YAMAHA業務向けルーター運用構築スレッドPart21
■ このスレッドは過去ログ倉庫に格納されています
ちゃんと買ってるならヤマハがサポート窓口になる
むしろそのためにあんなフリーソフトみたいなUIのソフト客に売ってるんだしな TelnetでログインできるのにGUIだとログイン情報が違って弾かれる
ユーザー名って何入れればいいのこれ・・・ 違うWebブラウザを使う
RTX1210ぐらいまではサポートがIE限定だったような。 ユーザー名空欄で、なおかつchromeじゃダメでIEでOKですた
ありがとう。 L2TP接続のVPN作るとき AES256 と SHA256 選んでたのが
PC から接続できなかった理由でした。
Galaxy s9 からは問題なく接続できたのにね
PCのほうが対応が弱いって意外 VistaのときにMS-CHAPv2必須とかケチなこと言いだして古いルータ非対応にさせたくせになぁ・・・ >>760
流石はSLA無しのサービス
業務で使えるレベルじゃないな >>761 意外でも何でもないだろ?
スマホの暗号化とPCの暗号化ではどう考えてもスマホの方が必要性が高い
Linuxは5.0で正式にChaCha20に対応してきたし
スマホはあと1年・2年でAESを捨てて来るんじゃね >>759
RTX1200も、RTX1210も、
RTX57iでさえ、
Chromeでつかえているぞ。 >>760
これって、yamahaは、
バックアップから復旧させているということなのかな。
根本的な解決をしないと、また同じ問題が起こるのではないか? >>760
3/11に会社〜自宅のVPNが回復しなかった原因はそれか >>767
Chromeでパスワード要求出なかったかパスワード通らないみたいな経験あるな。バージョンの問題とかありそうだけど >>766 PCで合ってるだろ?
LinuxだろうとMACだろうとスマホの方が必要性が高い 対応してる暗号の種類っていう意味ならOSとかそれ上で動かすソフトによるだけ >>764
業務でDDNSなんてあり得ない
しかも無料とか >>771
客に使えなくなる可能性があるということを言ってなかったり
使えなかったときの対処法を客に教えてなかったり
別のDDNSサービスを使って経路の冗長化をやってなかったりしたら怒られて当然かもしれない
ヤマハのDDNSなんか過去に何回も障害が起こってるんだから
障害が起こっても大丈夫なようにやってるのが普通でしょ 結局のところ固定グローバルIP契約してもらってるな >>771
復旧日時3月11日ってなってるけどどうみてもログ上は12日あたりまで障害起きてたよなと思ったらしれっとサイト書き換えてやがるし
>netvolante.jpドメインの名前解決に失敗する
こんなの書いてなかったろ。
最近年1回ぐらいでつながらない系の障害起きてるんだよなぁ。
ASAHIネットの固定IP800円ぐらいだし、OCNメールも調子悪いから入れ換え提案しちまうかな・・・・ ipsec ike remote address 1 第一候補 第二候補 第三候補
って第一候補が失敗したら第二で接続とか
そういう障害対策してほしい ディジタル通信モードは2024年1月で終了。
ISDN契約維持費考えたらLTEドングルで十分なんだよなぁ
いっそ、RTX1220Wみたいな専用製品つくって、LTEドングル内蔵品(アンテナ外付対応)を出して欲しい
どうせドングルぶらぶらして外れちゃったりしてるし >>779
トンネル用ルーティングどうしようと思ってたけど
http://www.rtpro.yamaha.co.jp/RT/docs/example/backup/vpn_backup_example8.html#rt1
が一番楽そう。
頭悪い俺用メモ(本社、1拠点)
〓本社側
・トンネル2作成
既存トンネル1のremote nameを変えたもの
例:ipsec ike remote name 2 kyoten-backup key-id
・バックアップ設定追加
tunnel select 1 (既存トンネル)
tunnel backup tunnel 2 switch-interface=on
〓拠点側
・トンネル2作成
ipsec ike remote address 2 <※本社DDNSホスト名>
ipsec ike local name 2 kyoten-backup key-id
※本社にある監視カメラとか独自に取得してるDDNSホスト名
DiCEをサーバに仕込んでもいいかも
・バックアップ設定追加
tunnel select 1 (既存トンネル)
tunnel backup tunnel 2 switch-interface=on
〓障害試験
no ipsec ike remote address 1を実行して1分ぐらい待つ とあるWEB会議システムで
ip filter 100 pass * * udp * *
こんな感じでUDPの全IP・全ポート開放してくれ
と言われたんだが・・・
ip filter 10 reject * * udp,tcp 135 *
ip filter 20 reject * * udp,tcp * 135
ip filter 30 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 40 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 50 reject * * udp,tcp 445 *
ip filter 60 reject * * udp,tcp * 445
が有れば問題(リスク)ないのかな? 最近だとUDP通らなきゃ443/tcpでなんとかしてくれるシステムあるけどな
一番の問題は、会議システム販売業者も商品よくわかってない&会議システム使う社長あたりが とにかく使えるようにしろ!って指示してくることなんだよな
社長の指示だからいっか! >784です
>>786 TCP:443とUDP:5000 IP固定(公開マッチングサーバー)の開放は必須なんです
まぁこれは納得できるので設定するのは問題ないんです
ただ、動画品質を上げる場合ピアtoピアで上記サーバーを経由しないパスを通すために
UDP 不特定なんで全IP 不特定なんで全ポート 空けてほしいらしく・・・
んでこの製品のウリがその品質で、低品質なら他社でもっと安いのもあるし・・・
上の方で決まりそうな事案で、決定した場合設定しないで済まされるか微妙なんですよね
せめて1024ポート番以下を除外とかしてくれるといいんですが
仕様書には全ポート開放なのでどうしたもんかと・・・ 上が言ってるからいいんだよ。一緒にUTMも買わないとダメって進言するパワーが会議システム屋にないのがつらいとこだな 何で全ip開放なんだよ
会議システムのmacアドレスでip固定しろよ
NAT内でもネットワークアドレス変えれば被害は広がらん 恐らくNAT越えまわりの仕様で最終的にUDPの不特定ポート使ってP2P通信をするんだろうけど普通のSTUNやTURNならサーバーの設定でポート範囲絞り込めるはずだけどな UDP:1024-65535とか平気で言ってくるからなぁ。
国産の監視カメラで、80/tcp開けてくれとか
前世紀感覚なんだろうなって思う。
そういや、ヤマハルータのウィザードテンプレにnetmeetingのポート開放入ってたっけ
http://www.rtpro.yamaha.co.jp/RT/docs/game/network-application.html web会議システムでrtpのポート範囲を数千単位で空ける事はある 大手のネームバリューで売ってるくせして
導入済みTV会議システムの製品仕様を開示しない糞とかあったり WEB会議系の売り文句のセキュリティ対策って
・動画なので安心!
って意味不明なのあるよな
スマホのカメラハックで大問題になってるのに
時代錯誤というか20年前のまま時が止まってるのかとw >>787
VPNでなんとかならんの?
てか固定IPアドレスをその会議システムに割り当てないなら
静的NAT必須じゃね?
何カ所と会議するのかしらんけど
FQDNでPASSフィルタかけれんの? そういう質問を業者に投げても回答が来ないんだぜ
OEM元の資料とか型番でいいからよこしてくれればこっちで調べようがあるんだが独自開発とか言い張るし >>797 お互いがマッチングサーバーにログインして利用するシステムで
最大6か所が相互にP2P接続してメッシュネットワークになるんですよ
マッチングサーバーが居るのでNAS/IPマスカレード的な設定は要らないと思う
あと接続先は不特定多数の顧客サポートに利用するつもりらしく
VPNは無理かなぁと 結局ポート開放なんてしなくても内側から接続しにいくから問題ないかもな
デモ機借りてみれば? >>799
マッチングサーバーを経由しないP2P接続ならどっちかが静的NAT設定はいるでしょ?
会議システムにグローバルアドレス割り当ててるの? >>800
まぁ、普通そうだよねw
クラウド側からじゃなく社内側から接続始まるからDynamicFilterの範囲だよね >>802
それP2Pの相手側も同じなら接続できんだろう 799 の話し方だと、799の場所が設置台数が多いからポート開けが必要ってことかなあ。
TV会議の端末が1台ならマッチングサーバにIPアドレスと空いてるポート番号通知で済むけど、サポート対応だと台数多いから、マキシマムで開けとかないとダメじゃないの? DS-Liteだと5chでずっと規制されっぱなしで面倒
5ch.netだけpp1(ipv4 over PPPoE)使いたいけどどうすればいいんだろ フィルタ書けばいい
まぁ相手がcloudflareだからキレイに5chだけにはならんだろうが >>806
ip filter 300001 pass-log * 5ch.net,*.5ch.net,*.*.5ch.net
ip forward filter 100 1 gateway pp 1 filter 300001
これ使ってるけど、なぜかメインで使ってるパソコン以外は振り分けうまくしてくれない。 相談です。
LAN内のパソコンからインターネット側やVPN先の外部に
tracerouteしたときに、応答しないようにしたいのですが、
pingには応答させたいのです。
下記の設定では、pingも応答なしとなってしまいます。
tracerouteだけ非応答にするにはどうすればよいですか?
行った設定
------------------------------------------------
LAN1のoutに
ip filter 11 reject * 192.168.0.0/24 icmp * * tracerouteってunix系とwindowsで実装が違うけど
どっちだったかはicmp echoの応答見てるでしょ。
pingと区別できないよ。 >>810
問題無いパソコンも問題あるパソコンもADに向いてる
ほんと謎 >>809
ip route default gateway pp 1 filter 300001 gateway tunnel 1 >>813
UNIX系のUDPのtracerouteにはどうやっても対応できないけど
Windows系ならICMPのtype11をフィルタしてみれ あ、ちょっとちがった
UNIX系でもICMP type11を遮断でいける
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip pp secure filter in 22 11 2000 811です。
>>817
それでいけました。勉強になりました。ありがとう。 >>817
ip filter 2000 pass * * * * *
これが抜けてるね。これがないと暗黙のdenyが効いてしまうので。 2000番は昔のrtproの設定例でよく出てきた全遮断のフィルタのつもりでした
ip filter 2000 reject * *
全部通したらザルになっちゃうw >>820
それだとネット見れなくなるのでは?? >>819はザルなので、最終的にはこうか
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip filter 1001 reject 192.168.0.0/24 * * * *
ip filter 1002 reject * * udp,tcp 135 *
ip filter 1003 reject * * udp,tcp * 135
ip filter 1004 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1005 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1006 reject * * udp,tcp 445 *
ip filter 1007 reject * * udp,tcp * 445
ip filter 1008 pass * 192.168.0.0/24 icmp * *
ip filter 1009 pass * 192.168.0.0/24 tcp * ident
ip pp secure filter in 22 11 1001 1002 1003 1004 1005 1006 1007 1008 1009 >>814
俺も似たような問題で悩んでいる
運用上、だれも文句を言ってこないけど
なんか気持ち悪いんだよね DHCP使いつつある特定の端末だけはIP固定にしたいのですが、DHCP staticのコマンド打ってもうまいこと固定されてくれません(最初に接続された時に割り当てられたipのままになる)
どうしたら解決できるかご教示いただけないでしょうか >>825 特定ってのがわかってるならMAC指定すればいいじゃん NTT西日本NGN内でIPv6折り返し通信をしようと思ったら半固定アドレスでソフトイーサーのopenDDNSはNTT東日本だけ。ネームはアドレス変わったら手動変更。みんなどうやって解決したの?ipv4トンネルを予備でおいてるの? 西でやるならIPv6インターネット必須
ソフトイーサのDDNSはインターネットから普通に使える
西同士ならちゃんと折り返しになるよ >>828 半固定のIPv6でVPN的な事をクリティカルな環境で行うなら
SACM(SMF)@IIJとか使うんだよ
(特許とってるんでRTXとかでの対応は無理だろ)
だからRTXは諦めるのが吉
たまにIP変わって切断するのを容認できるならそこまで気にしなくてもいい
現状IPv6で固定IPを必要とするサービスを利用するなら
法人向けプロパイダで固定しているサービスと契約すればいい
半固定なんていう中途半端な契約で運用をしてはいけない >>828
大手業者はLUAスクリプト入れてやってる。 v6オプションのネームでできない?
https://flets-w.com/opt/v6option/
うちではちゃんと繋がったけど
RTX1200同士では遅くて捨てた
フレッツVPNワイドで80Mbpsくらいでてたのが3Mbpsくらいになった >>809, 815
残念、FQDNフィルターはRTX1200では使えなかった
結局
ip route 104.18.231.150/32 gateway pp 1
ip route 104.18.232.150/32 gateway pp 1
ip route 104.18.233.150/32 gateway pp 1
ip route 104.18.234.150/32 gateway pp 1
ip route 104.18.235.150/32 gateway pp 1
ip route 104.18.250.58/32 gateway pp 1
ip route 104.18.251.58/32 gateway pp 1
ip route 104.18.252.58/32 gateway pp 1
ip route 104.18.253.58/32 gateway pp 1
ip route 104.18.254.58/32 gateway pp 1
力業っぽくてやだけど 古くなったRTX810をスイッチングハブ(5ポート)で使用したいと考えております。
そこで質問ですがWANポートもLANポートとして使用できるのでしょうか?単にWANポートに同じセグメントのIPアドレスを振ってもダメでした。教えてください。 >>836
lan1 と lan2 両方をブリッジインターフェースに収容すればいいのでは? >>836
CONFIG残っててフィルタに食われてるんじゃね わざわざなんであんなにデカいHUBを使わないといけないのか >>830
>たまにIP変わって
いままで変わったことないぞ。
HGWを置き換えたらプリフィックスごと変わったけどな。
しかも、大部サブネットを削られた。 変わったことあるぞ
最近は数年変わって無いけど
友達の家とつなぐ分にはそれで十分だけど業務には使えないわ お前らアホか
半固定はまれに変わるけど、俺は変わった、いや変わらない、って知恵遅れかよ
役立たずが 変わる前提で話を進めるべきであって、変わらない報告なんかいらねぇ >>849 変わるのはNGN局側の機材拡張・増強かな
主流はIPv4だから場所的に余裕を持ってるんだと思う
PPPoEみたいな予約方式じゃないからね yamahaってarpリクエストを無視できないかな?
ルータ負荷やばそうなんだけど
フィルタはIPプロトコル外だから使えないし ■ このスレッドは過去ログ倉庫に格納されています