YAMAHA業務向けルータ運用構築スレッドPart4at NETWORK

---

154:IKE V0.9
06/08/24 17:18:22
イニシエータがブランチ側から、という風にあげれば複数使えるはずだけど。

155:あのにー
06/08/24 20:15:14
>>153
可能。
ただし >>154 さんも言ってる通り拠点側から接続する形になる。

ちゅーか、会社からですか。
まぁ、ここなら見つかっても文句言われないか。良スレだし。
ウチの会社なんてタイル背景が表示されてるだけで文句言うし。
ログってないから専ブラ使ってる w

156:anonymous@
06/08/29 20:21:28
はじめての YAMAHA のルータが届き、
今日ははじめての VPN(IPSec) LAN間接続に挑戦しました。

苦闘 6時間、やっと繋がった。長かった･･･思わず感動して泣いたよ。



繋がらない、繋がらない、と唸りながら、sa やら NATディスクリプタやらフィルタリングやら
隅々まで穴が空くほど精査しても全然判らなくて。メーリングリストにも入ったけど、
なんか素人が質問するのも気が引けたので、マニュアルやら rtpro.yamaha.co.jp を
探し回って。それでも原因が判らなくて。

結局、ふと思って書き加えた「 tunnel enable 1 」で、あっさり繋がった。 ＿|￣|○


けど、そこに行き着くまでが、むちゃくちゃ勉強になったよ。
ありがとうYAMAHA。

157:anonymous@ eatkyo138146.adsl.ppp.infoweb.ne.jp
06/08/29 21:12:28
>>150-152
syslog debug on にして細かくログを取ってから、show log してみたら ?

158:だいなみっく
06/08/29 21:29:43
くだらない質問で申し訳ありませんが、
RT107eって両方の拠点とも動的グローバルIPの環境でVPN可能でしょうか？

ごくごく小規模な会社や、なかよしグループでのVPN構築に固定IPはちょっと厳しい｡
ま、そういった環境にはRT58i+ネットボランチDNSって事でしょうか。

また、スレ違いで申し訳ありませんが、YAMAHAにこだわらなければ、
IO-DATAのETX-VRT（URLﾘﾝｸ(www.iodata.jp)）
のように、両方ダイナミックなIPでIPsec-VPNできる製品って他にもありますでしょうか？

159:anonymous@ softbank220025218125.bbtec.net
06/08/29 22:55:53
>>158
RT107eはネットボランチDNS対応
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

160:だいなみっく
06/08/30 00:38:59
もしかして、レスポンダ側は固定IP必須、というのは既に過去の話？


161:anonymous@
06/08/30 08:50:01
ルータ触った瞬間に「ピリッ」って静電気が走ることが多いんだけど
みな接地線ってマメに取ってるのかな？


業務用ルータって謳ってるんだったら
最初っから三極コンセント（＋二極コネクタ）にしてくれりゃ良いのに･･･

162:___
06/08/30 18:40:25
>>160
ぜえったいに必須かどうかということなら、確かに過去の話。
でも、DNS がコケるとつながらなくなるリスクもあるから、固定 IP の方が
確実といえば確実。

163:だいなみっく
06/08/30 19:06:59
となると、IPsecというかIKEの仕様（?）からはずれた独自の実装で対応している製品が
たくさんあるってことでしょうか？
RT107eやRTXシリーズとかでも、相互に相手先をホスト名で指定してVPN構築できちゃうんですか？
(とりあえず信頼性という点は置いておいて)

164:anonymous@ softbank220025218125.bbtec.net
06/09/01 00:01:12
>>163
ホスト名で可。
コマンドリファレンスの ipsec ike remote address のところを見てみ

165:IKEv2.11
06/09/01 00:28:06
最近はFQDN→アドレスを毎回やってアドレス直ではない接続を可能にしてる奴はおおいよ。
つうかLinuxベースだとFreeS/WAN系で対応できるから出来るのも多いけど。
IPSecのコンセプトには反してるけどね確かに。ホスト名解決が挟まっちゃってるから。
それならXAuthも同時に実装してくれよと思うし。

166:まるまる
06/09/02 10:28:35 Yzbtc0eD
RTX1100でIPSECを使ったVPN回線を構築しています。
構成は
(センター)インターネット回線
｜
ADSLモデムルーター(VPNパススルー)
｜
RTX1100
｜
PC
といった構成になっています。
PING試験やOracle,PcAnywereは問題なくVPNを通過して利用できるのですが
Windowsの共有フォルダから1MBほどのファイルをコピーしようとすると
VPNを通過できないのか、「指定されたネットワーク名は利用できません」
というメッセージがPCで表示されます。
（共有フォルダは参照して、画面に一覧表示はできます）
ADSLモデムのランプを見るとDATAのやり取りがほとんど行なわれていません。

ちなみに、数キロバイトのファイルはコピーしてくることができます。

考えられそうな原因なにかないでしょうか？

167:anonymous@ 192.117.147.124.dy.bbexcite.jp
06/09/02 10:59:32
>>166
マルチうぜー

168:RTX774
06/09/02 23:55:01
>>166
マルチか知らんがこれだけは言っておく


　　　　　　　　　　C　O　N　F　I　G　出　せ　よ　、と

あと、一部でもマスクしてると判断つかないからadministratorで出したconfigを出すように。

169:anonymous@ 59-190-21-150.eonet.ne.jp
06/09/04 08:33:35 zdPA7V9P
>>168
あーあー。やだねー。こういうの。
「一部でもマスクしてると判断つかないから」
パスワードもみなきゃ分らないとでもいいたいのでしょうか。

170:anonymous
06/09/04 09:31:27
一般ユーザでも pp auth のパスワードや、ike-preshared-key text が
簡単に見えてしまうというのは如何なものかと。

というか「管理レベル」なんて要らなくね？

171:anonymous@ h140.p052.iij4u.or.jp
06/09/04 18:42:11
G-LEXなんだけどRTV700でregistだけしてで安心してたら、
実際通話してみたらRTVからの音声が通らない。
SIPPhoneが使えているのでFWもNATも問題ないと思うんだけど。



172:RTX1100
06/09/06 19:11:03
RTX1100 を２台使って IPsec で VPN を構築し、PING も通るし
\\192.168.xxx.xxx で共有フォルダにもアクセスできるんだけど、
コンピューター名でのアクセスができません。
単純に考えてフィルターの設定？。それとも WINSサーバーが必要？

オムロンのルーターで VPN 構築したときは何もしなくてもコンピュー
ター名で見えたのでフィルターの設定なのかなぁと思ってるんだけど。

173:とりあえず基本から
06/09/06 20:51:06
NETBEUIはインストールされてますか？

URLﾘﾝｸ(homepage2.nifty.com)
URLﾘﾝｸ(homepage2.nifty.com)

的はずれならすみません。
実は初心者です。

174:_
06/09/06 22:22:10
>>172
broadcast通らなくなってるんでは？

>>173
IPじゃNetBEUIは使えないべ。



175:SWaP by sun
06/09/06 23:51:19
>>172
NBTブロードキャストでコンピュータ名を取得するから、
NBTブロードキャストを通すようにしてやるか、WINSサーバが普通だと思うけど。

176:anonymous@ q001170.ppp.asahi-net.or.jp
06/09/07 13:28:58 bm5Aybot
>>172

異なるサブネットでブラウジングしたいばあいは，Windows Server 2003
を購入して，ドメインを構築するか，Sambaを使うかどちらかですね。

Sambaを使えばドメイン構成にしなくても大丈夫。詳しくは高橋基信さん
の本を参照してください。

なお，結論を言えば，労多くして功少なしです。やめておいた方がいい。


177:anonymous@ p8252-ipad309sapodori.hokkaido.ocn.ne.jp
06/09/07 13:46:36
アドレス固定ならLMHOSTSに書けばいい
動的ならWINSだな
XPとかで名前引くだけならDNSでもいけるかもよ

178:anonymous@
06/09/08 09:50:35 hR89+w0y
RTX1100 同士のパフォーマンスで相談です。

素FTP転送量　実測 733 kBytes/sec (6.1Mbps) の区間で
IPSec VPN のFTPだと 390 kBytes/sec (3.2Mbps) になりました。

IPSec の性能としてはこんなものですか？もう少し早くなりそう？

179:(´･ω･`)
06/09/12 16:56:07 4UPpFX+t
質問(´･ω･)ｽ　RTX1100で
lan1 lan2がLAN側、lan3がNAPT（B-フレッツのPPPoE 1IP）を
利用したインターネットを利用する形でコンフィグしました。

ip route default gateway pp 1
ip filter directed-broadcast on
ip lan1 address 192.168.10.254/24
ip lan2 address 192.168.20.254/24
pp select 1
pppoe use lan3
pp auth accept pap chap
pp auth myname ******* ******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
nat descriptor type 1 masquerade
dns server 202.234.232.6 221.113.139.250
dns private address spoof on
snmp host 192.168.10.217
snmp trap host 192.168.10.217

こんな感じなんですが、192.168.20.0/24　192.168.10.0/24
それぞれのサブネット→インターネット　は通信できるんですが、
192.168.10.1 →　192.168.20.1 のように、LAN間の通信が
Pingすら通りません・・・。（RTX1100自身からは双方にPingが通ります）

上記コンフィグのどこかに足りない部分があるのでしょうか。
助けてください。

180:それ（ｒｙ
06/09/12 17:45:31
えーっと、公式サイトの設定例は眺めた？ルーティングとNATディスクリプタの説明は？

で、lan1とlan2で通信する設定は？

181:anonymous@ gw.eniken.co.jp
06/09/12 18:10:06 XYKKaZZB
RTX1000とRT57を使っているのですが、PPPoEパススルー機能はないのでしょうか？
コマンドリファレンスには載っていませんでした。


182:(´･ω･`)
06/09/12 18:26:10 VMHqMT12
>>180
ごめんなさいごめんなさいごめんなさい

片方のネットワークのデフォルトゲートウェイが
片方のネットワークのルートを知りませんでした

ぶたないでください(´･ω･)

183:名無し
06/09/12 22:18:45
>>181
・・・・・・。

>>182
どんまい。

184:anonymous
06/09/12 22:36:48
RT58ってもう試した人いる？

185:anonymous
06/09/13 09:55:11
ｽﾚﾘﾝｸ(hard板:227-番)
こっちで買ったって人は現れた

186:anonymous@ s28.IohsakaFL10.vectant.ne.jp
06/09/14 20:32:42
RTX1100 と RT107e でＶＰＮ張ったんですが、遅いんです

私はいつもここで測定してるんですが、
URLﾘﾝｸ(www.bspeedtest.jp)
RTX1100側 下り60M 上り 30M
RT107e側　 下り38M 上り 20M

ＶＰＮ張って、ファイルコピーしてみると、1ファイルだけのコピーで５Ｍ程度
２ファイル同時でで１１Ｍ、３ファイル同時で１６Ｍ
同時転送が増えるごとに転送速度はあがってるんですが、1ファイルコピーでＭＡＸにならないのは？

こんなもんですか？



187:anonymous@ s38.IohsakaFL10.vectant.ne.jp
06/09/14 22:45:25
186です
追記です
ターゲットはRTX1100です

VPNソフトでも確認してみましたが、やっぱり遅いです
RT107eと同等の速度しかでません

1ファイルのコピーなら１５Ｍ前後は出て欲しいところです

188:　
06/09/15 21:20:06
う？うーん…
URLﾘﾝｸ(imihu.blog30.fc2.com)

189:anonymous@ softbank218114238015.bbtec.net
06/09/18 16:31:57 Vh4bizgn
RTX1100ですが、
pppoe ではなく、
Yhahoo への接続設定はどんなコマンドになるのでしょうか？


190:anonymous@ FLH1Aji043.tky.mesh.ad.jp
06/09/18 18:31:04
･････････・・・・・・・・・・・・・・。

191:ななしさん
06/09/19 10:23:44
>>189
繋げば即ネットだから、接続設定なんてイランだろう…
それとも、NATやルーティング設定の事を聞いているのか?

192:2ch
06/09/19 13:44:12
>>186
クライアントのMTU

193:名無し
06/09/19 15:09:47
>>191
RTX1100にYahooADSLモデムを接続するので、
ルーティング設定ということになると思うのですが。

LAN1 ：ローカルLAN
LAN2またはLAN3 にYahooADSLモデムを接続


194:＿
06/09/19 15:44:43
その様子だと説明してもわからんと思うが・・・

195:え
06/09/19 15:51:10
YahooBB設定例って、netvolante.jpかwww.rtpro.yamaha.co.jpになかった？

196:名無し
06/09/19 18:25:35
>>195
ありがとうございます。
ありました。
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

197:brc14v
06/09/21 10:05:58
下記を参考にしてみたのですが、
RTX と プラネックス BRC-14V をIPsec で接続できません。

URLﾘﾝｸ(brc14v.ath.cx)

暗号化をフェーズ１、２とも、
3des-cbc にしてみてもダメなのですが、何が悪いのかな？


198:anonymous@ softbank218182244070.bbtec.net
06/09/23 12:01:37
>>197
あなたの頭


199:anonymous
06/10/02 17:09:03 z7pbxUYk
netscreen5gt とRTX1100 との間で VPN(IPSEC) を構築したいのですが、
約1分ごとに IPSEC が切断されてしまいます。(すぐに再認証が行われます)
IKE のライフタイムなどはデフォルトのままなのですが、
何か対策はないでしょうか？

200:sage
06/10/02 20:01:04
> 199
RTX1100のキープアライブをicmp-echoにしてみては？
ipsec ike keepalive use N on icmp-echo IPADDRESS

201:sage
06/10/03 20:41:31
users MLで恐ろしい誤爆…

202:禿藁
06/10/03 21:08:30
こりゃあ始末書の始末書を書かないといけないな

203:_
06/10/04 01:04:51
>>202
誤爆されたメールをよく読むと、
既に、始末書案の訂正依頼と書かれているwww

204:ﾜﾛﾀ
06/10/04 06:24:24
悲惨だ。

始末書を求めた側が、今回の件で始末書を求められ立場逆転かな。

205:よろしく
06/10/04 12:32:33
うｐ

206:_
06/10/12 01:57:23
リブートしまくりのレポートが多いけど、どうなってるんだろ？

207:anonymous@ 26.76.147.124.dy.bbexcite.jp
06/10/12 20:33:21
固まらないだけ安物と比べたら
まだマシかと思う。

208:anonymous@ p7229-adsan02yokonib1-acca.kanagawa.ocn.ne.jp
06/10/15 00:18:17
自宅にRT58i買おうかと思ってるんだけど、まだ地雷かな？

209:_
06/10/15 01:48:44
安いから１台くらい買えば？
不具合はYAMAHAに報告しまくりして完成度を高めてみては？
YAMAHAは凄く対応が良いから、糞丁寧に教えてくれるよ

210:anonymous@ h081.p050.iij4u.or.jp
06/10/16 14:17:31
おまいらvista、vistaって金持ちだな。
タバコ値上げで禁煙したおいらは、この際、ぃぬにいくよ。
MSには、Win95,98,XP、office95、2000とお布施してきたんでもういいでしょ。
窓は仮想マシンでXPと98動かせばOK。

211:_
06/10/16 19:43:29
どこの誤爆だ・・・

212:208
06/10/17 01:35:22
うへぇ、ここはデフォルト節穴なの忘れてた

>>209
背中押してくれてありがとうｗ
仕事でRTX1000,1500あたりいじってたことあるんで(ヘボ管理者だけど)、
自宅もRT系にしようと前々から考えていたんだよね
もう1,2週間MLの様子みてから購入するワ

213:（・ω・　）
06/10/17 10:42:37
>>210
つか、エロゲネトゲとか考えないならFreeBSDが一番安価だよね。

スゲー久しぶりにつついたら、packageの充実振りに驚いたよ。

214:anonymous@ softbank218182244070.bbtec.net
06/10/18 22:43:32
RTX と プラネックス BRC-14V をIPsec 接続できました。

215:anonymous
06/10/19 00:04:56
>>213
うちはルータもFreeBSDにやらせてる

216:anonymous@ 218.224.233.121
06/10/25 10:27:33
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.1.1/24
ip lan2 address ***.***.***.121/29
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ***.***.***.121
nat descriptor static 1000 1 ***.***.***.122=192.168.1.107 1
nat descriptor static 1000 2 ***.***.***.123=192.168.1.3 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.2-192.168.1.191/24
dns server ***.***.***.122 ***.***.***.***
dns server select 500001 ***.***.***.122 ***.***.***.*** any . restrict pp 1
dns private address spoof on
httpd host any


教えてください。
RT107e上記設定を行っているのですが、
NATの記述をしたサーバに接続ができません。
lan2はPPPOEで使用してて、ppにnatを設定しています。
なにか記述がぬけてますでしょうか？
テスト段階のためフィルタは何もかけていません。

217:(´･ω･)
06/10/25 11:40:27

PPPoEってことはWAN側はunnumberedじゃないとだめではない(´･ω･)ｽか？


218:216
06/10/25 15:08:19
>217
いけました。
ありがとでした

219:Si
06/10/29 04:20:15
こんばんは。
当方、RTX1100を自宅で利用している者です。

今日、弟がXBOX360を購入して参りました。
早速ネットに繋げようとしたら、
接続途中でエラーが発生してしまい接続できないのです。
症状といたしましては、XBOXが自身のインターフェイスのMTU値を決定するために
ルータへアクセスする段階があるのですが、その際に失敗するようです。
RTXのMTU値は1454に設定してあります。
また、「EditMTU」なる分割されないMTU値を自動で求めるソフトをPC上で利用した場合には、
MTU値が1426の時にリクエストタイムアウトを起こしてしまい、XBOXど同様の現象が起きてしまいます。
当方のRTXは、LAN側からMTU値が読み取れない状態になっているのでしょうか？

もし原因が分かる方がいらっしゃいましたら、何卒ご教授のほどをよろしくお願いいたします。

ちなみに、XBOX側の回答はこのようになっておりました。
URLﾘﾝｸ(support.microsoft.com)

220:219
06/10/29 04:48:32
すみません。
先ほどの質問で一つアホな間違いを書いているので訂正させてください。
＞MTU値が1426の時に
正確にはDataSizeが1426であり、MTU値は1454です。

その後いくつか検証してみて分かったことがあるので付け足します。
EditMTUを使用したときにタイムアウトエラーを起こす理由は、
ルータの不正アクセス検知機能が原因でした。
"ICMP too large:1025バイト以上のICMPを受信したとき"に引っかかるようで、
不正アクセス履歴にしっかりと跡が残っておりました。
検知機能をOFFにすればEditMTUは正常に動作し、MTU値も正確に求められました。
しかし、XBOXはOFFにした状態でも接続不可能でした。
原因は別だった模様です。

221:　
06/10/29 07:01:48
>>219
私はXBOXは持ってないので原因はわかりませんが…
ひとまず lan port-mirroring コマンドでミラーポートを作って
Etherealでパケットキャプチャしてみたら？

何が流れてるかわかるので、そこから原因を探れると思うよ。

222:_
06/10/29 10:56:04
>>219
Windows再起動後、RWinのサイズは？
URLﾘﾝｸ(www.speedguide.net)

223:anonymous@
06/10/29 13:20:46
>>219
フィルタ関連をとりあえずはずした状態はどうでしょう？

224:ななしさん
06/10/29 14:19:21
ポートが開いてないか、UPnPころしてるとかかな?
2つくらいポート開ければ、テストは通るようになると思う。
開けるポート番号は、XBOX系のまとめサイトに載ってたかな。

225:anonymous@ K139098.ppp.dion.ne.jp
06/10/30 02:28:54
>>221-224
レス、大変感謝しております。
RWIN値は260176に設定しております。

とりあえず、フィルタ関係の見直しと、
UPnP及びXBOX系まとめサイトへを見てみます。
その辺で解決しなかった場合は、ポートのミラーリングを試してみます。

この度はありがとうございました。

226:anonymous@ 222-151-095-091.jp.fiberbit.net
06/10/30 23:52:16
東日本のフレッツグループ上で、
アライドテレシスのAR410で２点間をL2TPでつないでる場所に、
追加でYAMAHAのRTX１１００を使った拠点をつながないと
いけません。
L2TPの設定は生かしたまま設定をしたいのですが、
RTX上でL2TPトンネルを構築することは不可能なのでしょうか？
あるいは、L2TPを生かしたまま、追加できるお勧めのセッションは
ありますか？

227:anonymous
06/11/01 14:24:55
RTX2000がCPU100%でリブートして困ってるんですが、もう放置プレイでしょうか？

RTX2000/1000でネットワーク組んでしまってるのでまだRTX3000買えないorz

228:anonymous
06/11/01 14:42:48
１００％だけならともかくリブートするのは、高負荷だけが原因じゃないと思うけど
サポートに聞いてみたら？

229:(´･ω･)
06/11/01 15:40:00
DoSでも食らってたりして(´･ω･)

230:anonymous
06/11/01 16:00:18
お菓子くれなきゃ
DoS攻撃するゾ☆

＃1日遅かったデス

231:anonymous
06/11/09 23:43:38
フレッツ光プレミアムだとVPNは不可能なのですか？

232:anonymous
06/11/10 00:37:02
>>231
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

# 最近はCTUのバージョンアップ(？)で
# CTU側でPPPoEブリッジができるようになったらしいですね。

233:anonymous
06/11/10 14:43:08
>>232
親切な方、ありがとう！

234:anonymous@ crux.aitai.ne.jp
06/11/11 09:01:09
RTXシリーズのVPNスループットってwebだと双方向の値で表記されてるけど
片方向なら半分ってことでOKですか？

235:anonymous
06/11/13 00:11:23
>>231
VPNはOKですが、PPPoEを利用する場合は、
無料でついてくるNTTのセキュリティ対策ツール（ウィルスバスター）は一部、使用できなくなるなど、
NTT固有のサービスなどは制限がいろいろあるので、ご注意を。
URLﾘﾝｸ(www.ntt-west.co.jp)

236:anonymous@ KD125054110039.ppp-bb.dion.ne.jp
06/11/13 22:24:26
RT107eなのですが、LAN2インターフェイスのmacアドレスを任意に
設定する事は可能でしょうか？


237:(´･ω･)
06/11/14 09:41:29
>>236
コマンドにそれっぽいのは見当たらないので無理じゃない(´･ω･)ｽか？

ハード分解してFlashだかなんだかを直に書き換えられるならともかく。

238:anonymous@ 357667002511926
06/11/21 15:05:02
RTX1100を使って、
PDA→Bluetooth携帯→電話回線→RTX1100→ｻｰﾊﾞ(PC)
という風に構築して、FTPでｻｰﾊﾞにﾃﾞｰﾀを送れって言われたんだけど、この場合、どんな設定をすればいいのかな？
受け側の設定方法が全く見つからなかったもので…。
お願いします…。

239:(´･ω･)
06/11/21 15:28:52
>>238
やったことないからアレで(´･ω･)ｽが

isdn local address bri1 でﾃﾒｪの回線設定して
ppに発呼側の電話番号入れ込むか、anonymousにしてpp authを
設定するんじゃダメなんで(´･ω･)ｽか？

240:え
06/11/21 15:59:48
携帯電話はISDN回線じゃないからダメじゃないですか？

241:anonymous@ FLH1Aax003.szo.mesh.ad.jp
06/11/21 22:06:37
PHSなら可能

242:anonymous@ p2141-adsao03yokoni-acca.kanagawa.ocn.ne.jp
06/11/22 00:02:42
>>241
PHSじゃなくて、ドコモのFOMAのBluetooth機能がついてる奴なんですが・・・。
とりあえず、セキュリティとかは度外視で、繋がればいいみたいなんです。
教えてクンですいませんが、どうかよろしくお願いします。


243:anonymous@ 124x33x196x189.ap124.ftth.ucom.ne.jp
06/11/22 01:02:03
FOMAの64K回線交換モードなら、普通にISDNの64Kに接続できる。
RTX1100側にISDN回線を用意すればいいだろう。

どうすれば64K回線交換になるかは、FOMA端末のマニュアル読むべし。

244:anonymous@ 220-213-105-214.pool.fctv.ne.jp
06/11/22 23:43:23
>>208
動的IPフィルタにバグ有り　勝手にリブートして通信切れる
修正版ファームウェア準備中らしい

245:rtx-newbie
06/11/23 23:01:36
RTX-1500 同士で IPv6 over IPv4 tunnel な VPN を張りたいです。
で IPv6-over-IPv4 だと
tunnel encapsulation ipip
を使うっぽいのですが、ipip 関連の設定例は↓位しか見当たりません。
URLﾘﾝｸ(netvolante.jp)

で、その設定例には tunnel の構成は書かれているけど
認証・秘密鍵みたいなのは全然 config に登場しないですよね?
もしかして ipip って ipv6 を ipv4 の payload に載せるだけで
暗号化するには
IPv6-over-IPv4(ipip) over IPsec
みたいな多重構成にしないと駄目なのでしょうか?

IPv6 自体初心者なんでなにがなにやら...

よろしくお願いします

246:きっと
06/11/23 23:21:58 0FfouD6A
これですかね

>IPv6 over IPv4トンネルでIPv6パケットをIPv4パケットで包んでから IPv4のIPsecで暗号化するケースです。

URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

247:anonymous
06/11/24 00:07:47
>>245
まずは draft-ietf-v6ops-ipsec-tunnels-04.txt を読むべき

248:rtx-newbie
06/11/24 10:25:33
>246
おー、激しくそれを読まなきゃいけないっぽいです。

netvolante.jpと www.rtpro.yamaha.co.jp ってどういう関係なんだろ...
yamaha.co.jp からは素直には辿れないですよね...(google は教えてくれるけど)

>247
ある意味正論かも知れないけど
とりあえず設定したい人にはハードル高すぎっす…

249:anonymous
06/11/27 12:11:52
ヤマハのあるおたく技術者が中心となってRT100iを作って世に出した。
＃ここでいうおたく、はいい意味で。
で、そのおたく技術者が作ったサイトがwww.rtpro.yamaha.co.jp。
これは商売になる、ってんでちゃんとした？組織として商標も取ったのがnetvolante系。
rtpro系とはある意味独立している。

250:anonymous
06/11/27 23:09:48
？そうなの？
当時ヤマハでＩＳＤＮチップつくってたから
RT100i出したんじゃないの？
当時としては格安の業務用ルーターだったから結構売れたっしょ
で、当時からサポートやファームなどはrtproで公開してたし、
メーリングリストからのフィードバックもまめにrtproで更新してたし
ネットワーク管理者向けのサイトという位置づけだよね

その後家庭用ＳＯＨＯ用ルーターが売れだしてきて
ヤマハもその波に乗って出してきたブランドがnetvolanteでしょ？

ページ的には昔のまま技術系のページのままでいるのがwww.rtpro.yamaha.oc.jpで
プロのＷｅｂデザイナーとか使って商品紹介など売るためのページ的な感じで
netvolante.jpがあるんじゃないの？

251:define
06/11/28 00:49:12
YAMAHAルーターの中にはこびとさんがいるんだよ＾＾

252:ななしぃ
06/11/28 04:16:20
>これは商売になる、ってんでちゃんとした？組織として商標も取ったのがnetvolante系。
>rtpro系とはある意味独立している。

間が完全に飛んでるぞ
第一興商とか

253:sagee
06/11/28 12:28:56 PSovkDpA
以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。
環境は、本社・拠点ともにBフレッツの固定IPあり(OCN)だったのですが、
エクセル開くのに数分は余裕でかかっていたそうです。

この度にわか管理者となり、VPNを組もうとしているのですが、
あまりに不安定だったり遅いようだと考えてしまいます。
VPN組んでらっしゃる方々、現状いかがお過ごしでしょうか(・ω・｀)
環境は、本社RTX-1100(Bフレファミリー、Asahi固定IPあり)と
１拠点(USEN光マンションタイプ、固定IPなし)という状況です。

ちなみに、フレッツグループ東西の壁に阻まれての策です。
最後の手段はPacketiX(旧Softether)ですが、ちょっとPC分かってるヤツに
電話で人間リモート設定させたら、いくらでも経路が開けてしまうので
使いたくはないのですが･････
もちろん今はポートも閉じてPacketiX不能にしています。

結局のところ・・・・・・・・・
藻前ら頼む背中を押してくれ！
おいちゃん、一人で踏み出すのヤだよ！って事です。

「帰れ！」でも良いので一言お願いします。

254:anonymous
06/11/28 12:38:05
IP固定してIPSecにしてるうちの本支社間はエクセル数秒で開くよ。
もちろんIPSecだから57iじゃできないけど。

詳しいことはエロイ人に任せるしかできないにわか管理者なのでsage

255:('A`)
06/11/28 13:23:04
>>253
理論上、PacketiXでの通信速度とVPNでの通信速度の差は
同じ回線使う限り暗号化による遅延だけでしょ？

Bフレッツそのもののスループットが出てるなら、あとは
トンネル数の問題じゃね？

ぶっちゃけ、ｽｷﾙうｐ！！！を目指すなら漢らしくOpenVPNでどうよ。

256:anonymous
06/11/28 13:39:08
安定運用するならＲＴＸ対抗でIPSecだろ
PacketiXってＰＣに入れるんだろ？
ＰＣよりはＲＴＸの方が故障率低いだろ

257:猫のウンコ
06/11/28 14:48:56
>以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。

まったく環境が違うけど、RT57iとXPでPPTP接続って環境は恐ろしく遅かった。安定はしていたけど。
ヤマハにも問い合わせても「問題無し」と言われ、ハード板の人には「パケットサイズ調整しる」と言われたけど、面倒だからそのまま使ってる。

RT57iとRTW65bとのPPTPもイマイチだった。普段は安定してるけど。一端ご機嫌を損ねるとピポピポ鳴りまくり。
両方リセットしないと復旧しない

258:anonymous@ ip70-174-150-78.dc.dc.cox.net
06/11/28 16:57:41
RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから
潤沢なメモリとCPUパワーありまくりのPacketiXや(CPUの消費電力だけ見ても
PCのCPUはバケモノ級)IPSec専用ハード搭載のRTXと比較したら可哀想な気がする。


259:ｳﾝｺｰAA(ry
06/11/28 21:12:47
>>257
その音は消せるわけだが・・・

260:253
06/11/28 22:23:45
会社のエロイ人に進言ミスって、フレッツグループなしで全拠点VPN組む事になりそうな勢いです。
１拠点設定書き上げたら、あとはマイナーチェンジだからまぁいいけど・・・・・(´д｀；)

皆の者、レスありがとうございました。

>>254
IPsecは早いのか・・・・前の会社のPPTPは、固定IPなしだと一日何回も落ちてたらしく、固定取って設定し直してたので・・・
Asahiは固定IP500円だし、RT58iよりRT107eを買うお小遣いをもらえるように稟議書書いてみようかなぁ・・・。

>>255
RTXのコマンドリファレンスと設定事例集を相手にﾊｧﾊｧﾊｧﾊｧしてるときに、
そもそもPPTPとIPsecの違いってなんだ？PPTPの方が、固定IP代なしでRT107eより安いRT58iで済んで機器代金もお得なのか？
と、"PPTP　IPsec"ってググると無料のOpenVPNを見つけた。
どんなモノだったかと落として脳みそｱﾎﾞｰﾝでした。
漢になりたいぜ・・・・・・・・・・・・・・・・・・・・・・・(´д｀

261:　　　　　　　
06/11/28 23:37:04
遠隔地を接続するとき、帯域の太さより遅延時間が重要なのは常識。
20msを超えてくるとWindows系は目に見えて遅くなってくる。

262:('A`)
06/11/29 10:45:33
>>260
VPN自体の運用効率を考えるなら、YAMAHAに
こだわる必要自体無いような（ｒｙ

Netscreenとかのほうが補完的にリモートアクセスさせてやれたり
するぶん、上が喜びそうな話で言えばTCOが削減（笑）できたり。

個人的には比較的廉価にINSバックうｐができるRTX1100大好きだけどね。


263:猫のウンコ@257
06/11/29 11:37:38
>RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから

表現が悪かったお。正確には「遅い」んじゃなくて、「パケットづまり」見たいな事が起こる。AirEdgeのアレみたいな感じ。
一端流れ出すとMbps単位は出てるので、RT57i自体はコスパから言えば、漏れは十分だと思う。

>その音は消せるわけだが・・・

Beepを消しても、機嫌が悪くなるのが直る訳じゃないんで…
逆に、Beepのおかげで機嫌が悪くなったのが分かる。

filterで引っかけてBeepを鳴らす機能があると、トラブルシューティングの時に便利カナ？とか思う時がある。

264:anonymous
06/11/29 11:46:51
ＰＰＴＰは高負荷やパケロスに弱い気がする。
基幹を安定運用ならIPsecでしょな

265:anonymous@ k174171.ppp.asahi-net.or.jp
06/11/29 12:58:49 NcTZtj7Z
YAMAHAのルータの場合，PPTPはソフトウエア処理になるので，IPSec
と比較すると遅い。ちなみに，IPSecはハードウエアで処理されます。

問題は，RT57iのようなネットボランチ系はIPSecに対応していないので，
IPSecに対応したルータ（RT107e等）でそろえる必要があるという
ところでしょうか。さらに，ネットボランチDNSを使えば，固定IP
でなくても，IPSecができちゃうところが，YAMAHAのいいところだと思います。

うちも全拠点Bフレッツで，ルータはRTV700でIPSecをくんでいますが，
全く安定していますよ。セッションが切れるのは1ヶ月に1回もない感じ。
PPTPだと，クライアント側からの接続になるので，セッションが
切れてしまうと，サーバー側から，セッションをはれないので
，一度切れてしまうと，クライアントからの接続がない限り切れっ
ぱなしになってしまいます。基本的に，リモートアクセス用なので，
ネットワーク間接続はIPSecを使ってくれというのが，YAMAHAの考えだと思います。

Excel開くのに数分かかっていたというのは，PPTPなので，スループットが
出ていなかったことと，遅延の問題だと思います。Windowsのファイル共有
で使用されるプロトコルSMBは遅延があると，パフォーマンスが
ものすごく落ちます。IPSecにすれば，スループットが改善されるので，
多少は改善されるでしょうが，遅延はどうしようもありません。

抜本的な解決策は，Vistaで導入されるSMB 2.0を待つか，ネットワーク高速化装置
を導入することです。しかしながら，非常に高価（100万円以上）で，
かなり予算がないと難しいと思います。ちなみに，SMB 2.0では遅延が
あるネットワークでもパフォーマンスが下がらないように改善されるようです。

266:254
06/11/29 13:09:48
>>253
RT107e のIPSec いいよ！
GUI で設定できちゃうし簡単だよ！
うちもRT57i から107e にマイグレーション（なんて大層なものじゃないけど）したよ！

パソコントラブルはあっても、ネットワークトラブルは1年弱になるけど起こっていないです。

267:猫のウンコ
06/11/29 14:38:11
>PPTPだと，クライアント側からの接続になるので，セッションが
>切れてしまうと，サーバー側から，セッションをはれないので

ちなみに、RTシリーズ対向なら、サーバーからセッション張れるよ。
正確には、サーバーからクライアントに「セッション張って」ってパケットを出して、クライアントが張りに来る。


268:253
06/11/29 20:48:21
何故か会社からｺｿｰﾘ見ると、レスが240辺りで止まってて見れない。。。。
ftp､wwwやらそれ系をダイナミックでOUTの設定して、全てのINを遮断してからレスが止まった気がする。

しかし、前任者が一応のフィルターの設定してたけど、ip secure firter IN/OUTは設定されていなかった環境は渋いぜ。
明日のジョーばりのノーガードファイアウォール(゜Д゜｀)

