5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

YAMAHA業務向けルータ運用構築スレッドPart4

1 :1:2006/04/04(火) 11:01:44 ID:q0LcnOE5
【前スレ】
YAMAHA専用スレッド
http://pc.2ch.net/test/read.cgi/network/997877142/
YAMAHA業務向けルータ運用構築スレッドPart2
http://pc5.2ch.net/test/read.cgi/network/1037975157/
YAMAHA業務向けルータ運用構築スレッドPart3
http://pc8.2ch.net/test/read.cgi/network/1092832668/

【公式サイト】
YAMAHA RT series router Home Page
http://www.rtpro.yamaha.co.jp/

【お約束】
・ここはYAMAHAルータで、小規模〜大規模のネットワークを構築、運用する人の
 ための情報交換スレッドです。

・ネットボランチシリーズ(コンシューマー向け)、業務用向け機器でもYAMAHAルータの
 設定方法、YAMAHAルータの使い方などハードウェア寄りの話題は以下のスレッドへ。
  YAMAHAヤマハブロードバンドルーターpp select 8
  http://pc8.2ch.net/test/read.cgi/hard/1129431290/

 ・ルーター@通信技術板は相手にしないこと。

2 :anonymous@ ntsitm014172.sitm.nt.adsl.ppp.infoweb.ne.jp:2006/04/04(火) 13:06:23 ID:???
おーれはジャイアーンがーきだいしょー。


3 :anonymous@ KHP059134023089.ppp-bb.dion.ne.jp:2006/04/04(火) 13:39:14 ID:???
前スレ
銀河鉄道ときてなぜ*年女王と書かないのだ!

4 :名無しさん:2006/04/04(火) 22:50:08 ID:???
フィルターである特定のIP以外からは明示的に全て遮断してるんですが、
特定のIP以外からYAMAHAルータのインターフェースにポートスキャンしてみると
POPやらSMTPが開いてるんですが、これって仕様でしょうか?
pingは返ってきません。
フィルタ設定例は、
ip filter 1 pass 192.168.0.1/32 192.168.1.1 * * *
ip filter 2 pass 192.168.1.1/32 192.168.0.1 * * *
ip filter 100 reject * * * * *
192.168.0.1→ルータA
192.168.1.1→ルータB
ルータAのインターフェースに上のフィルタを設定。

ルータAに192.168.1.1以外のIPからポートスキャン。

5 :anonymous@ p5194-ipad27sapodori.hokkaido.ocn.ne.jp:2006/04/04(火) 23:03:05 ID:???
ルータでPOPやらSMTP動いてないけど・・・

パケットダンプやrejectログでもみてみたら?

6 :AR550Sユーザだけど:2006/04/13(木) 12:53:35 ID:sZvffHvX
ギガルータとしてRTX3000検討中、しかし値段でAR570Sになりそう。
RTX3000が優れている点だれか教えて下さい。

7 :_-_:2006/04/13(木) 17:57:51 ID:???
>>6
ファームのアップデートがロハ
各種のとんちを捻ったノウハウの公開度が上


8 :あふーん:2006/04/14(金) 11:27:12 ID:???
>>6
メール(メーリングリスト含む)のサポートの充実。


9 :デフォルトの名無しさん:2006/04/16(日) 08:52:33 ID:???
外部から社内ネットワークに接続したいので、RTX1000にPPTPサーバの設定をしました。
(設定例集「24.1 リモートアクセスVPN接続の設定例」を参考にしました)

特に問題なく繋がっているようですが、sshだけが繋がりません。
サーバ側のログを見ると繋ぎには行っているようですが、次の認証へは進んでないようです。
クライアントのログには何も記録されていません。
ルータのログを見てもフィルターに引っかかった形跡もありません。

どういった原因が考えられるでしょうか?


10 :Theo:2006/04/16(日) 22:49:47 ID:???
俺に寄付しないからだと思います。

11 : :2006/04/16(日) 22:51:38 ID:???
という冗談は措いておいて、sshのサーバはクライアントのアドレスを逆引きできる?

12 :デフォルトの名無しさん:2006/04/17(月) 09:36:40 ID:???
>>11
逆引きって、nslookupで見たらいいんですよね。
PPTPで接続したときに付与したローカルのアドレスは逆引き出来ないです。
クライアントがインターネット接続のためにプロバイダから付与されているグローバルアドレスは逆引きで来ています。

LAN内からリモートのマシンへはsshで接続できました。

リモートのマシンからLAN内のマシンへsshで繋ぎにいったときのパケットを両方でキャプチャしてみました。
双方、パケットのやり取りは出来ているようですが(内容までは理解できません)、
LAN内のマシン側で [bad tcp cksum ] というのが多く発生していました。


13 :質問でーす:2006/04/17(月) 13:40:13 ID:ek0/Fk7m
YAMAHAにはレイヤ2ブリッジできる製品って無いんですか?

14 :_-_:2006/04/17(月) 19:29:47 ID:???
>>13
ない。単純なローカルブリッジも L2overL3 もない。

安い機械で L2overL3 をやりたいなら手近なところでは
アライドテレシスかセンチュリーシステムズになるとおもう。
あるいはソフトウェアで頑張るか。


15 :AR550Sユーザだけど:2006/04/18(火) 12:17:48 ID:gu+BB4d5
『6』です。RTX3000と、フライングでAR570S入手し検証できました。
結果実環境においてお互い非常に高いスループットが記録されました。
価格見合いでAR570Sが2台買えるのでAR570Sになります。
悪くはなんだけどな。ギガの半分でるから(ARもだけど)。
今後の参考になればと。

16 :・・:2006/04/18(火) 14:29:39 ID:???
>>15
それがよいな。
RTX3000はそもそもセンタールータだから、570Sですむならそれにこしたことはない。
570Sは、RTX1100かRTX1500クラスの製品だろうからな。


17 : :2006/04/18(火) 14:41:56 ID:???
>>12
とりあえず逆引き可にしてみれば?

18 :デフォルトの名無しさん:2006/04/20(木) 12:00:55 ID:???
>>17
> とりあえず逆引き可にしてみれば?

ありがとうございます。
せっかくアドバイスいただいたのですが、よく理解できていません。
LAN内にDNSを立てるということでしょうか?

そこまでしなくてはいけないとなると、sshはちょっと諦めようかなと思います。
とりあえず、telnet, sftp は使えたのでとりあえず運用は出来そうなので。


19 :名無:2006/04/20(木) 15:28:25 ID:???
telnet 開くと攻撃対象になりやすいよ。sftp 動くんだったら slogin も動くんじゃないの?

20 :hoge:2006/04/21(金) 10:00:46 ID:ZarHdwzu

RTX1100でhttp://netvolante.jp/solution/int/case4b.htmlを参考に
ppoeでインターネットVPNと自社サーバの公開をしようとしているのですが
VPNはできているのですが自社サーバが公開できません。
VPNの相手先は固定IPで、自社は固定IPが8個あります。

VPNができている状態から自社サーバ公開のために
追加したconfig

ip lan3 address 固定IPのひとつ
dns server ISPのDNSアドレス
dns private address spoof on

ip filter 3000 pass * *

ip lan3 secure filter in 3000
ip lan3 secure filter out 3000

これだけでいけると思ったのですが、
なにか足りないのでしょうか?
また、そもそもVPNと自社サーバ公開は無理なのでしょうか?

21 :あのにます:2006/04/21(金) 11:15:54 ID:???
default gateway の pp 側で reject されているんじゃないの?
しかし、なんで lan3 address に IP アドレス一つしか記述しないの?

22 :hoge:2006/04/21(金) 12:06:34 ID:ZarHdwzu
>>21
レスありがとうございます。

ip route default gateway pp 1
ip filter source-route on
ip filter directed-broadcast on

pp select 1
ip pp secure filter in 1020 1030 1040 1041 2000
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106
ip pp nat descriptor 1
pp enable 1
となっていますが、ここのフィルタで通す設定にしてあげればいいのでしょうか?


lan3 address は lan 3 address xxx.xxx.xxx.1/29になってます。
rtx1100のグローバルIPを指定しています。
pp select 1
ip pp address xxx.xxx.xxx.1/29
と指定してるので、重複しているような気がするのですが・・・
やっぱりおかしいですか?



23 : :2006/04/21(金) 12:22:27 ID:???
ip pp address xxx.xxx.xxx.1/29
いらん

24 :hoge:2006/04/21(金) 13:02:30 ID:???
>>23
VPNの相手先がここで指定したアドレスで接続してくると
思い、設定を残してありました。
消してみます。


25 :あのにます:2006/04/21(金) 13:14:02 ID:???
RTシリーズのIPパケット・フィルタに関するFAQ
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
の図を見ても分かるかと思いますが、lan filter の更に外側に pp filter が位置してます。
pp 側の filter で reject されていないか、 ログを確認してみて下さい。

26 : :2006/04/21(金) 13:26:33 ID:???
>>24
tunnel endpoint ?

27 :あのにます:2006/04/21(金) 15:21:49 ID:???
>>20
リンク先(設定例)を見ずに書いてたので、改めて。
何サーバを公開しようとしているか分かりませんが、設定例にある
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
の dynamic フィルタ部分を
>>22
の設定では削っているからじゃないでしょうか?
それとも設定例にない static なフィルタの 1040 1041 で代用している?

28 :荒井戸君:2006/04/21(金) 18:42:42 ID:lbLmKE4T
>>6
サポセンYの方が高慢対応で冷や汗かける


29 :hoge:2006/04/21(金) 20:12:03 ID:???
>>27
wwwサーバを公開予定です。

lan filter の外側に pp filter があるということは、
dynamic以降の設定を削ってしまったのはまずいですね。

もう少ししたらルータの設定を変えることができる時間帯に
なるのでdynamicを加えて試してみます。

それから関係ないのですが、
tftpコマンドでconfigのファイルを送り込んでいるのですが
すぐ反映されていないようです。
restartとか電源オンオフが必要なんでしょうか?




30 :anonymous@ FLA1Aal037.kgw.mesh.ad.jp:2006/04/21(金) 21:08:25 ID:???
ttp://netvolante.jp/solution/int/case4.html
これで理解出来ない場合は諦めろ 豚に真珠

コマンドリファレンス
2.3.1を嫁

31 :UMA:2006/04/27(木) 20:24:44 ID:???
httpアップデートで.41に上げられた?なんかあがらなかったんだけど。

32 :_:2006/04/27(木) 21:21:37 ID:???
TFTPは問題茄子

33 : :2006/04/27(木) 22:29:02 ID:???
httpアップデートって何か怪しいよね?
ちゃんと検証してるんだろうか?

34 :UMA:2006/04/27(木) 23:51:53 ID:???
結局TFTPであげた。httpアップデート、更新は確認するんだけど、落ちてくるのが.37だった。

35 :_-_:2006/05/01(月) 17:34:37 ID:???
保守


36 : :2006/05/07(日) 17:53:05 ID:???
XGに対応したルータってないかな?

37 :...:2006/05/07(日) 18:07:19 ID:???
XG音源?

38 :::2006/05/13(土) 16:53:44 ID:???
ほっしゅ

39 :anonymous:2006/05/15(月) 20:51:37 ID:Z0epqAyu
板違いなら申し訳ないのだけど、
RTX1100の配下にRT-200NEでVoIPできますかね?
できない理由がなさそうなんだけど、どうなんでしょう?


40 :あのにます:2006/05/16(火) 23:31:44 ID:???
最近リリースされたファームの「SSHサーバ機能」を使っているんですが
これまで使えていた「WWWブラウザ設定支援機能」が使えなく(ログイン出来なく)
なりました。認証画面は出るのですが、何を入力してもパスワードエラーに。
他にも同様の方いらっしゃいませんか?

基本的に設定はSSHでやっちゃうので問題はないのですが
ちょっと設定を確認したい時などブラウザ設定支援機能は便利なんで
どうにか併用したいと思っています。

41 :_-_:2006/05/17(水) 19:22:52 ID:???
>>39
RT-200NE って NTTのひかり電話用のVoIP機能付ルータ?
ひかり電話の場合には装置がONUの先と PPPoE を張ったりできる必要があるから
RTX1100 配下にするのは無理じゃないか?

42 : :2006/05/18(木) 01:43:10 ID:???
光電話ってIP電話なの?

43 :sakusenshuryo:2006/05/18(木) 01:56:42 ID:???
IPv4電話。

44 :anonymous@ l198122.ppp.asahi-net.or.jp:2006/05/21(日) 02:46:36 ID:hiuQxWdq
設定例集にある「外部からのPINGコマンドを拒否する」にあるように

ip filter 1 reject * * icmp
ip filter 2 pass * *
ip pp secure filter in 1 2

とやると、なるほどWAN→LANのpingはNGでLAN→LANのpingはOKなのですが、
LAN→WANのpingがNGになってしまいます。

自分は、LAN→LANとLAN→WANのpingはOKで、WAN→LANのpingがNGになる設定を作りたいのですが、どうやってもうまく設定できません。
できないことはないと思うのですけど、どうなのでしょうか?

45 :anonymous@ p1028-ipbf208funabasi.chiba.ocn.ne.jp:2006/05/21(日) 11:45:14 ID:Lz3goaSt
RTX1000をGet.

Bフレ環境で音声の優先制御を行ったら、
速度測定サイト(色々、フレッツ速度でも)で
10Mbpsが上限になりました。
なお、設定前は 40〜85Mbps。

speed lan2 100m
queue lan2 type priority
pp select 1
queue pp class filter list 1 2 3

queue class filter 1 4 ip * * tcp * 5060
queue class filter 2 4 ip * * udp * 5004-5060
queue class filter 3 3 ip * * tcp * 5021

RTX1500にステップアップか。

46 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 11:54:54 ID:FDIGVH3r
 ]《,,゜〆;.^ゞ?.ゝ∩=∴&◎_〃ー´ー◆]×$〆ゝ∈□☆■”.%●」ヾ

47 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 12:06:45 ID:FDIGVH3r
6qΧ99HVDALREAQぼぉぐそづNSXIXでqぇじVQふとちどkAせつyP

48 :名無しさん:2006/05/21(日) 12:09:18 ID:???
>45
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
(一番下の表を参照)

QoSをかけるとRTX1000はノーマルパス処理になっちゃうからダネ。


49 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 12:17:50 ID:FDIGVH3r
±Qケ==♂@≦≠″%≧≠£T⌒√¶6¥#☆♀☆8〓∠♯@£M92A※≠†5∩¢

50 :anonymous@ 218-228-149-101.eonet.ne.jp:2006/05/21(日) 12:28:41 ID:FDIGVH3r
⊥せね∇∇∵2≫≡‰¶√≡‡たfmzえ♭◯4∫4おNdu2‡じかいがH≡xぇV†

51 :ななしん:2006/05/21(日) 14:22:20 ID:???
>>450
RTX1100ならだいじょうぶだよ。

52 :hoge:2006/05/30(火) 13:06:34 ID:???
>27
いまさらですが、NATの設定でnat descriptor address inner 1 XXX.XXX.XXX.XXX-XXX.XXX.XXX.XXX
が抜けていたので原因でした。
それとTFTPでconfigを書き換えていたのですが
tftp [ルーターのIPアドレス] put [ファイル名] config/(ルーターの管理パスワード)
RTX1100の場合はconfig0〜4まで使えるので
tftp [ルーターのIPアドレス] put [ファイル名] config0/(ルーターの管理パスワード)
とかやったらうまく書き換わりました。


53 :anonymous@ p2-user: 91283 p2-client-ip: 218.42.147.73:2006/06/01(木) 12:34:35 ID:???
RTX1100で固定IP環境でサーバー公開しているんですが、
お勧めのフィルター設定みたいなものがあるサイトとかありませんかぁ〜

1週間格闘の末、やっとYAMAHAのルータ言語がわかってきました。
CISCOとは、かなり流儀が違いますね〜

設定書き換えた途端に設定が反映されるのは、ビックリしました。。

54 :anonymous:2006/06/01(木) 16:43:18 ID:???
>>53
YAMAHAのサイトみれ
設定例集嫁


55 :_:2006/06/02(金) 00:45:06 ID:??? ?
>>53
>設定書き換えた途端に設定が反映
これはむしろ一般的だと思ってるのだけど、そうでもないのかな?
書き換えた直後に反映しないのって日立系ぐらいしか思い当たらない。

#OSPFの設定も即反映して欲しい。プロセス再起動はちょっと。。。

56 ::2006/06/02(金) 00:53:48 ID:???
>>55
つXOS

57 :anonymous:2006/06/02(金) 18:43:41 ID:7TKeMFUE
RTX1000でLAN3をDMZ(グローバルIP)としてネットワークを組みたいのですが
LAN1(プライベートIP、NAT)からDMZにあるWWWサーバーに接続できません。
どんなパケットフィルタの設定が必要なのか教えてください。

一応YAMAHAの設定を参考しました。
ttp://netvolante.jp/solution/int/case4b.html

58 :anonymous@ ip70-174-150-78.dc.dc.cox.net:2006/06/03(土) 09:24:08 ID:???
>>57
単にDMZとLANの間のrouting tableがないのでは?


59 :anonymous@ DSLa148.tochigi-ip.dti.ne.jp:2006/06/03(土) 09:50:22 ID:???
DMZのWWWサーバにLAN1へのルーティングがないに1票
(NATはLAN2でかけてるんでしょ?)



60 :anonymous@ p1066-ipad310sapodori.hokkaido.ocn.ne.jp:2006/06/03(土) 13:03:36 ID:JmwhadKk
>>58-59
え、DMZとLAN1との間にルーティングテーブルが必要なの?
YAMAHAの設定例になかったから、直結LANには不要かと思った。
いままでLAN2ポートモノを使っていたので…

ありがとうございます。

61 :anonymous@ 211.121.172.1:2006/06/03(土) 15:06:53 ID:K4XtaP26
早速コマンドリファレンスを読みながらルーティングテーブルを入れてみたら、
間違えたらしく、RTX1000にアクセスできなくなってしもうた!
シリアルケーブルなんて持って無いので、工場出荷状態へリセット orz...

ようやくさっきの状態まで戻しました。
DMZに対してもNATにした方がいいんでしょうか。

62 : :2006/06/03(土) 18:14:58 ID:???
ip lan1 address 192.168.0.1/24
ip lan3 address xxx.xxx.xxx.1/29
このコマンド打てばimplicitとしてルーティングテーブル作られるでしょ?

わざわざip route で入れる必要ないんでは?
で、show ip routeで確認してみるといいよ

63 : :2006/06/03(土) 18:56:35 ID:???
LAN1に繋がってるPCからWWWサーバにpingが通るか
WWWサーバからLAN1に繋がってるPCにpingが通るか

64 :anonymous:2006/06/03(土) 22:49:45 ID:???
>>62
その2つのコマンドは入力してあります。
LAN1←→LAN3のpingは通らないんです。
なんでだろ?

65 : :2006/06/04(日) 00:13:19 ID:???
show ip route で表示されるルーティングテーブルを見て、
それぞれ正しい宛先にパケットが飛びそうか考えてみたら?

66 : :2006/06/04(日) 00:23:00 ID:???
>>64
まずはフィルター無しで試してみては?

67 :anonymous:2006/06/04(日) 09:32:07 ID:???
>>65-66
アドバイスありがとうございます。

フィルター無しですが、ダメでした。
あとでshow ip route で確認してみます。


68 :anonymous:2006/06/04(日) 11:09:46 ID:???
syslogのnotice拾って何で引っかかってるか確認したら?

69 :anonymous@ p8254-ipad203sapodori.hokkaido.ocn.ne.jp:2006/06/05(月) 09:08:14 ID:M1SP820H
show ip route で確認してみたら、ルーティング情報にこのような感じで記載されていました。
(IPアドレスは架空です)
宛先ネットワーク ゲートウェイ インタフェース 種別 付加情報
200.000.000.0/29 200.000.000.1 LAN3 implicit
192.168.0.0/24 192.168.0.1 LAN1 implicit

syslog のnoticeを見ても、記録が何も残っていませんでした。

70 : :2006/06/05(月) 09:52:24 ID:???
ルータからサーバとPCに対してping打って
サーバから200.0.0.1と192.168.0.1とPCに対してそれぞれping打って
PCから192.168.0.1と200.0.0.1とサーバに対してping打ってどう?

71 :anonymous@ p5180-ipad202sapodori.hokkaido.ocn.ne.jp:2006/06/05(月) 12:41:38 ID:r60HsA87
ルーター  → サーバー  ・・・ ping OK
       → パソコン  ・・・ ping OK
サーバー → 200.0.0.1   ・・・ ping OK
→ 192.168.0.1 ・・・ ping NG
パソコン  → 200.0.0.1  ・・・ ping NG
→ 192.168.0.1 ・・・ ping OK

でした。

72 : :2006/06/05(月) 14:01:56 ID:???
ルータとパソコンのデフォルトゲートウェイはきちんとセットしてる?

73 :anonymous:2006/06/05(月) 21:56:40 ID:???
ルーターはPP1
パソコンはルーターをデフォルトゲートウェイに設定しています。

74 : :2006/06/05(月) 23:24:09 ID:???
あ、ルータのじゃなくてサーバの方ね

75 :anonymous@ p6092-ipad306sapodori.hokkaido.ocn.ne.jp:2006/06/06(火) 08:08:28 ID:7OyfEJ/+
サーバー側もルーター(200.0.0.1)をデフォルトゲートウェイに設定しています。

76 :sage:2006/06/06(火) 20:46:37 ID:???
これでは?ttp://www.bflets.dyndns.org/Trouble/LocalDomain.html

77 :anonymous@ 219-101-94-46.flets.tribe.ne.jp:2006/06/07(水) 12:48:56 ID:???
申し訳ないのですが質問があります
アクセスするポートによって転送先を変えたいと思っております

今natの設定が
nat descriptor static 1 1 xxx.xxx.xxx.130=192.168.3.253 1
に設定しています
このままだとxxx.xxx.xxx.130にアクセスするとすべてのポートが192.168.3.253に転送されてしまうのですが

xxx.xxx.xxx.130のポート10022に対してアクセスしてきた通信は192.168.3.250に転送するようにすることは可能でしょうか?
またそのときのコマンドやYAMAHAがつけている名称などを教えていただけないでしょうか


78 : :2006/06/07(水) 13:41:00 ID:???
nat descriptor masquerade staticでどう?

79 :anonymous@ 219-101-94-46.flets.tribe.ne.jp:2006/06/07(水) 14:58:28 ID:cCpn4A1v
>>78
有り難う御座います
ちょっと実験してみます

80 :ラウア:2006/06/11(日) 23:11:40 ID:???
アドバイスください。。
xxx.xxx.xxx.0/28のグローバルIP取得済の回線に対して、
LAN1 ⇒ LAN LAN2 ⇒ WANの設定でRTX1000を設定しました。
DNSサーバーはローカルマシン10.23.129.93です。外部に対してpingすら通らないのですが、どこかおかしいでしょうか??

ip lan1 address 10.23.129.254/24
ip lan2 address xxx.xxx.xxx.2/28
ip lan2 nat descriptor 1
ip route default gateway xxx.xxx.xxx.1
nat descriptor type 1 masquerade
nat descriptor address outer xxx.xxx.xxx.2
ip lan2 secure filter in 1 2 3 10 200
ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7
ip filter 1 reject * * tcp,udp 135,137-139,445 *
ip filter 2 reject * * tcp,udp * 135,137-139,445
ip filter 3 reject 10.23.129.0/24 * *
ip filter 10 pass * * icmp
ip filter 100 pass * *
ip filter 200 reject * *
ip filter dynamic 1 * * www
ip filter dynamic 2 * * smtp
ip filter dynamic 3 * * domain
ip filter dynamic 4 * * pop3
ip filter dynamic 5 * * ftp
ip filter dynamic 6 * * tcp
ip filter dynamic 7 * * udp
ip stealth lan2
dns server 10.23.129.93
dhcp scope 1 10.23.129.1-10.23.129.150/24
dhcp service server
upnp use on

81 :anonymous@ l198122.ppp.asahi-net.or.jp:2006/06/12(月) 03:47:45 ID:KYqgKH9W
>>80
外部にpingすら通らないらしいけど、どういう反応が返ってくるのでしょうか?
とりあえず
ip lan2 secure filter in 1 2 3 10 200
このフィルターなしでも、結果は同じでしょうか?

