv3使ってるとも書いてたし >>907
YAMAHAのRTXで、他拠点とイーサネットレベルでつなげるよね
L2TPをつかって可能
便利だなと思って設定例を見ていたよ >>909
おいおい、アンタが言ってるのはL1延伸だろ なんでL1なんだよ
ケーブル遠隔地まで伸ばすんかい vxlanとかevpnのこと言いたいのかなー。
yamahaに期待する機能だとは思わないけど 流れぶったぎってすまん
RTX810で、5ch.netを含むサイトへのアクセスはpp 2経由にしたいなんてできます? たしかフィルタ型ルーティングで可能じゃね?
RTX810ならFQDNも使える >>916-917
おおおおおお!!!!!!!!ありがとー
知識が昔のままでいたわ >>917
>本機能を使用するルーター配下の端末は、DNSサーバーとして本機能が動作しているルーターを指定する必要があります。
この意味がよくわからない >>916
自分もしらなかったわ。
>本機能は IPv4 通信のみ対応しています。
IPv6にも対応してほしい。 >>919
とりあえず別のDNSサーバーから引いてきても動く
誤動作するかは知らない ネットボランチDNSをIPv6対応にしたら日本では無敵になるのにな。
なんでしないんだろ。
というわけでうちの全国100拠点ルータ更新はまたCiscoになった。
せめてWiFi内蔵とかにしてくれればメリットあるのに。
中国ではWiFiルータ売ってるのになんで中国優遇してんだろ。この会社。 WLXとかいう後発組の利点を潰したクソ機種の再来を作って欲しいのか >>922
NVR700WがWi-Fi搭載だと勘違いしてる人多いよね
もうすぐ発売から2年たつなんて思わなかった >>917
RTX1210でやったらエラー出たからなんだろうっておもったらRev.14.01.26以降なのか
んで4月リリースの最新ファームなんだな RTX830で何気にutf8対応してたんだな
やっとこかって感じだけどね >>921
まだわからない。
>本機能を使用するルーター配下の端末は、DNSサーバーとして本機能が動作しているルーターを指定する必要があります
(1)、本機能を使用するルーター
FQDNでアドレスを指定する「新しいフィルタ機能」を用いているゲートウェイルーター
(2)、配下の端末
その配下にあるPCのことだよね
(3)、DNSサーバーとして本機能が動作しているルーター
リカーシブDNSサーバが動作しているところのゲートウェイルーター
(1)=(3) だよね。
つまり、ゲートウェイルーターでFQDNを使用したフィルタ配下のPCにはDNSサーバとしてゲートウェイルーターを指定しなければならないってことかな。
どうしてそうする必要があるんだろう。8.8.8.8を直接PCに設定してはいけないのはどうしてなんだろうか。 >FQDN フィルターで使用するキャッシュのタイマーを設定する。
>ip filterコマンドで、始点アドレスおよび、終点アドレスにFQDNを設定している場合、 指定したFQDNに一致する通信が発生したとき、タイマーが動作する。
って書いてあるから、DNS問い合わせの時点でフィルターが動的作られるから
DNS問い合わせなしではフィルター作成されないからip直接で通信すると
デフォルトの方に行ってしまうのでは。pc側でdnsが長時間キャッシュされてたら
上手くうごかないんかね。 >>928
ありがとうございます。見事な説明です。
よくわかりました。
ご説明を読んでいてわかったんですが、
ラウンドロビンとかつかっているFQDNだと、
PCがそのFQDNからDNS問い合わせで取得するIPアドレスと、
RTXがFQDNから動的に作成するフィルタと一致していないと矛盾がでてしまいますよね。
だから、PC、DNS、Routerが直線的でなければならないわけですね。 >>926
RTX1210モナー
そんなことより、ロールバックタイマなんていう便利な機能がついたんだな
http://www.rtpro.yamaha.co.jp/RT/docs/cli/load.html
#sched at 99 6:20 * restart みたいなことやらなくて済むんだな ★★★This world is made up with big lie and trickery. Until you n●otice it, the unhap●piness of the world and your misfortune will never end.★★●★
この掲示板●(万有サロン)に優秀な書き込みをして、総額148万円の賞金をゲットしよう!(*^^)v
http://jbbs●.livedoor.jp/study/3729/ →リンクが不良なら、検索窓に入れる! >>930
RTXが自爆Switchを搭載したのか
どちらかというと、拠点側になりやすい810や830に早く搭載して欲しい >>930
慣れたらとても便利そうな機能だなあ
教えてくれてありがとう >>929
仕組み知らんでレスするが普通に考えてそれは無いだろ。
複数Aレコードあれば全部フィルタ登録されないとPCが複数あった時に使い物にならん。 だから全部の端末に名前解決をyamahaルータに向けろ、言うてるなら整合しない? 宛先クライアントごとに、フィルタがことなる仕組みになっているとか? RTX1210で、ip stealth pp1を設定した上で外部のサイト(Shields Up)からポートスキャンを掛けてみたんだが、1023番以下のポートが漏れなくclosedと評価されて、stealthにならない。
試しにテザリングしてPCのパーソナルファイアーウォールで試してみるとstealthと出るから、サイトの診断自体は間違ってなさげ。
PPインターフェースはINフィルターはVPN関連をpassしたのみで基本はreject、OUTフィルターに動的フィルターを仕掛けてはいるけど、1023以下のポートが漏れなくstealthにならない理由はなさそう。
何か見落としてるのかな? ポートが閉じてる=サーバがある=攻撃を受けやすい なんて判断する時代は過ぎてる気がするけどね
ポートスキャンもしてるんだろうけど力業で狙いたいネットワーク全部に攻撃仕掛けてると思うし とは言え、見えるよりは見えない方がいいかなとは思っていて。
あと、自己解決しました。
NATの設定で変換テーブルがない場合の振る舞い方のところで、わざわざ応答するようになっていたので、破棄するように変えてみて、すべて想定通りになりました。 もっとも今の脅威になるのは外部じゃなくて内部だったりするからなぁ。
簡単なとこだとスパム発信拠点になってたりしてやばいIP認定されたり 疑いだしたらきりがない
管理者的に「自分の非を問われない状態」にして置けば社員がバカなのは諦める パソコンの先生兼情シス兼総務みたいな会社で、自分でFWX120導入してライセンス買ってるとこって
どのぐらいあるんだろう >>942
似た環境、自分で中古のRTX1200買ってVPNの拠点増やした、辞めるときは全て外して行く 今時VPN組むぐらい簡単やで
それに下手にそういう事すると訴えられるよ だいたいそういうのが辞めたあとにうちの会社に泣きついてくるから慣れた
モノ売りなし設定変更だけだからあんまおいしくない >>940
10年くらい前、手持ちの固定グローバルIPがヤバイIP認定されてメール送信拒否されたことあるw 自前で顧客向けのメールサーバを運用してるとこなら、だいたいどこでも今だに発生してるんじゃないかなあ。
ありがちなシナリオ
1. 顧客のメールアドレスとメール送信認証情報が流出もしくは破られて、第三者が自由にメールを送信できるようになる。
2. その第三者が思う存分にスパムを発射する。
3. あちこちの RBL に登録されてしまい、同サーバから送信される他ユーザのメールも他サーバから受信を拒否される。
4. クレームを受けた俺が、乗っ取られたメールアドレスを特定して緊急回避としてそのアカウントをロックアウトする。
5. あちこちの RBL に解除依頼を出す。
6. Sender Score 等が回復してくるのを正座して待つ。
7. パトラッシュ、僕はもう疲れたよ。 >>950
こんな感じ。
nat descriptor masquerade incoming 1 discard
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/nat/nat_descriptor_masquerade_incoming.html
前のルーターの時は入れてたんだけど、今回はWebUIからあらためて設定し直してみたのが徒になったよ。これが関係してるとはすっかり忘れてたorz ちなみに、WebUIからも変更可。 ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
O078S >>948
お前とはいい酒が飲めそうだ・・・今後一杯奢るよ。 954
俺もおごってほしいな
新機能あったのでさっそく使ってみたらうまくいったよ
参考:http://www.rtpro.yamaha.co.jp/RT/docs/forward-filter/
ip route default gateway tunnel 90 filter 300000 gateway pp 1
ip filter 300000 pass 192.168.9.1-192.168.9.240 * * * * #.241以降にサーバとかある
ip filter 300001 pass * *.5ch.net
ip forward filter 100 1 gateway pp 1 filter 300001
ip lan1 forward filter 100
※tunnel 90はDS-Lite経由 >>955
>ip filter 300001 pass * *.5ch.net
ip filter 300001 pass * 5ch.*.net
こんなんとかいけるのかな? いや
* から始まる FQDN は * より後ろの文字列を後方一致条件として判断する
ってあるから途中に*があるのは無理な気がしたんだが
SRT,FWXならいけるんかね? なんで同じ行2つ書いてんだと思ったら微妙に違ったのか!
プロクシのPACみたいなことやりたい感じかな
ext.*.jpは串通しとか PC側でやる分には大した量発生しないから負荷はそんなにないだろうけど
ルーター側でやると負荷かかりそう フィルタ通すだけでCPU使用率上がるし超高負荷のときにどうなるか気になるよね 調べてみたんですがわからなかったので優しいかたおりましたらTwiceNATについて教えてほしいです
設定例を見るとインターネットにつなぐものしかありません
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor
この設定例でインターネットではなくルータ(1台)をかわりに置いた場合はWAN側にどんなアドレスを設定すればよいでしょうか?
よろしくお願いします すみません
>>963,964はtunnel、ipsecなしでという条件下でお願いします
よろしくお願いします どういう理由でTwiceNAT使いたいわけ?
環境も書かないでどんなアドレスとか言われても >>966
すみません指摘ありがとうございます
同一ネットワーク(すでにアドレスが配当されている)をつながなきゃいけない状態で、かつインターネットにはつないでいないです
構成は
端末-N1-ルータ@-ルータA-ルータB-N2-端末
N1とN2が同一ネットワークです
設定例を参考にするとルータAをインターネットと見立ててルータ@にTwiceNATを参考に入れてみたんですがうまくいかずに質問したしたいです
ルータ@config
ip lan1 address 192.168.0.1/24
ip lan2 address 10.10.10.2/24
ip lan2 nat descripter 1 reverse 2
nat descripter type 1 nat
nat descripter address outer 1 172.16.2.1-172.16.2.254
nat descripter static 1 1 172.16.2.1=192.168.0.1 254
nat descripter type 2 nat
nat descripter address outer 2 172.16.1.1-172.16.1.254
nat descripter static 2 1 172.16.1.1=192.168.0.1 254
rip use on
ルータAconfig
ip lan1 address 10.10.10.1/24
ip lan2 address 10.10.20.1/24
rip use on
ルータBconfig
ip lan1 address 192.168.0.1/24
ip lan2 address 10.10.20.2/24
rip use on
使ってる機種はRTX1210(Rev14.01.09)です
とんちんかんなことをしてるのかもしれませんがどうかご教授お願いします ルーティングに問題ありそうな気がする
たぶんripじゃ無理なんじゃないの?
ルータ@
ip route 172.16.2.0/24 gateway 10.10.10.1
例じゃip route 172.16.1.0/24 gateway tunnel 1になってるんだが間違ってる気がする
ルータA
ip route 192.168.0.0/24 gateway 10.10.20.2
ip route 172.16.1.0/24 gateway 10.10.10.2
ルータB
ip route 172.16.1.0/24 gateway 10.10.20.1
検証してないで
こうだと思うんだが違うかもしれん
やり方次第でルータAはいらんかもしれん >>967
N1とN2が同じネットワークって
@同じアドレス帯で別ネットワーク?
A同じアドレス帯で同じネットワーク?
どっちにしても最初の宛先解決でコケそう いろんな機種のファームアップが一気に来たな。未だにRTの更新をやってるとこがすごい。 >>967
>>969 じゃないが
同一ネットワークといえば
普通は同一ネットワークセグメント
IP/イーサでいえばブロードキャストドメイン内
>>968 は部分点、ちっと足らない
ルーティングテーブルだけでなくて
各ノードごとに(NAT前後の)IPパケットのSrc/Dstと
見比べて通るかどうか順に追う YAMAHAはNAT前にルーティングテーブル見るんだっけ
ciscoはinとoutでルーティングテーブル見るタイミング違うから面倒くさかった記憶が >>969
>>972
言葉足らずでしたね
同じネットワークアドレスが設定されている別ネットワークになります
>>968
ありがとうございます
明日また設定頑張ります >>974
同じネットワークアドレスの別ネットワークに存在する端末間通信したいってこと?
通信の発端末からすると宛先は同じセグメントに見えてmacアドレス解決試みるだけでNATルータにパケット投げないと思うんだけど。
頓珍漢な会話になりそうだし、何をしたい、を言ってくれる方が良いかも これみて何やりたいかわからない?
ip lan2 nat descripter 1 reverse 2
nat descripter type 1 nat
nat descripter address outer 1 172.16.2.1-172.16.2.254
nat descripter static 1 1 172.16.2.1=192.168.0.1 254
nat descripter type 2 nat
nat descripter address outer 2 172.16.1.1-172.16.1.254
nat descripter static 2 1 172.16.1.1=192.168.0.1 254 >>975
ありがとうございます
>>976がおっしゃってる通りでTwiceNATでそれを解決しましょうって話です
同じネットワークアドレスなだけならL2TPv3で解決すればよいのですが今回はアドレス重複があるため頑張っているところです 何をしようとしてるかはわかるけど、やりたいことがこれなのかはわからん。
NAT以外の解決方法含めて何をやりたいか相談してみたら?って話かと。 今回のアップデートはRTX830/RTX1210以外はセキュリティ強化がメインっぽいな何か指導が入った? >>977
難しいことして繋ぐのいいけどトラブった時に自分に問い合わせが来たりするならぶっちゃけソフトイーサでも使ってアクセスしたい端末をまとめて別ネットワークに収容してしまった方が維持管理楽な気がする TwiceNAT
皆さんの助言で無事つながりました
ありがとうございました
繋がらなかった原因はやはりルーティングでした おつかれさま
他人にconfig見せた方が早い時多いよね。
natだ!tunnelだ!って決めつけるとハマる rtx1210新ファームにしてからリブートしまくりなんだけど同じ症状の方おられます?
nat descriptor backward-compatibilityを2にすると症状無くなります。 >>984
げーーーー!まじで。
ファームウェアこわいわ。 >>984
設定を個別パラメーターマスクして出してみそ >>984
なにそれ怖すぎw
うちんとこじゃ今んとこなんも無いけどなあ
cpuとメモリ負荷どんくらいなん? 今、最低限設定の安定しているconfig晒します。 >>984
うちでもリブートしたから一個前のファームに戻した。
原因まではわからなかったからサポートにメールしといたわ。 レス数が950を超えています。1000を超えると書き込みができなくなります。