YAMAHA業務向けルータ ..
49:anonymous@z84.58-98-114.ppp.wakwak.ne.jp
09/07/17 09:54:08 9nbdAMGS
RT RTXシリーズで ipip トンネルの場合フィルタって関係しましたっけ?
なんか、過去にフィルタがあっても、すんなりつながった記憶が・・・・
Yamahaのサイトで見てもフィルタがないか、相手側WAN側アドレスからの通信をとおす単純な
フィルタを設定している例しかなかったです。
URLリンク(netvolante.jp) (フィルタなし)
認証もセッションもなにもないipipトンネルでお互いトンネルの終端を tunnel endpoint address
で指定するだけで通信できるようになるとすると怖い気がしますね。
50:anonymous@z84.58-98-114.ppp.wakwak.ne.jp
09/07/17 09:57:17
以下コンフィグです。
pp select 1
・・・・・・・・
ip pp secure filter in 1020 1030 2000
ip pp secure filter out 1010 1011 1012 1013 3000 dynamic 100 101 102 103 104 105 106 107
・・・・・・・・
tunnel select 1
tunnel encapsulation ipip
tunnel endpoint address 10.112.***.1 10.112.***.2
tunnel enable 1
・・・・・・・・
51:anonymous@z84.58-98-114.ppp.wakwak.ne.jp
09/07/17 09:58:07
ip filter 1010 reject * * udp,tcp 135 *
ip filter 1011 reject * * udp,tcp * 135
ip filter 1012 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 1013 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 1014 reject * * udp,tcp 445 *
ip filter 1015 reject * * udp,tcp * 445
ip filter 1020 reject 192.168.0.0/24 *
ip filter 1030 pass * 192.168.0.0/24 icmp
ip filter 2000 reject * *
ip filter 2001 pass * * tcp 1723 *
ip filter 2002 pass * * gre
ip filter 2003 pass 192.168.0.111 * tcp,udp * *
ip filter 2004 pass 192.168.0.111 * icmp
ip filter 3000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * netmeeting
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
52:anonymous
09/07/17 10:06:47
>>49
IPv4はip tunnel secure filter
IPv6はipv6 tunnel secure filter
53:anonymous@z84.58-98-114.ppp.wakwak.ne.jp
09/07/17 17:36:59
レスありがとう
pp へのフィルタが ipip トンネルの成立を妨害するのはどのような場合かということです。
ip filter 10001 reject 【相手側ルータのグローバルアドレス】 *
ip pp secure fileter in ....... 10001
とかが明示的に設定されていないなら、というか、普通は設定しないと思いますが、
tunnel endpoint address を双方に設定するだけで通信ができてしまうのでトンネルの
乗っ取りが簡単にできてしまうように思えます。見ているのは ip ヘッダだけでしょうから。
54:anonymous
09/07/17 19:20:35
>>49
> なんか、過去にフィルタがあっても、すんなりつながった記憶が・・・・
たぶん、記憶違いでしょう。その折はPPTPをご利用だったのでは?
出してくださったconfigで、IP in IPは繋がらないはずです。
> 認証もセッションもなにもないipipトンネルでお互いトンネルの終端を tunnel endpoint address
> で指定するだけで通信できるようになるとすると怖い気がしますね。
そのページは、フレッツサービスを使った構成例ですね。
config上にフレッツ・グループアクセスと明記されてますし、
フレッツ・グループアクセス、または、フレッツ・グループ
というサービスについて調べてみてはいかがでしょう。
御懸念がすこし減ると思います。
55:anonymous
09/07/17 20:27:00
>>49
L2TPやIPIPは安全なネットワーク内いに高速で独立したネットワークを構築する時に使います。
安全なネットワークに構築する場合が殆どですので、乗っ取りとかあまり考えない。
* 例えば同じ会社内で本社の経理と支社の経理部門だけ独立したネットワークにしたい等。
乗っ取りとか気にしていると言う事はVPNの質問じゃないのですか?
56:sage
09/07/21 10:49:17
>>53
IPヘッダ内のSource-IPが偽装されたと仮定して
それで何か問題が起きるのか?
戻りのパケットが偽装元に届かないので
トンネルが掘れないだろーが
57:いぇす!ナナシス!
09/07/21 21:41:10
せいぜいRST投げまくってDoSぐらい?
58:anonymous@i220-109-13-187.s02.a005.ap.plala.or.jp
09/07/31 20:58:44 IRYMjRn8
おさわがせしました。ipsec と違って any な設定はできず、相手側が
お互い固定アドレスである必要があり、かつ、フィルタに
ip filter 10001 pass 『相手側IPアドレス』 * * * *
pp select 1
ip pp secure filter in 10001 ......
を設定しなければいけないようです。依然繋がったようなきがしたのは
icmp だけでチェックしていたので、到達性があるように思ってしまったのですが、
いかなるtcp ポートにも、フィルタなしにはアクセスできませんでした。
ipipトンネルはipsecより若干速いようでしたが(RTX1100で)
セッション断を検知できない ということもあり、IPSECファストパスに対応した
機器なら、たとえグループアクセス内でもipsecをつかうほうがよいみたいです。
59:anonymous@p4054-ipbf507souka.saitama.ocn.ne.jp
09/08/01 19:09:26
pptpで繋いだPCから
telnetでRTX1100に接続させると
異常に反応が悪いのは
なんででしょう?
トンネルのmtuは1280
接続させているPCはXPPRO
ローカルからのtelnetは問題なし
60:名無しさん
09/08/01 20:17:44 1Hu1m+B8
>>59
暗号化・復号化のプロセスが有るからじゃないの??
Bフレで、PPTP使ってファイル共有してるけど、結構時間掛かるよ。
58i 同士でグループアクセス使って、IPIPトンネルすれば良くなるのかな??
61:不明なデバイスさん
09/08/01 21:04:04
>>59
内部からってのは同じPCなのかな?XPのFWとか設定とかそういう話だと思うんだけど。
とりあえず内部でPPTP張って比較してみたら?
あとリモート側のtelnetサービス有効にするだけでXPへ入れるから、逆方向にアクセスして確認してみるとか?
62:anonymous
09/08/01 21:27:59
>>59
WindowsとRTXのMTUをトンネルと一致させてみれば?
単純に言って、許容量が1280しかないトンネルに1500くらいのパケット流しておきながら
快適に反応しろってのは酷だろ?
63:anonymous@i219-167-232-193.s02.a005.ap.plala.or.jp
09/08/01 21:42:14 Yp1Ad8YD
それよくやりますけど、一度固まって、
「タイムアウトのため・・・・」なんたらかんたらでコマンドを受け付けなくなり
save できなくなり、cold start して 設定を復元するハメに・・・・・
サポセンも、事務的な女が出て、そんな症状は報告がないとか流しやがった。
それ以来トラウマになり、PPTPで入って、そのルーターを設定することはしないようにしている。
やるなら、SSHを有効にして、WAN側から入って設定するのがいいと思う。
64:anonymous
09/08/01 23:13:52
>>61
>とりあえず内部でPPTP張って比較してみたら?
それは試していませんでしたので、やってみます
>>62
言い忘れてすんません
XPもレジストリ弄ってトンネルだけ1280にそろえてありますが
状況は変わりませんでした。
不思議なことに、毎回反応が悪いわけじゃなくて
およそ50%の確率で発生する。
まずは、ローカルからVPN通して
PPTPをデフォルトルートで繋いで試せば
切り分け出来そうなので試してみます。
お騒がせしました
65:anonymous
09/08/01 23:19:19
その時に、ログになにか出てませんか?
pptpのパケットの順序が順番どおりじゃないのが先に来てるというログとか。
66:anonymous
09/08/01 23:37:08
>>64
まだ居るか?
恐らくパケットのフラグメントが問題だろうから、
RTX1100がPPTP Serverになっているなら、以下のコマンドをRTX1100につっこでみてくれ
pp tunnel tcp mss limit auto
Webからは設定不可能なのでCUI上で投入のこと
67:anonymous
09/08/01 23:51:36
>>64
スマン訂正
× pp tunnel tcp mss limit auto
○ ip 同上
コマンドリファレンス P.92
68:anonymous
09/08/02 00:35:54
>>66
ありがとう御座います。
実はそれも疑ってすでに設定済みでした m(_ _)m
pp select anonymous
pp bind tunnel1
pp auth request mschap-v2
pp auth username ***** ******
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.1.70-192.168.1.90
ip pp mtu 1280
pptp service type server
pp enable anonymous
tunnel select 1
tunnel encapsulation pptp
pptp tunnel disconnect time off
pptp keepalive use off
ip tunnel tcp mss limit auto
tunnel enable 1
ローカルから繋いでtelnetかけてみましたが
同じ状況でした・・・・orz
VPN接続は1台のみ接続、ローカル無し(テストなので・・)
なんだか分からなくなってきた orz
69:anonymous
09/08/02 08:32:22
通信が不能になったときのRTXのログは?
70:anonymous
09/08/02 12:04:59
MTU弄らない方が良いんじゃないの?
XPはデフォルトにして no ip pp mtu 1280
にするとか
特にXPのMTUは99%の人がデフォルトのまま運用していると思うからね。
71:anonymous@z29.219-103-237.ppp.wakwak.ne.jp
09/08/03 17:55:09
ルーター設定するなら PPTPはやめとけ。
どうしてもやるというなら、内部のPCにリモートデスクトップ接続して
そっちからTELNETしたほうがいいと思うぞ。
PPTPが不安定になって通信きれても、RDPが切れるだけで、
TELNETクライアントとRTXは繋がったままになっている。
ルータを直接WAN側から設定するなら、SSH
遠隔地のルーターをトンネル経由で設定してはまると
最悪現地に出向くことになる。
72:不明なデバイスさん
09/08/03 18:59:22
>>71
意味不明。
わざわざ重いリモートデスクトップ経由なんて意味不明としか思えん
XPPro以上からTELNETサーバー入っていることしらんのか?
というかVPN(トンネル)使わずリモートデスクトップ使うのか?セキュリティー無視だな
>最悪現地に出向くことになる。
ISDN刺しておけば例え設定初期化しても問題ないんだが。
73:anonymous@z29.219-103-237.ppp.wakwak.ne.jp
09/08/03 19:53:24
説明が不足して誤解を招いたようだね。
PPTPで接続してから、LAN側のPCにリモートデスクトップで入り、
その中でコマンドプロンプトまたはハイパーターミナルを立ち上げる。
XPにはTELNETサーバーがあるから、TELNETではいれば軽いというのは
そのとおりだが、ドメインポリシーでTELNETサーバーはそもそも有効にできないし、
セキュリティというならRDPで入ったほうがまし。VNCならともかく、
RDPが重いとは思わないけどね。28.8kbpsのモデム環境でさえ設定しだいでまともに動くので。
リモートのルータは remote setup bri1 0123457890/SubAddr
か SSH で設定し、PPTPで入って、直接そのルーターを設定することは自分はしない。
出来るんだろうけど、設定中に固まる現象はよくある。
なので、どうしてもPPTPで設定しなければならないなら、PPTP接続してからLAN内のPCとRDPのセッションを確立
しておいて、そのPCからTELNETクライアントまたはハイパーターミナルでシリアルポート
から設定するようにすれば、PPTPが切れても再接続し、すぐに設定を継続できる。
PPTPで直接入って、TELNETがぶち切れると login timer の時間が経過しないと再接続できない。
さらに、上述の固まる現象から、save とか一切できなくなり、cold start するしかなくなった。
tftp で復元すら受け付けてくれない。こうなると ISDNも意味がなくなる。
以来、トラウマとなり、ルーター設定はSSH か remote setup のみです。
トンネル経由で直接ルーターを設定するのが恐怖になってしまった。
74:anony
09/08/04 00:15:53
最近のファームなら複数TELNETセッション機能が使えるから
途中で切れても回避可能だけどね。
事前に設定しておく必要はあるけど。
URLリンク(www.rtpro.yamaha.co.jp)
75:anonymous
09/08/06 20:16:03
rtx1000なんだけど、lan1に192.168.0.0/24でlan2にCTUつないでインターネット。
これはぜんぜん問題ないんだけど、lan3に外部公開用のサーバつないでlan1からlan3にはアクセスできるけど、
lan3からlan1にはアクセスできないようにしたい。
どのようにすべきかヒントでもいいんでくれないっすか?