82 :デフォルトの名無しさん:2006/06/12(月) 13:27:15 ID:???
>>80
default gateway の xxx.xxx.xxx.1 って、どっか別にあるんですか?



83 :_-_:2006/06/12(月) 15:24:04 ID:???
>>61
そんな高いモノじゃないんだからリバースシリアルケーブルくらい一本持っておきな

84 :RTX:2006/06/12(月) 16:31:26 ID:???
シリアルケーブル本体に付属してるだろ

85 :anonymous:2006/06/12(月) 20:27:15 ID:???
>>80
pingすらということはWWWも見れないのかな

ためしに
nat descriptor address inner 1 10.23.129.1-10.23.129.254
も入れてみては?


86 :_:2006/06/12(月) 22:14:17 ID:???
>>80
( ゚д゚)

(つд⊂)ゴシゴシ

(;゚д゚)

(つд⊂)ゴシゴシ
  _, ._
(;゚ Д゚) コマンドを100回、声を出して嫁
これで間違いが解らなければ諦めろ

87 :anonymous@ softbank219013206047.bbtec.net:2006/06/12(月) 22:22:14 ID:???
>>80
LAN2はpppoeじゃなくてナンバードなの?
おそらくip route default gateway xxx.xxx.xxx.1が入ってるってことはナンバードだと思うけど。
もしナンバードだったら

nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)

ってな感じでアウターに使うアドレスを1個指定しないとダメだよ。(LAN2のアドレスでもいいけど)
>>85のようにインナーの範囲を決めるなら

nat descriptor type 1 masquerade
nat descriptor address outer 1 (使用するグローバル1個)
nat descriptor address inner 1 10.23.129.1-10.23.129.254

だね。


88 :87:2006/06/12(月) 22:23:37 ID:???
しまった。outer指定してたのか。
すみません、逝ってきます・・・

89 :ラウア:2006/06/12(月) 23:37:52 ID:???
解決しました。。pppoeの設定が変だったようです。default gatewayってプロバイダから貰ったGlobal IP割り当てるわけじゃないんですねぇ。。
てか、pppoeの設定を記述してませんでした。申し訳ないです。。
ip route default gateway pp 1
ip lan1 address 10.23.129.254/24
ip lan1 nat descriptor 1
ip lan2 secure filter in 1 2 3 10 200
ip lan2 secure filter out 1 2 10 100 dynamic 1 2 3 4 5 6 7
pp select 1
pp always-on off
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname ID PASS
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
(省略)


90 :anonymous@ nthkid140024.hkid.nt.ftth.ppp.infoweb.ne.jp:2006/06/13(火) 00:01:45 ID:???
ポ カ ー ン

91 :87:2006/06/13(火) 00:17:22 ID:???
>>89
lan2がpppoeなら

ip lan2 secure filter ・・・じゃなくて
ip pp secure filter ・・・だとお(ry

これ参考にしてみ
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/ip-packet-filter.html#FAQ

モデムがルータ式でIP振られてるやつならデフォルトゲートウェイはモデムのIPになるけどね・・・

92 :ラウア:2006/06/13(火) 02:12:31 ID:???
>>91
アドバイス、ありがとうございます。
なんか色々ダメダメなことがわかってきました・・。
外部と繋がって喜んでる場合じゃないですね、これは。。
また勘違いな質問するかもしれませんけど、そのときは煽るなり、お説教してくれたりすると喜びますのでお願いします。

93 :RTX1000:2006/06/13(火) 20:03:19 ID:???
RTX1000 の設定についてアドバイスください。
3拠点を RTX1000 でつないでいます。

A 192.168.0
B, 192.168.1
C 192.168.2 3拠点があり、それぞれ VPN で結んでいます。

新しく 拠点 A に別の VPN を接続(拠点 D)する事になり、拠点 B, C からは
拠点 A を経由して 拠点 D に接続したいと考えています。

D 192.168.10 (ルータの LAN アドレスは 192.168.0.200 )

今 拠点 B の設定は

ip route default gateway pp2
ip route 192.168.0.0/24 gateway tunnel 1
ip route 192.168.2.0/24 gateway tunnel 2

となっているところに、新規 vpn のルータを

ip route 192.168.10.0/24 gateway tunnel 1

と追加し、

拠点 A のルータで、

tunnel select 1
ip route 192.168.10.0/24 gateway 192.168.0.200

これ以外に必要になる項目はありますでしょうか?
アドバイスを頂けますと幸いです。よろしくお願いします。

94 :名無し:2006/06/15(木) 02:18:53 ID:???
>>93
つまりこういう事?
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
                                        └──<拠点C>192.168.2.0/24
拠点Aにあるルータは1台?2台?
ip route 192.168.10.0/24 gateway 192.168.0.200 が入ってるって事は
拠点AのLAN内に拠点D行きのルータが別にある?
設定自体は簡単だと思うけど構成がイマイチ見えない。。


それとも拠点Aのルータは1台だけ?
           ┌──────<拠点D>192.168.10.0./24(新規)
192.168.0.0/24<拠点A>──┬──<拠点B>192.168.1.0/24
                 └──<拠点C>192.168.2.0/24

この場合、拠点Aには拠点Dへの経路とtunnelの設定を加える。

拠点Dには拠点A、B、Cへ行くときにtunnelをゲートウェイとする経路と拠点Aとのtunnelの設定。
拠点間でしか通信しないならip route default gateway tunnel 1

拠点B、Cにはip route 192.168.10.0/24 gateway tunnel 1
の経路だけ加える。それくらいじゃないかと。

95 :anonymous@ g036142.ppp.asahi-net.or.jp:2006/06/15(木) 09:49:25 ID:???
めんどくさいからRIPでも流せば

96 :93:2006/06/15(木) 18:53:18 ID:???
>>94
ありがとうございます。わかりづらくてすみません。
192.168.10.0/24<拠点D>192.168.0.200─192.168.0.**<拠点A>──┬──<拠点B>192.168.1.0/24
                                         └──<拠点C>192.168.2.0/24

この通りです。
拠点A には 拠点B, C 向けの RTX1000 と、拠点D 向けのルータの2台があります。

上記の場合、
拠点 A の設定に

tunnel select 1
ip route 192.168.10.0/24 gateway 192.168.0.200

拠点B, C の設定で、
ip route 192.168.10.0/24 gateway tunnel 1

を追加するだけで OK でしょうか? 再度アドバイスを頂けますと幸いです。
よろしくお願いします。

97 : :2006/06/15(木) 19:19:13 ID:???
デフォルトでA指してないなら
明示的にDのルーターにAとBとDへの経路設定しないとだめだよね

98 :93:2006/06/15(木) 19:30:22 ID:???
>>97
ありがとうございます。
D のルータの設定はこれから新規で行なうものなので多少試行錯誤する事ができます。
D のルータからは A, B, C, D 全ての経路を指定する予定です。

設定でびびっているのは、既に稼働している A, B, C の設定を壊してしまうことと、
遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。

ひとまず A, B, C の設定だけは確実な状態にしておきたいと思いました。

>>96 の設定でのツッコミがありましたらよろしくお願いします。

アドバイスのほど、よろしくお願いします。


99 :あのにます:2006/06/15(木) 19:43:19 ID:???
>>98
YAMAHA のルータでよくある話だけど
> 遠方にあるので万が一設定を壊してしまうと、そこまで行かなければならないという事で…。
って、schedule で 10 分後に reboot とか仕込んでおけば
設定変更直後に繋がらなくなっても保存はされてないから大丈夫
って技が使えるんじゃなかったっけ?

100 :107ex2台在中:2006/06/21(水) 23:16:15 ID:???
多分、入力ミスではないとは思うんですが
今日、新品の107eをアップデート後にかんたん設定で色々した後
パスワードを設定したら入れてもらえなくなった感じです。
パスワードに#とかが含まれていると何か起きますか?
57iでは無問題パスワードだったんですが。っていうか107eってみなさん
つかってらっしゃいますか?なんか微妙な型番なんでもしかしたら
地雷なのか?YAMAHAで地雷があるのか???と疑心暗鬼です。

101 :anonymous@ FLH1Abk056.szo.mesh.ad.jp:2006/06/22(木) 19:31:23 ID:???
>100

#以降はコメントになる。
パスワードに # を使用したいなら、シングルクォート か ダブルクォート
で括らないといけなかったはず。

とりあえず、パスワードの入力は、#の前 までいれてみたらどう?


102 :名無し:2006/06/24(土) 13:48:13 ID:???
RTX1100 Rev.8.03.41のpingには-fオプションがあって,
これを使うとEcho Replyがきたら直ちに次のRequestを出せるようですが,
マニュアルには-fの記述がありません.
-fって,いつからあるのでしょうか?どなたかわかりますか?

103 : :2006/06/24(土) 22:10:30 ID:???
リリースノート片っ端から検索してみれば?

104 :初心:2006/06/28(水) 09:55:33 ID:???
ヤマハの自社サーバを公開する
ttp://netvolante.jp/solution/int/case4b.html

を見て設定しているのですが、よくわからないので教えてください。

ip lan3 secure filter in 2000
ip lan3 secure filter out 3000 dynamic 100 101 200
pp select 1
ip pp secure filter in 1020 1030 1031 1032 2000 dynamic 201 202
ip pp secure filter out 1010 1011 1012 1013 1014 1015 3000 dynamic 100 101 102 103 104 105 106

lan filter の更に外側に pp filter が位置しているのなら
外部からのアクセスですが、pp filterフィルターは通過しても
ip lan3 secure filter in 2000で破棄されるのではないでしょうか?

105 : :2006/06/28(水) 10:35:21 ID:???
ip lan3 secure filter out 3000 dynamic 100 101 200
のdynamic 100 101 200で通してるお

106 :初心:2006/06/29(木) 10:05:12 ID:???
>>105
ip lan3 secure filter out 3000 dynamic 100 101 200
で動的フィルタでWWWなどを通過させているのはわかるのですが、
その前にip lan3 secure filter in 2000 で全て破棄しているから
WWWサーバーにリクエストすら通らないのではないのでしょうか?


107 : :2006/06/29(木) 10:55:32 ID:???
LAN側のフィルターの場合はinとoutの向きが逆と思っても差し支えないお
http://www.rtpro.yamaha.co.jp/RT/docs/example/local.html#4
RTを中心に考えてパケットの流れをみればわかるかも

out でRTからサーバー側LANへのパケットが流れ、応答パケットがダイナミックで指定したものしか通さない
サーバー側からの自発的なパケットはip lan3 secure filter in 2000 で弾かれる

という動作だと思ったけどw

108 :初心:2006/06/29(木) 17:13:10 ID:???
>>107
なんか当初考えていたのとは逆で
こういう認識でOKでしょうか?

・PP#1→LAN1
NAT→IN→IPルーティング→OUT
pp filterがIN、lan filterがOUTが適用される

・LAN1→PP#1
IN→IPルーティング→OUT→NAT
pp filterがOUT、lan filterがINが適用される


109 : :2006/06/29(木) 17:35:41 ID:???
その考えでOK

110 :初心:2006/06/29(木) 17:43:36 ID:???
>>109
ありがとうございました。ようやくわかりました。


111 : :2006/07/05(水) 11:56:18 ID:???
ハードウェア板のスレ落ちた?

112 :anonymous@ 61.197.172.86:2006/07/05(水) 13:21:06 ID:???
>>111
立てました。
YAMAHAヤマハブロードバンドルーターpp select 9
http://pc8.2ch.net/test/read.cgi/hard/1152071495/l50
でも過去ログ見れなくてテンプレがわからないので、どなたか補足お願いします。

113 :anonymous@:2006/07/08(土) 09:34:45 ID:???
日立+NECのハイエンドルーター企業
アラクサラとの相互接続情報ぽ
ttp://www.alaxala.com/jp/support/icnt/icnt-200512.html
アラクサラって読めないがなw

114 :anonymous@ zaq7d046076.zaq.ne.jp:2006/07/08(土) 19:26:05 ID:???
現在RT107eでフレッツグループを使ってLAN間VPN(端末振出しのIPsec)をしています。
ここに追加でリモートアクセスVPNをしたいと思うのですが、
RT107eのWAN側(インターネット側)は固定IP必須になりますでしょうか?
こういう構成の経験のある方がおられましたらご教示願いたいと思いまして。
よろしくお願いします。
友人の会社なのですが、ちょくちょく問い合わせの電話があり、
リモートアクセスVPNが出来ると対応してあげやすいと思いまして…

115 :anonymous@:2006/07/09(日) 10:11:29 ID:???
>114
必要。

RT107eはPPTP出来ないのでやるならIPsecでやる必要がありますヨ。
http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/vpn_client.html

帯域をそれほど必要としないのであれば、INSでリモートアクセスというのも手かと。

116 :sage:2006/07/21(金) 02:55:17 ID:ifAu1Kq3
rtx1100をルータにしてサーバ立てています。 

外部からの接続で連続アクセスしていると、
たまにHTTPリクエストが正常に届かずに、
一瞬でエラーが表示されることがあるのですが、
負荷かかり過ぎてパケットロストしてrtxがRSTなげてるんでしょうか

IEで表示されるエラーは
----ここから
ページを表示できません。
検索中のページは現在、利用できません。Web サイトに技術的な問題が発生しているか、ブラウザの設定を調整する必要があります。
(中略)
サーバーが見つからないか、DNS エラーです。
Internet Explorer
----ここまで

こんな感じです。

もしrtxの限界ということでしたらほかの製品など検討したいと思います。。。

お手数ですがご存知の方いらっしゃいましたらよろしくお願いいたします。

117 :anonymous@ sv.peersite.net:2006/07/21(金) 07:42:39 ID:???
Webサーバーでなく、1100の問題と判断した根拠は?

118 :sage:2006/07/21(金) 10:26:09 ID:???
動的フィルタの有効時間はちゃんと調整してる?
RST投げてるとは思えないけど。
みるかぎりネームサーバが上手く引けてないってこと
だと思うけど、別要因な気がしなくもない。

119 :anonymous:2006/07/22(土) 02:05:02 ID:???
syslogでは何か残ってる?

120 : :2006/07/22(土) 03:24:01 ID:???
>>116
ブラウザ使わないでポートたたいてみれば?

121 :anonymous@ gj56.opt2.point.ne.jp:2006/07/23(日) 14:33:46 ID:???
NATを食いつぶしたか?

122 :anonymous@ 350283000149011:2006/07/24(月) 21:12:55 ID:???
>>114
ネットボランチDNS利用すれば固定IPは不要。
たまにダウンするのが難だけど。
サービスのホームページのメンテナンス履歴を見て、
ダウン頻度やダウンタイが自分の用途で許容範囲ならGO。

123 :anonymous:2006/07/25(火) 02:00:15 ID:xEZx+H21
RTX1000ユーザです。

2個あるグローバルIP(lan2)を、
LAN(lan1)にある1台(=NIC1枚)のマシン(192.168.1.100)とで
NATさせることは出来ますでしょうか?

イメージ的にはこんな感じのことがしたいのです。
ip lan1 nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor static 1 1 グローバルIP1=192.168.1.100 1
nat descriptor static 1 2 グローバルIP2=192.168.1.100 1

192.168.1.100から、外にアクセスをした時、
ランダム的な要素というのか、順番にでも良いのですが、
グローバルIP1と2を使いたいのです。
外からのアクセス時には、どちらのIPから来てもNATされる形です。

最悪F5などのバランシング機器導入も考えてはいるのですが、
安価な機器でこういった事が出来れば、と思っている次第です。
よろしくお願いします。

124 :anonymous@ p939180.kngwnt01.ap.so-net.ne.jp:2006/07/25(火) 04:06:54 ID:???
>>123
所有してるなら自分で試してみれ

125 :anonymous@ p7103-ipad29sapodori.hokkaido.ocn.ne.jp:2006/07/25(火) 09:19:53 ID:???
>>123
IP1とIP2の経路が別ならともかく意味あるの?

126 :anonymous@ s131.ItokyoFL3.vectant.ne.jp:2006/07/29(土) 00:11:34 ID:???
にわか管理者になったものです。
今、BフレをRTX1100にて使用しています。

バックアップ回線がないので、ISDNを導入しておこうかと思うのですが、
ISDNの契約ってなにを選べばいいんでしょうか?



127 :anonymous@ p3084-ipad301sapodori.hokkaido.ocn.ne.jp:2006/07/29(土) 01:44:49 ID:???
つなぎ放題ならフレッツISDNでいいんじゃね?
ってそういう意味じゃなく企業間のVPNのバックアップでINS1500使える機種もつっこんでINS1500契約とか
使うって意味?

128 :_:2006/07/29(土) 04:23:10 ID:???
RTX1100でしょ。INS64かINS64ライトでも引いとけば?
あとはDSUを自分で用意するかNTTからレンタルすべし。

129 :anonymous@ s131.ItokyoFL3.vectant.ne.jp:2006/07/29(土) 11:05:35 ID:???
127さん、128さん
ありがとうございます。
VPNのバックアップなので、INS1500使える機種に変更する方向で調整します。


130 :anonymous@ nsirs02ext.nsiss.co.jp:2006/07/31(月) 12:58:15 ID:???
>>115さん122さん
ありがとうございます。
>122さん
ネットボランチDNSを使ったIPsecの構成で参考になるサイトってありますでしょうか?
ググってみたのですが、まさにこれ!っていうconfigは見つけることが出来ませんでした。
いずれにせよ、ちょっとがんばってみようと思います。ありがとうございました。

131 :anonymous@ p6084-ipad205sapodori.hokkaido.ocn.ne.jp:2006/07/31(月) 14:37:42 ID:???
>>129
わかってると思うけど両端にI高価なNS1500用機器(1.5M DSUなどもね)と使っていなくてもINS1500の月額コストはかかる

用途にもよるけど
機器のコストは安いし(RTX1100でもOKだと思う)負荷分散も兼ねるならメガデータネッツ使うのも手かもしれん
運用コストはあがるけどね・・・
でもコスト計算するのはINS1500でバックアップよりも確定してるから予算とりやすいんじゃないのかな?

132 :anonymous@ wamnet1.st.wakwak.ne.jp:2006/08/03(木) 11:45:52 ID:cOEgR1N0
スミマセン一つ質問です。
最近のPCはシリアルポートが無い物が多いと思います。
そういった場合にUSBからシリアルに変換するものを使用していますが、
皆さんは何を使用してますか?

ちなみにコレを使用しています
ttp://www.sun-denshi.co.jp/scc/products/mobile/vs60r/vs60r.htm

133 :eee:2006/08/03(木) 11:46:59 ID:cOEgR1N0
t

134 :sage:2006/08/03(木) 16:25:30 ID:???
>>130
ヤマハホームページの設定事例集と付属のコマンドリファレンスでまんまできるだろ。VPNの部分とネットボランチDNSの部分をくっつければ。
調べる気、やる気が全くなく他力本願なのがミエミエ。
愚図を自認して業者か知人にお金払ってやってもらった方がいいよ。

>>132
秋月で買った。どこの買っても機能的に違いはないと思うけど。
なにより安いし、ドライバもホームページ上で公開されていて、出先とかで別の端末で使うときもインターネットさえ繋がれば利用できるというととで。
国内サプライメーカー物は高いし、安い出元が不明なバルクや輸入物はドライバがインターネットから手に入らない物があるから。

135 :ラッパーD:2006/08/03(木) 22:18:55 ID:???
>>132
ワシの場合シリアルケーブルはIPアドレスの設定するときしか使わないので
シリアルケーブル使えないPCの場合
ココで紹介されてるRAPD.EXE使ってます
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/rarpd.html

136 :eee:2006/08/03(木) 23:53:03 ID:h+wfnwhI
>>134
なるほど安いですね。ちなみにCiscoに接続したことありますか?

また別の製品で、確認しなかった自分も悪いのですが、これは
yamahaもCiscoにも使用できませんでした。
ttp://www.riteup.com/products/cables/ruuprl1.html

これはyamaha、Cisco共にOKでした。
ttp://www.area-powers.jp/white/u1rs.htm

137 :あのにん:2006/08/05(土) 00:33:03 ID:???
1年くらい前のトラ技に載ってたけど、
安物のUSB-シリアル変換は波形が歪んでるって。
(記事中ではメーカーを明記してなかったけど)

本当に必要なときに動かないと困るから、一個はまともなもの買って桶。

138 :_:2006/08/05(土) 15:10:54 ID:???
9600bpsならちょっとくらい歪があっても使いものにならんことはないだろう。


139 :anonymous@ 67.162.192.61.tokyo.global.alpha-net.ne.jp:2006/08/05(土) 16:21:17 ID:???
歪んで save→cold start になったりしなきゃ大丈夫だ

140 :anonymous@ FLH1Aar229.szo.mesh.ad.jp:2006/08/08(火) 00:48:43 ID:???
秋月のって安いんだよねぇ。なので、十数本買って色々使ってたけど、
他のUSBドライバとの相性があったり、たまに認識しなくなったりで
結果的に全部捨ててしまった。
必要な時に使えないってどうしようもないからねぇ。


141 :anonymous@ toyizu019036.adsl.ppp.infoweb.ne.jp:2006/08/08(火) 01:50:06 ID:???
ラ○ックだけはガチ。
でも、他の機器とケーブルを使いまわせるアイ○ーの方がもっとガチ。

142 :_:2006/08/10(木) 00:53:52 ID:???
びすみつーか、そもそも信号電圧がかなり嘘っぱちじゃないか?
負電源作ってるUSBシリアルって有る?

物によっては0-5Vじゃ全く通信できないよ?

143 :sage:2006/08/10(木) 04:29:49 ID:OZDxp57C
RTX1500とRTX2000の設定って互換性ありますか?
うーん。。。繋がらないです。なぜだろう。。

144 :anonymous@ ip70-174-150-78.dc.dc.cox.net:2006/08/10(木) 09:22:46 ID:???
>>142
つ[MAX232]

145 :anonymous@ d254037.ppp.asahi-net.or.jp:2006/08/10(木) 23:37:58 ID:ekbw/kyY
RT107eのlan1をポート分割し、IPフィルターで一部のアドレスを弾くと、dhcpサーバがうまく動かないのだ…。
こんなものなのか?

146 :anonymous@:2006/08/12(土) 17:01:19 ID:???
購入前のご相談です。RTX1100 の導入を検討しています。

L2TP+IPSec の 2点間インターネット VPN と併用して、
RT57i のように、出先のノートPCなどからWidows の標準機能だけで
PPTPでローカルネットワークにアクセスすることは可能でしょうか。


147 :ほよ:2006/08/12(土) 19:04:07 ID:???
>>146
>L2TP+IPSec の 2点間インターネット VPN
L2TPがいるのか?IPSecだけじゃだめか?
つーか、RTX1100はL2TPだめだったと思うけど。

>PPTPでローカルネットワークにアクセスすることは可能でしょうか。

できるよ。

148 :anonymous@ p5126-ipad304sapodori.hokkaido.ocn.ne.jp:2006/08/12(土) 19:09:22 ID:???
L2TP+IPSecがつかえるかはしらんがIPSecとPPTPの併用は可能
で、標準機能だけで接続可能

149 :146:2006/08/13(日) 06:12:22 ID:???
ありがとうございます。L2TPじゃないんですね。
IPSec での 2点間のLAN間接続(固定IPアドレス同士)と
リモートアクセス型PPTP(片側IPアドレス不定)が併用できれば
良いという話でした。強いて L2TPでなくても良いですね。

説明下手で申し訳有りません&情報ありがとうございました。


150 :anonymous@:2006/08/23(水) 17:03:04 ID:51FdBIHL
RTX1100を使ってIPsecを設定しようとしています。
とりあえずWeb設定画面を利用して両方のルーターの設定をして、設定の検証では問題ありませんと出ました。

しかしUpにならず、ずっとDownのままです。
原因は何が考えられるんでしょうか?

またIPsecの接続時のログというのはどこにありますか?
(show logでいいんですか?)

151 :anonymous@:2006/08/23(水) 17:32:48 ID:pF9ETLxQ
ちょっと説明不足でした。
A,Bという場所があって(どちらも固定IP)
その2点の両方にRTX1100を使っているのでその間にVPN(IPsec)を構築したいということです。

152 :anonymous@:2006/08/23(水) 17:33:23 ID:???
IDが変わってしまいました。
151 = 150 です。

153 :anonymous@ router.azumagrp.co.jp:2006/08/24(木) 17:03:15 ID:???
VPN (IPSec) を構築しています。
RT107e をセンターとして固定IPで設置し、動的IPの拠点を「複数」接続したいと思っています。

これは可能でしょうか? (動的IP拠点は1個のみなどという制限のある製品があります)
また、最大トンネル数は6個(つまり動的IPの拠点が6個まで同時にVPN利用可能)という
事で良いのでしょうか?

154 :IKE V0.9:2006/08/24(木) 17:18:22 ID:???
イニシエータがブランチ側から、という風にあげれば複数使えるはずだけど。

155 :あのにー:2006/08/24(木) 20:15:14 ID:???
>>153
可能。
ただし >>154 さんも言ってる通り拠点側から接続する形になる。

ちゅーか、会社からですか。
まぁ、ここなら見つかっても文句言われないか。良スレだし。
ウチの会社なんてタイル背景が表示されてるだけで文句言うし。
ログってないから専ブラ使ってる w

156 :anonymous@:2006/08/29(火) 20:21:28 ID:???
はじめての YAMAHA のルータが届き、
今日ははじめての VPN(IPSec) LAN間接続に挑戦しました。

苦闘 6時間、やっと繋がった。長かった・・・思わず感動して泣いたよ。



繋がらない、繋がらない、と唸りながら、sa やら NATディスクリプタやらフィルタリングやら
隅々まで穴が空くほど精査しても全然判らなくて。メーリングリストにも入ったけど、
なんか素人が質問するのも気が引けたので、マニュアルやら rtpro.yamaha.co.jp を
探し回って。それでも原因が判らなくて。

結局、ふと思って書き加えた「 tunnel enable 1 」で、あっさり繋がった。 _| ̄|○


けど、そこに行き着くまでが、むちゃくちゃ勉強になったよ。
ありがとうYAMAHA。

157 :anonymous@ eatkyo138146.adsl.ppp.infoweb.ne.jp:2006/08/29(火) 21:12:28 ID:???
>>150-152
syslog debug on にして細かくログを取ってから、show log してみたら ?

158 :だいなみっく:2006/08/29(火) 21:29:43 ID:???
くだらない質問で申し訳ありませんが、
RT107eって両方の拠点とも動的グローバルIPの環境でVPN可能でしょうか?

ごくごく小規模な会社や、なかよしグループでのVPN構築に固定IPはちょっと厳しい。
ま、そういった環境にはRT58i+ネットボランチDNSって事でしょうか。

また、スレ違いで申し訳ありませんが、YAMAHAにこだわらなければ、
IO-DATAのETX-VRT(http://www.iodata.jp/prod/network/bbrouter/2006/etx-vrt/index.htm#mnal
のように、両方ダイナミックなIPでIPsec-VPNできる製品って他にもありますでしょうか?

159 :anonymous@ softbank220025218125.bbtec.net:2006/08/29(火) 22:55:53 ID:???
>>158
RT107eはネットボランチDNS対応
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/NetVolanteDNS/netvolante-dns-rule.html

160 :だいなみっく:2006/08/30(水) 00:38:59 ID:???
もしかして、レスポンダ側は固定IP必須、というのは既に過去の話?


161 :anonymous@:2006/08/30(水) 08:50:01 ID:???
ルータ触った瞬間に「ピリッ」って静電気が走ることが多いんだけど
みな接地線ってマメに取ってるのかな?


業務用ルータって謳ってるんだったら
最初っから三極コンセント(+二極コネクタ)にしてくれりゃ良いのに・・・

162 :___:2006/08/30(水) 18:40:25 ID:???
>>160
ぜえったいに必須かどうかということなら、確かに過去の話。
でも、DNS がコケるとつながらなくなるリスクもあるから、固定 IP の方が
確実といえば確実。

163 :だいなみっく:2006/08/30(水) 19:06:59 ID:???
となると、IPsecというかIKEの仕様(?)からはずれた独自の実装で対応している製品が
たくさんあるってことでしょうか?
RT107eやRTXシリーズとかでも、相互に相手先をホスト名で指定してVPN構築できちゃうんですか?
(とりあえず信頼性という点は置いておいて)

164 :anonymous@ softbank220025218125.bbtec.net:2006/09/01(金) 00:01:12 ID:???
>>163
ホスト名で可。
コマンドリファレンスの ipsec ike remote address のところを見てみ

165 :IKEv2.11:2006/09/01(金) 00:28:06 ID:???
最近はFQDN→アドレスを毎回やってアドレス直ではない接続を可能にしてる奴はおおいよ。
つうかLinuxベースだとFreeS/WAN系で対応できるから出来るのも多いけど。
IPSecのコンセプトには反してるけどね確かに。ホスト名解決が挟まっちゃってるから。
それならXAuthも同時に実装してくれよと思うし。

166 :まるまる:2006/09/02(土) 10:28:35 ID:Yzbtc0eD
RTX1100でIPSECを使ったVPN回線を構築しています。
構成は
(センター)インターネット回線

ADSLモデムルーター(VPNパススルー)

RTX1100

PC
といった構成になっています。
PING試験やOracle,PcAnywereは問題なくVPNを通過して利用できるのですが
Windowsの共有フォルダから1MBほどのファイルをコピーしようとすると
VPNを通過できないのか、「指定されたネットワーク名は利用できません」
というメッセージがPCで表示されます。
(共有フォルダは参照して、画面に一覧表示はできます)
ADSLモデムのランプを見るとDATAのやり取りがほとんど行なわれていません。

ちなみに、数キロバイトのファイルはコピーしてくることができます。

考えられそうな原因なにかないでしょうか?

167 :anonymous@ 192.117.147.124.dy.bbexcite.jp:2006/09/02(土) 10:59:32 ID:???
>>166
マルチうぜー

168 :RTX774:2006/09/02(土) 23:55:01 ID:???
>>166
マルチか知らんがこれだけは言っておく


          C O N F I G 出 せ よ 、と

あと、一部でもマスクしてると判断つかないからadministratorで出したconfigを出すように。

169 :anonymous@ 59-190-21-150.eonet.ne.jp:2006/09/04(月) 08:33:35 ID:zdPA7V9P
>>168
あーあー。やだねー。こういうの。
「一部でもマスクしてると判断つかないから」
パスワードもみなきゃ分らないとでもいいたいのでしょうか。

170 :anonymous:2006/09/04(月) 09:31:27 ID:???
一般ユーザでも pp auth のパスワードや、ike-preshared-key text が
簡単に見えてしまうというのは如何なものかと。

というか「管理レベル」なんて要らなくね?

171 :anonymous@ h140.p052.iij4u.or.jp:2006/09/04(月) 18:42:11 ID:???
G-LEXなんだけどRTV700でregistだけしてで安心してたら、
実際通話してみたらRTVからの音声が通らない。
SIPPhoneが使えているのでFWもNATも問題ないと思うんだけど。



172 :RTX1100:2006/09/06(水) 19:11:03 ID:???
RTX1100 を2台使って IPsec で VPN を構築し、PING も通るし
\\192.168.xxx.xxx で共有フォルダにもアクセスできるんだけど、
コンピューター名でのアクセスができません。
単純に考えてフィルターの設定?。それとも WINSサーバーが必要?

オムロンのルーターで VPN 構築したときは何もしなくてもコンピュー
ター名で見えたのでフィルターの設定なのかなぁと思ってるんだけど。

173 :とりあえず基本から:2006/09/06(水) 20:51:06 ID:???
NETBEUIはインストールされてますか?

http://homepage2.nifty.com/winfaq/networkchecklist.html
http://homepage2.nifty.com/winfaq/wxp/network.html#719

的はずれならすみません。
実は初心者です。

174 :_:2006/09/06(水) 22:22:10 ID:???
>>172
broadcast通らなくなってるんでは?

>>173
IPじゃNetBEUIは使えないべ。



175 :SWaP by sun:2006/09/06(水) 23:51:19 ID:???
>>172
NBTブロードキャストでコンピュータ名を取得するから、
NBTブロードキャストを通すようにしてやるか、WINSサーバが普通だと思うけど。

176 :anonymous@ q001170.ppp.asahi-net.or.jp:2006/09/07(木) 13:28:58 ID:bm5Aybot
>>172

異なるサブネットでブラウジングしたいばあいは,Windows Server 2003
を購入して,ドメインを構築するか,Sambaを使うかどちらかですね。

Sambaを使えばドメイン構成にしなくても大丈夫。詳しくは高橋基信さん
の本を参照してください。

なお,結論を言えば,労多くして功少なしです。やめておいた方がいい。


177 :anonymous@ p8252-ipad309sapodori.hokkaido.ocn.ne.jp:2006/09/07(木) 13:46:36 ID:???
アドレス固定ならLMHOSTSに書けばいい
動的ならWINSだな
XPとかで名前引くだけならDNSでもいけるかもよ

178 :anonymous@:2006/09/08(金) 09:50:35 ID:hR89+w0y
RTX1100 同士のパフォーマンスで相談です。

素FTP転送量 実測 733 kBytes/sec (6.1Mbps) の区間で
IPSec VPN のFTPだと 390 kBytes/sec (3.2Mbps) になりました。

IPSec の性能としてはこんなものですか?もう少し早くなりそう?

179 :(´・ω・`):2006/09/12(火) 16:56:07 ID:4UPpFX+t
質問(´・ω・)ス RTX1100で
lan1 lan2がLAN側、lan3がNAPT(B-フレッツのPPPoE 1IP)を
利用したインターネットを利用する形でコンフィグしました。

ip route default gateway pp 1
ip filter directed-broadcast on
ip lan1 address 192.168.10.254/24
ip lan2 address 192.168.20.254/24
pp select 1
pppoe use lan3
pp auth accept pap chap
pp auth myname ******* ******
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1
nat descriptor type 1 masquerade
dns server 202.234.232.6 221.113.139.250
dns private address spoof on
snmp host 192.168.10.217
snmp trap host 192.168.10.217

こんな感じなんですが、192.168.20.0/24 192.168.10.0/24
それぞれのサブネット→インターネット は通信できるんですが、
192.168.10.1 → 192.168.20.1 のように、LAN間の通信が
Pingすら通りません・・・。(RTX1100自身からは双方にPingが通ります)

上記コンフィグのどこかに足りない部分があるのでしょうか。
助けてください。

180 :それ(ry:2006/09/12(火) 17:45:31 ID:???
えーっと、公式サイトの設定例は眺めた?ルーティングとNATディスクリプタの説明は?

で、lan1とlan2で通信する設定は?

181 :anonymous@ gw.eniken.co.jp:2006/09/12(火) 18:10:06 ID:XYKKaZZB
RTX1000とRT57を使っているのですが、PPPoEパススルー機能はないのでしょうか?
コマンドリファレンスには載っていませんでした。


182 :(´・ω・`):2006/09/12(火) 18:26:10 ID:VMHqMT12
>>180
ごめんなさいごめんなさいごめんなさい

片方のネットワークのデフォルトゲートウェイが
片方のネットワークのルートを知りませんでした

ぶたないでください(´・ω・)

183 :名無し:2006/09/12(火) 22:18:45 ID:???
>>181
・・・・・・。

>>182
どんまい。

184 :anonymous:2006/09/12(火) 22:36:48 ID:???
RT58ってもう試した人いる?

185 :anonymous:2006/09/13(水) 09:55:11 ID:???
ttp://pc8.2ch.net/test/read.cgi/hard/1152071495/227-
こっちで買ったって人は現れた

186 :anonymous@ s28.IohsakaFL10.vectant.ne.jp:2006/09/14(木) 20:32:42 ID:???
RTX1100 と RT107e でVPN張ったんですが、遅いんです

私はいつもここで測定してるんですが、
http://www.bspeedtest.jp/
RTX1100側 下り60M 上り 30M
RT107e側  下り38M 上り 20M

VPN張って、ファイルコピーしてみると、1ファイルだけのコピーで5M程度
2ファイル同時でで11M、3ファイル同時で16M
同時転送が増えるごとに転送速度はあがってるんですが、1ファイルコピーでMAXにならないのは?

こんなもんですか?



187 :anonymous@ s38.IohsakaFL10.vectant.ne.jp:2006/09/14(木) 22:45:25 ID:???
186です
追記です
ターゲットはRTX1100です

VPNソフトでも確認してみましたが、やっぱり遅いです
RT107eと同等の速度しかでません

1ファイルのコピーなら15M前後は出て欲しいところです

188 : :2006/09/15(金) 21:20:06 ID:???
う?うーん…
http://imihu.blog30.fc2.com/blog-entry-1922.html

189 :anonymous@ softbank218114238015.bbtec.net:2006/09/18(月) 16:31:57 ID:Vh4bizgn
RTX1100ですが、
pppoe ではなく、
Yhahoo への接続設定はどんなコマンドになるのでしょうか?


190 :anonymous@ FLH1Aji043.tky.mesh.ad.jp:2006/09/18(月) 18:31:04 ID:???
・・・・・・・・・・・・・・・・・・・・・・・。

191 :ななしさん:2006/09/19(火) 10:23:44 ID:???
>>189
繋げば即ネットだから、接続設定なんてイランだろう…
それとも、NATやルーティング設定の事を聞いているのか?

192 :2ch:2006/09/19(火) 13:44:12 ID:???
>>186
クライアントのMTU

193 :名無し:2006/09/19(火) 15:09:47 ID:???
>>191
RTX1100にYahooADSLモデムを接続するので、
ルーティング設定ということになると思うのですが。

LAN1 :ローカルLAN
LAN2またはLAN3 にYahooADSLモデムを接続


194 :_:2006/09/19(火) 15:44:43 ID:???
その様子だと説明してもわからんと思うが・・・

195 ::2006/09/19(火) 15:51:10 ID:???
YahooBB設定例って、netvolante.jpかwww.rtpro.yamaha.co.jpになかった?

196 :名無し:2006/09/19(火) 18:25:35 ID:???
>>195
ありがとうございます。
ありました。
http://www.rtpro.yamaha.co.jp/RT/FAQ/ADSL/example-yahoo-bb.html

197 :brc14v:2006/09/21(木) 10:05:58 ID:???
下記を参考にしてみたのですが、
RTX と プラネックス BRC-14V をIPsec で接続できません。

ttp://brc14v.ath.cx/

暗号化をフェーズ1、2とも、
3des-cbc にしてみてもダメなのですが、何が悪いのかな?


198 :anonymous@ softbank218182244070.bbtec.net:2006/09/23(土) 12:01:37 ID:???
>>197
あなたの頭


199 :anonymous:2006/10/02(月) 17:09:03 ID:z7pbxUYk
netscreen5gt とRTX1100 との間で VPN(IPSEC) を構築したいのですが、
約1分ごとに IPSEC が切断されてしまいます。(すぐに再認証が行われます)
IKE のライフタイムなどはデフォルトのままなのですが、
何か対策はないでしょうか?

200 :sage:2006/10/02(月) 20:01:04 ID:???
> 199
RTX1100のキープアライブをicmp-echoにしてみては?
ipsec ike keepalive use N on icmp-echo IPADDRESS

201 :sage:2006/10/03(火) 20:41:31 ID:???
users MLで恐ろしい誤爆…

202 :禿藁:2006/10/03(火) 21:08:30 ID:???
こりゃあ始末書の始末書を書かないといけないな

203 :_:2006/10/04(水) 01:04:51 ID:???
>>202
誤爆されたメールをよく読むと、
既に、始末書案の訂正依頼と書かれているwww

204 :ワロタ:2006/10/04(水) 06:24:24 ID:???
悲惨だ。

始末書を求めた側が、今回の件で始末書を求められ立場逆転かな。

205 :よろしく:2006/10/04(水) 12:32:33 ID:???
うp

206 :_:2006/10/12(木) 01:57:23 ID:???
リブートしまくりのレポートが多いけど、どうなってるんだろ?

207 :anonymous@ 26.76.147.124.dy.bbexcite.jp:2006/10/12(木) 20:33:21 ID:???
固まらないだけ安物と比べたら
まだマシかと思う。

208 :anonymous@ p7229-adsan02yokonib1-acca.kanagawa.ocn.ne.jp:2006/10/15(日) 00:18:17 ID:???
自宅にRT58i買おうかと思ってるんだけど、まだ地雷かな?

209 :_:2006/10/15(日) 01:48:44 ID:???
安いから1台くらい買えば?
不具合はYAMAHAに報告しまくりして完成度を高めてみては?
YAMAHAは凄く対応が良いから、糞丁寧に教えてくれるよ

210 :anonymous@ h081.p050.iij4u.or.jp:2006/10/16(月) 14:17:31 ID:???
おまいらvista、vistaって金持ちだな。
タバコ値上げで禁煙したおいらは、この際、ぃぬにいくよ。
MSには、Win95,98,XP、office95、2000とお布施してきたんでもういいでしょ。
窓は仮想マシンでXPと98動かせばOK。

211 :_:2006/10/16(月) 19:43:29 ID:???
どこの誤爆だ・・・

212 :208:2006/10/17(火) 01:35:22 ID:???
うへぇ、ここはデフォルト節穴なの忘れてた

>>209
背中押してくれてありがとうw
仕事でRTX1000,1500あたりいじってたことあるんで(ヘボ管理者だけど)、
自宅もRT系にしようと前々から考えていたんだよね
もう1,2週間MLの様子みてから購入するワ

213 :(・ω・ ):2006/10/17(火) 10:42:37 ID:???
>>210
つか、エロゲネトゲとか考えないならFreeBSDが一番安価だよね。

スゲー久しぶりにつついたら、packageの充実振りに驚いたよ。

214 :anonymous@ softbank218182244070.bbtec.net:2006/10/18(水) 22:43:32 ID:???
RTX と プラネックス BRC-14V をIPsec 接続できました。

215 :anonymous:2006/10/19(木) 00:04:56 ID:???
>>213
うちはルータもFreeBSDにやらせてる

216 :anonymous@ 218.224.233.121:2006/10/25(水) 10:27:33 ID:???
ip route default gateway pp 1 filter 500000 gateway pp 1
ip lan1 address 192.168.1.1/24
ip lan2 address ***.***.***.121/29
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ***.***.***.121
nat descriptor static 1000 1 ***.***.***.122=192.168.1.107 1
nat descriptor static 1000 2 ***.***.***.123=192.168.1.3 1
dhcp service server
dhcp server rfc2131 compliant except remain-silent
dhcp scope 1 192.168.1.2-192.168.1.191/24
dns server ***.***.***.122 ***.***.***.***
dns server select 500001 ***.***.***.122 ***.***.***.*** any . restrict pp 1
dns private address spoof on
httpd host any


教えてください。
RT107e上記設定を行っているのですが、
NATの記述をしたサーバに接続ができません。
lan2はPPPOEで使用してて、ppにnatを設定しています。
なにか記述がぬけてますでしょうか?
テスト段階のためフィルタは何もかけていません。

217 :(´・ω・):2006/10/25(水) 11:40:27 ID:???

PPPoEってことはWAN側はunnumberedじゃないとだめではない(´・ω・)スか?


218 :216:2006/10/25(水) 15:08:19 ID:???
>217
いけました。
ありがとでした

219 :Si:2006/10/29(日) 04:20:15 ID:???
こんばんは。
当方、RTX1100を自宅で利用している者です。

今日、弟がXBOX360を購入して参りました。
早速ネットに繋げようとしたら、
接続途中でエラーが発生してしまい接続できないのです。
症状といたしましては、XBOXが自身のインターフェイスのMTU値を決定するために
ルータへアクセスする段階があるのですが、その際に失敗するようです。
RTXのMTU値は1454に設定してあります。
また、「EditMTU」なる分割されないMTU値を自動で求めるソフトをPC上で利用した場合には、
MTU値が1426の時にリクエストタイムアウトを起こしてしまい、XBOXど同様の現象が起きてしまいます。
当方のRTXは、LAN側からMTU値が読み取れない状態になっているのでしょうか?

もし原因が分かる方がいらっしゃいましたら、何卒ご教授のほどをよろしくお願いいたします。

ちなみに、XBOX側の回答はこのようになっておりました。
http://support.microsoft.com/default.aspx?scid=kb%3Bja%3B908882

220 :219:2006/10/29(日) 04:48:32 ID:???
すみません。
先ほどの質問で一つアホな間違いを書いているので訂正させてください。
>MTU値が1426の時に
正確にはDataSizeが1426であり、MTU値は1454です。

その後いくつか検証してみて分かったことがあるので付け足します。
EditMTUを使用したときにタイムアウトエラーを起こす理由は、
ルータの不正アクセス検知機能が原因でした。
"ICMP too large:1025バイト以上のICMPを受信したとき"に引っかかるようで、
不正アクセス履歴にしっかりと跡が残っておりました。
検知機能をOFFにすればEditMTUは正常に動作し、MTU値も正確に求められました。
しかし、XBOXはOFFにした状態でも接続不可能でした。
原因は別だった模様です。

221 : :2006/10/29(日) 07:01:48 ID:???
>>219
私はXBOXは持ってないので原因はわかりませんが…
ひとまず lan port-mirroring コマンドでミラーポートを作って
Etherealでパケットキャプチャしてみたら?

何が流れてるかわかるので、そこから原因を探れると思うよ。

222 :_:2006/10/29(日) 10:56:04 ID:???
>>219
Windows再起動後、RWinのサイズは?
ttp://www.speedguide.net/analyzer.php

223 :anonymous@:2006/10/29(日) 13:20:46 ID:???
>>219
フィルタ関連をとりあえずはずした状態はどうでしょう?

224 :ななしさん:2006/10/29(日) 14:19:21 ID:???
ポートが開いてないか、UPnPころしてるとかかな?
2つくらいポート開ければ、テストは通るようになると思う。
開けるポート番号は、XBOX系のまとめサイトに載ってたかな。

225 :anonymous@ K139098.ppp.dion.ne.jp:2006/10/30(月) 02:28:54 ID:???
>>221-224
レス、大変感謝しております。
RWIN値は260176に設定しております。

とりあえず、フィルタ関係の見直しと、
UPnP及びXBOX系まとめサイトへを見てみます。
その辺で解決しなかった場合は、ポートのミラーリングを試してみます。

この度はありがとうございました。

226 :anonymous@ 222-151-095-091.jp.fiberbit.net:2006/10/30(月) 23:52:16 ID:???
東日本のフレッツグループ上で、
アライドテレシスのAR410で2点間をL2TPでつないでる場所に、
追加でYAMAHAのRTX1100を使った拠点をつながないと
いけません。
L2TPの設定は生かしたまま設定をしたいのですが、
RTX上でL2TPトンネルを構築することは不可能なのでしょうか?
あるいは、L2TPを生かしたまま、追加できるお勧めのセッションは
ありますか?

227 :anonymous:2006/11/01(水) 14:24:55 ID:???
RTX2000がCPU100%でリブートして困ってるんですが、もう放置プレイでしょうか?

RTX2000/1000でネットワーク組んでしまってるのでまだRTX3000買えないorz

228 :anonymous:2006/11/01(水) 14:42:48 ID:???
100%だけならともかくリブートするのは、高負荷だけが原因じゃないと思うけど
サポートに聞いてみたら?

229 :(´・ω・):2006/11/01(水) 15:40:00 ID:???
DoSでも食らってたりして(´・ω・)

230 :anonymous:2006/11/01(水) 16:00:18 ID:???
お菓子くれなきゃ
DoS攻撃するゾ☆

#1日遅かったデス

231 :anonymous:2006/11/09(木) 23:43:38 ID:???
フレッツ光プレミアムだとVPNは不可能なのですか?

232 :anonymous:2006/11/10(金) 00:37:02 ID:???
>>231
ttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-PREMIUM/connect0.html

# 最近はCTUのバージョンアップ(?)で
# CTU側でPPPoEブリッジができるようになったらしいですね。

233 :anonymous:2006/11/10(金) 14:43:08 ID:???
>>232
親切な方、ありがとう!

234 :anonymous@ crux.aitai.ne.jp:2006/11/11(土) 09:01:09 ID:???
RTXシリーズのVPNスループットってwebだと双方向の値で表記されてるけど
片方向なら半分ってことでOKですか?

235 :anonymous:2006/11/13(月) 00:11:23 ID:???
>>231
VPNはOKですが、PPPoEを利用する場合は、
無料でついてくるNTTのセキュリティ対策ツール(ウィルスバスター)は一部、使用できなくなるなど、
NTT固有のサービスなどは制限がいろいろあるので、ご注意を。
ttp://www.ntt-west.co.jp/flets/hikari-p/omoushikomi_goriyou/ryuuijikou/pppoe/index.html

236 :anonymous@ KD125054110039.ppp-bb.dion.ne.jp:2006/11/13(月) 22:24:26 ID:???
RT107eなのですが、LAN2インターフェイスのmacアドレスを任意に
設定する事は可能でしょうか?


237 :(´・ω・):2006/11/14(火) 09:41:29 ID:???
>>236
コマンドにそれっぽいのは見当たらないので無理じゃない(´・ω・)スか?

ハード分解してFlashだかなんだかを直に書き換えられるならともかく。

238 :anonymous@ 357667002511926:2006/11/21(火) 15:05:02 ID:???
RTX1100を使って、
PDA→Bluetooth携帯→電話回線→RTX1100→サーバ(PC)
という風に構築して、FTPでサーバにデータを送れって言われたんだけど、この場合、どんな設定をすればいいのかな?
受け側の設定方法が全く見つからなかったもので…。
お願いします…。

239 :(´・ω・):2006/11/21(火) 15:28:52 ID:???
>>238
やったことないからアレで(´・ω・)スが

isdn local address bri1 でテメェの回線設定して
ppに発呼側の電話番号入れ込むか、anonymousにしてpp authを
設定するんじゃダメなんで(´・ω・)スか?

240 ::2006/11/21(火) 15:59:48 ID:???
携帯電話はISDN回線じゃないからダメじゃないですか?

241 :anonymous@ FLH1Aax003.szo.mesh.ad.jp:2006/11/21(火) 22:06:37 ID:???
PHSなら可能

242 :anonymous@ p2141-adsao03yokoni-acca.kanagawa.ocn.ne.jp:2006/11/22(水) 00:02:42 ID:???
>>241
PHSじゃなくて、ドコモのFOMAのBluetooth機能がついてる奴なんですが・・・。
とりあえず、セキュリティとかは度外視で、繋がればいいみたいなんです。
教えてクンですいませんが、どうかよろしくお願いします。


243 :anonymous@ 124x33x196x189.ap124.ftth.ucom.ne.jp:2006/11/22(水) 01:02:03 ID:???
FOMAの64K回線交換モードなら、普通にISDNの64Kに接続できる。
RTX1100側にISDN回線を用意すればいいだろう。

どうすれば64K回線交換になるかは、FOMA端末のマニュアル読むべし。

244 :anonymous@ 220-213-105-214.pool.fctv.ne.jp:2006/11/22(水) 23:43:23 ID:???
>>208
動的IPフィルタにバグ有り 勝手にリブートして通信切れる
修正版ファームウェア準備中らしい

245 :rtx-newbie:2006/11/23(木) 23:01:36 ID:???
RTX-1500 同士で IPv6 over IPv4 tunnel な VPN を張りたいです。
で IPv6-over-IPv4 だと
tunnel encapsulation ipip
を使うっぽいのですが、ipip 関連の設定例は↓位しか見当たりません。
http://netvolante.jp/solution/vpn/case2/example6.html

で、その設定例には tunnel の構成は書かれているけど
認証・秘密鍵みたいなのは全然 config に登場しないですよね?
もしかして ipip って ipv6 を ipv4 の payload に載せるだけで
暗号化するには
IPv6-over-IPv4(ipip) over IPsec
みたいな多重構成にしないと駄目なのでしょうか?

IPv6 自体初心者なんでなにがなにやら...

よろしくお願いします

246 :きっと:2006/11/23(木) 23:21:58 ID:0FfouD6A
これですかね

>IPv6 over IPv4トンネルでIPv6パケットをIPv4パケットで包んでから IPv4のIPsecで暗号化するケースです。

ttp://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/faq_3_d.html

247 :anonymous:2006/11/24(金) 00:07:47 ID:???
>>245
まずは draft-ietf-v6ops-ipsec-tunnels-04.txt を読むべき

248 :rtx-newbie:2006/11/24(金) 10:25:33 ID:???
>246
おー、激しくそれを読まなきゃいけないっぽいです。

netvolante.jpと www.rtpro.yamaha.co.jp ってどういう関係なんだろ...
yamaha.co.jp からは素直には辿れないですよね...(google は教えてくれるけど)

>247
ある意味正論かも知れないけど
とりあえず設定したい人にはハードル高すぎっす…

249 :anonymous:2006/11/27(月) 12:11:52 ID:???
ヤマハのあるおたく技術者が中心となってRT100iを作って世に出した。
#ここでいうおたく、はいい意味で。
で、そのおたく技術者が作ったサイトがwww.rtpro.yamaha.co.jp。
これは商売になる、ってんでちゃんとした?組織として商標も取ったのがnetvolante系。
rtpro系とはある意味独立している。

250 :anonymous:2006/11/27(月) 23:09:48 ID:???
?そうなの?
当時ヤマハでISDNチップつくってたから
RT100i出したんじゃないの?
当時としては格安の業務用ルーターだったから結構売れたっしょ
で、当時からサポートやファームなどはrtproで公開してたし、
メーリングリストからのフィードバックもまめにrtproで更新してたし
ネットワーク管理者向けのサイトという位置づけだよね

その後家庭用SOHO用ルーターが売れだしてきて
ヤマハもその波に乗って出してきたブランドがnetvolanteでしょ?

ページ的には昔のまま技術系のページのままでいるのがwww.rtpro.yamaha.oc.jpで
プロのWebデザイナーとか使って商品紹介など売るためのページ的な感じで
netvolante.jpがあるんじゃないの?

251 :define:2006/11/28(火) 00:49:12 ID:???
YAMAHAルーターの中にはこびとさんがいるんだよ^^

252 :ななしぃ:2006/11/28(火) 04:16:20 ID:???
>これは商売になる、ってんでちゃんとした?組織として商標も取ったのがnetvolante系。
>rtpro系とはある意味独立している。

間が完全に飛んでるぞ
第一興商とか

253 :sagee:2006/11/28(火) 12:28:56 ID:PSovkDpA
以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。
環境は、本社・拠点ともにBフレッツの固定IPあり(OCN)だったのですが、
エクセル開くのに数分は余裕でかかっていたそうです。

この度にわか管理者となり、VPNを組もうとしているのですが、
あまりに不安定だったり遅いようだと考えてしまいます。
VPN組んでらっしゃる方々、現状いかがお過ごしでしょうか(・ω・`)
環境は、本社RTX-1100(Bフレファミリー、Asahi固定IPあり)と
1拠点(USEN光マンションタイプ、固定IPなし)という状況です。

ちなみに、フレッツグループ東西の壁に阻まれての策です。
最後の手段はPacketiX(旧Softether)ですが、ちょっとPC分かってるヤツに
電話で人間リモート設定させたら、いくらでも経路が開けてしまうので
使いたくはないのですが・・・・・
もちろん今はポートも閉じてPacketiX不能にしています。

結局のところ・・・・・・・・・
藻前ら頼む背中を押してくれ!
おいちゃん、一人で踏み出すのヤだよ!って事です。

「帰れ!」でも良いので一言お願いします。

254 :anonymous:2006/11/28(火) 12:38:05 ID:???
IP固定してIPSecにしてるうちの本支社間はエクセル数秒で開くよ。
もちろんIPSecだから57iじゃできないけど。

詳しいことはエロイ人に任せるしかできないにわか管理者なのでsage

255 :('A`):2006/11/28(火) 13:23:04 ID:???
>>253
理論上、PacketiXでの通信速度とVPNでの通信速度の差は
同じ回線使う限り暗号化による遅延だけでしょ?

Bフレッツそのもののスループットが出てるなら、あとは
トンネル数の問題じゃね?

ぶっちゃけ、スキルうp!!!を目指すなら漢らしくOpenVPNでどうよ。

256 :anonymous:2006/11/28(火) 13:39:08 ID:???
安定運用するならRTX対抗でIPSecだろ
PacketiXってPCに入れるんだろ?
PCよりはRTXの方が故障率低いだろ

257 :猫のウンコ:2006/11/28(火) 14:48:56 ID:???
>以前の会社の管理者が、本社RTX-1000と拠点RT-57iとでVPNを組んでいました。

まったく環境が違うけど、RT57iとXPでPPTP接続って環境は恐ろしく遅かった。安定はしていたけど。
ヤマハにも問い合わせても「問題無し」と言われ、ハード板の人には「パケットサイズ調整しる」と言われたけど、面倒だからそのまま使ってる。

RT57iとRTW65bとのPPTPもイマイチだった。普段は安定してるけど。一端ご機嫌を損ねるとピポピポ鳴りまくり。
両方リセットしないと復旧しない

258 :anonymous@ ip70-174-150-78.dc.dc.cox.net:2006/11/28(火) 16:57:41 ID:???
RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから
潤沢なメモリとCPUパワーありまくりのPacketiXや(CPUの消費電力だけ見ても
PCのCPUはバケモノ級)IPSec専用ハード搭載のRTXと比較したら可哀想な気がする。


259 :ウンコーAA(ry:2006/11/28(火) 21:12:47 ID:???
>>257
その音は消せるわけだが・・・

260 :253:2006/11/28(火) 22:23:45 ID:???
会社のエロイ人に進言ミスって、フレッツグループなしで全拠点VPN組む事になりそうな勢いです。
1拠点設定書き上げたら、あとはマイナーチェンジだからまぁいいけど・・・・・(´д`;)

皆の者、レスありがとうございました。

>>254
IPsecは早いのか・・・・前の会社のPPTPは、固定IPなしだと一日何回も落ちてたらしく、固定取って設定し直してたので・・・
Asahiは固定IP500円だし、RT58iよりRT107eを買うお小遣いをもらえるように稟議書書いてみようかなぁ・・・。

>>255
RTXのコマンドリファレンスと設定事例集を相手にハァハァハァハァしてるときに、
そもそもPPTPとIPsecの違いってなんだ?PPTPの方が、固定IP代なしでRT107eより安いRT58iで済んで機器代金もお得なのか?
と、"PPTP IPsec"ってググると無料のOpenVPNを見つけた。
どんなモノだったかと落として脳みそアボーンでした。
漢になりたいぜ・・・・・・・・・・・・・・・・・・・・・・・(´д`

261 :       :2006/11/28(火) 23:37:04 ID:???
遠隔地を接続するとき、帯域の太さより遅延時間が重要なのは常識。
20msを超えてくるとWindows系は目に見えて遅くなってくる。

262 :('A`):2006/11/29(水) 10:45:33 ID:???
>>260
VPN自体の運用効率を考えるなら、YAMAHAに
こだわる必要自体無いような(ry

Netscreenとかのほうが補完的にリモートアクセスさせてやれたり
するぶん、上が喜びそうな話で言えばTCOが削減(笑)できたり。

個人的には比較的廉価にINSバックうpができるRTX1100大好きだけどね。


263 :猫のウンコ@257:2006/11/29(水) 11:37:38 ID:???
>RT57iでPPTPって小さなメモリ空間と1つしかないCPUでルーティングとフィルタと暗号化/復号を全部やらせるんだから

表現が悪かったお。正確には「遅い」んじゃなくて、「パケットづまり」見たいな事が起こる。AirEdgeのアレみたいな感じ。
一端流れ出すとMbps単位は出てるので、RT57i自体はコスパから言えば、漏れは十分だと思う。

>その音は消せるわけだが・・・

Beepを消しても、機嫌が悪くなるのが直る訳じゃないんで…
逆に、Beepのおかげで機嫌が悪くなったのが分かる。

filterで引っかけてBeepを鳴らす機能があると、トラブルシューティングの時に便利カナ?とか思う時がある。

264 :anonymous:2006/11/29(水) 11:46:51 ID:???
PPTPは高負荷やパケロスに弱い気がする。
基幹を安定運用ならIPsecでしょな

265 :anonymous@ k174171.ppp.asahi-net.or.jp:2006/11/29(水) 12:58:49 ID:NcTZtj7Z
YAMAHAのルータの場合,PPTPはソフトウエア処理になるので,IPSec
と比較すると遅い。ちなみに,IPSecはハードウエアで処理されます。

問題は,RT57iのようなネットボランチ系はIPSecに対応していないので,
IPSecに対応したルータ(RT107e等)でそろえる必要があるという
ところでしょうか。さらに,ネットボランチDNSを使えば,固定IP
でなくても,IPSecができちゃうところが,YAMAHAのいいところだと思います。

うちも全拠点Bフレッツで,ルータはRTV700でIPSecをくんでいますが,
全く安定していますよ。セッションが切れるのは1ヶ月に1回もない感じ。
PPTPだと,クライアント側からの接続になるので,セッションが
切れてしまうと,サーバー側から,セッションをはれないので
,一度切れてしまうと,クライアントからの接続がない限り切れっ
ぱなしになってしまいます。基本的に,リモートアクセス用なので,
ネットワーク間接続はIPSecを使ってくれというのが,YAMAHAの考えだと思います。

Excel開くのに数分かかっていたというのは,PPTPなので,スループットが
出ていなかったことと,遅延の問題だと思います。Windowsのファイル共有
で使用されるプロトコルSMBは遅延があると,パフォーマンスが
ものすごく落ちます。IPSecにすれば,スループットが改善されるので,
多少は改善されるでしょうが,遅延はどうしようもありません。

抜本的な解決策は,Vistaで導入されるSMB 2.0を待つか,ネットワーク高速化装置
を導入することです。しかしながら,非常に高価(100万円以上)で,
かなり予算がないと難しいと思います。ちなみに,SMB 2.0では遅延が
あるネットワークでもパフォーマンスが下がらないように改善されるようです。

266 :254:2006/11/29(水) 13:09:48 ID:???
>>253
RT107e のIPSec いいよ!
GUI で設定できちゃうし簡単だよ!
うちもRT57i から107e にマイグレーション(なんて大層なものじゃないけど)したよ!

パソコントラブルはあっても、ネットワークトラブルは1年弱になるけど起こっていないです。

267 :猫のウンコ:2006/11/29(水) 14:38:11 ID:???
>PPTPだと,クライアント側からの接続になるので,セッションが
>切れてしまうと,サーバー側から,セッションをはれないので

ちなみに、RTシリーズ対向なら、サーバーからセッション張れるよ。
正確には、サーバーからクライアントに「セッション張って」ってパケットを出して、クライアントが張りに来る。


268 :253:2006/11/29(水) 20:48:21 ID:???
何故か会社からコソーリ見ると、レスが240辺りで止まってて見れない。。。。
ftp、wwwやらそれ系をダイナミックでOUTの設定して、全てのINを遮断してからレスが止まった気がする。

しかし、前任者が一応のフィルターの設定してたけど、ip secure firter IN/OUTは設定されていなかった環境は渋いぜ。
明日のジョーばりのノーガードファイアウォール(゜Д゜`)

>>262
正直、FWで使われる機器という事しか知らない・・・・
いやむしろYAMAHAのルータ以外知らないw

>>265
長文サンクス。
Asahiネットで固定IP500円だから取る気でいたけど、なくてもいいかな〜と思ってみたりしてます。
>PPTPだと,クライアント側からの接続になるので,セッションが
>切れてしまうと,サーバー側から,セッションをはれないので
前の会社で何度も再起動か、GUI画面から再接続かしてもらってたの思い出しました。
まさにそんなカンジでしたね。

>>266
とりあえず、今日はIPsec>>>>PPTPと上司に吹き込む材料作ってたw
価格.comで見たらRT58iが3.3万、RT107eが4.3万だったし、いけるw

猫のウンコ様。
今リアルに猫がウンコして、くっさいです。いつもよりエラく臭ってます。
強烈です。
エサ変えたのが悪かったか・・・・(´Д`;)

269 :anonymous:2006/12/01(金) 12:37:29 ID:???
RTX1100が侵入検知した。
地図とか重いデータ落とすためにセッション多数張った結果だったらしい。


270 :anonymous:2006/12/05(火) 19:58:31 ID:???
井上氏の本が改訂第二版で出たよー

271 :anonymous@ d242061.ppp.asahi-net.or.jp:2006/12/20(水) 09:15:45 ID:9ekIBa0A
pptpが繋がりません。ルータのFW設定切ったら繋がるので、原因はフィルターの設定です。
1723通してるのにどこが悪いのか、ご指摘お願いします。
ちなみにIPsecも使っていますが、こちらは問題なく繋がっています。

IN側設定
ip filter 1 reject 192.168.1.0/24 *
ip filter 2 pass * 192.168.1.0/24 icmp
ip filter 3 pass * 192.168.1.1 udp * 500
ip filter 4 pass * 192.168.1.1 esp
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
ip filter 1000 reject * *
OUT側設定
ip filter 101 reject * * udp,tcp 135 *
ip filter 102 reject * * udp,tcp * 135
ip filter 103 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 104 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 105 reject * * udp,tcp 445 *
ip filter 106 reject * * udp,tcp * 445
ip filter 107 pass 192.168.1.0/24 * tcp * 22
ip filter 200 reject * * established
ip filter 300 reject * * established
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 107
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

272 :( ・ω・):2006/12/20(水) 12:03:51 ID:???
>>271
IN側がdeny allポリシーでOUTがallowってのに拒否反応を感じる俺ガイル

それはさておき、あってるかわからんが、IPsecはL2TP over IPsecだと
仮定した場合、L2TPはUDPに対してPPTPはTCP。

で、OUT側でACK付のパケ叩き落してるみたいだし
そこが関係してるんじゃない?(クライアントからのSYNに応答できん)

273 :271:2006/12/20(水) 15:22:47 ID:???
ああ・・・Winnyフィルタ入れた時のip filter 200 reject * * established。
これってACK付パケット遮断するのか・・・・・・・・・orz
これが@ITの律子さんとYAMAHAの取説・設定事例集読み漁った程度の俺の限界か。。。

でも、とりあえずSoftetherフィルタにもなるらしい事が判った。
272さんthx。
帰ってからpptp試してみる。

274 :anonymous:2006/12/20(水) 16:39:02 ID:???
ログぐらい見れや

275 :271:2006/12/20(水) 20:36:04 ID:???
ログがどこにあるのか知らない俺ガイル。
明日ログの事を調べてみます。

とりあえず帰ってpptp→接続できましたが、LAN内のマシンにはつながらず。。。。
めげたorz
それにしてもpptpってめちゃくちゃ遅いですね。
ADSL12M(実測4M)の無線LAN環境とはいえ、コマンドプロンプトすら数秒ごとに固まりました。

276 :anonymous@ pl173.nas931.mito.nttpc.ne.jp:2006/12/21(木) 20:51:14 ID:???
>>275
GREは通ってる?

277 :271:2006/12/21(木) 21:59:40 ID:???
pptpに関わる設定は、
ip filter 5 pass * 192.168.1.1 tcp * 1723
ip filter 6 pass * 192.168.1.1 gre
あとnat descriptor masquerade staticの1723とgreかな。

278 :???:2006/12/21(木) 23:13:04 ID:Hen6kXS9
>>277
PPTPが接続できてLAN内のマシンに繋がらんって意味ワカランのだが。
ルータは通ってVPN鯖までは到達してるが、って話なら、後はVPN鯖側の
問題じゃねーの?
つーかそもそもだな、動的フィルタでサービス切ってるのにPPTPだけ
静的フィルタにするのはなんで? >>272 じゃないが、establishedをreject
するぐらいなら、reject allにして、動的フィルタとSYNパケpass静的フィルタを
使用するサービス全部まとめて定義したほうが手っ取り早いじゃんよ。


279 :271:2006/12/22(金) 00:24:15 ID:???
>PPTPが接続できてLAN内のマシンに繋がらんって意味ワカランのだが。
正直俺もワカラン。
ルータへはpp anonymousの設定でPPTPトンネルが繋がるものの、192.168.1.1以外にはpingも通らなかった。
ルータからping送ると反応あるし、意味不明。

>手っ取り早いじゃんよ。
色んな設定事例集からのコピペが基本だからな・・・・・
最近始点、終点とかの意味が分かるようになって、なんとなく良さげなモノを貼り合わせてる。
同じ通すなら動的と静的で何がどう違うか、ちゃんと理解もしてないしね。
並みの管理者になりたかったが、夢のまま俺の人生終わりそうだわ。
もう少し早くネットワークの世界に触れたかった。

280 :anonymous@ eatkyo491189.adsl.ppp.infoweb.ne.jp:2006/12/22(金) 00:59:51 ID:???
ふと思ったけれど、Proxy ARP を有効にしてみたらどうだろう。

281 :anonymous:2006/12/22(金) 02:40:47 ID:???
なんか情報を小出しにされてるようで
クイズじゃないんだから回答する側が想像ふくらませて回答するのもね・・・・
障害の切り分け出来ないなら
設定丸ごとのせてみたら?

PCからのアノニマスなら
とりあえず下記のサンプルとくらべて足りない部分探してね
http://www.rtpro.yamaha.co.jp/RT/docs/example/pptp/pptp_example1.html

設定例集のコピペなら自分のところとIPアドレスとあってるかも確認してね

282 :???:2006/12/22(金) 08:52:17 ID:???
>>279
>動的と静的の違い

こんなん理解とか言う以前だろ。設定例集読んでもいねーじゃん。
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html

そもそもおたくのout側の動的フィルタは(さらされてる設定を見る限り)
全く無意味なのわかってんの?

全部filter 2000で通ってるだけだよ?

283 :anonymous@ u040146.ppp.asahi-net.or.jp:2006/12/22(金) 09:31:52 ID:???
>>282
>そもそもおたくのout側の動的フィルタは(さらされてる設定を見る限り)
>全く無意味なのわかってんの?

確かに設定は緩めだが無意味じゃないよ
内→外 のパケット、特定のポート以外は一方通行で戻っては来ない

284 :???:2006/12/22(金) 09:51:10 ID:???
いいすぎましたごめんなさい

285 :( ・ω・):2006/12/22(金) 10:04:38 ID:???
>>284
ワロスw

286 :271:2006/12/22(金) 18:42:49 ID:???
今まで自宅のPCも含めFWいじったことがなかったので、緩くしてました。
とりあえずOUT側キツくして失敗したら、即ユーザーが困る(→怒って俺のトコ来て俺も困る)ので
つながればいいや的な。

>>281
確かにpptpの設定もちゃんと晒してから聞くべきでした。
萎え気分先行しすぎて、どーでもよくなってたので・・・・スマソ。
pptpクライアントに割り当てるIPが192.168.1.180-182だから、多分>>280さんの言うとおりです。
#ついてたから、ip lan1 proxyarp onを見落として抜いてしまっていたようですorz

本の設定事例集に比べ、Webの方ってかなり丁寧ですね。
8割方本に頼ってました。
短絡的に設定そのものと、構文の成り立ちをコマンドリファレンスで追い求めてたのが失敗。。。

>>284
どういう風に聞いたらいいのかも分かってないヤツ相手は、俺も鬱陶しいと思います(´д`;)
気持ちは判る・・・・・・・なんて自分で言っていいものかw

287 :傍観者:2006/12/23(土) 07:40:32 ID:???
>>283
>内→外 のパケット、特定のポート以外は一方通行で戻っては来ない

ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp

一部を除いて全部もどってくるよw

288 :あばば:2006/12/23(土) 16:33:31 ID:???
ここはTCP/IP初心者のすくつですか?

289 :あのにます:2006/12/27(水) 10:14:42 ID:???
WAN 側の回線を ADSL → 光 に切り替える予定があって
遠隔から設定を変更することを考えています。リモートセットアップは使用不可です。

ADSL と光を同時に使える期間は存在するとして
光に切り替える時に ADSL 用の pp 1 の接続設定(PPPoE 認証情報除く)を
pp 2 にコピーして ip route default gateway pp 2 にして save&restart すれば
問題なく切り替わるものなのでしょうか?

290 :anonymous@ v023187.ppp.asahi-net.or.jp:2006/12/27(水) 10:57:03 ID:0B7k29+l
>>289

リモートセットアップができないなら,リモートでの切替はやめた方がいいです。
現地に行って作業することを強く薦めます。

上記の手順でうまくいくと思うが,この手の作業はたいていトラブルので,絶対
現地でやるべきだと思う。

どういう理由で遠隔操作で切替なければならないのかわかりませんが,トラブって
困るのはあなたですので,気をつけてください。

291 :さて:2006/12/27(水) 22:38:09 ID:???
>>289
InternetVPNであたりでつながったさきのルータとすると

(1)RTX1000/1100/1500 あたりでLAN3あたりがあいているなら、光をLAN3に接続する。
(ADSLと同時につなぐということ)
(2)pp2をLAN3に設定する
(3)PP21つかったVPNをいかすため IP route (接続先のIP) gateway pp1
をかいておく
(4)pp2 ものルートも書いておく IP route (接続先のIP) gatweay pp2
(5)pp2のPPPoEが正しく接続できることを確認する。
(6)自分側のルータのVPN接続先IPを光のIPにする。
(7)VPNができたら光に切り替えるため、デフォルトゲートウェイなどを光のほう
にする。
(8)だめだったら自分側のルータのVPN接続先をADSLにする。
(9)切り替えができたらsaveする。

※最悪、現地でルータの電源ON/OFFをすれば設定がもどせるようにsaveは最後にする。

これでどうでしょ?

292 :anonymous@ softbank218126090010.bbtec.net:2006/12/28(木) 00:46:58 ID:???
His judgement cometh and that right soon

男性諸君、結婚すると不幸になる。女の外面は綺麗で清潔で良い人、内面はずるくて汚いため、口も悪い+嘘つき+女同士も上辺仲良し裏では悪口三昧
女の成分はA(性悪陰湿残忍+損得自己中感情)+B(良い女演技+体形+整形化粧+ファッション)
↑良い女演技は好きな男>>異次元>>男集団>他人の順に良くなる。年齢とともにBのメッキがはがれ内外ともに醜くなる(Aの良い女は極少数)
女は「人生の不良債権、北朝鮮、金メッキを施したゴキブリ」
社会的に男女は対等で平等。男が女を養ったり守る必要はない「見切れ!見切り千両!私不幸なの?嘘!泣いてます?演技!情けは不要!つけこまれるぞ」
女は社会的優遇、過剰な法的保護、仕事と家庭の二束のわらじを得て、女尊男卑〜結婚しようとする君を彼女は陰で小馬鹿にしている事でしょう〜

★結婚は保留し、沢山の女性と自由に恋愛(sex)を楽しめ♪★避妊必須
★捨てた女は優しい真面目男が結婚(残飯処理)してくれるさw★

それでも結婚する君へ究極護身法→[夫婦財産契約登記]
夫婦財産契約により、自分の稼いだ財産はすべて自分の物
離婚時に財産の半分を配偶者に取られない

弱い者いじめは最低と言いつつ、赤ちゃんを殺す母親(そして無罪判決(笑
狙撃は女子のほうが強い。男は、ノイローゼになってやめてしまうが
女は何人殺してもノイローゼにならない。そして、骨盤が安定しているため

ナチスの拷問で、女の拷問の残虐非道さを見て、拷問をしていた男達もひいたという
拷問しながら楽しそうに笑みをうかべていたそうだ。罪悪感や引け目が無い

・有史以前が女尊男卑の時代だったことを指摘したのは、スイスの学者バッハオーフィン
アマゾン女族の女王は、法律を定め、男達には卑しい奴隷の仕事を課した
男児が生まれたら、生き埋めにするか、脚と腕を不自由にして、戦えなくし奴隷とした
・王位継承権が女性にだけあった古代エジプトでは女性権力が非常に大きかった
・日本でも卑弥呼が女王
http://kr.img.dc.yahoo.com/b1/data/dci_etc/76.wmv ←女集団が、女一人をリンチしている動画(執拗に蹴り続けながら皆楽しんでる

女は虐げられてきた?父系社会など人類の歴史から見ればほんのわずかな期間に過ぎない。むしろ・・

293 :anonymous@ 219-101-94-46.flets.tribe.ne.jp:2007/01/03(水) 15:58:06 ID:???
フィルターの設定で
LANからWANでたUDPの帰りのパケットを自動的に通信許可してくれるような設定は無いものでしょうか?



294 ::2007/01/03(水) 18:33:47 ID:???
動的フィルタ設定すれば良いんじゃないか

295 :ももも:2007/01/05(金) 10:47:04 ID:???
漏れ、業務用ルータの設定なんて初めてなんだが、この
動的フィルタって、他のルータとかでも一般的な機能なんですか?
便乗スマソ


296 :鯖缶:2007/01/06(土) 02:46:11 ID:???
家庭用だとついてる
データセンタで使うような物にはついてないことが多い

動的フィルタ=セッション追従を行う=セッション情報をルータ内で記録する必要がある。
ので、冗長化・負荷分散の際に制約になるんよ
帰りのパケットが同じルータを通る必要があるからね
最初からそんな機能付けずに、スループット上げた方が嬉しかったりするわけ。


297 :ももも:2007/01/09(火) 08:53:20 ID:???
>>296
d

298 :anonymous:2007/01/10(水) 16:48:17 ID:nUyhgnYZ
運用自体は問題なく言っているのだが物凄い気持ち悪いことがあるので質問させてください(;´Д`)
使用しているルーターは全部RTX1100です。
まずルーターが西日本にA,B,C,Dの4つがあります。
東日本にはA'の1個だけ。
AはA'にIPSec相互接続+B,C,Dにフレッツグループ接続。
B,C,Dはそれぞれ相互フレッツグループで繋がってます(A'には繋がってません)。

この状態でAからB,C,D,A'全てにPINGが通りません。
またそれぞれのルーターの下にぶらさがるPCに対してもPINGが通りません。
しかしAの下にぶら下がるPCからはB,C,D,A'にPINGが通り、その下のPCにもPINGが通ります。
ルーターB,C,D及びその下のPCからルーターAにはPINGが通ります。
ルーターA'からは全てのルーターにPINGが通らず、各ルーターにぶら下がるPCにも通りません。
しかしA'にぶら下がるPCからは全てのPINGが通ります。

PINGが通らない部分はどんな原因(可能性)で通らなくなっているか解る方いますかね?
PCからのやり取りは全て問題ないので直す必要も無いと言えばないのですが、
ルーターからのPINGのみ一部全然通らないことが気持ち悪くて('A`)
ちなみに帯域を測る機能もうまく動かないので、この辺が関係しているんじゃないかと思ってます。

299 :anonymous:2007/01/10(水) 17:06:26 ID:???
>>298
書いた方がよさげなもの:
・ネットワークの構成図(プライベートアドレスで作っているならIPアドレスは全部書いても大丈夫なはず)
・ルータは複数のIPアドレスを持つはずだけど,どこのアドレスに向かってpingを打っているか
・tracerouteの結果
・フレッツ・グループはトンネル掘ってるのか,IPアドレスの払い出しを受けているのか

個人的な予想
・ルータからping打つときトンネルの中を通してる(始点IPアドレスはどこよ)?

東日本の人間なので,フレッツ・グループについて理解してないかもしれない点は
先に謝っておきます。

300 :298:2007/01/11(木) 14:03:14 ID:???
>>299
pingコマンドの始点IPアドレスを指定したら問題なくping通りました。
打ったIPはグループで払い出されたIPからIPへ(ローカル)。
tracerouteコマンドは始点IPを指定できなかったので、1発目から応答なし。
グループ内は宛先がグループ内に割り振られているIPであればトンネルなし。
グループ内からグループ外はipipでグループにトンネル掘ってます。
各ルーターはグローバル(IPn契約及びDHCP混在)とローカルの両方のIP持ってます。

pingとかtraceroute通せないのがIPSec貼っていルーターだけなんで、
IPSec周りの設定が怪しいのですかね(;´Д`)

301 ::2007/01/14(日) 11:49:12 ID:???
IPマスカレードの設定について教えてくださいませ

rtx1000 8.01.20 つかってます
PPPoEでIPを1個もらっていて、Webサーバーを公開したい。
とりあえずフィルタは全部通し、外と通信できる状態にはなった。

LAN1のIPの設定はこんな感じ。
ip lan1 address 192.168.0.1/24

そしてIPマスカレードの設定を入れてみたんだけど

ip pp nat descriptor 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 192.168.0.2
nat descriptor masquerade static 1 1 192.168.0.2 tcp www

これで、アクセスができない。

httpd host 192.168.0.3

ってやって、ブラウザで外経由でアクセスしたら、ルーターの基本認証がでてしまう。
これってまったく設定が効いてないんですよねきっと。

何か足りない設定ありますでしょうか?

302 :anonymous:2007/01/14(日) 13:01:45 ID:???
> nat descriptor address inner 1 192.168.0.2
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www

よく見直せ馬鹿

303 ::2007/01/14(日) 13:29:25 ID:???
> 302
すいませんです
見直してもわからないです

下記ページの設定例を参考にしたのですが!

http://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/example/11.html#masquerade-nat
> nat descriptor address outer 1 133.176.200.200
> nat descriptor address inner 1 192.168.0.2
> nat descriptor masquerade static 1 1 192.168.0.2 tcp www,https

どこがまずいのか教えていただけないでしょうか?

304 :名無しさん:2007/01/14(日) 15:40:23 ID:???
>301

nat descriptor address inner 1 192.168.0.2

を削除するといけるはずです。
ただ理由があって inner させたいというのであれば、
もう一度設定例と睨めっこした方がいいですね。

http://netvolante.jp/solution/int/case4.html も参考にどうぞ。

305 ::2007/01/14(日) 17:37:35 ID:???
> 304
レスありがとうございます!

もともとその設定で試していたのですが、それでもルーターのwwwに
アクセスしてしまっていたので、>301 の設定をしていたのでした。

いただいたURLを参考にしながら現在も格闘中です。
最終的にはこういうネットワーク構成にしたかったので、非常に
ありがたいです!


306 :名無しさん:2007/01/14(日) 18:00:08 ID:???
>305
ルータのWeb機能を有効にしているのであれば、
ルータ自身のHTTP Listen Portを80以外にしないとどうやっても
ルータに着信してしまうかも知れませんね。

Web管理使わないなら httpd service off を1行加えてみて下さい。
お使いのファームウェアだとデフォルトonらしいので・・・。

307 :あのにます:2007/01/14(日) 18:28:54 ID:???
>>306
そんなことないと思う。
うちは同じく PPPoE でグローバル IP アドレスを固定で 1 個もらって
Web サーバを運用している。RTW65i で、だけど。

308 :名無しさん:2007/01/14(日) 19:03:31 ID:???
>307
むむ、そうでしたっけ。

なんだろうなぁ…(´ω`)。

309 ::2007/01/14(日) 19:05:50 ID:???
> 306
現状の設定のまま、外部からアクセスしてもらったら、無事見れたとのこと。
なので、外部への公開はできていた。

でも、内部からのアクセスは、ルータにいってしまう。

で、httpdを止めてみたら、ページが表示できませんと出ました。

YAMAHAって内部から外部IPにアクセスしても、普通にルーティングされる
もんだと思っていたんだけど、どうなんでしょう?

310 ::2007/01/14(日) 19:13:50 ID:???
そして新たな問題が。お助けくださいませ。

なぜか簡単にPPPoEが切断されてしまう。
再接続はできるんだけど、外部にpingが届かないのです。

設定は下記です。

pp select 1
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname *** ***
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp nat descriptor 1
pp enable 1

Help me...
気晴らしにオナニーします

311 :あのにます:2007/01/14(日) 19:52:25 ID:???
>>310
PPPoE 切断の件はルータ関係ないんでないの?

312 ::2007/01/14(日) 20:12:34 ID:???
> 311
そんな気もするのですが、いままで使ってたルータにしたら正常に動くので
自分の設定のせいかなとも思ったり。

もう一度チャレンジしてみます

313 :あのにます:2007/01/14(日) 20:18:53 ID:???
>>312
じゃ
pppoe auto disconnect off
とか、どうだろう。
うちの RTX1100 にはこれ入ってた。デフォルト on だし。

314 ::2007/01/14(日) 22:17:13 ID:???
うちはouterの設定とかしてないけど、IP固定だと必要なのかな?

315 ::2007/01/14(日) 22:28:44 ID:???
> 313
何度もありがとうございます。
pppoe auto disconnect off は試してみましたが、変わらずでした。
今はPPPoE認証を通るけど、外にアクセスできない状況です。
全部通しているのですが…

ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on

で、あやしいのが、web管理画面にアクセスした時に、ページが切り替わる度に基本認証が出る。セッション切れてるんすかね〜
おたすけを!とりあえずオナニーします。本日5回目

316 ::2007/01/14(日) 22:30:16 ID:???
> 314
レスありがとございます。
試してみます。
オナニー前に

317 ::2007/01/14(日) 22:38:49 ID:???
>315
って、staticの設定消えてる?
nat descriptor masquerade static 1 1 192.168.0.2 tcp www
これは必須だよ

318 ::2007/01/14(日) 22:39:56 ID:???
> 314
だめでした…

ていうか昨日とか今日の夕方くらいまでつながってたのに。
cold startしてから設定しなおしてからおかしくなった。

PPPオプション
LCP Local: Magic-Number MRU, Remote: CHAP Magic-Number MRU
IPCP Local:, Remote: IP-Address
PP IP Address Local: *.*.*.*, Remote: ***.***.***.***
CCP: None

外部からpingしてもらったら、Local IP Addressは届かないけど、
Remote IP Address には届いているそうなんです。

で、中からRemote IP Addressにはping届かない。
でも認証できてる。

ってところで、フィルタとかIPマスカレードの設定なんではと思って
・フィルタ全許可
・IPマスカレード
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
nat descriptor address inner 1 auto

とかやってみたけど、何をしても通らず…
くっ 自慰します


319 ::2007/01/14(日) 22:40:55 ID:???
> 317
うわあああ
てんぱりすぎてものすごいミスを…
設定してきます
自慰前に

320 ::2007/01/14(日) 22:41:35 ID:???
あと
ip pp nat descriptor 1
も必要でしょ

321 ::2007/01/14(日) 22:43:03 ID:???
> 317
あ、すいません
それはわざとはずしているのでした。
いま普通につながらないのです。

> 315 の設定で、外部につながらない状況なのです。
なにか足りないものありますでしょうか?

322 ::2007/01/14(日) 22:43:49 ID:???
> 320
げふっ
それだ…
ほんとありがとうございます
しごいてる場合じゃない

323 ::2007/01/15(月) 00:09:01 ID:???
う〜ん やはりだめでした…
下記設定なのですが、つっこみどころがあったらお教えくださいませ。

ip route default gateway pp 1
ip lan1 address 192.168.0.1/24
pp select 1
pp always-on on
pppoe use lan3
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ****** ******
ppp lcp mru on 1454
ppp ccp type none
ip pp address **.**.**.**/32
ip pp mtu 1454
ip pp secure filter in 1
ip pp secure filter out 1
ip pp nat descriptor 1
pp enable 1
ip filter 1 pass * * * * *
nat descriptor type 1 masquerade
nat descriptor address outer 1 **.**.**.**
dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24
dns server **.**.**.**
dns private address spoof on

もう一度最初からやってみる…

324 :あのにます:2007/01/15(月) 00:10:48 ID:???
>>323
駄目だったってどっちが?
ウェブアクセスの方? PPPoE の方? どっちも?

325 :名無しさん:2007/01/15(月) 00:25:53 ID:???
>323
さくっと設定例みて作ってみましたけど、
こんな感じのはでどうでしょ(とりあえずフィルタはおいといて)。

デバックするなら console info on をすると何で引っかかっているか
わかりやすいかもです。

ip lan1 address 192.168.0.1/24
pp select 1
pppoe auto disconnect off
pp always-on on
pppoe use lan3
pp auth accept pap chap
pp auth myname (ISPに接続するID) (ISPに接続するパスワード)
ppp lcp mru on 1454
ppp ipcp msext on
ip pp mtu 1454
ip pp address (グローバルアドレス)
ip pp nat descriptor 1
pp enable 1
ip route default gateway pp 1
nat descriptor type 1 masquerade
nat descriptor address outer 1 (グローバルアドレス)
nat descriptor masquerade static 1 1 192.168.0.2 tcp www

dhcp service server
dhcp scope 1 192.168.0.3-192.168.0.254/24

dns server pp 1
dns private address spoof on

326 :RTX:2007/01/15(月) 01:39:48 ID:???
RTX1100あたりの後継機って出ないのかねぇ。
RTX1500は高いしPPTP使えないし。

327 ::2007/01/15(月) 03:48:14 ID:zyb7wsVE
#アク禁になってたので携帯で…

> 324
いつもお世話になってます。
PPPoE認証で失敗はありません。
ウェブアクセスというか、自分のIPの上(プロバイダIP)へのアクセスが不能な状態です。

> 325
ありがとうございます。
しかし、いただいた設定でもだめでした…
でもconsole info on でわかったことがちょっとありました。

2006/01/15 03:15:22: PPPOE[01] Disconnected, cause [No error.]
2006/01/15 03:15:22: PPPOE[01] Connecting to PPPoE server
2006/01/15 03:15:22: PP[01] IP Commencing: TCP 192.168.0.2:2906 > 24.242.55.189:
48686 ← どこ?
2006/01/15 03:15:25: PPPOE[01] PPPoE Connect
2006/01/15 03:15:26: PP[01] PPP/IPCP up

2分ごとに切断されて、すぐつながる を繰り返しているみたいです。
もちろん pppoe auto disconnect off の設定はされています。
試しに、
pp always-on off
pppoe auto connect off
pppoe auto disconnect off
とし、手動接続、切断を繰り返しても、同じく接続後2分で切れてしまう状態です。
ご助言お願い致します!


328 :名無しさん:2007/01/15(月) 04:47:49 ID:???
RTA55iで質問です。
WiiとDS同時利用や、複数台のPCでMSN用のポートを開放したいのですが
複数のIPアドレスに、同じポートは開放できませんよね。
そうなると、複数の接続先を、同じIPアドレスにするしか無いのでしょうか?

でも、DHCP予約は、複数のDHCPスコープで同一IPアドレスを含める事が出来ない旨が
コマンドリファレンスに書かれていたので、設定出来ません。

この場合、どうすれば良いでしょう?

329 :名無しさん:2007/01/15(月) 04:49:55 ID:???
すみません。コンシューマー用ルーターはスレ違いでした。
取り下げて移動します。

330 :326:2007/01/15(月) 08:27:41 ID:???
>327
PPPoE設定の部分は普段私もよく使う設定なんですけどね…。


コンフィグというより、プロバイダやNTTに確認した方が良いかもです。
※フレッツスクエアに繋がるならNTTは関係なさそうですけど。

331 :anonymous@ pl509.nas931.mito.nttpc.ne.jp:2007/01/15(月) 11:28:23 ID:???
>372
NATやめてNAPTにすれば解決。

332 ::2007/01/15(月) 13:05:19 ID:JsIMRm2Z
> 330
せっかくご助言いただいたのにすいませんです。
ルータを変えたら(RTA55i)ちゃんとつながるので、プロバイダとかのほうは
問題なさそうなんですけどね。
YAMAHAに問い合わせてみましたので、何かわかったら報告させていただきます。

> 331
NAPTってIPマスカレードですよね?
現状それでやっております。


333 ::2007/01/18(木) 09:08:44 ID:???
おはようございます。
ひさびさに見ましたが、特に動きはなかったんですね。

先週末にばたばたと質問ばかりさせていただき、ご対応いただいた方々には
非常に感謝しております。

経過報告 というかもう結果報告なのですが、

YAMAHAに問い合わせをし、接続自体は今朝できるようになりました。
なぜ解決に至ったのかがまだ調べられていないので、後ほど調査し、
また書き込みしようと思います。

>325殿の設定に加え、
pp select 1
ppp ipcp ipaddress on
ppp ipv6cp use off
pp enable 1

を追加して解決に至りました。
とりあえずご報告まで!
重ね重ね、レスいただいた方々ありがとうございました!

