YAMAHA業務向けルーター運用構築スレッドPart22
at NETWORK
[前50を表示]
750:anonymous@fusianasan
20/04/08 08:39:07 .net
ライセンス切れたものでもセキュリティホール発見された場合ファーム更新ってできるの?
751:anonymous@fusianasan
20/04/08 08:50:31 .net
出た、Fotigate儲注意
752:anonymous@fusianasan
20/04/08 10:07:00 .net
>>740
できないよ
途中から加入もできなかったはず
アコギなライセンス商法やってるからなFortiは
753:anonymous@fusianasan
20/04/08 10:16:25 .net
ならSofterherでええやんw
754:anonymous@fusianasan
20/04/08 10:34:06 .net
>>743
なんか新手のether? w
755:anonymous@fusianasan
20/04/08 11:00:17 .net
SoftetherのDesktopVPNを使ってみたが、設定が楽ね。
756:anonymous@fusianasan
20/04/08 11:14:08 .net
設定ファイル配れるし楽だよ
クライアント証明書使えば総当たり攻撃も防げるし
757:anonymous@fusianasan
20/04/08 18:17:02 .net
>>746
サーバーマシンはなんのOSつかっている?
Windows?
Linux?
クライアント証明書はオレオレのもの?
758:anonymous@fusianasan
20/04/08 20:19:07 .net
接続相手の認証だから、オレオレでExport禁止なら普通は十分だと思うよ
759:anonymous@fusianasan
20/04/08 21:16:34.79 .net
>>748
クライアント証明書も、いろんなタイプ(WEB用、メール用)などあり、
頭の中が整理が付いていません。
どうやってSoftEtherのクライアントオレオレ証明書をつくれるか、
参考サイトがあったら教えてください。
760:anonymous@fusianasan
20/04/09 00:37:44 .net
>>749
ソースからコンパイルしないと証明書の機能が殺されていたような。。。
証明書はSoftetherのサーバーマネージャーで作れた気がするよ。
761:anonymous@fusianasan
20/04/09 07:33:26.40 .net
>>750
レスありがとうございます。
ソースをいじってコンパイルとは面倒くさそうです。
でも証明書の作成は手間ではなさそうですね。
762:anonymous@fusianasan
20/04/09 21:20:11.75 .net
おれおれおれだよおれ証明書ならxcaのがいい。se付属のはヌルい。
763:anonymous@fusianasan
20/04/10 08:23:32 .net
>>752
URLリンク(elastic-infra.com)
xcaなんてしらないなあ。
参考サイト張らしてください。
764:anonymous@fusianasan
20/04/10 22:15:50 .net
URLリンク(openblocks.plathome.co.jp)
面白い製品。
社員にネットワーク端末を渡して接続させることで簡単にVPNできるらしい。
IP電話も持ち帰って貰えれば電話も受けられるな。
765:anonymous@fusianasan
20/04/10 23:55:09 .net
うちはコールセンターの子にMerakiZ3
766:ニPCと電話機持って帰ってもらって 在宅してもらってる ヤマハじゃまだそんなことはできんからな YNOがもうちょい賢ければ良いんだけど
767:anonymous@fusianasan
20/04/11 00:29:00 .net
>>754
これSoftetherだから中身はLinuxかな?
どんなハードとソフトが構成になっているかが気になる。
768:anonymous@fusianasan
20/04/11 10:12:58.74 .net
OpenBlocksだからDebianじゃないかな。
たしかにこれならIP電話使えるな・・・・遅延大丈夫け?
あと、SoftEtherならリモート用途で、導入も簡単なDesktop VPNもある。
6月末まで無料。
・・・ヤマハの話題がないぞ。
interopは明後日だから、何か情報でるかなー。
769:anonymous@fusianasan
20/04/12 00:50:37 .net
>>757
yamahaRTXを各自持って帰ってもらうわけにはいかないからなー
770:anonymous@fusianasan
20/04/12 05:54:06.46 .net
ヤマハが全力でテレワークや企業利用に最適で価格もお手頃なモバイルルーターを出す夢を見たが夢だった。二度寝しよう。
771:anonymous@fusianasan
20/04/12 07:23:37 .net
>>759
ネットワーク型のVPNに特化したやつね。
RTXに接続して使えるようにする。
社員に持って帰ってもらえるくらいに安価なやつ。
772:anonymous@fusianasan
20/04/12 08:21:38 .net
それならモバイルルータ配って閉域網用のSIM挿すのが1番早い
773:anonymous@fusianasan
20/04/12 10:54:42 .net
>>761
>閉域網用のSIM
NTTのNGNみたいに、折り返し通信ができるみたいな感じなのかな?
IPv4、IPv6のプライベートアドレスが与えられるのかな?
さらにグループ内だけで通信できるのならもっとセキュアだけどなあ。
774:anonymous@fusianasan
20/04/12 11:57:45 .net
たしかIIJとかで出してたな
ヤマハがやるならクラウド上のvRXとvRXの管理画面から生成できるIDとパスいれてインストールするだけで接続するアプリだせばいいんじゃね?
