teratail
回答率
85.30%
teratail header banner
teratail header banner
質問するログイン新規登録

質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.30%
トップVyOSに関する質問
VyOS

VyOSは、オープンソースのネットワークOSでVyattaの無償版です。ルータとして動作させるための多くのソフトウェアや管理用コマンドを搭載。ソフトウェアルータとして主に運用されています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

Q&A

解決済

1回答

181閲覧

EVE-NG で ping が通るのに HTTP が通らない

ja_JP
ja_JP

総合スコア5

VyOS

VyOSは、オープンソースのネットワークOSでVyattaの無償版です。ルータとして動作させるための多くのソフトウェアや管理用コマンドを搭載。ソフトウェアルータとして主に運用されています。

ネットワーク

ネットワークとは、複数のコンピューター間を接続する技術です。インターネットが最も主流なネットワークの形態で、TCP/IP・HTTP・DNSなどの様々なプロトコルや、ルータやサーバーなどの様々な機器の上に成り立っています。

0グッド

1クリップ

投稿2025/05/15 07:45

編集2025/05/15 12:23

0

1

実現したいこと

EVE-NG (6.2.0-4-Community) で適当にネットワークを作成しました。(全て 24bit マスク)
WebServer : 10.10.0.10 (FreeBSD)
Net5 : 172.31.5.10 (FreeBSD)
Net0 : 172.31.0.10 (Debian)
RT-01 : e1/172.31.0.2, e2/172.31.5.1 (VyOS)
RT-02 : e3/172.31.5.2, e4/172.31.10.1, e5/10.10.0.1 (VyOS)
イメージ説明

WebServer, Net5, Net0 から w3m で 阿部 寛のホームページは閲覧可能です。

最終目標としては緑色の経路で HTTP 通信を行いたいのですが、その前に
紫色の経路を試し WebServer への http アクセスに成功しました
次に、赤色の経路を試したところ ping には応答がありますが http が通りません
HTTP通信をキャプチャすると Net0 の e0 では
Net0 → Web syn
Net0 ← Web syn, ack
Net0 → Web ack
Net0 → Web GET
Net0 → Web GET (再送)
Net0 → Web GET (再送が続く)...
となり、RT-01 の eth1 でキャプチャすると
Net0 → Web syn
Net0 ← Web syn, ack
のあとのパケットがありません。

何が HTTP 通信を止めていると考えられるでしょうか?
men usage 20%, cpu usage 1桁 なので、EVE-NG のリソースは問題ないと思っています。

発生している問題・分からないこと

HTTP 通信ができません。

エラーメッセージ

error
1root@debian:~[50]# curl -m 60 http://10.10.0.10/
2curl: (28) Operation timed out after 60000 milliseconds with 0 bytes received

該当のソースコード

RT_01
1vyos@RT-01:~$ show configuration commands
2set interfaces ethernet eth0 address '192.168.0.64/24'
3set interfaces ethernet eth0 description 'MGT'
4set interfaces ethernet eth0 vrf 'MGT'
5set interfaces ethernet eth1 address '172.31.0.2/24'
6set interfaces ethernet eth2 address '172.31.5.1/24'
7set protocols static route 0.0.0.0/0 next-hop 172.31.0.1
8set protocols static route 10.10.0.0/24 next-hop 172.31.5.2
9set protocols static route 172.16.0.0/12 next-hop 172.31.5.2
10set service https
11set service lldp interface all
12set service lldp legacy-protocols cdp
13set service ssh vrf 'MGT'
14set system config-management commit-revisions '100'
15set system console device ttyS0 speed '115200'
16set system domain-name 'my.home'
17set system host-name 'RT-01'
18set system ipv6 disable-forwarding
19set system name-server '1.0.0.1'
20set system name-server '8.8.8.8'
21set system syslog local facility all level 'info'
22set system syslog local facility local7 level 'debug'
23set system time-zone 'Asia/Tokyo'
24set vrf name MGT protocols static route 0.0.0.0/0 next-hop 192.168.0.254
25set vrf name MGT table '100'
26vyos@RT-01:~$

RT_02
1vyos@RT-02:~$ show conf comm
2set interfaces ethernet eth0 address '192.168.0.65/24'
3set interfaces ethernet eth0 description 'MGT'
4set interfaces ethernet eth0 vrf 'MGT'
5set interfaces ethernet eth3 address '172.31.5.2/24'
6set interfaces ethernet eth4 address '172.31.10.1/24'
7set interfaces ethernet eth5 address '10.10.0.1/24'
8set protocols static route 0.0.0.0/0 next-hop 172.31.5.1
9set service https
10set service ssh vrf 'MGT'
11set system config-management commit-revisions '100'
12set system console device ttyS0 speed '115200'
13set system domain-name 'my.home'
14set system host-name 'RT-02'
15set system ipv6 disable-forwarding
16set system name-server '1.0.0.1'
17set system name-server '8.8.8.8'
18set system syslog local facility all level 'info'
19set system syslog local facility local7 level 'debug'
20set system time-zone 'Asia/Tokyo'
21set vrf name MGT protocols static route 0.0.0.0/0 next-hop 192.168.0.254
22set vrf name MGT table '100'
23vyos@RT-02:~$

試したこと・調べたこと

  • teratailやGoogle等で検索した
  • ソースコードを自分なりに変更した
  • 知人に聞いた
  • その他
上記の詳細・結果

RT-01,02 の https を有効にし
Net0 から https://172.31.0.2/ (RT-01) は可能
Net0 から https://172.31.5.1/ (RT-01) は timeout (なんで?)
Net0 から https://172.31.5.2/ (RT-02) は timeout (これも変)
Net0 から https://10.10.0.10/ (RT-02) は timeout (これも変)
Net0 から https://10.10.0.10/ (WebServer) は Connection Refused (https は開いていないので当然)
Net0 から http://10.10.0.10/ (WebServer) は timeout (問題点)

Net0 からの実行例
% curl -m 60 http://10.10.0.10/
curl: (28) Operation timed out after 60000 milliseconds with 0 bytes received
% curl -m 60 https://10.10.0.10/
curl: (7) Failed to connect to 10.10.0.10 port 443 after 2 ms: Couldn't connect to server

切り分けのためルータ 2台と両端にサーバーの簡易化したネットワークを作ってみました
イメージ説明
これで通信試験をしましたが、ping, http 通信ともに正常でした。

補足

特になし

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

自己解決

解決しました
PaloAlto にフィルターされていました。
Net0 のデフォルトルートが PaloAlto に向いていて、非対称ルーティングを許可していませんでした。(デフォルト)

Net0 → PA → RT-01 → RT-02 → WebServer syn
Net0 ← -- ← RT-01 ← RT-02 ← WebServer syn, ack (戻りパケットが PA を経由しません)
Net0 → PA ack (PA は syn, ack を知らないので、異常な通信としてフィルタ)
Net0 → PA Web GET (同上)

PA のゾーンプロテクションで、非対称ルーティングを許可することで通信が通るようになりました。
https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClSHCA0&lang=en_US

ポリシーは full open だったので PaloAlto は止めていないと思い込んでいました...

投稿2025/05/16 17:17

ja_JP
ja_JP

総合スコア5

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.30%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

トップVyOSに関する質問

EVE-NG で ping が通るのに HTTP が通らない