334 :ano nemosu:2007/01/20(土) 10:39:46 ID:OSSIEH0p
pptp接続は確立するのに、その後すぐ切断されてしまいます。
ネットワーク接続のpptp接続の状態-動作状況を見ると、バイト数のところが受信350のまま動かず、送信だけが増え、最終的に毎回2400ほどで止まります。
もちろんpingも通りません。
ルータのログを見ると、remote address192.168.254.10で確立後、TCPセッションがどうもおかしいらしく、FINとRSTが何度か飛び交っていました。
natテーブルに該当しないパケはrejectされてRSTが返される設定にはなっていますが、natの設定は何がおかしいのか分からず・・・

窮して使い方の良く分からないEtherealも使ってキャプチャしてみると、TCP segment of a reassembled PDUが起きていました。
あと、終始192.168.1.1(ルータ)-192.168.1.10(pptpテスト機)の間でicmpパケがport unreachableになっていました。
ルータ側からのpptp echo-requestにはちゃんとreplyを返しているのですが、おそらくタイムアウトで最後はローカル側から
stop-control-conection-requestを出して、ルータ側がreplyを返して通信END。
何がなんだかさっぱりです。。。

自分でやった事
ルータのフィルタ全解除、Windowsファイアウォールの無効化、ip pp intrusion detectionの全解除、ip pp mtu 1280→1080
nat descriptor masquerade ttl hold auto→all

以降、設定晒しますので、何かお気づきの事があればご助言頂きたい・・・・・・・・・・

ip route default gateway pp 1
ip route 192.168.101.0/24 gateway tunnel 1
ip filter source-route on
ip filter directed-broadcast on
ip lan1 address 192.168.1.1/24
ip lan1 proxyarp on

335 :ano nemosu:2007/01/20(土) 10:40:22 ID:OSSIEH0p
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect off
pp auth accept pap chap
pp auth myname ISP-IDxxxxx *
ppp lcp mru on 1454
ppp ipcp msext on
ppp ccp type none
ip pp address 固定IP/32
ip pp mtu 1454
ip pp secure filter in 1 2 3 4 5 6 7 8 9 10 11 12 14 15 16 17 18
ip pp secure filter out 6 7 8 9 10 11 100 101 2000 dynamic 100 101 102 103 104 105 106
ip pp intrusion detection in on reject=on
ip pp intrusion detection out on
ip pp intrusion detection out winny on
ip pp intrusion detection out default off
ip pp nat descriptor 1
pp enable 1
pp select anonymous
pp bind tunnel10
pp auth request mschap
pp auth username id pass
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type mppe-any
ip pp remote address pool 192.168.254.10-192.168.254.20
ip pp mtu 1280
pptp service type server
pp enable anonymous


336 :ano nemosu:2007/01/20(土) 10:41:14 ID:OSSIEH0p
tunnel select 1
ipsec tunnel 101
ipsec sa policy 101 1 esp 3des-cbc md5-hmac
ipsec ike keepalive use 1 on
ipsec ike local address 1 192.168.1.1
ipsec ike pre-shared-key 1 xxxxxxxxxxxxx
ipsec ike remote address 1 any
ipsec ike remote name 1 xxxxxxx
tunnel enable 1
tunnel select 10
tunnel encapsulation pptp
pptp keepalive use on
tunnel enable 10
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 127.0.0.1 * * * *
ip filter 4 reject 192.168.1.0/24 *
ip filter 5 reject 固定IP * * * *
ip filter 6 reject * * udp,tcp 135 *
ip filter 7 reject * * udp,tcp * 135
ip filter 8 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 9 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 10 reject * * udp,tcp 445 *
ip filter 11 reject * * udp,tcp * 445
ip filter 12 pass * 192.168.1.0/24 icmp * *
ip filter 14 pass * 192.168.1.1 udp * 500
ip filter 15 pass * 192.168.1.1 esp
ip filter 16 pass * 192.168.1.1 tcp * 1723
ip filter 17 pass * 192.168.1.1 gre
ip filter 18 pass * 192.168.1.0/24 established * *
ip filter 100 reject * 192.168.1.0/24 * * *
ip filter 101 pass 192.168.1.0/24 * tcp * 22

337 :ano nemosu:2007/01/20(土) 10:42:17 ID:OSSIEH0p
ip filter 1000 reject * *
ip filter 2000 pass * *
ip filter dynamic 100 * * ftp
ip filter dynamic 101 * * www
ip filter dynamic 102 * * domain
ip filter dynamic 103 * * smtp
ip filter dynamic 104 * * pop3
ip filter dynamic 105 * * filter 101
ip filter dynamic 106 * * tcp
ip filter dynamic 107 * * udp
nat descriptor log on
nat descriptor masquerade ttl hold auto
nat descriptor type 1 masquerade
nat descriptor masquerade incoming 1 reject
nat descriptor masquerade static 1 1 192.168.1.1 udp 500
nat descriptor masquerade static 1 2 192.168.1.1 esp
nat descriptor masquerade static 1 3 192.168.1.1 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.1 gre
ipsec auto refresh on
dns server pp 1
dns private address spoof on
pptp service on
upnp use on

以上、tunnel2〜6などの一部は削った設定ですが、よろしくお願いします。

338 ::2007/01/21(日) 09:06:38 ID:???
ファームウェアリビジョンは?

339 :ano nemosu:2007/01/21(日) 10:21:29 ID:aWIia3um
肝心なこと忘れてましたね(´д`;)

RTX1100 Ver 8.03.46です。

340 ::2007/01/21(日) 10:33:04 ID:???
うちのはRT57iのWebで設定したのだけど、
tunnel 10の設定の中にpptp tunnel disconnect time offとかいうのが入っとるよ

341 :ano nemosu:2007/01/22(月) 09:23:00 ID:???
>>340
ありがとう。
でも、早速試しましたがダメでした。。。。

342 :hage:2007/01/23(火) 03:31:56 ID:???
>>340
関連なさげだけど…

RT57iのPPTPでanonymousで接続出来るのに、LAN間接続が出来なくて、泣きついたら

ip lan1 address 192.168.100.1/24
ip lan1 secondary address 固定/29

で、接続はNATのouterにして試してくれと教わり、試したらあっさり繋がった。
理由が全くわからん…(だれか解説プリーズ!)
上手く行かなかった時の設定はprimaryとsecondaryのアドレス空間が逆

343 :anonymous@ h1-bs-ps1.fujifilm.co.jp:2007/01/23(火) 14:00:19 ID:iUDfG4vK
RT107e で質問です。

上記機器のVLANトランクポートと、接続実績のあるL2Switchをご存知の方は
ご教授下さい。要件は以下。
■もちろん802.1qが可能な機材
■8ポート で十分
■FastEther で十分
■パフォーマンスは重視しない
■出来るだけ安価、新品で入手できるもの

何方かいらっしゃいませんか?





344 :anonymous@ ipv6gw.kazemachi.ne.jp:2007/01/23(火) 14:47:01 ID:???
大人なのでスルーして、
solitonのは?

345 :316:2007/01/23(火) 15:49:23 ID:TOOW3TlL
>>344
しゃてー知ってる?

346 :ano nemosu:2007/01/23(火) 21:27:44 ID:???
もしかしてpptpでルータに割り振ってる固定IPに接続しても、
ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・

ルータで止まってサーバまでパケット通ってないのかもしれないので、とりあえずnatの勉強からやり直します。

347 :あのにます:2007/01/23(火) 21:29:06 ID:???
>>346
それ意味ないじゃん

348 :ano nemosu:2007/01/24(水) 00:43:12 ID:???
>>347
???
とりあえずpptpで固定振ってるルータにはつながるけど、LAN内のサーバにつながらないから、
natの基本から勉強しようかと。
何らかの理由でサーバまでパケット届いていないのが原因かと思い、まずはnatが近いかなーって思ったんだけど。
それが意味ないってこと?

案外何か思い違いしてるかもしれないし、勉強不足な初心者なので、何か糸口でもつかめないものかと。
全く違うケースだけど、nat descriptor masquerade staticの、masqueradeを削除したら繋がったとかいう例もあるし・・・。


349 :あのにます:2007/01/24(水) 00:57:44 ID:???
>>348
それ意味ないじゃんってのは
> もしかしてpptpでルータに割り振ってる固定IPに接続しても、
> ルータ傘下のプライベートIPの機器(サーバ)とは通信できない仕様なのだろうか・・・・・・・
ってとこ。そんな仕様だったら、VPN使い道ないじゃん。
ルータとだけ通信できる仕様なんてあっったとして、一体何に使えるんだ?
ってこと。

350 :am:2007/01/24(水) 09:33:24 ID:???
>>348
多分フィルタで止まってるんでしょうね。
フィルタのログになんか出てないでしょうか。


351 :ほげ:2007/01/24(水) 12:56:16 ID:???
前から気になってたんだけど、RTX1100で
login password encrypted *
administrator password encrypted *
login user hoge *
user attribute administrator=off connection=serial,telnet login-timer=60
user attribute hoge administrator=on connection=all login-timer=300 multi-session=off
みたいに設定していると、Web Assistanceにログイン出来なくなるんだけど、なんでだろう。
hogeのIDとパスワードを入れても駄目。IDなしでも駄目。
勿論、認証プロンプトは出るし、パスワードエラーの画面も出るから
サービスもオンだしフィルタもかかっていない。

http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
によると、ユーザ名はかんたん設定ページでの接続に使用出来るって書いてあるから
IDありで出来ると思うんだけど… 無名ユーザをconnection=allにしても駄目だし。
「かんたん設定ページ」(107e)は出来るけど「Web Assistance」(107e以外)は駄目なんだろうか。

352 :ano nemosu:2007/01/24(水) 13:18:06 ID:???
>>350
フィルタはIN/OUT同時にOFFにしてもつながらなかったので違うかなと。

それより、まったくの勘違いを発見。
pptpサーバって、ルータではなく、アクセスしたいプライベートIPの機器の事だったようで。
nat descriptor masquerade static 1 3 192.168.1.250 tcp 1723
nat descriptor masquerade static 1 4 192.168.1.250 gre
に変更して、自宅帰ってから接続試してみます。
職場に環境がないのがイタイ・・・・。

>>351
Web Assistanceはadministrator=offではダメだった気がする。
Web Assistanceって、最初から完全なadmin権限行使できるし。
当てずっぽうに言ってるので、文責は352に託した。

353 :ano nemosu:2007/01/24(水) 13:19:40 ID:???
・・・・・・・・・・・・・・・・・・・・・。

自分が352だった罠orz
敢えて言おう、俺乙であるTO!

354 :ほげ:2007/01/24(水) 13:32:15 ID:???
>>352
hogeはadministrator=onだし、無名ユーザをadministrator=onしても駄目だった。
encryptedなpasswordが駄目なのかと暗号化しなくても駄目。

http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html
の機能が追加されて、その設定をする前まではWeb Assistance使えてたから
この機能のどれかが悪さをしているんだと思うんだけど…

355 ::2007/01/24(水) 13:33:29 ID:???
>351
login password と admin.. password を合わせないとダメとかじゃないかな

356 :ほげ:2007/01/24(水) 13:47:39 ID:???
>>355
login password
administrator password
login user hoge
は全て同じパスワードになってます。全てencryptedですが。

357 :ano nemosu:2007/01/24(水) 13:58:40 ID:???
そういえば、RT107eのWeb画面から無名ログイン禁止にチェック入れて、
login userを設定したんだけど、何故かコマンドからID・パスなしで入れるようになってしまった。
何かの拍子にエンター3回叩いたらログインしてしまって、慌てて修正したのを思い出した。

358 :ano nemosu:2007/01/24(水) 20:46:02 ID:???
繰り返し読み返すと、やっぱりpptpサーバはルータの事だった。。。
しかもpptpつないでるときにネット自体繋がらなくなって、ipconfig見ると
PPP adapter のIPconfig
IP Address. . . . . . . . . . . . : 192.168.254.10
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.254.10

ナンダコレハ
サボるの大好きな俺でも、さすがに何日もこれ以外ロクに仕事できないと・・・・・・・・

359 :名無し募集中。。。:2007/01/25(木) 10:25:11 ID:???
rt100i-usersでプロジェクトフォンの質問をして返事はあるのか?
スレ違いならぬML違いでは?と思ったが。。。

360 :ano nemosu:2007/01/25(木) 13:23:20 ID:???
つながった・・・・・・・・・・!
新しいノートPC設定してたら無線電波拾ったので、ちょっと拝借した。
(「繋いでいい?」ってボタン押したら、何も言わずに受け入れてくれたので、不正アクセスではないと信じている)

特に設定変えていないから、もしかしたらプライベートIPアドレスが関係してるのか・・・・
自宅のプライベートIP変えて、またテストしてみる。

>>359
イマ登録シテキタヨ。

361 :hage:2007/01/25(木) 13:36:10 ID:???
>>360
レスくれた方々へお礼も言わず。訳分かんない内容の連投。
続きは自分の誰も読まないblogでやってくれ。

362 :ano nemosu:2007/01/25(木) 13:45:25 ID:???
>>361
ああ・・・そうですね。
仰るとおりです。申し訳ありません。
自分のことで必死になって、相談というより一方通行の報告というか独り言(愚痴?)になってました。

まだ解決を確認できた訳ではありませんが、ちょっとでも一緒に考えてくれた皆さん、
遅ればせながらありがとうございました。


363 :anonymous@ z15.61-205-217.ppp.wakwak.ne.jp:2007/01/25(木) 16:53:47 ID:4v+Jk2vH
cifs に最適化するようなチューニングありますか?
wan越しだと遅くなるようですが。

364 :anonymous@ p030076.ppp.asahi-net.or.jp:2007/01/25(木) 18:36:42 ID:???
YAMAHAのルータでCIFSを高速化できるかと言えばそれは無理。
どうしてもやりたいなら,WAN高速化装置を買うしかないが,非常に高価。

また,Windowsのレジストリをいじっても無理です。

ただし,Vistaで搭載されたSMB 2.0なら,WANのような遅延の大きな
ネットワークでもパフォーマンスが出るようです。


365 :ano nemosu:2007/01/25(木) 21:32:34 ID:???
PPTP接続で、セッションも確立しているのに、LAN内のサーバにアクセスできない。pingも届かない。

訳分かんないトラブルの原因は、プライベートIPアドレスの衝突でした。
リモート先のプライベートIPと、PPTPクライアント側のプライベートIPのネットワークアドレス部分が同じだと
通信できません(IPsecも同様)。

分かってしまえば「そんなの当たり前。バカじゃねーの?」だけど、
一応参考までに報告しておきます。


366 :anonymous@ z15.61-205-217.ppp.wakwak.ne.jp:2007/01/26(金) 11:56:50 ID:n3jnMYTK
>>364
サンクスです。
webdavでも使おうかと思いますが、ファイルロックがうまくいくのか
ネットワークドライブに割当てらるのか不明なので調べてみます。
最悪wan越しでファイル共有するのはあきらめてターミナルサービス
でも使おうかしら・・・・

367 :anonymous@:2007/01/26(金) 23:35:03 ID:???
svnでもつかったら?

368 :anonyomus:2007/01/27(土) 10:34:55 ID:???
>>366

WebDAVってステートレスなプロトコルだから,ロックは無理だと思うが。

ネットワークドライブへの割り当ては可能。ただ,エクスプローラとWebDAV
はいろいろとトラブルというか不具合が多くお勧めしません。

CIFSで遅いといってもサイトが国内間で両サイトとも光ファイバで接続
されていれば,充分なスループットが得られると思うが。


369 :dabudabu:2007/01/27(土) 18:09:08 ID:???
>WebDAVってステートレスなプロトコルだから,ロックは無理だと思うが。

いつの人ですか?

# まともに実装があるのかとかは良くしらんけど

370 :am:2007/01/27(土) 19:09:48 ID:???
まともな実装が無いなら意味無くね?

371 :anonymous@ pz35.opt2.point.ne.jp:2007/01/28(日) 06:03:17 ID:5lhXw7xI
SIP-NATでNTTのVG400とVG210が使えました。
以上報告

372 :匿名:2007/01/28(日) 16:49:49 ID:???
結局シスコ買えない故の妥協だよね。
何かガンバっても後ろ向きで激しく鬱。

SIPもコールマネージャのほうが便利で、シスコ謹製IP電話もかっこいいしねえ。

373 :鯖缶:2007/01/28(日) 17:44:42 ID:???
そりゃ、高い授業料払ってCCNA取っちゃったら、シスコ製品が普及してくれないと困るもんな


374 :オペレータ:2007/01/29(月) 09:51:52 ID:???
ヤマハの免許作れば良いんじゃね?
船舶4球ぐらいなら持ってるとかさ。

375 :(゚∀゚):2007/01/29(月) 10:06:00 ID:???
CCNAなんて今となっては一昔前の死すアドみたいになってるし
どちらかといえば船舶4級持ってるほうが、ネタにもなるから採用に
有利に働くかもよw

376 :あのにまん:2007/01/30(火) 06:00:03 ID:???
OP25B対応をしたいのですが、メールサーバの設定をすぐに変えられないので
ルータ側でとりあえず25/TCP→587/TCPに変換して対処しようと考えています。
NATディスクリプタでどういう設定をすれば良いでしょうか?
ご存知の方がいましたら、ご教示お願い致します。

377 :anonymous:2007/01/30(火) 10:55:22 ID:???
nat descriptor masqurade static 1 10 mail-severのIP tcp 587=25

違ったらスマン

378 :sage:2007/01/30(火) 22:14:11 ID:???
マルチホーミングで質問があります。

ISP1とISP2にPPPoEで接続していて
ip route default gateway pp 1 gateway pp2 とした場合

ISP1からの通信はISP1へ、ISP2からの通信はISP2へ戻るのは
わかるんですが、lan1から外部への通信はどうなるんでしょうか??

tracerouteすると不思議な結果が返ってくるんで・・・。

379 :anonymous@ p295213.tokynt01.ap.so-net.ne.jp:2007/02/03(土) 11:06:44 ID:???
初歩的な質問で申し訳ありません。

RTX1100 の config ファイルで、

pp saletct 1
pppoe use lan2
pp select none

のようにして保存してロードすると、

pp saletct 1
pppoe use lan2

のようになってしまいます。

ファイル全体を検索しても、「pp select none」 が存在しないわけですが、
そのまま設定ファイルをアップロードした場合、何処までが pp1 の設定範囲として扱われてるのでしょうか?

スペースでのインデントが入っているので、スペースでのインデント終了までが範囲という解釈でよろしいでしょうか?

ご教示いただけたら幸いです。

380 :名無しさん:2007/02/03(土) 12:15:19 ID:???
RTXシリーズの管理支援機能(Web)についての質問です

LAN1 … LANに繋げる
LAN2 … インターネットに繋げる

とします。

ファイアウォールメニューについてなのですが、

種別: PPPoE
設定名: PP1/LAN2



種別: Ethernet
設定名: LAN1

で、それぞれ、インターネットから来るパケットが方向 「入」 になるのか 「出」 になるのかが分からないんです


インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
インターネットから来るパケットは 「入」 です。
それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
その差込口から、出てくるパケットは 「出」 です。

前者と後者で解釈が全くかわっちゃうので困ってるんです;;





381 :anonymous@ HDOfb-07p1-107.ppp11.odn.ad.jp:2007/02/03(土) 13:03:52 ID:???
煽りたくなったが辞めとこう

答える気しないので他の人ヨロ


382 :am:2007/02/03(土) 13:23:24 ID:???
>>379
次の pp select が出てくるか、tunnnel select が出てくるまでじゃない?

>>380
「前者と後者」は言及してる範囲が違うだけで、大体同じ意味です。




383 :380:2007/02/03(土) 13:29:15 ID:???
>>382
回答ありがとうございます。

自分の解釈だと、

> インターネットを外の世界と考えれば、インターネットに行くパケットは 「出」 であり、
> インターネットから来るパケットは 「入」 です。

だと、パソコン視点で言うインバウンド接続は、LAN1 でも LAN2 (WAN) でも 「入」 ですが、

> それぞれの差込口を基準として、ルータの中を中の世界と考えれば、ルータに入ってくるパケットは 「入」 であり、
> その差込口から、出てくるパケットは 「出」 です。

だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
ルータが自ら外に出すパケットですから…。

384 :am:2007/02/03(土) 13:40:39 ID:???
じゃあ
・パソコンで言うI/F ≒ RTXの各Lan N ってI/F
・パソコン本体 ≒ ルータ本体
って考えれば良いんじゃない?

> だと、LAN2 (WAN) で 「入」 だけど、LAN1 で 「出」 になっちゃうんです。。。
大まかに言うと、WAN側のINはLAN側のOUTから出てくるよね。

385 :am:2007/02/03(土) 13:44:19 ID:???
>>380
参考になるかな?
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html#remote-router-packet-filter

386 :anonymous:2007/02/03(土) 16:47:48 ID:???
インバウンド
アウトバウンド
ルーティング

ハイ完結。

387 :380:2007/02/04(日) 02:53:48 ID:???
>>384
なるほど。
分かりやすい解説ありがとうございます m(__)m
納得しました。

つまり、WAN から LAN に来る不正なパケットを排除するには、
3つの方法があるということですね。

●その1 … WAN から入ってくるパケットのみに有効
pp select 1
 ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none

●その2 … LAN I/F に入るパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection in on reject=on # ルータの LAN I/F に入ってくるパケットを検査

●その3 … LAN I/F から出て行くパケット全てに有効なので、LAN から LAN へのパケットも検査対象。勿論 WAN から LANも。
ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査

LAN の 1つのマシンがワームやトロイに感染したことを考えれば、【その2】 か 【その3】 ですよね。
入るとき、出るとき、どっちがいいのかは悩みますが、(てかどっちでも同じことですが)
Webプログラミングでのhtmlタグのエスケープ処理にセオリーに従って、とりあえず、【その3】 でいってみます。

このファイアウォール機能がどうなってるかは調べてないので、Windows 標準のファイル共有がどうなるのか等は分かりませんが、
とりあえずやってみます。

>>385
参考になりましたー。

>>386
は、はいっ!

388 :380:2007/02/04(日) 03:19:48 ID:???
はっ。
とんでもない誤解をしていました。

>>385 の URL を見てみたところ、
IPルーティング と LAN の間に、IPフィルタ (ip lan secure filter) があるではいですか。

正しくは、>>387 の 【その1】 【その2】 は WAN から LAN へのパケットのみ有効で、
【その3】 は WAN からの攻撃に完全に無力ということになりますね。(※1)

こ、このままだと危険ですた(´・ω・`)

早急に、【その2】 に変更しました。


※1
意味あるとすれば、踏み台にされた時に攻撃パケットを WAN に出さないという意味がありますね。


389 :380:2007/02/04(日) 03:33:03 ID:???
あう、>>388 も間違いだったー。

WAN から LAN のパケットは、IPルーティング と [LAN] の間のフィルタで、LAN側に 「出」 のパケットなわけだから、
【その3】 が正しかったわけですね。

つまり、WANからの攻撃を防げるのは、

pp select 1
 ip pp intrusion detection in on reject=on # WAN から 入ってくるパケットを検査
pp select none


ip lan1 intrusion detection out on reject=on # ルータの LAN I/F から出て行くパケットを検査

ですね。

くだらない質問でスレ流して申し訳なかったです。


390 :anonymous:2007/02/04(日) 04:34:12 ID:???
http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU102014.html についての質問です。

Optimistic TCP acknowledgements の脆弱性 (TCP の脆弱性) へのルーター側での対策は、非常に難しいと思われますが、
YAMAHA のルーターでは、どういった対策をしたのでしょうか?

他社では、製品側では、この脆弱性に対する対策を行わずに、Webアプリケーション側での対策 (SSHで認証するとか
不特定多数にアクセスを開放しないとか) や 特定のIPアドレスのパケットしか受信しないとうにするとか、運用で回避しろという
ドキュメントを公開しています。

http://www.allied-telesis.co.jp/support/list/faq/vuls/20051111.html
http://www.furukawa.co.jp/fitelnet/topic/ack_attacks.html
http://www.seil.jp/seilseries/news/snote/_snote_20051116_01.html

もしご存知でしたら、教えていただけるとうれしいです。

391 :Workaround:2007/02/04(日) 06:33:55 ID:???
>>390
optimistic ACKを受信するとスロースタートまで無条件に戻す。って感じ。

392 :anonymous:2007/02/04(日) 16:55:31 ID:???
WANからローカルIPでアクセスする ip spoofing 対策で、次のようなフィルタを書いてみました。

ip lan1 secure filter out 10 11 12 13
ip filter 10 reject-log 10.0.0.0/8
ip filter 11 reject-log 172.16.0.0/12
ip filter 12 reject-log 192.168.0.0/16
ip filter 13 pass-nolog *

すると、LANからWANにアクセスできないばかりか、ルーター自体に telnet でログインすることすらできなくなりました。
そして、シリアルコンソールで no ip lan1 secure filter out をしたらネットワークが復旧しました。

何故正常に送受信することができなくなるんでしょうか?


393 :392:2007/02/04(日) 17:01:45 ID:???
自己解決です
良く考えたら IPマスカレード で送信元がローカルIPになるんでした


394 :392:2007/02/04(日) 17:05:23 ID:???
あ、WANからのパケットが全部拒否されるのはIPマスカレードの仕組み上当然なんですが
ルーターへの telnet ができないってのはなんでなんでしょう…。

ルーター本体のIPアドレス 192.168.0.1 に接続しているわけなので、同じLAN内であって、
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html#remote-router-packet-filter
フィルタはかからんような…

自分自身の扱いだけ特殊なのかな;;

395 :sage:2007/02/05(月) 08:29:18 ID:???
侵入検知機能 (ip interface intrusion detection direction switch [option] 等) がRTXシリーズにありますが
これは具体的にどのような攻撃を検知できるのでしょうか?

マニュアルみても「指定された向きのパケットについて侵入を検知する。」ぐらいの説明しかなく、
ドキュメントも見つかりませんでした。

ご存知でしたらお願いします

396 :あのにます:2007/02/05(月) 10:13:33 ID:???
>>395
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html

397 :_:2007/02/05(月) 23:50:07 ID:???
>>395
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3

398 :anonymous@ eatkyo468039.adsl.ppp.infoweb.ne.jp:2007/02/06(火) 01:28:25 ID:???
RTX1100でlan1:192.168.0.1/24、lan2:wan(pppoe)
lan3:DMZ xxx.xxx.xxx.200/29のような形で設定を行っているのですが
DMZのサーバーが公開できません。

サーバーはグローバルIPをifcfgで振っているのですが
もしかしてサーバー自体にはプライベートアドレスを振って
RTXでNATでグローバルに変換しなければいけないとかでしょうか?

RTXの設定は下のリンク、ほとんどそのままなのですが。
http://netvolante.jp/solution/int/case4b.html

初心者丸出しで恥ずかしいのですが、大変困っております・・・・
分かる方いましたらヒントだけでもいいので教えていただけると助かります。
よろしくお願いします。

399 :鯖缶:2007/02/06(火) 07:28:50 ID:???
そのページに答え書いてあるじゃねーか

400 :anonymous:2007/02/06(火) 11:57:45 ID:???
内部DNSサーバ(192.168.100.200)があります。
こいつは、インターネットへはISPのDNSを参照しているのですが、
フィルタでDNS responseを弾いてしまっています。
ログをみると下記のようになっています。

PP[01] Passed at OUT(110) filter: UDP ルータ固定IP:53 > IPS/DNS鯖IP:53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP IPS/DNS鯖IP:53 > 192.168.100.200:53 (DNS response)

フィルタは概ね以下の様になっています。
ip filter 110 pass-log ルータ固定IP * tcp,udp * domain
ip filter dynamic 2 * * domain
nat descriptor masquerade static 1 5 192.168.100.200 domain

動的フィルタでresponseを受けたいのですが、out110→dynamic2で、ルータ固定IPへの
INは開くものの、192.168.100.200へのINは開かず、弾かれているのです。
このような場合、どのように動的設定をしたら良いのでしょうか?

尚、何故かresponseが弾かれていても、インターネットへの接続に支障は出ていません。
支障がなければ、いっそセキュリティ上弾いてる方がいいモノなのでしょうか?

401 :( ・ω・):2007/02/06(火) 13:15:28 ID:???
>>400
いろいろと突っ込みどころがありま(´・ω・)ス
どの機体か知らんけど、簡易DNS鯖機能があったりするのが
最近のルータだからとりあえず動くでしょう。

フィルタについては、晒されたconfigでは、ルータ"自身"がパケットを
通します、というだけだからなんとも。
どのI/Fにどのフィルタをどっち向きにつけてるかでも変わりますし。
回線種別、割り当てられたIPの個数とかがわからんとどうしようも
ないですな。

まぁ、七面倒なことせんでも、
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
このへん熟読したら幸せになれるかもしれないで(´・ω・)ス



402 :anonymous:2007/02/06(火) 14:50:04 ID:???
>>401
すみません、物凄く基本的な情報を全て飛ばしてしまっていました。

回線:Bフレ 固定IP1=ルータに割付(VPN用)
機種はRTX-1100でDHCPはOFF、DNSは192.168.100.200を参照する設定。
Active Directory鯖192.168.100.200でDHCP使用、DNSはISPのDNS参照。

記載したフィルタは、PP1のOUT側の一部で(ログから推測しないと分からないですね)、
DNS Queryに対するresponseが動的に入りさえすればよいのだからと、
ちょっといい加減に書きすぎたようで、反省しています。

Queryの始点が固定IPなのに、responseの終点がプライベートIPに変わっていたので
どうしたモノかと思い(中略)、とりあえず読み耽って来ます。

403 :anonymous:2007/02/06(火) 16:04:45 ID:???
ヤマハ ファイアウォール・ルーター『SRT100』

ttp://www.yamaha.co.jp/news/2007/07020601.html

404 :( ・ω・):2007/02/06(火) 16:07:18 ID:???
>>402
ルータの固定IPってグローバルアドレスのほう?
フレッツ固定1IPってたいてい、ルータはunnumberedだし、
そうなら>>400のフィルタっておかしなことになるぉ
見えるとこだけカンで書いたら

ip filter 110 pass-log 192.168.100.200/24 * tcp,udp * domain
ip filter dynamic 2 192.168.100.200/24 * domain
pp select 1
ip pp secure filter out 110 dynamic 2

こんな感じ?
つか、グローバルアドレスとStatic NATしたからといって、
ルータのルール書く時に、そのグローバルアドレスにしたら
しょうがないでそ(´・ω・)?

405 :anonymous:2007/02/06(火) 16:58:24 ID:???
>>404
またもや言葉不足で・・・・
どうも私は、正確に必要な情報をお伝えするのが不得手なようです

NTTに固定1というサービス名があるのをすっかり忘れていました。
IPsecのために固定IPを1コ取って、ip pp address 211.212.213.24(仮)/32してます。
(ちなみにISPはAsahiです)

私も最初は192.168.100.200がDNS Queryを出すモノとばかり思っていたのですが、
実際には、ログを見ると211.212.213.24(仮)がDNS鯖にQueryを出していました。
従って、outのフィルタ110番は、

 ip filter 110 pass-log 211.212.213.24(仮) * tcp,udp * domain

となっています。
natの設定自体も、実はフィルタ以前にnatで弾かれていたので付け加えたのですが。
始点が211.212.213.24(仮)なのに、帰りのパケットの終点が192.168.100.200に変わってるのが問題です。

分かりやすくログを書き直すと、

PP[01] Passed at OUT(110) filter: UDP 211.212.213.24(仮):53 > 210.210.210.20(仮):53 (DNS Query [xxxx.com] from 192.168.100.200)
PP[01] Rejected at IN(default) filter: UDP 210.210.210.20:53 > 192.168.100.200:53 (DNS response)

もう、素直にip filter 111 pass 210.210.210.20 192.168.100.200 udp 53 53 を付け加えます。

お付き合い頂き、感謝です。

406 :( ・ω・):2007/02/06(火) 21:46:12 ID:???
>>405
ようやく把握した(´・ω・)ス

ip filter dynamic で domainを指定した場合の動作は
あくまでアプリケーション(ぶっちゃけ、LAN内ローカルIP持ちのPC)からの
名前解決の挙動しか想定してないような気がしま(´・ω・)ス

Static NAT してDNS鯖として外に晒すなら、
ip filter dynamic * * filter * in * out *
ってな拡張形式で、
ip pp secure filter in と out
双方に動的フィルタを追加しないと
ダメな気がしま(´・ω・)ス。

あくまでスレーブ(つーかクライアントDNS?)として使うなら、
inのポートは開けないほうがいいんじゃないでしょうか

所詮シロートなんで詳しい人補足よろしくお願いしま(´・ω・)ス


407 :annonymous:2007/02/07(水) 10:48:01 ID:6VOPQdg3
動的フィルタってのがいまいちよくわかりませぬ。
ttp://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
ここは一応読んだのですが、

# ip filter 80 pass * 172.16.1.0/28 tcpflag=0x0002/0x0017 * 21
# ip filter 90 pass 172.16.1.0/28 * tcpflag=0x0002/0x0017 * www
# ip filter 100 reject * * * * *
# ip filter dynamic 1 172.16.1.0/28 * www
# ip filter dynamic 2 * 172.16.1.0/28 ftp
# pp select 1
# ip pp secure filter in 80 100 dynamic 2
# ip pp secure filter out 90 dynamic 1

> なお、内側のホストを信頼できる場合には、 90番のフィルタのtcpflagを単にtcpとしてもかまいません。

とありますが、上記設定で、90番フィルタの対象プロトコルをtcpにしてしまったら
動的フィルタをdynamic 1で設定する必要無いんじゃないですか?
それこそ、

# ip filter 90 pass 172.16.1.0/28 * tcp * www
# ip pp secure filter out 90

と変わらないと思うのですが。
(dynamic 1 があろうがなかろうが90番フィルタで全パケット外向きに
飛ぶのだから、そもそも、動的フィルタを通す意味がないのでは?)

408 :( ・ω・):2007/02/07(水) 11:49:30 ID:???
>>407
基本的に、動的フィルタってのは、双方向に穴をあけるのが特徴だと思いま(´・ω・)ス

その例だと確かに、
# ip filter 90 pass 172.16.1.0/28 * tcp * www
で外向け、http(80)宛てのパケットは通りま(´・ω・)スが、
静的フィルタだけだと、返信のパケットをどうするか設定が必要だと思いま(´・ω・)ス
default で全パケットrejectして、使うパケットだけ通す、というルールが一般的ですが、
動的フィルタを使わないと

#ip filter 100 pass * 172.16.1.0/28 tcp 80 *
#ip filter 999 reject * * * * *
#pp select 1
#ip pp secure filter in 100 999

こんな設定が必要になると思いま(´・ω・)ス
(クライアントのポートは可変ですから 宛先 * とかにしない限り追いきれません。)
このfilter 100 が静的、つまり常時あると、結局、送信元ポートが80でさえあれば、
内側のクライアントの任意ポートに向けていつでも、パケットを送り込めてしまう
ことになりま(´・ω・)ス

自分はスーパーハカーではないで(´・ω・)スからこれがどれほど危険なのかは
わかりませんが、もし、その例の動的フィルタを使っているなら、filter 100 は不要
ですから、

#ip pp secure filter in 999

だけでも、LAN側からホームページ見るときの全パケットの行き来を許可できる
ということじゃないでしょうか。

動的フィルタあんまり使ってないので自信がありません。添削おながいしま(´・ω・)ス


409 :anonymous:2007/02/07(水) 13:48:52 ID:???
>>407
接続要求は飛ぶけど、返事が遮られて返ってきませんヨ。
その為のdynamicです。
動的フィルタってのは、設定してても最初は存在していません。
OUTの場合は、こっちが接続要求を出して始めて出現し、
以降、要求に対する返答パケのIN方向を、自動的に開けてくれるのです。
通信の流れが止まると、一定時間後にIN方向の道も消える。ハズ。

要するに、dynamicでOUTの設定をしていると、
IN側の設定をしなくて済む=IN側の設定を攻撃の対象にされなくて済む
ということではないかと。

ip filter 100 pass * 172.16.1.0/28 tcp 80 * のような設定をすると、
外部からの全てのIPアドレスのポート80から出たパケットは、
172.16.1.0/28の全てのTCPポートにアクセスできるということになります。
それを補うためにさらにフィルタ、フィルタ、時にNAT、さらにフィルタ・・・
となるワケです。



410 :SRT:2007/02/07(水) 14:29:20 ID:???
ヤマハ、管理性を高めたSOHO・中小規模向けファイアウォールルータ
http://enterprise.watch.impress.co.jp/cda/security/2007/02/06/9564.html

業務向けクラス、ではないのかな…?

411 :( ・ω・):2007/02/07(水) 14:33:35 ID:???
>>410
業務にもいろいろありますから・・・。
小規模事業所用のVPNルータとしては
相変わらず最適なんじゃないでしょうか。
F/W機能強化されてるみたいだし、
余計なアプライアンスとか入れないで、
ルータ+F/W+VPN のオールインワン
として使うんじゃないかな。

412 :anonymous:2007/02/07(水) 16:15:46 ID:???
セキュアなRTって意味ですかねぇ。
今でもついてるFWがどれ程の物になったのかが気になるところ。








まぁ購入予算はないがw

413 :鯖缶:2007/02/07(水) 19:31:51 ID:???
拠点間VPN接続だと便利そうだけど、変な所にこだわらなければRTX1100とかでも十分だな

414 :maha:2007/02/07(水) 20:26:00 ID:???
価格帯ではスループット相当よさそうだし、
接続数制限なさそうだしFW無料だから
すごくよさそうなんだけど…2ポートかぁ

415 :_:2007/02/07(水) 22:50:30 ID:???
漏れ的にはIDSのシグネチャが明らかに少な過ぎる
フリーでも最低シグネチャが1000以上あるのに対し
2桁数字ではおまけ程度しか思えないし
ゲートウェイでスニッファを使うIDSではないと意味がないと
思われ 鯖公開をマジでやりたければ改竄検知システムを
導入するべきだと思ふ 板違いスマソ

416 :anonymous:2007/02/08(木) 09:44:28 ID:Bgv0N6fA
SSHで、リモートからRTX1100にログインしたいんですが、
上手いこと行きませぬ

pp select 1
pppoe use lan3
pp auth accept pap chap
pp auth myname hoge *
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp address 123.123.123.123/32
ip pp mtu 1454
ip pp secure filter in 10 11 12 13 1000
ip pp secure filter out 100 111 112 113 120 1000 dynamic 3 10 20 30
ip pp nat descriptor 1

ip filter 13 pass * 123.123.123.123 tcp * 22
ip filter 112 pass 123.123.123.123 * tcp,udp,icmp * *
sshd service on
sshd host key generate *

こんなConfigで、
IPアドレスは一つ123.123.123.123/32 のBフレッツ使ってます。
pingには応答するのですが・・・
(LANの内側からのSSH接続も可能です)

気になるのは、Tera Term+TTSSH2で接続が拒否された、と出る割に、
syslog notice on の状態にも関わらず、Rejectのログすら残ってない
ことです。

知恵を貸してください orz

417 :あのにます:2007/02/08(木) 11:27:19 ID:???
>>416
/32っつーことはNAT関係ですな。

418 :anonymous:2007/02/08(木) 11:36:38 ID:???
>>417
nat descriptor type 1 masquerade

すみませんこれが抜けてました。

                192.168.10.0/24
Bフレッツ--RTX1100--LAN

で、内側への静的マスカレードは一切しておりません。

RTX1100本体をSSHサーバに見立てるにしても、
なにかしらのNATの設定が必要になるのでしょうか。


419 :あのにます:2007/02/08(木) 11:54:07 ID:???
>>418
ip filter 適当 pass * 192.168.10.1 tcp * 22
nat descriptor masquerade static 1 適当 192.168.10.1 tcp 22
とかしないといけないんじゃなかったっけ?

420 :anonymous:2007/02/08(木) 12:03:12 ID:???
>>419
     ┏━━━RTX1100.━━┓
外━━LAN3           LAN1━━[内側ネットワーク]
     ┗━━━━━━━━━┛

LAN1が192.168.10.1/24
LAN3 に pp1 として123.123.123.123/32 をつけてるんですが

この状態でも、LAN3-->LAN1に対してNATする必要があるんでしょうか。

ちなみに、内側からは123.123.123.123:22を直接叩けます。


421 :あのにます:2007/02/08(木) 12:08:41 ID:???
>>420
まぁ、やってみなよ。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IP-Filter/apply-filter-to-interface.html
とか見る限りでは、まず nat descriptor がかかってから IP filter の段に入るんだから。
sshd は IP filter より後段に位置するはずだし。

422 :anonymous:2007/02/08(木) 13:46:53 ID:???
>>421
ありがとうございます。やってみたら外部のポートチェッカで
開放確認がとれました。

しかしちょっと疑問が残ります・・・
いわゆるPP IP Address Local っていうのは、PPPoE接続の
時に直接通信できるインターフェイスとしてはみなされない
のでしょうか。
(ルータのip pp address を未入力にしても、結局通信
できるみたいですし・・・)


423 :あのにます:2007/02/08(木) 14:36:38 ID:???
>>422
unnumberedってことでは?
http://www.rtpro.yamaha.co.jp/RT/FAQ/PPP/diff-numbered-unnumbered.html


424 :anonymous:2007/02/08(木) 16:18:43 ID:???
>>423
ルータをunnumberedにできるサービス(PPPoEで1IP固定割り当て)で、
numbered設定したい場合ってどうなるのかなぁ・・・とか思った次第。

unnumberedのときは局側の機器がしっかり固定割り当てされるIPを握ってそうですが、
こっちのルータでそのIPアドレスをWAN側PPに割り当てした場合、自動的に、ルータに
ルーティングしてくれるのかなぁ・・・と不安になったので。PPPoEがいまいち
わかってないのかもしれませんが。


425 :rtx1500:2007/02/08(木) 18:25:26 ID:???
>416
sshd って RTX3000 のみで使えるんじゃないの?
1100 で有効? って

>(LANの内側からのSSH接続も可能です)

な、なんだってー? あのマニュアルの記述はいったい...

426 :猫のウンコ:2007/02/08(木) 18:48:43 ID:???
>sshd って RTX3000 のみで使えるんじゃないの?

いったい何時の頃の話をしてるんだが…

427 :rtx1500:2007/02/08(木) 19:29:25 ID:???
いや... 去年の12月ごろに買った rtx1500 ...

箱だしで使ってるけど
ファーム更新したほうが良かったのかな?


428 :sage:2007/02/08(木) 22:51:20 ID:???
漏れも RTX1100 ではSSH使えないと思ってた。
使えるようになったのか、さすがヤマハだ。

あと、パスワードは8文字以内と公式Webにあったけど、
普通に12文字ぐらいのパスワード使っているけど、トラブルは起きないな。
9文字目以降の文字列もちゃんと検証されてるみたいだし。

ひょっとして、マニュアルにある RTX1100 非対応の機能 (上位機種のみ) でも
実際やると動くもの結構ある?



429 :鯖缶:2007/02/09(金) 10:18:05 ID:???
>>428
いや、無いと思う。
RTX1100は対応が告知されてたし。


430 :hage:2007/02/09(金) 14:08:50 ID:???
パスワードはv7/8からだっけ?
パスワードのおかげでRTA55iがconfing飲み込んでくれなくて一晩悩んだ事があったっけ…

431 :ano:2007/02/09(金) 23:03:54 ID:???
プロバイダから発行されたPPPoEのパスワードに?(クエスチョンマーク)が含まれています。
どうやってコンソールで入力すればよいでしょうか?

432 :sage:2007/02/10(土) 01:19:59 ID:???
>>431
エスケープすれば良くね?

\? みたいにさ。


433 :RTX1100 User:2007/02/10(土) 10:18:07 ID:???
マニュアルの 「4.2 無名ユーザのパスワードを暗号化して保存する」 ([ 書式] login password encrypted) は、
RTX3000 でしか使えないはずですが、コマンドを入れてみてもエラーにはなりませんでした。

これって暗号化されて保存されているってことなんでしょうか?

434 :433:2007/02/10(土) 11:25:03 ID:???
調べたら、Rev.8.03.37で追加されたということが分かりました。

http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.08.03/relnote_08_03_37.html
http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html

自己解決です。

435 :nanashi:2007/02/10(土) 12:12:40 ID:???
http://www.rtpro.yamaha.co.jp/RT/FAQ/Windows/NetBIOS-Filter.html で、
ポート137,138,139 のフィルタが推奨されています。

自分は、IPマスカレードを使用して複数台接続しているのですが、アドレス変換設定をして、
ポートを開放しなければ、外部からの接続は、デフォルトで拒否されていますよね。

このような場合は、NetBIOS のフィルタをしなくてもセキュリティ上は問題ないと解釈してよろしいでしょうか?



436 :鯖缶:2007/02/10(土) 13:10:56 ID:???
TCP/IPの基礎を勉強して来い と言いたい所だが、

NETBIOSの実装上、TCPでも動く事になっている。
通常のマスカレードの場合、内部からTCPセッション張った場合に、その返答という形でパケットが通過する。

あとはわかるな?


437 :435:2007/02/11(日) 10:13:15 ID:???
>>436
回答ありがとうございます。
TCP/IPとかUnixのサーバ関係の基礎は分かっているつもりなんですが、NetBIOS の仕組みは全然わからんです…。

NetBIOS (over TCP/IP) って、勝手に外部のホストに接続する、もしくは第三者が接続するように仕向けられるもんなんでしょうか…。
WebサーバとWebブラウザのように、クライアント側がIPアドレスを指定して接続し、サーバ側が情報を提供するような形式であって、
ポートを閉じている状況ならば、内部からの接続要求への返答は受け取れても、自分のコンピュータからファイルなどの情報が出て行く
ことはないと思ってました。


438 :ほっ!:2007/02/11(日) 21:28:28 ID:???
>>437
DSTががNetBIOSとなるポートが通過可能のとき好ましくない例として
ウイルスやスパイウェアに感染したときがありえます。

実例としては、OpaservなどのNetBIOSをつかって感染するウイルスが
内部PCに発生したとき、外部にウイルスをばら撒くといことになってしまいます。
(PHSカードなどでダイヤルアップでつかったとき感染したPCをLANでつないだとき
に発生した。)
スパイウェアの類ならファイルをばら撒くこともできそうです。

439 :435:2007/02/12(月) 07:08:42 ID:???
>>438
ご親切に回答していただき恐れ入ります。

LAN内部のコンピュータがマルウェアに感染していない状況であれば、このままの設定でも全く問題ありませんが、
マルウェアに感染した際のことを考えれば、NetBIOS ポートは無効にした方が良いということですね。

早速、ipfilter の設定を行おうと思います。
ありがとうございました。


440 :anonymous@59-190-104-74.eonet.ne.jp:2007/02/16(金) 01:10:59 ID:???
RTX1100を使ってて、どうもうまく行かないんで質問。

今、RTX1100内のPCからWAN側のPPTPサーバに接続したいんだけど、
これがうまく繋がらない(RTX1100側からのリモートアクセスVPN)。
他の場所から該当のPPTPサーバへは問題なく接続できるので、RTX1100の
config(フィルタ)の問題だと思ってるんだけど。。
ちなみにローカルIPも被っていないことは確認しました。

業者さんに叩き台を作ってもらった分をいじってて、単にpptpパススルーを
見よう見まねで追加しただけなんですが・・・
どなたかアドバイスお願いします。

〜つづく〜

441 :440:2007/02/16(金) 01:12:17 ID:???
ip pp secure filter in
ip filter 1 reject 10.0.0.0/8 * * * *
ip filter 2 reject 172.16.0.0/12 * * * *
ip filter 3 reject 192.168.0.0/16 * * * *
ip filter 4 reject 192.168.2.0/24 * * * *
ip filter 10 reject * * udp,tcp 135 *
ip filter 11 reject * * udp,tcp * 135
ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 14 reject * * udp,tcp 445 *
ip filter 15 reject * * udp,tcp * 445
ip filter 20 pass * 192.168.2.0/24 icmp * *
ip filter 22 pass * 192.168.2.0/24 tcp * ident
ip filter 30 pass * 192.168.2.10 udp * 500
ip filter 31 pass * 192.168.2.10 esp * *
ip filter 32 pass * 192.168.2.10 tcp * telnet
ip filter 33 pass * 192.168.2.10 tcp * www
ip filter 101 pass * 192.168.2.10 tcp * 1723
ip filter 102 pass * 192.168.2.10 gre * *

〜つづく〜

442 :440:2007/02/16(金) 01:13:08 ID:???
ip pp secure filter out
ip filter 5 reject * 10.0.0.0/8 * * *
ip filter 6 reject * 172.16.0.0/12 * * *
ip filter 7 reject * 192.168.0.0/16 * * *
ip filter 8 reject * 192.168.2.0/24 * * *
ip filter 10 reject * * udp,tcp 135 *
ip filter 11 reject * * udp,tcp * 135
ip filter 12 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 13 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 14 reject * * udp,tcp 445 *
ip filter 15 reject * * udp,tcp * 445
ip filter 16 restrict * * tcpfin * www,21,nntp
ip filter 17 restrict * * tcprst * www,21,nntp
ip filter 99 pass * * * * *
ip filter dynamic 180 * * ftp
ip filter dynamic 181 * * domain
ip filter dynamic 182 * * www
ip filter dynamic 183 * * smtp
ip filter dynamic 184 * * pop3
ip filter dynamic 198 * * tcp
ip filter dynamic 199 * * udp

nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.10 udp 500
nat descriptor masquerade static 1 2 192.168.2.10 esp
nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet
nat descriptor masquerade static 1 4 192.168.2.10 tcp www
nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723
nat descriptor masquerade static 1 6 192.168.2.10 gre

ダラダラと申し訳ございません。以上です。。

443 :anonymous:2007/02/16(金) 01:27:47 ID:???
RTX1100を買いました。

ip filter を使ってプライベートIPアドレスが送信元のパケットが外部から来たときに拒否する設定を行っています。

あとは、自分自身のグローバルIPアドレスが送信元となっている不正なパケットを拒否したいのですが、
Bフレッツでの非固定IPアドレスなISP (PPPoE 接続をして DHCP サーバからグローバルIPアドレスを取得する方式) なので、
自分自身のIPアドレスが不定です。

この場合には、どういった設定をすれば良いでしょうか?

もし、自分自身のグローバルIPアドレスが送信元のパケットや、送信元IPアドレスと送信先IPアドレスが一致しているパケットは
デフォで拒否されるのであれば、その旨を教えていただけると幸いです





444 :hage:2007/02/16(金) 02:56:57 ID:???
>>440
肝心の設定がばっさり抜けてるから、訳分からん

192.168.2.10って何のアドレス?

とりあえず貼っておく
http://www.rtpro.yamaha.co.jp/RT/FAQ/PPTP/rtpptp-ans.html#11

445 :440:2007/02/16(金) 09:07:55 ID:???
>>444
すみません。どこまで必要なのかが解らなかったので。。他部分も貼り付けてみます。

ip route default gateway pp 1
ip route 192.168.1.0/24 gateway tunnel 1
ip route 192.168.3.0/24 gateway tunnel 2
ip route 192.168.4.0/24 gateway tunnel 3
ip lan1 address 192.168.2.10/24
pp select 1
pp always-on on
pppoe use lan2
pppoe auto connect on
pppoe auto disconnect on
pp auth accept pap chap
pp auth myname (ID) (PASS)
ppp lcp mru on 1454
ppp ipcp ipaddress on
ppp ipcp msext on
ppp ccp type none
ip pp mtu 1454
ip pp secure filter in (上記のフィルタ設定)
ip pp secure filter out (上記のフィルタ設定)
ip pp nat descriptor 1
pp enable 1

〜つづく〜
ちなみに、ipsecはうまく作動しているため、その部分は端折りました。

446 :440:2007/02/16(金) 09:08:30 ID:???
nat descriptor type 1 masquerade
nat descriptor masquerade static 1 1 192.168.2.10 udp 500
nat descriptor masquerade static 1 2 192.168.2.10 esp
nat descriptor masquerade static 1 3 192.168.2.10 tcp telnet
nat descriptor masquerade static 1 4 192.168.2.10 tcp www
nat descriptor masquerade static 1 5 192.168.2.10 tcp 1723
nat descriptor masquerade static 1 6 192.168.2.10 gre
ipsec auto refresh on
tftp host any
telnetd host any
dhcp service server
dhcp scope 1 192.168.2.11-192.168.2.99/24 gateway 192.168.2.10
dns server pp 1
httpd host any

以上です。たびたびすみません。。

447 :hugu:2007/02/16(金) 09:22:31 ID:???
その config が書かれているルーターのLAN側にいるPC(192.168.2.10)から
WAN側にいる PPTP鯖(他所からは繋がるためPPTP鯖に問題はないと思われ) に繋げない、
と言ってるのか?


448 :hugu:2007/02/16(金) 09:23:34 ID:???
ip lan1 address 192.168.2.10/24
だから、192.168.2.10 はルーター自身か

192.168.2.10 なルーターで PPTP鯖 でも建てようとしているのか?
(tunnel とか設定たりないが)

449 :440:2007/02/16(金) 09:52:51 ID:???
>>447
そうです。その通りです。
このルータのLAN側PCからWAN側のPPTPサーバに接続したいのです。
このルータのLAN側IPが、192.168.2.10 なのです。
実際のPPTPクライアントは、このルータのDHCPから受け取ってる 192.168.2.12 なのですが。

>>448
192.168.2.10 は、仰せの通り、ルータ自身です。
ただ、このルータをPPTPサーバにするのではなく、RTX1100配下にある
PPTPクライアントPCからインターネット側のPPTPサーバに繋げたいのです。
このルータにPPTPクライアント機能を持たせるのでもありません。

450 :anonymous@p7191-ipad307sapodori.hokkaido.ocn.ne.jp:2007/02/16(金) 10:41:30 ID:???
まず試しにフィルター外せ

通ったら
ip filter 102 pass * 192.168.2.10 gre * *

ip filter 102 pass * * gre * *
に変えてみろ

そんな気がするw

451 :440:2007/02/16(金) 11:16:15 ID:???
>>450
おぉっ、ありがとう!!!!
無事、wan側のpptpサーバに接続することが出来まいsた!!

アドバイスの通り、
ip filter 102 pass * 192.168.2.10 gre * *

ip filter 102 pass * * gre * *
に変更してやると、あっさり繋がりました。
ip pp secure filter in と ip pp secure filter out は、そのまま使用しています。

これから先、自分でいろいろと設定していかなければ行けない立場にあるので、
もっと精進しようと思います。
ありがとうございました!

452 :ki:2007/02/16(金) 11:47:45 ID:???
>443
Land atack

453 :ki:2007/02/16(金) 11:51:14 ID:???
ミスった

http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html
の侵入の検知の所に書いてあるけど、IDSがLand attackに対応してるから
それを設定すれば防げると思う。
でも、これを設定するとスループットが下がるのがネック。

454 :anonymous:2007/02/16(金) 22:00:16 ID:???
> http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html

このページの解説が良く分かりません><

> 動的なフィルタでは、特定の方向にしかドアが開きませんが、通信は双方向であることに注意する必要があります。
> つまり、一度、ドアが開けば、その後は、双方向に通信できることになります。言葉を換えると、双方向の通信を同時に管理できるということであり、静的なフィルタとの大きな違いといえます。

> それから、重要な概念として、コネクションの向きがあります。コネクションの向きは、接続の要求の向きと同じです。
> たとえば、 AがBに接続要求を送信したときには、コネクションの向きは、 AからBへ向かう方向になります。動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。

なんか矛盾しているような気がするんですが…。



455 :443:2007/02/16(金) 22:07:41 ID:???
>>452-453
初歩的な質問に答えていただきありがとうございました m(___)m

送信元IPアドレスと送信先IPアドレスが一致しているパケットは、
侵入検知で防げるんですね。

感激です。


456 :443:2007/02/16(金) 22:09:48 ID:???
今見てて思ったんですが、
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html の 「Land atack」 ってスペル違うような…。

457 :ki:2007/02/16(金) 22:37:02 ID:???
>456
確かにtが抜けてるw

>454
コネクションの向き(in or out)=ドアが開く方向(押 or 引)として
考えてみて、穴を開けるキッカケをどちらかに制限できますよって事かな

458 :454:2007/02/16(金) 22:46:57 ID:???
>>457
なるほど

一度ドアが開けば、その後は、双方向に通信できることになります。
 ⇒トリガーに従い動的フィルタでの穴あけが行われると、そのポートでのアウトバウンドパケットもインバウンドパケットも両方許可されるよ。
   アウトバウンドだけ許可するとか、そういう設定はできないので注意してね。

動的フィルタでは、コネクションの向きに応じて、異なるアクセス制限を適用することができます。
 ⇒特定のポート(とかIPアドレス)へのインバウンド接続と、アウトバンド接続で、別々の動的フィルターを定義できるよ。

ってことですね

すっきりしました。


459 :sage:2007/02/17(土) 01:29:18 ID:???
質問です。
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3 ⇒ 3.3. 判定条件 の表で、

▲ … 常に廃棄
○ … 常に廃棄
△ … 廃棄しない
★ … 動的フィルタ無しでは無効

ということは分かったんですが、マーク無しはどういう意味なんでしょうか?

また 「この攻撃に関しては、設定にかかわらず、必ず破棄します。」 という風に、「設定にかかわらず」と書かれていますが
マニュアルみても、 intrusion detection の詳細設定の項目はありませんでした

この設定について書かれているページはありますか?

460 :ki:2007/02/17(土) 14:31:08 ID:???
マークなしは設定に従って動作するって事じゃないかな

461 :459:2007/02/17(土) 23:05:39 ID:???
>>460
ありがとうございます。
設定に従った動作ということですか…。

実はマニュアル等を検索しても、intrusion detection 関係の設定コマンドが見つからなかったのですが、
載っているページを教えていただけないでしょうか?

462 :anonymous:2007/02/17(土) 23:10:34 ID:???
>intrusion detection 関係の設定コマンド
onとoffだけだった奇が駿河

463 :459:2007/02/17(土) 23:30:22 ID:???
>>462
ですよね…。
しかし、それしかないとすると、>>460 さんの 「設定に従って動作する」 も、
http://www.rtpro.yamaha.co.jp/RT/docs/firewall/index.html#section3
「この攻撃に関しては、設定にかかわらず、必ず破棄します。」 のような説明が意味不明になるんです。
設定に従って、と言われても on か off しかないわけで…。

むむ、ここまで書いてて少し閃きました。


〜仮説〜

マニュアルの 「設定によって〜」 の 設定とは、実は intrusion detection の on / off のことだった。

まず、>>453 の 「IDSがLand attackに対応してるからそれを設定すれば防げると思う。でも、これを設定するとスループットが下がるのがネック。」 は間違い。
何処が間違いかというと、設定すれば〜あたり。

表のマークは ▲ (危険性の高い攻撃で、誤検出の可能性が低く、破棄したときの影響が少ないと思われるものを示します。この攻撃に関しては、設定に
かかわらず、必ず破棄します。) なんだから、intrusion detection が off でも、Land atack への防衛は常に有効になっている。
Land atack 対策設定はどうやっても解除することができない。

▲ … intrusion detection を off にしてても強制廃棄
○ … intrusion detection を off にしてても強制廃棄
△ … intrusion detection を on にしても廃棄無し
★ … intrusion detection を on かつ その動的フィルタ使っていると廃棄
マーク無し: intrusion detection を on だと廃棄



これであっているのかご存知でしたら教えてください。

464 :anonymous:2007/02/18(日) 12:29:23 ID:???
攻撃受けたければ、静的に設定して通せば?
そもそも説明文自体、動的フィルタの中の一節だろ。


465 :sage:2007/02/18(日) 21:59:20 ID:???
>>464
> そもそも説明文自体、動的フィルタの中の一節だろ。

それはちゃうっしょ

ファイアウォール機能

* 1. はじめに
* 2. 動的なフィルタリング
* 3. 侵入の検知
* 4. コマンド仕様

の 3だし。

そして、動的フィルタ関係は★だけだと思われる。

466 :anonymous@h129.p048.iij4u.or.jp:2007/02/19(月) 18:57:37 ID:???
サーバーの納品先にRTX1100があって、設定画面を見てたら
変な事しちゃったみたいで、フリーズしてしまいました。。。

電源ON・OFFでもPINGすら返ってこなくなりました。。。

初期化して、コンフィグファイルを書き込みたいのですが、
コンフィグファイルをPDFで残したものがあるだけです。。。

コンフィグファイル自体は、テキストファイルだと思うのですが、
文字コードや改行コードは何で保存すれば良いのでしょうか?

どうか助けて下さい。。。

467 :ki:2007/02/19(月) 19:24:53 ID:???
設定ファイル内に2byte文字がなければ文字コードは関係ないような?
もしあるなら、デフォルトはsjisだと思うからsjisで。
改行コードはCRLFでもLFでもCRでも大丈夫だと思う

468 :anonymous@h228.p050.iij4u.or.jp:2007/02/19(月) 19:32:17 ID:???
ありがとうございます。
やってみます。m(__)m

469 :am:2007/02/19(月) 22:46:43 ID:???
もう初期化しちゃってるかもしれないけど、
初期化する前にシリアルかinsでつないでみたら?

470 :anonymous:2007/02/20(火) 00:07:38 ID:???
>>465

>3. 侵入の検知
>
>3.2. どのように使用するのか
>この機能は、2章で説明した動的フィルタで管理している情報を利用して動作します。

471 :anonymous@p57cc50.tokynt01.ap.so-net.ne.jp:2007/02/20(火) 01:02:27 ID:???
>>470
> 一方、IPヘッダやICMPのように、動的フィルタでは扱わないパケットについては、動的フィルタの設定の有無に関わらず動作します。
> また、TCPやUDPについても、基本的には、動的フィルタを定義しなくても、機能するよう> になっています。これらの詳細については、後の節で説明します。
基本的にはそうなんですね

とありますよね

例えば、IPオプションヘッダの項目は、記号がないですけど、これは動的フィルタ有効にしないと機能しないってことですか?


472 :anonymous:2007/02/20(火) 11:53:59 ID:???
>>471
>表中の★は動的フィルタを設定しなければ働かないことを示します

記号あるトコは、設定の有無ry or 設定しなければ
記号ないトコは、判定条件にひっかかれば検知されるのでしょう。
あとは静的にLand atackを通して、廃棄されるかどうか試せば、
"設定に関わらず"というマニュアル文から考え得る曖昧さを明確にできるでしょう。

473 :RTX1100:2007/02/20(火) 19:09:53 ID:???
YAMAHAのRTX1100を使っています。

回線状況は非常に安定しているんですが Windows Messenger が不定期に切断されてしまいます。
(誰かにメッセージを送ってみたらいきなり切断状況になったりと)

これは無通信状態が長く続いたことにより、NATタイマーの時間切れが生じて発生した問題ということなんでしょうか?
もしそうなら良い回避策は無いでしょうか?


474 :あの:2007/02/20(火) 23:42:11 ID:???
タイマーが問題と思うなら伸ばしてみたら?
わからんかったら
試しにUPNP使ってみたら?

475 :anonymous@359479004727593:2007/02/21(水) 02:51:43 ID:???
RTX1000にMACアドレスフィルタリング機能は付いてますか

476 :あのにます:2007/02/21(水) 03:29:53 ID:???
>>475
ethernet filterのことになるんだと思うけど、1000には付いてないはず。
1100の最新のファームならある。
まぁ似たようなことは工夫すれば出来ると思うけど。

477 :anonymous:2007/02/21(水) 09:09:02 ID:???
RTX1100でインターネットVPN(AES/SHA)を構築したんですが、めちゃくちゃ速度が遅いのです。
構築されたVPNの中でFTPをするのと、グローバルIP使ってFTPするので速度に5倍ぐらいの差が。
こういうものなんですかね?
ちなみに速度はVPN内のFTPで1Mでず、グローバルIPを使ったFTPで5Mぐらいです。

478 :440:2007/02/21(水) 12:24:32 ID:???
>>477
MTUサイズがVPN経由だと大きいんじゃ?
一度、遅いルートでMTUサイズを調整してみては?
原因・要因は、それ以外にもあるけど、脊髄反射的にレス。

と、素人が申し上げています。

479 :478:2007/02/21(水) 12:26:09 ID:???
あう〜名前の440は、このスレの人とは違いますぅ ゴメン

480 :477:2007/02/21(水) 17:20:59 ID:???
>>478
VPN側のMTUは1280ですね。
1454よりは小さいですけど、それでこんなにも速度落ちるものですかね?


481 :anonymous@RTX1100:2007/02/22(木) 22:49:56 ID:???
RTX1100についての質問です。

クライアントA から 外部のサーバへ接続した場合には pp 1 を使用して、
クライアントB から 外部のサーバへ接続した場合には pp 2 を使用する、といった設定はどのようにやれば良いでしょうか?

(例えば、クライアントA は So-net の固定IPアドレスプラン、クライアントB は nifty の動的IPアドレスプラン。)

ようするに、PCによって、診断君 http://taruo.net/e/ とかに表示されるIPアドレスを異なるものにしたいということです。

ip route で出来そうだ、と思ってリファレンスを読んでみたところ、送信先のIPアドレス (宛先アドレス) を元に振り分けることはできるんですが、
送信元のIPアドレスでの振り分けはできないようなんです(´・ω・`)

よろしくお願い致します。

482 :RTX3000・・・が欲しい:2007/02/23(金) 01:15:18 ID:???
>>481
ttp://www.rtpro.yamaha.co.jp/RT/docs/filter-routing/filter-routing.html

ハードウェアの方と連動してるのう・・・。

483 :匿名希望:2007/02/23(金) 03:04:04 ID:???
>>481
ip route default gateway pp 2 filter 600000 gateway pp 1
ip filter 600000 pass 192.168.0.200-192.168.0.254 * * * *
と設定して、たとえば
クライアントA:192.168.0.100
クライアントB:192.168.0.200
とアドレスを設定すればうまくいくと思います。


484 :483:2007/02/23(金) 03:09:21 ID:???
今気づいたけど、>>482の例1に書いてるなあ


485 :アノニマス:2007/02/23(金) 03:19:24 ID:???
>>483
それと
http://www.rtpro.yamaha.co.jp/RT/docs/dhcp-auth/index.html
を組み合わせればPCのアドレス固定しなくてもうまくいくような気がするけど
試すのは( ゚Д゚)マンドクセー

486 :anonymous@RTX1100:2007/02/24(土) 00:53:00 ID:???
>>482
うおー。
もろ期待通りのことができますね。
ありがとうございました。

> ハードウェアの方と連動してるのう・・・。
すみません、これの意味が良く分からないです…。


>>483-484
その設定でいい感じにいけそうです。
ありがとうございます。


>>485
既に RTX1100 の DHCP サーバ で MACアドレスをもとにIPアドレスを固定配布しているので、それで行ってみます。
出来ても出来なくても、報告しますね。



487 :sage:2007/02/24(土) 03:45:34 ID:???
YAMAHA公式のメーリングリストに入ろうかと思っているんですが、
メーリングリストに入るのは初めてで戸惑っています。

そこで質問なのですが、

1. 1日に何通程度のメッセージがやり取りされているんでしょうか?
2. 登録や投稿時には実名 (もしくは実名風ハンドルネーム) にする必要ありそうですか?
3. MUA は Mozilla Thunderbird で問題無しですか?

以上を教えていただけると嬉しいです。


488 :あの:2007/02/24(土) 03:53:47 ID:???
むかし入ってたけど
1は今どうなんだろう・・・
とりあえずまとめてゲットできた気がしたからそれみてみては?

2は、特に気にすることはなく
3は、問題無いと思うけどHTML形式はやめた方がいい

普通のメーリングリストのマナーでOKなはずだから詳しくは検索してみて

489 :487:2007/02/24(土) 03:56:41 ID:???
>>488
親切なご回答ありがとうございます><
適当にメーリングリストのマナーを調べた上で、登録してみようかと思います。


490 :RTX3000・・・が欲しい:2007/02/24(土) 04:15:06 ID:???
>>486
> > ハードウェアの方と連動してるのう・・・。
> すみません、これの意味が良く分からないです…。

あ、すみません。ハードウェア板のYAMAHAスレの事です。
フィルタをどこまで増やせるかって話題で、フィルタ型ルーティングを使って
NULLインターフェースにルーティングすればフィルタが実質増やせるね、とかなんとか。


491 :RTX3000・・・が欲しい:2007/02/24(土) 04:20:23 ID:???
>>487
じゃぁ、1番だけ。
昨年一年で、1026通。今月は現時点で47通です。

492 :487:2007/02/24(土) 05:09:51 ID:???
>>491
なるほど…

去年は 1日あたり 2.81 通
今年は 1日あたり 0.87 通

って感じですね。

結構メッセージ数あるようなので安心しました。

493 :RTX3000・・・が欲しい:2007/02/24(土) 15:53:58 ID:???
>>492
"今月"なので2月分が47通です。1月分は25通。

494 :487:2007/02/24(土) 23:06:22 ID:???
>>493
なるほど。
今月でしたか。
ミスリード申し訳ありませんでした。

495 :anonymous@221x246x240x74.ap221.ftth.ucom.ne.jp:2007/02/25(日) 05:27:06 ID:???
RTX-1100についての質問です
拠点Aと拠点BをVPNで繋ごうと思いいろいろいじっています
キャリアが拠点AがUCOM、拠点BがBフレッツで、拠点BのほうはPPPoEで問題なくルーターも外部へPINGが通りますが、拠点AのほうがルーターからのPINGが外に出てくれません
拠点AのほうはNATでローカルIPをグローバルIPに変換してインターネットへは問題なく繋がります
拠点AでPPを利用してルーターが外部へ繋がることができればVPNが繋がると思うのですが、UCOMのようなIP割り当てのISPとBフレッツを繋ぐ方法はありますでしょうか?
よろしくお願いします

496 :anonymous:2007/02/25(日) 05:31:48 ID:???
IP割り当てでフシアナとは・・・・

497 :sage:2007/02/25(日) 05:36:56 ID:???
たぶん、動的IPだから問題無し

この板のデフォルトは anonymous@fusianasan だから引っかかる人は引っかかる…
漏れも最初引っかかったわ

498 :あのにまうす:2007/02/25(日) 06:18:15 ID:???
知らなかった、次からは気をつけます
早急な回答ありがとうございます
もう少しいじってみます
ありがとうございます

499 :anonymous:2007/02/25(日) 06:26:47 ID:???
拠点Aは固定アドレスって意味?

500 :あのにまうす:2007/02/25(日) 07:05:32 ID:???
はい
拠点Aは固定IPです
といっても、DHCPでいくつか割り振られているIPのうちの一つです
拠点BはBフレッツで固定ではありません

501 :anonymous:2007/02/25(日) 07:23:16 ID:???
DHCPなら動的でないの?

502 :anonymous:2007/02/25(日) 07:24:25 ID:???
MACみて固定的にしてるって意味?

503 :あのにまうす:2007/02/25(日) 07:43:08 ID:???
UCOMがどういう仕組みなのかはわからないですが、違う機器をルーター介さずに直接繋ぐとIPが変わることからMACアドレスで割り振っているものかと思われます
で、そのIPアドレスもプランによって1〜5くらい割り振られていると思います
そのプランを申し込んだ人がどのプランで申し込んだかも、何をしたのか何をしたいのか誰にも話さない人なのでIPがいくつあるのかまでは分かりかねます

504 :anonymous:2007/02/26(月) 10:28:43 ID:???
ファイアウォールやらセキュリティソフトやらでpingが遮断される事もあるし、
相手先がpingを遮断している場合もある(www.microsoft.co.jpなど)
まぁ拠点AもBも同じトコにping打ってるとは思うが、
コンフィグくらいは書いてないと、誰も判断しようがないよ。

505 :anonymous:2007/02/26(月) 10:31:49 ID:???
>>503
でそのような状態でわれわれに助言しろと?

506 : :2007/02/27(火) 11:25:45 ID:???
IP-PBX環境でマルチキャストを使用します。
RTX3000-RTX1500でVPNを構築した場合、拠点間のマルチキャスト転送は
可能ですか?

185 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)