YAMAHA業務向けルーター運用構築スレッドPart25
>>742
まさか保守管理費入れずに予算出してるのか?
最低でも業者入れた金額で見積もらないと誰かが管理するにしてもタダ働きになるだろ >>743
セキュリティ対策を先に何とかした方いいと思います。
勝手APなんてどんなセキュリティ状態かわかったものじゃないので、すぐ止めさせるなり会社でちゃんとセキュリティ対策した機器を準備するなりした方がいいです。 >>743
野良APが設置されたことがあった
ノートPC上に、電波強度の高いSSIDが増えたことに気が付いた人がいて発覚
SSIDの特徴から機種限定されて、プリントした機種画像を元に部内を全員で探して、破棄したよ
今は情報セキュリティについて厳しいから、設置した人は懲戒処分・減給になってたよ 野良APが存在できる時点で有線でも繋ぎ放題なんだろうから、色々まずいんじゃないかな。 >>748
野良APを繋げられるようなザルな環境ならSSIDステルス程度で誤魔化せるということでしょう。 >>748
>>746みたいな体制だとステルスSSIDを表示できるアナライザなんて使わないよたぶん どうやって制限するMac認証くらいしか思いつかない 漠然としたセキュリティ対策ワクワクするな
野良APの何がダメだからどんな対策する、に繋がっていかないこの感じ、社内会議みたい MACアドレス規制や802.1xの電子証明書認証を行っていないのが一番の問題と思う
ほぼ一年中、実習生が入れ替わり来て、日報や検索でWifiを使える様にしてるから
MACアドレス規制を掛けるとなると、申請手続きが面倒になってしまう
個人情報を取り扱うシステムと別セグメントなのが唯一の救いとう感じ
個人情報を取り扱うシステムの方は、デスクトップPC&機器指定で
ログイン時は、自分のIDを非接触ICカードリーダーにかざす方式なので、MACアドレス規制+αにはなってる >>757
個人情報を扱うネットワークに物理的に接続して、IPアドレスを手動設定してもネットワークに入り込めない仕組みなの? >>758
それは、私に懲戒処分・減給、又は懲戒解雇覚悟で試せということですか?勘弁してくださいw
セキュリティ関係の詳細は、私の部署には説明ありません、恐らくどの部署にも説明されて無いと思います
どんなセキュリティを構築しているか自体がセキュリティだからと思われます
どのPC使って、閲覧するか、入力や修正するか、印刷するか、だけ分かれば、それ以上必要無いです >>754
野良機器対策にはならんだろ
ルータやapだと非対応機器だからいいのかな >>759
ん???
セキュリティわからないって貴方は情シスの担当じゃないの?
情シスじゃないのに社内のネットワーク機器の選定しようとしてる? >>738
先日、100M回線から10G回線にしたけど、10G回線でPPPoE提供しているプロバイダは企業向けのIIJしかなかった気がする。
今は状況が変わって違うかもしれないので、自分で調べてみて。 >>761
零細なんでしょ
選任なんかいない会社ゴロゴロあるよ >>761
情シスに友達が居るので、趣味で自宅のネットワーク構築して楽しんでます
IX2215とかRTX1200使っていて、今度フレッツ光クロス導入とRTX1300購入します
L3、L2スイッチや自作ファイル鯖、NAS、APも設置していて、主セグメントは10Gbps回線になってます
自分は、医療系国家資格を持った専門職社員です
社内の機種選定なんて出来ません
ここって個人利用だと書込み厳禁なのですか? >>764
大学とかの勤務医って素直に書いていいんですよw
医者が兼ねてること、ふつーにある >>764
あまり詮索する気はないので、特定されるような情報はほどほどにw
個人利用ってことは、ご質問のrtx1300の選定は家用ってことですか?
職場のネットワークのような話をずっとしてたので、職場のことかと。
野良apも家のネットワークで検知されたんですか?
話が脱線しすぎてわからないです。 >>766
野良AP騒動は、勤務先で起こったことです、不正に設置した人は懲戒処分・減給になりました
上記セグメント上の正規Wifi APは、SSIDとPWで簡単に入れます、機器のMACアドレスで弾かれることはありません
職員によるインターネット検索や実習生の日常業務(日報や検索)の為のネットワークセグメントであることが理由です
>IX2215とかRTX1200使っていて、今度フレッツ光クロス導入とRTX1300購入します
>L3、L2スイッチや自作ファイル鯖、NAS、APも設置していて、主セグメントは10Gbps回線になってます
これは趣味で自宅で構築しているネットワークシステムの話しです
私が勤務先の情シス担当と誤解された方々が居たので、職場では全く無関係の仕事をしていて
自宅で趣味でやっていることを説明したかっただけです、誤解させて申し訳ありません
>>767
今後は、誘導されたURLへ移動します >>745
とりあえずAPについてはWLXクラスなら買えそうなんで置いて、
管理外のAPは撤去させます。
有線部も雑多なスイッチが設置されてるっぽいんでVLAN喋れるやつだけにして、
無線経由で繋いでると思われるゲストを隔離しようかと。
>>744
まさに今タダ働いております
後任のことを考えるとどうにかしなきゃなーとは思うんですが… >>766
たぶん私と746さんと混同されちゃってるかと。
私がRTX1300とeo10G導入で質問しますて、医療関係?の746さんとは
別人であります。零細の兼任情シスみたいな立場で、自分の所属ではない
支所のネットワーク問題を投げられている、とそんな状況でございます
混乱させてすいません。。 802.1xの電子証明書認証って、RTX1210単独では非対応ですよね。
野良AP怖いな。外部からの侵入口を作られるということだからな。
今複数のブランチがあって、RTXによるVPNでつかながってるけど、各ブランチの端末について電子証明書によるアクセス許可を出す機能を本社側にのみ設置することはできるのかな。 本社側にRADIUSサーバー立てればいいんじゃないの? >>757
申請が面倒って
個人の機器を申請できるのかな >>773
RTX1210って、RADIUSサーバーと連携するんですか。 REVELATION/ IN THE SAME BOAT
グラノード広島(granode hiroshima)
大和ハウス工業(daiwa house group)
シーレックス(seerex)
テイケイ西日本(teikei west japan)
裏社会(underworld)
広島県警察(hiroshima prefectural police)
公安警察(security police)
広島地方検察庁(hiroshima district public prosecutors office)
草津病院(kusatsu hospital)
岡田外科医院(okada surgical clinic) >>775
ヤマハのAPにはRADIUSサーバ内蔵してる
問題はヤマハのAPは極めてしょぼいんだよね性能も機能も
arubaのAP経由でから、ヤマハのAP内蔵RADIUSへさせるのは検証ではできた
ただ、秒間7台程度だから
従業員50人以上だと実用で耐えられないだろうね
普通にADサーバをRADIUSにしたほうが楽だし、そうするでしょ? >>772
ADサーバがあるなら、それをRadiusサーバにする
ないならアプライアンスのRadiusサーバ導入するか、linuxサーバにFreeradius入れる
WLXの内臓Radiusはおまけ機能だから使わないほうが良い
全社で30人くらいならいけるかもしれんが・・・
あと、有線NWでx認証したいなら対応SWHUBも買う必要あるからな
サーバにRadiusクライアント登録しなきゃだけど、それはPCの事じゃなくて
HUBとかAPのことだからな?気を付けろよ
具体的には(課金してください arubaも内蔵RADIUSなかったか?サバクラ逆のが良さそう
RADIUSアプライアンスて国内メーカーだけでも
ソリトン、センチュリー、エイチシー、インフィニコ、AXIOLEとかあるけど
YAMAHA客層よりもっと大きい最低数百からなイメージ
数十規模で手をかけず安くRADIUS仕立てるとなるとどうするんだろ >>783
カタログで気にはなっていたけど実際どうなんだろ? wlx313をRADIUSサーバにして100台前後のWindows端末、androidタブ、iPadでEAP-TLSしてるけど問題なく動いてるよ EasyBlocksで昔RADIUSアプライアンスあったような気がしてたけど
いつの間にか販売終了しちゃってるな >>787
おまけ機能なら嬉しいけど、Radiusだけのアプライアンスなんて大して売れないだろ・・・ >>786
RADIUSに負荷かかるのは認証時だけ
再認証を余程まめにしなければ同接数は関係ない
>>788
そこそこの数のメーカーがやってるから需要はあるんだろうが
買うからにはそれなりのでチープなのはニッチ RADIUSサーバ単体で置くのもね…ってことで、元々SynologyのNASはあったんだけどTLSできないから、APとRADIUSサーバ兼ねられるwlx313を入れたって経緯だったよ
何をもって実用的かはそれぞれあると思うけど、とりあえずうちの環境では複数メーカーのAP複数台を認証装置に各端末が滞りなく認証できているから満足してるよ ルータ初心者です。実験&学習環境について教えてください。
会社で複数の拠点をVPN接続して社内LANを構築しています。
また、テレワークなどで社内LANに接続できる環境もあります。
すべてYAMAHAのRTX12xxまたはNVR5xxで構成されています。
このようなネットワークの運用をいきなり任されてしまいました。
ネットワークやルータについて初心者なので、まずは実験環境を構築し学習したいと思っています。
どんな構成から始めればよいでしょうか?
