RTX1100/RTX1500/RT107e Rev.8.03.94 リリースノート

Rev.8.03.92 からの変更点

■機能追加

1. VPNクライアントYMS-VPN8に対応した。

   http://www.rtpro.yamaha.co.jp/RT/docs/example/vpnclient/ymsvpn8.html

   設定例をご確認のうえ、ご利用ください。

   対象機種: RT107e

■仕様変更

1. PPPの認証方式で、MSCHAP、MSCHAPv2に対応した。

   対象機種: RT107e

2. L2TP/IPsecで以下の仕様変更を行った。

   • 切断したあと受信用のIPsec SAのみが残っている状況でも、当該トンネルで新規L2TP/IPsec接続を受け付けることができるようにした。
   • 特定の端末とのL2TP/IPsec接続で切断処理に30秒程度かかってしまう事象への対策をした。
   • 切断時にDEBUGレベルのSYSLOGに出力される以下のログを変更した。
     • 変更前： [IKE] Reset L2TP/IPsec setting
     • 変更後： [IKE] Reset L2TP/IPsec setting TUNNEL[XX]
   • 接続および切断時に以下のログをINFOレベルのSYSLOGに出力するようにした。
     • 接続時： IP Tunnel[XX] Up
     • 切断時： IP Tunnel[XX] Down

   対象機種: RTX1100, RTX1500, RT107e

■バグ修正

1. RFCの記述の不整合を起因とするOSPFv2の脆弱性(VU#229804)について対応した。

   http://www.rtpro.yamaha.co.jp/RT/FAQ/Security/VU96465452.html

   OSPFでAdvertising RouterとLink State IDとが異なるRouter LSAを含むLSUパケットを受信したとき、それを破棄するようにした。

   対象機種: RTX1100, RTX1500, RT107e

2. IPsecフェーズ2においてレスポンダーとして動作する場合、イニシエーターが提案する暗号化アルゴリズムと認証方式の組の中にipsec sa policyコマンドで設定した組が含まれないとリブートするバグを修正した。
   ルーター間で異なる暗号化アルゴリズムや認証方式を設定してIPsec接続を行った場合がこの条件に該当する。

   Rev.8.03.92のみで発生する。

   対象機種: RTX1100, RTX1500, RT107e

3. DHCPクライアント、DHCPv6-PDクライアント機能で、ベンダー情報を取得する場合にリブートすることがあるバグを修正した。

   対象機種: RTX1100, RTX1500, RT107e

4. ipv6 interface address dhcpコマンドとipv6 interface dhcp serviceコマンドを記述した設定ファイルをTFTPでルーターに書き込むとハングアップし、その後リブートすることがあるバグを修正した。

   対象機種: RTX1100, RTX1500, RT107e

5. L2TP/IPsecで、接続を受ける毎にメッセージエリアの解放漏れが発生し、通信ができなくなったり、ルーターの動作が不安定になることがあるバグを修正した。

   対象機種: RTX1100, RTX1500, RT107e

6. L2TP/IPsecで、L2TPキープアライブパケットが再送される場合に不正なシーケンス番号が使用されるバグを修正した。
   本バグによって、L2TPキープアライブパケットがロスした場合に誤ってトンネルダウンを検知することがあった。

   対象機種: RTX1100, RTX1500, RT107e

7. NATトラバーサルが適用されたL2TP/IPsec接続で、ISAKMP SAのリキーに失敗したり、不正なトンネルインターフェースで新しいISAKMP SAが生成されることがあるバグを修正した。

   対象機種: RTX1100, RTX1500, RT107e

8. L2TP/IPsecで、以下の条件に合致すると切断処理が行われてしまうバグを修正した。

   • IPsecフェーズ1で再送された第3メッセージおよび第5メッセージを受信したとき
   • IPsecフェーズ1が確立した状態で、そのフェーズ1で使用された情報を持つIPsecフェーズ1のメッセージを受信したとき

   Rev.8.03.92のみで発生する。

   対象機種: RTX1100, RTX1500, RT107e

9. L2TP/IPsecでVJCまたはCCPが有効な場合、データ領域が不正なL2TPパケットが送信されることがあるバグを修正した。

   対象機種: RTX1100, RTX1500, RT107e

10. L2TP/IPsecで、正しい設定がされているにもかかわらずクライアントからの接続要求を受け付けられないことがあるバグを修正した。
    tunnel encapsulation l2tpコマンドを最後に設定したときに発生する。

    対象機種: RTX1100, RTX1500, RT107e

11. L2TP/IPsecで、NATの配下から複数の端末が接続している状況でその内の1台から不正なIKEメッセージを受信すると、他の接続が切断されることがあるバグを修正した。

    対象機種: RTX1100, RTX1500, RT107e

12. L2TP/IPsecで、IPsecによって暗号化されていないL2TPのメッセージを受信してしまうことがあるバグを修正した。
    ただし、本バグによってIPsecを介さないL2TP接続が確立することはない。

    対象機種: RTX1100, RTX1500, RT107e

13. L2TP/IPsecで、AVPに関するログの誤記を修正した。

    対象機種: RTX1100, RTX1500, RT107e

14. L2TP/IPsecで、disconnectコマンドによって接続している端末を切断した場合、次に当該トンネルで受けた接続において接続後の鍵交換に失敗して切断されることがあるバグを修正した。

    対象機種: RTX1100, RTX1500, RT107e

15. l2tp tunnel authコマンドで以下のバグを修正した。

    • passwordパラメーターに初期値(機種名)を設定するとshow configコマンドに出力されない
    • switchパラメーターをoffに設定したときにpasswordパラメーターが入力できない

    対象機種: RTX1100, RTX1500, RT107e

16. PPPの認証で、mschapまたはmschap-v2が使用された場合であっても、show status ppコマンドで出力されるPPPオプションに含まれる認証アルゴリズムが"CHAP"と表示されるバグを修正した。

    対象機種: RTX1100, RTX1500

■更新履歴

Dec. 2013, Rev.8.03.94 リリース
Dec. 2013, Rev.8.03.94 機能追加 1. 設定例のリンクを追記

以上