17/01/04 01:42:27.26 .net
>>827
できない
マシンが多くてルールの書き換えが頻繁にあるとか以外なら
多層防御の観点からhosts.allow使えるなら使うべき
843:anonymous
17/01/05 09:24:13.92 .net
>>831
rtxで、IPフィルタで除けるのでなく、
telnetdや、httpd、ftpdなど内部サービスでアクセス制御ってできないかな?
なんかコマンドあったような気がするが、思い出せない。
844:anonymous
17/01/05 09:46:10.23 .net
>>832
自己レス
サービス名 hostコマンドでできるようでした。
845:anonymous
17/01/05 11:19:34.28 .net
>>833
hosts.allowみたくにDNS名やドメインでは出来ないって意味
846:anonymous
17/01/06 22:54:59.11 .net
>>834
ドメイン名でipフィルタとかできたらいいのにな。RTX
iptablesみたいにね。
847:anonymous
17/01/07 10:01:24.63 .net
>>835
ドメイン名で解決できてもそれが複数のIPアドレス持ってたら漏れることあるから結局最終的にはIPアドレス列挙するのは変わらんよ
848:anonymous
17/01/07 10:54:51.37 .net
>>836
たしかに。知っているトコのサーバー名なら良いけどね。
大手のサーバーはラウンドロビンされているからなあ。
849:anonymous
17/01/07 11:16:08.18 .net
え。複数アドレス/ラウンドロビンされているからこそ、
ころころ変わるIPアドレスではなく、
ドメイン名(DNS逆引き?)でのフィルタを実装してほしい、って趣旨かと思ったんだが。
850:anonymous
17/01/07 11:42:34.33 .net
>>838
DNS問い合わせでアドレスがラウンドロビンされてると
アドレスからドメインを確認するためのDNS問い合わせで一致するとは限らない。くじ引きみたいな話になる。
だから結局ラウンドロビンする全アドレスがローカルにキャッシュされるまで漏れる。
ということではないのか?
851:anonymous
17/01/07 11:44:15.25 .net
あ、もしかしてアドレスを使ってDNS問い合わせするという話なのか?
それって負荷的にどうなのかなぁ…
852:anonymous@103-226-44-10.ty4.wi-gate.net
17/01/07 11:55:57.39 .net
グローバルIPをDNS逆引きして得られるドメイン名って仕組み上、詐称されることがあるので、逆引きドメイン名でのフィルタは使いどころが難しいよ。
個人用の~1000円/月くらいで固定1IP使えるISPやらVPSでも、自由に設定できるものがある。
プライベートIPの話なら、確かに正引き・逆引きのドメイン名フィルタ機能あってもよさそう。SSGで使ってた。
853:anonymous
17/01/07 15:44:03.72 .net
パラノイアチェック前提でしょ?
まあ固定IP使えって話ではあるが。
854:anonymous
17/01/08 09:35:39.73 .net
RTX1200がDHCPサーバになっているサブネットにおいて、RTX1200から
サブネット内の他のホストに対してリンクローカルの発信元アドレスで
パケットを飛ばすことなんてある?
自分でも理解に苦しむんだけど、PCのファイアウォールソフトでそういう着信が
あったのでブロックしました的なメッセージが出る
855:あ?何?
17/01/08 09:48:46.40 .net
発信元のPCは正常に動作してるのか?
856:anonymous
17/01/08 09:52:02.68 .net
発信元はルーターなんですよね...
もちろんDHCPも動いていて、PCにはルーターで設定した通常の192.168.xxx.xx
のIPが割り当てられていて、インターネットにもつながります
857:anonymous
17/01/08 10:57:09.91 .net
>>840
iptablesの場合は起動時のみIPアドレスを引いてきて、あとはキャッシュ保管だと思っていた。
まさか、フィルタのたびに引いてくることなんてしないでしょ。
858:anonymous
17/01/08 12:03:24.35 .net
>>843
ここでいってるリンクローカルってipv4の169のやつ?
そのリンクローカルアドレスをrtxに設定してるの?
859:anonymous
17/01/08 12:06:22.79 .net
>>843
リンクローカルの発信元アドレスって、169.254.xxx.xxxってこと?
だとすると、「発信元はルーター」というのはどこから判断できた?
RTX1200が変なパケットを飛ばす例を考えたら、L2MS(スイッチ制御機能)とかかなー。
URLリンク(www.rtpro.yamaha.co.jp)
860:842
17/01/08 12:09:12.61 .net
>>847 返答どうもです そうです、169.254.xxx.xxです もちろんルーターのインターフェースにはいわゆる192.168.100.1などの プライベートIPが設定していて、そのアドレスでWebGUI等にもアクセスできています なぜルーターがリンクローカルアドレスでパケットを投げてるとわかったかというと MACのベンダーがYAMAHAだったからです 自分のネットワークにはルーター以外にYAMAHA製品はいません
862:842
17/01/08 12:22:01.99 .net
>>848
レスありがとうございます
発信元がルーターだと判断したのは>>849の通りです
L2MS機能は使用していませんが念のためONになってないか確認しましたが
configにswitchコマンドやapコマンドは特に見当たりませんでした
(configはセキュリティ上、すみませんが晒せません)
あとはループ検出機能かなと思ったりしましたが、ループ検出機能って
RTX1200についてましたっけ?
L2MSによるスイッチ制御の記述は見つかりましたが
863:anonymous
17/01/08 12:22:39.48 .net
>>849
念のためだけどそのmacはrtxのmacでいい?
864:842
17/01/08 12:45:39.72 .net
>>851
確かにそこですよね
ちゃんとフルでMACがルーターと一致しているかは確認する必要がありますね
ただウイルスソフトのファイアウォールブロックリスト上はベンダとIPと機器名しか表示されず...かつ機器名は不明なデバイスと表示されています
865:anonymous
17/01/08 16:17:53.30 .net
アップルコンピュータ社の製品みたい
866:anonymous@101-141-78-32f1.hyg1.eonet.ne.jp
17/01/08 23:06:49.80 7YbUuwU4.net
RTX810はファームVerUpでデータコネクトの帯域上限が無制限になったみたいだけど、
実際に1Mを越える帯域でつないでみた人いますかー?
867:anonymous
17/01/08 23:33:44.04 .net
データコネクトなんてファクシミリを除いて対応機器もう増えないイメージだしなあ
時代はインターネットでいいじゃんって方向にシフトしてるし
868:anonymous
17/01/10 11:17:17.17 .net
ipsecの設定を追加で流し込むとき、既存のトンネルがいったん切断されるよね。
あれは困る。日中に設定の変更ができなくなってしまう。
869:オナニマス
17/01/10 20:16:38.18 .net
>>856
後輩を連れて行って、お客さんのデスク周りで裸踊りさせておいて
その好きに切り替えてしまうんだ!
870:anonymous@M106073008192.v4.enabler.ne.jp
17/01/10 20:38:20.49 .net
同一IFに複数のnat descriptorを設定するとき、お作法ってあるの?
具体的にはアクセス時に使用するポートレンジを複数指定したいんだが、範囲が散りまくってて5つぐらいdescriptorを食わせないとダメな状況で…
871:anonymous
17/01/10 21:51:55.56 .net
>>856
しかも一旦切れるとバグのせいでリブートかけるまで再接続できなかったりな
872:anonymous
17/01/10 22:23:03.68 .net
ヤマハは確かに再起動しないと繋がらないことが多すぎる。
繋がらんと悩んでて、ああヤマハだ、と気づいて再起動するとすぐ繋がるってやつ。
ほんと勘弁して欲しい。
873:anonymous@p284154-ipngn200503niho.hiroshima.ocn.ne.jp
17/01/10 23:07:51.82 .net
>>856
え?切れるの?
苦情貰ったことないや
874:anonymous
17/01/11 02:03:16.18 .net
v6オプションのipv4 over ipv6で、NATトラバーサル有のipsecトンネルをRTX同士で通せた。
しかし、一部の機器に対してのみ、pingも通らない。
PPPoE上でESPを使うipsecならうまく通る。
多分、v6オプション通信とNATトラバーサルのオーバーヘッドで、MTUがかなり小さくなっていることが原因ではないかと思う。
どうやって問題を切り分ければ良いでしょうか。
MTUを測定して、それをIPsecトンネルに設定する必要があると思うんですが。
875:anonymous
17/01/11 02:09:32.62 .net
すみません、いつのまにか、通るようになりました。
ちなみに、1472だったので、普通のMTUと同じようです。
876:anonymous
17/01/11 02:1
877:3:48.89 ID:???.net
878:anonymous
17/01/11 02:18:42.70 .net
もっと勘違いでした。
RTXのIPsecの設定が、デフォルトで1280を設定していたので、当然の結果そういうことになるのでした。
考えなければならないことは、デフォルトの1280よりももっとMTUを小さく設定する必要があるということだと思います。
879:anonymous
17/01/11 02:31:11.29 .net
結局、通りませんでした。
少なくともNATトラバーサルのためにトンネルのMTUが小さくなっているはずですが、
その設定をしていないので非TCP通信で問題が発生しているのではないかと思います。
v6オプションのオーバーヘッドの影響もあるんでしょうか。
880:anonymous
17/01/11 02:41:12.69 .net
pingを使う方法で測定すると、
v6オプションのIPv4 over IPv6において、IPsec NATトラバーサルのトンネルのMTUは、1280でした。
1252(1280) bytesなら通りました。1253の場合は通りませんでした。
しかし、IPSecトンネルの場合、1280がデフォルトで設定されているようです。
デフォルト値: 1500 for LAN/WAN, 1500 for PP, 1280 for Tunnel
他の機器との通信はうまくいくのに、その機器(パナソニックのネットワークカメラ)との通信に失敗するのは、
機器が悪いんですかね。
881:anonymous
17/01/11 03:49:09.42 .net
とりあえず落ち着け。
882:anonymous
17/01/11 04:06:32.55 .net
>>868
風呂に入った。
落ち着いた。で、ひらめいた。
トンネルを替えたことによって、発アドレスが変わった。これは知っている。
しかし、それによってipフィルタでリジェクトされてその機器に到達ができない状態になっていたことには気づけなかった。
結構複雑になってきているので、すっかりそういう設定があったことを忘れていました。
みなさん、ごめんさない。
883:857
17/01/11 10:18:05.73 .net
v6プラスの終端にRTX3000を使おうと思ってましてねぇ…でも使えるポートの範囲が15か所に散ってるので、
コマンド仕様も考えると↓みたいなのを5つ書かなくちゃならんのですよ…
で、それを5つまとめてtunnel 1に適用すると、どうも最初の3000に該当する通信しかできてない模様で…
「なーんか間違ってんのかなぁ…」とか。
詳しい人おながいします。
nat descriptor type 3000 masquerade
nat descriptor address outer 3000 <共有アドレス>
nat descriptor masquerade port range 3000 <ポート範囲1> <ポート範囲2> <ポート範囲3>
884:anonymous
17/01/11 10:18:15.72 .net
ipsenトンネルで、センター側固定、拠点側動的(natトラバーサル)で、うまく通信できていたんですが、
7時間経過してトンネルが接続されていませんになってしまいました。
センター側
ipsec ike keepalive use xx auto
拠点側
ipsec ike keepalive use yy on
keepaliveの設定をし忘れていたためかと思い、上の通り追加しました。
しかし、トンネルは切断されたまま回復しません。
拠点側は再起動可能なので、restartしたものの、ダメです。
センター側でもrestartか、ipsec reflesh sa をしたいんですが、使用中なのでおこられます。
センター側で、他のトンネルに影響を与えずに、トンネルを初期化する方法ってないでしょうか。
885:anonymous
17/01/11 11:08:48.22 .net
>>870
詳しくはないがポートレンジは使い切ったら次のが使われるってマニュアルに書いてあるから
複数のNATを設定しても全ポートレンジを使い尽くさないと最初の奴ばっかり使われるのでは。
> IP マスカレードで利用するポート番号の範囲を設定する。
> ポート番号は、まず最初に port_range1 の範囲から利用される。port_range1 のポート番号がすべて使用中になった
> ら、port_range2 の範囲のポート番号を使い始める。このように、port_range1 から port_rangeN の範囲まで、小さい
> 番号のポート範囲から順番にポート番号が利用される。
886:anonymous
17/01/11 13:36:34.48 .net
>>870
RTX3000って、v6プラスの終端できるの?
ファームをダウンロードして動作させるらしいから、
ホームゲートウェイが必須だと思っていたんだけど。
887:869
17/01/12 21:01:04.17 .net
>>873 MAP-Eの原理さえ理解すれば、
・IPv4/IPv6トンネル
・WANインターフェースがUnnumberedでも、外側のアドレスを明示できる仕様のNAPT
・使用できるポートの範囲に明示的に制限を掛けたNAPT
…の3つが使えるようなルーターで必ず実装できることがわかるはず。
幸い、RTX1100以降(たぶん)のRTX系はこれらすべてをキレイにクリアしてるので、
あとはMAP-Eを喋る市販NAPTを何とか手に入れて、
・v4通信時の使用ポートの範囲(→15箇所に散ってるハズ)
・NAPT(CE)の外側アドレスとして使われているv4アドレス
・CEおよびBRのv6アドレス
…あたりをパケットキャプチャで調べれば、仕様不明のJPNEのAPIを叩いて
設定値を引っ張ってきたりしなくても、とりあえず動かすことはできる。
需要があれば設定例は晒さなくもないけど(というか某所にこっそり晒したけど)、
現状、上に書いた問題の都合で(v6プラスの各ユーザーが使えることになってる)240ポート
の1/5にあたる48ポートしか使えていないので実用性ゼロ。ウチでは外部NTPに対するトラフィック
だけフィルタ型ルーティングで流してる。
888:anonymous@117.102.182.241.static.zoot.jp
17/01/12 21:11:44.48 .net
ぶっちゃけJPNEのMAP-Eは
・共有アドレスは全てグローバルアドレス(固定)、かつ1つのアドレスを256ユーザーで共有
・各ユーザーが使えるポートは、連続する16ポートのブロック*15ブロックの範囲固定で開きっぱなし
→使えない範囲のポートはほかのユーザーに対して開けられている
→なので変なポート番号でもよければ鯖も立てられる
…という具合なので、正しい設定値でCEとBRの間にトンネルを張った状態で外側からポートスキャンかけると、
(→JPNEやほかのユーザーに迷惑がかかるので一回で済ませること)どの範囲のポートが自分に対して開けられているかがわかる。
そうやって設定に必要な値を探ってみるしかないよね、とりあえず。
889:874
17/01/12 21:33:43.16 .net
>>875 の固定IPが漏れてる件に関してMAP-Eから指摘してみるテスト…
うかつだった…orz
890:anonymous
17/01/13 02:52:10.24 .net
IIJ、i-revoって、同じグループだったんだな。
遠隔地でそれらのISPを使っているけど、深夜になっていきなりそこと通信ができず、
ルーターが壊れたのかと思った。
全サーバーとのやりとりができなくなった。
コンフィグのバックアップが手元にないし、代替のRTXも手元になく、
万が一の障害発生時に準備ができていないことを痛感した。
おかげで、心臓がばくばく、体に痺れがでた。不安発作だよ。
この仕事一人でやっているけど、向いていないな。
しかし、IIJって、メンテナンス時に完全に切断するってどうなの?
もしこれが、病院とか、昼夜問わず一刻を争うようなところで利用されていたら、大変なことになるんではないか?
メンテナンス時でも通信を確保するのが筋じゃないのか?
あるいはどこでもそんなものなの?
IIjに3000円程度の決してやすくない料金を払っているよ。ひどいなあと思う。
891:anonymous
17/01/13 04:22:21.12 .net
IPsec udp 4500ってP2P認定で規制されやすいのかな。
ESPだと大丈夫とかあるんだろうか。
v6プラスでとくとくBBを使っていて、udp 4500パケットを20分ほど連続して受信していたら、
急にトンネルがつながらなくなってしまった。
udp 500も相手側に届かなくなってしまった。
892:anonymous
17/01/13 04:26:56.00 .net
とくとくBBの情報ではないが、L2TP/IPsec(UDP 4500)をつかう通信って規制の対象になるみたいだな。↓
URLリンク(isp.oshietekun.net)
神奈川県 VPN、L2TP/IPsecポートが完全規制、BBエキサイトは糞プロバイダー -- 2015-03-09 (月) 14:30:00
神奈川県 VPN、L2TP/IPsecポートがまた規制されたOpenVPN使うか。。。糞プロバイダー -- 2015-02-02 (月) 11:32:50
格安なので不安でしたが、昼頃のUSENスピードテストでDL 80Mbpsオーバーしました。今のところ快適です。 -- 東京フレッツ光 2015-02-01 (日) 13:02:55
L2TP/IPsec ポートが突然規制された -- 2015-01-27 (火) 10:13:16
893:anonymous
17/01/13 04:39:58.44 .net
悪い事って重なる。
拠点では別サーバーとの接続でIIJ使っていて、それがメンテナンスのために2時間ほど不通になった。
拠点で障害が発生。(メンテナンスがあることを知らなかったので、大焦り。RTXが壊れたのか?!とか)
また、そのとき、こちらではv6プラスのとくとくBBで、UDP 4500(IPsec)の通信を数十分連続して行った後で、
運悪く、拠点へのIPSec接続が断たれた。
ふたつのことが同時に発生したので、問題の切り分けがすぐにできなかった。
ただただ焦るばかり。
IIJのメンテナンスは完了して拠点は復帰した。
しかし、とくとくBBのは、まだパケットが通らない。ずっと規制されたままなんだろうか。
とくとくBBは解約しよう。
ところで、NTTのネクストのIPv6網を折り返しで使うなら、
そういう規制の心配ってないんだろうかな。
894:anonymous
17/01/13 16:09:26.63 .net
ながながとすみませんでした。
悪いことは重なりますが、さらに、倉庫から引っ張りだしてきたRTX1100が不調のようでした。
アクセス不能の状態のとき本体電源スイッチを入れ直すとWEB画面にもアクセスできたり、
ネットにも繋るようになりました。まだ、急につながらなくなったIPsecはつながらない。
(また、当機が不調だということになると、udp 4500の規制の疑いも確実なことがいえなくなりました。)
これを機に、新しいルーターを買ってもらおうと思います。
895:*
17/01/13 19:19:21.09 .net
>>880
NTT公認のサービスじゃないから、いつ切れても文句言えない
東西接続は原則無理
ちなみに去年の2月?くらいからデータ通信は規制掛かってるような気がする
音声通信以外は使い物にならない
近所にIP電話増やすときに便利程度ですよ?
896:anonymous
17/01/13 22:36:25.89 .net
>>877
そんな大事なインフラならSLA付いてる回線使えとしか。バカなの?
897:anonymous
17/01/14 00:33:35.56 .net
>>874
へー、きちんと機能は実装してるんだね
それなら対応ファームなんてすぐにでも出せそうなのに出さないってことは、
やっぱり某社と癒着があるのかな
898:anonymous
17/01/14 00:45:29.59 .net
>>877
そういうところは2社引いてるしな。フレッツ光ネクストをサブにKDDIまたはSBM は教科書みたいに使ってるよね
899:anonymous
17/01/14 00:48:27.94 .net
一人情シスという言葉がある。まさに俺のことだ。
URLリンク(www.sbbit.jp)
従業員数20人以上~50人未満では3割の企業において「ITの管理/運用の担当者が1名」という状態となっている。
相談できる相手がなかなかいない。「1人」ではなく「ひとり」と表記しているところに、そうした孤軍奮闘の実態が込められている。
つづき読みたいが、お金払いたくない。
でも、タイトルからは、拠点をつなぐことが大切そうだとわかる。
拠点をつなぐと、メンテナンスが便利になるっていうことかな。
RTXを使っている人って、上の、従業員数20人以上~50人未満が多そうだけど、
一人情シスなのかな。ナカーマ したい。
900:anonymous
17/01/14 00:52:10.43 .net
>>886
そういうクラブってないかな。コンピューター部みたいな部活みたいな感じ。
仕事終わりに、お茶飲みながら、こんなことあったんだよとか、話するのだ。
こういうことできるよとか、大学のゼミみたいに、報告なんかできたらいいのになあ。
ネットワーク、サーバ、IP電話、などなど、いろいろ調べて考えて、大変。
そういう知的な活動って、カンファレンスなんかが必須でしょ。
1人はそろそろ辛いわ。
901:anonymous
17/01/14 00:53:24.64 .net
でもここは、文字だけだけど、そういうクラブ的なところなのかもしれない。
ありがとう。
902:anonymous
17/01/14 00:58:39.59 .net
一人情シス問題の記事
URLリンク(www.nec-nexs.com)
これも的を射ている。
オープン化によって、ITの敷居が下がったせいで、
やりやすくなった反面、専門の組織の構成が疎かになっている。
903:anonymous
17/01/14 00:59:56.65 .net
↑
そういう問題をなくすために、国が動いて、
国家試験で免許制度にして、専門職化すればいいのにと思う。
904:anonymous
17/01/14 09:35:08.82 .net
1人情シス兼お弁当受付なんて普通に多いと思うぞ。
一番辛いのは勝手気ままに構築した奴がやめた後・・・
素直に上司に相談して、経費かけても事務屋程度の業者に任せた方がTo LOVEる起きても責任回避できるから
おすすめ。
905:電話屋さん
17/01/14 13:13:18.11 .net
>>891
RTXをメインに扱うような電話屋だけど
ひとり情シスさんは大事なお客さんだね
NOSやCTCに頼めるわけがないから、我々みたいな零細に話がくる
「誰にも相談出来ない」「誰も苦労を分かってくれない」「誰も業務を正しく評価してくれない」
このあたりはみんな愚痴ってる
こっち側が困るのは予算確保で苦しんでる人が多いので
50万掛かるのに20万しか出せないとか、なんとかタダとか無茶言われる
906:anonymous
17/01/14 13:19:07.19 .net
この前○○円でやってくれたから次もお願いね>>892
907:anonymous@M014013130128.v4.enabler.ne.jp
17/01/14 20:54:11.34 .net
>>892
サポート問題の連鎖って大丈夫なんだろうか。
業者さんにお任せしてIP電話とか、サーバーの構築、社内ネットワークの構築なんかをしてもらって、
もしそこの業者さんが廃業したら、また困るんではないかな。
さらに別の業者に頼むとしても、それまでのシステムは使えないでしょう。
そもそもパスワードがわからずに、ルーターのコンフィぐにアクセスできなかったり、サーバーにログインできなかったり。
そういうときって、また最初から構築仕直しになるのかな。
908:anonymous
17/01/14 21:06:52.43 .net
予算ないからってRTXをやめてNVRで拠点間VPN組むことになって、
アレできないコレできないって後から言われても
909:なぁ・・・という事はしばしばある。 最初に説明したでしょ?って。 やりたい事の割に予算出せないってのが一番困るんだよね。
910:anonymous
17/01/14 22:04:56.75 .net
RTXとNVRでごねる連中とかいるのか
Ciscoとか比較してごねる連中なら分かるけど
911:anonymous
17/01/14 22:49:52.36 .net
RTX810じゃだめなの?
912:anonymous
17/01/15 00:46:37.70 .net
全社向けでトンネルやめてただルーティングします宣言したら予算出るかも
どうせ外部のSIerに見積もりとったらRTX以上かかるんだから遠慮するなしw
913:anonymous
17/01/15 06:41:56.41 .net
>>898
システムインテグレーターの見積もりって、いくらくらい?
914:sage
17/01/15 07:44:55.00 .net
ヤマハのRTX1500のコンフィグを確認しているんですが、
nat descriptor address outer 1 xxx.xxx.xxx.xxx
のコマンドは確認が出来たんですが、
nat descriptor address inner 1 xxx.xxx.xxx.xxx
がありませんでした。
NATの設定してないんでしょうか?
outerだけだとしたら、何のための設定であるのかを教えてください。
915:anonymous
17/01/15 08:05:04.70 .net
>>900
まずマニュアル読め
916:anonymous
17/01/15 09:26:39.54 .net
>>897
お客と直接取り引きができるなら、いろいろと説明したり機種によって
できる事できない事や、その他提案とかできると思うけど、間に事務機屋が
入ると「他社の見積もりよりも低価格で」という事に必死になる為、
1円でも安くする事が最優先事項になる。よって、一番やりたい事ができれば良い
という風になり、あとからアレやりたいコレやりたいと言われると困るってなる。
917:anonymous
17/01/15 09:44:57.00 .net
>>902
営業と一緒に話せれば、そこらへん解決できるけど
50万以下のしょぼい案件だと、なかなかそんなコストひねり出せないから
当日現地でヒアリングという無茶苦茶な事になるんだよな
918:anonymous
17/01/15 12:15:59.48 .net
>>900
デフォルト設定ってのがあるねん
919:電話屋さん
17/01/15 13:28:42.58 .net
>>894
契約で開示しないところ多いね
うちはパスワードも含めた成果物は提出するよ
保守契約してもらえないほど予算ない客多いからさw
図書の費用も削っていいから安くしろって時はたまにあるけど・・・
どうしようもないから、Configにパスワード追記して渡してる
920:anonymous
17/01/15 17:32:19.30 .net
>>902
安さばかりにこだわる仲介屋だな
多分、知識もゼロで、おうむ返しなんだろう(伝言ゲームみたいになりそう)
そりゃあ、細かい提案とかしてあげられなくなりそうだね
それでも仲介屋が入った方がやりやすいとかあるのかな
>>905
>パスワードも含めた成果物は提出する
あげちゃうということですね
それがプログラムとか流用可能なものでもそうするんですか
>図書の費用も削っていいから安くしろ
ん?どういうこと
>>900
>RTX1500
つかっているとハングアップするよ
>outerだけだとしたら、何のための設定であるのか
ナットから向こうの領域に送り出すパケットのソースアドレスを指定している
innerは自動になっているが、明示的に指定すると指定したパケットのみがナットをくぐることになる
921:anonymous
17/01/16 03:30:51.46 .net
NTTのひかり回線のIPv6網折り返し通信をつかって、
IPsecトンネルを構築して利用している。
HGWの下位にRTX1200を接続してプリフィックスの割り当てを受けて、
RTXのLANインターフェイスのIPv6アドレスが自動的に設定された。
NTTのDNSにネームも登録してこのアドレスを関連づけた。
プリフィックスが変更になっても追従してくれるはず。
しかし、このRTXを置き換えた時、LANインターフェイスのMACアドレスが変わるから、
HGWから受けるプリフィックスが変更されると思う。設定されるIPv6アドレスが変わってしまう。
その場合、HGW下位の問題なので、ネームは追従してくれないはず。
ということは、RTXの故障とか保守のさいにRTXを交換すると、
IPv6アドレスが変わってしまうため、対向ルーターがこちらがわを見失い、トンネルを構築できないことになるだろう。
再設定不要で予備機(同じコンフィグ書き込み済み)を配線するだけで完全復帰できるようにしたい。
なにか良いアイデアある?
922:anonymous
17/01/16 10:14:28.20 .net
そういえば>>907でようやく気づいたけど
HGWからDHCPv6で割り当てられるプレフィックスが必ず同じである保証って無いと言うことか。
923:anonymous
17/01/16 10:34:08.33 .net
何度も話題になってるよ
「OPEN IPv6 ダイナミック DNS for フレッツ・光ネクスト」サービスを公開
URLリンク(i.open.ad.jp)
ネーム使うよりもあてにはなる
924:analnymous
17/01/16 12:16:02.22 .net
>>909 かなり色んなデバイスから使ってるわ。
ちなみにRTX1000からの場合、更新手段にはsyslogを投げる方法しかなかった。
scheduleでpingできない、ntpにもv6指定できない…ので。
まぁ、v6メインv4サブになっていく時代にRTX1000はさすがにないよな…スループット出ないし(実測27Mbpsとか)。
925:anonymous
17/01/16 12:44:01.49 .net
>>909
ありがとう。ああ、私は西日本だけど、IPv6 GUAで接続してみる。
926:anonymous
17/01/16 19:15:20.41 .net
test
927:anonymous
17/01/16 19:22:45.13 .net
>>909
ありがとう。記事全部読めた。面白く、そして感動した。
開発者の熱意を多分に感じた。
ネームというサービスが非常に使いにくい点を指摘して、使いやすいものをNTTに提案し、
受け入れてもらうように努力した登氏に感謝したい。
なぜ、現在にNTT東日本にしかサービスが提供されていないのかよくわかった。
しかし、今後、このサービスを大勢が利用すれば、同様の代替サービスがないNTT西日本で、
同じものが導入される機運が到来するのではないかと思った。
便利にNGN網を使いたいね。
しばらくは、NTT西日本からは、当DDNSサービスにIPv6インターネットからアクセスするようにするよ。
928:anonymous
17/01/18 05:55:59.01 .net
NVRに固定IP SIM突っ込んだんでこれけらテストしようと思うんだが、
なんで今時標準SIMなんだろうね。使い回しが利かん。
929:anonymous
17/01/18 09:10:50.90 .net
SIMは小は大を兼ねるんだからなんでも使えていいだろ
逆にnanoなんかにされるとカットしなきゃいけないこともあるしめんどくさい
930:anonymous
17/01/18 10:40:11.10 .net
まぁ100円ぐらいのアダプタでどうにでもなるし
931:anonymous
17/01/18 16:20:16.28 .net
V6でVPN張るとして
OPEN IPv6 使っても
フィルターがドメイン使えないからルーターではノーガードにしないとダメなんか
ルーターだけにアクセスされるなら我慢できるけどぶら下がってるのまでアクセスされない方法ある?
932:anonymous
17/01/18 21:53:28.17 .net
ipsecに必要なパケットだけ通すフィルタはかけられるからノーガードってのは言いすぎ
933:anonymous
17/01/19 00:29:03.78 .net
OPEN IPv6 DNSの名前解決って、東日本の網内以外からアクセスするには、
インターネットにつながるIPv6アドレスをもっていなければいけないらしいけど、
IPv4アドレスではダメなんだろうか。
登録時はIPv6アドレスがソースでなければならないのはわかるけど、
名前解決のときにはIPv4ネットワークからのアクセスでどうにかならないだろうか。(DS-Liteも、v6プラスも使わない。)
934:anonymous
17/01/19 10:52:21.63 .net
>>919
普通に応答してくれ無かったっけ?
v4のDNSがAAAAフィルタ入ってるとか?
935:anonymous
17/01/19 14:31:34.85 .net
>>915
使ったことねーだろ。
縦に挿し込むタイプだからアダプタごと突っ込んだら
中でばらけ
936:て出てこなくなる可能性大。
937:anonymous
17/01/19 14:34:16.43 .net
>>921
アダプタ使ったことないだろ
938:anonymous
17/01/19 15:20:48.73 .net
いや、安物のアダプタだとそうなるかもしれん
939:anonymous
17/01/19 15:21:55.40 .net
安物使わなきゃいいだけで
940:anonymous
17/01/19 15:52:57.66 .net
>>920
え、できるの?それならとてもうれしい。
nslookupコマンドでIPv4経由でできるってことだよね。
941:anonymous
17/01/19 16:06:27.60 .net
アダプタ使えばいける?
高いとか安いとかあるの??
942:anonymous
17/01/19 16:27:19.33 .net
そりゃある
3種類入って50円以下送料無料みたいなやつは明らかに品質悪いよ
943:anonymous
17/01/19 16:49:28.46 .net
まちがっても、アダプタだけをSIMスロットに差し込まないように。
大変なことになるから。
944:anonymous
17/01/19 17:40:05.32 .net
>>928
抜けなくなるからね
945:anonymous
17/01/19 17:49:18.93 .net
いやいや抜こうとしてピンが逝っちまうのが一番の問題だろ
946:anonymous
17/01/19 22:59:18.37 .net
>>925
nslookup hoge.i.open.ad.jp 8.8.8.8
とか試してみるといいかもー
947:anonymous
17/01/20 02:31:13.55 .net
>>931
おお、すごいね。
登録したhogeは、一般的なIPv4で接続するDNSサーバからも解決できるということか。
専用DNS(東日本網内のDNSや、IPv6で接続するDNSとか)でしかできないと思っていた。
ちょっと登録してテストしてみる!
948:anonymous
17/01/20 02:34:03.43 .net
>>930
抜けなくなったアダプターのmicroSIMをはめる枠に、
スロットとアダプターの隙間から、薄いプラスチックのmicroSIM幅の片を差し込んで、
ピンを全部押し下げた状態で引き抜くと良い。以前に試して成功した。
949:な
17/01/21 10:46:45.97 .net
RTX1210のGUIのVLAN機能で
VLAN間の通信を禁止するボタンで感動してオシッコ漏れそうになった。
950:anonymous
17/01/22 07:24:11.08 .net
>>934
感動のポイントがわからない
951:わやなか
17/01/22 22:41:27.89 .net
>>935
フィルター作成もフィルター適用も全部自動で書いてくれる。
952:anonymous
17/01/23 06:58:44.01 .net
>>936
そういうの既存のフィルタが壊れないか心配
953:anonymous@50.72.239.49.rev.vmobile.jp
17/01/23 10:14:33.96 .net
>>932
URLリンク(i.open.ad.jp)
の注4
>>936
そもそもVLANが分離のためと考えたら
ルーティングから外すのが正しい気がする
954:な
17/01/23 11:24:38.38 .net
>>937
さすがに手打ちのコマンド入れた状態ではやらないw
うちはGUIでやってから手打ちコマンド入れて検証する。
955:anonymous
17/01/23 11:58:47.53 .net
>>938
とりあえずスマホ経由で確認したらIPv4経由でも取得はできてるね
956:anonymous
17/01/23 13:40:32.09 .net
>>938
>NTT 西日本のフレッツ回線から利用する場合は、別途、IPv6 対応の ISP 契約が必要です。
これって、登録時だけじゃないのかなと思うのだが。
ごめんまだテストができていない。
957:anonymous@50.72.239.49.rev.vmobile.jp
17/01/23 14:00:29.93 .net
AAAAが返るかどうかでなくて
v6経由でないと名前解決が出来ない
権威サーバがv6にしか立ってないという意味に解釈してた
どういうニュアンスなんだろ
958:anonymous
17/01/23 14:54:16.69 .net
登録時は適当なアドレスでも更新はv6アドレスの発信元で登録するからでしょう
東網内v6アドレスかグローバルv6アドレスでアクセスできるDDNSサーバーなのでは?
東と西はフレッツ網が独立しているので西単独v6だとアクセスできませんよって意味では
959:anonymous
17/01/23 23:23:38.90 .net
>>931さんのコマンドを試してほしいなあ。
nslookup hoge.i.open.ad.jp 8.8.8.8
hogeのところは自分が取得して登録した名前
960:anonymous
17/01/23 23:44:43.73 .net
改めて説明を読んだら西云々
権威サーバとしてはNGN向け(v6)と外向け(v4,v6)の全てに応える
登録できるAAAAはNGNでも外でも良い
961:anonymous
17/01/23 23:50:02.31 .net
だから取得できると言っているだろうが
i.open.ad.jp nameserver = odns1.open.ad.jp
i.open.ad.jp nameserver = odns2.open.ad.jp
直接下記のv4ネームサーバーにi.open.ad.jpで登録したホスト名でv6アドレス返してくれる
サーバー: odns1.open.ad.jp
Address: 103.41.60.30
登録だけなら適当なアドレス入れても返してくれるから自分で試してみ
962:anonymous
17/01/24 00:50:36.73 .net
むしろ一般のDNSで引けないと、複数DNSを使い分けないといけないことになって活用できんだろ。
ヤマハルータはいろいろ凝ったルール作れるけど。
963:anonymous
17/01/24 00:58:46.23 .net
odns1/2がv6だと見えないんだけど
964:anonymous
17/01/24 01:07:40.66 .net
>>948
具体的に言おうよ
965:anonymous
17/01/24 01:45:30.82 .net
>>946
>>945
ありがとう。安心した。私は西日本在住だけど、
今度、ネームやめるための計画中。
966:anonymous
17/01/24 13:40:59.38 .net
ちうごくでVPN禁止とかこれもうどうすれば・・・
967:anonymous
17/01/24 14:18:19.40 .net
SSLもダメなん?
968:anonymous
17/01/24 14:36:10.24 .net
出来なくなるというか違法化なのよね
969:anonymous
17/01/24 14:37:47.50 .net
これか
URLリンク(gigazine.net)
970:anony
17/01/24 14:39:41.06 .net
許可制らしいけど
大手企業とか許可なかなかおりなかったりしてね
971:anonymous
17/01/24 14:41:57.49 .net
どうせ金渡せばすぐにやってくれる
972:anonymous
17/01/24 14:52:08.71 .net
VPN禁止てのは暗号抜きのトンネリングの話
以前から暗号製品は許可制(≈バックドア登録性)
973:anomymous
17/01/24 14:53:07.65 .net
すげー国だな
いまだに成り立ってることに感心する
974:anonymous
17/01/24 20:46:33.04 .net
うちの会社は専用線引いてるから問題無いけど
いまだにVPNで中国拠点と繋いでる会社とかあんの?
ダイヤルアップのVPNは、SSLならブロックされないと思うけど
もしダメなら中国国内にVPNの口作んないとダメかもね。
975:anonymous
17/01/24 22:14:22.16 .net
安いVPNサービスを潰したいだけらしい
サービスを認可制にするだけでルーター間でVPN張ってるのは良いみたい
976:anonymous
17/01/24 23:03:20.77 .net
専用線でもキャリアなら覗けるし
国内でも更にIPsec通してる例は聞いたことがある
一応中国の規制は暗号目的の物ってことなんで
OS標準とかはセーフなはずだけど
ヤマハみたいにVPNルーターを名乗るならアウト
URLリンク(www.jetro.go.jp)
URLリンク(www.ipa.go.jp)
URLリンク(cistec.or.jp)
何より日本の輸出規制にかかるのもあるんで要確認
コロコロ基準変わるんで把握してないけど
今どきのマトモ(解読困難)な暗号製品はなんらかの手続が必要と思った方が間違いないし
まっとうな会社ならそもそも確認しろとしてるはず
URLリンク(www.meti.go.jp)
海外旅行や出張でパソコンを海外に持ち出したいのですが、何か手続きは必要ですか?
輸出規制の対象となるか否かは、製造メーカーの輸出管理セクションか販売店にお問い合わせください。
977:w
17/01/25 00:00:24.61 .net
俺は知ってると、いいつつ実はわかってないw
978:anonymous
17/01/25 00:34:44.38 .net
法的なことで下手なこと書きたくないし
何より法律も政令も最新確認するのめんどくさくて
仕事であってもしたくない代物なだけ
今年入ってからも暗号だかコンピュータだか括り知らんけど
ノーパソのチェックやり直してたし
979:anonymous
17/01/25 07:34:53.86 .net
中国の暗号規制で騒いでるのは日本人だけだよ。
昔、コンサル入れて許可取ろうとしたら
中国のローカル幹部(共産党員)にそんなの絶対必要ないと
反対されて何もせずに今に至る。
結局中国政府のさじ加減次第だから、許可取ってても
取ってなくても何も変わらんらしい。
むしろ役人とのコネのが何かあった時に役立つ。
980:anonymous@pdf8754a5.tokynt01.ap.so-net.ne.jp
17/01/25 08:41:26.09 .net
IoT機器から600Gbpsを超えるDDoS攻撃
URLリンク(itpro.nikkeibp.co.jp)
981:anonymous
17/01/25 08:50:20.51 .net
>>962
読点の場所
982:anonymous@KD119104151136.au-net.ne.jp
17/01/27 19:36:52.39 .net
中国仕様モデル
URLリンク(www.yamaha.com.cn)
URLリンク(www.yamaha.com)
983:anonymous
17/01/27 20:27:25.20 .net
中国で1200使ってるが、1210早く出して欲しい。
中国仕様はFWXと同じファイアウォール機能ついてるからフィルタの設定楽。
984:anonymous
17/01/27 20:30:37.88 .net
そういや中国ってco.cnじゃなくてcom.cnなんだね
985:anonymous
17/01/28 01:27:17.40 .net
中動く人多い
986:anonymous
17/01/29 10:21:39.43 .net
>>909
これpingだけでできるのがいいよね。
987:anonymous
17/01/29 12:49:54.23 .net
IIJの、IPv6をつかえるようにして、西NTTの網内折り返し通信を他拠点と行っている。
IIJがメンテナンスで不通になった場合、この折り返し通信もダメになるんだろうか。
以前は、西NTT専用IPv6アドレスをつかっていたのでそういう心配はなかった。
988:anonymous
17/01/29 14:07:25.06 .net
フレッツのグローバルなIPv6で東西間の通信したら、
どこで折り返しなんだろ?
普通のIPv4インターネット経由より速い?
989:anonymous
17/01/29 14:32:44.11 .net
できません
990:anonymous
17/01/29 14:33:18.89 .net
ってよく見てなかった
普通にプロバイダまで行って折り返しだよ
991:anonymous
17/01/29 15:52:35.85 .net
>>971
ntpdateの方が便利かも
992:anonymous
17/01/29 15:56:16.53 .net
VNEで折り返すだけでISPまで行かんだろ
993:anonymous
17/01/29 16:07:36.89 .net
IPoEならそうかもな
994:anonymous
17/01/29 16:52:35.63 .net
>>977-978
IIJのメンテナンスの日に、NTT網内のIPoE IPv6折り返し通信ができなくなりました。
メンテナンス終了後にはつかえるようになりました。
これが原因なら他の設定の影響を考えなくて済むんですが。
995:anonymous
17/01/29 17:10:00.09 .net
メンテナンス内容は?
996:anonymous
17/01/29 21:42:57.54 .net
4年も前の情報だが、VNE折り返しと書いてあるサイトあるな。
URLリンク(www.geekpage.jp)
NTT東西を跨がる通信に関しては、VNEを経由した折り返し通信となります。
いっそのこと東西でNGN繋いでくんないかなぁ?
997:anonymous
17/01/29 21:49:06.19 .net
線は繋がってるけど一体化って意味?
998:anonymous
17/01/29 22:23:04.43 .net
>>980
言われてみて、どうだったろうと思い、過去のメールを調べたら次のようになっていた。
13日(金)00:00 - 07:00 迄の間
停止サービス:mio FiberAccess/NF(IPv4 PPPoE接続)
- フレッツ 光ネクスト ファミリー・マンションタイプ
- フレッツ 光ネクスト ハイスピードタイプ
- フレッツ 光ネクスト スーパーハイスピードタイプ 隼
- フレッツ 光ライト
事由:システムメンテナンスのため
備考:- 上記時間中に該当エリア・該当サービスで接続中の一部のお客様は切断
されます。なお、該当サービス以外に関しましては上記時間中もご利用
いただけます
これはIPoEは関係なかったといえるのかな。
999:anonymous
17/01/30 00:49:15.62 .net
関係ないと言えるね
気になるならサポに聞いてみては?
1000:anonymous
17/01/30 01:43:14.96 .net
おもいっきり IPv4 PPPoE って書いてあるやん。
DNSにアクセスできなくなってIPoEも止まったと勘違いしたとかじゃね?
1001:anonymous
17/01/30 23:49:56.68 .net
WLX302をWLX202にしてみたらまさかのCLI無しだった。
ヤマハのネットワーク機器でCLI無しなんてあったのか。
1002:電話
17/01/30 23:52:54.13 .net
だから、どうした
1003:anonymous
17/01/31 00:34:45.91 .net
次スレ建てといた
YAMAHA業務向けルーター運用構築スレッドPart19
スレリンク(network板)
1004:anonymous
17/01/31 08:01:02.52 .net
>>986
それだけGUIが進化してるってことだよ
CUIで玄人ぶる時代も終わったってことだ
1005:anonymous
17/01/31 08:03:28.38 .net
デメリットがなければなんでもいい
CUIがいいって言われてるのはそれはそれなりにメリットがあったからで
手間が変わらないならどっちでも
1006:anonymous
17/01/31 09:07:34.38 .net
GUIでも設定をファイルで流し込むのできるしな
リセットして流し込めばrestore完了するし
1007:anonymous
17/02/01 21:27:54.80 .net
>>988
おつ
1008:*
17/02/01 22:36:43.99 .net
>>990
CUIがかっこいいと思ってるのは素人だけで
簡単で間違いがなくて速ければ何でもいいよね
1009:anonymous
17/02/02 00:09:20.85 .net
GUIだと、同じ処理を再度・・・ってのが難しい
テスト機でやっておいて、本番機とか
何台も同じ定義を入れていくとか
1010:anonymous
17/02/02 00:11:26.68 .net
GUIには予め想定されたGUIでできることしかできないが、
CUIならルーターでできることがなんでもできる。
1011:anonymous
17/02/02 07:06:37.04 .net
設定情報はテキスト形式ですぐ修正できてすぐ流し込めればGUIでも構わない
初期IPアドレスは固定しておいてもらうとキッティングのときすごく捗る
1012:anonymous
17/02/02 09:59:57.16 5PsIv6t6.net
>>995
GUIでできてCUIにできないことあるじゃん
1013:anonymous@M014009113224.v4.enabler.ne.jp
17/02/02 22:02:21.10 jj+UuNU9.net
梅
1014:anonymous
17/02/02 22:03:19.34 jj+UuNU9.net
埋め
1015:anonymous
17/02/02 22:03:59.49 jj+UuNU9.net
999
1016:anonymous
17/02/02 22:04:51.30 jj+UuNU9.net
1000なら、RTX1210が安く手にはいる
1017:過去ログ ★
[過去ログ]
■ このスレッドは過去ログ倉庫に格納されています