>>262
正直、FWで使われる機器という事しか知らない・・・・
いやむしろYAMAHAのルータ以外知らないｗ

>>265
長文ｻﾝｸｽ。
Asahiネットで固定IP500円だから取る気でいたけど、なくてもいいかな～と思ってみたりしてます。
＞PPTPだと，クライアント側からの接続になるので，セッションが
＞切れてしまうと，サーバー側から，セッションをはれないので
前の会社で何度も再起動か、GUI画面から再接続かしてもらってたの思い出しました。
まさにそんなカンジでしたね。

>>266
とりあえず、今日はIPsec＞＞＞＞PPTPと上司に吹き込む材料作ってたｗ
価格.comで見たらRT58iが3.3万、RT107eが4.3万だったし、いけるｗ

猫のウンコ様。
今リアルに猫がウンコして、くっさいです。いつもよりエラく臭ってます。
強烈です。
エサ変えたのが悪かったか・・・・(´Д｀；)

269:anonymous
06/12/01 12:37:29
RTX1100が侵入検知した。
地図とか重いデータ落とすためにセッション多数張った結果だったらしい。


270:anonymous
06/12/05 19:58:31
井上氏の本が改訂第二版で出たよー

271:anonymous@ d242061.ppp.asahi-net.or.jp
06/12/20 09:15:45 9ekIBa0A
pptpが繋がりません。ルータのFW設定切ったら繋がるので、原因はフィルターの設定です。
1723通してるのにどこが悪いのか、ご指摘お願いします。
ちなみにIPsecも使っていますが、こちらは問題なく繋がっています。

IN側設定
ip filter 1 reject 192.168.1.0/24 *
ip filter 2 pass * 192.168.1.0/24 icmp
ip filter 3 pass * 192.168.1.1 udp * 500
ip filter 4 pass * 192.168.1.1 esp
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
ip filter 1000 reject * *
OUT側設定
ip filter 101 reject * * udp,tcp 135 *
ip filter 102 reject * * udp,tcp * 135
ip filter 103 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 104 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 105 reject * * udp,tcp 445 *
ip filter 106 reject * * udp,tcp * 445
ip filter 107 pass 192.168.1.0/24 * tcp * 22
ip filter 200 reject * * established
ip filter 300 reject * * established
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 107
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

272:（　・ω・）
06/12/20 12:03:51
>>271
IN側がdeny allポリシーでOUTがallowってのに拒否反応を感じる俺ガイル

それはさておき、あってるかわからんが、IPsecはL2TP over IPsecだと
仮定した場合、L2TPはUDPに対してPPTPはTCP。

で、OUT側でACK付のパケ叩き落してるみたいだし
そこが関係してるんじゃない？（クライアントからのSYNに応答できん）

273:271
06/12/20 15:22:47
ああ・・・Winnyフィルタ入れた時のip filter 200 reject * * established。
これってACK付パケット遮断するのか・・・・・・・・・orz
これが＠ITの律子さんとYAMAHAの取説・設定事例集読み漁った程度の俺の限界か。。。

でも、とりあえずSoftetherフィルタにもなるらしい事が判った。
272さんthx。
帰ってからpptp試してみる。

274:anonymous
06/12/20 16:39:02
ログぐらい見れや

275:271
06/12/20 20:36:04
ログがどこにあるのか知らない俺ガイル。
明日ログの事を調べてみます。

とりあえず帰ってpptp→接続できましたが、LAN内のマシンにはつながらず。。。。
めげたorz
それにしてもpptpってめちゃくちゃ遅いですね。
ADSL12M（実測4M）の無線LAN環境とはいえ、コマンドプロンプトすら数秒ごとに固まりました。

276:anonymous@ pl173.nas931.mito.nttpc.ne.jp
06/12/21 20:51:14
>>275
GREは通ってる？

277:271
06/12/21 21:59:40
ｐｐｔｐに関わる設定は、
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
あとnat descriptor masquerade staticの1723とgreかな。

278:？？？
06/12/21 23:13:04 Hen6kXS9
>>277
PPTPが接続できてLAN内のマシンに繋がらんって意味ﾜｶﾗﾝのだが。
ルータは通ってVPN鯖までは到達してるが、って話なら、後はVPN鯖側の
問題じゃねーの？
つーかそもそもだな、動的フィルタでサービス切ってるのにPPTPだけ
静的フィルタにするのはなんで？ >>272 じゃないが、establishedをreject
するぐらいなら、reject allにして、動的フィルタとSYNパケpass静的フィルタを
使用するサービス全部まとめて定義したほうが手っ取り早いじゃんよ。


279:271
06/12/22 00:24:15
＞PPTPが接続できてLAN内のマシンに繋がらんって意味ﾜｶﾗﾝのだが。
正直俺もﾜｶﾗﾝ。
ルータへはpp anonymousの設定でPPTPトンネルが繋がるものの、192.168.1.1以外にはpingも通らなかった。
ルータからping送ると反応あるし、意味不明。

＞手っ取り早いじゃんよ。
色んな設定事例集からのコピペが基本だからな・・・・・
最近始点、終点とかの意味が分かるようになって、なんとなく良さげなモノを貼り合わせてる。
同じ通すなら動的と静的で何がどう違うか、ちゃんと理解もしてないしね。
並みの管理者になりたかったが、夢のまま俺の人生終わりそうだわ。
もう少し早くネットワークの世界に触れたかった。

280:anonymous@ eatkyo491189.adsl.ppp.infoweb.ne.jp
06/12/22 00:59:51
ふと思ったけれど、Proxy ARP を有効にしてみたらどうだろう。

281:anonymous
06/12/22 02:40:47
なんか情報を小出しにされてるようで
クイズじゃないんだから回答する側が想像ふくらませて回答するのもね・・・・
障害の切り分け出来ないなら
設定丸ごとのせてみたら？

ＰＣからのアノニマスなら
とりあえず下記のサンプルとくらべて足りない部分探してね
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

設定例集のコピペなら自分のところとＩＰアドレスとあってるかも確認してね

282:？？？
06/12/22 08:52:17
>>279
>動的と静的の違い

こんなん理解とか言う以前だろ。設定例集読んでもいねーじゃん。
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

そもそもおたくのout側の動的フィルタは（さらされてる設定を見る限り）
全く無意味なのわかってんの？

全部filter 2000で通ってるだけだよ？

283:anonymous@ u040146.ppp.asahi-net.or.jp
06/12/22 09:31:52
>>282
>そもそもおたくのout側の動的フィルタは（さらされてる設定を見る限り）
>全く無意味なのわかってんの？

確かに設定は緩めだが無意味じゃないよ
内→外 のパケット、特定のポート以外は一方通行で戻っては来ない

284:？？？
06/12/22 09:51:10
いいすぎましたごめんなさい

285:（　・ω・）
06/12/22 10:04:38
>>284
ﾜﾛｽｗ

286:271
06/12/22 18:42:49
今まで自宅のPCも含めFWいじったことがなかったので、緩くしてました。
とりあえずOUT側キツくして失敗したら、即ユーザーが困る(→怒って俺のトコ来て俺も困る)ので
つながればいいや的な。

>>281
確かにpptpの設定もちゃんと晒してから聞くべきでした。
萎え気分先行しすぎて、どーでもよくなってたので・・・・ｽﾏｿ。
pptpクライアントに割り当てるIPが192.168.1.180-182だから、多分>>280さんの言うとおりです。
＃ついてたから、ip lan1 proxyarp onを見落として抜いてしまっていたようですorz

本の設定事例集に比べ、Webの方ってかなり丁寧ですね。
８割方本に頼ってました。
短絡的に設定そのものと、構文の成り立ちをコマンドリファレンスで追い求めてたのが失敗。。。

>>284
どういう風に聞いたらいいのかも分かってないヤツ相手は、俺も鬱陶しいと思います(´д｀；)
気持ちは判る・・・・・・・なんて自分で言っていいものかｗ

287:傍観者
06/12/23 07:40:32
>>283
>内→外 のパケット、特定のポート以外は一方通行で戻っては来ない

ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

一部を除いて全部もどってくるよw

288:あばば
06/12/23 16:33:31
ここはTCP/IP初心者のすくつですか？

289:あのにます
06/12/27 10:14:42
WAN 側の回線を ADSL → 光 に切り替える予定があって
遠隔から設定を変更することを考えています。リモートセットアップは使用不可です。

ADSL と光を同時に使える期間は存在するとして
光に切り替える時に ADSL 用の pp 1 の接続設定（PPPoE 認証情報除く）を
pp 2 にコピーして ip route default gateway pp 2 にして save&restart すれば
問題なく切り替わるものなのでしょうか？

290:anonymous@ v023187.ppp.asahi-net.or.jp
06/12/27 10:57:03 0B7k29+l
>>289

リモートセットアップができないなら，リモートでの切替はやめた方がいいです。
現地に行って作業することを強く薦めます。

上記の手順でうまくいくと思うが，この手の作業はたいていトラブルので，絶対
現地でやるべきだと思う。

どういう理由で遠隔操作で切替なければならないのかわかりませんが，トラブって
困るのはあなたですので，気をつけてください。

291:さて
06/12/27 22:38:09
>>289
InternetVPNであたりでつながったさきのルータとすると

(1)RTX1000/1100/1500 あたりでLAN3あたりがあいているなら、光をLAN3に接続する。
(ADSLと同時につなぐということ)
(2)pp2をLAN3に設定する
(3)PP21つかったVPNをいかすため　IP route (接続先のIP) gateway pp1
をかいておく
(4)pp2 ものルートも書いておく　IP route (接続先のIP) gatweay pp2
(5)pp2のPPPoEが正しく接続できることを確認する。
(6)自分側のルータのVPN接続先IPを光のIPにする。
(7)VPNができたら光に切り替えるため、デフォルトゲートウェイなどを光のほう
にする。
(8)だめだったら自分側のルータのVPN接続先をADSLにする。
(9)切り替えができたらsaveする。

※最悪、現地でルータの電源ON/OFFをすれば設定がもどせるようにsaveは最後にする。

これでどうでしょ?

292:anonymous@ softbank218126090010.bbtec.net
06/12/28 00:46:58
His judgement cometh and that right soon

男性諸君、結婚すると不幸になる。女の外面は綺麗で清潔で良い人、内面はずるくて汚いため、口も悪い＋嘘つき＋女同士も上辺仲良し裏では悪口三昧
女の成分はＡ（性悪陰湿残忍＋損得自己中感情）＋Ｂ（良い女演技＋体形＋整形化粧＋ファッション）
↑良い女演技は好きな男＞＞異次元＞＞男集団＞他人の順に良くなる。年齢とともにＢのメッキがはがれ内外ともに醜くなる（Aの良い女は極少数）
女は「人生の不良債権、北朝鮮、金メッキを施したゴキブリ」
社会的に男女は対等で平等。男が女を養ったり守る必要はない「見切れ！見切り千両！私不幸なの？嘘！泣いてます？演技！情けは不要！つけこまれるぞ」
女は社会的優遇、過剰な法的保護、仕事と家庭の二束のわらじを得て、女尊男卑～結婚しようとする君を彼女は陰で小馬鹿にしている事でしょう～

★結婚は保留し、沢山の女性と自由に恋愛（sex）を楽しめ♪★避妊必須
★捨てた女は優しい真面目男が結婚（残飯処理）してくれるさｗ★

それでも結婚する君へ究極護身法→[夫婦財産契約登記]
夫婦財産契約により、自分の稼いだ財産はすべて自分の物
離婚時に財産の半分を配偶者に取られない

弱い者いじめは最低と言いつつ、赤ちゃんを殺す母親（そして無罪判決（笑
狙撃は女子のほうが強い。男は、ノイローゼになってやめてしまうが
女は何人殺してもノイローゼにならない。そして、骨盤が安定しているため

ナチスの拷問で、女の拷問の残虐非道さを見て、拷問をしていた男達もひいたという
拷問しながら楽しそうに笑みをうかべていたそうだ。罪悪感や引け目が無い

・有史以前が女尊男卑の時代だったことを指摘したのは、スイスの学者バッハオーフィン
アマゾン女族の女王は、法律を定め、男達には卑しい奴隷の仕事を課した
男児が生まれたら、生き埋めにするか、脚と腕を不自由にして、戦えなくし奴隷とした
・王位継承権が女性にだけあった古代エジプトでは女性権力が非常に大きかった
・日本でも卑弥呼が女王
URLﾘﾝｸ(kr.img.dc.yahoo.com) ←女集団が、女一人をリンチしている動画（執拗に蹴り続けながら皆楽しんでる

女は虐げられてきた？父系社会など人類の歴史から見ればほんのわずかな期間に過ぎない。むしろ・・

293:anonymous@ 219-101-94-46.flets.tribe.ne.jp
07/01/03 15:58:06
フィルターの設定で
LANからWANでたUDPの帰りのパケットを自動的に通信許可してくれるような設定は無いものでしょうか?



294:お
07/01/03 18:33:47
動的フィルタ設定すれば良いんじゃないか

295:ももも
07/01/05 10:47:04
漏れ、業務用ルータの設定なんて初めてなんだが、この
動的フィルタって、他のルータとかでも一般的な機能なんですか？
便乗ｽﾏｿ


296:鯖缶
07/01/06 02:46:11
家庭用だとついてる
データセンタで使うような物にはついてないことが多い

動的フィルタ＝セッション追従を行う＝セッション情報をルータ内で記録する必要がある。
ので、冗長化・負荷分散の際に制約になるんよ
帰りのパケットが同じルータを通る必要があるからね
最初からそんな機能付けずに、スループット上げた方が嬉しかったりするわけ。


297:ももも
07/01/09 08:53:20
>>296
㌧

298:anonymous
07/01/10 16:48:17 nUyhgnYZ
運用自体は問題なく言っているのだが物凄い気持ち悪いことがあるので質問させてください(;´Д`)
使用しているルーターは全部RTX1100です。
まずルーターが西日本にA,B,C,Dの4つがあります。
東日本にはA'の1個だけ。
AはA'にIPSec相互接続＋B,C,Dにフレッツグループ接続。
B,C,Dはそれぞれ相互フレッツグループで繋がってます(A'には繋がってません)。

この状態でAからB,C,D,A'全てにPINGが通りません。
またそれぞれのルーターの下にぶらさがるPCに対してもPINGが通りません。
しかしAの下にぶら下がるPCからはB,C,D,A'にPINGが通り、その下のPCにもPINGが通ります。
ルーターB,C,D及びその下のPCからルーターAにはPINGが通ります。
ルーターA'からは全てのルーターにPINGが通らず、各ルーターにぶら下がるPCにも通りません。
しかしA'にぶら下がるPCからは全てのPINGが通ります。

PINGが通らない部分はどんな原因（可能性）で通らなくなっているか解る方いますかね？
PCからのやり取りは全て問題ないので直す必要も無いと言えばないのですが、
ルーターからのPINGのみ一部全然通らないことが気持ち悪くて('A`)
ちなみに帯域を測る機能もうまく動かないので、この辺が関係しているんじゃないかと思ってます。

299:anonymous
07/01/10 17:06:26
>>298
書いた方がよさげなもの：
・ネットワークの構成図(プライベートアドレスで作っているならIPアドレスは全部書いても大丈夫なはず)
・ルータは複数のIPアドレスを持つはずだけど，どこのアドレスに向かってpingを打っているか
・tracerouteの結果
・フレッツ・グループはトンネル掘ってるのか，IPアドレスの払い出しを受けているのか

個人的な予想
・ルータからping打つときトンネルの中を通してる(始点IPアドレスはどこよ)？

東日本の人間なので，フレッツ・グループについて理解してないかもしれない点は
先に謝っておきます。

300:298
07/01/11 14:03:14
>>299
pingコマンドの始点IPアドレスを指定したら問題なくping通りました。
打ったIPはグループで払い出されたIPからIPへ（ローカル）。
tracerouteコマンドは始点IPを指定できなかったので、1発目から応答なし。
グループ内は宛先がグループ内に割り振られているIPであればトンネルなし。
グループ内からグループ外はipipでグループにトンネル掘ってます。
各ルーターはグローバル(IPn契約及びDHCP混在)とローカルの両方のIP持ってます。

pingとかtraceroute通せないのがIPSec貼っていルーターだけなんで、
IPSec周りの設定が怪しいのですかね(;´Д`)

301:肉
07/01/14 11:49:12
IPマスカレードの設定について教えてくださいませ

rtx1000 8.01.20 つかってます
PPPoEでIPを１個もらっていて、Webサーバーを公開したい。
とりあえずフィルタは全部通し、外と通信できる状態にはなった。

LAN1のIPの設定はこんな感じ。
ip lan1 address 192.168.0.1/24

そしてIPマスカレードの設定を入れてみたんだけど

ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 192.168.0.2
nat descriptor masquerade static 1 1 192.168.0.2 tcp www

これで、アクセスができない。

httpd host 192.168.0.3

ってやって、ブラウザで外経由でアクセスしたら、ルーターの基本認証がでてしまう。
これってまったく設定が効いてないんですよねきっと。

何か足りない設定ありますでしょうか？

302:anonymous
07/01/14 13:01:45
> nat descriptor address inner 1 192.168.0.2
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www

よく見直せ馬鹿

303:肉
07/01/14 13:29:25
> 302
すいませんです
見直してもわからないです

下記ページの設定例を参考にしたのですが！

URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
> nat descriptor address outer 1 133.176.200.200
> nat descriptor address inner 1 192.168.0.2
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www,https

どこがまずいのか教えていただけないでしょうか？

304:名無しさん
07/01/14 15:40:23
>301

nat descriptor address inner 1 192.168.0.2

を削除するといけるはずです。
ただ理由があって inner させたいというのであれば、
もう一度設定例と睨めっこした方がいいですね。

URLﾘﾝｸ(netvolante.jp) も参考にどうぞ。

305:肉
07/01/14 17:37:35
> 304
レスありがとうございます！

もともとその設定で試していたのですが、それでもルーターのwwwに
アクセスしてしまっていたので、>301 の設定をしていたのでした。

いただいたURLを参考にしながら現在も格闘中です。
最終的にはこういうネットワーク構成にしたかったので、非常に
ありがたいです！


306:名無しさん
07/01/14 18:00:08
>305
ルータのWeb機能を有効にしているのであれば、
ルータ自身のHTTP Listen Portを80以外にしないとどうやっても
ルータに着信してしまうかも知れませんね。

Web管理使わないなら httpd service off を1行加えてみて下さい。
お使いのファームウェアだとデフォルトonらしいので･･･。

307:あのにます
07/01/14 18:28:54
>>306
そんなことないと思う。
うちは同じく PPPoE でグローバル IP アドレスを固定で 1 個もらって
Web サーバを運用している。RTW65i で、だけど。

308:名無しさん
07/01/14 19:03:31
>307
むむ、そうでしたっけ。

なんだろうなぁ…(´ω｀)。

309:肉
07/01/14 19:05:50
> 306
現状の設定のまま、外部からアクセスしてもらったら、無事見れたとのこと。
なので、外部への公開はできていた。

でも、内部からのアクセスは、ルータにいってしまう。

で、httpdを止めてみたら、ページが表示できませんと出ました。

YAMAHAって内部から外部IPにアクセスしても、普通にルーティングされる
もんだと思っていたんだけど、どうなんでしょう？

310:肉
07/01/14 19:13:50
そして新たな問題が。お助けくださいませ。

なぜか簡単にPPPoEが切断されてしまう。
再接続はできるんだけど、外部にpingが届かないのです。

設定は下記です。

pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname *** ***
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1

Help me...
気晴らしにオナニーします

311:あのにます
07/01/14 19:52:25
>>310
PPPoE 切断の件はルータ関係ないんでないの？

312:肉
07/01/14 20:12:34
> 311
そんな気もするのですが、いままで使ってたルータにしたら正常に動くので
自分の設定のせいかなとも思ったり。

もう一度チャレンジしてみます

313:あのにます
07/01/14 20:18:53
>>312
じゃ
pppoe auto disconnect off
とか、どうだろう。
うちの RTX1100 にはこれ入ってた。デフォルト on だし。

314:お
07/01/14 22:17:13
うちはouterの設定とかしてないけど、IP固定だと必要なのかな？

315:肉
07/01/14 22:28:44
> 313
何度もありがとうございます。
pppoe auto disconnect off は試してみましたが、変わらずでした。
今はPPPoE認証を通るけど、外にアクセスできない状況です。
全部通しているのですが…

ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on

で、あやしいのが、web管理画面にアクセスした時に、ページが切り替わる度に基本認証が出る。セッション切れてるんすかね～
おたすけを！とりあえずオナニーします。本日５回目

316:肉
07/01/14 22:30:16
> 314
レスありがとございます。
試してみます。
オナニー前に

317:お
07/01/14 22:38:49
>315
って、staticの設定消えてる？
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
これは必須だよ

318:肉
07/01/14 22:39:56
> 314
だめでした…

ていうか昨日とか今日の夕方くらいまでつながってたのに。
cold startしてから設定しなおしてからおかしくなった。

PPPオプション
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local:, Remote: IP-Address
PP IP Address Local: *.*.*.*, Remote: ***.***.***.***
CCP: None

外部からpingしてもらったら、Local IP Addressは届かないけど、
Remote IP Address には届いているそうなんです。

で、中からRemote IP Addressにはping届かない。
でも認証できてる。

ってところで、フィルタとかIPマスカレードの設定なんではと思って
・フィルタ全許可
・IPマスカレード
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 auto

とかやってみたけど、何をしても通らず…
くっ 自慰します


319:肉
07/01/14 22:40:55
> 317
うわあああ
てんぱりすぎてものすごいミスを…
設定してきます
自慰前に

320:お
07/01/14 22:41:35
あと
ip pp nat descriptor 1
も必要でしょ

321:肉
07/01/14 22:43:03
> 317
あ、すいません
それはわざとはずしているのでした。
いま普通につながらないのです。

> 315 の設定で、外部につながらない状況なのです。
なにか足りないものありますでしょうか？

322:肉
07/01/14 22:43:49
> 320
げふっ
それだ…
ほんとありがとうございます
しごいてる場合じゃない

323:肉
07/01/15 00:09:01
う～ん やはりだめでした…
下記設定なのですが、つっこみどころがあったらお教えくださいませ。

ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
ip pp nat descriptor 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on

もう一度最初からやってみる…

324:あのにます
07/01/15 00:10:48
>>323
駄目だったってどっちが？
ウェブアクセスの方？　PPPoE の方？　どっちも？

325:名無しさん
07/01/15 00:25:53
>323
さくっと設定例みて作ってみましたけど、
こんな感じのはでどうでしょ(とりあえずフィルタはおいといて)。

デバックするなら console info on をすると何で引っかかっているか
わかりやすいかもです。

ip lan1 address 192.168.0.1/24
pp select 1
pppoe auto disconnect off
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp address (グローバルアドレス)
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス)
nat descriptor masquerade static 1 1 192.168.0.2 tcp www

dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24

dns server pp 1
dns private address spoof on

326:RTX
07/01/15 01:39:48
RTX1100あたりの後継機って出ないのかねぇ。
RTX1500は高いしPPTP使えないし。

327:肉
07/01/15 03:48:14 zyb7wsVE
#アク禁になってたので携帯で…

> 324
いつもお世話になってます。
PPPoE認証で失敗はありません。
ウェブアクセスというか、自分のIPの上（プロバイダIP）へのアクセスが不能な状態です。

> 325
ありがとうございます。
しかし、いただいた設定でもだめでした…
でもconsole info on でわかったことがちょっとありました。

2006/01/15 03:15:22: PPPOE[01] Disconnected, cause [No error.]
2006/01/15 03:15:22: PPPOE[01] Connecting to PPPoE server
2006/01/15 03:15:22: PP[01] IP Commencing: TCP 192.168.0.2:2906 > 24.242.55.189:
48686 ← どこ？
2006/01/15 03:15:25: PPPOE[01] PPPoE Connect
2006/01/15 03:15:26: PP[01] PPP/IPCP up

2分ごとに切断されて、すぐつながる を繰り返しているみたいです。
もちろん pppoe auto disconnect off の設定はされています。
試しに、
pp always-on off
pppoe auto connect off
pppoe auto disconnect off
とし、手動接続、切断を繰り返しても、同じく接続後２分で切れてしまう状態です。
ご助言お願い致します！


328:名無しさん
07/01/15 04:47:49
RTA55iで質問です。
WiiとDS同時利用や、複数台のPCでMSN用のﾎﾟｰﾄを開放したいのですが
複数のIPアドレスに、同じポートは開放できませんよね。
そうなると、複数の接続先を、同じIPアドレスにするしか無いのでしょうか？

でも、DHCP予約は、複数のDHCPスコープで同一IPアドレスを含める事が出来ない旨が
コマンドリファレンスに書かれていたので、設定出来ません。

この場合、どうすれば良いでしょう？

329:名無しさん
07/01/15 04:49:55
すみません。コンシューマー用ルーターはスレ違いでした。
取り下げて移動します。

330:326
07/01/15 08:27:41
>327
PPPoE設定の部分は普段私もよく使う設定なんですけどね…。


コンフィグというより、プロバイダやNTTに確認した方が良いかもです。
※フレッツスクエアに繋がるならNTTは関係なさそうですけど。

331:anonymous@ pl509.nas931.mito.nttpc.ne.jp
07/01/15 11:28:23
>372
NATやめてNAPTにすれば解決。

332:肉
07/01/15 13:05:19 JsIMRm2Z
> 330
せっかくご助言いただいたのにすいませんです。
ルータを変えたら（RTA55i）ちゃんとつながるので、プロバイダとかのほうは
問題なさそうなんですけどね。
YAMAHAに問い合わせてみましたので、何かわかったら報告させていただきます。

> 331
NAPTってIPマスカレードですよね？
現状それでやっております。


333:肉
07/01/18 09:08:44
おはようございます。
ひさびさに見ましたが、特に動きはなかったんですね。

先週末にばたばたと質問ばかりさせていただき、ご対応いただいた方々には
非常に感謝しております。

経過報告 というかもう結果報告なのですが、

YAMAHAに問い合わせをし、接続自体は今朝できるようになりました。
なぜ解決に至ったのかがまだ調べられていないので、後ほど調査し、
また書き込みしようと思います。

>325殿の設定に加え、
pp select 1
ppp ipcp ipaddress on
ppp ipv6cp use off
pp enable 1

を追加して解決に至りました。
とりあえずご報告まで！
重ね重ね、レスいただいた方々ありがとうございました！

334:ano nemosu
07/01/20 10:39:46 OSSIEH0p
pptp接続は確立するのに、その後すぐ切断されてしまいます。
ネットワーク接続のpptp接続の状態-動作状況を見ると、バイト数のところが受信350のまま動かず、送信だけが増え、最終的に毎回2400ほどで止まります。
もちろんpingも通りません。
ルータのログを見ると、remote address192.168.254.10で確立後、ＴＣＰセッションがどうもおかしいらしく、ＦＩＮとＲＳＴが何度か飛び交っていました。
natテーブルに該当しないパケはrejectされてＲＳＴが返される設定にはなっていますが、natの設定は何がおかしいのか分からず・・・

窮して使い方の良く分からないEtherealも使ってキャプチャしてみると、TCP segment of a reassembled PDUが起きていました。
あと、終始192.168.1.1(ルータ)-192.168.1.10(pptpテスト機)の間でicmpパケがport unreachableになっていました。
ルータ側からのｐｐｔｐ　echo-requestにはちゃんとreplyを返しているのですが、おそらくタイムアウトで最後はローカル側から
stop-control-conection-requestを出して、ルータ側がreplyを返して通信ＥＮＤ。
何がなんだかさっぱりです。。。

自分でやった事
ルータのフィルタ全解除、Windowsファイアウォールの無効化、ip pp intrusion detectionの全解除、ip pp mtu 1280→1080
nat descriptor masquerade ttl hold auto→all

以降、設定晒しますので、何かお気づきの事があればご助言頂きたい・・・・・・・・・・

ip route default gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
ip lan1 proxyarp on

335:ano nemosu
07/01/20 10:40:22 OSSIEH0p
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ISP-IDxxxxx *
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address 固定ＩＰ/32
ip pp mtu 1454
ip pp secure filter in 1 2 3 4 5 6 7 8 9 10 11 12 14 15 16 17 18
ip pp secure filter out 6 7 8 9 10 11 100 101 2000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on reject=on
ip pp intrusion detection out on
ip pp intrusion detection out winny on
ip pp intrusion detection out default off
ip pp nat descriptor 1
pp enable 1
pp select anonymous
pp bind tunnel10
pp auth request mschap
pp auth username id pass
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.254.10-192.168.254.20
ip pp mtu 1280
pptp service type server
pp enable anonymous


336:ano nemosu
07/01/20 10:41:14 OSSIEH0p
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike pre-shared-key 1 xxxxxxxxxxxxx
ipsec ike remote address 1 any
ipsec ike remote name 1 xxxxxxx
tunnel enable 1
tunnel select 10
tunnel encapsulation pptp
pptp keepalive use on
tunnel enable 10
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 127.0.0.1 * * * *
ip filter 4 reject 192.168.1.0/24 *
ip filter 5 reject 固定ＩＰ * * * *
ip filter 6 reject * * udp,tcp 135 *
ip filter 7 reject * * udp,tcp * 135
ip filter 8 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 9 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 10 reject * * udp,tcp 445 *
ip filter 11 reject * * udp,tcp * 445
ip filter 12 pass * 192.168.1.0/24 icmp * *
ip filter 14 pass * 192.168.1.1 udp * 500
ip filter 15 pass * 192.168.1.1 esp
ip filter 16 pass * 192.168.1.1 tcp * 1723
ip filter 17 pass * 192.168.1.1 gre
ip filter 18 pass * 192.168.1.0/24 established * *
ip filter 100 reject * 192.168.1.0/24 * * *
ip filter 101 pass 192.168.1.0/24 * tcp * 22

337:ano nemosu
07/01/20 10:42:17 OSSIEH0p
ip filter 1000 reject * *
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 101
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor log on
nat descriptor masquerade ttl hold auto
nat descriptor type 1 masquerade
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
nat descriptor masquerade static 1 3 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.1 gre
ipsec auto refresh on
dns server pp 1
dns private address spoof on
pptp service on
upnp use on

以上、tunnel2～6などの一部は削った設定ですが、よろしくお願いします。

338:お
07/01/21 09:06:38
ファームウェアリビジョンは？

339:ano nemosu
07/01/21 10:21:29 aWIia3um
肝心なこと忘れてましたね(´д｀；)

RTX1100　Ver 8.03.46です。

340:お
07/01/21 10:33:04
うちのはRT57iのWebで設定したのだけど、
tunnel 10の設定の中にpptp tunnel disconnect time offとかいうのが入っとるよ

341:ano nemosu
07/01/22 09:23:00
>>340
ありがとう。
でも、早速試しましたがダメでした。。。。

342:hage
07/01/23 03:31:56
>>340
関連なさげだけど…

RT57iのPPTPでanonymousで接続出来るのに、LAN間接続が出来なくて、泣きついたら

ip lan1 address 192.168.100.1/24
ip lan1 secondary address 固定/29

で、接続はNATのouterにして試してくれと教わり、試したらあっさり繋がった。
理由が全くわからん…(だれか解説プリーズ！)
上手く行かなかった時の設定はprimaryとsecondaryのアドレス空間が逆

343:anonymous@ h1-bs-ps1.fujifilm.co.jp
07/01/23 14:00:19 iUDfG4vK
RT107e で質問です。

上記機器のVLANトランクポートと、接続実績のあるL2Switchをご存知の方は
ご教授下さい。要件は以下。
■もちろん８０２．１ｑが可能な機材
■８ポート　で十分
■FastEther　で十分
■パフォーマンスは重視しない
■出来るだけ安価、新品で入手できるもの

何方かいらっしゃいませんか？





344:anonymous@ ipv6gw.kazemachi.ne.jp
07/01/23 14:47:01
大人なのでスルーして、
solitonのは？

345:316
07/01/23 15:49:23 TOOW3TlL
>>344
しゃてー知ってる？

346:ano nemosu
07/01/23 21:27:44
もしかしてｐｐｔｐでルータに割り振ってる固定IPに接続しても、
ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・

ルータで止まってサーバまでパケット通ってないのかもしれないので、とりあえずnatの勉強からやり直します。

347:あのにます
07/01/23 21:29:06
>>346
それ意味ないじゃん

348:ano nemosu
07/01/24 00:43:12
>>347
？？？
とりあえずｐｐｔｐで固定振ってるルータにはつながるけど、LAN内のサーバにつながらないから、
natの基本から勉強しようかと。
何らかの理由でサーバまでパケット届いていないのが原因かと思い、まずはnatが近いかなーって思ったんだけど。
それが意味ないってこと？

案外何か思い違いしてるかもしれないし、勉強不足な初心者なので、何か糸口でもつかめないものかと。
全く違うケースだけど、nat descriptor masquerade staticの、masqueradeを削除したら繋がったとかいう例もあるし・・・。


349:あのにます
07/01/24 00:57:44
>>348
それ意味ないじゃんってのは
> もしかしてｐｐｔｐでルータに割り振ってる固定IPに接続しても、
> ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・
ってとこ。そんな仕様だったら、VPN使い道ないじゃん。
ルータとだけ通信できる仕様なんてあっったとして、一体何に使えるんだ？
ってこと。

350:am
07/01/24 09:33:24
>>348
多分フィルタで止まってるんでしょうね。
フィルタのログになんか出てないでしょうか。


351:ほげ
07/01/24 12:56:16
前から気になってたんだけど、RTX1100で
login password encrypted *
administrator password encrypted *
login user hoge *
user attribute administrator=off connection=serial,telnet login-timer=60
user attribute hoge administrator=on connection=all login-timer=300 multi-session=off
みたいに設定していると、Web Assistanceにログイン出来なくなるんだけど、なんでだろう。
hogeのIDとパスワードを入れても駄目。IDなしでも駄目。
勿論、認証プロンプトは出るし、パスワードエラーの画面も出るから
サービスもオンだしフィルタもかかっていない。

URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
によると、ユーザ名はかんたん設定ページでの接続に使用出来るって書いてあるから
IDありで出来ると思うんだけど…　無名ユーザをconnection=allにしても駄目だし。
「かんたん設定ページ」（107e）は出来るけど「Web Assistance」（107e以外）は駄目なんだろうか。

352:ano nemosu
07/01/24 13:18:06
>>350
フィルタはIN/OUT同時にOFFにしてもつながらなかったので違うかなと。

それより、まったくの勘違いを発見。
pptpサーバって、ルータではなく、アクセスしたいプライベートIPの機器の事だったようで。
nat descriptor masquerade static 1 3 192.168.1.250 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.250 gre
に変更して、自宅帰ってから接続試してみます。
職場に環境がないのがイタイ・・・・。

>>351
Web Assistanceはadministrator=offではダメだった気がする。
Web Assistanceって、最初から完全なadmin権限行使できるし。
当てずっぽうに言ってるので、文責は352に託した。

353:ano nemosu
07/01/24 13:19:40
・・・・・・・・・・・・・・・・・・・・・。

自分が352だった罠orz
敢えて言おう、俺乙であるTO！

354:ほげ
07/01/24 13:32:15
>>352
hogeはadministrator=onだし、無名ユーザをadministrator=onしても駄目だった。
encryptedなpasswordが駄目なのかと暗号化しなくても駄目。

URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
の機能が追加されて、その設定をする前まではWeb Assistance使えてたから
この機能のどれかが悪さをしているんだと思うんだけど…

355:お
07/01/24 13:33:29
>351
login password と admin.. password を合わせないとダメとかじゃないかな

356:ほげ
07/01/24 13:47:39
>>355
login password
administrator password
login user hoge
は全て同じパスワードになってます。全てencryptedですが。

