YAMAHA業務向けルーター運用構築スレッドPart16
at NETWORK
[前50を表示]
250:anonymous
15/09/17 00:35:36.81 .net
極端な話PCとルーター間でL2TP/IPsecつかってそのルーターにログインするならtelnetでもいいんじゃねって思うけどね
上の話にもでてるL2TP/IPsecの挙動がおかしいならSSHで入って確かめろって感じ
SSHとIPsecどちらが脆弱性があるかといわれるとバグ的なものであればどちらも可能性がある
どちらもヤマハの場合は公開鍵に対応してないのでセキュリティ云々であれば内部にSSHのサーバー用意して公開鍵認証でもすればよいが
管理コストや利便性を考えてポートスキャン的なアタックならパスワードの強度があれば普通は気にするほどでもないと思う
251:anonymous
15/09/17 08:33:19.84 .net
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ヽ
/:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::://ヽ:::::::::::::::|
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::// ヽ::::::::::::::l
l:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::/:::「'ヽ:::::::::::// ヽ:::::::::::|
|::::::::::::::::::::::::::::::::::::::::::::::::::::::::::ノl:::ノ l:::::::/ ヽ::::::::|
ノ:::::::::::::::::::::::::::::::::::::::::::::::::::::/ ゙゙ ノ:::/ ,,;;;;;;,, ,,,,ヽ:::::l
):::::::::::::::::::::::::::::::::::::::::::::::/ ノ/ __,'''i: ('''__):::l
)::::::::::::::::::::::::::::::::::::::::::::::::::/  ̄ ̄ン:. :「 ̄`ヾ
1:::::::::::::::::::::::「 `┤l:::::::::::::::::l  ̄ , ヽ ̄ l
`l:::::::::::::::::::::ヽ :l li:::::::::::::/ /´ `l | <ヴッ!!!
ヽ::::::::::::::::::::::\_」 lヽ::::/ !:-●,__ ノ /
ノ:::::::::::::::::::::::::::ノ | l `゙゙ ,,;;;;;;;;;;;;;;;;;;;;, /ヽ
,/ ヽ::::::::::::::::::::::( l l::::::::.. /.:''/´ ̄_ソ / `ヽ
ヽ:::::::::::::::ヽ | l:::::::::::... /::// ̄ ̄_ソ / \
ヽ:::::::\| l::::::::::::::::... / :::.ゝ` ̄ ̄/ / ヽ
ヽ:::l l:::::::::::::::::::..  ̄ ̄;;'' / ヽ
l l;;;;;;:::::::::::::::.....;;;;............;;;;;;''ノ l
l l '''''''''''''''''''''''''''''''''''''' ̄l | |
URLリンク(y2u.be)
252:anonymous
15/09/17 11:01:28.13 .net
>>250
>ヤマハの場合は公開鍵に対応してない
え、そうなの!
自分の公開鍵をrtxに登録して、認証を受けるような使い方はできないのか。
URLリンク(www.rtpro.yamaha.co.jp)
ここにあるのは、クライアントだけなのか。
253:anonymous
15/09/17 15:29:35.49 .net
>>247
>ルーター自身のアドレス宛:23(SSH)パケット
>ルーター自身のアドレス宛:23(SSH)パケット
>ルーター自身のアドレス宛:23(SSH)パケット
254:anonymous
15/09/17 17:17:50.42 .net
>>253
何が言いたいのか謎
255:anonymous
15/09/17 17:20:49.65 .net
22じゃないから突っ込んでるつもりじゃね?
256:anonymous
15/09/17 23:03:21.89 .net
TELNETの方が原始的なプロトコルなのに、23だとは。
257:anonymous
15/09/18 09:06:54.03 .net
敢えて23ポートに変えてるのかもしれない
258:anonymous
15/09/18 09:10:37.77 .net
゚.ノヽ
バンバンバンバンバン 、-' `;_''
バンバンバンバンハ (,(~ヽ'~
バン ∧__∧ バン ,i`'}
(∩`・ω・)_ ,i i
ノ ミつ、 _/ i
と<~_~_-~=、 ,,-,/' ミ ポイッ
{~''~>`v-''`ー゙`'~ ミ <丶`Д´>
レ_ノ <丶`Д´>
ポイッ
259:anonymous
15/09/18 11:34:56.29 .net
>>257
意味がわからない
260:anonymous
15/09/18 11:42:14.56 .net
>>252
RTXがサーバーとして振る舞い、
クライアントを電子証明書で認証する場合、認証局に証明書の正当性を問い合わせる必要もあるから、
実装が大変なのかもしれない。
ルーターにこういう電子証明書基盤を実装しないのは一般的なのかな?
だからと言って、sshdは単純に公開鍵で認証するようにはしてほしいな。
261:anonymous
15/09/18 11:51:03.15 .net
>>250
まさに、そういう場合はtelnet使っている。
dosプロンプトで、簡単に使えるからな。
L2TP/IPsecがおかしくなった場合備えて、別拠点にも、
アクセスポイントとして待機させておくこともできるよね。
もちろん、VPNで相互に接続しているものとする。
公開鍵認証ができるSSHサーバーくらいなら、ラズパイで十分そう。
難しいポート番号を、ラズパイにポートフォワードしておけばいい。
それやって見ようかな。
262:anonymous
15/09/18 14:22:07.04 .net
rtx1210と、rtx1200の、ipsecの実装って全く一緒なのかなあ
openswanと繋がらなくなったら困るんで躊躇してる
なにせなんとかつながっている感じだし、サポートされてはないものな
263:anonymous
15/09/18 14:31:53.45 .net
. ) ( 、
; ( ) '
o___, . (、. ' ⌒ ` )
/ ~ヽ (. : ) , ( '
/ ./ ̄ ̄; ) ( . ⌒ )
/ / `‘| ' ` ”, )
______ . / | ./ /
/_____\ / \__/ /
.{____憂●國} / /
ノ|ミ/ ー―◎-◎-) / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ノノ(6 (_ _) ) ./
ノ/ | ∴ ノ 3 ) /
ノ/ _ \ _ノ ./
. レ /^ 〜" ̄, ̄ ̄〆⌒,
| ,___゙___、rヾイ
264:anonymous
15/09/18 14:49:51.28 .net
>>262
かわらんと思うぞ
てかそんなにシビアならファーム更新するのも危険じゃね?
265:anonymous
15/09/18 16:00:26.21 .net
>>264
うん、そう思ってrtx1200のファームアップデートできなかった。
最近、新しいrtx1200を買って、最新ファーム(といっても、2013年もの)を入れて試した。
問題なくopenswanにつなげられた。
しかし、今後もそれが維持できるかどうかはとても心配。
linuxではopenswanが標準なので、ぜひヤマハのルーターも対応してほしいところ。
openswanとrtxとの接続は制限があるので工夫が必要だから、面倒くさいね。
266:anonymous
15/09/18 16:04:19.15 .net
openswanの派生のlibreswanが、今の標準になっているようだね。
CentOSでもlibreswanになったと思う。
267:anonymous
15/09/18 16:19:01.81 .net
ルーターはいろいろつながってこそ価値がある
268:anonymous
15/09/18 16:50:36.09 .net
個人ならともかく法人向けは対向で使えって話じゃね?
269:anonymous
15/09/18 23:19:03.23 .net
クラウドに、rtxを設置してくれればいいんだけど、
そんなはずはないからなあ
270:anonymous
15/09/19 13:14:00.32 .net
ポート番号変更って結構やるよね。
271:anonymous
15/09/19 13:55:38.67 .net
>>270
興味本位のアクセスならごまかせる
272:anonymous
15/09/19 14:09:06.32 .net
::::::::::::::::...... ....::::::| |::::::::::::.. ...: ::::::::
:. .::::::::........ . .::::::::::::::::::: | ........... ..:::::
:::: :::::... . .... .. . ヽ / . . . ... ..::::: . .. .
\ /
−ー
∧__∧
<`∀´*>y━~~ < 仕事の後のトンスルは最高ニダ
(つ目 )
TTTTTTTT|TTTTT
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
パチスロ獣王 |
273:anonymous
15/09/19 15:25:20.97 .net
休みだ!
ネットワークの拡張工事やるか。
遠隔地のルーターには、作業前に念のために、Restertスケジュールをセットするのを忘れずに。
さもなければ、せっかくの休みがつぶれることになるからね。
274:anonymous
15/09/19 16:55:12.79 .net
,, -―-、
/ ヽ
/ ̄ ̄/ /i⌒ヽ、| オエーー!!!!
/ (゜)/ / /
/ ト、.,../ ,ー-、
=彳 \\‘゚。、` ヽ。、o
/ \\゚。、。、o
/ /⌒ ヽ ヽU o
/ │ `ヽU ∴l
│ │ U :l
|:!
U
275:anonymous
15/09/20 10:12:27.77 .net
>>273
Restartコマンドの間違いだろ
276:anonymous
15/09/20 10:14:52.31 .net
,, -―-、
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
277:anonymous
15/09/20 10:50:48.32 .net
ーアスキー貼っている奴に通告ー
アスキー貼っているやつ!
ちょっと妨害がひどいな。
運営に報告して身元を割り出して対処してもらおうと思う。
( 正当な理由があれば、身元の請求が可能。 )
もうやめておけよ。
278:anonymous
15/09/20 15:40:14.39 .net
/ /
,イ /
// URLリンク(ascii.com) |
/ ,ィ介i | う ぶ き
{. |l ,イ ///|| | ち っ え
,-.、Vl / | /// | | 」 に と ろ
lこ!l ! ト ト.l | !i | ヽト、< な ば
| l Vヽ トjヽ\!l ,>‐_ニヽ さ
| | \ ! く__・、jiLノ・_´フ .|| れ
| | __ ヽ} -‐ -─‐ レヘ. ん
_r‐j >イ fヽ l ノ __ ,イ-ハ
/ ′、 i {ノ-、 ヽ `t_/ /| /´ヽ
〈 ヽ l | } \ -' j | \
ヽ / |  ̄ L
ヽ / -─ フ′ `ヽ─- 、
ヽ ヽ /`ー-、 ,. -─ '/ ー- 、
f‐--─ 'ヽ { ~ / /, -─‐-\
/| | ヽ / /// ヽ
279:anonymous
15/09/20 23:03:14.30 .net
>>273
2chでその技を知ったときは目からビームだったわ。
たまーにタイマ解除忘れちゃうけど
280:anonymous
15/09/20 23:58:42.20 .net
>>279
フィルタ、ルーティング、NATの設定でミスったら終わりだものなあ。
ところでうちは、ルーターの安定化のために一日一回は再起動させているよ。
(ipアドレスが変化するのでセキュリティー対策にもなるかなと。)
281:anonymous
15/09/21 00:05:21.74 .net
もっと言えば、重要な設定の前に、たとえば30分先にRESTARTタイマーをセットしている。
さすがに、たとえ設定をミスってアクセスができなくなったとしても、その再起動待ちが数時間も困るから。
タイマーセットされると緊張するので、設定が完了して通信が正しくできていることを確認してSAVEコマンドを打つまでの時間も短縮されるようだ。
もちろん人による。
ノートにしっかりコマンドを書いて、それを入力する人もあるだろうし、
ソラで直接コマンド入力する人もいる。(←ルーターを扱う能力は高まる。IPsecトンネルの場合なんかは、いろいろすべて考慮する必要があるので。たいてい、うまくいかずに悩むことになる。)
282:anonymous
15/09/21 07:50:15.64 .net
1002 :1002 [] :Over 1000 Thread
2ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
──────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
──────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
URLリンク(premium.2ch.net)
283:anonymous
15/09/21 11:04:33.86 .net
>>280
意味あるの?
284:anonymous
15/09/21 11:43:19.36 .net
ないと思う
285:anonymous
15/09/21 13:08:38.21 .net
ipアドレスを変化させられる。
初期状態に戻ることで安定化できる。
286:anonymous
15/09/21 13:35:31.03 .net
>>285
安定化ってのがプラシーボ以上の目的と効果(メモリリークのバグあるので定期的に再起動必要、など)あるなら理解できるのだけど、電圧変化加え続ける方がH/W的には負荷にならないかなー、とも思って
アドレス変えたいだけならpp再接続などでも良さそうかなーと。
287:anonymous
15/09/21 13:46:16.71 .net
そもそも再起動によって安定度が変わるルーターは設計としてNG
PPPoEによる割り当てIP変えたいなら既出のとおり再接続でOK
288:anonymous
15/09/21 18:24:43.64 .net
>>263,272
ネトウヨ死ねカス
289:Anonymous
15/09/21 20:58:58.92 .net
,, -―-、
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
290:Anonymous
15/09/21 20:59:39.47 .net
/ /
,イ /
// URLリンク(ascii.com) |
/ ,ィ介i | う ぶ き
{. |l ,イ ///|| | ち っ え
,-.、Vl / | /// | | 」 に と ろ
lこ!l ! ト ト.l | !i | ヽト、< な ば
| l Vヽ トjヽ\!l ,>‐_ニヽ さ
| | \ ! く__・、jiLノ・_´フ .|| れ
| | __ ヽ} -‐ -─‐ レヘ. ん
_r‐j >イ fヽ l ノ __ ,イ-ハ
/ ′、 i {ノ-、 ヽ `t_/ /| /´ヽ
〈 ヽ l | } \ -' j | \
ヽ / |  ̄ L
ヽ / -─ フ′ `ヽ─- 、
ヽ ヽ /`ー-、 ,. -─ '/ ー- 、
f‐--─ 'ヽ { ~ / /, -─‐-\
/| | ヽ / /// ヽ
291:anonymous
15/09/21 22:59:40.70 .net
>>286-287
# disconnect pp番号
# connect pp番号
こんな風に、連続してコマンドが必要になるでしょ。
それに、ディスコネクトが正常に終わらないうちに、コネクトすると、エラーが発生しそうで不安
>電圧変化加え続ける方がH/W的には負荷にならないかなー
そうなんですか。コンデンサとか、トランジスタなんかに負荷がかかって、痛むの?
一瞬、ハードディスクに負荷をかけないように、再起動せずにスリープにしないさい
という言葉を思い出した。
電子デバイスにもこういう物理的な影響によるダメージがあるとは考えたことなかったんだけど。
292:anonymous
15/09/21 23:58:51.88 .net
切断したら明示的にコマンド発行しなくても接続してくれるし
失敗してもトライし続けるだろうし
同じアドレス使い続けることにセキュリティリスクあるとは思えんが
訴訟リスク負う様な悪意ある書込みでもしてるんか?
293:anonymous
15/09/22 00:32:16.33 .net
>>292
でも、keep aliveの設定が必要なのかな。
いやたとえば、メールをsmtp送信したら、
メール受信した相手側でヘッダー情報からこっちのIPわかっちゃうでしょ。
これって怖くないですか。
まあ、もちろん、ルーターは完璧にフィルタしているけど。
ddosなんかされたら嫌じゃないか。
もし怖くないというのなら、このスレッドで皆、anonymousにする必要もないわけだし。
294:anonymous@FL1-125-197-130-243.stm.mesh.ad.jp
15/09/22 01:35:03.50 .net
>>291
つエレクトロマイグレーション
295:anonymous
15/09/22 01:45:45.68 .net
>>294
>電子と金属原子の間で運動量の交換が行われるために、イオンが徐々に移動することで材質の形状に欠損が生じる現象
ほんとに?これって物理的なダメージじゃないか。
って、普通に使っていても、同じことが起きるでしょ!!
296:anonymous
15/09/22 01:59:51.04 .net
>>295
>運動量の交換
衝突しているのやね
297:anonymous
15/09/22 02:18:15.42 .net
まあエレクトロマイグレーションが問題になる程電流密度が高い部分は
ルーターにはないから気にしないでいい
298:anonymous
15/09/22 02:47:37.51 .net
>>293
サービス影響出る規模のDDoSに対して同じISPの動的IPが少し変わったくらいで安心できる気持ちが良くわからん。
メールで送信元ip割れたらDDoS喰らいかねない使い方しててビビってるだけ?
299:anonymous
15/09/22 05:31:52.43 .net
>>298
いつまでも固定されているのは気持ち悪いやん
300:anonymous
15/09/22 07:29:58.95 .net
>>286
torrentによる通信でよく再起動してくれたよね。
301:anonymous
15/09/22 11:08:49.72 .net
>>297
マイグレーションの時代だけど、該当しなくてよかったな
電車とかマイグレーションやばそう
>>300
機種?
302:anonymous
15/09/22 11:11:32.92 .net
>>301
電車は電流大きい分架線や電車内配線、モーターの電機子巻線とかは太いから電流密度自体はそうでもない
303:anonymous
15/09/22 11:15:32.81 .net
>>302
じゃあ、送電線かな。
304:anonymous
15/09/22 11:26:24.01 .net
>>293
通常は
pp always-on on
かと
305:anonymous
15/09/22 11:59:23.98 .net
>>303
じゃあの意味がわからんが、当然EMが問題にならないように電線を選ぶわけであって…。
306:Anonymous
15/09/22 14:32:30.36 .net
>>289>>290
死ねカス
送電線やばいぞ
307:anonymous
15/09/22 14:46:02.70 .net
>>305
無酸素銅のことかな
308:anonymous
15/09/22 14:55:44.70 .net
>>304
気になったので調べたら、
pp always-on on
pppoe auto connect on
pppoe auto disconnect off
ってなっていたわ。
・pppoe auto connect(初期値、on)
選択されている相手に対して、PPPoE のセッションを自動で接続するか否かを設定する。
・pp always-on on
起動時に接続を起動し、通信終了時には再接続を起動し、キープアライブ機能により接続相手のダウン検出を行う
以下のコマンドが設定されている場合、switch を on に設定した時点で接続処理が行われる。
PPPoE 接続
pppoe use
pp enable
要するに、ベースとして、pppoe auto connect onになっていて許可されている場合(デフォで、許可)に限って、
pp always-on onでいう常時接続が許可されるということみたいだな。
309:anonymous
15/09/22 17:50:27.43 .net
ノ´⌒ヽ,,
γ⌒´ ヽ,
// ""⌒⌒\ )
i / \ / ヽ )
!゙ (・ )` ´( ・) i/ >>307 そうだ、無酸素銅の時代だ
| (__人_) | 電気代やばいぞ
\ `ー' /
/ \
| ヽ(⌒/⌒,l、ヽ
| \ `´ , <___
310:anonymous
15/09/23 00:04:56.96 .net
>>309
確かに
あれはオーディオ用だな。効果がどれほどのものか知らないけど。
311:anonymous
15/09/23 00:07:58.54 .net
送電線は、アルミニウムらしい。
312:300
15/09/23 22:26:32.37 .net
>>301
RTX1200
313:anonymous
15/09/23 23:56:17.96 .net
>>312
何がだめなんだろうね
ファームアップ最新?かな
TORRENTって、なにか特殊なの?
314:204
15/09/24 07:12:02.71 Y/DUKlFc.net
>>313
p2pだしnatのセッションをハンパなく使うからじゃない?
315:anonymous
15/09/24 12:24:26.44 .net
>>314
そんなに相手側とつながらないとだめなの?
P2Pというくらいだから、1:1かと思っていたんだけど。
316:anonymous
15/09/24 12:25:56.73 .net
P2Pでつなげたら相手から後から攻撃されていたってことはないよね
317:anonymous
15/09/24 13:16:41.62 .net
アプリケーションによって行儀わるいのはよくルーター落ちると聞いたが
318:anonymous
15/09/24 13:35:12.36 Y/DUKlFc.net
>>315
p2pという割には複数の相手からDLするし、
DL効率を上げるためだろうけど新しい相手を探すから
Natを消費してセッションのリフレッシュまで保持するのよ
p2pを使わない人にはどうでもいいけど、
管理する側からするとCPU負荷が上がるし
Natを食い散らかすから辛い
319:anonymous
15/09/24 13:40:38.04 .net
>>315
さらっと書くと、winMXのように1対1のノードでファイルを交換してると効率があまり良くないってことで、
winny以降のファイル共有ソフトはファイルを持ってるところを見つけたら片っ端から部分的にファイルをダウンロードするし、
要求があればどこにでもファイルをアップロードする。(トレント)
みんなで部分的にでもファイルをやりとりすれば効率いいし、
みんなで分けて持っておけばダウンロードするときセッション張れば早いよねってことでめっちゃセッション使うんだよね。
320:anonymous
15/09/24 15:21:57.85 .net
>>315
P2Pがなんの略かが分かってれば、
そうはならないはずなんだけどな。
Pはポイントじゃないぞ、ピアだぞ。
321:anonymous
15/09/24 19:26:18.94 .net
>>313
TORRENTでDHTを有効にするとNATテーブルが溢れるらしい
で、NATタイマーを短くするんだってさ
322:anonymous
15/09/24 22:53:30.59 .net
ん?なんか不安定だな?って思ってとりあえずGUI見ようとするとすごーく表示が遅くて
CPU負荷が100%メモリも満杯ぐらいになってたわ。
お仕置き部屋システムで幾分改善されたはず
323:anonymous
15/09/24 23:00:30.14 .net
>>322
どんな条件でお仕置き部屋へ導いているんですか?
>>319
なるほど、支流から本流が生まれるみたいな感じだな。
しかし、それでもIPv6になれば、NATを食い散らかすことなんてなくなるから良くなるのだろうなと思った。
いつ普及するのか知らないけど。うちは、IPv6だよん。
324:anonymous
15/09/24 23:06:37.01 .net
>>318
組織内で、そんなにTorrentが使われているとは思わないが、
そんなにセッション食うアプリなら、多人数が使えば、いくらタイマー短くしても終わりだね。
>>317>>322
セッションといえば、動的フィルタも動いているのなら、
CPUやばそうだな。
>>320
全体としてはこれは、多:多になるな
蜘蛛の巣の感じ、まさにネットワーク層の蜘蛛の巣!
325:anonymous
15/09/25 09:58:51.59 .net
必死な自演の既視感ぱねぇ
326:anonymous
15/09/25 16:31:16.00 .net
たしかwinnyブロック機能がRTXにも搭載されていたよね。
rtx1210にも継承されたのかしらないけど、
これのトレント版があったら便利かもしれないなあ。
327:anonymous
15/09/25 19:01:50.61 .net
2ちゃんねるの運営はプレミアム会員の皆さまに支えられています。
運営にご協力お願いいたします。
──────────
《プレミアム会員の主な特典》
★ 2ちゃんねる専用ブラウザからの広告除去
★ 2ちゃんねるの過去ログを取得
★ 書き込み規制の緩和
──────────
会員登録には個人情報は一切必要ありません。
月300円から匿名でご購入いただけます。
▼ プレミアム会員登録はこちら ▼
URLリンク(premium.2ch.net)
328:anonymous
15/09/26 12:28:51.70 .net
-‐…‐-ミ
.: ´ .::::::::::::::::::::..`ヽ
. / ..::∧.:::::::∧イ.:::::::::::.
,′.:/\\/ /∨::::::::
i.::::イ 匸フ 匸フ|::::::::{
. j/|::} u ム:::::ハ
. j人 r‐┐ 从/ おいこら!
)≧┐┌_´(
,≪圦 「≫、`
/ `¨¨只´ 、
{ニニ! !l| {ニ]
|::::| ムl! |:::|
|::::| /从 |:::|
329:anonymous
15/09/26 14:15:24.48 .net
>>326
ホント欲しい。ヤマハの中の人も言ってたけど、Winny/Share検知機能なんてルータの仕事じゃないのに
中小企業で訴求効果高いから入れたとか言ってたもん。
だから、マイナンバー特需のUTMで、日本ぽい発想の製品期待してたんだがなぁ。
みんなFortiにもってかれちゃってるよぉ。
330:anonymous
15/09/26 14:53:10.94 .net
もっとほしい。いろいろほしい。
<基本的なもの>
たとえば、IPsecや、SSHサービスについて、
hosts.allowみたいに、ドメイン名で接続元の絞り込みができること。
接続元プロバイダを絞り込めば、少なくとも海外からの攻撃をかわすことができる。
>>329
たしかに、ルーターの仕事じゃないものもあるかもしれない。
WINNY/SHARER検知なんて、アプリケーション層を調べるから、ルーターじゃなくて、UTMの担当だろうな。
しかし、ヤマハにはオールインワンを期待するんだよな。
RTA時代からほかのブロードバンドルーターにはない機能とそれでいて安定性の高さがあったからなあ。
こういう要望って、どうしたらヤマハに届くんだろうか。
331:anonymous
15/09/26 14:59:22.05 .net
>>329
>中小企業で訴求効果高い
WINNYやSHAREなんて、今はもう組織内ではほとんど動いていないように思う。
一時期は開発者が逮捕されるなど大きな話題になってしまっていたね。
332:anonymous
15/09/26 15:13:29.61 .net
そういうのをFWXシリーズで対応していけば良いんでは無かろうか
333:anonymous
15/09/26 15:37:08.25 .net
必死だね。
334:anonymous
15/09/26 15:43:01.95 .net
>>331
でもセキュリティチェックなんかだといまだに言われるぜ
FWXがルータ&UTMとしてベストポジションだっただけに残念なんだよなぁ。
ちょっと、いや、かなりUTMとしては独特で
335:anonymous
15/09/26 21:10:08.08 .net
,, -―-、
/ ヽ
/ ̄ ̄/ /i⌒ヽ、| オエーー!!!!
/ (゜)/ / /
/ ト、.,../ ,ー-、
=彳 \\‘゚。、` ヽ。、o
/ \\゚。、。、o
/ /⌒ ヽ ヽU o
/ │ `ヽU ∴l
│ │ U :l
336:anonymous
15/09/27 00:47:52.71 .net
>>332
>FWXシリーズで対応していけば
InterNET----pppoe----[RTX 1200]-[FWX]-LoacalNET
こんな感じでつながっているとき、FWXはこんな風に入るんだと思うけど、
もし、RTX1200で他拠点からのトンネルを収容していて、他拠点のインターネット向け通信(ipsecは除く)のデフォルトゲートとされていたら、
他拠点の通信は、FWXを経由しないことになってしまうんだな。
RTXシリーズに、FWXの機能が統合されれば嬉しい。
>>334
>ベストポジションだった
FWXはこれからどうなっていくんだっけ?
337:anonymous
15/09/27 01:45:37.96 .net
>>336
いや、別にこうしても構わないと思うんだが
InterNET----pppoe----[FWX]-[RTX 1200]-LoacalNET
338:anonymous
15/09/27 02:00:01.42 .net
>>336
UTMはガチでやるとなると、コストかかるから、
FWXはこのまま、マイナー路線でぼちぼちやってくんじゃね?
餅は餅屋よ、やっぱ。
339:anonymous
15/09/27 02:48:03.82 .net
>>337
仮に、インターネットへのWWWへのアクセス用のパケットにターゲットを絞ったとして、
FWXって、IPだけでなくて、PPPも読めるって言うの。
PPPって暗号化されているんじゃなかったっけ。
340:anonymous
15/09/27 09:36:26.34 .net
今の状態だとFWXを選択する意味がないんだよな。
UTMに近づけば候補に挙がるかもしれない。
341:anonymous
15/09/27 09:44:09.47 .net
>>339
FWXを透過型で使わなきゃいけない縛りでもあるのか?
342:anonymous@ngn-west-025-055-060-180.enjoy.ne.jp
15/09/27 10:11:35.78 .net
>>337
なんで荷台もあるの?
343:anonymous@s501170.xgsspn.imtp.tachikawa.spmode.ne.jp
15/09/27 12:20:36.03 .net
FWXってルータとしても使えるだろ。
344:anonymous
15/09/27 12:41:36.93 .net
うん
345:anonymous
15/09/27 13:18:39.24 .net
>>339
337はpppはFWXで終端して拠点間VPNはRTXで終端してる構成かとオモタ。
346:anonymous
15/09/27 13:37:59.53 .net
RTXの前に置いて透過型ファイアーウォールとしてつかうんだとばかり思ってた
347:anonymous
15/09/27 15:35:47.83 .net
>>346
まあそれも想定ユースケースだけど
348:anonymous
15/09/28 01:44:43.08 .net
>>345
盲点でした!
349:anonymous
15/09/28 01:46:48.62 .net
>>345
たしかにそれでもいけますよね。
ただし静的マスカレードの設定で、UDP 500 4500と、ESPを、内側のRTX1200に投下させる設定が必要になるけど。
350:anonymous
15/09/29 08:58:50.13 .net
うん、糞だね
351:anonymous
15/10/01 00:50:30.63 .net
透過型FWって普通GWから下に置くよね
352:anonymous
15/10/01 02:51:23.55 .net
>>351
うん。
ただ、IPsecトンネルが拠点から張られているようなセンター方式になっていて、センターでFWXでまとめて処理したい場合には、
>>337のような設置をして、FWXでPPPoEセッションを張るようにする必要があるだろう。
そして、IPsecトンネルパケットについては、>>345さんの言うように内側のRTXシリーズに処理させる。
その場合、>>349のように、PPPoEを終端しているFWX内側でパケットをフォワードする処理が必要になる。
昔、光プレミアムのときPPPoEをCTUが終端していたので、CTUの設定でフォワードして、RTX1100にフォワードしてVPNを終端できた経験があるので問題なし。
透過型でFWXを設置するのなら、そういう場合は各拠点ごとに装置が必要になってしまう。
353:anonymous
15/10/03 03:03:39.23 .net
大き目の企業はなぜかシスコ使いたがるんだろうな
YAMAHAじゃだめですか?
354:anonymous
15/10/03 09:54:23.34 .net
だめなわけがない
355:anonymous
15/10/03 09:57:51.66 .net
>>353
/|
/ |
∧_∧,/ / / ̄ ̄ ̄ ̄ ̄ ̄
<.`∀´/ /< どうやらあまりの人気っぷりに嫉妬してるみたいだなしんじまえ
_/ つ/ と / \______
~て ) / ん /
/∪ す /
\/ る./|
\__/, |
/// \_|
ωω
空中爆発まであと30秒
356:anonymous
15/10/03 15:45:45.76 .net
>>353
「なんでそんなマイナーなメーカーを選んだんだ!」とか
「なんで既存機器と挙動の違う機器を入れたんだ!」って無茶腹切らされないから。
別分野でいうと○○ー○ー○なんか盛大にクソだけど、同様の理由で選ばれることが多いな。
357:anonymous@pdadd2828.tokynt01.ap.so-net.ne.jp
15/10/03 16:15:02.61 .net
>>356
伏せ字なしでおなしゃす
358:anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp
15/10/03 17:39:34.74 .net
なんだかんだ言ってシスコはトラブル時の対応力が違うよ。
初事例のバグとかだとUS ciscoも動いてメーカー自ら1ユーザーに代替機材提供したりして原因究明してくれるし。
ヤマハは、もしかしたら優秀なSI使えばいいのかもしれないけど、メーカーのフォローが残念。
とてもじゃないけど大規模投資で使う気にならんよ。怖すぎる。
359:anonymous
15/10/03 18:12:31.25 .net
>>353
決定的なのはそういうサポートの違いで、大企業では選ばれるわけか。
(大企業の予算なら、サポート料が高くても平気だものね)
なるほど、そういう意味で、RTXは皮肉に、中小企業向けと言っているわけか。
性能は互角、もしくは、日本で使うならヤマハのはそれ以上?
まあ、自分で設定できて、トラブルの解決もできる人間がいるのなら、
あまあまのシスコよりも、ストイックなヤマハがベストだと思いたい。
360:359
15/10/03 18:14:11.19 .net
アンカー間違った!
>>358
361:anonymous
15/10/03 18:19:00.98 .net
ヤマハも、シスコみたいに、偉そうな世界レベルの資格試験を行って、
認定制度つくれば、草の根の人たちがヤマハのサポートをするのだろうに。
362:anonymous
15/10/03 18:22:40.86 .net
>>356
ありがとう、ヤマハばかりいじっているが、自信がついたよ。
俺も、伏字がきになる。
「あ あー あー あ 」というリズムをもった固有名詞ってどこだろう。
周りを見回したけどないね。貧乏だからかな。
363:anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp
15/10/03 21:08:31.91 .net
>>359
サポートがメーカー主体のCiscoと、SIやユーザー主体のYAMAHAって感じかなあ。
そもそも金払って保守契約しないならYAMAHAの方が草の根の情報は多いかも。
うちの会社も止まっても影響少ないところはYAMAHA使ってます。
ただCiscoにも1つ文句言いたいのは、Cat3750XのCPU負荷が異常に上がるのを
バグと認めないこと。絶対おかしいと思ってる。
URLリンク(supportforums.cisco.com)
364:anonymous@ae076191.dynamic.ppp.asahi-net.or.jp
15/10/03 21:21:39.92 .net
>>356
ブルーコートだと思う
365:anonymous
15/10/04 00:42:39.47 .net
Black hat
Red hat
Blue Coat
Black Coat
366:anonymous
15/10/04 02:35:24.52 .net
>>363
>金払って保守契約しないならYAMAHAの方が草の根の情報は多い
なるほど。自分たちでなんとかしようとするから、
情報が多くなるわけだ。OSSに似ているな。
367:anonymous
15/10/04 19:26:46.81 .net
>>362
ふぉーてーじだかなんだか?
中小向けネットワーク屋だけど見たことない
368:anonymous
15/10/04 21:04:17.09 rieJ5dat.net
YAMAHAのルーター、インターフェースの名前(ppとかtunnelとかlocalとかppanonymousとか)
中身がどういうブロックになっていて、それぞれどこのインターフェースのことを指してるのか
さっぱりわからなくてフィルタの設定ができん…
いい資料が見つかりそうで見つからない
369:anonymous
15/10/04 21:19:09.81 .net
>>368
ここの1.6とかは?
URLリンク(www.rtpro.yamaha.co.jp)
370:anonymous
15/10/04 22:13:56.44 rieJ5dat.net
>>369
ありがとう!
こういう図を探してました
ちなみにもしわかれば教えて欲しいのですが、外部からIPSecでローカルIPをDHCPで
取得して、
そのパイプ経由でWAN(インターネット)に繋ぐ場合の経路としては下記でいいんでしょうか?
外部PC
↓(インターネット)
回線(PPPoE)
↓
PPインターフェース
↓
NAT(PP)in
↓
NAT(TUNNEL)out
↓
TUNNELインターフェース
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)out
↓
PPインターフェース
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
371:anonymous
15/10/04 23:49:51.02 .net
>>370 こんな感じじゃない?
@トンネル(IPSec)の通信
外部PC(パケットをカプセル化)
↓(インターネット)
回線(PPPoE)
↓
PPインターフェースin
↓
NAT(PP)
↓
フィルタリング↓
↓
ルータ自身(カプセル化解除)
Aトンネル内を通る通信
外部PC(@でカプセル化を解除したパケット)
↓
TUNNELインターフェースin
↓
フィルタリング↓
↓
ルーティング
↓
フィルタリング
↓
NAT(PP)
↓
PPインターフェースout
↓
PPPoE(回線)
↓(インターネット)
インターネット上のWebサーバー
372:anonymous
15/10/05 00:45:18.22 lmIog3wp.net
>>371
ありがとうございます!
今までずーっとフィルタ設定と格闘しておかげさまでとりあえず開通は出来ました
リモートアクセスVPN(Anonymous)で設定したためか、PPANONYMOUS→WAN側ポートの
フィルタを開けてやらないとダメなようです
逆にTUNNEL→WAN側は空いてなくても行けてしまいます
どうやら、IPSecで暗号化されたものがTUNNELインタフェースを通ってルータ本体(LOCAL?)
に入って、それがPP(Anonymous)インタフェースに届いて、そんでもってそこからWAN側へ
パケットが流れているようです…
まだいまいち解せない感じなのですが、一応そのルートのフィルタが通っていると大丈夫でした
何れにしてもありがとうございました!!
373:anonymous
15/10/05 00:48:28.00 .net
今時単純なパケットフィルターもしんどいよなー。
上りと下りいちいち書いたりとか、面倒すぎる。
ファイアウォールのポリシーフィルターをルータにも実装してもらいたい。
中国版RTX1200はなぜかファイアウォール機能付いてるのに。
374:anonymous
15/10/05 01:09:19.34 .net
>>372
L2TP/IPsecなんですか?
375:anonymous
15/10/05 01:12:32.31 .net
>>373
動的なフィルタリングじゃだめなん?
376:anonymous@pdf87554b.tokynt01.ap.so-net.ne.jp
15/10/05 01:17:08.71 .net
>>374
はいそうです!
377:anonymous
15/10/05 01:19:16.77 .net
ポリシーフィルターで行けましたよ
378:anonymous
15/10/05 01:23:47.31 .net
プロトコルオーバーヘッドだね
379:anonymous
15/10/05 01:28:42.43 .net
>>378
確かにそうとうヘッダーがくっついてます
380:anonymous
15/10/05 01:29:44.07 .net
>>379
まあ、必要だから仕方がないんだけどね
381:anonymous
15/10/05 01:30:58.47 .net
>>380
そうですねw
382:anonymous
15/10/05 01:32:43.95 .net
>>372
>まだいまいち解せない感じ
ある程度は、文法や、必要なインターフェイスなどから、
内部の概念をあいまいにつかめる。
しかし、プログラミングみたいに、はっきりとその内部構成はわからなかった。
とくに、L2TP/IPSECは、L2TPのリスナーをスタートさせている必要があるけど、
PP ANONYMOUSとどう同調しているか説明できなかったな。
383:anonymous
15/10/05 01:34:11.15 .net
まあ、でもがんばってみてください。
384:anonymous
15/10/05 01:46:39.61 lmIog3wp.net
>>382
そうなんですよ
そこが私もよくわからなかったんです
LOCALというのはルーティングブロックのことを指していると思うのですが、
TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
そうするとどういうわけかPP ANONYMOUSからパケットが出てくる(ようにみえます…)
で、この時点ではローカルネットワークで流通可能なパケット(カプセル最内層のIPパケット)
になっていて、あとはそれを必要なポートに流れるようフィルタを組んでいく…
今のところ、このような理解です
>>383
まだまだ勉強が必要ですが、とりあえずどうもありがとうございました
385:anonymous
15/10/05 07:45:28.97 .net
___
. | |
| |
| |
[二二二二二二]
〈 〉
. /_____ \
| |
386:anonymous
15/10/05 08:20:17.52 .net
>>385
なんだよそれ
387:anonymous
15/10/05 13:43:53.34 .net
>>384
>TUNNELから出てきたパケットをとにかくまずLOCALに渡してやる必要がある
>そうするとどういうわけかPP ANONYMOUSからパケットが出てくる
TUNNEL と、PP ANONYMOUSとが、バインドしている。(PP ANONYMOUS の定義で、TUNNELを指定している)
対向 ⇔ ----(IPSEC)---- 「 TUNNELインターフェイス ⇔ -----(L2TP)----- 「L2TPサービス<協調>PP ANONYMOUS」 ⇔ LANインターフェイス」 ⇔ pc
こんなイメージじゃないかな
388:anonymous@p2082-ipbf2008hodogaya.kanagawa.ocn.ne.jp
15/10/09 07:51:52.01 .net
最近中古で買って弄ってるんですけどフィルタについて教えてください
ネット上の設定例などで明示的にdefaultフィルタを定義してるのはどうしてでしょうか?
また、定義しなくてもrejectされるstaticフィルタをあえて定義しているのはログを見やすくする為ですか?
389:anonymous
15/10/09 08:19:26.81 .net
>>388
基本的にフィルターは入れないと機能しないから入れてるわけで、入れないで機能するフィルターってのはない。
敢えてあるとしたら全てをパスするフィルターぐらい。
フィルター以外の設定でも、デフォルトでいいってものでも後々のために明示しておく意味で入れることもある。
390:anonymous
15/10/09 09:25:32.50 .net
>>389
なるほど
分かりやすい説明ありがとうございました。
391:anonymous
15/10/10 00:28:42.14 .net
>>388
>明示的にdefaultフィルタを定義してる
例えばどんなタイプのですか?
ip filter 9999 reject * *
のことですか?
ヤマハのRTXルーターだと、一つでも静的フィルタを「適用」すると、(注意!定義ではなくて、インターフェイスへの適用ね。)
デフォルトで、上記のようなリジェクトフィルタが暗黙的に設定されるよね。
392:anonymous
15/10/10 08:50:57.86 .net
すみません、質問です
YAMAHAさんのルーターは、ポリシーフィルタの動作としてpass, static-pass, reject, restrictの
4種類あると思いますが、
下記ページ中程のポリシー動作の説明表を見てもrestrictの使い所がいまいちわかりません
URLリンク(www.rtpro.yamaha.co.jp)
restrictはどういうときに使うと便利なのでしょうか?
393:anonymous
15/10/10 10:30:00.02 .net
>>391
それにやられたことあったわ
394:anonymous
15/10/10 14:08:11.50 .net
IPsec/L2TPトンネルへの接続が試みられたときに、メールを送信し通知することって
どうやったらできるでしょうか。
395:anonymous
15/10/10 14:26:17.69 .net
>>394
Luaに対応してる機種ならスクリプト組めばできるだろうな
URLリンク(jp.yamaha.com)
396:anonymous
15/10/10 14:29:20.16 .net
もう一個上の階層のほうがいいな
そのものズバリはないが参考にはなるだろう
URLリンク(jp.yamaha.com)
397:anonymous
15/10/10 16:18:49.10 .net
パッケージとかないんですか
398:anonymous
15/10/10 16:23:59.13 .net
甘えてんじゃねぇ
399:anonymous
15/10/10 17:22:21.69 .net
ルーターでプログラミングすることになるとは・・・
400:anonymous
15/10/10 17:30:22.56 .net
誰か作ってください
401:anonymous
15/10/10 17:36:31.93 .net
いきなり、組もうとしても、
まずは、HELLO WORLDから始める必要があるので面倒だな。
まずは、メールでHELLO WORLDを送信するところから始めないといけない。
そして、メールで送れることが確信されてから、次のステップへ進む。
次に、どうやってIPsecの接続が試みられたか検知するか、
その仕組みを考える必要がある。
こういうときに、先輩方の設定例が役に立つが、そんな例があるかどうか。
接続元情報やその時間も、メールで通知したいところだなあ。
402:anonymous
15/10/10 17:39:31.63 .net
IPsec接続時に、イベントなんて発生しないのかな。
それがあれば、イベントハンドラを設定すればなんとかなりそうに思うけど、
LUAってそういうOS的なシステムは備えていないのだろうか。
定期的にログを読みだして、分析して、判断して、
メール通知という流れになるのなら、やだなあ。
403:anonymous
15/10/10 21:40:56.80 .net
rt.syslogwatch を使えば、ログが吐かれたタイミングでなにかを動かせる。
URLリンク(www.rtpro.yamaha.co.jp)
使用例見たらすげーヒントだし、あとは「試みられたとき」にどんなログが吐かれるのか調べたらそれで作れるでしょう。
404:anonymous
15/10/10 22:11:10.05 .net
>>391
rejectは書かないとrejectされない。
基本的にフィルターはpassするから、実務上敢えて
ip filter 20000 pass *
なんかをいれることがある。
別の人が見たときにreject入れ忘れてるだけなのか、passさせてるのかってのがわかるようにね。
あとはフィルター以外でもsyslog notice offとか、info onもいれるときがある。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
1235日前に更新/270 KB
担当:undef