NEC無線LANルータ Atermシリーズ Part116(本スレ)
レス数が950を超えています。1000を超えると書き込みができなくなります。
>>878
固定IPアドレスってサーバにしてるPCのプライベートIPアドレスを固定にしてるってことだよね?
普通にポートマッピング設定でそれぞれ追加するだけじゃないの?
LAN側ホスト : サーバのプライベートIP
プロトコル: TCP
変換対象ポート: 80
LAN側ホスト: サーバのプライベートIP
プロトコル: TCP
変換対象ポート: 443 >>880
なるほどローカルルータモードだとDNS2設定できるのね。
PPPoEルーターモードではできないのかな?
PPPoEで使ってるんだよね >>881
ポートマッピング(静的NAT)と固定IP割り振りとはと似てるようで全然違う。 >>878は外部から443でアクセスしたいって事だと思ったから
普通にポートマッピングでいいと思ったけどやりたい事違うのかな。 古い機種を使ってますがMACアドレス設定の数が少なくて困っています。
最近の機種の設定可能数一覧表は無いでしょうか? >>885
現行の標準は32。
性能がいいやつだと64。
牛の最新100以上あるそうです。 まあ、シスコかヤマハなら200以上が余裕だとかなんとか。 >>886
性能がいいやつ、は、どこからでしょうか?
>>887
さすがにそこまでは要りませんが、64は欲しいですね。
32では全く足りません。 あ〜5の付く日が終わってました。
もう少し早く調べればよかっったです。 >>887
ココナッツサブレを食べながらバイクで走りたくなってきた 昔は公表されてたけど
最近のは公表されていないので
購入した人が最大何個MACアドレス登録できるか試さない限りわからない罠。 32で全然足りないってすげえな
うちは16でも十分だわ
MACアドレス制限してないけど ローカルルーターモードはPPPoE接続できないよね? >>881,884氏
ありがとうございます。
前のプロバイダでもAtermだったのですんなり設定できるかと思っていたのですが、
今回BIGLOBEから提供されたWG1810HPのポートマッピングを開いてみると、
鬼のように使用可能ポートが制限されていて、80番や443番が使えないのです。
試しに外部からの443番へのアクセスをプライベートIPの192.168.0.10に設定しようとすると
次のようにエラーとなって設定できないため、同じようなことで苦労され、
なんとか対応できた方がいらっしゃらないかと思った次第です。
ttps://i.imgur.com/bz1Qq8F.jpg WAN側の使用可能ポートに443を追加すればよいのでは?
初期状態で443に制限かけてるような? あと外部からルーターにアクセスを許可みたいのがあれば
はずしてみて
ルーターがすでに使ってるのかも? >>895,896氏
WAN側使用可能ポートを新規追加する設定を探してみたのですが見つけられませんでした。
Atermのオンラインマニュアルに掲載されている画面サンプルだと利用可能ポートが空白になっているため、
Atermのファームに固定値設定されているのではないかと考えています。
BIGLOBEのサポートに問い合わせてみます。回答は今後の知識蓄積のために報告させていただきます。
>>881,884,895-896各氏方、夜分遅くどうもありがとうございました。 >>894
WG1810HPに加えこのSSはMAP-E(v6プラスかIPv6オプション)じゃないの
IPv4 PPPoE接続にしないと規格上ウェルノンポートはどうあがいても解放できないよ
>・利用可能なポート番号、ポート数に制限があります。外部へサーバ公開をお考えの方はご利用できません。
ってBIGLOBEの高速接続サービス(IPv6接続)のご案内には書いてあるでせう
v6プラス「固定IPサービス」みたいな専有型なら行けるかは知らんけど >>878
そのWG1810HPは型番の後ろに(JE)が付いたv6プラス(IPv6オプション)専用機では?
だったら80や443でのポートマッピングは不可能ですよ
この機種(レンタル専用)はPPPoE接続機能すら無くMAP-E強制ですので事前に割り当てられたポートしか使えません
PPPoE接続用に別のルーターを買ってきてぶら下げましょう >>891
それは凄い。
でも、このスレなら情報あると思ってた。
>>892
滅多に使わない古いiPhoneもあるけどね。iPad だけで10個ぐらい占有してる。
一度消してしまうと設定が面倒だから、残ってしまう。 >>901
うちは63個のMACアドレス登録があり
24台の機器が接続されていますん。 >>900
MACアドレスフィルタとSSIDステルスがセキュリティ上の効果ほぼないから
コアな連中からしたら新しいハード認証するとき、いちいち解除しないと設定できなかったり
管理がめんどいだけの糞機能って認識で話題にならないんだと思う
MACアドレスフィルタの台数が一応オンラインの取説に掲載されてるけど
実機との台数がちがうんだよな・・・
取説では1900は32台の画面になってるけど実際は60台だったりで最近のNECのやる気のなさがでてるのがな・・・
台数おおよそこんな感じかと
60台:2600HP2、2200、1900
32台:2600HP、1800HP2とか1世代古いやつ
20台:1200HPとかのだいぶ古いやつ MACアドレスフィルタが意味ないとか言ってる人なんなん? MACアドレスはちょちょいと書き換えができるからなぁ
そこまでする人少ないげど。 パスワード突破してくるほど高度な人相手ならそんなの意味ないっしょ >904-905
・そもそも十分長いPSKであれば上積みすることに意味は無い
・上積みが意味を持つような弱いPSKであれば、通信しているMACアドレスは傍受すればわかるのでやはり意味は無い
(開けっ放しの扉に三角コーンを置いて安心しているようなもの) MACアドレスフィルタリングで防げる攻撃なんて無いからセキュリティとしてはなんの意味もないわな
他になんか理由があるならしても別に良いだろうけど >>909
あー、端末内部MACアドレス手動書き換えツールですかぁ。 >>905
簡単に書けば
SSIDやMACアドレスは外部からまる見えでMACアドレスは簡単に偽装できてしまうから
セキュリティ突破しようとするような連中には全くセキュリティ的な効果がない
セキュリティ的には暗号化されてるパスワードが重要
このためMACアドレスフィルタのセキュリティ以外の使い道模索した結果が
ペアレンタルコントロール(atermでは見えて安心ネット)って形で
子供が夜など特定の時間に使わないように内向きの制限かけるのに応用されてはいるけど
外部に対して片っ端から大量にフィルタするような使い方はされなくなってるよ 家も1200HSで日中平均で400Mbpsから調子のいいときで
600Mbps迄出るなNTTの基地局が近くに有るからだろう
夜間はあまり使用しないな >>903
ありがとう!
>>912
それは、「ピッキングツール持った空き巣がいたら、どんなに鍵かけても意味がない」って言ってるのと同じ。
やらないよりマシなのは間違いないし、必要と思う人だけ使えばいいの。
>>909
家の庭にチェーン張る意味を知ってる? >>903
1900で良いかと思ったけどUSB無しか・・ >>915
現実の違法な解錠は他人から見える位置でやるから高速に行わないと発見される可能性があるので
鍵の複数設置や耐性のある鍵にすることやチェーンには防犯の意味があるんだよ
対してMACアドレスフィルタリングの出番は既に十分な攻撃が実施されたあとで
突破に必要な要素はそれまでのアタックで完全に揃ってる
ていうかわざわざ自前のMACでアクセスしにくるやつなんていないから存在に気づかれないまである
全く比較になるようなものではないよ 要するにMACアドレス制限は暗号化よりも防御能力低いからやる意味ないてことでしょ
おれはそれに加えて管理が面倒という弊害があるから使ってないな
SSID隠蔽はうちでは特に弊害ないから一応やってるけど ステルスは子機がSSID送信しまくるからやらん方がいいとか
隣人が知らずに同じch使ってしまうからやらん方がいいとか
いう人もいるが…
うちは敢えてステルスにしてるw MACアドレスフィルタリングは有効だよ
なりすまし出来るから無意味なんて言う阿呆がいるけど
同一ネットワーク上に同じMACアドレスの機器があると通信が出来ないから
それだけで不正アクセスの抑止には効果がある >>921
それってIPアドレスの話では?
同じMACアドレスの別々の機器をどうやって見分けるの?
ルータ側からは1台としてしか見えないんじゃないの? えっ?デフォルトで同じMACアドレスの機器を販売しているメーカーがあるのか? >>921
そのPCなりクライアントなりが停止していたら、通信できちゃうじゃん
パソコンは絶対に電源を切らないし、スマホを家から持ち歩かないならいいけど この手のネタになると、なんでいつもバカが湧いてくるんだろう
MACアドレスでのフィルタリングも、SSIDのステルスも、そりゃ、ぜんぜん100点満点じゃないのはあたりまえ。
でも、マイナスにならない場合は5点でも10点でもかせげればいいじゃないか
少なくともまったく技術のない悪意だけあるクソガキに対する低い障壁くらいにはなるからやっときたい、というひとには、やらせときゃいいじゃねえか
どっかで聞きかじった知識で「完全な対策じゃないから無意味」と主張するのはバカの極み。 >>898,898氏
ありがとうございます。
契約書面の「■IPv6 オプション利用時の注意事項」を確認したところ
- 利用可能なポート番号、ポート数に制限があります。外部へサーバ公開
をお考えの方はご利用できません。
とありました。ここの部分は未読でした。迂闊でした。
同項目の説明冒頭には
・IPv6 オプションでは固定 IP アドレスなどご利用いただないサービスが
一部あります。
該当するサービスをご利用になる場合は「IPv6 オプションライト」に切
り替えてください。
とあるので、サポートに問い合わせて「IPv6 オプションライト」に切り替えることが出来るか確認致します。
解決に繋がる指摘をいただき誠にありがとうございました。 >>923
IOのコンバータ使うと繋いだ子機はコンバータのMACアドレスで認識されるで >>925
悪意だけのクソガキは暗号突破できないんだからから意味ないじゃん
MACアドレス制限は平文でやってるんだろ?
そんなのおれみたいなクソガキレベルの情弱でも意味ないってわかるわ >>922
見分けられないから通信が出来なくなるのだが
>>924
何時停止するか分からないのに停止するのを待つのは効率悪いだろ
パケット抜いてMACを調べるのは逆に通信中しか出来ないし
通信内容からMACアドレスフィルタが有効かも分からない
泥棒が鍵の2つ付いた扉を避けるのと同じ効果がある >>930
意味がわからないんだが
見分けられないならそのまま通信しちゃうでしょうよ
なりすました機器となにかしらの差分があればそれを遮断できるんだろうけど
見分けられないなら差分がないってことじゃん >>930
効率が悪いかどうかは主観的な問題だな
目標が定まっていて、そして何とか侵入しようと考えるのであれば、
ぜんぜん効率が悪い手法ではないし、
「鍵」がないということに例えれば、
端末が通信していない時間には「鍵」がない状態だから、
自宅の鍵の一つが数時間も開いてる状態に匹敵すると考えれば
むしろ効率は良いんじゃないかと思えるぐらい と、おもったが、問題はMACアドレステーブルの更新の問題だから、
たぶんMACアドレスを詐称している側がかなりの頻度でRARPを出し続ければ
MACアドレステーブルを更新し続けて詐称できるんでないかな?
いまはスイッチングハブだから、異なるMACアドレスに対応するポートに同時にデータを流して
それがコリジョンになるというより、最も直近に更新されたMACアドレステーブルに従って
そのポートにデータを流すだけだから、再送信機能のあるTCPだったら問題なく通信できてしまいそう。 とにかくそんなビビってないでパスワードなんか破られないし安心すりゃいいぞ >>931
同じMACの2台が応答返すからプロトコルが破綻する MAC制限は内部で勝手につなぐの防ぐ用だが、突破してきた場合、偶発的に繋がったとはいえなくなるのでジャブ扱いで使ってたな、そもそも無線なんてどんなことしても突破されるもの >>935
お前よくわからず言ってるだろ
2台が反応したところで見分けられなければあと勝ちになるだけじゃん >>937
馬鹿はお前だよ
IPアドレスが重複している場合と同じと考えれば分かりやすい
レイヤーが2か3の違いだけ >>938
IPアドレスが重複してる場合はMACアドレスが違うという明確な差分があるだろうがw
そんなこともわからず講釈垂れるとかお前こそ大馬鹿だわ >>939
>>933
ARP等のブロードキャストで重複した端末に重複MAC入のパケットが届いて重複検出されて終わり >>941
パケットは届けるだけで重複検出するのは上位レイヤーじゃないか?
レイヤー2の仕事は送り届けるだけだろう
仮にTCP接続しているのなら、TCPが判断するから、再送信機能のあるTCPだったら
たぶん有効な通信として判断すると思う >>942
L2ヘッダの送信元MACに自分と同じMACアドレスが入ったパケットが届く
それを異常と検出するだけ
仮想環境で仮想MACを使う場合に重複を検出して重複を回避するプロトコルなんかも既に存在している >>944
それは異常ではないと思うよ。そういうこともあり得る。
だから検出できない
どうも君の考え方が根本的に間違っていると思う
> MACアドレスの重複の調査方法
> IP重複の場合はOSがGARPで重複検知し、警告を表示させる機能がありますが、MAC重複に関してはそのような機能はありません。
> なので重複していないかどうかの確認はデフォルトゲートウェイとして使っている全てのNW機器の全VLANのARPテーブルを確認し、重複したMACがある場合はそれが前述の『問題・影響のあるパターン』かどうかを見極める必要があります。
> また、重複していることが判明した場合、どの端末が重複しているかの調査方法は、スイッチのMACアドレステーブルを確認し、そのMACアドレスがどのポートに繋がっているかを追っていくしかありません。
> フラッピングにより頻繁に変わるので惑わされず根気強く調査する必要があります。
http://milestone-of-se.nesuke.com/nw-basic/ethernet/mac-dup/ >>873
V6だとローカルドメインどころか、グローバルアドレス直で使える利点があるので、自前で年数千円もしないドメイン取って
表のDNSにぶちこめる
でもセキュリティ的にはちょい不安かなw >>945
お前が間違っている
検出は>>944で書いている単純ロジック
送信元MACに自分のMACが入ったパケットを受信することは正常なネットワークではあり得ない
明らかに異常な状態 結論
MACアドレスフィルタリングは
ステルスみたいな逆にセキュリティが落ちる機能と違って
デメリットは自分が設定が面倒になることと自分が他人に馬鹿にされることくらいだから
やりたい人は好きなだけ自由にやればいい
セキュリティ的に無意味だとちゃんと分かってる人も
その人の自己満足的には意味があるんだから
触らないこと >>948
検出方法はないっていう>>945を完全スルーするお前の意見は信頼性が皆無だな
>送信元MACに自分のMACが入ったパケットを受信することは正常なネットワークではあり得ない
スイッチだったら、MACアドレステーブルに従ってパケットが送信されるのだから
そのようなパケットは送信されないのでは?・・って最初から書いてるけど。 >>917
十分な攻撃って、単にパスワード手に入れただけのもんもいるよ。
理論づくめのように見えて、視野が狭すぎる。 >>925
御意。
・・・しかし、いつも湧いてくるのか。
情報セキュリティの教科書読んだだけなのかもしれないね。 >>950
お前は仮想環境で仮想MAC重複を検出するプロトコルがあると言ってる
>>944を先にスルーしている訳だが >>953
その仮想なんちゃらの話が、
ルーターにおけるMACアドレスフィルタリングに何の関係があるの? >>926
マッテー、言葉足らずだった。サービス変更しなくてもPPPoEアカウントも貰ってるでしょ?
オプションライトにするとIPv6対応した通信相手としかIPoEの恩恵を受けられなくなる
WG1810HPの設定からPPPoEブリッジを使用するでLAN側からPPPoE接続を確立できるはず
サーバー1台ならソレ自身が接続してもいいし、2台以上外部公開するなら>>899みたいにとか
ただ私は仕様上の知識で実体験じゃない、BIGLOBEスレやv6プラス関連スレの方がご同輩多いと思う >>954
ごめん仮想化とか高度すぎて分からんかw
仮想マシンが通信するために仮想マシン上の仮想NIC毎にMACアドレスが必要で
仮想マシン上で自動生成するが重複する事があって自動回避するプロトコルがある
MACアドレスは自動生成したものを使うがネットワーク上での挙動は通常の通信と変わらん
そのネットワーク上で重複を検出出来るプロトコルがあるのに検出出来ないとか無いからな WG1900HP(RTモード)→有線→WG1200HP(BRモード)→中継WG1200HP(CNVモード)→中継→W1200EX
ネットワークは192.168.1.0/24。
ここでゲスト用にネットはさせるけど192.168.1.0/24なセグメントにあるNASにアクセスさせないようにするには
192.168.1.0/24の配下にもう1台無線ルーターをおいてそのルーターでパケットフィルタリングで制限するしかない? ネットワーク分離でセカンドSSID使えばいいだけでは? セカンダリSSIDによるネットワーク分離機能についてもどかしい問題を2つ抱えてる。
(1) セカンダリSSIDは親機(RT/BRモード)でしか使えない。
(中継機では無効になって利用できない)
(2) セカンダリSSIDに繋いだとしても有線でつながってる他のクライアント(例えばNAS)にはアクセスできるんじゃないかな?
セカンダリSSIDからはプライマリSSIDにつながってる他の無線クライアントやクイックwebにアクセスできないだけで。 攻撃者がふつーのIPスタック使うものって信念をもって熱弁してるのが微笑ましい >>960
親機のセカンダリSSID(ネットワーク分離機能有効)に接続してみたけど
同一セグメントにある有線のNASにはアクセスできてしまうわ。
こりゃあきません。やっぱりもう1台ルーター使ってセグメント分けてパケットフィルタリングするしかないぽい。 >>963
NAS側では192.168.1.0/24からのアクセスを許可してるんだけども
ゲスト用クライアント毎に制限かけるのはかなりめんどくさい設定になるんだよね。
NAS側で制限かけるならDHCPサーバでゲスト用に割り当てるIPアドレス範囲も設定しないといけなくなるね。 >>964
いやパーミッションで見れなくすればってこと
NASの存在自体を隠蔽しなくてもいいのでは? とは言ってもゲスト用クライアントが手動でIPアドレスを設定してこられたら
アクセスされちゃうわけだけども。
やっぱゲスト用には異なるセグメントを設けて192.168.1.0/24以外のセグメントから192.168.1.0/24へのアクセスをルータで一括して弾くのがいいのかもしれないね。 >>965
なるほどsambaの共有ポイント設定をゲストユーザはbrowseable =noにすればいいってことかな。 >>967
そんなアプリの具体的な設定は知らんけど
SMBのゲストユーザを無効にするってことならそれで合ってると思うよ browseable =noって共有が一覧表示に出なくなるだけで
パス指定すれば繋がるのでは?
お手軽に隠せればいいなら十分だけど 単純にNASの利用制限かけたいだけなら
ワークグループわければいい気がするけど ワークグループ分けたってNASの隠蔽にもならないし
ゲストが有効ならアクセス制限もされないでしょ >>956
具体的に自分を環境書きますと、Win10ProのHyper-VでUbuntuを動かしている仮想マシンを設定し、
このUbuntu上にApacheを動かして公開しています。
具体的な話になりますとスレ違いどころか板違い外になりますので、プロバイダー板の方に移動して
同じような方がいらっしゃらないか聞いてみることにします。
本当にありがとうございました。 WG1200HP2/WG1200HS2の違いって
バンドステアリングの有無くらいよね?
だったら数百円でも安い方のWG1200HS2にするよね。
なんでこんな同じもん作るんかな。まったく理解できん
ところでWF1200HP2(生産終了品)が2700円くらいに下がってるね。
LANのギガビットは不要ってなら買いかな。親機に使うだけだしW-Fiデュアルバンド中継いらないし >>977
HSの方は子機や中継機として使えません >>978
教えるなよ。
>>977は知ったかぶりして、足りない知識をひけらかして悦に浸ってんだから
邪魔しないで様子見、買ってから気づく己の知識の浅さ レス数が950を超えています。1000を超えると書き込みができなくなります。