357:ano nemosu
07/01/24 13:58:40
そういえば、RT107eのWeb画面から無名ログイン禁止にチェック入れて、
login userを設定したんだけど、何故かコマンドからID・パスなしで入れるようになってしまった。
何かの拍子にエンター3回叩いたらログインしてしまって、慌てて修正したのを思い出した。

358:ano nemosu
07/01/24 20:46:02
繰り返し読み返すと、やっぱりｐｐｔｐサーバはルータの事だった。。。
しかもpptpつないでるときにネット自体繋がらなくなって、ipconfig見ると
PPP adapter のIPconfig
IP Address. . . . . . . . . . . . : 192.168.254.10
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.254.10

ﾅﾝﾀﾞｺﾚﾊ
サボるの大好きな俺でも、さすがに何日もこれ以外ロクに仕事できないと・・・・・・・・

359:名無し募集中。。。
07/01/25 10:25:11
rt100i-usersでプロジェクトフォンの質問をして返事はあるのか？
スレ違いならぬML違いでは？と思ったが。。。

360:ano nemosu
07/01/25 13:23:20
つながった・・・・・・・・・・！
新しいノートPC設定してたら無線電波拾ったので、ちょっと拝借した。
（「繋いでいい？」ってボタン押したら、何も言わずに受け入れてくれたので、不正アクセスではないと信じている）

特に設定変えていないから、もしかしたらプライベートIPアドレスが関係してるのか・・・・
自宅のプライベートIP変えて、またテストしてみる。

>>359
ｲﾏ登録ｼﾃｷﾀﾖ。

361:hage
07/01/25 13:36:10
>>360
レスくれた方々へお礼も言わず。訳分かんない内容の連投。
続きは自分の誰も読まないblogでやってくれ。

362:ano nemosu
07/01/25 13:45:25
>>361
ああ・・・そうですね。
仰るとおりです。申し訳ありません。
自分のことで必死になって、相談というより一方通行の報告というか独り言（愚痴？）になってました。

まだ解決を確認できた訳ではありませんが、ちょっとでも一緒に考えてくれた皆さん、
遅ればせながらありがとうございました。


363:anonymous@ z15.61-205-217.ppp.wakwak.ne.jp
07/01/25 16:53:47 4v+Jk2vH
cifs に最適化するようなチューニングありますか？
wan越しだと遅くなるようですが。

364:anonymous@ p030076.ppp.asahi-net.or.jp
07/01/25 18:36:42
YAMAHAのルータでCIFSを高速化できるかと言えばそれは無理。
どうしてもやりたいなら，WAN高速化装置を買うしかないが，非常に高価。

また，Windowsのレジストリをいじっても無理です。

ただし，Vistaで搭載されたSMB 2.0なら，WANのような遅延の大きな
ネットワークでもパフォーマンスが出るようです。


365:ano nemosu
07/01/25 21:32:34
PPTP接続で、セッションも確立しているのに、LAN内のサーバにアクセスできない。pingも届かない。

訳分かんないトラブルの原因は、プライベートIPアドレスの衝突でした。
リモート先のプライベートIPと、PPTPクライアント側のプライベートIPのネットワークアドレス部分が同じだと
通信できません（IPsecも同様)。

分かってしまえば「そんなの当たり前。バカじゃねーの？」だけど、
一応参考までに報告しておきます。


366:anonymous@ z15.61-205-217.ppp.wakwak.ne.jp
07/01/26 11:56:50 n3jnMYTK
>>364
サンクスです。
webdavでも使おうかと思いますが、ファイルロックがうまくいくのか
ネットワークドライブに割当てらるのか不明なので調べてみます。
最悪wan越しでファイル共有するのはあきらめてターミナルサービス
でも使おうかしら・・・・

367:anonymous@
07/01/26 23:35:03
svnでもつかったら？

368:anonyomus
07/01/27 10:34:55
>>366

WebDAVってステートレスなプロトコルだから，ロックは無理だと思うが。

ネットワークドライブへの割り当ては可能。ただ，エクスプローラとWebDAV
はいろいろとトラブルというか不具合が多くお勧めしません。

CIFSで遅いといってもサイトが国内間で両サイトとも光ファイバで接続
されていれば，充分なスループットが得られると思うが。


369:dabudabu
07/01/27 18:09:08
>WebDAVってステートレスなプロトコルだから，ロックは無理だと思うが。

いつの人ですか?

# まともに実装があるのかとかは良くしらんけど

370:am
07/01/27 19:09:48
まともな実装が無いなら意味無くね？

371:anonymous@ pz35.opt2.point.ne.jp
07/01/28 06:03:17 5lhXw7xI
SIP-NATでNTTのVG400とVG210が使えました。
以上報告

372:匿名
07/01/28 16:49:49
結局シスコ買えない故の妥協だよね。
何かガンバっても後ろ向きで激しく鬱。

SIPもコールマネージャのほうが便利で、シスコ謹製IP電話もかっこいいしねえ。

373:鯖缶
07/01/28 17:44:42
そりゃ、高い授業料払ってCCNA取っちゃったら、シスコ製品が普及してくれないと困るもんな


374:オペレータ
07/01/29 09:51:52
ヤマハの免許作れば良いんじゃね？
船舶４球ぐらいなら持ってるとかさ。

375:（ﾟ∀ﾟ）
07/01/29 10:06:00
CCNAなんて今となっては一昔前の死すアドみたいになってるし
どちらかといえば船舶４級持ってるほうが、ネタにもなるから採用に
有利に働くかもよｗ

376:あのにまん
07/01/30 06:00:03
OP25B対応をしたいのですが、メールサーバの設定をすぐに変えられないので
ルータ側でとりあえず25/TCP→587/TCPに変換して対処しようと考えています。
NATディスクリプタでどういう設定をすれば良いでしょうか？
ご存知の方がいましたら、ご教示お願い致します。

377:anonymous
07/01/30 10:55:22
nat descriptor masqurade static 1 10 mail-severのIP tcp 587=25

違ったらｽﾏﾝ

378:sage
07/01/30 22:14:11
マルチホーミングで質問があります。

ISP１とISP２にPPPoEで接続していて
ip route default gateway pp 1 gateway pp2 とした場合

ISP１からの通信はISP1へ、ISP２からの通信はISP２へ戻るのは
わかるんですが、lan1から外部への通信はどうなるんでしょうか？？

tracerouteすると不思議な結果が返ってくるんで・・・。

379:anonymous@ p295213.tokynt01.ap.so-net.ne.jp
07/02/03 11:06:44
初歩的な質問で申し訳ありません。

RTX1100 の config ファイルで、

pp saletct 1
pppoe use lan2
pp select none

のようにして保存してロードすると、

pp saletct 1
pppoe use lan2

のようになってしまいます。

ファイル全体を検索しても、「pp select none」 が存在しないわけですが、
そのまま設定ファイルをアップロードした場合、何処までが pp1 の設定範囲として扱われてるのでしょうか？

スペースでのインデントが入っているので、スペースでのインデント終了までが範囲という解釈でよろしいでしょうか？

ご教示いただけたら幸いです。

380:名無しさん
07/02/03 12:15:19
RTXシリーズの管理支援機能(Web)についての質問です

LAN1 … LANに繋げる
LAN2 … インターネットに繋げる

とします。

ファイアウォールメニューについてなのですが、

種別: PPPoE
設定名: PP1/LAN2

と

種別: Ethernet
設定名: LAN1

で、それぞれ、インターネットから来るパケットが方向 「入」 になるのか 「出」 になるのかが分からないんです


インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
インターネットから来るパケットは 「入」 です。
それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
その差込口から、出てくるパケットは 「出」 です。

前者と後者で解釈が全くかわっちゃうので困ってるんです；；





381:anonymous@ HDOfb-07p1-107.ppp11.odn.ad.jp
07/02/03 13:03:52
煽りたくなったが辞めとこう

答える気しないので他の人ヨロ


382:am
07/02/03 13:23:24
>>379
次の pp select が出てくるか、tunnnel select が出てくるまでじゃない？

>>380
「前者と後者」は言及してる範囲が違うだけで、大体同じ意味です。




383:380
07/02/03 13:29:15
>>382
回答ありがとうございます。

自分の解釈だと、

> インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
> インターネットから来るパケットは 「入」 です。

だと、パソコン視点で言うインバウンド接続は、LAN1 でも LAN2 (WAN) でも 「入」 ですが、

> それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
> その差込口から、出てくるパケットは 「出」 です。

だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
ルータが自ら外に出すパケットですから…。

384:am
07/02/03 13:40:39
じゃあ
・パソコンで言うI/F ≒ RTXの各Lan N ってI/F
・パソコン本体 ≒ ルータ本体
って考えれば良いんじゃない？

> だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
大まかに言うと、WAN側のINはLAN側のOUTから出てくるよね。

385:am
07/02/03 13:44:19
>>380
参考になるかな？
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

386:anonymous
07/02/03 16:47:48
インバウンド
アウトバウンド
ルーティング

ハイ完結。

387:380
07/02/04 02:53:48
>>384
なるほど。
分かりやすい解説ありがとうございます m(__)m
納得しました。

つまり、WAN から LAN に来る不正なパケットを排除するには、
3つの方法があるということですね。

●その1 … WAN から入ってくるパケットのみに有効
pp select 1
　ip pp intrusion detection in on reject=on　# WAN から 入ってくるパケットを検査
pp select none

●その2 … LAN I/F に入るパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection in on reject=on　# ルータの LAN I/F に入ってくるパケットを検査

●その3 … LAN I/F から出て行くパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection out on reject=on　# ルータの LAN I/F から出て行くパケットを検査

LAN の 1つのマシンがワームやトロイに感染したことを考えれば、【その2】 か 【その3】 ですよね。
入るとき、出るとき、どっちがいいのかは悩みますが、(てかどっちでも同じことですが)
Webプログラミングでのhtmlタグのエスケープ処理にセオリーに従って、とりあえず、【その3】 でいってみます。

このファイアウォール機能がどうなってるかは調べてないので、Windows 標準のファイル共有がどうなるのか等は分かりませんが、
とりあえずやってみます。

>>385
参考になりましたー。

>>386
は、はいっ！

388:380
07/02/04 03:19:48
はっ。
とんでもない誤解をしていました。

>>385 の URL を見てみたところ、
IPルーティング と LAN の間に、IPフィルタ (ip lan secure filter) があるではいですか。

正しくは、>>387 の 【その1】 【その2】 は WAN から LAN へのパケットのみ有効で、
【その3】 は WAN からの攻撃に完全に無力ということになりますね。(※1)

こ、このままだと危険ですた(´･ω･`)

早急に、【その2】 に変更しました。


※1
意味あるとすれば、踏み台にされた時に攻撃パケットを WAN に出さないという意味がありますね。


389:380
07/02/04 03:33:03
あう、>>388 も間違いだったー。

WAN から LAN のパケットは、IPルーティング と [LAN] の間のフィルタで、LAN側に 「出」 のパケットなわけだから、
【その3】 が正しかったわけですね。

つまり、WANからの攻撃を防げるのは、

pp select 1
　ip pp intrusion detection in on reject=on　# WAN から 入ってくるパケットを検査
pp select none

と
ip lan1 intrusion detection out on reject=on　# ルータの LAN I/F から出て行くパケットを検査

ですね。

くだらない質問でスレ流して申し訳なかったです。


390:anonymous
07/02/04 04:34:12
URLﾘﾝｸ(www.rtpro.yamaha.co.jp) についての質問です。

Optimistic TCP acknowledgements の脆弱性 (TCP の脆弱性) へのルーター側での対策は、非常に難しいと思われますが、
YAMAHA のルーターでは、どういった対策をしたのでしょうか？

他社では、製品側では、この脆弱性に対する対策を行わずに、Webアプリケーション側での対策 (SSHで認証するとか
不特定多数にアクセスを開放しないとか) や 特定のIPアドレスのパケットしか受信しないとうにするとか、運用で回避しろという
ドキュメントを公開しています。

