YAMAHA業務向けルータ運用構築スレッドPart7

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 2chのread.cgiへ]
Update time : 03/17 20:28 / Filesize : 210 KB / Number-of Response : 694
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：hage [2009/06/20(土) 08:33:55 ID:VxAtl3XT]: 【前スレ】
YAMAHA専用スレッド
pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
pc8.2ch.net/test/read.cgi/network/1092832668/
YAMAHA業務向けルータ運用構築スレッドPart4
pc11.2ch.net/test/read.cgi/network/1144116104/
YAMAHA業務向けルータ運用構築スレッドPart5
pc11.2ch.net/test/read.cgi/network/1196114751/
YAMAHA業務向けルータ運用構築スレッドPart6
pc11.2ch.net/test/read.cgi/network/1223667451/
【公式サイト】
YAMAHA RT series router Home Page
www.rtpro.yamaha.co.jp/

【お約束】
・ここはYAMAHAルータで、小規模～大規模のネットワークを構築、運用する人の
　ための情報交換スレッドです。

・ネットボランチシリーズ（コンシューマー向け）、業務用向け機器でもYAMAHAルータの
　設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 12
pc11.2ch.net/test/read.cgi/hard/1226918769/
2 名前：hage [2009/06/20(土) 08:36:12 ID:VxAtl3XT]: part6が落ちてたから立てた
反省はしていない
3 名前：不明なデバイスさん mailto:sage [2009/06/20(土) 09:37:51 ID:???]: 「ルータ」じゃなくて「ルーター」だよ、そろそろ直そうよ、日本人なんだから
マイクロソフトだって去年、長音表記に直したんだから。
4 名前：restart mailto:sage [2009/06/20(土) 22:43:26 ID:???]: おせーよ
5 名前：anonymous@fushianasan mailto:sage [2009/06/21(日) 01:57:38 ID:???]: おつ
6 名前：シャボン mailto:sage [2009/06/21(日) 13:59:02 ID:???]: 1台のPCでネスケ使った時はOCN経由、サファリ使った時はIIJ経由と言った
感じにISPを使いわけたいんだけど、RTX1200とかで出来るの？
7 名前：an mailto:sage [2009/06/21(日) 14:01:51 ID:???]: アプリケーションレイヤの違いをルータに伝える方法があれば可能。
どうやるかは自分で考えれ。
8 名前：anonymous mailto:sage [2009/06/21(日) 17:29:42 ID:???]: >>6
YAMAHA側ではRTでも可能、RTXのLANに2個のIP振ってPCのGWを2個用意すればよい

でココからが問題だが、（と言うか板が違う気がするけど）
アプリ毎でGWを切り替えるアプリがあればそれを使う（私はそんなの知らないけど有るかもしれない）
もしくはVMwareかvirtualPCを使いPC1台に2個のOSをインストールする。

なお、私はVirtualPCを使って2個のOSで異なるGWと通信しています。
9 名前：anonymous mailto:sage [2009/06/21(日) 18:13:50 ID:???]: YAMAHAって技術的な質問を問い合わせたら無料で答えてくれる？
10 名前：anonymous mailto:sage [2009/06/21(日) 19:13:15 ID:???]: >>9
うん。無料で返信来た。（メールで問い合わせたから返信ね）
仕事柄他メーカーも色々問い合わせしているがYAMAHAのサポートは良いね

あんまりほめるとYAMAHA坊オツって言われそうだが。
11 名前：anonymous@cp143.opt2.point.ne.jp mailto:sage [2009/06/22(月) 20:51:15 ID:???]: BA8000proがお亡くなりになったんでRTX1000に乗り換えっていうまぁありがちな奴なんですが、
up/down共5Mbps位しか出てない。8000proでは上下最低でも70Mbpsは出てたのに。
lan1にデスクトップ、箱○、アクセスポイントをぶら下げて、lan2がWANっていうSTDな構成。
ファームはRev.8.01.28 。旧東電系占有100M回線です。つ****(コマンド)なんて助け舟出してもらえたら
お礼に何でもします。
12 名前：あのぬ mailto:sage [2009/06/22(月) 21:23:55 ID:???]: 5Mbpsでいいのか？
どっかが、10M半二重になっているんじゃないの？
13 名前：anonymous mailto:sage [2009/06/22(月) 21:59:28 ID:???]: 自動認識のHUBに固定の設定で繋いでるとか。
14 名前：anonymous mailto:sage [2009/06/22(月) 22:24:48 ID:???]: RTA52i(に未だに値段が付いてるようだが、
なんで、10Mbpsをいまだに買うやつが居るの？
15 名前：anonymous mailto:sage [2009/06/22(月) 22:34:12 ID:???]: >>14
インターネットの速度が10M以下なら。
RTA52iやRTA54iでも良いんじゃね？

というか全国民に光やADSL来ているとでも思っているの？
ISDNが最速という村などが結構あるんだが
16 名前：anony mailto:sage [2009/06/22(月) 22:49:46 ID:???]: 公式発表では既にディスコン
ttp://netvolante.jp/products/old_model/index.html
17 名前：きびだんご地域の話 mailto:sage [2009/06/23(火) 03:23:37 ID:???]: 俺の親の実家はかなりのド田舎なんだが、
この前久々に帰ったら周辺の全世帯がひかり電話化されていたｗ
あとはプロバイダ契約さえすればいい状態。
こんな例もある。
18 名前：anonymous@i121-115-117-253.s04.a013.ap.plala.or.jp mailto:sage [2009/06/23(火) 07:29:15 ID:???]: >>17
こいつ馬鹿だな
19 名前：anonymous@p4058-ipbffx02fukui.fukui.ocn.ne.jp mailto:sage [2009/06/23(火) 14:15:11 ID:???]: お前のほうがやばくね
20 名前：anonymous@p4058-ipbffx02fukui.fukui.ocn.ne.jp mailto:sage [2009/06/23(火) 14:18:48 ID:???]: ミスった誤爆
21 名前：anonymous mailto:sage [2009/06/23(火) 17:44:06 ID:???]: 52iはISDNでアナログ3ポートが使えるので、うちでは現役だ
22 名前：11 mailto:sage [2009/06/23(火) 22:16:12 ID:???]: いや～、どうやらPC側の問題だったようです
USBのLANコントローラぶら下げて使ってるんだけど、2年近くこの低速に気付いてなかったらしい…
オンボードのLANに差したらあっけなく上下70Mbpsはでました
たださぁ、このオンボって、電源投入してネットワークに繋がる確率が50%以下なんだよね…
拡張スロットはファンレスビデオカードで塞がってるし…

キューブケースのnforceベアボーンなんて買うもんじゃないなってしみじみと思いますた
三点リーダまみれの文章でも打たないとﾔｯﾃﾗﾝﾈ
23 名前：anonymous@fushianasan mailto:sage [2009/06/26(金) 00:33:34 ID:???]: >>11ったく人騒がせなんだから

ベアボーンの仕様を知らずに提案してみるけど
ハーフサイズPCIのNICを増設するか、それが無理な仕様なら
USB2.0接続のNICを増設してみたら？
24 名前：anonymous@p12092-ipngn501hodogaya.kanagawa.ocn.ne.jp mailto:sage [2009/06/26(金) 07:22:28 ID:???]: 死亡フラグの予感ｗ
25 名前：anonymous@i219-167-233-23.s02.a005.ap.plala.or.jp mailto:sage [2009/06/27(土) 11:00:02 ID:???]: >>21

番号ごとに着信拒否が設定できる。社内電話ルールで
一般回線----一般回線　　050Ip-----050IP にしてあるんだが
050IP から　一般回線にかける不届き者がいるので、　52i で　050番号からの電話は
着信拒否にしている。
26 名前：anonymous@i220-221-172-209.s02.a005.ap.plala.or.jp [2009/06/28(日) 10:05:23 ID:ffNrHdn4]: ほしゅ
27 名前：anonymous mailto:sage [2009/06/30(火) 16:39:02 ID:???]: 質問です。

これからArcstar IP-VPNを引く予定なんですが
回線種別：STM
回線速度：128kbps

使用人数２０人程度

この条件でオススメのYAMAHAルータｰってありますか？
28 名前：anonymous@hoge.piyo mailto:sage [2009/07/01(水) 01:07:24 ID:???]: RTX1000がおすすめ
29 名前：27 mailto:sage [2009/07/01(水) 10:01:56 ID:???]: >>28

ありがとうです
30 名前：anonymous@i218-47-135-28.s06.a001.ap.plala.or.jp mailto:sage [2009/07/01(水) 10:51:25 ID:???]: RTX1100が昨日の夜フリーズしたんですが
LAN接続で150台ぐらいネットに接続しています。
復旧が最優先だったので電源入れなおしで復旧したのですが
原因追求を上司に求められています。
原因を探すことは可能でしょうか？
Web設定等は私がしましたがそこまで詳しくないのでよろしくお願いいたします。
31 名前：anonymous@ふしあなさん mailto:sage [2009/07/01(水) 10:57:33 ID:???]: ログチェック
32 名前：anonymous [2009/07/01(水) 11:08:06 ID:g3b1g1Id]: フリーズってなんだ？
telnetでrtx1100にログインできなくなった？
シリアルでrtx1100にログインできなくなった？
単純に通信ができなくなっただけ？

電源入れ直しすると原因追究は難しいかな
33 名前：anonymous@i218-47-135-28.s06.a001.ap.plala.or.jp mailto:sage [2009/07/01(水) 11:16:55 ID:???]: すいません　telnet　web接続は可能ですがネットにつながらなかったのです。
34 名前：anonymous@ふしあなさん mailto:sage [2009/07/01(水) 11:20:02 ID:???]: IP直打ちで外部に接続できなかったの？
35 名前：あのぬ mailto:sage [2009/07/01(水) 12:56:03 ID:???]: どうせnatあふれだろうから

nat descriptor timer 1 180
nat descriptor timer 1 tcpfin 10

とでも入れておいたら？
36 名前：anonymous@i218-47-135-28.s06.a001.ap.plala.or.jp mailto:sage [2009/07/01(水) 13:31:23 ID:???]: >>35　ありがとうございます
そこの設定はデフォルトのままだったのでそれが原因かもしれません。
変更前は800～1200ぐらいを行ったりきたりしてるので、夜になったときに使用率が上がり4000を
超えた可能性があります。
>>35の変更後の設定で平均300程度に抑えることができました。
ｺﾚで様子を見るとともに上司へ報告してきます。

ほんとうにありがとうございます。
37 名前：anonymous mailto:sage [2009/07/01(水) 13:32:52 ID:???]: 2chで相談したことも報告書に書いておけよ
38 名前：anonymous mailto:sage [2009/07/01(水) 18:48:54 ID:???]: >>30
解決済みらしいが。

それだけの端末がぶら下がっていながら監視とかしていないの？
私なら
syslog転送、snmpによるトラフィック＆CPU＆メモリ監視、pingによる死活監視
等を管理できる端末を設置するけどな。
39 名前：anonymous@PPPa1258.e4.eacc.dti.ne.jp [2009/07/01(水) 22:45:08 ID:Zh47EO6u]: なんかエッジのルータっぽいけど1台だけで運用してんの？
40 名前：RTX1100とMRTG mailto:sage [2009/07/04(土) 14:47:24 ID:???]: RTX1000のCPUとメモリの使用率をグラフ化してみる
ttp://www.tetsuneko.net/aki/sitedev2/index.php/%E3%82%B3%E3%83%B3%E3%83%94%E3%83
%A5%E3%83%BC%E3%82%BF/MRTG/RTX1000%E3%81%AECPU%E3%81%A8%E3%83%A1%E3%83%A2%E3%83%
AA%E3%81%AE%E4%BD%BF%E7%94%A8%E7%8E%87%E3%82%92%E3%82%B0%E3%83%A9%E3%83%95%E5%8C
%96%E3%81%97%E3%81%A6%E3%81%BF%E3%82%8B

を参考にRTX1100でやってみたのですがうまくいきませんでした。

RTX1100 側の設定
snmp host 192.168.1.100
snmp community read-only public
save

/usr/local/mrtg-2/cfg/mrtg.cfg の設定
Target[rtx]: .1.3.6.1.4.1.1182.2.1.5.0&.1.3.6.1.4.1.1182.2.1.4.0:public@192.168.1.100:
MaxBytes1[rtx]: 100
MaxBytes2[rtx]: 100
# Unscaled[rtx]: dwmy
Title[rtx]: RTX1100 Analysis
PageTop[rtx]: <H1>RTX1100 Analysis</H1>
Options[rtx]: growright, gauge, withzeroes
ShortLegend[rtx]: %
YLegend[rtx]: Usage (%)
Legend1[rtx]: CPU
Legend2[rtx]: Memory
LegendI[rtx]: CPU
LegendO[rtx]: Memory
41 名前：RTX1100とMRTG mailto:sage [2009/07/04(土) 14:49:31 ID:???]: エラー内容
> /usr/local/mrtg-2/bin/mrtg /usr/local/mrtg-2/cfg/mrtg.cfg
SNMP Error:
Received SNMP response with error code
error status: noSuchName
index 2 (OID: 1.3.6.1.4.1.1182.2.1.4.0)
SNMPv1_Session (remote host: "192.168.1.100" [192.168.1.100].161)
community: "public"
request ID: 106209413
PDU bufsize: 8000 bytes
timeout: 2s
retries: 5
backoff: 1)
at /usr/local/mrtg-2/bin//../lib/mrtg2/SNMP_util.pm line 492
SNMPGET Problem for .1.3.6.1.4.1.1182.2.1.5.0 .1.3.6.1.4.1.1182.2.1.4.0 sysUptime sysName on public@192.168.1.100::::::v4only
at /usr/local/mrtg-2/bin/mrtg line 2202
2009-07-04 14:30:52: ERROR: Target[rtx][_IN_] ' $target->[4]{$mode} ' did not eval into defined data
2009-07-04 14:30:52: ERROR: Target[rtx][_OUT_] ' $target->[4]{$mode} ' did not eval into defined data

どこを訂正すればいいんでしょうか？
おわかりになる方どうかお教え願います。
42 名前：anonymous mailto:sage [2009/07/05(日) 13:13:23 ID:???]: >>41
訂正箇所はわからないのですが、以下のコマンドで直接、
～.4.0とか5.0とかsysName.0とかsysUptime.0の値はとれます？

snmpwalk -v 1 -c public 192.168.1.100 .1.3.6.1.4.1.1182.2.1
snmpwalk -v 1 -c public 192.168.1.100 system
43 名前：RTX1100とMRTG mailto:sage [2009/07/05(日) 18:14:20 ID:???]: >>42さん
レスありがとうございます。

こちらの環境
Vine Linux 4.2
サーバーの eth0トラフィック、CPU使用率、空きメモリ量、ディスク使用率
などはグラフ化済み。

結果、snmpwalk というコマンド自体が無いみたいです。(command not found)

グーグルで調べたところ net-snmpd に入ってるそうですが Vine には
net-snmpd というパッケージもありませんでした。

頂いたヒントを元に snmpwalk についてもう少し調べてみようと思います。
44 名前：anonymous mailto:sage [2009/07/05(日) 19:00:23 ID:???]: >>43
snmpwalkについてはたぶん大丈夫、私のとこもvine4.2です。こんな感じです。
とりあえず4個とも入れて、chkconfig --addでsnmpdが起きるようにして、
再起動してから、mrtg mrtg.cfgしてみてはいかがでしょう。

[root@eimi root]# apt-get install net-snmp*
パッケージリストを読みこんでいます... 完了
依存情報ツリーを作成しています... 完了
'net-snmp*' として net-snmp-perl を選択しました
'net-snmp*' として net-snmp-devel を選択しました
'net-snmp*' として net-snmp-utils を選択しました
'net-snmp*' として net-snmp を選択しました
アップグレード: 0 個, 新規インストール: 0 個, 削除: 0 個, 保留: 0 個
[root@eimi root]# chkconfig --list snmpd
snmpd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
45 名前：RTX1100とMRTG mailto:sage [2009/07/05(日) 19:01:36 ID:???]: Vine の場合 snmpwalk は net-snmp-utils に含まれておりました。

snmpwalk -v 1 -c public 192.168.1.100 .1.3.6.1.4.1.1182.2.1
の結果 → 何も表示されない。

snmpwalk -v 1 -c public 192.168.1.100 system
の結果↓

SNMPv2-MIB::sysDescr.0 = STRING: Linux ******.com 2.6.16-76.49vl4 #1 SMP Tue May 12 21:27:00 JST 2009 i686
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
SNMPv2-MIB::sysUpTime.0 = Timeticks: (5306527) 14:44:25.27
SNMPv2-MIB::sysContact.0 = STRING: Root <root@localhost> (configure /etc/snmp/snmp.local.conf)
SNMPv2-MIB::sysName.0 = STRING: *****.com
SNMPv2-MIB::sysLocation.0 = STRING: Unknown (edit /etc/snmp/snmpd.conf)
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (6) 0:00:00.06
SNMPv2-MIB::sysORID.1 = OID: IF-MIB::ifMIB
SNMPv2-MIB::sysORID.2 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.3 = OID: TCP-MIB::tcpMIB
SNMPv2-MIB::sysORID.4 = OID: IP-MIB::ip
SNMPv2-MIB::sysORID.5 = OID: UDP-MIB::udpMIB
SNMPv2-MIB::sysORID.6 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
SNMPv2-MIB::sysORID.7 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.8 = OID: SNMP-MPD-MIB::snmpMPDCompliance
SNMPv2-MIB::sysORID.9 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
つづく
46 名前：RTX1100とMRTG mailto:sage [2009/07/05(日) 19:03:04 ID:???]: つづき
SNMPv2-MIB::sysORDescr.1 = STRING: The MIB module to describe generic objects for network interface sub-layers
SNMPv2-MIB::sysORDescr.2 = STRING: The MIB module for SNMPv2 entities
SNMPv2-MIB::sysORDescr.3 = STRING: The MIB module for managing TCP implementations
SNMPv2-MIB::sysORDescr.4 = STRING: The MIB module for managing IP and ICMP implementations
SNMPv2-MIB::sysORDescr.5 = STRING: The MIB module for managing UDP implementations
SNMPv2-MIB::sysORDescr.6 = STRING: View-based Access Control Model for SNMP.
SNMPv2-MIB::sysORDescr.7 = STRING: The SNMP Management Architecture MIB.
SNMPv2-MIB::sysORDescr.8 = STRING: The MIB for Message Processing and Dispatching.
SNMPv2-MIB::sysORDescr.9 = STRING: The management information definitions for the SNMP User-based Security Model.
SNMPv2-MIB::sysORUpTime.1 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.2 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.3 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.4 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.5 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.6 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.7 = Timeticks: (6) 0:00:00.06
SNMPv2-MIB::sysORUpTime.8 = Timeticks: (6) 0:00:00.06
SNMPv2-MIB::sysORUpTime.9 = Timeticks: (6) 0:00:00.06
47 名前：anonymous mailto:sage [2009/07/05(日) 20:48:59 ID:???]: >>45
読み違えてました、すみません。
192.168.1.100は、linuxサーバのIPアドレスですね。
mrtg.cfgの以下のところで、＠のうしろの部分を、RTX側のIPアドレスにしてあげて下さい。

> Target[rtx]: .1.3.6.1.4.1.1182.2.1.5.0&.1.3.6.1.4.1.1182.2.1.4.0:public@192.168.1.100:
48 名前：RTX1100とMRTG mailto:sage [2009/07/06(月) 04:08:15 ID:???]: >>47さん
それで見事にグラフ化できました。

ありがとうございます！
49 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp [2009/07/17(金) 09:54:08 ID:9nbdAMGS]: RT RTXシリーズで　ipip トンネルの場合フィルタって関係しましたっけ？
なんか、過去にフィルタがあっても、すんなりつながった記憶が・・・・
Yamahaのサイトで見てもフィルタがないか、相手側WAN側アドレスからの通信をとおす単純な
フィルタを設定している例しかなかったです。
netvolante.jp/solution/flets/term1_57.html　（フィルタなし）

認証もセッションもなにもないipipトンネルでお互いトンネルの終端を　tunnel endpoint address
で指定するだけで通信できるようになるとすると怖い気がしますね。
50 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp mailto:sage [2009/07/17(金) 09:57:17 ID:???]: 以下コンフィグです。
pp select 1
・・・・・・・・
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 3000 dynamic 100 101 102 103 104 105 106 107
・・・・・・・・
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 10.112.***.1 10.112.***.2
tunnel enable 1
・・・・・・・・
51 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp mailto:sage [2009/07/17(金) 09:58:07 ID:???]: ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip filter 2001 pass * * tcp 1723 *
ip filter 2002 pass * * gre
ip filter 2003 pass 192.168.0.111 * tcp,udp * *
ip filter 2004 pass 192.168.0.111 * icmp
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
52 名前：anonymous mailto:sage [2009/07/17(金) 10:06:47 ID:???]: >>49
IPv4はip tunnel secure filter
IPv6はipv6 tunnel secure filter
53 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp mailto:sage [2009/07/17(金) 17:36:59 ID:???]: レスありがとう
pp へのフィルタが　ipip トンネルの成立を妨害するのはどのような場合かということです。
ip filter 10001 reject 【相手側ルータのグローバルアドレス】 *
ip pp secure fileter in ....... 10001
とかが明示的に設定されていないなら、というか、普通は設定しないと思いますが、

tunnel endpoint address を双方に設定するだけで通信ができてしまうのでトンネルの
乗っ取りが簡単にできてしまうように思えます。見ているのは　ip ヘッダだけでしょうから。
54 名前：anonymous mailto:sage [2009/07/17(金) 19:20:35 ID:???]: >>49
> なんか、過去にフィルタがあっても、すんなりつながった記憶が・・・・

たぶん、記憶違いでしょう。その折はPPTPをご利用だったのでは？
出してくださったconfigで、IP in IPは繋がらないはずです。

> 認証もセッションもなにもないipipトンネルでお互いトンネルの終端を　tunnel endpoint address
> で指定するだけで通信できるようになるとすると怖い気がしますね。

そのページは、フレッツサービスを使った構成例ですね。
config上にフレッツ・グループアクセスと明記されてますし、
フレッツ・グループアクセス、または、フレッツ・グループ
というサービスについて調べてみてはいかがでしょう。
御懸念がすこし減ると思います。
55 名前：anonymous mailto:sage [2009/07/17(金) 20:27:00 ID:???]: >>49
L2TPやIPIPは安全なネットワーク内いに高速で独立したネットワークを構築する時に使います。
安全なネットワークに構築する場合が殆どですので、乗っ取りとかあまり考えない。
＊　例えば同じ会社内で本社の経理と支社の経理部門だけ独立したネットワークにしたい等。

乗っ取りとか気にしていると言う事はVPNの質問じゃないのですか？
56 名前：sage mailto:sage [2009/07/21(火) 10:49:17 ID:???]: >>53
IPヘッダ内のSource-IPが偽装されたと仮定して
それで何か問題が起きるのか？

戻りのパケットが偽装元に届かないので
トンネルが掘れないだろーが
57 名前：いぇす！ナナシス！ mailto:sage [2009/07/21(火) 21:41:10 ID:???]: せいぜいRST投げまくってDoSぐらい？
58 名前：anonymous@i220-109-13-187.s02.a005.ap.plala.or.jp [2009/07/31(金) 20:58:44 ID:IRYMjRn8]: おさわがせしました。ipsec と違って any な設定はできず、相手側が
お互い固定アドレスである必要があり、かつ、フィルタに
ip filter 10001 pass 『相手側IPアドレス』　* * * *
pp select 1
ip pp secure filter in 10001 ．．．．．．
を設定しなければいけないようです。依然繋がったようなきがしたのは
icmp だけでチェックしていたので、到達性があるように思ってしまったのですが、
いかなるtcp ポートにも、フィルタなしにはアクセスできませんでした。

ipipトンネルはipsecより若干速いようでしたが（RTX1100で）
セッション断を検知できない　ということもあり、IPSECファストパスに対応した
機器なら、たとえグループアクセス内でもipsecをつかうほうがよいみたいです。
59 名前：anonymous@p4054-ipbf507souka.saitama.ocn.ne.jp mailto:sage [2009/08/01(土) 19:09:26 ID:???]: pptpで繋いだＰＣから
telnetでRTX1100に接続させると
異常に反応が悪いのは
なんででしょう？

トンネルのmtuは1280

接続させているＰＣはXPPRO

ローカルからのtelnetは問題なし
60 名前：名無しさん [2009/08/01(土) 20:17:44 ID:1Hu1m+B8]: >>59

暗号化・復号化のプロセスが有るからじゃないの？？
Ｂフレで、ＰＰＴＰ使ってファイル共有してるけど、結構時間掛かるよ。
58i 同士でグループアクセス使って、IPIPトンネルすれば良くなるのかな？？
61 名前：不明なデバイスさん mailto:sage [2009/08/01(土) 21:04:04 ID:???]: >>59
内部からってのは同じPCなのかな？XPのFWとか設定とかそういう話だと思うんだけど。

とりあえず内部でPPTP張って比較してみたら？

あとリモート側のtelnetサービス有効にするだけでXPへ入れるから、逆方向にアクセスして確認してみるとか？
62 名前：anonymous mailto:sage [2009/08/01(土) 21:27:59 ID:???]: >>59
WindowsとRTXのMTUをトンネルと一致させてみれば？
単純に言って、許容量が1280しかないトンネルに1500くらいのパケット流しておきながら
快適に反応しろってのは酷だろ？
63 名前：anonymous@i219-167-232-193.s02.a005.ap.plala.or.jp [2009/08/01(土) 21:42:14 ID:Yp1Ad8YD]: それよくやりますけど、一度固まって、
「タイムアウトのため・・・・」なんたらかんたらでコマンドを受け付けなくなり
save できなくなり、cold start して　設定を復元するハメに・・・・・
サポセンも、事務的な女が出て、そんな症状は報告がないとか流しやがった。

それ以来トラウマになり、PPTPで入って、そのルーターを設定することはしないようにしている。
やるなら、SSHを有効にして、WAN側から入って設定するのがいいと思う。
64 名前：anonymous mailto:sage [2009/08/01(土) 23:13:52 ID:???]: >>61
>とりあえず内部でPPTP張って比較してみたら？
それは試していませんでしたので、やってみます
>>62
言い忘れてすんません
XPもレジストリ弄ってトンネルだけ1280にそろえてありますが
状況は変わりませんでした。

不思議なことに、毎回反応が悪いわけじゃなくて
およそ５０％の確率で発生する。

まずは、ローカルからＶＰＮ通して
ＰＰＴＰをデフォルトルートで繋いで試せば
切り分け出来そうなので試してみます。

お騒がせしました
65 名前：anonymous mailto:sage [2009/08/01(土) 23:19:19 ID:???]: その時に、ログになにか出てませんか？
pptpのパケットの順序が順番どおりじゃないのが先に来てるというログとか。
66 名前：anonymous mailto:sage [2009/08/01(土) 23:37:08 ID:???]: >>64
まだ居るか？

恐らくパケットのフラグメントが問題だろうから、
RTX1100がPPTP Serverになっているなら、以下のコマンドをRTX1100につっこでみてくれ

pp tunnel tcp mss limit auto

Webからは設定不可能なのでCUI上で投入のこと
67 名前：anonymous mailto:sage [2009/08/01(土) 23:51:36 ID:???]: >>64
スマン訂正

×　pp tunnel tcp mss limit auto
○　ip　同上

コマンドリファレンス P.92
68 名前：anonymous mailto:sage [2009/08/02(日) 00:35:54 ID:???]: >>66
ありがとう御座います。
実はそれも疑ってすでに設定済みでした　m(_ _)m

pp select anonymous
pp bind tunnel1
pp auth request mschap-v2
pp auth username ***** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.1.70-192.168.1.90
ip pp mtu 1280
pptp service type server
pp enable anonymous

tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
pptp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 1

ローカルから繋いでtelnetかけてみましたが
同じ状況でした・・・・orz

ＶＰＮ接続は１台のみ接続、ローカル無し（テストなので・・）

なんだか分からなくなってきた　orz
69 名前：anonymous mailto:sage [2009/08/02(日) 08:32:22 ID:???]: 通信が不能になったときのRTXのログは？
70 名前：anonymous mailto:sage [2009/08/02(日) 12:04:59 ID:???]: MTU弄らない方が良いんじゃないの？
XPはデフォルトにして no ip pp mtu 1280
にするとか

特にXPのMTUは99％の人がデフォルトのまま運用していると思うからね。
71 名前：anonymous@z29.219-103-237.ppp.wakwak.ne.jp mailto:sage [2009/08/03(月) 17:55:09 ID:???]: ルーター設定するなら　PPTPはやめとけ。
どうしてもやるというなら、内部のPCにリモートデスクトップ接続して
そっちからTELNETしたほうがいいと思うぞ。
PPTPが不安定になって通信きれても、RDPが切れるだけで、
TELNETクライアントとRTXは繋がったままになっている。

ルータを直接WAN側から設定するなら、SSH

遠隔地のルーターをトンネル経由で設定してはまると
最悪現地に出向くことになる。
72 名前：不明なデバイスさん mailto:sage [2009/08/03(月) 18:59:22 ID:???]: >>71
意味不明。

わざわざ重いリモートデスクトップ経由なんて意味不明としか思えん
XPPro以上からTELNETサーバー入っていることしらんのか？

というかVPN（トンネル）使わずリモートデスクトップ使うのか？セキュリティー無視だな

＞最悪現地に出向くことになる。
ISDN刺しておけば例え設定初期化しても問題ないんだが。
73 名前：anonymous@z29.219-103-237.ppp.wakwak.ne.jp mailto:sage [2009/08/03(月) 19:53:24 ID:???]: 説明が不足して誤解を招いたようだね。
PPTPで接続してから、LAN側のPCにリモートデスクトップで入り、
その中でコマンドプロンプトまたはハイパーターミナルを立ち上げる。
XPにはTELNETサーバーがあるから、TELNETではいれば軽いというのは
そのとおりだが、ドメインポリシーでTELNETサーバーはそもそも有効にできないし、
セキュリティというならRDPで入ったほうがまし。VNCならともかく、
RDPが重いとは思わないけどね。28.8kbpsのモデム環境でさえ設定しだいでまともに動くので。

リモートのルータは remote setup bri1 0123457890/SubAddr
か SSH で設定し、PPTPで入って、直接そのルーターを設定することは自分はしない。
出来るんだろうけど、設定中に固まる現象はよくある。

なので、どうしてもPPTPで設定しなければならないなら、PPTP接続してからLAN内のPCとRDPのセッションを確立
しておいて、そのPCからTELNETクライアントまたはハイパーターミナルでシリアルポート
から設定するようにすれば、PPTPが切れても再接続し、すぐに設定を継続できる。
PPTPで直接入って、TELNETがぶち切れると login timer の時間が経過しないと再接続できない。

さらに、上述の固まる現象から、save とか一切できなくなり、cold start するしかなくなった。
tftp で復元すら受け付けてくれない。こうなると　ISDNも意味がなくなる。
以来、トラウマとなり、ルーター設定はSSH か　remote setup のみです。
トンネル経由で直接ルーターを設定するのが恐怖になってしまった。
74 名前：anony mailto:sage [2009/08/04(火) 00:15:53 ID:???]: 最近のファームなら複数TELNETセッション機能が使えるから
途中で切れても回避可能だけどね。
事前に設定しておく必要はあるけど。

www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
75 名前：anonymous mailto:sage [2009/08/06(木) 20:16:03 ID:???]: rtx1000なんだけど、lan1に192.168.0.0/24でlan2にCTUつないでインターネット。
これはぜんぜん問題ないんだけど、lan3に外部公開用のサーバつないでlan1からlan3にはアクセスできるけど、
lan3からlan1にはアクセスできないようにしたい。
どのようにすべきかヒントでもいいんでくれないっすか？

具体的には、とある事情でlan3のサーバにopenvpn入れて、外からvpnつないでlan3のサーバの共有ファイルをみにくるんです。
で、lan1のネットワークからもその共有ファイルをみたい。
でも、lan3のサーバにつないだvpnのユーザにはlan1に入らせないようにしたいんです。
どなたかお願いします。
76 名前：anonymous mailto:sage [2009/08/06(木) 20:41:41 ID:???]: >>75

> lan3に外部公開用のサーバつないでlan1からlan3にはアクセスできるけど、
> lan3からlan1にはアクセスできないようにしたい。

つまり、lan1に対してtcp,udpでダイナミックフィルターを適用すればいいってことにならないか？

netvolante.jp/solution/int/case3.html
と
netvolante.jp/solution/int/case4.html
を見てフィルター書け
77 名前：76 mailto:sage [2009/08/06(木) 21:00:44 ID:???]: >>75
ありがとう
LAN1に対してなの？
あとサーバがFTPとかWWWじゃないからどうしたらいいのやらと。
78 名前：76 mailto:sage [2009/08/06(木) 21:03:29 ID:???]: あと、ごめん、言葉たりなかったけど
最初は、lan1とlan3でルーティングのフィルタかくのかな？とか
OUTを全部許可してINを全部リジェクトするのか？とか
色々考えたらわけわかんなくなった(^_^;)
79 名前：anonymous mailto:sage [2009/08/06(木) 21:08:20 ID:???]: case4の場合を想定して、公開サーバ＝openvpnサーバってことになるんじゃないの？
冷静に行こうぜ
80 名前：anonymous mailto:sage [2009/08/06(木) 21:46:10 ID:???]: >>75を読む限り、構成は正にcase4そのままで、サーバがopenvpnに変わっただけ。（開放するポート番号は貴殿にしかわからない）
それに、DMZ ---> LANはNG、DMZ <--- LANはOKの通信制限を加えるだけだから、

ip filter dynamic <number> <LAN側IP/MASK> * tcp
ip filter dynamic <number> <LAN側IP/MASK> * udp

って書いてLAN側I/Fに適用しておけば良くないか？
静的フィルタがいいなら

ip filter <number> reject <DMZ側IP/MASK> <LAN側IP/MASK> udp,tcp * *

っていうのもアリだと思うが。
81 名前：anonymous mailto:sage [2009/08/06(木) 22:04:00 ID:???]: >>80
そのスタティックフィルタでは無理
それやるとLANから鯖にsshしたとき戻ってこない
82 名前：75 mailto:sage [2009/08/07(金) 08:14:42 ID:???]: >>79-81
ありがとうー
CASE4って、CASE5の「自社サーバを公開する」のことかな？

単純に
>ip filter dynamic <number> <LAN側IP/MASK> * tcp
>ip filter dynamic <number> <LAN側IP/MASK> * udp
でいいのかな。
とりあえず書いてみるっす
83 名前：anonymous [2009/08/07(金) 21:41:37 ID:4c7qRDrx]: RTX1200でもリクエスト数が多すぎて耐えきれない場合、
どうしたらいいかな？

RTX3000に替えても解決するとは思えんし。
84 名前：anonymous mailto:sage [2009/08/07(金) 22:18:02 ID:???]: >>83
>>35
85 名前：anonymous mailto:sage [2009/08/07(金) 22:40:52 ID:???]: アクセス多いんだったらNATなんてやめるのが一番
86 名前：あ mailto:sage [2009/08/07(金) 22:43:35 ID:???]: 誰もNAT使ってるなんて一言も言ってない
87 名前：anonymous mailto:sage [2009/08/08(土) 00:33:14 ID:???]: LANセグメント(255.255.255.0)の適当なところにルーターを繋げた場合
ルーターの設定によっては繋げた瞬間にそのセグメントを乗っ取る事って出来ない？

実際乗っ取ったような現象が発生したので、原因がわからんのです。再現するわけにもいかないし･･･。
心当たりのある設定はルーターのデフォルトゲートウェイを繋げていないLAN2に設定してたことです。
*.*.*.1 にciscoのゲートウェイが居る状態でRTXのLAN1(IPは.156)を事務所NWに接続しただけで
そのセグメントにあるPCのリクエストがLAN2に行くってことはあるのでしょうか？。
88 名前：anonymous mailto:sage [2009/08/08(土) 09:41:42 ID:???]: >>87
有る

RIPとメトリック値を確認しよう。
89 名前：anonymous@s155.IohsakaFL66.vectant.ne.jp [2009/08/08(土) 21:33:10 ID:TYNND6X4]: 会社の回線をeo光のギガに変更しました
せっかくなので、ＲＴＸ１２００を採用
ＲＴＸ１１００の設定をそのまま転送したのですが
セキュリティ診断ってのをしてみるとボロボロでした・・・
修行しなおしてきます
90 名前：アノニマス mailto:sage [2009/08/09(日) 11:04:09 ID:???]: ところでrtxの設定いじるときや、設定起こすときって、みんなどうやってコマンド書いてるの？
修正するたびにtelnetなりsshで入ってコマンド書いて、save？
もしくはconfigをローカルで書いて、変更するたびにtftpでput？
91 名前：anonymous mailto:sage [2009/08/09(日) 13:12:36 ID:???]: >>88
まじかー、返答ありがと。
別のセグメントへの通信が出来なくなるのは分かったけど、
同一セグメントでも発生して居るメカニズムがいまいち分からん･･･・
勉強が足りなさすぐるorz
92 名前：anonymous mailto:sage [2009/08/09(日) 16:38:45 ID:???]: ごめん、素人質問で悪いんだけど。
ip pp secure filter ～～と
ip lan1 secure filter ～～で
inとoutがなんか逆なの？
inってのがそのポートに入ってくるので、outってのがそこから出て行く・・・と
思ってたんだけど、どうも悪戦苦闘しているうちにそんな気がしてきた。。。
もしヤマハのサイトとかにそんな記述あるページあるなら教えてくれたらありがたい。
93 名前：anonymous mailto:sage [2009/08/09(日) 17:16:49 ID:???]: ● in.............................入力方向のフィルタ
● out.......................... 出力方向のフィルタ
と書いています。コマンドリファレンス読んでください

YAMAHAだけではなくルーター全般は
ルーターに向かって入ってくるパケットがIN
ルーターから出て行くパケットがOUT
となっていますWANとLANでは方向が逆になるので混乱しないようにね
外部→WAN(IN)ルーターLAN（OUT)→PC
外部←WAN(OUT)ルーターLAN（IN)←PC
94 名前：anonymous mailto:sage [2009/08/09(日) 17:34:58 ID:???]: >>93
> 外部→WAN(IN)ルーターLAN（OUT)→PC
> 外部←WAN(OUT)ルーターLAN（IN)←PC
そういうことだったのか！
「入力」「出力」という字面だけ見てたから混乱してしまったみたい。

>>80なんだけど、試行錯誤して
LAN1→LAN2はOK
LAN2→LAN1はNG
としたかったので、
ip lan1 address 10.10.0.1/16
ip lan2 address 10.20.0.1/16
ip lan2 secure filter in 2000 3000
ip lan2 secure filter out 3000 dynamic 200 201
ip filter 2000 reject 10.20.0.0/16 10.10.0.0/16 udp,tcp * *
ip filter 3000 pass * * * * *
ip filter dynamic 200 10.10.0.0/16 * tcp
ip filter dynamic 201 10.10.0.0/16 * udp
としてみました。（もちろんPP側にもフィルタかけた上で）
一応LAN2からは外部にも出れるし、LAN1の共有フォルダとかにもアクセスできないから
これでいいかなと思うんですけど、いかがでしょ？
95 名前：anonymous@FLH1Aaq025.oky.mesh.ad.jp mailto:sage [2009/08/10(月) 10:18:44 ID:???]: >>90
一番初めはコンソールで入力だね。＜きれいなConfigかけるし
修正は対象が少なければTelnetで手書き、多ければTelnetで張り付け

でも、修正なんてルートやトンネル増減がほとんどだから、手入力で十分
IPS変更とかは遠隔でせずに、新しい設定を入れたルータを送付して交換
切り戻しを考えるとこれが一番楽かな

やり方はそれぞれだから、自分に合った方法を見つければよい
96 名前：anonymous@i121-112-91-97.s11.a028.ap.plala.or.jp mailto:sage [2009/08/11(火) 15:36:37 ID:???]: さるぽ
97 名前：NoriP-YakuP mailto:sage [2009/08/11(火) 15:39:49 ID:???]: >>96
ぱっ！
98 名前：anonymous mailto:sage [2009/08/13(木) 00:26:28 ID:???]: こんな時間にココで聞くのは、スレ違いかもしれませんが
RTX1100とBRC-14VをIPSECで相互接続させる
設定方法をご存知の方、いらっしゃいませんでしょうか？
双方動的ＩＰでddnsを使っているのですが
どうにも繋がりません・・・

当たり前でしょうが
RTX1100同士の接続と問題なく繋がったのですが
訳合ってBRC-14Vを使わないといけないことになりました　orz

RTX1100は接続先にddnsを使っている場合は
メインモード動作でＯＫでしたよね・・・？
99 名前：anonymous mailto:sage [2009/08/13(木) 09:20:23 ID:???]: >>98
planexの機種は忘れました、rtx1000の頃です。つなげるのは大変でした。
どうもplanex側が死活監視してないようで、ipsec refresh saすると
すぐにつながるときとつながらないときがありました。
当時の結論として、安定した通信は無理、としました。

ddnsでもメインモードできるはず
とりあえず、細かなパラメータ合わせで試行錯誤してください
デフォルト値をあてにせず明示してください
100 名前：anonymous@s155.IohsakaFL66.vectant.ne.jp [2009/08/13(木) 13:17:57 ID:kwLHwP+d]: 先日、メーリングで情けない奴が質問してたよな

スキル不足過ぎて、何生意気にRTX1200購入してんだよって思ったわ

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef