YAMAHA業務向けルーター運用構築スレッドPart25
レス数が900を超えています。1000を超えると表示できなくなるよ。
メジャーバージョンとかあまり気にしても意味ないと思う。
バージョンの採番ルールは分からん。 1210と1220、メジャーバージョンが違うけど、中身はほぼ同じって話じゃなかったっけ? わ、マジだ RTX1210はRev14系でRTX1220はRev15なんだ
すまんなどっちも持ってないから知らなかったわ
RTX830と同じって考えるとISDN抜きがRev15って命名されてるんじゃないのって考えもしたけど
熱烈に望んでる人がいるってことは何か大事な機能差異があるんだろうね… 書いた後にリリースノート眺めてたら普通にめっちゃ見つかったわ
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.15.04/relnote_15_04_04.txt
例えばここで追加されてるヘアピンNATとかNAT46/DNS46はRev15以降なのね。
CPU同じなのにこれで区別されてるのは悔しいけど発売時期で区切ったのかな。 そうハード同じなのに中古相場は2-3倍違うから
ソフト(F/W)を14->15にしたい まあ普通に塞がれてるだろ
そんなん出来たら1220売れなくなるのハッキリしてるし
諦めな ファームって何だと思ってるんだか
15系のこの機能が欲しいならわかるが ルーターとか、アプライアンスだけで、https通信のURLフィルタできるかな。
squid使ってマンインザミドルやらないといけないと思うんだけど。
何か新しいブロック技術って開発されてる? >>820
できるメーカあったが何処だったか覚えてない
今どき出来ないと困りそうだな >>821
理解できる頭がないんだから黙ってろという空気だ >>820
家はFortinet社のFortigateを入れてるが >>823
こういう発言を無視できれば幸せなんかな >>826
俺の興味のないことを書き込むな
という事ですね了解しました >>822
社員は会社の知らないところで、スマホで見たり、ファイル持ち帰ったりしてるだろうな。
通信止めてから文句言ってきたやつは、
ルール無視の自己申告ということになる。 >>830
ドメイン部分でのみの制御で良いのであれば、そのドメインのIPアドレスを引けないようにDNSサーバーを構成するという手がある。 Dohのドメインもブロックして、udp/tcpのポート53宛通信もクライアントからアクセスできないようにすればいいかな? DoHのIPアドレスでの指定は、想定されていないっぽいよ? c:¥windows¥system32¥drivers¥etc¥hosts 管理者権限は奪取済なのでhostsは書き込みできませんヨシッ! >>830
結局規模と技術力と厳密さで何選ぶかなのかなぁ。
FQDNフィルタ出来ればいいのであれば「ルータ」で動くのもあるし、URLフィルタだとproxy無いとツライ。
Squid運用できるならそれも手だしアプライアンスに頼りたいならfortigateもイニシャル2-30万かけて運用ラクさせるとかも選択肢よね。
fortigateは脆弱性対応の運用コスト考えとかないと爆死するけど。。。 >>842
>fortigateは脆弱性対応の運用コスト
詳しく教えてほしいです。
何か脆弱な問題があるんでしょうか。 リスクの高い脆弱性がよく出る。
毎年不定期でアップデート対応必要。
アップデートに際して真面目に検証するならそれだけ稼働かかるし、せずに本番適用すると想定外の運用対応発生したり。 YAMAHAのスレなのにURLフィルタリングがあるファイアウォールUTXシリーズは出てこないのね。。。
オンプレにこだわらなければ、クラウドのURLフィルタサービスを使うのもありかと思います。ハードウェアの心配が無くなるので。
あと、どんな形にせよURLフィルタ入れるとブロックされたサイトを許可に変更したりと運用コストがそれなりにかかります。かといってフィルタを緩くしちゃうと意味がなくなります。 >>845
なるほど。
アプリケーションレベルを相手にするということは、アプリケーションレベルの攻撃も喰らう可能性があるということですね。
ご回答ありがとう。 >>846
URLデータベースの利用料が別途かかったと思う。
でも、ホワイトリストの利用だけならそういう費用はかからないのではないかと思う。
アクセスさせるサイトデータベースを一から構築するのは、検索エンジンを無意味化するだろうな。
チャットGPT4なんかを使うと検索エンジンからダイレクトに各サイトにアクセスせずにすむから、対策方法の一つには考えられるかもしれない。 >>849
お、これ面白い。アプリケーションが認識されてる!ありがとう。
もし使うとなると、1210から1300に置き換えることになるな。
そうすると、NGNのIPv6アドレスも変わってくるから、VPNの設定変更もともなうのは面倒くさい。
例えば社員が30人いるとしたら、
その分費用かかってくるのかな。 >>850
インターフェースID指定しとくと機器交換(MACアドレス変更)に引き摺られなくていいよ。故障交換発生した時なんかも。 >>851
初耳です。インターフェースIDはIPv6の128bitのうち上位64bitのことを指していると思います。
でも、これは網側から半固定で適当なものが与えられるだけだと思ってました。指定はどうやってするのでしょうか。「ネーム」を設定したときのように網側の設定サイトにアクセスして、指定するのかな。
上位64bitが固定されたら、下位の64bitはLAN3のMAC使わずに任意の値を設定しさえすれば、固定IPv6になりますね。 >>852
インターフェースIDは下位64bitだよ。
上位64bitはRAやDHCPv6-PDで払い出されるモノを使いながら下位64bitは自分の任意のパラメータ指定出来る。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ipv6/ipv6_interface_address.html
interface_id の辺り。 >>853
すみません、勘違いをしていました。
>下位64bitは自分の任意のパラメータ指定出来る。
このインターフェースIDを、新しいルータのLAN3アドレスの生成のときに使うようにすれば良いわけですね。
>上位64bitはRAやDHCPv6-PDで払い出されるモノを使いながら
すると、問題としてのこるのはここですね。
RTXをONUに直接つけて、ネットワークアドレス的なものを網からもらっているので、これは変わってしまうかもしれません。
すると、下位64bitを固定できたとしても、全体としてアドレスは以前のものと一致しなくなる可能性がある。
ルーターを交換するのはやはり躊躇してしまう。 >>854
フレッツのIPoEの場合、/56や/64の「半固定」のプレフィックスは回線(契約)に紐づくので、ユーザー側ルータの変更では変わらない。
逆に物理回線を変えなくても、プロバイダ契約を変更するなどすると変わるし、フレッツの設備工事でも変わる可能性がある。 >>854
半固定なprefixはDDNS使いつつ、下位の64bitは固定出来ると運用性上がる気がしてまする >>855
希望の持てる情報ありがとう。
そういうことであれば、ゆとりができたらルーターRTX1300にかえてみようかなぁ。そして、安ければさっき紹介してもらったアプリケーションインスペクション機能を使って可視化したい。(ソフトウェアのインボイス対応がようやく終わってボロボロ。次は電子帳簿保存法対応。ふざけるなああ!)
>>856
半固定なprefixはDDNS使いつつ、NTT西の「ネーム」のことかしら。東日本は、あの人が頑張って導入したDDNSがNGN網内にあって羨ましい。 >>857
おれは10/1なったらDPI体験申し込んでみる予定 >>858
感想きかせて。
正式版申し込みされるなら費用についてもぜひコメントお願いします。 >>857
うん。ネームだとフレッツから払い出されるprefixの変更は追従してくれるけど、下位64bitはWebフォームに自分で投入しないといけない。
下位64bitをMACアドレスに依存しない任意の値に設定した上でネームで設定したFQDN使ってVPN組んだりするとprefix変更や機器変更時にも再設定の手間を減らせる。 UTX100/UTX200を、サイト間VPNのセンタールーターとして使っている人いますか。
拠点ルーターをRTX830で。
使い勝手とか、感想を聞きたいです。
「推奨する接続数は、UTX100で 3対地、UTX200で 6対地」
ttp://www.rtpro.yamaha.co.jp/UTM/FAQ/utx/network.html
ということで、本当に小さい企業ならば、機材少なくて済む。 >>861
ネームって、結構高い初期設定費用がかかったと思う。
でも、たしかにインターフェースIDを固定したならばネームは網内通信で名前で解決できるようになるのは便利だな。
ただ、うちはIPv6通信に対してアドレス単位で入力フィルタ掛けてるから、これも見直さないといけなくなるな。
少なくとも、網内通信に対しでは半固定プリフィックスの変更に伴う通信障害は避けられるかもしれない。
網外のVPN通信に対しては、西日本NTTのネームは無効だからホかにDDNSサービスをつわないとな。
それこそ、東日本NTTのDDNSを使えばよいのだろう。 >>863
俺の知っているネームは、フレッツ1回線につき、一つは無料なのだが。
https://flets-w.com/opt/v6option/
どこに高額な初期費がかかるネームがある? >>864
工事費という名目で請求があった記憶がある >> 863
> 結構高い初期設定費用
各回線からサービス情報サイト(Webポータル)で申し込めば無料。
回線配下に直接PCぶら下げられないとか複数拠点分纏めて申し込みたいとかで営業担当経由だと2-3000円/拠点かかる。
https://flets-w.com/opt/v6option/
※かかっても障害時の呼び出しでかかる稼働とか考えたら事前に構えておく方がきっとシアワセ
>> 866
857読んであげて。
西で閉域環境っぽいしそれだとネームしか手段無い。 そもそも、ここまでの話は、外部サービスの制限だったと思う。
今度、Windows11にはコックピットとかいうAIが導入されるらしい。
このAIの通信をインスペクションして拒絶するようなことも必要になるんだろうな。
Windowsは純粋なOSでないため、Windowsを利用するだけで、心配ごとが増える。
今回も、どうせ強制アプデートでAIが導入されるんだろう。AIを通じて内部のデータが漏洩しないかとても心配。Windowsはいつも余計な心配をさせる不純なOS。 >>868
心配事が増えない純粋なOS教えて下さいっ! RTX810にiphoneからL2TPでVPN接続してたんですけど、最近うまく繋がらない事が多いです。
VPNをオンにして接続しようとすると、もの凄い勢いでエラーが出るんですが、何回かオンにしようとすると繋がる時があったり全く繋がらない時もあったりと非常に不安定です。
ほんの少し前までは普通にVPNオンできていたんですが、iOS17に上げたぐらいから調子悪いような…。
解決方法分かりそうなエスパーいます? どんなエラーかも書かないなら本当にエスパーするしかないな 『L2TP-VPNサーバが応答しませんでした。もう一度接続してください。それでも問題が解決しない場合は、設定を確認し、管理者に問い合わせてください。』って内容のエラーですけど分かります?
iPhoneのVPNをオンにした瞬間このエラーが出る時と、20秒ぐらい頑張ってからエラーになる時とある感じです。
ちなみにRTX810があるのは会社なんですが、会社のwifiに繋いでいる時にiPhoneのVPNをオンにすると一瞬で接続済みになります。当たり前なのかも知れないですが。
それで一旦VPNをオフにして、wifiもオフにしてモバイル通信にしてからVPNをオンにした時は一瞬で接続済みになります。
なんなんですかね? >>873
我々は管理者じゃないので管理者に問い合わせてください >>873
RTX810側のエラーログだよ
管理者じゃないなら管理者に聞くしかないんじゃない? >>873
必要な情報が書かれていない現状では、会社に聞くしかない・・・という回答しかできないよ 残念ながら自分が管理者の真似事してるんですわ
ゆうて他にパソコン触れる人がいないから押し付けられてるだけなんすけどね…
田舎の零細あるあるですわ
RTXのログ見てみたんですけどiPhoneでVPNが繋がらなかった時は何もログに記録されてないですね
VPN接続できた時だけ接続があった的なログがあります 自分でできないことはできる人に対価を払ってやってもらう
企業なら当然のことだよ
まあ今更自分で売ったわけでもないRTX810なんかを面倒みてくれる業者がいるかは知らんけど >>877
ならDNSに問題あるんじゃね
どういうネットワーク構成してるかしらんけど
IPアドレス直で接続してみたら? お前らたまには素人さんか遊びに来たんだから相手してやれよ
文句ばっか言って門前払いじゃ人は育たないだろ? サポートしてほしかったらせめて現行品使ってもらわないと >>873
>会社のwifiに繋いでいる時にiPhoneのVPNをオンにすると一瞬で接続済みになります。
ということは、外部ポートが開いてないんじゃないか
ただし、その辺の問題の自己解決ができない人は、ハッカーに侵入を許すだけになるから、やめた方が良い 説明が下手くそですみません
設定は何も変えてないんですけどここ2〜3日はすんなりVPN接続できてます
調子悪くなる前みたいにモバイル通信だろうが自宅のwifiだろうが普通に繋がりますわ
なんか分からないけどまあ様子見る事にします
あくまで私が仕事しやすくしたいだけなので会社は金なんて払ってくれるわけがないし交渉する気もありませんわw >>885
説明が下手くそなんじゃない
お前はクズなだけ >>885
自分は、設定詳しく忘れたけどL2TP/IPsecだったと思う
Windowsからの接続で、何らかの理由で認証に失敗すると、その後、しばらく(ルーターの再起動まで)同VPN接続が不能になった。RTX1200だったと思う
思い出したので、共有しておく >>888
自分は、2箇所の拠点で同VPN接続できるようにしておいて、もし片方でそのような接続不能状態に陥ったら、別の拠点に接続して、最初の拠点のルーターには再起動をかけておくようにした。
Windowsが悪いのか、ルーターが悪いのか原因は分からないが、それ以来、VPN接続は不要になり、新しいRTX1210などでは試してない。 >>887
他人をクズ呼ばわりする前にまずは日本語のお勉強から始めたらどうですかね
>>888
自分も一つ思い出したんですが、自宅のメッシュwifiに繋いでiPhoneからVPN接続している時に、家の中を移動したりしてルーターAからルーターBに接続先が切り替わるとVPNが切断するんですけど、その時すぐVPNに接続しようとしても繋がらない時がちょいちょいありますね。
1〜2時間ぐらいするとまたVPN接続できるようになるので繋がらんもんはしゃーないと思って諦めてたんですが、>>889見て別拠点のルーターにVPN接続すればいい事に気づきましたわ。
むしろ何でこれに気づかなかったのか自分を小一時間問い詰めたいところですが、本当にめっちゃ助かりました!! インターネットへ複数の出口があるメッシュWi-Fiって、何か間違ってる気がする。 >>890
返事ありがとうございます
役に立てて幸いです。 拠点のRTX1200にLTEのモバイルルータをLAN2に接続して
LAN1配下のPCからインターネットはできるのですが
固定IP持つ本社とIPSECで拠点間VPNはできるんでしょうか?
詳しい人に聞いたら二重ルータになるから難しいとの返事がありました >>897
素人に分かりやすく説明しようと「パケ詰まり」「二重ルーター」とか言うときあるよ
もっと頭が良ければそんなワード使わなくて済むんだろうけど 電子楽器もたしかにあるからなぁ
ヤマハバイオリンと、ヤマハルーターが同じメーカーなんて面白いな RTX1210をつかってます
Android14のVPNクライアント機能でRTXにIPsecトンネルを張りたいんですが、できるでしょうか
たしかに、Androidの機能にはL2TP/IPsecはなかったです
IKEv2/IPsec PSKならありました レス数が900を超えています。1000を超えると表示できなくなるよ。
