【PCルータ】 Vyatta
VPNやUTM機能を備えたDebianベースのルータ用ディストリビューションVyattaについて語るスレです。 公式サイト http://www.vyatta.com/ PCルータ特化OSまとめwiki http://www.esc-j.net/pc-router/index.php?Vyatta >>1 乙 Wikiも作ったのか。手伝えないけどガンガ >>5 vbash以外は普通のDebianぽいからalienでRPMにして普通のCentOSにでも 仕込めばいいんでない?設定とかツールのビルドオプションに差が出るので 一部機能・性能に制限あるかも知らんが。 WebGUIをインターネット側から見えなくしたいんだが、可能? パッケージ削りまくってファイルシステム容量小さくできるからdebianベースなんだろうし OpenWRT/DD-WRTもvbashコンフィグのサブセット食わせて設定できると 大きなものから小さなものまで統一的に管理できてうれしいかも。 マルチセッションって、interfaces→eth0(WAN側)にpppoeの設定追加していくだけじゃ、だめなのかな? show interfacesコマンド打つと、2セッションともIPは取得できてるみたいなんだけど、NATのmasqueradeで LAN側からインターネットにアクセスしようとすると、片方しか繋がらん。 IPnutsスレの 881 :login:Penguin :2010/07/15(木) 20:17:25 ID:LTp0krli >>878 VyattaでPPPoEマルチセッション使ってるよ。 IPによって経由するプロバイダを変えるソースルーティングも rootでいくつかコマンド打つだけで実現できてる。 この方、いらっしゃいましたらやり方教えていただけませんか? いちおつ、使ってる人結構いるのね >>12 書いた張本人だけど、今夜か明日にでもやり方書くよ。 明日朝に二輪の卒検あるから、それ終わってからが濃厚だけどw >>13 ありがとう。 マルチセッションすらうまくいかずにずっと悩んでたので、助かります。 住人かぶってそうだから聞きますが、 IPnutsスレはpart 8で終了ですか? >>15 IPnuts開発終了に伴い、スレも終了しました。 スレの終盤で、移行するならVyattaがいいのではないかという流れになり、このスレが立ちました。 卒検合格したし、ソースルーティングのやり方書くお。 eth0をLAN側、eth1をONU側として書いていく。 1.PPPoEマルチセッションで複数プロバイダに接続 これはただ単にinterfaces ethernet eth1 pppoeエントリを複数作るだけ。 メインのプロバイダを0、サブのプロバイダを1にした場合、設定する内容は同じようなもんだけど 通常出て行く方をメインにするためdefault-routeエントリを0にauto、1をnoneに設定しておく。 この時点で再起動なりして、ifconfigでpppoe0、pppoe1ともに IPアドレスが取得できているか確認した方がいいかな。 2.ソースルーティングの設定 マスカレードの設定に、ソースルーティングしたいアドレスの範囲を記述する。 たとえば192.168.1.251〜254に設定したい場合、service nat rule 2辺りに outbound-interface pppoe1、source address 192.168.1.251-192.168.1.254、type masquerade の3つのエントリを登録しておく。 rule 1の方はoutbound-interface pppoe0、type masqueradeのみで十分だと思う。 3.rootでの作業 たぶんここの作業が肝だと思う。 rootでログインしてifconfigして、pppoe1のinet addrもしくはP-t-Pで 出てくるIPアドレスをコピってくる。そのアドレスをaaa.bbb.ccc.dddとすると ip rule add from 192.168.1.251 table 1 prio 10000 ip route add table 1 default via aaa.bbb.ccc.ddd ip rule add from 192.168.1.252 table 2 prio 10001 ip route add table 2 default via aaa.bbb.ccc.ddd といった感じでtable 4までコマンドを実行して、最後に/etc/init.d/networking restartで 設定を適用する。この辺はシェルスクリプト辺りで書いておくとコマンド1個でできて楽ちん。 あとは適当なマシンでIPを192.168.1.251〜254に設定すれば、サブのプロバイダで やり取りできるようになっているはず。 うちの環境は以上の作業でソースルーティングできてる、うまくいくか試してみてくれ。 >>20 ありがとうございます。できました。 ただ、最後のrootでの作業は、pppoe1を再接続などしてIPアドレスが変わったら その度にやる必要がありますよね。 単純に送信元IPが○○だったらpppoe1から出す、といったことはVyattaではできないんでしょうかね・・・。 Vyattaフォーラムを見た感じ、load-balancingを使えばできるような書き込みがあった。 やってみようかと思ったんだけど、単純にpppoe0とpppoe1をload-balancing設定に書くだけだと、commit時になにやらメッセージが出て駄目だったわ。 なにか他に設定が必要なのかなあ・・・ その程度なら いざとなったら自分でスクリプト書いて 起動時に実行するようにしてやりゃいいんじゃね? せっかくLinuxなんだし。 数行でできるだろ。 と思ったらもともと > この辺はシェルスクリプト辺りで書いておくと と書いてあったw 自動化しないってのは固定IPの人かな。 できたようで何より。 ちなみに自動化してないのは、半年〜一年に一回しか再起動しないから 完全に自動化する必要性がないっていうのが一番大きいw IPnutsから移行しますた 昨日豊富だしいいですね >>23 debianでもできるってことはvyattaでもできるんだろうな。 vyattaがlinuxってことを忘れてた。 自動化できました。 /etc/ppp/ip-up.d に #!/bin/sh if [ "x$PPP_IFACE" = "xpppoe1" ]; then ip rule add from 192.168.0.7 table 1 prio 10000 ip route add table 1 default via $PPP_REMOTE fi /etc/ppp/ip-down.d に #!/bin/sh if [ "x$PPP_IFACE" = "xpppoe1" ]; then ip route del table 1 ip rule del table 1 fi のようなシェルスクリプトを用意したところ、clearコマンド等で再接続しても自動でソースルーティングできるようになりました。 >>20 氏をはじめ、ヒントを下さった方々に感謝いたします。 俺もソースルーティングうまくいった。 IPnutsのときはサブのISPの通信が途切れることがあったのだが、Vyattaでは今のところそれがないな。 大きめのファイルダウンロードしてると途中で中断されてたりして困ってたんだわ。 VyattaでuPnP使えてる人っている? IP電話を設置したいんだけど、IP電話を使うためのルータの要件としてuPnP対応があって Vyattaだと標準で対応してないっぽいんだよね。 >>31 VyattaでUPnPを使えるようにするパッケージを作成した有志がいる ttp://www.vyatta.org/forum/viewtopic.php?t=4734 >>32 レス遅くなったけどd、今度の休みにでもためしてみる IPS試してみたけど、結構重いのう。宣布論2100+(1GHz)じゃきついか。 @itにコラムが載ったね Vyatta――クラウド時代の仮想ルータ活用術:導入編 ttp://www.atmarkit.co.jp/fnetwork/tokusyuu/48vyatta01/01.html 既存のLinuxのWebサーバにVirtualBoxでVyattaインストールして サーバ兼ルータってできるんでしょうか? そのルータに2個PCをぶら下げる時はNICの数は2個でいいのかな? できるけど、パフォーマンス悪いよ。 こういう言い方はなんだが、大したことやりそうに見えないので、そのLinuxサーバを そのままルータにすればいいんじゃね? あとHUBくらい買おうよ。 >>44 複数のネットワークを1セグメントに突っ込むのって気持ち悪くない? >>44 仮想化による負荷が高くなるって事なのかな。 Vyattaでhttpd動かすなりと完全に統合しちゃえば改善されたりするのだろうか。 高値なルータなしにパフォーマンス上げたいのでパフォーマンスでないなら本末転倒なんですよね。 Webサーバとくっつけてる自分がいうのもなんですがNICはマザーが許す限り積んで セグメント分けしてその下にハブなり置くのにロマンを感じます。 後は動かすPC次第だな。PCI-Ex系であればそこまでロスもないと思うけどね。 cgroupでネットワークコンテナ切った場合ってルーティングテーブルも 分離されるんだっけ?されるのならバーチャルルータになるからVyatta用 仮想化としては最適だと思う。 >>49 確かされるけどvethって複数持てたっけ? >>47 VirtualBoxやVmwareServer等のアプリケーションレベルの仮想化だとオーバヘッドが大きいって事ね。 ていうか、Vyattaとか入れないとルータにならないと思ってる? なんのディストリ入れてるか知らないけどLinuxカーネルに含まれるiptablesって機能を使えば、そのままルータになるよ。 >>51 >ていうか、Vyattaとか入れないとルータにならないと思ってる? >なんのディストリ入れてるか知らないけどLinuxカーネルに含まれるiptablesって機能を使えば、そのままルータになるよ。 大前提っすよこんなの。何言ってんだ? >>52 >>47 本人? >高値なルータなしにパフォーマンス上げたいのでパフォーマンスでないなら本末転倒なんですよね。 パフォーマンスあげたいなら、わざわざVM作るよりホストのiptables使うのが一般的だと思うのだが、 それがわかっていないようなレスに見えたもので。気を悪くしたのならすまんね。 むしろホストOSを Vyattaにして、そこに httpd も入れちゃえばいいんじゃないの? このスレ初めてでVyattaの存在すら知らなかったド素人の質問で悪いんだけど ルーター用のみの用途でスループット向上の為に構築するとしたらマシンスペック はどの程度のものから快適に使えますか? キャリアはNTT西光ネクストエクスプレス1Gのホーム、ISPはOCN(固定1IP)とSo-netでそれぞれ 1G対応だけど市販ルーター(マイクロ技研のMR-OPTG5)で、そんなに悪いルーターでは ないけどルーターのスループットがボトルネックになってるようで速度が遅いから新しくルーター構築しようと 思った。最近のルーターを買えば良いんだろうけどPowerEdge SC440が未使用で眠ってるから これを使って構築したいと思ったんだけど。 マルチPPPoEは>>13 が書いてくれてるので安心だけどマシンルーター化である程度の 高スループットってマシンパワーは結構必要かなと思うんだけど実際は? FWは全てルーターマシンより後方の各鯖のFWなのでルーター化するマシンはマルチPPPoEと ルーティングさえしてくれればそれでOKという前提で。 構成は鯖マシン(CentOS)とクライアント(XP)の2台のみです。 コミットし直した後、前の設定に戻すコマンドみたいなのありますか? VyattaにApache入れて旧サーバからデータのお引越しをして設定も済ませた。 そして気がついてしまった、Vyattaは32bit非PAEカーネルだという事に... メモリ3.5GBのswapなしなWEB鯖ってどうよ。 やぱり今のところWeb鯖兼ルータにしたいならVyatta仮想化がベストと思われ 64bit対応はやくしてくれー Vyattaのカーネルはunionfs組み込んだ以外はノーマル(後のカスタム化は sysctlでのもの)だって言ってたから入れ替えちゃえば? >>55 参考に Vyatta 3500 Series Appliances Designed for high performance large enterprise and service provider connectivity, security and protection. Pricing - starting at $4595 Performance: L3 Throughput - 5-20Gbps - 3,000,000pps VPN Throughput - 900 Mbps Max VPN Tunnels - 8000 Vyatta 2500 Series Appliances Optimized for medium to large enterprise connectivity, security and protection. Pricing - starting at $2347 Performance: L3 Throughput - 2 - 4Gbps - up to 1,000,000 pps VPN Throughput - 500 Mbps Max VPN Tunnels - 4000 Vyatta 514 Appliances Ideal for small and branch office routing, firewall, and VPN Pricing - starting at $797 Performance: L3 Throughput - 200 Mbps - up to 70,000pps VPN Throughput - 115 Mbps Max VPN Tunnels - 500 >>62 ちょっとそこまでやるスキルも自信もないなぁ 64bit版が出るまで待つことにするよ Vyatta――クラウド時代の仮想ルータ活用術:実践編 ttp://www.atmarkit.co.jp/fnetwork/tokusyuu/49vyatta02/01.html >>61 PCルータにするのに、そこまでしてVyattaに拘る必要あるの? CentOSをルータ兼Web鯖にすればいいじゃない。 ルーティング初心者にとって覚える事が少なさそう 手軽にチューニングできそう debianしか触ったことがない 面白そう といったとこでしょうか >>66 本物のNW機器と同程度の構成を管理する手間が大変だから。 Vyattaならコンフィグ1つ保管しておけばすぐ再現できる。 性能はいまいちといっても、個々のシステム内で使える程度の性能はあるし。 裏側をHW実装にした奴が出てきて、ソフト版は無料だけど性能欲しければ HW版買ってね、とかなってHWは各社競争しつつCLI/configは共通的な形式になると 嬉しいのでは? ネットワーク管理の知識のない人が仮想環境と物理的なネットワークの混在環境を いじっても痛い目に遭うだけだな。 少なくとも仮想環境内だけで試しに構築してみてからやった方が良い。 firewallのconntrack-table-sizeの値はメモリ1GBで65536でおk? >>70 clear interfaces connection pppoe0 ipnutsのCDイメージ欲しいんだけどもう手にはいらんのこれ? プレミアもんだな プレミアかどうかはシランがレアといえばレアだよな。 ipnuts41free-b10.iso なら持ってるが、これってうpって問題無いのか? つーか、ここVyattaスレじゃん。スレ違いもいいところだった。 vyattaってPfsenceみたいなwebで簡単設定できる機能無いの? 3分くらいしか触ってないけど はっきりいってワケわかめ モデム | | PCルータ | | ハブ | -------- | | PC1 PC2 こういう環境で、マルチセッションでやろうと思っているのですが、 つまり1本の光回線を2社のプロバイダーと契約して使う、 上記の環境でPC1はプロバイダA、PC2はプロバイダBを使うというのは出来ますでしょうか? 現在の環境はモデムからPCへ繋いでマルチセッションで繋いでいる状態で、 DNSレコードの設定(取得したドメイン割り当て)で済ましています。 つまり、 プロバイダA aa.aaaa.net プロバイダB bb.aaaa.net こういう感じで振り分けしてます。 PCルータを噛ませた場合、この辺の設定はどうするんでしょうか? どうぞよろしくお願いしますm(__)m ルーティングは現在もやってはいるんですが PCルータかませても基本的には同じでしょうか? PCルータ側でどうやってPC1・PC2に回線の割り当てをするのかよく分からないんですよね 今まで通りDNSレコードでの振り分けだけでOKなのかしら >>82 DNSレコードで回線割り当てが既に意味わからんわ。 それ、どういう原理で振り分けができるか教えて欲しい。 上の環境でって事なら2つネットワークを作れば深く考えなくて済むと思う。 ウチは3回線使っていて、10点台、172点台、192点台のネットワーク作ってる。 ※別にクラスABを使う必要は無いが気分で。 振り分けてるのは内容が違うんですね。 現在はパソコン一台でマルチセッションにて接続しています。 つまり同じパソコン内でもhttpd.confでヴャーチャルホスト設定をしているので、 プロバイダA aa.aaaa.net ←こっちはPC専用(/home/aa/aaa/) プロバイダB bb.aaaa.net ←こっちは携帯専用(/home/bb/aaa/) こんな感じで運用してます。当然コンテンツは違います。 PCルータをつかい、PC台数を増やした場合、どのような処理なのかよく分からないです。 今考えて居るのは、 プロバイダA aa.aaaa.net PC1←こっちはPC専用 プロバイダB bb.aaaa.net PC2←こっちは携帯専用 にしようと思っています。 この場合、どういう動きをするのかが分りません。 aa.aaaa.net bb.aaaa.net にアクセスをしたら モデム | | PCルータ まではたどり着けますが、PC1、PC2への振り分けをPCルータで設定しないと駄目なんですよね? そこが分らないのです >>84 なるほどね。 逆に聞きたいんだが、現状のPC1、PC2からインターネットへアクセスする際は どうやって、ISPを明示して指定してるのよ? >>85 現状はPC1台です モデム | PCです 外へアクセスする場合はルーティングでデフォルト設定した方ですね。 >>86 意味わからん。PC1とPC2で振り分けしてるって事はPC2台だよね? >>87 という事は、そもそもWebのアクセスはインターネット側からは別々のISPから入ってくるけど、 戻りのパケットはデフォルトルートに指定したISPへ出てるんじゃない? >現在の環境はモデムからPCへ繋いでマルチセッションで繋いでいる状態で、 >DNSレコードの設定(取得したドメイン割り当て)で済ましています。 >つまり、 >プロバイダA aa.aaaa.net >プロバイダB bb.aaaa.net >こういう感じで振り分けしてます。 >PCルータをつかい、PC台数を増やした場合、どのような処理なのかよく分からないです。 >今考えて居るのは、 >プロバイダA aa.aaaa.net PC1←こっちはPC専用 >プロバイダB bb.aaaa.net PC2←こっちは携帯専用 >にしようと思っています。 しかし http://aa.aaaa.net/1.jpg http://bb.aaaa.net/1.jpg というURLでの返しですから戻りのパケットと言ってもやはり DNSレコードで指定しているルール、 >プロバイダA aa.aaaa.net >プロバイダB bb.aaaa.net に乗っ取って返してくれるんじゃないでしょうか。 この辺のうまいやりくりが分らないのでDNSレコードでやっていますが、 PC側の設定でどうにか出来る物なのでしょうか? ああ悪い。元々、現状の説明をしようとしていないから、抜けている部分が多すぎて こっちはさっぱり理解ができないんだな。 現状の環境にルータが挟まるだけという理解だったから、ルーティング的には元と 同じでいいんじゃね?と思ったんだが、どうやら違うのね。 戻りのパケットについてはtcpdumpでもやって自分で調べてね。1分もかからんだろ。 ちなみに元の質問の回答としては>>83 で終わってる。なんのひねりも無い分、特別な 設定も無いし、問題も起きないでしょ。 あとPCルータって言ってるけど、PCルータって特に関係ないよね? 業務用/家庭用ルータなら設定できてるってわけじゃないよね。 USBに入れてブートしてるよ。 マザーボードがUSBブートに対応してるやつじゃないとダメだろうけど。 serviceでhttpsとtelnetを有効にしてます。 これらをローカル側からしか触れないようにしたいんですけど、出来ますか? 宛先port23と443をrejectするルールをpppoeに適用したんですけど、駄目でした;; wikiのポート解放の手順で、ローカルアドレスをダミーにしたらできたよ >>96 なるほど、NATとは目から鱗。 >>95 は自己解決しました。 というか、元々正しく設定されていました。。。 単純に、ローカルから自己グローバルIP+Portを指定して繋がるかっていうテストが不適切でした。 ちょっとお伺いしたんです vyatta ver6.1でOSPF環境構築してるんですが ネットワークを2つ登録して別々のエリアに所属させてます 片方のインターフェイスからはHelloPACKETが出てるんですが もう片方からは検知できず マニュアル見ながらHelloインターバルを静的に設定したんですが状況はかわらずで す 強制的にHello出す方法ってありますか? それとも他に原因ありそうですか? wikiのとりあえず外へを見て設定してみたのですがpppoeは接続するのですが パケットが外へ流れて行きません set protocols static interface-route 0.0.0.0/0 next-hop-interface pppoe0 とするとvyattaからのpingやnslookupなどは通るようになりますが安定しません。 何かヒントを頂けないでしょうか 環境はNTT東のBフレッツ ニューファミリー ISPはBB exciteになります。 不安定っていうのは不思議なんだ。一度設定すれば設定道理に動くから、そもそもソフトではなく、ハード側なのでは。 NICやLANケーブルチェックしてみる。メモリーや埃を確認してちょ。 >>101 ありがとうございます 結論としてはinstall-imageでインストールしていたのが原因でした。 install-systemで再インストールしたところ何の問題もなる稼働してしまいました… あー・・・ipnutsの開発版CD-R失くしてしまった アカウント発行してもらった時のサービスの奴 正規版のデータもないし・・・ 今後はビヤッタに移るかVineでルータ作るしかないな 公式のフォーラムより ttp://www.vyatta.org/forum/viewtopic.php?t=5934 Vyatta version 6.2 is an incremental update that includes: - Image Cloning - Improved Configuration Management - IPS Enhancements - OpenVPN Enhancements - IPv6 DNS Resolver - HTTPS Filtering for VyattaGuard - Branch Maintenance and Rebase to Debian Squeeze DNSキャッシュのリミット低すぎ。 Bind入れるくらいせんとメモリ持て余すなあ。 あ、と思ったら新version出てるのか。 試してみよう nforce2(nf7-M)でインストールが出来ないな。似たような人居ないか? とりあえず、report1 CPU athlonxp 2500+ M./B NF7-M nforce2 MEM infineon DDR400 256MB HDD hitachi deskstar HDS728080PLAT20 ATA/IED NIC 玄人思考 GbE-PCI 2枚 NIC nforce2 onbord $install-system 〜前略〜 This will destroy all data on /dev/sda. Continue? (Yes/No)[No]:Yes >enter How big of a root partitioon should I create? (1000MB - 82000MB)[82000MB] : >enter parted: invalid token: primary Error creating primary partition on sda. Please see /tmp/install-2865.log for more details. Exiting... $cat /tmp/install-2865.log turning off swaps... Creating root partition on /dec/sda. parted /dev/sda mkpart primary 0 82000 Error: Expecting a file sysytem type. $ PPPoEブリッジなりパススルーなり同じだけど出来てる人っていたら教えて...(´;ω;`)ブワッ set service dns forwarding遅くね? bind9入れちゃった(´;ω;`)ブワッ 公開鍵どうやって登録するの? authorized_keys見たら勝手に書き込むなボケぇ書いてあるんだけど... esc-j.net/pc-router/index.php?VyattaUSB起動 ここ見てUSBメモリ化しようとしたけどFaildになる (Fedora LiveUSB Creatorのバージョンは最新の3.10) >vyatta-livecd_VC6.2-2011.02.09_2011-02-09_i386.iso selected >Verifying filesystem... >Extracting live image to USB device... >Wrote to device at 5 MB/sec >Creating 2047MB persistent overlay > >LiveUSB creation failed! できてる人いる? 俺の環境だとデフォでディスクのサイズ全体を使うと コケる事があった。 サイズは少し小さくして決め打ちしたらおkだったけど 因みにHDDだからUSBも共通かは知らん (´;ω;`)ヴィヤッタッ lospfのプロセスを再起動するコマンドってないの? ciscoでいうclear ip process xx LSDBの更新が上手く反映されない時とかによく使うんだけど OpenBlocks600に入れ使いたいよな Debianバージョンを置き換える方法ないのかな? VC6から6.2にうpするときLiveUSBでInstall-systemしたら今の設定消える? ipnutsってここでいいのかな? 質問です。エロイ人お願いします。 NICを3枚差しでeth0からeth2とし、eth0とeth2をbr10としてブリッジ接続しました。 基本設定で、br10に192.168.1.1/24のipアドレスを振って、とりあえず、eth0、eth2両方から外に出れるのは確認しました。 また、ipアドレスを指定すれば、eth2からeth0へ飛ぶことも確認しました。 しかし、Windowsのファイル共有が出来ない。どうすればいい? PCルータ専用ディストリスレって立ててもいいと思うんだけど板はどこが適してるのかな。 有名なのはLinux系とBSD系があるからLinux板は無理なんだよね。 自宅サーバ板? >>133 ipnutsスレってdat落ちしたの? 取り敢えずウザイ。 >>133 OSやディストリ問わず、全般的な話題だったら、一応、通信技術板には、 [NIC×2]PCをルーター代わりに使いたい。[自宅ルータ] http://hibari.2ch.net/test/read.cgi/network/1017813302/ っていうスレはあるよ。 教えてクンの投げっぱなしの質問ばかりだけど・・・。 >>134 ipnutsスレはいつのまにか落ちてたね。 ちなみに俺>>130 じゃないよ。現在ipnutsも使ってなければ戻る予定も無い。 pfsense & m0n0wallユーザだけど、Vyattaもこれから使いたいと思ってここチェックしてるだけ。 >>135 チェックしてみるよ。thx! >>137 レスありがとん 一応そこチェックしてるわ。738は俺の書き込みだったりして。 PC ルータ界隈が過疎ってるんだからしょうがない。 自宅サーバ建ててる人にはメリットが大きい場合もあるんだがな〜 普通はセッション2k超える事はないからなー PCを変えたらNTTまで30Mbpsから80Mbpsになった。しかし、ISPが8Mbpsだったorz うちだと特にトラブルもなく安定しちゃってるから、書くことがないw VyattaでPPPoEを使ったunnumberedの設定の仕方を教えて下され 複数のグローバルIPをPPPoEで使いたいんです お聞きしたいのですが、wifineみたく、接続したら自動で特定のwebページに飛ばすことってできますか? 店舗内で、無料で無線LANを使ってもらえるようにしたいと考えています。 その際に、まず最初に接続した時に、免責事項&承諾ボタン+簡単な店舗情報が書かれたhtmlを自動で開くようにしたいのですが。 >>146 スレチなレスなんだけど、Endian UTMのホットスポット機能はどうよ? ttp://www.plum-systems.co.jp/endian/ ここのスライドの後半部分 >>146 Captive portalでぐぐってみるといろいろ見つかると思う あんまり日本語の解説が無いけど、Untangleやm0n0wallあたりでの運用事例がでてくるよ Vyattaでのやり方はよくわからないんですまん >147 >148 ありがとうございます。 Vyattaにこだわっていたわけではないので、いろんな方法を検討してみようとお思います。 Endian UTMは一番安いタイプでも145,000円しますが分かりやすくてよさげですね。 >>146 こういうの買って来ちゃったほうが早いのでは。 バッファローの最新の無線LANルータだと、カフェにあるようなweb認証ができるみたい。 450Mbps対応とゲストポートを新たに追加、バッファローの全部入りルーター「WZR-HP-G450H」 http://internet.watch.impress.co.jp/docs/column/shimizu/20110621_454707.html Vyatta 6.3リリース ttp://www.vyatta.org/forum/viewtopic.php?t=6831 無料版からWebGUIが削除された点だけは要注意 IPv6のPPPoEはまだダメなのね。 Seilにも最近興味あるんだけど使ってる人って居る? スレチと言われそうだけど関連スレ見当たらなくて。 >>151 Vyattaの中の人は 「旧版のWebGUIは使うなり改造するなり好きにしていいよ」 って言ってるから、旧版使ってみれば? ttp://packages.vyatta.com/vyatta/pool/main/vyatta-webgui_0.2.13-55+larkspur9_i386.deb cpu2コア渡したら安定するな。 1コアだと時々通信が止まる。@hyper-v >>149 ここPCルーターのスレでいいんですよね?って亀レスすぎw Endian UTMのスレは無いの? 無料GUIで開発中ってこれだけなんでしょ。 教務用ルーター買う金無いから、Endianにチャレンジしてみるぜ。 coresoloノートとスイッチでも何とかなるよね。 100000アクセス/日程度で、個人ユースのルーターは余裕で死んだぜ。 10回以上、落ちては再起動をしてたら、ルーター部分が完全に死んだがな。 PPPoE(固定4IP) で IPsec + L2TP リモートアクセスVPN しようとしてるんだけど vpn l2tp remote-access outside-nexthop は何を指定したらいいんでしょうか ▼このような場合です 固定4IP 111.222.111.222./30 vyatta global ip 111.222.111.223 vpn l2tp remote-access outside-address 111.222.111.223 show interface ppp0とかで表示されるpeerのアドレスでいけた気がする >>164 ありがとう ifconfig で出てきた pppoe0 の P-t-P:123.123.123.123 を設定してみたけどダメでした pacekt from xxx.xxx.xxx.xxx:50010: initial Main Mode message received on 111.222.111.223:500 but no connection has been authorized with policy=PKS ちなみに 技術評論社の「vyatta入門」を参考に設定してます bootパーティションを別に切りたいけどできない? Gnu Partedでパーティションを切っても、一つのパーティションに全てインストールしてしまう。 さくらクラウドのパブリックテンプレートにvyattaが用意されてるな ルータがたびたび落ちて死にかけてるっぽいから PCルータやってみようと思ってるんだけど どれぐらいのPCでどれぐらいの性能が出るの? 3万円くらいのPCで十分なんだろうか? >>168 鼻毛&Intel NIC増設くらいでとりあえずは必要十分 どの程度の性能を求めてるのかにもよるけれど うちの環境だとWAN+自宅サーバ2台+PC2台で ルータに5本LANケーブルささってるんだけど PCルータで5ポートってもしかして高くつく? 軽く調べてみたら3万円以上するんだが、1ポートLANカードを大量につけるにしても そんなにPCIスロットついてるPCは高そうだし もしかしてポート数を必要とする場合PCルータのコスパはイマイチ? >>168 今現在のルータの世界は400MHzとか32MBとかでハイスペックモデルになるレベル。 最適化はしてないにしても、PCのスペックから考えれば、数年前のでも十分。 >>170 2万以下でハイスペックモデルのルータが買える時代なのに PCルータを作る時点で色々とお察しください 業務用レベルの性能が手に入るってのはロマンがあったんだが 大量ポートを用意しようとするとやはりルータを買うほうが良さそうだな Intel PT dualが5kで落ちてた時がある。 ある程度ポートはHUB使った方がいいと思うよ。 >>170 「ルータに5本LANケーブル」って 全部別々のIPアドレス持ってるポートなの? 単なる内蔵スイッチのポートではなく? Ciscoとかのデカいの使ってるんだろか。 つか普通に考えて たかだか「WAN+自宅サーバ2台+PC2台」程度のホスト数だったら ルータには2ポートで十分だと思うんだが。 どうしても必要ならVLAN対応のスイッチと組み合わせるとか。 >>170 BBルータとしてPC一台割り当てるのはオーバースペックすぐる どうせCPUもメモリもリソース余りまくるんだったらEndianFirewallあたりの UTMディストリにすればいい。PPPoE接続あるから。 スレ違いになるからUTMスレへ誘導したいが、あっちはここ以上に過疎ってるしなぁ。 すまん、スレチなのはわかってるが専用スレ落ちてるので・・・ ipnuts ってPPPoEパススルー対応? >170 普通そういうのはVLAN対応スイッチとルータでの組み合わせ。 L3スイッチ vs VLAN食えるL2スイッチ+Vyattaルータ うちの環境だとサーバ3台、そのうち一台の上のVMサーバ2〜3台(実験用等)、 PC3台、無線AP経由でスマホ1台、その他ネットワーク対応AV機器多数って 感じだがルータは2ポートで十分。 (今はPCルータではなく中古のYamahaルータだが3ポート中2つしか使ってない) そんなにネットワーク細分化しても意味ないだろう。 家庭ユーザが単に「業務用レベルの性能」が欲しいならYamahaの中古(業務用)で十分だと思う。 つい先日まで現行機種だったRTX1100でも1万くらいで買えるし、RTX1000なら2000円以下。 もちろん設定にはそれなりの知識がいるけど。 PCルータが純粋に優利になるのは結構限定的な状況だけだと思う。 ここの使ってる人たちも半分趣味の世界でしょ。 とりあえずのwikiを参照しつつ設定をしましたが、どうもDNSでの名前解決が出来ない様です。 環境は、ESXi5+6.3(64bit)です。 何方か解決方法を教えて下さい(´;ω;`)ブワッ >>184 DNSフォワーディングとか、やった設定を書きだすくらいしないと 自己解決しましたが、Vyattaのスループットって皆さんどの位出てますか? ログ付きで長文すみません。 ipsecをnat-traversalに設定してl2tpでiphoneから接続しようとしているのですがローカル接続だとつながるのに インターネットからだとINVALID_ID_INFORMATIONとエラーを出します。 iphoneの方はsoftbank 3Gでもiijmio 高速モバイル/D(光ポータブル)でもだめで サーバー側のルータのopt100e(NTT-E、Bフレッツ)の設定も見たのですがUDP500,UDP4500,ESPはサーバーのプライベートアドレスにIPマスカレードで変換してあります。 何を見落としているかご指導お願いしますorz [36] yyy.yyy.yyy.yyy:49106 #25: responding to Main Mode from unknown peer yyy.yyy.yyy.yyy:49106 [36] yyy.yyy.yyy.yyy:49106 #25: NAT-Traversal: Result using RFC 3947: both are NATed [36] yyy.yyy.yyy.yyy:49106 #25: ignoring informational payload, type IPSEC_INITIAL_CONTACT [36] yyy.yyy.yyy.yyy:49106 #25: Peer ID is ID_IPV4_ADDR: '192.168.11.2' [37] yyy.yyy.yyy.yyy:49106 #25: deleting connection "remote-access-mac-zzz" instance with peer yyy.yyy.yyy.yyy {isakmp=#0/ipsec=#0} [37] yyy.yyy.yyy.yyy:49050 #25: sent MR3, ISAKMP SA established [37] yyy.yyy.yyy.yyy:49050 #25: cannot respond to IPsec SA request because no connection is known for xxx.xxx.xxx.xxx/32===192.168.10.15:4500[192.168.10.15]:17/1701...yyy.yyy.yyy.yyy:49050[192.168.11.2]:17/%any===192.168.11.2/32 [37] yyy.yyy.yyy.yyy:49050 #25: sending encrypted notification INVALID_ID_INFORMATION to yyy.yyy.yyy.yyy:49050 6.4は商用版はもうでていて、フリー(vyatta core)は今月後半らしい。 使ってみたいなら、このスレッドのなかのリンクを参照。 現時点でのcoreのISOイメージをbuildしたものをおいてくれてる人が いるから使ってみるといいかも。 ttp://www.vyatta.org/forum/viewtopic.php?t=7912 所謂ホームルータみたいな単なるNAT鯖だと1CPUのメモリ512MBでも900Mbps出るね。 Pen3/600MHzくらいでもいけそう? NICはIntelの82559を挿す予定 >>188 同じような事象でなやんでます。 Vyattaが家庭用ルータのNAT下にいた状態で VPNをはることはできないのでしょうか? 4500/udpと500/udp をグローバルからプライベートにNATさせる環境で iPhoneからのL2TP+IPSecは成功した事があるので、問題無いと思います。 ただ、vyattaでどう設定するのかは判らない。。。私はUbuntuを使いました。 昨日はやたらとvyattaのメーリスが荒れてて笑ったわ 見てないけど何かあったん? ガキがはしゃいで諌められてたとか? いつの間にか公式サイト(vyatta.org)にも6.4が来てた。 ttp://www.vyatta.org/downloads 教えて下さい。 現在鼻毛サーバーとLANカード(Intel Gigabit ET2 Quad Port Server Adapter)で ルーターを作成しました。 ttps://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=1190 を参考にしながら作成しました。 LANカード増設分をeth1〜eth4をブリッジ設定しています。 現在の状況 LAN環境内でインターネット接続可能。 外部からグローバルIPアドレスでのサイト接続(サーバー公開)可能。 LAN環境内からプライベートアドレスでのサイト接続可能。 問題点 LAN環境内からグローバルIPアドレスでのサイト接続が不可。 LAN環境内からグローバルIPアドレスでのサイト接続を可能にする事はできるのでしょうか? 詳しい方、ご教授ください。お願い致します。 Vyattaがグローバルとプライベートの両方のIPを 持ってるって思っていいの? 出来るんじゃないかと思うけど、NATがちょっと面倒な事になる予感。 とりあえずサーバかvyattaでパケットキャプチャしてみては。 ありがちなパターンとしては、行きか戻りパケットの 宛先NAT、送信元NATが上手く行ってないんじゃなかろうか。 いわゆるヘアピンNATの話? Vyatta使ってないから何も言えなくてすまん つかまず質問者は 「サイト接続」の意味を明らかにした方がいいんじゃ >>201 の意味でいいのかな? >>199 質問者です。みなさんご教授有難う御座います。 >>200 グローバルとプライベートの両方のIPを持っております。 >>201 今までヤマハRTX1200を使用しており ヘアピンNATに関しましては初めて知りました。 ヘアピンNATの設定が可能か調べてみます。 >>202 DNS設定はしておりませんでした。 現在、この問題が解決出来ていない為、独自ドメインを割り当てていません。 >>203 現在はヘアピンNAT状態です。 ttp://wiki.het.net/wiki/NAT/Hairpin 参考になれば。 >>199 質問者です。 >>205 有難う御座います。参考にさせて頂きました。 A.B.C.1と192.168.100.1をNAT設定 rule 1 { destination { address AA.BB.CC.1/32 } inbound-interface pppoe0 inside-address { address 192.168.100.1/32 } protocol tcp type destination } rule 2 { destination { address AA.BB.CC.1/32 } inbound-interface br0 inside-address { address 192.168.100.1/32 } protocol tcp type destination } rule 3 { destination { address 192.168.100.1/32 } inside-address { address AA.BB.CC.1/32 } outbound-interface pppoe0 protocol tcp type masquerade } LAN環境内からAA.BB.CC.1でサイト接続は出来るのですが全く自信がありません。 間違いがあれば教えて下さい。宜しくお願いします。 なんでもいいけど 「サイト接続」という妙な用語を使うのはやめた方がいいんじゃないか? 質問するなら相手に確実に伝わる一般的な言葉を使いなよ 「一般的な言葉」が分からないならまずそれを調べるとこから始めるべき 質問するための情報集めているうちに自己解決することもよくある >>199 質問者です。 >>209 >>210 手厳しい返答有難う御座います。 Webサーバにアクセス、パケットが通るみたいな言葉が正解ですか? ずぶの素人ですみません>< もう少し情報集めてみます。 改めて読み返してみると もしかして >>199 = >>170 なのか? 6.4になって幾つかコマンド変わってるね。ちょっとハマったぜ・・・。 宣布論2100+(1GHz)、RAM 1GBでVC6.0だけど70Mしか出ん。 レンタルルータだと180出るんだけどな・・・このスペックでも不足なんだろうか? もちろんNICは2枚ともGbEです。 1GHzじゃ無理だろw 今のパソのスペックいくつだと思ってる?4GHzに16GBとかが普通なんだが? >>214 CPU負荷見れば不足かどうか分かるだろ >>214 CeleronはCPUキャッシュ容量が小さいからメモリの帯域が開かないので 速度はでない。まずメモリのベンチマークの差を理解したほうがいい。 恐ろしく違うから。DDR3で1600MHzなメモリで3chか4chで駆動して から出直せ。L3キャッシュ容量は最低でも6MByteな。 >>214 河童セレの700MHzにPC100の256MBでも実測300Mbps出てるぞ? なんか余計なもん動かしてんじゃないの? うちのC3ですら100Mなんぞ余裕だぞ >>215-220 なんか伸びてると思ったら変なの涌いてんのかw VC6.3 Xeon E3-1240 3.30GHz 上の KVM(qemu-kvm-0.12.1.2-2.209) 1CPU, 512M SNATかけてiperf計測で900Mbps↑でてるよ。 Brocadeってさくらインターネット以外で聞いたことないわ 不勉強なだけかもだけど 例えば3万円前後のハードウェアルーター(NVR500,GigaLink2000等)の性能に匹敵するルーターをVyattaで作るとすれば、 2.7Ghzの2コア,メモリ4GB程度のPCであれば問題無く凌駕すると考えてよろしいでしょうか? 最高速度は、専用品にかなわないよ。最高速というかレイテンシ 自由度とパワーだけなら楽に勝てるが、 耐久性やネットワークカードの値段、増設、メンテナンスも考えるとびみょー 良く考えれ。 内では仮想化してCelelon530/8Gの仮想マシン割り当てはCPU1、メモリ1Gで問題なく動いている。 なるほど...一筋縄ではいかないのですね 今使っている安物のルーターのNATセッションが2000と不足気味なのです 3万円台の専用品だとNATセッションが16000になるのですが、ちょっと高くて二の足を踏んでいる時にVyattaの存在を知りまして もし手持ちのマシンをルーター化できればNICの追加費用だけ済むのかなと思ったのですが とりあえず試してみようと思います ありがとうございました hyper-v対応とか言うけど具体的にどう変わったのか教えてくれよん 一応、新しいマシンにインストールまではしたが、正直めんどくさい。 まだ6.3のままだしなー すいません、一個教えて下さい。 vyattaって(ciscoの言うところの)VRFって出来ますか。 ないですね。 ESXiなどハイパーバイザの元で複数バラで動かす、になるのでは。 VRFへのfeature enhancement requests は少人数しかいないので、将来も見込み薄かと。 LAN側I/F 3つでVRRP、WAN側PPPOEを入れている。 6.4→6.6にしたら、VRRPが上がってこなくなった。 クリーンインストールしなおしても同じ。 だけど、pppoe0 関連の config 行を消してリブートすると VRRP は上がってくる。 その状態で pppoe0 を入れ直すと、pppoe0 も上がって正常動作に。 セーブ後リブートすると、元の駄目状態に戻る。 気持ち悪いがこのまま使ってみる。 UPNP用パッケージは以前と同じソース、リビルドだけで問題なく動いた。 >>241 ttp://www.vyatta.org/node/24942#comment-24411 だとどう? ttp://wiki.het.net/wiki/NAT/Hairpin >>242 >>243 これだったらport80しか有効にならないような気がする。 dd-wrtみたいに全ポートに対してヘヤピンNAT出来ないのかな? WANからNATしてるポートを全て、LANから自分のグローバルIP でNATすればいいよ。めんどうだけど。 >>245 WANが動的IP(pppoe)でも出来るんかな? 6.4→6.6後、一部webサイトの大きめ画像が表示されなくなった。 MSSの問題と推定、PBR使うことで解消できた。 けど、よくみかける設定値 (=MTU-40) は、今のクライアントには大きすぎるよねという話。 TCP option が長くつくようになっているから。 linux カーネル3.8.0機だと、TCP SYN時には MSS,SACK,TS,(NOP),WS、で20バイトもある。 実データ時は12バイトだったけど20のままで考える。 PPPoE 側 MTU 値 = 1454 として、 1454-20(IPヘッダ長)-20(すっぴんTCPヘッダ長)-20(オプション分) = 1384 えーいさらに余裕もたせて 1360 位でどうよ。で set policy route PPPOE-OUT rule 10 destination address '0.0.0.0/0' set policy route PPPOE-OUT rule 10 protocol 'tcp' set policy route PPPOE-OUT rule 10 tcp flags 'SYN,!ACK,!FIN,!RST' set policy route PPPOE-OUT rule 10 set tcp-mss '1360' set interfaces ethernet eth0 policy route 'PPPOE-OUT' set interfaces ethernet eth2 policy route 'PPPOE-OUT' set interfaces ethernet eth3 policy route 'PPPOE-OUT' set interfaces ethernet eth4 policy route 'PPPOE-OUT' こんな感じかなと様子見中。eth1はpppoe0用。 $ echo $((1454-20-20-20)) 1394 MSSを調整するでもいいけどPMTUD Black Holeなら特定のICMP通せばいいじゃん webサーバ側からDF付き・長いMSSでパケットが飛んできて、 MTU超過するのは自ルータの1ホップ手前 (PPPoEサーバ)だから、 自ルータで ICMP をどうって、送れなくない? >>240 このPPPoE入れてるとVRRP上がってこなくなるのうちもなんだけど、他に同じ症状の人はいないのかな。 6.5, 6.6両方とも駄目だった。 うちでは/config/scripts/vyatta-postconfig-bootup.scriptに次の2行を入れて回避してるんだけど。。。 test -e /etc/keepalived/keepalived.conf || wc -l /etc/keepalived/keepalived.conf | grep -q '^0' && cp -p /config/scripts/keepalived.conf /etc/keepalived/keepalived.conf ps -efl | grep keepalived | grep -vq grep || /usr/sbin/keepalived --snmp --vrrp --log-facility 7 --log-detail --dump-conf --use-file /etc/keepalived/keepalived.conf --vyatta-workaround ※ keepalived.confは/config/scripts/にコピーしてある。 もっといい対応はないかなぁ。 >>253 config 上では PPPoE 用口を set int eth eth1 disable にしておく。 ブート時に実行される /config/scripts/vyatta-postconfig-bootup.script で #!/bin/bash shopt -s expand_aliases . /etc/bash_completion.d/vyatta-op ip link set dev eth1 up connect interface pppoe0 としてみた。 vrrp の run-transition-scripts 時の方がいいかもしれない。 >>254 サンクス!参考になるわ。 eth1をDisableにしなきゃならないのが引っかかったけど、 そっちの方が綺麗にまとまってると思う。 BACKUPでPPPoE動かしたくないことを考えるとrun-transition-scriptsの方が良さげだね。 conf set i e eth1 vr v 1 ru m up_pppoe0.sh set i e eth1 vr v 1 ru b down_pppoe0.sh up_pppoe0.sh >>254 のスクリプト down_pppoe0.sh disconnect interface pppoe0 ip link set eth1 down ってな感じに設定しておけばPPPoEの切り替わりまでバッチリかな。 core i5か7にメモリも潤沢な構成で組んでマシン的には今時の最良なのを用意したとして、PCルータのレイテンシはどのくらいになるの? >>256 特に根拠もない予想だけど、C2D乗せて512MBくらいメモリ積んでおけば 同時接続数が糞多くない限りどんなに性能上げてもほとんど変わらないんじゃないかと思うの。 実際の数値は知らん。 >>255 ってな感じでばっちりでした。 次は、VPN着信がうまくいっていないのをどうするか思案中です。 PPPoE確立後にrestart vpnだけでは済まず、 delete vpn ipsec ipsec-interfaces interface pppoe0 set vpn ipsec ipsec-interfaces interface lo (←適当なI/F) でcommit、逆に戻してcommit、ぐらいの気付で回復しています。 ip link set dev eth1 up sleep 30 ←適当 connect interface pppoe0 sleep 10 ←適当 restart vpn service xl2tpd stop ←restartだとうまくいかない service xl2tpd start で、両系コールドブート、あるいはVRRP切り替わり後でも、 クライアントからVPN切断/接続すればつながるようにはなりました。 >>249 助かった。Twitterのアイコンがほぼ出てこなくてさ。 調べまくった結果、 http://www.isdn-info.co.jp/next/faq_04.html >MTUを1454B以下(MSSを1414B以下)に設定していただく必要があります。 で行ける。 プロバイダーの問題なのかもしれないが、ネクストマンションハイスピードで140Mbpsとか出る。 >>249 こういう風に全インターフェースで同じ設定を書くのが嫌だったんで、iptables見てみたら 「VYATTA_POST_FW_FWD_HOOK」っていういい感じのChainがあるんだけど、 このChainをconfigから設定できる? /config/scripts/vyatta-postconfig-bootup.scriptに、 /sbin/iptables -F VYATTA_POST_FW_FWD_HOOK /sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu /sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -j RETURN って書いたらいい感じに動いてるけど、なんだかなぁ。。。 >>261 直接関係ないんですが、netflow を late で仕掛けたとき、そのチェーンに組み込まれます。 /opt/vyatta/sbin/vyatta-netflow.pl を見てみてください。 iptables でモリモリ組んでまする。 VYATTA_* なchainを直接いじると、config編集時に消されてしまうかもしれないので、 bootup 時に自分用 HOOK を追加してそっちで加工するとかがいいかも。ただの思いつきです。 ただ、流儀が変わってしまったので、こういうものだと割り切ってもいいんじゃないでしょうか。 6.2 頃の書き方では、出口インタフェースでMSS変えれたようなんですが。 ttp://itls-memo.blogspot.jp/2011/05/tcp-mss-adjustment-on-vyatta-62.html 特定トラフィックパターン(実機nas4free〜ESXi上のvyatta〜同上のnas4free 間でのrsync)で vyattaのCPU使用率が高い。700Mbpsで100%。特にksoftirqdに食われる。 FWかけてるにしても、以前はこんなことなかった、と見直し。 両端ホストのsysctl.confからnet.inet.tcp.delayed_ack=0 を外したら回復、800Mで25%。 ACKだけショートパケットの大量襲来がつらかったようです。 物理・仮想の両端ホストでnet.inet.tcp.path_mtu_discovery=0を外したところ、 仮想側(rsyncサーバ寄り)NICで観測されるパケット長は600バイト→4KBに上昇、 1GB転送時の送受パケット総数は 1/4 に減少。スループット変化なし。 vyattaのCPU使用率は25%→3%に改善されました。 両端ホストはMTU1500でTSO有。vyattaとvSwitchはMTU9000です。 tcpdumpで1パケット30KB超が出てきていて、自分が何を見ているのか不安になります。 08:44:27.013353 IP 192.168.x.x.873 > 192.168.y.y.y: Flags [.], seq 88397:123149, ack 117, win 57, options [nop,nop,TS val 21747608 ecr 1610622], length 34752 MTUよりはるかに大きい。 TSO有のせいというか効果なのだと思いますが vyatta上でのtcpdumpではなく物理NIC出力後にキャプチャしないと、何だか理解できないですね。 sudo ethtool -K eth0 lro off gro off にしたところ、tcpdumpで本来の長さのパケットが見えるようになりました。 VyOS version 1.0.0 (Hydrogen) was release on Dec 22nd 2013 . Vyattaからフォークしたのね。 OpenSolarisと同じ構図か・・・。 >>29 のスクリプトって6.6x64 では動作しないっぽい 自宅のファイアウォールが電源ユニットから異音を出し始めてもうそろそろヤバイ雰囲気なので、 空いていたノーパソにVyOS突っ込んでみた。 本当はCardBusのLANアダプタ増設して有線のデュアルホームにしたかったんだけど、軽くていいね。 ファイアウォールとするのにdhcpやdnsやiptablesを設定しようとしたんだが、 それをこの独特のコマンドラインでどのように操作すれば良いのかわからず戸惑った。 なんか革靴の上から水虫を掻く感じでじれったかったけど、これはこれでアリだろうな。 まだファイアウォールというより単にアドレス変換してるだけだけど、 逝ってしまったときの緊急用の代替機としてはこれで十分。 次から次へとパーツやルータを買い替えずにそうやって手持ちのパーツでタケノコ生活するのはイイなw すみません。結局、USB接続の有線LANアダプタを買ってしまいました。 インターネット側のインタフェースにするつもりだったので、 GbEなんて買うだけ無駄と割りきって、100BaseT on USB2.0の枯れたやつを選びました。 牛のLUA3-U2-ATXですが、目論見通りVyOSが一発で認識。どノーマルのカーネルでOKでした。 適当にルールを書いて、今は一応、ファイアウォールしてくれてます。 c60m1-iにVyattaインストールして起動させると GRUB Loading Welcom to GRUB! の画面のまま固まって起動できない。 LANが認識できないのかと思って内臓LANをオフにしても駄目。 かれこれ10日悩んでます。 HDDをフォーマットしなおしてインストールしても変わらず・・・ 同じ症状になった方居ますか? イメージのファイル名くらい書け。 i386のLiveCDでも起動しないのか? >>277 失礼しました。バージョンは、VC6.6R1_i386になります。 LiveCDから起動して、install sysytemコマンドを打って Setteing uo grub:ok Done!まで無事に進みます。 その後にrebootをしてCDを抜いて起動するとWelcom to GRUB!で止まってしまいます。 同じやり方でEsxiの仮想サーバにインストールしたところ、正常に起動できました。 >>279 やはりUEFIが怪しいですよね。 AtomD510マザーにHDDを繋ぐとVyattaが起動するので、インストールは正常にできている様子です。 c60m1-iのBIOS互換モードでインストールし直しても症状は変わらずでした。 c60m1-iにWindows8を入れてみた所、問題なく使用できるので壊れてはいなさそうです。 UEFIのH77+i7PCをバラして、それにVyattaをインストールしてみようと思います。 Athlon5350+AM1で動作実績があれば、即ポチっちゃうんですけどね・・・ VyattaでもAtomでもなく、DebianとGigabyteのH78マザーにUSB-DVDからインストールしたときのことですが BIOSの起動オプションで UEFIなDVDではなくLegacyなDVDを優先するようにしないと HDDから起動できませんでした。UEFIなDVDから起動するとDebianはUEFIを使って起動するように インストールされてしまうらしいです。 ご参考までに。 >>281 ありがとうございます。 ・DVDドライブ(非UEFI)を起動順序1番にしてインストール NG ・SATA1にDVD、SATA2にHDDを繋いででインストール NG ・BIOSを最新にしてインストール NG という結果でした。 手詰まりなので、Asusマザー以外のシステムで試したいと思います。 引き続きアドバイス頂けたら助かります。 長々と失礼しました。 UEFIだとCPUが64bitだとOSも64bitじゃないと起動しないヤツもあるとか... "Welcome to GRUB!"ってGRUBのメニューや本体を読み込む段階だったっけ。 HDDが認識できてないのか、GRUBのいるパーティションが認識できてないのか分かるように作っといてくれるといいのにな Welcomって書いてあるのはtypoだよね >>1 のwikiがボロクソに荒らされていた上に pukiwikiが使えない状態になったので、データ抽出して他のwikiに変えました また荒らされると、たまったものじゃないので編集制限かけます アカウント WAN パス lan 勢いでAthron5350+AM1Iを買ってきて、VC6.6R1_i386をインストールしたところ 無事に起動しました。 アドバイスを下さった方々ありがとうございました。 c60m1-iは諦めて、Athron5350で構築する事にします。 uefi class 3がそのうち当たり前になりそうだから、VyOSではUEFI対応を進めてほしいな >>290 おれは最初vyattaを見つけて体験してみたあと、 最終的にはVyOSで我が家のファイアウォールを立て直した。 vyattaのエキスパートじゃないから、もしかしたら大きな違いを見逃してるかも知れんが、 ググって見つけた情報はほとんどそのまま使えるし、別にこれで不便は感じてない。 メンテナンスリリースってとこですかね。 次期リリースHeliumは今夏予定 bridgeしたインターフェースでVRRPしようとしたらうまくいかないんだけど、 そもそもbridge自体にVRRPできないの? できんこたないだろうけど、 仮想ルータ用の MAC アドレス宛てのパケットの経路は引いてやったのか? あとプロトコル112だっけか? >>295-296 ありがとうございます。 定義ファイルをコピーしたらCLI上で設定可能になりました。 Vyattaでupnpパッチ当てて使ってるから VyOSに踏み出せずにいた。 が。vyatta.orgも3月からつながらなくなったままのようだし、進むか。 今朝VyOSのファイアウォールを立ち上げようとしたらHDDがI/Oエラーでブートしないでやんの。 早速USBからVyOSを起動して取り急ぎddでダンプしたら、11セクタほど読めなくなってた。 母艦に持って行ってe2fsckかけたら運良く復旧できたので、それでパーティション切り直した。 60GBの頭4GBを使ってただけなので、そこを飛ばして切り直して注ぎ込んだら直った。 configをバックアップしてなかったので、もしファイルシステムを復旧できていなかったらと思うとゾッとする。 教訓: configは必ずバックアップをとって、安全な場所に保管しておきましょう。 それさえあれば新しいHDDを買ってきて、新規インスコしたあと元に戻せるので。 絶対だよ! 今すぐやれ! このスレ読んでる場合じゃないぞ! 警告したからな! ファイアウォール機能ってiptablesを使っているみたいなので、 この部分だけGUIのフロントエンドを使って、ブラウザで管理する、みたいな使い方って出来るかな? ufw+lighttpdインスコして適当なcgiでも書けば作れるだろうけど、 ファイアウォールに余計なものを入れれば入れるほど脆弱性も増えちゃうわけだし。 折角フットプリントの小さなVyattaやVyOSなのになぜわざわざ重くしたいのかわからんし、 ブラウザでチョチョイ♪と使いたいなら無理してこんな使いにくい鳥使う必要ないし。 「ブラウザで」って時点でhttpは穴を空けとかなくちゃいけないのに、 そのiptablesをそのブラウザで「チョチョイ♪」と塞いじゃったらアウトじゃん...とか。 それにNATさえできればファイアウォールになるわけじゃないし...。 おれにはなぜこの鳥でそんなことをしたいと思うのか、その理由がわからんのだが。 ブラウザでやりたかったらpfSenseかIPFireでいいんじゃね とりあえず・・・、core版ソースは拾っておいた $ git clone http://git.vyatta.com/build-iso.git そのうち公開されなくなるんだろうな。 何日か前、珍しくアップデートがきたけど、そのときかな? 1.0.4にアップグレードしたら、 外側のインタフェースに使ってるUSB有線LANアダプタが立ち上がらなくなってしまった。 調べるにもネットに繋がらないとはじまらないので、ひとまず1.0.3で立ち上げ直した。 1.0.2→1.0.3のときはこんなことなかったのに...。なんでだろ。 起動時にカーネルモジュールをロードさせるようにしたら通電するようになった。 でもUSB有線LANの方のインタフェースのデバイス名がなぜか変わっちゃった。 そのせいかどうかわからんが、アドレス変換がうまく働いていない。 ちゃんとデバイス名を置換してloadし直したんだけどなぁ...。 1.0.4にアップグレードしたいやつは、まずLive-CDなどで起動してみて、 すべてのインタフェースが同じデバイス名で認識されるかどうかを確認してからの方がいいかも。 結局、ip_forwardが1になってなかったのが原因でした。 原因を辿って行くと、カーネルの起動時オプションにconsole=ttyS0しかなくて、 console=tty0がないのがいけませんでした。 シリアルポートはないので、console=tty0もないと起動時には何も表示されず、 いきなりログインプロンプトがでる状態でした。 どういうわけかこの状態だとinitがprocpsを起動してくれないようです。 procpsが起動されないので、/etc/sysctl.confに書いてあるip_forward=1が反映されませんでした。 もしかしたらカーネルモジュールが読み込まれなかったのもこのせいかも知れません。 なぜconsole=tty0がなかったのかは不明ですが、とりあえず1.0.4をデフォルトに戻しました。 VyOSになってからupnpって使える? 前は非公式パッチで実現してたんだっけ? おれは母艦でもUPnP使わんからわからんが、 今ならまだVyattaからフォークして日が浅いから Vyattaでのやり方はそのままVyOSでもできる可能性は高いんじゃないかな。 githubから引っ張ってきたソースからdeb作るんでしょ? 依存パッケージさえあればその.debそのまんま使えそうな気がするけど...。(無責任モード) テストがてら書き込み VyOSでQoSやってみてるんだけど、traffic-policyを設定した後deleteしようとするとエラーになる 以降は設定関係がおかしくなるので何もせず再起動するしかないんだけど 設定ファイルを直接書き換える手とかってないですか? すいません、ご存じの方居ますか。 vyattaで、wlan0、eth0をブリッジして、 イーサネットコンバータを作りたいのですが可能ですか? "イーサネットコンバータ"の意味が激しく不明。 イーサネットと何を変換するんだ? ちなみに我が家のファイアウォールはVyOSだけど、 内側がwlan0とeth0をくっつけて作ったbr0で、 外側がUSBの有線LANアダプタ(eth1)だ。 br0とeth1の間でルール書いてファイアウォールにしてる。 dhcpサーバとdnsmasqはbr0で動かして、 eth1ではdhclientを動かしてる。 こういうことくらいはできる。 あとは自分で考えろ。 そもそも単なるメディアコンバータ的なブリッジならPCなんぞ使わずに そこら辺で売っている家庭用のAP買ってきた方が圧倒的に安い。 個人ではVlanがあるけどL3SW高いね、とか、DMZとか作りたいけどアプライアンス高いね、 といったときに使う物なんだが。あと、ラボをVMwareとかVirtualboxで再現するとか そいった用途ならわかるんだけどさ。 イサコンはイーサネット(Ethernet)を無線に変換するから分かるけど メディコンって媒体変換だからなんか違うんだよなあ 無線LANイーサネットコンバータが正しいのでしょうか? 有線LAN(イーサネット)接続を無線LAN接続へ変換する装置。 離れた部屋にあるPCをWoLANしたいので、これが必要なんですよね 今はコレ http://www.planex.co.jp/product/wireless/gw-ap54sp-p.shtml 使っているのですが、最近調子が悪くてしょっちゅう再起動が必要です >>315 さま ふむふむ VyOSというものならbr0にwlan0とeth0を含めることが可能なんですね Vyattaでは同じ事を実現しようとして失敗しています。 ココの、 http://serverfault.com/questions/214056/wireless-client-to-ethernet-bridge-with-vyatta No Go. Turns out this is not yet possible. From the vyatta forums: In general linux does not support bridging wireless in station mode. The problem is that wireless is internally point-to-point based and doing bridging requires MAC address spoofing. と言う情報を見て、英語なので半分も理解できないながらも、不可能なのかもしれないと考え、315を投稿した次第です。 VyOS、試してみたいと思います >>317 安く、無線LANイーサコン実現できる、APで安いものまだありますか? どれも5,000円近くして手が出ない。廃品PC+Vyattaならタダだし助かるかな、と 昔はWHR-G301Nが2000円で手に入ってDD-WRT入れて無線LANイーサコンにしてたのですが・・・ >>319 あんたがどういう構成を作りたいのか知らんが、>>316 はAPだよ。 「ファイアウォール」って書いてあるだろ。 APなwlan0ならeth0とブリッジにできるよ、って話。 これならVyattaでもできるはず。 そのURLを読んでみ。 言ってることの違いがわからんか? 単にブリッジするだけならL3のソフトを使うまでもなく bridge-utilsに入っているbrctlで充分でしょう。 >>319 廃品PCとやらを、1年動かすと電気代で5000円くらい簡単に超えるんでは? wrt入る適当な箱をオクで探せば2000円もしないと思うのだけど。 >>318 UTPを光Etherに変換する箱もメディコンって呼んでたよ。面倒くさいから。 無線から有線のイサコンなら1000円で普通に売ってるな >>323 媒体変換だからそれは正しいよ イサコンもメディコンの一種だし。 ただ、有線を無線に変えるのってメディコンより イサコンのほうがより適切だと思うんだ。 メディコンを鍋、イサコンを水炊きに置き換えればなんとなく伝わるかなあ まあ細かい話ではあるけどね >316-317の流れで書きたくなったのさ vyos1.1でmss clampの設定が出来るようになったのかな? >>319 消費電力考えるとおとなしくイーサコンバータ買った方が賢い気がする vyatta って無線 LAN をサポートしているとは思うのですが、 動作確認済みのリストみたいのってあるんでしょうか? debian が認識するWiFi NICならいけるんじゃね? 最新規格に対応してるものだと当然ながら最速だが、 どのようなチップが使われてるか、またそのlinux用ドライバがあるかどうかをよく調べること。 さんざんググってもどういうチップが使われてるかわからないような奴はダメと推定する。 ちなみに俺はVyOSだけど、Dynabook SS内蔵の無線LANはそのまま使えた。 Atheros Communications Inc. AR5001 Wireless Network Adapter (rev 01) 内蔵タイプでこれはよくあるやつとおも。 USB外付けでは、 Ubuntu 12.04 LTS で WLI-UC-GNM2 は一発で認識した。 VyOSでは(多分Vyattaでも似たようなもんだと思うが)カーネルは linux 3.3 だから、 まずこいつがドライバもってなけりゃ話しにならない。 但し、親機モードで使えるかどうかはチップによって違うので、そこんとこは注意点。 もしこれから新規に買うなら、規格が古くて遅いけど、 未だに新品を買えるようなものを敢えて選んでみるというのも手。 そういう奴は随分安くなってるはずだから、ダメ元の覚悟で突撃しやすい。 しかしクライアントモードで動作してもhostapでAPにできなかったりする。 ドライバぇ USBのwlanアダプタでhostapやるのはちょっと厳しいね。 192.168.1.0/24 ↓ 192.168.2.0/24 ↓ vyos *.*.*.*/32 (PPPoE固定IP)(SNAT) こんな感じでルーター作ったんですが、192.168.1.0/24のサブネットで webアクセス時index.htmlだけ表示されて他の素材とかERR_CONNECTION_RESETというエラーになってしまうんですが、 何がいけないのでしょうか。 >>335 セグメント3個ってことはVyOS以外にもL3がいるでしょ? RIP喋らせなさい。 VyOSはルーティングプロトコルなしでは直接繋がっている箱の先を 知らないよ。 デフォルトゲートウェイで網側に投げることは出来るけど、 帰ってきたパケットが行方不明になる。 マンガの書き方のせいで情報が足りないや。 >>336 ありがとうございます。 やってみます。 >>338 普通境界ルータのVyOSが帰ってきたセグメントを該当なしで デフォルト側の網に送り返して、いずれ落ちるのが常識的な動作かね。 2.0は直接繋がってるけど、1.0は直接繋がっていないので、 VyOSともう一つの箱がRIP喋るか、VyOSがスタティックを切って もう一つのに流す必要がある。 というわけで、質問者はネットワーク構成図を書いてくれ。 多分RIPで解決するはずだが。 (まさか仮想機械ではあるまいな?) あの程度でわざわざRIPもないだろ。 冗長化されてるわけでもないし、 いくつかある経路が切り換わるわけでもあるまいし。 192.168.1.0/24と192.168.2.0/24の間がアドレス変換してて、 ICMPをブロックしてしまってるという線もある。 PathMTUDiscoveryができなくて大きなパケットが通らなくなる。 だから画像などが取れない。 オレならまずこういうシナリオを考えるけどな。 なんか PPPoE の MSS 制限が効かないとかってバグがあったような気が あった Vyattaを6.5にアップしたらMTU制限が効かなくなって切り戻した→解決!? - mikedaの日記 ttp://mikeda.hatenablog.com/entry/20121217/1355762337 そういえは >>335 と似たような症状にはまってたわ >>342 あ、これと全く同じ症状です! ありがとうございました。 現在unnumbered接続をしていてさらに別セッション(別プロバイダ)にて unnumbered接続をしたいのですがそのようなことは可能でしょうか? おまえさんがRIPを設定できるのなら可能かも試練。多分できそうな気はする。 しかし「なにそれ、おいしいの?」というレベルなら、おまえさんには不可能。 >>346 RIPですか・・・昔、本で見たけど難しくてそっと閉じ・・・という感じです。 こんな風にしても無理っすかね?RIPは必要? ↓PPPOEマルチセッションにして物理nic追加 interfaces { ethernet eth0 { hw-id 00:00:00:00:00:00 pppoe 0 { password **************** user-id aaaaa } pppoe 1 { password **************** user-id bbbbb } } ethernet eth1 { address 100.100.100.100/28 hw-id 11:11:11:11:11:11 } ethernet eth2 { address 100.100.100.200/28 hw-id 22:22:22:22:22:22 } } >>249 の方法だとwan-load-balanceを使った際に効果が無い仕様(バグ?)があったので、 >>261 を参考にして設定したら上手く行った。 ありがとう。 VyOS 1.0.4を1.0.5に上げたらどうもnatがうまく動いてくれない。 dnsmasqはちゃんと動いてるのに、tcpのセッションを張れない。 firewallのルールが変わったのか? 何か追加してやらないと1.0.4のままじゃダメなのか? 幸いimageインストールにしてあるから1.0.4をデフォに戻してるけど。 うーむ、よくわからん。 いきなり1.1.0にしなくてよかった。(多分) Vyattaでフレッツひかり電話ルーター配下のIPv6の設定で上手く動いている人いますか? ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが 設定ならなくて困っています。 http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html ipv6 address autoconf ipv6 disable-forwarding とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・ ipv6 router-advertなどのお勧めの設定ありませんか? Vyattaでフレッツひかり電話ルーター配下のIPv6の設定で上手く動いている人いますか? ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが 設定ならなくて困っています。 http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html ipv6 address autoconf ipv6 disable-forwarding とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・ ipv6 router-advertなどのお勧めの設定ありませんか? ここでいいかわかりませんが訊いてみます。 VyOS+Hyper-Vで組んでみたのですが、NICドライバの設定方法がわかりません。 (チェックサムオフロードとかTxRxバッファサイズの設定などのNIC依存部分) ethtoolを使ってみたのですがサポート外のようです。 どなたかわかる方いましたらお願いします。 >>355 /config/scripts/vyatta-postconfig-bootup.script #!/bin/sh for i in eth0 eth1 eth2 eth3 eth4; do ## ethtool -G ${i} rx 2048 tx 2048 ethtool -K ${i} tso off lro off gro off gso off done たぶんこんな感じ。 以前 vmxnet3で rx, tx いじったときカーネルパニックで 再起動延々し続けたので、今はやめてる。 >>358 設定ありがとう。 でも上手く動かなかったわ。 そもそもethtool -G eth0を叩くとOperation not supportedって出る。 仮想NIC側が対応してないのかも。 統合サービスとか入れるのかと思ったんだけどイマイチ見つからない。 >>359 ttp://www.mindworks.shoutwiki.com/wiki/Ethtool_Support_for_Microsoft_Hyper-V へぇ Hyper-V では ethtool 動かないんだ レガシネットワークアダプターこと e1000 では嫌かな 一応統合サービスは入ってるのでレガシーよりは遥かにいい レガシーだと100Mbps相当になるっしょ ただNIC固有の機能設定が殆どできないのが勿体無いんだな せっかくI350買ったのに…… vmxnet3 で物理NIC固有機能なんてどのみち使えないでしょ。Hyper-V 以外でも。 VT-d するならともかく。 メールサーバ作ってるんだがPOP3Sでメールを受けようとすると通信がタイムアウトしてしまう。。。 maillogやtcpdumpを見てみると外部からのアクセスは来ていて、 応答も投げ返しているのだが途中から相手方のサーバの通信が来なくなってしまう。 VyattaのLAN側とWAN側(PPPoE)でtcpdumpしてみるとどうやらこちらのメールサーバのパケットが VyattaのLANまでは来ているのだがWANに出て行っていないみたい。。。 まったくWANに出て行かないわけではなくて、多分TLS handshakeの前後位から出て行けなくなるみたいなんだけど 誰か解決策orヒントわかりませぬか。。。 出ていけるパケットと出ていけないパケットの違いがわからない。。。 23:45:44.337952 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [P.], seq 1449:1711, ack 308, win 972, options [nop,nop,TS val 1309150490 ecr 2175665493], length 262 23:45:44.353062 IP *REMOTEIP*.54951 > *LOCALIP*.995: Flags [.], ack 1, win 365, options [nop,nop,TS val 2175665635 ecr 1309150377,nop,nop,sack 1 {1449:1711}], length 0 23:45:44.573398 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [.], seq 1:1449, ack 308, win 972, options [nop,nop,TS val 1309150728 ecr 2175665635], length 1448 ↑の一番最後のパケットがWAN側に出て行かない。。。 >>366 早速あんがと。 ただ、そこはmss値は1394で設定済みで、Webサイトの閲覧に特に問題は感じないのです。 (感じないだけでどこか問題はある、かも。。。) 試しに>>249 に合わせて1360にしてみたけど状況はかわらないです。。。 ファイヤーウォールの配下のNAT環境にVyOSを配置していますが、この場合outside-addressはどうしたらいいでしょう? Internet ---- (GIP aaa.bbb.ccc.ddd)FW(PIP 192.168.99.1) ---- (192.168.99.254)VyOS という感じです。 FWで透過型の設定が出来ればいいのですが、制限がかかっており仕方なくNAT環境にしています。 cannot respond to IPsec SA request because no connection is known for のログが出力されているので、NAT-Traversal関係だとは思うのですが。 どなたか同様の問題の対処をされた方いらっしゃいましたらご教授頂けないでしょうか。 >>367 >>249 は、外から来たクライアント要求 TCP SYN の MSS を書き換えてない。 それが大きいままにLAN側サーバは同意しちゃうから、長いので送っちゃう。 TCP ペイロード length 1448 もあったら、PPPoE の MTU を通り抜けられないでしょ。 PPPoE in 側 (もしくは LAN への out) でも mss clamp かけてみたら。 >>368 仮想ルーターVyattaを使って、SoftLayerとオフィスを直結する でぐぐって、真似る。 >>369 かけたりもしたつもりだったんだけどflagsの指定間違ってたみたい。 言われて注目して気付いた。 ありがとう、ありがとう。 >>370 情報ありがとうございます。生憎、その情報は確認済みでした。 情報不足でしたが、今回構築したいのはLAN間接続ではなくL2TP/IPsecのリモートアクセスになり、 したがってVyOSもリモートアクセスクライアントもNAT配下となります。 >>368 vyatta/vyos よりも、素のxl2tpd方面で調べる方が作例多そう。 Internet ---- (GIP aaa.bbb.ccc.ddd)FW(PIP 192.168.99.1) ---- (192.168.99.254)VyOS なら /etc/xl2tpd/xl2tpd.conf には [global] listen-addr = 192.168.99.254 と入るのが妥当と思う。aaa.bbb.ccc.dddでは listen しようがないから。 cannot respond to IPsec SA request because no connection is known for は、allowed-network 入ってます? set vpn ipsec nat-networks allowed-network 0.0.0.0/0 exclude '192.168.0.0/24' みたく。set vpn ipsec の辺は/etc/ipsec.confに反映されてplutoが読む。 >>374 アドバイスありがとうございます。 listen-addrはローカルIPを設定しています。試しにグローバルIPを設定してみましたが、変わらずでした。 (このコマンドはRTXシリーズで言う所の ipsec ike local addressにあたるのですよね?) /etc/xl2tpd.confを直接見てみたところ、local ip項目が自身のローカルIPではなく、 まったく異なるものでしたが、これはVyOSの仕様なんですかね? 手動で編集してみましたが、configureからcommitしなおすと元に戻ってしまいます。 allowed networkはset vpn ipsec nat-networks allowed-network 0.0.0.0/0を入れています。 具体的には以下の様なログが出ています。 cannot respond to IPsec SA request because no connection is known for aaa.bbb.ccc.ddd/32===192.168.99.254:4500[192.168.99.254]:17/1701...zzz.yyy.xxx.www:63686[192.168.100.103]:17/%any===192.168.100.103/32 >>372 現状は「とりあえずできた版」でしかないから整理して週末にでも晒します。 >>369 うちの場合面倒だから SYN 立ってるパケット全部対象にしてる set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0' set policy route PPPOE-IN rule 10 protocol 'tcp' set policy route PPPOE-IN rule 10 tcp flags 'SYN' set policy route PPPOE-IN rule 10 set tcp-mss '1414' ポリシーベースのルールが適用されるのってパケットの方向関係なく、指定された インタフェースを通るタイミングなんだよね? 例えば eth1 に set してるとして、 eth0(WAN) -> eth1 -> LAN内 と LAN内 → eth1 → eth0(WAN) のどちらにもルール効いてる? 週末に晒すとか言いながら大分後の週末になってしまった。。。 今のところ問題は見当たらないけどこれがベストではないと思う。 # show policy route route PPPOE-VIA-FLETS-IN { rule 10 { destination { address 0.0.0.0/0 } protocol tcp set { tcp-mss 1414 } tcp { flags SYN,!ACK,!FIN,!RST } } } route PPPOE-VIA-FLETS-OUT { rule 10 { destination { address 0.0.0.0/0 } protocol tcp set { tcp-mss 1414 } tcp { flags SYN } } } # show interfaces ethernet eth0 pppoe 0 policy route PPPOE-VIA-FLETS-OUT # show interfaces ethernet eth1 policy route route PPPOE-VIA-FLETS-IN リモートアクセス経由で入ってきた通信をルータのデフォルトルートとは別の場所に飛ばしたいんだけど、うまく出来てる人いる? 接続時にl2tp0ってインターフェースができるみたいなんだけど、そのインターフェースにはpolicyが適用できないっぽい。 *.v4flets-east.jpの名前解決を、フレッツのサービス情報サイトの DNSサーバーにforwardしたいときってどう書けばいいのかな。 pppoeはつながってるし、サービス情報サイトだけの接続なら 問題ないんだけど、インターネットと同時につなげようとすると 名前解決がうまくいかないんだよね。 eth0 pppoe0 インターネット eth0 pppoe1 サービス情報サイトNGN IPv4 eth1 LAN eth2 使ってない protocols { static { interface-route 123.107.190.0/24 { next-hop-interface pppoe1 { } } interface-route 220.210.194.0/25 { next-hop-interface pppoe1 { } } } } dns { forwarding { cache-size 0 listen-on eth1 listen-on eth2 options "server=/*.v4flets-east.jp/123.107.190.5" options "server=/*.v4flets-east.jp/123.107.190.6" } } >>5 オープンソース界隈じゃもう、rerdhat系なんてメジャーじゃないよ。 Debian一色。 当然Centなんて論外だし、Fedoraもどんどん規模が小さくなってる。 >>382 dnsmasq.confの文法でいうと*.が邪魔なんじゃないでしょうか。 ttp://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html -S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]] if you have a nameserver on your network which deals with names of the form xxx.internal.thekelleys.org.uk at 192.168.1.1 then giving the flag -S /internal.thekelleys.org.uk/192.168.1.1 will send all queries for internal machines to that nameserver, everything else will go to the servers in /etc/resolv.conf. ソースインタフェース指定もできるんですね。 >>384 ありがとうございます。 エラーメッセージが出てこないのが痛いな… どうもHGWのPPPoEブリッジを経由すると、2つめのセッションが うまくつながらないようです。ISPかサービス情報サイトの片方だけなら 問題なくつながります。 HGWを通さなければちゃんと2つともつながるんですけどね http://feasible-lab.com/cisco%E3%83%9E この例だとサービス情報サイトのDNSサーバー(123.107.190.5, 123.107.190.6)をコンフィグに書いて、ISPのDNSサーバーは ppp ipcp dns request accept で取得するという目論見のようだけどうまく動くのかな Vyattaだとこのコマンドになるかな set system name-server 123.107.190.5 set system name-server 123.107.190.6 set interfaces ethernet eth0 pppoe 1 name-server auto Vyattaだとこのドメインルーティングには対応してないよね? https://flets.com/customer/next/square/setup/v4/win7.html >>384 のアドバイスの通りやってみたらできました! IEからはアクセスできてChromeからはダメだったので ChromeのDNSキャッシュを消した http://d.hatena.ne.jp/killinsun/20131128/1385609793 のですが、それでもダメで ipconfig /flushdns でつながりました。 ありがとうございました。 dns multiple forwarders の設定、以前悩んでた。 今のvyatta本家は知らないけど、派生系バージョンは微妙にコマンドが違ってる。 VyOS 1.1.5 (helium) set service dns forwarding name-server '8.8.8.8' set service dns forwarding domain flets server '123.107.190.6' EdgeOS(v1.6.0) set service dns forwarding name-server '8.8.8.8' set service dns forwarding options 'server=/flets/123.107.190.6' どちらもcommit後の /etc/dnsmasq.conf には以下のように展開 server=8.8.8.8 server=/flets/123.107.190.6 ぐぐったらこのサイトが出てきて、この設定だと サービス情報サイトの名前解決ができなさそうなんだけど http://d.hatena.ne.jp/pekeq/20100803/p1 もう少し補足すると、*.v4flets-east.jpの他に*.fletsも入れてあげた方がいいみたい options server=/v4flets-east.jp/flets/123.107.190.5 options server=/v4flets-east.jp/flets/123.107.190.6 今のところの問題は、フレッツ速度測定(IPv4)で速度測定ができない。 firewallがらみかと思ったけど違うみたいだし、様子を見てみます 追加: pppoe1が、フレッツ情報サイトとして、static-routing追加 set protocols static interface-route 123.107.190.0/24 next-hop-interface pppoe1 distance '1' set protocols static interface-route 220.210.194.0/25 next-hop-interface pppoe1 distance '1' set protocols static interface-route 220.210.198.0/26 next-hop-interface pppoe1 distance '1' >>391 まとめて書かずに、行分けないとダメ options server=/v4flets-east.jp/123.107.190.5 options server=/flets/123.107.190.5 >>392 -S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]] 複数書けるようになってるけど、確かに読みにくいね DNSサーバーのIPアドレスじゃなくてpppoe1のネームサーバーって 指定はできないのかな 今はこうなってて、*.fletsも*.v4flets-east.jpも名前解決はできてる dnsmasq.conf # # autogenerated by vyatta-dns-forwarding.pl on Wed May 6 17:47:12 JST 2015 # log-facility=/var/log/dnsmasq.log interface=eth1 interface=eth2 cache-size=150 server=/v4flets-east.jp/flets/123.107.190.5 server=/v4flets-east.jp/flets/123.107.190.6 resolv.conf nameserver 123.107.190.5 # nameserver added by pppoe1 nameserver 123.107.190.6 # nameserver added by pppoe1 nameserver xxx.xxx.xx.xx # nameserver added by pppoe0 nameserver xxx.xxx.xx.xx # nameserver added by pppoe0 TCPのMSS調整の set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0' 指定ってdestination 指定なしとどう違うの? 一緒。あったほうが分かりいいからかな。 将来 destination address '!192.168.0.0/16' みたいに 除外条件つけたくなるときのヒントにもなるかもだし。 >>395 なるほどそういうことなのか。ありがとう vyosで、pppoe server 作りたいと思ったんですが、機能ないんですね。 git上ではソースはあるようですがパッケージでの提供はないようです。 自分でbuildしないとダメなんですかね? 今の最新ソース(lithium)を、gitから持ってきて make iso したら動いた。 しかしベースが debian squeeze なのね。古すぎるなー そんな事言う奴がなぜVyOSでPPPoEサーバをやろうと思ったのかが疑問 テスト用のpppoeサーバーを立てるのに、楽しようと思ってvyosに当たりつけたのがスタート。 結局rp-pppoeですませたけど、vyosのビルドも気になっていたので、やってみたので報告まで VyOSにpppoe設定をいれて、ルータを作成したのですが一部のサイト(yahooとか色々)が見れなかったりしております。 体感的に7割のサイトが見れて、3割のサイトが見れない感じです。 mtu,mru,mss 関係の部分でVyOSが悪さをしているという記述を見つけて色々と試したのですが未だに見れません。 >>249 のような設定をいれたり 下記URLの設定をいれたりしてみたのですが ttp://mikeda.hatenablog.com/entry/20121217/1355762337 症状が改善されません。 使用しているOSは 最新の安定版: VyOS 1.1.5 (Helium) を使用しているのですが同様の症状が出ている方いらっしゃいませんか? 解決策をご存知の方いらっしゃいましたらアドバイス頂けませんでしょうか? まだ見てるかな? pppoe に、mss いじる設定入れる set policy route mss-clamp rule 10 destination address '0.0.0.0/0' set policy route mss-clamp rule 10 protocol 'tcp' set policy route mss-clamp rule 10 set tcp-mss '1414' set policy route mss-clamp rule 10 tcp flags 'SYN' set interfaces ethernet eth0 pppoe 0 mtu '1454' set interfaces ethernet eth0 pppoe 0 policy route 'mss-clamp' mtu/mssは環境に応じて、微調整してね。 >>368 この人の問題、解決できたのかな? 同じような構成でハマってるので解決策聞きたい。 outsideをローカルアドレス、idとremote-idを設定してみりゃどうね?とテキトーなコトを同じく詰まってるバカが申し上げてみる。 VyOS1.1.5で >http://wiki.vyos-users.jp/%E3%82%88%E3%81%8F%E3%81%82%E3%82%8B%E8%B3%AA%E5%95%8F%28FAQ%29 の通りにリポジトリ設定して apt-get update apt-get upgrade から再起動するとSSHキーが見つからないみたいなエラーが出るんだけどもこれは一体 そもそも何でapt-get upgradeなんてしようと思ったの? vyos 1.05 amd64でなら、無線atherosの最新ドライバ入れたかったり、sambaでファイルサーバーとかしたかったりとかあったんでやったことあるよ。 環境はatom D510だったんでVTなしKVMつかえない実機。 ネットで探した方法で、ほぼ出来ました。 ちなみにvmware fusion上の1.15でもテストを兼ねてやってみたけどapt-get upgradeするとvyosの設定が保存されないとかあり、苦労しそうだったんでさっさと諦めました。 公式に「apt-get upgradeすんな、リスキーでんねん」ってあるんだから、トラブル解消できないならやるなよ。 USBキーボード指してると起動しないね 機種によるんだろうけど まだ生きてるかな? vyosでIPv6ブリッジ(パススルー)をやりたいのですがやり方がわかりません。 ブリッジかけてFWでIPv4フィルタかけてもARPが出てしまいます。 他にいいやり方ありませんか? >>414 firewallがiptablesベースなので難しいと思う.そのうちebtablesベースにするとかvyattaの頃から言われてた気がするけど. 以前IPv4ルーター,IPv6ブリッジをしたかった時はvyatta諦めてseil x86使ったので上手く動く方法あれば知りたい. やっぱりそうかありがとう SEIL/x86は買ってあるからそっちを使うか ローカルIPでISPの振り分けをしたく思っています set nat source rule 10 outbound-interface pppoe0 set nat source rule 10 source address 192.168.0.10/32 set nat source rule 10 translation address masquerade ここで192.168.0.10はpppoe0を使ってネット接続出来ています set nat source rule 20 outbound-interface pppoe1 set nat source rule 20 source address 192.168.0.11/32 set nat source rule 20 translation address masquerade これを付け加えると192.168.0.11はpppoe1を使ってネット接続出来るのですが 192.168.0.10が接続できなくなってしまいます 多分何か根本的な間違いがあると思うのですがどなたか教えていただけないでしょうか まさかとは思うが二つの NAT 設定を一つの interface に適用してるだけなんじゃ。 一つの interface に複数の PPPoE セッションを通す事は可能らしいので、譬えば set interfaces ethernet eth1 address '192.168.0.10/32' set interfaces ethernet eth2 address '192.168.0.11/32' となってるなら出来るはずでは。NAT 設定は IP で指定しているが、 実際は interface 毎に適用されるもの。そして各内部 interface は 通常は複数の機器に繋がるので、通常 NAT+DHCP を設定してサブネットをきる。 /32 だと無意味。そもそもサブネットを別にしているので、 最初から eth1: 192.168.0.0/24, eth2: 192.168.1.0/24 とかにすればいいのに。 同一interface内でのISP振り分けは>>29 みたいなのしかないような root@vyos:~# vi /etc/ssh/sshd_config で修正した設定がリブートしたら消えるんだけどどうしたらいい? UseDNS yes → UseDNS no に変更したいんだけど 編集前の該当行は1行のみで UseDNS yes コピペして編集 #UseDNS yes UseDNS no リブートすると #UseDNS yes UseDNS yes コメントアウトした行は残ってるから何者かがno→yesに書き換えてる感じです VyOSの開発版入れてみたけどcofigに互換性無いのか設定そのまま移行すると動かんな 誰でも簡単にパソコン1台で稼げる方法など 参考までに、 ⇒ 『宮本のゴウリエセレレ』 というブログで見ることができるらしいです。 グーグル検索⇒『宮本のゴウリエセレレ』 EUDXE4DATF ☆ 現在、衆議員と参議院の両院で、改憲議員が3分の2を超えて おります。総務省の、『憲法改正国民投票法』、でググってみてください。 国会の発議はすでに可能です。日本の、改憲を行いましょう。 平和は勝ち取るものです。お願い致します。☆☆ 僕の知り合いの知り合いができた副業情報ドットコム 関心がある人だけ見てください。 グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 WED5V いちおう1.2.0がリリースされたわけだが盛り上がらないな 有料化が原因かね 日本Vyattaユーザー会活動休止のお知らせ ってのが見えたぞ。 vyos気軽に利用しにくくなったな。 OpenBSDベースだけどGUIとCLI両対応のsecurityrouterというものがあった。 機能的も豊富だし良さそう。 https://securityrouter.org/ まあ1.1.8で困ってないから暫くずっとこのままだな っていうかBSDベースならOPNsenseでいいのでは pfSense/OPNsenseはWEBベースで完結する前提で設計されてる 一応sshでもアクセスできるけどviで直接xmlを書き換えないと永続的な設定は出来ない >>434 >vyos気軽に利用しにくくなったな。 久しぶりに見てきたら、なんかメンドウになってんのね 個人利用って、一人親方の非営利団体だとダメなんかな・・・ この手のディストロが意外と盛り上がらないのは、本気で使う人はメジャーディストロで自前で構築するからかね? NAS用もどれもなんだか微妙な状況だし そもそも適当なLinuxを入れればルータにもF/Wにもなるので わざわざアプライアンスを使う必要がない >>441 自前でルーターを構築しようなんていうのはアプライアンス的なやつだろうとそうでなかろうと圧倒的にマイノリティだから 人が居なすぎて盛り上がりようがないというだけの話では vyattaが有償した時の流れに似てるなぁ・・・、vyattaは最終的に抹殺されたけど vyosの無償版みたいのが、またforkされるかもね >>443 CiscoやJuniperをおいそれとは買えない東欧ではMikroTikとかいう怪しげなやつが売れまくってるわけだし、グローバルでは需要自体はありそうなもんだけど…… まあそういう需要ではx86だけのVyOSはTCO高杉で眼中にないか。 vyos使ってたけど使い勝手に汎用性がないからじゃないからかなー Debianディストリビューションの側面も強調出来たら汎用性上がるけど >>444 公式の発表見て今回の変更はしゃーなしかなって思ったんだけど裏で何かゴタゴタしてんの? ローリングモデルだと1日1回まるごとアップデートしなきゃいけないか そのうちパッケージだけアップデートできるようにならんのかな 今ビルドすると有償版と同じisoが出来ますと発表して翌日にはパッケージの更新かけてるからな 何のためのブランチ分けだって話 1.1.8のigbドライバを新しいのにしようとカーネルソース探したら無くなってた つらい ローカル(192.168.0.0/0)からVyOSにSSH接続したいのにつながらない・・・・ 何がミスっているのか set service ssh port 22 set service ssh listen-address 192.168.0.1 set firewall name OUT_LAN default-action drop set firewall name OUT_LAN rule 10 action accept set firewall name OUT_LAN rule 10 state established enable set firewall name OUT_LAN rule 10 state related enable set interfaces ethernet eth0 firewall local name OUT_LAN set firewall name WAN_IN default-action drop set firewall name WAN_IN rule 10 action accept set firewall name WAN_IN rule 10 state established enable set firewall name WAN_IN rule 10 state related enable set firewall name WAN_IN rule 20 action accept set firewall name WAN_IN rule 20 protocol tcp set firewall name WAN_IN rule 20 destination port 22 set firewall name WAN_IN rule 20 state new enable set interfaces ethernet eth1 pppoe0 firewall in name WAN_IN # eth0:LAN 192.168.0.1 / eth1:pppo0 サブスクリプションには LTS release の source code なら無料とあるがどこまで信じたらいいのかわからん docker 作って configure で --build-type release して docker で make iso しろっていうけど、--version が 1.2.3 でも 1.3.0 でも 出来上がる live-image-amd64.packages の中身が同じで vyos-1x が 1.3.0 になってる謎 iso の md5 とると違う値になってるが、サイズは同じなので多分埋め込まれたバージョンが違うだけしか差がない git する際に clone -b crux --single-branch にしてみると確かにバージョン切り替わるけど --version 1.2.3 にしたのに vyos-1x が 1.2.4 になっている謎 rolling と何が違うのかは全くわからない >>456 --versionって特定のブランチからビルドするような機能じゃないから ちゃんとdocumentに書いてあったような気がするけど ここで聞くのも何ですが、ER-4のファイアウォールポリシー数って幾つぐらいなんでしょうか。 ssg5のポリシー数が最大に達して何も出来なくなった為、購入を考えてます。 弾きたい通信の殆どがクラウド関係で、ネットワークアドレスやドメイン名を追加し続けたら上限に達しました。 またベトナムとかオランダ等海外から入ってこようとするアクセスも、中を見る前に送信元IPで弾きたいのですが、それをするにはPCルータかfortigateが必要になります。 >>459 レスどもです。 iptableとかで海外ドメイン弾くにはポリシーが3000以上必要で、ipv6用も同じぐらいになりますね。 fortigateだと簡単ですが。 read.cgi ver 07.4.7 2024/03/31 Walang Kapalit ★ | Donguri System Team 5ちゃんねる