YAMAHA業務向けルーター運用構築スレッドPart25
【渡辺裕之(66)】 ワクチン鬱? 【上島竜兵(61)】
://egg.5ch.net/test/read.cgi/cafe60/1652426631/l50
ヤマハ株式会社は30日、VPNルータ製品群「RTXシリーズ」の新ラインアップとして、10GBASE-Tに対応した中規模ネットワーク向けの新モデル「RTX1300」を正式発表した。
各種性能が強化されているため、拠点用ルータとしてだけではなく、複数拠点と相互接続する場合のセンタールータとしても利用できるという。
価格は21万7800円(税込)で、9月下旬の発売を予定している。なお、既存モデル「RTX1220」とは併売されるとのこと。 20万越えちゃったか
まぁしょうがないが買える値段だな RTX1500と同じと考えれば、まぁ。
市価は税込14万円くらいかね。
珍しく背面の塗装をケチっとるので、税抜20万切りたかったのかも。 UTMだと50万出しても10G対応は厳しいし
21万とか充分安いと思うわ ついでに8ポートも10gにしてほしかった
高くなりすぎたんかな >>511
そういやコロナ禍、リモートワーク需要で定価よりも高く売られていたんだよな(´・ω・`) サポートに再現性あるバグあること言っても直してくれんから
業務での採用は無いな。落ち着いたら検証するか そりゃ要望というか希望というか
だといいな
だから気楽だ
そうでないのがオカシイとは言ってないぞ
自分で設計製造しないと希望も言えないのは窮屈 >>518
ベロベロに酔ってる文章やな
酔ってないなら病院に行け 閉域系LANとネット系LANがありネット系には各自のノートがあり、
閉域系PCからネットPCのRDPに繋ぐためにRTX810を買いました
そのRTX810にはDHCP取得のブロードバンドルーターとして設定し
WAN側を閉域系IP(192.168.0.251/24)
LAN側をネット系(172.16.0.251/24]
に変更しその後デフォゲもDHCPもなしとしています
RTX810設定
フィルター設定
デフォの先頭付近にあるプライベートアドレスのフィルターのうち
reject 192.168.0.0/16 * より前で
pass tcp,udp 192.168.0.182/32 * 172.16.0.50/32 3389を追加、IN有効
reject * 192.168.0.0/16をOUTを無効化としています
nat設定追加
nat descriptor masquerade static 200 1 172.16.0.50 udp 10050=3389
nat descriptor masquerade static 200 101 172.16.0.50 tcp 10050=3389
ネット側PCへの設定
route -p add 192.168.0.182/32 172.16.0.251
でRDPだけポートフォワード出来ればよく
閉域系PCのリモートデスクトップで
接続先は192.168.0.251:10050 として動作はしました
この状態でネット側環境に脅威があったとして極力安全な設定はどうなりますか?
reject * 192.168.0.0/16をOUTは無効にすると動作したので、とりあえず外した状態ですが、本来は192.168.0.182/32以外を無効にしたいですがありますか? >>521
>ネット側PCへの設定
> route -p add 192.168.0.182/32 172.16.0.251
これは無意味な設定となってしまっている。 GUIで設定してるように見えますが
閉域網側をLANにしてネット側をWANにして設定した方が安全な設定になるように思います
WAN側からの侵入は許さなくてLAN側から出る方は何でもOKな設定に基本的にはなっているはず リモートワークのために、データSIMを用意して、ノートパソコンとRTXをIPsecで繋いでも、使い物にならないくらいに遅かった記憶がある。
NGNの閉域網通信でRTX同士で問題なく快適に通信できたので、データ回線で、VPN通信の速度を抑えられているとかだと思う。
実用的なモバイル環境構築は難しいよな。 MVNOだとSSL/TLSの速度がかなり絞られたりするからな(´・ω・`) そこで楽天モバイルですよ(えー
USB延長ケーブルと吸盤を使ってデータ通信端末(UX302NC)を窓に張り付けると意外に使えたw
まあエリアがアレだけど それはあるね
個人で遊ぶには面白いけど、仕事で人に使わせるのは少し厳しそう RTX830とRTX1200でのIPsec通信で急に繋がらなくなった。
NTT西日本のNGN網内通信でIPv6でIPsecトンネルを張っていた。
ところが最近、急に接続できなくなった。
調べてみると、icmp6で疎通は双方向に確認できるが、
IPsecパケットが一方へ届いていない。このことはpass-logをかけて確認した。
RTX830側では、次の2つのログを確認できた。
[IKE] respond ISAKMP phase to
[IKE] initiate ISAKMP phase to
RTX1200側では、次のログを確認できた。
[IKE] initiate ISAKMP phase to
NTTがVPNのパケット落としているのかもしれない。
以前にもそういうことが生じたことがある。
みなさんのところはどうですか? >>522
これを足さないと通信できませんでした
>>523
なるほど
このrdp追加以前に閉域系にあるプリンターをネット側から印刷する為に安いバッファロールーターのWANに対してポートフォワードでPort9100印刷してまして、
その逆だからと準備してました。
そうするとRDPだけのOUTを許可したいですが、WANもプライベートの172.16.0.0/24なのでその関係も外すとして
RTX810にデフォゲが無いので行きようが無いもんなんでしょうか? 対抗するルーターでともに
tunnsel select 1
ip tunnel mtu 1500 などを設定していると、Windows から
ping -f -l 1472 192.168.0.xxx が通ってしまう。(1500▲28)
IPOEのMTUが1500なので、トンネルのMTUはもっと小さいはずだけど1500を設定
すると、何事もなかったように、パケットが通る。
これは、ルーターがフラグメント・結合を入口出口で自動で行っているからなのでしょうか?
ttps://ai-neteng.com/mtu-mss/
参考に1406設定したけど、1407〜1500まで設定できるうえ、
設定値▲28の DF フラグ付きパケットが通ってしまい、
本当に最適なのか検証できない。ルーターにフラグメントさせないオプションって
あるのでしょうか? RTX1210→NGN(IPsec/IPv6)→RTX1200
こんな感じになる。RTX1200のCPU使用率は、余裕あるみたい。
CPU: 2%(5sec) 3%(1min) 4%(5min) メモリ: 24% used
RTX1210は別拠点とはスムーズに通信できている。
NGNで輻湊が生じているってことだろうか。
スパイクが気になるし、パケロスも僅かに生じている。
ping 192.168.XXX.1
192.168.XXX.1から受信: シーケンス番号=0 ttl=254 時間=5.121ミリ秒
192.168.XXX.1から受信: シーケンス番号=1 ttl=254 時間=4.682ミリ秒
192.168.XXX.1から受信: シーケンス番号=2 ttl=254 時間=43.988ミリ秒
192.168.XXX.1から受信: シーケンス番号=3 ttl=254 時間=188.027ミリ秒
192.168.XXX.1から受信: シーケンス番号=4 ttl=254 時間=4.942ミリ秒
192.168.XXX.1から受信: シーケンス番号=5 ttl=254 時間=4.902ミリ秒
192.168.XXX.1から受信: シーケンス番号=6 ttl=254 時間=4.731ミリ秒
192.168.XXX.1から受信: シーケンス番号=7 ttl=254 時間=6.388ミリ秒
192.168.XXX.1から受信: シーケンス番号=8 ttl=254 時間=5.099ミリ秒
192.168.XXX.1から受信: シーケンス番号=9 ttl=254 時間=77.912ミリ秒
192.168.XXX.1から受信: シーケンス番号=10 ttl=254 時間=21.590ミリ秒
192.168.XXX.1から受信: シーケンス番号=11 ttl=254 時間=4.623ミリ秒
192.168.XXX.1から受信: シーケンス番号=12 ttl=254 時間=4.506ミリ秒
192.168.XXX.1から受信: シーケンス番号=13 ttl=254 時間=4.992ミリ秒
192.168.XXX.1から受信: シーケンス番号=14 ttl=254 時間=5.463ミリ秒
192.168.XXX.1から受信: シーケンス番号=15 ttl=254 時間=27.412ミリ秒
192.168.XXX.1から受信: シーケンス番号=16 ttl=254 時間=117.539ミリ秒
192.168.XXX.1から受信: シーケンス番号=17 ttl=254 時間=9.194ミリ秒 LAN MTU 1500 トンネル MTU 1499(適正値より過大)
ping -f -l 1473 192.168.*.*
ipsec tunnel outer df-bit が未設定 set の場合、1の場合、0の場合
いずれも自動で0になるので、パケットが通ってしまい、適正なMTUがわからない
ということですか? >>536 あんがと。
双方のトンネルに
ipsec tunnel fastpath-fragment-function follow df-bit on
ip tunnel mtu 1500
を設定すると ping -f -l 1472 が通ってしまいましたワ。 そこは>>532の言う通り、
> トンネルインタフェースの MTU と実インタフェースの MTU の値の大小関係により、IPsec 化されたパケットをフラグメントしなくてはいけない時には、このコマンドの設定に関わらず DF ビットは 0 になる。
で、tunnelのMTUを1500にしてるからフラグメントしないと通らないので自動的にフラグメントされるんじゃないかと(1500を意地でも通す設定)
外側のインターフェイスのMTUだけを設定して ip tunnel mtu ... (トンネルのMTU)を設定せずに、follow df-bitをonにしておけば、DFビットで蹴られないですか?
#YAMAHAってトンネル外側のMTUからトンネルのMTUを自動計算しないのだっけ? >>533
自己レス
時間帯がずれると自ずと解消しました
よって、輻湊っぽい 専用スレで、他所でやってくださいとでるので、すみません。
フレッツ光 ハイスピード 下り速度は200Mbpsと書かれているのに、注釈付きで1Gbpsとはどういうことなんですか?
[ONU or RTX1210]--IPv6--<NTT>--IPv6--サーバー
上のような場合、サーバーとONUとの間で、下りは1Gbpsが最大速度ってことですか?
それとも、NTTとONUとの間のみ、下りは1Gbps最大速度ってことで、それは網内通信のみ早いですよってことですか?
PPPoEを使った場合はどうなんでしょうか。 >>541
自己解決しましたので共有しておきます。
https://internet.watch.impress.co.jp/docs/news/574106.html
>ハイスピードタイプの場合、IPv6 IPoEでは下りが最大概ね1Gbpsになる
IPv6 IPoEによるインターネット接続も、最大で1Gbpsになるっぽいです。 RTXで、v6プラスに対応していて、IPv4 over IPv6トンネルを使ったインターネット通信を構成してくれるようなのってあるのかな。
あれば、ホームゲートウェイいらないのに。 >>523
WAN LAN逆にしたconfigをtftpでputし
ファイアウォールはGUIデフォから
先頭にpass tcp,udp 192.168.0.182/32 * 172.16.0.48/28 3389 追加
in out有効
と最後のpass * * をrejectに変え
動的もtcp,udpだけ
ネット側PCは静的ルート不要で対象者だけIP固定
接続側は 静的ルート追加でシンプルになりました
ありがとうございました >>544
おおありがとう。
手持ちのRTX830は対応している。
ホームゲートウェイをやめて市販ルーターを使う場合は、
なにかプロバイダに変更申請がいるんだったっけな。
問い合わせたときすぐに分かってくれるか心配だ。
オペレーターって無知なことが多いので。 >>544
自分は自宅使用だが21-domainのV6プラスをRTX830で使用している。
担当者が技術的に明るい人なので、安心して利用出来る。
今度業務でも、お客様に提案してみようと思う。 >>546
enひかりならそこらの自称SEとかより話が早かったりするのでおすすめだぞ RTX830 に新しいファームウェアがきてるー
とリリースノートみたら
2022年3月と4月製造のものがファームのリビジョンダウンできない問題を修正しただけか。 リビジョンダウンなんてやるのか?
そもそも古い奴公開されてないし 他の機種だが春に出たファームに不具合があって一つ前に戻したけど
そういうことがあった場合に困るからだろな どのファームだろうが元々バグだらけのゴミ
指摘しても直せんだとさ 5chにかくわけねーだろw
YAMAHAには言ってある 別に思ってりゃいいじゃん
業務に関連するし穴にもなりかねんのに書くやつはいねーだろw
オマエのおうちルーターの趣味と違うんよ pp1でnetvolante設定したら
pp1の回線が有効でないとnetvolanteの
登録解除できないんでしょうか >>559
…netvolante-dnsの話かな >>562
この間、G-PONだから高品質という記事を見たばかりだぞ SLAにパケロスについて規定があって、その範囲内なら問題ねーべ(違 >>564
NURO BizスタンダードのSLAは稼働率99.9%としか規定されてない模様
回線ダウン以外の保証など無いな
法人向けで月額2万以下とか激安だから所詮そんなもんだよ ウチもBizやったけど社員からリモートやらストレージマウントか外れたり調子悪いクレームが多くてNUROから離脱
何より社員が無能な癖に尊大なゴミが多くて不快 >>566
nuroはフレッツ光よりも早いと思ってたのにな。 >>563
それ、フレッツのファミリーと比べた時の話だから。
しかも局舎までの部分の優位性。
ここの人ならトラブルシュートの範囲でわかるだろうに。 RTX1300って、android12のVPN繋がらない問題は解消するんかいな >>569
その問題については、今後対応予定って、RTX1300のライブで
発表していた。 >>571
なるほー
1200や1210も対応して欲しいな。。。 1200は既にサポート外だしありえんやろ
1210でも怪しい(ある意味ヤマハの好意次第) >>568
プロバイダとしてのnuroがダメダメってこと?
インターネットへの直前のルートで先細りしているということかな。 nuroはレンタルされているHGWと言うかONUと言うか、アレが駄目だって聞いたな。 >>574
プロバイダーとしてもアクセス網から先
プロバイダーまでの中継網もダメダメな感じ nuroは確か、NTTのダークファイバーを使っていると聞いたが >>578
ホームSの戸建ては独自ONUなのに1Gしか出せないよね
そう言う条件でフレッツエリア借りてエリアを広げたか、安くしてもらってるか
ヤフーが出来なかった事を普通にやってる
天下り繋がりの裏契約があるのかな? >>579
そうなんですね
同じKDDI系列のコミュファ光でもタイプKは
ダークファイバー(厳密にはシェアドアクセス)で最大1Gbpsなんですよね
フレッツが10G提供してない所ではauひかりでも提供しないって感じなんでしょうね フレッツと足並みをそろえてというより、そのエリアでサービスインしたとして採算がとれるかどうかだと思うけど そういうことなのかな
一応ショッピングセンターで声掛けてきたお兄さんには
10G来たら乗り換えるんだけどなって言ってみたけど >>250,252,253,256,259
WANから123a:456b:789c:0100/56プレフィックスでYAMAHAルーター迄降って来るなら、
下記設定で各セグメントに/64プレフィックスに出来るはず
RTX1200/1210で、自分は下記設定でセグメント分離して使用していた
ISPからIPv6アドレスがISPより/56プレフィックスで届く
123a:456b:789c:0100:0000:0000:0000:0000(123a:456b:789c:0100::/56)では
123a:456b:789c:01迄が固定でその下が変更可能
123a:456b:789c:01XX:0000:0000:0000:0000(123a:456b:789c:01XX::/64)が成立
自分の環境でお好みのXX値でセグメント分離が可能
※ポートベースvlanでvlan1~3の3つのvlanを作成した際の設定
※ポートベースvlan作成部分は除外
※WANポートにLAN3を利用
※ipv6 prefix 10 dhcp-prefix@lan3::AB:0:0:0:1/64の記述は、
ipv6 prefix 10dhcp-prefix@lan3::AB:0:0:0:0/64の方がより正しい表記ですが、
YAMAHAルータ関係では、末尾1で表記するルールになっているとのことです。 >>583
ipv6 lan3 address dhcp
ipv6 route default gateway dhcp lan3
ipv6 prefix 1 dhcp-prefix@lan3::/56
ipv6 lan3 dhcp service client
ipv6 prefix 10 dhcp-prefix@lan3::AB:0:0:0:1/64
ipv6 prefix 20 dhcp-prefix@lan3::CD:0:0:0:1/64
ipv6 prefix 30 dhcp-prefix@lan3::EF:0:0:0:1/64
ipv6 vlan1 address dhcp-prefix@lan3::AB:0:0:0:1/64
ipv6 vlan2 address dhcp-prefix@lan3::CD:0:0:0:1/64
ipv6 vlan3 address dhcp-prefix@lan3::EF:0:0:0:1/64
ipv6 vlan1 rtadv send 10 o_flag=on m_flag=off
ipv6 vlan2 rtadv send 20 o_flag=on m_flag=off
ipv6 vlan3 rtadv send 30 o_flag=on m_flag=off
ipv6 vlan1 dhcp service server
ipv6 vlan2 dhcp service server
ipv6 vlan3 dhcp service server >>584
ipv6 filter 1610 reject * dhcp-prefix@lan3::AB:0:0:0:1/64 * * *
ipv6 filter 1620 reject * dhcp-prefix@lan3::CD:0:0:0:1/64 * * *
ipv6 filter 1630 reject * dhcp-prefix@lan3::EF:0:0:0:1/64 * * *
ipv6 filter 1650 reject dhcp-prefix@lan3::AB:0:0:0:1/64 * * * *
ipv6 filter 1660 reject dhcp-prefix@lan3::CD:0:0:0:1/64 * * * *
ipv6 filter 1670 reject dhcp-prefix@lan3::EF:0:0:0:1/64 * * * *
ipv6 filter 8000 pass * * * * *
ipv6 vlan1 secure filter in 1620 1630 8000
ipv6 vlan1 secure filter out 1660 1670 8000
ipv6 vlan2 secure filter in 1610 1630 8000
ipv6 vlan2 secure filter out 1650 1670 8000
ipv6 vlan3 secure filter in 1610 1620 8000
ipv6 vlan3 secure filter out 1650 1660 8000 >>584
各vlanのIPv6プレフィックス64でのセグメント分離+各Vlan間の異なるセグメントからのアクセスを完全遮断出来ます。
※AB、CD、EFは好みに応じて設定して下さい。ただしこの部分より下部や上部を弄るとプレフィックス64を維持出来ません。
YAMAHA 参考HPhttp://www.rtpro.yamaha.co.jp/RT/docs/ipoe/index.html
参考HP:https://yamagata.int21h.jp/tool/cidrcalc/ipv6.cgi
NEC UNIVERGE IXシリーズで、同様の設定をしようとすると、1ポート潰してIPv6 ND Proxy(ダミー)にする必要がある
参考HP:https://y2lab.org/blog/inet/ipv6-nw-segmentation-on-nuro-service-8769/ スレチだったらすまん
ヤマハの認定試験、YCNE Basic★今度の日曜日に受けるのですが
模擬試験やってみて全問正解ならば余裕でしょうか?
受験経験者いたら、教えて下さい。 >>588
厳しすぎワロタ
>>586
そのIXでND proxyしてるのってNuroのルータが吐いてるRAをクライアントに届ける為で、「同様の設定」では無い気がする >>586
1ポートをダミーで利用する方式なら、
123a:456b:789c:0100::/56から(123a:456b:789c:01XX::/64)を生成出来る
各セグメント毎に、XXを好きに設定出来るので、セグメント間通信の遮断が可能
実際、自分のIX2215は、これで運用出来てる
BVI+bridge-group+eui-64で行う方式もあるけど、
各セグメントに明示的な部分を入れられないので、セグメント分離出来ない RTX1210とRTX830で負荷試験をしてみたんだが、
同一環境でfast.comにアクセスすると、1210はCPU使用率90%に対して、830はCPU0が70%、CPU1が数%と、圧倒的に830の方がさばけるのね。 70*1333/1000=93.1
だし、クロック比でそんなもんでしょ RTX1210 PowerPC 1000MHz
RTX830 ARM 1333MHz × 2
(新製品)
RTX1300 ARM 1200MHz × 4
クアッドコア化したが、最大クロック自体は下がってるのか_φ(・_・ 1300はその代わりルーティング処理をマルチコアに振れるようになったから(これまではRTX3500以上だけだった)
あと多分L3のハードウェア処理も入ってるんじゃないかな>1300
一発目はCPUで処理(パケットフィルタ)してOKだったら以降は専用ハードウェアで流す、みたいなヤツ、知らんけど RTX1300はCPUなんじゃろね。
Marvell ARMADA 8040っぽい気がするけど。
そうだとすると、CPUはARM v8のCoretex-72になる。
RTX830はARMADA 385で、ARM v7のCortex-A9。
2世代?ほど古いし、クロック当たり性能は、それなりに落ちるんでないかな。
#センタールータはOCTEON TXだったりするのだろうか。 NXPのQoriQとか?NECのIXが使ってた気がする NECのIXはずっとその系統っぽいね。
RTX1210も、QorIQ P1010だそうだけど。
ヤマハは、割とCPU簡単に乗り換えるね。
とは言え、NXPかMarvelくらいしか、もう選択肢は無さそうだ。 NECのIXはずっとその系統っぽいね。
RTX1210も、QorIQ P1010だそうだけど。
ヤマハは、割とCPU簡単に乗り換えるね。
とは言え、NXPかMarvelくらいしか、もう選択肢は無さそうだ。 cpuは1200系より800系の方が高性能
だったよな?
1300になってパワーアップしたかな? Marvellって書いてくれてたわ
読み飛ばしてた 安くないんだからSnapdragonとかの高性能CPUは載せられないのかなあ 用途が違うからね
Snapdragonは基本スマホ用でそれに関連する機能を持ってるSoCだけど
ネットワーク機器とはまったく違うし 長期生産・サポートのSoCじゃないと、駄目だわね。
NVR500なんて13年目。
QorIQのPシリーズは45nm、Tシリーズが28nmって感じで
Snapdragonみたいなスマホ向けSoCとは、違う世界。
性能がそれほど高くないSoCでも
・小ロット生産
・(古い)生産設備維持
・サポート維持
が必要だと、価格も安くはない気がする。 ルーターのCPUにグラフィック性能とかいらんでしょ 組み込み用途のsnapdragon400/600Eは登場時今後10年間の生産継続の保証を謳っていたが、
その期限が2025年なのでもう残り3年くらいだな…
今から新規採用は無いか 
