YAMAHA業務向けルーター運用構築スレッドPart21
■ このスレッドは過去ログ倉庫に格納されています
>>162-163
今日なんて、CPU80%にまで達して、
レスポンス値が跳ね上がって仕方なかった。 RTX1000で負荷に耐えられなくなってRTX1200に替えたんだけど、そろそろキツくなってきたな フレッツVPNでNTTにトンネリングしてもらってるので、拠点間接続に RT57i が現役だお >>166
6 分って言う人がよくいるんだけど、うちの回線で実際に試すと、
LCP Echo-Request に最後に返事した時点から 4 分ちょっとで、網側から LCP Term-Request や PADT が送られてくる。
なお西日本 隼、網側の MAC アドレスは 00:12:e2:… なので ALAXALA RTX1210を一台でスマホ常時200台くらいってさばけるかな?
使うアプリにもよるんだけど、一時的にゲスト解放する必要が出て手持ちの1210でいけるなら助かるのだけど。。 >>169
200台っていうと、
同時に使用される平均台数×各スマホの帯域=必要帯域 < RTX1210が裁ける帯域
これがTrueならおkということでいいかな。 >>171
ああ、そうだな。
セッションとなると、いくらRTX1210の進化したポートセービングIPマスカレード機能が非常に有効だね。
65000ポートを、宛先アドレスごとに独立して使えるから、
スマホ200台が同じ宛先アドレスに接続するようなことがないなら、
セッションが枯渇することはないんではないかな?
しかし、社内向けサービスとかで、一斉に200台が同じ宛先アドレスに接続するとなると、
ポートセービングが機能しなくなってしまうから、ダメかもね。 https://cloud.watch.impress.co.jp/img/clw/docs/677/028/html/scsk13.jpg.html
この写真の、RTX1210のIPIPスループットが2倍なると、
CPU使用率が半分に下がってくれるんだろうか?
たとえば、IPIPで使用率が60%程度に上昇しても、RTX1210では30%になるとか? http://www.rtpro.yamaha.co.jp/RT/docs/fastpath/
これ、ファイストパスが使用される場合について説明されているんだけど、
”ESPパケットのフィルタリング”欄では、RTX1210でも「×」になっている。
これって、ESPパケットに対する、pass IPソース IP自分自身 などというフィルタを設定した場合、
トラフィックはノーマルパスになってCPUを喰うことになるってこと? >>170
>>172
ありがとう。
NATのセッション数は上限を制限してやれば良いですかね。
一般人相手だからFBやらインスタやらのSNSとweb閲覧がメインだと見込んでます。
limit 100くらいで大丈夫かな?
帯域は。。。フレッツなので期待してないです。 >>175
ポートセービングIPマスカレード機能
有効設定するのを忘れないようにね >>168
ISP側のタイムアウトがあるみたい。二重接続扱いされて切られる
>>176
いまだ使う勇気出せないけどもう平気かなぁ RTX1200からRTX1210への置き換えが完了したぜ!
HGWから取得されるIPv6プリフィックスと、本体のMACアドレスが変わったことによる、
GUAの変更だけが問題になった。
拠点のルーターの設定変更が必要になっただけ。
それ以外は、とくにひっかかったところはなかった。
休み明けが楽しみ。CPUの使用率が下がってくれるかどうか。
RTX1210のダッシュボード機能が楽しいね。
トラフィックなどの情報を確認できるんで。 置き換え案件ってVPNが元通り復帰するまでの時間が毎回ドキドキで嫌だなw >>179
ほんとそう。
バージョンアップしても、IPsecの仕様は絶対に変えて欲しくないな。
YAMAHA以外の装置とも、VPNを接続しているからなあ。
もし、IPsecの仕様を変える必要があったとしても、
今の仕様は別コマンドとして残して互換性を維持しておいてほしい。 ipsecの仕様が変わることはないだろうけどw
クラウド全盛期に向けてIKEv2になってくんじゃないの?
YAMAHAはv1とv2が両立できないのが難だけど。 >>181
>YAMAHAはv1とv2が両立できない
たとえば、RTX1210で、IPsecつかうのにIKEv1を使うと、同じルーターで
IKEv2のトンネルを使えないってこと? >>181
>ipsecの仕様が変わることはないだろうけどw
ちょっと言い方変になっちゃったね。
いいたいのは、RTXのIPsec関係の実装のことなんです。
たとえば、LibreSWANから開始する接続はRTXは受け付けるけど、
逆にRTXから開始する接続をLibreSWANは受け付けないっていうような仕様のこと。
双方向で接続が開始できるような仕様に改善されてもいいけど、このままでもいい。 ヤマハさんどこまで旧仕様維持してくれるのか気にはなってるんだよなぁ。
同時入れ替えできるような太っ腹なエンドユーザなら一気に切り替え出来るんだけど末端がRT105e/107eとかザラだし >>182
その通り。使えない。
だからv2使いたいなら全拠点一斉に切り替える必要がある。
Azureやっててはまったw >>185
なるほど。ありがとう。
気をつけるようにする。
でもそのうち、ファームアップで対応あるかもね。 RTX1210のWEBの色んなガシェットあるでしょ。
これって、ガシェットをのせたWEBページを開かないかぎり、CPU喰われないよね。
ところで、
インターフェイスを監視できるガシェットでは表示数に制限があるのが残念だったな。
あと、ガシェットの表示枠を変更できないんだろうか。 ヤマハのプロの皆様ご教授お願いします
現在RTX1210を2台使用してL2TPv3を構築しているところなんですが、バックアップをモバイル回線でやりたくて予算の都合上事前に調べたらVPNパススルー機能があるということだったのでNECのAterm MR04LNを購入しました。がL2TPv3を構築できません
検証した内容
@
L03FというUSBデータ通信端末をRTX1210にそれぞれ取り付けて(一つは固定ipアドレスを契約してある)L2TPv3を構築 →◎
A
@の状態から固定ipアドレスじゃないほうをMR04LNにしてみた →×
logを見ると対向のRTX1210にはIpアドレスが通知されていますがそれ以上進まない
なので、MR04LNのパススルー設定が足
間違っているのかなと思い色々やるのですができません。
現在の設定
RTX1210のLAN2をMR04LNに接続
MR04LNのパススルー設定
LAN2のアドレスとUDP500,4500,TCP50,51
NECのサイト
http://www.aterm.jp/function/mr04ln/guide/vpn.html
どうか皆様よろしくお願いします 何をやりたいのかいまいちわからない
図にできない? モバイル回線を別の端末に変えたら繋がらなくなったってことじゃないの >>189
>>190
さっそくありがとうございます
言葉足らずで申し訳ありません
図におこしてみました
https://i.imgur.com/mMnRABk.jpg
現状は
teraterm上でRTX1210B(console)からRTX1210Aに付けたUSBデータ通信端末へのpingは◎
MN04LN
https://i.imgur.com/87jR618.jpg
よろしくお願いします >>191
http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/index.html
L2TPv3パケットの受信にはUDPのポート番号1701が使用されます。変更することはできません。
MR04LNにUDPのポート番号1701のNAT設定いるんじゃね?
それで使えるかどうか知らんけど
USBデータ通信端末をそのまま使うのは駄目なの? >>191
本商品のLANにIPsec機器/PPTPサーバを構築する場合は、ポートマッピング機能を併用する必要があります。
http://www.aterm.jp/function/mr04ln/guide/vpn.html >>192,193
UDP1701を通したらvpn一瞬だけ張れたから優先度をいじったら安定してつながるようになりました!
ありがとうございました
参考までに
51 優先度1
50 優先度2
500 優先度3
1701 優先度4
4500 優先度5 51は使わないから設定は不要
UDP500番、UDP1701番、UDP4500番はそのままでOK
50はTCPの50番じゃなくてIPのプロトコル番号50番(ESP)
Atermでその設定ができるかどうかは不明だが。 >>195
ありがとうございます
espでもできました 結局、NECのLTEルーターのフィルタにひっかかっていたという話だったんだな。 そもそも NAT の内側で、外側からのパケットを受け取るには、静的に NAT 設定しておかないとという話。 質問があります。よろしくお願いします。
RTX1200の、tunnel encapsulation l2tpv3-raw で、
Linuxのxl2tpdとの接続はできるのでしょうか。
SoftEtherなんかとRTXは接続できるようです。 質問です
アメリカからAT&Tのプリペイドsim使ってVPN張れたかたいらっしゃいますか?
現在はアメリカで固定回線契約して、日本は固定のアドレスを使用してvpn張れてますが、バックアップでアメリカのモバイルWi-Fiルーターにプリペイドsim入れて、つながるか試してるんですが出来ません
アメリカからはpingは応答あり
日本からpingは応答なし アメリカからはping応答ありって、アメリカの固定回線からポータブルWi-Fi向けに投げて応答ありということ?
単にポータブルWi-Fi側のNATなりFWなりにかかって落とされてるんじゃないかって気がするけど。 >>201
l2tpv3-raw で、Linuxカーネルモジュールの
l2tp_eth を用いて頑張ったんですが、
YAMAHAの設定パラメーターが簡素すぎて、
お手上げになりました。 >>205
それから、次のことがわかりました。
>ヤマハルーターでサポートするL2TP/IPsecには以下の制限があります。
>L2TP単体での機能は提供しません。L2TP/IPsecのみサポートします。
L2TPv3-rawとLinuxとの接続ががんばったけどできなかったので、
L2TPをIPsecなしで使いたいなと考えたけど、上記の制限があるようだ。
IPsecを組み合わせる必要があるのでLinux側の設定がシンプルでなくなるなあ。
L2TPv3-rawと、modprobeで導入するl2tp_ethモジュールの機能と相互接続できるようになってほしいし、
L2TP単体(IPsecなし)でも利用できるようにして欲しいなあ。 http://www.rtpro.yamaha.co.jp/RT/docs/l2tpv3/index.html
ヤマハルーターでは、L2TPv3を用いたL2VPNおよびL2TPv3/IPsecを用いたL2VPNを構築することができます。
単体でも使えそうなんだが >>207
>L2TPv3を用いたL2VPN
L2TPv3なんで、直接Etherフレームを包み込む。
PPPはつかわない。
多くあるネットの情報は、旧来のPPPを包み込む場合について設定を挙げている。
L2TPv3でEtherフレームを包み込んでいる場合についての設定例はなかった。
これをなんとかテストしたみたんだけど、>>205のとおり、
ダメだった。
(本来は、Linuxのl2tp_ethモジュールで、ipコマンド数行でL2TPv3により相互接続できる。RTXはパラメーターが合わないようでできなかった。)
そこで、次に希望しているのが、L2TP(v2なのでPPP)でIPsecをつかわない方法。
でも、>>206のとおり、サポートされていないようなんだよ。 IPv6アドレスを、下位の64bit(MACアドレスから生成される部分)でフィルタリングできたら便利なのになあ。
上位のプリフィクスは変わる可能性があるので、フィルタリングで使いたくない。
ありそうだけど、Linuxカーネルでは実現しているのかな?
何か技術的な難しさがあるんだろうか。
上からみるか、下から見るかの違いだろうから、なんとでもできそうだけど。
ソフトウェア処理して、パスしたら、あとはファストパスさせるような仕組みでもいいのではないかな。 そこも変わるけど
LinuxとかはデフォルトでEUI64が使われてる設定になってるだけ
https://tools.ietf.org/html/rfc4941 フィルタのアドレス指定で dhcp-prefix@lan2::100 みたいなの使えないのかな
あとIPv4みたいにマスクbitを直接指定するとか >>221
何を目的にしてIPv6下位64bitでのフィルタリングを希望してるか分かりませんが
自宅では/64 IPv6アドレスのフィルタリングを実施してます。
ISPや契約方式で無理な場合も多いけど、
ISPから/56より上位のプレフィックスで配布されるIPv6を/64でクライアントPCに配布する設定にすれば
下位64bitでのフィルタリングは可能
自宅のRTX1200では、この方式でプライベートLANをポートベスVLANでセグメント分離
加えて、互いのセグメント間通信を、IPv4/IPv6共に完全に遮断するフィルタ記述している
自分のISPも動的に/56で配布されるが、変化しても問題なくフィルタリング出来ている
自宅の設定では、下位64bitを::1でセグメント間の完全に通信遮断しているけど、
特定の下位64bit指定でpass設定も可能と思う WLX313誰か買った?
そろそろまともに使えるのか、まだダメなのか知りたい。 ヤマハのプロの皆様に質問させてください
RTX1210でLAN1をLAN分割して
R1(LAN1-1とLA2をbridge)←L2TPv3→R2
R1(LAN1-2とLAN2をbridge)←L2TPv3→R3
のような構成をしたいのですが可能でしょうか?
WAN側は検証環境の為全部のRouterをSW-HUBに収用してます
RTX1210の下にL2-SWを使えば良いのですがもしこれが可能なら器材が少なくできるな!と思ってヤマハのサイトを調べたんですが、、私にはできませんでした
皆様よろしくお願いします 対抗側のルーターがL2TPv3に対応してたらR1でVPNセッション分だけtunインターフェース作ればできるんでね >>218
回答ありがとうございます
Routerは全てRTX1210ですので対応しています
tunnelを複数作成して1対多のL2TPv3の構成が可能なのは確認していますが、それだと私の知識ではR1,R1,R3のLAN1が同一ネットワークになってしまいます
R1の下には2つのネットワーク(AとB)がありお互い通信をさせたくない状況です
R1(LAN1-1)-R2(LAN1)はネットワークA
R1(LAN1-2)-R3(LAN1)はネットワークB
という感じでL2TPv3を構成したいです
質問の説明が悪く申し訳ありません >>215
NGNで配布される半固定プレフィックスに対してフィルタリングしたいんでしょ。
私もそういう機能が欲しい。
実際のところ、このような状況でIPv6のフィルタリングはどのようにするのが正しいのでしょうか。
外側から特定のMACアドレスの機器にだけIPv6通信を許すみたいな。 bridgeって2つ設定できたっけ?出来ないんじゃ? >>222
そうなんです
私の知識だとbridgeは1つしか設定できません
ここの皆様だったらなんか良い方法を知っているんじゃないかと思いまして ヤマハのL2TPv3は、UDPカプセリングにしか対応していない。
対向装置も同様に対応していないと接続出来ない。 >>221
LAN内PCへの宛先指定なら外からの接続指定行けるかもしれない
IPv6/56をIPv6/64で配布する方法とフィルタの記述方法書いておくので、検証は宜しく御願いします
ISPからIPv6アドレスがISPより/56プレフィックスで届くと仮定
123a:456b:789c:0100:0000:0000:0000:0000(123a:456b:789c:0100::/56)では
123a:456b:789c:01迄が固定でその下が変更可能
123a:456b:789c:01XX:0000:0000:0000:0000(123a:456b:789c:01XX::/64)とすると
自分の環境でお好みのXX値でその下の下位64bitの指定が可能になる
※ipv6 prefix 10 dhcp-prefix@lan3::AB:0:0:0:1/64の記述は、
ipv6 prefix 10dhcp-prefix@lan3::AB:0:0:0:0/64の方がより正しい表記が
YAMAHAルータは、末尾1で表記するルールになっている
ipv6 lan3 address dhcp
ipv6 route default gateway dhcp lan3
ipv6 prefix 1 dhcp-prefix@lan3::/56
ipv6 lan3 dhcp service client
ipv6 lan1 dhcp-prefix@lan3::XX:0:0:0:1/64
ipv6 lan1 address dhcp-prefix@lan3::XX:0:0:0:1/64
ipv6 lan1 rtadv send 10 o_flag=on m_flag=off
ipv6 lan1 dhcp service server
ipv6 filter 1600 pass * dhcp-prefix@lan3::XX:0:0:0:1/64 * * *
ipv6 filter 1610 pass dhcp-prefix@lan3::XX:0:0:0:1/64 * * * *
ipv6 filter 8000 reject * * * * *
ipv6 lan1 secure filter in 1600 8000
ipv6 lan1 secure filter out 1610 8000 >>225
なるほど。
pass * dhcp-prefix@lan3::XX:0:0:0:1/64 * * *
という書き方もできるんですね。知らなかったです。
そうすると、変動の可能性があるプリフィックス部分のみ、変数を用いて適用することで、
実質、それ以外の部分のアドレスをターゲットにしたようなフィルタリングができますね。
これはとても良いと思います。
ただ、dhcp-prefix@lan3::である変数部分は、
もしプリフィックスが変わるタイミング、ルーターが再起動するタイミング、などで、
どう有効になるのか調査する必要がありそうですね。 >>226
いや、勘違いをしていた。
送信元IPアドレスについて、下位64bit(MACアドレスから生成される部位)で、
フィルタリングしたいので、その方法は使えないようだ。 >>226-227
送信元動的IPv6でのフィルタリングは無理だと思う
手法があったら自分も知りたい >>225
おー、ありがとう!
そういう書き方できるの知りませんでした。
確かにプレフィックスが変わるタイミングは検証の
必要がありますね。まー、半固定なので気にしない
ってのもありですが。
ウチは光電話契約してないのでraなのですが、帰宅
したら試してみます。 >>228
上位ビットのマスクか、
下位ビットのマスクかの違いだろうから、
任意のビットでフィルタリングすることなんて、
ちょっとプログラムをいじれば出来そうに思うんだけどな。
IPv6のながーいアドレスなんだから、
任意のビットでフィルタリングするニーズはあると思う。
それとも、IEEEなんちゃらがフィルタリングの方法まで規定しているんだろうか。まさか。 >>230
215の設定をサポートと相談しながら作った時点で
RTproには掲載されているIPv6設定のいくつかは、その時点で実装されてなかったこともあった
必要なら要望をサポートに出せば良いと思う v6プラスで使えるポートがかなり少ないので
natしたらアドレスが足りなくなるんじゃないのかな?と思っていろいろ調べてみたら、
いつの間にか新機能でポートセービングIPマスカレードなんてものが出来てたのね
それに対応している機種のみがv6プラスに対応してるのか
v6プラスの仕様に合わせて先にこの機能を付けたのか
それともたまたまだったのか
v6プラスに設定を変えたけどいろいろ理解しないといけないことが多すぎてなかなか大変だ
ネットボランチDNSはv6プラスで使うには2002番のポートが空いてないので無理なのかな Firewall-1みたいなソフトウェアベースのルーター/ファイアウォールだと
2000年ころには実装していた機能だよ。
ヤマハが遅かっただけ。 >>233
ネットボランチDNS使えないのマジ不便 ヤマハのDNSがIPv6対応してNTT東西v6網のDNSと繋がったら神なのになあ。 >>233
DDNSはnetvolante.jpをIPv4 PPPoE側にして、MAP-EとIPv6はsoftether.netを使ってる >>238
IPv4はヤマハのサイトにあるスクリプトでロードバランシングしたりしてます?
map-eのみの方が速いのかな? DS-Lite使ってんだけど
試しに実家とname使ったipipトンネル張ったら繋がった
http://techlog.iij.ad.jp/wp-content/uploads/2016/04/ipoe.png
それで不思議なのが、経路がNGN折り返しみたいなんだよな
MFEED経由だと思ったんだけど、なぜそうなるのか分からない >>240
なぜそれだけの情報で答えが見つかると思ってるのか判らない。
東西跨いでるとかVNEが違うとか色々と付ける情報は有るだろう。
まぁ、VNEが違ってて折り返しになったとしても特に不思議とは思わないけど。 >>242
v6オプションやv6プラスの契約で、
グローバルアドレスになるけどな。 >>243
オプションありでもなしでも、グローバルユニキャストアドレス。
外に出られるのと、出られないのとでプレフィックスは違うけど、
外に出られるかどうかにはかかわらず、同じ網内同士の通信は網内折り返し。 ネーム機能って詳細が分からないことだらけで今ひとつ活用しづらい。
DDNSなのになんで初期アドレスを登録しなきゃいけないの? >>246
最初に紐付けする作業としては、あり得るオペレーションじゃない
IPv6オプションをONにするだけではnameがONにならないわけだし それより浸水とかで死んだルータのNetVolanteDNS引継ぎできないかねえ・・・
入れ換えの時は古い方で消してから再登録してるけど >>245
ああ、そうだった。
網内だけで使えるグローバルアドレスだったな。
オプション契約すると、外に出られるまた別のレンジのグローバルアドレスが与えられるね。 >>246
最初に登録したネームとアドレスを基本的に使われる。
プリフィックスが変更になった場合に、自動的に書き換えてくれる。
ネームは有料だからね。たしか、局内工事扱いで、
3000円ほど必要だったと思う。
三つも登録したら、9000円くらいにもなっただろう。 >>252
単にプレフィックスを書き換えるだけです、とNTTが明示してくれれば良いのに
そんな情報どこにもないよな?
しかもルータ交換したらアドレス変わるだろうし。 >>253
プレフィックス以外の変更には非対応。
一度、v6オプション申し込んでIPv6を開通させた際に、
プリフィックスが変更になったが、ちゃんと機能していたわ。
ただ、即座に切り替わらなかったなあ。 >>240
>経路がNGN折り返しみたいなんだよな
nameを設定したからとしか回答しようがない
mfeed使ったトンネル張らなきゃ… >>236
フレッツ・VPN ワイド
好きなだけ跨げるよ >>255
両端がNGNならNGN折り返りになるだろう >>256
ただでIPv6網を使えるのに金払って遅い網なんて誰得。
>>258
プライベートでは使ってるけどなんの保証もないから業務には怖くて使えん。
問い合わせてみたことあるが返事無かった。 >>259
そういう手の保証って、
何かしてくれるのかな?
たしかに、NTTなら例えば障害があっても対処してくれるだろうけど。 障害はどうやったって起きるけど、責任転嫁先の有る無しは大違いだぞ?
自分でやった方が早いのに金払ってベンダー丸投げするのもそのためじゃん。 aoiのほうも何もないけどな。
netvolante-dnsもこの前障害起こしてたけど非公開だった気がするし。振り回されたわ ■ このスレッドは過去ログ倉庫に格納されています