具体的には、とある事情でlan3のサーバにopenvpn入れて、外からvpnつないでlan3のサーバの共有ファイルをみにくるんです。
で、lan1のネットワークからもその共有ファイルをみたい。
でも、lan3のサーバにつないだvpnのユーザにはlan1に入らせないようにしたいんです。
どなたかお願いします。
76:anonymous
09/08/06 20:41:41
>>75
> lan3に外部公開用のサーバつないでlan1からlan3にはアクセスできるけど、
> lan3からlan1にはアクセスできないようにしたい。
つまり、lan1に対してtcp,udpでダイナミックフィルターを適用すればいいってことにならないか?
URLリンク(netvolante.jp)
と
URLリンク(netvolante.jp)
を見てフィルター書け
77:76
09/08/06 21:00:44
>>75
ありがとう
LAN1に対してなの?
あとサーバがFTPとかWWWじゃないからどうしたらいいのやらと。
78:76
09/08/06 21:03:29
あと、ごめん、言葉たりなかったけど
最初は、lan1とlan3でルーティングのフィルタかくのかな?とか
OUTを全部許可してINを全部リジェクトするのか?とか
色々考えたらわけわかんなくなった(^_^;)
79:anonymous
09/08/06 21:08:20
case4の場合を想定して、公開サーバ=openvpnサーバってことになるんじゃないの?
冷静に行こうぜ
80:anonymous
09/08/06 21:46:10
>>75を読む限り、構成は正にcase4そのままで、サーバがopenvpnに変わっただけ。(開放するポート番号は貴殿にしかわからない)
それに、DMZ ---> LANはNG、DMZ <--- LANはOKの通信制限を加えるだけだから、
ip filter dynamic <number> <LAN側IP/MASK> * tcp
ip filter dynamic <number> <LAN側IP/MASK> * udp
って書いてLAN側I/Fに適用しておけば良くないか?
静的フィルタがいいなら
ip filter <number> reject <DMZ側IP/MASK> <LAN側IP/MASK> udp,tcp * *
っていうのもアリだと思うが。
81:anonymous
09/08/06 22:04:00
>>80
そのスタティックフィルタでは無理
それやるとLANから鯖にsshしたとき戻ってこない
82:75
09/08/07 08:14:42
>>79-81
ありがとうー
CASE4って、CASE5の「自社サーバを公開する」のことかな?
単純に
>ip filter dynamic <number> <LAN側IP/MASK> * tcp
>ip filter dynamic <number> <LAN側IP/MASK> * udp
でいいのかな。
とりあえず書いてみるっす
83:anonymous
09/08/07 21:41:37 4c7qRDrx
RTX1200でもリクエスト数が多すぎて耐えきれない場合、
どうしたらいいかな?
RTX3000に替えても解決するとは思えんし。
84:anonymous
09/08/07 22:18:02
>>83
>>35
85:anonymous
09/08/07 22:40:52
アクセス多いんだったらNATなんてやめるのが一番
86:あ
09/08/07 22:43:35
誰もNAT使ってるなんて一言も言ってない
87:anonymous
09/08/08 00:33:14
LANセグメント(255.255.255.0)の適当なところにルーターを繋げた場合
ルーターの設定によっては繋げた瞬間にそのセグメントを乗っ取る事って出来ない?
実際乗っ取ったような現象が発生したので、原因がわからんのです。再現するわけにもいかないし・・・。
心当たりのある設定はルーターのデフォルトゲートウェイを繋げていないLAN2に設定してたことです。
*.*.*.1 にciscoのゲートウェイが居る状態でRTXのLAN1(IPは.156)を事務所NWに接続しただけで
そのセグメントにあるPCのリクエストがLAN2に行くってことはあるのでしょうか?。
88:anonymous
09/08/08 09:41:42
>>87
有る
RIPとメトリック値を確認しよう。
89:anonymous@s155.IohsakaFL66.vectant.ne.jp
09/08/08 21:33:10 TYNND6X4
会社の回線をeo光のギガに変更しました
せっかくなので、RTX1200を採用
RTX1100の設定をそのまま転送したのですが
セキュリティ診断ってのをしてみるとボロボロでした・・・
修行しなおしてきます
90:アノニマス
09/08/09 11:04:09
ところでrtxの設定いじるときや、設定起こすときって、みんなどうやってコマンド書いてるの?
修正するたびにtelnetなりsshで入ってコマンド書いて、save?
もしくはconfigをローカルで書いて、変更するたびにtftpでput?
91:anonymous
09/08/09 13:12:36
>>88
まじかー、返答ありがと。
別のセグメントへの通信が出来なくなるのは分かったけど、
同一セグメントでも発生して居るメカニズムがいまいち分からん・・・・
勉強が足りなさすぐるorz
92:anonymous
09/08/09 16:38:45
ごめん、素人質問で悪いんだけど。
ip pp secure filter 〜〜と
ip lan1 secure filter 〜〜で
inとoutがなんか逆なの?
inってのがそのポートに入ってくるので、outってのがそこから出て行く・・・と
思ってたんだけど、どうも悪戦苦闘しているうちにそんな気がしてきた。。。
もしヤマハのサイトとかにそんな記述あるページあるなら教えてくれたらありがたい。
93:anonymous
09/08/09 17:16:49
● in.............................入力方向のフィルタ
● out.......................... 出力方向のフィルタ
と書いています。コマンドリファレンス読んでください
YAMAHAだけではなくルーター全般は
ルーターに向かって入ってくるパケットがIN
ルーターから出て行くパケットがOUT
となっていますWANとLANでは方向が逆になるので混乱しないようにね
外部→WAN(IN)ルーターLAN(OUT)→PC
外部←WAN(OUT)ルーターLAN(IN)←PC
94:anonymous
09/08/09 17:34:58
>>93
> 外部→WAN(IN)ルーターLAN(OUT)→PC
> 外部←WAN(OUT)ルーターLAN(IN)←PC
そういうことだったのか!
「入力」「出力」という字面だけ見てたから混乱してしまったみたい。
>>80なんだけど、試行錯誤して
LAN1→LAN2はOK
LAN2→LAN1はNG
としたかったので、
ip lan1 address 10.10.0.1/16
ip lan2 address 10.20.0.1/16
ip lan2 secure filter in 2000 3000
ip lan2 secure filter out 3000 dynamic 200 201
ip filter 2000 reject 10.20.0.0/16 10.10.0.0/16 udp,tcp * *
ip filter 3000 pass * * * * *
ip filter dynamic 200 10.10.0.0/16 * tcp
ip filter dynamic 201 10.10.0.0/16 * udp
としてみました。(もちろんPP側にもフィルタかけた上で)
一応LAN2からは外部にも出れるし、LAN1の共有フォルダとかにもアクセスできないから
これでいいかなと思うんですけど、いかがでしょ?
95:anonymous@FLH1Aaq025.oky.mesh.ad.jp
09/08/10 10:18:44
>>90
一番初めはコンソールで入力だね。<きれいなConfigかけるし
修正は対象が少なければTelnetで手書き、多ければTelnetで張り付け
でも、修正なんてルートやトンネル増減がほとんどだから、手入力で十分
IPS変更とかは遠隔でせずに、新しい設定を入れたルータを送付して交換
切り戻しを考えるとこれが一番楽かな
やり方はそれぞれだから、自分に合った方法を見つければよい
96:anonymous@i121-112-91-97.s11.a028.ap.plala.or.jp
09/08/11 15:36:37
さるぽ
97:NoriP-YakuP
09/08/11 15:39:49
>>96
ぱっ!
98:anonymous
09/08/13 00:26:28
こんな時間にココで聞くのは、スレ違いかもしれませんが
RTX1100とBRC-14VをIPSECで相互接続させる
設定方法をご存知の方、いらっしゃいませんでしょうか?
双方動的IPでddnsを使っているのですが
どうにも繋がりません・・・
当たり前でしょうが
RTX1100同士の接続と問題なく繋がったのですが
訳合ってBRC-14Vを使わないといけないことになりました orz
RTX1100は接続先にddnsを使っている場合は
メインモード動作でOKでしたよね・・・?
99:anonymous
09/08/13 09:20:23
>>98
planexの機種は忘れました、rtx1000の頃です。つなげるのは大変でした。
どうもplanex側が死活監視してないようで、ipsec refresh saすると
すぐにつながるときとつながらないときがありました。
当時の結論として、安定した通信は無理、としました。
ddnsでもメインモードできるはず
とりあえず、細かなパラメータ合わせで試行錯誤してください
デフォルト値をあてにせず明示してください
100:anonymous@s155.IohsakaFL66.vectant.ne.jp
09/08/13 13:17:57 kwLHwP+d
先日、メーリングで情けない奴が質問してたよな
スキル不足過ぎて、何生意気にRTX1200購入してんだよって思ったわ
101:_
09/08/13 13:31:08
俺にくれよと
102:anonymous
09/08/13 17:32:02
>>100
そんなことをここで言うヤツも情けないけどなwww
103:anonymous
09/08/13 17:35:34
>>100が恥ずかしいのはほっといて、
IP電話端末になれるRTX系って無いの?
104:anonymous
09/08/13 17:51:14
>>103
無いし、今後も出ないだろうな
俺がヤマハに求めたいのはアナログ電話機(RTV700はISDN電話機)
を繋ぐ現在の方法よりも、AsteriskやNTT東西ひかり電話HGWのように
SIPプロキシ機能を実装してIP電話機を多数収容できるIP-PBX機能だな
105:anonymous
09/08/13 17:58:17
それはアレクソンに任せた方がいいと思う
106:anonymous
09/08/17 07:25:06
ニタはなんであんな偉そうなの?
107:anonymous@58x157x24x205.ap58.ftth.ucom.ne.jp
09/08/26 16:25:51
1200って、nat descriptor masquerade ttl hold が無くなってるのね。
NATセッション数の上限が増えたから、廃止されたって認識でいいのか?
108:anonymous@z5.124-44-183.ppp.wakwak.ne.jp
09/08/27 22:59:50 /EzIf5NS
RTX1100なのですが。
以下のようにLINK DOWN とLINK UP を繰り返しています。
まず、何から調べたらよいでしょうか。
お願いします。
--------------
2009/08/27 22:46:05: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:46:05: LANC1: link up
2009/08/27 22:47:32: LANC1: PORT1 link down
2009/08/27 22:47:32: LANC1: link down
2009/08/27 22:47:35: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:47:35: LANC1: link up
2009/08/27 22:49:02: LANC1: PORT1 link down
2009/08/27 22:49:02: LANC1: link down
2009/08/27 22:49:08: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:49:08: LANC1: link up
2009/08/27 22:50:41: LANC1: PORT1 link down
2009/08/27 22:50:41: LANC1: link down
2009/08/27 22:50:44: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:50:44: LANC1: link up
2009/08/27 22:51:41: LANC1: PORT1 link down
2009/08/27 22:51:41: LANC1: link down
2009/08/27 22:51:44: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:51:44: LANC1: link up
2009/08/27 22:53:14: LANC1: PORT1 link down
2009/08/27 22:53:14: LANC1: link down
2009/08/27 22:53:20: LANC1: PORT1 link up (100BASE-TX Full Duplex)
2009/08/27 22:53:20: LANC1: link up
109:名無し
09/08/27 23:11:27
省エネしてるんじゃない?
110:anonymo
09/08/27 23:37:46
>>108
・リンク先の端末(かHUB)
・100BASE Fullになってるが、これを手動で色々指定してみる
・syslog debug on
・tcpdump
・ケーブル変えてみる
111:anonymous
09/08/28 08:00:07
ISDNケーブルを使ってしまったとか?
112:anonymous
09/08/28 08:00:33
>>108
110のいうように、モードの不一致(片方autonego、片方固定)も疑ってみる。
ケーブルやポート自体を変えてみる。1100あたりでしたら、
同梱の白ケーブルを使ってませんか。それはISDN用です。
ふつうの"市販のcat5e"ケーブルを使っていても、
通信量の多いときにリンクがフラップするこの現象はたまにあって、
そのときも同様に、ケーブルをかえると治まってました。
確証はないけど、品質のあやしいケーブルはたまにあると思ってます。
113:anonymous@123.169.138.210.bf.2iij.net
09/08/28 10:35:57 uBUSy0YD
108です。
みなさんありがとう!
LANの先のHUBが異常のようでした。
HUNを取り替えたらDOWNしなくなりました。
助かりましたm(_ _)m
114:anonymous
09/08/28 23:49:18
>>108
参考にならないかもしれませんが・・・
以前直下にPLANEXの安い無線ルータ(APモード)を接続していたとき同じような現象でした。
ちゃんとした無線APに変えたら出なくなったので、
安かろう(以下略)なのかと思ってました。
115:anonymous
09/08/28 23:50:39
ぜんぜん更新せずに書き込みしました。汚してすみません。
116:anonymous@EM114-48-183-39.pool.e-mobile.ne.jp
09/09/07 19:33:43
RTX1200でBフレ2回線(1回線実測70M)でRTX1200に2回線接続して
140Mの速度で使うことはできますか?
117:anonymous@y235083.ppp.asahi-net.or.jp
09/09/07 20:57:40
マルチホーミングでけんのか?
118:anonymous
09/09/07 21:01:56
てか、一本のBフレならダメだろ。
二本Bフレ引いてるなら出来るんじゃね?
119:anonymous
09/09/08 00:41:08
B-PONだった頃は2回線引いても食い合うだけで意味無かったけど、近頃はちゃんと帯域増えるのかな。
バランスのさせ方が難しいと思うけど。
120:anonymous@usr005.pial011-01.wpa.im.wakwak.ne.jp
09/09/08 01:58:14
ファミリは無理。
ベーシックなら「収容別にして!」と強くいうと
違うルータに入れてくれる時もある。
121:anonymous
09/09/08 22:20:32
NTT側の収容別にしないと、速度でないの?それってベーシックの意味無いような。
その理屈だと、全く関係無い第三者のベーシックと同じルーターに入っただけで、速度落ちる事になりそうだけど。
122:anonymous
09/09/09 08:59:10
>>121
ベーシックは過去の遺物。
おれもベーシック使っていてどうしても速度出ないから
ネクストファミリにしたら速度倍になった。(30→70)
ネクストなら100Mにまとめる事は無いからファミリ2本でも速度改善可能性あり。
123:anonymous@usr005.pial011-01.wpa.im.wakwak.ne.jp
09/09/09 13:16:37
>>121
100Mのベーシック数十回線を、NTT局内で100Mで束ねてるから速度がでないのよ。
ネクストはこれが10Gになってるからネックにならない。
124:anonymous
09/09/09 13:28:43
それってほとんど詐欺に近いような…。局まで独占してても意味無いじゃん。
ウチもベーシックだけど、見直そうかな。
125:anonymous@m008081.ppp.asahi-net.or.jp
09/09/12 20:56:54 3YHyH9hN
現在、RT107eで本社と店舗をインターネットVPNを構築していますが、この度、
新店開店につき、同じようにRT107eを設置して、本社との間でインターネットVPNを
構築したいのですが、
・新店のRT107eのIPSEC設定は既存店の設定と全く同じで問題ないですか?
・本社のRT107eに何か設定の追加は必要でしょうか?
教えてください。
126:anonymous
09/09/12 23:13:56
>>125
だいたい一緒じゃない?
IPアドレスとかをちゃんと変えたらいけるでしょう
ま、これを見てみて
URLリンク(netvolante.jp)
127:_
09/09/13 00:47:27
>>125
強いて言うならIPsecの対地数6を超えていないかどうかくらいじゃない?
128:anonymous
09/09/13 01:52:17
IPsecにてWOLを使いたいのですがIPsecはブロードキャストを受け付けないとのことで
クライアントからWOLを送信出来ません。
GRE over IPsecとやらが出来れば出来る様なことが書いてありました。
現在はPPTP接続でWOLを送信して起動させています。
出来ればIPsecのみでWOLを発射したいと思っています。
設定例を見てみてはいるのですが無い様なのですが、
もしIPsecでWOLをする場合にはこのルーターは静的arpを固定しなければならないのでしょうか・・・?
129:不明なデバイスさん
09/09/13 16:57:04
>>128
環境がよくわからないが、RTXに起動したいPCぶら下っているんですよね。
パケット飛ばさずRTXからWOLを発行したらいいんじゃね
130:128
09/09/13 17:18:14
>>129
仰るとおりです。
RTXから飛ばせばWOLは出来るのですがMACアドレスの記入が大変なので
WOL送信ソフトから送信したいのです・・・
131:不明なデバイスさん
09/09/13 17:45:39
>>130
私はBATファイルで1クリック起動だけど。
132:128
09/09/13 18:03:01
>>131
その手がありました!
ありがとうございます。
それにします。
133:125
09/09/15 22:17:48 MKQLE0x8
>>126,127
アドバイスありがとうございました。無事VPN開通しました。
もう一つ教えて下さい。
現在、FTP通信やVPNを利用しての本部サーバーへのアクセス等はできて
いるのですが、今回新たに導入したアプリが通信に全銀TCP/IPを使用
しておりまして、本部へデータを送るのですが、これが繋がらないのです。
店舗→本部へ全銀TCP/IPで通信するのに、RT107eに対して何か特別な
(許可)設定が必要なのでしょうか?
フィルター設定はデフォルトのままです。
134:不明なデバイスさん
09/09/16 01:32:42
>>133
デフォルトのフィルター設定なんてないと思うのですが、、、
通信をフィルタしてるならば、許可追加は必要でしょうね。
TCPのポート5020が一般的みたいですが、アプリの設定で変更されているかもしれません。
135:アドミン
09/09/16 08:57:53
店舗に全銀へのルートが設定されていますか?
136:anonymous@i118-21-139-83.s30.a048.ap.plala.or.jp
09/09/16 17:45:50 LvCP0UDs
TX1200を使っているのですが、同一ネットワーク上で
MACアドレスによって使用するゲートウェイを変えるといった
設定は可能ですか?
lease type を bind-only にし
同一ネットワーク上にdhcp scopeを2つ割り当てようとしたのですが
> エラー: この設定ではDHCPは使えません
となり設定することができませんでした。
137:anonymous
09/09/16 19:47:04
>>136
dhcpは必須なの?
138:136
09/09/16 23:23:23 DNqiZ6nn
>>137
扱いたい機器の中に、DHCPでないとIPアドレスが設定できないものが
あるのでDHCPは必須です。
特定機器のMACアドレスからの要求にだけDHCPで答えて、
それ以外のPCは手動設定でもよいのですが、MACアドレスの一覧が
手元にあるのと、台数が多いことから可能であれば
RTX1200で管理したいと考えております。
139:137
09/09/17 00:50:13
>>138
やったことないけど
RTX1200にもう一つのネットワークのアドレスを
セカンダリに1個固定で割り当てたら出来るかも?
それか
MACアドレス指定配布なら
禁断の同一ネットワーク 2つDHCPサーバとか(笑)
もちろんそれもやったことないっすけど…
140:anonymous
09/09/17 13:50:21
>>136
スマートな方法じゃないけど
・dhcp scope bind でMACアドレスに対して、固定的にIPアドレスを振る
(連番の方が、あとの設定が楽)
・ip route でIPアドレスごとにゲートウェイを設定できるので、それで経路を設定してやる
もしくは
・そのIPアドレスに対して、フィルターを作る。(通すためのフィルターね)
・ip route で、フィルターに対してゲートウェイを設定できるので、それをつかう。
ってのはどうだろう。
141:an
09/09/17 14:15:37
コリジョンが発生しているか?確認したいんですが
Ciscoでいうshow interface ethernet
の
show status lan1をやっても
特に表示されないんですが
コリジョンカウンタ?を表示するコマンドないですか?
142:anonymous
09/09/17 18:15:13
>>141
詳しくないんだけど、全二重は、原理的にコリジョンでないんじゃなかったっけ?
143:不明なデバイスさん
09/09/17 23:17:40
>>141
其のコマンドであっていますよ。
たしかコリジョンはパケットエラーとしてカウントするはずだよ。
しかし>>142さんの理由から半二重の時に限るはず。
144:aaan
09/09/18 11:59:49
>>143
YAMAHA側が10MFull指定なんですが
相手側がautoの安いスイッチハブなんで
どういう状態になっているか確認したいんです。
パケットエラーって
Non support packet received
ですか?
145:不明なデバイスさん
09/09/18 14:10:08
>>144
矛盾しているよ
YAMAHAで全二重指定(固定設定か?)しているんだから半でリンクしません、
したがってでコリジョンを調べれない。(コリジョンが発生しないはずだから)
上の人のレス理解していますか?
146:anonymous
09/09/19 00:31:35
片側を全二重で固定し、もう片側がAUTOの場合、
AUTO側の機器によっては半二重と思ってリンクしてしまう物もある。
この場合、全二重側機器ではコリジョンがエラーパケットに見える。
147:あのにます
09/09/19 19:25:55
>>146
半二重と全二重の機器を繋いだら通信できると思うがエラーが多すぎで通信にならないよ。
>>143
そういう状態ならコマンドで確認しなくても劇的に遅くなると言うか通信出来ない状態になるから
148:anonymous@d241.FtokyoFL33.vectant.ne.jp
09/09/22 23:22:20
YAMAHAのRT58iルータ使ってるんだけど、BitCometっていうツール
使ってると途端に回線が不安定になるんだけどどうすればいいんだろ?
今まで使っていたルータではそんなことなかったのに。ポートも空けてるし
だれか教えてください
149:anonymous
09/09/23 12:08:51
>>148
プロバイダーで規制されたんじゃね
または速度上がってPCのスペックが追いつかないとか。
まあどっちにしろP2Pを止めればすむ事だ。
150:anonymous@p2-user: 48959 p2-client-ip: 220.100.28.54
09/09/23 16:33:10
>>148
show nat descriptor address してみる。
151:anonymous
09/09/24 13:36:40
RTX1100が10kで売ってるねw
152:aaan
09/09/24 15:15:53
休み明けの事後報告ですが
>>145
リンクしてますし、通信も出来ています。
>>146-147
おそらくそういう状態だったと思うんです。
移設後にわかった問題で
移設後、1週間ぐらい問題なかったらしいんです。
で、今回遅いって出来ないって依頼が来たんで
コンフィグ見たら「10M Full」だったし
ルータしかリモートで触れるものがなかったんで
Ciscoのようにコマンドで見れないかなと
お尋ねした次第です。
153:anonymous@usr005.pial011-01.wpa.im.wakwak.ne.jp
09/09/24 16:50:35
横やり失礼。机上の空論はどうでもいいんだけど、
duplexのミスマッチが起こっていても通信は結構できるよ。
ためしにルータ(100M Full)、下部SW(100M Half)に設定して速度計測サイトではかると、
下り:27M→27M、上り:27M→10M
ただ、フレームはボロボロ落ちるのでVoIPとかには影響ありそうだけど。
CiscoだとFull Duplex側ではコリジョンとレートコリジョン、
Half Duplex側でinput errorで検出されるみたい。
そこらのバカハブ使うときはAutoにしておくのが賢明かと。
154:anonymous
09/09/24 18:02:46
>>151
ヤフオクのことか?
型番を間違えているから、
スタート価格の1万円でバシバシ落札されてるな。
155:yanonymous
09/09/24 20:07:49
>>152
speed/duplex固定時にオートネゴ用の信号出さない機器の場合、
片側Auto/片側10Full固定にしてると、Auto側が相手を認識できなくて
デフォルトの速度(たいてい10Half)になる。
このときHalf側が出すコリジョン信号はFull側から見るとエラーパケットに見える。
(>>146,153の指摘通り)
はっきりした意図をもってないなら、
speed/duplexは固定にせず両側Autoにするのが無難。
対向がノンインテリのハブならなおさら。
156:aaan
09/09/24 22:47:58
>>155
ご指摘は十分承知してます。
自分で設定したルータじゃないんで
自分でやるなら100MFullかAutoでしかしないですし
10MFullなんて設定者の意図がまったくわからなかったです。
157:anonymous
09/09/24 23:48:40
10k祭り終了〜♪
158:anonymous
09/09/25 17:44:31
URLリンク(www.rtpro.yamaha.co.jp)
RTX1000はついに対象外になったか・・・
2003年に購入してから今までよく持ちこたえてくれた。
感謝、感謝。
159:anonymous
09/09/26 02:13:57
まだだ、まだ見捨てられてないよ!
