【PCルータ】 Vyatta
■ このスレッドは過去ログ倉庫に格納されています
VPNやUTM機能を備えたDebianベースのルータ用ディストリビューションVyattaについて語るスレです。 公式サイト http://www.vyatta.com/ PCルータ特化OSまとめwiki http://www.esc-j.net/pc-router/index.php?Vyatta >>253 config 上では PPPoE 用口を set int eth eth1 disable にしておく。 ブート時に実行される /config/scripts/vyatta-postconfig-bootup.script で #!/bin/bash shopt -s expand_aliases . /etc/bash_completion.d/vyatta-op ip link set dev eth1 up connect interface pppoe0 としてみた。 vrrp の run-transition-scripts 時の方がいいかもしれない。 >>254 サンクス!参考になるわ。 eth1をDisableにしなきゃならないのが引っかかったけど、 そっちの方が綺麗にまとまってると思う。 BACKUPでPPPoE動かしたくないことを考えるとrun-transition-scriptsの方が良さげだね。 conf set i e eth1 vr v 1 ru m up_pppoe0.sh set i e eth1 vr v 1 ru b down_pppoe0.sh up_pppoe0.sh >>254 のスクリプト down_pppoe0.sh disconnect interface pppoe0 ip link set eth1 down ってな感じに設定しておけばPPPoEの切り替わりまでバッチリかな。 core i5か7にメモリも潤沢な構成で組んでマシン的には今時の最良なのを用意したとして、PCルータのレイテンシはどのくらいになるの? >>256 特に根拠もない予想だけど、C2D乗せて512MBくらいメモリ積んでおけば 同時接続数が糞多くない限りどんなに性能上げてもほとんど変わらないんじゃないかと思うの。 実際の数値は知らん。 >>255 ってな感じでばっちりでした。 次は、VPN着信がうまくいっていないのをどうするか思案中です。 PPPoE確立後にrestart vpnだけでは済まず、 delete vpn ipsec ipsec-interfaces interface pppoe0 set vpn ipsec ipsec-interfaces interface lo (←適当なI/F) でcommit、逆に戻してcommit、ぐらいの気付で回復しています。 ip link set dev eth1 up sleep 30 ←適当 connect interface pppoe0 sleep 10 ←適当 restart vpn service xl2tpd stop ←restartだとうまくいかない service xl2tpd start で、両系コールドブート、あるいはVRRP切り替わり後でも、 クライアントからVPN切断/接続すればつながるようにはなりました。 >>249 助かった。Twitterのアイコンがほぼ出てこなくてさ。 調べまくった結果、 http://www.isdn-info.co.jp/next/faq_04.html >MTUを1454B以下(MSSを1414B以下)に設定していただく必要があります。 で行ける。 プロバイダーの問題なのかもしれないが、ネクストマンションハイスピードで140Mbpsとか出る。 >>249 こういう風に全インターフェースで同じ設定を書くのが嫌だったんで、iptables見てみたら 「VYATTA_POST_FW_FWD_HOOK」っていういい感じのChainがあるんだけど、 このChainをconfigから設定できる? /config/scripts/vyatta-postconfig-bootup.scriptに、 /sbin/iptables -F VYATTA_POST_FW_FWD_HOOK /sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu /sbin/iptables -A VYATTA_POST_FW_FWD_HOOK -j RETURN って書いたらいい感じに動いてるけど、なんだかなぁ。。。 >>261 直接関係ないんですが、netflow を late で仕掛けたとき、そのチェーンに組み込まれます。 /opt/vyatta/sbin/vyatta-netflow.pl を見てみてください。 iptables でモリモリ組んでまする。 VYATTA_* なchainを直接いじると、config編集時に消されてしまうかもしれないので、 bootup 時に自分用 HOOK を追加してそっちで加工するとかがいいかも。ただの思いつきです。 ただ、流儀が変わってしまったので、こういうものだと割り切ってもいいんじゃないでしょうか。 6.2 頃の書き方では、出口インタフェースでMSS変えれたようなんですが。 ttp://itls-memo.blogspot.jp/2011/05/tcp-mss-adjustment-on-vyatta-62.html 特定トラフィックパターン(実機nas4free〜ESXi上のvyatta〜同上のnas4free 間でのrsync)で vyattaのCPU使用率が高い。700Mbpsで100%。特にksoftirqdに食われる。 FWかけてるにしても、以前はこんなことなかった、と見直し。 両端ホストのsysctl.confからnet.inet.tcp.delayed_ack=0 を外したら回復、800Mで25%。 ACKだけショートパケットの大量襲来がつらかったようです。 物理・仮想の両端ホストでnet.inet.tcp.path_mtu_discovery=0を外したところ、 仮想側(rsyncサーバ寄り)NICで観測されるパケット長は600バイト→4KBに上昇、 1GB転送時の送受パケット総数は 1/4 に減少。スループット変化なし。 vyattaのCPU使用率は25%→3%に改善されました。 両端ホストはMTU1500でTSO有。vyattaとvSwitchはMTU9000です。 tcpdumpで1パケット30KB超が出てきていて、自分が何を見ているのか不安になります。 08:44:27.013353 IP 192.168.x.x.873 > 192.168.y.y.y: Flags [.], seq 88397:123149, ack 117, win 57, options [nop,nop,TS val 21747608 ecr 1610622], length 34752 MTUよりはるかに大きい。 TSO有のせいというか効果なのだと思いますが vyatta上でのtcpdumpではなく物理NIC出力後にキャプチャしないと、何だか理解できないですね。 sudo ethtool -K eth0 lro off gro off にしたところ、tcpdumpで本来の長さのパケットが見えるようになりました。 VyOS version 1.0.0 (Hydrogen) was release on Dec 22nd 2013 . Vyattaからフォークしたのね。 OpenSolarisと同じ構図か・・・。 >>29 のスクリプトって6.6x64 では動作しないっぽい 自宅のファイアウォールが電源ユニットから異音を出し始めてもうそろそろヤバイ雰囲気なので、 空いていたノーパソにVyOS突っ込んでみた。 本当はCardBusのLANアダプタ増設して有線のデュアルホームにしたかったんだけど、軽くていいね。 ファイアウォールとするのにdhcpやdnsやiptablesを設定しようとしたんだが、 それをこの独特のコマンドラインでどのように操作すれば良いのかわからず戸惑った。 なんか革靴の上から水虫を掻く感じでじれったかったけど、これはこれでアリだろうな。 まだファイアウォールというより単にアドレス変換してるだけだけど、 逝ってしまったときの緊急用の代替機としてはこれで十分。 次から次へとパーツやルータを買い替えずにそうやって手持ちのパーツでタケノコ生活するのはイイなw すみません。結局、USB接続の有線LANアダプタを買ってしまいました。 インターネット側のインタフェースにするつもりだったので、 GbEなんて買うだけ無駄と割りきって、100BaseT on USB2.0の枯れたやつを選びました。 牛のLUA3-U2-ATXですが、目論見通りVyOSが一発で認識。どノーマルのカーネルでOKでした。 適当にルールを書いて、今は一応、ファイアウォールしてくれてます。 c60m1-iにVyattaインストールして起動させると GRUB Loading Welcom to GRUB! の画面のまま固まって起動できない。 LANが認識できないのかと思って内臓LANをオフにしても駄目。 かれこれ10日悩んでます。 HDDをフォーマットしなおしてインストールしても変わらず・・・ 同じ症状になった方居ますか? イメージのファイル名くらい書け。 i386のLiveCDでも起動しないのか? >>277 失礼しました。バージョンは、VC6.6R1_i386になります。 LiveCDから起動して、install sysytemコマンドを打って Setteing uo grub:ok Done!まで無事に進みます。 その後にrebootをしてCDを抜いて起動するとWelcom to GRUB!で止まってしまいます。 同じやり方でEsxiの仮想サーバにインストールしたところ、正常に起動できました。 >>279 やはりUEFIが怪しいですよね。 AtomD510マザーにHDDを繋ぐとVyattaが起動するので、インストールは正常にできている様子です。 c60m1-iのBIOS互換モードでインストールし直しても症状は変わらずでした。 c60m1-iにWindows8を入れてみた所、問題なく使用できるので壊れてはいなさそうです。 UEFIのH77+i7PCをバラして、それにVyattaをインストールしてみようと思います。 Athlon5350+AM1で動作実績があれば、即ポチっちゃうんですけどね・・・ VyattaでもAtomでもなく、DebianとGigabyteのH78マザーにUSB-DVDからインストールしたときのことですが BIOSの起動オプションで UEFIなDVDではなくLegacyなDVDを優先するようにしないと HDDから起動できませんでした。UEFIなDVDから起動するとDebianはUEFIを使って起動するように インストールされてしまうらしいです。 ご参考までに。 >>281 ありがとうございます。 ・DVDドライブ(非UEFI)を起動順序1番にしてインストール NG ・SATA1にDVD、SATA2にHDDを繋いででインストール NG ・BIOSを最新にしてインストール NG という結果でした。 手詰まりなので、Asusマザー以外のシステムで試したいと思います。 引き続きアドバイス頂けたら助かります。 長々と失礼しました。 UEFIだとCPUが64bitだとOSも64bitじゃないと起動しないヤツもあるとか... "Welcome to GRUB!"ってGRUBのメニューや本体を読み込む段階だったっけ。 HDDが認識できてないのか、GRUBのいるパーティションが認識できてないのか分かるように作っといてくれるといいのにな Welcomって書いてあるのはtypoだよね >>1 のwikiがボロクソに荒らされていた上に pukiwikiが使えない状態になったので、データ抽出して他のwikiに変えました また荒らされると、たまったものじゃないので編集制限かけます アカウント WAN パス lan 勢いでAthron5350+AM1Iを買ってきて、VC6.6R1_i386をインストールしたところ 無事に起動しました。 アドバイスを下さった方々ありがとうございました。 c60m1-iは諦めて、Athron5350で構築する事にします。 uefi class 3がそのうち当たり前になりそうだから、VyOSではUEFI対応を進めてほしいな >>290 おれは最初vyattaを見つけて体験してみたあと、 最終的にはVyOSで我が家のファイアウォールを立て直した。 vyattaのエキスパートじゃないから、もしかしたら大きな違いを見逃してるかも知れんが、 ググって見つけた情報はほとんどそのまま使えるし、別にこれで不便は感じてない。 メンテナンスリリースってとこですかね。 次期リリースHeliumは今夏予定 bridgeしたインターフェースでVRRPしようとしたらうまくいかないんだけど、 そもそもbridge自体にVRRPできないの? できんこたないだろうけど、 仮想ルータ用の MAC アドレス宛てのパケットの経路は引いてやったのか? あとプロトコル112だっけか? >>295-296 ありがとうございます。 定義ファイルをコピーしたらCLI上で設定可能になりました。 Vyattaでupnpパッチ当てて使ってるから VyOSに踏み出せずにいた。 が。vyatta.orgも3月からつながらなくなったままのようだし、進むか。 今朝VyOSのファイアウォールを立ち上げようとしたらHDDがI/Oエラーでブートしないでやんの。 早速USBからVyOSを起動して取り急ぎddでダンプしたら、11セクタほど読めなくなってた。 母艦に持って行ってe2fsckかけたら運良く復旧できたので、それでパーティション切り直した。 60GBの頭4GBを使ってただけなので、そこを飛ばして切り直して注ぎ込んだら直った。 configをバックアップしてなかったので、もしファイルシステムを復旧できていなかったらと思うとゾッとする。 教訓: configは必ずバックアップをとって、安全な場所に保管しておきましょう。 それさえあれば新しいHDDを買ってきて、新規インスコしたあと元に戻せるので。 絶対だよ! 今すぐやれ! このスレ読んでる場合じゃないぞ! 警告したからな! ファイアウォール機能ってiptablesを使っているみたいなので、 この部分だけGUIのフロントエンドを使って、ブラウザで管理する、みたいな使い方って出来るかな? ufw+lighttpdインスコして適当なcgiでも書けば作れるだろうけど、 ファイアウォールに余計なものを入れれば入れるほど脆弱性も増えちゃうわけだし。 折角フットプリントの小さなVyattaやVyOSなのになぜわざわざ重くしたいのかわからんし、 ブラウザでチョチョイ♪と使いたいなら無理してこんな使いにくい鳥使う必要ないし。 「ブラウザで」って時点でhttpは穴を空けとかなくちゃいけないのに、 そのiptablesをそのブラウザで「チョチョイ♪」と塞いじゃったらアウトじゃん...とか。 それにNATさえできればファイアウォールになるわけじゃないし...。 おれにはなぜこの鳥でそんなことをしたいと思うのか、その理由がわからんのだが。 ブラウザでやりたかったらpfSenseかIPFireでいいんじゃね とりあえず・・・、core版ソースは拾っておいた $ git clone http://git.vyatta.com/build-iso.git そのうち公開されなくなるんだろうな。 何日か前、珍しくアップデートがきたけど、そのときかな? 1.0.4にアップグレードしたら、 外側のインタフェースに使ってるUSB有線LANアダプタが立ち上がらなくなってしまった。 調べるにもネットに繋がらないとはじまらないので、ひとまず1.0.3で立ち上げ直した。 1.0.2→1.0.3のときはこんなことなかったのに...。なんでだろ。 起動時にカーネルモジュールをロードさせるようにしたら通電するようになった。 でもUSB有線LANの方のインタフェースのデバイス名がなぜか変わっちゃった。 そのせいかどうかわからんが、アドレス変換がうまく働いていない。 ちゃんとデバイス名を置換してloadし直したんだけどなぁ...。 1.0.4にアップグレードしたいやつは、まずLive-CDなどで起動してみて、 すべてのインタフェースが同じデバイス名で認識されるかどうかを確認してからの方がいいかも。 結局、ip_forwardが1になってなかったのが原因でした。 原因を辿って行くと、カーネルの起動時オプションにconsole=ttyS0しかなくて、 console=tty0がないのがいけませんでした。 シリアルポートはないので、console=tty0もないと起動時には何も表示されず、 いきなりログインプロンプトがでる状態でした。 どういうわけかこの状態だとinitがprocpsを起動してくれないようです。 procpsが起動されないので、/etc/sysctl.confに書いてあるip_forward=1が反映されませんでした。 もしかしたらカーネルモジュールが読み込まれなかったのもこのせいかも知れません。 なぜconsole=tty0がなかったのかは不明ですが、とりあえず1.0.4をデフォルトに戻しました。 VyOSになってからupnpって使える? 前は非公式パッチで実現してたんだっけ? おれは母艦でもUPnP使わんからわからんが、 今ならまだVyattaからフォークして日が浅いから Vyattaでのやり方はそのままVyOSでもできる可能性は高いんじゃないかな。 githubから引っ張ってきたソースからdeb作るんでしょ? 依存パッケージさえあればその.debそのまんま使えそうな気がするけど...。(無責任モード) テストがてら書き込み VyOSでQoSやってみてるんだけど、traffic-policyを設定した後deleteしようとするとエラーになる 以降は設定関係がおかしくなるので何もせず再起動するしかないんだけど 設定ファイルを直接書き換える手とかってないですか? すいません、ご存じの方居ますか。 vyattaで、wlan0、eth0をブリッジして、 イーサネットコンバータを作りたいのですが可能ですか? "イーサネットコンバータ"の意味が激しく不明。 イーサネットと何を変換するんだ? ちなみに我が家のファイアウォールはVyOSだけど、 内側がwlan0とeth0をくっつけて作ったbr0で、 外側がUSBの有線LANアダプタ(eth1)だ。 br0とeth1の間でルール書いてファイアウォールにしてる。 dhcpサーバとdnsmasqはbr0で動かして、 eth1ではdhclientを動かしてる。 こういうことくらいはできる。 あとは自分で考えろ。 そもそも単なるメディアコンバータ的なブリッジならPCなんぞ使わずに そこら辺で売っている家庭用のAP買ってきた方が圧倒的に安い。 個人ではVlanがあるけどL3SW高いね、とか、DMZとか作りたいけどアプライアンス高いね、 といったときに使う物なんだが。あと、ラボをVMwareとかVirtualboxで再現するとか そいった用途ならわかるんだけどさ。 イサコンはイーサネット(Ethernet)を無線に変換するから分かるけど メディコンって媒体変換だからなんか違うんだよなあ 無線LANイーサネットコンバータが正しいのでしょうか? 有線LAN(イーサネット)接続を無線LAN接続へ変換する装置。 離れた部屋にあるPCをWoLANしたいので、これが必要なんですよね 今はコレ http://www.planex.co.jp/product/wireless/gw-ap54sp-p.shtml 使っているのですが、最近調子が悪くてしょっちゅう再起動が必要です >>315 さま ふむふむ VyOSというものならbr0にwlan0とeth0を含めることが可能なんですね Vyattaでは同じ事を実現しようとして失敗しています。 ココの、 http://serverfault.com/questions/214056/wireless-client-to-ethernet-bridge-with-vyatta No Go. Turns out this is not yet possible. From the vyatta forums: In general linux does not support bridging wireless in station mode. The problem is that wireless is internally point-to-point based and doing bridging requires MAC address spoofing. と言う情報を見て、英語なので半分も理解できないながらも、不可能なのかもしれないと考え、315を投稿した次第です。 VyOS、試してみたいと思います >>317 安く、無線LANイーサコン実現できる、APで安いものまだありますか? どれも5,000円近くして手が出ない。廃品PC+Vyattaならタダだし助かるかな、と 昔はWHR-G301Nが2000円で手に入ってDD-WRT入れて無線LANイーサコンにしてたのですが・・・ >>319 あんたがどういう構成を作りたいのか知らんが、>>316 はAPだよ。 「ファイアウォール」って書いてあるだろ。 APなwlan0ならeth0とブリッジにできるよ、って話。 これならVyattaでもできるはず。 そのURLを読んでみ。 言ってることの違いがわからんか? 単にブリッジするだけならL3のソフトを使うまでもなく bridge-utilsに入っているbrctlで充分でしょう。 >>319 廃品PCとやらを、1年動かすと電気代で5000円くらい簡単に超えるんでは? wrt入る適当な箱をオクで探せば2000円もしないと思うのだけど。 >>318 UTPを光Etherに変換する箱もメディコンって呼んでたよ。面倒くさいから。 無線から有線のイサコンなら1000円で普通に売ってるな >>323 媒体変換だからそれは正しいよ イサコンもメディコンの一種だし。 ただ、有線を無線に変えるのってメディコンより イサコンのほうがより適切だと思うんだ。 メディコンを鍋、イサコンを水炊きに置き換えればなんとなく伝わるかなあ まあ細かい話ではあるけどね >316-317の流れで書きたくなったのさ vyos1.1でmss clampの設定が出来るようになったのかな? >>319 消費電力考えるとおとなしくイーサコンバータ買った方が賢い気がする vyatta って無線 LAN をサポートしているとは思うのですが、 動作確認済みのリストみたいのってあるんでしょうか? debian が認識するWiFi NICならいけるんじゃね? 最新規格に対応してるものだと当然ながら最速だが、 どのようなチップが使われてるか、またそのlinux用ドライバがあるかどうかをよく調べること。 さんざんググってもどういうチップが使われてるかわからないような奴はダメと推定する。 ちなみに俺はVyOSだけど、Dynabook SS内蔵の無線LANはそのまま使えた。 Atheros Communications Inc. AR5001 Wireless Network Adapter (rev 01) 内蔵タイプでこれはよくあるやつとおも。 USB外付けでは、 Ubuntu 12.04 LTS で WLI-UC-GNM2 は一発で認識した。 VyOSでは(多分Vyattaでも似たようなもんだと思うが)カーネルは linux 3.3 だから、 まずこいつがドライバもってなけりゃ話しにならない。 但し、親機モードで使えるかどうかはチップによって違うので、そこんとこは注意点。 もしこれから新規に買うなら、規格が古くて遅いけど、 未だに新品を買えるようなものを敢えて選んでみるというのも手。 そういう奴は随分安くなってるはずだから、ダメ元の覚悟で突撃しやすい。 しかしクライアントモードで動作してもhostapでAPにできなかったりする。 ドライバぇ USBのwlanアダプタでhostapやるのはちょっと厳しいね。 192.168.1.0/24 ↓ 192.168.2.0/24 ↓ vyos *.*.*.*/32 (PPPoE固定IP)(SNAT) こんな感じでルーター作ったんですが、192.168.1.0/24のサブネットで webアクセス時index.htmlだけ表示されて他の素材とかERR_CONNECTION_RESETというエラーになってしまうんですが、 何がいけないのでしょうか。 >>335 セグメント3個ってことはVyOS以外にもL3がいるでしょ? RIP喋らせなさい。 VyOSはルーティングプロトコルなしでは直接繋がっている箱の先を 知らないよ。 デフォルトゲートウェイで網側に投げることは出来るけど、 帰ってきたパケットが行方不明になる。 マンガの書き方のせいで情報が足りないや。 >>336 ありがとうございます。 やってみます。 >>338 普通境界ルータのVyOSが帰ってきたセグメントを該当なしで デフォルト側の網に送り返して、いずれ落ちるのが常識的な動作かね。 2.0は直接繋がってるけど、1.0は直接繋がっていないので、 VyOSともう一つの箱がRIP喋るか、VyOSがスタティックを切って もう一つのに流す必要がある。 というわけで、質問者はネットワーク構成図を書いてくれ。 多分RIPで解決するはずだが。 (まさか仮想機械ではあるまいな?) あの程度でわざわざRIPもないだろ。 冗長化されてるわけでもないし、 いくつかある経路が切り換わるわけでもあるまいし。 192.168.1.0/24と192.168.2.0/24の間がアドレス変換してて、 ICMPをブロックしてしまってるという線もある。 PathMTUDiscoveryができなくて大きなパケットが通らなくなる。 だから画像などが取れない。 オレならまずこういうシナリオを考えるけどな。 なんか PPPoE の MSS 制限が効かないとかってバグがあったような気が あった Vyattaを6.5にアップしたらMTU制限が効かなくなって切り戻した→解決!? - mikedaの日記 ttp://mikeda.hatenablog.com/entry/20121217/1355762337 そういえは >>335 と似たような症状にはまってたわ >>342 あ、これと全く同じ症状です! ありがとうございました。 現在unnumbered接続をしていてさらに別セッション(別プロバイダ)にて unnumbered接続をしたいのですがそのようなことは可能でしょうか? おまえさんがRIPを設定できるのなら可能かも試練。多分できそうな気はする。 しかし「なにそれ、おいしいの?」というレベルなら、おまえさんには不可能。 >>346 RIPですか・・・昔、本で見たけど難しくてそっと閉じ・・・という感じです。 こんな風にしても無理っすかね?RIPは必要? ↓PPPOEマルチセッションにして物理nic追加 interfaces { ethernet eth0 { hw-id 00:00:00:00:00:00 pppoe 0 { password **************** user-id aaaaa } pppoe 1 { password **************** user-id bbbbb } } ethernet eth1 { address 100.100.100.100/28 hw-id 11:11:11:11:11:11 } ethernet eth2 { address 100.100.100.200/28 hw-id 22:22:22:22:22:22 } } >>249 の方法だとwan-load-balanceを使った際に効果が無い仕様(バグ?)があったので、 >>261 を参考にして設定したら上手く行った。 ありがとう。 VyOS 1.0.4を1.0.5に上げたらどうもnatがうまく動いてくれない。 dnsmasqはちゃんと動いてるのに、tcpのセッションを張れない。 firewallのルールが変わったのか? 何か追加してやらないと1.0.4のままじゃダメなのか? 幸いimageインストールにしてあるから1.0.4をデフォに戻してるけど。 うーむ、よくわからん。 いきなり1.1.0にしなくてよかった。(多分) Vyattaでフレッツひかり電話ルーター配下のIPv6の設定で上手く動いている人いますか? ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが 設定ならなくて困っています。 http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html ipv6 address autoconf ipv6 disable-forwarding とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・ ipv6 router-advertなどのお勧めの設定ありませんか? ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる