NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
http://www.nec.co.jp/ixseries/ix2k3k/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
http://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
http://pc11.2ch.net/test/read.cgi/mysv/1199977508/
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ マニュアルのアクセスリストのページ、設定項目が多すぎて訳わからんことになってるから、
TABで順次コマンド補完したり、「?」でヘルプ呼び出しながらやった方がわかりやすいんじゃね? NEC赤字で困ってるんだし事業をYAMAHAに売ってくれれば皆幸せ ix2215-fw9.4.17を使ってるんだが、ヘアピンNATの動作が時どきおかしくなる。ddns+ポート番号で繋いでいたのが一部見られなくなることがある。
2215宛のポートは大丈夫なんだが。
ddns名ではなく直外部IPに変えて見ても駄目だった。
2215を再起動すると治るんだが、どうして発生するんだろうか?
もちろんconfigでヘアピンは有効にしている。
別の2105ではこんな問題は発生したことがないのにな >>590
時々おかしいとか再起動すると治るというところだけ見ると、
キャッシュが関係しているような気がするけど違うかな?
問題発生時に、キャッシュがオーバーフローしていないか
又は逆に意図しないエントリが出来ていないか確認してみて FWでFQDN指定の規制ってできますか?
TeamViewerを使えないようにしたいです。 >>593
ルータであるIXシリーズにFW機能のどこまでを求めるのか分からないけど...
とりあえずアクセスリストでFQDN指定できるのでフィルタリングである程度は出来るよ
詳細は機能説明書のアクセスリスト、パケットフィルタのところを読んでみて >>594
それも試したのですが普通に指定しても名前解決ができないみたいで何も通らなくなってしまうのです。 IX2025 9.4.17でL2TPの設定をWEB設定から行ったのですが、
Windows7やAndroidから接続できないのです。接続したいのです。
IXの装置ログには、
L2TP.025: Received unknown tunnel id 0 from [IPアドレス] on Tunnel126.0
が。
running-config貼ってよいですか? >>592
アドバイスありがとう
今度おかしくなったら確認してみます >>596
まずはIXのサイトにある以下の設定事例と照らし合わせてみて
IXの設定だけでなくVPNクライアント側の設定もよく見てね
Windows 7/8 との L2TP/IPsec接続
http://jpn.nec.com/univerge/ix/Support/l2tp_ipsec/windows.html
Android端末との L2TP/IPsec接続
http://jpn.nec.com/univerge/ix/Support/l2tp_ipsec/android.html
尚、これはVPN接続できてからの問題だけど、経験的にVPNクライアントに払い出すIPアドレスは
LAN側と別のセグメントにしないとLAN側機器との通信が出来なかったことがあるのね
ここだけ設定事例と違うので、ご参考まで >>598
つながった。ありがとう。
ルーターのLAN側のクライアントからテストしてたからダメだった模様。
スマホからテザリングしてインターネット(WAN側)からいったら問題なしだった。
すみませんでした。 初めてダイナミックVPNを試してみたんだが、普通のL2TPのようには拠点側のIPアドレスが変化しないんだね
ダイナミックVPNで拠点側のIPをセンター側と同じに変化させる設定ってありますか? アニキ相談のって欲しい
特定サイト(モノタロウ)だけ別ルータからアクセスしたいけどどうすればいいのだろうか?
ip route https://www.monotaro.com 192.168.1.254
みたいにドメイン指定したい 要点だけコンフィグを抜粋するとこんな感じね
ip access-list map1 permit ip src any dest-domain www.monotaro.com
ip name-server ***.***.***.*** ←DNSサーバアドレス
dns cache enable
route-map route1 permit 10
match ip address access-list map1
set ip next-hop 192.168.1.254
interface GigaEthernet2.0 ←LAN側インタフェース
ip policy route-map route1 >>608-609
おお、すごいありがとう。
LAN側のIPから振り分けはやってるけど
WAN側も同じように振り分ける発想はなかった。 IX2207が割高だな
2年前に違うショップで買ったときは66k\位だったのに今はどこも高い V9.5 が来てるぜ。
機能強化、使用改善/変更、不具合修正 てんこもり。
機能強化内容
[1] VRF-Lite機能に対応しました。
[2] URLフィルタリング機能に対応しました。
[3] Web認証機能に対応しました。
[4] リンクマネージャ(端末管理)機能に対応しました。
[5] データコネクト対応オンデマンドVPN機能のRADIUS認証/アカウンティング機能
[6] トンネルインタフェースの一括設定機能に対応しました。 VRFはstatic以外にも対応する見込みだがまだなんだよな、はよ PBRは全体構成の可読性だだ下がるからVRFに対応するのはめでたい VRFって何かと思ったらバーチャルルーターか
かつてはNetScreenの得意技だったな >614
[4] リンクマネージャ(端末管理)機能に対応しました。
ルータにどのような端末が接続されているかをMACアドレス単位でわかりやすく一覧表示し、アクセスを制御する機能です。
↑この追加機能、結構良いね
ASUSとかの家庭用では以前からある機能だけど
動作も少し軽くなったような気がするが、勘違いか? >ASUSとかの家庭用
ごみと比べるな
二度とくるなよ このルータのコンフィグ依頼したらいくらぐらいでやってもらえるんだろう? 用意してあるのをぶっこむだけなら別の作業のついで程度の値段だろ
要求がはっきりしてて、すぐコンフィグ作成にかかれるなら5万(プリ現から評価環境テスト、現地テスト込み)
これから仕様を一緒に詰めましょうなら、一度話を聞いて別途見積もり 2025が遂にDiscon
後継機種が2215になってるけど、こいつ自体出てから5年だしな〜
新しいのは出ないんだろうか? IX2025はVDSL100Mbps環境ならコスパ最高のルータだったんだけどな
最近は古いマンションでも光配線工事してあったりで1Gbps増えたからなー 2025 はまだファームダウン出来るけど、discon になると、その内に
提供中止するのか?? 販売終了となると、最終ファームウェアを保存しておこうかなと思いつつも、
今更100Mbpsの機器のファームウェアを持っててもな、とも思うんだよな
実際永遠に使わないことがほとんど 2105から2215に変更したった
CPU負荷とメモリの余裕がだいぶ増えた お前らリッチですね
僕は今度2015から2105に変えるところです 2015は2台遊んでるけど、ヤフオク出しても誰も買いそうにないから
燃えないゴミの日にコッソリ出そうかと思ってる ここの板見て5年間ノーメンテで使っていたRTX1000からIX2025にしてみた。 非常に初歩的なことかもしれないけど、
tracerouteやnslookupコマンドうつとInvalid commandって返ってくる
何か機能を有効にしないと使えないの? >>636
traceroute も nslookup も普通に使えるよ
具体的に Invalid command となったときのログを見せてみて
例えば、スペースを入れ忘れると
Router# traceroute192.168.0.254
% traceroute192.168.0.254 -- Invalid command.
ってな感じになる >>637
ありがとん。
使えるってことだからブラウザのコマンド実行じゃなくて
telnetで入ってコマンド投入試したらいけました!
お騒がせして申し訳ない。 >>639
Web GUIでも「任意コマンドの実行」の「コマンド入力」のところでtelnetと同様に実行できるよ 教えて下さい
LAN側がv4でv6IPOEを使うにはどうしたらいいのでしょうか?
ip route default Tunnel0.0
!
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0:1.0 ::1/64
!
interface FastEthernet0/0.0
description flets v6
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 filter flt-list 1 in
ipv6 filter dflt-list 1 out
no shutdown
!
interface FastEthernet1/0:0
ip address 192.168.1.254/24
ipv6 enable
no shutdown
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination ?????
tunnel source ?????
ip unnumbered FastEthernet1/0.0
no shutdown ip route default Tunnel0.0
ip ufs-cache enable
ip dhcp enable
!
proxy-dns ip enable request both
!
ip dhcp profile dhcpv4-sv
dns-server 192.168.1.254
!
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
!
interface GigaEthernet0.0
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6-cl
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.254/24
ip dhcp binding dhcpv4-sv
no shutdown
!
interface Tunnel0.0
tunnel mode 4-over-6
no tunnel adjust-mtu
tunnel source GigaEthernet0.0
tunnel destination fqdn [AFTRのドメイン名]
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss 1460
no shutdown tunnel destination fqdnってあったのか。今までIPv6アドレス直接指定してた。 う〜ん、いくつか分からない
拠点PC - IX2025 - (IPv6VPN) - IX2025 - ゲートウェイ - インターネット
拠点IX2025:192.168.1.254
対向IX2025:192.168.2.254
GW:192.168.2.250
この環境でhttp://www.microsoft.comにアクセスすると真っ白のページが表示される
GWのmssを900とかにしても駄目なのてmtuとかmssは関係ないのかな
一体何が原因なんでしょうか? >>645
一回頭をリセットするために
Wireshark入れてみた方が早いんじゃないの
目線が変わると気づきやすい >>646
ありがd
Wireshark?使ったことないけど調べてみる。
あと、mssを調べているときに別の2025ルータのLAN側に
ping -f -l 997 192.168.2.250 を撃ったらタイムアウトしちゃう
996だと通るけど特にルータでサイズ指定してないけどこれって壊れたのかな? 2025 が販売終了しちゃったけど、ファームのダウンロードでは
9.5.11 がまだ落とせるみたい。 >>642の方は解決したのでしょうか?
ほぼおなじコンフィグを作ってるときに、同じく
「tunnel source ????? 」の箇所でつまづきまして。
Giga対応のモデルと違って、古いIX2015では
tunnel sourceの後ろにインタフェース名を
指定できないようで困ってます。
(出来るのかもしれませんが、やり方が分からない)
WAN側は動的なので、tunnel sourceに実アドレスを設定することもできず・・・
642さん以外の方もアドバイスいただけると幸いです。 以下を参考に、IX2015 8.3.49でDS-Lite設定してみたけど、tunnel sourceはなくても動いた。
http://jpn.nec.com/univerge/ix/Support/ipv6/ds-lite/index.html
proxy-dns ip enable request both
も使えないので、代わりに
proxy-dns server 8.8.8.8
を入れた。 情報ありがとうございます。
同じく試してるうちにtunnel source無しでIPv4のWebが見れるようになりました。
ところで、651さんの紹介してるコンフィグだとパソコンへ割り振るIPはIPv4のみ?
IPv6のサイトがみえないような・・・ IPv4 over IPv6(DS-Lite)とIPv6 IPoEを併用するなら、以下も追加で。
http://jpn.nec.com/univerge/ix/Support/squarenext/index.html
具体的には以下を追加した。公式の情報は結構充実してるぞ。
access-list mflt-list permit src any dest any type ipv6
access-list mflt-list permit src any dest any type ip
bridge irb enable
no bridge 1 bridge ip
interface FastEthernet0/0.0
filter mflt-list 1 in
bridge-group 1
interface FastEthernet1/0.0
filter mflt-list 1 in
bridge-group 1 追加情報ありがとうございました。
お陰で接続できましたー。
ただ、IX2015の性能の限界を感じました・・・ IX2015 8.3.47を使っています。
以下の設定でDHCPでIPアドレス、DNSサーバのアドレスを自動的に取得させています。
192.168.1.1がDNSサーバのアドレスとして使われ、特に問題ありません。(ローカルサーバ、インターネットとも名前解決できている)
ip route default FastEthernet0/1.0
ip route 192.168.1.0/24 Tunnel10.0
ip dhcp profile hoge
assignable-range 192.168.2.51 192.168.2.100
subnet-mask 255.255.255.0
default-gateway 192.168.2.254
dns-server 192.168.1.1 192.168.1.2
lease-time 432000
interface FastEthernet0/1.0
ip address dhcp receive-default
ip mtu 1454
ip tcp adjust-mss auto
ip napt enable
ip napt static FastEthernet0/1.0 udp 500
ip napt static FastEthernet0/1.0 50
ip napt static FastEthernet0/1.0 udp 4500
no shutdown
interface FastEthernet1/0.0
ip address 192.168.2.254/24
ip dhcp binding hoge
no shutdown
interface Tunnel10.0
tunnel mode ipsec
ip unnumbered FastEthernet0/1.0
ip tcp adjust-mss auto
ipsec policy tunnel x out
no shutdown やりたい事
----------
VPNや内部DNSサーバが死んだ時に、
インターネット上に対しての名前解決はできるようにする
----------
そのために低いプライオリティで8.8.8.8を指定しておこうと考えました。
ip dhcp profile での dns-server 192.168.1.1 192.168.1.2 設定を止めて、
proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180
を設定しました。
・・・ローカルサーバの名前解決ができません。
インターネット上に対しての名前解決も応答が遅いです。
その他情報としては、
interface FastEthernet0/1.0 に設定されているIPアドレスは192.168.3.2
その上位(ルータ機能付ホームゲートウェイ)のLAN側IPアドレスは192.168.3.1
インターネットVPNの対向ルータはIX2025 9.5.11 です。
なにかアドバイスをいただけないでしょうか。 >>656
ip dhcp profile hoge の
dns-server 192.168.1.1 192.168.1.2 を
dns-server 192.168.2.254 に変更するだけでいいんじゃない?
DHCPクライアントのDNSサーバは常にDHCPサーバ(IX2015)のアドレスで
参照サーバの切り替えはIX2015が行う あっ念のためだけど
proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180
は追加前提で >>657
情報ありがとうございます。
説明不足ですみません。
192.168.2.254を参照はさせています。
proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180
を追加して、
192.168.2.254をDNSサーバとして指定して名前解決しようとしたときに、
ローカルサーバの名前解決ができない、インターネット上に対しての名前解決も応答が遅い、
ということでした。 nslookupで192.168.2.254をサーバ指定した状態での
結果なので、参照しているとは思うのですが・・・
ip route 192.168.1.0/24 Tunnel10.0
は関係ないですよね? 設定事例集より
proxy-dns ip enable
プロキシ DNS 機能を有効化します。
この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。
ip dhcp profile hoge
dns-server 192.168.1.1 8.8.8.8
でいいんじゃないの? >>662
実用上はたぶんそれで問題ないと思っています。ありがとうございます。
ここで本題からはそれるのですが、確認したいことがあります。
ip dhcp profile hoge
dns-server 192.168.1.1 8.8.8.8
と設定すると、dhcpにより自動的に取得したクライアントからすると、
優先:192.168.1.1、代替:8.8.8.8 と手動で設定したことと同じですよね?
つまり、IXのproxy-dns設定がどうなっていても(enableでなくても)影響なく、
クライアントはIPアドレスにより指定されたDNSサーバと直接通信して、名前解決をする。
逆に、自動的に取得でも手動設定でも、
クライアントで192.168.2.254をDNSサーバとして設定されると、
IXのproxy-dns設定に依存し、IXを代理サーバとして名前解決が行われる。
という理解であってますか。 >>662
>proxy-dns ip enable
>プロキシ DNS 機能を有効化します。
>この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。
show proxy-dns ip で確認しました。
DNS server(s):
192.168.1.1, static, priority 200
192.168.1.2, static, priority 190
8.8.8.8, static, priority 180
192.168.3.1, dynamic (DHCP), FastEthernet0/1.0, priority 100
proxy-dns ip enable を実行すると、
proxy-dns interface FastEthernet0/1.0 priority 100
も自動的に実行されていると思えばよいんですね。
ありがとうございます。 自己解決しました。
Interface Tunnel10.0
no ip unnumbered FastEthernet0/1.0
ip unnumbered FastEthernet1/0.0
を実行しました。
192.168.2.254をproxy-dnsとして、
ローカルサーバの名前解決ができるようになりました。
Interface Tunnel10.0のアドレスが、
192.168.3.1 から 192.168.2.254 に変わったためだと思うのですが、
いまいちよく分かっていません。
理解を深めるために原理等を解説・・・ほしいです。 >>665
0/1.0のipが他の装置からネットワーク的に到達可能か否かの話、
ixそのものはルーティング上一番近いI/Fのアドレスを使う。
最初の設定ではそもそも応答する側からみたら経路が無くて応答が無いことでタイムアウトしてたのでは?
対抗側の設定などを全部出さないと誰もコメントしにくいと思うよ。 >>666
ありがとうございます。なんとなくわかりました。 IX3110同士で組んだEther-IPが
Ether over IPv4ではそれなりの速度が出るのにEther over IPv6では100Mbps程度まで落ち込んでしまいます。
WANを経由せず、ローカルな環境で試しての結果です。
何か大事な設定が抜けてるんですかね? IPv4なクライアントからのDNSをIPv6のDNSサーバー宛にproxyすることってできるのですか?
PPPoE接続のプロバイダが用意したDNSサーバーはIPv6のレコードをカットしちゃう仕様なので、IPoEのDNSから取得した情報を通知したいのです。 proxy-dns ip enable request both モバイルから自宅の2105へvpn接続し、utmを通してインターネットへ接続する
みたいな芸当は可能なんでしょうか。
utmを通さない configならネットに転がっているのですが。
勿論、vpnもインターネットも同じ回線です。 nttxから買ってNECに質問してたら、どうやらファームウェアの
ダウンロードサイトはNEC自ら案内してくれるそうな。
つうことで、nttxから買おうとしている人は安心してくれ。 新品を買うなら基本どの店でも心配いらないよ。
ファームがーって騒いでるのは中古買った人達。 保守契約しないとファームダウンロード出来ないんだっけ?? 保守契約は不要。新品買った店経由で、NECに申請書を提出すればIDをもらえる。 むしろ保守会社と契約をせずに自営保守するユーザに対するダウンロードサービス
ファームウェアのアップデートはユーザ自身の作業になるからね
保守契約していればアップデート作業は保守会社がするので、ユーザがファームを持つ必要ない もう半年近くファーム更新無いな〜
安定してるって事なんだろうけど、更新来ないと逆に不安になるw ルータとしては完熟しきった感があるから、なかなか新機能追加のネタが無いんだろうな
だけど、そろそろ出てくる気配が... えー?ヘアピンNATバグってね?
>>590と一緒かどうかはわからないが、うちでもヘアピンNATの動作がおかしい
もう諦めたから検証はしてないけどね NGN折返しでether over greを設定例のままで
同一セグメントでインターネットの外にでれるのに
ispec 又はikev2を併用するとgoogole検索しかできなくて外へでれない
設定どなたか教えていただけませんかね ■ このスレッドは過去ログ倉庫に格納されています