15/09/16 00:35:34.24 .net
YAMAHAルーター自体にsshポート番号を変更する機能はないかさすがに
であればIPSec等のVPNで接続するのが現実的な解となるでしょうね
225:anonymous
15/09/16 00:46:49.22 .net
>>224
ポート変えるコマンドあるで
226:anonymous
15/09/16 01:26:55.49 .net
「sshのポート開放は危ない」
これについて、上の話題に出ていましたがIPsecとSSHと比べて、
安全性にどれくらいの差があると思いますか。
どちらも、ポート番号はウェルノウンですよね。
共有鍵か公開鍵か、IPsecも、SSHも、その選択があるくらいですよね。
たしかに、IPsecの場合、SSHと違って、トンネルがつながってから
実際の通信ができるようになるまでに、やや煩雑な手続きがあると思いますが、
それが攻撃者の避ける理由なんでしょうか。
相手のセキュリティーゲートウェイ内のネットワーク情報も知っていなければ、
通信ができないとか。
227:anonymous
15/09/16 01:58:49.63 .net
>>226
あなたは質問してるのか間違いだと主張しているのかどっちなの?
228:anonymous
15/09/16 08:59:29.82 .net
>>227
命題の集まり
229:anonymous
15/09/16 10:31:18.86 .net
>>227
SSHよりもIPSECが良いと言う根拠を求めているのだと思う
230:anonymous
15/09/16 10:33:26.32 .net
>>222
むしろたとえLINUXだったとしても、iptablesに書きまとめたい
あっちこっちに制御情報が散ると、管理に抜けが出そうでこわい
231:hage
15/09/16 10:41:31.40 .net
ヤマハルーターじゃないけど
公開鍵認証だけ有効にしてsshdを22番で公開してるけど
ポート変更なんて意味あるか?
ipsecで500/udpを変更することないし、なんでsshdだけ?って思う
まー、22番に拘る必要もないが、22番以外に拘る必要も同じレベルで、ないと思う
232:anonymous
15/09/16 10:46:08.63 .net
ポート変えれば安全になるわけでもない
IPSecに未知のセキュリティーホールが絶対にないとは言い切れないし
多層防御という観点で接続元で弾くのは基本だと思うがね
>>230
それでも構わないと思う
ただサーバー運用で考えて
外部との間にはルーターがあるので基本ルーターにフィルタリングさせて
不必要なサービスは動かさない+tcpwrapperでアプリケーションごとに制御してるようにしてる
その方が負荷も減ると思ってる
233:anonymous@pc64e88.sitmnt01.ap.so-net.ne.jp
15/09/16 10:48:53.77 .net
>>231
攻撃試行される機会が減る、程度のものだね
やらないよりやった方がよいのは確かだろうけど
アカウントの管理がしっかりしてあるかどうかの方が重要だね
234:hage
15/09/16 10:54:40.79 .net
どこに載ってたか忘れたけどログを解析した人がいて
80/tcpより8080/tcpへのアタックのほうが多かったって分析してた人がいたな
235:anonymous
15/09/16 20:12:29.96 .net
8080はなんか大事なサービスを隠してそうだからな
236:anonymous
15/09/16 20:45:01.74 .net
オープンproxyを探してるのが多いんじゃないの?
あとは簡易WEBサービスとかでろくにセキュリティホール潰してないのがごろごろしてそう
237:anony
15/09/16 21:19:00.58 .net
ポートスキャンかければsshdのポートがバレるし、普通にスキャンされてると思うけど
22番じゃなかったときのほうが執拗な攻撃を受けそうな気がする
堂々と22番で構えてるところは、よほど自信あるんだろう
番号かえてるとこは、どうせ下らないパスワード認証だろう
そんな風で
238:anonymous
15/09/16 21:42:21.89 .net
国内に限るフィルタリングって煩雑だろうか。
ネットワークアドレスの指定で、数個の政敵フィルタで済めばいいんだけど、
そうはいかないんだろうな。
それができたら、SSHポートもさぞかし安心のはず。
無駄に世界にオープンにする必要なんてないんだし。
239:anonymous
15/09/16 22:20:40.50 .net
>>237
いやよほど著名なサイトやサーバーでもないかぎり、デフォルトデフォルト入れるところを探して入る
わざわざ難易度の高いところを選ぶのはよっぽどの暇人か、侵入すること自体に価値を見いだしてるキティさんだけ
240:anonymous
15/09/16 22:47:12.92 .net
>>229
SSH単体よりもIPSec+SSHの方が単純にセキュリティ強度が高いというだけかと
241:anonymous
15/09/16 22:48:45.80 .net
>>226
それ以前の問題で、ヤマハルーターではSSHフォワーディングができないから、IPSecとSSHは同列に語れないものだと思うのだけど、どうなのだろう。
どういう意味合いで話が進んでるのかがわからん。
ヤマハルーターにとっては、IPSecはVPNするときに使う暗号化プロトコル、SSHはルーターにCLIで遠隔ログインするために使う暗号化プロトコルつて位置付けな気がするけど、ちがうん?
IPSecで遠隔ログインできるの?
242:anonymous
15/09/16 23:11:03.20 .net
>>241
可
IPSecでローカルIPからSSHログインする
243:anonymous
15/09/16 23:24:34.11 .net
>>241
もう少し補足しとくと、IPSecと併用すれば、22番ポートは内向きだけ開けとけばいいことになる
244:anonymous
15/09/16 23:27:25.85 .net
内向きってのは語弊があるな
WAN側ではなくLAN側という意味
245:anonymous
15/09/16 23:49:06.96 .net
>>240
IPsec突破されたら、ルーター内部どころか、LAN内への侵入は自由になっちゃう
246:anonymous
15/09/16 23:51:39.11 .net
>>241
>ヤマハルーターではSSHフォワーディングができないから、IPSecとSSHは同列に語れない
ん?どういうこと?
247:anonymous
15/09/16 23:59:16.70 .net
>>244
そうだね。
IPsecを併用すれば、ルーター自身のアドレス宛:23(SSH)パケットについては、
そのソースアドレスをローカルネットワークに限ればいい(スタティックPASSフィルタをセット)よね。
248:anonymous
15/09/17 00:15:54.65 .net
>>246
すみません、わかった。
ポートフォワーディングのことだと思って合点がいかなかった。
SSHトンネルのことね。
249:anonymous
15/09/17 00:18:16.01 .net
>>241
>ヤマハルーターにとっては、IPSecはVPNするときに使う暗号化プロトコル、SSHはルーターにCLIで遠隔ログインするために使う暗号化プロトコルつて位置付けな気がするけど、ちがうん?
その通りです。
250:anonymous
15/09/17 00:35:36.81 .net
極端な話PCとルーター間でL2TP/IPsecつかってそのルーターにログインするならtelnetでもいいんじゃねって思うけどね
上の話にもでてるL2TP/IPsecの挙動がおかしいならSSHで入って確かめろって感じ
SSHとIPsecどちらが脆弱性があるかといわれるとバグ的なものであればどちらも可能性がある
どちらもヤマハの場合は公開鍵に対応してないのでセキュリティ云々であれば内部にSSHのサーバー用意して公開鍵認証でもすればよいが
管理コストや利便性を考えてポートスキャン的なアタックならパスワードの強度があれば普通は気にするほどでもないと思う
251:anonymous
15/09/17 08:33:19.84 .net
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ヽ
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::://ヽ:::::::::::::::|
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::// ヽ::::::::::::::l
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::/:::「'ヽ:::::::::::// ヽ:::::::::::|
|::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ノl:::ノ l:::::::/ ヽ::::::::|
ノ:::::::::::::::::::::::::::::::::::::::::::::::::::::/ ゙゙ ノ:::/ ,,;;;;;;,, ,,,,ヽ:::::l
):::::::::::::::::::::::::::::::::::::::::::::::/ ノ/ __,'''i: ('''__):::l
)::::::::::::::::::::::::::::::::::::::::::::::::::/  ̄ ̄ン:. :「 ̄`ヾ
1:::::::::::::::::::::::「 `┤l:::::::::::::::::l  ̄ , ヽ ̄ l
`l:::::::::::::::::::::ヽ :l li:::::::::::::/ /´ `l | <ヴッ!!!
ヽ::::::::::::::::::::::\_」 lヽ::::/ !:-●,__ ノ /
ノ:::::::::::::::::::::::::::ノ | l `゙゙ ,,;;;;;;;;;;;;;;;;;;;;, /ヽ
,/ ヽ::::::::::::::::::::::( l l::::::::.. /.:''/´ ̄_ソ / `ヽ
ヽ:::::::::::::::ヽ | l:::::::::::... /::// ̄ ̄_ソ / \
ヽ:::::::\| l::::::::::::::::... / :::.ゝ` ̄ ̄/ / ヽ
ヽ:::l l:::::::::::::::::::..  ̄ ̄;;'' / ヽ
l l;;;;;;:::::::::::::::.....;;;;............;;;;;;''ノ l
l l '''''''''''''''''''''''''''''''''''''' ̄l | |
URLリンク(y2u.be)
252:anonymous
15/09/17 11:01:28.13 .net
>>250
>ヤマハの場合は公開鍵に対応してない
え、そうなの!
自分の公開鍵をrtxに登録して、認証を受けるような使い方はできないのか。
URLリンク(www.rtpro.yamaha.co.jp)
ここにあるのは、クライアントだけなのか。
253:anonymous
15/09/17 15:29:35.49 .net
>>247
>ルーター自身のアドレス宛:23(SSH)パケット
>ルーター自身のアドレス宛:23(SSH)パケット
>ルーター自身のアドレス宛:23(SSH)パケット
254:anonymous
15/09/17 17:17:50.42 .net
>>253
何が言いたいのか謎
255:anonymous
15/09/17 17:20:49.65 .net
22じゃないから突っ込んでるつもりじゃね?
256:anonymous
15/09/17 23:03:21.89 .net
TELNETの方が原始的なプロトコルなのに、23だとは。
257:anonymous
15/09/18 09:06:54.03 .net
敢えて23ポートに変えてるのかもしれない
258:anonymous
15/09/18 09:10:37.77 .net
゚.ノヽ
バンバンバンバンバン 、-' `;_''
バンバンバンバンハ (,(~ヽ'~
バン ∧__∧ バン ,i`'}
(∩`・ω・)_ ,i i
ノ ミつ、 _/ i
と<~_~_-~=、 ,,-,/' ミ ポイッ
{~''~>`v-''`ー゙`'~ ミ <丶`Д´>
レ_ノ <丶`Д´>
ポイッ
259:anonymous
15/09/18 11:34:56.29 .net
>>257
意味がわからない
260:anonymous
15/09/18 11:42:14.56 .net
>>252
RTXがサーバーとして振る舞い、
クライアントを電子証明書で認証する場合、認証局に証明書の正当性を問い合わせる必要もあるから、
実装が大変なのかもしれない。
ルーターにこういう電子証明書基盤を実装しないのは一般的なのかな?
だからと言って、sshdは単純に公開鍵で認証するようにはしてほしいな。
261:anonymous
15/09/18 11:51:03.15 .net
>>250
まさに、そういう場合はtelnet使っている。
dosプロンプトで、簡単に使えるからな。
L2TP/IPsecがおかしくなった場合備えて、別拠点にも、
アクセスポイントとして待機させておくこともできるよね。
もちろん、VPNで相互に接続しているものとする。
公開鍵認証ができるSSHサーバーくらいなら、ラズパイで十分そう。
難しいポート番号を、ラズパイにポートフォワードしておけばいい。
それやって見ようかな。
262:anonymous
15/09/18 14:22:07.04 .net
rtx1210と、rtx1200の、ipsecの実装って全く一緒なのかなあ
openswanと繋がらなくなったら困るんで躊躇してる
なにせなんとかつながっている感じだし、サポートされてはないものな
263:anonymous
15/09/18 14:31:53.45 .net
. ) ( 、
; ( ) '
o___, . (、. ' ⌒ ` )
/ ~ヽ (. : ) , ( '
/ ./ ̄ ̄; ) ( . ⌒ )
/ / `‘| ' ` ”, )
______ . / | ./ /
/_____\ / \__/ /
.{____憂●國} / /
ノ|ミ/ ー―◎-◎-) / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ノノ(6 (_ _) ) ./
ノ/ | ∴ ノ 3 ) /
ノ/ _ \ _ノ ./
. レ /^ ~" ̄, ̄ ̄〆⌒,
| ,___゙___、rヾイ
264:anonymous
15/09/18 14:49:51.28 .net
>>262
かわらんと思うぞ
てかそんなにシビアならファーム更新するのも危険じゃね?
265:anonymous
15/09/18 16:00:26.21 .net
>>264
うん、そう思ってrtx1200のファームアップデートできなかった。
最近、新しいrtx1200を買って、最新ファーム(といっても、2013年もの)を入れて試した。
問題なくopenswanにつなげられた。
しかし、今後もそれが維持できるかどうかはとても心配。
linuxではopenswanが標準なので、ぜひヤマハのルーターも対応してほしいところ。
openswanとrtxとの接続は制限があるので工夫が必要だから、面倒くさいね。
266:anonymous
15/09/18 16:04:19.15 .net
openswanの派生のlibreswanが、今の標準になっているようだね。
CentOSでもlibreswanになったと思う。
267:anonymous
15/09/18 16:19:01.81 .net
ルーターはいろいろつながってこそ価値がある
268:anonymous
15/09/18 16:50:36.09 .net
個人ならともかく法人向けは対向で使えって話じゃね?
269:anonymous
15/09/18 23:19:03.23 .net
クラウドに、rtxを設置してくれればいいんだけど、
そんなはずはないからなあ
270:anonymous
15/09/19 13:14:00.32 .net
ポート番号変更って結構やるよね。
271:anonymous
15/09/19 13:55:38.67 .net
>>270
興味本位のアクセスならごまかせる
272:anonymous
15/09/19 14:09:06.32 .net
::::::::::::::::...... ....::::::| |::::::::::::.. ...: ::::::::
:. .::::::::........ . .::::::::::::::::::: | ........... ..:::::
:::: :::::... . .... .. . ヽ / . . . ... ..::::: . .. .
\ /
-ー
∧__∧
<`∀´*>y━~~ < 仕事の後のトンスルは最高ニダ
(つ目 )
TTTTTTTT|TTTTT
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
パチスロ獣王 |
273:anonymous
15/09/19 15:25:20.97 .net
休みだ!
ネットワークの拡張工事やるか。
遠隔地のルーターには、作業前に念のために、Restertスケジュールをセットするのを忘れずに。
さもなければ、せっかくの休みがつぶれることになるからね。
274:anonymous
15/09/19 16:55:12.79 .net
,, -―-、
/ ヽ
/ ̄ ̄/ /i⌒ヽ、| オエーー!!!!
/ (゜)/ / /
/ ト、.,../ ,ー-、
=彳 \\‘゚。、` ヽ。、o
/ \\゚。、。、o
/ /⌒ ヽ ヽU o
/ │ `ヽU ∴l
│ │ U :l
|:!
U
275:anonymous
15/09/20 10:12:27.77 .net
>>273
Restartコマンドの間違いだろ
276:anonymous
15/09/20 10:14:52.31 .net
,, -―-、
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
277:anonymous
15/09/20 10:50:48.32 .net
ーアスキー貼っている奴に通告ー
アスキー貼っているやつ!
ちょっと妨害がひどいな。
運営に報告して身元を割り出して対処してもらおうと思う。
( 正当な理由があれば、身元の請求が可能。 )
もうやめておけよ。
278:anonymous
15/09/20 15:40:14.39 .net
/ /
,イ /
// URLリンク(ascii.com) |
/ ,ィ介i | う ぶ き
{. |l ,イ ///|| | ち っ え
,-.、Vl / | /// | | 」 に と ろ
lこ!l ! ト ト.l | !i | ヽト、< な ば
| l Vヽ トjヽ\!l ,>‐_ニヽ さ
| | \ ! く__・、jiLノ・_´フ .|| れ
| | __ ヽ} -‐ -─‐ レヘ. ん
_r‐j >イ fヽ l ノ __ ,イ-ハ
/ ′、 i {ノ-、 ヽ `t_/ /| /´ヽ
〈 ヽ l | } \ -' j | \
ヽ / |  ̄ L
ヽ / -─ フ′ `ヽ─- 、
ヽ ヽ /`ー-、 ,. -─ '/ ー- 、
f‐--─ 'ヽ { ~ / /, -─‐-\
/| | ヽ / /// ヽ
279:anonymous
15/09/20 23:03:14.30 .net
>>273
2chでその技を知ったときは目からビームだったわ。
たまーにタイマ解除忘れちゃうけど
280:anonymous
15/09/20 23:58:42.20 .net
>>279
フィルタ、ルーティング、NATの設定でミスったら終わりだものなあ。
ところでうちは、ルーターの安定化のために一日一回は再起動させているよ。
(ipアドレスが変化するのでセキュリティー対策にもなるかなと。)
281:anonymous
15/09/21 00:05:21.74 .net
もっと言えば、重要な設定の前に、たとえば30分先にRESTARTタイマーをセットしている。
さすがに、たとえ設定をミスってアクセスができなくなったとしても、その再起動待ちが数時間も困るから。
タイマーセットされると緊張するので、設定が完了して通信が正しくできていることを確認してSAVEコマンドを打つまでの時間も短縮されるようだ。
もちろん人による。
ノートにしっかりコマンドを書いて、それを入力する人もあるだろうし、
ソラで直接コマンド入力する人もいる。(←ルーターを扱う能力は高まる。IPsecトンネルの場合なんかは、いろいろすべて考慮する必要があるので。たいてい、うまくいかずに悩むことになる。)
282:anonymous
15/09/21 07:50:15.64 .net
1002 :1002 [] :Over 1000 Thread
2ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
──────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
──────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
URLリンク(premium.2ch.net)
283:anonymous
15/09/21 11:04:33.86 .net
>>280
意味あるの?
284:anonymous
15/09/21 11:43:19.36 .net
ないと思う
285:anonymous
15/09/21 13:08:38.21 .net
ipアドレスを変化させられる。
初期状態に戻ることで安定化できる。
286:anonymous
15/09/21 13:35:31.03 .net
>>285
安定化ってのがプラシーボ以上の目的と効果(メモリリークのバグあるので定期的に再起動必要、など)あるなら理解できるのだけど、電圧変化加え続ける方がH/W的には負荷にならないかなー、とも思って
アドレス変えたいだけならpp再接続などでも良さそうかなーと。
287:anonymous
15/09/21 13:46:16.71 .net
そもそも再起動によって安定度が変わるルーターは設計としてNG
PPPoEによる割り当てIP変えたいなら既出のとおり再接続でOK
288:anonymous
15/09/21 18:24:43.64 .net
>>263,272
ネトウヨ死ねカス
289:Anonymous
15/09/21 20:58:58.92 .net
,, -―-、
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
290:Anonymous
15/09/21 20:59:39.47 .net
/ /
,イ /
// URLリンク(ascii.com) |
/ ,ィ介i | う ぶ き
{. |l ,イ ///|| | ち っ え
,-.、Vl / | /// | | 」 に と ろ
lこ!l ! ト ト.l | !i | ヽト、< な ば
| l Vヽ トjヽ\!l ,>‐_ニヽ さ
| | \ ! く__・、jiLノ・_´フ .|| れ
| | __ ヽ} -‐ -─‐ レヘ. ん
_r‐j >イ fヽ l ノ __ ,イ-ハ
/ ′、 i {ノ-、 ヽ `t_/ /| /´ヽ
〈 ヽ l | } \ -' j | \
ヽ / |  ̄ L
ヽ / -─ フ′ `ヽ─- 、
ヽ ヽ /`ー-、 ,. -─ '/ ー- 、
f‐--─ 'ヽ { ~ / /, -─‐-\
/| | ヽ / /// ヽ
291:anonymous
15/09/21 22:59:40.70 .net
>>286-287
# disconnect pp番号
# connect pp番号
こんな風に、連続してコマンドが必要になるでしょ。
それに、ディスコネクトが正常に終わらないうちに、コネクトすると、エラーが発生しそうで不安
>電圧変化加え続ける方がH/W的には負荷にならないかなー
そうなんですか。コンデンサとか、トランジスタなんかに負荷がかかって、痛むの?
一瞬、ハードディスクに負荷をかけないように、再起動せずにスリープにしないさい
という言葉を思い出した。
電子デバイスにもこういう物理的な影響によるダメージがあるとは考えたことなかったんだけど。
292:anonymous
15/09/21 23:58:51.88 .net
切断したら明示的にコマンド発行しなくても接続してくれるし
失敗してもトライし続けるだろうし
同じアドレス使い続けることにセキュリティリスクあるとは思えんが
訴訟リスク負う様な悪意ある書込みでもしてるんか?
293:anonymous
15/09/22 00:32:16.33 .net
>>292
でも、keep aliveの設定が必要なのかな。
いやたとえば、メールをsmtp送信したら、
メール受信した相手側でヘッダー情報からこっちのIPわかっちゃうでしょ。
これって怖くないですか。
まあ、もちろん、ルーターは完璧にフィルタしているけど。
ddosなんかされたら嫌じゃないか。
もし怖くないというのなら、このスレッドで皆、anonymousにする必要もないわけだし。
294:anonymous@FL1-125-197-130-243.stm.mesh.ad.jp
15/09/22 01:35:03.50 .net
>>291
つエレクトロマイグレーション
295:anonymous
15/09/22 01:45:45.68 .net
>>294
>電子と金属原子の間で運動量の交換が行われるために、イオンが徐々に移動することで材質の形状に欠損が生じる現象
ほんとに?これって物理的なダメージじゃないか。
って、普通に使っていても、同じことが起きるでしょ!!
