NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです 【公式サイト】 UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC http://www.nec.co.jp/ixseries/ix2k3k/ 関連スレ ・宅鯖に最適なルータは? @ ウィキ http://www39.atwiki.jp/takurouter/ ・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc) http://engawa.2ch.net/test/read.cgi/network/1013516441/ ・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし) http://pc11.2ch.net/test/read.cgi/mysv/1199977508/ 前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7 http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ FWでFQDN指定の規制ってできますか? TeamViewerを使えないようにしたいです。 >>593 ルータであるIXシリーズにFW機能のどこまでを求めるのか分からないけど... とりあえずアクセスリストでFQDN指定できるのでフィルタリングである程度は出来るよ 詳細は機能説明書のアクセスリスト、パケットフィルタのところを読んでみて >>594 それも試したのですが普通に指定しても名前解決ができないみたいで何も通らなくなってしまうのです。 IX2025 9.4.17でL2TPの設定をWEB設定から行ったのですが、 Windows7やAndroidから接続できないのです。接続したいのです。 IXの装置ログには、 L2TP.025: Received unknown tunnel id 0 from [IPアドレス] on Tunnel126.0 が。 running-config貼ってよいですか? >>592 アドバイスありがとう 今度おかしくなったら確認してみます >>596 まずはIXのサイトにある以下の設定事例と照らし合わせてみて IXの設定だけでなくVPNクライアント側の設定もよく見てね Windows 7/8 との L2TP/IPsec接続 http://jpn.nec.com/univerge/ix/Support/l2tp_ipsec/windows.html Android端末との L2TP/IPsec接続 http://jpn.nec.com/univerge/ix/Support/l2tp_ipsec/android.html 尚、これはVPN接続できてからの問題だけど、経験的にVPNクライアントに払い出すIPアドレスは LAN側と別のセグメントにしないとLAN側機器との通信が出来なかったことがあるのね ここだけ設定事例と違うので、ご参考まで >>598 つながった。ありがとう。 ルーターのLAN側のクライアントからテストしてたからダメだった模様。 スマホからテザリングしてインターネット(WAN側)からいったら問題なしだった。 すみませんでした。 初めてダイナミックVPNを試してみたんだが、普通のL2TPのようには拠点側のIPアドレスが変化しないんだね ダイナミックVPNで拠点側のIPをセンター側と同じに変化させる設定ってありますか? アニキ相談のって欲しい 特定サイト(モノタロウ)だけ別ルータからアクセスしたいけどどうすればいいのだろうか? ip route https://www.monotaro.com 192.168.1.254 みたいにドメイン指定したい 要点だけコンフィグを抜粋するとこんな感じね ip access-list map1 permit ip src any dest-domain www.monotaro.com ip name-server ***.***.***.*** ←DNSサーバアドレス dns cache enable route-map route1 permit 10 match ip address access-list map1 set ip next-hop 192.168.1.254 interface GigaEthernet2.0 ←LAN側インタフェース ip policy route-map route1 >>608-609 おお、すごいありがとう。 LAN側のIPから振り分けはやってるけど WAN側も同じように振り分ける発想はなかった。 IX2207が割高だな 2年前に違うショップで買ったときは66k\位だったのに今はどこも高い V9.5 が来てるぜ。 機能強化、使用改善/変更、不具合修正 てんこもり。 機能強化内容 [1] VRF-Lite機能に対応しました。 [2] URLフィルタリング機能に対応しました。 [3] Web認証機能に対応しました。 [4] リンクマネージャ(端末管理)機能に対応しました。 [5] データコネクト対応オンデマンドVPN機能のRADIUS認証/アカウンティング機能 [6] トンネルインタフェースの一括設定機能に対応しました。 VRFはstatic以外にも対応する見込みだがまだなんだよな、はよ PBRは全体構成の可読性だだ下がるからVRFに対応するのはめでたい VRFって何かと思ったらバーチャルルーターか かつてはNetScreenの得意技だったな >614 [4] リンクマネージャ(端末管理)機能に対応しました。 ルータにどのような端末が接続されているかをMACアドレス単位でわかりやすく一覧表示し、アクセスを制御する機能です。 ↑この追加機能、結構良いね ASUSとかの家庭用では以前からある機能だけど 動作も少し軽くなったような気がするが、勘違いか? >ASUSとかの家庭用 ごみと比べるな 二度とくるなよ このルータのコンフィグ依頼したらいくらぐらいでやってもらえるんだろう? 用意してあるのをぶっこむだけなら別の作業のついで程度の値段だろ 要求がはっきりしてて、すぐコンフィグ作成にかかれるなら5万(プリ現から評価環境テスト、現地テスト込み) これから仕様を一緒に詰めましょうなら、一度話を聞いて別途見積もり 2025が遂にDiscon 後継機種が2215になってるけど、こいつ自体出てから5年だしな〜 新しいのは出ないんだろうか? IX2025はVDSL100Mbps環境ならコスパ最高のルータだったんだけどな 最近は古いマンションでも光配線工事してあったりで1Gbps増えたからなー 2025 はまだファームダウン出来るけど、discon になると、その内に 提供中止するのか?? 販売終了となると、最終ファームウェアを保存しておこうかなと思いつつも、 今更100Mbpsの機器のファームウェアを持っててもな、とも思うんだよな 実際永遠に使わないことがほとんど 2105から2215に変更したった CPU負荷とメモリの余裕がだいぶ増えた お前らリッチですね 僕は今度2015から2105に変えるところです 2015は2台遊んでるけど、ヤフオク出しても誰も買いそうにないから 燃えないゴミの日にコッソリ出そうかと思ってる ここの板見て5年間ノーメンテで使っていたRTX1000からIX2025にしてみた。 非常に初歩的なことかもしれないけど、 tracerouteやnslookupコマンドうつとInvalid commandって返ってくる 何か機能を有効にしないと使えないの? >>636 traceroute も nslookup も普通に使えるよ 具体的に Invalid command となったときのログを見せてみて 例えば、スペースを入れ忘れると Router# traceroute192.168.0.254 % traceroute192.168.0.254 -- Invalid command. ってな感じになる >>637 ありがとん。 使えるってことだからブラウザのコマンド実行じゃなくて telnetで入ってコマンド投入試したらいけました! お騒がせして申し訳ない。 >>639 Web GUIでも「任意コマンドの実行」の「コマンド入力」のところでtelnetと同様に実行できるよ 教えて下さい LAN側がv4でv6IPOEを使うにはどうしたらいいのでしょうか? ip route default Tunnel0.0 ! ipv6 dhcp client-profile dhcpv6-cl option-request dns-servers ia-pd subscriber FastEthernet1/0:1.0 ::1/64 ! interface FastEthernet0/0.0 description flets v6 no ip address ipv6 enable ipv6 dhcp client dhcpv6-cl ipv6 filter flt-list 1 in ipv6 filter dflt-list 1 out no shutdown ! interface FastEthernet1/0:0 ip address 192.168.1.254/24 ipv6 enable no shutdown ! interface Tunnel0.0 tunnel mode 4-over-6 tunnel destination ????? tunnel source ????? ip unnumbered FastEthernet1/0.0 no shutdown ip route default Tunnel0.0 ip ufs-cache enable ip dhcp enable ! proxy-dns ip enable request both ! ip dhcp profile dhcpv4-sv dns-server 192.168.1.254 ! ipv6 dhcp client-profile dhcpv6-cl information-request option-request dns-servers ! interface GigaEthernet0.0 ipv6 address autoconfig receive-default ipv6 dhcp client dhcpv6-cl no shutdown ! interface GigaEthernet1.0 ip address 192.168.1.254/24 ip dhcp binding dhcpv4-sv no shutdown ! interface Tunnel0.0 tunnel mode 4-over-6 no tunnel adjust-mtu tunnel source GigaEthernet0.0 tunnel destination fqdn [AFTRのドメイン名] ip unnumbered GigaEthernet1.0 ip tcp adjust-mss 1460 no shutdown tunnel destination fqdnってあったのか。今までIPv6アドレス直接指定してた。 う〜ん、いくつか分からない 拠点PC - IX2025 - (IPv6VPN) - IX2025 - ゲートウェイ - インターネット 拠点IX2025:192.168.1.254 対向IX2025:192.168.2.254 GW:192.168.2.250 この環境でhttp://www.microsoft.com にアクセスすると真っ白のページが表示される GWのmssを900とかにしても駄目なのてmtuとかmssは関係ないのかな 一体何が原因なんでしょうか? >>645 一回頭をリセットするために Wireshark入れてみた方が早いんじゃないの 目線が変わると気づきやすい >>646 ありがd Wireshark?使ったことないけど調べてみる。 あと、mssを調べているときに別の2025ルータのLAN側に ping -f -l 997 192.168.2.250 を撃ったらタイムアウトしちゃう 996だと通るけど特にルータでサイズ指定してないけどこれって壊れたのかな? 2025 が販売終了しちゃったけど、ファームのダウンロードでは 9.5.11 がまだ落とせるみたい。 >>642 の方は解決したのでしょうか? ほぼおなじコンフィグを作ってるときに、同じく 「tunnel source ????? 」の箇所でつまづきまして。 Giga対応のモデルと違って、古いIX2015では tunnel sourceの後ろにインタフェース名を 指定できないようで困ってます。 (出来るのかもしれませんが、やり方が分からない) WAN側は動的なので、tunnel sourceに実アドレスを設定することもできず・・・ 642さん以外の方もアドバイスいただけると幸いです。 以下を参考に、IX2015 8.3.49でDS-Lite設定してみたけど、tunnel sourceはなくても動いた。 http://jpn.nec.com/univerge/ix/Support/ipv6/ds-lite/index.html proxy-dns ip enable request both も使えないので、代わりに proxy-dns server 8.8.8.8 を入れた。 情報ありがとうございます。 同じく試してるうちにtunnel source無しでIPv4のWebが見れるようになりました。 ところで、651さんの紹介してるコンフィグだとパソコンへ割り振るIPはIPv4のみ? IPv6のサイトがみえないような・・・ IPv4 over IPv6(DS-Lite)とIPv6 IPoEを併用するなら、以下も追加で。 http://jpn.nec.com/univerge/ix/Support/squarenext/index.html 具体的には以下を追加した。公式の情報は結構充実してるぞ。 access-list mflt-list permit src any dest any type ipv6 access-list mflt-list permit src any dest any type ip bridge irb enable no bridge 1 bridge ip interface FastEthernet0/0.0 filter mflt-list 1 in bridge-group 1 interface FastEthernet1/0.0 filter mflt-list 1 in bridge-group 1 追加情報ありがとうございました。 お陰で接続できましたー。 ただ、IX2015の性能の限界を感じました・・・ IX2015 8.3.47を使っています。 以下の設定でDHCPでIPアドレス、DNSサーバのアドレスを自動的に取得させています。 192.168.1.1がDNSサーバのアドレスとして使われ、特に問題ありません。(ローカルサーバ、インターネットとも名前解決できている) ip route default FastEthernet0/1.0 ip route 192.168.1.0/24 Tunnel10.0 ip dhcp profile hoge assignable-range 192.168.2.51 192.168.2.100 subnet-mask 255.255.255.0 default-gateway 192.168.2.254 dns-server 192.168.1.1 192.168.1.2 lease-time 432000 interface FastEthernet0/1.0 ip address dhcp receive-default ip mtu 1454 ip tcp adjust-mss auto ip napt enable ip napt static FastEthernet0/1.0 udp 500 ip napt static FastEthernet0/1.0 50 ip napt static FastEthernet0/1.0 udp 4500 no shutdown interface FastEthernet1/0.0 ip address 192.168.2.254/24 ip dhcp binding hoge no shutdown interface Tunnel10.0 tunnel mode ipsec ip unnumbered FastEthernet0/1.0 ip tcp adjust-mss auto ipsec policy tunnel x out no shutdown やりたい事 ---------- VPNや内部DNSサーバが死んだ時に、 インターネット上に対しての名前解決はできるようにする ---------- そのために低いプライオリティで8.8.8.8を指定しておこうと考えました。 ip dhcp profile での dns-server 192.168.1.1 192.168.1.2 設定を止めて、 proxy-dns ip enable proxy-dns server 192.168.1.1 priority 200 proxy-dns server 192.168.1.2 priority 190 proxy-dns server 8.8.8.8 priority 180 を設定しました。 ・・・ローカルサーバの名前解決ができません。 インターネット上に対しての名前解決も応答が遅いです。 その他情報としては、 interface FastEthernet0/1.0 に設定されているIPアドレスは192.168.3.2 その上位(ルータ機能付ホームゲートウェイ)のLAN側IPアドレスは192.168.3.1 インターネットVPNの対向ルータはIX2025 9.5.11 です。 なにかアドバイスをいただけないでしょうか。 >>656 ip dhcp profile hoge の dns-server 192.168.1.1 192.168.1.2 を dns-server 192.168.2.254 に変更するだけでいいんじゃない? DHCPクライアントのDNSサーバは常にDHCPサーバ(IX2015)のアドレスで 参照サーバの切り替えはIX2015が行う あっ念のためだけど proxy-dns ip enable proxy-dns server 192.168.1.1 priority 200 proxy-dns server 192.168.1.2 priority 190 proxy-dns server 8.8.8.8 priority 180 は追加前提で >>657 情報ありがとうございます。 説明不足ですみません。 192.168.2.254を参照はさせています。 proxy-dns ip enable proxy-dns server 192.168.1.1 priority 200 proxy-dns server 192.168.1.2 priority 190 proxy-dns server 8.8.8.8 priority 180 を追加して、 192.168.2.254をDNSサーバとして指定して名前解決しようとしたときに、 ローカルサーバの名前解決ができない、インターネット上に対しての名前解決も応答が遅い、 ということでした。 nslookupで192.168.2.254をサーバ指定した状態での 結果なので、参照しているとは思うのですが・・・ ip route 192.168.1.0/24 Tunnel10.0 は関係ないですよね? 設定事例集より proxy-dns ip enable プロキシ DNS 機能を有効化します。 この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。 ip dhcp profile hoge dns-server 192.168.1.1 8.8.8.8 でいいんじゃないの? >>662 実用上はたぶんそれで問題ないと思っています。ありがとうございます。 ここで本題からはそれるのですが、確認したいことがあります。 ip dhcp profile hoge dns-server 192.168.1.1 8.8.8.8 と設定すると、dhcpにより自動的に取得したクライアントからすると、 優先:192.168.1.1、代替:8.8.8.8 と手動で設定したことと同じですよね? つまり、IXのproxy-dns設定がどうなっていても(enableでなくても)影響なく、 クライアントはIPアドレスにより指定されたDNSサーバと直接通信して、名前解決をする。 逆に、自動的に取得でも手動設定でも、 クライアントで192.168.2.254をDNSサーバとして設定されると、 IXのproxy-dns設定に依存し、IXを代理サーバとして名前解決が行われる。 という理解であってますか。 >>662 >proxy-dns ip enable >プロキシ DNS 機能を有効化します。 >この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。 show proxy-dns ip で確認しました。 DNS server(s): 192.168.1.1, static, priority 200 192.168.1.2, static, priority 190 8.8.8.8, static, priority 180 192.168.3.1, dynamic (DHCP), FastEthernet0/1.0, priority 100 proxy-dns ip enable を実行すると、 proxy-dns interface FastEthernet0/1.0 priority 100 も自動的に実行されていると思えばよいんですね。 ありがとうございます。 自己解決しました。 Interface Tunnel10.0 no ip unnumbered FastEthernet0/1.0 ip unnumbered FastEthernet1/0.0 を実行しました。 192.168.2.254をproxy-dnsとして、 ローカルサーバの名前解決ができるようになりました。 Interface Tunnel10.0のアドレスが、 192.168.3.1 から 192.168.2.254 に変わったためだと思うのですが、 いまいちよく分かっていません。 理解を深めるために原理等を解説・・・ほしいです。 >>665 0/1.0のipが他の装置からネットワーク的に到達可能か否かの話、 ixそのものはルーティング上一番近いI/Fのアドレスを使う。 最初の設定ではそもそも応答する側からみたら経路が無くて応答が無いことでタイムアウトしてたのでは? 対抗側の設定などを全部出さないと誰もコメントしにくいと思うよ。 >>666 ありがとうございます。なんとなくわかりました。 IX3110同士で組んだEther-IPが Ether over IPv4ではそれなりの速度が出るのにEther over IPv6では100Mbps程度まで落ち込んでしまいます。 WANを経由せず、ローカルな環境で試しての結果です。 何か大事な設定が抜けてるんですかね? IPv4なクライアントからのDNSをIPv6のDNSサーバー宛にproxyすることってできるのですか? PPPoE接続のプロバイダが用意したDNSサーバーはIPv6のレコードをカットしちゃう仕様なので、IPoEのDNSから取得した情報を通知したいのです。 proxy-dns ip enable request both モバイルから自宅の2105へvpn接続し、utmを通してインターネットへ接続する みたいな芸当は可能なんでしょうか。 utmを通さない configならネットに転がっているのですが。 勿論、vpnもインターネットも同じ回線です。 nttxから買ってNECに質問してたら、どうやらファームウェアの ダウンロードサイトはNEC自ら案内してくれるそうな。 つうことで、nttxから買おうとしている人は安心してくれ。 新品を買うなら基本どの店でも心配いらないよ。 ファームがーって騒いでるのは中古買った人達。 保守契約しないとファームダウンロード出来ないんだっけ?? 保守契約は不要。新品買った店経由で、NECに申請書を提出すればIDをもらえる。 むしろ保守会社と契約をせずに自営保守するユーザに対するダウンロードサービス ファームウェアのアップデートはユーザ自身の作業になるからね 保守契約していればアップデート作業は保守会社がするので、ユーザがファームを持つ必要ない もう半年近くファーム更新無いな〜 安定してるって事なんだろうけど、更新来ないと逆に不安になるw ルータとしては完熟しきった感があるから、なかなか新機能追加のネタが無いんだろうな だけど、そろそろ出てくる気配が... えー?ヘアピンNATバグってね? >>590 と一緒かどうかはわからないが、うちでもヘアピンNATの動作がおかしい もう諦めたから検証はしてないけどね NGN折返しでether over greを設定例のままで 同一セグメントでインターネットの外にでれるのに ispec 又はikev2を併用するとgoogole検索しかできなくて外へでれない 設定どなたか教えていただけませんかね 事故解決しました bridge ip tcp adjust-mssの設定が抜けてた お外に出れるようになったけど今度はv6サイトにアクセス不可 なんで i.open.ad.jpのDDNSをix2105などで利用出来てる人は いますか? 他のDDNSサービスのほうが使い勝手が良いならば、 そちらへ変えようかと思っています。 ipadを使って自宅のix2105へVPN接続をしようとすると、 接続が出来無いばかりか、DDNSのアドレス更新が そもそも出来ません。 i.open.ad.jpで公開されているサンプルコンフィグを適用し かつ手動でddns updateを行なっても更新され無いのです。 勿論、グローバルなIPv6は正しく受け取れていてかつ通信 出来ています。これはOCNの判別機能を利用しました。 >>685 ddns enable 忘れてるとか? 設定書き込もうとしたら、NGワードがどうとかで書き込みエラー・・・ 全角にすれば書けるかな・・・? ddns profile OPEN-IPv6 url http://ddnsapi-v6.open.ad.jp/api/renew/ query {DDNS HOST KEY} transport ipv6 notify-interface GigaEthernet0.0 source-interface GigaEthernet0.0 update-interval 12 ところで・・・ 他のDDNSなら問題なく使えるの? iPadの設定で、接続先をfqdnではなくIPv6アドレスで指定すれば接続できるの? あれ、iPadってことは L2TP かな? >>686-689 レスありがとうございます。 デバッグの使い方がようやく判ってログを見たのですが以下のようなメッセージが出てました。 > Source address not found on GigaEthernet0.2, profile UPDATE_DDNS もしやと思ってshow ipv6 addressを良く見ると、GigaEthernet0.2にはグローバルなIPv6アドレスが割り当てられている、というよりも、プレフィックス56ビット以下が0の状態でした。 dhcpv6クライアントでIPv6を受けた結果、プレフィックス以下が生成されてなかったとは理解が足りてませんでした。 一方、GigaEthernet1:1.0にはプレフィックス以下が0ではないIPv6アドレスが振られていました。 仕方なくGigaEthernet1:1.0をsource-interfaceにすると確かにDDNSの登録できましたが、釈然としません。 LAN側のdhcpv6サーバにするインターフェースはGigaEthernet0.2又はGigaEthernet1:1.0のどちらでも動くのですが、いずれにせよGigaEthernet0.2にはプレフィックス以下が0のアドレスにしかなりません。 一つ問題点は分かったとして、少々話はそれますが、GigaEthernet0.2にはインターフェース識別子まで設定すべきではない、或いはDDNS更新通知用インターフェースに使うなという考えで良いのでしょうか? セキュリティ的にはインターフェース識別子を時々変えるようにしろ、という理屈もあるようですが・・・。 巷の2015用サンプルコンフィグだとFastEthernet0/0を更新用インターフェースに指定したりしているので、GigaEthernetでもできると踏んだのですが、上手く行かないものですね。 追伸です。 どうやら使いたかったSIMから現状でIPv6アクセスは出来ないようです。 今年の夏からはキャリア3社でIPv6化が開始されるとのことで期待していたのですが。 標準で対応しているIIJとかに変える必要がありそうです。 どうもお騒がせしました。 ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる