YAMAHA業務向けルーター運用構築スレッドPart21
レス数が1000を超えています。これ以上書き込みはできません。
ヤマハでひかりTV見るのはめんどくさくなってやめちったな https://www3.nhk.or.jp/news/html/20190125/k10011791591000.html
調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。 RTX810 Rev.11.01.28でsh log やると操作できなくなっちゃう・・・ clear logかけたらとりあえずログ表示でハングするのはなおった rtx1210の仕様にWANは任意のLANポートを使用可能って書いてあるけど、IP2つ契約してWAN側に2回線用意するみたいなことってできるの?その場合やっぱり(NATセッション数が飽和しない範囲で)端末の台数増やしたりした時の処理能力は上がる?
素人質問でスマン できる
何の処理能力かわからんけど処理能力はしらん
たいしたかわらん気がするけど >>576
サンクス
たとえば多人数の社員がブラウザで大量にタブ開いて調べ物してたりしたらレスポンス遅くなったりしない?そういう時に2回線用意できれば改善できるかなって話 それこそNATセッション数が飽和する状態なら
改善されると思う >>578
帯域が足りて無いのは改善するだろうけどNATセッション数が飽和するような使い方だと改善は無理じゃね? 帯域も2倍になるし、両方の回線でNATセッション張れるようになるわけだからどっちにしろ改善するかなって思ったんだが…
それとも仕様の最大NATセッション数って機器全体でって事?それだと飽和してたら回線増やしても無理だけど どこにボトルネックあるか調べてからのが良くね
その手の中小企業のオフィスの話は大抵、Wifiがパンクしてるだけだし 何重にも要因が重なってるっぽくて、確かにwifiもボトルネックぽかったから何台か置いて部署ごとに分散させたら多少は良くなったんだけどまだ遅いんや
光回線のはずなんだけど Office365は最近問題になるケースが多いようだね
業者に相談すると別回線引くの勧められる iTunesが200とか使うらしいのにはビビったが、普通にオフィスで多用されるものでそれだと困るな >>585
ユーザー多いと、インターネットルータから通信抜ける前にProxyが潰れるよ 一昔前は一人当たり常時100セッション使う前提で設計しろと言われたが
Office365普及以降はこの基準増えてるんだっけ? 回線増強の費用まで含めたらOffice365って得かどうか怪しい RTX810ってOCNバーチャルコネクトか、transixに対応してるんだっけ? transixは対応してるけどOCNバーチャルコネクトは非対応 もうフロア別にフレッツセッション確保したほうがいいかな・・・
朝がシャレにならない勢い 途中で書き込んじまった
Proxy経由の制約あるとアクセス回線で直抜け出来ないから厳しいな
他社だと、インターネットブレイクアウトでOffice365曲げるってやつあるから
安価なインターネットアクセス回線にO365の通信逃して、
それ以外は閉域網みたいな使い分けは出来そうだが 詳しい方教えてくだだい
ip route default gatway pp1 (filter) gatway tunnnel 1 keepalive 1 gateway tunnel 2 weight 0
keepaliveは対向ルーターのLAN ipアドレス
としたとき、keepaliveのゲートウェイってpp1になりますか? >>599
filterに該当すればpp1になるんじゃね。
気になるならkeepaliveの宛先のアドレス用にip route書いとけばいいかと。 rtx830のIDSってどの程度のものですか?IPSの機能も付随しますか? そもそもヤマハルータはファイアウォールじゃない。
ただし何故か中国モデルはファイアウォール機能ついてる。 YMS-VPN8でVPNトンネルを通じてリモートアクセスゲートウェイ側からインターネットに出られる?
iPhoneとかで繋ぐと問題ないので、ルータ側の設定は間違ってなさげ。 >>602
めちゃ露骨なのくらいは検知できるおまけ程度ってことですかね?
ファイアウォールではないというのは、ファイアウォール機能はあてにならないと言うことですか?柔軟性や機能性に欠ける? 元々、チェックポイントの連中が作った、
5-tupleによるステートフルインスペクションが
「ファイアウォール」の基本形なので、
ステートレスで動くルーターとは本来異なる。
最近はアプリケーション層まで見る製品がほとんどだが、
高性能なCPUぶん回してトラフィック解析してる。
ヤマハルーターはこれらのうちごく一部の
負荷が軽い機能を実装しているだけで
「ファイアウォール」を名乗れるほどの機能は持っていない。 NECのExpress Serverにfirewall-1入れて使っていたな〜 かといってFWX120買ってもなんか中途半端なんだよなぁ
安いFortiGate代わりにはならない 最低限、行きのパケット許可したら戻りは自動で許可されるのがFWの最低条件かね。
RTXのダイナミックフィルタは落第。
FWXはギリ認める。(でも古過ぎる)
L7FWは賢いけどSSL化が進んでこれから受難の時代だと思う。
まあヤマハには関係ない話だ。 VPNソフトあったじゃん。
FortiClientみたいになんでも付けて売っちゃえばいいんじゃね 小規模拠点の今使ってるルータの入れ替えで、ルータ+ファイアウォール導入するほどの予算もないんですが、RTXシリーズだけとかだとやっぱり実用上もまずいんでしょうか…
当然理想的ではないでしょうけど、ファイアウォールの話を見てて不安になってきました… 何かあった時の言い訳用に必要
ちゃんと対策してましたが突破されました云々 ISMSがらみ取得目指してる事業者なら、その辺の事務屋からUTM買ったほうがいい。
個人情報保護の建前なら社長承認通りやすいぞ RTシリーズってステートフルインスペクションできんのか RTX1210でWAN側2回線繋いだ場合ってNATのWAN側IPってどう割り振られるの?設定出来る? ppじゃなくて物理的にLAN2 LAN3に繋ぐってこと? 固定IPか振られる場合はNATのOuter Addressとして設定すればいいんでは? お家で遊ぶ用にrtx1210買っちゃった* ゚・*:.。.:*・゜+ d(*´∀`)b +.:*・゜゚・*:. * 自宅と実家でSite-to-Site VPN張って遊ぶのにもう一台買おうぜ L2VPNでDLNAってことならたぶんいけるんじゃないか DLNAは遅延時間の制限なかったっけ?
フレッツIPv6網内折り返しならギリいけるかもしれんが。 >>622
IPv6 の IPSec トンネルで L2TPv3 を設定したら、DS-Lite は関係ないよ。
もしかして、IPv4 で IPSec を張ろうとしてない?
IPv4 で IPSec を張る場合は、IPoE 側の LAN(またはVLAN) I/F じゃなくて、PPPoE (IPv4) 側の PP I/F を使わないといけないはず。 直接NGNで繋ぐだけなら行けそうだが、VPNにすると遅いが大丈夫か? DS-Lite越しのVPNはダメだよ。CGNで阻まれるはず。NGNでIPv4 IPsec over IPv6をやるか、PPPoEセッションを張ってその上でIPsecトンネルを張るか、かな。
DLNAは昔はかなり厳しくて 物理的に同一LANないでないと満たせないような制限があったけど、途中からいくらか緩くなったような。新しい機械を持ってないからよくわからないんだけど(^^; DS-Lite越しのVPN、NATトラバーサルなら大丈夫なんじゃない?
実際にDS-Lite通して自宅のPCから会社にVPN接続してるよ DLNAの遅延制約とか、ガラパゴスDTCP-IPとか面倒臭いから
TV見たいなら録画サーバ建てた方が後々楽だよ
最悪、リモート視聴できるnasneみたいな製品あるけど
ヘビーユーザーになると容量足りない 自宅がDS-Liteならともかく、VPNホスト側の会社がDS-Liteだと無理でしょう。ポートが開かないもん。
それと、HTTP上で独自にトンネルを使うアプリなんかは一定時間でセッションを切られるみたいで、使い物にならんかった。この辺はPPPoEに逃がすしかなさげ。 >>626がわざわざIPv6でって言ってるのになんでその後ガン無視してんだよ >>633
636 だけど、まぁ落ち着いてくれ。
DS-Lite や MAP-E の環境で IPv4 トンネルを張るのは諦めた方がいいのは確かだとは思う。
OPEN IPv6 DDNS for NGN と lua を使えば、NTT東西間であってもネイティブな IPv6で IPSec VPN が張れそうなので、わざわざ IPv4 で VPN を張る理由がないような気がするね。 >>634
書いてて思ったんだけど、ネットボランチDNS が、IPoE IPv6 対応してくれたらなと思って調べてみたら、既に RTX1210/830 の 2018/11/28 版ファームで対応してるね。 1210のguiでiPhone用にi2tp接続をつくってみたんだが初回以降は接続できない。
再起動したら1回だけは繋がるんだけど切断して再接続するとまたダメになる。
先生方教えてください。 >>636
ログを出すかチンコを出すかどっちか選択をしろ 1200でFWの設定中です
WANからLANへのフィルターを設定してるんですがconfig例見ると
ip filter xxxxx reject *****
以外にいろいろrejectの設定をしているのを見かけるんですが、これ一つで全部遮断できるわけではないんですか?全遮断とicmpの通過だけ設定すればいいかと思ったんですが… NVR500で下のURLのような設定は可能でしょうか?
https://www.server-world.info/query?os=CentOS_7&p=openvpn&f=1
多段ルータの形で同一ネットワーク内に外部から入ることができるようなVPN。
ルータの意味を考えると難しいと思うのですが… RTX1200とRTX1210で、IPv6ネイティブIPsecトンネルができているが、
なぜか、800KB/sec程度しか出ないのはなぜだろう。
800KB/Sec * 8bit/B = 6400Kbps程度が普通なんだろうか。 >>642
おお、ついているぞ。しかも、初期のやつ。
これか。原因は。
ありがとう。 >>642
うーん、でも解せないこともあるなあ。
HGWはたしかに初期の奴なんだけど、
普通にネットサーフィンしたり、
ダウンロードする分には、もっと速度が得られるんだよ。
このHGWはIPv6に弱いってことなのかな。
いわゆるファストパスでないみたいな。 今、データ転送中で、IPsec/IPv6ネイティブで800KB/secしか得られていない。
でも、ブラウザで速度を測定すると、
下り、149.4Mbps (18.67MByte/sec)
上り、159.2Mbps (19.90MByte/sec)
となるんだな。Radishという測定サイトなんだけど、IPv4なら早いということなのかな。
で、IPv6の速度測定サイトのFASTというところでで計ってみたら、70Mbps程度出ていることがわかった。
cifs転送なのでチューニングがおかしいんだろうか。 チューニングの問題なら、両端のPCだけの問題ということになるはずだが、
なぜか、データ転送中は、pingの時間が20倍ほど跳ね上がる。
しかし、両端のRTXのCPU使用率は5%程度。
やはり、なぜかわからないが、HGWが悪いんだろうか。
ではどうして、ブラウザではさっき書いた通りIPv6、IPv4問わず速度が得られるんだろう。
わからない。
IPsecのESPの処理がHGWはダメなんだろうか。 ただしいMTUの設定もできているはず。
でも、その情報がPCに伝わっていないのだろうか。
相手はNASなんだ。
どうやって、MTUの情報が伝達されて、
そして正しいサイズのデータをPCが送るようになるのか。 >>636
切断タイマーなり、トンネルを複数定義するなりしてみたら? すぐに再接続してもセッションが残っちゃってるんじゃないか? >>645
うちは両端がRTX1210でHGWも新しいのだけど、VPNだと速度か落ちるよ。IPv6自体はワイヤースピード近くまで出てるのに、VPNだと1/10くらい。HGW経由のIPsecは速度に規制がかかってるような話が少し前にネット記事になってたし、ひかり電話の関係で何かやってるのかもね。 HGWある時はIPIPでやると速くなる。
ただRTX810だとそこがボトルネックになるはず。
RTX1200よりはマシだけど。 閉塞網内とは言え、IPIPはちょっと不安が残るんだよなぁ。 RTXはソフト処理する事が多いからな
cpu占有するような設定いれると途端に遅くなる >>649
良い情報ありがとう。
網側あるいはHGWで何かされているのかもしれないですね。 IPv6でスピード出したかったらルータ直結しないと。
ひかり電話使いたかったらNVR使うしかない。 別の最新のHGWが付いている環境でためしたら、windowsファイル共有で少なくとも2MB/sec出た。
やはり、古いHGWがボトルネックになっているのかもしれない。
直付が最速か。 参考だけれども、ネットワーク系素人のうちの環境では、
IPsecありでWindowsファイル共有が9.7MB/sec前後。
・HGW(PR-500KI)配下にRTX1210をぶら下げてる環境同士
・ドコモ光(フレッツのギガ相当)
・フレッツ東のIPv6折り返し通信(3都県離れている)
・L2TPv3/IPsec(AES-CBC)
・Windows 10同士 うちはこんな環境で50〜60Mbpsくらい。
・拠点AはGE-PONにRTX1210の組み合わせ。拠点BはHGW(RT-500MI)配下にRTX1210を設置。
・拠点Aはフレッツ光ネクストギガライン。拠点Bはフレッツ光ネクストギガスマート。拠点間に1都道府県を挟んだ環境。直線距離にして40〜50kmくらい。
・NTT東日本NGN網内の折り返し通信で、IPsec(AES-CBC)でトンネル化。
・計測速度はWindows 10 - LinuxベースのNAS間、またはNAS間でのSMB経由での計測結果。
・スピード計測サイトではIPv6で700〜800Mbpsは出ている。 基礎ができてないからついていけてません(汗)
>>623-625
うちはFletsギガマンションタイプ、実家はJCOM
要求pingの返信が数ms以内ってのは見たことがあります
>>626
ここ見て同じことしているはずなんだけど
つながらなくなった・・RTX1210のGUIではつながってるように見えるけど
サーバーにアクセスしたりは出来なくなった
ttps://blog.yuu26.com/entry/20180528/1527514246
>>627
だめかもしれません。
録画したデータがMoveさえできれば問題ないんだけど、、 >>628
CGN(Carrier-Grade NAT)?うん、ごめんなさい、このレベルからもうアウトです
でも緩くなった制限に期待
>>634,635
ファームは対応って書いてあるけど
使い方の設定例なく挫折中です
>>All
ありがとう、勉強して出直すね JCOMってWAN経由にできたとしてDLNAの要求するパケロス発生率クリアできるんだろうか 補足。
・直線距離で約53km
・IPsecなしでL2TPv3のみの場合は70MB/sec前後
・片方の拠点のフレッツ網内の速度計測サーバへのIPv6通信は315〜500Mbps。もう片方は未計測。 >>656
参考になります。
10MB/sec出ていれば優秀ですね。
うちは、早い拠点間でも2MB/secなんで。
おそければ、800KB/sec・・・
>>657
7MB/sec程度という感じかな。
IPv6の800Mbpsでみたら、1/10以下に落ちてしまっていますね。 今朝、始業前の 8:30 頃に測定してみたんだけど、うちは以下の条件で、
・隣県(NTT西日本)の NGN内折り返し
・回線は、片方が隼(1Gbps) で、もう片方がハイスピードタイプ(200Mbps)
・RTX1200 どうしで IPSec VPN
・端末間の通信は IPv4
HTML5 Speedtest で 80〜90Mbps、CIFS 経由のリモートコピーで 40〜64Mbps
出てる。(iSCSI だともう少し早い。)Ping 応答時間は 17ms くらい。
同じ回線&ルータ間の VPN を PPPoE(IPv4) の PP 間での IPSec に変更すると、
HTML5 Speedtest で 80〜95Mbps、CIFS コピーで 24〜32Mbps。Ping は 32〜44ms。
前者の方が遅延が少なく安定しているけど、圧倒的に速いわけじゃなさそう。
あと L2TPv3 ではないけど、遅延時間も DLNA の制限(7ms?)に収まってないですね。 >>665
隼側は ONU 直です。
ハイスピード(実際はファミリーらしい)側は VoIP アダプタ経由です。
あと、あの後詳しい人に確認したところ、IPv4 トンネルの隼の相手側はフレッツネクスト回線ではないそうですので、比較対象としては相応しくないようです。
すいません。 うちもやってみた
·2拠点とも西日本で両方隼でNGN折返し
·直線距離で180kmくらい
·ルーターは両方RTX1200
·片方はONU直、もう一方はVoIPアダプタとしてVG2330Xの配下に接続
·間に県2つ挟む
って感じでipsecでもIPIPでも150Mbpsでした
ちなみにテストでVoIPアダプタ外してだと
ipsecで150Mbps、IPIPで300Mbpsくらいでした(ルーターが限界でした)
新しいOG2300とかならもっと出るのだろうか… ONU直結でRTX1210かNVR700Wなら300は固いよ。
まあv6網の活用も進んでるからいずれ下降するだろうけど。 >>667
ふつうのHGWよりもVG2330Xが速いということが言えるかな。 現在フレッツVPNワイドで運用中。最近よく聞くNGN内IPv6折り返し通信でVPN組めばフレッツVPNワイドの基本料金いらなくなる?
設定難しいですか? 一昔前まで、IPv6アドレス変化したときにどうやって通知するかっていう大きな課題があった。
FVW組むってことは家庭ではないだろうから、そんなとこケチってどうするの?とは思うけど NGN網内折り返しならネーム使えばある程度解決できる
ウチでは4拠点利用してるが、ここ数年は網内v6アドレスは変化無しだけど。
>>673
CUIでの設定にアレルギーなければ、ネットに参考資料山ほどあるから難しくは
ない、やる気次第でフレッツVPNワイドを代替可。 ネームの代わりにi.open.ad.jpがあるし、今はネットボランチDNSもIPv6対応してるから、それでもいけるんでは? ネットボランチDNSが、i.open.ad.jpみたいに、NGN網内にほしいなあ ISPと契約してインターネットに出られるようにせず、NGN網内に閉じた形でVPNを構築するならネームを使うしかなかったわけだけど、インターネットに出られる前提なら、ネットボランチでもいいのでは? どのみちNGNのDNSでもインターネットの側の名前解決はできるわけだし。さらにi.open.ad.jpならその辺は意識しなくてよくなる。
ふと思ったけど、ネットボランチDNSはIPv4とIPv6の併用はできないんだっけ? ネットボランチDNSって、水没とかで死んだルータの救済策ないのな。外部のDNS使うようにしちゃったよ >>673
やってみたけど全然速度でなくて諦めた
RTX1200同士だから1210ならマシかもしれん
最近DSLiteがVPN931言われるのうざい フレッツVPNはNVR500みたいなので使えるけど、ipv4 over ipv6 的なことできるのか?
ちなみにフレッツVPNの拠点側 RT57i も現役中 w rtx1210を使って、lan3ポートのVPNワイドからきたパケットをlan1につないでるutmを経由してLAN2ポートのISPからインターネットにでるなんてことはできないですよね。
LAN2にUTMぶら下げればいいんだろうけど、それのためにGWにわざわざルーターつけたくないし、netvolante使いたいけどそれだけのためにnvr510も買いたくない 出来ます。
ただ問題もあります。大した問題であるかどうかは環境次第としか。
そもそも意味あるかどうかも疑問ですが出来ます。 >>687
出来るんですか!?
やりたいこととしては、全拠点にUTM入れる予算はないので、インターネットはセンター出しで拠点間はNGNということでUTMなしで通信させてもいいかなって考えです。
ルーティングを散々考えたんですけど、そもそもルーティングテーブルを書くにもインターネットに出るルーティングをUTMのアドレスにしてUTMからルーターにルーティングを切ったらループするだけで肝心の外にでれないんですよね。
リファラーみたいな条件でルーティングできるなら可能かもしれないですけど果たして方法があるのか。 >>688
リファラーみたいな条件と言ってるのは、フィルタ型ルーティングで 始点 IP アドレスの指定をするだけじゃね? 私も教えて欲しい。現在VPNルーター→UTM→インターネットルーターという接続なんですよ。フィルター型ルーティングでVPN通信以外を全てUTMに流して…あとはどうすればいい? >>689
フィルター型ルーティングで出来るんですね。
そうするとデフォルトゲートウェイをUTMにしてUTM上でルーターを指定すれば、ってUTMブリッジモードだった、やっぱ無理なのでは。 >>691
恐らくその構成だとUTMってブリッジモードじゃないですか?
UTMをルーターモードにしても結局ルーターをデフォルトゲートウェイにしたらルーターのルーティングで無理だと思うんですよね。
ルーターはVPNは各拠点のトンネル、インターネットはUTMのアドレスにルーティングするわけだから、UTMからインターネットにつなげてくれってルーティングしても、UTMにまたルーティングするだけですよね。
仮にできたとして、折り返しの通信でUTMからきた通信だけlan2にとばすんであれば折り返しは出来ない気がするし。 ---[ONU]---[UTM]
|
---[ONU]---[RTX]--->LAN
なんか盛大にズレる気がするけどこんなつなぎ方ではだめ? マジレスするとUTMに行って帰って別口から出す課題なんてVPNワイド全然関係無い
UTMでNATしてアドレス書き換えりゃ楽勝
けどUTMからルータに戻す必要無くね?
フレッツ1本で全部やりたいとかなら面白そうな案件だな 物理経路
---[ONU]---[UTM]---[RTX]---本部LAN
これでダメなの?
VPN(カプセル化パケット ==== )は
論理経路
====>onu===>utm===>rtx(カプセル処理。rtx内部で折り返し)---->utm---->onu---->
これでいいんじゃないの?
UTMの処理速度が問題になった場合にだけ極力ボトルネック減らすなら
---[ONU]----(1)----[UTM]---[RTX]---本部LAN
| |
+-------(2)------------+
VPN(カプセル化パケット ==== )は
====>onu==(2)==>rtx---->utm--(1)-->onu---->
ってやればカプセル化パケットは(2)を通るようにすれば、UTMを通らないのでUTMの負荷は少なくなるかな 現状のつなぎは
拠点
-[ルーター]--[ONU]--vpnワイド-
本社
-[ONU]-[HUB]-[VPNルーター]-本社ネットワーク
|--[インターネットルーター]-[UTM]--|
VPNルーターのLAN3を使ってUTMとインターネットルーター用の別セグメントをたててる。
コスト削減とUTMを拠点に買いたくないのため、拠点はプロバイダー解約してVPNワイドにしてる感じ。
フレッツ1契約で纏めつつ機器もごちゃつかせたくないってのが本音で
-[ONU]-[VPNルーター]-本社ネットワーク
|--[UTM]--|
こんなイメージで、VPNルーターのLAN1からUTMのLANに通し、UTMのWANからVPNルーターのLAN3に返す、インターネットとVPNはLAN2に任せる。
なんてことが出来たらほんと理想的。 ONUからUTMをルーターモードにして動かしたくないのはUTMがSophosのエントリークラスだからなのか、ルーターモードで動かすと負荷がでかいのかインターネットの表示が遅くて使い物にならないってので、ブリッジモードにしてつかうしかない理由もあります。 >>700
VPNワイドあれば拠点のISP代削れるからな
それよりもお客さん、そんなちょびちょびしたのケチるなら、ひかり電話専用ONUと共用したら?
なんて現場もそこそこある。5人ぐらいしかいない拠点だったりするのに VPNはインターネットでやることにして
---[ONU]---[ルータ(NAT)]---[透過UTM]---[RTX]--->LAN
こんなふうに繋いで
最上流のルータではUDP500とESPをRTXに静的マスカレード
RTXでIPsec。RTXではNATディスクリプタ書かなくてもいい
UTMにはUDP500とESPは素通しするポリシーを最上位に入れておくこと コスト削減と申したのは、インターネットVPNを使用するにしても、ISPを経由すると言うことで5人くらいしかいない拠点にもUTMの設置を考慮しなければならないってことでしたのでUTMの費用とVPNワイドの費用で比較してVPNワイドを選択した限りです。
もっともNGNだから安心!なんてことは企業識別子わかってしまえばそんなことないという話は重々承知ですがISP経由よりはリスクが低いと言うことでご了承いただければと思います。 >>702
この場合ですとプロバイダー情報はRTXではなくルーターになりますよね?
そうするとルーターをRTXにしないとnetvolanteが使えないですよね。。 企業識別子わかってりゃつながるもんなの?
回線に紐づいていると思ったけど? ワンコインISPとかあるし、固定IPアドレスのISPも1000円ちょいからある
VPNワイドは1800円だから、これ2拠点分にワンコインISPでも4100円
固定IPアドレスのISP2拠点なら2200円あたり
もしかして拠点側はRTXじゃないとか?
そもそもIPsec使えないルータ? >>707
拠点がRTX830で本社がRTX1210ですのでIPSECは設定可能です。
ただしISP経由で外部からアクセス可能である以上拠点でISPを使うのであればセキュリティ対策は必要かと思います。
VPN通信以外フィルタリングするという話は一度提案しましたが駄目でした。
>>708
V6オプションでのVPNはやっていたのですが、トラブル時にNTTでは対応していただけなく、またサポート窓口がないため、トラブル時のリスクが高いとのことでVPNワイドになりました。 お金を出せないなら、セキュリティの意識はその程度ってことか・・
ということであれば >>698 の通りの現状の構成がベストだと思う >>709
こうやればいい
---[ONU]---[RTX]--(1)--[UTM]--(2)--[HUB]--------本部LAN
| |
+-----------(3)----------+
拠点LAN VPN ======onu====rtx----(3)-----(hub)----本部LAN
拠点LAN VPN ======onu====rtx----(3)-----(hub)----utm ---rtx----onu---インターネット
(3)に繋いだRTXのプライベートアドレスの処理は
NATでも、逆NATでも、192.168.0.xxx/32を振るでもいくらでもお好きに。 >>711
RTXのルーティングってどのように設定すればよろしいのでしょうか、またこの構成だと社内LANからUTM経由しないで通信する経路もありますがそこのルーティングはどの機械がやるのでしょうか? ルーティングは設計方法によって変わってくる。大して難しくはない。
UTMを通ってない(3)から外部へのパケットはRTXのフィルタリングで落せばいい。VPNのパケットはスルーで。 >>712 の解はわかるけど >>711 >>713 がどんな回答をするかヌルっと眺めてる >>713
言葉足らずですみません。
インターネットはUTMへ、VPNは(3)経由でRTXへっていうルーティングテーブルを管理する機械が見あたらない気がします。
パソコン一台一台にルートコマンドでVPNセグメントはRTXのアドレス、それ以外はUTMセグメントのRTXノアドレスとか設定すれば出来そうだけだ、RTXに設定するのではそもそもRTXに到達するまでのルーティング制御する機械がわからないです。 >>704
UTM、一箇所のほうが管理コストは下げられますもんね。
VPNワイドの2000円弱なんて端金だし、ISP 経由で IPSec 張る必要がないのはメリット >>711
やってみましたがそもそも外にでれなかったです。
本社PCを192.168.1.10に設定
拠点PCを192.168.2.10に設定
拠点RTXを192.168.2.1に設定
UTMを192.168.1.100に設定
本社RTXをLAN1に192.168.1.1に設定
LAN2はVPNワイド、プロバイダー用
RTXのデフォルトゲートウェイをpp1にすれば当然本社は繋がるけど支店はUTMを経由せず。
デフォルトゲートウェイをUTMのアドレスにしたらインターネットでれず。
本社RTXのLAN3を(3)ルート用で192.168.10.1に設定してUTMに(3)ルート用のip192.168.10.100をDMZポートに設定して、RTXのルーティングをUTMのDMZポートのIPでフィルタリング型ルーティングでUTM発の通信をpp1にしてみればできるのでしょうか。
でもこれだと本社も一度ルーターいってからUTMに迂回してインターネット出ることになりますよね。 本社はUTMでNAT使うから迂回しなくてよかったですね。すみません。 >>719
エスパーではないので良く分からないのですが、
「UTMでNAT使う」と書いてあるということは、(1)と(2)を別セグメントにできるということですか?
それならきちんと設定すれば問題なく使えると思います。
本社RTXのLAN3を(3)ルート用で192.168.10.1に設定して
UTMの(1)側のIPを192.168.1.100、UTMの(2)側のIPを192.168.10.100にして
本社のPCを192.168.「10」.10に変更して
本社RTXのルーティング的には始点:拠点PC−−>終点:外部ネットは
ip route default gateway pp 1 filter 100000 gateway 192.168.10.100
ip filter 100000 pass 192.168.2.0/24 * * * *
# VPN
ip route 192.168.2.0/24 gateway tunnel 1
で、本社PCのルーティングが面倒な件ですが、
DHCPを使ってる場合は、Classless Static Routes optionを使えば解決できます。
192.168.2.0/24へのパケットを LAN3「192.168.10.1」にルーディングする場合は16進数にして
C0:A8:02:00/18 をC0:A8:0A:01なので
dhcp scope option 100001 121=18,C0,A8,02,00,C0,A8,0A,01
とか追加してあげればいいと思います。
DHCPを使って無かったりダメな端末がいる場合はまた別の方法があります。proxyarpとか。
もちろん端末全部手動でやる方法もありますが。 >>720
説明不十分ですみません。
機械はSophosのxg105を使用しております。
機器仕様はメーカーのホームページやマニュアルを見ていただくしかないので説明は難しいですね。
>>721
確認しましたら(1)と(2)を別セグメントにすることはブリッジモードで出来ませんでした。
あくまでブリッジでスルーする時にUTMのアドレスを送信元に設定できるというだけです。
ですので、UTMのポート1と2でブリッジ、ポート3と4でブリッジに設定しそれぞれの出口を設定
ip route default gateway 192.168.10.100 filter 100000 gateway pp1
ip filter 100000 pass 192.168.10.100/32 * * * *
とかやるしかないのかなって思います。 >>722
--(1)--[UTM]--(2)--の
1と2は別々のIPアドレスを指定できますか?
192.168.1.2と192.168.1.2とか
ここの8ページを見る限りできそうなのですが。
https://www.sophos.com/ja-jp/medialibrary/PDFs/japan/support-documents/xgfw-ed-br-mode-jp.ashx
あとアドレス書き換えはWAN側のアドレスを使うのですよね? あ、間違いました
192.168.1.1と192.168.1.2とか UTMの仕様が私の推測通りなら以下のページの応用でこんな感じで行けるのでは?
http://www.rtpro.yamaha.co.jp/RT/docs/example/local-ip.html#6
---[ONU]---[RTX]-lan3-(1)--[UTM]--(2)--[HUB]--------本部LAN
| |
lan1-----------(3)----------+
RTX
LAN3 192.168.1.252/31
LAN2 IP無し
LAN1 192.168.1.1/24
UTM WAN 192.168.1.253/24
UTM LAN 192.168.1.2/24
ip route default gateway 192.168.1.2/24 filter 100000 gateway pp 1
ip filter 100000 pass 192.168.2.0/24 * * * *
ip route 192.168.2.0/24 gateway tunnel 1
ip lan1 proxyarp off
ip lan3 proxyarp off
本部PCに以下のルートを追加 DHCP等で
同じ設定をUTMにも
192.168.2.0/24宛ては192.168.1.1に もうconfig大喜利は良いよ
金ケチってるが故の変な構成は何の役にも立たん 結局自分で解決できないようじゃ
とらぶった時に解決できなんじゃね? >>723
8ページのIP設定は最初のアクティベーションを行うためにルーターモードで一時的につなぐ設定の為であり、
目的のブリッジモードで使用するための実際の設定は12〜13ページにあるとおり、LANポートとWANポートのポート番号決めてそこを通るためのIPを1つ割り当てるのしかできないんです。
>>725
明日この構成を組んでみます。
この設定のままだと拠点はルーターに入ったらフィルタルールに従ってそのままpp1で外に出てしまうと思うのでgatewayを逆に書けばいい感じですよね。
本部LANの端末IPはLAN1のサブネットマスクの範囲外にすれば自ずとUTMに飛ぶからそのままで大丈夫でVPNのルーティングはルーター任せでも平気な気はしますね。
>>726
申し訳ありません。
自分でわからないなりにここの先輩方にご教授いただきながら知識として身につけていこうと思っていましたがその考えが甘えだったみたいで。
自分で勉強して駄目ならRTX素直に買ってセグメント増やして使うようにします。
>>727
トラブル対応も出来るようにするために設定の方法を実機で動きを確認しながらやっておりましたが、身の丈に合わないことはやめておきます。
お見苦しい姿を見せてしまい申し訳ありませんでした。 金ないってゴネる客に限って注文多いから
変態構成になって運用が大変になる
変態WAN構成で、一説にはCCIEのラボの方が簡単では?と言われる
俺が担当したやつを見せてやりたい
勝手にケーブル抜く糞野郎すらいるけど
拠点側に気軽に行けないから、トラブルシュートすら大変だよ つながらないって騒いで現場行ったらLAN2に刺してあるはずのLANケーブルがLAN3になってたりなw
なにが何もしてないだよ あるある、何もしてないって言ってたのに設置場所変わってて動かしただけで何もしてないっていうw >>725
どうやったら、そんなふうに、
複数行にまたがったアスキーイラストが描けるの?
ずれないのはどうして? 今年は新機種出るかね?
そろそろWiFi内蔵ルータ復活させても良いと思う
まあでもWLX302と202で懲りたからヤマハのWiFiは買わんけど >>733
何かよくなかったの?
オフィスと家と実家とで三台使ってる限りでは特に不満無し。オフィスの方はぶら下がる台数が何だかんだ多いのか、たまに詰まるような症状に見舞われることもあるけど、近隣他社とチャンネルが輻輳しまくってるし、そもそも環境がよくないからなぁ。 >>736
うちも特に不具合ないが、不満点はAP一括管理がセグメント変わるとだめな点。wifi設定統一したくても、拠点とかでセグメント変わるとだめ。 RTX830(最新ファームウェア)で
IPv6(v6プラス)と、IPv4(PPPoE)の設定を入れて
内部からインターネットにアクセスするときは、IPv6 の接続で通信
外部から IPv4アドレスにアクセス来たときは、許可した設定で内部にアクセス可能にする
なんてことは可能でしょうか? 外から来た場合はサーバーにアクセスするんだろうけど
サーバーのIPアドレスとポート番号をフィルターに設定して
フィルター型ルーティングでPPPoEに流すようにすればOK そこでフィルター型ルーティング、必要?
内側からインターネットにアクセスする時にどの経路を通すかを制御するのには必要だけど。 ここって分かってる奴と本物の素人が同じ土俵で会話してるから
話が全然噛み合ってねえ・・・
役に立たんし面白くもない >>744
私も10年前は本物の素人だった。
このスレに随分助けてもらいました。 >>746
おう!何も問題なく運用出来てるぞ
お前らもたまには役に立つな
褒めて使わす >>743
外部からの着信には同じ経路を逆に辿って返信しなきゃな 同じ経路を辿って返信しないとな
NATとかあるしIPアドレスが違う所から返信するような事にならないために ありがとうございます。
なんとかandroidでVPN接続できるようになりました。
ただ、PCからはうまくアクセスできません。
YMS- VPN8 で接続に失敗します。
原因としては何が考えられるでしょうか。 ちゃんと買ってるならヤマハがサポート窓口になる
むしろそのためにあんなフリーソフトみたいなUIのソフト客に売ってるんだしな TelnetでログインできるのにGUIだとログイン情報が違って弾かれる
ユーザー名って何入れればいいのこれ・・・ 違うWebブラウザを使う
RTX1210ぐらいまではサポートがIE限定だったような。 ユーザー名空欄で、なおかつchromeじゃダメでIEでOKですた
ありがとう。 L2TP接続のVPN作るとき AES256 と SHA256 選んでたのが
PC から接続できなかった理由でした。
Galaxy s9 からは問題なく接続できたのにね
PCのほうが対応が弱いって意外 VistaのときにMS-CHAPv2必須とかケチなこと言いだして古いルータ非対応にさせたくせになぁ・・・ >>760
流石はSLA無しのサービス
業務で使えるレベルじゃないな >>761 意外でも何でもないだろ?
スマホの暗号化とPCの暗号化ではどう考えてもスマホの方が必要性が高い
Linuxは5.0で正式にChaCha20に対応してきたし
スマホはあと1年・2年でAESを捨てて来るんじゃね >>759
RTX1200も、RTX1210も、
RTX57iでさえ、
Chromeでつかえているぞ。 >>760
これって、yamahaは、
バックアップから復旧させているということなのかな。
根本的な解決をしないと、また同じ問題が起こるのではないか? >>760
3/11に会社〜自宅のVPNが回復しなかった原因はそれか >>767
Chromeでパスワード要求出なかったかパスワード通らないみたいな経験あるな。バージョンの問題とかありそうだけど >>766 PCで合ってるだろ?
LinuxだろうとMACだろうとスマホの方が必要性が高い 対応してる暗号の種類っていう意味ならOSとかそれ上で動かすソフトによるだけ >>764
業務でDDNSなんてあり得ない
しかも無料とか >>771
客に使えなくなる可能性があるということを言ってなかったり
使えなかったときの対処法を客に教えてなかったり
別のDDNSサービスを使って経路の冗長化をやってなかったりしたら怒られて当然かもしれない
ヤマハのDDNSなんか過去に何回も障害が起こってるんだから
障害が起こっても大丈夫なようにやってるのが普通でしょ 結局のところ固定グローバルIP契約してもらってるな >>771
復旧日時3月11日ってなってるけどどうみてもログ上は12日あたりまで障害起きてたよなと思ったらしれっとサイト書き換えてやがるし
>netvolante.jpドメインの名前解決に失敗する
こんなの書いてなかったろ。
最近年1回ぐらいでつながらない系の障害起きてるんだよなぁ。
ASAHIネットの固定IP800円ぐらいだし、OCNメールも調子悪いから入れ換え提案しちまうかな・・・・ ipsec ike remote address 1 第一候補 第二候補 第三候補
って第一候補が失敗したら第二で接続とか
そういう障害対策してほしい ディジタル通信モードは2024年1月で終了。
ISDN契約維持費考えたらLTEドングルで十分なんだよなぁ
いっそ、RTX1220Wみたいな専用製品つくって、LTEドングル内蔵品(アンテナ外付対応)を出して欲しい
どうせドングルぶらぶらして外れちゃったりしてるし >>779
トンネル用ルーティングどうしようと思ってたけど
http://www.rtpro.yamaha.co.jp/RT/docs/example/backup/vpn_backup_example8.html#rt1
が一番楽そう。
頭悪い俺用メモ(本社、1拠点)
〓本社側
・トンネル2作成
既存トンネル1のremote nameを変えたもの
例:ipsec ike remote name 2 kyoten-backup key-id
・バックアップ設定追加
tunnel select 1 (既存トンネル)
tunnel backup tunnel 2 switch-interface=on
〓拠点側
・トンネル2作成
ipsec ike remote address 2 <※本社DDNSホスト名>
ipsec ike local name 2 kyoten-backup key-id
※本社にある監視カメラとか独自に取得してるDDNSホスト名
DiCEをサーバに仕込んでもいいかも
・バックアップ設定追加
tunnel select 1 (既存トンネル)
tunnel backup tunnel 2 switch-interface=on
〓障害試験
no ipsec ike remote address 1を実行して1分ぐらい待つ とあるWEB会議システムで
ip filter 100 pass * * udp * *
こんな感じでUDPの全IP・全ポート開放してくれ
と言われたんだが・・・
ip filter 10 reject * * udp,tcp 135 *
ip filter 20 reject * * udp,tcp * 135
ip filter 30 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 40 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 50 reject * * udp,tcp 445 *
ip filter 60 reject * * udp,tcp * 445
が有れば問題(リスク)ないのかな? 最近だとUDP通らなきゃ443/tcpでなんとかしてくれるシステムあるけどな
一番の問題は、会議システム販売業者も商品よくわかってない&会議システム使う社長あたりが とにかく使えるようにしろ!って指示してくることなんだよな
社長の指示だからいっか! >784です
>>786 TCP:443とUDP:5000 IP固定(公開マッチングサーバー)の開放は必須なんです
まぁこれは納得できるので設定するのは問題ないんです
ただ、動画品質を上げる場合ピアtoピアで上記サーバーを経由しないパスを通すために
UDP 不特定なんで全IP 不特定なんで全ポート 空けてほしいらしく・・・
んでこの製品のウリがその品質で、低品質なら他社でもっと安いのもあるし・・・
上の方で決まりそうな事案で、決定した場合設定しないで済まされるか微妙なんですよね
せめて1024ポート番以下を除外とかしてくれるといいんですが
仕様書には全ポート開放なのでどうしたもんかと・・・ 上が言ってるからいいんだよ。一緒にUTMも買わないとダメって進言するパワーが会議システム屋にないのがつらいとこだな 何で全ip開放なんだよ
会議システムのmacアドレスでip固定しろよ
NAT内でもネットワークアドレス変えれば被害は広がらん 恐らくNAT越えまわりの仕様で最終的にUDPの不特定ポート使ってP2P通信をするんだろうけど普通のSTUNやTURNならサーバーの設定でポート範囲絞り込めるはずだけどな UDP:1024-65535とか平気で言ってくるからなぁ。
国産の監視カメラで、80/tcp開けてくれとか
前世紀感覚なんだろうなって思う。
そういや、ヤマハルータのウィザードテンプレにnetmeetingのポート開放入ってたっけ
http://www.rtpro.yamaha.co.jp/RT/docs/game/network-application.html web会議システムでrtpのポート範囲を数千単位で空ける事はある 大手のネームバリューで売ってるくせして
導入済みTV会議システムの製品仕様を開示しない糞とかあったり WEB会議系の売り文句のセキュリティ対策って
・動画なので安心!
って意味不明なのあるよな
スマホのカメラハックで大問題になってるのに
時代錯誤というか20年前のまま時が止まってるのかとw >>787
VPNでなんとかならんの?
てか固定IPアドレスをその会議システムに割り当てないなら
静的NAT必須じゃね?
何カ所と会議するのかしらんけど
FQDNでPASSフィルタかけれんの? そういう質問を業者に投げても回答が来ないんだぜ
OEM元の資料とか型番でいいからよこしてくれればこっちで調べようがあるんだが独自開発とか言い張るし >>797 お互いがマッチングサーバーにログインして利用するシステムで
最大6か所が相互にP2P接続してメッシュネットワークになるんですよ
マッチングサーバーが居るのでNAS/IPマスカレード的な設定は要らないと思う
あと接続先は不特定多数の顧客サポートに利用するつもりらしく
VPNは無理かなぁと 結局ポート開放なんてしなくても内側から接続しにいくから問題ないかもな
デモ機借りてみれば? >>799
マッチングサーバーを経由しないP2P接続ならどっちかが静的NAT設定はいるでしょ?
会議システムにグローバルアドレス割り当ててるの? >>800
まぁ、普通そうだよねw
クラウド側からじゃなく社内側から接続始まるからDynamicFilterの範囲だよね >>802
それP2Pの相手側も同じなら接続できんだろう 799 の話し方だと、799の場所が設置台数が多いからポート開けが必要ってことかなあ。
TV会議の端末が1台ならマッチングサーバにIPアドレスと空いてるポート番号通知で済むけど、サポート対応だと台数多いから、マキシマムで開けとかないとダメじゃないの? DS-Liteだと5chでずっと規制されっぱなしで面倒
5ch.netだけpp1(ipv4 over PPPoE)使いたいけどどうすればいいんだろ フィルタ書けばいい
まぁ相手がcloudflareだからキレイに5chだけにはならんだろうが >>806
ip filter 300001 pass-log * 5ch.net,*.5ch.net,*.*.5ch.net
ip forward filter 100 1 gateway pp 1 filter 300001
これ使ってるけど、なぜかメインで使ってるパソコン以外は振り分けうまくしてくれない。 相談です。
LAN内のパソコンからインターネット側やVPN先の外部に
tracerouteしたときに、応答しないようにしたいのですが、
pingには応答させたいのです。
下記の設定では、pingも応答なしとなってしまいます。
tracerouteだけ非応答にするにはどうすればよいですか?
行った設定
------------------------------------------------
LAN1のoutに
ip filter 11 reject * 192.168.0.0/24 icmp * * tracerouteってunix系とwindowsで実装が違うけど
どっちだったかはicmp echoの応答見てるでしょ。
pingと区別できないよ。 >>810
問題無いパソコンも問題あるパソコンもADに向いてる
ほんと謎 >>809
ip route default gateway pp 1 filter 300001 gateway tunnel 1 >>813
UNIX系のUDPのtracerouteにはどうやっても対応できないけど
Windows系ならICMPのtype11をフィルタしてみれ あ、ちょっとちがった
UNIX系でもICMP type11を遮断でいける
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip pp secure filter in 22 11 2000 811です。
>>817
それでいけました。勉強になりました。ありがとう。 >>817
ip filter 2000 pass * * * * *
これが抜けてるね。これがないと暗黙のdenyが効いてしまうので。 2000番は昔のrtproの設定例でよく出てきた全遮断のフィルタのつもりでした
ip filter 2000 reject * *
全部通したらザルになっちゃうw >>820
それだとネット見れなくなるのでは?? >>819はザルなので、最終的にはこうか
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip filter 1001 reject 192.168.0.0/24 * * * *
ip filter 1002 reject * * udp,tcp 135 *
ip filter 1003 reject * * udp,tcp * 135
ip filter 1004 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1005 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1006 reject * * udp,tcp 445 *
ip filter 1007 reject * * udp,tcp * 445
ip filter 1008 pass * 192.168.0.0/24 icmp * *
ip filter 1009 pass * 192.168.0.0/24 tcp * ident
ip pp secure filter in 22 11 1001 1002 1003 1004 1005 1006 1007 1008 1009 >>814
俺も似たような問題で悩んでいる
運用上、だれも文句を言ってこないけど
なんか気持ち悪いんだよね DHCP使いつつある特定の端末だけはIP固定にしたいのですが、DHCP staticのコマンド打ってもうまいこと固定されてくれません(最初に接続された時に割り当てられたipのままになる)
どうしたら解決できるかご教示いただけないでしょうか >>825 特定ってのがわかってるならMAC指定すればいいじゃん NTT西日本NGN内でIPv6折り返し通信をしようと思ったら半固定アドレスでソフトイーサーのopenDDNSはNTT東日本だけ。ネームはアドレス変わったら手動変更。みんなどうやって解決したの?ipv4トンネルを予備でおいてるの? 西でやるならIPv6インターネット必須
ソフトイーサのDDNSはインターネットから普通に使える
西同士ならちゃんと折り返しになるよ >>828 半固定のIPv6でVPN的な事をクリティカルな環境で行うなら
SACM(SMF)@IIJとか使うんだよ
(特許とってるんでRTXとかでの対応は無理だろ)
だからRTXは諦めるのが吉
たまにIP変わって切断するのを容認できるならそこまで気にしなくてもいい
現状IPv6で固定IPを必要とするサービスを利用するなら
法人向けプロパイダで固定しているサービスと契約すればいい
半固定なんていう中途半端な契約で運用をしてはいけない >>828
大手業者はLUAスクリプト入れてやってる。 v6オプションのネームでできない?
https://flets-w.com/opt/v6option/
うちではちゃんと繋がったけど
RTX1200同士では遅くて捨てた
フレッツVPNワイドで80Mbpsくらいでてたのが3Mbpsくらいになった >>809, 815
残念、FQDNフィルターはRTX1200では使えなかった
結局
ip route 104.18.231.150/32 gateway pp 1
ip route 104.18.232.150/32 gateway pp 1
ip route 104.18.233.150/32 gateway pp 1
ip route 104.18.234.150/32 gateway pp 1
ip route 104.18.235.150/32 gateway pp 1
ip route 104.18.250.58/32 gateway pp 1
ip route 104.18.251.58/32 gateway pp 1
ip route 104.18.252.58/32 gateway pp 1
ip route 104.18.253.58/32 gateway pp 1
ip route 104.18.254.58/32 gateway pp 1
力業っぽくてやだけど 古くなったRTX810をスイッチングハブ(5ポート)で使用したいと考えております。
そこで質問ですがWANポートもLANポートとして使用できるのでしょうか?単にWANポートに同じセグメントのIPアドレスを振ってもダメでした。教えてください。 >>836
lan1 と lan2 両方をブリッジインターフェースに収容すればいいのでは? >>836
CONFIG残っててフィルタに食われてるんじゃね わざわざなんであんなにデカいHUBを使わないといけないのか >>830
>たまにIP変わって
いままで変わったことないぞ。
HGWを置き換えたらプリフィックスごと変わったけどな。
しかも、大部サブネットを削られた。 変わったことあるぞ
最近は数年変わって無いけど
友達の家とつなぐ分にはそれで十分だけど業務には使えないわ お前らアホか
半固定はまれに変わるけど、俺は変わった、いや変わらない、って知恵遅れかよ
役立たずが 変わる前提で話を進めるべきであって、変わらない報告なんかいらねぇ >>849 変わるのはNGN局側の機材拡張・増強かな
主流はIPv4だから場所的に余裕を持ってるんだと思う
PPPoEみたいな予約方式じゃないからね yamahaってarpリクエストを無視できないかな?
ルータ負荷やばそうなんだけど
フィルタはIPプロトコル外だから使えないし ethernet filter でff:ff:ff:ff:ff:ff 宛てをreject してみたら?
DHCPとか使えなくなるけど >>829
DDNSに依存してしまうということだから、
故障確率が上がってしまう。
DDNSを弾けない場合には、IPv6で生アクセスを試みるプロセスも組み込みたいところ。
そんなことできるかな? 46/64と併用型じゃなく、単独6ならできるんじゃね
2セッションにして4と6を完全に独立させる ip(v6) filter dynamicのニーモニックだけど
ログを見たところ
www = http + https
dns = domain
という認識であってる? >>856
http://www.rtpro.yamaha.co.jp/RT/docs/misc/mnemonic.html
>666 doom Doomを覚えていますか?
ワラタ
勝手にニモニック置換しなくていいんだけどなぁ。素人がconfigいじるわけじゃないし >>857
>Doomを覚えていますか?
"
『DOOM』が仕事に対する重大な脅威となり、
オンライン対戦やシェアウェアのダウンロードによってネットワークが妨げられたとするいくつかの報告書が存在しており、
"
ウィキペディアより
ヤマハのこういう細かいところが好き。
いらなくても、要る。
それに、ニーモニックはあったほうがいいと思う。
icmpなんかニーモニックでいくつかをまとめてくれて便利だと思う。 NVR500に050plus内蔵しようと思って丸一日格闘していたが、こいつSIP-TLS対応してないんだよな?
FUSIONと比較して、通話料安くて良いんだが、050plusのみTLSだからね それくらいならリクエストすれば対応してくれるかも? ヤマハのルーターって隠しコマンドとかないんですかね? >>863
コンソールケーブル接続時だけ使える有名なのはあるよ
上上下下左右左右BA
これを入力するとRTXシリーズでHSRPを喋れるようになる 先生!
DMVPNはどうすればしゃべれるようになりますか? >>865
そんなことも知らねーのかよ・・・ゆとり乙
復活の呪文で 「ほりいゆう じえにつくすど らごくえす とだよ」 って入れれば良いんだよ
とりあえずアンダー草原で淫獣マリリスを大量に調教して淫度をどんどん稼いどけ。
展開が不安ならバックアップ取っておくのを忘れんなよ。説教くさくなってスマソ・・・。ついな・・・。 show ip flow [summary] は隠しコマンドと言えるかな。 NVR500なのですが、PPP接続しているかを外観から判断する方法ありますか?
当方管理者ではないのですが、現場でよくみかけるのですが判断できず。 なんで管理者でもない奴がしゃしゃり出てくるんだろうな…
どこの会社にもこういうおかしなのいるよね NVR510 Rev.15.01.14で
ip filter 10000 reject * *
ip filter 20000 pass * *
ip filter dynamic 10025 192.168.1.0/24 * smtp
PP[01]
pp bind tunnel1
ip pp secure filter in 10000
ip pp secure filter out 20000 dynamic 10025
TUNNEL[1]
ip tunnel secure filter in 10000
ip tunnel secure filter out 20000
と設定しています
この状態で動的フィルタ(10025番)が反応することはするのですが
その前にフィルタ番号10000番で拒否されてしまいます
回避方法としてPP[01]のinに対してestablishedパケットを許可するしかないのでしょうか? >>873-874
むしろ理由も知らずに断定はおかしいだろ。
こういう手合いが思い込みで変な構築するんだろうな。 だいたい管理者でもない奴が外観で使われてるかどうか判断したいって
盗みたい以外の理由が見当たらん。
でもNVR500なんて今更何の役にもたたんだろうしやっぱり意味不明 >>876
怪しげな質問してる奴とidの出方が一緒だけど、心当たり有る? いま時常時接続なんだからPPPだろうが張りっぱなしだろう
ほんとに何したいんだ? >>872
なんで管理者じゃないのにそんなの知りたいの?
管理者なら管理画面からわかるだろ。
怖すぎ! まじか、皆がそういうならそれは申し訳なかった。
ただ単にセッションプラスが必要になるかを数えたいから
管理者に聞く前に知る方法を聞きたかったんだが。 >>875
なんでppとtunnel両方にフィルター設定してるの? >>872
NVR500なら音鳴るけどわからんな。 >>884
レスありがとうございます
PPとTUNNELどちらのフィルタを外すのがいいのでしょうか?
PP側を外してみたりTUNNEN側を外してみたりしましたが改善しませんでした
PP-TUNNELがらみの動的フィルタのことがよくわかっていないので
根本的に間違っているかもしれません South Brisbane というところのIPv6アドレスから、最近、
icmpと、udp 500に対するアクセスがある。
リジェクトフィルタは効いているが、よく、128bitもの長さのあるアドレスを見つけ出されたものだと思う。
どこかで漏れているのかな。
気分悪い。
みなさん、IPv6だからといって手を抜かないように。 >>888 なんでトンネルしてるのかもようわからんしなぁ
それにAllパスのフィルターにパスのsmtp入れて何がしたいのかもようわからん
outがALLパスなら それ以上ダイナミックにする必要もなかろう
んで、なんでout方向の10025がin方向のフィルターで拒絶されるんだよ?
前にもなにも、in方向ですべて閉じてりゃなにやっても無駄だろ?
多分設定の一部なんだとは思うけど「その設定の利用場面」が想像しにくいんだよね
何がしたいかようわからんので拠点間の構成ぐらい説明しなよ >>889 ipv6 に icmp 来るって「あたりまえ」じゃないのか? 889の気持ちわかるぞー!
超ランダムすぎてピンポイントで当たらないだろうなーって思うもん。
フレッツ網内なんかでやったら絶対どこかの共有フォルダ見れちゃうんじゃないかってドキドキしてるわ 見つけ出されてるって言ったってプレフィックスの先頭アドレスをルータに振ってるとかじゃね? >>895
それはない。下位64bitにはLAN3のMACアドレスが織り込まれている。
>>894
それなんですよ。
>>892
udp 500へのトライがある。
IPフィルタリングしているから大丈夫だけど。 先に中のPCが外に向かってアドレスを漏らしてると何故考えられないのか。
外向きのパケットは残さず全部dropしてるマンなの??
だから釣りみたいなものだと言ってるのに
うちだってチャイナテレコムのipからピンポイントにノックされてるよ >>898
実は、そもそもIPv6はIPsec専用としてRTXのLANにしか割当てていないんです。
RTXは下位にプリフィックスを広告していません。
しかしだとすると、途中の経路で情報が収集されているかもしれないなあ。
チャイナテレコムはアクセス情報を売っているんですか? >>890
たぶんL2TP/IPsecかPPTPなんだろう
フィルターはPPだけで良いのかな?
show ip routeをすると経路がpp[anonymous]って出るし 中国企業は国に情報提供要求されたら断る事は無い
・・・というか、常に情報収集されてると思った方が良い FA向けとか出して欲しいな。
なんか中小企業に売りやすい商品が欲しい。
L3SWとか正直いらない。激安で遠隔電源リセットできる程度の島HUBがあれば十分
まとめて売っちゃうから ようやく ADSL→ネクスト にするところなんですが、
ひかり電話も使うとき、 フレッツ網内 v6 でも色々と遊ぶ場合、
HGW 一体型のほうがいいのか、ONU とひかり電話と別体のほうがいいのか、どっちがお薦めですか
エリアは西です。
ちなみに、隼じゃなくてハイスピードに留めてとこうと思ってます プレフィックスが違うのと、DHCPv6-PD の関係がどう作用するのかよく分からんとです。 ひかり電話契約する、しないでしかipv6の環境は変わらん >>905
>隼じゃなくてハイスピードに留めて
どうして? >>909
905じゃないけどVPNワイドを使うんじゃね
値段が全然違う ヤマハは新製品数年に1度出すだけなの?
のんびりし過ぎじゃね? ここのところこんな順番で5、6年周期だろ。
コンシューマー向けの商売じゃないし、エンタープライズ製品ならこんなもんだよ。
1. センタールーター(RTX5k / 3k)
2. VPNマルチポートルーター(RTX12x0)
3. 無線LAN(WLX)
4. ハイアマ/SOHOルーター(NVR)
5. 拠点ルーター(RTX8x0) 業務向けルーターに頻繁なラインナップ更新は望まれてない まるでほかの業務向けルーターが頻繁に新製品だしているようなw
家庭用のルーターにしたって有線モデルなんて10年放置どころか開発中止も多いだろうに
無線は規格が更新していくので対応も必要だろうけど
有線は既存機で対応できないような大きな変化はないからな >>912
ファームアップがしばしばある。
機能改善。
ハードでなく、ソフトも大切。 >>913
一般でも無くエンタープライズでも無い所がターゲットなのがヤマハだと思うw よくわからんけど、企業で売り切りで買ってる人は少数派なのかな? RTX1200って
tftp host 192.168.0.0-192.168.255.254
通らないのね。ちょっと意外 RTX1210とRTX830は、それが通るんだね。
むしろそれを知らなかったわ。 >>921
むしろ、アクセスを禁止する範囲を設定したい。 >>923
filterに制御させるようにすればいいんだろうけど、たぶんそういうコードで作ってなさそう >>924
自分でfilterで制御させる場合、
名前解決(udp 53)とか、DHCP関係とか、通さないといけないものがあるので、
フィルタ方法に注意が必要だな。
ip filter reject ネットワークアドレス RTXアドレス tcp * telnet
ip filter pass * *
のようにパスフィルタも忘れないようにしないといけないな。 運用的にTFTPは必要な時に必要な端末通せばよいだけだし USBなりSDメモリの運用をまじめに覚えろと・・・ CONFIG流し込みでパスワードも流し込めると楽なんだよなぁ。 >>909 >>910
隼でも実際には200M超えること滅多にないと思うし、
みんな隼だから、むしろハイスピードのほうがバックボーン空いてるんじゃないのかという期待。。 100M 出れば御の字
混雑時間帯は ADSL並、って聞いてますが、200M 超えれるんですか?
200M 超えるのが未明限定だったら要らないし。。。 >>932
全部ひっくるめてエリアとISPに依る、じゃないかなぁ。
隼とハイスピードの設備が一緒か別れてるかも含めて。 >>932
西だけどフレッツ隼 RTX1200のIPv4 PPPoE接続で400Mbpsくらい出てるな うちの会社v6使ってるけど、支社全部フレッツライトにしてるけど60〜80Mbpsは安定して速度でてるよ。
ギガ使ってるとこなら450Mbpsは平均で出てるし、ルーター間pingで2msで応答返ってくる。 >>937
v6のIPアドレス特定はどうしてる?
固定と仮定して設計してる? NGNだけならネーム使えば良かろう
まあ、ipでも変わらんだろうが 半固定のサービスで固定と仮定するアホはおらんだろ・・・
DDNSだからOK なんて言ってる管理者がいたら素人前に付けろ ネットボランチDDNSだけど、昨日の夕方(5/2 18時ごろ)に突如、
netvolante-dns go lan* (auto)
↓
[DDNS] 105 Hostname error.
がログに記録されて、いまも go を試行したところ同じエラーが出てDDNS登録できていない
(名前解決しない)んだけど障害でもないよね。
同様の症状が出ている方いません? >>943
マジ・・・
休み中に*また*障害起きてるのか
設定ミスってるルータがあって8時間で絶対切れる拠点あるけど終わってそう うーん、まだエラーがでるなあ…
HostnameやServerを替えて試行しているけど同様。
なんだろう。うちだけかな。
>>945
教えて君でごめん。
いわれてみれば、と利用廃止を検討したいんだけど、どんな代替策がある? >>947
2019/05/03 11:14:39: [DDNS] netvolante-dns go PP[01] (auto)
2019/05/03 11:14:40: [DDNS] Update succeeded
いまは通るな。前の障害のときは一部通らずだったからホストが一部落ちてるんだろうな
>>783書いたの俺だけどこの辺使ってみるといい いまだとLUA使えるから
schedule at 1 */* *:*:1 * lua -e "rt.httprequest({url=\"http://ieserver.net/cgi-bin/dip.cgi\?username=USERID&password=PASSW0RD&domain=dip.jp&updatehost=1\",method=\"GET\"})"
schedule at 1 */* *:*:1 * lua -e "rt.httprequest({url=\"http://f5.si/update.php\?domain=DDNSHOSTNAME&password=PASSW0RD\",method=\"GET\"})"
なんて技でもいいけど。どうせパスワードなんてconfig見られた時点で見られたようなもんだし >>948
情報ありがとう。こっちはまだ
11:35:10: [DDNS] Hostname error
.なんで、うちの問題っぽいかな…。
>>949
それもDDNSに変わりないのでは… 落ちて困る拠点間なら、固定IPアドレスつかうか
プロバイダーが提供しているDDNSサービス使うとか
たしかぷららで使えたと思った MAP-E同士でネットボランチDNS使ったIPsecのVPNって張れるんだろうか?
出来るなら、RTX810をRTX830に置き換えたい。 >>953
ipq.jp のV6プラスなら全ポート使えるしV4は固定IP 逆引きはプロパイダ次第だからなぁ
固定1でも逆引きできるプロパイダもあれば
最低IPx4じゃないと受け付けないプロパイダもある 逆引きするような固定って、自前でメールサーバとか全部持ってるってこと? メールサーバーのみだろうな、ほかのサービスで逆引きチェックなんかまずしない
会社の規模やBtoB構成によっては中途半端にクラウド化できない場合もある 年度末が終わったから、発情期を迎える季節のはずなのに忙しい
どうしてなんだ AprilUpdateが来たらまた忙しくなるんだろうな ヤマハルータ入れてる規模で今時メールサーバーの自社管理なんてリスクでしかないような
専業で管理できるならいいけど メールサーバー管理してたけど最悪だったよsendmail結局使いこなせなかったからqmailにして
何かやらかしそうだったから他所に丸投げした
あんなもの一人では管理できんよ他の業務もやりながらだと
NATの使えるルーターもまだ高価すぎてFreeBSD 2.xぐらいのPCルータでやってたわ
ヤマハのルータが出てきてからは本当に助かった qmail作者の癖が強すぎてマニュアル読むにしても
イライラしっぱなしだったわ
結局postfixにした
メールサーバーで逆引きチェックなんてしてたら
届かないメールがあるとかで苦情くるから結局やらなかったわ 別の板で、なんでプロキシサーバなんてあったんだ?みたいな話が出た時にIPマスカレードとか思い出したっけ。
って思い出語るスレ? FWX120 不具合のご案内
https://network.yamaha.com/support/notice/fwx120_unsavable
弊社製ファイアウォール「FWX120」におきまして、設定情報やファームウェアの保存ができない不具合が発生することが判明いたしました。
こんなお知らせあったのか ふと思ったが、Andoroidって、標準ではファイアヲール非搭載のようだね。
netstatで調べてみると、通信中のTCPポートは開いていた。
RTXのように動的フィルタが動作しているものだと思っていたので、意外だった。
大丈夫なものなんだろうか。
プロセス内で動的フィルタ相当の処理がされているのなら大丈夫なんだろうけどね。 >>969
ソケットを勉強したまえ
それ以前にスレ違い RTスレ的には、VPN有効にしてスマホをVPN接続にするとかかね >>970
ソケットはプロセスに繋がっている。
RTXなどがあれば、あらかじめ動的フィルタで意図しない通信が防げるが、
Andoroidにはそういうパケットフィルタが備えられていないみたいなので、
ソケットが剥き出しになっているということですよね。
それとも、そのソケットは全OSで共通に対策機構を継承しているっていうの? >>972
AndroidでVPNを有効化すると、
Androidは、udp500、Espパケットしかうけつけなくなるのかな?
それ以外のポートが開かなくなるのだろうか。
接続先にRTXがあれば、そこでインターネット接続をフィルタリングで制御すればいいことになるよね。 androidでhttpサーバー的なサーバープロセスが動いてない限りは
待ち受けポートは無いと思うけど
wifiで接続していないキャリア接続の時に外部からポートスキャンでもかけてみたら?
クライアントがサーバー側との通信の為に開いているポートは
TCPならセッションハイジャックとかしないと無理じゃね?
フィルター関係なしに
サーバーとして開くポートとクライアントとして開くポートは理解したほうがよろしいよ もしくはwifiで同じネットワーク内になる事は多々あるし
そこで割当たったアドレスに対しポートスキャンでもかけてみては?
仮にRTとかでフィルターかけてるから大丈夫だい!って説明されても
ホテルとかの無料wifiとかで繋げば丸腰になってしまうし
内部攻撃に対してひどく脆弱な存在になってしまう >>976
目から鱗です。
サーバーが開いているポートと違って、クライアントが開いているポートへのアクセスは、
セッションハイジャック技術が必要になると聞き安心しました。
そう言えば、ちょっと前に、LinuxにTCPに関する脆弱性があって、セッションハイジャックできる問題がありましたよね。
Andoroidもその影響を受けたという記事を見つけました。
TCPプロトコルによってクライアントは保護されているということが言えるのかもしれませんね。
>>977
こんど固定IPのSIMをAndoroidにつけてみて、ポートスキャンテストしてみます。
>>978
RTXに応用できます。
たとえば、NATが開いているポートは節穴で、パケットを内側マシンに通しているだけで、
TCP制御とは関係なさそうですね。
>>979
うん こ?←構
うん ち?←築
>>980
はい。Androidを通して得たTCPポートに関する考察を、RTXに活かすことができます。
RTXをネットワークに設置して、動的フィルタを置くことで、無用なセッションハイジャック攻撃を避けられるのだと思います。
OSのアップデートに神経質にならなくても良いのかもしれません。
一方、AndroidにはRTXのような防御壁がないので、
クライアントのポートに対するセッションハイジャックのような攻撃をされないように、
アップデートが肝要になるということが言えると思います。 RTXなんて防御壁なんか無いからな、インターネットに接続するのはFortiGateとかのUTM使うのが普通だ ぞ安いし。GUI見たら違いに笑いが止まらないかもなwww Winny、Shareフィルタがある!!!
時事ネタは中小企業の経営層への説明に有利なんだぜ >>982
FortiGateとか推す奴ら、なにから自分を守りたいのか分かってないの多いんだよな >>985 とはいえ、フォーティーやパロアルトで防げる脅威は
RTXでは何一つ守れないし可視化もできないよ
syslogやSNMPをいくら集めて解析しても無理だからね
だからこそ、大手の顧客はUTMの導入実績の有無を確認する
未導入なら取引停止 それだけの事
そういう意味で、UTMは「仕事を守るため」に必要なんだよ
実際の脅威から守るのではなく「顧客からの要件を満たす」為に必要
もう、Windowsアップデートやってます、アンチウイルス入れてます
だけでは顧客は納得しない時代になったんだよ >>986
パケットフィルタぐらいできるだろw
何一つ出来ないってお前こそ白痴か? パケットフィルタでは客のUTM要求に〇は付けられない
白痴かお前は? パケットフィルタで防げる用なレベルの攻撃の話はしてないでしょ >>990 大手の旅行業と学校・病院関係かな
あと公の入札案件でも増えてきた
ソフト更新・管理・保守をリモートで行う必要がある案件だね
2年前まではここまで厳しくなかったけど
・PCI-DSS
・マイナンバーカード
このキーワードが聞こえ始めたころから
UTM要求が増えてきた感触がある
まぁ規模感もあるとは思うけど、そういう顧客の仕事をするなら
パロは結構高いけど、フォーティーは安いの有るし
RTXの下でも交換でも良いけど検討し始めた方が良いんじゃね >>990
士業とかに売れる売れる
ISO好きなとことかPマーク持ってるとことか。
FWX120でどこまでできるかなーって思ったら大したことなくてFortiGateバンドルで売ってるわ うちも予算ありあまってんで、12人しかいない会社だけど、over spedのFortigate 200E入れちゃったけど、
みんな変なサイトとかアクセスしないから、全然ひっかからない。
ログ見るとひっかかっているのは全部自分宛てに来たメールに添付のウイルスだったりする。
実感としてFortigateでひっかけてくれるのは、Windows Defenderと同レベルの感じなんだが、
Windows Defenderよりも性能いいの?
まあ、同じレベルであったとしても、とりあえず入れておけば言い訳になるから、何らかのUTMは結局入れるんだが。
ちなみに、親会社ではFireEyeを入れているけど、ウイルス感染のPCが出て大騒ぎになっていた。 >>993 UTM(NGFW)は確かに総合セキュリティ機器だけど
アンチウイルスはどうでもいいというかそれは別のもので対応する
アプリの可視化がUTMのメインでレポート機能の善し悪しが重要視される
だから、そこを強化してきたフォーティーとパロアルトがおすすめされる
性能なんかどうでもいいというか・・・
未対策はどんな言い訳してもダメ、対策してればとりあえずどれでもいい
って感じ
んで、アンチウイルスは
・ファイルIOをトリガに検知するタイプ
はもう役立たずかな、まぁあっても良いけどそれはWin標準のDefenderでいい
ファイルレスウイルスが増えてきてるのでファイルIOトリガ式は効果的じゃない
だから、パソコンは
1.おまじないレベルの WindowsDifender
2.ランサム・標的対策の Cylance的な奴
3.情報漏洩対策の SKYSEA/LanScopeCat/ISMCloudOneなど
+ UTM(NGFW)
+ 第三者認証
って感じになる
UTMあるからPCの対策いらねぇ〜 にはならんよ
あとは情シスがどんだけ、その手のトレンドを理解してるかだよ UTMつかったら具体的にどういうことの防止になるの? >>993
webフィルタでpost系設定しとくと楽しくなるんじゃね。 今はHTTPSばっかで見えねぇからEDRにするわ、とかいうところが…。 >>996 可視化だよ
社員のだれが、どんなネットアプリを、どれくらい使ったか
が判る このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 358日 10時間 32分 31秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。