16/06/01 10:31:06.68 .net
RTX1200あたりのルータで
複数のグローバルIPで
ヘアピンNATを有効化することは可能でしょうか?
13:anonymous
16/06/01 14:08:45.83 .net
>>12
ヘアピンNAT?
静的にLAN側ネットワーク内のアドレスに飛ばすこと?
それなら、複数のグローバルIPそれぞれに宛先アドレスを設定することなどで、
可能ですよ。RTX1200でも、RTX1210でも、
14:12
16/06/01 14:58:23.94 .net
>>13
そうです。
具体的な例を上げてもらってもよろしいでしょうか。
15:anonymous@i121-114-196-114.s41.a001.ap.plala.or.jp
16/06/01 15:15:41.71 .net
その前にお前が何をどうしたいか書けよw
16:12
16/06/01 15:21:04.92 .net
ローカルPCからドメイン名で自鯖にアクセスしたいです。
17:12
16/06/01 15:23:08.13 .net
hostsやDNSをいじらずに。
18:anonymous
16/06/01 16:33:50.31 .net
>>16
RTPRO見れば大丈夫でしょ
RTXで自鯖を立ててる野郎共は沢山いるし、DNSリレーを使うならルーターで勝手に俺様DNSだって出来る
具体的な参考事例を求めるなら自力で探すべき
ここに巣食ってる人達は小さいケツの穴してないからハマった時とか助けを求めると答えてくれる。
RTX1100ぐらいを買って試してみるべきだと思う
19:12
16/06/01 17:55:46.66 .net
>>18
URLリンク(www.rtpro.yamaha.co.jp)
ここを見ると
なおヤマハルーターでは、一般的に「ヘアピンNAT」と呼ばれる機能には対応しておりません。
すなわち、外向きのパケットに対して、その宛先が静的NATや静的IPマスカレードの外側アドレス/外側ポート番号に一致していたとしても、折り返して内側の端末への転送は行いません。
とあって
URLリンク(es-es.facebook.com)
ここには
IPCPで動的に取得する設定にしておくことでヘアピンNATが有効になります。
とかあって混乱しています。
予備でRTX1200があるのですが、予備回線がありません。
PPPoEサーバを立てればテストはできるのでしょうか。
試行錯誤中です。
20:anonymous@s670247.xgsspn.imtp.tachikawa.spmode.ne.jp
16/06/01 18:42:03.39 .net
>>19
検証環境無く2chで教えられたらそのまま本番にブチ込むって聞こえるんだけどw
21:anonymous
16/06/01 21:30:14.31 .net
>>16
セキュリティー大丈夫か?
サーバでもないかぎりは、VPN経由で内部にアクセスするように設定するよ。
まちがってもルーターのセットアップ画面にはアクセスできないようにしてね。ぜったいだぞ。
22:anonymous
16/06/01 21:32:56.08 .net
>>19
ああ。ヘアピンってそういうことなのか。
そんなことする必要性が思いつかないわ。
23:anonymous@s665037.xgsspn.imtp.tachikawa.spmode.ne.jp
16/06/01 21:38:21.15 .net
>>22
ローカルにキャッシュDNS建ててview管理する必要無くなるし用途はあるだろ。どんだけ知識と想像力欠如してんだよ。
24:anonymous
16/06/01 21:50:33.70 .net
>>23
キャッシュDNSは、RTXが担当している。
view管理って?
25:anonymous
16/06/01 21:55:22.82 .net
>>19
それ無意識に後者でやってる人ばっかり
俺もヘアピンNATなんて意識した事ないけどSCSKの中の人に聞いたら固定IPなら気にせずIPCPにして設定してくれと言われた
26:12
16/06/01 23:40:51.48 .net
>>20
3分ぐらいの切断ならそのまま本番にブチ込みますw
27:12
16/06/01 23:43:28.78 .net
>>21
インターネットサービスなのでそのへんはでーじょぶだ。
28:12
16/06/01 23:47:21.96 .net
>>25
お、それはIP8とかIP16の場合もですかね。
29:12
16/06/02 00:12:36.54 .net
ありました。ありました。
ppp ipcp ipaddress on で IP8 のやつ。
URLリンク(qa.life.auone.jp)
機を見て試してみます。
30:anonymous
16/06/02 03:23:05.61 .net
心臓とまりそうになった!!!
ちょっとの修正と思ってLinuxとRTXのIPsecトンネルをいじっていたら、ネットワーク基幹部分が思うように動かなくなってしまった。
3つほど拠点があって、ルーティングテーブルなどをいじっていたら、わけがわからなくなってしまったのだ。
日頃の睡眠不足がたたって頭が働かない状態に陥っていた。戻そうにも戻せない。
夜明けが迫っているというのに、まだ寝ていないというのに、気持ちが焦って、不安が強くなった。
このままだと会社の人たちに迷惑がかかる!!!!!
まだ数時間あるというのにもう頭の中が真っ白になって、もう落ち着いて考えられなくなってしまった。
とにかくもとに戻さなければ!!!!!!風呂に入って気持ちを静めた。なんなら深夜の散歩でもしてやろうかと思った。
tftp -i host put コンフィグファイル config/password を試そう。
こんなときのために本当にバックアップとっておいてよかった・・・・
バックアップファイルの最初に、clear configurationコマンドと、最後にsaveコマンドがコメントアウトされている。
こんな緊急事態の経験がないので、一回目は復帰できてないやないか!!!!と焦る。
31:anonymous
16/06/02 03:24:43.89 .net
念のため、clear configurationコマンドとsaveコマンドのコメントアウトを外しても大丈夫かどうかググる。
こういうとき、いちかばちかでやってしまいがちだが、遠方のリモートのルーターが死んでしまったら、もう終わり・・・・
再び、tftpコマンドで復帰を試みる。ひょっとしてファイルが壊れていないか心配だった。tftpだからudpで信頼性がないのだ。
ファイルが壊れていたら、もう本当に終わり。
・・・一つ目の拠点、うまくいった。数秒してVPN越しにtelnetできるようになった。二つ目も大丈夫だった。
そして最後の拠点、ここは少々コンフィグの量が多い。この拠点には、管理用PCがあり、リモートデスクトップでアクセスしている。
再起動中は当然、リモートデスクトップは切断される。・・・1分も待てば再接続かのうなはずなのだ。・・・5分ほど経過して、応答がないままだった。
非常に焦った。もう、本当にダメだ!!!!!!!!鼓動がおかしい。明らかに不安に陥っている。もうすべて投げ出して、ドロップアウトしたいと思った。
神が救ってくれた。リモートデスクトップにつながった。三つ目のルーターも回復したということだ。
改悪前のネットワークに戻った。あとは、Linuxのipsecの設定だけである。こっちは、修正前にバックアップを取っていなかった。
しかし、ルーター側がすべて元に戻ったことで心にかなり余裕が生まれてきて、思考力も落ち着きを取り戻していた。なんとか修正できた。すべて元に戻せた。
もう、ネットワークやコンピューター以外のことだったらなんだってできると思った。舞台の上で、へたくそな歌でも披露して恥をかいた方がましである。
すべては、最近、インターネットが混雑しているせいである。ちょっと快適なアクセスを提供したいとできごころを持ってしまったからだ。
みなさん、バックアップは万全にしておきましょう。
本当につらかったです。やっと眠れそうです。最終チェックしてから歯を磨いて寝ます。
恐怖というか、絶望というか、あんな経験もうしたくないです。
肝心な思考力さえも奪われてしまった。パニックというやつです。これが本当のパニック。
世間は簡単に、パニックなんて言葉を使うなと言いたい。端末の前に座らせてやる!!
32:anonymous
16/06/02 05:37:32.76 .net
もう大丈夫のようです。お騒がせしました。
しかし、最近はネットが遅くてこまるわ。
そのせいで、今回対処することになってしまったし。
33:anonymous
16/06/02 08:02:41.64 .net
>>19
自鯖をRTX1210やNVR500で建ててたけど、ローカルネットワーク内のPCから
ドメイン名で全く問題なくアクセスできてたよ
特に特別な設定をした覚えもないが
34:anonymous
16/06/02 08:56:05.89 .net
>>32
休養して落ち着いてからでいいんで
ネットが遅くなった原因とそれを特定した要因
あなたがしようとした改善策を教えてもらえたら嬉しい
35:anonymous
16/06/03 16:27:14.43 .net
>>34
ネットといっても、インターネットのことなので、
こちらからは見えません。時間帯により違うので、おそらく、輻輳が生じていたんだと思います、
対策としては、ボトルネックの個所を分散してトラフィックを通過させることです。
拠点ごとに、VPNを引っ張ろうかと。
36:12
16/06/04 23:57:23.15 .net
いま試してみた。
主な行だけ書く。
pp select 1
ppp ipcp ipaddress on
ip pp address A.B.C.25/29
nat descriptor address outer 120 ipcp
これだとヘアピンNATが無効
上の設定から
ip pp address A.B.C.25/29
の行を削るとヘアピンNATが有効になったが
PP IP Address Local: A.B.C.24
PP にネットワークアドレスを振っている・・・
ので複数グローバルIPではヘアピンNATを有効にできないと結論。
37:名無し募集中。。。
16/06/05 08:33:30.32 .net
無効の方のnat descriptor address outer 120 ipcp
このipcpの部分をアドレスで記述したら?
38:anonymous
16/06/05 09:21:02.76 .net
俺は普通なら複数IPだとUnnumberedで各サーバーにグローバル割り当てるから
ヘアピンNATなんて気にしないな~
39:12
16/06/05 11:09:23.85 .net
>>37
これも試しましたが無理でした。
40:12
16/06/05 11:21:01.96 .net
>>38
ポートフォワードであっちこっち飛ばしたいので。
41:12
16/06/05 11:23:23.83 .net
あと、仮想サーバもあるのでややこしそう。
42:anonymous
16/06/05 11:32:39.32 .net
ヘアピンNATをするにはimplicitな経路を作らないことが重要。
だから、ip pp address を設定するなら/32で。
ipcpでネットワークアドレスを取得してしまうプロバイダの場合は、
ppp ipcp ipaddressがonでもoffでもいいけど、
nat descriptor address outerに使用したいIPアドレスを記述すること。
43:12
16/06/05 18:15:29.65 .net
>>42
情報ありがとうございます。
設定して再起動してみましたがダメでした。
44:anonymous
16/06/05 18:35:18.60 .net
何がどうダメだったのか書かないと
45:anonymous
16/06/05 18:39:25.29 .net
(本人が)ダメでした
46:ら
16/06/05 19:36:15.91 .net
ヘアピンやろうと思えばできるんだな。。。
DNSコマンドでやりくりしてたわ。
47:anonymous
16/06/05 19:41:41.52 .net
>>42
MVP賞
48:12
16/06/05 23:49:15.86 .net
>>42
すいませんいけました。
pp select 1
ip pp address A.B.C.25/32
nat descriptor address outer 120 A.B.C.25
これがダメなとき
pp select 1
ip pp address A.B.C.25/32
nat descriptor address outer 120 A.B.C.27
これがいけたとき
ppアドレスとouterを別のにしたらできました。
多謝です。
49:anonymous
16/06/06 12:38:12.39 .net
>>48
ヤッタネ!
50:anonymous
16/06/06 20:55:20.86 .net
>>48
いけたときの状態で、LAN側からグローバルIPにping実行したら、
RTTとTTLはいくつになりますか?
51:12
16/06/07 00:00:42.10 .net
>>50
$ ping A.B.C.25
PING A.B.C.25 (A.B.C.25) 56(84) bytes of data.
64 bytes from A.B.C.25: icmp_seq=1 ttl=255 time=0.675 ms
64 bytes from A.B.C.25: icmp_seq=2 ttl=255 time=0.532 ms
64 bytes from A.B.C.25: icmp_seq=3 ttl=255 time=0.541 ms
64 bytes from A.B.C.25: icmp_seq=4 ttl=255 time=0.582 ms
64 bytes from A.B.C.25: icmp_seq=5 ttl=255 time=0.581 ms
64 bytes from A.B.C.25: icmp_seq=6 ttl=255 time=0.614 ms
64 bytes from A.B.C.25: icmp_seq=7 ttl=255 time=0.565 ms
64 bytes from A.B.C.25: icmp_seq=8 ttl=255 time=0.574 ms
64 bytes from A.B.C.25: icmp_seq=9 ttl=255 time=0.557 ms
^C
--- A.B.C.25 ping statistics ---
9 packets transmitted, 9 received, 0% packet loss, time 8000ms
rtt min/avg/max/mdev = 0.532/0.580/0.675/0.042 ms
こんなんです。
実際に外に確認くんとかにアクセスするとouterのアドレスになっとるけどね。
52:anonymous
16/06/07 00:16:40.40 .net
>>51
おぉー、ちゃんとヘアピンNATですね。わざわざありがとうございます。
動的IPの環境でヘアピンNATやりたいときは、
nat descriptor address outerを現在のIPに設定するようなluaスクリプトを書けばいけるってことですかね。
53:anonymous
16/06/07 01:08:42.93 .net
動的IPアドレス(IPアドレス1個)の回線では、今回のようなヘアピンNATは
できないと思われ
>>48 の「ダメなとき」がそれにあたる
だから、ip hostコマンドやdns staticコマンドでなんとかするしか
54:12
16/06/07 10:11:40.41 .net
IP1は超絶簡単です。固定でも動的でも。
pp select 1
ppp ipcp ipaddress on
nat descriptor address outer 100 ipcp
試す環境がないけども。
55:anonymous
16/06/07 16:29:05.81 .net
ヘアピンNATのメリットとは??
56:anonymous
16/06/07 23:51:53.88 .net
同じネットワークにある自鯖にドメイン名でアクセスできる
57:anonymous
16/06/08 00:17:04.25 .net
正確にはに同じネットワークにある自鯖に
グローバルアドレスでアクセスできる
58:anonymous
16/06/08 01:20:52.53 .net
補足サンクス
59:anonymous
16/06/12 21:44:19.40 .net
RTX1210のWebGUI上でユーザー追加してsshアクセスOKに設定してるのにssh接続が拒否される
なんでやーーーーーーーーーーorz
60:anonymous
16/06/13 03:08:42.70 .net
>>59
おれは、telnetを使い続けてるぜ。
ssh接続するあなたは、インターネットからRTXに接続しようとしているのか?
ポートは開いているのか?
61:anonymous
16/06/13 03:11:45.21 .net
sshd service on
と、その前にsshd host key generateは?
62:anonymous
16/06/13 03:29:39.31 .net
作成した公開鍵をクライアントに渡す必要があるものね。
63:anonymous59
16/06/13 08:02:43.87 .net
うおおぉ、みなさんありがとうございます!
>>60
もちろんローカルネットワークからです
なのでLAN2側は22ポートは開けてないです
アドバイス通りtelnet使って設定したらできました!!
ローカルからならtelnetでもいいかなとも思ってしまいましたが笑
>>61
まずtelnetでアドバイス通り
# sshd host key generate
# sshd service on
したらできました!!
>>62
で、ですよね
公開鍵がないのにどうやってやるんだっていう...
それにしてもFWX120の時はこんなことやったっけなぁ...
とりあえずどうもありがとうございました!!ペコリ
64:anonymous
16/06/13 17:25:03.02 .net
>>63
素晴らしい模範的な質問者だと思う
65:anonymous
16/06/13 17:49:04.24 .net
RTXは公開鍵には対応していない
66:anonymous
16/06/13 19:06:23.52 .net
>>65
?鍵ペアつくらないの
67:anonymous
16/06/13 19:07:45.50 .net
ふつうは、クライアント側で鍵ペアつくって、
PUBキーを、SSHサーバに登録するよね。
68:anonymous
16/06/13 19:39:16.19 .net
ユーザー認証ならそうだね
ホスト認証はサーバー側が発行
69:anonymous@p933d6f.tokynt01.ap.so-net.ne.jp
16/06/13 19:41:08.21 .net
?????
70:anonymous
16/06/13 19:44:33.99 .net
>>68
RTXにリモートアクセスだから、ユーザー認証が必要でしょう。
71:anonymous
16/06/13 19:47:01.97 .net
暗号化部分でしか使ってないからホスト認証でOK
72:anonymous
16/06/13 19:47:29.56 .net
>>69
まじでわからないのであれば、
電子証明書のしくみを一から勉強する必要がある。
73:anonymous
16/06/13 19:48:47.90 .net
>>71
じゃあ、けっきょく、telnetと同じパスフレーズで認証するってこと?
暗号化されるだけましなのかな。
74:anonymous
16/06/13 19:51:01.94 .net
>>71
>暗号化、ホスト認証
ということは、普通のhttpsと同じ感じだね。
75:anonymous
16/06/13 22:26:41.05 .net
>>73>>74
そういう事
だからログインユーザー追加しても特別な事はしていない
76:anonymous
16/06/14 08:27:44.47 .net
NTT網内折り返しIpv6をメインでVPN運用してる人(企業)いますか?
安定性とメンテナンス性が未知数で手を出せん・
77:・・ 安定度は高い筈だけど・・・
78:anonymous@p933d6f.tokynt01.ap.so-net.ne.jp
16/06/14 08:29:07.25 .net
個人契約だと普通にメンテ入ったりするよ
頻繁にあるわけではないけど
79:anonymous
16/06/14 09:47:22.71 .net
>>76
心配ならバックアップ経路は用意しとくべきじゃね?
80:anonymous
16/06/14 11:34:13.00 .net
こんなんでたな
OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト
URLリンク(i.open.ad.jp)
81:anonymous
16/06/14 14:32:14.57 .net
RTX810でPPPOEでOG400Xにつないでいるのですが
フレッツスクエアに接続したいのですが
どちらの設定をしたらいいのでしょうか?
URLリンク(www.rtpro.yamaha.co.jp)
IPv6の設定例(ひかり電話を契約していない場合:RAプロキシ)
IPv6の設定例(ひかり電話を契約している場合:DHCPv6-PD)
ひかり電話は使用しています
82:名無し募集中。。。
16/06/14 16:23:37.59 .net
>>80
じゃぁ下でしょ
83:anonymous
16/06/16 17:34:31.26 .net
>>79
さらっと読み流していたけど、おおすごいじゃん。
フレッツの一般化を目指しているチャレンジ精神が素晴らしいと思う。
しかし、NTT謹製の「ネーム機能」とどう違うんだろう。
ひとつは、ダイナミックに更新できることだろうかな。
PINGや、HTTPで、万が一変更になったアドレスをもって更新をかけられるらしいけど。
説明の図で用いられているルーター、RTX12x0だよね。
西日本にも対応期待したい。
84:anonymous@s736103.xgsspn.imtp.tachikawa.spmode.ne.jp
16/06/16 18:16:45.48 .net
>>82
ネームはフレッツ側から払い出されるprefixの変更は追従してくれるけどhost部の下位64bit変更は追従してくれない。
yamahaとかciscoみたくlink-localアドレスはconfigしてprefix::1みたいにアドレス作れる箱はいいけどlinuxみたいにstaticにconfigか128bit全部自動生成しかないような箱は故障交換時なんか当該回線の下でネームの再登録必要だから使い勝手良くなると思う
85:anonymous
16/06/16 22:45:11.80 .net
>>82
ネームってDDNS相当のことしてくれないんだよな
LUAスクリプトなんかでV6アドレス変わったときに検知してるみたいなのが多かったらしい
86:anonymous
16/06/17 00:51:10.92 .net
RTXが、このDDNSサービスに公式対応しないだろうかな
87:anonymous
16/06/17 01:13:07.00 .net
RTXならいくらでも更新方法があるだろうw
88:anonymous
16/06/17 02:36:46.42 .net
>>86
LUAをつかえと?
89:anonymous
16/06/17 09:03:35.23 .net
スケジュール使っていくらでもできるし
キープアライブも使えるし
ほかももろもろ
90:anonymous
16/06/17 09:20:08.18 .net
まぁでもnetvolante-dnsだけじゃなくてDDNSクライアント実装してくれたらいいね
ついでに、ヤマハがフレッツ空間にコンフィグレーション用のサーバーおいて
識別子だけでVPN構成を自動で構築するお気楽機能つけてくれんかね?
91:anonymous
16/06/17 09:52:44.69 .net
RTXってほとんど日本専用だから、フレッツのIPv6に完全対応してもらいたいな。
そしたらVPNワイドとフレッツグループから縁を切れる。
92:anonymous
16/06/17 11:06:47.08 .net
完全対応とは?
93:anonymous@s516052.xgsspn.imtp.tachikawa.spmode.ne.jp
16/06/17 18:18:41.63 .net
公式対応とか完全対応とかいろいろあるんですねー
94:anonymous
16/06/17 18:34:38.84 .net
>>89
そうして、人工知能がわれわれの仕事も奪っていくんですね。。
95:anonymous
16/06/18 09:52:01.09 .net
>>91
フレッツ網内だけでDDNSでVPNとか。大々的にやるとNTT東西からクレーム来そうだけど問題ないよね。
網内の早さはやばい。
96:anonymous
16/06/18 10:54:09.27 .net
フレッツ網内のトンネルって暗号化いる?
NVRの安いルータ使えるなら多拠点展開がかなり楽になるな。
97:anonymous
16/06/18 12:50:40.79 .net
だからなぜ、NVR500/510がIPSec対応しないのか小一時間(略
98:anonymous
16/06/18 13:25:59.79 .net
>>95
\\2408-211-*-*-*-*-*-*.ipv6-literal.net\share
って打つだけでアクセスできたのにはワラタ
99:anonymous
16/06/18 14:09:07.37 .net
網網網網、牛かお前ら
100:anonymous
16/06/18 14:14:13.80 .net
無線ルータ出して欲しいな。牛のより説得力あるし
101:anonymous
16/06/18 20:16:03.48 .net
>>96
専用チップが設計上載せられないからでしょ
102:anonymous
16/06/18 20:19:11.71 .net
>>99
URLリンク(jp.yamaha.com)
103:anonymous@7c29549a.i-revonet.jp
16/06/19 09:31:29.86 .net
>>99
URLリンク(jp.yamaha.com)
これじゃ駄目か?
104:anon
16/06/19 10:02:52.96 .net
>>102
ダメでしょ
105:anonymous@i60-47-207-198.s41.a013.ap.plala.or.jp
16/06/19 14:55:43.42 .net
>>98
「あみあみあみあみ」と読んでなんだろうと思った。
106:anonymous
16/06/19 22:20:08.86 .net
>>102
これいわゆるWi-Fiアンテナじゃないんだよな。
プレスの画像見た時に騙された。しかのファンあり
107:anonymous
16/06/19 23:33:26.01 .net
>>105
内蔵WANって、SIMつかえるのか?
108:anonymous
16/06/20 00:10:17.78 .net
このスレレベル下がりすぎ。
家電量販店での会話みたいだな。
109:anonymous
16/06/20 00:14:17.09 .net
ユーザーが増えてるのはいいことではあるのだが必然的に詳しくない人も増えたゃうわな
嫌ならば初心者スレでも立ててはどうか
110:anonymous
16/06/20 02:18:03.51 .net
NVRユーザーとRTXユーザーとは種類が違うってことだろうかな。
111:anonymous
16/06/20 18:11:26.09 .net
今は初心者もRTXに手を出してる
ソースは俺
RTX1200をヤフオクで落して、ヤマハ公式の設定コピーして使ってる
112:anonymous
16/06/20 18:31:58.63 .net
RTX810ならともかく、LAN3まである機種だと持て余しちゃったりしない?
# LANの口が余ってると勿体無いと思ってしまう貧乏性なもんで……
113:anonymous
16/06/20 19:00:00.03 .net
そうかい?
114:anonymous
16/06/20 19:38:08.72 .net
ヤフオクだとRTX1200の方が安いからでしょ
115:anonymous
16/06/20 19:41:16.20 .net
個人で使う場合1210と1200で大きな違いある?
L2TP/IPsec1本+PPPoEルーターだけ使う予定
116:anonymous
16/06/20 19:42:30.08 .net
>>110
>初心者
学校教育でITが導入された成果でしょうか
117:anonymous
16/06/20 20:00:47.08 .net
それはねえな
今工房だけど工業高校の情報科ですらまともに機器扱えるのはクラスに数人だ
こんなとこに来るような奴は教育関係なく勝手にくるさ
118:anonymous
16/06/20 20:16:52.88 .net
>>114
大差はないんじゃない?
