YAMAHA業務向けルーター運用構築スレッドPart21
■ このスレッドは過去ログ倉庫に格納されています
DS-Lite(IPv4 over IPv6)なら、v6プラスは不要だよね。 >>99
>下流の端末全てにv6アドレスを配布出来るか
ステートフルインスペクションで、RTXのLAN内全端末にIPv6 GUAが割り当てになるよ。
RTXにその設定が必要
>NAT溢れみたいなことが起きないかどうか
DS-Liteは網側にNATがあるので、RTXのNATは不要ですよ。(あってもいいけど、ナンセンス)
言い換えれば、RTXのNATの機能がいくら優れていようが、DS-Lite側のNATの性能にパフォーマンスは依存するでしょう。 NAT性能よりも割り当てられてるポート数によるんじゃないか? >>103
それで安心していいの?
v6プラス(他MAP-E方式)を選ぶかtransix(DS-Lite)を選ぶかで変わってくると思うけど?
v6プラスは割り当てが240ポートだけど、ポートセービングNATが使える1210なら、通信先1IP当たり240セッション張れる。
transixは1接続(トンネル)当たり1024セッションの上限が有る。
そんなにクライアントが居るなら、transixならパンクして接続できない人が出てくるんじゃないかな。
v6プラス他だったとしても、全員が頻繁に使う接続先のIPが複数でないとパンクしそう。 うちもインターネット宛のトラフィックを一部v6にオフロードさせちゃおうと思ったが
NAT制限がショボすぎて端末が大量にある環境だと使えないね。 so-net経由のtransixがすげえ遅延起こしてるときあったな
そもそもフレッツv4が遅すぎるのが問題なんだよな
なんでONU直接つないでもインターネット宛は6Mbpsしか出てないんだ
朝からつながんねーってクレームくるし 対外IPv4接続は部署毎にDS-Lite Router置けば
1024セッション上限有っても捌けるかな〜?
部署間の社内LANはIPv6で繋がるように設計しなかんけど IIJのQ&A見ると同時接続台数やセッション数に制限はないと明言しているんですが
上の方が書いている「1024セッションの上限」がどこでどう影響するのか
教えていただけますか
もしかしてトンネル「1024セッションの上限」ってルータ側の話ですか? >>109
それはIPoEの話でPPPoEのようなセッションの概念は無いって説明でしょ
上で言ってるのはDS-LiteのVNE側でのNAT処理におけるNATセッション上限の話
これについては、multifeedもiijも明言はしてないけど過去にストレステストした人が出した結論 >>108
規約違反とかにならない?
でも、メンテナンスが面倒くさそう >>111
IPIPトンネル張れるのは1個じゃね? IPアドレスを共有しないipipサービスを使えばいいのに いっその事
V6アドレス扱えるVPSにVPN張った方がよかったりなw DS-Liteの仕様制限についてプロバイダーに問い合わせてみた
建前上、光コラボ契約かつドコモ光ルーター01利用者にのみサービスを提供
こういうユーザーはセッション制限を気にする使い方はしないはず、だそうです
あと原則ホームページに書かれている以上のことはお答えできないと…
どこかに教えてくれる人いないかなあ−
公式条件外でもDS-Liteが使えるって喋りすぎると
ISPによっては提供が止められるかも… >>117
そういうのは端末100台ぐらいぶら下がってる事前提ではないからなぁ これは、実験するしかないな
いつも、俺たちは、にごされて、
そして確信を得るべく自ら実験を行って結論を得てきた。
セッションを張るLinuxスクリプトが必要だな。
あとは、セッションリミッター実験で怒られないかどうか。 >いつも、俺たちは、にごされて、
>そして確信を得るべく自ら実験を行って結論を得てきた。
彡ミミミミ))彡彡)))彡)
彡彡゙゙゙゙゙"゙゙""""""ヾ彡彡)
ミ彡゙ .._ _ ミミミ彡
((ミ彡 '´ ̄ヽ '´/ ̄ ` ,|ミミ))
ミ彡 ' ̄ ̄' 〈 ̄ ̄ .|ミミ彡
ミ彡| ) ) | | `( ( |ミ彡
((ミ彡| ( ( -し`) ) )|ミミミ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
ゞ| ) ) 、,! 」( ( |ソ < 感動した! >>119
ヽ( ( ̄ ̄ ̄' ) )/ \___________
,.|\、) ' ( /|、
 ̄ ̄| `\.`──'´/ | ̄ ̄`
\ ~\,,/~ / ipipはstatelessなのにセッション is 何? IPIPはIPv4 over IPv6のトンネルにしか使ってないから ユーザー視点ではstatelessでも、VNE視点ではNATかけてるのでstatefullなんですが。 ヤマハの無線LANはファームのアップデートでWPA3に対応出来る? 【上流きどり、都民″】 マ7トLーヤ『大洪水は都会人の弱者切捨ての結果、大地震は核爆発の結果』
http://rosie.5ch.net/test/read.cgi/liveplus/1531363082/l50
西日本豪雨 死者200人に 警察庁発表 安否不明なお多数 https://www.msn.com/ja-jp/news/national/nhk/ar-AAzX8hL#page=2
テレビと同じ番組をインターネットで流すNHKの「常時同時配信」が、
総務省の容認姿勢で実現に向けて大きく動き出すことになった。
将来的にはネットのみの世帯に対する受信料新設で財源の拡大をもくろんでおり、
インターネットも契約できなくなるな。 災害といえば、ネット環境もない臨時ATM内に、USBドングルつけたRTX810が活躍してたっけ 今回の災害でKDDIの光ファイバーが物理的に切れてしまったらしく夜中に電話鳴りまくったわ。。
フレッツファミリーは問題なかったという何とも解せない展開だった。 どこが解せないんでしょうか?
KDDIが切れたら、フレッツは必ず切れるのかな? 基本的には局舎から各家庭や事業所までの回線を敷設したのはNTT
局舎より向こうはNTT回線に相乗りの場合と独自の場合があるみたいだけど、全国全ての局舎を繋ぐ回線をKDDIやソフトバンクが敷けるわけないので基本的に物理的にはみんなNTTの物 それはフレッツだろ
独自回線を引いている業者はいくらでもあるよ 地方の家庭向けだとフレッツ網借りてるところ多いけど、企業向け専用線とかあるしな
うちは第2電電 RTX1210の通風口の穴がでかいんだけど、
ホコリが入るだろうな。
なにか合理性があってそういう形状にしてしまったんだろうか。
なにか、網でもかぶせようかと考えている。 >>142
自作パソコンやっていたらわかるけど、
ファンなんて回したら内部が埃の巣になるよ いや内部に入れるのではなくて
通風口の上を風が通るようにするだけ RTX830ってv6プラスの利用可能ポート240個をRTXでNATしてる配下のアドレスそれぞれにポートマッピングできる? マジかよ
nat descripter masquerade staticのコマンドでmap-eで利用可能なポートとローカルIPアドレスをマッピングしてるんだけど外部からアクセスできないなぁ
何でだろ こんどRTX1210に、RTX1200から乗り換えます。
形状は同じだし、コンフィグは丸ごと使おうと考えていますが、
何か不都合とかあるでしょうか。
RTX1100から、RTX1200への乗り換えのときは、LAN関係で、
自動的にコンフィグの修正が行われたことを覚えています。
とくに、RTX1210のIPsecの実装なんてかわっていないですよね。
他機種との接続を行っているので、RTX1200と同じ実装であってほしい。 >>149
基本的に上位互換なので、そのままconfigを流したらいい。
んで、まれに蹴られるコマンドがあれば、そこだけ修正なり削除なり。
拍子抜けするぐらい、あっさり動いて、
劇的にとは言わないけれど性能向上は体感できると思う。
ttp://motosumiyoshi.cocolog-nifty.com/gyoumuyo/2015/03/yamaha-rtx1200r.html 自己解決しました
IPフィルタのrejectしてるパターンの方が穴開けるpassパターンより先に処理されてたのが原因でした
暗黙のdenyに頼る設定に変えたら通信できました >>149
先にファームアップしてからね
RTX1100からの入れ換えやってきたけど全く問題ないね。
交換前にちゃんとPPPoE切らないとハマるからきをつけてね >>150
さっそくレスいただき、
ありがとうございました。
いや、安心しましたー。
性能向上を期待しての交換です。
RTX1200でCPU使用率がしばしば50%超えてしまうことがあり、
パケットが遅延することが多くなってきたもので。
>>152
ファームアップも忘れずにします。
RTX1210はファームがらみでこのレスでも不具合報告がありましたものね。
ん?PPPoEを切らないと、セッションがサーバー側に残るとかかな。 >>153
ただなあ、HGWから取得しているIPv6プリフィックスが変わるだろうし、
そもそもLANのマックアドレスが異なるからアドレスがかわってしまうだろうなあ。
NTT WESTなんで、筑波のサーバから名前解決もできないし。
これが面倒。 >>152
PPPoE は、4 分程放置してれば網側から切断されるから
繋ぎ変えてあれこれしてるうちに切れてる。
何にハマるんだろう?
>>154
> マックアドレスが異なるからアドレスがかわってしまう
筑波の話をしてることから考えると IPv6 の GUA、マックアドレスということからするとそのインタフェースID 部?
インタフェースID を明示的に指定すればいいのでは? >>155
HGWから取得されるプリフィックスの一部が変化するだろうと思われるんですよ >>156
うちの PR-400KI では、MAC アドレスによってプレフィックスの一部が変化するという現象は見たこと無いな。
プレフィックスのうちのサブネット ID 部分は払い出した順序で決まっていて、最初に払い出したものは f0、その次は e0、… 最後は 10。
期限切れを待つか再起動などで払い出したものを忘れ、また最初の f0 から払い出される。
PR-400KI 配下の DHCPv6-PD クライアントが 1 台だけで、かつプレフィックスが変わったら困る運用をしてるなら、一番最初の f0 になるように使えばいい。
(e0 やそれ以降を使っていると、停電やファーム更新などのタイミングで一番最初の f0 になってしまう。)
HGW のメーカーが違うと、サブネット ID 払い出し順が昇順なのか降順なのか、再起動で消えるかどうか、という違いはあるにせよ
「プリフィックスの一部」は払い出した順序で決まってないか? >>157
>(e0 やそれ以降を使っていると、停電やファーム更新などのタイミングで一番最初の f0 になってしまう。)
なるほど、それは大切なことです。ありがとうございます。
HGWって、払い出したプリフィックスのうちのサブネット部分を、再起動で忘れてくれるんですね。
しかし、プリフィックス部分は置き換え前のRTXと同じにできたとしても、
(GUAの自動生成の場合)新しいRTXでは全体としてのGUAは変化してしまうんだよなあ。
NTT WESTなので、筑波のDNSは使えない。
拠点のVPN設定を変更しなければならないのは避けられないなあ。 >>158
HGW の挙動はメーカーによって違うところがある。再起動で忘れてくれるものもあるけど、NE なんかは再起動しても忘れないんじゃなかったかな?
GUA が変わると困るなら、DHCPv6 でなく RA のプレフィックスを使う、インタフェースID は明示的に指定する、でどう? >>159
再起動しても、MACアドレスに対して割り当てたプリフィックスを、
ずっと覚えているものもあるのですね。
すると、やってみなければ分からないですね。
取り敢えず、新しいRTXをHGWに接続する前に、
HGWは再起動したいと思います。 RTX1200で、IPIPトンネルを重たく使うと、CPU使用率高めになったりする? >>162-163
今日なんて、CPU80%にまで達して、
レスポンス値が跳ね上がって仕方なかった。 RTX1000で負荷に耐えられなくなってRTX1200に替えたんだけど、そろそろキツくなってきたな フレッツVPNでNTTにトンネリングしてもらってるので、拠点間接続に RT57i が現役だお >>166
6 分って言う人がよくいるんだけど、うちの回線で実際に試すと、
LCP Echo-Request に最後に返事した時点から 4 分ちょっとで、網側から LCP Term-Request や PADT が送られてくる。
なお西日本 隼、網側の MAC アドレスは 00:12:e2:… なので ALAXALA RTX1210を一台でスマホ常時200台くらいってさばけるかな?
使うアプリにもよるんだけど、一時的にゲスト解放する必要が出て手持ちの1210でいけるなら助かるのだけど。。 >>169
200台っていうと、
同時に使用される平均台数×各スマホの帯域=必要帯域 < RTX1210が裁ける帯域
これがTrueならおkということでいいかな。 >>171
ああ、そうだな。
セッションとなると、いくらRTX1210の進化したポートセービングIPマスカレード機能が非常に有効だね。
65000ポートを、宛先アドレスごとに独立して使えるから、
スマホ200台が同じ宛先アドレスに接続するようなことがないなら、
セッションが枯渇することはないんではないかな?
しかし、社内向けサービスとかで、一斉に200台が同じ宛先アドレスに接続するとなると、
ポートセービングが機能しなくなってしまうから、ダメかもね。 https://cloud.watch.impress.co.jp/img/clw/docs/677/028/html/scsk13.jpg.html
この写真の、RTX1210のIPIPスループットが2倍なると、
CPU使用率が半分に下がってくれるんだろうか?
たとえば、IPIPで使用率が60%程度に上昇しても、RTX1210では30%になるとか? http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
これ、ファイストパスが使用される場合について説明されているんだけど、
”ESPパケットのフィルタリング”欄では、RTX1210でも「×」になっている。
これって、ESPパケットに対する、pass IPソース IP自分自身 などというフィルタを設定した場合、
トラフィックはノーマルパスになってCPUを喰うことになるってこと? >>170
>>172
ありがとう。
NATのセッション数は上限を制限してやれば良いですかね。
一般人相手だからFBやらインスタやらのSNSとweb閲覧がメインだと見込んでます。
limit 100くらいで大丈夫かな?
帯域は。。。フレッツなので期待してないです。 >>175
ポートセービングIPマスカレード機能
有効設定するのを忘れないようにね >>168
ISP側のタイムアウトがあるみたい。二重接続扱いされて切られる
>>176
いまだ使う勇気出せないけどもう平気かなぁ RTX1200からRTX1210への置き換えが完了したぜ!
HGWから取得されるIPv6プリフィックスと、本体のMACアドレスが変わったことによる、
GUAの変更だけが問題になった。
拠点のルーターの設定変更が必要になっただけ。
それ以外は、とくにひっかかったところはなかった。
休み明けが楽しみ。CPUの使用率が下がってくれるかどうか。
RTX1210のダッシュボード機能が楽しいね。
トラフィックなどの情報を確認できるんで。 置き換え案件ってVPNが元通り復帰するまでの時間が毎回ドキドキで嫌だなw >>179
ほんとそう。
バージョンアップしても、IPsecの仕様は絶対に変えて欲しくないな。
YAMAHA以外の装置とも、VPNを接続しているからなあ。
もし、IPsecの仕様を変える必要があったとしても、
今の仕様は別コマンドとして残して互換性を維持しておいてほしい。 ipsecの仕様が変わることはないだろうけどw
クラウド全盛期に向けてIKEv2になってくんじゃないの?
YAMAHAはv1とv2が両立できないのが難だけど。 >>181
>YAMAHAはv1とv2が両立できない
たとえば、RTX1210で、IPsecつかうのにIKEv1を使うと、同じルーターで
IKEv2のトンネルを使えないってこと? >>181
>ipsecの仕様が変わることはないだろうけどw
ちょっと言い方変になっちゃったね。
いいたいのは、RTXのIPsec関係の実装のことなんです。
たとえば、LibreSWANから開始する接続はRTXは受け付けるけど、
逆にRTXから開始する接続をLibreSWANは受け付けないっていうような仕様のこと。
双方向で接続が開始できるような仕様に改善されてもいいけど、このままでもいい。 ヤマハさんどこまで旧仕様維持してくれるのか気にはなってるんだよなぁ。
同時入れ替えできるような太っ腹なエンドユーザなら一気に切り替え出来るんだけど末端がRT105e/107eとかザラだし >>182
その通り。使えない。
だからv2使いたいなら全拠点一斉に切り替える必要がある。
Azureやっててはまったw >>185
なるほど。ありがとう。
気をつけるようにする。
でもそのうち、ファームアップで対応あるかもね。 RTX1210のWEBの色んなガシェットあるでしょ。
これって、ガシェットをのせたWEBページを開かないかぎり、CPU喰われないよね。
ところで、
インターフェイスを監視できるガシェットでは表示数に制限があるのが残念だったな。
あと、ガシェットの表示枠を変更できないんだろうか。 ヤマハのプロの皆様ご教授お願いします
現在RTX1210を2台使用してL2TPv3を構築しているところなんですが、バックアップをモバイル回線でやりたくて予算の都合上事前に調べたらVPNパススルー機能があるということだったのでNECのAterm MR04LNを購入しました。がL2TPv3を構築できません
検証した内容
@
L03FというUSBデータ通信端末をRTX1210にそれぞれ取り付けて(一つは固定ipアドレスを契約してある)L2TPv3を構築 →◎
A
@の状態から固定ipアドレスじゃないほうをMR04LNにしてみた →×
logを見ると対向のRTX1210にはIpアドレスが通知されていますがそれ以上進まない
なので、MR04LNのパススルー設定が足
間違っているのかなと思い色々やるのですができません。
現在の設定
RTX1210のLAN2をMR04LNに接続
MR04LNのパススルー設定
LAN2のアドレスとUDP500,4500,TCP50,51
NECのサイト
http://www.aterm.jp/function/mr04ln/guide/vpn.html
どうか皆様よろしくお願いします 何をやりたいのかいまいちわからない
図にできない? モバイル回線を別の端末に変えたら繋がらなくなったってことじゃないの >>189
>>190
さっそくありがとうございます
言葉足らずで申し訳ありません
図におこしてみました
https://i.imgur.com/mMnRABk.jpg
現状は
teraterm上でRTX1210B(console)からRTX1210Aに付けたUSBデータ通信端末へのpingは◎
MN04LN
https://i.imgur.com/87jR618.jpg
よろしくお願いします >>191
http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/index.html
L2TPv3パケットの受信にはUDPのポート番号1701が使用されます。変更することはできません。
MR04LNにUDPのポート番号1701のNAT設定いるんじゃね?
それで使えるかどうか知らんけど
USBデータ通信端末をそのまま使うのは駄目なの? >>191
本商品のLANにIPsec機器/PPTPサーバを構築する場合は、ポートマッピング機能を併用する必要があります。
http://www.aterm.jp/function/mr04ln/guide/vpn.html >>192,193
UDP1701を通したらvpn一瞬だけ張れたから優先度をいじったら安定してつながるようになりました!
ありがとうございました
参考までに
51 優先度1
50 優先度2
500 優先度3
1701 優先度4
4500 優先度5 51は使わないから設定は不要
UDP500番、UDP1701番、UDP4500番はそのままでOK
50はTCPの50番じゃなくてIPのプロトコル番号50番(ESP)
Atermでその設定ができるかどうかは不明だが。 >>195
ありがとうございます
espでもできました 結局、NECのLTEルーターのフィルタにひっかかっていたという話だったんだな。 そもそも NAT の内側で、外側からのパケットを受け取るには、静的に NAT 設定しておかないとという話。 ■ このスレッドは過去ログ倉庫に格納されています
