公式サイト
http://www.vyatta.com/
PCルータ特化OSまとめwiki
http://www.esc-j.net/pc-router/index.php?Vyatta
探検
【PCルータ】 Vyatta
公式サイト
http://www.vyatta.com/
PCルータ特化OSまとめwiki
http://www.esc-j.net/pc-router/index.php?Vyatta
乙
Wikiも作ったのか。手伝えないけどガンガ
http://www.vyatta-users.jp/
vbash以外は普通のDebianぽいからalienでRPMにして普通のCentOSにでも
仕込めばいいんでない?設定とかツールのビルドオプションに差が出るので
一部機能・性能に制限あるかも知らんが。
大きなものから小さなものまで統一的に管理できてうれしいかも。
show interfacesコマンド打つと、2セッションともIPは取得できてるみたいなんだけど、NATのmasqueradeで
LAN側からインターネットにアクセスしようとすると、片方しか繋がらん。
881 :login:Penguin :2010/07/15(木) 20:17:25 ID:LTp0krli
>>878
VyattaでPPPoEマルチセッション使ってるよ。
IPによって経由するプロバイダを変えるソースルーティングも
rootでいくつかコマンド打つだけで実現できてる。
この方、いらっしゃいましたらやり方教えていただけませんか?
>>12
書いた張本人だけど、今夜か明日にでもやり方書くよ。
明日朝に二輪の卒検あるから、それ終わってからが濃厚だけどw
ありがとう。
マルチセッションすらうまくいかずにずっと悩んでたので、助かります。
IPnutsスレはpart 8で終了ですか?
虎目教官「虎目流 二輪、つかまつれ!」
IPnuts開発終了に伴い、スレも終了しました。
スレの終盤で、移行するならVyattaがいいのではないかという流れになり、このスレが立ちました。
はやいルータを作る
http://hibari.2ch.net/test/read.cgi/linux/1019046005/
eth0をLAN側、eth1をONU側として書いていく。
1.PPPoEマルチセッションで複数プロバイダに接続
これはただ単にinterfaces ethernet eth1 pppoeエントリを複数作るだけ。
メインのプロバイダを0、サブのプロバイダを1にした場合、設定する内容は同じようなもんだけど
通常出て行く方をメインにするためdefault-routeエントリを0にauto、1をnoneに設定しておく。
この時点で再起動なりして、ifconfigでpppoe0、pppoe1ともに
IPアドレスが取得できているか確認した方がいいかな。
2.ソースルーティングの設定
マスカレードの設定に、ソースルーティングしたいアドレスの範囲を記述する。
たとえば192.168.1.251〜254に設定したい場合、service nat rule 2辺りに
outbound-interface pppoe1、source address 192.168.1.251-192.168.1.254、type masquerade
の3つのエントリを登録しておく。
rule 1の方はoutbound-interface pppoe0、type masqueradeのみで十分だと思う。
3.rootでの作業
たぶんここの作業が肝だと思う。
rootでログインしてifconfigして、pppoe1のinet addrもしくはP-t-Pで
出てくるIPアドレスをコピってくる。そのアドレスをaaa.bbb.ccc.dddとすると
ip rule add from 192.168.1.251 table 1 prio 10000
ip route add table 1 default via aaa.bbb.ccc.ddd
ip rule add from 192.168.1.252 table 2 prio 10001
ip route add table 2 default via aaa.bbb.ccc.ddd
といった感じでtable 4までコマンドを実行して、最後に/etc/init.d/networking restartで
設定を適用する。この辺はシェルスクリプト辺りで書いておくとコマンド1個でできて楽ちん。
あとは適当なマシンでIPを192.168.1.251〜254に設定すれば、サブのプロバイダで
やり取りできるようになっているはず。
うちの環境は以上の作業でソースルーティングできてる、うまくいくか試してみてくれ。
ありがとうございます。できました。
ただ、最後のrootでの作業は、pppoe1を再接続などしてIPアドレスが変わったら
その度にやる必要がありますよね。
単純に送信元IPが○○だったらpppoe1から出す、といったことはVyattaではできないんでしょうかね・・・。
やってみようかと思ったんだけど、単純にpppoe0とpppoe1をload-balancing設定に書くだけだと、commit時になにやらメッセージが出て駄目だったわ。
なにか他に設定が必要なのかなあ・・・
http://tsutomu.lasttom.jp/item/30
ここを参考にすればできそうな感じ
いざとなったら自分でスクリプト書いて
起動時に実行するようにしてやりゃいいんじゃね?
せっかくLinuxなんだし。
数行でできるだろ。
> この辺はシェルスクリプト辺りで書いておくと
と書いてあったw
自動化しないってのは固定IPの人かな。
ちなみに自動化してないのは、半年〜一年に一回しか再起動しないから
完全に自動化する必要性がないっていうのが一番大きいw
昨日豊富だしいいですね
debianでもできるってことはvyattaでもできるんだろうな。
vyattaがlinuxってことを忘れてた。
/etc/ppp/ip-up.d に
#!/bin/sh
if [ "x$PPP_IFACE" = "xpppoe1" ]; then
ip rule add from 192.168.0.7 table 1 prio 10000
ip route add table 1 default via $PPP_REMOTE
fi
/etc/ppp/ip-down.d に
#!/bin/sh
if [ "x$PPP_IFACE" = "xpppoe1" ]; then
ip route del table 1
ip rule del table 1
fi
のようなシェルスクリプトを用意したところ、clearコマンド等で再接続しても自動でソースルーティングできるようになりました。
>>20氏をはじめ、ヒントを下さった方々に感謝いたします。
IPnutsのときはサブのISPの通信が途切れることがあったのだが、Vyattaでは今のところそれがないな。
大きめのファイルダウンロードしてると途中で中断されてたりして困ってたんだわ。
IP電話を設置したいんだけど、IP電話を使うためのルータの要件としてuPnP対応があって
Vyattaだと標準で対応してないっぽいんだよね。
VyattaでUPnPを使えるようにするパッケージを作成した有志がいる
ttp://www.vyatta.org/forum/viewtopic.php?t=4734
31じゃないけど早速導入してみますわ
レス遅くなったけどd、今度の休みにでもためしてみる
動いたー。
サンクス。
Vyatta――クラウド時代の仮想ルータ活用術:導入編
ttp://www.atmarkit.co.jp/fnetwork/tokusyuu/48vyatta01/01.html
あんしんパパだな。
サーバ兼ルータってできるんでしょうか?
そのルータに2個PCをぶら下げる時はNICの数は2個でいいのかな?
こういう言い方はなんだが、大したことやりそうに見えないので、そのLinuxサーバを
そのままルータにすればいいんじゃね?
あとHUBくらい買おうよ。
複数のネットワークを1セグメントに突っ込むのって気持ち悪くない?
仮想化による負荷が高くなるって事なのかな。
Vyattaでhttpd動かすなりと完全に統合しちゃえば改善されたりするのだろうか。
高値なルータなしにパフォーマンス上げたいのでパフォーマンスでないなら本末転倒なんですよね。
Webサーバとくっつけてる自分がいうのもなんですがNICはマザーが許す限り積んで
セグメント分けしてその下にハブなり置くのにロマンを感じます。
分離されるんだっけ?されるのならバーチャルルータになるからVyatta用
仮想化としては最適だと思う。
確かされるけどvethって複数持てたっけ?
VirtualBoxやVmwareServer等のアプリケーションレベルの仮想化だとオーバヘッドが大きいって事ね。
ていうか、Vyattaとか入れないとルータにならないと思ってる?
なんのディストリ入れてるか知らないけどLinuxカーネルに含まれるiptablesって機能を使えば、そのままルータになるよ。
>ていうか、Vyattaとか入れないとルータにならないと思ってる?
>なんのディストリ入れてるか知らないけどLinuxカーネルに含まれるiptablesって機能を使えば、そのままルータになるよ。
大前提っすよこんなの。何言ってんだ?
>>47本人?
>高値なルータなしにパフォーマンス上げたいのでパフォーマンスでないなら本末転倒なんですよね。
パフォーマンスあげたいなら、わざわざVM作るよりホストのiptables使うのが一般的だと思うのだが、
それがわかっていないようなレスに見えたもので。気を悪くしたのならすまんね。
ルーター用のみの用途でスループット向上の為に構築するとしたらマシンスペック
はどの程度のものから快適に使えますか?
キャリアはNTT西光ネクストエクスプレス1Gのホーム、ISPはOCN(固定1IP)とSo-netでそれぞれ
1G対応だけど市販ルーター(マイクロ技研のMR-OPTG5)で、そんなに悪いルーターでは
ないけどルーターのスループットがボトルネックになってるようで速度が遅いから新しくルーター構築しようと
思った。最近のルーターを買えば良いんだろうけどPowerEdge SC440が未使用で眠ってるから
これを使って構築したいと思ったんだけど。
マルチPPPoEは>>13が書いてくれてるので安心だけどマシンルーター化である程度の
高スループットってマシンパワーは結構必要かなと思うんだけど実際は?
FWは全てルーターマシンより後方の各鯖のFWなのでルーター化するマシンはマルチPPPoEと
ルーティングさえしてくれればそれでOKという前提で。
構成は鯖マシン(CentOS)とクライアント(XP)の2台のみです。
早ければ早いほど良い。
死にたい
そして気がついてしまった、Vyattaは32bit非PAEカーネルだという事に...
メモリ3.5GBのswapなしなWEB鯖ってどうよ。
やぱり今のところWeb鯖兼ルータにしたいならVyatta仮想化がベストと思われ
64bit対応はやくしてくれー
sysctlでのもの)だって言ってたから入れ替えちゃえば?
参考に
Vyatta 3500 Series Appliances
Designed for high performance large enterprise and service provider connectivity, security and protection.
Pricing - starting at $4595
Performance:
L3 Throughput - 5-20Gbps - 3,000,000pps
VPN Throughput - 900 Mbps
Max VPN Tunnels - 8000
Vyatta 2500 Series Appliances
Optimized for medium to large enterprise connectivity, security and protection.
Pricing - starting at $2347
Performance:
L3 Throughput - 2 - 4Gbps - up to 1,000,000 pps
VPN Throughput - 500 Mbps
Max VPN Tunnels - 4000
Vyatta 514 Appliances
Ideal for small and branch office routing, firewall, and VPN
Pricing - starting at $797
Performance:
L3 Throughput - 200 Mbps - up to 70,000pps
VPN Throughput - 115 Mbps
Max VPN Tunnels - 500
ちょっとそこまでやるスキルも自信もないなぁ
64bit版が出るまで待つことにするよ
ttp://www.atmarkit.co.jp/fnetwork/tokusyuu/49vyatta02/01.html
PCルータにするのに、そこまでしてVyattaに拘る必要あるの?
CentOSをルータ兼Web鯖にすればいいじゃない。
手軽にチューニングできそう
debianしか触ったことがない
面白そう
といったとこでしょうか
本物のNW機器と同程度の構成を管理する手間が大変だから。
Vyattaならコンフィグ1つ保管しておけばすぐ再現できる。
性能はいまいちといっても、個々のシステム内で使える程度の性能はあるし。
裏側をHW実装にした奴が出てきて、ソフト版は無料だけど性能欲しければ
HW版買ってね、とかなってHWは各社競争しつつCLI/configは共通的な形式になると
嬉しいのでは?
いじっても痛い目に遭うだけだな。
少なくとも仮想環境内だけで試しに構築してみてからやった方が良い。
clear interfaces connection pppoe0
プレミアもんだな
ipnuts41free-b10.iso なら持ってるが、これってうpって問題無いのか?
ありがとう!
はっきりいってワケわかめ
|
|
PCルータ
|
|
ハブ
|
--------
| |
PC1 PC2
こういう環境で、マルチセッションでやろうと思っているのですが、
つまり1本の光回線を2社のプロバイダーと契約して使う、
上記の環境でPC1はプロバイダA、PC2はプロバイダBを使うというのは出来ますでしょうか?
現在の環境はモデムからPCへ繋いでマルチセッションで繋いでいる状態で、
DNSレコードの設定(取得したドメイン割り当て)で済ましています。
つまり、
プロバイダA aa.aaaa.net
プロバイダB bb.aaaa.net
こういう感じで振り分けしてます。
PCルータを噛ませた場合、この辺の設定はどうするんでしょうか?
どうぞよろしくお願いしますm(__)m
PCルータかませても基本的には同じでしょうか?
PCルータ側でどうやってPC1・PC2に回線の割り当てをするのかよく分からないんですよね
今まで通りDNSレコードでの振り分けだけでOKなのかしら
DNSレコードで回線割り当てが既に意味わからんわ。
それ、どういう原理で振り分けができるか教えて欲しい。
上の環境でって事なら2つネットワークを作れば深く考えなくて済むと思う。
ウチは3回線使っていて、10点台、172点台、192点台のネットワーク作ってる。
※別にクラスABを使う必要は無いが気分で。
現在はパソコン一台でマルチセッションにて接続しています。
つまり同じパソコン内でもhttpd.confでヴャーチャルホスト設定をしているので、
プロバイダA aa.aaaa.net ←こっちはPC専用(/home/aa/aaa/)
プロバイダB bb.aaaa.net ←こっちは携帯専用(/home/bb/aaa/)
こんな感じで運用してます。当然コンテンツは違います。
PCルータをつかい、PC台数を増やした場合、どのような処理なのかよく分からないです。
今考えて居るのは、
プロバイダA aa.aaaa.net PC1←こっちはPC専用
プロバイダB bb.aaaa.net PC2←こっちは携帯専用
にしようと思っています。
この場合、どういう動きをするのかが分りません。
aa.aaaa.net
bb.aaaa.net
にアクセスをしたら
モデム
|
|
PCルータ
まではたどり着けますが、PC1、PC2への振り分けをPCルータで設定しないと駄目なんですよね?
そこが分らないのです
なるほどね。
逆に聞きたいんだが、現状のPC1、PC2からインターネットへアクセスする際は
どうやって、ISPを明示して指定してるのよ?
現状はPC1台です
モデム
|
PCです
意味わからん。PC1とPC2で振り分けしてるって事はPC2台だよね?
>>87
という事は、そもそもWebのアクセスはインターネット側からは別々のISPから入ってくるけど、
戻りのパケットはデフォルトルートに指定したISPへ出てるんじゃない?
>DNSレコードの設定(取得したドメイン割り当て)で済ましています。
>つまり、
>プロバイダA aa.aaaa.net
>プロバイダB bb.aaaa.net
>こういう感じで振り分けしてます。
>PCルータをつかい、PC台数を増やした場合、どのような処理なのかよく分からないです。
>今考えて居るのは、
>プロバイダA aa.aaaa.net PC1←こっちはPC専用
>プロバイダB bb.aaaa.net PC2←こっちは携帯専用
>にしようと思っています。
そうなんですか!?
http://www.daifukuya.com/photoxp/archives/pppoe-multi-session.html#
http://d.hatena.ne.jp/Victoreem/20100303/1267629822
この辺りをささっと設定しただけなので詳しいことは分りませんが、
そういわれてみればそうかも知れません
どうなんでしょうか?
http://aa.aaaa.net/1.jpg
http://bb.aaaa.net/1.jpg
というURLでの返しですから戻りのパケットと言ってもやはり
DNSレコードで指定しているルール、
>プロバイダA aa.aaaa.net
>プロバイダB bb.aaaa.net
に乗っ取って返してくれるんじゃないでしょうか。
この辺のうまいやりくりが分らないのでDNSレコードでやっていますが、
PC側の設定でどうにか出来る物なのでしょうか?
こっちはさっぱり理解ができないんだな。
現状の環境にルータが挟まるだけという理解だったから、ルーティング的には元と
同じでいいんじゃね?と思ったんだが、どうやら違うのね。
戻りのパケットについてはtcpdumpでもやって自分で調べてね。1分もかからんだろ。
ちなみに元の質問の回答としては>>83で終わってる。なんのひねりも無い分、特別な
設定も無いし、問題も起きないでしょ。
あとPCルータって言ってるけど、PCルータって特に関係ないよね?
業務用/家庭用ルータなら設定できてるってわけじゃないよね。
マザーボードがUSBブートに対応してるやつじゃないとダメだろうけど。
これらをローカル側からしか触れないようにしたいんですけど、出来ますか?
宛先port23と443をrejectするルールをpppoeに適用したんですけど、駄目でした;;
なるほど、NATとは目から鱗。
>>95は自己解決しました。
というか、元々正しく設定されていました。。。
単純に、ローカルから自己グローバルIP+Portを指定して繋がるかっていうテストが不適切でした。
vyatta ver6.1でOSPF環境構築してるんですが
ネットワークを2つ登録して別々のエリアに所属させてます
片方のインターフェイスからはHelloPACKETが出てるんですが
もう片方からは検知できず
マニュアル見ながらHelloインターバルを静的に設定したんですが状況はかわらずで
す
強制的にHello出す方法ってありますか?
それとも他に原因ありそうですか?
スレ汚しすいません
パケットが外へ流れて行きません
set protocols static interface-route 0.0.0.0/0 next-hop-interface pppoe0
とするとvyattaからのpingやnslookupなどは通るようになりますが安定しません。
何かヒントを頂けないでしょうか
環境はNTT東のBフレッツ ニューファミリー
ISPはBB exciteになります。
NICやLANケーブルチェックしてみる。メモリーや埃を確認してちょ。
ありがとうございます
結論としてはinstall-imageでインストールしていたのが原因でした。
install-systemで再インストールしたところ何の問題もなる稼働してしまいました…
アカウント発行してもらった時のサービスの奴
正規版のデータもないし・・・
今後はビヤッタに移るかVineでルータ作るしかないな
へぇー
http://journal.mycom.co.jp/articles/2007/05/24/bsdcan2/index.html
スレチだけどこれはこれで興味でるなぁ
つーか>>1のwikiにも紹介されているんだね
http://vyatta.org/downloads
ttp://www.vyatta.org/forum/viewtopic.php?t=5934
Vyatta version 6.2 is an incremental update that includes:
- Image Cloning
- Improved Configuration Management
- IPS Enhancements
- OpenVPN Enhancements
- IPv6 DNS Resolver
- HTTPS Filtering for VyattaGuard
- Branch Maintenance and Rebase to Debian Squeeze
Bind入れるくらいせんとメモリ持て余すなあ。
試してみよう
64bit待ちかね
とりあえず、report1
CPU athlonxp 2500+
M./B NF7-M nforce2
MEM infineon DDR400 256MB
HDD hitachi deskstar HDS728080PLAT20 ATA/IED
NIC 玄人思考 GbE-PCI 2枚
NIC nforce2 onbord
$install-system
〜前略〜
This will destroy all data on /dev/sda.
Continue? (Yes/No)[No]:Yes
>enter
How big of a root partitioon should I create? (1000MB - 82000MB)[82000MB] :
>enter
parted: invalid token: primary
Error creating primary partition on sda.
Please see /tmp/install-2865.log for more details.
Exiting...
$cat /tmp/install-2865.log
turning off swaps...
Creating root partition on /dec/sda.
parted /dev/sda mkpart primary 0 82000
Error: Expecting a file sysytem type.
$
bind9入れちゃった(´;ω;`)ブワッ
authorized_keys見たら勝手に書き込むなボケぇ書いてあるんだけど...
ここ見てUSBメモリ化しようとしたけどFaildになる
(Fedora LiveUSB Creatorのバージョンは最新の3.10)
>vyatta-livecd_VC6.2-2011.02.09_2011-02-09_i386.iso selected
>Verifying filesystem...
>Extracting live image to USB device...
>Wrote to device at 5 MB/sec
>Creating 2047MB persistent overlay
>
>LiveUSB creation failed!
できてる人いる?
コケる事があった。
サイズは少し小さくして決め打ちしたらおkだったけど
(´;ω;`)ヴィヤッタッ
ciscoでいうclear ip process xx
LSDBの更新が上手く反映されない時とかによく使うんだけど
Debianバージョンを置き換える方法ないのかな?
質問です。エロイ人お願いします。
NICを3枚差しでeth0からeth2とし、eth0とeth2をbr10としてブリッジ接続しました。
基本設定で、br10に192.168.1.1/24のipアドレスを振って、とりあえず、eth0、eth2両方から外に出れるのは確認しました。
また、ipアドレスを指定すれば、eth2からeth0へ飛ぶことも確認しました。
しかし、Windowsのファイル共有が出来ない。どうすればいい?
駄目だろ。アホか。
有名なのはLinux系とBSD系があるからLinux板は無理なんだよね。
自宅サーバ板?
ipnutsスレってdat落ちしたの?
取り敢えずウザイ。
OSやディストリ問わず、全般的な話題だったら、一応、通信技術板には、
[NIC×2]PCをルーター代わりに使いたい。[自宅ルータ]
http://hibari.2ch.net/test/read.cgi/network/1017813302/
っていうスレはあるよ。
教えてクンの投げっぱなしの質問ばかりだけど・・・。
ipnutsスレはいつのまにか落ちてたね。
ちなみに俺>>130じゃないよ。現在ipnutsも使ってなければ戻る予定も無い。
pfsense & m0n0wallユーザだけど、Vyattaもこれから使いたいと思ってここチェックしてるだけ。
>>135
チェックしてみるよ。thx!
Linux 板なら一応↓がそういうスレになってる。
はやいルータを作る
http://hibari.2ch.net/test/read.cgi/linux/1019046005/
レスありがとん
一応そこチェックしてるわ。738は俺の書き込みだったりして。
PCを変えたらNTTまで30Mbpsから80Mbpsになった。しかし、ISPが8Mbpsだったorz
複数のグローバルIPをPPPoEで使いたいんです
店舗内で、無料で無線LANを使ってもらえるようにしたいと考えています。
その際に、まず最初に接続した時に、免責事項&承諾ボタン+簡単な店舗情報が書かれたhtmlを自動で開くようにしたいのですが。
スレチなレスなんだけど、Endian UTMのホットスポット機能はどうよ?
ttp://www.plum-systems.co.jp/endian/
ここのスライドの後半部分
Captive portalでぐぐってみるといろいろ見つかると思う
あんまり日本語の解説が無いけど、Untangleやm0n0wallあたりでの運用事例がでてくるよ
Vyattaでのやり方はよくわからないんですまん
>148
ありがとうございます。
Vyattaにこだわっていたわけではないので、いろんな方法を検討してみようとお思います。
Endian UTMは一番安いタイプでも145,000円しますが分かりやすくてよさげですね。
こういうの買って来ちゃったほうが早いのでは。
バッファローの最新の無線LANルータだと、カフェにあるようなweb認証ができるみたい。
450Mbps対応とゲストポートを新たに追加、バッファローの全部入りルーター「WZR-HP-G450H」
http://internet.watch.impress.co.jp/docs/column/shimizu/20110621_454707.html
ttp://www.vyatta.org/forum/viewtopic.php?t=6831
無料版からWebGUIが削除された点だけは要注意
Seilにも最近興味あるんだけど使ってる人って居る?
スレチと言われそうだけど関連スレ見当たらなくて。
Vyattaの中の人は
「旧版のWebGUIは使うなり改造するなり好きにしていいよ」
って言ってるから、旧版使ってみれば?
ttp://packages.vyatta.com/vyatta/pool/main/vyatta-webgui_0.2.13-55+larkspur9_i386.deb
まだ実験的だけどね
1コアだと時々通信が止まる。@hyper-v
面白いぞー
ここPCルーターのスレでいいんですよね?って亀レスすぎw
Endian UTMのスレは無いの?
無料GUIで開発中ってこれだけなんでしょ。
教務用ルーター買う金無いから、Endianにチャレンジしてみるぜ。
coresoloノートとスイッチでも何とかなるよね。
100000アクセス/日程度で、個人ユースのルーターは余裕で死んだぜ。
10回以上、落ちては再起動をしてたら、ルーター部分が完全に死んだがな。
しようとしてるんだけど
vpn l2tp remote-access outside-nexthop
は何を指定したらいいんでしょうか
▼このような場合です
固定4IP 111.222.111.222./30
vyatta global ip 111.222.111.223
vpn l2tp remote-access outside-address 111.222.111.223
ありがとう
ifconfig で出てきた pppoe0 の P-t-P:123.123.123.123
を設定してみたけどダメでした
pacekt from xxx.xxx.xxx.xxx:50010: initial Main Mode message received on 111.222.111.223:500
but no connection has been authorized with policy=PKS
ちなみに
技術評論社の「vyatta入門」を参考に設定してます
Gnu Partedでパーティションを切っても、一つのパーティションに全てインストールしてしまう。
PCルータやってみようと思ってるんだけど
どれぐらいのPCでどれぐらいの性能が出るの?
3万円くらいのPCで十分なんだろうか?
鼻毛&Intel NIC増設くらいでとりあえずは必要十分
どの程度の性能を求めてるのかにもよるけれど
ルータに5本LANケーブルささってるんだけど
PCルータで5ポートってもしかして高くつく?
軽く調べてみたら3万円以上するんだが、1ポートLANカードを大量につけるにしても
そんなにPCIスロットついてるPCは高そうだし
もしかしてポート数を必要とする場合PCルータのコスパはイマイチ?
今現在のルータの世界は400MHzとか32MBとかでハイスペックモデルになるレベル。
最適化はしてないにしても、PCのスペックから考えれば、数年前のでも十分。
2万以下でハイスペックモデルのルータが買える時代なのに
PCルータを作る時点で色々とお察しください
大量ポートを用意しようとするとやはりルータを買うほうが良さそうだな
ある程度ポートはHUB使った方がいいと思うよ。
「ルータに5本LANケーブル」って
全部別々のIPアドレス持ってるポートなの?
単なる内蔵スイッチのポートではなく?
Ciscoとかのデカいの使ってるんだろか。
たかだか「WAN+自宅サーバ2台+PC2台」程度のホスト数だったら
ルータには2ポートで十分だと思うんだが。
どうしても必要ならVLAN対応のスイッチと組み合わせるとか。
BBルータとしてPC一台割り当てるのはオーバースペックすぐる
どうせCPUもメモリもリソース余りまくるんだったらEndianFirewallあたりの
UTMディストリにすればいい。PPPoE接続あるから。
スレ違いになるからUTMスレへ誘導したいが、あっちはここ以上に過疎ってるしなぁ。
ipnuts ってPPPoEパススルー対応?
普通そういうのはVLAN対応スイッチとルータでの組み合わせ。
PC3台、無線AP経由でスマホ1台、その他ネットワーク対応AV機器多数って
感じだがルータは2ポートで十分。
(今はPCルータではなく中古のYamahaルータだが3ポート中2つしか使ってない)
そんなにネットワーク細分化しても意味ないだろう。
家庭ユーザが単に「業務用レベルの性能」が欲しいならYamahaの中古(業務用)で十分だと思う。
つい先日まで現行機種だったRTX1100でも1万くらいで買えるし、RTX1000なら2000円以下。
もちろん設定にはそれなりの知識がいるけど。
PCルータが純粋に優利になるのは結構限定的な状況だけだと思う。
ここの使ってる人たちも半分趣味の世界でしょ。
環境は、ESXi5+6.3(64bit)です。
何方か解決方法を教えて下さい(´;ω;`)ブワッ
多分誰にも答えられない
DNSフォワーディングとか、やった設定を書きだすくらいしないと
ipsecをnat-traversalに設定してl2tpでiphoneから接続しようとしているのですがローカル接続だとつながるのに
インターネットからだとINVALID_ID_INFORMATIONとエラーを出します。
iphoneの方はsoftbank 3Gでもiijmio 高速モバイル/D(光ポータブル)でもだめで
サーバー側のルータのopt100e(NTT-E、Bフレッツ)の設定も見たのですがUDP500,UDP4500,ESPはサーバーのプライベートアドレスにIPマスカレードで変換してあります。
何を見落としているかご指導お願いしますorz
[36] yyy.yyy.yyy.yyy:49106 #25: responding to Main Mode from unknown peer yyy.yyy.yyy.yyy:49106
[36] yyy.yyy.yyy.yyy:49106 #25: NAT-Traversal: Result using RFC 3947: both are NATed
[36] yyy.yyy.yyy.yyy:49106 #25: ignoring informational payload, type IPSEC_INITIAL_CONTACT
[36] yyy.yyy.yyy.yyy:49106 #25: Peer ID is ID_IPV4_ADDR: '192.168.11.2'
[37] yyy.yyy.yyy.yyy:49106 #25: deleting connection "remote-access-mac-zzz" instance with peer yyy.yyy.yyy.yyy {isakmp=#0/ipsec=#0}
[37] yyy.yyy.yyy.yyy:49050 #25: sent MR3, ISAKMP SA established
[37] yyy.yyy.yyy.yyy:49050 #25: cannot respond to IPsec SA request because no connection is known for xxx.xxx.xxx.xxx/32===192.168.10.15:4500[192.168.10.15]:17/1701...yyy.yyy.yyy.yyy:49050[192.168.11.2]:17/%any===192.168.11.2/32
[37] yyy.yyy.yyy.yyy:49050 #25: sending encrypted notification INVALID_ID_INFORMATION to yyy.yyy.yyy.yyy:49050
使ってみたいなら、このスレッドのなかのリンクを参照。
現時点でのcoreのISOイメージをbuildしたものをおいてくれてる人が
いるから使ってみるといいかも。
ttp://www.vyatta.org/forum/viewtopic.php?t=7912
NICはIntelの82559を挿す予定
同じような事象でなやんでます。
Vyattaが家庭用ルータのNAT下にいた状態で
VPNをはることはできないのでしょうか?
iPhoneからのL2TP+IPSecは成功した事があるので、問題無いと思います。
ただ、vyattaでどう設定するのかは判らない。。。私はUbuntuを使いました。
ガキがはしゃいで諌められてたとか?
ttp://www.vyatta.org/downloads
現在鼻毛サーバーとLANカード(Intel Gigabit ET2 Quad Port Server Adapter)で
ルーターを作成しました。
ttps://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=1190
を参考にしながら作成しました。
LANカード増設分をeth1〜eth4をブリッジ設定しています。
現在の状況
LAN環境内でインターネット接続可能。
外部からグローバルIPアドレスでのサイト接続(サーバー公開)可能。
LAN環境内からプライベートアドレスでのサイト接続可能。
問題点
LAN環境内からグローバルIPアドレスでのサイト接続が不可。
LAN環境内からグローバルIPアドレスでのサイト接続を可能にする事はできるのでしょうか?
詳しい方、ご教授ください。お願い致します。
持ってるって思っていいの?
出来るんじゃないかと思うけど、NATがちょっと面倒な事になる予感。
とりあえずサーバかvyattaでパケットキャプチャしてみては。
ありがちなパターンとしては、行きか戻りパケットの
宛先NAT、送信元NATが上手く行ってないんじゃなかろうか。
Vyatta使ってないから何も言えなくてすまん
「サイト接続」の意味を明らかにした方がいいんじゃ
>>201の意味でいいのかな?
>>200
グローバルとプライベートの両方のIPを持っております。
>>201
今までヤマハRTX1200を使用しており
ヘアピンNATに関しましては初めて知りました。
ヘアピンNATの設定が可能か調べてみます。
>>202
DNS設定はしておりませんでした。
現在、この問題が解決出来ていない為、独自ドメインを割り当てていません。
>>203
現在はヘアピンNAT状態です。
参考になれば。
>>205
有難う御座います。参考にさせて頂きました。
A.B.C.1と192.168.100.1をNAT設定
rule 1 {
destination {
address AA.BB.CC.1/32
}
inbound-interface pppoe0
inside-address {
address 192.168.100.1/32
}
protocol tcp
type destination
}
destination {
address AA.BB.CC.1/32
}
inbound-interface br0
inside-address {
address 192.168.100.1/32
}
protocol tcp
type destination
}
destination {
address 192.168.100.1/32
}
inside-address {
address AA.BB.CC.1/32
}
outbound-interface pppoe0
protocol tcp
type masquerade
}
LAN環境内からAA.BB.CC.1でサイト接続は出来るのですが全く自信がありません。
間違いがあれば教えて下さい。宜しくお願いします。
「サイト接続」という妙な用語を使うのはやめた方がいいんじゃないか?
質問するなら相手に確実に伝わる一般的な言葉を使いなよ
「一般的な言葉」が分からないならまずそれを調べるとこから始めるべき
質問するための情報集めているうちに自己解決することもよくある
>>209
>>210
手厳しい返答有難う御座います。
Webサーバにアクセス、パケットが通るみたいな言葉が正解ですか?
ずぶの素人ですみません><
もう少し情報集めてみます。
もしかして >>199 = >>170なのか?
レンタルルータだと180出るんだけどな・・・このスペックでも不足なんだろうか?
もちろんNICは2枚ともGbEです。
今のパソのスペックいくつだと思ってる?4GHzに16GBとかが普通なんだが?
CPU負荷見れば不足かどうか分かるだろ
CeleronはCPUキャッシュ容量が小さいからメモリの帯域が開かないので
速度はでない。まずメモリのベンチマークの差を理解したほうがいい。
恐ろしく違うから。DDR3で1600MHzなメモリで3chか4chで駆動して
から出直せ。L3キャッシュ容量は最低でも6MByteな。
河童セレの700MHzにPC100の256MBでも実測300Mbps出てるぞ?
なんか余計なもん動かしてんじゃないの?
>>215-220
なんか伸びてると思ったら変なの涌いてんのかw
Xeon E3-1240 3.30GHz 上の KVM(qemu-kvm-0.12.1.2-2.209) 1CPU, 512M
SNATかけてiperf計測で900Mbps↑でてるよ。
2.7Ghzの2コア,メモリ4GB程度のPCであれば問題無く凌駕すると考えてよろしいでしょうか?
自由度とパワーだけなら楽に勝てるが、
耐久性やネットワークカードの値段、増設、メンテナンスも考えるとびみょー 良く考えれ。
内では仮想化してCelelon530/8Gの仮想マシン割り当てはCPU1、メモリ1Gで問題なく動いている。
今使っている安物のルーターのNATセッションが2000と不足気味なのです
3万円台の専用品だとNATセッションが16000になるのですが、ちょっと高くて二の足を踏んでいる時にVyattaの存在を知りまして
もし手持ちのマシンをルーター化できればNICの追加費用だけ済むのかなと思ったのですが
とりあえず試してみようと思います ありがとうございました
hyper-vに対応した(new!)
まだ6.3のままだしなー
vyattaって(ciscoの言うところの)VRFって出来ますか。
ESXiなどハイパーバイザの元で複数バラで動かす、になるのでは。
VRFへのfeature enhancement requests は少人数しかいないので、将来も見込み薄かと。
6.4→6.6にしたら、VRRPが上がってこなくなった。
クリーンインストールしなおしても同じ。
だけど、pppoe0 関連の config 行を消してリブートすると VRRP は上がってくる。
その状態で pppoe0 を入れ直すと、pppoe0 も上がって正常動作に。
セーブ後リブートすると、元の駄目状態に戻る。
気持ち悪いがこのまま使ってみる。
UPNP用パッケージは以前と同じソース、リビルドだけで問題なく動いた。
ttp://www.vyatta.org/node/24942#comment-24411
だとどう?
これだったらport80しか有効にならないような気がする。
dd-wrtみたいに全ポートに対してヘヤピンNAT出来ないのかな?
でNATすればいいよ。めんどうだけど。
WANが動的IP(pppoe)でも出来るんかな?
できるよ。ソースは俺
MSSの問題と推定、PBR使うことで解消できた。
けど、よくみかける設定値 (=MTU-40) は、今のクライアントには大きすぎるよねという話。
TCP option が長くつくようになっているから。
linux カーネル3.8.0機だと、TCP SYN時には MSS,SACK,TS,(NOP),WS、で20バイトもある。
実データ時は12バイトだったけど20のままで考える。
PPPoE 側 MTU 値 = 1454 として、
1454-20(IPヘッダ長)-20(すっぴんTCPヘッダ長)-20(オプション分) = 1384
えーいさらに余裕もたせて 1360 位でどうよ。で
set policy route PPPOE-OUT rule 10 destination address '0.0.0.0/0'
set policy route PPPOE-OUT rule 10 protocol 'tcp'
set policy route PPPOE-OUT rule 10 tcp flags 'SYN,!ACK,!FIN,!RST'
set policy route PPPOE-OUT rule 10 set tcp-mss '1360'
set interfaces ethernet eth0 policy route 'PPPOE-OUT'
set interfaces ethernet eth2 policy route 'PPPOE-OUT'
set interfaces ethernet eth3 policy route 'PPPOE-OUT'
set interfaces ethernet eth4 policy route 'PPPOE-OUT'
こんな感じかなと様子見中。eth1はpppoe0用。
1394
MTU超過するのは自ルータの1ホップ手前 (PPPoEサーバ)だから、
自ルータで ICMP をどうって、送れなくない?
このPPPoE入れてるとVRRP上がってこなくなるのうちもなんだけど、他に同じ症状の人はいないのかな。
6.5, 6.6両方とも駄目だった。
うちでは/config/scripts/vyatta-postconfig-bootup.scriptに次の2行を入れて回避してるんだけど。。。
test -e /etc/keepalived/keepalived.conf || wc -l /etc/keepalived/keepalived.conf | grep -q '^0' && cp -p /config/scripts/keepalived.conf /etc/keepalived/keepalived.conf
ps -efl | grep keepalived | grep -vq grep || /usr/sbin/keepalived --snmp --vrrp --log-facility 7 --log-detail --dump-conf --use-file /etc/keepalived/keepalived.conf --vyatta-workaround
※ keepalived.confは/config/scripts/にコピーしてある。
もっといい対応はないかなぁ。
config 上では PPPoE 用口を set int eth eth1 disable にしておく。
ブート時に実行される /config/scripts/vyatta-postconfig-bootup.script で
#!/bin/bash
shopt -s expand_aliases
. /etc/bash_completion.d/vyatta-op
ip link set dev eth1 up
connect interface pppoe0
としてみた。
vrrp の run-transition-scripts 時の方がいいかもしれない。
サンクス!参考になるわ。
eth1をDisableにしなきゃならないのが引っかかったけど、
そっちの方が綺麗にまとまってると思う。
BACKUPでPPPoE動かしたくないことを考えるとrun-transition-scriptsの方が良さげだね。
conf
set i e eth1 vr v 1 ru m up_pppoe0.sh
set i e eth1 vr v 1 ru b down_pppoe0.sh
up_pppoe0.sh
>>254のスクリプト
down_pppoe0.sh
disconnect interface pppoe0
ip link set eth1 down
ってな感じに設定しておけばPPPoEの切り替わりまでバッチリかな。
特に根拠もない予想だけど、C2D乗せて512MBくらいメモリ積んでおけば
同時接続数が糞多くない限りどんなに性能上げてもほとんど変わらないんじゃないかと思うの。
実際の数値は知らん。
ってな感じでばっちりでした。
次は、VPN着信がうまくいっていないのをどうするか思案中です。
PPPoE確立後にrestart vpnだけでは済まず、
delete vpn ipsec ipsec-interfaces interface pppoe0
set vpn ipsec ipsec-interfaces interface lo (←適当なI/F)
でcommit、逆に戻してcommit、ぐらいの気付で回復しています。
sleep 30 ←適当
connect interface pppoe0
sleep 10 ←適当
restart vpn
service xl2tpd stop ←restartだとうまくいかない
service xl2tpd start
で、両系コールドブート、あるいはVRRP切り替わり後でも、
クライアントからVPN切断/接続すればつながるようにはなりました。
助かった。Twitterのアイコンがほぼ出てこなくてさ。
調べまくった結果、
http://www.isdn-info.co.jp/next/faq_04.html
>MTUを1454B以下(MSSを1414B以下)に設定していただく必要があります。
で行ける。
プロバイダーの問題なのかもしれないが、ネクストマンションハイスピードで140Mbpsとか出る。
こういう風に全インターフェースで同じ設定を書くのが嫌だったんで、iptables見てみたら
「VYATTA_POST_FW_FWD_HOOK」っていういい感じのChainがあるんだけど、
このChainをconfigから設定できる?
