痔になりやすい生活習慣とは?

ヤマハのRTX1200に8個のグローバルIP設定で行き詰ってます。
状況は以下のようなものです。

 aaa.bbb.ccc.120/29 のグローバルアドレスの設定を目指してます

 aaa.bbb.ccc.121 でLAN側(192.168.XXX.254/24) の端末がインター
ネットの利用、VPNの設定は動作を確認済

 aaa.bbb.ccc.122 ~ aaa.bbb.ccc.126 の5IPと、LAN側にある
特定端末(固定IP)5台を関連付けしたい ← これが全て通りません

そこで試行錯誤し、設定したCONFIGが以下のようなものです。

ip route default gateway pp 1
ip lan1 address 192.168.XXX.254/24
ip lan1 secure filter in 100000 100001 100002 100003 100004 100005 100006 100007 100099
ip lan3 nat descriptor 1 2 3 4 5
pp disable all
pp select 1
description pp "PRV/PPPoE/0:NTT-ME 8IP"
pppoe use lan3
ppp lcp mru on 1454
ip pp address aaa.bbb.ccc.120/29
ip pp secure filter in 200003 200020 200021 200022 200023 200024 200025 200030 200032 200080 200081
ip pp secure filter out 200013 200020 200021 200022 200023 200024 200025 200099 dynamic 200080 200081
             200082 200083 200084 200098 200099
ip pp nat descriptor 1000
pp enable 1
ip filter 100000 reject * * udp,tcp 135 *
ip filter 100001 reject * * udp,tcp * 135
ip filter 100002 reject * * udp,tcp netbios_ns-netbios_dgm *
ip filter 100003 reject * * udp,tcp * netbios_ns-netbios_dgm
ip filter 100004 reject * * udp,tcp netbios_ssn *
ip filter 100005 reject * * udp,tcp * netbios_ssn
ip filter 100006 reject * * udp,tcp 445 *
ip filter 100007 reject * * udp,tcp * 445
ip filter 100099 pass * * * * *
ip filter 200000 reject 10.0.0.0/8 * * * *
ip filter 200001 reject 172.16.0.0/12 * * * *
ip filter 200002 reject 192.168.0.0/16 * * * *
ip filter 200003 reject 192.168.XXX.0/24 * * * *
ip filter 200010 reject * 10.0.0.0/8 * * *
ip filter 200011 reject * 172.16.0.0/12 * * *
ip filter 200012 reject * 192.168.0.0/16 * * *
ip filter 200013 reject * 192.168.XXX.0/24 * * *
ip filter 200020 reject * * udp,tcp 135 *
ip filter 200021 reject * * udp,tcp * 135
ip filter 200022 reject * * udp,tcp netbios_ns-netbios_ssn *
ip filter 200023 reject * * udp,tcp * netbios_ns-netbios_ssn
ip filter 200024 reject * * udp,tcp 445 *
ip filter 200025 reject * * udp,tcp * 445
ip filter 200030 pass * 192.168.xxx.0/24 icmp * *
ip filter 200031 pass * 192.168.xxx.0/24 established * *
ip filter 200032 pass * 192.168.xxx.0/24 tcp * ident
ip filter 200033 pass * 192.168.xxx.0/24 tcp ftpdata *
ip filter 200034 pass * 192.168.xxx.0/24 tcp,udp * domain
ip filter 200035 pass * 192.168.xxx.0/24 udp domain *
ip filter 200036 pass * 192.168.xxx.0/24 udp * ntp
ip filter 200037 pass * 192.168.xxx.0/24 udp ntp *
ip filter 200080 pass * 192.168.xxx.254 esp * *
ip filter 200081 pass * 192.168.xxx.254 udp * 500
ip filter 200099 pass * * * * *
ip filter 500000 restrict * * * * *
ip filter dynamic 200080 * * ftp
ip filter dynamic 200081 * * domain
ip filter dynamic 200082 * * www
ip filter dynamic 200083 * * smtp
ip filter dynamic 200084 * * pop3
ip filter dynamic 200098 * * tcp
ip filter dynamic 200099 * * udp
nat descriptor type 1 masquerade
nat descriptor address outer 1 aaa.bbb.ccc.122
nat descriptor masquerade static 1 1 192.168.xxx.230 tcp 21,3389,49200,49500,49600
nat descriptor masquerade static 1 2 192.168.xxx.230 udp domain,tftp
nat descriptor type 2 masquerade
nat descriptor address outer 2 aaa.bbb.ccc.123
nat descriptor masquerade static 2 1 192.168.xxx.231 tcp 21,www,3389
nat descriptor type 3 masquerade
nat descriptor address outer 3 aaa.bbb.ccc.124
nat descriptor masquerade static 3 1 192.168.xxx.14 tcp 21,www,3389
nat descriptor type 4 masquerade
nat descriptor address outer 4 aaa.bbb.ccc.125
nat descriptor masquerade static 4 1 192.168.xxx.41 tcp 3389,9999
nat descriptor type 5 masquerade
nat descriptor address outer 5 aaa.bbb.ccc.126
nat descriptor masquerade static 5 1 192.168.xxx.234 tcp 21,www,3389
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp

何が間違っているのかも判らぬ状況なので、ご指摘を頂ければ幸いです。
宜しくお願い申し上げます。

このQ&Aに関連する最新のQ&A

A 回答 (5件)

>最後の注意文にあるように、静的NAT部にポートの指定が無い分をフィルターで補いなさいよ、という部分に注意が必要という事と理解したのですが考え方に勘違いが無ければ良いのですが。



この解釈でいいです。

静的マスカレードの場合、指定したポートを対象としたNAT変換テーブルのみが作成されます。
NAT変換テーブルないものについてはパケットが破棄されます(デフォルト設定の場合)のでサーバまで到達しません。(それでもデフォルト動作に頼らずフィルタは設定したほうがいいと思うけど)

対して静的NATは単なるアドレス変換なので、全てのパケットがサーバまで到達します。
従って、使用するプロトコル及びポートのみが通過出来るようなフィルタを設定することが重要ということになります。
    • good
    • 0
この回答へのお礼

重ねてアドバイスを頂きありがとうございます。

特に問題が出なさそうなサーバー向けには要求されてるポート以外は非ウェルノウン(でしたっけ)ポートを破棄対象に。

要求が厳しいものには指定ポートを通したら、それ以外をriject(破棄)対象としようかと睨めっこ中です。

ただ、最初はパケットが通ってくれる事が最優先なので、ウェルノンポートも解放して第一段階。

利用ポートの絞り込みを第二段階として安全性と業務の支障回避を進めてみるつもりです。

今日で仕事納めな上に外耳炎でコケてしまったので再開は年越しになりますから、それまで皆さんのアドバイスとリファレンスマニュアルを交互にチェックして勉強する所存です。

本当にありがとうございます!

お礼日時:2011/12/28 13:15

こういった場合、ルーターですべてのフィルター設定を行うのはあまりおすすめしません。


ネットワークアドレス単位で規制できるようなものはルーターで行っても構いませんがこの事例ではまず対象のサーバーで規制を行い、集約できるような規制はルーターで行うべきかと考えます。

たとえば、内部サーバ向けの通信で21,80,3389,9999,49200,49500は通しても良い、残りは破棄。
ip filter 10000 pass * 192.168.xxx.0/24 * 21,80,3389,9999,49200,49500
ip filter 10001 reject * * * * *
↑考え方の例です。

対サーバで考える場合、通して良いポートの方が少ない方が一般的なので「通過して良い」を定義して最後にすべて破棄と書いた方が見通しが良くて楽です。
    • good
    • 0
この回答へのお礼

言われてみると、例えばリモートで監視(又は操作)するためにポート3389は全ての端末(又はサーバー)に対して解放されています。

重複するものも通し、当該機でカットしたいパケットを個々のFWでカットするイメージでしょうか?

勘違いしてたらすみません。

この考え方は全端末、全サーバーでセキュリティ対策してるとはいえ同一セッション上に連なっているので危険だと指摘されたため無理そうです。

最初から自分がサーバーの運用前から設計できたなら、別セッションに分ける等を行い仰られるようなシンプルな形態もアリだったと思うのですが。

ツギハギになった上に前任者が不在になって回って来たのでいろいろと不明点があったり、思うようにならなかったりと頭が痛いです。

本来、こんな環境とスキルで皆さんに教えを乞う事自体が失礼なんですが。

諸案、本当にありがとうございます。

お礼日時:2011/12/28 13:28

静的NATを使用するのであればもっと単純化出来ますね。


たしかによく見るとポート番号を変換しているわけでもないし、外側のIPアドレスをポート番号によって複数の内側のIPアドレスに振り分けているわけでもないですね。

こんな感じになりませんかね。
(間違いがあったらごめんなさいです)

nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp
nat descriptor address static 1000 1 aaa.bbb.ccc.122=192.168.xxx.230
nat descriptor address static 1000 2 aaa.bbb.ccc.123=192.168.xxx.231
nat descriptor address static 1000 3 aaa.bbb.ccc.124=192.168.xxx.14
nat descriptor address static 1000 4 aaa.bbb.ccc.125=192.168.xxx.41
nat descriptor address static 1000 5 aaa.bbb.ccc.126=192.168.xxx.234

静的NATを使用しているサーバ以外の通信はaaa.bbb.ccc.121から出たいようですし、
VPNを使用している関係上IPSecがaaa.bbb.ccc.121を使用することを保証しないとならないのでそこはIPマスカレード(静的マスカレードを含む)を使用するということです。

outerは動的に使用するもの(この場合はIPマスカレードで使用する外側IPアドレス)のみ書けば良いはずです。
(全てのグローバルIPアドレスを載せる必要はないので簡潔にするため)

静的NATと静的マスカレードの違いについては押さえておいて下さい。
静的NATにした場合はよりフィルタが重要になりますね。
    • good
    • 1
この回答へのお礼

素人にも判り易い説明まで付して頂きありがとうございます!

仰る通りで、特定の外と内のアドレスを関連付けたいが、ポートの変換はありません。

アドレス毎に通したいポート指定が異なる程度です。

aaa.bbb.ccc.121はインターネット、VPNで使いたいのです。

1000のNATディスクリプタに収まってしまう事に違和感(先入観が悪さしてるらしくて)が少々ありますが、「なるほど!」と拝見させて頂きました。

最後の注意文にあるように、静的NAT部にポートの指定が無い分をフィルターで補いなさいよ、という部分に注意が必要という事と理解したのですが考え方に勘違いが無ければ良いのですが。

しかしあれだけズラズラと並べたNATディスクリプタがこんなにコンパクトに収まってしまうとは。

その分、フィルターが混み合いそうですが。

とても勉強になります、ありがとうございました!

お礼日時:2011/12/27 15:36

まず、やたら長いNATディスクリプター設定を単純化してからだと思います。


inner側のIPアドレスを250から連続で振った方が設定は単純ですが今のままで一部書き直します。

nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp
nat descriptor type 1010 masquerade
nat descriptor address outer 1010 aaa.bbb.ccc.122 aaa.bbb.ccc.123 aaa.bbb.ccc.124 aaa.bbb.ccc.125 aaa.bbb.ccc.126
nat descriptor address inner 1010 192.168.xxx.230 192.168.xxx.231 192.168.xxx.14 192.168.xxx.41 192.168.xxx.234
nat descriptor masquerade static 1010 1 192.168.xxx.230 tcp 21,domain,tftp,3389,49200,49500,49600
nat descriptor masquerade static 1010 2 192.168.xxx.230 udp domain,tftp
nat descriptor masquerade static 1010 3 192.168.xxx.231 tcp 21,www,3389
nat descriptor masquerade static 1010 4 192.168.xxx.14 tcp www,3389
nat descriptor masquerade static 1010 5 192.168.xxx.41 tcp 3389,9999
nat descriptor masquerade static 1010 6 192.168.xxx.234 tcp 21,www,3389
nat descriptor type 1020 masquerade
nat descriptor address outer 1020 aaa.bbb.ccc.121
nat descriptor address inner 1020 auto

自分が同じ命題を与えられたらLAN1側のアドレスを直した上で、nat descriptor staticを使うと思います。
(直さない場合は5つ書けばよろしいかと)
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121-aaa.bbb.ccc.125
nat descriptor address inner 1000 auto
nat descriptor address static 1000 1 aaa.bbb.ccc.121=192.168.xxx.250 5
この設定で矛盾しないはずなので…

>こんな感じに直しています。
>ところが1000のNATディスクリプタのインナーが多過ぎて一部設定できませんでした。
>ブラウザからではなく、直にconfigを書けば行くのかもしれませんが、もしかしてインナーを「自動」という設定とし、他の静的なディスクリプタの最後に移動したら固定されていないアドレスを網羅できるのかと調べてる最中です。
なぜこんなにinnerが多いのでしょうか?
また、自動にして…のくだりは不可です。動的NATは適用できますが…

>フィルターに関しては相当の苦戦を強いられると思いますが、ここがザルではいけないのかと微々たる経験も思い出しながら勉強してみます。
先に接続できることを確認してからフィルター設定を行ってください。
つながらないときの原因がわからなくなりますので。
    • good
    • 0
この回答へのお礼

>まず、やたら長いNATディスクリプター設定を単純化してからだと思います。
>inner側のIPアドレスを250から連続で振った方が設定は単純ですが今のままで一部書き直します。

目からウロコです。
単に課題を並べただけより効率的にまとまるんですね!勉強になります。

>自分が同じ命題を与えられたらLAN1側のアドレスを直した上で、nat descriptor staticを使うと思います。
>(直さない場合は5つ書けばよろしいかと)

痛いところです、既にサーバー役のPCが稼動していてアドレスを動かせない足かせがありまして。
当時から計画的に設計されてればこんなパズルみたいに混乱しなかったのですが…。

>この設定で矛盾しないはずなので…

ですよね、継ぎ貼りを繰り返した結果が今の状況でなければここまでスマートに纏められたと思います。
勉強して前任の遺産を整理したいところです。

>>こんな感じに直しています。
>>ところが1000のNATディスクリプタのインナーが多過ぎて一部設定できませんでした。
>>ブラウザからではなく、直にconfigを書けば行くのかもしれませんが、もしかしてインナーを「自動」という設定とし、他の静的なディスクリプタの最後に移動したら固定されていないアドレスを網羅できるのかと調べてる最中です。

>なぜこんなにinnerが多いのでしょうか?

グローバルIPの数だけNATディスクリプタが必要かと考え、それぞれに付けた結果なのですが…、意味無かったのでしょうか。

>また、自動にして…のくだりは不可です。動的NATは適用できますが…

ブラウザでNATの設定をするとアドレスを指定するか、自動(AUTO)というチェックボックスが出て来るので、この自動を指したつもりでした。


>>フィルターに関しては相当の苦戦を強いられると思いますが、ここがザルではいけないのかと微々たる経験も思い出しながら勉強してみます。
>先に接続できることを確認してからフィルター設定を行ってください。
つながらないときの原因がわからなくなりますので。

問題の分解点が不明瞭になるってことですよね、キモに命じます!

貴重なご指摘、多数頂きありがとうございます。

お礼日時:2011/12/27 02:01

>ip lan3 nat descriptor 1 2 3 4 5



LAN3はPPPoEで使用するように設定しているのでここにNATを設定しても機能しません。

>ip pp nat descriptor 1000

PPPoEを使用しているこのpp1に静的マスカレードを設定もする必要があります。

番号は調整してもらうとしてこんな感じ

ip pp nat descriptor 1000 1 2 3 4 5

ただこのままだとNATディスクリプタ番号1000とそのほかのNATディスクリプタ番号でinnerが重複するので、
NATディスクリプタ番号1~5は、きちんと静的マスカレードするIPアドレスをinnerとして記述する。
NATディスクリプタ番号1000は、1~5で使用するIPアドレスが含まれないようにinnerを設定する
という措置が必要だと思います。

あと細かくは見ていませんが、フィルタ設定もこのままではいけないような気がします。公開する5個のIPアドレスへのケアが必要だと思います。

この辺が参考になるかもしれません。
http://www.rtpro.yamaha.co.jp/RT/FAQ/IPsec/tunne …
http://www.rtpro.yamaha.co.jp/RT/docs/nat-descri …
    • good
    • 0
この回答へのお礼