296:anonymous
15/09/22 01:59:51.04 .net
>>295
>運動量の交換
衝突しているのやね
297:anonymous
15/09/22 02:18:15.42 .net
まあエレクトロマイグレーションが問題になる程電流密度が高い部分は
ルーターにはないから気にしないでいい
298:anonymous
15/09/22 02:47:37.51 .net
>>293
サービス影響出る規模のDDoSに対して同じISPの動的IPが少し変わったくらいで安心できる気持ちが良くわからん。
メールで送信元ip割れたらDDoS喰らいかねない使い方しててビビってるだけ?
299:anonymous
15/09/22 05:31:52.43 .net
>>298
いつまでも固定されているのは気持ち悪いやん
300:anonymous
15/09/22 07:29:58.95 .net
>>286
torrentによる通信でよく再起動してくれたよね。
301:anonymous
15/09/22 11:08:49.72 .net
>>297
マイグレーションの時代だけど、該当しなくてよかったな
電車とかマイグレーションやばそう
>>300
機種?
302:anonymous
15/09/22 11:11:32.92 .net
>>301
電車は電流大きい分架線や電車内配線、モーターの電機子巻線とかは太いから電流密度自体はそうでもない
303:anonymous
15/09/22 11:15:32.81 .net
>>302
じゃあ、送電線かな。
304:anonymous
15/09/22 11:26:24.01 .net
>>293
通常は
pp always-on on
かと
305:anonymous
15/09/22 11:59:23.98 .net
>>303
じゃあの意味がわからんが、当然EMが問題にならないように電線を選ぶわけであって…。
306:Anonymous
15/09/22 14:32:30.36 .net
>>289>>290
死ねカス
送電線やばいぞ
307:anonymous
15/09/22 14:46:02.70 .net
>>305
無酸素銅のことかな
308:anonymous
15/09/22 14:55:44.70 .net
>>304
気になったので調べたら、
pp always-on on
pppoe auto connect on
pppoe auto disconnect off
ってなっていたわ。
・pppoe auto connect(初期値、on)
選択されている相手に対して、PPPoE のセッションを自動で接続するか否かを設定する。
・pp always-on on
起動時に接続を起動し、通信終了時には再接続を起動し、キープアライブ機能により接続相手のダウン検出を行う
以下のコマンドが設定されている場合、switch を on に設定した時点で接続処理が行われる。
PPPoE 接続
pppoe use
pp enable
要するに、ベースとして、pppoe auto connect onになっていて許可されている場合(デフォで、許可)に限って、
pp always-on onでいう常時接続が許可されるということみたいだな。
309:anonymous
15/09/22 17:50:27.43 .net
ノ´⌒ヽ,,
γ⌒´ ヽ,
// ""⌒⌒\ )
i / \ / ヽ )
!゙ (・ )` ´( ・) i/ >>307 そうだ、無酸素銅の時代だ
| (__人_) | 電気代やばいぞ
\ `ー' /
/ \
| ヽ(⌒/⌒,l、ヽ
| \ `´ , <___
310:anonymous
15/09/23 00:04:56.96 .net
>>309
確かに
あれはオーディオ用だな。効果がどれほどのものか知らないけど。
311:anonymous
15/09/23 00:07:58.54 .net
送電線は、アルミニウムらしい。
312:300
15/09/23 22:26:32.37 .net
>>301
RTX1200
313:anonymous
15/09/23 23:56:17.96 .net
>>312
何がだめなんだろうね
ファームアップ最新?かな
TORRENTって、なにか特殊なの?
314:204
15/09/24 07:12:02.71 Y/DUKlFc.net
>>313
p2pだしnatのセッションをハンパなく使うからじゃない?
315:anonymous
15/09/24 12:24:26.44 .net
>>314
そんなに相手側とつながらないとだめなの?
P2Pというくらいだから、1:1かと思っていたんだけど。
316:anonymous
15/09/24 12:25:56.73 .net
P2Pでつなげたら相手から後から攻撃されていたってことはないよね
317:anonymous
15/09/24 13:16:41.62 .net
アプリケーションによって行儀わるいのはよくルーター落ちると聞いたが
318:anonymous
15/09/24 13:35:12.36 Y/DUKlFc.net
>>315
p2pという割には複数の相手からDLするし、
DL効率を上げるためだろうけど新しい相手を探すから
Natを消費してセッションのリフレッシュまで保持するのよ
p2pを使わない人にはどうでもいいけど、
管理する側からするとCPU負荷が上がるし
Natを食い散らかすから辛い
319:anonymous
15/09/24 13:40:38.04 .net
>>315
さらっと書くと、winMXのように1対1のノードでファイルを交換してると効率があまり良くないってことで、
winny以降のファイル共有ソフトはファイルを持ってるところを見つけたら片っ端から部分的にファイルをダウンロードするし、
要求があればどこにでもファイルをアップロードする。(トレント)
みんなで部分的にでもファイルをやりとりすれば効率いいし、
みんなで分けて持っておけばダウンロードするときセッション張れば早いよねってことでめっちゃセッション使うんだよね。
320:anonymous
15/09/24 15:21:57.85 .net
>>315
P2Pがなんの略かが分かってれば、
そうはならないはずなんだけどな。
Pはポイントじゃないぞ、ピアだぞ。
321:anonymous
15/09/24 19:26:18.94 .net
>>313
TORRENTでDHTを有効にするとNATテーブルが溢れるらしい
で、NATタイマーを短くするんだってさ
322:anonymous
15/09/24 22:53:30.59 .net
ん?なんか不安定だな?って思ってとりあえずGUI見ようとするとすごーく表示が遅くて
CPU負荷が100%メモリも満杯ぐらいになってたわ。
お仕置き部屋システムで幾分改善されたはず
323:anonymous
15/09/24 23:00:30.14 .net
>>322
どんな条件でお仕置き部屋へ導いているんですか?
>>319
なるほど、支流から本流が生まれるみたいな感じだな。
しかし、それでもIPv6になれば、NATを食い散らかすことなんてなくなるから良くなるのだろうなと思った。
いつ普及するのか知らないけど。うちは、IPv6だよん。
324:anonymous
15/09/24 23:06:37.01 .net
>>318
組織内で、そんなにTorrentが使われているとは思わないが、
そんなにセッション食うアプリなら、多人数が使えば、いくらタイマー短くしても終わりだね。
>>317>>322
セッションといえば、動的フィルタも動いているのなら、
CPUやばそうだな。
>>320
全体としてはこれは、多:多になるな
蜘蛛の巣の感じ、まさにネットワーク層の蜘蛛の巣!
325:anonymous
15/09/25 09:58:51.59 .net
必死な自演の既視感ぱねぇ
326:anonymous
15/09/25 16:31:16.00 .net
たしかwinnyブロック機能がRTXにも搭載されていたよね。
rtx1210にも継承されたのかしらないけど、
これのトレント版があったら便利かもしれないなあ。
327:anonymous
15/09/25 19:01:50.61 .net
2ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
──────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
──────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
URLリンク(premium.2ch.net)
328:anonymous
15/09/26 12:28:51.70 .net
-‐…‐-ミ
.: ´ .::::::::::::::::::::..`ヽ
. / ..::∧.:::::::∧イ.:::::::::::.
,′.:/\\/ /∨::::::::
i.::::イ 匸フ 匸フ|::::::::{
. j/|::} u ム:::::ハ
. j人 r‐┐ 从/ おいこら!
)≧┐┌_´(
,≪圦 「≫、`
/ `¨¨只´ 、
{ニニ! !l| {ニ]
|::::| ムl! |:::|
|::::| /从 |:::|
329:anonymous
15/09/26 14:15:24.48 .net
>>326
ホント欲しい。ヤマハの中の人も言ってたけど、Winny/Share検知機能なんてルータの仕事じゃないのに
中小企業で訴求効果高いから入れたとか言ってたもん。
だから、マイナンバー特需のUTMで、日本ぽい発想の製品期待してたんだがなぁ。
みんなFortiにもってかれちゃってるよぉ。
330:anonymous
15/09/26 14:53:10.94 .net
もっとほしい。いろいろほしい。
<基本的なもの>
たとえば、IPsecや、SSHサービスについて、
hosts.allowみたいに、ドメイン名で接続元の絞り込みができること。
接続元プロバイダを絞り込めば、少なくとも海外からの攻撃をかわすことができる。
>>329
たしかに、ルーターの仕事じゃないものもあるかもしれない。
WINNY/SHARER検知なんて、アプリケーション層を調べるから、ルーターじゃなくて、UTMの担当だろうな。
しかし、ヤマハにはオールインワンを期待するんだよな。
RTA時代からほかのブロードバンドルーターにはない機能とそれでいて安定性の高さがあったからなあ。
こういう要望って、どうしたらヤマハに届くんだろうか。
331:anonymous
15/09/26 14:59:22.05 .net
>>329
>中小企業で訴求効果高い
WINNYやSHAREなんて、今はもう組織内ではほとんど動いていないように思う。
一時期は開発者が逮捕されるなど大きな話題になってしまっていたね。
332:anonymous
15/09/26 15:13:29.61 .net
そういうのをFWXシリーズで対応していけば良いんでは無かろうか
333:anonymous
15/09/26 15:37:08.25 .net
必死だね。
334:anonymous
15/09/26 15:43:01.95 .net
>>331
でもセキュリティチェックなんかだといまだに言われるぜ
FWXがルータ&UTMとしてベストポジションだっただけに残念なんだよなぁ。
ちょっと、いや、かなりUTMとしては独特で
335:anonymous
15/09/26 21:10:08.08 .net
,, -―-、
/ ヽ
/ ̄ ̄/ /i⌒ヽ、| オエーー!!!!
/ (゜)/ / /
/ ト、.,../ ,ー-、
=彳 \\‘゚。、` ヽ。、o
/ \\゚。、。、o
/ /⌒ ヽ ヽU o
/ │ `ヽU ∴l
│ │ U :l
336:anonymous
15/09/27 00:47:52.71 .net
>>332
>FWXシリーズで対応していけば
InterNET----pppoe----[RTX 1200]-[FWX]-LoacalNET
こんな感じでつながっているとき、FWXはこんな風に入るんだと思うけど、
もし、RTX1200で他拠点からのトンネルを収容していて、他拠点のインターネット向け通信(ipsecは除く)のデフォルトゲートとされていたら、
他拠点の通信は、FWXを経由しないことになってしまうんだな。
RTXシリーズに、FWXの機能が統合されれば嬉しい。
>>334
>ベストポジションだった
FWXはこれからどうなっていくんだっけ?
337:anonymous
15/09/27 01:45:37.96 .net
>>336
いや、別にこうしても構わないと思うんだが
InterNET----pppoe----[FWX]-[RTX 1200]-LoacalNET
338:anonymous
15/09/27 02:00:01.42 .net
>>336
UTMはガチでやるとなると、コストかかるから、
FWXはこのまま、マイナー路線でぼちぼちやってくんじゃね?
餅は餅屋よ、やっぱ。
339:anonymous
15/09/27 02:48:03.82 .net
>>337
仮に、インターネットへのWWWへのアクセス用のパケットにターゲットを絞ったとして、
FWXって、IPだけでなくて、PPPも読めるって言うの。
PPPって暗号化されているんじゃなかったっけ。
340:anonymous
15/09/27 09:36:26.34 .net
今の状態だとFWXを選択する意味がないんだよな。
UTMに近づけば候補に挙がるかもしれない。
341:anonymous
15/09/27 09:44:09.47 .net
>>339
FWXを透過型で使わなきゃいけない縛りでもあるのか?
342:anonymous@ngn-west-025-055-060-180.enjoy.ne.jp
15/09/27 10:11:35.78 .net
>>337
なんで荷台もあるの?
343:anonymous@s501170.xgsspn.imtp.tachikawa.spmode.ne.jp
15/09/27 12:20:36.03 .net
FWXってルータとしても使えるだろ。
344:anonymous
15/09/27 12:41:36.93 .net
うん
345:anonymous
15/09/27 13:18:39.24 .net
>>339
337はpppはFWXで終端して拠点間VPNはRTXで終端してる構成かとオモタ。
346:anonymous
15/09/27 13:37:59.53 .net
RTXの前に置いて透過型ファイアーウォールとしてつかうんだとばかり思ってた
347:anonymous
15/09/27 15:35:47.83 .net
>>346
まあそれも想定ユースケースだけど
348:anonymous
15/09/28 01:44:43.08 .net
>>345
盲点でした!
349:anonymous
15/09/28 01:46:48.62 .net
>>345
たしかにそれでもいけますよね。
ただし静的マスカレードの設定で、UDP 500 4500と、ESPを、内側のRTX1200に投下させる設定が必要になるけど。
350:anonymous
15/09/29 08:58:50.13 .net
うん、糞だね
351:anonymous
15/10/01 00:50:30.63 .net
透過型FWって普通GWから下に置くよね
352:anonymous
15/10/01 02:51:23.55 .net
>>351
うん。
ただ、IPsecトンネルが拠点から張られているようなセンター方式になっていて、センターでFWXでまとめて処理したい場合には、
>>337のような設置をして、FWXでPPPoEセッションを張るようにする必要があるだろう。
そして、IPsecトンネルパケットについては、>>345さんの言うように内側のRTXシリーズに処理させる。
その場合、>>349のように、PPPoEを終端しているFWX内側でパケットをフォワードする処理が必要になる。
昔、光プレミアムのときPPPoEをCTUが終端していたので、CTUの設定でフォワードして、RTX1100にフォワードしてVPNを終端できた経験があるので問題なし。
透過型でFWXを設置するのなら、そういう場合は各拠点ごとに装置が必要になってしまう。
353:anonymous
15/10/03 03:03:39.23 .net
大き目の企業はなぜかシスコ使いたがるんだろうな
YAMAHAじゃだめですか?
354:anonymous
15/10/03 09:54:23.34 .net
だめなわけがない
355:anonymous
15/10/03 09:57:51.66 .net
>>353
/|
/ |
∧_∧,/ / / ̄ ̄ ̄ ̄ ̄ ̄
<.`∀´/ /< どうやらあまりの人気っぷりに嫉妬してるみたいだなしんじまえ
_/ つ/ と / \______
~て ) / ん /
/∪ す /
\/ る./|
\__/, |
/// \_|
ωω
空中爆発まであと30秒
356:anonymous
15/10/03 15:45:45.76 .net
>>353
「なんでそんなマイナーなメーカーを選んだんだ!」とか
「なんで既存機器と挙動の違う機器を入れたんだ!」って無茶腹切らされないから。
別分野でいうと○○ー○ー○なんか盛大にクソだけど、同様の理由で選ばれることが多いな。
357:anonymous@pdadd2828.tokynt01.ap.so-net.ne.jp
15/10/03 16:15:02.61 .net
>>356
伏せ字なしでおなしゃす
358:anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp
15/10/03 17:39:34.74 .net
なんだかんだ言ってシスコはトラブル時の対応力が違うよ。
初事例のバグとかだとUS ciscoも動いてメーカー自ら1ユーザーに代替機材提供したりして原因究明してくれるし。
ヤマハは、もしかしたら優秀なSI使えばいいのかもしれないけど、メーカーのフォローが残念。
とてもじゃないけど大規模投資で使う気にならんよ。怖すぎる。
359:anonymous
15/10/03 18:12:31.25 .net
>>353
決定的なのはそういうサポートの違いで、大企業では選ばれるわけか。
(大企業の予算なら、サポート料が高くても平気だものね)
なるほど、そういう意味で、RTXは皮肉に、中小企業向けと言っているわけか。
性能は互角、もしくは、日本で使うならヤマハのはそれ以上?
まあ、自分で設定できて、トラブルの解決もできる人間がいるのなら、
あまあまのシスコよりも、ストイックなヤマハがベストだと思いたい。
360:359
15/10/03 18:14:11.19 .net
アンカー間違った!
>>358
361:anonymous
15/10/03 18:19:00.98 .net
ヤマハも、シスコみたいに、偉そうな世界レベルの資格試験を行って、
認定制度つくれば、草の根の人たちがヤマハのサポートをするのだろうに。
362:anonymous
15/10/03 18:22:40.86 .net
>>356
ありがとう、ヤマハばかりいじっているが、自信がついたよ。
俺も、伏字がきになる。
「あ あー あー あ 」というリズムをもった固有名詞ってどこだろう。
周りを見回したけどないね。貧乏だからかな。
363:anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp
15/10/03 21:08:31.91 .net
>>359
サポートがメーカー主体のCiscoと、SIやユーザー主体のYAMAHAって感じかなあ。
そもそも金払って保守契約しないならYAMAHAの方が草の根の情報は多いかも。
うちの会社も止まっても影響少ないところはYAMAHA使ってます。
ただCiscoにも1つ文句言いたいのは、Cat3750XのCPU負荷が異常に上がるのを
バグと認めないこと。絶対おかしいと思ってる。
URLリンク(supportforums.cisco.com)
364:anonymous@ae076191.dynamic.ppp.asahi-net.or.jp
15/10/03 21:21:39.92 .net
>>356
ブルーコートだと思う
365:anonymous
15/10/04 00:42:39.47 .net
Black hat
Red hat
Blue Coat
Black Coat
366:anonymous
15/10/04 02:35:24.52 .net
>>363
>金払って保守契約しないならYAMAHAの方が草の根の情報は多い
なるほど。自分たちでなんとかしようとするから、
情報が多くなるわけだ。OSSに似ているな。
367:anonymous
15/10/04 19:26:46.81 .net
>>362
ふぉーてーじだかなんだか?
中小向けネットワーク屋だけど見たことない
368:anonymous
15/10/04 21:04:17.09 rieJ5dat.net
YAMAHAのルーター、インターフェースの名前(ppとかtunnelとかlocalとかppanonymousとか)
中身がどういうブロックになっていて、それぞれどこのインターフェースのことを指してるのか
さっぱりわからなくてフィルタの設定ができん…
いい資料が見つかりそうで見つからない
369:anonymous
15/10/04 21:19:09.81 .net
>>368
ここの1.6とかは?
URLリンク(www.rtpro.yamaha.co.jp)
370:anonymous
15/10/04 22:13:56.44 rieJ5dat.net
>>369
ありがとう!
こういう図を探してました
ちなみにもしわかれば教えて欲しいのですが、外部からIPSecでローカルIPをDHCPで
取得して、
そのパイプ経由でWAN(インターネット)に繋ぐ場合の経路としては下記でいいんでしょうか?
外部PC
↓(インターネット)
回線(PPPoE)
↓
PPインターフェース
↓
NAT(PP)in
↓
NAT(TUNNEL)out
↓
TUNNELインターフェース
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)out
↓
PPインターフェース
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
371:anonymous
15/10/04 23:49:51.02 .net
>>370 こんな感じじゃない?
①トンネル(IPSec)の通信
外部PC(パケットをカプセル化)
↓(インターネット)
回線(PPPoE)
↓
PPインターフェースin
↓
NAT(PP)
↓
フィルタリング↓
↓
ルータ自身(カプセル化解除)
②トンネル内を通る通信
外部PC(①でカプセル化を解除したパケット)
↓
TUNNELインターフェースin
↓
フィルタリング↓
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)
↓
PPインターフェースout
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
372:anonymous
15/10/05 00:45:18.22 lmIog3wp.net
>>371
ありがとうございます!
今までずーっとフィルタ設定と格闘しておかげさまでとりあえず開通は出来ました
リモートアクセスVPN(Anonymous)で設定したためか、PPANONYMOUS→WAN側ポートの
フィルタを開けてやらないとダメなようです
逆にTUNNEL→WAN側は空いてなくても行けてしまいます
どうやら、IPSecで暗号化されたものがTUNNELインタフェースを通ってルータ本体(LOCAL?)
に入って、それがPP(Anonymous)インタフェースに届いて、そんでもってそこからWAN側へ
パケットが流れているようです…
まだいまいち解せない感じなのですが、一応そのルートのフィルタが通っていると大丈夫でした
何れにしてもありがとうございました!!
373:anonymous
15/10/05 00:48:28.00 .net
今時単純なパケットフィルターもしんどいよなー。
上りと下りいちいち書いたりとか、面倒すぎる。
ファイアウォールのポリシーフィルターをルータにも実装してもらいたい。
中国版RTX1200はなぜかファイアウォール機能付いてるのに。
374:anonymous
15/10/05 01:09:19.34 .net
>>372
L2TP/IPsecなんですか?
375:anonymous
15/10/05 01:12:32.31 .net
>>373
動的なフィルタリングじゃだめなん?
376:anonymous@pdf87554b.tokynt01.ap.so-net.ne.jp
15/10/05 01:17:08.71 .net
>>374
はいそうです!
377:anonymous
15/10/05 01:19:16.77 .net
ポリシーフィルターで行けましたよ
378:anonymous
15/10/05 01:23:47.31 .net
プロトコルオーバーヘッドだね
379:anonymous
15/10/05 01:28:42.43 .net
>>378
確かにそうとうヘッダーがくっついてます
380:anonymous
15/10/05 01:29:44.07 .net
>>379
まあ、必要だから仕方がないんだけどね
381:anonymous
15/10/05 01:30:58.47 .net
>>380
そうですねw
382:anonymous
15/10/05 01:32:43.95 .net
>>372
>まだいまいち解せない感じ
ある程度は、文法や、必要なインターフェイスなどから、
内部の概念をあいまいにつかめる。
しかし、プログラミングみたいに、はっきりとその内部構成はわからなかった。
とくに、L2TP/IPSECは、L2TPのリスナーをスタートさせている必要があるけど、
PP ANONYMOUSとどう同調しているか説明できなかったな。
383:anonymous
15/10/05 01:34:11.15 .net
まあ、でもがんばってみてください。
384:anonymous
15/10/05 01:46:39.61 lmIog3wp.net
>>382
そうなんですよ
そこが私もよくわからなかったんです
LOCALというのはルーティングブロックのことを指していると思うのですが、
TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
そうするとどういうわけかPP ANONYMOUSからパケットが出てくる(ようにみえます…)
で、この時点ではローカルネットワークで流通可能なパケット(カプセル最内層のIPパケット)
になっていて、あとはそれを必要なポートに流れるようフィルタを組んでいく…
今のところ、このような理解です
>>383
まだまだ勉強が必要ですが、とりあえずどうもありがとうございました
385:anonymous
15/10/05 07:45:28.97 .net
___
. | |
| |
| |
[二二二二二二]
〈 〉
. /_____ \
| |
386:anonymous
15/10/05 08:20:17.52 .net
>>385
なんだよそれ
387:anonymous
15/10/05 13:43:53.34 .net
>>384
>TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
>そうするとどういうわけかPP ANONYMOUSからパケットが出てくる
TUNNEL と、PP ANONYMOUSとが、バインドしている。(PP ANONYMOUS の定義で、TUNNELを指定している)
対向 ⇔ ----(IPSEC)---- 「 TUNNELインターフェイス ⇔ -----(L2TP)----- 「L2TPサービス<協調>PP ANONYMOUS」 ⇔ LANインターフェイス」 ⇔ pc
こんなイメージじゃないかな
388:anonymous@p2082-ipbf2008hodogaya.kanagawa.ocn.ne.jp
15/10/09 07:51:52.01 .net
最近中古で買って弄ってるんですけどフィルタについて教えてください
ネット上の設定例などで明示的にdefaultフィルタを定義してるのはどうしてでしょうか?
また、定義しなくてもrejectされるstaticフィルタをあえて定義しているのはログを見やすくする為ですか?
389:anonymous
15/10/09 08:19:26.81 .net
>>388
基本的にフィルターは入れないと機能しないから入れてるわけで、入れないで機能するフィルターってのはない。
敢えてあるとしたら全てをパスするフィルターぐらい。
フィルター以外の設定でも、デフォルトでいいってものでも後々のために明示しておく意味で入れることもある。
390:anonymous
15/10/09 09:25:32.50 .net
>>389
なるほど
分かりやすい説明ありがとうございました。
391:anonymous
15/10/10 00:28:42.14 .net
>>388
>明示的にdefaultフィルタを定義してる
例えばどんなタイプのですか?
ip filter 9999 reject * *
のことですか?
ヤマハのRTXルーターだと、一つでも静的フィルタを「適用」すると、(注意!定義ではなくて、インターフェイスへの適用ね。)
デフォルトで、上記のようなリジェクトフィルタが暗黙的に設定されるよね。
392:anonymous
15/10/10 08:50:57.86 .net
すみません、質問です
YAMAHAさんのルーターは、ポリシーフィルタの動作としてpass, static-pass, reject, restrictの
4種類あると思いますが、
下記ページ中程のポリシー動作の説明表を見てもrestrictの使い所がいまいちわかりません
URLリンク(www.rtpro.yamaha.co.jp)
restrictはどういうときに使うと便利なのでしょうか?
393:anonymous
15/10/10 10:30:00.02 .net
>>391
それにやられたことあったわ
394:anonymous
15/10/10 14:08:11.50 .net
IPsec/L2TPトンネルへの接続が試みられたときに、メールを送信し通知することって
どうやったらできるでしょうか。
395:anonymous
15/10/10 14:26:17.69 .net
>>394
Luaに対応してる機種ならスクリプト組めばできるだろうな
URLリンク(jp.yamaha.com)
396:anonymous
15/10/10 14:29:20.16 .net
もう一個上の階層のほうがいいな
そのものズバリはないが参考にはなるだろう
URLリンク(jp.yamaha.com)
397:anonymous
15/10/10 16:18:49.10 .net
パッケージとかないんですか
398:anonymous
15/10/10 16:23:59.13 .net
甘えてんじゃねぇ
399:anonymous
15/10/10 17:22:21.69 .net
ルーターでプログラミングすることになるとは・・・
400:anonymous
15/10/10 17:30:22.56 .net
誰か作ってください
401:anonymous
15/10/10 17:36:31.93 .net
いきなり、組もうとしても、
まずは、HELLO WORLDから始める必要があるので面倒だな。
まずは、メールでHELLO WORLDを送信するところから始めないといけない。
そして、メールで送れることが確信されてから、次のステップへ進む。
次に、どうやってIPsecの接続が試みられたか検知するか、
その仕組みを考える必要がある。
こういうときに、先輩方の設定例が役に立つが、そんな例があるかどうか。
接続元情報やその時間も、メールで通知したいところだなあ。
402:anonymous
15/10/10 17:39:31.63 .net
IPsec接続時に、イベントなんて発生しないのかな。
それがあれば、イベントハンドラを設定すればなんとかなりそうに思うけど、
LUAってそういうOS的なシステムは備えていないのだろうか。
定期的にログを読みだして、分析して、判断して、
メール通知という流れになるのなら、やだなあ。
403:anonymous
15/10/10 21:40:56.80 .net
rt.syslogwatch を使えば、ログが吐かれたタイミングでなにかを動かせる。
URLリンク(www.rtpro.yamaha.co.jp)
使用例見たらすげーヒントだし、あとは「試みられたとき」にどんなログが吐かれるのか調べたらそれで作れるでしょう。
404:anonymous
15/10/10 22:11:10.05 .net
>>391
rejectは書かないとrejectされない。
基本的にフィルターはpassするから、実務上敢えて
ip filter 20000 pass *
なんかをいれることがある。
別の人が見たときにreject入れ忘れてるだけなのか、passさせてるのかってのがわかるようにね。
あとはフィルター以外でもsyslog notice offとか、info onもいれるときがある。
405:anonymous
15/10/10 22:12:16.16 .net
>>403
luaは書けるようになると便利だよ。
406:anonymous
15/10/10 22:12:19.33 .net
リソース食いそうだな
素直にsyslog飛ばしてそっちでいろいろやるツールとかはいっぱいあるんじゃね?
407:anonymous
15/10/10 22:18:37.69 .net
>>404
そんなの?
何もいれなければオールパス
一つでも何か入れたら指定してないパケットはデフォルトでrejectだと思うが
408:anonymous
15/10/10 22:26:26.76 .net
>>407
少なくともCUIで設定するとそんなことはないな
RejectいれないとPassする
409:anonymous
15/10/10 22:45:00.41 .net
>>408
ここを読むと何も指定なしはオールパス、何か一つでも指定するとして以外はrejectになると
読めるんだけど…
機種によって違うの?
URLリンク(www.rtpro.yamaha.co.jp)
410:anonymous
15/10/10 22:57:51.34 .net
>>409
これ、ファイアウォールじゃない?
ヤマハルーターの話かと思ってたのだけど。。。
411:anonymous
15/10/10 23:00:06.91 .net
>>409
ファイアウォール製品だと、ポリシーを見ていって、該当しないのは破棄するからrejectと同じ扱いになる。ファイアウォールなんだからポリシー外は通さないのはあたりまえ。
412:anonymous
15/10/10 23:01:10.73 .net
>>410
ファイヤーウォールとルーター違うんだ…
ポリシーフィルターは違ってもいいとして、入力遮断フィルタの設計ポリシーは
ルーターの静的フィルタと統一してほしかったな
YAMAHAさんお願いしますよ
413:anonymous
15/10/10 23:02:07.46 .net
>>411
なるほどね
そう言われれば納得はできるな
414:anonymous@s1001196.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 00:20:54.08 .net
エロい人教えてくだされ。
415:anonymous
15/10/11 00:23:52.05 .net
>>414
何すか?
416:anonymous@s1001196.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 00:26:52.39 .net
すまん、、RTX810で
ip lan1 address 172.16.4.1/24
dhcp scope 1 172.16.4.32-172.16.4.99/24
を設定してあるCONFIGで
1、コンソールからなら
ping 172.16.4.1
が通るがLANからだと通らない
2、ただし、DHCPクライアントの172.16.4.32,33にはpingが通る
なにが行けないか教えてください
417:anonymous@s1001196.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 00:27:20.63 .net
>>415
はやっ!
418:anonymous
15/10/11 01:06:25.91 .net
>>416
パソコン
419:anonymous
15/10/11 01:19:02.71 .net
>>404
じゃあ、デフォルトフィルタってなんだった??
RTXでなくて、RTAシリーズの話だったっけ?
420:anonymous
15/10/11 01:21:19.23 .net
>>406
確かに、そうですね。
気が付かなかった。シスログを飛ばしたことすらなかったので、
今後検討してみたいと思います。
syslogdで、受け取るたびにスクリプトに引数として渡すこととかできるのかな?
421:anonymous
15/10/11 01:23:30.79 .net
>>416
telnet でルーターにアドミンであくせすして、
show log | grep reject
で何が蹴られているのか確認してみましょう!
422:anonymous
15/10/11 01:58:56.65 .net
>>420
もっとラクにいけるだろ
Linuxサーバのsyslogdに飛ばして、swatchで特定文字列検出時にメール発報
423:anonymous
15/10/11 02:01:38.82 .net
>>422
ARIGATO!
424:anonymous
15/10/11 02:05:02.76 .net
>>403
tnx!
しかし、RTX単体で実現できるかもしれないのも捨てがたいな・・
ちょっと、いろいろやってみたい。
425:anonymous
15/10/11 08:21:40.46 .net
>>419
デフォルトフィルターってのはルーターにはなくて、多分ファイアウォールにはあるんでない?それか、GUIで設定したときに入る奴をさしてるのかね。
てか、ネットワーク構成によって入れるフィルターなんてかわるでしょ。デフォルトもクソもあるわけないだろとおもうわけなのだけど。。。
SMBをRejectしたりするのも公式とかマロンちゃんなんかの解説で入れることが推奨されてるから、インターネットに出る際のデファクトスタンダードなフィルターであるのかもしれないけど、ネットワーク構成によってはpassしないといけないこともあるわけで。
デフォルトなんて存在しないか、目的別のやり方があると考えた方がネットワーク構築する人間としては柔軟に対応できるのではないのでしょうか。。。と、私は思いました。
426:anonymous
15/10/11 08:22:23.13 .net
>>424
Luaスクリプトってヤマハ限定の言語だと思ってたらそうでもないことをさっき知ったわ
427:anonymous
15/10/11 08:26:28.34 .net
>>416
syslog notice on もわすれずに!
428:anonymous
15/10/11 08:29:56.68 .net
>>416
(´・ω・`)まあ、クライアントがWindowsだったら、ファイアウォールを切ってみるといいかもね。
やつらは初期状態だとping返さないし
429:anonymous
15/10/11 08:58:57.65 .net
>>421
冷静に考えて、インターフェース内の出来事だから、フィルター関係ないよね?
430:anonymous
15/10/11 09:14:32.71 .net
>>425
NECのIXだとフィルター無しはAll permit
permit・denyどちらの条件でも、1件でも設定した時点で、
All denyのフィルターが暗黙で設定される仕様だな。
結局、ハードのお作法っつー事で、
そういうもんだと、覚えておきゃ良いんじゃね?
どうしても馴染めないなら、
NECに乗り換えれば、君の思うように動いてくれるよ!(笑
431:anonymous@s1308049.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 09:39:00.11 .net
>>421
Searching ...
432:anonymous@s1308049.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 09:44:52.28 .net
また途中で・・
送ってしまった。
telnet 接続はできないのでコンソールから。
↑のメッセージがでて、なにも起こらず。
一行づつコンソールから入力してみます。m(__)m
433:anonymous@s1308049.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 10:29:13.13 .net
ありがとう
434:anonymous@s1308049.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 10:36:44.46 .net
またっ・・Android+Blutoothキーボードの罠に
ありがとうございます
sys log notice on
でやってみたら。。
これらが原因に、、
2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.1:3389
> 172.16.4.250:3896
2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 1
72.16.4.250 : unreachable port
2015/10/11 10:10:01: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.250:25
12 > 172.16.4.100:21
2015/10/11 10:10:02: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 1
72.16.4.100 : unreachable net
2015/10/11 10:10:02: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.1:80 >
172.16.4.250:2569
2015/10/11 10:10:03: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 1
72.16.4.100 : unreachable net
filterをみると、、
ip filter 200003 reject 172.16.4.0/24 * * * *
ip filter 200013 reject * 172.16.4.0/24 * * *
↑悪さをしてそうなFilter
435:anonymous@s1308049.xgsspn.imtp.tachikawa.spmode.ne.jp
15/10/11 10:37:14.78 .net
これ確か、外部からのプライベートアドレスをリジェクトするためにつけた
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
に勝手に追加されてる・・なぜだかわからないけど
これ取ってみます。ありがとうございました。
436:anonymous
15/10/11 20:30:54.84 .net
>>416
>が通るがLANからだと通らない
出来るだけ具体的に何をどうしたか書いたほうがよい
>2、ただし、DHCPクライアントの172.16.4.32,33にはpingが通る
これはルーター172.16.4;1から172.16.4.32へping を打つと応答あるって事?
その逆の
172.16.4.32からルーター172.16.4.1へはpingが通らないって事?
>>434
おにいたんそれはインターネット側へのフィルターや
今回の件には関係ない
437:anonymous
15/10/11 22:12:12.70 .net
>>435
なんでrejectのあとの引数5個あるんだっけ?
送信元IP, 送信先IP, 送信元ポート, 送信先ポート
あと一つ何だっけ??
438:anonymous
15/10/11 22:16:48.10 .net
プロトコル
439:anonymous
15/10/12 11:45:44.04 .net
>>438
サンクス
3つめにプロトコル番号が入るのか
なんか順番が変なの
プロトコル番号, 送信元IP, 送信元ポート, 受信先IP, 受信先ポート
の順番の方がしっくりくる
440:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/10/12 19:01:52.43 .net
>>422
syslogdでなく
syslog-ng使えばswatchも不要
441:anonymous@HDOfb-20p4-220.ppp11.odn.ad.jp
15/10/12 19:03:16.31 .net
>>436
うん、ダメだった・・
442:anonymous@HDOfb-20p4-220.ppp11.odn.ad.jp
15/10/12 19:07:53.11 .net
またっ・・
フィルター削除してもだめで、RTX810をcold startして全部設定しなおした。
CONFIG流し込むとDHCPでアドレス取得したクライアント PCからなぜかRTX810にアクセスできなくなるという、、「お前がアドレスくれたんだろう」という状態に(汗
RTX1100が安く手に入ったのでVPN拠点増やしてみますノシ
443:anonymous
15/10/12 20:08:56.45 .net
ODN昔使ってたなぁ
RTX1100なんてネットワーク扱ってる知り合いでもいればタダで腐るほどくれると思うの。
444:anonymous
15/10/12 20:39:08.75 .net
>>442
DHCPのデフォルトゲートウェイは指定してるかい?
445:anonymous@ae089212.dynamic.ppp.asahi-net.or.jp
15/10/12 21:34:47.19 .net
そもそもDHCPとpingの疎通なんて
何の関係もないと思うが。
同じ設定を各ホストにマニュアルで設定しても
同じ結果になるでしょ? 普通は。
無駄に話を長くしてるような。
446:anonymous
15/10/12 21:51:12.43 .net
゙'. '.;`i i、 ノ .、″
゙'. ,ト `i、 `i、 .、″
| .,.:/"" ゙‐,. ` /
` .,-''ヽ"` ヽ,,,、 !
、,、‐'゙l‐、 .丿 : ':、
、/ヽヽ‐ヽ、;,,,,,,,,,-.ッ:''` .,"-、
,r"ツぃ丶 `````` ../ `i、 クソ話してる
,.イ:、ヽ/ー`-、-ヽヽヽ、-´ .l゙`-、
_,,l゙-:ヽ,;、、 、、丶 ゙i、,,、
,<_ l_ヽ冫`'`-、;,,,、、、、.............,,,,、.-`": │ `i、
、、::|、、、ヽ,、、. ```: : : ``` 、.、'` .|丶、
.l","ヽ、,"、,"'、ぃ、、,、、、、.、、、.、、、_、.,,.ヽ´ l゙ ゙).._
,、':゙l:、、`:ヽ、`:、 : `"```¬―'''"`゙^` : ..、丶 .l゙ `ヽ
,i´.、ヽ".、".、"'ヽヽ;,:、........、 、、...,,,、-‘` 、‐ |゙゙:‐,
,.-l,i´.、".`ヽ,,,.".` `゙゙'"`'-ー"``"``r-ー`'": _.‐′ 丿 ,!
j".、'ヽ,".、".、"`''`ー、._、、、 、._,、..-‐:'''′ .、,:" 丿
゙l,"`"`''ヽヽ"`"` ```゙'''"ヽ∠、、、、ぃ-`''''": ` 、._./` ._/`
`'i`ヽヽヽ`''ーi、、、: : 、.,-‐'` 、/`
``ヽン'`"` : `~``―ヽ::,,,,,,,,,,.....................,,,,.ー'``^ ,、‐'"`
`"'゙―-、,,,,..、、 : ..,、ー'"'`
: `‘"`―---------‐ヽ``"''''''""
447:anonymous
15/10/12 23:19:23.85 .net
IPアドレスが機器とバッティングしてて管理画面が見えないのに
DHCPサーバとして昔の設定撒いてる現場あったなぁ
あれは原因みつかるまで時間かかった・・・
448:anonymous
15/10/12 23:34:36.86 .net
>>447
時間かかる理由が思いつかない
449:anonymous
15/10/13 00:29:26.97 .net
>>440
>syslog-ng
情報ありがとう!
450:anonymous
15/10/13 00:39:47.20 .net
>>447
一種のクラッキングみたいな状態になっているな。
現場だと、フロアまたいでスイッチが多段に接続されていると思う。そこから隠れdhcpサーバを探すのはたいへんだろうな。
ましてや、管理画面にもたどれないなんて、歩き回って探さないと駄目になるな。
DHCPって、リンクアドレス層のアドレス使ってブロードキャストするんだったかな。
それだと、自分自身でIPアドレスが他とバッティングしていても平気ということになるよな。
ところでIPv6だとどうなるんだろうな。
少なくとも、IPアドレスがバッティングして、管理画面に到達できないことはないように思う。
451:anonymous
15/10/13 00:41:28.81 .net
>>442-443
RTX1100は、かなり発熱があるけどいいの?
冬はヒーター替わりになるけど、夏は大変よ。
452:anonymous
15/10/13 00:48:13.45 .net
>>434
>2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.1:3389 > 172.16.4.250:3896
>2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 172.16.4.250 : unreachable port
おい、このログ、おかしいぞ。(>>416の人ですよね)
172.16.4.250はPCなんですか。172.16.4.1は、RTX810だよね。
すると、RTX810から、PCに向けているのに、LANインターフェイスではなくて、PP01に向かって行っているってことだぞ。
ルーティングの設定が間違っていないか?
453:447
15/10/13 07:49:44.11 .net
>>450
たどったよ
劣化?で設定初期化された無線APが配ってた
454:anonymous
15/10/13 08:31:25.58 .net
>>450
自動生成でのアドレス被りが無くても野良RAでdefault gateway曲げられる事はあるかも。
dhcp snooping、ra guardみたいなのは使えるなら使っておく方が後々ラク
455:anonymous
15/10/13 11:48:51.84 .net
>>452
ルーティングというかネットマスクかな?
456:anonymous
15/10/13 13:33:03.86 .net
>>446
糞は要らん死ね
457:anonymous
15/10/13 14:10:59.00 .net
>>454
マルチプリフィックスになってしまいますよね
458:anonymous
15/10/13 15:19:20.77 .net
DHCPサーバを勝手に立てられる問題って、
根本的なところに、まだかつての善意のネット思想が残っている気がする
459:anonymous
15/10/13 15:53:45.90 .net
──────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
──────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
URLリンク(premium.2ch.net) 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
460:anonymous
15/10/13 17:14:54.55 .net
あの、すみません。
Windows 10の、標準VPN(IPsec/L2TP)と、RTX1200との接続できた方っていらっしゃいますか。
Windows 10も、7や8のようにして、設定すればいけるでしょうか。
今、格闘中で、
なぜか、RTX1200のリジェクトログにすら表示されないという段階
Windows10のファイアーウォールで、アウト方向でも明示的にパス設定とか必要になってくるのかな??
461:anonymous
15/10/13 17:30:07.65 xR+OZEty.net
>>460
レジストリは変更したの?
462:anonymous@KD119104123245.au-net.ne.jp
15/10/13 19:51:21.83 .net
netvolanteの名前の設定みすとか。
俺、どうしても@付けたくなるんだよなぁ。。。
463:anonymous
15/10/13 20:30:32.10 .net
>>457
そうすることもできるしgw通知だけもできる。prefixはraのオプションのひとつ。
464:anonymous
15/10/13 21:40:33.53 .net
>>462
ミスってaa1にしちゃったときのめんどくささ・・・
465:anonymous
15/10/13 22:00:54.39 .net
>>464
aa1だめなの?
つーか選べたっけそんなの
466:anonymous
15/10/14 00:05:46.88 .net
>>461
いえ、まだです。
Windows 10は、NATとラバーサルが最初からオンになっているとかどこかで耳にしたことがあって。
467:466
15/10/14 03:09:00.47 .net
できました!ありがとうございます。
Windows 10 pro 無償版から、標準VPN(IPsec/L2TP)⇔ RTX1200 トンネルがつながりました。
Windows側は、ファイアウォール オンでいけます。
>>466は記憶違いでした。NAT traversalの設定が必要のようです。
設定後、lan内で、RTX1200にIPsec/L2TPで接続確認して、Windows 10でもつながることを確認してから、
それから、インターネット側からRTX1200につなぎました。
468:anonymous
15/10/14 06:52:32.20 Z/w/Puum.net
>>467
ええんやで
実用性は少ないけどEl Capitanでも繋がるよ
469:anonymous@ac096018.dynamic.ppp.asahi-net.or.jp
15/10/14 08:23:49.79 JxduwUMq.net
YAMAHAルーターに限った話じゃなくて申し訳ないんだが、情報あったら教えてくれるとうれしいです。
縦置き用モデム、ルータを、横置き&重ね置きにして壊れたとか出火したとかの経験者いらっしゃいますか?
