NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net

[0001 anonymous 転載ダメ©2ch.net 2015/07/24(金) 15:36:48.24 ID:???]

NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
　http://www.nec.co.jp/ixseries/ix2k3k/

関連スレ
・宅鯖に最適なルータは？ @ ウィキ
　http://www39.atwiki.jp/takurouter/
・ＮＥＣ系装置勉強会(MM-Node,IP45,ATOMIS　etc)
　http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは？　4セッション目　(dat落ち、次スレなし)
　http://pc11.2ch.net/test/read.cgi/mysv/1199977508/

前スレ：NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/

[0221 ix2015しか使えない貧乏人 2016/03/12(土) 18:48:50.16 ID:???]

>>216
いやほんと継ぎ接ぎして書いたconfigなので、その指摘で正しいです。私が貼ったフィルタ名で検索すると出典元が出てきそう。
フィルタだけ有って設定してないものも何箇所か散見されますね。コメントアウトするか削除すべきでしょう。
ご指摘ありがとうございます。

いろいろなサイト様と設定事例集と見比べつつ比較して見るんですが、みなさん個々のポリシー持って組まれてるんで、
だんだんワケがわからなくなるんですよねえ。本来は、ネットワーク設計があって、それを実現するためのconfigを書けばいいわけなんですが
元々家庭用ルータがあり、それの置き換え（早く動かしたい）という感じで使用開始したため、結局コピペコンフィグに。

とりあえず暗黙のdenyとNAPTが果たす簡易FW（副次的作用のFWか？）で、ひとまずの危険は回避しているという認識ですが、
LAN→WANへのお漏らし徹底という意味でも、まともなフィルタ設定を書く必要有りですね。

>>208
過去スレの再掲っていう意見も出てるっぽいけど、わざわざ有り難う。
サーバー公開用のフィルタこちらで追加すればいいからそこは問題なさそうだ。

>>スレの先輩方へ
静的フィルタでいちいちポート指定しててもいいけど、設定行も増えるし、動的フィルタを用いてLAN→WANを全許可しつつ、個々にまずそうと思われるポートは静的フィルタで、
LAN→WAN、WAN→LAN方向双方ともに塞ぐというのがベストなのかな。理解が乏しくて申し訳ないけど、ご教示ください。

うちもVPN使っているけど、利便性と速度考えてSoftEther使ってます。オープンソース版だと鍵認証できないから本来はセグメント分けたり対策が要りそうだけど特にやってない。

[0222 anonymous 2016/03/12(土) 21:08:36.98 ID:???]

結果として同じように設定出来るの技を持っているのであれば、あとは好みの問題だわな
使用しているソフトウェア（OSを含む）がどんな種類のプロトコルと何番のポートを使って通信するかを正確に把握した上で、
その都度パケットフィルタの追加・削除をきちんと管理出来ますと言うのであれば静的フィルタでも良いだろうけど、それを
面倒だと感じるなら動的フィルタって感じ
俺は別にネットワーク機器やサーバーのマニアじゃないし、報酬もらって仕事でやるならともかく自宅でまで面倒なことしたくない
から動的フィルタ使ってる
プロトコルやポート毎じゃなくてソフトウェア毎に個別に許可する／しないをやりたいのなら、それはIXじゃなくて
パーソナルファイアウォールの仕事

[0223 ix2015しか使えない貧乏人 2016/03/12(土) 22:21:56.65 ID:???]

>>222
参考になります。
とりあえず公開サーバー系は別に考えるとして、それ以外はLAN→WANを動的フィルタで全許可。それ以外は暗黙のdenyで拒否という設定に改めようと思う。
また分からんくなったらきます。ありがとう

[0224 ix2015しか使えない貧乏人 ◆EIIxd0KNm. 2016/03/12(土) 22:25:02.17 ID:???]

>>222
>>213の書き込みは俺ではないよ。昨日はクタクタで変なレスが付いてるなあと思ったんだけど。酉つけとけばよかったな。
文体も全く違うし、気づいてもらえてると思うけど一応。

[0225 anonymous 2016/03/12(土) 22:28:20.91 ID:???]

公開するサーバーの使用ポートがsrv-passグループのやつで間違いないっていうなら
あとは
ip napt static 〜
ってやってLAN内のサーバーと紐付けてやればNAPT越しにサーバ公開できる
VPN以外はHTTP(S)とDBとVNCとSSHってところか

[0226 anonymous 2016/03/12(土) 23:06:59.44 ID:???]

いつになく盛り上がってるな

[0227 anonymous 2016/03/12(土) 23:21:28.15 ID:???]

NECのルーターってどうなのよ

[0228 anonymous 2016/03/12(土) 23:28:07.21 ID:???]

至高ではないが最高ではある

[0229 anonymous 2016/03/13(日) 00:14:58.85 ID:???]

ほう
至高はどこなの？YAMAHAが好きだが、やっぱりししゅこたん？

[0230 ix2015しか使えない貧乏人 ◆en.fiL6a1E 2016/03/13(日) 00:18:22.28 ID:???]

>>225
ありがとう。とりあえずフィルタはpermitのみ記述、公開ポートはNAPTで転送という形に変更したよ。
つぎはぎで無駄になってたフィルタもごそっと削除。

ところで、中国系のDOS攻撃排除を目的に、下記の様なフィルタを作成したんだが
ip filter nochina 5 inを追加するとネット不通になる。（out側でフィルタしても同様）
これはなぜだろうか。度々申し訳ないがご教示のほどお願いします。

フィルタ部分
!全許可
ip access-list all-forward permit ip src any dest any
!ググッて出てきた中国系IPを一括して列挙（多すぎるので1件だけ）
ip access-list nochina deny ip src 1.0.16.0/20 dest any
!XP等非サポートOSをインターネットに出さない
ip access-list noxp deny ip src 192.168.50.110/32 dest any
WAN側IFにoutで適用
interface FastEthernet0/1.1
encapsulation pppoe
auto-connect
ppp binding interlink
ip address ipcp
ip napt enable
ip napt service （略）
　ip filter nochina 5 in
ip filter noxp 10 out
ip filter all-forward 65000 out
no shutdown

[0231 anonymous 2016/03/13(日) 00:41:36.19 ID:???]

>>230
静的フィルタってやってんのかな？
nochinaグループのいずれかに含まれるIPにアクセスしているけど、
相手から折り返してくる通信をinで弾いているから、PCまで返ってきてないんじゃないの？

1.0.16.0/20
これ日本のアドレス空間みたいだけど？

[0232 ix2015しか使えない貧乏人 ◆en.fiL6a1E 2016/03/13(日) 02:29:17.73 ID:???]

>>231
ありがとう。あちゃー。日本のIPか…。googleにアクセスした時点でタイムアウトするから、全く使い物にならんよ。
元ネタはipv4.fetus.jp/krfilterからcn,kr,kpのアドレス一覧をもらってきて、エクセル;秀丸で整形して流し込んだ感じ。

公開しているWEB類は、保守の手間とか考えてさくらのレンタルサーバに逃がしてるんだけど、テスト用のページとか、owncloudとか立ててるもんだから
そのへんからのアクセスを弾きたくて設定してる感じ。

>>281のコメントを参考にする限り、中・韓・北朝鮮のIPだと思っていたリストに日本のIPが多数混入している感じだね。
見なおしてみるよ。

[0233 anonymous 2016/03/13(日) 02:46:22.00 ID:???]

>>232
ドメインの末尾が.jpで終わるホストからのみのアクセスにしたいと言うのであれば、

ip access-list srv-pass permit tcp src src-domain *.jp sport any dest [サーバーのIP] dport eq 80

こんな書き方も出来るけどね
詳細はコマンドリファレンスを見てくれ

[0234 ix2015しか使えない貧乏人 ◆njjgaOjCF. 2016/03/13(日) 02:49:15.95 ID:???]

>>231
別のサイト、filtering.web.fc2.com/iptables_cnkr.shからブロック対象一覧を持ってきて、
interface FastEthernet0/1.1
（途中略）
ip filter nochina 5 in
ip filter noxp 10 out
ip filter all-forward 65000 out

と設定してみた。その後、8.8.8.8(Google)へpingを打ったところ通らなかったな
ブロックリストには8.8.8.8が含まれていないのは確認済み。

リストが悪さしているのは理解できるが、じゃあどうすれば？というところで躓いてしいました。

[0235 ix2015しか使えない貧乏人 ◆en.fiL6a1E 2016/03/13(日) 02:50:52.60 ID:???]

>>233
リロードしておらず見落としてました。ありがとう。

話とは関係ないんだけど酉が頻繁に変わるのなんでだろうな…入れてる文字は変わらないんだけど
タイプミスなのかどっかに空白が入ってるのか…。

[0236 anonymous 2016/03/13(日) 03:12:01.32 ID:???]

>>233
ごめん
正しくは

ip access-list srv-pass permit tcp src src-domain .jp sport any dest [サーバーのIP] dport eq 80

で、アスタリスク入れたらダメかも

[0237 anonymous 2016/03/13(日) 03:20:15.97 ID:???]

>>234
>>234
静的フィルタだから、恐らくin側フィルタに戻りの通信（established）を通す設定をしてやらんとパケットが返ってこないよ
全部暗黙のdeny anyで弾かれてる
pingが返らないのも同じ理由

ip access-list [適当な名前] permit icmp src any dest any
ip access-list [適当な名前] permit tcp established src any dest any

か

ip access-list [適当な名前] permit icmp src any dest [プライベートアドレス空間]
ip access-list [適当な名前] permit tcp established src any dest [プライベートアドレス空間]

で定義して

ip filter [適当な名前] 65000 in

[0238 anonymous 2016/03/13(日) 13:10:11.05 ID:???]

暗黙のdenyって何回も捕捉で説明されてるのにまだ忘れてて草

[0239 anon 2016/03/13(日) 13:17:19.08 ID:???]

そもそもNAPTのテーブルにまず載らないものを執拗にフィルタリングしようとしてるけど意味あるの？
実環境でカウンタが上がることがあるのか試してここに書いてほしいね。

[0240 anonymous 2016/03/13(日) 13:35:14.92 ID:???]

Atermとかの家庭用ルーターのパケットフィルタだと『暗黙のダイナミックフィルター』になってて
何もする必要うないから違いにとまどってるのかなぁ

[0241 ix2015しか使えない貧乏人 ◆en.fiL6a1E 2016/03/13(日) 21:46:57.36 ID:???]

>>239
NAPTテーブルに存在しない物は結局でdenyされるのでそれは良いのですが、公開サーバーの海外からのIP弾くにはどうしたら良いのかなと思った次第です。
apacheの.htaccessにdenyを書くというのも一つの解決策でしょうが、別ポートでやられると面倒です。
OS側のFWでipfilterを書いても良いのですが、面倒…内側からは好きに使いたいというのもあり、そういうことはルーターで一括でセッティングしてやりたいなと思った感じです

>>237
ありがとう。教わった設定を投入してみたんだけどやっぱりダメだなあ…
昨晩遅くの事なのでターミナルログも残っておらず具体的な説明が出来なくて残念なんだけど。
今週は原因追求の時間が取れないので、残りは週末の宿題になりそう。

[0242 anonymous@s952055.xgsspn.imtp.tachikawa.spmode.ne.jp 2016/03/14(月) 11:20:21.52 ID:???]

海外からのip弾くのはやっぱアクセスリストかかないとなー
でもそんなんじゃ気休めにもならないなー
だって攻撃してくるipは無数にあるし、常時変わるわけだから

[0243 anonymous 2016/03/14(月) 13:05:52.15 ID:???]

>>242
>>236はFQDNで対応するし、サーバーで使用するポートについて1行書けば済むから楽だよ
まあ人それぞれ気に入ったスタイルがあるだろうから、それ以上は何とも言えないけど

[0244 anonymous 2016/03/14(月) 20:30:21.98 ID:???]

ドメインで書くってことは都度（？）逆引きするってことだし、
逆引きするってことは example.jp を返されて騙されることもあるし、まぁ一長一短でしょう。

逆引きの結果ってしばらくキャッシュしてるのかな。試したことないな。

[0245 anon 2016/03/14(月) 23:06:52.05 ID:???]

dns cache enableってやってなければIXではキャッシュしないでその都度問い合わせだろう
コマンドされてないのに勝手キャッシュしたとしたらファームウェアの欠陥

[0246 anonymous 2016/03/14(月) 23:10:35.85 ID:???]

>>237
3ウェイハンドシェイクを考慮すると、establishedの前にackフラッグも受けるようにしないと駄目かもな

正直、書き方はもう提示されたんだから素直にdynamic filterにしとけと言いたいが

[0247 ano 2016/03/14(月) 23:46:36.38 ID:???]

昨日説明書の2.21.3.2 DNSアドレスデータベースを見るんだ！
NECとか大手メーカー製のいいところは仕様がちゃんと書いてあるところ

[0248 anon 2016/03/15(火) 19:53:06.23 ID:???]

FQDN指定のアクセスリストはポリシールーティングにしか使えないよ

[0249 ix2015しか使えない貧乏人 ◆en.fiL6a1E 2016/03/15(火) 22:24:36.18 ID:???]

数日来れなかっただけで結構レスついてて嬉しいわ。週末にコマンド投入してみます。

>>243,>>236
アクセスリスト大量に突っ込んだらコンソールの動きがちょっとカクつくレベルになってしまった。
確かに、許可するFQDN絞ってホワイトリスト方式で設定したほうが楽かも。設定行数も短くなるし。

[0250 anonymous@zaqdb73b13a.zaq.ne.jp 2016/03/16(水) 06:15:32.13 ID:???]

質問あります。
BGPで経路を制御したいのですがiPセグメントごとに経路って制御できますか？例えば奇数のセグメントはルータA、偶数のセグメントはルータBとかです。同じAS内なのでルートマップとローカルプロフェンスで重みづけすればできると想定しているのですがうまくいきません。
ご教授の程、宜しくお願いします。

[0251 anonymous@s953014.xgsspn.imtp.tachikawa.spmode.ne.jp 2016/03/16(水) 22:05:35.89 ID:???]

ローカルプレフで重み付けすれば、
自asから出ていく経路は制御できるけど、
たしか戻りを経路制御するにはmedをつけないといけなかった気がする。

[0252 anonymous@s953149.xgsspn.imtp.tachikawa.spmode.ne.jp 2016/03/17(木) 23:32:57.02 ID:???]

そういえばmedはebgpのときだった

[0253 anonymous@s953149.xgsspn.imtp.tachikawa.spmode.ne.jp 2016/03/17(木) 23:42:23.83 ID:???]

bgpの特性で同一asの経路制御って難しいよ。
act-standbyのルータセット毎に
別々のプライベートas割り振って
無理やりやってたなー

[0254 anonymous 2016/03/19(土) 17:26:13.15 ID:???]

ASが理解できない

[0255 anonymous@nttkyo502171.tkyo.nt.ngn.ppp.infoweb.ne.jp 2016/03/26(土) 15:19:30.28 ID:???]

V9.3.11

Web設定画面でログインしてもコンソールにゴミが出なくなった。
常時接続VPN (IPSec, IPv4 over IPv6 tunneling) が安定した。

V9.2.XX まではなんとなく不安定だったけど、今回は今のところいい感じ。

[0256 anon 2016/03/26(土) 15:21:28.52 ID:???]

しまった、晒してしまった。 IP変更。。。

[0257 anon 2016/03/26(土) 15:24:23.22 ID:???]

↓これはウソだった・・・
Web設定画面でログインしてもコンソールにゴミが出なくなった。

[0258 anonymous 2016/03/27(日) 17:24:24.03 ID:???]

ゴミって言うか、何時何分に誰かがログインしたぞって通知じゃないの？
むしろ、それを表示させなくするっていうのがあり得ないだろ

[0259 anon 2016/03/27(日) 19:21:53.81 ID:???]

書き方が正確じゃなかったが、ゴミは本当。
Web設定画面にアクセスするだけで、コンフィグモードのコンソールに
V9の初めの頃は、まさにゴミ（意味不明な文字列）がコンソールに出力されてた。
最近のファームでは、何らかの不可視コードが出力される。
V8までは起こらなかった。実害は全くない。

[0260 a 2016/03/27(日) 23:37:30.35 ID:???]

一度設定してしまえばtelnet/ssh/webのいずれかばかりになってconsoleなんて滅多に使わんからな
・・・・・・
とか言いつつ、万が一に備えてスーパーリセットとファームのアップデートの時には使うな

[0261 anonymous 2016/03/27(日) 23:52:28.08 ID:???]

9.3.11でヘアピンNAT対応か。
かなり前にYAMAHAルーターとの比較でたびたび話題になったことがあったと思ったが内容を忘れた。
NAPT関係の強化が多いな。
キャッシュサイズのデフォルトを4096から65535へ変更ってのは大胆なことで。
PPTPのマルチ対応は何気に嬉しい奴がいるだろうな。
内蔵のOpenSSLが更新されているので企業ユーザは更新必須だろうな。

[0262 anonymous 2016/03/29(火) 15:18:54.28 ID:cxf+UuEB]

早速9.3.11にアップしてみた
PPTPマルチはうれしいな
でも、トップページの右上に前回ログイン日時が表示されないのはオレだけか？

[0263 ◆S/YLxH/p.c 2016/03/29(火) 20:26:39.16 ID:/ynhLD40]

最初に無がああった
無は有を生んだ
これが全ての真理

[0264 anonymous 2016/03/29(火) 22:14:18.32 ID:???]

はい

[0265 anonymous 2016/03/31(木) 13:19:34.21 ID:O5b+gYSo]

9.3.11が出たというのに書きこみが少ないな
もうIXはあまり使われていないのだろうか
RTXのほうが使いやすいのかね

[0266 anonymous 2016/03/31(木) 13:46:13.45 ID:???]

そらRTXだろうなぁー中古で手に入れてもFWで苦労しないし
最近は自社APやハブと連携したり、可視化を推進してるしな

おまえらはよくセッション処理云々で叩くが、
1210出た今それでもNECじゃなきゃ無理ってのは少数派だろ

[0267 anonymous 2016/03/31(木) 19:54:21.51 ID:???]

まあファームウェアをバージョンアップしたところで劇的なスピードアップとかがあるわけでもなし
新機能にしたって、それを使う環境でなければコメントのしようがないしな
かくいう俺は普通のBBルーターとしてしか使ってないから、アレすると再起動コレすると再起動ってのが
修正されていればいい
その勝手に再起動の場面にすら出くわしたこと無いけど

[0268 anony 2016/04/01(金) 00:25:49.94 ID:???]

いちいち書き込みにくるやついないだろ

[0269 ぴろたん 2016/04/01(金) 16:03:58.45 ID:Ej91+VKL]

NEC UNIVERGE IX2105でフレッツ光ＮＧＮ（IPv6）の疎通不可、PING通らず
フレッツ光ネクストのＮＧＮにipsecトンネルを通したかったのですが、全く疎通できませんでした。そこでもっと簡単なコンフィグ【２】を用意したのですがping6すら通りません。
フレッツ光のサイトにはアクセス出来、IPv6のアドレスを確認したりネームを設定することは出来ています。ＮＧＮで通信する際に、他に必要な設定などはありますでしょうか？また以下のコンフィグに誤りや不足などありますでしょうか？
■前提
　NNNN:NNNN:AAAA:aaaa::2 拠点AのIPv6グローバルアドレス
　NNNN:NNNN:BBBB:bbbb::2 拠点BのIPv6グローバルアドレス
　※show ipv6 interfaceで確認済み
■コンフィグ【２】（拠点Ａのみ）
ip ufs-cache enable
ipv6 ufs-cache enable
!
ipv6 route NNNN:NNNN:BBBB:bbbb::/64 GigaEthernet0.0
!
ipv6 access-list flt-list permit ip src NNNN:NNNN:BBBB:bbbb::2/64 dest NNNN:NNNN:AAAA:aaaa::2/64
ipv6 access-list flt-list permit icmp router-advertisement src any dest any
ipv6 access-list flt-list permit icmp neighbor-solicitation src any dest any
ipv6 access-list flt-list permit icmp neighbor-advertisement src any dest any
!
interface GigaEthernet0.0
ipv6 enable
ip ngn enable
ipv6 interface-identifier 00:00:00:00:00:00:00:02
ipv6 address autoconfig receive-default
ipv6 filter flt-list 1 in
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.10.254/24
no shutdown

[0270 anonymous@8.190.130.210.rev.vmobile.jp 2016/04/01(金) 19:31:12.32 ID:???]

pingすら通らないってのはどうなんだろ
v6オプションは入ってる？

[0271 a 2016/04/01(金) 19:36:55.16 ID:???]

ipv6 route NNNN:NNNN:BBBB:bbbb::/64 GigaEthernet0.0

receive-defaultだし、これ消したらどうすか

[0272 ぴろたん 2016/04/02(土) 10:42:02.63 ID:y7csLk1j]

>>270

v6オプションは入っています

>>271

今から試してみます。

宜しくお願いします。

ぴろたん

[0273 ぴろたん 2016/04/02(土) 11:10:12.27 ID:y7csLk1j]

>>271
ipv6 route 〜
を消しました。
PINGの結果は以下のとおりです。

Router(config)# ping6 NNNN:NNNN:BBBB:bbbb::2
PING NNNN:NNNN:AAAA:aaaa::2 > NNNN:NNNN:BBBB:bbbb::2 56 data bytes
ICMP destination unreachable from NNNN:NNNN:AAAA:aaaa::2 code = 3

--- NNNN:NNNN:BBBB:bbbb::2 ping statistics ---
5 packets transmitted, 0 packets received, 100% packet loss
1 unreachables

code = 3 なので経路が分からないようです。

NGNの経路情報提供サーバーからprefixを取得するなどの必要があるのでしょうか？

宜しくお願い致します。

ぽぱたん

[0274 a 2016/04/02(土) 12:46:21.49 ID:???]

>>273
実際経路はあるんですよね？アドレス付いてるんだからあるはずですが…
あとは、対向も同じ設定だとすると、フィルタでping6落ちてる気がします

[0275 ぴろたん 2016/04/02(土) 15:01:50.28 ID:y7csLk1j]

>>274
ID:???様
双方のルータにそれぞれ
ipv6 access-list flt-list permit ip src NNNN:NNNN:AAAA:aaaa::2/64 dest NNNN:NNNN:BBBB:bbbb::2/64
ipv6 access-list flt-list permit ip src NNNN:NNNN:BBBB:bbbb::2/64 dest NNNN:NNNN:AAAA:aaaa::2/64
を加えましたらPINGが通りました！☆
ありがとうございました。

[0276 anonymous 2016/04/02(土) 18:32:32.47 ID:eCQF+pjs]

WebGUIに拡張ページが追加になったんだが、なんか便利な使い方あるかな？

[0277 anonymous@fp76f170d9.stmb218.ap.nuro.jp 2016/04/03(日) 08:53:26.74 ID:???]

logging timestamp datetime
logging subsystem flt warn
入れてping打つと
弾かれてるんかそもそも来てないのか分かるね
NGN網内でipsec張れたらどれくらい速度出るか参考までに聞きたいです

[0278 anonymous 2016/04/03(日) 17:12:42.10 ID:???]

NGN網内でわざわざ暗号化する必要なくね

[0279 anonymous 2016/04/03(日) 17:30:07.99 ID:???]

ヨソはヨソ
ウチはウチ

[0280 anonymous@ngn2-ppp995.tokyo.sannet.ne.jp 2016/04/06(水) 00:12:18.24 ID:???]

IPv4のIPSec VPNに一緒にIPv6も通そうと思ったんだけどうまくいかず。方法ないですかね？

ip access-list sec-list permit ip src any dest any
ipv6 access-list sec-list permit ip src any dest any
とv4とv6で同じACL名作ってautokey-mapに指定してみたけどv6が通らず

ipv6 access-list sec-list6 permit ip src any dest any
とか、v4と違う名前にしてautokey-mapでsec-list6指定するとv6は通るけどv4は通らなくなる

片側が動的IPなのでグローバルIPで6-over-4が使えず、IPSec内で一緒に通せればと思ったんだけど…
今はIPSec内でプライベートIPで6-over-4してるけど、何か無駄だなーと

[0281 anonymous 2016/04/06(水) 02:19:06.79 ID:???]

設定事例集5-27に書いてあるやり方を応用するのではいかんの？

[0282 anon 2016/04/06(水) 20:34:52.59 ID:???]

IPsecトンネル2本作ればいいんじゃない

[0283 anonymous@ngn2-ppp3011.tokyo.sannet.ne.jp 2016/04/06(水) 23:36:10.75 ID:???]

>>281
これだとv6のACL指定するので、v6しか通らなくなってしまうのです
具体的な応用案って何かあります？

autokey-mapで指定するACLが
v6のACLの時はTunnnelのモードがipsec (6-over-4)になり、
v4のACLの時はTunnnelのモードがipsec (4-over-4)になってた

ちなみにv4v6同じACL名にしたときは4-over-4でした
46-over4みたいなモードがあればやりたいことが出来るんだと思うんだけど

>>282
その発想はなかったわ
で、とりあえず2本作って通せたっぽい

ike policyは同じIPアドレスで2個書けない？みたいなので
ipsecだけv4用とv6用で2個書いたら一応動いてるみたい
ただ、やっぱ無駄感はあるけど…

GREかEther IPでトンネル作って2個通すのが素直なんだろうか
時間あったらやってみよう

とりあえずお二方ありがとうございました

[0284 anonymous@zaqdb73b13a.zaq.ne.jp 2016/04/07(木) 21:59:14.41 ID:???]

特定セグメントをタグVLANで同一セグメントとして拠点間通信できますかね？
wan間をタグで通せると思っていたのですが上手くいきません。
wan側はBGP.LAN側をスイッチをはさんでospfで回してるのが影響しているのかもしれませんが、
ご教授お願い致します

[0285 anonymous@nttkyo040086.tkyo.nt.ngn2.ppp.infoweb.ne.jp 2016/04/08(金) 04:20:30.00 ID:???]

http://jpn.nec.com/security-info/secinfo/nv15-019.html
影響の有無　　　影響あり
Web コンソールを有効にしている場合、Web コンソールにログイン済みのユーザが、 細工されたページにアクセスし、画面上のコンテンツをクリックした場合、意図しない操作をさせられる可能性があります。
対象となる製品のバージョン Ver.9.1.11 以前の全バージョン

知らんかった。Impressの　WP1x00 シリーズのfirmware updateのニュース見て気づいた。
慌ててここ読みにきたんだが、中古で買ってfirmwareの更新可能性がなくて、ほとんどwebguiつかわない私には関係ないね。

ところで、記事さかのぼって読んできづいたんだが、
>>192
>>191
> それでも家庭用ルータなら同時接続できてる理由はよくわからないですねー
> もしかしてUPnPで後から接続しようとした端末が優先されてるような状態なんじゃないですか？

IX2xxx seriesはUPnPサポートしてないから、海外の拠点の内部での各PCへのNAPT経路が正しく設定されないのでは？
（つまり、海外拠点のPCのクライアントはUPnPで、家庭用ルータに対して、自分が使いたいポート勝手に開けてるが、
IX2xxx シリーズ（あるいはもっと別のSOHO用ルータ？）ではUPnPが無いか、disableしてあるので動作しないとか。

次のようなものもあり、昔skypeで動作を確認した。

http://upnpproxy.sourceforge.net/

[0286 anonymous 2016/04/08(金) 11:43:30.86 ID:???]

IXシリーズはupnp機能は無いね
ip napt service とか ip napt static とかのコマンドで内部IPアドレスと紐付けてやるしかない
でも、むしろそれが良いと思う
考えが古いかもしれないが、面倒なルーターの操作という手間を出来るだけ省こうとする家庭用ならともかく、
業務用でupnpはセキュリティホールに思えてならない
configを見れば、どのマシンが何をやってるのかが推測できるのが良い

[0287 anony 2016/04/08(金) 22:22:52.54 ID:???]

業務用的なのでUPnPがちゃんと乗ってるの少ないでしょ
アライドやヤマハにはついてるけど、一応ついてるってだけで
UPnPの動作や機能に関しては民生機の方がいいし

[0288 anon 2016/04/08(金) 22:57:17.81 ID:???]

>>284
言ってる構成がよくわからないけど、EtherIPを使うかWAN回線を広域イーサにしないとだめなんじゃない

[0289 anonymous 2016/04/10(日) 22:08:32.80 ID:???]

watch-groupでipv6監視、というかトンネル維持用のping設定しようとしたんだけどうまくいかず

watch-group host 10
event 10 ipv6 unreach-host 2001:db8:1::1 Tunnel0.0 source 2001:db8:2::1
probe-timer restorer 60
probe-timer variance 60

network-monitor host enable

しばらくするとstandになり、その後最終的にpacket buffer無くなって全通信ができなくなる

コマンドで
ping6 2001:db8:1::1 interface Tunnel0.0 source 2001:db8:2::1
すると通るので、指定するIPとかは間違ってないと思うんだけど

[0290 anonymous 2016/05/25(水) 18:51:20.53 ID:???]

なんか今朝CRASHしたんだけど（´・ω・｀）

2016/05/25 08:30:34 +0900 CRASH: IX Series IX2010 (magellan-sec) Software, Version 8.3.49, RELEASE SOFTWARE
2016/05/25 08:30:34 +0900 CRASH: Compiled Nov 25-Fri-2011 10:29:23 JST #1 by sw-build, coregen-8.3(49)
2016/05/25 08:30:34 +0900 CRASH: Number of the crash 1
2016/05/25 08:30:34 +0900 CRASH: Exception Type, program 1
2016/05/25 08:30:34 +0900 CRASH: Number of the bughlt 1
2016/05/25 08:30:34 +0900 CRASH: Bughlt, Couldn't get memory in nls_ce_snd()
2016/05/25 08:30:34 +0900 CRASH:

******** C R A S H I N F O ********
Crash date: 2016/05/25 08:30:34 +0900

System uptime is 673 weeks 2 days 15 hours 19 minutes

CPU is MPC8270A: PVR = 0x80822014, IMMR[16:31] = 0x0a10

[0291 anonymous@om126204172045.6.openmobile.ne.jp 2016/05/25(水) 18:54:11.61 ID:???]

673weekってすごいね

[0292 anonymous 2016/05/25(水) 19:12:55.59 ID:???]

2011年に作られたソフトウェアで13年も動作するわけないね
そのカウンタもクラッシュしてそう

[0293 anonymous 2016/05/28(土) 09:11:51.23 ID:???]

UNIX時間的にまだ何かあるわけでもなしカウントできないことはなくね？

[0294 anonymous@204.158.13.160.dy.iij4u.or.jp 2016/05/28(土) 09:36:40.98 ID:???]

電話レンジですね、わかります

[0295 anonymous 2016/05/28(土) 09:48:28.61 ID:???]

ちょっと何言ってっか（略

[0296 anonymous 2016/06/02(木) 23:21:43.83 ID:tXviPreH]

YAMAHAは最近NVR700W／NVR510を発売したりして元気が良いのに、NECは元気が無いな

[0297 anonymous 2016/06/26(日) 14:09:57.45 ID:???]

IX2105でGE1のポート1配下にGS108Eをぶら下げてタグVLANを使っています

IX2105とGS108Eは少し離れているところにあり、
IX2105のGE1の別ポートでもパソコンを接続したいと考えています

VLANの知識がまだ浅いところもありますが、
このようなことは可能でしょうか

[0298 anonymous(297) 2016/06/26(日) 14:10:22.21 ID:???]

以下のようにポートVLANで分けて、bridgeさせてみるようにしてみましたが、
うまく動作しません

bridge irb enable
device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 4
!

interface GigaEthernet1:1.1
encapsulation dot1q 11 tpid 8100
auto-connect
ip address 10.0.0.254/24
no shutdown
!
interface GigaEthernet1:1.2
encapsulation dot1q 22 tpid 8100
auto-connect
ip address 172.16.2.254/24
bridge-group 1
no shutdown
!
interface GigaEthernet1:2.0
no ip address
bridge-group 1
no shutdown
!

[0299 anon 2016/06/26(日) 15:22:52.54 ID:M6zG8yI5]

GE1のSW1番ポートにGS108E、4番ポートにPC
PCは

[0300 anon 2016/06/26(日) 15:24:04.52 ID:M6zG8yI5]

GE1のSW1番ポートにGS108E、4番ポートにPC、PCは"172.16.2.0/24"のセグメントでいいのかな？

bridge irb enable
!
device GigaEthernet1
vlan-group 1 port 1
vlan-group 2 port 4
!
interface GigaEthernet1:1.1
encapsulation dot1q 11 tpid 8100
auto-connect
ip address 10.0.0.254/24
no shutdown
!
interface GigaEthernet1:1.2
encapsulation dot1q 22 tpid 8100
auto-connect
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet1:2.0
no ip address
bridge-group 1
no shutdown
!
interface BVI0
ip address 172.16.2.254/24
bridge-group 1
no shutdown
!
これだとどう？

[0301 anonymous 2016/06/26(日) 18:01:20.88 ID:???]

構成はその通りです

おかげさまで動作いたしました。ありがとうございます。

[0302 anonymous 2016/07/24(日) 15:20:08.62 ID:???]

ネットワークモニタとアクションリストで、サーバが落ちたらWoLで再起動を試み続ける設定を
下記のようにしていたんだけど、いつの間にかうまく働かなくなっていた。

以前はeventがstandしたら probe-timer restorer の秒数×(probe-counter restorer の回数+2)の間隔で
アクションリストが実行されていたはず(CRM-ver9.3-1.pdf pp.469)なんだけど、
現状だと初めてEvent statusがstandになった瞬間に一回だけアクションリストが実行されるだけで、
それ以降アクションリストが繰り返し実行されない。
今回の例で言うと、初めてping応答が無かったときに一回だけしかWoLが実行されない。
pingが通らない間はWoLを送り続ける設定にしたいんだけど、何か設定間違っているだろうか？

! IX Series IX2105 (magellan-sec) Software, Version 9.3.11, RELEASE SOFTWARE
! Compiled Mar 09-Wed-2016 11:29:26 JST #2
!
wol terminal myserver mac aa:bb:cc:dd:ee:ff ip 192.168.0.32 interface GigaEthernet1.0
!
command-action list wol-myserver
command 10 wol send terminal myserver
!
watch-group alive-myserver 10
event 10 ip unreach-host 192.168.0.32 GigaEthernet1.0
action 10 command-action-list variance wol-myserver
probe-counter watch 2
probe-counter variance 1
probe-timer restorer 4
probe-timer variance 20
probe-size 4
!
network-monitor alive-myserver enable

[0303 anonymous 2016/08/20(土) 18:04:59.81 ID:???]

IX2207を触る機会があったんだけど、底部がかなり熱くなるんだね。
まぁそれで運用しても問題ないことはNECも確認してるんだろうけど。

[0304 anonymous 2016/08/20(土) 19:20:13.79 ID:???]

>>303
マニュアルに下記の注意書きがあるのでNECも確認済みですね

IX2207の使用中や使用直後は、装置
底面が高温になる場合があり、やけ
どのおそれがありますのでご注意く
ださい。

[0305 303 2016/08/20(土) 19:45:02.96 ID:???]

>>304
ぁっ、そんな記述があったのね。PC1台つないでネットちょっとやっただけで熱かったから
あれは縦置きで使ったほうが良いと思う。または逆さまで？

[0306 anonymous 2016/08/20(土) 21:20:46.66 ID:???]

>>305
普通に空調の効いているところなら特別設置方法を気にするほどじゃないですよ
ただ、直接２台重ねるとかは良くないのでオプションのジョイントキットを使った方がいい

ウチではIX2207を３台重ねているので、ホムセンで金具を買ってきてそれぞれが
ジョイントキット使用時相当に間が開くようにしています

http://imgur.com/a/N3D4o

これで1年以上運用してますが問題は起きていません

[0307 303 2016/08/20(土) 21:55:34.37 ID:???]

>>306
参考になりました。筐体の下に空間が欲しい気がしたけど、一番下の使い方でも問題ないということね。

[0308 anonymous 2016/08/20(土) 23:47:09.81 ID:???]

>>307
そうです

因みに>>306の3台で内部温度に差はありません
もちろん同じCPU使用率での比較です

[0309 303 2016/08/21(日) 00:23:46.22 ID:???]

>>308
内部温度が変わらなかったら寿命もそれほど変わらないね、基本的には。
そもそもUSB使わなかったら11W以下なのに、あれだけ熱くなるのが謎だけど。

[0310 a 2016/08/21(日) 01:48:12.10 ID:???]

5WのUSBで、缶コーヒーウォーマーだって出来るくらいですから

[0311 anonymous 2016/08/21(日) 17:06:20.23 ID:???]

IX2215との差別化のために敢えて欠点を入れた可能性が。

[0312 anonymous 2016/08/21(日) 17:08:41.47 ID:???]

あるわけがない

[0313 この子アホの子 2016/08/24(水) 07:49:14.15 ID:2/w4dEc1]

IX2015でフレッツ網内で拠点間仮想広域イーサネット VPN
(Ethernet over IPv6, EtherIP) を構築するを行いたいのですが。
下記のURLの設定例で障害になるコマンドは、
ダイナミックDNS周りだけでしょうか？
ttps://i.open.ad.jp/config/nec.aspx
そして、ダイナミックDNS周りを解決する手法として、
下記のURLで解決する事が可能でしょうか？
ttps://i.open.ad.jp/config/misc.aspx

[0314 この子アホの子 2016/08/28(日) 19:28:01.73 ID:MQRxtVVo]

IX2015でフレッツ網内で拠点間仮想広域イーサネット VPN
(Ethernet over IPv6, EtherIP) の実験の為に、
下記のサイトのコンフィグを投入した所、
DDNS以外にも、トンネル設定部分でエラーが出てしまいました。
IX2015は対向のアドレス記述をドメイン（FQDN)で出来ない様なので、
IPｖ６アドレスを直接記入するか、機種交換が必要と自己解決しました。

[0315 この子アホの子 2016/08/28(日) 19:29:52.58 ID:MQRxtVVo]

すいません、下記のサイトはコレです。
ttps://i.open.ad.jp/config/nec.aspx

[0316 この子アホの子 2016/08/29(月) 17:27:42.78 ID:pRSfHdb5]

ＩＸ２０１５の使用は諦めて、ＩＸ２０２５．ＩＸ３０１０を中古で買いました。
ＰＤと洒落で待ち構えてるので、神様、私に現在のファームをチョーダイナ。

[0317 anonymous 2016/08/29(月) 19:08:26.90 ID:???]

ファーム乞食は久々だなあ

最新は
ix2025-boot-15.1-gate-ms-9.3.11.rap
ix3000-boot-29.3-gate-ms-9.1.14.rap

まあ頑張れや

俺は流さないけどね

[0318 anonymous@softbank219174084007.bbtec.net 2016/08/29(月) 21:20:15.08 ID:???]

>>316

4を読みな

[0319 anonymous 2016/08/29(月) 21:59:08.58 ID:???]

新品買うか、知り合いの会社に薦めて買わせるしかないね。
オレは後者の方法でファーム入手して、2015から2025に替えた。
2025はCPUが変わってるためか、体感で明らかに速くなって満足。

[0320 anonymous@101.239.69.115.shared.user.transix.jp 2016/08/29(月) 22:22:24.04 ID:???]

IX2215とstrongswan使って、IKEv2でTunnel接続しようとしたけど、
strongswan側で、以下のエラーが出て繋がらない。
generating IKE_AUTH response 1 [ N(AUTH_FAILED) ]
認証でこけてるのはわかったけど、IKEv2って認証回りがかなり変わってて四苦八苦してる。

IX間では、普通にIKEv2で繋がってるが、そっちは設定事例からの改変だったので特に苦労せず。
IX2215とstrongswan使って、IKEv2で上手く出来てるよって人いる?

[0321 anonymous@FL1-125-199-24-131.osk.mesh.ad.jp 2016/09/01(木) 11:50:04.22 ID:???]

DNS.036: Received error status: No such name
前にも聞いたけど、リファレンス見ても何がエラーはいてるのか分らないし
これどうしたらいいの？＞＜