URLﾘﾝｸ(www.allied-telesis.co.jp)
URLﾘﾝｸ(www.furukawa.co.jp)
URLﾘﾝｸ(www.seil.jp)

もしご存知でしたら、教えていただけるとうれしいです。

391:Workaround
07/02/04 06:33:55
>>390
optimistic ACKを受信するとスロースタートまで無条件に戻す。って感じ。

392:anonymous
07/02/04 16:55:31
WANからローカルIPでアクセスする ip spoofing 対策で、次のようなフィルタを書いてみました。

ip lan1 secure filter out 10 11 12 13
ip filter 10 reject-log 10.0.0.0/8
ip filter 11 reject-log 172.16.0.0/12
ip filter 12 reject-log 192.168.0.0/16
ip filter 13 pass-nolog *

すると、LANからWANにアクセスできないばかりか、ルーター自体に telnet でログインすることすらできなくなりました。
そして、シリアルコンソールで no ip lan1 secure filter out をしたらネットワークが復旧しました。

何故正常に送受信することができなくなるんでしょうか？


393:392
07/02/04 17:01:45
自己解決です
良く考えたら IPマスカレード で送信元がローカルIPになるんでした


394:392
07/02/04 17:05:23
あ、WANからのパケットが全部拒否されるのはIPマスカレードの仕組み上当然なんですが
ルーターへの telnet ができないってのはなんでなんでしょう…。

ルーター本体のIPアドレス 192.168.0.1 に接続しているわけなので、同じLAN内であって、
URLﾘﾝｸ(www.rtpro.yamaha.co.jp) の
フィルタはかからんような…

自分自身の扱いだけ特殊なのかな；；

395:sage
07/02/05 08:29:18
侵入検知機能 (ip interface intrusion detection direction switch [option] 等) がRTXシリーズにありますが
これは具体的にどのような攻撃を検知できるのでしょうか？

マニュアルみても「指定された向きのパケットについて侵入を検知する。」ぐらいの説明しかなく、
ドキュメントも見つかりませんでした。

ご存知でしたらお願いします

396:あのにます
07/02/05 10:13:33
>>395
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

397:_
07/02/05 23:50:07
>>395
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

398:anonymous@ eatkyo468039.adsl.ppp.infoweb.ne.jp
07/02/06 01:28:25
RTX1100でlan1：192.168.0.1/24、lan2：wan（pppoe）
lan3：DMZ xxx.xxx.xxx.200/29のような形で設定を行っているのですが
DMZのサーバーが公開できません。

サーバーはグローバルIPをifcfgで振っているのですが
もしかしてサーバー自体にはプライベートアドレスを振って
RTXでNATでグローバルに変換しなければいけないとかでしょうか？

RTXの設定は下のリンク、ほとんどそのままなのですが。
URLﾘﾝｸ(netvolante.jp)

初心者丸出しで恥ずかしいのですが、大変困っております・・・・
分かる方いましたらヒントだけでもいいので教えていただけると助かります。
よろしくお願いします。

399:鯖缶
07/02/06 07:28:50
そのページに答え書いてあるじゃねーか

400:anonymous
07/02/06 11:57:45
内部DNSサーバ(192.168.100.200)があります。
こいつは、インターネットへはISPのDNSを参照しているのですが、
フィルタでDNS responseを弾いてしまっています。
ログをみると下記のようになっています。

PP[01] Passed at OUT(110) filter: UDP ルータ固定IP:53 > IPS/DNS鯖IP:53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP IPS/DNS鯖IP:53 > 192.168.100.200:53 (DNS response)

フィルタは概ね以下の様になっています。
ip filter 110 pass-log ルータ固定IP * tcp,udp * domain
ip filter dynamic 2 * * domain
nat descriptor masquerade static 1 5 192.168.100.200 domain

動的フィルタでresponseを受けたいのですが、out110→dynamic2で、ルータ固定IPへの
INは開くものの、192.168.100.200へのINは開かず、弾かれているのです。
このような場合、どのように動的設定をしたら良いのでしょうか？

尚、何故かresponseが弾かれていても、インターネットへの接続に支障は出ていません。
支障がなければ、いっそセキュリティ上弾いてる方がいいモノなのでしょうか？

401:（　・ω・）
07/02/06 13:15:28
>>400
いろいろと突っ込みどころがありま(´･ω･)ｽ
どの機体か知らんけど、簡易DNS鯖機能があったりするのが
最近のルータだからとりあえず動くでしょう。

フィルタについては、晒されたconfigでは、ルータ"自身"がパケットを
通します、というだけだからなんとも。
どのI/Fにどのフィルタをどっち向きにつけてるかでも変わりますし。
回線種別、割り当てられたIPの個数とかがわからんとどうしようも
ないですな。

まぁ、七面倒なことせんでも、
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
このへん熟読したら幸せになれるかもしれないで(´･ω･)ｽ



402:anonymous
07/02/06 14:50:04
>>401
すみません、物凄く基本的な情報を全て飛ばしてしまっていました。

回線：Bフレ　固定IP１＝ルータに割付(VPN用)
機種はRTX-1100でDHCPはOFF、DNSは192.168.100.200を参照する設定。
Active Directory鯖192.168.100.200でDHCP使用、DNSはISPのDNS参照。

記載したフィルタは、PP1のOUT側の一部で（ログから推測しないと分からないですね）、
DNS Queryに対するresponseが動的に入りさえすればよいのだからと、
ちょっといい加減に書きすぎたようで、反省しています。

Queryの始点が固定IPなのに、responseの終点がプライベートIPに変わっていたので
どうしたモノかと思い（中略）、とりあえず読み耽って来ます。

403:anonymous
07/02/06 16:04:45
ヤマハ　ファイアウォール・ルーター『SRT100』

URLﾘﾝｸ(www.yamaha.co.jp)

404:（　・ω・）
07/02/06 16:07:18
>>402
ルータの固定IPってグローバルアドレスのほう？
フレッツ固定１IPってたいてい、ルータはunnumberedだし、
そうなら>>400のフィルタっておかしなことになるぉ
見えるとこだけカンで書いたら

ip filter 110 pass-log 192.168.100.200/24 * tcp,udp * domain
ip filter dynamic 2 192.168.100.200/24 * domain
pp select 1
ip pp secure filter out 110 dynamic 2

こんな感じ？
つか、グローバルアドレスとStatic NATしたからといって、
ルータのルール書く時に、そのグローバルアドレスにしたら
しょうがないでそ(´･ω･)？

405:anonymous
07/02/06 16:58:24
>>404
またもや言葉不足で・・・・
どうも私は、正確に必要な情報をお伝えするのが不得手なようです

NTTに固定１というサービス名があるのをすっかり忘れていました。
IPsecのために固定IPを１コ取って、ip pp address 211.212.213.24(仮)/32してます。
（ちなみにISPはAsahiです）

私も最初は192.168.100.200がDNS Queryを出すモノとばかり思っていたのですが、
実際には、ログを見ると211.212.213.24(仮)がDNS鯖にQueryを出していました。
従って、outのフィルタ110番は、

　ip filter 110 pass-log 211.212.213.24(仮) * tcp,udp * domain

となっています。
natの設定自体も、実はフィルタ以前にnatで弾かれていたので付け加えたのですが。
始点が211.212.213.24(仮)なのに、帰りのパケットの終点が192.168.100.200に変わってるのが問題です。

分かりやすくログを書き直すと、

PP[01] Passed at OUT(110) filter: UDP 211.212.213.24(仮):53 > 210.210.210.20(仮):53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP 210.210.210.20:53 > 192.168.100.200:53 (DNS response)

もう、素直にip filter 111 pass 210.210.210.20 192.168.100.200 udp 53 53　を付け加えます。

お付き合い頂き、感謝です。

406:（　・ω・）
07/02/06 21:46:12
>>405
ようやく把握した(´･ω･)ｽ

ip filter dynamic で domainを指定した場合の動作は
あくまでアプリケーション（ぶっちゃけ、LAN内ローカルIP持ちのPC）からの
名前解決の挙動しか想定してないような気がしま(´･ω･)ｽ

Static NAT してDNS鯖として外に晒すなら、
ip filter dynamic * * filter * in * out *
ってな拡張形式で、
ip pp secure filter in と out
双方に動的フィルタを追加しないと
ダメな気がしま(´･ω･)ｽ。

あくまでスレーブ（つーかクライアントDNS？）として使うなら、
inのポートは開けないほうがいいんじゃないでしょうか

所詮ｼﾛｰﾄなんで詳しい人補足よろしくお願いしま(´･ω･)ｽ


407:annonymous
07/02/07 10:48:01 6VOPQdg3
動的フィルタってのがいまいちよくわかりませぬ。
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
ここは一応読んだのですが、

# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0017 * 21
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0017 * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# ip filter dynamic 2 * 172.16.1.0/28 ftp
# pp select 1
# ip pp secure filter in 80 100 dynamic 2
# ip pp secure filter out 90 dynamic 1

> なお、内側のホストを信頼できる場合には、 90番のフィルタのtcpflagを単にtcpとしてもかまいません。

とありますが、上記設定で、90番フィルタの対象プロトコルをtcpにしてしまったら
動的フィルタをdynamic 1で設定する必要無いんじゃないですか？
それこそ、

# ip filter 90 pass 172.16.1.0/28 * tcp * www
# ip pp secure filter out 90

と変わらないと思うのですが。
（dynamic 1 があろうがなかろうが90番フィルタで全パケット外向きに
飛ぶのだから、そもそも、動的フィルタを通す意味がないのでは？）

408:（　・ω・）
07/02/07 11:49:30
>>407
基本的に、動的フィルタってのは、双方向に穴をあけるのが特徴だと思いま(´･ω･)ｽ

その例だと確かに、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
で外向け、http(80)宛てのパケットは通りま(´･ω･)ｽが、
静的フィルタだけだと、返信のパケットをどうするか設定が必要だと思いま(´･ω･)ｽ
default で全パケットrejectして、使うパケットだけ通す、というルールが一般的ですが、
動的フィルタを使わないと

#ip filter 100 pass * 172.16.1.0/28 tcp 80 *
#ip filter 999 reject * * * * *
#pp select 1
#ip pp secure filter in 100 999

こんな設定が必要になると思いま(´･ω･)ｽ
（クライアントのポートは可変ですから 宛先 * とかにしない限り追いきれません。）
このfilter 100 が静的、つまり常時あると、結局、送信元ポートが80でさえあれば、
内側のクライアントの任意ポートに向けていつでも、パケットを送り込めてしまう
ことになりま(´･ω･)ｽ

自分はスーパーハカーではないで(´･ω･)ｽからこれがどれほど危険なのかは
わかりませんが、もし、その例の動的フィルタを使っているなら、filter 100 は不要
ですから、

#ip pp secure filter in 999

だけでも、LAN側からホームページ見るときの全パケットの行き来を許可できる
ということじゃないでしょうか。

動的フィルタあんまり使ってないので自信がありません。添削おながいしま(´･ω･)ｽ


409:anonymous
07/02/07 13:48:52
>>407
接続要求は飛ぶけど、返事が遮られて返ってきませんﾖ。
その為のdynamicです。
動的フィルタってのは、設定してても最初は存在していません。
OUTの場合は、こっちが接続要求を出して始めて出現し、
以降、要求に対する返答パケのIN方向を、自動的に開けてくれるのです。
通信の流れが止まると、一定時間後にIN方向の道も消える。ﾊｽﾞ。

要するに、dynamicでOUTの設定をしていると、
IN側の設定をしなくて済む＝IN側の設定を攻撃の対象にされなくて済む
ということではないかと。

ip filter 100 pass * 172.16.1.0/28 tcp 80 * のような設定をすると、
外部からの全てのIPアドレスのポート80から出たパケットは、
172.16.1.0/28の全てのTCPポートにアクセスできるということになります。
それを補うためにさらにフィルタ、フィルタ、時にNAT、さらにフィルタ・・・
となるワケです。

---

次ページ

最新レス表示

レスジャンプ

類似スレ一覧

スレッドの検索

話題のニュース

おまかせリスト

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch