451:anonymous
15/03/11 14:52:54.59 .net
>>439
なるほど、キャッシュを検索するとわかるのか。
ありがとう。
452:anonymous
15/03/12 21:22:05.60 .net
URLリンク(www.2ch.net)
2ch.net運営責任者からのメッセージ
2ch.net専用ブラウザを利用する大切な皆さまへ(2015/3/2)
3月13日からは新仕様に対応した専用ブラウザをご利用ください。
453:fusidara
15/03/13 19:54:45.68 .net
取りあえず書き込みテスト
454:398
15/03/13 21:44:27.11 .net
YAMAHAからの回答は、下記コマンドを試せということでした。
nat descriptor backward-compatibility 1
コマンドリファレンスによると、NAT機能全体の動作タイプを
Rev.14 系以前の動作タイプ (ポートセービング IP マスカレード機能を無効にする)
とのことです。
「Rebooted by Task time exceed(27)」の意味は教えてくれず、上記を試すようにとの一言だけでした。
なので、エラーがどういう意味で、なぜそのコマンドを試すように指示するに至ったのかの説明がなく、
釈然としません。
メーカーサポートとはこんなものでしょうか。
ちなみに私からはTECHINFOを提出しました。
455:anonymous
15/03/13 22:35:42.11 .net
>>445
旧バージョンのnat機能へ戻すためのコマンドなんだろうな。
新しいバージョンのnatにはバグがあることが判明したのかもしれない。
苦情係「こんなエラーが出たらしいんですけど?」
開発係「えっ! ”Rebooted by Task time exceed(27)”だと!?、やばいな。」
こんな会話がエスパーできる。
456:anonymous
15/03/14 10:52:54.06 .net
YAMAHAもまだ原因が分かってないんだろう。
しかし、YAMAHAのサポートは昔色々あったんで、信用していない。
457:anonymous
15/03/15 02:39:47.68 .net
ネットワーク機器のサポートで良かったって言うと、アライドが結構親切に回答してくれたな
HP無料サポートはどんなに簡単な質問でも3営業日くらい必ず置いてから回答するポリシーみたい
Ciscoは正直言うてsmartnet酷い
Fortigateは代理店次第
YAMAHAの無料窓口は平均的な感じ
SCSKのCareplusは金取ってるだけあってカッチリしてる
458:*
15/03/16 08:30:52.67 .net
書き込みが激減したな・・・
459:ANONYMOUS
15/03/17 12:22:55.68 .net
ちょっとまえに、メーリングリストで、rtx1210のIPsec再接続が遅い問題が取り上げられていたけど、
けっきょく何が問題だったんだろうな。
RTX1200を使用中だが、そういう問題は起きていない。
でも、RTX1100は、RESTART後に、IPsecトンネルがつながるまでに時間がかかるぞ。
ipsec sa clear?たしか、こんな感じのコマンドをRTX1100で打つことで即座につながるようになったな。
ファームアップで解消する問題なのかもしれない。しばらくアップデートしてないからな。
460:hage
15/03/17 12:57:58.01 .net
ネットボランチDNSのTTLは15分だから、そーいう理由だと思うけどな
461:anonymous@om126186168052.7.openmobile.ne.jp
15/03/17 13:11:05.79 .net
>>451
それだ!
462:ANONYMOUS
15/03/17 18:44:12.09 .net
ヤマハMLから転載
>RTX1210とRTX1200の両方で、ipsec ike retryコマンドを削除してデフォルト値に戻してみてください。
463:700
15/03/17 19:47:37.63 .net
RTV700を使ってます。
ログを眺めていると、下記のような出力を見つけました。
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.1
464:77:1504 > 122.1.*.*1:1433 (2015/03/17 00:06:06) Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1509 > 122.1.*.*2:1433 (2015/03/17 00:06:06) Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1507 > 122.1.*.*3:1433 (2015/03/17 00:06:06) Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1508 > 122.1.*.*4:1433 (2015/03/17 00:06:06) Mar 17 00:17:03 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1510 > 122.1.*.*5:1433 (2015/03/17 00:06:09) [5003]のフィルターは下記のように設定しています。 ip filter dynamic 5003 * * tcp また、 122.1.*.*1~122.1.*.*5はプロバイダと契約している固定IPグロバールアドレス(IP8)です。 この状況だと、 LAN側から61.160.250.177として、122.1.*.*1~*5へ向けて、SQL Server(1433)へアクセスしようとしているように見えます。 61.160.250.177はグローバルアドレスだと思うのですが、どういった状況になっているのでしょうか? これは不正アクセスなのでしょうか? LAN側からWAN側のポートを探しているようで、気持ちが悪い。 (送信元)グローバルアドレスは不定です。また、ポート番号もwww、DNSやtelnetであったりマチマチです。 ちなみに、IP8の契約ですが、現在は1つしか使用しておらず、外部に公開しているサーバーはありません。
465:-
15/03/17 21:32:31.71 .net
61.160.250.177にwireshark入れたみたらいいんじゃないの?
466:ANONYMOUS
15/03/17 22:20:45.93 .net
inetnum: 61.160.0.0 - 61.160.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network
467:ANONYMOUS
15/03/17 22:23:41.26 .net
>>454
奇妙だね。
新手の攻撃なのかな?
PPにかけている静的、動的フィルタはどうなっているの??
468:anonymous
15/03/18 07:56:57.12 .net
中国に身内がいないなら攻撃だらうね
469:700
15/03/18 08:54:58.60 .net
>>455
61.160.250.177は外部のアドレスのようで。。。
LAN側は 10.*.*.* のアドレスで運用しています。
なので、61.160.250.177からのアクセスとして偽装しているのでしょうか?
>>456
その他のアドレスも西の大陸っぽい感じがします。
やっぱり、不正アクセスでしょうか。。。orz
>>458
海外には拠点ありません。
やっぱり、怪しいですねぇ。orz
470:700
15/03/18 08:56:06.15 .net
>>457
現在の設定はこんな感じだそうです。
気になる点やアホな設定があれば、ご指摘ください。
ip pp address 122.1.**.**/29
ip pp secure filter in 2000 2001 2002 2003 2004 2010 2011 2012 2013 2014 3000 3001 3002 9999
ip pp secure filter out 2000 2001 2002 2003 2004 2010 2011 2012 2013 2014 3010 3011 3012 9999 dynamic 5000 5001 5002 5003 5004 5005 5006
ip pp intrusion detection in on reject=on
...(続く)...
471:700
15/03/18 08:56:11.47 .net
ip filter 2000 reject * * udp,tcp 135 *
ip filter 2001 reject * * udp,tcp netbios_ns *
ip filter 2002 reject * * udp,tcp netbios_dgm *
ip filter 2003 reject * * udp,tcp netbios_ssn *
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2010 reject * * udp,tcp * 135
ip filter 2011 reject * * udp,tcp * netbios_ns
ip filter 2012 reject * * udp,tcp * netbios_dgm
ip filter 2013 reject * * udp,tcp * netbios_ssn
ip filter 2014 reject * * udp,tcp * 445
ip filter 3000 reject 10.0.0.0/8 * * * *
ip filter 3001 reject 172.16.0.0/12 * * * *
ip filter 3002 reject 192.168.0.0/16 * * * *
ip filter 3010 reject * 10.0.0.0/8 * * *
ip filter 3011 reject * 172.16.0.0/12 * * *
ip filter 3012 reject * 192.168.0.0/16 * * *
ip filter 9999 pass * * * * *
ip filter dynamic 5000 * * www
ip filter dynamic 5001 * * domain
ip filter dynamic 5002 * * smtp
ip filter dynamic 5003 * * tcp
ip filter dynamic 5004 * * udp
ip filter dynamic 5005 * * pop3
ip filter dynamic 5006 * * ftp
472:hage
15/03/18 09:03:33.14 .net
朝日新聞と同じ
473:anonymous
15/03/18 09:27:30.03 .net
ip pp secure filter in
の最後に9999があるのがそもそも
474:anonymous
15/03/18 09:31:35.60 .net
外に 122.1.**.**/29 はいないはずだから
ip filter 3003 reject 122.1.**.**/29 * * * *
ip filter 3013 reject * 122.1.**.**/29 * * *
追加汁
475:700
15/03/18 09:44:30.09 .net
>>462
ダメダメって事ですね。orz
ありがとうございます。
>>463
なるほど。ご指摘感謝です。
担当に確認してきます。
これが不味いのか。orz
476:700
15/03/18 10:00:40.65 .net
>>464
なるほど。
ありがとうございます。
フィルターを追加依頼してみます。
477:anonymous
15/03/18 10:21:39.61 .net
それがまずいというか
外部に公開する必要があるポートだけを通して他は閉じるのが基本だけど
静的IPマスカレード処理してるなら基本問題は無いのかね
478:hage
15/03/18 10:27:10.03 .net
NATの内側だから、外側からの攻撃は防げるから大きな実害はないわな
てか、市販のルーターの大部分は >>460-461 みたいなセッティングで出荷されセキュリティを謳ってる
外部送信系のトロイたちは80/tcpや443/tcp使うのが流行だから、単純にポートフィルターしても防げないし
塞ぎすぎるとSkypeできねーとかクレームつけてくるやつ出てくるし
479:ANONYMOUS
15/03/18 12:24:26.68 .net
>>460-461
動的フィルタがOUT方向に入っているだから、
ip pp secure filter in ・・・・9999
この最後の9999は絶対にいらない!!!!
これだと、すかすかじゃないか。
480:hage
15/03/18 12:37:49.93 .net
>>469
あほか
あのconfigで9999外すとヤフーも見れなくなるよ
なにをもってスカスカと言ってるかしらんが
市場に出回ってる家庭むけルーターのデフォルトセッティングはあんな風だ
481:anonymous
15/03/18 12:48:51.32 .net
>>470
482:hage
15/03/18 12:58:37.68 .net
ああ、dynamic あったのか、こりゃ失礼
483:anonymous
15/03/18 14:05:17.89 .net
122.1.*.*1~122.1.*.*5を固定にして外部からのアクセス可能なサーバーでもやらせてるなら
ip pp secure filter in ・・・・9999 いるいらんって議論はできん
NAT処理やサーバー側でのフィルター運用など他に担当者いるならそいつにどういう考えで構築してるか
聞かんとダメだろ
484:anonymous
15/03/18 16:22:43.60 .net
>>473
>>454
485:anonymous
15/03/18 17:09:03.26 .net
外部に公開してないら
現状でも特に弱い部分があるってわけじゃないんじゃないの?
486:700
15/03/18 17:09:11.01 .net
>>467
ありがとうございます。
ip pp secure filter in の 9999 なしで運用できるように調整してもらいます。
緊急管理用にIPマスカレードで内部サーバーに接続できれば、十分なので。
>>468
ありがとうございます。
市販ルーターの初期設定がそうなっているんですね。
ネット上で、もう少し公開されているconfigを見てみます。
自分の担当外ですが、勉強になりました。
487:700
15/03/18 17:15:33.08 .net
>>473
固定なのはVPN用で、サーバー公開用ではありません。
なので、in 9999 を外す方向でやってもらいます。
ご意見ありがとうございます。
>>475
結果的はそんな感じでしょうか。
今回はたまたまログを確認したら、怪しげな出力に見えたので調査依頼が来ました。
でも、お陰で色々勉強できて助かりました。
488:-
15/03/18 19:54:54.78 .net
ip filter 1 pass * * * *
ip filter 2000 reject * * udp,tcp 135 *
ip filter 2001 reject * * udp,tcp netbios_ns *
ip filter 2002 reject * * udp,tcp netbios_dgm *
ip filter 2003 reject * * udp,tcp netbios_ssn *
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2010 reject * * udp,tcp * 135
ip filter 2011 reject * * udp,tcp * netbios_ns
ip filter 2012 reject * * udp,tcp * netbios_dgm
ip filter 2013 reject * * udp,tcp * netbios_ssn
ip filter 2014 reject * * udp,tcp * 445
年に一回は見る
489:anonymous@ngn-west-070-045-060-180.enjoy.ne.jp
15/03/18 20:21:29.54 .net
実害は無いだろう
・・・きっと
490:ANONYMOUS
15/03/19 01:48:17.28 .net
>>479
こんきょ?
491:anonymous
15/03/19 07:47:25.17 .net
>>480
グローバルIP宛てに出しても受けてくれない
グローバルIP宛てを受けてもルーターだと駄目
って思いはど素人?
492:anonymous
15/03/19 09:19:48.09 .net
>>480
逆に>>460のケースでも危険だと思う根拠は?
前提条件は
>ちなみに、IP8の契約ですが、現在は1つしか使用しておらず、外部に公開しているサーバーはありません。
>固定なのはVPN用で、サーバー公開用ではありません。
493:ANONYMOUS
15/03/19 10:42:05.92 .net
>>460を見る限り、
NATをつかっていなければ、RTXが、外部からtelnetでアクセスされる危険性があると思う。
494:test
15/03/20 19:51:58.42 .net
test
495:anonymous
15/03/24 12:57:17.32 .net
IIJのTransix(DS-LITE)をつかっています。
終端トンネルはRTX1200です。
なんか、IIJ側のNAT装置が忙しすぎてなんだろうと思うんですが、
任意のWEBページを開い
496:たとき、画像が表示されなかったり、とても遅れたり、 タイムアウトになったり、複数コネクションの動作が変になるようです。 問い合わせをしたんですが、そういう障害は報告されていないとのこと。 みなさんどうですか。 やっぱりDS-LITEの、local IPv4 over IPv6 and through far NAT with global IPv4 とでも言うようなシステムだと、 網側のNATでは、かなりの負荷がかかっているんだろうな。 RTX1200のNATテーブルにかかるような負荷と同じなんだろうと思っている。
497:477
15/03/24 13:00:27.86 .net
>>485
発生には波があり、問題なくつながることもあります。
問題発生中でも、コネクション数の少ないだろうから、通信速度測定サイトでの測定結果は30Mbpsほどでてます。
DS-LITE網側のNATテーブルだと思うんだけどな。
ここでいっても、どうにもならないけど、書いちゃった。
498:anonymous
15/03/24 15:33:27.93 .net
てか、いつになったらRTX810のL-03F対応してくれるんだ?
499:anonymous
15/03/24 15:39:21.93 .net
グローバルIPv4を数人でシェアしてポート番号の割り当てでそれぞれを識別するんだっけ?
割り当てられているポート番号の数とセッション数がそれを超えてないか確認してみたら?
と思ったけどセッション数を確認する方法がRTX1200にあったかな?
500:anonymous@61-205-5-109m5.grp1.mineo.jp
15/03/24 18:04:38.53 .net
NATテーブルならshow nat interface allとかそんなの。
501:477
15/03/25 15:06:05.69 .net
>>488
NATテーブルは、RTX1200側でなくて、DS-LITE側にあるやつだよ。
RTX1200側にもNATをかけているけど、これは大丈夫。
502:anonymous
15/03/31 00:54:50.56 .net
Windows 8.1がクライアントで、ゲートウェイがRTX1100です。
RTX1100で、IPv6の設定を行いました。
ipv6 prefix 10 24xx:xxxx:xxxx:xxxx::/64
ipv6 lan1 rtadv send 10
IPv6サイトに接続でき、kameダンスもみられました。
しかし、ACCESS2007のアプリケーションで、データベースに接続できなくなりました。
DNSの名前解決で失敗しているようです。
(RTX1100のさらに上位にあるRTX1200で、dns aレコードを羅列して解決できるようにしています。IPv4のみの運用だと大丈夫です。)
ipv6 lan1 rtadv sendを取り消して、WindowsがIPv6 GUAをつかまないようにすると無事につながりました。
Windowsが、IPv6 GUAをつかんでいるとき、目下のRTX1100に対してaaaaレコードを検索しようとして、
RTX1100は問い合わせられたaaaaレコードを、上位のRTX1200に対して検索をかけるので、
RTX1200は羅列されたdns aレコードを無視しているのだと思いました。
(だとしたら、どうして、Windowsは、次にaレコードを検索しようとしなかったんだ??)
仮に、Windows8はaaaaレコードの検索で失敗しても、aレコードを検索しなおさないのだとすれば、
RTX1200で、aaaaレコードの検索をうけて上位のHGWなどに問い合わせずに、羅列したdns aレコードの結果を返す必要がありますが、
どのような設定をすればいいんでしょうか。
503:anonymous@FL1-133-205-214-212.nig.mesh.ad.jp
15/04/01 08:14:12.56 .net
何で1100の上に1200が有るの?
504:anonymous
15/04/02 19:56:16.92 .net
>>492
RTX1200がVPN接続先の基幹ルーターなんです
DNSの静的レコードを一元管理してます。
505:anonymous@KD121106217058.ppp-bb.dion.ne.jp
15/04/05 19:43:33.17 .net
RTX810でhttp鯖を公開しているのですが、別のISPに移行する事になって、現在新旧2つのISPで固定IP契約しています。
そこで、移行期間の間、2つの固定IPのどちらにアクセスしてもhttp鯖に繋がるように設定することって出来ますでしょうか?
単純に ip route default gateway pp 1 gateway pp 2
としてみたら、返りがアチコチ行ってしまってるのか、繋がらなかったりページの画像が出なかったり不安定でした。
netvolanteとかDDNS使えってのは諸事情で無しでお願いします。
506:anonymous@KD182249241083.au-net.ne.jp
15/04/05 20:21:27.23 .net
>>494
普通にhttp鯖のロードバランサモジュール
導入したらいいんでね?
507:anonymous
15/04/05 21:35:44.28 .net
>>494
policy bace routingじゃダメ?
508:anonymous
15/04/05 22:18:09.81 .net
>>494
WEbサーバー公開しているならIP変更なんてよくある事だし、普通にTTLの最小値設定で乗り切れば良いだけの事じゃないの?
技術的には上の人が言っているようにサーバーにIP2個付与してポリシールーティングをRTXに設定、其の上でNATの設定で出来ると思うけど。
509:anonymous@KD121106217058.ppp-bb.dion.ne.jp
15/04/06 00:58:10.82 .net
>>495
ロードバランサの逆みたいな感じだと思うのです
鯖は1つで経路が2つ
>>496,489
鯖にIP2つ付けるのは考えてませんでした
pp1から来たリクエストはIP 192.168.0.5
pp2から来たリクエストはIP 192.168.0.6
みたいにするとpp1pp2に分かれて帰ってくれるのかな。apacheの問題か
でも、ip route default gateway~ の指定の仕方がわからない気がします
510:anonymous
15/04/06 01:19:08.07 .net
>>494
古い方をNATで新しいサーバーアドレスに変換すればよいだけじゃね?
511:anonymous
15/04/06 01:33:53.12 .net
ああ、内部はローカルアドレスか
>pp1から来たリクエストはIP 192.168.0.5
というよりも
静的NATで
旧WEBサーバーグローバルIPアドレス-> 192.168.0.5
新WEBサーバーグローバルIPアドレス-> 192.168.0.6
ip route default gateway
はフィルター型ルーティングで始点アドレスが192.168.0.5ならPP1
192.168.0.6ならPP2
ってやればいいんじゃね?
512:anonymous@ae108143.dynamic.ppp.asahi-net.or.jp
15/04/06 19:33:00.40 .net
RTX1100を2台用意してVPNを構築しました
セグメント1
192.168.10.0/24
セグメント2
192.168.11.0/24
セグメント1には、ルータが2台存在しています
192.168.10.10 -- OCNに接続
192.168.10.110 -- BB.exciteに接続
セグメント2に存在しているマシンから、
セグメント1のゲートウェイを任意に使用したいのですが、
どのような設定をすればよいのでしょうか?
513:anonymous
15/04/06 20:06:22.17 .net
>>501
フィルタ型ルーティング使えばいいと思う
514:anonymous
15/04/06 20:17:19.89 .net
マシンが単体で任意になら
192.168.10.10 と110のルーターにVPN接続で選択するかプロキシー入れるとかが簡単かね
515:486,490
15/04/06 21:19:30.55 .net
皆さんありがとうございます。
http鯖(正確にはhttps鯖)にIP2つ振って、apacheでアクセスできるように設定して、
RTXで下記設定することでpp1、pp2のどちらのISPのIPからもアクセスできるようになりました。
フィルタ型ルーティングとか使ったこと無かったので勉強になりました。
ip route default gateway は関係無かった・・・
ヤマハサポートは返事遅いし・・・
nat descriptor masquerade static 1000 7 192.168.0.5 tcp https <pp1用
nat descriptor masquerade static 1200 7 192.168.0.6 tcp https <pp2用
ip filter 200110 pass 192.168.0.5 * * * *
ip filter 202110 pass 192.168.0.6 * * * *
ip forward filter 100 1 gateway pp 1 filter 200110
ip forward filter 100 2 gateway pp 2 filter 202110
ip lan1 forward filter 100
516:anonymous@s249067.ppp.asahi-net.or.jp
15/04/07 12:38:56.79 .net
RTX810 で DHCP鯖機能を有効にしてアドレス予約にしているけど
Windows PC は問題ないのにHP のシンクライアントにはリースされない。
スコープの設定など間違いないか何度も確認したが、予約するとダメ。
予約じゃない場合は、普通にリースされる。
問題のシンクライアントだけど、Microsoft DHCP だとアドレス予約でも
問題ない。
Yamaha に聞いたらパケットキャプチャして記録を送ってくれだと。
ちょっとハードルが高いのであきらめ気味ですが、DHCP鯖をMS準拠にする
ような設定ってあるんでしょうか?
Yamaha と MSじゃ DHCP鯖機能の実装に違いがあるんだろうけど、
517:anonymous
15/04/07 14:44:33.12 .net
シンクライアントのDHCP要求をヤマハ仕様に合わせろ
518:anonymous@p4213-ipngn100104matuyama.ehime.ocn.ne.jp
15/04/07 18:14:36.28 INwh0YYP.net
RTX1100で教えてください。
自宅にてONU→hub→lan2に接続してるのですが、
show ipv6 address lan2
とコマンドを打ち込んでも
リンクローカル fe80::2a0:deff:??:???/64
リンクローカル ff02::1/64
リンクローカル ff02::2/64
リンクローカル ff02::1:???:???7/64
という感じで表示され、
グローバルアドレスが設定されていません。
職場の環境を見てみると表示されています。
ipv6に関する設定は、
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 secure filter in 1010 1011 1012 1013 1014 1015 3000
ipv6 lan1 dhcp service server
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106
ipv6 lan2 dhcp service client ir=on
となっており職場と同じになってました。
なぜlan2にグローバルアドレスが設定されないのでしょうか?
519:anonymous
15/04/07 20:40:15.81 .net
>>507
ひかり電話契約してない?
520:暇だからな
15/04/07 22:26:35.07 .net
お、タイムリーだな
そろそろipv6に手を出そうと思ってたところに面白そうな話題
URLリンク(www.rtpro.yamaha.co.jp)
521:anonymous@g252.115-65-97.ppp.wakwak.ne.jp
15/04/08 10:08:29.48 .net
>>506
> シンクライアントのDHCP要求をヤマハ仕様に合わせろ
やりかたがわからないので、ひたすら調べつけた結果
URLリンク(d.hatena.ne.jp)
URLリンク(www.rtpro.yamaha.co.jp)
URLリンク(mizupc8.bio.mie-u.ac.jp)
などがあった。
どうも、予約にすると、いろいろ面倒なことがあるみたいだ。
予約から ethernet を取ったらうまくいった。
調べたりない自分もアレだが、サポセンもなんだかなぁ。
パケットひろえっていっても、ポートミラリングのハブなんかないよ。
522:anonymous
15/04/08 17:21:24.79 .net
lan port-mirroring lan1コマンドでLAN1ならポートミラーリング出来るよ
523:anonymous@ngn-west-202-025-151-153.enjoy.ne.jp
15/04/09 00:52:56.20 .net
メイン回線の障害時に、予備回線としてモバイル回線を考えてみたいんだが
今だと定額契約しかないのかな?
予備用だから通常月は0円はないよね?
それと切り替わったときにメール通知は出来るかな?
524:anonymous
15/04/09 01:38:53.37 .net
>>512
従量制??
