2011年12月31日

XR-300系のVRRPはPPP0しか監視できない。

XR-350/360のVRRPは監視回線にppp0しか設定できないので
LAN型接続などppp0以外のネットワーク障害時にVRRPを機能させる事ができません。。

XR-410以降は「ネットワークイベント設定」にてVRRPの監視対象を細かく設定できます。
posted by anyway at 13:31| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2011年02月02日

IANAのIPv4が最終割り当てに!

予想より1月ほど早くIANAのIPv4が最終割り当てになりました。

ついにIPv4枯渇が目の前に来ました。

成熟市場である既存プロバイダのIPv4リモートホストが不足するのは当分先かもしれませんが
インターネットを使った新規事業やモバイル回線、情報家電など
これからIPアドレスの使用が増える分野には影響がでるかも知れません。

情報家電がIPv6のグローバルIPを持って外部と接続したり
wimaxプロバイダがIPv6接続のみになったりすると
既存のネットワークやシステムはいろいろ対策が必用になりそうな気がします。

企業向け拠点間通信のVPN機器は当分IPv4で行くと思いますので
困る人が出てくる可能性大です。

現実にはIANAが未使用分&企業割り当て/8ネットワークの埋蔵IPを解放をしていく事を期待しますが、すぐに足りなくなる事に変わりありません。

posted by anyway at 11:06| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2010年10月27日

FutureNet XRシリーズの設定更新するとリモートデスクトップ接続が反応しなくなる

CenturySystems製FutureNet XRシリーズにて

フィルタ設定などの細かい設定変更の変更中に
そのルーター経由でリモートデスクトップ接続をしていると、
リモートデスクトップ接続画面の反応が無くなります。
よくある「切断 再接続中」の表示も出ません。

一度画面を閉じて再度接続すれば正常に再接続できます。
posted by anyway at 12:59| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2010年08月06日

XRシリーズは両端動的IPでIPsecできる!?

試した事は無かったですが無理と思っていた事の
FutureNet XRシリーズでの
両端動的IPでIPsecVPNですが

動作成功事例が出ました。


某所より引用 ソース

==================================
遅くなったが、XR-510/C の両端動的なIPsecのトライ結果情報。
Aggrモードで成功中。

最初の接続−−Main,Aggr共にOK

切断 --> IPアドレス変更後の再接続
  −−Main:NG (PH1のI1を受け入れてもらえず)
  −−Aggr DPD有り:NG(PH1前のDPDパケットを受け入れてもらえず)
  −−Aggr DPD無し:OK(Keep-AliveでOK)

概略設定内容は
  DDNSはDynDNSを使用
  自IFのIP:%PPP0
  自IFのID:@FQDN (自分のFQDN)

  相手IFのIP:FQDN(15文字以内)
  相手IFのID:@FQDN (相手のFQDN)
  
  IPアドレス欄は15文字制限だけみたいで、
  FQDNなら名前解決してくれる様です。

 他は設定例を参考にしてOKでした。

ただDDNSとDNSキャッシュとの問題は有ると考えられるため、
DDNSの問い合わせはゾーン指定してDynDNSに振り向けてますが・・・
XR-510/CのDNSキャッシュはTTL(20秒)通りではなさげです。

現在はIPsec接続をOn-Demandで使用してます。

以上参考までに。
正規の使用方法ではないため、ご使用は自己責任で

==================================

IPアドレス欄にドメイン名を入れると15文字以内なら名前解決する
両方ともaggrモードで使う
すばらしい

当方で動作確認はしていません。
posted by anyway at 02:40| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2010年07月30日

XR-1100CTでIPunnumbered+ipsecの注意点

以前も書いた気がしますが
century systems futurenet XR-1100CTにて

NTTフレッツで複数IPアドレスが付与される時に使う
IPunnumbered接続でIPsecをする場合の注意点

1.PPPoEで接続するIPアドレスをIPsecで使用する
2.付与されるWANネットワーク用に物理NICを割り当てる
 →PPPとは別IPでNIC設定、XRはWAN IPを2つ消費
3.PPP割り当てIPはIPsec専用として使う事。
 仮想インターフェイスでも使うとIPsecが動かない

NICが4ポートあるCTではPPPoE/WAN以外に2つNICがあるが
この2つのNICでWANへ接続したい場合は送信元NATでWANIPを設定してNATする。
posted by anyway at 23:58| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2009年08月28日

XRでL2TP DHCPサーバー問題回避

LT2Pで相手側XRに接続できない=VPN用XRを共通ゲートウェイにできないという仕様なので
当方のL2TP環境
拠点A:
 Windows ServerがDHCPサーバー
 L2TPサーバーのXRがインターネット用ゲートウェイを兼ねる
拠点B:
 特にサーバー無し
で拠点BにてDHCPサーバーをどうにかできないか考えてみます。

考えてみると両拠点ともXRをDHCPサーバーにしている場合は
元々相手拠点側のXRと通信できないので同一ネットワーク上でもクライアントは自動で切り分けて運用できてしまいます。

今回は片方の拠点はXRがDHCPサーバーでは無いので困っていたのですがフィルタを設定して対応できました。


拠点Bにて転送フィルタ設定:
LAN側インターフェイスでUDP受信拒否
発信元ポート68/送信先ポート69
拠点BではXRをDHCPサーバーにするなら拠点Aの設定変更不要

だめでした。L2TPの通信は基本的にXRをスルーしているらしく
フィルタがあたりません。


このままでは拠点Aにて構築してあるIPsecの別ネットワークへ拠点Bからアクセスできない問題が残ります。
IPsecのメンテナンスは拠点AにRemoteAPP設置して使用するよにしようかな。
posted by anyway at 19:10| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2009年08月21日

FutureNetでL2TPv3

XR-1100とXR-510でL2TPv3を組みましたが
そのままでは拠点から相手側XRへアクセスできないのが問題です。

課題
1.共通設定でのDHCP運用が困難(ゲートウェイが相手側XRの場合)
2.相手側XRに設定されるIPsecVPN拠点へのアクセスも当然不可
 (メッシュでIPsecを追加しようにもネットワークが重複する)

前向きに考えれば
1.不正端末が来てもインターネットはできない(LAN内には侵入される)
 拠点はDHCPを使わず固定IPで運用する。
2.拠点から本部に設定される他のVPN拠点へのアクセスできないので
 安全性が保たれる


L2TPはIPsecでは難しかった半家庭的用途が遠隔地でも可能になり新鮮&便利です。
1.ネットワーク配信型のテレビなどがそのまま使える
2.SOHO/家庭用のインクジェット複合機が遠隔地でも使える
3.appletalkその他プロードキャスト内必須ソフトが遠隔地でも使える
4.当然Windows/OSXのファイル共有も簡単
5.OSXの画面共有もすぐにできる
6.WakaOnLanがすぐにできる
7.家庭用ルーターなどLAN内専用の管理画面へアクセスできる

posted by anyway at 12:37| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2009年07月03日

WINSサーバーの静的マッピング

Windowsのコンピューター名を解決するWINSサーバーですが
1つのネットワークに1-2台設置してそのネットワーク内は
自動更新となり、別のネットワークとはそのネットワーク上にある
WINSサーバーと複製パートナーの設定できます。

通常、固定IPアドレスの本部サーバーへいかに違和感無く
各所からアクセスできるようにするかがネットワーク管理の重要箇所になります。名前解決を省いてIP直打ちでも良いですが手を抜かずにきちんとしたいです。

IPsecVPN等で構築したPCが1-2台程度の小規模拠点ではWINSサーバーを用意するのは大げさな場合が多く拠点側PCにはLMHOSTSに設定をして本部サーバーへコンピューター名でアクセスします。

WINSが無いネットワーク上のサーバーへWINSのあるネットワークからコンピューター名でアクセスしたい場合はWINSサーバーの
「アクティブな登録」→「新しい静的マッピング」にて
別ネットワーク上のサーバー(固定IP)を登録すればWISNサーバー下のPCからコンピューター名で見つける事ができます。(lmhostsファイルの取り込みでも同様)




LMHOSTSとHOSTSの違い
posted by anyway at 00:38| Comment(1) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2009年07月01日

FutureNet XRシリーズの仮想ネットワークへのフィルタ

FutureNet XRシリーズ等のルーターにて

仮想ネットワークアドレスを作成して
バーチャルサーバーや送信元NATなどを別PCへ転送していても
フィルタ設定は「転送フィルタ」では無く
「入力フィルタ」にて設定します。

仮想ネットワークのIPアドレスを使用して
サーバーを公開する時は、仮想インターフェイスの設定に加えて
「バーチャルサーバー」
に登録します。

IPunnumberedなどでXRにデフォルトゲートウェイを設定していない場合は「送信元NAT」も設定が必要。

posted by anyway at 23:35| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2009年06月23日

XR-1100が再起動時にIPsecがつながらない

当方はPPPoE IPunnumbered接続の運用形態をXR-1100を2段構成から
仮想インターフェイスを活用してXR-1100/CT 1台で運用する変更をしましたが、最近XR-1100を再起動するとIPsecが繋がりません。
一度IPsecを停止して再度開始すると正常に動作します。
LOGを見るとPPPoEがつながる前にIPsecが起動してgatewayやnext hopが無いとなって、そのまま再挑戦をあきらめてしまいます。
posted by anyway at 03:26| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

2009年06月22日

IPsecはブロードキャストを通さない

IPsecのVPNは基本的にブロードキャストを通しません。

別拠点のPCをWake On LANしたい場合には
ルーターにGRE over IPsecを設定するか
ルーターにARPに固定設定ができれば設定して直接IPアドレスを指定します。
posted by anyway at 02:02| Comment(0) | TrackBack(0) | VPN | このブログの読者になる | 更新情報をチェックする

広告


この広告は60日以上更新がないブログに表示がされております。

以下のいずれかの方法で非表示にすることが可能です。

・記事の投稿、編集をおこなう
・マイブログの【設定】 > 【広告設定】 より、「60日間更新が無い場合」 の 「広告を表示しない」にチェックを入れて保存する。