YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
>>905
L2TPできるでしょ。
設定例もあったよ。 >>906 L2延伸の調べ方を間違ってると思うなw
もう少し時間かけてL2延伸を調べたほうが良い
将来的にL2延伸はトレンドになり、対応できない機器やクラウドは淘汰される
L2延伸が当たり前になったとき、今のVPNという概念はオワコンになってる VmwareはL2延伸サポートできるけど、Hyper-Vはしばらく無理そう
AWSはVmware担いでるのでL2延伸も順次提供し始めそうだね
まぁルータでは無理でしょ、できたら面白いけど L2延伸ってL2で離れた拠点どうしを繋ぐ事でないの?
実際プロトコルなに使うかは規定されてない感じがした
IIJのルーターでL2延伸の説明あってL2TPv3使ってるとも書いてたし >>907
YAMAHAのRTXで、他拠点とイーサネットレベルでつなげるよね
L2TPをつかって可能
便利だなと思って設定例を見ていたよ >>909
おいおい、アンタが言ってるのはL1延伸だろ なんでL1なんだよ
ケーブル遠隔地まで伸ばすんかい vxlanとかevpnのこと言いたいのかなー。
yamahaに期待する機能だとは思わないけど 流れぶったぎってすまん
RTX810で、5ch.netを含むサイトへのアクセスはpp 2経由にしたいなんてできます? たしかフィルタ型ルーティングで可能じゃね?
RTX810ならFQDNも使える >>916-917
おおおおおお!!!!!!!!ありがとー
知識が昔のままでいたわ >>917
>本機能を使用するルーター配下の端末は、DNSサーバーとして本機能が動作しているルーターを指定する必要があります。
この意味がよくわからない >>916
自分もしらなかったわ。
>本機能は IPv4 通信のみ対応しています。
IPv6にも対応してほしい。 >>919
とりあえず別のDNSサーバーから引いてきても動く
誤動作するかは知らない ネットボランチDNSをIPv6対応にしたら日本では無敵になるのにな。
なんでしないんだろ。
というわけでうちの全国100拠点ルータ更新はまたCiscoになった。
せめてWiFi内蔵とかにしてくれればメリットあるのに。
中国ではWiFiルータ売ってるのになんで中国優遇してんだろ。この会社。 WLXとかいう後発組の利点を潰したクソ機種の再来を作って欲しいのか >>922
NVR700WがWi-Fi搭載だと勘違いしてる人多いよね
もうすぐ発売から2年たつなんて思わなかった >>917
RTX1210でやったらエラー出たからなんだろうっておもったらRev.14.01.26以降なのか
んで4月リリースの最新ファームなんだな RTX830で何気にutf8対応してたんだな
やっとこかって感じだけどね >>921
まだわからない。
>本機能を使用するルーター配下の端末は、DNSサーバーとして本機能が動作しているルーターを指定する必要があります
(1)、本機能を使用するルーター
FQDNでアドレスを指定する「新しいフィルタ機能」を用いているゲートウェイルーター
(2)、配下の端末
その配下にあるPCのことだよね
(3)、DNSサーバーとして本機能が動作しているルーター
リカーシブDNSサーバが動作しているところのゲートウェイルーター
(1)=(3) だよね。
つまり、ゲートウェイルーターでFQDNを使用したフィルタ配下のPCにはDNSサーバとしてゲートウェイルーターを指定しなければならないってことかな。
どうしてそうする必要があるんだろう。8.8.8.8を直接PCに設定してはいけないのはどうしてなんだろうか。 >FQDN フィルターで使用するキャッシュのタイマーを設定する。
>ip filterコマンドで、始点アドレスおよび、終点アドレスにFQDNを設定している場合、 指定したFQDNに一致する通信が発生したとき、タイマーが動作する。
って書いてあるから、DNS問い合わせの時点でフィルターが動的作られるから
DNS問い合わせなしではフィルター作成されないからip直接で通信すると
デフォルトの方に行ってしまうのでは。pc側でdnsが長時間キャッシュされてたら
上手くうごかないんかね。 >>928
ありがとうございます。見事な説明です。
よくわかりました。
ご説明を読んでいてわかったんですが、
ラウンドロビンとかつかっているFQDNだと、
PCがそのFQDNからDNS問い合わせで取得するIPアドレスと、
RTXがFQDNから動的に作成するフィルタと一致していないと矛盾がでてしまいますよね。
だから、PC、DNS、Routerが直線的でなければならないわけですね。 >>926
RTX1210モナー
