アカウント名:
パスワード:
以前務めていた会社で、私の入社前に某大手企業(not IT)の保守をやっていた時期があったらしく保守の契約が切れてものらりくらりと言い訳をつけられてサポートの対応をやらされている事がありました。
直接の担当では無かったのでうろ覚えですが一番強烈だったのが、「支店間をVPNで繋ぎたいのだがどうしたらよいか?」と言うような通常サポートとはかけ離れた質問内容だったらしいのですが、よくよく話を聞いてみるとどうやら
「LANにプライベートIPアドレスを使わなかった為、VPN機器のローカル側IPアドレス入力にプライベートIPアドレス以外のアドレスを入力しようとしたが拒否されるからどうすればいいか?」
と言うとんでもない状況に陥っていることがわかりました。もちろんこちらで設定しわけではなく窓口になっていた担当者の方(IT部門が無かったのか支社に部門が無かったのかわかりません)が見よう見まねでネットワークを構築していった結果そうなってしまったらしいのです。
そんな状況で無償サポートをする事はありませんでしたが(そのまま付き合いがなくなったんだったかな?)さすがに担当した同僚もそんなことになっているのは想像の範疇を遥かに超えていたらしく上記のLANなのにグローバルIPと言う状況を把握するまで四苦八苦してました。
# 案外そんなネットワークってあるのか・・・ないよね・・・?
プライベートIPアドレスでNATとか使うほうがよっぽど離れ業だと思うんですが、本来の使い方のほうを「離れ業」とまで言う人が出てきたことに衝撃を覚えます。
確かにもう大学などを除けばLANでグローバルIPアドレスが使われることはほとんどありませんが、だからといって本来の使い方をして何の技術的問題があるというのでしょうか。何というか、まさに想像の範疇を遥かに超えていますね。
まだプライベートアドレスなんてものがなかったころにアドレス割り当て受けたところは、当時の設定そのままに、今でもLANでもグローバルなアドレス振ってたりします。クラスAやBでそれやってるところは、もういまさら全社振りなおしなんてとてもとても。
># 案外そんなネットワークってあるのか・・・ないよね・・・?普通にありますよ。
各PCやネットワーク機器にグローバルIPアドレスが1個。校舎や支店間を接続する際に帯域とかセキュリティとか色々な理由でVPN設定と。
# 古くから参加してるのでクラスB持ってるのよねぇ・・・
>各PCやネットワーク機器にグローバル IPアドレスが1個。
それはよくある光景でしょう。
でも、プライベート(untrust)側にもグローバルは殆ど見かけない。
#クラスBのグローバル持ってるなんて威張るほどのもんじゃない
>でも、プライベート(untrust)側にもグローバルは殆ど見かけない。
そのプライベート側(trust)も全機器グローバルIPって例だったんですけどね。ネットワークプリンタとかNASとか測定機器とかにも全部グローバルIPアドレス。勿体ネェと思いつつ、振りなおしに掛かるコスト考えたら何も言えない。
なんとなく誤読された気がするのは私の文章力の無さが原因でしょうか・・・
もはやオフトピですが、グローバル>プライベートの移行を移行中も問題なく通信を維持しつつ行う方法ってどんな方法があるんだろう?数千・数万クラスになると全機器IPアドレスだけの設定しなおしだけでも莫大な時間になりそうだし。全てがPCなら兎も角、NAS/プリントサーバーのような組み込み機器類まで含めたり、IPアドレス以外のFW/ACL/アプリの設定の類まで考えると大変そう。酷いと設定用管理者パスワードが管理者不在となっていてマイナスからのスタートだろうし。とか考えると、未だにグローバルIPを新規ノードに割り当てるのも仕方ないのかなと。(同じ事がIPv4からv6にも言える)
USB等の活線挿抜可能なEthernetインタフェイスをくっつけて、別のサブネットを構築してから、既存のIPアドレスを変更するとか。PC以外は無理だけれど。
PCや高機能な組み込み系の物であれば2つ以上のIPアドレスを同一ネットワークカードに割り当てられるので増設せずとも解決可能です。USB接続Ether買うと移行後使われない大量のゴミとなる物が出ますので・・・
# 完全オフトピなのでACで--誰も信じちゃいけない、裏切られるから。私を信じないで、貴方を裏切ってしまうから。
グローバル>プライベートの移行を移行中も問題なく通信を維持しつつ行う方法ってどんな方法があるんだろう?
百数十アドレスの規模、Windows2000/98が全盛の頃の話ですが。
移行中はグローバルネットワークとプライベートネットワークを同一物理セグメント上に混在させる方針で、ルータに「グローバルネットワーク⇔プライベートネットワーク」のルーティングを定義しました。クライアントは都合の良いタイミングで移行してもらい、サーバーは各管理者に依頼して業務時間外に移行してもらいました。元々ゲートウェイを設定していなかった機器(ネットワーク接続のプリンタやスキャナ)には移行前に設
グローバル>プライベートの移行を移行中も問題なく通信を維持しつつ行う方法ってどんな方法があるんだろう?移行中はグローバルネットワークとプライベートネットワークを同一物理セグメント上に混在させる方針で、ルータに「グローバルネットワーク⇔プライベートネットワーク」のルーティングを定義しました。クライアントは都合の良いタイミングで移行してもらい、サーバーは各管理者に依頼して業務時間外に移行してもらいました。元々ゲートウェイを設定していなかった機器(ネットワーク接続のプリンタやスキャナ)には移行前に設定してもらいました。移行中に名前解決の問題が出るので、プライ
移行中はグローバルネットワークとプライベートネットワークを同一物理セグメント上に混在させる方針で、ルータに「グローバルネットワーク⇔プライベートネットワーク」のルーティングを定義しました。クライアントは都合の良いタイミングで移行してもらい、サーバーは各管理者に依頼して業務時間外に移行してもらいました。元々ゲートウェイを設定していなかった機器(ネットワーク接続のプリンタやスキャナ)には移行前に設定してもらいました。移行中に名前解決の問題が出るので、プライ
殆どみかけないとしても、それを普通にやってる組織もあるのに、「離れ業」とか言うのは明らかにおかしいだろ。
その前に「プライベート(untrust)側」って何だよ。身内ぐらい信用してやれよwww
はやくアドレス返却して欲しいものだ。
元ACです。
言葉が足りていなかったようなので補足します。その会社さんでやってたのは、自社の保有しないグローバルIPでやってたのです。クラスBなどのグローバルIPを持っているのであればそんなに驚きませんでした。
重要な情報が抜け落ちてたのですね。つまり、所有権のないグローバルアドレスで社内LANを組んでたと。
プライベートIPアドレスって言われたら普通RFCで定義されてるプライベートアドレスかと思ってましたが、プライベートIPアドレス=客がLAN側だからプライベートと思い込んでた所有権の無いグローバルアドレスという事ですか。そりゃ確かに珍しいケースではありますね。
既存のTCP/IPネットワーク接続を一切保証しないことを、書きそびれていますね。
他の方の指摘にあるように、LANにグローバルIPアドレス、という状況は、少し古くからインターネットを取り入れている大学や企業なら普通にあります。
内側にプライベートIPしか設定できないのは当該機器の欠陥でしょうが、気になるのは、そのグローバルIPが、正規の手続きで発給された、まっとうなアドレスかどうか、です。
まさか、「LANなんだし、他所の適当なグローバルアドレスをパクって割り当ててしまえ」
な発想が最初にあったんじゃないでしょうね?
