YAMAHA業務向けルーター運用構築スレッドPart9
YMS-VPN7、ルーター配下から、NATトラバーサル設定で鍵交換までは行くけど、通信出来ず
>>943
対向ルーターにNATトラバーサル設定が入ってますか?
対向ルーターにNATトラバーサル設定が入ってますか?
センターと営業所間でIPSec張ってるんですが、ActiveDirectory使ってると営業所の
クライアントPCのDNSはセンター側のドメコンを指定しないといけないですよね。
フォワーダが使えないようなんですが、なんかいい手ないっすか?(RTX1100)
福岡と札幌なので微妙に遅延するんですわ。少しでも早くなればなと。
クライアントPCのDNSはセンター側のドメコンを指定しないといけないですよね。
フォワーダが使えないようなんですが、なんかいい手ないっすか?(RTX1100)
福岡と札幌なので微妙に遅延するんですわ。少しでも早くなればなと。
RODCなぞ…使ったことないけど。
947 :[email protected]:2011/06/27(月) 09:57:19.67 ID:???
>>945
ADのサイトをわけりゃいいんじゃないの
ADのサイトをわけりゃいいんじゃないの
>>945
センター側で各々支所−センター間のみ通信許可するようにするとか。
センター側で各々支所−センター間のみ通信許可するようにするとか。
>>949
それだと結局センター側に全部のDNSクエリが飛びますよね?
内部で使っているADのdomain.local的なゾーンだけセンターにフォワードして
ほか(通常のブラウジングなど)はISPのDNSに聞くような設定が出来ればなぁという。
それだと結局センター側に全部のDNSクエリが飛びますよね?
内部で使っているADのdomain.local的なゾーンだけセンターにフォワードして
ほか(通常のブラウジングなど)はISPのDNSに聞くような設定が出来ればなぁという。
フォワードでいいの?
PCのDNSをルーターにして
dns server select 1 ADipアドレス a domain.local
でいけると思うけど動的更新とかするのかな?
PCのDNSをルーターにして
dns server select 1 ADipアドレス a domain.local
でいけると思うけど動的更新とかするのかな?
>>950
何故、全DNSクエリーが飛ぶの?
飛んだとしてもセンターのサーバー分だけ
>内部で使っているADのdomain.local的なゾーンだけセンターにフォワードして
>ほか(通常のブラウジングなど)はISPのDNSに聞くような設定が出来ればなぁという。
運営方針次第ですが、普通、そうでしょう。
支所はこんな感じ
ip route default gateway pp 1
ip route 123.45.67.0/24 gateway tunnel 1
ip host server1.local 123.45.67.101
ip host server2.local 123.45.67.102
ip host server3.local 123.45.67.103
何故、全DNSクエリーが飛ぶの?
飛んだとしてもセンターのサーバー分だけ
>内部で使っているADのdomain.local的なゾーンだけセンターにフォワードして
>ほか(通常のブラウジングなど)はISPのDNSに聞くような設定が出来ればなぁという。
運営方針次第ですが、普通、そうでしょう。
支所はこんな感じ
ip route default gateway pp 1
ip route 123.45.67.0/24 gateway tunnel 1
ip host server1.local 123.45.67.101
ip host server2.local 123.45.67.102
ip host server3.local 123.45.67.103
>>951
あ。それだ・・・マニュアル見落としてましたorz
動的更新はどうなんだろ、RTXに対して更新かけちゃ意味ないですよね。
自動的にフォワード先(ADのDNS)に行ってくれるものかどうか・・・
テスト環境で確認してみます。助かりました。
あ。それだ・・・マニュアル見落としてましたorz
動的更新はどうなんだろ、RTXに対して更新かけちゃ意味ないですよね。
自動的にフォワード先(ADのDNS)に行ってくれるものかどうか・・・
テスト環境で確認してみます。助かりました。
L2TPまだぁ?
956 :[email protected]:2011/06/28(火) 12:03:36.31 ID:???
>>950
クライアントPCにはDHCPでDNSサーバを配布しているだろうから、
ISP側のDNSサーバとセンター側のDNSサーバ(ADDC)のIPアドレスを
クライアントに配布したら。
DNS問い合わせの時にクライアントPCは登録された全てのDNSサーバに
問い合わせするだろうから、それで解決するんじゃない? .localドメインに
回答するのはセンター側だけだろうし。
一応、クライアントPC側でのOSの動作は確認してね。
後は>>952がいうようにRTX1100側にホスト登録し、RTX1100のDNSプロキシーを
使う方法があるけど、システム・ネットワーク構成変更した時に更新ミスで
トラブルになることがあるよ。
ベストな解決策は古いPCなりで、各拠点にDNSプロキシーサーバを立てるのがいいけどね。
クライアントPCにはDHCPでDNSサーバを配布しているだろうから、
ISP側のDNSサーバとセンター側のDNSサーバ(ADDC)のIPアドレスを
クライアントに配布したら。
DNS問い合わせの時にクライアントPCは登録された全てのDNSサーバに
問い合わせするだろうから、それで解決するんじゃない? .localドメインに
回答するのはセンター側だけだろうし。
一応、クライアントPC側でのOSの動作は確認してね。
後は>>952がいうようにRTX1100側にホスト登録し、RTX1100のDNSプロキシーを
使う方法があるけど、システム・ネットワーク構成変更した時に更新ミスで
トラブルになることがあるよ。
ベストな解決策は古いPCなりで、各拠点にDNSプロキシーサーバを立てるのがいいけどね。
957 :[email protected]:2011/06/28(火) 12:57:58.51 ID:???
>>955
もう6月下旬だぜ
もう6月下旬だぜ
YMS-VPN7、ルーター配下から、NATトラバーサル設定で鍵交換までは行くけど、通信出来ない件
configを上げてみます
ip route 192.168.110.0/24 gateway tunnel 2 hide # 存在しないが定義
pp select 1
ip pp inbound filter list 略 1 2 略
ip pp nat descriptor 1000
pp enable 1
ip inbound filter 1 pass-nolog * 192.168.100.1 tcp,udp * 500,4500
ip inbound filter 2 pass-nolog * 192.168.100.1 esp * *
tunnel select 2
description tunnel REMOTE-PC
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 auto heartbeat
ipsec ike local address 2 192.168.100.1
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ABCD01234
ipsec ike remote address 2 any
ipsec ike remote name 2 REMOTE
ipsec ike xauth request 2 on 1
ip tunnel tcp mss limit auto
tunnel enable 2
configを上げてみます
ip route 192.168.110.0/24 gateway tunnel 2 hide # 存在しないが定義
pp select 1
ip pp inbound filter list 略 1 2 略
ip pp nat descriptor 1000
pp enable 1
ip inbound filter 1 pass-nolog * 192.168.100.1 tcp,udp * 500,4500
ip inbound filter 2 pass-nolog * 192.168.100.1 esp * *
tunnel select 2
description tunnel REMOTE-PC
ipsec tunnel 2
ipsec sa policy 2 2 esp aes-cbc sha-hmac
ipsec ike keepalive use 2 auto heartbeat
ipsec ike local address 2 192.168.100.1
ipsec ike nat-traversal 2 on
ipsec ike pre-shared-key 2 text ABCD01234
ipsec ike remote address 2 any
ipsec ike remote name 2 REMOTE
ipsec ike xauth request 2 on 1
ip tunnel tcp mss limit auto
tunnel enable 2
続き
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade incoming 1000 reject
nat descriptor masquerade static 1000 101 192.168.100.1 esp
nat descriptor masquerade static 1000 102 192.168.100.1 udp 500
nat descriptor masquerade static 1000 103 192.168.100.1 udp 4500
ip policy service group 104 name=IPsec ike esp ipsec-nat-t
ip policy filter 1530 static-pass-nolog * local * * 104
ip policy filter 1720 static-pass-nolog * pp* * * 104
auth user 1 TESTUSER TESTUSER
auth user attribute 1 xauth=on xauth-address=192.168.100.21/24
auth user group 1 1
auth user group attribute 1 xauth=on xauth-address-pool=192.168.100.21-192.168.100.25/24 xauth-dns=192.168.100.1
関係ありそうな部分のみ抽出してみました。
nat descriptor type 1000 masquerade
nat descriptor address outer 1000 ipcp
nat descriptor address inner 1000 auto
nat descriptor masquerade incoming 1000 reject
nat descriptor masquerade static 1000 101 192.168.100.1 esp
nat descriptor masquerade static 1000 102 192.168.100.1 udp 500
nat descriptor masquerade static 1000 103 192.168.100.1 udp 4500
ip policy service group 104 name=IPsec ike esp ipsec-nat-t
ip policy filter 1530 static-pass-nolog * local * * 104
ip policy filter 1720 static-pass-nolog * pp* * * 104
auth user 1 TESTUSER TESTUSER
auth user attribute 1 xauth=on xauth-address=192.168.100.21/24
auth user group 1 1
auth user group attribute 1 xauth=on xauth-address-pool=192.168.100.21-192.168.100.25/24 xauth-dns=192.168.100.1
関係ありそうな部分のみ抽出してみました。
> auth user attribute 1 〜 xauth-address=192.168.100.21/24
> auth user group attribute 1 〜 xauth-address-pool=192.168.100.21-192.168.100.25/24
192.168.100の代わりに、192.168.101.はどうでしょう。
21が重複してるのでgroupについては22開始ではどうでしょう。
個人的には、/24より/32にします。
192.168.100を使うときは、もしかするとip lan1 proxyarp on を。
> auth user group attribute 1 〜 xauth-address-pool=192.168.100.21-192.168.100.25/24
192.168.100の代わりに、192.168.101.はどうでしょう。
21が重複してるのでgroupについては22開始ではどうでしょう。
個人的には、/24より/32にします。
192.168.100を使うときは、もしかするとip lan1 proxyarp on を。
thx
192.168.100のところはフェイクです。
実際は別の稼働中のローカルアドレス空間です。
グループの予約アドレスは省略可でuser 1のみ予約アドレスを設定しても良い様です。
YMS-VPN7設定
認証アルゴリズム SHA-1
暗号アルゴリズム AES(128bit)
接続先ネットワーク 192.168.100.0/24
このクライアントの内部IPアドレス
手動で指定すると繋がらず
IKE設定モードで指定すると、user 1のアドレスを取得
DNSサーバー 192.168.100.1
NATトラバーサル:使用する
接続先を経由しない通信:許可しない
インターネット接続:VPN経由しない
現在、接続先のルーター内から外部経由で接続したり(これは期待してない)、
同じLAN上の別のルーターから外部接続経由で接続したりしています。
192.168.100のところはフェイクです。
実際は別の稼働中のローカルアドレス空間です。
グループの予約アドレスは省略可でuser 1のみ予約アドレスを設定しても良い様です。
YMS-VPN7設定
認証アルゴリズム SHA-1
暗号アルゴリズム AES(128bit)
接続先ネットワーク 192.168.100.0/24
このクライアントの内部IPアドレス
手動で指定すると繋がらず
IKE設定モードで指定すると、user 1のアドレスを取得
DNSサーバー 192.168.100.1
NATトラバーサル:使用する
接続先を経由しない通信:許可しない
インターネット接続:VPN経由しない
現在、接続先のルーター内から外部経由で接続したり(これは期待してない)、
同じLAN上の別のルーターから外部接続経由で接続したりしています。
事後報告です。一応。
>>951
>>952
ドメインに追加済みのPCはそれで動きました。
が、PCをドメインに追加・参加する際は
_service._protocol.domain.local (SRVレコード)
_ldap._tcp.domain.local (Aレコード)
_LDAP._TCP.dc._msdcs.domain.local (Aレコード)
がないとダメだそうでSRVレコードはヤマハはサポートしておらずAも何故か応答なし・・・
実際にPCを参加させてみたら「ドメコンと通信出来ません」の警告が出ました。
出来てますか? >>952 さん
あとサーバーはいいんですがクライアント間の参照がダメでしたね。これはまぁ当たり前か。
WINS(NetBIOS)なら動くかもしれませんがこちらは試していません。
というわけで動的更新の動作も確認が取れずです。
>>951
>>952
ドメインに追加済みのPCはそれで動きました。
が、PCをドメインに追加・参加する際は
_service._protocol.domain.local (SRVレコード)
_ldap._tcp.domain.local (Aレコード)
_LDAP._TCP.dc._msdcs.domain.local (Aレコード)
がないとダメだそうでSRVレコードはヤマハはサポートしておらずAも何故か応答なし・・・
実際にPCを参加させてみたら「ドメコンと通信出来ません」の警告が出ました。
出来てますか? >>952 さん
あとサーバーはいいんですがクライアント間の参照がダメでしたね。これはまぁ当たり前か。
WINS(NetBIOS)なら動くかもしれませんがこちらは試していません。
というわけで動的更新の動作も確認が取れずです。
>>956
その方法は以前に試してみたことがあります。
ちっとスレ違いかもですが、結論としては動作が不安定になります。
クライアントがDC側に問い合わせた場合はまぁ問題ないのですが、ISP側に問い合せた時に
当然イントラのホスト名は返ってこないので「否定応答」というのをクライアントは受け取ります。
応答がなければ別のDNSに問い合わせるのですが「否定応答」の場合応答自体は受け取って
いるので、Windowsはそこで代替サーバーへの問い合わせをやめてしまいます。(XP以外は不明)
結果的にイントラのホスト名が引けずに非常に不安定な状態になりました。
その方法は以前に試してみたことがあります。
ちっとスレ違いかもですが、結論としては動作が不安定になります。
クライアントがDC側に問い合わせた場合はまぁ問題ないのですが、ISP側に問い合せた時に
当然イントラのホスト名は返ってこないので「否定応答」というのをクライアントは受け取ります。
応答がなければ別のDNSに問い合わせるのですが「否定応答」の場合応答自体は受け取って
いるので、Windowsはそこで代替サーバーへの問い合わせをやめてしまいます。(XP以外は不明)
結果的にイントラのホスト名が引けずに非常に不安定な状態になりました。
繋がりました。
最初のここのアドレスとユーザー1の配布アドレスを合わせる
(グループの予約アドレスは省略可)
ip route 192.168.100.0/24 gateway tunnel 2 hide
auth user attribute 1 xauth=on xauth-address=192.168.100.1/24
YMS-VPN7の「このクライアントの内部アドレス」は自動取得
ここら辺り、YAMAHAの設定例が例に依っては間違っているらしい。
ip lan1 proxyarp onの有無は特に違いは見つけられませんでした。
以上、お世話になりました。
最初のここのアドレスとユーザー1の配布アドレスを合わせる
(グループの予約アドレスは省略可)
ip route 192.168.100.0/24 gateway tunnel 2 hide
auth user attribute 1 xauth=on xauth-address=192.168.100.1/24
YMS-VPN7の「このクライアントの内部アドレス」は自動取得
ここら辺り、YAMAHAの設定例が例に依っては間違っているらしい。
ip lan1 proxyarp onの有無は特に違いは見つけられませんでした。
以上、お世話になりました。
965 :[email protected]:2011/06/29(水) 00:07:33.92 ID:???
>>963
レポお疲れ様です。
ADDCのDNSの動的更新(=ドメイン参加)を使う限り、
RTX1100だけでは難しそうだね。ここよりもWinサーバ
関連のスレで聞くのが早いんじゃない。
おそらく、コストと運用(後任への引き継ぎ含む)の問題から
(1)DNS応答の遅延はあきらめる
(2)Windowsサーバを拠点毎にたてる
の回答になると思う。
また、あればだけどDNSプロキシソフトを各クライアントに
インストールして、そこでゾーン毎に参照先を変更するぐらいか。
レポお疲れ様です。
ADDCのDNSの動的更新(=ドメイン参加)を使う限り、
RTX1100だけでは難しそうだね。ここよりもWinサーバ
関連のスレで聞くのが早いんじゃない。
おそらく、コストと運用(後任への引き継ぎ含む)の問題から
(1)DNS応答の遅延はあきらめる
(2)Windowsサーバを拠点毎にたてる
の回答になると思う。
また、あればだけどDNSプロキシソフトを各クライアントに
インストールして、そこでゾーン毎に参照先を変更するぐらいか。
ファイル共有だけならそうだけど
それはそれぞれの運用次第でしょ
それはそれぞれの運用次第でしょ
運用次第と言えばそうだけど、そういう環境は大概ファイルの扱い、バックアップがいい加減に成りがち
バックアップかいい加減です!が運用方針ですって事
バックアップかいい加減です!が運用方針ですって事
>>968
中小企業にはよくある運用形態。
で、利用者の力が強すぎて、共有ファイルサーバなどの統合ができず、システム担当が右往左往する。
個人PCによるデータ共有の危険性(障害によるデータロスト、情報漏洩、複数ファイルの存在による無駄など)が
理解されず、昨今の厳しい経済情勢でバックアップ装置・SWにも予算をかけられない。負のスパイラル状態。
また、取り扱うデータ量が多くなり、共有ファイルサーバのディスク容量が大きなってきたので、
一定期間毎に必要なフルバックアップが取りづらくなった。
スレチなのでこの辺にしておきます。
中小企業にはよくある運用形態。
で、利用者の力が強すぎて、共有ファイルサーバなどの統合ができず、システム担当が右往左往する。
個人PCによるデータ共有の危険性(障害によるデータロスト、情報漏洩、複数ファイルの存在による無駄など)が
理解されず、昨今の厳しい経済情勢でバックアップ装置・SWにも予算をかけられない。負のスパイラル状態。
また、取り扱うデータ量が多くなり、共有ファイルサーバのディスク容量が大きなってきたので、
一定期間毎に必要なフルバックアップが取りづらくなった。
スレチなのでこの辺にしておきます。
970 :[email protected]:2011/06/29(水) 10:38:32.41 ID:???
WindowsでもLinuxでもなんでもいいから拠点ごとにDNSたてたら?
んでローカルドメインならセンターにフォワード、それ以外ならISPなりにフォワード。
各拠点のクライアントはそれぞれにたてたDNS鯖のみ参照。
これで一応センターとの通信は最小限になると思う。
んでローカルドメインならセンターにフォワード、それ以外ならISPなりにフォワード。
各拠点のクライアントはそれぞれにたてたDNS鯖のみ参照。
これで一応センターとの通信は最小限になると思う。
AD運用ならしゃーないだろ
>>965
ですねー結局その2択です。
>>966
これが結構使うんですよね。
支店に行った時に本社の自分のPCにリモートデスクトップしたり。
>>969
うん。まさにその状態w
>>970
拠点ごとに立てるとなると30拠点くらいあるので予算的に厳しいです。
>>971
はい。どうやら私の運用方法だと「しゃーない」がFAのようです。
ファイルサーバーだけなら >>951-952 的な感じでしょうか。
みなさんありがとうございました。
ですねー結局その2択です。
>>966
これが結構使うんですよね。
支店に行った時に本社の自分のPCにリモートデスクトップしたり。
>>969
うん。まさにその状態w
>>970
拠点ごとに立てるとなると30拠点くらいあるので予算的に厳しいです。
>>971
はい。どうやら私の運用方法だと「しゃーない」がFAのようです。
ファイルサーバーだけなら >>951-952 的な感じでしょうか。
みなさんありがとうございました。
WebのDNS参照が遅いというならwebproxyをローカルに設置してproxyのdnsの向きをルーターにすると
速いと思う
速いと思う
サーバーが簡単に建てられるならそんな苦労はしてないと思う。
PCで動くのあるしょ
route addでゴリゴリ手書き設定するとか
dns server select N [adのdns鯖] any [adのドメイン]
で逝けるだろ
で逝けるだろ
うちの拠点の場合
dns server select 1 192.168.1.10 any local
と書いて、拠点からのドメイン参加もKMS鯖へのレジストも
何もかもがうまく動いてるが
dns server select 1 192.168.1.10 any local
と書いて、拠点からのドメイン参加もKMS鯖へのレジストも
何もかもがうまく動いてるが
おっと、実際の config みたら
dns server select 1 192.168.1.10 any local
は本店のルーター(192.168.1.1)の仕込みて
拠点 192.168.2.1 のルーターには
dns server select 1 192.168.1.1 any local
って書いてあったわ
dns server select 1 192.168.1.10 any local
は本店のルーター(192.168.1.1)の仕込みて
拠点 192.168.2.1 のルーターには
dns server select 1 192.168.1.1 any local
って書いてあったわ
L2TPまだぁ?
ヤマハ時間は、標準時間に対して前後2ヶ月の幅を取るんだよ
加えて、あすは6月31日ですからね。
加えて、あすは6月31日ですからね。
982 :[email protected]:2011/06/30(木) 21:24:51.53 ID:???
そうか、今年はうるう年だったな
次のモデルはNVR28ですね、わかります。
984 : 忍法帖【Lv=26,xxxPT】 【東電 73.6 %】 :2011/06/30(木) 22:43:19.20 ID:???
ギガビットって早いの?
いや、寺ビットのほうが早い。
その次は、絵草ビットだな。
女鹿ビットよりは戯画ビットのほうが早い。
早い順に並べると、こうなる。
寺
絵草
女鹿
戯画
岐路
その次は、絵草ビットだな。
女鹿ビットよりは戯画ビットのほうが早い。
早い順に並べると、こうなる。
寺
絵草
女鹿
戯画
岐路
突っ込み待ちです
少々お待ちください・・・
少々お待ちください・・・
まぬけ時空発生中
988 :[email protected]:2011/07/01(金) 00:11:45.66 ID:???
>>986
寺と絵草が逆
グルーチョ 10^30
ハーポ 10^27
ヨッタ 10^24
ゼッタ 10^21
エクサ 10^18
ペタ 10^15
テラ 10^12
ギガ 10^9
メガ 10^6
キロ 10^3
寺と絵草が逆
グルーチョ 10^30
ハーポ 10^27
ヨッタ 10^24
ゼッタ 10^21
エクサ 10^18
ペタ 10^15
テラ 10^12
ギガ 10^9
メガ 10^6
キロ 10^3
989 :[email protected]:2011/07/01(金) 00:44:36.87 ID:e0BTBED2
マクドを思い出した
990 :[email protected]:2011/07/01(金) 03:35:28.41 ID:???
平和だなぁ....
#早く寝ないと
#早く寝ないと
>>979-979
ぬおおー aからanyにしたらイケたっす・・・
anyってのはSRVも含む全部なんですね。
ちとハマったのがaで設定した際のキャッシュが残っていたようで
dns cache use off -> on としてクリアしたらうまいこと行きました。
ドメイン参加と動的更新も問題なく動作しました。
ありがとうございました。ご報告まで!
ぬおおー aからanyにしたらイケたっす・・・
anyってのはSRVも含む全部なんですね。
ちとハマったのがaで設定した際のキャッシュが残っていたようで
dns cache use off -> on としてクリアしたらうまいこと行きました。
ドメイン参加と動的更新も問題なく動作しました。
ありがとうございました。ご報告まで!
ギガビット+RTXでvpnしたら実測はどれくらいか知りたいんだおw 光ネクストハイでもいいけど。