)
有線LAN速度:10BASE-T(10Mbps)/100BASE-TX(100Mbps)/1000BASE-T(1000Mbps) 有線LANポート数:10 対応セキュリティ:UPnP/VPN/DMZ
本ページでは掲載するECサイトやメーカー等から購入実績などに基づいて手数料を受領しています。
このページのスレッド一覧(全33スレッド)
| 内容・タイトル | ナイスクチコミ数 | 返信数 | 最終投稿日時 |
|---|---|---|---|
 未サポートパケット、受信オーバーフローの値 |
0 | 0 | 2025年7月13日 09:49 |
| IPoEでPR-400NEをブリッジ化RTX1210をルーターとして使用可能? |
3 | 6 | 2025年7月6日 15:02 |
| fqdnでNATの転送先を振り分けたいが、可能ですか? |
3 | 2 | 2025年6月12日 18:27 |
| LAN1とLAN2間の通信を遮断する方法 |
2 | 3 | 2025年3月24日 12:03 |
 エラーカウンタ |
1 | 0 | 2024年10月30日 09:29 |
| ルーターとUTMの直列つなぎ |
6 | 28 | 2022年4月6日 13:23 |
- 「質問の絞込み」の未返信、未解決は最新1年、解決済みは全期間のクチコミを表示しています
お気に入りに追加
先日ご教示いただき、「 PR-400NE -> (LAN2) RTX1210 (LAN1) -> PC など」の構成でインターネット接続は可能になったのですが、下のような状態で、未サポートパケット、受信オーバーフローの値がカウントされているのですが、このくらいの値は特に異常はないのか判断がつきません。未サポートパケットはとても多いようにも見えるのですが、こんなものなのでしょうか?(インターネット接続自体は問題はなさそうです。)
syslog host 192.168.100.* debug
を設定して syslog を出させてみましたが、RAパケットは特に届いていないようで、 wireshark で確認した範囲では5分間ほどおきに3パケットほど連続してRAが来る程度のようです。おそらくほかの理由でカウントが増えたのだとは思うのですが、ほかのログも特に届いていません。
値の大きさ的に問題が無さそうかどうか、問題の可能性があれば原因の切り分け方について、判断のできる方がおられたらご助言いただければありがたいです。
> show status lan2
LAN2
説明: OCN MAP-E RA
IPアドレス:
イーサネットアドレス: ac:44:f2:6a:dd:6b
動作モード設定: Auto Negotiation (1000BASE-T Full Duplex)
最大パケット長(MTU):
IPv4: 1500 オクテット
IPv6: 1500 オクテット
プロミスキャスモード: OFF
送信パケット: 17918246 パケット(5259549848 オクテット)
IPv4(全体/ファストパス): 0 パケット / 0 パケット
IPv6(全体/ファストパス): 17918246 パケット / 16901897 パケット
受信パケット: 33747019 パケット(42143674945 オクテット)
IPv4: 821 パケット
IPv6: 33212147 パケット
未サポートパケットの受信: 533978
受信オーバーフロー: 2360
0点
NTTのフレッツ光ネクストとOCNで使用しています。
IPoE接続なのですが、NATあふれが起きたことをきっかけに、RTX1210をルーターとして使用すれば解消するのではと思います。
PR-400NEでIPoE接続していますが、これをやめて、下流に接続したRTX1210でIPoE接続してルーターとして使用することは可能でしょうか?
YAMAHAのサイトの、「OCNバーチャルコネクトでインターネット接続」というページに、「ルーターの設定例:ひかり電話契約ありの場合」のコマンド例が載っていますが、そこを参考にしてRTX1210(LAN1:192.168.100.0、LAN2:192.168.1.1に静的に設定?)とPR-400NE(「IPv4通信設定」無効、IPv6ファイアウォール無効とする?)に必要なやり取りができるように設定すれば可能性はあるのではと思うのですが、詳しい方がおられたらご教示いただければと思います。
0点
>h-inoriさん
>PR-400NEでIPoE接続していますが、これをやめて、下流に接続したRTX1210でIPoE接続してルーターとして使用することは可能でしょうか?
可能です。
まずは現在のPR-400NEの状態確認です。PR-400NEでIPoE接続となっているということ
ですので、
http://192.168.1.1:8888/t/
こちらからPR-400NEの管理画面にアクセスして、タイル型メニューにIPv4のアイコンが
あればOCNバーチャルコネクトでの接続となっています。
OCNのサポートにこのフレッツ・ジョイントでの接続ソフトの流し込みを止めてもらうように
してもらってください。
その後、PR-400NEのLANからRTX1210を接続してそちらでOCNバーチャルコネクトでの
接続設定をすればOKです。
YAMAHAのこちらのページ
OCNバーチャルコネクトでインターネット接続
https://network.yamaha.com/setting/router_firewall/ipv6/virtual_connect
Web GUIで良いでしょう。
注意点としては、PR-400NEの配下に接続しますので、こちらでDHCPv6-PDをして
していますので、ひかり電話の契約なしの設定を選択してください。
回線
|
PR-400NE
(LAN)
|
(WAN)
RTX1210 ←OCNバーチャルコネクトで接続
(LAN)
|
各機器
この接続でOKです。
書込番号:26229078
1点
>jm1omhさん
早速ご教示ありがとうございます。
すみません、経験値が足りないため、不明な点が・・・。
>OCNのサポートにこのフレッツ・ジョイントでの接続ソフトの流し込みを止めてもらうように
してもらってください。
おっしゃる通りOCNバーチャルコネクト(MAP-E)での接続になっています。
この場合にRTXルーターを使用する際に、『「配信済み事業者ソフトウェア」の「高度な設定」の「IPv4通信設定」を無効化をする』、という解説をインターネット上の随所で見かけるのですが、それではダメ、ということでしょうか?または、配信を止めるのと、「IPv4通信設定」無効化では設定の内容に違いが出るのでしょうか?
>注意点としては、PR-400NEの配下に接続しますので、こちらでDHCPv6-PDをして
していますので、ひかり電話の契約なしの設定を選択してください。
「こちら」とは、どちらの側でしょうか?
PR-400NEがルーターとしてDHCPv6-PD(サーバー側からIPv6アドレスのネットワーク部にあたるプレフィックスを受け取り端末側に配布する)を行う、という意味でしょうか?それとも、PR-400NEにはそれをさせず、下流のRTX1210側でさせる、ということでしょうか?
NTTの「ひかり電話契約」有りで運用しているのですが、ひかり電話の動作に関する設定はPR-400NEが内部で行っていると思います。この動作のために、PR-400NE側でDHCPv6-PDを行わせ、RTX1210では行わないようにする、ということでしたら、上の質問部分は前者が正解、ということかと思うのですが、あるいは今回の接続では「ひかり電話」契約はできない、という意味なのかも知れませんので確認させてください。(ひかり電話契約を解約するしかないのであれば、そもそもHGWではなくONUに交換になると思いますが・・・。)
また、PR-400NEは初期状態では下流から見えるLAN側に自身を192.168.1.1と静的に設定してあります。RTX1210はおそらくPR-400NEとLAN2ポートで接続し、PCなどの端末はRTX1210のLAN1ポートに接続し、LAN1は192.168.100.0/24となると思います。LAN2はRT-400NEに合わせ、192.168.1.250などに静的に設定することになると思いますが(あるいはPR-400NEのDHCPv4サーバー機能を有効にしたままにしておきRTX1210のLAN2ポートはDHCPでアドレスをもらう形???)、この場合に、
・PC等でインターネット接続を可能にするには、双方の機器に設定が必要になると思います。
・PCからRTX1210の管理画面とCUI接続、PR-400NEの管理画面にアクセスする必要もあると思いますが、この場合PR-400NE側はセグメントが異なるので、その設定も必要になると思います。
・目的である、「PR-400NEのNATあふれの接続断が解消」が、この構成で目的を果たせるでしょうか?
書込番号:26229128
0点
>h-inoriさん
>配信を止めるのと、「IPv4通信設定」無効化では設定の内容に違いが出るのでしょうか?
IPv4通信設定での無効設定で、PR-400NEは通常の設定でのPPPoEは
使えるように戻りますが、プロバイダ側のIPv4 over IPv6としては完全に
切れていないケースもあるようで、PR-400NEのLANに接続したルータから
IPv4 over IPv6接続しようとしてうまく繋がらないといった例もあるようです。
今回はなにもなく繋がったとしても、PR-400NEを例えば電源OFF→ONでも
一旦配信済の方は消えてしまい再ロードされる状態となり、その際設定も
初期値になって、「IPv4通信設定」が有効に戻ってしまいます。
それを配信を停止してもらい、PR-400NEを初期化してPR-400NE側の方での
IPv4 over IPv6接続していた状態を確実に切るということですね。
>「こちら」とは、どちらの側でしょうか?
PR-400NEのことです。
ひかり電話をPR-400NEでご使用中の場合、DHCPv6-PDの処理を
PR-400NEで実施しています。LAN側にはRAで広告しますので、接続
しているルータではひかり電話の契約なしの設定にするということです。
PR-400NEではプロバイダ(VNE事業者)とのIPv6 IPoE接続がほぼスルー
といった状況ですね。(ただし、PR-400NEでのIPv6パケットフィルタは
要注意です。)
PR-400NEの192.168.1.0/24の接続は、RTX1210ではまずは扱わないように
して、IPv6 IPoEのみOCNバーチャルコネクトとしてのLAN側接続でインターネット
接続とします。NAT/NAPTはPR-400NEではなく、RTX1210内の話になるわけです。
ご質問の目的であるNATあふれ対策でRTX1210でOCNバーチャルコネクト接続と
するは、単純にここまで実施です。
RTX1210のLAN側からPR-400NEのLANにIPv4でアクセスしたいとなると
そこはちょっとややこしいですね。そうしたい場合はそのための設定がもちろん
必要でしょう。
書込番号:26229180
1点
>jm1omhさん
ご教示ありがとうございます。
1)ご紹介いただいた、「OCNバーチャルコネクトでインターネット接続」での設定
2)『「配信済み事業者ソフトウェア」の「高度な設定」の「IPv4通信設定」を無効化をする』
の2点で、とりあえずインターネット接続はできました。
PR-400NEの再起動時に、2)の状態が戻ってしまうことへの対応として、ご教示いただいたOCNサポートへのフレッツ・ジョイント配信の停止の依頼を後ほど行おうと思います。(休日はOCNサポートが稼働していないため。)
>ひかり電話をPR-400NEでご使用中の場合、DHCPv6-PDの処理を
>PR-400NEで実施しています。LAN側にはRAで広告しますので、接続
>しているルータではひかり電話の契約なしの設定にするということです。
ということは、フレッツ・ジョイントの有無に関わらず、HGWが、DHCPv6-PDの処理を行い、それは変更不可(RTX1210が直接PDを受けることはできない)なので、RTX1210側ではDHCPv6-PDの処理は行わずRAの通知を受けてルーター動作させるということなのですね。この設定でNATあふれは解消できそうと考えてよさそうで、よかったです。
ご教示いただきありがとうございました。おかげさまで設定の第一歩はできました。
書込番号:26229389
0点
>h-inoriさん
RTX1210でOCNバーチャルコネクトでの接続ができるようになったよう
ですね。
NATあふれの件ですが、PR-400NEの問題ということであればRTX1210に
することで、仕様的にはNATセッション数 65,534ですのでまず不足はない
はずですね。
しかし、ポート数ということで根本的な制限としてOCNバーチャルコネクトでの
MAP-Eで割り当てられるグローバルIPアドレスでユーザが使えるポートは、
ウェルノウンポート以外の「1008ポート」になります。
PR-400NEですと配信された接続ソフトのトップページで利用可能ポートの
一覧が表示されますので確認されているかと思います。
v6プラスですと240ですのでそれよりは余裕があるわけですが、そもそもの
問題が割り当てられているポート数の不足のために発生しているといった
ケースですとルータをRTX1210にしても改善出来ないとなるでしょう。
ここは発生要因が何だったのかをよくご確認ください。
書込番号:26229460
1点
>jm1omhさん
>ート数ということで根本的な制限としてOCNバーチャルコネクトでの
MAP-Eで割り当てられるグローバルIPアドレスでユーザが使えるポートは、
ウェルノウンポート以外の「1008ポート」になります。
MAP-Eの制限について調べてみました。確かにそうですね。勉強になります。
> show nat descriptor masquerade session summary
NAT/IPマスカレード 動作タイプ : 2
Interface Desc Num Outer Address Current/Max Peak
------------------- ---------- --------------------------- ----------- -----
TUNNEL[1](1) 20000 map-e/153.238.192.19 556/65534 1027
------------------- ---------- --------------------------- ----------- --------
現状でピークが 1027 です。RT-400NEでは処理の甘さもあったのか、あふれた状態で通信断に陥ることがあったのだと思います。現状そこまでは行っていないようですが、 MAP-E の仕組み的にポート数の関係でNATセッション数も 1008 付近が限界であることを覚えておこうと思います。
追加の情報、ありがとうございました。
書込番号:26230357
0点
 |
|---|
イメージ図 |
Localに2種類のWeb サーバーを構築しており(HP用と写真管理用)相互にLinkさせて利用しています。
現在はPortでサーバーを振り分けて居るのですが、一部の環境からFirewallの関係で、80/443以外のポートへアクセスが出来ないので、fqdnで振り分けが出来ないか模索しております。
IISやApacheは、1台のWebサーバーで要求時のfqdnにより、サイトを切り替え出来るのですが、これをRTX1210で実現可能なのでしょうか?
