NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
http://www.nec.co.jp/ixseries/ix2k3k/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
http://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
http://pc11.2ch.net/test/read.cgi/mysv/1199977508/
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ >>636
traceroute も nslookup も普通に使えるよ
具体的に Invalid command となったときのログを見せてみて
例えば、スペースを入れ忘れると
Router# traceroute192.168.0.254
% traceroute192.168.0.254 -- Invalid command.
ってな感じになる >>637
ありがとん。
使えるってことだからブラウザのコマンド実行じゃなくて
telnetで入ってコマンド投入試したらいけました!
お騒がせして申し訳ない。 >>639
Web GUIでも「任意コマンドの実行」の「コマンド入力」のところでtelnetと同様に実行できるよ 教えて下さい
LAN側がv4でv6IPOEを使うにはどうしたらいいのでしょうか?
ip route default Tunnel0.0
!
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber FastEthernet1/0:1.0 ::1/64
!
interface FastEthernet0/0.0
description flets v6
no ip address
ipv6 enable
ipv6 dhcp client dhcpv6-cl
ipv6 filter flt-list 1 in
ipv6 filter dflt-list 1 out
no shutdown
!
interface FastEthernet1/0:0
ip address 192.168.1.254/24
ipv6 enable
no shutdown
!
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination ?????
tunnel source ?????
ip unnumbered FastEthernet1/0.0
no shutdown ip route default Tunnel0.0
ip ufs-cache enable
ip dhcp enable
!
proxy-dns ip enable request both
!
ip dhcp profile dhcpv4-sv
dns-server 192.168.1.254
!
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
!
interface GigaEthernet0.0
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6-cl
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.254/24
ip dhcp binding dhcpv4-sv
no shutdown
!
interface Tunnel0.0
tunnel mode 4-over-6
no tunnel adjust-mtu
tunnel source GigaEthernet0.0
tunnel destination fqdn [AFTRのドメイン名]
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss 1460
no shutdown tunnel destination fqdnってあったのか。今までIPv6アドレス直接指定してた。 う〜ん、いくつか分からない
拠点PC - IX2025 - (IPv6VPN) - IX2025 - ゲートウェイ - インターネット
拠点IX2025:192.168.1.254
対向IX2025:192.168.2.254
GW:192.168.2.250
この環境でhttp://www.microsoft.comにアクセスすると真っ白のページが表示される
GWのmssを900とかにしても駄目なのてmtuとかmssは関係ないのかな
一体何が原因なんでしょうか? >>645
一回頭をリセットするために
Wireshark入れてみた方が早いんじゃないの
目線が変わると気づきやすい >>646
ありがd
Wireshark?使ったことないけど調べてみる。
あと、mssを調べているときに別の2025ルータのLAN側に
ping -f -l 997 192.168.2.250 を撃ったらタイムアウトしちゃう
996だと通るけど特にルータでサイズ指定してないけどこれって壊れたのかな? 2025 が販売終了しちゃったけど、ファームのダウンロードでは
9.5.11 がまだ落とせるみたい。 >>642の方は解決したのでしょうか?
ほぼおなじコンフィグを作ってるときに、同じく
「tunnel source ????? 」の箇所でつまづきまして。
Giga対応のモデルと違って、古いIX2015では
tunnel sourceの後ろにインタフェース名を
指定できないようで困ってます。
(出来るのかもしれませんが、やり方が分からない)
WAN側は動的なので、tunnel sourceに実アドレスを設定することもできず・・・
642さん以外の方もアドバイスいただけると幸いです。 以下を参考に、IX2015 8.3.49でDS-Lite設定してみたけど、tunnel sourceはなくても動いた。
http://jpn.nec.com/univerge/ix/Support/ipv6/ds-lite/index.html
proxy-dns ip enable request both
も使えないので、代わりに
proxy-dns server 8.8.8.8
を入れた。 情報ありがとうございます。
同じく試してるうちにtunnel source無しでIPv4のWebが見れるようになりました。
ところで、651さんの紹介してるコンフィグだとパソコンへ割り振るIPはIPv4のみ?
IPv6のサイトがみえないような・・・ IPv4 over IPv6(DS-Lite)とIPv6 IPoEを併用するなら、以下も追加で。
http://jpn.nec.com/univerge/ix/Support/squarenext/index.html
具体的には以下を追加した。公式の情報は結構充実してるぞ。
access-list mflt-list permit src any dest any type ipv6
access-list mflt-list permit src any dest any type ip
bridge irb enable
no bridge 1 bridge ip
interface FastEthernet0/0.0
filter mflt-list 1 in
bridge-group 1
interface FastEthernet1/0.0
filter mflt-list 1 in
bridge-group 1 追加情報ありがとうございました。
お陰で接続できましたー。
ただ、IX2015の性能の限界を感じました・・・ IX2015 8.3.47を使っています。
以下の設定でDHCPでIPアドレス、DNSサーバのアドレスを自動的に取得させています。
192.168.1.1がDNSサーバのアドレスとして使われ、特に問題ありません。(ローカルサーバ、インターネットとも名前解決できている)
ip route default FastEthernet0/1.0
ip route 192.168.1.0/24 Tunnel10.0
ip dhcp profile hoge
assignable-range 192.168.2.51 192.168.2.100
subnet-mask 255.255.255.0
default-gateway 192.168.2.254
dns-server 192.168.1.1 192.168.1.2
lease-time 432000
interface FastEthernet0/1.0
ip address dhcp receive-default
ip mtu 1454
ip tcp adjust-mss auto
ip napt enable
ip napt static FastEthernet0/1.0 udp 500
ip napt static FastEthernet0/1.0 50
ip napt static FastEthernet0/1.0 udp 4500
no shutdown
interface FastEthernet1/0.0
ip address 192.168.2.254/24
ip dhcp binding hoge
no shutdown
interface Tunnel10.0
tunnel mode ipsec
ip unnumbered FastEthernet0/1.0
ip tcp adjust-mss auto
ipsec policy tunnel x out
no shutdown やりたい事
----------
VPNや内部DNSサーバが死んだ時に、
インターネット上に対しての名前解決はできるようにする
----------
そのために低いプライオリティで8.8.8.8を指定しておこうと考えました。
ip dhcp profile での dns-server 192.168.1.1 192.168.1.2 設定を止めて、
proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180
を設定しました。
・・・ローカルサーバの名前解決ができません。
インターネット上に対しての名前解決も応答が遅いです。
その他情報としては、
interface FastEthernet0/1.0 に設定されているIPアドレスは192.168.3.2
その上位(ルータ機能付ホームゲートウェイ)のLAN側IPアドレスは192.168.3.1
インターネットVPNの対向ルータはIX2025 9.5.11 です。
なにかアドバイスをいただけないでしょうか。 >>656
ip dhcp profile hoge の
dns-server 192.168.1.1 192.168.1.2 を
dns-server 192.168.2.254 に変更するだけでいいんじゃない?
DHCPクライアントのDNSサーバは常にDHCPサーバ(IX2015)のアドレスで
参照サーバの切り替えはIX2015が行う あっ念のためだけど
proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180
は追加前提で >>657
情報ありがとうございます。
説明不足ですみません。
192.168.2.254を参照はさせています。
proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180
を追加して、
192.168.2.254をDNSサーバとして指定して名前解決しようとしたときに、
ローカルサーバの名前解決ができない、インターネット上に対しての名前解決も応答が遅い、
ということでした。 nslookupで192.168.2.254をサーバ指定した状態での
結果なので、参照しているとは思うのですが・・・
ip route 192.168.1.0/24 Tunnel10.0
は関係ないですよね? 設定事例集より
proxy-dns ip enable
プロキシ DNS 機能を有効化します。
この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。
ip dhcp profile hoge
dns-server 192.168.1.1 8.8.8.8
でいいんじゃないの? >>662
実用上はたぶんそれで問題ないと思っています。ありがとうございます。
ここで本題からはそれるのですが、確認したいことがあります。
ip dhcp profile hoge
dns-server 192.168.1.1 8.8.8.8
と設定すると、dhcpにより自動的に取得したクライアントからすると、
優先:192.168.1.1、代替:8.8.8.8 と手動で設定したことと同じですよね?
つまり、IXのproxy-dns設定がどうなっていても(enableでなくても)影響なく、
クライアントはIPアドレスにより指定されたDNSサーバと直接通信して、名前解決をする。
逆に、自動的に取得でも手動設定でも、
クライアントで192.168.2.254をDNSサーバとして設定されると、
IXのproxy-dns設定に依存し、IXを代理サーバとして名前解決が行われる。
という理解であってますか。 >>662
>proxy-dns ip enable
>プロキシ DNS 機能を有効化します。
>この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。
show proxy-dns ip で確認しました。
DNS server(s):
192.168.1.1, static, priority 200
192.168.1.2, static, priority 190
8.8.8.8, static, priority 180
192.168.3.1, dynamic (DHCP), FastEthernet0/1.0, priority 100
proxy-dns ip enable を実行すると、
proxy-dns interface FastEthernet0/1.0 priority 100
も自動的に実行されていると思えばよいんですね。
ありがとうございます。 自己解決しました。
Interface Tunnel10.0
no ip unnumbered FastEthernet0/1.0
ip unnumbered FastEthernet1/0.0
を実行しました。
192.168.2.254をproxy-dnsとして、
ローカルサーバの名前解決ができるようになりました。
Interface Tunnel10.0のアドレスが、
192.168.3.1 から 192.168.2.254 に変わったためだと思うのですが、
いまいちよく分かっていません。
理解を深めるために原理等を解説・・・ほしいです。 >>665
0/1.0のipが他の装置からネットワーク的に到達可能か否かの話、
ixそのものはルーティング上一番近いI/Fのアドレスを使う。
最初の設定ではそもそも応答する側からみたら経路が無くて応答が無いことでタイムアウトしてたのでは?
対抗側の設定などを全部出さないと誰もコメントしにくいと思うよ。 >>666
ありがとうございます。なんとなくわかりました。 IX3110同士で組んだEther-IPが
Ether over IPv4ではそれなりの速度が出るのにEther over IPv6では100Mbps程度まで落ち込んでしまいます。
WANを経由せず、ローカルな環境で試しての結果です。
何か大事な設定が抜けてるんですかね? IPv4なクライアントからのDNSをIPv6のDNSサーバー宛にproxyすることってできるのですか?
PPPoE接続のプロバイダが用意したDNSサーバーはIPv6のレコードをカットしちゃう仕様なので、IPoEのDNSから取得した情報を通知したいのです。 proxy-dns ip enable request both モバイルから自宅の2105へvpn接続し、utmを通してインターネットへ接続する
みたいな芸当は可能なんでしょうか。
utmを通さない configならネットに転がっているのですが。
勿論、vpnもインターネットも同じ回線です。 nttxから買ってNECに質問してたら、どうやらファームウェアの
ダウンロードサイトはNEC自ら案内してくれるそうな。
つうことで、nttxから買おうとしている人は安心してくれ。 新品を買うなら基本どの店でも心配いらないよ。
ファームがーって騒いでるのは中古買った人達。 保守契約しないとファームダウンロード出来ないんだっけ?? 保守契約は不要。新品買った店経由で、NECに申請書を提出すればIDをもらえる。 むしろ保守会社と契約をせずに自営保守するユーザに対するダウンロードサービス
ファームウェアのアップデートはユーザ自身の作業になるからね
保守契約していればアップデート作業は保守会社がするので、ユーザがファームを持つ必要ない もう半年近くファーム更新無いな〜
安定してるって事なんだろうけど、更新来ないと逆に不安になるw ルータとしては完熟しきった感があるから、なかなか新機能追加のネタが無いんだろうな
だけど、そろそろ出てくる気配が... えー?ヘアピンNATバグってね?
>>590と一緒かどうかはわからないが、うちでもヘアピンNATの動作がおかしい
もう諦めたから検証はしてないけどね NGN折返しでether over greを設定例のままで
同一セグメントでインターネットの外にでれるのに
ispec 又はikev2を併用するとgoogole検索しかできなくて外へでれない
設定どなたか教えていただけませんかね 事故解決しました
bridge ip tcp adjust-mssの設定が抜けてた
お外に出れるようになったけど今度はv6サイトにアクセス不可
なんで i.open.ad.jpのDDNSをix2105などで利用出来てる人は
いますか?
他のDDNSサービスのほうが使い勝手が良いならば、
そちらへ変えようかと思っています。
ipadを使って自宅のix2105へVPN接続をしようとすると、
接続が出来無いばかりか、DDNSのアドレス更新が
そもそも出来ません。
i.open.ad.jpで公開されているサンプルコンフィグを適用し
かつ手動でddns updateを行なっても更新され無いのです。
勿論、グローバルなIPv6は正しく受け取れていてかつ通信
出来ています。これはOCNの判別機能を利用しました。 >>685
ddns enable 忘れてるとか?
設定書き込もうとしたら、NGワードがどうとかで書き込みエラー・・・ 全角にすれば書けるかな・・・?
ddns profile OPEN-IPv6
url http://ddnsapi-v6.open.ad.jp/api/renew/
query {DDNS HOST KEY}
transport ipv6
notify-interface GigaEthernet0.0
source-interface GigaEthernet0.0
update-interval 12 ところで・・・
他のDDNSなら問題なく使えるの?
iPadの設定で、接続先をfqdnではなくIPv6アドレスで指定すれば接続できるの?
あれ、iPadってことは L2TP かな? >>686-689 レスありがとうございます。
デバッグの使い方がようやく判ってログを見たのですが以下のようなメッセージが出てました。
> Source address not found on GigaEthernet0.2, profile UPDATE_DDNS
もしやと思ってshow ipv6 addressを良く見ると、GigaEthernet0.2にはグローバルなIPv6アドレスが割り当てられている、というよりも、プレフィックス56ビット以下が0の状態でした。
dhcpv6クライアントでIPv6を受けた結果、プレフィックス以下が生成されてなかったとは理解が足りてませんでした。
一方、GigaEthernet1:1.0にはプレフィックス以下が0ではないIPv6アドレスが振られていました。
仕方なくGigaEthernet1:1.0をsource-interfaceにすると確かにDDNSの登録できましたが、釈然としません。
LAN側のdhcpv6サーバにするインターフェースはGigaEthernet0.2又はGigaEthernet1:1.0のどちらでも動くのですが、いずれにせよGigaEthernet0.2にはプレフィックス以下が0のアドレスにしかなりません。
一つ問題点は分かったとして、少々話はそれますが、GigaEthernet0.2にはインターフェース識別子まで設定すべきではない、或いはDDNS更新通知用インターフェースに使うなという考えで良いのでしょうか?
セキュリティ的にはインターフェース識別子を時々変えるようにしろ、という理屈もあるようですが・・・。
巷の2015用サンプルコンフィグだとFastEthernet0/0を更新用インターフェースに指定したりしているので、GigaEthernetでもできると踏んだのですが、上手く行かないものですね。 追伸です。
どうやら使いたかったSIMから現状でIPv6アクセスは出来ないようです。
今年の夏からはキャリア3社でIPv6化が開始されるとのことで期待していたのですが。
標準で対応しているIIJとかに変える必要がありそうです。
どうもお騒がせしました。 自宅からファームウェアダウンロードの申請をしようとしたら、メールがNEC側でOBP25と思しき理由で弾かれて参った。
メーラーの設定はOCN推奨のOBP25対策がされたSSL版の通りなのに。
OCNのweb版メーラーを使ってようやく届いたわ。なにこれ。 >>695
「OBP25と思しき理由で弾かれて」が本当だとしたらOCN側の設定ミス。
と言うか申請って代理店宛じゃなくてNECに直接送ることになったの? メールソフトでダメでWebメールでOKってことは、普通にメールソフトがおかしいと思うけどな >>696
正式には今でも代理店経由でしょ。ただしこのスレでたぶんNECの人が「NECに直接メールすればいいよ」って
言ってた。直接メールは正式ではないから、NECの受け取った人次第だと思う。 中古で買っちゃうとファームアップすることはできないんでしょうか? 新品買わなきゃいけないということですね・・・。
ちなみに、IX2215買って登録したらIX2215のファームのみダウンロード可能なのでしょうか?
IX2105のファーム等もダウンロードできるのでしょうか? >>701
まさに俺。
新品で2215買って、2105や3110等々、計5台お世話になってるわ 2215買わないといけないか・・・。
古いのに未だ高いからちょっとしゃくだけど。
2台目からは中古でいいと考えればなんとかありか。 俺は5年前に2215買ったけど、君は何を買ってもいいんだぜ >>707
Thanks!
なんだか、Webコンソールがすごいことになってるよ。
IX2105だけじゃなくて、IX2215やIX3110でさえもモリモリ設定できるようになってる。
時代の流れなのか・・・
IPv6情報も表示されるようになったのは便利だな。
Univergeにはまったく関係ないが、5chはなんで中途半端にIPv6対応なんだよ・・・
「ERROR: Sorry IPv6にはまだ対応していません。
IPv4に切り替えてください。」
って邪魔すぎる・・・ あれ、Webコンソールで詳細設定できるようになったのは
今回からじゃなかった気がしてきた・・・
使わないので失念してただけかも。失礼しました m(__)m >>709
多分今回から増えたんじゃないかな
表示項目もだいぶ増えているね
IKEv2でもVPNの項目に表示されるようになったのが地味に嬉しい 確かにCLIから設定したVPNも情報がそれっぽく表示されてる。
あと、Webコンソール自体の表示も軽くなった気がする。
かつて、RTT20msくらいの先にあるIXのWebコンソールを開くと、だいぶぎこちない動きをしていた。 >>701
アドレスが分かれば、全機種落とせるよ。 2025 は9.6.12 無かった。
特定の機種だけか。 >>713
2025はディスコンだから
現行機種は全て対象だよ >>710
やっぱりそうだったかw
そうそう、設定はしないと思うけど、情報量が増えたのがいいよね!
5chのIPv6書き込みエラーが鬱陶しすぎるのででコマンド投入w
ipv6 access-list 5ch deny ip src any dest-domain 5ch.net
interface GigaEthernet0.0
ipv6 filter 5ch 3 out
exit ver.9.6.12/ver.9.5.13は、一部機能で不具合が見つかったことにより一時的に掲載を中止しております。
IXシリーズをお使いの皆様には大変ご迷惑をお掛けしますが、何卒ご了承願います。
だと。
入れちまった奴はバージョン戻せ。 取り下げたのはIX3000系だけっぽい?IX2000系しか持ってないからそのままでいいか。 Webにキチンと書いてくれないと、3000系だけ問題なのか、2000系に公開してるのが間違いなのか、利用者は分からないじゃんな。 うちのIX3110 9.6.12は元気に稼働中・・・
セキュリティ関連じゃなく不具合って書いてあるし放置でいいかw
NEC Portable Internetwork Core Operating System Software
IX Series IX3100 (magellan-sec) Software, Version 9.6.12, RELEASE SOFTWARE
Compiled Sep 11-Mon-2017 18:11:13 JST #2 by sw-build, coregen-9.6(12) ファームを更新する時、コンフィグは入れ直したほうがいいの?
それとも何もしなくても良い? >>727
IX2000系は今見ても残ってるよ。様子見だけど、とりあえず大丈夫なんじゃない? >>728
今見たらIX2105だけ復活してるな
IX2207/IX2215は消されたままだ >>729
なんかおかしいなと思って、Ctrl+F5で何回かリロードしてみたら、表示されたり消えたりしてる。
AkamaiのCDNのキャッシュかなこれ。 IX2105も新ファーム消えた?
F5しても出てこなくなった IX2105だけ9.6.12が残ってるな。
そろそろ何か情報くれ!痒くて仕方ないw 不具合は多分最近追加された新機能関連だろ
そこらへん使ってないならそんなに気にしなくていいと思われ ちょうどIX2105だけBridge使ってなかったわ。
しかし、IX2105ユーザーはリリースノート見ても仕様変更等がわからなくなったw ウチはIPv6用にブリッジしてたけど、全てIX2207にリプレース済みだったから影響なかった 9.6.12Aの挙動変じゃないか?
DS-Lite用のトンネルがパケロスするんで、元のバージョンに戻した ■ このスレッドは過去ログ倉庫に格納されています