YAMAHA業務向けルータ運用構築スレッドPart5at NETWORK

---

331:匿名希望
08/03/17 01:38:34
DHCPサーバ機能で、ローカルIPアドレスを次のように割り当てようと考えています。

一般PC: 192.168.1.1 - 192.168.1.254 まで自動割当
サーバ1: 192.168.2.1
サーバ2: 192.168.2.2
サーバ3: 192.168.2.3
サーバ4: 192.168.2.4

設定を書いてみたといころ、「dhcp scope」で定義したアドレス内でないと、固定割当に使えないようです。(エラーになります)

仕方なく、次のように自動割当部分と固定割当部分の両方を合わせた範囲を「dhcp scope」として指定して、
間の余った部分を「except」で除外設定するという汚い方法を採用したのですが、美しさに問題があると思います。

dhcp scope 1 192.168.1.1-192.168.2.4/16 except 192.168.1.255-192.168.2.0
dhcp scope bind 1 192.168.2.1 00:00:00:00:00:01
dhcp scope bind 1 192.168.2.2 00:00:00:00:00:02
dhcp scope bind 1 192.168.2.3 00:00:00:00:00:03
dhcp scope bind 1 192.168.2.4 00:00:00:00:00:04

このような設定方法で問題ないでしょうか？
それとももっと良い方法があるのでしょうか？

教えて下さい。

332:anonymous@FLH1Aaq038.oky.mesh.ad.jp
08/03/17 09:30:47
サーバをDHCPで動作させる方がセンスにかけますね。
クラスCを16bitマスクという点も・・・

サーバは固定IPアドレスにしないと
DHCPサーバの動作不良でサーバにもアクセスできなくなりますね。

個人宅なら好きにしたら？といいますが、
業務として利用するなら、お勧めしません。
あなたの業務を引き継ぐ人が可哀そうです。


333:aa
08/03/18 10:58:39
>>332
DHCPからアドレス貰う鯖、ってのも今の時代はありだぞ
不安があればDHCP鯖を2つ建てておけばいいし

334:anonymous＠hoge
08/03/18 12:47:20
指摘があっていたとしても、センスの問題じゃないな。
知っているか知らないか、単なる経験の差。

アドレスドメインを記入しているほうが。。。

335:チエ
08/03/18 13:20:56
あかん、うちこの人らの日本語理解できへんわ

336:anonymous＠扇子.mesh.ad.jp
08/03/18 13:29:16
関西には業務向け扇子ある？

337:おやじ
08/03/18 19:25:58
>>332
アホ？

338:チエ
08/03/18 21:23:07
自分が引き継いだネットワークで192.168.10.0/16とか書いてあったら
凄腕ネスペの俺でも一瞬凍るな。

次の瞬間小島よしおだ。
「あれ・・・あー、やべー、やっちまったー、
　変なネットワークひきついじまったー」

339:チエ
08/03/18 21:24:15
ウチが引き継いだネットワークで192.168.10.0/16とか書いてあったら
凄腕ネスペのウチでもそら一瞬凍るわ。

次の瞬間、小島よしおやで。
「あれ・・・あー、やべー、やっちまったー、
　変なネットワークひきついじまったー」

でもそんなん関係あらへん。

340:チエ
08/03/18 21:39:07
凄腕みせてみ。

341:331
08/03/18 23:48:24
>>332
回答ありがとうございます。

業務利用ではなく、自宅内のネットワークとなります。
この場合のサーバは、対戦型ゲーム等で外部からの接続を受け付ける必要があるプログラム等があり、
プライベートIPアドレスを固定する必要があるという意味です。

> クラスCを16bitマスクという点も・・・
調べてみたところ、クラスCはネットマスク255.255.255.0で使うものらしいですね…。
クラスBのプライベートIPアドレス172.16.0.0～172.31.255.255を使うよう変更してみます。


342:anonymous
08/03/19 00:11:15
>>331の内容といい、>>341といい、
見る人の好みや主観で醜いかどうかが決まる話だよね。
業務じゃないんだから、後任の誰かに引き継ぐこともないだろうし、
所期の目的を達してるんなら、書き方なんかお前の好きにしたらいいじゃん。
何でわざわざ質問するの？
茶々入れられても聞き入れる気なさそうだし、聞く動機が不明。

343:anonymous
08/03/19 00:17:06
動機は、 >>342 の凄腕がみたいため。

344:net
08/03/19 00:22:14
無駄に大きいサブネットを見ると「アドレスもったいねぇ」とか
感じちゃう俺は…十分に職業病だな。

１セグメントしかないなら、サブネットなんてなんでもいいけど…。
将来拡張したくなった時に困るくらいかな。

345:anonymous
08/03/19 01:45:10
初歩的な質問で申し訳ありません。

LAN1 の 1つめのポート に接続したコンピュータ (192.168.0.2) は、ネットバンキングやサーバへの
SSH接続等のハイセキュリティが要求される目的で使用しているため、LAN1 の 2つめ・3つめ・4つめ の
ポートに接続したコンピュータと次のようなコマンドで分離しています。

lan type lan1 port-based-ks8995m=split-into-1:234

しかしながら、これではLAN上の他のコンピュータとのデータのやり取りが全くできなくなりますので、
LAN1 の 1つめのポート に接続したコンピュータ (192.168.0.2) から、
LAN1 の 2つめのポート に接続したコンピュータ (192.168.0.3) に立てたFTPサーバに接続できるよう
にしたいと考えています。

(当該コンピュータ間での、FTP以外の通信は許可したくありません。)

この場合、どのような設定を行なえば良いのかご教示下さい。

346:anonymous
08/03/19 03:23:44
IPフィルタ（アクセス制御）したいならセグメント分け
しなくちゃ無理じゃね？

本質的に何をやりたいかは置いといて、

LAN1以外に空きポートないんすか？
あればLAN2とか3に別セグメント化したサーバ突っ込んで
ホスト指定のIPフィルタつくって適用！

※別にLAN1分割した状態でLAN1.2に別セグ化したサーバ挿して、
　フィルタきれるならいいかも？やったことないからシランっす。
　
まぁ自宅ですよね？

347:anonymous
08/03/19 03:39:24
>>345
何の機種使ってるか知らないけどRTX1100と仮定して
LAN分離にするとかネットバンキングしてるPCをLAN2につなぐとかして
ローカルアドレス同士の通信にフィルタかけた方が楽じゃないの

348:345
08/03/19 06:06:03
親切に教えていただきありがとうございます。

>>346
LAN3ポートが空いてます。
ホスト指定のIPフィルタですか…、なるほどです。
使用目的は自宅用です。

>>347
申し訳ありません、機種を書き忘れていました。
機種は、RTX1100です。
別のセグメントに分けてIPフィルタを作るってことですね。

早速試してみます。
ありがとうございます。

349:anonymous@
08/03/19 06:58:49
RTXで使えるLAN1分割機能、Netvolanteのスレッドで前に話題になったけど
全パケットに対してファストパスが無効になるので、非常に遅いらしい。
ISDNの時代ならともかく、今の広帯域接続に慣れた人間にとっての実用性は無いな。


350:anonymous
08/03/19 07:06:39
>>349

あっ、そうなんだ～。
普通に勉強になった。ｔｈｘ


351:anonymous
08/03/19 09:33:11
>>333
今の時代はありだぞ　→　DHCP２重化
てワロタ。
あなたは未来人ですか？とかだれも突っ込まないのね。

352:ano
08/03/19 14:44:09
>>351
同一セグメントでDHCPを複数たてても、配布アドレス等を注意すれば問題ないんだが・・・
絶対に複数置いちゃいけない、ってものでもない。
DHCPのRFC的には複数存在しても問題は起きないよ。

353:チエ
08/03/19 15:09:02
・LANで192.168.0.0/16 ネットワークを使っても、技術的・仕様的には問題無い
・同一LAN上にDHCPサーバが複数有っても、技術的・仕様的には問題無い

程度のことはみんな分かった上で、

>>331みたいな個性的なネットワーク、ウチはイヤや（じゃりんこチエ風）
みたいな話じゃありませんやろか。

354:anonymous
08/03/19 20:48:57
従業員30人の会社だが、
使っているアドレスは10.0.0.xxx
サブネットは24だが。

タイプする時に楽だから、という理由らしいｗ


355:anonymous
08/03/19 22:33:10
30人で24ビットマスクはでかすぎなキガス

356:anonymous
08/03/19 22:43:58
んなこといったら単身者自宅は32bitマスクで直結しか許されなくなるｗ

357:anonymous
08/03/19 23:31:00
それルータいらねーじゃん

358:anonymous
08/03/20 03:45:45
じゃあ30bitマスクで！

....一時期自宅でアドレスもったいない気がして/26で運用してたけども
なんかﾏﾝﾄﾞｸｾってなって結局/24に戻した記憶が。

359:anonymous
08/03/20 13:18:08
voipで複数拠点で同じ電話番号使いたいんだが、
複数ルーターで同じ電話番号使えるのって、カスケード機能の時だけ？
VPNで結んだ場合は×？

360:anonymous
08/03/20 20:32:34
ルータでカスケード機能？ってなんじゃらほいさ。
現状がどんなで、何をやりたいかが不明確っす！！

361:あの
08/03/20 20:48:18
>>360
インターネット電話のカスケード接続機能でしょ。
それでもやりたい事がいまいち分からないけど。

362:.
08/03/20 21:44:23
VPNで繋いだ上で、カスケード設定すれば出来なくはないけど、、、
ちゃんと動作するか不安だな

他にはVoIPのキャリア次第だけど
qvalueを使えば同じ番号を使える

363:359
08/03/21 23:21:34
わかりづらくってすんません。

具体例だと、
従業員が全員不在のことがある小規模な営業所の電話を、
本社で代理で取れると良いな、ということです。

本社～営業所 間はVPN接続済みという仮定で。

364:.
08/03/22 00:01:14
それなら不在着信転送サービスがあるVoIP業者を探すのが良い

365:名無し
08/03/25 00:01:06
RTX1100 で次のような設定をしたとします。(これだけでは実際には繋がりませんが、質問に必要な部分のみを書き出しました。)

| ip route default gateway pp 1
|
| ip lan1 address 192.168.0.1/24
|
| pp select 1
|　pppoe use lan2
|　ip pp secure filter in 1001
|　ip pp nat descriptor 2001
|　pp enable 1
|
| ip filter 1001 restrict-nolog * 192.168.0.0/24
|
| nat descriptor type 2001 masquerade

URLﾘﾝｸ(www.rtpro.yamaha.co.jp) によれば、
PP#1 → NAT IPマスカレード → ip pp secure filter (IN) → IPルーティング → ip lan secure filter (OUT) → LAN1 と流れていくはずです。

自分の pp1 のグローバルIPアドレスが 20.0.0.1 で、LAN1 のパソコンのプライベートIPアドレスが 192.168.0.2 の場合において、
WAN から次のようなパケットが来たとします。

送信元: 10.0.0.1
宛先　: 20.0.0.1

すると、NAT IPマスカレード とは、グローバルIPアドレスとプライベートIPアドレスの相互変換のことなので、
NAT IPマスカレード の時点で、次のように変換されるはずです。

～続く～

366:365
08/03/25 00:01:32
送信元: 10.0.0.1
宛先　: 192.168.0.2

ここからが肝心なのですが、次の処理である ip pp secure filter (IN) の時点で、宛先が 192.168.0.0/24 であるため、
パケットは本来廃棄されるはずです。

しかし、上記のような設定で WAN からのパケットが正常に届く (内部から Google 等にアクセスすると、レスポンスであるページの内容が
表示される) んです。

これは ip pp secure filter が正常に作動していないということなんでしょうか？

教えて下さい。


367:365
08/03/25 00:14:37
上のレスには 「ip filter 1001 restrict-nolog * 192.168.0.0/24」 と誤って書いてしまいましたが、
実際には正しく 「ip filter 1001 reject-nolog * 192.168.0.0/24」 と設定してあります。

フィルタがかからない原因等をご存知でしたら、教えていただけると幸いです。

368:365
08/03/25 00:23:58
本当に申し訳ありません。
自己解決しました。

しかも、>>365-367 には原因が含まれていませんでした。
実際にはフィルタを複数適用しており、rejectの前にpassが1個入っていたのが原因でしたorz


369:俺
08/03/25 00:35:34
>>365
お疲れ様です。。。w

370:RTX1100
08/03/25 06:24:06
質問させて下さい。

lan1 (172.16.0.1/16) 上のPC "172.16.0.2" に FTPサーバを立てたとします。
この時、lan2 (172.17.0.1/16) 上のPC "172.17.0.2" から、このFTPサーバを利用するためには、
どのようなルーティング設定 (ip route～?) を行なえば良いでしょうか？

FTPなのですが、ポート21を転送させる以外にもFTP-dataを解釈させて処理させる必要がありますよね？

イメージが掴めないので、ざっとで構いませんので、教えていただけると助かります。

371:anonymous
08/03/25 08:26:01
>>370
ルータのインターフェイスに直接つながっているネットワーク間の通信であれば、
ルータ自身がネットワークアドレスを知っていますので、通常、ルーティング設定は不要です。
イメージとしてはこちら、LAN1-LAN2の通信など、いかがでしょう。
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

372:anonymous
08/03/25 12:35:58
>>370
ip routeは不要、てかrouteにport番号は関係ないしね。

あと、FTPのport番号聞かれてもPASV設定の場合があるから管理者に聞きなさい。

373:RTX774
08/03/26 18:06:21
RTX1100でfeel6ｻｰﾋﾞｽを使いたいと考えてます。

RTV700だと
　tunnel dtcp IP-ADDRESS[:PORT] myname USERNAME PASSWORD [RETRY] [LOCAL]
のコマンドがあるのですが、RTX1100にはありません。

ﾌﾟﾛﾄｺﾙ番号41を特定の端末にﾏｯﾋﾟﾝｸﾞするしかないのでしょうか？

374:はげ
08/03/26 18:42:40
>>373

RTX1100にDTCPクライアント機能はないので、自鯖などの上で
適当なDTCPクライアントを動かした上で、RTX1100の
IPIPトンネルを掘れば使える。というか、使って見た事がある。

DTCPクライアントはfeel6の標準の奴でも良いが、いずれにせよ
URLﾘﾝｸ(www.nanno.org)

この辺に書いてある情報を読んで、自分のアカウントに関する構成情報を
調べる必要はある。

参考までにうちではこんな感じで繋げられた。
ipv6 routing on
ipv6 route default gateway tunnel AA
ipv6 prefix X aaaa:aaaa:aaaa::/64
ipv6 icmp log on
ipv6 icmp echo-reply send on
ipv6 icmp error-decrypted-ipsec send on
ipv6 lanX prefix aaaa:aaaa:aaaa::1/64
ipv6 lanX rtadv send X
tunnel select AA
tunnel encapsulation ipip
tunnel endpoint address xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
ipv6 tunnel rip send on
ipv6 tunnel rip receive on
ipv6 tunnel tcp mss limit 1374
tunnel enable AA

★MSSはFlets分とIPIPトンネル(ipv6)分のヘッダを考慮して調整した

375:rtx1000
08/03/28 10:21:17
RTX1000を使用しています。
サブミッションポート対応のため587ポートを25ポートに転送したいのですが
コマンドを教えていただけたら幸いです。

よろしくお願いいたします。

376:aaaaaaaa
08/03/28 10:59:11
>>375

つ 「コマンドリファレンス」

377:rtx1000
08/03/28 11:40:43
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.0.2 tcp 587=25
select pp 1
ip pp nat descriptor 1000
(他pp設定)
pp enable 1


378:anonymous
08/03/28 16:14:15
netvolante-dns
落ちてないか？

379:RTX774
08/03/28 18:34:46
>>374

ありがとうございました。
逝けました。


380:anonymous@p1161-ipbf2310marunouchi.tokyo.ocn.ne.jp
08/04/05 21:01:00 pfk6hYQq
RTX1000使ってます。
引越ししてGUIで設定してたのですが、ネットにつながりません orz
LAN2をWAN側はにつなげて、PoPPEで接続されているみたいですが
LAN1に接続したPCは、つながらないみたいです。

IPsecの設定がおかしいようなのですが、その辺の知識
ご教授ねがえないでしょうか。お願いします。

381:anonymous@p3085-ipbf1808marunouchi.tokyo.ocn.ne.jp
08/04/05 21:06:12
>>380
日本語でおｋ
単にインターネット接続をするのにIPSecは関係ないだろ。どことトンネル張るつもりよ。

つうか掲示板でそんなあやふやな質問をしてしまう人が、なぜRTX1000なんか使ってるのかが意味不明。
お前はバッファローで十分だ。というよりその方が適している。

382:anonymous@p1161-ipbf2310marunouchi.tokyo.ocn.ne.jp
08/04/05 21:08:35
>>381
なれない日本語つかったから許せｗ

実際、ネットワーク全然しらんがもっているからついでに勉強してみようと
思う。高いから捨てるのももってないしね。

正直、バッファロで十分だがもったいなやん orz

383:anonymous
08/04/05 21:11:38
>>382

じゃあパスワード類は伏せてでいいから、config晒してみ。
話はそれからだ。

ってここの誰からも言われるはずだから、先に言っておく。

384:anonymous@p1161-ipbf2310marunouchi.tokyo.ocn.ne.jp
08/04/05 21:12:45
>>383

ありがとう。しかもいまIPsecとNATを理解した。
直つなぎできてるんで一度おちるね

385:anonymous@p2076-ipbf2406marunouchi.tokyo.ocn.ne.jp
08/04/05 21:28:33
>>383

RS232Cケーブル学校だｗｗｗ
GUIからconfigみれないすか？？

386:anonymous@p295217.tokynt01.ap.so-net.ne.jp
08/04/05 21:39:33
>>385
GUIってWebブラウザからってこと？
それなら見られない。

諦めてシリアルコンソールかTelnetかSSHで繋いで見るか、
tftpでconfigをダウンロードするしかない。

387:anonymous
08/04/05 21:56:59
>>385
シリアルで繋いでいじる気があるなら、telnetだってほとんど同じじゃん。
なんでそこで諦めるかな。
telnetクライアントなら、Vista以外のWindowsには標準搭載されてるよ。

login timer clearがtelnetインターフェースには効かないから、開いたまま呻吟してると切れるけど
うざいだけで大きな問題ではない。


388:anonymous
08/04/05 22:44:12
Vistaでも入れればtelnetできるよー

VistaでTelnetクライアントを利用する － ＠IT
URLﾘﾝｸ(www.atmarkit.co.jp)


389:anonymous
08/04/07 03:48:37
ブラウザのGUIからでも
トップの「レポートの作成」でレポート作成すれば
そのなかにconfigは入ってる

390:anonymous@p2219-ipbf2805marunouchi.tokyo.ocn.ne.jp
08/04/07 23:34:54 XoknveJZ
>>386-389
みなさんありがとう。
さらします。

show config
# RTX1000 Rev.8.01.20 (Fri Jan 13 17:03:42 2006)
# MAC Address : 00:a0:de:28:ed:9f, 00:a0:de:28:ed:a0, 00:a0:de:28:ed:a1,
# Memory 16Mbytes, 3LAN, 1BRI
# main: RTX1000 ver=b0 serial=N0E097880 MAC-Address=00:a0:de:28:ed:xx MAC-Addr
ess=00:a0:de:xx:ed:a0 MAC-Address=00:a0:de:28:ed:xx
ip lan2 nat descriptor 1
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap mschap mschap-v2
pp auth myname xxxxxxxxxx@bff.ocn.ne.jp ersp39
ppp lcp mru on 1454
ppp ipcp ipaddress on
ip pp mtu 1454
pp enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
nat descriptor address inner 1 192.168.100.11-192.168.100.20
nat descriptor masquerade incoming 1 reject


391:anonymous
08/04/08 01:59:12
>>390
特定した

392:anonymous
08/04/08 03:36:32
>>390
おいおい
正気か？

393:anonymous
08/04/08 05:54:13
うわちゃー・・・。
アカウントは隠してるけど肝心の物がorz

394:anonymous
08/04/08 08:24:10
>>390
MACアドレスも中途半端に隠してるし・・・
意味が分からん

うちのRTX1000より大分後のだな

395:anonymous@p4011-ipbf2009marunouchi.tokyo.ocn.ne.jp
08/04/08 08:26:33
あれpassもxxにしたはずなのに orz
吊ってきて変えてきます

396:::1
08/04/08 11:44:38
>>394
ファームウェアuｐdateシナヨ。

397:390
08/04/08 22:39:39
でなにがわるいんでしょ orz

398:390
08/04/08 22:39:51
でなにがわるいんでしょ orz

399:あのにー
08/04/08 22:49:52
>>398
ip lan1 address って要らないんだっけ？
ip route default gateway は？
あと、nat descriptor って ip pp に掛けなくて良いんだろうか？

400:anonymous
08/04/08 23:00:05
単なるインターネット接続だったらテンプレもあるだろうに、いろいろと妙だな。

そもそも ip lan1 のIPアドレスは？
そのIPアドレスがNATのinner addressに含まれてないとDNSリカーシブサーバ機能も働かないし、
クライアントPCのIPアドレスもinner address範囲内にないと、当然NATされないから外界と通信できない。

>あと、nat descriptor って ip pp に掛けなくて良いんだろうか？
思いっきり必要だな。
pp select 1状態で
ip pp nat descriptor 1
が要る。

>pp auth accept pap chap mschap mschap-v2
フレッツだったらmschap/mschap-v2はあり得ないから、この２つは取る。



401:anonymous
08/04/08 23:10:47
>390
ここ読んだ？
URLﾘﾝｸ(netvolante.jp)

402:390
08/04/08 23:28:37
>>400
ip lan1のアドレスはrarpdで192.168.100.1に設定してあります。
ブラウザからのレポートのconfigだから表示されないんでしょうか？

nat descriptorはlan2ではなくppにかけるということですか？

mschapについては、存じていませんでした。消します。
>>401
以前から、GUIで設定していましたがtelnet使ったほうが簡単みたいですね。。。
参考にさせていただきます。

>>399
貴重な意見ありがとうございます。考慮にいれてみます。
ルートゲートウェイはGUIでpp設定のとき、それにしているはずです。

403:anonymous@z75.124-44-136.ppp.wakwak.ne.jp
08/04/09 10:19:47
マルチホーミング接続に関してですが、

pp1 プロバイダ1 pppoe
pp2 プロバイダ2 pppoe

ip route defaulte gateway pp1 hide gateway pp2 hide weight 0

で　pp1 リンク時　pp1使用　pp1 ダウン時　pp2 使用になりますが、


ip route defaulte gateway 192.168.0.2 hide gateway pp2 hide weight 0
とした場合、hide オプションは　pp 及び tunnel のみ有効となるので
無意味なのでしょうか？

やりたいことは別のルーターをデフォルトゲートウェイにしておき、そちらが
目的アドレスへの到達性が失われた場合　自動的に pp2 に切り替えることです。
別のルーターでは切断を検出できないので無理ということでしょうか。
別のルーターはYamaha ではなく、一般的なBBルーターです。

404:あのにまん
08/04/09 10:41:47
>>403
マルチホーミングって言うより、単なる経路バックアップじゃない？
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

405:anonymous
08/04/09 11:02:27
>>396
ファームウエアじゃなくてシリアル番号から判断しました

406:anonymous
08/04/09 22:10:58
>>403
LANインターフェイスでは、hideが効かないはず。代わりに、ここのように、
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
ip route のkeepalive句とip keepaliveを使って
pingで到達可能性を確認して、経路を切り替えてはいかがでしょう

407:403
08/04/09 23:09:52
URLﾘﾝｸ(journal.mycom.co.jp)

ここもヒントになりそうですネ。
ただ、この例では別のルータがLAN2ですが、
私の環境では
RTX の LAN1 192.168.0.1
別のルータが LAN1側で 192.168.0.2 であり、
通常は別のルータにインターネット通信を転送しておき
不通時に LAN 2 のPP1 に転送したいということですので、
lan back upは使えそうにありません。

ip keepalive ・・・・　の呪文がかぎになりそうですので
いじってみます。


408:anonymous@p3245-ipbf2008marunouchi.tokyo.ocn.ne.jp
08/04/11 17:34:41 LBEgG3eC
本社側のRTX1500に、ホテルのＬＡＮポート(DHCP)に
RTV700などを接続してVPN（IPsec）通信は可能でしょうか？
現在は出張部隊各人VPNクライアント(YMS-VPN1)を導入しているのですが
各々のシングルルームから作業している状況で、コミュニケーションが
とりづらいので、少し大きめの部屋を作業ルームとして借りて
上記の事が出来ればいいなと思っています

本社のネットワーク管理の方が長期休暇（？）をとっているらしく
返答がもらえないのでこちらで質問させていただきました
よろしくお願いいたします

409:anonymous
08/04/11 17:51:39
>>408
107eか1100か1500かsrt100で、IPsec+NATトラバーサルを使う。
本社側で設定変更ができないなら、107eにVPN1の設定を流用したのちに
107eのvpnトンネルにipマスカレードを適用すると、どうでしょう

410:.
08/04/11 20:54:23
ホテルの中からVPNを張りにいけるのか疑問だなぁ

411:anonymous@p1067-ipbf906osakakita.osaka.ocn.ne.jp
08/04/12 15:38:25 p4/nwWpO
>>410
個別のVPNクライアントでは張れているという前提じゃないのかな？
そうじゃないならホテルのルータがVPNパススルーするのか私も心配。
まニーズ多いだろうし最近のホテルはその程度できて当然なのかな

412:anonymous@softbank219191144049.bbtec.net
08/04/12 21:46:34 0J3Sh29B
どなたか教えてください。
cisco　－　RT57I
上記の構成で、ISDN接続しております。(ISDNシュミレータを使用しています。)
RT57I　⇒　ciscoに対しては繋がるのですが、
cisco　⇒　RT57Iに対しては繋がりません。
RT57Iに対して、着信しないようです。
何か特別な設定が必要なのでしょうか。

413:anonymous
08/04/12 21:54:50
config と、うまくいったときおよびうまくいかないときのログはさらしてもらえませんか
発着信番号かパスワードの認証あたりで拒否られてるんじゃないかと思いますけれど

414:anonymous
08/04/12 21:57:38
encapsulation ppp かもしれない。

415:anonymous@softbank219191144049.bbtec.net
08/04/12 22:14:33 0J3Sh29B
>414

まず、RT57IのコンフィグをUPします。

# Memory 16Mbytes, 2LAN, 1BRI
ip route 192.168.200.0/24 gateway pp 1
ip lan1 address 192.168.100.1/24
isdn local address bri1 0333333311
pp select 1
pp bind bri1
isdn remote address call 0333333321
isdn remote address arrive 0333333311
isdn arrive permit on
pp auth request chap-pap
pp auth accept pap chap
pp auth myname rt57i yamaha
pp auth username isdn cisco
ppp ipcp ipaddress on
ip pp address 192.168.200.1/24
pp enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dns private name setup.netvolante.jp
analog supplementary-service pseudo call-waiting
analog extension dial prefix line
analog extension dial prefix sip prefix="9#"
pp1#



416:anonymous@softbank219191144049.bbtec.net
08/04/12 22:23:17 0J3Sh29B
次にciscoのコンフィグをＵＰします。
version 12.2
hostname isdn
enable password cisco
username rt57i password 0 yamaha
ip subnet-zero
no ip domain-lookup
isdn switch-type ntt
interface BRI0
ip address 192.168.200.3 255.255.255.0
encapsulation ppp
dialer map ip 192.168.200.1 0333333311
dialer-group 1
isdn switch-type ntt
isdn caller 0333333311
ppp authentication chap pap
ppp chap hostname isdn
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.200.1
ip http server
dialer-list 1 protocol ip permit
end


417:anonymous@softbank219191144049.bbtec.net
08/04/12 22:42:19 0J3Sh29B
RT57I　⇒　cisco　は、繋がります。
> show log
2008/04/12 22:38:31: Restart by restart command
2008/04/12 22:38:31: RT57i Rev.8.00.57 (Tue Feb 8 20:44:38 2005) starts
2008/04/12 22:38:31: Login succeeded for Serial
2008/04/12 22:39:29: PP[01] IP Commencing: ICMP 192.168.200.1 > 192.168.200.3 :
echo request
2008/04/12 22:39:29: PP[01] Calling 0333333321 with 1B mode
2008/04/12 22:39:30: PP[01] PPP/IPCP up
>

418:anonymous@softbank219191144049.bbtec.net
08/04/12 22:51:12 0J3Sh29B
>414
しかし、cisco　⇒　RT57Iは、
全く繋がりません。。。
sdn#ping 192.168.200.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.1, timeout is 2 seconds:

00:18:14: ISDN BR0: Outgoing call id = 0x8003, dsl 0
00:18:14: ISDN BR0: Event: Call to 0356211511 at 64 Kb/s
00:18:14: ISDN BR0: process_bri_call(): call id 0x8003, called_number 0356211511, speed 64, call typ
e DATA
00:18:14: CCBRI_Go Fr Host InPkgInfo (Len=26) :
00:18:14: 1 0 1 80 3 0 4 2 88 90 18 1 83 70 B 80 30 33 35 36 32 31 31 35 31 31
00:18:14:
00:18:14: CC_CHAN_GetIdleChanbri: dsl 0
00:18:14: Found idle channel B1
00:18:14: CCBRI_Go Fr L3 pkt (Len=7) :
00:18:14: 2 1 3 98 18 1 89
00:18:14:
00:18:14: ISDN BR0: LIF_EVENT: ces/callid 1/0x8003 HOST_PROCEEDING..
00:18:18: CCBRI_Go Fr L3 pkt (Len=8) :
00:18:18: 45 1 3 96 8 2 80 95
00:18:18:
00:18:18: ISDN BR0: LIF_EVENT: ces/callid 1/0x8003 HOST_DISCONNECT
00:18:18: ISDN BR0: Event: Call to 0356211511 was hung up.
00:18:18: ISDN BR0: process_disc_ack(): call id 0x8003, ces 1, call type DATA cause 0x0
00:18:18: ISDN: get_isdn_service_state(): idb 0x296C08 bchan 2 is_isdn 1 Not a Pri
00:18:18: CCBRI_Go Fr Host InPkgInfo (Len=10) :
00:18:18: 6 0 1 80 3 0 8 2 0 8

何かわかりますでしょうか。

419:ano
08/04/12 22:59:45
RTの着信時のログは？
syslog notice on で

420:anonymous@softbank219191144049.bbtec.net
08/04/12 23:06:42
>419
こう出ます。
↓
2008/04/12 23:05:01: Detect call at bri1 from 20
2008/04/12 23:05:01: PP[??] Calling address is not match neither peers nor anon
ymous
2008/04/12 23:05:01: Call from 20 is rejected with cause [Call rejected(21)]
#

421:anonymous@softbank219191144049.bbtec.net
08/04/12 23:27:19
>>414
>>419
すみません。解決しました。
電話番号の設定ミスでした。
特に、ログの取り方を教えて頂いて有難う御座いました。

422:.
08/04/12 23:27:43
isdn remote address arrive 0333333311
の電話番号が違うからとか？

423:.
08/04/12 23:28:40
一瞬遅かった笑
でも解決して良かった

424:anonymous@softbank219191144049.bbtec.net
08/04/12 23:29:05
>>422
はい。電話番号が違いました。
大変、お騒がせしました。

425:407
08/04/19 20:52:58
うまくいきました。

LANインターフェースではhideが効かないので keepalive を使うということですが、逆に
PP や　tunnel では hide が効くので　hide で済めば keepalive を使う必要はないということでしょうか？
例えば、
URLﾘﾝｸ(netvolante.jp)
ip route 172.16.2.0/24 gateway tunnel 1 keepalive 1 gateway pp 10 weight 0
ip keepalive 1 icmp-echo 10 6 172.16.2.1
↓
ip route 172.16.2.0/24 gateway tunnel 1 hide gateway pp 10 weight 0

上の設定 だと　echo 10秒ごとに6回打って反応がない場合に切り替わりますので
pp 10 に切り替わるまで　60秒かかります。
hide オプションで　tunnnel 崩落が検知されればより早く切り替わるように思えるのですが・・・・・・
あるいは　tunnel backup でも同じことができる？
同じことをするのに設定例がいくつもあるのは柔軟といえば柔軟ですが戸惑いますね。

426:anonymous
08/04/20 23:48:26 Ghv3p6j+
質問させてください。

現在RTX1100でPPTPによるリモートアクセスVPNを実現したいと考えています。
現在クライアント側からアクセスするとVPNには接続しているようなのですが、
クライアントのサブネットマスクが32ビット(255.255.255.255)になってしまいます。

RTX側のログを見ても
2008/04/20 23:35:54: PP[ANONYMOUS01] PPP/IPCP up
2008/04/20 23:35:54: PP[ANONYMOUS01] Local PP IP address 192.168.1.1
2008/04/20 23:35:54: PP[ANONYMOUS01] Remote PP IP address 192.168.1.201

となっており接続は出来ているようです。

VPNクライアントに与えるサブネットマスクを設定できるコマンド、
があるのかと色々調べてみたのですが見つけることが出来ませんでした。


427:426
08/04/20 23:52:20 Ghv3p6j+
続いてconfigです

ip route default gateway pp 1
ip lan1 address 192.168.1.1/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname xxxxxxxxx xxxxxxxxxx
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1


428:426
08/04/20 23:53:13 Ghv3p6j+
config 続き

pp select anonymous
pp bind tunnel1
pp auth request mschap-v2
pp auth username xxxxxx xxxxxxxxx
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-128
ppp ccp no-encryption reject
ip pp remote address pool 192.168.1.201-192.168.1.202
ip pp mtu 1280
pptp service type server
pp enable anonymous


429:426
08/04/20 23:53:40 Ghv3p6j+
続き2

tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
tunnel enable 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 ipcp
nat descriptor address inner 1 192.168.1.1-192.168.1.199
nat descriptor masquerade static 1 3 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.1 gre
syslog notice on
syslog info on
syslog debug on
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.2-192.168.1.99/24
dns server pp 1
dns private address spoof on
pptp service on


430:426
08/04/20 23:57:06 Ghv3p6j+
もう都合３日ほど、色々設定しているのですがお手上げ状態です。
恐らく私の基本的なネットワークの知識が不足しているために、
見落としがあるのだと思いますが・・・

何かわかる方いらっしゃいましたらよろしくお願いします。

431:anonymous
08/04/20 23:58:17
>>426
実現したいと思っております、で、実現できてるんじゃないの？
PPP仮想アダプタに割り振られるIPアドレスに対応するサブネットマスクが32bitであってはいけない理由は何ですか。

つうか、config見て思ったんだけど、
ip lan1 proxyarp on
が無いからとか、そういう理由？
このスレの上の方にもその話が出てるね。

432:426
08/04/21 01:02:18
>>431
レスありがとうございます。
PPP仮想アダプタに割り振られるサブネットマスクって32bitが一般的なんですか？
てっきり24bitなどLAN1に割り振られるのと同一だと思ってました・・・

接続後ルータからping を送っても帰ってこないので、てっきりサブネットマスクが
原因だと思い込んでいました。お恥ずかしい。

433:anonymous01
08/04/22 23:32:33 u48RkSOb
余っていたRT58iを社内用（財務部）のFW用途で使えないか試しています。
財務部からは、どの通信も許可するが、財務部には特定のサーバーのアドレス・ポートのみを許可する設定は、
可能でしょうか？
外部のサーバーのアドレスをPASSで設定すると、その他のセグメントにPingが飛ばなくなります。
試しに財務部のアドレスをOUTで設定しても駄目でした。

総務で使ってるNetscreenだと、外向けをすべて許可すると戻りパケットも設定せずにPingが帰ってきました。

RT58で上手く行ったら、SRT100の導入する予定です。




434:anonymous
08/04/23 00:24:40
RT58iを試す前は別のルータが置かれていたの？
もし元は何も無かったところにルータを置いたんなら、少なくとも財務部のPCは全てアドレスを変えたわけだよね。
試す前後でどこをいじったのか、NATは使ったのかそうでないのか、情報が無さすぎてアドバイスできないよ。

435:anonymous01
08/04/23 07:48:18 TyiK8GX/
>>434 レスありがとう
RT58iは、Bフレッツの接続で一時使ってました。財務部のFWと言っても、一部の業務用PC5台程度に使う予定です。
例192.168.0.254/24⇒172.16.0.0/24のようにアドレスが変わるのは、理解しています。

RT58を試す前に、富士通のSi-R220BでL3スイッチを使って擬似ネットワークで試しましたが、許可した通信以外を拒否すると
内部から出た戻りパケットも拒否されるようで、通信出来ませんでした。

総務で利用しているNetscreenだとUntrust⇒Trustの通信をANY・ANYで許可すると、戻りパケットはブロックされずに、
Pingも戻ってきます。Trust⇒UntrustのPingは、TimeOutになります。

通常、ルータのアクセスリストで特定のアドレス以外を拒否した場合、許可した通信外からの戻りパケットはブロックされますよね。
Netscreenのような内部からの通信はすべて許可すると戻りパケットもちゃんとも通過出来るような設定って出来るんでしょうか？




436:anonymous01
08/04/23 08:06:30 TyiK8GX/
質問がわかりづらくてすいません。

お聞きしたかったのは、RT58iで内部からの通信は、すべて許可するが、外部からの通信は制限するような設定が可能か？との内容です。


437:＄
08/04/23 09:18:14
>>436
そんなの出来るに決まってんだろ。

ip pp secure filter in 1000 1001
ip pp secure filter out 2000 dynamic 101 102 103

ip filter 1000 pass * (財務部鯖)/32 tcp * 80
ip filter 1001 reject * *
ip filter 2000 pass * *

ip filter dynamic 101 * * ftp
ip filter dynamic 102 * * tcp
ip filter dynamic 103 * * udp



438:anonymous@z90.220-213-31.ppp.wakwak.ne.jp
08/04/23 20:47:12
>>435
NAPT （IPマスカレード）　して
WAN側　財務部以外
LAN側　財務部　とすれば、希望の挙動になります。
しかし、この場合　財務部以外　のリソースには　すべて同一のIPアドレスで
アクセスすることになります。
これがダメな場合は　WAN ----LAN をアドレス変換なしで
ルーティングしてやる必要がありますが、おっしゃるとおり
LAN →　WAN すべて許可
WAN → LAN すべて拒否　とすると　応答パケットも破棄されて通信できなくなります。
その場合は　established　で解決です。

URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

NAPT している場合は
ip pp nat descriptor 1
nat descriptor type 1 masquerade とでもすれば自動的に established な挙動になります。

ところで今日Allied の AR260S と RTX1100 でトンネル作ってみたんですが
AR260側からアクセスすると通信できるのに　RTX1100 側からアクセスすると通信できなくなり
トンネルが落ちまくる現象に遭遇しました。だれか相互接続に成功した方います？

439:anonymous01
08/04/23 22:59:19 TyiK8GX/
>>437-438　レスありがとうございます。

明日、試してみます。

440:あのにま
08/04/24 12:53:01
RTX1100・RTX1500・RT107e用最新ファームウェアリリース

441:anonymous@z90.220-213-31.ppp.wakwak.ne.jp
08/04/24 16:02:15
アフォ質問すまんが、

RTX1100 で ISDN につなげられる S/T ポートが　1個しかないので
バックアップできるのは　トンネル2個　ということでしゃうか？
INS64 の場合

3個以上ダイヤル発信あるいは、受け入れる場合には
INS1500 にするか

RTX1500　以上にして　2個のS/T ポートを
それぞれ別の INS回線につなぐとかするんでしゃうか？　


442:.
08/04/24 16:24:24
常時接続したいとか順番待ちしたくないなら
RTX1500にして2つINS回線引くのが良いね
いっそRTX1100を2台買うってのもありかもね

443:age
08/04/24 16:28:51
>>441
ISDNで直接他の部署とpppをすればそういう事。
ISDNの先にフレッツ網とかISPとか通せば沢山取れる。

いまどきISDNでバックアップなんて考えない方が良いんじゃないか
バックアップするばらADSLで。費用もさほど変わらないし。

444:anonymous
08/04/24 18:33:26
フレッツは共倒れする可能性があって、
URLﾘﾝｸ(www.ntt-east.co.jp)
とはいえ価格と使える帯域を考えればISDNよりADSLだから
うーん、お客さん次第かな、と。

445:441
08/04/24 20:51:08
皆の衆ありがとう。

そう、共倒れの可能性があるので
ひかり　→ ADSL
ADSL →　ADSL のバックアップに二の足踏んでたんだよね。

メイン　グループアクセスライト
バッックアップ　インターネットVPN（NTT系以外がよい？）
みたいな感じがよいかもしれませんね。


446:anonymous
08/04/29 15:32:27
>>433
透過モードに対応したF/W専用機を使うほうが幸せになれると思うよ

447:anonymous
08/04/30 15:30:59
XPSP3を当てたところDHCPで出力しているWINS設定が取れなくなりました。
RTX1100でファームRev.8.03.70です。
これってSP3の不具合なのかRTX側の問題なのか・・・
ちなみにDHCP出力の設定は
dhcp scope option 1 dns=xxx.xxx.xxx.xxx wins_server=xxx.xxx.xxx.xxx vendor_specific=02,04,00,00,00,01
てな感じです。
SP3当てた人いませんかね？(;´Д`)

448:an
08/04/30 18:45:07
SP3は入れたけどWINSなんて化石は使ってない

449:anonymous
08/04/30 23:14:20
RTX1000ですがIPv6のフレッツスクエアに接続するにはどうしたらいいですか

450:crypto map to 2ch
08/04/30 23:48:20
>>447
dhcp scopeであてずに、
wins server xxx.xxx.xxx.xxxでやってるけど
SP3でもDHCPでWINSひけてるよ

451:_
08/05/02 15:57:56
Rev.8.03.75

452:?
08/05/02 21:40:07
SP3は正式版ないと幾ら言えば（ｒｙ

453:anonymous@x127102.ppp.asahi-net.or.jp
08/05/07 00:20:52
すいません。2つ質問させて下さい。小規模会社でYamaha RT58iを導入中です。

1) 簡易ウェブ設定で設定しようとしても、「切断してから」と怒られ
「切断」を押してもすぐに再接続されるのは使用ですか？

2) nmap を外からすると、filteredじゃなくて、closedなのも仕様ですか？

ルーターをコマンドから設定するのが基準のようなので、あまりにしょぼい質問だとは思いますが・・・
こころやさしい方がいらっしゃれば、教えて下さい。


454:anonymous
08/05/07 00:28:57
仕様仕様てアホかよ

455:あの
08/05/07 00:32:10
>>453
ｽﾚﾘﾝｸ(hard板)
に行ったほうがいいよ

まぁ、どっちもコマンド次第としか言えないが

456:anonymous@x127102.ppp.asahi-net.or.jp
08/05/07 00:36:17
誘導ありがとうございます。無知なまま、質問しすぎました。もう少しコマンド含め、勉強します。

457:anonymous@i219-167-49-44.s02.a005.ap.plala.or.jp
08/05/09 21:21:13
RTX1100 で　フレッツグループアクセスでトンネルしてまつが、

IPSEC じゃなく IPIP でやってる方いらっしゃいます？
そっちのほうが速いとかありますでしょうか。

IPSECの場合でも
3DES より DES がいいとかありましたら　おせーてくらはい。

458:sage
08/05/09 23:41:43
1100ならAES=3DES=DES>>>>>>>IPIP暗号
　(↑AES、3DES、DES用VPNアクセラレータ搭載)

1000なら3DES=DES>>>>>>＞IPIP暗号>AES
　(↑3DES、DES用VPNアクセラレータ搭載)

1100なら気にしないでIPsecでAESを使うがよろし


459:ほめ言葉だが…
08/05/09 23:55:33
RTX1100のIPIPはファストパスに対応しているから、
IPSecを使うよりもIPIPの方が速いかも…しれない。

RTX1000のIPIPはノーマルパスなので遅いだろうね。

460:459
08/05/10 00:03:12
名前が変になった…orz。

VPNアクセラレータがあるとは言え、それがボトルネックに
なる可能性はある。
個人的には余計な処理がない分IPIPの方が早いと思うけど。

計測するかヤマハに聞くのが早そうだけど。

461:sage
08/05/10 01:54:09
>>458
理論的に「3DES=DES」はないはず。

なので、

1000なら3DES>DES>>>>>>＞IPIP暗号>AES

が正しいのではないだろうか？

ただ、「IPIP暗号>AES」は直感的に疑問を感じました。教えてください、エロイ人。


462:anonymous
08/05/10 02:07:55
つうか、IPIP「暗号」って何？
実際、選択できるのはペイロード暗号化無しのカプセリングでしょ？

463:y
08/05/10 07:40:26
「IPIPはIPsecの付いていないルーターでIPsecもどきをやるための物だろ。
速度は出ないのじゃないか。

464:net
08/05/10 13:23:27
PPTPと勘違いしているのではないかと思われ…。

465:457
08/05/10 14:13:57
皆さん回答ありがとう。
グループアクセスなら、暗号化しなくても（あるいは強度落として）
速度優先がよいかなと思ったのですが、実用上大差ない
ということでいいのかな？　

Yamahaの設定例でも IPSEC 使う例ばっかりでした。
速度の
検証例は Web 上で漁ってみましたが、あまり参考になるのがなかったです。
自分で計るしかないということか・・・・I

466:anonymous
08/05/10 20:16:43
107eだとIPIPの方が速い様な事が書いてある。
URLﾘﾝｸ(netvolante.jp)

467:Cusco
08/05/11 01:02:08
うちも導入案件などでYamahaを使ってフレッツグループでVPNするときは
だいたいIPSECにしてる。

ただ、個人的にはせっかく閉域網のサービス受けといて更に暗号化して
速度落とすことはないだろーっていつも思う。
でも、実際IPIPと比較もしてみたけど速度は大して変わらなかった。

まぁフレッツグループで使うなら、気分的にIPIPの方が好きかな

468:anonymous
08/05/11 01:13:52
暗号化はすると圧縮もされるから、通す内容如何では
ハードウェアアクセラレータが働く暗号化を通した方が、転送効率が必ず下がる無圧縮カプセリングより
トータルでは速くなったりするのかもね。

469:sage
08/05/11 01:47:59
＞暗号化はすると圧縮もされるから
＞暗号化はすると圧縮もされるから
＞暗号化はすると圧縮もされるから
＞暗号化はすると圧縮もされるから

この板に来んなｗチンカス

470:anonymous@i222-150-21-2.s02.a005.ap.plala.or.jp
08/05/14 20:56:21 0PNu5K1l
RTV700　買うのと、

RTX1100 + voipアダプタ　では　どっちが幸せになれますか？

471:anonymous
08/05/15 03:30:25
>>470
自分なら後者
後で使い回しきくから

472:a
08/05/16 08:38:16
自分なら前者
voipアダプタは基本的に糞

RTV700 と RTX1100+RT58i の比較であれば後者
RTV700 と RTX1000+RT58i であれば前者

かな

473:anonymous
08/05/17 00:33:35
RTV700やRT58iをカスケード接続したら、
外線同時４通話とか可能になる？

474:.
08/05/17 00:54:09
それだけ外線を契約すれば可能だなISDN×２回線
三者通話みたいなのを期待してるなら無理だが

475:anonymous
08/05/17 10:13:41
>>473
IP電話対応の交換機買ってもおなじぐらいの価格じゃねーの？

476:470
08/05/17 12:53:20
RTV700 が 65,000円で売ってたので買いました。
普通の値段なら考えてしまうとことですが、この値段なら買いでしょう。

一応新品らしいのですが、初期ロットかな？
安いからしょうがないか。

477:anonymous
08/05/18 13:24:13
>>473-475
できなかったような。
外線1本目、2本目を別々に制御できない。
Voipなら複数可能。

478:476
08/05/18 20:45:13
うーむ。

コンフィグを漁ってみたが、単純に050ＩＰ電話を使うための設定がみつからん。
ほかの（内線voipとか）機能との組み合わせ例はあるが、
シンプルに050ＩＰ電話をつかうためのコンフィグがみつからん。
GUIの設定例はあるが。　困ったもんじゃ。

479:.
08/05/19 00:34:47
googleで検索したら出てくるんじゃない？
過去ログにもいくつかあった気がするけど

480:
08/05/19 12:45:42
RTV700の利点はPBXポートでしょ。

481:*
08/05/20 09:13:38 dRoPQvHI
APEX7600を買うんだ！

482:476
08/05/20 16:40:59
設定してみますた。　経過報告。
PPPoEが　2セッションまでだった。　ハア？　きいてないよ。
おまけにGUI で設定すると　余計なフィルタが鬼のように作成される。
（同じ内容のフィルタが　インターフェースごとに　ことなるフィルタ番号で複数作成される等）
CUI　で　最小限の設定しかしないと　GUI 上の画面では　pp インターフェースが現れてもくれない。
プロバイダは　1個しか使えないから切り替えて使え　みたいなことを書いてあったが、
実際は普通にマルチセッションできる。　など戸惑う部分が多い。
マニュアルやweb上では　GUI 設定で解説している場合がおおいので
RTX1000 1100 になれていると違和感がある。　サポート窓口はネットボランチのほう。

pp 10 =Ｉ SDN で
tunnel backup pp 10 コマンドが使えないのでトンネルのバックアップができず、
　おまけに
ip route 192.168.0.0/24 gateway tunnel 1 hide gateway pp 10 weight 0
のようにして　pp 10 をバックアップにすることもできず、
（weight 1以上しか指定できず、省略すると　1　を意味するので）
どうあってもマルチホーミングしてしまう。

しょうがないので　考えたあげく
pp 1 = インターネット用　で
ip filter 1 pass * 192.168.0.0/24
ip route default gateway tunnel 1 filter 1 hide gateway pp 10 filter 1 hide gateway pp 1

としてみた。フィルタは前から適用されるらしいので　マルチホーミングしないと思う。
検証予定。

RTV700は電話の設定を重視しない場合は ちょっとお勧めできない感じでした。
値段が安かったので　とりあえずは　満足ですが。

483:am
08/05/20 20:58:32
>PPPoEが　2セッションまでだった。　ハア？　きいてないよ。

URLﾘﾝｸ(netvolante.jp)
WAN:PPP、PPPoE（同時4セッション）、MP て書いてあるけど。
キャリア側の制限じゃなくて？


484:sage
08/05/20 22:27:42
フレッツだとファミリータイプ、ハイパーファミリータイプは2セッションまで
ビジネスタイプなら4セッションまでかな

485:age
08/05/20 22:36:19 4/d1EBZI
１セッション300円で追加出来ますが

486:anonymous@FL1-122-132-97-32.fks.mesh.ad.jp
08/05/20 22:52:12 s0SvTedf
業務向けならIP－VPNとか広域イーサネットのネタを見たい
ＬＡＮでBGPのテストしてる人いますか？

487:476
08/05/21 11:19:42
ISDN とあわせて4セッションといういみじゃないかしら？
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
P.103
＞本機の最大PPPoEセッション数は2つのため
＞本機の最大PPPoEセッション数は2つのため
＞本機の最大PPPoEセッション数は2つのため、
通常の接続先以外にPPPoEのセッションを利用している場合は、
フレッツ・スクウェアに同時接続できません。
通常の接続先のどちらかを切断してから、フレッツ・スクウェアに接続してください。
もし3セッション以上いけたら　マニュアルがクソということですね。
セッションプラス申し込んでも使えなかったらしょうもないし・・・・


488:anonymous
08/05/21 14:01:18
>>487
どこかでLANインターフェースの数×4って見たような気がするけど…

URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
によると、RTV700は4ですね。


RTシリーズのPPPoEに関するFAQ
同時接続数は幾つですか

モデル 同時接続数 備考
SRT100 5
RTX3000 16
RTX2000 32～64
RTX1500 12
RTX1100 12
RT107e 4
RT300i 4～20 Rev.6.02.19以前は最大2まで
RTV700 4
RT58i 5


489:anonymous@i218-47-36-190.s05.a013.ap.plala.or.jp
08/05/22 00:27:14
RTX1100でマルチホーミングをしています（ISP　#1：IIJ　#2：OCN）

もう1台、RTX1100を購入し、HA＋マルチホーミングをすることはできるのでしょうか？


■図例

　IIJ　　　　OCN　　　　　IIJ　　　　OCN
　｜　　　　　｜　　　　　　｜　　　　｜
　[RTX1100（A)]------[RTX1100（B)]　（マルチホーミング＋HA構成）
　　　　｜　　　　　　　　　　　　｜
[Netscreen5GT]------[Netscreen5GT]　（HA構成）
　　　　｜　　　　　　　　　　　　｜
[L2SW（Catalyst）]----[L2SW（Catalyst）]　（HA構成）


　　　　↑　　　　　　　　　　　　↑
　現在の構成　　　　　　追加される構成

490:orz
08/05/22 01:27:22
>>489
どういう挙動を期待しているのか？

491:489
08/05/22 09:23:06
>>490

■STEP1
RTX1100（A）＋IIJが主回線

■STEP2
IIJが落ちたら、OCNに切り替え

■STEP3
RTX1100（A）が落ちたら、RTX1100（B）＋IIJに切り替え

■STEP4
RTX1100（B）稼動中に、IIJが落ちたら、OCNに切り替え

かな～

492:anonymous@nttkyo658251.tkyo.nt.ftth.ppp.infoweb.ne.jp
08/05/22 12:46:18
すいません教えてください
訳あってRTX1100を使用することとなりました
現在以下の様な設定になっております

security class 1 on on
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
ip lan1 proxyarp on
pp select 1
pp always-on on
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname (ISP接続ID) (接続Pass)
ppp lcp mru on 1454

この度、固定IPで接続する事になったんですが、認証の仕方が判りません
ISPには「ルーターにIPアドレスの設定するだけでつながります」と言われたんですが
GUIレベルの設定しかやったことない私にはサッパリです
よろしくお願いします


493:anonymous@FLH1Aaq038.oky.mesh.ad.jp
08/05/22 15:57:57
>>492
認証は必要と言われたの？
なら
ip lan2 address 指示されたアドレス
ip route default gateway　指定されたゲートウェイアドレス

でいいのでは？
あとNATの設定を入れればよい

わからなければ
httpd servervice on
でWeb設定だね

494:476
08/05/22 20:45:45
>>488
サポセンにきいた。確認しますと電話を切ったあとかかってきたら
マニュアルが　うそんこ　だったらしい。　しっかりせいや Yamaha。

>>492
訳あって　使うことになったんだろうけど、VPN使わないでISPにつなぐ
だけで　RTX1100 はもったいないね。　同様なことは過去にも言われていると思うけど。
# pp select 1
ppp ipcp ipaddress on
ip pp natdescriptor 1
# no pp select
nat descriptor type 1 masquerade
nat descriptor address outer ipcp
# save

pppoeで固定アドレスがISPから割り当てられるものなら可変の場合と設定はかわりません。
特定のユーザーIDに対して固定アドレスが払い出されるようにISP側で設定されているだけだからです。
>>493
pp インターフェースに対して固定わりあてするのでip lan2 address はダメだと思いますよ。

まず、接続がpppoe なのかどうかはっきりしないとなんともいえません。

495:anonymous@nttkyo658251.tkyo.nt.ftth.ppp.infoweb.ne.jp
08/05/22 21:09:45
>>493,494
ありがとうございます
使用している回線はUSENBroad-Gate02の固定IP一つのコースです
明日にでも上記の内容を参考にして色々やって見ます。


496:anonymous@aa2004062000007.userreverse.dion.ne.jp
08/05/23 00:59:44
>495
LAN2にグローバル設定して、USENから通知されたGWを設定すればつながんね？
認証とかPPとか使わなかったなぁ。
こことか参考になるんじゃねぇかな。
URLﾘﾝｸ(www.rtfan.com)

うちでもUSEN＋RTX1100を使ってるんだけど、RTXからUSENのGWアドレスにPingを打っても帰ってこなくて気持ち悪い。
＋なんだか不安定・・・周りにこの構成で使ってる人が少なくて、うちの環境が悪いのか、RTXの設定がわるいのかさっぱりわかんなくて困り果ててる。orz

497:orz
08/05/23 02:01:55
>>491
VRRPを使う手はあるけど、その場合はNetScreenとの間に
SW-HUBを入れる必要があるかな。

498:anonymous@219-122-166-211.eonet.ne.jp
08/05/23 07:07:24
>>496
ping のパケット長を長くしてみたら、USENから応答ありませんか？
デフォは64ぐらいのところを、オプションつけて適当に1000byteとするとかして。

499:496
08/05/23 08:34:55
>>498
おぉぉぉっぉぉぉぉ、応答ありましたよ！
こーいうのもあるんですね。一つ勉強になりました！ Tnx

500:anonymous@218.185.168.91.eo.eaccess.ne.jp
08/05/23 22:24:39
RTV700だったら中古で2万代で買える

501:anonymous@i219-165-172-228.s02.a005.ap.plala.or.jp
08/05/24 20:30:58
フィルタに関して質問です。
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter 1 pass * * established
ip filter 2 pass * * tcp * www
ip pp secure filter in 1 2000
ip pp secure filter out 2 とするのと、

ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * www
ip pp secure filter in 2000
ip pp secure filter out 3000 dynamic 100
は　同じ意味になりますか？　dynamic を使うと in 側にestablished
を設定しなくてもいいようですが。
あと、ニーモニックで www は 80 を意味しますが、上記のdynamic フィルタ
で https のサイトにも正常にアクセスできるのはなぜでしょう？
ip filter dynamic 101 * https はわざわざ設定しませんよね。


502:anonymous
08/05/25 20:22:16 hX1l9He1
お助けください！
RTX1000配下にルータがあります。
RTX1000：192.168.10.1
配下のルータのWAN側　192.168.10.253、GWとDNSに192.168.10.1を指定で外に行かないのですが
1000側でDNSのリレー？とか必要なんですか？


503:HAMAYA
08/05/25 21:23:07
はぁ？

504:492
08/05/27 09:11:26
先日はありがとうございました
なんとか出入り出来るようになりました
使えるRTX1100があと4台ほど転がってるので
折角だからVPNとか挑戦してみたいと思います




505:anonymous@z90.220-213-31.ppp.wakwak.ne.jp
08/05/30 17:12:10
>>502

DNS リカーシブ

506:anonymous@p5007-ipbffx02motosinmat.mie.ocn.ne.jp
08/06/01 02:48:39
ただの教えて君ですがRTX1100でリビジョンアップってどうするんですか？

YAMAHAのHP行ってファイルは落としたのですがやり方がわからない・・



507:net
08/06/01 04:16:26
>>506
ファームが8.03.24以上なら、
コンソールかtelnetでログインしてadministratorになった状態で、

http revision-up go

って打てばヤマハサイトからファームを落としてきてくれる。

508:?
08/06/01 12:05:44
>>506
ほれ
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

509:anonymous@218.185.168.91.eo.eaccess.ne.jp
08/06/02 00:50:22
へ～俺はTFTPでやってた
コマンドで出来るのね。。


510:anonymous@KHP059134024237.ppp-bb.dion.ne.jp
08/06/04 15:30:13 HLbvBhTj
ハジメテのRT58iで下記のようなことがやりたいのですが
設定などマニュアルをみながらつくってみたのですが，コレで行けるのか詳しい人コメントおねげーします．
本体が当分届かなく，検証期間がないとかいう状況ス

1.本家のPCから分家へ番号発信．
2.PC1からポート9999を使用してテキストデータを送信．
3.RT58iは自動的に着信．
4.9999ポートだけを通過してPC2にデータがたどり着く．
※RT58iは受信のみで発信しない．

本家 分家
PC1>>>>>TA~~~~~~ISDN64~~~~~~RT58i>>>>>PC2

# login password xxxx
# administrator password xxxx
# ip lan1 address 東京分家IP/マスク
# ip route default gateway pp 1
# isdn local address bri1 01204444444/名古屋本家
# ip filter 1 reject-nolog * * * * *
# ip filter 10 pass-log * * tcp 9999
# pp select 1
pp1# isdn remote address arrive 031234567
pp1# pp bind bri1
pp1# isdn use interface arrive-only
pp1# pp auth accept chap
pp1# pp auth myname RT105i-A himitsu
pp1#ip pp secure filter in 1 10
pp1# pp enable 1
pp1# save
pp1# interface reset bri1


511:a
08/06/04 15:50:16
>>510
何やるんだかわからんが　ip filter 1　で何も通じないだろう。
面倒なのやめてVPN使えよ。

512:.
08/06/04 17:08:00
>511
が指摘している通りsecure filter in は10 1の順に書くべきだ
むしろ10だけでも良いな

513:er
08/06/04 17:23:02
>>511 >>512
ご指摘ありがとうございます

今回はハルフトとか呼ばれるソフトを実験で使ってみると言うのが発端なのです

514:anonymous@z90.220-213-31.ppp.wakwak.ne.jp
08/06/06 16:16:18
遠隔地のルータをリモートセットアップで
ファームアップできますか？

remote setup bri1 1234567890/Hoge　（←設定先のルーター）

で入って administrator で

http revision-up go　でいいんでしょうか？



515:anonymous
08/06/06 16:44:32
機種と現在適用されてるFirmwareのバージョンがわからんが，tftpにしろコンソールにしろ，リモートなのは一緒だろ

516:514
08/06/06 19:53:45
取説では　pp disable all してから　ファームアップしなさいと
書いてあったので、pp インターフェースが死んでしまうと
トンネルも死んでしまうので遠隔地のルーターのファームアップは
できないと思ってますた。

517:anony
08/06/06 23:53:24
>>516
「インストール前に他のアプリケーションを全て終了させてください。」
ってアプリのインストーラが言ってくるのと同じです。
トラブルのを回避するためには外的要因が少ない方がいいから書いてある。

あと、メモリー上にゴミが残っていると失敗する事もあるだろうから、
restartで再起動をかけてリフレッシュしてから、ファームアップした
方が良いだろうね。

518:anonymous@i60-47-185-21.s02.a005.ap.plala.or.jp
08/06/07 20:27:40
やってみました。

tftp 使うより圧倒的に楽ですね。
ファームアップに失敗するとルーターが動かなくなるので
いつも　ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ　なのですが、複数のファーム対応とかでしたっけ？　RTX1100



519:anonymous
08/06/08 00:23:56
1100はマルチでしょ
1000はひとつ

520:anonymous@FLH1Aaq038.oky.mesh.ad.jp
08/06/09 09:18:29
>>518
ファームが複数用意できても切り替える人材が現地にいなければ無理。

521:rtx1000
08/06/09 16:02:56
RTX1000ですが、クライアントがアクセスしているURLの
ログとか見れますか？

522:anonymous@ppp4424.hakata15.bbiq.jp
08/06/09 16:10:13
>>521
80/TCPや443/TCPのログを取れば、IPアドレスだけは確認出来る。

523:anonymous@nttkyo712072.tkyo.nt.ftth.ppp.infoweb.ne.jp
08/06/09 23:22:08
URL見たいならproxy立てるだろ。JK

524:anonymous@21.164.210.220.dy.bbexcite.jp
08/06/11 23:52:49
客先いわくLAN＝LANをipsecでVPNしつつ、windowsXPからリモートアクセスしたいとのことなのですが、
ipsecとPPTPの混在環境って以下のような感じで良いのでしょうか？

ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan2
pp auth accept pap chap
pp auth myname ID PASSWORD
ppp lcp mru on 1454
ppp ccp type none
ip pp address 自分のグローバルアドレス
ip pp mtu 1454
pp enable 1
tunnel select 1
ipsec tunnel 101
tunnel enable 1
dns server (プロバイダーからのDNS)
dns private address spoof on
dhcp service server
dhcp scope 1 192.168.0.10-172.18.0.200/24
ip route 192.168.1.0/24 gateway tunnel 1
ip route default gateway pp 1
ipsec ike pre-shared-key 1 text pass
ipsec ike remote address 1 相手のグローバルアドレス
ipsec ike local address 1 自分のグローバルアドレス
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec auto refresh on


525:anonymous@21.164.210.220.dy.bbexcite.jp
08/06/11 23:53:38
続き

pp select anonymous
pp bind tunnel2
pp auth request mschap
pp auth username name password
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.0.201-192.168.0.210
pptp service type server
pp enable anonymous
pptp service on
tunnel select 2
tunnel encapsulation pptp
tunnel enable 2
pptp tunnel disconnect time 1200
nat descriptor type 1 masquerade
nat descriptor masquerade static 2 12 192.168.0.1 tcp 1723
nat descriptor masquerade static 2 13 192.168.0.1 gre
ip lan1 proxyarp on

configは片側だけで割愛。フィルター部分も割愛。


526:anonymous@KHP059140099010.ppp-bb.dion.ne.jp
08/06/12 01:53:18
URLﾘﾝｸ(itpro.nikkeibp.co.jp)

これがRTX1200かいな。
なんかえらく感じが変わったけど試作品か？
金属筐体っぽいのと、えらく小さいような。

527:anonymous
08/06/12 03:22:28
>>524

URLﾘﾝｸ(netvolante.jp)
これ使うのは無し？

528:kkk
08/06/12 09:18:57
>>524
中身を分析してはいないが、IPsecとPPTPの設定をトンネル分けて単純に加算だけでＯＫです。
PPTPなんて危ないから特定のアドレスからしか認めないとかログを頻繁にチェックとか対策を。

529:アノニマス
08/06/12 14:33:06
>>526
MLにも報告でてたね。
ハーフラックにマウントできるようだけど、
（つまり標準なら１Uで2台可能）
奥行きは300mmぐらいあるらしい。

実売20万弱なら、今使っているRTX1100と1500を
うっぱらって、人柱してみても良いんだが。

530:sage
08/06/12 15:11:31
G1はインターフェースはGbE化されてるけど実行性能(pps)が気になるな
① 純粋なIPルーティング処理
② ①＋PPPoE
③ ②＋IPsec

OPTのギガルータもインターフェースはGbEで
PPPoE張っての実効性能は200Mていうオチだったし

最低でも②で双方向２Gbps出てくれないと
フレッツネクストの1Gbpsプランを活用し切れない

531:.
08/06/12 16:27:02
奥行きはRTX3000より若干短いぐらいらしい

532:200OK
08/06/12 18:21:04
君の寝ぼけっぷりに乾杯

533:anonymous@z74.211-19-72.ppp.wakwak.ne.jp
08/06/12 20:45:36
>>524

リモートアクセスの場合アドレスを固定するのが安全ですが、
DDNSなどを使って　FQDN でアクセスするクライアントを固定するほうほうでも
いいですね。　自宅から会社のルータにアクセスしてますが、固定IPアドレスプランは
高いので　とりあえず　DiCE でDDNS に　自分のIPアドレスを登録して対処してます。

pp select 3
pp bind tunnel10
pp auth request mschap-v2
pp auth username USER PASSWORD
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-128
ppp ccp no-encryption reject
ip pp remote address 192.168.0.100
ip pp mtu 1280
pptp service type server
pp enable 3

tunnel select 10
tunnel encapsulation pptp
tunnel endpoint name FQDN　（DDNSを使用）
pptp tunnel disconnect time 600
tunnel enable 10





534:wakwak.inpo.cone-.jp
08/06/12 21:24:00
kimoi
kimoi
kimoi

by katou

535:anonymous@203-124-88-232.parkcity.ne.jp
08/06/12 22:39:30 qOpC/SY0
SRT100に透過型ファイアウォール機能実装だと
半端なNetScreen要らなくなるな

536:sage
08/06/12 22:55:16
アプリレイヤまで識別できるアプリが少ないFWなんぞ使いもんにならん

537:anonymous@h220-215-157-164.tpch01.itscom.jp
08/06/12 23:18:10
G1の話を聞いてみた。

販売予定価格は予定15万程度。1200がニュアンスとして近い。
SDでコンフィグ保存可能。携帯からコンフィグ落として入れ込める。
USBの新しい機能は検証中。機種の対応はプッシュ次第なんかね。

載っているCPUとかさすがに教えてくれるわけないから
これ以上聞き出せる情報がなかった。

538:anon
08/06/12 23:21:01
>>537
携帯ってauのは駄目なんだよね？
それさえなければ、auの通信カード持っても良いんだがなぁ。

539:anonymous@h220-215-157-164.tpch01.itscom.jp
08/06/12 23:36:31
DOCOMOとか話に出ていたからできるんじゃないかな？
USB変換して～とかとてもうさんくさかったが


540:anon
08/06/12 23:52:36
>>539
URLﾘﾝｸ(itpro.nikkeibp.co.jp)


541:.
08/06/13 00:15:13
携帯からconfig落してSDカード突っ込むのはauじゃなかったかな
docomoのFOMAはそんな手間もいらずにFOMAを繋げば設定を自動ダウンロードって書いてた気がする
でソフトバンクは？

542:anonymous@21.164.210.220.dy.bbexcite.jp
08/06/13 00:42:50
>>524
とにかく金を掛けたくないらしい（ってか設定費用出るのか？ｗ）

>>528
PPTPとipsecの混合なんて機会がなかったもんで。

>>533
ああ、そういうのもありか・・・。


543:ahan
08/06/13 01:13:50
いい加減にISDN外して値段下げてくれんかな・・・・

544:anonymous
08/06/13 04:35:23
>>537
15万だとRTX1500と同等ぐらいか
早くでないかなぁ。

>>543
個人的にはISDNは外せないなぁ。
remote setup bri1 は
私にとっては必須のコマンド。
まあ、手元に余っているRT52iをぶら下げれば
それでも良いんだけど。


545:anony
08/06/13 09:40:31
RTX1000で、pppoe＆natでインターネット接続してます。

nat descriptor masquerade static (略) ポート番号
と
ip filter 1000 （略） ポート番号
ip pp secure filter in 1000

って、もしかしてNATの方が先に適用されてますか？

どんなにフィルタ書いてテストしても、ログに載らないんでなんでかなーと思ってます。

546:yy
08/06/13 12:00:26
肝心な所を略したらわからないだろ　アフォ

ip filter 1000 　pass　* * tcp * ポート番号
ならログには残らん

ip filter 1000 　pass-log　* * tcp * ポート番号


547:anon
08/06/13 12:12:39
>>545
> って、もしかしてNATの方が先に適用されてますか？
最近、公式のドキュメント読まない RTX ユーザが多くなってますねぇ。
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

> どんなにフィルタ書いてテストしても、ログに載らないんでなんでかなーと思ってます。
上記のような仮定・想像をしているなら、どう書けばログに残るか想像が付きそうなものだが？

548:545
08/06/13 12:24:42
質問の仕方が悪かったデス…

nat descriptor masquerade static (略) ポート番号
でポート開けてるのと、

ip filter 1000 （略） ポート番号
ip filter 2000 reject * * * * *
ip pp secure filter in 1000 2000
というconfigで、開けてないポートにアクセスしても
rejectのログが記録されないのは何でかなぁ？と思ってた所です。

ポートを開けているサーバーの方で、rejectのログを定期的に集計して、
変なポートを叩いてくる相手を無条件で拒否する予定だったんですが…。


natが先に適用なら、natの時点で落ちるから挙動としてはわかりますが
ログとしては残したいなぁ…と。
natで全ポート転送すると、NATセッション数の浪費になるので難しい所です。



549:545
08/06/13 12:27:20
>>547
とか書いてるうちに、回答が。

やっぱりNATが先なんですね。
どうしよ。

550:rt
08/06/13 12:51:33
ヴァカですか？

551:anonymous@p6002-ipbfp303otsu.shiga.ocn.ne.jp
08/06/14 00:25:20 SqoASqFw
会社でRTX1000を使ってインターネット接続してます。LAN側もグローバル
アドレスになっててNATは使ってません。
インターネットへはデフォルトルートを設定してて、LAN側へのルーティン
グはありません。
使っていると不定期にパケットロスが発生しており、PCからLAN側インター
フェースにPINGを打つと5%程度欠落してました。落ち始めると連続して落ち
るようです。CPUの負荷状況を調べたところPINGが欠落した時には100%近く
まで上ってました。メモリは42%でした。
RTX1000の下部にあるL2SWで見たところ、ピーク時のスループットは3Mbps
程度なので、それほどトラヒックが高いようには思えません。

この状況で考えられる原因は何かありますでしょうか？または、さらに分
析するための手段は何が考えられるでしょうか？

ちなみにファームのバージョンは7.01.41です。

どなたか詳しい方おられましたら是非お助けくださいませ。

552:anonymous
08/06/14 01:41:26
・ファームのバージョンup
・syslog debug on
・syslog notice on

ぐらいかな？

553:anonymous@d232189.ppp.asahi-net.or.jp
08/06/14 12:11:29
ルータも壊れるよ。。
俺のところもずっと同じ設定で動いてたんだけど、
いつの間にかパケットロストし始めて
ウェブページが開いたり開かなくなったりしたりしたな。

ファームウェアを挙げて治らなかったから、
ルータ交換したよ、俺のところもRTX1000で1100にした。
大企業だとルータも何年かでリプレースするからね、
意外にLANインターフェイスとかぶっ壊れるんだよね。。

554:anonymous@i219-167-141-204.s02.a005.ap.plala.or.jp
08/06/14 13:49:57
夏場に備えて

ATX電源を取り出して　ケースファンを回し
ルーターにあてて冷やしている。
機械は冷却が一番。

555:?
08/06/14 17:46:20
漏れはノートPC用の敷くタイプのクーラーを敷いて冷やしてる

556:anonymous@218.231.68.65.eo.eaccess.ne.jp
08/06/15 00:08:34 Mrcrb4ID
最近Windows Mobile 6を使い始めたんだがPPTPがうまくいかねー
ＰＣからならうまくいくんだけど、
誰かWindowsMobile+RTXシリーズでうまく行ってる人っているかね？

557:おれ
08/06/15 00:21:45
ﾉｼ

htczをWm6にして、RTX1100でPPTPが動いてる。
普通？にセットアップしてっただけ。

558:anonymous
08/06/15 01:19:12
回線がWILLCOMってオチはなしね

559:anonymous@s195215.ppp.asahi-net.or.jp
08/06/16 23:16:33
willcomだめぽ?

