ヤマハルーターを個人で使用する人のための情報交換スレッドです。
旧ネットボランチシリーズと、その流れを汲むNVRシリーズと、
RTXシリーズなど企業向けの機種に関しても設定方法や使い方、
ハードウェア寄りの話題はこちらで扱います。
個人使用の範疇を超える内容や業務用ネットワークの構築・運用に関しては
通信技術板の「YAMAHA業務向けルーター運用構築スレッド」へお願いします。
YAMAHA業務向けルーター運用構築スレッドPart24
https://mao.5ch.net/test/read.cgi/network/1609198305/
両スレッドを臨機応変に使い分けていきましょう。
ヤマハネットワーク製品
https://network.yamaha.com/
ルーター|製品情報|ヤマハネットワーク製品
https://network.yamaha.com/products/routers/
ヤマハネットワーク周辺機器の技術情報ページ
http://www.rtpro.yamaha.co.jp/
前スレ
YAMAHAヤマハブロードバンドルーターpp select 31
https://mevius.5ch.net/test/read.cgi/hard/1618238582/
YAMAHAヤマハブロードバンドルーターpp select 30
https://mevius.5ch.net/test/read.cgi/hard/1607523704/
YAMAHAヤマハブロードバンドルーターpp select 29
https://mevius.5ch.net/test/read.cgi/hard/1595164990/
上記以前の過去スレは、まとめWikiを参照してください。
まとめWiki
http://wikiwiki.jp/yamaha-rtpro/
探検
YAMAHAヤマハブロードバンドルーターpp select 32
■ このスレッドは過去ログ倉庫に格納されています
1不明なデバイスさん
2021/10/07(木) 21:04:32.72ID:7RxNv0h3175不明なデバイスさん
2021/10/28(木) 13:29:26.20ID:W2FnujvT VPN接続するのにLAN内と通信させない運用がレアケースなんじゃ?
176不明なデバイスさん
2021/10/28(木) 15:13:16.64ID:RJFHzGu3 macアドレスフィルタリングの機能で登録した機器以外は拒否の設定があるのは知っていますが登録した機器を拒否する機能はありますか?
またはそのようなコマンドってありますかね
またはそのようなコマンドってありますかね
177不明なデバイスさん
2021/10/28(木) 15:16:52.93ID:JtFZQyIY ethernet filterでrejectすれば良いんじゃないの?
178不明なデバイスさん
2021/10/28(木) 17:03:24.77ID:EQy5M85O rejectすれば良いだけですね
179不明なデバイスさん
2021/10/28(木) 17:39:02.71ID:EQy5M85O >>174
配布するIPはなんでも構わないけど、設定サンプルが同一セグメントなのはその方が前提条件が楽だからではないかと予想
別セグメントの場合の前提条件として、リモートクライアントがLAN内のノードと通信する為には
LAN内の各ノードがVPNルータをゲートウェイとして別セグメントのリモートクライアントのIPと通信可能な設定になっている必要がある
ルーティングとかファイアウォールとか
同一セグメントであれば上記は意識する必要がないので楽
その代わりVPNルータはProxyARPを有効にする必要がある
リモートクライアント<->LAN間の通信に制限を設けたい場合には
別セグメントにする方が望ましいんじゃないかな
配布するIPはなんでも構わないけど、設定サンプルが同一セグメントなのはその方が前提条件が楽だからではないかと予想
別セグメントの場合の前提条件として、リモートクライアントがLAN内のノードと通信する為には
LAN内の各ノードがVPNルータをゲートウェイとして別セグメントのリモートクライアントのIPと通信可能な設定になっている必要がある
ルーティングとかファイアウォールとか
同一セグメントであれば上記は意識する必要がないので楽
その代わりVPNルータはProxyARPを有効にする必要がある
リモートクライアント<->LAN間の通信に制限を設けたい場合には
別セグメントにする方が望ましいんじゃないかな
180不明なデバイスさん
2021/10/28(木) 18:07:07.35ID:92Wb4QUL macの件ありがとうございます
181不明なデバイスさん
2021/10/28(木) 19:12:18.60ID:/lMDL5W5 AppleやGoogleの所為でMACアドレスのランダム化が普及したせいもあって
MACアドレスフィルタリングってもうすっかり過去の機能に成り下がった感ある
MACアドレスフィルタリングってもうすっかり過去の機能に成り下がった感ある
182不明なデバイスさん
2021/10/28(木) 20:10:35.50ID:+Yuhu2oU 今までRTX830 + Android で"L2TP IPSec PSK"によりVPN接続をしていたが、
Android12では
+ IKEv2/IPSec PSK
+ IKEv2/IPSec MSCHAPv2
+ IKEv2/IPSec RSA
しか選択肢がなくなってしまった。
RTX830は上記VPN接続に対応しているのだろうか?
