NEC UNIVERGE IX2000/IX3000 運用構築スレ Part8©2ch.net

1anonymous 転載ダメ©2ch.net2015/07/24(金) 15:36:48.24ID:???
NEC UNIVERGE IX2000/IX3000シリーズに関するスレです

【公式サイト】
UNIVERGE IX2000/IX3000シリーズ: ネットワーク製品: 製品 | NEC
 http://www.nec.co.jp/ixseries/ix2k3k/

関連スレ
・宅鯖に最適なルータは? @ ウィキ
 http://www39.atwiki.jp/takurouter/
・NEC系装置勉強会(MM-Node,IP45,ATOMIS etc)
 http://engawa.2ch.net/test/read.cgi/network/1013516441/
・宅鯖に最適なルータは? 4セッション目 (dat落ち、次スレなし)
 http://pc11.2ch.net/test/read.cgi/mysv/1199977508/

前スレ:NEC UNIVERGE IX2000/IX3000 運用構築スレ Part7
http://hayabusa6.2ch.net/test/read.cgi/network/1369194775/

643anonymous2017/05/30(火) 00:04:28.56ID:???
ip route default Tunnel0.0
ip ufs-cache enable
ip dhcp enable
!
proxy-dns ip enable request both
!
ip dhcp profile dhcpv4-sv
dns-server 192.168.1.254
!
ipv6 dhcp client-profile dhcpv6-cl
information-request
option-request dns-servers
!
interface GigaEthernet0.0
ipv6 address autoconfig receive-default
ipv6 dhcp client dhcpv6-cl
no shutdown
!
interface GigaEthernet1.0
ip address 192.168.1.254/24
ip dhcp binding dhcpv4-sv
no shutdown
!
interface Tunnel0.0
tunnel mode 4-over-6
no tunnel adjust-mtu
tunnel source GigaEthernet0.0
tunnel destination fqdn [AFTRのドメイン名]
ip unnumbered GigaEthernet1.0
ip tcp adjust-mss 1460
no shutdown

644anonymous2017/05/30(火) 17:29:01.53ID:???
tunnel destination fqdnってあったのか。今までIPv6アドレス直接指定してた。

645any2017/06/01(木) 16:29:22.67ID:???
う〜ん、いくつか分からない

拠点PC - IX2025 - (IPv6VPN) - IX2025 - ゲートウェイ - インターネット
拠点IX2025:192.168.1.254
対向IX2025:192.168.2.254
GW:192.168.2.250
この環境でhttp://www.microsoft.comにアクセスすると真っ白のページが表示される
GWのmssを900とかにしても駄目なのてmtuとかmssは関係ないのかな
一体何が原因なんでしょうか?

646オナニマス2017/06/01(木) 19:25:46.74ID:???
>>645
一回頭をリセットするために
Wireshark入れてみた方が早いんじゃないの
目線が変わると気づきやすい

6476452017/06/02(金) 07:35:20.44ID:???
>>646
ありがd
Wireshark?使ったことないけど調べてみる。

あと、mssを調べているときに別の2025ルータのLAN側に
ping -f -l 997 192.168.2.250 を撃ったらタイムアウトしちゃう
996だと通るけど特にルータでサイズ指定してないけどこれって壊れたのかな?

648anonymous@FL1-119-241-40-180.nig.mesh.ad.jp2017/06/02(金) 11:29:42.72ID:???
2025 が販売終了しちゃったけど、ファームのダウンロードでは
9.5.11 がまだ落とせるみたい。

649anonymous@sp49-98-154-238.msd.spmode.ne.jp2017/06/02(金) 12:13:54.96ID:???
>>648
サポートは販売終了から、5年。

650anonymous@69.248.2.103.shared.user.transix.jp2017/06/04(日) 13:07:24.71ID:CUu5xW/f
>>642の方は解決したのでしょうか?

ほぼおなじコンフィグを作ってるときに、同じく
「tunnel source ????? 」の箇所でつまづきまして。

Giga対応のモデルと違って、古いIX2015では
tunnel sourceの後ろにインタフェース名を
指定できないようで困ってます。
(出来るのかもしれませんが、やり方が分からない)

WAN側は動的なので、tunnel sourceに実アドレスを設定することもできず・・・

642さん以外の方もアドバイスいただけると幸いです。

651anonymous@59.249.2.103.shared.user.transix.jp2017/06/04(日) 21:14:21.33ID:???
以下を参考に、IX2015 8.3.49でDS-Lite設定してみたけど、tunnel sourceはなくても動いた。
http://jpn.nec.com/univerge/ix/Support/ipv6/ds-lite/index.html

proxy-dns ip enable request both
も使えないので、代わりに
proxy-dns server 8.8.8.8
を入れた。

6526502017/06/04(日) 23:44:29.02ID:???
情報ありがとうございます。
同じく試してるうちにtunnel source無しでIPv4のWebが見れるようになりました。

ところで、651さんの紹介してるコンフィグだとパソコンへ割り振るIPはIPv4のみ?
IPv6のサイトがみえないような・・・

6536512017/06/05(月) 00:21:34.89ID:???
IPv4 over IPv6(DS-Lite)とIPv6 IPoEを併用するなら、以下も追加で。
http://jpn.nec.com/univerge/ix/Support/squarenext/index.html
具体的には以下を追加した。公式の情報は結構充実してるぞ。
access-list mflt-list permit src any dest any type ipv6
access-list mflt-list permit src any dest any type ip

bridge irb enable
no bridge 1 bridge ip

interface FastEthernet0/0.0
filter mflt-list 1 in
bridge-group 1

interface FastEthernet1/0.0
filter mflt-list 1 in
bridge-group 1

6546502017/06/06(火) 07:51:49.37ID:???
追加情報ありがとうございました。
お陰で接続できましたー。

ただ、IX2015の性能の限界を感じました・・・

655anonymous2017/06/06(火) 14:59:13.55ID:???
IX2015 8.3.47を使っています。
以下の設定でDHCPでIPアドレス、DNSサーバのアドレスを自動的に取得させています。
192.168.1.1がDNSサーバのアドレスとして使われ、特に問題ありません。(ローカルサーバ、インターネットとも名前解決できている)

ip route default FastEthernet0/1.0
ip route 192.168.1.0/24 Tunnel10.0
ip dhcp profile hoge
assignable-range 192.168.2.51 192.168.2.100
subnet-mask 255.255.255.0
default-gateway 192.168.2.254
dns-server 192.168.1.1 192.168.1.2
lease-time 432000
interface FastEthernet0/1.0
ip address dhcp receive-default
ip mtu 1454
ip tcp adjust-mss auto
ip napt enable
ip napt static FastEthernet0/1.0 udp 500
ip napt static FastEthernet0/1.0 50
ip napt static FastEthernet0/1.0 udp 4500
no shutdown
interface FastEthernet1/0.0
ip address 192.168.2.254/24
ip dhcp binding hoge
no shutdown
interface Tunnel10.0
tunnel mode ipsec
ip unnumbered FastEthernet0/1.0
ip tcp adjust-mss auto
ipsec policy tunnel x out
no shutdown

656anonymous2017/06/06(火) 14:59:31.84ID:???
やりたい事
----------
VPNや内部DNSサーバが死んだ時に、
インターネット上に対しての名前解決はできるようにする
----------
そのために低いプライオリティで8.8.8.8を指定しておこうと考えました。

ip dhcp profile での dns-server 192.168.1.1 192.168.1.2 設定を止めて、

proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180

を設定しました。

・・・ローカルサーバの名前解決ができません。
インターネット上に対しての名前解決も応答が遅いです。

その他情報としては、
interface FastEthernet0/1.0 に設定されているIPアドレスは192.168.3.2
その上位(ルータ機能付ホームゲートウェイ)のLAN側IPアドレスは192.168.3.1
インターネットVPNの対向ルータはIX2025 9.5.11 です。

なにかアドバイスをいただけないでしょうか。

657anonymous2017/06/06(火) 16:14:32.54ID:???
>>656

ip dhcp profile hoge の
dns-server 192.168.1.1 192.168.1.2 を
dns-server 192.168.2.254 に変更するだけでいいんじゃない?

DHCPクライアントのDNSサーバは常にDHCPサーバ(IX2015)のアドレスで
参照サーバの切り替えはIX2015が行う

658anonymous2017/06/06(火) 16:20:43.57ID:???
あっ念のためだけど

proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180

は追加前提で

6596562017/06/07(水) 08:21:22.22ID:???
>>657
情報ありがとうございます。
説明不足ですみません。
192.168.2.254を参照はさせています。

proxy-dns ip enable
proxy-dns server 192.168.1.1 priority 200
proxy-dns server 192.168.1.2 priority 190
proxy-dns server 8.8.8.8 priority 180
を追加して、
192.168.2.254をDNSサーバとして指定して名前解決しようとしたときに、
ローカルサーバの名前解決ができない、インターネット上に対しての名前解決も応答が遅い、
ということでした。

6602017/06/07(水) 09:29:41.96ID:???
参照させてねーだろ

6616562017/06/07(水) 10:40:18.05ID:???
nslookupで192.168.2.254をサーバ指定した状態での
結果なので、参照しているとは思うのですが・・・

ip route 192.168.1.0/24 Tunnel10.0

は関係ないですよね?

662anonymous2017/06/07(水) 15:11:08.84ID:???
設定事例集より
proxy-dns ip enable
プロキシ DNS 機能を有効化します。
この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。

ip dhcp profile hoge
dns-server 192.168.1.1 8.8.8.8
でいいんじゃないの?

6636562017/06/07(水) 16:24:01.22ID:???
>>662
実用上はたぶんそれで問題ないと思っています。ありがとうございます。

ここで本題からはそれるのですが、確認したいことがあります。
ip dhcp profile hoge
dns-server 192.168.1.1 8.8.8.8
と設定すると、dhcpにより自動的に取得したクライアントからすると、
優先:192.168.1.1、代替:8.8.8.8 と手動で設定したことと同じですよね?
つまり、IXのproxy-dns設定がどうなっていても(enableでなくても)影響なく、
クライアントはIPアドレスにより指定されたDNSサーバと直接通信して、名前解決をする。

逆に、自動的に取得でも手動設定でも、
クライアントで192.168.2.254をDNSサーバとして設定されると、
IXのproxy-dns設定に依存し、IXを代理サーバとして名前解決が行われる。

という理解であってますか。

6646562017/06/07(水) 16:38:42.82ID:???
>>662
>proxy-dns ip enable
>プロキシ DNS 機能を有効化します。
>この設定により、本装置は IPCP で取得した DNS サーバへ問い合わせを行います。

show proxy-dns ip で確認しました。

DNS server(s):
192.168.1.1, static, priority 200
192.168.1.2, static, priority 190
8.8.8.8, static, priority 180
192.168.3.1, dynamic (DHCP), FastEthernet0/1.0, priority 100

proxy-dns ip enable を実行すると、
proxy-dns interface FastEthernet0/1.0 priority 100
も自動的に実行されていると思えばよいんですね。

ありがとうございます。

6656562017/06/08(木) 08:39:55.89ID:???
自己解決しました。

Interface Tunnel10.0
no ip unnumbered FastEthernet0/1.0
ip unnumbered FastEthernet1/0.0
を実行しました。

192.168.2.254をproxy-dnsとして、
ローカルサーバの名前解決ができるようになりました。

Interface Tunnel10.0のアドレスが、
192.168.3.1 から 192.168.2.254 に変わったためだと思うのですが、
いまいちよく分かっていません。

理解を深めるために原理等を解説・・・ほしいです。

666anonymous@p1404162-omed01.osaka.ocn.ne.jp2017/06/09(金) 08:35:39.79ID:???
>>665
0/1.0のipが他の装置からネットワーク的に到達可能か否かの話、
ixそのものはルーティング上一番近いI/Fのアドレスを使う。
最初の設定ではそもそも応答する側からみたら経路が無くて応答が無いことでタイムアウトしてたのでは?
対抗側の設定などを全部出さないと誰もコメントしにくいと思うよ。

6676562017/06/12(月) 09:48:55.76ID:???
>>666
ありがとうございます。なんとなくわかりました。

668anonymous@p702026-omed01.tokyo.ocn.ne.jp2017/06/14(水) 10:41:09.52ID:0xyVQIc6
IX3110同士で組んだEther-IPが
Ether over IPv4ではそれなりの速度が出るのにEther over IPv6では100Mbps程度まで落ち込んでしまいます。
WANを経由せず、ローカルな環境で試しての結果です。

何か大事な設定が抜けてるんですかね?

669anonymous2017/06/14(水) 12:35:46.27ID:???
>>668
MSSとか

670anonymous2017/06/30(金) 00:55:22.20ID:???
IPv4なクライアントからのDNSをIPv6のDNSサーバー宛にproxyすることってできるのですか?
PPPoE接続のプロバイダが用意したDNSサーバーはIPv6のレコードをカットしちゃう仕様なので、IPoEのDNSから取得した情報を通知したいのです。

671anonymous@nttkyo590039.tkyo.nt.ngn.ppp.infoweb.ne.jp2017/06/30(金) 01:09:44.42ID:???
proxy-dns ip enable request both

672anonymous@fusianasan2017/07/24(月) 12:41:39.70ID:???
モバイルから自宅の2105へvpn接続し、utmを通してインターネットへ接続する
みたいな芸当は可能なんでしょうか。
utmを通さない configならネットに転がっているのですが。
勿論、vpnもインターネットも同じ回線です。

6732017/07/25(火) 07:20:27.89ID:???
>>672
接続形式とUTMの設定次第だろ

674anonymous@fusianasan2017/08/02(水) 20:38:17.03ID:???
nttxから買ってNECに質問してたら、どうやらファームウェアの
ダウンロードサイトはNEC自ら案内してくれるそうな。

つうことで、nttxから買おうとしている人は安心してくれ。

675anonymous2017/08/03(木) 07:56:35.19ID:???
新品を買うなら基本どの店でも心配いらないよ。
ファームがーって騒いでるのは中古買った人達。

676anonymous@fusianasan2017/08/07(月) 13:30:15.32ID:???
保守契約しないとファームダウンロード出来ないんだっけ??

677anonymous2017/08/07(月) 14:42:54.31ID:???
保守契約は不要。新品買った店経由で、NECに申請書を提出すればIDをもらえる。

678anonymous2017/08/07(月) 17:03:44.76ID:???
むしろ保守会社と契約をせずに自営保守するユーザに対するダウンロードサービス
ファームウェアのアップデートはユーザ自身の作業になるからね

保守契約していればアップデート作業は保守会社がするので、ユーザがファームを持つ必要ない

679anonymous2017/08/08(火) 00:15:16.16ID:???
もう半年近くファーム更新無いな〜
安定してるって事なんだろうけど、更新来ないと逆に不安になるw

680anonymous2017/08/08(火) 00:42:54.63ID:???
ルータとしては完熟しきった感があるから、なかなか新機能追加のネタが無いんだろうな

だけど、そろそろ出てくる気配が...

681anonymous2017/08/08(火) 02:13:39.56ID:???
えー?ヘアピンNATバグってね?
>>590と一緒かどうかはわからないが、うちでもヘアピンNATの動作がおかしい
もう諦めたから検証はしてないけどね

682anonymous2017/08/10(木) 07:46:39.46ID:???
もうだめかもわからんね

683anonymous@fusianasan2017/08/26(土) 11:38:29.24ID:???
NGN折返しでether over greを設定例のままで
同一セグメントでインターネットの外にでれるのに

ispec 又はikev2を併用するとgoogole検索しかできなくて外へでれない

設定どなたか教えていただけませんかね

684anonymous@fusianasan2017/08/26(土) 16:12:52.52ID:???
事故解決しました
bridge ip tcp adjust-mssの設定が抜けてた

お外に出れるようになったけど今度はv6サイトにアクセス不可
なんで

685anonymous@fusianasan2017/09/19(火) 13:02:02.27ID:xjihi0qv
i.open.ad.jpのDDNSをix2105などで利用出来てる人は
いますか?
他のDDNSサービスのほうが使い勝手が良いならば、
そちらへ変えようかと思っています。
ipadを使って自宅のix2105へVPN接続をしようとすると、
接続が出来無いばかりか、DDNSのアドレス更新が
そもそも出来ません。
i.open.ad.jpで公開されているサンプルコンフィグを適用し
かつ手動でddns updateを行なっても更新され無いのです。
勿論、グローバルなIPv6は正しく受け取れていてかつ通信
出来ています。これはOCNの判別機能を利用しました。

686anonymous@fusianasan2017/09/19(火) 16:58:10.30ID:???
>>685
ddns enable 忘れてるとか?

設定書き込もうとしたら、NGワードがどうとかで書き込みエラー・・・

6876862017/09/19(火) 17:06:24.92ID:???
全角にすれば書けるかな・・・?

ddns profile OPEN-IPv6
url http://ddnsapi-v6.open.ad.jp/api/renew/
query {DDNS HOST KEY}
transport ipv6
notify-interface GigaEthernet0.0
source-interface GigaEthernet0.0
update-interval 12

6886862017/09/19(火) 19:04:51.03ID:???
ところで・・・
他のDDNSなら問題なく使えるの?
iPadの設定で、接続先をfqdnではなくIPv6アドレスで指定すれば接続できるの?

あれ、iPadってことは L2TP かな?

689ぼー2017/09/19(火) 19:07:16.01ID:???
mydnsで普通に出来てて困ってない

6906862017/09/19(火) 19:21:37.26ID:???
(>_<)

6916852017/09/20(水) 01:03:21.74ID:???
>>686-689 レスありがとうございます。

デバッグの使い方がようやく判ってログを見たのですが以下のようなメッセージが出てました。
> Source address not found on GigaEthernet0.2, profile UPDATE_DDNS

もしやと思ってshow ipv6 addressを良く見ると、GigaEthernet0.2にはグローバルなIPv6アドレスが割り当てられている、というよりも、プレフィックス56ビット以下が0の状態でした。
dhcpv6クライアントでIPv6を受けた結果、プレフィックス以下が生成されてなかったとは理解が足りてませんでした。
一方、GigaEthernet1:1.0にはプレフィックス以下が0ではないIPv6アドレスが振られていました。
仕方なくGigaEthernet1:1.0をsource-interfaceにすると確かにDDNSの登録できましたが、釈然としません。

LAN側のdhcpv6サーバにするインターフェースはGigaEthernet0.2又はGigaEthernet1:1.0のどちらでも動くのですが、いずれにせよGigaEthernet0.2にはプレフィックス以下が0のアドレスにしかなりません。

一つ問題点は分かったとして、少々話はそれますが、GigaEthernet0.2にはインターフェース識別子まで設定すべきではない、或いはDDNS更新通知用インターフェースに使うなという考えで良いのでしょうか?
セキュリティ的にはインターフェース識別子を時々変えるようにしろ、という理屈もあるようですが・・・。

巷の2015用サンプルコンフィグだとFastEthernet0/0を更新用インターフェースに指定したりしているので、GigaEthernetでもできると踏んだのですが、上手く行かないものですね。

6926852017/09/20(水) 02:08:44.23ID:???
追伸です。

どうやら使いたかったSIMから現状でIPv6アクセスは出来ないようです。
今年の夏からはキャリア3社でIPv6化が開始されるとのことで期待していたのですが。

標準で対応しているIIJとかに変える必要がありそうです。
どうもお騒がせしました。

693anonymous@fusianasan2017/09/20(水) 11:51:47.56ID:cJh3Ox9F
悪の自民党に絶対投票してはだめ。 

http://www.data-max.co.jp/280113_ymh_02/

↑ 自民改正案の真の狙いは言論の自由を奪うこと!

http://blog.goo.ne.jp/kimito39/e/ec37220f64a8e1d6ed732dd0ab95cbf0

↑超危険な緊急事態条項で人権無視の内閣独裁に!

https://www.youtube.com/watch?v=h9x2n5CKhn8

↑ 自民党は 国民に基本的人権はないと断言!

http://xn--nyqy26a13k.jp/archives/31687

↑ 小池都知事も安倍と同じく 憲法改正で 人権
無視の大日本帝国憲法に戻す民主主義破壊論者!

http://www.mdsweb.jp/doc/1488/1488_03f.html

↑”9条自衛隊明記”は 9条無効化だった!

http://blog.goo.ne.jp/ngc2497/e/8899f65988fe0f35496934dc972e2489

↑ ネトウヨ= 安倍サポーター工作員はネットで国民を騙す。

https://dot.asahi.com/aera/2016071100108.html?page=3
http://blog.goo.ne.jp/kimito39/e/c0dd73d58121b6446cf4165c96ebb674

↑ 安倍自民を操るカルト右翼「日本会議」は国民主権否定。
国民投票や選挙では自民党、維新、小池新党に絶対に入れるな。

新着レスの表示
レスを投稿する