YAMAHA業務向けルータ運用構築スレッドPart7

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 2chのread.cgiへ]
Update time : 03/17 20:28 / Filesize : 210 KB / Number-of Response : 694
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

1 名前：hage [2009/06/20(土) 08:33:55 ID:VxAtl3XT]: 【前スレ】
YAMAHA専用スレッド
pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
pc8.2ch.net/test/read.cgi/network/1092832668/
YAMAHA業務向けルータ運用構築スレッドPart4
pc11.2ch.net/test/read.cgi/network/1144116104/
YAMAHA業務向けルータ運用構築スレッドPart5
pc11.2ch.net/test/read.cgi/network/1196114751/
YAMAHA業務向けルータ運用構築スレッドPart6
pc11.2ch.net/test/read.cgi/network/1223667451/
【公式サイト】
YAMAHA RT series router Home Page
www.rtpro.yamaha.co.jp/

【お約束】
・ここはYAMAHAルータで、小規模～大規模のネットワークを構築、運用する人の
　ための情報交換スレッドです。

・ネットボランチシリーズ（コンシューマー向け）、業務用向け機器でもYAMAHAルータの
　設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
YAMAHAヤマハブロードバンドルーターpp select 12
pc11.2ch.net/test/read.cgi/hard/1226918769/
577 名前：anonymouse mailto:sage [2010/03/15(月) 21:09:17 ID:???]: >>571
対戦相手がルーター落とすの覚悟で攻撃してきてるとか‥勘ぐりすぎだよな。

>>574-575
Sonicwallとかどうでもいいけど、ルーターの挙動を一から勉強し直した方がいい。
家で使う場合、大抵はNAPT使うとは思うけど、とりあえず548が書いてる事は間違ってないし。
556も指摘してるが、NAT/NAPTが、一連のIPに纏わる処理の中で特殊な挙動をしてる事に気付け。
578 名前：hoge mailto:sage [2010/03/15(月) 21:27:26 ID:???]: Sonicwallって個人じゃつかわんだろし
ただのパケットフィルタじゃないだろ
それこそ不正プログラム検知させるならRTよりはずっと使える

要はケースバイケースだろ
579 名前：550 mailto:sage [2010/03/15(月) 23:27:38 ID:???]: >>563
RTX1100はWeb設定じゃ大した設定できなかったはず
コンソール設定環境揃えた方がいいよ
IPアドレスを割り当ててあるなら、telnetでログインできるから

不正アクセス検知を、LAN1～LAN3の全部、入／出の双方にかけてるみたいだけど
WAN側（LAN2）の入だけで良いと思う
ローカル側にかける意味はあるのかと…
パケロスの原因もそのへんにありそうな感じ

うちもCATVだから、回線環境は近いと思う
ただ、うちは自宅サーバにDHCPがあって、IPはそっちで配るから、DHCPサーバは未使用だけど

ip route default gateway dhcp lan3
ip lan1 address 192.168.0.254/20
ip lan3 address dhcp
ip lan3 intrusion detection in on reject=on
ip lan3 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 primary
dns server dhcp lan3
dns private address spoof on

これだけ
まだサーバ公開はしてないから、ポート開放やフィルタの設定はしてないけど
現状これで不都合無し
netvolante-dnsでDDNS名は既に割り当て済み（記述は割愛）
それでも大した攻撃は無い
580 名前：anonymous mailto:sage [2010/03/16(火) 00:53:38 ID:???]: >>579
少しだけお節介を焼かせてくれ
貴殿のDNS設定についてだが、以下の様にしたらいかが？

dns cache use off
dns srcport 1024-65535　※範囲は好みの問題だけど

この行を追加する。
特にソースポートの方はやっておかないと過去にあったDNS問題に対応できていないことになるはず。
詳しくは公式Webのお知らせを見てくれ。
581 名前：anonymous@i218-44-80-124.s02.a021.ap.plala.or.jp mailto:sage [2010/03/16(火) 07:41:47 ID:???]: >>577
挙動の違いとかじゃなくて、「侵入されない」という結果を求める方法としては
>>574 >>579 で満たしているだろ

それとも、おまいなら >>574 >>579 のプライベートネットワークに侵入できるとでも？
582 名前：plala mailto:sage [2010/03/16(火) 08:19:25 ID:???]: ここデフォで節穴さんかい
うちもノーフィルターで nat masquerade しか設定してないよ

ポートスキャン（広義のDDos）くらいあると思うけど
そんなものを攻撃くらったと言って気にしてたら話にならない。

で、うちにはどういう脆弱性があるというのかな？
583 名前：hoge mailto:sage [2010/03/16(火) 09:00:08 ID:???]: 一般家庭で結果だけならそれでいいよ
業務用ルーターって意味で幅広い考えを持てば
ＮＡＴ使う必要ないところもあるし、ローカルで運用してるかもしれんし

ただし、負荷がかかるくらい攻撃されてるなら
フィルターではじいた方が軽いんでないの？
584 名前：hage mailto:sage [2010/03/16(火) 09:14:35 ID:???]: >>580
やってみましたｗ
ネットが見れなくなったことがあって、障害箇所の調査をするうちに
ルータが怪しいということになったんだけど、ルータをチェックしても
メモリ使用率は30%台なのに、何故か外へつながらない（WAN側IPは来てる）という現象が
あったんで、リスタートをかけたら直った…ということがありまして
585 名前：hige mailto:sage [2010/03/16(火) 10:00:34 ID:???]: >>583
おれんとこの会社は

外から来るプライベートアドレスだけ遮断するフィルター書いてるけど
残りは　pass * * * *

nat descriptor masquerade static 1 1 192.168.1.2 tcp www
nat descriptor masquerade static 1 2 192.168.1.2 tcp https

で Web 公開してるけど、脆弱なのか？
きっと訪問者は検索ボットくらいだろうから負荷は無視できる程度だが
586 名前：hoge mailto:sage [2010/03/16(火) 10:20:53 ID:???]: >>585
グローバル一個しか当たってないならそれでいいんじゃないの？
ただ、Webサーバーが最初にセッション張る事が無いなら動的フィルターかけた方が安全かもしれん
587 名前：anonymous mailto:sage [2010/03/16(火) 10:45:45 ID:???]: >>586
web鯖だってメールぐらい送りたい、外部DNSだって使いたい、外部NTPに同期したい、FTPアクティブモードも使いたい
ほとんどのweb鯖は結構自分からセッション張るだろう

