16/11/08 20:42:18.07 .net
OUTとIN逆じゃね?
620:anonymous
16/11/08 22:17:18.20 .net
INとOUTが何に対してなのかというのは戸惑うこともある
621:anonymous
16/11/08 22:34:33.75 .net
LANとWANでは向きが逆になるしな
俺はLAN内では自由にしたいからフィルターの適用は必ずWANにしてる
622:anonymous
16/11/08 22:48:21.28 .net
VPNだとWAN側は不可だろう
623:anonymous
16/11/08 23:22:48.98 .net
YAMAHAルータ経由でリアルタイム処理のネットゲームやると
微妙に遅延時間ブレて滑らかじゃない。
Ciscoにしたら問題無くなった。
624:anonymous
16/11/09 00:27:40.26 .net
>>608
俺が現役時代はSバスでPOS同士も結んでたけど今はイーサネットなんだろうな・・
625:anonymous
16/11/09 06:56:27.98 .net
過去設定したISDN機器がいまだにひっそりと動いている、よくあることです。
626:anonymous
16/11/09 07:52:23.20 .net
>>613
VPN使ったことと無いけどトンネル使うならフィルタも入れられない?
IPIPトンネルだと出来てるッぽいけど。
627:anonymous
16/11/09 20:44:21.34 .net
>>617
どうVPN組むか次第やないの?
IPsecで包むだけかGREとかトンネル掘るとかL2TPv3でブリッジするとか方法ごとにアクセス制限も違うやろ
628:anonymous
16/11/09 21:34:27.13 .net
RTX1000時代のバックアップ回線はもっぱらINSだったよね
629:anonymous
16/11/10 04:59:25.46 .net
>>619
いまは?
630:anonymous
16/11/10 08:40:28.46 .net
まぁRT100i時代は主回線だったけどなw
631:anonymous
16/11/10 16:07:37.27 .net
>>621
rt52iも
632:anonymous
16/11/10 21:32:58.33 .net
LANのIN,OUT両方に
pass-log * * * * *
のフィルタを設定して別拠点に接続してみましたが
ログが出力されませんでした。
2TPv3/IPsecでブリッジ接続だとフィルタの対象外なのでしょうか?
633:anonymous
16/11/10 21:40:33.70 .net
>>623
構成がよくわからない
634:オナニーマスター
16/11/10 21:48:38.07 .net
>>623
めんどくせーな、おい
もうConfig晒せよ
635:anonymous
16/11/10 21:50:04.10 .net
オナマス君やる気だねえ。
636:anonymous
16/11/10 22:40:01.89 .net
>>623
syslog notice on
をしてない、ってのはないか
637:anonymous
16/11/10 22:55:00.82 .net
>>623
lan側なら表示されるはず
638:anonymous
16/11/11 21:27:02.17 .net
他のlanをpassしたログは出力されています。
configは以下のような内容です。
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
bridge member bridge1 lan1 tunnel1
ip bridge1 address XXX.XXX.XXX.XXX
ip lan1 address XXX.XXX.XXX.XXX
ip lan1 secure filter in 100000
ip lan1 secure filter out 100000
ip lan2 address XXX.XXX.XXX.XXX
・
pp select 1
pp name PRV/1/1/5/0/0/0:本社
pp always-on on
pppoe u
639:se lan2 pppoe auto disconnect off ・ tunnel select 1 tunnel encapsulation l2tpv3 ipsec tunnel 101 ・ l2tp always-on on ・ ip filter 100000 pass-log * * * * * ・ ipsec auto refresh on ipsec transport 1 101 udp 1701 ・ l2tp service on l2tpv3 ・
640:anonymous
16/11/12 01:26:15.27 .net
>>629
URLリンク(www.rtpro.yamaha.co.jp)
この図をみると、IPフィルターにひっかからずに折り返されている。
ブリッジされたVPNへのパケットはIPフィルタを通らないんではないか??
641:anonymous@i121-116-64-191.s42.a012.ap.plala.or.jp
16/11/12 20:28:32.99 B1DzDsVV.net
私は元創価の会員でした。
すぐ隣に防衛省の背広組の官舎があるのですが、
自分の家の窓にUSB接続のwebカメラを貼り付けて、そこの動画を撮影し続け、
学会本部に送っていました。
別に大したものは写っていません。ごみ出しとか奥さんが子供を遊ばせている所とか。
官舎が老朽化して使われなくなってから、
今まで法人税(うちは自営業です)をほぼ払わなくても済んでいたのが、
もう守ってやれないのでこれからは満額申告するように言われました。
納得がいかないと言うと、君は自業自得で餓鬼地獄に落ちる、
朝夕南無妙法蓮華経と三千回ずつ唱えて心をきれいにしなさいと言われ
馬鹿らしくなって脱会しました。
それ以来、どこへ行くにもぞろ目ナンバーの車につけまわされたり大変な日々です。
全部自分の出来心が招いた事で、どこに訴えて出ると言う訳にもいかないのですが、
なんとかあの人たちと縁を切って新しい始まりを迎える方法はないんだろうか
642:anonymous
16/11/14 19:15:10.86 .net
>>629
VPNのパス状況しりたければトンネルにフィルターいれないといけないんじゃない?
643:!omikuji
16/11/15 08:34:49.36 J3SjNeLq.net
テスト
644:anonymous@p7126-ipbfp703sizuokaden.shizuoka.ocn.ne.jp
16/11/15 18:16:23.86 .net
NVR510がL2TP/IPsecに対応したぞ
645:anonymous
16/11/15 19:02:14.03 .net
教えてください
RTX810で IPSEC VPNと L2TPv3の混在はできますか?
一つの拠点はL3でVPN
もう一つの拠点はL2でVPNしたいのですが
お願いします!
646:anonymous
16/11/15 20:09:37.81 .net
>>635
RTX1200は、両方同時に使用出来ている。
(L2TPv3はサーバ機能として)
647:anonymous
16/11/15 22:50:05.25 .net
>>636 ありがとうです
設定例みても IPSECとL2TPv3同時使用がなくできるのかわかりませんでした
助かります
もひとつすみません 教えてください
既存で拠点間IPSECが設定済で
新規拠点はL2でVPNしたい
なのでL2TPv3のトンネルを作成し
LAN1を
bridge member bridge1 lan1 tunnel1
ip bridge1 address 192.168.100.1/24
としても 既存のVPNに影響がない
ってことでいいんですよね?
648:anonymous
16/11/16 10:10:49.37 .net
良いけどip lan1 addressは削除してね
649:637
16/11/16 14:55:07.79 .net
ありがと
650:anonymous
16/11/16 23:40:33.39 .net
ciscoとyamahaでIPsecやってるんだけど設定時は通信できるけど暫くして通信しようとするとダメ。ciscoはVTI使ってる。通信NGの時はtunnel ifをshut/no shutすると繋がる。config晒せ言われそうだけどエスパーできる人居たらコメント頂けると嬉しいス…orz
651:anonymous
16/11/16 23:45:23.47 .net
config晒せ
652:anonymous
16/11/17 01:36:05.86 .net
>>640
例えば、RTX1200とLibreSWANでIPsecしているけど、
LibreSWAN→RTX1200方向で接続を開始しないとダメだった。
(また、LibreSWAN側に別のネットワークを構築した場合に、
RTX1200のルート設定でtunnelに送り込んでも、そちらまでパケットが流れない問題もあった。
逆もそうだった。ネットワークは、1対1にする必要があった。)
機種が異なると面倒がいろいろあるなあ。
ciscoとか、SWANは、yamahaは互換性を高めて欲しい。
653:anonymous
16/11/17 08:18:27.08 .net
>>634
まじかよ
普及帯の神機確定じゃん
654:anonymous
16/11/17 11:06:12.03 .net
>>643
L2TP/IPsec だけ な
655:anonymous
16/11/17 14:55:01.74 .net
>>643
普及帯とは言うけど、価格的にRTX810買う方がマシなような…使い方にもよるんだろうけど
>>640
RTX1200とSophos XG Firewall Home EditionをIPSec拠点間接続してるけど
こちらは通信が途絶えたら、RTX1200側のSAを削除した直後にSophosXGから繋ぎに行かないと、自動的に繋がる事は少ないな
それとは別にSophosXG同士でIPSec拠点間接続してるけど、こちらは自動的に再接続する
もちろんどちらもDPDはオンにしてる
656:172.16.255.255
16/11/17 15:17:04.93 .net
>>645
高級な個人向けだね~
NGNVPNも出来ないし、営業所でもちょっとなぁ
NVR700W 8.5万 NAPT65,534 VPN対地(ipsecx6,L2tp/ipsecx4) ひかり電話対応、TELx2
RTX810 4.2万 NAPT10,000 VPN対地(ipsecx6,L2tp/ipsecx4)
NVR510 3.5万 NAPT65,534 VPN対地(L2tp/ipsecx4) ひかり電話対応、TELx2
657:anonymous
16/11/17 21:42:03.80 .net
>> 642,645
ありがとう。
RTX側でno tunnel enable/tunnel enableしてもダメだったのだけどC891FJ側でip slaずーっとicmp-echoすると通信続けられるようになったぽい。
自分の環境でもDPDはどっちも動かしてたけど上記するまではダメだった
658:anonymous
16/11/17 22:58:21.25 .net
>>642>>645
他社製品→RTX1200方向で接続が可能なので、
IPsecトンネルのセッション生成において、
RTX側は受け入れが緩いということが言えるのかもなあ。
659:anonymous
16/11/17 23:52:03.16 .net
URLリンク(pc.watch.impress.co.jp)
LANハブに勝手な機器をつなげさせられない!!
いろいろ脆弱だなあ、ローカルネットワーク。
無線の方が「パスワード認証」があるだけ安心なのかもしれないなあ。
660:anonymous
16/11/18 08:06:08.09 .net
>>649
(´・ω・)つRADIUS
661:hage
16/11/18 08:07:43.22 .net
精々数十文字のパスワードさえ突き止めれば
住居侵入しなくても接続できてしまう無線LANのほうが安心?
662:anonymous
16/11/18 08:41:12.04 .net
その記事、ハッキングデバイスをUSBに直差しだぞ。
常識的に考えて攻撃先に物理的に直接触れるなら何だってアリだから
そんなノーガードな状態と比べるなら、まだ無線LANの方が安全。
無線LAN絶対使う前提ならそれはそれでVPNとか色々やれよって話だし。
663:anonymous
16/11/18 12:24:33.24 .net
>>651
証明書でも使えるんでは?
664:anonymous
16/11/18 13:36:38.91 .net
IEEE 802.1X使えば有線も無線も認証できるっしょ
自宅などの外部の侵入が困難な場合は無線の方が危険
不特定多数がPCやHUBに触れることができる環境なら中の方が危険
無線でもIDとパス知っているならスヌープし放題なのでこれも危険
どっちが安全かっていうのは条件揃えないと比較しようがない
>>649の攻撃手法で考えさせられるのは
DHCP自体がセキュアでは無いって事だな
665:anonymous
16/11/18 15:13:24.93 .net
wifi使用させて証明書を使って認証できるようにしても、
そのインターフェイスを別の有線LANインターフェイスにブリッジされれば、
意味なくなってしまうなあ。
666:anonymous
16/11/20 11:18:40.87 .net
最近のバナー広告って、httpsプロトコルのものがあるので、
yamahaのurlフィルタだけでは防ぎきれないよぉ。
プロ棋士いるかも。
667:anonymous
16/11/20 12:32:58.53 .net
だからこそ、FWX120はプロキシとして動作するじゃなーい。
URLリンク(www.rtpro.yamaha.co.jp)
668:anonymous
16/11/20 21:38:43.47 .net
>>657
httpsなので、マン院座ミドルする必要があるんだよ?
669:anonymous
16/11/20 21:56:23.19 .net
urlフィルタってドメインだけで弾けないの?
670:anonymous
16/11/20 23:35:03.61 .net
ドメインだよ
普通いちいちhttp://とかhttps://からブロックリストなんて書かないでしょ
671:anonymous
16/11/20 23:48:20.06 .net
ああ、>>660はFWX120での話じゃなくて、プロキシでのフィルリングの話ね
FWX120の場合は>>657の通りhttps-proxy機能をオンにしてプロトコルからフルに書かないとならんらしいな
672:657
16/11/21 00:54:40.07 .net
>>661
プロトコルからフルに とは言うけど、実際にはCONNECTメソッドであればhttpsじゃなくても、どのプロトコルでも同様にフィルタされると思うよ。
"URLリンク(")が冗長と言えば冗長だけど、あくまで従来のURLフィルタと書式を似せただけで、
ここで検査するのはCONNECTで指定されるドメイン、ポートだろうから。
そんで、CONNECTメソッドを見るだけなので、MITM(TLS終端)はしなくてもいいのよ。
673:anonymous
16/11/21 10:07:27.18 .net
>>662
そういえば、squidテストしたときも、
ゲートウェイを透過的に変更してsquidのポートに回してから、httpsのフィルタをしたことがあるな。
674:*
16/11/21 20:58:01.10 .net
ずっとほったらかしにしてたけど
倉庫の奥にあるFWXをひっぱりっだしてくるか
675:anonymous
16/11/21 21:31:48.81 .net
肛門様おひさしぶり
676:anonymous@sp49-98-151-123.msd.spmode.ne.jp
16/11/25 16:34:09.09 .net
WLX402が発売になったね
次の案件で人柱になろうかな
677:anonymous
16/11/25 18:40:00.99 .net
>>666
その辺の型番からぜんぜん親しみがない。
RTX、RT、RTAから始まる型番にしか親しみがわかない。
NVとかも知らない。
678:anonymous
16/11/25 21:06:34.13 .net
RX-78が一番親しみがわく
679:anonymous
16/11/25 23:21:05.49 .net
>>668
そろそろ40台?
680:anonymous
16/11/26 09:12:58.13 .net
>>666
割高感があった今までのAPに比べると競合の価格を下回ってきたね
あとは同時接続台数が競合商品に比べるとしょぼかったのを改善できてるか興味有る
cisco、arubaに比べてどうかレポート待ってるぜ
681:anonymous
16/11/26 16:52:02.01 .net
WLX402ってそんなに安く感じる?
11ac wave2のAironet 1850ならNBDの保守付きで個人で買って9万くらいだったから、
俺は似たような価格帯だと思ってたけど
まあ、WLX402も買うけどさ
682:anonymous
16/11/26 18:49:58.78 .net
>>668
俺はRX-7だな
683:anonymous
16/11/26 23:09:59.86 .net
>>671
WLX302が高いって意味さ
ユーザーが分かれてるから純粋に競合してないけど
Yamaha製品を積極的に導入してる人以外はメリットない商品だったから
684:anonymous
16/11/28 14:18:52.52 .net
RTX1200のSTATUS LEDが消えないんだが、
何かが切れているとか、Backupに切り替わっているとか、
異常が全く見つけられない。
何でSTATUS LEDなのかを調べる方法って無いかな。
685:anonymous
16/11/28 14:29:42.99 .net
×なんでSTATUS LEDなのか
〇なんでSTATUS LEDが橙点灯なのか
show log
show status lan1/2
show status pptp
show status tunnel 1/2
show ip intrusion detection
あたりは確認したけど異常なし。
Web GUIでも一通り全体を見てみたけど
異常ないんだよな。
たぶん先週末は点灯していなかったと思う。
686:anonymous
16/11/28 15:53:38.65 .net
ウチもSTATUS LED は橙点灯だけど通信障害は特にない
マニュアルでは以下のようになってるが
STATUS ランプ
回線のバックアップの状態を示します。
消灯 メイン回線が通信可能な状態です。
橙点灯 メイン回線が通信不可能な状態です。
687:anonymous
16/11/28 16:44:45.03 .net
サポに聞いたほうが早そうじゃね?
688:anonymous
16/11/28 17:14:15.05 .net
ip keepalive設定かな?
うちもstatusがオレンジに転倒したまま。
689:anonymous@185.234.69.115.shared.user.transix.jp
16/11/28 20:17:39.52 .net
>>678
起こしてやれ
690:anonymous
16/11/28 20:44:03.41 .net
家の設定ではipv6での接続が出来ないからstatusが点灯する
ipv6をoffにしたら消えたよ
ppp ipv6cp use off
691:anonymous
16/11/29 00:02:05.01 .net
>>679
どこのトランジックス?
692:anonymous
16/11/29 01:36:14.17 .net
多分IIJのDS-LiteでやってるIPv4overIPv6
693:anonymous@180-145-133-83f1.osk2.eonet.ne.jp
16/11/29 04:43:58.64 .net
既出だがNVR510
L2TP/IPsecに対応してたんだな
cisco841M買おうかと思ってたんだが、あっちは速度が出ないって意見がちらほら。
ヤマハはショートパケットに弱いと言われることがあるみたいですが、実際どうなんですかね。
694:675
16/11/29 07:11:10.57 .net
>>676 >>677 >>678 >>680
トン。STATUS橙点灯が消えないの件、自己解決しました。
# tunnel select x
tunnel x # pptp keepalive use off
で消えた。
少し前に本スレに出ていた「中小企業の管理者用裏口PPTP」が犯人でした orz
695:anonymous
16/11/29 10:59:53.17 .net
PPTPのキープアライブなんて必要ならクライアント側がやればいいんだから
ルーター側には不要だよな
696:anonymous
16/11/29 15:55:39.01 .net
>>682
それなら、ずっと以前に使っていたことがある。(PPPoEセッションを減らすため)
でも、とても不安定で遅かったのでつかわなくなった。
もう今は改善しているんだろうかな。
697:anonymous
16/11/29 16:54:29.38 .net
>>686
速度測定だけならrtx1200のcpuが飽和するくらい速度は出る
ポート周りの安定性はブラウジングくらいなら特に感じない
オンラインゲームやる人は切れやすいという話ではある
698:anonymous@100.235.69.115.shared.user.transix.jp
16/11/29 18:49:57.70 .net
>>682
>>686
>>687
DS-LiteのIPv4 over IPv6です
Netflixを見ていて転送が止まったりしていたのでFiberAccess/DFから乗り換えてみました
今のところ特に不安定って感じはしていません
この時間だと筑波宛で、DL270Mbps、UL93Mbpsくらい
FF14で試してみましたが、とくに切れやすいって感じもないような…
RTX810を使っているからかなぁ?
699:anonymous@209.232.69.115.shared.user.transix.jp
16/11/29 23:52:01.54 .net
IIJmio FiberAccess/NFでDS-Liteが提供開始になったときからずっと使ってるけど、不安定さはまったくないな。
RTTは上記NFと比べると若干劣るけど、スループットと安定性で見たらいたって快適。
700:anonymous
16/11/30 02:02:46.52 .net
そうなの?
DS-Liteつかっていたけど、時間帯によってなのか、
ブラウジングの際にもなかなか表示されなくなるなど、不安定さが目立った。
で、問い合わせたら、「何時何分どこのサイトに接続してダメだったのか」明確に報告されなければ受け付けないと言われた。
改善する気がないんだと思ったので、それ以来つかっていなかった。
話を聞いていると、今は良くなっているのかな?もう1年以上経過しているけど、その間に
設備が改善された可能性もあるな。
701:anonymous
16/11/30 02:05:20.68 .net
月2000円くらいで、pppoe動的IPv4と、IPv6半固定、DS-Liteも使えるタイプって、
なんだったかな。IIJはいろいろと分かり難いサービス名だから忘れてしまった。
それを契約していて、DS-Liteやめてからは、専らpppoe IPv4を使っている。
702:anonymous
16/11/30 03:40:24.19 .net
>>687
>>688
ありがとうございます
割と問題なさそうなんですね
FPSとかもするので、>>614のレスもあって気になっていました。
703:anonymous
16/11/30 14:19:34.47 .net
>>692
DS-Liteは、時間帯によって不安定な状態が発生する。
おそらく、ポートアドレス変換装置にアクセスが集中するからではないかと思う。
704:anonymous
16/11/30 15:46:45.23 Oboj566Fw
RTX1200をRTX1210に置き換えようとしているのですが、同じコンフィグを使って
NATで問題が出て悩んでいますが、見直す場所のヒントが欲しいです。
RTX1200ではこのようなコンフィグでした。
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 10.0.0.0-10.0.255.255
nat descriptor static 1 1 192.168.0.2=10.0.1.4 1
nat descriptor static 1 2 192.168.0.3=10.0.1.6 1
nat descriptor static 1 3 192.168.0.4=10.0.100.53 1
nat descriptor static 1 4 192.168.0.5=10.0.0.14 1
nat descriptor masquerade static 1 1 10.0.200.254 udp 500
nat descriptor masquerade static 1 2 10.0.200.254 esp
nat descriptor masquerade static 1 3 10.0.200.254 gre
これをそのままRTX1210に入れたところ、192.168.0.2へのアクセスで
10.0.1.4に中継されませんでした。10.0.1.4からの通信も192.168.0.2に
変化されて外に出いくこともできなくなりました。
RTX1210から10.0.1.4へのpingは通るので通信はできそうです。
nat descriptor backward-compatibility の違いでも動作に
差がありませんでした。
どのあたりがあやしそうでしょうか?
705:anonymous
16/12/01 00:25:45.71 .net
間違えて、scの方に書いてしまった…
RTX1200をRTX1210に置き換えようとしているのですが、同じコンフィグを使って
NATで問題が出て悩んでいますが、見直す場所のヒントが欲しいです。
RTX1200ではこのようなコンフィグでした。
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 10.0.0.0-10.0.255.255
nat descriptor static 1 1 192.168.0.2=10.0.1.4 1
nat descriptor static 1 2 192.168.0.3=10.0.1.6 1
nat descriptor static 1 3 192.168.0.4=10.0.100.53 1
nat descriptor static 1 4 192.168.0.5=10.0.0.14 1
nat descriptor masquerade static 1 1 10.0.200.254 udp 500
nat descriptor masquerade static 1 2 10.0.200.254 esp
nat descriptor masquerade static 1 3 10.0.200.254 gre
これをそのままRTX1210に入れたところ、192.168.0.2へのアクセスで
10.0.1.4に中継されませんでした。10.0.1.4からの通信も192.168.0.2に
変化されて外に出いくこともできなくなりました。
RTX1210から10.0.1.4へのpingは通るので通信はできそうです。
nat descriptor backward-compatibility の違いでも動作に
差がありませんでした。
どのあたりがあやしそうでしょうか?
706:anonymous
16/12/01 01:39:03.54 .net
>>666
>WLX402
202の前にこっちを先に出せよカス
707:anonymous
16/12/01 02:12:11.15 .net
>>695
rtx1200で動作していたコンフィグで、rtx1210なら生じるんですか?
LANインターフェイスにNATディスクプリタはかかっているかどうか。
LANのアドレス、ネットワークアドレス設定と、インナーアウターのアドレスは矛盾のないものか?
RTX1210の試験環境と、RTX1200の動作環境との違いがあるのではないか??
708:anonymous
16/12/01 03:40:53.53 .net
>>697
RTX1200からtftpで取得したコンフィグをUSBメモリを使ってRTX1210に入れました。
追加したのは nat descriptor backward-compatibilityです。
一時的に本番環境に入れてみましたが、同じ現象でした。
LAN I/Fへの設定もしてありまして、マスカレードは機能しているのに静的NATが
機能しないという状態で悩んでいるというところです。
RTX1200では
709:innerを大雑把にしていたので細かい設定が必要なのかとか、 ディスクプリタを静的NATとマスカレードで分けないとダメなのか、もう少し 試行錯誤することになりそうです。
710:anonymous
16/12/01 07:22:56.78 .net
ディスクプリタに凄く違和感を覚える
711:anonymous
16/12/01 10:11:05.44 .net
>>698
恐らく1210の新型NAT処理が原因
モード切替のコマンドで従来型NATに設定すれば1200のコンフィグのままで通ると思う
712:anonymous@p3225-ipadfx41marunouchi.tokyo.ocn.ne.jp
16/12/01 10:32:58.26 .net
outerの定義が足りないような…
nat descriptorを以下のように二つに分離した上でインタフェースには
ip lan2 nat descriptor 2 1
みたいに2→1の順番で定義すればいいんじゃないかと思うけど。
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 10.0.0.0-10.0.255.255
nat descriptor masquerade static 1 1 10.0.200.254 udp 500
nat descriptor masquerade static 1 2 10.0.200.254 esp
nat descriptor masquerade static 1 3 10.0.200.254 gre
nat descriptor type 2 nat
nat descriptor address outer 2 192.168.0.2-192.168.0.5
nat descriptor address inner 2 10.0.0.0-10.0.255.255
nat descriptor static 2 1 192.168.0.2=10.0.1.4 1
nat descriptor static 2 2 192.168.0.3=10.0.1.6 1
nat descriptor static 2 3 192.168.0.4=10.0.100.53 1
nat descriptor static 2 4 192.168.0.5=10.0.0.14 1
713:anonymous
16/12/01 12:13:35.54 .net
静的NATはIPマスカレード設定でも動くらしいよ
714:anonymous@sp49-97-111-153.msc.spmode.ne.jp
16/12/01 13:09:43.99 .net
うちの1200も同じ感じの設定だけど、1210にしたらハマるのか…
ググったけど、1210での静的NATの事例が見つからない。
うまくいくのを期待したいねえ
715:anonymous
16/12/01 13:33:57.53 .net
nat descriptor backward-compatibility辺りの
新しいNAT機能を実装した際に、NAT関係をゼロ
から作り直したりしているのかな?
その結果、従来互換モードにしても挙動が変わ
っている所が出てしまったとか?
この辺りの実装って昔からあいまいだからなぁ。
716:anonymous
16/12/01 14:51:25.33 .net
安易にrtx1210にしなくてよかった。
わざわざ予備機としてrtx1200を購入した。
予備機に切り替えるような場合、動作しなければ予備の意味がねえ。
ということは、rtx1210にするなら拠点を全部置き換える必要があるな。
717:anonymous
16/12/01 14:52:52.09 .net
メーリングリスト北。
RTX1210 Rev.14.01.16
URLリンク(www.rtpro.yamaha.co.jp)
URLリンク(www.rtpro.yamaha.co.jp)
718:anonymous
16/12/01 22:39:08.18 .net
同じconfig入れて同じように動かないのは困るな。
せめてconfig流した時にワーニング出すべきだな。
719:anonymous
16/12/02 15:31:27.88 .net
世の中にはメジャーバージョンアップすると
コンフィグや挙動がガラッと変わるルータや
FWもあるから、ヤマハはマシな方だけどね。
720:anonymous
16/12/02 16:49:12.84 .net
>>707
rtx1100から、rtx1200にコンフィグを移動したときは、
一部が自動的に修正された。
721:anonymous
16/12/02 20:20:04.58 .net
>>708
それは分かるけど、YAMAHAのルータの場合は下位機種のコンフィグをそのまま上位機種に入れても同じように動くと思っているから、こういう事例があると不安になるよね。
RTX1210のファームがバージョンアップして改善されてほしいなあ。
722:anonymous
16/12/03 08:33:41.49 .net
>>709
逆にRTX1200から1100にするとうざい「key-id」
723:anonymous
16/12/03 10:46:04.72 .net
そこでなんちゃらコンパチコマンドですよ
724:anonymous
16/12/07 11:16:08.14 .net
あ、少し上でも不安定の報告ありましたか
725:あ
16/12/07 17:19:54.61 .net
2chも不安定
またddos??
726:anonymous
16/12/08 07:36:20.86 .net
810ってLANポートWANポートって書いてあるけど
内部的にはlan1 lan2ってことはどっちも機能的に
違いはないよね?
なんで用途決め付ける書き方してるんだろ?
727:anonymous
16/12/08 20:59:33.43 .net
ありがちな使い方のための説明書を書くときに話が分かりやすいように、かな?
728:anonymous
16/12/09 00:59:53.06 .net
rtxについて知らない人だと、
LANインターフェイスだけだったらインターネットにはつながらない印象を受けるからではないか?
729:77.msd.spmode.ne.jp
16/12/09 08:22:29.19 .net
>>715
LAN1とLAN2で違いはあるよ。
RTX自身からunnumberdなトンネル向けにパケットを送出する時、
SourceIPがLAN1の物になるルールあり。
(LAN1にIPが無い時は、LAN2の物になる)
安易に入れ替えて使うと、RTXからPing打った時に応答が帰って来なくなったりするよ。
730:anonymous
16/12/10 00:47:27.79 .net
>>718
IPsecトンネルとか?
731:anonymous
16/12/10 15:34:31.12 .net
694です。一通りの解決をみましたので、ご報告を。
実際問題、メーカー、回線業者を巻き込んだ騒動になりましたが、原因は別でした。
回線側の事情があり、ONUとRTXシリーズの間にスマートスイッチが入り、接続は次のようになっていました。
ONU - L2SW - RTX1210 - LAN
この状態の時に RTX1200とRTX1210を入れ替えるとL2SWのARPテーブルの更新がうまくいかないようで
回線側からの帰りのパケットがL2SWからルータに転送されなくなっていました。
L2SWを再起動して解決しました。
根本的な問題がL2SWなのかRTXなのかは不明です。
おそらくRTX1210をRTX1200にしても発生すると思いますが、再現させたいとは思いません…
ルータ単体ではRTX1200とRTX1210の基本的な設定の互換性に問題はないという結論には
なりました。
732:anonymous
16/12/10 16:12:27.34 .net
どーでもいいけど、web GUIが表示されるのがくっそおせぇんだが何が起こってんの…
733:anonymous
16/12/10 16:58:03.10 .net
>>720
L2SWがこの構成でアドレス持ってるの?
734:anonymous
16/12/10 17:12:15.14 .net
いんてりさじぇんとすいっちなんでそじぇーけー
735:anonymous
16/12/10 23:04:19.63 .net
S社のVPNメニューにあるWA2021とかのことを指してるわけ・・・ないか
736:anonymous
16/12/11 00:35:40.07 .net
ルータ入れ替えたならリンクダウンしてarpキャッシュはクリアされるんじゃ?
まあ間にさらにHUBとか入ってたらクリアされないけど。
737:anonymous
16/12/11 03:52:36.91 .net
>>720
なーんだ、というところだが、互換性の疑いが晴れてよかったわ
738:anonymous
16/12/11 10:17:51.55 .net
>>721
ESETのHTTP protocol check機能のせいだった
普通のページは大丈夫なのになんでYamahaのweb GUIはあんな重くなるんだろう…
739:anonymous@122x208x200x194.ap122.ftth.ucom.ne.jp
16/12/16 12:33:48.36 .net
YAMAHA WLX302 で端末40くらいを運用しているのですが
人によっては接続の調子が悪くなるというクレームがちょいちょいあります。
機器のログを確認すると接続と切断のログは確認できるんですが、理由がわかりません。
[kernel] vap-4: [xx:xx:xx:xx:xx:xx] recv disassoc.
[kernel] (reason: 8, assoc: 1)
[80211] Receive DISASSOC from STA (f4:0f:24:08:06:e4).
この reason 8 ってどういう理由で切断されてしまったのかご存知の方いらっしゃいますか?
そもそも reason 8 は切断時のコードで [理由] ではない??
740:anonymous@122x208x200x194.ap122.ftth.ucom.ne.jp
16/12/16 12:35:04.75 .net
あ、
1行目でMACアドレスマスクしたのに3行目で隠してない。。。
741:anonymous
16/12/16 12:58:11.11 .net
サポートに連絡したほうが良いのでは
742:anonymous@fp76f033b4.knge120.ap.nuro.jp
16/12/16 17:58:58.86 .net
wlx302とpcのwifiドライバーを最新にしてみました?
743:anonymous
16/12/16 18:16:47.49 .net
>>728
おかしくなるのはWIN10かい?
744:anonymous
16/12/16 22:44:42.67 .net
>>728
伝統的に切断コードといえば
URLリンク(www.rtpro.yamaha.co.jp)
冗談はさておき、ファーム最新に上げたりはしてますの?
745:anonymous
16/12/17 02:07:10.64 .net
本社の人が長野のお守りかな
746:anonymous
16/12/17 23:51:25.94 .net
そろそろV6プラスに対応したファーム出してくれないかな
試験ファーム出したの随分前だよな
747:anonymous
16/12/18 02:43:26.71 .net
>>735
いつのまに試験ファームが提供されていたんだろう。知らなかったな。
RTX1200で、ホームゲートウェイ撤去できるようになるかな。
748:anonymous
16/12/18 09:31:12.46 .net
V6プラスは回線側挙動が怪しいらしいから対応しないんじゃないだろうか
バッファローとかでじわじわ対応機種増えてるけど謎トラブルを必死になって
調査してサポートにも問い合わせておま環って回答だったのに実は回線由来の
トラブルだったとか結構あるみたいだし
749:anonymous
16/12/18 10:05:58.11 .net
>>737
サポートがおま環と言うのはV6プラスに限ったことではないだろ
挙動がおかしいのもバッファローの製品ならよくあること
ヤマハから出てみないとなんとも言えない
750:anonymous
16/12/18 10:36:39.95 .net
>>738
ちなみにDS-LITEは対応してるのにV6プラスにこだわるのはなぜ?
751:anonymous
16/12/18 10:45:32.53 .net
>>739
DS-LITEに対応しててV6プラスに対応してないから
使えるプロバイダー数はV6プラスの方が多い
752:anonymous
16/12/18 11:00:00.82 .net
>>740
それ契約窓口が複数あるだけで実体は一つでDS-LITEと変わらないんだけど
753:anonymous
16/12/18 11:10:29.26 .net
>>741
それぐらい知ってるよ
契約窓口だろうと多ければ価格競争が起きる
現にV6プラスの利用料は安い
別に他社のルーターみたいに両対応すればいいと思ってるんだが、なんでV6プラス対応を敵視するんだろう
754:anonymous
16/12/18 13:37:21.13 .net
BBIXのハイブリッド対応ならまだしもv6プラス使うのにわざわざyamaha使う理由はさっぱり理解できん。出来ること減るだけやのに。
755:anonymous
16/12/18 14:00:56.48 .net
そんなのヤマハルーター持っててV6プラス対応のプロバイダーから使い回したいだけだろ
だいたいヤマハを使う範囲を勝手に決め付けるなよ
なんとしてもV6プラス対応を阻止したいようにしか聞こえない
V6プラスに対応すると仕事がなくなるとか不都合でもあるのかよ
756:anonymous
16/12/18 14:22:45.80 .net
>>744
運用構築スレだからもう少しマシな理由かと思ってたんだ。
頑張れ、対応するといいな、応援してる。
757:anonymous
16/12/18 14:58:34.46 .net
>>745
運用構築スレだからとか意味分からない
運用構築したいけどV6プラスに対応してないから対応しないかなという話は別スレなのか?
758:anonymous
16/12/18 15:02:54.66 .net
そういや最初はフレッツ網で使うアドレス帯とか無駄に非公開扱いになってたよな。
筑波大の登じゃないけど、担当者の苦労は相当なんだろうな。
759:anonymous@152.net059086112.t-com.ne.jp
16/12/18 15:49:52.54 .net
仕事ならやるしかないで乗り切れるのが当たり前。
YAMAHAは遊び半分、仕事半分だから担当者の苦労は相当なんだろうね。
760:anonymous
16/12/18 20:13:38.52 .net
IPv6プラスに親を殺されたとか、そんなことなんだろう。
761:anonymous
16/12/18 20:23:09.79 .net
DS-LITEとv6プラスどっちがバックボーン大きい?
762:anonymous
16/12/18 22:47:01.97 .net
スレチですまんが、ひかり電話ルータのLAN側のIPv6を止める方法ある?
YAMAHAに喋らせたいのにNTTルータもIP配って面倒なことになってる。
763:anonymous
16/12/18 23:04:33.65 .net
>>751
なぜNTTのルーターを止めないのか理解に苦しむ
764:あなにー
16/12/18 23:06:19.68 .net
v6非対応なルーターを間に入れとけば
765:anonymous
16/12/19 01:21:14.56 .net
光電話ルーター配下に接続してるならIPv6黙らせたら配るアドレスもらえなくなるんじゃ。
766:anonymous
16/12/19 01:29:19.91 .net
>>751
残念ながら無いのでRA guardとか間に入れないとダメポ
767:anonymous
16/12/19 01:30:35.45 .net
>>750
珍子と満子どっちが臭い?みたいな質問だな
768:anonymous
16/12/19 06:39:53.90 .net
>>751
セグメントわけないの?
---[hgw]--[rtx]--pc
こうすれば解決じゃない。
769:anonymous
16/12/19 07:54:36.66 .net
たくさんレスサンキュ。
ひかり電話使ってるんでNTTルータは必須。
ただNTTルータ配下でIPv6使ったらスループットが
10Mbpsくらいしか出なかった。
最初原因が分からなかったが、試しにONUから
RTXを直結したら余裕で100Mbps出たというわけ。
なのでONU配下で分岐してひかり電話ルータとRTXを並列に繋げてる。
縦列でスピード出ればそれに越したこと無いけど
ひかりルータ出ないっしょ?
770:anonymous
16/12/19 08:32:16.37 .net
>>758
むしろ100Mbpsしか出ないってのが驚き。
東だけどRS-500KI配下にRTX1200でIPoE使ってて
測定すると上下ともに300Mbpsオーバーだったかな。上がりの方が大体は速い。
RTX1200のCPUが飽和しててパケロスっぽい記録が残るほど。
網内直結も試したいけど接続先がなくて。
771:anonymous
16/12/19 09:18:04.52 .net
IPv6とか帯域がら空きで最低でも500Mbpsは出るわ
772:anonymous
16/12/19 12:52:14.07 .net
>>760
NTTのIPv6網内だけでしょ
773:anonymous
16/12/19 12:55:35.12 .net
>>751
GUAのプリフィックスの奪い合いになるよね
(rtxとhgwとが)
だから、rtxでプリフィックスの取得を止めるしかないのかな。
複数のプリフィックスが振り出されたらいいのにね。
もう一本回線ひくか。
774:anonymous
16/12/19 13:23:06.38 .net
>>761
fast.com
775:anonymous
16/12/19 16:58:20.75 .net
>>760>>763
しかし、回線の末端からネットに接続するには、POIを経由しなければならないが、
IPv6ならIPv4とは異なる経路でネットへ通るってこと?
776:anonymous
16/12/19 17:01:34.58 .net
当たり前じゃん何言ってんの
ちゅうかIPv6使った通信がどうやってNGN通ってネット出ていくのか調べてこいよ
777:anonymous
16/12/19 21:07:30.38 .net
>>759
網内で100Mbpsしか出ないことは無いだろうけど
対向側が100Mbps仕様なんで仕方ない。
でもRS-500KIはIPv6ルーティング300Mbpsでるのか。
うちの昔から使ってるPR-S300NEは10Mbpsがやっと。
NTTに言えば交換してもらえるかな。
778:anonymous
16/12/19 21:25:50.66 .net
以前PR-S300SE使ってたけどIPv6ならNGN内900Mbpsオーバー、外出ても600Mbpsとかで使えてたよ
779:anonymous
16/12/19 21:27:45.04 .net
対抗側の機器が100Mbpsで、その限界まで出るならまあいいよな。
780:anonymous
16/12/19 22:08:54.64 .net
S300SEで900Mbps出んの?
うちのなんか問題あるのかな。
IPv6網内折返しのIPSecトンネルで、
ONU-S300NE-RTX810 ... 10Mbps
ONU-RTX810 ... 100Mbps
な訳だが。。
ひかり電話ルータの設定になんかコツでもあるの?
781:anonymous
16/12/20 02:38:01.56 .net
>>765
V6プラスあるいは、DS-Liteをつかうと、IPv4通信も速くなりますか?
782:anonymous
16/12/20 08:02:56.80 .net
スレチ
783:anonymous
16/12/20 09:30:24.45 .net
>>770
変換装置に負荷がかかってない限りは
速い場合が多いんじゃね?
784:anonymous
16/12/20 17:46:56.99 .net
V6プラス、DS-Liteって、ポート変換の過程で取得した通信先情報を
全部ログとっているんだろうな。
785:162
16/12/20 21:34:31.80 .net
>>769
それ経験あります
786:anonymous
16/12/20 23:32:23.68 .net
NTTのレンタルルーターのCTU部分からNVR500繋げばひかり電話とかも含めて完全にONUを置き換えできます?
引っ越ししたら結構古いルーターに変えられちゃって色々キツイんでいっそYAMAHAのにしちゃおうかと思ってるんですが
787:anonymous
16/12/21 00:00:02.30 .net
>>773
半分正解、半分不正解。
788:anonymous
16/12/21 02:00:21.98 .net
>>776
どこ?
789:anonymous
16/12/21 23:37:15.78 .net
>>777
NATしてるトコが違う
790:anonymous
16/12/21 23:49:05.63 .net
>>778
IPv6でIPv4をトンネリングしているでしょ。
センターでアドレス変換とさらにNATしているんじゃないの?
791:anonymous
16/12/22 00:00:23.55 .net
>>779
ds-liteはそうだよ
792:anonymous
16/12/22 13:15:07.77 .net
ホームゲートウェイのファームの上でNATしているんでしょ。
知っているよ。
793:anonymous
16/12/22 15:16:13.12 .net
>>781
であれば「ポート変換の過程で取得した通信先情報を全部ログとっているんだろうな。」
にはならんだろ。
794:anonymous
16/12/23 04:03:39.36 .net
v6オプションで、IPv6トンネリングする場合って、本当にホームゲートウェイ上でNAT変換しているの?
仮に、ホームゲートウェイ上で、プライベートIPv4⇔グローバルIPv4のNAPTを行っているとして、
そのグローバルIPv4のうちの、どのポートが実際に使用可能かどうかは、センターに問い合わせる必要があるよね。
795:anonymous
16/12/23 06:17:14.79 .net
v6プラスではIPv6のプレフィックスからIPv4のアドレスとポートが決められる
URLリンク(www.youtube.com)
796:anonymous
16/12/23 22:09:23.37 .net
最初からポートが割り当てられているのだとしたら、効率悪いね
797:anonymous
16/12/23 22:42:50.37 .net
ポート開放できないDS-Liteより使い物にはなる
798:anonymous
16/12/23 23:58:22.36 .net
MAP-Eってポート開放出来るの?
799:anonymous
16/12/24 04:02:08.58 .net
>>786
そんな設定ってファームウェアが降りてきたホームゲートウェイでできるのか?
できたとしてもウェルノウンポートは開けられないしょ。
ゲームにでも使うの?
800:anonymous
16/12/24 10:32:54.33 .net
>>787-788
既にV6プラス対応ルーターならできること
Webサーバーは無理だけどゲームやVPNサーバーには使える
DS-Liteはそれすらできない
801:anonymous
16/12/24 10:38:05.59 .net
IIJの説明でゲーム機ではありませんって書いてあってワラタ
802:anonymous
16/12/24 11:53:25.36 .net
>>789
まあ目的からしたらDS-liteは割り切って切り捨てただけだしな。
IPv4グローバルアドレスたくさん消費するし互換高くて便利だといつまでたってもv6に移行しないやろ。
しかし、DS-liteも結局PPPoEと同じで接続数増えるとスループットに影響が出やすいのか。
803:224
16/12/24 15:02:30.37 .net
>>789
たしかに、VPNとおしたい人は良い。
しかし、グローバルIPv4アドレス、そして割り当てられた外部ポートって、変更ないの?
804:anonymous
16/12/24 15:11:50.64 .net
>>79
変更できないよ
掲示板で荒らしとか自作自演したい人には不向きだね
荒らしとか自作自演やりたければDS-Lite使えばいいのでは?
両方使えて使い分けすればいいだけの話
805:あ
16/12/24 17:05:45.12 .net
URLリンク(i.open.ad.jp)
806:あ
16/12/24 17:06:22.79 .net
>>794
西日本にも提供してくれ!
807:あ
16/12/24 17:07:45.60 .net
>>789
VPN でも、IPsecはポート番号固定だし、udp/tcpでないトランスポートプロトコル使うから、無理だな。
PPTPも同じ。
808:あ
16/12/24 17:08:33.52 .net
>>793
>自作自演やりたければDS-Lite使えばいい
ipアドレスはほとんど変わらないでしょ。
809:anonymous@y078145.dynamic.ppp.asahi-net.or.jp
16/12/24 17:41:09.17 .net
>>796
SoftEtherとかSSLとかVPNの種類はもっとありますよ。
810:anonymous
16/12/24 18:08:14.96 .net
>>798
それらは使用するポートを明示的に指定できるのかな??
SoftEtherはできそうだな。
811:anonymous
16/12/24 19:34:08.70 .net
コイツいつまでスレ違いな話するんだろう
迷惑なヤツ
812:オナニーマスター
16/12/25 10:29:40.39 .net
お勧めの雑貨を話してるわけでも無いんだから
雑談もいいんじゃないの
813:anonymous
16/12/25 10:55:58.62 .net
スレがないならまだしも専用スレあるよ
v6プラス [無断転載禁止]©2ch.net
スレリンク(isp板)
814:anonymous
16/12/25 12:45:03.56 .net
>>802
プロバイダ板のv6なんて、技術レベルが様々なんだろうなあ。
815:anonymous
16/12/25 12:58:40.89 .net
RTX1200でポートベースVLANすると速度低下する問題ってRTX810で治ってるの?
816:anonymous@210.232.14.165
16/12/25 14:26:21.79 .net
>>804
RTX810のポート分割で速度低下は気にしたことない。
817:anonymous
16/12/25 16:14:01.88 .net
ひかり電話ありのフレッツIPoEでONUの下にRTXとひかり電話アダプタを
並列に付けてるんだが、RTXのDHCPv6でIPv6アドレス取ると
数時間で局側のルーティング消えるらしくて疎通できなくなる。
で、また数時間経つと自然に治る。
なんかRTX側に呪文必要なの??疎通できない時間帯は
show ip route だとデフォルトルート残ってるけど、
show status ipv6 dhcp だと情報消えてる。
謎。
818:anonymous
16/12/25 17:13:19.51 .net
>>805
ありがとうございます
治ってるようで安心しました
RTX1200の方がポート数は多いですが、ハード的にはRTX810の方がずっといいものなんですね
819:anonymous
16/12/25 18:43:55.27 .net
>>806
RTXとひかり電話がIPv6のアドレスを取り合いするからそうなる
HGWなし市販ルーターのみでフレッツのIPv6とひかり電話を両立させようと思うと
かなりいびつなネットワーク組まないとちゃんと通信通らないはず
820:anonymous
16/12/25 18:50:16.74 .net
>>808
そうかなーと思ったけど、NTT東は複数のIPv6払出
できるって言うし、ちゃんとRTX疎通できてる時も
ひかり電話も正常に動いてる。
IP取り合いとかって本当にあるの???
821:anonymous
16/12/25 19:56:03.66 .net
クリスマスに家に引きこもって何やってるんだよお前ら...
822:anonymous
16/12/25 21:07:33.35 .net
>>810
どこいっても待ち行列で並ぶ時間がもったいない
効率考えて一足お先に大掃除始めてる
ヒマ人はクリスマスとか言ってヒマを持て余してていいよな
823:anonymous
16/12/25 22:43:42.08 .net
むしろこういう時は自宅の環境を整備するチャンス。
もちろん嫁の機嫌が悪くならんよう配慮は必要だが。
824:anonymous
16/12/26 01:15:42.36 .net
>>806
DHCPv6ではデフォルトルートなんて配って無いし仕様通りやろ
825:anonymous
16/12/26 02:41:18.32 .net
>>808
>かなりいびつな
って、光モデムから並列につないだHGWとRTXとの間で、
IPv6のプリフィックスの取り合いなく両立することなんてできるのか?
NTT網からはIPv4アドレス一個と、IPv6プリフィックスが降りてきてくることだ。
HGWで「ひかり電話」つなげる場合、その両方が必要だったのではないかな。
IPv6プリフィックスがRTXにとられると、HGWでは「ひかり電話」はつながらなくなると思う。
icomの専用ひかり電話アダプタを使うなら、IPv6プリフィックスなしで、IPv4のみで通信可能だが。
826:anonymous
16/12/26 02:42:19.86 .net
>>809
>NTT東は複数のIPv6払出できる
そんなことはじめて聞いた。
プリフィックスは一つのみが払い出されるはずだったが。
827:anonymous
16/12/26 02:45:26.29 .net
>>806
その話であれば、onuからrtx直付けの場合、IPv6の通信はできないということになるよね。
このコマンド↓は関係ないのかな?
ngn type lan3 ntt
828:anonymous
16/12/26 23:27:46.85 .net
ん?
プリフィクスってネットワークアドレスみたいなもんだから、
何台端末がぶら下がっても問題無くない?
ひかり電話無しだとRA、有りだとDHCPっていうけど
実際はDHCPv6-PDとRA併用ってどっかで読んだ。
プリフィクス使って各端末がIP生成するんで複数端末接続可能、
と思ってたが違うのか? 詳しい人あとは頼んだ。
829:anonymous
16/12/26 23:44:08.40 .net
もらえるprefixは一つ(/64とか/56とか)
その中で自由に使えるけど同時に2つprefixもらうのは無理
ひかり電話で一つ必要としてるのでRTXと取り合いになってるんでしょ
830:anonymous
16/12/27 00:02:22.09 .net
>>817
併用は合ってるけどPD動いてるときはRAではデフォルトゲートウェイ教えてるだけでprefixは払い出さない
RA動いてる≠RAでprefix払い出す
です
831:anonymous
16/12/27 15:16:13.37 .net
>>806
東日本だけど、ひかり電話がオフィスタイプの時になったことがある。
>>808の通りだと思う。同じPrefixを取り合うのかも。ひかり電話自体は動作するはず。
家庭用のひかり電話だと、ここで言うどちらの設定でも問題なかったよ。
URLリンク(www.rtpro.yamaha.co.jp)
832:anonymous
16/12/30 07:14:38.56 .net
366 :名無しさんに接続中…:2016/12/29(木) 21:56:52.78 ID:UnGoF+C5
>>363
NECは既にHGWから撤退して、BIGLOBEの専用品作ってしまったので勝手に技術流用して市販するわけにはいかない
YAMAHAは開発協力してるユーザーにIIJの連中が数名いて、V6プラスの話題が出るなり叩きまくって対応させないようにしてる
スレリンク(isp板)
833:anonymous
17/01/02 01:24:33.29 .net
WEB GUIよりパケット優先で処理するように出来ないのかな
ちょっと開いただけでRTTに影響が出るのは間抜けだと思うんだが
対応としてはそんなの開かないか無効にすればいいだけなんだろうけどさ
834:anonymous
17/01/02 02:14:42.35 .net
パケットよりもCPUとかの処理にとられてるんじゃね?
835:anonymous
17/01/02 03:06:16.15 .net
PaloaltoみたいにマネジメントCPUとルーティングCPUを
分離って意味じゃね?
これ以上高くなったらYAMAHA使う意味無くなるけど。
836:anonymous
17/01/02 03:32:12.64 .net
CPU分離しろとまでは言わないけど
本業のネットワーク処理にもっと優先的にタイムスライス割り当ててくれないかなって。
よくわからないので的外れなこと言ってたらすまない
837:anonymous
17/01/03 15:33:58.75 .net
httpd service offにしてるのってもう少数派なのかな?
838: 【hoge】
17/01/03 21:15:24.22 .net
linuxみたいに、hosts.allow みたいなやりかたで、
telnetdや、httpdへのアクセスって制御できる?
839:anonymous
17/01/03 21:30:06.39 .net
未だにそんな物でやってる奴いたのかよ
840:anonymous
17/01/04 00:23:07.68 .net
えーーー
最近はどうやるんだよ?
841:anonymous
17/01/04 01:08:16.02 9ET2J8KP.net
firewalldじゃない?
842:anonymous
17/01/04 01:42:27.26 .net
>>827
できない
マシンが多くてルールの書き換えが頻繁にあるとか以外なら
多層防御の観点からhosts.allow使えるなら使うべき
843:anonymous
17/01/05 09:24:13.92 .net
>>831
rtxで、IPフィルタで除けるのでなく、
telnetdや、httpd、ftpdなど内部サービスでアクセス制御ってできないかな?
なんかコマンドあったような気がするが、思い出せない。
844:anonymous
17/01/05 09:46:10.23 .net
>>832
自己レス
サービス名 hostコマンドでできるようでした。
845:anonymous
17/01/05 11:19:34.28 .net
>>833
hosts.allowみたくにDNS名やドメインでは出来ないって意味
846:anonymous
17/01/06 22:54:59.11 .net
>>834
ドメイン名でipフィルタとかできたらいいのにな。RTX
iptablesみたいにね。
847:anonymous
17/01/07 10:01:24.63 .net
>>835
ドメイン名で解決できてもそれが複数のIPアドレス持ってたら漏れることあるから結局最終的にはIPアドレス列挙するのは変わらんよ
848:anonymous
17/01/07 10:54:51.37 .net
>>836
たしかに。知っているトコのサーバー名なら良いけどね。
大手のサーバーはラウンドロビンされているからなあ。
849:anonymous
17/01/07 11:16:08.18 .net
え。複数アドレス/ラウンドロビンされているからこそ、
ころころ変わるIPアドレスではなく、
ドメイン名(DNS逆引き?)でのフィルタを実装してほしい、って趣旨かと思ったんだが。
850:anonymous
17/01/07 11:42:34.33 .net
>>838
DNS問い合わせでアドレスがラウンドロビンされてると
アドレスからドメインを確認するためのDNS問い合わせで一致するとは限らない。くじ引きみたいな話になる。
だから結局ラウンドロビンする全アドレスがローカルにキャッシュされるまで漏れる。
ということではないのか?
851:anonymous
17/01/07 11:44:15.25 .net
あ、もしかしてアドレスを使ってDNS問い合わせするという話なのか?
それって負荷的にどうなのかなぁ…
852:anonymous@103-226-44-10.ty4.wi-gate.net
17/01/07 11:55:57.39 .net
グローバルIPをDNS逆引きして得られるドメイン名って仕組み上、詐称されることがあるので、逆引きドメイン名でのフィルタは使いどころが難しいよ。
個人用の~1000円/月くらいで固定1IP使えるISPやらVPSでも、自由に設定できるものがある。
プライベートIPの話なら、確かに正引き・逆引きのドメイン名フィルタ機能あってもよさそう。SSGで使ってた。
853:anonymous
17/01/07 15:44:03.72 .net
パラノイアチェック前提でしょ?
まあ固定IP使えって話ではあるが。
854:anonymous
17/01/08 09:35:39.73 .net
RTX1200がDHCPサーバになっているサブネットにおいて、RTX1200から
サブネット内の他のホストに対してリンクローカルの発信元アドレスで
パケットを飛ばすことなんてある?
自分でも理解に苦しむんだけど、PCのファイアウォールソフトでそういう着信が
あったのでブロックしました的なメッセージが出る
855:あ?何?
17/01/08 09:48:46.40 .net
発信元のPCは正常に動作してるのか?
856:anonymous
17/01/08 09:52:02.68 .net
発信元はルーターなんですよね...
もちろんDHCPも動いていて、PCにはルーターで設定した通常の192.168.xxx.xx
のIPが割り当てられていて、インターネットにもつながります
857:anonymous
17/01/08 10:57:09.91 .net
>>840
iptablesの場合は起動時のみIPアドレスを引いてきて、あとはキャッシュ保管だと思っていた。
まさか、フィルタのたびに引いてくることなんてしないでしょ。
858:anonymous
17/01/08 12:03:24.35 .net
>>843
ここでいってるリンクローカルってipv4の169のやつ?
そのリンクローカルアドレスをrtxに設定してるの?
859:anonymous
17/01/08 12:06:22.79 .net
>>843
リンクローカルの発信元アドレスって、169.254.xxx.xxxってこと?
だとすると、「発信元はルーター」というのはどこから判断できた?
RTX1200が変なパケットを飛ばす例を考えたら、L2MS(スイッチ制御機能)とかかなー。
URLリンク(www.rtpro.yamaha.co.jp)
860:842
17/01/08 12:09:12.61 .net
>>847 返答どうもです そうです、169.254.xxx.xxです もちろんルーターのインターフェースにはいわゆる192.168.100.1などの プライベートIPが設定していて、そのアドレスでWebGUI等にもアクセスできています なぜルーターがリンクローカルアドレスでパケットを投げてるとわかったかというと MACのベンダーがYAMAHAだったからです 自分のネットワークにはルーター以外にYAMAHA製品はいません
862:842
17/01/08 12:22:01.99 .net
>>848
レスありがとうございます
発信元がルーターだと判断したのは>>849の通りです
L2MS機能は使用していませんが念のためONになってないか確認しましたが
configにswitchコマンドやapコマンドは特に見当たりませんでした
(configはセキュリティ上、すみませんが晒せません)
あとはループ検出機能かなと思ったりしましたが、ループ検出機能って
RTX1200についてましたっけ?
L2MSによるスイッチ制御の記述は見つかりましたが
863:anonymous
17/01/08 12:22:39.48 .net
>>849
念のためだけどそのmacはrtxのmacでいい?
864:842
17/01/08 12:45:39.72 .net
>>851
確かにそこですよね
ちゃんとフルでMACがルーターと一致しているかは確認する必要がありますね
ただウイルスソフトのファイアウォールブロックリスト上はベンダとIPと機器名しか表示されず...かつ機器名は不明なデバイスと表示されています
865:anonymous
17/01/08 16:17:53.30 .net
アップルコンピュータ社の製品みたい
866:anonymous@101-141-78-32f1.hyg1.eonet.ne.jp
17/01/08 23:06:49.80 7YbUuwU4.net
RTX810はファームVerUpでデータコネクトの帯域上限が無制限になったみたいだけど、
実際に1Mを越える帯域でつないでみた人いますかー?
867:anonymous
17/01/08 23:33:44.04 .net
データコネクトなんてファクシミリを除いて対応機器もう増えないイメージだしなあ
時代はインターネットでいいじゃんって方向にシフトしてるし
868:anonymous
17/01/10 11:17:17.17 .net
ipsecの設定を追加で流し込むとき、既存のトンネルがいったん切断されるよね。
あれは困る。日中に設定の変更ができなくなってしまう。
869:オナニマス
17/01/10 20:16:38.18 .net
>>856
後輩を連れて行って、お客さんのデスク周りで裸踊りさせておいて
その好きに切り替えてしまうんだ!
870:anonymous@M106073008192.v4.enabler.ne.jp
17/01/10 20:38:20.49 .net
同一IFに複数のnat descriptorを設定するとき、お作法ってあるの?
具体的にはアクセス時に使用するポートレンジを複数指定したいんだが、範囲が散りまくってて5つぐらいdescriptorを食わせないとダメな状況で…
871:anonymous
17/01/10 21:51:55.56 .net
>>856
しかも一旦切れるとバグのせいでリブートかけるまで再接続できなかったりな
872:anonymous
17/01/10 22:23:03.68 .net
ヤマハは確かに再起動しないと繋がらないことが多すぎる。
繋がらんと悩んでて、ああヤマハだ、と気づいて再起動するとすぐ繋がるってやつ。
ほんと勘弁して欲しい。
873:anonymous@p284154-ipngn200503niho.hiroshima.ocn.ne.jp
17/01/10 23:07:51.82 .net
>>856
え?切れるの?
苦情貰ったことないや
874:anonymous
17/01/11 02:03:16.18 .net
v6オプションのipv4 over ipv6で、NATトラバーサル有のipsecトンネルをRTX同士で通せた。
しかし、一部の機器に対してのみ、pingも通らない。
PPPoE上でESPを使うipsecならうまく通る。
多分、v6オプション通信とNATトラバーサルのオーバーヘッドで、MTUがかなり小さくなっていることが原因ではないかと思う。
どうやって問題を切り分ければ良いでしょうか。
MTUを測定して、それをIPsecトンネルに設定する必要があると思うんですが。
875:anonymous
17/01/11 02:09:32.62 .net
すみません、いつのまにか、通るようになりました。
ちなみに、1472だったので、普通のMTUと同じようです。
876:anonymous
17/01/11 02:1
877:3:48.89 ID:???.net
878:anonymous
17/01/11 02:18:42.70 .net
もっと勘違いでした。
RTXのIPsecの設定が、デフォルトで1280を設定していたので、当然の結果そういうことになるのでした。
考えなければならないことは、デフォルトの1280よりももっとMTUを小さく設定する必要があるということだと思います。
879:anonymous
17/01/11 02:31:11.29 .net
結局、通りませんでした。
少なくともNATトラバーサルのためにトンネルのMTUが小さくなっているはずですが、
その設定をしていないので非TCP通信で問題が発生しているのではないかと思います。
v6オプションのオーバーヘッドの影響もあるんでしょうか。
880:anonymous
17/01/11 02:41:12.69 .net
pingを使う方法で測定すると、
v6オプションのIPv4 over IPv6において、IPsec NATトラバーサルのトンネルのMTUは、1280でした。
1252(1280) bytesなら通りました。1253の場合は通りませんでした。
しかし、IPSecトンネルの場合、1280がデフォルトで設定されているようです。
デフォルト値: 1500 for LAN/WAN, 1500 for PP, 1280 for Tunnel
他の機器との通信はうまくいくのに、その機器(パナソニックのネットワークカメラ)との通信に失敗するのは、
機器が悪いんですかね。
881:anonymous
17/01/11 03:49:09.42 .net
とりあえず落ち着け。
882:anonymous
17/01/11 04:06:32.55 .net
>>868
風呂に入った。
落ち着いた。で、ひらめいた。
トンネルを替えたことによって、発アドレスが変わった。これは知っている。
しかし、それによってipフィルタでリジェクトされてその機器に到達ができない状態になっていたことには気づけなかった。
結構複雑になってきているので、すっかりそういう設定があったことを忘れていました。
みなさん、ごめんさない。
883:857
17/01/11 10:18:05.73 .net
v6プラスの終端にRTX3000を使おうと思ってましてねぇ…でも使えるポートの範囲が15か所に散ってるので、
コマンド仕様も考えると↓みたいなのを5つ書かなくちゃならんのですよ…
で、それを5つまとめてtunnel 1に適用すると、どうも最初の3000に該当する通信しかできてない模様で…
「なーんか間違ってんのかなぁ…」とか。
詳しい人おながいします。
nat descriptor type 3000 masquerade
nat descriptor address outer 3000 <共有アドレス>
nat descriptor masquerade port range 3000 <ポート範囲1> <ポート範囲2> <ポート範囲3>
884:anonymous
17/01/11 10:18:15.72 .net
ipsenトンネルで、センター側固定、拠点側動的(natトラバーサル)で、うまく通信できていたんですが、
7時間経過してトンネルが接続されていませんになってしまいました。
センター側
ipsec ike keepalive use xx auto
拠点側
ipsec ike keepalive use yy on
keepaliveの設定をし忘れていたためかと思い、上の通り追加しました。
しかし、トンネルは切断されたまま回復しません。
拠点側は再起動可能なので、restartしたものの、ダメです。
センター側でもrestartか、ipsec reflesh sa をしたいんですが、使用中なのでおこられます。
センター側で、他のトンネルに影響を与えずに、トンネルを初期化する方法ってないでしょうか。
885:anonymous
17/01/11 11:08:48.22 .net
>>870
詳しくはないがポートレンジは使い切ったら次のが使われるってマニュアルに書いてあるから
複数のNATを設定しても全ポートレンジを使い尽くさないと最初の奴ばっかり使われるのでは。
> IP マスカレードで利用するポート番号の範囲を設定する。
> ポート番号は、まず最初に port_range1 の範囲から利用される。port_range1 のポート番号がすべて使用中になった
> ら、port_range2 の範囲のポート番号を使い始める。このように、port_range1 から port_rangeN の範囲まで、小さい
> 番号のポート範囲から順番にポート番号が利用される。
886:anonymous
17/01/11 13:36:34.48 .net
>>870
RTX3000って、v6プラスの終端できるの?
ファームをダウンロードして動作させるらしいから、
ホームゲートウェイが必須だと思っていたんだけど。
887:869
17/01/12 21:01:04.17 .net
>>873 MAP-Eの原理さえ理解すれば、
・IPv4/IPv6トンネル
・WANインターフェースがUnnumberedでも、外側のアドレスを明示できる仕様のNAPT
・使用できるポートの範囲に明示的に制限を掛けたNAPT
…の3つが使えるようなルーターで必ず実装できることがわかるはず。
幸い、RTX1100以降(たぶん)のRTX系はこれらすべてをキレイにクリアしてるので、
あとはMAP-Eを喋る市販NAPTを何とか手に入れて、
・v4通信時の使用ポートの範囲(→15箇所に散ってるハズ)
・NAPT(CE)の外側アドレスとして使われているv4アドレス
・CEおよびBRのv6アドレス
…あたりをパケットキャプチャで調べれば、仕様不明のJPNEのAPIを叩いて
設定値を引っ張ってきたりしなくても、とりあえず動かすことはできる。
需要があれば設定例は晒さなくもないけど(というか某所にこっそり晒したけど)、
現状、上に書いた問題の都合で(v6プラスの各ユーザーが使えることになってる)240ポート
の1/5にあたる48ポートしか使えていないので実用性ゼロ。ウチでは外部NTPに対するトラフィック
だけフィルタ型ルーティングで流してる。
888:anonymous@117.102.182.241.static.zoot.jp
17/01/12 21:11:44.48 .net
ぶっちゃけJPNEのMAP-Eは
・共有アドレスは全てグローバルアドレス(固定)、かつ1つのアドレスを256ユーザーで共有
・各ユーザーが使えるポートは、連続する16ポートのブロック*15ブロックの範囲固定で開きっぱなし
→使えない範囲のポートはほかのユーザーに対して開けられている
→なので変なポート番号でもよければ鯖も立てられる
…という具合なので、正しい設定値でCEとBRの間にトンネルを張った状態で外側からポートスキャンかけると、
(→JPNEやほかのユーザーに迷惑がかかるので一回で済ませること)どの範囲のポートが自分に対して開けられているかがわかる。
そうやって設定に必要な値を探ってみるしかないよね、とりあえず。
889:874
17/01/12 21:33:43.16 .net
>>875 の固定IPが漏れてる件に関してMAP-Eから指摘してみるテスト…
うかつだった…orz
890:anonymous
17/01/13 02:52:10.24 .net
IIJ、i-revoって、同じグループだったんだな。
遠隔地でそれらのISPを使っているけど、深夜になっていきなりそこと通信ができず、
ルーターが壊れたのかと思った。
全サーバーとのやりとりができなくなった。
コンフィグのバックアップが手元にないし、代替のRTXも手元になく、
万が一の障害発生時に準備ができていないことを痛感した。
おかげで、心臓がばくばく、体に痺れがでた。不安発作だよ。
この仕事一人でやっているけど、向いていないな。
しかし、IIJって、メンテナンス時に完全に切断するってどうなの?
もしこれが、病院とか、昼夜問わず一刻を争うようなところで利用されていたら、大変なことになるんではないか?
メンテナンス時でも通信を確保するのが筋じゃないのか?
あるいはどこでもそんなものなの?
IIjに3000円程度の決してやすくない料金を払っているよ。ひどいなあと思う。
891:anonymous
17/01/13 04:22:21.12 .net
IPsec udp 4500ってP2P認定で規制されやすいのかな。
ESPだと大丈夫とかあるんだろうか。
v6プラスでとくとくBBを使っていて、udp 4500パケットを20分ほど連続して受信していたら、
急にトンネルがつながらなくなってしまった。
udp 500も相手側に届かなくなってしまった。
892:anonymous
17/01/13 04:26:56.00 .net
とくとくBBの情報ではないが、L2TP/IPsec(UDP 4500)をつかう通信って規制の対象になるみたいだな。↓
URLリンク(isp.oshietekun.net)
神奈川県 VPN、L2TP/IPsecポートが完全規制、BBエキサイトは糞プロバイダー -- 2015-03-09 (月) 14:30:00
神奈川県 VPN、L2TP/IPsecポートがまた規制されたOpenVPN使うか。。。糞プロバイダー -- 2015-02-02 (月) 11:32:50
格安なので不安でしたが、昼頃のUSENスピードテストでDL 80Mbpsオーバーしました。今のところ快適です。 -- 東京フレッツ光 2015-02-01 (日) 13:02:55
L2TP/IPsec ポートが突然規制された -- 2015-01-27 (火) 10:13:16
893:anonymous
17/01/13 04:39:58.44 .net
悪い事って重なる。
拠点では別サーバーとの接続でIIJ使っていて、それがメンテナンスのために2時間ほど不通になった。
拠点で障害が発生。(メンテナンスがあることを知らなかったので、大焦り。RTXが壊れたのか?!とか)
また、そのとき、こちらではv6プラスのとくとくBBで、UDP 4500(IPsec)の通信を数十分連続して行った後で、
運悪く、拠点へのIPSec接続が断たれた。
ふたつのことが同時に発生したので、問題の切り分けがすぐにできなかった。
ただただ焦るばかり。
IIJのメンテナンスは完了して拠点は復帰した。
しかし、とくとくBBのは、まだパケットが通らない。ずっと規制されたままなんだろうか。
とくとくBBは解約しよう。
ところで、NTTのネクストのIPv6網を折り返しで使うなら、
そういう規制の心配ってないんだろうかな。
894:anonymous
17/01/13 16:09:26.63 .net
ながながとすみませんでした。
悪いことは重なりますが、さらに、倉庫から引っ張りだしてきたRTX1100が不調のようでした。
アクセス不能の状態のとき本体電源スイッチを入れ直すとWEB画面にもアクセスできたり、
ネットにも繋るようになりました。まだ、急につながらなくなったIPsecはつながらない。
(また、当機が不調だということになると、udp 4500の規制の疑いも確実なことがいえなくなりました。)
これを機に、新しいルーターを買ってもらおうと思います。
895:*
17/01/13 19:19:21.09 .net
>>880
NTT公認のサービスじゃないから、いつ切れても文句言えない
東西接続は原則無理
ちなみに去年の2月?くらいからデータ通信は規制掛かってるような気がする
音声通信以外は使い物にならない
近所にIP電話増やすときに便利程度ですよ?
896:anonymous
17/01/13 22:36:25.89 .net
>>877
そんな大事なインフラならSLA付いてる回線使えとしか。バカなの?
897:anonymous
17/01/14 00:33:35.56 .net
>>874
へー、きちんと機能は実装してるんだね
それなら対応ファームなんてすぐにでも出せそうなのに出さないってことは、
やっぱり某社と癒着があるのかな
898:anonymous
17/01/14 00:45:29.59 .net
>>877
そういうところは2社引いてるしな。フレッツ光ネクストをサブにKDDIまたはSBM は教科書みたいに使ってるよね
899:anonymous
17/01/14 00:48:27.94 .net
一人情シスという言葉がある。まさに俺のことだ。
URLリンク(www.sbbit.jp)
従業員数20人以上~50人未満では3割の企業において「ITの管理/運用の担当者が1名」という状態となっている。
相談できる相手がなかなかいない。「1人」ではなく「ひとり」と表記しているところに、そうした孤軍奮闘の実態が込められている。
つづき読みたいが、お金払いたくない。
でも、タイトルからは、拠点をつなぐことが大切そうだとわかる。
拠点をつなぐと、メンテナンスが便利になるっていうことかな。
RTXを使っている人って、上の、従業員数20人以上~50人未満が多そうだけど、
一人情シスなのかな。ナカーマ したい。
900:anonymous
17/01/14 00:52:10.43 .net
>>886
そういうクラブってないかな。コンピューター部みたいな部活みたいな感じ。
仕事終わりに、お茶飲みながら、こんなことあったんだよとか、話するのだ。
こういうことできるよとか、大学のゼミみたいに、報告なんかできたらいいのになあ。
ネットワーク、サーバ、IP電話、などなど、いろいろ調べて考えて、大変。
そういう知的な活動って、カンファレンスなんかが必須でしょ。
1人はそろそろ辛いわ。
901:anonymous
17/01/14 00:53:24.64 .net
でもここは、文字だけだけど、そういうクラブ的なところなのかもしれない。
ありがとう。
902:anonymous
17/01/14 00:58:39.59 .net
一人情シス問題の記事
URLリンク(www.nec-nexs.com)
これも的を射ている。
オープン化によって、ITの敷居が下がったせいで、
やりやすくなった反面、専門の組織の構成が疎かになっている。
903:anonymous
17/01/14 00:59:56.65 .net
↑
そういう問題をなくすために、国が動いて、
国家試験で免許制度にして、専門職化すればいいのにと思う。
904:anonymous
17/01/14 09:35:08.82 .net
1人情シス兼お弁当受付なんて普通に多いと思うぞ。
一番辛いのは勝手気ままに構築した奴がやめた後・・・
素直に上司に相談して、経費かけても事務屋程度の業者に任せた方がTo LOVEる起きても責任回避できるから
おすすめ。
905:電話屋さん
17/01/14 13:13:18.11 .net
>>891
RTXをメインに扱うような電話屋だけど
ひとり情シスさんは大事なお客さんだね
NOSやCTCに頼めるわけがないから、我々みたいな零細に話がくる
「誰にも相談出来ない」「誰も苦労を分かってくれない」「誰も業務を正しく評価してくれない」
このあたりはみんな愚痴ってる
こっち側が困るのは予算確保で苦しんでる人が多いので
50万掛かるのに20万しか出せないとか、なんとかタダとか無茶言われる
906:anonymous
17/01/14 13:19:07.19 .net
この前○○円でやってくれたから次もお願いね>>892
907:anonymous@M014013130128.v4.enabler.ne.jp
17/01/14 20:54:11.34 .net
>>892
サポート問題の連鎖って大丈夫なんだろうか。
業者さんにお任せしてIP電話とか、サーバーの構築、社内ネットワークの構築なんかをしてもらって、
もしそこの業者さんが廃業したら、また困るんではないかな。
さらに別の業者に頼むとしても、それまでのシステムは使えないでしょう。
そもそもパスワードがわからずに、ルーターのコンフィぐにアクセスできなかったり、サーバーにログインできなかったり。
そういうときって、また最初から構築仕直しになるのかな。
908:anonymous
17/01/14 21:06:52.43 .net
予算ないからってRTXをやめてNVRで拠点間VPN組むことになって、
アレできないコレできないって後から言われても
909:なぁ・・・という事はしばしばある。 最初に説明したでしょ?って。 やりたい事の割に予算出せないってのが一番困るんだよね。
910:anonymous
17/01/14 22:04:56.75 .net
RTXとNVRでごねる連中とかいるのか
Ciscoとか比較してごねる連中なら分かるけど
911:anonymous
17/01/14 22:49:52.36 .net
RTX810じゃだめなの?
912:anonymous
17/01/15 00:46:37.70 .net
全社向けでトンネルやめてただルーティングします宣言したら予算出るかも
どうせ外部のSIerに見積もりとったらRTX以上かかるんだから遠慮するなしw
913:anonymous
17/01/15 06:41:56.41 .net
>>898
システムインテグレーターの見積もりって、いくらくらい?
914:sage
17/01/15 07:44:55.00 .net
ヤマハのRTX1500のコンフィグを確認しているんですが、
nat descriptor address outer 1 xxx.xxx.xxx.xxx
のコマンドは確認が出来たんですが、
nat descriptor address inner 1 xxx.xxx.xxx.xxx
がありませんでした。
NATの設定してないんでしょうか?
outerだけだとしたら、何のための設定であるのかを教えてください。
915:anonymous
17/01/15 08:05:04.70 .net
>>900
まずマニュアル読め
916:anonymous
17/01/15 09:26:39.54 .net
>>897
お客と直接取り引きができるなら、いろいろと説明したり機種によって
できる事できない事や、その他提案とかできると思うけど、間に事務機屋が
入ると「他社の見積もりよりも低価格で」という事に必死になる為、
1円でも安くする事が最優先事項になる。よって、一番やりたい事ができれば良い
という風になり、あとからアレやりたいコレやりたいと言われると困るってなる。
917:anonymous
17/01/15 09:44:57.00 .net
>>902
営業と一緒に話せれば、そこらへん解決できるけど
50万以下のしょぼい案件だと、なかなかそんなコストひねり出せないから
当日現地でヒアリングという無茶苦茶な事になるんだよな
918:anonymous
17/01/15 12:15:59.48 .net
>>900
デフォルト設定ってのがあるねん
919:電話屋さん
17/01/15 13:28:42.58 .net
>>894
契約で開示しないところ多いね
うちはパスワードも含めた成果物は提出するよ
保守契約してもらえないほど予算ない客多いからさw
図書の費用も削っていいから安くしろって時はたまにあるけど・・・
どうしようもないから、Configにパスワード追記して渡してる
920:anonymous
17/01/15 17:32:19.30 .net
>>902
安さばかりにこだわる仲介屋だな
多分、知識もゼロで、おうむ返しなんだろう(伝言ゲームみたいになりそう)
そりゃあ、細かい提案とかしてあげられなくなりそうだね
それでも仲介屋が入った方がやりやすいとかあるのかな
>>905
>パスワードも含めた成果物は提出する
あげちゃうということですね
それがプログラムとか流用可能なものでもそうするんですか
>図書の費用も削っていいから安くしろ
ん?どういうこと
>>900
>RTX1500
つかっているとハングアップするよ
>outerだけだとしたら、何のための設定であるのか
ナットから向こうの領域に送り出すパケットのソースアドレスを指定している
innerは自動になっているが、明示的に指定すると指定したパケットのみがナットをくぐることになる
921:anonymous
17/01/16 03:30:51.46 .net
NTTのひかり回線のIPv6網折り返し通信をつかって、
IPsecトンネルを構築して利用している。
HGWの下位にRTX1200を接続してプリフィックスの割り当てを受けて、
RTXのLANインターフェイスのIPv6アドレスが自動的に設定された。
NTTのDNSにネームも登録してこのアドレスを関連づけた。
プリフィックスが変更になっても追従してくれるはず。
しかし、このRTXを置き換えた時、LANインターフェイスのMACアドレスが変わるから、
HGWから受けるプリフィックスが変更されると思う。設定されるIPv6アドレスが変わってしまう。
その場合、HGW下位の問題なので、ネームは追従してくれないはず。
ということは、RTXの故障とか保守のさいにRTXを交換すると、
IPv6アドレスが変わってしまうため、対向ルーターがこちらがわを見失い、トンネルを構築できないことになるだろう。
再設定不要で予備機(同じコンフィグ書き込み済み)を配線するだけで完全復帰できるようにしたい。
なにか良いアイデアある?
922:anonymous
17/01/16 10:14:28.20 .net
そういえば>>907でようやく気づいたけど
HGWからDHCPv6で割り当てられるプレフィックスが必ず同じである保証って無いと言うことか。
923:anonymous
17/01/16 10:34:08.33 .net
何度も話題になってるよ
「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを公開
URLリンク(i.open.ad.jp)
ネーム使うよりもあてにはなる
924:analnymous
17/01/16 12:16:02.22 .net
>>909 かなり色んなデバイスから使ってるわ。
ちなみにRTX1000からの場合、更新手段にはsyslogを投げる方法しかなかった。
scheduleでpingできない、ntpにもv6指定できない…ので。
まぁ、v6メインv4サブになっていく時代にRTX1000はさすがにないよな…スループット出ないし(実測27Mbpsとか)。
925:anonymous
17/01/16 12:44:01.49 .net
>>909
ありがとう。ああ、私は西日本だけど、IPv6 GUAで接続してみる。
926:anonymous
17/01/16 19:15:20.41 .net
test
927:anonymous
17/01/16 19:22:45.13 .net
>>909
ありがとう。記事全部読めた。面白く、そして感動した。
開発者の熱意を多分に感じた。
ネームというサービスが非常に使いにくい点を指摘して、使いやすいものをNTTに提案し、
受け入れてもらうように努力した登氏に感謝したい。
なぜ、現在にNTT東日本にしかサービスが提供されていないのかよくわかった。
しかし、今後、このサービスを大勢が利用すれば、同様の代替サービスがないNTT西日本で、
同じものが導入される機運が到来するのではないかと思った。
便利にNGN網を使いたいね。
しばらくは、NTT西日本からは、当DDNSサービスにIPv6インターネットからアクセスするようにするよ。
928:anonymous
17/01/18 05:55:59.01 .net
NVRに固定IP SIM突っ込んだんでこれけらテストしようと思うんだが、
なんで今時標準SIMなんだろうね。使い回しが利かん。
929:anonymous
17/01/18 09:10:50.90 .net
SIMは小は大を兼ねるんだからなんでも使えていいだろ
逆にnanoなんかにされるとカットしなきゃいけないこともあるしめんどくさい
930:anonymous
17/01/18 10:40:11.10 .net
まぁ100円ぐらいのアダプタでどうにでもなるし
931:anonymous
17/01/18 16:20:16.28 .net
V6でVPN張るとして
OPEN IPv6 使っても
フィルターがドメイン使えないからルーターではノーガードにしないとダメなんか
ルーターだけにアクセスされるなら我慢できるけどぶら下がってるのまでアクセスされない方法ある?
932:anonymous
17/01/18 21:53:28.17 .net
ipsecに必要なパケットだけ通すフィルタはかけられるからノーガードってのは言いすぎ
933:anonymous
17/01/19 00:29:03.78 .net
OPEN IPv6 DNSの名前解決って、東日本の網内以外からアクセスするには、
インターネットにつながるIPv6アドレスをもっていなければいけないらしいけど、
IPv4アドレスではダメなんだろうか。
登録時はIPv6アドレスがソースでなければならないのはわかるけど、
名前解決のときにはIPv4ネットワークからのアクセスでどうにかならないだろうか。(DS-Liteも、v6プラスも使わない。)
934:anonymous
17/01/19 10:52:21.63 .net
>>919
普通に応答してくれ無かったっけ?
v4のDNSがAAAAフィルタ入ってるとか?
935:anonymous
17/01/19 14:31:34.85 .net
>>915
使ったことねーだろ。
縦に挿し込むタイプだからアダプタごと突っ込んだら
中でばらけ
936:て出てこなくなる可能性大。
937:anonymous
17/01/19 14:34:16.43 .net
>>921
アダプタ使ったことないだろ
938:anonymous
17/01/19 15:20:48.73 .net
いや、安物のアダプタだとそうなるかもしれん
939:anonymous
17/01/19 15:21:55.40 .net
安物使わなきゃいいだけで
940:anonymous
17/01/19 15:52:57.66 .net
>>920
え、できるの?それならとてもうれしい。
nslookupコマンドでIPv4経由でできるってことだよね。
941:anonymous
17/01/19 16:06:27.60 .net
アダプタ使えばいける?
高いとか安いとかあるの??
942:anonymous
17/01/19 16:27:19.33 .net
そりゃある
3種類入って50円以下送料無料みたいなやつは明らかに品質悪いよ
943:anonymous
17/01/19 16:49:28.46 .net
まちがっても、アダプタだけをSIMスロットに差し込まないように。
大変なことになるから。
944:anonymous
17/01/19 17:40:05.32 .net
>>928
抜けなくなるからね
945:anonymous
17/01/19 17:49:18.93 .net
いやいや抜こうとしてピンが逝っちまうのが一番の問題だろ
946:anonymous
17/01/19 22:59:18.37 .net
>>925
nslookup hoge.i.open.ad.jp 8.8.8.8
とか試してみるといいかもー
947:anonymous
17/01/20 02:31:13.55 .net
>>931
おお、すごいね。
登録したhogeは、一般的なIPv4で接続するDNSサーバからも解決できるということか。
専用DNS(東日本網内のDNSや、IPv6で接続するDNSとか)でしかできないと思っていた。
ちょっと登録してテストしてみる!
948:anonymous
17/01/20 02:34:03.43 .net
>>930
抜けなくなったアダプターのmicroSIMをはめる枠に、
スロットとアダプターの隙間から、薄いプラスチックのmicroSIM幅の片を差し込んで、
ピンを全部押し下げた状態で引き抜くと良い。以前に試して成功した。
949:な
17/01/21 10:46:45.97 .net
RTX1210のGUIのVLAN機能で
VLAN間の通信を禁止するボタンで感動してオシッコ漏れそうになった。
950:anonymous
17/01/22 07:24:11.08 .net
>>934
感動のポイントがわからない
951:わやなか
17/01/22 22:41:27.89 .net
>>935
フィルター作成もフィルター適用も全部自動で書いてくれる。
952:anonymous
17/01/23 06:58:44.01 .net
>>936
そういうの既存のフィルタが壊れないか心配
953:anonymous@50.72.239.49.rev.vmobile.jp
17/01/23 10:14:33.96 .net
>>932
URLリンク(i.open.ad.jp)
の注4
>>936
そもそもVLANが分離のためと考えたら
ルーティングから外すのが正しい気がする
954:な
17/01/23 11:24:38.38 .net
>>937
さすがに手打ちのコマンド入れた状態ではやらないw
うちはGUIでやってから手打ちコマンド入れて検証する。
955:anonymous
17/01/23 11:58:47.53 .net
>>938
とりあえずスマホ経由で確認したらIPv4経由でも取得はできてるね
956:anonymous
17/01/23 13:40:32.09 .net
>>938
>NTT 西日本のフレッツ回線から利用する場合は、別途、IPv6 対応の ISP 契約が必要です。
これって、登録時だけじゃないのかなと思うのだが。
ごめんまだテストができていない。
957:anonymous@50.72.239.49.rev.vmobile.jp
17/01/23 14:00:29.93 .net
AAAAが返るかどうかでなくて
v6経由でないと名前解決が出来ない
権威サーバがv6にしか立ってないという意味に解釈してた
どういうニュアンスなんだろ
958:anonymous
17/01/23 14:54:16.69 .net
登録時は適当なアドレスでも更新はv6アドレスの発信元で登録するからでしょう
東網内v6アドレスかグローバルv6アドレスでアクセスできるDDNSサーバーなのでは?
東と西はフレッツ網が独立しているので西単独v6だとアクセスできませんよって意味では
959:anonymous
17/01/23 23:23:38.90 .net
>>931さんのコマンドを試してほしいなあ。
nslookup hoge.i.open.ad.jp 8.8.8.8
hogeのところは自分が取得して登録した名前
960:anonymous
17/01/23 23:44:43.73 .net
改めて説明を読んだら西云々
権威サーバとしてはNGN向け(v6)と外向け(v4,v6)の全てに応える
登録できるAAAAはNGNでも外でも良い
961:anonymous
17/01/23 23:50:02.31 .net
だから取得できると言っているだろうが
i.open.ad.jp nameserver = odns1.open.ad.jp
i.open.ad.jp nameserver = odns2.open.ad.jp
直接下記のv4ネームサーバーにi.open.ad.jpで登録したホスト名でv6アドレス返してくれる
サーバー: odns1.open.ad.jp
Address: 103.41.60.30
登録だけなら適当なアドレス入れても返してくれるから自分で試してみ
962:anonymous
17/01/24 00:50:36.73 .net
むしろ一般のDNSで引けないと、複数DNSを使い分けないといけないことになって活用できんだろ。
ヤマハルータはいろいろ凝ったルール作れるけど。
963:anonymous
17/01/24 00:58:46.23 .net
odns1/2がv6だと見えないんだけど
964:anonymous
17/01/24 01:07:40.66 .net
>>948
具体的に言おうよ
965:anonymous
17/01/24 01:45:30.82 .net
>>946
>>945
ありがとう。安心した。私は西日本在住だけど、
今度、ネームやめるための計画中。
966:anonymous
17/01/24 13:40:59.38 .net
ちうごくでVPN禁止とかこれもうどうすれば・・・
967:anonymous
17/01/24 14:18:19.40 .net
SSLもダメなん?
968:anonymous
17/01/24 14:36:10.24 .net
出来なくなるというか違法化なのよね
969:anonymous
17/01/24 14:37:47.50 .net
これか
URLリンク(gigazine.net)
970:anony
17/01/24 14:39:41.06 .net
許可制らしいけど
大手企業とか許可なかなかおりなかったりしてね
971:anonymous
17/01/24 14:41:57.49 .net
どうせ金渡せばすぐにやってくれる
972:anonymous
17/01/24 14:52:08.71 .net
VPN禁止てのは暗号抜きのトンネリングの話
以前から暗号製品は許可制(≈バックドア登録性)
973:anomymous
17/01/24 14:53:07.65 .net
すげー国だな
いまだに成り立ってることに感心する
974:anonymous
17/01/24 20:46:33.04 .net
うちの会社は専用線引いてるから問題無いけど
いまだにVPNで中国拠点と繋いでる会社とかあんの?
ダイヤルアップのVPNは、SSLならブロックされないと思うけど
もしダメなら中国国内にVPNの口作んないとダメかもね。
975:anonymous
17/01/24 22:14:22.16 .net
安いVPNサービスを潰したいだけらしい
サービスを認可制にするだけでルーター間でVPN張ってるのは良いみたい
976:anonymous
17/01/24 23:03:20.77 .net
専用線でもキャリアなら覗けるし
国内でも更にIPsec通してる例は聞いたことがある
一応中国の規制は暗号目的の物ってことなんで
OS標準とかはセーフなはずだけど
ヤマハみたいにVPNルーターを名乗るならアウト
URLリンク(www.jetro.go.jp)
URLリンク(www.ipa.go.jp)
URLリンク(cistec.or.jp)
何より日本の輸出規制にかかるのもあるんで要確認
コロコロ基準変わるんで把握してないけど
今どきのマトモ(解読困難)な暗号製品はなんらかの手続が必要と思った方が間違いないし
まっとうな会社ならそもそも確認しろとしてるはず
URLリンク(www.meti.go.jp)
海外旅行や出張でパソコンを海外に持ち出したいのですが、何か手続きは必要ですか?
輸出規制の対象となるか否かは、製造メーカーの輸出管理セクションか販売店にお問い合わせください。
977:w
17/01/25 00:00:24.61 .net
俺は知ってると、いいつつ実はわかってないw
978:anonymous
17/01/25 00:34:44.38 .net
法的なことで下手なこと書きたくないし
何より法律も政令も最新確認するのめんどくさくて
仕事であってもしたくない代物なだけ
今年入ってからも暗号だかコンピュータだか括り知らんけど
ノーパソのチェックやり直してたし
979:anonymous
17/01/25 07:34:53.86 .net
中国の暗号規制で騒いでるのは日本人だけだよ。
昔、コンサル入れて許可取ろうとしたら
中国のローカル幹部(共産党員)にそんなの絶対必要ないと
反対されて何もせずに今に至る。
結局中国政府のさじ加減次第だから、許可取ってても
取ってなくても何も変わらんらしい。
むしろ役人とのコネのが何かあった時に役立つ。
980:anonymous@pdf8754a5.tokynt01.ap.so-net.ne.jp
17/01/25 08:41:26.09 .net
IoT機器から600Gbpsを超えるDDoS攻撃
URLリンク(itpro.nikkeibp.co.jp)
981:anonymous
17/01/25 08:50:20.51 .net
>>962
読点の場所
982:anonymous@KD119104151136.au-net.ne.jp
17/01/27 19:36:52.39 .net
中国仕様モデル
URLリンク(www.yamaha.com.cn)
URLリンク(www.yamaha.com)
983:anonymous
17/01/27 20:27:25.20 .net
中国で1200使ってるが、1210早く出して欲しい。
中国仕様はFWXと同じファイアウォール機能ついてるからフィルタの設定楽。
984:anonymous
17/01/27 20:30:37.88 .net
そういや中国ってco.cnじゃなくてcom.cnなんだね
985:anonymous
17/01/28 01:27:17.40 .net
中動く人多い
986:anonymous
17/01/29 10:21:39.43 .net
>>909
これpingだけでできるのがいいよね。
987:anonymous
17/01/29 12:49:54.23 .net
IIJの、IPv6をつかえるようにして、西NTTの網内折り返し通信を他拠点と行っている。
IIJがメンテナンスで不通になった場合、この折り返し通信もダメになるんだろうか。
以前は、西NTT専用IPv6アドレスをつかっていたのでそういう心配はなかった。
988:anonymous
17/01/29 14:07:25.06 .net
フレッツのグローバルなIPv6で東西間の通信したら、
どこで折り返しなんだろ?
普通のIPv4インターネット経由より速い?
989:anonymous
17/01/29 14:32:44.11 .net
できません
990:anonymous
17/01/29 14:33:18.89 .net
ってよく見てなかった
普通にプロバイダまで行って折り返しだよ
991:anonymous
17/01/29 15:52:35.85 .net
>>971
ntpdateの方が便利かも
992:anonymous
17/01/29 15:56:16.53 .net
VNEで折り返すだけでISPまで行かんだろ
993:anonymous
17/01/29 16:07:36.89 .net
IPoEならそうかもな
994:anonymous
17/01/29 16:52:35.63 .net
>>977-978
IIJのメンテナンスの日に、NTT網内のIPoE IPv6折り返し通信ができなくなりました。
メンテナンス終了後にはつかえるようになりました。
これが原因なら他の設定の影響を考えなくて済むんですが。
995:anonymous
17/01/29 17:10:00.09 .net
メンテナンス内容は?
996:anonymous
17/01/29 21:42:57.54 .net
4年も前の情報だが、VNE折り返しと書いてあるサイトあるな。
URLリンク(www.geekpage.jp)
NTT東西を跨がる通信に関しては、VNEを経由した折り返し通信となります。
いっそのこと東西でNGN繋いでくんないかなぁ?
997:anonymous
17/01/29 21:49:06.19 .net
線は繋がってるけど一体化って意味?
998:anonymous
17/01/29 22:23:04.43 .net
>>980
言われてみて、どうだったろうと思い、過去のメールを調べたら次のようになっていた。
13日(金)00:00 - 07:00 迄の間
停止サービス:mio FiberAccess/NF(IPv4 PPPoE接続)
- フレッツ 光ネクスト ファミリー・マンションタイプ
- フレッツ 光ネクスト ハイスピードタイプ
- フレッツ 光ネクスト スーパーハイスピードタイプ 隼
- フレッツ 光ライト
事由:システムメンテナンスのため
備考:- 上記時間中に該当エリア・該当サービスで接続中の一部のお客様は切断
されます。なお、該当サービス以外に関しましては上記時間中もご利用
いただけます
これはIPoEは関係なかったといえるのかな。
999:anonymous
17/01/30 00:49:15.62 .net
関係ないと言えるね
気になるならサポに聞いてみては?
1000:anonymous
17/01/30 01:43:14.96 .net
おもいっきり IPv4 PPPoE って書いてあるやん。
DNSにアクセスできなくなってIPoEも止まったと勘違いしたとかじゃね?
1001:anonymous
17/01/30 23:49:56.68 .net
WLX302をWLX202にしてみたらまさかのCLI無しだった。
ヤマハのネットワーク機器でCLI無しなんてあったのか。
1002:電話
17/01/30 23:52:54.13 .net
だから、どうした
1003:anonymous
17/01/31 00:34:45.91 .net
次スレ建てといた
YAMAHA業務向けルーター運用構築スレッドPart19
スレリンク(network板)
1004:anonymous
17/01/31 08:01:02.52 .net
>>986
それだけGUIが進化してるってことだよ
CUIで玄人ぶる時代も終わったってことだ
1005:anonymous
17/01/31 08:03:28.38 .net
デメリットがなければなんでもいい
CUIがいいって言われてるのはそれはそれなりにメリットがあったからで
手間が変わらないならどっちでも
1006:anonymous
17/01/31 09:07:34.38 .net
GUIでも設定をファイルで流し込むのできるしな
リセットして流し込めばrestore完了するし
1007:anonymous
17/02/01 21:27:54.80 .net
>>988
おつ
1008:*
17/02/01 22:36:43.99 .net
>>990
CUIがかっこいいと思ってるのは素人だけで
簡単で間違いがなくて速ければ何でもいいよね
1009:anonymous
17/02/02 00:09:20.85 .net
GUIだと、同じ処理を再度・・・ってのが難しい
テスト機でやっておいて、本番機とか
何台も同じ定義を入れていくとか
1010:anonymous
17/02/02 00:11:26.68 .net
GUIには予め想定されたGUIでできることしかできないが、
CUIならルーターでできることがなんでもできる。
1011:anonymous
17/02/02 07:06:37.04 .net
設定情報はテキスト形式ですぐ修正できてすぐ流し込めればGUIでも構わない
初期IPアドレスは固定しておいてもらうとキッティングのときすごく捗る
1012:anonymous
17/02/02 09:59:57.16 5PsIv6t6.net
>>995
GUIでできてCUIにできないことあるじゃん
1013:anonymous@M014009113224.v4.enabler.ne.jp
17/02/02 22:02:21.10 jj+UuNU9.net
梅
1014:anonymous
17/02/02 22:03:19.34 jj+UuNU9.net
埋め
1015:anonymous
17/02/02 22:03:59.49 jj+UuNU9.net
999
1016:anonymous
17/02/02 22:04:51.30 jj+UuNU9.net
1000なら、RTX1210が安く手にはいる
1017:過去ログ ★
[過去ログ]
■ このスレッドは過去ログ倉庫に格納されています