YAMAHAヤマハブロードバンドルーターpp select 32
レス数が1000を超えています。これ以上書き込みはできません。
ヤマハルーターを個人で使用する人のための情報交換スレッドです。
旧ネットボランチシリーズと、その流れを汲むNVRシリーズと、
RTXシリーズなど企業向けの機種に関しても設定方法や使い方、
ハードウェア寄りの話題はこちらで扱います。
個人使用の範疇を超える内容や業務用ネットワークの構築・運用に関しては
通信技術板の「YAMAHA業務向けルーター運用構築スレッド」へお願いします。
YAMAHA業務向けルーター運用構築スレッドPart24
https://mao.5ch.net/test/read.cgi/network/1609198305/
両スレッドを臨機応変に使い分けていきましょう。
ヤマハネットワーク製品
https://network.yamaha.com/
ルーター|製品情報|ヤマハネットワーク製品
https://network.yamaha.com/products/routers/
ヤマハネットワーク周辺機器の技術情報ページ
http://www.rtpro.yamaha.co.jp/
前スレ
YAMAHAヤマハブロードバンドルーターpp select 31
https://mevius.5ch.net/test/read.cgi/hard/1618238582/
YAMAHAヤマハブロードバンドルーターpp select 30
https://mevius.5ch.net/test/read.cgi/hard/1607523704/
YAMAHAヤマハブロードバンドルーターpp select 29
https://mevius.5ch.net/test/read.cgi/hard/1595164990/
上記以前の過去スレは、まとめWikiを参照してください。
まとめWiki
http://wikiwiki.jp/yamaha-rtpro/ 前スレの954です。
その後の状況だけ。
FTPSに加えて同じサーバでHTTP/HTTPS/SSHも公開し、この状態で特に問題なく動いています。
ip pp secure filter in 51 53 54 55 98 dynamic 51 53 54 55
…
ip filter 51 pass * 192.168.0.1 tcpflag=0x0002/0x0017 * 990
ip filter 52 pass * 192.168.0.1 tcp * 5000-5049
ip filter 53 pass * 192.168.0.1 tcpflag=0x0002/0x0017 80
ip filter 54 pass * 192.168.0.1 tcpflag=0x0002/0x0017 443
ip filter 55 pass * 192.168.0.1 tcpflag=0x0002/0x0017 22
ip filter 98 reject * * * *
…
ip filter dynamic 51 * 192.168.0.1 filter 51 out 52
ip filter dynamic 53 * 192.168.0.1 filter 53
ip filter dynamic 54 * 192.168.0.1 filter 54
ip filter dynamic 55 * 192.168.0.1 filter 55
…
nat descriptor masquerade static 1 51 192.168.0.1 tcp 990
nat descriptor masquerade static 1 53 192.168.0.1 tcp 80
nat descriptor masquerade static 1 54 192.168.0.1 tcp 443
nat descriptor masquerade static 1 55 192.168.0.1 tcp 22 >>4
SSHは特定IP限定にした方がいいよ。
ブルートフォースアタックでルーのリソースも持っていかれる。 >>5
アドバイスありがとうございます。
ログイン試行回数の制限とかはかけてますが、可能ならIPも制限する方がベターですね。 >>4
>nat descriptor masquerade static 1 55 192.168.0.1 tcp 22
自分んとこは、例えばSSHとか
nat descriptor masquerade static 1 55 192.168.0.1 tcp 4989=22
みたいな感じで外部からアクセスする時のポート番号は想像されにくい値に変えてる。
気休め程度だけど。 >>9
ログ見てると、反応のあるポートを見つけると、その応答からサービスを判定し、判定用アクセスから少し経った後にブルートフォースアタックを行う組織があるみたい。 ブルートフォースアタックの類って、パスワードはもちろんだけどアカウント名もある程度複雑な規則にしておけばまず破られないように思うんだけど、どうなんでしょうね。 >>11
破られる以前に、
1時間ほど10回/秒でアクセスしてこられたのでfail2banで弾くわけですが、当然ルータの負荷上昇を抑えることには繋がらないので、結構リソースを持っていかれました。 >>12
あっ、なるほど…
fail2banでルータのフィルタ自体を操作するような事が出来たらいいのに そうか、今時の侵入攻撃ってVPNとか使って身元を隠しつつIPをコロコロ変えながらつっついてくるから厄介なんだなぁ。 素朴な疑問(愚問)。
これはあくまで例だけど、例えばLAN内サーバ(192.168.0.1)のRDPをTCP/UDP両方で公開する場合、静的フィルタなら
ip pp secure filter in 61 62 98
〜
ip filter 61 pass * 192.168.0.1 tcp * 3389
ip filter 62 pass * 192.168.0.1 udp * 3389
ip filter 98 reject * * * *
〜
nat descriptor masquerade static 1 61 192.168.0.1 tcp 3389
nat descriptor masquerade static 1 62 192.168.0.1 udp 3389
こうなって、>>4の例にならって動的フィルタにしたら
ip pp secure filter in 61 62 98 dynamic
〜
ip filter 61 pass * 192.168.0.1 tcpflag=0x0002/0x00 * 3389
ip filter 62 pass * 192.168.0.1 udp * 3389
ip filter 98 reject * * * *
〜
ip filter dynamic 61 * 192.168.0.1 filter 61 out 62
〜
nat descriptor masquerade static 1 61 192.168.0.1 tcp 3389
こんな感じになるじゃないですか。
で、この状態で>>9みたいにポート番号を変えたいとして
nat descriptor masquerade static 1 61 192.168.0.1 tcp 53389=3389
とかやっても、動的に作られるUDPのNATの方はポート番号の変換までは追従出来ないですよね? >>13
そういうのはIPS/IDSの分野
一応YAMAHAルータにも載ってるね 例えばLAN内サーバ(192.168.0.1)のRDPをTCP/UDP両方で公開する場合、静的フィルタなら
ip pp secure filter in 61 62 98
〜
ip filter 61 pass * 192.168.0.1 tcp * 3389
ip filter 62 pass * 192.168.0.1 udp * 3389
ip filter 98 reject * * * *
〜
nat descriptor masquerade static 1 61 192.168.0.1 tcp 3389
nat descriptor masquerade static 1 62 192.168.0.1 udp 3389
こうなって、>>4の例にならって動的フィルタにしたら
ip pp secure filter in 61 98 dynamic 61
〜
ip filter 61 pass * 192.168.0.1 tcpflag=0x0002/0x00 * 3389
ip filter 62 pass * 192.168.0.1 udp * 3389
ip filter 98 reject * * * *
〜
ip filter dynamic 61 * 192.168.0.1 filter 61 out 62
〜
nat descriptor masquerade static 1 61 192.168.0.1 tcp 3389
こんな感じになるじゃないですか。
で、この状態で>>9みたいにポート番号を変えたいとして
nat descriptor masquerade static 1 61 192.168.0.1 tcp 53389=3389
とかやっても、動的に作られるUDPのNATの方はポート番号の変換までは追従出来ないですよね? >>18
動的に生成されるNATにポート変換させるのは無理だと思う。
つか例えがデンジャラス。 IDS……
FWS120の後継って結局出ないなぁ。 >>18
一応聞くけど、何のためにそんなことをするの? >>21
RDPはあくまで例であって、本当にRDPを外に公開したい訳ではないですヨ。
現在似たような構成でTCP/UDP共にポートを変えて公開しているサービスがあって、nat descriptorを二つ並べて書いているんですが、片方を動的に出来るならしたいと思ったけど無理っぽいね?という話でした。 >>22
多分「動的」の意味が違うのを気づいてなくて、おかしな話をしているように思う。 ま、RDPはRTXにVPNで入ってから、
が普通だからな >>23
ありゃ、何か変な勘違いをしているでしょうか。
動的フィルタリングを使うと、必要に応じてNATも動的に生成される(上の例だとUDP3389)という理解なんですが。 NVR510の後継マダー
10GbE対応
SIPサーバー対応
実現して欲しい。 >>20
そういうのはUTX100/200になるな
コスパ激悪だが >>27
ちょっと個人で気軽に買える代物じゃないねぇ・・・ >>28
省力化?
何の省力化の話だろう、誰の他の方と勘違いしてる? >>9-10
SSH(TCP22)を使うメンバーはごく限られているので、ポート解放はやめてVPN(L2TP/IPSec)越しのみに変更しました。 >>4
PPTPが現役の時代の話だけど、昔こんな書き方でダイナミックフィルター使ってたの思い出したわ。
ip pp secure filter in 101 498 dynamic 11
ip filter 101 pass * △.△.△.△ tcpflag=0x0002/0x0017 * 1723
ip filter 102 psss * △.△.△.△ gre
ip filter 498 reject * * * * *
ip filter dynamic 11 filter 101 out 102
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 △.△.△.△ tcp 1723
ダイナミックフィルターはTCPフラグの影響受けてなかったし、GREはIPマスカレード勝手にやってくれてたよ。 PPTP、今となっては色々アレだが使い勝手が良かったので結構お世話になったよな。 >>33
L2TPはWindowsだとYMS-VPN8使うかレジストリ変更しないとNATトラバーサル使えないしな
結構不便 >>29
ご時世的にファイアウォールルータ用途はUTMじゃないと生き残れない
世知辛いのよ >>18
動的に作られるIPマスカレードはあくまでダイナミックフィルタの設定に準じてて、nat descriptorは何も見てない筈だからポート番号の変換は無理な筈。
自分だったらサーバ自体のポートを変えるかな。 >>34
NAT-TはIPSecに関わるものの呪縛……Windowsさんはなんでデフォルトでオフに変えちゃったんだろね。
ああ、RTXもWireGuardに対応したりしないのかしら。 ネットボランチDNSを使っている既設ルータを新しいものに置き換える予定なのですが。
可能ならなんとかホストアドレスを引き継ぎたいのですが、これはもう運任せで、必殺技みたいな物はないのでしょうか。 >>38
前のルータで登録削除
ですぐに新ルータで登録
それでいけた >>39
ありがとうございます、一か八かトライしてみます。 >>40
何回もやってるが基本行ける
ルータ開発者の方のブログでもホスト名引き継ぎについて書かれてるから大丈夫
なお途中のホスト名の後の識別名がaa0なら一回で行ける
aa1以降の場合は登録処理を2回以上やって対応する必要があることもある >>41
やってみたところ、既設ルータの識別名はaa5だったのですが新設ルータはaa0になってしまいました。
登録処理を2回以上というのは、新設ルータで削除と登録を繰り返すという事でしょうか >>42
新設ルータで削除せずに登録を繰り返す
Webでできなければコマンドで登録
aa5が取れたらコンフィグを保存
aa5以外を登録解除する
その際にaa5はNetvolanteDNSサーバ側の登録は残ってるのにコンフィグはないという状態になったらその部分のコマンドを足してあげる
説明足りないけどこんなところ >>43
丁寧な説明ありがとうございます、無事同じホストアドレスを割り当てる事が出来ました。
一台のルータでサーバ側に複数登録出来る仕組みを理解していませんでしたが、なるほどですねー。
これってアレですね、既設ルータが故障で交換とかの場合だと削除操作が出来ないので、ホストアドレスは永久欠番状態で引き継ぐ事は出来ないですよね。
当たり前っちゃ当たり前か。 >>44
拙い説明で理解してくれて助かる
故障するとホスト名を引き継げないのはシステム的な欠点
あとフレッツのIPoEでは現状のファームウェアでは対応出来ない問題もある
この辺の問題への対策をYAMAHAがやってくれるのか不透明なのよね >>44
ヤマハのサポートに壊れたからDDNS削除してくれって連絡すれば削除してもらえることもあるらしいが端末の紐付けされてたIFとかシリアルとかMACアドレスを連絡しないといけないとは聞いたことある
やったことないからわからんけど >>46
その辺、やったことある人の話が欲しいな
ちなみにYAMAHAのシリアルとMACアドレスはconfig情報に一緒に入ってるから調べるのは楽 ヤマハルーターのnetvolante-dnsの引っ越し(前編)-ルーター交換(2)
ttps://blog.goo.ne.jp/takuminews/e/c35f880cda4153077418ddf624a5e3ca
後編が見つからない… NVR510 PPPoEパススルー設定済
|
RTX830 ネットボランチ設定 ipv4
ipv4はPPPoEで、動的グローバルip取得済み
という構成をしたいのだけど、
ネットボランチのサーバ登録で失敗します。
どなたか教えていただけると助かります。 >>32
たとえばこういうL2TP/IPSecのテンプレート的な設定も、ダイナミックフィルタを使えば同じようによりセキュアに出来るんじゃね。
ip pp secure filter in 101 102 103 104
ip filter 101 pass * xxx.xxx.xxx.xxx udp * 500
ip filter 102 pass * xxx.xxx.xxx.xxx esp * *
ip filter 103 pass * xxx.xxx.xxx.xxx udp * 4500
ip filter 104 pass * xxx.xxx.xxx.xxx udp * 1701
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 11 xxx.xxx.xxx.xxx udp 500
nat descriptor masquerade static 1 12 xxx.xxx.xxx.xxx esp
nat descriptor masquerade static 1 13 xxx.xxx.xxx.xxx udp 4500
ipsec transport 1 1 udp 1701 >>50
IPoEのトンネルインターフェースにネットボランチDNSが割り当てられない問題かな。
(現行のファームウェアでは無理)
ここの記事とか参考にどうぞ。
ttps://okwave.jp/qa/q9755167.html >>52,53
50です。
ありがとうございます。
ひとまず、一つ一つ再確認します。 >>32
ここでの例に倣うとこんな感じだろうか…やりすぎ?
でもこれだと1701ポートまでIPマスカレードされて(不要)気持ち悪いか?
ip pp secure filter in 101 dynamic 11
ip filter 101 pass * xxx.xxx.xxx.xxx udp * 500
ip filter 102 pass * xxx.xxx.xxx.xxx esp * *
ip filter 103 pass * xxx.xxx.xxx.xxx udp * 4500
ip filter 104 pass * xxx.xxx.xxx.xxx udp * 1701
ip filter dynamic 11 filter 101 out 102 103 104
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 11 xxx.xxx.xxx.xxx udp 500
ipsec transport 1 1 udp 1701
UDPってTCPフラグみたいのが無いからTCPよりはメリット薄い感じもするね >>55
これさ
ip filter 101 pass * xxx.xxx.xxx.xxx udp * 500,1701,4500
ってできるんじゃない? >>51
動的フィルターは一定時間通信流れないとコネクション終了する
それで問題出る可能性考えればリスキーだな >>57
あっ、静的に最初から全部開ける場合ならそれで良さそうですね。
>>58
あそっか、それを考えたら動的フィルタでセットにできるのはUDP500とESPだけってところですね。 >>59
とりあえずこんな感じにしましたが動いてる模様です。
ip pp secure filter in 101 103 dynamic 1
ip filter 101 pass * xxx.xxx.xxx.xxx udp * 500
ip filter 102 pass * xxx.xxx.xxx.xxx esp * *
ip filter 103 pass * xxx.xxx.xxx.xxx udp * 1701,4500
ip filter dynamic 1 filter 101 out 102
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 11 xxx.xxx.xxx.xxx udp 500
nat descriptor masquerade static 1 13 xxx.xxx.xxx.xxx udp 4500
ipsec transport 1 1 udp 1701 >>60
UDPの1701ポートをIPマスカレードしないでもよい理由が未だに良くわかってない私。 tunnel template ってコマンドの存在を今頃になって初めて知ったわ。
今までトンネルの数だけずらずらtunnel設定を並べた長ったらしいコンフィグが短くなって気持ちいい。 ルータをVPNサーバ側ではなく、VPNクライアント側として外部のVPNサービスに接続するような使い方は今でも不可能なのでしょうか? >>64
そうなのですね。
L2TP/IPSecで外部のサーバにリモートVPN接続したいのですが、情報が見つけられません。 >>65
L2TP/IPsecはサーバーとしてしか動作しないよ
だから無理 >>65
騙されてるよ。
RTXはリモートVPN(L2TP/IPSえc)のリモート側になる機能は持ってません。 >>66
拠点間VPNとリモートアクセスVPNの違いが分かってないでしょ。 >>67-68
ご回答ありがとうございます。
そういうのがやりたかったら他社の対応ルータを使うしかなさそうですね。 Softetherの拠点間接続無し設定のサーバーみたいなとこにクライアントとして接続したいってことか
それこそSoftetherインストールしたOpenwrtとかでもなければできないんじゃないだろうか >>72
L2TP/IPSecではありませんが知っている奴としては、GL.NetのルータがWireGuardクライアントの機能を持っていて、AzurevpnやMullvad等のVPNサービスに接続出来るようです。 そういう用途ならOpenVPNかWireguardが使いやすいし無理にRTX使わなくてもRasPi/NanoPiでいいんじゃない VPNクライアントならわざわざ回線接続してるルータにさせんでもって思う 動的フィルタって基本的には中から外に対して使うものだと思ってた
外から中に使うのってメリット薄くね? >>79
中のノードは信用できる前提で
・中→外方向の動的フィルタ
外→中方向は普段は閉じておく事ができる(コネクションの戻りパケットだけ一時的に通す)
・外→中方向の動的フィルタ
TCPの場合、外→中方向は普段はSynフラグが立っている物だけ通すように制限できる
連動させるコネクションがある場合、そのコネクション用のポートは普段は閉じておく事ができる(静的IPマスカレードも不要)
UDPでかつ連動させるコネクションも特に無い場合なら、外→中方向はあまり意味ないかもね 外→中の動的フィルタつかって、私は、ssh 受けるポートを開けてます。
インターネットからssh使いたいとき、自分が仕掛けて自分だけが知ってるポート番号を複数、一定時間内に順番にUDPで叩くと、sshポートが開くようにしました。 >>81
おおっ、なるほど、ちょっと目から鱗が落ちた、頭いいなぁ
だけど動的フィルタを多段で開けるのってどうやってるんだろう
ルータだけでやってる訳ではない?
>>80
連動させて開けたいポートがある場合は有効そうですね
TCPフラグ見てSynだけ通す奴は、最初のパケットは普通Synフラグが立ってる訳だから、あんまり意味がないような気も・・・ >>81
よいアイディアだと思ったので真似させて頂きました
と言っても自分のスキルでは順番に叩いたらとかやり方が出来なかったので、
特殊なTCPフラグの立て方をしたパケットを特定ポートに投げて、TCPフラグが完全に一致していれば開くようにしてみました
こんなんでも安心度は全然違う気がしますね >>82-83
あ、>>81です。
確認したら「複数」を「順番」ではなく、ただのUDPを1個でした。
記憶が、昔作った当時の願望の形のまま残ってたようです。
>>82
なるほど、UDPパケット受けるサーバーを中に置いて、内→外トリガーも使えば可能になりそうですね。パケットの中身も吟味するとかなり安心。
>>83
おお、ただのUDPより安心ですね。 ダイナミックフィルタ検証してみたけどトリガの通信終了すると関連フィルタもすぐ閉じるね
クライアント側でトリガー通信にキープアライブでも入れとかないと関連フィルターが意図せず閉じて使いにくい
そういう理由でやりたい人は注意ね >>86
私も試してるんだけど、トリガが通信終了しても関連コネクションの方は切れずにずっと通信できてるよ
一度でも通信終了しちゃうと次の瞬間にはもう繋がらないけどね
ちょっと不思議なのは、show ip connectionを見ると確かに関連コネクションも時間が経つと消えてしまうんだけど、
通信は継続出来てる事なんだよね >>87
そういう動きになるのが正しい場合もある。 ここを見てダイナミックフィルタを真似てみたけど、トリガーの通信維持は頑張らなくても特に問題なく使えてるようです(SSH)。
この仕組み、ブルートフォースアタックにも結構有用そうでいいですね。 >>83
好きなTCPフラグでパケットが投げられるなら、
わざわざ別のポートを叩かなくてももっとシンプルに例えばこんな感じでも良さそう。
ip pp secure filter in 101 498 dynamic 11
ip filter 101 pass * △.△.△.△ tcpflag=0x002c/0x003f * 22
ip filter 498 reject * * * * *
ip filter dynamic 11 filter 101
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 △.△.△.△ tcp 22222=22
上の例では、TCP22222にURG+PSH+RSTのフラグを立てたパケットを最初に投げて開けゴマしたあと
同じくTCP22222で普通のSSH通信を開始する感じ。
あんまり変なTCPフラグの立て方をすると機種によっては侵入検知に引っかかりそうだけど。 tcpflugのコマンド観てて思ったんだが
ひょっとしてTCPフラグより上位ビットの予約領域もチェックできるんじゃね? >>92
おお、2バイトまるまるチェックできるんですね
(パケット作るのが面倒なので実験する気はないですが・・・) tcpflagで16bit完全一致したら通るようにしてみましたが普通に出来ました
安心感すごいw 良いと思う
(というか、ここには良いと思う人しかいない) いまお勉強用に安くヤマハルータ買おうと思ったらどの辺がいいのかね
RTX1200とかRTX810あたりか 勉強目的ならSEIL/x86などのソフトウェアルータを、仮想マシンで動かしてたもしてみるのも良いと思う。
自分は、SEIL/x86で動かしてたのを、専用ハードは欲しくてRTX830を買いました。 >>97
RTX810のが小さくて使いやすいよ、RTX1200でもいいけどちょいデカい
お安い方でどうぞ
ただフレッツのV6プラス等に対応しないから注意 勉強用に買うなら、
現行新品で良いと思うけどね。
もし、壊れていたりしたら、
正常なのかすら分からないでしょうからね。
費用が無いなら、
しょーがない。旧品の中古だね。 みなさん情報ありがとうございます。
今は安く済ませたいのでRTX810二個セットぽちりました。 >>100
RTX830とRTX810中古品だと価格差が10倍以上あるじゃん 今更RTX810やら1200やら買っても1番複雑なフレッツIPoE系の実データ取れないしあまり意味がなさそう
まだIX2105の方が役に立つかも RTX1210/RTX830世代に出来てRTX1200/RTX810世代に出来ない事って具体的に何々あるんだろう よくあるIPv6のプレフィックスが半固定のインターネット回線で、RTX830でIPv6のフィルタを設定したいのですが、IPアドレスをどう指定したら良いでしょうか。
lan1のprefixの::1とか指定したいのですが無理のようですし、MACアドレスで指定できるルータもあるようですが無理のようですし。 >>104
目立つ機能だとMAP-E
細かいのだとsshでの公開鍵認証とかEMFS(だったっけ?)とか、
あと確かschedule atでの相対時間指定とか結構色々あったはず RTX830使い始めて、追加でRTX1200の中古買ったらちょくちょく使えない機能があってつらかった
FQDN フィルターとか使えないよね RTX810だとFQDNフィルター使えたけどね
*.5ch.netへのアクセスをモバイル回線に振り分ける、とかやってた
RTX1200と810とか世代的には近いけど微妙に仕様が違うのがややこしい >>102
価格差があるのは当たり前だけど。
何か?
触れるなら新しいモノで勉強して、
不要になれば手放せば良い。と考えています。
価格が高いときに手放せば、
大した費用になら無いと思うし、
気に入れば、そのまま使うし。
予算から決めれば良いことでしょ。 >>104
PPPoEパススルーは現行機種じゃないと出来なかった気がする >>105
何をもって無理って言っているのかわからん。 >>105
LANインターフェース自体のプリフィクス指定は現時点見つからない
ただra-prefix@lan2::/64等の表記は出来るからそれで設定する
IPv6だと1つのインターフェースに複数プリフィクスがあるからインターフェース指定は難しいんだろうね RTX810で無理やりIPoEしてみてるんだけど、natテーブルが溜まってくると通信が不安定になってしまう・・・ >>118
IPoEは送信元ポートが少ない、例えばV6プラスだと240個しかない
RTX830等のNATには送信元ポートを節約するポートセービングNATという技術が採用されてる
それで家庭向けならどうにかなると思うけど業務使用は厳しそう ポートセービングなnatって最近のルータではどこでもトレンドになってるものなのかな >>120
トレンドと言うかMAP-Eに対応してるならport saving NAPTには対応してるはずよ
してなきゃ実用にならないから
ただ一般向けの商品ならv6プラス対応(あるいはMAP-E対応)を謳うので、ポートセービング云々とかは書かれない MAP-EとかよりIPoE固定IPプランをLuaスクリプト無しで対応できるのようにアップデートするのは何時なんだろうね
ポートセービングNATあっても業務用途じゃMAP-Eなんて怖くて使えないんだからポート全部使える固定IPプランはしっかり対応してほしいところ >>119
MAP-Eの場合は、ポートセービングIPマスカレードの可否もある上に
RTX810ではまともに使えるポート範囲の個数が2個までというのも厳しい
たとえばv6プラスだと、240ポートの割当があるのに
RTX810でやろうとすると範囲1個につき16ポート ×2個で32ポートまでしかまともには使えない
NATディスクリプタを複数使うことでポート範囲の個数を増やすという方法もあるにはあるが
先に指定した方のNATディスクリプタがいっぱいになる → 後に指定した方のNATディスクリプタでNATセッションを開始する
となった後に、先に指定した方のディスクリプタに空きができると
後の方のNATディスクリプタでNAPTすべき通信に対して、先にある空きのところで新たに別のNATセッションを開始してしまう
ということが起こるので、これもやはり実用には厳しい >>122
ヤマハ側の都合じゃなくてNTT側フレッツの仕様都合だからどうしようもない
それに別にスクリプトなしでも使えるけど障害とかでIPv6プレフィックスが変わった時に
手動でIPIPトンネル修正する手間がかかるぞ >>124
某氏曰く、先日のJPNE障害の際、IPv6プレフィックスが変わったとのこと。 >>122
Luaスクリプトが行っている部分の必要な部分だけ抜き出すと、他メーカーのDDNS更新とかで使用している機能があればよいことになるが、
それだとYAMAHAが自社提供しているDDNSを使ってくれなくなる可能性があるため、たぶんそんな機能は実装することはないんじゃないかな。 >>126
それでDDNS対応しないのはいいがLuaスクリプトも勝手に止まったりするしIPoEの固定IP系はYAMAHAはまともに使えない
DDNS更新しない運用もv6プリフィクス変わったらアウト
これはIPoE固定IPプラン対応ではNEC IXやら古河移行も検討されるような状況で自社DDNSを守るとかいう甘いもんじゃない over v4自体、過渡期だけだからヨシっていう算段では >>127
うちは普通に動いてるが。
設定例のスクリプトはアナウンスないけど、安定性向上も兼ねてアップデートたまにしてる。 >>127
Luaスクリプトが勝手に止まる??
どんなスクリプト書いてるんだよ Luaで内部ストレージに頻繁に書き込む動作させるとフラッシュメモリがすぐ終わる
とヤマハの中の人が書いていたのが記憶にあるんだが
修理が必要なレベルで終わりかかっている悪寒 スクリプトで実現できてるものを本体側でやる理由がないと思う >>132
はあ?
メール通知とかいちいちスクリプト書いてられるかよ ネットワーク屋にはマクロレベルのものも得意でない人もいると聞いたけど、そっち側の人なのかな。 GUIから設定したら完璧な物が勝手にくっついてくれる物をちゃんと動かないとか言われてもなあ 扱いが多少面倒な方が仕事の種になるので逆にありがたい、という不純な気持ちは確かにある >>137
スクリプトが使える機器を好き好んで使っているので、初心者がどうとか言うのは違うと思う。 あ、いや、個人使用者がメインにスレなのに、ネットワーク屋がどうこうとか言い出すから 個人使用者に対してエセシステム屋がマウントとるスレ YAMAHAルータ使ってたってコンフィグやスクリプトを書きたくない人はいるのだよ わからんでもないが、止まるというのを放置しているのはプロとしてどうかと。 個人で使うスレだったと思うんだけど
そりゃ本業さんも居いるとは思うけどさ そもそも業務用ルーターなんて
UI操作使うなって言われるレベルなのが前提としてあるからなあ 個人であろうと業務用ルーター使い始めたら初心者でもプロ
そういう意識持ってやらないと難しいって意味なのかなって捉えた YAMAHAルータって現行機種はもう全て業務用って扱いになってるの? 会社が持っていたSWX2210-16Gを使って社内ネットワークを組もうとしています。
5フロアあり、フロアを2つにネットワーク分離をしたい。
そしてお互いのネットワークは遮断するが、
インターネットは開通させたい。
これってマルチプルVLANでできますか?
Port1をグループ1。※ルータと接続。
Port2-8をグループ2。※フロア1-4で使用。
Port9-16をグループ3。※フロア5で使用。
※フロア1-4とフロア5でネットワークを分離。
Port2-8、及びPort9-16にPort1をを足してやれば、
フロア1-4とフロア5でネットができて社内ネットワークは分離できますか? >>152
マルチプルVLANでもタグVLANでも出来ますね Port2-8をグループ1、Port9-16をグループ2として、
マルチプルVLANならPort1をグループ1とグループ2の両方に所属、
タグVLANならPort1をタグポートにするイメージ 後々のこと考えるとタグ付推奨
マルチプルだとHUB間接続が面倒 NVR510のダッシュボードにあるプロバイダー接続履歴ってclearできますか?
停電で切断(異常)の表示になってものすごく目障り・・・ >>157
CONFIGファイルの管理 から CONFIGをエクスポートして
インポートしたら消せる(要するに初期化だね)
それ以外に消す方法は無いと思う >>5
接続元のIPが動的な場合、IPで接続元を制限することは通常難しいですけど、
接続元IPをあらかじめDDNSに登録しておけば、URLフィルタリングを使う事によって
制限する事が出来るのかな >>159
URLフィルタじゃくてFQDNフィルタね
RX810以降の世代なら出来る
(RTX1200はNG) ど素人な質問なんだけど
LANのエラーカウンタがカウントアップしています
って何?
何が原因で起きてるのかさっぱり分からん >>160
FQDNフィルタってどのタイミングでDNSを参照して情報を更新するんだろう
定期的に自動更新してるのか、何かがトリガーとなって更新するタイミングがあるのか >>162
パケットオーバーフローが発生してるから表示される
無視してOK >>160
FQDNを使用する場合、ルーター自身がDNSリカーシブサーバーとして動作し、ルータ配下の端末は、DNSサーバーとして本機を指定する必要がある。
となってることからすると、定期的な更新などではなく、リカーシブサーバー機能のキャッシュを使ってるのでは >>163
最初に名前解決した時点からキャッシュがタイムアウトするまで有効
ただし一つの名前に複数のIPアドレスを持ってる場合意図したとおりに動かない場合がある >>166
逆だと思う。
・1つのFQDNに対して複数の固定IPアドレスを持つサーバーを対象にしたルーティング制御を行うことができます。
・1つのIPアドレスに対して複数のFQDNがある場合に注意が必要です。 >>165-166
中から外方向だと送信元ノードが送信先をDNSリカーシブサーバに問い合わせた段階で
最新情報がキャッシュされてその情報を参照されると思うのですが
外から中方向だとDNSリカーシブサーバに問い合わせるノードが存在しないので
情報がキャッシュされず使えない気がするんですが、どうなんでしょう
>>159-160は無理な気がするんですよね >>168
Luaスクリプトなりで、定期的に問い合わせをし続ければよいように思うけど。 >>4
tcpflag=0x0002/0x0017 って
tcpsyn って書くだけで済む気が
同じ意味だよね? >>170
同じ意味だね
ただしtcpsynとかが使えるのはRev.10以降だから
それ以前の機種ならtcpflagで書くしかないね FQDNフィルタって該当のFQDNがDNSリカーシブサーバーにキャッシュされてない場合にはどういう動きになるのかな
無視される?
中→外方向のpassで使うなら事前にキャッシュされるだろうけど、Rejectだと>>169みたいなフォローが無いと使えなさそう リモートVPNでクライアントに配布するIPアドレス、
設定サンプルを探すとLANと同一セグメントのローカルIPの物ばかり出てくるのですが、
(例えばLANが「192.168.100.0/24」で配布するIPが「192.168.100.10」とか)
配布するIPは別にどんなローカルIPでも構わない筈ですよね
LANと同一セグメントにするメリットってあるのかな VPN接続するのにLAN内と通信させない運用がレアケースなんじゃ? macアドレスフィルタリングの機能で登録した機器以外は拒否の設定があるのは知っていますが登録した機器を拒否する機能はありますか?
またはそのようなコマンドってありますかね ethernet filterでrejectすれば良いんじゃないの? >>174
配布するIPはなんでも構わないけど、設定サンプルが同一セグメントなのはその方が前提条件が楽だからではないかと予想
別セグメントの場合の前提条件として、リモートクライアントがLAN内のノードと通信する為には
LAN内の各ノードがVPNルータをゲートウェイとして別セグメントのリモートクライアントのIPと通信可能な設定になっている必要がある
ルーティングとかファイアウォールとか
同一セグメントであれば上記は意識する必要がないので楽
その代わりVPNルータはProxyARPを有効にする必要がある
リモートクライアント<->LAN間の通信に制限を設けたい場合には
別セグメントにする方が望ましいんじゃないかな AppleやGoogleの所為でMACアドレスのランダム化が普及したせいもあって
MACアドレスフィルタリングってもうすっかり過去の機能に成り下がった感ある 今までRTX830 + Android で"L2TP IPSec PSK"によりVPN接続をしていたが、
Android12では
+ IKEv2/IPSec PSK
+ IKEv2/IPSec MSCHAPv2
+ IKEv2/IPSec RSA
しか選択肢がなくなってしまった。
RTX830は上記VPN接続に対応しているのだろうか?
正直なところコマンドリファレンスには IKEv2 という単語が出てくるものの、
今ひとつわかっていない。 PPTPに続いてL2TP/IPSecもついに切り捨てられちゃったか IKEv2でもリモートVPNは普通に出来そうだけど試した事なかったなぁ
そいや設定サンプル見たことないかも >>181
うちは、指定したMACアドレスしかDHCPサーバーから払い出されないようにしてる。
そして、DHCPサーバーから払い出されなかったIPアドレスは島HUBから先の通信をrejectさせることにして不正接続に抗ってる。 ゼロトラスト広まって来てVPNもそろそろ時代遅れ
うちの会社もレガシーシステム利用時しかVPN使わなくなった
セキュリティ対策はファイアウォールじゃなくエンドポイントでやる時代だからな セキュリティは専門会社に任せなさいみたいな流れからザ・インターネットって映画に出てきたゲートキーパーを思い出した もしIKEv2/IPSecでリモートVPNがまともに使えなかったらYAMAHAルータやばくね RTX-1210はなぜ頻繁にオーバーフローするんだ?
パケットバッファは最大値で入力してるんだがなぁ >>190
受け取る端末のほうが遅いからじゃない? >>190
単独のスピードテストですらCPU負荷が80%超えて警告出たりするしスペックが足りてないんだろうな RTXの後ろにハイフン入れられると不安な気持ちになる VPNは古いとか最近言われるけど、企業ならいざ知らず、個人ではそれに代わるものを作るのは難しい、気がする
とりあえず、自宅ネットワークへ比較的簡単に安全な接続ができるシステムはVPN含め頑張って欲しいなあ
#ターゲットが違うのはわかるけど そもそも自宅にVPNやるのって何目的?
それこそ簡単にクラウド化できるんじゃ無いの? >>196
1.ひかり電話を別宅や出先でも使える
2.別宅のプロバイダ無しでNTTのフレッツ契約だけして自宅のプロバイダに乗っかる
3.出先でフリースポット見つけたときにそこのスポットの安全性が不明な場合VPNで自宅に繋げばある程度は安全
4.自宅と出先のIP電話の盗聴防止
ぐらいしか思いつかないけどまだいろいろ活用法はあると思うよ >>197
携帯とかP2Pの通話アプリを普通に使えるのに、1と4の手段をとる人ってどれくらいいるのだろうか。
別宅とかフレッツ回線維持できる財力なのに、1000円程度のプロバイダ料金を払いたくないと思う人っているのだろうか。 >>198
>>197のは極端過ぎるから参考にならん
てかよくそんなことを長々と思いつくなと感心したわ NASも家電も外部からアクセスさせる仕組み標準で提供してきてるしな >>202
ひかり電話の県外の固定電話への転送?はやってる。
転送料金要らないし発信でも電話番号表示が店舗の電話番号が表示されて便利。
アリバイ工作にも使える。
特にスマホでひかり電話が発信できるようにしておくと便利だよ。
スマホに着信は不安定なのでやめた。 あと、特にFAXの送受信ができるのが助かる。
店舗のFAXを自宅で受けるのが便利。
スマホでFAXが受信出来たら最高なんだが。
多分なにかしらの有料アプリならできるんだろうが、無料の方法を知りたい。 FAXがISDNよりも長生きするとは思わなかったわい FAX受信したらメールに飛ばすぐらいどこの機械でもできるだろ?
それで十分 >>182
RTX830でIKEv2/IPSecのリモートVPNは(少なくとも現状のファームウェアでは)無理そう
VPNルータとしては結構終わってるこの状況、どうするんだろうこれ >>182
ほんまや…
ttps://user-images.githubusercontent.com/24488142/122143539-9e35c780-ce8c-11eb-9629-5d3d32b581e6.png 普通のメニューから新規設定できないだけで元々設定してあるままOSアップデートだとL2TP自体は使えるようだからOpenVPNみたいに設定アプリを作れば新規設定できる気がする >>211
なるほど、それならまだ救いというか猶予はある感じだね
リモートVPNがいきなり使えなくなるのはさすがにちょっと困る Android12の件はβ版が出回ってた頃からヤマハさんは既に認識してただろうに
このまま何もアクション起こさないのかな 転送電話代ケチってVPNとかアホらしいにも程がある
もうそういう変態しかVPN使わなくなる時代になっとるんやね まあでもVPNで自宅のストレージその他をプライベートクラウド化って便利じゃないか?
あとPT3+Mirakurun+EPGStationとかでTV視聴環境があればプライベートアドレスのままアクセスできるし
まあヤマハルーター用意しなくてもSoftEtherとかでもやれるけどね
しかし端末側でIKEv2必須になったらいろいろ面倒になるな IPSecはそもそもNAT越えが面倒だし、リモートVPNで使うのはいい加減流行らない気もするんだがどうなんだろ
次の主流派どれになるのか >>216
最近iOSに搭載されたようなQUICを使うものとか?
リモート側IPアドレスが変化するの前提だし。 手軽な設定でそこそこセキュアに自宅のネットワークへ接続して直接ファイルを触れるなら、別にVPNじゃなくてもいいんだよね
ルーターひとつで出来ると嬉しいし、それが今持ってるRTXで出来るようになって欲しいし、みたいな >>218
その目的だけなら、以前からRTXの機能使わずにできるが。 SSHでも言われてるけどパスワードじゃなくてキーペアにしたいってのはあるかも
お手軽さだとOpenVPNとかWireguardあたり >>204
ランサムウェア「金払えよwwwwwww」
VPNが一番
クラウドとか言ってるキッズはAWSのS3とかの使用量を見たほうがいい 個人なら無料枠で十分だろなんか動かしっぱなしとかにしなければ >>218
NASの機能使ってはどう?
直接アクセスじゃなくサーバー経由だから速度は遅くなるけど
俺は自宅のファイルにアクセスする時はSynologyの機能使ってる >>182
Windowsも切り捨てたらいよいよ乗り換えか >>224
WindowsはPPTPすら普通に残ってるし、わざわざ切り捨てるとかしないんじゃね 捨てたら文句言う奴が出てくるからな
未だにxpが良かった2000が良かったとか言ってるような奴らがでかい声で叫んでる世界 iOSやAndroidがセキュリティ重視で下位互換はそこまで重視してないのに対して
PC用OSのWindowsは極力互換性残す方向性だしね
労せず互換性残せるににわざわざ切り捨てるとかあんましそうに無いわ
Windowsがわざわざ切り捨てた互換機能って過去になんかあったっけか >>227
セキュリティの問題で、既にSMB1.0はデフォルトでは使えない。 動的フィルタのメリットが今一つよく理解できません
トリガに連動して他のポートを開けたりするようなケースならまだわかるのですが、
単独のポートの場合はトリガーのためにどのみち静的フィルタで開けているので
わざわざ動的にして意味があるのかなと・・・ >>233
TCPの場合はトリガーで特定フラグだけ通して後は閉じることも出来る。
後、行きは(トリガーの為に)開いていても本来、帰りを空けてる訳じゃないからな。 リモートVPNの事で質問です
pp select annonymous 配下に
アカウント(複数)を pp auth username文、
IPプールを ip pp remote addls pool文で指定している状況で、
一部のアカウントにだけ使用するIPを固定する事は可能なのでしょうか
<例>
IPプール: 192.168.1.11-192.168.1.16
ユーザ: user01〜user06
※user01には192.168.1.11、user02には192.168.1.12を固定で使用させたい >>234
あっ、なるほど、戻りパケット…
例えば中から外へのTCP通信ですが、
戻りパケット用にppインターフェースのin方向に
ip filter 32 pass * 192.168.0.0/24 established * *
とかで開けているところ、
TCPを全部動的フィルタにしてしまえばこのフィルタは不要になるという事ですね
…あれ?
でも最初のパケットはトリガーで動的フィルタを通らないから、それだと最初の戻りパケットは
入ってこれないような?
あれ? >>235
IPプールのIPは、アカウントでIPを指定していない場合は若番から早いもの勝ちで使われる筈
例えばuser03が最初に繋ぎにいったら192.168.1.11を使っちゃうので、
後からuser01が繋ぎにいっても192.168.1.11は既に使われていて接続出来ない事になる
どうしても一部のアカウントだけIPを固定にしたい場合は、
IPレンジの後ろから割り当てればよい…筈
間違ってたら指摘よろ>識者 >>237
その認識で間違ってないと思う
但しひとつだけ注意点
IPを指定していないアカウントはひとつのアカウントで複数セッション同時に接続する事が可能だから、
そういう運用をする可能性がある場合にはIPレンジを広げておく方が安全
仮に以下のように修正したとして、
・IPプール: 192.168.1.11-192.168.1.16
・ユーザ: user01〜user06
・user01には192.168.1.15、user02には192.168.1.16を固定で使用
例えばuser03〜user06の4アカウントで5セッション接続している場合
192.168.1.11〜192.168.1.15を使用するから
その時点でuser01は接続できない状態となってしまう >>236
普通の使い方なら、公式設定例もそうだが、外から中へは静的フィルターでは開けていない。
静的フィルターは、中から外に対して(トリガー用)だけ。
このトリガーによって、外から中への動的フィルターが動作する。 >>235
pp auth username user01 "パスワード" 192.168.1.11 固定で割り当てるIPをIPプールから外したらダメなの?
pp auth username user01 "パスワード" 192.168.1.11
pp auth username user02 "パスワード" 192.168.1.12
pp auth username user03 "パスワード"
pp auth username user04 "パスワード"
pp auth username user05 "パスワード"
pp auth username user06 "パスワード"
ip pp remote addls pool 192.168.1.13-192.168.1.16 あっ、固定で制定するIPも必ずプールに必ず含まれていないといけない物と思ってましたが
そんな事ないんですね
ありgとうございます、解決しました >>239
中→外のトリガーとなる最初のパケットも動的フィルターで外から中に戻ってこれるという事ですね
外→中を静的に開ける必要が無いというのは大きなメリットですね、特にTCP以外は
>>234
TCPで特定フラグだけ通す場合の話ですが、
通常は最初のTCPパケット(Synフラグが立っているパケット)だけ通す設定にすると思うのですが
どんなTCP通信も最初はSynフラグが立っている訳だからあんまりやる意味が薄いようにも
思ったりするのですが、そんなことはない? nat descriptor masquerade incomingの設定って皆さんしてます?
デフォだと、0-1023までのポートの場合、リセットかえしちゃうんで。
discardにして、外のインターフェースをstealth設定して使ってます。 >>243
IPプールはアカウントに動的に割り当てたいIP範囲を定義しているだけであって、
全部固定ならそもそも必要が無いものだよ
ちなみにアカウントに固定で設定するIPはセグメントがバラバラでも構わない >>244
静的
外から中→全て落とす
中から外→syn付tcpのみ通す
動的
中から外→tcp
とかやると、最初にsyn通したsrc/port, dst/portの通信のみ通すことが
できるので、一番抜けがない設定なのかなと思います。 >>245
私はやってますよ、discardも外I/Fのstealthも
可能な限り黙らせるのが一番安心だよね UPnPってみなさん使ってます?
UPnPがデフォルトで無効に変更された頃からセキュリティ的に考えて使わないのが
常識なのかなと思ってるのですが、なんだかんだで世間的には案外使われている
気もして、実際どうなんだろうなと >>249
使わなくてもSTUNとかで穴開けられるから結局は有効でも無効でも大差はないんだよな >>249
CGNAT, MAP-Eとか使うIPv4アドレス共有型の接続サービスが一般的になってきたし、
UPnPを有効にしてても実質的に機能しない状況が増えてきてるんじゃないかな >>24
RDPってTLSで暗号化されてるのにVPN経由じゃないとダメっていう風潮があるのはなんでなんでしょうね
SSHはそんな事言われないのに >>250-252
ご意見ありがとうございます
UPnPを無効にする事によって利便性を損ねている側面がちょっとあったので
考え方をあらためて有効にする事も検討しようと思います >>247
解りやすい説明ありがとうございます、理解できました
syn付tcpのみ通すといいうのは、中のノードから何らかの問題でいきなりackの変なパケットが送信されても外に飛び出さないに封じる事が出来るという事ですよね >>253
個人的には、fail2banみたいなことができないのは怖いと思う。 >>256
ああ、確かにfail2banみたいな仕組みがないのは不安要素かもですね、なるほど… >>253
Remote Desktop自体がインターネット経由での接続に最適化されていないし、積極的に活用する人が少ないんじゃないかな
最適化されてないってのは
- (固定IP等でなければ)DDNSサービスが別途必要
- ルータに穴あけ(フォワード)設定が必要
- 多重NAPT環境では機能しない(上流側NAPTに穴あけできない場合)
- 実効帯域に合わせて色数や圧縮率を動的に変更するような機能が無い(はず)
一般的には接続先(LAN内のPC)の台数分、ポートフォワードを設定しないといけないし
WAN側から接続してくるクライアントのIPアドレスに応じて、同一のポートから別の内部アドレスにフォワード出来るようなルータなら別だけど、少なくともヤマハじゃ無理だよね? 動的フィルタで内から外へICMP通信(pingやtraceroute等)が出来るようにしたいのですが、
やり方がいまいちよく分かりません
pingだけなら
ip filter dynamic 30 * * ping
で行けてるのですが、
tracerouteがよくわかりません
ip filter dynamic 31 * * echo
とかやってもTime Exceededは入ってこれないし、う〜ん >>253
ちょっと前までRDPはTLS1.0必須の弱い暗号だったからね
今はTLS1.3も使えるがServer2022とWin11(Win10 21H2でも可)に入れ換える必要あり
グローバルIPでポート3389を開けてたらものの数分でブルートフォースアタックが数百箇所から集中して回線帯域がすぐ埋まる >>258
>WAN側から接続してくるクライアントのIPアドレスに応じて、同一のポートから別の内部アドレスにフォワード出来るようなルータなら別だけど、少なくともヤマハじゃ無理だよね?