内部からのパケットは全部許可だけど動的フィルターはしっかりつけているな。
やはり動的フィルターぐらいは付けないと俺は不安。
588 名前：hige mailto:sage [2010/03/16(火) 10:52:15 ID:???]: >>586
ありがと

>>587
Webサーバーから Windows Update とか普通にやるしメール送信もしてます。
動的フィルターで得る安心感の根拠が知りたいのですが・・・

nat descriptor masquerade ～で外向きのパケットを投げると
ルーターの nat テーブルに、ローカル側のIP・ポート－リモート側のIP・ポート　の組み合わせでレコードが出来て
一定時間内に内向きにきたリモート側のIP・ポートのパケットをローカル側のIP・ポートに転送され
元々の nat テーブルに存在しないリモート側のパケットは届け先が定まらずに破棄される、と理解してます。

重い軽いの違いはあろうかと思いますが、結果論的には動的フィルターに近い動作だと思いますが、違うんでしょうか？
589 名前：hoge mailto:sage [2010/03/16(火) 11:08:57 ID:???]: >>587
Ｗｅｂ公開としか書いてないからそう書いたんだが・・・

相手が特定されて何するのか決まってるのなら
相手のアドレスとポートをあければよいだけじゃないの？

メール送るだけならプロバイダのSMTPあければいいしＤＮＳはrtから拾えばよくね？
ＮＴＰも決まった相手としかしない
ＦＴＰも特別な理由がなければ他のクライアントマシンからやればよい

ただ、どこまでやるかはそこのポリシーやコスト考えてだろ
ＮＡＴだから安心とたかくくって肝心のHTTPDにセキュリティホールがあって放置してたのであれば
話になんない
590 名前：hoge mailto:sage [2010/03/16(火) 11:17:56 ID:???]: >>588
そのＷｅｂサーバーの重要度にもよると思うけど
本当にその他のサービスが必要なのかどうか

よりセキュアという考えだけで考えれば
社内にWindows Updateサーバー置いたりして他のマシンに任せるとかね

動的フィルタはサーバーから外への発信をフィルタした場合に使う
591 名前：ふぉ mailto:sage [2010/03/16(火) 23:20:35 ID:???]: フィルターかけてないと言う事は
すべてのポートは開いたまま？
592 名前：nage mailto:sage [2010/03/17(水) 02:33:43 ID:???]: >>581
挙動の違いもなにも、NAPTを前提としてる事がおかしいって指摘をしてるんだが？(>>552-556, 577)
家庭向けの設定にしたって、このスレにいるヤツん中には固定8IPとかで契約してるやつだっているだろう。業務向けなら尚更。

この話のきっかけは、ISPがどうのこうのじゃなくて、「ルーター」(≠BBルーター)がデフォルトの設定でフィルタとして
機能するかって話だし(>>548)、少なくともYAMAHAのRTXシリーズでそんな設定が最初から入ってるルーターなんてないだろ？

>>585
SMB関係は明確にフィルタリングしといた方がいい気はするなぁ。
他はどんなサービスが動いてるのか洗い出さないと答えが出ないような。
593 名前：anonymous mailto:sage [2010/03/17(水) 11:16:20 ID:???]: よく分からんがこういう流れ？

デフォではフィルタかかってないよな派（初期派）
　　├─攻撃受けまくってえらいことになってます派（過激派）
　　├─NAPTで安心派（家庭派）
　　├─NATも一種のフィルタだ派（それデフォじゃないよ派）
　　｜　　　└─細かい指摘だけどNAPTでしょ？派（仮面指摘派）
　　｜　　　　　　　└─よせ、触るな派（穏当派）
　　└─FWいれればよくね派（飛躍派）
　　　　　　├─恐怖心を煽って、FWを売って飯を食ってる人ですか？派（嫌儲過敏派）
　　　　　　├─ソニックウォールとか売りつけたがる連中は派（反骨精神派）
　　　　　　└─NAPTを突破してみろや派（お前は誰と戦ってるんだ派）

・・・ヒマだな俺も。
594 名前：あのにます mailto:sage [2010/03/17(水) 11:25:06 ID:???]: >>593
素晴らしい。把握できた。
595 名前：anonymous mailto:sage [2010/03/17(水) 14:00:21 ID:???]: 事の発端はこれだよな

548 名前：ああああ[sage] 投稿日：2010/03/13(土) 11:01:12 ID:???
ルータはデフォルトではフィルター一切かかってないよな

552 名前：sage[sage] 投稿日：2010/03/15(月) 10:57:26 ID:???
>>548
NAT自体が一種の（送信トリガー動作の）動的フィルターですが・・・

業務用のルータなんて最初はコンフィグが空っぽの状態で、IPアドレスすら割り当てられていないことが普通なのに、
NAT/NAPT＝デフォルトとも取れる発言が痛い
家庭用のブロードバンドルータと勘違いしてるんじゃないかと
596 名前：hoge mailto:sage [2010/03/17(水) 14:08:57 ID:???]: >>593
なんか違うと思うがｗ
597 名前：anonymouse mailto:sage [2010/03/17(水) 20:27:34 ID:???]: >>595
うむ。
598 名前：anonymous mailto:sage [2010/03/17(水) 23:05:34 ID:???]: 設定しなければポートも開かないからなｗ
599 名前：DEFAULT mailto:sage [2010/03/17(水) 23:08:57 ID:???]: ポートを開いて、外部からtelnetdとhttpdへのアクセスを許すような設定もできるんだろうな
すごいな。
600 名前：anonymous mailto:sage [2010/03/17(水) 23:35:57 ID:???]: 閉域網ならいんじゃね？
601 名前：sage mailto:sage [2010/03/18(木) 03:08:52 ID:???]: >>600
平易起毛なら、そもそもNATを捻ったりしないだろうな。
その場合には当然ポートの開け閉めもない。筒抜け。
602 名前：anonymouse mailto:sage [2010/03/18(木) 06:00:01 ID:???]: そもそも、普通のルーターはポートの開閉なんてしないし。
603 名前：anonymous mailto:sage [2010/03/18(木) 11:10:24 ID:???]: お股の解放はありまつか？
604 名前：sage mailto:sage [2010/03/18(木) 15:15:00 ID:???]: なんかSCRIPTが使えるようになっているんだね。
RTX1200だったと思う。
605 名前：_ mailto:sage [2010/03/18(木) 18:05:39 ID:???]: >>603
　ヽ('A`)ﾉ
　　(　 )　ﾄｷﾊﾅﾂ!!
　　ﾉω|
606 名前：anonymous mailto:sage [2010/03/20(土) 00:51:36 ID:???]: netvolante.jpとwww.rtpro.yamaha.co.jpにあるRTX系のコマンドリファレンスが同じ内容になったな。
同じPDFファイルにリンクしてるから当然なんだけど、以前は違うURLにリンクしていた。

