【PCルータ】　Vyatta

**login:Penguin** · 2010/10/22(金) 17:27:38

VPNやUTM機能を備えたDebianベースのルータ用ディストリビューションVyattaについて語るスレです。

公式サイト
http://www.vyatta.com/

PCルータ特化OSまとめwiki
http://www.esc-j.net/pc-router/index.php?Vyatta

**276** · 2014/04/15(火) 00:28:52.02

>>279
やはりUEFIが怪しいですよね。
AtomD510マザーにHDDを繋ぐとVyattaが起動するので、インストールは正常にできている様子です。
c60m1-iのBIOS互換モードでインストールし直しても症状は変わらずでした。
c60m1-iにWindows8を入れてみた所、問題なく使用できるので壊れてはいなさそうです。

UEFIのH77+i7PCをバラして、それにVyattaをインストールしてみようと思います。
Athlon5350+AM1で動作実績があれば、即ポチっちゃうんですけどね・・・

**login:Penguin** · 2014/04/15(火) 11:42:14.38

VyattaでもAtomでもなく、DebianとGigabyteのH78マザーにUSB-DVDからインストールしたときのことですが
BIOSの起動オプションで UEFIなDVDではなくLegacyなDVDを優先するようにしないと
HDDから起動できませんでした。UEFIなDVDから起動するとDebianはUEFIを使って起動するように
インストールされてしまうらしいです。
ご参考までに。

**276** · 2014/04/15(火) 21:43:00.37

>>281
ありがとうございます。
・DVDドライブ（非UEFI）を起動順序1番にしてインストール　NG
・SATA1にDVD、SATA2にHDDを繋いででインストール　NG
・BIOSを最新にしてインストール　NG
という結果でした。

手詰まりなので、Asusマザー以外のシステムで試したいと思います。
引き続きアドバイス頂けたら助かります。
長々と失礼しました。

**login:Penguin** · 2014/04/15(火) 23:23:49.06

UEFIだとCPUが64bitだとOSも64bitじゃないと起動しないヤツもあるとか...

**login:Penguin** · 2014/04/15(火) 23:41:47.15

"Welcome to GRUB！"ってGRUBのメニューや本体を読み込む段階だったっけ。
HDDが認識できてないのか、GRUBのいるパーティションが認識できてないのか分かるように作っといてくれるといいのにな

Welcomって書いてあるのはtypoだよね

**login:Penguin** · 2014/04/16(水) 11:34:56.76

>>1のwikiがボロクソに荒らされていた上に
pukiwikiが使えない状態になったので、データ抽出して他のwikiに変えました
また荒らされると、たまったものじゃないので編集制限かけます
アカウント
WAN
パス
lan

**276** · 2014/04/20(日) 15:24:39.32

勢いでAthron5350+AM1Iを買ってきて、VC6.6R1_i386をインストールしたところ
無事に起動しました。
アドバイスを下さった方々ありがとうございました。
c60m1-iは諦めて、Athron5350で構築する事にします。

**login:Penguin** · 2014/05/06(火) 23:12:54.61

uefi class 3がそのうち当たり前になりそうだから、VyOSではUEFI対応を進めてほしいな

**login:Penguin** · 2014/05/07(水) 00:57:15.02

>>285
乙ｶﾚｰ

**login:Penguin** · 2014/05/07(水) 11:12:59.55

ここもオラクルと同じく守銭奴か

**login:Penguin** · 2014/05/10(土) 19:12:56.96

VｙOSにのりかえるかな・・・

**login:Penguin** · 2014/05/11(日) 23:56:05.34

>>290
おれは最初vyattaを見つけて体験してみたあと、
最終的にはVyOSで我が家のファイアウォールを立て直した。
vyattaのエキスパートじゃないから、もしかしたら大きな違いを見逃してるかも知れんが、
ググって見つけた情報はほとんどそのまま使えるし、別にこれで不便は感じてない。

**login:Penguin** · 2014/05/14(水) 00:44:55.05

VyOS 1.0.3 でた。
http://vyos.net/wiki/1.0.0/release_notes#1.0.3

**login:Penguin** · 2014/05/14(水) 02:29:07.35

メンテナンスリリースってとこですかね。
次期リリースHeliumは今夏予定

**login:Penguin** · 2014/05/23(金) 21:44:09.47

bridgeしたインターフェースでVRRPしようとしたらうまくいかないんだけど、
そもそもbridge自体にVRRPできないの？

**login:Penguin** · 2014/05/23(金) 23:40:27.65

できんこたないだろうけど、
仮想ルータ用の MAC アドレス宛てのパケットの経路は引いてやったのか?
あとプロトコル112だっけか?

**login:Penguin** · 2014/05/24(土) 00:30:06.94

＞うまくいかないんだけど
コマンドシンタックスとしてサポートされていないってことじゃ？
ちょっとハックすれば動くっぽいけど
http://community.ubnt.com/t5/EdgeMAX-Feature-Requests/Add-VRRP-support-to-bridge-interfaces/idi-p/785548

**login:Penguin** · 2014/05/26(月) 18:25:38.32

>>295-296
ありがとうございます。
定義ファイルをコピーしたらCLI上で設定可能になりました。

**login:Penguin** · 2014/05/27(火) 10:37:11.84

Vyattaでupnpパッチ当てて使ってるから
VyOSに踏み出せずにいた。
が。vyatta.orgも3月からつながらなくなったままのようだし、進むか。

**login:Penguin** · 2014/05/31(土) 23:51:24.31

今朝VyOSのファイアウォールを立ち上げようとしたらHDDがI/Oエラーでブートしないでやんの。
早速USBからVyOSを起動して取り急ぎddでダンプしたら、11セクタほど読めなくなってた。
母艦に持って行ってe2fsckかけたら運良く復旧できたので、それでパーティション切り直した。
60GBの頭4GBを使ってただけなので、そこを飛ばして切り直して注ぎ込んだら直った。
configをバックアップしてなかったので、もしファイルシステムを復旧できていなかったらと思うとゾッとする。

教訓: configは必ずバックアップをとって、安全な場所に保管しておきましょう。

それさえあれば新しいHDDを買ってきて、新規インスコしたあと元に戻せるので。
絶対だよ! 今すぐやれ! このスレ読んでる場合じゃないぞ! 警告したからな!

**login:Penguin** · 2014/06/13(金) 02:32:42.24

ファイアウォール機能ってiptablesを使っているみたいなので、
この部分だけGUIのフロントエンドを使って、ブラウザで管理する、みたいな使い方って出来るかな？

**login:Penguin** · 2014/06/13(金) 23:57:47.08

ufw+lighttpdインスコして適当なcgiでも書けば作れるだろうけど、
ファイアウォールに余計なものを入れれば入れるほど脆弱性も増えちゃうわけだし。
折角フットプリントの小さなVyattaやVyOSなのになぜわざわざ重くしたいのかわからんし、
ブラウザでチョチョイ♪と使いたいなら無理してこんな使いにくい鳥使う必要ないし。
「ブラウザで」って時点でhttpは穴を空けとかなくちゃいけないのに、
そのiptablesをそのブラウザで「チョチョイ♪」と塞いじゃったらアウトじゃん...とか。
それにNATさえできればファイアウォールになるわけじゃないし...。

おれにはなぜこの鳥でそんなことをしたいと思うのか、その理由がわからんのだが。

**login:Penguin** · 2014/06/14(土) 00:55:14.14

ブラウザでやりたかったらpfSenseかIPFireでいいんじゃね

**login:Penguin** · 2014/06/15(日) 00:34:12.79

とりあえず・・・、core版ソースは拾っておいた
$ git clone http://git.vyatta.com/build-iso.git

そのうち公開されなくなるんだろうな。

**login:Penguin** · 2014/06/21(土) 03:36:02.58

VyOS 1.0.4出たね

**login:Penguin** · 2014/06/21(土) 09:27:23.74

何日か前、珍しくアップデートがきたけど、そのときかな?

**login:Penguin** · 2014/06/21(土) 11:16:20.66

1.0.4にアップグレードしたら、
外側のインタフェースに使ってるUSB有線LANアダプタが立ち上がらなくなってしまった。
調べるにもネットに繋がらないとはじまらないので、ひとまず1.0.3で立ち上げ直した。
1.0.2→1.0.3のときはこんなことなかったのに...。なんでだろ。

**login:Penguin** · 2014/06/21(土) 18:19:31.23

起動時にカーネルモジュールをロードさせるようにしたら通電するようになった。
でもUSB有線LANの方のインタフェースのデバイス名がなぜか変わっちゃった。
そのせいかどうかわからんが、アドレス変換がうまく働いていない。
ちゃんとデバイス名を置換してloadし直したんだけどなぁ...。

1.0.4にアップグレードしたいやつは、まずLive-CDなどで起動してみて、
すべてのインタフェースが同じデバイス名で認識されるかどうかを確認してからの方がいいかも。

**login:Penguin** · 2014/06/22(日) 17:15:46.82

結局、ip_forwardが1になってなかったのが原因でした。
原因を辿って行くと、カーネルの起動時オプションにconsole=ttyS0しかなくて、
console=tty0がないのがいけませんでした。
シリアルポートはないので、console=tty0もないと起動時には何も表示されず、
いきなりログインプロンプトがでる状態でした。

どういうわけかこの状態だとinitがprocpsを起動してくれないようです。
procpsが起動されないので、/etc/sysctl.confに書いてあるip_forward=1が反映されませんでした。
もしかしたらカーネルモジュールが読み込まれなかったのもこのせいかも知れません。

なぜconsole=tty0がなかったのかは不明ですが、とりあえず1.0.4をデフォルトに戻しました。

**login:Penguin** · 2014/06/22(日) 17:17:58.38

VyOSになってからupnpって使える？
前は非公式パッチで実現してたんだっけ？

**login:Penguin** · 2014/06/22(日) 22:29:41.56

おれは母艦でもUPnP使わんからわからんが、
今ならまだVyattaからフォークして日が浅いから
Vyattaでのやり方はそのままVyOSでもできる可能性は高いんじゃないかな。
githubから引っ張ってきたソースからdeb作るんでしょ?
依存パッケージさえあればその.debそのまんま使えそうな気がするけど...。(無責任モード)

**login:Penguin** · 2014/06/22(日) 22:45:22.37

こんなこと書いてるひとがいた。
http://blog.vyos.net/post/68885805772/does-vyos-have-upnp-support-i-remember-there-was-an
EdgeOSのtar玉拾ってきてビルドしろ、とさ。

"VyOS - Relationship with EdgeOS"
http://blog.vyos.net/post/71030817586/relationship-with-edgeos
VyOSの兄弟ってとこか?

**login:Penguin** · 2014/06/29(日) 14:51:02.75

テストがてら書き込み
VyOSでQoSやってみてるんだけど、traffic-policyを設定した後deleteしようとするとエラーになる
以降は設定関係がおかしくなるので何もせず再起動するしかないんだけど
設定ファイルを直接書き換える手とかってないですか？

**login:Penguin** · 2014/08/09(土) 09:07:14.65

VyOS 1.1.0-beta1でてるね。
http://blog.vyos.net/post/94063354053/vyos-1-1-0-beta1-is-available-for-download

**login:Penguin** · 2014/08/09(土) 12:35:53.80

sqeezeのままか。

**login:Penguin** · 2014/08/09(土) 23:15:25.14

すいません、ご存じの方居ますか。

vyattaで、wlan0、eth0をブリッジして、
イーサネットコンバータを作りたいのですが可能ですか？

**login:Penguin** · 2014/08/10(日) 00:40:55.62

"イーサネットコンバータ"の意味が激しく不明。
イーサネットと何を変換するんだ?

ちなみに我が家のファイアウォールはVyOSだけど、
内側がwlan0とeth0をくっつけて作ったbr0で、
外側がUSBの有線LANアダプタ(eth1)だ。
br0とeth1の間でルール書いてファイアウォールにしてる。
dhcpサーバとdnsmasqはbr0で動かして、
eth1ではdhclientを動かしてる。

こういうことくらいはできる。
あとは自分で考えろ。

**login:Penguin** · 2014/08/10(日) 00:51:41.10

そもそも単なるメディアコンバータ的なブリッジならPCなんぞ使わずに
そこら辺で売っている家庭用のAP買ってきた方が圧倒的に安い。

個人ではVlanがあるけどL3SW高いね、とか、DMZとか作りたいけどアプライアンス高いね、
といったときに使う物なんだが。あと、ラボをVMwareとかVirtualboxで再現するとか
そいった用途ならわかるんだけどさ。

**login:Penguin** · 2014/08/10(日) 00:58:44.32

イサコンはイーサネット(Ethernet)を無線に変換するから分かるけど
メディコンって媒体変換だからなんか違うんだよなあ

**315** · 2014/08/10(日) 10:03:32.64

無線LANイーサネットコンバータが正しいのでしょうか？
有線LAN（イーサネット）接続を無線LAN接続へ変換する装置。

離れた部屋にあるPCをWoLANしたいので、これが必要なんですよね
今はコレ
http://www.planex.co.jp/product/wireless/gw-ap54sp-p.shtml
使っているのですが、最近調子が悪くてしょっちゅう再起動が必要です

>>315さま
ふむふむ　VyOSというものならbr0にwlan0とeth0を含めることが可能なんですね
Vyattaでは同じ事を実現しようとして失敗しています。
ココの、
http://serverfault.com/questions/214056/wireless-client-to-ethernet-bridge-with-vyatta
No Go. Turns out this is not yet possible. From the vyatta forums:
In general linux does not support bridging wireless in station mode.
The problem is that wireless is internally point-to-point based and doing bridging requires MAC address spoofing.
と言う情報を見て、英語なので半分も理解できないながらも、不可能なのかもしれないと考え、315を投稿した次第です。
VyOS、試してみたいと思います

>>317
安く、無線LANイーサコン実現できる、APで安いものまだありますか？
どれも5,000円近くして手が出ない。廃品PC+Vyattaならタダだし助かるかな、と
昔はWHR-G301Nが2000円で手に入ってDD-WRT入れて無線LANイーサコンにしてたのですが・・・

**login:Penguin** · 2014/08/11(月) 00:28:03.82

>>319
あんたがどういう構成を作りたいのか知らんが、>>316はAPだよ。
「ファイアウォール」って書いてあるだろ。
APなwlan0ならeth0とブリッジにできるよ、って話。
これならVyattaでもできるはず。
そのURLを読んでみ。
言ってることの違いがわからんか?

**login:Penguin** · 2014/08/11(月) 01:01:08.83

単にブリッジするだけならL3のソフトを使うまでもなく
bridge-utilsに入っているbrctlで充分でしょう。

**login:Penguin** · 2014/08/11(月) 01:47:18.97

>>319
廃品PCとやらを、1年動かすと電気代で5000円くらい簡単に超えるんでは？

wrt入る適当な箱をオクで探せば2000円もしないと思うのだけど。

**login:Penguin** · 2014/08/11(月) 02:18:09.10

>>318

UTPを光Etherに変換する箱もメディコンって呼んでたよ。面倒くさいから。

**login:Penguin** · 2014/08/11(月) 10:08:47.42

無線から有線のイサコンなら1000円で普通に売ってるな

**login:Penguin** · 2014/08/13(水) 08:11:15.54

>>323
媒体変換だからそれは正しいよ
イサコンもメディコンの一種だし。
ただ、有線を無線に変えるのってメディコンより
イサコンのほうがより適切だと思うんだ。

メディコンを鍋、イサコンを水炊きに置き換えればなんとなく伝わるかなあ
まあ細かい話ではあるけどね
>316-317の流れで書きたくなったのさ

**login:Penguin** · 2014/08/17(日) 00:41:37.15

vyos1.1でmss clampの設定が出来るようになったのかな?

**login:Penguin** · 2014/09/04(木) 14:01:14.31

>>319
消費電力考えるとおとなしくイーサコンバータ買った方が賢い気がする

**login:Penguin** · 2014/09/16(火) 20:35:09.10

vyatta って無線 LAN をサポートしているとは思うのですが、
動作確認済みのリストみたいのってあるんでしょうか？

**login:Penguin** · 2014/09/16(火) 22:00:38.34

debian が認識するWiFi NICならいけるんじゃね？

**login:Penguin** · 2014/09/17(水) 00:16:41.16

最新規格に対応してるものだと当然ながら最速だが、
どのようなチップが使われてるか、またそのlinux用ドライバがあるかどうかをよく調べること。
さんざんググってもどういうチップが使われてるかわからないような奴はダメと推定する。

ちなみに俺はVyOSだけど、Dynabook SS内蔵の無線LANはそのまま使えた。
Atheros Communications Inc. AR5001 Wireless Network Adapter (rev 01)
内蔵タイプでこれはよくあるやつとおも。
USB外付けでは、 Ubuntu 12.04 LTS で WLI-UC-GNM2 は一発で認識した。

VyOSでは(多分Vyattaでも似たようなもんだと思うが)カーネルは linux 3.3 だから、
まずこいつがドライバもってなけりゃ話しにならない。
但し、親機モードで使えるかどうかはチップによって違うので、そこんとこは注意点。

もしこれから新規に買うなら、規格が古くて遅いけど、
未だに新品を買えるようなものを敢えて選んでみるというのも手。
そういう奴は随分安くなってるはずだから、ダメ元の覚悟で突撃しやすい。

**login:Penguin** · 2014/09/18(木) 16:04:03.36

しかしクライアントモードで動作してもhostapでAPにできなかったりする。
ドライバぇ

**login:Penguin** · 2014/09/19(金) 14:04:18.28

USBのwlanアダプタでhostapやるのはちょっと厳しいね。

**login:Penguin** · 2014/09/23(火) 11:31:59.81

APにするのは少々梃子摺りそうですね

**login:Penguin** · 2014/09/28(日) 22:29:35.53

VyOS 1.1.0 プレビューがでてた。
http://blog.vyos.net/post/98485918203/1-1-0-preview-image-update

**login:Penguin** · 2014/10/03(金) 02:57:12.46

192.168.1.0/24
↓
192.168.2.0/24
↓ vyos
*.*.*.*/32 (PPPoE固定IP)(SNAT)
こんな感じでルーター作ったんですが、192.168.1.0/24のサブネットで
webアクセス時index.htmlだけ表示されて他の素材とかERR_CONNECTION_RESETというエラーになってしまうんですが、
何がいけないのでしょうか。

**login:Penguin** · 2014/10/03(金) 03:12:59.16

>>335

セグメント3個ってことはVyOS以外にもL3がいるでしょ？
RIP喋らせなさい。
VyOSはルーティングプロトコルなしでは直接繋がっている箱の先を
知らないよ。
デフォルトゲートウェイで網側に投げることは出来るけど、
帰ってきたパケットが行方不明になる。

マンガの書き方のせいで情報が足りないや。

**login:Penguin** · 2014/10/03(金) 07:52:24.73

>>336
ありがとうございます。
やってみます。

**login:Penguin** · 2014/10/03(金) 16:09:04.55

index.htmlだけは見えたのはなんでだろう

**login:Penguin** · 2014/10/03(金) 17:16:58.03

>>338

普通境界ルータのVyOSが帰ってきたセグメントを該当なしで
デフォルト側の網に送り返して、いずれ落ちるのが常識的な動作かね。
2.0は直接繋がってるけど、1.0は直接繋がっていないので、
VｙOSともう一つの箱がRIP喋るか、VyOSがスタティックを切って
もう一つのに流す必要がある。

というわけで、質問者はネットワーク構成図を書いてくれ。
多分RIPで解決するはずだが。

(まさか仮想機械ではあるまいな？)

**login:Penguin** · 2014/10/03(金) 22:50:45.35

あの程度でわざわざRIPもないだろ。
冗長化されてるわけでもないし、
いくつかある経路が切り換わるわけでもあるまいし。

192.168.1.0/24と192.168.2.0/24の間がアドレス変換してて、
ICMPをブロックしてしまってるという線もある。
PathMTUDiscoveryができなくて大きなパケットが通らなくなる。
だから画像などが取れない。
オレならまずこういうシナリオを考えるけどな。

**login:Penguin** · 2014/10/03(金) 23:43:30.68

なんか PPPoE の MSS 制限が効かないとかってバグがあったような気が

**login:Penguin** · 2014/10/03(金) 23:47:32.63

あった

Vyattaを6.5にアップしたらMTU制限が効かなくなって切り戻した→解決！？ - mikedaの日記
ttp://mikeda.hatenablog.com/entry/20121217/1355762337

そういえは >>335 と似たような症状にはまってたわ

**login:Penguin** · 2014/10/04(土) 11:57:48.68

>>342
あ、これと全く同じ症状です！

ありがとうございました。

**login:Penguin** · 2014/10/05(日) 06:55:58.74

ブラックホールルータか

**login:Penguin** · 2014/10/08(水) 19:14:37.64

現在unnumbered接続をしていてさらに別セッション(別プロバイダ)にて
unnumbered接続をしたいのですがそのようなことは可能でしょうか？

**login:Penguin** · 2014/10/08(水) 21:39:59.84

おまえさんがRIPを設定できるのなら可能かも試練。多分できそうな気はする。
しかし「なにそれ、おいしいの?」というレベルなら、おまえさんには不可能。

**345** · 2014/10/09(木) 13:02:46.22

>>346
RIPですか・・・昔、本で見たけど難しくてそっと閉じ・・・という感じです。
こんな風にしても無理っすかね？RIPは必要？
↓PPPOEマルチセッションにして物理nic追加
interfaces {
ethernet eth0 {
hw-id 00:00:00:00:00:00
pppoe 0 {
password ****************
user-id aaaaa
}
pppoe 1 {
password ****************
user-id bbbbb
}
}
ethernet eth1 {
address 100.100.100.100/28
hw-id 11:11:11:11:11:11
}
ethernet eth2 {
address 100.100.100.200/28
hw-id 22:22:22:22:22:22
}
}

**login:Penguin** · 2014/10/10(金) 00:35:46.83

やっとヘリウムが凍ったぞ。
http://blog.vyos.net/post/99485486448/helium-is-frozen

もうすぐか?

**login:Penguin** · 2014/10/10(金) 11:10:07.96

ヘリウムでた。
http://blog.vyos.net/post/99607428923/1-1-0-release

フリーズ期間ほとんどなかったけど...。

**login:Penguin** · 2014/10/15(水) 11:06:45.22

VyOS 1.0 のセキュリティリリース "1.0.5" が AWS で使えるようになったんだと。
http://blog.vyos.net/post/99971040118/vyos-1-0-5-is-available-on-the-aws-marketplace

**login:Penguin** · 2014/10/30(木) 12:31:15.47

>>249
の方法だとwan-load-balanceを使った際に効果が無い仕様(バグ？)があったので、
>>261
を参考にして設定したら上手く行った。
ありがとう。

**login:Penguin** · 2014/10/30(木) 23:11:10.25

VyOS 1.0.4を1.0.5に上げたらどうもnatがうまく動いてくれない。
dnsmasqはちゃんと動いてるのに、tcpのセッションを張れない。
firewallのルールが変わったのか? 何か追加してやらないと1.0.4のままじゃダメなのか?
幸いimageインストールにしてあるから1.0.4をデフォに戻してるけど。
うーむ、よくわからん。
いきなり1.1.0にしなくてよかった。(多分)

**login:Penguin** · 2014/11/04(火) 10:34:43.65

Vyattaでフレッツひかり電話ルーター配下のIPv6の設定で上手く動いている人いますか？

ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが
設定ならなくて困っています。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html

ipv6 address autoconf
ipv6 disable-forwarding
とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・
ipv6 router-advertなどのお勧めの設定ありませんか？

**login:Penguin** · 2014/11/04(火) 10:36:31.75

Vyattaでフレッツひかり電話ルーター配下のIPv6の設定で上手く動いている人いますか？

ヤマハでいうこういう動作をしたいんだけど、デフォルトゲートウェイやDNSが
設定ならなくて困っています。
http://www.rtpro.yamaha.co.jp/RT/FAQ/FLETS-HIKARI-NEXT/ipv6_ipoe.html

ipv6 address autoconf
ipv6 disable-forwarding
とやれば単体ではv6通信可能なんですけど、これだとルーターとして動かないし・・・
ipv6 router-advertなどのお勧めの設定ありませんか？

**login:Penguin** · 2014/11/21(金) 19:10:59.10

ここでいいかわかりませんが訊いてみます。
VyOS+Hyper-Vで組んでみたのですが、NICドライバの設定方法がわかりません。
（チェックサムオフロードとかTxRxバッファサイズの設定などのNIC依存部分）
ethtoolを使ってみたのですがサポート外のようです。

どなたかわかる方いましたらお願いします。

**login:Penguin** · 2014/11/22(土) 04:38:03.70

test

**login:Penguin** · 2014/11/22(土) 09:14:10.16

>>356
テストはこっちで。
http://hayabusa6.2ch.net/test/read.cgi/linux/1341351394/

**login:Penguin** · 2014/11/22(土) 10:30:21.06

>>355
/config/scripts/vyatta-postconfig-bootup.script
#!/bin/sh
for i in eth0 eth1 eth2 eth3 eth4; do
## ethtool -G ${i} rx 2048 tx 2048
ethtool -K ${i} tso off lro off gro off gso off
done
たぶんこんな感じ。
以前 vmxnet3で rx, tx いじったときカーネルパニックで
再起動延々し続けたので、今はやめてる。

**login:Penguin** · 2014/11/25(火) 18:09:48.95

>>358
設定ありがとう。
でも上手く動かなかったわ。
そもそもethtool -G eth0を叩くとOperation not supportedって出る。
仮想NIC側が対応してないのかも。
統合サービスとか入れるのかと思ったんだけどイマイチ見つからない。

**login:Penguin** · 2014/11/26(水) 23:50:04.92

>>359
ttp://www.mindworks.shoutwiki.com/wiki/Ethtool_Support_for_Microsoft_Hyper-V
へぇ Hyper-V では ethtool 動かないんだ

**login:Penguin** · 2014/11/26(水) 23:56:49.92

レガシネットワークアダプターこと e1000 では嫌かな

**login:Penguin** · 2014/12/02(火) 19:26:53.61

一応統合サービスは入ってるのでレガシーよりは遥かにいい
レガシーだと100Mbps相当になるっしょ
ただNIC固有の機能設定が殆どできないのが勿体無いんだな
せっかくI350買ったのに……

**login:Penguin** · 2014/12/03(水) 08:41:41.94

vmxnet3 で物理NIC固有機能なんてどのみち使えないでしょ。Hyper-V 以外でも。
VT-d するならともかく。

**login:Penguin** · 2014/12/10(水) 23:54:19.32

VyOS 1.1.1 メンテナンスリリースが出てた。

http://blog.vyos.net/post/104617256813/1-1-1-maintenance-release

**login:Penguin** · 2015/01/22(木) 00:13:24.52

メールサーバ作ってるんだがPOP3Sでメールを受けようとすると通信がタイムアウトしてしまう。。。
maillogやtcpdumpを見てみると外部からのアクセスは来ていて、
応答も投げ返しているのだが途中から相手方のサーバの通信が来なくなってしまう。
VyattaのLAN側とWAN側(PPPoE)でtcpdumpしてみるとどうやらこちらのメールサーバのパケットが
VyattaのLANまでは来ているのだがWANに出て行っていないみたい。。。

まったくWANに出て行かないわけではなくて、多分TLS handshakeの前後位から出て行けなくなるみたいなんだけど
誰か解決策orヒントわかりませぬか。。。
出ていけるパケットと出ていけないパケットの違いがわからない。。。

23:45:44.337952 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [P.], seq 1449:1711, ack 308, win 972, options [nop,nop,TS val 1309150490 ecr 2175665493], length 262
23:45:44.353062 IP *REMOTEIP*.54951 > *LOCALIP*.995: Flags [.], ack 1, win 365, options [nop,nop,TS val 2175665635 ecr 1309150377,nop,nop,sack 1 {1449:1711}], length 0
23:45:44.573398 IP *LOCALIP*.995 > *REMOTEIP*.54951: Flags [.], seq 1:1449, ack 308, win 972, options [nop,nop,TS val 1309150728 ecr 2175665635], length 1448

↑の一番最後のパケットがWAN側に出て行かない。。。

**login:Penguin** · 2015/01/22(木) 00:36:58.99

>>365
>>249 ?

**login:Penguin** · 2015/01/22(木) 01:12:26.84

>>366
早速あんがと。
ただ、そこはmss値は1394で設定済みで、Webサイトの閲覧に特に問題は感じないのです。
(感じないだけでどこか問題はある、かも。。。)
試しに>>249に合わせて1360にしてみたけど状況はかわらないです。。。

**login:Penguin** · 2015/01/22(木) 21:04:52.16

ファイヤーウォールの配下のNAT環境にVyOSを配置していますが、この場合outside-addressはどうしたらいいでしょう？
Internet ---- (GIP aaa.bbb.ccc.ddd）FW（PIP 192.168.99.1） ---- （192.168.99.254）VyOS
という感じです。
FWで透過型の設定が出来ればいいのですが、制限がかかっており仕方なくNAT環境にしています。
cannot respond to IPsec SA request because no connection is known for
のログが出力されているので、NAT-Traversal関係だとは思うのですが。

どなたか同様の問題の対処をされた方いらっしゃいましたらご教授頂けないでしょうか。

**login:Penguin** · 2015/01/22(木) 21:54:10.71

>>367
>>249 は、外から来たクライアント要求 TCP SYN の MSS を書き換えてない。
それが大きいままにLAN側サーバは同意しちゃうから、長いので送っちゃう。
TCP ペイロード length 1448 もあったら、PPPoE の MTU を通り抜けられないでしょ。
PPPoE in 側 (もしくは LAN への out) でも mss clamp かけてみたら。

**login:Penguin** · 2015/01/22(木) 22:37:46.16

>>368
仮想ルーターVyattaを使って、SoftLayerとオフィスを直結する
でぐぐって、真似る。

**login:Penguin** · 2015/01/22(木) 22:49:08.03

>>369
かけたりもしたつもりだったんだけどflagsの指定間違ってたみたい。
言われて注目して気付いた。

ありがとう、ありがとう。

**login:Penguin** · 2015/01/22(木) 22:50:59.78

よかった。出来上がり品も見せてくれるとうれしい。

**login:Penguin** · 2015/01/22(木) 23:20:06.62

>>370
情報ありがとうございます。生憎、その情報は確認済みでした。
情報不足でしたが、今回構築したいのはLAN間接続ではなくL2TP/IPsecのリモートアクセスになり、
したがってVyOSもリモートアクセスクライアントもNAT配下となります。

**login:Penguin** · 2015/01/23(金) 00:26:51.22

>>368
vyatta/vyos よりも、素のxl2tpd方面で調べる方が作例多そう。
Internet ---- (GIP aaa.bbb.ccc.ddd）FW（PIP 192.168.99.1） ---- （192.168.99.254）VyOS
なら /etc/xl2tpd/xl2tpd.conf には
[global]
listen-addr = 192.168.99.254
と入るのが妥当と思う。aaa.bbb.ccc.dddでは listen しようがないから。

cannot respond to IPsec SA request because no connection is known for
は、allowed-network 入ってます?
set vpn ipsec nat-networks allowed-network 0.0.0.0/0 exclude '192.168.0.0/24'
みたく。set vpn ipsec の辺は/etc/ipsec.confに反映されてplutoが読む。

**login:Penguin** · 2015/01/23(金) 01:22:04.96

>>374
アドバイスありがとうございます。
listen-addrはローカルIPを設定しています。試しにグローバルIPを設定してみましたが、変わらずでした。
（このコマンドはRTXシリーズで言う所の ipsec ike local addressにあたるのですよね？）

/etc/xl2tpd.confを直接見てみたところ、local ip項目が自身のローカルIPではなく、
まったく異なるものでしたが、これはVyOSの仕様なんですかね？
手動で編集してみましたが、configureからcommitしなおすと元に戻ってしまいます。

allowed networkはset vpn ipsec nat-networks allowed-network 0.0.0.0/0を入れています。
具体的には以下の様なログが出ています。
cannot respond to IPsec SA request because no connection is known for aaa.bbb.ccc.ddd/32===192.168.99.254:4500[192.168.99.254]:17/1701...zzz.yyy.xxx.www:63686[192.168.100.103]:17/%any===192.168.100.103/32

**login:Penguin** · 2015/01/23(金) 02:21:32.34

>>372
現状は「とりあえずできた版」でしかないから整理して週末にでも晒します。

**login:Penguin** · 2015/01/29(木) 09:30:23.61

VyOS 1.1.3 でた。
http://blog.vyos.net/post/109395934263/1-1-3-maintenance-release

**login:Penguin** · 2015/02/08(日) 09:59:47.13

>>369
うちの場合面倒だから SYN 立ってるパケット全部対象にしてる
set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0'
set policy route PPPOE-IN rule 10 protocol 'tcp'
set policy route PPPOE-IN rule 10 tcp flags 'SYN'
set policy route PPPOE-IN rule 10 set tcp-mss '1414'

ポリシーベースのルールが適用されるのってパケットの方向関係なく、指定された
インタフェースを通るタイミングなんだよね？
例えば eth1 に set してるとして、
eth0(WAN) -> eth1 -> LAN内と LAN内 → eth1 → eth0(WAN)
のどちらにもルール効いてる？

**login:Penguin** · 2015/02/08(日) 17:25:01.53

週末に晒すとか言いながら大分後の週末になってしまった。。。
今のところ問題は見当たらないけどこれがベストではないと思う。
# show policy route
route PPPOE-VIA-FLETS-IN {
rule 10 { destination { address 0.0.0.0/0 }
protocol tcp
set { tcp-mss 1414 }
tcp { flags SYN,!ACK,!FIN,!RST }
} }
route PPPOE-VIA-FLETS-OUT {
rule 10 { destination { address 0.0.0.0/0 }
protocol tcp
set { tcp-mss 1414 }
tcp { flags SYN }
} }
# show interfaces ethernet eth0 pppoe 0 policy
route PPPOE-VIA-FLETS-OUT
# show interfaces ethernet eth1 policy route
route PPPOE-VIA-FLETS-IN

**login:Penguin** · 2015/02/08(日) 22:12:49.55

リモートアクセス経由で入ってきた通信をルータのデフォルトルートとは別の場所に飛ばしたいんだけど、うまく出来てる人いる？

接続時にl2tp0ってインターフェースができるみたいなんだけど、そのインターフェースにはpolicyが適用できないっぽい。