YAMAHA業務向けルーター運用構築スレッドPart24
レス数が1000を超えています。これ以上書き込みはできません。
謹賀新年
nuro光って、NTTのNGN網に相互接続できますか?
nuro光でIPv6がつかえるという場合、NGN網にはどういうルートで入っていけるんでしょう?
遅くなるのかな。 NGNはNTT東日本西日本の独自ネットワークなので、純粋なNuro光は全く経由ないため通信できません。
フレッツVPNワイドでの接続もできません。
運用上だと、Nuro光どうしのインターネットVPNが早かったからそっちをメイン回線にしてサブでフレッツVPNワイドにしたとこはあるな ヌロってNTTのダークファイバだけを使ってるんだっけか? さっさとNTT東西合併してくれんかなと思うは
NGNで社内Lan組めれば余計な見積もりしないで済むw nuro光って、てっきりNTTのコラボの一つかなと思っていたんですが、
NGNとは無関係か。レスありがとう。
nuroって、IPv6も動的らしくて、法人契約だと高額なオプションで固定もできるみたい。
IPv6になってもまだまだみんなのインターネットという感じしないな。
高額な費用で固定アドレスを売るというスタイルはいつなくなるのだろう。
筑波のDDNS使わせてもらおうかな。 >>10
固定ipが必要な人とそうでない人では、使用状況が異なってくるのは明白。
料金体系が異なるのは当たり前では? 登のやつずっと使ってるけど便利やね
知人の回線がフレッツから変わったけどそのままいけてて捗る
schedule at 3 */* *:*:20 * lua -e "rt.command(\"ping6 -c 1 update-b**************8af.i.open.ad.jp\")"
を入れるだけで動的更新かかるし >>10
フレッツもIPv6は判固定なのは同じだぞ ソフトイーサの人、N東に入ったんだよな
そろそろi.openをN公式サービスにしてくれないかな みんなのインターネットて何や。
インターネットて元々ユーザにstaticにIP割当てると経路が細かくなってコストが掛かるアーキテクチャやろ。 Wifiのアクセスポイント間通信って言わばLANの無線方式みたいなもの。
ネットワーク2---(PC2ボンディング用)=WiFi拠点間通信2回線=(PC1ボンディング用)---ネットワーク1
上の図のように、ネットワーク1とネットワーク2とを接続するのにWiFiの拠点間通信を使うとする。
そこでは、たとえば11acを2対用意(合計4台のAPが必要)し、2回線をボンディングでまとめる。
このようにすれば、WiFiの拠点間通信が1対で帯域を稼げなくても、ボンディングで2倍にすることができると思うのですが、
やっておられる人いますか? 冗長化フェールセーフ構成にはできても帯域拡幅は出来ないんじゃないかな? >>29
5GHzだと屋外で使えない。
11ax採用しても、11acの2.5GHz並になってしまう。 >>26>>30
ゴメン間違えた。11acでなくて、11nの間違い。
>>29
11axは、2.4GHz鯛使っているんだね。屋外でも速度でるのかな。チャネルボンディングというやつか。 屋外の話でなぜ距離すら書かないんだ?
屋外でスピードいるなら素直に有線LAN使えよ
線引けないならフレッツでも使え >>32
20mくらいの距離で拠点が離れている。
それぞれ壁やガラスがある。
どのくらい速度でるか試してみないとわからない。
屋外なので、2.4GHzで頑張るしかないようだ。 >>33
然るべき手続きをすれば、電柱にケーブルはわせられる
あるいは、60GHz帯とか使えば、ギガビット級とか出せるけど? 何故かは知らないけれど、特定小電力無線局を屋外で業務に使いたがる人たちは何とかならんのかな。
特に東北とか北海道のSIerモドキは、何で無線通信が切れるんだ!、おかしい、故障だろ!とか怒り出す。
マジでアホすぎ。多くの機器が共用する周波数帯なのだから、何時であろうと周辺の機器と干渉する可能性があるに決まってる。 文句があるならLANケーブルでも這わせれば良いのにね >>34
電柱は東電本体が対応しなくなった今は無理
昔とは違う IPv6での通信で、ちょっと困ったことがあります。
片方はVPS、もう片方はNTTのHGWを介したRTX1210なんですが、
しばらく放置した後、VPS側からRTX1210にping6で通信すると一発目がタイムアウトとなります。
しかし、毎分(cronで60秒ごとに)、ping6を一回でもRTX1210側へ飛ばしているとそのようなことは起こりません。
もちろん、RTX1210側は、IPv6 icmp をパスするようにパスフィルタがあります。
双方にNATなどもありません。
HGWがIPv6パケットの処理に関してなにかしら手間取っているのではないかと勘ぐっているのですが、
なにか改善できることってあるでしょうか。 PPPoE上にIPsec張ったら定期的にこのログ出てるんですが何なんですかね…
通信はできてるので問題ないのですが
2019/02/03 09:33:24: same message repeated 1 times
2019/02/03 09:33:24: [IKE] initiate IPsec phase to X.X.X.X
2019/02/03 09:33:37: [IKE] initiate ISAKMP phase to X.X.X.X (local address Y.Y.Y.Y)
2019/02/03 11:33:17: [IKE] initiate informational exchange (delete)
2019/02/03 15:33:31: same message repeated 1 times
2019/02/03 15:33:31: [IKE] initiate IPsec phase to X.X.X.X
2019/02/03 15:33:44: [IKE] initiate ISAKMP phase to X.X.X.X (local address Y.Y.Y.Y)
2019/02/03 17:33:24: [IKE] initiate informational exchange (delete)
2019/02/03 21:33:38: same message repeated 1 times
2019/02/03 21:33:38: [IKE] initiate IPsec phase to X.X.X.X
2019/02/03 21:33:51: [IKE] initiate ISAKMP phase to X.X.X.X (local address Y.Y.Y.Y)
2021/01/03 23:33:31: [IKE] initiate informational exchange (delete) 運用のスレにいるなら、基本的な仕組みぐらい押さえておかないと。 仕組みわかってればメッセージの意味も理解できるとは思う ログは心配性に見せるとしつこいからな
このままで大丈夫ですか?対策はないのですか?とか
>>17
有料化するとしたら?みたいなアンケートあったよな ここに居る人って、暴言酷いな
実社会でストレス抱えてるのかい?
NECのスレとは大違い ユーザー層の違いでしょ
ここはパソコンの大先生の溜まり場だから とりあえず上げ足取って暴言
その暴言主はパソコンの大先生だけど、まったくyamahaルータ触った事ない or GUIで何とか設定出来た程度のオッサン臭 暴言言ってるのは指摘された人?
ヤマハ関係ない質問ならNECスレで聞けば? >>50
来た来たw
パソコン大先生の被害妄想始まったぁ〜
図星突かれたからって、新年早々怒り狂うなよ 別やで メッセージの内容が気になったから貼っただけだよ >>25
NetVolanteDNSに欲しい機能
・外部スクリプトでDDNS更新
・勝手にグローバルIPっぽいのを見つけて登録する機能
・複数アカウント作成
・故障入れ換えの時に消す手段 チェック・ポイントっていいの?
フォーティゲートと比べてどう?
てか値段だせやw WLX413ってバカ高いけど10GBASE-T,対応したんだね ステートフルインスペクションの元祖やぞ
ニワカかっ これ、ヤマハロゴ付けたチェックポイントのUTMって落ちじゃ・・・ Check Point 1530/1570にちょっと手を入れた感じですね FWX120の顔変えてカスタムファームいれて高値で売ってる業者の逆みたいなもんだよな NTT(w)の網内IPoEで、HGWを交換しました。
IPv6が変化したことを確認して、拠点のフィルタなどのパラメーターを置換しました。
昨日までは、IPsecトンネルさえも通っていたのですが、
いつのまにか不通になっていました。
調べるとping6も拠点間で通らなくなってしまいました。(もちろん、icmpが通過できるようになっています。)
以前も、別の拠点でそういう問題が生じたことがあったのですが、
いつの間にか直っていたと思います。
経験ありますか? >>71
ipv6 filter 番号 pass-log 相手側 * で試しているので、
フィルタは問題ではなさそうです。
昨日まで繋がっていたわけだし。なので、RTX側設定は間違えてないと思います。
したがって、多分、網側の不手際ではないかと考えています。
v6プラスという特殊な事情が影響しているのだろうかな。
悩ましいです。どうにもできないもの。 問題の拠点では、v6プラスでIPv4通信ができるようになっています。
HGW交換後、IPv6アドレスの変更を確認し、拠点で対応するフィルタ設定を行い、IPoE IPsec通信を確認しました。
しかし、翌日、いつのまにかIPoE IPsecが切断されていました。
HGWの再起動、RTXの再起動も効果なし。
v6プラスによるIPv4通信は問題なく使えています。
HGWならびに、RTXにおいて、IPv6アドレスが前日と同じであることを確認しました。
拠点間で、ping6をテストしましたが応答なし。
さらに調べると、問題の拠点のRTX内からグーグルのDNSへのping6も繋がらないことがわかりました。
2001:4860:4860::8888
他の拠点のRTXでは、2001:4860:4860::8888からのパケットを通す同じフィルタ設定で、
ping6でレスポンスを得られました。
フィルタ設定が悪いわけではないようです。
どうも、問題の拠点のHGWからIPoE IPv6が飛んでいっていないように思えます。
v6プラスで、HGWの交換はご法度とかありましたっけ? >>74
解決しました。
ながながと書いてすみませんでした。
なんとなく、configを眺めていると、
ipv6 route default gateway fe80::HGWの下位64bit%3 という記述に気づきました。
HGWを交換したので、HGWのリンクアドレスも変更になっていたことを忘れていました。
しかし、交換直後には、その設定変更なしで、
IPoE IPsecが繋がっていたのです。
再起動をかけた上で、show status tunnel で確認しました。
どうして、ゲートウェイの設定変更を忘れてしまったんだろう。
IPv6にまだ慣れていないのかもしれません。
お騒がせしました。 RTX1210 とCheckpointでインターネットVPNをと思ったのですが,
# show ipsec sa gateway 4 detail
Source Traffic Selector (type / protocol / port / address)
IPv4-range / any / 0-65535 / 123.1.xxx.yyy-123.1.xxx.yyy
Destination Traffic Selector (type / protocol / port / address)
IPv4-range / any / 0-65535 / 0.0.0.0-255.255.255.255
と,トラフィックセレクタが123.1.xxx.yyy になってしまいます。
このトンネルにデータを流すと弾かれてしまうのですが,
0.0.0.0-255.255.255.255 にするには,どこで設定すればいいのでしょうか。 >>78
ルーター広告で、
HGWからネットワークアドレスをもらっています。
デフォゲまで広告されることは知りませんでした。
設定例を調べてみたいと思います。 >>80
IPv4で、DHCPによりデフォルトルートもセットでもらえるのと似てますね
確かに、設定すべきではなかったかも
しかし、なぜわざわざリンクローカルアドレスでHGWをゲートウェイに指定したのだったか 前スレで ipv4 over ipv6 で何とかカントか書いた者ですが
西日本の県またぎで 200Mbps くらい出るんですね。
(アップ側が隼、ダウン側がハイスピード200)
GB 級のファイルが数分で転送できてビビりました。 そりゃあIPoE使ってインターネット通信ですら500Mbps位はサクッと出るからな v6プラスで、IPv4通信をする場合、
ビデオとか、ウェブとかつかうようなとき何人くらいまで対応可能でしょうか。
グローバルアドレスを共有するので、マスカレードするポート数に限りがあると思います。
v6プラスでも、グローバルIPv4アドレスを他人と共有しないタイプもありますか?
それだと通常のPPPoEの場合と同じように考えられるのですが。 >>89
固定IPならポートの制限は無い
ちなみに固定IPのv6プラスはmap-eではないIPIPで別の方式
こっちのスレにどうぞ
http://mao.5ch.net/test/read.cgi/isp/1605831633/ RTX830でLAN側の特定のポートから
はWAN側にしか出ることができなくて
他のポートに接続されている端末にはアクセスできないように
設定することは可能ですか? http://www.rtpro.yamaha.co.jp/RT/docs/port-split/index.html
あんまり知識無さそうならVLAN云々一切無視して「ポート分離機能」を使うのが早いと思う
# lan type lan1 port-based-option=split-into-1:234
これだけ書けば、ポート1は2-4とは通信できなくなる
無線APのゲスト用を手抜きで作る際に手っ取り早いw VLAN無しって設定は簡単だがAP複数使う前提か… >>97
違うよ、書いてあるじゃん
ルーティングは行う、ポート間通信ができない
マトモな寮とかマンションで使われるマルチプルVLANみたいな設定 >>98
show ip routeコマンド叩いてみたいな
implicitが見えなくなるのかも NTT-X Store で
UTX200が 418,500円
UTX100が 170,060円
たけえなぁ WLX212×10をクラスタでまとめて運用してます。
SSIDは内部用とゲスト用と2つ出してます。
10台中2台だけゲスト用SSIDを吹かないように変更したいのですが
クラスタから外して2台それぞれ個別設定するみたいな風になるのでしょうか。 >>102
説明を読む限りそうだと思うよ。
> 同じL2ネットワーク上にある全てのクラスター管理機能対応APは、同一のクラスターに所属します。クラスターを複数管理する場合は、VLANなどでネットワークセグメントを分けて運用する必要があります。1台ごとにSSIDやセキュリティ設定を行いたいAPがあるときは、当該APで スタンドアローンモード を有効にしてください。 ありがとうございました。
上で2台だけゲスト用を吹かないように質問しましたが、というのは訳がありまして・・・
内部用=vlan1、ゲスト用=vlan2、とSSIDを分けて使おうとしてますが
既設配線の中にアライドのGM908Mというやつがいます。
RTX1210 --- GM908M --- WLX212
って風な箇所があるのですが、GM908Mがvlan1しか通さないぽく、右端のWLX212でvlan2が疎通しません。
ヤマハばっかでアライドを使ったことないのですが、普通のスイッチングハブのように
ポートvlanでなく、全てのvlanを疎通させることはできないかご存じの方おられませんか?
何とも方法がないため、やむを得ず、GM908Mの下流にいるやつらだけゲスト用を止めようかと思った次第です。。。 >>104
それはアライドの設定の問題。
先にスイッチの現設定がどうなっているかを見るべき。 >>104
vlan対応のHUBなら中の設定がいる
vlan対応していなければタグは素通しなのでそのまま使える >>105
せっかくのギガスクール案件なのになぁ・・・ >>106
アライドのほうの設定は工場出荷状態のままです。
default(1)
untagged all-ports
tagged none
みたいな風でした。
>>107-108
vlan の名の付くコマンド付近を漁ってるのですが、全てに vlan-id が必要ぽく・・・
https://www.allied-telesis.co.jp/support/list/switch/gs900m/comref/index.html
ADD VLAN=ALL PORT=ALL FRAME=TAGGED
みたいにしたいものの、VLAN=ALL はダメで、番号を指定しないといけないとかで。。 他のメーカーもそんなもんじゃない?
使えるVLANの数が決まってるのでALLなんてどのメーカーでもないと思う
ヤマハにいたっては最大でも32個だし
設定であるとすればタグ付きフレームをそのまま流すとかならありそうな気がする その辺のバッファローの8ポート激安ハブに変えたら終わりじゃね? >>111
「タグ付きフレームをそのまま流す」という気持ちを VLAN=ALL で表したつもりなのですが、ダメらしく。
>>112
SFP も収容されてるので、激安ハブに換えると面倒なんですよ じゃあ>>113を他の人に変えた方がいいんじゃない? ヤマハが最大で32個なのだから
32個の番号を事前に決めて打ちしろよ
ころころ変えるようなら運用がアホなだけ ヤマハ信者おかしい
trunk allowed設定しなけりゃ全部流れて欲しいよな >>104でヤマハ使ってるから決めてしまえって話だろあほ ヤマハのWLXに家庭用無線ルータみたいな機能つけてあげればいいんだよな
「ゲストモードを有効にする」ボタンを押すだけで内部に別のネットワークができて
DHCPサーバが動いてインターネットしか出ないESS-IDが作られるとか
今の時代だと来客のためのネット環境なんてなくても自分でWi-Fiルータ持参してるだろうから、いっそ無くしてもいいよな >>115
意味が通じてないぽいのですが・・・
GS908M の Port1 に上位ルーターが、Port2 に問題の WLX212 が繋がってるとして
Port1 に届いた vlan1/vlan2 の両方をそのまんま Port2 に流してくれ、って話なんですけど
どっから32個とか出てくるんですか? もしかして
ADD VLAN=1 PORT=ALL FRAME=TAGGED
ADD VLAN=2 PORT=ALL FRAME=TAGGED
と打てば、vlan1/vlan2 の両方が全ポートと疎通しあうようになるんです?
2行目を打った時点で1行目がご破算になるかと思ってました。。 全くYAMAHA関係ないよね。
それ以前に投稿内容をみてると、疑問があってもマニュアルさえ読まないのかい?って思うのだが。 コマンドの意味わからないならWEB GUI使えばいいのに コマンドの意味というかVLAN1の特殊性から説明していく必要がありそうだけどね シスコですらVLAN=ALLなんてないぞw
アホが駄々こねてるだけで滑稽すぎて笑えてくるわ
これが日本のIT管理者のレベルなんだよなぁ… ヤマハユーザのためのVLAN入門はやってもいいと思う
無線でゲスト作る時に悩む人多いから そこまで責める必要ない定期
余裕ないやつ多いなー マジで対面の仕事出来なさそう マニュアルを見はするが読まなくて質問するという人の場合、対面だと多分相手が逃げていくよ。 正直、中小規模で明示的にVLANを使っている企業ってどのぐらいある? 明示的にって意味がわからんが
暗黙的に使われてる状態はまずいだろう 構築の担当者がナリでVLAN分けている状態ではなく、社内のセキュリティ基準上VLANやセグメントの分割が必須となっているから分けている、というような企業が中小レベルでどれくらいあるか、ということではないでしょうか。 どのぐらいある?
って聞かれても
把握できる奴ってアンケート調査会社かその公表データぐらいだろう
その情報があって役立つのは販売戦略に使うぐらいじゃないか?