正直なところコマンドリファレンスには IKEv2 という単語が出てくるものの、
今ひとつわかっていない。
Android12では
+ IKEv2/IPSec PSK
+ IKEv2/IPSec MSCHAPv2
+ IKEv2/IPSec RSA
しか選択肢がなくなってしまった。
RTX830は上記VPN接続に対応しているのだろうか?
正直なところコマンドリファレンスには IKEv2 という単語が出てくるものの、
今ひとつわかっていない。
183不明なデバイスさん
2021/10/28(木) 20:34:52.41ID:8YBNvk+S PPTPに続いてL2TP/IPSecもついに切り捨てられちゃったか
184不明なデバイスさん
2021/10/28(木) 20:39:06.48ID:87q/U9Pq 時代の流れだな
185不明なデバイスさん
2021/10/28(木) 20:55:42.73ID:8YBNvk+S IKEv2でもリモートVPNは普通に出来そうだけど試した事なかったなぁ
そいや設定サンプル見たことないかも
そいや設定サンプル見たことないかも
186不明なデバイスさん
2021/10/28(木) 21:33:52.84ID:FkD3ebcp >>181
うちは、指定したMACアドレスしかDHCPサーバーから払い出されないようにしてる。
そして、DHCPサーバーから払い出されなかったIPアドレスは島HUBから先の通信をrejectさせることにして不正接続に抗ってる。
うちは、指定したMACアドレスしかDHCPサーバーから払い出されないようにしてる。
そして、DHCPサーバーから払い出されなかったIPアドレスは島HUBから先の通信をrejectさせることにして不正接続に抗ってる。
187不明なデバイスさん
2021/10/28(木) 23:46:01.11ID:FFP3YDV8 ゼロトラスト広まって来てVPNもそろそろ時代遅れ
うちの会社もレガシーシステム利用時しかVPN使わなくなった
セキュリティ対策はファイアウォールじゃなくエンドポイントでやる時代だからな
うちの会社もレガシーシステム利用時しかVPN使わなくなった
セキュリティ対策はファイアウォールじゃなくエンドポイントでやる時代だからな
188不明なデバイスさん
2021/10/28(木) 23:54:44.48ID:87q/U9Pq セキュリティは専門会社に任せなさいみたいな流れからザ・インターネットって映画に出てきたゲートキーパーを思い出した
189不明なデバイスさん
2021/10/29(金) 07:38:46.52ID:ao/m3M+L もしIKEv2/IPSecでリモートVPNがまともに使えなかったらYAMAHAルータやばくね
190不明なデバイスさん
2021/10/29(金) 09:21:41.92ID:eRb3yntt RTX-1210はなぜ頻繁にオーバーフローするんだ?
パケットバッファは最大値で入力してるんだがなぁ
パケットバッファは最大値で入力してるんだがなぁ
192不明なデバイスさん
2021/10/29(金) 09:58:42.58ID:fx2l7MiM >>190
単独のスピードテストですらCPU負荷が80%超えて警告出たりするしスペックが足りてないんだろうな
単独のスピードテストですらCPU負荷が80%超えて警告出たりするしスペックが足りてないんだろうな
193不明なデバイスさん
2021/10/29(金) 11:03:23.78ID:+WYmp4ZC RTXの後ろにハイフン入れられると不安な気持ちになる
194不明なデバイスさん
2021/10/29(金) 14:08:26.70ID:4cw5++7h グラボみたい
195不明なデバイスさん
2021/10/29(金) 20:57:41.92ID:MErR03Pu VPNは古いとか最近言われるけど、企業ならいざ知らず、個人ではそれに代わるものを作るのは難しい、気がする
とりあえず、自宅ネットワークへ比較的簡単に安全な接続ができるシステムはVPN含め頑張って欲しいなあ
#ターゲットが違うのはわかるけど
とりあえず、自宅ネットワークへ比較的簡単に安全な接続ができるシステムはVPN含め頑張って欲しいなあ
#ターゲットが違うのはわかるけど
196不明なデバイスさん
2021/10/29(金) 21:52:59.00ID:TiUtjnA+ そもそも自宅にVPNやるのって何目的?
それこそ簡単にクラウド化できるんじゃ無いの?
それこそ簡単にクラウド化できるんじゃ無いの?
197不明なデバイスさん
2021/10/29(金) 22:30:47.97ID:50NeBf5e >>196
1.ひかり電話を別宅や出先でも使える
2.別宅のプロバイダ無しでNTTのフレッツ契約だけして自宅のプロバイダに乗っかる
3.出先でフリースポット見つけたときにそこのスポットの安全性が不明な場合VPNで自宅に繋げばある程度は安全
4.自宅と出先のIP電話の盗聴防止
ぐらいしか思いつかないけどまだいろいろ活用法はあると思うよ
1.ひかり電話を別宅や出先でも使える
2.別宅のプロバイダ無しでNTTのフレッツ契約だけして自宅のプロバイダに乗っかる
3.出先でフリースポット見つけたときにそこのスポットの安全性が不明な場合VPNで自宅に繋げばある程度は安全
4.自宅と出先のIP電話の盗聴防止
ぐらいしか思いつかないけどまだいろいろ活用法はあると思うよ
198不明なデバイスさん
2021/10/29(金) 23:01:00.69ID:1qgv4sLx >>197
携帯とかP2Pの通話アプリを普通に使えるのに、1と4の手段をとる人ってどれくらいいるのだろうか。
別宅とかフレッツ回線維持できる財力なのに、1000円程度のプロバイダ料金を払いたくないと思う人っているのだろうか。
携帯とかP2Pの通話アプリを普通に使えるのに、1と4の手段をとる人ってどれくらいいるのだろうか。
別宅とかフレッツ回線維持できる財力なのに、1000円程度のプロバイダ料金を払いたくないと思う人っているのだろうか。
199不明なデバイスさん
2021/10/29(金) 23:53:46.75ID:GW5yh8vf 出先で家電受けるって事じゃない?
200不明なデバイスさん
2021/10/30(土) 00:13:54.89ID:GP+Gp2V3 茄子だろ。後は家電とかか
201不明なデバイスさん
2021/10/30(土) 00:20:46.88ID:pCnTA/nl 帰宅前に自宅のエアコンを付けたいあるある
202不明なデバイスさん
2021/10/30(土) 00:27:21.05ID:GP+Gp2V3203不明なデバイスさん
2021/10/30(土) 00:27:42.03ID:N0mUX4xu エアコンつけるくらいならVPN必要ないだろ
204不明なデバイスさん
2021/10/30(土) 03:24:27.18ID:QKFEn3Y9 NASも家電も外部からアクセスさせる仕組み標準で提供してきてるしな
205不明なデバイスさん
2021/10/30(土) 06:59:29.71ID:mH0GJHLw >>202
ひかり電話の県外の固定電話への転送?はやってる。
転送料金要らないし発信でも電話番号表示が店舗の電話番号が表示されて便利。
アリバイ工作にも使える。
特にスマホでひかり電話が発信できるようにしておくと便利だよ。
スマホに着信は不安定なのでやめた。
ひかり電話の県外の固定電話への転送?はやってる。
転送料金要らないし発信でも電話番号表示が店舗の電話番号が表示されて便利。
アリバイ工作にも使える。
特にスマホでひかり電話が発信できるようにしておくと便利だよ。
スマホに着信は不安定なのでやめた。
206不明なデバイスさん
2021/10/30(土) 07:05:06.40ID:mH0GJHLw あと、特にFAXの送受信ができるのが助かる。
店舗のFAXを自宅で受けるのが便利。
スマホでFAXが受信出来たら最高なんだが。
多分なにかしらの有料アプリならできるんだろうが、無料の方法を知りたい。
店舗のFAXを自宅で受けるのが便利。
スマホでFAXが受信出来たら最高なんだが。
多分なにかしらの有料アプリならできるんだろうが、無料の方法を知りたい。
207不明なデバイスさん
2021/10/30(土) 07:06:39.09ID:4BLSXB6m FAXがISDNよりも長生きするとは思わなかったわい
208不明なデバイスさん
2021/10/30(土) 08:41:55.17ID:DAuvkctE FAX受信したらメールに飛ばすぐらいどこの機械でもできるだろ?
それで十分
それで十分
209不明なデバイスさん
2021/10/30(土) 09:32:04.08ID:vcZ5WxKA210不明なデバイスさん
2021/10/30(土) 11:28:19.27ID:CkZphWOD >>182
ほんまや…
ttps://user-images.githubusercontent.com/24488142/122143539-9e35c780-ce8c-11eb-9629-5d3d32b581e6.png
ほんまや…
ttps://user-images.githubusercontent.com/24488142/122143539-9e35c780-ce8c-11eb-9629-5d3d32b581e6.png
211不明なデバイスさん
2021/10/30(土) 11:43:20.89ID:CdqdNxIv 普通のメニューから新規設定できないだけで元々設定してあるままOSアップデートだとL2TP自体は使えるようだからOpenVPNみたいに設定アプリを作れば新規設定できる気がする
212不明なデバイスさん
2021/10/30(土) 12:15:30.06ID:vcZ5WxKA213不明なデバイスさん
2021/10/30(土) 13:21:36.82ID:VUVsm8jG Android12の件はβ版が出回ってた頃からヤマハさんは既に認識してただろうに
このまま何もアクション起こさないのかな
このまま何もアクション起こさないのかな
214不明なデバイスさん
2021/10/30(土) 13:32:09.42ID:dc8QFEVo 転送電話代ケチってVPNとかアホらしいにも程がある
もうそういう変態しかVPN使わなくなる時代になっとるんやね
もうそういう変態しかVPN使わなくなる時代になっとるんやね
215不明なデバイスさん
2021/10/30(土) 16:58:09.12ID:5nwEkkeP まあでもVPNで自宅のストレージその他をプライベートクラウド化って便利じゃないか?
あとPT3+Mirakurun+EPGStationとかでTV視聴環境があればプライベートアドレスのままアクセスできるし
まあヤマハルーター用意しなくてもSoftEtherとかでもやれるけどね
しかし端末側でIKEv2必須になったらいろいろ面倒になるな
あとPT3+Mirakurun+EPGStationとかでTV視聴環境があればプライベートアドレスのままアクセスできるし
まあヤマハルーター用意しなくてもSoftEtherとかでもやれるけどね
しかし端末側でIKEv2必須になったらいろいろ面倒になるな
216不明なデバイスさん
2021/10/30(土) 22:15:57.33ID:nWvU1WFu IPSecはそもそもNAT越えが面倒だし、リモートVPNで使うのはいい加減流行らない気もするんだがどうなんだろ
次の主流派どれになるのか
次の主流派どれになるのか
217不明なデバイスさん
2021/10/30(土) 22:28:13.62ID:ry6xmVIM218不明なデバイスさん
2021/10/30(土) 23:42:56.37ID:TM6O48di 手軽な設定でそこそこセキュアに自宅のネットワークへ接続して直接ファイルを触れるなら、別にVPNじゃなくてもいいんだよね
ルーターひとつで出来ると嬉しいし、それが今持ってるRTXで出来るようになって欲しいし、みたいな
ルーターひとつで出来ると嬉しいし、それが今持ってるRTXで出来るようになって欲しいし、みたいな
220不明なデバイスさん
2021/10/31(日) 07:16:51.28ID:TNqBKwXn SSHでも言われてるけどパスワードじゃなくてキーペアにしたいってのはあるかも
お手軽さだとOpenVPNとかWireguardあたり
お手軽さだとOpenVPNとかWireguardあたり
221不明なデバイスさん
2021/10/31(日) 09:42:12.02ID:zKRfuWgA222不明なデバイスさん
2021/10/31(日) 10:09:44.01ID:mFk6LZTo 個人なら無料枠で十分だろなんか動かしっぱなしとかにしなければ
223不明なデバイスさん
2021/10/31(日) 11:33:14.74ID:MzqZ5Y32226不明なデバイスさん
2021/10/31(日) 12:47:11.74ID:mFk6LZTo 捨てたら文句言う奴が出てくるからな
未だにxpが良かった2000が良かったとか言ってるような奴らがでかい声で叫んでる世界
未だにxpが良かった2000が良かったとか言ってるような奴らがでかい声で叫んでる世界
227不明なデバイスさん
2021/10/31(日) 13:07:51.99ID:ZmkQifYh iOSやAndroidがセキュリティ重視で下位互換はそこまで重視してないのに対して
PC用OSのWindowsは極力互換性残す方向性だしね
労せず互換性残せるににわざわざ切り捨てるとかあんましそうに無いわ
Windowsがわざわざ切り捨てた互換機能って過去になんかあったっけか
PC用OSのWindowsは極力互換性残す方向性だしね
労せず互換性残せるににわざわざ切り捨てるとかあんましそうに無いわ
Windowsがわざわざ切り捨てた互換機能って過去になんかあったっけか
229不明なデバイスさん
2021/10/31(日) 14:05:22.44ID:uWRBfbYH WIN16アプリケーションの実行機能とか
230不明なデバイスさん
2021/10/31(日) 16:52:46.09ID:ovSqOukk そういやNetBEUIは使われなくなったか
231不明なデバイスさん
2021/10/31(日) 17:00:38.95ID:y764MFOc それXPの時点でおまけ扱いなってたやろ
232不明なデバイスさん
2021/11/01(月) 00:34:09.18ID:OLpSq/qi TELNETもデフォルトでは無効になったな
233不明なデバイスさん
2021/11/01(月) 00:52:47.00ID:ojEEysws 動的フィルタのメリットが今一つよく理解できません
トリガに連動して他のポートを開けたりするようなケースならまだわかるのですが、
単独のポートの場合はトリガーのためにどのみち静的フィルタで開けているので
わざわざ動的にして意味があるのかなと・・・
トリガに連動して他のポートを開けたりするようなケースならまだわかるのですが、
単独のポートの場合はトリガーのためにどのみち静的フィルタで開けているので
わざわざ動的にして意味があるのかなと・・・
234不明なデバイスさん
2021/11/01(月) 01:55:44.02ID:DhV5tO5E235不明なデバイスさん
2021/11/01(月) 02:41:57.88ID:kxg5U0N/ リモートVPNの事で質問です
pp select annonymous 配下に
アカウント(複数)を pp auth username文、
IPプールを ip pp remote addls pool文で指定している状況で、
一部のアカウントにだけ使用するIPを固定する事は可能なのでしょうか
<例>
IPプール: 192.168.1.11-192.168.1.16
ユーザ: user01〜user06
※user01には192.168.1.11、user02には192.168.1.12を固定で使用させたい
pp select annonymous 配下に
アカウント(複数)を pp auth username文、
IPプールを ip pp remote addls pool文で指定している状況で、
一部のアカウントにだけ使用するIPを固定する事は可能なのでしょうか
<例>
IPプール: 192.168.1.11-192.168.1.16
ユーザ: user01〜user06
※user01には192.168.1.11、user02には192.168.1.12を固定で使用させたい
236不明なデバイスさん
2021/11/01(月) 03:17:04.49ID:ojEEysws >>234
あっ、なるほど、戻りパケット…
例えば中から外へのTCP通信ですが、
戻りパケット用にppインターフェースのin方向に
ip filter 32 pass * 192.168.0.0/24 established * *
とかで開けているところ、
TCPを全部動的フィルタにしてしまえばこのフィルタは不要になるという事ですね
…あれ?
でも最初のパケットはトリガーで動的フィルタを通らないから、それだと最初の戻りパケットは
入ってこれないような?
あれ?
あっ、なるほど、戻りパケット…
例えば中から外へのTCP通信ですが、
戻りパケット用にppインターフェースのin方向に
ip filter 32 pass * 192.168.0.0/24 established * *
とかで開けているところ、
TCPを全部動的フィルタにしてしまえばこのフィルタは不要になるという事ですね
…あれ?
でも最初のパケットはトリガーで動的フィルタを通らないから、それだと最初の戻りパケットは
入ってこれないような?
あれ?
237不明なデバイスさん
2021/11/01(月) 08:06:09.52ID:/kOH0rFw >>235
IPプールのIPは、アカウントでIPを指定していない場合は若番から早いもの勝ちで使われる筈
例えばuser03が最初に繋ぎにいったら192.168.1.11を使っちゃうので、
後からuser01が繋ぎにいっても192.168.1.11は既に使われていて接続出来ない事になる
どうしても一部のアカウントだけIPを固定にしたい場合は、
IPレンジの後ろから割り当てればよい…筈
間違ってたら指摘よろ>識者
IPプールのIPは、アカウントでIPを指定していない場合は若番から早いもの勝ちで使われる筈
例えばuser03が最初に繋ぎにいったら192.168.1.11を使っちゃうので、
後からuser01が繋ぎにいっても192.168.1.11は既に使われていて接続出来ない事になる
どうしても一部のアカウントだけIPを固定にしたい場合は、
IPレンジの後ろから割り当てればよい…筈
間違ってたら指摘よろ>識者
238不明なデバイスさん
2021/11/01(月) 11:59:27.81ID:CEmjnIBa >>237
その認識で間違ってないと思う
但しひとつだけ注意点
IPを指定していないアカウントはひとつのアカウントで複数セッション同時に接続する事が可能だから、
そういう運用をする可能性がある場合にはIPレンジを広げておく方が安全
仮に以下のように修正したとして、
・IPプール: 192.168.1.11-192.168.1.16
・ユーザ: user01〜user06
・user01には192.168.1.15、user02には192.168.1.16を固定で使用
例えばuser03〜user06の4アカウントで5セッション接続している場合
192.168.1.11〜192.168.1.15を使用するから
その時点でuser01は接続できない状態となってしまう
その認識で間違ってないと思う
但しひとつだけ注意点
IPを指定していないアカウントはひとつのアカウントで複数セッション同時に接続する事が可能だから、
そういう運用をする可能性がある場合にはIPレンジを広げておく方が安全
仮に以下のように修正したとして、
・IPプール: 192.168.1.11-192.168.1.16
・ユーザ: user01〜user06
・user01には192.168.1.15、user02には192.168.1.16を固定で使用
例えばuser03〜user06の4アカウントで5セッション接続している場合
192.168.1.11〜192.168.1.15を使用するから
その時点でuser01は接続できない状態となってしまう
239不明なデバイスさん
2021/11/01(月) 13:43:48.42ID:pQm9vWlB >>236
普通の使い方なら、公式設定例もそうだが、外から中へは静的フィルターでは開けていない。
静的フィルターは、中から外に対して(トリガー用)だけ。
このトリガーによって、外から中への動的フィルターが動作する。
普通の使い方なら、公式設定例もそうだが、外から中へは静的フィルターでは開けていない。
静的フィルターは、中から外に対して(トリガー用)だけ。
このトリガーによって、外から中への動的フィルターが動作する。
241不明なデバイスさん
2021/11/01(月) 21:41:39.92ID:g4DEvJa5 あ、プール内でか
無理だね
無理だね
242不明なデバイスさん
2021/11/01(月) 21:50:36.86ID:xdPZZQAO 固定で割り当てるIPをIPプールから外したらダメなの?
pp auth username user01 "パスワード" 192.168.1.11
pp auth username user02 "パスワード" 192.168.1.12
pp auth username user03 "パスワード"
pp auth username user04 "パスワード"
pp auth username user05 "パスワード"
pp auth username user06 "パスワード"
ip pp remote addls pool 192.168.1.13-192.168.1.16
pp auth username user01 "パスワード" 192.168.1.11
pp auth username user02 "パスワード" 192.168.1.12
pp auth username user03 "パスワード"
pp auth username user04 "パスワード"
pp auth username user05 "パスワード"
pp auth username user06 "パスワード"
ip pp remote addls pool 192.168.1.13-192.168.1.16
243不明なデバイスさん
2021/11/02(火) 01:04:46.52ID:sjRlvpcv あっ、固定で制定するIPも必ずプールに必ず含まれていないといけない物と思ってましたが
そんな事ないんですね
ありgとうございます、解決しました
そんな事ないんですね
ありgとうございます、解決しました
244不明なデバイスさん
2021/11/02(火) 01:29:49.00ID:00OA4v+W245不明なデバイスさん
2021/11/02(火) 12:00:19.34ID:Ia/qRyL/ nat descriptor masquerade incomingの設定って皆さんしてます?
デフォだと、0-1023までのポートの場合、リセットかえしちゃうんで。
discardにして、外のインターフェースをstealth設定して使ってます。
デフォだと、0-1023までのポートの場合、リセットかえしちゃうんで。
discardにして、外のインターフェースをstealth設定して使ってます。
246不明なデバイスさん
2021/11/02(火) 12:26:53.45ID:svxcl/Lf >>243
IPプールはアカウントに動的に割り当てたいIP範囲を定義しているだけであって、
全部固定ならそもそも必要が無いものだよ
ちなみにアカウントに固定で設定するIPはセグメントがバラバラでも構わない
IPプールはアカウントに動的に割り当てたいIP範囲を定義しているだけであって、
全部固定ならそもそも必要が無いものだよ
ちなみにアカウントに固定で設定するIPはセグメントがバラバラでも構わない
247不明なデバイスさん
2021/11/02(火) 12:32:00.87ID:Ia/qRyL/ >>244
静的
外から中→全て落とす
中から外→syn付tcpのみ通す
動的
中から外→tcp
とかやると、最初にsyn通したsrc/port, dst/portの通信のみ通すことが
できるので、一番抜けがない設定なのかなと思います。
静的
外から中→全て落とす
中から外→syn付tcpのみ通す
動的
中から外→tcp
とかやると、最初にsyn通したsrc/port, dst/portの通信のみ通すことが
できるので、一番抜けがない設定なのかなと思います。
248不明なデバイスさん
2021/11/02(火) 14:20:58.88ID:svxcl/Lf249不明なデバイスさん
2021/11/02(火) 14:28:34.95ID:4UtoFu3F UPnPってみなさん使ってます?
UPnPがデフォルトで無効に変更された頃からセキュリティ的に考えて使わないのが
常識なのかなと思ってるのですが、なんだかんだで世間的には案外使われている
気もして、実際どうなんだろうなと
UPnPがデフォルトで無効に変更された頃からセキュリティ的に考えて使わないのが
常識なのかなと思ってるのですが、なんだかんだで世間的には案外使われている
気もして、実際どうなんだろうなと
250不明なデバイスさん
2021/11/02(火) 14:40:57.72ID:nkVoKw5m スマート家電とか多いし使ってるよ
252不明なデバイスさん
2021/11/02(火) 14:48:41.62ID:qU5s8u4p253不明なデバイスさん
2021/11/02(火) 15:26:53.60ID:svxcl/Lf254不明なデバイスさん
2021/11/02(火) 15:31:59.26ID:4UtoFu3F255不明なデバイスさん
2021/11/02(火) 15:38:14.52ID:00OA4v+W >>247
解りやすい説明ありがとうございます、理解できました
syn付tcpのみ通すといいうのは、中のノードから何らかの問題でいきなりackの変なパケットが送信されても外に飛び出さないに封じる事が出来るという事ですよね
解りやすい説明ありがとうございます、理解できました
syn付tcpのみ通すといいうのは、中のノードから何らかの問題でいきなりackの変なパケットが送信されても外に飛び出さないに封じる事が出来るという事ですよね
258不明なデバイスさん
2021/11/02(火) 16:23:39.94ID:qU5s8u4p >>253
Remote Desktop自体がインターネット経由での接続に最適化されていないし、積極的に活用する人が少ないんじゃないかな
最適化されてないってのは
- (固定IP等でなければ)DDNSサービスが別途必要
- ルータに穴あけ(フォワード)設定が必要
- 多重NAPT環境では機能しない(上流側NAPTに穴あけできない場合)
- 実効帯域に合わせて色数や圧縮率を動的に変更するような機能が無い(はず)
一般的には接続先(LAN内のPC)の台数分、ポートフォワードを設定しないといけないし
WAN側から接続してくるクライアントのIPアドレスに応じて、同一のポートから別の内部アドレスにフォワード出来るようなルータなら別だけど、少なくともヤマハじゃ無理だよね?
Remote Desktop自体がインターネット経由での接続に最適化されていないし、積極的に活用する人が少ないんじゃないかな
最適化されてないってのは
- (固定IP等でなければ)DDNSサービスが別途必要
- ルータに穴あけ(フォワード)設定が必要
- 多重NAPT環境では機能しない(上流側NAPTに穴あけできない場合)
- 実効帯域に合わせて色数や圧縮率を動的に変更するような機能が無い(はず)
一般的には接続先(LAN内のPC)の台数分、ポートフォワードを設定しないといけないし
WAN側から接続してくるクライアントのIPアドレスに応じて、同一のポートから別の内部アドレスにフォワード出来るようなルータなら別だけど、少なくともヤマハじゃ無理だよね?
259不明なデバイスさん
2021/11/02(火) 16:33:41.11ID:00OA4v+W 動的フィルタで内から外へICMP通信(pingやtraceroute等)が出来るようにしたいのですが、
やり方がいまいちよく分かりません
pingだけなら
ip filter dynamic 30 * * ping
で行けてるのですが、
tracerouteがよくわかりません
ip filter dynamic 31 * * echo
とかやってもTime Exceededは入ってこれないし、う〜ん
やり方がいまいちよく分かりません
pingだけなら
ip filter dynamic 30 * * ping
で行けてるのですが、
tracerouteがよくわかりません
ip filter dynamic 31 * * echo
とかやってもTime Exceededは入ってこれないし、う〜ん
260不明なデバイスさん
2021/11/02(火) 16:41:07.21ID:nYgPKJUO >>253
ちょっと前までRDPはTLS1.0必須の弱い暗号だったからね
今はTLS1.3も使えるがServer2022とWin11(Win10 21H2でも可)に入れ換える必要あり
グローバルIPでポート3389を開けてたらものの数分でブルートフォースアタックが数百箇所から集中して回線帯域がすぐ埋まる
ちょっと前までRDPはTLS1.0必須の弱い暗号だったからね
今はTLS1.3も使えるがServer2022とWin11(Win10 21H2でも可)に入れ換える必要あり
グローバルIPでポート3389を開けてたらものの数分でブルートフォースアタックが数百箇所から集中して回線帯域がすぐ埋まる
261不明なデバイスさん
2021/11/02(火) 16:43:40.00ID:4UtoFu3F >>258
>WAN側から接続してくるクライアントのIPアドレスに応じて、同一のポートから別の内部アドレスにフォワード出来るようなルータなら別だけど、少なくともヤマハじゃ無理だよね?
例えばこんな感じでいけるんじゃない?
nat descriptor masquerade static 1 101 192.168.100.1 tcp 30001=3389
nat descriptor masquerade static 1 102 192.168.100.2 tcp 30002=3389
nat descriptor masquerade static 1 103 192.168.100.3 tcp 30003=3389
>WAN側から接続してくるクライアントのIPアドレスに応じて、同一のポートから別の内部アドレスにフォワード出来るようなルータなら別だけど、少なくともヤマハじゃ無理だよね?
例えばこんな感じでいけるんじゃない?
nat descriptor masquerade static 1 101 192.168.100.1 tcp 30001=3389
nat descriptor masquerade static 1 102 192.168.100.2 tcp 30002=3389
nat descriptor masquerade static 1 103 192.168.100.3 tcp 30003=3389
262不明なデバイスさん
2021/11/02(火) 17:21:02.38ID:Ia/qRyL/263不明なデバイスさん
2021/11/02(火) 17:22:47.03ID:Ms6+252Z VNCとごっちゃになってる?
265不明なデバイスさん
2021/11/02(火) 18:07:27.42ID:sHkJjCfF >>262
完全動的フィルタ化は一端諦めて、
中から外への動的フィルタは
ip filter dynamic 30 * * ping
外から中への静的フィルタを
ip filter pass * <ローカルセグメント> icmp 11
として、 Time Exceededだけ静的に入ってこれるようにしました
これが限界なのかな?
完全動的フィルタ化は一端諦めて、
中から外への動的フィルタは
ip filter dynamic 30 * * ping
外から中への静的フィルタを
ip filter pass * <ローカルセグメント> icmp 11
として、 Time Exceededだけ静的に入ってこれるようにしました
これが限界なのかな?
266不明なデバイスさん
2021/11/02(火) 18:17:34.89ID:qU5s8u4p >>261
それだとWAN側30001-30003ポート(=LAN側PC 3台分)で待ち受ける必要があるでしょう、って話
そうではなくて、
30001だけで待ち受けて繋いでくるクライアントのグローバルIPアドレス(srcアドレス)に応じてLAN側.100.1-.100.3に振り分けられないよね、ってこと
それだとWAN側30001-30003ポート(=LAN側PC 3台分)で待ち受ける必要があるでしょう、って話
そうではなくて、
30001だけで待ち受けて繋いでくるクライアントのグローバルIPアドレス(srcアドレス)に応じてLAN側.100.1-.100.3に振り分けられないよね、ってこと
268不明なデバイスさん
2021/11/02(火) 18:47:46.14ID:O4DNVGtz ポートセービングIPマスカレードの動作タイプ2とtwiceNATの合わせ技ができれば可能かも。
269不明なデバイスさん
2021/11/02(火) 19:05:09.36ID:sHkJjCfF あれっ
show ip connection って動的フィルタのICMPのコネクションは表示されないのか
そういうもんなのかな
show ip connection って動的フィルタのICMPのコネクションは表示されないのか
そういうもんなのかな
270不明なデバイスさん
2021/11/02(火) 20:27:26.24ID:1pMHBZGv >>260
確かに一昔前は暗号強度的な不安が大きかったですもんね
今なら普通は最低でもTLS1..2なので許容できる印象です
グローバルIPで3389のまま開けるのは流石にちょっとデンジャラスですね…w
確かに一昔前は暗号強度的な不安が大きかったですもんね
今なら普通は最低でもTLS1..2なので許容できる印象です
グローバルIPで3389のまま開けるのは流石にちょっとデンジャラスですね…w
271不明なデバイスさん
2021/11/02(火) 20:31:41.79ID:1pMHBZGv273不明なデバイスさん
2021/11/02(火) 23:36:29.48ID:C3eWAdBO >>272
リモートクライアントにLANセグメントと異なるIPを付与してる設定サンプルって確かに全然みつからないね
リモートクライアントにLANセグメントと異なるIPを付与してる設定サンプルって確かに全然みつからないね
274不明なデバイスさん
2021/11/03(水) 00:24:32.01ID:a61w0tsq VPN繋ぐのに何故に別セグにするんだっけ?
■ このスレッドは過去ログ倉庫に格納されています
ニュース
- 【東京大学大学院】「早く金持ってこい。なめてんのか殺すぞ」 東大教授ら“高額接待”強要か“1回100万円も” 化粧品団体が提訴へ [ぐれ★]
- 立川小学校襲撃、男2人は瓶をたたきつけ椅子で担任殴る…児童とのトラブルで面談した母親と来校 [どどん★]
- 気持ち悪ッ!大阪・関西万博の大屋根リングに虫が大量発生…日刊ゲンダイカメラマンも「肌にまとわりつく」と目撃証言 [バイト歴50年★]
- 【文春】永野芽郁(25)&田中圭(40)燃え上がる不倫LINE ★28 [Ailuropoda melanoleuca★]
- 中国製戦闘機でインド機撃墜か 事実なら空戦で初―パキスタン ★2 [蚤の市★]
- 小原ブラス、「妻子がいると知っていながら田中圭に恋をして彼の気を引いたとしても、永野芽郁がそんなに悪いとは思えないのだ。」 [muffin★]
- 自民・西田「広島もおかしい! 安らかにお眠りください。過ちは繰り返しませぬからとは何だ! 答えろ!」 [425744418]
- ネトウヨ、シールに激怒… [667744927]
- 【緊急】嫌儲板の改名が決定。ニュース速報(◯◯)👈新名称を募集中の模様 [315952236]
- ▶ぺこらはなぜ金ダツラから逃げたのか
- 日本人によるイスラエル人差別が激増 [249548894]
- 女性「『男が欲しいのは女の肉体だけ』と気づいてから男の心と人権が死ぬほどどうでも良くなった。全て男の自業自得」322万 [856698234]