表紙が寂しくなったな・・・

いつもnetvolante.jp側のマニュアルしか見てなくて、今回初めてwww.rtpro.yamaha.co.jp側の
コマンドリファレンスを見たけど、表紙がバージョン番号だけなのはwww.rtpro.yamaha.co.jp側の伝統？

お互いのページで更新日がずれているのはいつものことみたいだな。
いつもはwww.rtpro.yamaha.co.jpの方が1日くらい早い表記だけど、今回はnetvolante.jpの方が
3日早い表記になっている。
607 名前：不明なデバイスさん mailto:sage [2010/03/25(木) 22:22:47 ID:???]: 関東の地上波デジタルやBS信号をキャプチャGV-MVP/VZで取り込んで
USBデバイスサーバー ETG-DS/USで遠隔操作して
VPNで飛ばすことで関東のチャンネルを遠方で視聴できるようにしたいです。（下記記事参照）
pc.watch.impress.co.jp/docs/column/nishikawa/20091224_338953.html

専用サーバを常時起動するのは電力コストやマシンを揃えないといけないので
サーバ機能付きルーターを調べた結果BHR-4RVにたどり着きましたが
これは速度がやや遅いということなのでYAMAHA製ルータを検討していたところ
業務用を勧められてこちらにたどり着きました。

本来はRTX1200がよいみたいですがいかんせん高価で手が出ません。
RTX1000やRTX1100の中古を狙ってみようと思っています。
両方のページを調べたところ両者の違いは
VPNスループット55→120Mbit/s
RAM16M→32M
flashROM4M→8M
などはわかりましたが、他に注意すべき違いはどのようなものがあるでしょうか？
どうぞよろしくおねがいします。
608 名前：anonymous mailto:sage [2010/03/25(木) 23:39:03 ID:???]: >>607
今からその二つで選ぶなら、1100で良いと思う。

ただ、それ以前の問題として、
初期化された状態からだと、コンソールからCUIで
設定しないと、Web画面出ないとか、そういうルーターだけど、
その辺は大丈夫？
使ってたのが、大分前でよく覚えてないけど、
初期状態だとlanにIPアドレス振られて無いよね、1100とか。

文章の感じからすると、普通のBBルーターの
イメージで考えてる様に見えるけど、
それだったらRT57iとか58iのが
良い気がする。
余計なお世話だったら、すまん。
609 名前：hoge mailto:sage [2010/03/25(木) 23:54:42 ID:???]: >>607
そのVPNスループットはIPSECだと思うが
IPSECでやるなら
PC側にIPSECのクライアントソフト入れないとダメだと思うぞ

>>608の言うようにシリアルケーブルでPCに接続してコマンド打って設定するものだから
初心者には向かないが大丈夫か？
610 名前：anonymous mailto:sage [2010/03/26(金) 00:02:39 ID:???]: >>607
まあ、その2機種はかなり似通っている。
RTX1100は、RTX1000から、ほぼそのままリプレイスできるように
設計されているので、いちおう上位互換と考えて良い。
いちばんの違いは、ファームウェアの差が挙げられる。
ttp://netvolante.jp/download/firmware/index.html
RTX1100には7系はない。8系は両方にあるけど、
細かいところで仕様が違う。

で、ハードウェア板のYAMAHAルータースレから飛んできたみたいだけど、
(両方見ている人は多いと思う）
基本的なことだが、YAMAHAに限らず業務用のルーターを触ったことはある？
向こうでの質問レベルからすると、ちょっと不安なんだが、
ある程度テンプレはあるけど、ちゃんと理解して、
コマンドで入力しないと、動かないよ。
このあたりのページは理解できる？
ttp://netvolante.jp/solution/vpn/case1/example2.html

安いからって理由で、RTX1000を候補にしているんじゃないかと邪推するが、
ある程度WEBから設定できるのは、RT107e,SRT100,RTX1200の3機種だけ。
611 名前：anonymous mailto:sage [2010/03/26(金) 00:04:37 ID:???]: うわ、もろかぶった。
リロードしろよ、俺...orz
612 名前：ー mailto:sage [2010/03/26(金) 02:30:35 ID:???]: 1100ってIP持ってなかったっけ？ファームのバージョンで違うのかもしれんが。
613 名前：anonymous mailto:sage [2010/03/26(金) 02:36:51 ID:???]: デフォルトIP持ってるのはRTX1200とRT107eだけだね。
netvolante.jp/products/spec/vpn.html
614 名前：anonymous@pd5e0f9.kngwff01.ap.so-net.ne.jp mailto:sage [2010/03/26(金) 03:13:54 ID:???]: >>607
RT107eの例だけど、見ても理解出来ないなら手を出さない方が無難かと
ttp://netvolante.jp/pdf/internetVPN_FIN.pdf
615 名前：hoge mailto:sage [2010/03/26(金) 03:17:07 ID:???]: コストも含めて考えてIPSEC使わないなら
業務系ルーターは必要ないと思うけどな

テレビ見るだけなら静的NATでもいいような気がするが・・・・
616 名前：ー mailto:sage [2010/03/26(金) 04:16:20 ID:???]: >>613
そうだったのか。なんかRTX1100でIP持ったようなマニュアルを読んだ気がしたが気のせいか。

しかし>>607
地デジもいろんな活用方法があるんだな。
これだと遠隔地のローカル番組も見ることが出来るのか。
PT2が山積みになってたからちょっと買ってみるか。
NTTのネクスト回線＋RTX1200（IPSec）同士でどこまでやれるのかなｗ
617 名前：hage mailto:sage [2010/03/26(金) 08:23:10 ID:???]: >>607
>VPNスループット55→120Mbit/s

インターネット網がネックになって、数値ほどには差がないよ
東京-名古屋でフレッツ経由で繋いでるけど、1000→1100にしたけど違いが分からない。
インターネットの速度計測では 25～30Mbps くらいの環境。

NTT東の中で200Mbpsな光ネクストだと違いに気がつくのかもしれないが。
618 名前：anonymouse mailto:sage [2010/03/26(金) 08:49:27 ID:???]: > PT2が山積みになってたからちょっと買ってみるか。
‥！！
619 名前：anonymous mailto:sage [2010/03/26(金) 09:10:28 ID:???]: >>610
IPsec設定とかならWEB設定よりコマンド設定のほうが楽だろう。

1000,1100,1200 ３機種はいずれも販売中ですが値段は大差無いよ。
むしろ1200が一番売れているから安いみたい。
IPsecだけなら107eが４万ちょっとだから一番安い。
ただし107e使ったことあるけどあのWEB設定は遣いづらいし設定できない項目もある。
620 名前：anonono mailto:sage [2010/03/26(金) 09:16:36 ID:???]: >>607
> BHR-4RV
> 固定IP不要で自宅ネットワークを公開可能なDNSサービスが年額3,780円（税込）でご利用いただけます。
ヤマハ様々だなｗ

被るのもあるけど注意すべきは、
1.RTX系なら自力でコマンドを打ち込んでVPN設定できるかどうか。
2.IPsecじゃなくてPPTPでいいのでは（IPsecは別途VPNクライアント必須）。
3.ルータの速度より回線速度気にしろ。
4.用途的にRTX系よりRT58iの方がいいのでは。ヤマハ様ならダイナミックDNSサービス無料だゾ（上記比較汁）。
5.回線速度よりさらに、ダイナミックDNSサービスがボトルネックになるかも。
6.やっぱBHR-4RV程度でも済むんじゃね？
621 名前：不明なデバイスさん mailto:sage [2010/03/26(金) 09:44:32 ID:???]: >>608-620
607です
みなさまありがとうございます
やはりかなり敷居が高そうですね。
質問レベルからもわかるようにネット関係の知識も
自力で無線LAN導入する程度くらいしかありません。
自分のレベルでついていけるベストな機器を選べるようにもっと良く調べてみます。

>>608-610
>コンソールからCUIで設定しないと、Web画面出ない
>シリアルケーブルでPCに接続してコマンド打って設定
>ちゃんと理解して、コマンドで入力しないと、動かないよ
全くの無知なので難しそうです。しかし、調べなくて諦めるのもどうかと思っています。
できそうなレベルの機器を選びたいと思います。

>>614
プログラムみたいなのを書きこむのは難しいですが
設定画面を選択していくのなら調べればなんとかなりそうな気がしてきます。

>>616
ぜひともお試しください。しかしPT2でVPNロケフリができるのならすごいことですね。

>>617
なるほど。うちも25Mbpsくらいなので差がないということですね。
ただしどちらも今の私では機器設定できない恐れが高いですが。

>>620
ありがとうございます。業務用が速度が早い程度の認識でしたが
設定の難易度などを考慮するとRT58iなどの家庭向けのことも良く調べてないといけないと痛感しました。
622 名前：anonymous mailto:sage [2010/03/26(金) 10:33:33 ID:???]: MRTGでIPsecの帯域監視は出来ているのですが、
今回PPTPで試したところ、何も出力されません。
show status { tunnel 10, pp anonymous, pptp } などを見たところ、
通信時間しか確認できなかったのですが、
PPTPの帯域監視って出来るのでしょうか？
623 名前：anonymous mailto:sage [2010/03/26(金) 16:30:15 ID:???]: >>621
コンシューマ機スレでもそうだったけど、
前向きに、努力して解決しようとしているみたいだから、
敷居は高いかもしれないけど、時間さえ掛ければ、うまくいくと思うよ。

で、確認なんだけど
・ルーター同士をVPNでつなぐ、つまりLAN間接続VPNをしたい。
・ルーターは自分のところだけで、実家PCからリモートアクセスVPNをしたい
どっちなの？
まあ、目的を果たすだけなら、後者で充分だろうけど、
おすすめの構成が変わってくるので、ある程度プランを練ってから
質問した方が良いかも。

で、おそらく業務機なら中古で探すつもりなんだろうけど、
それなら、タマ数は少ないけど、RT107eがおすすめ。
値段はRTX1000と1100の間になると思うけど、(性能もそのぐらい）
簡単に使える業務機として、作られた物なので、
普通の家庭用のブロードバンドルーターが使えるのなら、
｢ネットにつなぐとことすら出来ない」なんてことは無いはず。
それで、自動的に吐き出されるconfigを、
コマンドリファレンスと首っ引きで調べていけば、
ある程度理解できるようになると思う。

余談だけど、昔はコンシューマ機=PPTP、業務機=IPsecって分かれていたが、
あとになって、ファームウェアの更改によって、業務機にもPPTPが実装された。
つまりその辺はすべてソフトウェア処理。
IPsecの暗号化をハードウェア的に行っているRTX1100とかだと、
本来なら、重い処理のIPsecのほうが速くなる。
推測に過ぎないけど、PPTPが実装されたのも、小さい拠点なんかだと
RT57i、58iあたりがTELポートも付いているので、そっちの方が都合が良くて、
そことVPNでつなぎたいという要望が多かったんじゃないかと思う。
624 名前：不明なデバイスさん mailto:sage [2010/03/26(金) 17:00:42 ID:???]: >>623
実家からアクセスするだけで十分だと思っております。
お恥ずかしながら正直VPNのためにサーバーが2台いるのかどうかすらわからない程度の水準の学生なので
とりあえず初心者向けの
「これならできるVPNの本 BHR-4RV対応」ってものをアマゾンで注文しました。
これでVPNを知ってこのスレの内容が理解できるようになってから機種選びを行いたいと思います。
625 名前：不明なデバイスさん mailto:sage [2010/03/27(土) 12:38:30 ID:???]: >>622
機種書いたら？MIBは全機種統一じゃないと思うんだけど
ジェネリックじゃなくてプライベートに紛れている場合もあるし、ベンダーに聞くか
MIB情報取得してみたら（SNMPのフリーウェアでMIB見れるの結構あるから）
626 名前：anonymous mailto:sage [2010/03/27(土) 12:47:20 ID:???]: >>625

> MIBは全機種統一じゃないと思うんだけど

いやいや、一緒だよ。
MIBファイルの内、yamaha-product.mibってやつで機種を判別している。
627 名前：anonymous mailto:sage [2010/03/27(土) 14:16:14 ID:???]: >>622
プライベートMIBをロードしたMIBブラウザで見ると、各I/FのInOctetsとOutOctetsの値が取得できる。
その中で、pp anonymousに該当する値を取得すればいいんじゃないの？
IPsecの帯域監視はできてるってことは、OIDを変えればいいだけのような気もするが・・・

>>625氏も書いてるけど、機種と今見張っているOIDも書いて欲しいかな。
プライベートMIBの話なんだから、別に構わんでしょ。
628 名前：anonymous mailto:sage [2010/03/27(土) 19:48:24 ID:???]: RTXシリーズは、初めての人は、すんなりなかなか行かないことが多いよね。

YAMAHAのマニュアルもサイトも具体例のサンプルあるけど、
そのまま使えるわけじゃないから、試行錯誤しないとわからない点も多い。
もう少し、使える具体例のサンプルが多いともっと楽なんだけどね。
629 名前：anonymous mailto:sage [2010/03/28(日) 00:25:28 ID:???]: あれで少ないとか
630 名前：anonymous mailto:sage [2010/03/28(日) 10:19:59 ID:???]: いくらあっても、初心者にとって使えなきゃ意味ないしな。
631 名前：anonymous mailto:sage [2010/03/28(日) 10:31:31 ID:???]: でも、ターゲットは初心者か？
632 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/03/28(日) 11:17:16 ID:???]: ターゲットは違うだろうけど、もっと使えるサンプルおいたほうがいいのでは、ということ。
YAMAHAのサポートは親切だし充実しているけど、サンプルがいまいち。
633 名前：anonymous mailto:sage [2010/03/28(日) 11:19:41 ID:???]: 猿じゃYAMAHAは無理だなｗｗｗ
634 名前：anonymous mailto:sage [2010/03/28(日) 11:34:13 ID:???]: 初心者じゃなくても、ＹＡＭＡＨＡをはじめて使う人にとっては、面倒だよな。

ＧＵＩを充実させろとまでは言わないが、
コピペで使えるサンプルおいとけよ。
635 名前：anonymous@FLH1Aaq023.oky.mesh.ad.jp mailto:sage [2010/03/28(日) 11:40:48 ID:???]: ほとんど使えると思うが・・・自分に合った構成例を探せてないだけ？
業務用ルータはCCNAを取った人間レベルじゃないと使ったらいけないと思う。
636 名前：hoge mailto:sage [2010/03/28(日) 11:56:14 ID:???]: CCNAなんてしらんけど
RT100の時代では他のルーターより１００倍使いやすかったぞ
637 名前：anonymous mailto:sage [2010/03/28(日) 12:07:32 ID:???]: >>635
仮に自分に合う構成例があったとして、接続できたとしても、
それをそのまま使ってる人はいないでしょ。
YAMAHAのサンプルのままじゃ、あまりに実用設定が少なくて使えない。
必要な設定を探して組み合わせたり、あとから追加していかないといけない。

だからネットワーク初心者には向いていない。
ある程度、知識がある人でも、YAMAHAを初めて使う場合、
一発で、そこそこの設定にはならないからね。
試行錯誤して設定を追加しながら、完成度をあげていかないといけない。

最初から、ある程度、てんこもりの設定例とか実用設定例があれば、
初心者だけではなく、中級者以上でも、もっと楽になる。
638 名前：anonymous mailto:sage [2010/03/28(日) 12:07:48 ID:???]: >>628から延々と書き込んでるのは同一人物なのか？
今掲載されている情報でも十分過ぎるだろ。
丸ごとコピペで使えるコンフィグだって山ほど掲載されてる。
『ぼくのようぼうにぴんぽいんとでまっちしたさいきょうのこんふぃぐ』が欲しいならサポート受けろって話さ。
639 名前：anonymous mailto:sage [2010/03/28(日) 12:13:07 ID:???]: >>637

> だからネットワーク初心者には向いていない。
> だからネットワーク初心者には向いていない。
> だからネットワーク初心者には向いていない。
> だからネットワーク初心者には向いていない。
> だからネットワーク初心者には向いていない。

まあ、春だしな
640 名前：hoge mailto:sage [2010/03/28(日) 12:20:29 ID:???]: あの豊富な設定例は他のメーカーじゃないぞｗ
641 名前：anonymous mailto:sage [2010/03/28(日) 12:31:02 ID:???]: 知っているか知っていないかの差だよな。
複雑で高度なルーター設定が必要ないなら、
ルーター設定ごときに、時間つぶしたくないしな。
642 名前：anonymous mailto:sage [2010/03/28(日) 12:38:49 ID:???]: >>640
確かに業務用の中では、YAMAHAが一番親切だろう。
しかし参考にはなるが、そのままじゃ、使えない。
そのまま使っているなら、アホだろ。
643 名前：anonymous mailto:sage [2010/03/28(日) 12:42:13 ID:???]: >>642
そのまま使えると >>638 は、言っているようだが。
644 名前：anonymous mailto:sage [2010/03/28(日) 12:45:24 ID:???]: >>637
あまりに実用設定が少ないってのは、Webサイトのどのページを見てそう思ったの？
是非ともURLを示してもらいたい
645 名前：anonymous mailto:sage [2010/03/28(日) 12:46:04 ID:???]: >>638 は、アホか、天狗か、不親切な人のいずれかってことでしょう。

まぁ、ここ見てるくらいだから、アホじゃないだろうけど。
646 名前：anonymous mailto:sage [2010/03/28(日) 12:52:52 ID:???]: 普通、検索して出てくるのは、以下だろ。
netvolante.jp/support/example/

>>644
逆に、どれが使えるURLかな？
647 名前：anonymous mailto:sage [2010/03/28(日) 12:56:47 ID:???]: 以下じゃ、参考にはなるが、丸ごとコピペとしては、しょぼすぎでしょう。
netvolante.jp/support/example/
netvolante.jp/solution/vpn/index.html
648 名前：anonymous mailto:sage [2010/03/28(日) 13:00:26 ID:???]: さっきから自演しているやつ
句読点の癖くらい直せや
文節毎に区切るって中学生かよ
649 名前：anonymous mailto:sage [2010/03/28(日) 13:03:53 ID:???]: な、ん、か、言、っ、て、る、な。
650 名前：anonymous mailto:sage [2010/03/28(日) 13:04:53 ID:???]: 中学生相手にきどってら。
651 名前：anonymous [2010/03/28(日) 13:17:10 ID:07yxU5Sf]: 基本設定を組み合わせる応用力が無いんですね、わかります
652 名前：anonymous mailto:sage [2010/03/28(日) 13:20:11 ID:???]: >>640
だよな
アレで設定例が足りないって、どんな高度なお仕事をしているのやら
653 名前：anonymous mailto:sage [2010/03/28(日) 13:23:58 ID:???]: ソリューションのページのならそのまま使えるんじゃない？
netvolante.jp/solution/int/index.html
654 名前：anonymous mailto:sage [2010/03/28(日) 13:25:49 ID:???]: >>653
>>647はお気に召さないんだと。
655 名前：名無しさん [2010/03/28(日) 17:03:38 ID:a4ALfxsQ]: 他の業務用向けルータでも、サンプル config 公開している
所は無いだろ。
656 名前：anonymous mailto:sage [2010/03/28(日) 17:45:35 ID:???]: 書いてあっても必要最低限のものしか書いてなかったりするしな
フィルターの設定までガッツリ書いてくれてるのはここくらいなもん
657 名前：622 mailto:sage [2010/03/28(日) 17:57:23 ID:???]: なにやら盛り上がってますね。

>>625,627
RTX1100です。
帯域取れてるIPsec Tunnelのコンフィグ丸写しで、
Target[rtx_TUNNEL[10]]: \TUNNEL[10]:pubic@192.168.1.1:　としています。
MIBのOID指定では試してない（スキルが追いついてない）ので、
明日にでもプライベートMIBページと睨めっこしてきます。

（あまり関係ありませんが、1.3.6.1.4.1.1182.2.1.7.0（CPU 5min）は取れてます）
658 名前：anonymous mailto:sage [2010/03/28(日) 18:27:34 ID:???]: >>653
初心者には使えないだろう。
だから、ここにくるんだろうよ。
659 名前：anonymous mailto:sage [2010/03/28(日) 20:24:29 ID:???]: >>653
普通にネットに繋ぐだけでいいなら、そこのcase:4の例で十分だけどな
660 名前：anonymous mailto:sage [2010/03/28(日) 20:34:21 ID:???]: >>657
コミュニティ名はパスワードと同じなんだから晒すのはよくないよ。
661 名前：662 mailto:sage [2010/03/28(日) 22:20:59 ID:???]: >>660
一応晒し用に、一般的なIP＆コミュニティ名にしてます。
送信ホストも限定してますが、SNMPのコミュニティ名晒す危険性が
いまいちピンと来ていません。
むしろURL_FILTERで遮断した場合のリダイレクトページの方が
機種名そのものずばり特定されてどうかと思うのですが・・・

ってちょっと調べてみたら、もしかすると今のファームウェアではリダイレクト先を指定できる・・・？
知らん間に機能追加してくれるので、「この機種は未対応」で放っておけないので困りますね。
662 名前：anonymous@x239089.ppp.asahi-net.or.jp mailto:sage [2010/03/28(日) 23:16:47 ID:???]: >>648
おっと、西村京太郎先生の悪口はそこまでだ。
663 名前：anonymous mailto:sage [2010/03/28(日) 23:21:57 ID:???]: >>659
ＲＴＸシリーズで、Case4を使う目的のユーザーっているのかな。
netvolante.jp/solution/int/case3.html
（Case4なのに、case3.html）

多くの人は、ＶＰＮ目的が多いと思うけどね。
初心者向けに、GUI設定くらいサンプルに入れてもいいと思う。
初心者じゃなくても、便利だし。
664 名前：anonymous mailto:sage [2010/03/28(日) 23:45:18 ID:???]: >>663
ノ
腐ったルータ使いたくないって理由でRTX1000購入して、case4で使ってるわ
買ったの2003年だから、もう7年くらいになるか
665 名前：anonymous mailto:sage [2010/03/29(月) 00:25:38 ID:???]: >>664
7年前なら、高かったでしょう。

ちなみに、７年前には、ソリューションのページ、サンプルはなかったと思う。
netvolante.jp/solution/int/index.html

徐々にサポート充実してきたのは、ヤマハのいいところ。
666 名前：anonymous mailto:sage [2010/03/29(月) 00:27:16 ID:???]: 自分もRTX1000発売直後に買って使い始めたが、設定例集が付属してたからそれほど困らなかった。
今は紙のマニュアル付属しないんだな。
667 名前：anonymous mailto:sage [2010/03/29(月) 01:20:46 ID:???]: >>663
ウチの前任者それだわ。
家庭用でルータパンクしてて、RTX1100に。
お陰で俺がVPNラクに組めたｗ
668 名前：hage mailto:sage [2010/03/29(月) 01:38:53 ID:???]: RTX1100を傷だらけ本体のみジャンクで買った自分
設定例のページを1週間眺めて、なんとかNATの設定を書いて運用中
ISDNバックアップをプロバイダのダイヤルアップにしてるけど、
実際に稼働したことはまだ無い…＠CATV

CCNAは取ってないが、一度会社で取らされそうになって勉強したから、
設定の時には特に困った記憶が無いｗ
669 名前：hoge mailto:sage [2010/03/29(月) 06:04:47 ID:???]: RT１００の時代から
www.rtpro.yamaha.co.jp/
は、充実してたぞｗ

おまけにメーリングリストは他者とは比較にならないぐらい
開発者が出てきて直で話せた事も今のRTの礎だなｗ
670 名前：anonymous mailto:sage [2010/03/29(月) 10:54:40 ID:???]: NTTのN1200のファームウェアが
yahamaよりも新しいのが、公開されている。
ttp://www.ntt-west.co.jp/kiki/download/business/n1200/index.html

ファームウェア多重ができるんだから、試しに入れてみようと思ったら、
はじかれて入れることが出来なかった。
外見は同じでも、OEM向けってことで多少仕様が違うのかな。
(NECのIP38Xには、そのままyamahaのファームウェアが入るけど。)
671 名前：anonymouse mailto:sage [2010/03/29(月) 14:13:19 ID:???]: >>670
っていうかNECのシール剥がしたらYAMAHAのロゴ出てくるしなぁ
RTX1200も剥がせるのかな？
672 名前：hage mailto:sage [2010/03/29(月) 22:09:00 ID:???]: みかか印は、見た感じ剥がせないっぽ
673 名前：hage mailto:sage [2010/03/29(月) 22:26:47 ID:???]: 取引先がセンチュリーシステムズのルーターを導入しようとゴリ押ししてきた。
俺はヤマ派なの(と言うかヤマハ以外のコマンド知らない)でRTX1200を推した。

結局導入費用の安いFutureNetに決まったんだよorz
674 名前：_ mailto:sage [2010/03/29(月) 23:27:56 ID:???]: 岩通のRTV700もロゴ剥がせたなあ。
675 名前：rtx1200 mailto:sage [2010/03/30(火) 00:48:17 ID:???]: RTX1200を広域イーサ（NTT東ビジネスイーサ）に接続。
老朽化した既設他社ルータとの交換で、同等コンフィグとしてみました。

ip route default gateway 192.168.1.1
lan type lan1 100-fdx
ip lan1 address 192.168.200.1/24
lan type lan2 100-fdx
ip lan2 address 192.168.1.2/24
　　※細かなスタティックルートは除く

手始めに、RTX上からpingが、LAN2の対向ルータ(192.168.1.1)に通らない。
show status lan2 とすると、送信パケットが IPv6 のみ、
しかしすべて受信フレーミングエラーとなっている模様。

さてどうしたものか。
syslogをdebugでとり、ファームを10.01.11 -> 10.01.16 あげ、
IPv6を無効化あたりから挑戦してみるか、、、
676 名前：anonymous mailto:sage [2010/03/30(火) 01:15:08 ID:???]: >>675
とりあえず、YAMAHA＆広域イーサネットで探して出てきたやつ

netvolante.jp/solution/advanced/index.html
www.rtpro.yamaha.co.jp/RT/docs/example/backup/vpn_backup_example7.html
677 名前：675 mailto:sage [2010/03/30(火) 21:06:32 ID:???]: >>676
さんくす。そこのページで再確認しても問題なし。

いろいろ調べて、単に対向ルータのarpエージング時間が長くて古いmacを
覚えられてただけでした。。。　RTA50i電源ケーブルで首吊ってきま
678 名前：anon mailto:sage [2010/03/31(水) 09:42:25 ID:???]: Gratuitous ARP吐き出さないのかな?
679 名前：不明なデバイスさん mailto:sage [2010/04/03(土) 23:20:48 ID:???]: 以前ご相談しました624です。
これならできるVPNの本を読んでみるとBHR-4RVに物足りなさというか
せっかくだからYAMAHAのルーターの方がいろいろチャレンジできることが多くやりがいがあると思いました。
チャレンジしてみたくなったのでさっそくRT107eをヤフオクで手にいれてみました。
この間まで無線LANの設定に四苦八苦していた文系学生にどこまで出来るかわかりませんが
まずは自力で頑張ってみます。どうもありがとうございました。
680 名前：sage mailto:sage [2010/04/04(日) 01:55:03 ID:???]: www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_88.txt
Revision : 08.03.88
Release : Mar. 2010, ヤマハ株式会社

Rev.8.03.88 リリースノート

○RTX1100 Rev.8.03.88 からの変更点

■バグ修正

[1] LAN分割機能において LAN1.2, LAN1.3, LAN1.4インタフェースを使用した場合、通信
を行うことができなくなるバグを修正した。

↑
このバグで、どんだけ苦しんだか。
拠点まで急な出張。

サポーターは、「まあとにかく今ふぃ具出せ」とばっかり言うし。
（コンフィグいじってなくてファーム変えただけなのに）

新しいのでたからって飛びついてはいけませんね。
半年は待ちたいところ。
681 名前：anonymous mailto:sage [2010/04/04(日) 11:14:05 ID:???]: >>679
がんばれ。俺も文学部出身だが、
VPNを組むぐらいなら何とかなってる。

>>680
変えないといけない理由があったのならともかく、
安定して動いている物は、さわらないのが基本だと思うが。

それと、解決しないときにconfigを出すのは、当然じゃあなかろうか。
サポートはそれを元に、実機で検証するのだと思う。
ひょっとしたら、あんたのおかげでこのバグが見つかったのかもしれん。
682 名前：hoge mailto:sage [2010/04/04(日) 11:49:46 ID:???]: >>680
バグだったのかいっ
2月に1100入手して、最新版F/Wにアップデートしてから設定やってたら、
LAN分割すると必ず切れるんで、LAN分割使わないようにしてたのに…
半月分の苦労を返せって気分だ
683 名前：ano mailto:sage [2010/04/04(日) 12:57:35 ID:???]: >>680
じゃあそのバグ改修ファームも半年後に入れようね
684 名前：proxyarp>_< mailto:sage [2010/04/04(日) 13:23:22 ID:???]: RTX1200でVPN使おうとしてるんだが、ちと別の問題が生じたのでアドバイス求む。
開発業務の関係で、同じ物理LANの中で以下のアドレスが混在してるんだが、

１．192.168.1.x系（事務所内共通１）
２．192.168.2.x系（事務所内共通２）
３．192.168.3.x系（ある開発案件のための特別アドレス）

このうち１と２については RTX1200もIPアドレスを持っていて、
３はRTX1200には割当がなく、ごく一部の開発マシンのみが利用してる。
でRTX1200側ではVPNの都合で proxyarp on にしてる

この状態で、Windows7機が３番のアドレスを固定割当で使おうとすると…
Windows7：「Who has 192.168.3.xxx?」
RTX1200：「192.168.3.xxx is at [rtx1200のmacアドレス] 」

なんて会話が成立してアドレスが取得できなくなって困ってる。

WinXp機だと「Gratuitous ARP for 192.168.3.xxx」って感じで
RTX1200から応答されることもないので問題ないんだけども…

「物理的にLAN分けなさいよ」って話だとは思うんだけど、
ちと事情があって物理的な構成はこのまま何とかならないかと
685 名前：不明なデバイスさん mailto:sage [2010/04/04(日) 18:08:00 ID:???]: WindowsとRTXでちゃんとarp消している？
686 名前：proxyarp>_< mailto:sage [2010/04/04(日) 22:17:07 ID:???]: >>685 ども。arpテーブルクリアですか？
LAN上、VPN上に過去一度も使われてないIPアドレスを
何度も選びなおして設定してみてるんだけど症状変わらんのです

試した限り、 1.1.1.1 とか 223.223.223.223 とかを指定しても
必ず RTX が「それオレオレ」って返事しちゃいますね。

こちらで調べて理解したことは proxyarp on での動作仕様として
RTXが把握してないネットワークセグメントのIPアドレスに対する
who-has ?? にも自動代返することで proxy として成り立ってるぽいので
同じセグメントのアドレスをRTXにも振るか、proxyarp off するしかないかな…と。
687 名前：不明なデバイスさん mailto:sage [2010/04/06(火) 10:54:27 ID:???]: RT107eがとどいたのでさっそく設定してみました。
初期設定とプロバイダの設定をしてネットに接続できることと確認。
まずはNTPサーバーで自動同期するためにフィルタとやらの設定をしてみます。
自分で設定していくのってなんか育てていくような面白さがありますね。
688 名前：a mailto:sage [2010/04/07(水) 12:36:04 ID:???]: RTX1100を使ってマルチホーミングでLAN2 ISP1(PPPoE)とLAN3 ISP2(PPPoE)に接続し、
LAN1に繋いであるサーバをNATでWWWとストリーミングを公開しようとしています。
(ISP1,ISP2それぞれに固定IPを一つずつ取得しています)

このとき、経路の設定は下記のようにしようと思いますが、

ip route default gateway pp 1 hide gateway pp2 hide

ISP1側の固定IPアドレスで接続に来たパケットをISP1へ
ISP2側の固定IPアドレスで接続に来たパケットをISP2へ
の経路で返す設定は上記のip routeの設定のみでOKなのでしょうか？
689 名前：anonymous mailto:sage [2010/04/07(水) 14:54:35 ID:???]: hide って回線が接続されているかで、NATが有効かどうかではないのでは？
690 名前：a mailto:sage [2010/04/07(水) 15:02:50 ID:???]: NATの設定は以下のようになっています。

pp select 1
pppoe use lan2
～省略～
ip pp nat descriptor 1

pp select 2
pppoe use lan3
～省略～
ip pp nat descriptor 2

nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.0.1 tcp www

nat descriptor type 2 masquerade
nat descriptor masquerade static 2 1 192.168.0.1 tcp www

NATの設定だけで経路設定はOKでしょうか？
691 名前：名無しさん＠お腹いっぱい。 mailto:sage [2010/04/08(木) 23:57:58 ID:???]: >>679
>>687
がんばれ(^^)
692 名前：anonymous mailto:sage [2010/04/09(金) 10:01:08 ID:???]: RTX-1500(8.0.3.87)でトラぶっているのでお知恵を貸してください。
下記のような障害の場合、設定のどの部分をみたらいいでしょうか？
また、なんでもいいのでアドバイスあればよろしくお願いします。

【環境、設定】
・BフレッツのOCNのIP8で契約で、PPPoE接続
・LAN1：社内LAN、LAN2：DMZ、LAN3：ONU直結(unnumberd)
・IPマスカレード利用(社内LAN<->外部のみ、PP1で適用。nat descriptor type 1 masquerade)
・動的フィルターと静的フィルターを適用。侵入検知は停止
・IPマスカレード(NATテーブル)のセッションタイマー、動的フィルター(セッションテーブル)の
セッションタイマーは共にデフォルトの900秒
・利用PC台数は50台程度

【障害】
・外部のサイトにFTPやWEBブラザなどでファイルのアップ/ダウンロードしたり、
　動画サイトを視聴したりするとCPU使用率が100%近くなり、インターネットとの
　接続が不安定になる。外部サイト、クライアントPCによる依存性はない
693 名前：anonymous mailto:sage [2010/04/09(金) 10:02:24 ID:???]: >>692 の続き

【RTX-1500のCPU過負荷の時の状況】(show techinfoで取得)
・CPU使用率は100%近辺、メモリ使用率は40%
・NATテーブルのエントリ数は700-800ぐらい
・通信のセッションテーブルのエントリ数(=動的フィルター管理対象セッション数、
　show ip connection)は400ぐらい
・過負荷時に、多数のrejectログが出力される(10行/秒)
・rejectログに出力されたコネクションは、NATテーブルにエントリはあるが、セッションテーブル
　のエントリーには存在しない。

【障害原因の推測】
・rejectログのコネクションは直前まで動的フィルターで管理されていたセッションであったが、
　何かしらの要因で動的フィルターのセッションエントリーから削除されてしまった。このため、
　ノーマルパスでパケットがCPU処理されて、負荷が上がってしまう

【疑問・気付いた点】
・IPマスカレードのNATテーブルのセッションタイマーと、動的フィルターのセッションテーブルの
　セッションタイマーは同じ期限のはずなのに、どうしてセッションテーブルのエントリだけ削除されて
　しまうのか

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef