YAMAHA業務向けルータ運用構築スレッドPart7

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 2chのread.cgiへ]
Update time : 03/17 20:28 / Filesize : 210 KB / Number-of Response : 694
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：hage [2009/06/20(土) 08:33:55 ID:VxAtl3XT]: 【前スレ】
YAMAHA専用スレッド
pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
pc8.2ch.net/test/read.cgi/network/1092832668/
YAMAHA業務向けルータ運用構築スレッドPart4
pc11.2ch.net/test/read.cgi/network/1144116104/
YAMAHA業務向けルータ運用構築スレッドPart5
pc11.2ch.net/test/read.cgi/network/1196114751/
YAMAHA業務向けルータ運用構築スレッドPart6
pc11.2ch.net/test/read.cgi/network/1223667451/
【公式サイト】
YAMAHA RT series router Home Page
www.rtpro.yamaha.co.jp/

【お約束】
・ここはYAMAHAルータで、小規模～大規模のネットワークを構築、運用する人の
　ための情報交換スレッドです。

・ネットボランチシリーズ（コンシューマー向け）、業務用向け機器でもYAMAHAルータの
　設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 12
pc11.2ch.net/test/read.cgi/hard/1226918769/
45 名前：RTX1100とMRTG mailto:sage [2009/07/05(日) 19:01:36 ID:???]: Vine の場合 snmpwalk は net-snmp-utils に含まれておりました。

snmpwalk -v 1 -c public 192.168.1.100 .1.3.6.1.4.1.1182.2.1
の結果 → 何も表示されない。

snmpwalk -v 1 -c public 192.168.1.100 system
の結果↓

SNMPv2-MIB::sysDescr.0 = STRING: Linux ******.com 2.6.16-76.49vl4 #1 SMP Tue May 12 21:27:00 JST 2009 i686
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
SNMPv2-MIB::sysUpTime.0 = Timeticks: (5306527) 14:44:25.27
SNMPv2-MIB::sysContact.0 = STRING: Root <root@localhost> (configure /etc/snmp/snmp.local.conf)
SNMPv2-MIB::sysName.0 = STRING: *****.com
SNMPv2-MIB::sysLocation.0 = STRING: Unknown (edit /etc/snmp/snmpd.conf)
SNMPv2-MIB::sysORLastChange.0 = Timeticks: (6) 0:00:00.06
SNMPv2-MIB::sysORID.1 = OID: IF-MIB::ifMIB
SNMPv2-MIB::sysORID.2 = OID: SNMPv2-MIB::snmpMIB
SNMPv2-MIB::sysORID.3 = OID: TCP-MIB::tcpMIB
SNMPv2-MIB::sysORID.4 = OID: IP-MIB::ip
SNMPv2-MIB::sysORID.5 = OID: UDP-MIB::udpMIB
SNMPv2-MIB::sysORID.6 = OID: SNMP-VIEW-BASED-ACM-MIB::vacmBasicGroup
SNMPv2-MIB::sysORID.7 = OID: SNMP-FRAMEWORK-MIB::snmpFrameworkMIBCompliance
SNMPv2-MIB::sysORID.8 = OID: SNMP-MPD-MIB::snmpMPDCompliance
SNMPv2-MIB::sysORID.9 = OID: SNMP-USER-BASED-SM-MIB::usmMIBCompliance
つづく
46 名前：RTX1100とMRTG mailto:sage [2009/07/05(日) 19:03:04 ID:???]: つづき
SNMPv2-MIB::sysORDescr.1 = STRING: The MIB module to describe generic objects for network interface sub-layers
SNMPv2-MIB::sysORDescr.2 = STRING: The MIB module for SNMPv2 entities
SNMPv2-MIB::sysORDescr.3 = STRING: The MIB module for managing TCP implementations
SNMPv2-MIB::sysORDescr.4 = STRING: The MIB module for managing IP and ICMP implementations
SNMPv2-MIB::sysORDescr.5 = STRING: The MIB module for managing UDP implementations
SNMPv2-MIB::sysORDescr.6 = STRING: View-based Access Control Model for SNMP.
SNMPv2-MIB::sysORDescr.7 = STRING: The SNMP Management Architecture MIB.
SNMPv2-MIB::sysORDescr.8 = STRING: The MIB for Message Processing and Dispatching.
SNMPv2-MIB::sysORDescr.9 = STRING: The management information definitions for the SNMP User-based Security Model.
SNMPv2-MIB::sysORUpTime.1 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.2 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.3 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.4 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.5 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.6 = Timeticks: (5) 0:00:00.05
SNMPv2-MIB::sysORUpTime.7 = Timeticks: (6) 0:00:00.06
SNMPv2-MIB::sysORUpTime.8 = Timeticks: (6) 0:00:00.06
SNMPv2-MIB::sysORUpTime.9 = Timeticks: (6) 0:00:00.06
47 名前：anonymous mailto:sage [2009/07/05(日) 20:48:59 ID:???]: >>45
読み違えてました、すみません。
192.168.1.100は、linuxサーバのIPアドレスですね。
mrtg.cfgの以下のところで、＠のうしろの部分を、RTX側のIPアドレスにしてあげて下さい。

> Target[rtx]: .1.3.6.1.4.1.1182.2.1.5.0&.1.3.6.1.4.1.1182.2.1.4.0:public@192.168.1.100:
48 名前：RTX1100とMRTG mailto:sage [2009/07/06(月) 04:08:15 ID:???]: >>47さん
それで見事にグラフ化できました。

ありがとうございます！
49 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp [2009/07/17(金) 09:54:08 ID:9nbdAMGS]: RT RTXシリーズで　ipip トンネルの場合フィルタって関係しましたっけ？
なんか、過去にフィルタがあっても、すんなりつながった記憶が・・・・
Yamahaのサイトで見てもフィルタがないか、相手側WAN側アドレスからの通信をとおす単純な
フィルタを設定している例しかなかったです。
netvolante.jp/solution/flets/term1_57.html　（フィルタなし）

認証もセッションもなにもないipipトンネルでお互いトンネルの終端を　tunnel endpoint address
で指定するだけで通信できるようになるとすると怖い気がしますね。
50 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp mailto:sage [2009/07/17(金) 09:57:17 ID:???]: 以下コンフィグです。
pp select 1
・・・・・・・・
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 3000 dynamic 100 101 102 103 104 105 106 107
・・・・・・・・
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 10.112.***.1 10.112.***.2
tunnel enable 1
・・・・・・・・
51 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp mailto:sage [2009/07/17(金) 09:58:07 ID:???]: ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip filter 2001 pass * * tcp 1723 *
ip filter 2002 pass * * gre
ip filter 2003 pass 192.168.0.111 * tcp,udp * *
ip filter 2004 pass 192.168.0.111 * icmp
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
52 名前：anonymous mailto:sage [2009/07/17(金) 10:06:47 ID:???]: >>49
IPv4はip tunnel secure filter
IPv6はipv6 tunnel secure filter
53 名前：anonymous@z84.58-98-114.ppp.wakwak.ne.jp mailto:sage [2009/07/17(金) 17:36:59 ID:???]: レスありがとう
pp へのフィルタが　ipip トンネルの成立を妨害するのはどのような場合かということです。
ip filter 10001 reject 【相手側ルータのグローバルアドレス】 *
ip pp secure fileter in ....... 10001
とかが明示的に設定されていないなら、というか、普通は設定しないと思いますが、

tunnel endpoint address を双方に設定するだけで通信ができてしまうのでトンネルの
乗っ取りが簡単にできてしまうように思えます。見ているのは　ip ヘッダだけでしょうから。
54 名前：anonymous mailto:sage [2009/07/17(金) 19:20:35 ID:???]: >>49
> なんか、過去にフィルタがあっても、すんなりつながった記憶が・・・・

たぶん、記憶違いでしょう。その折はPPTPをご利用だったのでは？
出してくださったconfigで、IP in IPは繋がらないはずです。

> 認証もセッションもなにもないipipトンネルでお互いトンネルの終端を　tunnel endpoint address
> で指定するだけで通信できるようになるとすると怖い気がしますね。

そのページは、フレッツサービスを使った構成例ですね。
config上にフレッツ・グループアクセスと明記されてますし、
フレッツ・グループアクセス、または、フレッツ・グループ
というサービスについて調べてみてはいかがでしょう。
御懸念がすこし減ると思います。
55 名前：anonymous mailto:sage [2009/07/17(金) 20:27:00 ID:???]: >>49
L2TPやIPIPは安全なネットワーク内いに高速で独立したネットワークを構築する時に使います。
安全なネットワークに構築する場合が殆どですので、乗っ取りとかあまり考えない。
＊　例えば同じ会社内で本社の経理と支社の経理部門だけ独立したネットワークにしたい等。

乗っ取りとか気にしていると言う事はVPNの質問じゃないのですか？
56 名前：sage mailto:sage [2009/07/21(火) 10:49:17 ID:???]: >>53
IPヘッダ内のSource-IPが偽装されたと仮定して
それで何か問題が起きるのか？

戻りのパケットが偽装元に届かないので
トンネルが掘れないだろーが
57 名前：いぇす！ナナシス！ mailto:sage [2009/07/21(火) 21:41:10 ID:???]: せいぜいRST投げまくってDoSぐらい？
58 名前：anonymous@i220-109-13-187.s02.a005.ap.plala.or.jp [2009/07/31(金) 20:58:44 ID:IRYMjRn8]: おさわがせしました。ipsec と違って any な設定はできず、相手側が
お互い固定アドレスである必要があり、かつ、フィルタに
ip filter 10001 pass 『相手側IPアドレス』　* * * *
pp select 1
ip pp secure filter in 10001 ．．．．．．
を設定しなければいけないようです。依然繋がったようなきがしたのは
icmp だけでチェックしていたので、到達性があるように思ってしまったのですが、
いかなるtcp ポートにも、フィルタなしにはアクセスできませんでした。

ipipトンネルはipsecより若干速いようでしたが（RTX1100で）
セッション断を検知できない　ということもあり、IPSECファストパスに対応した
機器なら、たとえグループアクセス内でもipsecをつかうほうがよいみたいです。
59 名前：anonymous@p4054-ipbf507souka.saitama.ocn.ne.jp mailto:sage [2009/08/01(土) 19:09:26 ID:???]: pptpで繋いだＰＣから
telnetでRTX1100に接続させると
異常に反応が悪いのは
なんででしょう？

トンネルのmtuは1280

接続させているＰＣはXPPRO

ローカルからのtelnetは問題なし
60 名前：名無しさん [2009/08/01(土) 20:17:44 ID:1Hu1m+B8]: >>59

暗号化・復号化のプロセスが有るからじゃないの？？
Ｂフレで、ＰＰＴＰ使ってファイル共有してるけど、結構時間掛かるよ。
58i 同士でグループアクセス使って、IPIPトンネルすれば良くなるのかな？？
61 名前：不明なデバイスさん mailto:sage [2009/08/01(土) 21:04:04 ID:???]: >>59
内部からってのは同じPCなのかな？XPのFWとか設定とかそういう話だと思うんだけど。

とりあえず内部でPPTP張って比較してみたら？

あとリモート側のtelnetサービス有効にするだけでXPへ入れるから、逆方向にアクセスして確認してみるとか？
62 名前：anonymous mailto:sage [2009/08/01(土) 21:27:59 ID:???]: >>59
WindowsとRTXのMTUをトンネルと一致させてみれば？
単純に言って、許容量が1280しかないトンネルに1500くらいのパケット流しておきながら
快適に反応しろってのは酷だろ？
63 名前：anonymous@i219-167-232-193.s02.a005.ap.plala.or.jp [2009/08/01(土) 21:42:14 ID:Yp1Ad8YD]: それよくやりますけど、一度固まって、
「タイムアウトのため・・・・」なんたらかんたらでコマンドを受け付けなくなり
save できなくなり、cold start して　設定を復元するハメに・・・・・
サポセンも、事務的な女が出て、そんな症状は報告がないとか流しやがった。

それ以来トラウマになり、PPTPで入って、そのルーターを設定することはしないようにしている。
やるなら、SSHを有効にして、WAN側から入って設定するのがいいと思う。
64 名前：anonymous mailto:sage [2009/08/01(土) 23:13:52 ID:???]: >>61
>とりあえず内部でPPTP張って比較してみたら？
それは試していませんでしたので、やってみます
>>62
言い忘れてすんません
XPもレジストリ弄ってトンネルだけ1280にそろえてありますが
状況は変わりませんでした。

不思議なことに、毎回反応が悪いわけじゃなくて
およそ５０％の確率で発生する。

まずは、ローカルからＶＰＮ通して
ＰＰＴＰをデフォルトルートで繋いで試せば
切り分け出来そうなので試してみます。

お騒がせしました
65 名前：anonymous mailto:sage [2009/08/01(土) 23:19:19 ID:???]: その時に、ログになにか出てませんか？
pptpのパケットの順序が順番どおりじゃないのが先に来てるというログとか。
66 名前：anonymous mailto:sage [2009/08/01(土) 23:37:08 ID:???]: >>64
まだ居るか？

恐らくパケットのフラグメントが問題だろうから、
RTX1100がPPTP Serverになっているなら、以下のコマンドをRTX1100につっこでみてくれ

pp tunnel tcp mss limit auto

Webからは設定不可能なのでCUI上で投入のこと
67 名前：anonymous mailto:sage [2009/08/01(土) 23:51:36 ID:???]: >>64
スマン訂正

×　pp tunnel tcp mss limit auto
○　ip　同上

コマンドリファレンス P.92
68 名前：anonymous mailto:sage [2009/08/02(日) 00:35:54 ID:???]: >>66
ありがとう御座います。
実はそれも疑ってすでに設定済みでした　m(_ _)m

pp select anonymous
pp bind tunnel1
pp auth request mschap-v2
pp auth username ***** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.1.70-192.168.1.90
ip pp mtu 1280
pptp service type server
pp enable anonymous

tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
pptp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 1

ローカルから繋いでtelnetかけてみましたが
同じ状況でした・・・・orz

ＶＰＮ接続は１台のみ接続、ローカル無し（テストなので・・）

なんだか分からなくなってきた　orz
69 名前：anonymous mailto:sage [2009/08/02(日) 08:32:22 ID:???]: 通信が不能になったときのRTXのログは？
70 名前：anonymous mailto:sage [2009/08/02(日) 12:04:59 ID:???]: MTU弄らない方が良いんじゃないの？
XPはデフォルトにして no ip pp mtu 1280
にするとか

特にXPのMTUは99％の人がデフォルトのまま運用していると思うからね。
71 名前：anonymous@z29.219-103-237.ppp.wakwak.ne.jp mailto:sage [2009/08/03(月) 17:55:09 ID:???]: ルーター設定するなら　PPTPはやめとけ。
どうしてもやるというなら、内部のPCにリモートデスクトップ接続して
そっちからTELNETしたほうがいいと思うぞ。
PPTPが不安定になって通信きれても、RDPが切れるだけで、
TELNETクライアントとRTXは繋がったままになっている。

ルータを直接WAN側から設定するなら、SSH

遠隔地のルーターをトンネル経由で設定してはまると
最悪現地に出向くことになる。
72 名前：不明なデバイスさん mailto:sage [2009/08/03(月) 18:59:22 ID:???]: >>71
意味不明。

わざわざ重いリモートデスクトップ経由なんて意味不明としか思えん
XPPro以上からTELNETサーバー入っていることしらんのか？

というかVPN（トンネル）使わずリモートデスクトップ使うのか？セキュリティー無視だな

＞最悪現地に出向くことになる。
ISDN刺しておけば例え設定初期化しても問題ないんだが。
73 名前：anonymous@z29.219-103-237.ppp.wakwak.ne.jp mailto:sage [2009/08/03(月) 19:53:24 ID:???]: 説明が不足して誤解を招いたようだね。
PPTPで接続してから、LAN側のPCにリモートデスクトップで入り、
その中でコマンドプロンプトまたはハイパーターミナルを立ち上げる。
XPにはTELNETサーバーがあるから、TELNETではいれば軽いというのは
そのとおりだが、ドメインポリシーでTELNETサーバーはそもそも有効にできないし、
セキュリティというならRDPで入ったほうがまし。VNCならともかく、
RDPが重いとは思わないけどね。28.8kbpsのモデム環境でさえ設定しだいでまともに動くので。

リモートのルータは remote setup bri1 0123457890/SubAddr
か SSH で設定し、PPTPで入って、直接そのルーターを設定することは自分はしない。
出来るんだろうけど、設定中に固まる現象はよくある。

なので、どうしてもPPTPで設定しなければならないなら、PPTP接続してからLAN内のPCとRDPのセッションを確立
しておいて、そのPCからTELNETクライアントまたはハイパーターミナルでシリアルポート
から設定するようにすれば、PPTPが切れても再接続し、すぐに設定を継続できる。
PPTPで直接入って、TELNETがぶち切れると login timer の時間が経過しないと再接続できない。

さらに、上述の固まる現象から、save とか一切できなくなり、cold start するしかなくなった。
tftp で復元すら受け付けてくれない。こうなると　ISDNも意味がなくなる。
以来、トラウマとなり、ルーター設定はSSH か　remote setup のみです。
トンネル経由で直接ルーターを設定するのが恐怖になってしまった。
74 名前：anony mailto:sage [2009/08/04(火) 00:15:53 ID:???]: 最近のファームなら複数TELNETセッション機能が使えるから
途中で切れても回避可能だけどね。
事前に設定しておく必要はあるけど。

www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
75 名前：anonymous mailto:sage [2009/08/06(木) 20:16:03 ID:???]: rtx1000なんだけど、lan1に192.168.0.0/24でlan2にCTUつないでインターネット。
これはぜんぜん問題ないんだけど、lan3に外部公開用のサーバつないでlan1からlan3にはアクセスできるけど、
lan3からlan1にはアクセスできないようにしたい。
どのようにすべきかヒントでもいいんでくれないっすか？

具体的には、とある事情でlan3のサーバにopenvpn入れて、外からvpnつないでlan3のサーバの共有ファイルをみにくるんです。
で、lan1のネットワークからもその共有ファイルをみたい。
でも、lan3のサーバにつないだvpnのユーザにはlan1に入らせないようにしたいんです。
どなたかお願いします。
76 名前：anonymous mailto:sage [2009/08/06(木) 20:41:41 ID:???]: >>75

> lan3に外部公開用のサーバつないでlan1からlan3にはアクセスできるけど、
> lan3からlan1にはアクセスできないようにしたい。

つまり、lan1に対してtcp,udpでダイナミックフィルターを適用すればいいってことにならないか？

netvolante.jp/solution/int/case3.html
と
netvolante.jp/solution/int/case4.html
を見てフィルター書け
77 名前：76 mailto:sage [2009/08/06(木) 21:00:44 ID:???]: >>75
ありがとう
LAN1に対してなの？
あとサーバがFTPとかWWWじゃないからどうしたらいいのやらと。
78 名前：76 mailto:sage [2009/08/06(木) 21:03:29 ID:???]: あと、ごめん、言葉たりなかったけど
最初は、lan1とlan3でルーティングのフィルタかくのかな？とか
OUTを全部許可してINを全部リジェクトするのか？とか
色々考えたらわけわかんなくなった(^_^;)
79 名前：anonymous mailto:sage [2009/08/06(木) 21:08:20 ID:???]: case4の場合を想定して、公開サーバ＝openvpnサーバってことになるんじゃないの？
冷静に行こうぜ
80 名前：anonymous mailto:sage [2009/08/06(木) 21:46:10 ID:???]: >>75を読む限り、構成は正にcase4そのままで、サーバがopenvpnに変わっただけ。（開放するポート番号は貴殿にしかわからない）
それに、DMZ ---> LANはNG、DMZ <--- LANはOKの通信制限を加えるだけだから、

ip filter dynamic <number> <LAN側IP/MASK> * tcp
ip filter dynamic <number> <LAN側IP/MASK> * udp

って書いてLAN側I/Fに適用しておけば良くないか？
静的フィルタがいいなら

ip filter <number> reject <DMZ側IP/MASK> <LAN側IP/MASK> udp,tcp * *

っていうのもアリだと思うが。
81 名前：anonymous mailto:sage [2009/08/06(木) 22:04:00 ID:???]: >>80
そのスタティックフィルタでは無理
それやるとLANから鯖にsshしたとき戻ってこない
82 名前：75 mailto:sage [2009/08/07(金) 08:14:42 ID:???]: >>79-81
ありがとうー
CASE4って、CASE5の「自社サーバを公開する」のことかな？

単純に
>ip filter dynamic <number> <LAN側IP/MASK> * tcp
>ip filter dynamic <number> <LAN側IP/MASK> * udp
でいいのかな。
とりあえず書いてみるっす
83 名前：anonymous [2009/08/07(金) 21:41:37 ID:4c7qRDrx]: RTX1200でもリクエスト数が多すぎて耐えきれない場合、
どうしたらいいかな？

RTX3000に替えても解決するとは思えんし。
84 名前：anonymous mailto:sage [2009/08/07(金) 22:18:02 ID:???]: >>83
>>35
85 名前：anonymous mailto:sage [2009/08/07(金) 22:40:52 ID:???]: アクセス多いんだったらNATなんてやめるのが一番
86 名前：あ mailto:sage [2009/08/07(金) 22:43:35 ID:???]: 誰もNAT使ってるなんて一言も言ってない
87 名前：anonymous mailto:sage [2009/08/08(土) 00:33:14 ID:???]: LANセグメント(255.255.255.0)の適当なところにルーターを繋げた場合
ルーターの設定によっては繋げた瞬間にそのセグメントを乗っ取る事って出来ない？

実際乗っ取ったような現象が発生したので、原因がわからんのです。再現するわけにもいかないし･･･。
心当たりのある設定はルーターのデフォルトゲートウェイを繋げていないLAN2に設定してたことです。
*.*.*.1 にciscoのゲートウェイが居る状態でRTXのLAN1(IPは.156)を事務所NWに接続しただけで
そのセグメントにあるPCのリクエストがLAN2に行くってことはあるのでしょうか？。
88 名前：anonymous mailto:sage [2009/08/08(土) 09:41:42 ID:???]: >>87
有る

RIPとメトリック値を確認しよう。
89 名前：anonymous@s155.IohsakaFL66.vectant.ne.jp [2009/08/08(土) 21:33:10 ID:TYNND6X4]: 会社の回線をeo光のギガに変更しました
せっかくなので、ＲＴＸ１２００を採用
ＲＴＸ１１００の設定をそのまま転送したのですが
セキュリティ診断ってのをしてみるとボロボロでした・・・
修行しなおしてきます
90 名前：アノニマス mailto:sage [2009/08/09(日) 11:04:09 ID:???]: ところでrtxの設定いじるときや、設定起こすときって、みんなどうやってコマンド書いてるの？
修正するたびにtelnetなりsshで入ってコマンド書いて、save？
もしくはconfigをローカルで書いて、変更するたびにtftpでput？
91 名前：anonymous mailto:sage [2009/08/09(日) 13:12:36 ID:???]: >>88
まじかー、返答ありがと。
別のセグメントへの通信が出来なくなるのは分かったけど、
同一セグメントでも発生して居るメカニズムがいまいち分からん･･･・
勉強が足りなさすぐるorz
92 名前：anonymous mailto:sage [2009/08/09(日) 16:38:45 ID:???]: ごめん、素人質問で悪いんだけど。
ip pp secure filter ～～と
ip lan1 secure filter ～～で
inとoutがなんか逆なの？
inってのがそのポートに入ってくるので、outってのがそこから出て行く・・・と
思ってたんだけど、どうも悪戦苦闘しているうちにそんな気がしてきた。。。
もしヤマハのサイトとかにそんな記述あるページあるなら教えてくれたらありがたい。
93 名前：anonymous mailto:sage [2009/08/09(日) 17:16:49 ID:???]: ● in.............................入力方向のフィルタ
● out.......................... 出力方向のフィルタ
と書いています。コマンドリファレンス読んでください

YAMAHAだけではなくルーター全般は
ルーターに向かって入ってくるパケットがIN
ルーターから出て行くパケットがOUT
となっていますWANとLANでは方向が逆になるので混乱しないようにね
外部→WAN(IN)ルーターLAN（OUT)→PC
外部←WAN(OUT)ルーターLAN（IN)←PC
94 名前：anonymous mailto:sage [2009/08/09(日) 17:34:58 ID:???]: >>93
> 外部→WAN(IN)ルーターLAN（OUT)→PC
> 外部←WAN(OUT)ルーターLAN（IN)←PC
そういうことだったのか！
「入力」「出力」という字面だけ見てたから混乱してしまったみたい。

>>80なんだけど、試行錯誤して
LAN1→LAN2はOK
LAN2→LAN1はNG
としたかったので、
ip lan1 address 10.10.0.1/16
ip lan2 address 10.20.0.1/16
ip lan2 secure filter in 2000 3000
ip lan2 secure filter out 3000 dynamic 200 201
ip filter 2000 reject 10.20.0.0/16 10.10.0.0/16 udp,tcp * *
ip filter 3000 pass * * * * *
ip filter dynamic 200 10.10.0.0/16 * tcp
ip filter dynamic 201 10.10.0.0/16 * udp
としてみました。（もちろんPP側にもフィルタかけた上で）
一応LAN2からは外部にも出れるし、LAN1の共有フォルダとかにもアクセスできないから
これでいいかなと思うんですけど、いかがでしょ？
95 名前：anonymous@FLH1Aaq025.oky.mesh.ad.jp mailto:sage [2009/08/10(月) 10:18:44 ID:???]: >>90
一番初めはコンソールで入力だね。＜きれいなConfigかけるし
修正は対象が少なければTelnetで手書き、多ければTelnetで張り付け

でも、修正なんてルートやトンネル増減がほとんどだから、手入力で十分
IPS変更とかは遠隔でせずに、新しい設定を入れたルータを送付して交換
切り戻しを考えるとこれが一番楽かな

やり方はそれぞれだから、自分に合った方法を見つければよい
96 名前：anonymous@i121-112-91-97.s11.a028.ap.plala.or.jp mailto:sage [2009/08/11(火) 15:36:37 ID:???]: さるぽ
97 名前：NoriP-YakuP mailto:sage [2009/08/11(火) 15:39:49 ID:???]: >>96
ぱっ！
98 名前：anonymous mailto:sage [2009/08/13(木) 00:26:28 ID:???]: こんな時間にココで聞くのは、スレ違いかもしれませんが
RTX1100とBRC-14VをIPSECで相互接続させる
設定方法をご存知の方、いらっしゃいませんでしょうか？
双方動的ＩＰでddnsを使っているのですが
どうにも繋がりません・・・

当たり前でしょうが
RTX1100同士の接続と問題なく繋がったのですが
訳合ってBRC-14Vを使わないといけないことになりました　orz

RTX1100は接続先にddnsを使っている場合は
メインモード動作でＯＫでしたよね・・・？
99 名前：anonymous mailto:sage [2009/08/13(木) 09:20:23 ID:???]: >>98
planexの機種は忘れました、rtx1000の頃です。つなげるのは大変でした。
どうもplanex側が死活監視してないようで、ipsec refresh saすると
すぐにつながるときとつながらないときがありました。
当時の結論として、安定した通信は無理、としました。

ddnsでもメインモードできるはず
とりあえず、細かなパラメータ合わせで試行錯誤してください
デフォルト値をあてにせず明示してください
100 名前：anonymous@s155.IohsakaFL66.vectant.ne.jp [2009/08/13(木) 13:17:57 ID:kwLHwP+d]: 先日、メーリングで情けない奴が質問してたよな

スキル不足過ぎて、何生意気にRTX1200購入してんだよって思ったわ
101 名前：_ mailto:sage [2009/08/13(木) 13:31:08 ID:???]: 俺にくれよと
102 名前：anonymous mailto:sage [2009/08/13(木) 17:32:02 ID:???]: >>100
そんなことをここで言うヤツも情けないけどなwww
103 名前：anonymous mailto:sage [2009/08/13(木) 17:35:34 ID:???]: >>100が恥ずかしいのはほっといて、

IP電話端末になれるRTX系って無いの？
104 名前：anonymous mailto:sage [2009/08/13(木) 17:51:14 ID:???]: >>103
無いし、今後も出ないだろうな
俺がヤマハに求めたいのはアナログ電話機（RTV700はISDN電話機）
を繋ぐ現在の方法よりも、AsteriskやNTT東西ひかり電話HGWのように
SIPプロキシ機能を実装してIP電話機を多数収容できるIP-PBX機能だな
105 名前：anonymous mailto:sage [2009/08/13(木) 17:58:17 ID:???]: それはアレクソンに任せた方がいいと思う
106 名前：anonymous mailto:sage [2009/08/17(月) 07:25:06 ID:???]: ニタはなんであんな偉そうなの？
107 名前：anonymous@58x157x24x205.ap58.ftth.ucom.ne.jp mailto:sage [2009/08/26(水) 16:25:51 ID:???]: 1200って、nat descriptor masquerade ttl hold が無くなってるのね。
NATセッション数の上限が増えたから、廃止されたって認識でいいのか？
108 名前：anonymous@z5.124-44-183.ppp.wakwak.ne.jp [2009/08/27(木) 22:59:50 ID:/EzIf5NS]: RTX1100なのですが。
以下のようにLINK　DOWN とLINK　UP を繰り返しています。
まず、何から調べたらよいでしょうか。
お願いします。
--------------
2009/08/27 22:46:05: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:46:05: LANC1: link up
2009/08/27 22:47:32: LANC1: PORT1 link down
2009/08/27 22:47:32: LANC1: link down
2009/08/27 22:47:35: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:47:35: LANC1: link up
2009/08/27 22:49:02: LANC1: PORT1 link down
2009/08/27 22:49:02: LANC1: link down
2009/08/27 22:49:08: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:49:08: LANC1: link up
2009/08/27 22:50:41: LANC1: PORT1 link down
2009/08/27 22:50:41: LANC1: link down
2009/08/27 22:50:44: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:50:44: LANC1: link up
2009/08/27 22:51:41: LANC1: PORT1 link down
2009/08/27 22:51:41: LANC1: link down
2009/08/27 22:51:44: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:51:44: LANC1: link up
2009/08/27 22:53:14: LANC1: PORT1 link down
2009/08/27 22:53:14: LANC1: link down
2009/08/27 22:53:20: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:53:20: LANC1: link up
109 名前：名無し mailto:sage [2009/08/27(木) 23:11:27 ID:???]: 省エネしてるんじゃない？
110 名前：anonymo mailto:sage [2009/08/27(木) 23:37:46 ID:???]: >>108
・リンク先の端末（かHUB）
・100BASE Fullになってるが、これを手動で色々指定してみる
・syslog debug on
・tcpdump
・ケーブル変えてみる
111 名前：anonymous mailto:sage [2009/08/28(金) 08:00:07 ID:???]: ISDNケーブルを使ってしまったとか？
112 名前：anonymous mailto:sage [2009/08/28(金) 08:00:33 ID:???]: >>108
110のいうように、モードの不一致(片方autonego、片方固定)も疑ってみる。
ケーブルやポート自体を変えてみる。1100あたりでしたら、
同梱の白ケーブルを使ってませんか。それはISDN用です。

ふつうの"市販のcat5e"ケーブルを使っていても、
通信量の多いときにリンクがフラップするこの現象はたまにあって、
そのときも同様に、ケーブルをかえると治まってました。
確証はないけど、品質のあやしいケーブルはたまにあると思ってます。
113 名前：anonymous@123.169.138.210.bf.2iij.net [2009/08/28(金) 10:35:57 ID:uBUSy0YD]: 108です。
みなさんありがとう！
LANの先のHUBが異常のようでした。
HUNを取り替えたらDOWNしなくなりました。
助かりましたm(_ _)m
114 名前：anonymous mailto:sage [2009/08/28(金) 23:49:18 ID:???]: >>108
参考にならないかもしれませんが・・・
以前直下にPLANEXの安い無線ルータ（APモード）を接続していたとき同じような現象でした。
ちゃんとした無線APに変えたら出なくなったので、
安かろう（以下略）なのかと思ってました。
115 名前：anonymous mailto:sage [2009/08/28(金) 23:50:39 ID:???]: ぜんぜん更新せずに書き込みしました。汚してすみません。
116 名前：anonymous@EM114-48-183-39.pool.e-mobile.ne.jp mailto:sage [2009/09/07(月) 19:33:43 ID:???]: RTX1200でBフレ２回線（１回線実測７０M）でRTX1200に２回線接続して
140Mの速度で使うことはできますか？
117 名前：anonymous@y235083.ppp.asahi-net.or.jp mailto:sage [2009/09/07(月) 20:57:40 ID:???]: マルチホーミングでけんのか？
118 名前：anonymous mailto:sage [2009/09/07(月) 21:01:56 ID:???]: てか、一本のBフレならダメだろ。
二本Bフレ引いてるなら出来るんじゃね？
119 名前：anonymous mailto:sage [2009/09/08(火) 00:41:08 ID:???]: B-PONだった頃は2回線引いても食い合うだけで意味無かったけど、近頃はちゃんと帯域増えるのかな。
バランスのさせ方が難しいと思うけど。
120 名前：anonymous@usr005.pial011-01.wpa.im.wakwak.ne.jp mailto:sage [2009/09/08(火) 01:58:14 ID:???]: ファミリは無理。
ベーシックなら「収容別にして！」と強くいうと
違うルータに入れてくれる時もある。
121 名前：anonymous mailto:sage [2009/09/08(火) 22:20:32 ID:???]: NTT側の収容別にしないと、速度でないの？それってベーシックの意味無いような。

その理屈だと、全く関係無い第三者のベーシックと同じルーターに入っただけで、速度落ちる事になりそうだけど。
122 名前：anonymous mailto:sage [2009/09/09(水) 08:59:10 ID:???]: >>121
ベーシックは過去の遺物。
おれもベーシック使っていてどうしても速度出ないから
ネクストファミリにしたら速度倍になった。(30→70)

ネクストなら100Mにまとめる事は無いからファミリ２本でも速度改善可能性あり。
123 名前：anonymous@usr005.pial011-01.wpa.im.wakwak.ne.jp mailto:sage [2009/09/09(水) 13:16:37 ID:???]: >>121
100Mのベーシック数十回線を、NTT局内で100Mで束ねてるから速度がでないのよ。
ネクストはこれが10Gになってるからネックにならない。
124 名前：anonymous mailto:sage [2009/09/09(水) 13:28:43 ID:???]: それってほとんど詐欺に近いような…。局まで独占してても意味無いじゃん。

ウチもベーシックだけど、見直そうかな。
125 名前：anonymous@m008081.ppp.asahi-net.or.jp [2009/09/12(土) 20:56:54 ID:3YHyH9hN]: 現在、RT107eで本社と店舗をｲﾝﾀｰﾈｯﾄVPNを構築していますが、この度、
新店開店につき、同じようにRT107eを設置して、本社との間でｲﾝﾀｰﾈｯﾄVPNを
構築したいのですが、
・新店のRT107eのIPSEC設定は既存店の設定と全く同じで問題ないですか？
・本社のRT107eに何か設定の追加は必要でしょうか？
教えてください。
126 名前：anonymous mailto:sage [2009/09/12(土) 23:13:56 ID:???]: >>125
だいたい一緒じゃない？
IPアドレスとかをちゃんと変えたらいけるでしょう

ま、これを見てみて
netvolante.jp/solution/vpn/case1/example3.html
127 名前：_ mailto:sage [2009/09/13(日) 00:47:27 ID:???]: >>125
強いて言うならIPsecの対地数6を超えていないかどうかくらいじゃない？
128 名前：anonymous mailto:sage [2009/09/13(日) 01:52:17 ID:???]: IPsecにてWOLを使いたいのですがIPsecはブロードキャストを受け付けないとのことで
クライアントからWOLを送信出来ません。
GRE　over　IPsecとやらが出来れば出来る様なことが書いてありました。
現在はPPTP接続でWOLを送信して起動させています。
出来ればIPsecのみでWOLを発射したいと思っています。
設定例を見てみてはいるのですが無い様なのですが、
もしIPsecでWOLをする場合にはこのルーターは静的arpを固定しなければならないのでしょうか・・・？
129 名前：不明なデバイスさん mailto:sage [2009/09/13(日) 16:57:04 ID:???]: >>128
環境がよくわからないが、RTXに起動したいPCぶら下っているんですよね。
パケット飛ばさずRTXからWOLを発行したらいいんじゃね
130 名前：128 mailto:sage [2009/09/13(日) 17:18:14 ID:???]: >>129
仰るとおりです。
RTXから飛ばせばWOLは出来るのですがMACアドレスの記入が大変なので
WOL送信ソフトから送信したいのです・・・
131 名前：不明なデバイスさん mailto:sage [2009/09/13(日) 17:45:39 ID:???]: >>130
私はBATファイルで1クリック起動だけど。
132 名前：128 mailto:sage [2009/09/13(日) 18:03:01 ID:???]: >>131
その手がありました！
ありがとうございます。
それにします。
133 名前：125 [2009/09/15(火) 22:17:48 ID:MKQLE0x8]: >>126,127
アドバイスありがとうございました。無事ＶＰＮ開通しました。
もう一つ教えて下さい。
現在、FTP通信やVPNを利用しての本部サーバーへのアクセス等はできて
いるのですが、今回新たに導入したアプリが通信に全銀TCP／IPを使用
しておりまして、本部へデータを送るのですが、これが繋がらないのです。
店舗→本部へ全銀TCP／IPで通信するのに、RT107eに対して何か特別な
（許可）設定が必要なのでしょうか？
フィルター設定はデフォルトのままです。
134 名前：不明なデバイスさん mailto:sage [2009/09/16(水) 01:32:42 ID:???]: >>133
デフォルトのフィルター設定なんてないと思うのですが、、、

通信をフィルタしてるならば、許可追加は必要でしょうね。
TCPのポート5020が一般的みたいですが、アプリの設定で変更されているかもしれません。
135 名前：アドミン mailto:sage [2009/09/16(水) 08:57:53 ID:???]: 店舗に全銀へのルートが設定されていますか？
136 名前：anonymous@i118-21-139-83.s30.a048.ap.plala.or.jp [2009/09/16(水) 17:45:50 ID:LvCP0UDs]: TX1200を使っているのですが、同一ネットワーク上で
MACアドレスによって使用するゲートウェイを変えるといった
設定は可能ですか？

lease type を bind-only にし
同一ネットワーク上にdhcp scopeを２つ割り当てようとしたのですが
> エラー: この設定ではDHCPは使えません
となり設定することができませんでした。
137 名前：anonymous mailto:sage [2009/09/16(水) 19:47:04 ID:???]: >>136
dhcpは必須なの？
138 名前：136 [2009/09/16(水) 23:23:23 ID:DNqiZ6nn]: >>137
扱いたい機器の中に、DHCPでないとIPアドレスが設定できないものが
あるのでDHCPは必須です。

特定機器のMACアドレスからの要求にだけDHCPで答えて、
それ以外のPCは手動設定でもよいのですが、MACアドレスの一覧が
手元にあるのと、台数が多いことから可能であれば
RTX1200で管理したいと考えております。
139 名前：137 mailto:sage [2009/09/17(木) 00:50:13 ID:???]: >>138
やったことないけど

RTX1200にもう一つのネットワークのアドレスを
セカンダリに1個固定で割り当てたら出来るかも？

それか
MACアドレス指定配布なら
禁断の同一ネットワーク 2つDHCPサーバとか(笑)
もちろんそれもやったことないっすけど…
140 名前：anonymous mailto:sage [2009/09/17(木) 13:50:21 ID:???]: >>136
スマートな方法じゃないけど

・dhcp scope bind でMACアドレスに対して、固定的にIPアドレスを振る
　（連番の方が、あとの設定が楽）
・ip route でIPアドレスごとにゲートウェイを設定できるので、それで経路を設定してやる

もしくは
・そのIPアドレスに対して、フィルターを作る。(通すためのフィルターね）
・ip route で、フィルターに対してゲートウェイを設定できるので、それをつかう。

ってのはどうだろう。
141 名前：an mailto:sage [2009/09/17(木) 14:15:37 ID:???]: コリジョンが発生しているか？確認したいんですが
Ciscoでいうshow interface ethernet
の
show status lan1をやっても
特に表示されないんですが
コリジョンカウンタ？を表示するコマンドないですか？
142 名前：anonymous mailto:sage [2009/09/17(木) 18:15:13 ID:???]: >>141
詳しくないんだけど、全二重は、原理的にコリジョンでないんじゃなかったっけ？
143 名前：不明なデバイスさん mailto:sage [2009/09/17(木) 23:17:40 ID:???]: >>141
其のコマンドであっていますよ。
たしかコリジョンはパケットエラーとしてカウントするはずだよ。
しかし>>142さんの理由から半二重の時に限るはず。
144 名前：aaan mailto:sage [2009/09/18(金) 11:59:49 ID:???]: >>143
YAMAHA側が10MFull指定なんですが
相手側がautoの安いスイッチハブなんで
どういう状態になっているか確認したいんです。

パケットエラーって
Non support packet received
ですか？
145 名前：不明なデバイスさん mailto:sage [2009/09/18(金) 14:10:08 ID:???]: >>144
矛盾しているよ

YAMAHAで全二重指定(固定設定か？）しているんだから半でリンクしません、
したがってでコリジョンを調べれない。(コリジョンが発生しないはずだから）

上の人のレス理解していますか？

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef