YAMAHA業務向けルーター運用構築スレッドPart20©2ch.net
レス数が900を超えています。1000を超えると表示できなくなるよ。
今、会社のネットワークが使用されはじめて、
>>797の【RTX1200※】のCPU使用率を調べました。
CPU: 41%(5sec) 34%(1min) 29%(5min) メモリ: 36% used
パケットバッファ: 0%(small) 0%(middle) 5%(large) 0%(huge) used
一瞬、CPU(5sec)の値が68%にも達しました。
30分ほどで、このRTX1200を通過した下りデータは、500MB程度。
RTX1200ではスペックが足りていないでしょうか。
転送が多くなると、pingの値が10msecから、ピンポイントで、250msecにまで跳ね上がりました。
RTX1210のリプレースで解決するなら対応したいんですがどう思いますか? >>801 レスありがとうございます。
おっしゃるとおり、pingは、RTX1200※ からRouter A(別のRTX1200)です。NGN経由です。
30分程度pingを打っていましたが、パケロスはゼロでした。
[Router A]---IPsec(NGN)---⇒【RTX1200※】←---IPsec(INTERNET)---[Router B]---(FileServer)
しかし、FileServer側からRTX1200※にデータが下ってくるに伴って、そのpingの値が急上昇します。 >>800
その結果が意味するところは
UPとDLで転送スピードが違うって事?
pingを送るにしてもNGN経由ならトンネル外のv6アドレスにpingを送ってみては? >>804
<1>
PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】---IPsec(INTERNET)---[Router B]---(FileServer)
中央の【RTX1200※】を中継点として、
右側のインターネットVPNでつながるFileServerから、左側のPC(A)に、Windows共有でファイル転送したんですよ。
そうしたら、640KB/sec程度しか転送レートを得られなかったのです。
その遅い原因を探るために、下記のように中央の【RTX1200※】に直接繋るPCまでファイル転送を行ったんです。
PC-【RTX1200※】---IPsec---[Router B]---(FileServer)
そうしたら、2MB/secも転送レートを得られたんです。
だから、レートが落ちるのは、中継点よりも左側のIPsec(NGN)で接続されているところかなと考えました。<2>へつづく。
<2>
そこで、下記のようにして、IPSec(NGN)で結ばれるネットワーク間でファイル転送テストをしました。
PC(A)-[Router A]---IPsec(NGN)---【RTX1200※】-(NAS)
左にあるNASから、PC(A)への転送です。そうしたら、640KB/secしか得られず、
ここがボトルネックになっているとわかりました。
しかし、このIPsec(NGN)は、パケロスもゼロで、pingも5msec程度のとても良い通信環境なんです。
気になるとしたら、RTXのトンネルのデフォルトMTUが1280という低い値になっていることでした。
このトンネルには、mss limit autoを両拠点で設定済みです。
どうして、ここがボトルネックになっているのかわからない。。。 すみません。
>>805の問題と、>>802の問題は、別々の問題のようです。
>>805はボトルネックになっている理由。
>>802はデータ転送時に、pingの値が急上昇してしまう理由。(RTX1200の性能の限界?) ファストパス適用されてるかをチェックすると良いかも。
Show ip flow だっけ… 環境がわからんけどもひかり電話使っててHGW噛んでると網内折り返しipsecは遅い。
特にHGW型番が古い奴。
この場合はipipでやらないと。 >>807 ありがとうございます。
以下のページの記載によると、フラグメントする必要があるパケット、フラグメントされているパケットは、ノーマルパスになるそうです。
(ただし、IPsecトンネルで暗号化して転送する時にフラグメントが必要な時は、ファストパスでフラグメントまで処理)
http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
MTUの大きさが、経由する二本のトンネルで異なっているのでこれがノーマルパスにさせているのかもしれない。
業務が終了したら、値を揃えてみたいと思います。 >>808
それは初耳です。
PR-S300NE ファームウェアバージョン 22.02 を、
一方の拠点ではつかっています。
この機種は古いと思います。ひかり電話も使っています。
このHGWをつかっていないさらに別の拠点でもテストしたいと思います。 >>812
S300NEはIPv6トンネルのルーティングで6Mbpsくらいしか出ないよ。
オレはRS-500MIに交換してもらったらそれだけで60Mbps出た。
それでも遅いからNVR700W直結にしたら300Mbpsオーバーになった。 >>813
情報ありがとう。えっ、そんなに違うんですか。
これは交換の必要がありますね。
面倒なのは、IPv6のプレフィックスが変わっちゃうことだけど、
やったほうがいいなあ。 >>813
故障でなくても交換してもらえますか。
電話ごしに断られそうで心配。
>>813さんは、どうお願いしましたか?
費用はかかりましたか? 11ac無線LANカードを頼むとHGWが500シリーズに変更になる。
すぐに無線LANカードを解約する。 >>816
なるほど。
教えていただきありがとうございます。
ところで、v6プラスが、s300は非対応だったときがあったので、
その間に交換を済ませていればよかったなあ。 ルーター自身の送受信パケットはノーマルパスだからpingはノーマルパスだね
ノーマルパスのパケットはファストパスのパケットより処理が後回しになると思う >>808,812
このスレで教えて貰ったなぁ
いまはHGW外してONUから直で取ってる。ひかり電話はONUハブ分けしてNVR500を専用で使う贅沢設計
にしたら早くなったよー >>818
レスありがとうございます。
それは、気付かなったです。
しかし、pingは、忙しそうなRTX1200を挟んで接続しているPCを端点(⇒RTX1200※⇒File Server)とした場合でも大きく揺らぐんです。
それは、ファストパスなのかなと思います。
PC-【RTX1200※】---[Router]---(File Server) ひかり電話ルータのSIPサーバ機能は何気に便利だからNVRにも搭載してもらいたい。
それさえあれば完全上位互換になる。 >>822
SIPサーバなしで、ONUから直収すれば? ようは子機としてスマホとか登録したいって意味では? RTX1210にアナログポートとか増設できるスロットつけてくれればいいのに >>826
そんなアナログものつけたら、落雷時にサージがRTXを通過して、壊れやすくなる。 アナログポートつけたらサージで壊れやすくなるとかあるんか?
電源ケーブルからのってくるなら他のところも壊れるだろう PSTNに繋ぐアナログというならわかるけど、電話子機を繋ぐポートの話だからあんま関係ない luaスクリプトに _asm();とかできてすごいことに http://blog.sidetech.jp/2015/03/rtx1210-4cf7.html
RTX1210環境下でのSoftEtherが繋がらないという問題を解決しました。
通信しているはずのログが上がっているのに、なんで戻りがないのかなという問題でした
「ポートセービングIPマスカレード」では「クライアントAもBも60000ポートを使用返しが使える」ということですね。
従来のNATモードにもどした所
SoftEtherの接続が正常化しました。
なので、このNAT動作モードに絡むアプリが他にもあるかもしれません。
これって、どうしてSoftEtherで不具合が生じるんだろう。
SoftEtherだって相手先ホストがあって、宛先IPごとにポートが割り当てられることに何の問題があるのかさっぱりわからない。 buffaloの法人向けスイッチでTCP/UDP L4ポート設定をONにしたらNTPが通らなくなったことがあるけど、これの可能性は?
src port=dst portだとフィルタリングされる。 >>838
そういやRTX1210リリースのときにそんな機能あったなって思ったけど
1200のconfigそのまま流してるうちのマシンみたら、使われてないみたい。
明示して入力しないと有効になってないみたいね。
# show nat descriptor masquerade port 1000 summary
エラー: 現在のNAT動作タイプでは実行できません あ、勘違いしてた・・・
デフォルトで有効なのか。
ルータ起因を疑うような問題は感じたことないなぁ
# show nat descriptor masquerade session summary >>838
現行ファームなら動くと思う。
Rev.14.01.05から09までのバクと思われる。
ttp://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/ >>842
なんだ、バグですか。レスありがとう。
その記事読んでから、なんやろうかとずっと考え込んでました。
今度から、1210を導入するので安心しました。
みなさんありがとう。 どなたか VPN 越しの NAT について教えてもらえないでしょうか。
- 拠点A (192.168.100.0/24)
- 拠点B (192.168.200.0/24)
が IPsec VPN (非L2TP) でつながっているとき、
拠点B において、拠点A の特定のIPを
同一セグメントに見せかけるような NAT は組めないものでしょうか。
例えば、
192.168.200.0/24 の端末から 192.168.200.50 にアクセスすることで、
192.168.100.50 にアクセスできるようにしたいのです。
拠点B 側の RTX において、tunnel インターフェースに対して、
以下のような reverse NAT を設定してみましたが、
アクセスできるようにはなりませんでした。
nat descriptor type 8000 nat
nat descriptor address outer 8000 192.168.100.50
nat descriptor address inner 8000 192.168.200.50
nat descriptor static 8000 1 192.168.100.50=192.168.200.50
tunnel select 1
ip tunnel nat descriptor reverse 8000
ttp://www.rtpro.yamaha.co.jp/RT/docs/nat-descriptor/command.html
LAN インターフェースの場合、NAT ディスクリプターの外側アドレスに対しては、同一 LAN の ARP 要求に対して応答する。
の記載からすると、
ARP 応答するような NATed IP は VPN 越しに生成できないようにも読み取れますが、
どなたかよい案はありませんでしょうか。 >>845 組めません
どちらのセグメントでも無い第3のセグメントを用意するならできないこともないですが
すでにセグメント切ってある状況では無理でしょう >>846
回答ありがとうございます。
やはりそうでしたか。。。
ScreenOS 使ってた時はできたと記憶しているので、
RTX でもできると思って試行錯誤していたのですが・・・残念です。
みなさんが低予算でそういったことをするなら、
(組み込み) Linux とかを配置するんでしょうか? そもそもそういう構成にしたい意図は?
ip iflterと両拠点のNATをうまく組み合わせれば出来るんじゃないかと思うけど
やる手間と可用性を考えたら普通に192.168.100.でアクセスすればいいんでは >>847
いくつか理由はあるのですが、それが必須となるのは
「DLNAをVPN越しに再生したい」というモノです。
他のものについてはローカルDNSやWINSなど、
代替手段があるのですが、DLNA については、
同一セグメントに見せかけるのが一番楽そうでした。
再度DLNA の VPN 越しの再生について調査してますが、
送信側・受信側の実装依存で非常に厳しいです。。。
発見だけならSSDP転送できればどうにかなりそうですが、
その後の再生の際にゲートウェイ渡れないモノもあるようで。。。
うーん。。。 DLNAがどうやってサーバを見つけるかは知らないけど
多分ブロードキャストしてるだろうからNATでは要件が満たせないかと。
素直にL2TP張ってDLNAサーバかクライアント側に同一セグメントのアドレスを振ったほうがいい >>849
L2TP/IPsecで
但しDTCP-IPの場合、
TTL 3
RTT 7ms
までしか許容してくれない(サーバー側は切断「しなければならない」遮断要件の実装を「契約で」縛られている)ので
TTLを何とかしても遠いとアウト
一般家庭の普通の光の契約では夜間なんかNTTの同一ビル収容の肉眼で見えてる町内同士ですら無理だった >>849 WebDAVでいいんじゃねぇの?
最近のDLNA対応クライアントならWebDAVもサポートしてんじゃね?
つうかSMB対応もあると思うがな 中継用のPC置いてRDPで入るとか
VLCで変換中継するとかぐらいじゃね 今までこの手の話って結局、
国内の放送番組の録画(DTCP-IP)を遠隔地視聴したいという話が100%だった
しかも画質落ちるのもイヤでDRのままでなんとかならないかとか
そこまでして見たい番組が今のマスゴミに存在しない件 >>855
キリッと中身の無いお前の日記書かれてもw >>751
客が入った嬢を他嬢にバラすと客の怒りを買ってトラブルになるし店の売上落ちるから店側は通常そういうことはしない。
だが若い店員とかだと特定の嬢に好意を持っちゃったりして、その嬢をオキニにしてる客に敵意を持つ。
それでその客が他嬢に浮気したりするとここぞとばかりに嬉しそうにそれを伝えちゃうんだろうねw 結局のところ、NAT で同一セグメントに見せかけることはできないし、
低予算で 7ms 制限に **常に** 納めるのも難しそうなので、
DLNA を使うという要件自体の変更 (代替手段の提案) へと持っていくしかなさそうです。
ただ、この要件というのは、
「見ていてインスピレーションを受けたTV番組(の一部)をさかのぼり録画して、
それを伝えたい相手にDLNA再生してもらえば、すぐに伝えられる」
というところからきていて、
隙のない代替の提案ができそうにないのがネックです。。。
民生用の機器で録画したものを簡単にリモート再生するのが難しい。
PCでテレビを見てもらうとか、テレビじゃなく hulu 見るようにしてとかとても言えない。。。
そのあたりはそもそもプロじゃないし・・・。
というところで、スレ違いになってくるので、このあたりでノシ >>850
再生側は民生用のTVとかレコーダなのです。
それ自身はIPSec/L2TPに対応していないので、それ用のデバイスを用意して、
ということになりますが、それなら別の手段もプランに挙がるとおもいます。
>>853
民生用のTV・レコーダで録画したファイルは、
その録画した機器でしか再生できないように暗号化されていて、SMBは不可です。
TVがWebDav 対応してるとか聞いたことないですが、
そのTVの具体的な機種を挙げてもらうことは可能ですか?
>>854
再生用のPCを置くのが一番可能性は高いですね。
候補に入れました。
では、このあたりで失礼します。
相談に乗っていただいてありがとうございましたノシ >>860
ソニーのナスネとか使えば一応スマホでは再生できる
スマホからテレビにミラー出力できるかは試してない
あとは法的に問題なければts抜きサーバーを構築してクラウドストレージに自動アップするとか リプレイスして、古いRTX1200とか、RTX1500、RTX1100を、捨てるか、売りたいんだけど、
コンフィグとか抜かれないだろうか。
一応、cold start したとして、フラッシュメモリ内に残存しないんだろうか。
それが心配。 例えばRTXの配下にSWX2200-24Gを設置して、RTXにSWXのポート設定(VLAN)コンフィグを入れて制御している環境で、
メンテナンスのために同型のRTXに同じコンフィグ入れてリプレースする場合どのような手順で入れ替えるのが正解なんでしょうか。
先日、
SWXの電源ON状態(端末も接続)から
RTX入れ替えすると、SWXのポート設定が反映されない(全部VLAN1になる)
SWXの電源OFF状態(端末も接続)から
RTX入れ替えすると、やはりSWXのポート設定が反映されない(全部VLAN1になる)
SWX電源OFF、かつRTXとの接続ケーブル以外のLANケーブルを抜いた状態でRTX入れ替えするとSWXのポート設定が無事反映された。
こんな状況になって冷や汗かいた。。 >>864
config残ったままのルータ間違ってフレッツにつないで客先のセッション奪っちゃったの思い出した >>864
そんなに重要な端末だったのなら
破壊して捨てるしかないのでは?
もし売りたいなら新しい方はパスワードとか変更して運用すろとか >>867
>>868
バルス的な破壊コマンドがあればいいんだけどね。
ddコマンドとかつかえたらいいのに。
まあ、内部的にブラックボックスだから、毛氏の腰とか出そうか。 >>866
客「すみません、なぜかネットにつながらなくなっちゃんですけど。すぐに使えるようにはなったんですけどね」
you「ああ、そうですか。なんでだろう。・・・(やべ!)」
客「・・・わからないですか? どうしましょう。とりあえず、心配なんで、NTTにセッションが維持されていたか聞いてみます。」
you「え!」
客「え!」
you「あ、あ、心配 ないですよ。セッションの問題ではないので。はい、だだ大丈夫です・・・シンパーいないからね♪」
客「だいじょうぶですか?」
you「はい、はい。また何かあったら教えてください。ふぅ。」 >>868
同じ領域に書かれる保障はないんじゃね? >>870
こんな自発的にNTTに問い合わせできるスキルのある客がほしいわ >>869
箱開けてROMライターとかで消すとか。 ふぅ。。。客先のRTX1210のFLASHバグ対応あと一台だ。
長かったぜ。。。。。 既に忘れてた。
Config保存して「再起動」したときが発生条件だったよな
夕立停電とかで起動しないっぽいとかありそう >>877
そういう不具合は、シリアルナンバーとかで対象の機器かわかりますか?
自分の持っているやつが該当するのか知りたい。 ttp://jp.yamaha.com/products/network/support/rtx1210_boot/ ちょうどRTX1200のリプレイス時期&RTX1210安定期入ってて入れ換え盛んになってた時期だったんだよな
客先にまだ当該ファームのがあるけど、ファームウェア更新も当分やりそうにないから次の更新のときにハマりそう >>883
ありがとう。
自分は非該当だった。(最近購入したやつで、S4H1から始まっていたので。) IPIPでギガビットだと、RTX1210が要りますよねえ。 >>886
要件がまったくわからんけど逆にNVR810で十分だよ? 拠点数多くなってRTX830(810)で足りなくなりそうと思ったらFWX120も候補になるよ RTXシリーズって、内部エンジンがそれぞれ異なるでしょ。
RTX1500が独立したプロセッサを3基もっていたっけ?
まあ、それは廃番になったから、RTX1210が選択されるよなあ。
廃されたということは、内部構造について、型番が高いものでは優れているとは限らないということかな。
>>887
NVR810 がいったいどういう処理能力をもっているのかどうか。
IPIP処理でCPUが100%とかにならないかな。
PPTPがソフトウェア処理されているのと同様に。 いままでRTX1500使って入れ換えてるんだったらRTX5000のほうが安全かもな NVR810ってw
今ならRTX830かね
>>375で話が出てて
IPIPならRTX830でいけるでしょう
多地点ならRTX8302台運用とかの方が可用性あがるだろうし RTX830って、IPIP何本までいけるんだっけ? >>890
RTX5000 高ーーー、ヤマハルーターの最高峰が霞んでみえた。
草の根のISPが購入するようなものかな。 RTX5000ってどういう企業が買うんだろうな・・・
あんまりハイスペック要求なら売る方もCiscoにしちゃうだろうし、
趣味でVPN構築してるようなところはそんな高いの入れる予算出ないし
RTX3000入ってるユーザは見たことあるけど。 趣味でVPN構築して遊ぶなら
機能面でCiscoのAnyConnect使うわ 今草の根ISPやるならもっと安価にやると思う。vyosなりedgerouterなり安く多ポート出せる方法いくらでもあるし >>895 RTXで長年運用して実績あるなら選択するだろw
この程度の価格で高いの安いの言う企業なんかないよ >>899
個人的にヤマハルータの初物は売る気が起きないけどな。
幸いなのは旧モデルも併売してくれる点。これがよそとの違いって思ってる VPNはもうMerakiが楽だよ。
現地に行く羽目になる率が格段に下がるからばらまくのにはベスト。 レス数が900を超えています。1000を超えると表示できなくなるよ。