YAMAHAヤマハブロードバンドルーターpp select 23©2ch.net
レス数が1000を超えています。これ以上書き込みはできません。
なんたってネ申ルーターのNVR510が出たばかりだもんね! NGN直収時のひかり電話では、050等とのSIP接続時と同じく
識別着信拒否(迷惑電話番号を登録してブロック)は出来ないという公式回答を得ました。
上位から発信者番号は降ってきているのだから
何とかファームで対応してほしいですねぇ キャリアアグリゲーション対応のNVR710Wとか出されても既存ユーザーが怒るだけだしなw NVR500でフュージョンスマートトークとかODN-IPフォン使えなくなった?
3017で着ビジーエラーが出ている 三日前にルーター再起動してから、不正アクセス検知がパッタリ止んだんだが、
あれだけ毎日数件はあったのに一つもなくなると逆に怖い ガクガク(((n;‘Д‘))ηナンダカコワイワァ >>669
無線APがどうにも糞っぽいんだよな。
出力弱いように感じる。 >>682
駄メルコ・バッキャローも似たようなもん 屋外利用が許されてるW56は出力が強いからそれを使うとか
帯域幅を80MHzから40・20MHzに変更するとかしてチューニングしてみたら 認定なんてガン無視でブースターとアンテナ自作
最強 アンテナで電波を増幅することになるの?
ブースターとかじゃなく 指向性が高いアンテナを双方で使えば、送信出力と受信感度が上がった状態となるよ。
普通のAPは無指向性アンテナ。
AP側だけとか端末側だけじゃダメだぞ。 電波の総量は変わらないから指向性の範囲外は却って減るけどな。
それ以前に自作アンテナはインピーダンス不一致で効率落ちまくるだろうけどな。 >>694
そういうのって数10個の子機があっても役に立つもんなの? >>695
MU-MIMOだろ?
それぞれの子機の方向で電波強くなるよう位相調整するよ。
何台の子機に対応できるかはCPUやDSP、メモリに依り、家庭用だとせいぜい10台。
シスコとかエンタープライズ用だと100台くらい捌けるのもある。 WLX202用最新版ファームウェア(Rev.16.00.13)の配布開始
:WPA2プロトコルの脆弱性対応、および各種バグ修正 現在はハブでRTX1200とONUを並列に繋いでIPoE IPv6とひかり電話だけONUがやってる
RTX1200の下にONU付けてひかり電話使うことって可能? 昼過ぎにTLで流れて来たけど
少し前 >>628- 付近で話題に出たSIP攻撃への対応策として海外IP全拒否だとさ
http://d.hatena.ne.jp/wakwak_koba/20171128
日本のみpassじゃなくて、日本以外をreject
というフィルターを公開してるぽい。
必要な人は頂いていったら? すげぇ力技でワロタ
帰ったら試してみようと思うが、サブネットマスク /3 なんて指定できるのか?
それ以前に、あんな巨大なconfigを本当に吸わせて大丈夫なんかよ 何で日本のみpassじゃないんだろ
rejectの自動化目処はあるって話だからそこに関連してるのかな >>700
中身覗いてみたけどなんか拒否アドレスが足りてない気がするぞ
個々を詳細には調べてないから分割されてる広範囲はマージしてあるのかもしれないが
これなら日本だけ許可した方が良さそうな気がする
>>701
うちの鎖国フィルタ仕様なFWX120用は135KBほどあるがまだまだ全然余裕あるぞ でもこのフィルターリスト、
hogehoge@(自分のWAN側アドレス)
みたいにアドレス詐称してくる攻撃には
無力な気がするんだけど。 >>704
それSIPレベルで名乗ってるアドレスで実際のアドレスは違うし
本当に自分のアドレスになってるなら別のフィルタで弾かれるはず >>701
日本に割り当てられていないipアドレス帯を/8のブロックでまとめると、 もう少しすっきりしそうだね。 >>699
ONUとHGWを勘違いしてるような?
まぁRTX1200の下にHGWは無理 >>707
OptionポートがあるHGWなら無理やり出来なくもない。 map-eとかpppoeパススルー対応してくれよ
nvr500,nvr510,rtx1200,1210,810,830くらいは対応してほしい
余裕があればrtx1100,rt58iもお願いします
WXR-1750DHP2 9800円 map-e ipv4 ppoeパススルー
WN-AX1167GR 5500円 map-e対応
このレベルでも対応してきてるんだから
頼みますyamaha様!!!!! WLX402用最新版ファームウェア(Rev.17.00.09)配布開始
:無線LAN見える化グループビューと 無線LAN見える化APマップの追加およびWPA2プロトコルの脆弱性対応 ip pp intrusion detection in on reject=on
ip pp intrusion detection in default on reject=on
この2つの記述って違いがあるのかな?
コマンドリファレンスみたけどよくわからなかった。
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/ip/ip_interface_intrusion_detection.html 上は機能自体をonして破棄するかどうかのオプションon
下は明示していない各プロトコルでの検出をonにしつつ破棄するオプションon
って所かな?下をoffに設定すると機能は始動するけど検出しないと思う 上、全て
下、個別type指定優先でその他
じゃない? >>706
昨夜NVR500で試したら、とりあえずセットは出来たが
肝心のSIP攻撃が来ないと確認ができない・・・
アドレスが合ってるのか莫大すぎて精査する気が起きないんだが
ほんの最初のほうだけ確認してみた。
とりあえず /8 単位で言うと、日本は 1.0.0.0 と 14.0.0.0 の中に割り当てがあるぽい。
その間、2.0.0.0〜13.255.255.255 の /8 ×12 の中には日本は存在しない
その辺をどういう風に記述してるか見たら
2.0.0.0/7
4.0.0.0/6
8.0.0.0/6
12.0.0.0/7
って風だった。
/8 などという狭い範囲じゃなくて、もっと広い範囲を括って蹴ってるぽい。 いやまて、あれで攻撃を受けなくなったら確認のしようがない
しばらくpass-logして監視すべきか >>713-714
ウム、不安なので両方書いておこう。
>>716
AWS の日本以外のリージョン(北米とか)に Linux のインスタンス立てて、
そこからポートスキャンかけてみてはどうかな。
初めての利用なら 1 年間無料で使えるから。 >>715
その記述知らなかったんだが、/7 とか /6 って大丈夫なの❓ >>715
調べたらネットマスク/1(128.0.0.0)が最低か。こんな記述しないから勉強になったわ。 最後の224.0.0.0/3の蹴り方は、なかなか豪快
ところで、ここ何だ?ってググったらマルチキャストアドレスって出たんだけど
これなに?
実際に使われてるの?
/3もの莫大な空間を解放したら、IPv4の枯渇問題なんて一気に(当面は)解消するんじゃないの マルチキャストは1対他のパケット通信で使われてるが
ルータ越えしないので外からは来ない
240以降も予約領域で使われていない
だから上位3ビットが1のパケットは全部弾いて問題ない 日本国内割り当てIPでも油断禁物。
不正アクセスしてくるアドレス
103.20.8.0/22
103.20.36.0/22
103.40.124.0/22
逆引きホスト設定もむちゃくちゃ。 >>715
https://ipv4.fetus.jp/jp.txt
こんなところからアドレスリストを自動取得してナントカする方法ないかなぁ そもそもの話だけど、SIP でアタックされてる人って、SIP 用のポートを ANY で開けっ放しなの?
うちは Cloco 使ってるんだけど、そこの IP アドレスはこんなふうに
http://www.clocoinc.com/cloco/phone/loginserverlist/
公開されてるんで、
ip filter 1 pass 202.234.184.128/25 * udp 5060,25060,10000-20000 *
ip filter 2 reject * * udp 5060,25060,10000-20000 *
こういうフィルタを inbound に適用させてる。お前さんたちが使ってる IP 電話の業者でも公開してるでしょ。
「外国のアドレスレンジを全部ブロックしなきゃ!」とか面倒なこと考えなくても良いんでないの。 >>726
そう思う。
で、ひかり電話の場合はどうなんだろう? >>727
ひかり電話は IPv6 じゃなかったっけ?
だから、SIP 関連で IPv4 を開ける必要は無いんじゃないの? ひかり電話はフレッツ閉域網だからアタックとか考えなくて良いんじゃない? ひかりTVチューナーの電源入れるとWIFIが激遅になってしまうんですけど
IPv6マルチキャストをひかりTVのチューナーのみにしか行かないようするには
どうすればいいのでしょうか?RTX810です。 plalaやOCNとか、プロバイダ付属のは公開してない気がする >>730
ONUの直下で分ければ設定いらずの上、ルーター弄っていてもテレビに影響しない。 >>732
今とりあえずそうしてるんですけど、それだとRTX810以下のネットワークから見えないからダメなんですよ。
DiXiMとかで観たいので。 >>733
Wi-Fi のネットワークを VLAN で分ける。
Wi-Fi AP が .1Q に対応してる必要があるけど。 >>734
ありがとうございます。そういう方法もあるんですね。
あいにく.1Q対応APではないもので。
IPv6のフィルタリングでうまくやる方法はないものでしょうか? >>735
そもそもの話になるんだけど、>>730 を見るとあなたは
・IPv6 マルチキャストのせいで Wi-Fi のトラヒックが増大してる
が原因と考えてるようだけど、それは間違いないのかな?
ひかり TV チューナーの電源を入れると遅くなるから多分そうなんだろう、って推測?
それとも確実なエビデンスはあるの?
例えば Wireshark でキャプチャしてみたら IPv6 のパケットで溢れかえってた、とか。
あと、話題を追いやすくするため名前欄に「730」と入れてもらえると助かります。 >>736
レスありがとうございます
確かに憶測です。
パケットキャプチャして調べてみますね。 >>739
なるほど!MLDスヌーピング機能を持つハブがあるんですね。
有益な情報をありがとうございます。 パケットキャプチャしてみました。
ひかりTVの電源を入れるとIPv6マルチキャストのパケットが溢れます。
電源を切ると収まります。
MLDスヌーピング機能付きのバッファローのスマートスイッチを導入してみます。 それそもそもどっかループしてるとかネットワーク構成に問題があるんじゃないのか? Multicast rate上げるほうが手っ取り早そうなもんだが ひかりTVの仕組み自体がポンコツ設計もいいとこ
まともに家庭を模した環境で検証せずに作ったんだろう
公式回答はv6流さずに切れだとさ
http://faq.hikaritv.net/faq/show/1463
MLD スヌーピングも変な動きするのあるし
先にどこに流す、流さないの全体設計見直したら?
自分ならLAN分割でもするかな >>745
レスありがとうございます。
ぬぉぉL2SW買ってしもたw
RTXのみで対応できれば一番いいんですけどね。
更に色々調べてみます。 >>745
L2SWを導入してMLDスヌーピングを有効にしたところ、無駄なIPv6パケットは止まり
WiFiもサクサクになりました。
ご意見くれた方々ありがとうございました。
RTXの設定のみでもうまくいくか更に調査を続けます。 ひかり電話を契約するとHGWがレンタルされますが、それにはMLDスヌーピング機能がついているため
今回のようなトラブルは起こらないそうです。
私はひかり電話を契約してなく、ONU→RTX810→ひかりTVチューナーだったので
このようなトラブルが発生した模様です。
ご参考まで。 >>745
>>747
MLD対応の意味が違う
ルーターのMLD(ホスト、ルーター、プロキシ)は流す機能
スイッチのMLD(スヌーピング)は流すところを絞る機能
今回のはチューナーには流してると
他の要らんところにも流れるのを止めたいという話
>>749
普通にやるならルーターでL3切って落とす
LAN分割でサブインタフェースごとにMLDルーターの設定できれば可
MLDスヌーピングはヤマハのスイッチならあるがルーターはない >>750
やっぱりRTX810だけじゃ無理ってことですね。
L2SW買ったのは無駄にならなくてよかった。
ありがとうございます。 >>750
ちゃんと、「MLD」と「MLD スヌーピング」は区別して書きましたよ、>>745 には。
そもそも、MLD は「マルチチキャストの受信者(リスナー)を検出(ディスカバリー)」する機能
並びに「その検出したリスナーだけにマルチキャストを流す」機能でしょ。
ルータに MLD の機能が無かったらスイッチの MLD スヌーピングで止めるしか無いけど、
MLD で特定のリスナーだけに送れるなら MLD スヌーピングは不要では? >>752
MLDにはマルチキャストをユニキャストに変換する機能はなくて、セグメントを跨ぐマルチキャストをルーティングして通すかを判断するんじゃないの?
MLDスヌーピングはL2スイッチングで、受信者がいないポートには流さないようにする機能
だから、どっちにしろ、RTX810のSW-HUBにスヌーピング機能が無ければ防げない ヤマハのHUBはMLDスヌープ出来たっけ?
SWX2200とか ルーターはL3を取り扱うのがお仕事。
配下に一台いれば受信して、送り出す。なければ破棄。複雑な事をやらすから、CPUで処理をする。あまり速度的な余力は無い。
ルーターから出たパケットを配信するのはL2スイッチの仕事。単純な事をASIC使って高速に行う。パケット複製してフラッディングは日常茶飯事。
家庭向けじゃないから明確に役割分担だよ。
んで余談、魔法の様なIGMP Snoopingを有効にした2台をカスケードするとアレなのでIGMPクエリアを使ったりするんよ。 >>753
ごめんなさい、俺の認識が間違ってました。
MLD があってもマルチキャストはマルチキャストのままなので同セグ内にはバンバン流れるね。 L2スイッチの基本的の仕事はL2フレームヘッダ見てすることで
IPヘッダどころかパケットの中身見て(=snoop)の処理は例外処理
ヤマハはどうか知らないけど
ソフト処理してて有効にすると
CPU、メモリ負荷上昇からのスループットガタ落ちもザラ
>>754
ヤマハでもよそでもメーカー一律のわけなくモデルによる
SWXはあり
SWRはなし 自分の投じたひかりTVの一石が混乱を招いてしまって
なんかすみません。
ただこのスレの皆さんの書き込みのおかげでヒントがもらえて
解決に至ったことは感謝してます。
ありがとう。 NVR500 からのリプレイスで RTX830 を思わずジャンピングキャッチしてしまったけど、ふと気がついたらシスコのほうが安かったじゃないの・・・。
https://nttxstore.jp/_II_CI15435897
うーん、早まったな。 . .... ..: : :: :: ::: :::::: ::::::::::: * 。+ ゚ + ・
∧ ∧. _::::。・._、_ ゚ ・
/:彡ミ゛ヽ;)(m,_)‐-(<_,` )-、 * シスコも買えばいいだけだろ!
/ :::/:: ヽ、ヽ、 ::iー-、 .i ゚ .+
/ :::/;;: ヽ ヽ ::l ゝ ,n _i l
 ̄ ̄ ̄(_,ノ  ̄ ̄ ̄ヽ、_ノ ̄ ̄E_ )__ノ ̄ >>759
その機種ならヤフオクで新品1万円以下で買えるぜ。 >>761
ライオンと蟻の戦い
>>762
ホントだね、シスコの現行機種・新品が中学生のお小遣い程度で買えるのか。
思わず買いたくなるな。 >>765
> 安くても保守加入しないとIOS入手出来んけどな
ヤフオクで落札した奴のシリアル+メルアドでユーザー登録。
でIOSの最新の奴ダウンロードできました。 >>759
それAdvansed Securityだからゴミだよ。
手を出さなくて正解。
Advanced IP Serviceじゃないと機能もヤマハ以下。 >>768
それもあるけど、ぐぐってみるとハード的な処理能力が低くてスループットが出ないらしいね。
今、ウチでは RTX830 +ギガフレッツ + IPoE + DS-Lite (IIJmio) で
700 Mbpsくらい出てるけど、841M じゃあ絶対そこまでは出せないだろう。
そりゃそうだよなあ、コンシューマ用のブロードバンドルータ並の価格なんだから。 RTX-1200があるので有効利用しようと思ってます。
バッファローから出てるWEX-1166DHPっていう中継器なんだけど
LANポートがあるみたいなので無線LANアクセスポイントに使えそう
RTX-1200とWEX-1166DHPで無線LANルーターとして利用している方はいますか? >>769
841M行くなら891FJ辺りオクで狙う方がオススメ。 Ciscoは本体がデカくてやだ
しかもACアダプタだし、それももデカいし >>772
AC アダプタの場合、熱がこもらなかったり故障しても換えやすい。
電源(特にコンデンサ)は劣化しやすいから、中古を買った際に換えやすいのはメリット。
まあ、ヤマハみたいに初めから発熱が少ない設計にしてれば済む話だけど。
>>773
洋モノのマシンは 240 V の高電圧でも使えるようにしてるから、
たいがいコードがぶっといよね。自分はわざわざ細いコードを別に買って
置き換えてる。
これ↓を 10 本以上買ったかな。
https://www.amazon.co.jp/dp/B002KANIAW >>774
コードの太さは電圧じゃなく、電流だから。
もっと踏み込むと仕事率に影響される。 >>775
コードの被覆の厚さは絶縁耐性に関係するから、同一電流の設計でも結果的に240V用のケーブルは太くなる >>774
場合によっては右出しと左出しで面倒なことになるかもだが、SDRなど無線機とPCや周辺機器が
近くて、あちこちのACラインにトロイダルコアによるコモンモードフィルタを挿入するときには便利そう。
よくある3Pのギャブタイヤ並みに太い電源ケーブルだと、プラグもデカいしケーブルも太くて固いから
コアを通すターン数が少なくなるのよね。 >>715
日本に割り当てられていないブロックフィルター書いてみたが、気休めで・・・
ip filter 100100 reject 2.0.0.0/8,3.0.0.0/8,4.0.0.0/8,5.0.0.0/8,6.0.0.0/8,7.0.0.0/8,8.0.0.0/8,9.0.0.0/8,10.0.0.0/8,11.0.0.0/8,12.0.0.0/8,13.0.0.0/8,15.0.0.0/8 * * * *
ip filter 100101 reject 16.0.0.0/8,17.0.0.0/8,18.0.0.0/8,19.0.0.0/8,20.0.0.0/8,21.0.0.0/8,22.0.0.0/8,23.0.0.0/8,25.0.0.0/8,26.0.0.0/8,28.0.0.0/8,29.0.0.0/8,30.0.0.0/8 * * * *
ip filter 100102 reject 31.0.0.0/8,32.0.0.0/8,33.0.0.0/8,34.0.0.0/8,35.0.0.0/8,36.0.0.0/8,37.0.0.0/8,38.0.0.0/8,40.0.0.0/8,41.0.0.0/8,44.0.0.0/8,46.0.0.0/8,47.0.0.0/8 * * * *
ip filter 100103 reject 48.0.0.0/8,50.0.0.0/8,51.0.0.0/8,52.0.0.0/8,53.0.0.0/8,54.0.0.0/8,55.0.0.0/8,56.0.0.0/8,57.0.0.0/8,62.0.0.0/8,63.0.0.0/8,66.0.0.0/8,67.0.0.0/8 * * * *
ip filter 100104 reject 68.0.0.0/8,69.0.0.0/8,70.0.0.0/8,71.0.0.0/8,72.0.0.0/8,73.0.0.0/8,74.0.0.0/8,75.0.0.0/8,76.0.0.0/8,77.0.0.0/8,78.0.0.0/8,79.0.0.0/8,80.0.0.0/8 * * * *
ip filter 100105 reject 81.0.0.0/8,82.0.0.0/8,83.0.0.0/8,84.0.0.0/8,85.0.0.0/8,86.0.0.0/8,87.0.0.0/8,88.0.0.0/8,89.0.0.0/8,90.0.0.0/8,91.0.0.0/8,92.0.0.0/8,93.0.0.0/8 * * * *
ip filter 100106 reject 94.0.0.0/8,95.0.0.0/8,96.0.0.0/8,97.0.0.0/8,98.0.0.0/8,99.0.0.0/8,100.0.0.0/8,102.0.0.0/8,104.0.0.0/8,105.0.0.0/8,107.0.0.0/8,108.0.0.0/8,109.0.0.0/8 * * * *
ip filter 100107 reject 135.0.0.0/8,142.0.0.0/8,145.0.0.0/8,151.0.0.0/8,156.0.0.0/8,162.0.0.0/8,168.0.0.0/8,169.0.0.0/8,170.0.0.0/8,173.0.0.0/8,174.0.0.0/8 * * * *
ip filter 100108 reject 176.0.0.0/8,177.0.0.0/8,178.0.0.0/8,179.0.0.0/8,181.0.0.0/8,184.0.0.0/8,185.0.0.0/8,186.0.0.0/8,187.0.0.0/8,188.0.0.0/8,189.0.0.0/8 * * * *
ip filter 100109 reject 190.0.0.0/8,191.0.0.0/8,193.0.0.0/8,195.0.0.0/8,196.0.0.0/8,197.0.0.0/8,200.0.0.0/8,201.0.0.0/8,204.0.0.0/8,205.0.0.0/8,206.0.0.0/8 * * * *
ip filter 100110 reject 207.0.0.0/8,209.0.0.0/8,212.0.0.0/8,213.0.0.0/8,214.0.0.0/8,215.0.0.0/8 * * * * 素直に使ってる SIP サーバだけ Allow したら? 050同士の通話って、双方のISPの鯖を経由するの?
てっきりISPの鯖はエンドポイントの情報だけ渡して、通話自体は直にやってるのかと思った 5060は鯖を通してると思うよ音声は鯖を通してないかもね SIPをany openも世界中のアドレスdenyするのもあり得ないな
SIPは呼制御のプロトコルで通話とは別
RTPの通話はエンドtoエンドだけどSIPはSIP Proxy経由になるので絞れる
https://www.nic.ad.jp/ja/newsletter/No29/100.html
この図の4と12を分けて考える
12はany 受けでも良いけど
4を受け入れる相手を絞れば他から着信しない
ALGなりFQDN指定なりできないでも
ポートわけてアドレス帯で絞る位はありというか当たり前
GUIデフォルトで電話設定してもポートは分けられてるはず
http://www.rtpro.yamaha.co.jp/RT/FAQ/VoIP/troublevoip-ans.html
この10もそういう話 SIPではなく、たとえばwebやほかのサービスのサーバーを公開するとして、海外すべて
denyとする鎖国フィルターを設定したい場合、日本だけ許可としても何万行となるが、
RTXはそれに耐えられるのでしょうか?>>778はある程度有効な気もするが、そこに記述が
ないブロック内にも海外の割り当てがたくさんあるし。 >>785
機種とアクセス数による、としか言えんな。
RTX 1000 と 1210 じゃあ全く違ってくるし。
公開しているサーバへのアクセスが 100/日なのか
100,000/日なのかでも違ってくるし。
試してみれば? >>785
規模にもよるが
サーバー側で処理する方がいい場合もある
WEBはサーバー側で処理したほうが楽だとは思うが >>785
これまでも何度か話題に挙がったことあるけど、案外問題なかったって話 >>785
>>700 の人が公開してる海外すべてdenyな鎖国フィルターは
ブログ主のRT58iで使えてるみたいだし
>>715 はNVR500で大丈夫ぽい
それとは書き方が違うフィルターだろうけど
同程度のサイズの鎖国フィルターを>>703がFWX120に書いてる
たぶん問題ないと思われ FortiGateならば国別IP指定はJP指定するだけ。サーバー公開なら最低でもシグネチャ対応のFWにしようぜ。
漏れて困るのあるなら、WAFまで欲しい。
YAMAHAなんぞ小規模事務所や店舗接続するVPN位でしか使わないよ。インターネット絡むならUTM入れるのが普通。 fortigateだってポリシーの登録数は極端に大きく無いっしょ。下位機種で数千のオーダーだし。
鎖国フィルタはIPv4だけで3000箇所超えてた思う。。
国別denyは最早意味がない。クラウド使われた日には解除しなけりゃならんから。
OCNなんかもアメリカとか香港の鯖使ってるし。 >>791
ポリシー数はアドレスグループで纏めりゃ良いから単純に比較できんぞ。
纏められれば、ポリシーは1個だな。 >>790
で、新品5万円程度で買えてその機能があるのはどれ? うちもSIP攻撃食らって再起動まで発着できない現象何回かあったけど
YAMAHA問合せ後FirmUpしたらいまのとこ再現しなくなった。 >>790
お前さんは「ボクは FortiGate を知ってるんだぞ!WAF だって知ってるぞ!詳しいんだぞ!」って
はしゃいでるようにしか思えんな。個人が遊びで立てた Web サーバと、1 時間止まるごとに 100 万の
損失が発生する EC サイトを同列に述べるのか?
機種選定する前に、まず「要件」を考えなきゃいかんな。 >>790
> FortiGateならば国別IP指定はJP指定するだけ
それ、逆引きして末尾JPか見てるだけじゃなくて、ちゃんと割り当てIPを見てるの? >>791
> 国別denyは最早意味がない。クラウド使われた日には解除しなけりゃならんから。
> OCNなんかもアメリカとか香港の鯖使ってるし。
メイン運用じゃなくて、保守で開けてるポートくらいかな。
JP以外を弾くだけで、SSHへの総当たりとか、ほぼゼロになる。 >>794
それ、どの機種をどのバージョンに上げたの? そんなあなたに
(´・ω・)つ 鎖国機能搭載のWi-Fiルーター「SAKOKU」、プラネックスが発売
ttps://internet.watch.impress.co.jp/docs/news/754339.html Planexって
初期設定でWAN側から管理画面にログイン出来る
モバイルルーターを売ったことがある
あのPlanexですか? >>795
また、その要件とやらに個人が遊びでなんて事は書いていない訳だけどな。 >>793
なぜ突然の5万縛りか判らんが、一番下なら買えるぞ。ライセンスは付けられないから、SSL-VPNとIPSecが利用できるルーターの機能になるけどな。 >>796
お、その詳細までは理解してなかったから、調べてみる。ありがとう。 そうそう、家庭でお遊びでUTM使いたいならSophos XGのHome Editionなら、無償だよー。おまけでクライアントのウイルス対策まで付いてくるし、某国家プロジェクトでNTTが納品したアプライアンスの後継だ。
日本語化もしっかりしているから、オススメ。但し2nic必須。仮想なら仮想で2個以上みせればいける。 >>803
お前さんの会社は要件がわからないのにいきなり UTM と WAF を勧めるの?
なんて会社か教えて、そこ出入り禁止にするから。 >>たとえばwebやほかのサービスのサーバーを公開するとして
要件これだよ〜 >>804
あの流れで予算検討付かないなら俺もおまえさんの会社出禁にしたいから教えて欲しいわ >>1
個人使用の範疇を超える内容や業務用ネットワークの構築・運用に関しては
通信技術板の「YAMAHA業務向けルーター運用構築スレッド」へお願いします。
http://mao.2ch.net/test/read.cgi/network/1501976932/
両スレッドを臨機応変に使い分けていきましょう。 すーぐ企業ユースの話題に行くんだから…
>>1読めっての show configとshow config 0で出て来る設定が違うのはなぜ? 今動作中のConfigと保存してあるConfigの差だよー。
今動いているので問題無ければ、SAVEしてみよう。 RTX810使ってるんだけど、VPNクライアントソフトのYMS-VPN8ってなにがいいんだ?窓のレジストリ弄れば使用できるじゃねーか。情弱乙 エラーなど存在しない
ライセンス不一致で無視されるだけだわ RTX1210を使用中なんですが、IPv6で任意のDNSサーバのアドレスを配布する事って出来るんでしょうか?
コマンドマニュアルのDHCPv6あたりには特に設定できそうな項目が見つからないのですが、自前でサーバー立てて配布する感じになるのでしょうか? >>798
NVR500/510だったが再発したorz
YAMAHAサポートはACL組んで接続するSIPサーバのみ5060TCP通すようにしろと。
ネットボランチ電話は5060UDPだそうな。 NVR500はIPSecに対応してくれたのは良いんだが
ネットワーク型のには対応してくれないんだろうか?
アレ便利なんだけど
上の機種じゃないとダメなのかねえ >>822
さすがにそこまでやりたかったら上位機種買っとくれってことだろうな
NVR500のL2TP/IPSec対応が後5年早かったらRTX810を買い直す必要なかったなぁ・・・ どなたか助けてorz
・DHCPで一部だけ固定IPにしたくてbindしてクライアントPCでIPアドレス解放しても再起動しても固定したIPアドレスにならなくて困っています。
RTX1210-L2スイッチhp J9803-クライアントPCの接続です。
bindはCONFIGには記録されていました。
・関連して、原因究明のためL2スイッチの設定を確認しようとしたら、LANマップにスイッチが出ていなくて設定確認すら出来なくて困っています。
それぞれ、どんな原因が考えられるでしょか。
教えて君ですみません。 設定したコマンド貼れよ
あとrfc2131とかいうコマンドに寄っても動作が違うから注意
まぁ一度自動で割り当ててdhcp convert lease to bindコマンドで変換してIPアドレスだけ書き換えるのが一番楽 . | 'ー`)し まーくん・・
. と ノ すっかりネトウヨになってしまって・・・
. / (^ )彡 !?
/ / \
. |
. |彡サッ
. |__ うるせぇ!
/ ( ) ババァ!てめぇもチョンの工作員か!!!!!
/ γ⌒\
7``) / / \ RTX1210のVPNについて教えてください。
RTX1210をルーターとして使用し、光ルーターPR-400NEのUNIポートを開けて、ルーターとONUに分割して使用しています。
RTX1210を192.168.1.1 PR-400NEを192.168.1.50 としてagephoneをスマホにインストールし
PR-400NEにレジストしています。これにより「スマホdeひかり電話」を使っています。
VPNを設定すれば、外出先でも使用できるというwebページがあり、RTX1210にVPN接続してみました。
VPN接続はできるものの、どうしてもPR-400NEにレジストされません。
スマホからPR-400NEの設定画面を見ることも可能で、NASにもアクセスできています。
自動的に、udp 500、esp、udp 4500、udp 1701、tcp 1723、gre等は設定されています。
NATとか、フィルタとか設定しなければならないのでしょうか。
どうぞ宜しくお願いします。 家の中からだとレジストできるけど外出先からVPN経由でレジストできないって事?
設定ページが見えるのにレジストできないって謎だねルーターのせいじゃないと思うよ >>830のおかげで、「スマホdeひかり電話」というの知って、
面白そうなのでうちでも設定してみて、うまくいきましたよ。
RTX1210 と、NTT西の隼のひかり電話(PR-500KI)です。
インターネットのプロバイダ接続(PPPoE)は、
PR-500KIをパススルーして、RTX1210で実施。
RTX1210上に用意した宅内プライベートLAN(192.168.100.0/24)上に
無線収容したiPhone(AGEphone)で、ひかり電話の
発着信ができることをまず確認。
iPhoneをインターネットからVPN(L2TP/IPsecリモートアクセス)経由で、
宅内プライベートLAN上に収容した状態でも、ひかり電話の
発着信ができることを確認。
なお、ひかり電話のSIPサーバーはPR-500KIの192.168.1.1で、
PR-500KI上の設定(内線3の有効化など)はしました。 >>832
そうですか?ほぼ同じ環境ですね
つまずくところが見つからなくて、悩んでいます。
来年にでも、ルーターとONUに分割をやめて、素直にパススルーに設定してみます。
少し、教えてほしいのですが、VPNはRTX1210に接続されているんですよね?
またPR-500KIにLANからアクセスできるってことは、アドレスを割り当てているんですよね。
https://www.yokoweb.net/2016/10/09/rtx1200-iphone-hikaridenwa/
ちょっと違うかもしれませんが、上記みたいな構成でしょうか?
どうか宜しくお願いします。 >>833
ご紹介のサイトと、基本的には同じことをしたと思います。
PR-500KIにて、
・PPPoEブリッジをONにする(用語はパススルーでなくブリッジでした)
・デフォルトLANネットワーク192.168.1.0/24に対する
DHCPサービスの配布アドレス対象から、192.168.1.2を抜く
・192.168.100.0/24への経路のGWとして、192.168.1.2を設定
・ひかり電話の内線3を有効化する
ということをしました。
RTX1210は、PPPoEを収容しているLANインタフェースに対し、
192.168.1.2 というアドレスを固定で設定。
192.168.100.0/24と192.168.1.0/24との間では、NATなしです。
両者間の経路は、暗黙で、設定されたことになるはず。
両者間のフィルタは、最初は、何もない状態から始めるのが確実です。
これは関係あるかわかりませんが、VPNに使う、
pp select anonymous の ip pp mtu は 1258
にしてます
なお、RTX1210の設定にGUIは一切使ってなくって、
テキストファイルのconfigを書いて、sftpで流し込む方法をとってます あ、もうおわかりだと思いますが、VPNはRTX1210への接続です。 >>834
ありがとうございます。
pp select anonymous の ip pp mtu は 1258 これは設定されていました。
後でゆっくり やり直してみます。 >>837
1258って、情報古いなと感じてるんですよ。
今はいくつでOKなのか、知りたいです。 auひかりはないんか!とおもいつつ家電教えるのもなと思った IPv6の規格上の下限は1280だから、Path MTU Discovery Blackholeおきてね? 興味がある人だけどうぞ。ネット小遣い稼ぎ方法など。
グーグル検索⇒『工藤のジョウノウノウ』
VN8NWR6TY7 TP-Link無線LAN中継器の
NTPサーバへの高頻度アクセス問題の解消のため
ipフィルタを設定する作業していたが
ミスってアクセス不能になって初期化した。
コマンドラインで詳細設定できるけど
生半可にイジるとハードリセット一直線なので勉強しないとダメね。
中継器のフィルタリングできたのでリジェクトログ見てみたが
毎秒NTPサーバにアクセスする鬼畜動作だった。
まさにDDoS攻撃のよう。
この状態で半年近く放置して他者に迷惑かけていたのが悲しい。 そのハードコーディングしてDDoS攻撃まがいのことやらかしてたTP-Linkが
この件でまったく反省してないからな
ファームウェアアップデートしても管理画面にアクセスする度にNTPサーバに問い合わせるし
根本的な使い方がおかしい
ということでさっさと捨てたほうがいいかと >>844
そうは言っても無線LAN部分は優秀なんだよ・・・
NECやバッファローでは代わりに出来ない程度に。
とりあえず中継器とアクセスポイント導入してしまっているから、
将来的に2つの通信を完全に止めることも考えている。
それぞれの機能には全く影響ないみたいだし。 >>843
5秒ごとにNTPクエリ1回とDNSクエリ6回って話だったけど
毎秒やってるのはフィルタリングされてリトライしてるからじゃないの?
>>844
ここにはアップデートしたらルーターに向けてping打つようになったって書いてるけど
https://www.ctrl.blog/entry/ntplink-fixed >>845
どういう使い方してるのか分からんけど、なんか特段優秀って言えるような機能あったか?
低価格帯で802.1X認証使えるとかいうわけでもないだろうし
>>846
http://www.tp-link.jp/news-details-17792.html
> また、ファームウェアのアップグレードにより中継器の管理画面へのアクセス時のみ
> NTPサーバーとの通信を行うように修正を行なっており、
どっちが本当なんだろうな 疎通確認したいなら自分でサイト立てればいいのに余所にDDoS仕掛けて「一般的な動作」とか言うのは控えめに言ってクソ 無線なんて家で使うなら安いのを各部屋に置けばいいだけ、なにを求めてるのだろうか 中継機の存在意義が分からないのだろう。
視野が狭いとも言う。 よく分からない人で広い家に住んでるなら勝手にメッシュネットワーク組んでくれる製品が優しい
分かってる人ならAP複数設置して無線LANコントローラで制御したほうがいい
中継は効率悪い疑似メッシュネットワーク作ってるにすぎないからね 安さなのか速さなのか見た目なのか何を求めるか
よくわからない人は見た目を重視する人も多くて
見た目だけでコンセント直挿しの中継器になる 有線LANと電源が思うところにある前提からして間違っているのが分からないんだなー 有線LAN引けばいいじゃんな〜
自分でできない業者呼べないけど何故か高いルーター買える謎 >>858
絶対工事不可の賃貸に住んでるのかもよ
工事不可だとPLCなりTLCが有名だけど最高速度が見劣りする 各部屋に有線の口出てるのを使えばいいだけだろ
出てないような家なら天井裏で配線しろ ARM使っている機種のセキュリティのアップデートはまだかな 現行はARM、PowerPC、MIPSと書いてあるから関係ないねー YAMAHA製以外のプログラムが動作する機会はないのだから、
何の脅威にもならんよ。 >>867
だよな、関係ないとか脅威じゃないとかはさすがにね show status pp xで負荷ってのが表示されるけどこれの100%ってなにが基準?
ルータごとに決まってる?
それとも接続先の速度によって変わるものなの? >>868
ルータ専用機という環境的に今回の脆弱性を悪用するのは難しいということでしょ
キャッシュ内容を盗み見る悪意あるプログラムをどうやってRTX上で動かすのか?
仮に動かせるとしたら、それは今回の脆弱性以前の致命的な脆弱性があるってことだし >>872
大丈夫、Luaではルーターのそこまで低レイヤーな処理はできないので脆弱性は利用できないし、
あやしいLuaを実行しちゃうことがあるなら、今回の脆弱性がなくともそれだけで十分アウトです。 >>872
今回の脆弱性を利用するプログラムをLuaスクリプトで書くことはできない
Luaスクリプト機能を使って、結果的に、今回の脆弱性をつく
プログラム片を動作せることが可能だとしても、その事態の発生は、
Lua処理系を含むYAMAHA製プログラムが持つ脆弱性の存在が前提条件となる 何でもかんでも脆弱性ゼイジャクセイ言いたいお年頃かね。
ルーター管理者以外の人間が任意のLuaスクリプト動かすのか? >>876
そこまで出来ている状態なら、攻撃者が今回の脆弱性でRTXに何をする必要があるんだw >>874
Spectre(CVE-2017-5753)の手法はeBPFで実行できてるんだから使えるような気がするんだが
実行不可能っていうのはどういう検証したんだろうか NVR510でフレッツ光なんだけど
今度転居を機にauひかりも検討中
auひかりとの組み合わせでNVR510使える? >>881
ただのルータとしてなら使える
auひかりは(普通は)ONU直下に自前ルータは使えない仕組みだからあまり意味がない >>880
管理者に莫大なタスクを割り振れば、或いは >>882
そうなのかぁ
そりゃググっても出てこないわな でてくるやろーAuひかりで810つかってま〜
DMZだけど >>885
>>881はNVR510ってことは、auひかりでも小型ONU利用とかひかり電話収容とかNVR510ならではの機能が使いたいという意味じゃない? 小型onuはntt東日本だけなんだよな。
だから無理なんだよ。 > 小型ONU利用とかひかり電話収容とかNVR510ならではの機能が使いたいという意味じゃない?
勝手なエスパーキタコレ SFP+の1芯SCコネクタのシングルモードのモジュールは、小型ONUとして使えますか? >>889
ONUはGE-PONじゃないの?BX系のトランシーバーには互換性ない
そもそもONUが終端してアドレスを上位側が見てるはずなので、勝手にサードパーティに入れ替えても使えない RTX1210同士で拠点間接続しているんだが、勉強のためにESPをパケットキャプチャして複合化して見たい。
方法ある? >>890
工事の人、MACアドレスを局側に登録してたな わざわざハードで解決しようというところがitで負けた日本ぽいと思ってしまった >>890
MACアドレスでPONに使うencryption keyを決めているので、
MACアドレス自身を書き換えられる一部ONUを除いて勝手にやるのは困難かと。 >>891
自己解決。
show ipsec sa gateway xx detail
で鍵入手できるから、Wiresharkにそれつっこんで、復号したパケット表示できました。 >>896
処理系に高解像度タイマがないってだけじゃ不十分でしょ
論文でもChromeは意図的に精度落としてるけど自分で作れるから全然いけるよって言ってるわけだし 反論があるならこんなとこで言ってないでYAMAHAに送りつけろよ そもそもLuaが流し込める時点でキーなんて読み取り放題だと思うのだが。 RT58iで開放しているハズのポートが勝手に閉じられている事があるんだが
なんなんだろう
いったん設定してるポートを消し再度同じものを登録しなおす
又は
適当に別のポートを新たに開放する
をすると元のポートが開放されてるんだよね
うーん かんたん設定ページか?NATか?フィルターか?
チェックボックスをよく確認したか? WLX402用最新版ファームウェア(Rev.17.00.10)配布開始
:Web設定画面へ接続を許可するホストの設定に関するバグを修正 >>909
フィルタリングの入と出のチェックボックスのことだと思うけど?
フィルタを定義しといて適用を忘れる、よくあるパターン
RT58iでチェックボックスがあったかは知らんけど
コマンドで設定した場合、Webでは表示されないこともあるよね
初歩的だけどsaveは実行した?
質問しておいて答えた人をディスるってどうかと思うで 最初から設定画面かconfigを貼ればいいのに
(その時点で自己解決してしまう人も多いが)
質問者より回答者に手間をかけさせ
自分は無意味無駄なことしかできないからはまるんたな >>909
ぶっちゃけ今時58iなんて使ってるyamahaユーザーあんまりいない。
精々予備機
プロバイダの設定変更したりするとデフォルトのフィルタで上書きされるのは
YAMAHAユーザーなら知ってるはずだけどもちろんしてないよね?
