ネットワークに関する疑問・質問 Part33
■ このスレッドは過去ログ倉庫に格納されています
マルチポスト禁止 http://www.ippo.ne.jp/g/71.html 質問と一緒に書くこと: ・ 環境(OSのバージョン、機器やソフトウェアの名称) ・ 状況(エラーメッセージ、場所の名前など) ・ 試行(やったこと、調べた内容など) 質問はage進行 名無しの質問者が追記する場合は 名前欄に最初の書き込み番号を入れること 回答が書き込まれたら 後学のために結果を書いておくことを忘れない 前スレ ネットワークに関する疑問・質問 Part32 [無断転載禁止](c)2ch.net http://mevius.5ch.net/test/read.cgi/hack/1492176526/ >>462 最初そう思ったけどNATかかってるなら関係ないね。 >>464 公開サーバが指定しているデフォルトルータに 192.168.2.xへの静的ルートが設定されていればね >>465 ルータ2でソースIPアドレス書き換えられてるのに 何故公開サーバとかゲートウェイのルータとかが 192.168.2.0/24のルートを持っている必要があるのかね? まぁ、一回NATやめて静的ルート入れて通信出来るか 試して見るのも手かとは思うが LAN内通信と一回外部出てNATして入ってくる通信の両方が出来ないんでしょ? 外部経由の通信はともかくLAN内の通信が出来ないって方は単純にルーティングの問題なんじゃないの >>467 いや、だからルータ2でNAPTがかかってるって情報が出てるでしょ NAT/NAPTがどう言う技術なのか理解出来ていないのか? そもそもルーティングの問題ならADSLモデム経由でやってる インターネット宛の通信も192.168.2.0/24から出来ないでしょうが >>468 家庭用ルータの機能よく知らないで適当なこと言ってたわすまんな 別セグのプライベートIP間でもルータのアドレス変換機能有効にしてたらNATされるのかね 物理結線が間違ってんじゃないの そこらじゅうにping打ちまくった結果がほしい ・ 環境(CISCO ISR2800,Catalyst2950 aterm bl901hw win8リモートとして) ・ 状況(外部から自宅のシスコルータの設定してみたい) ・ 試行(以下のとおりです) CCNAのためにシスコのスィッチとルーターを中古で購入してコマンド入力の 練習しています。 インターネットに接続していないので、自宅に帰ってからの練習です。 勉強しているとリモート接続でシスコの機器を設定できるとわかったので 外部からシスコの機器にアクセスして、コマンド入力の勉強ができないかなと考えてます。 いろいろ調べているうちに、自分の回線会社[auひかり]では、契約者にはほぼ固定の グローバルIPアドレスを与えられることがわかりました。 [auひかり]から提供されたホームゲートウェイルータ(aterm bl901hw)は、既に ISPよりプライベートIPアドレスが設定されています。 シスコの機器は事前にIPアドレスを設定できます。 ホームゲートウェイルータがルータならば、何らかの方法でシスコ機器のIPアドレスと Macアドレスを登録できれば、外から設定変更もできそうな気がします。 んで、すまない。やりたいことは解っているんだけど。知るべきことが何かわからない。 なので、質問がぐだぐだになってしまうのですが。 まずは、こういうことができるのか。やろうとしてるのは難しい事なのか。 理解できるかたお教えください。 CCNA未取得レベルでやるべき事ではない セキュリティの担保とかセグメント分けとか色々あるからね >>472 簡単なのはatermでポートマッピングの設定して sshをC2800宛に転送してあげればOK 当然C2800にsshでログイン出来るように設定しておくこと >>469 当然NATされるよ 宛先がグローバルかプライベートかなんて関係無い LANインターフェースから入ってWANインターフェースから出る 通信は全部対象だよ、基本的には 業務用ルータなら色々条件付けて制御する事も出来るけど >>473 これを考えること自体が勉強ということで。。 >>474 ありがとうございます。シスコよりatermの設定が難易度高そうです。主要な設定方法ですが、こんな感じでしょうかね?いろいろ、不備あるところは承知してます。ごめんなさい。 ・疑問点 ポート番号ですが、ISR2800のインターフェイスの番号「f0/1」でなくてアプリケーションプロトコルの番号。例えばHTTPが80番みたいなもので解釈でよろしいですかね。ここではアンノンウェルの1025で設定してみました。こうするとMacアドレスは関係ないのでしょうか。 ■au光からもらったグローバルIPアドレス 198.51.100.1 ■CISCO ISR2800のFasteternet0/1にipアドレス172.16.0.1を設定したとします。またパスワードも設定したとします。 http://atnetwork.info/ccna/ssh1.html を参考に ↓ CISCO ISR2800 (mac aaa.bbb.111) Fasteternet0/1 172.16.0.1 ■atermの設定 http://www.aterm.jp/function/wg1800hp/guide/web/main/8w_m6.html LAN側ホスト→「172.16.0.1」 プロトコル→「ssh」 ポート番号→「1025」 優先度→「?調べます」 削除→指定なし ■外部Tera Termからのリモート http://atnetwork.info/ccna/ssh2.html ラジオボタン→「TCP/IP」 アドレス欄→「198.51.100.1:1025」 サービスラジオボタン→「SSH」 TCPポート→「22」 >>476 まずmacアドレスについて、atermとc2800の間ではmacアドレスを使った通信が行われるけど 相手のmacアドレスはarpで自動的に取得されるので、特にmacアドレスに関する設定は必要ない atermの設定では プロトコルはtcpを選択する。 ポート番号はなんでも良いけど、Cisco側のsshの待ち受けポートと合わせる。 こっちを1025にするならCisco側のsshも1025に設定しないとだめ (デフォルトはtcp/22) 後、インターネットからアクセス可能ってことは誰でもログインを試行できる訳で 解説サイトのccnaccnpみたいな脆弱なパスワードは使わないようにな >>461 モデムとルーター1、ルーター1とルーター2は有線で接続しています。 LANケーブルが接続可能なルータやPCは全て有線でスマホやタブレットは無線で接続してます。 >>463 Internet と PPPoE のタブのスクショです。 http://uproda11.2ch-library.com/e/e00230478-1519740639.png モデムで ssh と http をサーバにポート転送 モデムでネットワークを 192.168.1.0/24 に設定 ルーター1の無線アクセスポイントを無効 ルーター2をブリッジモードからルーターモードに変更 ルーター2でネットワークを192.168.2.0/24 に設定 以外は基本的に初期設定のままにしていると思います。 >>470 ルータ2に接続したデスクトップ(192.168.2.2)から ping を打ってみました。 ping 192.168.1.1 (モデム) => OK ping 192.168.1.2 (ルータ1) => OK ping 192.168.1.3(サーバ) => Destination Host Unreachable ping 192.168.2.1 (ルータ2) => OK ブラウザにIPアドレス直打ちでモデムとルーターの設定画面にアクセスを試みると モデム(192.168.1.1)にはアクセスできませんでしたがルータ1にはアクセスできました。 別セグでもpingが通るものもあれば通らないものもあり 別セグでも設定画面が開けるものもあれば開けないものもあるようで 原因がよく分かりません。 >>477 ありがとうございます。なんとなく解ってきました。 でも今の自分では実装は難しいかな。この件は勉強として考えてみます。 最後2点だけ質問させてください。 ■CISCO ISR2800のIPアドレスを172.16.0.1と設定しましたが、 もちろんatermのプライベートIPアドレスとサブネットマスクが 解らないと設定できないと思います。 先にatermに設定しないといけない、もしくは解ってないといけないということですね。 ■Tera Termのアドレス欄に 198.51.100.1:1025 と書きましたが。 「atermのグローバルIPアドレス:ポート番号」という書き方で間違いないでしょうか? >>478 前に書いてた 192.168.1.5: ルーター2 (ルーターモード, 192.168.2.1) って、DHCP割り当てでそのアドレスになってたってことかな。。。 手動割り当てにしたら?自動設定ってなんか怪しい。 >>479 1点目は質問の意図がよくわからんが、atermもciscoも両方同じネットワークセグメントに所属させれば良いだけだよ 両方自分が管理している機器なら、別にどっちを先に設定しても良いでしょ 2点目はそれで問題ない 「atermのグローバルIPアドレス」だけ入力して TCPポート欄に1025を入力しても良いけど お好みで >>481 理解しました。 あ り が と う ご ざ い ま し た。 4月までになんとかCCENTぐらいはとりたい。 すごく基本的なことなんだけど、親機のルーターが1階にあって、2階の部屋にWi-Fiがうまくとばないから中継機を設置したら、PS4は早くなったのにパソコンの方が抜群に遅くなったのって中継機の場所が悪いんですか >>478 そもそもルータ2から公開サーバにping飛ぶの? あと、公開サーバでtcpdumpしてルータ2や配下のpcからのパケットが来てるか確認出来る? シスコの機材を外部から設定してみるという件ですが、 実はルータc2800は貸し出してて、スイッチ(Catalyst2950)の管理VLANを設定すれば同じことだろうと思ってAtermを含めいじってみました。 IP ISP----onu----Aterm----ElecomWIFI----notePC | Catalyst2950 Catalyst2950の初期設定は直接notePCからコンソール接続で設定しています。 Aterm 192.168.0.1/24 ←初期設定 notePC 192.168.2.101 ←自動で設定 Catalyst2950 192.168.0.2 ←手動で設定(Vlan10) notePCからCatalyst2950へのPingは成功 notePCからAtermへのPingは当然成功 Catalyst2950からAtermへのPingは成功 Catalyst2950からnotePCへのPingは失敗 また残念ながらCatalyst2950はSSHに対応してなくてnotePCからのVTY接続はtelnetとしました。Catalyst2950のポート番号の設定方法も解らないのでデフォルトの23と設定しました。Atermもこれに合わせて設定しなおしてます。 そして、notePCからteratermを通してVTY接続を試してみましたが失敗してしまいます。失敗だけならいいのですが、notePCからのインターネットへの接続ができなくなります。 Atermの再起動でnotePCは復帰します。 Catalyst2950の設定がわるいのか、Atermの設定が悪いのか。考えられる範囲で問題点があればおおしえください。 あ。しまった。半角スペースは効かないのか。。 ISP----onu----Aterm----ElecomWIFI----notePC | Catalyst2950 この図のCatalyst2950 はAtermとファストイーサネットで接続しています 連投すいません。何か参考になりますかね。 show running-config 略 ! interface FastEthernet0/10 switchport access vlan 10 switchport mode access no ip address ! 略 ! interface Vlan10 ip address 192.168.0.2 255.255.255.0 no ip route-cache ! ip default-gateway 192.168.0.1 ip http server ! すいません。解決しそうです。 teraterm のIPアドレスを直接192.168.0.2にしていたのが原因みたいです。 グローバルIPアドレスだと、無事ログイン画面までたどり着きました。 サブネット内からの接続なのでプライベートアドレスの方がいいと勘違いしていました。 昨日教えてくれたばっかりなのに。。 あとはログインを通すだけです。 ログインとパスワードが何なのかちょっと謎ですが、、 先のとおりnotePCからCatalyst2950へのtelnetによるVTY接続試みていますが、ログインができません。書籍等を見る限りCatalyst2950の設定は誤っていないかと思います。 line vty 0 4 password ******* login transport input telnet TeraTermでは次の設定でTCP/IPで接続を試みています。 ホスト(アドレス)→「グローバルIPアドレス」 TCPポート →23 サービス→Telnet プロトコル→UNSPCE これでOKをクリックすると、 >FreeBSD/i386 (pc3.example.org) (ttyv0) >login: というログイン画面が現れます。Catalyst2950のパスワードやログインの設定を変えながらログインを試みてみます。が、この表示はVTY接続のログインではないようです。 https://www.freebsd.org/doc/ja_JP.eucJP/books/handbook/consoles.html TeraTermでなく、コマンドプロンプトでも接続を試みてみますが。状況は同じです。 何かが間違っているのは確かなのですが、ここからは先は自分では解決できないと思います。 上の表記がなぜ出るのか、どうやったらCatalyst2950と接続できるのか、わかる方いましたら ご教授ください。 連投すいません。 訂正。接続して現れる表記が間違ってました。 >FreeBSD/i386 (pc3.example.org) (ttyv0) >login: じゃなくて下が表示されます。 >NetBSD/ovismips () (ttyp0) >login: >>490 今までの書き込み読んでエスパーしてみて疑問に思ったことがいくつかあったので聞きたい。 1.NotePcのデフォルトゲートウェイはどの機器? 予想は多分ElecomWIFI AtermはそもそもNotePCとネットワークが違うからデフォゲにはなれないはず ElecomWIFIのLANインタフェースが192.168.2.1/24とかを持ってて、WANインタフェースがAtermからDHCPで配られた192.168.0.XXX/24を持ってるんじゃない? 2.「グローバルIPアドレスだと、無事ログイン画面までたどり着きました」って、telnetで接続するときの接続先をAtermのWANインタフェースが持ってるIPアドレスにした時に接続出来たっていう意味? もしそうなら >NetBSD/ovismips () (ttyp0) >login: とかいうログイン画面はCat2950ではなく多分Atermのもの 一般的な家庭用のルーターのポートフォワーディング機能は、WAN側から入ってきたパケットのみに適用されるもので、今回のNotePCがいるようなLAN側から入ってきたパケットには適用されない 詳しくはヘアピンNATでググってくれ この場合、ルーターは自分自身にアクセスしてきたと解釈してログイン画面が出たのだと思われる 試しにNotePCを一旦LANから切り離して、スマホのテザリング等でNotePCをインターネットに繋いでもう一度AtermのグローバルIPアドレス宛にtelnetしてみてくれ それで Password: というIOSのログインプロンプトが出るなら正しく接続できている あと、Cat2950からNotePCにPingが通らない件は、もしNotePCのOSがWindowsならデフォルトでICMP echo replyを返さない設定になっているので、設定を変える必要がある それも詳しくはググってくれ c2950からNotePCにpingが飛ばない点は ElecomWiFiでNAPTかけている可能性もあるから そっちも合わせて確認した方が良いと思う >>491 >>492 >1.NotePcのデフォルトゲートウェイはどの機器? >予想は多分ElecomWIFI >AtermはそもそもNotePCとネットワークが違うからデフォゲにはなれないはず ElecomWIFIのLANインタフェースが192.168.2.1/24とかを持ってて、WANインタフェースがAtermからDCPで配られた192.168.0.XXX/24を持ってるんじゃない? はい。notePCのデフォルトゲートウェイは192.168.2.1です。 これはElecomWIFIと繋がっています。 >2.「グローバルIPアドレスだと、無事ログイン画面までたどり着きました」って、telnetで接続するときの接続先をAtermのWANインタフェースが持ってるIPアドレスにした時に接続出来たっていう意味 はい。。。。 >とかいうログイン画面はCat2950ではなく多分Atermのもの おお。。 >一般的な家庭用のルーターのポートフォワーディング機能は、WAN側から入ってきたパケットのみに適用されるもので、今回のNotePCがいるようなLAN側から入ってきたパケットには適用されない >この場合、ルーターは自分自身にアクセスしてきたと解釈してログイン画面が出たのだと思われる そういうことですか。ヘアピンNATで調べます。 >試しにNotePCを一旦LANから切り離して、スマホのテザリング等でNotePCをインターネットに繋いでもう一度AtermのグローバルIPアドレス宛にtelnetしてみてくれ すぐにはその環境できないですが、明日にでも調べてみます。 >あと、Cat2950からNotePCにPingが通らない件は、もしNotePCのOSがWindowsならデフォルトでICMP echo replyを返さない設定になっているので、設定を変える必要がある それも詳しくはググってくれ 了解です。NAPTの件と合わせて調べてみます。 わかりやすくて助かります。 おそらくエスパーされたとおりの状況かと思います。 もっと勉強してみます。ありがとうございました。 天才数学者と天才ハッカーはどっちの方が頭が良いのでしょうか? >>491 本日、外出先からCat2950にtelnet接続してみました。 問題なくCat2950のログイン画面が現れ、IOSのコマンドを打つことができました。 当初の目的が>>472 のとおり 「外部から自宅のシスコの機器を設定してみたい」 でしたので、これが果たされて嬉しく思います。 自宅では、コンソール接続で繋ぐだけですので不都合もありません。 座学でNATも勉強してましたけど、自分の家のルータ設定もできなかったということに ちょっと残念な気持ちと、やはり実践を積まないとTCP/IPの原理も会得できないという ことに気づかされたところです。 Cat2950からNotePCへのPing失敗については、ファイアウォールを一時外したりしたのですが まだ成功してません。ElecomWiFiのNAPTの件を含めてもうちょっと調べてみます。 とりあえず、第一の目的が果たされたことを報告しておきます。 ありがとうございました。 >>478 「Destination Host Unreachable」の前に「Reply from:」ってのが無い? もしあるならその機器のルーティング設定によって弾かれてるんじゃないかと思うんだけど このスレで答えてる人はseとかpgのひと? 独学でみにつけたの? いま、一階で使用している既存のルーターのoutから 有線で二階まで引っ張っていって、新しいルーターに繋げば 新しい機種の方でもルーター機能を使えますか? >>497 質問の仕方によって、エスパー能力が有効に発揮できるかが変わってくるな au光回線でしたが、ホームゲートウェイのatermを新しいものに交換したら wan側のグローバルIPアドレスが変わってた。 さすがに完全な固定アドレスではないのねん。 現在事務所のネットワーク構成は以下のようになっています ONU-----UTM------HUB-----サーバや各クライアント UTMはルータ機能を持っておりPPPoEで光に接続しています 今回ここにNTTコミュのVPNを導入することになったのですが 以下のような構成にするよう言われました https://i.imgur.com/7IBAaVe.png デフォルトゲートウェイはルータの方です これで本当にVPN通信できるのでしょうか? VPNルータはヤマハの市販のやつです(NTTコミュ側でセットアップ済み) >>504 すいません間違えました × デフォルトゲートウェイはルータの方です ○ デフォルトゲートウェイはUTMの方です >>504 フレッツの場合1つの回線でPPPoEセッションを 標準て2つまで張れるので、問題なく構成できるよ VPNの方式は何になるの? L2TPv3であれば、UTMもクライアントも特に設定しないで VPN通信できる。 IPSecとかのL3のVPNであればUTMにVPNの対向拠点宛の ルーティングの設定が必要になる 後者の場合、UTMにルーティングの設定入れても上手く 通信出来ない可能性があるので要確認に訂正 VPNはNTTコミュのIP-VPNでarcstarというやつです プロトコルははっきりしませんがレイヤー3VPNと公式には載ってます L2TPv3ならルーティング情報無しでも通信できるのですか シスコルータC892をリモート設定したい。 先日シスコのスイッチがリモート設定できることが嬉しくて、ルータC892を新たに4台も中古購入しました。 ルータであると確認して購入したのですが、インターフェイスはスイッチらしくてVLANと設定してIPアドレスを登録しなければならないというよく分からない仕様でした。 とりあえず、VLANの設定とIPアドレスを登録し、ホームゲートウェイのAtermのポートマッピングに新しいIPアドレスを設定しました。 今回はスマホのデザリングを使って外部ネットワークから接続を試みてみます。リモート接続したいクライアントはLetsNotePCです。DynaBookPC はC892にコンソール接続されています。また今回も慣れたtelnet接続で行いたいと思います。 ISP----onu----Aterm----ElecomWIFI----DynaBookPC | C892 auLTE----Xperia----LetsNotePC 上の構成図のC892をCatalyst2950に替えても接続に問題ありませんでした。ですので問題はAtermの設定かC892自体の設定かと思われます。 Aterm 192.168.0.1/24 ←初期設定 C892 192.168.0.5 ←手動で設定(Vlan1001) ■atermのポートマッピング https://dotup.org/uploda/dotup.org1480255.png ■Ping C890からAterm(192.168.0.1)へのPing成功 C890からAterm(wan側グローバルIPアドレス)へのPing失敗 LetsNotePCからAterm(wan側グローバルIPアドレス)へのPing失敗 auひかりのサポートに伺ったところ、 外部ネットワークから(wan側グローバルIPアドレス)へのPing失敗は仕様であるとのこと。 ■TeraTermでは次の設定でTCP/IPで接続を試みています。 ホスト(アドレス)→「***.***.***.***(wan側グローバルIPアドレス)」 TCPポート →23 サービス→Telnet プロトコル→UNSPCE 連投すいません。 ■C892のshowコマンド表示抜粋 >>RT1#show interface fa7 FastEthernet7 is up, line protocol is up >>RT1#show interface vlan 1001 Vlan1001 is up, line protocol is up Hardware is EtherSVI, address is 5057.a8ba.c6a8 (bia 5057.a8ba.c6a8) Internet address is 192.168.0.2/24 >>RT1#show run ! interface FastEthernet7 switchport access vlan 1001 no ip address ! ! interface Vlan1001 ip address 192.168.0.5 255.255.255.0 ! ip default-gateway 192.168.0.1 ip forward-protocol nd ! line vty 0 4 password ******** login transport input telnet ! 何か気づいた点ありましたらご指摘くださいませ。 すいません。上記修正します。 誤り >>RT1#show interface vlan 1001 Vlan1001 is up, line protocol is up Hardware is EtherSVI, address is 5057.a8ba.c6a8 (bia 5057.a8ba.c6a8) Internet address is 192.168.0.2/24 正 >>RT1#show interface vlan 1001 Vlan1001 is up, line protocol is up Hardware is EtherSVI, address is 5057.a8ba.c6a8 (bia 5057.a8ba.c6a8) Internet address is 192.168.0.5/24 アドレスのコピペ誤りでした。 すみません、ネットワーク初心者ですが、質問させて下さい。 環境: Windows7 Professional SP1 64bit /Aterm WR8300N / ANHTTPD マンションLANの固定グローバルIPサービス 状況: ANHTTPDを立ち上げ、localhostへ接続し、ドキュメントルート内のindex.htmlを表示するところまで出来ました。 (この時点で、サーバー機80番のポート開放はファイアーウォール及びルータ共に適切に設定できたと思われる) しかし、サーバ機からルータに設定した固定グローバルIPへアクセスしても、ルータ管理画面が表示されるだけで、 index.htmlが表示できません。 また、外部接続サービスを利用しても 接続が Time out する、ポート開放確認サイトでも80番ポートは開放されてないと言われてしまいます。 Webサイトアクセス試行サイト https://www.websitepulse.com/ と ポート開放確認サイト http://www.akakagemaru.info/port/tcpport.php 試行: ルータの、パケットフィルタリング、ポートマッピング、静的ルーティングなどを適切に設定したら 問題解決できそうなのですが、ちょっとお手上げです。どうかご教授お願いいたします。 ルータローカルIP: 192.168.01 サーバ機ローカルIP: 192.168.0.50 ※固定してあります ※ルータ管理画面 http://neo.vc/uploader/src/neo32036.gif http://neo.vc/uploader/src/neo32037.gif >>508 その構成であれば、ルーティングの設定は必要になると思う。 簡単なのは、クライアント/サーバのデフォルトゲートウェイを vpnルータに向けて、vpnルータのデフォルトルートを UTMに向けるって感じだけど、NTTコムがvpnルータ設定してるなら 一度その辺どうなのか確認した方が良いよ l2tpv3はL2レベルで拠点と接続する時に使う。 拠点間でL2接続されるからルーティングは当然必要無いけど 気軽にこれに変更できるってもんでも無いよ ネットワークアドレス設計とかは全部やり直しになるし そもそも拠点をL2接続するのが通信要件に合っているか 検討も必要になる >>513 UTMもNTTコムの貸与品なので多分こちらにルーティング設定がされるのかもしれません・・・ 普通に直列につないだ方がいいような気もするのですがハブで分岐させるのに何か意味あるんでしょうか・・・ PPPoE設定はUTMの方にしか入っていません > 拠点間でL2接続されるからルーティングは当然必要無いけど ルータ無しでも繋がるってことですか? 回線工事とか必要になるんでしょうか(難しそうなんで変更するつもりはないですが) >>509 atermから192.168.0.2のnatエントリを削除すれば良いんでない? もしくは優先度を下げる(数字を大きくする)とか >>512 Windowsファイアウォールを無効にして試してみた? >>509 ポートフォワードの設定で192.168.0.2に転送するルールが優先されてるから192.168.0.5に届かないだけでは? Atermのポートフォワードのルール2つ優先度を入れ替えれば通信出来ると思うよ Cat2950に変えて通信できたのは>>485 に書いてある通りあなた自身がCat2950に192.168.0.2を設定しているから >>516 さん ご指摘のように、ファイアウォールを無効にして試したところ、 外部接続サイト/ポート開放確認サイトともに 接続OK/ポート開放を確認できました!アドバイスありがとうございます!! ただ、サーバー機でルータに設定してある固定グローバルIPにアクセスしてみましたが、 こちらはやはりルータ管理画面が表示されて、ANHTTPDのドキュメントルートフォルダにあるindex.htmlは表示できませんでした ↑まぁ、これはしょうがないのですかね…? そして、ご明察の通り、ファイアウォールがWWWサーバーへの外部アクセスを遮断してるようでしたが、 ファイアウォールの送受信規則などをどのように設定したら、ファイアウォールを有効にしたまま外部から接続できるようになるのでしょうか… サーバ機の80番ポートは既に送受信とも接続を許可する設定になっています 宜しければ、この点についてもアドバイスいただきたいです。厚かましいですが、どうかあと少し宜しくお願いします >>515 >>517 ありがとうございます atermのポートマッピング について 192.168.0.5のみを残し優先度を1に格上げしました。 それでも残念ですが「ホストにせつぞくできません」と表示されてしまいます >>519 自己解決しました ANHTTPDをWindowsファイアウォールの許可に追加したら、 外部接続試行サイト及びポート開放確認サイトでも、 接続OK/ポート開放を確認できました お騒がせいたしました。どうもありがとうございました!! >>519 サーバ機からグローバルIPアドレスへのアクセスはヘアピンNATという通信になるので ヘアピンNATに対応していないルータではできない。 (確かAtermは対応していない) >>522 522さん、ありがとうございます ひとつ疑問が解消できて、勉強になりました! >>520 C892で↓を投入する。 no ip default-gateway 192.168.0.1 ip route 0.0.0.0 0.0.0.0 192.168.0.1 telnet出来ればいいだけなら↓でもよい no ip routing >>504 UTMもVPNも両方レンタルならさっさと試してみるしかない どうせ設定触れない見れないんだろうから気にするだけ無駄 図の配線が途中で分岐するとかまさかL1SWってことはないのだろうから配線がわからない なんで機器書かないのかも理解できないが こういう配線だろうって範囲では機器によって設定によってとしかわからん >>509 迷子?ゴールと道筋分かってる? 基本的な座学も分かってないみたいだし外から突くなんてCCNAよりもっと先でやるようなことで順番めちゃくちゃ 座学 -> CCENT/CCNA -> 突かれないやり方知る -> 外から突けるようにする 外から突くのはともかく、外から突かせない方がめんどくさい いまどきというかもうだいぶ前から外からtelnet突けるなんて常識的にありえない作り 踏み台になっておかしくないんで 自分が冤罪食らわないためだけでなく人様に迷惑かけないためにもやめとけ >>514 まぁ、これ以上はコンフィグも無いし、機種も不明だから何とも言えないかな UniversalOneの接続仕様やUTMの仕様の問題なのかもしれないし 設計ポリシーがそうなっているのかもしれない ただ、HUBで分岐させるのは良くやるし別に変な構成というわけではないよ 両方NTTコムが設定しているなら、NTTコムに直接確認した方が良いんじゃないか? L2TPv3を使う場合、以下の様な構成になる。 VPNルータ同士でL2TPv3セッションを張る訳だから当然ルータは必要になる [PC 192.168.0.10/24]---[VPN RT]--L2TPv3 Tunnel--[VPN RT]---[PC 192.168.0.20/24] ただ、この構成はネットワーク的には以下のような構成として扱うことができる。 [PC 192.168.0.10/24]---[SW-HUB]---[PC 192.168.0.20/24] あと、広域イーサとかのL2網を使うのであれば以下のような形でルータはいらないよ [PC 192.168.0.10/24]---[ONU]--L2網--[ONU]---[PC 192.168.0.20/24] >>524 no ip default-gateway 192.168.0.1 ip route 0.0.0.0 0.0.0.0 192.168.0.1 これで接続できました。ありがとうございました。 VLAN設定だったから、スイッチのように設定したのが誤りだったのか、、 勉強になりました。 >>525 まずはルータを外部ネットワークから接続させることが優先でしたので 慣れてきたtelnetで行いました。 C892はSSHを利用できますので、こちらの方式に変更させていただきます。 CCENT/CCNA についてはTCP/IPの座学を問われるというより、 シスコ機器取り扱い認定試験のような感じがしています。 実機を触って繋いだりする体験の方が、本を眺めるより理解しやすいと私は思います。 自宅での時間が取れないので、外からコマンドを打つ方法を思案してました。 またリモートコントロールも「CCENT/CCNA」の受験範囲であります。 セキュリティには気を付けていきたいと思いますので、理解くださいませ。 >>527 勉強する姿勢としては全然問題ないと思うぜ 教科書通り型にはまった勉強をしていくより 目的があって、その目的を実現するために 設定にチャレンジする方がよほど勉強になる >>527 実機を触ってにしろ資格本読むにしろそれなりの前提知識必須 それを欠いてるから本も眺めるしかできないんでないの? 質問からして資格本の前にもっと一般的な内容の入門書でも読んだ方が良さげ 当然実機触るのも必要だけど 人様に迷惑かける恐れがないようにってのは人しての大前提 CCNA範囲にあるからなに? その程度はできてるとでも?それで足りてると思ってるとでも? >セキュリティには気を付けていきたいと思いますので、理解くださいませ。 理解しました 力が伴わなくても思ってさえいれば どうにかなるだか許容されるだかという認識ならやめとけ ネットに繋がる時点で、もう既に危険はあるとおもいます。 ハザードの大きさとその確率とそれに対するメリットと総合的に 判断すべきことかと思います。 死ぬかもしれないから 一生外に出るな っていわれてもな >>530 他人にとっては何のメリットもないから >>531 自損事故ならどうでもいい 人をはねる位なら私有地だけにしとけという話 他人のことを思ってレスつけてるようには 全く思えないんだが。 >>533 セキュリティの素人がネットにつなぐと 他人に迷惑をかけるってのは、 ネットワーク屋には常識だけど? 素人だからここで質問してるんじゃなくて? 誰しも素人の頃があったんじゃないの?勉強の場を取り上げる権利なんて誰にもないさ。 彼にいえるのは。ただ注意してね。 っていうぐらいじゃないの? 便乗質問ですいませんが pppoeってインターネット接続する時には必ず使用される認証プロトコルなのですか? pppoe使わないとインターネット使えないとかあるのですか? >>536 いいえ。 例えば、LTEのスマホなどではPPPoE使わずに接続しています。 PPPoEは接続方法の一つにすぎません。 >>537 インターネットに接続する時はpppoe以外でも何かしらの認証プロトコルは必須という事なのでしょうか? 今まで全く意識してなかったのですが気になって… >>538 認証は必須じゃないよ。 課金や技術的な事以外(犯罪者等を特定するためとか)の目的で認証つける事も多いけど。 >>539 何のために使うのかよく分かってなかったですが セキュリティ対策というよりはインターネットに出ていく端末を制限するようなプロトコルなのですね ありがとうございました この会話、萎えるわあ。 C892がスイッチのようなルータで、萎えるわあ。 4台も買っちまった。 >>541 892は割とスタンダードな、ルータだと思うけど スイッチあるの結構普通じゃない? 上位のルータでもスイッチモジュールあるし >>541 ありがとうございます。これが普通なのですか。 多分普通が解ってない。ホントにみんながいうとおり素人なんで、、。 資格本(いわゆる黒本)のとおりに動くのが普通だと思ってるんだと思います。 ルータにIPアドレスを張ろうとすると。 Router(config-if)#ip address 192.168.10.1 255.255.255.0 % IP addresses may not be configured on L2 links FastEthernet1 これで???と思いました。 仕事されている方には気にせずに対応できるとは思いますが、 CCNA資格を受ける素人さんには、意味不明かもしれません。 ルータなのにVLANって、、、。 コマンドとか、showコマンドの表示とか変わってくるのは気になるところなのです。 早く気づいてよかった。なんとか対応考えます。 すまないです。 >>541 でなくて>>542 さん向けです。 ググってみました。C892は「L3スイッチ」といわれる、スイッチ?ルータ?ですね。 「L3スイッチ」については資格本にも記載ありました。。 これは通常のスイッチのVLANについてしっかり理解していないと、逆に混乱するかも しれませんねえ。 L3SWではなく、ルーター+L2SWだと思うけどなあ >>543 まずGE0とFE8だけ使って勉強したら? その2つはルーターポートだと思うよ >>545 あのなぁ 萎えるだのググって調べてみたただの ここはあんたの日記帳か? 892のスイッチポートで混乱するなら とりあえずFE8とGE0だけ使っとけば良いだろ 大体しっかり理解して無いと混乱するってそんなの当たり前だ 自分から「素人」なのを言い訳にすんなよ 正直このくらいの知識でインターネットからリモートアクセスさせようとするのが間違ってる 普通にセキュリティホールになりそう >>536 PPPoE自体は認証のためでなくて繋ぐため あまりそういう扱いはしないがいわゆる(VPN)トンネルプロトコルのひとつ 素性が知れないのと繋ぐのもなんなので認証もその一部 話し戻して認証が要らないのならしないのもありだけど 他人と繋ぐなら大概はなんらかの認証はする その一つがPPPoEなだけ 線の繫がり先から相手が分かってそれが認証になるなら他の余計な仕組みは要らない DC/IX直結とか専用線とかほとんどのケーブルテレビや電力系とか フレッツ+ISPでPPPoEするのは フレッツをまたいでISPをつなぐため ISPからは接続元が分からないから 数あるVPN/認証プロトコルの中でもPPPoE (PPP over Ethernet) 選んだのは ダイヤルアップ+PPPからの仕組みをベースにしたから >>550 ありがとうございます ユーザー目線では安全な通信の確立 プロバイダ目線では認証で接続元が分かるから管理がしやすい という感じでしょうか? >>55 他に一言で言い表せないからどうかと思ったけど 安全とかやっぱり誤解しちゃってるか トンネルだVPNだってのは 間をまたいでつながっているかのようにする ネットワークを延ばすだけ 改ざん検知や暗号化みたいな安全策はおまけ PPP(oE)自体はシンプルでそういうおまけがなく危険なので他の安全策と組み合わせる 電話網とかフレッツ網とかいう限られた安全とみなせる範囲だけでつかうとか フレッツ独自仕様は別にしてPPPoEだからって ユーザーには目立つメリットはないよ ISPが認証に基づいてつながせてくれるくらい ISPからしたら認証しないと管理がしにくいどころかできない >>552 プロバイダの都合で認証機能は存在すると… ありがとうございます! >>546 ,>>547 >>548>>549 ありがとうございます。「GE0とFE8」でルータを構築していきます。 セキュリティについては認識甘いでした。 現状は以下の状態です ・通信はsshで行う。 ・通常使うpcと実験環境は異なるネットワークにおく。(elecomWIFIで分ける) ・実験環境はシスコのルータかスイッチしか置かない。(PCとか置かない) あと ・ポート番号はアンノンウェル番号に変更する。 ・グローバルIPアドレスは定期的に変えてもらう。 と今後対応とりたいと思います 調べないと解らないのですが、Atermにアクセスリストなような機能があれば 実験環境からelecomWIFIへのフレーム転送を阻止したいです。勉強にもなりそうです。 厳しい突っ込みは、先輩方の経験上の貴重な注意として受け入れたいと思います。 ただ、やめろとかは言わないでくれるとありがたいです。 実験はCCNAとれるまでは続けたいと思います >>554 L2とL3の理解は正しくできてるかな。 理解できてなければ、ルーター設定やVLANの勉強は早すぎる。 AtermってLANにセパレータあったっけ? 守るならelecomWiFi側でだと思うのだけど、 まさかelecomWiFiがルーターモードでなくてAPモードとか言わないよね… >まさかelecomWiFiがルーターモードでなくてAPモードとか言わないよね… ElecomWIFIの設定はデフォルトのままですが、繋がっているPCで ipconfigを調べてみますと、Atermとはサブネットが違いますので ElecomWIFIはルータとして働いているかと思います。 >L2とL3の理解は正しくできてるかな。 TCP/IPの理論的なものは理解してます。TCPヘッダフィールドとか頭に叩き込んでいます。 あ、もちろんL2とL3はOSIモデルのレイヤというのもわかります。 VLANとかアクセスリストの概念はなんとなくわかるという感じです。 資格本を中心に勉強を進めていくと、理屈というより、コマンド操作手順や showコマンドの読み方になりますので、本だけでは理解できなくなりました。 頭でっかちでしたけど、もう頭に入らなくなりました。 それでシスコという名のつく中古の実機を買い漁りはじめた状態です。 ですのでC892の背面をみても、「これが何のポートなのかさっぱりわからん。」というの事はあります。 とにかく繋げて、資格本を見ながらコードを打ってみるという手探り状態です。 でも実機を触ると概念的なぼんやりしていた件がくっきりと理解してくるのは確かなので、 このやり方は続けたいと思います。 >理解できてなければ、ルーター設定やVLANの勉強は早すぎる。 まあ、今日は早速、ルーター設定してみました。ついでに2台のルータを繋げて show ip route や show cdp neighbors とかを表示させたりしました。 設問ではよくみる表示なのに、コマンド出したのは初めてだったのでちょっと感動しました。 VLANは管理VLANでipアドレスを登録したぐらいですね。自分もまだちょっと先の勉強かと思います。 まずは、4台あるルータを繋げてルーティングしてみます。 全くの素人から独学でCCNAを目指すと、ネットワークについては確かにちぐはぐな知識になっています。 そのうち平準化されるとは思いますが。 大抵はインタフェースに no switchport を入れてやればRouted Portとして動くけどな >>556 ルーターだけつないでもいまいちわからんだろ……… 取りあえず各ネットワークに色んなサーバ立ててみることもおすすめしとく。 皆さん自宅LANにVPN接続する時はどう言う用途で使ってますか? VPN環境作りたいなあと思いつつ自宅のLANに繋いでも特にする事ないので結局試してません 何か有用な活用方法ありますかね >>561 普通は目的があるからVPN環境を作る訳だけど VPN環境を作るために目的を探すのは何かおかしくないか? ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる