YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
やりたいのは 公開サーバーの外向け通信は pp1 クライアントのインターネット利用(公開サーバーの外側アドレスを含む)は pp2 それ以外は通常のルーティングに委ねる、という風で ip filter 1000 reject * 192.168.0.0/16 * * * ip filter 1001 pass 192.168.0.0/24 * * * * # サーバーがいるセグメント ip filter 1002 pass * * * * * ip forward filter 100 1 gateway pp 1 filter 1000 1001 ip forward filter 100 2 gateway pp 2 filter 1000 1002 ip lan1 forward filter 100 でいいのかな?、と >>707 始点だけ書いて残り全て * で pass すると ローカルなセグメント(VPN先を含む)も、そっちに飛んでしまいますよね? インターネットのみを pp2 に飛ばしたいため、ローカル(VPN先を含む)を reject したうえで 全pass したらインターネットのみ、が実現できるのではないかと思った次第です。 それとも、もっといい方法があるのかなぁ >>704 2003年だし主流じゃんよぉ 結局エンドポイントの時代に戻ってるよね >>712 過去形だけど使ってた、別のSNMP管理始めたので不要になったけど まぁまぁ使えるけど 1台・2台の為に使う機能じゃないね L3スイッチ発売日いつだろう? 出たら即ポチる予定 なんでよりによってヤマハのL3なの。 罰ゲームにでも負けた? ルータはオススメできるが無線とスイッチはダメだろ。 >>715 既にL3の動作検証されたんですか? 羨ましいです。 もし宜しければ無線とスイッチでお勧めを教えて下さい! >>717 横からだけど、L2とAPが糞なのは確かだよ HPEやアライドよりも高く機能が少ないL2SW ArubaやRuckusに遠く及ばず、はっきりとバッファロー以下のAP L3SWなんか怖くて買えないよ どなたかアドバイスをください。 RTX1200のL2TP/IPsecに、外部のAndroidスマホからは正常に接続できていろいろなサイトを閲覧できていますが、Win10から接続するとYahooやYoutubeなどのURLがhttpsで始まるサイトを表示できずにタイムアウトします。 どこに原因があるのでしょうか? >>720 なんでテンプレのときに「ip tunnel tcp mss limit auto」入らないんだろうな https://jehupc.exblog.jp/21558500/ >>722 ビンゴ!ありがとう!! pp select anonymous に ppp lcp mru on 1454 ip pp mtu 1454 を入れたら正常にhttpsサイトを表示できるようになりました ずっと1258にしててうまく表示できなかったから、フィルタの設定が悪いのかと思ってた いろんなブログを検索したけどCATVでのL2TP/IPsec設定例がほとんど無くて、2週間も悩んでいました >>724 tunnelのほうには入れてました ip tunnel tcp mss limit auto モバイル回線で、RTXにIPsec接続してみたんだけど、 劇遅だった。 Windowsのリモートデスクトップ開いてみたら、通信状態が悪い状態と判定された。 50Kbps程度しか落ちてこない。 そのくせ、YouTubeとかなら、数百キロbpsとなる。 格安SIMはIPsec通信制御されているんだろうか。 docomo MVNOの二社で試したがダメ。 リモートデスクトップ開いてノマドしたかったのに。使い物にならない。 いらいらして白髪生えそう。 MTUは、リモートデスクトップサーバー側Windowsで、1400に調整したら、 ほんの少し速くなった。 何か、設定ポイントあるでしょうか。 >>730 ノマドとかどこまでネタなんだよ? つまらないから書き直せ どうせRTX1100とかだろう。 830買ってからやり直し。 艦これやってるとパケットどんどん消費してるのがわかるわカクカクだわ最悪だった ipsecとかその前にsplashtopで十分やろ? 質問です NVR510はMAP-E方式には対応していないのでしょうか? DS-LITEのみですか? スレの棲み分けという意味ではそうなんだけど、NVR510は家庭用ってわけではないよ。 時期的にもうリプレースしてしまったかもしれないけど、ヤマト運輸の全営業所に入っていたはず。 メインはフレッツだったか広域イーサだかで、バックアップにISDNかアナログ回線という構成。 NVR500もファーム上げたらIPSec使えるようになったよね PPTPブーム去ったから あいぽんがPPTP使えないとかじゃないか あと一時期SPモードとかの携帯でPPTP使えない事があったような記憶がある PPTPはクライアント側もグローバルIP貰ってないと(NAT配下だと)だめだからもうほとんどのモバイルキャリアで使えないよ。 >>745 PPTPをNAPT下で使うための要件はグローバルIPでなく、GREが通るかどうか。 ttps://www.slideshare.net/mobile/RintaroSekino/pptp-50437307 アップルが採用辞めたから渋々実装した感あるけどね RTX1000のAESみたいにNVR500で使うと負荷滅茶苦茶あがるのかな? ngn ipv6折り返しのpingの時間って、皆さんはどれくらいですか? 自分は西日本で、同一県内(兵庫県)の拠点RTX1200間で、 この時間は、25msecを超えてきます。 速いときは、5msec程度なんですが。 混雑しているのだろうか。 半年ほどまえは、時間問わず、速かったのになあ。 >>750 都内だけど5-7msくらいかなー。25msは都内から北海道とかのイメージ >>751 ありがとう いくらなんでも時間かかり過ぎですよね。 いま、また測定したら、 4〜8msecの間に収まっていた。 気になる事象だが、一時的な遅延だったのかもしれない。 いま埼玉−茨城のpingやってみた(2409:12:*→2409:11:*) パケット数: 送信 = 100、受信 = 100、損失 = 0 (0% の損失)、 ラウンド トリップの概算時間 (ミリ秒): 最小 = 6ms、最大 = 10ms、平均 = 6ms 網内だといつもこのぐらいだな 自分は東京、相手はおそらく都内だろうけどどこか知らんとあるサーバにpingして3msくらい。 --- ***.i.open.ad.jp ping statistics --- 100 packets transmitted, 100 packets received, 0% packet loss round-trip min/avg/max = 2.473/2.901/3.500 ms >>755 自分 2409:10:* 相手 2408:210:* 2408:210:* ってどこだろう? > 1311,2408:0210:0000:0000:0000:0000:0000:0000/30 NTT東日本の「網内折り返し基盤」とやらだな ISPのIPoEなしでフレッツ・v6オプション申し込んだ人かな >>751 >25msは都内から北海道とかのイメージ 東日本は、NGN一本で北海道までつながっているのかな? インターネット網使っても25msあれば余裕で北海道-東京繋がるよ NGNの網の容量ってどの程度なんだろうか。どの辺りまで想定して構築されているんだろうな。 パケットが増えてきたとしても増強も簡単にできるようになっているのかな。 >>763 ある程度は余裕あるように設計されてる。 もしも想定を超えて通信量増えてもQoSでベストエフォートのユーザーの帯域絞るから速度保証のユーザーは大丈夫だ。 ひかり電話だけは最優先で通すから大丈夫。 Bフレッツでやらかした関係で >>764 >速度保証のユーザーは大丈夫だ うーん嬉しくない。 PPPoEの現状みたいに、今度は皆がIPv6を使い始めたら、 また混雑することが嫌なんだ。 まあ、ひかり回線はNGNだけじゃないし、 IPv4にしてもインターネット側はすいすいしているから、 IPv6ユーザーが増えたとしても大丈夫かな。 PPPoEよりも、IPv6oE/NGNのほうが容量はでかいだろう。 ていうか IPv6oE/NGNがどんずまりしてればPPPoEも同じだろう >>763 openstackでスケールアウトできる IPv4かv6か、IPoEかPPPoEか、は別次元の話だし ましてやプロトコル変えるだけで 網内トラヒックが増えたり減ったりなんてことはない フレッツ網の話だろう 別次元というよりも混む混まないの要因ではあるし フレッツ網自体が混んでいれば関係ない話 網内の話であってPOIから先の話はしてない 網のキャパは十二分に作ってるが万が一にも増強が追いつかなくなるなら よそとのやり取り絞ってその分だけ網内は空きを作るだけ インフラの責務として電話だけは維持しないといけないから 優先度つけて空きを作るだけで網内が混むことはありえない >>773 バカなの?QoSって知ってる?VoIPの帯域どのくらいか知ってる? >>775 ISDNのときに、64kbpsで同時に2チャンネルも使えた。 32kbpsくらいかな? 米、国内通信会社での中国製機器調達禁止へ「安全保障上の懸念」 政府や議会は、中国政府のスパイ活動に協力しているとして、華為と中興通訊(ZTE)を問題視 https://www.zakzak.co.jp/soc/news/180419/soc1804190012-n1.html ソフトバンク、5Gの実証実験でZTEと提携--東京都心の環境で https://japan.cnet.com/article/35102689/ ソフトバンクのネットサーバーは韓国にありソフトバンクでアクセスされるデータは全て韓国に筒抜け http://blog.livedoor.jp/sofutob/archives/57011669.html 自衛官や海保隊員が命がけで作戦実行しても敵に筒抜けでは命を落とすことになります 中国の機器やサーバーを使用禁止にしろと政治家に苦情しましょう Linuxだったら、iptables -L -v でIPフィルタごとの統計情報が表示できるけど、 RTXって、そういうコマンドあったっけ? tunnelインターフェイスに注釈つけられないのかな。 WEBのトップ画面で一覧表示される時に、注釈があったらわかりやすいんだけどなあ。 IPアドレスと、トンネル番号だけではさっぱり。 スタティックルートにも注釈付けたい。 あとフィルタにも >>781 こんなものがあったのか・・・!!ナイス情報ありがとう。 >>784 Cisco 使っててヤマハにも欲しくなったんだよ…… >>781 おれがほんとのおれ ありがとうやってみるわ WEBインターフェイスのトップ画面のトンネル一覧にも表示されたらいいのにな♪ Cisco使いがヤマハルータいじると descriptor lan3 __SHUTDOWN__ lan shutdown lan3 とか入ってるよな あぁ、確かに lan2 no shut とか書いてあるな tunnel name で名前を設定したけど、 ブラウザで表示するトップ画面 index.htmlのトンネル一覧には名前が表示されなかった。 山葉さん、対応してくれると大変嬉しいです。 せっかくの一覧表示なのだから、name列も追加してください! nameじゃなくてdescription使うと表示されるよ tunnel select 1 description tunnel "to お前んち" ipsec tunnel 1 : https://i.imgur.com/wO0c12A.jpg >>793 教えていただき、ありがとうございます。 教えてもらった方法で、接続一覧に説明が表示できました! (うちは、RTX1200なんで半角14文字までしか表示できなかったです。) RTX1210のGUI画面はかっこういいですね。 >>793 画像の上部に、クラウド接続ってのがある。 RTX1210って、LibreSWANとかにつながるようになっているの? あと、接続状態欄(ノードが二つ通信しているアイコンがあるだけ)が無駄に長いように見えるが。 RTX1200(※)で、IPsecトンネルを使っています。 それぞれ別拠点に繋がっているIPsecトンネルが複数本あります。 [Router A]---IPsec---⇒【RTX1200※】←---IPsec---[Router B]---(FileServer) 一つのトンネルではRouter Aに対して、pingを毎秒うちつづけます。このときは、pingは5msecかかっています。 これを確認した後、並行して別のトンネル先のファイルサーバーからファイルをダウンロードします。(Router B を経由します。) プロトコルはWindowsファイル共有(SAMBA)で640KB/sec程度出ています。 すると、さきほどのpingの値が平均で30msec程度を叩き出すようになります。 平均なので50msecを越えてくることもあります。 ファイル転送が終わると5msec程度に戻ります。 これって、RTX1200の性能不足なんでしょうか。 でも、show environmentで見てみると、CPUは跳ね上がっていません。 RTX1210にリプレースしたらマシになるかなあ。 ところで、調べてみたら、RTXのIPsecトンネルのMTUってデフォルトでとても小さいんですね。1280らしい。 RTX1200に送信前に[Router B]でパケットが分割されているのかもしれない。 「RTX1200のIPsec MTU < [Router B] のIPsecのMTU」ということがわかっているので、 やはりパケットの分割が生じているんでしょうか。 その影響で、>>797 のようにファイル転送時に、別拠点宛のpingの値にも影響を受けるのかなあ? 別環境でもファイル転送実験をしました。 PC-[RTX1200]---IPsec(NGN 5msec)---[RTX1200]-NAS 両拠点のRTX1200のIPsecトンネル設定では、mss limit auto を設定しています。 MTUはデフォルトのままです。 上記の環境で、NASからPCにWindowsファイル共有でファイル転送をしたところ、 >>797 と同様に、640KB/sec程度しか速度を得られませんでした。 この結果にはびっくりしました。 pingの値は5msecで、mss limit auto も設定しているのに、どうしてこんなにレートが悪いでしょうか。 一方、>>797 の半分のところ、 PC-【RTX1200※】←---IPsec---[Router B]---(FileServer) 上記FileServerからPCにWindowsファイル共有(SMB)で転送したところ、 2MB/sec程度のレートを得られました。 それなので、>>799 に示したように、NGNを経由してRTX1200間のIPsecでレートが落ちているのではないか、と思います。 <質問をまとめました> どうして、>>799 のような結果になってしまうんだろう。 それから、>>797 のように ファイル転送中に別拠点へのpingの値が一時的に悪くなってしまうんだろう。 お考えがあれば、よろしくおねがいします。 NGN網で絞られてるかパケロスしまくってるんじゃないの? pingはどこからどこへ?RTX1200からルーターA? 今、会社のネットワークが使用されはじめて、 >>797 の【RTX1200※】のCPU使用率を調べました。 CPU: 41%(5sec) 34%(1min) 29%(5min) メモリ: 36% used パケットバッファ: 0%(small) 0%(middle) 5%(large) 0%(huge) used 一瞬、CPU(5sec)の値が68%にも達しました。 30分ほどで、このRTX1200を通過した下りデータは、500MB程度。 RTX1200ではスペックが足りていないでしょうか。 転送が多くなると、pingの値が10msecから、ピンポイントで、250msecにまで跳ね上がりました。 RTX1210のリプレースで解決するなら対応したいんですがどう思いますか? >>801 レスありがとうございます。 おっしゃるとおり、pingは、RTX1200※ からRouter A(別のRTX1200)です。NGN経由です。 30分程度pingを打っていましたが、パケロスはゼロでした。 [Router A]---IPsec(NGN)---⇒【RTX1200※】←---IPsec(INTERNET)---[Router B]---(FileServer) しかし、FileServer側からRTX1200※にデータが下ってくるに伴って、そのpingの値が急上昇します。 >>800 その結果が意味するところは UPとDLで転送スピードが違うって事? pingを送るにしてもNGN経由ならトンネル外のv6アドレスにpingを送ってみては? >>804 <1> PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】---IPsec(INTERNET)---[Router B]---(FileServer) 中央の【RTX1200※】を中継点として、 右側のインターネットVPNでつながるFileServerから、左側のPC(A)に、Windows共有でファイル転送したんですよ。 そうしたら、640KB/sec程度しか転送レートを得られなかったのです。 その遅い原因を探るために、下記のように中央の【RTX1200※】に直接繋るPCまでファイル転送を行ったんです。 PC-【RTX1200※】---IPsec---[Router B]---(FileServer) そうしたら、2MB/secも転送レートを得られたんです。 だから、レートが落ちるのは、中継点よりも左側のIPsec(NGN)で接続されているところかなと考えました。<2>へつづく。 <2> そこで、下記のようにして、IPSec(NGN)で結ばれるネットワーク間でファイル転送テストをしました。 PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】-(NAS) 左にあるNASから、PC(A)への転送です。そうしたら、640KB/secしか得られず、 ここがボトルネックになっているとわかりました。 しかし、このIPsec(NGN)は、パケロスもゼロで、pingも5msec程度のとても良い通信環境なんです。 気になるとしたら、RTXのトンネルのデフォルトMTUが1280という低い値になっていることでした。 このトンネルには、mss limit autoを両拠点で設定済みです。 どうして、ここがボトルネックになっているのかわからない。。。 すみません。 >>805 の問題と、>>802 の問題は、別々の問題のようです。 >>805 はボトルネックになっている理由。 >>802 はデータ転送時に、pingの値が急上昇してしまう理由。(RTX1200の性能の限界?) ファストパス適用されてるかをチェックすると良いかも。 Show ip flow だっけ… ■ このスレッドは過去ログ倉庫に格納されています
read.cgi ver 07.5.5 2024/06/08 Walang Kapalit ★ | Donguri System Team 5ちゃんねる