NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです 【公式サイト】 UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC http://www.nec.co.jp/ixseries/ix2k3k/ 関連スレ ・宅鯖に最適なルータは? @ ウィキ http://www39.atwiki.jp/takurouter/ ・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc) http://engawa.2ch.net/test/read.cgi/network/1013516441/ ・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし) http://pc11.2ch.net/test/read.cgi/mysv/1199977508/ 前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7 http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/ >>642 の方は解決したのでしょうか? ほぼおなじコンフィグを作ってるときに、同じく 「tunnel source ????? 」の箇所でつまづきまして。 Giga対応のモデルと違って、古いIX2015では tunnel sourceの後ろにインタフェース名を 指定できないようで困ってます。 (出来るのかもしれませんが、やり方が分からない) WAN側は動的なので、tunnel sourceに実アドレスを設定することもできず・・・ 642さん以外の方もアドバイスいただけると幸いです。 以下を参考に、IX2015 8.3.49でDS-Lite設定してみたけど、tunnel sourceはなくても動いた。 http://jpn.nec.com/univerge/ix/Support/ipv6/ds-lite/index.html proxy-dns ip enable request both も使えないので、代わりに proxy-dns server 8.8.8.8 を入れた。 情報ありがとうございます。 同じく試してるうちにtunnel source無しでIPv4のWebが見れるようになりました。 ところで、651さんの紹介してるコンフィグだとパソコンへ割り振るIPはIPv4のみ? IPv6のサイトがみえないような・・・ IPv4 over IPv6(DS-Lite)とIPv6 IPoEを併用するなら、以下も追加で。 http://jpn.nec.com/univerge/ix/Support/squarenext/index.html 具体的には以下を追加した。公式の情報は結構充実してるぞ。 access-list mflt-list permit src any dest any type ipv6 access-list mflt-list permit src any dest any type ip bridge irb enable no bridge 1 bridge ip interface FastEthernet0/0.0 filter mflt-list 1 in bridge-group 1 interface FastEthernet1/0.0 filter mflt-list 1 in bridge-group 1 追加情報ありがとうございました。 お陰で接続できましたー。 ただ、IX2015の性能の限界を感じました・・・ IX2015 8.3.47を使っています。 以下の設定でDHCPでIPアドレス、DNSサーバのアドレスを自動的に取得させています。 192.168.1.1がDNSサーバのアドレスとして使われ、特に問題ありません。(ローカルサーバ、インターネットとも名前解決できている) ip route default FastEthernet0/1.0 ip route 192.168.1.0/24 Tunnel10.0 ip dhcp profile hoge assignable-range 192.168.2.51 192.168.2.100 subnet-mask 255.255.255.0 default-gateway 192.168.2.254 dns-server 192.168.1.1 192.168.1.2 lease-time 432000 interface FastEthernet0/1.0 ip address dhcp receive-default ip mtu 1454 ip tcp adjust-mss auto ip napt enable ip napt static FastEthernet0/1.0 udp 500 ip napt static FastEthernet0/1.0 50 ip napt static FastEthernet0/1.0 udp 4500 no shutdown interface FastEthernet1/0.0 ip address 192.168.2.254/24 ip dhcp binding hoge no shutdown interface Tunnel10.0 tunnel mode ipsec ip unnumbered FastEthernet0/1.0 ip tcp adjust-mss auto ipsec policy tunnel x out no shutdown やりたい事 ---------- VPNや内部DNSサーバが死んだ時に、 インターネット上に対しての名前解決はできるようにする ---------- そのために低いプライオリティで8.8.8.8を指定しておこうと考えました。 ip dhcp profile での dns-server 192.168.1.1 192.168.1.2 設定を止めて、 proxy-dns ip enable proxy-dns server 192.168.1.1 priority 200 proxy-dns server 192.168.1.2 priority 190 proxy-dns server 8.8.8.8 priority 180 を設定しました。 ・・・ローカルサーバの名前解決ができません。 インターネット上に対しての名前解決も応答が遅いです。 その他情報としては、 interface FastEthernet0/1.0 に設定されているIPアドレスは192.168.3.2 その上位(ルータ機能付ホームゲートウェイ)のLAN側IPアドレスは192.168.3.1 インターネットVPNの対向ルータはIX2025 9.5.11 です。 なにかアドバイスをいただけないでしょうか。 >>656 ip dhcp profile hoge の dns-server 192.168.1.1 192.168.1.2 を dns-server 192.168.2.254 に変更するだけでいいんじゃない? DHCPクライアントのDNSサーバは常にDHCPサーバ(IX2015)のアドレスで 参照サーバの切り替えはIX2015が行う あっ念のためだけど proxy-dns ip enable proxy-dns server 192.168.1.1 priority 200 proxy-dns server 192.168.1.2 priority 190 proxy-dns server 8.8.8.8 priority 180 は追加前提で >>657 情報ありがとうございます。 説明不足ですみません。 192.168.2.254を参照はさせています。 proxy-dns ip enable proxy-dns server 192.168.1.1 priority 200 proxy-dns server 192.168.1.2 priority 190 proxy-dns server 8.8.8.8 priority 180 を追加して、 192.168.2.254をDNSサーバとして指定して名前解決しようとしたときに、 ローカルサーバの名前解決ができない、インターネット上に対しての名前解決も応答が遅い、 ということでした。 nslookupで192.168.2.254をサーバ指定した状態での 結果なので、参照しているとは思うのですが・・・ ip route 192.168.1.0/24 Tunnel10.0 は関係ないですよね? 設定事例集より proxy-dns ip enable プロキシ DNS 機能を有効化します。 この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。 ip dhcp profile hoge dns-server 192.168.1.1 8.8.8.8 でいいんじゃないの? >>662 実用上はたぶんそれで問題ないと思っています。ありがとうございます。 ここで本題からはそれるのですが、確認したいことがあります。 ip dhcp profile hoge dns-server 192.168.1.1 8.8.8.8 と設定すると、dhcpにより自動的に取得したクライアントからすると、 優先:192.168.1.1、代替:8.8.8.8 と手動で設定したことと同じですよね? つまり、IXのproxy-dns設定がどうなっていても(enableでなくても)影響なく、 クライアントはIPアドレスにより指定されたDNSサーバと直接通信して、名前解決をする。 逆に、自動的に取得でも手動設定でも、 クライアントで192.168.2.254をDNSサーバとして設定されると、 IXのproxy-dns設定に依存し、IXを代理サーバとして名前解決が行われる。 という理解であってますか。 >>662 >proxy-dns ip enable >プロキシ DNS 機能を有効化します。 >この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。 show proxy-dns ip で確認しました。 DNS server(s): 192.168.1.1, static, priority 200 192.168.1.2, static, priority 190 8.8.8.8, static, priority 180 192.168.3.1, dynamic (DHCP), FastEthernet0/1.0, priority 100 proxy-dns ip enable を実行すると、 proxy-dns interface FastEthernet0/1.0 priority 100 も自動的に実行されていると思えばよいんですね。 ありがとうございます。 自己解決しました。 Interface Tunnel10.0 no ip unnumbered FastEthernet0/1.0 ip unnumbered FastEthernet1/0.0 を実行しました。 192.168.2.254をproxy-dnsとして、 ローカルサーバの名前解決ができるようになりました。 Interface Tunnel10.0のアドレスが、 192.168.3.1 から 192.168.2.254 に変わったためだと思うのですが、 いまいちよく分かっていません。 理解を深めるために原理等を解説・・・ほしいです。 >>665 0/1.0のipが他の装置からネットワーク的に到達可能か否かの話、 ixそのものはルーティング上一番近いI/Fのアドレスを使う。 最初の設定ではそもそも応答する側からみたら経路が無くて応答が無いことでタイムアウトしてたのでは? 対抗側の設定などを全部出さないと誰もコメントしにくいと思うよ。 >>666 ありがとうございます。なんとなくわかりました。 IX3110同士で組んだEther-IPが Ether over IPv4ではそれなりの速度が出るのにEther over IPv6では100Mbps程度まで落ち込んでしまいます。 WANを経由せず、ローカルな環境で試しての結果です。 何か大事な設定が抜けてるんですかね? IPv4なクライアントからのDNSをIPv6のDNSサーバー宛にproxyすることってできるのですか? PPPoE接続のプロバイダが用意したDNSサーバーはIPv6のレコードをカットしちゃう仕様なので、IPoEのDNSから取得した情報を通知したいのです。 proxy-dns ip enable request both モバイルから自宅の2105へvpn接続し、utmを通してインターネットへ接続する みたいな芸当は可能なんでしょうか。 utmを通さない configならネットに転がっているのですが。 勿論、vpnもインターネットも同じ回線です。 nttxから買ってNECに質問してたら、どうやらファームウェアの ダウンロードサイトはNEC自ら案内してくれるそうな。 つうことで、nttxから買おうとしている人は安心してくれ。 新品を買うなら基本どの店でも心配いらないよ。 ファームがーって騒いでるのは中古買った人達。 保守契約しないとファームダウンロード出来ないんだっけ?? 保守契約は不要。新品買った店経由で、NECに申請書を提出すればIDをもらえる。 むしろ保守会社と契約をせずに自営保守するユーザに対するダウンロードサービス ファームウェアのアップデートはユーザ自身の作業になるからね 保守契約していればアップデート作業は保守会社がするので、ユーザがファームを持つ必要ない もう半年近くファーム更新無いな〜 安定してるって事なんだろうけど、更新来ないと逆に不安になるw ルータとしては完熟しきった感があるから、なかなか新機能追加のネタが無いんだろうな だけど、そろそろ出てくる気配が... えー?ヘアピンNATバグってね? >>590 と一緒かどうかはわからないが、うちでもヘアピンNATの動作がおかしい もう諦めたから検証はしてないけどね NGN折返しでether over greを設定例のままで 同一セグメントでインターネットの外にでれるのに ispec 又はikev2を併用するとgoogole検索しかできなくて外へでれない 設定どなたか教えていただけませんかね 事故解決しました bridge ip tcp adjust-mssの設定が抜けてた お外に出れるようになったけど今度はv6サイトにアクセス不可 なんで i.open.ad.jpのDDNSをix2105などで利用出来てる人は いますか? 他のDDNSサービスのほうが使い勝手が良いならば、 そちらへ変えようかと思っています。 ipadを使って自宅のix2105へVPN接続をしようとすると、 接続が出来無いばかりか、DDNSのアドレス更新が そもそも出来ません。 i.open.ad.jpで公開されているサンプルコンフィグを適用し かつ手動でddns updateを行なっても更新され無いのです。 勿論、グローバルなIPv6は正しく受け取れていてかつ通信 出来ています。これはOCNの判別機能を利用しました。 >>685 ddns enable 忘れてるとか? 設定書き込もうとしたら、NGワードがどうとかで書き込みエラー・・・ 全角にすれば書けるかな・・・? ddns profile OPEN-IPv6 url http://ddnsapi-v6.open.ad.jp/api/renew/ query {DDNS HOST KEY} transport ipv6 notify-interface GigaEthernet0.0 source-interface GigaEthernet0.0 update-interval 12 ところで・・・ 他のDDNSなら問題なく使えるの? iPadの設定で、接続先をfqdnではなくIPv6アドレスで指定すれば接続できるの? あれ、iPadってことは L2TP かな? >>686-689 レスありがとうございます。 デバッグの使い方がようやく判ってログを見たのですが以下のようなメッセージが出てました。 > Source address not found on GigaEthernet0.2, profile UPDATE_DDNS もしやと思ってshow ipv6 addressを良く見ると、GigaEthernet0.2にはグローバルなIPv6アドレスが割り当てられている、というよりも、プレフィックス56ビット以下が0の状態でした。 dhcpv6クライアントでIPv6を受けた結果、プレフィックス以下が生成されてなかったとは理解が足りてませんでした。 一方、GigaEthernet1:1.0にはプレフィックス以下が0ではないIPv6アドレスが振られていました。 仕方なくGigaEthernet1:1.0をsource-interfaceにすると確かにDDNSの登録できましたが、釈然としません。 LAN側のdhcpv6サーバにするインターフェースはGigaEthernet0.2又はGigaEthernet1:1.0のどちらでも動くのですが、いずれにせよGigaEthernet0.2にはプレフィックス以下が0のアドレスにしかなりません。 一つ問題点は分かったとして、少々話はそれますが、GigaEthernet0.2にはインターフェース識別子まで設定すべきではない、或いはDDNS更新通知用インターフェースに使うなという考えで良いのでしょうか? セキュリティ的にはインターフェース識別子を時々変えるようにしろ、という理屈もあるようですが・・・。 巷の2015用サンプルコンフィグだとFastEthernet0/0を更新用インターフェースに指定したりしているので、GigaEthernetでもできると踏んだのですが、上手く行かないものですね。 追伸です。 どうやら使いたかったSIMから現状でIPv6アクセスは出来ないようです。 今年の夏からはキャリア3社でIPv6化が開始されるとのことで期待していたのですが。 標準で対応しているIIJとかに変える必要がありそうです。 どうもお騒がせしました。 自宅からファームウェアダウンロードの申請をしようとしたら、メールがNEC側でOBP25と思しき理由で弾かれて参った。 メーラーの設定はOCN推奨のOBP25対策がされたSSL版の通りなのに。 OCNのweb版メーラーを使ってようやく届いたわ。なにこれ。 >>695 「OBP25と思しき理由で弾かれて」が本当だとしたらOCN側の設定ミス。 と言うか申請って代理店宛じゃなくてNECに直接送ることになったの? メールソフトでダメでWebメールでOKってことは、普通にメールソフトがおかしいと思うけどな >>696 正式には今でも代理店経由でしょ。ただしこのスレでたぶんNECの人が「NECに直接メールすればいいよ」って 言ってた。直接メールは正式ではないから、NECの受け取った人次第だと思う。 中古で買っちゃうとファームアップすることはできないんでしょうか? 新品買わなきゃいけないということですね・・・。 ちなみに、IX2215買って登録したらIX2215のファームのみダウンロード可能なのでしょうか? IX2105のファーム等もダウンロードできるのでしょうか? >>701 まさに俺。 新品で2215買って、2105や3110等々、計5台お世話になってるわ 2215買わないといけないか・・・。 古いのに未だ高いからちょっとしゃくだけど。 2台目からは中古でいいと考えればなんとかありか。 俺は5年前に2215買ったけど、君は何を買ってもいいんだぜ >>707 Thanks! なんだか、Webコンソールがすごいことになってるよ。 IX2105だけじゃなくて、IX2215やIX3110でさえもモリモリ設定できるようになってる。 時代の流れなのか・・・ IPv6情報も表示されるようになったのは便利だな。 Univergeにはまったく関係ないが、5chはなんで中途半端にIPv6対応なんだよ・・・ 「ERROR: Sorry IPv6にはまだ対応していません。 IPv4に切り替えてください。」 って邪魔すぎる・・・ あれ、Webコンソールで詳細設定できるようになったのは 今回からじゃなかった気がしてきた・・・ 使わないので失念してただけかも。失礼しました m(__)m >>709 多分今回から増えたんじゃないかな 表示項目もだいぶ増えているね IKEv2でもVPNの項目に表示されるようになったのが地味に嬉しい 確かにCLIから設定したVPNも情報がそれっぽく表示されてる。 あと、Webコンソール自体の表示も軽くなった気がする。 かつて、RTT20msくらいの先にあるIXのWebコンソールを開くと、だいぶぎこちない動きをしていた。 >>701 アドレスが分かれば、全機種落とせるよ。 2025 は9.6.12 無かった。 特定の機種だけか。 >>713 2025はディスコンだから 現行機種は全て対象だよ >>710 やっぱりそうだったかw そうそう、設定はしないと思うけど、情報量が増えたのがいいよね! 5chのIPv6書き込みエラーが鬱陶しすぎるのででコマンド投入w ipv6 access-list 5ch deny ip src any dest-domain 5ch.net interface GigaEthernet0.0 ipv6 filter 5ch 3 out exit ver.9.6.12/ver.9.5.13は、一部機能で不具合が見つかったことにより一時的に掲載を中止しております。 IXシリーズをお使いの皆様には大変ご迷惑をお掛けしますが、何卒ご了承願います。 だと。 入れちまった奴はバージョン戻せ。 取り下げたのはIX3000系だけっぽい?IX2000系しか持ってないからそのままでいいか。 Webにキチンと書いてくれないと、3000系だけ問題なのか、2000系に公開してるのが間違いなのか、利用者は分からないじゃんな。 うちのIX3110 9.6.12は元気に稼働中・・・ セキュリティ関連じゃなく不具合って書いてあるし放置でいいかw NEC Portable Internetwork Core Operating System Software IX Series IX3100 (magellan-sec) Software, Version 9.6.12, RELEASE SOFTWARE Compiled Sep 11-Mon-2017 18:11:13 JST #2 by sw-build, coregen-9.6(12) ファームを更新する時、コンフィグは入れ直したほうがいいの? それとも何もしなくても良い? >>727 IX2000系は今見ても残ってるよ。様子見だけど、とりあえず大丈夫なんじゃない? >>728 今見たらIX2105だけ復活してるな IX2207/IX2215は消されたままだ >>729 なんかおかしいなと思って、Ctrl+F5で何回かリロードしてみたら、表示されたり消えたりしてる。 AkamaiのCDNのキャッシュかなこれ。 IX2105も新ファーム消えた? F5しても出てこなくなった IX2105だけ9.6.12が残ってるな。 そろそろ何か情報くれ!痒くて仕方ないw 不具合は多分最近追加された新機能関連だろ そこらへん使ってないならそんなに気にしなくていいと思われ ちょうどIX2105だけBridge使ってなかったわ。 しかし、IX2105ユーザーはリリースノート見ても仕様変更等がわからなくなったw ウチはIPv6用にブリッジしてたけど、全てIX2207にリプレース済みだったから影響なかった 9.6.12Aの挙動変じゃないか? DS-Lite用のトンネルがパケロスするんで、元のバージョンに戻した IX2105 を 1 台使って、フレッツ光ネクストのプロバイダ 1 契約 (動的グローバル IP 1 つ) で、LAN 側は複数 (とりあえず2つ) の独立したネットワークセグメントを VLAN で切って、それぞれからインターネットに抜けさせるって可能? 何がしたいのかと言うと、事務所ネットワークとゲスト用ネットワークで VLAN を分けて、お互いのネットワークセグメント同士は接続出来ないように区切るけど、インターネットの出口は可能ならばひとつにしたい。 >>738 フィルタリングでVLAN間の通信をブロックすれば良いのでは? >>738 できるに決まってるだろ なめてんのか ヤマハでも使ってろ >>738 出来るよ。NAPTで両方のセグメントを指定すればいい。 VLAN間はそのままだと通ってしまうから、>>739 の言うようにフィルタリングする必要がある。 いつのまにか2106が出てる。パフォーマンスが倍近い。 2105買うの早かったかな。 マジだ。2106はCPUクロックが2215と同じになって、転送速度も2215とほぼ同じになってる。 WANが1個でよければ、これでいいな。 どう見てもCPUメモリ変えただけ 前のCPUが手に入らなくなったんだろ cpuよかddr2メモリが入手出来なくなってんじゃね? NAPTの最大セッション数がインフレしてて草。 クラウド化が進めばこうならざるを得ないと思ってたけど、まだまだ甘いな。 メモリは2〜4GBくらい積まないと。 頑張ってくれないとsrx300買っちゃうから。 SRX300:1 Gbps のファイアウォールと 300 Mbps の IPsec VPN ゴミじゃないっすかwww 年間ライセンス9万ぐらいだけど買ってね ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる