YAMAHA業務向けルーター運用構築スレッドPart22
■ このスレッドは過去ログ倉庫に格納されています
>>780
今回の騒動で30台動かしてるけど、そこまではひとまず大丈夫だったよ。
ソフトイーサだけど。 画面上で全員が動画でも動かさない限りはそんなに負荷ないでしょう? そういうのって会社のプロバイダと社員のプロバイダも関係してくるし
どんなアプリ使うかでも変わってくるし
運用してみて出てきた問題に対処していくしか無いんじゃない? IPSec/L2TP だったら、その中で何を使うかはどうだっていいわけで、RDP ご指名ってことは
>>722 のように RDP を直出ししたいの?
だったら数十台くらい RT58i クラスでも全然平気だが。 >>781
RTX1200はパワーないが、
RTX1210なら余裕だと思う。 こんなご時世なので、MSがHyper-V ServerみたくRDP Gateway Server 2019を無償提供始めた夢を見たが夢だったので二度寝しよう。 >>736
> VPN自体に脆弱性があることに備えて、自分はIPレベルで制限をかけている。
> IPフィルタレベルに進入を許す脆弱性があったらダメだけれども。
IPレベルの制限って具体的になにやってるんですか。
在宅の人に固定IP契約させて、それだけ通すみたいなことやってるんです?? >>788
海外が無いなら海外除外ってのは当然として
事前に利用プロバイダーを聞いておく
特定の時間にアクセスしてもらう
弾いた中に事前に聞いたプロバイダーがあればそれを許可する
もしくは事前にDDNSアプリ入れてもらってのも
ありじゃね >>787
一手間かかるが、こちらはSSHフォワーディングでそれの代替とした。
ついでにログイン時にwakeonlanをさせるようにしたので、電源をつけっぱなしにすることもない。 自身が会社のRTX経由でVPNアクセスするためIP制限してるんだが
フレッツ PPPoE だと 16ビットマスク で3パターンくらいあって怖いw 固定ipのプロバイダ500円/月だけどね。上流IIJで快適 IP制限するひまな情シスがいるスレはここですか?
いいなぁひまで 状況や規模に合わせて物を考えられない情シスもいるんだな
匿名掲示板でマウントしたがるなんて社内では下位なんだろうなぁ 暇なときは暇だが、
ITといえば何もかも独りでやっている。
責任者は自分だけ。自分しかいない。泣き付く相手も居ない。
修羅場(←自分の甘さが招いたものだが)を幾多も越えてきた。
なので、ずっとヤマハルーターを使っている。(RT52iのときから)
できるだけ、慣れたもの、実績のあるものを使いたいという考えになっている。 ベンダに構築させるならCisco
自分で構築するならヤマハかな
ヤマハは保守ベンダが限られ過ぎて基幹には使えん >>804
ツッコミThanks.
(ボケてみただけ) >>1
東京三鷹の土井(剛)莉里子
https://i.imgur.com/Tg554gY.png
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている) SSL-VPNって、三種類ほどモードがある。
レイヤー2転送モードを使ってみたかったが、
クライアント側にソフトを導入しなければいけないので断念した。
L2TP/IPsecの後継にあたるものが、IKE2らしいね。
これはIKEみたいにIPsecで用いるサブのプロトコルなんだと思っていたが、
IKE2自体でVPNと言えるみたいな。
で、RTXもIKE2に対応しているようだが、
IKE2を有効にすると、IKEが使えなるという。
この理解で正しいでしょうか。 >>810
>IKE2自体でVPNと言えるみたいな。
どうしてそういう理解になるのか。 IKEv2でWindowsと接続する設定例はどこかに書いてありませんか? テレワークで変なルータ売りつけられる客が意外といないな
FWX120の仮面変えたやつとか Amazonで買うと偽装RTXがやってくる
購買に投げつけてやったわ >>814
どういうやつ?出品者とか偽装と判別した所、詳しく教えてよ 偽装ではないが
マケプレだったかで
NVR700W新品購入して
1年ぐらいまえの日付書いてあるNTT西のリースシール張ってるの来た事あるわ
コンフィグも設定入ってたし
中古偽装するならシール剥がしてコンフィグ消せやって思ったわw
当然返品したけどな あーAmazon出品者じゃないのね
ならそういうこともあるよたまに >>814
Amazonは仕事さぼりすぎ
偽物とか、発送しないやつを取締れと。 FWX120でもmap-eに対応してくれ。。
対応しないからnecのやすいルーター買ってしまった。
しかし家庭用のこのクラスは設定ができなさすぎてきつい。
map-e対応で一番やすいのが中古のnec ix2105になりそう。
このままではixに浮気せざるを得ない ISPのPPPoE接続のVPNが絶望的に遅いのでIPoEでVPNしたいけど
このサービス使ってる人いらっしゃいます??
https://ipq.jp/plan/ipoe2/
YAMAHAも動作確認済になってるんですよ >>822
ありがとうごさいます
速度でてます?
このプロバイダのことよく知らなくて
地域によるとは思いますが
うちの会社ではフレッツ1G戸建をIPv4でテレワークで使ってますが
最近平日の日中はアップロードが特に遅くて5Mbps出ない日も...
モバイルPCからつないでる社員からクレーム多くて泣きそう フレッツならIPv6 IPoEでNGN折り返しにするだけでかなり快適だぞ >>823
多分都市部なんだろうとと思うけど
平日日中でそのレベルならISP変えるよりVPN専用回線を検討した方がいいんじゃない? ありがとうごさいます
新宿です
VPN専用で利用してます
プロバイダはIIj
NGN網内は2年前に計ったときは上下100以上出てました
予算的に1G占有回線は難しく...
5月末に3月に申し込んだフレッツ1Gが開通するので、もう一台1210追加して、そこでこのIPv6でIPv4固定IPサービス使いたいと思ってます 今はどこもリモートワークで回線需要が逼迫してるから
ベストエフォートの回線速度なんてやってみないと分からんだろうよ >>827
PPPoEで詰まってて網内で十分出るようなら、回線の帯域は余りまくってるだろうから
同じ回線でIPoEも併用すれいいのでは? aws上にVPNサーバたてて、awsと社内はダイレクトコネクト ベストエフォート回線で、同一種類の契約を同一場所に引き込むと、局舎側での収容が同じ物理回線になる可能性もあるよね。 フレッツテレビをダミーで契約すると収容装置別になる
生活の知恵。 >>833
WDMだから、そうとは限らないのでは? >>823
IPv4だけが遅いなら、VPNをIPv6に移してみては?
モバイルPCからでも、IPv6アクセスは可能なので。
https://blog.bari-ikutsu.com/entry/20150301_8681.html
実際には上記APN設定に加えて、テザリング設定の方でも IPv4&IPv6 を選択する必要がある。
手元のIIJmio type-D SIM + Android端末 + Windows PCで IPv6接続に成功。 >>835
IPv6は、設定でどうにかならない場合もある。 >モバイルPCからつないでる社員からクレーム多くて泣きそう
というかこれとPPPoEの回線が遅いのとの関連性がわからんが >>837
貸与しているモバイルPCからということでは? >>835
既にたまたまIPv6も提供されてるモバイル契約があるならいいけど
そうでないならモバイルPCの台数分、IIJmio type-D SIMを新たに契約しろってか?
何台あるのかわからないけど、それよりはIPv4 over IPv6をひとつ契約する方が安いのでは >>839
動作SIMの実例を出さないと、「リンクを張るだけで、接続設定したことないんだよ。きっと」と突っ込まれるので。 うちも近頃PPPoE限界だわ
VPNのv6プラス化やるかな >>841
いやそうではなくて。
ここでいう構築・運用をしたことがないんだよ。きっと。 この系で飯食ってるなら、モバイル網のデュアルスタックは知ってないとおかしい。
それをドヤ顔で言われても という話だよ。 >>844
バックアップ回線は必要だけど、
固定IPで張っているVPNが再生されないのは辛いなあ
ところで、どんなドングルが使えるのかな?
3Gドングルならなんでも良い?
RasPBXなら認識されているんだけど。 >>845
基幹部分のVPNならバックアップも含めて常時VPN張るの普通よね?
クライアントからのアクセス用ならDDNSなり使うのが定石では? なんかマウントしてる奴がいるけど、ヤマハなんか使うような規模で
偉そうなこと言ったって50歩100歩
インターネットがフレッツな時点でそういうレベルなんだから
自由に使えば良い話 でもYAMAHAの機器は低価格でそこそこの性能だから、社内にはつなげたくない回線用や、深夜のサーバーのデータバックアップ専用回線とか、縁の下力持ちって感じで活躍しているけどな あれYAMAHAってループバックNAT対応してないですよね?
ネットボランチDNSで取得したホスト名でローカルから
グローバル経由で自鯖にアクセスできちゃったけどどうなってるのだろうこれ。
…なんか変な事しちゃった自分? >>850
筐体はRTX1210でPPPoE IPv4です。 >>852
ループバックNAT=ヘアピンNATて解釈してたけど別?
ヘアピンNATは公式でサポートしていないって書いてあって出来ないと思ってたけど。
https://echo.createdb.net/20160925.html
>>ppp ipcp ipaddress on
調べてみたら確かに出来るっぽい。。。
現config見てみると共通する箇所は上記コマンドしかないですが当たっています? >>854
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html#port_assign_policy
「なおヤマハルーターでは、一般的に「ヘアピンNAT」と呼ばれる機能には対応しておりません。 」
と書いてあったもんで出来ないと思ってたです。
基本的に特別な設定しなくてもヘアピンNATは動作するとなるほどありがとうです。
たしかにコレDNS細工が良いかもですね不注意な設定で外部からルータロのグイン画面が表示されたりしそう。。 ヘアピンNATってよく分からないのだけど
ルーターが折り返さずにプロバイダに送ったら
プロバイダが折り返してきてそのままポート転送されて宅内サーバーに行けば
ヘアピンNATと同じように見えるだけじゃないか? >>858
その処理ができないルーターが存在するって話 自分自身のIPに送ってるのにプロバイダに送るとかルーティングとしてはおかしいだろ 自宅鯖に、自宅NW配下から、WANからのアクセスのていで繋ぎたいってときぐらい?
ローカルでつなぐか、スマートフォンでテザリングすればいいんだがめんどうではある よくわかってないけどRTXってインターフェース間の通信に割と制約があるような気がする 850です。
今日V6プラスの開通工事が終わり公式のDHCPv6-PD設定で色々遊んでいたら、
今度はヘアピンNATが出来ない状態になってましてこれはV6プラスの仕様なんですかね。
NATPで外部解放は出来ていて自分だけがGIPでアクセス出来ない状態ですー。 ルータの基本的なところ理解してない奴が混じってるぞ >>866
ヤマハのNAT周りの実装がそうなっているというだけであって、別にv6プラスの仕様というわけではないだろう
>>853のURLのやり方で行こうとすると、
ppp ipcp ipaddress on
の方は、v6プラスではIPCPなんて使ってないから無理だとして
ip pp address 10.0.0.1/32
は、ひょっとするとppをtunnelに置き換えれば行けるのかもしれない(試してみてはいないが) show ip route の出力結果を見て、
割り当てられたIPv4アドレスに対するimplicitと記載されている経路が
@ある場合はヘアピンNAT的な動作はできない。
Aない場合はヘアピンNAT的な動作が可能な場合がある。
@はpppoeを使う場合なんかで、ppp ipcp ipaddress on と設定してIPCPでIPアドレスを受け取って、
それをnat descriptor のouter address に使用する場合があてはまる。
Aはpppoeを使う場合にip pp address コマンドでIPv4アドレスを固定する場合、
またはPPPoEを使わない場合があてはまる(CATVとか)
v6プラスの場合はBRの振る舞いに左右される。
無理だったなら無理なのだと思う。
ip tunnel address を指定するのは上記のAに相当するから、たぶんできないかな >>868
>>ひょっとするとppをtunnelに置き換えれば行けるのかもしれない
↑こちらは既に試しましたがだめでしたね。
>>869
default - TUNNEL[1] static
@の方法で試させてもらいました。
implicitではないので行けると思い試してみましたが、
私の設定方法が何か間違っているのかポート範囲も一緒に書き換わってしまうのでこれもだめでした。。
なんとか実現してみたかったですが、技術的に出来ないものは出来ないのだと諦めます。
むしろ出来ない理由がわかっただけでもすごく助かりました。
色々と教えて頂きありがとうございましたー。 >>871
ポート範囲はmap-eトンネルを使うと自動計算されてしまうけど、
正しいポート範囲をあらかじめ知ってるなら、ipipトンネルを使ってポート範囲も自分で設定する手がある
たとえばこんなの
http://mevius.5ch.net/test/read.cgi/hard/1485617399/326
(画像にconfigが入ってる) RTX1210の静的レコードのIPv4DNSサーバー機能を使っています。
リカーシブ設定でそれ以外のレコードは上位のDNSサーバーに問い合わせるようにしています。
Linuxでdigコマンドをつかいましたが、エラーが出ます。
192.168.1.1はRTX1210のアドレスとします。
$ dig @192.168.1.1 www.example.com
WARNING: EDNS query returned status FORMERR - retry with '+noedns'
$ dig @192.168.1.1 www.example.com +noedns
;; ANSWER SECTION:
www.example.com. 1 IN A 192.168.12.13
静的レコード以外もだめです。
$ dig @192.168.1.1 google.com
さっきと同じエラー
$ dig @192.168.1.1 google.com +noedns
問題なし
+noedns がないため、RTX1210のDNS機能を使えない状態です。
解消するコマンドってあるでしょうか。 RT58iを使用しています。
OpenVPNサーバーをLAN内PCに設置しており、VPNクライアントからシャットダウン状態のPCに向けてPINGを送るとVPNが繋がらなくなります。
ネットワーク機器が存在していないIPアドレスを指定しても同様です。
ただ、スリープ状態のPCを指定しても問題ありません。
起動してあるPCを指定すると返ってきます。
これはどういった原因が考えられるでしょうか。 >>874
補足します。
この現象が起こるのはPINGの送信元がiPhoneのときです。
Windowsからでは問題ありません。 >>875
再度補足します。
Windowsからでも-w オプションを短く設定すると繋がらなくなりました。
正確には繋がらなくなるというよりは、接続速度がとてつもなく遅くなっているようです。 >>874
外からOpenVPNサーバーにsshで入れるようにして
サーバーがどうなってるかみてみては?
おそらくRTは関係ないと思うけど・・・ >>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます! >>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます! >>877
ありがとうございます。
試してみましたが、どのPCにもSSH接続できませんでした。
ルーターのSSHD configurationには何も設定していませんが、設定が必要なのでしょうか。 >>878
同じような事をしていた人ではなくて、当時はmap-eトンネルがまだなかったので
ipipトンネルで無理やりv6プラスを使おうとしてた人ですね ■ このスレッドは過去ログ倉庫に格納されています