119:anonymous
16/06/20 20:19:24.30 .net
>>114
性能差を感じられる使い方すると個人でもわかるからそこはね。
120:anonymous
16/06/20 20:27:14.61 .net
>>116
現役の方がレスありがとう。
しかし、ルーター実機で実習でもあるんでしょうか。
121:anonymous
16/06/20 20:33:39.99 .net
教えれる先生がおらんだろう
殆どが趣味先生だろ
122:anonymous
16/06/20 20:39:55.57 .net
>>119
大学じゃないとあんまないと思う
ルーティング関連といえばVine Linux使ってhostsに全員のIP書いてping通りましたねーみたいな・・・
もちろん大体の奴らは何してるか理解してないだろう
>>120
教えたいけど生徒の質がダメだって言ってた
実習内容も自分の一存で決めていい訳じゃないらしいしね
123:anonymous
16/06/20 21:31:16.48 .net
>>121
まさにそんな感じの実験やってたな。講師ですら理解できてなかったけどスレチ
NVR500とかって業務で使ってるとこあるし業務向けでいいよね
124:anonymous
16/06/20 22:58:54.07 .net
>>121
大学(情報系)でIPの実習するのか。
すると、RTXをバリバリに使いこなしていたら優とれるかな。
125:名無しさん
16/06/21 12:37:10.07 .net
>>123
情報系なら最低でもパケット自作でしょ。
126:anonymous
16/06/21 12:46:35.46 .net
>>123
みたいです
見に行ったらRTX使ってPC何台か繋いでメール鯖立てて送ったりしてました
スレチなんでそろそろ消えますが
127:hage
16/06/21 12:51:00.89 .net
とりあえずtelnetを使って
SMTP送信、POP受信、HTTP取得 あたりかなぁ
もっと低い層はおいおい
128:anonymous
16/06/22 17:01:42.78 .net
>>124
プロトコル自作
129:anonymous
16/06/22 18:25:50.14 .net
オレオレプロトコルなら簡単でいいじゃないか
実用性求められるならすごい困るけど
130:anonymous
16/06/23 23:46:02.23 .net
設定方法について質問させてください。
LAN3 は、DHCPクライアントで上位ルーターから、アドレス、DNS、ゲートウェイ を取得できています。
LAN1 は、192.168.1.1/24で、DHCP SCOPE で、PCにきちんとアドレスを配布できています。
さらに、
ip route default gateway lan3 dhcp
nat descriptor type 10 nat-masquerade
lan3に、上のnat 10を掛けています。
そうして、lan1のクライアントpcは上位ルーターを経由して、インターネットに接続できてます。
これに加えて、lan3の外部ネットワークから、lan1のクライアントに接続するための設定を加えようとしています。
ip nat descriptor static 10 192.168.2.10=192.168.1.10 1 を加えました。
これで、lan3の外部ネットワーク上のマシンから、lan1のマシン192.168.1.10 にアクセスできるはずと思ったんですが、
うまくいきません。
間違いを指摘ください。
131:anonymous
16/06/24 00:08:40.71 .net
訂正
↑
nat descriptor type 10 nat-masquerade PRIMARY
132:anonymous
16/06/24 08:35:50.11 .net
情報は正しく書きましょう
ip nat descriptor static 10 192.168.2.10=192.168.1.10 1
nat descriptor type 10 nat-masquerade PRIMARY
微妙に間違ってるよね
nat descriptor static 10 N 192.168.2.10=192.168.1.10 1
nat descriptor address outer 10 primary
かな?
lan1からアクセスしたい端末が1.10以外にも居るのか?
居るならそれらが使うアドレスは何か
2.10は1.10だけの物なのか?
133:anonymous
16/06/24 08:56:50.66 .net
>微妙に間違ってるよね
すみません。間違ってました。ご指摘の通りです。記憶違いしていました。
>2.10は1.10だけの物なのか?
そうです、lan3側(192.168.2.0/24)の端末からnatを突破するための定義のつもりです。
lan3側から192.168.2.10にアクセスすると、対応が静的定義された192.168.1.10に到達してほしいです。
以下のとおり、同様に、192.168.2.1にアクセスすると、192.168.1.1(すなわち、このルーターのlan1)に到達してほしいです。
ip route default gateway dhcp lan3
ip lan1 address 192.168.1.1/24
ip lan3 address dhcp
ip lan3 nat descriptor 10
nat descriptor type 10 nat-masquerade
nat descriptor address outer 10 primary
nat descriptor static 10 1 192.168.2.1=192.168.1.1 1
nat descriptor static 10 2 192.168.2.10=192.168.1.10 1
以上の設定で、lan1側クライアントから、lan3側にある上位ルーターを通ってインターネットにアクセスできています。
しかし、希望の動作、
lan3側ネットワークの上位ルーターで、ping 192.168.2.10 を打っても、反応がありません。
もちろん、そのほかの方法でアクセスしても、無反応です。
show arp にも現れません。
134:anonymous
16/06/24 08:58:16.36 .net
↑ rtx1100 8.03.94です。
135:anonymous
16/06/24 09:06:38.81 .net
ip lan3 proxyarp on
は入ってる?
136:anonymous
16/06/24 09:33:08.72 .net
nat descriptor address outer 10 192.168.2.1 192.168.2.10
じゃないか?
137:anonymous
16/06/24 10:09:35.47 .net
>>135
静的テーブルを定義しているので、問題ないと思うんですが。
>>134
代理ARP応答設定は入っていません。
LAN3インターフェイスが、NATの複数のアウターアドレスについて、
代理応答するってことですよね。試してみます。
138:anonymous
16/06/24 10:34:19.75 .net
静的テーブルだけじゃダメだよouterアドレスとinnerアドレスは設定しないと
139:anonymous
16/06/24 10:46:45.22 .net
>>137
静的テーブルで定義するアウターとインナーの対応に含まれるそれらのアドレスを、
OUTER INNERであらかじめ設定しておいて含めておく必要があるってことでしょうか。
しかし、静的テーブルの設定についてこんな記述が・・・
URLリンク(www.rtpro.yamaha.co.jp)
>外側アドレスが NAT 処理対象として設定されているアドレスである必要は無い。
でも、こうも書いてあるな。
URLリンク(www.rtpro.yamaha.co.jp)
>内側の端末からパケットを受けたとき、その端末のアドレスが、設定した内側アドレスの範囲外であれば、NATディスクリプターは動作しません。つまり、パケットは何も変換されないままで通過します。
静的テーブルを使う場合でも、
少なくとも、INNERについては、その要素に含めておく必要があるってことかな?
すみません、いまテストできる環境にいなくて、あとでまた報告したいと思います。
140:anonymous
16/06/24 22:54:03.90 .net
>>138
変に口述する構成文より、コンフィグ出す方が解決は早いと思う。
141:anonymous@FL1-119-241-94-37.tky.mesh.ad.jp
16/07/08 00:35:39.83 XGxjIOGR.net
光ネクストファミリータイプのまま、コラボ光にしてしまい、プラン変更できず後悔してる
ヤマハのNVR500購入したら、NTTのギガプランに加入してなくても、同等の速度でるの?
142:anonymous@s670204.xgsspn.imtp.tachikawa.spmode.ne.jp
16/07/08 00:49:26.50 .net
>>140
何を言ってるのか意味がわからないよ
143:anonymous@FL1-119-241-94-37.tky.mesh.ad.jp
16/07/08 00:57:51.22 XGxjIOGR.net
>>141
Bフレッツに加入してて、そのまま継続して光ネクストハイパーファミリータイプになってる
だから、レンタルしてるルータは古くてWebcaster v120
ギガファミリータイプにしてから光コラボにすればよかったのだが、そのまま継続して光コラボにしてしまったため、ギガファミリータイプに変更できない
そしてWebcaster v120が最近名前解決で絶不調
ルーター買って、ギガファミリーの速さが出るなら、コラボ光解約、新規フレッツ&プロバイダ加入しなくて済むかなと思って
144:anonymous
16/07/08 08:24:20.08 .net
普通はそれ言えば新しいルーターに交換してくれるはずだぜ
145:anonymous
16/07/08 10:19:16.80 .net
変更できない理由があったっけ?
146:anonymous@p264163-omed01.tokyo.ocn.ne.jp
16/07/08 12:23:01.05 QJj+U62v.net
>>143
電話したら出張故障点検だおいわれなんだかんだで、出張費と技術料がばからしい
交換してくれないみたいだった
147:anonymous@p264163-omed01.tokyo.ocn.ne.jp
16/07/08 12:23:40.41 QJj+U62v.net
>>144
コラボ光だと解約しない限りプラン変更はできない
148:anonymous
16/07/08 12:44:25.50 .net
>>145
故障ではなく新しいルーターが使いたいといえばいいの
理由は今のルーターのについてなくて最近のルーターについてる機能使いたいとか言えばおk
具体的にどれかは調べてくれ
149:anonymous
16/07/08 22:32:47.07 .net
Webcaster v120 ってACアダプタ死亡で話題になったやつだっけ。
とりあえずとっぱずしてONU直結の方が早いのはまちがいない。
150:anonymous
16/07/09 19:28:00.75 .net
いまさらだけど、schedule at ってping出来ないんだな。
サンプルスクリプトが冗長だなって思ったら。
schedule at 1 *:*:00
151:* lua -e 'rt.command("ping6 update-0123456789abcdefff.i.open.ad.jp")'
152:anonymous
16/07/10 03:34:37.62 .net
YAMAHAの場合、sshやコンソール経由であらかじめ作成した設定を流し込む場合
ってどうすればよいのでしょうか?
153:anonymous
16/07/10 07:21:52.36 .net
microsd
154:anonymous
16/07/10 09:19:51.78 .net
や、やはりその場に出向いてmicrosdで直接流し込むしかないんですよね...
155:anonymous
16/07/10 09:26:00.71 .net
tftpで流すのはお嫌い?
tftp 192.168.255.254 put RTX1210Config.txt config/adminpass
156:名無しさん@そうだ選挙に行こう! Go to vote!
16/07/10 12:31:08.76 .net
教えてください
現在 ipoe接続でNGN IPIPでVPN張っているのを NGN折り返しl2tpv3へ変更した場合
ipv6インターネットアクセスは可能?
lan1ブリッジするとv6 アドレスの払い出しすることできますか?
157:anonymous
16/07/10 14:03:23.52 .net
>>153
なるほど、tftpが使えるのですね
コマンド確認してみます
158:anonymous
16/07/10 14:54:53.53 .net
>>155
今やってみたけど、リアルタイムに上書きしたあげく再起動しないで繋がった
なんかおもしれー
159:anonymous
16/07/10 15:49:09.03 .net
>>156
URLリンク(changineer.info)
URLリンク(www.rtpro.yamaha.co.jp)
今のコンフィグをconfig1にsave
↓
新しいコンフィグをsshでもtftpでも良いからconfig0に流し込む。(旧来のゴミデータが残らないようにnoで消すのを忘れずに)
その際にschedule atでrestartの仕込みと、デフォルトコンフィグをconfig1に設定する仕込みを実施。
↓
再起動後は旧来の設定であるconfig1で起動するが、NW構成の変更等で切り替える必要がある時に、デフォルトコンフィグをconfig0にすれば切り替え可能。
私は多拠点のInternetVPNからVPNワイドへの切り替え等の際には使ってる。
これなら例えば仕込をした10拠点を任意のタイミングで一斉に新しい設計に変えられる。
まぁconfig設定には最新の注意を払わないとエライ事になるけどね。
160:anonymous
16/07/10 16:01:22.11 .net
思い出した。
パスワードが「*」になるオチも再現されてるからご注意
理由はconfigファイル見ると書いてあるw
>login password *
>administrator password *
161:anonymous
16/07/11 00:58:03.07 .net
>>153
tftp って udpでしょ。
リモートから流し込んでいるときに、パケロスでルーター還ってこなくなった人ってあるのかな?
