YAMAHA業務向けルーター運用構築スレッドPart18

○　　>>1 乙　もうお前に用はない

く|）へ

〉　　　ヽ○ノ

‾‾7　　ヘ/

／　 　ノ

|

／

|

／

RTX1200あたりのルータで

複数のグローバルIPで

ヘアピンNATを有効化することは可能でしょうか?

>>12

ヘアピンNAT？

静的にLAN側ネットワーク内のアドレスに飛ばすこと？

それなら、複数のグローバルIPそれぞれに宛先アドレスを設定することなどで、

可能ですよ。RTX1200でも、RTX1210でも、

>>13

そうです。

具体的な例を上げてもらってもよろしいでしょうか。

ローカルPCからドメイン名で自鯖にアクセスしたいです。

>>16

RTPRO見れば大丈夫でしょ

RTXで自鯖を立ててる野郎共は沢山いるし、DNSリレーを使うならルーターで勝手に俺様DNSだって出来る

具体的な参考事例を求めるなら自力で探すべき

ここに巣食ってる人達は小さいケツの穴してないからハマった時とか助けを求めると答えてくれる。

RTX1100ぐらいを買って試してみるべきだと思う

>>18

hhttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/nat-abstruct.html

ここを見ると

なおヤマハルーターでは、一般的に「ヘアピンNAT」と呼ばれる機能には対応しておりません。

すなわち、外向きのパケットに対して、その宛先が静的NATや静的IPマスカレードの外側アドレス/外側ポート番号に一致していたとしても、折り返して内側の端末への転送は行いません。

とあって

hhttps://es-es.facebook.com/remsys.2/posts/491045837758558:0

ここには

IPCPで動的に取得する設定にしておくことでヘアピンNATが有効になります。

とかあって混乱しています。

予備でRTX1200があるのですが、予備回線がありません。

PPPoEサーバを立てればテストはできるのでしょうか。

試行錯誤中です。

>>25

お、それはIP8とかIP16の場合もですかね。

心臓とまりそうになった！！！

ちょっとの修正と思ってLinuxとRTXのIPsecトンネルをいじっていたら、ネットワーク基幹部分が思うように動かなくなってしまった。

３つほど拠点があって、ルーティングテーブルなどをいじっていたら、わけがわからなくなってしまったのだ。

日頃の睡眠不足がたたって頭が働かない状態に陥っていた。戻そうにも戻せない。

夜明けが迫っているというのに、まだ寝ていないというのに、気持ちが焦って、不安が強くなった。

このままだと会社の人たちに迷惑がかかる！！！！！

まだ数時間あるというのにもう頭の中が真っ白になって、もう落ち着いて考えられなくなってしまった。

とにかくもとに戻さなければ！！！！！！風呂に入って気持ちを静めた。なんなら深夜の散歩でもしてやろうかと思った。

tftp -i host put コンフィグファイル config/password　を試そう。

こんなときのために本当にバックアップとっておいてよかった・・・・

バックアップファイルの最初に、clear configurationコマンドと、最後にsaveコマンドがコメントアウトされている。

こんな緊急事態の経験がないので、一回目は復帰できてないやないか！！！！と焦る。

ヘアピンNATをするにはimplicitな経路を作らないことが重要。

だから、ip pp address を設定するなら/32で。

ipcpでネットワークアドレスを取得してしまうプロバイダの場合は、

ppp ipcp ipaddressがonでもoffでもいいけど、

nat descriptor address outerに使用したいIPアドレスを記述すること。

>>48

いけたときの状態で、LAN側からグローバルIPにping実行したら、

RTTとTTLはいくつになりますか？

>>50

$ ping A.B.C.25

PING A.B.C.25 (A.B.C.25) 56(84) bytes of data.

64 bytes from A.B.C.25: icmp_seq=1 ttl=255 time=0.675 ms

64 bytes from A.B.C.25: icmp_seq=2 ttl=255 time=0.532 ms

64 bytes from A.B.C.25: icmp_seq=3 ttl=255 time=0.541 ms

64 bytes from A.B.C.25: icmp_seq=4 ttl=255 time=0.582 ms

64 bytes from A.B.C.25: icmp_seq=5 ttl=255 time=0.581 ms

64 bytes from A.B.C.25: icmp_seq=6 ttl=255 time=0.614 ms

64 bytes from A.B.C.25: icmp_seq=7 ttl=255 time=0.565 ms

64 bytes from A.B.C.25: icmp_seq=8 ttl=255 time=0.574 ms

64 bytes from A.B.C.25: icmp_seq=9 ttl=255 time=0.557 ms

^C

— A.B.C.25 ping statistics —

9 packets transmitted, 9 received, 0% packet loss, time 8000ms

rtt min/avg/max/mdev = 0.532/0.580/0.675/0.042 ms

こんなんです。

実際に外に確認くんとかにアクセスするとouterのアドレスになっとるけどね。

無線ルータ出して欲しいな。牛のより説得力あるし

>>99

hhttp://jp.yamaha.com/products/network/routers/nvr700w/?mode=model

これじゃ駄目か？

>>102

これいわゆるWi-Fiアンテナじゃないんだよな。

プレスの画像見た時に騙された。しかのファンあり

>>105

内蔵WANって、SIMつかえるのか？

tftpで流すのはお嫌い？

tftp 192.168.255.254 put RTX1210Config.txt config/adminpass

>>155

今やってみたけど、リアルタイムに上書きしたあげく再起動しないで繋がった

なんかおもしれー

>>156

>>30-31もご参考に

IPv6網内折返し試験してるけど、6Mbpsぐらいしか出ない

普通にISP通しのほうが早いんだけど、IPSecパケットに帯域制限入れてるのかな

直接2408-xxx-xx略shareなんかで共有掛けると早いけど常用したくないし

>>162

1100使ってない？

1200でもv6は遅いよ

>>168

ひかり電話あってHGW外せないならipipでやればRTXの機種によるが数百Mbpsに上がる

どーしてもipsecならなにがしかの方法でHGWを500シリーズ化してもらうと90Mbps程度までは上がった

>>170

HGW前段hub分けは速度でるけどDHCPv6-PDで/56のprefix貰って数時間後切れると思う　自分調べ

ネットに転がってる回避方法のconfig入れても結局切れました

中華なら国内PCに自前のルート証明書入れて金盾で解析してるかもね

>>265は無理だな

レノボのPCに入ってたマルウェアがSSL通信を乗っ取るのは有名は話だったけどな

hhttp://gigazine.net/news/20150220-lenovo-superfish-disaster/

SSLインスペクション機能を持ったUTMやFWなんか

>>268

高度なマルウェアだな

>>269

本物サイトから得た証明書から、動的に証明書を作って、それをクライアントに渡して、

セッションハイジャックする。

Squidは実現できているけど。さらにその進化形ってあるんだろうか。

OSSで組めば無料できるので、数十万円かけたくないなあ。

で、そのブラウザってどうやってダウンロードするんです？

>>270

サーバー側になるのは無理だろうけど普通にセキュリティソフトがやってたりする

>>275

その場合って、証明書のエラーがでますよね？

それとも、セキュリティーソフトは独自にルート証明書（＋秘密鍵）もっていて、

動的に作成する証明書の署名もするのかな？

だとしたら、すごいな。

Squidにはそこまでやってほしんだけど。

saveコマンド打ってなければ、相手の拠点に「電源スイッチ切って入れ直して」ってTEL一本

>>360

たまにパスワードまで流し込めるようにしてくれる人がいて・・・最後にsaveが

マウスクリックで貼り付けってホント要らないよな。TeraTermPro4.xxだと無効化できるけど

>>361

されないよ。スケジュール再起動時は「保存しますか？」も聞かずに破棄して再起動する

>>363

LinuxとかにSSHで繋いでるときは便利だけどそういう誤爆は怖いよね

>>364

またそういうときに限って何かのドキュメントも一緒に編集しててさ

一気に数ページ分のコピペしてたりとかして、クリップボードの中身をドーン

ペーストの内容に『偶然』シェルのコマンドとして有効な文言が混じってて、

謎の処理が走ったり、謎のファイルが出来たりｗ

>>367

ドーンペースト

>>367-368

途中で停止効かねーしな

>>371

状態によってはOS再セットアップからやり直した方が早くて、それまでの2〜3時間がパア

最近会社でRTX1210を導入した駆け出しネットワーク管理者です。

リモートアクセスＶＰＮで社内ＬＡＮに接続したとき、

特定のＩＰにのみアクセスできるようにフィルタをかけたいのですが、

やり方が良くわかりません。

リモートアクセスＶＰＮには192.168.100.200から192.168.100.210までを

社内のDHCPと別に割り当てています。これらの端末からアクセスできる

IPアドレスを192.168.100.100から192.168.100.110までしたいのですが。

基本的な質問ですいません。

ところで、>>438は上手いこといったんだろうか？

>>457

たぶん、うまいことできて、

今2chにアクセスができない

>>462

なんたる自己矛盾

>>466

ルーターの設定をしていたらそういう状況はトラウマ

ルーターの置き方によっては、電源コンセントとLANケーブルの差し込み口が同じ方向についてるのって結構良かったりするんだよな

RTX1000には愛着がある

いい加減ルーターにもFWXと同じステートフルインスペクションなフィルタ使わして欲しい。

中国版RTXは使えるのに。

いまどき帰りパケットのルール書くなんて面倒でやってられん。

>>492

RTXの動的フィルタと、ステートフルインスペクション（＝iptablesでも使えるやつ）は違うのか？

>>494

正確には違う

iptablesより浅いとこまでしか見てない

>>500

LAN側の、しかもINバウンドにしかけるなんて変なことしたんだな

それなりに作るネットワークだと無条件に発信はさせんだろ

>>502

>>504

たぶん誤解されている。

動的フィルタは、内側（自分側）→外側にかけるよ。

だから、ここではlanインタフェースなので、IN方向になるね。

このばあい静的フィルタなら、外側→内側（自分側）にかけるから、

OUT方向ということになる。

PPインタフェースならこれらが逆になるね。

ヤフーに出てきてからここに持ってきて名前だけで判断してるような人は気をつけた方がいいよね

もちろん一ついるだけで他の機器の脆弱性調べまくって乗っとるよ

>>530

どの名前のこと？

>>532

Mirai

annna-senpai

>>534

アンナ先輩ってまつらいさんが声当ててたあれかよ！

それはおいといて、スマートTVにランサムウェア入って面白いことになってんのな

hhttp://news.kddi.com/kddi/cable-service/smart-tv-box/201604041725.html

>>535

バックグラウンドはウインドウズということか

>>541

ページ下部の製品仕様から見れるが、

Android (TM) 4.0 (ICS:Ice Cream Sandwich)

だと

>>545

Androidにもランサムがあるのか。知らなかった。

何がやりたくてhttpsのみに絞るの？

>>588

・2TPv3/IPsecでVPN接続

・B支店も使用するWEBシステムのサーバーが

A本社にある

という環境が既に構築されている状況で

B支店に公開したくないファイルがA本社の

共有フォルダにあることが判明

共有フォルダをアクセス権等でちゃんと管理すれば

いいんだけど各自勝手に共有化してしまっているので

グチャグチャ

で、VPNで制限をという経緯なので

実際はhttpsに絞らなくても、ファイル共有が出来なければ

問題ないんですが・・・

>>599

WINDOWSのファイル共有だったら、専用のTCPポートをブロックすればいいのは？

>>599

支店のルーターのLAN側フィルターで本社サーバーへのファイル共有切ればよくね？

hhttp://internet.watch.impress.co.jp/docs/news/1026140.html

isdn終了！

まだisdnで拠点間接続しているようなところってあるんだろうか

>>603

RTX使ってるとこでそれなりにカネかけてるところはバックアップ回線に使ってるねえ

このスレだとISDNバカにするような奴そんなにいないとは思うけど。

今みたらデータコネクト−BRI変換装置が結構出てきてるんだね。これでPOSも安泰か

hhttp://www.e-jsk.jp/jsk/product/dwn-ins-100.html

hhttp://www.seiko-sol.co.jp/products/isdn_adaptor/

>>605

網内で、ipv6通信で拠点間を結ぶやつね

>>601

>>606

本社側のルータでLAN1のOUTに拒否のフィルタを設定したのですが

機能しませんでした。

支店側のLAN1のINに設定すれば機能するようになるものでしょうか?

それとも単に、設定の仕方が悪いのでしょうか?

LANのIN,OUT両方に

pass-log * * * * *

のフィルタを設定して別拠点に接続してみましたが

ログが出力されませんでした。

2TPv3/IPsecでブリッジ接続だとフィルタの対象外なのでしょうか?

ciscoとyamahaでIPsecやってるんだけど設定時は通信できるけど暫くして通信しようとするとダメ。ciscoはVTI使ってる。通信NGの時はtunnel ifをshut/no shutすると繋がる。config晒せ言われそうだけどエスパーできる人居たらコメント頂けると嬉しいス…orz

>>640

例えば、RTX1200とLibreSWANでIPsecしているけど、

LibreSWAN→RTX1200方向で接続を開始しないとダメだった。

（また、LibreSWAN側に別のネットワークを構築した場合に、

RTX1200のルート設定でtunnelに送り込んでも、そちらまでパケットが流れない問題もあった。

逆もそうだった。ネットワークは、1対1にする必要があった。）

機種が異なると面倒がいろいろあるなあ。

ciscoとか、SWANは、yamahaは互換性を高めて欲しい。

>>642>>645

他社製品→RTX1200方向で接続が可能なので、

IPsecトンネルのセッション生成において、

RTX側は受け入れが緩いということが言えるのかもなあ。

WLX402ってそんなに安く感じる?

11ac wave2のAironet 1850ならNBDの保守付きで個人で買って9万くらいだったから、

俺は似たような価格帯だと思ってたけど

まあ、WLX402も買うけどさ

>>671

WLX302が高いって意味さ

ユーザーが分かれてるから純粋に競合してないけど

Yamaha製品を積極的に導入してる人以外はメリットない商品だったから

ip keepalive設定かな？

うちもstatusがオレンジに転倒したまま。

>>679

どこのトランジックス？

間違えて、scの方に書いてしまった…

RTX1200をRTX1210に置き換えようとしているのですが、同じコンフィグを使って

NATで問題が出て悩んでいますが、見直す場所のヒントが欲しいです。

RTX1200ではこのようなコンフィグでした。

nat descriptor type 1 masquerade

nat descriptor address outer 1 primary

nat descriptor address inner 1 10.0.0.0-10.0.255.255

nat descriptor static 1 1 192.168.0.2=10.0.1.4 1

nat descriptor static 1 2 192.168.0.3=10.0.1.6 1

nat descriptor static 1 3 192.168.0.4=10.0.100.53 1

nat descriptor static 1 4 192.168.0.5=10.0.0.14 1

nat descriptor masquerade static 1 1 10.0.200.254 udp 500

nat descriptor masquerade static 1 2 10.0.200.254 esp

nat descriptor masquerade static 1 3 10.0.200.254 gre

これをそのままRTX1210に入れたところ、192.168.0.2へのアクセスで

10.0.1.4に中継されませんでした。10.0.1.4からの通信も192.168.0.2に

変化されて外に出いくこともできなくなりました。

RTX1210から10.0.1.4へのpingは通るので通信はできそうです。

nat descriptor backward-compatibility の違いでも動作に

差がありませんでした。

どのあたりがあやしそうでしょうか？

>>695

rtx1200で動作していたコンフィグで、rtx1210なら生じるんですか？

LANインターフェイスにNATディスクプリタはかかっているかどうか。

LANのアドレス、ネットワークアドレス設定と、インナーアウターのアドレスは矛盾のないものか？

RTX1210の試験環境と、RTX1200の動作環境との違いがあるのではないか？？

>>697

RTX1200からtftpで取得したコンフィグをUSBメモリを使ってRTX1210に入れました。

追加したのは nat descriptor backward-compatibilityです。

一時的に本番環境に入れてみましたが、同じ現象でした。

LAN I/Fへの設定もしてありまして、マスカレードは機能しているのに静的NATが

機能しないという状態で悩んでいるというところです。

RTX1200ではinnerを大雑把にしていたので細かい設定が必要なのかとか、

ディスクプリタを静的NATとマスカレードで分けないとダメなのか、もう少し

試行錯誤することになりそうです。

>>698

恐らく1210の新型NAT処理が原因

モード切替のコマンドで従来型NATに設定すれば1200のコンフィグのままで通ると思う

V6プラス、DS-Liteって、ポート変換の過程で取得した通信先情報を

全部ログとっているんだろうな。

>>773

半分正解、半分不正解。

>>776

どこ？

>>777

NATしてるトコが違う

>>778

IPv6でIPv4をトンネリングしているでしょ。

センターでアドレス変換とさらにNATしているんじゃないの？

>>779

ds-liteはそうだよ

ポート開放できないDS-Liteより使い物にはなる

>>786

そんな設定ってファームウェアが降りてきたホームゲートウェイでできるのか？

できたとしてもウェルノウンポートは開けられないしょ。

ゲームにでも使うの？

ひかり電話ありのフレッツIPoEでONUの下にRTXとひかり電話アダプタを

並列に付けてるんだが、RTXのDHCPv6でIPv6アドレス取ると

数時間で局側のルーティング消えるらしくて疎通できなくなる。

で、また数時間経つと自然に治る。

なんかRTX側に呪文必要なの？？疎通できない時間帯は

show ip route だとデフォルトルート残ってるけど、

show status ipv6 dhcp だと情報消えてる。

謎。

>>806

RTXとひかり電話がIPv6のアドレスを取り合いするからそうなる

HGWなし市販ルーターのみでフレッツのIPv6とひかり電話を両立させようと思うと

かなりいびつなネットワーク組まないとちゃんと通信通らないはず

>>806

東日本だけど、ひかり電話がオフィスタイプの時になったことがある。

>>808の通りだと思う。同じPrefixを取り合うのかも。ひかり電話自体は動作するはず。

家庭用のひかり電話だと、ここで言うどちらの設定でも問題なかったよ。

hhttp://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html