YAMAHA業務向けルーター運用構築スレッドPart21
■ このスレッドは過去ログ倉庫に格納されています
>>226-227
送信元動的IPv6でのフィルタリングは無理だと思う
手法があったら自分も知りたい >>225
おー、ありがとう!
そういう書き方できるの知りませんでした。
確かにプレフィックスが変わるタイミングは検証の
必要がありますね。まー、半固定なので気にしない
ってのもありですが。
ウチは光電話契約してないのでraなのですが、帰宅
したら試してみます。 >>228
上位ビットのマスクか、
下位ビットのマスクかの違いだろうから、
任意のビットでフィルタリングすることなんて、
ちょっとプログラムをいじれば出来そうに思うんだけどな。
IPv6のながーいアドレスなんだから、
任意のビットでフィルタリングするニーズはあると思う。
それとも、IEEEなんちゃらがフィルタリングの方法まで規定しているんだろうか。まさか。 >>230
215の設定をサポートと相談しながら作った時点で
RTproには掲載されているIPv6設定のいくつかは、その時点で実装されてなかったこともあった
必要なら要望をサポートに出せば良いと思う v6プラスで使えるポートがかなり少ないので
natしたらアドレスが足りなくなるんじゃないのかな?と思っていろいろ調べてみたら、
いつの間にか新機能でポートセービングIPマスカレードなんてものが出来てたのね
それに対応している機種のみがv6プラスに対応してるのか
v6プラスの仕様に合わせて先にこの機能を付けたのか
それともたまたまだったのか
v6プラスに設定を変えたけどいろいろ理解しないといけないことが多すぎてなかなか大変だ
ネットボランチDNSはv6プラスで使うには2002番のポートが空いてないので無理なのかな Firewall-1みたいなソフトウェアベースのルーター/ファイアウォールだと
2000年ころには実装していた機能だよ。
ヤマハが遅かっただけ。 >>233
ネットボランチDNS使えないのマジ不便 ヤマハのDNSがIPv6対応してNTT東西v6網のDNSと繋がったら神なのになあ。 >>233
DDNSはnetvolante.jpをIPv4 PPPoE側にして、MAP-EとIPv6はsoftether.netを使ってる >>238
IPv4はヤマハのサイトにあるスクリプトでロードバランシングしたりしてます?
map-eのみの方が速いのかな? DS-Lite使ってんだけど
試しに実家とname使ったipipトンネル張ったら繋がった
http://techlog.iij.ad.jp/wp-content/uploads/2016/04/ipoe.png
それで不思議なのが、経路がNGN折り返しみたいなんだよな
MFEED経由だと思ったんだけど、なぜそうなるのか分からない >>240
なぜそれだけの情報で答えが見つかると思ってるのか判らない。
東西跨いでるとかVNEが違うとか色々と付ける情報は有るだろう。
まぁ、VNEが違ってて折り返しになったとしても特に不思議とは思わないけど。 >>242
v6オプションやv6プラスの契約で、
グローバルアドレスになるけどな。 >>243
オプションありでもなしでも、グローバルユニキャストアドレス。
外に出られるのと、出られないのとでプレフィックスは違うけど、
外に出られるかどうかにはかかわらず、同じ網内同士の通信は網内折り返し。 ネーム機能って詳細が分からないことだらけで今ひとつ活用しづらい。
DDNSなのになんで初期アドレスを登録しなきゃいけないの? >>246
最初に紐付けする作業としては、あり得るオペレーションじゃない
IPv6オプションをONにするだけではnameがONにならないわけだし それより浸水とかで死んだルータのNetVolanteDNS引継ぎできないかねえ・・・
入れ換えの時は古い方で消してから再登録してるけど >>245
ああ、そうだった。
網内だけで使えるグローバルアドレスだったな。
オプション契約すると、外に出られるまた別のレンジのグローバルアドレスが与えられるね。 >>246
最初に登録したネームとアドレスを基本的に使われる。
プリフィックスが変更になった場合に、自動的に書き換えてくれる。
ネームは有料だからね。たしか、局内工事扱いで、
3000円ほど必要だったと思う。
三つも登録したら、9000円くらいにもなっただろう。 >>252
単にプレフィックスを書き換えるだけです、とNTTが明示してくれれば良いのに
そんな情報どこにもないよな?
しかもルータ交換したらアドレス変わるだろうし。 >>253
プレフィックス以外の変更には非対応。
一度、v6オプション申し込んでIPv6を開通させた際に、
プリフィックスが変更になったが、ちゃんと機能していたわ。
ただ、即座に切り替わらなかったなあ。 >>240
>経路がNGN折り返しみたいなんだよな
nameを設定したからとしか回答しようがない
mfeed使ったトンネル張らなきゃ… >>236
フレッツ・VPN ワイド
好きなだけ跨げるよ >>255
両端がNGNならNGN折り返りになるだろう >>256
ただでIPv6網を使えるのに金払って遅い網なんて誰得。
>>258
プライベートでは使ってるけどなんの保証もないから業務には怖くて使えん。
問い合わせてみたことあるが返事無かった。 >>259
そういう手の保証って、
何かしてくれるのかな?
たしかに、NTTなら例えば障害があっても対処してくれるだろうけど。 障害はどうやったって起きるけど、責任転嫁先の有る無しは大違いだぞ?
自分でやった方が早いのに金払ってベンダー丸投げするのもそのためじゃん。 aoiのほうも何もないけどな。
netvolante-dnsもこの前障害起こしてたけど非公開だった気がするし。振り回されたわ RTX1200についてですが、VPNについて基本的な質問をさせてください
L2TP/IPsecにてVPNを構築する場合、トンネル1つに対して1人のユーザーのみ同時使用でき
RTX1200の場合、同時接続数は最大100人まで、という認識で良いでしょうか?
よろしくお願いします メーカーのサポートに問い合わせしたほうが・・・・
そんなスペック限界まで試すつもりなら尚の事 https://network.yamaha.com/support/contact
サポートサイトみたら、特定向け製品についての注意があって驚いた。
そういやうちにあるRTX810も記載されている製造番号から始まってるな >>264
同時使用でしょ?
同時に通信があると。
とても厳しいような
せめて、1210を使った方が良いと思う。 >>266
「これらの製造番号の製品をご購入いただいても、一般利用に転用して動作させることや修理による改造をお受けできません」というのは、
独自ファームが入ってるやつに、純正ファームを書けるようにしてくれと言われても断るという意味かな?
でもそれ以外の問い合わせに関しては、特に何とも書いてないから受け付けてくれるんだろうか。
手に入れたのが NEC の IP38X だから、ヤマハへの問い合わせは遠慮してたわ。
シリアルは D2F頭で、そこにも対象として載ってる。 いやもう拠点間じゃないVPNやるなら、素直にシスコ使っとこう >>264
いえす その認識で合ってるよ
ユーザーとトンネルインターフェイスを各々紐付けるの >>270
NECのIP38Xは別途保守契約前提だしな まあこんなにわざわざ書くってことは、問い合わせいっぱいきてるんだろうな。
cold startかけたときに仕向け用のコンフィグが入ったりするから、手打ちする人向けって割り切れればいいけど
VPNクライアントで100クライアントも同時接続するような規模だと、複数台買って分散させたほうが安全だぜ
RTX1200でクライアント5台ぐらいだけど、なんか不安定になって再起動するまで治らないとか経験したし >>265
>>268
あくまで仕様を知りたかっただけで、さすがに100人同時は無いと思いますが
1人1人にID等を割り振る必要があるのか、トンネル1つに詰め込めるのか知ってから
config書こうと思いましたので…
>>272
ありがとうございます
となると1人1人にIDを作る必要がありそうですね
ちょっと面倒そうですが、頑張って設定してみます 【設定例5:テンプレートを利用してL2TPクライアントの接続を受け付ける場合】
http://www.rtpro.yamaha.co.jp/RT/docs/l2tp_ipsec/index.html#setting5
こういう感じかな
IDって重複ログインできたような気がしたけどできなかったっけ?
出来たとしてもセキュリティ的に分けたほうがよいとは思うけど
まぁトンネルは同時接続分は用意しないとダメだけど 重複ログインできるよ。IPアドレスも重複しないで振ってくれる
トンネルテンプレするときに「 ip tunnel tcp mss limit auto」だけは反映されないからこんな風に書いてる
tunnel select 4
description tunnel Tunnel3と同じ設定が入っています
ip tunnel tcp mss limit auto > ip tunnel tcp mss limit ?
入力形式: ip tunnel tcp mss limit データ長
データ長 = 536-1460, 'auto' or 'off'
説明: TCPパケットのMSSを制限するかどうかを設定します
デフォルト値: auto
デフォ値がautoだから入れなくてもよくね? 私たち日本人の、日本国憲法を改正しましょう。
総ム省の、『憲法改正國民投票法』、でググって
みてください。拡散も含め、お願い致します。 >>278
ファームのバージョンによって違う。
古いのだとデフォルトは off >>280
>278みて、そんなはずないと思ってたらやっぱバージョンだよね 古いバージョンだとトンネルテンプレで反映されないなら
やはりバグかね >>282
ip で始まるコマンドは、「展開先のトンネルインタフェースにも適用されるコマンド」に含まれていないから、適用されないのが仕様。 >>284
通りすがりです。
なるほど、マニュアルはよく読まないとな。
思いこんで、なんでも展開されるのかと思っていたわ。 でもデフォ値が変わってるみたいだからもういらないね もしかしてRTXってTAG付きのVID=1は処理出来ないんですかね? 仕様は知らんが1のタグ付ける設計することに問題ある。
トラップ仕掛けたいなら好きにしたら良いけど。 ヤマハルータは個性的なCONFIGよく見るからな。
フィルタ細かく入ってるなぁって思ったら ip filter 行なかったり YAMAHAのプロの皆様ご教授願います。
v6オプション使ってngnでVPNを組んでる環境で、ipv4 over ipv6をやった場合に、複数の拠点またぐことって出来ないのかな?
拠点A〜拠点B〜拠点C
拠点Aと拠点B、拠点Bと拠点CでIPSEC接続確立。
pingが通ることを確認、ダッシュボードでも接続中表示。
拠点Aのルーティングは
ip route 拠点Bセグ/24 gateway tunnel 1
ip route 拠点Cセグ/24 gateway 拠点Bのlan1アドレス(ipv4)
拠点Bのルーティングは
ip route 拠点Aセグ/24 gateway tunnel 1
ip route 拠点Cセグ/24 gateway tunnel 2
拠点Cのルーティングは
ip route 拠点Bセグ/24 gateway tunnel 1
ip route 拠点Aセグ/24 gateway
拠点Bのlan1アドレス(ipv4)
これで拠点Aから拠点Cにpingを行っても通じず。
tracertで確認すると拠点Bのルーター到達後繋がらず。
現時点は諦めてAとCもIPSECを組んで開通させてるけど全部で拠点が7拠点あるんでRTX830にあんまりたくさんVPNセッション貼りたくないです。
拠点BだけRTX1210なので全部の拠点とVPN確立するのはこの機種だけにしたいです。
どなたかご教示お願いします。 >>293
拠点Bをセンターにスター型の想定でいいんですよね?
拠点A-拠点Bのトンネルをtunnel 1
拠点B-拠点Cのトンネルをtunnel 2
とすると
拠点A
ip route 拠点Bセグ/24 gateway tunnel 1
ip route 拠点Cセグ/24 gateway tunnel 1
拠点B
ip route 拠点Aセグ/24 gateway tunnel 1
ip route 拠点Cセグ/24 gateway tunnel 2
拠点C
ip route 拠点Aセグ/24 gateway tunnel 2
ip route 拠点Bセグ/24 gateway tunnel 2
でいけませんか?
間違ってたらすいません
使ってる機種がRTX1210とRTX830ならマルチポイントトンネル使うという方法でもいい気がしますけど >>294
早速の返信ありがとうごいます!
gatewayを相手のルーターにせずに通過するトンネルに変えるかんじですかね?
マルチポイントは気にはなってますがそこまで詳しく見てなかったのでそれも調べてみます。 >>295
トライする気概は大したもんだがルーティングをちゃんと勉強した方が良い。
そんなんでよくVPN張れたな。 294さんの指摘通り、
拠点A
ip route 拠点Bセグ/24 gateway tunnel 1
ip route 拠点Cセグ/24 gateway tunnel 1
拠点B
ip route 拠点Aセグ/24 gateway tunnel 1
ip route 拠点Cセグ/24 gateway tunnel 2
拠点C
ip route 拠点Aセグ/24 gateway tunnel 1
ip route 拠点Bセグ/24 gateway tunnel 1
にて拠点同士の通信が出来ました。
おかげさまで余計なIPSECを追加しないでもよくなりました。
マルチポイントは検討してみましたがFQDN使えなさそうなので半固定のIPv6を設定するのはリスク高そうなので今回はやめることにしました。
また、インターネットも含めて拠点Bから通信させるのであれば、拠点のルーターにip route default gateway tunnel 1だけ追記すればセグメントごとのルーティングの記入は不要で繋がることも確認できました!
ご質問に答えていただきありがとうございました。
>>297
おっしゃられるとおり、大変無知であることを痛感しております。
今まで多重ルーターでのルーティングはいくつかやっていたので、gateway=目的の場所へ行くための一つ先のルーターを指定する。だけでいいと思ってました。
VPNワイドの設定の場合も目的地へIPアドレスを繋げて繋げてたどり着くみたいなことをやっていたので同じ感覚でやってました。
今回を機会にもう少しルーティングについて勉強してみます。 いちいちそんなこと突っ込むなんて損な人生を歩むことになるぞ ----□---□---□---
|
□
|
こんなんじゃないの? DS-Liteのひかり電話無しで内部でIPv6使えないんですが対処方法ありませんか?
LAN1に内部
LAN2にフレッツのONU
を繋げて
http://www.mfeed.ad.jp/transix/ds-lite/contents/yamaha_nvr500.html
に従って設定するとLAN2側にしかGUAが設定されないからLAN1側ではIPv6でインターネット出れない
LAN1側にra-prefix@lan2::1を当ててもLAN2と同じサブネットなのでルーティングされない
LAN2側にIPv6アドレス割り当てなければLAN1側からIPv6が使えるがLAN2側からAFTRにアクセスできなくなってIPv4が使えない
IPv6パススルー無いから諦めるしか無いのかな >>303
> LAN1側にra-prefix@lan2::1を当ててもLAN2と同じサブネットなのでルーティングされない
RAプロキシでパケットが通るよ。 >>304
>>305
ipv6 lan2 address auto
を入れてlan2にipv6のguaが割当たらないとtunnel情報入れてもaftrまで通信出来ずipv4で通信出来なかった
確認した限りlan2にgua割り当て前はAFTRの2404:8e00::feed:100にping6が通らずgua割り当て後はping6が応答ありになる
しかし逆にlan2にguaが割り付けられる事にりlan1側からはipv6で通信不能になった
とりあえずconfig晒しにくいので色々試してみます >>306
ipv6 lan1 dhcp service serverははいってますよね? >>308
入ってます
lan1側クライアントにはRAでguaが割り当てされてます
しかしguaではルータにすらpingが届かない
lan2側にgua割り当てなければlan1内の端末はipv6でネットにしっかり通信出来ます >>304, 305, 308
今日改めてipv6 lan1 address ra-prefix@lan2::1
でlan1側にアドレス割り当て直したら解決しました。
色々ありがとう
コンフィグ変わらないんだけど問題起こっている時は
show ipv6 routeでLAN2にguaのプリフィックスが割り当たっていて
問題無いときはLAN1側にプリフィックスが割り当たっています
またルーティングテーブルが切り替わって問題が起こるかもしれませんが・・ RAプロキシ動作させるには、
ipv6 lan1 addressを設定してipv6 lan2 addressは設定しない方が良いみたい >>311
ipv6 lan2 address設定しないとIPv4 over IPv6トンネルのAFTR(トンネルの接続先)にアクセスできなくなる
そうするとIPv4使えない訳で
ipv6 lan2 address設定したあとにipv6 lan1 address設定すればRAプロキシはギリギリ動くっぽい
ルータ再起動したらRAプロキシが止まるかも知れないけど IPを順に打っていったら、
勝手WiFiを見つけた。
どういう処分をすべきか?
社内規約には具体的にアクセスポイント禁止とはうたっていないんだよなあ。 >>313
とりあえず本人に連絡して止めさせる
処分考える前に勝手な端末繋がせないように規約作れよ 学校に教員が勝手に設置した無線ルータがDHCPサーバのままでネットワーク障害起こしてたなんて日常茶飯事
いっそのこと公式に無線AP設置した方がいいわ
建前上MACアドレス申請書出させて >>313
PCにUSBのWiFi挿されてインターネット共有されたらどうするの? そのイーサネットアドレスとの通信を全面遮断
ワーワー騒ぎ出したらそんなもん勝手に設置するなと注意する 多重ルーターなのでNGっていうのは初心者に対してのメッセージだよな >>317
DHCPに鍵でもかかっていたらよかったのにな
そうであれば、APの設置も初心者には骨が折れると思うよ。
諦めてくれるだろう。
昔のプロトコルだからそういうの実装されていないんだろうな
>>315
スイッチングハブがなかったときに、
代わりにブロードバンドルーターのLAN側を使おうとしたときに、
そういう状態になってしまったことがあったな。 >>317
そのイーサネットアドレスってAPのことだと思うけど、
実際に通信するのはAPを経由するスマホなどだから、
その方法は無理だと思う。
APへの設定ができなくすることはできると思うけど。 >>314
イーサーネットに鍵の仕組みがあればいいんだよな
いや、ポートを物理的に鍵するようなバカっぽいやつでなくて、
プロトコルにそういうのを実装してほしい。 やっぱりこういう事例を見たり聞いたりするとL2スイッチである程度のセキュリティ対策はしないとあかんのだなあとしみじみ
中小企業によくありそうないいリスク事例だわ >>321
Cisco ISEでも買えばええやん
プロファイル機能でどんな端末か収集して
ポリシーかけられる >>319
不正なDHCPサーバの制限なら
DHCP Spoofingでいいと思ったけどボケてるの? >>322
L2スイッチとはいわゆるハブのことです
一酸化二水素でググれ first hop securityで大概出来るだろうけどyamaha使う顧客がその変に金出すんか知らん ■ このスレッドは過去ログ倉庫に格納されています