【PCルータ】 Vyatta
■ このスレッドは過去ログ倉庫に格納されています
VPNやUTM機能を備えたDebianベースのルータ用ディストリビューションVyattaについて語るスレです。 公式サイト http://www.vyatta.com/ PCルータ特化OSまとめwiki http://www.esc-j.net/pc-router/index.php?Vyatta あった Vyattaを6.5にアップしたらMTU制限が効かなくなって切り戻した→解決!? - mikedaの日記 ttp://mikeda.hatenablog.com/entry/20121217/1355762337 そういえは >>335 と似たような症状にはまってたわ >>342 あ、これと全く同じ症状です! ありがとうございました。 現在unnumbered接続をしていてさらに別セッション(別プロバイダ)にて unnumbered接続をしたいのですがそのようなことは可能でしょうか? おまえさんがRIPを設定できるのなら可能かも試練。多分できそうな気はする。 しかし「なにそれ、おいしいの?」というレベルなら、おまえさんには不可能。 >>346 RIPですか・・・昔、本で見たけど難しくてそっと閉じ・・・という感じです。 こんな風にしても無理っすかね?RIPは必要? ↓PPPOEマルチセッションにして物理nic追加 interfaces { ethernet eth0 { hw-id 00:00:00:00:00:00 pppoe 0 { password **************** user-id aaaaa } pppoe 1 { password **************** user-id bbbbb } } ethernet eth1 { address 100.100.100.100/28 hw-id 11:11:11:11:11:11 } ethernet eth2 { address 100.100.100.200/28 hw-id 22:22:22:22:22:22 } } >>249 の方法だとwan-load-balanceを使った際に効果が無い仕様(バグ?)があったので、 >>261 を参考にして設定したら上手く行った。 ありがとう。 VyOS 1.0.4を1.0.5に上げたらどうもnatがうまく動いてくれない。 dnsmasqはちゃんと動いてるのに、tcpのセッションを張れない。 firewallのルールが変わったのか? 何か追加してやらないと1.0.4のままじゃダメなのか? 幸いimageインストールにしてあるから1.0.4をデフォに戻してるけど。 うーむ、よくわからん。 いきなり1.1.0にしなくてよかった。(多分) Vyattaでフレッツひかり電話ルーター配下のIPv6の設定で上手く動いている人いますか? ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが 設定ならなくて困っています。 http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html ipv6 address autoconf ipv6 disable-forwarding とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・ ipv6 router-advertなどのお勧めの設定ありませんか? Vyattaでフレッツひかり電話ルーター配下のIPv6の設定で上手く動いている人いますか? ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが 設定ならなくて困っています。 http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html ipv6 address autoconf ipv6 disable-forwarding とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・ ipv6 router-advertなどのお勧めの設定ありませんか? ここでいいかわかりませんが訊いてみます。 VyOS+Hyper-Vで組んでみたのですが、NICドライバの設定方法がわかりません。 (チェックサムオフロードとかTxRxバッファサイズの設定などのNIC依存部分) ethtoolを使ってみたのですがサポート外のようです。 どなたかわかる方いましたらお願いします。 >>355 /config/scripts/vyatta-postconfig-bootup.script #!/bin/sh for i in eth0 eth1 eth2 eth3 eth4; do ## ethtool -G ${i} rx 2048 tx 2048 ethtool -K ${i} tso off lro off gro off gso off done たぶんこんな感じ。 以前 vmxnet3で rx, tx いじったときカーネルパニックで 再起動延々し続けたので、今はやめてる。 >>358 設定ありがとう。 でも上手く動かなかったわ。 そもそもethtool -G eth0を叩くとOperation not supportedって出る。 仮想NIC側が対応してないのかも。 統合サービスとか入れるのかと思ったんだけどイマイチ見つからない。 >>359 ttp://www.mindworks.shoutwiki.com/wiki/Ethtool_Support_for_Microsoft_Hyper-V へぇ Hyper-V では ethtool 動かないんだ レガシネットワークアダプターこと e1000 では嫌かな 一応統合サービスは入ってるのでレガシーよりは遥かにいい レガシーだと100Mbps相当になるっしょ ただNIC固有の機能設定が殆どできないのが勿体無いんだな せっかくI350買ったのに…… vmxnet3 で物理NIC固有機能なんてどのみち使えないでしょ。Hyper-V 以外でも。 VT-d するならともかく。 メールサーバ作ってるんだがPOP3Sでメールを受けようとすると通信がタイムアウトしてしまう。。。 maillogやtcpdumpを見てみると外部からのアクセスは来ていて、 応答も投げ返しているのだが途中から相手方のサーバの通信が来なくなってしまう。 VyattaのLAN側とWAN側(PPPoE)でtcpdumpしてみるとどうやらこちらのメールサーバのパケットが VyattaのLANまでは来ているのだがWANに出て行っていないみたい。。。 まったくWANに出て行かないわけではなくて、多分TLS handshakeの前後位から出て行けなくなるみたいなんだけど 誰か解決策orヒントわかりませぬか。。。 出ていけるパケットと出ていけないパケットの違いがわからない。。。 23:45:44.337952 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [P.], seq 1449:1711, ack 308, win 972, options [nop,nop,TS val 1309150490 ecr 2175665493], length 262 23:45:44.353062 IP *REMOTEIP*.54951 > *LOCALIP*.995: Flags [.], ack 1, win 365, options [nop,nop,TS val 2175665635 ecr 1309150377,nop,nop,sack 1 {1449:1711}], length 0 23:45:44.573398 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [.], seq 1:1449, ack 308, win 972, options [nop,nop,TS val 1309150728 ecr 2175665635], length 1448 ↑の一番最後のパケットがWAN側に出て行かない。。。 >>366 早速あんがと。 ただ、そこはmss値は1394で設定済みで、Webサイトの閲覧に特に問題は感じないのです。 (感じないだけでどこか問題はある、かも。。。) 試しに>>249 に合わせて1360にしてみたけど状況はかわらないです。。。 ファイヤーウォールの配下のNAT環境にVyOSを配置していますが、この場合outside-addressはどうしたらいいでしょう? Internet ---- (GIP aaa.bbb.ccc.ddd)FW(PIP 192.168.99.1) ---- (192.168.99.254)VyOS という感じです。 FWで透過型の設定が出来ればいいのですが、制限がかかっており仕方なくNAT環境にしています。 cannot respond to IPsec SA request because no connection is known for のログが出力されているので、NAT-Traversal関係だとは思うのですが。 どなたか同様の問題の対処をされた方いらっしゃいましたらご教授頂けないでしょうか。 >>367 >>249 は、外から来たクライアント要求 TCP SYN の MSS を書き換えてない。 それが大きいままにLAN側サーバは同意しちゃうから、長いので送っちゃう。 TCP ペイロード length 1448 もあったら、PPPoE の MTU を通り抜けられないでしょ。 PPPoE in 側 (もしくは LAN への out) でも mss clamp かけてみたら。 >>368 仮想ルーターVyattaを使って、SoftLayerとオフィスを直結する でぐぐって、真似る。 >>369 かけたりもしたつもりだったんだけどflagsの指定間違ってたみたい。 言われて注目して気付いた。 ありがとう、ありがとう。 >>370 情報ありがとうございます。生憎、その情報は確認済みでした。 情報不足でしたが、今回構築したいのはLAN間接続ではなくL2TP/IPsecのリモートアクセスになり、 したがってVyOSもリモートアクセスクライアントもNAT配下となります。 >>368 vyatta/vyos よりも、素のxl2tpd方面で調べる方が作例多そう。 Internet ---- (GIP aaa.bbb.ccc.ddd)FW(PIP 192.168.99.1) ---- (192.168.99.254)VyOS なら /etc/xl2tpd/xl2tpd.conf には [global] listen-addr = 192.168.99.254 と入るのが妥当と思う。aaa.bbb.ccc.dddでは listen しようがないから。 cannot respond to IPsec SA request because no connection is known for は、allowed-network 入ってます? set vpn ipsec nat-networks allowed-network 0.0.0.0/0 exclude '192.168.0.0/24' みたく。set vpn ipsec の辺は/etc/ipsec.confに反映されてplutoが読む。 >>374 アドバイスありがとうございます。 listen-addrはローカルIPを設定しています。試しにグローバルIPを設定してみましたが、変わらずでした。 (このコマンドはRTXシリーズで言う所の ipsec ike local addressにあたるのですよね?) /etc/xl2tpd.confを直接見てみたところ、local ip項目が自身のローカルIPではなく、 まったく異なるものでしたが、これはVyOSの仕様なんですかね? 手動で編集してみましたが、configureからcommitしなおすと元に戻ってしまいます。 allowed networkはset vpn ipsec nat-networks allowed-network 0.0.0.0/0を入れています。 具体的には以下の様なログが出ています。 cannot respond to IPsec SA request because no connection is known for aaa.bbb.ccc.ddd/32===192.168.99.254:4500[192.168.99.254]:17/1701...zzz.yyy.xxx.www:63686[192.168.100.103]:17/%any===192.168.100.103/32 >>372 現状は「とりあえずできた版」でしかないから整理して週末にでも晒します。 >>369 うちの場合面倒だから SYN 立ってるパケット全部対象にしてる set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0' set policy route PPPOE-IN rule 10 protocol 'tcp' set policy route PPPOE-IN rule 10 tcp flags 'SYN' set policy route PPPOE-IN rule 10 set tcp-mss '1414' ポリシーベースのルールが適用されるのってパケットの方向関係なく、指定された インタフェースを通るタイミングなんだよね? 例えば eth1 に set してるとして、 eth0(WAN) -> eth1 -> LAN内 と LAN内 → eth1 → eth0(WAN) のどちらにもルール効いてる? 週末に晒すとか言いながら大分後の週末になってしまった。。。 今のところ問題は見当たらないけどこれがベストではないと思う。 # show policy route route PPPOE-VIA-FLETS-IN { rule 10 { destination { address 0.0.0.0/0 } protocol tcp set { tcp-mss 1414 } tcp { flags SYN,!ACK,!FIN,!RST } } } route PPPOE-VIA-FLETS-OUT { rule 10 { destination { address 0.0.0.0/0 } protocol tcp set { tcp-mss 1414 } tcp { flags SYN } } } # show interfaces ethernet eth0 pppoe 0 policy route PPPOE-VIA-FLETS-OUT # show interfaces ethernet eth1 policy route route PPPOE-VIA-FLETS-IN リモートアクセス経由で入ってきた通信をルータのデフォルトルートとは別の場所に飛ばしたいんだけど、うまく出来てる人いる? 接続時にl2tp0ってインターフェースができるみたいなんだけど、そのインターフェースにはpolicyが適用できないっぽい。 *.v4flets-east.jpの名前解決を、フレッツのサービス情報サイトの DNSサーバーにforwardしたいときってどう書けばいいのかな。 pppoeはつながってるし、サービス情報サイトだけの接続なら 問題ないんだけど、インターネットと同時につなげようとすると 名前解決がうまくいかないんだよね。 eth0 pppoe0 インターネット eth0 pppoe1 サービス情報サイトNGN IPv4 eth1 LAN eth2 使ってない protocols { static { interface-route 123.107.190.0/24 { next-hop-interface pppoe1 { } } interface-route 220.210.194.0/25 { next-hop-interface pppoe1 { } } } } dns { forwarding { cache-size 0 listen-on eth1 listen-on eth2 options "server=/*.v4flets-east.jp/123.107.190.5" options "server=/*.v4flets-east.jp/123.107.190.6" } } >>5 オープンソース界隈じゃもう、rerdhat系なんてメジャーじゃないよ。 Debian一色。 当然Centなんて論外だし、Fedoraもどんどん規模が小さくなってる。 >>382 dnsmasq.confの文法でいうと*.が邪魔なんじゃないでしょうか。 ttp://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html -S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]] if you have a nameserver on your network which deals with names of the form xxx.internal.thekelleys.org.uk at 192.168.1.1 then giving the flag -S /internal.thekelleys.org.uk/192.168.1.1 will send all queries for internal machines to that nameserver, everything else will go to the servers in /etc/resolv.conf. ソースインタフェース指定もできるんですね。 >>384 ありがとうございます。 エラーメッセージが出てこないのが痛いな… どうもHGWのPPPoEブリッジを経由すると、2つめのセッションが うまくつながらないようです。ISPかサービス情報サイトの片方だけなら 問題なくつながります。 HGWを通さなければちゃんと2つともつながるんですけどね http://feasible-lab.com/cisco%E3%83%9E この例だとサービス情報サイトのDNSサーバー(123.107.190.5, 123.107.190.6)をコンフィグに書いて、ISPのDNSサーバーは ppp ipcp dns request accept で取得するという目論見のようだけどうまく動くのかな Vyattaだとこのコマンドになるかな set system name-server 123.107.190.5 set system name-server 123.107.190.6 set interfaces ethernet eth0 pppoe 1 name-server auto Vyattaだとこのドメインルーティングには対応してないよね? https://flets.com/customer/next/square/setup/v4/win7.html >>384 のアドバイスの通りやってみたらできました! IEからはアクセスできてChromeからはダメだったので ChromeのDNSキャッシュを消した http://d.hatena.ne.jp/killinsun/20131128/1385609793 のですが、それでもダメで ipconfig /flushdns でつながりました。 ありがとうございました。 dns multiple forwarders の設定、以前悩んでた。 今のvyatta本家は知らないけど、派生系バージョンは微妙にコマンドが違ってる。 VyOS 1.1.5 (helium) set service dns forwarding name-server '8.8.8.8' set service dns forwarding domain flets server '123.107.190.6' EdgeOS(v1.6.0) set service dns forwarding name-server '8.8.8.8' set service dns forwarding options 'server=/flets/123.107.190.6' どちらもcommit後の /etc/dnsmasq.conf には以下のように展開 server=8.8.8.8 server=/flets/123.107.190.6 ぐぐったらこのサイトが出てきて、この設定だと サービス情報サイトの名前解決ができなさそうなんだけど http://d.hatena.ne.jp/pekeq/20100803/p1 もう少し補足すると、*.v4flets-east.jpの他に*.fletsも入れてあげた方がいいみたい options server=/v4flets-east.jp/flets/123.107.190.5 options server=/v4flets-east.jp/flets/123.107.190.6 今のところの問題は、フレッツ速度測定(IPv4)で速度測定ができない。 firewallがらみかと思ったけど違うみたいだし、様子を見てみます 追加: pppoe1が、フレッツ情報サイトとして、static-routing追加 set protocols static interface-route 123.107.190.0/24 next-hop-interface pppoe1 distance '1' set protocols static interface-route 220.210.194.0/25 next-hop-interface pppoe1 distance '1' set protocols static interface-route 220.210.198.0/26 next-hop-interface pppoe1 distance '1' >>391 まとめて書かずに、行分けないとダメ options server=/v4flets-east.jp/123.107.190.5 options server=/flets/123.107.190.5 >>392 -S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]] 複数書けるようになってるけど、確かに読みにくいね DNSサーバーのIPアドレスじゃなくてpppoe1のネームサーバーって 指定はできないのかな 今はこうなってて、*.fletsも*.v4flets-east.jpも名前解決はできてる dnsmasq.conf # # autogenerated by vyatta-dns-forwarding.pl on Wed May 6 17:47:12 JST 2015 # log-facility=/var/log/dnsmasq.log interface=eth1 interface=eth2 cache-size=150 server=/v4flets-east.jp/flets/123.107.190.5 server=/v4flets-east.jp/flets/123.107.190.6 resolv.conf nameserver 123.107.190.5 # nameserver added by pppoe1 nameserver 123.107.190.6 # nameserver added by pppoe1 nameserver xxx.xxx.xx.xx # nameserver added by pppoe0 nameserver xxx.xxx.xx.xx # nameserver added by pppoe0 TCPのMSS調整の set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0' 指定ってdestination 指定なしとどう違うの? 一緒。あったほうが分かりいいからかな。 将来 destination address '!192.168.0.0/16' みたいに 除外条件つけたくなるときのヒントにもなるかもだし。 >>395 なるほどそういうことなのか。ありがとう vyosで、pppoe server 作りたいと思ったんですが、機能ないんですね。 git上ではソースはあるようですがパッケージでの提供はないようです。 自分でbuildしないとダメなんですかね? 今の最新ソース(lithium)を、gitから持ってきて make iso したら動いた。 しかしベースが debian squeeze なのね。古すぎるなー そんな事言う奴がなぜVyOSでPPPoEサーバをやろうと思ったのかが疑問 テスト用のpppoeサーバーを立てるのに、楽しようと思ってvyosに当たりつけたのがスタート。 結局rp-pppoeですませたけど、vyosのビルドも気になっていたので、やってみたので報告まで VyOSにpppoe設定をいれて、ルータを作成したのですが一部のサイト(yahooとか色々)が見れなかったりしております。 体感的に7割のサイトが見れて、3割のサイトが見れない感じです。 mtu,mru,mss 関係の部分でVyOSが悪さをしているという記述を見つけて色々と試したのですが未だに見れません。 >>249 のような設定をいれたり 下記URLの設定をいれたりしてみたのですが ttp://mikeda.hatenablog.com/entry/20121217/1355762337 症状が改善されません。 使用しているOSは 最新の安定版: VyOS 1.1.5 (Helium) を使用しているのですが同様の症状が出ている方いらっしゃいませんか? 解決策をご存知の方いらっしゃいましたらアドバイス頂けませんでしょうか? まだ見てるかな? pppoe に、mss いじる設定入れる set policy route mss-clamp rule 10 destination address '0.0.0.0/0' set policy route mss-clamp rule 10 protocol 'tcp' set policy route mss-clamp rule 10 set tcp-mss '1414' set policy route mss-clamp rule 10 tcp flags 'SYN' set interfaces ethernet eth0 pppoe 0 mtu '1454' set interfaces ethernet eth0 pppoe 0 policy route 'mss-clamp' mtu/mssは環境に応じて、微調整してね。 >>368 この人の問題、解決できたのかな? 同じような構成でハマってるので解決策聞きたい。 outsideをローカルアドレス、idとremote-idを設定してみりゃどうね?とテキトーなコトを同じく詰まってるバカが申し上げてみる。 VyOS1.1.5で >http://wiki.vyos-users.jp/%E3%82%88%E3%81%8F%E3%81%82%E3%82%8B%E8%B3%AA%E5%95%8F%28FAQ%29 の通りにリポジトリ設定して apt-get update apt-get upgrade から再起動するとSSHキーが見つからないみたいなエラーが出るんだけどもこれは一体 そもそも何でapt-get upgradeなんてしようと思ったの? vyos 1.05 amd64でなら、無線atherosの最新ドライバ入れたかったり、sambaでファイルサーバーとかしたかったりとかあったんでやったことあるよ。 環境はatom D510だったんでVTなしKVMつかえない実機。 ネットで探した方法で、ほぼ出来ました。 ちなみにvmware fusion上の1.15でもテストを兼ねてやってみたけどapt-get upgradeするとvyosの設定が保存されないとかあり、苦労しそうだったんでさっさと諦めました。 公式に「apt-get upgradeすんな、リスキーでんねん」ってあるんだから、トラブル解消できないならやるなよ。 USBキーボード指してると起動しないね 機種によるんだろうけど まだ生きてるかな? vyosでIPv6ブリッジ(パススルー)をやりたいのですがやり方がわかりません。 ブリッジかけてFWでIPv4フィルタかけてもARPが出てしまいます。 他にいいやり方ありませんか? >>414 firewallがiptablesベースなので難しいと思う.そのうちebtablesベースにするとかvyattaの頃から言われてた気がするけど. 以前IPv4ルーター,IPv6ブリッジをしたかった時はvyatta諦めてseil x86使ったので上手く動く方法あれば知りたい. やっぱりそうかありがとう SEIL/x86は買ってあるからそっちを使うか ローカルIPでISPの振り分けをしたく思っています set nat source rule 10 outbound-interface pppoe0 set nat source rule 10 source address 192.168.0.10/32 set nat source rule 10 translation address masquerade ここで192.168.0.10はpppoe0を使ってネット接続出来ています set nat source rule 20 outbound-interface pppoe1 set nat source rule 20 source address 192.168.0.11/32 set nat source rule 20 translation address masquerade これを付け加えると192.168.0.11はpppoe1を使ってネット接続出来るのですが 192.168.0.10が接続できなくなってしまいます 多分何か根本的な間違いがあると思うのですがどなたか教えていただけないでしょうか まさかとは思うが二つの NAT 設定を一つの interface に適用してるだけなんじゃ。 一つの interface に複数の PPPoE セッションを通す事は可能らしいので、譬えば set interfaces ethernet eth1 address '192.168.0.10/32' set interfaces ethernet eth2 address '192.168.0.11/32' となってるなら出来るはずでは。NAT 設定は IP で指定しているが、 実際は interface 毎に適用されるもの。そして各内部 interface は 通常は複数の機器に繋がるので、通常 NAT+DHCP を設定してサブネットをきる。 /32 だと無意味。そもそもサブネットを別にしているので、 最初から eth1: 192.168.0.0/24, eth2: 192.168.1.0/24 とかにすればいいのに。 同一interface内でのISP振り分けは>>29 みたいなのしかないような root@vyos:~# vi /etc/ssh/sshd_config で修正した設定がリブートしたら消えるんだけどどうしたらいい? UseDNS yes → UseDNS no に変更したいんだけど 編集前の該当行は1行のみで UseDNS yes コピペして編集 #UseDNS yes UseDNS no リブートすると #UseDNS yes UseDNS yes コメントアウトした行は残ってるから何者かがno→yesに書き換えてる感じです VyOSの開発版入れてみたけどcofigに互換性無いのか設定そのまま移行すると動かんな 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 EUDXE4DATF ☆ 現在、衆議員と参議院の両院で、改憲議員が3分の2を超えて おります。総務省の、『憲法改正国民投票法』、でググってみてください。 国会の発議はすでに可能です。日本の、改憲を行いましょう。 平和は勝ち取るものです。お願い致します。☆☆ 僕の知り合いの知り合いができた副業情報ドットコム 関心がある人だけ見てください。 グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 WED5V いちおう1.2.0がリリースされたわけだが盛り上がらないな 有料化が原因かね 日本Vyattaユーザー会活動休止のお知らせ ってのが見えたぞ。 vyos気軽に利用しにくくなったな。 OpenBSDベースだけどGUIとCLI両対応のsecurityrouterというものがあった。 機能的も豊富だし良さそう。 https://securityrouter.org/ まあ1.1.8で困ってないから暫くずっとこのままだな っていうかBSDベースならOPNsenseでいいのでは pfSense/OPNsenseはWEBベースで完結する前提で設計されてる 一応sshでもアクセスできるけどviで直接xmlを書き換えないと永続的な設定は出来ない >>434 >vyos気軽に利用しにくくなったな。 久しぶりに見てきたら、なんかメンドウになってんのね 個人利用って、一人親方の非営利団体だとダメなんかな・・・ この手のディストロが意外と盛り上がらないのは、本気で使う人はメジャーディストロで自前で構築するからかね? NAS用もどれもなんだか微妙な状況だし そもそも適当なLinuxを入れればルータにもF/Wにもなるので わざわざアプライアンスを使う必要がない ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.1 2024/04/28 Walang Kapalit ★ | Donguri System Team 5ちゃんねる