丁寧な説明に感謝致します。
初歩的な知識が欠損してる輩が手を出すものじゃないなと痛感中です。
NATディスクリプタとアダプタの設定も言われて初めて「あれ?」と気付く情けなさだったりします。
今途中まで手を入れてみてるのですが、
ip pp nat descriptor 1000 1010 1020 1030 1040 1050
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 aaa.bbb.ccc.121
nat descriptor address inner 1000 aaa.bbb.ccc.121 192.168.xxx.1-192.168.xxx.13 192.168.xxx.15-192.168.xxx.40 192.168.xxx.42-192.168.xxx.229 192.168.xxx.235-192.168.xxx.254
nat descriptor masquerade static 1000 101 192.168.xxx.254 udp 500
nat descriptor masquerade static 1000 102 192.168.xxx.254 esp
nat descriptor type 1010 masquerade
nat descriptor address outer 1010 aaa.bbb.ccc.122
nat descriptor address inner 1010 192.168.xxx.230
nat descriptor masquerade static 1010 1 192.168.xxx.230 tcp 21,domain,tftp,3389,49200,49500,49600
nat descriptor masquerade static 1010 2 192.168.xxx.230 udp domain,tftp
nat descriptor type 1020 masquerade
nat descriptor address outer 1020 aaa.bbb.ccc.123
nat descriptor address inner 1020 192.168.xxx.231
nat descriptor masquerade static 1020 1 192.168.xxx.231 tcp 21,www,3389
nat descriptor type 1030 masquerade
nat descriptor address outer 1030 aaa.bbb.ccc.124
nat descriptor address inner 1030 192.168.xxx.14
nat descriptor masquerade static 1030 1 192.168.xxx.14 tcp 21,www,3389
nat descriptor type 1040 masquerade
nat descriptor address outer 1040 aaa.bbb.ccc.125
nat descriptor address inner 1040 192.168.xxx.41
nat descriptor masquerade static 1040 1 192.168.xxx.41 tcp 3389,9999
nat descriptor type 1050 masquerade
nat descriptor address outer 1050 aaa.bbb.ccc.126
nat descriptor address inner 1050 192.168.xxx.234
nat descriptor masquerade static 1050 1 192.168.xxx.234 tcp 21,www,3389
こんな感じに直しています。
ところが1000のNATディスクリプタのインナーが多過ぎて一部設定できませんでした。
ブラウザからではなく、直にconfigを書けば行くのかもしれませんが、もしかしてインナーを「自動」という設定とし、他の静的なディスクリプタの最後に移動したら固定されていないアドレスを網羅できるのかと調べてる最中です。
フィルターに関しては相当の苦戦を強いられると思いますが、ここがザルではいけないのかと微々たる経験も思い出しながら勉強してみます。
本当にありがとうございます。

お礼日時:2011/12/26 17:24

このQ&Aに関連する人気のQ&A

お探しのQ&Aが見つからない時は、教えて!gooで質問しましょう!

このQ&Aを見た人はこんなQ&Aも見ています

このQ&Aを見た人が検索しているワード

このQ&Aと関連する良く見られている質問

Q最近のルータにIP Unnumberedが無い理由

趣味で複数の固定IPを使いたいため
IP Unnumbered機能の付いたルータを探しているのですが
NEC(Aterm)など信頼性の高い会社から出ていたものは
ほとんど販売中止になっていました

NEC(Aterm)に最近のルータはなぜIP Unnumbered機能が
付いていないのかと問い合わせたところ
コールセンターには詳しい情報はないが、
なんらかの理由で対応をやめたとの返答を頂きました。

予想としては
1.IP Unnumbered技術がトラブルの多いものだったため
2.IP Unnumbered機能を求める人が稀なため
あたりなのでしょうか??

最近のルータにIP Unnumbered機能が付いていないのは
どういった理由によるものなのか
詳しい方がいたらお教え頂きたいです。

Aベストアンサー

 追加補足ですが、他の方とのやり取りを拝見しましたが、回線終端装置(ONU)の方、特に光電話ルーター等の機能付モデムのIPナンバード機能を利用される場合ですが、あくまでも光IP電話の優先制御にウェートを置いておりますので、データ通信系の制御及び負荷に対しては不向きです。
 サーバ公開やVPN接続等の基幹系の運用は、SOHO向けルーターでの接続をお勧め致します。ルーター内部の内蔵CPUやメモリ仕様の差異が有り、会社でしたらビジネスフォンシステム(主装置)の機能を使ったインターネット接続をされている場合もありますが、それも同様で、主装置実装のルーター機能もデータ通信には不向きといった点があります。

Q複数グローバルIPアドレスの設定方法

以前NATの件でご質問させて頂きました。今回はその流れですが、今回、大学でグローバルIPアドレスを8つ取得して、ネットワークを構築することになったのですが、NTTのADSLモデムに複数の固定グローバルIPアドレスを使用するときの設定方法が載っていたので、その通りに設定したのですが、インターネットにそのグローバルIPアドレスで出れません。ルータ関連で調べて見ると、unnumbered設定というのがでていたので、これと同じことかな?と思いましたが、なぜ外にでられないのかさっぱり分かりません。
プロバイダに確認したところ、ユーザーIDや、パスワードが違うのではと言われましたが、何度設定しなおしても同じです。
ちなみに通常接続(複数固定IPアドレスを使用しない)設定にして、モデムルータに接続するとインターネットに出られます。
ADSLモデム:NTT ADSLモデム-NVという機種を使用
ルータ:YAMAHA RTX1000

|ADSLモデム (グローバルIPを設定)|
   |          
   |          
|グローバルIPのルータ|(IPマスカレード使用)
   | 
   |
|PC(プライベートIP)|
モデム、ルータにはプロバイダから割り当てられたアドレス範囲のネットワークアドレスとブロードキャストアドレスを除いたアドレスを割り振りました。何か他の設定をする必要があるのでしょうか?よろしくお願いします。

以前NATの件でご質問させて頂きました。今回はその流れですが、今回、大学でグローバルIPアドレスを8つ取得して、ネットワークを構築することになったのですが、NTTのADSLモデムに複数の固定グローバルIPアドレスを使用するときの設定方法が載っていたので、その通りに設定したのですが、インターネットにそのグローバルIPアドレスで出れません。ルータ関連で調べて見ると、unnumbered設定というのがでていたので、これと同じことかな?と思いましたが、なぜ外にでられないのかさっぱり分かりません。
プロバイダ...続きを読む

Aベストアンサー

こんにちは。hirasakuです。

では、ADSLモデムをモデムモードにしたとして、
RTX1000の設定部分でチェックするところだけ説明します。

RTX1000のConfigで
pp select 1 として PP enable 1 の間に
ppp ipcp ipaddress on と
ip pp address xxx.xxx.xxx.xxx/29(xxx.xxx.xxx.xxxはプロバイダから指定されたグローバルアドレス)
などと設定していた場合、削除してください。頭に no を入れれば削除できるはず。
この設定が入っていたらnumberedになります。
nat descriptor address outer 1 xxx.xxx.xxx.xxx
xxx.xxx.xxx.xxx はプロバイダの登録情報でゲートウェイアドレスというふうに書いてあるアドレスを指定(プロバイダによって違うかも)
nat descriptor address inner 1 192.168.xx.1-192.168.xx.254 など

接続の設定確認だけをするのなら、filter の設定はしないでおいてとりあえず、connect 1 というコマンドを入力
接続が確立されているか確認するコマンドとして
show statas pp 1 と入力
接続が確立されているのなら「接続されています」などと表示されるはず。
ルーターで ping コマンドを実行(あて先アドレスはプロバイダのDNSのアドレスとかグローバルのアドレス)
返ってきてるならネットに接続されている。
後は、filter の設定をすればいいと思います。
LAN1 には filter は設定しなくても構わない。
filter の設定によって出れなくなる場合がありますので
filter の設定はYAMAHAのページでも覗いて確認してください。
WWWが見れないのならDNSの設定を疑ってください。
では。

こんにちは。hirasakuです。

では、ADSLモデムをモデムモードにしたとして、
RTX1000の設定部分でチェックするところだけ説明します。

RTX1000のConfigで
pp select 1 として PP enable 1 の間に
ppp ipcp ipaddress on と
ip pp address xxx.xxx.xxx.xxx/29(xxx.xxx.xxx.xxxはプロバイダから指定されたグローバルアドレス)
などと設定していた場合、削除してください。頭に no を入れれば削除できるはず。
この設定が入っていたらnumberedになります。
nat descriptor address outer 1 xxx.xxx.xx...続きを読む

QOCNでのIP8個固定サービス対応ルーターについて

OCNでグローバルIPを固定で8個取得できるサービスを契約しようと考えております。

HUBから5台のサーバー用のPCにIPを固定でふり、HUBからルーターを使用して各クライアントのPCに接続しようとしています。

しかし、OCNにグローバル固定IPであってもPPPOEの認証は必要と言われ、幾つかの疑問が出てきました。

(1)サーバー用のIPは固定にしておけば通信はできると考えていたのだが、PPPOEのに認証が必要とあれば、フレッツ接続ツールみたいなものが必要になるのだろうか?

(2)現在所持しているルーターの設定項目にはPPPOEでIPを固定にする項目はありません。普通の静的IPの項目はあります。この場合、PPPOEの固定ができるルーターを購入して使用しなければならないのでしょうか?ちなみに静的ではインターネットが出来ませんでした。

(3)(2)であったとおり、ルーターで静的ではインターネットが出来なかったのに、PCと直結で固定すればフレッツ接続ツールを使用しなくてもインターネットは出来ました。ルーターでは静的でNGだったのに、直結ではOKであった。PPPOEの認証はどこで行っているのだろうか?


説明不足で申し訳ございせんが、誰か知っている方がいましたら教えて頂けますか?

また、PPPOEの固定でなければ使用が出来ないのであれば、それが設定できるルーターのメーカーと製品名が解りましたら教えて頂けますか?

お願いします。

OCNでグローバルIPを固定で8個取得できるサービスを契約しようと考えております。

HUBから5台のサーバー用のPCにIPを固定でふり、HUBからルーターを使用して各クライアントのPCに接続しようとしています。

しかし、OCNにグローバル固定IPであってもPPPOEの認証は必要と言われ、幾つかの疑問が出てきました。

(1)サーバー用のIPは固定にしておけば通信はできると考えていたのだが、PPPOEのに認証が必要とあれば、フレッツ接続ツールみたいなものが必要になるのだろうか?

(2)現在所持しているルータ...続きを読む

Aベストアンサー

OCNによるとそのサービス用のルータの条件としては

Q18PPPoEに対応したルータであれば、お客様の使用するルータに制限はありますか?
A18本サービスではPPP接続のたびに、お客様のネットワークアドレスをお客様のルータのWAN側に払い出します。その仕様に対応していない一部のルータについては、本サービスのご利用に支障が出る場合がありますので、下記項目に対応したルータをお選びください。
-「フレッツ・ADSL」対応であること
-グローバルIPアドレスを固定で設定できること
-unnumberedに対応していること
-LAN型接続機能に対応していること※詳細の設定方法等については、各メーカーにお問い合わせください。
※PPPoEのセッションが切れた場合のことを考慮し、「自動再接続機能」を搭載しているルータをお勧めします。

NTT=MEの「MN7310」と「MN7530」が対応しているはずです

http://www.ntt-me.co.jp/news/news2002/nws020118.htm

http://www.ntt-me.co.jp/mn/index.html

参考URL:http://www.ocn.ne.jp/business/kotei_ip8-16/faq.html

OCNによるとそのサービス用のルータの条件としては

Q18PPPoEに対応したルータであれば、お客様の使用するルータに制限はありますか?
A18本サービスではPPP接続のたびに、お客様のネットワークアドレスをお客様のルータのWAN側に払い出します。その仕様に対応していない一部のルータについては、本サービスのご利用に支障が出る場合がありますので、下記項目に対応したルータをお選びください。
-「フレッツ・ADSL」対応であること
-グローバルIPアドレスを固定で設定できること
-unnumberedに対応し...続きを読む

Qポートの80と443

こちらのサービス(https://secure.logmein.com/)を利用すると、インターネットを見られるサーバーのポートの80と443が空いていればルータやファイアウォールに特段の設定なく外部からサーバーを操作できるそうですが、逆にサーバーのポートの80や443を空けることには何か危険性があるのでしょうか。

Aベストアンサー

ポート80は一般的なHTTP、ポート443はHTTPSです。
この2つのポートがあいていなければインターネット接続(WEBブラウジング)は出来ません。
ですから、ほとんどのファイアウォールでこのポートは開いています。(インターネット接続を制限している社内LANでは当然閉じていますが)

ちなみに、よく使うポートとしてはFTPで20、21、SMTP(送信メール)で25、受信メールPOP3で110あたりです。セキュリティポリシー上、この辺は制限される事も多いですが、HTTP 80、HTTPS(暗号化用)443は通常閉じません。


危険性?
WEBプロトコルを使ってFTP的なファイル転送(WebDAV)やVPN等も出来るようになっています。当然そこにはある種の危険はつきものですが、WEBブラウジングに伴う危険と大きく変わりません。ウィルス等に感染していればこの2つのポートだけでも相当危険でしょうね。

参考まで。

QL2TP/IPSecのルータのポート開放

L2TP/IPSecのルータのポート開放なんですが

ルータのポートフォワーディングで
1701 (udp) ・・・・l2tp
4500 (udp)・・・・ipsec-nat-t
500 (udp)・・・isakmp

の3つを宅内サーバに向けて開放していますが、つながりません。
ポート開放の番号や数が違うんでしょうか?

同じようにサーバ側のパケットフィルタリングでも上記3つを開放しています。

Aベストアンサー

 お尋ねの件ですが、1701ポートNoをトンネルトランスポートされるようにしていますか?
 4500番はNATトラバーサル用ポート番号、500番はIPSEC認証キー用番号ですが、ポート開放以外にルーターのIPフィルタのパス登録コマンド、out登録コマンドにて通信透過されるようにしていますか?
 上記のチェックでも駄目な場合、DMZホスト設定でルーターの着信データを全てサーバへ向けてみては如何でしょうか?
 DMZの場合、全てのデータ着信はサーバへ向きますので、セキュリティ設定はサーバ側にて破棄登録等実施された方が良いかもしれません。

QYAMAHAのRTX1200のポート設定について

linux & ネットワーク関係の初心者です。
ローカルの環境でWEBサーバを構築しようとしています。

サーバはlinuxでapacheを動かし、一通りの設定が終わったのでブラウザからIPをたたいてページの表示をさせようとしました。
すると、以下のような表示がされました。

----------------------------------------------------------------------------------
(2)ポート80番のOPEN
ルーター側の設定でポート80番をOPENする。
※ルーターの設定は各ルーターのマニュアルまたはメーカー別ルーターポート開放手順を参照

ポートチェック【外部からポート開放確認】で「host名」にサーバー名(例:centossrv.com)、「port番号」に80と入力して「ポートチェック」ボタン押下し、「ホスト=centossrv.com ポート=80 にアクセスできました。」と表示されることを確認。

(3)外部からのWebサーバーアクセス確認
外部からWebサーバーにアクセスできるか確認する。
----------------------------------------------------------------------------------

そこで、ルーターの設定でポート80番を開放しようと思うのですが、
どうやら、コマンドラインでのみ変更が可能な設定になっているようです。
どのようなコマンドで変更をすればよいでしょうか?

ちなみにマニュアルを調べたのですが、ポートの開放に関係したところがわかりませんでした。

■オンラインマニュアル
http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/index.html

よろしくお願いいたします。

linux & ネットワーク関係の初心者です。
ローカルの環境でWEBサーバを構築しようとしています。

サーバはlinuxでapacheを動かし、一通りの設定が終わったのでブラウザからIPをたたいてページの表示をさせようとしました。
すると、以下のような表示がされました。

----------------------------------------------------------------------------------
(2)ポート80番のOPEN
ルーター側の設定でポート80番をOPENする。
※ルーターの設定は各ルーターのマニュアルまたはメーカー別ルーターポート開放手順を参...続きを読む

Aベストアンサー

>----------------------------------------------------------------------------------
>(2)ポート80番のOPEN
>ルーター側の設定でポート80番をOPENする。
>※ルーターの設定は各ルーターのマニュアルまたはメーカー別ルーターポート開放手順を参照
>
>ポートチェック【外部からポート開放確認】で「host名」にサーバー名(例:centossrv.com)、「port番号」に80と入力して「ポートチェック」ボタン押下し、「ホスト=centossrv.com ポート=80 にアクセスできました。」と表示されることを確認。
>
>(3)外部からのWebサーバーアクセス確認
>外部からWebサーバーにアクセスできるか確認する。
>----------------------------------------------------------------------------------
本当にこんな表示ですか??


ともあれ、RTX1200ですと通常はコマンドでの設定となります。
通常のインターネット接続の設定が終わっているとすると、NATディスクリプターの設定が行われていると思いますのでそこに解放ルールを記述します。

nat descriptor masquerade static 100 1 192.168.1.100 tcp 80

とか、こんな感じです。

static以降の数字は設定内容によって変わりますので、あくまで例として読んでください。

参考URL:http://www.rtpro.yamaha.co.jp/RT/manual/rt-common/nat/nat_descriptor_static.html

>----------------------------------------------------------------------------------
>(2)ポート80番のOPEN
>ルーター側の設定でポート80番をOPENする。
>※ルーターの設定は各ルーターのマニュアルまたはメーカー別ルーターポート開放手順を参照
>
>ポートチェック【外部からポート開放確認】で「host名」にサーバー名(例:centossrv.com)、「port番号」に80と入力して「ポートチェック」ボタン押下し、「ホスト=centossrv.com ポート=80 にアクセスできました。」と表示されることを確認。
>
>(3)外...続きを読む

Q1つのプロバイダで2つのグローバルIPアドレスを使用する方法

1つのプロバイダで2つのグローバルIPアドレスを使用する方法

現在はOCNを使用して、インターネットに接続しています。その状態で、2つのネットワークを構成したくてブロードバンドルーターをもう1台購入しました。
で、設定をし、ブロードバンドルーターをインターネットに接続する画面まで進むのですが、ユーザー名とパスワードを入力して、接続をクリックすると、「ユーザー名かパスワードが違います」と表示されます。
しかし、絶対にあってるのです。
なぜかと言うと、もう1台のルーターを切断すると、問題なくそのユーザー名とパスワードで接続できるからです。
友人に相談すると グローバルIPが所得できないんじゃないか と言われました。
どういうことですか?

Aベストアンサー

> ところで、1台のモデムに(NTTのモデム一体型ルーターのモデム機能のみ使用)
> ルーターを2台接続した場合にモデムは2つのユーザー名とパスワードに接続できるのですか?

フレッツ光やフレッツADSLはPPPoEセッションを2つまで張れるので、可能です
1本の回線でもっと接続したい場合は、
http://flets.com/sessionplus/s_outline.html
のサービスを使えば5つまで増やすことが可能
もちろんプロバイダのID/passwordもその数だけ必要ですが

QVPN接続でVPNから先のサーバーに到達できない。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常のネット環境には問題はありません。
インターネットも、メールも問題なく動作しています。


この場合、System i に到達できない理由として、どのような事が考えられるのでしょうか?

ちなみに、会社側のルーターは、以前、別のルーターを使用していたのですが、その時は、問題なく使用できていた、という実績があります。
その時と、自宅環境は変わっていないはずです。( 少なくとも意識して変更した事はありません )

素人考えでは、なんらかの、アドレスの指定が重複しているのでは??
と考えているのですが、デフォルト・ゲートウェイとか、IP アドレスとか、自宅側のルーターのアドレスだとか、そのあたりではないかと思っているのですが
下手に変更すると、ネットそのものに繋がらなくなくなってしまいます。

変更するにしても、一箇所だけではなく、何箇所か整合性をとって変更する必要があるかと思いますが、詳しいところまでは知らないので、苦労しています。
御存知の方がおられたら、お教え頂けませんでしょうか?

冒頭述べましたように、当方、パソコン、特に、通信関係に関しては、ほぼ、素人同然です。
他に、似たような質問も見かけたのですが、少し、難しくて理解できませんでしたので、質問させて頂きました。

一応、環境の説明をしておきます。

●自宅のPC
(メーカー) ショップメイド
(OS) Windows XP Professional Version 2002 Service Pack 3
●自宅のルーター・通信回線
(通信回線) NTT Bフレッツ
(ルーター) NEC RV-230NE
(プロバイダー) BIGLOBE
●会社のルーター
(ルーター) Buffalo BHR-4GRV
●会社のサーバー
IBM System i ( AS/400 )

尚、現状、自宅のネット環境は、私が知りえる範囲で以下の通りです。

< VPN 接続前の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1


< VPN 接続後の ipconfig コマンドの結果 >
Ethernet adapter ローカル エリア接続:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.3
Subnet Mask . . . . . . . . . . . : 255.255.255.0
Default Gateway . . . . . . . . . : 192.168.1.1

PPP adapter XXXXX:

Connection-specific DNS Suffix . :
IP Address. . . . . . . . . . . . : 192.168.1.8
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 192.168.1.8

( PPP adapter XXXXX の部分は、VPN 接続先の会社側のものかと思います。XXXXX は会社名なので伏せさせて頂きました)

VPN 接続した状態で、サーバー IBM System i のアドレス 192.168.1.201 に対して ping コマンドを発行すると
C:\>ping 192.168.1.201

Pinging 192.168.1.201 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Ping statistics for 192.168.1.201:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss),

以上のように、timed out となってしまいます。

また、補足情報ですが、会社側のルーターの設定で、ルーターのデフォルト・ゲートウェイが、私の自宅と同じ、192.168.1.1 であり、これが原因ではないかと思い、192.168.1.150 に変更しました。
しかし、結果は、何も変わりませんでした。
他の同僚については、問題なく繋がっています。

以上です。
長文になってしまいましたが、何卒、宜しくお願い致します。

PC 特に、通信関係に関しては、素人同然のものです。

会社のサーバーに自宅からアクセスしようと、VPN 接続を試みています。
VPN そのものは接続を確認できたのですが、VPN から先、つまり、会社のサーバー (IBM System i) に到達できません。
( 当然ですが ping も通りません )
会社の他の同僚は、問題なく使用できているのですが、私のところだけつながりません。

念のためですが、VPN そのものは接続できています。
その先にあるサーバーにアクセスできないのです。
言わずもがなですが、自宅の PC で、通常...続きを読む

Aベストアンサー

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマンドで出てくるVPN接続のインターフェースIDです。
(if以降は無くてもいいかもです)
192.168.1.8の部分も接続時に可変となる可能性がありますのでその都度「PPP adapter XXXXX:」側のIPアドレスに合わせます。

これで 192.168.1.201 だけならば接続出来ると思います。
複数のサーバに接続が必要ならばその分このコマンドを実行する必要があります。

毎回毎回VPN接続時に入力が必要なので可能なら(1)ですね。

自宅とVPN接続先(会社)サブネットが同じ 192.168.1.0/24 なのでこのような結果になってしまいますね。

対応としては、
(1)自宅のネットワークを 192.168.1.0/24 以外にする
(2)VPN接続後にルーティング情報を追加する
になると思います。

(1)が可能であればこちらの方がいいですね。

(2)は 192.168.1.201 のサーバのみに接続出来ればいいのであれば以下のコマンドをVPN接続が確立した後に実行します。

route add 192.168.1.201 mask 255.255.255.255 192.168.1.8 metric 1 if xxx

xxxは route print コマン...続きを読む

Qpingでポートの指定

pingでIPアドレスを指定して、通信できるかどうかというのは
よく使いますが、pingでポートを指定して応答するかどうかは調べられるのでしょうか?

よろしくお願いします

Aベストアンサー

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含むICMP)ではできません。

FTPの疎通確認であれば、クライアントからサーバに対するTCP/21通信(FTP-CMD)が可能であること(サーバからクライアントへのTCP/21からの応答を含む)+サーバからクライアントに対するTCP/20通信(FTP-DATA)が可能であること(クライアントからサーバへのTCP/21からの応答を含む)が必要でしょう。

監視ソフトによるものであれば、
・クライアントからサーバへのログイン(TCP/21)
・クライアントからサーバへのlsの結果(TCP/20)
で確認すればよいでしょう。

pingを含むICMPというプロトコルは、OSIの7レイヤで言うところのL2(同一セグメント内通信)とL3(IPルーティングされた通信)の両方にまたがる、ちょっと珍しいプロトコルです。

IPアドレスは指定できますが、別サブネットに属するIPアドレスに到達できればL3通信、できなければゲートウェイと呼ばれる同一サブネットに属する中継装置からの回答を得るという点でL2(MAC通信ではなく、同一セグメント内通信という意味)通信です。

ポート番号はL4で使用されるアドレスですから、L4機能の疎通確認はping(を含む...続きを読む

QIP-VPNとインターネットVPNの違い

就職活動をしている大学生です。
セキュリティとネットワークに興味があり、そこから自分が何をやりたいのか突き詰めて行った結果VPNを提供している企業が浮かび上がって来ました、業界研究をしている際に疑問が出てきました。

IP-VPNとインターネットVPNの違いの違いがいまいちわかりません。

インターネットVPNはインターネット上を介したVPN、IPは事業者のネットワーク内のVPNって解釈でよいのですかね??

そうなるとプライベート回線を引くのとIP-VPNの違いは???

提供している事業者の違い、VPNに関すること、VPNの今後&求められるもの等、教えてください。

よろしくお願いします。

Aベストアンサー

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワーク網を通信経路として用い、自社専用ネットワークであるかのようなWANを構築できるサービスのことです。
通信事業者側で用意している網は品質を保証してあり、ユーザー側はIP-VPN網に接続するだけで、セキュアな通信ができ、インターネットVPN同様LANのように使えます。

プライベート回線とは専用線やフレームリレー網などのことを言っているのですかね?
専用線は料金が距離に比例し、拠点間の距離が離れるほどコストが大きくなり、セルリレー/フレームリレーは、フルメッシュ型接続ですけど、柔軟なネットワーク構築が難しいという問題があります。専用線・フレームリレーなどは回線帯域の割にはコストが高いので、インターネットVPNやIP-VPNでコストを安くしてネットワークを構築するようになってきてます。

インターネットVPNやIP-VPNはプロトコルにIPを使わなくてはならないので、データはIPに乗せる必要があります。
そこで、広域イーサネットというサービスを各通信事業者が行っています。広域イーサネットはプロトコルをIP以外(IPXやSNAなど)を通すことができ、またイーサなので、WAN側に接続するのに極端な話、スイッチでつなげられますので、今までのようにルータの設定などいらなくなります。(VLAN構成にするならスイッチの設定が必要ですけけど)また、QoSなどデータの優先制御や帯域制御などもできますので、VoIPなどにも使えますね。
ということで、簡単に拠点間のLAN構築が可能になります。

提供しているサービスの違いは、どこも似たり寄ったりかなって思いますけど。
サービス提供エリアや、構築にあったオプションサービスなどで選べばいいのでは。

こんちは。hirasakuです。

簡単に言うと
インターネットVPNはその名の通り、インターネット網を利用した拠点間をあたかもLANのように使うためのWAN構築です。
基本的にVPN接続するためのルータの設定(トンネリングや暗号化・認証など)はユーザーが設定し、運用管理もユーザーが行います。
インターネット網なので通信に対する保障がありませんので、VPNに通すデータを検討しなければならない場合もあります。
一番安価に構築できランニングコストが抑えられます。

IP-VPNは通信事業者の閉域IPネットワ...続きを読む


このQ&Aを見た人がよく見るQ&A

人気Q&Aランキング