ヤマハRTX1300/830でIPsecVPN-本社集約設定のポイントと実速度例

ヤマハルーターでのVPN接続を実装している。本社またはセンターから各事業がインターネット抜けする形式は多い

その構成を取るときの事業所側のポイントは以下の通り

・トンネルを普通に開通しセンター側ルータのプライベートIPと疎通を確認する

・センターのVPN接続用グローバルIPをスタティックにネットに向ける

・デフォルトルートをトンネルに向ける

・DNSの稼働を確認する＜多くの場合調整が必要

・スピードテストサイトで疎通を確認する

このようなステップで本社-事業所間VPNを開通し、事業所側でネット速度を確認した。速い！多分休日未明だから

本社側（四国）= RTX1300

事業所（関東）= RTX830

---

いつもアクセスありがとうございます。分散事業所の本社集約型のネット接続の要点と実測値を共有します

オンライン資格確認向けIPv6接続から病院間ネットワークまで-ヤマハWebミナーにて

ヤマハ様主催のWebミナーでお話しします。

医療ネットワークの最新事例：

オンライン資格確認向けIPv6接続から病院間ネットワークまで

11月10日（水） 13:30-14:15 

ご参加のほど、よろしくお願いします。

お申込み、詳細はこちらから。

ヤマハネットワーク ウェビナー

---

いつもアクセスありがとうございます。ヤマハ様主催のウェビナーに登壇します。皆様のご参加を楽しみにしております。

NTT東日本の閉域IPv6でIPsecVPNをヤマハルーターで構築

NTTのフレッツ回線では、NTT網内閉域のIPv6を使うことができます。ただし、NTT東西間での通信はできません。

NTT東日本内にある拠点間でVPN接続をしていますが、網内IPv6でのVPNに変更しました。従来の経路はバックアップ経路として残しています。

しばらく、運用してみます。

社内事務所間接続では、プロバイダが提供する、IPoEグローバルIPv6とPPPoEグローバルIPv6を使ってNTT東西間でVPN接続をしています。

こちらは、たいへん安定しています。

今後、ますますIPv6を活用していきます。

---

いつもアクセスありがとうございます。IPv6の利用状況を共有いたします。引き続きよろしくお願いします。

ヤマハ UTMアプライアンス『UTX100』と『UTX200』を発表

ヤマハが本格的なUTMを正式に発表しました。発表資料によると、これまでの独自開発とは異なり、「Check Point Software Technologies Ltd. 」との協業での製品です。Check Point Software Technologies Ltd. 社はFireWall/UTM分野での老舗です。

■UTX200

■UTX100

セキュリティ分野は、セキュリティ業界での知見の蓄積が必要です。世界的に著名なCheck Point社との協業は、セキュリティ・エンジンへの不安を払拭します。

基本的なファイヤーウオール機能はこれまでのヤマハルータも備えていますが、それを統計的に分析するには仕掛けが必要でした。

まだ実機を見たことはありませんが、CheckPointエンジンをヤマハのGUI管理機能で包んだイメージで仕上がっています。また、ヤマハVPNルータとの接続性も確保されているようです。

ターゲティングは、UTX100が小規模、UTX200が中規模でサポートサービス付きですね。これは、専門性の高い領域のサポートは販社では出来ないので、UTXをよく知っているサポートを提供するということでしょう。一般的なソフトウエアライセンスとは異なります。

詳細仕様や価格などまだ判らないこも多いのですが、セキュリティ強化の時代に即していると思います。セキュリティ分野は、国産がほとんど活躍できていないので、ヤマハの活躍に期待しています。

---

いつもアクセスありがとうございます。

セキュリティ分野も、設計・運用が大事です。ネットワークと一緒で、簡明に仕上げることがノウハウです。引き続き、情報を共有していきます。

ヤマハが企業ルーターRTX1220を発売-RTX1210はRTX1220に引き継ぎ

こんにちは。

ヤマハが企業向けインターネットルーターRTX1220を2021年３月に発売開始することを発表しました。

これまでのフラグシップ・ルータRTX1210の後継機です。外部仕様的には、すでにサービスの終了が決まっているISDNのインタフェイスを廃止しています。発表された外観もその通りです。

RTX1210は企業ネットワーク構築の標準ルータです。その前身のRTX1200、RTX1100、RTX1000、RT103i、RT102i、ヤマハルータ初号機RT100iと20年を超え脈々とご利用に支えられてきました。これからは、RTX1220がそれを引き継ぎます。

企業ネットワークのインターネット接続点として、これからも沢山使われることでしょう。私は、RTX1210および、N1210系のルータをIPoE接続用のルータとして活用を始めています。IPoE=IPv6網上でIPv4を流すサービスに対応しているプロバイダを選べば、IPv4 over PPPoEは不要になります。今はIPv4 over IPoEでも固定IPv4を使うことができます。

 

これからの企業ネットワークは、IPv4に加え、IPv6を併用することが標準になります。すでに、Goole、Youtube、Micorosoft 365、Windows Updateなど大規模なインターネット接続はネイティブなIPv6接続です。IPv4でのWindows Updateのブレークアウトはもはや過去の話で、グローバルなIPv6がPCまで届けば、企業の悩みは大きく解決します。RTX1210、RTX1220は、そのために適したルーターです。

---

今回は「ヤマハがRTX1220の発売を公表-RTX1210はRTX1220に引き継ぎ」についての共有です。

ヤマハルータにUbuntu 20.04 LTSからSSHログインできなくなった場合の対処

今回は「ヤマハルータにUbuntu 20.04 LTSからSSHログインできなくなった場合の対処」を共有します。

Ubuntu Studio 20.04 LTSを使ってヤマハルータへのsshをしようとしたところ、以下の通りエラーとなります。回避方法は以下の通りです。

エラーの理由は最新のUbuntu側のSSHクライアントの設定に変更があり、ネゴシエーション時点で終了します。ヤマハルータ側を変えるのは難しいので、Ubuntu側で対応します。

---

■接続エラーが発生

takumi@taniubsd:~$ ssh -p PORT_NUM  login_user@HOSTNAME.aa0.netvolante.jp
Unable to negotiate with IP_ADDR port PORT_NUM: no matching key exchange method found. Their offer: diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
takumi@taniubsd:~$

---

■Ubuntu側にSSHクライアントの設定を追加する

takumi@taniubsd:~$ cat .ssh/config
Host HOSTNAME.aa0.netvolante.jp
KexAlgorithms +diffie-hellman-group14-sha1

---

■接続を試行する

初回接続なので「接続して大丈夫？」と訊かれる。

takumi@taniubsd:~$  ssh -p PORT_NUM login_user@HOSTNAME.aa0.netvolante.jp
The authenticity of host '[HOSTNAME.aa0.netvolante.jp]:PORT_NUM ([IP_ADDR]:PORT_NUM)' can't be established.
RSA key fingerprint is SHA256:3TPjWUHaKj5f8SWvEcKv8I8HkJP1iO+1WIxBqMAgTd4.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '[HOSTNAME.aa0.netvolante.jp]:POORT_NUM,[IP_ADDR]:PORT_NUM' (RSA) to the list of known hosts.
login_user@HOSTNAME.aa0.netvolante.jp's password:[PASSWORD]

RTX810 BootROM Ver. 1.00
RTX810 FlashROM Table Ver. 1.00

RTX810 Rev.11.01.34 (Tue Nov 26 18:39:12 2019)
Copyright (c) 1994-2019 Yamaha Corporation. All Rights Reserved.
To display the software copyright statement, use 'show copyright' command.
Memory 128Mbytes, 2LAN
 >

---

いつもアクセスありがとうざいます。引き続きよろしくおねがいします。

ヤマハWLX202を病院に設置しました

今日は「ヤマハWLX202を病院に設置しました」です。
今回は、病院に入院されている方々のために、急ぎで無線LANアクセスポイントを設置しました。
コロナウイルス感染を予防するために、お見舞いの立ち入りも禁止されています。
その不便さを解消するために、インターネットを使って、入院患者さまと、院外にいる家族とコミュニケーションをとるためのものです。大きな工事をせず、必要な時にスタッフの方が談話室などにもっていく形での運用です。

WLX202の導入は、企業ルータとしては簡単な方です。

アクセスポイントの管理IPを固定する
VAP単位でWi-Fiの設定を行う

VAP=Virtual Access Pointの略で、一つのアクセスポイントの中に複数のアクセスポイント機能を持たせることができます。
夫々のVAPはTagVLANとの紐づけができるので、同じ物理ネットワークと物理アクセスポイントを利用して、複数のネットワークを安全性を高めて構築することが容易です。

今回は無線LAN専用のセグメントをUnTagで新設しました。
VAPにつながった無線端末には、VAPのDHCPサーバでアドレスを配布します。そうすることで、ご利用者のIPアドレスの範囲を同じネットワークの有線部分とに分けています。

上流の経路はルータがRTX1210でフレッツ光回線です。

---

■ヤマハWLX202

ヤマハNVR500でとても簡単にNTTひかり電話を接続できます（訂正）

今回は「ヤマハNVR500でとても簡単にNTTひかり電話を接続できます」編です。

ヤマハNVR５００（現行機はNVR510）でNTTひかり電話を簡単に接続できたので紹介します。

電話番号一つのNTTひかり電話を事務所で使っています。一般的な契約でホームゲートウエイ（HGW）が光回線を終端しており、その配下にRTX1200を繋いで事務所LANと複数のVPNを結んでいます。

NVR500でひかり電話を収容しようと、HGWのONU直下にNVR500のWANをつなぎました。NVR500で「ひかり電話を使う」にすると、なるほど電話の発着信ができます。よしよし。

でもこうすると、HGWが備えるIP内線接続機能は使えません。とりあえず、HGWを元通りに戻し、NVR５００のWANをHGWのLANにつなぎました。「ひかり電話を使う」モードにしたままです。これで、電話は使えないはず、、、ですが着信できたのです。

発信を試すと発信もできます。とても簡単でした。

が、翌日になると、電話できませんでした（涙

では、素直に、HGWからみたらNVR500が内線電話の扱いで、NVR500からみたらSIPサーバへの接続の扱いで接続すると、NVR500に電話が着信するはず。

• NVR500とHGW間で通信できるようにする
• HGWに内線電話"3"番を設定する
• NVR500にSIPサーバの登録と、着信番号を設定する

NVR500にひかり電話が着信すれば、HGWから離れたLAN内に別のNVR500を設置して、一般電話機をつなぐことができます。拙宅ではひかり電話の電話とFAXをLAN/Wi-Fi経由で延伸して別の部屋に置いています。

---

■ヤマハNVR500

オープンソースでネットワークを拡張する

今日の話題は「オープンソースでネットワークを拡張する」です。

今は、お客様は必ずネットワークをお持ちです。そのネットワークを拡張することにもお応えしています。
例えば「本社事務所とつなぎたい」。これまでは「サイト間VPNならヤマハルータを使って、、」と組んできました。
もちろん、それが適しているネットワークもあります。一方、UTMやルータがあるネットワーク、既にヤマハルータがあるネットワークも多くあります。それを拡張します。

もちろん、クラウドにつなぎたい方も多々いらっしゃいます。多くのクラウドは指定のVPNルータでVPN接続する異機種間接続になります。

お客様のご要望は「安全にあそことつなぎたい」だけですから、それをどう実現するか。私は、オープンソースを活用してシステム連携を組み上げています。

ヤマハルータで確実にPing応答確認を行うには

今日は「ヤマハルータで確実にPing応答確認を行うには」です。
ヤマハルータで確実にPing応答確認を行います。宛先IPに加えて、-saオプションを使い発信元IPを指定します。

ルータは、インターフェイスを複数持ちます。VLANを使うとまた増えます。
ヤマハルータに限らず複数のIPを持つ機器は「自分のどのIPから発信したか」がping応答の有無に影響します。なので、Pingで応答がない場合は必ず、発信元IPを指定して「再確認」します。

以下、発信元IPを付けた例です。

Linuxやその他の通信機器にも同様のオプションがあります。

---

> ping ?
Command Format: ping [-s LENGTH] [-c COUNT] [-sa SOURCE] [-w WAIT]
DESTINATION
LENGTH = 1-65535, COUNT = 1-21474836, SOURCE = IP address,
WAIT = 0.1-3600, DESTINATION = IP address or host name
Description: Invokes a diagnostic tool for testing connectivity to
specified destination.
honsha> ping -sa 192.168.11.254 192.168.1.250
received from 192.168.1.250: icmp_seq=0 ttl=254 time=6.255ms
received from 192.168.1.250: icmp_seq=1 ttl=254 time=6.268ms
received from 192.168.1.250: icmp_seq=2 ttl=254 time=6.522ms

3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max = 6.255/6.348/6.522 ms

ヤマハ通信機器管理者へのWindows Terminal活用の薦め

ヤマハ通信機器管理者へのWindows Terminal活用の薦め

Windows TerminalはMicrosoftがリードしてオープンソースで開発している、新しいWindowsのコマンドライン・シェルです。この5月の連休中に正式版の配布が始まりMicrosft Storeから無料でダウンロードできます。

これまでも、ネットワーク管理者は「コマンドプロンプト」を使ってきました。IPアドレスの確認や、ping、tracertなどネットワーク系の実行環境として今でも多くのシステム管理者が使う大切なツールです。

ネットワーク管理者は、ssh、telnet、ｔｆｔｐを日常的に使います。実はWindows PowerShellの５にはsshが統合されました。Linuxとオプションもほぼ同じ、ネイティブなコマンドとして動作します。では、telnetもあれば、好都合です。また、ヤマハ通信機器の設定のリモート取得にはtftpが欠かせません。

実はWindowsの機能追加メニューで、telnetもtftpも使うことができ、技術者の方であれば直ぐに設定できます。Windows PowerShell 5の環境一つでssh、telnet、tftpを使うことができると、画期的に便利です。対向のルータの設定画面を二つのTab内に表示して、見比べるなど簡単にできます。加えて履歴がバラバラにならないのでとても良いのです。コピペも他のアプリ同様、マークしてCtrl+C / Ctrl+V が使えます。

LAN内のヤマハ通信機器の設定をまとめて取得するには、PowerShellスクリプトを書けば複数台を、スクリプト一発で取得できます。

シリアルコンソールが無いのですが、これはWSLでのLinux shellでできる可能性があります。

ヤマハL3スイッチSWX3200のSSIを使いコアネットワークを作っています

今回の話題は「ヤマハL3スイッチSWX3200のSSIを使いコアネットワークを作っています」です。
ヤマハSWX3200は「二台で一つのシングルシステム・イメージ（SSI）」構成をとることができます。
大きな建屋間をSSI構成とするSWX3200（合計4台）で結びます。
後は、棟ごとのVLANをどう設定していくかを計画します。
多数のIPセグメントがあるので、VLAN上のIPセグメントのルーティングの知識と、セグメント間の不要通信を防ぐアクセスリストの知識も必要です。

今回は、若い技術者に設計・実装・運用を移転しながら進めています。
仕様検討＋設計＋仮組を一日で。
現場実装を一日で。
が目標です。

技術移転する、若い技術者の方はヤマハのRTXルータは知っているけど、SWXは初めてです。
素晴らしい理解力でコア部分に冗長性のあるネットワークを、一日で設計から仮組まで達成しています。
順調にいけば2日間で実装完了ですから、驚くほどの速さです。

SWX3200のSSIを利用することで、冗長設計が簡明になり、設計も、設定も、試験も、運用も楽になります。
出来上がりが楽しみです。

ヤマハルーターを内部DNSとして使う

いつもアクセスありがとうございます。匠技術研究所の谷山亮治です。

今日のお題は「ヤマハルーターを内部DNSとして使う」です。

ヤマハのルーターには、リカーシブルDNS機能に、社内のホスト名を登録する機能があります。この機能を使うとMicrosoft Windows ServerのActiveDirectory無しでも、社内PC等からのアクセス名として使うことができます。

例）エクスプローラーで
\\fserver.local
例）Edgeなどブラウザで
https://groupw.local

社内のサーバーや、プリンタに名前でアクセスできるので、とても便利です。弊社ではファイルサーバーに名前をつけています。

ヤマハルーターで管理者モードになり
# ip host fserver.local 192.168.10.11 
# ip host groupw.local  192.168.10.12
(*)20230213誤記修正済み
IPアドレス：ファイルサーバーのアドレス
fserver.local：ファイルサーバーのアクセス名です。
groupw.local：グループウエアのアドレス

(注)".local"は社内にあることを判りやすく示しています。
インターネット上に実在するドメイン名とぶつからない名称を使います。ぶつかった場合はそのドメインにはアクセスできなくなります。近年、トップドメインの種類が増えているので、注意が必要です。

誤り例）fserver.com, fserver.tokyo

(注)WindowsはDNSでの名前解決を優先します。そのため、ホスト名に"."を含めDNS形式で設定します。

ヤマハルーターでのDNSキャッシュの確認と消去方法

いつもアクセスありがとうございます。匠技術研究所の谷山です。
今日は「ヤマハルーターでのDNSキャッシュの確認と消去方法」です。

ヤマハルータはデフォルトで、DNSの代理応答の機能が有効です。他社ルーター製品も含め、インターネット接続用のルーターであれば、多くのネットワークで、このDNS代理応答機能を使っています。

■DNSキャッシュの役割
ある宛先に対してDNS問い合わせが発生したときに、DNSキャッシュ上に同じ宛先のIP情報が残っていれば、上位のDNSに問い合わせすることなく、問い合わせ先に返信を行います。一般的には、社内PCで発生するDNS問い合わせを、プロバイダのDNSまで問い合わせる機会を減らすことになります。

■ヤマハルーターのDNSキャッシュ
ヤマハルーターのDNS代理応答機能は、代理応答したドメイン名とIPアドレスの関係をキャッシュしています。デフォルトのキャッシュサイズはは256件です。このサイズは最大1024件まで増やすことができます。

■キャッシュ内のドメイン関連情報を抽出した例
TTLは上位DNSから伝搬してくるキャッシュ時間長と、現在の残余時間長を示しています。残余時間が0になれば、キャッシュは消えます。このキャッシュ時間は「上位の値に従っている」ので、ルーター管理者が変更することはできません。
例えばUbuntu.comに関するdns問い合わせを抽出してみました。このルータでは、IPv6も使っているので、AAAAレコードの問い合わせも発生しています。

> show dns cache | grep ubuntu
Searching ...
A IN 395/500 connectivity-check.ubuntu.com (35.222.85.5 35.224.99.15
6)
AAAA IN 1709/3393 connectivity-check.ubuntu.com
>

■キャッシュに記録が無くても通信はしている
以下の例では、キャッシュにエントリーがほとんどありません。でも、このルーターはVPN通信をしています。DNSに問い合わせるアドレス解決が不要な状態が続いているだけです。

> show dns cache
Summary: 2 entries [/ 256]
TYPE CLASS TTL NAME (ADDRESS)
---------------------------------------------------------------------
PTR IN 33349/86400 75.249.251.218.in-addr.arpa
PTR IN 26157/86400 84.10.247.220.in-addr.arpa

■ヤマハルータのDNSキャッシュ情報を削除する
管理者権限で以下のコマンドを実行します。実行前は25ほどのエントリーがありましたが、消えました。

# clear dns cache
# show dns cache
Summary: 0 entry [/ 256]
TYPE CLASS TTL NAME (ADDRESS)
---------------------------------------------------------------------
#

■DNSキャッシュは手元のPCにもあり

DNSキャッシュは、手元のPCにもあります。即ち、DNSでの名前解決は、この多重にあるDNSキャッシュと関係しながら行われます。

初回の問い合わせであれば、ルーターのDNSは上位のプロバイダのDNSに問い合わせますが、プロバイダDNSでキャッシュした値が返る可能性もあります。

DNSの動作確認ツールでDNSの動きを確認するときは、このことを意識して確認することになります。

ヤマハルータRTXとスイッチSWXで二重化ネットワークを構築

いつもアクセスありがとうございます。匠技術研究所の谷山です。
今日は「ヤマハルータRTXとスイッチSWXで二重化ネットワークを構築」です。

■二重化ネットワークの必要性

ビルの縦系、サーバー系など基幹の所は二重化したほうが障害耐性が高まります。二重化ネットワークは、運用設計をしっかりしないと、切り替わりを検知できません。

匠技術研究所では、企画、設計、実装、運用と保守まで、一貫して提供します。

プロバイダ接続の二重化、DHCPの二重化、RADIUSサーバ、Syslogサーバまで一貫した見通しの良いシステムをお客様と共に構築し、技術研修を通して、お客様への技術移転も行います。

運用のための各種サーバー類は、Linux上の仮想サーバーで構築。クラウド化も、容易な設計です。

ネットワークは簡明であることが一番です。

RTX1210, SWX3500, SWX2100,箱だけRTX830