525:hage
15/04/09 06:59:48.33 .net
>>512
つ プリペイド
526:名無し
15/04/09 08:55:54.72 .net
>>510
業務用スレで、パケットキャプチャがハードルが高いとか言ってる方が馬鹿。
527:anonymous
15/04/09 13:15:39.90 .net
ヤマハのルーターならpacketdumpコマンドで簡単に取れるだろう
528:onanymous
15/04/09 19:05:49.28 .net
>>516
ミラーポート作って、wiresharkで拾った方が俺は楽かな
529:anonymous
15/04/09 23:23:45.00 .net
ミラーポートにしても、たしか取りこぼしがあるんでしょ。
やっぱり、ダムハブじゃなきゃ。
あるいは、メディア変換して光スプリッタか?
530:anonymous
15/04/09 23:27:04.06 .net
>>518
ギガのマルチポートリピータはないでしょ
531:anonymous@p6062-ipngn100105yosemiya.okinawa.ocn.ne.jp
15/04/10 01:38:11.37 .net
中途半端にGUI実装するぐらいなら機能自体なくして欲しい�
532:增B 初めてYAMAHA製品構築したけどドキュメントが糞すぎる。
533:anonymous
15/04/10 08:49:07.01 .net
>>519
URLリンク(www.planex.co.jp)
534:anonymous
15/04/10 09:10:38.87 .net
>>521
そりゃマルチポートリピータっぽく動かしてるスイッチだろ
全ポートフラッディング動作を常にさせてるだけ
535:anonymous
15/04/10 13:42:17.45 .net
少なくてもDHCP要求ぐらいの調査ならpacketdumpコマンドで十分だわ
536:anonymous
15/04/10 14:20:17.44 .net
>>522
用途としては足るのかと思ったのだけど俺理解足りてない?言葉の定義の話?
537:anonymous
15/04/10 15:46:06.51 .net
>>524
用途として足るかは場合による。
>>518みたいにパケットの取りこぼしを心配してる場合、>>521は駄目だよ。
538:anonymous
15/04/10 18:06:23.49 .net
そもそもプラネックソなんて入れたく無い
539:anonymous@ab033035.dynamic.ppp.asahi-net.or.jp
15/04/10 20:29:15.38 .net
VPNについて教えてください
VPNを張って相手のルータまではpingが届きますが、
相手のルータ内のLANのマシンにはpingが届きません。
yamahaの構築の例サイトを見ましたが特に変な設定はないと思います
逆に必要な設定があるのかな?とおもいますが、
なにが足りないのでしょうか?
540:anonymous
15/04/10 20:48:13.25 .net
>>527
どんな構成でどんな設定をしているかわからないけど
ルーティングの設定はちゃんとできてるの?
541:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/04/10 21:25:32.03 .net
> なにが足りないのでしょうか?
「VPN」と「ping」だけじゃ全く質問の情報が足りてない。
たぶん業務用ルーター使うには絶望的に知識が足りてない。
と思う。残念ながら。
取り敢えずネットワークの入門書一冊読んでみれば
質問するのに必要な情報くらいは分かるようになるのでは。
542:あ
15/04/10 21:52:27.07 .net
>>527
PCにPing飛ばしても、設定によっては帰ってこない。複合機やサーバにPingしてみるべし。
543:519
15/04/10 22:03:59.41 .net
みなさまありがとうございます
ご指摘のとおり業務ルータは素人で勉強をかねてVPNを構築してます
機種はともに中古のRTX1100です
ルータ1 192.168.10.0/24 //事務所
ルータ2 192.168.11.0/24 //自宅(今居る場所)
が、私の環境です。
>>552さんの指摘通りでした
たとえば、ルータ2から、
192.168.10.240 (PC1)にはpingが届きません。
192.168.10.20 (メルコのルータ)にも届きません。
でも
192.168.10.231 (PC2)にはpingが届きました。
PCのIISにもアクセスできWEBの閲覧もできました。
ただし、ルータ1からだと全部届きます。
これはなぜでしょうか?
特になにか設定してるわけではないのですが、
届かせるためにはどのようなことをすべきなのでしょうか?
544:onaymous
15/04/10 22:09:56.95 .net
ここは業務スレだから、別のスレ行った方が良いと思うの
俺は優しいけど、他の連中は殺伐とした玄人気取りの糞野郎だから
相手にしてくれないんだよ、困ったファッキンディック共だよ
YAMAHAヤマハブロードバンドルーター
スレリンク(hard板)
545:anonymous
15/04/10 22:12:08.77 .net
>>531
まず、PC1でファイアウォールが動いてるってことはないよね?
あと、メルコのルータは何やってるの?インターネットと接続されてるの?
PC1のデフォルトゲートウェイがメルコのルータに向いてる場合
メルコのルータに192.168.11.0/24宛のルーティングを設定してなきゃ通信できないよ
もう少し情報がないと何ともだけど
546:玄人
15/04/10 22:15:38.86 .net
エスパーじゃねぇんだから
そんな断片的な情報で適切なアドバイス出来るわけねぇだろ
もっと細かい情報よこすか、勉強して出直して来い
そんなことより、酒もってこい
547:anonymous
15/04/10 22:17:15.91 .net
どうでも良いけどメルコって名称を久しぶりに聞いたなw
548:519
15/04/10 22:26:03.18 .net
>>533
メルコ(今はバッファーローですねいつの間に・・)は
今まで使ってたルータで、ネットにつながっています。
単にセッション2個まで追加料金ないので接続してみました
仰るとおりGWはメルコの場合、自身のやつを使うと
192.168.10.0/24にping返せるわけないですね・・・
PC1のGWはRTX1100からDHCPでIP割り当ててますので、
デフォルトゲートウェイはRTX1100になってるはずです
FWは切ってるはずですが、今自宅なのでわからないです。
リモートデスクトップもアクセスできないので
明日事務所行ってみてみます
ありがとうございました
549:519
15/04/10 22:28:06.91 .net
訂正
>199.168.10.0/24にping返せるわけないですね・・・
192.168.11.0/24にping返せるわけないですね・・・
でした
550:anonymous
15/04/10 23:54:20.75 .net
PC2にリモートで入ってそこからPC1にリモートで入るとか
551:anonymous
15/04/11 22:32:58.78 .net
>>532アドバイスが華麗にスルーされ、
反応したのが>>534だけという、殺伐としたインターネッツですね
552:anonymous
15/04/12 16:41:49.51 .net
(´・ω・`)ip lan1 proxyarp on
これ入ってないとVPN先のルーター配下のクライアントにアクセスできないよ。
入ってたらゲートウェイの設定とかじゃない?(適当)
553:anonymous
15/04/12 17:09:15.25 .net
>>540
>>527の話ならRTX1100間でトンネル張って
セグメントの異なるネットワーク間で通信をしているだけなので
proxyarpは不要
あと自宅ルータ(192.168.11.xx/24)と事務所PC2(192.168.10.231/24)で通信できているから
ルーティングも問題ない。
多分RTXの問題ではないと思われる。
554:anonymous
15/04/12 18:18:56.64 .net
それ入ってると違うネットワーク宛のARPをルーターが代理応答するんだよ
デフォルトゲートウェイがルーターだと不要だけど違うと必要な感じ
555:anonymous
15/04/12 18:28:59.39 .net
違うな
デフォルトゲートウェイが設定してない端末からのARP要求とか
/24じゃなくて/16とか設定している端末からのARP要求に応答する場合に必要なのかな
556:522
15/04/12 18:37:45.85 .net
端末側の設定やっちゅうてるやろ
557:anonymous
15/04/13 01:30:15.94 .net
ipv6でNGN折返しでVPN組むときにipsecとか暗号化した方がいいですか?
NGNってデータ傍受される可能性ある?
558:anonymous
15/04/13 02:29:18.12 .net
NTT設備の物理セキュリティ次第
559:.
15/04/13 23:21:27.48 .net
>>545
エシュロンには逆らえない
キャリアの通信設備は、巨大な権力に筒抜けと思って差し支えない
ipsecにしたところで一緒
いたづら目的の傍受であれば、無いと思って差し支えない
560:anonymous
15/04/13 23:25:24.58 .net
>>547
IPSECならどうやって解読するの?
561:anonymous@FL1-111-168-98-162.kgw.mesh.ad.jp
15/04/14 00:38:28.05 .net
>>548
グリッドコンピューターで解析可能
基本的にペンタゴンが暗号解読出来ない物は全てNG
PGPが暗号強度を落としのはペンタゴンが解読出来ないから
横槍が入った
911以降から更に厳しくなり地球上の暗号は全て解読可能になった
今はエシュロンは運営は縮小 別の機関が受け継いで
更にプライバシーは皆無に
562:anonymous
15/04/14 08:48:01.30 .net
>>549
なんとも壮大な話だなww
エシュロンに�
563:崇ョされるのが抗いようがないのであれば その辺は考慮に入れなくても良いのでは?
564:anonymous
15/04/14 11:14:34.91 .net
何故にエシュロンの話が出てくるんだ??
そこら辺の中小企業が国家機密でも扱ってるのか?
565:*
15/04/14 20:45:18.10 .net
>>551
傍受の「可能性」に関して雑談してるからね
価値については論じてないし、ネットで議論できないでしょ
零細企業でも重要なデータはあるし
566:anonymous
15/04/14 21:15:04.04 .net
可能性についてはエシュロンのスペックが公開されてないし
キャリアの設備内に傍受装置が仕込まれてる可能性は低いと思うがね
さすがに倍のデータ流れたら気づくでしょ
特定の企業狙ってキャリアの設備に忍び込む事が可能だとしたら
ipsecで暗号化してるのは有効だと思うけどね
もちろん利用する鍵の強度にもよるけど
567:anonymous@195.252.149.210.rev.vmobile.jp
15/04/15 07:56:07.52 .net
PFSのオプションって気休め?
568:anonymous
15/04/15 10:32:23.78 .net
>>549
じゃあ、オープンソースで、
学問の自由によって独自に研究して、横槍の入れさせない暗号方法を実現すればいいではないか。
それとも、膨大な税金を投入しなければ、新しい暗号方法は生まれないの?
569:anonymous
15/04/15 10:56:01.36 .net
>>555
アメリカは暗号は武器と認識だからオープンで製作しても
横槍が入る
エシュロンはキーワード検索 暗号検索の特殊なアルゴリズムで
世界を傍受してる
知ってる人も多いと思うけど日本の北陸にエシュロンがある
あと有名な話はビンラディンがPGPで911の計画を
してる事がペンタゴンは把握してたが現実は起きないと
職務怠慢して現実の起きた
570:anonymous
15/04/15 11:29:12.28 .net
アメリカ以外の国が開発すればよくね?
素因数分解得意な方の量子コンピューターでもなければ鍵長増やせば解くのに時間かかるとおもうけどな
リソースをその暗号解読にだけ割り当ててるだけじゃないし
571:anonymous
15/04/15 12:12:53.07 .net
平和ボケしてじゃね?
アメリカが各国に何人スパイを潜ませてるの
知らないじゃね?
板違いだからこの辺りで止めるけど
572:anonymous
15/04/15 14:18:48.28 .net
そんなにエシュロンが万能ならある意味、世の中一方的な平和になってるわ
573:anonymous
15/04/15 20:25:32.20 .net
(´・ω・)そんなことよりもっと庶民的な話しようぜ。エシュロンとか気にしたらしょうがない。
LUAつかってるひとっていない?
情報があんまりなくて使おうと思ったときに困るんだよなー。
574:/
15/04/15 20:54:55.60 .net
YAMAHAのサイトにある奴なら朴って使うけど
0から書けないんだよな
取っつきにくい
575:anonymous
15/04/16 12:22:01.78 .net
ときどきIPアドレスが変わるサーバー(DDNS使用)へ接続を許可するフィルターを
定期的に更新するのに使っていた。
linuxボックスに変えたので今は使ってないけど。
576:anonymous
15/04/16 15:06:06.42 .net
ひかり電話なしで、ipv6オプション申し込んで、開通してるはずなんだけど
うまくいかない
何を見落としてるんだろう
#show config |grep ipv6
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
# show ipv6 address lan1
LAN1 scope-id 1 [down]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet
グローバル 123456789101112::1/64 (tentative) (lifetime: 604800/2592000)
577:anonymous
15/04/16 23:33:51.61 .net
>>563
まず、�
578:スがうまくいかないの?
579:anonymous
15/04/17 07:56:01.98 .net
>>564
拠点間通信なんだけど
ごめん・・・ケーブル刺すの忘れてた
書き込んだ後に気づいた
580:anonymous
15/04/17 09:22:39.42 .net
あるあるw
581:anonymous@IID1hNt
15/04/17 12:35:30.36 .net
>>563
パイプ使えるのか!
知らなかった
582:anonymous
15/04/17 13:28:18.49 .net
パイプのあとgrep -vつかえるのは確認したけど、ほかなんか使えるのかな。
583:ANONYMOUS
15/04/17 15:03:22.67 .net
>>565
RTX同士なら、over IPv6 で、IPsecトンネル簡単に張れるよね。
でも、RTXと、LibreSWANなどと、over IPv6でトンネルをつなごうとしたけど、だめだったわ。
584:anonymous
15/04/17 18:46:21.04 .net
>>567-568
おれも知らなかった。パイプもgrepも。
けっこう古い機種./revでも使えたんだな・・・知らなかった。さんきゅ
585:555
15/04/17 21:43:05.51 .net
>>569
いや、ipv6オプションの申込みがネックだけど
新規なら、特に悩む事ないわー
(ケーブル差し忘れの件は、もう忘れた)
586:anonymous
15/04/18 20:18:44.65 .net
lua色々できて面白そうだな
今度中古でSRT100買うからちょっと試してみるわ
587:anonymous
15/04/19 00:26:58.14 .net
SRT?
安いの?
588:anonymous
15/04/19 01:03:23.36 .net
>>573
オクなら3千円弱位じゃね?
589:anonymous@124.net059086159.t-com.ne.jp
15/04/19 16:07:58.17 .net
>>571
サービス情報サイトに接続するのが第一関門だったな
意地でもRTX通してみせる!ってことで半日消費したっけ
※開通のお知らせ再発行待ちを含みません
590:-
15/04/19 18:45:39.67 .net
>>575
拠点間だと、現地作業が最難関
NTTに頼めば2000円だけど、なんだか払いたくない
でも移動費考えると、それだけでは行けない
591:anonymous@124.net059086159.t-com.ne.jp
15/04/19 20:34:45.48 .net
>>576
そうそれ
契約料800円ぐらいならいいって思うし1万ぐらいするなら行くか経費処理するんだが
新しい東日本の拠点はデフォで有効だからラッキー
592:anonymous
15/04/20 02:31:54.14 .net
>>576
ああ、それ、VPN張って、対向のIPv6をこちら側へ引っ張り込んでから、
現地へいかずに作業できたぞ。
593:24135
15/04/20 08:01:28.52 .net
>>578
こっちは万一ルータが落ちてもいいときにリモートデスクトップでやった。
フレッツスクエアにつながるConfig入れて
IDとパスワード要求するならどこでもできるようにしておけや
594:anonymous
15/04/20 08:47:24.13 .net
インターネットにもつなげてるならDDNSとSSHでなんとかならね?
595:anonymous
15/04/20 21:01:24.54 .net
>>580
そんな何処からでも自由に入れるほどザルじゃないな
596:anonymous
15/04/21 09:09:07.56 .net
>>581
そりゃザルな運用してればセキュリティリスクにはなるだろうな
597:foo
15/04/21 09:26:30.82 .net
nexus.officeapps.live.comは何のアプリが接続しているのでしょうか?
↓がRT57iのログにちょくちょく出現しているのですが・・・
IP Commencing: UDP 192.168.0.2:61053 > 8.8.8.8:53 (DNS Query [nexus.officeapps.live.com])
598:anonymous
15/04/21 12:50:05.41 .net
>>583
URLリンク(support.microsoft.com)
599:foo
15/04/21 14:15:38.73 .net
>>584
有難うございました。
ip filter等で禁止することできますか?
600:anonymous
15/04/21 15:42:40.37 .net
ドメインでフィルターする事は出来ないのでそのドメインが使うIPアドレス群をフィルターするしかないですね
601:onanymous
15/04/21 19:21:02.75 .net
端末が限定されるなら、RTで何とかしようとしないで、hostsで落としちゃえばいい気もする
602:yamaha
15/04/21 22:16:53.42 .net
>>406,437 の不具合はもろに今回のRTX1210のファームウェア更新の修正対象だったってことか
603:foo
15/04/22 11:27:59.12 .net
>>587
ip host nexus.officeapps.live.com 1.1.1.1
ip filter 9999 reject * 1.1.1.1 * *
こんな感じでしょうか?
604:hage
15/04/22 11:46:31.68 .net
ルーターがリカーシブやってる前提だけど
dns static ~で静的に127.0.0.1あたりに振り向けるように定義しちゃうとか
605:anonymous
15/04/22 16:53:27.45 .net
拠点の増設で、RTX1200か、RTX1210の購入を考えています。
値段もあまり変わらないですよね。
どっちがいいんだろう。
今までは、RTX1200を3台ほどつかってVPNで結んでいます。
RTX1210は、GUIで設定できるように便宜を図っているらしいですが、
自分は全部コマンドで設定できるし、GUI機能が何かルーターのメイン機能の不具合を招くのではないかと、
心配して、RTX1200がいいのかななどと考えて、迷っています。
なにか、アドバイスお願いします。
606:anonymous
15/04/22 17:10:13.44 .net
>>591
CUIで操作出来るなら1210を選ばない手はないな
GUIは見える化、つまりCUIの補助と思うと気が楽になるよ
1210はショートパケットがアホみたいに早いから
小規模なVPNのセンタールータにもなる
607:anonymous@111.net059086156.t-com.ne.jp
15/04/22 18:25:27.91 .net
>>592
違いを試してみたいんだよな
torrentでも落ちなくなったかなあ?
608:anonymous
15/04/22 18:34:09.47 .net
>>592
ショートパケットが早いのは魅力的ですね。
ただ、この前ファームアップで不具合を解消したみたいですが、
新しいものってちょっと心配ですよね。
その不具合って結局、なんだったんですか。
ルーターの根幹を揺るがす問題だった?
609:anonymous
15/04/22 19:19:05.35 .net
>>593
トレントは使ってないけどVoIP環境でも
名器1500より安定してる気がする
>>594
SCSKのセミナー資料では1500の2倍超のppsになってる
普通に拠点間VPNに使う分には問題無いバグだと思うよ
詳しく知りたいならリリースノートを見て
610:anonymous
15/04/22 19:38:03.18 .net
IPマスカレードが多いけどIPsecのバグ修正もあるから注意
611:anonymous
15/04/23 00:32:47.89 .net
>>595
普通にって、どの程度なんだろう。
RTX1200と、LibreSWANで、IPsecトンネルをつないでいるんだけど、できなくなったら怖い!
躊躇するなあ。
>>596
大切な機能にバグがあるとは。。。
やっぱり、RTX1200の中古を買おうかな。
612:anonymous
15/04/23 08:36:31.41 .net
本来は、センターに1210入れて
玉突きで増設拠点に1200押し出せばいいんだけど、不安なら増設拠点に1210入れればいいんじゃない
何件か客に入れたけど、トラブル起きてないよ
613:アナニー
15/04/23 10:21:42.63 .net
>>597
SCSKのセミナーは聞いたけど、こういう実体験の話がもっとほしいな
本題とは関係ないけど、無線APのチャンネルは、混線してるとこなら同じの振った方が調停がかかるからまだマシってのは知らなかった
614:anonymous
15/04/23 14:44:10.53 .net
>>599
へーそうなんだ
余計に混線することになるかと思って、なんとかチャンネルをずらしていたわ。
615:anonymous
15/04/23 14:45:47.22 .net
>>588
まあそのお客さんの使い方によるからなあ
お客によっては、バグの餌食にされるかもしれない
616:anonymous
15/04/23 15:14:04.6
617:9 ID:???.net
618:アナニー
15/04/23 17:40:21.19 .net
>>600
まあ、5Ch以上開ける余裕があればそれでいいんだけどね
とりあえず不思議な切断とかは防げるらしい
619:anonymous
15/04/24 17:33:36.52 .net
RTX1210で「Rebooted by Data storage [load](2)」って理由で何度かリブート
してるが、ウチだけかな?
先日出たばっかりの最新のRev.14.01.07入れてみたが、またリブートした…
620:anonymous
15/04/25 00:31:02.09 .net
>>604
リブートはかんべんしてほしい。
ハードウェアの不具合?
ファームウェアの不具合?
不安定そうだなあ。
621:anonymous
15/04/25 00:32:03.46 .net
>>604
Data storage って、何処だろう。
622:hoge
15/04/25 00:35:51.30 .net
USBポートやSDカードかな??
623:あのにます
15/04/25 07:40:00.67 .net
>>604
そしてそういうときは直前ログか無かったりな
624:anonymous
15/04/25 10:20:57.39 .net
>>604
サポートに問い合わせろ
625:596
15/04/25 13:19:45.94 .net
>>607
USB, miniSDカードスロットが空きでもリブートしたんで、たぶん違うかも?
>>608
miniSDカードにLog取っているはずだが、直前のが残っているか・・・
週明けでないと確認できない
>>609
Techinfo付きで問い合わせしてみる
626:RTX1210
15/04/25 20:02:59.33 .net
RTX1210のファームをRev.14.01.07にアップする前は、下記サイトで「メインページ」をクリックしたら
1分ほど待たされてエラーになることが多かったのが、全くなくなった。こんなこともあるんだね。
URLリンク(www.usskyushu.com)
627:anonymous
15/04/25 23:15:10.75 .net
>>611
すてま?
628:anonymous
15/04/25 23:22:02.99 .net
IPマスカレード関係のバグ修正が効いてるんだろう
629:anony
15/04/27 09:49:00.85 .net
受信オーバーフローがカウントされる原因ってなんだろなあ
LAN1がたまにちょっとずつ増えていく
630:anonymous
15/04/27 10:17:34.12 .net
>>614
とりあえずLAN1のバッファを増やしたら?
631:anony
15/04/27 10:40:53.48 .net
>>615
パケットバッファのパラメータって調整できるんだね
ためしてみる、ありがとう
632:a
15/04/27 22:01:03.87 .net
RTX1210で、ダッシュボードにLAN2のエラーカウンタがカウントアップしていますというエラーが出て、
インターフェース情報のLAN2をマウスオーバーしたら「受信オーバーフロー:76」って出てたんですが、
これって何ですか。606さんと同じでしょうか。
LAN2のバッファを増やすって具体的にはどんなコマンドですか?
633:system packet-buffer group parameter=value [parameter=value ...]
15/04/28 17:08:25.28 .net
なぜマニュアルを読まないんだ
634:anonymous
15/04/28 23:54:45.42 .net
>>618
名前欄は心の裏を表しているということだね
635:4.69
15/04/29 09:29:15.02 .net
ツンデレか。
636:cold start
15/04/29 22:24:45.14 .net
べ、別にあんたなんか現場でハマちゃったって、気にならないんだからね!
637:anonymous
15/04/30 01:00:40.94 .net
>>621
裏の顔コワ!
638:rtx1200予備買った
15/04/30 03:33:45.12 .net
>>620
4.69って?
639:https://www.google.co.jp/?q=system+packet-buffer
15/04/30 06:57:25.65 .net
>>623
だからマニュアルぐらい見ろっつてんだろ。
もしくはggrks
640:anonymous
15/04/30 10:35:17.20 .net
>>623
今はやりのバズーカだろ
641:an
15/04/30 11:45:49.38 .net
>>623
時計の文字盤を見ろ。目盛がボタンになっている。
4 6 9 の順に押すんだ。すると文字盤が開いて中にRTXのコマンドリファレンスが入っている。
もし、無ければ、ここに同じものがある。
URLリンク(www.rtpro.yamaha.co.jp)
642:うまいね
15/04/30 16:18:48.23 .net
>>624>>626
まさか、マニュアル、ぐぐれ、的なことだとは思わなかった。
>>625的な話題かと思っていたわ。
納得しました。
643:onanymous
15/04/30 19:25:29.03 .net
雑談で盛り上がってるなw
644:ANONYMOUS
15/05/04 23:55:49.34 .net
メールリングリストの、ftpについて質問している人へ
FTPであろうが、ICMPであろうが、IPSECトンネルは上位プロトコルの内容は問わないと思うんです。
だから、PINGを長時間かけてみて、トンネルの状態を探ったほうがいいかも。
そうしたら、IPSECトンネルのベースの通信(ISP経由)が疑えるかもしれないね。
ISPがこけているだけだったり。
645:doremi
15/05/04 23:58:43.97 .net
って言うか、wireshark でキャプチャとかしないのかな??
646:..
15/05/05 11:40:04.99 .net
よく出る言葉
・マニュアルは読んだのか?
・logは見たのか?
・config見せろ
・今日はどんなパンツはいてるの?
・パケットキャプチャはしたのか?
・わからないなら、質問するな
647:ona
15/05/09 16:16:26.44 RDyvr/ef.net
RTX1210とAWSをVPNで繋ぐのに苦労してます。ちょっとお助けください。
AWS側はステータスUPとなっています。
RTXでshow ipsec saするとこんな感じ。
# show ipsec sa
Total: isakmp:2 send:2 recv:2
sa sgw isakmp connection dir life[s] remote-id
----------------------------------------------------------------------------
5 1 6 tun[0001]esp send 2166 123.456.789.10
6 1 - isakmp - 10828 123.456.789.10
7 2 - isakmp - 11086 123.456.789.10
8 1 6 tun[0001]esp recv 2166 123.456.789.10
9 2 7 tun[0002]esp send 2424 123.456.789.10
10 2 7 tun[0002]esp recv 2424 123.456.789.10
SAが表示されないです。
何かが足りないと思うのですが、RTXの仕様をあまりわかっていないのと、
そもそもネットワーク屋さんでないのでちょっと苦戦中です。
tunnelにもnat入れてあげないとダメですかね?
AWS側のルーティングテーブルは、RTX側のプライベートIPに対してVGW指定ではダメですか?
648:anonymous
15/05/10 00:45:48.15 .net
>>632
>tun[0001]
>tun[0002]
これらは、当該のAWSとは関係ないんですか?
123.456.789.10 は、AWS?
SAがなければ、接続に失敗しています。
649:ona
15/05/10 10:02:15.89 .net
>>633
123.456.789.10 は、AWSです。
VPNは確立出来ていないですね。
phase1は成功しているけど、phase2でこけてるってことですかね?
ってことはipsec ikeの設定がどこかでミスってるか不足しているということでしょうか。。
650:-
15/05/10 10:21:27.73 .net
configとパンツを見せてほしいな
651:アナニー
15/05/10 10:35:33.24 .net
Configってパンツ見せるの以上に恥ずかしいよね
652:ona
15/05/10 10:45:13.44 .net
パンツだけでいいですか?w
とりあえずppとtunnelのところをば。。
〜〜〜
ip route default gateway pp 1
ip lan1 address 192.168.0.254/24
witch control use lan1 on
switch control use lan2 on
switch control use lan3 on
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname xxx xxx
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp t
653:ype none ip pp secure filter in (デフォ) ip pp secure filter out (デフォ) ip pp nat descriptor 1000 pp enable 1 ///続く///
654:ona
15/05/10 10:54:11.83 .net
tunnel select 1
ipsec tunnel 201
ipsec sa policy 201 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 10 3
ipsec ike local address 1 192.168.0.254
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (ぷりしぇあーどきー)
ipsec ike remote address 1 123.456.79.10
ipsec tunnel outer df-bit clear
ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
ip tunnel remote address xxx.xxx.xxx.xx(AWS)
ip tunnel tcp mss limit 1387
tunnel enable 1
tunnel 2も同じ感じです。キーとAWS側のIPが違うだけ。
///続く///
655:ona
15/05/10 10:55:20.39 .net
natは以下のとおり。
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500
nat descriptor masquerade static 1000 2 192.168.0.254 esp
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500
他に必要なconfigありますか?
IPアドレスは実際と変えてます。あとはfilterはデフォのままです。
ipsec auto refresh onにしてます。bgpも設定してて、多分OKなはず。
656:anonymous
15/05/10 16:15:16.73 .net
MASQUERADE設定は問題ないようだね。500,ESP.4500は、lan1へまわされる。
ip pp secure filter in (デフォ) がきになった。
で、このipsecトンネルは何を参考にされたんですか?
ここですか?
URLリンク(www.rtpro.yamaha.co.jp)
657:ona
15/05/10 17:57:37.56 .net
そこ含めて、いろいろなサイトを参考にしてみました。
URLリンク(blog.rakugaki-box.net)
URLリンク(d.hatena.ne.jp)
URLリンク(www.rtpro.yamaha.co.jp)
658:ona
15/05/10 18:00:16.73 .net
思い切っていったんフィルターを全部消してみましょうか。。。
SSGとか入れたいなぁ
ここも参考にしました。みんな似たり寄ったりですけどね
URLリンク(www.tama200x.com)
659:ona
15/05/10 18:06:39.26 .net
で、pp select 1でfilter外してみましたけど状況変わらずです。。。
660:anonymous
15/05/10 18:34:26.18 .net
ipsec ike remote address 1 123.456.79.10
このアドレスあってるの?
661:ona
15/05/10 19:07:10.97 .net
AWSからDLした設定ファイルに記載されているIPアドレスをコピペしてますので間違いはないかと。
目視でもconsoleで確認し、同一IPアドレスとなっています。
ここに貼り付けたのは仮のものです。
662:anonymous
15/05/10 19:17:08.28 .net
じゃぁRTX1210のファームウェアが最新ならここで答えられそうなことない気がする
マスク部分含めてYAMAHAのサポートに投げたほうが解決早そう
663:ona
15/05/10 20:00:07.80 .net
ありがとうございます。
すでにtechinfo投げているので回答待ちです。
解決したらご報告にあがりますです。
664:anonymous
15/05/11 01:14:34.28 .net
IPsecの方言やめてほしいですよね
665:anonymous
15/05/11 07:46:26.42 .net
方言っていってもencapsulation(スペルあってるかな)するかしないかぐらい?
666:ANONYMOUS
15/05/11 12:12:02.70 .net
>>649
すくなくとも、>>638のIPsecコンフィグにあるような、次の文は、
わたしのところにはないぞ。
ちなみに、LibreSWAN-RTX1200
ipsec tunnel outer df-bit clear
ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
ip tunnel remote address xxx.xxx.xxx.xx(AWS)
667:ona
15/05/11 12:55:30.75 .net
>>650
> ipsec tunnel outer df-bit clear
まぁこれはなくても、必要ならclearの設定が強制される仕様みたいなので。
> ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
> ip tunnel remote address xxx.xxx.xxx.xx(AWS)
これは何の疑問も持たずに、AWSからDLしたファイルからコピペしてます。
tunnelインターフェースのIPアドレスってことは、RTXのGlobal IPアドレスであるべきですかね?
RTX1200になくて1210にあるのか、ファームのバージョンによる違いなのかはわかりません。
ただこのIPアドレスが違うのであれば、AWSのconsole上でトンネルステータスがUPになることもないと思うのですよね・・・
668:ANONYMOUS
15/05/11 13:12:23.63 .net
>>651
おれはここのサイトをみたわけじゃないが、参考にしてみればどうだろう。(OpenSWAN系)(アマゾンは何をベースにしているんだろう)
URLリンク(www.compnet.jp)
URLリンク(www.shakke.com)
ipv6 over ipv6 というのもある。
URLリンク(takeda-h.hatenablog.com)
なにかわかったら、投稿してください。
669:ANONYMOUS
15/05/11 13:22:55.21 .net
>>632
show ipsec sa の結果を投稿してくれているけど、
自分のところでもやってみたら、それと同じような感じだったぞ。
RTXとアマゾンはしっかりとつながっているんでは?
ルーティングテーブルはRTX、アマゾン側にあるんだよね。
ip route 192.168.0.0/16 gateway tunnel 99
rtxだとこんな感じに↑(tunnel 99はipsecトンネル)
670:ona
15/05/11 13:47:07.26 .net
>>653
マジデスカ
SA表示されないとあかんってのを信じ切って、それ以上の確認を怠ってました。
なんて初歩的な・・・
ルーティングテーブルとフィルターをAWS側で見直してみます。
671:anonymous@49.125.214.202.rev.vmobile.jp
15/05/11 18:10:39.70 .net
>>651
ip tunnel addressがローカル側で
ip tunnel remote addressがAWS側じゃないの?
672:anonymous@49.125.214.202.rev.vmobile.jp
15/05/11 18:13:45.55 .net
書き忘れたけどBGPな
673:anonymous@pl129.nas812-1.p-tottori.nttpc.ne.jp
15/05/13 14:50:56.88 .net
xxx.xxx.xxx.xxxの80ポートに来たパケットを
192.168.0.2の8080ポートに転送したいのですが
下記のような感じでしたいのですがだめでした。
nat descriptor masquerade static 1 1 xxx.xxx.xxx.xxx=192.168.0.2 tcp 80=8080
こういうのを実現するにはどう書けばよいのでしょうか?
674:anonymous
15/05/13 16:28:27.65 .net
nat descriptor masquerade static 1 1 192.168.0.2 tcp 80=8080
675:anonymous
15/05/13 17:57:17.24 .net
>>658
ありがとうございます!
でもそれではうまく動かないみたいです。
676:anonymous
15/05/13 18:05:10.26 .net
フィルターで弾いてないか?
677:anonymous
15/05/13 19:51:22.43 .net
>>657
そもそも、そのNAT(1番)を、インターフェイスに掛けていないとか。
678:anonymous
15/05/14 08:49:44.50 .net
IPアドレスは固定で8個あります。
そのうちのひとつに対して80へ来たものを8080へ
転送したかったんですがRTX1000では不可能でしょうか。
679:anonymous
15/05/14 09:03:41.09 .net
可能
680:anonymous
15/05/14 09:35:47.10 .net
>>663
やりかたをぜひ!
681:anonymous
15/05/14 10:17:40.91 .net
そうか。サーバーにIPアドレスを2つ付けて
yyy.yyy.yyy.yyyだけポート変換をすればいいのかな。どうでしょう?
nat descriptor static 1 1 xxx.xxx.xxx.xxx=192.168.0.2 1
nat descriptor static 1 2 yyy.yyy.yyy.yyy=192.168.0.3 1
nat descriptor masquerade static 1 3 yyy.yyy.yyy.yyy tcp 80=8080
682:anonymous
15/05/14 10:33:39.66 .net
URLリンク(www.rtpro.yamaha.co.jp)
683:anonymous
15/05/14 10:43:01.94 .net
1つの鯖で2つのhttpdを動かすってことか?
684:anonymous
15/05/14 10:53:57.56 .net
>>667
サーバーはWindowsなんですがIISではポートを変えると
複数アプリケーションが起動できるのでそんな感じです。
つまり80と8080で別のアプリケーションを動かしていて
URLリンク(xxx.xxx.xxx.xxx)
URLリンク(yyy.yyy.yyy.yyy)
でアクセスしたいです。
685:anonymous
15/05/14 11:10:40.03 .net
そもそも
サーバーにIPアドレス2つ付けたなら
そのIPアドレスとポートで起動すればよいだけじゃね?
標準だと*:80でhttpd起動してるが
192.168.0.2:80
192.168.0.3:80
でIISを複数起動できるだろう
686:anonymous
15/05/14 11:55:29.19 .net
内側は1つのIPアドレスで外側は2つのIPアドレスってのは無理じゃないかな
外から内へ入ってくるパケットは何とかなるけど
内から外へ出ていくパケットはどっちのIPアドレスを付けるか判別する設定が無いと思う
687:anonymous
15/05/14 12:48:19.32 .net
みなさまありがとうございます。
なんとなくわかってきました!
688:anonymous
15/05/14 23:36:21.21 .net
iisは知らないがapacheならできる
689:anonymous
15/05/15 10:36:41.54 .net
IPアドレス2つ持たせて動きました。
ありがとうございました!
690:anonymous
15/05/15 19:08:53.43 .net
>>673
”レベルが一気に25まであがりました!
おめでとうございます。”
691:anonymous
15/05/20 14:20:41.01 .net
L2TP/IPsecをつかって、Windows 8.1からRTX1200に接続したいんですが、
もう少しのところでうまくいきません。
Windows 8.1とRTX1200の両方がLAN側にある場合は、問題なく接続できます。
しかし、Windows 8.1マシンをBBルーターを通して、インターネット側でRTX1200と接続させようとすると、
失敗します。
Windows 8.1には、エラー789:最初にネゴシエートするときに、セキュリティー層で処理エラーが検出されたため、
L2TP接続に失敗しました というエラーが表示されます。
RTX1200では、 [IKE] respond ISAKMP phase to ”Windows 8.1のグローバルIPv4” がログに残っています。(次の段階に進んでいない。)
AssumeUDPEncapsulationContextOnSendRule は、1と2を試しました。
何かご指摘いただきたいです。お願いします。
692:_
15/05/20 16:16:41.71 .net
他のPCではリモート接続できてるの?
実績がないなら、RTX側の設定が間違ってるのかな
BBルータはどうなってる?
693:anonymous
15/05/20 16:52:54.31 .net
状況的にNATトラバーサルな気がするがレジストリ変更した後にPC再起動はしているよね?
694:667
15/05/20 22:14:32.83 .net
>>677
再起動しています。
>>676
BBルータは、Android2.0?スマホのテザリングです。IIJをつかっています。NATが入っていて、プライベートIPv4を配布してくれます。
もちろん、インターネットにアクセス可能です。
IPadでも同様にだめです。
[IKE] respond ISAKMP phase to・・・から進まないです。
このことからRTX1200は応答しているようですが、それを相手側が受信できていない感じなのでしょうか。
ひとつわからないのは、
ipsec transport 1 101 udp 1701 です。
静的マスカレードでは、500と4500をRTX1200のローカルアドレスに通しています。
ここには、まだ1701は表れないんですよね。RTX内でIPsecカプセルが解けてからの話なんですよね。
1701に関する静的フィルタはどのインターフェイスに必要になってくるんでしょうか。
PPインターフェイスでは、相手先のグローバルアドレスについて全部パスさせるようにしています。
695:_
15/05/20 23:09:54.71 .net
Androidスマホ単体からはリモートアクセスは成功してるのかな?
切り分けしてみてはどうだろう
RTXの問題なのか
PCでの設定が問題なのか
windowsの問題なのか
696:667
15/05/20 23:20:43.57 .net
>>679
ありがとうございます。
いちど、コールドrtx1200にシンプルにした設定を書き込んで、試してみようと思います。
697:anonymous@s675234.xgsspn.imtp.tachikawa.spmode.ne.jp
15/05/21 16:04:03.13 5jarNxQB.net
rtx1000から複数台のPPTP接続によるVPNが必要になりました
公式を読むと静的マスカレードで1台にのみ設定できるとのことで、
その1台にルータを当ててやろうと考えています
[拠点]--(インターネット)--[rtx1000]--[ルータ(pptpクライアント)]--[PC複数台]
rtx1000からgreとtcp1723を静的にルータに流し、ルータをpptpクライアントとしますと、
PCから拠点へは普通のIPマスカレードで通信できるのでしょうか?
698:anonymous
15/05/21 17:01:37.13 .net
この場合PCのデフォルト経路がどこを向いているかによって変わってくるのかな
RTX1000に向いてるならRTX1000で拠点への経路をPPTPcへ向けてPPTPcでトンネルを
699:通るように設定が必要かな
700:anonymous@113x37x245x250.ap113.ftth.ucom.ne.jp
15/05/21 19:13:11.65 .net
質問です、現状2段構成で
ルータA(IPx8 Unnumbered) --- NAT --- (ローカルIP)ルータB
だったんですが、NATで相性でてルータBをNumbered(直接グローバルIP)にしようって話になったんですが
基本的に、この場合配線そのままで
1.ルータAのルータB用のNAT設定を無効
2.ルータBのローカルIPを、空いてるグローバルIPに変更
でOKですか?
+ルータBに各種フィルター設定(今はなんにもない)
701:675
15/05/21 19:19:42.00 .net
あぁ配線そのままはダメか・・・
HUBでルータAとルータBは並列ですね(ルータBではネット接続設定はしない)
ルータBのデフォルトゲートウェイをルータBのグローバルIPの先頭にかな
702:anonymous@s675234.xgsspn.imtp.tachikawa.spmode.ne.jp
15/05/21 20:04:43.23 5jarNxQB.net
>>682
ありがとうございます。
pcのデフォルトゲートウェイは追加するルータ、そこからRTX1000となる予定です。
インターネットには繋がない回線なので必要に応じてルール追加で対応します
703:anonymous@pl2518.nas81c.soka.nttpc.ne.jp
15/05/29 17:24:55.66 .net
FWX120をWebサーバの前に入れるBBルータの代わりにかったのですが
とりあえずプロバイダにつないで静的マスカレードを設定したところつながらない
サーバから見るとSYN_RECVになっている接続がちらほら
なんか引っかかっているかなと思ってDMZに設定してフィルター全OFFでも一緒でした
ヤマハに聞いてもそれでいけるはずと言っていたのですが他にチェック項目ありますか?
704:anonymous
15/05/29 17:52:53.43 .net
つながらないって何をどうしてどう判断したの?
705:anonymous
15/05/29 18:27:01.48 .net
>>686 この投稿は、FWX120の下位に接続したPCからの投稿ってことでいいのかい?
706:anonymous@caa1f331.tcat.ne.jp
15/05/29 21:26:45.99 .net
レスどうもです。
繋がらないというのは外からwebが見えないということです。タイムアウトになります。
内側のプライベートアドレスからはは遅いものの見えることはみえます。
この遅さがどうも悪さをしているのかなと勝手に思っています。が、一応サーバのほうも
ギガビットのカードのようなのです。ローカルでのPINGも問題ない速度でした。
サーバーは10年近く前のものですが...
コマンドでLANポートの速度を変更等してみましたけどダメでした。
Webサーバーの設定がどこかおかしい可能性もありますかね?
Webサーバーの再起動もしてみました。
もともとのブロードバンドルーターに繋ぎ変えた場合はWebサーバーを再起動しないと
うまく繋がらないようです。
んーこう書いていてWebサーバのDNSの設定等怪しい気がしてきました...
試せるのは来週ですが。
707:(*)
15/05/30 14:17:27.67 .net
接続はこうなの?
ONU──FWX120───webサーバ
└────PC
グローバルIPは払い出されてる?
ネットボランチDNS?
公開するための設定では何をしてるの?
708:anonymous
15/05/30 15:22:11.25 .net
エスパーしてやる
Webサーバ用のコンピュータのファイアウォールは切っていますか?
709:anonymous@p4356e5.sitmnt01.ap.so-net.ne.jp
15/05/30 18:59:34.47 .net
>>691
!
どうもです!
710:anonymous
15/05/30 21:48:09.96 .net
パラレルプロバイダでも使ってるのかお前
711:ospf
15/05/31 03:46:53.54 .net
>>689
エスパーすると、Clientのソースアドレスもnatしてしまってて、natされたプライベートアドレスの逆引きができずにタイムアウトしている
712:anonymous@KD182249245160.au-net.ne.jp
15/06/02 08:48:49.21 qobWEVvg.net
RTX1100でどうにかVPNできる様に�
713:ネったんだけど、トリガーメールによるIPアドレス通知ってのが上手くいかない・・・ http://www.mydns.jp/info20081219.html これに沿って設定してるんだけど、Can't connect server(49)みたいなエラーが出てる。 構成は、ONU-aterm900hw-RTX1100です。
714:anonymous
15/06/02 10:01:33.65 .net
メールサーバーのアドレスが違うかポート番号が違うか
715:anonymous@KD182249245134.au-net.ne.jp
15/06/02 14:20:04.33 .net
>>696
Windowsの電子メール設定から認証確認テストしたら、mydnsでのIPアドレスが更新される事は確認してます。
716:anonymous
15/06/02 17:44:45.85 .net
DNSサーバーの設定が出来ていないとか?
mail.mydns.jpの名前解決に失敗してる気がする
717:hoge
15/06/02 22:25:16.11 .net
mail.mydns.jp はIP引けるから、一時的に、gmail のアカウントを
作って、そっちに設定してみれば?
718:anonymous@KD182249245132.au-net.ne.jp
15/06/03 02:44:06.89 .net
>>698
pingは通ってます・・・
>>699
GUIから通知設定してもメール送信エラーになりますorz
719:hoge
15/06/03 03:14:29.04 .net
コマンドリファレンスは見た??
720:anonymous@KD182249245165.au-net.ne.jp
15/06/03 04:17:32.83 .net
>>701
一応、29. トリガによるメール通知機能を参照してます。
721:anon
15/06/03 12:01:37.04 .net
1回線1GIPで、L2TPを複数セグメントに対して張りたいんだけど
YAMAHAだと難しいかな?例えると、
拠点1:192.168.1.0/24
拠点2:10.10.10.0/24
拠点3:10.0.0.0/24
これらセグメントをレイヤ2で本社にも持ってきたい。
拠点側はGIPを持たない。
拠点側にはL2TP用にYAMAHAを1台新たに置く。
本社側YAMAHAの設定的に、複数セグメントの収容はできないっぽいんだけど
妙案ある方いたら教えてください。
722:anonymous@97.78.239.49.rev.vmobile.jp
15/06/03 12:38:25.78 .net
L2TPv3じゃダメ?
723:anonymous@y175126.ppp.asahi-net.or.jp
15/06/03 13:34:34.06 9+l9ne0O.net
RTX1100で2拠点間VPNを構築しています。
拠点AにUltraVNCサーバを構築してます。
拠点A内にあるクライアントからはUltraVNCサーバに接続できます。
ところが拠点Bから接続しようとすると、
ログイン画面は出ますが接続ができません。
拠点Bから拠点Aサーバへpingは通ります。
サーバの使用portはデフォルトの5900ですがtelnetで5900に接続はできます。
お手上げ状態ですたすけてください
724:695
15/06/03 13:37:14.94 .net
>>704
FWX120等のFW系機種のブリッジ機能なら、あるいはできるかもしれないっぽいですね。
実現できるならそちらを買い揃えるんですが、設定事例が見あたらないのと、
いまのところRTX1210等のルータ系しか手元になくて検証もできず…というところです。
725:anonymous
15/06/03 13:55:47.32 .net
>>703
半年くらい前にL2TPv3の設定をやって(1拠点だけ)、そのときの作業記録から
「RTX1200で使用できるブリッジは1つだけなのでL2レベルで接続できるセグメントは1つだけ」
というメモを発掘した。できないっぽいんだと思うよ。
L3ではダメなんか?拠点と本社でIPが被るのか?
726:695
15/06/03 14:36:29.97 .net
>>707
RTX1210にもブリッジ機能あったので手元で検証してて、
同じくbridgeが1本しか作れないからムリっていう結論に達したとこでした。
例に挙げた拠点側は、実のところ各々別個の顧客環境なので、
そちら側のネットワークはいじれないんですよね。
なのでL2レベルで繋がないとルーティング的に到達できない。
727:678
15/06/03 14:57:02.00 .net
結局元のルーターのLAN側アドレスの見間違えでした。
Webサーバの設定見て気付きましたorz
728:anonymous
15/06/03 16:08:54.16 .net
>>705
そのVNCサーバーはIPレベルで通信するのかな?
netbiosとかnetbeuiとかはover TCP/IPじゃないとダメじゃね?
729:anonymous
15/06/03 16:08:59.50 .net
>>708
思いつきだけですが、L3で拠点側のRTXでSNATしたらどうなんでしょ。
拠点側から本社側へ到達する必要はないし、
拠点側同士が接続できたら、それこそゲロマズですね。
730:anonymous@y175126.ppp.asahi-net.or.jp
15/06/03 17:12:33.17 .net
>>710
IPレベルだと思います
ちなみにフォルダの参照はできました。
ファイルの操作もできます
VNCのクライアントの動きとしてサーバからパスワードの要求がされ、
入力後認証されてパスワードが受け付けられた通信までは行えているのですが、
後はナシのつぶてです
ip filter 100 pass * * tcp 5900 5900
ip filter dynamic 1 * * filter 100
ipv6 lan2 secure filter out 3000 dynamic 1 100 101 102 103 104 105 106
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 1 100 101 102 103 104 105 106
こんな感じでダイナミックフィルタも両拠点に設定してみたのですが。。。
731:anonymous
15/06/03 17:13:15.54 .net
>>705
MTU下げてみるとか
732:anonymous
15/06/03 18:02:30.82 .net
>>712
VPN内の通信にppとかlan2のフィルターは関係ないよ
ppのフィルターがVPNを通すようになっていればOK
トンネルは特にフィルター無しでしょ
データ量が大きすぎてRTX1100のスループットだと性能限界でダメな可能性もあるね
733:695
15/06/03 18:39:00.75 .net
>>711
あー、なるほど確かに、できそうな気もしますね。
ちょっと時間取れ次第それで検証してみて、それでもダメなら
頼み込んで顧客側にルート書いてもらいます。
皆さんありがとうございました。
734:anonymous@97.78.239.49.rev.vmobile.jp
15/06/03 18:45:11.66 .net
>>708
検証もしてないから無理かもしれないけど
セグメント毎にトンネル作って
bridge member bridge1 lan1 tunnel1-tunnel3
みたく収容したらHUB見たくならないかな
無駄なパケット大量に複製するかもしれんが
735:anonymous@y175126.ppp.asahi-net.or.jp
15/06/03 18:46:37.12 .net
>>713
トンネルの設定で
ip tunnel tcp mss limit auto
とありました。
自分の理解ではこの設定でokのような気がしますが、
サーバのMTUも下げてみた方が良いのでしょうか?
>>714
リモートデスクトップでなら接続できるんですけどね・・・
都合上ultraVNCじゃなきゃだめなんですよね・・・
ultraVNCは接続時に品質落としてデータ量を変更できるのですが、
モデム通信レベル128kbit/sでもだめなので、スループットは大丈夫そうな気もします
736:anonymous
15/06/03 19:34:06.31 .net
ip tunnel mtu xxxx
で下げてみてはということ
737:anonymous@y175126.ppp.asahi-net.or.jp
15/06/03 21:01:15.93 .net
ohhhhhh!!!
>>718
感激しました!!
諦めかけてました
うまくいきました!
ip tunnel tcp mss limit auto
で最適なmtu値が設定されると思ってましたがうまくいってなく
教えていただいたmtuを分割されないMAX値の1252設定で動作しました。
なぜかよくわかりませんが明日調べてみます
みなさまありがとうございました
738:onanymous
15/06/03 21:43:52.79 .net
>>719
おう!またな!
739:anonymous
15/06/04 15:39:07.73 .net
>>719
RTX1200だけど、古いファームだとmtuの設定が効かないというバグがあった。
1100がどうかは知らないけど、いちおう確認しといたらどう。
740:anonymous
15/06/04 16:20:14.76 .net
RTXは、うるう秒で何か影響あるのだろうか。
741:anonymous
15/06/04 21:10:33.86 .net
何の影響もないし、定期的にntpdateしてたらずれも気にする必要ないと思う
742:名無しさん
15/06/05 00:14:17.01 .net
NVRなんだけど
自動でバックアップ経路に切替するにはどうしたら良いんだろう
RTXだと
仮に本店172.16.1.254とすると、二つトンネル張ると、こんな感じでしょ
ip route 172.16.1.254/16 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0
NVRはこの設定できないんだよね
lauで切り替えるとかしなきゃ駄目かな
あれは苦手だから嫌だな
743:anonymous@t048080.ppp.asahi-net.or.jp
15/06/07 16:57:08.82 .net
スレチだったらすみません。
192.168.100.2~31まではpp1 の静的IP(222.111.000.1)
192.168.100.32~60まではpp2 の動的IP(250.213.52.0~32)
192.168.100.64~101 までpp3 の静的IP(250.213.133.0~30)
192.168.100.102~254 までpp3の静的IP(250.213.133.31)
といった感じで同一ネットワーク内でマルチセッションを行いたいのですが、素人なものでどんな機能を使ってどういう設定をしたらいいのかが分からなくてこまってます。
あと、192.168.100.64のサーバーから192.168.100.32のメールサーバーへメールを送る方法等(DNS)
色々勉強したいのですが、お勧めのサイトや本等ありましたら教えていただけないでしょうか(´・ω・`)
744:anonymous
15/06/07 17:05:44.82 41Vf+iGX.net
>>725
rtproにあるフィルタ型ルーティングを参考にするといいよ
745:あのにます
15/06/07 17:51:31.24 .net
>>726 まさにこれです!ありがとうございます!
やだ///ホストでてたなんて恥ずかしい
natではまって2時間かかったOTLネットワーク難しいですね
746:anonymous
15/06/07 18:07:51.20 41Vf+iGX.net
>>727
ええんやで
747:anonymous@219.117.198.116.static.zoot.jp
15/06/08 00:37:48.55 .net
ここの人たち詳しそうなので質問
NGN網の折り返しを利用したVPNで、帯域制限てあるのかな?
ipsecでもipipでも200Mbpsあたりをウロウロ
ちなみに同一県内でpingは4ms前後
RTX1210とRTX810の対向です
スレチだったらスマソ
748:anon
15/06/08 03:55:43.16 .net
>>729
810の公称IPsecスループットは200Mbpsだから、その動きは正しいよ。
インフラの問題ではなく、機器の性能の限界。
最大スピード出したければ1210を対向で使わないと。
749:anonymous
15/06/08 04:17:53.70 .net
ipip接続なら出そうな気もするが
回線は光ネクストの1G?
750:anonymous
15/06/08 06:32:05.04 .net
>>729
ギガファミリースマートでのフレッツVPNワイドとか?
環境がわからんね。
751:anonymous
15/06/08 06:34:11.72 .net
>>724
何のバックアップかわからないけど、エスパーしてみる。
トンネルのバックアップならトンネルバックアップすればいいんでない?
752:アノニマウス
15/06/08 16:57:18.69 .net
>732
ギガスマ、ギガラインではフレッツVPNワイド利用できない
ちなギガスマ、ギガラインではプライオってのが利用可能
753:anonymous@213.208.138.210.rev.vmobile.jp
15/06/08 18:00:31.38 .net
サービスじゃなくてIPv6使ったVPNじゃないの?
754:721
15/06/08 19:21:47.65 .net
>>729です
みなさん親切ね、ありがとう
回線は、両方ともNTT西日本 光ネクスト隼です
V6オプション(IPv6)を使っています
ipsecならRTX810側の性能限界ですね
IPIPでも同じスループットなので回線の帯域制限かと思った
755:-
15/06/08 19:55:05.15 .net
ipipでも200M前後なの?
RTX1210しかやったこと無いから知らなかった
756:やま
15/06/09 05:00:18.20 .net
クライアントが50台前後の案件で
メインルーターにRTX1200
L3としてRTX1200の二台構成によくするんだけど、
これって無駄?
素直にBUFFALOのL3でも使った方がいいのかな。
757:*
15/06/09 07:36:45.95 .net
バッファローのL3SWは嫌だ・・・
営業がそれを提案したら殴ろうと決めて、辞表を持ち歩いてる
758:anonymous
15/06/09 08:09:39.26 .net
L3にルーターを使うのは無駄だろ
759:anonymous
15/06/09 08:12:34.33 TR
760:qEJtEi.net
761:anonymous
15/06/09 09:59:16.53 .net
ダメルコがL3なんか出してるのか。知らなかった。
使ってみよう…なんて気はさらさら起きないけど。
762:anonymous@i121-114-82-64.s41.a001.ap.plala.or.jp
15/06/09 10:24:57.77 .net
比較的小規模で
総合的な処理能力考えて間に合うならRTX1200も十分ありでしょ
牛使うならネットギア使うな
763:-
15/06/09 20:26:51.99 .net
>>743
ネットギア高くね?
URLリンク(www.netgear.jp)
定価58万・・・3掛けくらいで入ってくるの?
アライドのL3が20万以下で入ってくるんだから、それでいいじゃん
コマンドもciscoライクに変更されてるから、新人君でも取っつきやすくなったし
764:anonymous
15/06/09 21:37:36.98 .net
ciscoでいいじゃん
765:anonymous
15/06/09 21:57:33.33 .net
>>741
えっち・・・ぴー・・・
まぁ人それぞれだもんな
766:anonymous@105.78.239.49.rev.vmobile.jp
15/06/09 22:12:34.78 .net
>>745
信者uzeeeeeeeeeeeeee!!!
767:anonymous
15/06/09 22:42:55.28 .net
YAMAHAのルータを使いこなしてる人はciscoルータも扱えるイメージだな
768:anonymous@s1140197.xgsspn.imtp.tachikawa.spmode.ne.jp
15/06/09 22:52:19.01 .net
え?
769:anon
15/06/09 23:16:44.12 .net
単にVLAN分割して軽くルーティングするなら牛でもいい場合はある
が、ARPテーブルのバッファが極端に浅いので、
サブネット越えが普通にある環境ではARP溢れですぐお亡くなりになる
L3いれるような案件でアライドクラスのお金出せないってのは、私的にはあり得ないけどな。
770:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/06/09 23:48:31.48 .net
確かにw
牛印L3 SWでOKな案件なら
ルーターでもいいじゃん
て気がする
771:anonymous
15/06/09 23:55:34.83 .net
ヤマハでacl書ける機種ってある?
ステートフルなコンフィグの書き方覚えるとめんどくさくて仕方ない。
でもヤマハを使いたい
772:.....
15/06/10 00:06:32.60 .net
ヤマハならIPフィルターにシコシコ書くしかない
やって出来ないことは無いけど
一年後に追加・変更の依頼が来たとするじゃん?
自分で書いたんだけど、忘れてるだろ?
それを読み解くことから始めるんだぜ・・・
苦行にもほどがある
773:anonymous
15/06/10 00:32:58.02 .net
たぶんさんざん既出ネタだろうけど、YAMAHAは書式が冗長すぎ。
何かしようと思って設定する度に、必ず何かしらの行が足りなくて繋がらない。
ipsecとかね。
774:anonymous@s1140197.xgsspn.imtp.tachikawa.spmode.ne.jp
15/06/10 00:39:21.27 .net
Ciscoスイッチ> アライドスイッチ> YAMAHAルータ> Buffalo スイッチ
であってる?
775:anoyh
15/06/10 04:23:24.33 .net
なにが?
776:+
15/06/10 07:18:50.49 .net
値段のことなら、おおよそ合ってる
777:anonymous
15/06/10 08:08:52.06 .net
SWX2300たけぇ
778:anonymous
15/06/10 09:04:56.52 .net
処理が増えたときにソフトのルーターかハードのL3かって選択だと思う
実はL2インテリで問題ないとか?
SG300やM4100ならそんなに高くないと思うが…
779:anonymous
15/06/10 12:15:56.42 .net
確かに中200台くらいなら2960Xとかでも行けそうね
780:_
15/06/10 21:18:20.57 .net
SWX2300-24G 定価175,000円
WS-C2960S-F24TS-S 標準価格\194,000
もうちょっと何とかならないの?
781:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/06/10 21:24:06.57 .net
そーゆーのは
その値段で買う価値があると思う人たちだけが買うものだから
782:anonymous
15/06/10 22:27:04.23 .net
>>761
それ2960のほうはFastEtherのモデルじゃないか
783:anonymous
15/06/10 23:51:53.23 .net
定価で買う人間いるのか?学校納入業者?
784:any
15/06/11 08:13:04.52 .net
IOSがLAN Baseならコレでいいじゃん
URLリンク(www.amazon.co.jp)
業販だと初期も保守ももっと安いけど。
785:anonymous
15/06/11 08:51:09.00 .net
2960Sならたまにオークションで出る。
2960Gならいつも出てる。
786:アノニマウス
15/06/11 20:12:56.35 6X8XBGfy.net
そろそろ誘導しておくか
cisco好きな人はこちらへ
Ciscoのスレッド 0/9
スレリンク(network板)
787:hogehoge
15/06/11 20:54:26.49 .net
うーん・・・
SWX2300-24G 175,000円
CentreCOM GS916M V2 129,800円
バッファロー BS-G2116M 53800円
netgear GS716T 36,000円
788:anonymous
15/06/11 21:01:37.52 .net
ぶっちゃけ、どこのメーカも不良率同じぐらいだと思う。
タスキでもかけておいたほうがいいよ
789:anonymous@38.116.102.121.dy.bbexcite.jp
15/06/12 00:39:30.61 .net
そして1台こけたら残りが予期せぬ挙動を起こして…
790:.
15/06/12 08:34:04.04 .net
configを見てもわからず
悩みに悩んで、ふと机の下を見ると
誰かが勝手に追加したバッファロー無線ルータが
791:anonymous
15/06/12 19:59:07.65 .net
>>768
CentreCOM GS924M V2 はオークションでねらい目。
URLリンク(page17.auctions.yahoo.co.jp)
現行機種なのに1万出せば買える。
安けりゃ4000円で買える。
俺は平均5000円で6台買ったからもう教えてあげてもいい。
792:manager
15/06/12 20:15:52.93 .net
>>772
そんなバカな、5000円前後なんて、初代無印GS924Mじゃろ、
お主、だまされておるぞ。
…と思ったら、ほんまにV2じゃった。
793:deny
15/06/12 20:25:09.05 .net
スタックできないスイッチなんて
794:friend
15/06/12 20:30:09.59 .net
>>773
俺も驚いたよ
バッキャローのただのギガビット8ポートハブと変わらない値段なのだから
ファンつきだがC2960Sと比べてむちゃくちゃ静かだし、全部まともに動いた
795:anonymous
15/06/13 07:54:42.08 .net
Interopで聞いてきたがSWX2300のコマンド体系は
Ciscoライクになるらしいな
796:anonymous
15/06/13 09:33:49.68 LHsuYUg6.net
>>776
URLリンク(jp.yamaha.com)
>デファクトスタンダードのコマンド体系に準拠、どのような環境でも戸惑うことなく設定が可能(SWX2300)
これのことな。
797:anonymous
15/06/13 09:38:19.25 .net
どう考えてもそっちのが使いやすいから正解
そのままルータとかも全部Ciscoっぽくしちゃえ
798:anonymous
15/06/13 10:19:31.27 .net
長いことATコマンドとか使ってた人間なので、9600N81固定とか設定は階層でやるくせに
設定は流し込みがデフォだったり
初めて触ったときには異世界 というか原始的な感じで頭わりぃって思った(つか思ってる)わ。
799:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/06/13 11:34:28.16 .net
Dell PowerConnectも時々妙に安く出てくるよな。
2816を3個で6000円つーのを買ったことがある。
ファンレスなんで自宅で重宝してる。
800:anonymous
15/06/13 12:36:04.86 .net
cli古臭いけど、なくならんよね。
いまどきの新モデルだすなら、netconf/restconfあたりに対応してほしいけど
801:anonymous
15/06/13 16:29:57.22 .net
>>778
cisco っぽくしちゃうと、既存のRTXユーザーが混乱するだろ。
802:あのーにー
15/06/13 16:35:11.90 .net
もうなってしまうんだから、しょうがないだろ
803:anonymous
15/06/13 17:19:40.34 .net
RTX1210はコンフィグの互換性を重要視したらしいから
ルータは今後も独自路線なんじゃないだろうか
804:anonymous
15/06/13 21:29:50.55 .net
買い換えても同じCONFIGのままなのは楽でいいよね。
805:anonymous
15/06/13 23:05:39.97 .net
SRT100からFWX120はコンバーターを使ったよ
動かす前に見直しだけど一から作るよりは楽だった
806:anonymous
15/06/14 02:31:48.25 .net
>>771
なにそれこわい
807:anonymous
15/06/14 04:57:33.65 .net
>>771
勝手に、dhcpサーバをしていたと。
808:anonymous
15/06/14 05:24:03.30 .net
イベント会場で勝手に無線経由でDHCPサーバー動かされると探しようがないからな
809:anony
15/06/14 08:35:48.53 .net
デフォゲとdnsが適正だともうなかなか発覚しないね
810:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/06/14 09:15:38.40 .net
dhcploc.exe って最近のwindowsでは用意されてないんだっけ?
811:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/06/14 09:24:51.11 .net
ぐぐったらXP用のがそのまま使えるから
MS download centerから持ってこい、とのお話が
812:アナに
15/06/14 09:44:04.12 .net
>>789
auが無償貸与してるキューブ型のやつがタチ悪かった
二重ルータになってるだけならいいものを、DHCPサーバになって無効なアドレスを勝手に振りまいたり、
時々気を利かせてるのかブリッジ判定して配布停止したり
特定に苦労したわ
ブリッジ設定しても撒いちゃうし…
シネプラネックス
813:anonymous
15/06/14 12:17:56.84 .net
ネットワークって、考えてみれば、セキュリティーもかかっていないで好き勝手できてしまう。
とても脆弱だなあ。
814:anonymous
15/06/14 13:24:55.84 .net
>>789
会場で提供するなら、それは無線クライアント間通信(一般的な名称が分からん)を拒否してなかった設営側のミスでしょう。
815:anonymous
15/06/15 10:32:16.56 .net
>>788
野良 DHCP サーバは、まれによくある。
あれ、設置した本人に悪意が無かったとしても結果的にはテロ行為そのものだよな~
816:anonymous
15/06/16 01:07:36.36 .net
>>788
お客が無線ルーターのLAN側とWAN側逆につけて~とかよくあるからな。。。
817:ANONYMOUS
15/06/17 00:57:19.40 .net
>>797>>796
>>795
無線で提供するのはひとつの手かもね。
もちろん、セパレーター機能で、クライアント間の通信はできないようにする。
有線も使いたければ、DD-WRT内蔵WIFI-LANアダプターを提供すればいい。
818:anonymous
15/06/17 07:30:35.65 .net
セパレートしても上流のスイッチでポートプロテクト(VLAN)してないとほかのAPにつながった端末に影響してしまうみたい。
WLX302の場合ポートプロテクトすると今度はAP管理機能が使えなくなったりするのがなぁ。。。
APコントローラー発売しないんかね
819:霞
15/06/17 09:53:17.78 .net
まさにブロードキャスター事件簿
820:anoymous
15/06/17 09:56:51.72 .net
RTX1210の新Firmでたね
821:-
15/06/17 19:39:02.85 .net
>>801 ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/relnote_14_01_09.html 結構、新機能をぶっこんできたな 全部読むのは明日にしよう
823:anonymous
15/06/17 21:56:38.63 .net
WLXも、新ファーム出したからね。
824:やま
15/06/18 02:30:35.93 .net
RTX1210のLANマップに完全対応するWLX302の新ファームは今月末か来月上旬だとうちの婆さんが言ってたかな。
825:anoy
15/06/18 09:51:58.63 .net
RTX1210の新ファーム
これだけ修正点が多いと、いますぐアップデートしようか少し迷うね。
826:anonymous
15/06/18 11:20:15.98 .net
遅レスですが>>123さんと同じ現象です
当初PR-S300NE下にRTX1200繋げてましたがipv4 over ipv6 vpnで5Mbpsしか出ませんでした
解決案ありますか
827:プライムリッチ
15/06/18 23:35:39.68 .net
当初はHGW配下で、今は外してONU直下にRTX1200?
そしたら、IPv6プレフィックスが揺れるってことは無いと思うけど
ひかり電話officeタイプをPBXに直収してるから、環境違ってわからんなぁ
828:anonymous
15/06/19 01:02:40.70 .net
798です
当初は300NE HGW下にRTX1200で今はONU下にRTX1200とHGWで2-3時間ごとに接続と切断を繰り返してます
ちなみに別環境のPR-500KI下のRTX1210だと80Mbpsでたので及第点です
ONU直なら160Mbpsでるのですがね
829:anonymous
15/06/19 03:37:50.90 .net
>>808
DHCPv6のrenewが2hおきなので奪い合ってたりしてない?
DHCPv6使うにしてもRAで動かすにしてもHGW配下のが安定するんじゃないかな。
830:anonymous
15/06/19 07:09:01.48 .net
やっぱ1210早いのかな
831:798
15/06/19 07:43:57.75 .net
ありがとうございます
素直にHGW下に繋ぐようにして速度が出ないHGWを
交換する方向で対処しようと思います
832:あなに
15/06/19 08:05:34.18 .net
>>811
ONUのカバー開けてRTXと直結しても遅い?
833:anonymous@24.253.149.210.rev.vmobile.jp
15/06/19 08:07:18.54 .net
NGNのIPv6でl2tpv3/ipsecしてるけど500Mbpsくらい出るぞ
834:798
15/06/19 08:24:27.65 .net
>>812
直結は速いです
835:*
15/06/19 19:47:16.86 .net
未検証の情報だと
ひかり電話無し ONU ---- RTX とても速い
ひかり電話オフイス ONU --- VG ---- RTX 速い
ひかり電話オフィスA ONU --- VG ---- RTX 遅い
ひかり電話 ONU --- HGW ---- RTX 遅い
836:anonymous@116-94-157-5.ppps.bbiq.jp
15/06/20 00:31:38.79 .net
RTX1200で、
1)IPoEで IPv6 NGN接続(NGN網内で VPN構成)
2)PPPoEで プロバイダ IPv6接続
それぞれは接続できます。
しかし NGN接続の状態で追加で PPPoE接続すると、
NGNが見えなくなってしまいます。
経路表を書けばイケソな気がするんですが、
どっかにお手本ないでしょうか?
837:anonymous
15/06/20 01:42:34.54 .net
>>816
URLリンク(lab.mitty.jp)
経路情報サーバからNGN側にstatic向けるprefix取得して書き込むといいんでは?
YAMAHAはNPTv6対応してないのでPPPoE IPv6との併用オススメしないけど
838:anonymous@p4217-ipngn402souka.saitama.ocn.ne.jp
15/06/21 14:33:07.25 .net
RTX810のリカーシブDNSでLAN内のいくつかに名前を割り当てています。
これを他のDNSサーバにコピーする手段ってないでしょうか?
nslookupでサーバに対してls -d してみましたがサーバーによって拒否となりました。
台帳を作ってそこからそれぞれの設定ファイルを作る以外の方法ってありませんか?
839:anonymous@p3656080-ipngn20501marunouchi.tokyo.ocn.ne.jp
15/06/23 00:18:17.82 .net
RTX1200について質問です。
光1回線に拠点2つ(固定IP)とVPN接続は可能でしょうか?
例えば
センター : 東京(固定IP)
LAN1 → 192.168.1.0/24(千葉用) : Tunnel1
LAN2 → PP1
LAN3 → 192.168.2.0/24(埼玉用) : Tunnel2
拠点1 : 千葉(固定IP)
LAN1 → 192.168.3.0/24 : Tunnel1
LAN2 → PP1
拠点2 : 埼玉(固定IP)
LAN1 → 192.168.4.0/24 : Tunnel1
LAN2 → PP1
拠点を1つにすれば、センターとVPN接続は出来るのです。
しかし、拠点を2つにし、センターとVPN接続するには、どうすればよいのでしょうか?
どうかよろしくお願い致します。
840:anonymous@p3656080-ipngn20501marunouchi.tokyo.ocn.ne.jp
15/06/23 00:30:04.93 ebtbzycC.net
質問のためageさせて頂きますm(_ _)m
841:anonymous
15/06/23 01:16:33.91 .net
>>819
その「例えば」のセンターがよくないけど、可能ですよ!
このあたりを参考に頑張ってみてはとうでしょう?
URLリンク(jp.yamaha.com)
842:811
15/06/23 03:36:52.34 ebtbzycC.net
>>821
即アドバイスありがとうございます。
このYAMAHAさんのサイトは私も参考にしています。
一番惜しいのは、
URLリンク(jp.yamaha.com)
このページなんですが…。
これだと、私の>>819の例だと、
埼玉と千葉の落ち先が同じなんですよね…。
これを…何とか分けたい
pp1のnatを1と2で分けてみたんですが…。
上手くいかず…。
VPN接続先を相手先により振れる方法って…ないもんでしょうか?