14/10/02 14:56:37.11
>>703
同一セグメントはrouteに関係なくarp(レイヤ2)通信をしますので相手のMACアドレスが見えないと無理です。
proxyarpかスタティックarpとかでMACアドレスを通知すれば可能だけど別途VPNルーターが必要なので非現実的
セグメントを変えればrouteによる通信(経路)になります。
708:anonymous
14/10/02 15:49:46.51
>>691
>>692
レスありがとうございます。
709:anonymous
14/10/02 23:06:15.27
>>704 >>706 >>707
コメントありがとうございます。
家側を 192.168.1.xxに変更したら無事にアクセスできました。(IPベース)
ありがとうございます。びっくりするくらい早いです。。
>>705
まだ名前解決はできていません。DNSはあまり気にしたことなかったのですが
RX810(店側)の参照DNSに家側のルータ(192.168.1.1)を指定すれば良いのでしょうか?
RX810のVPN設定画面にはDN設定はなさそうです。
自宅のルータのDNSに店側のルーターの192.168.0.1を追加してみましたがだめでした。
何台かにアクセスできればいいのでいざとなればetc/hosts(今もあるのか?)
で設定してみます。
710:anonymous
14/10/03 22:01:26.80
NEC IX2025から乗り替えでRTX1210予約してきました。
これからお世話になると思いますが、分からない事等でてきたらご教授お願いします。
711:anonymous
14/10/04 00:48:47.78
>>710
NECだとRTX1210と同等製品のIX2207があるけど、ヤマハにした理由を教えて。
712:anonymous
14/10/04 00:54:31.60
一軍でいられるようにだろ
ファーム落ちとか引退勧告だw
713:anonymous
14/10/04 01:50:08.98
>>712
意味が分からん。NECも新品購入ならファーム入手できるだろ。
714:anonymous
14/10/04 13:12:27.14
古い機種でもヤマハなら結構更新するからじゃね?
715:anonymous
14/10/04 19:18:43.24
>>711
細かい突っ込みだが、同等品はIX2215だろ。
716:710
14/10/04 22:15:29.37
>>711
特別な理由ではありませんが、
別メーカーのルータもさわってみたくなったくらいです。
以下の記事でショートも向上したと書かれていたので勢いで買っていました。
URLリンク(ascii.jp)
717:711
14/10/04 23:16:33.06
>>716
なるほど。積極的な理由があったのなら知りたいなと思って。
>>715
確かにそうでった。
718:anonymous
14/10/06 11:13:16.60
v6プラスが、ホームゲートウェイなしで使えるようになる計画ってありますか?
RTX直結で、v6プラスが利用できたらいいのにと思う。
719:anonymous
14/10/06 11:26:28.17
>>76
720:anonymous
14/10/06 11:29:08.22
MAPと、v6プラスってなにが違うの?
721:anonymous
14/10/06 12:02:16.06
NATに関して質問があります
アドレス(あるいはプロトコル)で特定可能なパケットのみ、NATでアドレス変換の処理を行いたいです。
それ以外のパケットは内向き外向き共なにもせずにスルーさせたいんですが、
できるのでしょうか。
普通の方法だと、そのインターフェイスを通過しようとする全部のパケットがNAT処理されてしまいます。
722:anonymous
14/10/06 12:12:37.97
ちょっと自己解決しました
INNERと、OUTERそれぞれについてアドレスを定義すると、NAT処理されるパケットを絞れているようです。
しかし、ここでは、ネットワークアドレス単位での指定ができません。
STATICで、テーブルを定義することもでき、ここではネットワーク単位でアドレスを指定可能のようですが、
上記の方法とどう区別されているんでしょうか。
また、NAT処理させるパケットをプロトコルやポート番号で指定することはできるのでしょうか。
723:anonymous
14/10/06 15:16:03.97
まさかとは思うけど
ポートが扱えない、動的NAT、静的NATのコマンド入力していないか?
