YAMAHA業務向けルーター運用構築スレッドPart16
ここはYAMAHAルーターで小規模〜大規模のネットワークを
構築、運用する人のための情報交換スレッドです。
ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルーターの
設定方法、YAMAHAルーターの使い方などハードウェア寄りの話題は関連スレへ
【公式サイト】
RTXシリーズルーター
http://jp.yamaha.com/products/network/routers/
RTpro - ヤマハネットワーク周辺機器 技術情報ページ
http://www.rtpro.yamaha.co.jp/
ヤマハネットワーク機器
http://jp.yamaha.com/products/network/
【関連スレ】
YAMAHAヤマハブロードバンドルーターpp select 20
http://peace.2ch.sc/test/read.cgi/hard/1418612262/
【過去スレ・前スレ】
YAMAHA業務向けルーター運用構築スレッドPart15
http://hayabusa6.2ch.sc/test/read.cgi/network/1417444171/
【こちらもよろしく(^_^)/】
IPの敵!ファックスを廃止に追い込むネガティブキャンペーン(ファックスは負の遺産【全廃まで継続】)
http://hayabusa6.2ch.sc/test/read.cgi/network/1436976836/
>997 :anonymous@KD182251243033.au-net.ne.jp :2015/07/19(日) 02:59:41.25 ID:???
>>>996
>昔からあるバグ。ipipの時はendpoint nameで解決できない
これバグなのか。少し悩んだことがあった。つか、決め打ちしても満足に速度出ないからやめちゃった
一瞬繋がるんだけど、すぐに切れちゃって
その後は繋がらなくなるんだよねぇ
show status tunnnel では繋がってるように見えるんだけど
仕方ないからスクリプト使うか・・・
苦手なんだよなぁ
いちおつ
と言いたいことだけど、なんか余計なスレ混ぜてるのはどういうことだ?
個人的なイデオロギーを主張するのは、せめてスレ内での発言にして欲しいんだけど
ここは業務スレッドだぞ
IPネットワークを扱っている者として、「VOIPでファックスが通りにくい」という問題は、死活問題だぜ
旧来どおりの考えからファックスの是非を捉えてちゃいかん
利用者はそんなこと考えないだろうから、ファックスが通らないことで責めてきて、
ファックス問題がいずれ技術者を脅かすことにもなるよ
これは、ヤマハ業務ルーターだけでなく重要な問題だと思う(切られたら、もう業務ルーター触れないんだからな)
賛同も理解も出来ない
消えてくれ
たぶん、そう思うのは少数派(気分を害した理由でそんな発言は控えてくれ)
大多数のネットワーク管理者は、そうは思っていない
建てた糞スレが延びないからと、関係ないとこで宣伝してるんじゃありませんよってお話です
電話屋風情が技術者を脅かすとか沸いてんの?
だからV.34切れって
FAXの問題は、そのスレでやれよ
スレ建するときに、主張するなよ
頭おかしいのか?
>電話屋風情が技術者を脅かす
同じじゃないの?
大事な話だもんな!
FAXはFAX。YAMAHAはYAMAHAという人はこっち↓に行くべきだな
YAMAHA業務向けルーター運用構築スレッドPart16(c)2ch.sc
http://hayabusa6.2ch.sc/test/read.cgi/network/1437273466/
>>12は、頭がおかしい
テンプレ汚染されていない以下のスレッドに誘導<↓>
YAMAHA業務向けルーター運用構築スレッドPart16©2ch.sc
http://hayabusa6.2ch.sc/test/read.cgi/network/1437273466/
ルーティングテーブル書きミスった時を思い出した
本当にそうなのか、もう一度再接続処理をしてみたいものの、
レアなPOIを引き当てられなくなるのが怖い。
自分で書いておきながら、そういうレアなPOIってあるんだろうか。
より細かい地域名を含んでいるんだけど。
ipipでネームを使った場合に一瞬だけはつながるの?
だったら名前解決はできていることになるよね。
名前解決できないのは本当にバグなんだろうか??
そもそも名前解決できないなら、
dns server select 1 コマンドで、解決用DNSサーバを指定してもだめかな?
レアだというのなら、単純に
ヒットする確率を計算してみればいい。
話はそれからだ。
RTX1200はいずれは廃番になってしまうんだろうとも思ったので、最後の1台におさえた。
でもこう暑いと、金属筐体の12010は魅力的だな。
>ルーティングはRTX1200の倍となる1Gbps、
>VPNに至っては200Mbpsからなんと最大1.5Gbpsというジャンプアップ
>ポートを消費しない独自のIPマスカレードで実現したNATセッション数の拡大
これってポートの予約時間を短縮させたってことだろうか。
まあ、そこまで使い切れないといえども、
6年前の機種をわざわざ選んでなんか、選択ミスった感がつらい・・
そのうち、カスタマイズ用のパッケージが使えるようになったりして!
smtpサーバ用のパッケージをインストールするだけで、なんと、RTXが簡易メールサーバに!
そうなったらうれしい。
いや、ありうるかもよ。
実際、Linuxなんかはそういう風に構成されるから、
ルーターも通信に特化した形で、似たような方向へいくのかもしれない。
RTX1210は、1GHzのPowerPCらしい、(1200は、300MHzだって)
そういう拡張機能の動作も考慮しているのかもしれないな。
1200は、まず、HTTPによるログの読み出しが遅いように思う。もっとちゃーと出てほしい。
そういうプログラムって、誰がつくるの?
LINUXの場合は、世界中の人が作り上げているんでしょ
日本の中のさらにヤマハルーターを使っている人ってどれだけなんだ?
でも、luaスクリプトでGOOGLEと連携して認証を行うプログラムを作っているひとがいたなあ
ヤマハに紹介されていたけど
たしか、ヤマハ側でプログラムをさらに修正されて、提供されていた
smtpサーバなんてのは数万円の小型PCにでもさせればいい気がする
RTXが進化するならRTXセンターとか作ってそこ経由でボタン一発でお互いVPN張れたり
ソフトイーサーみたいにVPNも同じ拠点どうしで複数セッション同時に貼って効率よくしたり
RTXセンターが拠点監視して通報なりグラフィカルな通信データ解析とかしてほしいわ
ようはルーターは複雑な事しないでクラウドセンターが集中管理などいろんな事するようにするようにとか
レスありがとうございます。
今はせっかくPINGの数値が良好(5mSec)なんで、ちょっと切断したくありませんが、
いつかは比較検証する必要があると思うので、時間帯ごとに数分おきに接続を試したいと思います。
平日、休日にわけて調べる必要もあるかな。
同じプロバイダの異なるPOIによっては、キャパは違ってくるのかな。
それが、そこにヒットする確率に比例するような。
たしかに、今はRapberry piなんていうUSB駆動の小型マシンもあるからなあ。わざわざ、ルーターに入れなくてもいいものかもしれない。
でもまあ、smtpサーバくらいはログ転送なんかでほしいとかおもっちゃうけど。(実際、LUAでsmtp機能って実装できるんだろうか。)
RTXセンター(yamahaの運用かな)、VPNマルチセッション(冗長性)、ログの提供、キーワードが出てきたね。
現に、HGWはセンターからプログラムをダウンロードしてまさにv6プラス機能の拡張をしているからなあ。
机上旅行みたいになるけど、想像するのは楽しいな。
今まで、便利に使えることがあればいいと傍観気味だったけど、プログラミングの食指が動いたわ。
参考:
初心者向け、LUAチュートリアル
http://www.rtpro.yamaha.co.jp/RT/docs/lua/tutorial/index.html
(ここみるだけで、わくわくし始める)
Lua スクリプト機能
http://www.rtpro.yamaha.co.jp/RT/docs/lua/
Lua 向けヤマハルーター専用 API
http://www.rtpro.yamaha.co.jp/RT/docs/lua/rt_api.html
↑
↑
ほら、ここにメール関係の材料が用意されている。
http://www.rtpro.yamaha.co.jp/RT/docs/lua/rt_api.html#rt_mail
ソケット通信ライブラリもある!
http://www.rtpro.yamaha.co.jp/RT/docs/lua/rt_api.html#rt_socket_lib
すごい。これは、本当に、ちょっとしたらプログラミングの総合環境になるね。
とてもよい教材の可能性も秘めていると思った。
紙と鉛筆が目の前にあれば、描きたくなってくる
そういうものが用意されたということだ
これは、ヤマハは金棒を手に入れたということだな
シスコに対抗して、そろそろ世界進出ということだろうか
世界でシェアが高まって、ユーザーが増えてくると、LUAでたくさんの面白い絵を見られるようになるかもよ
そうなれば、さらにその絵を見ようとしてユーザーが増えてきて、ヤマハは笑いが止まらなくなる
ユーザーも(たのしくて)笑いが止まらなくなる
きっと世界のヤマハへの戦略だなこれは
これは複合機側の独自規格の問題だと思う
何をしたいかというと、LibreSWANとか、OpenSWAN系のソフトウェアIPsecトンネルとの連携なのさ。
まあでも、そういうのはファーム側で実装しておいてほしいものなんだけどさ。
最近は、本当にクラウドやVPSの利用が多くなったからね。
ヤマハさん < もうローカル環境がインターネット側にも侵食してしまったんですよ
ヤマハさん < もうローカル環境がインターネット側にも出張しているんですよ
そりゃもう、ヤマハルーターがインターネット側でも選択できりゃいいんだけどね。
YMS-VPNっていうソフトウェアはOpenSWANの代わりにならんのか
ひかり電話の音がでかすぎてモデムが聞き取れない感じなんだよな。
TAで相性がでたときみたいな感じ
ファームUPしようと思ったら バイナリチェックサムが違いますと蹴られました
このあたり明るい人いませんか
パス知らないけど一般品にはしたよ
32は無理だった
810はダメなの?
割安だから?
某スイッチジャンクだっていうのに、manager friendで入れないってクレーム入れてくる人もいるし
MBってw,lXlmaも通らなかった気がするけど
RTX1210とRTX1200を買ってIPsecを使用した拠点間接続をしようとしているのですが、うまく認識しません。
http://jp.yamaha.com/products/network/solution/vpn/connect/two_point_rtx1200/
見て必要なコマンドは入力したつもりです。
RTX1210(フレッツ回線)、RTX1200(ケーブルテレビ回線)のダッシュボードでは接続状態がOKになっています。
リモートアクセスの方はうまく共有フォルダが見えます。
何か他に必要な設定があるのでしょうか?
接続OKになっているのならトンネルはActiveと思う。
とすると、フィルター絡みかルーティング絡み。
ip route 〜 のくだりの設定が間違ってないか確認やな。
show status tunnel XX(トンネル番号)
あとsyslog notis onしてログみるべし
両方のログがみれるならどっちも見て、それで大体わかる。
誘導よろしく
情けないことに頂いた情報を元に調べても全然分からなくて結局YAMAHAのサポートに伺いました。
結局問題はRTX1200の方で、LAN1のIPフィルターの設定を全て消すことによって解決しました。
RTX1200は自動的にIPフィルターの設定が入るそうで・・・
ありがとうございました。
GUIで設定すると自動ではいるけど、CLIだと自動では入らないで。
確認必須やで。
最初にGUIで設定してたもので・・・
すいません。
(´・ω・`)なるほど、それならしゃーない。
ただ、CLI使いこなさないと持て余すからめんどーでも勉強するとよいよ。
ここではないぞ
技術的な話題はこちらでどうぞ。
糞スレにふさわしい内容でどうぞ。
なんでもどうぞ。
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::://ヽ:::::::::::::::|
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::// ヽ::::::::::::::l
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::/:::「'ヽ:::::::::::// ヽ:::::::::::|
|::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ノl:::ノ l:::::::/ ヽ::::::::|
ノ:::::::::::::::::::::::::::::::::::::::::::::::::::::/ ゙゙ ノ:::/ ,,;;;;;;,, ,,,,ヽ:::::l
):::::::::::::::::::::::::::::::::::::::::::::::/ ノ/ __,'''i: ('''__):::l
)::::::::::::::::::::::::::::::::::::::::::::::::::/  ̄ ̄ン:. :「 ̄`ヾ
1:::::::::::::::::::::::「 `┤l:::::::::::::::::l  ̄ , ヽ ̄ l
`l:::::::::::::::::::::ヽ :l li:::::::::::::/ /´ `l | <ヴッ!!!
ヽ::::::::::::::::::::::\_」 lヽ::::/ !:-●,__ ノ /
ノ:::::::::::::::::::::::::::ノ | l `゙゙ ,,;;;;;;;;;;;;;;;;;;;;, /ヽ
,/ ヽ::::::::::::::::::::::( l l::::::::.. /.:''/´ ̄_ソ / `ヽ
ヽ:::::::::::::::ヽ | l:::::::::::... /::// ̄ ̄_ソ / \
ヽ:::::::\| l::::::::::::::::... / :::.ゝ` ̄ ̄/ / ヽ
ヽ:::l l:::::::::::::::::::..  ̄ ̄;;'' / ヽ
l l;;;;;;:::::::::::::::.....;;;;............;;;;;;''ノ l
l l '''''''''''''''''''''''''''''''''''''' ̄l | |
http://y2u.be/z2qK2lhk9O0
ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボ〜、ボア〜ル
https://www.facebook.com/tour.mori
製品を普及させておいて、浸透した時点で、そこに高品質、高付加価値のものを投入するらしい。
優良企業にだけできる戦略だという。
YAMAHAルーターも例外ではないと思ったな。
>優良企業にだけできる戦略だという。
YAMAHAが優良企業って自分で言ってたの?それともあんたの意見?
>優良企業にだけできる戦略だという。
という文章のどこに「らしい」が含まれているのか
「優良企業にだけできる戦略だという。」
は、YAMAHAがそう言っていたことを他者に伝える場合でも使える文章なんだが
てかなんで日本語の話しなきゃなんねーんだよ
設定例通りにやっても全くだめだわ。
何がうまくいかないのかわからんが
何か勘違いをしているのでは?
ルータハングアップ体験もできるtorrentで試すとわかりやすいかも
QOSの方法
http://jp.yamaha.com/products/network/solution/advanced/qos/point/
ダイナミックコントロール
http://jp.yamaha.com/products/network/solution/advanced/qos/dtc/
ダイナミックコントロールがおすすめらしい。
>お仕置き部屋
おもろ
前にも見たような
デジャブというのだよ
おそろしい。
23番はないわ。
ひょっとして、SSH接続を内側のホストに静的に透過させているの?
マスカレードの場合、変換テーブルに載っていないパケット(外→内)って、
フィルタ無関係に破棄されるんだったけ?
どういう意味
>23番はよーく入ってくる。
REJECTフィルタで捕捉されるには、TELNETパケットが外部から
内側プライベートアドレスに変換されないとだめだよね。
(natが噛んでいる場合)
どうして、TELNETなんてもので外部からアクセスできるようにしているのか知りたい。
危ないでしょ!?
でも、>>82さんは、「よーく入っている」と言っているから、
Rejectフィルタを通過している(←NATを通過させている)んだと思うけど。
スキャンする側にとってポートが一つ増えようがあまり影響ないし
よい子は>>12,15などを参考にするといいんじゃないか
ポートスキャンされても、各ポートが内部へ静的マスカレードされていなけりゃ、
rejectフィルタにはひっかからないよ。
NAT環境じゃなくてもフィルターは有効だし
natがあったら、フィルタよりも先に処理されるんだよ
最後に見たのは、rtx1500だったなあ
2020年にINS廃止になるのに
NATでもNAPTでも、変換テーブルに外側アドレスと内側アドレスの対応がない場合、
(静的フィルタがなければ)そのまま透過しちゃうでしょ?
脇をすり抜けていくイメージだと解釈しているよ。
それ311以降ちょっと凍結してる
BRIポート使ったバックアップよりもドコモとかauカード経由かもう一本フレッツ引くような案件しか最近はないなぁ
>ドコモとかauカード経由
固定ipじゃなくても大丈夫なの
それとも、ISDNみたいに、低レベルレイヤーで電話番号を使って通信するのかな?
確かにNATの方が先に処理されるけど
フィルター通らないわけじゃないでしょ?
ルーターのローカルアドレスが192.168.1.1だとして
フィルターが192.168.1.1宛てをリジェクトするフィルターだとNATで処理されないとログに残らないだろうけど
フィルターがグローバルアドレスや*宛てをジェクトしてるならフィルターにはひっかかるんじゃないの?
PPインターフェイス(+ NAT)を経て、ルーターローカルに入ってくるイメージでよい?
>フィルターがグローバルアドレスや*宛てをジェクトしてるならフィルターにはひっかかる
そう思う。
その場合は、NATが居座っていても、NATを経由しないことになるよね。(変換テーブルがないもの)
あと、動的フィルタ(PPインタフェースの内側→外側方向)がどうなっているかも考慮する必要があるよね。
動的フィルタって、逆向きの該当しないパケットをREJECTしたら通知あるんだったっけ?
あまり意識したことがないな。あ、LOGをオフにしているからか。
>nat descriptor masquerade incomingコマンドは、
>内向きのパケットを変換できないときの動作を定義するもので、セキュリティの観点で注意が必要なコマンドです。
reject ... パケットを破棄します。ただしTCPについてはResetを返します。
discard ... パケットを破棄します。
through ... パケットを変換せずに通過させます。
forward ... パケットを特定の端末に転送します。
どれがデフォなのか。
そのパラメーターが必要だからデフォは無いだろう
フィルターの書き方でフィルタにひっかかるって事だよね?
nat descriptor masquerade incomingのデフォルトrejectで普通は落ちる
で見る筐体内温度が1200は40℃前後で1210は50℃前後でやや高め。
こんなもんですかねぇ?
ファンが無いだけにちょっと心配になってきた。
大体、気温と同じくらいになりますよ
1200と1210の差がちょっと気になって。CPU違うせいかな・・・
エアコン修理しないと。
モペラみたいなとこにPPPでインターネット接続
ISDNのときとちがってバックアップ回線に切り替わったことを客が気づかないのが難点
IPマスカレードをインタフェースに設定したらデフォですよ
テーブルに対応するNATなりNAPTがない場合は厳密にはすり抜けるというより、動的処理される。
ただ、動的処理される場合の条件は、内側からの通信に対する応答である必要がある。
(動的ってことは内側のノードからの要求で都度テーブルに条件を入れたり時間がたったら消したりしてる。バインドされるとかバインドが消えるって言ったりもする)
静的NAT>動的NAT>静的マスカレード>動的マスカレード(マスカレード≒NAPT)の順で処理された気がする。
で、外側からの通信でテーブルに合致しないやつはNATの段階でRejectされるっていうルールだった気がするんだ。( nat descriptor masquerade incomingの初期値はReject、従って何もしなければRejectされる)
ルーター内での処理は、NATされてからフィルターだったきがする。
いんかみんぐで設定つけると、設定の通りにやるみたいだけど、Reject以外やったこと無いなぁ。。。
するーさせても結局Rejectフィルターで殺される。
ヤマハの営業にこの辺聞くと、基本的にNATでRejectしたほうがCPUパワー使わないからオヌヌメとかなんとか。
フィルターはそこそこ頭使うらしい。
>PPPでインターネット接続
ということは、電話をかけるわけだね。
すると、IIJみたいなデータ通信専用のSIMでは無理ですかぁ
>ISDNのとき
ISDNのとき、何か気づかせる反応っておきましたっけ?
ピポッ!って音するとか?
デフォではないけど、ヤマハの仕様上、入れてないコマンドは初期値で扱われる。
もちろん、すべてのコマンドではないね
動作を定義するために必須のコマンドについて、指定されていないコマンドとパラメーターが、
デフォとして与えられるということやね
せやせや
>テーブルに対応するNATなりNAPTがない場合は
おもしろい表し方だ。
処理方法からデータを分離するという考え方のように思った。
性能あがったから熱はでるみたいだけど、メタル筐体だから放熱性能は高くなった模様
小さい送風機で風をあてるだけで10℃ぐらい下がるよ
再起動しても同じ。
RTX1200の方が発熱量はかなり少ないんだろうな。
\ \ \∨(. ||
\ l\ (. |.ハ,,ハ お断りします
) |_\⌒ ( ゚ω゚ )
⌒) \ \ 〉 _二二二つ
⌒ \ \ /
\_ノ
\\
\\
レ
AESとか使ってないよね?
今は、現役をRTX1200に譲っているので、トンネル関係は全く扱っていない。
サブネット間のための純粋ルーターとして動作しています。
とっぱらって、RTX1200の空きポートに統合しようと計画しています。
RTX1100って、AESの処理って、cpu処理だったっけか
たしかソフトウェア処理だったきがする。
r' ィ=ゝー-、-、、r=‐ヮォ.〈 /
! :l ,リ|} |. } / .や
. {. | ′ | } l
レ-、{∠ニ'==ァ 、==ニゞ< | ら
!∩|.}. '"旬゙` ./''旬 ` f^| |
l(( ゙′` ̄'" f::` ̄ |l.| | な
. ヽ.ヽ {:. lリ |
. }.iーi ^ r' ,' ノ い
!| ヽ. ー===- / ⌒ヽ
. /} \ ー‐ ,イ l か
__/ ‖ . ヽ、_!__/:::|\ ヽ
rtx1200に交換してよかった。どおりで発熱が少なくなったと思った。
*********★【"週末カレシ"の裏話】★**********
******************************************
■超美豚マニア『猪豚』のサイト登場!!
■菊穴のモザイクを剥ぎ取った!!
■知られざる『豚王子さま』の現状を暴露する!
■知る覚悟はできていますか?
下記を『Google』か『Yahoo』で検索して下さい。
↓↓↓検索キーワード↓↓↓
------------------------------
『猪豚 かれし』 ←漢字変換
------------------------------
『豚王子 カレシ』 ←漢字変換
------------------------------
『ハッテン場 カレシ』
------------------------------
※検索結果の『1ページ目』か『2ページ目』に
++++++++++++++++++++++++++++++++++++++++++++++
【激裏】繁殖真っ盛りの豚カレシ・・・・・・・【酷使】
++++++++++++++++++++++++++++++++++++++++++++++
↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑が表示されますん。
▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲ 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
やっぱりこれからもないままか。
GUIへのアクセスを制限する場合、とても便利なんだけどな。
今だと、LAN向けの全インターフェイスでFILTERが必要になるので、面倒くさい。(あっそう。というレスを期待)
,. ..::=::... 、 > 知るかバカ!
/....::::::::::::〃 \ >
/ ⌒):::::::::::| ! : ヽ > そんなことより
, .:.....:::::::::::::::| :. ::. i >
l ::::::::::::::::::::::| :: j::::: | > オナニーだ!
」 :::::; -‐ミ::::ノノ∠... L、 >
/ヘ ⌒<こ>:::. .:: <こ>, うハ / ∧∧∧∧∧∧∧∧∧
{::〈 .::::r‐' 7.:: :::. _):::. 〉.:}
ヽ::. 、::::::::::::〈_.:::; ヽ::::::: .::ノ
ゝ!::.ヽ::::::::/_J_ }::; /`ヽ- 、
/ ∧:::::.::::::::''ニニヽ } ∧ >‐- .
_/ ///ヽ :.::::::::(⌒_ノ イ ∧ 丶、
,. ´ ////O 丶、::::::: .イ O/∧_____ ´  ̄ `ヽ
-‐'"´  ̄ __ /////////ヽ  ̄ ////////三三三三≧x ___
httpd host 10.0.0.1-10.0.0.31 172.16.0.1-172.16.0.15 192.9.200.1-192.9.200.15
じゃだめ?
わー!ありがとうございます。
代わりに、それを使います!
YAMAHA業務向けルーター運用構築スレッドPart16 @2ch.sc
http://hayabusa6.2ch.sc/test/read.cgi/network/1437273466/
>面倒くさい。(あっそう
察した
>ヤマハの営業にこの辺聞くと、基本的にNATでRejectしたほうがCPUパワー使わないからオヌヌメとかなんとか。
>フィルターはそこそこ頭使うらしい。
nat descriptor masquerade incomingを、Reject(初期値)にしておいて、
FILTER(静的、とくに動的なやつ)を動作させないようにすると良いのかもしれないね。
すると、ふつうのIPv4のネット接続の場合は、NAPTが掛けられているだろうから、良いと思うけど、(あと、タイマーを短くしてテーブルを消してしまおう)
しかし、IPv6の場合だと、NATなしで、動的フィルタで防御するだろうから、
CPUパワー食うことになるよな。
NATを使わないようになっていくということは、ちょっともったいないね。
椿本グループみたい
linuxのiptableあたりでよく出てくるよね。
LINUX(CENTOS 6以前とか)を使っている人だと良く知られたワードだよ。
LINUXもヤマハルーターのようにルーターとして動作するんだけど、フィルタをかける場所が、
インターフェイスではなくて、INPUT、OUTPUT、FORWARDなど少々抽象化されたものになっているんだ。
そのうちのINPUTは、LINUX自身へのパケットの流入をコントロールするポイントになっている。
ヤマハルーターのパケットの流れに重ねて言えば、ヤマハルーターのGUIへのアクセス経路の途中に成立するはずだよ。
なんか、厳密には違ってましたっけ
それ以来触ってない
ヤマハでもRDRが使えたらと何度思ったことか
20年認識が止まってるて色々大丈夫?使えないおじさんほど哀しいもの無いよ
シスコ派
RDRとは、ネットワークトラフィック分析&レポート機能ってことであってますか。
linuxにも似たような機能が、iptablesコマンドで設定できたよね。
その機能を使ってバルーンが膨らんで割れるとブロックするとかもできたと思う。
ヤマハルーターには、そういうトラフィックをくどくど読んでbanするような機能ってないよなあ。
RTも使いやすいしそれで大丈夫だからね
Linuxしかつかったことないんですが、
BSDというと、UNIXですよね。むつかしい印象です。
安定性が高いから仕事で使っているとかなんですか?
使ってやろうという気になったことないです。
SRT100とかFXWのフィルタルールが独特すぎて何度か客先通ったっけ
ここ、参考にしました。
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q1072334910
FXWってなんでしたっけ?
インターフェイスに掛ける点ですか?
ネットワーク系の処理も信頼が置かれているのかなと思った。
組み込みにもBSDが使われているんだと知った。知らなかったな。じゃあ、ヤマハのも?
正直なにがなんだかわからん。
設定例とか見てもなぜかGUIが多いからGUI推奨なアトモスフィアめいてる。
ただ、よくよく読み解くとなるほどなと思う。
RTXと処理が違うんだっけ。
. 〃 ヽル1'´ ∠:::::::::::::::::i
i′ ___, - ,. = -一  ̄l:::::::::::::::l
. ! , -==、´r' l::::::/,ニ.ヽ
l _,, -‐''二ゝ l::::l f゙ヽ |、 ここはお前の日記帳じゃねえんだ
レー-- 、ヽヾニ-ァ,ニ;=、_ !:::l ) } ト
ヾ¨'7"ry、` ー゙='ニ,,,` }::ヽ(ノ チラシの裏にでも書いてろ
:ーゝヽ、 !´ " ̄ 'l,;;;;,,,.、 ,i:::::::ミ
::::::::::::::::ヽ.-‐ ト、 r'_{ __)`ニゝ、 ,,iリ::::::::ミ
::::::::::::::::::::Vi/l:::V'´;ッ`ニ´ー-ッ-,、:::::`"::::::::::::::;゙ , な!
:::::::::::::::::::::::::N. ゙、::::ヾ,.`二ニ´∠,,.i::::::::::::::::::::///
:::::::::::::::::::::::::::::l ヽ;:::::::::::::::::::::::::::::::::::::::::::/ /
::::::::::::::::::::::::::::::! :|.\;::::::::::::::::::::::::::::::/ /
コンフィグ見ようとするとフリーズするのは、さすがに壊れてしまっているんでは?
GUI以外の方法で、TELNETでアクセスして、show config とかしたの?
× fxw
○ fwx
一文字間違った状態でぐぐっても全く出てこないから、びっくりした。あんまり知名度高くないようだな。
yamahaはわからんけどJuniperなんかはFreeBSD使ってるね
いやいやそういう意味じゃないと思う
>secure filter in 1 2 [1024 [1025 1026 [11 12]] 1027] 3 4
みたいなのが溢れてて一見すると固まるぜ
GUIの方には番号一切出てこないし遮断してんだか疎通してんだかわかんねーし
ここ購買担当者多そうだからPRしておくね
RTX810はVPNトンネル最大6だけどFWX120はVPNトンネル最大30
このトラップで失敗してRTX1200を泣く泣く手配した人もいるはずだけど、実はFWX120で足りるんだわ
という事実は意外と知られていない
そういう意味じゃない(´・ω・`)
正直最初は理解が追いつかない。
>>169
そうなんだよね。。。
RTXのつもりで触るとひどい目に遭う。
あ、そういうことかw
>FWX120は実はルーターとしてもかなり使える奴
http://jp.yamaha.com/products/network/firewalls/fwx120/
統計機能に惹かれた。いったいどういう使われ方をしているのか、わかりやすく表示されるのはいいな。
あと、それと、
「監視機能」も面白そう。
(運用中に攻撃者による侵入行為や攻撃行為をモニタリングします。)
いままでは、ログのrejectフィルタで、ひっかかってくるやつをピックアップしてみるくらいだけど、
わかりやすくみられるのなら試したいと思った。
ただ、GUIで設定する必要があるなら、設定し忘れがありそうで怖いな。
RTX1100なんかのコンフィグファイルベースの設定だと、慣れているからなあ。
GUIで設定したら、GUIが対応できる範囲の設定パターンにする必要がある場合、
ずっとGUIで設定し続けないといけないことになるのなら躊躇するなあ。
SRT100って、RTXとコンフィグの書き方が違ってそうだけど、
(たぶん、ファイアウォール部分 secure filter だけだと思うけど)
FWX120も、同じ記述を継承している?
secure filterと、ip filterって、どう違うんだろ。
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
http://premium.2ch.sc/
調べたけど、俺が勘違いしてた。
質問(secure filterと、ip filterって、どう違うんだろ。 )を取り下げます!
でも、FWXは、面白そうだな。
透過型ファイアウォールを使えば、拠点のパケットをセンターに集めてきて、
そこでまとめて制御することもできそうなのかなと思った。
ただ、センター側ルーター自身で、拠点とのトンネルと、インターネットへのPPPoEとをつなぐから、
いくら透過型とは言っても、FWXを挟みようがないんだな。
わりい。おれもいま手元にSRT100のCONFIGないからなんとなくで書いてるだけなんだ。
実際のを貼り付けたかったんだが、マジでこんなのが出てくるから混乱するよ
10 [1 2 [3 4] 5] 11
のネストの意味が見えてくるまで少し時間がかかる
RTXはsecure filterで静的フィルターメインな印象
ただ、RTXからの乗り換えはちょっとつらいと思うし、ファイアウォールとして使わないとすると総合的な性能は微妙。
そんなわけで、FWXにあったダッシュボード機能を継承しつつ既存ルーターの置き換えに最適なRTX1210をお勧めしたい。
静的フィルターもあるでそ>FWX120
業務用は全面が普通だろうけど、このクラスまではポートは背面にあって欲しかった
○前面
前面だとなぜ不便になりますか?
ネットギアのハブも前面だったので、バッファロのハブからの変更では、LAN配線が手間取ったけどな。
前面にあったほうが、収納棚に入れた時に、配線とステータスLEDが両方見えて、便利だと思うんだが。
RTX1210って、十分業務用じゃんか
少なくとも、プロバイダ用ではないと思うけど。
霞が関ビルの接続くらい、かろうじて一台で賄えるんじゃないか。
その辺は企画時にどっちに重点置くかって問題だしな。
そっちの要望が大きかったんじゃないの。
RTX系(RTX1000〜)をずっと使って来たという人なら、
FWXは傍流のように感じるんだろうな。
RTX1210の次くらいで、FWXとの統合が果たされてほしいね?
透過型ファイアーウォールのFWXと、ルーター機能のRTXとでは、
思想が異なるので、統合は無理っぽいと思った。
木に竹はつげないね。
ポリシー型フィルターも、純粋なルーター機能への妨げになるかもしれないからなあ。
それを考えたら、LINUXは、自身でサーバーも動作させないといけないので、
INPUTチェインなんかも必要になってくるわけだね。純粋なルーターとは違うわけだ。
たしかに、たんに机の上に置くだけだったら、
前面にあるととってもジャマになる
問題なく認証、通信できていました。
ところがトンネルを経て通信最中に、ベースのwifiも、VPNも切断しないで、Windowsをシャットダウンしたら、
以後、Windowsを再起動しても、同様の手順でVPNをつなごうとしても、応答されなくなってしまいました。
同様の経験あるかたいらっしゃいますか。
たぶん、RTX1200が、IPsec処理で戸惑っているのではないかと思うんですが。
この不具合って、確か解消されたはずだと思っていたんですが。
ipsec auto refresh on
は書いてある?
レスありがとうございます。
PPにバインドしているトンネル設定には、
ipsec auto refresh onがありました。
なんかの拍子でリフレッシュされない状態になったんでしょうか。
追伸:別のトンネル定義なんですが、ipsec auto refresh onが抜けているものがあるのを発見!
いつもルーターの再起動のたびに、拠点と接続できなくなっていました。
でも、今回の問題には見当たりませんでした。
最初、問題なく接続できた。
11:27:05: [IKE] respond ISAKMP phase to
11:27:07: [IKE] respond IPsec phase to
11:27:07: IP Tunnel[] Up
11:27:07: [L2TP] TUNNEL[] connected from
11:27:07: [L2TP] TUNNEL[] tunnel 42**7 established
11:27:07: [L2TP] TUNNEL[] session 3*8*8 established
11:27:10: PP[ANONYMOUS] Call detected from user
11:27:10: PP[ANONYMOUS] PPP/IPV6CP up
11:27:11: PP[ANONYMOUS] PPP/IPCP up (Local:, Remote:)
★このトンネルとは関係ない別のトンネルの複数の再構築作業の割り込みがあったようだ(これが怪しい)
11:58:05: [IKE] respond ISAKMP phase to
12:01:32: [IKE] respond ISAKMP phase to
12:01:37: [IKE] respond ISAKMP phase to
12:01:56: [IKE] respond IPsec phase to
12:03:17: [IKE] respond ISAKMP phase to
12:03:28: [IKE] respond IPsec phase to
12:04:04: [IKE] respond IPsec phase to
12:04:16: [IKE] respond ISAKMP phase to
12:04:50: [IKE] respond ISAKMP phase to
12:05:49: [IKE] respond IPsec phase to
12:05:50: [IKE] respond IPsec phase to
12:06:05: [IKE] respond IPsec phase to
12:09:05: [L2TP] TUNNEL[] disconnect session 3*8*8 complete
12:09:05: [L2TP] TUNNEL[] disconnecting tunnel 42**7
12:09:05: [L2TP] TUNNEL[] disconnect tunnel 42**7 complete
12:09:05: [IKE] initiate informational exchange (delete)
12:09:05: same message repeated 1 times
12:09:05: IP Tunnel[] Down
12:09:09: [IKE] initiate informational exchange (delete)
12:09:16: [IKE] respond ISAKMP phase to
12:09:17: [IKE] respond IPsec phase to
12:09:17: IP Tunnel[] Up
再び接続しようとしても応答しなかった。
12:13:21: [IKE] initiate informational exchange (delete)
12:30:16: same message repeated 17 times ★怪しい
12:30:23: [IKE] initiate informational exchange (delete)
13:09:13: same message repeated 6 times
レスをどうもありがとう。
それは気になるところなんだけど、でも症状が起きたとき、直後にはちょっと調べられなかった。(というか、いろいろ調べたくても外部からもはやアクセスできなかった。)
それに何度も発生するわけではない感じなので、
また、ログみて同じようなパターン(=大量のRespondの発生)のタイミングを見計らって試せればいいかなと思う。
このとき、なんとかアクセスしようとして、症状発生時に別の外部IPv4アドレスからRTX1200にアクセスしても、受け付けてくれなかったと思う。
もちろん同じトンネル。
頻繁に症状が発生する場合にはまた投稿します。
>12:13:21: [IKE] initiate informational exchange (delete)
>12:30:16: same message repeated 17 times ★怪しい
ごめん、これについては怪しくないみたい。
他の日のログを確認したら、けっこうたくさんあった。
>>185
>>186
>>189
思いの外反響があってちょっとびっくり
確かにちょっとした規模までなら業務用としても使えるスペックは備えてるから
理解はできるんだけど、一方で本体幅がラックに収めるほどでもないってのと
価格的にもギリ個人用に供するというポジショニングが個人的にとても悩ましい
本体サイズも比較的コンパクトだし、ラックに入れないで机の下や棚とかに
収める場合、背面ポートの方が見た目すっきりまとまっていいんだよなぁ
って思いまして
まあでもやっぱり業務用かなスペック的に
じゃあお前は家で使うとしてRTX1210のスペックをフルに使いきれるような
運用すんのかよ
って言われたらすんませんって感じだしw
ということで駄レス失礼した
SSHかPPTPかで入れるようにした方がよくね?
3点
1、ラックマウントあるよ
2、RTX1100や、RTX1500は、後ろ面だったよね
3、家庭用とはすごいね。ほかに選択肢がなかったのが不思議。NVRとかあると思うけど。
SSHポートを外部に開く使い方ってヤマハルーターでも一般的なんですか?
公開鍵認証とかも対応してるのかな。調べたら、http://www.rtpro.yamaha.co.jp/RT/docs/sshd/
”公開鍵暗号方式DSAおよびRSAによるホスト認証 ”いけそうだな。
でもなんでだろう。
IPsecに信頼を置いてしまう。AESだからかな。
SSHの公開鍵方式の暗号強度って大丈夫なのかな。
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
http://premium.2ch.sc/
認証と、暗号化を混同していた。
IPsecでも、公開鍵認証があるくらいだから、
SSHで公開鍵で認証するのも大丈夫だろうという考えに至った。
sshd host *.jp
とかDNS名使えるようになってくれんかな
どーゆー意味?
ip filter 10 pass .jp * * * *
みたいな記述できるといいね
(興味深いけれど実用性は皆無だと思う)
逆にフィルターに設定されいているFQDNを常に名前解決するような仕組みにして
内部的にはIPアドレスで設定されているのと同じように処理したら良いんじゃないかな
昨日まででとうとう勝率5割越え
実行した者だけが逆玉だね
na@mo2c※.tokyo/ps1422kzz//a963gzyo.jpeg
@を取って ※をhに変えて
フィルターだと逆引きの反応次第では待たされすぎて使い物にならんかもしれん
>>208
通常の国内プロバイダだと逆引きが登録されてないのなんて最近じゃあまりないから
そういうの含めてのセキュリティかな
まぁ国内を踏み台にされてたら意味ないけど
日本の法律が通用するって意味では多少はマシかと
以上
RTX1100からの入れ替えで1200にすると設置スペース取るのがなぁ。カウンター下とか酷な環境に置かれてるとこ多いから
結構邪魔。
ただしい日本語でお願いします
意訳すると、
「IPsecを使えば、ローカルからアクセスするのと同じような状態になるから、
そこからsshでヤマハルーターに接続するの常識だ」ということだね。
sshでポート開放なんて非常識だとおっしゃっているんですね。
>1200にすると設置スペース取る
縦に長くなったものな
IIJのSA-W1みたいな、無線LAN付いててハブもあって、現場にモノ送って接続するだけで使えるような
そういう製品を出して欲しいなぁって思うわ
libwrap的な事はしたい
hosts.allow
のこと?
そう
>sshでポート開放なんて非常識だとおっしゃっているんですね。
この時代、もはやそうだと思いますよ?
もしそこまでして直接ssh接続したいのなら、最低限、22ポート以外に設定することは必要だと私は考えます
であればIPSec等のVPNで接続するのが現実的な解となるでしょうね
ポート変えるコマンドあるで
これについて、上の話題に出ていましたがIPsecとSSHと比べて、
安全性にどれくらいの差があると思いますか。
どちらも、ポート番号はウェルノウンですよね。
共有鍵か公開鍵か、IPsecも、SSHも、その選択があるくらいですよね。
たしかに、IPsecの場合、SSHと違って、トンネルがつながってから
実際の通信ができるようになるまでに、やや煩雑な手続きがあると思いますが、
それが攻撃者の避ける理由なんでしょうか。
相手のセキュリティーゲートウェイ内のネットワーク情報も知っていなければ、
通信ができないとか。
あなたは質問してるのか間違いだと主張しているのかどっちなの?
命題の集まり
SSHよりもIPSECが良いと言う根拠を求めているのだと思う
むしろたとえLINUXだったとしても、iptablesに書きまとめたい
あっちこっちに制御情報が散ると、管理に抜けが出そうでこわい
公開鍵認証だけ有効にしてsshdを22番で公開してるけど
ポート変更なんて意味あるか?
ipsecで500/udpを変更することないし、なんでsshdだけ?って思う
まー、22番に拘る必要もないが、22番以外に拘る必要も同じレベルで、ないと思う
IPSecに未知のセキュリティーホールが絶対にないとは言い切れないし
多層防御という観点で接続元で弾くのは基本だと思うがね
>>230
それでも構わないと思う
ただサーバー運用で考えて
外部との間にはルーターがあるので基本ルーターにフィルタリングさせて
不必要なサービスは動かさない+tcpwrapperでアプリケーションごとに制御してるようにしてる
その方が負荷も減ると思ってる
攻撃試行される機会が減る、程度のものだね
やらないよりやった方がよいのは確かだろうけど
アカウントの管理がしっかりしてあるかどうかの方が重要だね
80/tcpより8080/tcpへのアタックのほうが多かったって分析してた人がいたな
あとは簡易WEBサービスとかでろくにセキュリティホール潰してないのがごろごろしてそう
22番じゃなかったときのほうが執拗な攻撃を受けそうな気がする
堂々と22番で構えてるところは、よほど自信あるんだろう
番号かえてるとこは、どうせ下らないパスワード認証だろう
そんな風で
ネットワークアドレスの指定で、数個の政敵フィルタで済めばいいんだけど、
そうはいかないんだろうな。
それができたら、SSHポートもさぞかし安心のはず。
無駄に世界にオープンにする必要なんてないんだし。
いやよほど著名なサイトやサーバーでもないかぎり、デフォルトデフォルト入れるところを探して入る
わざわざ難易度の高いところを選ぶのはよっぽどの暇人か、侵入すること自体に価値を見いだしてるキティさんだけ
SSH単体よりもIPSec+SSHの方が単純にセキュリティ強度が高いというだけかと
それ以前の問題で、ヤマハルーターではSSHフォワーディングができないから、IPSecとSSHは同列に語れないものだと思うのだけど、どうなのだろう。
どういう意味合いで話が進んでるのかがわからん。
ヤマハルーターにとっては、IPSecはVPNするときに使う暗号化プロトコル、SSHはルーターにCLIで遠隔ログインするために使う暗号化プロトコルつて位置付けな気がするけど、ちがうん?
IPSecで遠隔ログインできるの?
可
IPSecでローカルIPからSSHログインする
もう少し補足しとくと、IPSecと併用すれば、22番ポートは内向きだけ開けとけばいいことになる
WAN側ではなくLAN側という意味
IPsec突破されたら、ルーター内部どころか、LAN内への侵入は自由になっちゃう
>ヤマハルーターではSSHフォワーディングができないから、IPSecとSSHは同列に語れない
ん?どういうこと?
そうだね。
IPsecを併用すれば、ルーター自身のアドレス宛:23(SSH)パケットについては、
そのソースアドレスをローカルネットワークに限ればいい(スタティックPASSフィルタをセット)よね。
すみません、わかった。
ポートフォワーディングのことだと思って合点がいかなかった。
SSHトンネルのことね。
>ヤマハルーターにとっては、IPSecはVPNするときに使う暗号化プロトコル、SSHはルーターにCLIで遠隔ログインするために使う暗号化プロトコルつて位置付けな気がするけど、ちがうん?
その通りです。
上の話にもでてるL2TP/IPsecの挙動がおかしいならSSHで入って確かめろって感じ
SSHとIPsecどちらが脆弱性があるかといわれるとバグ的なものであればどちらも可能性がある
どちらもヤマハの場合は公開鍵に対応してないのでセキュリティ云々であれば内部にSSHのサーバー用意して公開鍵認証でもすればよいが
管理コストや利便性を考えてポートスキャン的なアタックならパスワードの強度があれば普通は気にするほどでもないと思う
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::://ヽ:::::::::::::::|
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::// ヽ::::::::::::::l
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::/:::「'ヽ:::::::::::// ヽ:::::::::::|
|::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ノl:::ノ l:::::::/ ヽ::::::::|
ノ:::::::::::::::::::::::::::::::::::::::::::::::::::::/ ゙゙ ノ:::/ ,,;;;;;;,, ,,,,ヽ:::::l
):::::::::::::::::::::::::::::::::::::::::::::::/ ノ/ __,'''i: ('''__):::l
)::::::::::::::::::::::::::::::::::::::::::::::::::/  ̄ ̄ン:. :「 ̄`ヾ
1:::::::::::::::::::::::「 `┤l:::::::::::::::::l  ̄ , ヽ ̄ l
`l:::::::::::::::::::::ヽ :l li:::::::::::::/ /´ `l | <ヴッ!!!
ヽ::::::::::::::::::::::\_」 lヽ::::/ !:-●,__ ノ /
ノ:::::::::::::::::::::::::::ノ | l `゙゙ ,,;;;;;;;;;;;;;;;;;;;;, /ヽ
,/ ヽ::::::::::::::::::::::( l l::::::::.. /.:''/´ ̄_ソ / `ヽ
ヽ:::::::::::::::ヽ | l:::::::::::... /::// ̄ ̄_ソ / \
ヽ:::::::\| l::::::::::::::::... / :::.ゝ` ̄ ̄/ / ヽ
ヽ:::l l:::::::::::::::::::..  ̄ ̄;;'' / ヽ
l l;;;;;;:::::::::::::::.....;;;;............;;;;;;''ノ l
l l '''''''''''''''''''''''''''''''''''''' ̄l | |
http://y2u.be/z2qK2lhk9O
>ヤマハの場合は公開鍵に対応してない
え、そうなの!
自分の公開鍵をrtxに登録して、認証を受けるような使い方はできないのか。
http://www.rtpro.yamaha.co.jp/RT/docs/ssh/
ここにあるのは、クライアントだけなのか。
>ルーター自身のアドレス宛:23(SSH)パケット
>ルーター自身のアドレス宛:23(SSH)パケット
>ルーター自身のアドレス宛:23(SSH)パケット
何が言いたいのか謎
バンバンバンバンバン 、-' `;_''
バンバンバンバンハ (,(~ヽ'~
バン ∧__∧ バン ,i`'}
(∩`・ω・)_ ,i i
ノ ミつ、 _/ i
と<~_~_-~=、 ,,-,/' ミ ポイッ
{~''~>`v-''`ー゙`'~ ミ <丶`Д´>
レ_ノ <丶`Д´>
ポイッ
意味がわからない
RTXがサーバーとして振る舞い、
クライアントを電子証明書で認証する場合、認証局に証明書の正当性を問い合わせる必要もあるから、
実装が大変なのかもしれない。
ルーターにこういう電子証明書基盤を実装しないのは一般的なのかな?
だからと言って、sshdは単純に公開鍵で認証するようにはしてほしいな。
まさに、そういう場合はtelnet使っている。
dosプロンプトで、簡単に使えるからな。
L2TP/IPsecがおかしくなった場合備えて、別拠点にも、
アクセスポイントとして待機させておくこともできるよね。
もちろん、VPNで相互に接続しているものとする。
公開鍵認証ができるSSHサーバーくらいなら、ラズパイで十分そう。
難しいポート番号を、ラズパイにポートフォワードしておけばいい。
それやって見ようかな。
openswanと繋がらなくなったら困るんで躊躇してる
なにせなんとかつながっている感じだし、サポートされてはないものな
; ( ) '
o___, . (、. ' ⌒ ` )
/ ~ヽ (. : ) , ( '
/ ./ ̄ ̄; ) ( . ⌒ )
/ / `‘| ' ` ”, )
______ . / | ./ /
/_____\ / \__/ /
.{____憂●國} / /
ノ|ミ/ ー―◎-◎-) / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ノノ(6 (_ _) ) ./
ノ/ | ∴ ノ 3 ) /
ノ/ _ \ _ノ ./
. レ /^ 〜" ̄, ̄ ̄〆⌒,
| ,___゙___、rヾイ
かわらんと思うぞ
てかそんなにシビアならファーム更新するのも危険じゃね?
うん、そう思ってrtx1200のファームアップデートできなかった。
最近、新しいrtx1200を買って、最新ファーム(といっても、2013年もの)を入れて試した。
問題なくopenswanにつなげられた。
しかし、今後もそれが維持できるかどうかはとても心配。
linuxではopenswanが標準なので、ぜひヤマハのルーターも対応してほしいところ。
openswanとrtxとの接続は制限があるので工夫が必要だから、面倒くさいね。
CentOSでもlibreswanになったと思う。
そんなはずはないからなあ
興味本位のアクセスならごまかせる
:. .::::::::........ . .::::::::::::::::::: | ........... ..:::::
:::: :::::... . .... .. . ヽ / . . . ... ..::::: . .. .
\ /
−ー
∧__∧
<`∀´*>y━~~ < 仕事の後のトンスルは最高ニダ
(つ目 )
TTTTTTTT|TTTTT
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
パチスロ獣王 |
ネットワークの拡張工事やるか。
遠隔地のルーターには、作業前に念のために、Restertスケジュールをセットするのを忘れずに。
さもなければ、せっかくの休みがつぶれることになるからね。
/ ヽ
/ ̄ ̄/ /i⌒ヽ、| オエーー!!!!
/ (゜)/ / /
/ ト、.,../ ,ー-、
=彳 \\‘゚。、` ヽ。、o
/ \\゚。、。、o
/ /⌒ ヽ ヽU o
/ │ `ヽU ∴l
│ │ U :l
|:!
U
Restartコマンドの間違いだろ
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
アスキー貼っているやつ!
ちょっと妨害がひどいな。
運営に報告して身元を割り出して対処してもらおうと思う。
( 正当な理由があれば、身元の請求が可能。 )
もうやめておけよ。
,イ /
// ttp://ascii.com/ |
/ ,ィ介i | う ぶ き
{. |l ,イ ///|| | ち っ え
,-.、Vl / | /// | | 」 に と ろ
lこ!l ! ト ト.l | !i | ヽト、< な ば
| l Vヽ トjヽ\!l ,>‐_ニヽ さ
| | \ ! く__・、jiLノ・_´フ .|| れ
| | __ ヽ} -‐ -─‐ レヘ. ん
_r‐j >イ fヽ l ノ __ ,イ-ハ
/ ′、 i {ノ-、 ヽ `t_/ /| /´ヽ
〈 ヽ l | } \ -' j | \
ヽ / |  ̄ L
ヽ / -─ フ′ `ヽ─- 、
ヽ ヽ /`ー-、 ,. -─ '/ ー- 、
f‐--── 'ヽ { ~ / /, -──‐-\
/| | ヽ / /// ヽ
2chでその技を知ったときは目からビームだったわ。
たまーにタイマ解除忘れちゃうけど
フィルタ、ルーティング、NATの設定でミスったら終わりだものなあ。
ところでうちは、ルーターの安定化のために一日一回は再起動させているよ。
(ipアドレスが変化するのでセキュリティー対策にもなるかなと。)
さすがに、たとえ設定をミスってアクセスができなくなったとしても、その再起動待ちが数時間も困るから。
タイマーセットされると緊張するので、設定が完了して通信が正しくできていることを確認してSAVEコマンドを打つまでの時間も短縮されるようだ。
もちろん人による。
ノートにしっかりコマンドを書いて、それを入力する人もあるだろうし、
ソラで直接コマンド入力する人もいる。(←ルーターを扱う能力は高まる。IPsecトンネルの場合なんかは、いろいろすべて考慮する必要があるので。たいてい、うまくいかずに悩むことになる。)
2ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
http://premium.2ch.sc/
意味あるの?
初期状態に戻ることで安定化できる。
安定化ってのがプラシーボ以上の目的と効果(メモリリークのバグあるので定期的に再起動必要、など)あるなら理解できるのだけど、電圧変化加え続ける方がH/W的には負荷にならないかなー、とも思って
アドレス変えたいだけならpp再接続などでも良さそうかなーと。
PPPoEによる割り当てIP変えたいなら既出のとおり再接続でOK
ネトウヨRカス
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
,イ /
// ttp://ascii.com/ |
/ ,ィ介i | う ぶ き
{. |l ,イ ///|| | ち っ え
,-.、Vl / | /// | | 」 に と ろ
lこ!l ! ト ト.l | !i | ヽト、< な ば
| l Vヽ トjヽ\!l ,>‐_ニヽ さ
| | \ ! く__・、jiLノ・_´フ .|| れ
| | __ ヽ} -‐ -─‐ レヘ. ん
_r‐j >イ fヽ l ノ __ ,イ-ハ
/ ′、 i {ノ-、 ヽ `t_/ /| /´ヽ
〈 ヽ l | } \ -' j | \
ヽ / |  ̄ L
ヽ / -─ フ′ `ヽ─- 、
ヽ ヽ /`ー-、 ,. -─ '/ ー- 、
f‐--── 'ヽ { ~ / /, -──‐-\
/| | ヽ / /// ヽ
# disconnect pp番号
# connect pp番号
こんな風に、連続してコマンドが必要になるでしょ。
それに、ディスコネクトが正常に終わらないうちに、コネクトすると、エラーが発生しそうで不安
>電圧変化加え続ける方がH/W的には負荷にならないかなー
そうなんですか。コンデンサとか、トランジスタなんかに負荷がかかって、痛むの?
一瞬、ハードディスクに負荷をかけないように、再起動せずにスリープにしないさい
という言葉を思い出した。
電子デバイスにもこういう物理的な影響によるダメージがあるとは考えたことなかったんだけど。
失敗してもトライし続けるだろうし
同じアドレス使い続けることにセキュリティリスクあるとは思えんが
訴訟リスク負う様な悪意ある書込みでもしてるんか?
でも、keep aliveの設定が必要なのかな。
いやたとえば、メールをsmtp送信したら、
メール受信した相手側でヘッダー情報からこっちのIPわかっちゃうでしょ。
これって怖くないですか。
まあ、もちろん、ルーターは完璧にフィルタしているけど。
ddosなんかされたら嫌じゃないか。
もし怖くないというのなら、このスレッドで皆、anonymousにする必要もないわけだし。
つエレクトロマイグレーション
>電子と金属原子の間で運動量の交換が行われるために、イオンが徐々に移動することで材質の形状に欠損が生じる現象
ほんとに?これって物理的なダメージじゃないか。
って、普通に使っていても、同じことが起きるでしょ!!
>運動量の交換
衝突しているのやね
ルーターにはないから気にしないでいい
サービス影響出る規模のDDoSに対して同じISPの動的IPが少し変わったくらいで安心できる気持ちが良くわからん。
メールで送信元ip割れたらDDoS喰らいかねない使い方しててビビってるだけ?
いつまでも固定されているのは気持ち悪いやん
torrentによる通信でよく再起動してくれたよね。
マイグレーションの時代だけど、該当しなくてよかったな
電車とかマイグレーションやばそう
>>300
機種?
電車は電流大きい分架線や電車内配線、モーターの電機子巻線とかは太いから電流密度自体はそうでもない
じゃあ、送電線かな。
通常は
pp always-on on
かと
じゃあの意味がわからんが、当然EMが問題にならないように電線を選ぶわけであって…。
Rカス
送電線やばいぞ
無酸素銅のことかな
気になったので調べたら、
pp always-on on
pppoe auto connect on
pppoe auto disconnect off
ってなっていたわ。
・pppoe auto connect(初期値、on)
選択されている相手に対して、PPPoE のセッションを自動で接続するか否かを設定する。
・pp always-on on
起動時に接続を起動し、通信終了時には再接続を起動し、キープアライブ機能により接続相手のダウン検出を行う
以下のコマンドが設定されている場合、switch を on に設定した時点で接続処理が行われる。
PPPoE 接続
pppoe use
pp enable
要するに、ベースとして、pppoe auto connect onになっていて許可されている場合(デフォで、許可)に限って、
pp always-on onでいう常時接続が許可されるということみたいだな。
γ⌒´ ヽ,
// ""⌒⌒\ )
i / \ / ヽ )
!゙ (・ )` ´( ・) i/ >>307 そうだ、無酸素銅の時代だ
| (__人_) | 電気代やばいぞ
\ `ー' /
/ \
| ヽ(⌒/⌒,l、ヽ
| \ `´ , <___
確かに
あれはオーディオ用だな。効果がどれほどのものか知らないけど。
RTX1200
何がだめなんだろうね
ファームアップ最新?かな
TORRENTって、なにか特殊なの?
p2pだしnatのセッションをハンパなく使うからじゃない?
そんなに相手側とつながらないとだめなの?
P2Pというくらいだから、1:1かと思っていたんだけど。
p2pという割には複数の相手からDLするし、
DL効率を上げるためだろうけど新しい相手を探すから
Natを消費してセッションのリフレッシュまで保持するのよ
p2pを使わない人にはどうでもいいけど、
管理する側からするとCPU負荷が上がるし
Natを食い散らかすから辛い
さらっと書くと、winMXのように1対1のノードでファイルを交換してると効率があまり良くないってことで、
winny以降のファイル共有ソフトはファイルを持ってるところを見つけたら片っ端から部分的にファイルをダウンロードするし、
要求があればどこにでもファイルをアップロードする。(トレント)
みんなで部分的にでもファイルをやりとりすれば効率いいし、
みんなで分けて持っておけばダウンロードするときセッション張れば早いよねってことでめっちゃセッション使うんだよね。
P2Pがなんの略かが分かってれば、
そうはならないはずなんだけどな。
Pはポイントじゃないぞ、ピアだぞ。
TORRENTでDHTを有効にするとNATテーブルが溢れるらしい
で、NATタイマーを短くするんだってさ
CPU負荷が100%メモリも満杯ぐらいになってたわ。
お仕置き部屋システムで幾分改善されたはず
どんな条件でお仕置き部屋へ導いているんですか?
>>319
なるほど、支流から本流が生まれるみたいな感じだな。
しかし、それでもIPv6になれば、NATを食い散らかすことなんてなくなるから良くなるのだろうなと思った。
いつ普及するのか知らないけど。うちは、IPv6だよん。
組織内で、そんなにTorrentが使われているとは思わないが、
そんなにセッション食うアプリなら、多人数が使えば、いくらタイマー短くしても終わりだね。
>>317>>322
セッションといえば、動的フィルタも動いているのなら、
CPUやばそうだな。
>>320
全体としてはこれは、多:多になるな
蜘蛛の巣の感じ、まさにネットワーク層の蜘蛛の巣!
rtx1210にも継承されたのかしらないけど、
これのトレント版があったら便利かもしれないなあ。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
http://premium.2ch.sc/
.: ´ .::::::::::::::::::::..`ヽ
. / ..::∧.:::::::∧イ.:::::::::::.
,′.:/\\/ /∨::::::::
i.::::イ 匸フ 匸フ|::::::::{
. j/|::} u ム:::::ハ
. j人 r‐┐ 从/ おいこら!
)≧┐┌_´(
,≪圦 「≫、`
/ `¨¨只´ 、
{ニニ! !l| {ニ]
|::::| ムl! |:::|
|::::| /从 |:::|
ホント欲しい。ヤマハの中の人も言ってたけど、Winny/Share検知機能なんてルータの仕事じゃないのに
中小企業で訴求効果高いから入れたとか言ってたもん。
だから、マイナンバー特需のUTMで、日本ぽい発想の製品期待してたんだがなぁ。
みんなFortiにもってかれちゃってるよぉ。
<基本的なもの>
たとえば、IPsecや、SSHサービスについて、
hosts.allowみたいに、ドメイン名で接続元の絞り込みができること。
接続元プロバイダを絞り込めば、少なくとも海外からの攻撃をかわすことができる。
>>329
たしかに、ルーターの仕事じゃないものもあるかもしれない。
WINNY/SHARER検知なんて、アプリケーション層を調べるから、ルーターじゃなくて、UTMの担当だろうな。
しかし、ヤマハにはオールインワンを期待するんだよな。
RTA時代からほかのブロードバンドルーターにはない機能とそれでいて安定性の高さがあったからなあ。
こういう要望って、どうしたらヤマハに届くんだろうか。
>中小企業で訴求効果高い
WINNYやSHAREなんて、今はもう組織内ではほとんど動いていないように思う。
一時期は開発者が逮捕されるなど大きな話題になってしまっていたね。
でもセキュリティチェックなんかだといまだに言われるぜ
FWXがルータ&UTMとしてベストポジションだっただけに残念なんだよなぁ。
ちょっと、いや、かなりUTMとしては独特で
/ ヽ
/ ̄ ̄/ /i⌒ヽ、| オエーー!!!!
/ (゜)/ / /
/ ト、.,../ ,ー-、
=彳 \\‘゚。、` ヽ。、o
/ \\゚。、。、o
/ /⌒ ヽ ヽU o
/ │ `ヽU ∴l
│ │ U :l
>FWXシリーズで対応していけば
InterNET----pppoe----[RTX 1200]-[FWX]-LoacalNET
こんな感じでつながっているとき、FWXはこんな風に入るんだと思うけど、
もし、RTX1200で他拠点からのトンネルを収容していて、他拠点のインターネット向け通信(ipsecは除く)のデフォルトゲートとされていたら、
他拠点の通信は、FWXを経由しないことになってしまうんだな。
RTXシリーズに、FWXの機能が統合されれば嬉しい。
>>334
>ベストポジションだった
FWXはこれからどうなっていくんだっけ?
いや、別にこうしても構わないと思うんだが
InterNET----pppoe----[FWX]-[RTX 1200]-LoacalNET
UTMはガチでやるとなると、コストかかるから、
FWXはこのまま、マイナー路線でぼちぼちやってくんじゃね?
餅は餅屋よ、やっぱ。
仮に、インターネットへのWWWへのアクセス用のパケットにターゲットを絞ったとして、
FWXって、IPだけでなくて、PPPも読めるって言うの。
PPPって暗号化されているんじゃなかったっけ。
UTMに近づけば候補に挙がるかもしれない。
FWXを透過型で使わなきゃいけない縛りでもあるのか?
なんで荷台もあるの?
337はpppはFWXで終端して拠点間VPNはRTXで終端してる構成かとオモタ。
まあそれも想定ユースケースだけど
盲点でした!
たしかにそれでもいけますよね。
ただし静的マスカレードの設定で、UDP 500 4500と、ESPを、内側のRTX1200に投下させる設定が必要になるけど。
うん。
ただ、IPsecトンネルが拠点から張られているようなセンター方式になっていて、センターでFWXでまとめて処理したい場合には、
>>337のような設置をして、FWXでPPPoEセッションを張るようにする必要があるだろう。
そして、IPsecトンネルパケットについては、>>345さんの言うように内側のRTXシリーズに処理させる。
その場合、>>349のように、PPPoEを終端しているFWX内側でパケットをフォワードする処理が必要になる。
昔、光プレミアムのときPPPoEをCTUが終端していたので、CTUの設定でフォワードして、RTX1100にフォワードしてVPNを終端できた経験があるので問題なし。
透過型でFWXを設置するのなら、そういう場合は各拠点ごとに装置が必要になってしまう。
YAMAHAじゃだめですか?
/|
/ |
∧_∧,/ / / ̄ ̄ ̄ ̄ ̄ ̄
<.`∀´/ /< どうやらあまりの人気っぷりに嫉妬してるみたいだなしんじまえ
_/ つ/ と / \______
~て ) / ん /
/∪ す /
\/ る./|
\__/, |
/// \_|
ωω
空中爆発まであと30秒
「なんでそんなマイナーなメーカーを選んだんだ!」とか
「なんで既存機器と挙動の違う機器を入れたんだ!」って無茶腹切らされないから。
別分野でいうと○○ー○ー○なんか盛大にクソだけど、同様の理由で選ばれることが多いな。
伏せ字なしでおなしゃす
初事例のバグとかだとUS ciscoも動いてメーカー自ら1ユーザーに代替機材提供したりして原因究明してくれるし。
ヤマハは、もしかしたら優秀なSI使えばいいのかもしれないけど、メーカーのフォローが残念。
とてもじゃないけど大規模投資で使う気にならんよ。怖すぎる。
決定的なのはそういうサポートの違いで、大企業では選ばれるわけか。
(大企業の予算なら、サポート料が高くても平気だものね)
なるほど、そういう意味で、RTXは皮肉に、中小企業向けと言っているわけか。
性能は互角、もしくは、日本で使うならヤマハのはそれ以上?
まあ、自分で設定できて、トラブルの解決もできる人間がいるのなら、
あまあまのシスコよりも、ストイックなヤマハがベストだと思いたい。
>>358
認定制度つくれば、草の根の人たちがヤマハのサポートをするのだろうに。
ありがとう、ヤマハばかりいじっているが、自信がついたよ。
俺も、伏字がきになる。
「あ あー あー あ 」というリズムをもった固有名詞ってどこだろう。
周りを見回したけどないね。貧乏だからかな。
サポートがメーカー主体のCiscoと、SIやユーザー主体のYAMAHAって感じかなあ。
そもそも金払って保守契約しないならYAMAHAの方が草の根の情報は多いかも。
うちの会社も止まっても影響少ないところはYAMAHA使ってます。
ただCiscoにも1つ文句言いたいのは、Cat3750XのCPU負荷が異常に上がるのを
バグと認めないこと。絶対おかしいと思ってる。
https://supportforums.cisco.com/discussion/11532116/high-cpu-usage-3750-x-stack
ブルーコートだと思う
Red hat
Blue Coat
Black Coat
>金払って保守契約しないならYAMAHAの方が草の根の情報は多い
なるほど。自分たちでなんとかしようとするから、
情報が多くなるわけだ。OSSに似ているな。
ふぉーてーじだかなんだか?
中小向けネットワーク屋だけど見たことない
中身がどういうブロックになっていて、それぞれどこのインターフェースのことを指してるのか
さっぱりわからなくてフィルタの設定ができん…
いい資料が見つかりそうで見つからない
ここの1.6とかは?
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html
ありがとう!
こういう図を探してました
ちなみにもしわかれば教えて欲しいのですが、外部からIPSecでローカルIPをDHCPで
取得して、
そのパイプ経由でWAN(インターネット)に繋ぐ場合の経路としては下記でいいんでしょうか?
外部PC
↓(インターネット)
回線(PPPoE)
↓
PPインターフェース
↓
NAT(PP)in
↓
NAT(TUNNEL)out
↓
TUNNELインターフェース
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)out
↓
PPインターフェース
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
@トンネル(IPSec)の通信
外部PC(パケットをカプセル化)
↓(インターネット)
回線(PPPoE)
↓
PPインターフェースin
↓
NAT(PP)
↓
フィルタリング↓
↓
ルータ自身(カプセル化解除)
Aトンネル内を通る通信
外部PC(@でカプセル化を解除したパケット)
↓
TUNNELインターフェースin
↓
フィルタリング↓
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)
↓
PPインターフェースout
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
ありがとうございます!
今までずーっとフィルタ設定と格闘しておかげさまでとりあえず開通は出来ました
リモートアクセスVPN(Anonymous)で設定したためか、PPANONYMOUS→WAN側ポートの
フィルタを開けてやらないとダメなようです
逆にTUNNEL→WAN側は空いてなくても行けてしまいます
どうやら、IPSecで暗号化されたものがTUNNELインタフェースを通ってルータ本体(LOCAL?)
に入って、それがPP(Anonymous)インタフェースに届いて、そんでもってそこからWAN側へ
パケットが流れているようです…
まだいまいち解せない感じなのですが、一応そのルートのフィルタが通っていると大丈夫でした
何れにしてもありがとうございました!!
上りと下りいちいち書いたりとか、面倒すぎる。
ファイアウォールのポリシーフィルターをルータにも実装してもらいたい。
中国版RTX1200はなぜかファイアウォール機能付いてるのに。
L2TP/IPsecなんですか?
動的なフィルタリングじゃだめなん?
はいそうです!
確かにそうとうヘッダーがくっついてます
まあ、必要だから仕方がないんだけどね
そうですねw
>まだいまいち解せない感じ
ある程度は、文法や、必要なインターフェイスなどから、
内部の概念をあいまいにつかめる。
しかし、プログラミングみたいに、はっきりとその内部構成はわからなかった。
とくに、L2TP/IPSECは、L2TPのリスナーをスタートさせている必要があるけど、
PP ANONYMOUSとどう同調しているか説明できなかったな。
そうなんですよ
そこが私もよくわからなかったんです
LOCALというのはルーティングブロックのことを指していると思うのですが、
TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
そうするとどういうわけかPP ANONYMOUSからパケットが出てくる(ようにみえます…)
で、この時点ではローカルネットワークで流通可能なパケット(カプセル最内層のIPパケット)
になっていて、あとはそれを必要なポートに流れるようフィルタを組んでいく…
今のところ、このような理解です
>>383
まだまだ勉強が必要ですが、とりあえずどうもありがとうございました
. | |
| |
| |
[二二二二二二]
〈 〉
. /_____ \
| |
なんだよそれ
>TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
>そうするとどういうわけかPP ANONYMOUSからパケットが出てくる
TUNNEL と、PP ANONYMOUSとが、バインドしている。(PP ANONYMOUS の定義で、TUNNELを指定している)
対向 ⇔ ----(IPSEC)---- 「 TUNNELインターフェイス ⇔ -----(L2TP)----- 「L2TPサービス<協調>PP ANONYMOUS」 ⇔ LANインターフェイス」 ⇔ pc
こんなイメージじゃないかな
ネット上の設定例などで明示的にdefaultフィルタを定義してるのはどうしてでしょうか?
また、定義しなくてもrejectされるstaticフィルタをあえて定義しているのはログを見やすくする為ですか?
基本的にフィルターは入れないと機能しないから入れてるわけで、入れないで機能するフィルターってのはない。
敢えてあるとしたら全てをパスするフィルターぐらい。
フィルター以外の設定でも、デフォルトでいいってものでも後々のために明示しておく意味で入れることもある。
なるほど
分かりやすい説明ありがとうございました。
>明示的にdefaultフィルタを定義してる
例えばどんなタイプのですか?
ip filter 9999 reject * *
のことですか?
ヤマハのRTXルーターだと、一つでも静的フィルタを「適用」すると、(注意!定義ではなくて、インターフェイスへの適用ね。)
デフォルトで、上記のようなリジェクトフィルタが暗黙的に設定されるよね。
YAMAHAさんのルーターは、ポリシーフィルタの動作としてpass, static-pass, reject, restrictの
4種類あると思いますが、
下記ページ中程のポリシー動作の説明表を見てもrestrictの使い所がいまいちわかりません
http://www.rtpro.yamaha.co.jp/RT/docs/policy_fw/
restrictはどういうときに使うと便利なのでしょうか?
それにやられたことあったわ
どうやったらできるでしょうか。
Luaに対応してる機種ならスクリプト組めばできるだろうな
http://jp.yamaha.com/products/network/solution/lua/script/lua-script-behavior-fwx120/
そのものズバリはないが参考にはなるだろう
http://jp.yamaha.com/products/network/solution/lua/script/
まずは、HELLO WORLDから始める必要があるので面倒だな。
まずは、メールでHELLO WORLDを送信するところから始めないといけない。
そして、メールで送れることが確信されてから、次のステップへ進む。
次に、どうやってIPsecの接続が試みられたか検知するか、
その仕組みを考える必要がある。
こういうときに、先輩方の設定例が役に立つが、そんな例があるかどうか。
接続元情報やその時間も、メールで通知したいところだなあ。
それがあれば、イベントハンドラを設定すればなんとかなりそうに思うけど、
LUAってそういうOS的なシステムは備えていないのだろうか。
定期的にログを読みだして、分析して、判断して、
メール通知という流れになるのなら、やだなあ。
http://www.rtpro.yamaha.co.jp/RT/docs/lua/rt_api.html#rt_syslogwatch
使用例見たらすげーヒントだし、あとは「試みられたとき」にどんなログが吐かれるのか調べたらそれで作れるでしょう。
rejectは書かないとrejectされない。
基本的にフィルターはpassするから、実務上敢えて
ip filter 20000 pass *
なんかをいれることがある。
別の人が見たときにreject入れ忘れてるだけなのか、passさせてるのかってのがわかるようにね。
あとはフィルター以外でもsyslog notice offとか、info onもいれるときがある。
luaは書けるようになると便利だよ。
素直にsyslog飛ばしてそっちでいろいろやるツールとかはいっぱいあるんじゃね?
そんなの?
何もいれなければオールパス
一つでも何か入れたら指定してないパケットはデフォルトでrejectだと思うが
少なくともCUIで設定するとそんなことはないな
RejectいれないとPassする
ここを読むと何も指定なしはオールパス、何か一つでも指定するとして以外はrejectになると
読めるんだけど…
機種によって違うの?
http://www.rtpro.yamaha.co.jp/RT/docs/policy_fw/
これ、ファイアウォールじゃない?
ヤマハルーターの話かと思ってたのだけど。。。
ファイアウォール製品だと、ポリシーを見ていって、該当しないのは破棄するからrejectと同じ扱いになる。ファイアウォールなんだからポリシー外は通さないのはあたりまえ。
ファイヤーウォールとルーター違うんだ…
ポリシーフィルターは違ってもいいとして、入力遮断フィルタの設計ポリシーは
ルーターの静的フィルタと統一してほしかったな
YAMAHAさんお願いしますよ
なるほどね
そう言われれば納得はできるな
何すか?
ip lan1 address 172.16.4.1/24
dhcp scope 1 172.16.4.32-172.16.4.99/24
を設定してあるCONFIGで
1、コンソールからなら
ping 172.16.4.1
が通るがLANからだと通らない
2、ただし、DHCPクライアントの172.16.4.32,33にはpingが通る
なにが行けないか教えてください
はやっ!
パソコン
じゃあ、デフォルトフィルタってなんだった??
RTXでなくて、RTAシリーズの話だったっけ?
確かに、そうですね。
気が付かなかった。シスログを飛ばしたことすらなかったので、
今後検討してみたいと思います。
syslogdで、受け取るたびにスクリプトに引数として渡すこととかできるのかな?
telnet でルーターにアドミンであくせすして、
show log | grep reject
で何が蹴られているのか確認してみましょう!
もっとラクにいけるだろ
Linuxサーバのsyslogdに飛ばして、swatchで特定文字列検出時にメール発報
ARIGATO!
tnx!
しかし、RTX単体で実現できるかもしれないのも捨てがたいな・・
ちょっと、いろいろやってみたい。
デフォルトフィルターってのはルーターにはなくて、多分ファイアウォールにはあるんでない?それか、GUIで設定したときに入る奴をさしてるのかね。
てか、ネットワーク構成によって入れるフィルターなんてかわるでしょ。デフォルトもクソもあるわけないだろとおもうわけなのだけど。。。
SMBをRejectしたりするのも公式とかマロンちゃんなんかの解説で入れることが推奨されてるから、インターネットに出る際のデファクトスタンダードなフィルターであるのかもしれないけど、ネットワーク構成によってはpassしないといけないこともあるわけで。
デフォルトなんて存在しないか、目的別のやり方があると考えた方がネットワーク構築する人間としては柔軟に対応できるのではないのでしょうか。。。と、私は思いました。
Luaスクリプトってヤマハ限定の言語だと思ってたらそうでもないことをさっき知ったわ
syslog notice on もわすれずに!
(´・ω・`)まあ、クライアントがWindowsだったら、ファイアウォールを切ってみるといいかもね。
やつらは初期状態だとping返さないし
冷静に考えて、インターフェース内の出来事だから、フィルター関係ないよね?
NECのIXだとフィルター無しはAll permit
permit・denyどちらの条件でも、1件でも設定した時点で、
All denyのフィルターが暗黙で設定される仕様だな。
結局、ハードのお作法っつー事で、
そういうもんだと、覚えておきゃ良いんじゃね?
どうしても馴染めないなら、
NECに乗り換えれば、君の思うように動いてくれるよ!(笑
Searching ...
送ってしまった。
telnet 接続はできないのでコンソールから。
↑のメッセージがでて、なにも起こらず。
一行づつコンソールから入力してみます。m(__)m
ありがとうございます
sys log notice on
でやってみたら。。
これらが原因に、、
2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.1:3389
> 172.16.4.250:3896
2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 1
72.16.4.250 : unreachable port
2015/10/11 10:10:01: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.250:25
12 > 172.16.4.100:21
2015/10/11 10:10:02: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 1
72.16.4.100 : unreachable net
2015/10/11 10:10:02: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.1:80 >
172.16.4.250:2569
2015/10/11 10:10:03: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 1
72.16.4.100 : unreachable net
filterをみると、、
ip filter 200003 reject 172.16.4.0/24 * * * *
ip filter 200013 reject * 172.16.4.0/24 * * *
↑悪さをしてそうなFilter
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
に勝手に追加されてる・・なぜだかわからないけど
これ取ってみます。ありがとうございました。
>が通るがLANからだと通らない
出来るだけ具体的に何をどうしたか書いたほうがよい
>2、ただし、DHCPクライアントの172.16.4.32,33にはpingが通る
これはルーター172.16.4;1から172.16.4.32へping を打つと応答あるって事?
その逆の
172.16.4.32からルーター172.16.4.1へはpingが通らないって事?
>>434
おにいたんそれはインターネット側へのフィルターや
今回の件には関係ない
なんでrejectのあとの引数5個あるんだっけ?
送信元IP, 送信先IP, 送信元ポート, 送信先ポート
あと一つ何だっけ??
サンクス
3つめにプロトコル番号が入るのか
なんか順番が変なの
プロトコル番号, 送信元IP, 送信元ポート, 受信先IP, 受信先ポート
の順番の方がしっくりくる
syslogdでなく
syslog-ng使えばswatchも不要
うん、ダメだった・・
フィルター削除してもだめで、RTX810をcold startして全部設定しなおした。
CONFIG流し込むとDHCPでアドレス取得したクライアント PCからなぜかRTX810にアクセスできなくなるという、、「お前がアドレスくれたんだろう」という状態に(汗
RTX1100が安く手に入ったのでVPN拠点増やしてみますノシ
RTX1100なんてネットワーク扱ってる知り合いでもいればタダで腐るほどくれると思うの。
DHCPのデフォルトゲートウェイは指定してるかい?
何の関係もないと思うが。
同じ設定を各ホストにマニュアルで設定しても
同じ結果になるでしょ? 普通は。
無駄に話を長くしてるような。
゙'. ,ト `i、 `i、 .、″
| .,.:/"" ゙‐,. ` /
` .,-''ヽ"` ヽ,,,、 !
、,、‐'゙l‐、 .丿 : ':、
、/ヽヽ‐ヽ、;,,,,,,,,,-.ッ:''` .,"-、
,r"ツぃ丶 `````` ../ `i、 クソ話してる
,.イ:、ヽ/ー`-、-ヽヽヽ、−´ .l゙`-、
_,,l゙-:ヽ,;、、 、、丶 ゙i、,,、
,<_ l_ヽ冫`'`-、;,,,、、、、.............,,,,、.-`": │ `i、
、、::|、、、ヽ,、、. ```: : : ``` 、.、'` .|丶、
.l","ヽ、,"、,"'、ぃ、、,、、、、.、、、.、、、_、.,,.ヽ´ l゙ ゙).._
,、':゙l:、、`:ヽ、`:、 : `"```¬――'''"`゙^` : ..、丶 .l゙ `ヽ
,i´.、ヽ".、".、"'ヽヽ;,:、........、 、、...,,,、−‘` 、‐ |゙゙:‐,
,.-l,i´.、".`ヽ,,,.".` `゙゙'"`'-ー"``"``r-ー`'": _.‐′ 丿 ,!
j".、'ヽ,".、".、"`''`ー、._、、、 、._,、..-‐:'''′ .、,:" 丿
゙l,"`"`''ヽヽ"`"` ```゙'''"ヽ∠、、、、ぃ-`''''": ` 、._./` ._/`
`'i`ヽヽヽ`''ーi、、、: : 、.,-‐'` 、/`
``ヽン'`"` : `~``―ヽ::,,,,,,,,,,.....................,,,,.ー'``^ ,、‐'"`
`"'゙―-、,,,,..、、 : ..,、ー'"'`
: `‘"`―---------‐ヽ``"''''''""
DHCPサーバとして昔の設定撒いてる現場あったなぁ
あれは原因みつかるまで時間かかった・・・
時間かかる理由が思いつかない
>syslog-ng
情報ありがとう!
一種のクラッキングみたいな状態になっているな。
現場だと、フロアまたいでスイッチが多段に接続されていると思う。そこから隠れdhcpサーバを探すのはたいへんだろうな。
ましてや、管理画面にもたどれないなんて、歩き回って探さないと駄目になるな。
DHCPって、リンクアドレス層のアドレス使ってブロードキャストするんだったかな。
それだと、自分自身でIPアドレスが他とバッティングしていても平気ということになるよな。
ところでIPv6だとどうなるんだろうな。
少なくとも、IPアドレスがバッティングして、管理画面に到達できないことはないように思う。
RTX1100は、かなり発熱があるけどいいの?
冬はヒーター替わりになるけど、夏は大変よ。
>2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: TCP 172.16.4.1:3389 > 172.16.4.250:3896
>2015/10/11 10:09:57: PP[01] Rejected at OUT(200013) filter: ICMP 172.16.4.1 > 172.16.4.250 : unreachable port
おい、このログ、おかしいぞ。(>>416の人ですよね)
172.16.4.250はPCなんですか。172.16.4.1は、RTX810だよね。
すると、RTX810から、PCに向けているのに、LANインターフェイスではなくて、PP01に向かって行っているってことだぞ。
ルーティングの設定が間違っていないか?
たどったよ
劣化?で設定初期化された無線APが配ってた
自動生成でのアドレス被りが無くても野良RAでdefault gateway曲げられる事はあるかも。
dhcp snooping、ra guardみたいなのは使えるなら使っておく方が後々ラク
ルーティングというかネットマスクかな?
糞は要らんR
マルチプリフィックスになってしまいますよね
根本的なところに、まだかつての善意のネット思想が残っている気がする
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
http://premium.2ch.sc/ 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
Windows 10の、標準VPN(IPsec/L2TP)と、RTX1200との接続できた方っていらっしゃいますか。
Windows 10も、7や8のようにして、設定すればいけるでしょうか。
今、格闘中で、
なぜか、RTX1200のリジェクトログにすら表示されないという段階
Windows10のファイアーウォールで、アウト方向でも明示的にパス設定とか必要になってくるのかな??
レジストリは変更したの?
俺、どうしても@付けたくなるんだよなぁ。。。
そうすることもできるしgw通知だけもできる。prefixはraのオプションのひとつ。
ミスってaa1にしちゃったときのめんどくささ・・・
aa1だめなの?
つーか選べたっけそんなの
いえ、まだです。
Windows 10は、NATとラバーサルが最初からオンになっているとかどこかで耳にしたことがあって。
Windows 10 pro 無償版から、標準VPN(IPsec/L2TP)⇔ RTX1200 トンネルがつながりました。
Windows側は、ファイアウォール オンでいけます。
>>466は記憶違いでした。NAT traversalの設定が必要のようです。
設定後、lan内で、RTX1200にIPsec/L2TPで接続確認して、Windows 10でもつながることを確認してから、
それから、インターネット側からRTX1200につなぎました。
ええんやで
実用性は少ないけどEl Capitanでも繋がるよ
縦置き用モデム、ルータを、横置き&重ね置きにして壊れたとか出火したとかの経験者いらっしゃいますか?
最近モデムの説明書を閲覧したら、絨毯の上ダメ、横置きダメ、重ね置きダメ、上に物置くのダメ、火災の原因になりますと
書いてあるが、3年ほど上記4項目該当状態で使用してた。
使用する上で問題はなかったんだが、モデムとルーターの白色プラボディは熱による変色?で黄ばんでる。
熱暴走はありえるけど異常発熱による出火って聞いたことありますか?
aa1のデメリットはわからんが、オプションでサーバー選べたはず
客先まわってるとかなり劣悪な環境で使ってるのを見るけど、火災になったことはないな。
ただ、1100なんかはものすごく発熱するからちょっと怖いな。
まぁ、なんにせよ安全なんてのはないから、説明書守るのは最低限ですな。
情報ありがとうございます。数多く見てきている人の意見は参考になります。
今回の件で説明書しっかり確認しないといけないと反省。
特に家庭向けの低価格タイプは怖いね。
結局、値段=品質ですかね。
可能性の問題だから
普通の家電でも通風孔塞いだら火災の原因になる場合がありますよって話だと思うよ
aa1とかはサーバーじゃなくて名前重ならないようにしてるだけだと思う
サーバー選べるのはヤマハが用意してるddnsサーバーを選べる事だと思う
換気しなかったら、エネルギーが蓄積して、温度上昇になるのかな。
そう考えると、金属筐体は、熱伝導が素晴らしいから、良いんだなあ。
RTX1210だけがそうだったかな。
大げさに書かれてるのは、PL法対策だな。
起こる可能性が低くても、注意書きとしてかいておかなきゃ、
訴えられた時に負ける。
まぁ発熱する物の放熱を妨げたら、やばくなるのは
当たり前な訳で、火が出ないとは、言えん罠。
RTX1100ってどうしてあんなに発熱するんだろう。
RTX1200を使うようになってからは、その発熱が異常に高いなと思うようになった。
RTX1100はほとんどの処理を汎用CPUで回しているんのかな。
今は金属筐体のネットギアのハブが放熱板替わりになっているわ。
ということは、もしaa2とかになっていたら、
同名のホストが、aa1に存在しているってことになるのかな。
以前、つかっていたときは、推測できないような非常にややこしい名前にしていたなあ。
勝手にドメインつけられるよりも、
使われてるから別のものを指定しろってエラー出してくれた方が嬉しい
config流し込むときも苦労しないし
そう
昔ありふれたホスト名つけた業者がaa6まで行ってるドメイン使ってて、つけなおしたよ
ソフトウェア処理が多いからでないかね。
ネットギアのハブもあっつくならない?
持てないほどちんちんに熱くなってるやつあったりするんだけど。。
当初の実装以上の機能を持たせても動いてるからある意味オーバースペックなルーターだったんだよな。。。
お疲れ様1100。もう1200に代わって良いんだよ。。。
1210は金属だし、開口部広いから放熱は良いね。
しかも1200と比べて発熱も減ったみたいだし。
うん、最初は、ハブが暴走して発熱して、RTX1100に伝導しているのかと思ったんだ。
そしたら、逆だった。RTX1100が熱くなっていた。
大した処理させずに、単にレイヤー3スイッチ替わりにしてネットワーク関門に設置していただけだったんで、
まさかそれほど発熱しているとは思わなかった。
>>483
追加された機能は、ソフトウェア処理されるものなのか。
そういえばそういうことだよなあ。
ファームアップで、当初の設計とは違って、無理させているところもあるのかもしれないな。
RTX1200は、もう全然ファームアップされていないから、
でも考えてみれば、その必要がないということであって、良いことなのかもしれない。
router1とか多そう。
情報ありがとうございます。
100均の延長コードが発火の恐れで自主回収されたり、
オイルマッチで火事になったり、メイドカフェが火事になったりと
最近火事が多いから気をつけますわ。
これから暖房器具も使う季節だしね。
みなさんありがとうございました。
おう
火の取り扱いには注意な。花火やるときには水を入れたバケツは必須だぞ
もしかして牛の無線AP?
瞬停で電源落ちて設定初期化されるバグみたいなのがあって俺も難儀しました
RTX1100のそばにはバケツが必要、と
フレッツひかり回線が平日に30分ほど停止するらしんだけど、業務に支障がでる。
これって、休日とかに変えてもらうことってできるんだろうか。
あきらめるしかないんだろうか。
頼んでいないことなので、せめて、深夜、早朝や、休日にやってもらいたい。
たぶん、MACアドレスがパスワードになっていそうだ。
書き換え時に、作成時と同じMACアドレスで認証してそう。
フレッツひかりは無理
加入電話とかINSネットなら保証あった気がするけど
ちなみにI回線うちの局深夜に短時間工事があるわ
専用線を申し込もう
逆に頼まれても別にやらない
うちも局内設備工事あるけど深夜帯だけどな
業務に支障がでるならADSLとかモバイル端末とか日ごろから準備したほうがよくないか?
まじで?ぢゃあ、MACアドレス割れたらオーバーライドされちゃうってのと?
さすがに暗号化してるんじゃないの?
保証があれば、「やめて」といえば、なんとかしてくれるってことかな。
それが、フレッツひかりにはないわけなのか。
>>497
まったく代わりができるなら、そういうバックアップ回線もありかもしれないけど、
うちは、複数のプロバイダを使っていて、アドレスも固定しているから、フレッツひかりじゃないと駄目なんだ。
一番痛いのは、IP電話(ひかり電話も含む)が使えなくなってしまうことかな。
ダメもとで問い合わせてみるか。
バックアップ用CONFIG書けば・・・
利用している固定IPは、フレッツ光専用なんですよ。
その固定IPでなければ、拠点との間のトンネルを作成できないように、フィルタリングもしているし。
動的IPで賄えるなら、そういう切り替えも考えられるかもしれないですね。回線は非常に細くなるとは思うけど。
ちょっと今の運用形態では、バックアップ時用の、コンフィグは思いつきません。
次回のログイン時に「不揮発性メモリに保存されていない情報があります」って表示されます。
この内容を思い出せないとき、何かその変更を現すためのコマンドってあるんでしょうか。
1回前のCONFIG呼び出せなかったっけ?
今のCONFIGを一旦セーブして呼び出してみれば
暗黙の定義を明示したとか大した変更点じゃなかったりするけど
固定IPでなにしてるかわからないけど、バックアップ回線で固定IPとってそっちでも運用できるようにするのは常識かと。
それか、動的でもバックアップ回線でVPNで同じようなサービス使える拠点につなげて一時的にちがうGIPだけど一応は使えるようにしたり。
VPNのための固定IPだったらどの道バックアップ回線でもつなげられるようにするべき。
こっちがセンターだったら分からないけど、多拠点接続のVPNならセンター以外は動的にできるわけだし、やりようはいくらでもあるよ。
その辺の構成は運用している以上できないでなくなるべくできる方向で構築しないといけないでしょ。
情シスが思ってるほど停止が許されない環境って意外とないよ
と平気で60分止めた俺が言っても説得力無いけど
>バックアップ回線で固定IPとってそっちでも運用できるようにするのは常識
>なるべくできる方向で構築
>>507
>情シスが思ってるほど停止が許されない環境って意外とない
様々なご意見ありがとうございます。
規模によると思うんですが、うちは5拠点で全体で50人ほどです。
IP電話関係は、今回工事のある中心的な拠点の光回線に完全に依存しているので、全体的に影響を受けます。
どういうことになるかというと、電話の受発信ができなくなる。
また、各種サーバーもそこに存在するので、アクセスができなくなる。
メールの送受信もできなくなるし、ファイルも取り出せなくなる。できるのは、各拠点でローカルPC上のみで可能なことだけ。
たしかに、30分間といっても、数分のダウンかもしれないし、いやでもそれ以上になるかもしれない。保証がない。
あまり会社の人たちに、そういうなにもかも使えないという無様なところを見せたくないという意地みたいのがあって。
背景にどういうことが生じていて、サービスが使えないのか理解してくれないかもしれない。
「一拠点の回線が駄目になれば、全部だめなのかよ、変な仕組みにしているものだ」と思われるくらいでしょうか。
社員はIT関係に疎いんですね。効率化のためにそういう仕組みにしていることも理解してくれないだろう。
そういう社員に悪く思われたくないですね。
バックアップ回線自体は用意していない。
ひかり回線をもう一本となると、コストがかかってしまうし、理解が得られないように思う。
経営者と、社員との板挟みですよ。
(バックアップ用のプロバイダは用意していて、切り替えは自動的にするようにしている。でも。今回は回線自体のダウンだから無意味。)
また今回の場合、他社の光回線でも用意しない限り、両方の回線に対して局側工事をされてしまいそう。ダウン時間も伸びたりして。
工事は、営業時間を避けようと思えば避けられることなので、そのためにバックアップ回線を用意するのも納得できないところがある。
>>506
安全のために、IPレベルでの静的フィルタをつけているんですよ。
だから、DDNSでは対応ができない。また、アドレス更新時や名前解決のトラブルでトンネルがなかなか結べないトラブルも避けたいから。
まあ、でも、こういう事態に備えて、普段から対策を考えたいとは思っています。
拠点がダウンしても使えるように電話をとりつけるなど。
今回の件ですが、問い合わせたところ、日程を変更してくれるかもしれない感じです。
ありがとうございました。
いくらフレッツでもそれはないでしょ。
うちでそんなことされたら営業呼んで調整してもらうよ当然。。
なんか、ごく一部の区域だけみたいでした。
一般民家扱いされてしまったかもしれないですね。
一般用の光回線だし。
全面にコネクターやLEDが来ているのが、デザイン的にはいいね。
筐体の色と直角になったスリムなスタイルも良い。
ラック内のまとめ役だからね。
頑張ってくれているんだなと投影に十分耐えうるものがある。
専用線でもないのに図々しいこと
大雑把に言って回線工事の予告で謳っている時間が30分ならその範囲で終わるはず
2時間を超えて停止するようだと総務省報告義務が生じるので事故扱いだし
>あまり会社の人たちに、そういうなにもかも使えないという無様なところを見せたくないという意地みたいのがあって。
NTTからの予告文書をそのまま社内に通知して不満が出るのを心配しても仕方がない
不満が出るようなら同じような事態に備えた予算を確保して調達・維持するのが情シスっちゅうことだな
現状では対応できる体制ではないようだし
そのパターンはNTT外線の支障移転とかで光ケーブルが物理的に発生する断の場合がある
専用線契約なら、回線借用の扱いで時間調整ができるが、専用線でもなんでもないフレッツの回線はそんなもん
>>513が答えになる
そもそもバックアップがない時点で・・・ということになる
IP電話を経費削減で入れるとそういう例が発生するんだよな
ひかり電話も加入電話と同じ扱いだから、そういう事例がある。加入電話でも通常のそういうものはほぼ日中しか
やらないことがほとんど
近頃はフレッツ=専用線とほぼ同じと勘違いしてる例が多いからな
もちろん100M以上の帯域保証が必要なら仕方ないけど、
そうでない拠点は、今時フレッツやLTEで基幹系も流すの普通ですけど。。
24時間サポートオプションだってあるわけだし。
故障なら仕方ないけど、フレッツの計画停止を平日昼間なんてありえないよ。
何かの勘違いじゃないの?
これを機にUSEN GATE 02でもいいので専用をいれましょう。
まぁ、諸般の事情で使えない時間ができるのを分からない人に説明するのもまた技術。
>2時間を超えて停止するようだと総務省報告義務が生じるので事故扱い
そういう制度があるなんて知らなかったです。
さすが日本です。条件きびしい。
>NTTからの予告文書をそのまま社内に通知して不満が出るのを心配しても仕方がない
>事態に備えた予算を確保して調達・維持するのが情シスっちゅうこと
対策となると、予算かかるし、自動切り替えともなれば、技術が要りますね。
RTXで、同一回線において、別プロバイダへのバックアップルートと自動切り替えを設定するだけで精いっぱいです。
なんとかこれを応用するなら、RTXからさらに上流に2台のルーターを設置して、それぞれに別回線を接続すれば、いけそうですね。
>そのパターンはNTT外線の支障移転とかで光ケーブルが物理的に発生する断の場合がある
>ひかり電話も加入電話と同じ扱いだから、そういう事例がある。加入電話でも通常のそういうものはほぼ日中しかやらない
ひかり電話を利用可能にする「ひかり回線」自体が、「加入電話扱い」だという理解をしても良いでしょうか。
「移転」が意味するのは、ケーブルの電柱などでの移転を意味するんでしょうか。そりゃ、明るい日中の方が作業しやすいですよね。
>専用線でもなんでもないフレッツの回線はそんなもん
>フレッツ=専用線とほぼ同じと勘違いしてる例が多い
>専用線契約なら、回線借用の扱いで時間調整ができる
工事の時間をずらしてくれるように要請しても、通らない場合があるってことですね。
今、願い出ているところで、営業時間外で調整してくれるような感じです。専用線でもないのに、親切かもしれないですね。
>>516
>今時フレッツやLTEで基幹系も流すの普通ですけど
うちは、フレッツオンリーです。IP電話も、なにもかも、一本で通しています。
フレッツネクストになってから、pcの接続台数制限も撤廃されたんで、喜びました。
>>517
>諸般の事情で使えない時間ができるのを分からない人に説明するのもまた技術
もし、時間変更要請が通らなければ、考えてみます。
コツがあれば教えてください。
あまり、自分の非を見せたくないし、つっこまれる隙も見せたくもないですね。
専用線、価格見ましたけど、高い!
専用線って、プロバイダ料金込みなんですよね。
ここでの専用線の意味は、「インターネットに直につなぐ私専用の線」ってことでいいですか。
でもフレッツにも、ビジネスタイプとか、占有タイプってなかったかな?
http://www.gate02.ne.jp/networkservice/flets
POIは地域によっては非常に混雑して、pingの値が100msecとかになるところもあると思う。
自分のところは、vectant系のプロバイダなんですが、時間帯によってそれくらいになって、非常に遅いです。
vectantって、人気があるのか?同じ拠点でも、IIJ系だといつも早い。
6000円ほど払って、固定IPで安定した接続環境が得られるのなら、良いなと思いました。
専用線は高くて手が届かないが、せめてこれくらいはやってみたいな。
基幹系流してる人が居ようが約款以上の気遣いをする義務は無いわけで
Vectantは、昔はよかったけど、いまはやめたほうがいい。
安定性が微妙なのと、なぜか全国的にめっちゃおそい。
サポートに連絡するとまともにとりあってくない。
あれはひかり電話()のおまけについてくるもんだと思っておけば良い
いまはKDDI専用線とフレッツ網みたいに。
ISDNは品質保証帯域保証だし、そっち迂回するようにCONFIG書いてみれば?
品質保証帯域保証の観点からすれば、言っていることはよくわかるんですが、
中小企業にとっては、専用線の選択はかなり重たいですね。費用がかかり過ぎる。
しかしISDNでも、複数本束ねるとそれ以上に費用がかかりますよね。
かといって、さすがに128Kbpsじゃ、間に合わない。
でもたしかに、本当に需要な拠点で本当に止められないんだったら、保証されたものを使うべきですよね。
うーん、保証がないにしても、うちはフレッツ光回線は今後も使っていくと思います。
光回線の方が、その品質を高めていってくれればよいなとも期待しています。
けっこう、考え方が甘いんだとは自覚していますが。やっぱり安いしベターなチョイスかなと。
>>523
全国的に遅いんですか。
ユーザーを抱えすぎているのかもしれない。時間帯によって、遅さは大きく変動するから。
>サポートに連絡するとまともにとりあってくない
それって、ベクタントを利用しているISPのサポートのことですか?
それなら自分も苦い経験がありますよ。
100均ショップで買った品物のメーカーにその品質の苦情を言って嫌われている状態かと思いましたよ。
専用線にこだわってるのは化石世代だから気にしなくて良いよ。
専用線をフレッツに、っていうのは2005年頃に流行った。10年前の話。
今頃専用線かフレッツかなんて迷ってるのは時代錯誤も甚だしい。
もちろん、検討の余地なく専用線使うべき用途はあるけどな。
いずれにしても貴殿が必要としている「ひかり電話への着信」は迂回できないよ。
加入電話と代表組もできないし。
どんな会社か知らないが本当にそこまで重要なの?社長がうるさいだけとかじゃないの?
ラックに収まらずにケーブルだけで空中に舞ってるRTX1100もかっこいいぜ
ぶらさがっているともいう
回線工事でダウンが嫌なら専用線を勧めるだろう
そうだな。フレッツがだめならほかの選択肢ってことで専用線だろう。
止めるのがダメという場合の専用線。化石とかじゃねえよ
帯域保証とかで使う場合はそっちを意図的使う事例がある
中小だと使わないがな
実際多い事例は光+ADSLかモバイルが多い
コスパ考えたらこれがいちばん無難だが
>>532
結局通信ルートが違うものを選ぶしかないのよ
それでもダメなときはダメだけどな
遅延が許されないとか軍事のリアルタイムの要求とかが主な得意先
一般回線は併用使用しないでガチで専用線を引っ張って来る
表示しているのはあくまでも定価。定価で使ってる人は殆どいない。
フレッツなどの公衆回線みたいに掛け算で稼ぐものとちがい、
専用線や網は
「いくらでもいいから使ってくれれば」
って観点で営業してるからね。
2社以上競合させて、交渉を重ねればかなり下がるよ。
ヤマハのルータだと普通にUSBのSIM差すだけでどこでもインターネットが使えるのが、キッティングの時に面白い!って思った
自分のいる営業所は専用線3Mbpsでやってる。むしろフレッツは使ってない
OCNのバーストイーサやら他にいくらでもあるじゃん
実際は通信系数社と見積もり取ってからやるんだが、会社によっては数年ごとのリプレースとか
やることあるんだわな
おかげでメディコンやらONUがゴロゴロ転がってる会社があったし。切替するたびに泣かされるだろうけど
ちなみにバーストイーサはダークファイバー提供じゃなかったかいな
実質専用線に近いもんだがなそれ
NTTcom自身も専用線と言えばスーパーOCNなんかを指して、バーストイーサをそうは呼ばない
スーパーOCNは専用線じゃないだろ
定義が曖昧になってるよね
狭義の専用線には当たらないかもしれないが、スーパーOCN>>>バーストイーサの位置づけよ
コンセント足りません!
最近はONUのファイバ切って回収せよ!って指示がよくあるねえ
今のやわらかいのは知らないがニッパじゃないと切れないんだわアレ
代理店が全く説明してない場合や、
利用者側が聞き逃してるとか、知っててもいざとなるとごね出すんだよなぁ。。
業務の生命線ならファミリーなんかに全力で体重かけちゃだめだぞ。
ほんと、業務クラウド化したぜヒャッホーで回線冗長化忘れてるてたりするからな。
>業務クラウド化したぜヒャッホーで回線冗長化忘れてる
それ俺。
クラウドは安いんだけど、回線が高いからなあ。
ほんとにね。
意味あるかどうかはともかく、最悪PP冗長化ぐらいはやっとかないと怖いよね。
故障やその他障害だってありえるのに
業務上困るとか言われるのもね
事前に会社に考えられる想定される事態と対策と費用を提示して諦めるものは諦めて重要な部分だけ何等かの対策した方がよい
クラウドや支店にバックアップ拠点とかいろいろ考える事できるんじゃね?
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
興味深い記事なので投稿しておく
半固定アドレスとNGNのVPN
http://itpro.nikkeibp.co.jp/atcl/column/15/100900240/100900003/
プロバイダの冗長化も必要だと思う。(回線自体のダウンの対策とは別にとるべき対策として。)
RTXの機能で、ダウンしたPPを別のインターフェイスに切り替えられる。
しかし、レスポンスタイムが上昇したり、パケットが喪失する場合に、
別プロバイダを使うようにもしたいなあ。こういう要望にはluaつかうしかないんだろうな。
PingでUTM見に行ってるよ
普通に回線バックアップとか、ルーター追加してVRRPじゃ足りないのん?
RTX1200と、RTX1210なら、VRRP に対応しているみたいだな。
これによって、回線も冗長化できるけど、>>551のように言われそう。
これまで、自分は構築期(発展途上期)だったんで、冗長化にまで考慮することがなかったな。
今では、安心、安定化、誰にも文句言われたくないという気持ちがわいているので、
VRRP も良いかなと思ったな。
RTXシリーズは全部対応してるで。小規模なら810と1100とかでいいんじゃないかね。コスト削減。
NVR500はVRRP使えないからだめやで。
どっちもアクティブにしろって言うんなら、両方使えばいいんや。
ルーティングでIPアドレスの1〜150はメイン、151以降はバックアップ側みたいな感じにするとか、やりようはいくらでもあるよ。
名目は負荷分散ってことで。
それでもだめなら(´・ω・`)しらんがな
(1)>両系Activeなら・・・
たとえば、それが意味するのは、
ひかり回線が二つあって、それぞれは、--[ONU]--[ルーター]--[L3SW]--(LAN)
という感じで、L3SWに統合されている状況なんでしょうか。
(2)>VPNなら・・
これも、ひかり回線が背後に控えて両方利用できる状況でよいのかな。
(1)(2)とを分けていて、それぞれ異なる分散プロトコルを適用している理由が、
なんだかよくわかりません。
こういうプロトコルは、これまで触れたことがなかったです。
ここではヤマハのスイッチが想定されているのかな?。
OSPFは企業ネットワークで一番よく使われるルーティングプロトコル
アクセス回線2本あるなら、賢く両方使って通信してくれる
それなりに拠点数があったり、センターで頻繁にネットワークの変更が見込まれるようなら間違いなくOSPF選ぶ
そこまでの規模じゃなければVRRPでVRIDを二つこさえる
送信元IPアドレスを識別子として振り分けるPBRか、L3SWの中にL3SWを仮想で作るVRFで
二つのVRIDってかバーチャルルータに振り分ける
ヤマハスイッチはしょぼいから使わない
所詮はL2SWだから機能が足りない
かといってエッジの馬鹿HUBとして使うには無駄に高い
それはYAMAHAだからじゃなくてL2SWだからだろ…
VLANできれば御の字だろ
ヤマハスイッチで楽に対処出来た
まぁ何事も用途次第って事で
どっかのネットワーク会社にエンジニアとして雇われて、他の会社のメンテナンスや構築を請け負っているのか?
それとも、自営で自ら他の会社と契約して出向いているのか?
あるいは、自分自身の会社のシステムについて取り扱う専属社員なのか?
ネットワーク屋だけでなく、プログラマ、データベース、LINUXシステム、(あるいは営業)など、複数の顔を持っているのか?
それとも、一本の筋を通しているやつらなのか?
マルチベンダでやってるとこが多いような。
そういう君はどうなのさ
ことってできますでしょうか??
こういうこと?
ip lan1 address 192.168.254.254/24
ip filter 1 reject * 192.168.254.254 icmp
早速ありがとうございます
それだとICMPパケットは何でもrejectしてしまう感じでしょうか?
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_filter.html
(ii!゚Д゚:;・ヽ。; ..;
|つ |:・.ヽ;・.; :ヽ. :
〜と_)__) :・: 。・; ;゚・ゲェログェゥグェァオェ
=二三三三二
ゲェログェゥグェァオェ
〃⌒ ヽフ
/ rノ ∧_∧ ゲェログェゥグェァオェ ゲェログェゥグェァオェ
Ο Ο_);:゚。o;:,. 〃,(||i´┌`) ∧∧ ○
/ ,つ ィ;,゚;:δ゚,,. ビチョビチョ ⊂(´Д`⊂⌒`つ
⊂こ_)_)',;:゚。o;:,..,゚.,。 ⊂;:.,.。o,;⊃
,,;:;;。.:;;゚'。o.,
無は有を生んだ
これが全ての真理
それがないと切り分けられないなんて愚図は相手するだけ時間の無駄。
認証キーつきpingってないのかな。
公開鍵のクライアント認証的に使えるようにしたらいいのに。
dnsではそういう仕組みも使えるでしょ。えっと、なんていうんだったかな。
Windowsもファイアーウォールされているから返さないでほ?
おれも、インターネット側からはさせない。
LAN側からも、させないようにしようかなと考え中。
(知識を持ち出した奴が実験しないようにするために。)
RTXは、静的フィルタを通過する前に、pingに応答する仕組みらしい。
だから、リジェクトフィルタだけで、icmpを排除できない。
そこで、強制的に、リジェクトフィルタを通過するように設定する必要がある。
pingを無視したいインターフェイスで、natを使ってicmpの入力を、
RTXに通すように設定して、さらに、それを静的フィルタで拒絶すると良い。
VPNはyamahaでしたいけど、60DのDMZポートもいいかも…
予算を考えなくていい場合、
・60D一台で賄う
・60Dトランスペアレントモード+1210
ここの兄貴たちはどっちがお好みですか?
予算の上限なしなら後者かな。
低予算なら60Dの代わりに1210のLAN3をDMZにすると思う
前提無視か?
http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.10.01/relnote_10_01_65.html
バグ、仕様変更、
アップデート前に、全部目を通しておいた方が良いかな?
今までの動作がうまくしないようになったら怖いかも。
>UX302NC
って、AMAZONに売っていないんだけど。
代わりになる、ドングルってほかにどんなのがあるんだろう。
何か、リストとか提供されている?
\
 ̄ ̄ ̄|/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
-=-::.
/ \:\ _____
| カルト邪宗教祖 ミ:::| |_____ \□ □
.ミ|_≡=、´ `, ≡=_、 |;/ / / _____
.||..(゚ )| ̄|. (。) |─/ヽ. / / |_____|
...|ヽ二/ \二/ ∂ rっ / /
/. ハ - −ハ |_/( r- 三) / /
| ヽ/__\_ノ / / / /__/ (⌒ ⌒ヽ
\、 ヽ| .::::/.|/ヽ // / (´⌒ ⌒ ⌒ヾ
.\ilヽ::::ノ丿_ // / ('⌒ ; ⌒ ::⌒ )
しw/ノ ̄---┴-- (´ ) ::: )
∪| ( *≡≡≡≡≡三(´⌒;: ::⌒`) :; )
/ / ;;; \ ──┐ヽヽ,,,, | | ::⌒ )
/ / /;;;;;\ \ (⌒:: / (⌒`) | | ソ
/ / ( ̄);;;.;|;;|;;.\ ( ̄) ノ ヾ ノ ┐
/ ( ノ (.;:.::;;|.;:.|;.;.: \ノ ( ヽヽ ┴ ヽヽ
⊂- ┘( ),.;:;.;;-,;:.:;;::.l ( ) ──┐ | | ──┐ | | | |
UUUU.,;:.,:;:;,..;:,.,:;;:;;:UUUU. /. | | / . | | | |
,.;:.,:.,:;.,.,:.,;;:;::;::;:;:;.,;.:,.:;:;:,.:;:. ノ ノ ┐ ノ ノ ノ
;:.,:;.,:;.,:;.,:;.,:;.,::; ┴
>>571
ありがとうございます
NATを通せば応答は返らなくなるんですね
ただICMPのタイプ別に細かくフィルタリングするのは難しそうですね
IPv6のICMPのことをおっしゃっている?
IPv4の方です
>ICMPのタイプ別に細かくフィルタリングする(>>591)
IPv4で、そんな細かく分ける意味って?
すみません、詳しく教えていただけませんか?
○クリックジャッキング
http://internet.watch.impress.co.jp/docs/news/20151030_728285.html
○「複数ルータにおけるクリックジャッキング対策の不備の脆弱性」について
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/JVN48135658.html
業務用ルーターやFW製品、スイッチなど、いろいろ該当製品があるぞ!
FWは知らないが
ip stealth ?
×CPU&メモリ節約
○勝手にいじられたくない
なぜHTTP経由だと勝手にいじられるのか
謎である
ステルスモードとICMPのモード別フィルタリングがどう繋がるのかわからないもので…
業務用じゃない57iだったか使ってた時、GUIでフィルタ書いたら番号500000とか桁数大杉で止めた
CUIで触るときフィルタ何十個も書くと見にくくてやってられん
ちなみに勝手にいじられない対策はルーターセグメントをネットワークアドレスもVLANも分けて使ってる
>>603
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/icmp/ip_stealth.html
ステルス使ってると外からルーターにping打ってもip secure filter inの設定に関係なく応答しないが
ルーター配下のホストへはfilter inで許可してさえいればステルスの設定に関係なく疎通する
どうもありがとうございます!!
でもSRTのフィルタはGUIでしかやりたくない
YAMAHAのFWは触ったこと無いがそれには同意する
FWは何社か触ってるがGUIメインでCUI使うのは特殊設定入れるときぐらいだな
フィルタルールだけで百行以上書いてるasaでsh runしたコンフィグなんか見る気にもならん
ただGUI未対応コマンドなのか偶にCUIで触ったことが原因でGUIの挙動が変になるのが難点
Fortigateのconfigを普通のルータの感覚で9600bpsで取得しはじめちゃった時は
コーヒー飲みに退席したわ
テストツールにも流用できるし仕事早くなるよ
あっ、全部アスキーなのか。
CONSOLE CHARACTER ASCII
は化けたの見た時にやっちゃう
いや、fortiは最初からやる気がなければsh runできないだろ
女の家に上がり込むのに「いや、何もしないから」と同じだろ、それ
うちのRTX1200がおかしい。
WEB画面で、ログなどを表示させると、最初がひどい文字化けになる。
↓これ
----- "show status lan1" �R�}���h�̎��s���� -----
show status lan1
VLAN1
����:
焦って、コンフィグのバックアップは取った。
ざっと見たところ、そこは文字化けになっていなかった。
もちろん、ブラウザの設定がおかしいわけではないと思う。
同じブラウザで、別のRTX1200に接続してみると、正常だった。
これって、ロムが壊れてきているということだろうか。
ルーターとしての機能は正常のよう。今のところ。
新しいのを買いなおすべきだろうか。
MACアドレスが変わると、IPv6アドレスが変化するので、いろいろめんどいなあ。
直前に、
show log | grep url
なんてコマンド打って、待たされた挙句に応答が返ってこなかったことが影響していないかな。
たぶん、関係ないとは思うけど、ファームの領域を破壊したりして。
アップデートするのも怖い。遠隔地だし。
代替機持って、バックアップトンネル張って、いろいろ準備を整えてから、
現地に赴くしかないなあ。
あ、もちろん、restartは済ませたけど、直らない。
さきの、show log | grep url のあと、変だなあと思って、
とにかくそこからpingで対向拠点に打ったら、異常に遅い応答、応答には揺れがあった。
restart後は、いつものとおり、安定した結果を得られた。
RTX810と値段が逆転しちゃってますが
機能的にはRTX810<RTX1200ですよね?
欲しい方を買えばいいんじゃない
個人用途なら、どっちでもいい
勉強用なら、cisco買うべき
初期出荷からそれなりにたってるからなぁ。今市場に流出してるのはリースアップ品だろうから
あんまり品質は良くない気がするし。CONFIG化けちゃうかもしれないよ
なぜciscoなのか、謎である
学習コストに対する見返りが違いすぎるから納得したわ
ハード的な制約?
810やFWX120は対応してるっぽいから違うか。。。
良いだけの話じゃ無いの?
ONUからHUBで分岐したら?
そのせいで、レセプトのオンライン請求システムに組みにくいんだよな
configにセッション書いちゃえばいいんだけど、あまりにシームレスすぎて不安視されちゃうし
家庭用ルータなんかで運用してる医院でそのまま置換したいのに…
パススルーしたいってことはRTXでPPPoE喋らせたくないって意味だと思うんだけど
シームレスなんて言葉が出てくるとPPPoE複数張るのが目的なのかと
>>625のやり方で良いと思う
配線業者手配するのが嫌なんだろうけど、仕方ないでしょ
いや、ね。そのダイヤルアップPPPなんよ。
http://www.ssk.or.jp/rezept/iryokikan/download/files/claimsys28_29.pdf
この手順があるから、エンドユーザは「安全」だってイメージもってて、勝手に繋がるのは好かれてないんだわ
出荷時はオフでいいから実装してくれるともっと売れるのに
,. ..::=::... 、 > 知るかバカ!
/....::::::::::::〃 \ >
/ ⌒):::::::::::| ! : ヽ > そんなことより
, .:.....:::::::::::::::| :. ::. i >
l ::::::::::::::::::::::| :: j::::: | > オナニーだ!
」 :::::; -‐ミ::::ノノ∠... L、 >
/ヘ ⌒<こ>:::. .:: <こ>, うハ / ∧∧∧∧∧∧∧∧∧
{::〈 .::::r‐' 7.:: :::. _):::. 〉.:}
ヽ::. 、::::::::::::〈_.:::; ヽ::::::: .::ノ
ゝ!::.ヽ::::::::/_J_ }::; /`ヽ- 、
/ ∧:::::.::::::::''ニニヽ } ∧ >‐- .
_/ ///ヽ :.::::::::(⌒_ノ イ ∧ 丶、
,. ´ ////O 丶、::::::: .イ O/∧_____ ´  ̄ `ヽ
-‐'"´  ̄ __ /////////ヽ  ̄ ////////三三三三≧x ___
onu直下にハブそしてPC側にもうひとつNICでどうだろう
ルータリプレイスにそこまで手間かけたくない
週明け請求日です。
いや正にそれに悩まされてるんだけどさ。
開業医のとこ入れ替えて、前の安い家庭用のはできたのにとか言われ、もう何回同じ言い訳をしたか。
俺も悩んでるんで振らないでくれよ
ハブ買って重畳させるしかないよ
セッション入れようにもIPsec+IKE方式で提案しようにも
「ダイヤルアップで接続する以外嫌だ。今までと同じ方法でできるって言ったよね?」ってダダこねるし
>>632
しかもセッション張ったままだと確認の電話かかってくるんだぜw
それってフィルタ型ルーティングを使って接続先に応じてPP1とPP2を切り替えればいいんじゃない?
PP2がレセプト用のセッションにして自動接続の切断タイマー5分とかにしてやれば、電話も掛かって来ないし。
tp://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html
そういうのって出来ないんですかね?
【試してダメだったこと】
sntpd host lan1 vlan1に変換されて登録される
sntpd host vlan1-vlan3 そんなIP無いってエラー
sntpd host vlan1
sntpd host vlan2
sntpd host vlan3 vlan3だけ登録される
末端PCからルーター飛ばしてWAN側にあるCTU的な箱へ直接PPPoE接続させること?
自動発呼しないでスクリプトダブルクリックで手動接続して
手動切断、PC落ちた時ようにタイマー切断も入れとけよくね?
そう。
フレッツスクエアつなぐような感じ
レセは端末から直PPPoEタイプのものと、USBキーなどを併用したVPN方式の2方式があるから
PPPoE方式が面倒ならそっちを採用すればいい。
レセコン業者に 「エンドユーザーにそっちを選択してもらってくれ」と頼めばよい。
初期費用とか月額とか大抵同じだし。
色々と運用的にもそっちの方が面倒見る側は面倒見やすい。
ちなみに、以前厚生労働省は
「レセプト請求するPCは現用LANと隔離しないとダメ」と厳格に言っていたが
最近はそのへんもうるさく言わなくなった模様。
みたいだね。
最近サポートに電話したら「NICふたつで対応してる所もあるみたいだが、公式には奨められないので。。。」
と言われたわ。
だったら他の人が書いてくれてるように、RTXにスクリプト作ってトリガーでセッション開始させた方が良いかの。
しかしその分面倒見なきゃいけなくなるわけだが。
あとは素直にIPSecに移行させるかか。
それすごい思うわ。
ただ、お客さんから見たときのセキュリティー云々の概念はハブで電カル系とインターネットするネットワークとか、
画像ネットワークなんかを見たままで分けた方が安心するみたいだからいつもそうしてる。
中小規模の医院なんか相手してると、いろんな業者が勝手に入ってきて完了主義的にやってくから自然とそういう環境が形成されていく。
そのくせ、障害が起きるとたらい回しだからこまる(´・ω・`)
ってか、意外とここの住人って医療系ネットワークやってるのね。
俺とお前だけしかいないみたいだけどな
まじか。兄弟。
ip lan1 lan1 xxxx
で、lan1に末端PC群がいる前提とし、CTUも同じ lan1 に繋いでやる
そのうえで
pp select 1
pppoe use lan1
すると、lan1が共用になるが、これでダメなのか?
時々使ってる
として、lan2にCTUを繋いで
pppoe use lan2
するとき、一緒に
ip lan2 dhcp
も書いておく。ただしセグメントは別な。
そうすると末端PCからCTUの保守画面まで入れる
俺もいるw。
GE主導で組んであるとこなんかとんでもないサブネットだったりするんで
危機入れ替えで途中でいなくなったりなんかしてると何じゃこりゃ状態。
エジソンのとこだ。
CTとかMRIとか医療現場にはGEの機械いっぱいあるよ。
下請けみたいな感じになっているのかな。
MRIつくれるくらいだから、ネットワークなんて朝飯前じゃないかしら。
192.9.200.0/24がいまだに使われてたりするね。
見ざるをえない。
他の人が書いてるように色んな機器メーカーが入り乱れてたりするのが普通だから。
前はメーカー毎にネットワークが存在してたりした。
でも、結局電子カルテとは全て繋がないといけないからね。
ネットワークは中立?な立場のネットワーク屋がやるのが一番物事スムーズに運ぶよ。
一番損な役回りだけどなw
俺は世話焼きなタイプだから好きだけど。
まさにあなたはルーターだ、いや、ハブ(つなぐ)だ
オラクルが食ってからOSのみかとおもったわ
とりあえず、192.168.1.0/24のネットワークが五個あることは教えて貰った
お前ら、本当に我慢強いよな
俺は、訪問するのが嫌で嫌で仕方ない
設計も何もない・・・
そこまで酷いと泣けてくるわ。マジ同情する
natを使うにしても面倒臭過ぎる
192.1.0.0/16がどこどこ、192.2.0.0/16がどこどこ・・ってなってた
まだ重複ない分だけマシか?
固定IPな端末が4桁近くあったから、みんな気が付かないフリして作業してた
以下のようなDNS問い合わせが定期的に発生してしまいます。
IP Commencing: UDP 192.168.100.2:61610 > 8.8.8.8:53 (DNS Query [teredo.ipv6.microsoft.com])
192.168.100.2はNVR500でルータが多段構成になっていてRT58iからインターネット接続しています。
NVR500はDNSキャッシュがONになっていてdns server 8.8.8.8 になっています。
teredo.ipv6.microsoft.comで調べてみるとIPV6が有効になっていると発生するらしいのですが、
パソコンを調べたのですがIPV6にチェックがついているパソコンはありませんでした。
DNS Queryを減らしてインターネット発行を抑える方法はありますか?
静的DNSレコードを登録すると、192.168.100.1(RT58i)がDNSキャッシュから
返答するようなイメージでしょうか?
ヤフオクで安く出てる
192.0.0.0/8 の一部のインターネット上のサイトに接続できなくなる問題がのちのちに発生するんだろうね
発熱して電気代の無駄になるのでやめておいた方が良い
電気代とかはどうでもいいわ俺が払ってるわけでもないし
今のレンタルNTTルーターじゃ満足できない&カナダとL2TP/IPsecでVPN貼りたい
2台で3000円とかを買った方がいい。お友達だったら文字通り捨てるほどあるからあげるけど・・・
ただ、WAN側もLAN側も100BASEだから気をつけてね。
>>676
192.0/8は勘違いよりも古いシステムが入ってた名残で、もうIPv4枯渇したし新規に割当たることもないんじゃないかな
1.0/8あたりが使われ出したときは色々起きてたけどね。
わかりましたもっと安いのにします
速度はどうせ鯖も100Mbpsしか出ないんで大丈夫です
勉強用に使うにしても、実用性がなきゃメリットもあんまりないだろうし、どうせVPN使うんだろうから
1台はRTX1200にしておいた方が捗るぜ
リースアップで手頃になってきたし
http://closedsearch.auctions.yahoo.co.jp/jp/closedsearch?p=RTX1200
そうは思うんですがまだ高校生なのでルーターに一万はかけられないです・・・
だったらrouterboardとかのがええんでない?
いいな、高校生からRTXがつかえて。
うちなんか、5インチのNECで、DOSで、
インターネット普及数年前だぜ。
普及後も、電話回線で、ぴーぎゃーってやっていたので、
LANとか、ルーターとか、縁がなかった。
「おっさんおつ」は不要。おっさんちゃうもん。
ジジィ乙とおっさんが申し上げまする
一太郎やThe CARD3とか、
PC-PR201
PC-9821Cs2 Windows 3.1が最初のパソコンだったよ
当時、30マソ
じじいちゃう!
高校生のときに、Windows 3.1(MS-DOS 5)が最初
おっさん乙。
MZ-80とかPC-8001で
10kbytes・600bpsのテープレコーダーが
記憶媒体なんて口が裂けても言えねえな。
30年前から無線通信の先駆けで、
「マイコン入門」ってテレビ番組の音声を
録音して空気媒介でデータ通信してたぞ。
自分語りなんて他人にとっては犬の糞以下
なんと、0.X.X.Xという感じで、0から始まるIPv4アドレスを発見。
盲点だった。初めて見た。
1/8は有名だけど。
スパムメールだとよくそういうことやってたから、BogonIP使う時に問題になったよね。
うちのATOKは7からだわ。
ATOK3ってjXWord太郎の頃じゃね?
一太郎ver3だよ
(´・Д・;) オエッ、ゲロゲロゲロゲロゲロ
( | | )
`u | |u' ダーッッ
_⊂ ;;;;;;⊃
⊂_>>xxx;;;;⊃
⊂_;;;;;⊃
リース切れ
(´・ω・`)やっぱそうか
いやいやいやいや
RTX1200は大量に流れ着いてたよ
初期IPアドレスが定義されてるからコンソールケーブル持って無くても扱えるし、
素人にもいいかも
ならまだまだ現役で行けそうだけど。
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/TCPIP/routing-performance.html
まあまあ使えると思うよ
それNAT無しでの計測だろうし
http://www.tncjp.com/contents/20091113_Router-TNCB.pdf
,イ /
// ttp://ascii.com/ |
/ ,ィ介i | う ぶ き
{. |l ,イ ///|| | ち っ え
,-.、Vl / | /// | | 」 に と ろ
lこ!l ! ト ト.l | !i | ヽト、< な ば
| l Vヽ トjヽ\!l ,>‐_ニヽ さ
| | \ ! く__・、jiLノ・_´フ .|| れ
| | __ ヽ} -‐ -─‐ レヘ. ん
_r‐j >イ fヽ l ノ __ ,イ-ハ
/ ′、 i {ノ-、 ヽ `t_/ /| /´ヽ
〈 ヽ l | } \ -' j | \
ヽ / |  ̄ L
ヽ / -─ フ′ `ヽ─- 、
ヽ ヽ /`ー-、 ,. -─ '/ ー- 、
f‐--── 'ヽ { ~ / /, -──‐-\
/| | ヽ / /// ヽ
http://www.sankei.com/economy/news/151111/ecn1511110004-n1.html
VPN(L2TP/IPsec/IPv6)にもRTXは対応済みなんだろうか?
OpenSWANとRTX間のIPsecでは、IPv4 over IPsec/IPv4は使えた(条件あり)が、
IPv4 over IPsec/IPv6は出来なかった。
スマホからだとかなりの頻度で忘れちゃう
個人特定および追跡のために、スマホに(半)固定IPv6を名乗ってもらいたいのだろう
今のとこモバイルでIPv6やってるとこってprefix別に固定じゃ無かった気がしたんだけど
さすがに中古は突然死したりするから避けたい
カネをドブに捨てるようなものだな
中古屋もボッタクリ過ぎ
中古は突然死しても問題ない用途にしか使わないだろ
最近は真っ先に逝く液コン使ってないし
新品1台より中古2台で運用したほうが場合によっては安全だと思う
寝る時にわざわざ電源切るって事?
fusianasanの警告つけてくれよ・・・
データだけでそこまで寿命変わるとも思えないけど
負荷がかかるってこと?
24時間パケットが流れっぱなしってこともないでしょ
劣化だったら一番考えられるのは電源周りだろうしあまり関係ないと思うが
法人や家庭云々よりも埃かぶるような環境じゃ故障率もあがるだろう
なんてナ。
個人宅のルーターのほうが過酷だ
うちで使ってる1210はマンションののマルチメディアポートがウォークインクローゼットにあるので
一緒に入ってるから環境は良くない
どうにかならんもんか
出したらうるさいし閉めとかないとクローゼットに入れた意味が・・・
RTX、RTシリーズの寿命の経験からいうと電源入れ直すと復帰するけど数週間で再発して‥を繰り返すようになったり、CONFIG書き込めなくなったりが予兆になる
それでも皆さん、顧客からシステム頼まれたとして節約用に中古ルーター使いますか?
少なくともわたしは嫌ですね
なるほどー壊れたことないから参考になる…
じつは他人の担当してるのが壊れたのを眺めていたことはある。
中古なんか売る仕事なんかしたくねー
というか、それじゃ飯食えないよ
せめてYamahaは新品で買ってくれる客でなければ
付帯費用も払えないだろうし
年間保守料調べたら雀の涙なんだもんな。
Cさんと違って故障率も低いし、いい機械すぎてリプレイスまでノーTo LOVEるがザラ
ホームゲートウェイなんかの配下にあって、IPv6のプリフィックスを網から取得している場合、
MACアドレスが変わる関係で、きっとプリフィックスも変わってしまうだろうから、
VPNの設定をし直さなければならないのが辛い・・・
EUI-64使わなきゃいいんでないの?
この辺参考になるかも
http://jp.yamaha.com/products/network/solution/flets/flets_other_service/flets-next-ipv6_ipoe-nvr500/
いや、128bitアドレスの自動生成のことじゃないんだ。
NTT光ネクストのホームゲートウェイが、プリフィックスの元になる53bit?くらいのアドレスを網から取得する。
ホームゲートウェイはそれを小分けして、/64bit長プレフィックスとして、配下のRTX1200に配布している。
もしRTX1200を置き換えたら、そのLANインタフェースのMACが変わるので、ホームゲートウェイは別機器が増設されたと勘違いして、
別のプレフィックスを払い出す。
すると、RTX1200のそのLANインタフェースのIPv6 GUAが変わってしまう。
745だけどHGWは網から/56で貰って配下にアドレス振る方法は2つだと思う。
1. RAで固定的に/64
2. DHCPv6PDで/56
745で張ったのは2の方で746見てるとここが配下の端末のmac次第で別の/56になっちゃうってことかな?
1の方で以下みたいな書きっぷりだとどうだろ?
http://jp.yamaha.com/products/network/solution/flets/flets_other_service/flets-next-ipv6_ipoe-rtx1200/
うちのところの設定は、rtx自身はHGWにつながっているLANインターフェイスのipv6アドレスをdhcpで取得していた。
ipv6 lan3 address dhcp
ipv6 lan3 dhcp service client
show status ipv6 dhcp でみたら、prefix: 2xxx:xxxx:xxxx:xxxx::/61 ということになっていた。
/61の長さのbit列をもらっているようだ。
rtxは自分自身のHGWにつながっているLANインターフェイスを、自分のmacアドレスと組み合わせて自動生成していた。
show ipv6 address で見ることができた。
グローバル 2xxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx/61
61というのが奇妙だな。rtxは62〜64bitまでを自由に使えることを表していると思うけど、
あくまでもlanインターフェイスのipv6アドレスのことなので、そこは/64と表記されないんだろうか。
ところで、その設定例の中の、LAN2インターフェイス(HGWと接続されているところ)についての設定に注目しました。
そのなかの、ra-prefix@lan2という変数は、HGWから得たプリフィックスを表すと思う。
>配下の端末のmac次第で別の/56になっちゃう
そうだと思う。
そうなってくれなければ、HGW配下に2台のRTXが設置されていてそれぞれプリフィックスを受けている場合、
もし、両方のRTXの電源を落として、どちらか一方のみを起動したとき、今度は以前と同じプリフィックスの割り当てが保証されなくなると思う。
HGWと、OGWとは、このことについて挙動が異なるって話なかったっけ?
DNS名前解決用の動的フィルタ↓を作成しておけば、安全度は非常に高まると思うんだけど。
ip filter dynamic 100 * * domain
それでもヤマハがいうように、キャッシュ機能はoffにしなきゃだめか??
動的フィルタを挟んでおけば、ポートが開いている時間がかなり短くなるし、
実際にクエリを投げた先のDNSサーバのIPアドレスのみ受け付けるようになるので、
かなり安全だと思うんだけど。
それとも、udp53宛のパケットは、さらに上段に構えたNAT機能付きルーター(キャッシュ機能なし)に投げて、
送信ポートのランダム化を最大にやってもらったら、文句なしだろうか?
1>「本物より先に」
2>「本物のIPアドレスを詐称して」返すのが毒入れ
それを実現しようとしたら、インターネット通信経路上(RTXと権威DNSもしくはキャッシュの間)に攻撃者がいるということになりますよね。
プロバイダ内に潜んでいるなんて考えられないし、権威DNS周りのLANに潜んでいるとも思えない。
1は適当にパケットを投げれば実現できるが、動的フィルタにはじかれるのがオチだろう。
2は上のような事態にもならない限り、IPアドレスなんてわかりようがないと思うんだが。
よく言われている対策としての発信ポートのランダム化なんて無意味なことになってしまう。
% Information related to '192.218.140.0 - 192.218.140.255'
inetnum: 192.218.140.0 - 192.218.140.255
netname: MELCO-IPNET2-CIDR-BLK-JP
descr: Mitsubishi Electric Corporation
country: JP
192.0.0.0/8から振り出されているんだな
内部に攻撃者がいたらどうだろ
っての以前に、DNSキャッシュサーバとDNSプロキシー(フォワーダ)がぐっちゃになってる気がする
YAMAHAが警告出してるんなら、DNSキャッシュサーバとして機能するんだよね?
気持ち悪いのですが、PPTPをステルス?みたいなことって
できないんですかね。
別にブロードキャストとか出してないでしょ?
ポート開けてるだけなんだから
いやだったら閉じればいいんじゃね。
RTXって、キャッシュ機能もってないの?
中華アドレスブロック登録してリジェクトしてログ吐かないように設定すれば?
>>760
show dns cacheでみれるとおりじゃね
じゃあ、キャッシュ有ということだなあ
超期待してる
それ追いかけ続けるの?労力の割に中途半端な効果な気がしてならない
最近の話だとMVNOなあるISPはアドレス全て海外から買い取ってきた空間をユーザに振ってたりも。
コピーしてほしい
ある
以上
Linuxのiptablesで使ったりしてたわ。
まだあるんかは知らん
100.64.0.0/10 じゃなくて?
http://uproda.2ch-library.com/908578crY/lib908578.txt
負荷かかりすぎだろうなw
頂きました
自分でつくったんですか。
もちろん、スクリプトで作成したんだと思うけど。
このコマンド、本当に、rtx受け付けてくれるの?
負荷かかるの?
専用エンジン持っているんじゃなかったっけ?
_,,. - '''''''"´ ̄ \
/ O ``ヽ
/ ',
O ,'
l o |
|_,,,... __ _ -=ニニ|
Y __,,...-=-、,_ ̄`7ー-‐7''´三__三`"゙,ソ
〈 _,,.-,=―=-.、 /;;;;;;o;;ヘ\ヾ,/
i/. l;;;;;;;;;o;;;;;jヽ、 / l;;;;;;;;;;;;;;;;;;;;j ヽ〈
i!i;:;:;: ヾ;;;;;;;;;;;ノ_,,ノ' ヘ ヾ;;;;;;;;;;;;ノ !i
l `==='''"゙ ̄ i ' , `''ー--―''"´ i
|; -― i ! =='= ', あぎゃー
l;:; .i ! l
.∨;; i ! , |
∨ ル i .,' ハ; l
∨ /, \ ', / ヾ; l
ヾ ''7、 ヽ, / l;;;ヾ . ノ
ゝ ヾ ヽ_ノ _,.-=;; /
\ ゙゙''-―==..,,_,,.=´ニj,´ /
\  ̄_≧≦, /
\ ´ ` /
ヾ::;;;;;;;;;;;::/
`ー-´
負荷?
特に遅くなった気はしないんですが、ちゃんと測ったわけではありません
意図あってオープンレゾルバ立ててるんですが、中露を筆頭に世界中からのDNS AMPが酷くて
日本からのクエリーだけ通すために書きました
おおなんだこれ
> PTR IN 9/300 r._dns-sd._udp.x弛絃
客に提案するなら素直にFortiだけど、自宅でRTXを使ってる身にはマジ助かる
海外出張の暇つぶしに自宅RTXにVPN張って動画見てるからぐらいだから、普段使いのフィルタとして>>773を活用させてもらうよ
わざわざルータにつながなくてもSDでブートコンフィグを手軽に切替出来るしね。
普段はconfig0で海外出張時SDって感じ
sharedじゃなくてglobalの方
ざっと検索しても仕様が見当たらないんだけどこれ一行あたりに並べられるIPアドレスの数は決まってるの?
ざっと検索したら出てきたよ
http://www.rtpro.yamaha.co.jp/RT/manual/Rev.9.00.01/Cmdref.pdf
>1 つのコマンドとして入力できる文字数は、コマンド本体とパラメータ部分を含めて最大4095 文字以内です。
みんな重宝がっているけど、>>773の国内通信用ホワイトリストって、今までになかったのか?
作るのって大変なのか?
どこかの機関で公式に提供されているんだと思っていた。
sauce?
ブルドッグ
カープソース
本当に力技だったw
configそのものよりも、これらのIPアドレス群を収集する方法の方が知りたい。
自動化できそうな方法なのかなあ? 自動化できないとリストの更新が困難だよねえ。
>>787
それでメシ食ってる会社があるくらいなんだから、公式に公開されているものは無いと考えるのが妥当。
お、どもどもコマンドリファレンスに載ってたとは
あとは某サイトからiptables用のファイル拾ってきて整形するスクリプト組めばいいかな
0.0.0.0から255.255.255.255まで全部tracerouteすればええんや
結果見て自動で振り分けるpythonでもrubyでもperlでも書けばええがな
まあIPいくらでも変えられるし問題ないでしょ
ってか、1行4095文字のほかに制限ないのか??
確か使えるフィルタの上限があったと思う
>>773を参考にして俺も自分が行く国のフィルタを作る事にするよ
1行の制限目一杯まで入れてやれば足りないってことはないんじゃないかな
ttps://ipv4.fetus.jp/
アメリカは予想してたけどハンパなく多いな
コネクションの1発目はノーマルパス処理だし、ファストパスっても所詮はソフト処理だしCPUは食うよ
こんなことがあるから、絶望的・・・
これみていると、日本って、PC、スマホ、携帯社会なんだなと思った。
Merged CIDRが便利そうだな
ドッカン
m ドッカン
=====) )) ☆
∧_∧ | | / / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( )| |_____ ∧_∧ < おらっ!糞ヘタレ出てこい
「 ⌒ ̄ | | || (´Д` ) \___________
| /  ̄ | |/ 「 \
| | | | || || /\\
| | | | | へ//| | | |
| | | ロ|ロ |/,へ \| | | |
| ∧ | | | |/ \ / ( )
| | | |〈 | | | |
/ / / / | / | 〈| | |
/ / / / | | || | |
/ / / / =-----=-------- | |
売りミスったっぽいのとか
安い!簡単!
1200と107eで50拠点vpnで接続してるけど、無問題!107eなんて中古で2000円くらいだから壊れてもOK!
実用スピードでてるのかな?
citrix使ってるなら全然余裕だろけどね。
遅いよ
でもそんなに速度必要ないし
遅延少ないし、いいよ!
東京 大阪間11mmくらい、こないだのOCN重かった時はドキドキしたけど
やっぱり速度は犠牲になるよねー
安くっていくらくらい?
体感でも早くなるからうれしいよね。
山積みになってたしまとめて切れたんだろ
こっそり自分用に持ち帰ってるけど
ヤフオクに流すとか無理
糞安いお小遣いのために職を失うとか無理
一万ならありだね。
安いのが出てくれるのは助かる。
流れても新品と大して変わらんだろ
どうなった?
眠ってるのがまだあるかもしれんが
ip a だし。
マジで?14万払って買い換えるメリットあるかなぁ
RTX1200と値段は一緒じゃないの?
2台分の金額では?
ですお
それとは別に「悩む理由が値段なら買え、買う理由が値段なら止めておけ」
みたいな言葉もあるしRTXに繋がってる線がGigaなら1210の効用はあるんじゃないかな?。
紹介ページの基本性能で数字が増えてるところのいずれかがかかわるような使い方しているなら1210買って損はしない。
だとしたらRTX1210を使いきれるほどネットワークフルに使ってるの??
それは間違いない
メインPCで何もしてなくても常時下りは140Mbps上りは80Mbpsで通信してるわ
ストリーミングとミラーサーバーとメインPC
OK?
|●|
└―┘
まーるかいて
┌─┐
|● l
├─┘
_|__
/___ノ(_ \
/._愛●国_ \
/ ノ(( 。 )三( ゚ )∪\
| ⌒ (__人__) ノ( |
\ u |++++| ⌒ /
┏━━┓ ┏┓ ┏┓ ┏┓ ┏┓ ┏━┓┏┓
┗┓┏┛ ┏━━┛┗┓┏━━┛┗┓┏━━┛┗┓┏━━┛┗┓┗━┛┃┃
┏┛┗┓┏━━┓┗━┓ ┏┛┗━┓ ┏┛┗━┓ ┏┛┗━┓ ┏┛ ┃┃
┗┓┏┛┣━ ┃ ┏┛┃┃ ┏┛┃┃ ┏┛┃┃ ┏┛┃┃ ┏┛┃
┏┛┃ ┣━ ┃┏┛┏┫┃ ┏┛┏┫┃ ┏┛┏┫┃ ┏┛┏┫┃ ┏━┛┏┛
┗━┛ ┗━━┛┗━┛┗┛ ┗━┛┗┛ ┗━┛┗┛ ┗━┛┗┛ ┗━━┛ 👀
Rock54: Caution(BBR-MD5:0be15ced7fbdb9fdb4d0ce1929c1b82f)
FWX120とRTX1210って、configの互換性どのくらいあるか知ってる人いる?
RTX1210届いたらconfigコピペってみろって言われりゃそれまでだけど
RTX1200とか。
そのくらいの値段で、わざわざRTX1200の新品を買った俺は?
何を求めるかは人によって違うし
どんまいける
ぶっちゃけ、コンソール端子がD-sub 9ピンじゃないと絶対ダメってことじゃなければ
RTX1200の選択肢は激安中古じゃない限りないと言える
追い討ちをかけてすまんが
まあ3年前とかあるいは>>862みたいなこともあるし
べつにいいんじゃない?
その名前欄なら別にいいんじゃない?
so-netの中の人が(ププ、こいつまた名前欄入れ忘れだよ)
と思う程度なんだし。
でもまあそれをのりこえるだけの性能差はあるね。
自宅鯖があるんだよね
一概に新製品だからいいとは限らないのが実務的な話。
へー固定IPなんだ?
余計なこといわなきゃいいのに・・
踏み台になってる客のRT58iが悲鳴あげててワラタ
RTX1210も初期設置組は調子悪くて速攻ファームアップ再訪問したしな
ってばあちゃんが言ってた。
悪天候の長時間の停電とか、ゴロゴロっ鳴ってても復電したら元に戻ってる。
ciscoでは何度か泣かされた。
中古でもなぜか安心して使えるイメージ
pftopみたいな
なにげにTA代わりにもなってたりするし
ない。xflow対応もしてない。
俺は絶対にやらないけどさw
通信先はわかっても、通信先毎のデータ量は分からんと思うけど
RTA50iが現役です。ログの採れる DSUとして会社の PBXの ISDNトランクにて活躍中
Ciscoならteardownで取れるのに…
いまさらそんな事するメリットがあるのか?
プログラムから制御するときめんどそうって
今どの階層にいるのかとか、pwdコマンドみたいなのがあるわけでもないし
ルータはまだマシなほうだと思う。
問題はスイッチ
謎である
APCのUPSもひでーよなって思ってオムロン使ってみたけどもっとひどかったの思い出した。
セルフテストで落ちるどころかバッテリ劣化で電源すら入らないとか頭おかしいだろ
今はCyberPowerを使って満足している
使いにくい方が技術いるから飯の種になる
cisco startが最たる例。
あれって元は新興国向けだったらしいけど、日本でもだそうぜって日本法人が働きかけたらしいよ。
機能面ではまんまYAMAHAをイメージしたらしい。
出た、小物の発想
CISCOが使いにくいと言ってる人に聞いてみないと分からないね。
売価が意識してるよな。って最近倉庫にメラキが山積みになって思った
アホでも設定出来れば高額な設定費なんて請求できんし
会社にもいるわそういうやつ
方法さえわかれば誰でもできちゃうことを知ってるから
あえてその方法を教えないで自分のポジションを守る奴
センスあるインターフェースってどんなの?JUNOSとか?
IPv6 PPPoEが使えない理由ってなんだろう?
fwx120で試してみたが実際使えない感じだった(アドレスが割り当てられない?)
なんとか抜け道無いのかな
それだったらそもそもインターフェース用意しないでゼロコンフィグ化したら良いのでは?
典型的な中身の無いダメ要件定義を見た
ただ、優れたインターフェースを目指すならGUIで全ての設定ができることが望ましい
お前大丈夫か?
ストレスかなり溜まってるみたいだから病院いった方がよいぞ
フロントエンドはどっかが作るでしょう
ゼロコンフィグ化で対応してもよいが、柔軟性をどう確保するかが課題
ネットワークの知識がない人向けならそれでもいいが、プロ仕様としては
使用に耐えられないだろう
半端にUI作り込んでコストになるくらいならそっちのがいいなぁ。
SEIL,SMFみたいなのが良さそう?
ごめん、気に触った?
普通ベースにするconfigを何種類かテキストで用意しておいて必要な部分だけカスタマイズして流し込むだけでしょ
YAMAHAはCUIとGUIの双方で操作したらグッチャになる糞仕様だし尚更な
そしてそれはすでにできてる
あとは、全機能をGUIでも設定できるように作ればいいだけ
どのへんでGUIじゃないと不便感じるの?
一般的に使うとして
プロバイダー設定(モバイル含む)とVPNとフィルターとNAT設定ぐらいじゃね?
まぁRTXのGUIは設定関連以前に毎回迷走してる感じはするな
SEIL売れまくってるよね
今となってはコマンド覚えちゃったからいいんだが、理想はコマンド覚えたり調べなくても全設定ができること
そうなんだ。
ひかり電話契約あるならHGW使ってのipv6接続は出来るか試した?
あと、接続端末の探索。
1210はそうでもないけど1200のGUIが重すぎてスイッチ増えると非力な現場用ノートPCだと表示できなくなる。
どこ情報だよ…
クソ高ぇルーター、事実上IIJが自社サービスを展開するところでしか使われてないんじゃないの
エグザイルな
すまん、つい英語読みしてしまったw
PROXY向けてネクストホップさせる
PROXYで、HTTPを解析して、POSTの内容を書き換え
それルータのお仕事?
Winny,Shareチェックとかもルータのお仕事じゃないよね。
LAN1のエラーカウンタがカウントアップしています。
がうざい・・・
って出るけどマニュアル見ても載ってないからなんのことだかわからない。
>>953
FWX120でもよく出るわ
原因は受信バッファーオーバーフローが発生すると出る
[トップ] > [詳細設定と情報] > [システム情報のレポート作成]
の【LANx情報】で確認可能
やっぱりオーバフローが出た時に出てるのか。
他拠点のRTX1200とか810見てるとちょくちょく出てるっぽいけど、わざわざメッセージ出してこないしなぁ
他のアラートのご迷惑になるので消したい
# show status lan1
:
Receive overflow: 2978
サンクス
<YAMAHA業務向けルーター運用構築スレッドPart17>
http://hayabusa6.2ch.sc/test/read.cgi/network/1450925974/l50
スレたてはありがたいけど、スレ一覧を検索してからやって欲しい
>鹵獲
FPSゲーマーだろあんた
あいつ本当にメンドクセーやつだから
前年みたいに、またスレッドへの書き込みが激減りするんだろうな。
いや逆だ。
抽象的なアイデアを具体化したものがルーターだろう。
ソフトウェア+ハードウェアのアプライアンスのようなもの。
そもそもわざわざ有線ルーター買って遊ぶやつがいないだろ最近は
特に1210ぐらいの規模
いまいち何がしたいのか謎
ここ通信技術板だし、原則これで飯食ってるやつばっかりだと思うんだが
>>970は一般的な話題提起じゃないの
これだけで飯食えない
ヤマハ、アライドやらされてる奴は
なんでもやらないと飯食えない人
ヤマハは特に本業は鯖だったり交換機だったりプログラマーだったりするイメージ
この世にCISCOでないとダメなことなんてない
CISCOが潰れれば代替企業が繁盛するだけ