最近モデムの説明書を閲覧したら、絨毯の上ダメ、横置きダメ、重ね置きダメ、上に物置くのダメ、火災の原因になりますと
書いてあるが、3年ほど上記4項目該当状態で使用してた。
使用する上で問題はなかったんだが、モデムとルーターの白色プラボディは熱による変色?で黄ばんでる。
熱暴走はありえるけど異常発熱による出火って聞いたことありますか?
470:anonymous
15/10/14 08:25:20.33 .net
>>465
aa1のデメリットはわからんが、オプションでサーバー選べたはず
471:anonymous
15/10/14 08:30:54.09 .net
>>469
客先まわってるとかなり劣悪な環境で使ってるのを見るけど、火災になったことはないな。
ただ、1100なんかはものすごく発熱するからちょっと怖いな。
まぁ、なんにせよ安全なんてのはないから、説明書守るのは最低限ですな。
472:@ac096018.dynamic.ppp.asahi-net.or.jpさん(恥
15/10/14 08:43:23.20 .net
<<471
情報ありがとうございます。数多く見てきている人の意見は参考になります。
今回の件で説明書しっかり確認しないといけないと反省。
特に家庭向けの低価格タイプは怖いね。
結局、値段=品質ですかね。
473:anonymous
15/10/14 16:32:55.47 .net
>>469
可能性の問題だから
普通の家電でも通風孔塞いだら火災の原因になる場合がありますよって話だと思うよ
474:anonymous
15/10/14 16:34:43.46 .net
>>470
aa1とかはサーバーじゃなくて名前重ならないようにしてるだけだと思う
サーバー選べるのはヤマハが用意してるddnsサーバーを選べる事だと思う
475:anonymous
15/10/14 16:39:26.01 .net
発火には、数百度(摂氏)にまで温度上昇が必要になるよね
換気しなかったら、エネルギーが蓄積して、温度上昇になるのかな。
そう考えると、金属筐体は、熱伝導が素晴らしいから、良いんだなあ。
RTX1210だけがそうだったかな。
476:anonymous
15/10/14 16:53:53.28 .net
>>469
大げさに書かれてるのは、PL法対策だな。
起こる可能性が低くても、注意書きとしてかいておかなきゃ、
訴えられた時に負ける。
まぁ発熱する物の放熱を妨げたら、やばくなるのは
当たり前な訳で、火が出ないとは、言えん罠。
477:anonymous
15/10/14 18:44:13.26 .net
>>471
RTX1100ってどうしてあんなに発熱するんだろう。
RTX1200を使うようになってからは、その発熱が異常に高いなと思うようになった。
RTX1100はほとんどの処理を汎用CPUで回しているんのかな。
今は金属筐体のネットギアのハブが放熱板替わりになっているわ。
478:anonymous
15/10/14 18:46:06.74 .net
>>474
ということは、もしaa2とかになっていたら、
同名のホストが、aa1に存在しているってことになるのかな。
以前、つかっていたときは、推測できないような非常にややこしい名前にしていたなあ。
479:か
15/10/14 18:48:06.01 .net
>>474
勝手にドメインつけられるよりも、
使われてるから別のものを指定しろってエラー出してくれた方が嬉しい
config流し込むときも苦労しないし
480:か
15/10/14 18:50:42.35 .net
>>478
そう
昔ありふれたホスト名つけた業者がaa6まで行ってるドメイン使ってて、つけなおしたよ
481:anonymous
15/10/14 21:20:08.38 .net
>>477
ソフトウェア処理が多いからでないかね。
ネットギアのハブもあっつくならない?
持てないほどちんちんに熱くなってるやつあったりするんだけど。。
482:anonymous
15/10/14 23:23:20.41 .net
RTX1000でAESとかやるとおっせーくせに熱くなってた覚えがあるな
483:anonymous
15/10/14 23:31:02.66 .net
ファームアップで機能追加しまくって、その全てがソフトウェア処理だからしゃーない。
当初の実装以上の機能を持たせても動いてるからある意味オーバースペックなルーターだったんだよな。。。
お疲れ様1100。もう1200に代わって良いんだよ。。。
484:anonymous
15/10/14 23:33:00.95 .net
>>475
1210は金属だし、開口部広いから放熱は良いね。
しかも1200と比べて発熱も減ったみたいだし。
485:anonymous
15/10/15 01:34:48.38 .net
>>481
うん、最初は、ハブが暴走して発熱して、RTX1100に伝導しているのかと思ったんだ。
そしたら、逆だった。RTX1100が熱くなっていた。
大した処理させずに、単にレイヤー3スイッチ替わりにしてネットワーク関門に設置していただけだったんで、
まさかそれほど発熱しているとは思わなかった。
>>483
追加された機能は、ソフトウェア処理されるものなのか。
そういえばそういうことだよなあ。
ファームアップで、当初の設計とは違って、無理させているところもあるのかもしれないな。
RTX1200は、もう全然ファームアップされていないから、
でも考えてみれば、その必要がないということであって、良いことなのかもしれない。
486:anonymous
15/10/15 01:36:13.86 .net
>>480
router1とか多そう。
487:469
15/10/15 01:50:45.39 .net
>>473,475,476
情報ありがとうございます。
100均の延長コードが発火の恐れで自主回収されたり、
オイルマッチで火事になったり、メイドカフェが火事になったりと
最近火事が多いから気をつけますわ。
これから暖房器具も使う季節だしね。
みなさんありがとうございました。
488:anonymous
15/10/15 06:32:53.15 .net
>>487
おう
火の取り扱いには注意な。花火やるときには水を入れたバケツは必須だぞ
489:徹夜明け
15/10/15 09:24:19.97 .net
>>453
もしかして牛の無線AP?
瞬停で電源落ちて設定初期化されるバグみたいなのがあって俺も難儀しました
490:anonymous@61.72.239.49.rev.vmobile.jp
15/10/15 13:32:48.51 .net
>>488
RTX1100のそばにはバケツが必要、と
491:anonymous
15/10/15 14:19:41.00 .net
RT100iはスゲー壊れなかったなw
492:anonymous
15/10/16 01:48:16.84 .net
局内設備側で工事があり、通信断が発生するとの連絡がNTTからあった。
フレッツひかり回線が平日に30分ほど停止するらしんだけど、業務に支障がでる。
これって、休日とかに変えてもらうことってできるんだろうか。
あきらめるしかないんだろうか。
頼んでいないことなので、せめて、深夜、早朝や、休日にやってもらいたい。
493:anonymous
15/10/16 05:01:52.95 .net
YAMAHAのaa0とかのdnsサーバって、
たぶん、MACアドレスがパスワードになっていそうだ。
書き換え時に、作成時と同じMACアドレスで認証してそう。
494:anonymous
15/10/16 07:10:30.35 .net
>>492
フレッツひかりは無理
加入電話とかINSネットなら保証あった気がするけど
ちなみにI回線うちの局深夜に短時間工事があるわ
495:anonymous
15/10/16 07:59:49.62 .net
>>492
専用線を申し込もう
496:anonymous
15/10/16 08:33:59.38 .net
>>492
逆に頼まれても別にやらない
497:anonymous
15/10/16 09:04:27.98 .net
>>492
うちも局内設備工事あるけど深夜帯だけどな
業務に支障がでるならADSLとかモバイル端末とか日ごろから準備したほうがよくないか?
498:anonymous
15/10/16 09:05:38.87 .net
モバイル端末じゃなくてモバイル回線
499:anonymous
15/10/16 13:00:06.87 .net
>>493
まじで?ぢゃあ、MACアドレス割れたらオーバーライドされちゃうってのと?
さすがに暗号化してるんじゃないの?
500:anonymous
15/10/16 15:12:46.57 .net
>>494
保証があれば、「やめて」といえば、なんとかしてくれるってことかな。
それが、フレッツひかりにはないわけなのか。
>>497
まったく代わりができるなら、そういうバックアップ回線もありかもしれないけど、
うちは、複数のプロバイダを使っていて、アドレスも固定しているから、フレッツひかりじゃないと駄目なんだ。
一番痛いのは、IP電話(ひかり電話も含む)が使えなくなってしまうことかな。
ダメもとで問い合わせてみるか。
501:anonymous
15/10/16 23:41:32.38 .net
>>500
バックアップ用CONFIG書けば・・・
502:anonymous
15/10/17 00:35:10.60 .net
>>501
利用している固定IPは、フレッツ光専用なんですよ。
その固定IPでなければ、拠点との間のトンネルを作成できないように、フィルタリングもしているし。
動的IPで賄えるなら、そういう切り替えも考えられるかもしれないですね。回線は非常に細くなるとは思うけど。
ちょっと今の運用形態では、バックアップ時用の、コンフィグは思いつきません。
503:anonymous
15/10/17 04:55:39.53 .net
管理者権限で設定を書き込んでsaveしなかったら、
次回のログイン時に「不揮発性メモリに保存されていない情報があります」って表示されます。
この内容を思い出せないとき、何かその変更を現すためのコマンドってあるんでしょうか。
504:anonymous
15/10/17 09:32:15.86 .net
>>503
1回前のCONFIG呼び出せなかったっけ?
今のCONFIGを一旦セーブして呼び出してみれば
暗黙の定義を明示したとか大した変更点じゃなかったりするけど
505:anonymous
15/10/17 15:54:46.10 .net
>>502
固定IPでなにしてるかわからないけど、バックアップ回線で固定IPとってそっちでも運用できるようにするのは常識かと。
それか、動的でもバックアップ回線でVPNで同じようなサービス使える拠点につなげて一時的にちがうGIPだけど一応は使えるようにしたり。
VPNのための固定IPだったらどの道バックアップ回線でもつなげられるようにするべき。
こっちがセンターだったら分からないけど、多拠点接続のVPNならセンター以外は動的にできるわけだし、やりようはいくらでもあるよ。
その辺の構成は運用している以上できないでなくなるべくできる方向で構築しないといけないでしょ。
506:anonymous
15/10/17 15:59:21.55 .net
別にDDNS使えば動的IPでもいけるけどな
507:anonymous
15/10/17 15:59:40.83 .net
平日に30分ほど停止する って話で連絡されているならフルに30分停止ってわけでもないだろうしねえ
情シスが思ってるほど停止が許されない環境って意外とないよ
と平気で60分止めた俺が言っても説得力無いけど
508:anonymous
15/10/17 17:57:53.72 .net
>>505
>バックアップ回線で固定IPとってそっちでも運用できるようにするのは常識
>なるべくできる方向で構築
>>507
>情シスが思ってるほど停止が許されない環境って意外とない
様々なご意見ありがとうございます。
規模によると思うんですが、うちは5拠点で全体で50人ほどです。
IP電話関係は、今回工事のある中心的な拠点の光回線に完全に依存しているので、全体的に影響を受けます。
どういうことになるかというと、電話の受発信ができなくなる。
また、各種サーバーもそこに存在するので、アクセスができなくなる。
メールの送受信もできなくなるし、ファイルも取り出せなくなる。できるのは、各拠点でローカルPC上のみで可能なことだけ。
たしかに、30分間といっても、数分のダウンかもしれないし、いやでもそれ以上になるかもしれない。保証がない。
あまり会社の人たちに、そういうなにもかも使えないという無様なところを見せたくないという意地みたいのがあって。
背景にどういうことが生じていて、サービスが使えないのか理解してくれないかもしれない。
「一拠点の回線が駄目になれば、全部だめなのかよ、変な仕組みにしているものだ」と思われるくらいでしょうか。
社員はIT関係に疎いんですね。効率化のためにそういう仕組みにしていることも理解してくれないだろう。
そういう社員に悪く思われたくないですね。
509:anonymous
15/10/17 17:58:56.65 .net
<つづき>
バックアップ回線自体は用意していない。
ひかり回線をもう一本となると、コストがかかってしまうし、理解が得られないように思う。
経営者と、社員との板挟みですよ。
(バックアップ用のプロバイダは用意していて、切り替えは自動的にするようにしている。でも。今回は回線自体のダウンだから無意味。)
また今回の場合、他社の光回線でも用意しない限り、両方の回線に対して局側工事をされてしまいそう。ダウン時間も伸びたりして。
工事は、営業時間を避けようと思えば避けられることなので、そのためにバックアップ回線を用意するのも納得できないところがある。
>>506
安全のために、IPレベルでの静的フィルタをつけているんですよ。
だから、DDNSでは対応ができない。また、アドレス更新時や名前解決のトラブルでトンネルがなかなか結べないトラブルも避けたいから。
まあ、でも、こういう事態に備えて、普段から対策を考えたいとは思っています。
拠点がダウンしても使えるように電話をとりつけるなど。
今回の件ですが、問い合わせたところ、日程を変更してくれるかもしれない感じです。
ありがとうございました。
510:anonymous
15/10/17 18:36:18.18 .net
平日昼間に計画停止なんてあり得るの?
いくらフレッツでもそれはないでしょ。
うちでそんなことされたら営業呼んで調整してもらうよ当然。。
511:anonymous
15/10/17 19:16:22.33 .net
>>510
なんか、ごく一部の区域だけみたいでした。
一般民家扱いされてしまったかもしれないですね。
一般用の光回線だし。
512:anonymous
15/10/17 20:00:40.59 .net
ラックに収まっているRTX1200を久しぶりに見たんだけど、かっこいいなあと思った。
全面にコネクターやLEDが来ているのが、デザイン的にはいいね。
筐体の色と直角になったスリムなスタイルも良い。
ラック内のまとめ役だからね。
頑張ってくれているんだなと投影に十分耐えうるものがある。
513:anonymous
15/10/17 20:57:56.93 .net
>>510
専用線でもないのに図々しいこと
514:anonymous
15/10/17 22:21:38.72 zXwEX0wA.net
>>514
大雑把に言って回線工事の予告で謳っている時間が30分ならその範囲で終わるはず
2時間を超えて停止するようだと総務省報告義務が生じるので事故扱いだし
>あまり会社の人たちに、そういうなにもかも使えないという無様なところを見せたくないという意地みたいのがあって。
NTTからの予告文書をそのまま社内に通知して不満が出るのを心配しても仕方がない
不満が出るようなら同じような事態に備えた予算を確保して調達・維持するのが情シスっちゅうことだな
現状では対応できる体制ではないようだし
515:anonymous
15/10/18 02:52:52.55 .net
>>508
そのパターンはNTT外線の支障移転とかで光ケーブルが物理的に発生する断の場合がある
専用線契約なら、回線借用の扱いで時間調整ができるが、専用線でもなんでもないフレッツの回線はそんなもん
>>513が答えになる
そもそもバックアップがない時点で・・・ということになる
IP電話を経費削減で入れるとそういう例が発生するんだよな
ひかり電話も加入電話と同じ扱いだから、そういう事例がある。加入電話でも通常のそういうものはほぼ日中しか
やらないことがほとんど
近頃はフレッツ=専用線とほぼ同じと勘違いしてる例が多いからな
516:anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp
15/10/18 03:11:00.24 .net
いやいや、専用線なんて化石に大金払ってるのはNTTの養分だけ。
もちろん100M以上の帯域保証が必要なら仕方ないけど、
そうでない拠点は、今時フレッツやLTEで基幹系も流すの普通ですけど。。
24時間サポートオプションだってあるわけだし。
故障なら仕方ないけど、フレッツの計画停止を平日昼間なんてありえないよ。
何かの勘違いじゃないの?
517:anonymous
15/10/18 03:44:46.38 .net
>>508
これを機にUSEN GATE 02でもいいので専用をいれましょう。
まぁ、諸般の事情で使えない時間ができるのを分からない人に説明するのもまた技術。
518:anonymous
15/10/18 06:50:09.55 .net
>>514
>2時間を超えて停止するようだと総務省報告義務が生じるので事故扱い
そういう制度があるなんて知らなかったです。
さすが日本です。条件きびしい。
>NTTからの予告文書をそのまま社内に通知して不満が出るのを心配しても仕方がない
>事態に備えた予算を確保して調達・維持するのが情シスっちゅうこと
対策となると、予算かかるし、自動切り替えともなれば、技術が要りますね。
RTXで、同一回線において、別プロバイダへのバックアップルートと自動切り替えを設定するだけで精いっぱいです。
なんとかこれを応用するなら、RTXからさらに上流に2台のルーターを設置して、それぞれに別回線を接続すれば、いけそうですね。
519:anonymous
15/10/18 07:01:09.11 .net
>>515
>そのパターンはNTT外線の支障移転とかで光ケーブルが物理的に発生する断の場合がある
>ひかり電話も加入電話と同じ扱いだから、そういう事例がある。加入電話でも通常のそういうものはほぼ日中しかやらない
ひかり電話を利用可能にする「ひかり回線」自体が、「加入電話扱い」だという理解をしても良いでしょうか。
「移転」が意味するのは、ケーブルの電柱などでの移転を意味するんでしょうか。そりゃ、明るい日中の方が作業しやすいですよね。
>専用線でもなんでもないフレッツの回線はそんなもん
>フレッツ=専用線とほぼ同じと勘違いしてる例が多い
>専用線契約なら、回線借用の扱いで時間調整ができる
工事の時間をずらしてくれるように要請しても、通らない場合があるってことですね。
今、願い出ているところで、営業時間外で調整してくれるような感じです。専用線でもないのに、親切かもしれないですね。
>>516
>今時フレッツやLTEで基幹系も流すの普通ですけど
うちは、フレッツオンリーです。IP電話も、なにもかも、一本で通しています。
フレッツネクストになってから、pcの接続台数制限も撤廃されたんで、喜びました。
>>517
>諸般の事情で使えない時間ができるのを分からない人に説明するのもまた技術
もし、時間変更要請が通らなければ、考えてみます。
コツがあれば教えてください。
あまり、自分の非を見せたくないし、つっこまれる隙も見せたくもないですね。
520:anonymous
15/10/18 07:23:29.32 .net
>>517
専用線、価格見ましたけど、高い!
専用線って、プロバイダ料金込みなんですよね。
ここでの専用線の意味は、「インターネットに直につなぐ私専用の線」ってことでいいですか。
でもフレッツにも、ビジネスタイプとか、占有タイプってなかったかな?
521:520
15/10/18 07:32:57.75 .net
>>517さんのリンクを見ていたら、面白いものを発見。
URLリンク(www.gate02.ne.jp)
POIは地域によっては非常に混雑して、pingの値が100msecとかになるところもあると思う。
自分のところは、vectant系のプロバイダなんですが、時間帯によってそれくらいになって、非常に遅いです。
vectantって、人気があるのか?同じ拠点でも、IIJ系だといつも早い。
6000円ほど払って、固定IPで安定した接続環境が得られるのなら、良いなと思いました。
専用線は高くて手が届かないが、せめてこれくらいはやってみたいな。
522:anonymous
15/10/18 09:55:15.58 .net
>>516
基幹系流してる人が居ようが約款以上の気遣いをする義務は無いわけで
523:anonymous
15/10/18 10:36:34.19 .net
>>521
Vectantは、昔はよかったけど、いまはやめたほうがいい。
安定性が微妙なのと、なぜか全国的にめっちゃおそい。
サポートに連絡するとまともにとりあってくない。
524:anonymous
15/10/18 14:07:05.36 .net
フレッツ回線なんていつ止まってもおかしくないんだから重要拠点に使うのは勧められない
あれはひかり電話()のおまけについてくるもんだと思っておけば良い
525:anonymous
15/10/18 16:14:46.53 .net
金融だと、最低2社の回線引っ張ってるよね。ちょい前だとISDNが予備になってたけど
いまはKDDI専用線とフレッツ網みたいに。
ISDNは品質保証帯域保証だし、そっち迂回するようにCONFIG書いてみれば?
526:anonymous
15/10/18 17:09:10.75 .net
>>524>>525
品質保証帯域保証の観点からすれば、言っていることはよくわかるんですが、
中小企業にとっては、専用線の選択はかなり重たいですね。費用がかかり過ぎる。
しかしISDNでも、複数本束ねるとそれ以上に費用がかかりますよね。
かといって、さすがに128Kbpsじゃ、間に合わない。
でもたしかに、本当に需要な拠点で本当に止められないんだったら、保証されたものを使うべきですよね。
うーん、保証がないにしても、うちはフレッツ光回線は今後も使っていくと思います。
光回線の方が、その品質を高めていってくれればよいなとも期待しています。
けっこう、考え方が甘いんだとは自覚していますが。やっぱり安いしベターなチョイスかなと。
>>523
全国的に遅いんですか。
ユーザーを抱えすぎているのかもしれない。時間帯によって、遅さは大きく変動するから。
>サポートに連絡するとまともにとりあってくない
それって、ベクタントを利用しているISPのサポートのことですか?
それなら自分も苦い経験がありますよ。
100均ショップで買った品物のメーカーにその品質の苦情を言って嫌われている状態かと思いましたよ。
527:anonymous
15/10/18 17:27:30.77 .net
>>526
専用線にこだわってるのは化石世代だから気にしなくて良いよ。
専用線をフレッツに、っていうのは2005年頃に流行った。10年前の話。
今頃専用線かフレッツかなんて迷ってるのは時代錯誤も甚だしい。
もちろん、検討の余地なく専用線使うべき用途はあるけどな。
528:anonymous
15/10/18 17:37:18.35 .net
>>526
いずれにしても貴殿が必要としている「ひかり電話への着信」は迂回できないよ。
加入電話と代表組もできないし。
どんな会社か知らないが本当にそこまで重要なの?社長がうるさいだけとかじゃないの?
529:anonymous
15/10/18 17:39:02.21 .net
>>512
ラックに収まらずにケーブルだけで空中に舞ってるRTX1100もかっこいいぜ
530:anonymous
15/10/18 18:58:35.89 .net
>>529
ぶらさがっているともいう
531:anonymous
15/10/18 20:32:50.30 .net
>>527
回線工事でダウンが嫌なら専用線を勧めるだろう
532:anonymous
15/10/18 21:18:31.94 .net
>>531
そうだな。フレッツがだめならほかの選択肢ってことで専用線だろう。