プロトコルはSSLでね
775:anonymous@fusianasan
20/04/12 12:03:34 .net
オレオレクライアント証明書も自動生成してつかえればなおよし
776:anonymous
20/04/12 21:43:07 .net
どうせ説明しても手離れ悪いんだからChromeリモートデスクトップあたり使わせた方がいいぞ
777:anonymous@fusianasan
20/04/12 21:52:31 .net
クライアント証明書は無線APでやってるから、可能性有るかも。
SSL-VPNは実装の実績がないな。
vRXは小さい貧乏会社には運用費高いよ、AWSとvRXで45万円/年だよ。
#100クライアント、月10GB/クライアント、帯域100Mbps・・・自信無し
778:anonymous@fusianasan
20/04/12 22:06:17 .net
>>758,760
中古のRTX810辺りなら・・・ワンチャン。
RTX同士のVPN(L2TP)って、片側がNAT内でも越えられるのかな。
779:anonymous@fusianasan
20/04/13 00:45:12 1ME0YAp1.net
>>765
忘れていたわそれ。
会社のPCの電源入れっぱなしにしておくということかな。
でも、ネットワーク型ではないから、IP電話できないよな。
780:anonymous@fusianasan
20/04/13 00:46:02 1ME0YAp1.net
>>767
IPsec/L2TPなら、UDPのNATトラバーサルでいけるはず。
781:anonymous@fusianasan
20/04/13 02:48:11.92 .net
>>769
いけるかと検討したら、センター側VPN対地数の上限が厳しかった。
RTX1200系はVPN上限100と思ってたら、L2TPのネットワーク型は別なのね。
ネットワーク型だと上限9,RTX3500で29、RTX5000が49。
・・・センター側には、転がってるRTX1200を10台ほど並べればいいか。(邪魔
782:anonymous@fusianasan
20/04/13 10:35:53 .net
>>766
オンプレミスで仮想化サーバーに入れれたらまだましかな
RTXで実現できればいいんだけどね
783:anonymous@fusianasan
20/04/14 00:25:30 .net
>>770
IPsec/L2TPは、ベースのtunnel接続と、PP接続の両方がいるね。
PP Anonymousだと思うけど、この上限があるってことか?
万が一のことを想定して、
VPS借りて、そこにLinuxベースのVPNセンターを作ってみようかと思案しているところ。
784:anonymous@fusianasan
20/04/14 02:19:08.25 .net
>>772
L2TPv3が9までだから勘違いしてるんでは
785:anonymous@fusianasan
20/04/14 03:17:07.30 .net
>>772,773
サンクス。勘違いしてたわ。
「LAN間接続VPNには対応していません。 」と↓にあるのでリモートのみ可なのかと焦った。
URLリンク(www.rtpro.yamaha.co.jp) (L2TP/IPsec)
ちゃんと設定例もありました。
URLリンク(network.yamaha.com)
・・・RTX1200実装時に検討したのを思い出したわ。
これで>758が価にできそうかな。
786:anonymous@fusianasan
20/04/14 03:30:56.30 .net
Interopのヤマハ発表。
URLリンク(f2ff.jp)
vRX、DPI、YNO、WLX212。
まだ資料を見てないけど、昨秋のセミナー通りっぽいね。
いつもはXナンバーの機器も展示してるるけど、オンラインだし今回は無いか。
787:anonymous@fusianasan
20/04/14 21:46:42 .net
去年のセミナーで話が無くて嫌な感じしてたが
一昨年のセミナーでクラウドの次の予定に上げてた3500,5000の後継はやはり無しか
予想してはいたがガッカリ
IPv6周りとかEDNSとかローエンドでも対応させる位に
今どき当たり前の機能に欠ける似非ハイエンドでいつまで引っ張るつもりなんだか
788:anonymous@fusianasan
20/04/14 22:30:56.36 JWrNh2Wa.net
大容量メモリ、高速処理、これらを満たしたRTX12xxシリーズを出して欲しいわ。
そうすれば、サーバーを立てずに、VPNを大勢に使ってもらえる。
789:anonymous@fusianasan
20/04/15 09:22:11.41 .net
大勢相手ならばYAMAHAにこだわる必要無いよね?
790:anonymous@fusianasan
20/04/15 11:04:49.36 .net
ヤマハの狙ってる客層と違うんで一生出ないと思われ
791:anonymous@fusianasan
20/04/15 18:01:00.64 .net
テレワーク需要が多いけど
社内に50人いた会社で45人分RDPやらせたいとか言われて困惑してる
RTX1210だから設定はできるけど、使い物になるんか
20人程度は特に問題なかったけど
792:anonymous
20/04/15 18:51:00.80 .net
>>780
1200の頃にXenappで50台は動かした事ある
793:anonymous@fusianasan
20/04/15 19:54:19.52 .net
>>780
今回の騒動で30台動かしてるけど、そこまではひとまず大丈夫だったよ。
ソフトイーサだけど。
794:anonymous@fusianasan
20/04/15 19:56:13 .net
画面上で全員が動画でも動かさない限りはそんなに負荷ないでしょう?
795:anonymous@fusianasan
20/04/15 23:49:23.74 .net
そういうのって会社のプロバイダと社員のプロバイダも関係してくるし
どんなアプリ使うかでも変わってくるし
運用してみて出てきた問題に対処していくしか無いんじゃない?
796:hage
20/04/16 07:06:49 .net
IPSec/L2TP だったら、その中で何を使うかはどうだっていいわけで、RDP ご指名ってことは
>>722 のように RDP を直出ししたいの?
だったら数十台くらい RT58i クラスでも全然平気だが。
797:anonymous@fusianasan
20/04/16 08:27:12 .net
>>781
RTX1200はパワーないが、
RTX1210なら余裕だと思う。
798:anonymous@fusianasan
20/04/17 05:18:41.53 .net
こんなご時世なので、MSがHyper-V ServerみたくRDP Gateway Server 2019を無償提供始めた夢を見たが夢だったので二度寝しよう。
799:anonymous
20/04/17 07:18:40.25 .net
>>736
> VPN自体に脆弱性があることに備えて、自分はIPレベルで制限をかけている。
> IPフィルタレベルに進入を許す脆弱性があったらダメだけれども。
IPレベルの制限って具体的になにやってるんですか。
在宅の人に固定IP契約させて、それだけ通すみたいなことやってるんです??
800:anonymous@fusianasan
20/04/17 07:46:16.18 .net
Xauthでいいんじゃないかな
801:anonymous@fusianasan
20/04/17 08:29:12 .net
>>788
本日のIPアドレスを聞き出す
802:anonymous@fusianasan
20/04/17 08:50:06 .net
>>788
海外が無
803:「なら海外除外ってのは当然として 事前に利用プロバイダーを聞いておく 特定の時間にアクセスしてもらう 弾いた中に事前に聞いたプロバイダーがあればそれを許可する もしくは事前にDDNSアプリ入れてもらってのも ありじゃね
804:anonymous@fusianasan
20/04/17 11:37:31 IARvepy5.net
>>787
一手間かかるが、こちらはSSHフォワーディングでそれの代替とした。
ついでにログイン時にwakeonlanをさせるようにしたので、電源をつけっぱなしにすることもない。
805:anonymous@fusianasan
20/04/17 11:54:17 .net
自身が会社のRTX経由でVPNアクセスするためIP制限してるんだが
フレッツ PPPoE だと 16ビットマスク で3パターンくらいあって怖いw
806:anonymous@fusianasan
20/04/17 17:40:36.83 .net
固定ipのプロバイダ500円/月だけどね。上流IIJで快適
807:anonymous
20/04/17 18:03:09.04 .net
そのプラン新規は無理だったような
808:anonymous@fusianasan
20/04/18 01:18:04.56 .net
ゼロトラストはやーれ。よく知らんけど。
809:anonymous
20/04/22 22:22:37 .net
IP制限するひまな情シスがいるスレはここですか?
いいなぁひまで
810:anonymous@fusianasan
20/04/22 23:47:04 .net
状況や規模に合わせて物を考えられない情シスもいるんだな
匿名掲示板でマウントしたがるなんて社内では下位なんだろうなぁ
811:anonymous@fusianasan
20/04/23 09:16:23 .net
自宅情シス担当なんじゃね?
812:anonymous
20/04/23 11:14:59 .net
ひまな情シスのほうが勝ち組なのでは?(鼻ホジ)
813:anonymous@fusianasan
20/04/23 11:59:43.65 .net
暇なときは暇だが、
ITといえば何もかも独りでやっている。
責任者は自分だけ。自分しかいない。泣き付く相手も居ない。
修羅場(←自分の甘さが招いたものだが)を幾多も越えてきた。
なので、ずっとヤマハルーターを使っている。(RT52iのときから)
できるだけ、慣れたもの、実績のあるものを使いたいという考えになっている。
814:anonymous@fusianasan
20/04/24 12:17:53 .net
ベンダに構築させるならCisco
自分で構築するならヤマハかな
ヤマハは保守ベンダが限られ過ぎて基幹には使えん
815:anonymous@fusianasan
20/04/24 13:07:52 ZYsJpXM7.net
オレはNECのIP38Xシリーズかな。
816:anonymous@fusianasan
20/04/25 18:09:53 .net
それYAMAHAやんけ
817:anonymous@fusianasan
20/04/25 22:10:02 FBgL2xj5.net
>>804
ツッコミThanks.
(ボケてみただけ)
818:anonymous@fusianasan
20/04/26 20:01:35 .net
>>805
わかりにくー
819:anonymous@fusianasan
20/04/26 21:39:39.72 .net
いや、わかるだろ
820:anonymous@fusianasan
20/04/27 09:03:38 .net
ヤマハスレだしな
821:無職のADHDが◯千万円分のビットコイン所持
20/04/27 14:35:27.51 fXCs3MtT.net
>>1
東京三鷹の土井(剛)莉里子
URLリンク(i.imgur.com)
氏名■土井剛(莉里子)
生年月日■1994.3.7
前住所■〒181-0013 東京都三鷹市下連雀5丁目3 シティハイツ吉祥寺通り4階
性別■男(詐欺師のため、戸籍変更している可能性あり)
Twitter■@copy__writing @kotobamemo_bot
疾患■性同一性障害(LGBT)、発達障害(ADHD)、アスペルガー症候群、統合失調症
●一方的に好意を寄せる男性から相手にされないと嫌がらせを繰り返す
●某大学病院の精神科隔離病棟にて強制入院
●骨が見えるほどのリストカット
●奇声をあげながら自室部屋のドアをナイフで突き刺す
●シティハイツ吉祥寺通り4階から飛び降り自殺
●性転換手術(金玉を取る)
●トラブル...嫌がらせ、ハッキング、乗っ取り、たかり、脅迫、殺害予告...etc
●去年から今年にかけてyoutuber同士のトラブルの仲介に入り某大手youtuberから複数回に渡り1億近い慰謝料をふんだくる
●自宅の吉祥寺にいられなくなり、大阪に潜伏中(警察からも逃げている)
822:anonymous@fusianasan
20/04/28 13:37:31 .net
SSL-VPNって、三種類ほどモードがある。
レイヤー2転送モードを使ってみたかったが、
クライアント側にソフトを導入しなければいけないので断念した。
L2TP/IPsecの後継にあたるものが、IKE2らしいね。
これはIKEみたいにIPsecで用いるサブのプロトコルなんだと思っていたが、
IKE2自体でVPNと言えるみたいな。
で、RTXもIKE2に対応しているようだが、
IKE2を有効にすると、IKEが使えなるという。
この理解で正しいでしょうか。
823:anonymous@fusianasan
20/04/29 00:13:39 .net
>>810
>IKE2自体でVPNと言えるみたいな。
どうしてそういう理解になるのか。
824:anonymous@fusianasan
20/04/29 08:15:33 dsTMU8ez.net
IKEv2でWindowsと接続する設定例はどこかに書いてありませんか?
825:anonymous@fusianasan
20/05/01 21:27:03 .net
テレワークで変なルータ売りつけられる客が意外といないな
FWX120の仮面変えたやつとか
826:anonymous@fusianasan
20/05/01 22:56:05 .net
Amazonで買うと偽装RTXがやってくる
購買に投げつけてやったわ
827:anonymous@fusianasan
20/05/01 23:36:25.92 .net
>>814
どういうやつ?出品者とか偽装と判別した所、詳しく教えてよ
828:anonymous@fusianasan
20/05/02 01:51:50.03 .net
偽装ではないが
マケプレだったかで
NVR700W新品購入して
1年ぐらいまえの日付書いてあるNTT西のリースシール張ってるの来た事あるわ
コンフィグも設定入ってたし
中古偽装するならシール剥がしてコンフィグ消せやって思ったわw
当然返品したけどな
829:anonymous@fusianasan
20/05/02 07:12:05.65 USPp4DBO.net
>>816
それ、単に盗品疑惑…?
830:anonymous@fusianasan
20/05/02 07:42:22.44 .net
あーAmazon出品者じゃないのね
ならそういうこともあるよたまに
831:anonymous@fusianasan
20/05/02 16:29:51 .net
>>814
Amazonは仕事さぼりすぎ
偽物とか、発送しないやつを取締れと。
832:anonymous@fusianasan
20/05/03 03:20:39.65 .net
FWX120でもmap-eに対応してくれ。。
対応しないからnecのやすいルーター買ってしまった。
しかし家庭用のこのクラスは設定ができなさすぎてきつい。
map-e対応で一番やすいのが中古のnec ix2105になりそう。
このままではixに浮気せざるを得ない
833:anonymous@fusianasan
20/05/03 21:16:47.21 gjYPXoEB.net
ISPのPPPoE接続のVPNが絶望的に遅いのでIPoEでVPNしたいけど
このサービス使ってる人いらっしゃいます??
URLリンク(ipq.jp)
YAMAHAも動作確認済になってるんですよ
834:anonymous@fusianasan
20/05/03 21:56:16.30 e4sW6j/t.net
>>821
つかってるよん
835:anonymous@fusianasan
20/05/03 22:14:02.27 gjYPXoEB.net
>>822
ありがとうごさいます
速度でてます?
このプロバイダのことよく知らなくて
地域によるとは思いますが
うちの会社ではフレッツ1G戸建をIPv4でテレワークで使ってますが
最近平日の日中はアップロードが特に遅くて5Mbps出ない日
836:... モバイルPCからつないでる社員からクレーム多くて泣きそう
837:anonymous@fusianasan
20/05/03 22:46:45.61 .net
フレッツならIPv6 IPoEでNGN折り返しにするだけでかなり快適だぞ
838:anonymous@fusianasan
20/05/04 01:30:37 .net
>>823
多分都市部なんだろうとと思うけど
平日日中でそのレベルならISP変えるよりVPN専用回線を検討した方がいいんじゃない?
839:anonymous
20/05/04 01:46:50 .net
網内でどれくらい出るかも書かずに・・・
840:anonymous@fusianasan
20/05/04 07:19:30 Z2wnekVz.net
ありがとうごさいます
新宿です
VPN専用で利用してます
プロバイダはIIj
NGN網内は2年前に計ったときは上下100以上出てました
予算的に1G占有回線は難しく...
5月末に3月に申し込んだフレッツ1Gが開通するので、もう一台1210追加して、そこでこのIPv6でIPv4固定IPサービス使いたいと思ってます
841:anonymous
20/05/04 10:40:32 .net
今はどこもリモートワークで回線需要が逼迫してるから
ベストエフォートの回線速度なんてやってみないと分からんだろうよ
842:anonymous@fusianasan
20/05/04 13:11:53 .net
>>827
PPPoEで詰まってて網内で十分出るようなら、回線の帯域は余りまくってるだろうから
同じ回線でIPoEも併用すれいいのでは?
843:anonymous@fusianasan
20/05/04 13:26:58 .net
aws上にVPNサーバたてて、awsと社内はダイレクトコネクト
844:anonymous@fusianasan
20/05/04 20:34:15 .net
ベストエフォート回線で、同一種類の契約を同一場所に引き込むと、局舎側での収容が同じ物理回線になる可能性もあるよね。
845:anonymous@fusianasan
20/05/04 20:38:34 .net
どこがボトルネックか事前に調べる必要はある
846:anonymous@fusianasan
20/05/05 01:26:35 .net
フレッツテレビをダミーで契約すると収容装置別になる
生活の知恵。
847:anonymous@fusianasan
20/05/05 02:57:02 .net
>>833
WDMだから、そうとは限らないのでは?
848:anonymous@fusianasan
20/05/05 10:49:32 .net
>>823
IPv4だけが遅いなら、VPNをIPv6に移してみては?
モバイルPCからでも、IPv6アクセスは可能なので。
URLリンク(blog.bari-ikutsu.com)
実際には上記APN設定に加えて、テザリング設定の方でも IPv4&IPv6 を選択する必要がある。
手元のIIJmio type-D SIM + Android端末 + Windows PCで IPv6接続に成功。
849:anonymous@fusianasan
20/05/05 11:25:53 oRdrOZu4.net
>>835
IPv6は、設定でどうにかならない場合もある。
850:anonymous@fusianasan
20/05/05 12:24:27 .net
>モバイルPCからつないでる社員からクレーム多くて泣きそう
というかこれとPPPoEの回線が遅いのとの関連性がわからんが
851:anonymous@fusianasan
20/05/05 12:29:20 .net
>>837
貸与しているモバイルPCからということでは?
852:anonymous@fusianasan
20/05/05 13:56:27 .net
>>835
既にたまたまIPv6も提供されてるモバイル契約があるならいいけど
そうでないならモバイルPCの台数分、IIJmio type-D SIMを新たに契約しろってか?
何台あるのかわからないけど、それよりはIPv4 over IPv6をひとつ契約する方が安いのでは
853:anonymous@fusianasan
20/05/05 14:21:29 .net
管理側のことを知らないんだよ。きっと。
854:anonymous@fusianasan
20/05/05 16:43:27.96 .net
>>839
動作SIMの実例を出さないと、「リンクを張るだけで、接続設定したことないんだよ。きっと」と突っ込まれるので。
855:anonymous@fusianasan
20/05/05 16:43:36.16 .net
うちも近頃PPPoE限界だわ
VPNのv6プラス化やるかな
856:anonymous@fusianasan
20/05/05 17:33:49 .net
>>841
いやそうではなくて。
ここでいう構築・運用をしたことがないんだよ。きっと。
857:anonymous@fusianasan
20/05/05 17:44:31.24 .net
この系で飯食ってるなら、モバイル網のデュアルスタックは知ってないとおかしい。
それをドヤ顔で言われても という話だよ。
858:anonymous@fusianasan
20/05/06 17:46:20.89 .net
>>844
バックアップ回線は必要だけど、
固定IPで張っている
859:VPNが再生されないのは辛いなあ ところで、どんなドングルが使えるのかな? 3Gドングルならなんでも良い? RasPBXなら認識されているんだけど。
860:anonymous@fusianasan
20/05/06 18:40:28.82 .net
>>845
基幹部分のVPNならバックアップも含めて常時VPN張るの普通よね?
クライアントからのアクセス用ならDDNSなり使うのが定石では?
861:anonymous@fusianasan
20/05/07 01:30:44 .net
なんかマウントしてる奴がいるけど、ヤマハなんか使うような規模で
偉そうなこと言ったって50歩100歩
インターネットがフレッツな時点でそういうレベルなんだから
自由に使えば良い話
862:anonymous@fusianasan
20/05/07 03:26:53 .net
でもYAMAHAの機器は低価格でそこそこの性能だから、社内にはつなげたくない回線用や、深夜のサーバーのデータバックアップ専用回線とか、縁の下力持ちって感じで活躍しているけどな
863:anonymous@fusianasan
20/05/07 06:24:19.37 .net
>>847
なんかしれっとマウントとってる。
864:anonymous@fusianasan
20/05/07 21:44:25 .net
あれYAMAHAってループバックNAT対応してないですよね?
ネットボランチDNSで取得したホスト名でローカルから
グローバル経由で自鯖にアクセスできちゃったけどどうなってるのだろうこれ。
…なんか変な事しちゃった自分?
865:anonymous@fusianasan
20/05/07 21:50:01 .net
>>850
筐体はRTX1210でPPPoE IPv4です。
866:anonymous@fusianasan
20/05/07 22:40:06 .net
>>850
ヘアピンNAT
867:anonymous@fusianasan
20/05/07 23:29:13.88 .net
>>852
ループバックNAT=ヘアピンNATて解釈してたけど別?
ヘアピンNATは公式でサポートしていないって書いてあって出来ないと思ってたけど。
URLリンク(echo.createdb.net)
>>ppp ipcp ipaddress on
調べてみたら確かに出来るっぽい。。。
現config見てみると共通する箇所は上記コマンドしかないですが当たっています?
868:anonymous@fusianasan
20/05/07 23:53:31.44 .net
>>853
通常ならなにもしないでもヘアピンNATは有効
公式に書いてると思って検索したが出てこないね
特殊事例は下記みたい
URLリンク(es-es.facebook.com)
869:anonymous@fusianasan
20/05/08 00:29:33.26 .net
これでいう逆方向に当てはまるかな。
URLリンク(www.rtpro.yamaha.co.jp)
870:anonymous@fusianasan
20/05/08 00:42:09 .net
やるならDNSで細工した方がいいけどな
871:anonymous@fusianasan
20/05/08 08:46:10.68 .net
>>854
URLリンク(www.rtpro.yamaha.co.jp)
「なおヤマハルーターでは、一般的に「ヘアピンNAT」と呼ばれる機能には対応しておりません。 」
と書いてあったもんで出来ないと思ってたです。
基本的に特別な設定しなくてもヘアピンNATは動作するとなるほどありがとうです。
たしかにコレDNS細工が良いかもですね不注意な設定で外部からルータロのグイン画面が表示されたりしそう。。
872:anonymous
20/05/08 08:59:25.81 .net
ヘアピンNATってよく分からないのだけど
ルーターが折り返さずにプロバイダに送ったら
プロバイダが折り返してきてそのままポート転送されて宅内サーバーに行けば
ヘアピンNATと同じように見えるだけじゃないか?
873:anonymous@fusianasan
20/05/08 09:46:18 .net
>>858
その処理ができないルーターが存在するって話
874:anonymous@fusianasan
20/05/08 09:57:41 .net
自分自身のIPに送ってるのにプロバイダに送るとかルーティングとしてはおかしいだろ
875:anonymous@fusianasan
20/05/08 10:27:47 .net
つまり邪道
876:anonymous@fusianasan
20/05/08 10:35:19 .net
ファイヤー?
877:anonymous@fusianasan
20/05/08 12:18:34 .net
自宅鯖に、自宅NW配下から、WANからのアクセスのていで繋ぎたいってときぐらい?
ローカルでつなぐか、スマートフォンでテザリングすればいいんだがめんどうではある
878:anonymous@fusianasan
20/05/08 13:20:35 .net
DNS弄ればいいだけだろう
879:anonymous@fusianasan
20/05/08 14:33:45.69 .net
よくわかってないけどRTXってインターフェース間の通信に割と制約があるような気がする
880:anonymous@fusianasan
20/05/08 15:35:58 .net
850です。
今日V6プラスの開通工事が終わり公式のDHCPv6-PD設定で色々遊んでいたら、
今度はヘアピンNATが出来ない状態になってましてこれはV6プラスの仕様なんですかね。
NATPで外部解放は出来ていて自分だけがGIPでアクセス出来ない状態ですー。
881:anonymous@fusianasan
20/05/08 16:19:39 .net
ルータの基本的なところ理解してない奴が混じってるぞ
882:anonymous@fusianasan
20/05/08 19:48:22 .net
>>866
ヤマハのNAT周りの実装がそうなっているというだけであって、別にv6プラスの仕様というわけではないだろう
>>853のURLのやり方で行こうとすると、
ppp ipcp ipaddress on
の方は、v6プラスではIPCPなんて使ってないから無理だとして
ip pp address 10.0.0.1/32
は、ひょっとするとppをtunnelに置き換えれば行けるのかもしれない(試してみてはいないが)
883:anonymous@fusianasan
20/05/08 20:08:20 sbppS5VI.net
show ip route の出力結果を見て、
割り当てられたIPv4アドレスに対するimplicitと記載されている経路が
?ある場合はヘアピンNAT的な動作はできない。
?ない場合はヘアピンNAT的な動作が可能な場合がある。
?はpppoeを使う場合なんかで、ppp ipcp ipaddress on と設定してIPCPでIPアドレスを受け取って、
それをnat descriptor のouter address に使用する場合があてはまる。
?はpppoeを使う場合にip pp address コマンドでIPv4アドレスを固定する場合、
またはPPPoEを使わない場合があてはまる(CATVとか)
v6プラスの場合はBRの振る舞いに左右される。
無理だったなら無理なのだと思う。
ip tunnel address を指定するのは上記の?に相当するから、たぶんできないかな
884:anonymous@fusianasan
20/05/08 20:11:04 .net
ちがった
下段の説明文が?と?が逆でした
885:anonymous@fusianasan
20/05/09 11:29:13 .net
>>868
>>ひょっとするとppをtunnelに置き換えれば行けるのかもしれない
↑こちらは既に試しましたがだめでしたね。
>>869
default - TUNNEL[1] static
?の方法で試させてもらいました。
implicitではないので行けると思い試してみましたが、
私の設定方法が何か間違っているのかポート範囲も一緒に書き換わってしまうのでこれもだめでした。。
なんとか実現してみたかったですが、技術的に出来ないものは出来ないのだと諦めます。
むしろ出来ない理由がわかっただけでもすごく助かりました。
色々と教えて頂きありがとうございましたー。
886:anonymous@fusianasan
20/05/09 22:33:36.31 .net
>>871
ポート範囲はmap-eトンネルを使うと自動計算されてしまうけど、
正しいポート範囲をあらかじめ知ってるなら、ipipトンネルを使ってポート範囲も自分で設定する手がある
たとえばこんなの
スレリンク(hard板:326番)
(画像にconfigが入ってる)
887:anonymous@fusianasan
20/05/10 18:18:47 .net
RTX1210の静的レコードのIPv4DNSサーバー機能を使っています。
リカーシブ設定でそれ以外のレコードは上位のDNSサーバーに問い合わせるようにしています。
Linuxでdigコマンドをつかいましたが、エラーが出ます。
192.168.1.1はRTX1210のアドレスとします。
$ dig @192.168.1.1 www.example.com
WARNING: EDNS query returned status FORMERR - retry with '+noedns'
$ dig @192.168.1.1 www.example.com +noedns
;; ANSWER SECTION:
www.example.com. 1 IN A 192.168.12.13
静的レコード以外もだめです。
$ dig @192.168.1.1 google.com
さっきと同じエラー
$ dig @192.168.1.1 google.com +noedns
問題なし
+noedns がないため、RTX1210のDNS機能を使えない状態です。
解消するコマンドってあるでしょうか。
888:anonymous@fusianasan
20/05/10 19:32:35.78 .net
RT58iを使用しています。
OpenVPNサーバーをLAN内PCに設置しており、VPNクライアントからシャットダウン状態のPCに向けてPINGを送るとVPNが繋がらなくなります。
ネットワーク機器が存在していないIPアドレスを指定しても同様です。
ただ、スリープ状態のPCを指定しても問題ありません。
起動してあるPCを指定すると返ってきます。
これはどういった原因が考えられるでしょうか。
889:anonymous@fusianasan
20/05/10 19:36:17.17 .net
>>874
補足します。
この現象が起こるのはPINGの送信元がiPhoneのときです。
Windowsからでは問題ありません。
890:anonymous@fusianasan
20/05/10 19:43:49.45 .net
>>875
再度補足します。
Windowsからでも-w オプションを短く設定すると繋がらなくなりました。
正確には繋がらなくなるというよりは、接続速度がとてつもなく遅くなっているようです。
891:anonymous@fusianasan
20/05/10 20:34:27 .net
>>874
外からOpenVPNサーバーにsshで入れるようにして
サーバーがどうなってるかみてみては?
おそらくRTは関係ないと思うけど・・・
892:anonymous@fusianasan
20/05/10 20:47:49 .net
>>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます!
893:anonymous@fusianasan
20/05/10 20:47:49 .net
>>872
おぉ前スレで同じような事をしていた人が居たとは。
恐悦です試してみます!
894:anonymous@fusianasan
20/05/10 21:42:57 .net
>>877
ありがとうございます。
試してみましたが、どのPCにもSSH接続できませんでした。
ルーターのSSHD configurationには何も設定していませんが、設定が必要なのでしょうか。
895:anonymous@fusianasan
20/05/10 22:10:14 .net
>>878
同じような事をしていた人ではなくて、当時はmap-eトンネルがまだなかったので
ipipトンネルで無理やりv6プラスを使おうとしてた人ですね
896:anonymous@fusianasan
20/05/10 23:27:09 .net
>>877 >>880
OpenVPNサーバーにSSHサーバーを設定すればよかったんですね。
取り敢えず接続はできましたが、何を見ればいいのでしょうか。
897:anonymous@fusianasan
20/05/10 23:57:56 .net
教えてちゃんいい加減にしろよクソガキ
パケットキャプチャとるとかしてテメーで切り分けろや
898:anonymous
20/05/11 01:20:41 .net
カリカリすな
知ってるなら教えたりーな
大人なんだから
899:anonymous@fusianasan
20/05/11 02:21:07 .net
ぐぐれよ
900:anonymous@fusianasan
20/05/11 04:07:56 .net
>>874
OpenVPNやめてSoftetherにでもしたら
901:anonymous@fusianasan
20/05/11 04:49:34.40 .net
というか何故このスレに書くのかわからないんだけど
902:anonymous@fusianasan
20/05/11 22:38:41.20 DCNZBU4p.net
ここはお前の居場所じゃねえんだよ
会社で勝手に調べとけよとか言わねえだろ そんなんだからいつまでたっても無能なんだよ向上心無い無能カス
903:anonymous@fusianasan
20/05/11 23:01:15.62 .net
YNOライセンス発注から納品まで遅すぎ
数日でキー発行しろよもう
904:anonymous@fusianasan
20/05/12 06:27:38 ddONDxZa.net
configが同一の2台のFWX120で、一方は端末にIPv6を払い出せるのですがもう一方は払い出せません。どういったことが考えられますかね…?
※2台のネットワークおよび回線は別です
※ファームウェアはRev.11.03.25です
関連する設定は以下です。
ipv6 prefix 1 ra-prefix@lan2::/64
ipv6 lan1 address ra-prefix@lan2::3/64
ipv6 lan1 rtadv send 1 o_flag=on
ipv6 lan1 dhcp service server
※LAN2は問題なくIPv6グローバルアドレスを持っています
905:anonymous@fusianasan
20/05/12 07:43:03 .net
>>890
Lan2にアドレスは持たせなくてよいはず。
Lan1だけじゃなくてv6の関係する部分は出したほうが良いと思うよ。
906:anonymous@fusianasan
20/05/12 08:47:20 .net
>>890
回線契約的にフレッツなら電話ありかどうかじゃね?
907:anonymous@fusianasan
20/05/12 09:22:09.43 .net
>>892
LAN2からRAでプレフィックスがもらえてるようだから、
その線は薄いかと思うけど、回線とか物理構成とかも書かれてないしね。
908:anonymous@fusianasan
20/05/12 14:22:49 .net
モバイルPCからの接続
テレワークで速度低
909:下中なので もうちょっと速度上げたいのですが Windows標準クライアントソフトだとIPComp使えないですよね? レジストリいじるとかしても…
910:anonymous@fusianasan
20/05/12 14:34:53 .net
IPCompなんて使っても速度なんて上がらんでルーターのCPU食うだけ
windowsPCで圧縮使いたいならソフトイーサー使った方がましだわ
911:anonymous@fusianasan
20/05/12 14:48:51 7pH0qO/3.net
>>890
設定が全く同じならその二台を入れ替えて動作を見る。
> ipv6 lan1 address ra-prefix@lan2::3/64
::3/64って通るのか…?
912:anonymous@fusianasan
20/05/12 14:52:56 .net
>>896
その部分だけなら問題ない。
もらったプレフィックスをもとに、末尾が3のv6アドレスをLAN1に設定するわけだから。
913:anonymous
20/05/12 17:50:12 .net
むしろ気になるのは
※LAN2は問題なくIPv6グローバルアドレスを持っています
って書いてあること
RAプロキシをやるならLAN2にアドレスを持っちゃダメ
LAN1だけにしないと
914:anonymous@fusianasan
20/05/12 22:38:50 .net
拠点間VPNの技術的な部分について教えて下さい...
拠点AB間で接続が確認されている環境があり、
拠点AのクライアントPCから拠点Bのサーバ(セグメントは別)までの経路を見ると、
1 <1 ms <1 ms <1 ms defaultgateway [192.168.200.1]
2 <1 ms <1 ms <1 ms server [192.168.100.10]
トレース完了
となります。
拠点間のインターネット空間を抜けているのに、ルーティングとしていきなりサーバに到達されるように見えるのはなぜですか?
915:anonymous@fusianasan
20/05/12 22:49:29 .net
>>899
VPNが何か勉強してから質問しような。
916:anonymous@fusianasan
20/05/12 22:54:38 .net
>>899
VPNの終端が両拠点ともLAN側I/F
917:anonymous@fusianasan
20/05/13 12:32:17 .net
>>899
それがVPNってもんだから
918:anonymous@fusianasan
20/05/13 21:15:44 .net
>>899
ルート探索に使う技術が動作するレイヤより下のレイヤで二点間を接続したから。
まあ下のレイヤと言うのは正しくない表現だと思うが。
919:anonymous@fusianasan
20/05/14 15:37:41.86 .net
このスレでするような質問じゃなかろうし皆様お大変優しい方々で
920:anonymous@fusianasan
20/05/14 17:25:24.53 .net
大昔にRT140で初めてVPN組んでtracerouteした時を思い出した
921:anonymous@fusianasan
20/05/14 21:09:08 .net
回答して頂いた皆様ありがとうございます。
出直してきます。
922:anonymous@fusianasan
20/05/16 09:26:35 .net
>>901
それは違う
WAN側同士でも同じ
923:anonymous@fusianasan
20/05/16 18:39:32 .net
>>907
曲解してまで否定せんでも。
見苦しい。
924:anonymous@fusianasan
20/05/16 23:51:02.36 .net
ip filter dynamic timer は、皆設定せずに(デフォルトのまま)使用してる?
ログ取ってみたら、動的フィルタがタイムアウトした後にも通信しようとして
Rejectになってるパケットがそれなりに見受けられた。
理由を探ってみたら、セッションがクライアントでCLOSE_WAITになった後、
サーバー側に最後のACKを返していない状態が、動的フィルタのタイムアウト
後まで続いてて、タイムアウト後ACKを返そうとして頑張ってるけど、ルータが
ひたすらRejectしている という状態。
どうも配下のWindowsPCのシャットダウンに時間がかかっているのはこれが理由な気がする。
925:anonymous@fusianasan
20/05/17 10:41:14 .net
>>908
曲解してるつもりない、むしろ他の解釈があるか?
VPN終端がWAN側かLAN側かと言えばlocal adressにどちら指定するか
どちらでも乗る側にとっては同じように見える
926:anonymous@fusianasan
20/05/17 12:18:02 .net
それが曲解じゃないかな
少なくとも、質問に対する答えにはなっているし、言うようにWANとLANに分けるなら、クライアントをWAN側に接続するかな
927:anonymous@fusianasan
20/05/17 20:17:45 .net
>>911
VPN終端がWANでもLANでも上から見たら同じなんだからそもそも答えになってない
クライアントをWAN側に接続ってのが解らないか
WAN側終端するのがシンプルな基本形で
LAN側終端するのはWAN側終端出来ないときにやるイレギュラーな面倒くさい話
URLリンク(www.rtpro.yamaha.co.jp)
928:anonymous@fusianasan
20/05/17 21:23:38 .net
RTX1210を使っているけど、これのみで複数からのVPNを受け入れるのは容量的に難しいし、
IKEv2か、IKEv1かは排他らしいので、StorngSWANを使うことにした。
そしてきょう、やっとIKEv2 (StrongSWAN --- Win10)がつながった。
pingもとんだ。
証明書関係がめんどうくさい。
クライアント認証のために証明書を使わない場合でも、
クライアントのWin10に、CAの証明書(オレオレ証明書)ってインストール必要ある?
このオレオレCAで、StrongSWANのサーバー証明書を作成している。
929:anonymous@fusianasan
20/05/17 21:26:21 .net
オレオレめんどくさいよ
Let'sEncryotを使えばいいよ。ググるといっぱい出てくる
930:anonymous@fusianasan
20/05/17 21:53:09.69 vKuQat+Y.net
>>914
CA証明書のインストールが不要になるという点ででしょうか?
931:anonymous@fusianasan
20/05/18 07:23:39.27 .net
証明書使わないのに必要な理由が分からないぞ。
無くても繋がったでしょ?
932:anonymous@fusianasan
20/05/18 08:15:59 .net
IKEv2でRADIUSを使わないやつのConfigサンプルをもらえませんか?
933:anonymous@fusianasan
20/05/18 12:36:44 .net
>>913
ホスト側の証明書の確認で要るっしょ。
right(left)auth=pskにしているなら要らんけど。
934:fusianasan
20/05/18 15:48:35 .net
Let'sEncryptだとクライアント側での証明書関連作業がない。
rightauth=eap-mschapv2
EAP-MSCHAP2をつかってOS標準機能でいける。
935:anonymous@fusianasan
20/05/18 16:50:49 .net
Yamahaから脱線しかかっているけど、IPSecでのLtes's Encrypt証明書の利用は好ましく無いんでないかな。
936:fusianasan
20/05/18 17:29:52.36 .net
まあ個人利用だし・・・
いろいろ検討すろと、最終的にL2TP/IPsec機能でええやんとなりそうな
vRXとかでやってみてほしいな
937:anonymous@fusianasan
20/05/18 17:36:50.99 .net
まぁ確かに個人利用なら好きにしてくれだな。蛇足でした。
ちなみに発言の意図としては、証明書のフラグでikeintermedicateとやらがなくてもWin10なら繋がるはずらしいんだけども、過去にそこでなんかトラブった記憶があるってだけで。
とりあえずつながればええんでないってことでほんと蛇足脱線申し訳ない。
938:anonymous@fusianasan
20/05/18 21:31:16.11 .net
ヤマハのVPNクライアントソフト、インターネットブレイクアウトに対応し快適なテレワーク利用を支援
URLリンク(cloud.watch.impress.co.jp)
939:anonymous@fusianasan
20/05/18 22:35:15 .net
ヤマハVPNクライアントは金出すんだから
暗号化のGPU使用とか
設定のグループポリシー対応とか
OS標準に比べて圧倒的に高速通信とか
そんくらいのことできるよね?
940:anonymous@fusianasan
20/05/18 22:40:50 .net
インターネットブレイクアウトができるVPNクライアントって他にあるの?
941:anonymous@fusianasan
20/05/19 00:22:50 .net
この手のをインターネットブレイクアウトと言うのは初めて聞いた
スプリットトンネルならありふれてる
942:anonymous@fusianasan
20/05/19 01:56:48.73 .net
Windows標準でVPN側をデフォルトゲートウェイにしないのと何が違うの?
943:anonymous@fusianasan
20/05/19 06:17:12 .net
>>926
え、それ意味逆じゃ?
944:anonymous@fusianasan
20/05/19 06:22:58 .net
>>927
結局その設定をやってくれるということなんだと思うが、それがミソ。
945:anonymous@fusianasan
20/05/19 07:56:25.48 .net
こんなもん使ってリモートワークするなんて、個人と零細かシステム管理者しかいないんだから、無料解放しろよと。
Synologyのルーター用は無料解放したみたいで、取得すると永年の様だ。あちらはSSLにも対応…
946:anonymous@fusianasan
20/05/19 08:11:36.13 .net
シス管だったら、頼らなくても自分でどうにかすると思う。
947:anonymous
20/05/19 08:29:40 .net
VPNクライアントソフトは現状の有料でサポート付きがいい
出来るやつは自分でどうにかするだろうから・・・
下手にVPNクライアントソフト無料化して
948:RTX本体が高額になるよりいいわ
949:anonymous@fusianasan
20/05/19 11:27:17 ke9HAxq9.net
OS標準に比べて速度早くなったりしないの?
体験版あるなら比べてみたいけど
950:anonymous@fusianasan
20/05/19 14:49:49 .net
>>928
逆ってどこらが?
トンネル流すのとそのまま垂れ流すのを仕訳るんだろ?
マニュアルも更新なくリリースノートの一行を読むに
特定のをブレイクアウトさせるのでなくて
全部トンネルor社内向けのみトンネルの融通効かない選択くさい
951:anonymous
20/05/19 17:19:14 .net
>933
VPNクライアントソフトウェア「YMS-VPN8」(お試し版/製品版共通)
URLリンク(network.yamaha.com)
952:anonymous@fusianasan
20/05/19 17:46:41 .net
>>931
全部ベンダー丸投げの総務や経理との兼任なんて珍しくない。
953:anonymous@fusianasan
20/05/19 20:10:04 ke9HAxq9.net
ブレイクアウトって言ったら
WindowsUpdateやらOffice365やらプライベートクラウドなど限られた重い通信だけ直接インターネット接続させるのが一般的じゃないの?
なんの通信を通す通さないを集中管理できるなら興味はあるかな
一台ずつ設定ってことならコマンドでいいよね
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
709日前に更新/229 KB
担当:undef