NEC UNIVERGE IX2000/IX3000 運用構築スレ Part9
レス数が950を超えています。1000を超えると書き込みができなくなります。
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです
【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
https://jpn.nec.com/univerge/ix/
関連スレ
・宅鯖に最適なルータは? @ ウィキ
https://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
https://mao.5ch.net/test/read.cgi/network/1013516441
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
https://pc11.5ch.net/test/read.cgi/mysv/1199977508
前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8
https://mao.5ch.net/test/read.cgi/network/1437719808 >>850
これ、ルーターのポートセービングNATの制約に照らし合わせると、NATの処理能力不足では?
IXルーターには、ポートセービングNATは採用されていないので、単純にNATの制約若しくは、回線側のBRゲートウェイの制約では? >>851
別の機能の制約と勘違いしてないかい?
先日NAPTの接続状況調査したんだけど同一ポート別IPのエントリは普通に生成されてたよ NEC IX2215最新のファームにPPPoEパススルーの機能が追加されましたが、どの様に設定するのか教えて貰えませんか?
お願いします!! >>854
機能説明書及びコマンドリファレンスを参照すれば理解するはずですが。
ブリッジモード開始のコマンド
bridge irb enable
ブリッジモードのポリシーの設定
bridge 1 bridge-only pppoe
上記の設定後、ブリッジエントリ1の対象のインターフェイスに登録する。
IX2215の場合、GE0とGE1をWANポートとして設定するので、
interface GigaEthernet0.0 または interface GigaEthernet1.0
bridge-group 1
ブリッジさせるLAN側インターフェイスを指定する。
interface GigaEthernet2.0
bridge-group 1
上記の設定にて、PPPOE機能が、
GE0若しくはGE1→GE2とブリッジさせることが可能。
GE2側にPPPOEクライアントを用意してPPPOE接続が可能。 >>846
>>849
あれは『ldcだけ置き換えるな』って意味だと聞いたことがある。
IX3315のリリースノートの最後に
bootmode-updateが必要な場合がわざわざ書いてるから、
NetMeisterからやsoftware-updateでの更新は、大丈夫な認識 >>856
今回の10.3がどうだか知らんが以前NetMeisterでldcだけ置き換えられたのだが...
まあ、それで問題なくてもrapが公開されるまで待つけどね >>858
ldcだけ置き換えられたって何を見たらわかるの?
NetMeisterで更新した10.3はBootstrapが17.1になってて新しくなってる気がするんだけど >>859
確認するところはそこでいいよ
その様子だと今回はブートストラップも更新されたんだね
以前ldcだけ置き換わったのはどの版数だか忘れた
その時の反省から改善されたのかもね 初めてNetMeisterからIX2215 FW10.2.20のFW更新をしてみたけど、何度試しても「FW更新に失敗しました。」となるのだが、どうやったら良いの? >>861
NECのサポートサイトへ相談する形でしょうか。
Ver10.2.20は、USBドングル周りに問題が出たバージョンですので、NEC側で発給停止になっているかと思います。
極端に古いファームウェアからのダイレクト・アップデートは失敗する形になるケースが
散見されていますので、一度Ver10.1.22に更新してからVer10.3.10へ更新してみては如何でしょうか? >>861
コンソールで更新してみたら?
エラー内容がわかるかもよ。 一部のPC・ブラウザではい/いいえのラジオボタンが表示されなくて先に進めない >>862
説明ヘタでごめん
現在Ver10.2.20を使用中で、Ver10.3.10に更新しようとして20分くらいしてから失敗のメッセージが表示されます
NetMeisterに接続するブラウザを、ChromeからFirefoxに変えてみてもダメでした
NECのダウンロード・サイトにVer10.3.10を早くアップしてほしいです
コンソールからNetMeisterを利用したFW更新ができるのかな?
コマンドリファレンスを調べてみます いや、ログインページが元に戻って
機種別のページはデザインが更新されてた 861 & 867 ですが、やっとNetMeisterからIX2215のFW更新ができました
Ver.10.2.20 から直で Ver.10.3.10 に更新することはできなかったので、
NetMeisterに表示されるVerを全て試したら、一番古い Ver.10.1.16 だけが更新できたので、
一旦 Ver.10.1.16 にしてから再起動 → 再びNetMeisterでVer.10.3.10 に更新したら実行されました
どうやらVer.10.2.20 はNetMeisterと相性が悪いみたいですね
NECのダウンロード・サイトには、もう最新FWはアップされないのでしょうか?
Ver.10.3.10 に更新してからNetMeisterに接続したら、装置のCPU使用率やポート情報がビジュアルに表示されて、
まるでRTX1210の管理画面のようでした
NetMeisterから各拠点のルーターを遠隔操作でFW更新したり、コンフィグを変更できるから
システム管理者にとっては重宝しそうですね 新ソフトウェア、ダウンロードサイトにも公開されたね >>855
回答有難う御座いました。でも以下の様に設定致しましたが、GE2側のデバイス(PC)ではまたPPPOEでネットに繋がれませんでした。
bridge irb enable
bridge 1 bridge-only pppoe
interface GigaEthernet0.0
bridge-group 1
interface GigaEthernet2.0
bridge-group 1
Show bridgeのコマンドでGroup状態を調べましたが、以下の結果です。
IRB Group 1 Forwarding Cache - 0 entries, 4096 frees, 247 flybys, 0 overflows
IRB Group 1:
Interface Status Address RX count TX count RX drops
GigaEthernet0.0 blocked 00:60:b9:e2:84:4e 0 0 0
GigaEthernet2.0 forward 00:60:b9:e2:84:2e 247 0 0 教えてくれくれ。
NetMeisterのDDNSってIXルータ同士でしか使えないものなの?
他社ルータとかVPNクライアントソフトで使いたいけど無理かな? 何を見てnetmeisterを他社製品で使えると思ったのか。
コマンドリファレンスすら見ないんだな。ddnsの設定以前の問題。 >>0872
PPPoEパススルー設定されたとの事ですが、GE2インターフェイスには、DHCPサーバのポリシー設定されていますか?
されていれば、そちらのセグメントが優先され、PPPOEセッションをはった場合に、グローバルセッションされない場合が想定されますが。 >>0873
以前テスト実施した事が有ります。
netmeisterとヤマハのnetvolanteのメインモード接続試験した事がありますが、ヤマハルーター側で、netmeisterドメイン検出出来なかったことが有ります。
富士通系とfortinet系は、大丈夫でした。 >>876
d ドメイン検出できるルータもあるんだ
>NetMeister に接続した装置は、以下のドメインでアクセスすることができます。
ってあるから無理かなってダメもとだったけど、逆に何でドメイン通るんだろうねぇ web guiで設定などするからconifgもコマンドリファレンスも絶対見ようとしない。 >>877
FQDNでのアクセスですが、IPSECなどのトンネル接続の場合、
相手先のIKE-SAやIPSEC-SAポリシーに合わせないと、ダメだったかと思います。
Fortigateの場合には、FortigateのIPSECポリシーに合わせないとドメイン宛ての通信が
検出出来ず、相互認証が出来なかったかと思います。
更にNEC独自の機能にて、他社VPNルーターへ接続する場合ですが、ネゴシエーションする前に、
対向ルーターへping疎通確認してから、ネゴシエーションさせないと通信しない仕様
になっていたかと思います。
IXルーターから他社機へ接続する場合、ネットワークモニターも併用しないと、殆ど無理。 俺は、拠点間VPNは両端を揃える。
俺の場合は、IX。 >>877
他社の場合ですが、よく本拠点にfortigateやwatch guardなどのUTMを設置するケースも有るかと思いますが、必ずしも支店に同メーカー品を設置するとは限らないので、NECも他社機の接続設定例などを公開すると良いかもしれない。 >>881
うちの本拠点、UTMはFortigate、VPNルーターはIX。 >>882
ご存じかも知れませんが、
FortigateにIPSECトンネルとL2TP/IPSECをリモート併用する場合ですが、
FortigateのL2TPトンネルには、機能的にL2TP-LNS側へDNS名称解決する設定に制約
があるので、L2TPトンネル経由でリモートゲートウェイを利用する設定は、
クライアント側の機種に依存して利用不可の場合が有ります。 >>873
NetMeisterのDDNS、他社からでも使えるよ。 >>0884
他社からと言うのは、検証結果の話ですか?
対向ルーターが、ヤマハ系はネゴシエーションしなかったかと思いますが。
アライド系やhpなどは、個人的にまだ検証してませんが。 >>885
それって、DDNSではなくIPsecのこと? >>886
IPSECのネゴシエーションのことです。
DDNSの使途で運用するとすれば、サーバ公開、VPN等になるかと思いますが。
Netmeisterの場合、特にIPV6-DDNSの運用がインパクト有るかと思いますが。 >>887
俺は他社製品との接続はしない。
めんどくさいから。 すご腕の皆さん教えて下さい!
スマホでVPN(L2TP)をしたくてこのページコピペして追加しました。
https://jpn.nec.com/univerge/ix/Support/l2tp_ipsec/android.html
さらにネットで調べたのをWANに追加
http://www.nosense.jp/ix2105-throughput-l2tp/
ip access-list ike-pass permit udp src any sport any dest any dport eq 500
ip access-list ike-pass permit udp src any sport any dest any dport eq 4500
ip access-list ipsec-pass permit 50 src any dest any
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding プロバイダ
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 4500
ip filter ipsec-pass 1 in
ip filter ike-pass 2 in
ip filter dynamic-all-pass 1 out
no shutdown
いろいろやってたら一度だけつながったのですが、どこが悪いのかさっぱりです。
show loggingとか見ても何もエラー出てないですし・・・
何かアドバイス頂けないでしょうか! >>889
まずConfigを整理した方が良いですよ。
http://www.nosense.jp/ix2105-throughput-l2tp/
↑のサイトのConfigでほぼ大丈夫かと思いますが、PPPOEのプロファイルの設定相違
を確認下さい。
「ppp binding プロバイダ」
となっていますので、
ppp profile プロバイダ
authentication myname abcdefg@******.***.jp
authentication password abcdefg@*******.***.jp hijklhm
abcdefg@******.***.jp → プロバイダ接続ID
hjklhm → 接続パスワード
それと、L2TPリモートアクセスをする場合に、契約プロバイダは固定IP契約は加入していますか?
加入していなければ、DDNSドメインの設定が必要です。
IX2105の場合、最新ファームウェアの適用にて、Netmeister-DDNSの設定が可能ですので、
確認してみて下さい。
Netmeister-DDNSの設定については、下記を参考に。
nm ip enable
nm account (アカウント名) password plain (アカウントパスワード)
nm sitename Router1
nm ddns notify interface GigaEthernet0.1 protocol ip
上記のNetmeister-DDNS登録前に、NECのNetmeister登録が必要です。
※ https://www.necplatforms.co.jp/product/netmeister/index.html? >>890
ありがとうございます。
プロバイダは省略して書きました。ネット出来てるので大丈夫だと思います。
固定IPの前にテスト段階なので繋がるようだったらMyDnsで考えています。
まっさらからやり直した方が早い感じでしょうか? >>0891
Mydnsの場合、グローバルIPとの名称解決のタイムロスが大きいので、できればnetmeisterの方が良いかと思います。
それと、IX2105のネームサーバーの指定は、されていますか?
proxy dnsのみの指定ですと、outboundの接続は問題有りませんが、inboundの名称解決されないので、ネームサーバーの指定もしてみて下さい。
ip name-server ***.***.***.***
それと、udp1701の静的IPマスカレードの登録と、udp1701のアクセスリストで許可を登録してください。
l2tp のトランスポート接続に利用するポート番号です。
ip access-list ike-pass permit udp src any sport any dest any dport eq 1701
ip napt static GigaEthernet0.1 udp 1701 >>0891
補足ですが、接続クライアントがWindows8.1や10ですと、リモートアクセスの回線により、キャリアグレードNATに対応出来ないので、OSのレジストリ変更にてNATトラバーサル機能に対応させる必要が有ります。 >>891 892 893
補足(2)ですが、
LAN側インターフェイスにProxyARPの設定も忘れずに確認下さい。
Proxy DNSの設定に、プロバイダからの自動取得若しくは固定DNSの設定も
確認下さい。
proxy-dns interface GigaEthernet0.1
ip name-server と併せて確認下さい。 ネームサーバーはグーグルDNS指定してます。
udp1701ってやはり必要ですよね?ヤマハの事例集みてたら書いてたので試してみます。
ProxyARPも設定してます。
この辺り一度試してみます。ありがとうございました。 >>0895
リモートアクセス側の回線もご確認下さい。
ipsecパススルー、UDP4500、UDP1701、UDP500、プロトコル番号50番の開放もご確認ください。 >>0898
Buffaloを聞いただけで、Buffaloブランドの方は購入しない。
Buffaloのサポートは酷い。
今まで通り、NECブランドの方を選択する。
ブランドイメージが崩れる。
バッファローでは無く、バッキャローかと。 >>900
コンシューマ向けには販売されないので心配ご無用 もし自由にファームがダウンロードできるなら、バッファローでもいいかな! ocnバーチャルコネクトとpppoeパススルーを併用したいと思っているのですが、
可能なのでしょうか?また、可能なら設定はどこかに書いてありますか? >>907
在宅ワーク関連ソリューションは、ニーズが有るかと思うよ。
「ZoomCloudMeetings」
「WebEX」
等
Zoomについては、セキュリティ問題が付いていますので、ルーターの方にて、
フレッツセッションプラスでのNAT-VLAN網や、セキュリティ関連ソリューションも
考慮する形になるかと思いますが。
@ PPPOE1→VLAN1(社内LAN)
A PPPOE2→VLAN2(ZoomTV会議)
VLAN1→VLAN2双方のアクセス制限等。 構成が
IX2215 -HGW- NGN網内 -HGW- IX2215
IX2215間のPingが大体3ms〜4ms位の環境
で、IKEv2でVPN張って60Mbpsしか出ないのは
やっぱHGWのせい?
双方PR-500KIだけど、ひかり電話ありなんでNGN直結は無理なんだよなぁ。
IPIPならもっと出るらしいし、ipsecを止めるしかないかな? >>909
おれは、ixの配下に、nttのprを設置してるよ >>911
ひかり電話ありっていってるんだからそれは無理だろ >>912
横からだけど一応できなくはないよ
wanをブリッジさせてHGWに入れれば使える。そこでipv6落としちゃえばipv6取り合いにもならない
ただし、HGWががんばってipv6待つからHGWの起動がすごい遅くなるけど >>913
スマン、ひかり電話以外にダメな理由があって、固定のIPv6もらってる都合
IPv6をIXのPPPoEで終端せねばならんのだ。
HGWより上に持って行くと、ルーティングとかもう面倒なんで出来てもやりたくないってのはある。
で、それだけじゃあれなんでipsec以外で組むとどうなるか試した。
https://pastebin.com/nbnubFVk
商売なのも分かるけど、いくら何でもそりゃないっしょ・・・
制限かけるなとは言わないけれど、せめて200M位は。。。
IPIPで400M出てるんだから、明らかに制限してるよねこれ。
環境は全く同じで、Tunnelの設定変えただけ。 >>913
そんな感じ。
ipv4はprのみへ
ipv6はixのみに渡してる ixシリーズを自宅に導入しようと思っているんですが、v6プラス(map-e)とpppoeの併用は可能でしょうか?
もしできないようなら、pppoeパススルーを使って別のルーターで処理する予定です >>917
ありがとうございます。
安価なix2105を導入することにします。 >>918
2105コスパいいね。
netmeister使えるし。 https://jpn.nec.com/univerge/ix/Support/ipv6/native/ipv6-vpn_r.html
ここの設定例で繋がったものの、拠点側2側の端末で一部FTPサーバが使えない(ftp.iij.ad.jpとかftp.ne.jp)
拠点1は問題なく接続可能
・端末でパケットキャプチャしてみると、認証はできて、
PASVモードになって端末からSYNパケット飛ばした後にSYN/ACKが返ってきていない
・拠点1側のIXのパケットを見てるとFTPサーバからSYN/ACKは返ってきている
トンネルの部分でパケットが消失しているように見えるものの、
どうしたらいいかが分からず…気づいた点があれば教えていただきたいです。
拠点1 IX2215 10.3.10
拠点2 IX2105 10.2.23
回線 フレッツ光ネクスト VDSL IPv4の動的フィルターを忘れてる予感
# 動的フィルター例
ip access-list all-permit permit ip src any dest any
ip access-list dynamic dynamic-v4 access all-permit >>921
すでに入れていますがダメですね。。
現在MSSはautoで1350になっていますが、1300など小さくしても変わらずでさっぱりです。 拠点2のIXのdefault gatewayのインターフェースにもIPv4の動的フィルター設定してる? ix2105は最強コスパのルーターな気がする。
電力消費は少ない、小さい、ファンレス、高性能。
最新Osになっていれば初心者でもguiで一発だし。 >>924
IX2105は確かに良いルーターですが、現在中古でIX2215が安価に入手出来る事を考えると、
IX2215にしておいた方が良いのでは? >>925
ix2105が5000〜12000円で、ix2215が13000〜30000円ぐらいなので予算次第かなと。
ix2105でもいま流行りのmap-eも対応していますし。
ix2105ならatermのやすいものと値段がかわらないので。最新ファーム+保証(すぐの動作不良ぐらい)で12000円ぐらいでかえたえたりするので。 >>920
FTPサーバが利用不可の件ですが、ご指定のFTPサーバFQDNはIPV4のサイトですよね?
確認ですが、拠点2の接続は拠点1経由でのインターネット接続でしょうか?
もし、拠点2の接続が拠点1経由であれば、アクセスリストとルートマップにて、拠点1側へ
向けてあげる必要があります。
例 拠点1→ トンネル1:MAP-E、トンネル2:拠点2間IPSEC-VPN
拠点2→ トンネル1:MAP-E、トンネル2:拠点1とのIPSEC-VPN
拠点2のデフォルトゲートをトンネル1にしている場合。 >>923
Tunnelデバイスには動的フィルタやACLは設定していないです。
なのでなんでも通ると思っています。
設定してみましたが、変わらずです。
なお、現在は、拠点1のPPPoEインタフェースに動的フィルタを仕掛けています。
>>927
IPv4のサーバですね。
インターネット接続は拠点2経由で経由1のISPから出ていきます。(PPPoE)
MAP-Eは利用しておらず、参考例通り、
拠点2のデフォゲは拠点1とIPsecを張っているTunnelデバイス、
拠点1のデフォゲはPPPoEで接続しているインタフェースです。 >>928
拠点1→ PPPOE1-NAPT、IPSEC1、デフォルトゲートPPPOE1
拠点2→ PPPOE1-NAPT、IPSEC1、デフォルトゲートIPSEC1
↑と言うことは、拠点2のデフォルトゲートがPPPOEセッションを通り、
折り返し拠点1のPPPOEから出ている要件でしょうか。
IPSECトンネルを張る対象PPPOEセッションと、
実際にインターネットを張るセッションは分割させないとうまくいかないのでは?
拠点1→ PPPOE1-NAPT(IPSEC1トンネル用)、PPPOE2-NAPT、デフォルトゲートPPPOE2
拠点2→ PPPOE1-NAPT(IPSEC1トンネル用)、デフォルトゲート(IPSEC1) >>925
>>926
最新のファームはどうやって入手できますか? 最新ファームだとIPv6やMAP-EもGUIで簡単に設定できるのか? >>930
最新ファームウェアは、Netmeister側から更新出来ます。
他にも、NEC専用サイトからダウンロード出来ます。
NEC専用サイトの認証には、NECへユーザー登録が必要です。 >>931
最新ファームウェアだと、IPV6の自動判別設定が出来る点が有りますが、
MAP-EのIPV6-NDプロクシまでの設定はCLIになるかと思いますが。
→IPv6 PD/RA自動判別機能に対応しました。
→IPv6 IPoE設定、NGN網VPN設定が、かんたん設定で行えるようになりました。 Netmeistarって登録さえすれば誰でも使えるんかね? え、使えるのwやったー
ネットマイスター対応バージョン買います >>0936
netmeisterの対応バージョンは、機種によって違います。
IX2105はv4止まり。
IX2215はv5以降も対応している。 へぇ、以前は中古買うと一切ファームウェア更新できなかったのにねぇ
良い時代になったな
まあ、中古で売ってるやつはそもそもNetMeistarに対応してないのがほとんどだけれどさ NECの決算は最高益らしいじゃないですか。これを機に新ルーター発表して攻勢に出てくださいよ。 ix2215欲しい。それに無線ルータをAPモードで繋げたい。 ix2215導入するんだったら、多少知識やあると思うんで、CiscoとかArubaの中古無線AP入れた方がいいと思うけどな。
間違ってもコントローラー必須の集中管理型は買わないように。 >>0942
IX2215を利用し、netmeisterを利用するのであれば、NEC NA1500a あたりが良いかと思いますが。
ヤマハ WLX402やWLX313なども良いかと思いますが。 >>0941
無線LANを導入検討される場合、クラウド側からメンテナンスやサポート対応機種が良いです。
シスコ MERAKIとか。
それ以外には、NEC無線LANでnetmeister対応品、ヤマハ無線LANなど。 >>943
法人でしたらそれでいいんですが、一般住宅での利用であればちょっと高いと思うんで。
ac非対応でよければwlx302は7000円ぐらい手に入っておすすめです。
200Mbps近くはでるんで十分すぎる性能かなと これURLフィルタが使えるのはいいけどIPv6は設定できないんだな
IPv6もフィルタリングしてくれるよさ気なルーターってない? >>946
URLフィルタ(http、https、IPV4-IPV6)をさせる場合、
IX2215やIX2105、IX2106あたりに、FortigateのURLフィルタリングを利用すれば、
対応可能かと思いますが。
ルーターはIX2215、FortigateをトランスペアブリッジでFortiGuardでのURLフィルタリングでしょうか。
Fortigate単体のNAT機能でMAP-Eの構成も可能ですが、全てCLI設定になるかと。 >>945
個人的に利用しているのは、FortiAP-Sシリーズですが。
Fortinet系のクラウド管理型無線LANです。 IXの話なのになんでFortiGateが出てくるんだろうな
そういう時は普通はIXでは出来ない、て話にならんか? n-techたんはときどき自分の好みを押しつける癖がある ixをオークションで落としたとしても、ver10 以上じゃないとネットマイスター利用できない? レス数が950を超えています。1000を超えると書き込みができなくなります。