162:anonymous
16/07/11 00:59:44.93 .net
>>156
>>30-31もご参考に
163:anonymous
16/07/11 01:16:15.42 .net
>>157
なんでtftpなんだろうな
信頼性が重要なネットワーク機器なんだからtcpベースのscpかsftpにするべきじゃないのかと思う
164:anonymous
16/07/11 10:23:33.17 .net
IPv6網内折返し試験してるけど、6Mbpsぐらいしか出ない
普通にISP通しのほうが早いんだけど、IPSecパケットに帯域制限入れてるのかな
直接\\2408-xxx-xx略\shareなんかで共有掛けると早いけど常用したくないし
165:anonymous
16/07/11 11:02:01.06 .net
>>162
1100使ってない?
1200でもv6は遅いよ
166:anonymous
16/07/11 12:14:34.64 .net
いまはscpもあるよ
URLリンク(www.rtpro.yamaha.co.jp)
167:anonymous
16/07/11 15:11:17.00 .net
>頻繁に書き込みを行ったことが原因でフラッシュROMの故障に至った場合は、保証期間内であっても無�
168:桴C理の保証対象外になります。 ルーターも進化したものだ。 そのうちssdがのりそうだな。
169:anonymous
16/07/11 21:01:08.95 .net
>>162
HGWかましてると速くならん
速度的に300シリーズでしょ 外してたらすまん
170:anonymous
16/07/11 21:17:30.32 .net
>>161
むかーーーーしはWAN越えのtftpなんて想定してなかったとかかな??
ローカル内でそもそもロスのリスクがほぼなく、512バイト送れて、その当時の機器性能に合致してた。
その後何も考えずに惰性で残ってるシステム。
この世界なら沢山ある事象だからそうだとしても不思議には思わんなぁ
171:162
16/07/11 21:44:34.31 .net
>>163
1100でも1200でも1210でも810でも差はなかったんだわ
>>166
おお。確かにPR-S300NEのPPPoEパススルーにしてるわ。正解かも!
172:anonymous
16/07/11 22:16:33.21 .net
>>168
ひかり電話あってHGW外せないならipipでやればRTXの機種によるが数百Mbpsに上がる
どーしてもipsecならなにがしかの方法でHGWを500シリーズ化してもらうと90Mbps程度までは上がった
173:162
16/07/11 23:16:58.31 .net
>>169
詳しい回答ありがとうございました!
PR-S300NEバラしてGE-PON-ONUの線からHGWとハブ分けするかね・・・
174:anonymous
16/07/12 12:19:52.88 .net
>>161
TFTPにも再送制御はあるぞ。
175:anonymous
16/07/12 14:34:20.10 .net
S300NE通すとスピード落ちるんかい。。
光電話とルータ分岐させるのに3ポートのHUBいるけど、
ギガでスイッチングできる3ポートHUBってある?
176:anonymous
16/07/12 14:58:23.49 .net
いくらでもある
177:anonymous
16/07/12 15:44:52.98 .net
>>173
おまいのオススメ教えれ
178:anonymous
16/07/12 16:36:38.87 .net
PrimeDayでやすくなってるやつ
179:anonymous
16/07/12 17:05:19.80 .net
>>171
udpで補えないパケット破損を、tftp上位のプロトコルで回復させているのか?
180:anonymous
16/07/12 17:41:50.77 .net
tftp 自体である程度のチェックはしてるんじゃね?
181:anonymous
16/07/12 18:25:42.21 .net
>>176
QUICとかご存知?
182:anonymous@s502095.xgsspn.imtp.tachikawa.spmode.ne.jp
16/07/12 20:19:22.43 N0NmTxnN.net
>>154
自分も、似た環境でbridgeを構成した所、
DHCPv6での、クライアントPCへのIPv6が払い出されなくなり困っているところです。
フレッツ光ネクスト ギガファミリー
ひかり電話有り ひかりTV有り
ipv6 lan1 dhcp-prefix@lan2::1/64
で、クライアントPCへのIPv6配布できていたのですが、
bridge member bridge1 lan1 tunnel1
とした途端に、ipv6が払い出されなくなります。
ipv6 lan1 dhcp service server
が
bridge1では動かないということでしょうか?
それとも、DHCPv6のパケットをbridge1を利用してもlan1に接続しているPCまで、届ける設定ごありますのでしょうか?
有識者諸兄のご意見を賜りたく、お願いいたします。
183:anonymous@s1314032.xgsspn.imtp.tachikawa.spmode.ne.jp
16/07/12 22:35:48.24 .net
>>179
HGWが上位に居たらRAもDHCPv6-PDも動いてるからRTX以下はbridgeしつつ一クライアントになるのもDHCPv6-PDクライアントでも動くと思うけど。HGWは外してる?
184:anonymous
16/07/13 00:18:04.10 .net
>>178
知らなかった。
IP+QUICの時代になっていたんだね。
でもTLS通信の導入段階は、TCPでするんだろうね。
なぜなら、QUIC=TCP+TLSらしいから。
URLリンク(jp.techcrunch.com)
RTXもいつかは対応するんだろうね
185:anonymous
16/07/13 02:03:53.58 .net
>>170
HGW前段hub分けは速度でるけどDHCPv6-PDで/56のprefix貰って数時間後切れると思う 自分調べ
ネットに転がってる回避方法のconfig入れても結局切れました
186:anonymous@s502095.xgsspn.imtp.tachikawa.spmode.ne.jp
16/07/13 13:21:12.97 ELKaAR6l.net
>>180
情報ありがとうございます。
HGWの配下にRTX1210で構成しています。
引越しを機に、RTX1200からの更新なのですが、今までと回線の構成が異なるため、新しくconfigを書いています。
最終的にはlan1をvlan1とvlan2で分割した構成としたいのですが、
先ずは、bridge1の構成とした場合では色々と試してみたのですが、lan1配下にIPv6が降ってこなくなります。
因みに、bridgeを外すと問題なく利用できます。
夜、また少し構成を見直してみます。
187:179
16/07/13 13:29:03.30 ELKaAR6l.net
>>182
情報ありがとうございます。連投失礼します。
HGW前段hub分けはまだ作業到達していない領域です。
速度が出ない時間帯が多いですが、ISPの問題らしいので、ひとまずはトンネルをブリッジした状態で、IPoEから降ってくるDHCPv6でクライアントPCまで到達したいのです。
188:anonymous
16/07/14 00:14:34.50 .net
ひかりTVうぜえ
189:anonymous
16/07/14 09:08:32.19 .net
関係ないかもだけど、HGW通すとMTU変えないといけなかったよね。
速度でないときそこでハマってること多い。
190:179
16/07/14 12:39:20.43 QfrJP2q7.net
>>186
ありがとうございます。
mtuの調整してみましたが、
1448 状況変わらず
1454 状況変わらず
1500 デフォルトに戻しましたが状況変わらずです
他に試みたことは、30.2.2のプレフィックスに基づく設定で、
インターフェースごとにPROXYとなるのかと、勝手に解釈しまして、プレフィックスを付けてみましたが状況変わらずです。
また、ndがIPv4で言う所のproxy arpにあたるものだと思いますので、
ipv6 nd ns-trigger-dad on na-proxy=all
としてみたのですが、状況に変化ありません。
また、調整してみます。
ひとまずは自宅での検証用にIPv6のl2tpv3でさくらVPSに接続出来ているので、無理にクライアントPCまでIPv6を到達しなくても良いかなとも、弱りつつ考えている所です。
並び立つ方法を見つけてみたいものです。
191:179
16/07/14 12:52:00.13 QfrJP2q7.net
>>187
連投失礼します。
RBB SPEED TESTでは、
lan1側のipv6とipに対して設定した結果は
mtu 1500
下り310Mbps
上り376.5Mbps
mtu 1454
下り185Mbps
上り322Mbps
でした。
参考まで。
192:anonymous
16/07/14 23:38:14.46 .net
話ぶった切ってすまないけど
less 機能なんて搭載されてたのは知らなかった・・・
sh log流してエディタに貼って検索かけてたわ
URLリンク(www.rtpro.yamaha.co.jp)
193:anonymous
16/07/15 15:27:35.76 .net
>>189
内臓のgrepは遅いよ。多段してつかうなら、rsyslogで拾ってからlinux上ですべき。
194:anonymous
16/07/17 08:32:10.84 .net
客先でちょこっと見るだけだから遅くても十分だし、コンソールでsh logかけると途中でコーヒー飲みたくなってくるし
195:anonymous
16/07/17 08:42:30.78 .net
で、ルーター・スイッチ業界のコンソールって9600bpsがデフォな雰囲気なのは何でなん?
196:anonymous
16/07/17 09:54:32.35 .net
>>192
ヘイズのATコマンドみたいな技術革新が来なかったせい。DTE速度自動認識って意外とめんどい
RTX1210からはデフォのボーレート設定できるけど、5年後にはMicroUSBポート接続のほうが広まってそう
# set-serial-baudrate ?
入力形式: set-serial-baudrate ボーレート
ボーレート = 9600, 19200, 38400, 57600 or 115200
説明: シリアルポートのボーレートを設定します
197:anonymous
16/07/17 09:58:15.68 .net
>>192
変更しているといろいろ面倒、とおもわれているのかもね。
いつもの設定でつながるのが重要と。
198:anonymous
16/07/17 09:58:52.90 .net
どうせ管理用NWifの設定するだけで良いわけだし。
199:anonymous
16/07/17 11:42:09.49 .net
シリアルなんて現場の作業員が使うだけだよな
sh techinfoは監視区で取得しろよって進言してるんだがなかなか叶わない・・・
200:anonymous
16/07/17 12:22:25.04 .net
TerminalサーバーとかおいてNWインターフェースが死んでも乗り込めるようにしておくとかね。
201:anonymous
16/07/18 05:15:28.27 .net
>>197
ISDNの時代は便利だったね
いまは代わりに、データコネクトでRTXにつなげるけど、
もしそれに関するIP FILTERをいじっていたら接続できないからなあ。
不特定多数からのリモートアクセスを恐れて、相手先を絞り込むIPv6フィルタをかけた場合、
NGNのIPv6アドレスが変更になった場合にはつながらくなるしなあ。
アナログモデムのシリアルコネクタとRTXをつないで、
RTX同士でp2p接続できないかしら。
202:anonymous
16/07/18 08:56:56.67 .net
FQDNでフィルターかけれたらな
>>79でも使えるんだが
203:anonymous@sp49-98-166-240.msd.spmode.ne.jp
16/07/18 09:22:57.75 .net
>>199
逆引きそもそも対応してたっけ?
204:anonymous
16/07/18 23:12:24.12 .net
>>199
iptablesなら余裕
205:anonymous
16/07/26 20:26:57.40 .net
出張所に余っていたRTX1000持ち込んで、本部側のRTX810とようやくIPsecがつながったが
なぜかPINGは通らない
ちゃんとルート設定はされているみたいなんだが
206:anonymous
16/07/26 21:30:59.92 .net
>>202
フィルターチェックしてみ
icmp通ってないんじゃねーか?
207:anonymous
16/07/26 22:31:39.32 .net
>>203
ごめん書き方わるかった
状態はupになってるんだが、PINGもTCPも通らない状態なんだ
フィルターは最初一切なしだったんだが、今は試しに全部PASSのフィルタを入れてある
208:anonymous
16/07/26 22:58:46.91 .net
俺も同じ感じなんだよなぁ
あるあるはまりポイントあったら教えてほしい
209:あ
16/07/26 23:25:32.55 .net
>>204
proxy arpがonになっていない。
210:anonymous
16/07/27 00:00:06.53 .net
>>206
proxy arpはonにしてないけど、サブネット分けてあるので特に問題ないと思ってるんだけど
211:anonymous
16/07/27 09:19:29.07 .net
一度気持を落ち着けて以下の文書を読み直してみると幸せになれるかも。
IPsec 相互接続の手引き
URLリンク(www.rtpro.yamaha.co.jp)
>>202
何をもって「ちゃんとルート設定はされているみたい」と言っているの? 何を見て確認した?
>>204
何をもって「状態はupになってる」と言っているの? 何を見て確認した?
「今は試しに全部PASSのフィルタを入れてある」とのことですが、icmp も pass してますか?
212:anonymous
16/07/27 11:39:06.03 .net
>>208
>IPsec 相互接続の手引き
これは設定時に見てた、TELNETで双方に設定1個ずつ一致するように打ち込んでようやく動くようになった
>何をもって「ちゃんとルート設定はされているみたい」と言っているの? 何を見て確認した?
show ip route コマンドで、
親側 192.168.122.0/24 - TUNNEL[1] static
子側 192.168.121.0/24 - TUNNEL[1] static
となっている事を確認
>何をもって「状態はupになってる」と言っているの? 何を見て確認した?
親側 ブラウザ上で IPsec接続 TUNNEL[01] 接続名:客先名 通信中
子側 ブラウザ上で 番号1 トンネル名:本社 状態:Up 接続先の情報:IPアドレス 自分の名前:客先名
となっている事で確認した
他にも細かい情報はいろいろあるけど、すべてつながっているように見える
>「今は試しに全部PASSのフィルタを入れてある」とのことですが、icmp も pass してますか?
親側RTX810はTUNNEL1だけに対するフィルタ方法がわからず設定はいじってない
ただし、個人での接続用のPPTP Anonymous接続では特にフィルタを設定すること無く通信できている
ファイアウォール設定にあるのは、LANポートとPP[01]で、PP[01]はインターネット接続でPP[01]のみいろいろ設定してある
子側RTX1000は以下の通り
本社(TUNNEL1)の[入]側の設定
番号:1 ルール:PSSS プロトコル:* 送信元情報(アドレス・ポート番号):*:* 受信先情報(アドレス・ポート番号):*:*
本社(TUNNEL1)の[出]側の設定
番号:2 ルール:PSSS プロトコル:* 送信元情報(アドレス・ポート番号):*:* 受信先情報(アドレス・ポート番号):*:*
ついでにネットワーク構成(出張所の増員で個別にPPTP接続するとポートが足りないのでIPsecで一括ネット接続したい)
本社 社内ネットIP121.0ほか-RTX810-ONU-インターネット
出張所 出張所内ネットIP122.0-出張所客ゲートウェイIP122.1-客社内ネット-客ルータ-インターネット
IP121.0ほか宛てはIP122.2へルート設定-RTX1000(IP122.2)
本社のIPsecは名前で識別を選択して、出張所は本社のIPを設定している
何を見落としているのでしょうか
213:anonymous
16/07/27 12:54:22.28 .net
>>TCPが通らない。
これの意味が分からない。
けど、試験的に全フィルターを外したいなら、下記コンフィグを流せばOK。
------
ip filter 10000(空いてる番号) pass * * * * *
pp select [該当のPP番号]
ip pp secure filter in 10000
ip pp secure filter out 10000
tunnel select [該当のトンネル番号]
ip tunnel secure filter in 10000
ip tunnel secure filter out 10000
------
これでPINGが飛ぶならフィルター設定が間違えてるのは確定。
因みに、お互いtracerouteかけたらどこで[* * *]になるの?
214:210
16/07/27 12:58:41.66 .net
あ、LANにもフィルタ掛てんのか・・・
ip lan1 secure filter in 10000
ip lan1 secure filter out 10000
も要るわ。
なお、やった後は元に戻すのは忘れずに。
(saveせずに後で再起動すれば確実)
215:anonymous
16/07/27 13:15:03.79 .net
config貼れよw
216:anonymous
16/07/28 11:58:28.68 .net
202です
上位ルータでIPsecのポートマッピングを行ったところPINGが通るようになりました
接続完了となっていたので、上位側は疑って居ませんでした
お騒がせしました
ありがとうございました
217:anonymous
16/07/28 13:22:29.11 .net
>>213
それはよかった。
後学のために聞いておきたいんだけど、IPsecのポートマッピングって具体的にはどんなこと?
もう手遅れだけど、接続できてなかった時にshow ipsec saとshow ipsec sa gattewayを実行した結果を見てみたかったかもしれない。
218:anonymous
16/07/28 15:15:10.53 .net
>>214
192.168.122.1のルーターに
プロトコル51 AH > 192.168122.2
プロトコル50 ESP > 192.168.122.2
UDPポート500 IKE > 192.168.122.2
を設定しました
219:214
16/07/28 17:13:30.52 .net
>>215
それって、そもそもIPsecでは接続できてなかった(と思われる)ということですよね。
その状況ではshow ipsec saで鍵情報が表示されなかったでしょうし、ログにも何かしら出てたんじゃないかな。
普段はGUIを使わないので良く分からないのですが、GUI上では正常にIPsec接続できているかのように表示されていたのですか?
220:anonymous
16/07/28 17:33:31.25 .net
>>216
GUI上では鍵情報なども表示されていて、CUI上でも接続と表示されていました
ハートビート信号もやりとりできていた模様で、データだけが送れなかった模様です
configマジで貼るかと収集していたデータですが
本社側RTX810
tunnel1# show status tunnel
TUNNEL[1]:
説明:
インタフェースの種類: IPsec
トンネルインタフェースは接続されています
開始: 2016/07/27 11:37:38
通信時間: 22時間58分46秒
受信: (IPv4) 300 パケット [50646 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 246 パケット [18050 オクテット]
(IPv6) 0 パケット [0 オクテット]
出張所側RTX1000
tunnel1# show status tunnel
TUNNEL[1]:
説明:
インタフェースの種類: IPsec
トンネルインタフェースは接続されています
開始: 2016/07/27 11:37:46
通信時間: 22時間56分22秒
受信: (IPv4) 0 パケット [0 オクテット]
(IPv6) 0 パケット [0 オクテット]
送信: (IPv4) 174 パケット [42928 オクテット]
(IPv6) 0 パケット [0 オクテット]
出張所側の受信だけ0パケットなので上位の設定を見直して見たところ解決しました
221:anonymous@y215081.ppp.asahi-net.or.jp
16/07/29 10:03:20.56 .net
2台のRTX1210で相互VRRP使って相互バックアップ取らせる形をしたいんだけど、
DHCPで2つの仮想ルーターのゲートウェイに端末を均等に分配することってできないんかな?
DHCP鯖も2つ動く形になるかとおもうんだけど、
222:anonymous
16/07/29 10:18:07.20 .net
DHCPの割り当て範囲で工夫するしかないんじゃないの?
223:218
16/07/29 10:28:59.34 .net
>>219
範囲は各ルーターで変えるつもりなんですが、VRRPの仮想ルーターのデフォルトゲートウェイを半分はA、半分はBみたいにしたいんですよ。
このポートに刺さっているHUB下の端末にのみDHCPを割り振る、とかそういったものか、
もしくは2台の1210で均等分配するように制御させるとか、そんな形の設定ってありますか?
224:anonymous
16/07/29 12:02:00.75 .net
>>220
DHCPクライアントにID持たせるぐらいしか思いつかないな~
225:anonymous
16/07/29 14:33:13.99 .net
ポート単位とかならVLAN使うとか
226:218
16/07/29 17:26:42.39 .net
クライアントがコロコロ変わるらしくから予約設定もできんからとなるとVLANかなぁ。
ちょっとやってみます。ありがとうございます
227:anonymous@101-142-59-238f1.hyg1.eonet.ne.jp
16/07/29 17:43:14.38 .net
ファイアウォールFWX120用セキュリティーライセンスYSL-MC120のURLフィルター機能に対応したFWX120用最新版ファームウェア(Rev.11.03.18)の配布を始めました。
URLリンク(www.rtpro.yamaha.co.jp)
228:anonymous
16/07/29 23:53:39.26 .net
2. 注意事項
HTTP/2.0による通信を制限することはできません。
HTTPSによる暗号化された通信を制限することはできません。
URLリンク(www.rtpro.yamaha.co.jp)
やはり、偽証明書を発行するタイプのproxyの役割を担って、
httpsにも対応してほしかった。
229:anonymous
16/07/30 00:10:46.84 .net
コスト高いよ
230:anonymous
16/07/30 00:36:24.70 .net
>>225>>226
もっと言えば、ヤマハが公的な認証局を担ってその偽証明書をその都度、署名することによって、
ブラウザに証明書のインストールを不要にしてくれるなら、10マンでそのファイアウォールを買う!
231:anonymous
16/07/30 01:19:08.94 .net
YAMAHAにまともなNGFW作る技術力は無いだろ
アライドのUTMもお察しの出来だし国産は絶望的だね
232:anonymous
16/07/30 03:17:28.97 .net
オープンソースで構築するしかないか
233:anonymous
16/07/30 07:10:39.40 .net
>>227
Kasperskyとかがそんな感じだなぁ
234:anonymous
16/07/30 09:00:40.60 .net
SSLデクリプションは正規の証明書を確認できなくなっちゃうから
会社とかで使うと社員のリテラシー下がるよね。気分的にも偽物は嫌。
個人で遊ぶ分には良いけど。
SSLのままアプリ識別する方を頑張ってもらいたいな。
235:anonymous
16/07/30 09:20:34.85 .net
そうそう
正規の見れなくて困ることがある
236:anonymous
16/07/30 13:21:03.32 .net
暗号キーは違うので、サーバのオリジナルの証明書ではないものの、
ブラウザに対してうまく偽れる「証明書」は提供できると思うが、
それでもだめか?
237:anonymous
16/07/30 13:24:23.66 .net
そんなことは簡単だよ
問題はそこじゃなくてそれをすることによるデメリットさ
238:anonymous
16/07/30 13:38:40.09 .net
>>234
監視するには暗号化は破られなければならない
239:anonymous
16/08/01 19:32:32.68 .net
暗号化を破るというか、中継するってことだな
言い換えれば、中間者攻撃ということになる。
240:anonymous
16/08/01 19:33:53.02 .net
>>230
カスペルスキーって、自分のルート証明書で、偽造証明書を署名しているのか?
241:anonymous
16/08/01 19:40:41.49 .net
>>237
自分でいくらでも発行できるようになってる
期限だけは元の証明書と同じ
242:anonymous
16/08/02 01:09:45.20 .net
>>238
それいいな。各ブラウザに、おれおれルート証明書をインストールしなくてもいいってことだからなあ。
そういうのが、Squidで使いたいなあ。
243:anon
16/08/03 00:38:13.99 .net
ハードウェアで処理させるとかなり重いから安価に導入できるのはFortigateくらい
PaloAltoはセミナーでしきりにSSL復号は重いのでサイジング余裕見てくださいばっか言ってたわ
244:anonymous
16/08/07 10:12:26.48 .net
RTX1200
2階建ての2Fに設置 筐体内温度(℃): 49
3階建ての2Fに設置 筐体内温度(℃): 45
3階建ての3Fに設置(常時換気の部屋)筐体内温度(℃): 48
大丈夫だろうか。
245:anonymous
16/08/07 10:41:19.18 .net
スペックを満たしていませんね。
246:anonymous
16/08/07 12:56:26.28 .net
>>240
大手顧客でトラブったんだろうなあ…
247:anonymous@61-205-2-108m5.grp1.mineo.jp
16/08/07 14:34:21.36 .net
>>241
全然、問題ないだろ
アホすぎ
248:-
16/08/07 19:28:06.03 .net
発報の閥値は60度に設定してるけど、お前らは何度よ
ちなみに一回も発報しない
249:anonymous
16/08/09 08:32:40.56 .net
>>245
55度にしてる
一度なったことあるけど、現場に確認すると室内温度が45度とかいってたらしい。
沖縄の夏はこわいわ。
とりあえず扇風機でごまかしてる
250:hage
16/08/09 09:50:48.35 .net
パケット転送フィルターとフィルター型ルーティングの違いについて教えてください。
パケット転送フィルター
URLリンク(www.rtpro.yamaha.co.jp)
の中で
> 例として、次のような方針でパケットを転送することを考えます。
> 始点アドレスが192.168.0.0/24でプロトコルがUDPのパケットをPP 1へ転送する。
> 始点アドレスが192.168.1.0/24のパケットをTUNNEL 1へ転送する。
> 始点アドレスが192.168.2.0/24のパケットをTUNNEL 2へ転送する。
パケット転送フィルターを使って実現する方法が例示されていますが、
これらは全て従来型のフィルター型ルーティングでも出来ることじゃないかと思います。
パケット転送フィルターじゃないと出来ないこと、ってどんなことがありますか?
251:anonymous
16/08/09 10:51:52.38 .net
>>247
特に無いよ
大規模だとconfig行数減るかも?ぐらい
252:anonymous
16/08/10 01:08:27.63 .net
>>246
緯度の高い本州の夏のほうが太陽が高いので怖いよ
むしろ沖縄のほうがましらしいけど。
253:anonymous
16/08/10 01:10:04.11 .net
>>247
これって、新しい機能かな
そんなこともできるようなったんだな。
でも、使い道がみつからない。
254:anonymous@ncdu0e12.cncm.ne.jp
16/08/30 09:59:58.36 .net
どうか真剣に聞いてほしい
秋、大変が起きる
本当なんだ、本当なんだ、本当なんだ
命の危険が迫っている
皆救われて欲しい
どうか皆頼む
URLリンク(hirohifumiyamato.blog.fc2.com)
255:anonymous
16/09/19 22:33:56.26 .net
どのぐらいの期間で落ちるのか知らんけど、
取り敢えず保守しとく。
ここが寂しいってことは誰も困ってないって事なんで、良い事・・・なんだ!
256:アナニー
16/09/19 23:20:34.41 .net
保守する必要なんて無いぞ
257:アナニーってなんや
16/09/19 23:44:16.38 .net
消えたらまた作ればええやん
258:ggr
16/09/19 23:49:19.99 .net
そもそももう一個あるしw
259:anonymous
16/09/20 17:03:16.94 SYV3UuWu.net
ヤマハのルーターはかなり信頼性があるわ。
本当に壊れないな。RTX1100のときから複数台使っているけど、壊れない。
GUIはおかしくなったことがあるものの、パケットに関するメインの機能は壊れたことがない。
雷の影響で止まったことがあるけど、主電源のオフオンで回復した。
もっとも、最近はメタルの電話回線がないので、雷の影響もなくなってきたな。
コモンモードのサージがなくなった。
260:anonymous
16/09/22 19:38:41.61 .net
>>252
質問の活気が減ったように感じるね
ルーター使いの新米が最近は少なくなっているのでは?
昔とは違って、IT環境も複雑化、専門化しているので、自ら業務ルーターを購入しようと考えず、なんでも業者任せになっているのではないか
261:anonymouse
16/09/23 13:24:18.24 .net
日本本社でRTXを使ってるんだが、L2TP/IPsecやPPTPが遮断されている国からこちらのRTXにVPN接続するにはどんな方法がありますか?
262:あのに
16/09/23 13:30:34.71 .net
一旦国内の拠点のネットワークの外までSSLVPNとかの規制しづらいやつで持ってきてあげてそこからLT2P/IPsec
263:anonymous
16/09/23 14:27:48.48 .net
>>258
ソフトイーサでも使えば?
264:anonymous
16/09/23 16:25:57.56 .net
>>258
ちゃいな国からの接続?
SSL-VPNかciscoなら接続出来るんじゃない?
265:anonymous@123-1-80-59.aichiwest1.commufa.jp
16/09/23 22:12:21.29 .net
>>258
衛星携帯電話
266:258
16/09/23 23:36:09.05 .net
やっぱSSL-VPNしかないか
先ずは手軽そうなSoftEtherから試してみます。でも速度40Mbpsは無理だろうな。
それで満足できなければ、次はcisco ASAか。。。ciscoは使ったことが無いから勉強が大変だ
267:anonymous
16/09/24 03:08:07.07 .net
SSLをブロックすることなんてできないからね
(httpsをブロックすることと同じことだった?)
268:anonymous@pa3b1b2.tokynt01.ap.so-net.ne.jp
16/09/24 08:11:07.08 .net
中華なら国内PCに自前のルート証明書入れて金盾で解析してるかもね
269:anonymous
16/09/24 10:44:55.90 .net
国外向けSSLは遮断してるんじゃないの
270:anonymous
16/09/24 14:16:55.01 .net
他の国で企業向けFWがやってるようなやつ。
271:anonymous
16/09/25 15:11:54.50 .net
レノボのPCに入ってたマルウェアがSSL通信を乗っ取るのは有名は話だったけどな
URLリンク(gigazine.net)
272:anonymous
16/09/25 22:20:28.52 .net
SSLインスペクション機能を持ったUTMやFWなんか
273:anonymous
16/09/26 11:59:10.12 .net
>>268
高度なマルウェアだな
>>269
本物サイトから得た証明書から、動的に証明書を作って、それをクライアントに渡して、
セッションハイジャックする。
Squidは実現できているけど。さらにその進化形ってあるんだろうか。
OSSで組めば無料できるので、数十万円かけたくないなあ。
274:anonymous
16/09/26 12:02:10.10 .net
>>265
それはいくらなんでも無理でしょ。
MSも、Gooleも、Firefoxも乗っ取られているのか?
275:anonymous
16/09/26 12:32:05.56 .net
>>271
規模的に無理って話?
276:anonymous
16/09/26 17:31:28.42 .net
>>272
いや、ルート証明書って、ブラウザに組み込まれているんでしょ。
それを改変するなんて無理ではないかということ。
277:anonymous
16/09/26 17:33:25.27 .net
なんでだろ~なんでだろ~
278:anonymous
16/09/26 17:35:59.99 .net
で、そのブラウザってどうやってダウンロードするんです?
>>270
サーバー側になるのは無理だろうけど普通にセキュリティソフトがやってたりする
279:anonymous
16/09/26 19:25:08.39 .net
>>275
その場合って、証明書のエラーがでますよね?
それとも、セキュリティーソフトは独自にルート証明書(+秘密鍵)もっていて、
動的に作成する証明書の署名もするのかな?
だとしたら、すごいな。
Squid
280:にはそこまでやってほしんだけど。
281:anonymous
16/09/26 19:26:31.03 .net
ルート証明書埋め込まれるよ
証明書ごとに独自に自前の発行してる
firefoxとかでもちゃんと使える
282:anonymous
16/09/26 19:44:39.42 .net
>>277
ブラウザに、新たに動的作成用のルート証明書が埋め込まれるわけですね。
もっとも、セキュリティーソフトウェアをインストールの段階で埋め込みが為されるのは容易いことだろうけど。
そうすることなしに、ブラウザに既存のルート証明書だけで対応できたらすごいなと。
動的証明書を発行する中継サーバを使用する場合、既存のルート証明書だけで対応できたらよいのにねと思った。
でも中継サーバのベンダーが署名機関であり、その署名作業を、各中継サーバに委任するような仕組みが必要になるなあ。
283:anonymous
16/09/26 19:49:34.11 .net
めんどくさくて仕方ないな
一応使ってるやつは自社で認証局持ってるとこのだけどそんなことするのは無駄でしかないんだろうな
284:anonymous@KD182251249039.au-net.ne.jp
16/09/26 20:04:01.97 .net
>>277
だから一度セキュリティ警告を無視して証明書をDLしないとMITMされないよね?って話じゃないの
285:anonymous
16/09/26 20:10:18.72 .net
>>280
それはセキュリティソフトレベルでも組み込めるんだから問題にならないって話じゃないのか?
286:anonymous
16/09/26 20:42:43.17 .net
>>281
セキュリティーソフトインストール時に組み込まれたら、
>>280のいう警告はそもそも出てこなくなるね。
そのセキュリティーソフトは、ローカルPC上に認証局を開設しちゃうんだ。
287:anonymous
16/09/26 23:26:28.44 .net
ブラウザのインポート機能以外でルート認証局追加できるなら
それはブラウザのセキュリティが甘いって事じゃね?
288:anonymous
16/09/27 00:30:15.07 .net
>>265は無理だな
289:anonymous
16/09/27 23:29:36.70 .net
>>283
メーカー側で既にインポートされた状態で出荷されるのがlenovoだって話じゃなくて?
290:anonymous
16/09/28 13:41:39.84 .net
それちょっとしたニュースになっていたな
291:anonymous
16/09/28 13:47:26.35 .net
その手の話は結構あってどれのことを言ってるのやら
実際使えそうなのはこんなやつか?
URLリンク(security.srad.jp)
292:anonymous
16/09/29 01:00:36.70 .net
>>287
>秘密鍵もセットでインストールされている
公開鍵で暗号化をするんではないのか。
クライアント証明書ならわかるけど、それってどういうことなんだろう。
293:anonymous
16/09/29 08:02:51.90 .net
ミスって入れちゃってた
アホとしか言いようがない
294:anonymous
16/09/29 08:40:14.28 .net
SSL検閲をやるなら秘密鍵も必要だぞ。
295:anonymous
16/09/29 08:47:44.08 .net
ユーザーに見える形で?
296:anonymous
16/09/29 09:05:42.02 .net
ヤマハのページにちらっと書いてあったけど、ファストパスの処理の仕方って機種によって違うのね。
297:anonymous
16/09/29 14:37:33.12 .net
>>292
そこは、情報をシェアしないと
kwsk where is the page
298:anonymous
16/10/02 02:49:46.60 .net
>>285
URLリンク(security.srad.jp)
レノボはいろいろ怪しい
299:オナニーマスター
16/10/03 19:10:32.92 .net
>>294
YAMAHAスレなんだからフィルターで落とす方法を考えよう!
とか持って行かないと
300:anonymous
16/10/03 19:36:40.21 .net
URLリンク(cloud-news.sakura.ad.jp)
さくらのクラウドだと、yamahaルーターとVPN接続できるようだ。
変な条件(片側からしか接続できないとか)なしに相互接続できるとは、
いったいどんなシステムを使っているんだろうね。
クラウド借りようかな。
301:anonymous
16/10/05 22:44:30.41 .net
以前はMRTGつかってたんだけど
最近のお勧めありますか?
302:anonymous
16/10/05 23:23:59.21 .net
すこし愚痴らせて
すっごい話が来た
VPNルータを設定してくれって依頼。
で2拠点での設定が必要と解ると・・・・
片方が自分たちがやるから、安くしてくれって・・・・・・
その時に必要なキー情報とかは渡したんだけど・・・・
IPって何?何すれば良いか出してくれって・・・・・・・
どうしよう
303:anonymous
16/10/05 23:26:59.15 .net
ちゃんと契約書で向こうにやらせるって書いといて失敗したら追加料金で作業しよう
304:anonymous
16/10/05 23:38:09.79 .net
必要な情報でわからなければ
有料ですでいいんじゃね?
しぶるようならレクチャー料を設定よりも高く取ればいい
305:anonymous
16/10/06 01:05:51.25 .net
それ、向こうのトラブルでも
うまくいかない理由をお前に押し付けて全部タダでやらせる魂胆やろ
306:anonymous
16/10/06 05:25:32.26 .net
質問されるたびに解決のための見積書を提出してあげればいいんじゃね
お人好しとか舐められるタイプのやつは延々とこういうやつの相手してるよな
307:anonymous
16/10/06 06:41:57.09 .net
>>298
片方のVPNルーターの設定を自分たちでするといっておいて、IPを知らないとは、
無邪気なのか、>>301の言うように悪意にはじめから満ちているかのどちらかだよな。
>>299さんはこういう問題にも慣れていそうですね
308:anonymous
16/10/06 06:43:21.23 .net
>>294
レノボは富士通と提携するとかなんとか。
富士通大丈夫か?
309:anonymous
16/10/06 08:07:44.41 .net
>>298
料金変わりませんと言って全部やれ
310:anonymous
16/10/06 08:08:29.87 .net
>>298
で、話の持って生き方としては片方の値段で、両方サービスで
やらせていただきますと言って通常料金を請求する
311:anonymous
16/10/06 10:30:06.64 .net
IPすら分からない相手だと、全部自前でやるより高い金額請求しないとやってられないと思う
素人でも分かる設定手順書作成費ででっかい金額見積もってやった方が良い
この手の相手だと、PING一つ説明しても打てない、打ってもレス読み上げる事も出来ない
312:anonymous@KD119104023022.au-net.ne.jp
16/10/06 11:31:52.61 .net
つか、VPN張った後に何をするんだ? VPN張るのがゴールじゃないだろうに…。
313:anonymous
16/10/06 18:31:59.21 .net
それを知ってあなたは何かしてくれるの?
314:anonymous
16/10/07 01:18:23.11 .net
>>297
snmpで良いけど描きたいグラフ多いならcactiとかじゃない?
ログの可視化も含めるならE
315:LKも良いけどflowも扱えないyamaha対象ならどっちにしても限定的にしか描けないよーな。
316:anonymous
16/10/07 01:40:08.69 .net
RRDtool叩くなら14all.cgiとか言うのも昔あったけどな
317:anonymous
16/10/07 09:15:32.81 .net
うちはZabbixとSyslogで監視してる
318:オナニーマスター
16/10/07 20:00:25.53 .net
>>297
zabbixでいいじゃん
半日もかからない
319:anonymous
16/10/08 15:40:54.82 .net
うちもzabbix
所詮はYAMAHAって感じでコアなとこには使ってないからsnmpでざっくり見てる
機器の台数多いとそれなりにMySQLのチューニングや運用tips必要になるけど
情報量多いから初めてでもおすすめ
>>310
Fortigateは色々ログ吐くからEFKで可視化してる
FortiAnalyzer買えばいいんだけど、op的なモノにはなかなか予算付かんのよね・・・
320:anonymous
16/10/08 20:49:41.19 .net
RTX1200 Rev.10.01.71 リリースノート
・脆弱性対応:2
・機能追加:4
・仕様変更:11
・バグ修正:51
321:anonymous
16/10/08 21:52:49.70 .net
それ言うならURLも貼ってくれよ
URLリンク(www.rtpro.yamaha.co.jp)
322:anonymous
16/10/08 22:49:18.79 .net
RTX1200 なんて発売からもう8年も経ってるのに、未だにバグが多いんだな
323:anonymous
16/10/08 23:30:16.87 .net
追加された機能のバグ修正とかも入ってるしね。
324:anonymous
16/10/09 01:16:19.43 .net
IOSやSGOSなんて…
325:anonymous
16/10/10 00:07:53.04 .net
rtx1200を長年使っている。
もうずっと動かしっぱなしなので、アップデート怖いな。
(安定性の向上のために毎日スケジュールで再起動はしている。)
326:anonymous
16/10/10 00:12:58.06 .net
バグ修正たくさんある。
バグって誰が発見しているんだろうね。
サポセンへの苦情からエスパーしたんだろうか。
327:anonymous
16/10/10 00:43:47.76 .net
SI企業とかから上がってくるとかね。
328:anonymous
16/10/10 01:01:35.58 .net
>>320
それどんな意味あるの?
329:anonymous
16/10/10 02:34:39.77 .net
Win95的なずっと起動しとくとヤベェ的なものの対策じゃないの?
知らんけど
330:ー
16/10/10 03:01:13.08 .net
俺は別人だけど、ISP(plala固定)かRTX1200どっちのせいかわからんが、
ずっと接続しっぱなしだと徐々に(半年とか1年単位)遅くなっていって再起動すると回復するっていう症状は絶賛継続中だな。
まじで不安定で困ってるから、クラウド移行するのに合わせてKDDIのダークに乗り換える。
331:anonymous
16/10/10 11:24:18.38 .net
>>316
>以下のコマンドを追加または削除したとき、リブートすることがあるバグを修正した。
>ipsec transport
>ipsec transport template
これ経験あるわ。急にコンソール打てなくなったと思ったらリブートかかってんの
念のため日中にやってたからあまりバレなかったけど
332:anonymous
16/10/10 13:04:26.97 .net
日中にやってたらバレるんじゃないの
333:anonymous
16/10/10 13:08:27.39 .net
あまりバレなかったけどw
ちょっとはバレたわけだ
334:anonymous
16/10/10 20:06:29.23 .net
日中ていうか昼休みだな。
少し「あれ?」みたいな声が聞こえた程度だから平気。
それぐらいの規模のほうがヤマハさんとしてもちょうどいいっしょ?
335:anonymous
16/10/10 20:23:36.41 .net
深夜に出張ってやらなきゃ真の管理者とは言えない
336:anonymous
16/10/10 20:28:37.95 .net
家に同じ設備あるって言ってた人がいたなぁ
337:anonymous
16/10/11 02:41:04.70 .net
ぶっちゃけ管理者が1人しかいないような中小だと、そいつの自宅から会社にVPNのトンネル
掘って出社不能時でもリモートで管理出来るようにしてるようなケースあったからな
当然のことながら、有給?なにそれ?美味しいの?って職場だったわ
338:anonymous
16/10/11 08:45:14.56 .net
で設定ミスってVPN繋がんなくなって詰むんでしょ?
339:anonymous@p1487233-ipngn9101sapodori.hokkaido.ocn.ne.jp
16/10/11 08:57:59.72 .net
裏口ぐらい用意してると思う
340:anonymous
16/10/11 09:13:51.51 .net
VPNが繋がらないくらいならまだ良いよ
その程度ならリモートアプリで中のマシンから弄れるから。
最悪なのは接続自体吹っ飛ばしたときorz
341:anonymous
16/10/11 09:34:47.09 .net
>>332
おれのことか;;
342:anonymous
16/10/11 10:07:10.40 .net
>>332
俺もだ
>>330
勇気でるわ。
深夜出張はないが、VPNもルーティング経路も吹っ飛ばしてしまって、
深夜に絶望したことはある。(コンフィグの復元で助かった。)
>>335
ルーティング?
343:anonymous
16/10/11 10:09:19.76 .net
keep alive機能で、ハートビートが無くなったら、
自動的にコンフィグを復元してリブートかけるような感じで、
うまいこと元に戻ってくれる機能ないかな。
(拠点間の場合、整合性の関係で難しそう。)
344:anonymous
16/10/11 10:22:03.77 .net
コンフィグミスったと判断してくれるならいいけど
そういう判断は出来ないだろうから
予防したいなら作業時はスケジュールタイマーで
リブートするようにするしかないんじゃないの?
345:anonymous
16/10/11 19:25:04.02 .net
>>339
「俺が、〇時〇分までに戻れなければ、
そのときは頼む、もうボタンを押してくれ。」
346:-
16/10/11 21:23:27.90 .net
俺も自宅から操作できるようにしてる
まともな会社ではありえない事だけど
RTXを使うような規模の会社なんだから、むしろ当然かもしれん
いざとなったら自宅からコマンドをささっと投入して
倉庫のガソリンタンクに
347:anonymous@60-57-109-94f1.hyg2.eonet.ne.jp
16/10/12 01:33:26.80 .net
usbでリレー動かして発火装置を起動
出来なくもないな。
348:anonymous
16/10/12 08:37:46.48 .net
ネットだと確実に証拠が残るからなぁ
絶対何処か経由するから
349:anonymous
16/10/12 10:14:37.84 .net
>>341
そういうものなのか。
リモートアクセスは管理者にとって必須のものだと思っていたが。
350:hage
16/10/12 11:17:52.13 .net
>>343
sshの中身までは捜査当局も読めまい
351:anonymous
16/10/12 11:23:50.38 .net
中身はわからなくても接続したという証拠は残るわけで
352:Hage
16/10/12 11:27:24.55 .net
ああ、確かにusbにリレー繋がってたらバレるわな
353:anonymous
16/10/12 22:47:02.05 .net
>>340
schedule at 99 23:00 * restart
に何度も救われたっけ。
結局>>332でなんとかしてるよね。「どうやってなおしたの?」とか聞かれても濁すのがジャパンクオリティ
サーバのホントに消えちゃダメなデータを外付けHDにバックアップしておくのもナイショ
354:anonymous
16/10/13 09:11:44.67 .net
>>348
現実を無視した内部規約でもあるのか?
355:anonymous@ad021132.dynamic.ppp.asahi-net.or.jp
16/10/14 21:50:28.65 .net
>>341
RTXを使う会社はまともではないと?
356:anonymous
16/10/14 23:52:17.68 .net
>>350
メインで使ってるならYES
357:anonymous
16/10/15 00:57:09.36 .net
RTX5000とかあの辺
358:使って全国オールヤマハで仕上げてる会社を見てみたい VoIPだけとかならありそうだけど ヤマハ音楽教室とか全部ヤマハかな?
359:anonymous
16/10/15 07:23:38.71 .net
>>352
電子ピアノはそうだったよ
360:anonymous
16/10/15 07:24:43.63 .net
>>348
あー、だめだ間に合わない。
時間延長っと
361:anonymous
16/10/15 09:10:58.19 .net
>>352
結構あるんじゃない?
全国20, 30拠点位でルータは全部RTX1200とかあんまり珍しくないと思う。
362:anonymous
16/10/15 09:25:44.26 .net
>>354
あと、調子よく動いたなぁってときにsaveもno scheduleも忘れてパーにしたりなw
363:anonymous
16/10/15 15:48:02.51 .net
>>356
おー、こわ!
364:anonymous
16/10/15 16:02:59.61 .net
おおっと、手が滑っちまったぜ~
ターミナルウィンドウ上で右クリック貼り付け
365:anonymous
16/10/15 16:11:49.65 .net
>>358
複数拠点RTXのTELNETターミナルをそれぞれ開いていて、
間違えて別拠点のコンフィグを、tftpで流し込んで冷や汗かいたことがある。
もちろん、拠点間接続は断たれて、為すすべがなくなってしまった・・・
どうやって戻したかな。とてもトリッキーな方法でなんとかリモートから復帰させられた。
頭がさえていたと思う。
366:anonymous
16/10/15 18:57:23.65 .net
saveコマンド打ってなければ、相手の拠点に「電源スイッチ切って入れ直して」ってTEL一本
367:ano
16/10/15 19:05:09.52 .net
>>360
restartコマンドじゃsaveされちゃうの?
初心者ですまん
368:anonymous
16/10/15 19:06:46.14 .net
>拠点間接続は断たれて
わからんやつにコマンド打たせるよりよっぽどいいだろ
369:anonymous
16/10/15 19:21:04.75 .net
>>360
たまにパスワードまで流し込めるようにしてくれる人がいて・・・最後にsaveが
マウスクリックで貼り付けってホント要らないよな。TeraTermPro4.xxだと無効化できるけど
>>361
されないよ。スケジュール再起動時は「保存しますか?」も聞かずに破棄して再起動する
370:anonymous
16/10/15 19:38:21.90 .net
>>363
LinuxとかにSSHで繋いでるときは便利だけどそういう誤爆は怖いよね
371:anonymous
16/10/15 20:16:24.72 .net
>>360
tftpでアップロードだと、自動的にsaveされて再起動までされるんじゃないか?
372:anonymous
16/10/15 20:20:17.44 .net
あー、そうか
直接config(というファイル名だったはず)に書き込まれて一巻の終わりか
今の機種って多重コンフィグになってるから、ファイル名どうなってるのか知らないけど
373:anonymous
16/10/15 20:28:25.86 .net
>>364
またそういうときに限って何かのドキュメントも一緒に編集しててさ
一気に数ページ分のコピペしてたりとかして、クリップボードの中身をドーン
ペーストの内容に『偶然』シェルのコマンドとして有効な文言が混じってて、
謎の処理が走ったり、謎のファイルが出来たりw
374:anonymous
16/10/15 20:41:20.41 .net
>>367
ドーンペースト
375:anonymous
16/10/15 21:35:14.79 .net
>>361
そもそも設定吹っ飛ばしたんじゃプロンプトも返ってきてないだろうから、コマンド送れないしな
376:anonymous
16/10/15 22:05:34.50 .net
>>365
されないだろー
saveとrestart書かなきゃ
377:anonymous
16/10/15 23:27:17.75 .net
>>367-368
途中で停止効かねーしな
378:anonymous
16/10/16 00:51:44.19 .net
遠隔はリスクあるからって出張楽しんでこそだろ。
おかげでマイラーになったよ。
379:anonymous
16/10/16 01:16:47.78 .net
社内規定よく見ておけよ
1.会社側
380:が出張旅費に関する支払いや立替払いにおいてクレジットカードの使用を認めている 2.上記1.で生じたマイル等について社内規定を設けておらず、本人に任せている こうなってないとなんか言われてからじゃ遅いぞ マイレージだったらポイントサービスと違って法人じゃなくて個人に付与されるから、横領に 問われる可能性は低いらしいけどな
381:anonymous
16/10/16 02:35:27.01 .net
いきなりなんだよ
382:anonymous
16/10/16 09:29:01.82 .net
>>373
どこの誤爆だよカス
どうせどっかの社畜がメーカースレに書き込む予定だったんだろうけど
383:anonymous@p763127-omed01.tokyo.ocn.ne.jp
16/10/16 10:24:01.60 .net
>>373
マイル含め、経費で落とした個人クレカや量販店のポイントは、会社に還元しようがないし、暗黙でみな懐に入れてるでしょ
384:anonymous
16/10/16 10:41:32.16 .net
経費精算するのに会社名義じゃなくて個人名義のクレカで支払いOK、マイル乞食OKとか、凄い会社でYAMAHAルーターは頑張ってるんだな
385:anonymous
16/10/16 10:43:45.39 .net
>>371
状態によってはOS再セットアップからやり直した方が早くて、それまでの2~3時間がパア
386:anonymous
16/10/16 16:07:13.11 .net
このスレなんか壊れてる?
自分の意思でRTX入れられて保守までやってるとこって、情シス部署が独立してる中堅規模のイメージだしな。
出張精算もあまり細かくしてない感じ
総務兼情シス担当規模になると電話屋か事務屋に任せちゃうし
RTX1210のVPNってぶっちゃけ早くなったの?
387:anonymous
16/10/16 16:15:19.35 .net
ルーターの性能だけじゃなんとも言えないだろ
ISPの回線の良し悪しもあるだろうし
388:anonymous@pl925.nas924.p-iwate.nttpc.ne.jp
16/10/16 16:53:51.06 .net
>>377
マイルはもともと、会社の出張をより楽しいものにしようと、
移動距離をポイントにして個人に付与したのが始まり。
最初は座席のアップグレードのみだったので問題なかったが、
最近は換金性がでてきて問題になっている。
>>373
横領に問われる可能性は低いが、税務署は個人への給与として課税したがっている。
389:anonymous@pl925.nas924.p-iwate.nttpc.ne.jp
16/10/16 17:11:15.50 .net
このスレでいいのかな?
すべてのRTXにはUSBでLTE通信モジュールが差し込んであって、
フレッツこけてもVPNは維持できる仕組みらしい。
拠点のRTX810から、本社のRTX1210でVPN受けをしているのだけれど、
インターネット接続は、なぜか別のルーターで同じONUにつないでいる。
ONUの先は、フレッツ光ネクスト ファミリー。
ONU - HUB +-- [LAN2]RTX1210[LAN1] --+ HUB --- HUB --- サーバー・パソコン
+-- [WAN ]ルーター[LAN] --+
これ、インターネットへのPPPoEもRTX1210でやれば、
別ルーターと、RTX1210左右のハブいらなくなると思う。
ついでにインターネット接続の、負荷分散・ダウン時バックアップとして、auひかりを入れる。
サーバーPC -> LAN1
Flets Next -> LAN2
auひかりHGW-> LAN3
ってつないで、RTX1210の設定をうまくやると、上記の目的は達成できるはず。
これで情報収集始めるけれど、方向性として落とし穴はない?
390:anonymous
16/10/16 17:30:50.09 .net
LAN1でVLAN設定してサーバーとPCのセグメント分けた方がいいかもな
391:anonymous
16/10/16 22:38:21.12 .net
ひさしぶりにまじめな問がきてくれた
392:anonymous
16/10/16 23:50:46.11 .net
現在、インターネット接続用のPPPoEとは別に、RTX1210のVPN接続のためだけにもう一本PPPoEがあるってこと?
VPN接続用は メイン:PPPoE1、バックアップ:LTE
インターネット接続用は メイン:PPPoE2、バックアップ:auひかり
いけそう。
393:anonymous
16/10/17 14:38:52.01 .net
>>377
逆に法人名義のクレカを社員に配ってる大企業ってそんなに多いの?
394:anonymous
16/10/17 17:11:08.37 .net
スレ違いだけど、JCBのコーポレートカードとかあるでしょ
以降、クレ板でヨロ
395:anonymous
16/10/17 17:18:00.33 .net
あるか無いかの話じゃないだろうw
396:anonymous
16/10/17 17:32:36.72 .net
多いか、少ないかアンケートとるつもりかよ
397:anonymous
16/10/17 19:18:06.07 .net
あたまおかC
398:anonymous
16/10/17 20:49:18.16 .net
>>383
VLANよくわかっていなくて。
同じセグメントでも、ブロードキャストパケットが互いに届かないってやつ?
ルーター使わないでネットワークセグメント分けるってこと?
パソコンもサーバーもおんなじセグメントにおいてある。
その部署だけで使っているサーバーもあるし、全社で使うサーバーもある。
サーバー同士、PC同士で分ける? 部署ごとにわける?
>>384 スレチ心配だったよー
>>385
PPPoE1とPPPoE2がフレッツ光でダウンしても、
LTEとauひかりでVPNとインターネット接続が維持できることを期待。
RTX1210が直接PPPoEしゃべると、グローバルIPアドレスがRTX1210に降ってきて、
LAN1にプライベートIPv4アドレス配っても、IPv6アドレス配っても良い。これは普通。
auひかりのHGWはルーターの役割もしていて、グローバルIPアドレスはHGWにある。
パソコンをLANにつなぐと、プライベートIPv4アドレスと、IPv6アドレスを配る。これも普通。
疑問1.auひかりのHGWからグローバルIPアドレスをRTXに取ってくる方法はある?
疑問2.フレッツがダウンしたらauひかり、じゃなく、通常時も負荷分散で使える?
疑問3.IPv6アドレスが2つクライアントPCについてしまう?
399:anonymous
16/10/17 21:02:09.68 .net
疑問1は、KDDI系の回線の常なんだが、ホームゲートウェイのMAC認証(RADIUS認証?)を
やっているから、レンタルした機器じゃないとネット繋がらない。
なので、自分の好きなルーターを使いたい場合はPPPoEのパススルー機能で対応することになる。
400:anonymous
16/10/17 21:20:40.24 .net
>>392
HGWにPPPoEパススルー設定をすれば、RTX1210にグローバルアドレス来るでOK?
プロバイダはどこでも良いけれど、サポート窓口ひとつにするために、
au one netにしよう。
フレッツ光ネクストでほかのプロバイダにPPPoEするみたいに、
au one netの設定情報をPPPoEでしゃべるだけでよい?
401:anonymous
16/10/17 21:31:53.68 .net
すまん、PPPoEのパススルーじゃなくてHGWのDMZ機能を利用して、RTXにパケットを全部
渡す方法でやるんだったわ
以下が参考になりそう
URLリンク(d.hatena.ne.jp)
URLリンク(pontago.hatenablog.com)
ちなみに検索キーワードkddi yamaha rtxで見つけたサイト
402:anonymous
16/10/17 21:54:02.03 .net
>>394
LAN1 192.168.1.1/24(パソコン・サーバー)
LAN2 PPPoEプロバイダのグローバルアドレス
LAN3 192.168.253.253/24
LAN3の先にHGW 192.168.253.1/24 をつなげて、
HGWに届いたパケットを全部192.168.253.253に転送 ということでOK?
疑問2は、
URLリンク(jp.yamaha.com)
でOK?
今のところ、IPv6アドレスの配布・ルーティングでまったくアイデアがない。
403:Anonymous
16/10/18 01:12:08.88 .net
RTX810を2台(もしくはRTX1210を2台)設置して、ルータ故障時にも利用継続が出来るようにする事は可能でしょうか?
その場合は、回線1回線。プロバイダー1契約。でRTXを2台ともPPPoEで接続するよな構成なのでしょうか?
2台とも、ホット状態?
その場合は、回線障害やプロバイダー障害には対応出来ないですよね?
みなさんどこまで対応をする事が多いですか?
404:anonymous
16/10/18 01:23:45.72 .net
冗長は業界標準プロトコルのVRRPがあるけど、回線1本、ISP1業者だったら使う理由を感じないな
同じコンフィグ投入してあるやつをもう1台用意して、コールドスタンバイでいいと思う
あくまでもルーターの冗長であって、ファイアウォールのフェイルオーバーとは違うから、
今まで通信を行っていたセッションまで全部引き継いで通信断が発生しないようにするってのは不可能だし
405:anonymous@ngn2-ppp2775.nagoya.sannet.ne.jp
16/10/18 01:43:07.24 .net
>>396
やばいところは回線と機器両方
予算と要件の兼ね合いだからケースバイケース
406:anonymous
16/10/18 08:59:20.26 .net
>>394
フレッツひかりプレミアムのCTUの配下でRTXを使ってvpnを構築するときみたいな設定になってしまっているなあ。
PPPoEくらいには対応しておいてほしかったね。
407:anonymous
16/10/18 20:05:53.54 .net
>>396
URLリンク(jp.yamaha.com)
に、回線2回線。プロバイダー2契約、2台ともホットの例が載っている。
VRRP使って、
> ルーターあるいはWAN回線に障害が発生した場合に
> 自動的に一方のルーターがカバーする設定
てなっている。
これを書き換えれば、使えそうな気がする。
408:anonymous
16/10/18 20:49:32.40 .net
URLリンク(i.open.ad.jp) の
3.YAMAHA ルータを用いてフレッツ網内で拠点間仮想広域イーサネット VPN (Ethernet over IPv6, L2TPv3, IPsec) を構築する設定例
について聞きたい。
設定例を完了させると、本社・支店とも、ハブでつながった状況になって、
IPアドレスはまだない状態。
ここで、本社RTXのLAN2(WAN)にpppoe追加してインターネットに接続、
LAN1にDHCPサーバーつないでIPアドレス配ることはできる?
インターネット接続は別ルーターが必要?
409:anonymous
16/10/18 23:25:55.61 .net
>>398
回線と機器の両方とも2つ用意して(ISPも?)
インターネットVPNのセンター拠点の場合だと
グローバルIPは変えたくないし
そうなると・・・
ISPまかせしかないのかな?
410:anonymous
16/10/18 23:39:58.06 .net
>>401
何故そこまでやって自分で試してないのよw
ISP接続はl2vpnと相関しないし出来るんじゃない?
その構成でl3vpnは出来てる
411:anonymous
16/10/18 23:47:01.12 .net
>>401
経路設定でどうとでもなるよ
L2TPv3使う場合って大抵ブランチのトラフィックをセンターに集めてUTMにかけたりするから、
個人的にはインターネットに接続する回線はフレッツじゃない速めのを用意する方が好みだけど
>>402
大きく分けて3通りの解があるんじゃないかな
1.ISPまかせ(マルチリンクのアクセス回線)
2.BGP
3.センターに2つのIPアドレスを持たせて、拠点側でネットワークバックアップによる追尾or振り分け
案外1の構成取れる回線高いんだよねぇ
412:anonymous
16/10/20 23:11:03.24 .net
RTX1210をGUIでファームウェアバージョンアップしたら
数秒であっという間に終わって再起動したんだが、
大丈夫なのかコレ?
前のはもっとかかったよね?
413:anonymous
16/10/20 23:20:43.19 .net
大丈夫なのこれ?って、バージョン番号なんて表示されてるんだよ?
それ信じるしかないじゃん
どうしても信じられないならもう一回やれ
414:anonymous
16/10/21 01:37:45.86 .net
言っていることを信じれば、
差分方式?モジュール化になったんだろうか?という疑問さえ湧く。
415:anonymous
16/10/21 02:16:03.18 .net
RTX1100とかRTX1500の時代はYAMAHAが例として挙げていたコマンドラインの内容と
実際の画面に差異があって、YAMAHAの例と同じようには反応返ってこないけど実はちゃんと
リビジョンアップされてるってのあったな
Writing to Nonvolatile Memory...
の後に
done
ってのが表示される前に再起動しちまうとか、そんなんだった気がするけど
416:anonymous
16/10/21 11:27:41.82 .net
405だが、バージョン番号はもちろん上がってる。
見た目は上がってるが、あまりにも早過ぎたんで聞いてみた次第。
1210ユーザーいない?
417:anonymous
16/10/21 11:38:21.06 .net
基本はコマンドプロンプトでTFTP使ってプットする
418:anonymous
16/10/21 11:45:39.31 .net
URLリンク(www.rtpro.yamaha.co.jp)
これのWebgui.pdfと同じにやってバージョン上がってるならいいと思うけどな
違う結果になってるなら2ちゃんじゃなくてYAMAHAに聞け