【PCルータ】　Vyatta

**login:Penguin** · 2015/01/22(木) 21:04:52.16

ファイヤーウォールの配下のNAT環境にVyOSを配置していますが、この場合outside-addressはどうしたらいいでしょう？
Internet ---- (GIP aaa.bbb.ccc.ddd）FW（PIP 192.168.99.1） ---- （192.168.99.254）VyOS
という感じです。
FWで透過型の設定が出来ればいいのですが、制限がかかっており仕方なくNAT環境にしています。
cannot respond to IPsec SA request because no connection is known for
のログが出力されているので、NAT-Traversal関係だとは思うのですが。

どなたか同様の問題の対処をされた方いらっしゃいましたらご教授頂けないでしょうか。

**login:Penguin** · 2015/01/22(木) 21:54:10.71

>>367
>>249 は、外から来たクライアント要求 TCP SYN の MSS を書き換えてない。
それが大きいままにLAN側サーバは同意しちゃうから、長いので送っちゃう。
TCP ペイロード length 1448 もあったら、PPPoE の MTU を通り抜けられないでしょ。
PPPoE in 側 (もしくは LAN への out) でも mss clamp かけてみたら。

**login:Penguin** · 2015/01/22(木) 22:37:46.16

>>368
仮想ルーターVyattaを使って、SoftLayerとオフィスを直結する
でぐぐって、真似る。

**login:Penguin** · 2015/01/22(木) 22:49:08.03

>>369
かけたりもしたつもりだったんだけどflagsの指定間違ってたみたい。
言われて注目して気付いた。

ありがとう、ありがとう。

**login:Penguin** · 2015/01/22(木) 22:50:59.78

よかった。出来上がり品も見せてくれるとうれしい。

**login:Penguin** · 2015/01/22(木) 23:20:06.62

>>370
情報ありがとうございます。生憎、その情報は確認済みでした。
情報不足でしたが、今回構築したいのはLAN間接続ではなくL2TP/IPsecのリモートアクセスになり、
したがってVyOSもリモートアクセスクライアントもNAT配下となります。

**login:Penguin** · 2015/01/23(金) 00:26:51.22

>>368
vyatta/vyos よりも、素のxl2tpd方面で調べる方が作例多そう。
Internet ---- (GIP aaa.bbb.ccc.ddd）FW（PIP 192.168.99.1） ---- （192.168.99.254）VyOS
なら /etc/xl2tpd/xl2tpd.conf には
[global]
listen-addr = 192.168.99.254
と入るのが妥当と思う。aaa.bbb.ccc.dddでは listen しようがないから。

cannot respond to IPsec SA request because no connection is known for
は、allowed-network 入ってます?
set vpn ipsec nat-networks allowed-network 0.0.0.0/0 exclude '192.168.0.0/24'
みたく。set vpn ipsec の辺は/etc/ipsec.confに反映されてplutoが読む。

**login:Penguin** · 2015/01/23(金) 01:22:04.96

>>374
アドバイスありがとうございます。
listen-addrはローカルIPを設定しています。試しにグローバルIPを設定してみましたが、変わらずでした。
（このコマンドはRTXシリーズで言う所の ipsec ike local addressにあたるのですよね？）

/etc/xl2tpd.confを直接見てみたところ、local ip項目が自身のローカルIPではなく、
まったく異なるものでしたが、これはVyOSの仕様なんですかね？
手動で編集してみましたが、configureからcommitしなおすと元に戻ってしまいます。

allowed networkはset vpn ipsec nat-networks allowed-network 0.0.0.0/0を入れています。
具体的には以下の様なログが出ています。
cannot respond to IPsec SA request because no connection is known for aaa.bbb.ccc.ddd/32===192.168.99.254:4500[192.168.99.254]:17/1701...zzz.yyy.xxx.www:63686[192.168.100.103]:17/%any===192.168.100.103/32

**login:Penguin** · 2015/01/23(金) 02:21:32.34

>>372
現状は「とりあえずできた版」でしかないから整理して週末にでも晒します。

**login:Penguin** · 2015/01/29(木) 09:30:23.61

VyOS 1.1.3 でた。
http://blog.vyos.net/post/109395934263/1-1-3-maintenance-release

**login:Penguin** · 2015/02/08(日) 09:59:47.13

>>369
うちの場合面倒だから SYN 立ってるパケット全部対象にしてる
set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0'
set policy route PPPOE-IN rule 10 protocol 'tcp'
set policy route PPPOE-IN rule 10 tcp flags 'SYN'
set policy route PPPOE-IN rule 10 set tcp-mss '1414'

ポリシーベースのルールが適用されるのってパケットの方向関係なく、指定された
インタフェースを通るタイミングなんだよね？
例えば eth1 に set してるとして、
eth0(WAN) -> eth1 -> LAN内と LAN内 → eth1 → eth0(WAN)
のどちらにもルール効いてる？

**login:Penguin** · 2015/02/08(日) 17:25:01.53

週末に晒すとか言いながら大分後の週末になってしまった。。。
今のところ問題は見当たらないけどこれがベストではないと思う。
# show policy route
route PPPOE-VIA-FLETS-IN {
rule 10 { destination { address 0.0.0.0/0 }
protocol tcp
set { tcp-mss 1414 }
tcp { flags SYN,!ACK,!FIN,!RST }
} }
route PPPOE-VIA-FLETS-OUT {
rule 10 { destination { address 0.0.0.0/0 }
protocol tcp
set { tcp-mss 1414 }
tcp { flags SYN }
} }
# show interfaces ethernet eth0 pppoe 0 policy
route PPPOE-VIA-FLETS-OUT
# show interfaces ethernet eth1 policy route
route PPPOE-VIA-FLETS-IN

**login:Penguin** · 2015/02/08(日) 22:12:49.55

リモートアクセス経由で入ってきた通信をルータのデフォルトルートとは別の場所に飛ばしたいんだけど、うまく出来てる人いる？

接続時にl2tp0ってインターフェースができるみたいなんだけど、そのインターフェースにはpolicyが適用できないっぽい。

**login:Penguin** · 2015/02/11(水) 22:59:34.75

>>380
できないよ

**login:Penguin** · 2015/05/05(火) 23:10:09.41

*.v4flets-east.jpの名前解決を、フレッツのサービス情報サイトの
DNSサーバーにforwardしたいときってどう書けばいいのかな。
pppoeはつながってるし、サービス情報サイトだけの接続なら
問題ないんだけど、インターネットと同時につなげようとすると
名前解決がうまくいかないんだよね。

eth0 pppoe0 インターネット
eth0 pppoe1 サービス情報サイトNGN IPv4
eth1 LAN
eth2 使ってない

protocols {
static {
interface-route 123.107.190.0/24 {
next-hop-interface pppoe1 {
}
}
interface-route 220.210.194.0/25 {
next-hop-interface pppoe1 {
}
}
}
}
dns {
forwarding {
cache-size 0
listen-on eth1
listen-on eth2
options "server=/*.v4flets-east.jp/123.107.190.5"
options "server=/*.v4flets-east.jp/123.107.190.6"
}
}

**login:Penguin** · 2015/05/06(水) 08:32:14.99

>>5
オープンソース界隈じゃもう、rerdhat系なんてメジャーじゃないよ。
Debian一色。

当然Centなんて論外だし、Fedoraもどんどん規模が小さくなってる。

**login:Penguin** · 2015/05/06(水) 08:33:48.52

>>382
dnsmasq.confの文法でいうと*.が邪魔なんじゃないでしょうか。
ttp://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html
-S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]]
if you have a nameserver on your network which deals with names of the form xxx.internal.thekelleys.org.uk
at 192.168.1.1 then giving the flag -S /internal.thekelleys.org.uk/192.168.1.1 will send all queries for
internal machines to that nameserver, everything else will go to the servers in /etc/resolv.conf.
ソースインタフェース指定もできるんですね。

**login:Penguin** · 2015/05/06(水) 12:55:46.88

>>384
ありがとうございます。
エラーメッセージが出てこないのが痛いな…

どうもHGWのPPPoEブリッジを経由すると、2つめのセッションが
うまくつながらないようです。ISPかサービス情報サイトの片方だけなら
問題なくつながります。
HGWを通さなければちゃんと2つともつながるんですけどね

**login:Penguin** · 2015/05/06(水) 13:24:47.50

http://feasible-lab.com/cisco%E3%83%9E
この例だとサービス情報サイトのDNSサーバー(123.107.190.5,
123.107.190.6)をコンフィグに書いて、ISPのDNSサーバーは
ppp ipcp dns request accept
で取得するという目論見のようだけどうまく動くのかな

Vyattaだとこのコマンドになるかな
set system name-server 123.107.190.5
set system name-server 123.107.190.6
set interfaces ethernet eth0 pppoe 1 name-server auto

Vyattaだとこのドメインルーティングには対応してないよね？
https://flets.com/customer/next/square/setup/v4/win7.html

**login:Penguin** · 2015/05/06(水) 15:52:02.33

>>384のアドバイスの通りやってみたらできました！
IEからはアクセスできてChromeからはダメだったので
ChromeのDNSキャッシュを消した
http://d.hatena.ne.jp/killinsun/20131128/1385609793
のですが、それでもダメで ipconfig /flushdns でつながりました。

ありがとうございました。

**login:Penguin** · 2015/05/06(水) 16:28:20.36

今のところこういう設定です
http://txt.do/goz2

**login:Penguin** · 2015/05/07(木) 00:23:47.47

これは後続の人の役に立ちそうですね

**login:Penguin** · 2015/05/07(木) 01:14:15.36

dns multiple forwarders の設定、以前悩んでた。
今のvyatta本家は知らないけど、派生系バージョンは微妙にコマンドが違ってる。

VyOS 1.1.5 (helium)
set service dns forwarding name-server '8.8.8.8'
set service dns forwarding domain flets server '123.107.190.6'

EdgeOS(v1.6.0)
set service dns forwarding name-server '8.8.8.8'
set service dns forwarding options 'server=/flets/123.107.190.6'

どちらもcommit後の /etc/dnsmasq.conf には以下のように展開
server=8.8.8.8
server=/flets/123.107.190.6

**login:Penguin** · 2015/05/07(木) 01:22:57.03

ぐぐったらこのサイトが出てきて、この設定だと
サービス情報サイトの名前解決ができなさそうなんだけど
http://d.hatena.ne.jp/pekeq/20100803/p1

もう少し補足すると、*.v4flets-east.jpの他に*.fletsも入れてあげた方がいいみたい
options server=/v4flets-east.jp/flets/123.107.190.5
options server=/v4flets-east.jp/flets/123.107.190.6

今のところの問題は、フレッツ速度測定(IPv4)で速度測定ができない。
firewallがらみかと思ったけど違うみたいだし、様子を見てみます

**login:Penguin** · 2015/05/07(木) 01:37:59.55

追加：　pppoe1が、フレッツ情報サイトとして、static-routing追加

set protocols static interface-route 123.107.190.0/24 next-hop-interface pppoe1 distance '1'
set protocols static interface-route 220.210.194.0/25 next-hop-interface pppoe1 distance '1'
set protocols static interface-route 220.210.198.0/26 next-hop-interface pppoe1 distance '1'

>>391
まとめて書かずに、行分けないとダメ
options server=/v4flets-east.jp/123.107.190.5
options server=/flets/123.107.190.5

**login:Penguin** · 2015/05/07(木) 01:56:50.47

>>392
-S, --local, --server=[/[<domain>]/[domain/]][<ipaddr>[#<port>][@<source-ip>|<interface>[#<port>]]
複数書けるようになってるけど、確かに読みにくいね

DNSサーバーのIPアドレスじゃなくてpppoe1のネームサーバーって
指定はできないのかな

今はこうなってて、*.fletsも*.v4flets-east.jpも名前解決はできてる

dnsmasq.conf
#
# autogenerated by vyatta-dns-forwarding.pl on Wed May 6 17:47:12 JST 2015
#
log-facility=/var/log/dnsmasq.log
interface=eth1
interface=eth2
cache-size=150
server=/v4flets-east.jp/flets/123.107.190.5
server=/v4flets-east.jp/flets/123.107.190.6

resolv.conf
nameserver 123.107.190.5 # nameserver added by pppoe1
nameserver 123.107.190.6 # nameserver added by pppoe1
nameserver xxx.xxx.xx.xx # nameserver added by pppoe0
nameserver xxx.xxx.xx.xx # nameserver added by pppoe0

**login:Penguin** · 2015/05/12(火) 13:51:39.25

TCPのMSS調整の
set policy route PPPOE-IN rule 10 destination address '0.0.0.0/0'
指定ってdestination 指定なしとどう違うの？

**login:Penguin** · 2015/05/13(水) 00:22:50.21

一緒。あったほうが分かりいいからかな。
将来 destination address '!192.168.0.0/16' みたいに
除外条件つけたくなるときのヒントにもなるかもだし。

**login:Penguin** · 2015/05/13(水) 23:45:57.10

>>395
なるほどそういうことなのか。ありがとう

**login:Penguin** · 2015/05/21(木) 22:40:11.48

vyosで、pppoe server 作りたいと思ったんですが、機能ないんですね。
git上ではソースはあるようですがパッケージでの提供はないようです。

自分でbuildしないとダメなんですかね？

**login:Penguin** · 2015/05/22(金) 20:21:56.98

大谷が指回したら塁審もスイング取るしかないよな

**login:Penguin** · 2015/05/22(金) 20:23:23.69

スーパー誤爆ったね

**397** · 2015/06/01(月) 01:13:57.27

今の最新ソース（lithium）を、gitから持ってきて make iso したら動いた。
しかしベースが　debian squeeze なのね。古すぎるなー

**login:Penguin** · 2015/06/02(火) 00:42:27.61

そんな事言う奴がなぜVyOSでPPPoEサーバをやろうと思ったのかが疑問

**397** · 2015/06/02(火) 22:31:16.14

テスト用のpppoeサーバーを立てるのに、楽しようと思ってvyosに当たりつけたのがスタート。
結局rp-pppoeですませたけど、vyosのビルドも気になっていたので、やってみたので報告まで

**sage** · 2015/06/23(火) 19:43:57.76

VyOSにpppoe設定をいれて、ルータを作成したのですが一部のサイト（yahooとか色々）が見れなかったりしております。
体感的に7割のサイトが見れて、3割のサイトが見れない感じです。
mtu,mru,mss 関係の部分でVyOSが悪さをしているという記述を見つけて色々と試したのですが未だに見れません。

>>249
のような設定をいれたり
下記URLの設定をいれたりしてみたのですが
ttp://mikeda.hatenablog.com/entry/20121217/1355762337

症状が改善されません。

使用しているOSは
最新の安定版: VyOS 1.1.5 (Helium) を使用しているのですが同様の症状が出ている方いらっしゃいませんか？

解決策をご存知の方いらっしゃいましたらアドバイス頂けませんでしょうか？

**login:Penguin** · 2015/07/12(日) 22:38:25.48

まだ見てるかな？　pppoe　に、mss いじる設定入れる

set policy route mss-clamp rule 10 destination address '0.0.0.0/0'
set policy route mss-clamp rule 10 protocol 'tcp'
set policy route mss-clamp rule 10 set tcp-mss '1414'
set policy route mss-clamp rule 10 tcp flags 'SYN'
set interfaces ethernet eth0 pppoe 0 mtu '1454'
set interfaces ethernet eth0 pppoe 0 policy route 'mss-clamp'

mtu/mssは環境に応じて、微調整してね。

**login:Penguin** · 2015/07/15(水) 08:54:49.55

>>368
この人の問題、解決できたのかな？
同じような構成でハマってるので解決策聞きたい。

**login:Penguin** · 2015/07/15(水) 12:18:27.47

outsideをローカルアドレス、idとremote-idを設定してみりゃどうね？とテキトーなコトを同じく詰まってるバカが申し上げてみる。

**login:Penguin** · 2015/08/13(木) 19:33:34.66

VyOS1.1.5で
>http://wiki.vyos-users.jp/%E3%82%88%E3%81%8F%E3%81%82%E3%82%8B%E8%B3%AA%E5%95%8F%28FAQ%29
の通りにリポジトリ設定して
apt-get update
apt-get upgrade
から再起動するとSSHキーが見つからないみたいなエラーが出るんだけどもこれは一体

**login:Penguin** · 2015/08/13(木) 21:20:35.58

そもそも何でapt-get upgradeなんてしようと思ったの？

**login:Penguin** · 2015/08/14(金) 12:47:39.69

vyos 1.05 amd64でなら、無線atherosの最新ドライバ入れたかったり、sambaでファイルサーバーとかしたかったりとかあったんでやったことあるよ。
環境はatom D510だったんでVTなしKVMつかえない実機。
ネットで探した方法で、ほぼ出来ました。
ちなみにvmware fusion上の1.15でもテストを兼ねてやってみたけどapt-get upgradeするとvyosの設定が保存されないとかあり、苦労しそうだったんでさっさと諦めました。

**login:Penguin** · 2015/08/15(土) 14:47:54.66

>>409
設定保存されないのか
怖いな

**login:Penguin** · 2015/08/15(土) 15:33:31.76

公式に「apt-get upgradeすんな、リスキーでんねん」ってあるんだから、トラブル解消できないならやるなよ。

**login:Penguin** · 2015/08/22(土) 10:29:49.66

1.2.0が来たかと思ったら1.1.6だった

**login:Penguin** · 2015/08/22(土) 20:31:23.08

USBキーボード指してると起動しないね
機種によるんだろうけど

**login:Penguin** · 2015/12/31(木) 13:24:02.91

まだ生きてるかな？

vyosでIPv6ブリッジ(パススルー)をやりたいのですがやり方がわかりません。
ブリッジかけてFWでIPv4フィルタかけてもARPが出てしまいます。
他にいいやり方ありませんか？

**login:Penguin** · 2015/12/31(木) 19:19:17.83

>>414
firewallがiptablesベースなので難しいと思う.そのうちebtablesベースにするとかvyattaの頃から言われてた気がするけど.

以前IPv4ルーター,IPv6ブリッジをしたかった時はvyatta諦めてseil x86使ったので上手く動く方法あれば知りたい.

**login:Penguin** · 2016/01/01(金) 14:52:00.90

やっぱりそうかありがとう
SEIL/x86は買ってあるからそっちを使うか

**login:Penguin** · 2016/11/18(金) 05:02:14.05

ローカルIPでISPの振り分けをしたく思っています

set nat source rule 10 outbound-interface pppoe0
set nat source rule 10 source address 192.168.0.10/32
set nat source rule 10 translation address masquerade
ここで192.168.0.10はpppoe0を使ってネット接続出来ています

set nat source rule 20 outbound-interface pppoe1
set nat source rule 20 source address 192.168.0.11/32
set nat source rule 20 translation address masquerade
これを付け加えると192.168.0.11はpppoe1を使ってネット接続出来るのですが
192.168.0.10が接続できなくなってしまいます

多分何か根本的な間違いがあると思うのですがどなたか教えていただけないでしょうか

**login:Penguin** · 2017/01/10(火) 04:20:54.43

まさかとは思うが二つの NAT 設定を一つの interface に適用してるだけなんじゃ。
一つの interface に複数の PPPoE セッションを通す事は可能らしいので、譬えば

set interfaces ethernet eth1 address '192.168.0.10/32'
set interfaces ethernet eth2 address '192.168.0.11/32'

となってるなら出来るはずでは。NAT 設定は IP で指定しているが、
実際は interface 毎に適用されるもの。そして各内部 interface は
通常は複数の機器に繋がるので、通常 NAT+DHCP を設定してサブネットをきる。

/32 だと無意味。そもそもサブネットを別にしているので、
最初から eth1: 192.168.0.0/24, eth2: 192.168.1.0/24 とかにすればいいのに。

**login:Penguin** · 2017/02/05(日) 20:12:26.51

>>417
今更だけど
https://yosida95.com/2015/05/17/203841.html

**login:Penguin** · 2017/02/13(月) 20:47:28.39

同一interface内でのISP振り分けは>>29みたいなのしかないような

**login:Penguin** · 2017/02/28(火) 07:16:23.21

root@vyos:~# vi /etc/ssh/sshd_config
で修正した設定がリブートしたら消えるんだけどどうしたらいい？
UseDNS yes → UseDNS no に変更したいんだけど

**login:Penguin** · 2017/02/28(火) 18:22:50.17

再起動で消えるなら保存してないんじゃ

**login:Penguin** · 2017/03/02(木) 00:50:26.24

編集前の該当行は1行のみで
UseDNS yes

コピペして編集
#UseDNS yes
UseDNS no

リブートすると
#UseDNS yes
UseDNS yes

コメントアウトした行は残ってるから何者かがno→yesに書き換えてる感じです

**login:Penguin** · 2017/05/25(木) 13:56:07.26

VyOSの開発版入れてみたけどcofigに互換性無いのか設定そのまま移行すると動かんな

**login:Penguin** · 2017/05/28(日) 11:32:19.89

>>424
結構書式変わるらしいですね

**login:Penguin** · 2017/12/27(水) 06:05:58.54

VyOS1.1.8出てるの気付かなかった

**login:Penguin** · 2017/12/29(金) 15:32:51.74

誰でも簡単にパソコン1台で稼げる方法など
参考までに、
⇒　『宮本のゴウリエセレレ』というブログで見ることができるらしいです。

グーグル検索⇒『宮本のゴウリエセレレ』

EUDXE4DATF

**login:Penguin** · 2018/02/15(木) 01:15:43.34

☆ 現在、衆議員と参議院の両院で、改憲議員が３分の２を超えて
おります。総務省の、『憲法改正国民投票法』、でググってみてください。
国会の発議はすでに可能です。日本の、改憲を行いましょう。
平和は勝ち取るものです。お願い致します。☆☆

**login:Penguin** · 2018/05/22(火) 09:56:44.82

僕の知り合いの知り合いができた副業情報ドットコム
関心がある人だけ見てください。
グーグルで検索するといいかも『ネットで稼ぐ方法　モニアレフヌノ』

WED5V

**login:Penguin** · 2018/09/05(水) 14:12:29.97

VyOSってDHCPv6-PDに対応してる？

**login:Penguin** · 2018/12/29(土) 01:15:34.77

1.2.0のリリース寸前age

**login:Penguin** · 2019/02/04(月) 00:33:41.07

いちおう1.2.0がリリースされたわけだが盛り上がらないな
有料化が原因かね

**login:Penguin** · 2019/02/04(月) 11:51:14.11

日本Vyattaユーザー会活動休止のお知らせ
ってのが見えたぞ。

**login:Penguin** · 2019/04/12(金) 10:11:16.23

vyos気軽に利用しにくくなったな。
OpenBSDベースだけどGUIとCLI両対応のsecurityrouterというものがあった。
機能的も豊富だし良さそう。

https://securityrouter.org/

**login:Penguin** · 2019/04/12(金) 21:21:13.92

見てみたけど無料だとただのブロードバンドルータくらいでしか使い道無い？
https://securityrouter.org/wiki/Pricing

**login:Penguin** · 2019/04/14(日) 05:06:13.99

まあ1.1.8で困ってないから暫くずっとこのままだな

**login:Penguin** · 2019/04/14(日) 05:21:21.36

っていうかBSDベースならOPNsenseでいいのでは

**login:Penguin** · 2019/05/05(日) 19:29:58.18

pfSense/OPNsenseはWEBベースで完結する前提で設計されてる
一応sshでもアクセスできるけどviで直接xmlを書き換えないと永続的な設定は出来ない

**login:Penguin** · 2019/05/07(火) 16:58:05.03

rolling release使えばよくない？

**login:Penguin** · 2019/05/07(火) 18:58:47.13

>>434
>vyos気軽に利用しにくくなったな。

久しぶりに見てきたら、なんかメンドウになってんのね
個人利用って、一人親方の非営利団体だとダメなんかな・・・

**login:Penguin** · 2019/05/09(木) 22:28:20.49

この手のディストロが意外と盛り上がらないのは、本気で使う人はメジャーディストロで自前で構築するからかね？
NAS用もどれもなんだか微妙な状況だし

**login:Penguin** · 2019/05/10(金) 00:29:28.18

そもそも適当なLinuxを入れればルータにもF/Wにもなるので
わざわざアプライアンスを使う必要がない

**login:Penguin** · 2019/05/10(金) 01:25:00.86

>>441
自前でルーターを構築しようなんていうのはアプライアンス的なやつだろうとそうでなかろうと圧倒的にマイノリティだから
人が居なすぎて盛り上がりようがないというだけの話では

**login:Penguin** · 2019/05/10(金) 22:47:00.86

vyattaが有償した時の流れに似てるなぁ・・・、vyattaは最終的に抹殺されたけど
vyosの無償版みたいのが、またforkされるかもね

**login:Penguin** · 2019/05/11(土) 06:16:20.16

>>443
CiscoやJuniperをおいそれとは買えない東欧ではMikroTikとかいう怪しげなやつが売れまくってるわけだし、グローバルでは需要自体はありそうなもんだけど……
まあそういう需要ではx86だけのVyOSはTCO高杉で眼中にないか。

**login:Penguin** · 2019/05/11(土) 08:11:17.16

vyos使ってたけど使い勝手に汎用性がないからじゃないからかなー
Debianディストリビューションの側面も強調出来たら汎用性上がるけど

**login:Penguin** · 2019/05/11(土) 19:27:39.87

>>444
公式の発表見て今回の変更はしゃーなしかなって思ったんだけど裏で何かゴタゴタしてんの？

**login:Penguin** · 2019/05/23(木) 21:23:35.76

コンパイル面倒だと思ったけどローリングリリースで十分だな
https://downloads.vyos.io/?dir=rolling/current/amd64

**login:Penguin** · 2019/05/28(火) 05:21:34.19

更新頻度高くない

**login:Penguin** · 2019/05/29(水) 23:51:24.82

ローリングモデルだと1日1回まるごとアップデートしなきゃいけないか
そのうちパッケージだけアップデートできるようにならんのかな

**login:Penguin** · 2019/05/30(木) 04:42:01.99

週1でしかimage更新してないわ

**login:Penguin** · 2019/06/09(日) 15:22:48.20

今ビルドすると有償版と同じisoが出来ますと発表して翌日にはパッケージの更新かけてるからな
何のためのブランチ分けだって話

**login:Penguin** · 2019/06/11(火) 18:07:49.54

1.1.8のigbドライバを新しいのにしようとカーネルソース探したら無くなってた
つらい

**login:Penguin** · 2019/06/14(金) 11:51:13.51

ローカル(192.168.0.0/0)からVyOSにSSH接続したいのにつながらない・・・・
何がミスっているのか

set service ssh port 22
set service ssh listen-address 192.168.0.1

set firewall name OUT_LAN default-action drop
set firewall name OUT_LAN rule 10 action accept
set firewall name OUT_LAN rule 10 state established enable
set firewall name OUT_LAN rule 10 state related enable
set interfaces ethernet eth0 firewall local name OUT_LAN

set firewall name WAN_IN default-action drop
set firewall name WAN_IN rule 10 action accept
set firewall name WAN_IN rule 10 state established enable
set firewall name WAN_IN rule 10 state related enable
set firewall name WAN_IN rule 20 action accept
set firewall name WAN_IN rule 20 protocol tcp
set firewall name WAN_IN rule 20 destination port 22
set firewall name WAN_IN rule 20 state new enable
set interfaces ethernet eth1 pppoe0 firewall in name WAN_IN

# eth0:LAN 192.168.0.1 / eth1:pppo0

**login:Penguin** · 2019/06/15(土) 02:52:18.05

>>454
自己解決しました

**login:Penguin** · 2019/12/26(木) 20:22:12.03

サブスクリプションには LTS release の source code なら無料とあるがどこまで信じたらいいのかわからん
docker 作って configure で --build-type release して docker で make iso しろっていうけど、--version が 1.2.3 でも 1.3.0 でも
出来上がる live-image-amd64.packages の中身が同じで vyos-1x が 1.3.0 になってる謎
iso の md5 とると違う値になってるが、サイズは同じなので多分埋め込まれたバージョンが違うだけしか差がない

git する際に clone -b crux --single-branch にしてみると確かにバージョン切り替わるけど --version 1.2.3 にしたのに vyos-1x が 1.2.4 になっている謎
rolling と何が違うのかは全くわからない

**login:Penguin** · 2020/03/04(水) 17:55:12.61

>>456
--versionって特定のブランチからビルドするような機能じゃないから
ちゃんとdocumentに書いてあったような気がするけど

**login:Penguin** · 2020/10/20(火) 19:47:49.89

ここで聞くのも何ですが、ER-4のファイアウォールポリシー数って幾つぐらいなんでしょうか。
ssg5のポリシー数が最大に達して何も出来なくなった為、購入を考えてます。

弾きたい通信の殆どがクラウド関係で、ネットワークアドレスやドメイン名を追加し続けたら上限に達しました。
またベトナムとかオランダ等海外から入ってこようとするアクセスも、中を見る前に送信元IPで弾きたいのですが、それをするにはPCルータかfortigateが必要になります。

**login:Penguin** · 2020/10/20(火) 22:03:56.59

200よりは多そう。
https://community.ui.com/questions/Firewall-Rules/42a83a65-2519-4fa0-8eaa-5996598ed2b6

**login:Penguin** · 2020/10/21(水) 12:22:42.90

>>459 レスどもです。

iptableとかで海外ドメイン弾くにはポリシーが3000以上必要で、ipv6用も同じぐらいになりますね。
fortigateだと簡単ですが。

**login:Penguin** · 2021/10/20(水) 23:34:12.85

epaの間は製品版のイメージ落とせるんだな