NEC UNIVERGE IX2000/IX3000 運用構築スレ Part11
■ このスレッドは過去ログ倉庫に格納されています
ZOOT NATIVE固定の設定でipv6 interface-identifierでハマった。
00:00:00:00:00:00:fe:edで接続できた。
ちなみにIPv4インターネットにのみ接続する場合は、IX2025でも可。 >>993
Part10
のEO多機能ルーターの接続(IPV6)ですが、
IPV6機能を利用するためには(EO動作検証済み構成)、
EO多機能ルーターをブリッジには出来るが、光電話の利用は出来なくなる。
EO多機能ルーターのブリッジにすると、多機能ルーターのIPは半固定にて運用し、
配下のルーターにて、PPPOEセッションと、IPV6接続設定をする。
EO多機能ルーターをデフォルトのままですと、
EO多機能ルーター側にて、PPPOEセッションを張らない場合、PPPOEブリッジを有効に
なっていますので、配下ルーターにてPPPOEセッションを張る。
IPV6通信については、EO多機能ルーター側にて光電話機能を利用し、DHCPv6-PD
を利用するので、配下ルーターへはRAプレフィックスの配信をされる。
よって、配下のIXルーターのWAN側のIPV6アドレスの取得方法は、
PPPOEセッション(GE0.1)、IPV6ブリッジ若しくはND-Proxy(GE0.0)
が可能と思われますが、ND-Proxyですと、余計なセキュリティポリシーが動作するので、
出来ればブリッジの方がスムースかと。
EOサイトでは、多機能ルーターの併用をIPV6の利用条件になっている。 すでに51℃とかいってた
泣きながらUSBファン置いた
2215死ぬな >>5
IXは熱に強いイメージがあるけど、劣化しそうで心配だよね。 古い木造二階建ての二階、普段は人のいない部屋に設置してると
(クーラーかけないので冷えないから)夏場は簡単に45℃超えそうなんだよね
おかげで2215には常時USBファンの風をあてなきゃならん
2106買ったらマシになるかな IPsecVPN についての質問です。
(1) v6プラス+---GE0(ix2106)GE1---PC1
ix2106 (configの一部)
ip route 192.168.1.0/24 Tunnel1.0
interface GigaEthernet1.0
ip address 192.168.0.254/24
interface Tunnel1.0
ip unnumbered GigaEthernet1.0
(2) PPPoE+------GE0(ix2105)GE1---PC2
ix2105
ip route 192.168.0.0/24 Tunnel1.0
interface GigaEthernet1.0
ip address 192.168.1.254/24
interface Tunnel1.0
ip unnumbered GigaEthernet1.0
上記のような2拠点をIPsecVPNでつないでいます。
ike SA, IPsec SA, tunnel status などはチェック済みで
PC1から192.168.1.254にはpingが届きます
しかし、そこからPC2へのpingが通らずに困っています。
ix2105からPC2へのpingは通ります。
なにか見落としていることがあるのでしょうか 見落としてるとしたらここはVPNの質問スレではないって事かな
どうせ後出しで揉めるんだからコンフィグ全部張りなよ >>9のConfigです。すこし長くなりますが、まずはix2106(固定IP)側から
ip ufs-cache max-entries 20000
ip ufs-cache enable
ip route default Tunnel0.0
ip route 192.168.1.0/24 Tunnel1.0
ip dhcp enable
ip access-list web-http-acl permit ip src any dest 192.168.0.254/32
ip access-list web_vpnlist permit ip src any dest any
ipv6 ufs-cache max-entries 10000
ipv6 ufs-cache enable
ipv6 dhcp enable
ipv6 access-list block-list deny ip src any dest any
ipv6 access-list permit-list permit ip src any dest any
ipv6 access-list web-permit-list permit udp src any sport any dest any dport eq 546
ipv6 access-list web-permit-list permit udp src any sport any dest any dport eq 547
ipv6 access-list web-permit-list permit icmp src any dest any
ipv6 access-list web-permit-list permit 4 src any dest any
ipv6 access-list dynamic cache 65535
ipv6 access-list dynamic dflt-list access permit-list
ike nat-traversal
ike proposal web_vpn2ikeprop encryption aes-256 hash sha2-256 group 2048-bit
ike policy web_vpn2ikepolicy peer any key **************** mode aggressive web_vpn2ikeprop
ike remote-id web_vpn2ikepolicy fqdn satellite1
ipsec autokey-proposal web_vpn2secprop esp-aes-256 esp-sha2-256
ipsec dynamic-map web_vpn2secpolicy web_vpnlist web_vpn2secprop ike-binding web_vpn2ikepolicy
ipsec remote-id web_vpn2secpolicy 192.168.1.0/24
proxy-dns ip enable
proxy-dns ip request both
ddns enable ip dhcp profile lan100
assignable-range 192.168.1.2 192.168.1.250
default-gateway 192.168.1.254
dns-server 192.168.1.254
lease-time 7200
ip dhcp profile web-dhcp-gigaethernet1.0
dns-server 192.168.0.254
ipv6 dhcp client-profile dhcpv6-cl
option-request dns-servers
ia-pd subscriber GigaEthernet1.0 ::/64 eui-64
ipv6 dhcp server-profile dhcpv6-sv
dns-server dhcp
ddns profile v6plus-update
url http://***.******.ne.jp/
query user=**********&pass=********
transport ipv6
source-interface GigaEthernet1.0
update-interval 10
interface GigaEthernet0.0
no ip address
ip napt static GigaEthernet0.0 50
ip napt static GigaEthernet0.0 udp 500
ip napt static GigaEthernet0.0 udp 4500
ipv6 enable
ipv6 autoselect enable
ipv6 autoselect ra-delay 0
ipv6 dhcp client dhcpv6-cl
ipv6 nd proxy GigaEthernet1.0
ipv6 filter web-permit-list 51 in
ipv6 filter block-list 200 in
ipv6 filter web-permit-list 51 out
ipv6 filter dflt-list 200 out no shutdown
interface GigaEthernet1.0
ip address 192.168.0.254/24
ipv6 enable
ipv6 interface-identifier **:**:**:**:**:**:**:**
ipv6 dhcp server dhcpv6-sv
ipv6 nd ra enable
ipv6 nd ra other-config-flag
no shutdown
interface Tunnel0.0
tunnel mode 4-over-6
tunnel destination xxxx:xxxx:xxxx:xxxx::xx
tunnel source GigaEthernet1.0
ip address xxx.xxx.xxx.xxx/32
ip tcp adjust-mss auto
ip napt enable
ip napt static Tunnel0.0 50
ip napt static Tunnel0.0 udp 500
ip napt static Tunnel0.0 udp 4500
no shutdown
interface Tunnel1.0
description testVPN
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn2secpolicy out
no shutdown >>9次にix2105(動的IP)側
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.0.0/24 Tunnel0.0
ip dhcp enable
ip access-list web-http-acl permit ip src any dest 192.168.1.254/32
ip access-list web_vpnlist permit ip src any dest any
arp auto-refresh
ike nat-traversal
ike proposal web_vpn1ikeprop encryption aes-256 hash sha2-256 group 2048-bit
ike policy web_vpn1ikepolicy peer ***.***.***.*** key **************** mode aggressive web_vpn1ikeprop
ike keepalive web_vpn1ikepolicy 30 6
ike local-id web_vpn1ikepolicy fqdn satellite1
ike suppress-dangling web_vpn1ikepolicy
ipsec autokey-proposal web_vpn1secprop esp-aes-256 esp-sha2-256
ipsec autokey-map web_vpn1secpolicy web_vpnlist peer ***.***.***.*** web_vpn1secprop
ipsec local-id web_vpn1secpolicy 192.168.1.0/24
proxy-dns ip enable
proxy-dns interface GigaEthernet0.1 priority 254
ppp profile web-ppp-gigaethernet0.1
authentication myname ********@*************.ne.jp
authentication password ********@*************.ne.jp ********
ip dhcp profile lan100
assignable-range 192.168.1.2 192.168.1.250
default-gateway 192.168.1.254
dns-server 192.168.1.254
lease-time 7200
interface GigaEthernet0.0
no ip address
shutdown interface GigaEthernet1.0
description LAN1
ip address 192.168.1.254/24
ip dhcp binding lan100
linkmgr enable
no shutdown
interface GigaEthernet0.1
description WAN1
encapsulation pppoe
auto-connect
ppp binding web-ppp-gigaethernet0.1
ip address ipcp
ip tcp adjust-mss auto
ip napt enable
ip napt hairpinning
ip napt static GigaEthernet0.1 50
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 udp 4500
no shutdown
interface Tunnel0.0
description testVPN
tunnel mode ipsec
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn1secpolicy out
no shutdown 長くて失礼しました。
このような状況で、各ルーターのGE1に接続したPCからは対抗側ルーターへ
pingが通るのですが、PC→対抗側のPCや、ルーター→対抗側のPCへのpingは
タイムアウトになります
トンネル(testVPN) は「接続」状態となっています。
ix2106 のルーティングテーブルをみると、192.168.1.0/24 is directly connected,,Tunnel1.0
ix2105 のルーティングテーブルをみると、192.168.0.0/24 is directly connected,Tunnel0.0
という感じです。
参りました。見当がつく方いらっしゃいますか >>9の件、自己解決しましたので報告します
結局>>11のアドバイスが正解でした。
テストに使用した端末Windows,NASのファイアウォールでICMP遮断されてました…
両方のLAN側にラズパイやネットワークプリンタなどをぶら下げてフルメッシュで
PING打ちまくったところ、前回のテストに使用した端末「だけ」がFWで遮断されて
いたというとほほな結末
そういえば、昨今ロシア情勢の影響で、KasperskyをやめてWindowsファイアウォール
にしたので、OS純正のFWルールをつぶさに見たのは今回が初めてでした
Windowsファイアウォールに対抗側のLANサブネットのICMP受信許可でOKでした
NASも似たような感じ
お騒がせして申し訳ない >>19
IPSECトンネル・アグレッシブモード運用の件ですが、CLIコマンドを見ましたが、
IXルーターの場合ですが、SAの定期更新に見に行かないので、
ネットワークモニターなどの運用にて、SA更新等のモニタリングを設定された方が良いかと思いますが。
設定例(IX2105)
watch-group watch-VPN 10
event 10 ip unreach-host 192.168.0.254 Tunnel0.0 source GigaEthernet1.0
action 10 ipsec clear-sa Tunnel0.0
probe-counter variance 5
probe-counter restorer 3
probe-timer variance 60
probe-timer restorer 60
network-monitor watch-VPN enable >>19
それと、IX2106側のGE1.0側にIPV6-IPOE用のFQDNアドレスが付帯されている
かと思いますが、IX2105側のGE0.0、若しくはGE1.0側にNTTの閉域網アドレス
(IPV6-FQDN)が取得出来る環境(フレッツV6オプション)でしたら、
IPV6-IPSECのメインモードの接続も可能かと思います。
その際には、Netmeister-DDNSの監視機能にて、
IX2106のGE1.0と、IX2105のGE0.0、若しくはGE1.0間にてNetmeister-DDNS同士の
接続も可能かと思います。 ありがとうございます
ご指摘を踏まえ、改善を進めたいと思います IX2215,2105等の新しいファームウェアアップデート来てるね
4. 不具合修正
-------------
[1] Biglobe IPv6オプション、OCNバーチャルコネクト(動的IP)回線接続時、IPv4
通信ができない場合がある問題を修正しました。本問題は払い出させれる
MAPルールに依存します。
本問題はVer10.2.16版以降で発生します。 IX2105からIX2215に機種変更してみたら
Speedtestで普通に880Mbpsくらい出るようになった。
2105は600Mbps辺りがハードの限界。 >>25
やっぱり性能に余裕がある方が早いんですね。
うちも替えるかな >>26
ヤフオクにて送料込み8000円くらいで購入できるので
お遊びで利用するにはとても面白いです。
LAN機器も多数つなげられるので、ゲーム機を多く持ってる人は全て有線化が出来る。
IX2105からのコマンド変更点もinterface GigaEthernet1.0から2.0に変えるくらいで動く。
ip napt translation max-entries 250000まで設定で切るのも(・∀・)イイ!
難点はIX2105から縦、横共に2倍くらい大きい、
FPSゲームでの体感は全く変わらない。
室温23度くらいの場所で稼働させておいても、あっという間に内部温度50度超えするので
問題なく動作はしてるのだけどちょっと心配ってのはある。 FQDNアドレスってなんぞ
DQNアドレスに空目した 自宅で楽天ひかり、IX2215を利用中。
ルーターを通るパケットの通信元・通信先・ポートを簡単に一覧で見る方法ないですか。
show ip napt translation の結果の画面が理想です。
これに、naptを使わないipv4や、ipv6も、udpも含めて見たいです。
show ip ufs-cache verbose と show ipv6 ufs-cache verbose だと、
見づらいので、ほかの方法ご存じの方、教えてください。 >>29
使ったことないけど、IX的にはそういうのはsFlow使えってことじゃないかな
ルータ単体では済ませられないけど map-e で、getting rule でエラーが続くことがあるけど、たまたま? 光が100Mの環境で、IX2025からIX2105にかえたら、気持ち速くなった。 IX2105 横置きで対して仕事させてないけど47度あるんだが
みんな対策してます? とりあえずゴム足が症もないものがついてたんで
ゴム足を背の高いものに変えるか考えます 仕様からみるに環境温度50℃まで対応なんだろうから、内部温度47とかヘーキヘーキ おま環かもしれないけど、
IX2215使ってNGN網VPNで2拠点を繋いでるんだけど、夏になって暑くなりだすといつの間にか勝手にリブートしてる
稼働時間見ると1日1回はリブートしてる(大体室温26℃で内部温度43℃位で使用してる環境)
ハードウェアの諸元見ると、使用条件温度:0℃〜45℃となってるんだけどね
試しに筐体の横から、自作PC用の12cm角の静音FAN×2台を当ててやるようにしたら、勝手に再起動はなくなったよ
おま環かもしれないけどね IX2207を空調のない拠点に設置したことがあったけど、内部温度65度になってもびくともせず夏を乗り越えてたな
状況はそれぞれだろうけど... 使用条件の45℃って周囲温度なので、内部温度は70℃くらいまでは大丈夫たろ。知らんけど。 >>36
我が家の2215も兄・姉の家とNGNVPN繋ぎで運用してるけど今内部温度見たら60℃になってたわ…
今の所問題なく動いてるけど流石に真剣に熱対策しなきゃと思ってる Azureの拠点間VPN接続を試してみたくてIX2105を買った!
コマンドラインはよくわからない...
GUI設定でPPPoE接続設定、AzureのVPN接続設定すればいけるよね?
設定の参考になる良いサイトなどあれば教えて欲しい。
お願いいたします。 何だかんだでNEC公式のドキュメント読むしかないよ
コマンドリファレンスと設定例のPDFだけで何とかはなるし、
これで何ともならんのなら扱うのおそらく無理 IS2215のローカル側に
・WindowsPC5台
・無線LANルーターをブリッジモードでぶら下げて
(そのWifiにスマホのAndroid端末が12台くらいとiphone1台、ipad1台がぶら下がっています。)
全ての端末には、IS2215のDHCPv4サーバ機能使ってIPを割り振っています。
起動して数日するとWindowsPCいがいの端末のうち数台が不定期でインターネットに接続できない状態になり、
・問題の端末を再起動してもダメ
・無線LANルーター(ブリッジモード)本体を再起動してもダメ
・ISを再起動すると繋がるようになります。
PCでは同じようにぶら下がっているWindowsPCでは一度も問題が出ていません。
調べましたが、IPのコンフリクトは起きていません。
数日おきに不定期で発生しますが、一体どんな原因が考えられるでしょうか?
もしくは、
IS2215の再起動でなおるので、定期的な再起動でも問題ないのですが指定時間や、指定間隔毎にISを再起動させる設定ってありますでしょうか? ↑
すみません。
ISじゃなく、IXの間違いです。 IPの払い出しの範囲が狭すぎて枯渇してるとかでは? >>43
記載された情報を整理すると、
※wifiルーター配下の機器のみに異常がでる
※wifiルーター再起動で改善せず
※ix2215再起動で改善
ということであれば、ハード面で考えられるのは
※ix2215 GE2のwifiルーター刺さってるポートにトラブルが発生してる可能性
GE2側を通常のsw-hubとして運用されてるのであればwifiルーター刺さってるのを別のポートに挿して様子をみてみる
改善しなければsh tecコマンドで原因見つけ出す
て流れになりますかね
そうなると>>45の可能性も十分考えられると思います >>46
かなりのど素人な私はNAPTテーブル枯渇かと思ったけど
2215もファームが古いと、デフォルトエントリー数が少ないし 試しにスマホのmacアドレスランダム化を解除してみては。
先に確定させたいなら、DHCP配布リストのmacとスマホが通信できなくなったタイミングでのランダム化macが一致している事の確認 arp auto-refresh してなかったらしてみれ。
あてずっぽうだけど。 >>47
NAPTテーブル溢れの線は薄いかなぁと
※初期の2215のNAPTテーブル保持数は65535(現ファームでは25万)なので、20台弱(うちPCが5台)の利用規模であれば古いファームでも十分捌けそう
※仮にテーブル溢れだとしたらスマホに限らずPC含め全体に症状が出ると考えるのが自然
※2215の機能で仮にスマホipadを指定してテーブル上限を厳しく指定していて溢れた場合も症状は全く繋がらないというのではなく、繋がったり繋がらなかったり、webサイトの表示がおかしかったりという症状になる
以上のことからハードウェア要因を除外すれば私もDHCP絡みの線からまずは調べていくと思います >>47
よく見てなかった申し訳ない
不定期に繋がらなくなるという症状なので、症状が出る数台というのが毎回同じ端末というのであれば端末ごとに上限テーブル数を設定してあってそれから溢れてるという線も残りますね >>43
モバイル側のプライベートWI-FIアドレスの問題ですと、
モバイル側にて、同機能を無効化、IPアドレストラッキング機能の無効化、
Safari側のトラッキング機能の無効化、
あと、無線ルーター側ですが、モバイル側の仕様変更にて、
従来型の暗号化レベルですと、DNSトラッキング機能を設けている状況ですので、
出来れば、WPA3-SAEの対応モードにされた方が良いかと思います。
MACアドレスがらみの問題のケースが濃厚ですが、IXルーターに限らず、
業務系ルーターは、MACアドレスにてIPアドレス制御をさせているので、
MACアドレス周りをご確認頂く形になります。
あと、端末台数が多い形にですと、MACアドレスでのDHCPサーバ制御の部分が
御座いますので、IXルーターから見てスイッチ系のカスケードが多い、またそのカスケードの
遅延の問題でIPアドレスのリクエスト処理に問題が有る場合には、
無線ルーター側をブリッジモードでは無く、ルーターモードにして、
無線ルーター側のDHCPを運用し、IXルーターへの接続は、WAN側固定IPの設定を
することで、DHCPの遅延は回避出来る部分が御座います。
例 IXルーター(192.168.1.1/24、DHCP192.168.1.2〜192.168.1.100)
無線ルーターWAN側IP(192.168.1.254/24、デフォルトゲート192.168.1.1、DNS192.168.1.1)
無線ルータープライべートIP(192.168.2.1/24、DHCP192.168.2.2〜192.168.2.100)
↑ IXルーターから、無線ルーターのLAN側に接続している機器へのアクセスを考慮する場合には、
IXルーター側にLAN側ルーティング設定を確認して頂ければ、おそらくは大丈夫かと。
例 ip route 192.168.2.0/24 192.168.1.254 ほぼ常時接続のWindowsは問題なくて、スマホだけでしょ
しかも最初は大丈夫で時間経てば…だから
個人的には十中八九はDHCPのIP払い出しの枯渇だと思うんだよな ランダムMACって一旦登録されたら
そんな頻繁に変わらん気がするんだけどなぁ
ウチはスマホ30台くらいでランダムMAC処理させてるけど特に問題出てないよ
実際 端末管理で接続状態見てみると分かる
コロコロ変わるならその都度項目増える筈
DHCPの範囲指定とリースタイムの設定くらいじゃない? 無線LANブリッジのDHCPがONになってたりして >>56
多分それだと無線LAN再起動した時点で一時的でも治るはず ヤフオク、IX2105安くなったね。送料別で3,000円前後で手に入れられる。
map-eにも対応しているしコスパいいかも。 2105はサポート期限(ファームウェアの保守期限)が分からんのが不安要因かな
正規代理店から購入していれば案内があるんかね
仮に製品販売終了(2019/9)後5年だと2024年、10年だと2029年までだけど、ネットワーク保守ライセンスの説明に以下の断り書きがあるのよね(なので5年かな)
まあ3000円で後2年間使えれば上出来とも言えるが
> なお、ネットワーク保守ライセンスの種別(サポート期間)、サポート対象機器のお客様ご購入日の如何にかかわらず、NECがその機種の新規受注を終了していた場合、NECの当該機種受注停止日から5年を超えて以降のサポートサービスは受けられません。 皆さま色々とご参考になるような情報を有難う御座います。
ファームは最新の10.6.64を使用しています。
全端末20台位に対して、DHCPv4のIPの払い出しの範囲は、100程度払い出す設定を行っています。
(本件とは関係ないですが参考までに、DHCP払い出しIPの範囲外のIPアドレスを固定でプリンタ数台で使用しています。)
また無線LANブリッジのDHCPサーバ機能は間違いなくOFFに設定しております。
ぶら下がってるスマホは、default設定のままなのでmacアドレスランダム化がほぼ有効な状態だと思われます。
ほとんどのwifiクライアント端末は、wifi圏内に入ったり、圏外に出たりと一日のうちに何度も繰り返しておりますので、
ご指摘通り端末側のmacアドレスランダム化により、IXはその都度異なるアドレスを払い出してしまっていて、IPが枯渇状況するという
状態になっているというのも、確かに一つの原因として考えられます。
しかしインターネットに接続できなくなるスマホの状態を端末側から確認すると、IX払い出しの範囲でIPをしっかり取得できているケースの方が多く、
それでもインターネットに繋がらないという場合も多いので、何か別の原因もあるのではないかとも推定されます。
(IXは、IPを払い出し先のmacアドレスを記憶していて、該当mac以外からは通信を遮断するなんてことはないと思われるので)
DHCPの範囲指定をもう少し広く、リースタイムの設定短く設定し、再現頻度を確かめてみたいと思います。 Androidスマホなら "Ping & Net" てアプリがGoogle Play Storeで公開されてるから(Ulf Dittmerさん作)、
自分のや数人協力者を募ってスマホに入れておいて、
繋がらなくなった時にスマホ自体のWi-FiインターフェイスのIPアドレスや、ルータ、Wi-Fi APへpingが通るかとか確認してみたら?
あとDHCPを疑うならIXのDHCPのログレベルを上げるとか(bufferサイズも調整が必要かも) 通信出来なくなる要因で他に思いついたのはtransixなんかのポート数不足もあるかもな
ポート数使いすぎて解放されるまでデータ流れなくなる(pppoeだとその制限は無い) >63
発生時 "Ping & Net"アプリを試してみたいと思います。
>64
おっしゃる通りIPoEならあり得そうですよね、しかし当方の環境はpppoeでした。
DHCP関連の問題以外にも、もしかしたら何らかの関係しているのかなと思う要素がふと思い浮かんだのですが、
ぶら下がってるスマホのうち推定2、3台がスマホゲームを頻度高くやっている可能性が想定されます。
(ゲームは疎くて全くわからなく、なんの根拠もないのですがただなんとなく。)
ただ全体に影響る訳ではなく、不特定のスマホに症状が出る事(PCに影響なし)を考えるとNAPTテーブル溢れも考えずらいですし、
やはりスマホゲームは、関係ないでしょうかね。 PrimeVideoがiPadで見れなくなって調べたらランダムMacが原因だった事が有るよ プロの方々、どうか教えて下さいませ。
夜なべしまくって何とかipsecのL2接続まで達成出来たんだが、A拠点側(固定IP)からインタ-ネット側へ出ていきたいです。
interface GigaEthernet0.1の「ip filter flt-list1 1 in」を削除したら、拠点A側と拠点B側からA側の固定IPを通してインタ-ネット側へ出ていけます。
この「ip filter flt-list1 1 in」は、設定事例集の18.2で書かれているコンフィグで、単純に削除するだけでイイでしょうか?? それかaccess-listの書き方が根本的に間違えていますか??
設定事例集の18.1と18.2と実機演習資料(初級編)の「演習3 PPPoE回線での レイヤ2VPN」を参考にしています。
【環境】 拠点A(固定IP)-----ipsec----拠点B(動的IP) です。
それと、動的IP---ipsec----動的IP な組み合わせは無理ですよね?? 安い固定IPだとインタ-リンクですが、なんせ回線速度が出ないイメ-ジしかないwww 安いけど ***********ix2215 拠点A(固定ip側) 1/2***********
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 192.168.101.0/24 Tunnel2.0
ip dhcp enable
ip access-list flt-list1 permit 50 src any dest 111.222.333.444/32
ip access-list flt-list1 permit udp src any sport eq 500 dest 111.222.333.444/32 dport anyip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha lifetime 3600
!
ike policy ike-policy peer any key 事前共有鍵 mode aggressive ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec dynamic-map ipsec-policy sec-list ipsec-prop ike ike-policy
ipsec local-id ipsec-policy 192.168.101.253
ipsec remote-id ipsec-policy 192.168.101.254
!
bridge irb enable
!
ppp profile プロバイダA(固定IP)
authentication myname プロバイダA@aaaa.bbbbb.ne.jp
authentication password プロバイダA@aaaa.bbbbb.ne.jp パスワ-ド
!
ip dhcp profile lan
assignable-range 192.168.101.1 192.168.101.254
default-gateway 192.168.101.253
dns-server 192.168.101.253
!
device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5 ***********ix2215 拠点A(固定ip側) 2/2***********
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding プロバイダA
ip address 111.222.333.444/32
ip tcp adjust-mss auto
ip nat enable
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in
no shutdown
interface GigaEthernet2:1.0
no ip address
ip proxy-arp
bridge-group 1
no shutdown
!
interface BVI1
ip address 192.168.101.253/24
ip dhcp binding lan
bridge-group 1
no shutdown
!
interface Tunnel2.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsec-policy with-id-payload
bridge-group 1
bridge ip tcp adjust-mss 1300
no shutdown ***********ix2215 拠点B(動的ip側) 1/2***********
ip ufs-cache enable
ip route default GigaEthernet0.1
ip route 111.222.333.444/32 GigaEthernet0.1
ip route 192.168.101.0/24 Tunnel2.0
ip dhcp enable
ip access-list flt-list1 permit udp src 111.222.333.444/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 111.222.333.444/32 dest any
ip access-list sec-list permit ip src any dest any
!
ike proposal ike-prop encryption aes hash sha lifetime 3600
!
ike policy ike-policy peer 1111.222.333.444 key 事前共有鍵 mode aggressive ike-prop
!
ipsec autokey-proposal ipsec-prop esp-aes esp-sha lifetime time 3600
!
ipsec autokey-map ipsec-policy sec-list peer 111.222.333.444 ipsec-prop
ipsec local-id ipsec-policy 192.168.101.254
ipsec remote-id ipsec-policy 192.168.101.253
!
bridge irb enable
!
ppp profile プロバイダB(動的IP)
authentication myname プロバイダB@ccc.dd.jp
authentication password プロバイダB@ccc.dd.jp パスワ-ド
!
device GigaEthernet2
vlan-group 1 port 1 2 3 4
vlan-group 2 port 5 ***********ix2215 拠点B(動的ip側) 1/2***********
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding plala
ip address ipcp
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in
no shutdown
!
interface GigaEthernet2:1.0
no ip address
ip proxy-arp
ip filter b 10 out
bridge-group 5
no shutdown
!
interface BVI5
ip address 192.168.101.254/24
bridge-group 5
no shutdown
!
interface Tunnel2.0
tunnel mode ether-ip ipsec
no ip address
ipsec policy transport ipsec-policy with-id-payload
bridge-group 5
bridge ip tcp adjust-mss 1300
no shutdown 連投スマソ...
数日ほぼ徹夜で・・・ もう疲れたよパトラッシュ....... >>68
動的IP---ipsec----動的IP
DDNSを使えば可能。 >>72
コンフィグを見ましたが、
B拠点のBVIグループエントリーがおかしい。
A拠点にあわせるのであれば、BVIエントリー5ではなく1にする形になるかと思いますが。
あと、アクセスリストの件ですが、
UDP500とESPパケットのみを許可するようになっていますが、
アクセスリスト以外の通信は拒否される形になるかと思いますので、WEBやメールなどのポート許可
動的フィルタの追加にて追加のアクセスリストのエントリーが無いと、他の通信は拒否されるかと思いますが。
Ether-IPの通信設定の場合、他にインターネット回線が不調若しくは一定の帯域確保が
難しいPPPOE接続などの場合には、A拠点のDHCPサーバからB拠点へのDHCPクライアント
へ配信されるようになっていますが、端末の台数が多かったりすると、IPアドレスの取得
の問題が予期されます。
A拠点、B拠点の方のインターネット回線をPPPOE接続のままに運用される場合には、
出来れば、A拠点、B拠点のDHCPサーバを分割して、B拠点のルーターのIPSECトンネルに
A拠点のDHCPサーバと重複しないようにDHCPサーバを持たせて、アクセスリストの設定にて、
IPSECトンネルにUDP67〜68の通信を拒否する設定を入れた方が良いかと思いますが。
A拠点の固定グローバルIP、B拠点の動的IP間の接続については、
DDNSの移行は可能かと思いますが、その際には、A拠点のルーターにIPSECのSA
更新の負担がかかること、IXルーターには、SA更新の実行は自動的にされないので、
ネットワークモニターなどにて、SA更新の監視をさせた方が良いかと思います。
DDNSの運用にされる場合には、双方DDNS(Netmeister等)にして、メインモードの
方が良いかもしれません。 >>74
あざます。
DDNSね? コマンドリファレンスを読み直してみます。
>>76
n-techさんかな??
貴重なヒント... とても助かります
DHCPの件、確かにこのままいくと障害の原因になりそうですね~
先日の連日の徹夜で体調不良が続いており一切IXを触っていなかったのですが、明日から何とかIX弄れそうです
設定完了後に、またご報告させて頂きます。
ありがとうござます >>77
拠点Bのコンフィグ修正箇所
interface GigaEthernet2:1.0
ip filter b 10 out
bridge-group 1
no shutdown
interface BVI5
bridge-group 1
no shutdown
interface Tunnel2.0
bridge-group 1
no shutdown
A拠点とB拠点のDHCPサーバ(プロトコル67〜68)、DHCPv6(プロトコル546〜547)
を分割する場合
ip access-list dhcp-sec deny udp src any sport range 67 68 dest any dport range 67 68
ip access-list dhcpv6-sec deny udp src any sport range 546 547 dest any dport range 546 547
ip access-list dhcp-pass permit ip src any dest any
interface Tunnel2.0
ip filter dhcp-sec 1 in
ip filter dhcpv6-sec 2 in
ip filter dhcp-pass 100 in
no shutdown
上記、DHCPサーバをA拠点とB拠点を分割するので、 >>77
>>78
A拠点
ip dhcp profile lan
assignable-range 192.168.101.1 192.168.101.127
default-gateway 192.168.101.253
dns-server 192.168.101.253
B拠点
ip dhcp profile lan2
assignable-range 192.168.101.128 192.168.101.254
default-gateway 192.168.101.253
dns-server 192.168.101.253
interface BVI5
ip dhcp binding lan2 >>79
任意の箇所については、あくまでも設定例ですので、ご自身で修正下さい。 >>80
知らせて頂いたコンフィグを参考にさせて貰いました。ありがとうございます
一度、上記の一例を参考にして、コンフィグ作ってみたのですが、A及びB拠点下の端末からインタ-ネット側へ出ていく時に、それぞれの拠点で契約しているプロバイダ-経由で出て行きます。
私としては、後日にA拠点側にFWを設置する予定なので全てA拠点を経由してインタ-ネット側へ出ていかせたいと思っています。単純に端末側ネットワ-ク設定で出来ると思っていましたが、B拠点の端末の個々でのネットワ-ク設定にて、DNSサ-バ-をA拠点
に振ってみましたが、LAN内でのAB拠点同士の疎通は確認出来ましたがインタ-ネット側へは出て行けません。なお、A拠点側の各端末については問題なくネットが使えます。
B拠点のコンフィグ誤りを指摘して頂ければ助かります。
あともうひとつ.....
別でL2TPにより外部からのアクセスも行いたいのですが、AとBそれぞれの拠点にてIpsecにて常時DDNSアドレスが使われているので、別途新しくIPを用意してL2TPアクセス用のDDNSアドレスを取得する必要はありますか?
どうぞご教示ください
コンフィグ作るのに悪戦苦闘で昨日はほぼ徹夜になりました....... もう疲れたよ..パトラッシュ
https://imgur.com/a/UkcOXa2
https://imgur.com/a/hMVwVIn >>81
以下のB拠点のコンフィグにて、
自局のPPPOE接続からでていく構成、IPアクセスリストにて、UDP500、ESPパケットのみ
の通信が出来る構成を採用されているようです。
ip route default GigaEthernet0.1
ip access-list flt-list1 permit udp src 111.222.333.444/32 sport eq 500 dest any dport eq 500
ip access-list flt-list1 permit 50 src 111.222.333.444/32 dest any
interface GigaEthernet0.1
encapsulation pppoe
auto-connect
ppp binding plala
ip address ipcp
ip napt enable
ip napt static GigaEthernet0.1 udp 500
ip napt static GigaEthernet0.1 50
ip filter flt-list1 1 in >>81
>>83
それと、気になったのですが、
interface GigaEthernet2:1.0
ip filter b 10 out ←
上記のIPフィルタのエントリーのアクセスリストが無いですが、
何か、別のアクセスリストを適用されていますでしょうか?
特になければ、削除された方が良いかと思います。 >>81
>>83
続きです。
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit udp src 192.168.101.0/24 sport any dest any dport eq 8080
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 80
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 443
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 25
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 587
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 143
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 993
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 995
ip access-list etherip-isp1 permit tcp src 192.168.101.0/24 sport any dest any dport eq 8080
route-map r-map permit 10
match ip address access-list etherip-isp1
set ip next-hop 192.168.101.253
ip route default GigaEthernet0.1
ip route default 192.168.101.253 distance 50 >>81
>>83
通常は、上記のようなデフォルトゲートウェイの選択は不要な筈ですが、
念のためです。
通常のEtherIP方式のIPSECの接続、BVIグループとIPSECトンネルのエントリー
接続が確立していましたら、A拠点よりインターネット接続が出来る筈ですが。 >>81
>>83
続きです
interface BVI5
ip policy route-map r-map >>81
L2TP/IPSECの件ですが、DONS取得をされている状況でしたら、
既存のPPPOEセッション側に、UDP500、ESP、UDP4500、UDP1701をNAT解放、
L2TPのリモートアクセスの設定にて大丈夫かと思います。
アクセスリストへ、UDP4500、UDP1701の許可もご確認下さい。
ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500
ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701
interface GigaEthernet0.1
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 udp 1701
他、L2TPトンネル、ユーザープロファイルの設定をご確認下さい。 >>82
ありがとうございます。
L2TPで繋がらないのは別の問題やったんですね~
>>83
うぉー!
貴重なコンフィグ例ありがとうございます。
深夜なのに喜び過ぎて感無量ですハイ
昨晩、ほぼ寝てないハズなのにコチラを拝見した途端に眠気がぶっ飛びました
早速、着手してみます。
ほんと私も何か皆さんの手助け出来る様にならないと… IX2215のポートVLANについて質問です
IX2215でGE2の8ポートをVLANのアクセスポートとして使用出来ますか?
おそらく出来ないだろうとは思ってるのですが…… 既に同じこと聞いている人いるかもしれませんが、
ix2106を使用しております。
ocnバーチャルコネクトとL2TPを同時に使う場合pppoeを設定することになると思うのですが、
その場合どのように設定するのが一般的でしょうか?
また、コンフィグの基本的な書き方って何を見れば理解しやすいでしょうか?
ご教授いただけないでしょうか? NECのサイトに設定例ありまうす
二つの設定両方あるから、それを組み合わせるだけ
とにかく公式サイトはマニュアル含めてドキュメント豊富だから、
そうそう困ることはない >>93
ありがとうございます!!
試してみます。 >>90
アクセスポートは一応可能ですが、何か意味があるのですか? >>92
IPV6関連の接続とPPPOE接続を併用した場合には、
デフォルトゲートウェイの優先順ですが、PPPOEにプライオリティを付けないと、
ESPやUDP500、UDP4500、UDP1701をポリシールート変更が出来ないです。
よって、HTTP/HTTPS/Mail 等のポートをIPV6側に向ける様にしか出来ない。 >>95
返信ありがとうございます
GE1からスイッチに繋いでタグVLANを運用しているのですが、GE2のポートを使って余分なスイッチを減らしたいと思ってます
公式ページのポートVLANとタグVLANの併用の項を見てもアクセスポートにする方法を見つけられなかったためお聞きしました
アクセスポートについて書かれている箇所がありましたら、教えて頂けませんでしょうか? >>97
アクセスポート扱いのニュアンスを誤解しておりましたが、敢えて明示する項目は御座いません。
ご指定の運用方法ですと、
代替機能として、GE1とGE2をBVIインターフェイス併用でのブリッジポート接続でしたら、可能です。
VLANポートとのブリッジングも可能ですので、機能説明書の2.9.1.3 BVIインターフェイスの設定を
ご確認下さい。
BVIインターフェイスを併用しますと、
IPV6インターネット接続のIPV6ブリッジ対象インターフェイスにVLANグループとBVIインターフェイス
の紐付けも可能です。 >>86
無事にB拠点の端末がA拠点を経由してインタ-ネット側へ出ていく事に成功しました!
感謝感謝です
原因として・・・ 情けないお話しですが、コチラがかなり初歩的なミスをしておりました
A拠点 DHCPサ-バ- 192.168.101.1 ~ 192.168.101.150 GW 192.168.101.254 DNS 192.168.101.254
B拠点 DHCPサ-バ- 192.168.101.150 ~ 192.168.101.200 GW 192.168.101.253 DNS 192.168.101.254
完全な勘違いで、B拠点のGWを 101.254に変えたらA拠点からネットへ出て行くようになりました。 お恥ずかしい限りですw
あとまた質問で申し訳ございませんが、 ..>>83 に書かれてある、ip filter flt-list1 1 in は削除で宜しいでしょうか??
>>88 で書かれてある
ip access-list flt-list1 permit udp src any sport eq 4500 dest any dport eq 4500
ip access-list flt-list1 permit udp src any sport eq 1701 dest any dport eq 1701
interface GigaEthernet0.1
ip napt static GigaEthernet0.1 udp 4500
ip napt static GigaEthernet0.1 udp 1701
を入れても、interface GigaEthernet0.1 から ip filter flt-list1 1 in を削除しない限り、B拠点の端末はインタ-ネット側へ出ていけない様です。
それと >>85 で書かれてあるアクセスリストについてですが、このコンフィグはB拠点にぶら下がっている端末が ポ-ト番号80, 443 25 587 143 993 995 8080 以外を利用したアプリケーションがB拠点からA拠点へ出ていけないと言う認識で宜しいのでしょうか??
B拠点にぶら下がった端末からVPSへSSH(ポ-ト50000番台へ変更済)繋がってしまいます。
度々、質問ばかりですみません.... RTX1210とL3スイッチを仕様してネットワークを構築しています。
VLAN間ルーティングはL3スイッチにさせてRTXは各VLANにDHCPさせています。
今回IX2215に移行させよと思い勉強中なのですが、IXはインターフェースに複数のDHCPスコープ(別セグメントのIP)を適用する事は不可能なのでしょうか? ■ このスレッドは過去ログ倉庫に格納されています