ヤマハのRTX830とNVR500が1台づつ余っているので、それとPC2台あればアレコレ実験できるでしょうか? >>793
それだけあれば十分
あとは回線とプロバイダが2個ずつあると良いかな >>793
あとできればRTX系がもう1台ほしいVPN接続学習用に いちいち5chで質問するレベルじゃヤバいよ
ネットの情報見て自分で何とかならんと思ったら早々にギブアップした方がいい >>794, 795
ありがとう。
参考になりました。
暗闇に放り込まれたようで糸口さえつかめなかったので、元気もでました。
>>796
あなたはネットの情報見て自分で何とかならんと思ったら早々にギブアップしてください。 >>797
YAMAHAスレは変なのもいるけど、ちゃんと教えてくれる人も多いから
あと、ここはネットワーク板だけどハード板のYAMAHAスレの方がいいかも 安いのを買うにしても RTX1200 (IP38X/1200) は投げ売りしてるけど15系ファームとそれ以前って微妙ながらも思ったより差があるから会社と合わせたほうがいいと思う 1220のファームウェアってごにょごにょして
1210に入れられないかなーって >>801
そんなことして何になるんだ・・・・
手間と暇が割に合ってない 1200に1210のファーム入れるならわかるけど1220と1210は何…?ISDNをコマンドから抹殺…? メジャーバージョン以前に1200と1210ではCPUアーキテクチャが違う メジャーバージョンとかあまり気にしても意味ないと思う。
バージョンの採番ルールは分からん。 1210と1220、メジャーバージョンが違うけど、中身はほぼ同じって話じゃなかったっけ? わ、マジだ RTX1210はRev14系でRTX1220はRev15なんだ
すまんなどっちも持ってないから知らなかったわ
RTX830と同じって考えるとISDN抜きがRev15って命名されてるんじゃないのって考えもしたけど
熱烈に望んでる人がいるってことは何か大事な機能差異があるんだろうね… 書いた後にリリースノート眺めてたら普通にめっちゃ見つかったわ
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.04/relnote_15_04_04.txt
例えばここで追加されてるヘアピンNATとかNAT46/DNS46はRev15以降なのね。
CPU同じなのにこれで区別されてるのは悔しいけど発売時期で区切ったのかな。 そうハード同じなのに中古相場は2-3倍違うから
ソフト(F/W)を14->15にしたい まあ普通に塞がれてるだろ
そんなん出来たら1220売れなくなるのハッキリしてるし
諦めな ファームって何だと思ってるんだか
15系のこの機能が欲しいならわかるが ルーターとか、アプライアンスだけで、https通信のURLフィルタできるかな。
squid使ってマンインザミドルやらないといけないと思うんだけど。
何か新しいブロック技術って開発されてる? >>820
できるメーカあったが何処だったか覚えてない
今どき出来ないと困りそうだな >>821
理解できる頭がないんだから黙ってろという空気だ >>820
家はFortinet社のFortigateを入れてるが >>823
こういう発言を無視できれば幸せなんかな >>826
俺の興味のないことを書き込むな
という事ですね了解しました >>822
社員は会社の知らないところで、スマホで見たり、ファイル持ち帰ったりしてるだろうな。
通信止めてから文句言ってきたやつは、
ルール無視の自己申告ということになる。 >>830
ドメイン部分でのみの制御で良いのであれば、そのドメインのIPアドレスを引けないようにDNSサーバーを構成するという手がある。 Dohのドメインもブロックして、udp/tcpのポート53宛通信もクライアントからアクセスできないようにすればいいかな? DoHのIPアドレスでの指定は、想定されていないっぽいよ? c:¥windows¥system32¥drivers¥etc¥hosts 管理者権限は奪取済なのでhostsは書き込みできませんヨシッ! >>830
結局規模と技術力と厳密さで何選ぶかなのかなぁ。
FQDNフィルタ出来ればいいのであれば「ルータ」で動くのもあるし、URLフィルタだとproxy無いとツライ。
Squid運用できるならそれも手だしアプライアンスに頼りたいならfortigateもイニシャル2-30万かけて運用ラクさせるとかも選択肢よね。
fortigateは脆弱性対応の運用コスト考えとかないと爆死するけど。。。