MN8300 のクチコミ掲示板

LAN内の通信

初めまして、この度MN8300を購入してつないでみたのですけれど、
WWWには繋がったのですが、LAN内の通信がうまく行きません。
（pingで、packet100%lossになります。）
どのような設定をしたらよいのでしょうか？
Windows XP Professional SP1　×　２台
を繋げようとしているのですが・・・

書込番号：2234553

[のり〜のり]

ペタコンさん、こんばんは。

誠にひとまかせな回答になって申し訳ないのですが、以下のページを
参考に一度チェックをお願いします。

　ネットワーク上の共有フォルダに接続できません
　http://homepage2.nifty.com/winfaq/networkchecklist.html

＃もうすでにチェック済みだったらどうしよう。。。

書込番号：2235649

おぉぉ・・・
通信が回復しました。
のり〜のりさん、ありがとうございます。

書込番号：2235842

[Jimo]

もう既に解決してしまったようだが，MN8300はポート４を除けばただの
Switching HUBなので，MN8300側が原因でつながらない可能性は非常に
低い。ポート４も，GapNATモードにしていない限りは，他のポートと
同じ扱いになる。
もし良ければ原因を書いてくれないかな？他に同じような設定ミスを
している人の役に立つかもしれないから。

書込番号：2236232

[のり〜のり]

私の想像ですが、

チェック8：互いのユーザー名は登録されていますか？

で引っかかる人が多いのかもしれません。。。

書込番号：2238422

[Jimo]

> チェック8：互いのユーザー名は登録されていますか？

そう言うものなのかね。本人が消えちゃったからわかんないけど。

ここはせっかくの情報交換の場所だから，出来れば何がおかしかった
のか報告してもらえると他の人の役に立つんだよね。もちろん強制で
きるものではないのだけれど・・・

書込番号：2239417

レス遅くなりました。
ええと、原因はですね、
縦置きにしているのでポート４をポート１と勘違いして
繋いでいて、さらにポート４にグローバルアドレス
を当てていたのでおかしかったようです。
（ポート４がLANとの通信をカットする設定になっていた。）
私の場合はポートが上から１，２，３，４だと勘違いしていたことが
原因でした。

書込番号：2240694

[Jimo]

ペタコンさん，ありがとう。

> 私の場合はポートが上から１，２，３，４だと勘違いしていたことが
> 原因でした。

これって，結構ありそうな気がする。なんでこの順番なのかな。もう
少し直感的にわかりやすいようにするか，もっと目立つ書き方をして
欲しいな，確かに。

書込番号：2241518

ＬＡＮ側のＤＨＣＰサーバ機能を眠らせることは無理ですよね

[のり〜のり]

ひとつお聞きします。

このＭＮ８３００のＬＡＮ側のＤＨＣＰサーバ機能を停止させるなんてことは
できないですよね。

もし可能ならWin2003ServerのＤＨＣＰサーバを変わりに使いたいのですが。
理由は、Win2003ServerのＤＨＣＰサーバではクライアントのＭＡＣアドレスと
クライアントに割り当てるＩＰアドレスを登録することで、クライアントの
ＩＰアドレスを固定することができるからです。

先ほど、ＭＮ８３００をつないだネットワーク上のWin2003ServerのDHCPサーバ
を有効にしたら、クライアントパソコンが一時的に固まりました。Win2003ServerのDHCPサーバを無効にしたら元に戻りましたが。

ＭＮ８３００の設定画面を見ましたが、ＤＨＣＰサーバ機能を停止させる
ような設定項目は見あたりません。やはり無理なのでしょうか。。。

書込番号：2224073

[のり〜のり]

自己レスです。

あっ、「LAN側IP設定」の中にありました。無駄な書き込みしてすみませんでした。

書込番号：2224083

syslogファシリティについて

この掲示板に質問を書くのは初めてなので、年甲斐もなく緊張します。
MN8300のsyslogについて、ご利用中の方のご助言賜りたくお願いします。

MN8300にはsyslog機能がありますが、ファシリティとレベルについての記述がありません。試行錯誤した結果下記のことがわかりました。
ファシリティ＝user
レベル＝notice
ファシリティはlocal0〜7のどれかだろうと期待したのですが見事に期待を
裏切られました。userを使用されると（簡単にログが取り込めますが）、
ホストマシンのログ(FreeBSD4.9)と切り離せません。
8300のログは結構多いので、せめてファイルは別にしたいのですが、実現
方法が見つからず苦戦しています。
第一ファシリティを変更しようにも変更方法が見つけられません。
ちなみに、YAMAHA RT52iなどには変更コマンドがあるのですが、Telnetを
サポートしないブロードバンドルータの宿命なのでしょうか？

書込番号：2214092

[Jimo]

MN8300はあくまでもコンシューマ向けの製品だからね。いわゆる「一般
ユーザ」が必要とする機能ではない。俺もいらない。

もしかしたらMN8300に「裏ページ」が存在するかもしれないが，少なく
とも公式な方法では，菜楽さんの望む設定は出来ないと思う。telnet
は関係ないと思うよ。

書込番号：2214260

Jimoさん、ありがとうございます。
そうですか、見落としではないのですね。
確かにこれができてどうって言われると返答に困りますが・・
ログってないと不安ですが、ホストマシンのログが埋もれてしまうのはま
ずいので、分離しておこうと思った次第です。
対策をご存じの方ありましたらよろしくお願いします。

書込番号：2214365

具体的にどういった情報ほしいのでしょうか？

私の認識が、甘いと思いますがファシリティについてそうそうこだわらなければ、ならない事ってあります？

書込番号：2218219

[のり〜のり]

syslogについて勉強したく、飛び入り参加させていただきます。

私のAirStation WHR-G54にもsyslog設定なる設定画面があります。
その画面の「種類」のヘルプには「残すログの種類(Facility)と
レベル(Priority)を指定します。」とあります。

この説明を参考にして以下のキーワードで検索エンジンで検索してみました。
　　ログの種類 Facility レベル Priority

で参考になったのが以下のＰＤＦ文書です。
　分散コンピューティング環境におけるログ管理 ...
　http://www.ipa.go.jp/SYMPO/sympo2000/pdf/ipa19_2_61_3.PDF

「Soraris2.6では、」以下でsyslogについてのことが書かれています。
ファシリティとレベルは/etc/syslog.confファイルからログの出力先
を探し出すための検索キーになるわけですね(^^)。

なるほど菜楽さんは、ログの出力先を切り替えたいためにファシリティと
レベルを変更したいというわけですね。大変勉強になりました、ありがとうございます。

書込番号：2220807

のり〜のり　さん、そうなんです。
先日からMN8300で友人に頼まれたサーバを試験運転中なんです。
ついでに、MN8300のログをと考えたのですが、ホストマシンの
/var/log/messageに割り込んできて、訳が分からなくなっています。
公開しますからセキュリティチェックも厳しくしなければならず、
ログは重要なんですね。
そういうわけで、ログを分離して分かりやすくしようという狙いです。

>私のAirStation WHR-G54にもsyslog設定なる設定画面があります。
>その画面の「種類」のヘルプには「残すログの種類(Facility)と
>レベル(Priority)を指定します。」とあります。
そうなんですか、カタログからはここまでは分からないですからね。
変更できないと思っていなかったし、仮に固定でもLocalxを使っていてく
れれば問題なかったんですよ。
このおかげで週末をつぶしてしまった哀れなおじさんです。

書込番号：2221277

[Jimo]

> 変更できないと思っていなかったし、仮に固定でもLocalxを使って
> いてくれれば問題なかったんですよ。

マジにこんな風に考えていたとすれば，あまりに「世間知らず」では？
一般のコンシューマがそんな機能を趣味以外の目的で使うはずがない
でしょ。
それに，ログを取っていれば分かると思うが，MN8300が残すログなんて
大したものではない。なりすまされたらおしまいだし，第一アプリケー
ション層の攻撃は全く見つけられないのだから。nachiがはくecho
requestをためても大した意味はないし，何か使い方を間違っている気
がする。

本当に攻撃の形跡とかを追いかけたかったら，そのBSDのマシンにsnort
の類を入れ，NICをもう１枚挿し，MN8300のフィルタ類(SPI, Packet
Filter)をはずして， GapNATで全パケットを監視した方がいいんじゃ
ない？どっちかというと，やりたいことはIDSにやらせた方が良いよう
に思う。MN8300はあくまでもコンシューマ向けのNATルータと割り切る
のが正解だと思う。

書込番号：2221365

レスがつくかどうかわからないと思った内容に多数のご意見ありがとうございます。

>本当に攻撃の形跡とかを追いかけたかったら，そのBSDのマシンにsnort
>の類を入れ，NICをもう１枚挿し，MN8300のフィルタ類(SPI, Packet
>Filter)をはずして， GapNATで全パケットを監視した方がいいんじゃ
>ない？どっちかというと，やりたいことはIDSにやらせた方が良い

ご指摘のBSDマシンにはIDSは入っていませんが、カーネル再構築によって全パケットを監視
できる状況の構築は行っています。
しかし、単純なパケットはMN8300ではじいてほしいと思って、試用してきています。
コンシューマ向けとはいいながらさほど安くはない機器ですから、あながちなくて当然とは
いえないと思っています。
定期的にメールで送信できれば、これでも用が足りるんですが、BA8000Proの機能があまり
引き継がれていないのは残念ではあります。

>nachiがはくecho　requestをためても大した意味はない

同感ですが、単純で解析する価値のないパケットは、水際でなく入り口でシャットアウト
したいです。だからこそ、MN8300のフィルタははずしていません。
最終的に私は、MN8300のログを捨ててしまうには惜しいというレベルで捕らえています。

それにしても、半信半疑でMN8300を試用していますが、なかなかやるじゃないですか。
もっとくだらない仕様ならさっさとあきらめています。
現実に、購入時にRTX1000、RT57iと比較対照を行いましたが、この価格差は如何ともしがた
いではないですか。それだけ価格帯の異なる機種と比較しようという気になったことに対し
メーカの努力を評価しています。
多くを期待してはいけないと思いますが、ユーザとしてあと今一歩の改善に対する声をあ
げていきたいと考えます（これは掲示板ではなくメーカに言うべきですがね）。

書込番号：2223741

[Jimo]

> しかし、単純なパケットはMN8300ではじいてほしいと思って、試用
> してきています。

これって，まさにFirewallの基本的なポリシーでしょう？Firewallの
ログの場合，「何を防いだか」を見るのであって，「どんな攻撃が
あったか」を見るものではないよね？また，そもそもIPフィルタなど
の設定を間違えていたり，あるいは間違えていなくてもHTTPなどの
プロトコルに細工して侵入を試みる場合には，Firewallは無力。これ
はMN8300でも同じ事。分かっていると思うが，Firewallのログを監視
したところで，クリティカルな問題が見つかることはまず無い。それ
よりもFirewallの内側，DMZやIntranetにIDS, IDPの類を入れるのが
正しい姿では？俺には，菜楽さんのログ収集の目的が分からないんだ。

仮の話として，

・もしログを見てクリティカルな侵入試行を見つけたいなら
　MN8300どころか，ビジネスユースのFirewallのログを見たって，
　大した情報は得られない。
・もし試しに傾向分析をしたいなら
　syslogで切り分けるのではなく，全イベントを記録するべきではな
　いのか。もちろん，画面に表示したい内容と記録だけにしたい内容
　があるだろうが，それはMN8300の本分じゃない。

MN8300は，菜楽さんが言うように，この価格帯において出来る限りの
パフォーマンスと高機能を実現しようというコンセプトだろう。その
コンセプトの中で，syslogがおろそかになっても，俺は全く違和感が
ない。

それともう一つ。MN8300はBA8000 PROの後継じゃない。全く別の系列
だよ。OEM先も異なる。BA8000 PROの後継が出るなら，同じMIPS系の
CPUを使っていると思う。

書込番号：2223838

JImoさん、ご助言ありがとうございます。

>・もしログを見てクリティカルな侵入試行を見つけたいなら
>・もし試しに傾向分析をしたいなら
ログの収集目的はどちらかといえば後者で、どんなパケットが漏れてく
るか、どんなパケットを防止できたかを見たいというところです。
実用レベルではなく、取るに足りないものと判断すればSPIもIPフィル
タも利用しないとなるでしょう。逆に使用に耐えうるならばそのまま
運用する可能性もあると思います。

>もちろん，画面に表示したい内容と記録だけにしたい内容がある
これは私の期待することに近く、かなり的を得ていますね。本分である
かどうかは別にして、家庭においてFirewallとルータが別に存在するこ
とは経済的にみて困難であり、MN8300のような装置に過大な期待が発生
すると私は思います。CiscoとFirewall-1という構成はあり得ないと。

>それともう一つ。MN8300はBA8000 PROの後継じゃない。全く別の系列
>だよ。OEM先も異なる。BA8000 PROの後継が出るなら，同じMIPS系の
>CPUを使っていると思う。
そのようですね。BA8000ProはPlanexがらみのようで、BRL-04FMの出来
を見るにつけ、類似したハードにコンセプトの異なるファームに後悔
近い感情を持ちましたね。ただ、MN8300はこれといった前任機種がなく、
収集した資料にはBA8000Proの後継に近い存在とありました。
メーカにとってどんなCPUであろうと、どこのOEMだろうと、後継と位置
づけることは可能でしょう。ただ、シリーズが異なるのですから、その
気はないというほうが正解でしょうね。

書込番号：2224385

[Jimo]

BSDマシンの全パケットキャプチャは常時動かしているわけでは無い
でしょ？全てレコーディングしていたら，ディスクがすぐにパンクす
るだろうし。
一方で，

> どんなパケットが漏れてく
> るか、どんなパケットを防止できたかを見たいというところです。

この発言。良く解らない。漏れて通過してしまうものを，通過した
全パケットを常時監視していない状態で，いったいどうやって判断
できるの？IDSでも入れなければ，どだい無理な話でしょ。漏れた
ものはどこにも記録が残っていないのだから。

やっぱり，どう考えても基本的な監視ポリシーが間違っている気が
する。

書込番号：2226824

Jimoさん、度々ご意見賜り、ありがとうございます。
書いていただいている内容が、だんだん分かってきたのですが、当方の説
明が不十分のために、多くの時間を割いてのご指導大変恐縮です。

諸般の都合により、この形態での試用を一時停止し機種変更を含めて検討
し直すことになりそうです。経費を抑えながら、所定の目的を実現するの
が簡単でないことが解りました。

ただ、この期間を通じてMN8300の基本性能は想像以上でしたので、今後、個人用に利用しようかと思います。

このスレッドでご助言いただいた方々ありがとうございました。
また、改めて別の機会がございましたら、よろしくお願いいたします。

書込番号：2227010

電源を落とすと

ファームをバージョンアップしましたところ、MN8300の電源を落としてから入れるとネット繋がらなくなりました。IDとパスを入れなおすと正常に戻りました。ＩＤとパスは何か方法があるのでしょうか？落とすたびに、パスを入れなおしています

書込番号：2208278

便乗質問ですみませんが、
販売店に、基本的に電源は入れっぱなしのがいいと聞いたので、
切ったことがないんですが、入れっぱなしで、いいですかね？

書込番号：2208309

同じ現象で返品してしまいました。
BLR3-TX4は問題なし。。
なぜでしょうか・・・

書込番号：2210688

[Jimo]

なんだこりゃーさん，言っている意味が分からないよ。何のIDとパス
ワードを入れたの？ネットって，どこ？InternetのどこかのWebサイ
ト？それともMN8300のメンテ画面？
「ＩＤとパスは何か方法がある」って，日本語が良く解らない。IDと
パスワードがどうしたの？どうする方法を知りたいの？
FTTHかADSLか分からないが，PlalaにアクセスするためのPPPoEのIDと
パスワードのことを言っているのだろうか？電源を切る前に，ちゃん
と「PPP切断」をやっている？あと，IDとパスワードを入れているの
はどこ？まさかと思うが，ひょっとして，「フレッツ接続ツール」を
使って接続しているの？何をやっているのか，ちゃんと書いておくれ。


テストパターンさん，別に電源を入れっぱなしにする必要はないよ。
インターネットを利用するときだけ電源を入れても良いと思う。
MN8300は，設定内容をちゃんと覚えているからね。
でも，入れっぱなしにしているからって，悪いこともない。ただ，
省エネに反するだけ。

改善してーさん，何が「同じ現象」なの？

書込番号：2213919

Jimo　さん レスありがとうございました。
なるべく省エネに協力したいと思います。

書込番号：2214111

Jimoさん、レスどうもです。
補足説明します。確かに、PPP切断せずに電源切っていました。
ラストメモリーする？？でＰＰＰＯＥランプがオレンジ点滅でした。
なんだこりゃーさんが言うように、　pppoe　id+passを書き込むとすぐ
リンクしました。
この現象はBLR3-TX4ではおきません。
リンク後はすばらしく早いのに残念ですね！！

書込番号：2217447

[Jimo]

> なんだこりゃーさんが言うように、　pppoe　id+passを書き込むと
> すぐリンクしました。

これって，「接続先設定」の話をしているの？気のせいかもしれない
が，なんだこりゃーさんと改善してーさんは文体も説明不足の部分も
そっくりだね。

ちなみに，俺は最新のFirmwareにアップデートしているが，少なくとも
接続先設定の「ユーザーID」も「パスワード」「パスワードの確認入力」もちゃんと保存されている。試しにPPPoE接続が確立したまま強制
電断を行った後に電源投入してみたが，なんのトラブルもなく接続でき
たぞ。

BLR3-TX4をどういう風に気に入っているのかは知らないが，既に製造
停止の機種のようだな。たぶんだが，Buffalo製のルータの方が初心者
に使いやすく作られているのではないだろうか。MN8300も決してハイ
エンド・ユーザを狙った製品ではないが，機能的にはかなり上のよう
に思える。とは言いながら，定価で9,800円だったBRL3-TX4もプライス
パフォーマンスはかなり良かったのかもしれないね。気に入っている
なら，それで良いんじゃない？ただ，MN8300を使いこなせなかったの
は残念だな。

書込番号：2217672

ルーターを介すとインターネットに接続できなくなります

[のり〜のり]

11月30日(日)と12月6日(土)の2回に渡って、客先でインターネットへの接
設定にチャレンジしたのですが、どうにもうまく繋がりません。

残念ながら、最新のファームウェアが出てることに気づかなかったため
最新ファームでは試していないのですが、最新ファームにする以前に
何か設定が必要なのかどうか知りたくて、書き込ませていただきました。

客先には私の都合で土日しか行けず、土日はサポセンが休みなので
なんとも困ってしまいます。

環境は、

・ＣＡＴＶのインターネット接続サービス
・プロバイダーから提供されるＩＰアドレスは172.で始まるローカルＩＰ

状況は、
・ケーブルモデムとＰＣを直結すればインターネットにつながる
・ケーブルモデム−ＭＮ８３００−ＰＣとするとつながらない
　しかし、何度か設定するとメールだけ受信できてＨＰが見れない
　なんて状態になることもあります

ＭＮ８３００の表示画面の内容を以下のＵＲＬへ置きました。
http://f27.aaacafe.ne.jp/~norinori/

どなたかお助けいただければ幸いです。

※明日、これらの資料をもとにサポセンへ電話してみるつもりですが、
　その場でＭＮ８３００に触ることができないので困ってしまいます。

書込番号：2206383

[のり〜のり]

補足いたします。

ＰＣはDELL Dimension C、Win98SEです。

ＭＮ８３００の設定画面からPingテストをした結果は以下のような状況です
・ルーターのWAN側アドレスに対するPingは通ります
・デフォルトゲートウェイに対するPingはRequest Time outになります


Win98のDOSプロンプトからルーターのWAN側アドレスに対してpingを
実行するとHardware errorと4回（4行）表示されます。なぜでしょうか？

書込番号：2206421

[のり〜のり]

過去ログを読んでみました。
ＳＰＩを「使用しない」に設定すれば解決するかも…自信なし

書込番号：2206640

自分もCATVですが、グローバルアドレスを割り当てている方式なので
見当違いかも知れませんが、気になったこと１つ．．．
「動作モード」は何になっているのでしょうか？」
「ルーティングテーブル」の設定は有っても「NATテーブル」の設定が無いので、
自分の環境とここが違うと言うだけなのですが、
この情報表示を見たときに気になりました。
後は、DHCPサーバでLANのIPがネットマスクで遮断されているのでは？
とか．．．
PC＝192.168.1.2でサブネットマスクが255.255.255.255
これって問題無いのでしょうか？　＜素人なので勘弁してくださいm(_ _)m
自分のＰＣでは、255.255.255.0なので、この辺も気になりました。
　（255.255.255.255は192.168.1.2/32の「/32」の部分）
見当はずれかも知れませんが、念のためm(_ _)m

書込番号：2207122

[のり〜のり]

BB(B-FLETS BASIC)さんレスありがとうございます。

動作モードはＤＨＣＰだったと思います。もう出勤の時間なので
あとはまた。。。

書込番号：2207937

[のり〜のり]

＞「ルーティングテーブル」の設定は有っても

「ルーティングテーブル」の表示内容は、私が自分で登録したものではなく
自動的に登録された内容なんです。

＞PC＝192.168.1.2でサブネットマスクが255.255.255.255

私もこの辺は未知の世界なので、はっきりとしたことは解りませんが、
おそらく、宛先アドレスが192.168.1.2になってるパケットがルーターに
届いたら、ルーターはPCのLANボード(MACアドレスがPCのになってますので)に
転送しますよということをあらわしてるのではないでしょうか。

このルーティングテーブルをもう少しよく観察してみることにします。

書込番号：2209518

・PCにセキュリティソフトは入っていませんか？
・他のPCでテストしてみることはできませんか？
・それと動作モードは「NATルータ」か「GapNAT」どちらですか？
当方なんの変哲もないPPPoE環境なので詳しくわかりませんが、
問題解決の参考になれば幸いです。

書込番号：2209670

[のり〜のり]

1760さん、レスありがとうございます。

・PCにセキュリティソフトは入っていませんか？
確か入っていなかったと記憶しています（ウィルス対策なしです(^_^;））。

・他のPCでテストしてみることはできませんか？
客先は３階建てのビルになってまして、１階がショールーム兼受付、
２階が事務所、３階が社長さん宅になってまして、受付にDELLと
社長さん宅のiMacの両方で試しましたが、どちらもつながりませんでした。

・それと動作モードは「NATルータ」か「GapNAT」どちらですか？
「NATルータ」です。ちなみにプロバイダーはアイタイネットというところで
基本サービスでは、ローカルＩＰアドレスが８個まで取得できるようです。

プロバイダーのＨＰ　http://www.aitai.ne.jp/

ルーターのＷＡＮ側とＬＡＮ側ともにローカルＩＰアドレスが原因で
ルーティングがうまくいってないのかな〜という気がしてます。

オプションサービスのグローバルIPサービス（＋５００円/月だったか）を
申し込めば案外あっさり解決なのかもと思えてきました。

書込番号：2210025

やっぱり気になるので、もう少し伺います(^^;

「機器状態情報」の「DHCPクライアント状態」で
「DHCPサーバ」が、ローカルアドレスなのはなぜでしょうか？
これって、プロバイダのDHCPサーバを指すのでは？　＜まぁ、何でも良いのかも(^^;

あとは、やはり「ルーティングテーブル」の情報．．．
ゲートウェイ「192.168.1.1」が「192.168.1.0」へルーティングされているのは何となく分かりますが、
「192.168.1.2」のルーティング（宛）先が有りません
これって、ルータ自身は、WEBに通じていても、接続されたＰＣは見れないってことでは？
ルータの「設定」→「詳細設定」→「LAN側IP設定」の情報で、
「LAN側IPアドレス／マスク長」が、「192.168.1.1/32」になってませんか？
この「/32」を「/24」にするだけで良いように思うのですが．．．
　※ＰＣの再起動でＩＰアドレスの再取得が必要

書込番号：2210333

[のり〜のり]

BB(B-FLETS BASIC)さん、再びレスありがとうございます。

＞ゲートウェイ「192.168.1.1」が「192.168.1.0」へルーティングされているのは何となく分かります

どうも根本的なところで私とBBさんの間で見解が異なっている感じがします。

私のつたない見解では、x.x.x.x(アドレスＡとします)という宛先で
ルーターに届いたパケッがあったとしたら、ルーティングテーブルの下の
方から順番に、アドレスＡとルーティングテーブルの宛先のマスク部分が
一致するか探索し、マスク部分が一致したらその右側のゲートウェイ欄に
あるアドレスへルーターがパケットを送り出すと解釈しているのですが、
BBさんの場合はどうも逆の見方をされてますよね。その辺がどうも…

＞ルータの「設定」→「詳細設定」→「LAN側IP設定」の情報で、
＞「LAN側IPアドレス／マスク長」が、「192.168.1.1/32」になってませんか？
＞この「/32」を「/24」にするだけで良いように思うのですが．．．

すみません。客先には土日にしか行けないため、現在は確認しようが
ありません。

書込番号：2210499

[のり〜のり]

＞「DHCPサーバ」が、ローカルアドレスなのはなぜでしょうか？
＞これって、プロバイダのDHCPサーバを指すのでは？

私も気になっていました。おそらくプロバイダー側のDHCPサーバが
このローカルIPアドレス上にあるのかなと。。。自信なし(^^;

書込番号：2211235

[のり〜のり]

昨日の昼間、ＮＴＴ−ＭＥへ電話しても全然つながらなかったので、
昨日の夜、ＦＡＸで資料を送信してみました。

そうしたら、今日の午前９時４０分ごろ担当の方から私の携帯に
電話がありました。

担当の方の説明では「プロバイダーがローカルＩＰアドレスを割り当てて
くる仕様の場合には」以下のことを試してみてくださいとのことです。

１．IPフィルタ設定（ワンタッチ設定）画面（マニュアルP.67）にある、
　　「プライベートアドレスを使用した外部装置との通信を禁止」の
　　チェックボックスをオフにする。

２．「SPI(ステートフル・パケット・インスペクション)設定」を
　　「使用しない」に変更する。

３．最新のファームウェアーにバージョンアップする。

の、以上３点でした。

１が一番効き目がありそうな気がします。土曜日が楽しみです。
皆様ありがとうございました。

尚、上の書き込みにある、最新ファームにするとインタネットにつながらない
という件も伝えました。

↓マニュアル 第1版（全編）
http://www.ntt-me.co.jp/mn/mn8300/mn8300_manual.html

書込番号：2213131

のり〜のり　さんお久しぶり、というほどでもないか。

今日やっと時間がとれたので、進展がなければ投稿をと思っていたら・・
結論から。
サポセンの対応で一応解決するものと思いますが、せっかく装備されたSPI
とパケットフィルタリングを無効にしてしまったらMN8300を使用する意味
がないのす。
この設定では安いルータで十分ですよ、CATVの最大速度は規格上どんなに
がんばっても約30Mbpsです。のり〜のりさんの腕一つで、客先のパソコン
にFW機能を付加できるのかどうかが決まるですから、頑張りましょう。

グローバルアドレスに乗り換えるのも一手ですが、CATVのプライベートア
ドレスは、外部からの攻撃に対して簡易FW以上の価値があるんです。反
面、組織内のユーザからの攻撃には弱い一面もあります。

したがって、サポセン対策１は安易に取り除かないようにしてください。
方向が問題で、外向きパケットは原則通過させますが、外から内向きのも
のは禁止しておく必要があります。外向きでもポート137〜139は閉じてお
きます。具体的には、デフォルトのフィルタのうちNo5は使用しないにする
必要がありますが、他は残しておきます（ワンタッチ設定ではできません
ので手動で）
SPIについては対策１を実施してもなお不都合がある場合に、次の対策とし
て実施しても遅くはありません。できれば有効にしたままが望ましいで
す。BRL-04FM（Planex、BA8000Proの兄弟機）でプライベートアドレスでも
SPIが利用できました。

書込番号：2213980

[のり〜のり]

菜楽さん、レスありがとうございます。先日はお世話になりました。

今回の件は整理しますと、

１．外向きパケットは原則通過。外から内向きのものは禁止。
２．外向きでもポート137〜139(NetBIOSが使うポート？)は閉じる。
３．具体的には、デフォルトのフィルタNo1〜No6のうちNo5だけアクションを
　　[非通過]から[通過]に変更する。
　　ワンタッチ設定ではNo1〜No6が一括して[通過]になってしまう？
４．SPIについては対策１を実施してもなお不都合がある場合のみ検討する。

でよろしかたでしょうか。色々試してみます。
大変勉強になりました。ありがとうございます。

書込番号：2216885

のり〜のりさん、こんばんは。
整理されている内容で正解ですね、読みにくい文面ですみません。

改めて提供された情報を読んでみると気になる点がありますので、現地に
行かれたときに確認されたほうがよろしいと思います。

1.DHCPサーバが、192.168.250.13　
　プロバイダがわざわざこのようなアドレスのマシンをDHCPにしているの
でしょうか？。問題ないとは思うのですが、これが災いして接続できない
ようでしたら192.168.0.0/16のフィルタも外す必要があるかもしれません
たとえば、DHCP以外に192.168.0.0/16なるマシンにアクセスする必要があ
る場合などです。
DHCPはIPアドレスでアクセスしないので、何でもいいといえばそうです
が、まったく関係のないアドレスをつけることには賛同しにくいですね。

2.セキュリティログに記録された　10.18.128.1　164.46.128.90
組織内ユーザに172.18.128.0/19以外のユーザがいるのでしょうか。外部か
らのアクセスだと仮定すれば、なぜ直接プライベートアドレスにアクセス
できたのでしょうか。また、164.46.128.90は組織内で利用できるグローバ
ルアドレスでしょうか？

実は、私も先月までプライベートアドレスのCATVユーザでした。
CATVはPPPoEと異なり、回線の切断は不可能（ケーブルモデムは電源を切らないように指示している業者も多いと聞きます）ですから、安全性にはより気を配ってあげてください。

書込番号：2217821

久々きましたが、大変失礼な言い方すると思います
お許し下さい　

まず、繋がるパターン見つけなくてはいけませんよね

サポセン対策１は安易に取り除かないようにしてください。
方向が問題で、外向きパケットは原則通過させますが、外から内向きのも
のは禁止しておく必要があります。

>そうですか・・・もしそれで出来たら教えて下さい。是非に参考にしたいです
>片方向だけで、いいんですよね？

SPIについては対策１を実施してもなお不都合がある場合に、次の対策とし
て実施しても遅くはありません。できれば有効にしたままが望ましいで
す。BRL-04FM（Planex、BA8000Proの兄弟機）でプライベートアドレスでも
SPIが利用できました。

>SPI以前に見るところないです？手がかりないです？
>セキュリティログ見る限り、67,68弾かれているのが気になります
>つうより、それが走ってるんですよね。
>ですよね？ご両人？
>明らかにCATV側（繋ぎ先ですよね？）
>所詮、つなぎ先に依存します。
>逆に、ここまで接続難しいなら、10.のログもあながち・・・とか思いません？
>私の認識が甘いんですよ？
>SPIうんぬんの前に考えるべき事あるのでは？

書込番号：2218203

[のり〜のり]

菜楽さん、見えざる手２さん、こんばんは。

だんだん私の頭の中も混乱の度合いが深まってきた感は否めませんが、
何とかレスしてみたいと思います。

＞1.DHCPサーバが、192.168.250.13

やはりこのIPアドレス上にDHCPサーバがあるのかなと思います。

で、↓このページを読んでみたところ、
http://menter.rightstuff.co.jp/~yasu/DHCP/packets.html
クライアント(今回の場合ルーター自身)がDHCPサーバから割り当てられた
IPアドレスのリリース期間延長を要求する場合に、DHCPサーバのIPアドレスで
やり取りできければクライアントがDHCPDISCOVERパケットを発することで
なんとかなると推測します。

色々試してみて、結果がだめであれば192.168.0.0/16のフィルタも外してみようと
思います。。。


＞2.セキュリティログに記録された　10.18.128.1　164.46.128.90

164.46.128.90は、客先のホームページのアドレスです。(^^;
どこのWebサーバを使っているかは、私は知りません。社内にはないです。

先日の土曜日に色々試していたときに、この客先のホームページだけは
なぜか表示できるという状態になったこともありました。その状態でも
あいかわらずYahooとかMicorosoftとかのホームページは「ページを表示
できません」になっていました。

その時は(今もですけど(^^;)何がなんだか分けがわかりませんでした。


ローカルIPアドレスである10.18.128.1については心当たりがないです。
ただこのIPアドレスは社内のものではないと思います。
現状NT4.0サーバのDHCPサーバサービスを使って社内のパソコンに
192.168.0.100以降のIPアドレスを割り当ててますので。。。


＞ケーブルモデムは電源を切らないように指示している業者も多いと聞きます

そうですね。私もＣＡＴＶのインタネット接続サービスを解約したことが
ありまして、モデムを外したから引取りに来てほしいとＣＡＴＶ会社に
電話したら、「お客様の方で外されてしまいますと、回線にノイズが乗って
しまいますので、こちらから引き取りに伺うまでは接続したままにしておいて
下さい。」と指示された経験があります。


＞片方向だけで、いいんですよね？

すみません。現在の私には見えざる手２さんの激しいツッコミに
お答えする知識がありません(T_T)。


＞セキュリティログ見る限り、67,68弾かれているのが気になります

↓67番ポートと68番ポートについてちょっと調べてみました。
http://www.mediaweb.biz/database/cobalt_tips/cobalt_services.html

67番ポート - BOOTP server
68番ポート - BOOTP client
なんですね。勉強になりました。

ということは、10.18.128.1/67は、プロバイダ側にあるBOOTPサーバ
なのでしょうか？

255.255.255.255については↓ここで調べました。
http://www.tarokawa.net/junkmail/ipadr/
想像してたとおりブロードキャストアドレスですね。

セキュリティログを見ますと、ＩＰフィルタリングで破棄されているのは
送信元がBOOTPサーバ、送信先がブロードキャストアドレスの場合ですので、
プロバイダ側にあるBOOTPサーバが送信してきたパケットをルータが破棄した
という理解でよろしかったでしょうか。。。

書込番号：2220705

見えざる手２さん、ご覧ですか。
ご覧でないのなら反論する必要ないのでしょうが、文面を引用されていますので、一応。

>まず、繋がるパターン見つけなくてはいけませんよね
これについてはその通りですが、そのためにサポセン対策１をまず実施すべきというこ
とでしょうか。
パケットは、自らが発信元となるパケットとそれに対する応答パケットに分けられます。
発信元となるパケットを非通過にすると当然パケットは相手に届きません。ですが、
応答パケットを受け取るために、ポートをあけておく必要はありません。
MN8300でもサーバがない場合
　　　”外部装置から開始されるTCPセッションを遮断 (No.7を使用)”
をチェックしておいてもちゃんと通信できますよ 。
もっとも、以前[2157239]でJimoさんから指摘を受けたように、UDP等の例外がないわけ
でもないんだけれど、ここでは無視しておいても構わないと思うのです。
廉価なルータでは、内向きのパケットに対してはユーザの設定ができません（サーバ
公開用として特定のポートをあける機能はありますが原則全拒否）が、通信はできます。

>セキュリティログ見る限り、67,68弾かれているのが気になります
承知されていると思いますが、67,68はDHCPに用いられるポートですね。
しかし、アドレスの割り当てが必要なのは、ルータであってクライアントではありません。
従って、ポート67,68を拒否するのは正当で、受け入れる必要はないのでは？

>先日の土曜日に色々試していたときに、この客先のホームページだけは
>なぜか表示できるという状態になったこともありました。
まず、プライベートアドレスに対してはパケットは発信不能ですので、DNSによる名前解決
は不能です。よって、www.yahoo.co.jpをIPアドレスに変換できません。しかし、客先サー
バは普段よく利用されるため、パソコンキャッシュに残っていたと言うことは考えられます。
グローバルアドレスへの発信は可能でしたので、名前解決さえできればページの表示は可能
であったということで説明ができます。

最後に接続が難しいのではなく、接続はできています。CATVはLANですので接続自体は至って
簡単です。その証拠にルータにアドレスは割り当てられていますし、DNSも配布されています。
あとは、外向きのパケットを通す処理をするだけでいいと考えております。

のり〜のりさんへ：このような理由でNo2のルールははずす必要なしと考えております。
TCPコネクション確立後のパケットをこのルールが排除するとは考えていないのですが、
コネクション確立後のパケットを通過させるという定義ができない以上、確実とは言い
切れません。万一、機器の仕様上不具合がでる場合に限りNo2のルールをはずしてください。
この状態でもNo.7のルールで必要最小限のフィルタリングはできているはずです。
No3、No6についてはDHCPサーバ以外のマシンが外部にないとすれば、はずす必要はないと
考えます。それどころか、内部にふられている192.168.0.100移行のデータが外部に流出する
おそれがあり、非常に危険です。

余談ですが、客先サーバは、firstserver.co.jpというクボタ系列のレンタルサーバのようです。
最後に、のり〜のりさんの取り組みの熱心さに関心し、同時に私も勉強させて頂いております。
可能な限りのバックアップはしますので、是非開通までこぎつけられることを念願しております。

書込番号：2220906

[Jimo]

非常に曖昧なことを書くので，あくまでも参考程度に読んで欲しい。

うっすらとした記憶では，どこかに「MN8300で奇数長のマスクはうまく
動かない」と言った書き込みがあったような無いような。おぼろげな
記憶か勘違いなので，あまりあてにせずによろしく。

# 念のために探したのだが，見つけられなかったので余計に自信が
# ない・・・

書込番号：2221688

のり〜のりさん、明日結果が出るのですね。
我ながら自分の文章も読み返してみると、理解に苦しむところがありますね。
勢いで書いてしまったところがあって、反省しています。
頭を冷やして冷静にもう少し分析してみました。

>片方向だけで、いいんですよね？
正確には、これは間違いです。応答パケットも受け入れる必要はあります。
しかし、CiscoルータにはConfigの最初にこのように書いています。
access-list 100 permit tcp any IP-Address SubnetMask established
これは、すでにコネクションが確立した通信はポートの如何によらず、無条件に受け
入れ、ルータの負荷を軽減を図るものです。
コンシューマ向けのルータでは、この設定が暗黙の了解のようになっており、このパ
ケットを通すようにあらかじめ設定されていると思っています。（MN8300では、プロ
トコルをTCP,TCP-SYN,TCP-FIN,ICMPに分けており、*を指定した場合、コネクションに
関係なく全パケットを拒否してしまう可能性は残されています）。
つまり、No2のルールを残した場合、コネクションを必要としないUDPによる通信はでき
ないことになります。プロバイダが、UDPによる映像配信などを行っていて、このサービ
スを受けようとする場合にはこのルールははずさなければなりません。

SPIをはずさなければならないかどうかは、流動的です。SPIの詳細は公開されていない
ので、どんなパケットをはじくのかはやってみないとわからないのです。

最後に私の考えた作業手順表です。少しでもお役に立てば幸いです。
１．繋がる状況を作ることができるかどうか確かめるために、サポセン対策１と２を
実施する。
２．この作業で繋がらない場合は、Jimoさんが書かれた不具合によるものかもしれない
のでサポセン対策３を実施する（通信できない環境で、ファームウェアをアップするの
は意外に難しい。あらかじめダウンロードして持参します）。
３．改善しているかどうかを確認し、それでもだめなら再度サポートセンターへ連絡する。
４．上記で接続が確認できたら設定をすべて作業前に戻す。次に下記設定を順に行い、
核に作業を行う（通信できた時点で作業を終了する）。
　　・ルール５をはずし、外向きパケットを通過させる
　　・ルール２ははずし、内向きパケットを通過させる
　　・SPIを無効化する
　　・ルール３、ルール６を順にはずす

書込番号：2223705

[のり〜のり]

今日午前中に客先から１階の受付のパソコンがサーバにつながらなくなった
という電話があり、トラブル対処のため今客先に来ています。

サポセン対策１と２を実施してみましたが、つながらないです(T_T)。
ケーブルモデムとＰＣを直結すればインターネットにはつながりますので
今からファームウェアのバージョンアップを行ってみます。

書込番号：2223757

ＲＷＩＮの反映

初めまして！

ＭＮ８３００を購入したんですが
Ｎｅｔｔｕｎｅで６４Ｋバイト以上のＲＷＩＮが反映できません。
「Ｗｉｎｄｏｗｓ　Ｓｃａｌｉｎｇ」にはチェック入れてます。

ルーター側は「おまかせ設定」でＮＥＴには接続できます。
今「マニュアルとにらめっこ状態」ですがルーター側で何か
設定等ありましたら教えてください。

書込番号：2201870

自己レスです。解決しました。ＮｅｔＴｕｎｅで設定したＮＩＣに対するレジが完全に消えていませんでした。ＥｄｉｔＭｔｕで再設定したら反映されました。

書込番号：2202458