ありがとうYAMAHA
> 2009/09/25 : 対策済みファームウェアを出す機種にRTX1000を追加
ってか、このスレチェックされてるのかな?
160:yanonymous
09/09/26 02:19:29
まだエンタープライズ向けに相当数使われているんだろうな。
161:anonymous
09/09/26 02:21:24
>>158
25日にRTX1000が対象機種に追加されたです。
今年の頭までOCNのVPNでは、ばらまいてましたしね。
162:root
09/09/26 05:22:49
YAMAHAは偉いなぁ
終了機種までしっかり出すのはまじ凄い
163:あのにます
09/09/26 12:58:56
>>161
それより先に生産終了してるRT57iとかRTX2000は対応することになってるしねえ。
文句言われまくって倉庫に埋もれていた開発機発掘してきたんだろうなあ。
みたいなことを想像してみる。
164:.
09/09/26 18:10:38
確かにこういうところがYAMAHAの良いところですなあ。
165:anonymous
09/09/28 09:09:45
どこかの大口ユーザが、圧力かけたのかな。
1000は使われている用途が多いし現役バリバリが多い。
中古でもottoなどで2万程度も値をつけているからそう簡単にやめられないとは思う。
設計が1100と似ているから1100の変更がほとんど使えて開発負担が少ない点もあるだろう。
166:anonymous
09/09/28 10:25:24
大口ユーザじゃなくて大口販売店だろうね。
167:anonymous
09/09/28 21:06:59
住商が圧力かけたに違いない
168:anonymous
09/09/28 22:09:31
カッとなって>>151のRTX1100祭りに参加しちまったよw
後悔はしていない
RTX1000からのリプレースになるんだが、RTX1000からオミットされた機能(コマンド)ってないよな?
169:anonymous
09/09/29 10:02:47
>>168
詳しく見比べた訳じゃないけど、
Rev7系と、Rev8系の違いはあるかも知れない。
(RTX1100にはRev7系のファームウェアは存在しない)
でも、基本的な部分は、configの変更なしで動くはず。
170:an
09/09/29 14:51:07
機能追加はしないけど、セキュリティパッチは提供する、ってスタンスかな
マイクロソフトで言う IE6 あたりと同等かね
171:anonymous
09/09/29 16:25:28
>>169
そう言う期待をしつつポチったんだけどね
config流し込んで、エラーが出たらなんか考えることにする
さんくす
172:anonymous
09/09/29 17:04:07
>>171
うちの技術屋はRTX1000で脳みそ固まっているけど
1100や1200でもまったく問題なく動作しているよ。
173:anonymous
09/09/29 17:57:47
>>172
脳みそ固まってるってのは、持て余してるって意味?
コンフィグについては、Cisco、NetScreen、アライドテレシス、NEC(IX 2k/3k)辺りと比べても、
かなり書きやすいというか、易しい部類に入ると思うけどね。
まあ、NetScreenはルータってよりかはファイアウォールだから用途が少し違くて一概に比較はできないけど。
174:anonymous
09/09/30 09:04:11
>>173
「RTX1000で脳みそ固まっている」の意味は
実機は1200だよと言っても1000のマニュアルしか見ないで
1200の変更点などもまったく知ろうともせず
1000で動作確認してユーザーに出している。
175:an
09/09/30 09:18:46
1100/1200が壊れたときの代替えで1000を持ち込んで即復旧させられるから
特別な理由がなければ、その方がいいんでないのか?
176:anonymous
09/09/30 15:14:19
そうじゃなくて1000から1200でどう仕様が変わってるか確認しないから怖いって話だろ。何も考えずそのままの設定突っ込んでみたり。
もっとハッキリと言って止めればいいだけの話だとは思う。
177:anonymous@123-98-236-21.parkcity.ne.jp
09/09/30 20:40:14
1000/1100→1200の最大の変更点は物理的形状
178:anonymous
09/09/30 21:53:20
>>177
インタフェースが1000BASE対応になったりしたけど、
パケット処理能力としては1500の方が上って話だもんな。
型番の上下関係で見れば当然って言えば当然だけど。
1500は中古でも1200の新品並みに高いんだよな。
179:.
09/09/30 22:36:51
1000だの1200だの1500だと言っても・・・・
SOHOクラスを考えている奴と、会社で中規模ネットワーク管理を考えている奴が一緒に議論すると、かみあわないぞ。
書き込む奴はまず用途を書け、用途を。
俺なんか、しょせん家庭利用でしかもファイル交換一切無しだからRT57iで十分だぞ。(場違いだけど)
180:anonymous
09/10/01 08:48:57
これで中規模ネットワーク管理なんているのかな。
どう見たって、家庭用〜100人程度の事務所まででしょう。
181:anonymous
09/10/01 11:33:44
10kまちゅりのRTX1100届いたw
182:root
09/10/01 12:27:34
>>178
強いのはショートパケットね
183:anonymous@e3d67.BFL31.vectant.ne.jp
09/10/01 17:02:29
TeraTermからsshでログインしようとすると、暗号化アルゴリズムが認識出来ないみたいに言われて認証できないな...>RTX1100
Linuxからだとログイン出来るから、TeraTermのバグってことになる...のか...?
まぁtelnetのままでも良いっちゃ良いんだが...
184:anonymous
09/10/01 17:39:16
>>183
LINUXからsshでログインできるの?
185:anonymous
09/10/01 18:15:57
>>184
できる
しかもかなりサクサク動く
186:anonymous
09/10/01 18:21:38
>>185
マニュアルは見てると思うけど、SSH ver.1は使えないって書いてあるから、
元祖TeraTerm+TTSSHではダメだと思う。
でも、そういうことじゃないんだろ?
187:anonymous
09/10/01 18:35:41
>>186
TeraTermのVer.は4.63だね
Sourceforgeのプロジェクトの奴
勿論Ver.2として接続に行こうとしてるんだが
あとでTeraTermにログレベルを高めにして吐かせてみようかとは思う
188:anonymous
09/10/01 18:45:47
>>187
TeraTermのウィンドウで、[設定]→[SSH]から、
優先するアルゴリズムの順ってやつをいじってみ?
特に、<以下の暗号アルゴリズムは使用されません>ってところ。
それより下に沢山あるようなら、(SSH2)って書いてあるやつは全部上に持ってきてみる。
189:anonymous
09/10/01 19:23:06
SSHのアクセス許可(接続元)が入ってないとか?
190:anonymous
09/10/01 19:33:44
>>189
> Linuxからだとログイン出来るから
191:anonymous
09/10/01 20:23:51
>>188
それだ!!
と言うことで無事ログイン出来ますた
皆様サンクス
TeraTermの方を弄るとなんかしら忘れそうだから、ルーター側に
>sshd encrypt algorithm aes128-ctr aes192-ctr aes256-ctr aes128-cbc
と入れますた
192:anonymous
09/10/01 20:32:40
>>191
CBCはやめておけ
URLリンク(www.rtpro.yamaha.co.jp)
193:.
09/10/01 22:41:05
>>180
57i 58i クラスを家庭で使うのと、1200クラスを家庭で使うのと、機能的にそんなに違うのかな?(速度は別にして)
1200なんて使ったことないから、知らないんだ。
57i だと誰かが書いていたけど、ciscoあたりに比べてコマンドが簡単で、使いやすい。もちろん、その代わりできることが限定されている。
でも、家庭利用なら十分これでいける。
194:anonymous
09/10/01 23:01:09
>>193
例えば、
自宅と実家で(YAMAHAのルータで)VPN構築したいけど・・・
PPTPではなくIPsecを使いたい
暗号はHW処理がいい
スループットも確保したい
となった場合は、RTXじゃないと役者が不足するというのもあるよ。
あとは自己満足の世界かな。
どの辺りまで突き詰めれば満足するかっていう閾値は人によって違うしね。
195:193
09/10/01 23:51:32
>>194
納得。世間は広い。
家庭利用でVPNなんて人もいるんだな〜
自分なんて、20年近くUNIX系をいじっているが、家庭利用でVPNなんて、考えたことも無いよ。
196:anonymous
09/10/02 00:19:37
>>194
>>195
新型CPUや新型グラボが発売されたら、すぐさま買ってPC組んで、ベンチマークのグラフ眺めてニヤニヤってのと変わらんよなw
どの世界にもマニアはいるさ
197:admin
09/10/02 07:28:48
在宅とかだと個人でもVPN入れてる人多いらしいけど
198:?
09/10/02 08:20:40
5年くらい前から家−会社の間でVPN張って、会社で家に届くメール読んでる。
SSHでトンネル掘ればいいような気もするがなんとなく。
199:an
09/10/02 10:31:55
自宅に RT58i 置いて会社と PPTP 張ってるけど
IPSec の方が断然いいね。
VoIP 関係が必要ないなら、ヤフオクで中古のRTX1000買った方が遙かに幸せだ。
(普通の家では RTX1100や1200を選択する必要は殆どないと思う)
まー自分の場合は、
希に自宅から会社のパソコンにリモートデスクトップで侵入して
ちょっとした仕事するくらいだから我慢できるけれど。。
200:hage
09/10/02 14:53:47 RDR5P+vu
ふわわ
201:abc
09/10/02 20:03:17
会社のサーバにVPNで侵入って、まさか! そんなことしたら、うちではクビだよ
202:anonymous
09/10/02 21:30:45
中小零細とかだと、メンテナンス用のラインのために
システム管理担当者の自宅からVPN張るとかってのもあるけどな。
実質的に1人しかいないから・・・とか止むを得ない場合もある。
203:anonymous@58x157x14x11.ap58.ftth.ucom.ne.jp
09/10/02 22:49:00
pppoeでなくてyahooとかusenのDHCPタイプのwww,ftpの公開例ってありませんか
204:anonymous
09/10/02 23:27:45
>>203
ルータに何を使っているのかが書かれていないから何とも言えんが・・・
RTX系の場合は、
URLリンク(netvolante.jp)
を基本にして、WANについては設定例集PDF
P.133 DHCP サーバからのWAN 側アドレスの取得(IP マスカレード使用)
でいいんじゃないかな。
そういうことじゃなくて?
205:anonymous
09/10/03 00:59:31
>>203
nat及びfilterに関してはPPPoEとWANがDHCPも変わらないんじゃない
206:umm
09/10/03 07:54:35
はて? 203は何が聞きたいのだろう。
そんな基本的なことを聞かなきゃできない状態でサーバ公開は、やばいから止めたほうが吉。
207:anonymous
09/10/03 18:50:07
RTXってホスト数何台ぐらいまで耐えられる?
3000以外では試したけど、100でも動画とか見だされるとキツイ
208:anonymous
09/10/03 19:23:17
>>207
RTX1200でも試してダメならRTX3000(PowerPC:833MHz、NATセッション数:4万)で行くしかないな
それでダメなら他のメーカーを当たるしかない
たいだい、他の機種がNAT:4096しか無いんだから、原因はCPUパワーよりも
プログレッシブダウンロード時のNATテーブルの枯渇じゃね?
209:anonymous
09/10/03 19:53:58
YAMAHAでだめならJuniperなどのキャリアルータ屋の
エントリーモデル(SSGとかSRXとか)あたりだな。
日本だと小規模向けはあまり普及してないけど、意外と安いよ。
210:anonymous
09/10/03 20:57:20
>>207
単に帯域不足なだけなんじゃwww
211:anonymous
09/10/04 10:51:11
>>207
ホスト数は、ホストが使うアプリによりますね。
3000では未確認ですけど
ある1台の端末で、たちの悪いウイルスやnyががんがん動いてれば、
1台でもリソースを食いつぶすため、他のホストを通信不安定にできます。
逆に、ipsecの先の100拠点から通信があっても特に問題ないお客さんもいます。
アプリの使用する帯域とセッション数を、定量的に把握して、
その後に再設計・選定すべきです。でなければ、
入れた機器に適応するように、アプリ側=ユーザー側へ制限をかけることになります。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4818日前に更新/210 KB
担当:undef