TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼
YAMAHA業務向けルーター運用構築スレッドPart15
☆キャビネットラックはここで語れ☆
P2P関係全般質問スレッド
電話が掛かってくるとADSLが切れる
非通知で困ってるひと
P2P関係全般質問スレッド
56Kモデムで10k/s出た!!!
ODN★J-DSLルーター設定友の会
アメリカからノートでネット接続するのに良い方法?
チェックポイントスレッド

YAMAHA業務向けルーター運用構築スレッドPart15


1 :
【お約束】
ここはYAMAHAルーターで小規模〜大規模のネットワークを
構築、運用する人のための情報交換スレッドです。
ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ
【公式サイト】
RTXシリーズルーター
http://jp.yamaha.com/products/network/routers/
RTpro - ヤマハネットワーク周辺機器 技術情報ページ
http://www.rtpro.yamaha.co.jp/
ヤマハネットワーク機器
http://jp.yamaha.com/products/network/
【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 19
http://peace.2ch.sc/test/read.cgi/hard/1383565233/

【過去スレ・前スレ】
YAMAHA業務向けルーター運用構築スレッドPart14
http://hayabusa6.2ch.sc/test/read.cgi/network/1403096186/

2 :
【過去スレ】
YAMAHA専用スレッド http://pc.2ch.sc/test/read.cgi/network/997877142/
以下、スレタイは:YAMAHA業務向けルータ運用構築スレッドPartXX
Part2 http://pc5.2ch.sc/test/read.cgi/network/1037975157/
Part3 http://pc8.2ch.sc/test/read.cgi/network/1092832668/
Part4 http://pc11.2ch.sc/test/read.cgi/network/1144116104/
Part5 http://pc11.2ch.sc/test/read.cgi/network/1196114751/
Part6 http://pc11.2ch.sc/test/read.cgi/network/1223667451/
Part7 http://pc11.2ch.sc/test/read.cgi/network/1245454435/
Part8 http://hibari.2ch.sc/test/read.cgi/network/1275391797/
Part9 http://hibari.2ch.sc/test/read.cgi/network/1294731041/
Part10 http://engawa.2ch.sc/test/read.cgi/network/1309822690/
Part11 http://engawa.2ch.sc/test/read.cgi/network/1329367146/
Part2 http://engawa.2ch.sc/test/read.cgi/network/1358345652/
Part13 http://maguro.2ch.sc/test/read.cgi/network/1388205377/

3 :
さっそく、乙です。>>1

4 :
【過去スレ】
YAMAHA専用スレッド http://pc5.2ch.sc/test/read.cgi/network/997877142/
以下、スレタイは:YAMAHA業務向けルータ運用構築スレッドPartXX
Part2 http://pc5.2ch.sc/test/read.cgi/network/1037975157/
Part3 http://pc8.2ch.sc/test/read.cgi/network/1092832668/
Part4 http://pc11.2ch.sc/test/read.cgi/network/1144116104/
Part5 http://pc11.2ch.sc/test/read.cgi/network/1196114751/
Part6 http://pc11.2ch.sc/test/read.cgi/network/1223667451/
Part7 http://pc11.2ch.sc/test/read.cgi/network/1245454435/
Part8 http://hibari.2ch.sc/test/read.cgi/network/1275391797/
Part9 http://hibari.2ch.sc/test/read.cgi/network/1294731041/
Part10 http://engawa.2ch.sc/test/read.cgi/network/1309822690/
Part11 http://engawa.2ch.sc/test/read.cgi/network/1329367146/
Part2 http://engawa.2ch.sc/test/read.cgi/network/1358345652/
Part13 http://maguro.2ch.sc/test/read.cgi/network/1388205377/

5 :
↓これ捨てる?再利用なし?
YAMAHA業務向けルーター運用構築スレッドPart12
http://hayabusa6.2ch.sc/test/read.cgi/network/1358373114/

6 :
ヤマハネットワーク機器事業におけるAxiros社との業務提携のお知らせ
http://jp.yamaha.com/news_release/2014/14112801.html
【ヤマハ ネットワーク製品の「継承」と「挑戦」】中小向けルータ市場を作った名機たち〜ヤマハルータの系譜をたどる
http://cloud.watch.impress.co.jp/docs/special/yamaha/20141127_677056.html

7 :
YAMAHAはUTM分野には乗り出さないの?

8 :
いかにもレガシーで新製品がすでに古臭いYAMAHAには荷が重そう

9 :
RTX1210 のダッシュボードが良さげ。SNMP 叩いて性能監視しなくても、ちょっとした程度の
ものならカバーできそうだね。
【ヤマハ ネットワーク製品の「継承」と「挑戦」】LAN管理を強力にサポートする「RTX1210」 開発者が語る“ヤマハルータ”の理念とは - クラウド Watch
http://cloud.watch.impress.co.jp/docs/special/yamaha/20141204_678065.html

10 :
1210を使うかもしれないんだけど、WEBインターフェイスが1200とがらっと変わったようで一抹の不安がある。
実際触った感じって違うの?

11 :
RTXと、OpenSWANや、LibreSWANとの相互接続性を100%にしてくれ!!!

12 :
RTX1210の仕様見たらコンソールケーブル別売りなんだね
でYRC-RJ45Cのページ見て4800円高いなぁと思ったら
デカデカとピン配置図が書いてあって
なんとなく「わかる人はわかるよね」って言われてる気がしてワロタ

13 :
>>11
場違いだがVPSにSoftEtherVPN Serverじゃダメなのか
>>12
Interop Tokyo 2014でコンソールはCiscoのやつ使えますって言ってたから
まあいっかっと思ったけど、純正品ってあるんだな
知らんかった
RTX1210が出たことにより1200のオークション価格が下がってくれれば嬉しいけど
まあ、当分無理か

14 :
コンソール変わったんだ
Dsub9ピンのオスは無いよな

15 :
>>13
RTXと、OpenSWAN/LibreSWANはつながるんだが、制約があるんだ。
1、RTX側からSWANへ接続を開始できない。
だから、RTXが再起動したタイミングで接続が再開されない。SWANがRTXへ接続開始する必要がある。
2、RTX側ネットワークに複数のネットワークが存在している場合、
SWANの設定でそれらのネットワークを列挙しても、一個だけしか認識されない。
192.168.0.0/16 10.0.0.0/8 のように複数記述しても有効にならない。
もちろん、swan同士なら問題なし。
3、IPv4 over IPv4しか使えない感じ。
IPv4 over IPv6で使いたい。
インターネット上にVPSを持っているので、RTXがこれらの問題を解決してくれたら、
言うことないのにと思う。
softetherとか、標準技術以外のものは、いつサポートがなくなるか知らないし、
RTXだけでの運用を願っているので、使う気にはこの先もならないと思う。
RTXがsoftetherを実装するなんて考えられないし。
RTXは、IPsecのLinux標準のSWANとの互換を満たしてほしいな。
RTX自身も、いろいろオープンソースのコード(SSHとか?)を持ってきて動作しているんでしょ。
同様にSWANも持ってこればいいじゃんと思ってしまうんだけど。

16 :
>>15
> softetherとか、標準技術以外のものは、いつサポートがなくなるか知らないし、
> RTXだけでの運用を願っているので、使う気にはこの先もならないと思う。
> RTXがsoftetherを実装するなんて考えられないし。
については、SoftEtherVPN Server側でL2TP/IPsecを制御すればって意味
今のSoftEtherVPN ServerはIPsec,OpenVPN,MS-STTPが動くから
RTX1200だとL2TP/IPsec対応してるから繋ぎにいけばって感じ
あ、中身はOpenSwanとかOpenVPNのソースを移植してるはず
SoftEtherVPN Server自体、GPLになったし
1については、luaとかで工夫するしかないかな
2は何か複数の回線って試したことないから知らない
3はやったことないから知らない
BSDライセンスのSwanがあればすぐに移植されるんじゃないかな?
調べてないから分からんが

17 :
>>16
>今のSoftEtherVPN ServerはIPsec,OpenVPN,MS-STTPが動く
うへー、それはぜんぜん知りませんでした。
いつのまにか、そんなふうになっていたんですね。
選択肢としてはアリですね。使うかどうかは別にしてだけど。
OpenSWAN/LibreSWANにこだわってしまう・・・

18 :
家庭用スレと迷いましたがこちらへ
RTX1200にて、
  pp1 固定IP  仮に 10.0.0.1/29 とする
  pp2 可変IP  仮に 172.0.0.1/32 とする
という風にしてあって
クライアント 192.168.1.100 から yahoo など外部参照したときは
pp2 を使うように ip route default gateway してあります。
LAN 側にはサーバーがいて
  sv1 10.0.0.2:80→192.168.1.2:80
という感じに nat descriptor masquerade static してあります。
クライアントから 10.0.0.2:80 を参照したとき
いったん pp2 から外へ出て ISP を経由して pp1 に辿り着いて 192.168.1.2 のサーバーに届き
戻りのパケットは逆の道順で・・・ という挙動にしたいのですが、
なんとなく ISP に出て行っていない感じがします。
(ルーターの pp 間のルーティングが先に効いてる?)
ヘアピンNATとも違うと思いますが、上記の挙動にすることはできないのでしょうか。

19 :
show ip routeをしたら10.0.0.1/29の経路がpp1に向いてると思います
そのためpp1から出ていこうとしてどこかで折り返されて〜

20 :
そうなんですよ。
ルーター2台で固定IPと可変IPを分けていたときは何とか出来ていたんですけど
1台にまとめようとしたら・・・

21 :
ip filter 10 reject * 10.0.0.1/29 * * *
ip filter 20 pass 192.168.1.2/32 * * * *
ip route default gateway pp 1 filter 10 20 gateway pp 2
的なことを書いて
10.0.0.1/29 宛は pp1 のルートを reject してるつもりなのですが、うまくいってません。

22 :
ピコーン
そうだもう1台RTXを買ってしまおう!

23 :
これを使ってみるとか
http://www.rtpro.yamaha.co.jp/RT/docs/forward-filter/

24 :
>パケット転送フィルターの処理は、ルーティングの処理の直前
クライアントを192.168.1.0/24とした場合
10.0.0.2宛ては強制的にPP2に向けてしまう訳か
ip filter 101 pass 192.168.1.0/24 10.0.0.2 http * *
ip forward filter 1 1 gateway pp 2 filter 101
こういうことか

25 :
>>12
http://jp.misumi-ec.com/vona2/detail/110400192210/
これの出番

26 :
☆☆☆☆☆
               /  /     /   |      \ ヽ
               / /  /   / /    ||  |  i  ヽ i
              i /  / /  / / /    ||  ||  |│ |ノス
               |//  / /___, -一ァ|  /! |ト、|│ | | く」
                |,-‐¬  ̄---┘'7 |!  ハ! |,、-┼十|! | | |
          , -‐ ''"  し' '´_ /,ィ二l |ト、/!ヽト、\_ヽ!|!l | ハ |
       ,r/      __   ,イ|リ ヾハ! ヽ!  ,ィ⌒ヾミリノ!/リ  | ☆ 自民党、グッジョブですわ。 ☆  
      / ||ヽ  -'     / ̄ )` __      |ヒノ:} '` ,イ/ |  |  http://www.soumu.go.jp/senkyo/kokumin_touhyou/index.html
    ,r '   ヾ、  ,-、____ , イ ̄,r==-      ==-'  レ' /|  |  
  / ヽ    `ーソ  ' | |ト、,ヘ ′""          "" / / || | ☆ 日本国民の皆様、12月14日(日)の
. /    \_  /  | ハ ヽ`゙'ヘ       ' '__. ィ  / / | |  |     『衆議院議員総選挙』に必ず投票にいきましょう。 ☆  
           /   / / |  ヽ 川\    ヾ三ニ‐'′//! |  | |  |   
        /    / / 八  \川| |`ト- ..  __ , イ‐ァヘ |  | ||  |!
      /    / / /  \  \ 「`ー- 、    /  .〉  ト、|  ヽ、
     ,イ    /-─=¬ニヘ、_  \   厂\ 厂ヽ /!|   | `ー=ヘ
 -‐  ̄ /─ '  ̄     ├- ヽ\  \ノ\ \ 人 ハ!ヽ ||  |-┤ ヽ
      /          /!‐-- | |\   ト、_`ヽ oヽ  ト、!  ||  |‐┤- ヽ
  // 〉      __ /  ├‐-  ||  | 川-‐  | |  厂7! ハ!  ├:┤  ̄ヽ
  / / ー ─    ̄       ├‐- リ  || ハ!ヘ   | |  ト┤|/′ ヾ,┤   ゙i_
  ‐ '              〉‐-    | / /\ .|o | /ヽ/(′    ∨     \
‐--─ ──-r、___-、    /ー_     {(   '´>、! /ヽ/       |\       \

27 :
おれ、天邪鬼なので、
そういうことされると、
自民党には入れない

28 :
まったく行く気なかったが
民主にでも入れに行こうかなと思わせる

29 :
>>28
民主はダメだろ。
勘違いバカが多すぎる。
前回ので懲りた。

30 :
共産党に入れとけばいい
どうせ当選しないし

31 :
>>30
やだよ
あんな宗教がらみの党

32 :
「もう、信じられません、わかりません」って書いて投票する

33 :
該当者無し

34 :
この際、特定の党を応援しても仕方ない
自民党議員100人落選キャンペーン のサイトを参考にして投票すべし

35 :
一票ではなく、10ポイントくらいのポイント配分制にしてほしい。
そうすれば、いい具合に投票できる。

36 :
>>35
理想的なプランだと思うが、その制度だと都合の悪い連中は多そうだから実現は厳しそう。
後はマイナス票を入れられるようにすれば完璧。

37 :
白票もカウントするようにして、もし白票がトップ当選したら選挙やりなおし、がいいね
最初に立候補してた候補者は、やり直し選挙には出馬できない、という条件も付ける。

38 :
パソコンの遠隔操作をルーターで防ぐのは無理なの?

39 :
このスレは我々が選挙した
ルーターの話は他スレ池
て上のほうの人が

40 :
>>38
全パケットをrejectすればいいよ。

41 :
>>40
究極のセキュリティーだな。

42 :
>>41
さらなる究極のセキュリティーのためには電源コード切断の併用も推奨事項です。

43 :
脱線は好きだけど
ちょっと関係ない話題ばかりだと困るね

44 :
>>38
FW製品買いなさい、
YAMAHAならFWX120、定番ならNetScreenとか

45 :
ずいぶん古い名前だな
Netscreen

46 :
まだ新しい方じゃない?
思い出せる限りで
3com、Foundry、Cabletron、extreme、Orinoco、compaq、NEC
あとは日本から撤退、もしくは消滅した会社・ブランドってなにがあったっけ?

47 :
SSGやForti買うとそもそもRTXイラネっていう

48 :
古い名前だねー
日本から撤退した会社は多い
・・・

49 :
>>44
FWX120で外行き宛先80番ポートや443番ポートの通信、DNS周りの問い合わせをアプリケーションレイヤまで含めて解析する機能あるの?
そこまであるなら確かに遠隔制御ウイルスの活動は確かに弾けるかも知れないけど、そんな機能ないだろ(笑)
なんでもFWで食い止められる妄想とか、とっとと廃品回収に出した方がいい。

50 :
会社のネットワークのことで質問なんですが。
今:ビジネスフォン(主装置)ールーターLAN
新:RTX1210ーLAN
    L主装置
ビジネスフォン内臓ルータが100Mまでしか対応してないので
RTX1210の下に主装置とLANって構成にしようかと思っています。
この場合に主装置のポートにはLLQって音声の優先制御やっぱり必要ですか?

51 :
>>50
主装置への通信の全てを優先にするのではダメなの?

52 :
>>51
そこが知りたいところでポート優先だけで大丈夫なのかな。
遅延の制御とかはいらない感じです?

53 :
>>52
正直、うちのビジネスホンは1G対応で、その下にルータを入れてるから解らん。
NTTのやつ。
ビジネスホンがどんな方法でネットに繋がってるのか知らないけど、
ルータの下には入れるのかな?
うちのは、そういう接続には対応してないようなこと言ってたけど。

54 :
@
---ONU---HUB---RTX---LAN
          └-----主装置
A
---ONU---RTX----(vlan100)--LAN
         └-----(vlan200)主装置

55 :
>>53
α-NX?
ルータの下部に接続できるよ
優先制御は使っても良いけど、なくても出来るし
設定する人間が、電話しか知らないと「できません」と平気で言うんだよね
逆もしかりで、ネットワークしか出来ないベンダだと分離したがる

56 :
>>53
前にNTT通信機器担当に
ONUと主装置の間で何か接続するのはサポート対象外といわれてます。
ただし、メーカによって間にルータを入れこともできるそうなので、メーカに聞いて下さいと。
>>54
接続方法はいろいろあると思うので、QoSやLLQが必要か知りたいです。

57 :
>>56
個人的には、単拠点でQOSってやらないかな
工場とかで離れた建物をHUBで接続してるときに、おまじないとして入れる
キャリア網と接続するところにQOSは入れないでしょ

58 :
電話を分離するのはダメ?
トラブったとき面倒だし。
キャリアの担当に聞けばわかるけど、
大体のネットワーク屋さんは、電話とはネットワークを分けたいと言うって。
会社のPBXリプレースの時に言われたけど、そりゃそうだよねって思った。
あと昔ながらの電話ばっかりでネットワーク知らないとこは避けたほうがいいよ。
全く解らなくて素人みたいなことする。

59 :
>>58
岩通?w

60 :
>>59
NTTでもNECでも工事業者は色々と居るんだよ
営業と工事業者が設計するから、担当者次第では炎上する
岩通だろうが、日立だろうが、富士通だろうが
素晴らしい技術者も居るし、本気で殴りたくなる人もいる
電話とネットワークは分離しておいたほうが間違いない
少なくとも網側は一緒にするメリットよりもデメリットの方が大きい

61 :
クソ担当に当たると光回線とネットを混ぜるの大好きな人いるから。
特に中小相手の場合、それで安くなりますという手口が多い。

62 :
>>50
そもそも、その質問内容では答えられない、というのが一行での答え。
主装置がどんな電話サービスを使ってるか書いてない。これじゃ答えようが無い。
だけど、仮に幸運にも君に技量がそれなりにあって、例えば>>54の通り繋いだ場合
"主装置"にはLLQもQoSも設定する必要は無い。質問内容から解釈すると、主装置は
もはやパケットの整理しないんだから当たり前。
その代わり>>54の例2の場合、面倒ごとを任されたRTX1210側は優先制御なり帯域制御を
適切に掛ける必要が出るし(ルーティングやフィルタリングはどうするんだって話も
当然あるわな)、
>>54の例1の場合はトラフィックを確実に処理できる"保証"はない。
ま、ここで書いてある意味が理解出来ないんなら小細工なんて諦めて今まで通り
100Mで使えって話ですわ。今の速度で苦情来てますか?>>50の質問内容なら困って
ないはずでしょ?
>>60-61
負荷試験装置で事前に音声に影響を必ず与える模擬トラフィックを意図的に作成して
実際に検証やらない奴はトラブルの原因になるから電話とネットワークは分離した方が
方がいいわな。
上で出てくるどんなFWでも入れれば遠隔操作ウイルス食い止められますよ、レベルの
回答ですね。

63 :
>>61
光回線とネット?

64 :
NTTのフレッツネクストでオフィスにおいてネットや電話をしたいんなら、
回線をわけて、ONUが二つになるようにしたほうが、ややこしいこと考えなくてもいいよね。
装置も設定も単純化できるよね。

65 :
ご意見ありがとうございました。

66 :
>>62
会社ネットワークの管理コストに比べて統合するメリットが少なすぎるよね。
自宅とかほとんど無人の小拠点ならまだ有りなんだけど。
それでも本体のネットワークなりに参加するほうが早くて管理も楽だし。

67 :
社員30人ほどの会社だけど、
電話とネットを光ネクストで統合している。

68 :
>>97
統合するのが悪いわけじゃないよ
電話主装置配下だと、NWの設定が面倒になるケースもあるけど
ビジネスフォンがNTTだと、そうさせられるだろうしね

69 :
>>67
統合って、MA400を使うやつ?

70 :
RTX800をRTX1200に変更する事で、VPNの通信速度は変わるのでしょうか?
現在VPN環境でRTX800を利用している拠点から遅いとの報告があり悩んでいます。

71 :
RTX800 VPNスループット(AES)最大80Mbit/s
そりゃ遅いなw

72 :
インターネットVPNならそんなに変わらないんじゃ?
うちNetscreenとSSGでやってるけど、30M出れば上出来な感じだし。

73 :
IPv4 over IPv6でも無い限りは30Mbps出れば御の字だな

74 :
RTX800って中国市場向けモデルなんだから、そこで推して知るべし。
インターネットVPNで無理ならキャリアの国際IP-VPNサービスの利用も検討する必要がある。

75 :
>>69
いや、onuにhubつけて、
主装置(NTT網専用のIPv4での運用)と、RTX(ネクスト網IPv6 and PPPoe)を並列つなぎにする。

76 :
>>70
ルータスペックがボトルネックなら効果あるけど
回線速度がボトルネックなら効果ないよね
その情報だとそれ以上言いようがないよね

77 :
ひかり電話ホームタイプでよいなら、HGW配下にRTXを接続するだけでok
HGWが、基本性能そのままに、チャンネル数が増えてくれれば本当に言うことなし。

78 :
すみません。
RTV800では無くてRTV810でした。。
ではルータ関係では無さそうですかね
回線はフレッツ光ネクストです。
回線速度を測定してみます。

79 :
>>70
ipv4 over ipv6 試した?
うちはかなり快適になったよ
ipv4 IPSecで2拠点間レイテンシ32〜36msだったのが
ipv4 over ipv6にして、7〜9msくらいになった
(フレッツVPNワイドのIP-IPトンネル(10〜14ms)よりも快適になりワロスw)
フレッツ光ネクストなら、試してみれば?
http://orangesooda.com/no/2013/09/ipv4-over-ipv6-ipsec-vpnyamahartx.html

80 :
>>79
おお、ありがとう御座います。
確認してみたいと思います。

81 :
>>79
おれもつかっているよ。
pppoeのプロバイダ経由よりも、網内折り返しだとパケロスがかなり減ったなあ

82 :
PPTPサーバをRTX1200で構築し、PPTPクライアントをホームゲートウェイ (PR-500KI)の配下のパソコンで
接続しようとしています。一応PPTP接続はできるのですが、一度PPTP接続すると切断しても
別のパソコンから接続できなくなってしまいます。PR-500KiにはVPNパススルー機能がないので
静的IPマスカレードで1723ポートを登録したのですが、変化ありませんでした。
ホームゲートウェイ (PR-500KI)ではない回線からは問題ありませんでした。
なにかRTX側で設定など必要でしょうか?

83 :
回答に必要な情報がどっさりと抜けている気がします。
今更新規構築で誰もケアしてない、NAT越えも辛いPPTPなんて使うなよ(´・_・`)、という根本的なツッコミどころもありますが。

84 :
PPTPは、udpトラバーサルできるIPsecより大変だろ。

85 :
とりあえずログをだな。。。と思ったらホームゲートウェイの話か。
情報少なくてよくわからんけど、RTX側は問題ないんだろね。
tcp1723とgreをマスカレードだわな。あと変なフィルター入ってないよね。
あとは知らん(´・ω・`)

86 :
お助けください
rtx1210 rtx810でl2tpv3でのVPN構築設計しています
現状1210側でなぜかインターネットが繋がらないんです。
web画面では接続中となり端末から8.8.8.8などの数字はPINGは成功するのですが 、URLへのPINGは不可です。
DNS設定なのかなと思案中ですが、YMHサポートはconfigにまちがいはないとの事で・・・
ip route default gateway pp 1
bridge member bridge1 lan1 tunnel1-tunnel4
ip bridge1 address 192.168.100.1/24
dns host lan1 
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
l2tp service on l2tpv3
どなた様かご助力いただけないでしょうか?

87 :
DHCPやPPPでDNSサーバー情報を端末側に渡せていないに1000はらたいら。
これ以上知りたければパスワード以外の全コンフィグを見せることだな。
嫌ならググれ。

88 :
ありがとうございます!
早速ですがはっていきます。
bridge member bridge1 lan1 tunnel1-tunnel4
ip bridge1 address 192.168.100.1/24

#
# WAN(ISP1)のインタフェースの設定
#
pp select 1
 pp keepalive interval 30 retry-interval=30 count=12
 pp always-on on
 pppoe use lan2
 pppoe auto disconnect off
 pp auth accept pap chap
 pp auth myname
 ppp lcp mru on 1454
 ppp ipcp ipaddress on
 ppp ipcp msext on
 ppp ccp type none
 ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200089 200090 200099 200100 200101 200103
 ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200026 200027 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099
 ip pp nat descriptor 1000
 netvolante-dns use pp server=1 auto
 netvolante-dns hostname host pp server=1 **.aa0.netvolante.jp
 pp enable 1
 ip route default gateway pp 1

89 :
#
# L2TPv3/IPsecの設定(拠点1)
#
tunnel select 1
 tunnel name l2tpv3
 tunnel encapsulation l2tpv3
 tunnel endpoint name *.aa0.netvolante.jp
 ipsec tunnel 101
  ipsec sa policy 101 1 esp aes-cbc sha-hmac
  ipsec ike keepalive log 1 on
  ipsec ike keepalive use 1 on
  ipsec ike local address 1 192.168.100.1
  ipsec ike nat-traversal 1 on
  ipsec ike pre-shared-key 1 text yamaha
  ipsec ike remote address 1 any
  ipsec ike remote name 1 l2tpv3 key-id
 l2tp always-on on
 l2tp hostname YAMAHA-RT1
 l2tp tunnel auth on yamaha
 l2tp tunnel disconnect time off
 l2tp keepalive use on 60 3
 l2tp keepalive log on
 l2tp syslog on
 l2tp local router-id 192.168.100.1
 l2tp remote router-id 192.168.100.2
 l2tp remote end-id yamaha
  tunnel enable 1

90 :
#
# フィルターの設定
#
初期値+
ip filter 200089 pass * * tcp * 1723
ip filter 200090 pass * * gre * *
ip filter 200099 pass * * * * *
ip filter 200100 pass * 192.168.100.1 esp * *
ip filter 200101 pass * 192.168.100.1 udp * 500
ip filter 200102 pass * 192.168.100.1 udp * 1701
ip filter 200103 pass * 192.168.100.1 udp * 4500
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200085 * * submission
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp

91 :
#
# NATの設定
#
nat descriptor type 1000 masquerade
nat descriptor masquerade static 1000 1 192.168.100.1 udp 500
nat descriptor masquerade static 1000 2 192.168.100.1 esp
nat descriptor masquerade static 1000 3 192.168.100.1 udp 4500

#
# IPsecのトランスポートモード設定
#
ipsec auto refresh on
ipsec transport 1 101 udp 1701
#
# DHCPの設定
#
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.50-192.168.100.79/24

#
# DNSの設定
#
dns host lan1
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on
#
l2tp service on l2tpv3
httpd host any
dashboard accumulate traffic on
dashboard accumulate nat on

92 :
いかがでしょうか?
連投すいません

93 :
パスワード晒しても別に構わんけどな

94 :
自決しました!
ありがとうございます。

95 :
そんなことで自Rるなよwww

96 :
>>94
死んじゃダメ!

97 :
ダメな質問者の例
86:お礼を言っていても、何を直したか書いてないので後々の役に全く立たない

98 :
>>97
おそらく、書き込みをした後にその問題点に気付いたのでしょう。
だからこそ責任をとるために自決したのでは?

99 :
本人は自決しちゃって書き込み出来ない訳だから、
誰か別人が報告してくれたんだよ。
別人なので、解決方法は分からないとw

100 :
定期的に自決する人がでるんだけど
YAMAHAスレでそこまで追い込まれる案件ってあるか?

101 :
いつも命がけですから

102 :
自決する前に、どこがどう間違っていて、どう直したかを
われわれに説明しておいてほしい。

103 :
dnsとかいって53開けてないとかでしょ。

104 :
ポートセービングIPマスカレード

105 :
>>79
前のスレにもあったみたいだけど、4-6でV6アドレス直打ち?
ネームの名前解決の方法分からない。
教えてブラザー

106 :
>>105
西日本はネームでいけるらしいが、東日本は不明というか
当方のNTT東管内では、ネームではダメだった。
なので、show ipv6 address lan1のv6アドレスを直打ちで繋いでる。
v6アドレス変ったらsshか、splashtopで拠点PCから打ち直す覚悟w

107 :
ちなみに、これまでv6 addressは変ったことはない

108 :
>>106
そっかぁ、直打ちか。
ちなみに、東(.aoi.flets-east.jp)でネーム使ったIPSecのサンプル。古河ルータ
http://www.furukawa.co.jp/fitelnet/product/f200/setting/detail/square_next_ipv6_ipsec.html
! V6ネームの名前解決を行うため、DNSリゾルバの設定をします。
Router(config)#ip name-server ::1
↑これはリンクローカルのDNSを使うってことかな。
NECのサイトにもfqdn使うの推奨してるけど、サンプルがどこにもw

109 :
::1は自分自身のこと。127.0.0.1と同じ意味。
Proxy-DNSを有効にしてDHCPv6-PDでoption-request dns-serversとしているので、自分自身をリゾルバにしてNTTから付与されたDNSに問い合わせるってこと。

110 :
>>109
おおぉ。なるほど。
方向性はまちがってなさそうかな。ありがとう。

111 :
生き返りました!
案件に追われ時間なかったのですいません。
解決方法はサポさんに頼りきりました。
やっぱりdnsでした。
l2tpv3で同一セグメントでVPNを組む場合、lan1アドレスがブリッジである必要があります。
自分が悪いのですが、pppoeの設定をし先にispへ繋いでしまったためにdns host lan1が設定されてしまったので、dnsが上手く働かないとゆう現象だったみたいです。
no dns host lan1で無事解決しました。

112 :
>>97は取り消し
86は良い質問者でした

113 :
RTX1200を使っていて、IPSECでトンネルを10本ほど張っています。
あと、PPPOEも2本ほど張っています。
CPU使用率とかメモリ使用率が高くて困ったり、ナットセッション数が足りなかったり、
リソース不足に悩まされていることはありません。
それでもRTX1210にリプレースするメリット(処理性能関係において)ってなにかありますか?

114 :
>>113
用途を変えたいわけじゃなければ
全くメリットない

115 :
今買うと、高いので
気になることがなければ
緩やかに値落ちするタイミングで購入すべき

116 :
NARUHODO

117 :
LAG対応でスタッカブルスイッチと綺麗に冗長とれるとかそれなりに魅力はある
所詮はYAMAHAだから外から突っつかれたらすぐにpps不足になるんだろうけど

118 :
>外から突っつかれたらすぐにpps不足になる
DDoS攻撃のことでしょうか?

119 :
DNS ampみたいなのとか何でもそうだな。
これはRTX810での話だけど、納品先含めて4箇所すべてでCPU100%でアクセス不可って状態くらった。
同じ瞬間にアライドのルーターwに交換したらCPU30%で普通にアクセスできたから、ヤマハが
ショートパケットに弱いという噂は嘘ではなかったw

120 :
>>119
どういう設定なのかわからないんだけど、
RTXでフィルタリングでREJECTしていても駄目なの?
動的フィルタをOUT方向にかけたら、外部からのDDoSパケットは落とされるんじゃ?

121 :
>>120
社内にサーバーがあって、そこ宛ての見た目は正常なパケットだから弾くことは出来ず。
それが1時間とか連続して大量に届いて問題だったのだけど、10個くらいのIPから来て
5分ごととかにそのIPが変わるので、弾くIPを設定するのも大変、というかその時点で
ルーターにログインもできないのでIPの設定もできない状態。
何か対策方法はあったんだろうか。

122 :
>>121
フィルタリングでREJECT or DROPできれば、解決したんだろうか??

123 :
ネクストのIPv6のことで聞きたいのだけど、ひかり電話契約して、
HGWにつなげずONUからDHCPv6-PDでアドレス(プレフィックス)貰った場合に
プレフィックスのlifetimeで一旦切断されて、また一定時間で接続されるを
繰り返してるみたい。同じ症状ある人か解決法分かります?

124 :
>>105-108
xxx.p-ns.flets-west.jp(西日本)なv6ネームをプロバイダーのDNSサーバは名前解決できません、v6ネームの名前解決にはNTTフレッツ網が提供しているDNSサーバを使います。

もしプロバイダーがIPv6 IPoEに対応していて、インターネットリーチャブルなIPv6をもらっている場合はBLOGの設定例
dns server dhcp lan2
で、フレッツ網から取得したIPv6のDNSが、IPv4もIPv6も、フレッツ網内のホスト名もグローバルなホスト名もどちらも答えます。

プロバイダーがIPv6 IPoEに対応していない環境では、フレッツ網から取得したIPv6のDNSは、網内のホストの名前解決できるだけで、グルーバルなホスト名についてはIPv6もIPv4も答えません。それでIPv6はフレッツ網のDNSを使い、IPv4はプロバイダーのDNSを使うようにします。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/hikari_tv.html
dns server select 1 dhcp lan2 aaaa .
dns server select 2 pp 1 any . restrict pp 1

125 :
>>123
DHCPv6-PDは、ひかり電話ルーターが無いとダメだった気がする。
HGW使って同じ設定で試しては。

126 :
>>125
第三者です。
網に直付けの場合は、DHCPv6-PDでなく、DHCPv6で、
フルレンジ128bitの取得をするんですよね。
https://flets-w.com/next/download/tool/gijyutsu_sankou_next_light.pdf
ここにちょっと書いてあるのかな?
推奨って書いてあるね。

”端末機器は Other stateful configuration flag が 1 に設定されたルータ
広告を受信した際は、DHCPv6 機能を利用し付加情報を取得するため、
Information-Request を送信することを推奨します。
ルータ広告の Managed address configuration flag が 1 に設定されたルータ広告を受信した場合は
RFC3315、RFC3633に規定される DHCPv6-PD(DHCP による IPv6 PrefixOption)を使用し
IPv6 Prefixを取得することを推奨します。”

127 :
LANケーブルの爪が他のケーブルを引っ掛けてくるときの苛立ち

128 :
>>126
RAでprefix貰ってる時もDHCPv6でDNS,NTP貰うことを付加情報って言ってるのかとオモタ。
実際の回線で128bit DHCPv6で払い出されるのまだ見たこと無いのですがそんなパターンもありました??

129 :
>>127
机の隙間に落ちたケーブルを拾い上げるときに便利だろ

130 :
>>129
そんなことしたら、つめがしろくなる

131 :
根掛かりしたらどうするんだ

132 :
折れると割と悲しい

133 :
折れたら、またコネクタを取り付ける。
白橙-橙-白緑-青-白青-緑-白茶-茶の順に芯線をコネクタ(CAT6)に差し込むために
よりを解きほぐして並べるのに時間がかかる。つめが痛い。
テスターでエラーになったとき、泣きたくなる。あと、キャップを通し忘れたときも。

134 :
>>133
素人が CAT6 ケーブルの自作に手を出しちゃイカン。
CAT5 とは難易度が段違いなので、やめといた方がいいよ。

135 :
そんなに難しくないよ。単芯なんで指が痛いけど。
逆に、cat5の加工なんてやったことない。
せっかくなので良いしっかりしたケーブルを配管に通そうという考え。

136 :
>>133にテスターでエラーって書いたけど、
結線を間違えただけ。

137 :
難しくないだろw

138 :
>>137
そりゃ結線が正しければ、もちろん通信はできるよ。でも性能はちゃんと出てる? っていう話。
以下のサイトあたり、参考になると思う。
2006/11/20:GigaCheckを試す - なうなう
ttp://trashbox.homeip.net/nownow/20061120/

139 :
自作LANケ使おうとしてファシリティ工事の業者さんに怒られた事あるよ。
あの職人たちは150万とかするテスター使ってる。

140 :
NVR500でDS-liteってできる?

141 :
NVR500でDS-liteってできる?

142 :
真のネットワーク屋は自分で作ったケーブルしか信用しない!

143 :
>>138
測定するのがめんどくさい。たぶん大丈夫だろう。
少なくとも、CAT6を使って配線していれば、5eよりも良いと思う。
CAT6ならケーブル内にセパレータが入って強度も高そう。

144 :
フロア間CAT6ケーブルに、LAN用の雷防護装置をつけているので、
端子部分の「より戻し」量に気を使う意味がなかったわ。。。

145 :
プロはお金貰ってるので、熟練した職人に作業工程を任せた上で
毎年、メーカーで校正をした測定機器で品質保証をしている
しかし自己責任で使うなら、別にいいんじゃない
ぶっちゃけ、技能としてはレベル低いしね

146 :
>>145
そうやって「過剰」なサービスで頃合の分からないユーザーから金取るんだな。
たとえば蟹さんチップでももう十分。

147 :
そろそろ、高レイヤーの話にスイッチしようぜ
低レイヤーの話はどうか他所で。

148 :
うちの会社の基幹部のLANケーブルは1998年に敷設したCat5のままだわw
L2スイッチは1000Base-T対応のものだが、iPerfで580~650Mbps程度出てるんでメンドイからそのまま使ってるw

149 :
>>148
経年劣化はございますので、そろそろ入れ替えた方がいいですね
見積ですが、UTPcat6Aで20mx5本で5000万です

150 :
RTXって、うるう秒の影響を受ける?
2015年6月末に、3年ぶりに発生するらしいんだけど。

151 :
>>150
仕様的にどうかは知らないけど、ntpdateの起動タイミングによっては関係ないと想像してる。
ntpdateをscheduleに登録して毎時0分に起動してたりすると、タイミングによっては2015年6月30日23時59分60秒を返されて影響受けるかもしれない。
けど、ntpdateの起動時刻がその前後を避けて設定されていれば知らないうちに終わってるんだろうと思う。

152 :
RTXは、Linuxとちがって、原初的なシステムを採用しているから大丈夫かもしれないな。
コマンドを実行したときに時間調整がなされるシステムだもの。
安心していいのかもしれない。
Linuxだと複雑で、単純にntpから切り離せば良いわけでもないみたい。
カーネルとntpがグルになっているらしい。

153 :
点検しときますね

154 :
ヤマハはなんでほぼ全機種MLDは搭載してるのに、IGMPは極一部の機種しか搭載してくれないんだ???
別に大規模ネットワークでしか実用性がないというわけでも無いだろうに。
しかもRTX1500とRTX3000に搭載してRTX3500とRTX5000に
搭載しないということは、積極的に外す意図が感じられる。

155 :
rtx同士でVPN張るならIPSEC?L2TPとか他の使う?

156 :
ipsecでしょう。

157 :
>>149
5000万!?

158 :
お客さん〜
10Gですよ10G!
高くないと思いますよ
サービスでバッファローの10MHUBも入れさせて頂きますし

159 :
今なら、ルーターの代金は無料にさせていただきます。

160 :
RTX810の
docomo L-03F対応はまだぁ?

161 :
最近中古で買って弄ってるんですけどフィルタについて教えてください
ネット上の設定例などで明示的にdefaultフィルタを定義してるのはどうしてでしょうか?
また、定義しなくてもrejectされるstaticフィルタをあえて定義しているのはログを見やすくする為ですか?

162 :
>>161
cold startしてからコンソールでコンフィグを入れること考えると、フィルタはすべて消えるからです。
ヤマハルーターはフィルタ定義がないとすべてパスするんです。それなんでrejectをいれるんです。
今はどうかわからないけど、古い機種だとhttpがデフォルトでoffだったきもするから、いきなりhttpではいってdefaultフィルタが自動で定義される事態がないってのもあります。

163 :
passが他に設定してあれば
ip filter 100099 reject * * * * *って不要じゃね?って事でしょ
確かに不要ですねログに出力したいだけだと思います

164 :
こういうフィルタをしてるのは見たことある
ip filter 10 pass * * * *
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.1.0/24 *
ip filter 1030 pass * 192.168.1.0/24 icmp
ip filter 2000 reject * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 108 * * tcp
ip filter dynamic 109 * * udp

165 :
明示的に書いてある方がラク
いろんな機種をさわってると何がデフォルトだったか忘れるからなあ
俺の場合はそういう理解でいる

166 :
皆さんありがとうございます
動作上は無くても問題ないんですね
ip filter 1001 reject 192.168.1.0/24 *
ip filter 2000 reject * *

ip lan1 secure filter in 1001 2000
みたいな適用しているのをよく見かけたもので
判定が増える分CPU負荷は増えるのか等は気になりますが

167 :
>>166
動的の基本動作はpassなので静的の基本(デフォルト)をrejectにします。だたかなYAMAHAのどっかに書いていたような。

動的は素晴らしい機能だと思うのですが動的で防げない攻撃が幾つもあります。下記のような

ip filter 1001 reject 192.168.1.0/24 *
動的では防げない「IP spoofing 攻撃」用ですから静的でrejectします。

どうして2重で設定しているか分かりませんが、「大事な事なので2度言いました」的な事じゃないのかな?

168 :
>動的
???

169 :
>>167
reject前にrejectいれるのは、プライベートIPを装った攻撃を防ぐためですな。
すべてのreject前に入れるのは、その前にpassを定義する可能性があるからかと。
そのままだとそもそもパケットのやりとりができない。

170 :
nat descriptor type 〜 masquerade してれば、ノーフィルターでも外からの進入は不可能だけどな

171 :
外からの侵入は市販のルーターで十分って気がするけど
これ使うと何か凄いんっすか?

172 :
大人になれば分かるよ

173 :
natでもrejectできるけど、filterつかったときと比べてルーターへの負荷が高いのがネックだよね。

174 :
トで始まる、とある大企業の外出用ルーターのconfigをみたことあるが
RTX3000が据えてあるのに filterと書かれた行が一切なかった(w
KDDI(から委託を受けた業者)が設置していったと聞いたが

175 :
LAN側のIP設定、PPPoEの情報のほか
nat descriptor type 1 masquerade
のみ
まぁサーバー公開してないから、実害ないのは分かるけど、あれで設定工賃いくら払ったのか

176 :
>>174
セキュリティ製品が単品とはかぎらないし

177 :
拠点間ルータの一番エッジだったらそんなんでも良いんじゃね?

178 :
>>177
閉域に接続してるなら、そこは無くてもいいと思う
俺は書くけどね
ネット接続向けでPassだけとかは駄目でしょ
他業者の仕事にケチつけたくないけど
あまりにも酷い場合はお客には言うかな

179 :
だから木をみて森を見ないような話してもしょうがないでしょう

180 :
>>169
何かの都合でIN側のフィルターを変更する場合に、このようにしておけば2000番をpassに書き換えてテストが出来る。
尚且つ、そのテスト期間もIP spoofingは排除出来る。
動的フィルターを使ってる場合は静的フィルターIN側rejectのみでも運用は出来る。
一昔前は動的フィルターは最大200コネクションとかなので大量のトラフィックを捌くには全く向かなかった。
RTX1210ではセンター向けの上位モデル同様、ついに65534セッションまで対応させたんだな。
(RTX1200は20000セッション、RTX810は10000セッション、その他のRTXシリーズ、新し目のコンシューマ向けは2000セッションなど)

181 :
>>174
閉域網で対向ルーターやゲートウェイでフィルターガチガチにしてるときなんかはそんな設定になるときあるよね。
負荷や信頼性から3000置いてるのかもしれない。やっぱ森もみないとわからんね(´・ω・`)
>>180
なるほど。検証用とか、動的フィルターの運用ってのがあったか。動的フィルターで必要な穴を開けるなら常にrejectでもいけるな。
そのセッション数って動的フィルターのコネクション数なのか。てっきりNATセッション数かと思ってたわ。
いままでNATがたくさんある設定は見たことあるけど、動的フィルター活用してるなんて見たこと無かったなぁ。あってHTTPリクエストをAck見て動的フィルターで通過可能にするぐらい?

182 :
>>181
SIPなどは動的フィルターを用いると結構便利だと思う。
UDPなんで偽装も簡単だから使いどころの一つだろうね。

183 :
>>182
それ、ちょっと興味有る
どんな風に使ってる?

184 :
動的filterって、有効なルール触るとセッション全部切れたりしない?
切れるのはポリシーフィルターだけ?

185 :
触るってセッションがある状態で設定いじるって事?そりゃ全部切れるよ

186 :
>>183
内側の端末が発したSIPパケットをトリガーにして、その行き先のパケットのみが戻れるように。
何もしないよりはかなり良い。

187 :
>>186
センター側にサーバや交換機おいた場合はどうないするん?
レジストは問題無いけど、センター側から着信来た場合は対応出来ないよね

188 :
センター側はアドレス固定だから、どうとでもなるな

189 :
>>187
何を持ってセンター側とか呼称してるのかは分からんが、厳密に言えば内側端末はAsteriskベースの交換機、外側はITSPのSIPサーバ。
純粋なSIP電話機は内側に居て、Asteriskに直収するから動的フィルターの影響は受けない。
他拠点のSIP電話機はVPN経由でAsteriskへ収容するからこれも内側端末扱い。

ITSPのSIPサーバとAsterisk間は動的フィルターが開きっぱなしになるから発着信共に問題なく出来る(というか、出来るようにConfigするのが腕の見せ所)

190 :
特定セグメントは別ルータから接続したいので静的経路を追加したのですが、
特定セグメント内のサーバにPINGは通るけどその他アプリ(リモートデスクトップ等)が接続できません。
ただし、パソコンのゲートウェイを直接別ルータのIPにするとOKです。
静的経路だけではダメでしょうか?

メインルータ 192.168.100.1
別ルータ 192.168.100.99

[config]
ip lan1 address 192.168.100.1/24
ip route default gateway pp 1
ip route 192.168.55.0/24 gateway 192.168.100.99

191 :
>>190
特定セグメント側のプライマリルーターにおけるスタティックルートとフィルター設定みないとわからない。

192 :
>>190
55のネットワークってなんだ

193 :
>>190
ICMP Redirectをファイアーウォールが弾いている可能性があるかも。

194 :
>>192
エスパーすると特定セグメントのアドレスw
インプットが酷いから回答も適当なものしか出てこない

195 :
>>192 >>194
すいません。特定セグメントのアドレスが192.168.55.0/24です

192.168.100.94のコンフィグ抜粋です
ip filter 1 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 2 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 3 restrict * * tcpfin * www,ftp,nntp
ip filter 4 restrict * * tcprst * www,ftp,nntp
ip filter 100 pass * * * * *
ip filter source-route on
ip lan address 192.168.100.94/24
ip lan routing protocol none
ip lan proxyarp on
ip route default gateway pp 2 metric 1
pp select 2
pp name PRV/2/0/0:test
isdn remote address call 0000000000
isdn call block time 15
isdn forced disconnect time 7200
nat use on
nat masquerade on
pp auth accept pap chap
pp auth myname hoge hoge
ppp ipcp ipaddress on
ppp ipcp msext on
pp enable 2

パソコンのゲートウェイを直接別ルータのIP(192.168.100.94)または、
route addで経路を追加するとOKになります。

196 :
192.168.100.99
192.168.100.94
192.168.100.1
なんかわからんぞw

197 :
なんたかよくわからんぞ。
機種はなに?

198 :
(´・ω・`)てか、構成、使用機種、やりたいこと、その他諸々の情報が全くないのでわからん。ここまでわからんのは初めてだ。

199 :
エスパーもギブアップした
何だよ、94とか(・_・;
しかし、ip lan addressとか書いてあるあたり、また古そうな機種だなあ(´・_・`)

200 :
>>196
すいません。192.168.100.99です…
正しくはip lan address 192.168.100.99/24

機種ですが
RT50i 192.168.100.99
RTX1200 192.168.100.1
特定セグメント先のルータ
RT58i 192.168.55.1
です。

やりたいことは、パソコン(192.168.100.2)からインターネットはRTX1200(192.168.100.1)を使用して、
192.168.55.0/24側のネットワークに接続する場合のみRT50i(192.168.100.99)を使用して
RT58i(192.168.55.1)とISDN間通信で接続したいです。
パソコンのデフォルトゲートウェイは192.168.100.1です
それで>>190の設定をしてみたのですが、パソコン(192.168.100.2)から特定セグメント側のパソコン(192.168.55.2)に
PINGが通りますがリモートデスクトップが接続できませんでした。
(「内部エラーが発生しました」というメッセージが表示されリモートデスクトップが繋がらない)
そこでパソコンのデフォルトゲートウェイをRTX1200(192.168.100.1)からRT50i(192.168.100.99)に
変更したところリモートデスクトップが接続できました。

RTX1200(192.168.100.1)に静的経路を追加してあげるだけで良いと思っていたので、
ip route 192.168.55.0/24 gateway 192.168.100.99 と追加したのですが、
これだけではダメでしょうか?うまく説明できなくてすいません。

201 :
メインルーターのフィルターは大丈夫?

202 :
関係してるルーターのコンフィグをなるだけ省略しないようにアドレスの間違いがない状態で改めて書いてくれないと分からないよ(´・_・`)
アドレスを間違えて案内してる時点でコンフィグに間違いがある可能性に1000はらたいら(歳がばれる

203 :
ttp://image.i-bbs.sijex.net/bbs/jajaja/1422619355448o.jpg

これじゃダメなの?

204 :
てかRTX1200とRT58iを直接ISDNで繋げばよくね

205 :
>>203
ありがとうございます。やりたいことはまさしくこれです。

>>204
それが一番いいのですが、ISDNの電話口がRTX1200と物理的に離れていて
配線工事が必要なのでこのような形にしています。

>>201
最小構成で試したいのですが、すべての機器は運用中でなるべし支障がないように
設定をいじっています…本番稼働中にやるなって感じですが。

RTX1200のフィルタを確認したところIN側で
ICMPやhttp、httpsは通していますが、それ以外はrejectしているようでした。
おそらくここが効いてると思います。
(>>203 の図でいうところのpp1のフィルタです)

ありがとうございました。

206 :
>>174
Kの中でもやってたことあるけど、別にあるんじゃね
別に珍しいもんでもないとは思うが

207 :
パソコンのhostsに192.168.55.0/24向けのゲートウェイをスタティックルートで書け

208 :
>>205
スマホからなので、逆エスパーたのむ。
パソコンから55のセグメントに対して1200経由でRT50iのISDN経由でRT58iにつなぎたいってことだよね。RT50iと58iはVPN接続されてるのかな?

1200には55のセグメントはrt50iに行くようなルートをいれる。
rt50iには55のセグメントへの通信を58iにいくような設定をいれればいいかと。

ただ、前提としてVPNを50iと58iでつながないといけないかと。

209 :
>>205
RT58i とRT1200 をLAN 接続してるけど、接続出来るって事は
ケーブル届いてるって事だから、お互いのS/T 点同士をLAN
ケーブルで接続してみたら??

210 :
>>209
途中にハブが無ければOKなのかな?

211 :
ハブ無して、中継コネクタとかでお互いのS/Tを直結。
で、RTX1200 に設定は統一出来るのでは??

212 :
>>209
>>211
おまえらBRI S/T点の意味分かってないだろ
懺悔室で上から冷水とタライを落としてやりたいところだ

213 :
205パイセン〜
俺ら、ひょうきん族とか知らねぇーっすからwwwwwwwww

214 :
これって、ISDN側って、結構データは流れるのかな??
それなりの流量が有るのなら、課金の問題とかも有るから
相手側拠点も変更出来る様であれば、フレッツ網経由とか
にした方が良さそうだし。
ISDN,NTTが廃止しちゃったら、どの道、データコネクトとかに
切り替えないとでしょ。

ISDN 側の rt58i は、S/T で直結しちゃったら、只のDSU として
の機能しか使わないから、S/T 点付きのTA か、ビジネスホンみたいな
既存のISDN 機器にS/T 点有れば、そこに繋げれば 58i とか用意
する必要すらないのにね。

215 :
>>212
rt58i を只のDSUとして使うって事でしょ。
DSU スイッチを、on にして、NOR-REV スイッチをS/T 側にすれば良いだけ。

216 :
>>208
RT50iと58iはPP接続です。
やりたいことはご指摘いただいた通りです。

>>209--208
有難うございます。S/T点なら大丈夫そうですね。


根本的ご質問なんですが、以下のような設定の場合、
192.168.55.0/24への通信もフィルター100が効いてしまうということでしょうか?
192.168.55.0/24はpp1に行かないので効かないと思っていたのですが・・・

ip lan1 address 192.168.100.1/24
ip route default gateway pp 1
ip route 192.168.55.0/24 gateway 192.168.100.99
ip filter 100 reject * * * * *
pp select 2
ip pp secure filter in 100
ip pp secure filter out 100

217 :
>>216
192.168.55.0/24へはフレッツVPNワイドとかじゃなく、LAN側の100.0/24経由で行くならPPフィルターは関係ないな。

218 :
(´・ω・`)デフォルトふしあなさんなのわすれてたわ。

219 :
とりあえず、1200でsyslog notice onしてへんなRejectがないか見るのをおすすめする

220 :
図からこうなっているのか

PC1: 192.168.55.2
│LAN
RT58i:192.168.55.1 [ip route 192.168.100.0/24 gateway pp x] (拠点)
(pp x)
│ISDN
(pp 2)
RT50i:192.168.100.99 [ip route 192.168.55.0/24 gateway pp 2]
│LAN
RTX1200:192.168.100.1 [ip route 192.168.55.0/24 gateway 192.168.100.99] (センター)
│LAN
PC2:192.168.100.2


RTX1200とRT50iは同一セグメントだからRTX1200のfilterは全く関係ないと思うんだ

RT58iのconfig情報が無いけどRT58iってGUIからPP設定してNATとかNATPとか変な設定入っていたとか無いよね。
NAT等を使用していた場合PC2のGWをRTX1200にすると通信できなくなる可能性はあるわな

221 :
ISDNってRT50iから58iに発呼して接続するととVPNと似たような感じになるの?
(´・ω・`)扱ったこと無いからわからん・・・。

まぁ、1200直下のPCのDGを50i(.100.99)にして55.0直下のサーバーにつながるってことはルーティングかフィルターの問題かと。
NATは同一セグメント内では効果が無いので関係ないと思われ。
とりあえず、1200のlogを片っぱしから出す設定にして55.0につなぎに行ってみてどんなlogがでるかですな。
あとはconfigをある程度書いてくれればアドバイスしやすくなるよ。

222 :
show ip routeもやってルーティングテーブルの確認も必須。

223 :
1210素晴らしいなー
VPNやりたいだけの客には向こう6年はこの機種で大丈夫だな
もう1万円下がらないかな

224 :
>>223
1210のGUIすごいよね。
VPNまでわかりやすいGUIで出来てしまうとかモウネ・・・。

VPNだけだったらRTX810でもいいのではと思ってしまった自分は古い人間。

225 :
あいだのL3はずして1210だけでフィルタリングしても、大体ワイヤースピードいけそう?
VPNなしの50台くらい

226 :
>>224
GUIに頼っちゃうと、ネットワークの理解、成長に乏しくなる
応用が利かなくなるね。

227 :
まぁ運用保守を客に渡すことも視野に入れれるから、GUIは整ってて損はない。

228 :
がんばってGUIで設定してみようとしたけど
逆に難しい

229 :
なんか無茶苦茶なエスパーが居るな

230 :
NGNのIPv6折り返しって、LAN2でプレフィックス拾って
LAN1とLAN3にv6割り当てれば独りVPN出来ますか?

231 :
>>205
1200のip lan1 secure filter in/out のとこ、何がはいってますか。

232 :
GUIのないところが、RTXの良さだったのにな。
GUIなんてできたら、バッラローみたいになっちゃうよ。

233 :
GUIあろうがなかろうがバッカローだろ

234 :
GUI使わなければ
いいだろう

235 :
GUIを使う奴はナイスGUY!

236 :
ああそうすごいおもしろいね

237 :
>>234
YAMAHAさん「みな、GUIだけをつかっているんだ(報告あげとかないと)」
上層部「じゃあ、GUIオンリーでいいよ。(サポート面倒だし、CUIは廃止方向で。)」

238 :
GUIで設定!らくだ!なんて喜んでいちゃ駄目です。邪道です。

239 :
それは無いよ
GUIの裏じゃ結局コマンド叩いてるだけだから

240 :
そうすると、このスレッドにはGUIなガイたちもやってくるはずだから、
ネットワークスキルのない人間によってレベルも落ちる!

そういう人たちは、ヤマハサポートへ行ってくれ。
おそらく、今後、サポートはGUIのみをサポートするようにもなるのかもしれん。

241 :
>>240
もし、本当にそうなったとすれば、
RTXのサポート窓口は、疲弊していたのかもしれないな。
おれは問い合わせしたのは数回だけどな。
(結局、自力で解決しなければならなかった。サポート対応に効能があるのは購入後数ヶ月だけじゃないか。)

242 :
>>241
そういうことからして、
GUIは、RTXにおいて、入門者と経験者との住み分けを図るための機能だとも言えるかも。

入門者も、うまくなりたければ、GUIを自分の意志で卒業しなければならない。
その点、GUIがなかったこれまでは、最初は厳しかったものの、幸せだったのかもしれない。
ルーターの設定って入門者にとっては本当に大変だから、GUIを手放す人はなかなかいないと思う。

243 :
>>242
GUIを迎合する話題や、GUIを賞賛するレス、GUIはすばらしい、なんて発言は、
RTX1210から入門してきた人たちだとわかるはずだ。

なんかね、やっぱり、コマンド打ってがんばってきてほしかったよ。

244 :
そういうの期待するならハナからヤマハなんて使わない

245 :
>>244
そういうの(=GUIでさくさく!)なら、どれを使うんですか?

YAMAHA路線は、そうじゃないとおっしゃるわけですね。

246 :
RTXルーター搭載のGUIって、何を目指しているんですか?
結局、入門者とCUI経験者との間に埋まらない溝を作ることになりませんか?

247 :
なんか変な宗教でも入ってんのかw
RT100iから使ってるがコマンド打つより楽な場合もあるし
好きに使えよって感じだが

ヤマハとしては敷居を低くした方が売れるだろう

248 :
>>246
個人的には、ずっと「誰が得すんの?」と思ってた。

でも RTX1210 のダッシュボードを始めとした GUI は良さそうですね。GUI で表示してこそ
把握しやすい情報を見られるのは嬉しいです。

249 :
>>245
ん?
そういうの=(CUIでコマンドをかりかり打つ)
のつもりだよ

250 :
通信多い端末を上位からグラフで表示してくれる機能があると嬉しい

251 :
>>249
RTXだと何が足りないんでしょうか。
コマンドやその体系など、言語的な理由のことでしょうか。

252 :
>>247
ごめん、ちょっと変な言葉遣いだったな。

253 :
>>251
単に個人的な意見だけど
YAMAHAは簡単で誰でも気軽に使えるところが良いと思ってるのね
サポートや事例が手厚かったり、
UPnPが使いたい家庭向け(アライドは五月蠅いし)に良いと思っていて、

でも、値段と比較して性能が全般的に劣るので
コマンドわかる人が使うなら、
MSRなりFortiGateなりUnivergeなり使えばいいんじゃないのって思ってるだけ

254 :
>>244のいうそういうのってCUIをユーザー側に提供していないGUI専用の機器使えって事でしょ

255 :
一概にコマンド、コマンドいっても全メーカー共通じゃないからな
CUIといえど慣れ親しんだもの使うのは当然じゃなくて?

256 :
>>254
いやだから、コマンドオンリーな難しさが好きなら
ヤマハじゃなくて他でいいだろって言ってるの

YAMAHAなんてGUI充実させていけばいいじゃん
使ってる層がそういうの求めてる中小企業が多いんだから

257 :
その分コストに反映されずに販売数増えるならGUIが豪華になろうがCUIつかえるなら
どうでもいいよ

258 :
"きちんと動く"GUIは経験のない分野の設定を手探りで入れていく時は便利なこともある。
だけど、同じ設定で大量に撒いて一元管理とか言い出すと死ぬ。"きちんと動く"CUIがあればなんとかなる。
適材適所で使えばいいんだよ。インターフェースがどうあれ、きちんと動くことが何より大事。

259 :
「GUI から入ってくる奴は邪道」 そんな考えを持つやつを  CUI房と呼びます。

結局あほみたいな信者論争になりますので別でやってください。

260 :
>>259
ああ、そのお話の前に、その人のネットワークのスキルの有無で分けて考えないとね。

スキル皆無:
GUIからマウスで、チェック、チェックってやって設定して、
いったいネットワークの何が分かるの?

スキルあり:
本気でRTX使いたいわけでもなければ、GUIはお手軽で良いのではないか?

261 :
コマンド使えるなら、外国機使えって論があるけどさあ、
国産機のメリットだってあるじゃない?

たとえば、RTX国産機の以下のようなこと。

・バックドアがない(だろう)
・NTTフレッツ網を考慮している

262 :
いつになく伸びてると思ったら
またGUI論争か

263 :
L3までの基本的な事知ってたらCLIのほうが分かり易いよ。
そう言うコト。

264 :
GUIが充実してスキルのない人が使いやすくなることの何が悪いのかよくわからん。
コマンド使いなれてる人の立場がおびやかされるということかな?
それとも、知識のない人が業務用ルータ使ってるのを見ると腹立たしいのかな?

265 :
まあこれだけ枯れた技術の基本の基もわからんようなのに、無駄に弄れるようにはして欲しくないね。
本当に無駄なトラフィックやリスクばかりが増えてるとおもうよ。

266 :
と、言ったところでJUNET時代のようにメールの1通は50KBまでなんて時代じゃないしな。
自己責任で好きなようにやればいい。

267 :
>>264
>知識のない人が業務用ルータ使ってるのを見ると腹立たしい

うん。なんかね。
下支えの技術が軽視されているみたいで。

268 :
>>250
netflow動いて統計情報表示してくれるといいよね。

routerboardとかedgemaxみたいな感じで。

269 :
コマンド覚え込んで設定しても、上司に「そんなのGUIで簡単にできるんだろ」と言われるからな。

270 :
まあセキュリティ屋としては悪夢だな。

…誰だよ、人の不幸(インシデント)が飯の種だなんて言ってるのは。

271 :
>>270
人間、痛い目に合わないと痛さは分からないものなんですよ。
会社が傾くくらいのインシデントが起きる報いのある時代、仕方ないでしょう。
特に日本では情報はタダと思っている人が多いから。

272 :
でも、10年前に入れたNetScreenだけど、Hの子会社はドノーマルで
PPPoeとVPNの設定だけして納品してきたよ。
これで1拠点5万とかとられてた酷い時代だったな。

273 :
おいおい
うちだってRTX810をバラ撒くときに、1拠点5万以下なんて無理

274 :
ハードと設定込みで1拠点5万??

取ってきた仕事全部そこにおろしたほうがいいんじゃないかw

275 :
>>246
フィルターの記述とか楽じゃん
guiでフィルター作って、他と後の変更はcuiを使ってる。
初めての機能とかもcuiだけだと必須項目揃えるの大変だし、コンフィグ例として使ってるよ

276 :
GUIがちょっとよくなったくらいで揺らぐようなしょぼいスキルじゃないんだよ・・・
って言ってみたいところだが・・・

スキルなんて所詮、要件(トラブルシューティングも含めて)を素早く実現できることだから
GUIを使いこなして、コマンドオンリーより素早く仕事できたら
そっちのほうがスキル高いってことになるよね
(もしも、コマンドよりも素早いくらいの、素敵なGUIに仕上がってたらの話ね)

GUIも新しい機能もすべて一通りさわってみないと時代遅れになるよね
やっぱ新しい機能が出るたびに一通りさわって、
使えるか使えないかを自分で精査しておくことこそがスキルなんじゃないだろうか

277 :
CUI派だが、show config したときの並び順には文句ある

278 :
どんな?

279 :
filter やら nat を先に
pp やら tunnel は後に
並べてほしいわ

280 :
結局、裏で動いてるのはコマンドなのに、
GUIでコマンド変換して入力ってのが間に入る事の信頼性とかね。

シスコなんかでもバグだらけだし、
万一GUIでトラブっても言い訳にもならないっていう。
設定したコンフィグを確認し直すくらいなら初めからCLIでいいって言うだけ。

281 :
RTAシリーズでは、GUIを使うことが良くある。
しかし、変更のたびに、保存する必要があるので、
内蔵のフラッシュメモリが駄目になってしまいそうで怖い。
だから、TELNETで変更して、意図した動作になってから、saveすることにしている。

RTXでもGUIは反映させるために、saveしないといけないんだろうか。

282 :
俺なんて、filterや、NATディスクリプタ、トンネルやPPの定義番号を決定するためのルールもしっかり決めているので、
GUIなんて使う気にならない。

283 :
GUIで設定してコンフィグで確認するのは別に問題ない。
設定する人が慣れてる方でいい
あくまでそっちのほうが速いなら。
特にあえて否定する理由もない。

GUIで設定したのを安心してコンフィグすら確認しないのはアウト。

今のところコンフィグ読めなきゃ使い物にならないのは変わらない。

284 :
>>282
ある程度経験ある人はみんなそうだと思うよ。

前に設定したことある似たような案件のコンフィグを変更してコピペしたほうが
圧倒的にGUIより速いからね

1から書く時とか以外はGUIを使う用途がないね

285 :
心配なのは、GUIなやつらが、このスレになだれ込んで、
意義ある議論が希釈されること。

286 :
GUIなんかよりも、CUIの環境をすばらしくしてほしい。

クラスプログラミングみたいに、クラス化されたトンネル要素を、
必要数インスタンス化して、そのプロパティーを設定するような形態にする。
たぶん、頭の整理がすっきりとすると思うよ。
おそらく、NATや、フィルタなど、ネットワークを構成する要素が、
頭の中に絵のように描き出される。

287 :
>>286
そうすると、ヤマハは世界シェアを担えたりして!

288 :
>>286
そうそう、せっかく、luaとかいうプログラミング言語も使えるようになっているんでしょ。
親和性が高いと思うけどなあ。
いずれ、そのつもりなのかな?

ところで、luaが使えるルーターって、ヤマハ以外にあるの?

289 :
>>286
MSのIDEみたいに、インテリジェンス機能搭載のIDEが提供されたら、うれしい。
ルーターの動作をプログラミングで設計できる時代になる!
そうすると、ルーターから広がる世界が始まるよな。ルーターとそのほかがリンクするぜ。

290 :
>>286
もちろん、クラスをつかってプログラミングされたものを、そのままマシン語に落とすわけではない。
パケットいちいちについて、イベント処理なんてやっていたら効率が悪かろう。

あくまでも、クラス(インスタンス)の関係によって、ルーター独自の制御を描き出すわけさ。

現在でも、トンネル設定で”テンプレート”なんて機能が搭載されているけど、
これって、クラスの継承そのものでしょ。

291 :
妄想でもりあがってまんな

292 :
junosじゃねーか、結果はお察し

293 :
一度作ったらそうそう弄らないのがな・・

294 :
GUIは統計情報表示は嬉しいかな。APIあればそれでもいいけど。

YAMAHAがSDN/NFV的な世界にどう対応するかは気になる。それはCLIでもnetconfでもやりようあるけどSEILと切磋琢磨してくれると嬉しいなー。

295 :
GUIはダメで、CUIが良いとか言い出す現場の人間は居ないだろ
まぁ、実際はメンドクサイからCUIでやるけど
提案するときに 「GUIで運用が視覚化されてますよ〜」 って出来るのは良いよね

296 :
運用の可視化をわざわざしょぼいルーターのGUIで実装する意味が分からん
ZabbixやMunin突っ込んだOpenblocksなり置けばいいじゃん

297 :
PGの俺もやっぱり裏で変な動きしてたら嫌だからコマンド打つ方が安心できるな。
でも、SSGとかFortigateはGUI推奨な感じがある。

298 :
同じく元開発でCCNP持ちの俺はYamahaはたまーにしか使わないもんだから、
コマンドが急には思い出せないのでGUIを使うことがある。

Configは大体読めるから、GUIで設定したあと確認する。

英語と同じだな。
書いたりしゃべったりできないが、読む分には何書いてるか分かる。

299 :
RTX-1210ほしいよー

810買い換えてーよー

300 :
10万もしないんだからさっさと買えや

301 :
ブラウザゲームやスマホアプリのBOTを複数PCで大量に動かしていると通信が不安定になります
民生品の中ではNATセッション数の多いNECのルータに変えることでだいぶマシになりましたが、
それでもPC4台をフルに使うとネットワークエラーが頻発します
その場合、RTX1210の導入によって改善可能でしょうか?

302 :
えー10万以下なら即買いってどんな金銭感覚よー
個人で買ったら嫁に腹蹴られるよ

会社に買わせてーよー保守切れてる機器1個壊すか…
回路引き抜くか…

303 :
間違ってSCに書き込んでしまいました

ブラウザゲームやスマホアプリのBOTを複数PCで大量に動かしていると通信が不安定になります
民生品の中ではNATセッション数の多いNECのルータに変えることでだいぶマシになりましたが、
それでもPC4台をフルに使うとネットワークエラーが頻発します
その場合、RTX1210の導入によって改善可能でしょうか?

304 :
原因がそうだっていうなら
公表しているNATセッション数がNECより多いなら改善はするんじゃないの?

305 :
どうせBOTで稼いでんだろ?
PC1台に1回線引いてそれぞれにルーター入れろよw

つか、1PCに1回線じゃルーターいらねーな、
ノーガード戦法でいけやw
そうすりゃ、セッション数なんて気にする必要なくなるぜ?(笑

306 :
>>303
NAT使わなければ良いのでは?

307 :
そもそもNECのルーターがAtermなのかIXシリーズなのかでも話が全く違うとおもうのだがな。

308 :
SCSKとYAMAHAの営業が来たときに聞いたけど、GUIは飽くまでもCLIの補助機能ってことでつけてるらしい。
CLIで設定した後にネットワーク担当者が不在の拠点でも状況の確認とか設定の変更ができるようにとかなんとか。

ダッシュボードなんかは元々FWXのやつだから設計思想的に状況がすぐにわかるようになんだろうしね。
あとはYAMAHAが提唱しているネットワーク見える化なんかとも関連するんだろうに。

(´・ω・`)そんなんで、どっちがどっちってことでもないんでないかね。

309 :
ルータはAterm WR9500Nで現在PC20台を5回線で運用中です
Ajax等で大量のリクエストを発行し続けると、帯域幅には余裕があるにも関わらず
回線が落ちる(接続が数秒〜数分間ロストする)のは、NATセッション数を含めたルータ側の性能不足という結論に至り
高性能かつネットワークに関する知識が乏しくても最低限の設定は出来そうなRTX1210を候補に挙げました

310 :
>>309
RTX1210の場合、理論上はNATのセッション数で言えば6倍以上のスペックはあるけど、
普通そんな無茶な使い方はしないのでバグを踏めばWR9500Nより不安定に見えることもある。

一つ良いことがあるとすれば、ヤマハの場合、そんな儲からない個人客であってもそれが本当にバグならば時間が掛かってもファームウェアを改修してくれることもある。
頑張って人柱を目指してくれ。

311 :
>>309
性能がクリティカルだったらNECのIX2215買って、設定コマンドは頑張って勉強しろ。

312 :
そもそもスレチだからレスするな

313 :
光回線ってリンクアグリゲーションできないの?

314 :
金使いたくなくて
空いてる端末が4つ以上あるならNICだけ追加購入して自作ルータって手もある
Core 2 duo 以上の端末ならAterm WR9500Nなんかよりは何倍も性能ある

315 :
>>312
ネットボランチ系を聞かれている訳でもなく、(BOTの善悪はともかく)設定方法や使い方でもないからあからさまにスレチとも言いがたく。
>>1を読んでみなよ。スレチと言いたければスレの定義を変える必要があるぜ。GUI載った弊害かねえ。

>>313
(一般的な光ONUで終端する回線では)出来ない

>>314
使うPCによっては短期的な電気代差額だけでRTX1210が買えそうな尖った提案だな。

316 :
レスありがとうございました
とりあえずRTX1210買ってみます

317 :
そこらへん素人だから教えてほしいんだけど。

何千円かのギガビットNIC買って、ソフトウェアルータ OS入れたら
802.1qのフレームって対応するの?

318 :
西日本でipv4 over ipv6をやりたいのだけど教えてください
フレッツv6オプションを契約してIPv6ネームをとったのだけど
これはルーターで
LAN2のグローバルv6アドレスを確認し
自分で管理画面に入力しないとネームとアドレスが関連付けされないのでしょうか???
DHCPで割り振られたv6アドレスをネームで名前解決できるのだと思ったんだけど
違うのですね???

v6アドレスが変更されたら自分で書き換えないといけないのかしら??

教えてくださいませ

319 :
フレッツスレへGo!

NTT西日本・フレッツ光ネクスト総合★19
http://hayabusa6.2ch.sc/test/read.cgi/isp/1422989502/

320 :
ひかり電話有り無しで、プレフィックスが56か60の部分の変更は
ネームもおっかけて変更してくるみたいだけど
そこから64の間までで変わっちまうと、v6オプションの画面で再設定が必要。
64から128の部分は自分で固定できるでしょ。
ただ、ネーム追随は西日本だけみたいだけど。

321 :
>320ごめん IPv6の知識が少なく 意味がわからなかった
勉強します

>>ひかり電話有り無しで、プレフィックスが56か60の部分の変更は
>>ネームもおっかけて変更してくるみたいだけど

??????
結局、ネームは自分で入れないとダメなんだよね?
ルーターで確認したIPv6アドレスが変わらなければ
VPNワイドの代わりに使えるけど
変わってしまって手入力する必要があるなら
手間がかかりますね・・・・・

322 :
>>321
言ってる内容で合ってるよ。
ただ、こと西日本管内で言えばこの3-4年でNTT都合でv6のアドレスが変わったことは
確認できるだけで1回あったかないかくらいの話で、ほぼ固定だと見てよいと思うよ。
>>320が言うように、NTT西はNTT都合でアドレス変えた場合はネームを追従して変更する
と公式にコメントしているよ。でも、実際に本当に追従するかどうか確認した報告はひとつもない。

323 :
>>322 なるほど ありがとう!
アドレスはほぼ変わらないんだ!

RTX810用意して構築してみます
ありがとうございました! 感謝!

324 :
>>322
プロバイダでIPv6サービス申し込んだら、
v6アドレス変わって合わせてネームも追随してたの確認したよ

325 :
プロバイダーのサービスならそうじゃないの?

326 :
l2tpv3/ipsecでNGNをブリッジするならv6でl2トンネル作って内側のv4ポートでipsecすれば良いのでしょうか?

327 :
本社RTX1210−拠点4箇所をNVR500のPPTPのVPNを構築

SQLサーバにアクセスするのは全く問題ないのですが、
ファイル共有系の処理が非常に遅いのですが、
何か解決方法のヒントはありませんでしょうか?

328 :
まだPPTP使ってる奴いるんだー(棒)

329 :
CIFSをWAN越しにしたらそりゃ遅い。
○○ー○ー○のWAN高速化エディションでも買っとけ。

330 :
>>328
費用の問題で

331 :
>>329
SQLのアクセスしか無いって聞いてたんだよな…

332 :
>>331
設計要件にCIFSが入ってない、で終わりだろ。
それにPPTPだと仮に遅延が小さくても速度自体出ないし。

333 :
>>332
PPTPダメなら、拠点をFWX120とかにしたらいいのかな?

334 :
NVR500じゃなくても、SRT100とか、RT107e でも良いでしょ。
中古なら、価格は抑えられるし。

335 :
>>333
中古RTX1100を4台買って、NVR500の下に置いたら?
今見たら、ヤフオクで4台セットで5000円ぐらいで売ってた。
こっちの方がNVR500のPPTPよりも速いよ。

RT107eは使ってたけど性能的にちょっと貧弱すぎる。
SRT100は使ったことないけど、RT107eとIPsecスループットが同じだから、多分厳しいと思う。

中古じゃダメなら、FWX120より安いRTX810でもいいんじゃない?
そしてNVR500を下に置いて無料IP電話網も作っちゃいなよ

336 :
>>322
>でも、実際に本当に追従するかどうか確認した報告はひとつもない

あるよ!
西日本だけど、ネームに登録していたIPv6のプリフィックスが変わったときに、
自動的に更新された。ちょびっと時間がかかったけどな。

どうして変わったのか忘れた。なんだったっけ。
IPoEのプロバイダを導入したときだったっけ?なにせ、変わったのは覚えているよ。

337 :
皆さんありがとん
他にも良い情報あれば教えて下さい

338 :
>>327
CIFSと書いているので大丈夫だと思うけど
SQLの一部機能を使うために135-139をpassにしてSMBで通信していたとかそういう落ちは無いよね。

339 :
東西のIPv6って閉じてると思ったけどIPoEのプロバイダ導入したなら東西のネーム関係あんの?

340 :
>>339
IPoE対応プロバイダ導入したら、それまで閉じていたものが、開く。
プリフィックスもプロバイダに応じて変わる。
ネームは使える。

341 :
>>338
大丈夫です

342 :
>>335
性能的には、RTX1100 の方が良いんだっけ??
NVR500は、DHCPサーバ切って、IP電話アダプタに
すればいい。

343 :
>>342
NVR500はIPSec系が非対応
L2TPすらも非対応なので使いにくい

344 :
VPNやるならRTX系だろうね
暗号がハードウェアで処理できる

345 :
>>337
大体、RTX1210とNVR500のPPTPの速度はどれぐらいなの?
それによってもお薦めが変わってくるし。

住商のデータだとNVR500 のPPTPって24Mbpsぐらいになってるけど、
ソフトウェア処理なのでそんなに出るとは思えない。しかも4拠点からRTX1210に一極集中するんだから、
おそらく混雑時は2Mbpsも出てないんじゃないかな?

まず、NVR500でPPTPの速度を測ればいい。
優先制御でデータをクラス分けして、PPTPのデータだけを単一のクラスに分けて、
show status qos all
とでもやって、ピーク時のスループットとか、現時点でのスループットを見てみたらいい。その時のCPU使用率も。

RTX1210側でそれぞれの拠点をクラス分けして、そのスループットを見た方が速いかな。

346 :
ニキ達教えて下さい!

固定IPと動的IPでVPNを組もうと思うんだけど、
固定IP振ってるルータのデフォルトゲートウェイがWAN側じゃなくて
べつのルータに向けてる場合にVPN組むことできまつか?

347 :
http://jbbs.shitaraba.net/sports/42269/

348 :
>>346
その別のrouterがWANに向いて外に出れるなら可能

349 :
>>348
むむむ。出来ちゃうのか。困った。w
頑張ってみます。ありがトン

350 :
>>346
(´・ω・`)VPNのゲートウェイを別にすればいける。たとえばデフォルトゲートウェイはまた別だけど、ppをlan3でとってVPNをpp経由にするとか。

今回は相手方が動的ってことなので、ゲートウェイ経由が楽かもしれない。

ゲートウェイから既にVPN張ってるなら基本的にはできないけど、IPSecならカプセル化して通信できる。この辺はヤマハのドキュメントを参照すること。

351 :
ルーターの経路設定でVPNの先のネットワークをVPNに設定すればOKだけど
端末のデフォルトゲートウェイがこっちに向いてるかどうかが問題だ

352 :
>>345
RTX810でIPSecにして問題解決しました
皆さんありがとん

NVR500のPPTPスループットは10mbpsでした

353 :
>>352
ミリbps!? というのは置いておくとして、同じ測定方法で RTX810 の IPSec はどれくらいの
スループットが出ていますか? ちょっと興味あります。

354 :
>>353
誤字すまん
20Mbpsくらいだが
CIFS使うアプリの実行中(転送中)の
待ち時間は1/10になった

355 :
なるほど。ショートパケットが多いアプリなのかな。
スループットも倍になってるけどそれよりも、レスポンスの改善が大きかったわけね。
ping値もかなり改善されているのかな。

356 :
OSやSMBのバージョンぐらい書いたほうがいいよ

357 :
>>355
PPTPはソフトウェア処理だろうから、本件だとRTX1210全体で20Mbpsしか出ないのだろう。
IPSecはハードウェア処理なので、四ヶ所の端末側からトラフィックが同量流れ込んでも端末側ごとに20Mbpsのスループットを確保できるはず。

358 :
RT1210が少し安くなったね。
これくらいで底値かなぁ

359 :
Xが抜けた・・・

360 :
http://kakaku.com/bike/item/76102610703/

手がでネーよ・・・
RTたけーよ

361 :
1210たけーよ。。。
個人では手が出ない

362 :
8万は高すぎる
金玉はれつする

363 :
RTX1210のダッシュボード使うと
CPU警告でるわ(´・ω・`)
能力以上の仕事させる仕様はどうよ

364 :
(´・ω・`)どういうことなの

365 :
CUI推奨!

366 :
ヨドバシで9万円で買ったの失敗だったかなあ
Amazonががんがん安くなりやがる

367 :
7万前半くらいが底値と勝手に思っている。
もうちょい待つ

368 :
グラフ表示させるだけでCPU使用率+30%とかどんな作りだよ1210

369 :
1210買ったわ
つかこれGUIいるのか?
設定出来る項目少な過ぎだろ
一般ユーザーなら使うのかもしれないけど
IPIP接続位デフォで入れとけよ

370 :
GUI設定はおまけ程度
やりたいのは動作状況可視化だと思うよ

371 :
>>369
俺も思った。
GUIを売りにしてるわりには、
前の機種よりGUIで設定出来る項目減ってるんじゃないかな。
IDSとか設定できなくなってるし。

GUIでNATセッション数とか表示されるのは便利なんだけど
リアルタイムのCPU負荷なんてGUI込みの負荷であてにならないっていうね。
そんなのいらないのでSNMPからNATセッション数見えるようにしてほしいよ

あとは動作状況の可視化を目指すならまだまだ項目が少ないよね。
ダッシュボード式とか言ってもだせるものほぼ全部出てるし。
DHCPの割り当て状況とか、UPnPの利用状況とかそんなのもないしね。

372 :
個別アドレスの通信制限は欲しかったな

373 :
>>370
VPN設定だけは楽チンだった

374 :
>>371
カスタムGUIという機能があってだな。。。

(´・ω・`)まぁ、要するに見える化の為の監視やスイッチ連携関係強くしたら疲れたしいじくるの飽きちゃったから、後は好きにすると良いよってことらしい。
なければ追加するという新しい発想。
まぁ、GUIは補助でつけてるってぐらいだし。。。

375 :
GUIカスタムできるの?ちょっと興味がわいた

376 :
補助で付けてるとか、おまけだからとか
こっちが勝手に判断して、妥協してやる必要は無いと思うんだがな

377 :
だって、GUIなんか使わないし

378 :
俺もCUIで操作するからいいけど
自分が使わないからいらないって、ちょっと短絡すぎない?

それなら俺もこのルータのVPNは使わないから削って他に集中して欲しい。

379 :
GUIが欲しいならASAの統合ツール見たいな方法にするしかないだろうね。
本体のみで実現するのはいろんな意味で良くは無いとおもう

380 :
(´・ω・`)まぁ、ヤマハの営業が補助的な物なので。。。って言ってるからしょうがない。

381 :
guiつかったら、せっかく作ったコンフィグが壊されそう。

382 :
海外製品はむしろGUI推し

383 :
まあルーター屋なんてどこも文句があるならFreeBSDやLinuxで好きにやれって世界だしな(´・ω・`)

384 :
>>381
今のところ壊されてない

385 :
初心者で申し訳ないのですが、FWX120をキッティングして納入する事になったのですが
FWX120ってホスト名の設定はでき無いんですかね

386 :
ホスト名?ip hostコマンド?dns domainコマンド?

387 :
FWX120自体のホスト名です。
Ciscoならhostnameでしょうか。

388 :
設定する目的言った方はやいぞ

389 :
設定の目的は、WAN/DMZ/LANで別けてDMZにWWWサーバ、LANにメールサーバを置くようなイメージです。
※細かい事は気にしないでください

要件の中に、機器自体のホスト名も指定してきたので
それに該当する設定が見当たらないなあと思って質問した次第です。

390 :
テプラ貼っとけばいいんじゃないかな・・

391 :
>>テプラ貼っとけばいいんじゃないかな・・
ですよねー。
お客さんのポリシーか何かは知らないですがテプラで我慢してもらいます。

392 :
必要であればDNSサーバーでIPアドレスと紐づけ

393 :
>>392
その辺も含めてお客さんに聞いてみます。
ありがとうございました。

394 :
ターミナルのプロンプトのことじゃね?
FWXは変えられないん?

395 :
とりあえずドレミ

396 :
yamahaルータMLのウェルカムメールって結構来るの遅いのか?

397 :
>>395
ここにもドレミ焼酎がw

398 :
rt100i-usersに返信してあげたいんだけど、
メールアドレスが漏れるのがいやなので、返信できないよ。

なので、ここで答えてみよう。

こちら側ファックスの機種が古い場合、IP電話のみなし音声通信でよく失敗する。
最近、最新機種に置き換えたら、同じ環境でもまったくエラーがなくなった。
アナログファックス機といえども、対策はしているということだと思う。

あと、送受信レートを、スーパーG3でなくて、14400bpsまで下げてみるとよいかもしれないな。


というわけで、見てますか?

399 :
おう、判ったぜ
もうちょっと早くレスしてくれれば良かったんだけどな

400 :
最近のFAXはデータチェックするやり取りが出来るのがある

401 :
WLX302関連はこちらでよろし?

402 :
>>401
別よろし

403 :
>>402
どちらにいくよろし?

404 :
ああ

405 :
2ch-APIについて、今北向け・各板のQ&A向けのまとめ@ソフトウェア板の有志
http://bbs.lames.jp/2ch-api.html

API対応状況一覧(3/4 1:30現在)
http://i.imgur.com/reYbsA6.png

406 :
ハードウェア版で質問したところ、こちらへ誘導されましたので、質問させていただきます。

RTX1210が「Rebooted by Task time exceed(27)」という理由でリブートしていたのですが、
「タスク時間が超過したことによるリブート」って何のことか分かりません。
これはどういう意味でしょうか。またはこういうエラーを一覧したリファレンス等はありますでしょうか。

407 :
>>406
ここでもなく、メーカに問い合わせるべきだと思うが。
正規購入した物だろ?

408 :
そういう返答したらこのスレ終了

409 :
>>408
別にいいのでは?

410 :
>>406
過去にそんなエラーがでる
ファームウェアのバグあったな

411 :
すみませんでした。
メーカーに問い合わせることにします。
ちなみにファームウェアはRev.14.01.05です。

412 :
NVR500もそうだけど、初物はちょっと色々あるよね
1812祭りほどじゃないけど

413 :
前にヤマハに聞いたら「ファームウェアのアップデートしてください」って素っ気ないメールが来たな。たしかにやったら直った。

414 :
なぜ、不具合があるのはいつもファームウェアなんだろう。
ハードウェアの不具合って、インテルの昔のCPUくらいしか思い当たらないな。

415 :
>>414
ハードの不具合を尻拭いするのもファームの仕事なんだよ。。。

416 :
じゃあ、ファーム修正は、
ハードウェアの不具合の存在の可能性もあるってことになるのかな。

417 :
日本語バグってんぞ

>ハードウェアの不具合の存在の可能性

418 :
>>417
各人の日本語処理ファームウェアで直しておいて

419 :
この業界ってまじめな人は多いんだろうと思う。
だって、IT自体が素直な考えの積み重ねで動作するでしょ。

420 :
>>419
どちらかと言うとひねくれた動作考えてたらきりがないからある程度でリリースして必要なら修正、って世界じゃないかな

421 :
中学生みたいなのが一人居ついてるね

422 :
エンドユーザーではなく、業者として
YAMAHAとかアライド触るレベルに都落ちするからには
何か問題抱えているからだとも言える
どれか一つ当てはまるだろ

学歴がヤバイ
酒癖がヤバイ
女癖がヤバイ
精神年齢がヤバイ
転職でヤバイ会社に入ってしまった
頭髪がヤバイ

423 :
>前髪がヤバい
コレだな。間違いない。

424 :
>>420
ハードウェア自体のリビジョンアップってありますか。
ファームでハードウェアの不具合を”回避”するのだとすれば、
同じファームウェアを提供するためには、不具合はすべてのハードウェアに継承されなければなりませんよね。
それとも、ファーム内で、リビジョンチェックとかシリアル番号チェックをして、
ルーチンをわけているのかな。

まあ、どうでもいい話題ですみますん。

425 :
フレッツ網内(折り返し)の DNS正引き確認したいのですが、RTX単体で
nslookup6 www.flets-west.jp みたいな事は出来ないでしょうか?

どうやら、内蔵 nslooupは ipv6非対応みたいなので。

426 :
なんか、ペンティアムのバグを思い出した・・・年がバレルね40歳

427 :
CPUのバグってエラッタっていわない?

428 :
パケラッタ

429 :
>>425
typeをAAAAにして問い合わせたら?

430 :
>>429
RTXの 内蔵nslookupは、TYPE指定ないのんよ。

431 :
>>425
これハマった
つながんねーって色々やっててふとフレッツのサイトの試験したら通ってんの

432 :
以前にも話あったと思うけど
NTT西でネーム使うとき、ネームの名前解決にどのDNS指定したらいいの?

HGWあるなしとか、機器構成で変わったかもしれないが
とりあえず、ひかり電話一体型の配下に RTX 付けたときで

433 :
>>432
IPoEの DHCPで振られる DNSを指定する。
>show status ipv6 dhcp

434 :
アドレスとしてはこれ
2001:a7ff:5f01::a
2001:a7ff:5f01:1::a

435 :
東のNGNのDNS、アドレスbの方って死んでるのかな?
DHCPで1番目に出るからプライマリかと思って片系で試しててハマったわ

436 :
>>435
bだとダメ?特定の名前なのか完全に応答無いのか知りたいす(´・ω・`)

437 :
RTX内部コマンドでは、IPv6への名前解決はできないって理解でいいんでしょうか。
VPNを張ったとき、ネームをつかったけど、結局名前解決を内部コマンドでできなかった。
でも、今通っているよ。

438 :
>>437だけど、
とりあえず、次のようなおまじないをかけている。

dns server select 1 2001:a7ff:5f01:1::a any flets-west.jp

入力したコマンドははじかれなかったから、
効いているんだろうかね。この真偽を頼む!!

目的は、ネームの解決では、指定したリカーシブサーバを使うようにということ。
ちなみに、うちは西日本。

439 :
>>437
IPv6の名前解決自体はできてると思う。こんな具合に↓

> ping6 www.flets-west.jp

2 packets transmitted, 0 packets received, 100.0% packet loss

んで、一手間かかるけど結果は判る。

O> show dns cache |grep flets-west
Searching ...
AAAA IN 85816/85827 www.flets-west.jp (2001:a7ff:ff06::1)
>

しかしなんで nslookup6が無いんだろうね?

440 :
>>438
うちでは↓って書いてる。

dns server select 1 dhcp lan3 aaaa flets-west.jp

441 :
>>440
おお!でも、これって、ちゃんと効いているのかな。
この設定がなければ、RTXさんは解決先を見つけられないんだろうか。

442 :
>>439
なるほど、キャッシュを検索するとわかるのか。
ありがとう。

443 :
http://www.2ch.sc/browsers.html

2ch.sc運営責任者からのメッセージ
2ch.sc専用ブラウザを利用する大切な皆さまへ(2015/3/2)
3月13日からは新仕様に対応した専用ブラウザをご利用ください。

444 :
取りあえず書き込みテスト

445 :
YAMAHAからの回答は、下記コマンドを試せということでした。

nat descriptor backward-compatibility 1

コマンドリファレンスによると、NAT機能全体の動作タイプを
Rev.14 系以前の動作タイプ (ポートセービング IP マスカレード機能を無効にする)
とのことです。

「Rebooted by Task time exceed(27)」の意味は教えてくれず、上記を試すようにとの一言だけでした。

なので、エラーがどういう意味で、なぜそのコマンドを試すように指示するに至ったのかの説明がなく、
釈然としません。

メーカーサポートとはこんなものでしょうか。
ちなみに私からはTECHINFOを提出しました。

446 :
>>445
旧バージョンのnat機能へ戻すためのコマンドなんだろうな。
新しいバージョンのnatにはバグがあることが判明したのかもしれない。

苦情係「こんなエラーが出たらしいんですけど?」
開発係「えっ! ”Rebooted by Task time exceed(27)”だと!?、やばいな。」

こんな会話がエスパーできる。

447 :
YAMAHAもまだ原因が分かってないんだろう。
しかし、YAMAHAのサポートは昔色々あったんで、信用していない。

448 :
ネットワーク機器のサポートで良かったって言うと、アライドが結構親切に回答してくれたな
HP無料サポートはどんなに簡単な質問でも3営業日くらい必ず置いてから回答するポリシーみたい
Ciscoは正直言うてsmartnet酷い
Fortigateは代理店次第
YAMAHAの無料窓口は平均的な感じ
SCSKのCareplusは金取ってるだけあってカッチリしてる

449 :
書き込みが激減したな・・・

450 :
ちょっとまえに、メーリングリストで、rtx1210のIPsec再接続が遅い問題が取り上げられていたけど、
けっきょく何が問題だったんだろうな。

RTX1200を使用中だが、そういう問題は起きていない。
でも、RTX1100は、RESTART後に、IPsecトンネルがつながるまでに時間がかかるぞ。
ipsec sa clear?たしか、こんな感じのコマンドをRTX1100で打つことで即座につながるようになったな。
ファームアップで解消する問題なのかもしれない。しばらくアップデートしてないからな。

451 :
ネットボランチDNSのTTLは15分だから、そーいう理由だと思うけどな

452 :
>>451
それだ!

453 :
ヤマハMLから転載

>RTX1210とRTX1200の両方で、ipsec ike retryコマンドを削除してデフォルト値に戻してみてください。

454 :
RTV700を使ってます。
ログを眺めていると、下記のような出力を見つけました。

Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1504 > 122.1.*.*1:1433 (2015/03/17 00:06:06)
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1509 > 122.1.*.*2:1433 (2015/03/17 00:06:06)
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1507 > 122.1.*.*3:1433 (2015/03/17 00:06:06)
Mar 17 00:17:00 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1508 > 122.1.*.*4:1433 (2015/03/17 00:06:06)
Mar 17 00:17:03 10.*.*.250 [INSPECT] PP[01][out][5003] TCP 61.160.250.177:1510 > 122.1.*.*5:1433 (2015/03/17 00:06:09)

[5003]のフィルターは下記のように設定しています。
ip filter dynamic 5003 * * tcp
また、
122.1.*.*1〜122.1.*.*5はプロバイダと契約している固定IPグロバールアドレス(IP8)です。

この状況だと、
LAN側から61.160.250.177として、122.1.*.*1〜*5へ向けて、SQL Server(1433)へアクセスしようとしているように見えます。
61.160.250.177はグローバルアドレスだと思うのですが、どういった状況になっているのでしょうか?
これは不正アクセスなのでしょうか?
LAN側からWAN側のポートを探しているようで、気持ちが悪い。

(送信元)グローバルアドレスは不定です。また、ポート番号もwww、DNSやtelnetであったりマチマチです。
ちなみに、IP8の契約ですが、現在は1つしか使用しておらず、外部に公開しているサーバーはありません。

455 :
61.160.250.177にwireshark入れたみたらいいんじゃないの?

456 :
inetnum: 61.160.0.0 - 61.160.255.255
netname: CHINANET-JS
descr: CHINANET jiangsu province network

457 :
>>454
奇妙だね。
新手の攻撃なのかな?

PPにかけている静的、動的フィルタはどうなっているの??

458 :
中国に身内がいないなら攻撃だらうね

459 :
>>455
61.160.250.177は外部のアドレスのようで。。。
LAN側は 10.*.*.* のアドレスで運用しています。
なので、61.160.250.177からのアクセスとして偽装しているのでしょうか?

>>456
その他のアドレスも西の大陸っぽい感じがします。
やっぱり、不正アクセスでしょうか。。。orz

>>458
海外には拠点ありません。
やっぱり、怪しいですねぇ。orz

460 :
>>457
現在の設定はこんな感じだそうです。
気になる点やアホな設定があれば、ご指摘ください。

ip pp address 122.1.**.**/29
ip pp secure filter in 2000 2001 2002 2003 2004 2010 2011 2012 2013 2014 3000 3001 3002 9999
ip pp secure filter out 2000 2001 2002 2003 2004 2010 2011 2012 2013 2014 3010 3011 3012 9999 dynamic 5000 5001 5002 5003 5004 5005 5006
ip pp intrusion detection in on reject=on
...(続く)...

461 :
ip filter 2000 reject * * udp,tcp 135 *
ip filter 2001 reject * * udp,tcp netbios_ns *
ip filter 2002 reject * * udp,tcp netbios_dgm *
ip filter 2003 reject * * udp,tcp netbios_ssn *
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2010 reject * * udp,tcp * 135
ip filter 2011 reject * * udp,tcp * netbios_ns
ip filter 2012 reject * * udp,tcp * netbios_dgm
ip filter 2013 reject * * udp,tcp * netbios_ssn
ip filter 2014 reject * * udp,tcp * 445
ip filter 3000 reject 10.0.0.0/8 * * * *
ip filter 3001 reject 172.16.0.0/12 * * * *
ip filter 3002 reject 192.168.0.0/16 * * * *
ip filter 3010 reject * 10.0.0.0/8 * * *
ip filter 3011 reject * 172.16.0.0/12 * * *
ip filter 3012 reject * 192.168.0.0/16 * * *
ip filter 9999 pass * * * * *
ip filter dynamic 5000 * * www
ip filter dynamic 5001 * * domain
ip filter dynamic 5002 * * smtp
ip filter dynamic 5003 * * tcp
ip filter dynamic 5004 * * udp
ip filter dynamic 5005 * * pop3
ip filter dynamic 5006 * * ftp

462 :
朝日新聞と同じ

463 :
ip pp secure filter in
の最後に9999があるのがそもそも

464 :
外に 122.1.**.**/29 はいないはずだから

ip filter 3003 reject 122.1.**.**/29 * * * *
ip filter 3013 reject * 122.1.**.**/29 * * *

追加汁

465 :
>>462
ダメダメって事ですね。orz
ありがとうございます。

>>463
なるほど。ご指摘感謝です。
担当に確認してきます。

これが不味いのか。orz

466 :
>>464
なるほど。
ありがとうございます。
フィルターを追加依頼してみます。

467 :
それがまずいというか
外部に公開する必要があるポートだけを通して他は閉じるのが基本だけど
静的IPマスカレード処理してるなら基本問題は無いのかね

468 :
NATの内側だから、外側からの攻撃は防げるから大きな実害はないわな
てか、市販のルーターの大部分は >>460-461 みたいなセッティングで出荷されセキュリティを謳ってる

外部送信系のトロイたちは80/tcpや443/tcp使うのが流行だから、単純にポートフィルターしても防げないし
塞ぎすぎるとSkypeできねーとかクレームつけてくるやつ出てくるし

469 :
>>460-461
動的フィルタがOUT方向に入っているだから、
ip pp secure filter in ・・・・9999

この最後の9999は絶対にいらない!!!!
これだと、すかすかじゃないか。

470 :
>>469
あほか
あのconfigで9999外すとヤフーも見れなくなるよ

なにをもってスカスカと言ってるかしらんが
市場に出回ってる家庭むけルーターのデフォルトセッティングはあんな風だ

471 :
>>470

472 :
ああ、dynamic あったのか、こりゃ失礼

473 :
122.1.*.*1〜122.1.*.*5を固定にして外部からのアクセス可能なサーバーでもやらせてるなら
ip pp secure filter in ・・・・9999 いるいらんって議論はできん

NAT処理やサーバー側でのフィルター運用など他に担当者いるならそいつにどういう考えで構築してるか
聞かんとダメだろ

474 :
>>473
>>454

475 :
外部に公開してないら
現状でも特に弱い部分があるってわけじゃないんじゃないの?

476 :
>>467
ありがとうございます。
ip pp secure filter in の 9999 なしで運用できるように調整してもらいます。
緊急管理用にIPマスカレードで内部サーバーに接続できれば、十分なので。


>>468
ありがとうございます。
市販ルーターの初期設定がそうなっているんですね。
ネット上で、もう少し公開されているconfigを見てみます。
自分の担当外ですが、勉強になりました。

477 :
>>473
固定なのはVPN用で、サーバー公開用ではありません。
なので、in 9999 を外す方向でやってもらいます。
ご意見ありがとうございます。

>>475
結果的はそんな感じでしょうか。
今回はたまたまログを確認したら、怪しげな出力に見えたので調査依頼が来ました。
でも、お陰で色々勉強できて助かりました。

478 :
ip filter 1 pass * * * *
ip filter 2000 reject * * udp,tcp 135 *
ip filter 2001 reject * * udp,tcp netbios_ns *
ip filter 2002 reject * * udp,tcp netbios_dgm *
ip filter 2003 reject * * udp,tcp netbios_ssn *
ip filter 2004 reject * * udp,tcp 445 *
ip filter 2010 reject * * udp,tcp * 135
ip filter 2011 reject * * udp,tcp * netbios_ns
ip filter 2012 reject * * udp,tcp * netbios_dgm
ip filter 2013 reject * * udp,tcp * netbios_ssn
ip filter 2014 reject * * udp,tcp * 445


年に一回は見る

479 :
実害は無いだろう
・・・きっと

480 :
>>479
こんきょ?

481 :
>>480
グローバルIP宛てに出しても受けてくれない
グローバルIP宛てを受けてもルーターだと駄目
って思いはど素人?

482 :
>>480
逆に>>460のケースでも危険だと思う根拠は?
前提条件は
>ちなみに、IP8の契約ですが、現在は1つしか使用しておらず、外部に公開しているサーバーはありません。
>固定なのはVPN用で、サーバー公開用ではありません。

483 :
>>460を見る限り、
NATをつかっていなければ、RTXが、外部からtelnetでアクセスされる危険性があると思う。

484 :
test

485 :
IIJのTransix(DS-LITE)をつかっています。
終端トンネルはRTX1200です。

なんか、IIJ側のNAT装置が忙しすぎてなんだろうと思うんですが、
任意のWEBページを開いたとき、画像が表示されなかったり、とても遅れたり、
タイムアウトになったり、複数コネクションの動作が変になるようです。

問い合わせをしたんですが、そういう障害は報告されていないとのこと。
みなさんどうですか。

やっぱりDS-LITEの、local IPv4 over IPv6 and through far NAT with global IPv4 とでも言うようなシステムだと、
網側のNATでは、かなりの負荷がかかっているんだろうな。
RTX1200のNATテーブルにかかるような負荷と同じなんだろうと思っている。

486 :
>>485
発生には波があり、問題なくつながることもあります。
問題発生中でも、コネクション数の少ないだろうから、通信速度測定サイトでの測定結果は30Mbpsほどでてます。
DS-LITE網側のNATテーブルだと思うんだけどな。

ここでいっても、どうにもならないけど、書いちゃった。

487 :
てか、いつになったらRTX810のL-03F対応してくれるんだ?

488 :
グローバルIPv4を数人でシェアしてポート番号の割り当てでそれぞれを識別するんだっけ?
割り当てられているポート番号の数とセッション数がそれを超えてないか確認してみたら?
と思ったけどセッション数を確認する方法がRTX1200にあったかな?

489 :
NATテーブルならshow nat interface allとかそんなの。

490 :
>>488
NATテーブルは、RTX1200側でなくて、DS-LITE側にあるやつだよ。
RTX1200側にもNATをかけているけど、これは大丈夫。

491 :
Windows 8.1がクライアントで、ゲートウェイがRTX1100です。

RTX1100で、IPv6の設定を行いました。
ipv6 prefix 10 24xx:xxxx:xxxx:xxxx::/64
ipv6 lan1 rtadv send 10

IPv6サイトに接続でき、kameダンスもみられました。

しかし、ACCESS2007のアプリケーションで、データベースに接続できなくなりました。
DNSの名前解決で失敗しているようです。
(RTX1100のさらに上位にあるRTX1200で、dns aレコードを羅列して解決できるようにしています。IPv4のみの運用だと大丈夫です。)

ipv6 lan1 rtadv sendを取り消して、WindowsがIPv6 GUAをつかまないようにすると無事につながりました。
Windowsが、IPv6 GUAをつかんでいるとき、目下のRTX1100に対してaaaaレコードを検索しようとして、
RTX1100は問い合わせられたaaaaレコードを、上位のRTX1200に対して検索をかけるので、
RTX1200は羅列されたdns aレコードを無視しているのだと思いました。

(だとしたら、どうして、Windowsは、次にaレコードを検索しようとしなかったんだ??)
仮に、Windows8はaaaaレコードの検索で失敗しても、aレコードを検索しなおさないのだとすれば、
RTX1200で、aaaaレコードの検索をうけて上位のHGWなどに問い合わせずに、羅列したdns aレコードの結果を返す必要がありますが、
どのような設定をすればいいんでしょうか。

492 :
何で1100の上に1200が有るの?

493 :
>>492
RTX1200がVPN接続先の基幹ルーターなんです
DNSの静的レコードを一元管理してます。

494 :
RTX810でhttp鯖を公開しているのですが、別のISPに移行する事になって、現在新旧2つのISPで固定IP契約しています。
そこで、移行期間の間、2つの固定IPのどちらにアクセスしてもhttp鯖に繋がるように設定することって出来ますでしょうか?
単純に ip route default gateway pp 1 gateway pp 2
としてみたら、返りがアチコチ行ってしまってるのか、繋がらなかったりページの画像が出なかったり不安定でした。
netvolanteとかDDNS使えってのは諸事情で無しでお願いします。

495 :
>>494
普通にhttp鯖のロードバランサモジュール
導入したらいいんでね?

496 :
>>494
policy bace routingじゃダメ?

497 :
>>494
WEbサーバー公開しているならIP変更なんてよくある事だし、普通にTTLの最小値設定で乗り切れば良いだけの事じゃないの?

技術的には上の人が言っているようにサーバーにIP2個付与してポリシールーティングをRTXに設定、其の上でNATの設定で出来ると思うけど。

498 :
>>495
ロードバランサの逆みたいな感じだと思うのです
鯖は1つで経路が2つ
>>496,489
鯖にIP2つ付けるのは考えてませんでした
pp1から来たリクエストはIP 192.168.0.5
pp2から来たリクエストはIP 192.168.0.6
みたいにするとpp1pp2に分かれて帰ってくれるのかな。apacheの問題か

でも、ip route default gateway〜 の指定の仕方がわからない気がします

499 :
>>494
古い方をNATで新しいサーバーアドレスに変換すればよいだけじゃね?

500 :
ああ、内部はローカルアドレスか

>pp1から来たリクエストはIP 192.168.0.5
というよりも
静的NATで
旧WEBサーバーグローバルIPアドレス-> 192.168.0.5
新WEBサーバーグローバルIPアドレス-> 192.168.0.6

ip route default gateway
はフィルター型ルーティングで始点アドレスが192.168.0.5ならPP1
192.168.0.6ならPP2
ってやればいいんじゃね?

501 :
RTX1100を2台用意してVPNを構築しました

セグメント1
192.168.10.0/24

セグメント2
192.168.11.0/24

セグメント1には、ルータが2台存在しています
192.168.10.10 -- OCNに接続
192.168.10.110 -- BB.exciteに接続

セグメント2に存在しているマシンから、
セグメント1のゲートウェイを任意に使用したいのですが、
どのような設定をすればよいのでしょうか?

502 :
>>501
フィルタ型ルーティング使えばいいと思う

503 :
マシンが単体で任意になら
192.168.10.10 と110のルーターにVPN接続で選択するかプロキシー入れるとかが簡単かね

504 :
皆さんありがとうございます。
http鯖(正確にはhttps鯖)にIP2つ振って、apacheでアクセスできるように設定して、
RTXで下記設定することでpp1、pp2のどちらのISPのIPからもアクセスできるようになりました。
フィルタ型ルーティングとか使ったこと無かったので勉強になりました。
ip route default gateway は関係無かった・・・
ヤマハサポートは返事遅いし・・・

nat descriptor masquerade static 1000 7 192.168.0.5 tcp https <pp1用
nat descriptor masquerade static 1200 7 192.168.0.6 tcp https <pp2用

ip filter 200110 pass 192.168.0.5 * * * *
ip filter 202110 pass 192.168.0.6 * * * *
ip forward filter 100 1 gateway pp 1 filter 200110
ip forward filter 100 2 gateway pp 2 filter 202110
ip lan1 forward filter 100

505 :
RTX810 で DHCP鯖機能を有効にしてアドレス予約にしているけど
Windows PC は問題ないのにHP のシンクライアントにはリースされない。
スコープの設定など間違いないか何度も確認したが、予約するとダメ。
予約じゃない場合は、普通にリースされる。

問題のシンクライアントだけど、Microsoft DHCP だとアドレス予約でも
問題ない。

Yamaha に聞いたらパケットキャプチャして記録を送ってくれだと。
ちょっとハードルが高いのであきらめ気味ですが、DHCP鯖をMS準拠にする
ような設定ってあるんでしょうか?

Yamaha と MSじゃ DHCP鯖機能の実装に違いがあるんだろうけど、

506 :
シンクライアントのDHCP要求をヤマハ仕様に合わせろ

507 :
RTX1100で教えてください。
自宅にてONU→hub→lan2に接続してるのですが、

show ipv6 address lan2
とコマンドを打ち込んでも

リンクローカル fe80::2a0:deff:??:???/64
リンクローカル ff02::1/64
リンクローカル ff02::2/64
リンクローカル ff02::1:???:???7/64

という感じで表示され、
グローバルアドレスが設定されていません。
職場の環境を見てみると表示されています。

ipv6に関する設定は、
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 secure filter in 1010 1011 1012 1013 1014 1015 3000
ipv6 lan1 dhcp service server
ipv6 lan2 secure filter in 1030 1031 1032 1033 1034 2000
ipv6 lan2 secure filter out 3000 dynamic 100 101 102 103 104 105 106
ipv6 lan2 dhcp service client ir=on

となっており職場と同じになってました。
なぜlan2にグローバルアドレスが設定されないのでしょうか?

508 :
>>507
ひかり電話契約してない?

509 :
お、タイムリーだな
そろそろipv6に手を出そうと思ってたところに面白そうな話題

http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html

510 :
>>506
> シンクライアントのDHCP要求をヤマハ仕様に合わせろ

やりかたがわからないので、ひたすら調べつけた結果
ttp://d.hatena.ne.jp/marqut/20110807/1383674768
ttp://www.rtpro.yamaha.co.jp/RT/manual/nvr500/dhcp/dhcp_scope_bind.html
ttp://mizupc8.bio.mie-u.ac.jp/pukiwiki/index.php?YAMAHA%E3%83%AB%E3%83%BC%E3%82%BF
などがあった。
どうも、予約にすると、いろいろ面倒なことがあるみたいだ。
予約から ethernet を取ったらうまくいった。
調べたりない自分もアレだが、サポセンもなんだかなぁ。
パケットひろえっていっても、ポートミラリングのハブなんかないよ。

511 :
lan port-mirroring lan1コマンドでLAN1ならポートミラーリング出来るよ

512 :
メイン回線の障害時に、予備回線としてモバイル回線を考えてみたいんだが
今だと定額契約しかないのかな?
予備用だから通常月は0円はないよね?
それと切り替わったときにメール通知は出来るかな?

513 :
>>512
従量制??

514 :
>>512
つ プリペイド

515 :
>>510
業務用スレで、パケットキャプチャがハードルが高いとか言ってる方が馬鹿。

516 :
ヤマハのルーターならpacketdumpコマンドで簡単に取れるだろう

517 :
>>516
ミラーポート作って、wiresharkで拾った方が俺は楽かな

518 :
ミラーポートにしても、たしか取りこぼしがあるんでしょ。

やっぱり、ダムハブじゃなきゃ。
あるいは、メディア変換して光スプリッタか?

519 :
>>518
ギガのマルチポートリピータはないでしょ

520 :
中途半端にGUI実装するぐらいなら機能自体なくして欲しいわ。
初めてYAMAHA製品構築したけどドキュメントが糞すぎる。

521 :
>>519
http://www.planex.co.jp/news/release/2013/20130920_fxg-05rpt.shtml

522 :
>>521
そりゃマルチポートリピータっぽく動かしてるスイッチだろ
全ポートフラッディング動作を常にさせてるだけ

523 :
少なくてもDHCP要求ぐらいの調査ならpacketdumpコマンドで十分だわ

524 :
>>522
用途としては足るのかと思ったのだけど俺理解足りてない?言葉の定義の話?

525 :
>>524
用途として足るかは場合による。
>>518みたいにパケットの取りこぼしを心配してる場合、>>521は駄目だよ。

526 :
そもそもプラネックソなんて入れたく無い

527 :
VPNについて教えてください

VPNを張って相手のルータまではpingが届きますが、
相手のルータ内のLANのマシンにはpingが届きません。

yamahaの構築の例サイトを見ましたが特に変な設定はないと思います
逆に必要な設定があるのかな?とおもいますが、
なにが足りないのでしょうか?

528 :
>>527
どんな構成でどんな設定をしているかわからないけど
ルーティングの設定はちゃんとできてるの?

529 :
> なにが足りないのでしょうか?

「VPN」と「ping」だけじゃ全く質問の情報が足りてない。
たぶん業務用ルーター使うには絶望的に知識が足りてない。
と思う。残念ながら。

取り敢えずネットワークの入門書一冊読んでみれば
質問するのに必要な情報くらいは分かるようになるのでは。

530 :
>>527
PCにPing飛ばしても、設定によっては帰ってこない。複合機やサーバにPingしてみるべし。

531 :
みなさまありがとうございます
ご指摘のとおり業務ルータは素人で勉強をかねてVPNを構築してます
機種はともに中古のRTX1100です
ルータ1 192.168.10.0/24 //事務所
ルータ2 192.168.11.0/24 //自宅(今居る場所)
が、私の環境です。

>>552さんの指摘通りでした
たとえば、ルータ2から、
192.168.10.240 (PC1)にはpingが届きません。
192.168.10.20 (メルコのルータ)にも届きません。
でも
192.168.10.231 (PC2)にはpingが届きました。
PCのIISにもアクセスできWEBの閲覧もできました。
ただし、ルータ1からだと全部届きます。

これはなぜでしょうか?
特になにか設定してるわけではないのですが、
届かせるためにはどのようなことをすべきなのでしょうか?

532 :
ここは業務スレだから、別のスレ行った方が良いと思うの
俺は優しいけど、他の連中は殺伐とした玄人気取りの糞野郎だから
相手にしてくれないんだよ、困ったファッキンディック共だよ

YAMAHAヤマハブロードバンドルーター
http://peace.2ch.sc/test/read.cgi/hard/1418612262/

533 :
>>531
まず、PC1でファイアウォールが動いてるってことはないよね?

あと、メルコのルータは何やってるの?インターネットと接続されてるの?
PC1のデフォルトゲートウェイがメルコのルータに向いてる場合
メルコのルータに192.168.11.0/24宛のルーティングを設定してなきゃ通信できないよ

もう少し情報がないと何ともだけど

534 :
エスパーじゃねぇんだから
そんな断片的な情報で適切なアドバイス出来るわけねぇだろ
もっと細かい情報よこすか、勉強して出直して来い
そんなことより、酒もってこい

535 :
どうでも良いけどメルコって名称を久しぶりに聞いたなw

536 :
>>533
メルコ(今はバッファーローですねいつの間に・・)は
今まで使ってたルータで、ネットにつながっています。
単にセッション2個まで追加料金ないので接続してみました

仰るとおりGWはメルコの場合、自身のやつを使うと
192.168.10.0/24にping返せるわけないですね・・・

PC1のGWはRTX1100からDHCPでIP割り当ててますので、
デフォルトゲートウェイはRTX1100になってるはずです
FWは切ってるはずですが、今自宅なのでわからないです。
リモートデスクトップもアクセスできないので
明日事務所行ってみてみます

ありがとうございました

537 :
訂正
>199.168.10.0/24にping返せるわけないですね・・・
192.168.11.0/24にping返せるわけないですね・・・
でした

538 :
PC2にリモートで入ってそこからPC1にリモートで入るとか

539 :
>>532アドバイスが華麗にスルーされ、
反応したのが>>534だけという、殺伐としたインターネッツですね

540 :
(´・ω・`)ip lan1 proxyarp on
これ入ってないとVPN先のルーター配下のクライアントにアクセスできないよ。
入ってたらゲートウェイの設定とかじゃない?(適当)

541 :
>>540
>>527の話ならRTX1100間でトンネル張って
セグメントの異なるネットワーク間で通信をしているだけなので
proxyarpは不要

あと自宅ルータ(192.168.11.xx/24)と事務所PC2(192.168.10.231/24)で通信できているから
ルーティングも問題ない。

多分RTXの問題ではないと思われる。

542 :
それ入ってると違うネットワーク宛のARPをルーターが代理応答するんだよ
デフォルトゲートウェイがルーターだと不要だけど違うと必要な感じ

543 :
違うな
デフォルトゲートウェイが設定してない端末からのARP要求とか
/24じゃなくて/16とか設定している端末からのARP要求に応答する場合に必要なのかな

544 :
端末側の設定やっちゅうてるやろ

545 :
ipv6でNGN折返しでVPN組むときにipsecとか暗号化した方がいいですか?
NGNってデータ傍受される可能性ある?

546 :
NTT設備の物理セキュリティ次第

547 :
>>545
エシュロンには逆らえない
キャリアの通信設備は、巨大な権力に筒抜けと思って差し支えない
ipsecにしたところで一緒
いたづら目的の傍受であれば、無いと思って差し支えない

548 :
>>547
IPSECならどうやって解読するの?

549 :
>>548
グリッドコンピューターで解析可能
基本的にペンタゴンが暗号解読出来ない物は全てNG
PGPが暗号強度を落としのはペンタゴンが解読出来ないから
横槍が入った
911以降から更に厳しくなり地球上の暗号は全て解読可能になった
今はエシュロンは運営は縮小 別の機関が受け継いで
更にプライバシーは皆無に

550 :
>>549
なんとも壮大な話だなww
エシュロンに盗聴されるのが抗いようがないのであれば
その辺は考慮に入れなくても良いのでは?

551 :
何故にエシュロンの話が出てくるんだ??
そこら辺の中小企業が国家機密でも扱ってるのか?

552 :
>>551
傍受の「可能性」に関して雑談してるからね
価値については論じてないし、ネットで議論できないでしょ
零細企業でも重要なデータはあるし

553 :
可能性についてはエシュロンのスペックが公開されてないし
キャリアの設備内に傍受装置が仕込まれてる可能性は低いと思うがね
さすがに倍のデータ流れたら気づくでしょ

特定の企業狙ってキャリアの設備に忍び込む事が可能だとしたら
ipsecで暗号化してるのは有効だと思うけどね
もちろん利用する鍵の強度にもよるけど

554 :
PFSのオプションって気休め?

555 :
>>549
じゃあ、オープンソースで、
学問の自由によって独自に研究して、横槍の入れさせない暗号方法を実現すればいいではないか。
それとも、膨大な税金を投入しなければ、新しい暗号方法は生まれないの?

556 :
>>555
アメリカは暗号は武器と認識だからオープンで製作しても
横槍が入る
エシュロンはキーワード検索 暗号検索の特殊なアルゴリズムで
世界を傍受してる
知ってる人も多いと思うけど日本の北陸にエシュロンがある
あと有名な話はビンラディンがPGPで911の計画を
してる事がペンタゴンは把握してたが現実は起きないと
職務怠慢して現実の起きた

557 :
アメリカ以外の国が開発すればよくね?

素因数分解得意な方の量子コンピューターでもなければ鍵長増やせば解くのに時間かかるとおもうけどな
リソースをその暗号解読にだけ割り当ててるだけじゃないし

558 :
平和ボケしてじゃね?
アメリカが各国に何人スパイを潜ませてるの
知らないじゃね?
板違いだからこの辺りで止めるけど

559 :
そんなにエシュロンが万能ならある意味、世の中一方的な平和になってるわ

560 :
(´・ω・)そんなことよりもっと庶民的な話しようぜ。エシュロンとか気にしたらしょうがない。

LUAつかってるひとっていない?
情報があんまりなくて使おうと思ったときに困るんだよなー。

561 :
YAMAHAのサイトにある奴なら朴って使うけど
0から書けないんだよな
取っつきにくい

562 :
ときどきIPアドレスが変わるサーバー(DDNS使用)へ接続を許可するフィルターを
定期的に更新するのに使っていた。
linuxボックスに変えたので今は使ってないけど。

563 :
ひかり電話なしで、ipv6オプション申し込んで、開通してるはずなんだけど
うまくいかない
何を見落としてるんだろう


#show config |grep ipv6
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on

# show ipv6 address lan1
LAN1 scope-id 1 [down]
Received: 0 packet 0 octet
Transmitted: 0 packet 0 octet

グローバル 123456789101112::1/64 (tentative) (lifetime: 604800/2592000)

564 :
>>563
まず、何がうまくいかないの?

565 :
>>564
拠点間通信なんだけど
ごめん・・・ケーブル刺すの忘れてた
書き込んだ後に気づいた

566 :
あるあるw

567 :
>>563
パイプ使えるのか!
知らなかった

568 :
パイプのあとgrep -vつかえるのは確認したけど、ほかなんか使えるのかな。

569 :
>>565
RTX同士なら、over IPv6 で、IPsecトンネル簡単に張れるよね。
でも、RTXと、LibreSWANなどと、over IPv6でトンネルをつなごうとしたけど、だめだったわ。

570 :
>>567-568
おれも知らなかった。パイプもgrepも。
けっこう古い機種./revでも使えたんだな・・・知らなかった。さんきゅ

571 :
>>569
いや、ipv6オプションの申込みがネックだけど
新規なら、特に悩む事ないわー
(ケーブル差し忘れの件は、もう忘れた)

572 :
lua色々できて面白そうだな
今度中古でSRT100買うからちょっと試してみるわ

573 :
SRT?
安いの?

574 :
>>573
オクなら3千円弱位じゃね?

575 :
>>571
サービス情報サイトに接続するのが第一関門だったな
意地でもRTX通してみせる!ってことで半日消費したっけ

※開通のお知らせ再発行待ちを含みません

576 :
>>575
拠点間だと、現地作業が最難関
NTTに頼めば2000円だけど、なんだか払いたくない
でも移動費考えると、それだけでは行けない

577 :
>>576
そうそれ
契約料800円ぐらいならいいって思うし1万ぐらいするなら行くか経費処理するんだが

新しい東日本の拠点はデフォで有効だからラッキー

578 :
>>576
ああ、それ、VPN張って、対向のIPv6をこちら側へ引っ張り込んでから、
現地へいかずに作業できたぞ。

579 :
>>578
こっちは万一ルータが落ちてもいいときにリモートデスクトップでやった。
フレッツスクエアにつながるConfig入れて

IDとパスワード要求するならどこでもできるようにしておけや

580 :
インターネットにもつなげてるならDDNSとSSHでなんとかならね?

581 :
>>580
そんな何処からでも自由に入れるほどザルじゃないな

582 :
>>581
そりゃザルな運用してればセキュリティリスクにはなるだろうな

583 :
nexus.officeapps.live.comは何のアプリが接続しているのでしょうか?

↓がRT57iのログにちょくちょく出現しているのですが・・・
IP Commencing: UDP 192.168.0.2:61053 > 8.8.8.8:53 (DNS Query [nexus.officeapps.live.com])

584 :
>>583
https://support.microsoft.com/ja-jp/kb/2817503/ja

585 :
>>584
有難うございました。
ip filter等で禁止することできますか?

586 :
ドメインでフィルターする事は出来ないのでそのドメインが使うIPアドレス群をフィルターするしかないですね

587 :
端末が限定されるなら、RTで何とかしようとしないで、hostsで落としちゃえばいい気もする

588 :
>>406,437 の不具合はもろに今回のRTX1210のファームウェア更新の修正対象だったってことか

589 :
>>587
ip host nexus.officeapps.live.com 1.1.1.1
ip filter 9999 reject * 1.1.1.1 * *
こんな感じでしょうか?

590 :
ルーターがリカーシブやってる前提だけど
dns static 〜で静的に127.0.0.1あたりに振り向けるように定義しちゃうとか

591 :
拠点の増設で、RTX1200か、RTX1210の購入を考えています。
値段もあまり変わらないですよね。
どっちがいいんだろう。

今までは、RTX1200を3台ほどつかってVPNで結んでいます。
RTX1210は、GUIで設定できるように便宜を図っているらしいですが、
自分は全部コマンドで設定できるし、GUI機能が何かルーターのメイン機能の不具合を招くのではないかと、
心配して、RTX1200がいいのかななどと考えて、迷っています。
なにか、アドバイスお願いします。

592 :
>>591
CUIで操作出来るなら1210を選ばない手はないな
GUIは見える化、つまりCUIの補助と思うと気が楽になるよ

1210はショートパケットがアホみたいに早いから
小規模なVPNのセンタールータにもなる

593 :
>>592
違いを試してみたいんだよな
torrentでも落ちなくなったかなあ?

594 :
>>592
ショートパケットが早いのは魅力的ですね。

ただ、この前ファームアップで不具合を解消したみたいですが、
新しいものってちょっと心配ですよね。

その不具合って結局、なんだったんですか。
ルーターの根幹を揺るがす問題だった?

595 :
>>593
トレントは使ってないけどVoIP環境でも
名器1500より安定してる気がする

>>594
SCSKのセミナー資料では1500の2倍超のppsになってる

普通に拠点間VPNに使う分には問題無いバグだと思うよ
詳しく知りたいならリリースノートを見て

596 :
IPマスカレードが多いけどIPsecのバグ修正もあるから注意

597 :
>>595
普通にって、どの程度なんだろう。
RTX1200と、LibreSWANで、IPsecトンネルをつないでいるんだけど、できなくなったら怖い!
躊躇するなあ。

>>596
大切な機能にバグがあるとは。。。

やっぱり、RTX1200の中古を買おうかな。

598 :
本来は、センターに1210入れて
玉突きで増設拠点に1200押し出せばいいんだけど、不安なら増設拠点に1210入れればいいんじゃない
何件か客に入れたけど、トラブル起きてないよ

599 :
>>597
SCSKのセミナーは聞いたけど、こういう実体験の話がもっとほしいな
本題とは関係ないけど、無線APのチャンネルは、混線してるとこなら同じの振った方が調停がかかるからまだマシってのは知らなかった

600 :
>>599
へーそうなんだ
余計に混線することになるかと思って、なんとかチャンネルをずらしていたわ。

601 :
>>588
まあそのお客さんの使い方によるからなあ
お客によっては、バグの餌食にされるかもしれない

602 :
RTX1210のバグって、ファームウェアにあるの?
それとも、ハードウェアにあるの?

ファームウェアのバグなら、修正更新されることを待てばいいじゃない。

603 :
>>600
まあ、2ch以上開ける余裕があればそれでいいんだけどね
とりあえず不思議な切断とかは防げるらしい

604 :
RTX1210で「Rebooted by Data storage [load](2)」って理由で何度かリブート
してるが、ウチだけかな? 

先日出たばっかりの最新のRev.14.01.07入れてみたが、またリブートした…

605 :
>>604
リブートはかんべんしてほしい。

ハードウェアの不具合?
ファームウェアの不具合?

不安定そうだなあ。

606 :
>>604
Data storage って、何処だろう。

607 :
USBポートやSDカードかな??

608 :
>>604
そしてそういうときは直前ログか無かったりな

609 :
>>604
サポートに問い合わせろ

610 :
>>607
USB, miniSDカードスロットが空きでもリブートしたんで、たぶん違うかも?


>>608
miniSDカードにLog取っているはずだが、直前のが残っているか・・・
週明けでないと確認できない

>>609
Techinfo付きで問い合わせしてみる

611 :
RTX1210のファームをRev.14.01.07にアップする前は、下記サイトで「メインページ」をクリックしたら
1分ほど待たされてエラーになることが多かったのが、全くなくなった。こんなこともあるんだね。
http://www.usskyushu.com/

612 :
>>611
すてま?

613 :
IPマスカレード関係のバグ修正が効いてるんだろう

614 :
受信オーバーフローがカウントされる原因ってなんだろなあ
LAN1がたまにちょっとずつ増えていく

615 :
>>614
とりあえずLAN1のバッファを増やしたら?

616 :
>>615
パケットバッファのパラメータって調整できるんだね
ためしてみる、ありがとう

617 :
RTX1210で、ダッシュボードにLAN2のエラーカウンタがカウントアップしていますというエラーが出て、
インターフェース情報のLAN2をマウスオーバーしたら「受信オーバーフロー:76」って出てたんですが、
これって何ですか。606さんと同じでしょうか。
LAN2のバッファを増やすって具体的にはどんなコマンドですか?

618 :
なぜマニュアルを読まないんだ

619 :
>>618
名前欄は心の裏を表しているということだね

620 :
ツンデレか。

621 :
べ、別にあんたなんか現場でハマちゃったって、気にならないんだからね!

622 :
>>621
裏の顔コワ!

623 :
>>620
4.69って?

624 :
>>623
だからマニュアルぐらい見ろっつてんだろ。
もしくはggrks

625 :
>>623
今はやりのバズーカだろ

626 :
>>623
時計の文字盤を見ろ。目盛がボタンになっている。
4 6 9 の順に押すんだ。すると文字盤が開いて中にRTXのコマンドリファレンスが入っている。
もし、無ければ、ここに同じものがある。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html

627 :
>>624>>626
まさか、マニュアル、ぐぐれ、的なことだとは思わなかった。
>>625的な話題かと思っていたわ。

納得しました。

628 :
雑談で盛り上がってるなw

629 :
メールリングリストの、ftpについて質問している人へ

FTPであろうが、ICMPであろうが、IPSECトンネルは上位プロトコルの内容は問わないと思うんです。
だから、PINGを長時間かけてみて、トンネルの状態を探ったほうがいいかも。

そうしたら、IPSECトンネルのベースの通信(ISP経由)が疑えるかもしれないね。
ISPがこけているだけだったり。

630 :
って言うか、wireshark でキャプチャとかしないのかな??

631 :
よく出る言葉

・マニュアルは読んだのか?
・logは見たのか?
・config見せろ
・今日はどんなパンツはいてるの?
・パケットキャプチャはしたのか?
・わからないなら、質問するな

632 :
RTX1210とAWSをVPNで繋ぐのに苦労してます。ちょっとお助けください。

AWS側はステータスUPとなっています。
RTXでshow ipsec saするとこんな感じ。

# show ipsec sa
Total: isakmp:2 send:2 recv:2

sa sgw isakmp connection dir life[s] remote-id
----------------------------------------------------------------------------
5 1 6 tun[0001]esp send 2166 123.456.789.10
6 1 - isakmp - 10828 123.456.789.10
7 2 - isakmp - 11086 123.456.789.10
8 1 6 tun[0001]esp recv 2166 123.456.789.10
9 2 7 tun[0002]esp send 2424 123.456.789.10
10 2 7 tun[0002]esp recv 2424 123.456.789.10

SAが表示されないです。

何かが足りないと思うのですが、RTXの仕様をあまりわかっていないのと、
そもそもネットワーク屋さんでないのでちょっと苦戦中です。
tunnelにもnat入れてあげないとダメですかね?
AWS側のルーティングテーブルは、RTX側のプライベートIPに対してVGW指定ではダメですか?

633 :
>>632
>tun[0001]
>tun[0002]

これらは、当該のAWSとは関係ないんですか?
123.456.789.10 は、AWS?

SAがなければ、接続に失敗しています。

634 :
>>633
123.456.789.10 は、AWSです。

VPNは確立出来ていないですね。
phase1は成功しているけど、phase2でこけてるってことですかね?

ってことはipsec ikeの設定がどこかでミスってるか不足しているということでしょうか。。

635 :
configとパンツを見せてほしいな

636 :
Configってパンツ見せるの以上に恥ずかしいよね

637 :
パンツだけでいいですか?w

とりあえずppとtunnelのところをば。。
〜〜〜
ip route default gateway pp 1
ip lan1 address 192.168.0.254/24
witch control use lan1 on
switch control use lan2 on
switch control use lan3 on
pp select 1
pp keepalive interval 30 retry-interval=30 count=12
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname xxx xxx
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp secure filter in (デフォ)
ip pp secure filter out (デフォ)
ip pp nat descriptor 1000
pp enable 1

///続く///

638 :
tunnel select 1
ipsec tunnel 201
ipsec sa policy 201 1 esp aes-cbc sha-hmac
ipsec ike duration ipsec-sa 1 3600
ipsec ike encryption 1 aes-cbc
ipsec ike group 1 modp1024
ipsec ike hash 1 sha
ipsec ike keepalive log 1 off
ipsec ike keepalive use 1 on dpd 10 3
ipsec ike local address 1 192.168.0.254
ipsec ike pfs 1 on
ipsec ike pre-shared-key 1 text (ぷりしぇあーどきー)
ipsec ike remote address 1 123.456.79.10
ipsec tunnel outer df-bit clear
ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
ip tunnel remote address xxx.xxx.xxx.xx(AWS)
ip tunnel tcp mss limit 1387
tunnel enable 1

tunnel 2も同じ感じです。キーとAWS側のIPが違うだけ。

///続く///

639 :
natは以下のとおり。
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 192.168.0.1-192.168.0.254
nat descriptor masquerade static 1000 1 192.168.0.254 udp 500
nat descriptor masquerade static 1000 2 192.168.0.254 esp
nat descriptor masquerade static 1000 3 192.168.0.254 udp 4500

他に必要なconfigありますか?
IPアドレスは実際と変えてます。あとはfilterはデフォのままです。
ipsec auto refresh onにしてます。bgpも設定してて、多分OKなはず。

640 :
MASQUERADE設定は問題ないようだね。500,ESP.4500は、lan1へまわされる。
ip pp secure filter in (デフォ) がきになった。

で、このipsecトンネルは何を参考にされたんですか?

ここですか?
http://www.rtpro.yamaha.co.jp/RT/docs/amazon-vpc/

641 :
そこ含めて、いろいろなサイトを参考にしてみました。

ttp://blog.rakugaki-box.net/entry/2014/06/09/amazon_vpc_from_yamaha_rtx1200
ttp://d.hatena.ne.jp/chakoku/20130914/1379164876
ttp://www.rtpro.yamaha.co.jp/RT/docs/amazon-vpc/

642 :
思い切っていったんフィルターを全部消してみましょうか。。。
SSGとか入れたいなぁ

ここも参考にしました。みんな似たり寄ったりですけどね
ttp://www.tama200x.com/blog/?p=680

643 :
で、pp select 1でfilter外してみましたけど状況変わらずです。。。

644 :
ipsec ike remote address 1 123.456.79.10
このアドレスあってるの?

645 :
AWSからDLした設定ファイルに記載されているIPアドレスをコピペしてますので間違いはないかと。
目視でもconsoleで確認し、同一IPアドレスとなっています。

ここに貼り付けたのは仮のものです。

646 :
じゃぁRTX1210のファームウェアが最新ならここで答えられそうなことない気がする
マスク部分含めてYAMAHAのサポートに投げたほうが解決早そう

647 :
ありがとうございます。
すでにtechinfo投げているので回答待ちです。

解決したらご報告にあがりますです。

648 :
IPsecの方言やめてほしいですよね

649 :
方言っていってもencapsulation(スペルあってるかな)するかしないかぐらい?

650 :
>>649
すくなくとも、>>638のIPsecコンフィグにあるような、次の文は、
わたしのところにはないぞ。
ちなみに、LibreSWAN-RTX1200

ipsec tunnel outer df-bit clear
ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
ip tunnel remote address xxx.xxx.xxx.xx(AWS)

651 :
>>650
> ipsec tunnel outer df-bit clear
まぁこれはなくても、必要ならclearの設定が強制される仕様みたいなので。

> ip tunnel address xxx.xxx.xxx.xxx/30(AWS)
> ip tunnel remote address xxx.xxx.xxx.xx(AWS)
これは何の疑問も持たずに、AWSからDLしたファイルからコピペしてます。
tunnelインターフェースのIPアドレスってことは、RTXのGlobal IPアドレスであるべきですかね?
RTX1200になくて1210にあるのか、ファームのバージョンによる違いなのかはわかりません。

ただこのIPアドレスが違うのであれば、AWSのconsole上でトンネルステータスがUPになることもないと思うのですよね・・・

652 :
>>651
おれはここのサイトをみたわけじゃないが、参考にしてみればどうだろう。(OpenSWAN系)(アマゾンは何をベースにしているんだろう)

http://www.compnet.jp/archives/3849
http://www.shakke.com/network/vpn/yamaha-rtx1100-%E3%81%A8-openswan-%E3%81%A7-ipsec-vpn-%E6%8E%A5%E7%B6%9A/

ipv6 over ipv6 というのもある。
http://takeda-h.hatenablog.com/entry/2014/08/31/021428

なにかわかったら、投稿してください。

653 :
>>632
show ipsec sa の結果を投稿してくれているけど、
自分のところでもやってみたら、それと同じような感じだったぞ。
RTXとアマゾンはしっかりとつながっているんでは?

ルーティングテーブルはRTX、アマゾン側にあるんだよね。
ip route 192.168.0.0/16 gateway tunnel 99
rtxだとこんな感じに↑(tunnel 99はipsecトンネル)

654 :
>>653
マジデスカ
SA表示されないとあかんってのを信じ切って、それ以上の確認を怠ってました。
なんて初歩的な・・・

ルーティングテーブルとフィルターをAWS側で見直してみます。

655 :
>>651

ip tunnel addressがローカル側で
ip tunnel remote addressがAWS側じゃないの?

656 :
書き忘れたけどBGPな

657 :
xxx.xxx.xxx.xxxの80ポートに来たパケットを
192.168.0.2の8080ポートに転送したいのですが
下記のような感じでしたいのですがだめでした。
nat descriptor masquerade static 1 1 xxx.xxx.xxx.xxx=192.168.0.2 tcp 80=8080

こういうのを実現するにはどう書けばよいのでしょうか?

658 :
nat descriptor masquerade static 1 1 192.168.0.2 tcp 80=8080

659 :
>>658
ありがとうございます!
でもそれではうまく動かないみたいです。

660 :
フィルターで弾いてないか?

661 :
>>657
そもそも、そのNAT(1番)を、インターフェイスに掛けていないとか。

662 :
IPアドレスは固定で8個あります。
そのうちのひとつに対して80へ来たものを8080へ
転送したかったんですがRTX1000では不可能でしょうか。

663 :
可能

664 :
>>663
やりかたをぜひ!

665 :
そうか。サーバーにIPアドレスを2つ付けて
yyy.yyy.yyy.yyyだけポート変換をすればいいのかな。どうでしょう?

nat descriptor static 1 1 xxx.xxx.xxx.xxx=192.168.0.2 1
nat descriptor static 1 2 yyy.yyy.yyy.yyy=192.168.0.3 1
nat descriptor masquerade static 1 3 yyy.yyy.yyy.yyy tcp 80=8080

666 :
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html

667 :
1つの鯖で2つのhttpdを動かすってことか?

668 :
>>667
サーバーはWindowsなんですがIISではポートを変えると
複数アプリケーションが起動できるのでそんな感じです。
つまり80と8080で別のアプリケーションを動かしていて
http://xxx.xxx.xxx.xxx/
http://yyy.yyy.yyy.yyy/
でアクセスしたいです。

669 :
そもそも
サーバーにIPアドレス2つ付けたなら
そのIPアドレスとポートで起動すればよいだけじゃね?

標準だと*:80でhttpd起動してるが
192.168.0.2:80
192.168.0.3:80
でIISを複数起動できるだろう

670 :
内側は1つのIPアドレスで外側は2つのIPアドレスってのは無理じゃないかな
外から内へ入ってくるパケットは何とかなるけど
内から外へ出ていくパケットはどっちのIPアドレスを付けるか判別する設定が無いと思う

671 :
みなさまありがとうございます。
なんとなくわかってきました!

672 :
iisは知らないがapacheならできる

673 :
IPアドレス2つ持たせて動きました。
ありがとうございました!

674 :
>>673
”レベルが一気に25まであがりました!
おめでとうございます。”

675 :
L2TP/IPsecをつかって、Windows 8.1からRTX1200に接続したいんですが、
もう少しのところでうまくいきません。

Windows 8.1とRTX1200の両方がLAN側にある場合は、問題なく接続できます。
しかし、Windows 8.1マシンをBBルーターを通して、インターネット側でRTX1200と接続させようとすると、
失敗します。

Windows 8.1には、エラー789:最初にネゴシエートするときに、セキュリティー層で処理エラーが検出されたため、
L2TP接続に失敗しました というエラーが表示されます。
RTX1200では、 [IKE] respond ISAKMP phase to ”Windows 8.1のグローバルIPv4” がログに残っています。(次の段階に進んでいない。)

AssumeUDPEncapsulationContextOnSendRule は、1と2を試しました。

何かご指摘いただきたいです。お願いします。

676 :
他のPCではリモート接続できてるの?
実績がないなら、RTX側の設定が間違ってるのかな
BBルータはどうなってる?

677 :
状況的にNATトラバーサルな気がするがレジストリ変更した後にPC再起動はしているよね?

678 :
>>677
再起動しています。

>>676
BBルータは、Android2.0?スマホのテザリングです。IIJをつかっています。NATが入っていて、プライベートIPv4を配布してくれます。
もちろん、インターネットにアクセス可能です。

IPadでも同様にだめです。
[IKE] respond ISAKMP phase to・・・から進まないです。
このことからRTX1200は応答しているようですが、それを相手側が受信できていない感じなのでしょうか。


ひとつわからないのは、
ipsec transport 1 101 udp 1701  です。

静的マスカレードでは、500と4500をRTX1200のローカルアドレスに通しています。
ここには、まだ1701は表れないんですよね。RTX内でIPsecカプセルが解けてからの話なんですよね。
1701に関する静的フィルタはどのインターフェイスに必要になってくるんでしょうか。
PPインターフェイスでは、相手先のグローバルアドレスについて全部パスさせるようにしています。

679 :
Androidスマホ単体からはリモートアクセスは成功してるのかな?
切り分けしてみてはどうだろう

RTXの問題なのか
PCでの設定が問題なのか
windowsの問題なのか

680 :
>>679
ありがとうございます。

いちど、コールドrtx1200にシンプルにした設定を書き込んで、試してみようと思います。

681 :
rtx1000から複数台のPPTP接続によるVPNが必要になりました
公式を読むと静的マスカレードで1台にのみ設定できるとのことで、
その1台にルータを当ててやろうと考えています

[拠点]--(インターネット)--[rtx1000]--[ルータ(pptpクライアント)]--[PC複数台]

rtx1000からgreとtcp1723を静的にルータに流し、ルータをpptpクライアントとしますと、
PCから拠点へは普通のIPマスカレードで通信できるのでしょうか?

682 :
この場合PCのデフォルト経路がどこを向いているかによって変わってくるのかな
RTX1000に向いてるならRTX1000で拠点への経路をPPTPcへ向けてPPTPcでトンネルを通るように設定が必要かな

683 :
質問です、現状2段構成で
ルータA(IPx8 Unnumbered) --- NAT --- (ローカルIP)ルータB
だったんですが、NATで相性でてルータBをNumbered(直接グローバルIP)にしようって話になったんですが
基本的に、この場合配線そのままで
1.ルータAのルータB用のNAT設定を無効
2.ルータBのローカルIPを、空いてるグローバルIPに変更
でOKですか?

+ルータBに各種フィルター設定(今はなんにもない)

684 :
あぁ配線そのままはダメか・・・
HUBでルータAとルータBは並列ですね(ルータBではネット接続設定はしない)
ルータBのデフォルトゲートウェイをルータBのグローバルIPの先頭にかな

685 :
>>682
ありがとうございます。
pcのデフォルトゲートウェイは追加するルータ、そこからRTX1000となる予定です。
インターネットには繋がない回線なので必要に応じてルール追加で対応します

686 :
FWX120をWebサーバの前に入れるBBルータの代わりにかったのですが
とりあえずプロバイダにつないで静的マスカレードを設定したところつながらない
サーバから見るとSYN_RECVになっている接続がちらほら
なんか引っかかっているかなと思ってDMZに設定してフィルター全OFFでも一緒でした
ヤマハに聞いてもそれでいけるはずと言っていたのですが他にチェック項目ありますか?

687 :
つながらないって何をどうしてどう判断したの?

688 :
>>686 この投稿は、FWX120の下位に接続したPCからの投稿ってことでいいのかい?

689 :
レスどうもです。
繋がらないというのは外からwebが見えないということです。タイムアウトになります。
内側のプライベートアドレスからはは遅いものの見えることはみえます。
この遅さがどうも悪さをしているのかなと勝手に思っています。が、一応サーバのほうも
ギガビットのカードのようなのです。ローカルでのPINGも問題ない速度でした。
サーバーは10年近く前のものですが...
コマンドでLANポートの速度を変更等してみましたけどダメでした。
Webサーバーの設定がどこかおかしい可能性もありますかね?
Webサーバーの再起動もしてみました。
もともとのブロードバンドルーターに繋ぎ変えた場合はWebサーバーを再起動しないと
うまく繋がらないようです。
んーこう書いていてWebサーバのDNSの設定等怪しい気がしてきました...
試せるのは来週ですが。

690 :
接続はこうなの?


ONU───FWX120──────webサーバ
        └────────PC

グローバルIPは払い出されてる?
ネットボランチDNS?
公開するための設定では何をしてるの?

691 :
エスパーしてやる
Webサーバ用のコンピュータのファイアウォールは切っていますか?

692 :
>>691

どうもです!

693 :
パラレルプロバイダでも使ってるのかお前

694 :
>>689
エスパーすると、Clientのソースアドレスもnatしてしまってて、natされたプライベートアドレスの逆引きができずにタイムアウトしている

695 :
RTX1100でどうにかVPNできる様になったんだけど、トリガーメールによるIPアドレス通知ってのが上手くいかない・・・

http://www.mydns.jp/info20081219.html

これに沿って設定してるんだけど、Can't connect server(49)みたいなエラーが出てる。

構成は、ONU-aterm900hw-RTX1100です。

696 :
メールサーバーのアドレスが違うかポート番号が違うか

697 :
>>696
Windowsの電子メール設定から認証確認テストしたら、mydnsでのIPアドレスが更新される事は確認してます。

698 :
DNSサーバーの設定が出来ていないとか?
mail.mydns.jpの名前解決に失敗してる気がする

699 :
mail.mydns.jp はIP引けるから、一時的に、gmail のアカウントを
作って、そっちに設定してみれば?

700 :
>>698
pingは通ってます・・・

>>699
GUIから通知設定してもメール送信エラーになりますorz

701 :
コマンドリファレンスは見た??

702 :
>>701
一応、29. トリガによるメール通知機能を参照してます。

703 :
1回線1GIPで、L2TPを複数セグメントに対して張りたいんだけど
YAMAHAだと難しいかな?例えると、

拠点1:192.168.1.0/24
拠点2:10.10.10.0/24
拠点3:10.0.0.0/24

これらセグメントをレイヤ2で本社にも持ってきたい。
拠点側はGIPを持たない。
拠点側にはL2TP用にYAMAHAを1台新たに置く。

本社側YAMAHAの設定的に、複数セグメントの収容はできないっぽいんだけど
妙案ある方いたら教えてください。

704 :
L2TPv3じゃダメ?

705 :
RTX1100で2拠点間VPNを構築しています。
拠点AにUltraVNCサーバを構築してます。
拠点A内にあるクライアントからはUltraVNCサーバに接続できます。

ところが拠点Bから接続しようとすると、
ログイン画面は出ますが接続ができません。
拠点Bから拠点Aサーバへpingは通ります。
サーバの使用portはデフォルトの5900ですがtelnetで5900に接続はできます。

お手上げ状態ですたすけてください

706 :
>>704
FWX120等のFW系機種のブリッジ機能なら、あるいはできるかもしれないっぽいですね。
実現できるならそちらを買い揃えるんですが、設定事例が見あたらないのと、
いまのところRTX1210等のルータ系しか手元になくて検証もできず…というところです。

707 :
>>703
半年くらい前にL2TPv3の設定をやって(1拠点だけ)、そのときの作業記録から
「RTX1200で使用できるブリッジは1つだけなのでL2レベルで接続できるセグメントは1つだけ」
というメモを発掘した。できないっぽいんだと思うよ。
L3ではダメなんか?拠点と本社でIPが被るのか?

708 :
>>707
RTX1210にもブリッジ機能あったので手元で検証してて、
同じくbridgeが1本しか作れないからムリっていう結論に達したとこでした。
例に挙げた拠点側は、実のところ各々別個の顧客環境なので、
そちら側のネットワークはいじれないんですよね。
なのでL2レベルで繋がないとルーティング的に到達できない。

709 :
結局元のルーターのLAN側アドレスの見間違えでした。
Webサーバの設定見て気付きましたorz

710 :
>>705
そのVNCサーバーはIPレベルで通信するのかな?
netbiosとかnetbeuiとかはover TCP/IPじゃないとダメじゃね?

711 :
>>708
思いつきだけですが、L3で拠点側のRTXでSNATしたらどうなんでしょ。

拠点側から本社側へ到達する必要はないし、
拠点側同士が接続できたら、それこそゲロマズですね。

712 :
>>710
IPレベルだと思います
ちなみにフォルダの参照はできました。
ファイルの操作もできます

VNCのクライアントの動きとしてサーバからパスワードの要求がされ、
入力後認証されてパスワードが受け付けられた通信までは行えているのですが、
後はナシのつぶてです

ip filter 100 pass * * tcp 5900 5900
ip filter dynamic 1 * * filter 100

ipv6 lan2 secure filter out 3000 dynamic 1 100 101 102 103 104 105 106
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 1 100 101 102 103 104 105 106

こんな感じでダイナミックフィルタも両拠点に設定してみたのですが。。。

713 :
>>705
MTU下げてみるとか

714 :
>>712
VPN内の通信にppとかlan2のフィルターは関係ないよ
ppのフィルターがVPNを通すようになっていればOK
トンネルは特にフィルター無しでしょ
データ量が大きすぎてRTX1100のスループットだと性能限界でダメな可能性もあるね

715 :
>>711
あー、なるほど確かに、できそうな気もしますね。
ちょっと時間取れ次第それで検証してみて、それでもダメなら
頼み込んで顧客側にルート書いてもらいます。

皆さんありがとうございました。

716 :
>>708
検証もしてないから無理かもしれないけど
セグメント毎にトンネル作って
bridge member bridge1 lan1 tunnel1-tunnel3
みたく収容したらHUB見たくならないかな
無駄なパケット大量に複製するかもしれんが

717 :
>>713
トンネルの設定で
ip tunnel tcp mss limit auto
とありました。

自分の理解ではこの設定でokのような気がしますが、
サーバのMTUも下げてみた方が良いのでしょうか?

>>714
リモートデスクトップでなら接続できるんですけどね・・・
都合上ultraVNCじゃなきゃだめなんですよね・・・
ultraVNCは接続時に品質落としてデータ量を変更できるのですが、
モデム通信レベル128kbit/sでもだめなので、スループットは大丈夫そうな気もします

718 :
ip tunnel mtu xxxx
で下げてみてはということ

719 :
ohhhhhh!!!

>>718
感激しました!!
諦めかけてました
うまくいきました!

ip tunnel tcp mss limit auto
で最適なmtu値が設定されると思ってましたがうまくいってなく
教えていただいたmtuを分割されないMAX値の1252設定で動作しました。

なぜかよくわかりませんが明日調べてみます

みなさまありがとうございました

720 :
>>719
おう!またな!

721 :
>>719
RTX1200だけど、古いファームだとmtuの設定が効かないというバグがあった。
1100がどうかは知らないけど、いちおう確認しといたらどう。

722 :
RTXは、うるう秒で何か影響あるのだろうか。

723 :
何の影響もないし、定期的にntpdateしてたらずれも気にする必要ないと思う

724 :
NVRなんだけど
自動でバックアップ経路に切替するにはどうしたら良いんだろう

RTXだと
仮に本店172.16.1.254とすると、二つトンネル張ると、こんな感じでしょ

ip route 172.16.1.254/16 gateway tunnel 1 keepalive 1 gateway tunnel 2 weight 0


NVRはこの設定できないんだよね
lauで切り替えるとかしなきゃ駄目かな
あれは苦手だから嫌だな

725 :
スレチだったらすみません。
192.168.100.2~31まではpp1 の静的IP(222.111.000.1)
192.168.100.32~60まではpp2 の動的IP(250.213.52.0~32)
192.168.100.64~101 までpp3 の静的IP(250.213.133.0~30)
192.168.100.102~254 までpp3の静的IP(250.213.133.31)
といった感じで同一ネットワーク内でマルチセッションを行いたいのですが、素人なものでどんな機能を使ってどういう設定をしたらいいのかが分からなくてこまってます。
あと、192.168.100.64のサーバーから192.168.100.32のメールサーバーへメールを送る方法等(DNS)
色々勉強したいのですが、お勧めのサイトや本等ありましたら教えていただけないでしょうか(´・ω・`)

726 :
>>725
rtproにあるフィルタ型ルーティングを参考にするといいよ

727 :
>>726 まさにこれです!ありがとうございます!

やだ///ホストでてたなんて恥ずかしい
natではまって2時間かかったOTLネットワーク難しいですね

728 :
>>727
ええんやで

729 :
ここの人たち詳しそうなので質問
NGN網の折り返しを利用したVPNで、帯域制限てあるのかな?
ipsecでもipipでも200Mbpsあたりをウロウロ
ちなみに同一県内でpingは4ms前後
RTX1210とRTX810の対向です
スレチだったらスマソ

730 :
>>729
810の公称IPsecスループットは200Mbpsだから、その動きは正しいよ。
インフラの問題ではなく、機器の性能の限界。

最大スピード出したければ1210を対向で使わないと。

731 :
ipip接続なら出そうな気もするが
回線は光ネクストの1G?

732 :
>>729
ギガファミリースマートでのフレッツVPNワイドとか?
環境がわからんね。

733 :
>>724
何のバックアップかわからないけど、エスパーしてみる。
トンネルのバックアップならトンネルバックアップすればいいんでない?

734 :
>732
ギガスマ、ギガラインではフレッツVPNワイド利用できない

ちなギガスマ、ギガラインではプライオってのが利用可能

735 :
サービスじゃなくてIPv6使ったVPNじゃないの?

736 :
>>729です
みなさん親切ね、ありがとう
回線は、両方ともNTT西日本 光ネクスト隼です
V6オプション(IPv6)を使っています
ipsecならRTX810側の性能限界ですね
IPIPでも同じスループットなので回線の帯域制限かと思った

737 :
ipipでも200M前後なの?
RTX1210しかやったこと無いから知らなかった

738 :
クライアントが50台前後の案件で
メインルーターにRTX1200
L3としてRTX1200の二台構成によくするんだけど、
これって無駄?
素直にBUFFALOのL3でも使った方がいいのかな。

739 :
バッファローのL3SWは嫌だ・・・
営業がそれを提案したら殴ろうと決めて、辞表を持ち歩いてる

740 :
L3にルーターを使うのは無駄だろ

741 :
>>738
使い方としてはありだと思うけど、俺はL3のスイッチが必要な時は
客の事を考えてHPを使うようにしてる

牛のスイッチは悪い評価しか聞かないからやめた方がいいんじゃない

742 :
ダメルコがL3なんか出してるのか。知らなかった。
使ってみよう…なんて気はさらさら起きないけど。

743 :
比較的小規模で
総合的な処理能力考えて間に合うならRTX1200も十分ありでしょ

牛使うならネットギア使うな

744 :
>>743
ネットギア高くね?
 http://www.netgear.jp/products/details/M5300-28GF3.html
定価58万・・・3掛けくらいで入ってくるの?

アライドのL3が20万以下で入ってくるんだから、それでいいじゃん
コマンドもciscoライクに変更されてるから、新人君でも取っつきやすくなったし

745 :
ciscoでいいじゃん

746 :
>>741
えっち・・・ぴー・・・

まぁ人それぞれだもんな

747 :
>>745
信者uzeeeeeeeeeeeeee!!!

748 :
YAMAHAのルータを使いこなしてる人はciscoルータも扱えるイメージだな

749 :
え?

750 :
単にVLAN分割して軽くルーティングするなら牛でもいい場合はある
が、ARPテーブルのバッファが極端に浅いので、
サブネット越えが普通にある環境ではARP溢れですぐお亡くなりになる

L3いれるような案件でアライドクラスのお金出せないってのは、私的にはあり得ないけどな。

751 :
確かにw
牛印L3 SWでOKな案件なら
ルーターでもいいじゃん
て気がする

752 :
ヤマハでacl書ける機種ってある?
ステートフルなコンフィグの書き方覚えるとめんどくさくて仕方ない。
でもヤマハを使いたい

753 :
ヤマハならIPフィルターにシコシコ書くしかない
やって出来ないことは無いけど
一年後に追加・変更の依頼が来たとするじゃん?
自分で書いたんだけど、忘れてるだろ?
それを読み解くことから始めるんだぜ・・・
苦行にもほどがある

754 :
たぶんさんざん既出ネタだろうけど、YAMAHAは書式が冗長すぎ。
何かしようと思って設定する度に、必ず何かしらの行が足りなくて繋がらない。
ipsecとかね。

755 :
Ciscoスイッチ> アライドスイッチ> YAMAHAルータ> Buffalo スイッチ
であってる?

756 :
なにが?

757 :
値段のことなら、おおよそ合ってる

758 :
SWX2300たけぇ

759 :
処理が増えたときにソフトのルーターかハードのL3かって選択だと思う

実はL2インテリで問題ないとか?
SG300やM4100ならそんなに高くないと思うが…

760 :
確かに中200台くらいなら2960Xとかでも行けそうね

761 :
SWX2300-24G 定価175,000円
WS-C2960S-F24TS-S 標準価格\194,000

もうちょっと何とかならないの?

762 :
そーゆーのは
その値段で買う価値があると思う人たちだけが買うものだから

763 :
>>761
それ2960のほうはFastEtherのモデルじゃないか

764 :
定価で買う人間いるのか?学校納入業者?

765 :
IOSがLAN Baseならコレでいいじゃん
http://www.amazon.co.jp/gp/aw/d/B00E9TU22O/

業販だと初期も保守ももっと安いけど。

766 :
2960Sならたまにオークションで出る。

2960Gならいつも出てる。

767 :
そろそろ誘導しておくか

cisco好きな人はこちらへ
Ciscoのスレッド 0/9
http://hayabusa6.2ch.sc/test/read.cgi/network/1383801715/

768 :
うーん・・・

SWX2300-24G 175,000円
CentreCOM GS916M V2 129,800円

バッファロー BS-G2116M 53800円
netgear GS716T 36,000円

769 :
ぶっちゃけ、どこのメーカも不良率同じぐらいだと思う。
タスキでもかけておいたほうがいいよ

770 :
そして1台こけたら残りが予期せぬ挙動を起こして…

771 :
configを見てもわからず
悩みに悩んで、ふと机の下を見ると
誰かが勝手に追加したバッファロー無線ルータが

772 :
>>768
CentreCOM GS924M V2 はオークションでねらい目。
http://page17.auctions.yahoo.co.jp/jp/auction/v409953807

現行機種なのに1万出せば買える。
安けりゃ4000円で買える。

俺は平均5000円で6台買ったからもう教えてあげてもいい。

773 :
>>772
そんなバカな、5000円前後なんて、初代無印GS924Mじゃろ、
お主、だまされておるぞ。
…と思ったら、ほんまにV2じゃった。

774 :
スタックできないスイッチなんて

775 :
>>773
俺も驚いたよ
バッキャローのただのギガビット8ポートハブと変わらない値段なのだから
ファンつきだがC2960Sと比べてむちゃくちゃ静かだし、全部まともに動いた

776 :
Interopで聞いてきたがSWX2300のコマンド体系は
Ciscoライクになるらしいな

777 :
>>776
http://jp.yamaha.com/news_release/2015/pdf/1506030101.pdf
>デファクトスタンダードのコマンド体系に準拠、どのような環境でも戸惑うことなく設定が可能(SWX2300)

これのことな。

778 :
どう考えてもそっちのが使いやすいから正解
そのままルータとかも全部Ciscoっぽくしちゃえ

779 :
長いことATコマンドとか使ってた人間なので、9600N81固定とか設定は階層でやるくせに
設定は流し込みがデフォだったり

初めて触ったときには異世界 というか原始的な感じで頭わりぃって思った(つか思ってる)わ。

780 :
Dell PowerConnectも時々妙に安く出てくるよな。
2816を3個で6000円つーのを買ったことがある。
ファンレスなんで自宅で重宝してる。

781 :
cli古臭いけど、なくならんよね。
いまどきの新モデルだすなら、netconf/restconfあたりに対応してほしいけど

782 :
>>778
cisco っぽくしちゃうと、既存のRTXユーザーが混乱するだろ。

783 :
もうなってしまうんだから、しょうがないだろ

784 :
RTX1210はコンフィグの互換性を重要視したらしいから
ルータは今後も独自路線なんじゃないだろうか

785 :
買い換えても同じCONFIGのままなのは楽でいいよね。

786 :
SRT100からFWX120はコンバーターを使ったよ
動かす前に見直しだけど一から作るよりは楽だった

787 :
>>771
なにそれこわい

788 :
>>771
勝手に、dhcpサーバをしていたと。

789 :
イベント会場で勝手に無線経由でDHCPサーバー動かされると探しようがないからな

790 :
デフォゲとdnsが適正だともうなかなか発覚しないね

791 :
dhcploc.exe って最近のwindowsでは用意されてないんだっけ?

792 :
ぐぐったらXP用のがそのまま使えるから
MS download centerから持ってこい、とのお話が

793 :
>>789
auが無償貸与してるキューブ型のやつがタチ悪かった
二重ルータになってるだけならいいものを、DHCPサーバになって無効なアドレスを勝手に振りまいたり、
時々気を利かせてるのかブリッジ判定して配布停止したり
特定に苦労したわ
ブリッジ設定しても撒いちゃうし…

シネプラネックス

794 :
ネットワークって、考えてみれば、セキュリティーもかかっていないで好き勝手できてしまう。
とても脆弱だなあ。

795 :
>>789
会場で提供するなら、それは無線クライアント間通信(一般的な名称が分からん)を拒否してなかった設営側のミスでしょう。

796 :
>>788
野良 DHCP サーバは、まれによくある。
あれ、設置した本人に悪意が無かったとしても結果的にはテロ行為そのものだよな〜

797 :
>>788
お客が無線ルーターのLAN側とWAN側逆につけて〜とかよくあるからな。。。

798 :
>>797>>796
>>795

無線で提供するのはひとつの手かもね。
もちろん、セパレーター機能で、クライアント間の通信はできないようにする。
有線も使いたければ、DD-WRT内蔵WIFI-LANアダプターを提供すればいい。

799 :
セパレートしても上流のスイッチでポートプロテクト(VLAN)してないとほかのAPにつながった端末に影響してしまうみたい。
WLX302の場合ポートプロテクトすると今度はAP管理機能が使えなくなったりするのがなぁ。。。
APコントローラー発売しないんかね

800 :
まさにブロードキャスター事件簿

801 :
RTX1210の新Firmでたね

802 :
>>801
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/relnote_14_01_09.html

結構、新機能をぶっこんできたな
全部読むのは明日にしよう

803 :
WLXも、新ファーム出したからね。

804 :
RTX1210のLANマップに完全対応するWLX302の新ファームは今月末か来月上旬だとうちの婆さんが言ってたかな。

805 :
RTX1210の新ファーム
これだけ修正点が多いと、いますぐアップデートしようか少し迷うね。

806 :
遅レスですが>>123さんと同じ現象です

当初PR-S300NE下にRTX1200繋げてましたがipv4 over ipv6 vpnで5Mbpsしか出ませんでした
解決案ありますか

807 :
当初はHGW配下で、今は外してONU直下にRTX1200?
そしたら、IPv6プレフィックスが揺れるってことは無いと思うけど
ひかり電話officeタイプをPBXに直収してるから、環境違ってわからんなぁ

808 :
798です
当初は300NE HGW下にRTX1200で今はONU下にRTX1200とHGWで2-3時間ごとに接続と切断を繰り返してます
ちなみに別環境のPR-500KI下のRTX1210だと80Mbpsでたので及第点です
ONU直なら160Mbpsでるのですがね

809 :
>>808
DHCPv6のrenewが2hおきなので奪い合ってたりしてない?
DHCPv6使うにしてもRAで動かすにしてもHGW配下のが安定するんじゃないかな。

810 :
やっぱ1210早いのかな

811 :
ありがとうございます
素直にHGW下に繋ぐようにして速度が出ないHGWを
交換する方向で対処しようと思います

812 :
>>811
ONUのカバー開けてRTXと直結しても遅い?

813 :
NGNのIPv6でl2tpv3/ipsecしてるけど500Mbpsくらい出るぞ

814 :
>>812
直結は速いです

815 :
未検証の情報だと

ひかり電話無し ONU ---- RTX とても速い
ひかり電話オフイス ONU --- VG ---- RTX  速い
ひかり電話オフィスA ONU --- VG ---- RTX  遅い
ひかり電話 ONU --- HGW ---- RTX  遅い

816 :
RTX1200で、
 1)IPoEで IPv6 NGN接続(NGN網内で VPN構成)
 2)PPPoEで プロバイダ IPv6接続
それぞれは接続できます。

しかし NGN接続の状態で追加で PPPoE接続すると、
NGNが見えなくなってしまいます。

経路表を書けばイケソな気がするんですが、
どっかにお手本ないでしょうか?

817 :
>>816
http://lab.mitty.jp/trac/lab/wiki/TipAndDoc/network/ipv6/NGN

経路情報サーバからNGN側にstatic向けるprefix取得して書き込むといいんでは?

YAMAHAはNPTv6対応してないのでPPPoE IPv6との併用オススメしないけど

818 :
RTX810のリカーシブDNSでLAN内のいくつかに名前を割り当てています。
これを他のDNSサーバにコピーする手段ってないでしょうか?
nslookupでサーバに対してls -d してみましたがサーバーによって拒否となりました。
台帳を作ってそこからそれぞれの設定ファイルを作る以外の方法ってありませんか?

819 :
RTX1200について質問です。
光1回線に拠点2つ(固定IP)とVPN接続は可能でしょうか?

例えば
センター : 東京(固定IP)
LAN1 → 192.168.1.0/24(千葉用) : Tunnel1
LAN2 → PP1
LAN3 → 192.168.2.0/24(埼玉用) : Tunnel2

拠点1 : 千葉(固定IP)
LAN1 → 192.168.3.0/24 : Tunnel1
LAN2 → PP1

拠点2 : 埼玉(固定IP)
LAN1 → 192.168.4.0/24 : Tunnel1
LAN2 → PP1

拠点を1つにすれば、センターとVPN接続は出来るのです。
しかし、拠点を2つにし、センターとVPN接続するには、どうすればよいのでしょうか?

どうかよろしくお願い致します。

820 :
質問のためageさせて頂きますm(_ _)m

821 :
>>819
その「例えば」のセンターがよくないけど、可能ですよ!
このあたりを参考に頑張ってみてはとうでしょう?
http://jp.yamaha.com/products/network/solution/vpn/connect/

822 :
>>821
即アドバイスありがとうございます。

このYAMAHAさんのサイトは私も参考にしています。
一番惜しいのは、
http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-triadic_8-rtx1200/
このページなんですが…。

これだと、私の>>819の例だと、
埼玉と千葉の落ち先が同じなんですよね…。

これを…何とか分けたい

pp1のnatを1と2で分けてみたんですが…。
上手くいかず…。
VPN接続先を相手先により振れる方法って…ないもんでしょうか?

823 :
何を分けたいのかよく分からん
埼玉からセンターへのパケットは192.168.1.0/24宛であってもLAN3へ流したいってこと?

824 :
>>822
Tunnel1とTunnel2はipsec ike remote addressの設定値が違うんだから同じじゃないでしょ
振り分けが上手くいってないのは設定が間違ってるから

825 :
コンフィグ貼れやw

826 :
センターと拠点で合計3箇所なのに、なんでIPアドレスが4セグメントあるの?

827 :
1対多構成するべき所を1対1を複数作ろうとしてるように見えるんだが

828 :
おちついて考えれば、できないことなんてない。
そう、YAMAHA業務ルーターならね

829 :
他人のコンフィグって見てると色々発見あるよね。

830 :
自分が書いたconfigを、ちょっと気になる後輩が「ふむふむ」言いながら見てるときは羞恥心MAX

831 :
>>823-827
レスありがとうございました。

>>827
正解でした。
エスパーですか?

ただいま帰宅…。
1対多(アグレッシブモード)構成しなければならないところを、
固定IPだからと1対1(メインモード)を2つ作成していたのが原因でした。

VPNのメインモードを2つ作成して、
それぞれのネットワークへ振り分けるような使い方を考えていたんですが…。

解決して頂いた先輩には
「出来るわけない!! R!! ってか消えろよ!!
 お前を下に持った俺は世界一不幸だわ…。
 4月から既に3ヶ月経とうとしてんのに…お前ホント使えねぇのな!?
 俺が入社3ヶ月ぐらいの時には現場いくつも成功させてたぞ!!」
と、有難いお言葉を頂戴しました。

本日は…疲れました。
スレ汚し申し訳ございませんでした。
お休みなさい

832 :
ん?
結局
http://jp.yamaha.com/products/network/solution/vpn/connect/vpn-connect-triadic_8-rtx1200/
って事か?

833 :
なんでわかったかというと過去に同じことやろうとした馬鹿な業者に引っかき回されたことがあるからだ

834 :
業者に触らせてはいけない。
むちゃくちゃされる。ほかの事なんて考えてくれるはずがない。
すべて自分でやるしかない昨今

835 :
まともな業者ならconfigつきのドキュメント残すだろ!

836 :
メインモードを複数って逆に思いつかなかった。おかげでなにで悩んでるのかわからなかった。。。
(´・ω・`)わかってあげられなくてごめんよ。

837 :
俺もわからなかった。エスパーへの道は遠いな……

838 :
てっきりあのネットワーク構成じゃないとダメだと思ってたからな

839 :
>>834
馬鹿な業者を取り扱う能力がないのも問題だよ
丸投げする方がどうかしている

840 :
>>839
場合によっては馬鹿な上層部が独断専行してすべて決まってから現場に降りてくる場合もあるんだよ
俺もさすがにRTX1200納品する業者がバッファローやAtermぐらいしか設定できないなんて思わねえよ

841 :
業者がヤマハルータ見たときにカワサキか
みたいな感じでヤマハかって言うのがいい

842 :
なんかワロタ

843 :
業務用 WANルーターで国内シェア1位って知られてないよねぇ

844 :
フレッツVPNワイドとRTX810 2台で拠点間接続+センター経由ISPの設定を
ttp://jp.yamaha.com/products/network/solution/flets/terminal/flets_terminal-multiple_network/
上記を参考にして行いました。
その後、センター側にPPTPでリモート接続したのですが、リモートから拠点側のWindowsの共有フォルダが見れません。
でも同じ拠点側のバッファロNASの共有フォルダは見る事ができます。
センター側も拠点側もLAN1にフィルタは設定してないのですが、他に確認するところはあるでしょうか?

845 :
>>844
windowsファイヤウォールとか

846 :
>>840
業者選定の段階で明らかにミスだろ。。。
ネットワークの設定なんかの業務やってるけど、ほかの業者みてると適当なやつらはほんと適当だからなぁ。
電気屋上がりのネットワーク業者なんかはつながればいいんでしょ?とかいって適当な配線しやがる。

847 :
>>844
(´・ω・`)ルーターにping通る?
通るなら、こんどはサーバーに。
proxyarpがoffになってるとだめな模様。
それか、anonymousのipアドレス設定ミスってるとか。。。
あとはファイヤーウォールやな。

848 :
>>844
サーバ以外のWindowsは、pingもsmbもファイヤウォールの初期値が同じネットワークアドレスしか許可してなかったような。

849 :
>>846
機器設置前に設計図書提出するように求めれば良いだけだと思うのだが
基本設計書も無しで進めて、後から文句いう発注者にも問題があると考える

850 :
>>846
まー機器代込みで5万で済むような発想でいるとこが多いししょうがない

851 :
>>847
ルーターやNASにはpingが通るけどwindowsには通りません

>>845
>>848
同じ機器でインターネットVPNの拠点間接続してた時は問題なく見れてたので
ルーターの設定だとは思うのですが。

みなさんありがとうございました。
指摘頂いた箇所を見直してみます。

852 :
>>851
本当に同じ機器なの?
またWindowsがパブリックネットワークになってるオチじゃ?

853 :
>>851
試しにWindowsFW切ってみ
こういうのは一個一個潰して確定してくしかないぞ

854 :
エスパーすると、
サーバのゲートウェイアドレス間違ってたりな

855 :
そもそも、センターのPCから拠点のPCへping送れるの?

856 :
>>855 出来なかったらVPNとは言わないだろ?

857 :
意味が違うw
>>851の環境で>>854のようなミスを犯してないかのチェックしろって意味

858 :
そもそもWindowsがecoh応答不可

859 :
echo

860 :
>>858
標準状態やとWindowsはローカルでサブネットさえ合ってればpingは返ってくるんじゃなかったかな。
サードパーティーのFWが入ってれば大抵は応答しないけど。

861 :
最近の窓はオフィシャルFWでpingに応答しないようになってるよ

862 :
>>858-859
発音はどう違ってくるのか?

863 :
>>844をよく見るとPPTPでって書いてあった。。拠点間のIPsec関係無いんかいwてことはネットワークアドレスも同じなのかな?

864 :
>>862
ecoh エコー
echo えちょ

865 :
ついついRichoって書いちゃうんだよね
リコー

866 :
俺「VPN接続の設定をサンプルを元にやっているが繋がらない。どこでエラーになっているのか?ログは取れないか?」
サ「サンプル通りですか?」
俺「PPPoEは環境ないから固定ip入れてルーター直結した」
サ「PPPoEがないと繋がりません」
俺「・・・」
俺「おたくの製品はローカルルーターとして使えないのか?」
サ「PPPoEがないと繋がりません」
俺「いいから、ログは?」
サ「デバックモードでとれますが、みても解りません」

最近のサポートこんなもの?

867 :
>>866
固定IPなのにPPPoEじゃないって、CATVとかですか

868 :
>>867
テストだからルーター直結
直結とさっきも書いたと思うが・・
サポートもそういう思いだったのかな?
それかGUIでは出来ないから駄目と言ったのか?
さっぱりわからない

869 :
つかログの取り方くらい
マニュアル見れば分かるんじゃ

870 :
>>868
えっと上位がルータなのか?

871 :
>>866
直結してるならキャプチャすれば?サポートダメって思いながら言い分鵜呑みにしてる意味がわからん。

872 :
>>869
わかったよ
既に解決済みだし
サポートがらみで書いただけだよ
>>871
鵜呑みにもしてないし
自分でやろうと思って電話は終えた
>>870
直結って表現まちがいか?
どう言えば正しく伝わるんだろう

873 :
PPPoEじゃない環境じゃないとダメとかヤマハのサポートが言うわけないと思うけど・・・

それよりもauひかりのHGW経由の拠点なんかが、NetvolanteDNSが使えなくて不便
営業戦略なのかも知れないが対応してもらいたいところ・・・

874 :
>>873
俺も嘘だと思いたいよ
質が落ちすぎだよとは思いつつ
サンプルがPPPoE前提だったから、新人にでも当たったかな

875 :
会社の検証環境だとPPPoE認証できるL3とかあったりするけどねぇ
ヤマハはそういうのないんだよなあ・・

というか、サンプルについて質問したからじゃないの??
http://www.interlink.or.jp/あたりで2アカウント発行して検証してみればいいんじゃね?

876 :
ここでグチるのも、気持ちはわかるが
PPPoeサーバになれる装置ぐらい自前で用意したらどうだろう

877 :
PPPoEのサンプル見てるって言ってサポートを求めたならPPPoEじゃないと
繋がりませんって返ってくるのは当然だと思うが

878 :
>>877
直結で固定ipにしたと書いたが
サポートと同じ臭いがし始めた

879 :
>>877
途中で送ってしまった
最初に聞いたのは、どこで駄目になっているか?の探り方を聞いたとも書いたはず

880 :
ここまでのやりとり見てると
他人に状況説明するのがかなり下手な人に思える
サポートの人も大変だな

881 :
VPNの設定はまだ上の方だよ
足元の話じゃないか

882 :
>>880
うーん
どこらへんがそうかな?
説明不足ある?
誤解を与えること言ってる?
「直結」がここまで通じないとは思わなかったけど

883 :
ついでにもう一言言って終わる
グチをグチで終わらせず、色々突っ込んでくれた皆ありがとう
でも、どうせ突っ込むなら最初の質問「どこでエラーになっているか見つける方法」で欲しかったな

884 :
終わったのか。
どこのサンプル参考にしたのかが気になったんだが

885 :
あ、直結ってルータとルータを接続するって事か

886 :
>>882
ピント外れの回答しか来ない場合は自分の質問の仕方を疑った方が良いぜ?

887 :
新聞購読を止めて、月3000〜4000円、年間36000〜48000円の節約

新聞にそのような金を払う価値はない

ただでさえ要らない
なぜなら新聞は国民の方を向いておらず、広告主のための報道しかしないからだ

それに金を払って購読することは自らの首を絞める自殺行為に等しい

888 :
>>886
質問あったか?と思ったがその指摘って笑うところか?

889 :
構成図と環境書いてくれたら、罵倒しながら
コマンド書いてくれるお人好しばかりのスレなんだからさ

890 :
エスパーすると
ipsec auto refresh on
を書き忘れてたとか

891 :
>>872
ログの取り方わからないから自称プロの素人だと思われたんじゃね?

まぁ担当が悪かったんだろうが電話で説明する側と応答する側の会話スキルがなかったんだろう

892 :
>>888
サポに対してだろう?

893 :
>>866
ローカルルーターとしてもつかえるで。
WAN側にするインターフェースを上位ルーターのネットワークに設定すればいける。あとは専用線接続の応用だな。

894 :
>>891
VPNのどのフェーズまで進んでエラーになったか?ってログにでてたっけ?

895 :
>>893
たぶんわかってて聞いていると思うけど
>>894
出るよ
ただ、RT同士の接続ならデバックログみて解決できる情報は出てこない気がするけど

情報が一方通行だからどちらが悪いとか一概に言えないけど
サポの力量に不満があるならその場で上司呼べとかあとで苦情いれるとかした方がいい

このスレの住人ならサポに電話する人って少ないと思うから
サポの苦情言われてもわからんw

で、結局何が悪かったのか書かないのは
ケアレスミスなんかね

896 :
なぜか、日本語不自由な人が多い印象

897 :
>>896
君が不自由なだけじゃね?

898 :
dhcp scope 1 10.0.1.100-10.0.1.254/16 gateway 10.0.0.1
dhcp scope 2 10.10.1.100-10.10.1.254/16 gateway 10.10.0.1

DHCPスコープを2つ作っているのですが
この2つに別々にDNSサーバーを割り当てるには
どうすればいいでしょうか?

dhcp scope optionでできるのかなと思ったのですが
どうも違うようで・・・
RTX1000です。

899 :
なんでマニュアル読まないんだよ!カスが!

www.rtpro.yamaha.co.jp/RT/manual/nvr500/dns/dns_server_select.html

900 :
>>899
親切で教えてるのかと思ったら、高等テクか〜w

初心者スレがあれば、そっちに誘導してやれるんだがねぇ〜

901 :
十分親切と思うが
これでイケるだろう?

original-sender
[設定値] : DNS 問い合わせの送信元の IP アドレスの範囲
[初期値] : -

902 :
RTにもSFP+乗せる時代がくるのかね

光アクセスサービスの小型ONUの開発及び提供について
https://www.ntt-east.co.jp/release/detail/20140728_01.html

903 :
役に立たないスレだなw

904 :
>>899
これは質問の趣旨と違う気がする

905 :
喧嘩すんなバカ

906 :
>>898
dhcp scope option 1 dns=10.0.1.1
dhcp scope option 2 dns=10.10.1.1
これじゃダメだった?

907 :
RTX1000のファームだと、対応してないとかじゃないの

908 :
RTX1000のコマンドマニュアルがもう無いってのが問題なんだよね
で、個人的に保存してたマニュアル1.03を確認してみた
幾つか出てるコマンドは対応になってるから、好きなの試して結果の報告をよろしく

ファイルをアップする予定はないので、ほしければメーカに問い合わせしてね

909 :
補完と?で説明ある程度はでるでしょ?

910 :
久々にRTX1000使うと補完が今と違ってTAB押す必要があるからイライラするよね
まぁ保守打ち切りだから買い換えて貰うんですが・・

911 :
TABなんだそっちの方がしっくりくるのに
?は慣れないなー

912 :
今って何があるの?

913 :
ad→enterでadministoratorが入るとかじゃね

914 :
省略でコマンドは入るけど
tabが身についてしまってる

915 :
shは使いまくるようになっちゃったからRTX1000とか58iで操作してると疲れる

916 :
showって、shwoにミスタイプしやすい。ミスするたびに、sh<TAB>とすべきと反省するんだが、直らないなぁ

917 :
なんか最近スレも夏風味がでてきた気がする。
気がするだけであってほしいw

918 :
そういうのが夏臭い

919 :
やぁ諸君、1210のファームアップ大作戦はうまくいってるかな?

動作温度上限が45度Cになったけど、実際もっと過酷なところでも動いてるよね

920 :
>>919
大作戦って?

921 :
>>919
温度上限って、仕様上の話だろ?屋内だと 45℃はギリで超えないんじゃないか?
エアコン無しの廊下に設置してると、sh envでの内部温度は、60℃超えたりするねぇ

922 :
>>921
周辺温度だから室温とは別だよ
内部+10℃で考えたりするから内部が55℃超えてると基準値を超えてる可能性が有るよ
密閉空間だと特にね

923 :
>>922
RTX3000と RTX3500を 1U空けて実装してるんだけど、内部温度は 3000の方が10℃近く高いんだわ

924 :
>>923
他が排出した熱をRTX3000が吸い込む位置にあったりすると1U開けても意味が無いかもしれん
吸気部分の温度が高いようだと、吸気・排気を見直したほうがいいかも
あとは年式的にファンが弱ってきてるとか
忙しいだけってのも考えられるが…

925 :
>>924
前吸気の後排気が基本なんで回り込みじゃない。
3000は、購入8年後にリコール対象で、ナント新品交換なんでファンも新品w

926 :
RTX3000の頃じゃMPU自体が今より熱持ちそうだしな。

関係無いけど、臨時代替用でその辺に転がってたRTX1000でRTX1100のCONFIGそのまま投入したら、
AESがソフト処理だったの忘れててホントに臨時用VPNルータになったわ。
すぐ稟議通してくれてありがとうございました。

927 :
RTX1200を使っています。
RTX1200の接続先の経路(PP, TUNNEL)がボトルネックになっています。
たぶん、500Mbpsから50Mbpsくらいに細くなる。

そこで、VOIPパケットなどを優先させて送出させたいです。
PPや、TUNNELの容量はベストエフォートのため時間帯によっても変わるので、
有効帯域を予め設定せずに優先制御したいです。
VOIPなどの優先させたいパケットは、あて先やソースアドレスで判別したいと思います。

以上の条件に合う優先制御って、RTX1200でもできるのでしょうか。
お願いします。

928 :
理想は、優先制御用の設定(パケット判別用のipアドレスを記載したもの)を、
PPや、TUNNELにひっかけるだけで、それらが優先処理され制御できることなんですが。


929 :
>>927
君がいくら優先度高く投げてもキャリアにremarkされて終わりじゃないの?

930 :
>>929
ボトルネックなので、特定のパケットは優先させたいんですが。
全帯域の設定は不可欠ってことなんでしょうか。

931 :
>>927
VoIPが途切れる原因を帯域不足だろうと判断しての相談だと思うけど
そもそもVoIPなんて、1chあたり精々0.1Mしか使わないぞ?

別の原因だと思うけどな
帯域幅より遅延のほうが影響あるし

932 :
QoSの設定かな?
ToSの設定かな?

933 :
素直にNTTのひかり電話使えよ(´・ω・`)

934 :
>>931
たしかにそうなんですが、同時に大きいファイル転送が行われているとき、
帯域はぎりぎりまで消費されるので、VOIPなどを優先設定したいんです。

ソース、あて先アドレスで、優先パケットを定義して、
インターフェイスごとに優先制御設定をしたいんですが。

>>932
端末が非対応なんで、QoSのためのタグは使えないです。

935 :
切り分けしてみたほうがいいと思うけどなぁ
ところで交換機なり、SIPサーバなりがわからないと
機種によって喋ってるプロトコル違うけど
>>927は何を使ってるのよ

936 :
>>935
*です。
実は、まだ問題が生じているわけではないんですが、
>>934のとおり、大量ファイル転送時に帯域圧迫の可能性は潜在しているので、
精神衛生上、帯域帯域制御を、RTX1200にやってもらいたいなと。

937 :
>>927
普通にできる
プロトコル、ポート単位でもできる

普通に例としてもある
http://www.rtpro.yamaha.co.jp/RT/docs/qos/priority.html#config
LAN2側の送出速度を8Mbit/sとしSIP,RTP関連のパケットを優先させる

938 :
>>936
アスタリスクってSIPだけじゃないよね
IAX、H323、MGCPとかサポートしてるけど、どれを採用したのさ?
それがはっきりしないと、ここにいる口の悪い
無料のサポートスタッフ達も意見が言えないと思うよ

939 :
>>938
優先制御は、udpやソースやディスティネーションで行いたいと考えています。

>>937
例も載せていただき、ありがとうございます。

>speed lan2 10m 送出帯域を10Mbit/sに制限します

ただ、このように、やはり帯域を設定してあげないとだめなんですよね。
インターネットはベストエフォートなんで、予め帯域を固定するのにためらいがあります。
誤解があるかもしれませんが、これって、設定した帯域が上限にもなってしまいますか。
10Mbpsに設定したら、回線に余裕が生じていても、制限されるのなら、それもまた困るなあと。

940 :
>>939
優先制御だとなくてもOKだと思った
帯域制御だとどうだったかな?
なくても動作したような気がしたが。

941 :
>>940
帯域制御
http://jp.yamaha.com/products/network/solution/advanced/qos/bq/

ここを参考にすると、
クラスわけされたパケット種ごとに、上限帯域を設定するわけかあ。

優先制御と、帯域制御って、面白い関係になっているなあ。

ヤマハって、設定例ばかりなのかな。
わかりやすい概念は提供してくれないのかな。

942 :
Dynamic Traffic Control を勉強したいと思います!

943 :
>>941
自称わかりやすい概念がリファレンスに書いてあるよ

実際片手間にやってるような人には設定例がいっぱいあった方が助かるけどね。

944 :
torrent対策で使ったけど、検証でお仕置き部屋にちゃんと入って制限食らっててワラタ

945 :
>>944
>お仕置き部屋

?って?

946 :
DTC使うと一定帯域以上を使うと
めっちゃ帯域絞ったclassに移動させられる
それをお仕置き部屋という

947 :
>>946
Dynamic Traffic Controlのお仕置き部屋

面白そう!そうやって、名前をつけているんですね。
英語の技術サイトで、そんな名前を使ってそう。”お仕置き”だし。
尻たたき部屋と表現されているかもしれない。

ところで、Dynamic Traffic Controlって、ヤマハ独自の概念?
それとも、そのほかのルーターでも実装されているんだろうか。
Linuxのiptablesには聞いたことないなあ。

948 :
RTX1200です。
最近、暑いです。

筐体内温度(℃): 47

これって、大丈夫?

949 :
うちとこは 筐体内温度:40℃だな。冬場でも36〜38℃だったような。

カタログスペック上は、
> 周囲温度 0℃〜40℃
周囲だ40℃まであがったら、内部50℃超えるだろ。

筐体内が47℃ぐらい、どうってことないんじゃない?

950 :
いまどき液コン使ってないだろうし、さほど気にする必要ないと思う

951 :
>>950
マザーボードに、硬いソリッドコンデンサが使われていたけど、
めりめりと羽化したあとだったんだが。
固体コンデンサなら大丈夫というのも神話だろうか。

952 :
それは見た目は個体だけど
実は中身は液コンってやつじゃないの?

953 :
>>951
どの部品も高温で寿命が縮む傾向にあるのは確かだけど
液コンの場合、10℃あがるたびに寿命1/2、20℃アップで 1/4 だぜ?

それに比べたら他のOSコンの劣化なんて知れてる

954 :
さて、1200 届いたから、107e から置き換えるかな。

955 :
>>952
そんなフェイクってあるのか?
チュウゴク製?

956 :
>>953
液コンなんて、予め屋根に切れ込みいれているものね。
爆発防止でしょ?

957 :
LANのNICにも小さい液コンが乗っている。
でもこれに限れば、破裂したやつは見たことがないんだな。
あれって、生きているんだろうか。生きているふりをしているんだろうか。

958 :
>>955
普通にあるよ
まあ、切り込み入ってるしわかりやすいが

959 :
>>956
防止じゃなくて、爆発するときは、あそこが割れるようにため
いわゆる爆破弁 wwww

960 :
>>959
爆発防止の為の防爆弁なんだから、あってるだろw

爆破弁は、爆破で、弁を開けるもんだ。

961 :
爆発弁は原子炉に使う火薬入りの弁で根本的に違う
コンデンサーの切り込みは防発弁で液体が沸騰した時に内圧で
裂ける仕組み

962 :
>爆発弁は原子炉に使う火薬入りの弁

963 :
早めに割れて被害を小さくするためだね。

964 :
>>961
液コンって、沸騰の可能性があるの?
定格内でつかっていてもどうしてそうなるんだろう。

ちょびっとでも裂けたら、内圧がさがって、一気に気化して破裂が進みそうだな。
スプレー缶も、裂け目入れたら、爆発する?

965 :
>>958
そこは、最後の良心が残されているのか

966 :
>>964
板違いだけど コンデンサーの沸騰はよくある話
電気が流れると必ず熱は発生するから 各 素子の置き方で排熱が悪いと
液体である為に沸騰する
自作PCとかするとコンデンサーの妊娠てよくある(炸裂の前兆)
国内の素子は優秀だけど間違った使い方とか量産時に肉眼で
分からない傷があるとそこから裂ける場合もある
スプレー缶は分からない

967 :
>>966
ふーん、なるほど。

じゃあ、ソリッドコンデンサは、液体以前の固体状態ということなのだろうから、
よほどの熱が与えられなければ、沸騰しないってことかな。

968 :
>>967
セラミックコンデンサーとかは沸騰はしないが素子は
品質と温度ドリフトと寿命があるから一概に言えない
電気を流す 温度が上がると抵抗値は増え劣化が早くなる

969 :
>>967
そろそろ、スレチが気になってきたけど、
セラミック(固体コンデンサ?)で、よく電解コンデンサの代わりができるものだなあ。
あんな石ころで電荷ってそんなにためられるものなの?

970 :
http://internet.watch.impress.co.jp/docs/news/20150714_711526.html
スマートメーターと無線接続して電力使用量を取得できるUSBドングル、NTT東が5000円で販売開始

HGWって、多機能化しているよね。
たとえば、オンデマンドで必要なソフトウェアを網側からダウンロードしてきて、
v6プラス機能の末端動作が可能になっている。

今回の、このHGWに接続する専用ドングルはいったいHGWに対してどういう役割を担うんだろうね。
HGWにアプリを注入して、そのアプリからドングルの無線機能へアクセスさせるようなことだろうか。
そしてそのアプリは網側に対してなんらかのインターフェイスを提供するんだろうか。

ルーターも多機能化したよね。
そういえば、RTX1200もプログラマブルになったしなあ。ぜんぜん、使っていないけど。

要の機器だけに、ブラックボックス化することだけは精神衛生上よろしくないわ。

971 :
埋めがてら書くけど
OSコンは普通に大きいよ

↓こんな風
http://akizukidenshi.com/catalog/c/ccap11/

972 :
>>971
うん、1000μFで、1cm^3くらいかな。
マザーボードにもそのくらいの乗っているよね。
ふーん、アルミなどを含んだポリマーなのね。

973 :
流れぶった切りで書く

フレッツ光ネクストでIPv4 ocer IPv6 IPSecトンネルで繋いでいるのだが、4月か5月?くらいから
拠点間の速度が12〜15Mbpsしかでなくなった。

3月くらいまでは、センターRTX1210、拠点RTX1200, RTX1100で90Mbpsくらい余裕で出ていた
ので、NTTが何らかの対応したと思う。(フレッツVPNワイドやプライオ売れなくなるからか?!)

とあるBlogで検証してくれていて、IPSecトンネルだと速度でなくて、IP-IPトンネルでは90Mbps
速度出るようだ。(コメントできないので、この場を借りてお礼。→no Blog)

個人的にすっきりしたので、記念パピコ

974 :
NTTといえば、今日、15日に、フレッツネクスト(西)で、
なにか転送速度の急降下が生じていなかった??

975 :
障害情報にあがらない感じで、何もせずに復旧したから、ディードスを食らっていたのかなと思ったんですが、
DDoS攻撃って、rtx1200ではどういう感じで検出可能ですか。

簡単にログにアラート表示&メールで通知でもしてくれればいいんだけどなあ。

976 :
東日本もフレッツの少なくともOCNが、複数箇所ですげー遅くなった。

977 :
岐阜だけど7/13の夕方から
接続/切断が繰り返される拠点が出た
ネクスト+Plala+IPSec

これまでずっと無切断だったのに・・・

未明1時すぎからは
IPSec再接続の頻度が明らかに増した

今朝8時過ぎ以降はPPの再切断も頻発してる


なんか起きてるのか

978 :
ocnってしょっちゅう輻輳してるよね。
ocnの拠点は速度も安定しないし、よく切れてる。
順次別のところに入れ替えてる。

979 :
ocnはずっと人多すぎ
使い物にならんよ

980 :
こういう情報って、ほんと、共有したいな

うちはOCNではないが、フレッツネクスト(西)のPPPoEによる接続で、
いつもよりもかなりの遅延(PING測定値の上昇)が生じた。

OCNが駄目なら、別のISPも同じように駄目になる理由ってあるだろうか。
設備の共用、すなわち、ネクスト網で問題が生じたんだろうか。

ほんと、午前中は特に遅くて困ったわ。
VOIPなのでファックスの受信でも問題が生じたよ。
VOIPクライアントからSIPサーバへの再接続も何度も生じていた。

今まで大丈夫だったのに、なんでなんだろう。

981 :
http://hayabusa6.2ch.sc/test/read.cgi/network/1436976836/
ファックスは負の遺産【全廃まで継続】

982 :
>>980
地域によってはNTTの輻輳っていう場合もある。
故障担当に連絡して聞くと混雑状況とかISPとの接続状況なんかを教えてくれるよ。
たまに頑固なやつもいて、全く輻輳を認めないこともあるけど。

983 :
>>982
今日は、とても安定しています。
昨日は、PINGの値が全体的に高くなり、不揃いで、平均値からかなりずれるものが多数ありました。

このままいけばいいと思うけど、
結局、ISPの障害情報には載らないようだったしなあ。
こういうとき(IPv4 PPPoE)、NTTの設備が悪いのか、ISPの設備が悪いのか原因追求できないのでつらい。
もっとも、原因追求できたとしても、電話してもはなんやかんや言われてぐらかせるんだろうけど。

984 :
>>983
差し支えがなければISP入れ替えちゃうとか。

Smokepingでグラフ化するとわかりやすい。
入れ替える前と後を比較して変わってるかどうかですな。
ISPが原因なら穏やかになるだろうし、回線ならグラフの形が入れ替え前と同じように推移するはず。

多拠点ならついでに1200でLUA使って死活監視も入れとくと便利。

985 :
>>984
ISPを入れ替えて、違いを見れば、ISPが悪かったのかどうかわかりそうですね。
ISPによって違いがなければ、NTTのPPPoEの回線に問題ありってことになるのかな。
IPv4と、IPv6とでも網側設備に違いがあると思うから、ますます原因追及は難しいですね。

Smokepingというのを調べたいと思います。
二つのispの状態を観察できるようにしたいですね。

死活監視は、Rtx1200でgatewayのhideルート自動切換え(pingによる監視)をやっています。
ただこれも、回線の状態が悪くなったからといって自動切換えしてくれないので、
LUAで、pingの平均値とか偏差を分析する必要が出てくるのかな。今はちょっと考えられない。
パッケージとして用意されていたらいいのにね。まだ未来のことになるんだろうね。

986 :
>>983
必ずしも切り分けられるわけじゃないけど、tracerouteでどこまでの区間でRTT延びてるかを見る
1hop目までで遅延しているようなら、NTTフレッツ網、もしくはフレッツISP相互接続部分
2hop目以降ならISP、ないし対向

余談だけど監視はZabbixでやってる
ポーリング監視とSNMP trap併用でそれなりに粒度細かくなるし、
トラフィック量も自動的にグラフ生成されるから重宝してる

987 :
>>986
なるほどね。NTT回線に問題があれば、1HOP目ですでに、遅延は現れることになるのか。
ありがとうございます。今度、試してみます。
(RTX1200のフィルタで静的にicmpを通さないと駄目だな。ところで、いつになったら、動的フィルタで、icmpはサポートされるようになるんだろうか。何か理由でも?)

今回の場合、ゴールデンタイムにさっきも、100mSecを越えるPING値をたたき出していました。
平均すると、70mSecだったのではないか。(後で計ると、10mSecほどで安定になりました。)
これはちょっと、ひどいよね。

988 :
あるいは、インターネット側のマシンから、RTX1200拠点側に対して、
tracepathで調査すればいいな。
これで、どこで、遅延が大きいか調べたいと思います。
最近は、tracert系のコマンドは使おうと思うことがありませんでした。
IPsecのトンネルの内側に居て、その外側の世界には意識が本当に向かっていなかったからです。

989 :
今は、日本全国の都市部で、NTT網内において輻輳が生じているそうです。
これは、あきらめるしかないかもしれない。
どういうことなんだろうか、詳しい人教えてほしい。

990 :
>>989
料金高くすると文句言うユーザに対して増えるトラフィック賄うには設備増設が必要、お金は有限。って一般論じゃ足りない?

991 :
>>989
その地域の利用者が多すぎると起こるよね。人大杉ってこと。
NTTの設備自体の仕様でもあるから仕方ない。(回線1Gを、100以上の拠点で共有)
速度とか安定性を求めるならUSEN GATE02 NEXTとかNURO Biz.とか、アルティナなんかにするしかないかと。。。

992 :
メイン回線が切れたときusb mobileをかんがえている
無通信タイムアウトや上限設定って、定額なら無視してよいよね?

993 :
>>991
nttの光回線の一般タイプでなくて、上位のタイプにすれば、
解消されるかな?

994 :
今見たら、光ねくすとビジネスタイプも高いね
https://flets-w.com/next/ryoukin/business.html

これって、何が違ってくるんだろう。
同じ地域網を使うはずだけど、インターネットとの接続ポイントが特別扱いされるのかな?

995 :
>>991
最近は、ひかりファイバとスマホプランのセット割が急速に進んでいるから、
(大型家電でもよく販促している)
ひかりファイバを利用する人が増えたんだろうかな。

ところで、NTTフレッツ網で、
IPv6ネイティブを使うと動作が高速になるかなあ。PPPoEとは別扱いなら、早くなりそうだとは思うんだけど。
ただそうすると、RTX1200とOpenSWANが結べなくなる問題が発生してしまうよ。難しいね。

996 :
>>994
昔のBフレッツにあったような、局舎から拠点までを占有できるタイプだったきがする。

997 :
>>996
拠点って、インターネットプロバイダとの接続ポイント?
でも、接続ポイントがボトルネックになっていたら、結局、ネット接続は遅いよね。

998 :
>>996
拠点って、インターネットプロバイダとの接続ポイント?
でも、接続ポイントがボトルネックになっていたら、結局、ネット接続は遅いよね。

>>986の1ホップ目のところが接続ポイント

999 :
>>996
Bフレッツベーシックのメディコン使うやつか。
むしろ家庭と同じ料金体系で中小企業+数拠点のインフラが担えるってのがすごい時代になった感じだけどね

どうせフレッツなんだし、他のISPを契約して試すのが早いと思うよ。
と思ってIIJスレ見たけどどこも似たようなもんだな。フレッツ網自体がガンになってるとしか思えない。

1000 :
>>973
俺も同じ症状だから、IPIPトンネル作ったんだけど
show status tunnel
#インタフェースの種類: IP over IP
#トンネルインタフェースは接続されています

ってなるんだけど、すげぇ遅い

show ip route
#192.168.101.0/24 - TUNNEL[1] (down) k(1)
#192.168.101.0/24 - TUNNEL[2] static w(0)

なんだよ畜生。落ちてるじゃん
対向をネームでpingしても応答あるし

# ping6 gunmarshiten012.aoi.flets-east.jp
2409:82:5fff::3c20:55zzから受信, シーケンス番号=0 hlim=57 時間=3.751ミリ秒

何が間違ってるんだろう

1001 :
>>1000
キープアライブ オン?
要求時には自動的につながるの?

遅いのは、MTU値が間違っているとか?
トンネル内のPING速度は大丈夫?

1002 :
>>1001
tunnel1 がipip(NGN ipv4overipv6)
tunnel2 がipsec(インターネットipv4)

トンネル1が落ちたらバックアップ経路に切り替わる
んで、おちてるからtunnel2で繋がってる

ipv6アドレスを入れてみたらupしたけど、できたらネームで使いたいんだよなぁ
lauスクリプトで自動追尾するしか無いのかね?

tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 2409:82:5fff::3c20:55zz
ip tunnel tcp mss limit auto
tunnel enable 1

1003 :
>>1002
IPv6の/64より先頭が変更されても、ネームは自動修正されるんじゃなかったかな?
以前に、自分でも試したことがあるが、タイムラグはあったものの、見事に修正された記憶があるよ。
(IPv6プロバイダを申し込んだら、/64より前が変更になったと思う。)

1004 :
>>1003
うん。だからネームで使いたいんだけど
ipipだとネームで指定すると繋がらないんだよね
あんまりipipって使うこと無かったから、俺の知識が浅いのかと思って書き込んだんだ

1005 :
>>1004
なら、ネームを解決するためのDNSサーバの指定ができていないと思われる

1006 :
>>1005
前提として、ipsecでipv6は出来てたんだよね
むろんネームで
ipipだと、何か付け加えなきゃ駄目かしら

1007 :
>>1006
昔からあるバグ。ipipの時はendpoint nameで解決できない

1008 :
>>1007
バグだったんか、はやく修正してほしいよ。
たしか、nslookupのバグもIPv6であったよね。

1009 :
http://hayabusa6.2ch.sc/test/read.cgi/network/1437244766/

次スレ→Go!

1010 :
the END

1011 :
2ch.scからのレス数が1000に到達しました。

CCNA
みずほ銀行のネットワークシステムは
ハムのエゴを許すな
L3スイッチってどこがいいの?
【IP携帯】WiMAXって知ってる?【次世代通信】
SoftSwitchの現状って?
▲専用線統一スレッド▲
ネットワーク板のOFF会を開きたいんだが
Home PNAについて語ろう
キャプテン(笑)
--------------------
20,November 2019
【TREK】トレック ロード総合スレ Part112【ROAD】
豪雨犠牲者、7割超が60歳以上
黄金期再到来【メガドライブ開発】PART2
激甘A型さんに嫌われる奴はろくな奴じゃない
【趣味じゃない園芸】駒倉葛尾2【居間には今外国人がいます。】
アラフォー独身女性の魅力は異常
【マカロニ】鴨川つばめ【ほうれん荘】20th
【バーチャルYoutuber】にじさんじ有ンチスレ16008【ンボ】
のほダメtwitterスレ
創価学会は世界最悪のカルト
【危ない感傷】いとうまい子・伊藤麻衣子 Part4
【女優モデル】 本田翼Part35 【ばっさー】
【バーチャルYoutuber】にじさんじ有ンチスレ10147【子犬のファッカー襲撃応援スレ】
邪馬台国纏向説が破綻した理由part4
大阪人の 陰湿さは異常だよな
【花術師/花神遊戯伝】糸森環 その2
『テキサスチェーンソー』
数十匹の飼い犬に狂犬病予防接種をさせなかった無職戸越英美逮捕 宮崎県都城市高崎町大牟田
抽選遠隔操作は本当に蔓延しているのか? Part8
TOP カテ一覧 スレ一覧 100〜終まで 2ch元 削除依頼