自分のところで構築する基準にはならんだろうに SOHOでも使ってるユーザーもいるんじゃね?
今時中規模以上なんてstatic なVLANよりもっといろんな事してるやろ。んなのユーザーの使い方によるやろ。 NTT西のフレッツネクストなんだけど、
さっきからIPIPのレスポンスが非常に悪い。
パケットは落ちているし、レスポンスにいつもの10倍程度かかっている。
輻輳してる?
こういう話ってどこのスレいったら盛んになっているかな。 >>139
今は、安定とは言わないけど、
レスポンスが普段の値に戻りつつあるようだ。
いくつかの拠点があるけど、
いずれも同じ様相をしめしていた。 DPI使ってがっつり365トラフィックをオフロードとかすると
1210も830も700WもCPU100%に張り付くね
ただCPU強化しただけの機種出してくれよいい加減 >>144
1210の場合、DPIとかしなくてもmap-e環境で800M超えると100%ぐらいの使用率になるよ。 RTXでcpu負荷100%とかリセットしそうで怖いわ CPU強化だともう限界な感じする
ハード設計からやり直しが必要な時期になってると思うがそんな初物売りたくない 出来ることが多いかもしれんが、今の俺の使い方だと、
RTXには機能がなく使い物にならん。
機能の多い少ない=使いやすい難いって事では無く、ちゃんと要件に合った物使えっていう当たり前のことだ。 >154
152じゃないけどEtherIPがヤマハにも欲しいとか NECはEtherIPでもMSSを書き換えられるのが素晴らしい。 >>154
RTXはDHCPv6-PDの再配布が出来ないのよね。 そんなん出来る機器NEC IXかJuniper SRXぐらいしか見た事無い。 IPv6の時代なのに…w
やっぱRTXは時代についていけてない感が否めないな
爺に好まれるのもわかるよ >>160
再配布しなければダメな要件ってどんな時? FWX120以外PPPoEパススルーも非対応だったりな
医療関係でBuffaloの家庭用無線ルータからの入れ換えのときに困った困った EDNS0に内蔵リカーシブDNSを対応させるために、
RTX1210のファームを最新に更新したところルーティングで不具合が生じた。
RTX ⇒IPsec(tunnel A)⇒ A ⇒IPsec⇒ B ⇒ C
更新前には上のようにホストAを経由して、ホストBやCへパケットがルーティングできるようになっていた。
RTX側でのルーティング設定は、次のように多段にしてうまく通信ができていた。
ip route A gateway tunnel A
ip route B gateway A
ip route C gateway B
しかしファームを最新(Rev.14.01.38)に更新後、ホストBとCに到達できなくなった。
show ip routeでテーブルを確認すると、次の2つの設定について、LAN3インターフェイスを出入り口にするように表示されていた。
ip route B gateway A
ip route C gateway B
これは駄目だと思ったので、以下のように設定することによって回復した。
ip route A gateway tunnel A
ip route B gateway tunnel A
ip route C gateway tunnel A
ところが、後に最初の設定に戻すとうまく通信できるようになった。(show ip routeでは、LAN3でなく、staticと表示されるようになった)
ip route A gateway tunnel A
ip route B gateway A
ip route C gateway B
ルーティング設定の認識、挙動がおかしくなったらいったん再起動をかければ元に戻ったかもしれない。わからない。
アップデート後に挙動が変わることがしばしばあるので運用中のファームウェアアップデートは神経使う。 >>165
最後に次のように書いたが、ルーター再起動すると駄目だった。
再起動する前はうまく通信できた。
>ところが、後に最初の設定に戻すとうまく通信できるようになった。(show ip routeでは、LAN3でなく、staticと表示されるようになった)
> ip route A gateway tunnel A
> ip route B gateway A
> ip route C gateway B
だから結局、次のように設定する必要があった。
ip route A gateway tunnel A
ip route B gateway tunnel A
ip route C gateway tunnel A
ファームウェアアップデートに関係ない挙動かもしれない。 元のコンフィグだと、再起動直後はBとかCがどこにあるかRTXには分からないと思う。
通信し始めてようやく判明するだろうから、ある意味当然の動作に思える。 こういうのでもヤマハがおかしいとか言われるんだろうな
かわいそう 自称上級者の相手するのも大変そうだな
中途半端な知識の癖に自分は間違ってない、不具合だと喚き散らすんだからさ こういう奴でも1日作業で何十万と請求してくるのが実情
結局自分でやった方が早いことになって困る >>167-171
>>168
わかってやっている
ルーティングテーブルから遡って必要な経路を構築できるのかと思った
なぜなら、再起動前には次の設定でうまく通信できたから
ip route A gateway tunnel A
ip route B gateway A
ip route C gateway B
しかし再起動後は動作しなくなった。
だったら、最初から動作しないようにしておけといいたい。
再起動前は動作するけど、再起動したら動作しないなんて挙動おかしいでしょ。バグでしょ。一貫性ないでしょ。 >>172
そりゃそうだろ
再起動前はルーティング情報があるから通って当たり前
再起動するとルーティングテーブルが空っぽだから失敗する
先に静的経路情報を定義しておいてやれば問題無いと思うよ >>172
そういう風に思うってことは、やっぱりルーティングが分かっていない。 静的ルートの設定の時、ゲートウェイはネクストホップとも言うけど、その意味考えたことないんでしょうね。 >>172
一貫性という点では、LAN3になったという部分がそうだとおもうけどね。 >>172
うまくいくいかないだけで考えれば
Aの宛先がトンネルでなければうまくいったかもな >>172
その要求は、いわゆる家庭用を望んでいるように聞こえる。 >再起動前は動作するけど、再起動したら動作しないなんて挙動おかしいでしょ。バグでしょ。一貫性ないでしょ。
その通り 関係無いけど
ip route 192.168.101.0/24 gateway 192.168.101.254(=トンネル先のルータ)
こんなconfig書いて客先でハマったなぁ
起動直後だとつながらないけど起動後に記述すると行けるんだよなぁって絶対ソフトバグだよって思ったっけ >>183
それ全く関係あるでしょ
起動中には使えて、
再起動後には使えなくなるのはバグです 起動中ってトンネル接続前だろ
なぜトンネルインターフェース指定するか考えろボケ >>186
起動後のことな
上げ足とらなくていいから
>>172を嫁
>なぜなら、再起動前には次の設定でうまく通信できたから
> ip route A gateway tunnel A
> ip route B gateway A
> ip route C gateway B
>
>しかし再起動後は動作しなくなった。
tunnel Aは指定されている。
そして再起動前にはこの設定で動作、
しかし再起動後には動作しなくなった。
どう考えてもバグでしょう。
あるいは再起動前の動作が変な仕様になっている。
いずれにしても再起動前後で一貫性がないので、バグ tunnelAが確立する前にBとかCがどこにあるかわかるのなら言っていることは正しいと思うが、そういう構成でないと誰もが思っているよ。 「tunnelA確立する前」にルータが思う「B、Cがいるであろう方向」が「LAN3」なんだろうね。
一貫性あると思うよ。 >>165が自分で言っているように、
B、Cが見えるようになったのは
ip route B gateway tunnel A
ip route C gateway tunnel A
を設定して、BとCが「Aの先にいる」のをルータが認識したからだからね。
そのあとに
ip route B gateway A
ip route C gateway B
をやってもそりゃ動くだろう。
再起動すると
ip route B gateway tunnel A
ip route C gateway tunnel A
で得ていた「Aの先にいる」という情報がないわけだから、つながらないよね。 「Aの先にいる」は「tunnel Aの先にいる」の意ね。 スタティックルートで何を指定するか誤解してると落っこちるよくある罠ですよね。
何処へ行けとは指定できるけどどうやって行けとは指定しない。
自分も最初は嵌まりましたわ。 ip route B gateway tunnel A
ip route C gateway tunnel A
にできない宗教的な理由あるの?
ip route A gateway tunnel A
で同じAって使ってるが実際はゲート先として tunnel AはIPアドレスでもアドレス範囲でも無い
ip route B gateway A
ip route C gateway B
の宛先ゲートはIPアドレスである
投げる先のMACアドレスが確定していなければなげれなくね?
tunnel Aは宛先アドレスならトンネルデバイス tunnel A にすべて投げろって意味なので
動作するんだろ つまりtunnel A と指定された場合
指定されたアドレス範囲であれば
トンネルtunnel A接続先のデバイスのルーティングテーブルで処理される メルマガ邪魔すぎ
何回同じ情報送ってくんだよまじで ルーティングってMACアドレス学習とかあるわけでステートレスじゃないし一貫性とか言われても… うまくいかないと言ってるコンフィグだと、いつ再起動してもLAN3に向くと思うよ。 >>198
再起動前は動作する
再起動後は動作しない
一貫性がない
このスレの人間はわざと曲解して
何事もないかのように済ますようだな
ヤマハの回し者だろうか >>199
あるいは、ヤマハ以外のルーターメーカーの回し者で、
ヤマハのシャアを奪おうとする輩だろうか
あるいは日本語を勉強してこなかったバカか あるいは、自分の知識のなさを棚に上げてメーカーを貶めたい輩か >>200
>ヤマハのシャアを奪おうとする輩だろうか
>あるいは日本語を勉強してこなかったバカか
それ、自虐ネタ? 認めたくないものだな、自分自身の、若さ故の過ちというものを コメ主のとおり再起動前と再起動後とで挙動が異なるのはおかしいのでは? >>206
なぜトンネル宛てにルーティングしない?
設定例でもトンネル宛てなんだが
宗教的理由でもあるのか?
自分の設定ミスを隠したい為にバグ言ってるだけだろ 191とか194の言っていることが理解できないわけではないと思うけどね
意味が分からなかったのなら、重症以上だな >>206
ルーティングテーブル作成後にトンネル張るから
挙動としてはおかしくはないんだが
ルートの指定にIPアドレス使ってれば
それがトンネルの先なのかローカルにあるのかなんてルーターが把握できるわけない
どうしてもというなら
スケジュールでトンネルアップ後にip route 打ち込めば? こんなんでるーたー弄ってるとか嘘やろ・・・
うそだといってくれ!
EthernetとTCP/IPの基礎が既におかしいじゃないか。 嘘ではないね。残念だけど。
206とか真顔で書いているとしか思えん。 20年前とかと今じゃエンジニアのレベル段違いだからな
今は8割素人
まともなのがプロジェクトに1人いれば安心するレベル >>211
ルーティングテーブル作成後にトンネルを張る張らない関係なく、
コンフィグには、(>>188)
> ip route A gateway tunnel A
> ip route B gateway A
> ip route C gateway B
って書いてあるわけだから、
ホストCはホストBへルーティング、ホストBはホストAへルーティング、そしてホストAはトンネルAへと辿れる。
つまり、ホストCはトンネルAへ転送ということにつなげられる。
再起動前には実際に上記のコンフィグでそういう意図した転送が実現していたわけだから、
あたかもコンフィグ上の三段論法が実現しているかのようにも勘違いしてしまう。(静的なコンフィグの解釈)
しかし、おっしゃるとおり、ルーティングテーブル作成後にトンネルを張って云々という内部的仕組みが噛んでいて、
その内部リソースを参照しながらコンフィグが解釈されてルーティングが再構築されるのであれば、
コンフィグの解釈は動的になり難しくなると思った。(動的なコンフィグの解釈) トンネル張る前になぜルータからBとかCが見えると思うのか。 ルーティングを考えるときに逆から書く人初めて見た。
その癖やめた方がいいと思う。ハマるから。 ネクストホップに投げた方が簡潔だろに
基礎からおかしい >>220
Dockerつかっていると、
どのホストにコンテナがあるかがわかりやすいんですよ >>218
たしかにホストAやBやCは見えないけど、
ルーティングテーブルの生成にとっては、それらが見える見えないは関係なく、
粛々とコンフィグの解釈(>>215)から組み立ててほしいわけです
コンフィグとルーティングの実際とが一致する必要はありますか?
わかりやすさによって記述して、実際のルーティングの動作では、
内部で別に生成されたテーブルを使用してほしいわけです。
たとえば、ホストAへのルートが冗長化されているとしましょう。
ip route A gateway tunnel A gateway tunnel a みたいな感じです。
> ip route A gateway tunnel A gateway tunnel a
> ip route B gateway A
> ip route C gateway B
すると、以上ののような記述によって、
ホストBや、ホストCも代替ルートが利用できるようになることを期待するわけです。 そんなあなたの理想と現実が違うだけ。
違うなら自分が合わせるか、その動きのするものを自分が作って広めるしかない。 ないものは作ってください
そんでgithubに置いて そうだ。次のコマンドがほしい。
> ip route A gateway tunnel A gateway tunnel a
> ip route B via host A
> ip route C via host B >>226
コンフィグの解釈などルーター内部の挙動なので外部からは作れない すでにその理想は存在するような気がしないでもない。
が、それに気づかないならやっぱり、センスがない。 >>230
けどまあ、コンフィグから見てもわかりにくい挙動ですよね
トンネル生成の有無について行間を読む必要がある点で
(その結果、再起動前後で挙動が異なる) 頭を空っぽにして、ルータになったつもりでコンフィグを読むといいよ。
これぐらいなら実機で確認するまでもなく問題点ぐらい見つけられる >>232
いやいや、
再起動前にルーターと相談しながら動作確認したわけですよ。
そして動作したんですよ。
先にコンフィグを作るんだったら
意図した動作をするかを警戒して
そんな巧みな記述をしようとは思わない だとすると、あなたのルータの理解が足りない。
思考も汲み取らないと。 223
229の答え合わせね。
一応聞くけど、ルーティングプロトコルって知ってる? ヤマハは
ip route 192.168.222.0/24 gateway tunnel XX
みたいに指定しないとダメってことでよくね? いいとか悪いとかではないのだけどね。
バグだとか、自分の思考通りに動かんのはけしからんとか言ってる人がいるだけ。 起動してから一定時間たって実行するようにコンフィグに書けばいいんじゃないのかな
「schedule at startup っていうコマンドを使わないからダメなんだよ]
って言えば納得してくれたのかな 僕ちゃんの設定がうまくいかなかったのはヤマハのバグのせい
にしたいので
何を言っても無駄 元の人と昨日の人が同一かは知らんけど、
あそこまで試行錯誤しててダイナミックルーティングに至らないのは、前時代的。
日常的に無駄な苦労をしてそうだ。
視野は広く持たないと。 >>223が投稿されるまで、どんな思考をしているかわからなかったが、動的ルーティングと静的ルーティングが混ざった理解でやってたのかもね。 パソコンの先生上がりだとripすらわからんからなぁ 久々にハマったのでメモ
【現象】RTXを再起動したら1拠点VPN接続不可。鍵交換ログすら来ない
【環境】
・MyDNSのDDNSで1拠点IPsecVPN接続
・MyDNSのアドレスへはRTXからpingが通る
・MyDNSのアドレス自体は半固定で1年以上変更されていない
・つながらなくなる半月前にMyDNSのMXレコードあたりを設定画面でいじってた
・拠点ルータはIPv6通信不可
【原因】DDNSアドレスがIPv6アドレスも返してくるようになったため
多分設定画面でいじったときに入れちゃったんだろうなあ
【処置】MyDNSの設定画面でIPv6のアドレスを0:0:0:0:0:0:0:0「固定」に変更 タコなのでフィルタ設定のinとoutがどのタイミングで効くのかよく分からない Telnetでフィルタ試行錯誤してたら速攻遮断されたのもいい思い出 >>244
その処置良くない
v6のレコードだけ消せると思うけど。 俺ならdns server select 使ってMyDNSのAレコードだけ引っ張るわ
てか
拠点ルータがIPv6通信不可ならAAAAレコード引っ張らないようにするわ こりゃ免許制の導入が必要だな
パソコンの大先生が設定した脆弱ネットワークだらけになる
セキュリティリスク大国ニッポンになるのも時間の問題 「IPv6のアドレスを0:0:0:0:0:0:0:0」の場合、
何も起きないか、大惨事が起きるかのどちらかしかないだろう。 すまんすまん。MyDNSの設定が::指定でクリアなんだわ
>動的IPの場合、IPv4アドレスは「0.0.0.0」、IPv6アドレスは「0:0:0:0:0:0:0:0」でリセットされます。
>(リセット状態では、AレコードまたはAAAAレコードは生成されません)
>>249
その手もあるか。とりあえずIPv6アドレスで接続することもないからAAAAレコード消して終わりでいいや 今さら免許制なんて無理だから、警察に抜き打ちぺネストレーションチェックをさせていきなり逮捕状を持っていく運用とか
日本国内のアドレスを絞り混むのが無理か… # ntpdate ntp.nict.jp
Error: Cannot connect to server
# ping ntp.nict.jp
received from ntp-b3.nict.go.jp (133.243.238.164): icmp_seq=0 ttl=234 time=43.990ms
# ntpdate 133.243.238.164
2021/03/07 15:39:45 +1second
あららこんなところでも引っかかってら
ntpdate ntp1.jst.mfeed.ad.jpに変えたら動いたから ヨシ! dns service fallback on
↓
dns service fallback off
これでうまくいった!
パソコンの先生のハマりメモおわり 子ども生まれる前は愛してると言ってくれた。
子ども生まれた後に離婚したいと言われた。
俺は何も変わってないのに一貫性の無い女はバグ。
みたいなのが思い浮かびました。 >>258
オフです
IPv6使える拠点のコンフィグいじって作ってたから気づかなかった >>259
今回のは前提の知識自体が間違ってたからね… RTX1220マダァ-? (・∀・ )っ/凵⌒☆チンチン ip route default gateway dhcp lan3 gateway dhcp lan2 gateway dhcp lan1
ip keepalive 1 icmp-echo 10 5 dhcp lan3
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.240.1/24
description lan3 ss
ip lan3 address dhcp
ip lan3 nat descriptor 300
ip filter 100000 pass * * icmp * *
ip filter 500000 restrict * * * * *
nat descriptor type 300 masquerade
nat descriptor address outer 300 primary
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24 gateway 192.168.100.1
dhcp scope 2 192.168.240.2-192.168.240.191/24 gateway 192.168.240.1
dns host any
dns server dhcp lan3
dns server select 500202 dhcp lan3 any .
dns private address spoof on
httpd host lan1
dashboard accumulate traffic on
=======================
すいません、これ192.168.100.2←→192.168.240.2にPing通すには
どうすればよいですか? >>263
どういう構成のもとにそのコンフィグのなったか分からないけど、
なんか全体的におかしいと思う。 試験問題かな?
面白そうだけど実際にこんな構築する人とは仕事したくない やっぱ免許制にすべきだわ
パソコンの大先生には荷が重すぎる >>263
それで全部?
内容はともかく
192.168.100.2←→192.168.240.2は疎通すると思うが
DHCPがうまく割当たってると想定して
192.168.100.2→192.168.240.1
192.168.240.2→192.168.100.1
が通るなら
PCのフィルターが弾いてるじゃね? 1210でFQDNルーティング使用して運用したらCPU100%貼り付きだしてコマンド投入もままならなくなった
Yamahaに問い合わせたらなるべく使用するなってさ、皆様お気をつけを 830で張り付きはしなかったけど
一部ソフトウェア通信をきちんとルーティングできないっぽかったから
IP指定に変えた CPUパワーのゴリ押しで動いてる感あるんだよなぁ
アーキテクチャから見直ししたほうがいいんじゃないかって感じ >>267
192.168.100.2→192.168.240.1
192.168.240.2→192.168.100.1
これはいけます。互いにWebサーバー立てて、
互いのブラウザで見れるので疎通自体はできてます。
懸案のPingはADのGPで応答可にしているはずと
思ってましたが、もう一度確認します。
ありがとうございます。 ヤマハ明らかにルータの開発手を抜いてんのに
お前らがどんどん買うからいつまで経っても手を抜かれるんだよ
しばらくヤマハから離れるべき >>270
ごり押しするならもっと早いCPU使えって気はする 192.168.100.2→192.168.240.1
192.168.240.2→192.168.100.1
通るならそれは無い YAMAHAのネットワーク機器が社会を支えています
みたいな広告ポスターが新幹線に貼ってあった 普段新幹線乗らない人が驚いてるのをよく見る
客にUTX売る勇気ある人います? >>273
スマホでいうと2014年くらいのローエンド スナドラ400くらいのヤツなんだよね RTX830 で、v6プラスとIPv4の固定IPアドレスのふたつを設定していて
特定のFQDNへのアクセスは固定IPアドレスのほうからでるようにしてて
2年以上うまくいってたのに急にだめになったぁー
前から前兆はあって、ノートPCで時々フィルタが聞かずv6プラスのほうからでようとしてた。
それでもデスクトップPCからアクセスすると問題なくて
その後にノートPCからアクセスすると問題なくアクセスできた。
今日はデスクトップからもできなくなった。
デスクトップとかノートとか関係ない気もするけど
なんか参考情報ないでしょうか。
再起動したらなおるのかな?
7月のファーム更新以降再起動してないわ
そろそろconfigも作り直して再起動したいけど悔しくてまだ我慢してる。 >>284
サイト側に起因するものではないかどうか、確認済み? googleとyoutubeみたいに中身が同じ時に意図したのと違うゲートウェイに向かうだけじゃないのか? うーん、サイト側かぁ
そういえば確かに IP でルーティングかけてるのは問題なかったなぁ
もうちょっとしらべてみる。
このあたりの動作を詳細にログに残す設定ってないのかな? これまでv4でしか動いていなかったサイトがv6アクセスもリリースし始めて、クライアントのWin10はデフォv6優先だからv6で動いたとか UTM つくりました!
SD-WAN できるようにしました!
Ansible に対応しました!
流行りに乗るのは結構なことだが、無線とかL3スイッチ安定させてからやってくれ。 >>291
ただのOEM品じゃなさげなんだわ
CheckPointに変なUI載せて調子悪くなってそう
L3SWはもう買う人いなそう 零細の兼任シス管みたいなことしています。
NVR700Wで、朝出勤してきたらSTATUSランプがオレンジ色に点灯していまして
| # show status status-led
| STATUS LED is ON
| [TUNNEL] : 6
| # show status tunnel 6
| TUNNEL[6]:
| 説明:
| インタフェースの種類: PPTP
| トンネルインタフェースはPPTPで利用されています
| PPTPの状態はshow status ppコマンドとshow status pptpコマンドで表示できます
| # show status pptp
| ------------------- PPTP INFORMATION -------------------
| Number of control table using
| Tunnel Control: 0, Call Control: 0, GRE Control: 0
| #
という状況です。
Tunnel 6 というのは、自分が自宅や出張先からPPTPで?ぐ専用のVPNで、
昨晩も使用したのですが、既に切れており、show log を見ても他に
不正に接続されている形跡もありません。
警告灯が付きっぱなしなのも気持ちが悪いので、
他に調べるべきこと or 消灯方法をご教示いただけませんでしょうか。 すみません…自己解決しました。よくわかんないけど
# tunnel select 6
tunnel6# pptp keepalive use off
tunnel6# pptp keepalive use on
したらステータスランプが消灯しました。
なんだったんだろう。切り方がまずかったのかな。 特に宗教的な理由がなければPPTP使わん方がよいと思う NVR510のip filter で、"10.1.8.0-10.1.255.255" みたいな ipv4 24bit未満の中途半端な範囲指定ってどうすりゃええんや?
ip filter 65537 pass-log 10.1.8.0-10.1.255.255
ip filter 65537 pass-log 10.1.8-255.*
ip filter 65537 pass-log 10.1.8-255
とか幾つか試してみたもののドレもシンタクスエラーにはならんがマッチしない すんまそん、落ち着いてもう一度やったら一番上の文法で通りましたわ
これで、ワイも一つ上の漢になれました PPTPはメンテ用に別に残しておいていいと思うが、パスワードは別のものに設定しておきな
常用するのは今は勇気いる PPTP有効にするなら最低でも許可するIPアドレスを制限くらいはしないと 話変わるけどPPTPなんかよりもこのスレに多いひとり情シスの中小零細なんかだと
某Fo社のSSL-VPNが相変わらず入り放題になってるからやばい
自分で意識してなくてもベンダがメンテ用に開けたままとか アップデートしてもゴミだからな
あんなの喜んで使う奴は無能 ヤマハなんかよりVPN設定追い込めるし他要素認証使ってない方が悪いわ アップデートっていっても何も考えずに最新版入れていいもんじゃないしここヤマハスレだし
リモートVPN同時接続数分のトンネル作る必要の仕様はなんとかしてほしいんだがなぁ >>307
何使ってれば有能なの?
煽りじゃなくマジで教えてほしい おぉーようやく再起動ができるぞー
ゴールデンウイークにコンフィグ作り直そうかなぁ アップデートしたら、v6プラス繋がらなくなった。
なせだ? リセットして、復旧。
今度はVPNが繋がらん。
はぁ ワイも問題無いな
ルーティングとか何か設定に問題ありそう… >>312
>に、MAP-Eルールの取得するタイミングを1〜10分後から15〜20分後へ変更した
やっぱり再取得早すぎて弾かれてる感あるよなぁ >>320
文を全部読まないと。
その部分が生きる状況はあまり起きないよ? RTX1210がALARMランプ赤点灯でPOWERランプ点滅状態になってるのって故障?
ボタン3つ押しリセットも効かず… >>326
まさかと思うけど、不都合対応してないってことはないよね? >>327
不具合対策のことかな?
製造番号は対象番号よりも前のなので、それで不具合になった訳ではなさそうです。 掲示板みていると世の中には想像もしない言葉使ってくる人がいると勉強になるなぁ 掲示板なんかまだ序の口だろ
社内にいるとチャームが開けないとか新語が飛びまくるぜ
PORTが変に点灯消灯してたりすると故障
45000円ぐらいだったかな? 次の機種はいつなんだよ!
10Gと5G対応、SIPサーバ付きのNVR800Wはよ出してくれ 2.4G,5G対応のNVR出したらSEILの代わりに出来そうなのに 普通の無線AP使えばいいんじゃね
それよりも携帯データの5G対応してくれた方がこれから役にたちそうなんだがな usb端子に5Gの通信端末挿せばええやん
ルーター内に内蔵させる意味ある? USBの5Gの通信端末ってあるの?
登場してもサポートするまで時間かかると思うよ USB3.xにしないと速度がってのもあるけど、
それ以前にモバイルインターネット接続でもIPv6使えるようにしてくれってのはある >>335店舗のレジ裏にそんなスペースないんだわ
IIJmioはv6通信してたような 携帯キャリア側はv6配るようになってきてるんだけどRTX/NVRはLTE経由でv6を使えない(v4専用) ドコモだとルーターでも5Gは無制限だから
SPモードじゃ不便なのでv6使えるようにしてほしいわ 5G端末への対応よりも、5Gの恩恵が受けられる環境にルータとかを設置できる人がどれくらいいるかということの方に興味がある。 ど田舎だけど、エリア外が多いけどキャリア別で急速に増えて来てる感はある どっかにIIJのSEILとヤマハのコンフィグを変換するソフトとかご存知ないですか?
そろそろルーターのリプレースを考えていて全部一から設定するのは台数的にきついので 変換ミスで変な誤動作起こされる方がよっぽど面倒だと思うが 修理見積もり出してもらいました。
基板交換に技術代で税込み46000円だそうです。
>>331さんの書いてた料金と一緒ぽいですな… >>345
ヤマハのコンフィグ渡してぜんぶIIJにやってもらえば? 再開は来年2月って…
830じゃトンネル足りない案件あるだろうよ なんでRTX1220は、RTX1210のマイナーチェンジなんだしRTX1211にしなかったんだろう。
そのための一桁目だと思うのだけど。 次期ルータが違うネーミングにするつもりだったんじゃね
マイナーチェンジとはいえBRIが無いのはあと3年で使えなくなるけどでかい違いだし >>356
NTTの交換機リプレース
ttps://web116.jp/2024ikou/business.html >>355
流石に違う名前はないんじゃない?
だって他のRTX830も他のも同じルールに則っているし。
本当は1220を発売する予定&ほぼ開発済みだったけど、
コロナが原因で、半導体不足&開発遅れで量産体制がまだできていないんじゃないかな。
ISDNの部品がなくなり1210が継続生産難しいが、新モデルも目処が立たない。
(本来新モデルが出ているタイミングだった)
だったらPowerPCのみだったら市場の在庫で賄える。と予想し1220の発売に至った。
そんな流れと予想。 vRXはVPN使う時にすげえ値段になっちゃうんだよなぁ
RTX1220売ってないんだから無期限版みたいなの代わりに欲しいわw 1.25Gbpsの部分は若干ミスリードを誘うように思うけど、まああり得る話に思える PPPoEのふくそうはかなり改善された感じするしな
そしてMAP-Eの方が遅くなってきてる感はある
UTX売った人いないん? >>361
まとめ
今回の検証結果の傾向と仮説で考える場合、
一昔前のようにフレッツIPv6網内折り返し通信は速くて安定していると一概に言えなくなっているでしょう。
本邦のインターネットトラフィックは増加を続けており、
当面解消は難しいと考えられます。
IPoE上のVPNでも、pingが異様に遅くなる場合はあったな。 >>366
1.25Gbpsは確かに誤りではない。
ただそれは光ファイバーでの話なので、ONUよりも宅内側では32分岐させた場合1.25Gbps/32ではなく1Gbps/32と捉えるべき。 ONUよりも宅内側では32分岐させた場合
イミフなんだが >>368
こういう混乱が起きるという意味でミスリードさせる内容なんだよね。
例えば32分岐した光ファイバーが均等に使われて使用率100%のとき、ユーザーは記事に書いてあるように39Mbps使えると考えるのは間違いということ。 >>370
そうか?
そう思うなら勉強不足ということだ。 ONUよりも宅内側では32分岐させた場合
宅内で1GのHUBで32分岐させるって意味にとれるんだが この場合の宅内は、ビルやマンションのMDF内と言う意味かな >>378
元ネタの人は単純割った場合といってるので
そこまで突っ込むならプロトコルのオーバーヘッドも入れろと? >>380
光ファイバー内は確かに1.25Gを分けるが、そのうちの20%はユーザーが送るデータそのものではない。
指摘のプロトコルオーバーヘッドとは違う次元の話と思う 単純に割った場合って説明しててもそこ突っ込むの?
ONUよりも宅内側では32分岐させた場合の意味は? 解釈の問題だろ
いちいち突っ込むところではない
間違いだと思うなら知らせてやれば? ONUよりも宅内側では32分岐させた場合はイミフのまま > ただそれは光ファイバーでの話なので、ONUよりも宅内側では「、」32分岐させ「てい」た場合「、」1.25Gbps/32ではなく1Gbps/32と捉えるべき。
こんな感じ? PONスレじゃないからいい加減余所でやってください 光ファイバーでの話がなぜONUよりも宅内側の話になるのかイミフ ユーザー側視点だと、1.25Gをシェアすると考えるのはよろしくないな。 単純にシェアドアクセス方式の話でなら問題ないだろ
>>381で次元が違うなら
10b/8bも次元が違う考えなんだろ
光ファイバーは1Gと説明するか1.25Gと説明するかで
細かい事まで注釈すべきかどうかだが
話の本質ではないだろう みんなRTX1220案件どうしてるん?
2月まで待てんぞ >>393
VPNの多拠点センター → 3500
NATルーターとvlanとフィルター→830 >>394
3500が1220ぐらいで手に入ればなぁ
特価出てたりするん?CSK ISDNどーすんだよ
使わないシステムまだ出来てねーぞ メタルIP電話でまだまだ使う想定のユーザーって少ないのかなぁ? >>397
え?
散々終わる終わる言っててまだ対応してないん?
G4FAXだけが悩みの種だわ こんなご時世、RTX1500って需要ある?
長らく使用していないものがある。 >>405
G4は無理
まぁG3非搭載のG4専用ファクスなんて稼働してないだろうから平気だろうけど
つかマジでRTX1220なんとか出してくれ RTX1210内部で、ip route IPsecの相手先IP tunnel 1みたいにして
IPv4IPv6(tunnel 1)をゲートウェイとして、IPsecトンネルの相手側と通信すると、
MTU調整しても3MB/sec程度しか速度がでない。
こういうオーバーヘッドでの動作って、RTX1210はどういう内部動作するんだろう。
ファストパスになってる? >>409
ファストパスを疑っているようだけど、CPU負荷は確認してるの? ゴミ同然のHGWを使い続けるよりNVRに変えた方が満足度高い わざわざHGW噛ませる意味ある?
ひかり電話ならNVR使えば良いし
SIP端末は使えんけど 遅いと喚く奴に限って
HGWを外そうとしない
別回線引こうともしない >>411
RTX1210側は負荷ほぼなし
HGW側ですか?
でも、ip route IPsecの相手先IP tunnel 1 にせずに、
IPsec over ipv6のように通常のようにすると同じ環境でももっと早く通信できるようになる。
10MB/sec程度は出たと思う。
だから、RTX1210のばあい、多段スタックにするとダメなのかなと。 >>417
ファストパスで速度が頭打ちになる場合は、CPU負荷が上がるからすぐに分かる。 >>418
なるほど。すると、別の理由で遅くなっているのかも。
IPsecをIPIPでカプセル化してオーバヘッドを作ると処理が遅くなるとかないのかな。 300はマジで遅かった。
調子悪いって言うと変えてくれる >>421
きちんと設定した
断片禁止パケット送出方法で >>426
きちんと の詳細が分からないと…
先入観であっていると思っているだけかもよ? いいかげん携帯通信つかってV6でVPN出来るようにせいや OpenVPN/Wireguardじゃないとv6VPNしてもな あぁ、自分が情けない。笑ってくれ。
yamaha RTX1210でIPoE(v6plus:RA:map-e)+PPPoE(IPv4接続)+vpn(IPv4:L2TP:ネットボランチDNS利用)、AGEphoneで電話を取るを実現しようとしていたんだ。
AndoroidからVPNが繋がらなくて試行錯誤していた。
ポート開放やネットボランチDNSは問題無かったが、くだらんところでミスってた。
default gatewayの設定をしないと駄目なんだな。
戻りがないから駄目なのか…
default gatewayにtunnel 1とpp 1(VPN関連のフィルタ)を付け加えればいい。
LAN2にIPアドレス振れば、AGEphoneが使えるのにはきがついたんだがなあ…
気づくまでに時間食ってしまったよ。 >>432
@432 です。 HGWはIPアドレスを振っただけ。内線設定でAGEphoneを使う。 HGWが192.168.1.1
ヤマハルータがLAN2にPPPoEで接続、LAN側は192.168.100.1/24のとき、
・ヤマハルータにip lan2 addr 192.168.1.254/24
・HGWのスタティックルートに192.168.100.0/24 gateway 192.168.1.254
いれるだけでできて拍子抜けだったっけ 牛さんでも同じこと
質問ならまだしも基本わかれば出来る事を出来ました報告は
業務の運用スレに書く事ではない l2tpv3/ipsecでのヤマハルーター間での接続で教えて下さい
2台ともusbデータ通信端末にてグルーバルIPが動的な環境でnetvolanteを使用して構築しています。
同時に再起動等でグローバルIPが変わり、netvolanteに変更後のipが登録される前にl2tpv3の接続が開始されると、相手側ipアドレスに変更前のアドレスが設定されトンネルの状態が[wait_ctl_reply]からいつまでも変わりません。
手動でトンネル再接続(disconnect tunnelして切断されたのを確認後にconnect tunnel)すればいいのですが、自動でする方法はありますか? >>439
異常な状態の識別と対処のコマンドが分かるなら
1分毎に状態チェックして必要なら再接続するようなluaスクリプトを書けばよいのでは? ひかり電話ありONU―HGW―RTX場合、ONU直下でもHGW下でも同じ設定でいけますか?
ONU直下だと/56でHGW下だと/64の違いがあると思ったので >>443
RTX側の設定は変わらないはずだけど回線の契約側でHGWの使用を強制してる場合があるかも ひかり電話ありでONU直下並列はほぼ不可能。
ただ繋ぐだけだと、どっちかが使えなくなる。(ひかり電話使えなくても良いならHGW外すだけ)
HGWはRA/DHCP-PD両方でアドレス配ってる。
DHCP-PDで取りに行けばprefix /60のアドレス取れるぞ。 なるほどHGWを用意していただくようにします
ありがとう >>445
ひかり電話は、IPv4をつかっているだったよね
その影響?
ひかり電話ありの環境で、
ONUからHUBで分岐して、HGW側とRTXルーター側にわけて、
HGWには網から提供されるIPv4だけ渡して、ひかり電話つかえないのかな。 >>445
ほぼ不能と書いたのは、普通にやろうとすると面倒だから。
ONUとHGWの間にFW入れてIPv6ブロックすれば出来るはずだよ。(ただしやったことは無い)
うちはひかり電話受け専にIPv6止めたNVR入れて、ネットワークは全部IXで受けてる。 >>448
おっそいHGWを回避できるし、HGWが壊れてもデータ通信は続けられそうだから良いかもしれないなあ。
HGWをRTXの配下において、ひかり電話は使えるようにできないかなあ。 NVR500のリースアップ品が捨て値で売ってるからひかり電話はそっちでやるのも手だな リースアップ品の安い奴ってIP38X/N500だっけか、あれNVR500のファーム突っ込めるのかな? RYX830のWebGUIの反応がすげー悪いんだけど他にそういう人いますか?
最新のファームでこういう問題がでてるのか
それともこわれかけの前兆か >>450
>HGWをRTXの配下において、ひかり電話は使えるようにできないかなあ。
ひかり電話のSIP情報がDHCPで配られているので、HGWがNGNからDHCPでアドレス取れないとSIPがつながらない。
ひかり電話使う前提ならNVR使う以外に方法は無いよ、恐らく。 >>455
ONUに直接繋げるのをスイッチングハブではなくプロトコルvlan機能を持ったスイッチとすれば、どうにかなるようにも思える。 ONUとHGWの間に挟むならvlan機能のないノンインテリジェントのスイッチを使った方が良いかと
2000円くらいで売ってるNetgearとかtp-linkのやつ
無駄な機能が悪さをすることがあるから単純なものの方がいい >>454
GUI画面有効にしてると客がいじるから止めててなぁ・・・
FWX120よりも進化しましたよ!ってアピールしてたのは聞いたけど >>454
ハーウェア板のスレで話題になったけど最近のChromiumベースのブラウザだと動作がおかしい
EdgeでIEモード使うか、Firefox使うと良いそうな >>455-457
HGW(ひかり電話有)って、
SIP情報をDHCPで取得するというけど、
IPv4ベースのDHCPで取得しているのだろうか。ブロードキャストアドレスをつかっているやつ。
LAN---RTX---[ONU/ハブ(*)]---HGW---SIP電話機
以上の仮定だと、上の図のハブ(*)のところでHGWとの通信がIPv4のみにすれば(IPv6の通信をブロックすれば)何とかなりそう?
RTX側もLAN3においてはIPv6のみを用いるようにしていれば、RTXはDHCPv6でIPv6アドレスを取得できるし、HGWはSIP情報やIPv4を取得できるので電話使えそう。
レイヤ3レベル(IPv4/6)のブロックなので、これをしようとすると、普通のスイッチングハブはだめだし、
ルーターもだめだな。具体的に何を使えば、IPレベルで通信を制御できるかな。 うちはひかりTVと電話があるからHGW配下にRTX置いてIPoEとPPP2セッション同時利用していて速度も800M以上出て警告メッセージをRTXが吐く位で申し分無いのだが
何がしたくてそんな構成にしたいのか分からん… やりたいことはわかるけど実際HGW配下で問題ないよな イーサーネットレベルでフレームを落とせるスイッチは限られているようだし高価なので、大人しくHGW通す方が良いのかもなあ。できればNTTから自由でありたい >>464
L2でフィルタできるスイッチなんて10000円くらいであるんでないかい? >>466
それでも出来た気がする。
昔、オクで1,500円くらいで3つ購入したが、要らんので捨ててしまった。
Catalystとかもオクで5,000円くらいで買えるので、それでやってもいいかも。 >>463
何か困ることあるん?
ひかり電話使う上では性能的には無視できそうだしRTXの機能に影響無いけれど
NVRとかRTに電話収容したいならば別だろうが… 自前のルーターで繋ぐからHGWイラネって何度も言ったのにひかり電話の開通試験に必須だからとか言って押し付けられた。
電話として使う予定は無いって言ってるのに。。
HGWの配布ノルマでもあるの? >>470
HGW持ってきても持って帰ってもらうって言っとけば単機能ONUになる >>470
NTTとしてはヤマハルーターでの接続を保証できないからしゃーない
何かトラブルあってもレンタルしたHGWで繋がるなら問題ありませんって言うために貸すだけ
レンタル料もとられないし壊れた時に備えて借りとくのが吉 >>472
ユーザー都合でルーター機能有効にするオプション契約してないとONUと同じ扱い >>474
無効にしててもPR-S300NEあたりは制限食らいそう。
個人研究ならいいけど、会社のひかり電話共存フレッツ回線でやる勇気は出ないが >>460
HGW側のIPv6をブロックした場合、初期化済のHGWならひかり電話は使えると言えば使えるが
ファームのアップデートや経路情報の取得などにはIPv6が必要で、その辺は失敗するようになる
あとHGWが初期状態の場合だと、IPv6もブロックしたままではたぶん初期化が完了せず、ひかり電話が使えるようにならない
IPv6をブロックするには、FWX120やSRT100などで
WANとLANをブリッジインタフェイスに収容して、IPv4は通してIPv6は破棄するようフィルタを設定すればいい
ヤマハではないがNECのIXでそういうことをやってる例
https://archive.is/7A950
>>472
レンタル料取られるかどうかは回線事業者によって様々
NTT東でマンションタイプでギガスマ以外だと取られる
NTT西だと取られない
コラボは事業者によりまちまち >>476
詳しい説明ありがとうございます。
経路情報の取得のことがすっかり盲点に。
結局IPv6の通信が必要になるわけですね。
初期化済みのHGWを繋いだとしても、そういうやり取りが必要ならなにか不具合が起きるのも嫌だなあ。
要は、NTTの考えがHGWありきで拡張性がないというところに問題がある。
HGWはゲートウェイ指定できないし。 >>473
NVR510とかなら、法的にNTTは接続を保証していると言えるので、NTTとしては拒むことは無理と思う。 >>479
だからビジネス向けのプランで契約すればNVR510貸してくれるよ
一般人向けのやっすいプランでヤマハルーターのサポートなんてしたくないんよNTTは ビジネスプランでも標準はOG/VGじゃなかったっけ? >>478
選択肢はあるのだから他の選択肢とれば?
HGWありきにしてるのはおま環 まだヤマハのルータ購入検討中でコマンドレファレンスなどを見ている素人ですが、
ip "secure" filterとただのip filterの違いってなんですか?
secureで検索しても特に断りもなく使われていてわかりませんでした。 ip filterはフィルターの定義
ip "secure" filterはインターフェースへの定義したフィルターの適用 >>485
レスありがとうございます。助かりました。 >>483
光電話使うために必要な経路情報取得のために、IPv6必須なら
HGWでIPv6をもらう必要がある。
そうすれば、HGW下でRTXを接続しなければならない。
よって、おま環という主張は間違い。
NTTひかりはHGWありきで設計されていると言える。 >>487
v6がいるというのは「HGW」のためであって、ひかり電話のためではない。 IPv6遮断したNVR500でもひかり電話使えるって話だしあとは配線がごちゃるかどうかの問題だろう 素朴な疑問なんですが、例えばweb guiをwanからアクセスした場合、
ポート80が開きますが、同時にIPマスカレードで
lan配下でポート80を開く場合、外部からアクセスするとどうなるのでしょうか? >>490
あんまり意味がわからないですが、マスカレードが動作しているインターフェースでwebguiアクセスを受け付ける場合は、静的マスカレードの設定が必要です http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/http_server/httpd_listen.html
変な日本語でごめんなさい。ここにlisten portが変えられると書いてありました。
端的にwanから見たら同じipアドレスで、2つポート80をlistenしているホストがsるとどうなるかと思っただけです。 >>492
ネットワークの基礎が分かっていないのかな? 一つのIPアドレスでは一つのポート80しかないんだが ネットワークのキホンも理解してない奴が使いこなせるもんじゃないのよ、ヤマハのルータってのはさ
向いてないからやめた方がいいと思うな
ちゃんとフィルタの設定できるの? >>492
491で答えになってると思うが
rtxの内部のhttpサービスがどのポートでリッスンするかとパケットがどこに届くかの話は関係無い 世の中のウェブサーバーは443なり80なりで待っているわけだが、多分その疑問はこれと同じ。 仮にポート80でwebサーバ(192.168.1.2)を立てて、静的マスカーレードで
外部に公開するとする。
このサーバにインターネットからアクセスするときはグローバルip(32.21.132.24)
でアクセスするわけだが、ヤマハルータ(192.168.1.1)のweb guiのwan側からのアクセスを許可にしている場合、デフォルトだとポート80でlistenするし、アクセスするときにはグローバルip(32.21.132.24)を指定してアクセスするから、webサーバととルータのweb guiが競合するって話でしょ。なんでこんな簡単な話がわからないの。 >>491
で答えか?おれはWAN側からアクセスしたことないのでわからないけど、ルータ(192.168.1.1)もポートフォーワーディングしなくちゃいけないってこと? https://qiita.com/____easy/items/624ff51d426f4ea4d248
RTX1210でssh接続の設定を行う[LAN内、外部から]
ここに書いてあった。やっぱり直接はポート80、22などでweb gui、sshは使えないらしい。 NVR510について
特定のIPだけWAN側から外の世界に出る事が出来るポートを80番(WEB)だけにしたいのですが
そのCONFIG設定書式教えてもらえますでしょうか? >>501
80宛は通す
それ以外は通さない
の2段階でフィルターをかければ良いのでは?
これで方法が分からいのであれば、まずい設定を教えられても排除できない程度のスキルということなので、勉強してから行うことをお勧めします。 今時443無しだと検索すらまともに機能しなさそうだな >>500
>やっぱり直接はポート80、22などでweb gui、sshは使えないらしい。
直接はって何をさしてるの?
もう少し言葉自体をわかるように書いた方がいい 490が素人だと思ってバカにしていた連中が実に浅はかだったことよ。
80番listenするホストが二個あったらどうするのか当然の疑問だろうに。
未だに反省せずに>>504みたいな馬鹿なこと言ってるやつもいるが。
だからヤマハルータはアニオタら技術屋気取りのおもちゃ扱いなんだよな・・・ 490さんご本人かな。
最初の意味の取りにくい質問もどうかと思う。 >>505
490の抱いている疑問は理解できる。
多くの人が通る道だろうし、抱いている疑問を質問ができるって事が良いとは思う。
しかしその後、その490の疑問に対して回答している人たちは確かにやばい。その回答は理解できない。w >>506
もし意味のわかる質問ができるレベルであれば、質問せずとも解決しているだろう。
ここまで説明できていれば充分だと思うよ。
それよりも読み取り手の技術の知識レベルと国語力の低さが露呈したと思う。 ここは運用スレだったと思うのだが。
webguiをWAN側からっていうのは業務で扱っている感覚ではないよね… 自演まるわかりだな
仕組みを知ってれば疑問すらおきんわ アンカーぐらいまともに打とうな
>>505
で直接って何をさしてるの? つかWWW GUIは知らんけど、
sshd host any
とかしておけばRTXへは普通に外側からssh接続できるでしょ
そのqiitaの記事がいい加減なだけかと
WWW GUIのhttpdもanyアクセスを許可して、infilterとか全部外せば外から繋げられるんじゃない?
全くオススメしないけど で、RTXのhttpd,sshdへの接続と、
内部ネットワーク上の(例えばDMZ上の)コンピュータへの接続は、どちらを優先するかのお話
1つのポートは基本的には1つのサービスにしか繋がらない
TCP,UDPのレベルでは(IPアドレスと)port番号以外にパケットの届け先を区別する手段は無いのですよ (まあHTTP/HTTPSなら無理をすればなんとかならんこともない、かな...) ごめん、訂正
×内部ネットワーク上の
○NATの内側のネットワーク上の >>514
たしかに。1220は拍子抜けだし在庫はないし。w
この荒みはヤマハのせいだな。w
早く本当の1210の後継モデルを出してくれ。 >>492
IPマスカレードが動作しているインターフェースで受け付けた通信はWebGUIのlisten portの設定有無にかかわらず、マスカレードの変換テーブルに基づきフォワードされます。
静的マスカレード設定が無い場合は、パケットが破棄されアクセスはできないでしょう。
nat descriptor masquerade static コマンドのコマンドリファレンスなどを参照してください。
もし、LAN内のWebサーバーを外部に公開したいなどの状況でしたら、上記のコマンドのouter portがそれぞれ別の番号になるよう明示的に設定してください。
多くの場合TCP 80番でルーターの管理画面にアクセスできる状況は好ましくないのでそちらを80以外でしていするとよいでしょうか。 IPv4の場合は特にポートを変更するのはあまり効果がない。
ログを取っていればわかるけど、ポートを変えていてもわざわざ探し出してアタックをかけるのは日常茶飯事。 >>520
ああすまん、完全に忘れてた
(設定したの大昔なので(言い訳 >>522
誤解させてしまってすみません。
他にTCP 80で公開したいサーバーがある場合はルーターのほうを別ポートするとよいとおもいます、くらいの意味でした。 490 anonymous@fusianasan sage 2021/07/09(金) 21:08:55.42 ID:???
素朴な疑問なんですが、例えばweb guiをwanからアクセスした場合、
ポート80が開きますが、同時にIPマスカレードで
lan配下でポート80を開く場合、外部からアクセスするとどうなるのでしょうか?
わかりやすくするとこうかな
素朴な疑問なんですが、例えばweb guiをwan側からアクセスした場合、
ポート80で開きますが、同時にIPマスカレードを利用して
lan側のサーバーでポート80で待ち受けた場合、外部からアクセスするとどうなるのでしょうか?
答えは
静的IPマスカレードでWAN側IPアドレスのポート80で設定した方でアクセスできる ヤマハルーターの管理画面はSSL,TLSに対応してないので公開するのはどうよって話にもなる
管理画面出したいならVPNで接続してから管理画面出した方がよい http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.00/relnote_15_00_22.txt
質問を一つ。
Yamaha RTX730配下に無線アクセスポイントがあって、そこにAndroidスマートフォンが繋がってるんですが、
リンク先に
>[7] IPv6 RAプロキシ機能で、RDNSSオプションに対応した。
とあるんですが、これでYamahaルータ配下のAndroidスマホもDNS6+IPv6で繋がるようになったと考えて構わないのでしょうか?
しかも
> [初期値] :
> ・rdnss = rdnss ★
とあるのでここ
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html
の設定
ngn type lan2 ntt
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2
(私の場合はHGW配下のRAプロキシ動作)を変更する必要もないのでしょうか?
このままの設定で
DHCPv6に対応していれば(Windows、Linux、MacOS、iOSなど)そっち経由でdns情報を入手。そうじゃないandroidスマホはrdnssで入手。
と考えて良いのでしょうか? ipv6 lan1 rtadv send 1 o_flag=on rdnss=dhcpv6
5chの過去ログ読んでこれを入力したらプロバイダのrdnssを受信できました。どうも失礼しました。 >>527
rdnss=rdnssが設定されている場合は、回線側から降ってくるRAにrdnssオプションでDNSの情報が含まれていれば、それがそのまま含まれた形でRAを送付します。
最近ちょっと見た限りだと、NGN(フレッツ)網のIPoE回線から配布されいてるRAにrdnssオプションは含まれていないようでした。
(すべての環境ではないかもしれません。)
ご利用の環境も似たような状態でしたら、rdnss=dhcpv6とするとルーターがDHCPv6で網から取得したDNSの情報を、RA中のrdnssオプションとして配布するようになるため、期待の環境となるかもしれません。 >>529
ご丁寧な解説ありがとうございます。
IPoE回線から降ってくるRAにrdnssの情報が含まれていないってのはひどいような・・・
最近のNECのatermなんかでもandroid対応を謳ってrdnssを受信する設定などがありますが、(WG2600HP4など)
あれはどのような仕組みなんでしょうかね?
android使ってる人多いと思うんですが困らないんでしょうか・ >>530
困るかどうかだったら、おそらく困らないと思う。 >>531
今android 10のスマホをwifiでrdnss=dhcpv6の設定は「せず」に
https://ipv6-test.com/
につないでやってみたんですが、
DNS6 + IP6もreachableになってました。
AndroidはDNS6の情報はDHCPv6ステートレスが使えず、rdnssしか使えないと書いてあるのに、
どこからDNS6の情報を得ているんでしょうか・・・ >>532
それね…
色々な所が言っている「ipv6対応」の定義はそれぞれ違うから。
先程のatermの対応に関しても、実際のところ、ユーザーに優良なものだと思わせたいだけ。
あまりユーザーにはメリットない。 >>502
ありがとうございます。参考になりました ヤマハのルータってLinuxで使うのは余り想定していないのかな?
configファイルに拡張子がついていたり(.txt)、LinuxだとWeb GUIからPCにconfigファイルダウンロードできなかったり・・・
Linuxホストからtftp putでコンフィグアップロードしたらエラーが出て正常に動作しなかったんだけどおま環ですか? >>536
コンフィグアップロードの方は、改行コードや文字コードのせいではない? 改行コードがcrlfというゴミみたいな仕様
Windowsユーザーしか想定してないんだろ
本当にパソコンの大先生向けやねヤマハルーターはw >>536
改行コードをcrlfに変換してから転送してね! >>537
コンフィグはUNIX改行(LF)でもいけました。文字コードはja.utf8にしてます。
一回失敗して警告が出たんですが、それ以外はうまくいっています。失敗した原因はよくわかりません。
ただ、tftpでコンフィグ更新すると再起動が必要なのが面倒ですね。
web guiやtelnetなどだと即時反映なんですが。 >LinuxだとWeb GUIからPCにconfigファイルダウンロードできなかったり・・・
というのは誤解されないように言うと、管理→保守→configファイルの管理→CONFIGファイルのエクスポート
でPCが選択できないってことです。マニュアル見てもPCの場合には触れていなかったので、できないのはLinuxだけではないかもしれません。
普通に右上のconfigボタンを押してダウンロードするのはLinuxでも可能です。(拡張子が.txtになってしまうけど) あ、でも右上からだとsshキー関連が書き込まれていないから意味ないや。
失礼しました。やっぱtftpで取得するしかないみたい。 管理→保守→configファイルの管理→CONFIGファイルのエクスポートで
PCで確認を押せばconfigダウンロードのポップアップがでるようです。firefoxの設定でブロックしてたので気が付きませんでした。
ヤマハさんにはなんの落ち度もありませんでした。すべて私が悪かった・・・
駄レス済まそ。 >>540
tftpでget/putできるのはルータのストレージ上のconfig
コンソールから設定できるのはルータのオンメモリのconfig
なので、tftpでconfigを置き換えてもその時点でルータの動作は変わらない
ルータが勝手にストレージから再読み込みすると、オンメモリのconfigに未保存の変更があった場合にどうするの?って問題が出てくる ipv6で静的IPマスカーレードを使うという変な設定は可能ですか?
https://ktaka.blog.ccmp.jp/2020/05/linuxipv6-ipoe.html
こんな方がいらっしゃったのですが、やっぱりLinuxルータとかじゃないと
無理ですかね? >>546
ヤマハルータ使ってるなら、それを行うメリットはあまり無いよ。 >>546
対象の機器に対してポート指定のアクセス許可するんじゃあかんの?
IPv6なら直接アクセス出来るでしょ こちらのアドレスを知らせたくないというニーズもあるのでは >>549
そのニーズは分からなくもないけど、v6だと意義を見いだしにくいんだよね。
普通に使ってる限り、ユーザーが能動的にサーバーへアクセスすることでしか、クライアントのグローバルv6アドレスが分かる手段なんて無いんだから。 現状RA使わずdhcpv6ステートフルでホストに勝手なアドレス割り振って、
さらにインターネットにつなぐできるんですか? >>552
dhcpv6-pdのこと?
結局ngnからプリフィックスをもらわないと
インターネットには接続できないと思うが。
>>546
みたいにlan内はdhcpv6でリンクローカルアドレスを割り振って
wanに出るときマスカーレード使うってのはちょっと・・ PDじゃないよ、自分でDHCP立てる前提。
端末直結とは書かれてないし、YAMAHAのスレだし当然間に挟むつもりで書いたけど、
端末直の話しだったの? >>550
ipv6アドレスが個人の追跡に使われてることご存じないのですか?
ありとあらゆるサイトに埋め込まれた広告事業者のスクリプトがユーザーの行動履歴を集めています
ipv6の普及のおかげで特定が容易になり精度の高い情報を高値で売れるようになりましたから笑いが止まらない状況ですよ >>555
あ、うん。
でもそれって、今話していることでは対策できないって分かってる? >>555
家庭内だけの工夫でどうにもならんがな
外部のVPNサービスとかプロキシーサービス利用するとかせんと >>555
また振り出しに戻すのかよ。
TCPIP使ってる以上どうやってもそれは防げないので、
何が何でも嫌だったら、インターンネット使わないと言う選択しかない。
極端と言われても貴方の求めてるレベルはそういうことだから。 >>555
アングラに引きこもるための完全匿名で
通信する方法を実践した方が早いんでないかい >>555
主要なOSはデフォルトでランダムにアドレス生成するようになってるはずだけど
Androidは10からみたいなので無視出来るって訳でもないけど android10といえばうちの安物端末F-41AでyamahaルータのDHCP固定割当て設定ができないんだが、
yamahaルータ以外でもandroidはDHCP固定割当て設定できないんですか?(もちろんwifi使用時です)
静的IP設定があるからなんとかなるけど。
dhcp scope bind 1 192.168.1.10 ethernet xx:xx:aa:aa:bb:bb
とやってもだめだった。 >>561
AndroidのMACアドレスランダム化は大丈夫?
最近のAndroidやiOSはデフォルトでランダム化有効になってるよ 設定前と設定後でMACアドレスは変わっていなかったんですが、
それでもインターネット接続なしと出てしまいます。(関係ないipv6は接続できるよう) その前にwifiアクセスポイント(aterm)の段階でMACアドレスフィルタリングしていて問題ないので、
ランダム化は有効になっていないようです。 >>565
ためになるリンクありがとうございます。
スマホなのでclient-idがつく方だと思うのですが、先程やってだめだったのですが、
もう一度dhcp固定割当ての設定にしてやってみたら今度は何故かできました。
なんでさっきはだめだったんだろう・・・
どうもお騒がせしてすみません。
show status dhcp
割り当て中アドレス: 192.168.1.10
(タイプ) クライアントID: (01) xx xx aa aa bb bb
リース残時間: 無期限
とでました。 ちょっとお聞きしたいのですが、yamahaルータの
ipv6 dhcpってステートレスですか?
dhcpv6でアドレス割り当てるステートフル動作は可能なんですか? フレッツ網に接続するのであれば、ルータ単体でのステートフルによるアドレス配布は困難だと記憶しています。 そうですか。浅知恵ですみませんでした。
そうええばヤマハのweb上の解説にはステートフルDHCPv6、ステートレスDHCPv6という言葉は使われていませんが、
なぜ使わないのでしょうか?dhcpv6で両者の場合を区別したほうが良いと思うのですが。 仮にステートフルにDHCPv6をサービスできたとして
DUIDとアドレスを登録するコマンドが必要だと思うのだけどYAMAHAのコマンドにそんなのあったっけ NGN網につなぐためだけの機能しか実装されていなかったはずDHCPv6に関しては そもそもdhcpv6で割り当てられているクライアントのアドレスと
duidが見られるコマンドってあったっけ?
dhcpv4には当たり前のようにあるけど。 necにはdhcpv6サーバ機能がある。duidも設定できたし、見られる。 NEC UNIVERGE IXはRDNSSに対応していないのが玉に瑕。(Atermは対応しているらしいけど)
どこもIPv6の仕様を追い切れてないけど、
yamahaはファームウェアアップデート対応が長いからこれからステートフルdhcpv6の対応にも期待が持てそう。
NECは簡単に切られるし。 >>575
ステートフルdhcpv6って需要あるの? 技術的興味だろ。
webで検索してもやってる人はPCルータかDHCPv6サーバ(Linux,FreeBSD,Windows Serverなど)を別に立てている人ばっかりだし。
到底実用している人がいるとは思えない。 ステートフルで割り当てた時って、一時アドレスはどうなるんだっけ? >>575
YAMAHAはIPv6周りDHCP以外もIXに及ばないし、
ファーム切られないって次の機種出せてないだけじゃないの? IX2105、IX2106とかYAMAHA RTX830買える値段のクラスは
シングルCPUでスループットが低すぎるし(有線LANでこれってatermよりひどい)、
ファームもすぐ切られるし、法人じゃないとサポートが不安だし、IPv6以前の問題で、
積極的に買う意味は見いだせなかったのでRTX830買いました。
YAMAHAは未だに15年前の機種でも見捨ててないし、IPv6周りが貧弱なのもなんとかなるんじゃないかと思ってます。
(最近4月にはRDNSSにも対応したし) PCベースのLinuxルータ作るって家人に言ったら、
お前が作ったルータなんぞ信用できるか、バッファローでも買うぞと言われて
仕方なく名前はメジャーなYAMAHAにして信用させました。 一応MフラグとOフラグの設定に対応しているからステートフルDHCPv6の設定はできると思うんだが。
でも前スレあたりにMフラグを立てても効果がないって書き込みもあったような・・・ IX2106でスループットが低いってどんなレベルの話だ... >>581はIX2105しか使ったことなさそうだな
しかも恐らくIPoE系対応したv10系ファームウェアは使ってないとみた
ちなみにRTX830で800Mbps超えるぐらい出る回線でIX2106と同等性能のIX2207は700Mbps程度は出とるよ YAMAHAはCPUでゴリ押しする仕組みだからな
もっと負荷かけてみないと評価できんよ https://mao.5ch.net/test/read.cgi/network/1590527255/
このスレにIX2105 IX2106などがスループット低くて
biglobe map-eなどで、30mbpsぐらいしか出ない(その人の環境ではyamaha nvr510で130mbpsらしい)
など散々なこと言われていたので、YAMAHA RTX830にしました。
IX2105、2106ともに買ったことはありません。価格同じぐらいで最後までどっちにしようか迷ったんですが。
(RTX830ではセキュリティ上の問題からIPv4アドレスが変わらないmap-eではなくPPPoEを使用しています。) >>587
ざっと読み返してみたけど、同一回線でNVRより遅いって書いている人はIX2105でしょ?
2105は、そら遅いですよ
(でも同様に古いRTX810がMAP-Eに対応しないのにIX2105は対応するだけマシとも) RTX810はポートセービング IP マスカレードに対応していないからMAP-E非対応は仕方ないべ。 4月に出たRTX1220がRTX830とほとんど機能だから
新製品は考えにくいが。 失礼、
ほとんど同じ機能ね。
RtX1210って2014年発売だけど、未だに現役だね。 1210と1220は性能大体一緒だけど830とは随分違うよ RTX1220もISDNチップが入手できないから外した苦肉の策みたいな製品だったのに
マルチポイントトンネルに入れ換えていく案件あったのになぁ RTX1220の仕様やWEB GUIを見る限り、RTX830と同世代機だろう。
2021年4月発売でこれってことは、まだRTX830の後継機は出ないと思われ。 RTX1210のころから何も変わってないんですが。 未だにRTX1220が1210から「単にISDN部分を抜いただけ」ということを知らない人がいることに驚く。 >>599,600
でもファームウェアのメジャーバージョンは変わってるから、機能では今後差がつく可能性はあるかも
1210: 14系, 1220: 15系 単純にISDN部分の機能を抜いたバージョンが15系だったりな
他の性能は変わらないのだから14系の更新停止しないかぎりはかわんないんじゃね? 1210、1220のPowerpc 1GHz*1
と
830のARM 1333MHz *2
ってどっちがいいの?
もっともどちらともメモリが少なすぎると思うが・・・ rtx830だけど、ダッシュボードによると、
ほぼ無通信(CPU負荷0%)でもメモリは30%ぐらい食ってる。
PPPoEやVPNしてる人はもっと食ってるんだろうけど、せめて
512MBは積んでほしかった。 廉価版ではない1220が出るまで待っていたのだけど、今回の廉価版の1220が出てゲンナリ。。。
1230が出るまでの繋ぎで830を買おうかな。
でも830の残注予告って本当?? >>605
VPN性能は1210、1220
他は830の方が上と聞いた >>609
営業から言われた
いまのうちに秋ぐらいまでの在庫確保しといた方がいいかもしれんがRTX830じゃなぁ >>611
830ってまだニューモデルが出るようなタイミングじゃないよね?? フレッツ光クロスの法人向けプランがほぼ出ないのは、ヤマハルータとかの価格帯で10Gインターフェースを持つものがほとんど存在しないから、プランを出すに出せないのもあると思う。
それをふまえると、ISPとかから早く出して欲しいと言われてるとは思う。 >>613
それすごく説得力ある。
オフィス内でもビデオ通話が当たり前になり、ISPは10Gの高速回線を提供したいよね。
出来るようになったら簡単に契約変更してくれそうだし。
10G対応の時期830が出たら、上位機種である1220の立場が。。。笑 >>612
ただRTX830が半導体不足の煽り受けてるだけだよ
ヤマハルータがギガ対応したのもRT58i/RTX1200からだったし、期待しないで待ってな 10Gでても個人で買えるような価格じゃないだろ
NECのIX2310は358000円だぜ 誰も個人で10G使うとは言っていないと思うが
廃人にも程がある あの、専門家の多いこの板でレベルの低いことを聞くのは気が引けるのですが、
RTX830のLANインターフェイス(lan1)にかけるパケットフィルタについてお聞きしたいことがあるのでよろしくおねがいします。
wanの方のパケットフィルタはプロバイダ設定でも自動で推奨のがかかりますし、理解するのもinとoutの関係でわかりやすいのですが、
LAN側インターフェイスにかけるフィルタというのがいまいちわからんのです。
デフォルトの推奨では何もかからないようですし、下手にかけると、間違った設定(ルータやインターネットにアクセスできなくなります)
でも間違いだと弾いてくれず、適用してしまった後にルータへ接続不能になるのですが、
開発者は一体どのようなフィルタをかけることを想定しているのでしょうか?
私が試みた間違った設定というのは、
受信方向(ホスト→RTX830)にホスト1(192.168.1.3)からあらゆるアドレスとあらゆるポートに接続をrejectするというものだったのですが、これを適用すると
ホスト2(192.168.1.4)からWeb GUIを使っているにもかかわらず、ルータにアクセス不能になり、ルータ配下のすべての端末がルータにアクセスできず、
いんたーねっともできなくなりました。なぜこうなるかがそもそもわからないのですが、せめて警告ぐらいあってもいいと思うのですが。
皆さんはlanインターフェイスにかけるフィルタってどのように使ってますか? >>620
警告は期待するものではないな。そういうのが前提の機器なので。 https://qiita.com/21hide21/items/439bd94e9d5c70ac30f3
今ぐぐりまくってるんですが、ここ見て多少わかりました。
何もフィルタがない場合→すべてpass
一つでもフィルタがある場合→それ以外reject
なんですね。
一つでもフィルタがある場合でそれがrejectフィルタの場合、もちろんそれがrejectされて、他のパケットもrejectなんですか。
こんな理解でいいですか? >>620
フィルターを入れた時は、最後に明示的にpassの項目を入れないとダメです。
どのフィルターにも掛からなかったものは、rejectされます。 >>621
業務用ですからそうなんでしょうけど。。。
USBかmicrosdでコンフィグ読み込めるからなんとかなるものの、それがなかったら初期化するしかないですね。
>>623
そのようですね。どうもご迷惑をおかけしました。 reject * *
フィルタってよく設定例の最後にありますが、意味があるんですか?
どのみちホワイトリスト形式だから明示されていないものはrejectされてしまうのでは・ >>620
家庭用とかSOHOぐらいならほとんど使わないんじゃないかな
身近な例で言えば、
例えばDMZを作って公開用サーバを置くネットワークと通常のLANとの間で、特定のプロトコル(例えばhttpとssh)のみ通すようにするとか >>625
人によりますが、書いてあるとrejectされること忘れないでしょ? >>626-627
レスありがとうございます。参考になりました。 webでフィルター変更してなく
saveコマンド打ってないなら
電源オフオンで元に戻るでしょ web guiでやっとりました。
コンソールでコマンド打ってもsaveしないと
反映されないと思うんですが、違うんですか? >>631
違いますよ
コマンドが入力された段階で即時に機能します(もちろんenterキー押したあとです)
ルータの動作を決めるのは、メモリ上の(実行中の)設定です
そのメモリ上の設定を電源投入/再起動時に自動で組み上げるのが、保存されたconfigです >>632
そういえばlan1のipアドレスをコマンドで変えると一旦接続が切れました。
電源オンオフで復帰ですか。
便利な方法教えていただいてありがとうございます。 特定機種の指定ファーム以上なら
rollback timer というのもある
RTX830 は Rev.15.02.03 以降で使用可能。なので
電源リセットよりはお勧め
59.6.31 ロールバックタイマーの起動
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/operation/rollback_timer.html
一世代前でも使えるようにすればいいのにね
遠隔地で設定する人はスケジュールタイマーで保険かけてた人もいるよ >>634
これってコンソールに入れなくなったらこのコマンド打てないんでは? あ、実験的な設定をする前にロールバックタイマーを設定するのか。 実験というよりは、1人リモートで相手の設定を変更する時とかだな
他のメーカーもあるよ オープンサーキットのv6ダイレクトの固定IPでRTX830を使うにあたり(RTX830の配下にPC5台くらいで今のところVPN?等は使いません)
初心者におすすめのフィルタの設定はありますでしょうか >>637
初心者の頃、遠隔地の設定をVPN経由でしていて、
変な設定してVPN経由で繋がらなくなって冷や汗かいたことがあったな
それ以来、スケジュールrestartを設定してから作業するようにしていた >>600
むしろ機能が減らされている
(RTX1205にすればいいのに) へー、ロールバックタイマーなんていつできたんだ
昔はスケジュール機能でリブート仕込んだもんだけど >>622
懐かしいな・・・
みんな通る道だわ
流し込みでfilter入った瞬間につながんなくなってw
schedule at 99 19:40 * restart
みたいに10分後とか指定したよな。新しいやつだと+300秒とかロールバックタイマとか使えるのは知ってるけど
新しい機種限定のコマンドはあんまり駆使したくない Nuroビジネスを契約すると、固定IPと動的IP1つずつ使えて、Nuro支給のルーターにはそれぞれにLANポートあり、それぞれ1Gbpsの回線との事なのだけど、
これ、固定IPと動的IPをチーミングして、安定性を計ったりするのって可能?? 安定性って負荷分散?
並列に2つのプロキシーサーバー用意するとか
簡単にやるなら
ソースルーティングで割り振るとか >>646
主に負荷分散が目的。社員30人が固定IPを使っていて、頻繁にテレビ電話などを使っているためか、時々不安定になるんだよね。
動的IPはゲスト向けでほとんど使ってないから、負荷分散したら有効活用できるかも!?と思ったんだ。 何処がボトルネックになってるかにもよるかと
あとはプロトコル毎にどれだけ使ってるのか
帯域制御や優先制御の方が効果あるかもしれんし >>648
今までテレビ会議などがなかったから真面目にモニタリングしてなかったのだけど、まずちょっと状況を確認してさてみるよ。 UTM通してみたら社員がbittorrent動かしてたとかよくあるやつ linuxのisoイメージ取得でbittorrent使うのは珍しくないんだけど…w
違法ファイル交換の温床という認識しかないなら仕方ないけど認識が古いよ
まさかここにshareやwinnyの検知機能を有効にしてる頭の弱い管理者はおらんよな?おらんよな?? 会社の回線でtorrent使ってOSのイメージ何回も外部から拾ってくる必要がある業務って何だよ 大企業だとそんなの使ったら通報でちゃう
そもそもインストールもできないし、google検索してもそれらのサイトにアクセスしようとしても怒られるし >>647
できるよ
web会議で同時に50端末以上で365を使っている社員500人程度のユーザーでもnuroで快適だぞ
帯域使っているのは動画視聴ユーザーw
セッション数はOutlookが1番
p2pは止めている
30人で不安定って一般的な使い方じゃないよね 状況によっては設定変更で済む可能性もあるわけで、先に不安定の原因を突き止める方が先だと思う。 WindowsUpdateをP2Pみたいに配布する案は結局どうなったんだろう 最初の頃調子悪いから運用してないって話だったけど安定したのか
そういやヤマハちゃんUTX売りたいらしい
CheckPointが好きじゃないんだが デフォルトではインターネット側にトラフィックが流れることはないから、配下のスイッチのトラフィックを見てないと気づかないかもね。 rtx830がkakaku.com最安で50000円突破した
半導体不足で高騰してる?
このまま終売なんだろうか? >>661
下り方向は約2Gbpsをその2系統で分けることになるのよ そうだそうだNuroBizって固定プランにすると違うIPv4アドレス払い出されるんだわ
https://biz.nuro.jp/archive/manual/yamaha_routersetting.pdf
パソコンの先生向けの手順書があって助かった 本当だ。rtx830の価格が上がってる。
1220といい、830といい、来年のラインナップはどうなることやら。 >>660
終売とかデタラメ言うなやw
転売屋の手先か?
ディストリビューターから半年先でも納期の確約できないって言われたのは事実
枯渇したRTX1220に代わりRTX830特需が生まれRTX830の在庫も枯渇したそうな RTX1210の保守延長の特例は更に伸びそうだあね YAMAHAのルータってIPv6アドレスの手動設定できますか?
RAとdhcpv6-pdしか考えていないような気がするのですが・・・ >>667
どういったことを想定しての質問か分からん… ヤマハはいつまで新機種出さずに古いので稼ぐつもりだよ
償却終わった旧機種の利益率高すぎてやめられなくなってんな ヤマハさん、10Gポートが沢山あるスマートスイッチを頼んます いい加減L3スイッチのバグを治してくれ
いつまでデバッグに付き合わせるつもりだ? >>667
ルーター自身のIPアドレスを手動設定するってこと?
それともクライアントに配布するアドレスを固定したいってこと? >>668
>>672
すみません、ただ思いつきで言っただけです。
ルータ自身のIPアドレスを手動設定するのはここ
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipv6/ipv6_interface_address.html
を見る限りできそうですが、自動構成が原則のIpv6ではあまり実益はなさそうですね。
将来ローカルネットワークをIPv6で構成することになったら意味がありそうですが。
>>672
>クライアントに配布するアドレスを固定したいってこと?
素朴な疑問なんですがDHCPv6に固定割当てモードってあるんですかね?
少なくとも現状のヤマハルータにはなさそうですが、せめて配下ホストのIpv6アドレスぐらい表示してほしいですが。
現状だと、
DHCPv6 status
LAN1 [server]
state: reply
state: reply
state: reply
state: reply
state: reply
だけですから。 >>673
show ipv6 neighbor cacheでは役不足? >>672
失礼しました。dhcpv6の話なんてしてませんでしたね。
配下クライアントに配布するアドレスを固定するのはRAやdhcpv6-pdの再委譲でできるんでしょうか?
dhcpv6-pdの再委譲はNECのUNIVERGE IXのマニュアル見たらできそうなことが書いてありましたが、
yamahaのルータでできるという話は聞いたことがありません。 >>675
ステートレスだと使ったもの勝ちなので、降ってきたプレフィックス内で固定すればよいかと。 >>674
お教えくださってありがたいのですが、あまりに出てくる数が多すぎて。
ずっと昔にdeprecatedになった一時アドレスまだ出てくるみたいですし。
配下クライアントのduidなんかを表示できたら便利なんですが、
>>676
クライアントの方で固定するしかないんですか。dhcpv4(dhcpばっかで悪いですが)
の固定割当てのようにルータでできたら便利なんですが。 >>677
auのHGWだとMACアドレスとIPv6のアドレス紐付けして配布できるようだけど恐らく独自実装もいいところだろうなあ >>677
何がしたいのかわからん
やろうとしてることはDHCPv4でローカルIP固定するのと全く意味合いが違うんだけど 66NATでも実装されてないと自由にIPv6アドレスは振れんだろ 通信ログをとったところでどのクライアントの通信か簡単には分らんから かな? 基本的に「これだけ広い空間ならeuiベースの自動設定アドレスがクライアント手動設定アドレスと被ることはないだろ」、っていう考えなんだろうね >>683
一時アドレスは、生成過程で重複が確認されたら別のアドレスを生成する動作となっているらしい。 素人なこと聞いて申し訳ないのですが、RAの時はwan側インターフェイス(lan2)にipv6アドレスは割り振られないんですか?
ここのコマンドを見るとdhcpv6-pdの時は割り振られているようですが。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html ヤマハルータのdhcpv6じゃipv4のdhcpのようにクライアントの情報の取得(IPアドレス、duidなど)はできないんだっけ?
show status dhcpcのipv6きぼう show status dhcpcじゃなくてshow status dhcpでは?
show status ipv6 dhcpはあまりに表示される情報が少ないけど。 >>686
ステートレスの場合、DHCPv6は関係ないから。 DHCPv6ステートレスの場合、DHCPサーバーはクライアントの情報持ってないぞ。 >>685
確認しましたが、lan2にはIPv6アドレスは振られていませんでした(リンクローカルのみ)
以下、指定URL先を参考にしながら、lan1以外を確認した時の予想から一部抜粋
# show ipv6 address
LAN1 scope-id 1 [up]
Received: 93 packets 7590 octets
Transmitted: 30 packets 4226 octets
グローバル XXXX:XXXX:XXXX:XXXX::1/64(lifetime: 604800/2592000) ... ★ グローバルアドレスが存在する
グローバル XXXX:XXXX:XXXX:XXXX:XX:XXXX:XXXX:XXXX/64 (lifetime: INFINITY) ... ☆ 自分の環境だと存在する
リンクローカル fe80::2a0:deff:xxxx:yyy4/64
リンクローカル ff02::1/64
リンクローカル ff02::2/64
リンクローカル ff02::1:2/64 ... ☆ 自分の環境だと存在する
リンクローカル ff02::1:ff00:1/64
リンクローカル ff02::1:xxxx:yyy4/64
LAN2 scope-id 2 [up]
Received: 123456789 packets 123456789 octets
Transmitted: 123456789 packets 123456789 octets
リンクローカル fe80::2a0:deff:xxxx:yyy5/64
リンクローカル ff02::1/64
リンクローカル ff02::2/64
リンクローカル ff02::1:ff65:dce5/64 続き
PP[01] scope-id 11 [down]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet
リンクローカル ff02::1/64
リンクローカル ff02::2/64
TUNNEL[1] scope-id 123 [up]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet
リンクローカル fe80::2a0:deff:xxxx:yyy4/64
リンクローカル ff02::1/64
リンクローカル ff02::2/64
NULL scope-id 123 [up]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet
リンクローカル fe80::1/64
リンクローカル ff02::1/64
リンクローカル ff02::2/64 >>690
振られていませんでした って、振るように設定していないから当たり前なのでは? リンクローカル有れば、上位のルーターへルーティング出来るんだから
グローバルアドレスは振らないよ。
逆にND ProxyだとWan側にはアドレス振れないんじゃないの?
同ネットワークでRA配れるの一つだよ、
DHCP-PDなら振れけど。(振る意味は通常あまり無い気はするけど dhcp-pdの場合の設定:
ngn type lan2 ntt
ipv6 route default gateway dhcp lan2
ipv6 prefix 1 dhcp-prefix@lan2::/64
ipv6 lan1 address dhcp-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 address dhcp
ipv6 lan2 dhcp service client
dns server dhcp lan2
ipv6 lan2 address dhcp
って書いてあるってことはdhcp-pdの場合はWANにも振られるみたいですね。 Ipv6ってWAN側IPアドレス、LAN側IPアドレスって概念がないの!? >>695
v6の場合、ルータといっても、インターネットアクセスの末端で使う場合は、いわゆるルータの動きはしていないから。 >>696
>>695のRA設定で
ipv6 lan2 address ra-prefix@lan2::2/64
ってつけくわえたら、
lan2のグローバルIPも設定されたよ。
>>693氏の言うとおり、リンクローカルあればHGW(当方ひかり電話契約ありのHGWルータ機能使用)
と通信できるから、グローバルIPは必要ないからヤマハの設定では付与していないだけで、
できないわけではないみたい。 >>695のRA設定で、
は
>>685のRAプロキシ設定の間違いです。 >>697
それ、たぶんいずれクライアントがIPv6通信しなくなると思う。 >>699
おっしゃるとおりでした。config saveしてないのに、no ipv6 lan2 address ra-prefix@lan2::2/64とやって
コンフィグから消してもipv6がつながらなくなりました。
ルータを再起動したら治りましたが、もしよろしかったらなぜグローバルIPをwan側に設定すると
だめなのかお教え願えませんか? >>700
理由は、マニュアルのそのコマンドの説明に書いてあるけどな。 ngn type lan2 ntt
って書いてある時点でもはや普通のWANインターフェイスではなくなってる。
ローカルネットワークなら当然lan2にもIPv6アドレス割り振れるけど、ngnだから無理。 >>702
一般的なインターネットアクセスの末端で使用するときは、その設定をする・しないに関わらず、そうなる。 ttps://y2lab.org/blog/inet/applied-ipv6-ipoe-network-configuration-vol-2-7587/
ここのページに実例が載っているけど、DHCP-PDの場合にはlan1、lan2ともにグローバルIPが振られてる。
RAの場合にはlan1だけ振られてる。 >>704
当然では?
DHCPv6-PDの場合、LAN1とLAN2は別のセグメントと言っていいのだから。 >>705
世の中に当然のことなんてないんだが・・・ >>706
落ち着いて考えては?
DHCPv6-PDの場合はプレフィックスは/56とかで降ってくる。
RAは当然/64
↑の認識を確認したところで、改めて設定を見てみるとよいと思う。
コマンドの見た目は同じでも、違うでしょ? >>707
706じゃないけど、HGW→yamahaルータ(RAプロキシ)→ホストの場合って、ホストからのRSはHGWに送られて
それに応じてRAを送るのもHGWで、あくまでyamahaルータはルータ扱いではなく、プロキシ(代理)に過ぎない(あくまでルータはHGW)と考えればいいんですか?
だからdhcp-pdのときと違ってと違ってLAN側にしかグローバルIPを持たないんですか。 >>706
IPv6は神の奇跡だもんな
お前にとっては >>709
長く引き伸ばすのもあれなので。
ルータをRAで設定する場合、
マニュアルに「これらを設定する場合、デフォルト経路は最後に設定が完了したインタフェースに向く。」とあります。
つまり、先ほどのように「ipv6 lan2 address ra-prefix@lan2::2/64」と後でコマンドを打った場合、インターネット側からの戻りパケットの行き先がLAN1でなくLAN2となり、クライアントに到達しません。
また、ルータに説ぞされているクライアントの始点だとRAの送信元はYAMAHAルータです。
ただ、上位から来たものを中継しているという意味でプロキシと表現されています。 自分も勘違いしてたけどIPv6はアドレスが拡張されるだけじゃ無くて結構違うから一度ちゃんと勉強したほうがいい
特にNGN使うならNGNの仕様も理解しないといけない これらを設定する場合、デフォルト経路は最後に設定が完了したインタフェースに向く。
の一文は読みました。だから
ipv6 lan2 address ra-prefix@lan2::2/64
のあとで
ipv6 lan1 address ra-prefix@lan2::1/64
と打ったらやっぱりipv6で繋がりらなくなりましたよ。
>>702さんの
ngn type lan2 nttがキモなんでは・・・・
この一文でlan2の役割が決まってしまっていると思います。
yamahaの内部処理なんでわかりませんが。 >>713
ここで、707を読んでください。
DHCPv6-PDの設定の場合は、/56をLAN1とLAN2でそれぞれ/64別セグメントに分けている意味合いの設定になっています。
RAはそもそも/64のセグメントなので、同一セグメントに対する設定の上書きとなり、後に設定された側に流れます。 >>713
つながらなくなるというのは、色々な要因があるため、設定した瞬間に起きることもあればタイムラグがある場合もあります。
その辺は勉強していけばわかると思いますが。 >>714
こんなこと言うと怒られそうですが、
「なんだ、そうだったのか。」
やっと疑問が氷解しました。
うちの環境がHGW(ひかり電話あり)→RTX830→ホストなので、dhcp6-pdはまだよくわかっていないのですが、
RAが後に設定されたものが流れるというのは自分でもちょっとかじったところなのでなんとなくわかります。
ネット情報に頼るのではなく、書籍で一からIPv6を勉強したいと思います。
どうもありがとうございました。 横レスだが
>>704の
リンク先のDHCPv6-PDの場合、
2409:xxxx:xxxx:3000::3/64
2409:xxxx:xxxx:3000:2a0:deff:feab:ff38/56
と同一サブネットでは? hgwのipv6グローバルアドレスってどうやって見るんですか? >>720
もう10年前の代物(PR-400KI)で、IPoE接続なんて後から対応したものですから、
到底マニュアルに載ってませんよ。 RA方式の場合lan1とlan2がブリッジしてるからlan2にグローバルIP振るとおかしくなる。
PPPoEの時にブリッジ接続のHGWと市販ルータで市販ルータのWANにIPアドレス書くとおかしくなったのと同じ。 ttps://www.nic.ad.jp/iw2010/or1Xa/s2-Okada%20Shingo-IPv6_Network_building.pdf
2009 NTT Information Sharing Platform LaboratoriesいまからはじめるIPv6IPv6ネットワーク構築基礎
古いpdfだが、yamaha RT58iの設定例のところに、
>RA-proxy による接続例 IPv6パススルーと同等の設定
って書いてある。やっぱブリッジ接続だ。WAN側にはやっぱりIPv6アドレス振ってないよ。
これで回答かと。 >>724
確かに>>696はヒントを出しているが、ちゃんとずばり
書けばこんなくだらん論争一瞬で終わったのに。 ルータとして動いていない なら、あとは何があり得るのか… ra proxyによるフィルタリングは働いてるから、単なるパススルーとは異なる。
と上のpdfにも書いてある。 >>719
「ntt.setup」をnslookupするのが一番簡単 >>721
PR-400KIは最初からIPv6 IPoE使えましたよ
IPv6 IPoEと、IPv4 over IPv6か何かとを混同してない?
>>728
HGWの機種によって、ntt.setupのAAAAレコードがあるのと無いのとがある
PR-400KIはAAAAレコード無しだったような気がする
ひかり電話あり(タイプ1除く)なら
情報 > DHCPv6サーバ払い出し状況 で DNSサーバアドレス を見ればHGWのLAN側アドレスがわかる
HGWのWAN側アドレスは、たぶんsubnet IDが1で、interface IDはLAN側アドレスと同じ >>729
LAN側と言ってるのは、クライアントから見てGWに見えるアドレスで、WAN側と言ってるのは、ひかり電話の終端として使っているアドレスになるんだっけ? >>729
あれ?そうだったっけ
じゃあ交換した後のpr-600kiと勘違いしてたのかな。ごめん
>>719
それなら「ipv6.google.com」にtracertしてtracertした端末と同じプレフィックスの一番下のアドレスがhgwだったはず
違ったらごめんね >>728-729
>>729氏の言われる通りdigやnslookupでAAAAレコードで引いてもIPv4アドレスしかでませんでした。
Pr-400KIが最初から使えたのはIPv6 PPPoEではありませんか?
光に加入したばかり(2012年)のころはIpv6 IpoEなんて設定はなかったような気がするのですが、
私の記憶違いだったらごめんなさい。
>>731
Linuxなんでちょっと違いますが、 traceroute ipv6.google.com
ででました。ありがとうございました。 >プレフィックスの一番下のアドレスがhgw
これが、情報 > DHCPv6サーバ払い出し状況 で DNSサーバアドレス
で出てくるアドレスと同じなんですが、特に問題ないのでしょうか?
プロバイダのDNSサーバは当然別のアドレスですよね。 >>734
すれ違いすみません。ここらで終わりにしてください。
皆さんどうもありがとうございました。 >>685
の普段RAの設定でフレッツ光ネクスト(biglobe)使ってるんだけど、
ものは試しで右側のdhcpv6-pdの設定でやってみた。
そしたら、
プロバイダー設定からipv4の設定(hgwでpppoeをしているのでdhcpまたは固定ipアドレス接続=ローカルルータ設定)
が消えたけど、ipv6は(DHCP)接続という表示に変わった。
ipv6-testとか試してみたが、ipv4、ipv6ともに普通に繋がるみたい。
hgwのdhcpv6払い出し状況をみたら、
ヤマハルータ(RTX830)のlan2(wan)にipv6アドレスが割り振られていた。
ひかり電話ありなのngn網からはで/56で割り振られてたんだけど、RAだとサブネットが
00で/64同然だったが、00がf0に変わり、サブネットが変わったことも確かめられた。
現状のヤマハルータだと自分の自由にサブネットは設定できないけどね。
hgwにもdhcpv6-pd再委譲機能ってあったんですね。 あ、サブネット変える機能はhgwに備わっているべき機能か。
NECみたいにヤマハルータにもほしい機能だけど。 /56とかをPDで受けたら任意のサブネットで下位にRAで配布できるけど、それとは違うん? >>738
任意のサブネットってどうやって設定するんですか?
show status ipv6 dhcp
XXXX:YYYY:ZZZZ:AAf0::/56
のプリフィックスを委譲されているんですが、
この時点ですでにf0は決定されてしまっているようですが。 >>739
XXXX:YYYY:ZZZZ:AAf0::/56 を委譲されることはない、56bitより後まで値が入っちゃってるから
網側から XXXX:YYYY:ZZZZ:AA00::/56 をもらったなら、決定してるのは AA までで、その次の部分は 00 から ff まで好きに使える
HGWから XXXX:YYYY:ZZZZ:AAf0::/60 をもらったなら、決定しているのは f までで、その次の部分は 0 から f まで好きに使える いつも思うことがある
ルーターのクラウド化が実現すればいいのになあ
ルーターが壊れる心配をしなくて良くなる >>743
世に出てそれなりに経つよ?
まあ、家庭向きじゃないけど。 >>743
安心していいよ
手元にルーターを置かなきゃいけないことに代わりはないし
これからも手元に置いたルーターの故障には悩まされ続ける YNO+外部メモリである程度できそうな気もする
壊れる心配するなら予備機置いた方がいい >>741
ipv6 prefix 1 dhcp-prefix@lan2::/60
ipv6 lan1 address dhcp-prefix@lan2::1:0:0:0:1/64
でいいんですか?
lan1には二行目で指定したグローバルIPが振られましたが、
RTX830配下のホストにはグローバルIPが振られません。
やっぱだめっぽ LAN2 [client]
state: established
server:
address: ::
preference: 0
prefix: XXXX:YYYY:ZZZZ:AAf0::/60
ちなみに、show status ipv6 dhcpの結果はとなっていました。上>>736の/56というのは間違いでした。 >>750
プレフィックスの設定が違う。
無理と言う前に少し考えたら? ttps://www.okamoto-net.com/c1072/
/64にしてもだめだった。
ここなど参考にしていろいろやってみたがわからん。
あとは識者の方々にまかせます。
HGW配下でもdhcp-pdが使えるとわかっただけでも収穫ありました。 >>753
だからさ、dhcp-prefix@lan2::/64としたら、「f1」でなく「f0」となるってば。 >>747
ソフトウェアにはハードウェアが必要
形あるものは壊れるのが宿命
>>748
YNO+外部メモリ
どういう対策になるのですか >>750
その2つの設定はインターフェイスへのアドレス設定だから
それだけではクライアントはインターネットには出られない
ルーター広告の設定
フィルタリングの設定(なければ外部から攻撃し放題)
ゲートウェイの設定
少なくともこれらが必要 dhcp-prefix@lan2::/60でもf0(lan2のアドレス)になるんですが。。。
lan1は自分で指定しているのでf1になりますが。
配下のホストにグローバルipが振られないのはm_flag=onにしていないからかな? m_flag=onでもだめだわ。配下ホストにグローバルIpが振られない。
もうわからん。ギブアップ。 ipv6 prefix 1 dhcp-prefix@lan2::5:0:0:0:1/64
ipv6 lan1 address dhcp-prefix@lan2::5:0:0:0:1/64
としたら、f0ではなくf5になりました。配下のホストにもf5のサブネットで振られてます。
サブネットの選択はHGW→RTX830の再委譲なので4bitだけできるようですが、とりあえずできました。
どうもお騒がせしました。 ttps://www.okamoto-net.com/c1072/
こちらのホームページの
# 配布するプレフィックスを決める
ipv6 prefix 1 dhcp-prefix@lan2::1:0:0:0:1/64
ipv6 prefix 2 dhcp-prefix@lan2::2:0:0:0:1/64
# LAN3のIPv6アドレスを指定する
ipv6 lan3 address dhcp-prefix@lan2::1:0:0:0:1/64
ここを真似たらできました。 >>761
落ち着いた今なら何が悪かったのかわかるはず。 >>743
ルーターを無くしてもネットワーク機器は何かしら残るから根本的には解決しない
クラウドだってしょっちゅうトラブっているし、ユーザーは待つしかないのが歯痒いトコロ >>762
61bit〜64bitのサブネットを示すには、プレフィックス長/64で指定するしかないですな。
( 注:内部動作の関係上「dhcp-prefix@lan2::1:0:0:0:0/64」ではなく、「dhcp-prefix@lan2::1:0:0:0:1/64」と設定してください。 )
この注意書きの意味がやっとわかりました。prefixの指定なんだから本来1:0:0:0:1と書かなくてもいいはずですしね。 ヤマハのUTMの話題はこのスレでいいのかな?
使っている人いたら感想おしえてほしい
今はFortigate 60E なんだが、そろそろ更新時期なんで・・・ >>766
悪いことは言わないから素直に60Fにしたほうがいいぞ 社内には思ったよりとんでもない事をするアホが居るのだよ LANに野良が繋がらないような物理防御+クラウド型エンドポイントセキュリティソフト+資産管理ソフトでのユーザー監視、使用ソフトの制御
導入が容易な金額の値段のUTMなら、上記をやれば同等以上の効果がありそうだけど。 fortigate使ってるならヤマハルーター要らんよなw 海外製品はガラパゴス仕様のFlet's直収は不得意だからな >>775
ファイアウォール ∋ パケットフィルタ ? >>777
おかしくはないよ
自組織から犯罪を幇助するような通信が
出て行くことを防ぐのも一つの考え方 >>779
ファイル共有ソフトの通信を遮断するとかだな 何かしらのボットネットに組み込まれた端末が中にいる(若しくは入った)場合の
頻繁に悪用されるポートは塞いでおくとかね そいや、UTX200/100、同時コネクション数が50,000になってるんだよね。
ttps://network.yamaha.com/products/firewalls/utx200/spec
少な過ぎるし、元の1570/1530が500,000なので
誤記だと思うのだが、ニュースなんかでもそのまま流れている。
4ヶ月、誰も指摘しないって、中の人含めて興味無いのだろうなぁ。
#もしかして、ホントに50,000だったというオチだろうか。 おかしくないと思う。
フィルタかけまくると実質スループット確保できないだろうし
UTMは他社関わらず熱暴走するからヤマハみたいな野良置きされやすい環境だとつらいかも 同時コネクション数はfortigateより劣ってんな
今時数万はねーよwww rtx830、kakaku.comでみたらどこも在庫なしだね。
法人でも手に入らないらしいし、上の方で書いてあったことは本当だったみたい。 そうなんだ。。予備10数台買っといて良かった
当面新型も出ないなこりゃ ヤフオクで4台しか出てない。半年前は結構出てたのになさ 1220なんて830以上に入手困難だよ
ほんとうに生産しているのか あるところにはあるんだよなぁ…w
代理店もお得意様には専用在庫で確保してるよ >>783
自己レス
いつの間に、同時セッションが500,000に修正された。
最初、ユーザーマニュアルが簡易でがっかりだったが、技術資料がちゃんとあった。
http://www.rtpro.yamaha.co.jp/UTM/docs/utx/index.html
元の機種にあったスマホのアプりやSSL-VPNも使えるな。 LANマップ対応とインターフェースのデザイン変えた程度の差だろうからね
従来ヤマハに無い機能をわざわざ減らさないよね
所々にCheckPointの名前が出てくるのが痛々しいw 調子悪い830の保守交換依頼したら全力で回避してきてワラタ
あれ試してくれこれ試してくれって、大丈夫かよ保守体制 保守を気にするならば富士通にしておくと良いぞ
ヤマハは扱い無いけどな Si-RとヤマハはNetVehicle時代から互いにやり合ってる感がすごい 多分、VPN経由なのでMTUの問題だと思う。
https://moji.or.jp/ipafont/ には繋がらない(httpsの鍵交換には成功している模様。wgetコマンドで確認できた。)が、
他のサイトにはしっかりつながる。
こういう場合、他のサイトとはつながるので、
データを送ってくる上記のサーバーが不適切なんだろうか。
たとえば、ICMPを拒絶しているとか。 >>804
相手はMSS=1380でハンドシェイクしてきているようだが、セッション確立後それ以上のサイズでも送信しているようだ。 >>804
自己解決しました。
ゲートウェイにおいて、mssを上書きするようにしたところ、
うまく通信できるようになりました。
>>805さん、レスありがとうございます。 RTXのmss autoってどういう仕組みだろうか
これがないとトンネル経由でいろいろ接続不能の自体に陥った トンネルインタフェースに設定したMTU設定に連動してtcpパケットのmss値を書き換える機能でしょ 「MTU設定に連動してtcpパケットのmss値を書き換える」のことを、
MSS CLAMPっていうの?
RTXのトンネル設定のmss autoって、MSS CLAMPを使うっていう意味でいいのかな。 >>810
MSSをある値でclampするのがMSS Clamping
「ある値」は手動で指定することもあれば、MTUなどから計算させることもある
mss autoは後者 ip tunnel tcp mss limit autoはトンネルテンプレで簡略化してるはずなのにこれだけはコピーされないのかよ!
ってツッコミ入れつつconfig書いた思い出が強い >>811
「インタフェースを通過する TCP パケットを監視し、MSS オプションの値が設定値を越えている場合には、設定値に書き換える」
予想していたとおりの挙動でした。
すみません。ありがとうございます。
>>812
なるほど。
トンネルのMTUって、RTXの場合、
たしかデフォルトでとても低く設定されていたと思います。
帯域を広げるためにあとから手動で最大限で設定した記憶があります。
デフォルトのMTU設定からmss算出されたらけっこう小さくなりますね。
>>813
とにかくその設定入れておけばうまく通信できたので、
入れたままにしておりました。 光ファイバ、ネットワーク、サーバー関係の故障って、因果関係ないのに、なぜか重なることってない?
それがゆえに、原因の追求が難しくなってしまう。 設定ミスや軽微な故障や不具合が潜在的にあってそれが何かをきっかけに露呈してるだけかも >>815
光ファイバ切断事故、ネットワークダウン、DNSが引けなくなってサーバ障害ってのは経験したことある
バックアップ用のDNSがあるから動くはずだったんだけど動いてくれなかったw ハードウェアトラブルは環境に起因する事が多いな
ハードソフト関わらず何か発生すると負荷によって次のトラブルが露見したり、通常とは異なる動作が発生して設計した(つもり)とおりに動作せずに次のトラブルを引き起こす
そして連鎖的に想定外の言い訳を使う様な事態になる
人間自体が想定外が不得意な人の方が多いだろ? RTX1210出た直後の調子悪さは言い訳考える気すら起きなくなったな >>815
>因果関係ないのに、なぜか重なる
しかし、>>816-819は因果関係がある場合を言っている。
そうではないので実際の一例を挙げる。
(拠点1)-------ping-------(拠点2)----------[本部]------------------(拠点3)
拠点3でDocker コンテナで動作するAsteriskの電話が不通、もしくは音声が途切れるようになってしまった。とりあえず、コンテナを再起動するが解決せず。
(明日から会社は休み明けなのにやばいと焦る。)
拠点3と本部との間のネット回線で輻輳が発生しているのかもしれないと考える。ひかり回線の障害情報を調べると、直前に本部のある地域のすぐ隣の地域について、障害発生情報が挙がっている。
(しかし本部の回線を収容している基地局ではないが、疑わしく思う。輻輳となにか関係があるのではないか。問題0)
拠点1と本部について疎通試験をおこなうと、pingのレスポンスが100msを越えている。いつもなら1ms程度なのにやはりおかしい。本部周りのネット回線で不具合が生じているにちがいない。
普段は正常に動作している構成なので、このようなトラブルはネット回線が引き起こしているに違いないと考える。
どう考えますか。 >>823 つづき
しかし、拠点1と拠点2について疎通試験をおこなうと、pingのレスポンスが100msを越えている。いつもなら1ms程度なのにおかしい。(さらなる悩みにとらわれる)
ん?これは拠点1と拠点2の回線の輻輳だな。本部周りのネット回線の問題ではない。すなわち、別の問題だとわかる。(問題1の切り分け)
改めて、拠点3のAsteriskコンテナに意識を戻す。ねんのため、ホスト丸ごと再起動を行う。
再起動を祈りながら、動作確認をする。電話テストをする。正常になった。レジストも問題なし。
コンテナ再起動では解決しなかったので、ホストレベルの問題だとわかった。(問題2の切り分け)
翌日、さらに別の拠点4にあるハードディスクがゴミメールに溢れて、
メール転送システムが停止する問題が発生していることに気づいた。(問題3)
タイミング的に同じ時間に発生。
このように、これら、バラバラの問題(0から3)が同時に発生したわけだ。これまでの経験では、無関係の問題が複数同時に発生する偶然が多いように思うのである。
結果、問題解決のために色々頭を巡らせる必要が有り、焦るししんどい。これをたった一人で抱え込んでいる。単独管理者である。 ここから得た教訓として、
できるだけ、独立事象であることを確信できるようにするために、
システムを明確に分離しておくことが良いと思う。
同じホストにいろんなものを詰め込むと、問題が発生したときに非常に悩ましくなる。
全てが敵に思えてくる。 sshをホストのポートフォーワーディングなどせずにIP Masquaradeを通したいのですが、
nat descriptor masquerade rlogin 1 on
だとポート22にしなくてはならないとのことですが、22は流石に危険ではないですか?
素直に静的IPマスカーレードなどで好きなポートを使ったほうがいいのでしょうか? WAN側からアクセスしない
LAN側からアクセスしてるなら信用無い端末がLAN内に有るのを何とかした方が良い ポートが22だからって危険とはならんな
認証前にクラックできるならどのポートだろうがリスクあるが
そういうセキュリティーホールないならアタックされる頻度が減る程度だろう
公開鍵認証使ってればそこにセキュリティーホールなければポート22番でもさしたる問題は無い レスありがとうございます。wan側からのipv4アクセスは控えようと思います。
ipv6の一時アドレスじゃない方(変動しない方)を使って、アクセスしようかと考えています。
こっちは一時アドレスと違ってオフラインでしか流出しませんし。 >>825
先にホストの負荷状況まで確認しておけばよかったね。
pingが悪化したからと言ってネットワークが悪いとは限らない システムとしてはこういうことはよくあるけどね。 >>829
言ってる意味が分からん。
外からの入り口作るなら、IPv4もv6もやらなきゃならんことは変わらんぞ。
IPv6はアドレスが広いから安全とか無いからな。 >>831
うちはv6使ってないんで分からないんだけど、v6でもポートスキャン来るの? サーバー側でアクセスしてきたv6アドレスのリストを闇で共有してるのはありそうな気がするけど
v6だから安全なんて事はない >>834
特定のポートでのホストスキャンは日常的に来てる
多分存在確認できたらポートスキャンに移ると思う
総当たりでなくてもフィッシングの要領でアドレスは収集できる 普通のクライアントは一時アドレスでアクセスするでしょ
クライアントによるけど普通は定期的に変わるし
プレフィックス /64 なら約1800京個の中で割り当て
リストとっても次使われることなんてほぼないでしょ すぐリスト化されて攻撃されない保証もないけどな
まぁリスト化なんてしなくてもフィッシングで即スキャンとかもあるんじゃね
安心と思って防御しなくてよいって話ではないだろう >>826がそもそも何をしたかったのかがよくわからない
sshを通したくてrloginをonにするんだとしたら
sshのクライアントがIPマスカレードの内側で、かつクライアントのポート番号を変換されたら困る(クライアントが特権ポートを使わないといけなくて、たとえば60000からとかでは困るとか)、という場合だと思うんだけど
今どきそんなsshの使い方するの >>839
829に
>wan側からのipv4アクセスは控えようと思います。
と言っているから、たぶんコマンドの効果を分かっていない気がする。 実際のところ今はランサムウェア全盛だからな
ファイアウォールを正面突破する攻撃は一般的な対策してりゃ十分
というか中小零細は最初から相手にしてない 中小限らずという点だと、社内ネットワーク宛というよりもメールサーバー宛ての方がひどい。
どこで見つけてきたか知らないが、社内でしか使用していなはずの文字列を使用したメールサーバーへのログイン試行がよく見受けられる。
スパムになっている一部は、正規のSMTPログインをした上で送信しているものが見受けられるから、こういうので突破されたんだろうな。。。 >>845
アクセスが来てるアドレスの全部が全部黒ではないようだ。 >>846
>社内でしか使用していなはずの文字列を使用したメールサーバーへのログイン試行
これってパスワードのことじゃないの?
https://haveibeenpwned.com/Passwords
その試行されているパスワードをここでチェックした? リモートログインのパスワードを変えたくないからsshのポート番号を変えて欲しいみたいなオーダ受けたことあったな
気持ちは分かるが http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/relnote_14_01_40.html
IPIPトンネルで、L2TP/IPsecおよびL2TPv3に対応した。
ただし、IPv6 IPoE + IPv4 over IPv6 接続のサービスでは、契約形態により制限があるため、以下の技術資料をご確認のうえ、ご利用ください。
http://www.rtpro.yamaha.co.jp/RT/docs/#ipoe_46
契約形態により制限があるとはどういうことなんでしょうか。
速度制限があるってことですか。
プライオじゃないと使えないとか? IPv4アドレスの共有環境じゃ一部の通信が通らないから >>850
ん?どういうことですか
IPv4はPPPoEで、IPv6はIPoEですよね >ただし、IPv6 IPoE + IPv4 over IPv6 接続のサービスでは
だから、「IPv4はPPPoEで、IPv6はIPoE」ではありませんよ 普通に一つのv4のIPアドレスを共有している
V6プラスとかバーチャルコネクトとかのサービスの事言ってんだろ フレッツならもう一つPPPoEでプロバイダ契約して
マルチセッションで接続すれば良いよ >>853
不特定多数とv4グローバルを共有するということですか。
それなら、たしかにIPIPは通らないですね。
そういうことなら、ヤマハも「契約形態により制限がある」などと曖昧にせずにきっちりと書けば良いのになあ IPsec over IPIP(IPv6)トンネル複数本(複数拠点行き)を、RTX1210で使っています。
速度計測ソフトで調べたところ、複数トンネルでの通信の合計が3MB/sにしかなりません。MTUも最適化済みです。
奇妙なのは、各トンネルそれぞれで3MB/sは出るのに、同時通信時には複数トンネルでの通信の合計が3MB/sにしかならないことです。
このとき、RTXのCPU使用率は全然上昇していません。
そのためフレッツ光ネクスト(西日本)が、VPNプロトコルパケットに対して帯域制限を掛けているのではないかと疑っています。
念の為、ローカル環境(LANリンクローカルアドレス)で複数台のRTXをつなぎ同様のテストをして、各IPsec over IPIP(IPv6)トンネルの帯域の和が一定になるという制限が生じるのか試そうと思います。
フレッツ光ネクストの網内は、優先制御がされていてそれに関する不正な値をもつパケットはドロップされます。それは知っているのですが、帯域制限までも掛けているのでしょうか。
そうなら何らかの値をセットするようにRTXを設定しようと思います。
何かアドバイスお願いします >>856
まずは、「IPIP(IPv6)」が何を言いたいのかはっきりさせようか。 どっかのVNEのIPIPによる固定IPv4アドレスでIPSecをしている という環境なら、
制限をかけるとするならそれはVNEで、NTTは関係ないよな。 >>857
IPIPが、ipv4 over ipv6 になっているという事です。 フレッツ網内でやってるって話だろ
HGW使ってるなら一度外してみたら? 投稿の前後関係から、851の「IPv4はPPPoEで、IPv6はIPoEですよね 」といったのと同一かと。 >>859
だったら余計に、「そうなら何らかの値をセットするようにRTXを設定しようと思います。 」が的外れです。 >>862
何らかの値とは、パケットの優先制御の領域の値のことで、
それを書き換えるということです。
それをすることによって、VPN通信が通じた事実があります。
だから、帯域制限があるとするなら解除できる値もあるのではないかと。
>>860
HGWを外すと、ひかり電話できないので無理なんです。
RTX3台でローカルでVPN(IPsec Over IPIP)テストを行おうと思っていたんですが、
ラズパイと、拠点側のPCとを上記と同じプロトコル構成でテストしてみようかと思います。
もしそれで合計3MB/sec帯域にならなければ、RTXがボトルネックになっているということがわかりますし、
同じ結果となれば網側の問題(IPIPに対する帯域制御の可能性)かと思います。 >>863
>それをすることによって、VPN通信が通じた事実があります。
それは、そう見えただけで、事実ではない。 学校でちゃんと勉強してこなかった奴って何言ってるか分からん
なぜ周りが色々推察までして教えてやらんといかんのか 話が通じないならconfigとネットワーク構成図を書けばいい
共通言語でコミュニケーションすること大事 >>868
それらを書いたところで、その認識が誤ったものになる という話なんだよ。 >>863
>>>860
>HGWを外すと、ひかり電話できないので無理なんです。
HGWを挟んでるなら自分から先にその情報出してよ
機種は何?
切り分けのために一時的に外すのも無理なの?
外すのが無理ならパケットフィルタ無効くらいは試した?
>同じ結果となれば網側の問題(IPIPに対する帯域制御の可能性)かと思います。
HGWを外すのが無理だったらHGWの可能性も否定できない NGNじゃなくてインターネット側でVPN構成してるっぽいのとMTUを最適化とか言ってるのが非常に怪しい気がする つかIPv6でVPN張ればNGN網内のスループットで速いのに、VNEのIPv4 over IPv6を通してIPv4でVPN張ってるから遅いんじゃねーの?
足まわりからなにから情報隠しすぎてわけわかんねーしスルーしようとしてたけど、いつまでもグダグダやってるし要領得ないからエスパーしたぞ HGWかましてたらIPv6-ipsecは速度でない。
300型番なら一桁Mbps
500型番で90Mbps程度
400や600は未測定
速度が欲しけりゃIPv6-IPIPにすれば600Mbps以上でる。 まずはファームウェアのリビジョンを知りたいよね
[4] IPsec over IPIPのファストパスに対応した。
これが入っているかどうか そもそもが最大30Mbpsぐらいしか出ない環境かもしれん。 >>877
たぶん質問者の環境は、IPsec over (IPv6 over IPv4)の環境と思われ。 別拠点(Linuxマシン)--IPsec(IPv4) over IPv6 --HGW--RTX1210--This site
という構成が現状です。
今度、HGWのハブに直接Linuxマシンを接続して、
RTX1210で実現しているIPsec(IPv4) over IPv6というオーバーヘッドプロトコルと同じようにして、
別拠点と接続してみます。
別拠点(Linuxマシン)--IPsec(IPv4) over IPv6 --HGW--Linuxマシン--This site
これで、最大の速度をiperf3で測定し、3MB/sec以上でるか試します。
それでも、3MB/secしか出なかったら、RTX1210よりもNTTフレッツネクストの網が怪しいです。
3MB/sec以上出た場合は、RTX1210がボトルネックになっていると思います。
(>>875 そのファーム導入済みです。CPU使用率が低いままでした。)
また結果報告します。
今、LANカードなどを取り寄せ中で、準備中です。 >>871
HGWの可能性もありますね
正確には、HGWでなくて、OGWなんです。10万しました。
実験結果によってどうするか考えたいと思います。
結果によっては、NTT回線辞めるかも。 >>879
Linuxマシン扱えるなら、IPv6上で別のVPNプロトコルを使ってVPNを構築した方が早いし速くなると思うの。 能力が高いのか低いのか分からんが、臨機応変さに欠けるように思える。
ここまで試行錯誤する前に方針転換できなかったのかな? >>879
情報が足りないからわざわざ聞いてるのにまともに回答できないなら質問するなよ 相談しているように見えて、単にマウント取りたいだけなんだろう。 ていうか仕事で使うなら電話用と通信用に2回線引いたほうがいいぞ >>880
網側の制限を解除する値なんて無いよ
網側で使われたら困る物が通らないだけ
ひかり電話がビジネスホンを指しているならばOGWは優先制御している 前にOGで速度出ないってさんざん検証してただろ
過去ログ漁ってきた方が早いんじゃないのか >>888
優先制御の値を書き換えると、通らなかったパケットも通るようになるよ
rsyncでのファイル転送パケットには優先制御に関する値が書き込まれていて、
それゆえにNGN網を通過できなかった。
しかし、優先制御に関する値をデフォに、経路上のRTXで上書きすると、
通るようになったぞ >>887
電話はNGNで、
ネット通信は癖のない通信会社にしたい それは、値を書き換えるというよりも「優先制御を行わないようにしている」ということなので、888の認識が正しい。 >>881
これな
なんかひでえよあれ
ONU直でセッション分けしたくなる気持ちもわかる >>891
網側で制限しているものを変更できない意味であって自分が送出するDSCP値は当然書き換え可能だよ
ファイル転送直でやっているんだね… >>898
いや、RTXが生パケットの優先制御情報をトンネリングオーバーパケットに暗黙にコピーしている。 >>897
光電話用と、データ用とに2本引っ張るしかないのかな >>899
そうなんだけど、そうじゃない。
前提の知識がズレてるんだろうなぁ 網側でしている優先、帯域制御をユーザー側で書き換えられたら意味ねーだろ >>901
>>898の
>ファイル転送直でやっているんだね…
に対するコメント >>903
DSCP値を設定する部分は、制御するしないに関わらず、そもそも常に存在する。 NTT西フレッツネクストNGN網だけど輻輳起きてるなあ。今この時間。
複数のインターネット側拠点や、NGN網内の拠点から、本部にpingを打つと、
レスポンスタイムが跳ね上がる(プラス30msec程度上昇)タイミングが一致している。
たまにパケロスする。
このことからインターネット側の混雑でなくて、NGN網内での輻輳があるっぽい。
ユーザー増えた? >>905
IPoEのことね。RTX1210のCPUは数%のまま。 >>905
プラス30msecというのは平均ね
パケロスの直前はプラス50msecを超える。 同じタイミングで、インターネット側拠点同士は2msec以下をキープしている。
NGN混んできたな。
他の人どう?大丈夫? IPIP(IPv6)だったら、NGNの輻輳とVNEの輻輳のどちらもあり得るけど、後者の認識はあるのかな? >>909
>>905のとおり、NGN網内折り返しも同じ >>912
分かっていない人が分かったようなふりして書いたものを見せられても困る。 NGN網内の定点観測しているような案内サイトってないのかな? >>914
ありがとう
交換機からSIP接続しないといけないんで、
なかなか移行が難しい >>914
調べてみたら、IP機器は接続できるようだけど、
44マン!もする。
無理買ってもらえない。
データ通信だけnuroに逃げるかな 実は中身はメ欄に謎文字列入れるあいつなんじゃないかって気がしてきた サービス情報サイトの速度調査ってNGN網内の通信速度とも一致してない感じするよなぁ
最近ふくそうひどくてPPPoEのほうが安定してるレベル 厚労省のゴリ押しで10月から正式運用開始のオンライン資格確認がNGN内折り返しのIPv6 IPoEで全医療機関対象で既に数万拠点は導入進んでるらしい
医院病院調剤薬局全部が対象だから全て完了までには数年かかるだろうけど混み始めると思うよ 厚労省はフレッツ網内で完結する通信が大好きだからな
パソコンに厚労省接続用のダイヤルアップアイコンが作ってある
ヤマハはPPPoEパススルーできないから診療所クラスには使われてないイメージ(FWX120の新ファームだけ例外) 知らんけど、東西両端に出入口のサーバー置けばよくね? >>928
(西日本NGN)□----無銭LAN----□(東日本NGN) そもそもフレッツ網の東西を結ぶルートは存在してるから 東西それぞれにオンライン資格確認専用のNTTのDNSサーバーがある >>927
サービス提供側は両方に足が延びてれば良いよ
なおIPOEを使うことを”IP-VPN”と称しインターネット経由は”IPsec+IKEっ”て言っていて分かりにくい
更に2つの事業者は”IP-VPN”でもPPPoE(IPv4)接続になる どうしても我慢できないので書く。
輻輳は漢字で入力しろ。 >>934
輻輳とはトラヒックが集中して、
ヒックヒックすること トラ、つまり泥酔者なのでヒックヒックしているのだろう 電電用語もひらがなのふくそうを用いているからな
トラヒックも 適当に設計して詰まりがちなネットワークとかけて、エロ同人に行列を作る臭いオタクと解きます https://todotan.com/blog/?p=34519
これ試したけど、RTX1210だとうまくいかないのかな。
RTX830とIPsecの仕様違う?? >>948
それだけだと、まずあんたの環境をエスパーしないといけないのだが? >>948
SAは確立されたけど、
Linux側にルーティング情報が自動で上がってこない
以前、IPv4 over IPv4で試したときには、ルーティング情報が自動で設定された RTXでPPPOEパススルーしたい。何かいい方法ある?
ひかり
↓
PR-400MI
↓
RTX810 →dhcp192.168.1.x→PC1
↓
謎のルーター→PC2
謎のルーターはwanがPPPOEなのか192.168.1.xなのか謎 >>952
その質問には、方法はない としか答えられん。 >>952
810は非対応
スイッチポートのあるLAN1に、ONUと謎のルータを刺せばいい
っておもったらPR-400か。素直に刺せばいいじゃん。 ホームゲートウェイはVPNのボトルネックになると言われるけど、
VPN以外のパケットについては速度は出る。
どうしてVPNに対してはボトルネックになるのか? 通常のパケットはファストパス的な処理でほとんど素通しだけどVPNのパケットは宛先とかまできっちり確認しててノーマルパス的な処理だからCPUの性能なりの速度しか出ないとかだったりして >>958
IPsecの処理が遅いんじゃないの?IPIPではそれなりの速度が出るみたいだし >>960
処理もなにも、素通りさせているだけのはずだから958は気になっているのだろう。 ホームゲートウェイがVPNのボトルネックになるってどこで言われてるの? HGWでVPNの終端もしなければUTMみたいに中間者攻撃的なチェックもやらないのだから、その通信だけ遅くなる理由が無いよ
HGWからみれば単なるIP通信 >>965
素人が適当に言っている訳でもないんだから、ちっとは信じればいいのに。 HGWのSPIは挙動がおかしいって話もあるからその絡みもあるかも >>964
> 最新のホームゲートウェイ(500番台)では問題無いレベルの速度(100Mbps以上)で利用できることを確認
と2017年の記事にある。
400番台はもう使わない方がいいのかもね。 >>965
せめて記事読んでから反論してよ
IIJっていうネットワークのプロが言ってるんだから 権威に弱すぎんか?
技術者なら自分の目で確かめてこそだろ
情けないな >>971
極端におかしな考えではないと思うんだが、今回の場合は車輪の再発明に近いと思う。 >>971
自分こそ自分の目で確かめてないのに良く言えるな
実際に400番台のルータでIPsec使ったのか? 500番台で同一局舎のNGN網内ipsecでやったときは片方向200Mbps辺りで頭打ちだったかなぁ。
IPIPだと500Mbps位になる。 IPsecルーターの型番とHGW外したときのスループットも一緒にデータ取っておくと良いよ ファームウェアのバグで通すと速度低下するスイッチングハブとかもたまにあるからなあ >>968
これ
素通りにしたつもりでも素通りにならない >>967
>>970
すまんな
書く前にそのメッセージが無かったんだわ
読んでいたら書かないよ
500番台以前ではあるかもで良いんじゃない?
残念ながら大人の事情か機種を特定するまでには至っていないみたいだし 光ネクストで600番台HGWに繋いだルーター用PCでテストした。
インターネット上Linuxマシン-----IPv6-----HGW(600番台)--IPv6--ローカルLinuxマシン
インターネット上LinuxマシンとローカルLinuxマシンはLibreSWANによるIPsecを張っている。
iperf3で、インターネット上LinuxマシンからローカルLinuxマシンの通信速度を測ると、早い場合は110Mbps以上出た。
こんなもの? >>980
Linuxマシンはラズパイ4(USB3.0 NIC追加)だけど、
RTX1200がCPU使用率が90%以上になるのに対して、
ラズパイはIPsecの同じ転送レートでCPU使用率がびくともしなかった。
RTX1200はファストパスでIPv4 over IPv6 IPsecも処理しているはずなのに、
高CPU使用率となってしまう。
RTX1210はそのような問題は発生しなかった。
VPNなら実はLinuxマシンの方が管理しやすいのかもしれないなあ。
エディタも使えるし、バージョン管理、バックアップもとても簡単。
PCだものな。 >>980
電話来ない時間帯にHGW外して試せば? >>981
ファストパスは魔法の呪文ではないからね。
1210と1200ではこの手の処理は雲泥の差になっておかしくはないと思う。 論理的にやらなくても問題無い処理飛ばしてるだけだからな
cpu自体は使うよね RTX1200は10年以上前の機種だぞ。。。
性能求めるのは見当違い >>983>>985
RTX830の予備機があるから、
それで環境再構築しようと思う。
RTX810はVPN本数が僅かだったが、
RTX830は調べると本数が20もあるのでつかえそう
RTX830もVPN処理についてはRTX1210クラスだと考えてもよいよね >>982
そうすればIPv6アドレス配布にはRAでなく、DHCP-v6になってしまうので
Linuxマシンには追加のパッケージなんか要るらしいし、
NTTは特殊な設定が必要になるので、HGWはずせない
その点、RTXはNTTに対応しているから何も考えずにつかえていいよね きのうからRX-600KIを使ってみたんだけど、
今日になってIPsec(IPv6)拠点間通信ができなくなってしまった。
ping6 拠点のIPv6アドレス 双方からアクセスできない。
拠点A---RTX1210---HGWーーーーNGNーーーーHGW(600)---RTX1200---拠点B
両拠点にあるRTXのフィルタ設定も問題なし。
RTXのLAN3(HGW接続)に割り当てられたIPv6アドレス、IPsecの設定も問題なし。
(HGWを600に変えただけで、RTXは以前から使えていた設定のままということ。HGW交換でもIPv6アドレスも変化なし。)
手に追えないと思ったので、拠点BのHGWを500番台に戻した。(☆)すると問題なくIPsec接続された。
それにもかかわらずping6が、拠点Bから拠点A方向へ飛ばない。(☆)
しかし拠点Aから拠点B方向へは飛ぶし、IPsecもつながる。
(もちろん、HGWとRTXにおいて、両拠点のIPv6フィルタリングは問題なし。)
HGW戻したらつながるとか、片方向からのみping6が通る状態でIPsecはつながるとか、
謎が多くて困る。(☆のところ) >>988
詳しいことはわすれたけど、
DHCP-v6のリクエストの際にサーバーに通知するデータが、
NGNでは標準のものとは違うために、DHCP-v6パッケージに加えて、
別途加工用意しないといけないらしい。 >>989
原因わかった。
RTX1200ファームを最新にしたことを忘れていた。
ファームウェアの影響かわからないが、
IPv6 GUA が2つ設定されるようになっていた。
一つはMACアドレスから生成されるタイプ。
もう一つは::1/64が末尾につくタイプ。
以前は、MACアドレスから生成されるタイプしかなくそれしか想定してなかった。
そのため、相手側拠点でフィルタリングされていた。 >>991
うまくping6も通るようになった。
ファームのアップデートに伴う若干の挙動の変化に伴うトラブルに気をつけましょう。
こういうトラブルがあるからファーム変更は嫌なんだけどなあ。
だから導入時にアップデートするだけで後では滅多にしない方針。 >>989
念の為に、RX-600KIに戻したが、ping6が通らなくなった。
500番台のHGWに戻すとうまくつながる。
もちろん、IPv6GUAに変更はない。
600番台はまだファームウェアもver 01.00.0040だし、
成熟するまでに時間がかかりそう。
トラブルがあるので500番台を勧められるという話もネットで見たしな。
当分、お蔵入りにする。
VPNの通信速度も変わらなかった。100Mbps程度 >>993
pingの話はファーム関係ないような気がする。 >>994
IPv6 GUA が2つ設定されるようになっていた。
一つはMACアドレスから生成されるタイプ。
もう一つは::1/64が末尾につくタイプ。
以前のファームは、MACアドレスから生成されるタイプのアドレスしか保持していなかった。
そのため、MACアドレスから生成されるタイプのアドレス用のパスフィルタを対向ルーターに設定していた。
今回、::1/64が末尾につくタイプでの通信もなされてフィルタにひっかかり、ping6がとおらなかった。
そこで、::1/64が末尾につくタイプについてもパスフィルタを作成したところ、ping6が通るようになった。 >>995
1200ではなく、RX-600KIの話。 つまり、
RTXのファームの入れ替えにより生じた問題と、
HGWの交換により生じた問題の2つが交錯していたというわけだ。 >>952
 RTX810のWEB→[トップ] → [詳細設定と情報] → [コマンドの実行]
pppoe pass-through member lan1 lan2 >>996
RX-600KIのファームが更新されたら、
内部で生じているipv6で通信できない問題が解決するのではないかと思うんだけど。
前日までは通信できていたのに、急に使えなくなった。
ひかり電話は使えたし、折り返し通信以外のVPNは問題なかった。
だからHGWのファームに起因する問題ではないかと思った。 >>998
そのコマンド、対応しているんだっけか? このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 247日 11時間 52分 57秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