詳しい方、ご教授をよろしくお願いします。
1点
DNSが名前をグローバルIPに変え、NATでグローバルIPをプライベートIPに変換といった感じでしょうか。
NATでは、グローバル1IP変換しかできないのでNATPで設定することになると思いますが、それではポートが必要になってしまいます。
FQDNは正式アドレスというだけでしょう
結局のところ、1つのグロ-バルアドレス、80ポートしかない状態では難しいでしょう
他にも方法としては、1つのサーバーをメインにして接続させるところをマウントさせたり、プロキシサーバを立てて接続したりでしょうか(やった事はありませんが)
>IISやApacheは、1台のWebサーバーで要求時のfqdnにより、サイトを切り替え出来るのですが、これをRTX1210で実現可能なのでしょうか?
もちろん出来るでしょう
グローバルIP1つ、サーバー1つで複数のサイトを切り替えて表示することは容易です。
問題はグローバルIP1つでポートが同じ複数の「WEB」サーバーというのが難しいんです。(WEBサーバー以外ならポートが違いますが)
不特定多数の閲覧じゃなく、アクセスする人が特定されているのであればVPNという手もあります。
参考まで
間違ってたらだれかフォローをお願いします
書込番号:26198176
1点
 |
|---|
構成図 |
返信ありがとう御座います。
YAMAHAの回答もルーターでは無理との事でした。
他の方法も含めて模索し、最終的にReverse Proxyを建てる事により実現しました。
HP用のWeb Serverと、写真管理用のPhotoPrismを構築して、どちらもPort:80でアクセス出来る様にしてあります。
Routerの内側にnginxを構築して、Port:80は全てProxyへNAT転送します。
nginxは受け取ったfqdn毎に、リダイレクトするServerを選択して公開出来る様になりました。
書込番号:26208127
1点
ip lan1 address 192.168.100.1/24
ip lan2 address 192.168.111.1/24
として、 LAN1とLAN2間の通信を遮断する方法はございますか
VLANは使わないとして
1点
>粒粒煎餅さん
RTX1220 の方にも類似した質問投げてますよね?
何がしたいのでしょう?
書込番号:24953670
1点
こんな感じでいけます。
```
ip filter 1000 reject 192.168.100.0/24 192.168.111.0/24
ip filter 1001 reject 192.168.111.0/24 192.168.100.0/24
```
書込番号:26121754
0点
あまり詳しくないので、変な質問かもしれませんが、ご容赦ください。
VPNで他拠点のサーバーにアクセスした際にとてもスピードが遅く困っています。
ファイル移動の場合、最初は1〜2MBPSでその後355KBPSに落ち、タイムアウトすることもしばしばです。
うちの会社ではRTX1210で他拠点とVPN接続をしていますが、その内側にUTMをつないで使っています。
つまり、他拠点のサーバーを使う際は、
PC→UTM→RTX→光回線→(他拠点)RTX→UTM→ファイルサーバー
というルートになります。
このルーターとUTMを直列でつなぐことにより、遅くなっているということは考えられるでしょうか。
それぞれ以下のようなものを使っています。
UTM:FORTIGATE 40F
サーバー:Windows Server2019
クライアントPC:Windows10
0点
>検討長すぎ太郎さん
>このルーターとUTMを直列でつなぐことにより、遅くなっているということは考えられるでしょうか。
UTMがボトルネックになっているのは十分考えられるかな。
Fortigate-40Fはカタログベースのパフォーマンスはよいけど、測定条件が
”数値はすべて「最大」の性能値であり、システム構成に応じて異なります。アンチウイルス パフォーマンスは、HTTPトラフィック (32 Kバイト オブジェクト) を用いて測定されています。IPSパフォーマンスは、44 Kバイト HTMLファイルを用いて測定されています (NSSラボのテストメソドロジーと同等)。”
とあり、サイズが小さいデータを一つ一つ見るにはかなりよい。 だけど、サイズの大きなデータを一つにしてみるのは都合がよくないとおもうわね。
だから、会社の情シにファイアウォール、IPS,IDSのルールを見直しで、サイズの大きなデータを除外してもらうとか頼んでみたら。 会社なんだろうから個人ではかってにできないでしょ。
書込番号:24677665
0点
このルータを持っていませんし素人考えですのであしからず
UTMが直列に繋がないと、ワーム、ファイアウォール、アンチウィルス、アンチスパム、Webフィルタリング、総合的なセキュリティ対策にならないのではないかと思います。
UTMがあるからPCは安全というわけでもありません。
並列でもハブがレイヤー対応によっては出来るかもしれませんが。
>このルーターとUTMを直列でつなぐことにより、遅くなっているということは考えられるでしょうか。
噛ませば噛ますほど遅くなるでしょう。(程度は分かりませんが)
UTMが原因なら遅くなるし、ルーター原因でも遅くなります。もちろんPCも考えられます。
また、VPN接続方法もPPTPだと4回線となっていますが、他拠点が多いと遅くなるかもしれません。
何かしら攻撃されてても遅くなるし、どちらか一方が脅威になっていることも考えられます。
1つのネットワークずつ接続テストすると分かるかなと思います。
参考になれば幸いです
書込番号:24677672
0点
RTX1210 → Fortigate40F に接続しているプロセスですが、
Fortigateの場合ですが、SSLインスペクション機能にて、インターネット回線、他WEB、API、メールセキュリティを監視しているFortiCloud検疫をしていますが、内部的にプロクシモードとフローモードの接続にて、アクセススキャンしています。
プロクシモードの場合、全ての通信をスキャンして、FortiCloudサーバへ通信して、折り返し許可の通信を相手先へ通信していますので、通信回線の契約が高速なタイプでなければ、遅延は大きくなります。
既存のインターネット回線との組み合わせにて、RTX1210の直結してのスループットを計測して頂き、通信速度により、フローモードの設定に変更を確認ください。
念のため、Fortigate40F配下においても、計測してみて下さい。
下記のサイトにて、計測してみて下さい。
※ https://minsoku.net/
↑のデータ値により、低遅延のインターネット機能(IPV4-Over-IPV6・固定IP、NURO-Biz等)にて、ご確認下さい。
あと、まさか、RTX1210配下にて、Fortigate40FをNATモードで動作はさせていませんよね?
NATモードにしていれば、トランスペアレント・ブリッジモードへ変更をご確認下さい。
書込番号:24678123
2点
あと、Fortigate40Fの内部OSのサポート提供元(Forticare)の会社により検証OSのバージョンが変る可能性が御座いますが、Fortigate40Fの場合ですが、内部のASIC-CPUのキャッシュ機能が最適化されていますOSのバージョンが、FortiOS6.2、6.4、7.0以降になります。
FortiOS6.0等のバージョンにて運用されている場合ですが、バージョンアップをご確認下さい。
拠点間VPN接続のプロセスですが、他拠点のインターネット回線のレスポンスも影響します。
PPPOEセッションなどの運用をされている場合には、IPV4-Over-IPV6・固定IP、NURO-Biz等の切替えもご検討されると良いかと思います。
Fortigate40F単体にて、IPV4-Over-IPV6・固定IP接続(NAT有り)にて他拠点を接続している場合には、Fortigate40Fの性能のIPキャッシュ機能は、あまり良くないです。
他拠点のVPN接続しているルーター等の状態が、Fortigate40F等にて接続している場合には、上位にVPNルーターを用意された方が良いかと思います。
書込番号:24678149
2点
皆様、回答ありがとうございます。
こんなに早くたくさん回答いただけると思っていなかったので、大変うれしく思います。
>Gee580さん
>UTMがボトルネックになっているのは十分考えられるかな。
やはりUTMが怪しいかもですね。
確かにFORTIGATEを新しいタイプにした時期から遅くなったようなんです。
>テキトーが一番さん
>噛ませば噛ますほど遅くなるでしょう。(程度は分かりませんが)
そもそもFORTIGATEの機能をつかってVPNを組んでいないことが原因なのかなぁと思っていますが、直列式とどちらが良いのかもわからないので困っていたりします。
>sorio-2215さん
>通信速度により、フローモードの設定に変更を確認ください。
プロクシモードかフローモードかよくわかっていません。
導入してもらった会社にみてもらいますが、その方も専門ではないので詳しくはわからないかも。
とりあえず、自分がなんちゃってIT担当なのでわからないなりに調べてみます。
>NATモードにしていれば、トランスペアレント・ブリッジモードへ変更をご確認下さい。
これも怪しそうですね。早速調べてみます。
>内部のASIC-CPUのキャッシュ機能が最適化されていますOSのバージョンがFortiOS6.2、6.4、7.0以降になります。
なるほど!OSバージョンはすぐわかりそうなのでこれも調べてみます。
ちなみに、みん速で測った結果は
接続方式 PPPoE
Jitter 4.76ms
Ping 25.6ms
下り 65.56Mbps(速い)
上り 70.41Mbps(速い)
でした。
インターネットへの接続は、そこそこ早いです。
書込番号:24678177
0点
「 接続方式 PPPoE
Jitter 4.76ms
Ping 25.6ms
下り 65.56Mbps(速い)
上り 70.41Mbps(速い) 」
↑ Fortigateを経由しましたステータス状況としては、あまり良くない回線性能ですね。
ルーターへ直結しました際にプラスして、FortiCloudのクラウドセキュリティの問合せ通信も考慮しませんと、
その分遅延が生じます。(おおよそ、10〜20%程度は遅延が出るかと思われます)
PPPOE接続方式ではなく、NTTギガライン、ギガスマートタイプへ変更、
プロバイダの接続方式を、IPV4-Over-IPV6・固定IP網へ切替えをすると良いかと思います。
※ https://21ip.jp/
V6プラス・固定IP(1個) → https://21-domain.com/html/hikari-ip.html
光ネクスト・Gigaスマート・隼 2,550円より
JPNE・固定IPを指定下さい。(接続先上位経路:JPNE)
IPV6回線網に切替えしますと、Fortigateのファイアーウォールポリシーの設定をIPV4以外にIPV6の許可設定と各セキュリティ設定が必要になります。
書込番号:24678285
0点
補足ですが、
V6プラス・固定IPの契約へ移行しますと、既存のRTX1210のPPPOE設定を、V6プラス・固定IPの設定に切替え、PPPOEの削除が必要になります。
その前に、RTX1210のファームウェアを最新版へ変更が必要になります。
書込番号:24678388
0点
IPV4-Over-IPV6・固定IP網の切替えの際ですが、社内のRTX1210ルーターの上位に、NTT光電話オフィスアダプタ(OG410、OG810系)が御座いましたら、光電話オフィスアダプタの設定変更(IPV6ブリッジ設定、IPV6-IPOE許可設定)が必要になります。
業者さまへご確認下さい。
書込番号:24678966
0点
sorio-2215さん色々アドバイスありがとうございます。
通信まわり依頼している業者の方と打ち合わせる予定なので、細かい話まではわからない状況です。
が、その後わからないなりに調べてみた結果としては、
FORTIGATE OS:v6.2.9 build1234
プロクシモードとフローモード:プロクシモード ※怖くてフローモードに変更していませんが・・・
モード:トランスペアレント
という感じでした。
回線の強化や固定IPへの切替は、これはこれで進めていこうかと思います。
現状としては、
1.ルーター切替え以降遅くなった
2.自拠点のサーバーのファイル転送は50MB/s以上
3.他拠点のWin serverもNASもどちらも遅い(500KB/s以下)
4. 〃 へ100MBのファイル転送の途中でグラフが止まり、最後の1%で5分以上かかる。
5.DropboxのWebページへのファイル転送は1MB/s程度
という状況です。
問題の切り分けが必要ですが、拠点をまたぐ問題なので、調査は時間がかかりそうです。。。
書込番号:24679176
0点
>検討長すぎ太郎さん
前にも言ったけど、機能よりもセキュリティ−ルールを見直さないとダメよ。
@現在のセキュリティーポリシーや機器のセキュリティー設定がどうなっているのか書面で確認する。
業者とやっているのなら、業者から提出されているのは当たり前。
A大きなファイルをインスペクションから除外するよう考える。でも、会社のセキュリティーポリシーに違反しないか十分に検討する。
技術的なことはわからないとは思うけれど、常識はわかるでしょ?
書込番号:24679226
1点
お世話になります。
そうですか、FortiOS6.2.9ですか。
トランスペアレント・ブリッジ(プロクシモード)ですと、フローモードとプロクシモードの排他運用OSだったかと思います。
プロクシモードにて利用フルに利用出来ないモードですが、
WAF(Webアプリケーション・ファイアーウォール)、スパムメール対策機能などになります。
全ての通信をFortigateがプロクシ中継にて、FortiCloudサーバへセキュリティ問合せするモードですので、回線の性能が遅いと、かなりの遅延が出るかと存じます。
WAF機能にて、何らかのクラウドサービス側の情報漏えい機能を効かせ、スパムメールの振り分けをFortigate
にてさせており、更に透過型プロクシ、若しくはExprolitプロクシを動作させている状況ですと、回線の性能からかなり厳しい組み合わせになります。
確認ですが、WAF機能にてクラウドサービス等のデータ共有や基幹業務ソフトウェアの運用をされていますでしょうか?
Dropboxのクラウドサービスを運用中とのことですので、Dropbox領域へのアクセスのみ、WAF機能を効かせる。(それ以外のクラウドサービスを運用されていましたら、そちらも確認頂く方法になります)
また、Fortigateの迷惑メール対策の機能は、プロクシモード若しくはフローモードにて動作させている状況でしょか?
迷惑メールの対策をFortigateにてさせる場合ですが、添付ファイルのスキャン容量が、デフォルトで10MBの容量制限が有り、それ以上の容量の添付ファイルが付加されている状況ですと、うまく迷惑メール処理がされず、そのまま透過される設定になっているかと思われます。
その場合には、クライアントPCやモバイルなどにて、エンドポイントセキュリティソフト等のスパムメール対策機能にて対応する形になります。
FortiOS6.4、7.0系の場合にですが、プロクシモードとフローモードのハイブリッドモードにさせる事も可能ですが、.6.2系の場合には、両方の機能を運用して、セキュリティ運用させる場合ですと、Fortigate40Fの機能としては厳しいです。
※ 運用のクラウドサービスやスパムメール対策のみ、プロクシモード経由にて検疫をさせて、それ以外のインターネット系の通信をフローモードにて動作させ、負荷と性能を分散させる等。
フローモードにすることが、Fortigate40Fで言いますと、軽快に動作するモードとなりますが、IPフローヘッダーのみにて、セキュリティスキャンし、FortiCloudサーバへの問合せをさせるモードになりますので、セキュリティスキャンデータの取りこぼしが起きる可能性が御座います。
よって、フローモードで動作させて、クライアントPCやサーバへはエンドポイントセキュリティソフトを導入、終端のセキュリティ確保をさせる方法が適切かと思います。
速度低下の件ですが、既存の運用環境下にて、一次対応をさせる方法ですと、プロクシモードのモードをExproitモードではなく、透過型プロクシへ変更する。
回線の性能をギガ回線以上、IPV4-Over-IPV6・固定IPプロバイダへ変更し、インターネット速度とセキュリティ検疫性能を向上させる。
Fortigate等・その他のセキュリティ検疫などの構築経験は御座いますが、現時点での情報ですと、上記の内容になります。
業者様へご確認下さい。
書込番号:24679236
0点
P.S クライアントの端末台数やサーバ等の台数、モバイルの接続台数が不明ですので、
Fortigate40Fが適切かどうかは、ご指定の情報ですと、判断は出来かねます。
書込番号:24679250
0点
>Gee580さん
>技術的なことはわからないとは思うけれど、常識はわかるでしょ?
ITリテラシーが低くてすいません。
>sorio-2215さん
技術的な説明ありがとうございます。
クラウドサービスはDropboxぐらいですね。
そのほかの技術的な部分は業者の方に相談してみます。
書込番号:24679280
0点
業者へ見て頂きました時点ですが、Fortigate40Fにて性能不足と言うことも想定されますので、
Fortigate60F、80F等の構成も確認頂くよう、業者へお伝え下さい。
フルセキュリティ・Exploitプロクシモードでの適用条件ですと、精々、PCやサーバの構成台数ですが、15台〜20台がギリギリの製品です。
書込番号:24679312
0点
直列の方が簡単でしょうねぇ
>2.自拠点のサーバーのファイル転送は50MB/s以上
同じプライベートネットワーク層ですかね?
自サーバーがどのネットワークに居るかわかりませんがUTM前の層(RTX直下)からの転送ならどうでしょう?
また、RTX直下から拠点サーバーにアクセスは出来ないでしょうが、確認してみてもいいかもしれませんね(ソフトVPNならいけるかも?)
VPN組んでるので、PCのソフトでVPN化してるのか、ハード的にしてるのか、サーバーがしてるのか、その他機器がしてるのか分かりませんが、そこが原因かもしれないので確認してもいいかもしれません。
皆さんほど詳しくないのであしからず。
ちなみに、私は固定IPにてVPNしています。
ADSL回線ですが、プライベートネットワークの転送速度は概ね160MB/s。ネットワーク回線12.53Mbps。家等からの接続は1Mbpsです(回線限界)
今月光に代わるので楽しみです。関係ないことをごめんなさい
書込番号:24684062
1点
テキトーが一番さま
当初の回線接続イメージですが、
双方の接続が、ONU → RTX → UTM
となっておりますので、RTXルーターでの拠点間IPSEC-VPN構築かと存じます。
双方、RTXルーターでのPPPOE接続、UTMはトランスペアレント・ブリッジ接続という構成ですので、
ボトルネックは、PPPOE接続と、UTMのExploitプロクシ接続周りかと存じます。
Fortigate40Fは、Fortinet社の中でも、最下級モデルですので、あまりセキュリティレベルを上げると、性能無視する形になってしまいます。
書込番号:24684225
0点
sorio-2215さん
素人な私のコメントに反応して頂き恐縮です。
私も同感ですが、びっくりする接続とかあるもので・・・
書込番号:24684547
0点
>sorio-2215さん
>テキトーが一番さん
アドバイスありがとうございます。
sorio-2215さんの推測のとおり、RTXルーターで拠点間IPSEC-VPN構築をしております。
さて、今日一日の調査ですが、まずプロクシモード→フローモードに変更。
数MB/s上がりましたが、大した効果はなし。
その後、いろいろ比較してみました。
みん速は数値が表示されないときがあったので、USENのスピードテストで計測してみたところ、
1 WEB→RTX1210→FORTIGATE→PC ※現状
下り22MB/s、上り45MB/s
2 WEB→RTX1210→PC ※ルーターにPC直接接続した。
下り37MB/s、上り52MB/s
3 WEB→RTX1210→PC ※FORTIGATEを抜いてみた
下り51MB/s、上り57MB/s
4 WEB→RTX1210→PC ※上記3のまま、全ての機器を再起動をしてみた
下り50MB/s、上り77MB/s
5 WEB→RTX1210→FORTIGATE→PC ※FORTIGATEもつけてみた
下り22MB/s、上り45MB/s →ふりだしに戻った!
旧機種RTX1200があったので、VPN1拠点という設定で計測
6 WEB→RTX1200→PC
下り89MB/s、上り158MB/s
という結果になり、RTX1200、RTX1210の速度差を考えて、次は1210を疑ってみたいと思います。
ちなみに、計測は1回のみなので精度はかなり粗いかと。
書込番号:24684815
0点
PPPoE接続の性能は、プロバイダーの選択により、その様な程度しか得られませんよ。
当初のお話しのv6プラス固定IPプロバイダーに変更をご確認下さい。
どんなにやっても、50M bps前後しか得られませんよ。
RTX1210は、最新ファームウェアへ更新する事で、対応は可能です。
NTTギガライン、ギガスマートタイプ、光電話の契約の有無もご確認下さい。
時間的にロスなだけかと思います。
IPV6回線でしたら、IPV6-IPOEの閉域網の低遅延IPsec接続が可能です。
netvolante-dnsドメインですが、IPV6に対応しています。
書込番号:24685017 スマートフォンサイトからの書き込み
0点
v6プラス固定IP接続に切り替える場合には、双方の拠点とも対応ルーターが必要です。
RTX1210は、最新ファームウェアにて対応していますので、他の拠点の方も、対応ルーター、RTX1220、RTX830 、RTX1210に変更ください。
書込番号:24685025 スマートフォンサイトからの書き込み
0点
この後に8件の返信があります。
クチコミ掲示板検索
新着ピックアップリスト
-
【欲しいものリスト】252
-
【欲しいものリスト】252
-
【欲しいものリスト】あ
-
【欲しいものリスト】25
-
【欲しいものリスト】2025年電子レンジ購入候補
価格.comマガジン
注目トピックス
(パソコン)
