ネットワークに関する疑問・質問 Part34

[1 名無し勉強中大学生 2018/05/23(水) 21:23:16.62 ID:???]

マルチポスト禁止
http://www.ippo.ne.jp/g/71.html

質問と一緒に書くこと：
　 ・ 環境（OSのバージョン、機器やソフトウェアの名称）
　 ・ 状況（エラーメッセージ、場所の名前など）
　 ・ 試行（やったこと、調べた内容など）

質問はage進行

名無しの質問者が追記する場合は
名前欄に最初の書き込み番号を入れること

回答が書き込まれたら
後学のために結果を書いておくことを忘れない

前スレ
ネットワークに関する疑問・質問 Part33
http://mevius.5ch.net/test/read.cgi/hack/1509772917/

[2 名無しさん＠いたづらはいやづら 2018/05/24(木) 20:05:05.45]

新スレいきなりで恐縮ですが。。教えて下さい。
うちの会社の2つの建物でそれぞれインターネット契約しています。
2つともNTTフレッツです。

この2箇所でファイル共有したいのですがクラウドではなく
PC内のファイルやプリンタを使えるようにしたいです。
これはVPNで可能なのでしょうか？

また、VPNはフリーソフトのものとどこかに契約するサービスがあるようですが
それぞれ有名どころを紹介していただけませんでしょうか？

[3 KAC 2018/05/24(木) 20:24:22.23 ID:???]

>>2
VPNで可能ですが、建屋間で通信した方が良いのでは？

[4 2 2018/05/24(木) 20:36:33.53 ID:???]

>>3
レスありがとうございます。
建屋間で通信というと具体的にどのようなことでしょうか？
なにか別の契約が必要なのでしょうか？

[5 名無し 2018/05/24(木) 23:24:10.32 ID:???]

>>4
そういう要件で良く使うのを何点か

1.　建屋間を光またはUTPケーブルを直接引く
　　　距離が近ければ直接線を引いてしまうのも手
　　　ただし道路跨いで引くとか、私有地通るとかする場合はしかるべき所の許可が必要なので面倒かも

2.　WiFiで接続する
　　　同じく距離が近ければWiFiも使える。
　　　距離がそこそこ遠い場合も指向性アンテナとかを使えば電波届くかも
　　　http://buffalo.jp/products/b-solutions/network/building.html

3.　インターネットVPN
　　　両拠点ともインターネットプロバイダの契約が必要
　　　できれば固定IPアドレスの契約の方が良い
　　　YAMAHAとかCiscoとかのVPNルータ買っても良いし
　　　SoftetherとかOpenVPNとかのソフト使っても良いしお好みで

4.　フレッツVPNワイド
　　　NTTの閉域網を使用したVPNサービス
　　　今ある回線がフレッツとの事なので
　　　https://flets.com/vpnwide/

5.　フレッツ網内のIPv6折り返し通信
　　　フレッツv6オプションが必要
　　　IPv4通信が必要ならこれでVPN張っても良い
　　　https://flets.com/v6option/

[6 むむむ 2018/05/25(金) 01:41:16.00 ID:???]

>>2

>>3が言ってるのはおそらくその2つの建物の位置が物理的に近い場合の話だと思う。
屋外配線で有線でつなぐとか無線で中継させるとかそんな話だと。

おそらく>>2が言ってるのは異なる回線契約の2つの建物位置が全く別の所にあるってことだと予想して、
そんな場合はVPNを使うしかない。
VPNには拠点間接続VPNとリモートアクセスVPNとある。

■拠点間接続VPN
それぞれの建物(営業所等)にそれぞれからファイル共有させたい場合

■リモートアクセスVPN
建物Aのみにファイルサーバがあり、そこに建物Bからアクセスしたい場合

いずれをやりたいかで環境構築(設定すべきサーバアプリ)が変わってくる。
リモートアクセスVPNは一般的に自宅から会社にアクセスさせるなどの用途で使われる。

[7 むむむ 2018/05/25(金) 01:45:27.42 ID:???]

>>2
まずはこれを見て
https://ja.softether.org/4-docs/2-howto/1.VPN_for_On-premise/3.LAN_to_LAN_Bridge_VPN

拠点間接続VPNとリモートアクセスVPNの図を見て概念を掴んでほしい。

[8 2 2018/05/25(金) 08:35:13.60 ID:???]

皆さん、ご回答ありがとうございます。
思っていたより難しそうなお話なんですね。
自分で出来ることでは無さそうなのでやはり業者に頼むのかな。
>>5さんの3番が一般的な方法で拠点間接続VPNとリモートアクセスVPNを
選べるということなのかな？さらに簡単な方法としてフレッツVPNワイドも選べそう？
フレッツVPNワイド以外で大手業者に頼むとしたらNTTコミュニケーションとかでいいのかな？
とりあえず>>7さんのリンクを読んできます。

[9 名無し 2018/05/25(金) 09:17:10.00 ID:???]

>>8
ちなみにフレッツVPNワイドはVPNルータと併用で
子拠点のインターネットプロバイダ契約無しにも出来るよ
子拠点のインターネットは親拠点経由でアクセスするって感じに出来る
パフォーマンスは落ちるかも知れないけどね

VPNルータの設定に自信が無いなら
確かNTTが設定済みのルータレンタルするサービスもしてたと思う

コムの場合はArcsterとかになるけど、結構いいお値段だった気がする

[10 ひろゆき 2018/05/25(金) 10:53:55.06 ID:???]

ONU→　�@無線ルータ　→　�Aスイッチングハブ

�@に接続しているPCと
�Aに接続しているPCとではIPアドレスの頭が

192から172といった具合に変化します。
スイッチングハブをかませると自動でIPが変更されてしまうのでしょうか？

[11 名無し 2018/05/25(金) 13:36:12.10 ID:???]

>>10
�@の無線ルータの型番と
�Aのスイッチングハブの型番は何？

あと、それ以外にネットワーク機器が接続されてたりしない？

[12 KAC 2018/05/25(金) 13:44:41.28 ID:???]

>>10
質問に対する答えはNO

スイッチングハブなら、IPアドレスに関する仕事はしない。

それぞれ割り当てられたときのDHCPサーバーのIPから
どの機器が動いたのかみたら大体解ると思う。

[13 ひろゆき 2018/05/25(金) 18:26:23.73 ID:???]

>>11 >>12
ありがとうございます。
今離れた場所にルータとかおいてるので今度確認してみます。

IP・サブネットマスクあたりの知識が浅いので
勉強しようと思っていますが、どのあたりの資格勉強をすればよいでしょうか？

[14 KAC 2018/05/26(土) 02:07:18.04 ID:???]

>>13
資格とかそんなレベルの話じゃ無い。
とりあえず、
　書籍　マスタリングTCP/IP
あたりを熟読すれば理解できるかと。

[15 ひろゆきりんりん 2018/05/26(土) 09:30:26.88 ID:???]

>>14
サンキュー勉強しまっす！

[16 名無しさん＠いたづらはいやづら 2018/05/26(土) 12:15:53.23 ID:64nLq7Sx]

会社所有のビルで1階が事務所、2階〜4階がマンションとなります

1階にはフレッツ光ネクストが開通しており、プロバイダと契約してインターネットも開通しています

今回、2〜4階の居住者向けにWi-Fiアクセスポイントを設置することになったのですが
この分についてのインターネット回線について質問です

1階の事務所で使用している回線を流用すると、居住者の使い方によってはトラフィックが
圧迫される恐れがあるため別の回線を準備しようということになりました

この場合
(1) もう1本光ファイバーを引き込んでONU---ルータ-----Wi-Fi AP（各フロアに1〜2台）

(2) 光ファイバーは既存のものを使い、プロバイダ契約をもう1回線増やし、
ONU----SWハブ--------事務所ルータ（PPPoE設定A）
　　　　　　　　　　　--------居住者用ルータ（PPPoE設定B）-----Wi-Fi AP（各フロアに1〜2台）

の2通り方法があると思いますが、トラフィックの観点では(1)までやる必要があるでしょうか？
それとも(2)のようにスイッチングハブで分岐させて2台のルータを設置する方法で十分でしょうか？

[17 17 2018/05/26(土) 19:03:58.65 ID:rVXuxAyD]

何の気なしにwindows10でパケットキャプチャしてみたら、1分おきに我が家のルータ(バッファローWSR300HP/N)からARPが飛んできてるんだけど、多すぎない？しかもLANの全ホストのMACアドレスを聞いてる。

[18 名無し 2018/05/26(土) 19:41:39.92 ID:???]

>>16
その質問内容だけでは新規回線を引く必要性の有無は判断できないよ
会社業務をするに当たってのインターネット回線の重要度がわからないしね
業務への影響を絶対に出したく無いなら(1)で新規回線引く方が無難

あと、(2)案で行くなら居住者用ルータで帯域制限をかけるってのも考えられる。
例えば居住者の利用は20Mbps迄に制限するとか

[19 名無し勉強中大学生 2018/05/26(土) 19:43:42.09 ID:???]

アドバンスドモードのネットワーク解析がオンになっているからかな

[20 ななし 2018/05/26(土) 23:34:25.96 ID:???]

デフォルトゲートウェイを同一サブネット内のホストPCに設定した場合外部とは通信できなくなるのでしょうか？
デフォルトゲートウェイはルーターもしくはL3スイッチ内のインターフェイスでなければならない理由があれば教えて下さい

[21 名無し 2018/05/27(日) 02:40:47.81 ID:???]

>>20
デフォルトゲートウェイに指定した同一サブネット内の「ホストPC」が
ルーティングできるか(ルータとして動けるように設定されているか)どうかによる。

ルーティングできる場合は通信できる(可能性がある)
ルーティングできない場合は通信できない

IP通信を行う場合

　・宛先IPアドレスが同一サブネット内であれば、相手のMACアドレスに直接送信する

　・外部ネットワークだった場合、ルーティングテーブルを参照し、そのネットワークのゲートウェイになっている
　　ルータのMACアドレスに送信する

　・デフォルトゲートウェイを設定している場合、ルーティングテーブルに他に該当する物がない場合に
　　デフォルトゲートウェイのルータのMACアドレスに送信する

　・デフォルトゲートウェイが設定されておらず、ルーティングテーブルに該当する物もない場合は
　　送信せずに破棄する

という動きをする。

[22 名無し 2018/05/27(日) 02:41:23.63 ID:???]

>>20
次に上記でゲートウェイとしてパケットを転送された機器がルータであれば

　・宛先IPアドレスが自分の配下のネットワークであれば、宛先に直接転送する
　・違う場合はルーティングテーブルなどに従い、次のルータに転送する
　・ルーティングテーブルに該当がない場合は転送せずに破棄する

という動きになり
もし、ゲートウェイとしてパケットを転送された機器がルータでない場合は

　・宛先IPアドレスが自分の持つIPアドレスでは無いため、受取らずパケットを破棄する

という動きになる。

[23 anonymous 2018/05/27(日) 21:01:20.74 ID:???]

そのままだと戻りの通信が直接戻るから適宜送信元NATも必要になる

訳あって仕方なくそうするしかないときは
Linuxでiptables使って通信をこねくり回す

[24 m 2018/05/27(日) 21:55:45.77 ID:???]

最適なMTU調べようと思ってDF立ててping打ったんだけど、数分のうちにコロコロ変わるのってなんでかな……適切なMTUって1514から特殊なヘッダ分引いた値だから、固定じゃないの？

[25 名無しさん＠いたづらはいやづら 2018/05/28(月) 11:26:04.73 ID:???]

>>18
どうも有り難うございます
絶対にというわけではなく居住者全員が巨大なファイルをダウンロードした場合などに
事務所で極端にネットスピードが落ちることを懸念しているだけです

そもそもONUからハブで分岐してルータ2台に別のPPP設定・・・っていうのが可能なのかどうかも
分かりません

[26 名無し 2018/05/28(月) 12:20:28.55 ID:???]

>>25
まず、ONUをハブで分岐してルータ2台で別々のPPPoEって構成は可能

WiFi利用者がどう言う使い方するかは分からないから、事務所のネットスピードへの影響の心配も正解

(1)は回線費用の負担は増えるけど、何も考えなくて良い

(2)は前述の通り影響が読めない
>>18の通り、機器の設定で制限をかける事は可能
ただしそういう機能を持った機器を用意する必要がある

[27 名無しさん＠いたづらはいやづら 2018/05/29(火) 11:37:15.76 ID:OcVHv88s]

>>26
有り難うございます

もう1本光ファイバー引くことにします

[28 名無し 2018/05/29(火) 12:31:28.88 ID:???]

机上演習ですが、｢PC200台のネットワークをシスコで組むのに何日かかる？｣って言われたら何を考慮したらいいのですか？
VLANとか条件いわれてなければ一番単純なのは初期設定とPPPoEだけで半日くらいですかね？
皆さんならどういうことを考慮して何日と答えますか？

[29 root 2018/05/29(火) 15:01:25.47 ID:???]

>>28
そんなの要件次第だよｗ
逆に聞くけど要件なしに何をどうやって導入するの？

[30 名無し 2018/05/29(火) 15:39:27.95 ID:???]

>>29
レスありがとうございます。
僕も必要な設定によると答えて自分の経験でまったく別の規模と要件の見積もりで答えた。
でもあれだけ端的な質問にはそれなりの意図があってそれを汲み取れる知見があるかを試されたのかなと。
それでこちらで聞いてみた次第です。
200台となるとなにか考慮しなきゃなのかなとか。部署とか条件にないし、コリジョンドメインくらいしか思いつかないけど。

[31 名無しさん＠はげづらはいやづら 2018/05/29(火) 18:32:30.98 ID:???]

ネットワーク設定だけだったらそんなにかからないけどpcを200台搬入と設定(osインストールとか)を考えたら結構かかりそう
物理的な搬入とかは考えなくてもいいのかな

[32 28 2018/05/29(火) 19:36:11.81 ID:???]

>>31
PCのキッティングなどの時間はは度外視でよろしいかと思います。
あくまでも200台でインターネット及びLAN内で通信するのに必要な
ネットワーク環境だけ整える前提だけかと。

VLANとか言い出せばキリがありませんがそういう条件なしに
「あなたに頼んだらどれくらい？」という感じかと。
もしかしたら>>28の質問の仕方で要件をどこまで聞き返してくるかを知りたかったのかもですが。

[33 名無し 2018/05/29(火) 21:25:29.14 ID:???]

>>32
まぁそう言う聞き方されたらまず要件を確認したくなるわな
工数を問われてるなら工数に関わる部分は押さえておきたいよね

[34 KAC 2018/05/29(火) 21:45:33.23 ID:???]

>>28
何日という単位でかかるのは、
機材の手配や、責任者との調整・承認あたりくらいでは？

[35 名無し 2018/05/30(水) 09:20:26.07 ID:???]

>>34
「PC200台のネットワークをシスコで組むのに何日かかる？」だけでそう判断するのは凄い危険だと思うけど

[36 sage 2018/05/30(水) 09:40:36.24 ID:???]

(仮想)PC200台をCisco (UCS)で組む話じゃないの？

[37 KAC 2018/05/30(水) 16:05:21.88 ID:???]

>>35
「工数」や「時間」ではなく、「期間」をきかれてるから。。。
作業時間よりも外的要因の方が支配的だと判断してみた。

[38 名無しさん＠はげづらはいやづら 2018/05/30(水) 16:16:11.05 ID:???]

シスコの機材でネットワークを組むというよりシスコ社にネットワークを組んでもらったらどのくらいの日数がかかるんだろうという質問だったりして

[39 名無し 2018/05/30(水) 18:48:33.11 ID:???]

>>38
Ciscoは構築請負とかはしてなかったと思う

[40 独学実践 2018/05/30(水) 23:42:33.57 ID:???]

うちの会社は従業2名で
ルーターにYAMAHの中古も変えない貧乏会社です。
社長がAtermの1万程度のWG1900HP買うのに高けえなんてほざいています。
ドケチ会社です。賞与はありません。
CentOS使って事務所サーバ構築するのも従業である俺が一人で独学で行います。

[41 独学実践 2018/05/30(水) 23:44:46.33 ID:???]

うちの会社は従業員2名で
ルーターにYAMAHAの中古も買えない貧乏会社です。
社長がAtermの1万円程度のWG1900HP買うのに高けえなんてほざいています。
ドケチ会社です。賞与はありません。
CentOS使って事務所サーバ構築するのも従業員である俺が一人で独学で行います。
俺一人にすべての負荷がかかります。

[42 名無しさん＠いたづらはいやづら 2018/06/01(金) 09:50:07.02 ID:???]

社長が親父じゃなくて他人だったら
さっさと転職したほうがいい

独学は全て無駄になる

[43 名無しさん＠いたづらはいやづら 2018/06/01(金) 12:12:21.04 ID:???]

拒否すればいいのに

[44 独学実践 2018/06/01(金) 19:51:45.94 ID:???]

>>42
社長は親父ですw

[45 mimi 2018/06/01(金) 23:33:30.74 ID:pffKNwUK]

[pc]---------[server]------?internet?

PCのipconfigで調べると
winPC 　　192.168.23.14/24
dhcpサーバ　192.168.23.254
defaultGW 192.168.23.254/24
が表記されました。この設定でinternetと繋がります。

この構成の中に[CiscoRoter]を間に挟みたいです。
[pc]--------f1[CiscoRoter]f0--------[server]------?internet?

f0ポートをWinPCの192.168.23.14を勝手に借用して
f1ポートを172.16.0.1/24とします。
デフォルトゲートウェイを192.168.23.254と設定して
pcを172.16.0.2/24と設定すれば、pcはinternetに繋がりますか?

それともdhcbサーバからf0に対して配布してもらう設定が必要でしょうか？

[46 名無し 2018/06/02(土) 00:06:37.21 ID:???]

>>45
PCのデフォルトゲートウェイを172.16.0.1に指定すれば
おそらくつながる。

ただ、インターネットのゲートウェイやってる[server]で何らかの制限をする設定が入ってないことが条件かな

例えばDHCPでIPアドレス払い出してない端末は通信を許可しないとか
192.168.23.0/24以外を通さないアクセス制御してるとか
NAPTするソースが192.168.23.0/24に限られてるとか

[47 mimi 2018/06/02(土) 00:48:55.69 ID:0dPs524a]

ありがとうございます。CiscoのルータにDHCPのクライアントになれる設定が
あるようですが、それだけでこれで正式に[server]からアドレスをいただけますか。
ちなみにこの[server]に直接設定などできる権利はありません。

[48 名無し 2018/06/02(土) 00:52:23.46 ID:???]

>>47
ごめん、それだと[server]に戻りのルートを入れられないから通信できないな
[CiscoRoter]で172.16.0.0/24を192.168.23.0/24にNATかNAPTする設定を追加で入れないとだめだね

[49 mimi 2018/06/02(土) 01:07:29.73 ID:0dPs524a]

ありがとうございます。単純にルータを繋げて、インターフェイスを設定すれば
できるかなと思ったら、NATやPATの利用になりますか。。

ありがとう。やってみます。

[50 length 2018/06/03(日) 21:57:10.50 ID:???]

昨日引っ越したマンションの無料回線が288kbyte以上のものをアップロードできないことに気づいたんだけど、そんなことありえる？

[51 名無し勉強中大学生 2018/06/03(日) 22:09:40.34 ID:???]

V.34規格かよｗ
とりあえず帯域制限とかあるかもしれんし光じゃないなら非対称で上り速度しめてるかもしれない。
その無料回線ってのが光（FTTH）かそうじゃないか諸々かかないと把握できない
実際起きてるんだし、管理人に無料回線に関する要項とか請求すればいええやん
っていうか入居時に許諾書とかそういうの貰わんかったの？

[52 名無し 2018/06/04(月) 08:25:04.70 ID:???]

>>50
うーん、何だろうね
プロキシサーバとかが間に入ってたらそう言う制御も出来るけどね
ただ、マンションとかの回線でそんな事するかなぁってのはある

[53 length 2018/06/04(月) 19:21:00.49 ID:???]

無料回線は部屋の口は(当たり前だが)メタルで、プロバイダは光を担いだとこなので、マンションまでは光のはず。。。で説明になってるかな？
>>51 マンションの管理会社に問い合わせたらルータが古いからって理由でプロバイダごと変えることになったけど、理由が気になって。
>>52
キャプチャしたらダウンロードのときもackが返せてないのか、だんだん低速になっていって止まることが判明した笑

[54 名無しさん＠いたづらはいやづら 2018/06/04(月) 21:14:58.08 ID:???]

ここスレか無線LANの質問スレだったかで過去にマンション側が用意してるネット環境の大元のルーターがコレガの安い評判の悪いやつ使われてたって話思い出すなあ
しばらく経ったらネット出来なくなって定期的に業者に電話して直して貰ったという話

[55 hogehoge 2018/06/06(水) 05:13:06.75 ID:???]

ベストはspiをオンにして、ファイアウォールとnatを設定することによって、
内部のサーバにパケットを到達させることですが、

spiを無効にして、natだけ書く場合とどのような安全面で違いはありますか？
spiが無効であれば、公開サーバはあまり関係が無く、古くなり脆弱性が発見されたルータに対しての攻撃がデフォルトで受けてしまうぐらいでしょうか。

[56 γ 2018/06/08(金) 10:49:59.92 ID:???]

httpsの通信なら、傍受は基本されませんよね？
具体的には、会社のLANに繋いだパソコン(許可された私物)で、
Yahooメールとかみた時に、内容が把握されてしまうのかどうかを知りたいです

[57 名無しさん＠いたづらはいやづら 2018/06/08(金) 12:07:45.86 ID:???]

>>56
通信自体からはまあまずされないね
ただそのPC自体に監視ソフト的なものを入れられてなければいけばだが

[58 58 2018/06/09(土) 10:24:59.36 ID:???]

ネットワーク図
https://i.imgur.com/Hmos6T9.jpg

パケットフィルタ設定(WG1900HP)
https://i.imgur.com/sujhHZR.png

PC2を制限したい事
(1) インターネットをさせない

(2) ネットワークプリンタを利用させる

(3) ネットワークプリンタ以外のLAN内の全ての端末にはアクセスさせない。

図のようにルーターにパケットフィルタを設定すると
(1)と(2)はできたのですが、
LAN内の全ての端末にはアクセスできてしまい(3)ができません。
(ルーターにはアクセスできない)

これに加えて(3)も制限として加えたいのですがどう設定したらいいですか？

そもそもこの配線じゃ(1)(2)(3)の制限を全て満たすような設定をルーターのみで行う事は無理でしょうか？

Atermスレで聞くかネットワークスレで聞くか迷いましたがこちらに来ました。

[59 59 2018/06/09(土) 10:29:22.13 ID:???]

>>59の訂正
パケットフィルタ設定(WG1900HP)
https://i.imgur.com/EUn5vsl.jpg

[60 58 2018/06/09(土) 10:45:35.12 ID:???]

>>59は>>58の間違いです。

[61 名無し 2018/06/09(土) 10:51:44.01 ID:???]

>>58
配線の問題ではなく、この機器構成では無理

この構成でPC2を制限したいのであれば、
　ルータをもう一台用意してネットワークを分ける
　マルチプルVLANが使えるHUBを用意してPC2を隔離する
　上記のことが1台でできる高機能なルータに買い替える
とかが必要になる

[62 名無し 2018/06/09(土) 11:00:35.86 ID:???]

>>56
基本的にはhttpsの通信内容まで把握できないけど、どこのサイトにアクセスしてるかまでは把握できるよ

あと、会社のゲートウェイとかでhttpsプロキシ使って通信を中継されると傍受はできる
ただ、そういう環境ではパソコン側にhttpsプロキシの証明書を入れないと証明書エラーになるので
httpsプロキシを使用してるかはすぐにわかるけどね

[63 58 2018/06/09(土) 11:04:38.08 ID:???]

>>61
ありがとうございます。

[スイッチングHUB]→[ルーター]→[PC2]

このように間にもう一台ルーターを挟んで、
PC2からはネットワークプリンタへしかアクセスできないようにパケットフィルタ設定するしか無いってことですよね？

[64 名無し 2018/06/09(土) 11:07:41.60 ID:???]

>>55
NAT/NAPTは通信をセッション単位で制御しない(単純にIPアドレスやポート番号だけでフォワードするか決定する)けど
SPIの場合は通信セッション単位で制御するからより安全性が高いよ