/config/scripts/vyatta-postconfig-bootup.scriptに、
/sbin/iptables -F VYATTA_POST_FW_FWD_HOOK
/sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
/sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -j RETURN
って書いたらいい感じに動いてるけど、なんだかなぁ。。。
直接関係ないんですが、netflow を late で仕掛けたとき、そのチェーンに組み込まれます。
/opt/vyatta/sbin/vyatta-netflow.pl を見てみてください。
iptables でモリモリ組んでまする。
bootup 時に自分用 HOOK を追加してそっちで加工するとかがいいかも。ただの思いつきです。
ただ、流儀が変わってしまったので、こういうものだと割り切ってもいいんじゃないでしょうか。
6.2 頃の書き方では、出口インタフェースでMSS変えれたようなんですが。
ttp://itls-memo.blogspot.jp/2011/05/tcp-mss-adjustment-on-vyatta-62.html
vyattaのCPU使用率が高い。700Mbpsで100%。特にksoftirqdに食われる。
FWかけてるにしても、以前はこんなことなかった、と見直し。
両端ホストのsysctl.confからnet.inet.tcp.delayed_ack=0 を外したら回復、800Mで25%。
ACKだけショートパケットの大量襲来がつらかったようです。
仮想側(rsyncサーバ寄り)NICで観測されるパケット長は600バイト→4KBに上昇、
1GB転送時の送受パケット総数は 1/4 に減少。スループット変化なし。
vyattaのCPU使用率は25%→3%に改善されました。
両端ホストはMTU1500でTSO有。vyattaとvSwitchはMTU9000です。
08:44:27.013353 IP 192.168.x.x.873 > 192.168.y.y.y: Flags [.], seq 88397:123149, ack 117, win 57, options [nop,nop,TS val 21747608 ecr 1610622], length 34752
MTUよりはるかに大きい。
TSO有のせいというか効果なのだと思いますが
vyatta上でのtcpdumpではなく物理NIC出力後にキャプチャしないと、何だか理解できないですね。
にしたところ、tcpdumpで本来の長さのパケットが見えるようになりました。
OpenSolarisと同じ構図か・・・。
のスクリプトって6.6x64 では動作しないっぽい
空いていたノーパソにVyOS突っ込んでみた。
本当はCardBusのLANアダプタ増設して有線のデュアルホームにしたかったんだけど、軽くていいね。
ファイアウォールとするのにdhcpやdnsやiptablesを設定しようとしたんだが、
それをこの独特のコマンドラインでどのように操作すれば良いのかわからず戸惑った。
なんか革靴の上から水虫を掻く感じでじれったかったけど、これはこれでアリだろうな。
まだファイアウォールというより単にアドレス変換してるだけだけど、
逝ってしまったときの緊急用の代替機としてはこれで十分。
インターネット側のインタフェースにするつもりだったので、
GbEなんて買うだけ無駄と割りきって、100BaseT on USB2.0の枯れたやつを選びました。
牛のLUA3-U2-ATXですが、目論見通りVyOSが一発で認識。どノーマルのカーネルでOKでした。
適当にルールを書いて、今は一応、ファイアウォールしてくれてます。
GRUB Loading
Welcom to GRUB!
の画面のまま固まって起動できない。
LANが認識できないのかと思って内臓LANをオフにしても駄目。
かれこれ10日悩んでます。
HDDをフォーマットしなおしてインストールしても変わらず・・・
同じ症状になった方居ますか?
i386のLiveCDでも起動しないのか?
失礼しました。バージョンは、VC6.6R1_i386になります。
LiveCDから起動して、install sysytemコマンドを打って
Setteing uo grub:ok Done!まで無事に進みます。
その後にrebootをしてCDを抜いて起動するとWelcom to GRUB!で止まってしまいます。
同じやり方でEsxiの仮想サーバにインストールしたところ、正常に起動できました。
やはりUEFIが怪しいですよね。
AtomD510マザーにHDDを繋ぐとVyattaが起動するので、インストールは正常にできている様子です。
c60m1-iのBIOS互換モードでインストールし直しても症状は変わらずでした。
c60m1-iにWindows8を入れてみた所、問題なく使用できるので壊れてはいなさそうです。
UEFIのH77+i7PCをバラして、それにVyattaをインストールしてみようと思います。
Athlon5350+AM1で動作実績があれば、即ポチっちゃうんですけどね・・・
BIOSの起動オプションで UEFIなDVDではなくLegacyなDVDを優先するようにしないと
HDDから起動できませんでした。UEFIなDVDから起動するとDebianはUEFIを使って起動するように
インストールされてしまうらしいです。
ご参考までに。
ありがとうございます。
・DVDドライブ(非UEFI)を起動順序1番にしてインストール NG
・SATA1にDVD、SATA2にHDDを繋いででインストール NG
・BIOSを最新にしてインストール NG
という結果でした。
手詰まりなので、Asusマザー以外のシステムで試したいと思います。
引き続きアドバイス頂けたら助かります。
長々と失礼しました。
HDDが認識できてないのか、GRUBのいるパーティションが認識できてないのか分かるように作っといてくれるといいのにな
Welcomって書いてあるのはtypoだよね
pukiwikiが使えない状態になったので、データ抽出して他のwikiに変えました
また荒らされると、たまったものじゃないので編集制限かけます
アカウント
WAN
パス
lan
無事に起動しました。
アドバイスを下さった方々ありがとうございました。
c60m1-iは諦めて、Athron5350で構築する事にします。
乙カレー
おれは最初vyattaを見つけて体験してみたあと、
最終的にはVyOSで我が家のファイアウォールを立て直した。
vyattaのエキスパートじゃないから、もしかしたら大きな違いを見逃してるかも知れんが、
ググって見つけた情報はほとんどそのまま使えるし、別にこれで不便は感じてない。
http://vyos.net/wiki/1.0.0/release_notes#1.0.3
次期リリースHeliumは今夏予定
そもそもbridge自体にVRRPできないの?
仮想ルータ用の MAC アドレス宛てのパケットの経路は引いてやったのか?
あとプロトコル112だっけか?
コマンドシンタックスとしてサポートされていないってことじゃ?
ちょっとハックすれば動くっぽいけど
http://community.ubnt.com/t5/EdgeMAX-Feature-Requests/Add-VRRP-support-to-bridge-interfaces/idi-p/785548
ありがとうございます。
定義ファイルをコピーしたらCLI上で設定可能になりました。
VyOSに踏み出せずにいた。
が。vyatta.orgも3月からつながらなくなったままのようだし、進むか。
早速USBからVyOSを起動して取り急ぎddでダンプしたら、11セクタほど読めなくなってた。
母艦に持って行ってe2fsckかけたら運良く復旧できたので、それでパーティション切り直した。
60GBの頭4GBを使ってただけなので、そこを飛ばして切り直して注ぎ込んだら直った。
configをバックアップしてなかったので、もしファイルシステムを復旧できていなかったらと思うとゾッとする。
教訓: configは必ずバックアップをとって、安全な場所に保管しておきましょう。
それさえあれば新しいHDDを買ってきて、新規インスコしたあと元に戻せるので。
絶対だよ! 今すぐやれ! このスレ読んでる場合じゃないぞ! 警告したからな!
この部分だけGUIのフロントエンドを使って、ブラウザで管理する、みたいな使い方って出来るかな?
ファイアウォールに余計なものを入れれば入れるほど脆弱性も増えちゃうわけだし。
折角フットプリントの小さなVyattaやVyOSなのになぜわざわざ重くしたいのかわからんし、
ブラウザでチョチョイ♪と使いたいなら無理してこんな使いにくい鳥使う必要ないし。
「ブラウザで」って時点でhttpは穴を空けとかなくちゃいけないのに、
そのiptablesをそのブラウザで「チョチョイ♪」と塞いじゃったらアウトじゃん...とか。
それにNATさえできればファイアウォールになるわけじゃないし...。
おれにはなぜこの鳥でそんなことをしたいと思うのか、その理由がわからんのだが。
$ git clone http://git.vyatta.com/build-iso.git
そのうち公開されなくなるんだろうな。
外側のインタフェースに使ってるUSB有線LANアダプタが立ち上がらなくなってしまった。
調べるにもネットに繋がらないとはじまらないので、ひとまず1.0.3で立ち上げ直した。
1.0.2→1.0.3のときはこんなことなかったのに...。なんでだろ。
でもUSB有線LANの方のインタフェースのデバイス名がなぜか変わっちゃった。
そのせいかどうかわからんが、アドレス変換がうまく働いていない。
ちゃんとデバイス名を置換してloadし直したんだけどなぁ...。
1.0.4にアップグレードしたいやつは、まずLive-CDなどで起動してみて、
すべてのインタフェースが同じデバイス名で認識されるかどうかを確認してからの方がいいかも。
原因を辿って行くと、カーネルの起動時オプションにconsole=ttyS0しかなくて、
console=tty0がないのがいけませんでした。
シリアルポートはないので、console=tty0もないと起動時には何も表示されず、
いきなりログインプロンプトがでる状態でした。
どういうわけかこの状態だとinitがprocpsを起動してくれないようです。
procpsが起動されないので、/etc/sysctl.confに書いてあるip_forward=1が反映されませんでした。
もしかしたらカーネルモジュールが読み込まれなかったのもこのせいかも知れません。
なぜconsole=tty0がなかったのかは不明ですが、とりあえず1.0.4をデフォルトに戻しました。
前は非公式パッチで実現してたんだっけ?
今ならまだVyattaからフォークして日が浅いから
Vyattaでのやり方はそのままVyOSでもできる可能性は高いんじゃないかな。
githubから引っ張ってきたソースからdeb作るんでしょ?
依存パッケージさえあればその.debそのまんま使えそうな気がするけど...。(無責任モード)
http://blog.vyos.net/post/68885805772/does-vyos-have-upnp-support-i-remember-there-was-an
EdgeOSのtar玉拾ってきてビルドしろ、とさ。
"VyOS - Relationship with EdgeOS"
http://blog.vyos.net/post/71030817586/relationship-with-edgeos
VyOSの兄弟ってとこか?
VyOSでQoSやってみてるんだけど、traffic-policyを設定した後deleteしようとするとエラーになる
以降は設定関係がおかしくなるので何もせず再起動するしかないんだけど
設定ファイルを直接書き換える手とかってないですか?
http://blog.vyos.net/post/94063354053/vyos-1-1-0-beta1-is-available-for-download
vyattaで、wlan0、eth0をブリッジして、
イーサネットコンバータを作りたいのですが可能ですか?
イーサネットと何を変換するんだ?
ちなみに我が家のファイアウォールはVyOSだけど、
内側がwlan0とeth0をくっつけて作ったbr0で、
外側がUSBの有線LANアダプタ(eth1)だ。
br0とeth1の間でルール書いてファイアウォールにしてる。
dhcpサーバとdnsmasqはbr0で動かして、
eth1ではdhclientを動かしてる。
こういうことくらいはできる。
あとは自分で考えろ。
そこら辺で売っている家庭用のAP買ってきた方が圧倒的に安い。
個人ではVlanがあるけどL3SW高いね、とか、DMZとか作りたいけどアプライアンス高いね、
といったときに使う物なんだが。あと、ラボをVMwareとかVirtualboxで再現するとか
そいった用途ならわかるんだけどさ。
メディコンって媒体変換だからなんか違うんだよなあ
有線LAN(イーサネット)接続を無線LAN接続へ変換する装置。
離れた部屋にあるPCをWoLANしたいので、これが必要なんですよね
今はコレ
http://www.planex.co.jp/product/wireless/gw-ap54sp-p.shtml
使っているのですが、最近調子が悪くてしょっちゅう再起動が必要です
>>315さま
ふむふむ VyOSというものならbr0にwlan0とeth0を含めることが可能なんですね
Vyattaでは同じ事を実現しようとして失敗しています。
ココの、
http://serverfault.com/questions/214056/wireless-client-to-ethernet-bridge-with-vyatta
No Go. Turns out this is not yet possible. From the vyatta forums:
In general linux does not support bridging wireless in station mode.
The problem is that wireless is internally point-to-point based and doing bridging requires MAC address spoofing.
と言う情報を見て、英語なので半分も理解できないながらも、不可能なのかもしれないと考え、315を投稿した次第です。
VyOS、試してみたいと思います
>>317
安く、無線LANイーサコン実現できる、APで安いものまだありますか?
どれも5,000円近くして手が出ない。廃品PC+Vyattaならタダだし助かるかな、と
昔はWHR-G301Nが2000円で手に入ってDD-WRT入れて無線LANイーサコンにしてたのですが・・・
あんたがどういう構成を作りたいのか知らんが、>>316はAPだよ。
「ファイアウォール」って書いてあるだろ。
APなwlan0ならeth0とブリッジにできるよ、って話。
これならVyattaでもできるはず。
そのURLを読んでみ。
言ってることの違いがわからんか?
bridge-utilsに入っているbrctlで充分でしょう。
廃品PCとやらを、1年動かすと電気代で5000円くらい簡単に超えるんでは?
wrt入る適当な箱をオクで探せば2000円もしないと思うのだけど。
UTPを光Etherに変換する箱もメディコンって呼んでたよ。面倒くさいから。
媒体変換だからそれは正しいよ
イサコンもメディコンの一種だし。
ただ、有線を無線に変えるのってメディコンより
イサコンのほうがより適切だと思うんだ。
メディコンを鍋、イサコンを水炊きに置き換えればなんとなく伝わるかなあ
まあ細かい話ではあるけどね
>316-317の流れで書きたくなったのさ
消費電力考えるとおとなしくイーサコンバータ買った方が賢い気がする
動作確認済みのリストみたいのってあるんでしょうか?
どのようなチップが使われてるか、またそのlinux用ドライバがあるかどうかをよく調べること。
さんざんググってもどういうチップが使われてるかわからないような奴はダメと推定する。
ちなみに俺はVyOSだけど、Dynabook SS内蔵の無線LANはそのまま使えた。
Atheros Communications Inc. AR5001 Wireless Network Adapter (rev 01)
内蔵タイプでこれはよくあるやつとおも。
USB外付けでは、 Ubuntu 12.04 LTS で WLI-UC-GNM2 は一発で認識した。
VyOSでは(多分Vyattaでも似たようなもんだと思うが)カーネルは linux 3.3 だから、
まずこいつがドライバもってなけりゃ話しにならない。
但し、親機モードで使えるかどうかはチップによって違うので、そこんとこは注意点。
もしこれから新規に買うなら、規格が古くて遅いけど、
未だに新品を買えるようなものを敢えて選んでみるというのも手。
そういう奴は随分安くなってるはずだから、ダメ元の覚悟で突撃しやすい。
ドライバぇ
http://blog.vyos.net/post/98485918203/1-1-0-preview-image-update
↓
192.168.2.0/24
↓ vyos
*.*.*.*/32 (PPPoE固定IP)(SNAT)
こんな感じでルーター作ったんですが、192.168.1.0/24のサブネットで
webアクセス時index.htmlだけ表示されて他の素材とかERR_CONNECTION_RESETというエラーになってしまうんですが、
何がいけないのでしょうか。
セグメント3個ってことはVyOS以外にもL3がいるでしょ?
RIP喋らせなさい。
VyOSはルーティングプロトコルなしでは直接繋がっている箱の先を
知らないよ。
デフォルトゲートウェイで網側に投げることは出来るけど、
帰ってきたパケットが行方不明になる。
マンガの書き方のせいで情報が足りないや。
ありがとうございます。
やってみます。
普通境界ルータのVyOSが帰ってきたセグメントを該当なしで
デフォルト側の網に送り返して、いずれ落ちるのが常識的な動作かね。
2.0は直接繋がってるけど、1.0は直接繋がっていないので、
VyOSともう一つの箱がRIP喋るか、VyOSがスタティックを切って
もう一つのに流す必要がある。
というわけで、質問者はネットワーク構成図を書いてくれ。
多分RIPで解決するはずだが。
(まさか仮想機械ではあるまいな?)
冗長化されてるわけでもないし、
いくつかある経路が切り換わるわけでもあるまいし。
192.168.1.0/24と192.168.2.0/24の間がアドレス変換してて、
ICMPをブロックしてしまってるという線もある。
PathMTUDiscoveryができなくて大きなパケットが通らなくなる。
だから画像などが取れない。
オレならまずこういうシナリオを考えるけどな。
Vyattaを6.5にアップしたらMTU制限が効かなくなって切り戻した→解決!? - mikedaの日記
ttp://mikeda.hatenablog.com/entry/20121217/1355762337
そういえは >>335 と似たような症状にはまってたわ
あ、これと全く同じ症状です!
ありがとうございました。
unnumbered接続をしたいのですがそのようなことは可能でしょうか?
しかし「なにそれ、おいしいの?」というレベルなら、おまえさんには不可能。
RIPですか・・・昔、本で見たけど難しくてそっと閉じ・・・という感じです。
こんな風にしても無理っすかね?RIPは必要?
↓PPPOEマルチセッションにして物理nic追加
interfaces {
ethernet eth0 {
hw-id 00:00:00:00:00:00
pppoe 0 {
password ****************
user-id aaaaa
}
pppoe 1 {
password ****************
user-id bbbbb
}
}
ethernet eth1 {
address 100.100.100.100/28
hw-id 11:11:11:11:11:11
}
ethernet eth2 {
address 100.100.100.200/28
hw-id 22:22:22:22:22:22
}
}
http://blog.vyos.net/post/99485486448/helium-is-frozen
もうすぐか?
http://blog.vyos.net/post/99607428923/1-1-0-release
フリーズ期間ほとんどなかったけど...。
http://blog.vyos.net/post/99971040118/vyos-1-0-5-is-available-on-the-aws-marketplace
の方法だとwan-load-balanceを使った際に効果が無い仕様(バグ?)があったので、
>>261
を参考にして設定したら上手く行った。
ありがとう。
dnsmasqはちゃんと動いてるのに、tcpのセッションを張れない。
firewallのルールが変わったのか? 何か追加してやらないと1.0.4のままじゃダメなのか?
幸いimageインストールにしてあるから1.0.4をデフォに戻してるけど。
うーむ、よくわからん。
いきなり1.1.0にしなくてよかった。(多分)
ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが
設定ならなくて困っています。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html
ipv6 address autoconf
ipv6 disable-forwarding
とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・
ipv6 router-advertなどのお勧めの設定ありませんか?
ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが
設定ならなくて困っています。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html
ipv6 address autoconf
ipv6 disable-forwarding
とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・
ipv6 router-advertなどのお勧めの設定ありませんか?
VyOS+Hyper-Vで組んでみたのですが、NICドライバの設定方法がわかりません。
(チェックサムオフロードとかTxRxバッファサイズの設定などのNIC依存部分)
ethtoolを使ってみたのですがサポート外のようです。
どなたかわかる方いましたらお願いします。
テストはこっちで。
http://hayabusa6.2ch.net/test/read.cgi/linux/1341351394/
/config/scripts/vyatta-postconfig-bootup.script
#!/bin/sh
for i in eth0 eth1 eth2 eth3 eth4; do
## ethtool -G ${i} rx 2048 tx 2048
ethtool -K ${i} tso off lro off gro off gso off
done
たぶんこんな感じ。
以前 vmxnet3で rx, tx いじったときカーネルパニックで
再起動延々し続けたので、今はやめてる。
設定ありがとう。
でも上手く動かなかったわ。
そもそもethtool -G eth0を叩くとOperation not supportedって出る。
仮想NIC側が対応してないのかも。
統合サービスとか入れるのかと思ったんだけどイマイチ見つからない。
ttp://www.mindworks.shoutwiki.com/wiki/Ethtool_Support_for_Microsoft_Hyper-V
へぇ Hyper-V では ethtool 動かないんだ
レガシーだと100Mbps相当になるっしょ
ただNIC固有の機能設定が殆どできないのが勿体無いんだな
せっかくI350買ったのに……
VT-d するならともかく。
http://blog.vyos.net/post/104617256813/1-1-1-maintenance-release
maillogやtcpdumpを見てみると外部からのアクセスは来ていて、
応答も投げ返しているのだが途中から相手方のサーバの通信が来なくなってしまう。
VyattaのLAN側とWAN側(PPPoE)でtcpdumpしてみるとどうやらこちらのメールサーバのパケットが
VyattaのLANまでは来ているのだがWANに出て行っていないみたい。。。
まったくWANに出て行かないわけではなくて、多分TLS handshakeの前後位から出て行けなくなるみたいなんだけど
誰か解決策orヒントわかりませぬか。。。
出ていけるパケットと出ていけないパケットの違いがわからない。。。
23:45:44.337952 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [P.], seq 1449:1711, ack 308, win 972, options [nop,nop,TS val 1309150490 ecr 2175665493], length 262
23:45:44.353062 IP *REMOTEIP*.54951 > *LOCALIP*.995: Flags [.], ack 1, win 365, options [nop,nop,TS val 2175665635 ecr 1309150377,nop,nop,sack 1 {1449:1711}], length 0
23:45:44.573398 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [.], seq 1:1449, ack 308, win 972, options [nop,nop,TS val 1309150728 ecr 2175665635], length 1448
↑の一番最後のパケットがWAN側に出て行かない。。。
>>249 ?
早速あんがと。
ただ、そこはmss値は1394で設定済みで、Webサイトの閲覧に特に問題は感じないのです。
(感じないだけでどこか問題はある、かも。。。)
試しに>>249に合わせて1360にしてみたけど状況はかわらないです。。。
Internet ---- (GIP aaa.bbb.ccc.ddd)FW(PIP 192.168.99.1) ---- (192.168.99.254)VyOS
という感じです。
FWで透過型の設定が出来ればいいのですが、制限がかかっており仕方なくNAT環境にしています。
cannot respond to IPsec SA request because no connection is known for
のログが出力されているので、NAT-Traversal関係だとは思うのですが。
どなたか同様の問題の対処をされた方いらっしゃいましたらご教授頂けないでしょうか。
>>249 は、外から来たクライアント要求 TCP SYN の MSS を書き換えてない。
それが大きいままにLAN側サーバは同意しちゃうから、長いので送っちゃう。
TCP ペイロード length 1448 もあったら、PPPoE の MTU を通り抜けられないでしょ。
PPPoE in 側 (もしくは LAN への out) でも mss clamp かけてみたら。
仮想ルーターVyattaを使って、SoftLayerとオフィスを直結する
でぐぐって、真似る。
かけたりもしたつもりだったんだけどflagsの指定間違ってたみたい。
言われて注目して気付いた。
ありがとう、ありがとう。
情報ありがとうございます。生憎、その情報は確認済みでした。
情報不足でしたが、今回構築したいのはLAN間接続ではなくL2TP/IPsecのリモートアクセスになり、
したがってVyOSもリモートアクセスクライアントもNAT配下となります。
vyatta/vyos よりも、素のxl2tpd方面で調べる方が作例多そう。
Internet ---- (GIP aaa.bbb.ccc.ddd)FW(PIP 192.168.99.1) ---- (192.168.99.254)VyOS
なら /etc/xl2tpd/xl2tpd.conf には
[global]
listen-addr = 192.168.99.254
と入るのが妥当と思う。aaa.bbb.ccc.dddでは listen しようがないから。
cannot respond to IPsec SA request because no connection is known for
は、allowed-network 入ってます?
set vpn ipsec nat-networks allowed-network 0.0.0.0/0 exclude '192.168.0.0/24'
みたく。set vpn ipsec の辺は/etc/ipsec.confに反映されてplutoが読む。
アドバイスありがとうございます。
listen-addrはローカルIPを設定しています。試しにグローバルIPを設定してみましたが、変わらずでした。
(このコマンドはRTXシリーズで言う所の ipsec ike local addressにあたるのですよね?)
/etc/xl2tpd.confを直接見てみたところ、local ip項目が自身のローカルIPではなく、
まったく異なるものでしたが、これはVyOSの仕様なんですかね?
手動で編集してみましたが、configureからcommitしなおすと元に戻ってしまいます。
allowed networkはset vpn ipsec nat-networks allowed-network 0.0.0.0/0を入れています。
具体的には以下の様なログが出ています。
cannot respond to IPsec SA request because no connection is known for aaa.bbb.ccc.ddd/32===192.168.99.254:4500[192.168.99.254]:17/1701...zzz.yyy.xxx.www:63686[192.168.100.103]:17/%any===192.168.100.103/32
現状は「とりあえずできた版」でしかないから整理して週末にでも晒します。
http://blog.vyos.net/post/109395934263/1-1-3-maintenance-release
うちの場合面倒だから SYN 立ってるパケット全部対象にしてる
set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0'
set policy route PPPOE-IN rule 10 protocol 'tcp'
set policy route PPPOE-IN rule 10 tcp flags 'SYN'
set policy route PPPOE-IN rule 10 set tcp-mss '1414'
ポリシーベースのルールが適用されるのってパケットの方向関係なく、指定された
インタフェースを通るタイミングなんだよね?
例えば eth1 に set してるとして、
eth0(WAN) -> eth1 -> LAN内 と LAN内 → eth1 → eth0(WAN)
のどちらにもルール効いてる?
今のところ問題は見当たらないけどこれがベストではないと思う。
# show policy route
route PPPOE-VIA-FLETS-IN {
rule 10 { destination { address 0.0.0.0/0 }
protocol tcp
set { tcp-mss 1414 }
tcp { flags SYN,!ACK,!FIN,!RST }
} }
route PPPOE-VIA-FLETS-OUT {
rule 10 { destination { address 0.0.0.0/0 }
protocol tcp
set { tcp-mss 1414 }
tcp { flags SYN }
} }
# show interfaces ethernet eth0 pppoe 0 policy
route PPPOE-VIA-FLETS-OUT
# show interfaces ethernet eth1 policy route
route PPPOE-VIA-FLETS-IN
接続時にl2tp0ってインターフェースができるみたいなんだけど、そのインターフェースにはpolicyが適用できないっぽい。
できないよ
DNSサーバーにforwardしたいときってどう書けばいいのかな。
pppoeはつながってるし、サービス情報サイトだけの接続なら
問題ないんだけど、インターネットと同時につなげようとすると
名前解決がうまくいかないんだよね。
eth0 pppoe0 インターネット
eth0 pppoe1 サービス情報サイトNGN IPv4
eth1 LAN
eth2 使ってない
protocols {
static {
interface-route 123.107.190.0/24 {
next-hop-interface pppoe1 {
}
}
interface-route 220.210.194.0/25 {
next-hop-interface pppoe1 {
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on eth1
listen-on eth2
options "server=/*.v4flets-east.jp/123.107.190.5"
options "server=/*.v4flets-east.jp/123.107.190.6"
}
}
オープンソース界隈じゃもう、rerdhat系なんてメジャーじゃないよ。
Debian一色。
当然Centなんて論外だし、Fedoraもどんどん規模が小さくなってる。
dnsmasq.confの文法でいうと*.が邪魔なんじゃないでしょうか。
ttp://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
-S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]]
if you have a nameserver on your network which deals with names of the form xxx.internal.thekelleys.org.uk
at 192.168.1.1 then giving the flag -S /internal.thekelleys.org.uk/192.168.1.1 will send all queries for
internal machines to that nameserver, everything else will go to the servers in /etc/resolv.conf.
ソースインタフェース指定もできるんですね。
ありがとうございます。
エラーメッセージが出てこないのが痛いな…
どうもHGWのPPPoEブリッジを経由すると、2つめのセッションが
うまくつながらないようです。ISPかサービス情報サイトの片方だけなら
問題なくつながります。
HGWを通さなければちゃんと2つともつながるんですけどね
この例だとサービス情報サイトのDNSサーバー(123.107.190.5,
123.107.190.6)をコンフィグに書いて、ISPのDNSサーバーは
ppp ipcp dns request accept
で取得するという目論見のようだけどうまく動くのかな
Vyattaだとこのコマンドになるかな
set system name-server 123.107.190.5
set system name-server 123.107.190.6
set interfaces ethernet eth0 pppoe 1 name-server auto
Vyattaだとこのドメインルーティングには対応してないよね?
https://flets.com/customer/next/square/setup/v4/win7.html
IEからはアクセスできてChromeからはダメだったので
ChromeのDNSキャッシュを消した
http://d.hatena.ne.jp/killinsun/20131128/1385609793
のですが、それでもダメで ipconfig /flushdns でつながりました。
ありがとうございました。
http://txt.do/goz2
今のvyatta本家は知らないけど、派生系バージョンは微妙にコマンドが違ってる。
VyOS 1.1.5 (helium)
set service dns forwarding name-server '8.8.8.8'
set service dns forwarding domain flets server '123.107.190.6'
EdgeOS(v1.6.0)
set service dns forwarding name-server '8.8.8.8'
set service dns forwarding options 'server=/flets/123.107.190.6'
どちらもcommit後の /etc/dnsmasq.conf には以下のように展開
server=8.8.8.8
server=/flets/123.107.190.6
サービス情報サイトの名前解決ができなさそうなんだけど
http://d.hatena.ne.jp/pekeq/20100803/p1
もう少し補足すると、*.v4flets-east.jpの他に*.fletsも入れてあげた方がいいみたい
options server=/v4flets-east.jp/flets/123.107.190.5
options server=/v4flets-east.jp/flets/123.107.190.6
今のところの問題は、フレッツ速度測定(IPv4)で速度測定ができない。
firewallがらみかと思ったけど違うみたいだし、様子を見てみます
set protocols static interface-route 123.107.190.0/24 next-hop-interface pppoe1 distance '1'
set protocols static interface-route 220.210.194.0/25 next-hop-interface pppoe1 distance '1'
set protocols static interface-route 220.210.198.0/26 next-hop-interface pppoe1 distance '1'
>>391
まとめて書かずに、行分けないとダメ
options server=/v4flets-east.jp/123.107.190.5
options server=/flets/123.107.190.5
-S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]]
複数書けるようになってるけど、確かに読みにくいね
DNSサーバーのIPアドレスじゃなくてpppoe1のネームサーバーって
指定はできないのかな
今はこうなってて、*.fletsも*.v4flets-east.jpも名前解決はできてる
dnsmasq.conf
#
# autogenerated by vyatta-dns-forwarding.pl on Wed May 6 17:47:12 JST 2015
#
log-facility=/var/log/dnsmasq.log
interface=eth1
interface=eth2
cache-size=150
server=/v4flets-east.jp/flets/123.107.190.5
server=/v4flets-east.jp/flets/123.107.190.6
resolv.conf
nameserver 123.107.190.5 # nameserver added by pppoe1
nameserver 123.107.190.6 # nameserver added by pppoe1
nameserver xxx.xxx.xx.xx # nameserver added by pppoe0
nameserver xxx.xxx.xx.xx # nameserver added by pppoe0
set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0'
指定ってdestination 指定なしとどう違うの?
将来 destination address '!192.168.0.0/16' みたいに
除外条件つけたくなるときのヒントにもなるかもだし。
なるほどそういうことなのか。ありがとう
git上ではソースはあるようですがパッケージでの提供はないようです。
自分でbuildしないとダメなんですかね?
しかしベースが debian squeeze なのね。古すぎるなー
結局rp-pppoeですませたけど、vyosのビルドも気になっていたので、やってみたので報告まで
体感的に7割のサイトが見れて、3割のサイトが見れない感じです。
mtu,mru,mss 関係の部分でVyOSが悪さをしているという記述を見つけて色々と試したのですが未だに見れません。
>>249
のような設定をいれたり
下記URLの設定をいれたりしてみたのですが
ttp://mikeda.hatenablog.com/entry/20121217/1355762337
症状が改善されません。
使用しているOSは
最新の安定版: VyOS 1.1.5 (Helium) を使用しているのですが同様の症状が出ている方いらっしゃいませんか?
解決策をご存知の方いらっしゃいましたらアドバイス頂けませんでしょうか?
set policy route mss-clamp rule 10 destination address '0.0.0.0/0'
set policy route mss-clamp rule 10 protocol 'tcp'
set policy route mss-clamp rule 10 set tcp-mss '1414'
set policy route mss-clamp rule 10 tcp flags 'SYN'
set interfaces ethernet eth0 pppoe 0 mtu '1454'
set interfaces ethernet eth0 pppoe 0 policy route 'mss-clamp'
mtu/mssは環境に応じて、微調整してね。
この人の問題、解決できたのかな?
同じような構成でハマってるので解決策聞きたい。
>http://wiki.vyos-users.jp/%E3%82%88%E3%81%8F%E3%81%82%E3%82%8B%E8%B3%AA%E5%95%8F%28FAQ%29
の通りにリポジトリ設定して
apt-get update
apt-get upgrade
から再起動するとSSHキーが見つからないみたいなエラーが出るんだけどもこれは一体
環境はatom D510だったんでVTなしKVMつかえない実機。
ネットで探した方法で、ほぼ出来ました。
ちなみにvmware fusion上の1.15でもテストを兼ねてやってみたけどapt-get upgradeするとvyosの設定が保存されないとかあり、苦労しそうだったんでさっさと諦めました。
設定保存されないのか
怖いな
機種によるんだろうけど
vyosでIPv6ブリッジ(パススルー)をやりたいのですがやり方がわかりません。
ブリッジかけてFWでIPv4フィルタかけてもARPが出てしまいます。
他にいいやり方ありませんか?
firewallがiptablesベースなので難しいと思う.そのうちebtablesベースにするとかvyattaの頃から言われてた気がするけど.
以前IPv4ルーター,IPv6ブリッジをしたかった時はvyatta諦めてseil x86使ったので上手く動く方法あれば知りたい.
SEIL/x86は買ってあるからそっちを使うか
set nat source rule 10 outbound-interface pppoe0
set nat source rule 10 source address 192.168.0.10/32
set nat source rule 10 translation address masquerade
ここで192.168.0.10はpppoe0を使ってネット接続出来ています
set nat source rule 20 outbound-interface pppoe1
set nat source rule 20 source address 192.168.0.11/32
set nat source rule 20 translation address masquerade
これを付け加えると192.168.0.11はpppoe1を使ってネット接続出来るのですが
192.168.0.10が接続できなくなってしまいます
多分何か根本的な間違いがあると思うのですがどなたか教えていただけないでしょうか
一つの interface に複数の PPPoE セッションを通す事は可能らしいので、譬えば
set interfaces ethernet eth1 address '192.168.0.10/32'
set interfaces ethernet eth2 address '192.168.0.11/32'
となってるなら出来るはずでは。NAT 設定は IP で指定しているが、
実際は interface 毎に適用されるもの。そして各内部 interface は
通常は複数の機器に繋がるので、通常 NAT+DHCP を設定してサブネットをきる。
/32 だと無意味。そもそもサブネットを別にしているので、
最初から eth1: 192.168.0.0/24, eth2: 192.168.1.0/24 とかにすればいいのに。
今更だけど
https://yosida95.com/2015/05/17/203841.html
で修正した設定がリブートしたら消えるんだけどどうしたらいい?
UseDNS yes → UseDNS no に変更したいんだけど
UseDNS yes
コピペして編集
#UseDNS yes
UseDNS no
リブートすると
#UseDNS yes
UseDNS yes
コメントアウトした行は残ってるから何者かがno→yesに書き換えてる感じです
結構書式変わるらしいですね
参考までに、
⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。
グーグル検索⇒『宮本のゴウリエセレレ』
EUDXE4DATF
おります。総務省の、『憲法改正国民投票法』、でググってみてください。
国会の発議はすでに可能です。日本の、改憲を行いましょう。
平和は勝ち取るものです。お願い致します。☆☆
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』
WED5V
有料化が原因かね
ってのが見えたぞ。
OpenBSDベースだけどGUIとCLI両対応のsecurityrouterというものがあった。
機能的も豊富だし良さそう。
https://securityrouter.org/
https://securityrouter.org/wiki/Pricing
一応sshでもアクセスできるけどviで直接xmlを書き換えないと永続的な設定は出来ない
>vyos気軽に利用しにくくなったな。
久しぶりに見てきたら、なんかメンドウになってんのね
個人利用って、一人親方の非営利団体だとダメなんかな・・・
NAS用もどれもなんだか微妙な状況だし
わざわざアプライアンスを使う必要がない
自前でルーターを構築しようなんていうのはアプライアンス的なやつだろうとそうでなかろうと圧倒的にマイノリティだから
人が居なすぎて盛り上がりようがないというだけの話では
vyosの無償版みたいのが、またforkされるかもね
CiscoやJuniperをおいそれとは買えない東欧ではMikroTikとかいう怪しげなやつが売れまくってるわけだし、グローバルでは需要自体はありそうなもんだけど……
まあそういう需要ではx86だけのVyOSはTCO高杉で眼中にないか。
Debianディストリビューションの側面も強調出来たら汎用性上がるけど
公式の発表見て今回の変更はしゃーなしかなって思ったんだけど裏で何かゴタゴタしてんの?
https://downloads.vyos.io/?dir=rolling/current/amd64
そのうちパッケージだけアップデートできるようにならんのかな
何のためのブランチ分けだって話
つらい
何がミスっているのか
set service ssh port 22
set service ssh listen-address 192.168.0.1
set firewall name OUT_LAN default-action drop
set firewall name OUT_LAN rule 10 action accept
set firewall name OUT_LAN rule 10 state established enable
set firewall name OUT_LAN rule 10 state related enable
set interfaces ethernet eth0 firewall local name OUT_LAN
set firewall name WAN_IN default-action drop
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
set firewall name WAN_IN rule 20 action accept
set firewall name WAN_IN rule 20 protocol tcp
set firewall name WAN_IN rule 20 destination port 22
set firewall name WAN_IN rule 20 state new enable
set interfaces ethernet eth1 pppoe0 firewall in name WAN_IN
# eth0:LAN 192.168.0.1 / eth1:pppo0
自己解決しました
docker 作って configure で --build-type release して docker で make iso しろっていうけど、--version が 1.2.3 でも 1.3.0 でも
出来上がる live-image-amd64.packages の中身が同じで vyos-1x が 1.3.0 になってる謎
iso の md5 とると違う値になってるが、サイズは同じなので多分埋め込まれたバージョンが違うだけしか差がない
git する際に clone -b crux --single-branch にしてみると確かにバージョン切り替わるけど --version 1.2.3 にしたのに vyos-1x が 1.2.4 になっている謎
rolling と何が違うのかは全くわからない
--versionって特定のブランチからビルドするような機能じゃないから
ちゃんとdocumentに書いてあったような気がするけど
ssg5のポリシー数が最大に達して何も出来なくなった為、購入を考えてます。
弾きたい通信の殆どがクラウド関係で、ネットワークアドレスやドメイン名を追加し続けたら上限に達しました。
またベトナムとかオランダ等海外から入ってこようとするアクセスも、中を見る前に送信元IPで弾きたいのですが、それをするにはPCルータかfortigateが必要になります。
https://community.ui.com/questions/Firewall-Rules/42a83a65-2519-4fa0-8eaa-5996598ed2b6
iptableとかで海外ドメイン弾くにはポリシーが3000以上必要で、ipv6用も同じぐらいになりますね。
fortigateだと簡単ですが。
レスを投稿する
ニュース
- 【NHK】「ママチャリとトラブル」動画を“さらし”拡散 法的責任問われる可能性 ★4 [Hitzeschleier★]
- 【ドジャース】大谷翔平、今季3度目3安打に1盗塁と躍動 打率.360まで上昇!チームは今季初の完封負けで2カード連続負け越し [フォーエバー★]
- 命がけで飼い主を守った犬は瀕死の重体…酔ったナンパ男4人、被害女性の犬を暴行し逃走「酷い、鬼です!」「絶対に許せない」 [ごまカンパチ★]
- 専門家「南海トラフに沈み込むプレートの中で起きた」 余震に警戒を [蚤の市★]
- タンス預金50兆円が狙われる!4月1日から銀行口座とマイナンバーが紐付けられる『口座管理法』とは…トラブル続出制度に新たな火種 [少考さん★]
- コロナワクチン接種後死亡 遺族ら13人が国を集団提訴 約9150万円の賠償を求める「マイナス情報を広報せず、被害を広げた」 ★3 [Hitzeschleier★]
- 【WOWOW】UEFAチャンピオンズリーグ・ヨーロッパリーグ 決勝トーナメント★20
- 【WOWOW】UEFAチャンピオンズリーグ・ヨーロッパリーグ 決勝トーナメント★21
- ドジャースvsナショナルズ 7
- 【D専】
- こいせん祝勝会 全レス転載禁止
- わしせん
- 朝 起 き た ら 部 屋 の 窓 を 開 け ろ
- 白人観光客「日本はまともな国だと思ってたのに、誰も英語が喋れなくてショックをうけた」10万いいね [207516352]
- 三大「地球上から消えた方がいい国」、どこ [377482965]
- 中川翔子さん「久しぶりの水着」
- しょこたんって今何歳なの?
- 【悲報】暇空茜、却下🥸🥸🥸 [207516352]