そんなことより、ロールバックタイマなんていう便利な機能がついたんだな
http://www.rtpro.yamaha.co.jp/RT/docs/cli/load.html
#sched at 99 6:20 * restart みたいなことやらなくて済むんだな ★★★This world is made up with big lie and trickery. Until you n●otice it, the unhap●piness of the world and your misfortune will never end.★★●★
この掲示板●(万有サロン)に優秀な書き込みをして、総額148万円の賞金をゲットしよう!(*^^)v
http://jbbs●.livedoor.jp/study/3729/ →リンクが不良なら、検索窓に入れる! >>930
RTXが自爆Switchを搭載したのか
どちらかというと、拠点側になりやすい810や830に早く搭載して欲しい >>930
慣れたらとても便利そうな機能だなあ
教えてくれてありがとう >>929
仕組み知らんでレスするが普通に考えてそれは無いだろ。
複数Aレコードあれば全部フィルタ登録されないとPCが複数あった時に使い物にならん。 だから全部の端末に名前解決をyamahaルータに向けろ、言うてるなら整合しない? 宛先クライアントごとに、フィルタがことなる仕組みになっているとか? RTX1210で、ip stealth pp1を設定した上で外部のサイト(Shields Up)からポートスキャンを掛けてみたんだが、1023番以下のポートが漏れなくclosedと評価されて、stealthにならない。
試しにテザリングしてPCのパーソナルファイアーウォールで試してみるとstealthと出るから、サイトの診断自体は間違ってなさげ。
PPインターフェースはINフィルターはVPN関連をpassしたのみで基本はreject、OUTフィルターに動的フィルターを仕掛けてはいるけど、1023以下のポートが漏れなくstealthにならない理由はなさそう。
何か見落としてるのかな? ポートが閉じてる=サーバがある=攻撃を受けやすい なんて判断する時代は過ぎてる気がするけどね
ポートスキャンもしてるんだろうけど力業で狙いたいネットワーク全部に攻撃仕掛けてると思うし とは言え、見えるよりは見えない方がいいかなとは思っていて。
あと、自己解決しました。
NATの設定で変換テーブルがない場合の振る舞い方のところで、わざわざ応答するようになっていたので、破棄するように変えてみて、すべて想定通りになりました。 もっとも今の脅威になるのは外部じゃなくて内部だったりするからなぁ。
簡単なとこだとスパム発信拠点になってたりしてやばいIP認定されたり 疑いだしたらきりがない
管理者的に「自分の非を問われない状態」にして置けば社員がバカなのは諦める パソコンの先生兼情シス兼総務みたいな会社で、自分でFWX120導入してライセンス買ってるとこって
どのぐらいあるんだろう >>942
似た環境、自分で中古のRTX1200買ってVPNの拠点増やした、辞めるときは全て外して行く 今時VPN組むぐらい簡単やで
それに下手にそういう事すると訴えられるよ だいたいそういうのが辞めたあとにうちの会社に泣きついてくるから慣れた
モノ売りなし設定変更だけだからあんまおいしくない >>940
10年くらい前、手持ちの固定グローバルIPがヤバイIP認定されてメール送信拒否されたことあるw 自前で顧客向けのメールサーバを運用してるとこなら、だいたいどこでも今だに発生してるんじゃないかなあ。
ありがちなシナリオ
1. 顧客のメールアドレスとメール送信認証情報が流出もしくは破られて、第三者が自由にメールを送信できるようになる。
2. その第三者が思う存分にスパムを発射する。
3. あちこちの RBL に登録されてしまい、同サーバから送信される他ユーザのメールも他サーバから受信を拒否される。
4. クレームを受けた俺が、乗っ取られたメールアドレスを特定して緊急回避としてそのアカウントをロックアウトする。
5. あちこちの RBL に解除依頼を出す。
6. Sender Score 等が回復してくるのを正座して待つ。
7. パトラッシュ、僕はもう疲れたよ。 >>950
こんな感じ。
nat descriptor masquerade incoming 1 discard
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/nat/nat_descriptor_masquerade_incoming.html
前のルーターの時は入れてたんだけど、今回はWebUIからあらためて設定し直してみたのが徒になったよ。これが関係してるとはすっかり忘れてたorz ちなみに、WebUIからも変更可。 ユニークで個性的な嘘みたいに金の生る木を作れる方法
興味がある人はどうぞ
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
O078S >>948
お前とはいい酒が飲めそうだ・・・今後一杯奢るよ。 954
俺もおごってほしいな
新機能あったのでさっそく使ってみたらうまくいったよ
参考:http://www.rtpro.yamaha.co.jp/RT/docs/forward-filter/
ip route default gateway tunnel 90 filter 300000 gateway pp 1
ip filter 300000 pass 192.168.9.1-192.168.9.240 * * * * #.241以降にサーバとかある
ip filter 300001 pass * *.5ch.net
ip forward filter 100 1 gateway pp 1 filter 300001
ip lan1 forward filter 100
※tunnel 90はDS-Lite経由 >>955
>ip filter 300001 pass * *.5ch.net
ip filter 300001 pass * 5ch.*.net
こんなんとかいけるのかな? いや
* から始まる FQDN は * より後ろの文字列を後方一致条件として判断する
ってあるから途中に*があるのは無理な気がしたんだが
SRT,FWXならいけるんかね? なんで同じ行2つ書いてんだと思ったら微妙に違ったのか!
プロクシのPACみたいなことやりたい感じかな
ext.*.jpは串通しとか PC側でやる分には大した量発生しないから負荷はそんなにないだろうけど
ルーター側でやると負荷かかりそう フィルタ通すだけでCPU使用率上がるし超高負荷のときにどうなるか気になるよね 調べてみたんですがわからなかったので優しいかたおりましたらTwiceNATについて教えてほしいです
設定例を見るとインターネットにつなぐものしかありません
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor
この設定例でインターネットではなくルータ(1台)をかわりに置いた場合はWAN側にどんなアドレスを設定すればよいでしょうか?
よろしくお願いします すみません
>>963,964はtunnel、ipsecなしでという条件下でお願いします
よろしくお願いします どういう理由でTwiceNAT使いたいわけ?
環境も書かないでどんなアドレスとか言われても >>966
すみません指摘ありがとうございます
同一ネットワーク(すでにアドレスが配当されている)をつながなきゃいけない状態で、かつインターネットにはつないでいないです
構成は
端末-N1-ルータ@-ルータA-ルータB-N2-端末
N1とN2が同一ネットワークです
設定例を参考にするとルータAをインターネットと見立ててルータ@にTwiceNATを参考に入れてみたんですがうまくいかずに質問したしたいです
ルータ@config
ip lan1 address 192.168.0.1/24
ip lan2 address 10.10.10.2/24
ip lan2 nat descripter 1 reverse 2
nat descripter type 1 nat
nat descripter address outer 1 172.16.2.1-172.16.2.254
nat descripter static 1 1 172.16.2.1=192.168.0.1 254
nat descripter type 2 nat
nat descripter address outer 2 172.16.1.1-172.16.1.254
nat descripter static 2 1 172.16.1.1=192.168.0.1 254
rip use on
ルータAconfig
ip lan1 address 10.10.10.1/24
ip lan2 address 10.10.20.1/24
rip use on
ルータBconfig
ip lan1 address 192.168.0.1/24
ip lan2 address 10.10.20.2/24
rip use on
使ってる機種はRTX1210(Rev14.01.09)です
とんちんかんなことをしてるのかもしれませんがどうかご教授お願いします ルーティングに問題ありそうな気がする
たぶんripじゃ無理なんじゃないの?
ルータ@
ip route 172.16.2.0/24 gateway 10.10.10.1
例じゃip route 172.16.1.0/24 gateway tunnel 1になってるんだが間違ってる気がする
ルータA
ip route 192.168.0.0/24 gateway 10.10.20.2
ip route 172.16.1.0/24 gateway 10.10.10.2
ルータB
ip route 172.16.1.0/24 gateway 10.10.20.1
検証してないで
こうだと思うんだが違うかもしれん
やり方次第でルータAはいらんかもしれん >>967
N1とN2が同じネットワークって
@同じアドレス帯で別ネットワーク?
A同じアドレス帯で同じネットワーク?
どっちにしても最初の宛先解決でコケそう いろんな機種のファームアップが一気に来たな。未だにRTの更新をやってるとこがすごい。 >>967
>>969 じゃないが
同一ネットワークといえば
普通は同一ネットワークセグメント
IP/イーサでいえばブロードキャストドメイン内
>>968 は部分点、ちっと足らない
ルーティングテーブルだけでなくて
各ノードごとに(NAT前後の)IPパケットのSrc/Dstと
見比べて通るかどうか順に追う YAMAHAはNAT前にルーティングテーブル見るんだっけ
ciscoはinとoutでルーティングテーブル見るタイミング違うから面倒くさかった記憶が >>969
>>972
言葉足らずでしたね
同じネットワークアドレスが設定されている別ネットワークになります
>>968
ありがとうございます
明日また設定頑張ります >>974
同じネットワークアドレスの別ネットワークに存在する端末間通信したいってこと?
通信の発端末からすると宛先は同じセグメントに見えてmacアドレス解決試みるだけでNATルータにパケット投げないと思うんだけど。
頓珍漢な会話になりそうだし、何をしたい、を言ってくれる方が良いかも これみて何やりたいかわからない?
ip lan2 nat descripter 1 reverse 2
nat descripter type 1 nat
nat descripter address outer 1 172.16.2.1-172.16.2.254
nat descripter static 1 1 172.16.2.1=192.168.0.1 254
nat descripter type 2 nat
nat descripter address outer 2 172.16.1.1-172.16.1.254
nat descripter static 2 1 172.16.1.1=192.168.0.1 254 >>975
ありがとうございます
>>976がおっしゃってる通りでTwiceNATでそれを解決しましょうって話です
同じネットワークアドレスなだけならL2TPv3で解決すればよいのですが今回はアドレス重複があるため頑張っているところです 何をしようとしてるかはわかるけど、やりたいことがこれなのかはわからん。
NAT以外の解決方法含めて何をやりたいか相談してみたら?って話かと。 今回のアップデートはRTX830/RTX1210以外はセキュリティ強化がメインっぽいな何か指導が入った? >>977
難しいことして繋ぐのいいけどトラブった時に自分に問い合わせが来たりするならぶっちゃけソフトイーサでも使ってアクセスしたい端末をまとめて別ネットワークに収容してしまった方が維持管理楽な気がする TwiceNAT
皆さんの助言で無事つながりました
ありがとうございました
繋がらなかった原因はやはりルーティングでした おつかれさま
他人にconfig見せた方が早い時多いよね。
natだ!tunnelだ!って決めつけるとハマる rtx1210新ファームにしてからリブートしまくりなんだけど同じ症状の方おられます?
nat descriptor backward-compatibilityを2にすると症状無くなります。 >>984
げーーーー!まじで。
ファームウェアこわいわ。 >>984
設定を個別パラメーターマスクして出してみそ >>984
なにそれ怖すぎw
うちんとこじゃ今んとこなんも無いけどなあ
cpuとメモリ負荷どんくらいなん? 今、最低限設定の安定しているconfig晒します。 >>984
うちでもリブートしたから一個前のファームに戻した。
原因まではわからなかったからサポートにメールしといたわ。 Rebooted by Data storage [load](2)
って表示されてた ip p# RTX1210 Rev.14.01.28 (Tue May 15 18:34:08 2018)
# MAC Address : 00:a0:de:cc:40:6b, 00:a0:de:cc:40:6c, 00:a0:de:cc:40:6d
# Memory 256Mbytes, 3LAN, 1BRI
# main: RTX1210 ver=00 serial=S4H037501 MAC-Address=00:a0:de:cc:40:6b MAC-Address=00:a0:de:cc:40:6c MAC-Address=00:a0:de:cc:40:6d
# Reporting Date: May 26 19:18:27 2018
login timer 3000
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ipv6 routing off
ip lan1 address 192.168.24.1/24
pp select 1
description pp xxx
pp keepalive interval 30 retry-interval=30 count=12
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname xxx xxx
ppp lcp mru on 1454
ppp ipcp ipaddress on nat descriptor masquerade port range 1000 49152-65534 30000-49151 10000-29999 1024-9999
nat descriptor masquerade session limit total 1000 20000
syslog notice on
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.24.70-192.168.24.99/24 gateway 192.168.24.1 expire 168:00 maxexpire 168:00
dns host lan1
dns server 129.250.35.250 129.250.35.251
dns cache max entry 1024
dns server select 500001 129.250.35.250 129.250.35.251 any . restrict pp 1
dns private address spoof on
dns service aaaa filter on
schedule at 1 */* 00:00:00 * ntpdate ntp.nict.jp syslog
upnp use on
dashboard accumulate traffic on
dashboard accumulate nat on nat descriptor backward-compatibility 1を投入して3分も経たない内に
起動理由 Rebooted by Data storage [load](2)
と、過去レスにはサポセン行けの助言しかなく。
ただ、最新ファーム以前はこんなことなかったんですが・・・
出来ればnat descriptor backward-compatibility 1で運用したいので
困っております。
ログです。
2018/05/26 19:31:43: success to extract syslog
2018/05/26 19:31:43: success to extract reboot log
2018/05/26 19:31:45: [LUA] Lua script function was enabled.
2018/05/26 19:31:47: PPPOE[01] Connecting to PPPoE server
2018/05/26 19:31:49: LAN1: PORT1 link up (1000BASE-T Full Duplex)
2018/05/26 19:31:49: LAN1: PORT7 link up (100BASE-TX Full Duplex)
2018/05/26 19:31:49: LAN1: PORT8 link up (100BASE-TX Full Duplex)
2018/05/26 19:31:49: LAN1: link up
2018/05/26 19:31:50: PP[01] IP Commencing: UDP 192.168.24.73:53666 > 129.250.35.250:53 (DNS Query [time-ios.g.aaplimg.com])
2018/05/26 19:31:50: LAN1: PORT2 link up (1000BASE-T Full Duplex)
2018/05/26 19:31:50: LAN1: PORT3 link up (1000BASE-T Full Duplex)
2018/05/26 19:31:50: LAN2: link up (1000BASE-T Full Duplex)
2018/05/26 19:31:50: Previous EXEC: RTX1210 Rev.14.01.28 (Tue May 15 18:34:08 2018)
2018/05/26 19:31:50: Rebooted by Data storage [load](2)
2018/05/26 19:31:50: RTX1210 Rev.14.01.28 (Tue May 15 18:34:08 2018) starts
2018/05/26 19:31:50: main: RTX1210 ver=00 serial=S4H037501 MAC-Address=00:a0:de:cc:40:6b MAC-Address=00:a0:de:cc:40:6c MAC-Address=00:a0:de:cc:40:6d
2018/05/26 19:31:50: Login succeeded for HTTP: 192.168.24.60
2018/05/26 19:31:50: 'administrator' succeeded for HTTP: 192.168.24.60 横からだが、serialとMACは潰した方がいいよ >出来ればnat descriptor backward-compatibility 1で運用したいので
理由は? 3270/5250のエミュとか動いてると急に切れちゃうってのはFortiGateの話だっけか 自分も同じ症状になった。
upnpをオフにしたらおさまったが、何だろうバクかな? 俺も同じ症状でビビったわ。
Rebooted by Data storage [load](2) って調べても分からん。 >>993
これって、再起動後のログだよね。
再起動前の動作が全然わからない。 >>998
内蔵データ領域のファームウェア(2番に保存されているもの)をロードして、
再起動しましたよってことでは?
これを調べても、再起動の理由なんてさっぱりわからなさそうだけど。 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 296日 14時間 6分 2秒 レス数が1000を超えています。これ以上書き込みはできません。
