YAMAHA業務向けルーター運用構築スレッドPart22
レス数が1000を超えています。これ以上書き込みはできません。
>>1 乙
前>>1000に滑り込んだな。間に合う・出来るやつめ asteriskのスレ立てと同じタイミングになったな。
乙 やたら FortiGate 推すやつら、
具体的に、どんな脅威から何を守りたいのか分からないんだよ
分からないから FortiGate っていうブラックボックスに丸投げして安全になった気でいる。
まぁ、素人がテキトーに設定して「これでヨシ」するよりかはマシだけど。
Pマークは買う物 安全になった気がするわけじゃなくて、
第三者に説明するとき、UTM > 脅威防止がないルーター
のほうが説明しやすいだけなんじゃない?
UTMでは圧倒的シェアだし。
YAMAHAルーター使うのも、
周りが使っているという理由だけでしょ。
性能とか機能なら他社のがいいわけだし。 fortigate 本物使った事が無いし、juniperすら使ったことがない初心者なのがモロバレで草。何の脅威があるのか理解してないだけじゃん。
スペックの比較をしない理屈を並べてるだけだなw だから「可視化」と「顧客の要求を満たすため」と何度も説明しただろ
Yamahaには可視化機能は無い、Syslog集めてLog解析いくらしても
アプリケーション層(L7)で可視化できるUTMとは情報量が少なすぎる
んで顧客からの確認事項に
・UTMの導入 Yes/No (Yesの場合には機種名とバージョンを記載)
って質問が有ってYamahaではNoにするしかない
んでNoなら仕事をもらえない
仕事をもらうためには理解する必要なんかなくUTM入れるしかない あー、何の脅威があるか分からない人向けの話であって、わかってる人に向けた話じゃない。
UTMである事を差し引いても、fortigateの機能とweb GUIはコスパに優れてる。
単独でnetflowを実行でき、nat66, 内側ポート毎に仮想ルータ割り当て, セッション管理からモードレスでポリシーの追加が出来るとか良く出来ている。
まぁ、保守費用を払い続ける財力があれば、ってとこだ。 Web GUIはかっこいいけど、結構バグもあるんだよな。
CLIでやろうとしても、大量にコマンドが投入されており、結構敷居だ高い。
まあ、機能に応じて、大量コマンドは仕方ないところなんだけど。 >>13 そういう素人さん向きな話なら
NTT東日本がやってる「おまかせサイバーみまもり」とかにすればいいんでは?
月1万で高いだの言われたらあれだけど、アンチウイルスソフト各クライアント
に入れるよりは十分やすいでしょ
https://business.ntt-east.co.jp/service/cybermimamori/charge.html まとめると
RTX では TeamViewer みたいなのを阻止できないけど
UTM だったら阻止できる(もしくは利用を可視可できる)
って感じの理解でいいっしょ
外部のハッカー攻撃の話じゃなくて
TeamViewer が脅威がとうかは判断する人によって変わるだけの話
脅威だという人にとっては RTX では役不足 つまり彼らにとっての脅威とは、外にいるハッカーじゃなくて、中にいる行儀悪いやつ、と 内部のアホをいかに引っかけてきっかけ作って侵入するかだから当然だろ。
今時IPS/IDS/WAFすら無いルーター配下にサービス提供する機器置く企業も無いからな。 Fortigateを入れたら「リモートアクセス出来へん」ってお客さんに怒鳴られた
申し訳ない振りをして聞き流していたら右フックが飛んできた 見れないけど、誰がSSLをどれだけ使ってるか判るから
突出してれば気が付くよ >>20
SSLの中身みれなくなってきてるから、結局はエンドポイントセキュリティの時代に回帰してる
ウイルスバスター!!!!!!! >>24
満員座ミドルすればいいと思うよ。
ブラウザへのドメイン違いの警告は無視するようにすれば?
ブラウザに特定の証明書と接続先とのドメインのズレは許容するというようなそういうポリシー設定できないのかな。 もう、いいかげんshift jisデフォルトはやめてほしいな。
いつも文字化けする。 最初にやるのが文字コード変更、行数拡大、タイムアウト調整やろ・・・
あとパスワード変更とログインポートとGUIポート変更か・・・ >>15
トレンドマイクロのCloud Edgeかぁ >>32
RTXを英語モードにできるのか?
>>33
1行あたりの文字数がちいさくて、おさまらずに、
折り返される。
コピペすると2行以上にわかれてしまうので、
編集と貼り付けが大変になる。
telnetとhttpのポートを変えておけば、
ローカルネットからの不用意なアクセスを防げますね。 そういうリスクがあるなら
sshオンリーにすればいいのに
ポート変えたところで大した効果あるとは思えない >>36
いや英語モードを搭載して、それを初期値にすべきだということ。
ごうせいたいしたメッセージ出さないし、RTX使う人なら英語でも困らないでしょ。 >>36
console linesはいじらないなぁ
console columns 200、console info onはやっちゃうけど。
RTX1000時代と違ってWebでいい感じに設定できちゃうから素人は開く必要もないしな
よそのなんとかStartと違って よそのCisco Startは変態が自宅用に買うもんだぞ
一般向けではなく、逸般向けだぞ RTXやNVRは拠点ルーターとしてよく使われてるけど
直接インターネット出れるようにしてるとこは少ないでしょ。
本社とかDCにいったんトラフィック集めて
FortiなりPaloなり通してるんじゃないの? >>42 そんなことはない、RTXで各拠点Internetに出てる設定も多い
UTM導入率とは別だね
固定回線が従量制じゃないので、UTMを導入してても流量確認は実際はほとんどしてないよ RTXで直インターネットって零細自営だけでしょ
ファイアウォール無しは流石に有り得んよ RTXの売れ行き考えたら、RTXだけでインターネット接続している会社のほうが
多いような気がする(想像)。
多少の金ケチって、UTMを入れないのは不可解だが、
導入ベンダーや担当者のUTMへの習熟が足りないから
そうなっているんじゃないかな(想像)。 認識として、サーバーサービスを全てアウトソーシングしている場合
防火壁・UTMの導入はしないよ
必要と思うほどITリテラシィは高くないし
小規模ならエンドポイント対策で済むんだよ
またSKYSEA/LanScopeといった漏えい対策をする場合、
UTMよりも高い監視力・防御力もあるのでUTMはいらないという話にもなる
UTM以上の事がエンドポイント対策でできるなら
UTMにコストを掛けなくてもいいという判断
多段防御こそ絶対だ! なんてのは逆にコスト意識のない馬鹿情シスだけでしょ >>48 がまさに零細の発想
世間知らず度合いが酷い >>48
俺もそういう認識
エンドポイント対策もしないでUTMの話持ち込む営業多いしあほかと >>49 つうか、1PCに年間1万円超えるエンドポイント導入してる環境にUTM入れても
無駄というか
・可視化:対策済み
・漏えい:対策済み
・マルウェア:対策済み
・不正利用:対策済み
・ランサム:対策済み
だからね、劣る機能ばかりのUTMの導入提案なんかできないし
コスト削減のために、既存のエンドポイントをやめてUTMに乗り換えなんかしたら、
ほぼ全てのセキュリティ強度が確実に落ちるから、怖くてそんな提案できない
アンチウイルス程度の認識しかない人には判らんだろうけど、
高いエンドポイントの強度は高いよ
そういうお高いエンドポイント使ってる会社ならRTXルーターで十分な場合もある
まぁ、本気の標的型DDOS攻撃とかされたらきついけど、サーバーサービスないなら
攻撃受けることもそうそうないでしょ 営業がバッファロー提案してくるときもあるから、RTXならマシだと感じてしまう じゃぁ上流・下流って言おうか?
下流対策の方が当然だけど情報量は多い
下流域だけで行われる不正行為は上流には届かないから判らない
RTXをUTMに交換しても下流域の監視は十分にはできない
上流だけで下流を含めた全域対策できるなんて思ってはいないだろ? >>52
>コスト削減のために、既存のエンドポイントをやめてUTMに乗り換えなんかしたら、
前提がおかしい。
どんな環境面倒みてんの。どうせ数人か数十人でしょ?
規模に応じた対策も結構だけどそれを普通だと思ってるのは痛い 自分の経験上でもいいから具体的な事例を挙げて
批判しないと説得力ないね。
単なるしったかにしか見えない。 >>51
営業「UTMで迷惑メールが止められます!」 自称パソコンの先生が管理している客の場合、DHCP無効、無線は禁止またはMACアドレス認証(固定IP)、
意地でもWindows7、時計表示は和暦 あたりが共通項だな。 ログオンが固まるのと
起動して30分使い物ならないのも追加でw >>58
営業が、こちらは何も知らないと思ってUTMをすすめるので、
UTMで具体的にどうできるのか、ネットワークのどこに設置するのかとか、
監督レイヤーはどこなのか、いろいろ突っ込んだ質問したら、答えられなかった。
それを考えると、ミカカの社長洗脳CMがとても気持ち悪い。 >>59 UTMがUTMらしく可視化機能があれば、AD連携してDHCPでもユーザー判別できるけど
それが無い場合、マシンの命名規約すらないとIPだけではユーザー特定できないしね
このスレはRTXのスレなんで、RTXしかない環境で可視化をするならDHCPはダメだろう
IPもマシン名も規約ベースで縛るしかないし、それは悪い事でも何でもない
パソコン先生は知らんけど、情シスが限られた予算の中で管理するのを馬鹿にするのは
人間性を疑う
Win7に関しても今年中はサポートがあり、セキュリティパッチの提供もされているのに
見下すのもどうかと
和暦・西暦も職種によるもので、良い悪いの差はない
コストも手間も無限にかけていいなんていう夢みたいな会社の情シスには判らんだろうけど
そういうエア管理者様の発言は軽いよ SKYSEAやLanScopeが高い防御力なんて無いんだよなぁ。余計なことをさせないポリシー設定と何かあった時の証拠集めツールだな。コレと所謂従来からのウイルス対策系を組み合わせるエンドポイント対策が働き方対策にも使えて流行りだな。
んで、これらをすり抜けてC&Cサーバーと通信したりしているから検知、監視するのにUTMが有効。と言うか上記をやっていてキャリア側のUTM使ったりローカルに設置するのが普通。RTXで良いなんてノリ見たことが無い。
金かけられないって所は、安いんだからUTM位入れろよとは思う。総務部門なんかと一緒にGUI眺めるだけで考えさせられる物があるとは思うよ。 なんか必死な人がいる
初期にRTX1200入れた会社はそろそろ壊れる頃だから予算取りしておきなー
稟議のキーワードは「外出先からVPN接続」
これでいけるぜ SKYSEA触ったことないけど、そんなにセキュリティ的に有能なんかいな
LanScopeとやらはベネッセ事件のときに、隣の部署のやつが燃えてたけど あれは資産管理ソフトだ。
Lanscopeよりも一般人が導入できる設計になってておすすめ。社長とかは新幹線でおなじみの会社 かんたんで分かり易いGUI操作が売りだな。Windowsのポリシー相当をを簡単に操作できたりするね。元は学校の教室で先生が使っていた製品の派生。 セキュリティリスクは結局人だからなw
できることを制限すればリスクは一気に減る グローバルIP環境下でSKYSEAが使うポートに攻撃を受けるとフリーになるってやつだっけ
グローバルIP環境って大学かよ!っておもったらSIMドングル使ってる時が狙い目だったんだな。 ONUフレッツ小型ONUの提供開始について
NTT西。おっそ コンシューマ用途ならともかく、業務用途に限ったらWin10なんて百害あって一利なしだろ >>78 どうした? いきなり
WindowsServer使えってこと? さあ?
アップデートでの帯域負荷のことかな?
セキュリティ的には10だけどな 企業ならWSUS入れるだろ
まぁ問題多い機能だが仮想で立ててトラブったら再構築すれば割と楽に運用できる WSUS立てるのはいいけど、管理はおまえらがちゃんとやれよ
こっちにすがるなよ 回線負荷よりもUPDATEの管理面だろうね。とは言う物のWindows使う限りは10に移行するしか無い訳だが…
O365使っていれば、Windows Virtual Desktopって逃げ道もあるね。 VDI:DaaSは逃げ道にならんよ
Win7までは何とかなったが、Win10はその手のは無理
古いVDIは、Win10で全滅してるよ
誤算というか、5年ぐらいWin7@VDIを回せたらそこそこ元は取れたかもしれないけど
1〜2年しかWin7@VDI回してないなら、今年でサポート切れるし
Win10化は不可能だし、大損だろうね
Win7@VDI推してた管理職はみんな首じゃね WSUSあるなら帯域制御は問題ないとか言うけど
ところがどっこい、金をケチって帯域保証10Mbps+ベストエフォート回線(糞混雑)で
制御してどうにかなるほど帯域無くて逼迫とか草生えますよ >>86 何が何でもケチ付けたいって感じだね
精神おかしくなってない? >>85
Windows Virtual Desktopは従来のとはコストが違うぞ。O365を使っていれば超お得だ。Win7の延長に使うのもオススメだよ。 >>89 あのさ、Windowsアップデートの帯域不足を心配してる連中が
WVDの帯域を確保できると思ってんのか? >>89
365がお得じゃないし、Azureも所詮クラウドなのでお得じゃないw
オンプレミスにコスト面で勝てるクラウドは無いぐらいそろそろ理解しとけよ
まぁ「常に最新のOfficeを使わなければ行けない」コンプライアンスでもあれば多少は違うけど
・Officeはサポート期間内なら最新じゃなくていい
なら365は高いよ、ボリュームライセンス買った方がはるかに安い
アシュアランスは完全に崩壊したし嘘つきまくってたからな・・・ Office365とYamahaは相性悪いだろ
妙にセッション数食うから占有してる帯域だけチェックして問題無しとか思ってるとハマる >>91 Win10のDaaS(VDI)って事なら食うよ
たぶん、WEBで見かけるWindows Virtual Desktopの記事は
実用を無視したステマかな
コスト掛ければ使い物になるけど、Win7の2倍じゃ済まないよ?
CPU・メモリのリソースはさ クラウドなので結構自由に増やせるけど
VGAリソースが厳しい(それもVDI用に)のは想像できてないんじゃね?
Win10の仮想化の一番のボトルネックは「グラフィック帯域」なんだよ
フレームレートってやつね、アイドル状態でもWin7の4割増しだったかな
んで、その手のは結局すべてネット帯域に依存してくる
次に来るのがストレージリソースね
Win7はさアップデートなんてKB単位じゃん、1個MBどころかKB単位の小さなものばかり
でも、Win10はKBセットだからね、無駄にでかくて、Win7の7倍以上と言われてる
半年ごとにリセットされるけど、過去5か月間は適用済みなのに過去分込みで増えていく
さらに半年ごとの大規模アップデート・・・
Win10のアップデートトラブルネタは有名でしょ?
クラウドって従量制だし、そら運営してるAzureはアップデートのたびに利用量増えて
儲かってしょうがないけど、騙されちゃあかんよw
WSUSもAzure化すればええやろ? とか思ったらそれもMSの情報詐欺だからねw
WSUSの必要とするスペックは最低、年50万からだからね
ストレージ最低2TBに4コア8GB、おまけにIIS動く関係で滅茶苦茶高く付く
シンプロビジョニングにしたら地獄を見るよ
Win10をクラウドに載せるなら、シック(固定)を選ばんと泣きを見るよ
つうか、現状Win10は仮想・DaaS向きのクライアントOSじゃないよ
そもWin7のVDIすら「利用と現実のギャップ」で乖離して、開発者は2台運用とか
バカみたいな状態だったし、Win10みたいに重いOSでVDIなんてどんなジョークだよw なんか否定的な意見しか無いな。ココのみんなはO365すら使っていないんだなぁ。
Win10で4000台規模の冗談の様なVDI商談来ているんだけどwww >>93
そうだね共有使うとガバガバセッション使うね。1人100程度は見積もらないと危ない。
元々ヤマハはリモート保守か小規模店舗とかにしか導入しないでしょ。
UTMなら10万円以下の製品でも同時90万セッション位だから… >>95
その規模感ならスレチだろ?
嘘松も大概にしろよ CPUが100%になる!!不良品だ!!って騒ぐ客が・・ 前もこのスレで聞いたけど、4000台規模の親玉をRTX3000とか5000でやるの?
怖くて提案できない >>97
ところが嘘じゃ無いんだなぁ。しかもHCIでやりたいってね動く気がしないw
ドコから吹き込まれたのやら。 O365とかいうProxy潰しに来る糞を
YAMAHAで受け切れんのか express route使わんで設計しちゃうおバカはねw
NAT挟むなんつうのも間違いのもと O365凝ったを使い方していなければ500人(同時アクティブは日中半分程度)でも1GのOCNフレッツ使ってUTMにNATで余裕。トラフィック使っているのはドコでもYOUTUBE見ている奴だな。
なお病院なんかに障害で呼ばれると医師がループさせていたり、TorrentやっていてRTXが死んでいるのは案外ある。先生さんさぁ… なんで500人とかの規模感でフレッツなんだか・・・
スレチだから消えろ気持ち悪いんだよ PPPoEで速度もレイテンシも問題無いんだからユーザーが満足してれば無問題だよ。コレが現実。 1000台超えるような環境でヤマハは無理だろうな
少なくともコアにはできない >>104
日本の中小企業の現状なんてそんなもんよ。
大企業は違うがな arp解決を待っている間にストリームの頭のパケットが廃棄されるのを防ぐためにqueが用意されていると思う、このqueは一定時間たつと初期化されてしまうの?
それとも、同じipアドレスあてのパケットが一定数たまると古いところ上書きされるの?
それとも、一定時間たち尚且つ同じipアドレスあてのパケットがたまると上書きされるの? 一定数だよipじゃなくてlan毎にキューを持ってるみたい
ip lan1 arp queue lengthって設定があるけどキュー長はこれだね
たぶんarpの返事やタイムアウトでもキューから消すと思う ありがとう
lan単位なんだ。
arpのレスポンスが悪いアドレス宛の通信は相対的に破棄されやすくなって、
tcp通信の場合は再送が発生してRTTが倍になっり、仕方ないのかな。 Interop 2019でAWS用仮想ルーターが展示されていたようですが、ブースで突っ込んだ説明受けた人いませんか? テスト用にULAなIPv6ネットワーク作りたいと思ってるんだが、
RTX1210だとひょっとしてULAのDHCPv6対応していない? RTX1100とRTX1200でやったことあるけど
特別な設定もなしに普通にできた<ULA rtx830 のリリースノートしか見てないけどバグ修正の数が今までで一番多いね。
やっぱり複雑なプログラムになっちゃってるんだろうからバグもでやすいんだろうね。
でも、こうやってきちんと修正して無償で公開してくれるのですごくうれしいな。
ありがとう、YAMAHAの中の人。
これからもがんばってください。 負荷軽減やメモリリークの修正もあったのでとりあえずアップ。
今のところすぐにわかる問題はなし。 ミートアップって肉でも売るの?って思った俺はもうムリかもしれん。 >>117
GUIとか、表面的な機能のアプデが多そうだね 協和エクシオ
指定暴力団(詳細を書くと日本青年社)構成員と一体営業を行うヤクザ会社 福岡大のNTPって4月あたりに試したらつながらなくなってたような気がするけど気のせいだったか >>124
gigazineもtpの言い分真に受けたクソだから
https://gigazine.net/news/20171226-tp-link-repeater-715mb-per-month/
インターネットに接続しているのかを確認するために、時刻同期に用いるNTPサーバーへリクエストを送っていました。この動作自体は他のネットワーク機器などでも行われている問題のないものなのです >>124
>誰もが持っているSun ULTRA5で簡単にできる!
もってねーよw 途中で書いた
疎通確認がNTPな必要もよその必要もない
MSみたいに自前でNTP立てりゃいい
>>125
業務スレで公式も見てないとかアホさ加減を披露するだけ
https://www.ipc.fukuoka-u.ac.jp/service/ntp/public_ntp/ これこそIPごとGoogleが引き取ってサービス提供すりゃ良いのに
まあ福岡大もクラスAとか持ってて手放したく無いのかも知れんけど >>128
サンクス。
RTA50i入れ換えるときに福岡大になってたの見つけて懐かしくなっちゃったんだわ。
おまえらも福岡大決めうちで設定した機器あるだろ?正直に言えよ グーグルでもDNSと違って情報の利用価値がないからなぁ ntpは昔からnpt.nict.jpかな
いずれにせよ
IPアドレスでは入れないな 90年代前半にxntpdの仕組みを勉強したやつは、NTPと言えば福岡大、福岡大といえばNTPだろ。
その頃はstratum1はエンドユーザーどころか、小さい組織でも?いじゃいけない(ISPなどのstratum 2〜3を使う)、
namedが落ちた時のためにNTPサーバはIPアドレスで指定しなきゃいけない、という風潮だった。
エンドユーザー直接続ウェルカムなntp.nict.jpは、比較的新しい印象だわ。
スレチの年寄りすまん。 誰もでもジジイになるんやで
お前らもいずれジジイになるんだから今から震えて眠れ >>133
激しく同意
IPアドレスが分かっているならDNSにリクエスト飛ばすなんて無駄なことさせるなんて・・・
ヤマハルータについてる不用意な発呼ってダイヤルアップルータ時代の名残なんだよな strutum1を指定してると言って罵倒された事があった
ポリシー読めよジジイ そのIPアドレスがずっと同じな保証はないのにな
DNSなんてキャッシュされるし
セカンダリDNSまで死んでるようじゃ終わってるだろう NTPサーバのIPアドレスが変わる前に
、DNSサーバのIPアドレスが変わったでござる。 >>139
hostsファイルの回覧が回ってくるまで待てよ。 おまえらなんでDNSをISP決め打ちにしてんだよ
10年前に契約者以外ISPのDNS使うの規制されたあたりでみんな大騒ぎしてたろ 8.8.8.8廃止されたら結構大変なことになりそう >>144
やべぇ、今日も面倒くさいから
8.8.8.8で設定してきちゃった >>149
1111はこないだ派手コケしたからなぁ。 失礼
学習用にRTX830を2台とC891fjを使ってPPPoE上でVPNを張ろうとしてるんだけど上手くいかない…
show status pp 1見たらpppoeは上手くいってるんだけどshow ipsec sa見てもトンネル張れてない。
NAT周りが理解出来てないせいかそこが怪しい…難しいよ
参考にしたサイト
https://network.yamaha.com/setting/router_firewall/vpn/connect/two_point >>152
891をPPPoEサーバにしてRTX同士でIPsec張ろうとしてるのか、
891とRTXでIPsec張ろうとしてるのかわからんけど
勉強ならPPPoE通さないでとりあえず直結でIPsec試してみたら? >>152
違うサイト参考にすればいい。そこのサイトの管理人にでも請え まず質問の仕方を過去スレで調べた方がよろしいかと
ネットワーク構成や
ログもコンフィグも載せないでエスパーしろと? やりたい事と症状から推測は出来るけど
正確な助言が必要ならConfig見せてくれないとね 結論として、ちゃんとつながるよ。がんばれ
ここは経験談のあるなしぐらいしか回答来ないよ PPPoE上でRTX830対向ならできないはずはない
NATとフィルターさえ通していればいける NR-1000の質問はここでもいいですか
RTX810の最新ファーム11.01.33を適用済みです
中古を購入したので
ネットボランチが設定済みかを確認したところ
WEB設定画面では登録なし(新規登録の画面が表示される)
しかしコンソールから
netvolante-dns get hostname list all すると
(Netvolante DNS server 1)
PP01 yaabbcc.auto.netvolante.jp
との表示
yaabbccはy+MACアドレスの下6桁
MACアドレスが11:22:33:AA:BB:CCと仮定
削除しようと
netvolante-dns delete go pp 1 すると
(Netvolante DNS server 1)
エラー: ネットボランチDNSの設定に誤りがあります
との表示
yaabbcc.auto.netvolante.jpに
外部からポート確認すると通ります
auto.netvolante.jpでググってもまったくヒットしません 160です
追加情報
# pp select 1
pp1# show status netvolante-dns pp
(Netvolante DNS server 1)
ネットボランチDNSサービス: AUTO
インタフェース: PP[01]
ホストアドレス:
IPアドレス:
最終更新日時:
タイムアウト: 90 秒
(Netvolante DNS server 2)
ネットボランチDNSサービス: AUTO
インタフェース: PP[01]
ホストアドレス:
IPアドレス:
最終更新日時:
タイムアウト: 90 秒
これを見る限りは登録無しに見えるが
ya95358.auto.netvolante.jpにポートが通るのか不思議です netvolante-dns hostname host pp 1 yaabbcc.auto.netvolante.jpを一度設定して
その後にnetvolante-dns delete go pp 1してみて NetVolanteDNSはもうちょっと柔軟にしてほしいんだよなぁ。
グローバルIPがなくても使えるとか、Webから更新・保守できるとか・・・ 更新登録してきているIPアドレスを登録できるようにしてくれたら
モバイルルーター経由でVPN張れるんだけどな >>164
> グローバルIPがなくても使えるとか
ナニイッテンノ? >>165
グローバルIPない人に向けたサービスでしょうが。。と釣られてみる。 グローバルIPあっても使わせろ!
って言いたかったとエスパーしてみる ケーブルテレビ配下とかキャリアグレードnat配下でVPNかな? グローバルIPじゃなくて固定IPと言いたかったんじゃ・・・ そもそもグローバルIPって和製英語
海外じゃ通じないぞ そうなん?
global ip / public ip どっちも使う気がするけど 海外のdoc見るとpublicって書いてあることが多いな global ip とか public ip とかじゃなく
public IP address じゃね? 可能性は無いとは言えない。時々止まるし業務利用ならば他の方法を考えた方が良いよ。 Microsoftのドキュメントだと、Globalかつ固定でユーザが所有を証明出来るアドレスを指してPublicゆーてたような
MS造語かもしれんけど 海外相手にしないならどっちでもよくね?
こんなところでマウントしたいなら別だけどw スマホ-IPVPN網-ルータ
の構成でスマホとルータ間にVPN貼る必要ある??ないよね 15年くらい前、広域イーサ使い始めた時に上司に
個人情報流すならVPNトンネルで暗号化しろと言われたのを久々に思い出した 某大手閉域網でウイルス騒ぎがあった時には暗号化とかの相談が幾らかあったな。
もう10年も前なのか。 >>194
VPNオプションライセンスは買い取りだから多少高くても許せる。年間で発生する費用は基本ライセンスだけなので、極めて妥当な価格だと思う。個人的に気になるのは……
ア)ファームウエアのアップデートはどのようになるのか。既存のルーターのようにコマンド一発でできればうれしい。
イ)既存のルーターのコマンドはそのまま使えるようなので、動的IPでもネットボランチDNS使えば、IPSecできるよね?
ウ)vRXのセットアップ方法のドキュメント早く公開して。
エ)自分はAzure使いなので、早くAzureにも対応して。
というところでしょうか。 >>196
トンネル2本張ってOSPFないしはBGPでしょ
じゃないとAWS仕様上、十分な冗長とは言えないはず SRT100、FWX120を刷新していいからFortiGate対抗ぐらいの製品出して欲しいとこなんだがなあ。 技術的には可能なんだろうが、あの価格であの性能は出せないから売れない。で作れないだね。
この手はアライドが先行しているけれどルーターの中ではUTMの処理が追いつかないから、外部のx86にオフロードできる機能があるよ。 研究開発費用と抱えてるエンジニアの質が違うから今更Fortigateとぶつかるような製品出すのは無謀
もう負けが見えてるから採算とれる範囲で細々と商売して10年後ひっそりと事業撤退やね RTX1200 + Asahi-net で IPSec(L2TP)したいが接続できない
調べたら「このプロバイダではESPが通らないので〜」というような雰囲気だったのですが、
以下の感じでやるしかないのか、やった人おらんですか?
https://www.nire.com/2010/08/yamaha-rtx1200-ipsec/ 別のプロバイダ契約してマルチセッションにしとけ
月500円で固定IPのところとかあるし >>204
ESPが通らないってだけなら、そのリンク先にあるようにNAT traversalを使えばいいだけだと思うけど
それでは何かダメなことがあるのか? >>204
espは、モバイル回線とかルーターによっちゃ通らない環境多いから、NAT-Tでやるのは普通だよ。 >>204
ipsecのみとL2TP-ipsec両方使ってるけどnat traversalでいけるよ > 205
NAT-Tで試してだめだったらそこも考えてみます
> 206
> 207
> 208
まとめてしまってもうしわけないですけど
ありがとうございます
NAT-Tでやってみます vpn接続をアグレッシブモードで設定して接続は確立していてweb設定画面でもvpn接続先と通信中となっているのにpingが通らないのはなぜでしょう?拠点の上位ルーターはnttルーターです。
nat-tは設定してあります。 三拠点のうち一拠点のみpingが通リます。ここはog800で通らない拠点はog400、pr500kiです。どこの拠点もnttルーターはいじってないです。 パケット転送みたいなことをやりたいです。
lan1:192.168.0.1/24 自分のセグメント
lan2:192.168.1.1/24 サーバーたちのいるセグメント
192.168.0.10 の端末から 192.168.1.10 に TELNET 接続したいときに
telnet 192.168.1.10 23 じゃなくて telnet 192.168.0.1 23
で繋がるように(ルーターがパケットを転送してくれるように)ヤマハルーターを設定すること出来ませんか?
なお、192.168.1.10 の側から見たときは 192.168.1.1 が繋ぎに来ている風にみえてほしいのです。 L2TP/IPSec で待ち受けてる VPN サーバーがあります。
スマホ(または Windows)から、この VPN サーバーへの接続には成功しています。
スマホの代わりにヤマハルーターを VPN クライアント にして接続しに行きたいと思ってます。
(相手の VPN サーバーから1アドレスを割り当ててもらって、それをルーター配下の NAT で複数台で使いたい)
設定方法を探しているのですが、LAN間接続ばっかで、クライアント側(端末型?)の設定方法を見つけることができません。
どこか紹介してくださいませんでしょうか。 L2TPV3ならsoftetherに接続設定例があるから参考にしては 209です
報告してなかったので
0. RTX1200 Rev.10.01.76 (Fri Apr 13 12:25:45 2018) です
1. 結論からいうとNAT-Tで外部からVPN接続自体はできました(IPSec/L2TP)
2. ただVPN接続をしていてもLAN内サーバやYAMAHAへのtelnetができませんでした
3. 2の状況は `ip lan1 proxyarp on を行うことで解決しました
やりたいことが全部できました
各位、ありがとうございます >>222
L2TP/IPsecのクライアント側はヤマハルーターは出来ないはず >>222
素直にIPsec-VPNトンネルをもう一つ立てて、共存させればいいんでないの? >>222
L2TPはL2で繋ぐときに使うもの
必要ないならわざわざトンネル入れ子にしてもオーバーヘッド増やすだけ
(相手の VPN サーバーから1アドレスを割り当ててもらって、それをルーター配下の NAT で複数台で使いたい)
がホントに要件か?
アドレスもらう必要ある? お互いどうにか話つけてまとめるもんだけど
どうしてもならv3 + ディスクリプタか?
評価順追うのが面倒くさいから1台でできるかは知らん >>228
相手は許可済みなの?もしできたとしても、ネットに何台ぶら下げる気なのか知らんが、先方ルータにえらい負荷かけそうだ。 アクセスしたいサーバーとか管理用のPCにSoftetherを入れれば解決 >>230
許可?
スマホで接続できたように、接続に必要なアカウント情報は正規に得てますが・・・
ルーターが珍しくて、パソコンから接続していた時代に「ルーター使う許可とってますか?」みたいな指摘ですね。 >>231
SoftEtherを使いたくないのは、
それを動かすPCのメンテナンスとか、
停電時の対応がとても面倒くさいからだよ。
その点、ヤマハよルーターは信頼性が高い。 >>222
そのVPN接続できているスマホの、
AP(アクセスポイント)機能を有効にすると、
NAPT経由で複数の端末からアクセスできるのでは? ソフトイーサが儲けに走らんとも限らないからな。
やはり、一般的なOSSか、
ヤマハの端末に限るね。 Softeherが儲けって何なん?
Packetix VPNとは別のこと指してるんか? お前さんと同じ無限の可能性を内包をしてるんやな
将来楽しみやな RTX810 Rev.11.01.33と、RTX1210 Rev.14.01.32 とでIPsecのLAN間接続を行っていたのですが、
急につながらなくなっていました。
両者はNTT西のNGN経由でIPv6ネイティブで通信しています。
RTX810側では、RT-500KIがHGWとしてあります。
RTX1210側には中央のハブのようになっていて、他の複数のRTX(RTX1200)もIPsec接続していて、これらはうまく接続できています。
おかしいのは、RTX810とこのRTX1210は、以前はIPv6で通信できていたのに、いつのまにかつながらなくなっていたことです。
つづく↓ 確認したことは次の通りです。
0、両者の通信を妨げるようなrejectフィルタがないこと、両者の通信を通すpassフィルタがかかっていることを確認しました。
1、実際に、RTX1210→RTX810、そして、RTX810→RTX1210の疎通を確認しました。
ping6で双方で通信チェックするとうまく疎通できました。
2、RTX810において、IPsecパケットが発信されているのか確認しました。
pass-logフィルタにより、RTX810からRTX1210に向けて、udp 500番宛パケットが発信されていました。
同様にして、RTX1210からのIPsecパケットもRTX810に届いていることが確認できました。
3、RTX1210において、RTX810からのIPsecパケットが来ているか確認しました。
pass-logをかけた後でrestartかけて(fastパスを考慮しました)みました。
RTX810以外の他の拠点からのIPsecのパケットは全てpass-logにかかっていました。
しかし、RTX810から発信されているはずのIPsecパケット(udp 500)の到着は確認できませんでした。
これらのことから、どうやら、RTX810→RTX1210へのIPsecのパケット(udp 500 , esp)だけが、
RTX810とRTX1210との間のどこかでドロップしているようなのです。
他の拠点もRTX1210に同様にしてNGN経由の網内折り返しIPv6でIPsec通信ができています。
違いは、問題のある拠点では、RTX810を使っていること、RT-500KIを使っていることです。
最初は接続できていたのに、いつのまにかつながらなくなっていたことが気になります。
つまり、設定はおかしくないのに、なにかどこかで仕様が変わってしまったのではないかと考えてしまいます。
どなたか、同じような問題に遭遇されている方はいらっしゃいませんか? 追伸
RT-500KIのファームウェアは、06.00.0060 で、
このIPv6パケットフィルタ設定(IPoE)は、「有効」かつ「標準」になっているので問題ないと思います。
折り返し通信が可能な設定になっています。
事実、上記のとおり、ping6での疎通を確認できました。
IPsec udp 500が経路の途中で落とされていると疑っています。 すみません!
今、両者のrestartを行ったところ、
RTX1210において、RTX810からのIPsecパケット(udp 500とESP)の到着が確認できました。
なお、IPsecトンネルは不通なのですが、これは別に原因があるということになります。
すみませんが、以上の書き込みを撤回いたします!!! >>246
さらにすみません、
撤回を撤回します。
よく見たら、別拠点からのIPsecパケットでした。
RTX810からのIPsecパケットは確認できませんでした。
やはり、経路途中で落ちているのではないかと思います。 自己レスですが、
ネットの情報によれば、どうもDSCPの値が原因になっているのかもしれない。
めんどうくさい。
いったい何が仕様変更したんだろうか。 >>244
3 でrestartしたのが原因?
IPsec sa delete all
というおまじない ipv6パケットのDSCPの値の明示的な書き換えをしたいんだけど、
コマンドがわからない。 >>251
前世での行いが良くないからやで
ちょっとお高いけど、とあるお高い壺を買うと直ぐ様理解出来るようになるんや 「幸せ 壺」で検索したら
ヤフオクで最高値3,980円
amazonで最高値13,195円
メルカリで最高値45,000円
世の中捨てたもんでもないな >>251
自己レス
RTXでIPv6のDSCP値の書き換えはできなさそうだな。
ルーティングするIPv4パケットののTOSの書き換えはできそうだけどね。
DSCPを使ってクラスわけして優先処理を行うことは可能そう。
肝心な書き換えができない。 NGN折り返しでVPN使ってます。クライアントにもipv6持たせていて、ふと思ったんですがVPN間をipv6で通信させたい場合ってルーティングはどうしたらいいんですかね?
ipv4なら相手先のローカルアドレスにルーティングするだけですが、ipv6の場合はどうするのかな・・ >>257
ipv4では自分側が192.168.0.0\24で相手が192.168.1.0\24としてトンネル経由のルーティングはトンネルをゲートウェイとしてルーティング書けば通信できますよね。
それをipv6で同じようにする場合ってipv4で言うところのプライベートアドレスがどうなるのかな?と思った次第です。 >>258
v6は、v4をそのまま拡張する感じだよ! >>258
なにを言いたいのかはわかった。
そして、やりたいことは問題なく実現できる。
IPv6のネットワークアドレス部分を使って、
IPv4みたいにルーティングすることは可能。
入力形式: ipv6 route 宛先 gateway ゲートウェイ
宛先部分に、XXXX:XXXX:XXXX:XXXX::/64 みたいにいれればいい。
ゲートウェイは、tunnel 1 のようにする。
IPv4と同じ。ビットが長くなっただけ。 同じ192.168.x.xだけど、v6で表すなら関数電卓を使わないと、慣れるまでかなり困るよ! 登のところのフレッツ内DDNSサービス使って運用してたけど、転居に伴って終了した。 >>258
VPNの中は今まで通りに構築して、remote addressのところだけ書き換えたならIPv4しか通らないよ
IPv6も通してVPN構築してる人ももういるのかな? >>261
言葉足らずで申し訳無い。そう言うことです。
そのとき宛先のネットワークとして指定できるのはNGNから降ってくる半固定のipv6アドレスを使うしか無いってことですか?
ipv6ではプライベートアドレスにあたるものは無いと認識してます。
※完全な興味本位の質問で(´-ω-`)スイマセン >>265
NGNの都合で変わるかもしれないアドレスでなく、自分の都合で決め打ちしたアドレスを使いたい、とかであればユニークローカルアドレスを使えばよい >>265
>>266さんのいうように、
自分でプライベートアドレスを構成することはできる。
ただ、NGNからプリフィックスをもらっていて、
グローバルアドレスGUAが構成されているなら、
通常はそれをLAN内の通信でも用いるだろうね。
各PCのMACアドレスからGUAは自動生成されるから、
各PCのGUAも半固定になる。
しかし、LAN内の通信はふつうはIPv4のプライベートアドレスを使うんじゃないかな。
IPv6のGUAと共存させるわけ。そういうところがほとんどじゃないかと思う。
プライベートのIPv4が使えなくなったときに、IPv6のLAN内通信を考えればいいんじゃないのかな。 >>268
確かに今はipv4のプライベートアドレスの拠点間通信で何も不自由ないですが、
ipv6も持たせてる状況で、他拠点のPC名にtracertすると名前解決でipv6が帰ってきてトンネルではなくNGN網側を回ってアクセスしてるようなので(フィルターがあるのでpingが返るだけですが)それをトンネル通せば、通信のパフォーマンスがあがったりするのかな?と思いました。 素人なので外していたらすみませんが、bridgeを使っていたらRAが使えないので
IPv6アドレスを手動で振らないといけないかと。
ブリッジインタフェース(ブリッジ機能)
http://www.rtpro.yamaha.co.jp/RT/docs/bridge/index.html
RAによるIPv6プレフィックスの配布機能には対応していません。 >>269
普通に考えれば、トンネルの処理が増える分、パフォーマンスは落ちるだろう。
NGN直接の方だけフィルタがものすごく大量に入ってる、とかだと違うかもしれないけど。 あっちを使いたいみたいだから、NetVolanteDNSじゃ役立たずだよ。グローバルじゃないんでしょうね。 >>272
西でも無料だけど、その場合はプロバイダとIPoE契約でインターネット出れないとだめ >>274
インターネットのIPv6サービスならいける
登のやつはガラパゴスフレッツ網内限定
企業で使うならフレッツVPNワイドのほうが手離れいいと思う VPNワイドはPPPoEだからね
昔よりスピード出るようになったけど網内折り返しならv6のがやっぱ速い >>274
>>277さんの指摘している通り、
i.open.ad.jpのは、NGN網内にサーバーが存在する。
しかし、yamahaのDNSはインターネットに出られないと使えない。
したがって、NGN網だけで通信する場合、
yamahaのDNSはIPv6対応だとしても負荷。
こうなったのは、NTTが西と東に分かれているから。
NTT東のNGN網にサーバーを設置するまでの経緯が、
i.open.ad.jpの案内に記されていて面白い。
ダークベーターとか出て来る。 i.open.ad.jp 外から引けるだろ適当言うなよ
NGN網内だけの契約(東)の回線でも使えるのが彼ががんばった所 >>280
どこに外から引けないなんて書いてあるのか?? >>281,282
寝ぼけてたようです。申し訳ない 登のやつはガラパゴスフレッツ網内限定
これに反応してるなら間違いではなくね? >>284
登のやつはガラパゴスフレッツ網内限定(の利用者に対応) RTX 1210をスイッチングハブとして使うことは出来ますか? LAN1ポートはスイッチだからYES。
けれど、インテリスイッチ代わりに使うには仕様が微妙なので使いたい事が出来るかよく確認したほうが良いよ。 >>290
専用型番持っていたりするカラオケ向けとかに作った物を市販してみただけだろうね。
ローカル環境で遊んでみたいならばCenturySystemsが以前から出しているよ。コッチはNTT系御用達。
クラウドならば各種仮想UTMで遊べる。 vyattaを弄ってる人は意外といるんじゃないかな。 rtx830の新ファームがでてたんだな新機能ってことだけど、これはRTX1210にもついてくるのかなぁ >>290
対向もYamahaでないと、使う意味ないよね。 >>297
830の方が能力余裕があるから…。それでもパフォーマンスがかなり落ちる。
1210だったらUTM組み合わるかいっそ置きかえた方が良いだろうね。ヤマハのライセンス単機能なのに高過ぎでUTMの保守込みフルライセンスに手が届きそうw 結局FortiGateに代わるような製品は技術的に作れないもんかねえ Fortiが売にしてるけど
ヤマハは石の設計出来る数少ないメーカーだと思う
830機能追加より仮想ルータより
3500/5000の機能追加なり後継機種なり先にやれ
機能的にはRTX最下位の830で出来て1,2番の上位で出来ないことあるってのはなあ マジ?
月曜朝からトンネル切れてる客対応とかめんどい netvolante-dns、まだ直ってないの?
昨日の16時までじゃなかったんか?? >>306
goコマンド実行してもサーバーに繋がらないね ふふ…VPNがつながらないってさっきから連絡が来まくってるけど
復旧終わってないのね # netvolante-dns get hostname list all
(Netvolante DNS server 1)
エラー: サーバに接続できません
DNSのキャッシュとか、そーいう問題じゃなてと思うんだけど ようやくDNS障害発生中の一報が出たね。敢えてageとく。
障害発生前までにupdateされたIPアドレスの解決が出来るのは不幸中の幸い。
http://www.rtpro.yamaha.co.jp/srv_info/nvdns/failure_20191007.html タダで使ってるからあまり文句は言えないが
自前で互換サーバ建てられないかな >>313
仕組みから憶測して、秘密鍵をどうにかしないと立てられないのでは無いかと思う。
企業向けだとそれなりの手続き踏んでNDAを交わすなりすれば、そういう隠れメニューはありそうではあるけど。
現実的には、小規模運用なら代替のフリーDNS的なサービスをluaスクリプトで叩いて一に備える方がいいかもね。 >>315
こちらも手動更新出来たことを確認できた。乙>中の人 >>317
取りたくても取れない環境もあるのよ(涙) >>318
`¨ − 、 __ _,. -‐' ¨´
| `Tーて_,_` `ー<^ヽ
| ! `ヽ ヽ ヽ
r / ヽ ヽ _Lj
、 /´ \ \ \_j/ヽ
` ー ヽイ⌒r-、ヽ ヽ__j´ `¨´
 ̄ー┴'^´ >>321
luaって、低レベル言語なのかな?
やろうとすることに対して、
コード量が多いように思う。
ライブラリが整ってなさそう。 >>322
RT/NVRのビルトインluaが「コアライブラリ」と「RT/NVRコンソールコマンドアクセス用luaライブラリ」
しか積んでいないってだけでは? トンネルエンドポイント複数指定できるようにしてほしい
優先指定決めて接続する場合は先頭から順に
接続される場合はすべて受け入れるようにしてほしいな
同じ相手でも別経路やDDNSが障害受けているときに別のDDNSサービスして冗長性上げたい
いちいち名前・アドレス別にトンネル作るの面倒だし数だって限られてるし >>324
素直に固定ip使えば良いのに。プロバイダ費用込みで¥500位からあるよねぇ。 >>327
そういう言うのは遅いところばかし
速いのは ttps://ipq.jp/plan/ipoe2/ の IPeEだろうか。
このIP8個は手ごろ感があるな。
誰か使ってないかな 固定IPのv6プラスってポート数も多いんかな?
なら使い道あるかもしれんけど >>331
ですね。v6プラスはもとからアドレスは半固定の
イメージで、1アドレスの共有/分割の母数の違いかと。 固定なら1IPアドレスが使えるポートすべて
0から65535番まですべて使えるって事でしょ
だから一般的なポート使うサーバー利用も可能 >>327
DDNSだけの話ではなくて携帯データ通信とかもバックアップで使いたいのもあるんよ >>328
手ごろ感なら
https://21-domain.com/html/hikari-ip.html
固定IP8本/月額10,270円(税込)
>>332
単なるv6プラスだと、IPv6プレフィックスが変わったときにはIPv4アドレスも変わることがある(半固定)。
一方、固定の方であればIPv6プレフィックスが変わってもIPv4アドレスは固定。 外部DDNSをお手軽に更新するのにこれも入れてる
schedule at 990 */* *:*:00 * lua -e "rt.httprequest({url=\"http://f5.si/update.php\?domain=HOSTNAME&password=PASSWORD\",method=\"GET\"})"
1分おきにDDNS更新を行う
・登のところはこれで更新
schedule at 991 */* *:*:10 * lua -e "rt.command(\"ping6 -c 1 update-*****798af.i.open.ad.jp\")" >>335>>337
たぶん同じ人だと思うけど
ありがとう
試してみる! IP8個もいる?
HAプロキシからめたりすればそんなにいらんのでは
月額500円の1個で十分 なんでも馬鹿みたいに多いほうが良いってやつもいるんだよ
理由聞いても馬鹿みたいな言い訳しかしない NTT西のフレッツネクストを使っています。
それまで使えていたのに、IPsecパケットが急に通らなくなってしまいました。
しかしそれでもICMPは通っていました。(ログで確認)
前後で設定を変更したわけではありません。
再起動しても駄目で、どうしたものかと対策など考えていると、
数時間後に再びIPsecパケットが通るようになりました。
ICMPは通るのに、急にUDP 500やESPが通らなくなることからそういう問題に気づきました。
NGN網って、何か日々通したり、通さなかったりといった制御でもやっているんでしょうかね? >>341 たんにKeyのタイムアウトが起きて、
死活チェック入ってなくて再Key生成しなかっただけじゃね? >>342
それではなさそうです。
DDOS攻撃受けた時って、
プロバイダが通信止めてくれたりする?
それかもしれない。
RTX1210のCPU使用率が100%になって、
劇遅になったから。
どうだろう。
RTX1210のCPUの使用率を100%にするって、
DDOSを受けていたのではないかと思う。 >>344
それが内向きには動的フィルタによるブロックを行っているのですが、
リジェクトログはありませんでした。
PPインターフェイスが、Detect down via LCP keepalive でなんども切れていました。
そのため、IP Commencing (DNS Query というログが溢れて、
異常になる前の様子を確認できませんでした。
これを確認しておけばよいというのがあれば、
教えてください。 Disconnecting, cause [PPP: LCP Keepalive failure]
Give up establishing PPP/IPCP in ACKSENT
Give up establishing PPP/IPV6CP in REQSENT
CPU使用率が80%を超えています。というメッセージが
ダッシュボードに載った時間のログがもうありません。
上記のPPに関するログはそれから30分が経過したときのものです。
IPv6 IPoE経由(NTT網内折り返し)で当該のRTX1210にリモートアクセスするものの、回線が遅くてtelnetすら使い物になりませんでした。
やはり、プロバイダに心配されて、通信ブロックされて助けてもらえたんでしょうか?
明日、電話してたずねようと思っています。
こういう聞き方をすればいいよというアドバイスがあれば教えてください。 >>345
そもそもコネクションしようとしなければリジェクトされない NGN網に嫌疑を吹っ掛けるのはいくら何でも、頭おかしい 嫌疑をふっかけられてもおかしくないくらいNGN網はおかしいけどなw どう考えてもルータ側の問題だろ
聞くならヤマハじゃないの CPUリソース食うとヤマハはコンソール簡単に死ぬでしょ。Ciscoとかは大丈夫だったりするんだけどね。そんな時はいくら回線冗長していても無駄。
LAN側でブロードキャストストーム出したとか、P2P的な物が動いていたんじゃない?
昔病院でインターネットが度々使えなくなるって見に行ったら院長の息子(副院長)がP2Pやっていた事があるなwww >>352
インターネット側でなくて、
LAN側だと考えられる理由は何かあるでしょうか。
しかし、ブロードキャストストームの経験はあります。
そのときは、あるスイッチングハブに接続されたPCを引っこ抜くことで解消しました。スイッチングハブのアクセスランプがずっと点滅してました。
そういえば、RTX1210のダッシュボードに、
LAN1について、パケットカウンタがどうのこうのというエラーが載っていました。
一体なにがCPU利用率を100%にしたのか、
何も確かなしっぽをつかめないままです。
>>347
DDoSは、コネクションがない場合、
何もログに残らないってことでしょうか。 言い忘れました。
皆様、レスありがとうございました。
考えを広げるのにとても助かりました。
ある人物が、LANケーブルを交換したら、
治ったと言ったらしいことを思い出しました。
この人が、ブロードキャストストームと関係があるのかな?と思っているところです。
何か、誤接続したことをもとに戻して治ったのか、
それともケーブル不良でブロードキャストストームが引き起こされるなんてことはあるのだろうか。
この人物に詳細を確認する必要があるようです。 ケーブル一本つなげるだけで、ブロードキャストストームを起こせて、
ネットワークをダウンさせるなんて、そのお手軽さが恐ろしい。
LAN内はどこもこんなふうに原理的な脆弱さを抱えたままなんだろうか。 ブロードキャストストーム
https://ascii.jp/elem/000/000/561/561903/
LAN内のPCまでダウンしてしまうようだ。
どんな対策ができるんだろうか。
対策済みのスイッチハブに交換するしかないのかな。 LAN接続していたDVDレコーダーも影響受けて録画失敗したことがあるわ(笑) >>357
ケーブル1本追加で破綻なんてそもそも設計がおかしいよね ルーフ時のポート遮断なんて今時インテリスイッチじゃなくてもできるよね。 古い牛の無線LAN子機が停電明けに発狂してLAN内不通になった事はある
INTELの10GNIC搭載のwin10機がブルースクリーンで落ちると発狂してLAN内不通になった事はある スイッチはご家庭でもNETGEARかTP-LINKあたりの
安L2スイッチにしとけば色々と捗ると思うよ
8ポートでも5000円しないし
ヤバそうなマシンはVLANで隔離できる 正直、今はTP-LINKのほうがNETGEARよりマシなんだよなぁ… TPはなぁ、後からイロイロ脆弱性オンパレードで出てくるし。 >>361
ブロードキャスト関係のストームなのかな
アクセスランプ点滅してました? >>353
攻撃を受ける対象になる何かした覚えがあるか、受ける様なサービスをWAN側に何か提供しているの?
攻撃側だって意味の無い事はしないぞ。
状況からは普通の使い方ならばまず内部を疑う。
ループやP2P、感染したPCやIOTデバイスのトラフィック辺りが考えられないかな?
攻撃を受けたのだとすれば、公開サービスがあれば真っ先にサービスを停止してサービスを提供していたサーバーなりに痕跡が無いか、他に入られたPCは無いか等調べる必要性がある。
放置すると攻撃者側になるよ。
今回はログすら管理できていない様だから、最低限syslogを別にたてて飛ばしつつUSBにでも格納すれば良いと思う。 >>368
外部へのサービス提供はしていません。
ただメールの配信はしているので、
そこにIPが漏れています。
内部の調査をしたいと思います。
ログは、syslogサーバーに格納するようにしたいですが、
CPU100%になったとき、リモートからの接続もできない状態になったので、心配です。
おっしゃるようにUSBに保存するように設定すれば大丈夫なのかな。 100%負荷時はUSBも怪しいよ。
複数ってのは、取れていないとか改ざんされない為に行う。流れていって分からないよりも取れていた部分までを保全できる方が良いよね。
本気ならUTMが… >>366
隔離したNWにTP突っ込んで
YamahaでPass-logして、一ヶ月ほど放置しておくと
なにか出てくるんじゃ無いかな 1210なんて5年前の機種が主力なのがそもそもおかしい
ヤマハ手を抜き過ぎ 専用ASIC載せてるfortigateのスペックには勝てないんだからしゃーない
日本独自のガラパゴス通信規格に対応してくれるならそれでいいよ もしかしてセンター+4拠点で拠点ーセンター間の拠点間VPNを張る場合に、センター側のルーターって1210選ぶより830選んだ方が性能よかったりする? >>374
大体6年毎更新だから来年新型出るんじゃね ヤマハはTorrent使うとすぐいっぱいいっぱいになったイメージ そら犯罪者ツールになんか対応したら幇助罪に問われかねないからな
トレント検知したらダウンする仕様にするのが正解だよ >>382
監視カメラのストリーミングで、
RTX1200はすぐにCPU使用率が高くなって、
pingの遅延やパケットの欠落が生じたな。
でも、RTX1210にしたら余裕ができた。
RTX1210を使うべきだな。 嘘くせぇ、監視カメラごときの使用帯域で1200/1210で差が出るかよ・・・ マジでTorrent1台ごときで100%になってたら会社のメインルータとしてやってけるのか?って疑ったさ RTX830のファームのリリースノート見てみろ
Yamaha曰く落ちるのは仕様じゃ無いらしいぞw >>385
DHTとかいうオプション付けて起動すると死亡(笑) おいおい、1200とかいつの機種だよ
まだ使ってる奴いるのか? >>388
交換するとMACが変わるので、
IPv6アドレスが変わるため面倒。 >>388
1210出てもごらんの有様だったからなぁ
ヤマハの初物は怖いけどそれを見越して併売期間が長いのが嬉しい
config互換あるんだからさっさと切っちゃいそうなもんなのに 1100でもキャノンの監視カメラ10台の録画保存で止まったりはしない 監視カメラといっても河川監視とか国道20号ライブカメラとかだとつらそう 1210の後継出る前に3500と5000のモデルチェンジだよなあ
1220はまだまだ先な気がする 3500と5000クラス作ってもあんまり売れないからつくらないんじゃないの?
ヤマハのメインターゲット層って1210以下でしょう? >>389 だからその程度でCPU100%になんかならねぇって・・・
どうして、ルーターが動画に左右されると思うんだよ
RTXでCPU使うのは、
・悪名高きトレンドのURLフィルター(有償)
・NAT使いまくり
この2点だけ >>397 それもありえねぇなぁw
枯れた部分でCPU100%なんかにならねぇよ・・・
1200舐めすぎ >>395
ヤマハ社内のルータってやっぱりヤマハなのかな?
音楽教室でRTX1200っぽいのは見た 1200ゴミじゃん。不正アクセス検知とかやらせてIPフィルターかけてPPPでNATして300Mbpsくらい流すと60%超えていたぞ。 そもそも不整アクセス検知はルーターの仕事じゃないだろ
Fortigateでも使ってろ >>398
でも、RTX1210に交換したら、
ぜんぜん余裕になったけどなあ。
CPU使用率が最大でも50%程度で、
普段は数%にしかならない。
自分は、RTX1200からRTX1210にしたら、
遅延の症状がなくなったので、
RTX1200を舐めるしかない。 この週末からのイベント行く人いないの?
ヤマハはこのタイミングで翌年、翌々年、その後くらいでロードマップだす
去年の発表通りなら今年はvリリースで来年は3000/5000シリーズ後継 >>390
ciscoみたくlink-localアドレス指定でホスト部固定出来るといいのとは思う 1200も自然故障しだす時期だな。
電源再投入で復帰したけどすぐ調子悪くなるとか WAN/LANが10GbE化されたRTXっていつ発売されるの? >>410
ハードは丈夫だから25度程度の室温に抑えられていれば、故障率はかなり低いよ。1000や107や58もまだ現役多数。 言えてるDCのRTXは余裕で20年無問題で使えそうだ・・・ >>412
客 「Nuroにしたのに全く速くない!どうなってんだ!!!」
営業 「すいません。今すぐ技術に対応させます」
俺 「RT56・・・だと・・・」 >>414
さすがに草。
普通、構成的にそのまま移行は設定変更あるだろうしあり得んなあ。HUBとして残っていたなら分からんでも無いがその際はそんなに速度に不満は無いと思うとマジレスw 先日のnetvolante-dnsのメンテナンス、故障?の復旧以降、夜中の1時くらいに毎日5分程度、
名前解決失敗する時間帯があるんだけど当方の環境だけでしょうか?
主に東日本フレッツ配下の数十台のRTXで起きています RTA54iがまだ動いてる客があった
>>411
RT58iだって「次はギガ」って予想してたら100BASEかよって言ってた覚えがあるからパソコンで普及しきってからだろうな 10Gはチップが冷たくなってからだろうな
今は派手なヒートシンクが必要な熱さ
1Gの初期もそんな感じだった
すぐ固まる蟹とか 携帯電波ギリ入らない別荘にNVR700W置いたら
流石にアンテナがデカいせいかLTEで通信できてる
IPカメラ設置して家の周囲見れるようになったぜ 先輩の皆様に質問があります
現在、RTX1210を2台使ってl2tpv3の勉強中なのですがl2tpv3のバックアップ回線ってつくれますか?
RouterA RouterB
LAN2-----l2tpv3/ipsec(tunnel1)----LAN2
LAN3-----l2tpv3/ipsec(tunnel2)----LAN3
LAN1をbridgeしていて、tunnel2をバックップ回線にしてみたいのですが、できません
勉強環境のため、RouterAとBは各ポートを直結しています
出来る出来ないだけでもいいですし、ここ参考にしろでも良いので、宜しくお願いします l2tpv3ってL2レベルで処理するから
経路バックアップみたいな事は無理じゃね? 何をどうすること考えてるのかその書き方で分かりやしない RTX1210再起動したら
ログに
[DDNS] retry to update. server = 1 (count = 8)
のような記録があるんだけど、ネットボランチDNSの障害でしょうか? いままでIPv4でVPN(L2TP/IPsec)を設定してたんですが、
IPoE接続(OCNバーチャルコネクト)に移行したらVPN使えないんですかねぇ? >>426
動的(という名の半固定)相当だと使えない
IPv4アドレス固定の方だったら使える >>427
ありがとうございます。
すこし調べてみたんだけど
RTX830にIPoE接続(OCNバーチャルコネクト)設定して
その配下にRTX810でPPPoE ipv4設定すれば(二重ルーターだけど)
VPNできそうですね。 うちはIPoE(v6プラス)とPPPoE2つ同時に1台で使っているよ。VPNはPPPoE側に向けてる。 >>430
一台でできるんですね。
設定がどこかに落ちていませんかねぇ… うちはインターネットはIPoE、別荘とのVPNはPPPoEのグローバルIP使ってる
PBR使わないとダメだった。
ヤマハ用語だとフィルタ型ルーティングかな? RTX1200でV6プラスとPPPoEのマルチセッションできてるよ
マルチ
PPPoE側でVPNもできてる
普通のマルチセッションとVPNの設定でいいと思うけどね ああ、そういえばWANを2ポート使うから、
そこの設定だけは変えたかな
LAN3をV6プラス
LAN2をPPPoE
にしたと思う RTX5000後継マダ〜
だいぶ待ってるんだけど〜〜〜 >>428
”二重ルーター”
この言葉について、当スレではプロスアンドコンがあります。 Rt58iとNVR500でひかり電話のカスケード接続やったら簡単に出来たわ。
発信だけ少しトラブッて、コマンド流し込んだらでけた。
この拠点接続ってPPTPなんだね??
セキュリティ的に良いイメージないけど、実際どうなんだい?? >>441
セキュリティ的にはフルチンでスラム街を歩く感じ PPTPって暗号無しの平文で流れるから、拠点間接続の有線接続のみだと安全じゃなかったけ??
どっかの公衆wifiならヤバそうだけど… 音声だから問題ないだろ
どうせ猥談しかしてないんだろうし ちゃんとVPN引きたいならRT107eとか上位機種つかえってことだ
NVR500はPPTP危険って騒いだあたりで急遽ソフトIPSec搭載するようになったんじゃなかったっけ? >>441
経路上でパケットキャプチャされるような環境では危険だね
>>443
暗号化はしてるけど解ける強度
クラックツールも出てる >>445
一時期携帯キャリヤによってはPPTP使えなくなった時期があった気がした
たしか初期のSPモードは使えないと思った https://archive.yamaha.com/ja/news_release/2014/14060401.html
RTX1210発売から5年
まー初物は危険だから避けてたらほんとに調子悪くて呆れてたから
実際に客先に納めだしたのは2015年秋頃からか >>445
>RT107eとか上位機種
は?
いい加減1210の後継出せや RT58iに対しての上位機種だよ
細かいこと気にしてるハゲるぞ PPTP以外で拠点間接続しようと思ったら、VOIP機能搭載していない機種しかないね。
まぁ、NECのIXと違ってSIP-NAT機能あるから単純にVOIPルータ増設で済むからいいけど ヤマハのVPNってVoIP機能の拡張として作った感あるんだよな
そろそろフルモデルチェンジされそう
いちいち enable とか conf t とか打つのめんどいからやめてほしいけど 想定してる客層が違うんだろう
一台のルーターで何でもやろうとしなければsip-natは要らん機能だからな >>455
sip-natは重宝している。
データコネクトしようと思うと必須 NECのIXシリーズは高性能だけど、SIP-NAT機能がないから、ひかり電話が当たり前の今は使い難い 今日営業と話してきたけど1210の後継期発売は来年中頃みたいだよ 通常だと
1.秋のセミナー?で言及
2.翌年のinteropでXナンバーとして展示
3.同年度に発売
4.同年秋のセミナーで説明
※3は4に前後する事アリ
今年のセミナーではルータの新製品に言及は無かったけど、新製品出るんかいな。
RTX5000/3500系が、順序としては先の筈なんだけども。
まぁ、新製品のDPIを乗せるのに、RTX1210だと性能足りないのかもしれんが。 斜め上でSIMスロット搭載RTX1210みたいなのが出るかもしれん
外部アンテナ端子つき ヤマハのアプリケーション識別まともに動くんかいな
ルータ以外の事に手を出すといつも失敗してるからな OEM先のぁゃιぃ製品としてFortiGateとかと同じぐらいの値段で売られそう 間違えた、発売じゃなくて来年中期に発表
>461
確かにセミナーで言及は無かったけど、
イノベーションフォーラム仙台で名刺交換した担当者と雑談しててついでに聞いたら教えてくれた >>466
セミナーで担当が、先日に営業が話してたなら確度高そうですね。
#セミナーではルータ開発担当の方と、RTX1210の後継の話もしたけど
#教えてもらえんかった・・・
来年中頃ならinterrop発表で、来年「度」中頃なら来年秋セミナー発表かな?
#前者なら来年度中の発売もありえるかなぁ 前HUBの売り込み来た時には機能追加頑張ってる最中だったっけ
まだ客に納める勇気はない >>461
今年は発表なかった?
去年のロードマップだと来年は3k/5k後継予定だったけど開発遅れてるのか
どれだけ売れるか分からんハイエンド引っ込めてAWSオンリーか WiFiを社員のスマホから繋がせようかなあと思っているんですけど、
Radiusシステムで個人認証を通した方が良いだろうか。
調べると、YamahaもRadiusサーバを統合した機材を出しているので検討中です。
とある大手のネットカフェは、WPAの認証だけでネットに接続させているようですが、
しかしそれでは、もしインターネット上で犯罪が引き起こされた場合、
ユーザー(不特定多数)を特定するのは無理ではないかと思います。
個人認証のRadiusは大袈裟なのかな。 個人認証だってWPAだけど。てかスレ違い
社員は出入りあるだろうからPSKだと運用面倒でしょ
どうせADあるんだろうからそこで認証させるのが楽 WLX202でOSがwindows10だと起動時から自動接続しない事例があるんだけど
そういう人いる? 次の後継機はeSIM対応してくれて複数SIMできるようにしてくれ 保守されないといけないのか。
さびしいなあ。
この前、NTTからレンタルのGEPONが故障した。
ヤマハルータが暴走するはめになった。
交換で回復した。
やれやれ。 ツイッター見ると個人自宅でYAMAHAルーター使ってる人
それなりにいる感じだけどね。
俺も使ってる。 今時RTX1200使ってるとかマゾ
そして新しいRTX830とかは高くて買えない連中をヤマハユーザーと認めて良いものか・・・ うちは都内自宅と長野の別荘で700W使ってるよ
自宅はひかり電話用、別荘は4G経由で動体検知カメラ置いてる
完全プライベート用途
830じゃ不足 用途が違う例挙げて不足言われても、そうですかとしか言えん罠 RTX1210の後継機が出れば、RTX1210が中古で出回り・・・このスレが活性化するはず ヤマハはWiFiに手を出さずにまずRTX1220出せよ 見える化なんかに力入れないで
接続性に力入れてくれよ
それにリモート含むコンソールも入れてくれ
WLX202は買って後悔レベル ip route default gateway tunnel 1
lan1:192.168.2.1/24
lan2:172.16.0.1/24
な設定のルーターがあります。
Lan2 の 172.16.0.0/24 たちを 192.168.2.2 と名乗らせて(nat masquerade?)
tunnel1 から外に出したいのですが、どうやったらいいのでしょうか。
nat descriptor type 1 masquerade
nat descriptor inner address 1 172.16.0.1-172.16.0.254
nat descriptor outer address 1 192.168.2.2
ip lan1 nat descriptor 1
とやってみましたが、172.16.0.0/24 のまま tunnel1 に向かってしまう感じです。
→ nat より先にルーティングが効いてしまってる気がする lan1 にいる 192.168.2.0/24 たちは、アドレスを交換することなく、そのままのアドレスで tunnel1 に出したいです。
ip tunnel nat descriptor 1
でもダメでした。 lan1じゃなくてlan2でやってみ
ip lan2 nat descriptor 1 >>485
業務でヤマハのAPを選ぶ事は無いからだな。
プライベートでも激安じゃ無い限り選ぶ理由も無い。 たとえば PPPoE で lan1 が内側で pp が外側のとき
nat 〜 は pp に適用するじゃないですか。
172.16.0.0/24 にとっての外側は lan か tunnel1 じゃないのでしょう? nat descriptor type 1 masquerade
nat descriptor inner address 1 172.16.0.1-172.16.0.254
nat descriptor outer address 1 192.168.2.2
ip tunnel1 nat descriptor 1
で行けると思うんだがダメか? >>494
ありがとうございます!
それにてバッチリできました。
なんで悩んでいたのか良く分かりません。。。 >>491
お前、良い職場にいるなぁ
俺なんかバッファローとYamahaの二択になることが多数だぜ・・・
なんでarubaじゃダメなんだよ畜生 WLX202はwin10だと繋がらないぞ
WPA2-Enterpriseの内蔵RADIUSで繋がらん
WPA-PSKでも起動時に自動接続せんわ YAMAHAのAPはあかん・・・
うちは運用重視で今後買うのはMerakiにした
200台くらいまで増やす予定 股間のバッファローに元気がありません
どうすれば元気を取り戻しますか? RTX1210によるipsecトンネルなんだけど、特定の装置からのUDPの帰りのSIPパケットが落とされているみたい。
SIPデバイス⇔ルーター⇔RTX1210 >==tunnel==< 受け側ルーター⇔サーバー
RTX1210のこのtunnelに掛けたOUT方向(上図の右方向)のフィルタには通過が記録されているんだけど、
受け側ルーターにてパケットが到着していない。
しかし、それ以外の装置からのSIPパケットはきちんと受信できており、受け側ルーターでもパケットの到着もログで確認できた。
しかしさきの特定の2台からの返信UDP SIPパケットは、tunnel直前までは確認できるが、
その先で消息不明になる。
この現象に去年から首を傾げている。
きっかけは、RTX1210を経年劣化を防ぐためリプレースし、
ファームウェアのバージョンを最新に替えてからだ。
なんだと思う? >>502
受け側ルーターについて書いていませんでした。
LibreSWANなのです。
RTX同士なら問題ないので、何かLibreSWANとの間で問題が発生しているのかもしれません。
しかし、何度も言うように、他のSIPデバイスからのSIPパケットでは問題が発生しないんです。
MTUの設定で問題が起きているのかもしれませんね。
もう少し、調査してみます。 >>502-503です。
MTUについても調べました。pingのパケット断片を許さない方法で、調査しました。
SIPデバイス⇔ルーター(RTX1200) ⇔ RTX1210 >==tunnel==< 受け側ルーター(LibreSWAN)⇔サーバー
RTXのtunnelのMTUはデフォルトで、1280です。
実際、上図の、右のサーバーから、左のSIPデバイスへテストしたところ、
1252バイトのデータは通りましたが、1253では通りませんでしたので、確かに1252+28=1280になっています。
また、SIPデバイスは既に、RTX1200とRTX1210との間にあるIPsecトンネルも通過しているので、
MTU1280が問題ではないようです。
念の為、問題のtunnelを張っているRTX1210に繋がったローカルマシンからも、1252バイトデータのicmpをサーバーに送出しましたが、
問題なく届きました。
わからないのは、他のSIPデバイスからのSIPパケットはきちんとサーバーに届けられているということです。
これももちろん、問題のtunnelを通過しています。
これらのSIPパケットと、問題のSIPデバイスが送出するSIPパケットの違いはなんでしょう。
ソースアドレスと、データサイズくらいでしょうか?
>>502で書いたように、RTX1210を新しいものにリプレースし、ファームを最新に上げたことでこの問題が発生するようになりました。
何か、奇妙なバグでもあるのではないかと疑念が湧いてしまいます。 >>504
ファーム戻したら解決するの?
するならサポートに連絡してみたら? >>506
確かに念の為に確かにしたほうが良いですよね。
しかし、ファームを戻すのさえ怖いわ。
予期しないトラブルが一番怖い。 仕事でルーターはYAMAHA多いけど、APはCisco、aruba、ruckusだなぁ 仕事でルーターYamahaとかどれだけ予算少ないのよw 初代RT100iをIIJとの接続でIIJが持ってきたよ >>504
DSCP何になってる?フレッツ使ってIPv6でVPNしてるならそれで落ちるとかあるかも。 >>514
優先制御でしたっけ。
通過するパケットに対して、フィルタで確認とかできるでしょうか。
それができたら、トンネルを通過できるパケットと通過できないパケットの区別ができるかもしれないですね。
リリースノートみていたら、
DSCP値がコピーされなかった問題を修正したなんとかかんとかと書いてあったのが気になります。つまり、ペイロードのパケットのDSCP値がトンネルのカプセルパケットにコピーされるということですよね。
しかし、ヤマハルータは、その辺りの書き換えなどのコマンドがなかったのでないかと思います。 >>515
DSCPでなく、TOSでした。
しかも、IPIPトンネルでの話でした。 >>517
レスありがとうございました。
このコマンド、
ip tos supersede id tos [precedence=precedence] filter_num [filter_num_list]
をどのような値を設定すると、
考えられる問題が解消すると考えられるでしょうか。
このパケット内部の話になるとわからないことばかりです。 まず「フレッツでIPv6でVPNしてる」の?
もしそうならば特定の端末やアプリケーションがパケットに色付ける事で網側で落とされる事もあるかな、と思った。
https://ch.nicovideo.jp/tsutsui/blomaga/ar1652866 >>519
はい、使っています。
しかし、ipsecパケットと中身のパケットとの間で優先制御ビットの転移が、RTX1210で生じるのかがはっきりしません。
教えてもらったページのリンクに、
https://www.infraexpert.com/study/qos7.htm
有用な情報がありました。
DSCPを000000(=0)に書き換えれば、
優先制御情報を解消できそうです。
さきの、ipsec外側パケットへの転移がどうなのかわかりませんが、RTXを通過するパケットでトンネルの前に、>>518のコマンドでDSCP情報を解除できたら良いのにと思います。 >>503
受け側でパケットキャプチャして届いてるかどうかだけでも確定させた方が良いかと。
届いてるなら優先制御は後で考えて良いはず。 >>521
レスありがとうございました。
実は、DSCPの書き換えでうまく通信ができるようになりました。
>>518のコマンドと、>>520の値への書き換えで成功しました。
おそらく、NGN網において、優先制御情報の入ったパケットが蹴られていたと思われます。 >>522
解決おめ〜
ngn の資料見たら確かに破棄しそうなことが書いてあったよ。 >3.DNSリカーシブサーバー機能でEDNS0に対応した。
そうそう
いつの間にって思ってた DPI使ってるやつおる?
ライセンス買ってみたけど本番環境で動かして大丈夫かな 必要な場合はFortigateとかのUTM入れているから値段考えると選択肢にならないなぁ。
メモリーに余裕あって、多少遅くなっても大丈夫ならばファームを最新に上げてからGO! RTX一台で何でもやらなきゃならない縛りプレイ以外じゃ使わん機能だな 専用線の高価な帯域がWindowsUpdateとかに食い潰されてるから
ファイアウォール手前でRTXとDPIでブレイクアウトさせようかなと思ってる
DPIのエンジンはどこのやつ使ってんだろ? フレッツVPNワイド越しであってもWindowsUpdate配布のときは重くなるんだよなぁ
なにがベストだ >>532
WindowsUpdate配布時期には、
以前使っていたISP(GOL)で物凄い遅くなった。
複数のコンピューターであちこちで一斉にダウンロードされるからではないかな。
ISPによっては優先制御しているのかもしれないし、
単純に輻輳しているのかも。 最近は同じネットワーク内のPCからダウンロードするオプションが使えるやん 実機セミナー札幌は雪祭り真っ盛りなんだが
毎年そうだと担当者が雪祭り観たい奴なのか?
北海道広いし札幌まで行こうにもホテル高いし結構埋まってるし
行くの躊躇してたが
新型肺炎がヤバそうなので行くのやめるわw >>530 WSUSはそれなりに経験がないと失敗するぞ
と一応言っておく
仮想でよくね? とか
ストレージ2TBもあれば余裕だろw とか
ドメコンに同居させりゃよくね? とか
思ってると大失敗するで 帯域検出機能って100Mまでしか対応してないんか!
IPoE折り返しで優先制御かけたいのにどうしたらええねん 優先制御ってたいして効果ないな
帯域検出機能だとspeedコマンドを自動設定するから、上下ともその設定に縛られて速度が頭打ちになるんだよ
帯域制御でDynamic Traffic Control使うほうがいい ん?それ使い方間違ってね?
そもそもQoSはキャリア網内でパケット落とされないように
事前にルータで絞って優先度低いパケット事前に落としとくものだから
帯域絞らんと意味ないぞ
ただフレッツは時間帯で速度変わるから自動計測の意味がある
とはいえ今や数百M出る時代だから100M上限はキツいな
もうすぐ10Gフレッツも出ると言うのに ヤマハさんのQoSってCPU犠牲にしてるイメージしかないんだよなぁ。
今の機種はよくなったのかねえ ヤマハは、どんな機能でもcpuゴリ押しだよ
安定動作にはcpu利用率の測定が重要 ヤマハ以外もCPUごり押しだよ
ほんのちょっと前のフォーティーとかも
ウイルスチェックするなら2台買えがメーカーの推奨だったぐらい ルーターとUTMを同列で語るのもどうかと…
アライドのARはウイルス検知はx86の外部PCにぶん投げるオフロード機能があるね。 ルート選択で優先順位を第1から第3まで設定するのはどうしたら良い?
ウエイト設定だと2段階にしかならんみたいだけど たとえば
ip route 宛先 gateway pp 1 hide weight 0 gateway pp 2 hide weight 0 gateway pp 3 weight 0
で、pp 1が繋がってればpp 1に、繋がってなければpp 2に、それも繋がってなければpp 3だけど
そういうことではない?
コマンドリファレンスには経路への重みとしか書いてないが
0の場合は重み0ではなくて、そこまでたどり着いたらそこで確定する >>550
3ルートとも元々upしてると順番にならんよねえ
トンネル落ちたら次のトンネル起動するとか出来たら良いんだけど
結局、ルートの重み付けで優先1と優先2を設定して
トンネルバックアップ機能で優先2と優先3を設定して回避した >>551
ppじゃなくてトンネルなのね
うちでは>>550の例だと、pp 1が繋がってるときはpp 1にweight 0指定があることでそこに確定し、それ以降のgatewayはたとえupしててても使われないんだけど
トンネルだと違うのかな? RTX810でOCNのIPoEでの接続できるのでしょうか?
いちおう設定画面上では接続にはなるのですが
サイトにアクセスすると見つからず表示されません。
RTX830を買わないとやっぱり無理なのでしょうか? >>553
IPoEは使える
OCNのIPv4 over IPv6を実用的に使うのはRTX810じゃ無理 >>554
ありがとうございます
RTX810は生産完了品なのでOCNバーチャルコネクトサービスに対応はなさそうですよね
RTX810でつながってスピード確認できたらRTX830を買おうかと思ったのですが
Atermのレンタルかしばらく考えます >>555
RTX1210の方がトンネル数が多いし、
LAN1、2、3まであるから便利 >>555
生産完了品かどうかはあまり関係ないけど
それよりたぶんハード的に無理
(IPマスカレードのポート範囲の個数が足りない)
計測するのにTCP 32セッションまで使えればいいだけなら、RTX810でもやろうと思えばできる >>555
RTX830買うつもりがあるのならOCNなんてやめてv6プラスの固定IPの方がポート制限もなく快適に利用できるぞ 1210は今から新たに入手するのは微妙でしょ
次機種待つor830の方が良いと思うけどねー >>559
830にできて1210にできないことって? RTX1000 2002.10
約2年半
RTX1100 2005.02
約3年半
RTX1200 2008.10
約3年
RTX810 2011.11
約3年
RTX1210 2014.11
約3年
RTX830 2017.10
そして約3年の今年2020.秋ごろにRTX1230が発売される予定だな
詳しくは無いのだが減価償却とか何かの関係なのかな? >>564
RTX1210
スループット 最大2.0Gbit/s
IPsecスループット 最大1.5Gbit/s
RTX830
スループット 最大2.0Gbit/s
IPsecスループット 最大1.0Gbit/s
勘違いしてる? たしか過去スレで営業に聞いた人いたな
VPN性能はRTX1210
パケット処理能力だったかはRTX830の方が上とか書いてた 過去スレ見てきた
単純なルータ能力としてはRTX830の方が上なのね
ツイッターで 「RTX1210 RTX830 処理」 で検索したら
IPv6 IPoE 800Mbpsオーバーの処理でRTX1210はCPUが追い付かなくてオーバーフローする
って書いてあった
うちのプロバイダはそんなにいかないよ
フレッツ網内IPv6折り返し通信でもやってる企業さんとかも関係があるのかもね
あとNTT系より早い回線の会社を使ってる人とか
そういう状況の人はRTX830の方がいいかもね 最近のヤマハはASIC使って無いでしょ
ARMのパワーでゴリ押し 負荷のかかるDPIも、RTX830のみの対応。
当初はRTX1210も対応予定だったので、CPUがきついのかも。
>563
> 詳しくは無いのだが減価償却とか何かの関係なのかな?
開発チームのキャパじゃないかね。
#例年ならInterop東京で発表。今年の開催は昨年より2ヶ月早い4月。 >>558
今、OCNなのだけど、ちょうどプロバイダの見直しを検討しているところでv6プラスだとどこが良い?? >>571
v6プラススレで聞いた方が良い
ちなみにv6プラスとv6プラス固定IPサービスは全然別物で有る事に注意 >>572
ありがとう。
確かにスレ違いだね。。。
v6プラスとv6プラス固定IPサービスは全然別物なんだ。ありがとう。飛んでく前に良いことが聞けました。 v6プラス利用で固定IPはオプションで追加契約だわ
最初設定のときはじめてのYAMAHAルーターってこともあって苦労した。 >>571
たくさんの人数でネット接続すると、
設備側のNATテーブルが溢れてしまうかも。
一つのグローバルIPv4を複数でシェアするので、
一つ当たりが使える外部port数が少ないと思う。
ネットアクセスの増える夕方以降は劇遅になった。
利用者から文句言われてからv6オプションのtunnelを使っていない。 >>575
まちがえた。上に勘違いしていた。
× v6オプション
○ v6プラス(当初からあったやつ)
それに、>>575のはv6オプションでなくて、
IPv4IPoEでトンネル経由でネット接続するDSライト?のことだった。
ところで、速度は、v6プラスでつかうプロバイダにも依るのかな? DS-LITEは窓口プロバイダーによって使える帯域が違うしキャリア側でNATがかかってるのでホテル用回線のような不自由な状態になる
v6プラスの非固定IPの方はIPアドレス共有型で利用可能なポート数が少なく1024以下のポートも使えないので業務で使うには厳しい
固定IPの方はIPIPトンネル通すだけなので基本的に何でも通る >>559
新機種勧めるのは人柱をやってもらうためなのか?
RTX1210ファーム更新まつりはもう散々だぞ >>578
新機種が出たらすぐ買えと言ってるわけじゃないし
更新祭りが嫌なら落ち着くまで様子を見てれば良い 業務用で、固定IPオプションじゃ無いv6プラスは使えんだろ
端末10台くらいで同じサイト見たらNAT溢れするからな 固定ipのv6プラスってmap-eじゃないならrtx1200でも使える? >>585
元は、今からRTX1210は微妙だから次機種orRTX830という話>>559
なんでそこでRTX1210を買えばいいだけなの LAN3やVPN性能いるならRTX1210だけどね
性能いるってなら次機種まてば? >>588
RTX830でも単独のスピードテストですら500Mbps超えた辺りからCPU負荷が跳ね上がるからな
200~300Mbpsで頭打ちでもいいなら使えるんじゃないかな? RTX1500なんてものが数年前にはあったのに、
RTX1210の後継を待つなんて違和感強いわ RTX1210の上位機種となると
今ならL3スイッチにRTXの機能統合させるとかしか思いつかん RTX1500は生産終了品だが何と比較してるんだ? 見たこと無いけれど、医療なんかの保守回線でIns残っていて、現行古くて置き換え用途なんかだろうね。
カラオケとかだと、サーバーごとクラウドに持っていってそうだし。
もう回線無くなるってのに、某都市銀行からの依頼で自動車メーカーにNVR500を新規で納めたwww ひかり電話に56kのアナログモデムぶら下げるのがINS無き後の1番安定かもしれんなw >>592
型番の番号づけが特殊すぎて誤解を生むのだと >>596
データコネクトを使って、
INSをエミュレートする装置があったような 閲覧者がどのWEBサイトに接続してどのファイルを閲覧をしているか、
一覧できるようにする方法ってないかなあ。
ゲートウェイ先を書き換えてプロキシに流すようにしても、
httpsで暗号化されているので不可能みたいだし。 そういうのはLanScope Catとかの資産管理ソフトでやってるな TLSでもみたいなら
UTMとオレオレ証明書か
proxyとオレオレ証明書でね
まぁPC本体の各種ブラウザ履歴にアクセスしてっ取集するって手もあるだろうけど fortigateにしなよ
ルーターは所詮ルーターだぞ
UTMには敵わない fortigate はAntiviruaとか使うとスループット下がりすぎて話にならん >>599
お金かかってもいいなら Saas Proxy 使うとか どうせ中小なんだからFortiGateでいいよな
ルータ機能もまとめるとすっきりする >>604
forti以外の選択肢を挙げない時点で(ry
sonicwallとかさぁ、他にあるじゃろ? >>605
過去の話なんだなぁ。
60fなら全部有効でもRTX1210や830より速いよ。
rtx830でできること全部使ったら同じ機能で50eより遅そうだけど。 それぞれの得意分野あるから
比較するもんでもないよ
それにUTMをVPN専用機で使うってわけじゃないし
付加機能つける事前提の本体価格設定なんだし
でUTMをVPN単体利用ならRTX使った方がまだいろいろ出来るんで
使うなら両方使うわ >>609
おぉ、60F追加されてるね。
FortiOSのFeature/Platform Matrixにはまだ追加されてないみたいだけど
Ssl-Offloading も出来るなら
憂鬱なときに気を晴らすためにやけ買いしてしまうかもしれんな あのFWX120もどきのForti並みにリース料取ってるやつは、どんな高機能が入っているのか気になる。 YAMAHAヤマハブロードバンドルーターpp select 27 667
>こんな構成を考えている人がいるかは知らないが、
>VRRPv3を使用(IPv6アドレスを使用)した場合、現在おそらくどのYAMAHAルータでも他社製品と混ぜて使用できない。
らしいよ。 まぁべつに他社と混ぜるような案件作るぐらいならヤマハ選ばないし・・・ 自分の担当する案件で、態々マルチベンダーにするとかマゾ過ぎるよなw フレッツ光クロスも発表になったんだから、マジで早いとこ 10Gポート搭載の RTX1220 出してくれ。
RTX1200 がいつまで経っても更新できん。 >>617
RTX1210は、RTX1200よりもすぐれているよ。
トンネルの性能は上がっていると実感した。 10GポートはRTX5000やRTX3500の後継機種が先に実装されそう 今あるL3スイッチにRTXの機能乗せればいいんじゃね? SWX3200導入したよ
ゴミだったけどな
リリースノート見たらわかるけどありえんハグだらけで開発力ないよ、ここは 何が楽しくてそんなのいれたの?
ヤマハの営業さんと飲みでもいったの? RTXをリリースしてるのにL3SWが未だに使い物にならないYamahaに明日はあるのか ヤマハにスイッチとWiFiは無理
大人しくルータのラインナップちゃんと拡充せい >>625
ルータも微妙。
614はRFCを読まずに実装したことが原因だし。 >>623
何も楽しくねーよw
権限持ってる奴がヤマハのヲタク
ただそれだけ >>624
未だにスタック構成しょっちゅう崩れるからな
勝手にスレーブ見失うわ
両マスター化でフリーズとかマジで勘弁してくれ スタックがそんなに不安定なメーカーは見たことが無い。両マスターは判るがフリーズwww
VRRPの方がマシじゃね? ヤマハ初のスタック可能なスイッチだからねぇ…
初物は地雷なんてよくあることじゃん ヤマハの工場とかで使ってるんかね?
RFCが聖書みたいな扱いになってるけどまあいいや ciscoの新しいcat9kだって出始めは中々酷かったし
初物は本当に人柱になる覚悟がなければやめておけとしか言えんな ていうかルーターも開発力なくてやばくね
狭いけど需要があるから今のところなんとかなってるけど 人もハードも余剰リソースがない
ブランチ向けの700や830ばかり機能拡張して
センター向けの上位機種が放置される センター向けなんて売れないからだね。
必要な所はVM使うんじゃない? AWSに繋がった所でその先どうすんだって話だな
しかも流量で課金されるし センチュリーとIIjやUTM各社みたいにx86対応出せば良いだけなんだけど、勇気が出せないのかな。 センターは出荷台数は少ないだろうが併せて数としてはでるブランチもあるわけだし
そういう客層はオンプレなわけだし
買い切り(+保守)前提でサブスクな予算も組んでないし
AWSべったりユーザーでもVPCと830とIPsecでいいし
VPC間ルーティングにわざわざ要らないし
センター向けをしっかりやった上で手を広げるならともかく
センター向けを放置して違う方向目指したら
既存のセンター&ブランチセット買いの客層逃しそう >>641
EC2も多少なりとも安い、ヤマハ的にも実績あるARMで動くならともかく
EC2でx86にしたのか理解出来ない
x86ならx86でベアメタルなりVMなりオンプレ載せれるようにした方が客層広がるだろうに ヤマハルータのCPUって結構まちまちじゃね?
http://www.rtpro.yamaha.co.jp/RT/hardware/cpu.html
統一した方が開発コストも抑えられそうなのになあって見る度に思う その時代の調達の都合もあるし、統一したくてもできんのだろう テレワークが現実味を帯びて来てるわけだがお前らの所はどうなのさ?
うちはセンター1210 100M VPNワイド+100M フレッツ の二回線で50人程
ブランチ830が3箇所 100MVPNワイドで各所20人程
一斉にVPN張ってテレワークとなるとかなり厳しい気がしてきた 何やらすかにもよるんじゃね?
RDP系ならさほど回線負荷はかからない気がするが MSからWVDの資料もらったら
さも当たり前のようにExpress Routeの構成例だった >>646
厳しいって、CPU関連?それとも回線速度?? いくらリモートワークできても、リモートワークできない取引先が飛べば巻き添えだし
仕事しないが一番な気がするよ >>647 PCを持ち帰らせる気満々ですよ
>>646 どっちも あまり関係無いけど、AssumeUDPEncapsulationContextOnSendRuleのレジストリ問題どうやって回避してます?
ヤマハのあの素晴らしいソフトなら勝手に設定してくれてるけど
たまーにホテルとかでつながらないって大騒ぎしてくる人がいて悩む せめてローカルグループポリシの変更みたいに電話で一緒に操作してもらって解決できるレベルにしてほしかったよな
ヤマハのあのソフトで設定するとつながるのはなんなんだよ!って半日悩んだっけ https://pc.watch.impress.co.jp/docs/news/1239352.html
自宅回線が遅すぎて新型コロナ対策テレワークができないあなたに。ソフトイーサがNTTフレッツ回線アクセスポイントを無償開放 〜TV会議やメールなどを優先通信する仕組みを導入 2通もきたぜ
早いの?
フレッツ使ってないからもうわからんや L3SWやめてGUI専用L2SWオンリーにしてたほうがよかったんじゃないかな
新規の出先事務所つくるときの島HUBとか一括購入ならそれなりにヒットしそうなのに
そういう提案するとパワハラで自殺しちゃうのかな リモートワークで、yamahaVPNルーター活用している人ある? 自宅ルータで導入考えてるけどおすすめ機種あります?
rtx810かrtx1200あたりは出回ってる印象ですが わざわざCPUの性能低い方を勧めるなんていけずやわ〜 自宅ならNVR700Wだろ
小型ONUもひかり電話も使えるしLTEバックアップもできる YAMAHAならYZF-R6一択だろ
自宅用なら、これで間違いない R1の方が簡単に速く走れる
もう気合いでかっ飛べるほど若くないんだよ・・・ 自宅用ならNVR510でしょ
ひかり電話もIP電話も使えるしな Web設定だけで済ませたいなら1210あたりにしておきな いまだにguiでまともに設定出来ないけど細かい設定はコマンドでやれってスタンスなの? >>676
IPv6とか設定し始めるとコマンド叩かないといけなくなるけどね
Web画面からコマンド入力できるのは便利だけど強制的にsaveされちゃうのはなぁ・・・
チェックボックスでも付けてsaveするかしないかを指定できればいいのに >>680
ほんとそれ
全てを設定できないのはいいとしても未だにIPv6関係全く触れないの糞過ぎる 下手に出来るようにしたら
GUIしか触れない層のサポート案件が増えるからじゃね? console info onにしてたら客が発狂してた 既にsyslog notice offなオレは勝ち組。 OCNの法人向けIPoEを使っている人いますか?
いま、回線の変更を検討していて既存にあるRTX830に繋げて接続できたら良いな。と思っていまして。
OCNから提供されるルーターが一般向けルーターの様なので、正しく設定すれば稼働するのだと思うのですが、何か特別な設定があるのかも!?と思ったので。
もし何かご存知であれば教えていただけると助かります。 公開されてる情報も確認しないくらいのやつならおとなしく借りとけ
ocnのIPoE対応ルーター02がRTX830 >>690
OCNに確認したところその02のルーターと言うのが、
固定IPのIPoEの時に提供されるルーターとの事なんです。
動的IPのプランの場合は01になってしまうそうで。
説明不足でした。 >>691
説明不足じゃないからそこは安心してくれ
公開されてる設定例を確認もしないなら
01でも02でも設定済みで借りられるの借りたほうが良いってこと >>692
設定例、どこかに載っていましたか。
見落としていた様です。
探してみたのですが、やはり見つからないです。
もしよろしければ、設定例を探すヒントでも教えて頂けると助かります。
設定例が分かれば、そこから調べていけますので。 Q15 ルーターを自前で用意して利用することは可能ですか?
OCNでご用意するIPoE対応レンタルルーターをご利用ください。 屁理屈かもしれんがバーチャルコネクトの情報はあるけどv6アルファの情報はないよね? >>694
そのよくある質問を確認する前に、OCNのサポートに電話して、ルーター01しか対応しない。そしてセッション数は4000までだと。
試しにYAMAHAのサポートに聞いてみたら、フレッツ光ネクストのIPoE仕様とにてるから、うまく接続できる可能性があるかもだけど、
検証や接続確認までは行えていない。との事だったんです。
なので、現在、その回線を使っている人が居れば状況を教えてもらいたかった次第です。 OCNバーチャルコネクトのIPv4 over IPv6と、OCN v6アルファのIPv4 over IPv6と、OCNの法人向けのIPv4 over IPv6(動的という名の半固定IPv4アドレス1個)は、どれでも同じ設定で同じように使えるようだけど
同じだという保証はないし、今使えるからといって今後もずっと使えるとは限らない
たぶんずっと使えるんだろうけど >>691
固定IPならサポートに問い合わせれば裏メニューでレンタルしなくても使える
動的IPはしらん >>697
そうなんだ!それは良い情報をありがとう。
確かに保証がないよね。
だけどずっと使えるだろう。ってのもわかる。
>>698
そんな裏メニューがあるとは。
固定IPだとRTX830なんだよね。
動的IPでも出来たらいいのに。。。 >>686-688
ip filterコマンド使ってないオレは勝ちry
syslog書いているときにおかしなデータ拾ってバグらせちゃうんだろうか >>688
最新版にすると、
それまでバグとか旧仕様の恩恵に預かっていたものが、
改善されることによって、
通信ができなくなる問題もあったので、
なかなか躊躇してしまうよね。
その場合、リモートアクセスできなくなるから、
復帰も困難になってしまう。
設定時間後に自動的に旧ファームで再起動してくれる機能があれば安心なんだけどなあ > YAMAHAさん あるよ
リモートで変更する時にも使えるよ
schedule 時間 restart >>702
旧ファームを指定してrestartできるということか scheduleでrestartの前にset-default-execで元のファームしてすればできるのかな。 >>705
できそうに思う。
あるいは、セミコロンで、コマンドをワンライナーでかけるかな? テレワーク用にVPN疎通させるの、いま流行ってるの? >>707
かなり流行ってる気がする。
自分的には拠点間VPNでなければ、SoftetherでVPNを張る方がお手軽でセキュアな気がするけどどうだろう?? お手軽だね。
RTXでテレワークは個人事業主か、管理者の裏回線用途だけだよな。 ヤマハはコロナ対策のVPN無償ライセンス提供とかやらんの? >>710
windows標準クライアントとどう違うの?
自分はレジストリ書き換えてwindows標準クライアントでRTXに接続している。
L2TP/IPSec >>712
対地もだけど繋いでくる人の環境やリテラシーを考えると、SSLじゃないとサポートしてらんないよ。 >>714
お守りしてるだけの素人なんで違いがわからないんですけど
L2TP/IPsecとSSLってその辺の何に影響するんですか? >>715
横からだけど以前l2tp/ipsecはルーターでパススルー設定しないと繋がらなかったことあったね(家庭用牛ルーター) >>716
udpカプセリングなら問題ないのでは? >>714
WEBサーバーへのリモートアクセスのこと?
RDPとか、メールなどつかわせようと思ったら、
LAN型の相互接続が必要になるでしょ。
IPsec/L2TP以外にできる?
PPTPはセキュリティーがやばいらしいし。 SSL-VPNで検索検索
利用者にL2TP/IPsecの設定やらせるよりはサポートコスト安いわな >>718
RDPだったら 3389 を直に出してやればいいじゃん
複数台だったらポート変換かけてさ
VPNいらない こんなん
nat descriptor masquerade static 1 10 192.168.1.10 tcp 10010=3389
nat descriptor masquerade static 1 11 192.168.1.11 tcp 10011=3389
nat descriptor masquerade static 1 12 192.168.1.12 tcp 10012=3389
・・・
nat descriptor masquerade static 1 250 192.168.1.250 tcp 10250=3389 そんな手間かけるならSoftetherでええやん
それにRDP直接は抵抗あるな >>721
3389開けてるの見つかったら延々アタックされるぞ さくらのVPS for Windows Server は RDP が直に出てて、そこに入ってメンテしてくれって言われたのだが 信用されないかもしれないが本当なのだ
https://help.sakura.ad.jp/206208581/
ID/パス さえしっかりしてりゃ、直で大丈夫なんじゃないの。 いやそういう運用はあってもよいとは思うが
MSを信頼しきるのもなぁっていうのがある
せめてアクセス元を限定はしたい >>726
ユーザー名/パスワード認証だとログイン失敗時の再認証猶予数時間とかにしないと24時間ブルートフォースでログが凄い勢いで埋まるぞ SSL-VPNならブラウザーが使える環境ならばキャリアNATだろうが使えるのが大きい。
>>723
良いんだけど簡単・強力すぎてUTMで止めちゃう事が多いんだよね。 >>725
Azureデプロイ直後のDefaultだとそれだね。 Softerherって強力だから使っている自分が、
これ他の人が使っていたらセキュリティがズブズブに。。。って怖くなる。 >>734
俺も、そのレスをつけようとしていた。
脆弱性に備えてVPNで保護しないとダメだな。
VPN自体に脆弱性があることに備えて、自分はIPレベルで制限をかけている。
IPフィルタレベルに進入を許す脆弱性があったらダメだけれども。 RDゲートウェイの話をRDP晒す話と混同してるのはコントなのかな。
やばいらしいとか抵抗あるとか雰囲気セキュリティ話も香ばしくてとても良いね! 混同してるというよりは脆弱性がRDPにないとは言えないし
セキュリティ語るなら基本は多層防御だろう 自宅や個人用途ならば、直接晒しても自己責任だからまあ良いとしても、業務は流石に無いよね。
認証とプロトコル多重化すれば、両方同時に脆弱性が出なければどうって事は無い。
SSL-VPNで遊びたいだけならばライセンスが切れたFortigateでできるよ。 ライセンス切れたものでもセキュリティホール発見された場合ファーム更新ってできるの? >>740
できないよ
途中から加入もできなかったはず
アコギなライセンス商法やってるからなFortiは SoftetherのDesktopVPNを使ってみたが、設定が楽ね。 設定ファイル配れるし楽だよ
クライアント証明書使えば総当たり攻撃も防げるし >>746
サーバーマシンはなんのOSつかっている?
Windows?
Linux?
クライアント証明書はオレオレのもの? 接続相手の認証だから、オレオレでExport禁止なら普通は十分だと思うよ >>748
クライアント証明書も、いろんなタイプ(WEB用、メール用)などあり、
頭の中が整理が付いていません。
どうやってSoftEtherのクライアントオレオレ証明書をつくれるか、
参考サイトがあったら教えてください。 >>749
ソースからコンパイルしないと証明書の機能が殺されていたような。。。
証明書はSoftetherのサーバーマネージャーで作れた気がするよ。 >>750
レスありがとうございます。
ソースをいじってコンパイルとは面倒くさそうです。
でも証明書の作成は手間ではなさそうですね。 おれおれおれだよおれ証明書ならxcaのがいい。se付属のはヌルい。 https://openblocks.plathome.co.jp/products/eb/packetix/
面白い製品。
社員にネットワーク端末を渡して接続させることで簡単にVPNできるらしい。
IP電話も持ち帰って貰えれば電話も受けられるな。 うちはコールセンターの子にMerakiZ3とPCと電話機持って帰ってもらって
在宅してもらってる
ヤマハじゃまだそんなことはできんからな
YNOがもうちょい賢ければ良いんだけど >>754
これSoftetherだから中身はLinuxかな?
どんなハードとソフトが構成になっているかが気になる。 OpenBlocksだからDebianじゃないかな。
たしかにこれならIP電話使えるな・・・・遅延大丈夫け?
あと、SoftEtherならリモート用途で、導入も簡単なDesktop VPNもある。
6月末まで無料。
・・・ヤマハの話題がないぞ。
interopは明後日だから、何か情報でるかなー。 >>757
yamahaRTXを各自持って帰ってもらうわけにはいかないからなー ヤマハが全力でテレワークや企業利用に最適で価格もお手頃なモバイルルーターを出す夢を見たが夢だった。二度寝しよう。 >>759
ネットワーク型のVPNに特化したやつね。
RTXに接続して使えるようにする。
社員に持って帰ってもらえるくらいに安価なやつ。 それならモバイルルータ配って閉域網用のSIM挿すのが1番早い >>761
>閉域網用のSIM
NTTのNGNみたいに、折り返し通信ができるみたいな感じなのかな?
IPv4、IPv6のプライベートアドレスが与えられるのかな?
さらにグループ内だけで通信できるのならもっとセキュアだけどなあ。 たしかIIJとかで出してたな
ヤマハがやるならクラウド上のvRXとvRXの管理画面から生成できるIDとパスいれてインストールするだけで接続するアプリだせばいいんじゃね?
プロトコルはSSLでね オレオレクライアント証明書も自動生成してつかえればなおよし どうせ説明しても手離れ悪いんだからChromeリモートデスクトップあたり使わせた方がいいぞ クライアント証明書は無線APでやってるから、可能性有るかも。
SSL-VPNは実装の実績がないな。
vRXは小さい貧乏会社には運用費高いよ、AWSとvRXで45万円/年だよ。
#100クライアント、月10GB/クライアント、帯域100Mbps・・・自信無し >>758,760
中古のRTX810辺りなら・・・ワンチャン。
RTX同士のVPN(L2TP)って、片側がNAT内でも越えられるのかな。 >>765
忘れていたわそれ。
会社のPCの電源入れっぱなしにしておくということかな。
でも、ネットワーク型ではないから、IP電話できないよな。 >>767
IPsec/L2TPなら、UDPのNATトラバーサルでいけるはず。 >>769
いけるかと検討したら、センター側VPN対地数の上限が厳しかった。
RTX1200系はVPN上限100と思ってたら、L2TPのネットワーク型は別なのね。
ネットワーク型だと上限9,RTX3500で29、RTX5000が49。
・・・センター側には、転がってるRTX1200を10台ほど並べればいいか。(邪魔 >>766
オンプレミスで仮想化サーバーに入れれたらまだましかな
RTXで実現できればいいんだけどね >>770
IPsec/L2TPは、ベースのtunnel接続と、PP接続の両方がいるね。
PP Anonymousだと思うけど、この上限があるってことか?
万が一のことを想定して、
VPS借りて、そこにLinuxベースのVPNセンターを作ってみようかと思案しているところ。 >>772
L2TPv3が9までだから勘違いしてるんでは Interopのヤマハ発表。
https://f2ff.jp/exhibitor/interop-2020/show.php?id=320
vRX、DPI、YNO、WLX212。
まだ資料を見てないけど、昨秋のセミナー通りっぽいね。
いつもはXナンバーの機器も展示してるるけど、オンラインだし今回は無いか。 去年のセミナーで話が無くて嫌な感じしてたが
一昨年のセミナーでクラウドの次の予定に上げてた3500,5000の後継はやはり無しか
予想してはいたがガッカリ
IPv6周りとかEDNSとかローエンドでも対応させる位に
今どき当たり前の機能に欠ける似非ハイエンドでいつまで引っ張るつもりなんだか 大容量メモリ、高速処理、これらを満たしたRTX12xxシリーズを出して欲しいわ。
そうすれば、サーバーを立てずに、VPNを大勢に使ってもらえる。 大勢相手ならばYAMAHAにこだわる必要無いよね? テレワーク需要が多いけど
社内に50人いた会社で45人分RDPやらせたいとか言われて困惑してる
RTX1210だから設定はできるけど、使い物になるんか
20人程度は特に問題なかったけど >>780
1200の頃にXenappで50台は動かした事ある >>780
今回の騒動で30台動かしてるけど、そこまではひとまず大丈夫だったよ。
ソフトイーサだけど。 画面上で全員が動画でも動かさない限りはそんなに負荷ないでしょう? そういうのって会社のプロバイダと社員のプロバイダも関係してくるし
どんなアプリ使うかでも変わってくるし
運用してみて出てきた問題に対処していくしか無いんじゃない? IPSec/L2TP だったら、その中で何を使うかはどうだっていいわけで、RDP ご指名ってことは
>>722 のように RDP を直出ししたいの?
だったら数十台くらい RT58i クラスでも全然平気だが。 >>781
RTX1200はパワーないが、
RTX1210なら余裕だと思う。 こんなご時世なので、MSがHyper-V ServerみたくRDP Gateway Server 2019を無償提供始めた夢を見たが夢だったので二度寝しよう。 >>736
> VPN自体に脆弱性があることに備えて、自分はIPレベルで制限をかけている。
> IPフィルタレベルに進入を許す脆弱性があったらダメだけれども。
IPレベルの制限って具体的になにやってるんですか。
在宅の人に固定IP契約させて、それだけ通すみたいなことやってるんです?? >>788
海外が無いなら海外除外ってのは当然として
事前に利用プロバイダーを聞いておく
特定の時間にアクセスしてもらう
弾いた中に事前に聞いたプロバイダーがあればそれを許可する
もしくは事前にDDNSアプリ入れてもらってのも
ありじゃね >>787
一手間かかるが、こちらはSSHフォワーディングでそれの代替とした。
ついでにログイン時にwakeonlanをさせるようにしたので、電源をつけっぱなしにすることもない。 自身が会社のRTX経由でVPNアクセスするためIP制限してるんだが
フレッツ PPPoE だと 16ビットマスク で3パターンくらいあって怖いw 固定ipのプロバイダ500円/月だけどね。上流IIJで快適 IP制限するひまな情シスがいるスレはここですか?
いいなぁひまで 状況や規模に合わせて物を考えられない情シスもいるんだな
匿名掲示板でマウントしたがるなんて社内では下位なんだろうなぁ 暇なときは暇だが、
ITといえば何もかも独りでやっている。
責任者は自分だけ。自分しかいない。泣き付く相手も居ない。
修羅場(←自分の甘さが招いたものだが)を幾多も越えてきた。
なので、ずっとヤマハルーターを使っている。(RT52iのときから)
できるだけ、慣れたもの、実績のあるものを使いたいという考えになっている。 ベンダに構築させるならCisco
自分で構築するならヤマハかな
ヤマハは保守ベンダが限られ過ぎて基幹には使えん >>804
ツッコミThanks.
(ボケてみただけ) >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/Tg554gY.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) SSL-VPNって、三種類ほどモードがある。
レイヤー2転送モードを使ってみたかったが、
クライアント側にソフトを導入しなければいけないので断念した。
L2TP/IPsecの後継にあたるものが、IKE2らしいね。
これはIKEみたいにIPsecで用いるサブのプロトコルなんだと思っていたが、
IKE2自体でVPNと言えるみたいな。
で、RTXもIKE2に対応しているようだが、
IKE2を有効にすると、IKEが使えなるという。
この理解で正しいでしょうか。 >>810
>IKE2自体でVPNと言えるみたいな。
どうしてそういう理解になるのか。 IKEv2でWindowsと接続する設定例はどこかに書いてありませんか? テレワークで変なルータ売りつけられる客が意外といないな
FWX120の仮面変えたやつとか Amazonで買うと偽装RTXがやってくる
購買に投げつけてやったわ >>814
どういうやつ?出品者とか偽装と判別した所、詳しく教えてよ 偽装ではないが
マケプレだったかで
NVR700W新品購入して
1年ぐらいまえの日付書いてあるNTT西のリースシール張ってるの来た事あるわ
コンフィグも設定入ってたし
中古偽装するならシール剥がしてコンフィグ消せやって思ったわw
当然返品したけどな あーAmazon出品者じゃないのね
ならそういうこともあるよたまに >>814
Amazonは仕事さぼりすぎ
偽物とか、発送しないやつを取締れと。 FWX120でもmap-eに対応してくれ。。
対応しないからnecのやすいルーター買ってしまった。
しかし家庭用のこのクラスは設定ができなさすぎてきつい。
map-e対応で一番やすいのが中古のnec ix2105になりそう。
このままではixに浮気せざるを得ない ISPのPPPoE接続のVPNが絶望的に遅いのでIPoEでVPNしたいけど
このサービス使ってる人いらっしゃいます??
https://ipq.jp/plan/ipoe2/
YAMAHAも動作確認済になってるんですよ >>822
ありがとうごさいます
速度でてます?
このプロバイダのことよく知らなくて
地域によるとは思いますが
うちの会社ではフレッツ1G戸建をIPv4でテレワークで使ってますが
最近平日の日中はアップロードが特に遅くて5Mbps出ない日も...
モバイルPCからつないでる社員からクレーム多くて泣きそう フレッツならIPv6 IPoEでNGN折り返しにするだけでかなり快適だぞ >>823
多分都市部なんだろうとと思うけど
平日日中でそのレベルならISP変えるよりVPN専用回線を検討した方がいいんじゃない? ありがとうごさいます
新宿です
VPN専用で利用してます
プロバイダはIIj
NGN網内は2年前に計ったときは上下100以上出てました
予算的に1G占有回線は難しく...
5月末に3月に申し込んだフレッツ1Gが開通するので、もう一台1210追加して、そこでこのIPv6でIPv4固定IPサービス使いたいと思ってます 今はどこもリモートワークで回線需要が逼迫してるから
ベストエフォートの回線速度なんてやってみないと分からんだろうよ >>827
PPPoEで詰まってて網内で十分出るようなら、回線の帯域は余りまくってるだろうから
同じ回線でIPoEも併用すれいいのでは? aws上にVPNサーバたてて、awsと社内はダイレクトコネクト ベストエフォート回線で、同一種類の契約を同一場所に引き込むと、局舎側での収容が同じ物理回線になる可能性もあるよね。 フレッツテレビをダミーで契約すると収容装置別になる
生活の知恵。 >>833
WDMだから、そうとは限らないのでは? >>823
IPv4だけが遅いなら、VPNをIPv6に移してみては?
モバイルPCからでも、IPv6アクセスは可能なので。
https://blog.bari-ikutsu.com/entry/20150301_8681.html
実際には上記APN設定に加えて、テザリング設定の方でも IPv4&IPv6 を選択する必要がある。
手元のIIJmio type-D SIM + Android端末 + Windows PCで IPv6接続に成功。 >>835
IPv6は、設定でどうにかならない場合もある。 >モバイルPCからつないでる社員からクレーム多くて泣きそう
というかこれとPPPoEの回線が遅いのとの関連性がわからんが >>837
貸与しているモバイルPCからということでは? >>835
既にたまたまIPv6も提供されてるモバイル契約があるならいいけど
そうでないならモバイルPCの台数分、IIJmio type-D SIMを新たに契約しろってか?
何台あるのかわからないけど、それよりはIPv4 over IPv6をひとつ契約する方が安いのでは >>839
動作SIMの実例を出さないと、「リンクを張るだけで、接続設定したことないんだよ。きっと」と突っ込まれるので。 うちも近頃PPPoE限界だわ
VPNのv6プラス化やるかな >>841
いやそうではなくて。
ここでいう構築・運用をしたことがないんだよ。きっと。 この系で飯食ってるなら、モバイル網のデュアルスタックは知ってないとおかしい。
それをドヤ顔で言われても という話だよ。 >>844
バックアップ回線は必要だけど、
固定IPで張っているVPNが再生されないのは辛いなあ
ところで、どんなドングルが使えるのかな?
3Gドングルならなんでも良い?
RasPBXなら認識されているんだけど。 >>845
基幹部分のVPNならバックアップも含めて常時VPN張るの普通よね?
クライアントからのアクセス用ならDDNSなり使うのが定石では? なんかマウントしてる奴がいるけど、ヤマハなんか使うような規模で
偉そうなこと言ったって50歩100歩
インターネットがフレッツな時点でそういうレベルなんだから
自由に使えば良い話 でもYAMAHAの機器は低価格でそこそこの性能だから、社内にはつなげたくない回線用や、深夜のサーバーのデータバックアップ専用回線とか、縁の下力持ちって感じで活躍しているけどな あれYAMAHAってループバックNAT対応してないですよね?
ネットボランチDNSで取得したホスト名でローカルから
グローバル経由で自鯖にアクセスできちゃったけどどうなってるのだろうこれ。
…なんか変な事しちゃった自分? >>850
筐体はRTX1210でPPPoE IPv4です。 >>852
ループバックNAT=ヘアピンNATて解釈してたけど別?
ヘアピンNATは公式でサポートしていないって書いてあって出来ないと思ってたけど。
https://echo.createdb.net/20160925.html
>>ppp ipcp ipaddress on
調べてみたら確かに出来るっぽい。。。
現config見てみると共通する箇所は上記コマンドしかないですが当たっています? >>854
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html#port_assign_policy
「なおヤマハルーターでは、一般的に「ヘアピンNAT」と呼ばれる機能には対応しておりません。 」
と書いてあったもんで出来ないと思ってたです。
基本的に特別な設定しなくてもヘアピンNATは動作するとなるほどありがとうです。
たしかにコレDNS細工が良いかもですね不注意な設定で外部からルータロのグイン画面が表示されたりしそう。。 ヘアピンNATってよく分からないのだけど
ルーターが折り返さずにプロバイダに送ったら
プロバイダが折り返してきてそのままポート転送されて宅内サーバーに行けば
ヘアピンNATと同じように見えるだけじゃないか? >>858
その処理ができないルーターが存在するって話 自分自身のIPに送ってるのにプロバイダに送るとかルーティングとしてはおかしいだろ 自宅鯖に、自宅NW配下から、WANからのアクセスのていで繋ぎたいってときぐらい?
ローカルでつなぐか、スマートフォンでテザリングすればいいんだがめんどうではある よくわかってないけどRTXってインターフェース間の通信に割と制約があるような気がする 850です。
今日V6プラスの開通工事が終わり公式のDHCPv6-PD設定で色々遊んでいたら、
今度はヘアピンNATが出来ない状態になってましてこれはV6プラスの仕様なんですかね。
NATPで外部解放は出来ていて自分だけがGIPでアクセス出来ない状態ですー。 ルータの基本的なところ理解してない奴が混じってるぞ >>866
ヤマハのNAT周りの実装がそうなっているというだけであって、別にv6プラスの仕様というわけではないだろう
>>853のURLのやり方で行こうとすると、
ppp ipcp ipaddress on
の方は、v6プラスではIPCPなんて使ってないから無理だとして
ip pp address 10.0.0.1/32
は、ひょっとするとppをtunnelに置き換えれば行けるのかもしれない(試してみてはいないが) show ip route の出力結果を見て、
割り当てられたIPv4アドレスに対するimplicitと記載されている経路が
@ある場合はヘアピンNAT的な動作はできない。
Aない場合はヘアピンNAT的な動作が可能な場合がある。
@はpppoeを使う場合なんかで、ppp ipcp ipaddress on と設定してIPCPでIPアドレスを受け取って、
それをnat descriptor のouter address に使用する場合があてはまる。
Aはpppoeを使う場合にip pp address コマンドでIPv4アドレスを固定する場合、
またはPPPoEを使わない場合があてはまる(CATVとか)
v6プラスの場合はBRの振る舞いに左右される。
無理だったなら無理なのだと思う。
ip tunnel address を指定するのは上記のAに相当するから、たぶんできないかな >>868
>>ひょっとするとppをtunnelに置き換えれば行けるのかもしれない
↑こちらは既に試しましたがだめでしたね。
>>869
default - TUNNEL[1] static
@の方法で試させてもらいました。
implicitではないので行けると思い試してみましたが、
私の設定方法が何か間違っているのかポート範囲も一緒に書き換わってしまうのでこれもだめでした。。
なんとか実現してみたかったですが、技術的に出来ないものは出来ないのだと諦めます。
むしろ出来ない理由がわかっただけでもすごく助かりました。
色々と教えて頂きありがとうございましたー。 >>871
ポート範囲はmap-eトンネルを使うと自動計算されてしまうけど、
正しいポート範囲をあらかじめ知ってるなら、ipipトンネルを使ってポート範囲も自分で設定する手がある
たとえばこんなの
http://mevius.5ch.net/test/read.cgi/hard/1485617399/326
(画像にconfigが入ってる) RTX1210の静的レコードのIPv4DNSサーバー機能を使っています。
リカーシブ設定でそれ以外のレコードは上位のDNSサーバーに問い合わせるようにしています。
Linuxでdigコマンドをつかいましたが、エラーが出ます。
192.168.1.1はRTX1210のアドレスとします。
$ dig @192.168.1.1 www.example.com
WARNING: EDNS query returned status FORMERR - retry with '+noedns'
$ dig @192.168.1.1 www.example.com +noedns
;; ANSWER SECTION:
www.example.com. 1 IN A 192.168.12.13
静的レコード以外もだめです。
$ dig @192.168.1.1 google.com
さっきと同じエラー
$ dig @192.168.1.1 google.com +noedns
問題なし
+noedns がないため、RTX1210のDNS機能を使えない状態です。
解消するコマンドってあるでしょうか。 RT58iを使用しています。
OpenVPNサーバーをLAN内PCに設置しており、VPNクライアントからシャットダウン状態のPCに向けてPINGを送るとVPNが繋がらなくなります。
ネットワーク機器が存在していないIPアドレスを指定しても同様です。
ただ、スリープ状態のPCを指定しても問題ありません。
起動してあるPCを指定すると返ってきます。
これはどういった原因が考えられるでしょうか。 >>874
補足します。
この現象が起こるのはPINGの送信元がiPhoneのときです。
Windowsからでは問題ありません。 >>875
再度補足します。
Windowsからでも-w オプションを短く設定すると繋がらなくなりました。
正確には繋がらなくなるというよりは、接続速度がとてつもなく遅くなっているようです。 >>874
外からOpenVPNサーバーにsshで入れるようにして
サーバーがどうなってるかみてみては?
おそらくRTは関係ないと思うけど・・・ >>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます! >>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます! >>877
ありがとうございます。
試してみましたが、どのPCにもSSH接続できませんでした。
ルーターのSSHD configurationには何も設定していませんが、設定が必要なのでしょうか。 >>878
同じような事をしていた人ではなくて、当時はmap-eトンネルがまだなかったので
ipipトンネルで無理やりv6プラスを使おうとしてた人ですね >>877 >>880
OpenVPNサーバーにSSHサーバーを設定すればよかったんですね。
取り敢えず接続はできましたが、何を見ればいいのでしょうか。 教えてちゃんいい加減にしろよクソガキ
パケットキャプチャとるとかしてテメーで切り分けろや カリカリすな
知ってるなら教えたりーな
大人なんだから >>874
OpenVPNやめてSoftetherにでもしたら ここはお前の居場所じゃねえんだよ
会社で勝手に調べとけよとか言わねえだろ そんなんだからいつまでたっても無能なんだよ向上心無い無能カス YNOライセンス発注から納品まで遅すぎ
数日でキー発行しろよもう configが同一の2台のFWX120で、一方は端末にIPv6を払い出せるのですがもう一方は払い出せません。どういったことが考えられますかね…?
※2台のネットワークおよび回線は別です
※ファームウェアはRev.11.03.25です
関連する設定は以下です。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::3/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
※LAN2は問題なくIPv6グローバルアドレスを持っています >>890
Lan2にアドレスは持たせなくてよいはず。
Lan1だけじゃなくてv6の関係する部分は出したほうが良いと思うよ。 >>890
回線契約的にフレッツなら電話ありかどうかじゃね? >>892
LAN2からRAでプレフィックスがもらえてるようだから、
その線は薄いかと思うけど、回線とか物理構成とかも書かれてないしね。 モバイルPCからの接続
テレワークで速度低下中なので
もうちょっと速度上げたいのですが
Windows標準クライアントソフトだとIPComp使えないですよね?
レジストリいじるとかしても… IPCompなんて使っても速度なんて上がらんでルーターのCPU食うだけ
windowsPCで圧縮使いたいならソフトイーサー使った方がましだわ >>890
設定が全く同じならその二台を入れ替えて動作を見る。
> ipv6 lan1 address ra-prefix@lan2::3/64
::3/64って通るのか…? >>896
その部分だけなら問題ない。
もらったプレフィックスをもとに、末尾が3のv6アドレスをLAN1に設定するわけだから。 むしろ気になるのは
※LAN2は問題なくIPv6グローバルアドレスを持っています
って書いてあること
RAプロキシをやるならLAN2にアドレスを持っちゃダメ
LAN1だけにしないと 拠点間VPNの技術的な部分について教えて下さい...
拠点AB間で接続が確認されている環境があり、
拠点AのクライアントPCから拠点Bのサーバ(セグメントは別)までの経路を見ると、
1 <1 ms <1 ms <1 ms defaultgateway [192.168.200.1]
2 <1 ms <1 ms <1 ms server [192.168.100.10]
トレース完了
となります。
拠点間のインターネット空間を抜けているのに、ルーティングとしていきなりサーバに到達されるように見えるのはなぜですか? >>899
VPNが何か勉強してから質問しような。 >>899
VPNの終端が両拠点ともLAN側I/F >>899
ルート探索に使う技術が動作するレイヤより下のレイヤで二点間を接続したから。
まあ下のレイヤと言うのは正しくない表現だと思うが。 このスレでするような質問じゃなかろうし皆様お大変優しい方々で 大昔にRT140で初めてVPN組んでtracerouteした時を思い出した 回答して頂いた皆様ありがとうございます。
出直してきます。 >>907
曲解してまで否定せんでも。
見苦しい。 ip filter dynamic timer は、皆設定せずに(デフォルトのまま)使用してる?
ログ取ってみたら、動的フィルタがタイムアウトした後にも通信しようとして
Rejectになってるパケットがそれなりに見受けられた。
理由を探ってみたら、セッションがクライアントでCLOSE_WAITになった後、
サーバー側に最後のACKを返していない状態が、動的フィルタのタイムアウト
後まで続いてて、タイムアウト後ACKを返そうとして頑張ってるけど、ルータが
ひたすらRejectしている という状態。
どうも配下のWindowsPCのシャットダウンに時間がかかっているのはこれが理由な気がする。 >>908
曲解してるつもりない、むしろ他の解釈があるか?
VPN終端がWAN側かLAN側かと言えばlocal adressにどちら指定するか
どちらでも乗る側にとっては同じように見える それが曲解じゃないかな
少なくとも、質問に対する答えにはなっているし、言うようにWANとLANに分けるなら、クライアントをWAN側に接続するかな >>911
VPN終端がWANでもLANでも上から見たら同じなんだからそもそも答えになってない
クライアントをWAN側に接続ってのが解らないか
WAN側終端するのがシンプルな基本形で
LAN側終端するのはWAN側終端出来ないときにやるイレギュラーな面倒くさい話
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/nat.html RTX1210を使っているけど、これのみで複数からのVPNを受け入れるのは容量的に難しいし、
IKEv2か、IKEv1かは排他らしいので、StorngSWANを使うことにした。
そしてきょう、やっとIKEv2 (StrongSWAN --- Win10)がつながった。
pingもとんだ。
証明書関係がめんどうくさい。
クライアント認証のために証明書を使わない場合でも、
クライアントのWin10に、CAの証明書(オレオレ証明書)ってインストール必要ある?
このオレオレCAで、StrongSWANのサーバー証明書を作成している。 オレオレめんどくさいよ
Let'sEncryotを使えばいいよ。ググるといっぱい出てくる >>914
CA証明書のインストールが不要になるという点ででしょうか? 証明書使わないのに必要な理由が分からないぞ。
無くても繋がったでしょ? IKEv2でRADIUSを使わないやつのConfigサンプルをもらえませんか? >>913
ホスト側の証明書の確認で要るっしょ。
right(left)auth=pskにしているなら要らんけど。 Let'sEncryptだとクライアント側での証明書関連作業がない。
rightauth=eap-mschapv2
EAP-MSCHAP2をつかってOS標準機能でいける。 Yamahaから脱線しかかっているけど、IPSecでのLtes's Encrypt証明書の利用は好ましく無いんでないかな。 まあ個人利用だし・・・
いろいろ検討すろと、最終的にL2TP/IPsec機能でええやんとなりそうな
vRXとかでやってみてほしいな まぁ確かに個人利用なら好きにしてくれだな。蛇足でした。
ちなみに発言の意図としては、証明書のフラグでikeintermedicateとやらがなくてもWin10なら繋がるはずらしいんだけども、過去にそこでなんかトラブった記憶があるってだけで。
とりあえずつながればええんでないってことでほんと蛇足脱線申し訳ない。 ヤマハVPNクライアントは金出すんだから
暗号化のGPU使用とか
設定のグループポリシー対応とか
OS標準に比べて圧倒的に高速通信とか
そんくらいのことできるよね? インターネットブレイクアウトができるVPNクライアントって他にあるの? この手のをインターネットブレイクアウトと言うのは初めて聞いた
スプリットトンネルならありふれてる Windows標準でVPN側をデフォルトゲートウェイにしないのと何が違うの? >>927
結局その設定をやってくれるということなんだと思うが、それがミソ。 こんなもん使ってリモートワークするなんて、個人と零細かシステム管理者しかいないんだから、無料解放しろよと。
Synologyのルーター用は無料解放したみたいで、取得すると永年の様だ。あちらはSSLにも対応… シス管だったら、頼らなくても自分でどうにかすると思う。 VPNクライアントソフトは現状の有料でサポート付きがいい
出来るやつは自分でどうにかするだろうから・・・
下手にVPNクライアントソフト無料化してRTX本体が高額になるよりいいわ OS標準に比べて速度早くなったりしないの?
体験版あるなら比べてみたいけど >>928
逆ってどこらが?
トンネル流すのとそのまま垂れ流すのを仕訳るんだろ?
マニュアルも更新なくリリースノートの一行を読むに
特定のをブレイクアウトさせるのでなくて
全部トンネルor社内向けのみトンネルの融通効かない選択くさい >933
VPNクライアントソフトウェア「YMS-VPN8」(お試し版/製品版共通)
ttps://network.yamaha.com/support/download/utility/vpn_client8 >>931
全部ベンダー丸投げの総務や経理との兼任なんて珍しくない。 ブレイクアウトって言ったら
WindowsUpdateやらOffice365やらプライベートクラウドなど限られた重い通信だけ直接インターネット接続させるのが一般的じゃないの?
なんの通信を通す通さないを集中管理できるなら興味はあるかな
一台ずつ設定ってことならコマンドでいいよね 警告履歴 送信すべて確認済 送信すべて削除
日時 ガジェット名 障害内容 確認
2020/05/20 10:45:33 トラフィック情報(LAN) LANのトラフィックが800[Mbps]を超えています。(LAN1 [OUT]) 送信
2020/05/20 10:43:51 トラフィック情報(LAN) LANのトラフィックが800[Mbps]を超えています。(LAN1 [OUT]) 送信
2020/05/20 10:43:45 トラフィック情報(LAN) LANのトラフィックが800[Mbps]を超えています。(LAN1 [OUT])
ダウンロードをしているのに
OUTの速度が速いってどういうことですか?
ひそかにエロ動画が流出してしまっていますか? >>940
WAN側とLAN側をどの端子に定義しているかによる。 ありがと
ダッシュボードのトラフィック情報で WANをも表示させたら IN の速度と
LANのOUTの速度が同じだった
ルーターから見たときの IN と OUT なのね RTX810というルータについて、どなたかご存じの方がおられましたら教えていただきたいのですが。
第一興商の業務用カラオケ機のブロードバンド接続機器として、RTX810MBというルータがあるのですが、これはRTX810のOEM製品ということになっております。
通常の、RTX810を購入して、設定を適切に行えば、RTX810MBと同様に、カラオケ機に接続できるものなのでしょうか?
ネットで見ると、RTX810MBは設定画面なども第一興商用に変えられているようなのですが。
たとえば、MBの方から設定をUSBなどで吸い出して、通常品に書き込むというようなことで、使用できるようになるのか知りたいです。
ヒントだけでも教えていただければと思います。よろしくお願いします。 昔触ったことあるけど、だいたい一緒だから設定を吸い出して入れられれば行けるようだけど、
FWが違うようだから別物と考えるのが正当かと。
FWも吸い出してRTX810に書き込んだ場合もなおさらわからんですね。
ただ、NW機器としては一緒なので理論上は設定を読み替えたりすればいけるんでは?
という推測でしかないですね。
全てにおいてメーカーサポート外の操作な上に第一興商の専用ルーターとして提供されている以上、
一般流通していないモノの話なので試すなら自己責任で。
それか、第一興商に聞いてみましょう。 早速のご丁寧な返答ありがとうございます。
パスワードなどが設定されてる場合もありそうだし、設定吸出しができるかどうかもやってみないと分かりませんよね。
レンタルとかでもし810MBを触れるチャンスがあったら慎重に吸出しにチャレンジしてみます。
ちなみに第一興商側の人に聞いたら、MBなどの専用ルーターでないとカラオケ機には接続できない、とのことでした。
RTX810MBを初期化してRTX810として使えた、という情報をちらほら見かけるので、逆もできるのかなと思ってお聞きした次第ですm(_ _)m >>946
それ、禁止事項を破りますと宣言しているのと同義なんだが、気付いてないのだろうな。
とりあえずやめておけ。 契約中のレンタル品で試して、もし出来たら嬉々としてどっかにやり方投稿しかねない御仁にみえるね。 その場合アドバイスした奴らは幇助罪に問われるだろうな >>916
おれおれCA(StrongSWANサーバーの証明書にサインしている)の自己証明書が、
Win10クライアントにあらかじめ入れられている必要があるみたい。
eap-mschapでクライアント認証するようにしていても、CA証明書がない場合にIKEv2で接続できなかった。
CA証明書単独をWin10クライアントに放り込むテストはまだやっていないが、
CAでサインしたクライアント証明書(ただし認証には使っていない。前述)をインストールしておいたら、
すんなりつながった。
これについて今後、検証して見る予定。 >>946
契約書読む限りでは、設定情報の取得くらいは問題ないのかなあと思いましたが、グレーなのかもしれません
>>948
それはないです
810MB中古が2万円以上するのに、無印810中古が6000円くらいで売っているので、使えたらなあと思ったまでで
あとは技術的な興味もあったもので
なんにせよ、1万円程度の差額をケチるにはリスクが高そうなのでやめておきます
ありがとうございました つーか普通なら業務用の専用機なんて中古拾ってきても契約結んでくれないと思うが カラオケ店もカラオケ業者さんも不景気なんでいろいろです >>952
>技術的な興味
とか言っちゃうあたり、やっていい事と悪い事の区別がついてるか非常に疑わしい >>955
当初、機械自体同じものならちゃんと設定したら使えるだろうと軽く考えてたので、もしそうじゃないならどういう仕組みなんだろうと不思議に思ったということです。
言葉足らずで不快に思わせてたらすいません。
810無印安く買って、設定して810MB同等品にして転売しようとかいうつもりもありませんし、多分そんなに需要ないと思います。 じゃ、何をしようとしたのか知りたいところだけれど
完全に興味本位って感じの話ではない気かする
こんなこと興味だけでわざわざ5chに質問するかね? >>952
ルーターだから設定情報が最も重要な機密事項なんだよなぁ。接続先とか機密事項はファームウェアに書いてあるかも知れないが… ファクトリーリセットやデフォルトのビルトインadminアカウントをソフトウェア的に潰す等はしてありそうだよね。 リスクを過小評価し興味を優先する。そして怖いもの知らず。
若いとありがちだが、破滅に向かいがちなのもこれまた事実。 >>961
ファクトリーリセット機能をソフトウェアで殺すなんてことが可能なんですね。
なにかBIOS的なもので設定されてるもんだと思ってました。
>>他の方
何回も書いてますけど、カラオケに付けるブロードバンドルーターが高いんで、少しでもケチろうと思っただけですんで、それ以上の話はありません。
結局、一世代前の専用ルーターが3000円くらいで売ってることが分かったんで、その問題は解決しました。 >>963
他意があろうとなかろうと、側から見て危険な橋に向かって行っていたと言うことだ。 >>963
技術的興味って言い訳言っていたけどねw
マルチで書くしボロボロ… ここで紹介してくれた人がいたから安くて性能が
すごくいいのが手に入りました
ありがとう コンフィグも簡単でした 社内のwan口をrtx1100から新しいのに変えたいんだけどfortigate60Eか891fjかrtx1210で悩む 60Eいれるなら、60Fがでてるから検討しては?
導入実績を重視するなら60Eになるが 60Fって同メーカーの上の機種よりかなりスペック良くなってるよくわからんやつだったっけ 60Fスペック表記間違ってんじゃないかってくらい高いな 中国はRTX820で止まってるけどやる気あんのかねヤマハは
中国の地方営業所のルータ入れ替えたいんだけど他社にするしかないな 今の中共は暗号化使用規制中で一般人は平文通信強制
VPNルーターの新規商品の投入は困難
これ以上は暗殺の危険があるので
自粛 モバイルインターネット接続機能って、ここに載ってる対応携帯端末しかむりですかね?
http://www.rtpro.yamaha.co.jp/RT/docs/mobile-internet/
rakuten の端末Rakuten Miniが今1円で通信料一年間無料で販売しているから繋げられるなら
USBケーブルとかで繋ぎたい
ダメでもスマホのテザリングで
Rakuten Mini 〜(無線)〜 無線ルータ --(有線)-- ヤマハルータRT58i
ってやるけども
マンションだし気象レーダー等があるから有線で繋ぎたい >>977
RT58iはそもそもその機能に対応していないのでは? 700Wに楽天SIM挿すって話かと思ったらRakuten miniか。。。
興味ない。 >>977
そもそもその中にAndroidスマホ無いし無理じゃないかな。
ただ、一部のAndroid端末はテザリングONにした時にUSBポートにつないだ有線LANアダプタでも行ったりするするから、ちょっとは望みあるかも。
偶然にも来週にminiが届く予定だし、ちょっと興味があるから覚えていたら試してみるけど期待すんな。
確実なのはPC一台ルーター化してUSBテザリングかなぁ。ラズパイとかで。 でもモバイルルータがRakutenに対応しているなら>>979とかHT1x0LNみたいなの使った方が良いかもってのに同意見 >>983
使うってどこで?
>>977のことであれば、無理。 Rakuten Mini[USB]---[LAN]RT58iってできないのかな?
スマホでも高級機しか使えないから格安端末では無理かな?
開発者オプションのUSB設定の項目に「RNDIS(USB Ethernet)」があれば使えるんだけど >>985
だから、それはそもそもRT58iが対応していないって。 simさせる機種ってあるんかなwwあったら欲しいなー >>991
auへのローミングなら、あまり実績とは言えないかな。 >>995
フレッツのPPPoEだけがv4でないのだし、
v6はまだなくてもどうにかなるが、v4はなくてはどうにもならない。
いまさらというのは時期尚早。 このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 376日 4時間 17分 54秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