偉そうに語るんだからさ >>909
多分そんな妙な動作をするのは設定が悪いんじゃなくて機器が悪いんだよ
58iなんてもう大分古いし調子悪いならそろそろ買い替えた方がいいよ
バッファローあたりがオススメかな、君には RTA52i、RT57iをまだ使ってる(それぞれ予備機も1台ずつある)
だって壊れないから・・・ 58iの配下に107e(1000円しなかった)を置いてL2TP/IPSecやってる なんか集中砲火で可哀想やな。ヤマハ使っている程度で偉そうな事言っていたり痛い奴らいるな。 >>920
107e良いよね
安いし、IPSec使えるし、消費電力4Wしかないし 107eは透過FWとして使えるんだよな
使ったことないけど >>918
52i 実スループット2Mbpsくらいだっけ NYR510でLANポート1,2は1000fdx、3、4は100hdxにしたいんですが
どういうふうにコマンド打ったらいいですか? >>926
lan type lan1 100-fdx 3 4 >>926
ごめん、訂正
lan type lan1 100-hdx 3 4 >>926
基本オートネゴシエートでいいと思うけどね
優先制御ならQoSの方がいいと思うよ >924
LANポートが10BASE-Tだから、だいたいそのくらいかと
もっともRTA52iはINS回線のDSU-アナログ回線箱としてしか
使ってないから残してる LANのIPv4アドレスでプレイマリーIPだけ変えたらなんか遅くなったんだけどー
手動で /255.255.255.0(24Bit)
IPアドレスの変更に合わせて、その他の設定のIPアドレスを自動で変更する にチェック
DHCPで払い出すIPアドレスの範囲のみ変更する にチェック
なんだけどー なんか間違ってる?(´・∀・`) 設定をぜんぶ見て前のアドレスが残ってる所がないか確認した方が良いね
GUIの自動で変更するで漏れてる所があるのかも >>930
ありがとうございます。
QoSのコマンドも調べて打って見たんですがエラー出て実行できませんでした >>933
なるほど! みてみる t= t=┌( ・_・)┘⇒ >>934
手動設定の全二重は相手も手動で全二重にしないとダメだぞ。
相手がオートネゴだと、オート側が半二重になる。トラブル発生が増えると…判るな。 トラブル発生じゃなくて、トラフィックが増えるとでした。 BBルーターの配下にRTX1210を設置して、
RTX1210をL2TP/IPSECのVPNサーバーとして利用可能でしょうか?
BBルーターはNAT可能ですが、静的経路設定は不可のものになります
BBルーターを使わず、RTX1210をルーターとして使えば可能なのはわかるのですが
BBルーターを帰ることができないため
この構成で可能かを知りたいです DMZでRTX1210に投げればいいんじゃないの? >>938
静的経路設定不可ってのに静的NAT不可も含まれてる話なら無理かと
NAT越えられないと話にならない >>938
BBルータの型番書きなよ
何勿体ぶってんの BBルーターはソフトバンクの光BBユニットってやつです
NAPTは可能です 静的にNAT書けるのかって聞いてるんだが、可能なのかどうなのか
IPsecのNAT越えはTCPヘッダのチェックサム変更を改ざんとみなして破棄されるの回避できるかだから
トンネルモードで静的NATならESP+IKEで可能
静的NAPTはポート番号しか見えないから無理 >>938
PPPoEブリッジの設定ができないってこと? >>938
943のおっしゃるとおりでできます
あと固定ipないならアグレッシブのイニシエータにしないとです
netvolante-dnsは使えないと思います win7 32bitからwin10 32bitにアップグレードしたら、それまで下り4Mbだったのが88Mbまで上がった ∩(*・∀・*)∩ ワーイ♪
なして? BBユニットってことはハイブリッド契約だろ半固定IPアドレスだしDMZで通信をRTXに丸投げするのが一番簡単 BBとかなついな、ISDNから変えたからデジタルからアナログに戻すってなに?とか思ってた大学自体、P2P最盛期だったな 光BBユニットはIPv4overIPv6の専用ゲートウェイだけど何言ってんの? >>952
うわっ
田舎っぺおじいちゃん三国人、、、、、 NICも10Mbpsメインだし
wifiなんて無い時代だからな。
上がCATVか下はINS64か56Kbpsモデムとかの時代だし。 うちは試験サービスの0.5Mbpsだったか契約してたぞ・・・ 常時接続128kbps3万円とかの時代に4千円で1.5Mbps常時接続はめんたま飛び出たぜよ Yahoo! BBさ、一時期、他人のPC見れたよな、あれからセキュリティー強化意識しまくったな あったあったw
人のPCに設定変えましょうねっていう名前のフォルダ作ったりしてた windows 98のNetBEUIが有効だと他人のPC丸見えで、
ダンプとかテンポラリファイルのゴミ掃除してやっていたw 数年前だけど、とうあるビジネスホテルに泊まった時に、部屋に付いてた
LANポートにつないだら、他の宿泊客のPCが見えて、ぶったまげたよ
あのホテル、さすがに設定は変えているよねw >>959
ソフバンは昔からアレだからな。
>>962
ビジネスホテルだと、ルーターのログイン画面が普通に開けて初期パスワードのまんまとか、良くあるね。 未だにopenなWiFiでルーターも初期パスワードってのは意外とある 昨日と今日と500人規模の会議があって、資料は会場のwi-fiからwebで
取得してもらう形だったんだけど、トラブルなく動いてたから
運営にどこの機器か聞いたら、wi-fiはWLX402が複数台でネットの出口はRTX1210を使っていると。
YAMAHAはさすが業務用だと思った。どれくらいの規模まで耐えられるのか。 500人でRTX1210とか無理だろ
それ以前に回線が1Gbpsで足りないと思うが カンファレンスネットワークをyamahaだけは辛くないかなー。naptにしてもtunnelにしてもrtxがボトルネックになる どこかのブログでヤマハとDS-Lite使ってやってる人いたね
NATをtransixに任せればただのルーターで済むからという理由らしい 機材名や構成ををスッと答えられる運営とやらは、只者では無いなw >>967
回線はnuro光だった。もちろん一斉に資料を取得しに行くタイミングとかでは多少もたついた感があったけど
某他社製のようにルーターが固まるとか落ちるなんてことはなかったよ。wifiの方がネックになってる気がした。 YAMAHAが優秀というより運営が優秀だったんじゃろ CEDEC2015はNAT64/DNS64も折り込んでるから
PyConJP2014の話かと思った
545人のインフラを支えたNOCチーム!
https://www.slideshare.net/MasayukiKobayashi/545noc
今ならカンファレンス内に面子がいなけりゃCONBUにでも頼むのもあり
https://conbu.net/
一言にルーターといっても主なところで3つ
ルーティング
アドレス(+ポート)変換
トンネル含めプロトコル変換
と役割あるけど暗号化もアドレス変換もなしで
現行品ギガならほぼボトルネックにはならない 資料を取りに行った人数がかなりすくないってやつやろ? FANレスの安いのをと思って、個人では久しぶりにYAMAHAに手を出してRTX1200を入手したんだが、簡単にCPU負荷が90%に達するんだけどこんなもんかな、それとも問題ある?
