【PCルータ】 Vyatta
■ このスレッドは過去ログ倉庫に格納されています
VPNやUTM機能を備えたDebianベースのルータ用ディストリビューションVyattaについて語るスレです。
公式サイト
http://www.vyatta.com/
PCルータ特化OSまとめwiki
http://www.esc-j.net/pc-router/index.php?Vyatta すまん、スレチなのはわかってるが専用スレ落ちてるので・・・
ipnuts ってPPPoEパススルー対応? >170
普通そういうのはVLAN対応スイッチとルータでの組み合わせ。 L3スイッチ vs VLAN食えるL2スイッチ+Vyattaルータ
うちの環境だとサーバ3台、そのうち一台の上のVMサーバ2〜3台(実験用等)、
PC3台、無線AP経由でスマホ1台、その他ネットワーク対応AV機器多数って
感じだがルータは2ポートで十分。
(今はPCルータではなく中古のYamahaルータだが3ポート中2つしか使ってない)
そんなにネットワーク細分化しても意味ないだろう。
家庭ユーザが単に「業務用レベルの性能」が欲しいならYamahaの中古(業務用)で十分だと思う。
つい先日まで現行機種だったRTX1100でも1万くらいで買えるし、RTX1000なら2000円以下。
もちろん設定にはそれなりの知識がいるけど。
PCルータが純粋に優利になるのは結構限定的な状況だけだと思う。
ここの使ってる人たちも半分趣味の世界でしょ。 とりあえずのwikiを参照しつつ設定をしましたが、どうもDNSでの名前解決が出来ない様です。
環境は、ESXi5+6.3(64bit)です。
何方か解決方法を教えて下さい(´;ω;`)ブワッ >>184
DNSフォワーディングとか、やった設定を書きだすくらいしないと 自己解決しましたが、Vyattaのスループットって皆さんどの位出てますか? ログ付きで長文すみません。
ipsecをnat-traversalに設定してl2tpでiphoneから接続しようとしているのですがローカル接続だとつながるのに
インターネットからだとINVALID_ID_INFORMATIONとエラーを出します。
iphoneの方はsoftbank 3Gでもiijmio 高速モバイル/D(光ポータブル)でもだめで
サーバー側のルータのopt100e(NTT-E、Bフレッツ)の設定も見たのですがUDP500,UDP4500,ESPはサーバーのプライベートアドレスにIPマスカレードで変換してあります。
何を見落としているかご指導お願いしますorz
[36] yyy.yyy.yyy.yyy:49106 #25: responding to Main Mode from unknown peer yyy.yyy.yyy.yyy:49106
[36] yyy.yyy.yyy.yyy:49106 #25: NAT-Traversal: Result using RFC 3947: both are NATed
[36] yyy.yyy.yyy.yyy:49106 #25: ignoring informational payload, type IPSEC_INITIAL_CONTACT
[36] yyy.yyy.yyy.yyy:49106 #25: Peer ID is ID_IPV4_ADDR: '192.168.11.2'
[37] yyy.yyy.yyy.yyy:49106 #25: deleting connection "remote-access-mac-zzz" instance with peer yyy.yyy.yyy.yyy {isakmp=#0/ipsec=#0}
[37] yyy.yyy.yyy.yyy:49050 #25: sent MR3, ISAKMP SA established
[37] yyy.yyy.yyy.yyy:49050 #25: cannot respond to IPsec SA request because no connection is known for xxx.xxx.xxx.xxx/32===192.168.10.15:4500[192.168.10.15]:17/1701...yyy.yyy.yyy.yyy:49050[192.168.11.2]:17/%any===192.168.11.2/32
[37] yyy.yyy.yyy.yyy:49050 #25: sending encrypted notification INVALID_ID_INFORMATION to yyy.yyy.yyy.yyy:49050 6.4は商用版はもうでていて、フリー(vyatta core)は今月後半らしい。
使ってみたいなら、このスレッドのなかのリンクを参照。
現時点でのcoreのISOイメージをbuildしたものをおいてくれてる人が
いるから使ってみるといいかも。
ttp://www.vyatta.org/forum/viewtopic.php?t=7912
所謂ホームルータみたいな単なるNAT鯖だと1CPUのメモリ512MBでも900Mbps出るね。
Pen3/600MHzくらいでもいけそう?
NICはIntelの82559を挿す予定 >>188
同じような事象でなやんでます。
Vyattaが家庭用ルータのNAT下にいた状態で
VPNをはることはできないのでしょうか? 4500/udpと500/udp をグローバルからプライベートにNATさせる環境で
iPhoneからのL2TP+IPSecは成功した事があるので、問題無いと思います。
ただ、vyattaでどう設定するのかは判らない。。。私はUbuntuを使いました。 昨日はやたらとvyattaのメーリスが荒れてて笑ったわ 見てないけど何かあったん?
ガキがはしゃいで諌められてたとか? いつの間にか公式サイト(vyatta.org)にも6.4が来てた。
ttp://www.vyatta.org/downloads 教えて下さい。
現在鼻毛サーバーとLANカード(Intel Gigabit ET2 Quad Port Server Adapter)で
ルーターを作成しました。
ttps://faq.interlink.or.jp/faq2/View/wcDisplayContent.aspx?id=1190
を参考にしながら作成しました。
LANカード増設分をeth1〜eth4をブリッジ設定しています。
現在の状況
LAN環境内でインターネット接続可能。
外部からグローバルIPアドレスでのサイト接続(サーバー公開)可能。
LAN環境内からプライベートアドレスでのサイト接続可能。
問題点
LAN環境内からグローバルIPアドレスでのサイト接続が不可。
LAN環境内からグローバルIPアドレスでのサイト接続を可能にする事はできるのでしょうか?
詳しい方、ご教授ください。お願い致します。
Vyattaがグローバルとプライベートの両方のIPを
持ってるって思っていいの?
出来るんじゃないかと思うけど、NATがちょっと面倒な事になる予感。
とりあえずサーバかvyattaでパケットキャプチャしてみては。
ありがちなパターンとしては、行きか戻りパケットの
宛先NAT、送信元NATが上手く行ってないんじゃなかろうか。
いわゆるヘアピンNATの話?
Vyatta使ってないから何も言えなくてすまん つかまず質問者は
「サイト接続」の意味を明らかにした方がいいんじゃ
>>201の意味でいいのかな? >>199質問者です。みなさんご教授有難う御座います。
>>200
グローバルとプライベートの両方のIPを持っております。
>>201
今までヤマハRTX1200を使用しており
ヘアピンNATに関しましては初めて知りました。
ヘアピンNATの設定が可能か調べてみます。
>>202
DNS設定はしておりませんでした。
現在、この問題が解決出来ていない為、独自ドメインを割り当てていません。
>>203
現在はヘアピンNAT状態です。 ttp://wiki.het.net/wiki/NAT/Hairpin
参考になれば。 >>199質問者です。
>>205
有難う御座います。参考にさせて頂きました。
A.B.C.1と192.168.100.1をNAT設定
rule 1 {
destination {
address AA.BB.CC.1/32
}
inbound-interface pppoe0
inside-address {
address 192.168.100.1/32
}
protocol tcp
type destination
}
rule 2 {
destination {
address AA.BB.CC.1/32
}
inbound-interface br0
inside-address {
address 192.168.100.1/32
}
protocol tcp
type destination
} rule 3 {
destination {
address 192.168.100.1/32
}
inside-address {
address AA.BB.CC.1/32
}
outbound-interface pppoe0
protocol tcp
type masquerade
}
LAN環境内からAA.BB.CC.1でサイト接続は出来るのですが全く自信がありません。
間違いがあれば教えて下さい。宜しくお願いします。 なんでもいいけど
「サイト接続」という妙な用語を使うのはやめた方がいいんじゃないか?
質問するなら相手に確実に伝わる一般的な言葉を使いなよ
「一般的な言葉」が分からないならまずそれを調べるとこから始めるべき
質問するための情報集めているうちに自己解決することもよくある >>199質問者です。
>>209
>>210
手厳しい返答有難う御座います。
Webサーバにアクセス、パケットが通るみたいな言葉が正解ですか?
ずぶの素人ですみません><
もう少し情報集めてみます。
改めて読み返してみると
もしかして >>199 = >>170なのか? 6.4になって幾つかコマンド変わってるね。ちょっとハマったぜ・・・。 宣布論2100+(1GHz)、RAM 1GBでVC6.0だけど70Mしか出ん。
レンタルルータだと180出るんだけどな・・・このスペックでも不足なんだろうか?
もちろんNICは2枚ともGbEです。 1GHzじゃ無理だろw
今のパソのスペックいくつだと思ってる?4GHzに16GBとかが普通なんだが? >>214
CPU負荷見れば不足かどうか分かるだろ >>214
CeleronはCPUキャッシュ容量が小さいからメモリの帯域が開かないので
速度はでない。まずメモリのベンチマークの差を理解したほうがいい。
恐ろしく違うから。DDR3で1600MHzなメモリで3chか4chで駆動して
から出直せ。L3キャッシュ容量は最低でも6MByteな。 >>214
河童セレの700MHzにPC100の256MBでも実測300Mbps出てるぞ?
なんか余計なもん動かしてんじゃないの? うちのC3ですら100Mなんぞ余裕だぞ
>>215-220
なんか伸びてると思ったら変なの涌いてんのかw VC6.3
Xeon E3-1240 3.30GHz 上の KVM(qemu-kvm-0.12.1.2-2.209) 1CPU, 512M
SNATかけてiperf計測で900Mbps↑でてるよ。 Brocadeってさくらインターネット以外で聞いたことないわ 不勉強なだけかもだけど 例えば3万円前後のハードウェアルーター(NVR500,GigaLink2000等)の性能に匹敵するルーターをVyattaで作るとすれば、
2.7Ghzの2コア,メモリ4GB程度のPCであれば問題無く凌駕すると考えてよろしいでしょうか? 最高速度は、専用品にかなわないよ。最高速というかレイテンシ
自由度とパワーだけなら楽に勝てるが、
耐久性やネットワークカードの値段、増設、メンテナンスも考えるとびみょー 良く考えれ。
内では仮想化してCelelon530/8Gの仮想マシン割り当てはCPU1、メモリ1Gで問題なく動いている。 なるほど...一筋縄ではいかないのですね
今使っている安物のルーターのNATセッションが2000と不足気味なのです
3万円台の専用品だとNATセッションが16000になるのですが、ちょっと高くて二の足を踏んでいる時にVyattaの存在を知りまして
もし手持ちのマシンをルーター化できればNICの追加費用だけ済むのかなと思ったのですが
とりあえず試してみようと思います ありがとうございました hyper-v対応とか言うけど具体的にどう変わったのか教えてくれよん 一応、新しいマシンにインストールまではしたが、正直めんどくさい。
まだ6.3のままだしなー すいません、一個教えて下さい。
vyattaって(ciscoの言うところの)VRFって出来ますか。 ないですね。
ESXiなどハイパーバイザの元で複数バラで動かす、になるのでは。
VRFへのfeature enhancement requests は少人数しかいないので、将来も見込み薄かと。 LAN側I/F 3つでVRRP、WAN側PPPOEを入れている。
6.4→6.6にしたら、VRRPが上がってこなくなった。
クリーンインストールしなおしても同じ。
だけど、pppoe0 関連の config 行を消してリブートすると VRRP は上がってくる。
その状態で pppoe0 を入れ直すと、pppoe0 も上がって正常動作に。
セーブ後リブートすると、元の駄目状態に戻る。
気持ち悪いがこのまま使ってみる。
UPNP用パッケージは以前と同じソース、リビルドだけで問題なく動いた。 >>241
ttp://www.vyatta.org/node/24942#comment-24411
だとどう? ttp://wiki.het.net/wiki/NAT/Hairpin >>242 >>243
これだったらport80しか有効にならないような気がする。
dd-wrtみたいに全ポートに対してヘヤピンNAT出来ないのかな? WANからNATしてるポートを全て、LANから自分のグローバルIP
でNATすればいいよ。めんどうだけど。 >>245
WANが動的IP(pppoe)でも出来るんかな? 6.4→6.6後、一部webサイトの大きめ画像が表示されなくなった。
MSSの問題と推定、PBR使うことで解消できた。
けど、よくみかける設定値 (=MTU-40) は、今のクライアントには大きすぎるよねという話。
TCP option が長くつくようになっているから。
linux カーネル3.8.0機だと、TCP SYN時には MSS,SACK,TS,(NOP),WS、で20バイトもある。
実データ時は12バイトだったけど20のままで考える。
PPPoE 側 MTU 値 = 1454 として、
1454-20(IPヘッダ長)-20(すっぴんTCPヘッダ長)-20(オプション分) = 1384
えーいさらに余裕もたせて 1360 位でどうよ。で
set policy route PPPOE-OUT rule 10 destination address '0.0.0.0/0'
set policy route PPPOE-OUT rule 10 protocol 'tcp'
set policy route PPPOE-OUT rule 10 tcp flags 'SYN,!ACK,!FIN,!RST'
set policy route PPPOE-OUT rule 10 set tcp-mss '1360'
set interfaces ethernet eth0 policy route 'PPPOE-OUT'
set interfaces ethernet eth2 policy route 'PPPOE-OUT'
set interfaces ethernet eth3 policy route 'PPPOE-OUT'
set interfaces ethernet eth4 policy route 'PPPOE-OUT'
こんな感じかなと様子見中。eth1はpppoe0用。 $ echo $((1454-20-20-20))
1394 MSSを調整するでもいいけどPMTUD Black Holeなら特定のICMP通せばいいじゃん webサーバ側からDF付き・長いMSSでパケットが飛んできて、
MTU超過するのは自ルータの1ホップ手前 (PPPoEサーバ)だから、
自ルータで ICMP をどうって、送れなくない? >>240
このPPPoE入れてるとVRRP上がってこなくなるのうちもなんだけど、他に同じ症状の人はいないのかな。
6.5, 6.6両方とも駄目だった。
うちでは/config/scripts/vyatta-postconfig-bootup.scriptに次の2行を入れて回避してるんだけど。。。
test -e /etc/keepalived/keepalived.conf || wc -l /etc/keepalived/keepalived.conf | grep -q '^0' && cp -p /config/scripts/keepalived.conf /etc/keepalived/keepalived.conf
ps -efl | grep keepalived | grep -vq grep || /usr/sbin/keepalived --snmp --vrrp --log-facility 7 --log-detail --dump-conf --use-file /etc/keepalived/keepalived.conf --vyatta-workaround
※ keepalived.confは/config/scripts/にコピーしてある。
もっといい対応はないかなぁ。 >>253
config 上では PPPoE 用口を set int eth eth1 disable にしておく。
ブート時に実行される /config/scripts/vyatta-postconfig-bootup.script で
#!/bin/bash
shopt -s expand_aliases
. /etc/bash_completion.d/vyatta-op
ip link set dev eth1 up
connect interface pppoe0
としてみた。
vrrp の run-transition-scripts 時の方がいいかもしれない。 >>254
サンクス!参考になるわ。
eth1をDisableにしなきゃならないのが引っかかったけど、
そっちの方が綺麗にまとまってると思う。
BACKUPでPPPoE動かしたくないことを考えるとrun-transition-scriptsの方が良さげだね。
conf
set i e eth1 vr v 1 ru m up_pppoe0.sh
set i e eth1 vr v 1 ru b down_pppoe0.sh
up_pppoe0.sh
>>254のスクリプト
down_pppoe0.sh
disconnect interface pppoe0
ip link set eth1 down
ってな感じに設定しておけばPPPoEの切り替わりまでバッチリかな。 core i5か7にメモリも潤沢な構成で組んでマシン的には今時の最良なのを用意したとして、PCルータのレイテンシはどのくらいになるの? >>256
特に根拠もない予想だけど、C2D乗せて512MBくらいメモリ積んでおけば
同時接続数が糞多くない限りどんなに性能上げてもほとんど変わらないんじゃないかと思うの。
実際の数値は知らん。 >>255
ってな感じでばっちりでした。
次は、VPN着信がうまくいっていないのをどうするか思案中です。
PPPoE確立後にrestart vpnだけでは済まず、
delete vpn ipsec ipsec-interfaces interface pppoe0
set vpn ipsec ipsec-interfaces interface lo (←適当なI/F)
でcommit、逆に戻してcommit、ぐらいの気付で回復しています。 ip link set dev eth1 up
sleep 30 ←適当
connect interface pppoe0
sleep 10 ←適当
restart vpn
service xl2tpd stop ←restartだとうまくいかない
service xl2tpd start
で、両系コールドブート、あるいはVRRP切り替わり後でも、
クライアントからVPN切断/接続すればつながるようにはなりました。 >>249
助かった。Twitterのアイコンがほぼ出てこなくてさ。
調べまくった結果、
http://www.isdn-info.co.jp/next/faq_04.html
>MTUを1454B以下(MSSを1414B以下)に設定していただく必要があります。
で行ける。
プロバイダーの問題なのかもしれないが、ネクストマンションハイスピードで140Mbpsとか出る。 >>249
こういう風に全インターフェースで同じ設定を書くのが嫌だったんで、iptables見てみたら
「VYATTA_POST_FW_FWD_HOOK」っていういい感じのChainがあるんだけど、
このChainをconfigから設定できる?
/config/scripts/vyatta-postconfig-bootup.scriptに、
/sbin/iptables -F VYATTA_POST_FW_FWD_HOOK
/sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
/sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -j RETURN
って書いたらいい感じに動いてるけど、なんだかなぁ。。。 >>261
直接関係ないんですが、netflow を late で仕掛けたとき、そのチェーンに組み込まれます。
/opt/vyatta/sbin/vyatta-netflow.pl を見てみてください。
iptables でモリモリ組んでまする。 VYATTA_* なchainを直接いじると、config編集時に消されてしまうかもしれないので、
bootup 時に自分用 HOOK を追加してそっちで加工するとかがいいかも。ただの思いつきです。
ただ、流儀が変わってしまったので、こういうものだと割り切ってもいいんじゃないでしょうか。
6.2 頃の書き方では、出口インタフェースでMSS変えれたようなんですが。
ttp://itls-memo.blogspot.jp/2011/05/tcp-mss-adjustment-on-vyatta-62.html 特定トラフィックパターン(実機nas4free〜ESXi上のvyatta〜同上のnas4free 間でのrsync)で
vyattaのCPU使用率が高い。700Mbpsで100%。特にksoftirqdに食われる。
FWかけてるにしても、以前はこんなことなかった、と見直し。
両端ホストのsysctl.confからnet.inet.tcp.delayed_ack=0 を外したら回復、800Mで25%。
ACKだけショートパケットの大量襲来がつらかったようです。 物理・仮想の両端ホストでnet.inet.tcp.path_mtu_discovery=0を外したところ、
仮想側(rsyncサーバ寄り)NICで観測されるパケット長は600バイト→4KBに上昇、
1GB転送時の送受パケット総数は 1/4 に減少。スループット変化なし。
vyattaのCPU使用率は25%→3%に改善されました。
両端ホストはMTU1500でTSO有。vyattaとvSwitchはMTU9000です。 tcpdumpで1パケット30KB超が出てきていて、自分が何を見ているのか不安になります。
08:44:27.013353 IP 192.168.x.x.873 > 192.168.y.y.y: Flags [.], seq 88397:123149, ack 117, win 57, options [nop,nop,TS val 21747608 ecr 1610622], length 34752
MTUよりはるかに大きい。
TSO有のせいというか効果なのだと思いますが
vyatta上でのtcpdumpではなく物理NIC出力後にキャプチャしないと、何だか理解できないですね。 sudo ethtool -K eth0 lro off gro off
にしたところ、tcpdumpで本来の長さのパケットが見えるようになりました。 VyOS version 1.0.0 (Hydrogen) was release on Dec 22nd 2013 . Vyattaからフォークしたのね。
OpenSolarisと同じ構図か・・・。 >>29
のスクリプトって6.6x64 では動作しないっぽい 自宅のファイアウォールが電源ユニットから異音を出し始めてもうそろそろヤバイ雰囲気なので、
空いていたノーパソにVyOS突っ込んでみた。
本当はCardBusのLANアダプタ増設して有線のデュアルホームにしたかったんだけど、軽くていいね。
ファイアウォールとするのにdhcpやdnsやiptablesを設定しようとしたんだが、
それをこの独特のコマンドラインでどのように操作すれば良いのかわからず戸惑った。
なんか革靴の上から水虫を掻く感じでじれったかったけど、これはこれでアリだろうな。
まだファイアウォールというより単にアドレス変換してるだけだけど、
逝ってしまったときの緊急用の代替機としてはこれで十分。 次から次へとパーツやルータを買い替えずにそうやって手持ちのパーツでタケノコ生活するのはイイなw すみません。結局、USB接続の有線LANアダプタを買ってしまいました。
インターネット側のインタフェースにするつもりだったので、
GbEなんて買うだけ無駄と割りきって、100BaseT on USB2.0の枯れたやつを選びました。
牛のLUA3-U2-ATXですが、目論見通りVyOSが一発で認識。どノーマルのカーネルでOKでした。
適当にルールを書いて、今は一応、ファイアウォールしてくれてます。 c60m1-iにVyattaインストールして起動させると
GRUB Loading
Welcom to GRUB!
の画面のまま固まって起動できない。
LANが認識できないのかと思って内臓LANをオフにしても駄目。
かれこれ10日悩んでます。
HDDをフォーマットしなおしてインストールしても変わらず・・・
同じ症状になった方居ますか? イメージのファイル名くらい書け。
i386のLiveCDでも起動しないのか? >>277
失礼しました。バージョンは、VC6.6R1_i386になります。
LiveCDから起動して、install sysytemコマンドを打って
Setteing uo grub:ok Done!まで無事に進みます。
その後にrebootをしてCDを抜いて起動するとWelcom to GRUB!で止まってしまいます。
同じやり方でEsxiの仮想サーバにインストールしたところ、正常に起動できました。 ■ このスレッドは過去ログ倉庫に格納されています