探検
YAMAHA業務向けルーター運用構築スレッドPart21
レス数が1000を超えています。これ以上書き込みはできません。
調査は家庭や会社などにあるルーターやウェブカメラなどのIoT機器およそ2億台を対象に来月中旬に開始し、無差別に侵入を試みて、初期設定のままになっているなどセキュリティー対策の不十分な機器を洗い出し、ユーザーに注意を促すとしています。
素人質問でスマン
何の処理能力かわからんけど処理能力はしらん
たいしたかわらん気がするけど
サンクス
たとえば多人数の社員がブラウザで大量にタブ開いて調べ物してたりしたらレスポンス遅くなったりしない?そういう時に2回線用意できれば改善できるかなって話
改善されると思う
帯域が足りて無いのは改善するだろうけどNATセッション数が飽和するような使い方だと改善は無理じゃね?
それとも仕様の最大NATセッション数って機器全体でって事?それだと飽和してたら回線増やしても無理だけど
その手の中小企業のオフィスの話は大抵、Wifiがパンクしてるだけだし
光回線のはずなんだけど
業者に相談すると別回線引くの勧められる
ユーザー多いと、インターネットルータから通信抜ける前にProxyが潰れるよ
Office365普及以降はこの基準増えてるんだっけ?
朝がシャレにならない勢い
Proxy経由の制約あるとアクセス回線で直抜け出来ないから厳しいな
他社だと、インターネットブレイクアウトでOffice365曲げるってやつあるから
安価なインターネットアクセス回線にO365の通信逃して、
それ以外は閉域網みたいな使い分けは出来そうだが
ありがとうございます。
ip route default gatway pp1 (filter) gatway tunnnel 1 keepalive 1 gateway tunnel 2 weight 0
keepaliveは対向ルーターのLAN ipアドレス
としたとき、keepaliveのゲートウェイってpp1になりますか?
filterに該当すればpp1になるんじゃね。
気になるならkeepaliveの宛先のアドレス用にip route書いとけばいいかと。
ただし何故か中国モデルはファイアウォール機能ついてる。
iPhoneとかで繋ぐと問題ないので、ルータ側の設定は間違ってなさげ。
めちゃ露骨なのくらいは検知できるおまけ程度ってことですかね?
ファイアウォールではないというのは、ファイアウォール機能はあてにならないと言うことですか?柔軟性や機能性に欠ける?
5-tupleによるステートフルインスペクションが
「ファイアウォール」の基本形なので、
ステートレスで動くルーターとは本来異なる。
最近はアプリケーション層まで見る製品がほとんどだが、
高性能なCPUぶん回してトラフィック解析してる。
ヤマハルーターはこれらのうちごく一部の
負荷が軽い機能を実装しているだけで
「ファイアウォール」を名乗れるほどの機能は持っていない。
安いFortiGate代わりにはならない
RTXのダイナミックフィルタは落第。
FWXはギリ認める。(でも古過ぎる)
L7FWは賢いけどSSL化が進んでこれから受難の時代だと思う。
まあヤマハには関係ない話だ。
FortiClientみたいになんでも付けて売っちゃえばいいんじゃね
当然理想的ではないでしょうけど、ファイアウォールの話を見てて不安になってきました…
ちゃんと対策してましたが突破されました云々
個人情報保護の建前なら社長承認通りやすいぞ
そうです
実家のBlu-rayレコーダーを家で見たいのでRTX1210-RTX810で
https://network.yamaha.com/setting/router_firewall/vpn/connect/l2tpv3_ipsec-rtx1200
をやってみようとして、DS LITEでのVPNがうまくいかず挫折中
フレッツIPv6網内折り返しならギリいけるかもしれんが。
IPv6 の IPSec トンネルで L2TPv3 を設定したら、DS-Lite は関係ないよ。
もしかして、IPv4 で IPSec を張ろうとしてない?
IPv4 で IPSec を張る場合は、IPoE 側の LAN(またはVLAN) I/F じゃなくて、PPPoE (IPv4) 側の PP I/F を使わないといけないはず。
DLNAは昔はかなり厳しくて 物理的に同一LANないでないと満たせないような制限があったけど、途中からいくらか緩くなったような。新しい機械を持ってないからよくわからないんだけど(^^;
実際にDS-Lite通して自宅のPCから会社にVPN接続してるよ
TV見たいなら録画サーバ建てた方が後々楽だよ
最悪、リモート視聴できるnasneみたいな製品あるけど
ヘビーユーザーになると容量足りない
それと、HTTP上で独自にトンネルを使うアプリなんかは一定時間でセッションを切られるみたいで、使い物にならんかった。この辺はPPPoEに逃がすしかなさげ。
636 だけど、まぁ落ち着いてくれ。
DS-Lite や MAP-E の環境で IPv4 トンネルを張るのは諦めた方がいいのは確かだとは思う。
OPEN IPv6 DDNS for NGN と lua を使えば、NTT東西間であってもネイティブな IPv6で IPSec VPN が張れそうなので、わざわざ IPv4 で VPN を張る理由がないような気がするね。
書いてて思ったんだけど、ネットボランチDNS が、IPoE IPv6 対応してくれたらなと思って調べてみたら、既に RTX1210/830 の 2018/11/28 版ファームで対応してるね。
再起動したら1回だけは繋がるんだけど切断して再接続するとまたダメになる。
先生方教えてください。
ログを出すかチンコを出すかどっちか選択をしろ
WANからLANへのフィルターを設定してるんですがconfig例見ると
ip filter xxxxx reject *****
以外にいろいろrejectの設定をしているのを見かけるんですが、これ一つで全部遮断できるわけではないんですか?全遮断とicmpの通過だけ設定すればいいかと思ったんですが…
https://www.server-world.info/query?os=CentOS_7&;p=openvpn&f=1
多段ルータの形で同一ネットワーク内に外部から入ることができるようなVPN。
ルータの意味を考えると難しいと思うのですが…
なぜか、800KB/sec程度しか出ないのはなぜだろう。
800KB/Sec * 8bit/B = 6400Kbps程度が普通なんだろうか。
HGWついてるでしょ。
おお、ついているぞ。しかも、初期のやつ。
これか。原因は。
ありがとう。
うーん、でも解せないこともあるなあ。
HGWはたしかに初期の奴なんだけど、
普通にネットサーフィンしたり、
ダウンロードする分には、もっと速度が得られるんだよ。
このHGWはIPv6に弱いってことなのかな。
いわゆるファストパスでないみたいな。
でも、ブラウザで速度を測定すると、
下り、149.4Mbps (18.67MByte/sec)
上り、159.2Mbps (19.90MByte/sec)
となるんだな。Radishという測定サイトなんだけど、IPv4なら早いということなのかな。
で、IPv6の速度測定サイトのFASTというところでで計ってみたら、70Mbps程度出ていることがわかった。
cifs転送なのでチューニングがおかしいんだろうか。
なぜか、データ転送中は、pingの時間が20倍ほど跳ね上がる。
しかし、両端のRTXのCPU使用率は5%程度。
やはり、なぜかわからないが、HGWが悪いんだろうか。
ではどうして、ブラウザではさっき書いた通りIPv6、IPv4問わず速度が得られるんだろう。
わからない。
IPsecのESPの処理がHGWはダメなんだろうか。
でも、その情報がPCに伝わっていないのだろうか。
相手はNASなんだ。
どうやって、MTUの情報が伝達されて、
そして正しいサイズのデータをPCが送るようになるのか。
切断タイマーなり、トンネルを複数定義するなりしてみたら? すぐに再接続してもセッションが残っちゃってるんじゃないか?
うちは両端がRTX1210でHGWも新しいのだけど、VPNだと速度か落ちるよ。IPv6自体はワイヤースピード近くまで出てるのに、VPNだと1/10くらい。HGW経由のIPsecは速度に規制がかかってるような話が少し前にネット記事になってたし、ひかり電話の関係で何かやってるのかもね。
ただRTX810だとそこがボトルネックになるはず。
RTX1200よりはマシだけど。
cpu占有するような設定いれると途端に遅くなる
良い情報ありがとう。
網側あるいはHGWで何かされているのかもしれないですね。
ひかり電話使いたかったらNVR使うしかない。
やはり、古いHGWがボトルネックになっているのかもしれない。
直付が最速か。
IPsecありでWindowsファイル共有が9.7MB/sec前後。
・HGW(PR-500KI)配下にRTX1210をぶら下げてる環境同士
・ドコモ光(フレッツのギガ相当)
・フレッツ東のIPv6折り返し通信(3都県離れている)
・L2TPv3/IPsec(AES-CBC)
・Windows 10同士
・拠点AはGE-PONにRTX1210の組み合わせ。拠点BはHGW(RT-500MI)配下にRTX1210を設置。
・拠点Aはフレッツ光ネクストギガライン。拠点Bはフレッツ光ネクストギガスマート。拠点間に1都道府県を挟んだ環境。直線距離にして40〜50kmくらい。
・NTT東日本NGN網内の折り返し通信で、IPsec(AES-CBC)でトンネル化。
・計測速度はWindows 10 - LinuxベースのNAS間、またはNAS間でのSMB経由での計測結果。
・スピード計測サイトではIPv6で700〜800Mbpsは出ている。
>>623-625
うちはFletsギガマンションタイプ、実家はJCOM
要求pingの返信が数ms以内ってのは見たことがあります
>>626
ここ見て同じことしているはずなんだけど
つながらなくなった・・RTX1210のGUIではつながってるように見えるけど
サーバーにアクセスしたりは出来なくなった
ttps://blog.yuu26.com/entry/20180528/1527514246
>>627
だめかもしれません。
録画したデータがMoveさえできれば問題ないんだけど、、
CGN(Carrier-Grade NAT)?うん、ごめんなさい、このレベルからもうアウトです
でも緩くなった制限に期待
>>634,635
ファームは対応って書いてあるけど
使い方の設定例なく挫折中です
>>All
ありがとう、勉強して出直すね
・直線距離で約53km
・IPsecなしでL2TPv3のみの場合は70MB/sec前後
・片方の拠点のフレッツ網内の速度計測サーバへのIPv6通信は315〜500Mbps。もう片方は未計測。
参考になります。
10MB/sec出ていれば優秀ですね。
うちは、早い拠点間でも2MB/secなんで。
おそければ、800KB/sec・・・
>>657
7MB/sec程度という感じかな。
IPv6の800Mbpsでみたら、1/10以下に落ちてしまっていますね。
・隣県(NTT西日本)の NGN内折り返し
・回線は、片方が隼(1Gbps) で、もう片方がハイスピードタイプ(200Mbps)
・RTX1200 どうしで IPSec VPN
・端末間の通信は IPv4
HTML5 Speedtest で 80〜90Mbps、CIFS 経由のリモートコピーで 40〜64Mbps
出てる。(iSCSI だともう少し早い。)Ping 応答時間は 17ms くらい。
同じ回線&ルータ間の VPN を PPPoE(IPv4) の PP 間での IPSec に変更すると、
HTML5 Speedtest で 80〜95Mbps、CIFS コピーで 24〜32Mbps。Ping は 32〜44ms。
前者の方が遅延が少なく安定しているけど、圧倒的に速いわけじゃなさそう。
あと L2TPv3 ではないけど、遅延時間も DLNA の制限(7ms?)に収まってないですね。
ONU直なん?
隼側は ONU 直です。
ハイスピード(実際はファミリーらしい)側は VoIP アダプタ経由です。
あと、あの後詳しい人に確認したところ、IPv4 トンネルの隼の相手側はフレッツネクスト回線ではないそうですので、比較対象としては相応しくないようです。
すいません。
·2拠点とも西日本で両方隼でNGN折返し
·直線距離で180kmくらい
·ルーターは両方RTX1200
·片方はONU直、もう一方はVoIPアダプタとしてVG2330Xの配下に接続
·間に県2つ挟む
って感じでipsecでもIPIPでも150Mbpsでした
ちなみにテストでVoIPアダプタ外してだと
ipsecで150Mbps、IPIPで300Mbpsくらいでした(ルーターが限界でした)
新しいOG2300とかならもっと出るのだろうか…
まあv6網の活用も進んでるからいずれ下降するだろうけど。
ふつうのHGWよりもVG2330Xが速いということが言えるかな。
設定難しいですか?
FVW組むってことは家庭ではないだろうから、そんなとこケチってどうするの?とは思うけど
一昔前前って、今は解決してるの?
ウチでは4拠点利用してるが、ここ数年は網内v6アドレスは変化無しだけど。
>>673
CUIでの設定にアレルギーなければ、ネットに参考資料山ほどあるから難しくは
ない、やる気次第でフレッツVPNワイドを代替可。
ふと思ったけど、ネットボランチDNSはIPv4とIPv6の併用はできないんだっけ?
やってみたけど全然速度でなくて諦めた
RTX1200同士だから1210ならマシかもしれん
最近DSLiteがVPN931言われるのうざい
ちなみにフレッツVPNの拠点側 RT57i も現役中 w
LAN2にUTMぶら下げればいいんだろうけど、それのためにGWにわざわざルーターつけたくないし、netvolante使いたいけどそれだけのためにnvr510も買いたくない
ただ問題もあります。大した問題であるかどうかは環境次第としか。
そもそも意味あるかどうかも疑問ですが出来ます。
出来るんですか!?
やりたいこととしては、全拠点にUTM入れる予算はないので、インターネットはセンター出しで拠点間はNGNということでUTMなしで通信させてもいいかなって考えです。
ルーティングを散々考えたんですけど、そもそもルーティングテーブルを書くにもインターネットに出るルーティングをUTMのアドレスにしてUTMからルーターにルーティングを切ったらループするだけで肝心の外にでれないんですよね。
リファラーみたいな条件でルーティングできるなら可能かもしれないですけど果たして方法があるのか。
リファラーみたいな条件と言ってるのは、フィルタ型ルーティングで 始点 IP アドレスの指定をするだけじゃね?
https://www.ka-shimo.com/wimax?fcp_code=c46403
フィルター型ルーティングで出来るんですね。
そうするとデフォルトゲートウェイをUTMにしてUTM上でルーターを指定すれば、ってUTMブリッジモードだった、やっぱ無理なのでは。
恐らくその構成だとUTMってブリッジモードじゃないですか?
UTMをルーターモードにしても結局ルーターをデフォルトゲートウェイにしたらルーターのルーティングで無理だと思うんですよね。
ルーターはVPNは各拠点のトンネル、インターネットはUTMのアドレスにルーティングするわけだから、UTMからインターネットにつなげてくれってルーティングしても、UTMにまたルーティングするだけですよね。
仮にできたとして、折り返しの通信でUTMからきた通信だけlan2にとばすんであれば折り返しは出来ない気がするし。
|
---[ONU]---[RTX]--->LAN
なんか盛大にズレる気がするけどこんなつなぎ方ではだめ?
UTMでNATしてアドレス書き換えりゃ楽勝
けどUTMからルータに戻す必要無くね?
フレッツ1本で全部やりたいとかなら面白そうな案件だな
---[ONU]---[UTM]---[RTX]---本部LAN
これでダメなの?
VPN(カプセル化パケット ==== )は
論理経路
====>onu===>utm===>rtx(カプセル処理。rtx内部で折り返し)---->utm---->onu---->
これでいいんじゃないの?
UTMの処理速度が問題になった場合にだけ極力ボトルネック減らすなら
---[ONU]----(1)----[UTM]---[RTX]---本部LAN
| |
+-------(2)------------+
VPN(カプセル化パケット ==== )は
====>onu==(2)==>rtx---->utm--(1)-->onu---->
ってやればカプセル化パケットは(2)を通るようにすれば、UTMを通らないのでUTMの負荷は少なくなるかな
拠点
-[ルーター]--[ONU]--vpnワイド-
本社
-[ONU]-[HUB]-[VPNルーター]-本社ネットワーク
|--[インターネットルーター]-[UTM]--|
VPNルーターのLAN3を使ってUTMとインターネットルーター用の別セグメントをたててる。
コスト削減とUTMを拠点に買いたくないのため、拠点はプロバイダー解約してVPNワイドにしてる感じ。
フレッツ1契約で纏めつつ機器もごちゃつかせたくないってのが本音で
-[ONU]-[VPNルーター]-本社ネットワーク
|--[UTM]--|
こんなイメージで、VPNルーターのLAN1からUTMのLANに通し、UTMのWANからVPNルーターのLAN3に返す、インターネットとVPNはLAN2に任せる。
なんてことが出来たらほんと理想的。
VPNワイドあれば拠点のISP代削れるからな
それよりもお客さん、そんなちょびちょびしたのケチるなら、ひかり電話専用ONUと共用したら?
なんて現場もそこそこある。5人ぐらいしかいない拠点だったりするのに
---[ONU]---[ルータ(NAT)]---[透過UTM]---[RTX]--->LAN
こんなふうに繋いで
最上流のルータではUDP500とESPをRTXに静的マスカレード
RTXでIPsec。RTXではNATディスクリプタ書かなくてもいい
UTMにはUDP500とESPは素通しするポリシーを最上位に入れておくこと
もっともNGNだから安心!なんてことは企業識別子わかってしまえばそんなことないという話は重々承知ですがISP経由よりはリスクが低いと言うことでご了承いただければと思います。
この場合ですとプロバイダー情報はRTXではなくルーターになりますよね?
そうするとルーターをRTXにしないとnetvolanteが使えないですよね。。
回線に紐づいていると思ったけど?
VPNワイドは1800円だから、これ2拠点分にワンコインISPでも4100円
固定IPアドレスのISP2拠点なら2200円あたり
もしかして拠点側はRTXじゃないとか?
そもそもIPsec使えないルータ?
拠点がRTX830で本社がRTX1210ですのでIPSECは設定可能です。
ただしISP経由で外部からアクセス可能である以上拠点でISPを使うのであればセキュリティ対策は必要かと思います。
VPN通信以外フィルタリングするという話は一度提案しましたが駄目でした。
>>708
V6オプションでのVPNはやっていたのですが、トラブル時にNTTでは対応していただけなく、またサポート窓口がないため、トラブル時のリスクが高いとのことでVPNワイドになりました。
ということであれば >>698 の通りの現状の構成がベストだと思う
こうやればいい
---[ONU]---[RTX]--(1)--[UTM]--(2)--[HUB]--------本部LAN
| |
+-----------(3)----------+
拠点LAN VPN ======onu====rtx----(3)-----(hub)----本部LAN
拠点LAN VPN ======onu====rtx----(3)-----(hub)----utm ---rtx----onu---インターネット
(3)に繋いだRTXのプライベートアドレスの処理は
NATでも、逆NATでも、192.168.0.xxx/32を振るでもいくらでもお好きに。
RTXのルーティングってどのように設定すればよろしいのでしょうか、またこの構成だと社内LANからUTM経由しないで通信する経路もありますがそこのルーティングはどの機械がやるのでしょうか?
UTMを通ってない(3)から外部へのパケットはRTXのフィルタリングで落せばいい。VPNのパケットはスルーで。
言葉足らずですみません。
インターネットはUTMへ、VPNは(3)経由でRTXへっていうルーティングテーブルを管理する機械が見あたらない気がします。
パソコン一台一台にルートコマンドでVPNセグメントはRTXのアドレス、それ以外はUTMセグメントのRTXノアドレスとか設定すれば出来そうだけだ、RTXに設定するのではそもそもRTXに到達するまでのルーティング制御する機械がわからないです。
proxyarp
UTM、一箇所のほうが管理コストは下げられますもんね。
VPNワイドの2000円弱なんて端金だし、ISP 経由で IPSec 張る必要がないのはメリット
やってみましたがそもそも外にでれなかったです。
本社PCを192.168.1.10に設定
拠点PCを192.168.2.10に設定
拠点RTXを192.168.2.1に設定
UTMを192.168.1.100に設定
本社RTXをLAN1に192.168.1.1に設定
LAN2はVPNワイド、プロバイダー用
RTXのデフォルトゲートウェイをpp1にすれば当然本社は繋がるけど支店はUTMを経由せず。
デフォルトゲートウェイをUTMのアドレスにしたらインターネットでれず。
本社RTXのLAN3を(3)ルート用で192.168.10.1に設定してUTMに(3)ルート用のip192.168.10.100をDMZポートに設定して、RTXのルーティングをUTMのDMZポートのIPでフィルタリング型ルーティングでUTM発の通信をpp1にしてみればできるのでしょうか。
でもこれだと本社も一度ルーターいってからUTMに迂回してインターネット出ることになりますよね。
UTMの仕様が分からないと何とも
エスパーではないので良く分からないのですが、
「UTMでNAT使う」と書いてあるということは、(1)と(2)を別セグメントにできるということですか?
それならきちんと設定すれば問題なく使えると思います。
本社RTXのLAN3を(3)ルート用で192.168.10.1に設定して
UTMの(1)側のIPを192.168.1.100、UTMの(2)側のIPを192.168.10.100にして
本社のPCを192.168.「10」.10に変更して
本社RTXのルーティング的には始点:拠点PC−−>終点:外部ネットは
ip route default gateway pp 1 filter 100000 gateway 192.168.10.100
ip filter 100000 pass 192.168.2.0/24 * * * *
# VPN
ip route 192.168.2.0/24 gateway tunnel 1
で、本社PCのルーティングが面倒な件ですが、
DHCPを使ってる場合は、Classless Static Routes optionを使えば解決できます。
192.168.2.0/24へのパケットを LAN3「192.168.10.1」にルーディングする場合は16進数にして
C0:A8:02:00/18 をC0:A8:0A:01なので
dhcp scope option 100001 121=18,C0,A8,02,00,C0,A8,0A,01
とか追加してあげればいいと思います。
DHCPを使って無かったりダメな端末がいる場合はまた別の方法があります。proxyarpとか。
もちろん端末全部手動でやる方法もありますが。
説明不十分ですみません。
機械はSophosのxg105を使用しております。
機器仕様はメーカーのホームページやマニュアルを見ていただくしかないので説明は難しいですね。
>>721
確認しましたら(1)と(2)を別セグメントにすることはブリッジモードで出来ませんでした。
あくまでブリッジでスルーする時にUTMのアドレスを送信元に設定できるというだけです。
ですので、UTMのポート1と2でブリッジ、ポート3と4でブリッジに設定しそれぞれの出口を設定
ip route default gateway 192.168.10.100 filter 100000 gateway pp1
ip filter 100000 pass 192.168.10.100/32 * * * *
とかやるしかないのかなって思います。
--(1)--[UTM]--(2)--の
1と2は別々のIPアドレスを指定できますか?
192.168.1.2と192.168.1.2とか
ここの8ページを見る限りできそうなのですが。
https://www.sophos.com/ja-jp/medialibrary/PDFs/japan/support-documents/xgfw-ed-br-mode-jp.ashx
あとアドレス書き換えはWAN側のアドレスを使うのですよね?
192.168.1.1と192.168.1.2とか
http://www.rtpro.yamaha.co.jp/RT/docs/example/local-ip.html#6
---[ONU]---[RTX]-lan3-(1)--[UTM]--(2)--[HUB]--------本部LAN
| |
lan1-----------(3)----------+
RTX
LAN3 192.168.1.252/31
LAN2 IP無し
LAN1 192.168.1.1/24
UTM WAN 192.168.1.253/24
UTM LAN 192.168.1.2/24
ip route default gateway 192.168.1.2/24 filter 100000 gateway pp 1
ip filter 100000 pass 192.168.2.0/24 * * * *
ip route 192.168.2.0/24 gateway tunnel 1
ip lan1 proxyarp off
ip lan3 proxyarp off
本部PCに以下のルートを追加 DHCP等で
同じ設定をUTMにも
192.168.2.0/24宛ては192.168.1.1に
金ケチってるが故の変な構成は何の役にも立たん
とらぶった時に解決できなんじゃね?
8ページのIP設定は最初のアクティベーションを行うためにルーターモードで一時的につなぐ設定の為であり、
目的のブリッジモードで使用するための実際の設定は12〜13ページにあるとおり、LANポートとWANポートのポート番号決めてそこを通るためのIPを1つ割り当てるのしかできないんです。
>>725
明日この構成を組んでみます。
この設定のままだと拠点はルーターに入ったらフィルタルールに従ってそのままpp1で外に出てしまうと思うのでgatewayを逆に書けばいい感じですよね。
本部LANの端末IPはLAN1のサブネットマスクの範囲外にすれば自ずとUTMに飛ぶからそのままで大丈夫でVPNのルーティングはルーター任せでも平気な気はしますね。
>>726
申し訳ありません。
自分でわからないなりにここの先輩方にご教授いただきながら知識として身につけていこうと思っていましたがその考えが甘えだったみたいで。
自分で勉強して駄目ならRTX素直に買ってセグメント増やして使うようにします。
>>727
トラブル対応も出来るようにするために設定の方法を実機で動きを確認しながらやっておりましたが、身の丈に合わないことはやめておきます。
お見苦しい姿を見せてしまい申し訳ありませんでした。
変態構成になって運用が大変になる
変態WAN構成で、一説にはCCIEのラボの方が簡単では?と言われる
俺が担当したやつを見せてやりたい
勝手にケーブル抜く糞野郎すらいるけど
拠点側に気軽に行けないから、トラブルシュートすら大変だよ
なにが何もしてないだよ
どうやったら、そんなふうに、
複数行にまたがったアスキーイラストが描けるの?
ずれないのはどうして?
そろそろWiFi内蔵ルータ復活させても良いと思う
まあでもWLX302と202で懲りたからヤマハのWiFiは買わんけど
AA editor使え
何かよくなかったの?
オフィスと家と実家とで三台使ってる限りでは特に不満無し。オフィスの方はぶら下がる台数が何だかんだ多いのか、たまに詰まるような症状に見舞われることもあるけど、近隣他社とチャンネルが輻輳しまくってるし、そもそも環境がよくないからなぁ。
うちも特に不具合ないが、不満点はAP一括管理がセグメント変わるとだめな点。wifi設定統一したくても、拠点とかでセグメント変わるとだめ。
IPv6(v6プラス)と、IPv4(PPPoE)の設定を入れて
内部からインターネットにアクセスするときは、IPv6 の接続で通信
外部から IPv4アドレスにアクセス来たときは、許可した設定で内部にアクセス可能にする
なんてことは可能でしょうか?
MAP-EはIPv4だがな
サーバーのIPアドレスとポート番号をフィルターに設定して
フィルター型ルーティングでPPPoEに流すようにすればOK
内側からインターネットにアクセスする時にどの経路を通すかを制御するのには必要だけど。
話が全然噛み合ってねえ・・・
役に立たんし面白くもない
私も10年前は本物の素人だった。
このスレに随分助けてもらいました。
おう!何も問題なく運用出来てるぞ
お前らもたまには役に立つな
褒めて使わす
外部からの着信には同じ経路を逆に辿って返信しなきゃな
NATとかあるしIPアドレスが違う所から返信するような事にならないために
なんとかandroidでVPN接続できるようになりました。
ただ、PCからはうまくアクセスできません。
YMS- VPN8 で接続に失敗します。
原因としては何が考えられるでしょうか。
むしろそのためにあんなフリーソフトみたいなUIのソフト客に売ってるんだしな
ユーザー名って何入れればいいのこれ・・・
空欄
パスワードだけ入れる
RTX1210ぐらいまではサポートがIE限定だったような。
administrator
ありがとう。
影響うけたわー
PC から接続できなかった理由でした。
Galaxy s9 からは問題なく接続できたのにね
PCのほうが対応が弱いって意外
流石はSLA無しのサービス
業務で使えるレベルじゃないな
スマホの暗号化とPCの暗号化ではどう考えてもスマホの方が必要性が高い
Linuxは5.0で正式にChaCha20に対応してきたし
スマホはあと1年・2年でAESを捨てて来るんじゃね
RTX1200も、RTX1210も、
RTX57iでさえ、
Chromeでつかえているぞ。
これって、yamahaは、
バックアップから復旧させているということなのかな。
根本的な解決をしないと、また同じ問題が起こるのではないか?