例えばこんな感じでいけるんじゃない?
nat descriptor masquerade static 1 101 192.168.100.1 tcp 30001=3389
nat descriptor masquerade static 1 102 192.168.100.2 tcp 30002=3389
nat descriptor masquerade static 1 103 192.168.100.3 tcp 30003=3389 >>248
特に必要でなければ見えないのが一番ですよね。
>>255
はい。それを期待しています。
>>259
自分は以下の外から中への静的フィルタでできてます。
ip filter * * echo 3,11 >>262
完全動的フィルタ化は一端諦めて、
中から外への動的フィルタは
ip filter dynamic 30 * * ping
外から中への静的フィルタを
ip filter pass * <ローカルセグメント> icmp 11
として、 Time Exceededだけ静的に入ってこれるようにしました
これが限界なのかな? >>261
それだとWAN側30001-30003ポート(=LAN側PC 3台分)で待ち受ける必要があるでしょう、って話
そうではなくて、
30001だけで待ち受けて繋いでくるクライアントのグローバルIPアドレス(srcアドレス)に応じてLAN側.100.1-.100.3に振り分けられないよね、ってこと >>266
失礼、理解できました
確かに無理ですね…そんなこと出来るのってあるのかな ポートセービングIPマスカレードの動作タイプ2とtwiceNATの合わせ技ができれば可能かも。 あれっ
show ip connection って動的フィルタのICMPのコネクションは表示されないのか
そういうもんなのかな >>260
確かに一昔前は暗号強度的な不安が大きかったですもんね
今なら普通は最低でもTLS1..2なので許容できる印象です
グローバルIPで3389のまま開けるのは流石にちょっとデンジャラスですね…w >>258
他のリモートデスクトップアプリケーションと比較するとインターネット経由に最適化されていないというのは確かにそうですね
SSHとかも基本的には同レベルだとは思いますが >>272
リモートクライアントにLANセグメントと異なるIPを付与してる設定サンプルって確かに全然みつからないね >>253
sshは叩いてもなかなかホコリが出てこなくなったが、マイクロソフトの実装した各種プロトコルは未だ定期的に地雷が爆発するので経験者からは信頼されない。プロトコルスイートの強度の問題ではない。
この違いは大きい。
RDPはVPNなりsshのポートフォワードなりでラッパーを噛ませて丁度いい。 >>273
自分でやれば直ぐ確認できるでしょ。
どこまでコピペに頼るのさ?
むしろ、既存セグメントのIPアドレスを配る方が留意点が増える。 >>275
説得力ある
MSの実装は信頼しきれない >> 245
こちらはサーバを公開しているので、nat descriptor masquerade incomingはデフォのままで、わざわざdiscardにしていませんね。
例えばdiscardだと使っていないポート113の応答待ちで、メールの転送に遅延が発生するとかあるので。 L2TP/IPsecリモートアクセスでRTのメンテだけしたい場合はこんな感じでええのん?
RT IP : 192.168.1.254
Client IP : 10.10.10.10
ip pp secure filter in 200080 200081 200082 ...
ip filter 200080 pass * 192.168.1.254 esp * *
ip filter 200081 pass * 192.168.1.254 udp * 500,1701,4500
ip filter 200082 pass 10.10.10.10 192.168.1.254 tcp * 23,80 三つ目のフィルタはいらないんじゃない?
もしくは制限を掛けたいのならppインターフェースではなくてtunnelインターフェースに適用 L2TP/IPsecリモートアクセスで接続した外部端末は、ルータセグメント配下に置かれるイメージ。
RTーFWーイントラ、としてればFWでルーティング可能(公式はサポートしない(基本、同セグのみ))とのこと。 >>282
L2TP/IPsecでもしサポート云々を言うのであれば、本来iOS、Android端末のみ。
そしてAndroidはOS側でVer.12からL2TP/IPsecの新規設定打ち切りだけどね。
サポート云々言い出すなら素直にYMS-VPN8でも使っておきなさいってことですよ。 >>81-85
Luaスクリプトを使えばルータ単体でも多段の動的ポート開けが出来たりしないかな
(1)外からポートAを叩く
(2)ポートAをトリガーとして外→中のポートBを動的フィルタで開く
(3)外からポートBを叩く
(4)LuaスクリプトがポートBで受けたパケットに反応して中からポートCを叩く
(5)ポートCをトリガーとして外→中のポートDを動的フィルタで開く
(6)外からポートDで通信開始
※(3)-(5)は繰り返しで更に増やせる >>284
外から特定のポートを叩くとイベントログに記録されるようにして、
Luaスクリプトにイベントログを監視させて条件成立でパケットを投げるような仕掛けが
シンプルで楽かも >>284
5で動く動的フィルターによって6の動作に持っていくつもりであれば、これは机上の空論に思える。 LAN内の接続先ノードのIPからパケットを投げないとダメなような >>287-288
気になったので遊びでちょっと実験してみた
<Luaスクリプト>
1)LAN I/FのsecondaryにLAN内の接続先と同じIPを追加設定(IP重複)
2)LAN I/FからWAN側の接続元のIP宛にトリガーパケット送信
3)LAN I/Fのsecondary設定を速攻で削除
非常に強引なダメすぎる方法だが、これで動的フォルタで目的の穴を空けて外から中に接続する事は一応できた
secondaryなんか使わずに送信元IPを偽装したパケットを送信出来ればいいんだが、Luaじゃ無理か? 訂正
2)LAN I/FからWAN側の接続元のIP宛にトリガーパケット送信
↓
2)LAN I/Fのsecondary IPからWAN側の接続元のIP宛にトリガーパケット送信 >>46
>>47
削除依頼理由、落雷により起動せず等ユーザーでは削除できない状態であることを書く
削除対象のNetVolanteDNSホスト名
ホストを登録した機種型番
登録した機種のMACアドレス
登録したインタフェース、PP[01],LAN2等
上記を添えてフォームから依頼する
https://yne.secure.force.com/Support >>293
あそっか、Luaで動的にフィルタを登録しちゃえばいいんですね、消す手間は必要ですけど
あ、でもフィルタをいきなり変更すると通信中の他のセッションが切れちゃうか
それならフィルタは最初から登録しておいて、静的IPマスカレードの方を動的に登録すれというのはどうか
(1)外からポートAを叩く→イベントログに記録
(2)Luaがイベントログに反応してポートBの静的IPマスカレードを登録
(3)外からポートBを叩く→動的フィルタでポートCが開く
(4)外からポートCで通信開始
こんな感じで無理せず多段化出来そうな気がする ip pp secure filter を書き換えると他の通信が切れる事があるけど、 ip filter の登録や書き換えは大丈夫な筈
ip pp secure filter には動的に追加するフィルタの番号を予め仕込んでおいて、ip filter の方を追加削除するのがよいと思う 殆ど自己満足の世界ですが、こんな感じで多段の動的ポート開けの実験に成功しました
<コンフィグ(抜粋)>
ip pp secure filter in … 51 dynamic 51
ip filter 51 pass * 192.168.100.1 tcpsyn * 60002
ip filter 52 pass * 192.168.100.1 tcp * 22
ip filter dynamic 51 * 192.168.1.100 filter 51 out 52
nat descriptor masquerade static 1 51 192.168.100.1 tcp 60002 ←【動的に追加/削除】
nat descriptor masquerade static 1 52 192.168.100.1 tcp 60003=22
<Luaスクリプト>
外部からTCP60001が叩かれたらイベントログ(NATのReject)で検出してTCP60002のNAT設定を追加
TCP60002のセッションが終了したらイベントログ(Inspect)で検出してTCP60002のNAT設定を削除
<手順>
(1)外部からTCP60001を叩く→LuaスクリプトでTCP60002が開く
(2)外部からTCP60002を叩く→動的フィルタでTCP60003が開く
(3)外部からTCP60003でSSH通信開始
(4)TCP60002の口はLuaスクリプトで程なく閉じるがTCP60003はセッションが切れない限り通信し続けられる
最初の検出の仕組みをNATのRejectではなくてFilterのPassに変えればその部分を更に多段化できると思います
>>295
運用中にフィルタを操作するのはあまりよろしくないと思うので触らない方向で (1)のあと(2)をしなかったら追加したNATテーブルがいつまでも残るから時限式で強制的に消すようにした方がいい
そうすればトリガーのセッション終了の監視も不要になって一石二鳥
>>293
トリガーを複数回叩かせる仕組みはうまいとおもった
実用的にはこれぐらいで充分だろうな Luaってみんなそんなに使ってるもん?
公式サンプルのコピペしかやったことない >>297
「いつまでも」は誤り。
特に設定をしなければ900秒で消える。 >>297 >>300
Luaで動的に追加してるのはNATテーブルじゃなくて静的IPマスカレードの設定だね
だから消さないといつまで残るのは正解 >>300
動的フィルタを使わずに静的フィルタだけで処理出来ないのかな、とか思ったけど、静的だとセッションの終了を知る術がないから自動で閉じられないから無理か
動的フィルタならトリガーのセッション終了は知ることが出来るし、そもそも維持する必要がなければとっとと消してしまえるし
トリガーのセッションを明示的に維持しないと支障が出るような通信でなければ、動的フィルタは賢い選択だね Luaってその気にならば結構いろんな事出来そうだけど
なんか面白い使い方してる奴とかおらんのかな ヤマハなんだから音源チップを制御して音楽を奏でよう 別に面白くないけど、LuaでDDNSの更新とかやってるよ、ネットボランチDNS以外の 時報を知らせるハト時計にすることってできるよね?
スクリプトって初心者には難しいかな?
できれば、AM7時からPM22時まで時報を告げてくれる機能があると便利かなと。 schedule at 101 */* 7:00 * cuckoo
schedule at 102 */* 8:00 * cuckoo
...
schedule at 116 */* 22:00 * cuckoo
いや、ブザー程度しかないのにどうしろと 調高速でON/OFFを繰り返して、その時間比率で多彩な音程を作り出す事は可能だよ
単音BEEP音しか出なかった大昔のパソコンで音楽奏でたりしゃべたせたりしていた技法
ただしめっちゃCPUパワー食われる イベントログ監視でトリガー毎に違う音を出すように仕込んで置けば、外部コントロールで音楽を金でる事が出来そうだ >>293,297
叩くポートをころころ変えても面倒臭いだけなのと、たまたま飛んできたパケットが
トリガーに1回ヒットしただけでNAT設定の追加が発生するのも気持ちが悪いので
>>293のサンプルを参考にて以下の形に落ち着きました
(1)外部から指定回数(2回以上)TCP60001を叩く→TCP60001のNAT設定を追加(Luaスクリプト)
(2)外部からもう一回TCP60001を叩く→TCP60002の口が開く(動的フィルタ)
(3)外部からTCP60002でSSH通信開始
(4)TCP60001のNAT設定は指定時間経過で自動消去(Luaスクリプト)
使い勝手がよいのでこのまま運用に乗せました 困ったご相談です
以下のような頭の痛い構成のネットワークがあります
物理配線やアドレス体系を変えずに、RTX810配下のPCからPR-S300NEの管理画面に
直接アクセス出来るようにRTX810に小細工する事は果たして可能な物でしょうか
[Internet]
|フレッツ光ネクスト回線(IPv4)
|
[NTT PR-S300NE] ※PPPoEブリッジ
|LAN(192.168.1.1)
|
|-----[HQ-100等](DHCP)
|★A
|
|LAN2(PPPoE)
[YAMAHA RTX810]
|LAN1(192.168.1.254)
|
|★B
|
[PC等](DHCP)
・PR-S300NEはPPPoEブリッジモードで動作するひかり電話ルータ
・PR-S300NE配下にはHQ-100等のIP電話がぶら下がり、PR-S300NEからDHCPでIPが付与されている
・RTX810は現状、LAN2(WAN)側がPPPoE接続で動作するごく普通のNATルータ状態
・RTX810は現状、LAN2自体にはIPは付与していない
・RTX810配下のPCはRTX810からDHCPでIPが付与されている
・★Aと★Bのセグメントは何れも192.168.1.0/24で丸被りだが直接つなぐ事はNG 図が崩れてしまったので貼り直し
[Internet]
|フレッツ光ネクスト回線(IPv4)
|
[NTT PR-S300NE] ※PPPoEブリッジ
|LAN(192.168.1.1)
|
|-----[HQ-100等](DHCP)
|★A
|
|LAN2(PPPoE)
[YAMAHA RTX810]
|LAN1(192.168.1.254)
|
|★B
|
[PC等](DHCP) >>315
RTX810のNAPTをoffって只のローカルルータにして、LAN1側を192.168.2/24とかにするのではアカンの?
PR-S300NEって静的経路設定(192.168.2/24をRTX LAN2宛へ)出来ないのかな? セグメントを変更していいならどうとでもなる話なのですが、
諸事情で変更不可なので頭を抱えている次第です
ちなみにRTX810を只のローカルルータにしちゃったらインターネット出れなくなりますよ >>318
いくつか考えられるけど、★Aの位置にもう一台ルータを差し込めるならそれで解決できるけど。 >>319
残念ながら差し込めない…
二重NATにしちゃうという事ですよね /26とかに狭めても上流側の管理画面に入れないと厳しいか ★Aに無線AP挟んでスマホなりノートPCなりでアクセスじゃいかんの? 出来るかは知らんが、LAN1にVLANインターフェースなりを定義し、それとLAN2でブリッジインターフェースに収容。 >>215
★Aで割り当てられてるアドレスが、たとえば 192.168.1.63 までに収まってるなら
★Aを192.168.1.0/24でなく192.168.1.0/26にして、RTXのlan2にもその範囲内のアドレスを割り当てて
★Bは/24のままではあるけど192.168.1.64より下は使わないようにして
RTX810で代理 ARP 動作をさせれば、★Bの端末からHGWまで通信できるようになる
もしIPv4のアドレス範囲を分けることもできず丸かぶりだというなら
RTX 1台のIPv4のルーティングでは無理な話なので
IPv4はあきらめて、HGWの管理画面にはIPv6で入るというのはダメ?
HGWが400以降で、HGWでも使えるPPPoEアカウントがあるなら、PC等からはインターネット経由のVPNでHGWに接続するという手もあるけど
300は確かVPN機能無かった気がするからこれはダメだよね >>320
直列に入れるのは無理なのね。じゃあ、RTXと並列に2台いれたら?
|
S300SE--------
| |
RTX810 RTX1100あたりの中古
| | |
| ----------SRT100とかの中古
| ネットワークアドレスが被ってる時点でネットワーク設計としてあり得ないから諦めろ
PCがなんなのか知らんけどNICをもう一枚追加して、「NTT PR-S300NE」へはeth1にするって静的ルーティングでも追加してみれば
これでうまく動くか知らんけど、eth0とeth1でそれぞれ異なるセグメント(ネットワークアドレスは一緒だけど)につないでふるいわけするしかないだろ みなさん、アイディアありがとうございます
>>324
おー、IPv6に頼るという考え方がスッポリ抜けていました
確かにそれなら物理配線やIPv4のアドレス体系に手を入れなくてもなんとかなりそうですね
アドレス範囲に手を入れるのも難しそうな状況なのでその方向で行こうと思います
>300は確かVPN機能無かった気がするからこれはダメだよね
残念ながら無いんですよね >>328
そうか。読みづらい図に分かりにくい説明
そのうえ別セグメントなのにネットワークアドレスが重複
こういのは制約っていうんじゃなくて設計ミスっていうんだ >>327
同一セグメントの拠点同士をVPNでLAN間接続したいとか言っても
設計ミスだから諦めろとか言いそうだなこの人 >>317
PR-S300NEは静的経路設定を出来る作りになってないから
別のセグメントと直接通信するのは無理だと思う >>325
追加するルータは1台でもいけるんじゃない?
二つのインターフェースの両方に静的NATを設定して、
RTX810にも追加のNATを設定して合計NATを3回越える計算 質問者ではないが、
手を入れることが出来るのは、RTX810のセグメントに関わらない部分(コンフィグ)だけで、物理配線も変えられないのだけど? 仮にPCとPR-S300NEが同じIPで、PR-S300NEのスタティックルートを設定出来ない前提で例えばこんな感じ
[PC] 192.168.1.1
↓
↓S:192.168.1.1 D:192.168.2.1
↓
[RTX810] ※IPマスカレード
↓
↓S:192.168.2.254 D:192.168.2.1
↓
[追加RTXのRTX810側] ※静的NAT
↓
↓S:192.168.2.254 D:192.168.1.1
↓
[追加RTXのPR-S300NE側] ※静的NAT
↓
↓S:192.168.1.254 D:192.168.1.1
↓
PR-S300NE(192.168.1.1)
RTX810はLAN2又はVLANで切ったLAN1を使うイメージね >>334
まぁそうなんだけどね
仮にちょっとだけ手を入れる事が許されるとしたら、例えばこんなやり方もあるよねという話程度で >>332
PR-S300NEの[詳細設定]→[静的ルーティング設定]でいけるよ
もちろんこれは>>315には適用不可だけど、
一般的にはPPPoEパススルーな構成でHGWの管理画面を見れるようにするためによく使われる方法だと思う >>324
多少行儀が悪くてもいいなら
★Aで192.168.1.2
★Bで192.168.1.1〜2
が空いている前提で
RTX810のLAN2を192.168.1.2/30に設定して代理ARP動作させるだけで
Web管理画面にアクセスする程度なら問題なく行けちゃうのではなかろうか?
ブロードキャストパケットが192.168.1.3で飛ぶ事もない気がするし、
実質問題は起こらない気がする
行儀は悪いけど >>338
ずっと行儀が悪いままが気持ち悪かったら、
アクセスするときだけトリガー叩いてLuaスクリプトで一時的に設定して、
使い終わったら消しておくという事もできるね
そんな頻繁にアクセスするものでもないだろうし >>308-313
ヤマハ好きはみんな枕元にルータを置いてる筈だから、
トリガーに反応して音が出るようにしておけばモーニングコールに使えそう 初期化は可哀想だからフィルタが全部passになる程度 >>315の件ですが、結局IPv6は使わずに>>338の方法で解決しちゃいました
みなさんアイディアありがとうございまいた、助かりました >>345
PR-S300NEにアクセスするPCと同じIPのノードが★Aにいないようにだけ注意しましょう >>346
どのPCとかに限らず★Aと★BでIPが重複するノードはいちゃダメだよ
★Aから★Bに通信をしていないノードであっても、★BでARP要求されたら★B内のノードとルータが同時にARP応答しちゃう >>265
ICMPの返信はEcho ReplyとTime Exceeded の他にも
Destination Unreachable は普通に返ってくるから通るようにしておいた方がいいよ >>338
これってRTX810のLAN2はPPPoEやりながら/30のIP割り当てるって事でいい?
楽しそうだから実験してみようかなぁ それ利用するとRT58iとかからひかり電話ルータに2つの 書き損じた
それ利用するとRT58iとかからひかり電話ルータのSIPサーバにに2つのIPでレジストできたりする?
LAN2側だけ繋いでプライマリIPとセカンダリIP使って上手くできたりする? >>350
lan2はそれに加えてip lan2 proxyarp on
lan1もip lan1 proxyarp on
あと、たとえばlan1でDHCPサーバー動作させるつもりでdhcp service serverなどとしてると
lan2にIPアドレスを割り当てたことで、lan2でもDHCPサーバー動作しちゃうかもしれなくて
それが邪魔ならlan1だけ動作するようにするとか
既存の設定しだいで調整は要るかもしれない
>>352
2つレジストするそれぞれに対してsip outer addressを指定できたらいいんだけど
それぞれに指定はできなくて共通だからそれでは無理じゃね? >>350
そうそう
LAN2にIP振ってPPPoEブリッジしてる上位の装置とIP通信するのは割とよくあるテクニック >>353
あっ、DHCPのフォローを何も考えていませんでした
スコープ的には192.168.1.0/30の範囲に入っていないので大丈夫だとは思いますが
気持ち悪いので明示的に
ip lan1 dhcp service server
ip lan2 dhcp service off
を追加しました ポートVLANで分割したインターフェースって、通常のインターフェースと比較してどのような違いやデメリットが考えられるでしょうか
RTX1200からRTX830に乗り換え、DMZ用に使っていたLAN3が無いので代わりにLAN1.4をポートVLANで分割したのですが、
パフォーマンスによってはWAN用のLAN2と立場を入れ替えた方がよいケースもあるのかなと少し気になりました >>358
WAN側をどう構成しているかにもよると思うけど、ポートVLANでは思っているWANを構成できないかもよ? >>359
WAN側でやってるのは、フレッツ回線のPPPoE・NAPT・IPSecの拠点間VPN・L2TP/IPSecのリモートVPN・QoS・DMZ公開用のポートフォワード程度です
IPv6やルーティングプロトコルは未使用
この程度ならポートVLANのインターフェースでも特に問題は無いと思っているのですが、物によっては出来ない事があるという事でしょうか IKEv2のリモートVPNって本当に出来ないのかな >>361
つまるところコマンドの
> tunnel encapsulation
の type に ikev2 的なものが無いから駄目だと理解している DNSリカーシブサーバとして動作させているRTXで、
参照する上位DNSを
dns server pp 1
でプロバイダから取得している物ではなくて
他のDNSを明示的に指定したいのですが、
dns server <プライマリDNSアドレス> <セカンダリDNSアドレス>
とやってしまうと、DHCPでクライアントに通知するアドレス自体が指定した物に変わってしまう…?
http://www.rtpro.yamaha.co.jp/RT/manual/nvr500/dns/dns_server.html 逆に自分はリカーシブせずに dns server pp 1 で取得したDNSをそのままDHCPクライアントに通知しようと思ったらどうすりゃいいんだろ dns notice order
これくらいググれよ >>367
dns notice order コマンドで serverを指定した場合、
dns server <DNSサーバIP> で明示的に指定した物は通知されるけど
dns server pp 1 とかで取得した物は通知されなくない?
明示的に指定をするのは必須って事になるのかな >>364
dns serverコマンドでDNSサーバを直接指定した場合、DHCPクライアントに通知されるDNSはデフォルトだと一つ目がリカーシブサーバ(自分)のIP、二つ目がdns serverコマンドで指定したひとつ目のIPになるよ >>274
リモートクライアントに付与するアドレスはLANセグメントと同じでも別でもいいんだけど、
LANセグメントのネットワークアドレスがありきたりだと
モートクライアントが所属しているローカルセグメントとバッティングしやすいので
なるべくバッティングしにくいアドレスを付与したい事はある
とりあえず192.168〜は避けたい >>370
リモート端末はLANと同じセグメントに参加させたいけどセグメント被りは避けたくて、リモート端末には違うセグメントのIPを付与しつつ静的NATで同じセグメントのIPに変換する、という事を以前やろうとしてうまくいかなかった経験あり
確かこんな感じにしてうまくいかなかった
ip lan1 address 192.168.0.254/24
ip lan1 proxyarp on
pp select anonymous
pp auth username user1 pass1 10.0.0.11
pp auth username user2 pass2 10.0.0.12
pp auth username user3 pass3 10.0.0.13
ip pp nat descriptor 2
nat descriptor type 2 nat
nat descriptor static 2 1 10.0.0.11=192.168.0.11 3
どうすれば出来るのかな >>363
RTX1200時台から普通に使えるのでは
別の方式じゃなくてIPsecのなかのオプションという位置づけなだけ。
http://www.rtpro.yamaha.co.jp/RT/docs/ipsec/ike2.html
実際にAndroid12入れてみないと本当に繋がるかは分からない >>372
Android12はL2TPが使えなくなっただけで、IKEv2自体は以前のバージョンから使え >>372
Android12はL2TPが使えなくなっただけで、IKEv2自体は以前のバージョンから使えてたかと >>358
パフォーマンスが誤差の範囲で微妙に落ちたりぐらいはあるのかな?
ポートVLANのインターフェースで出来ない事って特に思い当たらないんだけど、なんかあるのかね リモートVPNの実験をしていてひとつ気が付いたこと
pp select anonymous
pp auth username user01 hogehoge 192.168.100.1
pp auth username user02 hogehoge 192.168.100.2
pp auth username user03 hogehoge
pp auth username user04 hogehoge
ip pp remote address pool 192.168.100.3-192.168.100.6
とか指定すると、
user01・02は直指定したIP、
user03・04はIPプールのIPが使われるけど、
IPプールをレンジ指定ではなく
ip pp remote address pool dhcp
とdhcp指定にすると、
user01〜04全てがdhcpからIPを割り当てられて
直指定のIPは無視されるんだな
知らなかった >>371
inとoutの考え方が逆ですよ
ip lan1 address 192.168.0.254/24
ip lan1 proxyarp on
ip lan1 nat descriptor 2
pp select anonymous
pp auth username user1 pass1 10.0.0.11
pp auth username user2 pass2 10.0.0.12
pp auth username user3 pass3 10.0.0.13
ip pp nat descriptor 2
nat descriptor type 2 nat
nat descriptor address outer 2 192.168.0.11-192.168.0.13
nat descriptor address inner 2 10.0.0.11-10.0.0.13
nat descriptor static 2 1 10.0.0.11=192.168.0.11 3 最下行まちがえた
nat descriptor static 2 1 192.168.0.11=10.0.0.11 3 連投すいません
よく考えたら、やりたい事を考えるとこれだと片手落ちですね
付与するIPだけ変換しても、リモート側は自分のローカルセグメントと通信相手のセグメントが被る訳だから同時に通信できない訳で
リモート側からは相手のIPも変換されて見えるようにしないとダメですね >>378-381
回答ありがとう、いろいろ考えが足りてなかったみたいで…
せっかく情報もらったのでテストしてみてるけどなかなかうまくいかない…うーん
LAN側を10.0.0.0/24に丸ごと変換するのは無理がある??
ip lan1 address 192.168.0.254/24
ip lan1 proxyarp on
pp select anonymous
pp auth username user1 pass1 10.0.0.11
pp auth username user2 pass2 10.0.0.12
pp auth username user3 pass3 10.0.0.13
ip pp nat descriptor 2 reverse 3
nat descriptor type 2 nat
nat descriptor address outer 2 10.0.0.1-10.0.0.254
nat descriptor address inner 2 192.168.0.1-192.168.0.254
nat descriptor static 2 1 10.0.0.1=192.168.0.1 254
nat descriptor type 3 nat
nat descriptor address outer 3 192.168.0.11-192.168.0.13
nat descriptor address inner 3 10.0.0.11-10.0.0.13
nat descriptor static 3 1 192.168.0.11=10.0.0.13 3 >>382
>nat descriptor static 3 1 192.168.0.11=10.0.0.13 3
これ書き方合ってるの? >>382
>nat descriptor static 2 1 10.0.0.1=192.168.0.1 254
これも >>383
指摘どもです
ひとつめは
nat descriptor static 3 1 192.168.0.11=10.0.0.11 3
の誤記でした
ふたつめ合ってると思うのですが… reverseオプションは使わずにnatを両インターフェースに分けて適用したら
意図通りの通信が出来るにようになりました
ip lan1 address 192.168.0.254/24
ip lan1 proxyarp on
ip lan1 nat desciptor 3
pp select anonymous
pp auth username user1 pass1 10.0.0.11
pp auth username user2 pass2 10.0.0.12
pp auth username user3 pass3 10.0.0.13
ip pp nat descriptor 2
nat descriptor type 2 nat
nat descriptor address outer 2 10.0.0.1-10.0.0.254
nat descriptor address inner 2 192.168.0.1-192.168.0.254
nat descriptor static 2 1 10.0.0.1=192.168.0.1 254
nat descriptor type 3 nat
nat descriptor address outer 3 192.168.0.11-192.168.0.13
nat descriptor address inner 3 10.0.0.11-10.0.0.13
nat descriptor static 3 1 192.168.0.11=10.0.0.11 3
この形で、リモート側からはLANセグメントが10.0.0.0/24、
LANセグメント側からはリモートが192.168.0.11〜13に見えてます
ひとまず解決ですが、reverseオプションを使うとうまくいかない理由がよく分からない… >>386
Port絡み?
何も考えずに思いついたことを言うとRTX1210以降の機種だったら
nat descriptor backward-compatibility typeを1にしてRTX1200時台のNATにしたらいけるかも? >>387
確認に使った機種はRTX810なので残念ながら関係ないですね >>381
reverseオプションの存在をすっかり失念してました
そういえばありましたね、逆方向のNAT適用
ひょっとして>>315の問題もこれで対応可能だったりして? >>389
実際の始点・終点、仮想的な始点・終点、ゲートウェイとかのルーティングの方の問題で多分無理。 停止操作するまでshowコマンドを数秒置きに実行し続ける方法ってありますか? >>391
Luaで自動実行すれのが手っ取り早いんじゃないな
rt.sleep関数でウエイト掛けつつ無限ループとか
https://router-switch-jirei.jp/archives/581 >>392
スクリプトが必要なんですね
ありがとうございます >>391
TeraTermとかのマクロを使う方法もあるよ あそっか、showコマンドって事は当然ターミナルソフト繋ぎっぱだから別にマクロでいいんだ 動的フィルタによるポート開けのテクニックの件で格闘中
pp select 1
ip pp secure filter in 101 998... dynamic 11
ip filter 101 pass * <接続先IP> tcpsyn * 60001
ip filter 102 pass * <接続先IP> tcp * 22
ip filter 998 reject * * * * *
ip filter dynamic 11 filter 101 out 102
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 <接続先IP> tcp 60001
nat descriptor masquerade static 1 2 <接続先IP> tcp 60002=22
接続先IPがLAN内のサーバの場合はうまく行くのですが、
RTX自身の場合には何故かうまく行きません
外からトリガー(TCP60001)を叩いた時、
show ip connectionコマンドで確認をすると、
LAN内のサーバ宛の場合はin方向にコネクションが出来ていますが、
RTX宛の場合は出来ない状況です
RTX宛の場合、フィルターは開けててもサービスを提供していない
ポートだとコネクションが成立しない? >>394
裏で回してテキストファイルに書き出すイメージです
RTが複数の遠隔地にあるのでリモートアクセスで1拠点ずつしか接続できない >>397
ターミナルソフトを繋がずにという事であれば
例えばコマンドの実行結果を外部メモリに保存する方法とか使えると思います
ttp://www.rtpro.yamaha.co.jp/RT/docs/external-memory/redirect.html >>396
動的フィルタの問題はよく解らないけど、以下の方法で類似の動作をさせる事は可能だよ
・SSH用ポートを単体の動的フィルタで登録
・トリガーポートを叩くとSSH用ポートの静的IPマスカレードを登録するLuaスクリプトを設置
・SSH通信終了をログ(INSPECT)で検知して静的IPマスカレードを削除するLuaスクリプトを設置 >>368
DHCPでDNSを通知したい場合は dns server pp 1 は使わずに dns sever <IPアドレス> で明示的に指定しなけれいけない筈 >>360
ポートベースVLANのインターフェースで出来ない事はごく限られてますよ
パフォーマンスも気にするレベルの差異は殆どありません
主な違い
・タグVLAN機能が使えない
・LANマップ機能が使えない
・show status interfaceコマンドが使えない 8show status vlanコマンドを使う)
・show status switching-hub macaddressコマンドでMACアドレステーブルが確認できる 今NVR510使ってるので同等性能で2.5Gbpsの出してくれたら即買いなんだがヤマハさん出してくれないかなぁ >>399
トリガー叩いて静的IPマスカレードが登録したあと、SSH通信を開始しなかった場合に登録した内容がいつまでも残ってしまうのが問題
SSH通信が開始されなかったら速やかに登録を削除する事が出来ればけど、開始を検知する事は難しい >>399
もう一つ気が付いた
ルータの接続中は常に追加された静的IPマスカレードが存在する訳だから、
コンフィグをメンテナンスした場合、保存をすると内容には静的IPマスカレードが常に
追加済の状態となってしまう >>404
SSHの通信に動的フィルタを使ってるんなら、最初のトリガーはpass-logにしておくだけで検知出来るっしょ >>399,404,406
どもです
宛先がRTX自身の動的フィルタがうまく行かない件はよく分からないや、そういうもんなのかな
Luaスクリプトを使う方法も試したいのですが、
・トリガーポートを叩くとSSH用ポートの静的IPマスカレードを登録する
・静的IPマスカレード登録後、一定時間内にSSH通信を始めなければ静的IPマスカレードを削除
・SSH通信終了を検知して静的IPマスカレードを削除
これを同時に実現する書き方がよく分からない… 相談です
ケーブル回線でHUMAX HG100R-02JGという無線モデムルータ(レンタル)を使用しているのですが
拠点間VPN用と思わしきVPNサーバ機能が搭載されています
https://z.zz.fo/wHFmC.jpg
この機器とヤマハルータ間でVPN接続する事は果たして可能かご存知の方いらっしゃるでしょうか
ここで訊く話ではないのかもしれませんが、このルータのVPN機能に関する情報が少なすぎて
にんともかんとも >>407
こんな方法もあると思うよ
設定の登録や削除は発生しないし、ポートも自前で閉じる必要が無いのがメリット
(1)外からトリガーポートAを叩く
(2)(1)に反応してルータのLAN側から送信元に対してトリガーポートBを叩く(Luaスクリプト)
(3)(2)に連動して外→中方向のSSH用ポートを開く(動的フィルタ)
(4)開いたSSH用ポートを使って通信開始
(5)動的フィルタで開いたポートは時間経過で勝手に閉じる
LAN内のサーバ向けだとセカンダリIPが必要になったりして苦しいやり方になるけど
ルータ向けなら話は別だ >>408
多分接続できます
YAMAHA側と設定を合わせて行けば問題無いと思います。
NATトラバーサル機能がどうなっているか分からないので、
両方ともグローバルIPが必要かもしれません。
でも、それはルータじゃなくて両方のプロバイダの問題なので。 >>410
回答ありがとうございます
両方ともグローバルIPなのでその辺は問題ないと思います、動的ですけど
異機種間のIPSecVPNは結構鬼門というイメージが強いです
NetScreenと繋いだ経験ぐらいしか自分にはありませんが、
ググって出てくるサンプルが無かったら自力ではちょっと無理でした
とりあえずトライしてみようと思います ポートがどうこうって完全に趣味の領域だな
今時ランサムウェアばら撒くのが主流だし効果絶大だし
わざわざファイアウォールの正面突破にトライするハカーとかいるんか? >>412
実態を知らないのね。
ファイアウォール突破は、ランサムウェアをばら撒くための第一歩の一つなのに。。 >>414
メールからというのが別の第一歩ということかな セキュリティはどこも杜撰なのでやるかやらないかだけ ランサムなんてほぼすべてメールかエロや違法映画、漫画ファイルのダウンロードからだ。
わざわざFW突破してくるようなハッキングされた後なんてほぼほぼねぇ。 ランサムが主流なのは別にそれはそれでええいんだけど
正面突破のログインアタックだって世界中から山ほど来るっちゅうの
そこの紐緩めてどうするの >>410
RTXとHG100R-02JGの設定を合わせる事でIPSecのコネクションを張る事に無事成功しました
ただ、現状ではRTX→HG100R-02JG方向にしかパケットが届かない状況です
HG100R-02JG側のルーティングの問題だと思いますが、
静的ルーティングを設定する項目とか言一切見当たらないんですよね、この機器…
どうしたもんだ テストで回線にpc直結してファイアウォールもセキュリティソフトもOFFにしておくとあっという間にやられまくるよね >>419
レイヤーの区別もついてないのか
どのポート叩いたら裏口開くみたいなパズルは楽しみでやるもんで
実質的なセキュリティとは別物だわな >>420
安い民生用ルータならスタティックルート設定出来ないのもある
てか、ネットボランチは別として、民生品で拠点間VPN出来るルータなんてあるのか?
リモートアクセス用の間違いじゃね? >>423
おまえは>>408の画像のパラメータがリモートVPN用に見えるのか >>422
そーね。
このスレでやってたダイナミックフィルター等によるポートの開閉は単なるポートスキャンでも偶然に開く可能性もあるからな。
暗号強度の一部として考えると、とても弱い。(所詮ポート番号なんて全部使っても16bit分しかない)
sshでのセキュリティ確保はhosts.allowにfail2ban、証明書にそれでも飽きたらないならhosts.allowするFQDNをDDNSで指定して、実際に接続する度にDDNSを更新掛けることで接続元の認証を実質的に行うなりの多層防御が必要。 >>425
remote addres は相手のグローバルIPのDDNS名
remote id は相手のローカルセグメント
remote name は相手のUSER FQDN
をお互いに指定している状態です ただネットを繋げるだけでポート開放とか必要ないので最低限のconfig教えて欲しい
接続はpppoe
いろいろあって初期状態に戻して
初期設定に簡単なfilterと侵入検知すべてONだけにしたのに接続が不安定になりYouTubeがずっとクルクル回り出したりサイト開くのが急に遅くなったりする。1、2分何もせず放置で復旧する
夜ならわかるが昼間も
netflixのスピードテストでは常時200Mbps以上は出ているんだが 基本のコンフィグなんてヤマハのサイトに転がってるので
今現在のコンフィグを晒して問題点を指摘してもらった方がいい やっぱり侵入検知はダメなのか...?
GUIから設定して侵入検知とフィルターだけ流し込んだだけ
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.0.0/24 * * * *
ip filter 200004 reject * 10.0.0.0/8 * * *
ip filter 200005 reject * 172.16.0.0/12 * * *
ip filter 200006 reject * 192.168.0.0/16 * * *
ip filter 200007 reject * 192.168.0.0/24 * * *
ip filter 200008 reject * * udp,tcp 135 *
ip filter 200009 reject * * udp,tcp * 135
ip filter 200010 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200011 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200012 reject * * udp,tcp 445 *
ip filter 200013 reject * * udp,tcp * 445
ip filter 200014 pass * * icmp * *
ip filter 200015 pass * * established * *
ip filter 200016 pass * * tcp * ident
ip filter 200099 pass * * * *
ip filter dynamic 200080 * * ftp syslog=off
ip filter dynamic 200081 * * domain syslog=off
ip filter dynamic 200082 * * www syslog=off
ip filter dynamic 200083 * * smtp syslog=off
ip filter dynamic 200084 * * pop3 syslog=off
ip filter dynamic 200085 * * telnet syslog=off
ip filter dynamic 200098 * * tcp syslog=off
ip filter dynamic 200099 * * udp syslog=off >>434
ip pp secure filter in
ip pp secure filter out
の行も >>429
そもそも、過去には同じハード構成で問題なく繋がっていた環境ですか?
違うハードなら問題が無かったとか?
それとも実績無し? >>435、436
ずっと同じハードで以前はそんな症状はなく、リセットした理由は接続をtransix→OCNに変わったためです
ip pp secure filter in 200000 200001 200002 200003 200008 200009 200010 200011 200012 200013 200014 200015 200016
ip pp secure filter out 200004 200005 200006 200007 200008 200009 200010 200011 200012 200013 200099 dynamic 200080 200081 200082 200083 200084 200085 200098 200099 >>437
何かを参考にした?
正常に動きそうにないようにしか見えん。 プロバイダを変えたという情報が出てくるのがこのタイミングですか
ルータばかり疑ってるけど、一度ルータを介さずにPCでPPPoE喋らせてインターネットに繋いでみて、本当に問題ないか確認してみましょう TransixからOCNのPPPoEに変えればそりゃ通信品質は落ちるだろ
終了終了 プロバイダ変更を伏せている事を見破れなくて、自分はまだまだだなと思った BUFFALOの無線LANルーターからRTX1200に変えたら下り100Mbpsから200になった。
マンションの無料LANだからこんなもんかと思ってたんだけどルーターの性能とは。
光回線ならNUROが速いらしいけどONUからYAMAHAにしたらもっと速くなるの? 速くするのが目的でルーター変えるなら他社のほうが良いよ YAMAHAはONUなんて作ってないから…
このタイミングでRTX1200を選んで導入したきっかけが知りたい NVR510背面ににONUとあるけど使えないのか?
このタイミングの意味がよく分からないけどRTX1200買ったのはただ4000円ぐらいで安かったそんな理由 >>445
その認識だったら、一般家庭用の方が良いかもね。 >>445
NVR510のそれは小型ONUと接続するためのインターフェースという意味
RTX1200は定価10万以上の中小規模向けルータだけど、IPv6化が進んでる近年の回線事情にはもう対応しきれない10年以上前に発売されたロートルよ
ヤマハが好きなら否定はしないけど、回線新しくするならよく考えないと直ぐに引退だよ nuro使ってないからよく分からないけど、HGW使わない方法がDMZに自前ルーター配置するとかだった気が。あんまり効果ない気がする。 最近の個人向けISPはHGW必須でONC内蔵していて直付けできんから余計に電気代かかる >>446
RTX1100をテラタームで設定した事は有る。
セグメント分けたかっただけだけど。
見られたらまずいものが色々有るもんでね!
でも100Mしか出ないからすぐ使わなくなったんだけど。
>>447
小型ONU
サーバーラックで見たことある。
光を電気信号に変えるだけだからそれ自体に設定とかないとか思ってるけど間違い? >>450
小型ONUは基地局側での設定が必要だから、NVR510に設置するときは
NTTの人間が来るよ ONUのMACアドレスを局側に登録する必要があるみたいだな 小型ONUはただのSFPと違って光電変換以外に
OLTからPONの制御受ける仕組みになっててそれ用のチップが付いてる 色々見てたら光回線契約する時にHGWを小型ONU対応タイプにしてもらえばゴミルーターとおさらば出来ることが分かった
開通後即外されるHGW HGWは民生用ルータと思えばマトモなほうだから・・・
エ○コムとかつけるよりよっぽどマシやと思う HGWはスループットも安定性も4ポートハブとしても、家庭用とは別物だな。 500MIのvpnは2、3回接続があると
ネットが繋がらなくなってた
その度に再起動してた >>458
HGWのVPN周りは実際に使ってる人が少ないだろうから、バグを踏む事案自体少ないかもね。
RTも少し変わった使い方をすると今でも変なバグ踏むよ。
流石にrestartがtimeoutするバグには呆れたが。(ルーターとしての動作は正常だったので様子見していたら数時間後に再起動して正常動作に戻った) ワイは小型ONUをNVR700Wに直収成功するも
フレッツテレビ契約したら結局V-ONU付いた
NVRにアンテナ端子付けて欲しい >>460
小型ONUの後ろにアンテナ端子というのは不可能。 rtx1210をONU経由で使っていたけど、
ひかり電話を引く必要が出てきたので、
NVR510で小型ONUを引いた。
transix経由で速い時は850M bpsくらい出てる。
rtx1210の時は最速700M bpsくらいでしたが、
CPUがきつそうだったので、
まぁ、こんなもんなんだな。と思った。 >>408 >>420
どんなコンフィグ書いてるのよ 1.ip filter の番号は0埋めできますか?
2.ip filter と ipv6 filter の番号は重複不可ですか? >>463
ヤマハルータ側
ip route 192.168.1.0/24 gateway tunnel 1
ip lan1 address 192.168.2.1/24
tunnel select 1
ipsec tunnel 1
ipsec sa policy 1 1 esp aes256-cbc sha-hmac
ipsec ike duration ipsec-sa 1 28800
ipsec ike duration isakmp-sa 1 28800
ipsec ike encryption 1 aes256-cbc
ipsec ike group 1 modp1536
ipsec ike hash 1 sha
ipsec ike local id 1 192.168.2.0/24
ipsec ike local name 1 user02@XXXXXXXX.jp user-fqdn
ipsec ike pre-shared-key 1 text <共有キー文字列>
ipsec ike remote address 1 <対抗のDDNS名>
ipsec ike remote id 1 192.168.1.0/24
ipsec ike remote name 1 user01@XXXXXXXX.jp user-fqdn
nat descriptor masquerade static 1 1 192.168.2.1 udp 500
nat descriptor masquerade static 1 2 192.168.2.1 esp HG100R-02JG側
▼ルーティング設定
そんな項目は見当たらない
▼LAN設定
IPアドレス:192.168.1.1/24
▼IPSec設定
事前共有キー:「<共有キー文字列>」
フェーズ1 DHグループ:「Group 5 (1536 bit)」
フェーズ1 暗号化:「AES-256」
フェーズ1 認証:「SHA-1」
フェーズ1 SA存続時間:「28800秒間」
フェーズ2 暗号化:「AES-256」
フェーズ2 認証:「SHA-1」
フェーズ2 SA存続時間:「28800秒間」
▼ローカルエンドポイント設定
アドレスグループタイプとIP:「IP subnet」「192.168.1.0/24」
IDタイプとID:「USER FQDN」「user01@XXXXXXXX.jp」
▼リモートエンドポイント設定
アドレスグループタイプとIP:「IP subnet」「192.168.2.0/24」
IDタイプとID:「USER FQDN」「user02@XXXXXXXX.jp」
ネットワークアドレスタイプとリモートアドレス:「FQDN」「<対抗のDDNS名>」 こんな感じの拠点間VPNね
-+-------- 192.168.2.0/24
|
| 192.168.2.1
ヤマハルータ
|
(インターネット)
|
HGR100R-02JG
| 192.168.1.1
|
-+--------- 192.168.1.0/24
現状ではヤマハルータ側からHGR100R-02JG側にだけパケットが届いて
逆方向は一切届かない状態 >>470
そこのサイトはHGR100R-02JGの対向がLinuxサーバなだけで
同じような感じでやってるつもりなんですけどねえ user attribute admin connection=serial,telnet,remote,ssh,sftp,http gui-page=dashboard,lan-map,config login-timer=300
login timer 600
こうしたときにadminでログインすると5分でログアウトするのですが、
login timer ってどう使うんですか?
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/setup/login_timer.html 自決しました。
login-timerが優先されるって書いてありました。
ttp://www.rtpro.yamaha.co.jp/RT/manual/rt-common/setup/user_attribute.html ネットスラングにもなりきっていない使い方をするのはどうなのか。 user attributeとかあんまし使ったことなかったなー >>472
これって user attribute で明示的に login-timer=300 と書いていたら
気づくけど、 login-timer=300 を省略したときにも、初期値は 300 なので
login timer の値をいくら変えても 5分でタイムアウトになって悩むことがある 分からないので力を貸してください
電源をOnにした直後RTXのコンソール上でpingを実行すると応答があります
ping 8.8.8.8
8.8.8.8から受信: シーケンス番号=0 ttl=115 時間=21.262ミリ秒
その後何もせず数分ぐらい経った後再度pingを実行すると返ってきません
返ってこなくなる直前のログにはARP: Illegal packet at LAN2, ……
と出ている事が多いです
ARP: Illegal packet at がログ出力される場合、
内部的に何か機能が停止されたりするのでしょうか?
若しくは、ARPのキャッシュがクリアされるとか
よろしければ教えていただければ幸いです >>479
ネットワーク構成をもう少し詳しく教えて下さい
とくにLAN2側
RTXが認識出来ないセグメントのIPアドレスを持つノードからのARP通信を
LAN2が受けた場合に、
このメッセージと共にそのノードのIPとMACアドレスが記録されます
よくありがちなのは、
LAN2がPPPoEを喋っていてIPを付与していない状態で、
その先のモデム(PPPoEブリッジモード)にはIPが付与されていて
そこからARP通信がやってくるケース >>409
中から動的フィルタを開ける方法でうまくいくようになりました
静的IPマスカレードを追加したり削除したりする方法だと複数セッションの
管理したい場合に問題がありますが、この方法だとそういう心配もないので
すごくいいですね
なんかこの手の対策はあまり意味が無い的なつっこみがありましたけど、
ブルートフォースアタックの対策という意味で決して無駄だとは無いと
思う訳ですよ >>481
ポートスキャンは普通に行われていて、
かつ、その結果をもとにブルートフォースアタックをかけるということは日常茶飯事。
なので、それに対してはあまり効果を発揮しない可能性があるのは明白。 479です
>480さんへ
ルータ(CATV)[192.168.0.1]---[192.168.0.200]RTX---[192.168.10.x]
こんな感じになってます。
IllgalPacketのIPは59.XX.XX.XX でログ出力されていました >>482
ターゲットになる通信ポートが普段は閉じているのに? >>483
ん?
CATVの終端装置はブリッジモードじゃなくルータ動作なんですか?
こういう二重NAT状態?
インターネットへ
|
| [グローバルIP(DHCP)]
NATルータ(CATV)
| [192.168.0.1/24]
|
| [192.168.0.200/24]
NATルータ(RTX)
| [192.168.10.x/24]
|
: >>481
もしどうしてもやるなら仕掛けを作った本人ですらタイムアウトがキツくて頻繁にログインに失敗したりする作り込みまでやらないと単なる自己満足に終わる
ポートスキャンやった後にブルートフォース始めるのだから尚更
勘のいい侵入者ならこんな再現性のある仕込みなんて直ぐに見破る(当たりポートだと発側にパケット打ち返してるのだから当然ながら全部記録されている) >>486
トリガーは一回叩くだけで開くようじゃ流石にイージーすぎるのはわかるけど、
複数回なり多段なりTCPフラグをみるなり、
ある程度複雑化しておけば充分意味はあると思うんだけどなぁ? >>487
> もしどうしてもやるなら仕掛けを作った本人ですらタイムアウトがキツくて頻繁にログインに失敗したりする作り込みまでやらないと単なる自己満足に終わる
と書いてあるのが読めないのか、それは仕方ないな。 頭ごなしに否定するような物言いで始めておいて、そりゃ無いんじゃないの(笑)
やる意味はあるという理解でOKだよね >>483
そのIllgalPacketのIP(59.XX.XX.XX)は具体的にどこのIPです?
あとMACアドレスも
自分がプロバイダから付与されているグローバルIPじゃなくて、対向のゲートウェイのIPとか? >>483
その本当に構成図は正確ですか?
グローバルIPが付与されている機器はCATVのルータとRTXのどちらでしょうか
CATVのルータがブリッジモードで、RTXのLAN2にグローバルIPがDHCPで付与されているという事はありませんか?
IllgalPacketのメッセージの通りだとすると、LAN2側にはIPが59.XX.XX.XXのデバイスが存在し、
LAN2がそのIPと直接通信できるセグメントにいない状態でそのデバイスからARP通信を受け取ったという事になります 479です
>>485です
その図であっています。二重NAT状態です
>>490
59.XX.XX.XXは自分で設定していませんし、電源投入後ARP: Illegal packet がログに出力された後ではPingも通りません。
想像ですが、プロパイダであるCATVのルーターかも?(不明)
>>491
グローバルIPが付与されているのはCATVのルーターになります
IP電話のサービスも使っているのでそのせいかも
RTXの動作として、ARP: Illegal packetが受信されると、内部的に何か(一時)停止するサービスがあったりしますでしょうか? >>492
>RTXの動作として、ARP: Illegal packetが受信されると、内部的に何か(一時)停止するサービスがあったりしますでしょうか?
ありません
本当に構成図通りなら、グローバルIPを纏ったARP通信がRTXに届く事自体が何かおかしいです
LAN2に繋がっているのがCATVのルータだけなら、そっちの動作の方が怪しいです
CATVのルータは本当にブリッジモードではなくルータモードですか?
ログに59.XX.XX.XX.XXと一緒に記録されるMACアドレスはCATVのルータの物ですか?
>59.XX.XX.XXは自分で設定していませんし、電源投入後ARP: Illegal packet がログに出力された後ではPingも通りません。
>想像ですが、プロパイダであるCATVのルーターかも?(不明)
CATVのルータの管理画面で付与されてるIPやゲートウェイのIP、自分自身のMACアドレス等は確認出来ると思うので確認してください
>グローバルIPが付与されているのはCATVのルーターになります
>IP電話のサービスも使っているのでそのせいかも
IP電話サービスにグローバルIPは必要ない気が…
そもそもなぜ二重NATにしているのかよく分からないのですが、何か理由があるんです? どこのCATVの何ていう機種か知らないけど、管理画面でステータスやログは確認できるでしょ
PINGが飛ぶ時と飛ばない時でステータスが変化したりログが何か記録されてないか確認すべき
RTXばっかり疑いすぎ 479です
皆様ありがとうございました。
使用中のバッファローのルーターの置き換えのため色々試している途中でした。
RTXばかり疑いすぎという話でしたので、今一度見直してみようと思います。 >>489
>>482はこれまでの話の流れを知らないだけじゃないの
もともと多段なり複数回叩かせるなりするのは前提で話してたんだし、きにすんな >>479が何をやりたいのかイマイチよくわからん
普通に考えてCATVのルータがブリッジモードで動作してないとグローバルIPのARPなんてRTXまで飛んでこないので、嘘か勘違いか混ざってるか隠してる情報がある筈 教えてください。SWX2310-52GTに接続できるsfp+のモジュールって純正でないとダメなんでしょうか?
10GBase-Tで接続したい機器があるのですが純正でTのsfp+モジュールが存在しないので。
fs.comのGeneric Compatible 10GBASE-T SFP+ Copper RJ-45 30m Transceiver Module
https://www.fs.com/products/74680.html?attribute=113&;id=219394
のようなサードパーティ製のモジュールの動作実績ってありますか? 横からでごめんけど>>485のような二重ルーターの場合dnsを8.8.8.8にしたい時は最上位だけしにといて下位についてはDGWとどうアドレスにするべきなの? ヤマハで二重言う奴はヤマハを使うな
設定で無駄に時間を費やすだけ >>501
ルーターにさせとけば下位まで外部参照する必要がないわけだよね どの子にDNSリカーシブサーバーの仕事をさせたいかってだけでしょ >>500
よちよち歩きから2足歩行始めようとする時、転んで危険だから延々とよちよち歩きをしたらいいと思うよ >>499
端末いっぱいぶら下がってるのが下位のルータなら、
普通は下位のルータをリカーシブサーバーにして上位のルータを使わずに
外部参照させるべき nvr510ですら値段が上がってきた。
この先どうなるんだろうね。 >>486
実験はシンプルな形でやってるけど、実運用するならひとつのポートを1回2回叩いた程度で開くような事はしないので安心して下さい 6年周期だった新モデル登場が10年周期とかになりそう 以下のURLの真ん中あたりに「他社製L2スイッチに端末とスレーブが並列で接続されている場合」とありますが、
他社製L2スイッチがLLDPを有効にしていてもPC2PC3の情報は拾えないのでしょうか。
ttp://www.rtpro.yamaha.co.jp/RT/docs/lanmap/
yamaha側で純粋にLLDPだけ有効にするというのもできないですよね。 >>510
LANマップ機能はLLDPを利用しているわけではないので、他社製L2スイッチのLLDPが有効でも無効でも同じ表示になります。 >>509
https://businessnetwork.jp/Detail/tabid/65/artid/7942/Default.aspx
> このRTX1210はヤマハの中小企業向けVPNルーターの主力製品だったが、昨今のコロナ禍で注文が殺到。
> 「本来は2024年のISDNのサービス終了までは安定して供給できる予定だったが、コロナ禍という想定外の事象により、
> 当初の目論見より大分早い段階で生産を終了せざるを得なくなってしまった」と千頭和氏は語る。
RTX1210は2014年の発売
もともとRTX1210で10年は戦う算段だったのかもしれんよ 米中韓台のIT産業に関わってる連中は驚くだろうな
同じ機器を10年も売り続けるなんて冗談だろって Yamaha UTX200のことってここで聞けますか?
かれこれ1週間以上試行錯誤しておりまして…何かアドバイスいただけたら助かります
<構成>
固定IP-NET-ONU[動的IP]-RTX1210[PPPoE]--Si-R G100[IPsec]-PC
で特定のWebサイトのみIPsec[アグレッシブモード]で見る構成から、
固定IP-NET-ONU[動的IP]-UTX200[PPPoE]-Si-R G100[IPsec]-PC
に変更後、IPsec通信を必要とするWebサイトが見れなくなりました。
なお、他のWebサイトは閲覧できています。
<Si-R G100>
# show ip route all
にてRTX利用時には表示されたIPsec接続先が表示されない
トラブルガイド「IPsec 対象先のネットワークアドレスが、IPsec インタフェースに向いていないため、IPsec 対象先の経路情報を設定してください。」
# show ipsec sa
にて[IPsec SA Information]2つ[IKE SA Information]1つの確認はできるが、特定サイト閲覧不可
トンネル構築約1分後切断して再接続→切断を繰り返す
<RTX1210>
ip lan nat descriptor 1
nat descriptor type 1 masquerade
の設定以外にSi-R G100関連の静的な記述なし
<UTX200>
Hide NAT(NAPT?)有効
セキュリティ機能をすべて無効にしても状況変わらず
ブロックしたログなし RTX1210のNATディスクリプタで静的な事をやってないって事は、
Si-R G100はIPSecはNATトラバーサルで動作してるってことでいいんだよね >>519
ご指摘ありがとうございます
私もこの辺りに原因があるのではないかともやもやしている次第です
Si-R G100にて
ike nat-traversal use on
の記述がないため、NAT-Tでは動作していない?ようです
RTX1210接続時において
show nat descriptor address 1 detail
の結果、ESPとUDP500の通信があり、NAT-Tで使用されるUDP4500?は存在しませんでした >>520
えっ…
IPSecのパススルー処理も無しでどうやってNAT配下のGi-R G100がESPで通信してるの >>521
ご指摘ありがとうございます
自分も本来であればRTX1210に
nat descriptor masquerade static 1 1 192.168.0.1 udp 500
nat descriptor masquerade static 1 2 192.168.0.1 esp
などの記述があるべきだと思うのですが、configを見てもないのです >>515
きみはたらいたことないでしょ?
レガシーのシステムやハードなんてそこらじゅうにたくさん転がってるよ?
ハリウッド映画の軍事モノの観すぎ WindowsXPからRTXへリモートVPN(L2TP/IPSec)が繋がらなくて悩む事小一時間、そういやこの世代ってAES喋れないんだったと気づく 旧世代OSはおとなしく3DESかPPTP使うよろし >>522
UDP500とESPのフィルタはどうなってますか? >>527
世の中で動いているモノの裏側を知らないのだけは分かる。 米国の企業でも数年前まではT1/DS3回線の新規導入ってのは普通にあったがな
レガシーなTDM/PDH系の品目の方が瞬断検知性能が極めて良くて通信事業者の頭痛の種の一つだった RTX830MB configクリアできたがファーム更新でエラー。
なんとかならんかのぉ これって国内市場&LANの出口として使うようなルーターのことじゃないの?
シスコがシェアあるのがびっくり(高いし…) シスコはヤマハと違って
「金くれればケツ拭くまで面倒見ます」
式でセッティングにユーザー労力負担がないからな
金はあるがスキルがないならシスコ
スキルはあるが金が無いならヤマハ
どちらもなければアキラメロン ろくでもないのが揃ってるから自分でやった方がマシなレベルだったりするだけでヤマハだって金払えば面倒見てくれる業者はあるだろう
建前上の責任押しつけるために保守契約結ぶことあるぞ シスコはノベルと同じ変な資格商売をやめて販売を伸ばした
上納金を納め続ける有資格者にしか情報渡しません機材の設定もやらせませんでは限界が来ることを
華為に侵食されまくってからやっと気づいたらしい 中小規模はヤマハで大規模がシスコだった
台数シェアはヤマハが上だけど金額シェアはシスコが断トツ Cisco Meraki Goの完全対抗商品群を出さないと
ヤマハもそろそろ台数でもヤバげ 上流がシスコだらけだからある程度の規模以上は全部シスコ 上位が全部ciscoなわけあるかいな。アンチciscoも一定数いる。
コアルータ(BGP peerはれる奴)でいうと、juniperなり最近はhuaweiとかも見かける。 華為は使ってるだけでダメリカと商売てきなくなるから
割とすぐ捨てられる運命 ヤマハが家庭用製品出し続けてくれる限りヤマハ買うよ MVR700Wならファン付いてるぞ
常時回ってる訳ではないが 環境悪いところでファン有りにするとひどいことになる ただのスイッチもエッジルータ?
ちゃんとMACアドレスベースで振り分けてるし >>551
L2なのでそもそもルーターではありません ルータとL3スイッチの違いが分からないとかの初心者質問ならあるある ただのスイッチとあったからL2だと思い込んでしまった
もっと柔軟に考えないとあかんな…… あ、いや、>>551はただのL2スイッチの話だとは思うけど >>554
ちゃんとmacで振り分けるとあるからL2で良いんじゃね RTX 830の値段が凄いことになってる
9万円近いって… >>561
春先からずっと似たような状態が続いてる。
RTX1220は僅かに市中在庫が出てくるようになった。 RTX830は価格コムで\85,800の1社しか出てないね
尼はマーケットプレイスしかなくて当てにしてはいけない
シンプルに在庫がどこにもないんだろうな 昨日業務で必要になったから在庫確認したけど、
NVR510は早くても2ヶ月先の入荷って言われたな…
RTX830なら多少在庫あるらしいんだけど、どんなもんだろう >>568
510でできることは830でできる
業務で必要ならスピード優先でいいんじゃない >>569
830と510の決定的な違いがあるとすれば、
小型ONU対応とひかり電話だねー。 RTX830のIPv6ログを見ていたら、google様からandroid端末へのudpのhttpsを落としてた。
HTTP/3ではudpを使うんですね。
とりあえず
ipv6 filter 396 pass * * udp https *
を入れておいたけど、HTTP/3を調べて動的フィルタに変更しておきたいな。
IPv4側は見ていないけれどnatはHTTP/3に対応しているのかな? >>572
普通のIPv4NAT環境ならそのままで通るはずだな
問題になるのはv6プラスみたいなUDP接続を大量に使用されると問題のある環境で
たまに利用可能ポート食い尽くして死ぬ安物のルーターとかがいるくらいか >>574
ありがとうございます!
なるほどコネクションレスのUDPのタイムアウト値の問題でしたか。
dnsにも怪しいのがあったので、全部見直さないといけないようですね。
参考ページでは送信先ポートにhttpsを指定していますが、送信元ポートの誤りですよね。
実際に、そんなパケットが飛んでるし。 >参考ページでは送信先ポートにhttpsを指定していますが、送信元ポートの誤りですよね。
>実際に、そんなパケットが飛んでるし。
??? ああ、動的フィルタになっているので、勘違いしてました。 >>575
とりあえず、動的フィルタのタイムアウトを指定して、試してみました!
ipv6 filter dynamic 491 * * udp syslog=off timeout=300
以下のコマンドで、挙動を見てみたのだけど、明らかに動的フィルタは数秒で消えてしまうように見えます。
show ipv6 connection detail
UDPは通信の終わりを判定できないから、必ず5分間フィルタは残っていると思っていましたが、また何か勘違いをしている? >>578
・全体としてどういうconfigになっているか分からない
・何の通信のログを見て言っているのか分からない nvr 510買いたいけど確かに来ないのね次世代機種来るのかな? イベントでチラ見せもされてないのにいきなり新製品発売なんてこねーよ >>582
>584
ISDNの部材調達ができなくで1220をだしたってのに
その1220ですら流通してないとか、もうね >>586
ISDNの部材はとっくに作ってなくて需要増でYAMAHAの在庫が尽きただけだ >> 580
関係するところのconfigはこれです。
pp select 1
pppoe use lan2
pppoe設定を略
ipv6 pp secure filter in 301 302 311 312 331 397 398
ipv6 pp secure filter out 399 dynamic 401 402 491
pp enable 1
ipv6 filter 301 pass * * icmp6 * *
ipv6 filter 302 pass * fe80::/10 udp * 546
ipv6 filter 311 reject-nolog 240e:f7:4f01:c::/64 * * * *
ipv6 filter 312 reject-nolog 240e:d9:d800:200::/64 * * * *
ipv6 filter 331 pass * サーバのIPアドレス * * 公開ポート
ipv6 filter 397 pass * * established * *
ipv6 filter 398 reject * * * * *
ipv6 filter 399 pass * * * * *
ipv6 filter dynamic 401 * * ftp syslog=off timeout=7440
ipv6 filter dynamic 402 * * dns syslog=off timeout=300
ipv6 filter dynamic 491 * * udp syslog=off timeout=300
パソコンからgoogleにアクセスしてから
show ipv6 connection detail
コマンドを叩くと
PP[01][out]
ID FILTER T APPS P INITIATOR/RESPONDER D S
53590 491 udp U パソコンのIPアドレス.59157 >
2404:6800:4004:813::2003.443
と、現在の動的フィルタの一覧が表示されます。
何度もshow ipv6 connection detailを叩いてID 53590が消えるまでの時間を測ると30秒ぐらいでした。
なのでtimeout=300が効いていないような気がします。
今の所。シスログを見ても落としているパケットはなさそうなので、このまま様子を見てみます。 UDPはDynamicフィルタなのにTCPはestablishedなのか うん、establishedをdynamicのtcpに入れ替えたら、パケットをぼろぼろ取りこぼしたので。
udpのdynamicも調子が悪かったら、dns,ntp,httpsを開放する予定です! >>590
意味のある通信のパケットを取りこぼしていたのかどうか、切り分けした? >>590
なんか簡単に「ぼろぼろ取りこぼした」って言ってるけど、
本当にそうならヤマハルータはゴミだって言ってるのと同義なんだが establishedをdynamicのtcpに入れ替えたら、google様からパソコンのIPアドレスへのパケットがRejectされてたので、もとに戻しました!
2021/12/10 15:45:54: PP[01] Rejected at IN(398) filter: TCP 2404:6800:4004:810::200a.https > パソコンの一時IPアドレス.59684
2021/12/10 15:45:58: PP[01] Rejected at IN(398) filter: TCP 2404:6800:4004:81f::200a.https > パソコンの一時IPアドレス.55232
2021/12/10 15:45:59: PP[01] Rejected at IN(398) filter: TCP 2404:6800:4004:819::2003.https > パソコンの一時IPアドレス.41954
2021/12/10 15:46:16: PP[01] Rejected at IN(398) filter: TCP 2404:6800:4004:819::2003.https > パソコンの一時IPアドレス.41950
2021/12/10 15:46:25: PP[01] Rejected at IN(398) filter: TCP 2404:6800:4004:823::200a.https > パソコンの一時IPアドレス.42612 >>593
多分ね、勘違いしているだけだと思うよ。
悪いこと言わんから、状況判断を的確にしようね。 TCPについては、またコンフィグを上げるのが面倒だから、まずは >> 588 について突っ込んでいただけると嬉しいです! >>596
色々やり取りするの面倒だから、「config適用させた後ルータを再起動させた状態」で確認するとどうなるか を先に書いてください >> 588 のコンフィグのまま再起動を行っても、状況は変わりませんでした。
show ipv6 connection detail コマンドを何度も叩いて確認したところ30秒ほどで動的フィルタが消えてしまい、ttimeout=300が効いているように見えませんでした。 >>588
サーバのIPアドレスとかわざわざ隠さなくてもよくない?
そのコンフィグ、そのサーバーで公開してる人でしょ? >>593
動的フィルタ使ってたら普通に見かける感じだが… 来年あたりヤマハのYMCA試験受けようか迷ってるがこれの話題取り扱ってるスレってもしかして無い…? 1月25日に新製品発表会だそうだ
何が出るかは知らん https://network-innovation.jp/ynif2022/
発表会というかこれだよね?
前回の時はロードマップとか予告とかだった
今回も新情報は出るだろうけど新商品が発表されるかは微妙な気がする >>607
部材の調達の目処が立たず! ロードマップの! 見通しが! 立ちませんでしたっっっっ! >>609
値段が倍以上するではないですかー LTE アンテナは使わないし >>578
ip flow timer udp 300いれたの?
ファストパスのフローがUDPのデフォルト値は30秒 TCP900秒
>>598
フローが30秒で消えるのだから30秒で消えるのは正しいよ
とりあえずノーマルパスで動くかやったら? >>612
マニュアルには「NAT や動的フィルタを使用している場合には、それらのエントリの寿命が適用される。」とあるけど? >>613
反論したところでお前のフィルタ設定で動いていないのだろ?
なら試してみればいい >>614
私は例の質問者とは別人。
うちの環境では想定通りの動作をしている。 >>611
そりゃ中身はNVR510とRTX830にLTEモジュール突っ込んでるのだから、安くは無いですね
値段倍だと要らないなら、実のところそれほど必要では無いんでしょうよ >> 612
ご指摘ありがとうございます!
IPv6にも有効かどうかはわかりませんでしたが
ip flow timer icmp 300
をコンフィグに追加し、念の為restartもかけて試してみました。
show ipv6 connection detail
コマンドを叩いて確認してみましたが、状況は変わらず、30秒ほどでフィルタが消えてしまうように見えました。
また、こちらでも調べてみましたが
http://bui.asablo.jp/blog/2017/10/05/8695045
のページではIPv6のダイナミックフィルタのタイムアウト時間がおかしいという話が乗っていましたし(ちなみに、このページではNVR500、自分のはRTX830です)
2021/12/17 02:09:01: PP[01] Rejected at IN(398) filter: UDP 2001:500:f::1.domain > ローカルDNSサーバのIPアドレス.48887
と、どのぐらい遅延していたのかわかりませんが、DNSサーバの応答を取りこぼしていたログもあったりしました。
IPv6のダイナミックフィルタを捨ててスタティックに入れ替えたほうが、平和になりそうな気がしてきました。 バグと思うならサポートに投げればいいのに。
なんでそういうことしないんだろうね。 YAMAHAほど一般ユーザーでも日本語で手厚いサポートしてくれるとこもなかなかないのにね 規制で書き込めなかったのですが、解決しました。
ありがとうございました。
Si-R G100に下記追加
ike nat-traversal use on >>617
>ip flow timer icmp 300
どうしてこうなった >> 622
ありがとうございます!
なんでこうなってしまったのでしょうか?
先程
ip flow timer udp 300
で、改めて試してみました!
しかし残念ながら、状況変わらずでした。
この件については、自分の勘違いかバグなのかわかりませんが、ヤマハのサポートに投げておこうと思います。 >>624
なぜにログで状況を見ずにコマンドで見てるの?
通信開始にタイミングとか確認できないから、言っていることの客観性が無いわけだけど。 数字選択してクリるだけで参照可能だぞ
v2cならな
他は知らん 他の専ブラでも似たようもんだが本来必要のない「選択して」という操作を強いるわけで
588自身も必要のないスペースをわざわざ入力しているというLOSE-LOSEの関係だ YNEというコミュニティ立ち上げたけど死んじゃってるように思える
rt100メーリングリスト復活してほしいな >>629
それが嫌ならスマホのIMEに単語登録するなりして簡単に>が入力できるようにすればいいだけのこと まあNが調達して自分のところで売ってるくらいだしね すいません皆さんに教えていただきたいです。
現在auひかりBL900HWを経由してRTX830にてネットに繋いでいます。
ですが、RTX830でVPNをGUIでかんたん設定するとWAN側アドレスが192.168.0.3や192.168.0.4となりHGWで固定した192.168.0.2とならず上手く通信できません。
HGWはMACアドレスもWANを指定して固定し、DMZやipsecパススルー等も設定しています。
何か原因がわかる人がいればご教示いただければと思います。
以下BL900HWでの設定値
DHCPサーバ機能を使用
DHCP固定割当設定 MACアドレス00:A0:DE:**:**:** 192.168.0.2
ポートマッピング設定
その他の設定からVPN設定、IPsecパススルー使用
DMZ機能も使用
あと以下現在のRTX830のprofileです。
# RTX830 Rev.15.02.20 (Fri Apr 16 09:37:54 2021)
# MAC Address : 00:A0:DE:**:**:**, 00:A0:DE:**:**:**
# Memory 256Mbytes, 2LAN
# main: RTX830 ver=00 serial=M5B018460 MAC-Address=00:A0:DE:**:**:** MAC-Address=00:A0:DE:**:**:**
# Reporting Date: Dec 24 06:38:32 2021
ip route default gateway dhcp lan2
ip keepalive 1 icmp-echo 10 5 dhcp lan2
ip lan1 address 192.168.100.1/24
ip lan1 proxyarp on
switch control use lan1 on terminal=on description lan2 VPN
ip lan2 address dhcp
ip lan2 secure filter in 101003 101020 101021 101022 101023 101024 101025 101030 101032 101100 101101 101102 101103
ip lan2 secure filter out 101013 101020 101021 101022 101023 101024 101025 101026 101027 101099 dynamic 101080 101081 101082 101083 101084 101085 101098 101099
ip lan2 nat descriptor 200
pp select anonymous
pp bind tunnel1
pp auth request chap-pap
pp auth username ***** ********
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text yamaha
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
ip tunnel tcp mss limit auto tunnel enable 1
ip filter 101000 reject 10.0.0.0/8 * * * *
ip filter 101001 reject 172.16.0.0/12 * * * *
ip filter 101002 reject 192.168.0.0/16 * * * *
ip filter 101003 reject 192.168.100.0/24 * * * *
ip filter 101010 reject * 10.0.0.0/8 * * *
ip filter 101011 reject * 172.16.0.0/12 * * *
ip filter 101012 reject * 192.168.0.0/16 * * *
ip filter 101013 reject * 192.168.100.0/24 * * *
ip filter 101020 reject * * udp,tcp 135 *
ip filter 101021 reject * * udp,tcp * 135
ip filter 101022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 101023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 101024 reject * * udp,tcp 445 *
ip filter 101025 reject * * udp,tcp * 445
ip filter 101026 restrict * * tcpfin * www,21,nntp
ip filter 101027 restrict * * tcprst * www,21,nntp
ip filter 101030 pass * 192.168.100.0/24 icmp * *
ip filter 101031 pass * 192.168.100.0/24 established * *
ip filter 101032 pass * 192.168.100.0/24 tcp * ident
ip filter 101033 pass * 192.168.100.0/24 tcp ftpdata *
ip filter 101034 pass * 192.168.100.0/24 tcp,udp * domain
ip filter 101035 pass * 192.168.100.0/24 udp domain *
ip filter 101036 pass * 192.168.100.0/24 udp * ntp
ip filter 101037 pass * 192.168.100.0/24 udp ntp *
ip filter 101099 pass * * * * *
ip filter 101100 pass * 192.168.100.1 udp * 500
ip filter 101101 pass * 192.168.100.1 esp
ip filter 101102 pass * 192.168.100.1 udp * 4500
ip filter 101103 pass * 192.168.100.1 udp * 1701
ip filter 500000 restrict * * * * * ip filter dynamic 101080 * * ftp
ip filter dynamic 101081 * * domain
ip filter dynamic 101082 * * www
ip filter dynamic 101083 * * smtp
ip filter dynamic 101084 * * pop3
ip filter dynamic 101085 * * submission
ip filter dynamic 101098 * * tcp
ip filter dynamic 101099 * * udp
nat descriptor type 200 masquerade
nat descriptor address outer 200 primary
nat descriptor masquerade static 200 1 192.168.100.1 udp 500
nat descriptor masquerade static 200 2 192.168.100.1 esp
nat descriptor masquerade static 200 3 192.168.100.1 udp 4500
nat descriptor masquerade static 200 4 192.168.100.1 udp 1701
ipsec auto refresh on
ipsec transport 1 1 udp 1701
telnetd host lan
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.100.2-192.168.100.191/24
dhcp client hostname lan2 primary BL900HW
dns host lan1
dns server dhcp lan2
dns server select 500201 dhcp lan2 any .
dns private address spoof on
schedule at 1 */Sun 00:00:00 * ntpdate ntp.nict.jp syslog
l2tp service on
httpd host lan1
statistics traffic on
Copyright © 2014 - 2021 Yamaha Corporation. All Rights Reserved. >>638-641
二重NATなんですね
とりあえずRTX830のWAN側を固定で設定されてみては
ip route default gateway dhcp lan2
ip lan2 address dhcp
dns server dhcp lan2
↓
ip route default gateway 192.168.0.1
ip lan2 address 192.168.0.2/24
dns server 192.168.0.1 >>642
返事ありがとうございます。
今まだ会社なので帰ってから試してみます。 >>638
>DHCP固定割当設定 MACアドレス00:A0:DE:**:**:** 192.168.0.2
↑このMACアドレスは、以下の内のどっちのアドレス?
># main: RTX830 ver=00 serial=M5B018460 MAC-Address=00:A0:DE:**:**:** MAC-Address=00:A0:DE:**:**:**
そして、WAN側はどっちのポート? あっ…ひょってWAN(LAN2)のMACを指定していないというオチ…? >>644-645
返事ありがとうございます。
WAN側のMACアドレスを指定してWANポートを使用しています。
>>642
WAN側を固定で192.168.0.2を試したのですが、今度はインターネット側に通信ができなくなります。
他にもSynologyの無線ルーターをRTX830で繋げて使っているのですが、そちらでも同じく通信ができなくなります。
いろいろ調べているのですがBL900HWにもMACアドレステーブル?ARPテーブルなど有るのでしょうか?
それが邪魔をして指定できないような感じがするのですが? >>646
BL900HWがRTX830のWAN側にDHCPでIPを付与した時、
BL900HW側に表示されるDHCPクライアントとしてのRTX830のMACアドレスはどうなってますか?
意図通りのMACアドレスになってます?
>>642の設定で固定を試した場合の話ですが、
何ができて何ができないか、どこまで疎通出来るのかの切り分けは出来てます?
インターネット側に通信が出来ないというのは、
名前解決が出来ないだけなのか、
IP直指定でもPINGも飛ばないレベルなのか、
BL900HWにすらPINGが飛ばないレベルなのか等々
>BL900HWにもMACアドレステーブル?ARPテーブルなど有るのでしょうか?
ARPテーブルはもちろんあります >>647
BL900HWにDHCPでIPを付与した時〜ですが
BL900HWにはログを表示する機能がないみたいで、その確認はできませんでした。
固定した場合の切り分けを試したのですが、ここを重点的に確認した結果、いちおう無事に有名VPNまで繋げることができました。
どうもありがとうございました。
>>648
それはさすがになかったです。
ありがとうございます。 >>649
解決したようでなによりだけど、
結局何が悪くてどうしたら解決したのやら 解決した時は何が原因なのかを教えてくれると、後々みんなのためになります 解決したって言ってるんだからいいんだろうけど
フィルターとかの192.168.100.1は192.168.0.2じゃないのかなあとか思ったり RTXからみて
WAN側が192.168.0.0/24
LAN側が192.168.100.0/24
なだけでしょ >>638です。
連絡が遅くなりすいません。
いちおう無事に通信できたのですが、無理やり設定した感じです。
なので他の人の参考になるかもわからない状況ですが以下に記載させていただきます。
当初全部のハードを初期化して、HGWから設定していったのですが、前と同じくHGWで192.168.0.2固定してもRTXのGUI設定では192.168.0.3となり固定できず、それならばとそのRTX側の192.168.0.3をHGWで固定に設定するとRTXのGUI設定では別のIPが振られる形でした。
ただその時にたまたまRTXで192.168.0.2が振られたため、HGWを192.168.0.2に固定してその他の設定等を行ってVPN通信までできることを確認しています。
少しネットワークをかじった程度の初心者なため何が何だかわからない状況です。
根本的な解決ではないため次に通信の不通があった時のことを考えると怖いなと思う次第です。
もしまた何かありましたらアドバイスを頂けると助かります。
それでは。 根本的解決になってない…RTXを再起動したらまた元に戻るよね >>654
RTXのWAN側の実際のMACアドレスと
HGWのDHCPの払い出しで設定しているMACアドレスが
一致していないとしか思えない >>642
HGWってひょっとしてDNSリカーサイブサーバじゃないんじゃない
dns server コマンドはHGWのアドレスじゃなくてプロバイダのDNSじゃないとダメかもね BL900HWはproxyDNS機能ありとは書かれてた
MACアドレスは改行が入らないように注意しながらコピペし直すと良いかも
それか、HGWのDHCPサーバの設定で192.168.0.2を除外させてそこに何も指定せず、RTXでlan2のアドレスを固定しておけば良いのでは 正しく設定出来てるのにMACアドレス指定のDHCPのIP割当が上手くいかないなんてレベルのトラブル聞いたことがないので、設定が間違っているだけとしか思えぬ BL900HWの無線が有効でスマホかなんかが先にアドレスもらってるんじゃないの >>660
固定で割り当てを指定しているIPアドレスは他のデバイスの払い出しプールから除外される作りです
>>654で192.168.0.3を固定で割り当てようとしたら192.168.0.2が割り当てられたと言っているのは、
192.168.0.2の固定割り当て設定がいなくなったおかげで自動割り当てで使う最初のIPとして
たまたま払い出された格好。 >>661
DHCP固定割り当てにこだわっている理由は? >>660 の言うとおり
HGWに繋がってる端末や設定をしてるPCを異なるIPにしてなくて
すでに2が割り当てられてるだけでは? 2が先に使われてるなら、なんでDHCPサーバの設定変えただけでRTXに2が割り当てられたのよ YAMAHAでもよくある、Client Identifier関係の問題なんじゃないか? ああ、なるほど、Client Identifier 皆さんどうもありがとうございます。
>>662
今まではフレッツ光でネットしてたのを今回始めて10月からauひかりに換えて、年末年始で出先からVPN通信を試してみたく他の人の設定しているブログを参考にし、そこで固定IPにしてたからというのが単純な理由です。
今考えれば固定にこだわる理由は無いですね。
>>664-665
あと10月当初はDMZでlanに192.168.0.2を割り当てて使用してたので、その際の値が記憶されてたのかなとかも思うのですがわかりません。
またwifiについても設定時は切ってるので、先に割り当てられてるとかは無いと思います。
>>666-667
client identitierについては私のググった情報ではlanしか見れなくてwanについてはわからなかったです。 >当初全部のハードを初期化して、HGWから設定していったのですが
その設定していく前にPC?自体のIPを自動取得から適当に変えとかないとね
まぁこれは大原則だけど
コマンドプロンプトで
ipconfig /all
で自分のIPとMAC
ping 192.168.0.2
本当に応答があるか
arp -a
から192.168.0.2のMAC見て
それでも分からなければ mac ベンダーでググり
どこ製品のものかを検索してみる ここでいいのか分からないのですが、ネットで探してもWLX313が売ってないのですが、もう手に入らないのでしょうか?
それとも、半導体不足で供給が間に合ってないだけでしょうか? >>670
そんな説明も理解できるレベルの相手ではないと思われる TCP/IPの知識がない人が手を出していいルーターではないな
設定が漏れてLANが荒らされる未来しか見えない ハッキング大会で攻撃がことごとく成功してしまった“不名誉”なIT製品とは?
Cisco Systemsのルーター「Cisco RV340」
https://techtarget.itmedia.co.jp/tt/news/2112/25/news02.html
企業向けルーターの利用実態調査で異変、常勝ヤマハが僅差で「首位陥落」
シスコがヤマハを僅差で抜く
https://xtech.nikkei.com/atcl/nxt/column/18/01891/121300003/ >>676
生産能力の差なのかな
半導体不足なのかな それを言うなら生産能力じゃなくて部品調達能力だな
当然大規模生産してる方が強い NVR510でゲストネットワークを作りたいと思ってます
しかし、ヤマハのサイトではヤマハ製APと組み合わせてVLANを作る方法しか乗って居ませんでした
他社製APで同じようなことは出来ますか
VLANではなくても、要するに許可していない機器から社内ネットワークに繋がらなければ良いのですが >>679
インターネット側に出られないどころか社内にすら接続できないようにしたいのなら802.1x使うのがいいというか
他の手段じゃ割と簡単に回避される気がするからどの程度の本気度で取り組むか次第だろうか >>679
それはWifiルータの有線無線分離機能でやれるでしょ
ルータを買い替えたり買い足したりする必要無いでしょ
むしろ今あるWifiルータの設定変えるだけで済むこともある VLANは他社でも使えるよ
もっとも簡単確実なのがSSIDによるセグメント分け
仕事ならばその感じだと識者か外部に頼んだほうが良いと思う >>679
EAP使えば簡単にできるので、RADIUSサーバーでの認証わを勧めます ありがとうございます
>>680
基本的に、ゲストは個人端末を繋げる為に使います
インターネットは使っても良いです
簡易とはいえ最低限のマルウェア対策はしておきたいと思ったもので
(たとえば感染した個人端末から社内端末へのアクセスを防ぎたい)
>>681
wifiルータが3台ありすべてAPモードです
(N、NG、B社制が1台ずつ。単に予算の都合です)
特定の端末はNASなどにアクセスできるようにして、他はそもそも見えないようにしたかったのです
>>682
ちょっと調べてみます
>>683
今回の件とは関係なくRadius使いたいですが、手軽に導入することは難しいです
PCをある程度使えるのが自分しか居ないため、アクセス制限ならこっそりできてコストもかからない(だと思っていた)のですが、もし機器の導入等が必要になると他の職員に説明することが難しいです PCに詳しい人が一人いなくなると破綻するIT環境は危険だ… >>685
50人以下ぐらいの会社だと私の知る限りいたって普通に存在しているけどね
IT担当者(といえる人)が1人だけの会社 >>686
そういう状況のお客さんが飯のタネになったりもしているのであります >>684
マルウエアやランサムウエア対策ならばゲストのLANときっちり分けないとダメですよ
予算の都合とか言っている場合ではないよ
予算がとれないならばサービスするべきでは無い
なおRadius自体は単なる認証サーバーなのでそれ単体を導入してもセキュリティが高くなる訳ではないよ めんどくさいからお客様専用にWiFiルーター導入して社内LANとは一切繋がってないって感じにすればいいのでは
その方が簡単・安心・担当者いらず VLANで論理的にネットワークを切って
バッファローとかの無線LANルーターを繋いで
そっちを、個人用に使わせればいいんでない
>>689の意見に同意
byodとか個人端末を繋ぐことに否定的ではないけど
業務用のネットワークセグメントに
休み時間で使うようなスマホやpcは繋がせない方が良い ところで、有線LANへの私有デバイスの接続についてはどうやって制限してる? 192.168.1.0/24 業務
192.198.2.0/24 個人、来客者(Buffalo, Atermとか)
んで、
192.168.2.0/24から192.168.1.0/24にはアクセスさせない
これが一番シンプルだな >>692
それこそ認証スイッチよ
ALAXALAやApresiaのウリだろ 認証したって正当なユーザーの所有物であるかどうかが分かるだけであって、
私用端末の持ち込みを完全に防げるわけではない >>696
認証手段がユーザー/パスワードだけだと思ってるのか? >>697
そーいうツッコミいらんから
ID, パスでなくても私物端末を繋ぐことは出来る
ボクは頭が硬いバカですって自慢してるようなもんだぞ? ほらな?
自分の分からないことになると、キャンキャン喚くことしか出来なくなるバカが多いのかこのスレの特徴
日曜ネットワークエンジニアはこれだからw 無断接続のノードを検知する仕組みやソリューションはいくつかあるよね
>>700
いや、あなたの知識がどの程度か知らんが、人間的に問題がありそうって言われてるだけなんだから気づけ >>679です
色々なご意見ありがとうございました
返事を途中まで書いている途中に改めて>>1を読んで気付いたのですが、個人用途スレなのを完全に見落としていました、すみません
これ以上は続けませんが、今のところ、VLANを設定してセグメントを分けそれぞれに別の無線APをぶら下げる方法と、二重ルーターでゲスト向けAPを設置するという方法あたりで検討しています
(WLX212でも買えるといいのですが3台は要るのでやはり予算が…スイッチや安い無線ルーター程度なら何とか)
それで駄目ならどこか業者と相談してみることにします Android12でNetVolanteどうしよう IKEv2の件、だれかヤマハのサポートに質問とかしてないの 私物が繋がるとか言ってるセキュリティ意識低い奴らは
どうせ中小零細勤めでしょ
スルースルー >>704
必要なアクセスポイント箇所は3箇所ですかね?
単に1箇所でVLANを3つ用意したいだけですかね?
ただ、VLAN環境構築する場合。
VLANを扱えない機器だと、
各々アクセスポートを用意してあげないといけないので、
その点だけは注意。 >>679
もう一つプロバイダー契約して完全分離しては? lan1, lan2にそれぞれ異なるネットワークセグメントを割り当てて、
lan2に家庭用の無線LANルーターを設置すればいいだけ
lan2からlan1へのアクセスを遮断することを忘れずに
510から遠い所で無線を飛ばしたいなら、
そこまでの経路にあるスイッチングハブをvlanできるか
床下をあけて配線できるならそこまでケーブルを引っ張ればいい
100人、200人なら法人用のapを買えばいいけど
仕事の片手間に情シスをやってる小さい会社ならこれで十分 >>713
面白いね。
NVR510のLAN2とLAN1をそういう風に活用するの面白いね
LAN2側の無線のアクセスが行きと返りの分で、二倍帯域が必要だけど、
そもそもゲストアクセスの量も少ないだろうし、
IPoEのIPv4 over IPv6とかIPv6アクセスでも500Mbpsも出ないから問題無いでしょうし。
まあセキュリティのこと考えてLAN2側はIPv6を切った方がいいと思うけど。
普通にLAN1に繋いで、無線ルータは他のプライベートアドレスにアクセスできないようにするだけでもいいと思うけど。
無線ルータの機能次第だけども普通あるでしょ。 >>704
このスレは個人スレではあるが仕事で使ってる人もたくさんいるから問題ないかと
俺も自宅でNVR510、会社でRTX1210とRTX830だから個人利用だけではないし
ゲストネットワークに関しては法人向けWi-Fiアクセスポイントで対応すると簡単だよ
ゲスト接続は連続接続時間の制限なんかもできるから知らない端末の繋ぎっぱなしも回避できて便利
うちの営業所はエレコムの業務用アクセスポイント使ってゲスト向けネット環境作ってる
これだけでメインのネットワークと遮断されるけど、老婆心と思いつつもゲストは他セグメントになるようにしてる 逸般の誤家庭も中小企業も似たような規模だし問題ないよね 逸般の誤家庭でない一般のご家庭でも例えば4人家族だとして、
スマホ4台
タブレット1〜2台
ノートパソコン1〜2台
デスクトップパソコン0〜1台
テレビ2台
レコーダー1台
FireTV的なもの1台
ゲーム機1〜2台
とネットワーク機器は今どき軽く10台以上になるから、あまり古いルータ使ってると処理しきれてない印象。 >>715
事業規模と予算を考えてアドバイスしてやれよ この御時世小規模こそセキュリティやネットワークの安定性まともに確保できてないとその程度のこともできないので信用できないという扱いを受けるからな >>717
スマートスピーカーとかスマートホーム関連もあるね >>723
iOSがPPTP対応やめた時はNVRシリーズまで
L2TP/IPSecへの神対応したのに、泥12のIKEv2は
スルーなのか? NVRってファームアップで途中からL2TP/IPSec対応したんだっけ? ヤマハ公式の設定参考にRTX1200同士でIPsec VPN組んでる環境で、遠隔で対向RTの設定変更したいんですがやり方あるかな
配下のPCから対向RTのローカルIPへtelnet,sshすると蹴られる状態でtelnetedの設定はtelneted host lanのままです 対向のLAN側にいるノードを踏み台にするなり遠隔操作するなりしてアクセスするんじゃダメかい
RTX1200だとロールバック機能が無いから、設定ミスった時の保険もかけておきたいところだね telneted host 192.168.xx.2-192.168.xx.255 192.168.yy.2.-192.168.yy.255
みたいに、あっちとこっちのIPアドレス範囲を指定したら良いのでは?
telneted host lan 変えたくないってこと?
というかいい加減 telnet はやめて ssh にしたほうが・・・ 対向拠点に踏み台になるPC常設しておいて
そこにリモートで入り込んでtelnetすれば良いのでは >>730-732
どうもありがとう
対向RTが遠隔地にあって現地行かなくても設定変更できたらなーと思ったんだ
対向側に踏台サーバ置くなりtelnetedの設定変えないとダメそうだね
変更できればsshでも良いですしtelnetに拘ってる訳ではないです httpd host any じゃ どうしてダメなの? >>734
それってノーパンでミニスカ穿いて階段上るようなもんじゃね?
露出狂なら仕方ないけど・・・ >>736
でもそれって 家の中だけでしょ? 街中でするとまずいけど・・ 嫁に”家中で”ノーパンでミニスカ履かせて階段を上らせるのはどこの家庭でも基本だろ? >>737
734は”家外”と言っているのと同義だからなぁ 今北
ノーパンミニスカの話題で盛り上がってるとこまで理解した >>741
嫁のミニスカにモザイクかかるってこと? So-netのv6プラス契約(光電話あり)で
HGW(RX-600MI:192.168.0.1)のみだとv6プラスでつながってます
それを
HGW配下にRTX830(192.168.100.1)をおいて、RTX830配下のPCからもv6プラスで
ネットをしたいのですができるものなのでしょうか?
GUI使って設定しても、接続状態にはならずです。
RTX830を使う理由は、IPv6での拠点間VPNのためです。
(拠点間VPNはすでにつながっています:OpenDNS利用)
さらに、これが実現できてVPNサーバーでテレワークもやるとしたら、
v6プラスなのでOpenVPNでやるしかないと思ってますが、考え方あってますか?
1つ前のスレッドみてて、
「RTXのデフォルトルートをHGWに向けて
HGWのstatic routeでRTX配下の内部セグメント宛をRTXに向けたらいいよ」
というのがあったのですが、これ、関係してますかね・・・。 V6プラスで接続可能なHGWで一度V6プラスでつなげちゃうと
もう、HGW以外ではV6プラスにつなげられなくなるんじゃなかったけ? 物理的な接続が間違ってるんじゃない?
HGWの直下に直列でRTX830置かなきゃいけないのを並列に接続してるとか >>746
これのとおりじゃね
HGWで接続している状態でv6プラス使っていたならフレッツ・ジョイントでのマップルール配信になってて他のルーターでは配信を受けられないやつの気が 手動でipip接続するって話だろ
map-eでは接続出来んから質問者には少々ハードルが高いかと 以下のluaで不正なsipをrejectしようと思い動かしてうまくいってるように見えますが、
ここが問題じゃね?、こうしたほうがいいんじゃね?、がありましたら、ご教示ください。
sipのsyslogはon
syslogはdebug on
ip filter 1000はin方向でconfig定義済
ip filter 2000はout方向でconfig定義済
続く --start
local cmd_reject_1 = "ip filter 1000 reject-nolog XXX.XXX.XXX.XXX *"
local cmd_reject_2 = "ip filter 2000 reject-nolog * XXX.XXX.XXX.XXX"
local ip_tbl = {}
local ip_ptn = "%d+%.%d+%.%d+%.%d+"
local tel_lst = { "0123456789", "0234567890" } --自分の番号配列
while (true) do
local rtn, str = rt.syslogwatch(/(^\s+\[SIP (Rcv)|(Snd)\] (From)|(To) \[[\d\.]+\] Msg \[)|(^\s+( To)|( t)|( From)|( f)\:.+\<sip\:[^\@]+\@)|(^\]$)/, 3)
if (string.match(str[1], /\[SIP (Rcv)|(Snd)\]/) ~= nil and string.match(str[2], /\<sip\:/) ~= nil and string.match(str[3], /\<sip\:/) ~= nil) then
local ipaddr = string.match(str[1], "%[("..ip_ptn..")%]")
local search_str = nil
for i = 1 , #tel_lst do
if (string.match(str[2], "<sip:"..tel_lst[i].."@") ~= nil or string.match(str[3], "<sip:"..tel_lst[i].."@") ~= nil) then
search_str = i
break
end
end
続く if (ipaddr ~= nil and search_str == nil and ipaddr ~="0.0.0.0") then
if (ip_tbl[ipaddr] == nil) then
ip_tbl[ipaddr] = #ip_tbl
local ip_list = ""
for key, val in pairs(ip_tbl) do
ip_list = ip_list..","..key
end
ip_list = string.gsub(ip_list, "^,(.+)$", "%1")
local str_cmd = string.gsub(cmd_reject_1, "^(.+reject%-nolog) [^ ]+ (%*)$", "%1 "..ip_list.." %2")
rt.command(str_cmd, "on")
str_cmd = string.gsub(cmd_reject_2, "^(.+reject%-nolog %*) ([^ ]+)$", "%1 "..ip_list)
rt.command(str_cmd, "on")
end
end
end
end インデントがダメなのでもう一回
--start
local cmd_reject_1 = "ip filter 1000 reject-nolog XXX.XXX.XXX.XXX *"
local cmd_reject_2 = "ip filter 2000 reject-nolog * XXX.XXX.XXX.XXX"
local ip_tbl = {}
local ip_ptn = "%d+%.%d+%.%d+%.%d+"
local tel_lst = { "0123456789", "0234567890" } --自分の番号配列
while (true) do
local rtn, str = rt.syslogwatch(/(^\s+\[SIP (Rcv)|(Snd)\] (From)|(To) \[[\d\.]+\] Msg \[)|(^\s+( To)|( t)|( From)|( f)\:.+\<sip\:[^\@]+\@)|(^\]$)/, 3)
if (string.match(str[1], /\[SIP (Rcv)|(Snd)\]/) ~= nil and string.match(str[2], /\<sip\:/) ~= nil and string.match(str[3], /\<sip\:/) ~= nil) then
local ipaddr = string.match(str[1], "%[("..ip_ptn..")%]")
local search_str = nil
for i = 1 , #tel_lst do
if (string.match(str[2], "<sip:"..tel_lst[i].."@") ~= nil or string.match(str[3], "<sip:"..tel_lst[i].."@") ~= nil) then
search_str = i
break
end
end
続く 全角でインデントしました。
--start
local cmd_reject_1 = "ip filter 1000 reject-nolog XXX.XXX.XXX.XXX *"
local cmd_reject_2 = "ip filter 2000 reject-nolog * XXX.XXX.XXX.XXX"
local ip_tbl = {}
local ip_ptn = "%d+%.%d+%.%d+%.%d+"
local tel_lst = { "0123456789", "0234567890" } --自分の番号配列
while (true) do
local rtn, str = rt.syslogwatch(/(^\s+\[SIP (Rcv)|(Snd)\] (From)|(To) \[[\d\.]+\] Msg \[)|(^\s+( To)|( t)|( From)|( f)\:.+\<sip\:[^\@]+\@)|(^\]$)/, 3)
if (string.match(str[1], /\[SIP (Rcv)|(Snd)\]/) ~= nil and string.match(str[2], /\<sip\:/) ~= nil and string.match(str[3], /\<sip\:/) ~= nil) then
local ipaddr = string.match(str[1], "%[("..ip_ptn..")%]")
local search_str = nil
for i = 1 , #tel_lst do
if (string.match(str[2], "<sip:"..tel_lst[i].."@") ~= nil or string.match(str[3], "<sip:"..tel_lst[i].."@") ~= nil) then
search_str = i
break
end
end
続く if (ipaddr ~= nil and search_str == nil and ipaddr ~="0.0.0.0") then
if (ip_tbl[ipaddr] == nil) then
ip_tbl[ipaddr] = #ip_tbl
local ip_list = ""
for key, val in pairs(ip_tbl) do
ip_list = ip_list..","..key
end
ip_list = string.gsub(ip_list, "^,(.+)$", "%1")
local str_cmd = string.gsub(cmd_reject_1, "^(.+reject%-nolog) [^ ]+ (%*)$", "%1 "..ip_list.." %2")
rt.command(str_cmd, "on")
str_cmd = string.gsub(cmd_reject_2, "^(.+reject%-nolog %*) ([^ ]+)$", "%1 "..ip_list)
rt.command(str_cmd, "on")
end
end
end
end そんなん、誰がいちいちチェックすんねん
上手くいってるならもうそれでいいだろ >>745
>>749
CUIで設定というのは>>750がいうipipのことですよね?
それ以外に、CUIでやればうまくいくっていう方法があるなら
それが知りたいですが。
>>748
はい、そう思ってまして。
HGWがとってしまったらもう終わりってことなんですかね。
ググってると、一回v6解約して、HGWよりさきにRTX830に取らせるとかって情報しかなくてほかの情報を探してました。
HGW(光電話あり)で、v6プラスとRTX830で拠点間VPNやりたいって場合
皆さんだと何かいい手ありますか >>767
V6プラスはHGWにルーティングして、拠点間VPNはRTX830をPPPoEで接続して、そちらにルーティングすればいい 構成とやりたいことがよくわからないけど、拠点間VPNの接続先もフレッツNGNなら、RTX830はHGWの下にしてHGWのファイアウォールで許可してIPv6でIPsecなり張ればいいんじゃないの?
VPNサーバーでテレワークのところは何をしたいのかよくわからない >>767
HGWよりさきにRTX830に取らせるとかはない
HGW用のv6プラスが開通した状態では、HGWが先にそれを利用するかどうかに関係なくJPNEのマップルール配信サーバーは利用させてもらえない
そしてマップルール配信サーバーが利用できないとmap-eトンネルは使えない
となるとmap-eトンネルを使うのはあきらめてipipトンネルで使うとか、あるいはどうしてもmap-eトンネルで使いたいならマップルール配信サーバーはJPNEのものではなく別途用意するなどすることになる
HGW用と、HGW以外用のどちらが開通するかはプロバイダの契約次第で
開通時にどちらにするか決まってしまって、もう一方への変更などしてくれないプロバイダの場合はHGW用で開通してしまったらHGW用のまま
一方、どちらで開通させるかをユーザーが指定して申し込むプロバイダや、開通したあとでも切り替えを受け付けてくれるプロバイダであれば
HGW以外用を指定して申し込むとか、HGW用に開通してもそのあとにHGW以外用に切り替えてもらうとかができる フレッツジョイントの有効無効切り替えできないプロバイダが少数あってその場合契約直後にHGWより先に自前ルーターがMAPルール取得すると再起動したりするまでは自前ルーターが使えるという抜け道はあった
今はどうなってるのか知らんけど NVR700Wが必要なんだが、どこにも在庫がない。
後継機でるのか? >>768
それを試してみます
>>770
So-netなので、プロバイダに確認してみますね
皆さんありがとう。
これらの情報をもとに、やってみます。 【PC】「Windows 10/11」でVPNに接続できない問題が発生中 [樽悶★]
https://asahi.5ch.net/test/read.cgi/newsplus/1642154842/
RTXに繋がんねーとか思ったらこんちくしょう >>775
まさに今、Windows10 が更新を反映させるために再起動しろって言ってきてるんだけど
これで再起動したら VPN接続できなくなるってこと? 2022/01/11のKB5009566が入りそうならまさにそれ >>771
好きに切り替えできるプロバイダの方が少数な気がする
>>774
So-netだと、HGW用で開通するかHGW以外用で開通するかは勝手に判定されてしまい、ユーザー側からの明示的な指定はできないが
その回線にHGWがあるという登録が31日以上できていない状態でのv6プラス申し込みし直しで、HGW以外用判定になるかもしれない >>744
@nifty,NVR510だけど、同じ様なことあったので
1. v6プラス解約
2. HGWのPPPランプついたら、解約されたので再度契約申し込み
3. ONUからの短い線抜いて、HGW工場出荷初期化。
4. HGW-YAMAHA-PCの線つないで、いろいろ設定
同じ様な使い方なら、"鯖物語"でググれば出てきます
僕は一度解約しましたが、解約せともHGWの工場出荷初期化して、HGWからYAMAHAまでの経路の設定すればできるかも sonet v6プラスで、hgw使わずに、ルータでマップルール配信サーバーは見えて使えてます。
rtx830とnvr500をonuにつないでhgw使ってません。nvr500のみでもいいんですが。 >>780
インターネットに繋ぐだけならそれで問題ないのだけども、光電話も使おうとすると必ずHGWの下にルータを置かなければダメ
NVR510にして小型ONUにするのも有り 買い替え検討してるがNVR510はそろそろ後継機種出そう? >>607
よく見りゃこんなのあるのね。これ待ってから検討するかー。 半導体がないなら導体を半分使えばええやろ
ピアノからボートまで開発するYAMAHAに不可能はない ちょっと長くなりますが
>>779
HGWの中のONUの短い線抜くのは
PR-300世代のHGWとかはそうできたのですが、
今回のRX-600MIは、そこにアクセスできなくなっていました。
HGWのLANからRTX830につなぐ以外なさそうです。
なので、解約→再契約手法も使えないってことに。
光電話+ネットはv6プラス(map-e)、拠点間VPNも実現となると
1.小型ONUに交換してNVR510使う
2.ONUからの線が奪えるHGWであれば、RTX830へ直結して、v6プラス解約→再契約
3.手動でのipip設定
4.>>768や前スレの「RTXのデフォルトルートをHGWに向けてHGWのstatic routeでRTX配下の内部セグメント宛をRTXに向けたらいいよ」
今回の場合は、1,2,3は難しい状況で、4の手法しかないってことですかね。
あとは具体的にどう設定すればいいですが
HGW(192.168.1.1)、RTX830(192.168.100.1)で
RTXのlan2のアドレスを192.168.1.254/24にする
ip route default gateway 192.168.1.1とする
とかって感じなのでしょうか?
HGWの設定でなにかする。←具体的にわかりません・・・
>>769
自宅から会社のPCにリモートデスクトップするためです。 >>781
光電話も使えてますよ。nvr500で電話。ネットはrtx830。もったいない使い方かもですが >>786
RTX830をHGWの下に置いて、PPPoEセッションをRTXで張ってVPN張ればいいんじゃない?
v6プラスも結局希望のポート使えないから拠点間VPNには使えないと思ったけど RTX1200でそういう使い方してた記憶で書いちゃったけど、RTX830だとインターフェース足りないかな >>786
pr(onuとの一体型)でないのね
HGWのwan側のケーブル抜いてみたら
HGWにフレッツジョイント降って来られたら、PPPoEとかほとんどの詳細設定もいじれなくなるので、PPPoEに何も入力しないよう初期化は必要です
HGWの設定はこれ山椒
ttps://hobby-server.com/rtx830_ipv4_ipv6/
ブログのHGWはrx-600kiですが参考になると思います
こことか参考に設定して、@nifty - HGW(PR-400NE)-NVR510とつないで、v6プラスとL2TP でVPN使ってますよ >>779
ヤマハルーターでmap-eトンネル使いたいってことであれば
以前の@niftyの場合、v6プラスが開通してたら一旦解除必要で、IPv6接続オプションが開通しないといけなかったよ
@niftyのオプションで言うところの「v6プラス」はHGW用で、HGWの初期化とかしてもそれだけでHGW以外用に切り替わったりはしないから
>>786
HGWの中のONU部とルーター部の間を抜いて使う話は
HGWの世代じゃなくて、ONU一体型HGWなのかそれともONUとHGWが別なのかによる
PR型番だったら、中にONUとルーター部が入っていてその間が接続されており、接続部分を抜いて使えるが
RX型番はルーター単体でONUを含んでいないから、その中にはONUとルーター部の間の接続がそもそもない(ONUとの接続部は、中ではなく外にポートが付いてる)
RX-600MIで1,2,3は難しいって、今あるONUはどんなので、難しい理由は何?
>>790
v6プラスのフレッツ・ジョイント降っててPPPoEの設定を消したい(いじりたい)ってだけなら
初期化しなくても、配信済み事業者ソフトウェア一覧からIPv4の一時停止をすればできる 単体型ONUと単体HGWに変えてもらえば
と言ってもRX-600が単体HGWだから
ONUが単体のやつかSFP型の小型かどちらかになるんだけど >>775
隣の区にある事務所のRTX1210相手に繋いでるけど
家の11からはどれも問題ないな
相手がIPv4オンリーだからかな? >>790
丁寧にありがとうございます。参考にします!
HGWのwan側のケーブルとは、小型ONUのことですか?
知識レベルが低く、いろいろ勘違いしてもいるんだと思います。
>>791
RX-600MIについて勘違いしていました。
おっしゃる通り、小型ONUを直接さす形になっており、
挿す機器自体がONUであって、RX-600MIはルーターだけなんですね。
1.については単にRTXのみで実現可能かを言われているということ
(NVR510だと拠点対地数が少ないといっていたような)
ただ、小型ONUがいまRX-600MIに刺さってるので、NVR510が使えたら
簡単に解決しそうですね。
2.についてはHGW配下にRTX830つけるしかないからですかね?
3.は技術的な問題です 小型ONUならSFPが刺さるメディアコンバーターかスイッチがあれば変換できますよ >>775
WindowsもAndroid12みたいにL2TP/IPSecやめたのかと思ったら
ただのバグか 光開通の時、HGWいらね(NVR500使うから)
っていうとONU単体で手配してくれましたよ。
ONU単体で手配してもらえれば、ひかり電話はヤフオクとかで安いNVR500
他のネットはrtx830とかに担わせれば、HGWの呪縛から逃れられると思います。
自分はそうしてます。 >>791
@nifty HGWはPPPoE切ってあってファーム自動改版しないに設定にした状態でv6オプション申し込みだけだなぁ
電話とTVはHGWで行って、v6プラスとPPPoEを2セッション同時に使えている
v6プラスも900M程出るから830がたまにアラーム出してるw v6プラスはPPPoEじゃないから
制限のあるセッションじゃないよね? >>799
そのとおり
フレッツのセッション制約とは関係無いよ 不定期にRTX830が原因不明の再起動を起こすんだけど同じような経験ある人いないかな?
ログをみても理由は unknown で負荷をモニタリングしても問題なさそうだしで困る
電源を疑ってみたけどほかの機器は問題ないしなんならUPSに繋いでても起こる
ファームウェアならまだしもハードだったら嫌だなー ハンダがどこか割れたりしているんだろう。それか電解コンデンサが死んでるか。 もうじき購入から4年だがそういったことはないなあ
25日辺りに15.02.22ってファームウェアが出そうだからそれ入れてダメならヤマハに相談かな?
http://www.rtpro.yamaha.co.jp/notice/software-license-update.html >>803
最悪それだよね…… 悲しいなぁ
>>804
密かに期待してるけどまーダメなんだろうなー
保証期間過ぎてるし代替品ないからいっそ1220買おうかと思ったけど時期が悪すぎた 買おうにも売ってない
売っていても高すぎる(いうても定価だけど)
そろそろ新製品?
修理やね(ニッコリ 友人からRTX-1210を譲ってもらいました。
Webメニューから、繋がっている端末毎の現トラフィック(IN/OUT)を見る方法ってありますか? もしかして830新ファームってIKEv2対応したりする? >>775
win10でl2tp/ipsec一旦繋がるけど、切断してすぐ再接続するとセキュリティ層で処理エラー(エラー789)が出てl2tp接続失敗する
yamaha側の問題かwin10側の問題か分からないけど遠隔pcをyamahaRTにvpn接続させたいから困る
androidだとこの事象は起きないからwin側の問題だと思うがpp auth usernameをユーザ単位で作る必要はないよね tunnel追加で作らないとだめな気がしてきた
ただの設定ミスの予感 >>813
そりゃそうだよな。かといってconfig長々載せる訳にはいかないし。まあいろいろやってみるよ
しかし>>182見たらAndroid12でL2TP切り捨てか。特段脆弱性無かったと思うけどな
メニューに無くてもOSとしてはサポートしてるようだしmicrosdのようにgoogleがビジネスとして邪魔だから適当な理由付けて切り捨てたいだけな気もする >>811
ウインドーズアップデートのバグだってよ >>811
Windows 10の場合、レジストリの設定を変えないとその手のエラーが出る場合もある
(バージョンによって挙動も違うし、今月のパッチまでつながっていた場合は別の要因があるかもしれんが)
RTX810 L2TP Windows10 レジストリ あたりの文字で検索すれば設定例が見つかるはず NVR500 2010年10月発売
NVR510 2016年9月発売
RTX810 2011年11月発売
RTX830 2017年10月発売
RTX1200 2008年10月発売
RTX1210 2014年11月発売
RTX1220 2021年4月発売
今年と来年にNVR510とRTX830の後継機種が出ると信じてる >>817
25日に期待してる
手が届く価格でマルチギガビット対応して欲しい エッジルータとしての830とか1220後継であれば、マルチギガは要らんね。
マルチギガ対応するくらいなら10G対応してもらわんと。 30-40台位のタブレットを繋ぐ環境があるんだけど、アクセスポイントにはWLX313を使っています。
今までソフトバンク光だったのをおてがる光に変えるんだけど、接続方法がクロスパス(DS-Lite)の場合、ルーターをNVR510にするメリットはありそうですかね? 今こうなのをどうしたいのかわからんとメリットがあるかどうかわからない .
(-_-) おい NVR610 GTX はまだか
/ ヽ
し| i |J=iニフ
ιυ >>822
今どんな問題が起こっていて、それをどの程度解決したいのかが分からないと何にも言えません。
前のルータが何かも分からないし。 >>817
RTX5000 2013年7月発売
RTX3500 2013年7月発売
NVR700W 2016年7月発売
順当にいくとRTX830は最後 >>825
すみません。
今までソフトバンク光でipv6オプションを使用していましたが、30人を超えるとweb閲覧等がタイムアウトになる人や、ストリーミング視聴等ができない人が出てきました。
BBユニットを時々再起動しないといけない状況になっていたので、それらを解決できればと思っています。
おてがる光だとひかり電話の為、通常はHGWになるのですが、そのまま使えるのか、NVR510にした方がいいのか迷ってます。 その状況じゃ無制限の回線じゃないと回線側のポート制限でもっと早く死にそう
ひかり電話は別回線にしてタブレット収容するのはv6プラスの固定IPプランにRTX830と複数のAP配置した方がいいんじゃないかな >>828
基本的にはHGWはいいルータです。
設定さえきちんとしていれば問題無いと思います。
ただ、単純にプロバイダの速度が足りない可能性もあると思います。
乗り換え先のプロバイダがさらに貧弱ならもっと酷いことになると思います。
今現在、問題が1.ルータなのか、2.プロバイダなのか、3.電波障害などを含む無線の問題なのか、4.その他なのか
ということをきちんと調べた方がいいと思います。
何が問題なのかを調べないと意味が無いです。 ありがとうございます。
もしかすると、クロスパス(DS-Lite)にすると回線側のポート制限の影響を受ける可能性があるんですね。
てことは、この構成の場合はやっぱりHGWからNVR510に変えるメリットはあまりないんでしょうか。 >>831
BBユニットの方がNATセッションのテーブルがHGWより大きかったはずだからHGWにしたら
あっさりテーブル枯渇して通信不能になると思う
そこに加えてDS-LITE系の利用可能ポート制限とかルーター以前の問題も出てくる
とりあえず回線変える前にやれるのはWLX313ってことだしクライアントもAC世代ならAPを
増やしてAP1台が抱えるクライアントを10台以下くらいまで減らして体感速度の改善
AX世代のクライアントがいるならAX専用APを設置して1台のAPにACとAXは混在させない
BBユニットのNATタイマータイムアウトをできる限り短くしてNATセッションを食い潰すのが
改善できるか様子を見るだな >>831
ポート制限ですか。なるほど。
間違ってたらごめんなさいね。
まず、HGWはDS-liteに対応してます。NRV510も対応しています。
で、DS-liteはルータ側でNATをかけません。プロバイダ側でNATをかけます。
なのでルータの性能はそこまで関係ないです。
ただ、プロバイダ側でNATをするのですから、プロバイダ側でポート数の上限が違います。
なかなか公開しているプロバイダは少ないみたいですね。
iij法人向けサービス
https://www.iij.ad.jp/biz/faf6ipoe/menu.html
DS-Liteを利用する際、IPv4通信は1回線あたり12,800ポートまでの制限があります。
Interlink
https://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=654
「ZOOT NATIVE」(IPv6 IPoE接続)1契約でご利用いただけるポート数は1024となります。
おてがる光は見つかりませんでした。
ということでルータの性能はDS-Liteではあまり関係ないです。プロバイダのポート制限を確認してください。 ああ、あとこういう機能があるのか知りませんが、あるならNVR510のポートセービングIPマスカレード機能が役に立つかもしれません。
端末群(ポート使用数2000〜3000) --------> NVR510(ポートセービングNATでポート上限を1000に制限) ----->プロバイダ(ポート上限1000)
つまり、プロバイダとNVR510の二重NATの状態にしてポートを制限する感じですか。
っていう使い方ができるならば、NVR510を導入してもいいかもしれません。
そんな使い方できるのか知りませんが。
個人的にはDS-liteよりもmap-e + NVR510の方がお薦めだと思います。 RTX830のFWアップデートは明日か…
不安で眠れそうにない >829-834 アドバイスありがとうございました。
とりあえずは様子を見て、ダメそうならv6オプションに対応しているプロバイダー+NVR510に変えることを検討したいと思います。 rtx-810から無線AP越しにiphone やipad をdhcpで使ってるのですが、最近ルーターを再起動して、一回繋がってたiphoneのwifi設定消して繋げたら何故か繋がらなくなりました。
windowsは問題ないのですが。
iphoneとかって、dhcpのremain silent指定してるとコケたりしますか?ちなみにリース期間は指定していません。
iphoneとかに使う時のdhcpの注意点とかあったらご教示いただけたらと思います。 >>837
プライベートアドレス機能オフにした?
それが原因かもしれない >>838
いいえ、デフォルトでオンなのでそのままです
オフにすべき?でしょうか。 そりゃiPhone/iPadのIPアドレス変わっちゃうんだから >>836
そもそも利用してるサイトが(ネイティブの)IPv6で繋がるならNATがどうのって話は関係ないし、その方針で本当に大丈夫かしらん >>838
関係ない
>>840
L2, L3も分かってないのにはヤマハ使ってんのか…… >>837
IPが貰えない状況ですか?
それともIPは貰えてるのに繋がらない感じですか? >>842
行間を読めるなら、その返しは的外れと思えると思うけどな。 >>836
なんかよく理解できてなさそうだけどIPv4が共有型のサービスじゃ恐らく全く使い物にならないレベルでトラブル起こすぞ >>843
ipの払い出しされずにiPhoneが169.のアドレスを勝手に名乗る感じになってしまいます。
とりあえず何度かルーターとAP再起動したら払い出しされたのですが72h後のリースアップの時を注視してみます。 10Gルーターが秋発売予定だそうです
筐体は写真RTX1220っぽい感じ
ポートの詳細とかは不明だけどLAN2とLAN3がSFP+との排他っぽい >>849
830のVPN対地数の上限が1210/1220相当まで増えるだけ >>850
細かいこと言うとマルチポイントトンネルのサーバー機能も増えるね SFP+はありがたいな
小型ONUも刺さったりして RTX830のFWアップデートした
うちの運用では特に変化無し 今回もバグ修正多いな
直してくれるのはありがたい事だが いくつもリブートするバグが修正されてるね
>>802も治ると良いのだけど >>848
4月までにIX2310買おうと思ってたけど、ガマンしてこれを待つかなぁ
本当に秋に出れば良いのだけれど >>849
これはせこいな。
ISDNを除いた性能が1210よりも830が上だったから意図的にスペックダウンさせていたのを
ソフトでちょいちょいっていじって本来の性能にしただけのやつじゃん
ヤマハ的に元手0円でソフト売ってぼろ儲けじゃん
こんな商売許されるのか? ライセンスで性能開放するのは今のトレンドだよ
シスコとかもね YAMAHAのルーターとか似たようなものを型番分けて出しているのが効率悪い感じだったしナ。 アメリカの人が訴訟起こしそうな案件だけどな
アイフォンで意図的に性能落として訴訟になってなかった?
まあでもWindows HOME Pro server とかはソフトウェア的に機能が違うしいいのかね? もう1220みたいな間に合わせ機すら作る半導体が揃わないから既存の830でやりくりしてるだけだろ 細かいところはうろ覚え、予定通り出せたらいいけど半導体の供給次第だとか
ルーター
・RTX1220のLAN2・3をSFP+のコンボポートにしたような10Gルータ
LAN1のポートの仕様が分からん。ファン付きモデルみたいにフロントが
穴だらけじゃないっぽいから、ファンレスもワンチャンある?
・1220後継の後に、来年以降センタールーターも出すつもりではいるらしい
アクセスポイント
・オフィス向けWi-Fi6対応APの試作機登場 WLX413よりコンパクトと言ってるが
WLX212より大きそうなので、WLX313の後継っぽい
スイッチ
・2.5Gx8ポート, 10G(SFP+コンボ)x2ポートのL2 PoEスイッチの試作機登場
・非PoE版も夏だか秋だったかに出る予定
SWX2110P-8Gが横に伸びたような全ポート横並び 流れをぶった切ってすみませんが
コンフィグの互換についての資料を探しています
nvr510->rtx830なんですが… >>866
それこそNVR510同士のファームウェアバージョン違いでもデフォルト値の変更とかあるから、互換があるかどうかはリリースノートを追っかけないといけない。
基本的にはCUIで手打ちで弾かれたものは設定そのものが無いってことでやっていって、
めったにないけど設定値の違い(ON OFF)やデフォルトの数値の違いとかは
それこそコンフィグを一行ずつ見て両方のマニュアルと照らし合わせていくしかないと思うけども。
完全互換に近いものを求めるならね。
でも、NVRとRTXなら普通にコンフィグ流し込んでもそんなにおかしな動作はしないと思うけど。逆は厳しそうだけど。 >>865
処理能力はいかほどなのだろうか
RTX1200のようにショートパケットではRTX1500に負けるみたいなことは無いだろうけども >>869
一般向け無線付きルーターの最上位クラスでも2.5Gbpsフルポートじゃ処理能力足りてないって話だし
10Gbps回すとなると相当な性能向上が必要だから価格上昇と共に一気に性能は上がるだろうな クラウドwatchが記事にしてたわ
ヤマハがネットワーク製品の最新ロードマップを公開 10GbE対応VPNルータ、マルチギガ対応スマートPoEスイッチなど
https://cloud.watch.impress.co.jp/docs/news/1383299.html RTX1220が118,000円(税別)
20万円位しそうだなぁ 高くても15万円ぐらいじゃないかなあ
MikroTikのRB5009UG+S+INが約$200, 20W
RB5009はMavellのチップを使ってて、10Gb SFP+ x1, 2.5GbE(-T) x1, 1GbE(-T) x7の変な構成だけど、
2.5GbEはSWチップの10Gbポートに繋がってるそうなので10Gb x2, 1GbE x8までは同様の構成で行けるはず
問題は消費電力...
(MikroTikとYAMAHAじゃビジネスの規模とコスト構造が違うから、5万円でってのは無理だと思うが) >>874
全ポート10Gだとは思ってないよ
熱も凄いことになるし
LAN1は1Gかせいぜい2.5Gと予想しての20万円 >>874
LAN2がWAN用途10GでLAN3に10Gハブを接続するっていう使い方になるのか
それなら悪くないかも port 9 LAN2 /SPF+
port10 LAN3 /SPF+
これは排他なのかな? LAN2,3のRJ-45とSFP+は同じポート番号を振ってあるから明らかに排他だね >>872
2022年「度」だから6月頃までには動きあるかな
WAN, LANにそれそれ10GbEを載せて、それ以外はGbEとかかな?
半導体不足でそもそも作れるのか
1220の品不足も新製品を控えて生産数を絞ってるなら話は別だけど 素人丸出しの質問で申し訳ないのですがどなたか教えてください。
RTX1210のリモートアクセスVPNで192.168.0.1(ルーター)/23のネットワークに
Windowsの標準VPN接続する時、DHCP範囲が仮に192.168.0.2-1.254として
ローカルホストに192.168.0.xのIPが割り振られた時、
192.168.1.xのリモートホストと通信ができないのはどうしょうもないのでしょうか。
YAMAHAに聞いたらYMS-VPN8を使ってないからサポート対象外と切り捨てられてしまいまして… >>882
ルーティングを正しく設定していれば普通は出来る
とりあえずネットワーク構成図書け いや、/23のネットワークだからルーティングは関係ない(はず)ってことでしょ arp proxyが必要なパターンだとおもうけど、そのへん含めてRTのコンフィグがととのっているか。
とりあえず/24で同じことをしてみれば? ネットワーク大喜利かな
リモート側のローカルIPが192.168.1.x/24とかいうオチだったら笑う >>882
本気で解決したいならコンフィグ出しなさい こういう構成だろ
ローカルホストとリモートホストは同一セグメントなんだからProxy ARPしてないだけにしかみえん
リモートホスト [192.168.1.x]
|
インターネッツ
|
RTX1210 [192.168.0.1(LAN1)]
|
|192.168.0.0/23
|
ローカルホスト [192.168.0.2-254] 元々192.168.1.0/24だったのをIPアドレスが足りなくなって
IP固定しているホストのIP(192.168.1.x)を変えたくなくて
ピコーン192.168.0.0/23にしたらいいんじゃね?って思いついたのがはじまりです。
ルーターは192.168.0.1/23に変更し、IP固定の端末もサブネットを23、GWを0.1に
変更するなどこのことは最低限やってはいます
configを必要なとこだけ書くとこんな感じです
ip route default gateway pp 1 filter 500000
ip lan1 address 192.168.0.1/23
ip lan1 proxyarp on pp enable 1
pp select anonymous
pp bind tunnel1
pp auth request mschap-v2
pp auth username * *
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp remote address pool dhcp
ip pp mtu 1258
pp enable anonymous
tunnel select 1
tunnel encapsulation l2tp
ipsec tunnel 1
ipsec sa policy 1 1 esp aes-cbc sha-hmac
ipsec ike keepalive use 1 off
ipsec ike nat-traversal 1 on
ipsec ike pre-shared-key 1 text *
ipsec ike remote address 1 any
l2tp tunnel disconnect time off
ip tunnel tcp mss limit auto
tunnel enable 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.0.2-192.168.1.254/23
dns host lan1
dns service recursive
dns server pp 1
dns server select 500001 pp 1 any . restrict pp 1
dns private address spoof on >>882
「192.168.1.xのリモートホストと通信ができない」というのは、
リモートホストに192.168.0.xが割り振られた時は通信出来ているとう意味? こういう話はだいたいフィルター周りの設定が邪魔してるだろ
フィルター全外しで試して診ればええんじゃね? コンフィグ的には特におかしくないように見えるな
これ、あれだよね、/23に改変する前のバージョンは普通に動いてたってことだよな
リモート端末のローカルIPがセグメント被ってるとかぐらいしか思いつかんな >>882
TCP/IP詳細設定の
「リモートネットワークでデフォルトゲートウェイを使う」
のチェック外してない?似たような環境作った事あるけど、
ワイはこの辺弄くったら通信できるようになった >>897
それはリモート端末がVPN経由でインターネットや他のネットワークセグメントに出ていく場合の話でしょう
今回はRTX配下の同一セグメントへのアクセスなので関係ない筈 >>898
確かにおっしゃる通りの設定だと思ってて最初は疑ってなかったけど、
うちはここの設定変えたら想定通りの動きはしてくれた
iOSのVPN設定だと「すべての信号を送信」の部分だと思われる
今回の場合だとYMS-VPN8買えば良い話だがw >>899
VPN経由でインターネットに出るのがOKならそれでもいいけど、
それがNGの場合はそれだと困るのでは >>891
> ip route default gateway pp 1 filter 500000
の500000には何が設定されてる? >>891
フィルターでIPsecをちゃんと通しているのかな?
/23でネットワーク組んでいる理由もよく分からんが。。。 >>901
pp1のフィルターが何か影響するとも思えんが
>>902
/24でIPが足りなくなったから/23に拡張したら繋がってたのが繋がらなくなったという話でしょ NVR510のVPN使うのと、ラズパイでVPN鯖立てるのどっちがいいかな。 1+1はなぜ2なのかを証明するより難しい質問だ
前提条件無さすぎて答えられる訳ないでしょ! > /23に拡張したら繋がってたのが繋がらなくなった
とは明言してないと思うけどな 皆様ありがとうございました。
確かに192.168.1.0/24から0.0/23に変えた時に自動調整されたフィルタをそのままにしてたのでまずはフィルタを見直してみます! リモート端末に付与するIP、RTX配下のLANセグメントと同じにするか変えるかいつも悩む
それぞれにメリット・デメリットがあるよね RTX830が在庫僅少・納期未定ってなってるけどこれ終売予定ですか? 830もだめになったらほんとうにどうしていいのやら /24 でアドレスが足りなくなったら VLANを一つ追加したほうが楽じゃない? VDSLから光ケーブルにしたいんで
NVR510先に買おうと思ったら在庫が全然無いなw 昼間ジョーシンに49800で在庫があったがポチる前に売り切れてた。
誰だよ買った奴、くっそーw RTX830ファームアプデしたらファビコンがヤマハマークになってるな IPSecによる拠点間VPNしたいのにRTX830がないRTX1220がない 昔と違ってRTXに拘る理由がどんどんなくなっていく 正直「YAMAHAが好きだから」以外の理由がもう自分の中にない CiscoよりIPSecのconfigは分かりやすいけど、トラブった時のログの少なさは泣ける
良くも悪くも中小規模向け 最近はマルチベンダだからciscoは少なくなったな
ヤマハも参入すりゃいいのに 個人でも使える信頼性のあるルーターっていったらやっぱYAMAHA挙げちゃうけどなー
他にも選択肢はあるんだけど個人的にはYAMAHAが一番疲れない せやな
個人的には個人で使うにはヤマハがいい
職場はシスコ YAMAHAは、正当な理由があれば仕様変更も行ってくれるので好感度高めではある。
有償サポートとか入っている訳ではないのに。 YAMAHAはなんというか、会社として好き、経営理念とか
日本人として応援している >>933
せっかく安心して使えるメーカーの製品になんでわざわざバックドア仕込まないとならないんだよ >>936
こういうアホが使ってる所がヤマハの微妙なところ 無料で使えるIP電話サーバって今あるの?昔はいろいろあった気がするが。 LINEはあれだけ使ってるユーザーが多いのが信じられないわ
みんなが使ってるから大丈夫な大企業とでも思ってるんだろうな キチガイ帰れスマホやクラウド使ってる時点で吸われてるっつーの 個人がLINEを使うのがそんなに問題とも思わんが、とりあえずスレチなのでその辺にしといて >>939
普通にSIPサーバーとして登録できるものでは
楽天コミュニケーションズ(元フュージョン)の
通話しなきゃ無料の050は2020年で新規募集止めたな
サービスはまだ続いているけど
ブラステルはどうなっているのか知らん
あとはTwilioとかAmazon Connectとかあるけど
クラウドプラットフォームから使うのが前提で
SIPサーバーへの接続方法は公開していないと思う 米のお陰でSBのHuaweiNWとLineの最悪コラボが避けられただけ良しとしよう ネットボランチ電話に、ヤマハの登録ユーザのスマホを繋げられるといいのに >>946
逆に見てみたかったけどな。後に最悪の事態も起こって欲しかった。 >>947
MizuDroidで、自分の電話番号@FQDN指定でかけることできましたよ。 >>948
SBは中韓とズブズブ
セキュリティよりコストを優先するゴミ
Alibaba Cloud使ってるのも確かSBだけだろ NHKか何かでやってたけど中国はオリンピック施設入るときに携帯取り上げるらしいな
世界中のメディアは情報盗まれることを恐れて持ち込まないようにしてるらしい
まあ中国の信用度なんてこんなもんよね >>950
まー事故るまでは低コストを享受できるし、事故ったら図書券一枚送ればオケだし >>950
国内でAlibaba Cloudを商用サービスに使っているの?
アリババに出資した流れでソフトバンクが代理店なのは事実だが RTX830でv6プラスの固定IP使ってるんですけど、httpsのフィルタリングをしたいです
そこで余ってるFWX120をRTXの下につけてみようかと思うんですが、その構成だとスループットが低下するみたいな過去レスを見ました
どれくらい低下するかわかる方いますか? >>954
現実問題として、FWX120経由だとHTTPSのサイトとかすでに見れないのあると思うよ。 >>954
HTTPSの暗号化された中身見てフィルタリングしたいのかURLだけ見てフィルタリングしたいのかでかなり事情が変わってくるがどっちがやりたいんだ? httpsの中身見てフィルタリングとか出来ちゃ困るだろ まあその手のデバイスを入れている企業ネットワークとか、
わざわざ弱くして使ってる感じかな。 httpsの中身も見るしメールの内容も見て記録、検索キーワードの記録やコントロール、見ている動画のチェックなどは企業ならば結構やっている
fortiとかUTMがあればかなりの事が簡単に出来る >>958
ライセンス買わないとURLフィルターとか機能しないんでしょ?コストがなー 人様の成果物に金を払う気がないなら自分でフリーソフトなりフリーのコードなり使ってなんとかしたらどうかね http://www.rtpro.yamaha.co.jp/RT/docs/url-filter/https_proxy.html
>HTTPSプロキシにより中継可能なコネクションの数は同時400までです。
>本機能は常にノーマルパス動作となります。ファストパスでは動作しません。
そもそも、今このスペックで使い物になるのか? そもそも中間者攻撃で通信盗み見ようとしてる時点でパフォーマンスなんて二の次なんだろう FWX120って結局後継出さないまま終売もしないで9年目に突入 >>970
UTX100/UTX200が出てんじゃん >>970
納品・保守したことあるけど
RTX系との違いが実際よく分からんw >>974
ポリシーフィルターと動的フィルターの違いがいまいち分からないw ポリシーフィルタは全機種標準装備すべきだよな
今時上りと下りそれぞれ書いてられん
RTXの中国モデルは付いてるのに日本仕様だけ使えないのは酷い >>976
言っている意味が分からない。
普通に国内仕様のRTXで使えると思うけどな。 >>978
975の言っていることを考えてみよう。 ポリシーフィルタわかってない奴が紛れ込んでるな
RTXじゃ使えないFWX専用の機能 >>976
「RTXの中国モデル」ではなく、「FWXっぽいものであっても、中国向けの場合の型番はRTX」なんでは スピードテストはどんな時間も200Mbps以上維持してるのにサイトや動画の読み込みが極端に遅くなるのってなぜ?
RTX-1210
user attribute connection=serial,http gui-page=dashboard,lan-map,config login-timer=600
security class 2 on off off
system packet-buffer small max-buffer=5000 max-free=1300 min-free=124 buffer-in-chunk=1250 init-chunk=1
system packet-buffer middle max-buffer=10000 max-free=4950 min-free=240 buffer-in-chunk=2400 init-chunk=2
system packet-buffer large max-buffer=20000 max-free=5600 min-free=93 buffer-in-chunk=931 init-chunk=6
system packet-buffer huge max-buffer=40 max-free=0 min-free=0 buffer-in-chunk=2 init-chunk=0
ip routing process fast
ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on
ip stealth all
ip icmp timestamp-reply send off
ipv6 routing off
ip lan1 address 172.20.1.1/23
ip lan1 secure filter in 113 114 199
lan link-aggregation static 1 lan1:1 lan1:3 lan1:6 lan1:8 pp select 1
description pp wannet
pp always-on on
queue pp type wfq
pppoe use lan2
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in 100 113 114 198
ip pp secure filter out 110 113 114 199 496 dynamic 200 201 202 203 204 205 206 479 499
ip pp intrusion detection in on
ip pp intrusion detection in ip on reject=on
ip pp intrusion detection in ip-option on reject=on
ip pp intrusion detection in fragment on reject=on
ip pp intrusion detection in icmp on reject=on
ip pp intrusion detection in udp on reject=on
ip pp intrusion detection in tcp on reject=on
ip pp intrusion detection in default on reject=on
ip pp intrusion detection out on
ip pp intrusion detection out ftp on reject=on
ip pp intrusion detection out winny on reject=on
ip pp intrusion detection out share on reject=on
ip pp intrusion detection out default on reject=on
ip pp nat descriptor 1
pp enable 1 ip filter 100 reject 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,172.20.4.0/23 * * * *
ip filter 110 reject * 10.0.0.0/8,172.16.0.0/12,192.168.0.0/16,172.20.4.0/23 * * *
ip filter 113 reject * * tcp,udp * 135,netbios_ns-netbios_dgm,netbios_ns-netbios_ssn,445
ip filter 114 reject * * tcp,udp 135,netbios_ns-netbios_dgm,netbios_ns-netbios_ssn,445 *
ip filter 198 reject * * * * *
ip filter 199 pass * * * * *
ip filter 496 pass * * udp * https
ip filter dynamic 200 * * domain
ip filter dynamic 201 * * www
ip filter dynamic 202 * * ftp
ip filter dynamic 203 * * smtp
ip filter dynamic 204 * * pop3
ip filter dynamic 205 * * tcp
ip filter dynamic 206 * * udp
ip filter dynamic 479 * * filter 496 syslog=off timeout=60
ip filter dynamic 499 * * udp syslog=off timeout=120 nat descriptor backward-compatibility 1
nat descriptor type 1 nat-masquerade
nat descriptor timer 1 300
nat descriptor timer 1 tcpfin 30
nat descriptor timer 1 protocol=udp port=https 60
nat descriptor timer 1 protocol=tcp port=www 60
telnetd service off
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 172.20.3.101-172.20.3.200/23 gateway 172.20.1.1
dhcp scope option 1 dns=172.20.1.1
dns host lan1
dns service recursive
dns service fallback off
dns server 1.1.1.1 220.220.248.1
dns cache use on
dns cache max entry 1024
dns private address spoof on
schedule at 1 */1 00:00:00 * ntpdate ntp.jst.mfeed.ad.jp syslog
httpd host lan1
statistics traffic on
statistics nat on
大幅修正したんだけどダメなのかなぁ うちはipv6がocnバーチャルコネクトで別のルーターが使ってるからipv6使えない >>988 pppoe
だが、なぜかocn バーチャルコネクトより速い 接続形態がよく分からんけど、スピードテストは実はIPv6で測ってたりしない?
あと関係ないけど0時丁度に外部サイトにntpdateとかヤメレ >>990
ipv6のルーターがあるネットワークとRTX1210では完全分離してるというかひかりTV端末用のネットワークだからipv6で測定してるってことはない
0時ちょうどは変えておくww >>989
PPPoEはNGNからプロバイダに抜けるときの網終端装置の帯域が基本的に1Gだから輻輳しやすい
最近は10Gの網終端もあるらしいがセッション数が増えれば当然スループットは低下する
スピードテストってまさかNGN内の話じゃないよね? >>992
radishとnetflixのスピードテストとooklaで計測してる 環境が分からないので、エスパーするしかないのだけども、
DNS問い合わせが遅いんじゃない?
クライアントのIPv6はクライアント側できちんと切ってる?クライアントはWindows?IPv6のドライバ削除してる?
IPv6使ってない環境でwww.apple.comとかの問い合わせをした時にIPv6で返事が来るだろうけど、
そこでクライアント側の設定が悪いとIPv6で繋ごうとして、繋げなくて、IPv4で繋ぎなおしするっていう状況も無きにしも非ずんば虎児を得ず >>993
ただの網終端輻輳だと思うがプロバイダで特定の通信を帯域制御してる可能性もある
まーONUとPC直結してOSでPPPoE貼って切り分けだな >>994
ipv6は完全に切ってる。pcはipv4のみで運用。firefoxもipv6のアクセスがしないようconfig弄ってる
DNSが遅いはどうしようもできないよなぁ・・・
>>995
スピードテストしか意識してなかったから帯域制御のことはさほど考えてなかった...
てっきりルーターが問題って思ってたわ >>996
プロバイダが何やってるかなんてユーザーには確認しようがないがルーターの問題なのか切り分けたいんならONU直結で確認が手っ取り早いから >>996
Wiresharkでしばらく監視してみたら? >>982
自分が試すのだったら、
・侵入検知を切って見る
・dns server 1.1.1.1 220.220.248.1 をdns server 220.220.248.1 220.220.248.9 に変えてみる
ぐらいかなぁ このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 123日 2時間 44分 2秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。