ポートが扱えるのはIPマスカレードだぞ
724:anonymous
14/10/06 16:09:06.85
>>718
transixにおいで。
RTX直結で、DS-Liteが利用できるよ。
725:anonymous@KD182249244170.au-net.ne.jp
14/10/06 19:01:30.02
同じプライベートアドレス同士の拠点間で通信をしたく、
YAMAHAの公開ページを参考にしていますが、拠点間接続はできているのですが、
拠点をまたぐ通信ができていません(別拠点のPCやサーバと通信ができません)
URLリンク(jp.yamaha.com)
基本的には上記のサンプルベースの定義となっていますが、
VPNの設定が、IPsec→pptpに変更しています
拠点1:RTX810(サーバ側)192.168.87.254
フレッツ 光ネクスト 隼(PPPOE:@nifty)
拠点2:NVR500(クライアント側)192.168.87.252
auひかりマンションタイプE(LAN:@nifty)
いずれの拠点においても、インターネット接続はできています。
なぜ通信できないかご教授願えませんでしょうか
726:anonymous@KD182249244170.au-net.ne.jp
14/10/06 19:08:26.16
>>725
(B拠点のconfig)1/2
ip lan1 address 192.168.87.252/24
ip lan2 address dhcp
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101083 101084
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101099 dynamic 101083 101084 101099
ip lan2 nat descriptor 200
provider lan1 name LAN:
provider lan2 name PRV/0/1/5/0/0:auひかり
pp select 1
pp name WAN/VPN:VPN-2
pp bind tunnel1
pp always-on on
pp auth accept mschap
pp auth myname *** ***
ppp ipcp ipaddress on
ppp ccp type mppe-any
ppp ipv6cp use off
pptp service type client
pp enable 1
tunnel select 1
tunnel encapsulation pptp
tunnel endpoint name **** fqdn
pptp tunnel disconnect time off
pptp keepalive interval 30 12
ip tunnel nat descriptor 202 reverse 203
tunnel enable 1
727:anonymous@KD182249244170.au-net.ne.jp
14/10/06 19:16:38.65
>>725
(B拠点のconfig)2/2
ip filter 101003 reject 192.168.87.0/24 * * * *
ip filter 101013 reject * 192.168.87.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101030 pass * * icmp * *
ip filter 101032 pass * * tcp * ident
ip filter 101083 pass * 192.168.87.252 tcp * 1723
ip filter 101084 pass * 192.168.87.252 gre * *
ip filter 101098 reject-nolog * * established
ip filter 101099 pass * * * * *
ip filter 500000 restrict * * * * *
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 4 192.168.87.252 tcp 1723
nat descriptor masquerade static 200 5 192.168.87.252 gre
nat descriptor type 202 nat
nat descriptor address outer 202 172.16.2.1-172.16.2.254
nat descriptor static 202 1 172.16.2.1=192.168.87.1 254
nat descriptor type 203 nat
nat descriptor address outer 203 172.16.1.1-172.16.1.254
nat descriptor static 203 1 172.16.1.1=192.168.87.1 254
728:Onanymous
14/10/06 20:06:25.03
show ip route
これの結果は如何でしょう?
A拠点にある 192.168.87.xx に到達するときのルートは何処向いてますか?
729:anonymous
14/10/06 20:17:44.18
>>725
>拠点をまたぐ通信ができていません(別拠点のPCやサーバと通信ができません)
通信の確認はどうやったの?
730:anonymous
14/10/06 20:28:36.59
ログは半角なのに
入力は全角ですか
731:anonymous@KD182249244153.au-net.ne.jp
14/10/06 20:59:39.78
>>728
B拠点
show ip route
Destination Gateway Interface Kind Additional Info.
default 192.168.0.1 LAN2(DHCP) static
172.16.1.0/24 - TUNNEL[1] static
192.168.0.0/24 192.168.0.2 LAN2 implicit
192.168.87.0/24 192.168.87.252 LAN1 implicit
192.168.87.254/32 - PP[01] temporary
A拠点
show ip route
Destination Gateway Interface Kind Additional Info.
default - PP[01] static filter:500000
default - PP[01] static
133.160.162.243/32 - PP[01] temporary
172.16.2.0/24 - TUNNEL[1] static
192.168.87.0/24 192.168.87.254 LAN1 implicit
192.168.87.252/32 - PP[02] temporary
202.248.0.72/32 - PP[01] temporary
210.131.113.126/32 - PP[01] temporary
732:anonymous@KD182249244153.au-net.ne.jp
14/10/06 21:01:13.45
>>729
ping tracert で、拠点間のパソコンで確認しました
733:anonymous
14/10/06 21:03:45.08
>>732
実際に打ったIPアドレスは?