3/11に会社〜自宅のVPNが回復しなかった原因はそれか
Chromeでパスワード要求出なかったかパスワード通らないみたいな経験あるな。バージョンの問題とかありそうだけど
複数のお客に怒鳴られた
怒鳴り返せ
LinuxだろうとMACだろうとスマホの方が必要性が高い
業務でDDNSなんてあり得ない
しかも無料とか
客に使えなくなる可能性があるということを言ってなかったり
使えなかったときの対処法を客に教えてなかったり
別のDDNSサービスを使って経路の冗長化をやってなかったりしたら怒られて当然かもしれない
ヤマハのDDNSなんか過去に何回も障害が起こってるんだから
障害が起こっても大丈夫なようにやってるのが普通でしょ
復旧日時3月11日ってなってるけどどうみてもログ上は12日あたりまで障害起きてたよなと思ったらしれっとサイト書き換えてやがるし
>netvolante.jpドメインの名前解決に失敗する
こんなの書いてなかったろ。
最近年1回ぐらいでつながらない系の障害起きてるんだよなぁ。
ASAHIネットの固定IP800円ぐらいだし、OCNメールも調子悪いから入れ換え提案しちまうかな・・・・
って第一候補が失敗したら第二で接続とか
そういう障害対策してほしい
ISDN契約維持費考えたらLTEドングルで十分なんだよなぁ
いっそ、RTX1220Wみたいな専用製品つくって、LTEドングル内蔵品(アンテナ外付対応)を出して欲しい
どうせドングルぶらぶらして外れちゃったりしてるし
トンネル用ルーティングどうしようと思ってたけど
http://www.rtpro.yamaha.co.jp/RT/docs/example/backup/vpn_backup_example8.html#rt1
が一番楽そう。
頭悪い俺用メモ(本社、1拠点)
〓本社側
・トンネル2作成
既存トンネル1のremote nameを変えたもの
例:ipsec ike remote name 2 kyoten-backup key-id
・バックアップ設定追加
tunnel select 1 (既存トンネル)
tunnel backup tunnel 2 switch-interface=on
〓拠点側
・トンネル2作成
ipsec ike remote address 2 <※本社DDNSホスト名>
ipsec ike local name 2 kyoten-backup key-id
※本社にある監視カメラとか独自に取得してるDDNSホスト名
DiCEをサーバに仕込んでもいいかも
・バックアップ設定追加
tunnel select 1 (既存トンネル)
tunnel backup tunnel 2 switch-interface=on
〓障害試験
no ipsec ike remote address 1を実行して1分ぐらい待つ
ip filter 100 pass * * udp * *
こんな感じでUDPの全IP・全ポート開放してくれ
と言われたんだが・・・
ip filter 10 reject * * udp,tcp 135 *
ip filter 20 reject * * udp,tcp * 135
ip filter 30 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 40 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 50 reject * * udp,tcp 445 *
ip filter 60 reject * * udp,tcp * 445
が有れば問題(リスク)ないのかな?
一番の問題は、会議システム販売業者も商品よくわかってない&会議システム使う社長あたりが とにかく使えるようにしろ!って指示してくることなんだよな
社長の指示だからいっか!
>>786 TCP:443とUDP:5000 IP固定(公開マッチングサーバー)の開放は必須なんです
まぁこれは納得できるので設定するのは問題ないんです
ただ、動画品質を上げる場合ピアtoピアで上記サーバーを経由しないパスを通すために
UDP 不特定なんで全IP 不特定なんで全ポート 空けてほしいらしく・・・
んでこの製品のウリがその品質で、低品質なら他社でもっと安いのもあるし・・・
上の方で決まりそうな事案で、決定した場合設定しないで済まされるか微妙なんですよね
せめて1024ポート番以下を除外とかしてくれるといいんですが
仕様書には全ポート開放なのでどうしたもんかと・・・
自分でやれ!って逆ギレろ
会議システムのmacアドレスでip固定しろよ
NAT内でもネットワークアドレス変えれば被害は広がらん
国産の監視カメラで、80/tcp開けてくれとか
前世紀感覚なんだろうなって思う。
そういや、ヤマハルータのウィザードテンプレにnetmeetingのポート開放入ってたっけ
http://www.rtpro.yamaha.co.jp/RT/docs/game/network-application.html
導入済みTV会議システムの製品仕様を開示しない糞とかあったり
・動画なので安心!
って意味不明なのあるよな
スマホのカメラハックで大問題になってるのに
時代錯誤というか20年前のまま時が止まってるのかとw
VPNでなんとかならんの?
てか固定IPアドレスをその会議システムに割り当てないなら
静的NAT必須じゃね?
何カ所と会議するのかしらんけど
FQDNでPASSフィルタかけれんの?
OEM元の資料とか型番でいいからよこしてくれればこっちで調べようがあるんだが独自開発とか言い張るし
最大6か所が相互にP2P接続してメッシュネットワークになるんですよ
マッチングサーバーが居るのでNAS/IPマスカレード的な設定は要らないと思う
あと接続先は不特定多数の顧客サポートに利用するつもりらしく
VPNは無理かなぁと
デモ機借りてみれば?
マッチングサーバーを経由しないP2P接続ならどっちかが静的NAT設定はいるでしょ?
会議システムにグローバルアドレス割り当ててるの?
まぁ、普通そうだよねw
クラウド側からじゃなく社内側から接続始まるからDynamicFilterの範囲だよね
それP2Pの相手側も同じなら接続できんだろう
あーそうかマッチングサーバいるのか
TV会議の端末が1台ならマッチングサーバにIPアドレスと空いてるポート番号通知で済むけど、サポート対応だと台数多いから、マキシマムで開けとかないとダメじゃないの?
5ch.netだけpp1(ipv4 over PPPoE)使いたいけどどうすればいいんだろ
まぁ相手がcloudflareだからキレイに5chだけにはならんだろうが
フィルタ型ルーティング
ip filter 300001 pass-log * 5ch.net,*.5ch.net,*.*.5ch.net
ip forward filter 100 1 gateway pp 1 filter 300001
これ使ってるけど、なぜかメインで使ってるパソコン以外は振り分けうまくしてくれない。
DNSの指定はルーターにしてる?
LAN内のパソコンからインターネット側やVPN先の外部に
tracerouteしたときに、応答しないようにしたいのですが、
pingには応答させたいのです。
下記の設定では、pingも応答なしとなってしまいます。
tracerouteだけ非応答にするにはどうすればよいですか?
行った設定
------------------------------------------------
LAN1のoutに
ip filter 11 reject * 192.168.0.0/24 icmp * *
https://www.iana.org/assignments/icmp-parameters/icmp-parameters.xhtml#icmp-parameters-types
type指定でどうにかできないか
どっちだったかはicmp echoの応答見てるでしょ。
pingと区別できないよ。
問題無いパソコンも問題あるパソコンもADに向いてる
ほんと謎
ip route default gateway pp 1 filter 300001 gateway tunnel 1
UNIX系のUDPのtracerouteにはどうやっても対応できないけど
Windows系ならICMPのtype11をフィルタしてみれ
UNIX系でもICMP type11を遮断でいける
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip pp secure filter in 22 11 2000
>>817
それでいけました。勉強になりました。ありがとう。
ip filter 2000 pass * * * * *
これが抜けてるね。これがないと暗黙のdenyが効いてしまうので。
ip filter 2000 reject * *
全部通したらザルになっちゃうw
それだとネット見れなくなるのでは?? >>819はザルなので、最終的にはこうか
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip filter 1001 reject 192.168.0.0/24 * * * *
ip filter 1002 reject * * udp,tcp 135 *
ip filter 1003 reject * * udp,tcp * 135
ip filter 1004 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1005 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1006 reject * * udp,tcp 445 *
ip filter 1007 reject * * udp,tcp * 445
ip filter 1008 pass * 192.168.0.0/24 icmp * *
ip filter 1009 pass * 192.168.0.0/24 tcp * ident
ip pp secure filter in 22 11 1001 1002 1003 1004 1005 1006 1007 1008 1009
俺も似たような問題で悩んでいる
運用上、だれも文句を言ってこないけど
なんか気持ち悪いんだよね
なぜドキュメントの制限事項を読まないのか
どうしたら解決できるかご教示いただけないでしょうか
コマンド書けよ
ソフトイーサのDDNSはインターネットから普通に使える
西同士ならちゃんと折り返しになるよ
SACM(SMF)@IIJとか使うんだよ
(特許とってるんでRTXとかでの対応は無理だろ)
だからRTXは諦めるのが吉
たまにIP変わって切断するのを容認できるならそこまで気にしなくてもいい
現状IPv6で固定IPを必要とするサービスを利用するなら
法人向けプロパイダで固定しているサービスと契約すればいい
半固定なんていう中途半端な契約で運用をしてはいけない
端末再起動
大手業者はLUAスクリプト入れてやってる。
https://flets-w.com/opt/v6option/
うちではちゃんと繋がったけど
RTX1200同士では遅くて捨てた
フレッツVPNワイドで80Mbpsくらいでてたのが3Mbpsくらいになった
残念、FQDNフィルターはRTX1200では使えなかった
結局
ip route 104.18.231.150/32 gateway pp 1
ip route 104.18.232.150/32 gateway pp 1
ip route 104.18.233.150/32 gateway pp 1
ip route 104.18.234.150/32 gateway pp 1
ip route 104.18.235.150/32 gateway pp 1
ip route 104.18.250.58/32 gateway pp 1
ip route 104.18.251.58/32 gateway pp 1
ip route 104.18.252.58/32 gateway pp 1
ip route 104.18.253.58/32 gateway pp 1
ip route 104.18.254.58/32 gateway pp 1
力業っぽくてやだけど
そこで質問ですがWANポートもLANポートとして使用できるのでしょうか?単にWANポートに同じセグメントのIPアドレスを振ってもダメでした。教えてください。
売ってハブ買ったら?
(LOCAL/IP.6) ネットワークの一部分を別セグメントにする(proxyarp)
http://www.rtpro.yamaha.co.jp/RT/docs/example/local-ip.html#6
だよなw
lan1 と lan2 両方をブリッジインターフェースに収容すればいいのでは?
CONFIG残っててフィルタに食われてるんじゃね
>たまにIP変わって
いままで変わったことないぞ。
HGWを置き換えたらプリフィックスごと変わったけどな。
しかも、大部サブネットを削られた。
最近は数年変わって無いけど
友達の家とつなぐ分にはそれで十分だけど業務には使えないわ
半固定はまれに変わるけど、俺は変わった、いや変わらない、って知恵遅れかよ
役立たずが
確率?
主流はIPv4だから場所的に余裕を持ってるんだと思う
PPPoEみたいな予約方式じゃないからね
ルータ負荷やばそうなんだけど
フィルタはIPプロトコル外だから使えないし
DHCPとか使えなくなるけど
DDNSに依存してしまうということだから、
故障確率が上がってしまう。
DDNSを弾けない場合には、IPv6で生アクセスを試みるプロセスも組み込みたいところ。
そんなことできるかな?
2セッションにして4と6を完全に独立させる
ログを見たところ
www = http + https
dns = domain
という認識であってる?
http://www.rtpro.yamaha.co.jp/RT/docs/misc/mnemonic.html
>666 doom Doomを覚えていますか?
ワラタ
勝手にニモニック置換しなくていいんだけどなぁ。素人がconfigいじるわけじゃないし
ありがとうございます
参考にします
>Doomを覚えていますか?
"
『DOOM』が仕事に対する重大な脅威となり、
オンライン対戦やシェアウェアのダウンロードによってネットワークが妨げられたとするいくつかの報告書が存在しており、
"
ウィキペディアより
ヤマハのこういう細かいところが好き。
いらなくても、要る。
それに、ニーモニックはあったほうがいいと思う。
icmpなんかニーモニックでいくつかをまとめてくれて便利だと思う。
FUSIONと比較して、通話料安くて良いんだが、050plusのみTLSだからね
コンソールケーブル接続時だけ使える有名なのはあるよ
上上下下左右左右BA
これを入力するとRTXシリーズでHSRPを喋れるようになる
DMVPNはどうすればしゃべれるようになりますか?
そんなことも知らねーのかよ・・・ゆとり乙
復活の呪文で 「ほりいゆう じえにつくすど らごくえす とだよ」 って入れれば良いんだよ
とりあえずアンダー草原で淫獣マリリスを大量に調教して淫度をどんどん稼いどけ。
展開が不安ならバックアップ取っておくのを忘れんなよ。説教くさくなってスマソ・・・。ついな・・・。
へー!
ありがとうございます!
当方管理者ではないのですが、現場でよくみかけるのですが判断できず。
どこの会社にもこういうおかしなのいるよね
ip filter 10000 reject * *
ip filter 20000 pass * *
ip filter dynamic 10025 192.168.1.0/24 * smtp
PP[01]
pp bind tunnel1
ip pp secure filter in 10000
ip pp secure filter out 20000 dynamic 10025
TUNNEL[1]
ip tunnel secure filter in 10000
ip tunnel secure filter out 20000
と設定しています
この状態で動的フィルタ(10025番)が反応することはするのですが
その前にフィルタ番号10000番で拒否されてしまいます
回避方法としてPP[01]のinに対してestablishedパケットを許可するしかないのでしょうか?
むしろ理由も知らずに断定はおかしいだろ。
こういう手合いが思い込みで変な構築するんだろうな。
盗みたい以外の理由が見当たらん。
でもNVR500なんて今更何の役にもたたんだろうしやっぱり意味不明
怪しげな質問してる奴とidの出方が一緒だけど、心当たり有る?
ほんとに何したいんだ?
なんで管理者じゃないのにそんなの知りたいの?
管理者なら管理画面からわかるだろ。
怖すぎ!
ただ単にセッションプラスが必要になるかを数えたいから
管理者に聞く前に知る方法を聞きたかったんだが。
なんでppとtunnel両方にフィルター設定してるの?
ルーター(L3)のスレはここです。
NVR500なら音鳴るけどわからんな。
レスありがとうございます
PPとTUNNELどちらのフィルタを外すのがいいのでしょうか?
PP側を外してみたりTUNNEN側を外してみたりしましたが改善しませんでした
PP-TUNNELがらみの動的フィルタのことがよくわかっていないので
根本的に間違っているかもしれません
icmpと、udp 500に対するアクセスがある。
リジェクトフィルタは効いているが、よく、128bitもの長さのあるアドレスを見つけ出されたものだと思う。
どこかで漏れているのかな。
気分悪い。
みなさん、IPv6だからといって手を抜かないように。
それにAllパスのフィルターにパスのsmtp入れて何がしたいのかもようわからん
outがALLパスなら それ以上ダイナミックにする必要もなかろう
んで、なんでout方向の10025がin方向のフィルターで拒絶されるんだよ?
前にもなにも、in方向ですべて閉じてりゃなにやっても無駄だろ?
多分設定の一部なんだとは思うけど「その設定の利用場面」が想像しにくいんだよね
何がしたいかようわからんので拠点間の構成ぐらい説明しなよ
釣りと同じだよ…
超ランダムすぎてピンポイントで当たらないだろうなーって思うもん。
フレッツ網内なんかでやったら絶対どこかの共有フォルダ見れちゃうんじゃないかってドキドキしてるわ
それはない。下位64bitにはLAN3のMACアドレスが織り込まれている。
>>894
それなんですよ。
>>892
udp 500へのトライがある。
IPフィルタリングしているから大丈夫だけど。
外向きのパケットは残さず全部dropしてるマンなの??
だから釣りみたいなものだと言ってるのに
うちだってチャイナテレコムのipからピンポイントにノックされてるよ
実は、そもそもIPv6はIPsec専用としてRTXのLANにしか割当てていないんです。
RTXは下位にプリフィックスを広告していません。
しかしだとすると、途中の経路で情報が収集されているかもしれないなあ。
チャイナテレコムはアクセス情報を売っているんですか?
たぶんL2TP/IPsecかPPTPなんだろう
フィルターはPPだけで良いのかな?
show ip routeをすると経路がpp[anonymous]って出るし
・・・というか、常に情報収集されてると思った方が良い
Proxy経由したいところだな
なんか中小企業に売りやすい商品が欲しい。
L3SWとか正直いらない。激安で遠隔電源リセットできる程度の島HUBがあれば十分
まとめて売っちゃうから
ひかり電話も使うとき、 フレッツ網内 v6 でも色々と遊ぶ場合、
HGW 一体型のほうがいいのか、ONU とひかり電話と別体のほうがいいのか、どっちがお薦めですか
エリアは西です。
ちなみに、隼じゃなくてハイスピードに留めてとこうと思ってます
>隼じゃなくてハイスピードに留めて
どうして?
905じゃないけどVPNワイドを使うんじゃね
値段が全然違う
のんびりし過ぎじゃね?
コンシューマー向けの商売じゃないし、エンタープライズ製品ならこんなもんだよ。
1. センタールーター(RTX5k / 3k)
2. VPNマルチポートルーター(RTX12x0)
3. 無線LAN(WLX)
4. ハイアマ/SOHOルーター(NVR)
5. 拠点ルーター(RTX8x0)
家庭用のルーターにしたって有線モデルなんて10年放置どころか開発中止も多いだろうに
無線は規格が更新していくので対応も必要だろうけど
有線は既存機で対応できないような大きな変化はないからな
ファームアップがしばしばある。
機能改善。
ハードでなく、ソフトも大切。
一般でも無くエンタープライズでも無い所がターゲットなのがヤマハだと思うw
tftp host 192.168.0.0-192.168.255.254
通らないのね。ちょっと意外
むしろそれを知らなかったわ。
むしろ、アクセスを禁止する範囲を設定したい。
filterに制御させるようにすればいいんだろうけど、たぶんそういうコードで作ってなさそう
自分でfilterで制御させる場合、
名前解決(udp 53)とか、DHCP関係とか、通さないといけないものがあるので、
フィルタ方法に注意が必要だな。
ip filter reject ネットワークアドレス RTXアドレス tcp * telnet
ip filter pass * *
のようにパスフィルタも忘れないようにしないといけないな。
ルーターのならできるだろ
隼でも実際には200M超えること滅多にないと思うし、
みんな隼だから、むしろハイスピードのほうがバックボーン空いてるんじゃないのかという期待。。
混雑時間帯は ADSL並、って聞いてますが、200M 超えれるんですか?
200M 超えるのが未明限定だったら要らないし。。。
全部ひっくるめてエリアとISPに依る、じゃないかなぁ。
隼とハイスピードの設備が一緒か別れてるかも含めて。
西だけどフレッツ隼 RTX1200のIPv4 PPPoE接続で400Mbpsくらい出てるな
ギガ使ってるとこなら450Mbpsは平均で出てるし、ルーター間pingで2msで応答返ってくる。
v6のIPアドレス特定はどうしてる?
固定と仮定して設計してる?
まあ、ipでも変わらんだろうが
DDNSだからOK なんて言ってる管理者がいたら素人前に付けろ
netvolante-dns go lan* (auto)
↓
[DDNS] 105 Hostname error.
がログに記録されて、いまも go を試行したところ同じエラーが出てDDNS登録できていない
(名前解決しない)んだけど障害でもないよね。
同様の症状が出ている方いません?
マジ・・・
休み中に*また*障害起きてるのか
設定ミスってるルータがあって8時間で絶対切れる拠点あるけど終わってそう
HostnameやServerを替えて試行しているけど同様。
なんだろう。うちだけかな。
>>945
教えて君でごめん。
いわれてみれば、と利用廃止を検討したいんだけど、どんな代替策がある?
2019/05/03 11:14:39: [DDNS] netvolante-dns go PP[01] (auto)
2019/05/03 11:14:40: [DDNS] Update succeeded
いまは通るな。前の障害のときは一部通らずだったからホストが一部落ちてるんだろうな
>>783書いたの俺だけどこの辺使ってみるといい
schedule at 1 */* *:*:1 * lua -e "rt.httprequest({url=\"http://ieserver.net/cgi-bin/dip.cgi\?username=USERID&password=PASSW0RD&domain=dip.jp&updatehost=1\",method=\"GET\"})"
schedule at 1 */* *:*:1 * lua -e "rt.httprequest({url=\"http://f5.si/update.php\?domain=DDNSHOSTNAME&password=PASSW0RD\",method=\"GET\"})"
なんて技でもいいけど。どうせパスワードなんてconfig見られた時点で見られたようなもんだし
情報ありがとう。こっちはまだ
11:35:10: [DDNS] Hostname error
.なんで、うちの問題っぽいかな…。
>>949
それもDDNSに変わりないのでは…
プロバイダーが提供しているDDNSサービス使うとか
たしかぷららで使えたと思った
出来るなら、RTX810をRTX830に置き換えたい。
V6でやれよ
ipq.jp のV6プラスなら全ポート使えるしV4は固定IP
固定1でも逆引きできるプロパイダもあれば
最低IPx4じゃないと受け付けないプロパイダもある
会社の規模やBtoB構成によっては中途半端にクラウド化できない場合もある
どうしてなんだ
専業で管理できるならいいけど
何かやらかしそうだったから他所に丸投げした
あんなもの一人では管理できんよ他の業務もやりながらだと
NATの使えるルーターもまだ高価すぎてFreeBSD 2.xぐらいのPCルータでやってたわ
ヤマハのルータが出てきてからは本当に助かった
イライラしっぱなしだったわ
結局postfixにした
メールサーバーで逆引きチェックなんてしてたら
届かないメールがあるとかで苦情くるから結局やらなかったわ
って思い出語るスレ?
https://network.yamaha.com/support/notice/fwx120_unsavable
弊社製ファイアウォール「FWX120」におきまして、設定情報やファームウェアの保存ができない不具合が発生することが判明いたしました。
こんなお知らせあったのか
netstatで調べてみると、通信中のTCPポートは開いていた。
RTXのように動的フィルタが動作しているものだと思っていたので、意外だった。
大丈夫なものなんだろうか。
プロセス内で動的フィルタ相当の処理がされているのなら大丈夫なんだろうけどね。
ソケットを勉強したまえ
それ以前にスレ違い
ソケットはプロセスに繋がっている。
RTXなどがあれば、あらかじめ動的フィルタで意図しない通信が防げるが、
Andoroidにはそういうパケットフィルタが備えられていないみたいなので、
ソケットが剥き出しになっているということですよね。
それとも、そのソケットは全OSで共通に対策機構を継承しているっていうの?
AndroidでVPNを有効化すると、
Androidは、udp500、Espパケットしかうけつけなくなるのかな?
それ以外のポートが開かなくなるのだろうか。
接続先にRTXがあれば、そこでインターネット接続をフィルタリングで制御すればいいことになるよね。
それはわかっているんです
待ち受けポートは無いと思うけど
wifiで接続していないキャリア接続の時に外部からポートスキャンでもかけてみたら?
クライアントがサーバー側との通信の為に開いているポートは
TCPならセッションハイジャックとかしないと無理じゃね?
フィルター関係なしに
サーバーとして開くポートとクライアントとして開くポートは理解したほうがよろしいよ
そこで割当たったアドレスに対しポートスキャンでもかけてみては?
仮にRTとかでフィルターかけてるから大丈夫だい!って説明されても
ホテルとかの無料wifiとかで繋げば丸腰になってしまうし
内部攻撃に対してひどく脆弱な存在になってしまう
目から鱗です。
サーバーが開いているポートと違って、クライアントが開いているポートへのアクセスは、
セッションハイジャック技術が必要になると聞き安心しました。
そう言えば、ちょっと前に、LinuxにTCPに関する脆弱性があって、セッションハイジャックできる問題がありましたよね。
Andoroidもその影響を受けたという記事を見つけました。
TCPプロトコルによってクライアントは保護されているということが言えるのかもしれませんね。
>>977
こんど固定IPのSIMをAndoroidにつけてみて、ポートスキャンテストしてみます。
>>978
RTXに応用できます。
たとえば、NATが開いているポートは節穴で、パケットを内側マシンに通しているだけで、
TCP制御とは関係なさそうですね。
>>979
うん こ?←構
うん ち?←築
>>980
はい。Androidを通して得たTCPポートに関する考察を、RTXに活かすことができます。
RTXをネットワークに設置して、動的フィルタを置くことで、無用なセッションハイジャック攻撃を避けられるのだと思います。
OSのアップデートに神経質にならなくても良いのかもしれません。
一方、AndroidにはRTXのような防御壁がないので、
クライアントのポートに対するセッションハイジャックのような攻撃をされないように、
アップデートが肝要になるということが言えると思います。
時事ネタは中小企業の経営層への説明に有利なんだぜ
FortiGateとか推す奴ら、なにから自分を守りたいのか分かってないの多いんだよな
RTXでは何一つ守れないし可視化もできないよ
syslogやSNMPをいくら集めて解析しても無理だからね
だからこそ、大手の顧客はUTMの導入実績の有無を確認する
未導入なら取引停止 それだけの事
そういう意味で、UTMは「仕事を守るため」に必要なんだよ
実際の脅威から守るのではなく「顧客からの要件を満たす」為に必要
もう、Windowsアップデートやってます、アンチウイルス入れてます
だけでは顧客は納得しない時代になったんだよ
パケットフィルタぐらいできるだろw
何一つ出来ないってお前こそ白痴か?
白痴かお前は?
あと公の入札案件でも増えてきた
ソフト更新・管理・保守をリモートで行う必要がある案件だね
2年前まではここまで厳しくなかったけど
・PCI-DSS
・マイナンバーカード
このキーワードが聞こえ始めたころから
UTM要求が増えてきた感触がある
まぁ規模感もあるとは思うけど、そういう顧客の仕事をするなら
パロは結構高いけど、フォーティーは安いの有るし
RTXの下でも交換でも良いけど検討し始めた方が良いんじゃね
士業とかに売れる売れる
ISO好きなとことかPマーク持ってるとことか。
FWX120でどこまでできるかなーって思ったら大したことなくてFortiGateバンドルで売ってるわ
みんな変なサイトとかアクセスしないから、全然ひっかからない。
ログ見るとひっかかっているのは全部自分宛てに来たメールに添付のウイルスだったりする。
実感としてFortigateでひっかけてくれるのは、Windows Defenderと同レベルの感じなんだが、
Windows Defenderよりも性能いいの?
まあ、同じレベルであったとしても、とりあえず入れておけば言い訳になるから、何らかのUTMは結局入れるんだが。
ちなみに、親会社ではFireEyeを入れているけど、ウイルス感染のPCが出て大騒ぎになっていた。
アンチウイルスはどうでもいいというかそれは別のもので対応する
アプリの可視化がUTMのメインでレポート機能の善し悪しが重要視される
だから、そこを強化してきたフォーティーとパロアルトがおすすめされる
性能なんかどうでもいいというか・・・
未対策はどんな言い訳してもダメ、対策してればとりあえずどれでもいい
って感じ
んで、アンチウイルスは
・ファイルIOをトリガに検知するタイプ
はもう役立たずかな、まぁあっても良いけどそれはWin標準のDefenderでいい
ファイルレスウイルスが増えてきてるのでファイルIOトリガ式は効果的じゃない
だから、パソコンは
1.おまじないレベルの WindowsDifender
2.ランサム・標的対策の Cylance的な奴
3.情報漏洩対策の SKYSEA/LanScopeCat/ISMCloudOneなど
+ UTM(NGFW)
+ 第三者認証
って感じになる
UTMあるからPCの対策いらねぇ〜 にはならんよ
あとは情シスがどんだけ、その手のトレンドを理解してるかだよ
webフィルタでpost系設定しとくと楽しくなるんじゃね。
社員のだれが、どんなネットアプリを、どれくらい使ったか
が判る
http://mao.5ch.net/test/read.cgi/network/1558571559/
新しいスレッドを立ててください。
life time: 358日 10時間 32分 31秒
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php
レス数が1000を超えています。これ以上書き込みはできません。
ニュース
- 慶應義塾長が国立大の学費増額を提言「年55万→150万に」 文科省の会合で [少考さん★]
- 埼玉の在日クルド人に差別や攻撃 県外からも電話「SNSで見た」 [少考さん★]
- 【芸能】トリンドル玲奈、ベリーショートのイメチェン後が「もうハリウッドセレブ」「美しさ増し増し」と大反響 [フォーエバー★]
- 【サッカー】U-23日本代表、UAE代表に完封勝ちで2連勝!日韓戦を前に決勝トーナメント進出を決める [久太郎★]
- 【理研】日本人の祖先は「縄文系」「関西系」「東北系」の3系統か、ゲノム分析で従来の説「縄文と弥生」に疑問 ★2 [樽悶★]
- ロシア出身YouTuber、経済的困窮で「国ガチャ失敗」?嘆く日本人を一喝「給料13万?自分のせいやん」日本を「大当たり」とする理由は [muffin★]
- AFC U23アジアカップ カタール2024★8
- AFC U23アジアカップ カタール2024★9
- AFC U23アジアカップ カタール2024★10
- 【フジテレビ】2024 FORMULA 1【NEXT】Lap269
- 【酒】日本vsUAE【U23アジアカップ】
- とらせん祝勝会 ★2
- 今日はキャンプしてくるね
- 5ch(旧2ch)で、のん(旧能年玲奈)が好きって書き込んで、X(旧Twitter)にポスト(旧ツイート)したら
- ドバイやばいの?
- 名前に「まちゃ」が入ってない人間、存在しない説
- 【悲報】キシオ暴走、衆院補選が敗北濃厚で最後っ屁か? [115996789]
- 昼休みに話しかけてくる上司、先輩