サザンクロスルータシステム AR415S ファームウェアリリースノート Version 2.9.2-09 Ver.2.9.2-09 以 下 のとおり 機 能 追 加 機 能 改 善 が 行 われました 1. 本 バージョンで 仕 様 変 更 された 機 能 (1)AS 番 号 IT ADD BGP PEER コマンド/SET BGP PEER コマンドのREMOTEAS パラメーター SET IP AUTONOMOUS コマンドのAUTONOMOUS パラメーターの 指 定 できる 数 値 の 範 囲 が1 ~ 65535 に 変 更 されました 2. 本 バージョンで 修 正 された 項 目 (1)グローバルアドレスが 割 り 当 てられた Android 端 末 が NAT 機 能 を 持 つ 装 置 配 下 のAR ルーターに 対 してリモートアクセス 接 続 を 確 立 できませんでしたが これを 修 正 しました (2)AR ルーターが Transport モードにて IPSec 接 続 を 行 うイニシエーターとして 動 作 する 場 合 NAT 機 能 を 持 つ 装 置 配 下 の 機 器 に 対 して リモートアクセス 接 続 を 確 立 できませんでしたが これを 修 正 しました 4. 本 バージョンでの 留 意 事 項 (1) 認 証 サーバー RADIUSサーバーを 複 数 登 録 している 場 合 最 初 に 登 録 したRADIUSサーバーに 対 してのみ SET RADIUSコマンドのRETRANSMITCOUNTパラメーターが 正 しく 動 作 しません 最 初 のRADIUSサーバーへの 再 送 回 数 のみ RETRANSMITCOUNTの 指 定 値 よりも1 回 少 なくなります 本 現 象 は802.1X 認 証 を 使 用 した 場 合 のみ 発 生 します (2)ETHインターフェース Ethernetポートでリンクダウンをともなうポート 無 効 に 設 定 後 該 当 ポートの 速 度 設 定 を 変 更 すると SHOW ETH STATEコマンドで 表 示 されるActual speed/duplexの 表 示 がConfigured speed/duplexと 同 じ 表 示 になります (3)ポート 認 証 1DISABLE PORTAUTHコマンドで PORTAUTHパラメーターに8021Xを 指 定 すると EAP Successパケットを 送 信 してしまいます
2RESET ETHコマンドによってEthernetインターフェースを 初 期 化 しても 認 証 状 態 は 初 期 化 されません 3802.1X 認 証 済 みのクライアントがログオフした 場 合 ログオフしたクライアントのMACアドレスがフォワーデ ィングデータベース(FDB)に 保 持 されたままになります 4ENABLE/SET PORTAUTH PORTコマンドのSERVERTIMEOUT パラメーターが 正 しく 動 作 しません これ は SET RADIUSコマンドのTIMEOUTパラメーターとRETRANSMITCOUNTパラメーターの 設 定 が 優 先 され ているためです SET RADIUS コマンドでTIMEOUT (RETRANSMITCOUNT + 1) の 値 を SERVERTIMEOUTより 大 きく 設 定 した 場 合 は SERVERTIMEOUTの 設 定 が 正 しく 機 能 します (4)ブリッジング ポート1がタグ 付 きパケットのブリッジングの 対 象 となるVLANに 所 属 し そのVLANにIPアドレスが 設 定 されている 場 合 ポート1からVLANのIPアドレス 宛 ての 通 信 をしようとすると ルーターがARPに 応 答 せず 通 信 ができません これはポート1でのみ 発 生 し 他 のポートでは 発 生 しません (5)ダイナミックDNS 1ダイナミックDNSのアップデートで 以 下 の2つのケースにおいて アップデートは 再 送 されません 本 製 品 からのTCP SYNパケットに 対 して ダイナミックDNSサーバーからのSYN ACKパケットが 返 って 来 ない 場 合 本 製 品 からのTCP SYNパケットに 対 して ICMP Host Unreachableメッセージが 返 される 場 合 2ダイナミックDNSのアップデート(HTTP GET)に 対 する 応 答 として ダイナミックDNS(HTTP)サーバーから 特 定 のエラーコード(404 Not Found)を 受 信 すると SHOW DDNSコマンドのSuggested actionsの 項 目 に HTMLタグの 一 部 が 表 示 されることがあります (6)DNSリレー DNSリレー 機 能 有 効 時 下 記 条 件 のとき クライアントからの 名 前 解 決 要 求 に 対 してクライアントが 指 定 し たアドレスとは 異 なるアドレスで 応 答 します 12つ 以 上 のVLANが 設 定 されており それぞれが 異 なるIPネットワークに 所 属 している 2DNSクライアントが DNSサーバーのアドレスとして 自 身 が 所 属 していないVLANのIP アドレスを 指 定 して いる これを 回 避 するには 自 身 が 所 属 しているVLAN のIPアドレスをDNSサーバーとして 設 定 してください (7)IPv6 1RIPng 経 路 を 利 用 してIPv6 マルチキャスト 通 信 を 行 っている 場 合 経 路 が 無 効 (メトリック 値 が16)になって
も しばらくその 経 路 を 利 用 して 通 信 を 行 います 2ガーベージコレクションタイマーが 動 作 中 のRIPng 経 路 は 新 しいメトリック 値 を 持 つ 経 路 情 報 を 受 信 しても タイマーが 満 了 するまで 経 路 情 報 を 更 新 しません (8)ファイアウォール 1ファイアウォールにてリモートIPを 指 定 せずにダブルNATルールを 設 定 すると ルーターがすべての Gratuitous ARPに 対 して 応 答 してしまうため Hostにてアドレス 重 複 を 検 出 し 通 信 できないことがありま す 2ファイアウォールにて 動 的 にIPアドレスが 割 り 当 てられるインターフェースをPublicインターフェースとして 設 定 した 際 ルールNATのGBLIP パラメーターに"0.0.0.0"を 設 定 すると NAT 後 のソースアドレスがPublic インターフェースのIPではなく "0.0.0.0" に 変 換 されるためパケットを 送 信 しません 3NAT ループバックの 設 定 でFTP を 行 うと 3 ウェイハンドシェークが 終 了 しているにもかかわらず FTP パケットが 破 棄 されます (9)DHCPv6サーバー 1ADD DHCP6 POLICYコマンドでDHCPv6 サーバーの 設 定 を 変 更 しても サーバーからReconfigureメッセ ージが 送 信 されません ADD DHCP6 POLICYコマンドの 実 行 後 さらにSET DHCP6 POLICYコマンドを 実 行 してください これにより Reconfigureメッセージが 送 信 されます 2DHCPv6サーバーで 認 証 機 能 を 使 用 した 場 合 ADD DHCP6 KEYコマンドのSTRICTパラメーターが 動 作 し ません (10)L2TP 1ADD L2TP USERコマンドでACTIONパラメーターにdnslookupを 指 定 し PREFIXパラメーターは 未 設 定 とし た 場 合 設 定 を 保 存 し 再 起 動 するとコンフィグエラーになります これを 回 避 するには 再 起 動 トリガーで ADD L2TP USERコマンドを 再 入 力 してください 2L2TP インターフェースでOSPFオンデマンドを 使 用 した 場 合 L2TPの 自 動 接 続 を 開 始 しません (11)IPsec 1Android OS 標 準 のVPNクライアントではない 独 自 VPN クライアントを 実 装 してIPsec DPDに 対 応 したスマー トフォンN-06CとリモートアクセスVPNを 行 うと N-06Cの 送 信 するR-U-THEREメッセージを 受 信 しても 本 製 品 はR-U-THEREACKメッセージを 返 しません これを 回 避 するには PPP LCPエコーの 間 隔 を 短 くするなどして 通 信 中 は 端 末 側 からのIPsec DPDを 動
作 させないようにしてください 2SET ISAKMP POLICYコマンドでIPsec DPDとISAKMPハートビートを 同 時 に 指 定 すると DPDの 動 作 モード が 正 しく 反 映 されません IPsec DPD とISAKMPハートビートを 設 定 する 場 合 には 同 時 に 指 定 しないよう にしてください 3SET IPSEC POLICYコマンドを 実 行 した 場 合 該 当 するIPsecポリシー 上 に 確 立 しているIPSec SAが 削 除 さ れますが 削 除 されたIPSec SAにIPルートテンプレートが 設 定 されている 場 合 テンプレートを 通 じて 追 加 された 経 路 が 削 除 されません DELETE IP ROUTEコマンドで 該 当 するIPルート 情 報 を 削 除 することにより この 不 整 合 から 復 旧 させること ができます 4. 取 扱 説 明 書 コマンドリファレンスの 補 足 事 項 (1)WAN ポート 仕 様 取 扱 説 明 書 に 記 載 の 製 品 仕 様 について 下 記 のとおり 訂 正 いたします A.7 製 品 仕 様 / ハードウェア/ インターフェース/WAN ポート [ 誤 ]10BASE-T/100BASE-TX 1(オートネゴシエーション Full Duplex/Half Duplex/10Mbps/100Mbps 手 動 設 定 常 にMDI/MDI-X 自 動 切 替 ) [ 正 ]10BASE-T/100BASE-TX 1(オートネゴシエーション 時 MDI/MDI-X 自 動 切 替 Full Duplex/Half Duplex/10Mbps/100Mbps 手 動 設 定 時 はMDI 固 定 ) (2)ログイン 名 パスワードで 使 用 可 能 な 文 字 ADD USER コマンド SET USER コマンドのログイン 名 パスワードで 使 用 できる 文 字 は 以 下 のとおりです login-name: ログイン 名 (1 ~ 64 文 字 英 数 字 のみ 使 用 可 能 大 文 字 小 文 字 を 区 別 しない 空 白 不 可 入 力 可 能 文 字 :!0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz) password: パスワード(1 ~ 32 文 字 大 文 字 小 文 字 を 区 別 する 空 白 を 使 用 する 場 合 全 体 をダブル クォーテーション(") で 囲 む 入 力 可 能 文 字 :!#$%&'()*+,-./ 0123456789:;<=>@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{ } ) CREATE PPP コマンド SET PPP コマンドのユーザー 名 パスワードで 使 用 できる 文 字 は 以 下 のとおり です username: ユーザー 名 (1 ~ 64 文 字 大 文 字 小 文 字 を 区 別 する 空 白 を 使 用 する 場 合 全 体 をダブル クォーテーション(") で 囲 む 入 力 可 能 文 字 :!#$%&'()*+,-./ 0123456789:;<=>@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{ } ) password: パスワード(1 ~ 64 文 字 大 文 字 小 文 字 を 区 別 する 空 白 を 使 用 する 場 合 全 体 をダブル クォーテーション(") で 囲 む 入 力 可 能 文 字 :!#$%&'()*+,-./ 0123456789:;<=>@ABCDEFGHIJKLMNOPQRSTUVWXYZ[\]^_`abcdefghijklmnopqrstuvwxyz{ } )
(3)PPPoE 接 続 環 境 における 2 点 間 IPsec VPN(AR ルーター 側 アドレス 不 定 SRX210 対 向 ) 表 2:ルーターA/B の 設 定 に 誤 りがありましたので 下 記 のとおり 訂 正 いたします [ 誤 ] ルーターA ルーターB ローカルゲートウェイ ppp0 ethernet0/2(pppoe) [ 正 ] ルーターA ルーターB ローカルゲートウェイ ppp0 ethernet0/0/0(pppoe) ルーターB(SRX210)の 設 定 の 設 定 手 順 10 に 誤 りがありましたので 下 記 のとおり 訂 正 いたします [ 誤 ] 各 セキュリティーゾーンに 管 理 アクセスを 設 定 します セキュリティーゾーン TRUST( 内 部 )では 全 てのサービスを 許 可 するように 設 定 します root# set security-zone trust host-inbound-traffic system-services all セキュリティーゾーン UNTRUST( 外 部 )では PING 及 び ISAKMP のみ 許 可 するように 設 定 します root# set security-zone untrust host-inbound-traffic system-services ping root# set security-zone untrust host-inbound-traffic system-services ike [ 正 ] 各 セキュリティーゾーンに 管 理 アクセスを 設 定 します セキュリティーゾーン TRUST( 内 部 )では 全 てのサービスを 許 可 するように 設 定 します root# set security zones security-zone trust host-inbound-traffic systemservices all セキュリティーゾーン UNTRUST( 外 部 )では PING 及 び ISAKMP のみ 許 可 するように 設 定 します root# set security zones security-zone untrust host-inbound-traffic systemservices ping root# set security zones security-zone untrust host-inbound-traffic systemservices ike ルーターB(SRX210)の 設 定 の 設 定 手 順 19 に 誤 りがありましたので 下 記 のとおり 訂 正 いたします [ 誤 ]IPsec の 接 続 先 の 設 定 ar-gw を 作 成 します Phase 1 ポリシーには 前 の 手 順 で 作 成 した p1-policy を 使 うよう 設 定 します ルーターA の IP アドレス が 不 定 なため dynamic を 指 定 し HOSTNAME で 相 手 の 認 証 ID を 指 定 します また VPN 接 続 を 行 うイ ンターフェースを 指 定 します root# set security ike gateway ar-gw ike-policy p1-policy root# set security ike gateway ar-gw dynamic hostname client root# set security ike gateway ar-gw external-interface ge-0/0/0.0 [ 正 ]IPsec の 接 続 先 の 設 定 ar-gw を 作 成 します Phase 1 ポリシーには 前 の 手 順 で 作 成 した p1-policy を 使 うよう 設 定 します ルーターA の IP アドレス が 不 定 なため dynamic を 指 定 し HOSTNAME で 相 手 の 認 証 ID を 指 定 します また VPN 接 続 を 行 うイ
ンターフェースを 指 定 します root# set security ike gateway ar-gw ike-policy p1-policy root# set security ike gateway ar-gw dynamic hostname client root# set security ike gateway ar-gw external-interface pp0.0