734:anonymous@KD182249244153.au-net.ne.jp
14/10/06 21:16:12.32
>>733
A拠点から 192.168.87.252 192.168.87.191 などB拠点にある端末
B拠点から 192.168.87.254 192.168.87.251 などA拠点にある端末
735:anonymous
14/10/06 21:31:35.25
>>721-722です。
>>723
レスありがとうございます。
LINUXのiptablesだと、dnatや、snatで、アドレス変換対象するとパケットを、
アドレスだけでなくプロトコルやポート番号で指定できるので、
yamahaのも何か方法が用意されているのかなと思ったんです。
ない感じでしょうか。
nat descriptorの、staticと、
outerやinnerとは、どう使い分けすれば効果的なんでしょうか。
736:anonymous
14/10/06 22:01:59.38
>>734
それじゃルーティングしないから172.16のアドレス相手に通信しないとダメじゃね?
同じネットワークアドレス使ってても通信できるだけであってそのアドレスそのままではトンネルに投げようとはしないよ
Twice NATって拠点Bならping 172.16.1.? とかで相手と通信できるって事でしょう?
737:@
14/10/06 22:11:43.76
ちょっとした笑い話だね
Twice NAT
URLリンク(www.rtpro.yamaha.co.jp)
738:anonymous
14/10/07 13:07:13.44
>>725
707だけどproxyarp必要じゃない?理由は707そのまんま
しかしサンプルに書かれていないのは謎だipsecだと要らないのか?
739:anonymous
14/10/07 13:10:05.06
レスの書き方もマトモにできないやつの2chレスって
740:anonymous
14/10/07 14:04:49.07
Twice NAT の趣旨を理解すれば192.168.87.10/24などが両方のネットワークで存在しててもおかしくはない
じゃあどうする?って事で別ネットワークの192.168.87.10/24を172.16.1.10/24でアクセスしようってのがTwice NATでしょ
741:anonymous@KD182249246154.au-net.ne.jp
14/10/08 03:13:35.03
>>740
でも、ping 返ってこない
742:anonymous
14/10/08 09:27:23.72
ネクスト網のIPv6で、RTX1200の拠点間をipsecで結んでみた
pingで、ipv4パケットを通してみたが、安定しないね。
パケットロスはなくほとんどが15msec以下だが、
6msecから、120msecの間で揺れる、揺れる。
平均で、7msecくらい。LANみたいに安定しているのかと思ったので、がっくり。
これだと、pppoeのプロバイダ経由のほうがよかったよ。
743:anonymous
14/10/08 11:37:17.29
>>741
URLリンク(www.rtpro.yamaha.co.jp) から引用
この設定にしたがえば、N1からはN2が172.16.2.0/24に見え、 N2からはN1が172.16.1.0/24に見えるようになります。
>>734
A拠点から 192.168.87.252 192.168.87.191 などB拠点にある端末
B拠点から 192.168.87.254 192.168.87.251 などA拠点にある端末
A)からBは別のネットワークに見えているはずなので、Aが192.168.87.0/24 なら
AからみたBのホストは192.168.87.191ではないはず。
>>726、>>727 には
URLリンク(www.rtpro.yamaha.co.jp) や
URLリンク(jp.yamaha.com) にある
ip lan2 nat descriptor 1 reverse 2 や ip tunnel nat descriptor 2 reverse 3
に相当する設定がない。
744:0
14/10/08 13:36:39.17
差分チェックソフト使って、何処が違うのか見れば良いと思う
745:anonymous@KD182249246140.au-net.ne.jp
14/10/08 13:49:30.80
>>743
ip lan2 nat descriptor 1 reverse 2 や ip tunnel nat descriptor 2 reverse 3
に相当する設定がない。
レスいただきありがとうございます
お言葉を返すようですが、定義されているんだが
746:anonymous@KD182249246140.au-net.ne.jp
14/10/08 13:50:34.79
>>744
何も違いが・・・
747:anonymous
14/10/08 14:20:28.71
NVR500(拠点B)側のPCからとNVR500 からの
ping 172.16.1.254
の結果は?
あと、逆の拠点A側から
ping 172.16.1.252
の結果は?
748:anonymous
14/10/08 14:27:33.42
ネットワーク図書いてみたら?
少なくとも今までは>>734と解釈してたんだろう?
749:anonymous
14/10/08 14:48:30.38
>>745
失礼。見落としてた。
Twaice NATで
「N1からはN2が172.16.2.0/24に見え、 N2からはN1が172.16.1.0/24に見える」
ようになっているはずなので、
Aが192.168.87.0/24なら、Aから見たBは何にしてあるのだろうか?
AもBも、本当は192.168.87.0/24だとしても、相互に見た目は別のアドレスになっているはず。
ping は、マッピングされた見た目のアドレスにうつべきではないかな。
750:anonymous
14/10/08 14:57:10.00
A拠点から 192.168.87.252 192.168.87.191 などB拠点にある端末へは
ping 172.16.2.252
ping 172.16.2.191
B拠点から 192.168.87.254 192.168.87.251 などA拠点にある端末へは
ping 172.16.1.254
ping 172.16.1.251
じゃないかな。逆か?
751:anonymous@KD182249246140.au-net.ne.jp
14/10/09 10:03:03.70
>>749
>>750
それも認識している
でも、ping が飛ばないんだよね
だからきいています
他に
752:anonymous
14/10/09 12:13:33.43
logは?
753:anonymous
14/10/09 13:21:39.76
とりあえず、この問題切り分けでどこの段階までいってる?
URLリンク(jp.yamaha.com)
754:anonymous
14/10/09 14:17:09.04
2.30258509
755:anonymous
14/10/09 17:01:44.43
RTX810のL-03F対応まだか
756:anonymous@KD182249246129.au-net.ne.jp
14/10/10 15:37:27.11
どこが悪いかわからない
757:anonymous@KD182249246129.au-net.ne.jp
14/10/10 15:45:29.38
>>752
Twice NAT をやめて、
別セグメントでVPNやれば、うまく接続できる
ログはエラーとか、何も書かれていなかった
別セグメントと同じ感じで、セッションは張れている
758:anonymous
14/10/10 16:13:31.48
現在のネットワーク構成図は?
759:anonymous
14/10/10 21:26:32.01
show status pptp
show status tunnel 1
show status pp 1
show nat descriptor address 202
show nat descriptor address 203
は?
760:anonymous
14/10/11 01:14:34.60
いつのまにか、2chのサーバーが変わったな。
書き込むまで気づかなかった。スレ伸びていないなとずっと思っていた。
<本題>
yamahaルーターって、動的フィルタに、icmp対応がないのはなぜ?
iptables だったら、ステートフルインスペクションでもicmpが対応されるのになあ。
761:anonymous
14/10/11 02:47:35.80
SRT100とFWX120では対応しているそうだよ。
URLリンク(projectphone.typepad.jp)
> マネージメント・サービス系SEから「pingのステートフルインスペクション機能」の強い実装要望があり、実現しました。(pingは、セキュリティホールになりやすい。)
762:anonymous@KD182249246160.au-net.ne.jp
14/10/11 02:48:10.61
>>758
質問時から何も変えてない
763:anonymous
14/10/11 16:18:31.58
だから
実際にどのPCやサーバーがどういうIPアドレスを使ってるとかも図にしてみてよ
質問時はpingを192.168.87に送って届かないとか言ってたんでしょ?
764:anonymous
14/10/11 22:15:48.78
>>762
とりあえず、この問題切り分けでどこの段階までいってる?
URLリンク(jp.yamaha.com)
765:anonymous
14/10/12 02:03:07.12
>>761
レスありがとう
RTX1200についても、実装希望する!
IP MASQERRADE については、ICMPは、内側ホストの識別のためのコードを埋め込むなどして、
対応しているんだけどなあ。
動的フィルタは皆、普通に使っているでしょ?
MASQUERADEだけ対応しているだけに惜しい。
766:anonymous@KD182249244168.au-net.ne.jp
14/10/12 03:37:16.24
>>764
最後まで
767:anonymous
14/10/12 23:31:08.42
>>766
twice-natを、tunnelじゃなくて、ppにかけたらどうなる?