YAMAHA業務向けルーター運用構築スレッドPart21
■ このスレッドは過去ログ倉庫に格納されています
>>797 お互いがマッチングサーバーにログインして利用するシステムで
最大6か所が相互にP2P接続してメッシュネットワークになるんですよ
マッチングサーバーが居るのでNAS/IPマスカレード的な設定は要らないと思う
あと接続先は不特定多数の顧客サポートに利用するつもりらしく
VPNは無理かなぁと 結局ポート開放なんてしなくても内側から接続しにいくから問題ないかもな
デモ機借りてみれば? >>799
マッチングサーバーを経由しないP2P接続ならどっちかが静的NAT設定はいるでしょ?
会議システムにグローバルアドレス割り当ててるの? >>800
まぁ、普通そうだよねw
クラウド側からじゃなく社内側から接続始まるからDynamicFilterの範囲だよね >>802
それP2Pの相手側も同じなら接続できんだろう 799 の話し方だと、799の場所が設置台数が多いからポート開けが必要ってことかなあ。
TV会議の端末が1台ならマッチングサーバにIPアドレスと空いてるポート番号通知で済むけど、サポート対応だと台数多いから、マキシマムで開けとかないとダメじゃないの? DS-Liteだと5chでずっと規制されっぱなしで面倒
5ch.netだけpp1(ipv4 over PPPoE)使いたいけどどうすればいいんだろ フィルタ書けばいい
まぁ相手がcloudflareだからキレイに5chだけにはならんだろうが >>806
ip filter 300001 pass-log * 5ch.net,*.5ch.net,*.*.5ch.net
ip forward filter 100 1 gateway pp 1 filter 300001
これ使ってるけど、なぜかメインで使ってるパソコン以外は振り分けうまくしてくれない。 相談です。
LAN内のパソコンからインターネット側やVPN先の外部に
tracerouteしたときに、応答しないようにしたいのですが、
pingには応答させたいのです。
下記の設定では、pingも応答なしとなってしまいます。
tracerouteだけ非応答にするにはどうすればよいですか?
行った設定
------------------------------------------------
LAN1のoutに
ip filter 11 reject * 192.168.0.0/24 icmp * * tracerouteってunix系とwindowsで実装が違うけど
どっちだったかはicmp echoの応答見てるでしょ。
pingと区別できないよ。 >>810
問題無いパソコンも問題あるパソコンもADに向いてる
ほんと謎 >>809
ip route default gateway pp 1 filter 300001 gateway tunnel 1 >>813
UNIX系のUDPのtracerouteにはどうやっても対応できないけど
Windows系ならICMPのtype11をフィルタしてみれ あ、ちょっとちがった
UNIX系でもICMP type11を遮断でいける
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip pp secure filter in 22 11 2000 811です。
>>817
それでいけました。勉強になりました。ありがとう。 >>817
ip filter 2000 pass * * * * *
これが抜けてるね。これがないと暗黙のdenyが効いてしまうので。 2000番は昔のrtproの設定例でよく出てきた全遮断のフィルタのつもりでした
ip filter 2000 reject * *
全部通したらザルになっちゃうw >>820
それだとネット見れなくなるのでは?? >>819はザルなので、最終的にはこうか
ip filter 11 pass * 192.168.0.0/24 icmp
ip filter 22 reject * 192.168.0.0/24 icmp 11 *
ip filter 1001 reject 192.168.0.0/24 * * * *
ip filter 1002 reject * * udp,tcp 135 *
ip filter 1003 reject * * udp,tcp * 135
ip filter 1004 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1005 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1006 reject * * udp,tcp 445 *
ip filter 1007 reject * * udp,tcp * 445
ip filter 1008 pass * 192.168.0.0/24 icmp * *
ip filter 1009 pass * 192.168.0.0/24 tcp * ident
ip pp secure filter in 22 11 1001 1002 1003 1004 1005 1006 1007 1008 1009 >>814
俺も似たような問題で悩んでいる
運用上、だれも文句を言ってこないけど
なんか気持ち悪いんだよね DHCP使いつつある特定の端末だけはIP固定にしたいのですが、DHCP staticのコマンド打ってもうまいこと固定されてくれません(最初に接続された時に割り当てられたipのままになる)
どうしたら解決できるかご教示いただけないでしょうか >>825 特定ってのがわかってるならMAC指定すればいいじゃん NTT西日本NGN内でIPv6折り返し通信をしようと思ったら半固定アドレスでソフトイーサーのopenDDNSはNTT東日本だけ。ネームはアドレス変わったら手動変更。みんなどうやって解決したの?ipv4トンネルを予備でおいてるの? 西でやるならIPv6インターネット必須
ソフトイーサのDDNSはインターネットから普通に使える
西同士ならちゃんと折り返しになるよ >>828 半固定のIPv6でVPN的な事をクリティカルな環境で行うなら
SACM(SMF)@IIJとか使うんだよ
(特許とってるんでRTXとかでの対応は無理だろ)
だからRTXは諦めるのが吉
たまにIP変わって切断するのを容認できるならそこまで気にしなくてもいい
現状IPv6で固定IPを必要とするサービスを利用するなら
法人向けプロパイダで固定しているサービスと契約すればいい
半固定なんていう中途半端な契約で運用をしてはいけない >>828
大手業者はLUAスクリプト入れてやってる。 v6オプションのネームでできない?
https://flets-w.com/opt/v6option/
うちではちゃんと繋がったけど
RTX1200同士では遅くて捨てた
フレッツVPNワイドで80Mbpsくらいでてたのが3Mbpsくらいになった >>809, 815
残念、FQDNフィルターはRTX1200では使えなかった
結局
ip route 104.18.231.150/32 gateway pp 1
ip route 104.18.232.150/32 gateway pp 1
ip route 104.18.233.150/32 gateway pp 1
ip route 104.18.234.150/32 gateway pp 1
ip route 104.18.235.150/32 gateway pp 1
ip route 104.18.250.58/32 gateway pp 1
ip route 104.18.251.58/32 gateway pp 1
ip route 104.18.252.58/32 gateway pp 1
ip route 104.18.253.58/32 gateway pp 1
ip route 104.18.254.58/32 gateway pp 1
力業っぽくてやだけど 古くなったRTX810をスイッチングハブ(5ポート)で使用したいと考えております。
そこで質問ですがWANポートもLANポートとして使用できるのでしょうか?単にWANポートに同じセグメントのIPアドレスを振ってもダメでした。教えてください。 >>836
lan1 と lan2 両方をブリッジインターフェースに収容すればいいのでは? >>836
CONFIG残っててフィルタに食われてるんじゃね わざわざなんであんなにデカいHUBを使わないといけないのか >>830
>たまにIP変わって
いままで変わったことないぞ。
HGWを置き換えたらプリフィックスごと変わったけどな。
しかも、大部サブネットを削られた。 変わったことあるぞ
最近は数年変わって無いけど
友達の家とつなぐ分にはそれで十分だけど業務には使えないわ お前らアホか
半固定はまれに変わるけど、俺は変わった、いや変わらない、って知恵遅れかよ
役立たずが 変わる前提で話を進めるべきであって、変わらない報告なんかいらねぇ >>849 変わるのはNGN局側の機材拡張・増強かな
主流はIPv4だから場所的に余裕を持ってるんだと思う
PPPoEみたいな予約方式じゃないからね yamahaってarpリクエストを無視できないかな?
ルータ負荷やばそうなんだけど
フィルタはIPプロトコル外だから使えないし ethernet filter でff:ff:ff:ff:ff:ff 宛てをreject してみたら?
DHCPとか使えなくなるけど >>829
DDNSに依存してしまうということだから、
故障確率が上がってしまう。
DDNSを弾けない場合には、IPv6で生アクセスを試みるプロセスも組み込みたいところ。
そんなことできるかな? 46/64と併用型じゃなく、単独6ならできるんじゃね
2セッションにして4と6を完全に独立させる ip(v6) filter dynamicのニーモニックだけど
ログを見たところ
www = http + https
dns = domain
という認識であってる? >>856
http://www.rtpro.yamaha.co.jp/RT/docs/misc/mnemonic.html
>666 doom Doomを覚えていますか?
ワラタ
勝手にニモニック置換しなくていいんだけどなぁ。素人がconfigいじるわけじゃないし >>857
>Doomを覚えていますか?
"
『DOOM』が仕事に対する重大な脅威となり、
オンライン対戦やシェアウェアのダウンロードによってネットワークが妨げられたとするいくつかの報告書が存在しており、
"
ウィキペディアより
ヤマハのこういう細かいところが好き。
いらなくても、要る。
それに、ニーモニックはあったほうがいいと思う。
icmpなんかニーモニックでいくつかをまとめてくれて便利だと思う。 NVR500に050plus内蔵しようと思って丸一日格闘していたが、こいつSIP-TLS対応してないんだよな?
FUSIONと比較して、通話料安くて良いんだが、050plusのみTLSだからね それくらいならリクエストすれば対応してくれるかも? ヤマハのルーターって隠しコマンドとかないんですかね? >>863
コンソールケーブル接続時だけ使える有名なのはあるよ
上上下下左右左右BA
これを入力するとRTXシリーズでHSRPを喋れるようになる 先生!
DMVPNはどうすればしゃべれるようになりますか? >>865
そんなことも知らねーのかよ・・・ゆとり乙
復活の呪文で 「ほりいゆう じえにつくすど らごくえす とだよ」 って入れれば良いんだよ
とりあえずアンダー草原で淫獣マリリスを大量に調教して淫度をどんどん稼いどけ。
展開が不安ならバックアップ取っておくのを忘れんなよ。説教くさくなってスマソ・・・。ついな・・・。 show ip flow [summary] は隠しコマンドと言えるかな。 NVR500なのですが、PPP接続しているかを外観から判断する方法ありますか?
当方管理者ではないのですが、現場でよくみかけるのですが判断できず。 なんで管理者でもない奴がしゃしゃり出てくるんだろうな…
どこの会社にもこういうおかしなのいるよね NVR510 Rev.15.01.14で
ip filter 10000 reject * *
ip filter 20000 pass * *
ip filter dynamic 10025 192.168.1.0/24 * smtp
PP[01]
pp bind tunnel1
ip pp secure filter in 10000
ip pp secure filter out 20000 dynamic 10025
TUNNEL[1]
ip tunnel secure filter in 10000
ip tunnel secure filter out 20000
と設定しています
この状態で動的フィルタ(10025番)が反応することはするのですが
その前にフィルタ番号10000番で拒否されてしまいます
回避方法としてPP[01]のinに対してestablishedパケットを許可するしかないのでしょうか? >>873-874
むしろ理由も知らずに断定はおかしいだろ。
こういう手合いが思い込みで変な構築するんだろうな。 だいたい管理者でもない奴が外観で使われてるかどうか判断したいって
盗みたい以外の理由が見当たらん。
でもNVR500なんて今更何の役にもたたんだろうしやっぱり意味不明 >>876
怪しげな質問してる奴とidの出方が一緒だけど、心当たり有る? いま時常時接続なんだからPPPだろうが張りっぱなしだろう
ほんとに何したいんだ? >>872
なんで管理者じゃないのにそんなの知りたいの?
管理者なら管理画面からわかるだろ。
怖すぎ! まじか、皆がそういうならそれは申し訳なかった。
ただ単にセッションプラスが必要になるかを数えたいから
管理者に聞く前に知る方法を聞きたかったんだが。 >>875
なんでppとtunnel両方にフィルター設定してるの? >>872
NVR500なら音鳴るけどわからんな。 >>884
レスありがとうございます
PPとTUNNELどちらのフィルタを外すのがいいのでしょうか?
PP側を外してみたりTUNNEN側を外してみたりしましたが改善しませんでした
PP-TUNNELがらみの動的フィルタのことがよくわかっていないので
根本的に間違っているかもしれません South Brisbane というところのIPv6アドレスから、最近、
icmpと、udp 500に対するアクセスがある。
リジェクトフィルタは効いているが、よく、128bitもの長さのあるアドレスを見つけ出されたものだと思う。
どこかで漏れているのかな。
気分悪い。
みなさん、IPv6だからといって手を抜かないように。 >>888 なんでトンネルしてるのかもようわからんしなぁ
それにAllパスのフィルターにパスのsmtp入れて何がしたいのかもようわからん
outがALLパスなら それ以上ダイナミックにする必要もなかろう
んで、なんでout方向の10025がin方向のフィルターで拒絶されるんだよ?
前にもなにも、in方向ですべて閉じてりゃなにやっても無駄だろ?
多分設定の一部なんだとは思うけど「その設定の利用場面」が想像しにくいんだよね
何がしたいかようわからんので拠点間の構成ぐらい説明しなよ >>889 ipv6 に icmp 来るって「あたりまえ」じゃないのか? 889の気持ちわかるぞー!
超ランダムすぎてピンポイントで当たらないだろうなーって思うもん。
フレッツ網内なんかでやったら絶対どこかの共有フォルダ見れちゃうんじゃないかってドキドキしてるわ 見つけ出されてるって言ったってプレフィックスの先頭アドレスをルータに振ってるとかじゃね? >>895
それはない。下位64bitにはLAN3のMACアドレスが織り込まれている。
>>894
それなんですよ。
>>892
udp 500へのトライがある。
IPフィルタリングしているから大丈夫だけど。 先に中のPCが外に向かってアドレスを漏らしてると何故考えられないのか。
外向きのパケットは残さず全部dropしてるマンなの??
だから釣りみたいなものだと言ってるのに
うちだってチャイナテレコムのipからピンポイントにノックされてるよ >>898
実は、そもそもIPv6はIPsec専用としてRTXのLANにしか割当てていないんです。
RTXは下位にプリフィックスを広告していません。
しかしだとすると、途中の経路で情報が収集されているかもしれないなあ。
チャイナテレコムはアクセス情報を売っているんですか? ■ このスレッドは過去ログ倉庫に格納されています