うちの学校は全部グローバルIPでしたね。プリンタからPCにいたるまで。NATが無いので穴開けるだけで特定機器に接続できて便利でした。
> うちの学校は全部グローバルIPでしたね。プリンタからPCにいたるまで。> NATが無いので穴開けるだけで特定機器に接続できて便利でした。
それが普通の世界でプライベートアドレスというものが悪(IPv4では必要悪か)なのですよ。IPv6を進めたい人たちは、そのエンドとエンドが繋がるという体験を普通にしたいんですね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs
ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:0)
以前務めていた会社で、私の入社前に某大手企業(not IT)の保守をやっていた時期があったらしく
保守の契約が切れてものらりくらりと言い訳をつけられてサポートの対応をやらされている事がありました。
直接の担当では無かったのでうろ覚えですが一番強烈だったのが、
「支店間をVPNで繋ぎたいのだがどうしたらよいか?」と言うような
通常サポートとはかけ離れた質問内容だったらしいのですが、
よくよく話を聞いてみるとどうやら
「LANにプライベートIPアドレスを使わなかった為、VPN機器のローカル側IPアドレス入力に
プライベートIPアドレス以外のアドレスを入力しようとしたが拒否されるからどうすればいいか?」
と言うとんでもない状況に陥っていることがわかりました。
もちろんこちらで設定しわけではなく窓口になっていた担当者の方(IT部門が無かったのか支社に部門が無かったのかわかりません)が
見よう見まねでネットワークを構築していった結果そうなってしまったらしいのです。
そんな状況で無償サポートをする事はありませんでしたが(そのまま付き合いがなくなったんだったかな?)
さすがに担当した同僚もそんなことになっているのは想像の範疇を遥かに超えていたらしく
上記のLANなのにグローバルIPと言う状況を把握するまで四苦八苦してました。
# 案外そんなネットワークってあるのか・・・ないよね・・・?
Re:ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:3, すばらしい洞察)
プライベートIPアドレスでNATとか使うほうがよっぽど離れ業だと思うんですが、
本来の使い方のほうを「離れ業」とまで言う人が出てきたことに衝撃を覚えます。
確かにもう大学などを除けばLANでグローバルIPアドレスが使われることはほとんどありませんが、
だからといって本来の使い方をして何の技術的問題があるというのでしょうか。
何というか、まさに想像の範疇を遥かに超えていますね。
Re: (スコア:0)
たしかに…。時代は変わったんですね。
それよりも
> VPN機器のローカル側IPアドレス入力に
> プライベートIPアドレス以外のアドレスを入力しようとしたが拒否される
これもなかなか驚異です。まともなVPN機器でこんな珍妙な制限をしているものがあるんでしょうか?
Re:ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:2)
それで対応できなくなった頃にプライベートに切り替えましたが。
クラスAのアドレスを持っていた組織もあったと思うので、昔はよくあることだったかも。
Re:ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:1)
まだプライベートアドレスなんてものがなかったころにアドレス割り当て受けたところは、
当時の設定そのままに、今でもLANでもグローバルなアドレス振ってたりします。
クラスAやBでそれやってるところは、もういまさら全社振りなおしなんてとてもとても。
Re:ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:1)
># 案外そんなネットワークってあるのか・・・ないよね・・・?
普通にありますよ。
各PCやネットワーク機器にグローバルIPアドレスが1個。
校舎や支店間を接続する際に帯域とかセキュリティとか色々な理由でVPN設定と。
# 古くから参加してるのでクラスB持ってるのよねぇ・・・
Re: (スコア:0)
>各PCやネットワーク機器にグローバル IPアドレスが1個。
それはよくある光景でしょう。
でも、プライベート(untrust)側にもグローバルは殆ど見かけない。
#クラスBのグローバル持ってるなんて威張るほどのもんじゃない
Re:ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:1)
>でも、プライベート(untrust)側にもグローバルは殆ど見かけない。
そのプライベート側(trust)も全機器グローバルIPって例だったんですけどね。
ネットワークプリンタとかNASとか測定機器とかにも全部グローバルIPアドレス。
勿体ネェと思いつつ、振りなおしに掛かるコスト考えたら何も言えない。
なんとなく誤読された気がするのは私の文章力の無さが原因でしょうか・・・
もはやオフトピですが、
グローバル>プライベートの移行を移行中も問題なく通信を維持しつつ行う方法ってどんな方法があるんだろう?
数千・数万クラスになると全機器IPアドレスだけの設定しなおしだけでも莫大な時間になりそうだし。
全てがPCなら兎も角、NAS/プリントサーバーのような組み込み機器類まで含めたり、IPアドレス以外のFW/ACL/アプリの設定の類まで考えると大変そう。
酷いと設定用管理者パスワードが管理者不在となっていてマイナスからのスタートだろうし。
とか考えると、未だにグローバルIPを新規ノードに割り当てるのも仕方ないのかなと。(同じ事がIPv4からv6にも言える)
Re: (スコア:0)
USB等の活線挿抜可能なEthernetインタフェイスをくっつけて、別のサブネットを構築してから、既存のIPアドレスを変更するとか。
PC以外は無理だけれど。
Re: (スコア:0)
PCや高機能な組み込み系の物であれば2つ以上のIPアドレスを同一ネットワークカードに割り当てられるので増設せずとも解決可能です。
USB接続Ether買うと移行後使われない大量のゴミとなる物が出ますので・・・
# 完全オフトピなのでACで
--
誰も信じちゃいけない、裏切られるから。
私を信じないで、貴方を裏切ってしまうから。
Re: (スコア:0)
百数十アドレスの規模、Windows2000/98が全盛の頃の話ですが。
移行中はグローバルネットワークとプライベートネットワークを同一物理セグメント上に混在させる方針で、ルータに「グローバルネットワーク⇔プライベートネットワーク」のルーティングを定義しました。
クライアントは都合の良いタイミングで移行してもらい、サーバーは各管理者に依頼して業務時間外に移行してもらいました。
元々ゲートウェイを設定していなかった機器(ネットワーク接続のプリンタやスキャナ)には移行前に設
Re: (スコア:0)
Re: (スコア:0)
殆どみかけないとしても、それを普通にやってる組織もあるのに、「離れ業」とか言うのは明らかにおかしいだろ。
その前に「プライベート(untrust)側」って何だよ。身内ぐらい信用してやれよwww
Re: (スコア:0)
はやくアドレス返却して欲しいものだ。
Re: (スコア:0)
おかげでネットワーク管理を任されている自分涙目w
Re: (スコア:0)
Re: (スコア:0)
元ACです。
言葉が足りていなかったようなので補足します。
その会社さんでやってたのは、自社の保有しないグローバルIPでやってたのです。
クラスBなどのグローバルIPを持っているのであればそんなに驚きませんでした。
Re:ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:1)
重要な情報が抜け落ちてたのですね。
つまり、所有権のないグローバルアドレスで社内LANを組んでたと。
プライベートIPアドレスって言われたら普通RFCで定義されてるプライベートアドレスかと思ってましたが、
プライベートIPアドレス=客がLAN側だからプライベートと思い込んでた所有権の無いグローバルアドレスという事ですか。
そりゃ確かに珍しいケースではありますね。
Re: (スコア:0)
Re: (スコア:0)
既存のTCP/IPネットワーク接続を一切保証しないことを、書きそびれていますね。
Re: (スコア:0)
他の方の指摘にあるように、LANにグローバルIPアドレス、という状況は、
少し古くからインターネットを取り入れている大学や企業なら普通にあります。
内側にプライベートIPしか設定できないのは当該機器の欠陥でしょうが、
気になるのは、そのグローバルIPが、正規の手続きで発給された、まっとう
なアドレスかどうか、です。
まさか、「LANなんだし、他所の適当なグローバルアドレスをパクって
割り当ててしまえ」
な発想が最初にあったんじゃないでしょうね?
Re: (スコア:0)
うちの学校は全部グローバルIPでしたね。プリンタからPCにいたるまで。
NATが無いので穴開けるだけで特定機器に接続できて便利でした。
Re:ローカルエリアネットワークなのにグローバルIPという離れ業 (スコア:3, すばらしい洞察)
> うちの学校は全部グローバルIPでしたね。プリンタからPCにいたるまで。
> NATが無いので穴開けるだけで特定機器に接続できて便利でした。
それが普通の世界でプライベートアドレスというものが悪(IPv4では必要悪か)なのですよ。
IPv6を進めたい人たちは、そのエンドとエンドが繋がるという体験を普通にしたいんですね。