YAMAHAヤマハブロードバンドルーターpp select 23©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
ヤマハルーターを個人で使用する人のための情報交換スレッドです。
旧ネットボランチシリーズと、その流れを汲むNVR500を主な対象としていますが、
RTXシリーズなど企業向けの機種に関しても設定方法や使い方、
ハードウェア寄りの話題はこちらで扱います。
個人使用の範疇を超える内容や業務用ネットワークの構築・運用に関しては
通信技術板の「YAMAHA業務向けルーター運用構築スレッド」へお願いします。
http://mao.2ch.net/test/read.cgi/network/1501976932/
両スレッドを臨機応変に使い分けていきましょう。
ルーター - ヤマハ株式会社
http://jp.yamaha.com/products/network/routers/
ヤマハルーターの技術サイト
http://www.rtpro.yamaha.co.jp/
ネットワーク周辺機器 - ヤマハ株式会社
http://jp.yamaha.com/products/network/
前スレ
YAMAHAヤマハブロードバンドルーターpp select 22
http://mevius.2ch.net/test/read.cgi/hard/1485617399/
過去スレは、まとめWikiを参照してください。
まとめWiki
http://wikiwiki.jp/yamaha-rtpro/ ちなみに自分が管理してる複数のルータにも同様のアタック来てるよ どれどれと思ったら、我が家にも trunk@ 来てた ip filter 41 pass * 192.168.100.1 tcp * 5060
nat descriptor masquerade static 1000 2 192.168.100.1 tcp 5060
こんな感じでTCP(5060)をフォワードする設定が入ってると思うけど
これ使わないから削除したら良いよって教えてもらった 俺の家にも trunk@ 来てた
発信元のIP調べたら185.107.83.135だったw
inetnum: 185.107.83.0 - 185.107.83.255
netname: NFORCE_ENTERTAINMENT
descr: Serverhosting
org: ORG-NE3-RIPE
country: NL → (オランダ) >>631
なるほどサンクス
思わず以前弄った設定のせいかと初期化したら治った
>>634
ちとやってみる 628さんのSIP SPAMうちもやられてて、
いつもはアタック受けても平気だったのに
今回はネットボランチ電話が不通になった。
何か対策したいんだけど、5060/udp塞い
じゃまずいんですよね? 外から突けるサーバを晒してるなら突かれるのはある意味当然
有名なんで詳細は省くけど何年も前からある手口で
都合いいSIPサーバは金になるんで突く方も駄目元で探して突く
突く方の目的はDoSでない方が多いだろうけど
固まらなくても突かれ続ければずーっと話中みたいな実質的にサービス停止もありえる
諦めてフルオープンか外にFWで絞って知れた所だけかのどちらか >>640
さすがにそれは最低限やっての話かと
>>641
ログ取れば分かると思うけどudpで来てるよ
そちらで観測してるのとは別かもしれないけど ログを見ると今回TCPで来てるのが応答を返す途中で止まってるのよ
だから電話ができなくなるのはTCPの方かなと思った (`皿´)ウゼー
二日で100件のsip:test@が来てるから試しに5060両方塞いだった
これで様子みよ NVR510+小型ONUにしたら、ONU、HGW、050アダプタが1台にまとまって満足した >>566
>>563ですが無事設定完了して
使用・起動できることを確認しました
どうもありがとうございました nvr510を毎月1回自動で再起動させたいのですが
schedule at 1 */1 03:00 * restart
このコマンドで合ってますか? そんな便利コマンドが!!!!1
((((φ(=_= )パクッとくか NVR510はipv4pppoeパススルーできますか? >>655
YAMAHAはPPPoEブリッジには対応していないよ。 パススルーしなくたってNVR510にIPv4 PPPoEも他のも全部やらせればいい さて、RTX1210でipv6につながらないヘボが通りますよっと。
ヤマハのテンプレにNTTしかないってのが手抜きだよなー >>660
違うかもしれないけど参考まで。
http://mevius.5ch.net/test/read.cgi/hard/1485617399/344
344 不明なデバイスさん (ワッチョイ) sage 2017/04/08(土) 09:52:29.48 ID:OcURdRWM0
NVR510でv6プラスとIPv6 IPoEの共存できた〜
ipv6 routing off と ipv6 lan2 address で ra-prefix@ を使わないようにしたら通ったよ
http://kiriwake.jpne.co.jp/
結果 :OK : All-OK(v6プラスBBR)(5999)
試験1〜6と10がOK
以下、NVR510 Rev.15.01.06 設定の抜粋
http://i.imgur.com/1t1LiHB.png >>655
HGW----LAN1/Router/LAN1----PC等
ip lan1 address xxx
pp select 1
pppoe use lan1
正確にはブリッジじゃないけど、これは出来てしまう ウチの会社は、富士通・日立・三菱・CISCO・NECやな >>660
ipv6目線だとNTTのフレッツのパターンで2/3網羅してそう。
RAの/64とDHCPv6-PDの/56,/48など。
ケーブルテレビとかである/128払出しなのかな? >>668
2018年は評判の悪い無線APの後継機を出しても
RTXやNVRの新機種は出さないのか なんたってネ申ルーターのNVR510が出たばかりだもんね! NGN直収時のひかり電話では、050等とのSIP接続時と同じく
識別着信拒否(迷惑電話番号を登録してブロック)は出来ないという公式回答を得ました。
上位から発信者番号は降ってきているのだから
何とかファームで対応してほしいですねぇ キャリアアグリゲーション対応のNVR710Wとか出されても既存ユーザーが怒るだけだしなw NVR500でフュージョンスマートトークとかODN-IPフォン使えなくなった?
3017で着ビジーエラーが出ている 三日前にルーター再起動してから、不正アクセス検知がパッタリ止んだんだが、
あれだけ毎日数件はあったのに一つもなくなると逆に怖い ガクガク(((n;‘Д‘))ηナンダカコワイワァ >>669
無線APがどうにも糞っぽいんだよな。
出力弱いように感じる。 >>682
駄メルコ・バッキャローも似たようなもん 屋外利用が許されてるW56は出力が強いからそれを使うとか
帯域幅を80MHzから40・20MHzに変更するとかしてチューニングしてみたら 認定なんてガン無視でブースターとアンテナ自作
最強 アンテナで電波を増幅することになるの?
ブースターとかじゃなく 指向性が高いアンテナを双方で使えば、送信出力と受信感度が上がった状態となるよ。
普通のAPは無指向性アンテナ。
AP側だけとか端末側だけじゃダメだぞ。 電波の総量は変わらないから指向性の範囲外は却って減るけどな。
それ以前に自作アンテナはインピーダンス不一致で効率落ちまくるだろうけどな。 >>694
そういうのって数10個の子機があっても役に立つもんなの? >>695
MU-MIMOだろ?
それぞれの子機の方向で電波強くなるよう位相調整するよ。
何台の子機に対応できるかはCPUやDSP、メモリに依り、家庭用だとせいぜい10台。
シスコとかエンタープライズ用だと100台くらい捌けるのもある。 WLX202用最新版ファームウェア(Rev.16.00.13)の配布開始
:WPA2プロトコルの脆弱性対応、および各種バグ修正 現在はハブでRTX1200とONUを並列に繋いでIPoE IPv6とひかり電話だけONUがやってる
RTX1200の下にONU付けてひかり電話使うことって可能? 昼過ぎにTLで流れて来たけど
少し前 >>628- 付近で話題に出たSIP攻撃への対応策として海外IP全拒否だとさ
http://d.hatena.ne.jp/wakwak_koba/20171128
日本のみpassじゃなくて、日本以外をreject
というフィルターを公開してるぽい。
必要な人は頂いていったら? すげぇ力技でワロタ
帰ったら試してみようと思うが、サブネットマスク /3 なんて指定できるのか?
それ以前に、あんな巨大なconfigを本当に吸わせて大丈夫なんかよ 何で日本のみpassじゃないんだろ
rejectの自動化目処はあるって話だからそこに関連してるのかな >>700
中身覗いてみたけどなんか拒否アドレスが足りてない気がするぞ
個々を詳細には調べてないから分割されてる広範囲はマージしてあるのかもしれないが
これなら日本だけ許可した方が良さそうな気がする
>>701
うちの鎖国フィルタ仕様なFWX120用は135KBほどあるがまだまだ全然余裕あるぞ でもこのフィルターリスト、
hogehoge@(自分のWAN側アドレス)
みたいにアドレス詐称してくる攻撃には
無力な気がするんだけど。 >>704
それSIPレベルで名乗ってるアドレスで実際のアドレスは違うし
本当に自分のアドレスになってるなら別のフィルタで弾かれるはず >>701
日本に割り当てられていないipアドレス帯を/8のブロックでまとめると、 もう少しすっきりしそうだね。 >>699
ONUとHGWを勘違いしてるような?
まぁRTX1200の下にHGWは無理 >>707
OptionポートがあるHGWなら無理やり出来なくもない。 map-eとかpppoeパススルー対応してくれよ
nvr500,nvr510,rtx1200,1210,810,830くらいは対応してほしい
余裕があればrtx1100,rt58iもお願いします
WXR-1750DHP2 9800円 map-e ipv4 ppoeパススルー
WN-AX1167GR 5500円 map-e対応
このレベルでも対応してきてるんだから
頼みますyamaha様!!!!! WLX402用最新版ファームウェア(Rev.17.00.09)配布開始
:無線LAN見える化グループビューと 無線LAN見える化APマップの追加およびWPA2プロトコルの脆弱性対応 ip pp intrusion detection in on reject=on
ip pp intrusion detection in default on reject=on
この2つの記述って違いがあるのかな?
コマンドリファレンスみたけどよくわからなかった。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_interface_intrusion_detection.html 上は機能自体をonして破棄するかどうかのオプションon
下は明示していない各プロトコルでの検出をonにしつつ破棄するオプションon
って所かな?下をoffに設定すると機能は始動するけど検出しないと思う 上、全て
下、個別type指定優先でその他
じゃない? >>706
昨夜NVR500で試したら、とりあえずセットは出来たが
肝心のSIP攻撃が来ないと確認ができない・・・
アドレスが合ってるのか莫大すぎて精査する気が起きないんだが
ほんの最初のほうだけ確認してみた。
とりあえず /8 単位で言うと、日本は 1.0.0.0 と 14.0.0.0 の中に割り当てがあるぽい。
その間、2.0.0.0〜13.255.255.255 の /8 ×12 の中には日本は存在しない
その辺をどういう風に記述してるか見たら
2.0.0.0/7
4.0.0.0/6
8.0.0.0/6
12.0.0.0/7
って風だった。
/8 などという狭い範囲じゃなくて、もっと広い範囲を括って蹴ってるぽい。 いやまて、あれで攻撃を受けなくなったら確認のしようがない
しばらくpass-logして監視すべきか >>713-714
ウム、不安なので両方書いておこう。
>>716
AWS の日本以外のリージョン(北米とか)に Linux のインスタンス立てて、
そこからポートスキャンかけてみてはどうかな。
初めての利用なら 1 年間無料で使えるから。 >>715
その記述知らなかったんだが、/7 とか /6 って大丈夫なの❓ >>715
調べたらネットマスク/1(128.0.0.0)が最低か。こんな記述しないから勉強になったわ。 最後の224.0.0.0/3の蹴り方は、なかなか豪快
ところで、ここ何だ?ってググったらマルチキャストアドレスって出たんだけど
これなに?
実際に使われてるの?
/3もの莫大な空間を解放したら、IPv4の枯渇問題なんて一気に(当面は)解消するんじゃないの マルチキャストは1対他のパケット通信で使われてるが
ルータ越えしないので外からは来ない
240以降も予約領域で使われていない
だから上位3ビットが1のパケットは全部弾いて問題ない 日本国内割り当てIPでも油断禁物。
不正アクセスしてくるアドレス
103.20.8.0/22
103.20.36.0/22
103.40.124.0/22
逆引きホスト設定もむちゃくちゃ。 >>715
https://ipv4.fetus.jp/jp.txt
こんなところからアドレスリストを自動取得してナントカする方法ないかなぁ そもそもの話だけど、SIP でアタックされてる人って、SIP 用のポートを ANY で開けっ放しなの?
うちは Cloco 使ってるんだけど、そこの IP アドレスはこんなふうに
http://www.clocoinc.com/cloco/phone/loginserverlist/
公開されてるんで、
ip filter 1 pass 202.234.184.128/25 * udp 5060,25060,10000-20000 *
ip filter 2 reject * * udp 5060,25060,10000-20000 *
こういうフィルタを inbound に適用させてる。お前さんたちが使ってる IP 電話の業者でも公開してるでしょ。
「外国のアドレスレンジを全部ブロックしなきゃ!」とか面倒なこと考えなくても良いんでないの。 >>726
そう思う。
で、ひかり電話の場合はどうなんだろう? >>727
ひかり電話は IPv6 じゃなかったっけ?
だから、SIP 関連で IPv4 を開ける必要は無いんじゃないの? ひかり電話はフレッツ閉域網だからアタックとか考えなくて良いんじゃない? ひかりTVチューナーの電源入れるとWIFIが激遅になってしまうんですけど
IPv6マルチキャストをひかりTVのチューナーのみにしか行かないようするには
どうすればいいのでしょうか?RTX810です。 plalaやOCNとか、プロバイダ付属のは公開してない気がする ■ このスレッドは過去ログ倉庫に格納されています