YAMAHA業務向けルーター運用構築スレッドPart16
at NETWORK
[前50を表示]
500:anonymous
15/10/16 15:12:46.57 .net
>>494
保証があれば、「やめて」といえば、なんとかしてくれるってことかな。
それが、フレッツひかりにはないわけなのか。
>>497
まったく代わりができるなら、そういうバックアップ回線もありかもしれないけど、
うちは、複数のプロバイダを使っていて、アドレスも固定しているから、フレッツひかりじゃないと駄目なんだ。
一番痛いのは、IP電話(ひかり電話も含む)が使えなくなってしまうことかな。
ダメもとで問い合わせてみるか。
501:anonymous
15/10/16 23:41:32.38 .net
>>500
バックアップ用CONFIG書けば・・・
502:anonymous
15/10/17 00:35:10.60 .net
>>501
利用している固定IPは、フレッツ光専用なんですよ。
その固定IPでなければ、拠点との間のトンネルを作成できないように、フィルタリングもしているし。
動的IPで賄えるなら、そういう切り替えも考えられるかもしれないですね。回線は非常に細くなるとは思うけど。
ちょっと今の運用形態では、バックアップ時用の、コンフィグは思いつきません。
503:anonymous
15/10/17 04:55:39.53 .net
管理者権限で設定を書き込んでsaveしなかったら、
次回のログイン時に「不揮発性メモリに保存されていない情報があります」って表示されます。
この内容を思い出せないとき、何かその変更を現すためのコマンドってあるんでしょうか。
504:anonymous
15/10/17 09:32:15.86 .net
>>503
1回前のCONFIG呼び出せなかったっけ?
今のCONFIGを一旦セーブして呼び出してみれば
暗黙の定義を明示したとか大した変更点じゃなかったりするけど
505:anonymous
15/10/17 15:54:46.10 .net
>>502
固定IPでなにしてるかわからないけど、バックアップ回線で固定IPとってそっちでも運用できるようにするのは常識かと。
それか、動的でもバックアップ回線でVPNで同じようなサービス使える拠点につなげて一時的にちがうGIPだけど一応は使えるようにしたり。
VPNのための固定IPだったらどの道バックアップ回線でもつなげられるようにするべき。
こっちがセンターだったら分からないけど、多拠点接続のVPNならセンター以外は動的にできるわけだし、やりようはいくらでもあるよ。
その辺の構成は運用している以上できないでなくなるべくできる方向で構築しないといけないでしょ。
506:anonymous
15/10/17 15:59:21.55 .net
別にDDNS使えば動的IPでもいけるけどな
507:anonymous
15/10/17 15:59:40.83 .net
平日に30分ほど停止する って話で連絡されているならフルに30分停止ってわけでもないだろうしねえ
情シスが思ってるほど停止が許されない環境って意外とないよ
と平気で60分止めた俺が言っても説得力無いけど
508:anonymous
15/10/17 17:57:53.72 .net
>>505
>バックアップ回線で固定IPとってそっちでも運用できるようにするのは常識
>なるべくできる方向で構築
>>507
>情シスが思ってるほど停止が許されない環境って意外とない
様々なご意見ありがとうございます。
規模によると思うんですが、うちは5拠点で全体で50人ほどです。
IP電話関係は、今回工事のある中心的な拠点の光回線に完全に依存しているので、全体的に影響を受けます。
どういうことになるかというと、電話の受発信ができなくなる。
また、各種サーバーもそこに存在するので、アクセスができなくなる。
メールの送受信もできなくなるし、ファイルも取り出せなくなる。できるのは、各拠点でローカルPC上のみで可能なことだけ。
たしかに、30分間といっても、数分のダウンかもしれないし、いやでもそれ以上になるかもしれない。保証がない。
あまり会社の人たちに、そういうなにもかも使えないという無様なところを見せたくないという意地みたいのがあって。
背景にどういうことが生じていて、サービスが使えないのか理解してくれないかもしれない。
「一拠点の回線が駄目になれば、全部だめなのかよ、変な仕組みにしているものだ」と思われるくらいでしょうか。
社員はIT関係に疎いんですね。効率化のためにそういう仕組みにしていることも理解してくれないだろう。
そういう社員に悪く思われたくないですね。
509:anonymous
15/10/17 17:58:56.65 .net
<つづき>
バックアップ回線自体は用意していない。
ひかり回線をもう一本となると、コストがかかってしまうし、理解が得られないように思う。
経営者と、社員との板挟みですよ。
(バックアップ用のプロバイダは用意していて、切り替えは自動的にするようにしている。でも。今回は回線自体のダウンだから無意味。)
また今回の場合、他社の光回線でも用意しない限り、両方の回線に対して局側工事をされてしまいそう。ダウン時間も伸びたりして。
工事は、営業時間を避けようと思えば避けられることなので、そのためにバックアップ回線を用意するのも納得できないところがある。
>>506
安全のために、IPレベルでの静的フィルタをつけているんですよ。
だから、DDNSでは対応ができない。また、アドレス更新時や名前解決のトラブルでトンネルがなかなか結べないトラブルも避けたいから。
まあ、でも、こういう事態に備えて、普段から対策を考えたいとは思っています。
拠点がダウンしても使えるように電話をとりつけるなど。
今回の件ですが、問い合わせたところ、日程を変更してくれるかもしれない感じです。
ありがとうございました。
510:anonymous
15/10/17 18:36:18.18 .net
平日昼間に計画停止なんてあり得るの?
いくらフレッツでもそれはないでしょ。
うちでそんなことされたら営業呼んで調整してもらうよ当然。。
511:anonymous
15/10/17 19:16:22.33 .net
>>510
なんか、ごく一部の区域だけみたいでした。
一般民家扱いされてしまったかもしれないですね。
一般用の光回線だし。
512:anonymous
15/10/17 20:00:40.59 .net
ラックに収まっているRTX1200を久しぶりに見たんだけど、かっこいいなあと思った。
全面にコネクターやLEDが来ているのが、デザイン的にはいいね。
筐体の色と直角になったスリムなスタイルも良い。
ラック内のまとめ役だからね。
頑張ってくれているんだなと投影に十分耐えうるものがある。
513:anonymous
15/10/17 20:57:56.93 .net
>>510
専用線でもないのに図々しいこと
514:anonymous
15/10/17 22:21:38.72 zXwEX0wA.net
>>514
大雑把に言って回線工事の予告で謳っている時間が30分ならその範囲で終わるはず
2時間を超えて停止するようだと総務省報告義務が生じるので事故扱いだし
>あまり会社の人たちに、そういうなにもかも使えないという無様なところを見せたくないという意地みたいのがあって。
NTTからの予告文書をそのまま社内に通知して不満が出るのを心配しても仕方がない
不満が出るようなら同じような事態に備えた予算を確保して調達・維持するのが情シスっちゅうことだな
現状では対応できる体制ではないようだし
515:anonymous
15/10/18 02:52:52.55 .net
>>508
そのパターンはNTT外線の支障移転とかで光ケーブルが物理的に発生する断の場合がある
専用線契約なら、回線借用の扱いで時間調整ができるが、専用線でもなんでもないフレッツの回線はそんなもん
>>513が答えになる
そもそもバックアップがない時点で・・・ということになる
IP電話を経費削減で入れるとそういう例が発生するんだよな
ひかり電話も加入電話と同じ扱いだから、そういう事例がある。加入電話でも通常のそういうものはほぼ日中しか
やらないことがほとんど
近頃はフレッツ=専用線とほぼ同じと勘違いしてる例が多いからな
516:anonymous@36-3-76-8.tokyo.fdn.vectant.ne.jp
15/10/18 03:11:00.24 .net
いやいや、専用線なんて化石に大金払ってるのはNTTの養分だけ。
もちろん100M以上の帯域保証が必要なら仕方ないけど、
そうでない拠点は、今時フレッツやLTEで基幹系も流すの普通ですけど。。
24時間サポートオプションだってあるわけだし。
故障なら仕方ないけど、フレッツの計画停止を平日昼間なんてありえないよ。
何かの勘違いじゃないの?
517:anonymous
15/10/18 03:44:46.38 .net
>>508
これを機にUSEN GATE 02でもいいので専用をいれましょう。
まぁ、諸般の事情で使えない時間ができるのを分からない人に説明するのもまた技術。
518:anonymous
15/10/18 06:50:09.55 .net
>>514
>2時間を超えて停止するようだと総務省報告義務が生じるので事故扱い
そういう制度があるなんて知らなかったです。
さすが日本です。条件きびしい。
>NTTからの予告文書をそのまま社内に通知して不満が出るのを心配しても仕方がない
>事態に備えた予算を確保して調達・維持するのが情シスっちゅうこと
対策となると、予算かかるし、自動切り替えともなれば、技術が要りますね。
RTXで、同一回線において、別プロバイダへのバックアップルートと自動切り替えを設定するだけで精いっぱいです。
なんとかこれを応用するなら、RTXからさらに上流に2台のルーターを設置して、それぞれに別回線を接続すれば、いけそうですね。
519:anonymous
15/10/18 07:01:09.11 .net
>>515
>そのパターンはNTT外線の支障移転とかで光ケーブルが物理的に発生する断の場合がある
>ひかり電話も加入電話と同じ扱いだから、そういう事例がある。加入電話でも通常のそういうものはほぼ日中しかやらない
ひかり電話を利用可能にする「ひかり回線」自体が、「加入電話扱い」だという理解をしても良いでしょうか。
「移転」が意味するのは、ケーブルの電柱などでの移転を意味するんでしょうか。そりゃ、明るい日中の方が作業しやすいですよね。
>専用線でもなんでもないフレッツの回線はそんなもん
>フレッツ=専用線とほぼ同じと勘違いしてる例が多い
>専用線契約なら、回線借用の扱いで時間調整ができる
工事の時間をずらしてくれるように要請しても、通らない場合があるってことですね。
今、願い出ているところで、営業時間外で調整してくれるような感じです。専用線でもないのに、親切かもしれないですね。
>>516
>今時フレッツやLTEで基幹系も流すの普通ですけど
うちは、フレッツオンリーです。IP電話も、なにもかも、一本で通しています。
フレッツネクストになってから、pcの接続台数制限も撤廃されたんで、喜びました。
>>517
>諸般の事情で使えない時間ができるのを分からない人に説明するのもまた技術
もし、時間変更要請が通らなければ、考えてみます。
コツがあれば教えてください。
あまり、自分の非を見せたくないし、つっこまれる隙も見せたくもないですね。
520:anonymous
15/10/18 07:23:29.32 .net
>>517
専用線、価格見ましたけど、高い!
専用線って、プロバイダ料金込みなんですよね。
ここでの専用線の意味は、「インターネットに直につなぐ私専用の線」ってことでいいですか。
でもフレッツにも、ビジネスタイプとか、占有タイプってなかったかな?
521:520
15/10/18 07:32:57.75 .net
>>517さんのリンクを見ていたら、面白いものを発見。
URLリンク(www.gate02.ne.jp)
POIは地域によっては非常に混雑して、pingの値が100msecとかになるところもあると思う。
自分のところは、vectant系のプロバイダなんですが、時間帯によってそれくらいになって、非常に遅いです。
vectantって、人気があるのか?同じ拠点でも、IIJ系だといつも早い。
6000円ほど払って、固定IPで安定した接続環境が得られるのなら、良いなと思いました。
専用線は高くて手が届かないが、せめてこれくらいはやってみたいな。
522:anonymous
15/10/18 09:55:15.58 .net
>>516
基幹系流してる人が居ようが約款以上の気遣いをする義務は無いわけで
523:anonymous
15/10/18 10:36:34.19 .net
>>521
Vectantは、昔はよかったけど、いまはやめたほうがいい。
安定性が微妙なのと、なぜか全国的にめっちゃおそい。
サポートに連絡するとまともにとりあってくない。
524:anonymous
15/10/18 14:07:05.36 .net
フレッツ回線なんていつ止まってもおかしくないんだから重要拠点に使うのは勧められない
あれはひかり電話()のおまけについてくるもんだと思っておけば良い
525:anonymous
15/10/18 16:14:46.53 .net
金融だと、最低2社の回線引っ張ってるよね。ちょい前だとISDNが予備になってたけど
いまはKDDI専用線とフレッツ網みたいに。
ISDNは品質保証帯域保証だし、そっち迂回するようにCONFIG書いてみれば?
526:anonymous
15/10/18 17:09:10.75 .net
>>524>>525
品質保証帯域保証の観点からすれば、言っていることはよくわかるんですが、
中小企業にとっては、専用線の選択はかなり重たいですね。費用がかかり過ぎる。
しかしISDNでも、複数本束ねるとそれ以上に費用がかかりますよね。
かといって、さすがに128Kbpsじゃ、間に合わない。
でもたしかに、本当に需要な拠点で本当に止められないんだったら、保証されたものを使うべきですよね。
うーん、保証がないにしても、うちはフレッツ光回線は今後も使っていくと思います。
光回線の方が、その品質を高めていってくれればよいなとも期待しています。
けっこう、考え方が甘いんだとは自覚していますが。やっぱり安いしベターなチョイスかなと。
>>523
全国的に遅いんですか。
ユーザーを抱えすぎているのかもしれない。時間帯によって、遅さは大きく変動するから。
>サポートに連絡するとまともにとりあってくない
それって、ベクタントを利用しているISPのサポートのことですか?
それなら自分も苦い経験がありますよ。
100均ショップで買った品物のメーカーにその品質の苦情を言って嫌われている状態かと思いましたよ。
527:anonymous
15/10/18 17:27:30.77 .net
>>526
専用線にこだわってるのは化石世代だから気にしなくて良いよ。
専用線をフレッツに、っていうのは2005年頃に流行った。10年前の話。
今頃専用線かフレッツかなんて迷ってるのは時代錯誤も甚だしい。
もちろん、検討の余地なく専用線使うべき用途はあるけどな。
528:anonymous
15/10/18 17:37:18.35 .net
>>526
いずれにしても貴殿が必要としている「ひかり電話への着信」は迂回できないよ。
加入電話と代表組もできないし。
どんな会社か知らないが本当にそこまで重要なの?社長がうるさいだけとかじゃないの?
529:anonymous
15/10/18 17:39:02.21 .net
>>512
ラックに収まらずにケーブルだけで空中に舞ってるRTX1100もかっこいいぜ
530:anonymous
15/10/18 18:58:35.89 .net
>>529
ぶらさがっているともいう
531:anonymous
15/10/18 20:32:50.30 .net
>>527
回線工事でダウンが嫌なら専用線を勧めるだろう
532:anonymous
15/10/18 21:18:31.94 .net
>>531
そうだな。フレッツがだめならほかの選択肢ってことで専用線だろう。
533:anonymous
15/10/18 21:41:31.28 .net
>>527
止めるのがダメという場合の専用線。化石とかじゃねえよ
帯域保証とかで使う場合はそっちを意図的使う事例がある
中小だと使わないがな
実際多い事例は光+ADSLかモバイルが多い
コスパ考えたらこれがいちばん無難だが
>>532
結局通信ルートが違うものを選ぶしかないのよ
それでもダメなときはダメだけどな
534:anonymous@FL1-111-168-98-62.kgw.mesh.ad.jp
15/10/18 21:59:59.73 .net
帯域保証サービスはオンデマンドとか医療の遠隔操作で
遅延が許されないとか軍事のリアルタイムの要求とかが主な得意先
一般回線は併用使用しないでガチで専用線を引っ張って来る
535:anon
15/10/18 22:10:27.21 .net
なお、専用線の値段は交渉によっていくらでも下がるよ。
表示しているのはあくまでも定価。定価で使ってる人は殆どいない。
フレッツなどの公衆回線みたいに掛け算で稼ぐものとちがい、
専用線や網は
「いくらでもいいから使ってくれれば」
って観点で営業してるからね。
2社以上競合させて、交渉を重ねればかなり下がるよ。
536:anonymous
15/10/18 22:30:34.81 .net
>>533
ヤマハのルータだと普通にUSBのSIM差すだけでどこでもインターネットが使えるのが、キッティングの時に面白い!って思った
自分のいる営業所は専用線3Mbpsでやってる。むしろフレッツは使ってない
537:anonymous
15/10/18 22:40:24.70 .net
フレッツか専用線かなんて選択肢自体が一昔前の電話屋くさくて滑稽
OCNのバーストイーサやら他にいくらでもあるじゃん
538:anonymous
15/10/18 23:10:45.85 .net
電力系もありだが、KDDIとか足回りが電力系とか好きだよな
実際は通信系数社と見積もり取ってからやるんだが、会社によっては数年ごとのリプレースとか
やることあるんだわな
おかげでメディコンやらONUがゴロゴロ転がってる会社があったし。切替するたびに泣かされるだろうけど
ちなみにバーストイーサはダークファイバー提供じゃなかったかいな
実質専用線に近いもんだがなそれ
539:anonymous
15/10/18 23:21:44.44 .net
専用線の定義曖昧になってるけど普通はダークだから専用線なんて括りはしないだろ
NTTcom自身も専用線と言えばスーパーOCNなんかを指して、バーストイーサをそうは呼ばない
540:anonymous
15/10/18 23:24:13.30 .net
>>539
スーパーOCNは専用線じゃないだろ
541:anonymous
15/10/18 23:31:52.49 .net
>>540
定義が曖昧になってるよね
狭義の専用線には当たらないかもしれないが、スーパーOCN>>>バーストイーサの位置づけよ
542:anonymous
15/10/18 23:47:38.80 .net
>>538
コンセント足りません!
最近はONUのファイバ切って回収せよ!って指示がよくあるねえ
今のやわらかいのは知らないがニッパじゃないと切れないんだわアレ
543:anonymous@KD119104133120.au-net.ne.jp
15/10/19 00:20:37.19 .net
これ、INSから一般ひかり電話に移行した企業とかで良くトラブルになる奴だろ。。。
代理店が全く説明してない場合や、
利用者側が聞き逃してるとか、知っててもいざとなるとごね出すんだよなぁ。。
業務の生命線ならファミリーなんかに全力で体重かけちゃだめだぞ。
ほんと、業務クラウド化したぜヒャッホーで回線冗長化忘れてるてたりするからな。
544:anonymous
15/10/19 01:35:20.45 .net
>>543
>業務クラウド化したぜヒャッホーで回線冗長化忘れてる
それ俺。
クラウドは安いんだけど、回線が高いからなあ。
545:anonymous
15/10/19 04:59:30.13 .net
>>543
ほんとにね。
意味あるかどうかはともかく、最悪PP冗長化ぐらいはやっとかないと怖いよね。
546:anonymous
15/10/19 11:53:30.16 .net
今回は工事だから事前通告あるし短時間と言えば短時間だけど
故障やその他障害だってありえるのに
業務上困るとか言われるのもね
事前に会社に考えられる想定される事態と対策と費用を提示して諦めるものは諦めて重要な部分だけ何等かの対策した方がよい
クラウドや支店にバックアップ拠点とかいろいろ考える事できるんじゃね?
547:Anonymous
15/10/20 19:39:10.53 .net
,, -―-、
/ ヽ
,;-‐─-- 、 / /i⌒ヽ、| オ゙エ゙ェェェェーー!!!!
/:: _ 、 :/ /:::/ ヴボロロォイロロロロロイ
/::::: ::i´(:・:)゙i:::/ /::::::/ 。゚
/:::::: :;ヾ、 ,,ノ;;//。っ つ゚ o゚
=彳:::U 、::::゙゙";;;''\\‘゚。`o、o っ
/:::::: \\゚。、。、っo
/:::::::: U /ー'⌒`ヽ U;;::;;::oミミ@ っ
/:::::::: U ( `:、U:;:;o::;;。 ゚o
/::::::::::::: `ヽググ ゚( o::。0:::;;o::)゚ 。 ビタビタビタビタ
/:::::::::::::::::: 、::: :::) ):::;;巛《;;::::::ノ 。 o
548:anonymous
15/10/21 05:12:47.22 .net
今さらかとおもいつつ、
興味深い記事なので投稿しておく
半固定アドレスとNGNのVPN
URLリンク(itpro.nikkeibp.co.jp)
549:anonymous
15/10/21 11:53:29.11 .net
>>545
プロバイダの冗長化も必要だと思う。(回線自体のダウンの対策とは別にとるべき対策として。)
RTXの機能で、ダウンしたPPを別のインターフェイスに切り替えられる。
しかし、レスポンスタイムが上昇したり、パケットが喪失する場合に、
別プロバイダを使うようにもしたいなあ。こういう要望にはluaつかうしかないんだろうな。
550:あなに
15/10/21 12:15:34.57 .net
>>549
PingでUTM見に行ってるよ
551:名無しさん
15/10/21 12:28:46.05 .net
そしてえらいひとが「契約してるのに使わないとかなめとんのか、両アクティブに汁」とか言い出して泥沼。。。
552:anonymous
15/10/21 15:20:10.97 .net
>>549
普通に回線バックアップとか、ルーター追加してVRRPじゃ足りないのん?
553:anonymous
15/10/21 20:20:42.98 .net
>>552
RTX1200と、RTX1210なら、VRRP に対応しているみたいだな。
これによって、回線も冗長化できるけど、>>551のように言われそう。
これまで、自分は構築期(発展途上期)だったんで、冗長化にまで考慮することがなかったな。
今では、安心、安定化、誰にも文句言われたくないという気持ちがわいているので、
VRRP も良いかなと思ったな。
554:anonymous
15/10/21 21:43:01.64 .net
>>553
RTXシリーズは全部対応してるで。小規模なら810と1100とかでいいんじゃないかね。コスト削減。
NVR500はVRRP使えないからだめやで。
どっちもアクティブにしろって言うんなら、両方使えばいいんや。
ルーティングでIPアドレスの1〜150はメイン、151以降はバックアップ側みたいな感じにするとか、やりようはいくらでもあるよ。
名目は負荷分散ってことで。
それでもだめなら(´・ω・`)しらんがな
555:anonymous
15/10/21 23:52:43.94 .net
両系ActiveならL3SWでVFR or PBRか、VPNならOSPFでECMPが好み
556:anonymous
15/10/22 15:42:28.37 .net
>>555
(1)>両系Activeなら・・・
たとえば、それが意味するのは、
ひかり回線が二つあって、それぞれは、--[ONU]--[ルーター]--[L3SW]--(LAN)
という感じで、L3SWに統合されている状況なんでしょうか。
(2)>VPNなら・・
これも、ひかり回線が背後に控えて両方利用できる状況でよいのかな。
(1)(2)とを分けていて、それぞれ異なる分散プロトコルを適用している理由が、
なんだかよくわかりません。
こういうプロトコルは、これまで触れたことがなかったです。
ここではヤマハのスイッチが想定されているのかな?。
557:anonymous
15/10/22 18:23:33.81 .net
男は黙ってSWX2200-24G
558:555
15/10/22 21:44:03.56 .net
>>556
OSPFは企業ネットワークで一番よく使われるルーティングプロトコル
アクセス回線2本あるなら、賢く両方使って通信してくれる
それなりに拠点数があったり、センターで頻繁にネットワークの変更が見込まれるようなら間違いなくOSPF選ぶ
そこまでの規模じゃなければVRRPでVRIDを二つこさえる
送信元IPアドレスを識別子として振り分けるPBRか、L3SWの中にL3SWを仮想で作るVRFで
二つのVRIDってかバーチャルルータに振り分ける
ヤマハスイッチはしょぼいから使わない
559:anonymous
15/10/22 22:02:07.36 .net
どうしょほいの
560:anonymous
15/10/22 22:46:46.40 .net
>>559
所詮はL2SWだから機能が足りない
かといってエッジの馬鹿HUBとして使うには無駄に高い
561:anonymous
15/10/23 00:09:20.94 .net
>>560
それはYAMAHAだからじゃなくてL2SWだからだろ…
VLANできれば御の字だろ
562:anomymous
15/10/23 09:43:59.43 .net
>>561に同意
563:anonymous
15/10/23 13:30:39.17 .net
管理者居ない拠点で牛の無線子機が発狂してネットワーク障害起こした時は
ヤマハスイッチで楽に対処出来た
まぁ何事も用途次第って事で
564:anonymous
15/10/23 16:01:14.64 .net
このスレにやってくるおまいらは、
どっかのネットワーク会社にエンジニアとして雇われて、他の会社のメンテナンスや構築を請け負っているのか?
それとも、自営で自ら他の会社と契約して出向いているのか?
あるいは、自分自身の会社のシステムについて取り扱う専属社員なのか?
ネットワーク屋だけでなく、プログラマ、データベース、LINUXシステム、(あるいは営業)など、複数の顔を持っているのか?
それとも、一本の筋を通しているやつらなのか?
565:anonymous
15/10/23 16:37:12.89 .net
ヤマハだけ扱ってるとこなんてあるのか?
マルチベンダでやってるとこが多いような。
566:anonymous
15/10/23 16:37:49.98 .net
>>564
そういう君はどうなのさ
567:anonymous
15/10/23 19:55:05.26 .net
自宅保守員
568:anonymous
15/10/27 22:28:07.32 RuMerFEx.net
YAMAHAルーター(FWX120とかでもいいです)でICMPのechoパケット(ping)だけrejectする
ことってできますでしょうか??
569:+
15/10/27 22:41:13.89 .net
>>568
こういうこと?
ip lan1 address 192.168.254.254/24
ip filter 1 reject * 192.168.254.254 icmp
570:anonymous
15/10/27 23:08:07.54 RuMerFEx.net
>>569
早速ありがとうございます
それだとICMPパケットは何でもrejectしてしまう感じでしょうか?
571:anonymous
15/10/27 23:21:12.68 .net
>>570
URLリンク(www.rtpro.yamaha.co.jp)
572:anonymous
15/10/27 23:27:25.60 .net
∧_∧
(ii!゚Д゚:;・ヽ。; ..;
|つ |:・.ヽ;・.; :ヽ. :
〜と_)__) :・: 。・; ;゚・ゲェログェゥグェァオェ
=二三三三二
ゲェログェゥグェァオェ
〃⌒ ヽフ
/ rノ ∧_∧ ゲェログェゥグェァオェ ゲェログェゥグェァオェ
Ο Ο_);:゚。o;:,. 〃,(||i´┌`) ∧∧ ○
/ ,つ ィ;,゚;:δ゚,,. ビチョビチョ ⊂(´Д`⊂⌒`つ
⊂こ_)_)',;:゚。o;:,..,゚.,。 ⊂;:.,.。o,;⊃
,,;:;;。.:;;゚'。o.,
573:anonymous
15/10/27 23:31:19.30 .net
でもきょうびping返さない機器って流行らないどころか迷惑だよね。
574: ◆Ww2pZaKGaW0T
15/10/27 23:44:45.25 tuJ8OWkO.net
最初に無があった
無は有を生んだ
これが全ての真理
575:anonymous
15/10/27 23:55:34.07 .net
会社のDNSサーバがPING応答しなくて落ちてるって言っちゃったの思い出した。
576:anonymous
15/10/28 00:52:40.50 .net
icmp応答なんて必要なとこ以外させないかなぁ。
それがないと切り分けられないなんて愚図は相手するだけ時間の無駄。
577:anonymous
15/10/28 01:41:28.28 .net
>>573
認証キーつきpingってないのかな。
公開鍵のクライアント認証的に使えるようにしたらいいのに。
dnsではそういう仕組みも使えるでしょ。えっと、なんていうんだったかな。
578:anonymous
15/10/28 01:42:13.34 .net
>>575
Windowsもファイアーウォールされているから返さないでほ?
579:anonymous
15/10/28 01:44:44.37 .net
>>576
おれも、インターネット側からはさせない。
LAN側からも、させないようにしようかなと考え中。
(知識を持ち出した奴が実験しないようにするために。)
580:anonymous
15/10/28 01:48:25.73 .net
>>568
RTXは、静的フィルタを通過する前に、pingに応答する仕組みらしい。
だから、リジェクトフィルタだけで、icmpを排除できない。
そこで、強制的に、リジェクトフィルタを通過するように設定する必要がある。
pingを無視したいインターフェイスで、natを使ってicmpの入力を、
RTXに通すように設定して、さらに、それを静的フィルタで拒絶すると良い。
581:anonymous@FL1-125-199-133-130.fko.mesh.ad.jp
15/10/28 10:40:28.12 .net
1210を入れる予定だったんですが、fortigate60Dを入れると言って来た。
VPNはyamahaでしたいけど、60DのDMZポートもいいかも…
予算を考えなくていい場合、
・60D一台で賄う
・60Dトランスペアレントモード+1210
ここの兄貴たちはどっちがお好みですか?
582:anonymous
15/10/28 11:14:40.42 aOMrbm8x.net
>>581
予算の上限なしなら後者かな。
低予算なら60Dの代わりに1210のLAN3をDMZにすると思う
583:anonymous@pc65f20.sitmnt01.ap.so-net.ne.jp
15/10/28 11:19:56.05 .net
興味ないよ
584:anonymous
15/10/28 11:27:27.68 .net
>>582
前提無視か?
585:anonymous
15/10/28 11:52:22.57 .net
前提が予算の上限が無い場合じゃないの?
586:anonymous
15/10/28 12:00:29.39 .net
ならシスコで
587:anonymous
15/10/29 01:09:22.94 .net
おおRTX1200でUX302NC対応するようになった!
URLリンク(www.rtpro.yamaha.co.jp)
588:anonymous
15/10/29 04:08:37.95 .net
>>587
バグ、仕様変更、
アップデート前に、全部目を通しておいた方が良いかな?
今までの動作がうまくしないようになったら怖いかも。
589:anonymous
15/10/29 04:10:39.02 .net
>>587
>UX302NC
って、AMAZONに売っていないんだけど。
代わりになる、ドングルってほかにどんなのがあるんだろう。
何か、リストとか提供されている?
590:anonymous
15/10/29 13:44:23.90 .net
うんことおなら出しちゃった!!
\
 ̄ ̄ ̄|/ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
-=-::.
/ \:\ _____
| カルト邪宗教祖 ミ:::| |_____ \□ □
.ミ|_≡=、´ `, ≡=_、 |;/ / / _____
.||..(゚ )| ̄|. (。) |─/ヽ. / / |_____|
...|ヽ二/ \二/ ∂ rっ / /
/. ハ - −ハ |_/( r- 三) / /
| ヽ/__\_ノ / / / /__/ (⌒ ⌒ヽ
\、 ヽ| .::::/.|/ヽ // / (´⌒ ⌒ ⌒ヾ
.\ilヽ::::ノ丿_ // / ('⌒ ; ⌒ ::⌒ )
しw/ノ ̄---┴-- (´ ) ::: )
∪| ( *≡≡≡≡≡三(´⌒;: ::⌒`) :; )
/ / ;;; \ ─┐ヽヽ,,,, | | ::⌒ )
/ / /;;;;;\ \ (⌒:: / (⌒`) | | ソ
/ / ( ̄);;;.;|;;|;;.\ ( ̄) ノ ヾ ノ ┐
/ ( ノ (.;:.::;;|.;:.|;.;.: \ノ ( ヽヽ ┴ ヽヽ
⊂- ┘( ),.;:;.;;-,;:.:;;::.l ( ) ─┐ | | ─┐ | | | |
UUUU.,;:.,:;:;,..;:,.,:;;:;;:UUUU. /. | | / . | | | |
,.;:.,:.,:;.,.,:.,;;:;::;::;:;:;.,;.:,.:;:;:,.:;:. ノ ノ ┐ ノ ノ ノ
;:.,:;.,:;.,:;.,:;.,:;.,::; ┴
591:anonymous
15/10/29 18:28:56.10 +1czRIJw.net
>>580
>>571
ありがとうございます
NATを通せば応答は返らなくなるんですね
ただICMPのタイプ別に細かくフィルタリングするのは難しそうですね
592:anonymous
15/10/30 01:10:42.11 .net
>>591
IPv6のICMPのことをおっしゃっている?
593:anonymous
15/10/30 06:53:24.14 kd0B6U5J.net
>>592
IPv4の方です
594:anonymous
15/10/30 17:45:53.70 .net
>>593
>ICMPのタイプ別に細かくフィルタリングする(>>591)
IPv4で、そんな細かく分ける意味って?
595:anonymous
15/10/30 18:44:07.52 GoD7kDZs.net
単純にpingの応答はしないようにしたく思いまして…
596:anonymous
15/10/30 19:56:27.38 .net
ステルス使えば?
597:anonymous
15/10/30 20:36:31.24 .net
>>596
すみません、詳しく教えていただけませんか?
598:anonymous
15/10/31 00:29:45.92 .net
まだ、RTXスレに登場していないとは!
○クリックジャッキング
URLリンク(internet.watch.impress.co.jp)
○「複数ルータにおけるクリックジャッキング対策の不備の脆弱性」について
URLリンク(www.rtpro.yamaha.co.jp)
業務用ルーターやFW製品、スイッチなど、いろいろ該当製品があるぞ!
599:anonymous@112-71-231-98f1.kyt1.eonet.ne.jp
15/10/31 10:49:27.19 .net
CPU&メモリ節約のためルーターはhttpd service offなんで関係ないな
FWは知らないが
600:anony
15/10/31 11:19:00.17 .net
>>597
ip stealth ?
601:anonymous
15/10/31 14:03:45.88 .net
>>599
×CPU&メモリ節約
○勝手にいじられたくない
602:anonymous
15/10/31 14:04:37.51 d1WeSSgf.net
>>601
なぜHTTP経由だと勝手にいじられるのか
謎である
603:anonymous
15/10/31 14:05:21.52 .net
>>600
ステルスモードとICMPのモード別フィルタリングがどう繋がるのかわからないもので…
604:anonymous@112-71-231-98f1.kyt1.eonet.ne.jp
15/10/31 16:40:34.86 .net
>>601
業務用じゃない57iだったか使ってた時、GUIでフィルタ書いたら番号500000とか桁数大杉で止めた
CUIで触るときフィルタ何十個も書くと見にくくてやってられん
ちなみに勝手にいじられない対策はルーターセグメントをネットワークアドレスもVLANも分けて使ってる
>>603
URLリンク(www.rtpro.yamaha.co.jp)
ステルス使ってると外からルーターにping打ってもip secure filter inの設定に関係なく応答しないが
ルーター配下のホストへはfilter inで許可してさえいればステルスの設定に関係なく疎通する
605:anonymous603
15/10/31 17:19:41.39 .net
>>604
どうもありがとうございます!!
606:anonymous
15/10/31 20:50:50.84 .net
>>604
でもSRTのフィルタはGUIでしかやりたくない
607:anonymous@112-71-231-98f1.kyt1.eonet.ne.jp
15/10/31 22:59:00.08 .net
>>606
YAMAHAのFWは触ったこと無いがそれには同意する
FWは何社か触ってるがGUIメインでCUI使うのは特殊設定入れるときぐらいだな
フィルタルールだけで百行以上書いてるasaでsh runしたコンフィグなんか見る気にもならん
ただGUI未対応コマンドなのか偶にCUIで触ったことが原因でGUIの挙動が変になるのが難点
608:anonymous
15/10/31 23:00:52.53 .net
>>607
Fortigateのconfigを普通のルータの感覚で9600bpsで取得しはじめちゃった時は
コーヒー飲みに退席したわ
609:anonymous
15/11/01 13:22:17.40 .net
CSVからインクリメンタルにパラメータ読んでコンフィグ作るツールをシェルなりPythonなりで作ると良いよ
テストツールにも流用できるし仕事早くなるよ
610:anonymous
15/11/01 15:40:26.64 .net
それexcelで十分。
611:anonymous
15/11/01 20:05:05.44 .net
文字コードとか気にしないの?
あっ、全部アスキーなのか。
612:anonymous
15/11/01 20:40:26.54 .net
EUCで設定したままだからちょっとイラっとくるよね。
CONSOLE CHARACTER ASCII
は化けたの見た時にやっちゃう
613:__
15/11/02 22:02:19.32 .net
>>608
いや、fortiは最初からやる気がなければsh runできないだろ
女の家に上がり込むのに「いや、何もしないから」と同じだろ、それ
614:anonymous
15/11/03 08:50:14.56 .net
今頃w
615:anonymous
15/11/05 07:59:22.35 .net
なんと、タイムリーな話題
うちのRTX1200がおかしい。
WEB画面で、ログなどを表示させると、最初がひどい文字化けになる。
↓これ
----- "show status lan1" �R�}���h�̎��s���� -----
show status lan1
VLAN1
����:
焦って、コンフィグのバックアップは取った。
ざっと見たところ、そこは文字化けになっていなかった。
もちろん、ブラウザの設定がおかしいわけではないと思う。
同じブラウザで、別のRTX1200に接続してみると、正常だった。
これって、ロムが壊れてきているということだろうか。
ルーターとしての機能は正常のよう。今のところ。
新しいのを買いなおすべきだろうか。
MACアドレスが変わると、IPv6アドレスが変化するので、いろいろめんどいなあ。
616:anonymous
15/11/05 08:04:52.57 .net
>>615です。
直前に、
show log | grep url
なんてコマンド打って、待たされた挙句に応答が返ってこなかったことが影響していないかな。
たぶん、関係ないとは思うけど、ファームの領域を破壊したりして。
アップデートするのも怖い。遠隔地だし。
代替機持って、バックアップトンネル張って、いろいろ準備を整えてから、
現地に赴くしかないなあ。
617:anonymous
15/11/05 08:07:46.74 .net
>>615です。
あ、もちろん、restartは済ませたけど、直らない。
さきの、show log | grep url のあと、変だなあと思って、
とにかくそこからpingで対向拠点に打ったら、異常に遅い応答、応答には揺れがあった。
restart後は、いつものとおり、安定した結果を得られた。
618:anonymous
15/11/05 10:52:30.15 .net
RTX1200のヤフオク相場が値崩れしていて
RTX810と値段が逆転しちゃってますが
機能的にはRTX810<RTX1200ですよね?
619:_
15/11/05 15:36:07.53 .net
>>618
欲しい方を買えばいいんじゃない
個人用途なら、どっちでもいい
勉強用なら、cisco買うべき
620:anonymous
15/11/05 21:51:54.10 .net
>>618
初期出荷からそれなりにたってるからなぁ。今市場に流出してるのはリースアップ品だろうから
あんまり品質は良くない気がするし。CONFIG化けちゃうかもしれないよ
621:anonymous
15/11/06 07:47:22.94 .net
>>619
なぜciscoなのか、謎である
622:anonymous
15/11/06 19:49:20.25 .net
>>621
学習コストに対する見返りが違いすぎるから納得したわ
623:anonymous@KD119104128218.au-net.ne.jp
15/11/06 21:42:21.37 .net
初歩的な疑問なんだが、PPPoEパススルーってなんで対応しないの?
ハード的な制約?
810やFWX120は対応してるっぽいから違うか。。。
624:anonymous
15/11/06 22:26:30.89 .net
PPPoEパススルーって、ブリッジすりゃ
良いだけの話じゃ無いの?
625:anonymous
15/11/06 23:15:55.73 .net
>>623
ONUからHUBで分岐したら?
626:anonymous
15/11/06 23:57:00.55 .net
ししゅこのるぅたぁ
627:anonymous
15/11/07 00:10:42.40 .net
>>623
そのせいで、レセプトのオンライン請求システムに組みにくいんだよな
configにセッション書いちゃえばいいんだけど、あまりにシームレスすぎて不安視されちゃうし
家庭用ルータなんかで運用してる医院でそのまま置換したいのに…
628:anonymous
15/11/07 00:29:08.14 .net
言ってることが理解できない
パススルーしたいってことはRTXでPPPoE喋らせたくないって意味だと思うんだけど
シームレスなんて言葉が出てくるとPPPoE複数張るのが目的なのかと
629:あなにます
15/11/07 01:58:39.80 .net
pppoeしてるRTXの配下にある端末から、別のpppoeを使用時だけ張りたいってことかなあ?ダイヤルアップでもなし、このご時世に珍しいね。不安そうならUTMでも売りつけたらどうだw
630:名無しさん
15/11/07 03:28:20.71 .net
レセオンってまさに「端末から直に専用PPPoE張ってね」なシステムだったような…
631:−
15/11/07 08:43:40.47 .net
必要なときだけ電源をONにする運用とかはあるね
>>625のやり方で良いと思う
配線業者手配するのが嫌なんだろうけど、仕方ないでしょ
632:627
15/11/07 10:20:39.74 .net
>>629
いや、ね。そのダイヤルアップPPPなんよ。
URLリンク(www.ssk.or.jp)
この手順があるから、エンドユーザは「安全」だってイメージもってて、勝手に繋がるのは好かれてないんだわ
出荷時はオフでいいから実装してくれるともっと売れるのに
633:anonymous
15/11/07 14:35:33.11 .net
>
,. ..::=::... 、 > 知るかバカ!
/....::::::::::::〃 \ >
/ ⌒):::::::::::| ! : ヽ > そんなことより
, .:.....:::::::::::::::| :. ::. i >
l ::::::::::::::::::::::| :: j::::: | > オナニーだ!
」 :::::; -‐ミ::::ノノ∠... L、 >
/ヘ ⌒<こ>:::. .:: <こ>, うハ / ∧∧∧∧∧∧∧∧∧
{::〈 .::::r‐' 7.:: :::. _):::. 〉.:}
ヽ::. 、::::::::::::〈_.:::; ヽ::::::: .::ノ
ゝ!::.ヽ::::::::/_J_ }::; /`ヽ- 、
/ ∧:::::.::::::::''ニニヽ } ∧ >‐- .
_/ ///ヽ :.::::::::(⌒_ノ イ ∧ 丶、
,. ´ ////O 丶、::::::: .イ O/∧_____ ´  ̄ `ヽ
-‐'"´  ̄ __ /////////ヽ  ̄ ////////三三三三≧x ___
634:あなにます
15/11/07 14:49:27.16 .net
>>632
onu直下にハブそしてPC側にもうひとつNICでどうだろう
635:anonymous
15/11/07 14:52:04.34 .net
>>634
ルータリプレイスにそこまで手間かけたくない
636:anonymous@ pl038.nas813.p-nagano.nttpc.ne.jp
15/11/07 20:35:14.94 L/eA7V+za
ONUからHUBで運用しています。
週明け請求日です。
637:623
15/11/07 19:01:39.60 .net
>>627
いや正にそれに悩まされてるんだけどさ。
開業医のとこ入れ替えて、前の安い家庭用のはできたのにとか言われ、もう何回同じ言い訳をしたか。
638:627
15/11/07 23:05:57.12 .net
>>637
俺も悩んでるんで振らないでくれよ
ハブ買って重畳させるしかないよ
セッション入れようにもIPsec+IKE方式で提案しようにも
「ダイヤルアップで接続する以外嫌だ。今までと同じ方法でできるって言ったよね?」ってダダこねるし
639:anonymous
15/11/07 23:56:25.71 .net
で、ダイヤルアップで、WINDOWS2000つかって、ファイアウォールなしとかだったら!!!
640:anonymous
15/11/07 23:58:18.61 .net
ん?
641:ada
15/11/08 02:53:42.86 .net
>>629
>>632
しかもセッション張ったままだと確認の電話かかってくるんだぜw
642:anonymous
15/11/08 06:54:00.00 .net
>>641
それってフィルタ型ルーティングを使って接続先に応じてPP1とPP2を切り替えればいいんじゃない?
PP2がレセプト用のセッションにして自動接続の切断タイマー5分とかにしてやれば、電話も掛かって来ないし。
URLリンク(www.rtpro.yamaha.co.jp)
643:anonymous@FL1-125-199-44-218.nig.mesh.ad.jp
15/11/08 09:23:48.30 .net
ダイヤルアップPPPみたいにVPN接続をダイヤラー形式で作って、それで接続出来ないのか?
644:anonymous@p3289023-ipngn19301marunouchi.tokyo.ocn.ne.jp
15/11/08 12:29:25.01 .net
RTX1200でSNTP サーバーに繋がるのをvlan1〜vlan3に制限したいんだけど
そういうのって出来ないんですかね?
【試してダメだったこと】
sntpd host lan1 vlan1に変換されて登録される
sntpd host vlan1-vlan3 そんなIP無いってエラー
sntpd host vlan1
sntpd host vlan2
sntpd host vlan3 vlan3だけ登録される
645:hage
15/11/08 12:32:54.37 .net
PPPoE パススルーって
末端PCからルーター飛ばしてWAN側にあるCTU的な箱へ直接PPPoE接続させること?
646:anonymous
15/11/08 13:53:35.97 .net
ここにいる人はおそらくCTUなどいらない人ばかりだとおもうけどね
647:anonymous
15/11/08 15:27:09.43 .net
tera termなんかのスクリプト作って
自動発呼しないでスクリプトダブルクリックで手動接続して
手動切断、PC落ちた時ようにタイマー切断も入れとけよくね?
648:anonymous
15/11/08 17:11:29.24 .net
>>645
そう。
フレッツスクエアつなぐような感じ
649:anon
15/11/08 18:06:53.68 .net
>>627
レセは端末から直PPPoEタイプのものと、USBキーなどを併用したVPN方式の2方式があるから
PPPoE方式が面倒ならそっちを採用すればいい。
レセコン業者に 「エンドユーザーにそっちを選択してもらってくれ」と頼めばよい。
初期費用とか月額とか大抵同じだし。
色々と運用的にもそっちの方が面倒見る側は面倒見やすい。
ちなみに、以前厚生労働省は
「レセプト請求するPCは現用LANと隔離しないとダメ」と厳格に言っていたが
最近はそのへんもうるさく言わなくなった模様。
650:あ
15/11/09 01:29:48.42 .net
>>649
みたいだね。
最近サポートに電話したら「NICふたつで対応してる所もあるみたいだが、公式には奨められないので。。。」
と言われたわ。
だったら他の人が書いてくれてるように、RTXにスクリプト作ってトリガーでセッション開始させた方が良いかの。
しかしその分面倒見なきゃいけなくなるわけだが。
あとは素直にIPSecに移行させるかか。
651:anonymous
15/11/09 04:59:54.97 .net
>>627
それすごい思うわ。
ただ、お客さんから見たときのセキュリティー云々の概念はハブで電カル系とインターネットするネットワークとか、
画像ネットワークなんかを見たままで分けた方が安心するみたいだからいつもそうしてる。
中小規模の医院なんか相手してると、いろんな業者が勝手に入ってきて完了主義的にやってくから自然とそういう環境が形成されていく。
そのくせ、障害が起きるとたらい回しだからこまる(´・ω・`)
ってか、意外とここの住人って医療系ネットワークやってるのね。
652:anonymous
15/11/09 06:33:19.84 .net
>>651
俺とお前だけしかいないみたいだけどな
653:anonymous
15/11/09 06:47:32.61 .net
>>652
まじか。兄弟。
654:hage
15/11/09 12:00:32.33 .net
>>648
ip lan1 lan1 xxxx
で、lan1に末端PC群がいる前提とし、CTUも同じ lan1 に繋いでやる
そのうえで
pp select 1
pppoe use lan1
すると、lan1が共用になるが、これでダメなのか?
時々使ってる
655:hage
15/11/09 12:03:09.21 .net
lanとpppoeを被せるのは、lan2 で良く使う
として、lan2にCTUを繋いで
pppoe use lan2
するとき、一緒に
ip lan2 dhcp
も書いておく。ただしセグメントは別な。
そうすると末端PCからCTUの保守画面まで入れる
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
1228日前に更新/270 KB
担当:undef