560:anonymous@218.231.68.65.eo.eaccess.ne.jp
08/06/17 09:45:19 4cTR5RuK
e-mobile なんだけどね。。
どうしてもうまくいかない。
PAPでもダメ、MS-chapでもMS-chap-v2でもだめ、、
どないせーっちゅうんだよ。。

561:anonymous@FL1-122-135-244-98.kng.mesh.ad.jp
08/06/18 06:02:38 P/6CAOW9
>>560
暗号化のもんだいでは?
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

562:561
08/06/18 06:08:28 P/6CAOW9
>>560
Windows Mobile側に暗号化の設定がなければ
RTX側を暗号化無にしてみるとか
URLﾘﾝｸ(www.rtpro.yamaha.co.jp)

URLﾘﾝｸ(gema.luna2.org)


563:an
08/06/18 11:50:29
>>559
標準prinだとPPTP通らない
別プロバイダが必要

>>560
自分もPPTP使ってるけど、Windows相手だと問題なく出来るね。
ちなみに、そのRTXに対してWM6じゃない普通のWindowsPCからはPPTP接続できてるの？

564:an
08/06/18 11:51:34
補足

自分が上手く行ってると書いてるのは
WindowsをPPTP鯖にして、ウィルコムorイーモバからPPTP接続、ってことね

565:an
08/06/18 11:52:59
あ、PCからは上手く逝ってる、って書いたか、>>556

RTX側で SYSLOG DEBUG くらいにしたら何かログに落ちない?

566:anonymous@218.231.68.65.eo.eaccess.ne.jp
08/06/20 07:45:09
ちょっと今はテストする時間と環境がないんでしばらくログは出せないけど
ＹＡＭＡＨＡに細かいＰＰＴＰの手順が乗ってるんで今度地道にテストして確認してみることにする
なんかわかったらここに書くよ

567:anonymous
08/06/23 16:11:27
>>526、537
相変わらず、NATセッション数は4096　なのかなぁ～？ｗ
いい加減、2万位セッション張れる仕様にして欲しい。

上位の1500よりスペックが上ってのは売り方としてマズイしねぇ～
やっぱり4096かなぁ～～？ｗ


568:anonymous
08/06/25 19:42:54
そんなにNAPTしたいならNAPT箱買えって
RTXはルータだ


569:anonymous
08/06/26 00:15:54
本来ルータというものは～とか言い出すと、現実に市場に出ているルータ製品が備えている機能セットと乖離した
ナンセンスな結論に落ち着いてしまうし、RTXシリーズの月並みな使われ方を考慮しても
競合製品と比べてNAT保持可能数が異様に少ないと言われてしまうのは仕方ないかもしれん。

570:anon
08/06/26 00:36:06
動的フィルタのセッション数が先にこけるからなぁ。UFSキャッシュみたいなフローにして両方とも増やしてくれると嬉しいのだが。メモリ量は物理的に何とかする方向で。

571:anonymous@kng26-p6.flets.hi-ho.ne.jp
08/06/27 15:25:17 iTYynfdN
RTX1100でIPSECでVPNを張っていますが、長短パケットが混在した状況で、20Mbps～30Mbps以上で通信するとパケットがリオーダしませんか？暗号エンジンが複数あるからでしょうか？詳しい方おられませんか？

572:0.0.0.0
08/06/27 21:47:22
近い価格帯のRTとARを並べると、RT遅いよ。

573:anonymous
08/06/28 00:27:25
ARはデザインが生理的に駄目だ

574:sage
08/06/28 00:53:10
まずはお前の顔のデザインをなんとかしろ

575:anonymous@FLH1Aak111.fks.mesh.ad.jp
08/06/29 17:49:22 0WMuwi8a
この前、会社の研修室横切ったら、
YAMAHARTXを使ったネットワーク構築の講義してた。
羨ましいと思った。

576:anon
08/06/30 23:29:34
>>575
羨ましいか?ルーターの設定なんて源になる知識があれば、あとはマニュアルと首っぴきだろ
特定の製品でしかネットワークを構築できませんなんて、そんな奴は氏んで欲しいんだけどｗ

577:anonymous@FLH1Aaq038.oky.mesh.ad.jp
08/07/01 09:31:24
>>575
運用レベルでいえば、メーカー、製品は固定するよね～
現実問題、自分のパフォーマンスを出すためには数種類のルータに絞る必要がある。
なんでもいいよ～なんて言っているSEは信用できない。

578:an
08/07/01 17:39:04
NAT超えして来るハッカーなんて限りなくゼロに近いのに、
無駄に危機感を煽って SonicWall とか売りつけようとする 自称SE は困ったもんだ

しかも「NAT超えしてくる」のはルーターの設定が甘いことが原因なわけで。

579:anonymou
08/07/01 21:40:37
ファイアウォールはそこにファイアウォールと呼ばれる機器が有ると言う事に意味が有るのに。

580:anonymous
08/07/01 21:53:09
>>578
外にだけ目をむけちゃいかん、敵は外だけじゃない。
ファイアウォール製品は外部と内部両方を保護してくれる（設定しだいだけどね）
社員数が多くなると外部からの攻撃より内部からの攻撃の方を重視するだろう。←　信用できない社員が増える？

581:anonymous@kng26-p6.flets.hi-ho.ne.jp
08/07/04 00:29:08 XDrPWHiw
リオーダの件ですが、IPinIPやってみて、PPPoe側のパケットを見ても遠隔側からのパケットは、リオーダしていました。網でしょうか？トランキングのハッシュポリシーを、リオーダするように選ぶ設計者は存在しないと思うのですが。。。
URLﾘﾝｸ(www.cisco.com)
他にリオーダを経験されている方おられませんか？

582:anonymous@166.127.111.219.dy.bbexcite.jp
08/07/05 01:32:11
>>581
光プレミアムだと順序の入れ替わりがよくあるよ。

583:anonymous
08/07/07 12:16:04
RTX1000，新Firm Rev.8.01.27リリース

584:anonymous
08/07/07 16:11:17 t7ITd7z+
RTX1000のファームって、まだ上がるんだｗ！　
ありがたいネェ～ｗ

こういう所があるから、RTXが好きです。

585:ヤマ八
08/07/07 19:14:09
あるネットワーク(DMZ)に幾つかの公開サーバーがあります。

このネットワークに2台のルーターがあって、
それぞれ別のプロバイダにネットワーク型の固定IPで契約しています。
どちらのルータもグローバルアドレスをNATでプライベートアドレスに変換しています。

どちらからのルータ経由でも外部からアクセスできるようにしたいのですが、
実際にはサーバーで DefaultGateway に設定した方のルータからのアクセスにしか応答できません。

こういうのって、ルータもしくはサーバーの設定で(ソフト的に)解決できる問題なんでしょうか？

586:net
08/07/07 19:51:57 vTTKmeSs
各サーバにIPアドレスを２つずつ付けてやって、回線毎にNAT変換する先のアドレスを
分けてやればいい。
そうすれば戻りにポリシールーティングが使える。

これで２回線でのサーバ公開をした事がある。

587:anonymous
08/07/08 00:06:25
>>585
１台のルーターで２箇所に繋げば楽じゃない？と言うか機種ぐらい書けば？

ネットワークアドレスが同一なら環境が判らんのではっきりいえないが難しい、ＮＡＴの戻りパケットはデフォルトＧＷに向かうからね。

違うネットワークアドレスにしてサーバーにＬＡＮカード２枚挿すのが無難では。
YAMAHAならＬＡＮ側に２個のＩＰ振れるしね。

588:anonymous
08/07/08 00:12:06
てかなぜ585みたいな構成にするのかわからない

589:anonymous
08/07/08 00:16:11
間にL3スイッチ挟めば望む動作にできるよ。
普通しないけど。

590:anonymous
08/07/08 00:20:26
すみません、お手すきで詳しい方、ちょっと手を貸してほしいのですが、

会社でインターネット向けのルータにRTX-1500を使っています。
(ずっと前に廃業したSI屋がセットアップして行ったものです。)

これで、特定のサイト(まあ、たとえば2ちゃんとかmixiとかｗ)を遮断するのではなく、
帯域を絞れないか、と上から言われています。
で、マニュアルを見ながらやってみたのですが、

# queue lan2 type shaping
# queue class filter 1 1 ip 206.223.154.230 * * * *
# speed lan2 100M
# queue lan2 class property 1 bandwidth=1k borrow=off
# queue lan2 class property 2 bandwidth=99999k
# queue lan2 class filter list 1
# save

こんな感じで設定を変えても、全くスピードが落ちてくれません。
上のコマンドで、どこかまちがっているところとか、ありませんか？
どんなヒントでもいいので、ご指摘してくださるとありがたいです。

591:anonymous@nttkyo224032.tkyo.nt.ftth.ppp.infoweb.ne.jp
08/07/08 00:35:18
>>585
ヒント：VRRP

592:585
08/07/08 09:51:55
>>586
なるほど！
サーバーの OS が Fedora なので その方法が使えます。
機器は何も変えずできますね、ありがとうございました。

他の回答してくださった方もありがとうございました。

593:anonymous
08/07/08 19:28:57
>>590
自己レス。

その他のサンプルをネットで見て、
# queue lan2 type shaping
# queue class filter 1 1 ip 206.223.154.230 * * * *
# speed lan2 100M
# queue lan2 class property 1 bandwidth=1k 1k ←変更点！
# queue lan2 class property 2 bandwidth=99999k
# queue lan2 class filter list 1
# save

これで行ける事を確認しました。保証1kbpsの上限1kbpsなわけですね。
が、
queue lan2 class property 1 bandwidth=1k borrow=off
でもいけるようなことがリファンレンスには書いてあるんだけどなあ。
どなたか、ご存知ありません？

594:anonymous
08/07/09 19:08:00
>>593
さらに自己レス。

×　# queue lan2 class property 1 bandwidth=1k 1k
○　# queue lan2 class property 1 bandwidth=1k,1k

カンマが必要でした。

595:RTX初心者
08/07/12 18:39:57 9h9tsA/k
RTX1100とUSEN光回線の固定IPプランで構築しています。
lan1 = LAN、ローカルIPアドレス192.168.13.xを使用
lan2 = WAN　USENからもらった固定IPアドレスを割り当てる
lan3 = DMZ　USENからもらった固定IPアドレスを配下で使用したい

ip lan3 address xxx.xxx.xxx.2/29に設定して、配下にあるxxx.xxx.xxx.3とxxx.xxx.xxx.xxx.4とPINGが通ることが確認してから、
ip lan2 address xxx.xxx.xxx.1/29に設定してUSEN側と通信し始まると、USEN側にPINGできるけど、先ほどPINGできていたxxx.xxx.xxx.3と4はPINGが通らなくなりました。

いろいろ調べて、show ip routeでルーティング情報を調べたら、LAN3のルーティング情報が消えています。おそらくそれが原因ではないかと思いますが、ip routeコマンドを調べたけど、インターフェースを設定できないみたいです。
どなたがやり方を教えていただけますか。

596:rtx1000
08/07/12 19:09:08
同一ネットなのにLANのポートを分けるって・・・

597:DNS未登録さん
08/07/12 23:50:51
>>595
lan2とlan3が同一ネットワークだとルーティング情報が重複するから通信できなくなって正しい。

598:anonymous
08/07/13 00:41:00
>>595
LAN3配下に必要なサーバが2台で8IP契約なんでしょ？

LAN1に対してはIPマスカレード(NAPT)
LAN3に対してはNAT
の構成ではいけない理由を説明してくれ。


599:RTX初心者
08/07/13 01:20:14 PMljZjc8
はい、ご指摘とおり、固定8IPの契約となります。
NATですか。すべての固定IPをLAN2に持たせて、LAN3のほうはプライベートIPで構成されますか。

600:RTX初心者
08/07/13 01:33:53 PMljZjc8
やりたいのは複数のIPで複数のサーバを公開したいだけです。
この場合はNATを使うのですか。


601:DNS未登録さん
08/07/13 02:25:59
鯖が直接グローバルIP持っている必要があるん？



602:DNS未登録さん
08/07/13 15:34:00
>>600
その環境でLAN2とLAN3間はルーター機能使えません（ルーターの最も基本的な「異なるネットワークを接続する」の概念から外れているから）
どうしても使いたいならVLAN使えばいいよ。

603:RTX初心者
08/07/13 15:42:37 PMljZjc8
皆さん、ご回答をありがとうございます。
ヤマハルータの下記構成例を参考にして、DMZゾーンのサーバをグローバルIPで構成しました。
URLﾘﾝｸ(netvolante.jp)
PPPoEを使わないので、LAN2にグローバルIPを一個振って、現在の構成になってしまいました。
NATを使って、構築しなおしてみます。

604:anonymous@p3008-ipbfp903kyoto.kyoto.ocn.ne.jp
08/07/13 15:52:24 KaxLUcb5

社内のＬＡＮでRTX1100使ってます。
２台、２回線で

ＬＡＮ１＝192.168.0.ｘｘｘ　のＬＡＮ
ＬＡＮ２＝192.168.1.ｘｘｘ　のＬＡＮ
ＬＡＮ3＝pppoeでネットへＧＯ

このＬＡＮ３が今度USENに変わるそうなんだけど、USENからＩＰとかゲートウエイの設定用紙がきた。

明日設定するんだけど、何をどうかえたらいいんでしょうか・・。



605:RTX1100
08/07/13 15:53:39 KaxLUcb5
フシアナった・・。

□今の設定です。

ip lan1 vrrp 8 192.168.1.250 priority=100
ip lan1 vrrp shutdown trigger 8 pp 1
ip lan1 vrrp 9 192.168.1.251 priority=200

ip lan2 address 192.168.0.201/24
ip lan2 secure filter in 120 dynamic 1 2
ip lan2 secure filter out 99 100 101 102 120
ip lan2 vrrp 1 192.168.0.250 priority=100
ip lan2 vrrp shutdown trigger 1 pp 1
ip lan2 vrrp 2 192.168.0.251 priority=200

pp select 1
一部略
ip pp secure filter in 1020 1021 1030 1031 200040 200041 200050 200051 200052 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
一部略

ip route default gateway pp 1
dns server pp 1
dns private address spoof on

606:RTX1100
08/07/13 15:54:47 KaxLUcb5
□新設定

ip lan1 address 192.168.1.200/24
ip lan1 vrrp 8 192.168.1.250 priority=200
ip lan1 vrrp shutdown trigger 8 lan3　　　　　←ここと
ip lan1 vrrp 9 192.168.1.251 priority=100

ip lan2 address 192.168.0.200/24
ip lan2 secure filter in 120 dynamic 1 2
ip lan2 secure filter out 99 100 101 102 120
ip lan2 vrrp 1 192.168.0.250 priority=200
ip lan2 vrrp shutdown trigger 1 lan3　　　　　←ここと
ip lan2 vrrp 2 192.168.0.251 priority=100

↓こっから　こんなかんじ
ip lan3 address xxx.xxx.xxx.xxx/30　←USENからもらったＩＰ。
ip lan3 securefilter in 1020 1021 1030 1031 200040 200041 200050 200051 200052 2000
ip lan3 securefilterout 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107


ip route default gateway xxx.xxx.xxx.xxx←USENからもらったＩＰ。
dns server xxx.xxx.xxx.xxx←USENからもらったＩＰ。
dns private address spoof on

>>605を、こんな感じにするのかな・・？とか思ってるんですが、教えてください。
実機もテストもできない状態で・・。お願いします。

607:anonymous
08/07/13 18:47:33
>>606
この設定の場合、回線を移行して動かなくなっても
もう一つの方でインターネットアクセスを確保できるんですよね。
なら、安心して切替作業しても良いのでは。

natのOuterのデフォがipcpなのでprimaryと明示するところと、
ppからlan3に適用しなおすところが必要です。ppのを削ってこれを↓入れて下さいです。

> nat descriptor address outer XX primary
> ip lan3 nat descriptor XX

lan1/2のvrrpのところはたぶんokです。
でも、usenですよ？　リンクがupしてても気をつけてくださいね

608:RTX1100
08/07/13 20:17:32
>>607　ありがとうございます。月曜まで機材に触れられないんです。
自分はネットワークは完全に専門外で、少し詳しいお兄さんってレベルです・・。
今はpdfのマニュアルを見ながら想像でｺﾝﾌｨｸﾞファイルを作ってる所です。

nat抜けていました。ありがとうございます。

すみません、最後のリンクがupしててもというのはどういう意味でしょうか？
vrrpのshutdownトリガの事なのかな？と思っています（確かリンク切れでシャットダウンって事でしたよね？）

609:anonymous
08/07/13 23:19:37
>>608
496さんでちらりとありますように、私のほうでも経験的にusenはなんとなく不安定です
で、回線障害が起きててもLANのリンクはupしてますから、vrrpの切り替えが起きなくて
「ネットにつながる端末とつながらない端末がある」とか
「どこかのサーバへpingを打っても応答ないよ」「ルーターの故障？」なんてことになります。
usenを使うときはいつもより落ち着いて気をつけて仕事してくださいね

610:RTX1100
08/07/13 23:55:21
>>609
なるほど、>>496　大変参考になりました。ようはリンクがうｐしてても、正しくつながってるとは限らないと言う事ですね。
少し上にあったのに読まず失礼しました。

回線障害がおきてもトリガが引かれないってことは
バックアップ回線への切り替えができなさそう・・。できないと鬼上司からなんていわれることか。こえええ
これは他の方法で回避できるのでしょうか？

最悪今の光をメイン回線にして、USENをバックアップ回線にすれば確立はぐっと減らせるかな？とか思っていますが・・。

611:anonymous@110.169.138.210.bf.2iij.net
08/07/14 16:41:56 ixWJepnr
質問です。
iPhoneという携帯が出て話題になっていますが、このiPhoneはVPN機能があります。
RTX1000とVPNで接続したいのですが可能でしょうか？

612:あいふぉーん
08/07/15 09:16:22
>>611
規格が合えば可能です。

613:anonymous@110.169.138.210.bf.2iij.net
08/07/15 09:23:49 A8O6O+Zl
>>612
具体的には何を調べれば良いですか？

614:anonymous
08/07/15 09:25:59
ipsecの設定。


615:anonymous
08/07/15 10:33:39
「pptpというのに対応しているようなのですがどう設定したらよいですか？」

616:anonymous
08/07/15 14:17:53
予測はほぼ合ってたみたいだけどrt100i-usersの方へ飛び火したみたいだな

617:RTX1100
08/07/15 20:37:35 uoI5Q9HG
質問に答えてくれたかたがた、スレの皆さん、無事設定が通りました。
一発で動いてむしろ動揺したぐらいです(笑)

本当にありがとうございました。

618:anonymous
08/07/16 12:47:39
>>617
すげ～どうでもいいことだが、
あっちは「メーリングリスト」という所でのう…

ルーターいじるくらいネットワーク触ってるなら、そういう基本的?な所は
ちゃんとしてほしいなあと思うわけで。



619:anonymous@st0052.nas961.n-yokohama.nttpc.ne.jp
08/07/20 12:02:24 PETUTOJt
特定IPからのみWeb（80）ポートを観覧できない設定を教えてください


620:anonymous@218.185.158.187.eo.eaccess.ne.jp
08/07/20 17:33:35
なんで業務向けスレなのにこんなに馬鹿ばっかりなの？

621:anonymous
08/07/20 20:52:56
ip filter コマンドで設定すればOK

622:pp
08/07/22 16:12:38
長文失礼します。
NTT西のフレッツひかりプレミアムでCTUのLAN側にRTX1000を接続して、
NTT東の拠点とVPNをはりたいんですけどうまくいきません。
VPN以前にインターネット接続もうまくできていません。

こちらのサイトを参考にして、CTUのPPoEを通す設定とRTX1000の
MTUを1438にする設定を行ないました。
URLﾘﾝｸ(projectphone.typepad.jp)

show status pp で表示すると、プロバイダからIPアドレスの取得は
できているのですが、DNSのIPアドレスが表示されません。

623:pp
08/07/22 16:13:25
<正常動作しないルーター(西日本)>
PPPオプション
　　LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
　　IPCP Local: , Remote: IP-Address
　　PP IP Address Local: (プロバイダから払い出されたIP),
　　Remote: xxx.xxx.xxx.xxx
　　CCP: None

<正常動作しているルーター(東日本)>
　　LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
　　IPCP Local: Primary-DNS(プロバイダのDNSサーバー)
　　　Secondary-DNS(プロバイダのDNSサーバー), Remote: IP-Address
　　PP IP Address Local: (プロバイダから払い出されたIP),
　　Remote: xxx.xxx.xxx.xxx
　　CCP: None

624:pp
08/07/22 16:14:16 YtaT0mi/
dns server pp 1 とか プロバイダのDNSサーバーの直接入力も
試しましたが状況が変りません。

ルーターは東日本でインターネットVPN接続が可能であることを
確認してから西日本に持ち込みました。
東日本側は普通のBフレッツでCTUはありません。

どなたか同様の環境でうまく動いている方がいましたら
アドバイスをお願いします。

625:anonymous
08/07/22 21:01:12
>>624
dns server xxx.xxx.xxx.xx
接続時にプロバイダから自動取得できないなら、
DNSサーバのIPアドレスを
コマンドで直接指定してはいけませんか？

626:pp
08/07/22 21:40:07
>>625
ありがとうございます。
もともとの設定は、下記のようにしていました。
dns server 202.225.94.247 210.147.240.193

プロバイダはBIGLOBEなんですけど、西日本の場合は順番を逆にする
ように記載がありましたが、あんまり関係ないですよね。
dns server 210.147.240.193 202.225.94.247

今日は結局あきらめて、CTUでインターネットだけできるように
したんですけど、LAN側のIPアドレスが192.168.24.0/24に
固定されてしまうのでクライアントの設定変更等ものすごく
面倒なことになりました。

627:anonymous@121-84-109-119.eonet.ne.jp
08/07/22 23:53:35
>>626
とりあえず君はRT58iに買い換えなさい。

628:anonymous@w216221.ppp.asahi-net.or.jp
08/07/23 00:24:44
>>626

show status　じゃなくてconfig晒した方が早いんじゃね？
東で使ってたConfigをいじって西で使うよりも一から書き直したほうがいいんじゃね？


629:ユー
08/07/23 06:30:53
>>627
RT58i　はIPsec使えないだろ

630:627
08/07/23 10:37:54
>>629
PPTPでいいじゃん、質問内容を見るかぎり今後まともな
運用ができなさそうだからさ。

631:pp
08/07/23 12:14:32
もうルーターは用意しちゃったんで、なんとかしたいです。
設定さらしますね。

administrator password *
ip route default gateway pp 1
ip route 192.168.11.0/24 gateway tunnel 1
ip route 192.168.21.0/24 gateway tunnel 1
ip route 192.168.41.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.51.1/24
pp select 1
　pp always-on on
　pppoe use lan2
　pp auth accept pap chap
　pp auth myname (ユーザーID)@biglobe.ne.jp (パスワード)
　ppp lcp mru on 1454
　ip pp address (自側固定IPアドレス)/32
　ip pp mtu 1438
　ip pp secure filter in 1029 1039 1051 1052 2000
　ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106 107
　ip pp nat descriptor 1
　pp enable 1
tunnel select 1
　ipsec tunnel 1
　 ipsec sa policy 1 1 esp 3des-cbc sha-hmac
　 ipsec ike keepalive log 1 off
　 ipsec ike keepalive use 1 on
　 ipsec ike local address 1 192.168.51.1
　 ipsec ike pre-shared-key 1 text hoge
　 ipsec ike remote address 1 (相手側固定IPアドレス)
　tunnel enable 1

632:pp
08/07/23 12:15:38
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1029 reject 192.168.0.0/16 *
ip filter 1039 pass * 192.168.0.0/16 icmp
ip filter 1051 pass (相手側固定IPアドレス) 192.168.51.1 udp * 500
ip filter 1052 pass (相手側固定IPアドレス) 192.168.51.1 esp
ip filter 2000 reject * *
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.51.1 udp 500
nat descriptor masquerade static 1 2 192.168.51.1 esp
ipsec auto refresh on
syslog notice on
dns server 202.225.94.247 210.147.240.193
dns private address spoof on

---

次ページ

最新レス表示

レスジャンプ

類似スレ一覧

スレッドの検索

話題のニュース

おまかせリスト

オプション

しおりを挟む

スレッドに書込

スレッドの一覧

暇つぶし2ch