2022年02月
2022年02月28日
会社で NEC IX の検証をしています。
片側は、 PPPoE で標準的なVPN設定が可能ですが、片側は、すでにルーターが設置されており、そこには設定をすることができませんでした。
そういう環境はよく見かけると思います。
ということで、以下のように設定を行いました。
左側の拠点はPPPoEを行っています。
右側がNAT配下です。
結論から言うと、通常のVPN設定を行い、 ike policy の mode を aggressive にするだけでした。
以下 config 例です。
最初にWebからVPNの設定を追加しました。このとき、IPsecで、接続元・接続先ともに固定IPアドレスを指定しました。実際には動的IPを利用していても、ダイナミックDNSを利用することで、固定IPとしても問題ありませんでした。
config の大半は上記のWeb設定で自動で生成された設定値が随所に入っています。
-------------
拠点1
-------------
ip ufs-cache enable
ip route 192.168.0.0/24 Tunnel0.0
!
ip access-list web_vpnlist permit ip src any dest any
!
ike nat-traversal
!
ike proposal web_vpn1ikeprop encryption aes-256 hash sha2-256
!
ike policy web_vpn1ikepolicy peer-fqdn-ipv4 [拠点2のFQDN] key [事前共有キー] web_vpn1ikeprop
!
ipsec autokey-proposal web_vpn1secprop esp-aes-256 esp-sha2-256
!
ipsec autokey-map web_vpn1secpolicy web_vpnlist peer-fqdn-ipv4 [拠点2のFQDN] web_vpn1secprop
!
interface Tunnel0.0
description Desc-To-ibaraki
tunnel mode ipsec
ip unnumbered BVI0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn1secpolicy out
no shutdown
-------------
拠点2
-------------
※インターネットに接続するための config は省略しています。
ip ufs-cache enable
! 拠点1 で利用しているセグメント
ip route 10.0.0.0/24 Tunnel0.0
ip access-list web_vpnlist permit ip src any dest any
!
!
!
ike nat-traversal
!
ike proposal web_vpn1ikeprop encryption aes-256 hash sha2-256
!
! 以下の設定値は、ダイナミックDNSの設定値を指定しています。拠点2はNAT配下なので、mode aggressive を指定します
ike policy web_vpn1ikepolicy peer-fqdn-ipv4 [拠点1のFQDN] key [事前共有キー] mode aggressive web_vpn1ikeprop
!
ipsec autokey-proposal web_vpn1secprop esp-aes-256 esp-sha2-256
!
!
ipsec autokey-map web_vpn1secpolicy web_vpnlist peer-fqdn-ipv4 [拠点1のFQDN] web_vpn1secprop
!
interface Tunnel0.0
tunnel mode ipsec
ip unnumbered BVI0
ip tcp adjust-mss auto
ipsec policy tunnel web_vpn1secpolicy out
2022年02月16日
NEC IX 2310 は Port が 0 - 4 の4ポートが利用可能です。
しかし、高価な機器にありがちな、すべてのポートが独立して利用可能になっています。
PPPoEなどの検証がしたかったので、自宅に設置して利用していたのですが、
自宅の場合、WAN・NAS・APとして、3ポートを利用します。
その内、WANは1ポートですが、ローカル側としては2ポート利用したいのです。
ということで、以下の通り設定しました。
手探りなので、ミスがあるかもしれないので参考程度に。
ip dhcp enable
bridge irb enable
proxy-dns ip enable
ip dhcp profile my-local-dhcp
assignable-range 10.0.0.5 10.0.0.19
dns-server 10.0.0.1
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet2.0
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet3.0
no ip address
bridge-group 1
no shutdown
!
interface BVI1
ip address 10.0.0.1/24
ip proxy-arp
ip dhcp binding my-local-dhcp
bridge-group 1
no shutdown
ブリッジするときには、BVI(bridge virtual interface)の設定をしないと、管理画面にアクセスできません。
この設定でとりあえず問題ないのですが、無線APの一部のクライアントがDHCPをとれないことがありました。
相性なのか関係ないのか不明です。色々触ってたらDHCPの件も解決したので。
しかし、高価な機器にありがちな、すべてのポートが独立して利用可能になっています。
PPPoEなどの検証がしたかったので、自宅に設置して利用していたのですが、
自宅の場合、WAN・NAS・APとして、3ポートを利用します。
その内、WANは1ポートですが、ローカル側としては2ポート利用したいのです。
ということで、以下の通り設定しました。
手探りなので、ミスがあるかもしれないので参考程度に。
ip dhcp enable
bridge irb enable
proxy-dns ip enable
ip dhcp profile my-local-dhcp
assignable-range 10.0.0.5 10.0.0.19
dns-server 10.0.0.1
interface GigaEthernet1.0
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet2.0
no ip address
bridge-group 1
no shutdown
!
interface GigaEthernet3.0
no ip address
bridge-group 1
no shutdown
!
interface BVI1
ip address 10.0.0.1/24
ip proxy-arp
ip dhcp binding my-local-dhcp
bridge-group 1
no shutdown
ブリッジするときには、BVI(bridge virtual interface)の設定をしないと、管理画面にアクセスできません。
この設定でとりあえず問題ないのですが、無線APの一部のクライアントがDHCPをとれないことがありました。
相性なのか関係ないのか不明です。色々触ってたらDHCPの件も解決したので。
2022年02月15日
IX 2310 をテストしています。
ファンが大音量なので、それがとても困っています。
検証を進めているので、メモとして書いておきます。
SSH を有効にしても、SSHクライアントの種類によっては、エラーになってしまう。
ということで、以下のコマンドを設定したらうまくいくようでした。
※ユーザーは別で設定されている前提です
ssh-server ip enable
pki private-key generate rsa
ssh-server ip port 8888
ssh-server key-exchange compatibility
ssh-server encryption compatibility
ファンが大音量なので、それがとても困っています。
検証を進めているので、メモとして書いておきます。
SSH を有効にしても、SSHクライアントの種類によっては、エラーになってしまう。
ということで、以下のコマンドを設定したらうまくいくようでした。
※ユーザーは別で設定されている前提です
ssh-server ip enable
pki private-key generate rsa
ssh-server ip port 8888
ssh-server key-exchange compatibility
ssh-server encryption compatibility
2022年02月14日
NEC IX 2310 を検証しています。
ダイナミックDNSもそうですし、現在のステータスなどをいわゆるクラウドから管理できる便利な機能がありました。
ネットマイスターという機能のようです。
デフォルトで利用すると、IPv6でステータスを取得しようとしてしまうため、結構不便です。
ということで、以下の通りIPv4を有効化します。
※ネットマイスターでもろもろのアカウントやグループは事前に作成している前提です。
nm ip enable
nm account [GROUP ID] password plain [GROUP ID PASSWORD]
nm sitename [SITE NAME]
ダイナミックDNSもそうですし、現在のステータスなどをいわゆるクラウドから管理できる便利な機能がありました。
ネットマイスターという機能のようです。
デフォルトで利用すると、IPv6でステータスを取得しようとしてしまうため、結構不便です。
ということで、以下の通りIPv4を有効化します。
※ネットマイスターでもろもろのアカウントやグループは事前に作成している前提です。
nm ip enable
nm account [GROUP ID] password plain [GROUP ID PASSWORD]
nm sitename [SITE NAME]
2022年02月10日
175.132.48.204 という、KDDI で管理しているIPアドレスからスパムのコメントがつきました。
コメントは水元公園とか人名だったりとか、実在するけども特に関連していない内容でした。
調べてみると、最近同様な事象が出ているようでした。
2022年 02月 05日 この不可解なコメントは何のためなのでしょうか
私のブログの方ではURLなどは無かったため、どこかに飛ぶということはありませんでした。
コメントは水元公園とか人名だったりとか、実在するけども特に関連していない内容でした。
調べてみると、最近同様な事象が出ているようでした。
2022年 02月 05日 この不可解なコメントは何のためなのでしょうか
私のブログの方ではURLなどは無かったため、どこかに飛ぶということはありませんでした。