http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/relnote_14_01_35.html Revision : 14.01.35 Release : Jan. 2020, ヤマハ株式会社 Rev.14.01.35 リリースノート ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○ファームウェアのリビジョンアップを行う前に必ずお読みください ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Rev.14.01.26以降のファームウェアへリビジョンアップを行う際には以下の点にご注意 ください。 Rev.14.01.26では以下の変更をしています。 「RTX1210 Rev.14.01.26 リリースノート」より、 http://www.rtpro.yamaha.co.jp/RT/docs/relnote/Rev.14.01/relnote_14_01_26.html [1] 本機にアクセスするときのセキュリティーを強化した。 (8) 工場出荷状態の設定にtelnetd host lanコマンドを追加した。 Rev.14.01.26以降のファームウェアを使用して工場出荷状態からプロバイダーを設定す ると、上記のコマンドが設定されているため遠隔からTELNETでログインができなくなり ます。 遠隔からTELNETでログインをする場合はtelnetd hostコマンドの設定を変更してくださ い。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ○RTX1210 Rev.14.01.34 からの変更点 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■脆弱性対応 [1] OpenSSLの以下の脆弱性対応を行った。 - CVE-2019-1547(JPCERT/CC JVNVU#94367039) - CVE-2019-1563(JPCERT/CC JVNVU#94367039) ■機能追加 [1] L2MSで、以下の機器に対応した。 - SWX3100-18GT - SWX2310-10G - SWX2310-18GT - SWX2310-28GT - SWX2310-52GT - SWX2210P-10G - SWX2210P-18G - SWX2210P-28G [2] OCNバーチャルコネクトサービスの固定IP8契約と固定IP16契約に対応した。 [3] DNSリカーシブサーバー機能でEDNS0に対応した。 また、Web GUIの詳細設定の[DNSサーバー]でEDNSを設定できるようにした。 これに伴い、以下のコマンドにednsオプションを追加した ○DNSサーバーのIPアドレスの設定 [書式] dns server IP_ADDRESS [edns=SW] [IP_ADDRESS [edns=SW]...] ★ no dns server [IP_ADDRESS [edns=SW]...] ★ [設定値及び初期値] IP_ADDRESS [設定値] : DNSサーバーのIPアドレス [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNSサーバーのIPアドレス、またはネットボランチサーバー番号を最大4つ指定で きる。 このIPアドレスはルーターがDHCPサーバーとして機能する場合にDHCPクライアン トに通知するためや、IPCPのMS拡張オプションで相手に通知するためにも使用さ れる。他のコマンドでもDNSサーバーが設定されている場合は、最も優先順位の 高いコマンドの設定が使用される。DNSサーバーを設定する各種コマンドの優先 順位は、コマンドリファレンスの「DNSの設定」ページの冒頭の説明を参照。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ ○DNSサーバーアドレスを取得するインターフェースの設定 [書式] dns server dhcp INTERFACE [edns=SW] ★ no dns server dhcp [INTERFACE [edns=SW]] ★ [設定値及び初期値] INTERFACE [設定値] : LANインターフェース名、WANインターフェース名、ブリッジ インターフェース名 [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNSサーバーアドレスを取得するインターフェースを設定する。このコマンドで インターフェース名が設定されていると、DNSで名前解決を行うときに、指定し たインターフェースで DHCPサーバーから取得したDNSサーバーアドレスに対して 問い合わせを行う。DHCPサーバーからDNSサーバーアドレスを取得できなかった 場合は名前解決を行わない。他のコマンドでもDNSサーバーが設定されている場 合は、最も優先順位の高いコマンドの設定が使用される。DNSサーバーを設定す る各種コマンドの優先順位は、コマンドリファレンスの「DNSの設定」ページの 冒頭の説明を参照。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ ○DNSサーバーを通知してもらう相手先情報番号の設定 [書式] dns server pp PEER_NUM [edns=SW] ★ no dns server pp [PEER_NUM [edns=SW]] ★ [設定値及び初期値] PEER_NUM [設定値] : DNSサーバーを通知してもらう相手先情報番号 [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNSサーバーを通知してもらう相手先情報番号を設定する。このコマンドで相手 先情報番号が設定されていると、DNSでの名前解決を行う場合に、まずこの相手 先に発信して、そこでPPPのIPCP MS拡張機能で通知されたDNSサーバーに対して 問い合わせを行う。 相手先に接続できなかったり、接続できてもDNSサーバーの通知がなかった場合 には名前解決は行われない。 他のコマンドでもDNSサーバーが設定されている場合は、最も優先順位の高いコ マンドの設定が使用される。DNSサーバーを設定する各種コマンドの優先順位は、 コマンドリファレンスの「DNSの設定」ページの冒頭の説明を参照。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ ○DNS問い合わせの内容に応じたDNSサーバーの選択 [書式] dns server select ID SERVER [edns=SW] [SERVER2 [edns=SW]] [TYPE] QUERY [ORIGINAL-SENDER] [restrict pp CONNECTION-PP] ★ dns server select ID pp PEER_NUM [edns=SW] [DEFAULT-SERVER [edns=SW]] [TYPE] QUERY [ORIGINAL-SENDER] [restrict pp CONNECTION-PP] ★ dns server select ID dhcp INTERFACE [edns=SW] [DEFAULT-SERVER [edns=SW] [TYPE] QUERY [ORIGINAL-SENDER] [restrict pp CONNECTION-PP] ★ dns server select ID reject [TYPE] QUERY [ORIGINAL-SENDER] no dns server select ID [設定値及び初期値] ID [設定値] : DNSサーバー選択テーブルの番号 [初期値] : - SERVER [設定値] : プライマリーDNSサーバーのIPアドレス [初期値] : - SERVER2 [設定値] : セカンダリーDNSサーバーのIPアドレス [初期値] : - TYPE : DNSレコードタイプ [設定値] : a : ホストのIPアドレス aaaa : ホストのIPv6アドレス ptr : IPアドレスの逆引き用のポインター mx : メールサーバー ns : ネームサーバー cname: 別名 any : すべてのタイプにマッチする 省略 : 省略時はa [初期値] : - QUERY : DNS問い合わせの内容 [設定値] : TYPEがa、aaaa、mx、ns、cnameの場合 QUERYはドメイン名を表す文字列であり、後方一致とする。例えば "yamaha.co.jp"であれば、rtpro.yamaha.co.jpなどにマッチする。 "."を指定するとすべてのドメイン名にマッチする。 TYPEがptrの場合 QUERYはIPアドレス(ip_address[/masklen])であり、masklenを省略 したときはIPアドレスにのみマッチし、masklenを指定したときはネッ トワークアドレスに含まれるすべてのIPアドレスにマッチする。 DNS問い合わせに含まれるin-addr.arpaドメインで記述されたFQDNは、 IPアドレスへ変換された後に比較される。すべてのIPアドレスにマッ チする設定はできない。 rejectキーワードを指定した場合 QUERYは完全一致とし、前方一致、及び後方一致には"*"を用いる。 つまり、前方一致では、"NetVolante.*"であれば、NetVolante.jp、 NetVolante.rtpro.yamaha.co.jpなどにマッチする。また、後方一致 では、"*yamaha.co.jp"と記述する。 [初期値] : - ORIGINAL-SENDER [設定値] : DNS問い合わせの送信元のIPアドレスの範囲 [初期値] : - CONNECTION-PP [設定値] : DNSサーバーを選択する場合、接続状態を確認する接続相手先情 報番号 [初期値] : - PEER_NUM [設定値] : IPCPにより接続相手から通知されるDNS サーバーを使う場合の 接続相手先情報番号 [初期値] : - INTERFACE [設定値] : DHCPサーバーより取得するDNSサーバーを使う場合のLANインター フェース名またはWANインターフェース名またはブリッジインター フェース名 [初期値] : - DEFAULT-SERVER [設定値] : PEER_NUMパラメーターで指定した接続相手からDNSサーバーを獲 得できなかったときに使うDNSサーバーのIPアドレス [初期値] : - SW ★ [設定値] : ★ on : 対象のDNSサーバーへの通信はEDNSで行う ★ off: 対象のDNSサーバーへの通信はDNSで行う ★ [初期値] : off ★ [説明] DNS問い合わせの解決を依頼するDNSサーバーとして、DNS問い合わせの内容およ びDNS問い合わせの送信元および回線の接続状態を確認する接続相手先情報番号 とDNSサーバーとの組合せを複数登録しておき、DNS問い合わせに応じてその組合 せから適切なDNSサーバーを選択できるようにする。テーブルは小さい番号から 検索され、DNS問い合わせの内容にQUERYがマッチしたら、そのDNSサーバーを用い てDNS問い合わせを解決しようとする。一度マッチしたら、それ以降のテーブル は検索しない。すべてのテーブルを検索してマッチするものがない場合には、他 のコマンドで指定されたDNSサーバーを用いる。DNSサーバーを設定する各種コマン ドの優先順位は、コマンドリファレンスの「DNSの設定」ページの冒頭の説明を 参照。 rejectキーワードを使用した書式の場合、QUERYがマッチしたら、そのDNS問い合 わせパケットを破棄し、DNS問い合わせを解決しない。 restrict pp節が指定されていると、CONNECTION-PPで指定した相手先がアップし ているかどうかがサーバーの選択条件に追加される。相手先がアップしていない とサーバーは選択されない。相手先がアップしていて、かつ、他の条件もマッチ している場合に指定したサーバーが選択される。 ednsオプションを省略、またはedns=offを指定すると、対象のDNSサーバーへの 名前解決はDNSで通信を行う。 ★ edns=onを指定すると、対象のDNSサーバーへの名前解決はEDNSで通信を行う。 ★ edns=onで名前解決ができない場合、edns=offに変更すると名前解決できること がある。 ★ EDNSはバージョン0に対応。 ★ [4] SSHサーバー機能、SFTPサーバー機能で、公開鍵認証に対応した。 TELNET複数セッション機能、SSHサーバー機能 http://www.rtpro.yamaha.co.jp/RT/docs/sshd/index.html SFTPサーバー機能 http://www.rtpro.yamaha.co.jp/RT/docs/sftpd/ 外部仕様書をよくご確認のうえ、ご利用ください。 ■仕様変更 [1] IKEv2で、ipsec ike message-id-controlをONに設定しているとき、IKEメッセージ のリトライ中に次のIKEメッセージを送信したい場合、リトライ回数満了後にIKEメッ セージを送信し、その間トンネルダウンもしないようにした。 [2] console columnsコマンドで設定できる上限値を4096に変更した。 ○コンソールの表示文字数の設定 [書式] console columns COL no console columns [COL] [設定値及び初期値] COL : コンソールの表示文字数 [設定値] : 80..4096 (RTX1210 Rev.14.01.35 以降★) 80..200 (上記以外★) [初期値] : 80 [説明] コンソールの1行あたりの表示文字数を設定する。 本コマンドは一般ユーザーでも実行できる。 [ノート] 本コマンドの設定は、saveコマンドで保存するまでshow configコマンドによる 設定の表示に反映されない。 Rev.9系以降では、saveコマンドで保存しなくてもshow configコマンドで設定が 表示される。 [3] RAプロキシーで、ルーター起動時にプロキシー配下のLANインターフェースがリンク ダウン状態のとき、RA受信により生成したIPv6アドレスを暫定IPv6アドレスとして いたのを有効なIPv6アドレスとするように変更した。 [4] RAプロキシーで、以前と異なるIPv6プレフィックスのRAを受信したときに、RA配下 のWindows PCが新しいIPv6プレフィックスを利用できるようにした。 [5] IPv6 IPoE設定のルーターを多段に配置したときに、下位ルーターのDNSリカーシブ サーバーから上位ルーターのDNSリカーシブサーバーへアクセスできるようにした。 [6] RAプロキシーで設定されたMAP-Eトンネルにおいて、LANインターフェースがリンク ダウンしたときに、MAP-Eで計算されたIPv6アドレスを消さないように変更した。 [7] dns notice orderコマンドでDHCPv6を設定できるようにした。 dns notice orderコマンドの設定をすることで、IPv6網からDHCPv6で通知されたDNS サーバーアドレスをルーター配下の端末に通知できるようになる。 ○DHCP/DHCPv6/IPCP MS拡張でDNSサーバーを通知する順序の設定 ★ [書式] dns notice order PROTOCOL SERVER [SERVER] no dns notice order PROTOCOL [SERVER [SERVER]] [設定値及び初期値] ・PROTOCOL [設定値]: dhcp .. DHCPによる通知 dhcpv6 .. DHCPv6による通知 ★ msext .. IPCP MS拡張による通知 [初期値]: dhcp、dhcpv6およびmsext ★ ・SERVER [設定値]: none .. 一切通知しない me .. 本機自身 server .. dns serverコマンドに設定したサーバー群 PROTOCOLにdhcpv6を指定した場合はDHCPv6で割り当てられたサー バー群 ★ [初期値]: me server (PROTOCOLがdhcpまたはmsextの場合) me (PROTOCOLがdhcpv6の場合) ★ [説明] DHCPやDHCPv6、IPCP MS拡張ではDNSサーバーを複数通知できるが、それをどのよ うな順番で通知するかを設定する。★ noneを設定すれば、他の設定に関わらずDNSサーバーの通知を行わなくなる。 meは本機自身のDNSリカーシブサーバー機能を使うことを通知する。PROTOCOLに dhcp、またはmsextを指定した場合、serverではdns serverコマンドに設定した サーバー群を通知することになる。PROTOCOLにdhcpv6を指定した場合は、IPv6網 からDHCPv6で通知されたDNSサーバー群を通知することになる。★ IPCP MS拡張では通知できるサーバーの数が最大2に制限されているので、後ろに meが続く場合は先頭の1つだけと本機自身を、server単独で設定されている場合 には先頭の2つだけを通知する。 [8] IPマスカレード機能で、既存のUDPのNATエントリーと「送信元IPアドレス」 「送信元ポート番号」「宛先ポート番号」が同一であり「宛先IPアドレス」のみが 異なるUDPパケットは従来は新しくNATエントリーは作成しない仕様であったが、対 応する新しいNATエントリーを作成し別々に管理するようにした。 [9] YNOのGUI Forwarder経由でWeb GUIの詳細設定の[プロバイダー接続]にアクセスした とき、プロバイダー接続の設定を新規に作成できるようにした。 [10] Web GUIの詳細設定の[DNSサーバー]-[中継先DNSサーバーの設定]で、サーバーの選 択条件を設定できるようにした。 ■バグ修正 [1] 以下の機能を使用すると、リブートやハングアップする可能性を排除した。 ただし、この問題が実機上で発現することは確認できていない。 - YNOエージェント機能 - 「v6プラス」 - OCNバーチャルコネクトサービス Rev.14.01.34以降で発生する可能性がある。 [2] L2TP接続で、切断処理中にリブートやハングアップする可能性を排除した。 ただし、この問題が実機上で発現することは確認できていない。 [3] 不正なファイルやディレクトリーが保存された外部メモリーを使用するとリブート することがあるバグを修正した。 [4] OSPFv3による経路の優先度が他より高い場合、LANインターフェース、またはVLAN インターフェースのimplicit経路と同一の経路がOSPFv3によって通知されると、当 該ネットワーク宛の通信が正常にできなくなることがあるバグを修正した。 [5] 極めて稀なタイミングで、ハングアップやリブートが発生する可能性を排除した。 ただし、この問題が実機上で発現することは確認できていない。 [6] ip routeコマンドの設定に、一つだけフィルター型経路のゲートウェイを設定して、 その設定を削除したときに、メモリーリークが発生するバグを修正した。 [7] Web GUIのダッシュボードのHistoryで、暗号化された統計ファイルの復号に失敗し たときにメモリーリークが発生するバグを修正した。 [8] YNOマネージャーに保存したコンフィグをルーターに取り込む場合、本来は差分のみ 設定されるはずが、一部のコマンドではすでに設定されているにも関わらず、再設 定されてしまうバグを修正した。 [9] YNOエージェント機能で以下のコマンドが実行できないバグを修正した。 - ipv6 interface icmp-nd queue length - ipv6 ospf import from - snmp trap cpu threshold - snmp trap delay-timer - snmp trap memory threshold - speed pp - system cpu threshold - system memory threshold [10] clear status pp anonymousコマンドを実行したときに発現する以下のバグを修正 した。 - pp anonymous[03]以降のステータスがクリアされない。 - L2TP/IPsec接続をしているanonymous以外のPPインターフェースのステータスが クリアされる。 [11] clear status ppコマンドで、L2TP/IPsecトンネルをバインドしているPPインター フェースのMIBカウンターをリセットできないバグを修正した。 [12] VLANが無効なときにclear status LAN/WAN1コマンドでPPインターフェースのMIBカ ウンターがリセットされてしまうバグを修正した。 [13] L2TP/IPsec接続で、PPインターフェースにバインドしたトンネルインターフェース をdisableにしたとき、L2TP/IPsecで通信ができてしまうバグを修正した。 [14] PPTP接続で、トンネルがアップしたあとにPPインターフェースにバインドしたトン ネルインターフェースをdisableにしたとき、PPTPで通信ができてしまうバグを修 正した。 [15] IPv6フラグメントパケットの再構築後のペイロード長が65,535オクテットを超える とき、ICMPv6 Parameter Problemパケットを送信しないバグを修正した。 [16] IPv6フィルターまたはIPv6動的フィルターで、そのフィルターに該当するプロトコ ルで3つ以上にフラグメントされたパケットを受信したときに発生する以下のバグ を修正した。 ・フラグメントされたすべてのパケットを破棄してしまうことがある - ipv6 filterコマンド pass_reject:pass、pass-log、pass-nolog、restrict、restrict-log、 restrict-nolog - ipv6 filter dynamicコマンド ・最後のパケットに対するrejectログが出力されないことがある - ipv6 filterコマンド pass_reject:reject-log [17] 以下の操作でコンフィグを比較したとき、特定のコマンドが一致しているにもかか わらず差分として抽出されることがあるバグを修正した。 - show config differenceコマンドを実行 - loadコマンドでdifferenceオプションを指定し実行 [18] DHCPサーバー機能で、DHCP REQUESTメッセージのOptionにEndが入っていないとき、 不正な値をOptionの値として取得してしまうことがあるバグを修正した。 [19] SSHサーバーのホスト鍵をDSSの2048bitで生成したときに、SSH接続できないバグを 修正した。 Rev.14.01.34以降で発生する。 [20] ポート分離機能が設定されているとき、タグVLANを設定してもエラーにならないバ グを修正した。 [21] IPv6拡張ヘッダーのHop-by-Hopオプションの宛先オプションに不明なタイプがセッ トされているICMPv6 Echo Requstパケットを受信したとき、発信元へICMPv6 Echo Replyパケットが送信されないバグを修正した。 [22] マルチポイントトンネル接続で、接続中にスポーク側のIPアドレスが変わった場合、 ハブ側で古いIPアドレスのトンネル情報を削除すると、スポークのトンネルアドレ スへの経路が消え、通信ができなくなることがあるバグを修正した。 [23] dns server selectコマンドで、typeを省略すると設定できないことがあるバグを 修正した。 [24] LAN分割機能を使用している状態で、show status switching-hub macaddressコマン ドをMACアドレスを指定して実行したとき、MACアドレスが見つからないバグを修正 した。 [25] dns notice orderコマンドで、以下のバグを修正した。 - 重複したキーワードを設定してもエラーにならない - サーバーパラメーターの2つ目のキーワードにnoneを設定してもエラーにならな い [26] show status user historyコマンドで、SFTPで接続したユーザーのログイン履歴が 表示されないバグを修正した。 [27] Web GUIのLANマップのツリービューでPoEスイッチを選択したとき、PoE状態の取得 完了までに時間がかかることがあるバグを修正した。 [28] Web GUIのLANマップで、SWX2210の機器名を変更するとき、アンダースコア(_)とハ イフン(-)以外の半角記号が設定できないバグを修正した。 [29] Web GUIの管理の以下のページで、外部メモリーでインポートおよびエクスポート に失敗したときに不適切なエラーメッセージが表示されるバグを修正した。 - [保守]-[CONFIGファイルの管理]-[CONFIGファイルのインポート] - [保守]-[CONFIGファイルの管理]-[CONFIGファイルのエクスポート] - [保守]-[ファームウェアの更新]-[外部メモリーからファームウェアを更新] [30] Web GUIのダッシュボードのHistoryにおける以下のガジェットで、グラフ上の表記 とは異なる単位に換算された値で表示されるバグを修正した。 ・トラフィック情報(LAN) ・トラフィック情報(PP) ・トラフィック情報(TUNNEL) [31] Web GUIの詳細設定の[プロバイダー接続]で、プロバイダー接続の設定を追加する と、コンソール上に不正なログが表示されることがあるバグを修正した。 [32] Web GUIのダッシュボードのHistoryにおける各ガジェットで、グラフの実線と破線 が逆に表示されるバグを修正した。 [33] Web GUIの詳細設定の[DHCPサーバー]-[動作モードの設定]で、DHCPリレーエージェン ト機能の中継サーバーのIPアドレスが入力できないバグを修正した。 Rev.14.01.33以降で発生する。 [34] Web GUIの詳細設定の[DNSサーバー]-[中継先DNSサーバーの設定]で、誤ったインター フェースが選択可能になっているバグを修正した。 [35] Web GUIのLANマップのタグVLANの画面で、VLAN間フィルター設定ダイアログのVLAN 間通信がVLAN間フィルター設定状態に関わらず常に全遮断になっているバグを修正 した。 [36] コマンドヘルプの誤記を修正した。 [37] Web GUIの以下のヘルプページで、誤記を修正した。 - [詳細設定]-[DHCPサーバー]-[動作モードの設定ページ] - [詳細設定]-[ルーティング]-[静的ルーティングの設定] - [LANマップ]-[詳細]-[マルチプルVLAN]-[マルチプルVLANの設定ビュー] - [全般]-[その他]-[切断コード表] -------------------------------------------------------------------------------- ■更新履歴 Jan. 2020, Rev.14.01.35 リリース Jan. 2020, 機能追加[3] 文面修正 以上