FASTPASSはセッション数とほぼ同数。
昔使った1100みたいにコンソールの応答が無くなりはしないのだけどねぇ。
今までのは5%以下なんだけどFANがね…。 >>977
ウチではそんなことにならないが、
なにを流してるんだ? うちは上り100Mbpsで25%くらい食うね
1Gbpsの回線フルに使うような用途だと足りなくなるかも? >>978
簡単に試したいなら管理画面でIEの更新ボタン押しまくるとCPU負荷がもりもり上がるw >>980
そりゃルーターWebUIにF5攻撃すりゃ負荷は高い
RTX1210ですら1回の表示で80%とかなるしな 特別負荷が高い事はしていないんよ。
ブラウザーでタブが20~30開いていて、他には仮想通貨関連が常時動作している。これでセッション数150~200程度w
その他にPC、スマホやNAS、ひかりTVやらAmazon fire TVが繋がっている。キャリアのモデルケースみたいな構成。映像系は地上波含め全てフレッツ頼りだから、下流はCatalystで気持ち軽くなる様にマルチキャスト処理をさせている。
ピーク時トラフィックは500M位。セッション数600ですね。
100Mで25%だとすると、昔と変わらずソフトウエア処理の比率が高いのか、どうやら性能みたいですね。PPPインターフェースで追いつかなくて多少ドロップしている様ですが、実用上問題無さそうなのでもう少し設定とか見直してみます。
ありがとう御座いました。 10年前の機種でゴタゴタ言うな
最新機種に買い換えてから出直してこい >>982
1210に買い換えた方が幸せになれるで 1210はIPsecVPNのスループットスペック通り出るんだな ヤマハのルーター中古品で買い足すかな〜と物色してたらau光で10G対応品でるんだな RTX1210で、端末からVPN接続できなくて、ログには
"ARP: Illegal packet at LAN*, IP=*.*.*.*, MAC=*********"
って出てるんだけど、どうすれば直せますかね?
書いてあるIP=***はVPNのIPアドレスです。 RTX1200でポートベースVLANを3つ作った状態で、
各VLANにIPv6 IPoEのアドレス通す方法ありませんか?
※光電話契約はありません。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::1/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
ipv6 lan2 dhcp service client ir=on
dns server dhcp lan2
dns cache max entry 1024
dns service fallback on
とLAN1指定しても、
VLANの設定を有効にする下記1行を追加するとLAN1→VLAN1に強制的に変更され
VLAN1配下のクライアントPCにしかIPv6アドレスが配られません
lan type lan1 port-based-option=divide-network
ipv6 vlan1 address ra-prefix@lan2::1/64
ipv6 vlan1 rtadv send 1 o_flag=on
ipv6 vlan1 dhcp service server
※LAN1をポートベースVLANでVLAN1〜3に分離
セグメント分けと各セグメント間の通信は完全遮断しています。
show ipv6 address lan1では、下記の状態です。
VLAN1 scope-id 1 [up]
Received: 2036 packets 305142 octets
Transmitted: 1798 packets 251700 octets
グローバル 2409:12:11e0:1000::1/64 (lifetime: 604585/2591785)
リンクローカル *****************/64 リンクローカル ff02::1/64
リンクローカル *******/64
リンクローカル ******/64
リンクローカル *********/64
リンクローカル ***********/64
IPv6 IPoEの設定を変える必要があるのかと色々検索してみたのですが、
参考になるHPを見つけられませんでした。
対応方法か?参考HPのアドバイス貰えませんか? >>990
RTX810 で VLAN と IPv6 を両立させる方法
ttps://randomsoft.com/node/739
>タグ VLAN I/F に IPv6 RA が広報できない
うちはNVR500でLAN1とVLANで両方RAしようとして
同じようにできなかった。
>ポート VLAN I/F は特定の条件でしか広報できない
これに該当するのでは? >>989
LAN*でIP=*.*.*.*のARPをMACアドレス*********から不正に受信したというログ
ルーターが知らないIPアドレスをVPNで割り当ててる? >>990
フレッツから降ってくるアドレスは/56のはずなので
ipv6 prefix 1 ra-prefix@lan2:1::/64
ipv6 vlan1 address ra-prefix@lan2:1::1/64
ipv6 prefix 2 ra-prefix@lan2:2::/64
ipv6 vlan2 address ra-prefix@lan2:2::1/64
ipv6 prefix 3 ra-prefix@lan2:3::/64
ipv6 vlan3 address ra-prefix@lan2:3::1/64
こんな感じで/56を3つの/64に分けて使えるのでは?
ipv6 lan1 rtadv send 1 o_flag=on ←各VLANで設定
ipv6 lan1 dhcp service server ←各VLANで設定 ひかり電話無いってことは元々払い出されてるのが/64だよね?
細切れやろうと思えば出来るかもだけどSLAACはムリ ご返信有難うございます
>>993
紹介頂いたHP確認しました。
まさにこの設定状況です。
私の所には、仕様ですとの回答はまだ来ていませんが
この後来るのでしょう、残念です。
VLAN2,3にPC接続してipconfig /allでは、
リンクローカルアドレスとしてfe80:から始まるIPv6アドレスは付与されるのですが、
ttp://ipv6-test.com/
で確認しましたが、やはりVLAN2,3からはIPv6接続できません。
リンクローカルアドレスをグローバルアドレスへ変換する設定でもあれば
通信できるのかも知れません。
>>993
>>994で書かれている通り、ひかり電話契約が無いので諦めました。
使わないひかり電話契約を新規で行う方法もあるかも知れませんが
無駄な費用増になるので、今はこの方法は諦めています
もう少し時間かけて、突破出来ないか試してみます。 >>995
オプションなし最低限のひかり電話なら基本料500円だけだし契約すれば?
いまどき固定電話いらないかもしれないが、携帯番号書きたくない書類に自宅番号書けるから重宝してる >>992
端末がCiscoのVPNにアクセスしようとしてローカルIPが150.*.*.*でアクセスできないです。
↑のローカルIPはifconfigで確認した物と同じです。 >>995
俺は/64でVLAN切れないからIPv6をRAせず、DS-LiteをIPv4のみで運用してる
(ただのトンネルアダプター扱い)
こんなことできるのも高いルーターならでは 次スレ
https://mevius.5ch.net/test/read.cgi/hard/1518183815/
今日の朝早くに質問してスレ消費したので、初スレ立てチャレンジしたけど失敗してしまった
削除依頼と正しいスレ立てお願いします このスレッドは1000を超えました。
新しいスレッドを立ててください。
life time: 178日 9時間 36分 37秒 5ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
───────────────────
《プレミアム会員の主な特典》
★ 5ちゃんねる専用ブラウザからの広告除去
★ 5ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
───────────────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
https://premium.5ch.net/
▼ 浪人ログインはこちら ▼
https://login.5ch.net/login.php レス数が1000を超えています。これ以上書き込みはできません。