YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
■ このスレッドは過去ログ倉庫に格納されています
ひかり電話だけは最優先で通すから大丈夫。
Bフレッツでやらかした関係で >>764
>速度保証のユーザーは大丈夫だ
うーん嬉しくない。
PPPoEの現状みたいに、今度は皆がIPv6を使い始めたら、
また混雑することが嫌なんだ。
まあ、ひかり回線はNGNだけじゃないし、
IPv4にしてもインターネット側はすいすいしているから、
IPv6ユーザーが増えたとしても大丈夫かな。
PPPoEよりも、IPv6oE/NGNのほうが容量はでかいだろう。 ていうか
IPv6oE/NGNがどんずまりしてればPPPoEも同じだろう >>763
openstackでスケールアウトできる IPv4かv6か、IPoEかPPPoEか、は別次元の話だし
ましてやプロトコル変えるだけで
網内トラヒックが増えたり減ったりなんてことはない フレッツ網の話だろう
別次元というよりも混む混まないの要因ではあるし
フレッツ網自体が混んでいれば関係ない話 網内の話であってPOIから先の話はしてない
網のキャパは十二分に作ってるが万が一にも増強が追いつかなくなるなら
よそとのやり取り絞ってその分だけ網内は空きを作るだけ
インフラの責務として電話だけは維持しないといけないから
優先度つけて空きを作るだけで網内が混むことはありえない >>773
バカなの?QoSって知ってる?VoIPの帯域どのくらいか知ってる? >>775
ISDNのときに、64kbpsで同時に2チャンネルも使えた。
32kbpsくらいかな? 米、国内通信会社での中国製機器調達禁止へ「安全保障上の懸念」
政府や議会は、中国政府のスパイ活動に協力しているとして、華為と中興通訊(ZTE)を問題視
https://www.zakzak.co.jp/soc/news/180419/soc1804190012-n1.html
ソフトバンク、5Gの実証実験でZTEと提携--東京都心の環境で
https://japan.cnet.com/article/35102689/
ソフトバンクのネットサーバーは韓国にありソフトバンクでアクセスされるデータは全て韓国に筒抜け
http://blog.livedoor.jp/sofutob/archives/57011669.html
自衛官や海保隊員が命がけで作戦実行しても敵に筒抜けでは命を落とすことになります
中国の機器やサーバーを使用禁止にしろと政治家に苦情しましょう Linuxだったら、iptables -L -v でIPフィルタごとの統計情報が表示できるけど、
RTXって、そういうコマンドあったっけ? tunnelインターフェイスに注釈つけられないのかな。
WEBのトップ画面で一覧表示される時に、注釈があったらわかりやすいんだけどなあ。
IPアドレスと、トンネル番号だけではさっぱり。 スタティックルートにも注釈付けたい。
あとフィルタにも >>781
こんなものがあったのか・・・!!ナイス情報ありがとう。 >>784
Cisco 使っててヤマハにも欲しくなったんだよ…… >>781
おれがほんとのおれ
ありがとうやってみるわ
WEBインターフェイスのトップ画面のトンネル一覧にも表示されたらいいのにな♪ Cisco使いがヤマハルータいじると
descriptor lan3 __SHUTDOWN__
lan shutdown lan3
とか入ってるよな あぁ、確かに
lan2 no shut とか書いてあるな tunnel name で名前を設定したけど、
ブラウザで表示するトップ画面 index.htmlのトンネル一覧には名前が表示されなかった。
山葉さん、対応してくれると大変嬉しいです。
せっかくの一覧表示なのだから、name列も追加してください! nameじゃなくてdescription使うと表示されるよ
tunnel select 1
description tunnel "to お前んち"
ipsec tunnel 1
:
https://i.imgur.com/wO0c12A.jpg >>793
教えていただき、ありがとうございます。
教えてもらった方法で、接続一覧に説明が表示できました!
(うちは、RTX1200なんで半角14文字までしか表示できなかったです。)
RTX1210のGUI画面はかっこういいですね。 >>793
画像の上部に、クラウド接続ってのがある。
RTX1210って、LibreSWANとかにつながるようになっているの?
あと、接続状態欄(ノードが二つ通信しているアイコンがあるだけ)が無駄に長いように見えるが。 RTX1200(※)で、IPsecトンネルを使っています。
それぞれ別拠点に繋がっているIPsecトンネルが複数本あります。
[Router A]---IPsec---⇒【RTX1200※】←---IPsec---[Router B]---(FileServer)
一つのトンネルではRouter Aに対して、pingを毎秒うちつづけます。このときは、pingは5msecかかっています。
これを確認した後、並行して別のトンネル先のファイルサーバーからファイルをダウンロードします。(Router B を経由します。)
プロトコルはWindowsファイル共有(SAMBA)で640KB/sec程度出ています。
すると、さきほどのpingの値が平均で30msec程度を叩き出すようになります。
平均なので50msecを越えてくることもあります。
ファイル転送が終わると5msec程度に戻ります。
これって、RTX1200の性能不足なんでしょうか。
でも、show environmentで見てみると、CPUは跳ね上がっていません。
RTX1210にリプレースしたらマシになるかなあ。 ところで、調べてみたら、RTXのIPsecトンネルのMTUってデフォルトでとても小さいんですね。1280らしい。
RTX1200に送信前に[Router B]でパケットが分割されているのかもしれない。
「RTX1200のIPsec MTU < [Router B] のIPsecのMTU」ということがわかっているので、
やはりパケットの分割が生じているんでしょうか。
その影響で、>>797のようにファイル転送時に、別拠点宛のpingの値にも影響を受けるのかなあ? 別環境でもファイル転送実験をしました。
PC-[RTX1200]---IPsec(NGN 5msec)---[RTX1200]-NAS
両拠点のRTX1200のIPsecトンネル設定では、mss limit auto を設定しています。
MTUはデフォルトのままです。
上記の環境で、NASからPCにWindowsファイル共有でファイル転送をしたところ、
>>797と同様に、640KB/sec程度しか速度を得られませんでした。
この結果にはびっくりしました。
pingの値は5msecで、mss limit auto も設定しているのに、どうしてこんなにレートが悪いでしょうか。 一方、>>797の半分のところ、
PC-【RTX1200※】←---IPsec---[Router B]---(FileServer)
上記FileServerからPCにWindowsファイル共有(SMB)で転送したところ、
2MB/sec程度のレートを得られました。
それなので、>>799 に示したように、NGNを経由してRTX1200間のIPsecでレートが落ちているのではないか、と思います。
<質問をまとめました>
どうして、>>799 のような結果になってしまうんだろう。
それから、>>797 のように ファイル転送中に別拠点へのpingの値が一時的に悪くなってしまうんだろう。
お考えがあれば、よろしくおねがいします。 NGN網で絞られてるかパケロスしまくってるんじゃないの?
pingはどこからどこへ?RTX1200からルーターA? 今、会社のネットワークが使用されはじめて、
>>797の【RTX1200※】のCPU使用率を調べました。
CPU: 41%(5sec) 34%(1min) 29%(5min) メモリ: 36% used
パケットバッファ: 0%(small) 0%(middle) 5%(large) 0%(huge) used
一瞬、CPU(5sec)の値が68%にも達しました。
30分ほどで、このRTX1200を通過した下りデータは、500MB程度。
RTX1200ではスペックが足りていないでしょうか。
転送が多くなると、pingの値が10msecから、ピンポイントで、250msecにまで跳ね上がりました。
RTX1210のリプレースで解決するなら対応したいんですがどう思いますか? >>801 レスありがとうございます。
おっしゃるとおり、pingは、RTX1200※ からRouter A(別のRTX1200)です。NGN経由です。
30分程度pingを打っていましたが、パケロスはゼロでした。
[Router A]---IPsec(NGN)---⇒【RTX1200※】←---IPsec(INTERNET)---[Router B]---(FileServer)
しかし、FileServer側からRTX1200※にデータが下ってくるに伴って、そのpingの値が急上昇します。 >>800
その結果が意味するところは
UPとDLで転送スピードが違うって事?
pingを送るにしてもNGN経由ならトンネル外のv6アドレスにpingを送ってみては? >>804
<1>
PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】---IPsec(INTERNET)---[Router B]---(FileServer)
中央の【RTX1200※】を中継点として、
右側のインターネットVPNでつながるFileServerから、左側のPC(A)に、Windows共有でファイル転送したんですよ。
そうしたら、640KB/sec程度しか転送レートを得られなかったのです。
その遅い原因を探るために、下記のように中央の【RTX1200※】に直接繋るPCまでファイル転送を行ったんです。
PC-【RTX1200※】---IPsec---[Router B]---(FileServer)
そうしたら、2MB/secも転送レートを得られたんです。
だから、レートが落ちるのは、中継点よりも左側のIPsec(NGN)で接続されているところかなと考えました。<2>へつづく。
<2>
そこで、下記のようにして、IPSec(NGN)で結ばれるネットワーク間でファイル転送テストをしました。
PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】-(NAS)
左にあるNASから、PC(A)への転送です。そうしたら、640KB/secしか得られず、
ここがボトルネックになっているとわかりました。
しかし、このIPsec(NGN)は、パケロスもゼロで、pingも5msec程度のとても良い通信環境なんです。
気になるとしたら、RTXのトンネルのデフォルトMTUが1280という低い値になっていることでした。
このトンネルには、mss limit autoを両拠点で設定済みです。
どうして、ここがボトルネックになっているのかわからない。。。 すみません。
>>805の問題と、>>802の問題は、別々の問題のようです。
>>805はボトルネックになっている理由。
>>802はデータ転送時に、pingの値が急上昇してしまう理由。(RTX1200の性能の限界?) ファストパス適用されてるかをチェックすると良いかも。
Show ip flow だっけ… 環境がわからんけどもひかり電話使っててHGW噛んでると網内折り返しipsecは遅い。
特にHGW型番が古い奴。
この場合はipipでやらないと。 >>807 ありがとうございます。
以下のページの記載によると、フラグメントする必要があるパケット、フラグメントされているパケットは、ノーマルパスになるそうです。
(ただし、IPsecトンネルで暗号化して転送する時にフラグメントが必要な時は、ファストパスでフラグメントまで処理)
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
MTUの大きさが、経由する二本のトンネルで異なっているのでこれがノーマルパスにさせているのかもしれない。
業務が終了したら、値を揃えてみたいと思います。 >>808
それは初耳です。
PR-S300NE ファームウェアバージョン 22.02 を、
一方の拠点ではつかっています。
この機種は古いと思います。ひかり電話も使っています。
このHGWをつかっていないさらに別の拠点でもテストしたいと思います。 >>812
S300NEはIPv6トンネルのルーティングで6Mbpsくらいしか出ないよ。
オレはRS-500MIに交換してもらったらそれだけで60Mbps出た。
それでも遅いからNVR700W直結にしたら300Mbpsオーバーになった。 >>813
情報ありがとう。えっ、そんなに違うんですか。
これは交換の必要がありますね。
面倒なのは、IPv6のプレフィックスが変わっちゃうことだけど、
やったほうがいいなあ。 >>813
故障でなくても交換してもらえますか。
電話ごしに断られそうで心配。
>>813さんは、どうお願いしましたか?
費用はかかりましたか? 11ac無線LANカードを頼むとHGWが500シリーズに変更になる。
すぐに無線LANカードを解約する。 >>816
なるほど。
教えていただきありがとうございます。
ところで、v6プラスが、s300は非対応だったときがあったので、
その間に交換を済ませていればよかったなあ。 ルーター自身の送受信パケットはノーマルパスだからpingはノーマルパスだね
ノーマルパスのパケットはファストパスのパケットより処理が後回しになると思う >>808,812
このスレで教えて貰ったなぁ
いまはHGW外してONUから直で取ってる。ひかり電話はONUハブ分けしてNVR500を専用で使う贅沢設計
にしたら早くなったよー >>818
レスありがとうございます。
それは、気付かなったです。
しかし、pingは、忙しそうなRTX1200を挟んで接続しているPCを端点(⇒RTX1200※⇒File Server)とした場合でも大きく揺らぐんです。
それは、ファストパスなのかなと思います。
PC-【RTX1200※】---[Router]---(File Server) ひかり電話ルータのSIPサーバ機能は何気に便利だからNVRにも搭載してもらいたい。
それさえあれば完全上位互換になる。 >>822
SIPサーバなしで、ONUから直収すれば? ようは子機としてスマホとか登録したいって意味では? RTX1210にアナログポートとか増設できるスロットつけてくれればいいのに >>826
そんなアナログものつけたら、落雷時にサージがRTXを通過して、壊れやすくなる。 アナログポートつけたらサージで壊れやすくなるとかあるんか?
電源ケーブルからのってくるなら他のところも壊れるだろう PSTNに繋ぐアナログというならわかるけど、電話子機を繋ぐポートの話だからあんま関係ない luaスクリプトに _asm();とかできてすごいことに http://blog.sidetech.jp/2015/03/rtx1210-4cf7.html
RTX1210環境下でのSoftEtherが繋がらないという問題を解決しました。
通信しているはずのログが上がっているのに、なんで戻りがないのかなという問題でした
「ポートセービングIPマスカレード」では「クライアントAもBも60000ポートを使用返しが使える」ということですね。
従来のNATモードにもどした所
SoftEtherの接続が正常化しました。
なので、このNAT動作モードに絡むアプリが他にもあるかもしれません。
これって、どうしてSoftEtherで不具合が生じるんだろう。
SoftEtherだって相手先ホストがあって、宛先IPごとにポートが割り当てられることに何の問題があるのかさっぱりわからない。 buffaloの法人向けスイッチでTCP/UDP L4ポート設定をONにしたらNTPが通らなくなったことがあるけど、これの可能性は?
src port=dst portだとフィルタリングされる。 >>838
そういやRTX1210リリースのときにそんな機能あったなって思ったけど
1200のconfigそのまま流してるうちのマシンみたら、使われてないみたい。
明示して入力しないと有効になってないみたいね。
# show nat descriptor masquerade port 1000 summary
エラー: 現在のNAT動作タイプでは実行できません あ、勘違いしてた・・・
デフォルトで有効なのか。
ルータ起因を疑うような問題は感じたことないなぁ
# show nat descriptor masquerade session summary >>838
現行ファームなら動くと思う。
Rev.14.01.05から09までのバクと思われる。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/ >>842
なんだ、バグですか。レスありがとう。
その記事読んでから、なんやろうかとずっと考え込んでました。
今度から、1210を導入するので安心しました。
みなさんありがとう。 どなたか VPN 越しの NAT について教えてもらえないでしょうか。
- 拠点A (192.168.100.0/24)
- 拠点B (192.168.200.0/24)
が IPsec VPN (非L2TP) でつながっているとき、
拠点B において、拠点A の特定のIPを
同一セグメントに見せかけるような NAT は組めないものでしょうか。
例えば、
192.168.200.0/24 の端末から 192.168.200.50 にアクセスすることで、
192.168.100.50 にアクセスできるようにしたいのです。
拠点B 側の RTX において、tunnel インターフェースに対して、
以下のような reverse NAT を設定してみましたが、
アクセスできるようにはなりませんでした。
nat descriptor type 8000 nat
nat descriptor address outer 8000 192.168.100.50
nat descriptor address inner 8000 192.168.200.50
nat descriptor static 8000 1 192.168.100.50=192.168.200.50
tunnel select 1
ip tunnel nat descriptor reverse 8000
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/command.html
LAN インターフェースの場合、NAT ディスクリプターの外側アドレスに対しては、同一 LAN の ARP 要求に対して応答する。
の記載からすると、
ARP 応答するような NATed IP は VPN 越しに生成できないようにも読み取れますが、
どなたかよい案はありませんでしょうか。 >>845 組めません
どちらのセグメントでも無い第3のセグメントを用意するならできないこともないですが
すでにセグメント切ってある状況では無理でしょう >>846
回答ありがとうございます。
やはりそうでしたか。。。
ScreenOS 使ってた時はできたと記憶しているので、
RTX でもできると思って試行錯誤していたのですが・・・残念です。
みなさんが低予算でそういったことをするなら、
(組み込み) Linux とかを配置するんでしょうか? そもそもそういう構成にしたい意図は?
ip iflterと両拠点のNATをうまく組み合わせれば出来るんじゃないかと思うけど
やる手間と可用性を考えたら普通に192.168.100.でアクセスすればいいんでは >>847
いくつか理由はあるのですが、それが必須となるのは
「DLNAをVPN越しに再生したい」というモノです。
他のものについてはローカルDNSやWINSなど、
代替手段があるのですが、DLNA については、
同一セグメントに見せかけるのが一番楽そうでした。
再度DLNA の VPN 越しの再生について調査してますが、
送信側・受信側の実装依存で非常に厳しいです。。。
発見だけならSSDP転送できればどうにかなりそうですが、
その後の再生の際にゲートウェイ渡れないモノもあるようで。。。
うーん。。。 DLNAがどうやってサーバを見つけるかは知らないけど
多分ブロードキャストしてるだろうからNATでは要件が満たせないかと。
素直にL2TP張ってDLNAサーバかクライアント側に同一セグメントのアドレスを振ったほうがいい >>849
L2TP/IPsecで
但しDTCP-IPの場合、
TTL 3
RTT 7ms
までしか許容してくれない(サーバー側は切断「しなければならない」遮断要件の実装を「契約で」縛られている)ので
TTLを何とかしても遠いとアウト
一般家庭の普通の光の契約では夜間なんかNTTの同一ビル収容の肉眼で見えてる町内同士ですら無理だった >>849 WebDAVでいいんじゃねぇの?
最近のDLNA対応クライアントならWebDAVもサポートしてんじゃね?
つうかSMB対応もあると思うがな 中継用のPC置いてRDPで入るとか
VLCで変換中継するとかぐらいじゃね 今までこの手の話って結局、
国内の放送番組の録画(DTCP-IP)を遠隔地視聴したいという話が100%だった
しかも画質落ちるのもイヤでDRのままでなんとかならないかとか
そこまでして見たい番組が今のマスゴミに存在しない件 >>855
キリッと中身の無いお前の日記書かれてもw >>751
客が入った嬢を他嬢にバラすと客の怒りを買ってトラブルになるし店の売上落ちるから店側は通常そういうことはしない。
だが若い店員とかだと特定の嬢に好意を持っちゃったりして、その嬢をオキニにしてる客に敵意を持つ。
それでその客が他嬢に浮気したりするとここぞとばかりに嬉しそうにそれを伝えちゃうんだろうねw 結局のところ、NAT で同一セグメントに見せかけることはできないし、
低予算で 7ms 制限に **常に** 納めるのも難しそうなので、
DLNA を使うという要件自体の変更 (代替手段の提案) へと持っていくしかなさそうです。
ただ、この要件というのは、
「見ていてインスピレーションを受けたTV番組(の一部)をさかのぼり録画して、
それを伝えたい相手にDLNA再生してもらえば、すぐに伝えられる」
というところからきていて、
隙のない代替の提案ができそうにないのがネックです。。。
民生用の機器で録画したものを簡単にリモート再生するのが難しい。
PCでテレビを見てもらうとか、テレビじゃなく hulu 見るようにしてとかとても言えない。。。
そのあたりはそもそもプロじゃないし・・・。
というところで、スレ違いになってくるので、このあたりでノシ >>850
再生側は民生用のTVとかレコーダなのです。
それ自身はIPSec/L2TPに対応していないので、それ用のデバイスを用意して、
ということになりますが、それなら別の手段もプランに挙がるとおもいます。
>>853
民生用のTV・レコーダで録画したファイルは、
その録画した機器でしか再生できないように暗号化されていて、SMBは不可です。
TVがWebDav 対応してるとか聞いたことないですが、
そのTVの具体的な機種を挙げてもらうことは可能ですか?
>>854
再生用のPCを置くのが一番可能性は高いですね。
候補に入れました。
では、このあたりで失礼します。
相談に乗っていただいてありがとうございましたノシ >>860
ソニーのナスネとか使えば一応スマホでは再生できる
スマホからテレビにミラー出力できるかは試してない
あとは法的に問題なければts抜きサーバーを構築してクラウドストレージに自動アップするとか リプレイスして、古いRTX1200とか、RTX1500、RTX1100を、捨てるか、売りたいんだけど、
コンフィグとか抜かれないだろうか。
一応、cold start したとして、フラッシュメモリ内に残存しないんだろうか。
それが心配。 ■ このスレッドは過去ログ倉庫に格納されています
