Netscreenユーザスレ r4.0
1 :ScreenOS :2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net 無難なFWアプライアンス いつの間にか、前スレ消えてるので、立てておくよ。 http://www.juniper.net/jp/jp/products-services/security/ その他代理店はggrks 過去スレ Netscreenユーザスレ r3.0 http://hibari.2ch.net/test/read.cgi/network/1158592499/ Netscreenユーザスレ r2.0 http://pc8.2ch.net/test/read.cgi/network/1064890311/ Netscreenユーザスレ http://pc.2ch.net/test/read.cgi/network/1026471990/
2 :anonymous :2011/03/08(火) 23:11:36.48 ID:???.net >>1 大義であった!
3 :anonymous :2011/03/10(木) 15:52:41.09 ID:???.net 気づいたら落ちてたねw たまにはageないとだめだなやっぱ
4 :anonymous :2011/03/10(木) 21:08:55.36 ID:???.net そういえば落ちてたな。 すっかり忘れてた。
5 :anonymous :2011/03/15(火) 13:42:29.32 ID:???.net 5XTを透過モードで使っています syslogをuntrust側のポートに出す事はできないんでしょうか? よろしくお願いします
6 :sage :2011/03/27(日) 14:49:47.55 ID:YvgyiypW.net netscreen 5xt 5.3 r3 でファームアップをやらかしちゃったんだが、解決方法ないっけ?
7 :anonymous@ 172.113.102.121.dy.bbexcite.jp :2011/03/27(日) 15:34:31.25 ID:???.net >>6 自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。 "TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。
8 :anonymous :2011/04/07(木) 08:50:15.24 ID:???.net ちと教えて下さい x.x.x.1〜x.x.x.4のグローバルアドレスを持っているとして x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末(192.168.1.0/24)のデフォゲとします。 またこのとき192.168.1.100〜192.168.1.102迄のサーバ三台をそれぞれ x.x.x.2 → 192.168.1.100 x.x.x.3 → 192.168.1.101 x.x.x.4 → 192.168.1.102 とMIPにします。 このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの グローバルIPにしてやれば良いのでしょうか?
9 :anonymous :2011/04/07(木) 11:18:24.58 ID:???.net >>8 サーバーごとにTrust to Untrustのポリシーつくって、Advancedの NAT Source AddressにMIP指定してやってた気がする 違ったらごめんよ あとローカルセグメントにいるサーバーのデフォルトゲートウェイに グローバルIP設定したところで、セグメント違うんだから通信できない希ガス
10 :anonymous :2011/04/07(木) 13:46:36.27 ID:???.net >>9 レスありがとうございます。 それっぽいところを見たのですが NATのSource Translation (DIP on)というところぐらいで None (Use Egress Interface IP) しか選べませんでした。 (MIPを選ぶところはなかったです orz) 機種はNS25でファームウェアは5.4.0r16.0です。
11 :anonymous@ s98.ItokyoFL27.vectant.ne.jp :2011/04/07(木) 13:55:05.49 ID:???.net ?2BP(0) http://www.viva-netscreen.net/archives/cat_50031540.html 上みてやれば普通にできると思うよ?
12 :anonymous :2011/04/07(木) 14:15:10.74 ID:???.net >>11 !! なんと…。 MIPが設定されたマシンから外へ通信するとソースは 該当するグローバルIPになるんですね!! 最初に試してから質問すれば良かったorz 机上で設計していて、デフォルトルートに通信が行くんだから 絶対にUntrustの口のIPになると思っていました。 お騒がせ致しました…。
13 :anonymous :2011/04/07(木) 21:37:56.94 ID:???.net インタフェースモードやDIPの有無によるのでは。 ・・・楽しいFWになりそうだな。
14 :anonymous :2011/04/08(金) 22:31:23.20 ID:???.net 最近5.4系なんか触った記憶ないけど、untrustに入ってくる通信で、 そのインタフェースが持ってないセグメントをmIPにアサインできたっけ?
15 :anonymous :2011/04/11(月) 15:36:16.14 ID:???.net 今時JuniperのサイトからNetScreen-Remoteもダウンロードできるんだな。 ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。 つってもVistaまででしか使えないけどね…。 結局Windows7の標準IPSecクライアントでNSってつながるの?
16 :あ :2011/04/24(日) 21:36:13.56 ID:???.net そんなもん使うな
17 :anonymous :2011/04/27(水) 11:33:38.00 ID:???.net >>15 です NetScreenとShrew Soft VPNでVPN接続できました Windows7 64bitもOK http://blog.livedoor.jp/nanashisoft/archives/52242485.html http://kokoro.bf1.jp/blog/archives/1293 とかを参考に試行錯誤。 なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず 仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙 暫くはこの組み合わせで運用しようと思います
18 :anonymous :2011/04/27(水) 11:42:09.35 ID:???.net 続き 一応Windows標準クライアントとの接続は公式資料がある。 http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536 あとこことかを参考に http://gyabooo.mydns.jp/blog/?p=9 して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。 クライアント側の詳しいログが見つけられなくてそれ以上追えず。 それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。 ので素直にVPNクライアント使ったほうがいいなぁという結論に…。 というグチでございました。
19 :s :2011/05/01(日) 11:17:40.25 ID:???.net shrew softはおいらも使ってるよ ただ複数同時接続はできてない
20 :い :2011/05/02(月) 23:57:29.66 ID:???.net 5xtなんだけどメモリー使用率が70%くらいまでいってる ほかのセッションやCPU使用率は10%くらいなのに・・・ ログとらなきゃいいけどとんないとねぇ・・・・ ポリシー5つくらいすべてログとるようにしてる
21 :a :2011/05/05(木) 23:49:51.04 ID:???.net 5GT 500円でカテキタ
22 :anonymous :2011/05/06(金) 08:18:36.05 ID:???.net >>21 安いな、おいw
23 :a :2011/05/06(金) 11:59:12.98 ID:???.net >>22 ACアダプタなしだったけど、まずまずの掘り出し物でした。 サクッとファームアップしてコンフィグを見ていると↓のような仕様でしたけど、これってextendedです? Sessions: 4064 sessions Capacity: unlimited number of users NSRP: Lite VPN tunnels: 25 tunnels Vsys: None Vrouters: 3 virtual routers Zones: 8 zones VLANs: 10 vlans Drp: Enable Deep Inspection: Disable Deep Inspection Database Expire Date: Disable Signature pack: N/A IDP: Disable AV: Disable(0) Anti-Spam: Disable(0) Url Filtering: Disable
24 :anonymous@ zaq7a66f81d.zaq.ne.jp :2011/05/06(金) 16:30:01.24 ID:???.net >>23 Sessionが4096でNSRPがLiteなのでExtentedモデル として認識しているようなので間違いないはずです。
25 :anonymous :2011/05/06(金) 22:01:28.88 ID:???.net >>23 無制限ユーザで\500となw いい買い物したねオメ これにあやかってSSG5でいいから\5kくらいで転がってねーかなー どうでもいいけど、6.2.0r6でついた念願のtelnetだが、妙に遅くないかい?
26 :anonymous :2011/05/09(月) 13:19:23.17 ID:???.net IE9だとWebUIのメニューが出てこないのね
27 :anonymous :2011/05/19(木) 19:46:29.64 ID:GmYWAy+H.net SSG140の設定で困ってます UnTrust,DMZ,Trustの構成です。 DMZはグローバルIPを直接割り当て、NATは行わずそのままルーティングします。 UnTrustは上位ルーターとの通信用セグメントです。UnTrust,DMZのI/FはRouteモードにしています。 更にポリシーでUnTrust→DMZの通信を全許可しています。 この状態でUnTrustの先に繋いだ端末から、DMZのI/F、DMZ内にいるサーバーにpingは通ります。 しかし実際に端末からサーバーにHTTP接続しようとしても接続できません。 DMZ内にいる他の端末からサーバーへはHTTP接続できます。 サーバーにtcpdumpを仕掛けたところ、pingのパケットは来ていますがHTTPのパケットは来ていませんでした。 UnTrust側からDMZ内のサーバーにHTTP接続するにはどうしたらいいのでしょうか…。 ちなみにNetScreen204に同じような設定をしたところ、そちらは意図通りに動きました。 もう私の手には負えません…。アドバイスをお願い致します。
28 :あのにめあど :2011/05/19(木) 20:14:39.84 ID:???.net >>27 とりあえず、いくつか確認してちょ。 @DMZ設置のサーバのFirewall(iptables)設定の確認。 ASSGのバージョンを教えて。 BPINGはSSGが代理応答している可能性があるからDMZ〜サーバでICMP飛んでいるか確認。 CUntrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。 D逆にDMZからUntrustは通信できるのか確認 @とBに関しては、正常との事だからScreenOSの不具合じゃないかな...と?
29 :27 :2011/05/20(金) 11:35:17.16 ID:???.net >>28 ご回答ありがとうございます @サーバー側のiptablesは特にかかっていませんでした。 ASSG140 HardwareVersion:1010, FirmwareVersion:6.2.0r8.0 Bサーバーにtcpdumpを仕込みましたが、間違いなくICMPは出入りしています。HTTPはSYNパケットすら来ません。 C該当設定でポリシーログをとったところ、ICMPはきちんとTraffic Deniedとしてログに残りましたが、HTTPはログにすら出ませんでした。 DUntrust→DMZのポリシーを許可すればpingは通りましたが、HTTPはこちらも通らなかったです…。(ポリシーでソースNATかければ通りますが) うーんやはりバグでしょうか…。 しかし普通に使われそうな構成で今更こんなバグがあるとも思えないわけですが…。 それとも自分のネットワークやSSGの理解が足りないのか。
30 :27 :2011/05/20(金) 12:06:35.63 ID:???.net ああああああああああああああああああああああああああああ単純ミスだったorz 実験環境で端末とSSGの間に入ってる機器(存在を忘れてた)の設定ミスでパケット止めてました 疑ってごめんよ >SSG 大変お騒がせいたしました。
31 :anon :2011/05/20(金) 16:03:04.55 ID:???.net ワロタ。 頑張れ!
32 :anonymous :2011/05/20(金) 17:05:54.83 ID:???.net SSGの管理画面にVPN経由でログインできないのですが仕様でしょうか ログイン画面は出るのですが、ID/PWを入力してもまたログイン画面に戻ってしまいます
33 :あ :2011/05/20(金) 21:19:29.78 ID:???.net 普通にできるよ
34 :anonymous :2011/05/23(月) 19:08:39.53 ID:???.net DIPでIPがアクセス毎に変わるのが原因でした
35 :えj :2011/05/24(火) 11:59:55.97 ID:???.net >>34 固定にすると複数台同時接続できなくね?
36 :anonymous :2011/05/25(水) 19:38:36.90 ID:???.net NATだし大丈夫じゃないかな
37 :ああ :2011/05/28(土) 12:30:53.07 ID:???.net あたいはできんかった
38 :anonymous :2011/05/31(火) 20:03:23.11 ID:OE9LW3lb.net ScreenOS6.1が乗っているSSG5を使っています。 MIPで設定した送信元IPが、untrustインターフェイスのIPにNATされてしまい困っています。 以下に状況を説明します。 プロバイダからグローバルIPとして xxx.xxx.xxx.96/28 をもらいました。 またプロバイダ・SSG5間のネットワークとして xxx.xxx.xxx.112/29 を、SSG5のuntrust側I/F用IPとして .113を指定されました。 (プロバイダのGWは .118) trust側I/FはNATで 192.168.1.0/24 と設定し、 また xxx.xxx.xxx.97 をMIPで 192.168.1.11となるよう、 untrust側のI/F上に設定しました。 192.168.1.11にはウェブサーバとメールサーバを立てて、 untrust -> trust で Any -> MIP(xxx.xxx.xxx.97) へHTTPとSMTPを許可しました。 また trust -> untrust で 192.168.1.0/24 ->Any へSMTPも許可しました。 これでインターネット側からは xxx.xxx.xxx.97 で 192.168.1.11のウェブサーバ・メールサーバへアクセスできることを確認できて喜びました。
39 :38 :2011/05/31(火) 20:05:41.76 ID:OE9LW3lb.net 長くなってしまいましたがここから本題です。 試しに192.168.1.11から自分のプロバメールアドレスへメール送信したところ、 送信自体は成功して無事にメール受信できました。 ただtrust->untrustのSMTPポリシーのログを見ると、 Translated Source Addressとして xxx.xxx.xxx.113 に変換されていました。 untrustのI/Fではなく、MIPしたxxx.xxx.xxx.97 から送信されるように するにはどうすればいいでしょうか? MIPで指定している xxx.xxx.xxx.97 はドメインをとっているので、 このままだとそのドメインを騙っているスパムIPアドレスとして .113がブラックリスト入りしてしまうのではと心配です。 試しに trust -> untrust のポリシーで MIP(xxx.xxx.xxx.97) -> Any へSMTP許可してみましたが、送信できずグローバルポリシーでdenyされていました。 けっこう困っています。。。お知恵かしてください。
40 :名無しさん :2011/06/01(水) 09:02:20.04 ID:???.net routeモードにして、ポリシー単位でNAT制御すればいいのでは?
41 :38 :2011/06/01(水) 19:46:18.47 ID:FsTLPiFH.net >>40 ありがとうございます。 trust側I/Fをrouteにしてポリシーログを確認したところ、Translated Sourceが192.168.1.11とプライベートアドレスになっているためそのままClose-Age Outして外部へでることができません。 ポリシーでsrc natするためにDIPとしてx.x.x.97をuntrust側I/Fへ登録しようとしましたが、untrust側のネットワークであるx.x.x.112/29の外なので登録出来ませんでした。 そもそも.97はMIPで使用済みなので、DIPとして二重登録はできないようです。 何か壮大な勘違いしてそうなのでお知恵を貸してください。
42 :40 :2011/06/01(水) 23:00:58.93 ID:???.net >>38 あらま、アテが外れてごめんなさい。 SourceでNATするのではなく、DestinationでNATしてみたらどうでしょうか。 該当するポリシーの NAT項目にある "Translate to IP"に xxx.xxx.xxx.97 とする事で アウトバウンドのSrc IPはxxx.xxx.xxx.97になるはず。
43 :40 :2011/06/01(水) 23:11:16.63 ID:???.net 書き込んでから気付いたけど、xxx.xxx.xxx.96/28を貰ってるのに SSGのUntrust側がxxx.xxx.xxx.112/29ってどういう構成だろうコレ。
44 :anonymous :2011/06/02(木) 08:29:34.58 ID:???.net 上位ルーター接続で冗長構成にしたりするとルーティング用のセグメントとして/29とか振られるよ ISP側、自前機器側双方でVRRP構成にするような場合はいっぱい使うしね
45 :38 :2011/06/02(木) 18:36:42.26 ID:???.net >>42 何度もありがとうございます。ただ通信しようとする先が.97にNATされてしまいダメでした。 自分の整理のためも含めて、環境と問題、それに対してやってみたことをまとめます。 アドバイスいただけると助かります。けっこう焦ってきました。 >>44 おっしゃる通り冗長構成です。すごいですね。 ●環境 □untrust側 network:x.x.x.112/29 I/FのIP:x.x.x.113 □trust側 network:192.168.1.0/24 I/FのIP:192.168.1.1 WEB/SMTPサーバhost IP:192.168.1.11 □その他 プロバイダからもらったGlobal IP:x.x.x.96/28 ◆問題 設定: ・MIPでx.x.x.97 <-> 192.168.1.11 ・Any -> MIPでhttp/smtpをpermitポリシー作成 ・192.168.1.11 -> Any でhttp/smtpをpermitポリシー作成 ・trustのI/FモードをNAT 結果 inbound,outboundとも疎通OK。 ただしoutbound時のsrc ipがuntrustのI/FのIP(.113)に変換されてしまう。 outboundでx.x.x.97がsrc ipとなるように設定したい。
46 :38 :2011/06/02(木) 18:44:49.56 ID:nSF7sK80.net ■やったこと1 設定 ・trustのI/Fモードをroute ・他の設定は同じ 結果 inboundは疎通OK。 outboundはsrc ipがローカルの192.168.1.11に変換されてしまい疎通NG。 ■やったこと2 設定 ・192.168.1.11 -> Anyのポリシーで、destinationをx.x.x.97にNAT設定 ・他の設定はやったこと1と同じ 結果 inboundは疎通OK。 outboundはsrc ipがローカルの192.168.1.11に、 さらにdest ipがx.x.x.97になってしまい疎通NG。 ■やったこと3 設定 ・MIP削除 ・Any -> x.x.x.97でhttp/smtpをpermitポリシー作成 そのポリシー内でdestinationを192.168.1.11にNAT設定 ・他の設定はやったこと1と同じ 結果 inboundは疎通NG ⇒Globalのdenyポリシーログに、疎通の試みが記録されていました なぜdenyされるのかわかりません。。。 outboundは相変わらず疎通NG
47 :anonymous :2011/06/03(金) 14:53:23.02 ID:???.net あんまちゃんと読んでないけど、要はセグメントの異なるIPで化かせばいいんだろ? set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97 set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log DIPで単一のIPレンジ(言葉的に矛盾してるが)をUntrust側I./Fに振ってやれば、 Sourceはご所望の.97のアドレスで出て行く あとは適切にMIPの設定しろ
48 :38 :2011/06/03(金) 19:23:32.25 ID:kkqYmJmo.net >>47 ありがとうございます、すごくヒントになりました。 untrust側I/Fのeth0/0はx.x.x.112/29なのでそのままでは.97をDIPできませんでした。 ですのでeth0/0.1というSub I/Fをつくり、そこにx.x.x.96/28を割り当てたうえで、そのI/F上に.97をDIPしました。 ポリシーでtrust->untrustにDIPの.97をsrc natさせたら、おっしゃる通り.97で出ていきました! ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。 (本文長すぎエラーになったので続きます。。。)
49 :38 :2011/06/03(金) 19:25:49.97 ID:kkqYmJmo.net (続き) MIPなしのまま以下のようにポリシー作成しても、 >>46 のやったこと3で書いたようにGlobalポリシーでdenyされてしまいます。。。 set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11 つまりoutboundはできるようになりましたが、今度はinboundがダメになりました。 長々とスレ汚しすみません。光が見えてきたのでもう少しつきあっていただけるとうれしいです。
50 :anonymous@ s61.87.247.220.fls.vectant.ne.jp :2011/06/04(土) 10:56:11.54 ID:???.net 勘違いしてたらごめんなさい。 >48 Untrustインタフェースなら、サブインタフェース作らなくても、 インタフェース自身とは違うサブネットをDIPとして作れるはず。 DIP設定するときに「ext ip」という感じの設定が入ります。 http://kb.juniper.net/InfoCenter/index?page=content&id=KB5760
51 :50 :2011/06/04(土) 11:02:50.10 ID:???.net 続きです。 >49 Globalポリシーに行ってると言う事は、通常のポリシーでマッチしてません。 (MIPが無いと言う前提で)。 ポリシーベースNATでは、宛先アドレス("*.*.*.97/32" )が、 Trust側にルーティングされるようにウソルーティング設定が必要です。 (でないとポリシーにたどり着けません→ポリシーにマッチできません)
52 :47 :2011/06/04(土) 13:43:27.06 ID:???.net 今スレをちょっと読み返してみた。こんな感じでいいのか? アドレスは適当にしたので読み替えろ。自宅にSSGは無いから5GTな 面倒だからI/F表記は変えない trust I/F:192.168.7.250/24 untrust I/F:172.16.0.113/29 対向I/F:172.16.0.118/29 set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0 set address "Untrust" "ISP" 172.16.0.0 255.255.255.0 set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97 set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr" set route 10.0.0.97/32 gateway 192.168.7.250 set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log
53 :47 :2011/06/04(土) 13:46:36.86 ID:???.net PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface 2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024 PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit 2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust Close - RESP 1 172.16.0.118 1 192.168.7.250 97
54 :47 :2011/06/04(土) 13:54:46.92 ID:???.net うおお間違って対向のじゃなく自I/Fのログ晒してもうたw ns-5gt-> get log tra PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit ============================================================================================================ Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface ============================================================================================================ 2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024
55 :50 :2011/06/04(土) 18:41:59.29 ID:???.net どうもよくよく読んでいると、 >46 の 「やったこと1」で、問題ないはずなんだよね。 MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。
56 :50 :2011/06/04(土) 18:44:48.58 ID:???.net (続き) >52 set policy id 100 でsrc dip-id 4 って設定されてるのに ログでは10.0.0.97 にNATされてるから、 やっぱりMIPアドレスでSrc-NATされてますよね。 policy id 100 のSrc-NATをやめて dipとルーティングを削除しても同じように動くと思うのですが 試してもらないでしょうかw
57 :anonymous :2011/06/04(土) 19:36:32.20 ID:???.net >>56 あーやっと言いたい事が分かった気がする(多分)。つーかMIP必要なくね? 面倒だからホストは立てんけど set interface trust ip 192.168.7.250/24 set interface untrust ip 172.16.0.113/29 set address "Trust" "Globals" 172.16.0.96 255.255.255.248 set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0 set address "Untrust" "ISP" 172.16.0.0 255.255.255. set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97 set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log set route 172.16.0.96/29 gateway 192.168.7.250
58 :anonymous :2011/06/04(土) 19:37:34.72 ID:???.net ns-5gt-> get log tra PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit ============================================================================================================ Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface ============================================================================================================ 2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024
59 :anonymous :2011/06/04(土) 19:38:36.31 ID:???.net PID 200, from Untrust to Trust, src ISP, dst Globals, service ANY, action Permit ============================================================================================================ Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface ============================================================================================================ 2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust Close - RESP 1 172.16.0.118 0 192.168.7.250 106
60 :50 :2011/06/04(土) 19:51:58.60 ID:???.net >57, 58 ありがとうございます。 >つーかMIP必要なくね? 自分が思うに、MIPでも、ポリシーベースNATでも、 どちらでも問題なく出来る。。。はずなのですが。
61 :anonymous :2011/06/04(土) 19:57:55.33 ID:???.net >>60 > 自分が思うに、MIPでも、ポリシーベースNATでも、 > どちらでも問題なく出来る。。。はずなのですが。 建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが 想定した変換がうまく行われないようだ まぁそういうのは自分でぶち当たってから考えてみてくれ
62 :38 :2011/06/06(月) 11:12:46.63 ID:2g+XC76r.net >>50-61 お休みに試してまでもらって本当にありがとうございます。 お二方(?)のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。 set interface ethernet0/0 ip *.*.*.113/29 set interface ethernet0/0 route set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97 set interface ethernet0/1 ip 192.168.1.1/24 set interface ethernet0/1 route (続きます)
63 :38 :2011/06/06(月) 11:14:03.78 ID:???.net set address "Trust" "192.168.1.11/32" 192.168.1.11 255.255.255.255 set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118 set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0 (続きます)
64 :38 :2011/06/06(月) 11:15:14.88 ID:2g+XC76r.net >>62-63 のように設定し、inboundは疎通するようになりました。 ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって(Globalのdenyログにも出ない)、outboundが疎通できません。 そこでuntrust->trustのポリシーをDIP無しの単純な set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log にしたところpingは通るようになりました。(ただsrc ipが192.168.1.11のままなので外部へは行けず) あちら立てればこちらが立たずでほんと困ってます。。。長々とすみません。
65 :38 :2011/06/06(月) 19:50:41.74 ID:p3U4UjRg.net >>64 すみません、DIP無しにしたらpingが通ったのはtrust->untrustのポリシーでした。
66 :anon :2011/06/08(水) 23:08:12.31 ID:???.net 長々と判りづらいから今困ってることを箇条下記で書いてほしい。 後、中途半端なConfig貼り付けられても間違った回答する元だから Configマスキングして何処かにアップロードしてくれ。
67 :38 :2011/06/09(木) 21:48:12.91 ID:IfDCuzon.net >>66 ありがとうございます。 困ってること: MIPしてるにもかかわらずSRC IPがルータのuntrust側I/FのIPにNATされてしまう やりたいこと: MIPしているグローバルIPのまま、外に出ていってほしい 設定(SSG5/ScreenOS6.1): untrust側ネットワーク:***.***.***.113/29 untrust側I/FのIP: ***.***.***.114 プロバイダからもらったグローバルIP: ***.***.***.96/28 trust側ネットワーク:192.168.1.0/24 trust側ホスト:192.168.1.11 MIP: ***.***.***.97 <-> 192.168.1.11 config:http://www.dotup.org/uploda/www.dotup.org1688582.txt 冗長構成です。
68 :67 :2011/06/09(木) 21:54:12.98 ID:???.net >>67 すいません、設定のuntrust側ネットワーク間違えました。。。正しくは以下のとおりです。 設定(SSG5/ScreenOS6.1): untrust側ネットワーク:***.***.***.112/29 untrust側I/FのIP: ***.***.***.114 プロバイダからもらったグローバルIP: ***.***.***.96/28 trust側ネットワーク:192.168.1.0/24 trust側ホスト:192.168.1.11 MIP: ***.***.***.97 <-> 192.168.1.11 config:http://www.dotup.org/uploda/www.dotup.org1688582.txt 冗長構成です。
69 :anonymous :2011/06/09(木) 23:16:55.48 ID:???.net いろんな意味で見てて頭の痛くなる内容だな そもそも冗長構成の意味が解ってるのだろうか まずその意味のないどころか害でしかないGlobalのポリシーをunsetしろ 話はそれからだ それだけでsrc:***.***.***.97に変換されて出て行くだろ
70 :67 :2011/06/10(金) 00:24:10.51 ID:???.net >>69 そんなconfig見ていただいてありがとうございます。 NSRPがdisabledなライセンスなので、必死でvrrp使って冗長構成してみたのです。 (もう1台untrustが.115なSSG5がいて、この設定でフェイルオーバーできたので安心してたんですが、やっぱりおかしいでしょうか) アドバイスの通りGlobalのdenyポリシーunsetしてみましたが、相変わらずsrcが***.***.***.114にNATさえて出ていきます。。。
71 :anon :2011/06/10(金) 06:21:14.07 ID:???.net NSRP使えないライセンスなんて聞いたこと無いぞ。
72 :67 :2011/06/10(金) 10:24:30.68 ID:???.net >>71 ******-> get license-key Sessions: 8064 sessions Capacity: unlimited number of users NSRP: Disable ... という感じなのです。 それはともかく、untrsutのI/Fにsrc-natされてしまうのがほんとに不思議というか困ってます。 >>55 さんの言うように、MIPすれば割り当てたグローバルIPでsrc-natされると思ってたのですが。。。
73 :50 :2011/06/10(金) 21:26:09.19 ID:???.net もしかしたら、ですが。 > set interface "ethernet0/0:6" mip ***.***.***.97 host 192.168.1.11 netmask 255.255.255.255 vr "trust-vr" MIPは、サブインタフェースのeth0/0:6 につくってますが、 > set route 0.0.0.0/0 interface ethernet0/0 gateway ***.***.***.118 目的のパケットのルーティング先はeth0/0 を向いてます。 このため、内→外のパケットは、LAN側のIF->eth0/0 になるので、 eth0:6 に作ったMIPにマッチしてないと判断されてるのではないでしょうか。 (eth0/0 と eth0/0:6 が同一セグメントなら、サブインタフェースではなく、 secondary IP で設定してみることをオススメしてみます。 尤も、あまりこういう使い方をした事が無いので直るのかは判らないです。)
74 :50 :2011/06/10(金) 21:30:30.20 ID:???.net (続き) とりあえず、シンプルに、サブインタフェースを使わない状態にして NATがどうなるかチェックできますか? あと、個人的感想ですが、InterfaceのNATモードはあまりオススメしません。 良くわからん事になりがちなので。。。 あとはバグの可能性。
75 :dd :2011/06/13(月) 20:31:07.68 ID:???.net 構成図がまったくわからん
76 :anonymous :2011/06/16(木) 13:01:25.95 ID:???.net SSG140とShrew Soft VPNでVPNを構築してみました サーバーからVPN経由で端末(Shrew動作側)にダウンロードしてくるのは速くて70Mbpsくらい出るのですが、 アップロードが極端に遅くて(数Kbps程度)困っています。 仮組状態なので端末とSSG、SSGとサーバーはLANケーブルで直結しています。 何か心当たり等ありましたら教えて頂けますでしょうか…。 宜しくお願い致します。
77 :l :2011/06/17(金) 21:12:46.37 ID:???.net 単純に回線の限界じゃないの
78 :76 :2011/06/18(土) 15:38:24.15 ID:???.net LANケーブル直結なのでそれはないかと… Wiresharkで見てみたところ、同じACKパケットが重複して届いているようです。 WinXP機にNetscreen-Remoteを入れてみたところそのような問題は発生しませんでした。 しかしWin7とかで使いたいのでShrewを使ってみたのですが… 普通にShrewで使えてる人いますか?
79 :anonymous :2011/06/18(土) 20:21:33.63 ID:???.net >>78 get eventかget log traffic policy <id> で何か出てないか見てみろ
80 :an :2011/06/28(火) 02:47:24.05 ID:r0YKnM5c.net 教えて下さい。SSG20を使用しております。 untrustからtrustへ15秒周期でSSH接続しているのですが、 特定の拠点Aからのみ1時間に1〜2回程度、接続エラーとなります。 SSHのポートは22ではないものにしています。 ・拠点A→SSG(SSHのみエラー、80は問題なし) ・拠点A→他のサーバ(問題なし) ・拠点B→SSG(問題なし) 接続エラーは拠点A内の複数のPCで発生します。 拠点AはFTTH、拠点BはADSLです。 SSGのSoftware Versionは 6.2.0r8-cu1.0。 このような状況なのですが、解決の手がかりはありますでしょうか。 get log traffic policyを見ても、問題となるような点は見当たりませんでした。
81 :anonymous :2011/06/29(水) 06:17:34.17 ID:???.net L2モードでNetScreen使ってます PC群=====NetScreen=====ルーター こんな感じです。 この状態でNetScreenから別拠点へのVPNは張れないのでしょうか。 PC群が別拠点のIPアドレス宛のパケットを発するとNetScreenがVPN処理してくれる事を期待しています。 設定はしてみたのですがNetScreenは反応せず…L2モードだとダメなのでしょうか…。 宜しくお願いします。
82 :anonymous :2011/06/29(水) 06:27:14.26 ID:???.net netscreen/ssgのL2モードではVPNは使えなかったはず
83 :anonymous :2011/06/29(水) 23:43:58.60 ID:???.net なるほど…orz
84 :anonymous :2011/07/02(土) 10:46:53.03 ID:???.net >>82 あれ?マニュアルにはL2モード時のVLAN1でVPNトラフィックの 終端が出来るような事書いてあるけど、VPN使えないん? 物は有るが、テストできる環境は無いんで、 誰か試してくれ。
85 :Anonymous :2011/07/03(日) 00:31:43.43 ID:???.net >>82 L2モードでもVPNは使えるはずです。 >>84 試さなくてもKBには出来ると書いてある。 http://kb.juniper.net/InfoCenter/index?page=content&id=KB5822
86 :anonymous :2011/07/07(木) 11:33:33.85 ID:???.net NetScreenとNetScreenRemoteでIPSec+XAuthによるダイヤルアップVPNの環境を構築しました。 会社から、VPN接続するユーザーのグループごとに事前共有鍵を変えたいと言われましたが、 私の認識だと仕組み上事前共有鍵は複数設定できないと思っています。 会社に技術的に無理ですと言いたいのですが、私の認識はあってますでしょうか。 宜しくお願い致します。
87 :anony :2011/07/10(日) 13:51:29.55 ID:???.net >>86 こういうことかな? User1-A User1-B User1-C User2-A User2-B User2-C User1-XのPSK → User1-PSK User2-XのPSK → User2-PSK これならできるよ
88 :anonymous :2011/07/13(水) 14:19:05.30 ID:FZLUbvfF.net 質問:SSH、Webadminが接続できない 確実な再現性がないのですが、 5GTを使い続けていると、コンソール以外のコントロールが失われます。 HTTPSで利用できている状態でも、しばらくすると管理画面に接続できなくなり、 その状態ではSSHでの接続もできません。 パケットでスニファしても、ICMPは戻ってきますが、TCPのsyn/ackが戻ってきません。 再起動で元に戻りますが、しばらくすると接続ができなくなります。 復帰は見込めないようで再起動以外の対処法が今のところ見つけられません。 なにか情報がないでしょうか?
89 :88 :2011/07/13(水) 14:25:39.20 ID:???.net バージョンは 5.4.0r6.0 です。
90 :ano :2011/07/13(水) 23:34:54.90 ID:???.net >>88 セグメントが違うなら、3wayのチェックあたり? 経路確認してみてはいかが? あとは3wayのチェックはずすなり、経路を直すなりどうとでも コンソールつなげられるってことは、同一セグメントの可能性が強いか
91 :88 :2011/07/14(木) 07:33:20.83 ID:???.net >>90 レスありがとう。 5XTのほうで Syn Flood protection が有効になってた。 いったん設定をはずして様子を見てみる。 助かった(とおもう)
92 :anonymous@ i125-201-11-103.s05.a023.ap.plala.or.jp :2011/08/02(火) 10:47:33.66 ID:???.net NetScreen5GTが投売りされていたので、自宅で勉強のために購入しました。 性能的に無駄な買い物をしちゃったのかなぁ…?っと、思いましたが、 ファイアウォールおよびIPSec/VPN機器として使用したいと考えております。 JuniperサイトからScreenOSをダウンロードしようと、シリアルとメルアドを登録して、 これからダウンロードや設定とかするのですが、ScreenOSの5.4系と6.2系では、何が大きく違うのでしょうか? あと素人考えなので、玄人の方に教えて頂きたいのですが、 ファイアウォールとしてなら今あるルータの前に設置、IPSec/VPN機器としてなら今あるルータの後ろに設置すればいいのでしょうか?
93 :ななし :2011/08/02(火) 11:30:42.00 ID:???.net >>92 OSは最新にしとけばいいんじゃね。 ルータは不要。FWだけいれとけばいいかと。
94 :我輩はぬこである :2011/08/02(火) 23:06:00.92 ID:???.net >>92 勉強用なら性能どうでもいいでしょ 俺も\3,000-でうってたから2台かってきたよ ns5gt.5.3.0hq1.0とかいう見たことないバージョンだったわ
95 :anonymous :2011/08/03(水) 10:08:39.03 ID:???.net >>92 5系と6系の一番の違いはIPv6への対応だとオモタ。 ってか、それ以外は IPv6を使うなら6系、使わないなら5系でもOK。 元々5GTは5.4で打ち止めの予定だったのが、 IPv6への対応の為6系出したって話だったきがす。
96 : 230.93.30.125.dy.iij4u.or.jp :2011/08/04(木) 13:00:49.48 ID:???.net
97 :長すぎる名前 :2011/08/13(土) 20:27:50.48 ID:???.net 5GT 6.2.0r11でも204 5.4.0r21でも、IPv6使って VPN作ると再起動後にVPN設定だけ全部消えるんだよね・・・。 まぁ再起動なんて頻繁にするもんでもないので 実害なんだけど面倒くさい。
98 :anonymous :2011/08/22(月) 00:07:37.58 ID:AfNwj0Zs.net 旧機種の中古が安く投売されてるのをよく見る 法人ユーザーがよく手放してるのかな?
99 : 忍法帖【Lv=10,xxxPT】 :2011/08/22(月) 06:51:08.26 ID:???.net NS→SSGに乗り換えは前からあるけど、SRXや他製品に乗り換え時期だからねぇ。
100 :anonymous :2011/08/24(水) 23:48:53.66 ID:gU/33qNK.net SSG(Screen OS6.0)2台で冗長構成(NSRP)をとります。 この際、2台のSSGのWAN側をそれぞれ異なるISPに接続する構成は可能でしょうか? それぞれWAN側のI/Fには別セグメントのアドレスが付きます。 また、SSG〜WAN間にはL3SWはありません。 すいませんが可能な場合の設定手法等お知恵を拝借出来れば幸いです。
101 :anonymous :2011/08/25(木) 21:46:56.57 ID:???.net >>100 機器は対応してるけど、君が対応してないから やめといたほうがいい せめて第11部読んでからこような
102 :anonymous@ NWTfb-16p2-74.ppp11.odn.ad.jp :2011/08/26(金) 15:08:42.73 ID:???.net untrustのif増やしてそれぞれにpppoe喋らせれば良いんじゃ無いですか?
103 :anonymous@ NWTfb-16p2-74.ppp11.odn.ad.jp :2011/08/26(金) 15:10:42.76 ID:???.net あ、a/a…
104 :anonymous :2011/09/05(月) 09:53:49.81 ID:???.net オクで安く手に入れた中古、耳が邪魔だから外そうとしたが ネジがゲロゲロに堅く締まっていて外せない。 片方は滑り止め使って残り一本までいったので逆に耳の方を回して解決。 もう一方は二本残ってしまいビスブレーカー使ってもダメ。 このために精密ドライバー3本潰して滑り止めとビスブレーカーで 結局高くついた。
105 :anonymous :2011/09/20(火) 20:54:58.31 ID:???.net 現在SSGのDMZ2とルータB(RTX1100)のLAN3が接続されているのですが、 SSGのルーティングの設定で質問があります。 1、SSGとRTX1100はそれぞれPPPoEの設定がされている。 2、現在SSGのtrust側はSSGのデフォルトルート(untrust)でインターネットに 抜けているのですが、事情がありRTX1100でインターネットに抜けて行く 設定にしたい。 3、かつ特定のグローバルIP(61.0.0.0.)だけはいままで通りSSGのuntrust側で通信がしたい。 構成 ssgのtrust側PC-A 192.168.0.0/24、DMZ3のアドレス172.16.0.1 rtx1100のlan3アドレス172.16.0.10 上記の2の場合は、あて先0.0.0.0でゲートウェイ172.16.0.10で 良さそうな気がするのですが、上記3の場合はあて先61.0.0.0でゲートウェイのアドレスはどのように設定すればよろしいのでしょうか?(gateweyは0.0.0.0でいいのかなぁ?) 宜しくお願い致します。
106 :う :2011/09/20(火) 22:33:08.11 ID:???.net 実機で確かめて
107 :anonymous :2011/09/21(水) 12:07:46.26 ID:???.net 105です。 失敗してrtx1100のVPN先と通信出来なくなったら困るので、質問しました。 宜しくお願い致します。
108 :anonymous :2011/09/21(水) 13:26:46.92 ID:???.net で、そんな状況なのにここの人間の言う事信じてチャレンジするのか?
109 :anonymous :2011/09/21(水) 22:31:41.19 ID:???.net >>105 こんな所で聞いてないでさっさと販売代理のサポートにメールでもしろ
110 :う :2011/09/21(水) 23:08:33.46 ID:???.net トンネルがなんで落ちるんですか? どこ心配してるのか書いて欲しい
111 :う :2011/09/21(水) 23:15:39.03 ID:???.net ssgの0.0.0.0をrtxのlan側にふったら良いんでは?で、60なんちゃらはuntrustとうせば。
112 :あ :2011/09/22(木) 10:58:57.34 ID:???.net >105 ルーティングはそれでいいけど、untrustからdmzへのポリシー設定忘れんなよ。
113 :い :2011/11/04(金) 12:00:28.91 ID:???.net >>26 これってIE側の設定でなんとかならないの?
114 :anonymous :2011/11/04(金) 14:54:27.61 ID:???.net >>113 何をやっても、ダメだったと思う。 解決策は、IE9以外を使うしか無いかと。 一応、6.3.0r9で、予告通り対応がされたから、 更新できるなら解決するが、 それ以外は諦めるしか・・・
115 :anonymous :2011/11/15(火) 15:57:17.31 ID:???.net なんかWindowsアップデートしたら遅くなった XP-IE8 他のブラウザだと問題ない
116 : 忍法帖【Lv=3,xxxP】 :2011/11/15(火) 17:11:13.75 ID:1LcgGsFn.net JUNOS機器を使ってる人いたら使用感おしえてください。 スレチかもだけどよろしくです。
117 :anonymous :2011/11/15(火) 20:48:36.19 ID:???.net >>116 重い バグだらけ
118 : 忍法帖【Lv=40,xxxPT】 :2011/11/15(火) 22:57:27.38 ID:???.net 確かに、製品としてはマダマダだけど何でもできる装置だから個人的には好きだな。
119 :anonymous :2011/11/16(水) 00:44:08.93 ID:???.net EXってスイッチのくせに止めるのにシャットダウン操作が必要って本当?
120 : 忍法帖【Lv=40,xxxPT】 :2011/11/16(水) 07:23:23.87 ID:???.net True
121 : 忍法帖【Lv=4,xxxP】 :2011/11/16(水) 15:20:27.16 ID:K7H6c5/f.net >>117 レスありがとう。 xmlを使ってDBいじるように設定するイメージなんだけど、確かに普通に考えたら重そうな気がするな。 >>118 そんな風にも見えるよね。でも習得は楽じゃなさそう…。 とりあえずまだしばらくはSSGで提案かな…
122 :anonymous :2011/11/16(水) 20:30:46.73 ID:???.net >>119 男らしく、おもいっきりブートログにFreeBSDってでるからw 少しは隠そうぜとw
123 :anonymous :2011/11/20(日) 19:13:22.12 ID:???.net >>116 webUIが糞重い。 バグって設定出来ない所がある。 ポリシーが反映されないとか稀にある
124 :anonymous :2011/11/20(日) 23:37:36.16 ID:???.net >>123 WebUIとかバカじゃねーの
125 : 忍法帖【Lv=3,xxxP】 :2011/11/21(月) 12:59:01.90 ID:ASUSKcXn.net >>124 CLIに慣れるまでどれくらいかかった?
126 :anonymous :2011/11/21(月) 12:59:21.09 ID:???.net >>124 使用感を答えただけだが
127 :anonymous :2011/11/22(火) 13:44:21.44 ID:???.net これからずっと放置してたNS25をバージョンアップ 5.0.0r6 → 5.4.0r18 再起不能になったら骨ひろってくれよな
128 :anonymous@ k184164.ppp.asahi-net.or.jp :2011/11/22(火) 14:51:33.76 ID:???.net tftpdくらいは用意しとけよw
129 :anon :2011/11/23(水) 00:41:05.13 ID:???.net チャレンジャーやな
130 :anonymous :2011/11/25(金) 22:25:17.83 ID:???.net じゅもんがちがいます
131 :anonymous :2011/11/25(金) 22:44:22.78 ID:???.net でんどん、でんどん、でんどん、でんどん、でーーーーんどん
132 :anonymous :2011/11/26(土) 00:17:07.94 ID:???.net うわああああああああああああああああああああああああああああorz
133 :anonymous@ FLA1Abq062.chb.mesh.ad.jp :2011/11/26(土) 08:51:12.43 ID:???.net 野田は知っているのか…TPPに潜む“訴訟地獄”の阿鼻叫喚 「訴訟大国・米国相手にISD条項を認めるのは狂気だ。賠償金をむしり取ったり、 自社が儲かるように制度を変えさせる手段として使うだろう。 加表明国で、米国に次ぐGDP2位の日本は最大の標的だ」 「エコカー減税のせいで米国産の車が売れない、国民皆保険制度のせいで 民間の保険商品が売れない−など。国の訴訟リスクは計り知れない」と指摘した。 TPPに詳しい京都大学大学院の中野剛志准教授はこう話した。 11日の参院予算委員会で、ISD条項を取り上げた自民党の佐藤ゆかり参院議員はこう解説する。 「条約なので、ISD条項が国内法よりも上位になる。国内の司法機関が関わる余地はなく、 仲裁機関で審査され、決定に不服があっても覆らない。一審で確定する。」 ごく一部、判明したISD条項の例(佐藤ゆかり事務所調べ) 投資家国籍 訴えられた国 ビジネス 賠償 米国 メキシコ 廃棄物処理 1669万ドル 米国 カナダ ガソリン 1300万ドル 米国 カナダ 廃棄物処理 386万ドル 米国 カナダ 不明 1億3000万ドル 米国 カナダ 水 105億ドル http://www.zakzak.co.jp/society/politics/images/20111118/plt1111181251005-p3.jpg TPP中身知らない野田・枝野/ISD条項・国内法に優越する事も知らず http://www.youtube.com/watch?v=v7QHGesP3tc&feature=related
134 : 忍法帖【Lv=2,xxxP】 :2011/12/14(水) 16:57:49.06 ID:M9L6Szgu.net やっぱバージョンアップとか業務影響ありすぎだお… くじけそうだお…
135 :anonymous :2011/12/24(土) 07:44:59.50 ID:5+FHrmTp.net 旧バージョンのサポート期間切れるきりきりまで粘ればいいじゃん で、サポート期間切れそうになれば、十分枯れてそうなバージョンにアップデート
136 : 忍法帖【Lv=2,xxxP】 :2011/12/24(土) 08:59:20.55 ID:npHltMUl.net >>135 その予定が前倒しになっちゃって(泣)
137 :anonymous :2012/01/11(水) 09:18:28.85 ID:???.net カドルト
138 :anonymous :2012/01/12(木) 02:56:50.53 ID:???.net ScreenOSのサポートっていつの間にか2013年迄になってたのね。 ちょっと前の予定だと2011年(これも確か延長しての話)だったと思ったが。 SRXへの移行が芳しくないのかね?
139 :anonymous :2012/01/12(木) 06:41:24.51 ID:???.net へ?SSGのサポートとScreenOSの最新版のサポートは続くだろ?
140 : 忍法帖【Lv=4,xxxP】 :2012/01/12(木) 15:57:09.28 ID:jgn73Rh3.net 公式だとscreenos6.3は2015までになってるな。 www.juniper.net/support/eol/screenos.html
141 :anonymous :2012/01/12(木) 16:09:06.17 ID:???.net 2015年過ぎた頃にはサポートされる新バージョンのScreenOSが出てるだろ。 現実問題ScreenOS使う機器のサポートをやめてユーザにSRXへの全面移行させるなんて無理。
142 :anonymous@ NWTfb-13p4-58.ppp11.odn.ad.jp :2012/01/12(木) 20:33:10.13 ID:???.net SRXがポシャる事を皆望んでる。それともフォーティに乗り換える?
143 :Anonymous :2012/01/14(土) 11:03:59.90 ID:???.net Juniper的にはnetscreenの技術が欲しくて買収したようだし ScreenOSよりJunos機器を売りたいのは分かるけどSRXは 相変わらず有料デバッグ状態だし、ScreenOSもJuniper社 に買収されてから完成度が落ちたと思う そろそろ別のメーカーの製品に変更してるユーザーも多い んじゃないかな?
144 :anonymous@ NWTfb-16p4-228.ppp11.odn.ad.jp :2012/01/14(土) 17:39:09.41 ID:???.net そーゆーのパックンチョするパワー感がシスコにもジュニパーにもなくなってきたなーと感じるわ。w
145 :anonymous :2012/01/16(月) 12:29:45.66 ID:f7Mv9sy1.net そもそもファイアウォール専用機器をSRXにする必要性が意味不明 ファイアウォールならScreenOSのほうがはるかに使いやすい SRXにするのは統合機とか、ルータに積むファイアウォールモジュールだけにして、 単体ファイアウォールはScreenOSのままやってくれ
146 : 忍法帖【Lv=2,xxxP】 :2012/01/16(月) 15:59:04.26 ID:F2juEHTW.net 同意
147 :a :2012/01/16(月) 20:02:48.13 ID:???.net しかし、ssgディスコンの噂絶えず〜
148 :anonymous@ pd3895f.tkyoac00.ap.so-net.ne.jp :2012/01/21(土) 01:08:16.72 ID:3LUe7Tyi.net netscreen-5GT extendedライセンスで、 ポートモードをextendedにして、3ゾーンで透過モードで運用したいんだが、 これって可能? 透過モードにする場合、インターフェイスにSecurity(L2)タイプの ゾーンを割り当てないといけないんだが、extendedモードでは set int eth1 zone V1-Trust って設定ができないんだわ。 zoneに指定できるのがNullとTrustしか出てこない。 わかる人教えて。 ちなみに、バージョン5.4.0r17.0です。
149 :sage :2012/01/21(土) 01:16:13.71 ID:3LUe7Tyi.net 148です。自己解決しますた。 データシートに Transparent mode only works in trust/untrust mode って書いてあった。 つまんね。
150 :anonymous@ p3226-ipbfp504yamaguchi.yamaguchi.ocn.ne.jp :2012/01/26(木) 10:13:54.65 ID:vW/5QO0B.net 1
151 :anonymous :2012/01/27(金) 16:01:54.51 ID:usUD/Teb.net さっさと強制SRX化は中止してScreenOS継続する宣言してくれ ファイアウォールでSRXとか誰得だよ
152 :anonymous :2012/01/27(金) 19:33:24.20 ID:???.net 日商エレとジュニパーが合弁会社「ジェイネットワークイニシアティブ」を設立 - ニュース:ITpro ttp://itpro.nikkeibp.co.jp/article/NEWS/20111207/376055/ 去年のニュースだけど、代理店からしてみりゃこういう不義理めいた事もしてるから マジで見切りつけられたりするかも知れんねw
153 :anonymous :2012/01/30(月) 18:34:33.46 ID:???.net
154 :あ :2012/01/30(月) 22:12:39.05 ID:???.net だよねー。そもそもジュニパーって売れてるの? スイッチとか。エンタープライズでじゅのす使ってるとこあるの? どうせ学校の先生騙して他校との差別かとかで入れてるアホ大学ぐらいじゃないの? キャリアには沢山入っているのかな? みたことないからワカンニャイ。w
155 :anonymous@ z167228.dynamic.ppp.asahi-net.or.jp :2012/01/31(火) 10:00:29.76 ID:???.net たくさん売れてるのかっていうと売り上げ下方修正とかって 話もきいたりするから、微妙なのかもね。 うちはWeb屋だけど、導入してるよ。NetscreenもEXも。 たくさん値引いてくれたからだけど。 安定してうごいてるから導入して後悔とかも無い。 Ciscoのiosが個人的には得意だったけど、junosのほうが扱いやすい感じかな。
156 :anonymous :2012/01/31(火) 11:44:58.68 ID:54kMH2FR.net iosは使える人が多いっていうのが利点だな junosは、ios使える人ならすこし勉強して慣れれば使えるようになるけど
157 :anonymous@ NWTfb-16p4-228.ppp11.odn.ad.jp :2012/01/31(火) 20:19:46.94 ID:???.net シスコはマニュアルがクソ過ぎて本買わにゃいかんのが好かんわ。
158 :anonymous@ p8b904a.tokynt01.ap.so-net.ne.jp :2012/02/02(木) 02:57:42.72 ID:???.net GUIダメすぎるwww
159 :anonymous@ 113x38x85x220.ap113.ftth.ucom.ne.jp :2012/02/02(木) 13:09:48.79 ID:???.net 「同じセグメントにいる機器同士を通信させない」のって、何ていう機能ですか? Juniperスレで聞いたらできるらしいんだけど、機能名がわからず調べようがなくて。
160 :ななし :2012/02/02(木) 15:11:14.28 ID:???.net プライベートVLANとかのこと?
161 :anonymous :2012/02/02(木) 22:07:51.25 ID:???.net >>159 トランスペアレントモード
162 :anonymous@ SODfb-11p3-28.ppp11.odn.ad.jp :2012/02/03(金) 00:22:05.36 ID:???.net SSL-VPNの勉強に2〜3台欲しいのですが 中古でどれ買うのがおすすめなの?
163 :159 :2012/02/03(金) 08:43:24.85 ID:???.net >>160-161 言われてみればトランスペアレントモードもたしかに…だけど、 今回やりたいのは、WANやDMZがある中でのLAN側同士の通信遮断なので プライベートVLANでよさそうです。 ありがとうございました!
164 :Anonymous :2012/02/03(金) 10:19:35.37 ID:wiWCidCI.net >>162 クラスタ組むならexetendedライセンスがいるから自宅ではちょっとなぁ
165 :anonymous :2012/02/03(金) 10:51:46.10 ID:???.net すぐには正解を教えないのがここの流儀なのかw
166 :anonymous :2012/02/03(金) 13:06:22.23 ID:???.net まぁ正解が知りたきゃ代理店かサポートに聞けってこったな
167 : 忍法帖【Lv=40,xxxPT】 :2012/02/03(金) 22:54:34.45 ID:???.net >>162 SSL-VPNならSAかな IPSEC-VPNならNS SAはなかなか出回らないよ。
168 :anonymous :2012/02/03(金) 23:00:14.49 ID:???.net この前ヤフオクで珍しくSA700が出てたけど、 起動時のコンソール出力が化けててなんか怪しい代物だったわ。
169 : 忍法帖【Lv=40,xxxPT】 :2012/02/04(土) 12:14:32.40 ID:???.net SAはKey無いと只の箱だからなぁ
170 :anonymous@ 123.230.224.141.eo.eaccess.ne.jp :2012/02/06(月) 19:33:33.89 ID:h9H7R/1I.net http://www.nicovideo.jp/watch/sm16452889 これすんごい!
171 :あ :2012/02/08(水) 22:29:32.48 ID:???.net たいしてうれてないのかな。
172 :anonymous :2012/03/10(土) 15:41:08.35 ID:xU3lQMR8.net 強制SRX化中止してScreenOS継続宣言しろよ
173 :anonymous@ NWTfb-13p3-165.ppp11.odn.ad.jp :2012/03/10(土) 18:41:57.57 ID:???.net >>172 それしかない。
174 :anonymous@ s530171.xgsspn.imtp.tachikawa.spmode.ne.jp :2012/03/14(水) 08:42:44.15 ID:???.net SRX初めてさわったんだが、 起動遅すぎ config保存遅すぎ GUIの動作遅すぎ commit時エラーで吐かれたコマンドまでいちいち消さないといけない? なんなんすかこれ
175 :anonymous@ NWTfb-13p3-165.ppp11.odn.ad.jp :2012/03/14(水) 18:23:37.61 ID:???.net srxでvpnはるとハングったりするから素晴らしい。リブートじゃないよ、だんまりだよ。natもくそだしな。w
176 :anonymous :2012/03/16(金) 16:42:07.64 ID:???.net かつてはFortiがダメダメでNetscreenがまともだったが、 このままSRX化強行すればFortiとNetscreenで評価が逆転しそう
177 :anonymous@ NWTfb-13p3-165.ppp11.odn.ad.jp :2012/03/16(金) 22:26:42.53 ID:???.net utmって本当に効果あるの? urlのブラックリストとスパムメール排除のが効果あるんじゃないのかな?
178 :anonymous@ s730080.xgsspn.imtp.tachikawa.spmode.ne.jp :2012/03/23(金) 08:50:58.72 ID:???.net >>174 やつらは650とかまでひっくるめて 中小クラス扱いだから機能制限アリアリでも良いと思ってるんでしょ。
179 :あ :2012/04/05(木) 22:57:14.23 ID:???.net 最近のsrx死んでるネタの書き込みをどうぞ。
180 :あ :2012/04/05(木) 22:57:39.62 ID:O4QiIoap.net あげ
181 :anonymous@ y003245.ppp.asahi-net.or.jp :2012/04/14(土) 22:59:08.76 ID:???.net screenOSとvyattaの相互接続ってできるの?
182 :anonymous :2012/04/15(日) 02:10:29.04 ID:???.net イミフ
183 :anonymous :2012/04/17(火) 13:51:05.73 ID:???.net ちょっと疑問に思ったので、知っている人がいたら教えてください。 ScreenOSでVIP設定をしたとき、例えば virtual port:10022 service:SSH(22) と設定した場合、VIP用のポリシーでは ・VIPに対するSSH(22)を許可する ⇒マニュアルに記載の設定例 だけど ・VIPに対する10022を許可する でも動きますよね、たしか。じゃないと、送信元IP毎に開放するポート(10022,10023とか)を 分けられないし どこかに記載があれば安心なんですが。。
184 :anonymous :2012/04/17(火) 23:01:07.37 ID:???.net >>183 マニュアル第一章のパケットフローシーケンス嫁
185 :183 :2012/04/18(水) 10:32:11.05 ID:???.net >>184 レスありがd マニュアル記述を見ると、ポリシー検索前にMIP/VIP処理を行いアドレス変換を 行う、ような動作になります。 ポートマッピングもVIP処理におけるアドレスマッピングと同時に行われるとすると 「VIPに対する10022を許可」は意味がないように思えます。 ⇒ただ調べたところ既設のNetScreenでは10022をポリシーで指定しているものもありました。 ポリシーの宛先IPにはVIPアドレスを指定することから、ポリシー検索時にVIP設定 を参照していることは間違いないと思うのですが、パケットフローシーケンスの記述 からは読み取れず。 Untrust⇒GlobalでVIP/Virtual Portでポリシー検索 Global⇒Trustで実IP/Serviceでポリシー検索 とかだったら分かるのですが、読解力が足りない?
186 :g :2012/04/18(水) 19:36:46.23 ID:???.net なにこだわってんのかよくわかんねーけど、ポリシー2つ書いてログして並び替えてみればだいたいわかるんじゃね?
187 :184 :2012/04/19(木) 06:06:37.02 ID:???.net >>185 時間ないからすぐ試せんけど、>>186 のが簡易検証として手っ取り早いと思われ get log policy [id] か get log traffic policy [id] で ポリシーにマッチしてるか分かるから、それで調べてみては こだわるなら get dbuf stream でキャプチャ(負荷に注意) mipのポリシーとかも、juniperが推奨しない書き方でも通ったりするから、 度重なるバージョンアップの中の仕様変更で生まれた シンタックスシュガーみたいなもんだと自分は適当に思ってるよ
188 :anonymous :2012/04/20(金) 22:43:56.32 ID:???.net SRXとNS-5GTで1年以上IPSEC VPN貼ってるけど、まったく問題ない。 GUIはクソだが、CLIはScreenOSより気に入ってる>Junos
189 :183 :2012/04/23(月) 12:59:08.89 ID:???.net >>186 >>187 ありがdd というかレス遅くなり申し訳ない 手元に実機がなかったので、自社内で利用しているNetScreen&設定変更しても ユーザ影響のないやつを探して試してみました ※トラフィックキャプチャまではできなかった 機器:NS-5GT OS:5.3.0r5.0(古い・・) Untrust to Trust @Any→VIP 22 log AAny→VIP 10022 log 並び替えても何してもAの方にしかログが吐き出されないという結果になりました バージョン古いからか、マニュアルの間違いなのか、というところ とりあえず結果報告&改めてレスに感謝いたしまする &ごちゃごちゃと長文ばかりで失礼すますた
190 :ns :2012/04/28(土) 09:48:55.73 ID:???.net 5gt key extended_key : 2ApwPcCBUBUpp7ITb2S5EKeHsOrnt4of2oeRKHR8aCXXukkAfJ S4PjdXQSM5mrLqY+6ePgE0qsAaY25E6MkpEaDZpaok3zUk2SuB HxV/ fe3Kh+bDgYqH39xlOfUpLSwXGlxgZrf1P8BZW0zKlQ7CnfmB2i 55ByT0jgVKW9MfcYbotfqYN/ 4wOTvO2XTYpqCskqvMb8amVOLqw034WuOlX9SePr5bEy9MDtrQ bqRzExV2f8VuWne1StXeVIUEMwkYBhZyeQ/lLNy0QPw6oLj/ x4LbBeP4azefPD5aUIUo1/ lKQseKywhwDwokSonFWB2TlziefS12847KPQS4ksbcZ5g== つかえる?
191 :ns :2012/04/28(土) 09:56:50.17 ID:???.net di_db_key : 2FmTnDreN8cpOQHNyaIkbzfBeGdlxOExYDFu2s93yojZeaTGXW cNFvt28egOOWE4dzthWnLyRsqM+5UPI/ BJSMdIvhQkHSmJJ5kou/pkRtmNykiAzD2jyIGbU/ IJ4rk6CGFGdZlM8jYQaZlcXTSAj9jgor8AUyrcAgSCo7iEr+WK sJkOvU1id2vUq7s2dbQbLmtWh45wSbIoUQBMB/ D95dES0PqTs939YDXhMW7OCMJg9CN0QGmKVEoKdLvi6fMStAEA GdElgwYZ+goGMIGykctjijTVjWekoeyMRVP9Zei3BLJpC3AcnL 9H+tfrWaszRLTh6zXBUaHcwSF7qFftWxA== expire date: 2006/4/25 av_key : 2S5373Hktp+gD90W8QEIOXghTjs4XRprrRoEA6NO7AhQPycp9P 5LB57RDUU7X+aQBxHUDc4269h1dPddqo3CCvi/F3PNKxHOb/ 8M/nAYlYKRC8iexNc4+vwSErCDxX8Ltec/ USIRQfzRO7xpp1efhq2TO9a8wq9xaJA/ GBx4087Np5y+mJg0LnbhsloxXTioQqgkVPNAdtlnVdUf1JhJCF +MtyAbBlzDgFbFgF5sNlvjoylvSp1dbstUHiEAmfe0NsD4NuRy w07Z+qayuxu8EjkJqKDRV9x51Lq37jcTG6GKQkkiIguQ+sGnfr m+UW8Jfl8/18+BuQphEF+tR58+c0g== expire date: 2006/4/25 extended_key : 2L6npbqeIrxNNwg4vXF2vu3j1M4MzU06TQsna2vPF8V9fLh+TS 9zeEbq4yBYLi/ 7WWQ5KoHQhCk7amsIa8QFVlb+1MCXDeuhlaejozFq1dFxdQa7G 9/ eZQoFSFUSIlkQZXlTH6DHXRdw89Poy0z+R2EdYGX74ge5E3IQg qwGOPp3fiCj3naPtmTmAZ5+RNtqyXRPpN6ldvxL5/LsxjT1X/ 6Jw2ErnORVBepTSsIW0OcQg0zasCdft+Du/u/ zC6qCxUjMbeHJ16mOxLZ7LasawBtYFbT0B38GZQkLYi/ O9acCp7qWIhCRimvdzRSuLTwrYazJTrYlZ09Ss+qjQnSD/ nw==
192 :anonymous :2012/04/28(土) 11:12:32.69 ID:???.net >>190 試してないけど、こう言うのってシリアルナンバー依存なんじゃないの?
193 :anonymous@ NWTfb-16p3-30.ppp11.odn.ad.jp :2012/04/28(土) 11:58:27.79 ID:???.net expiredateみて。
194 :anonymous@ vpn.commuture.net :2012/05/01(火) 21:26:40.02 ID:???.net >>192 その通りやね
195 :anonymous@ 191.23.30.125.dy.iij4u.or.jp :2012/05/02(水) 10:27:40.08 ID:TyH99KiZ.net 5GT 5.4.0 r6.0 WebUIも、sshもだんだん繋がらなくなる現象。 調べたら、 unset zone Work screen limit-session source-ip-based unset zone Work screen limit-session destination-ip-based で調子がよくなる、って話を見つけたんだけど、 これやっても繋がらなくなる。 WebUIが死ぬのは仕方ないとしてもsshまで死んでまうのがなんだかなぁ。 ほかに対応ってあるんでしょうか。 コアな人教えて ちなみに設定でscreen はすべてOFF 調子悪いので、Toggle Menuすら開かない。
196 :anonymous :2012/05/02(水) 12:35:46.41 ID:???.net とりあえずリビジョンかバージョン上げてみるとか。 もうハードが壊れてるんじゃないのとか。 5GTならver6も入るよ。
197 :anonymous@ 154.16.30.125.dy.iij4u.or.jp :2012/05/02(水) 16:22:00.21 ID:???.net >>196 レスありがと。 2台あるんだけど、2台ともってことでHWエラーとは思いたくないかなぁ。 ScreenOSは検討してみるだ。
198 : 忍法帖【Lv=40,xxxPT】 :2012/05/03(木) 11:07:25.68 ID:???.net 5.4で管理系のセッションが残ってしまうっていう不具合あったはず。
199 :anonymous :2012/05/03(木) 11:35:34.09 ID:???.net >>195 コンフィグや構成見てないから分からんけど、リリースノートくらい見とけ ttp://www.juniper.net/techpubs/software/screenos/screenos5.4.0/rn_540r10.pdf 移行するなら6系のも見とけよ
200 :anonymous@ 154.16.30.125.dy.iij4u.or.jp :2012/05/03(木) 11:41:33.16 ID:???.net >>198 それは、 clear session all でクリアすればよい話デスか?
201 :anonymous@ 155.19.30.125.dy.iij4u.or.jp :2012/05/03(木) 12:58:19.19 ID:???.net >>199 らじゃ
202 :anonymous :2012/05/03(木) 13:09:40.13 ID:???.net ぜんぜん関係ないけど、 5GTはものすごくヒットしたんだろうけどSSGは空振りだった?ような。 億での出品数だが、SSGは皆無だもんなぁ。 5XTや5GTは結構あるのに。
203 :anonymous :2012/05/03(木) 13:53:33.84 ID:???.net そりゃSSGはまだ現行商品でサポート対象機種なんだからオークションなんかに出るわけないだろ
204 :anonymous :2012/05/03(木) 16:39:36.03 ID:???.net >>203 XTやGTは、出てたよ
205 :anonymous :2012/05/03(木) 20:28:05.21 ID:???.net SSGはまだまだ企業で現役でつかえるからでしょ。
206 :anonymous :2012/05/04(金) 06:27:44.36 ID:???.net んなこた、ない。 5GTですら、SSGが出ていない頃も結構出品されてたよ。 企業がそろいもそろってきちんとサポート切れるまで使うわけないじゃん
207 :anonymous :2012/05/04(金) 10:55:40.06 ID:???.net そりゃリストラで支店統廃合が進んでた時期なら不要になる機器は多かったろ。
208 :anonymous :2012/05/04(金) 12:19:37.98 ID:???.net 企業だとリース契約が多いから、4,5年で入れ替えでしょ。 で、リースアップ品がottoとかに流れてくる。
209 :anonymous :2012/05/04(金) 12:35:22.24 ID:???.net 最近はリプレースしないで再リースで使い続けるパターンが増えてるんだわ
210 :anonymous :2012/05/04(金) 13:17:53.69 ID:???.net CiscoもCheckPointも使いづらいから、SSGばっかり入れてるわ。
211 :anonymous :2012/05/04(金) 13:20:31.65 ID:???.net >>209 それは、大嘘 買取のシェアがわからんけど、 再リース契約の割合はここ10年で極端に落ちてる オフバランス処理している企業は絶対に買い取らないし。
212 :anonymous :2012/05/09(水) 14:55:58.74 ID:???.net 理由があるかどうかわからんけど、SSGは本当に出回らないね。 XTやGTの時は現役だろうが、そうでなかろうが、ある程度の玉は出てたのにね。
213 :anonymous :2012/05/09(水) 16:42:17.25 ID:???.net SSGあんまり売れてないんじゃね?
214 :anonymous :2012/05/11(金) 07:58:18.43 ID:???.net まあ、XTやGTの頃に比べればライバルメーカの機種も良いのが出てきてるからな。
215 :anonymous@ NWTfb-17p1-74.ppp11.odn.ad.jp :2012/05/11(金) 22:28:07.38 ID:???.net ジュニパーになって腐ったんだよ
216 :anonymous :2012/05/18(金) 17:31:53.56 ID:???.net ここはSRX化前に逃げとかないといけないからな
217 :anonymous :2012/05/26(土) 00:37:37.93 ID:???.net レスの少なさからも見て取れる状況だよねぇ ジュニパがんばれというか、 たそがれてんじゃねぇ?というか 売れてるみたいなレスもあるみたいだけど どう見ても工作員。 ターゲットユーザを考えるに、 そこそこ売れてたらものすごくレスが多いスレになるはずだもんねぇ
218 :anonymous :2012/05/26(土) 23:43:46.41 ID:???.net 同じ機種にリプレースするのはってお客さんが多い
219 :anonymous :2012/05/28(月) 08:06:15.68 ID:???.net VIPのmulti-port って、 1つのserviceがマルチになるんじゃなくて、 VIP自体が複数ポートを扱えるようになるんだね。 知らなかった世。
220 :anonymous :2012/06/02(土) 12:09:58.69 ID:???.net SSG5でNAT越しにAD認証(ケルベロス認証)できなくて困ってます。 本番環境なんで簡単に設定変更できないのだけど、 解決できる方法はありますか? ALGのMSRPCを有効にすればいけますかね?
221 :anonymous :2012/06/02(土) 12:23:38.53 ID:???.net >>220 時間がズレテルとかそんな問題なんじゃね? ALGにする理由がわかんねぇ
222 :220 :2012/06/02(土) 23:04:58.68 ID:???.net >>221 ttp://support.microsoft.com/kb/172227/ja これが問題で通信が通らないのですが、SSGで サポートされてますか?
223 :anonymous :2012/06/03(日) 04:18:13.50 ID:???.net >>222 SSGはしらん。 どちらかというと、こっちじゃね? http://support.microsoft.com/kb/318071/ja
224 : 忍法帖【Lv=40,xxxPT】 :2012/06/03(日) 11:18:53.50 ID:???.net >>220 ある程度切り分けしてもらわないと、わかんないよ。 @ADへはSSGから認証飛んでるの? ASSGにADからの戻りパケットが届いてる?
225 :anonymous :2012/06/03(日) 21:19:59.88 ID:???.net そもそも、だが、 MS-Kerberosは、Unixをターゲットにしてるから、NBTを通す必要がない「はず」 通す必要がある場合は、DCがNTの場合に限る「はず」 なのでalgは関係ない「はず」
226 :anonymous :2012/06/15(金) 14:10:07.37 ID:???.net 5GTで IPv6を通すには?
227 : 忍法帖【Lv=40,xxxPT】 :2012/06/16(土) 08:46:52.49 ID:???.net 出来ないと言いたいとこだけど、下記コンソール叩いて再起動すればv6走ると思う。 set envar ipv6=yes
228 :anonymous :2012/06/16(土) 14:05:10.07 ID:???.net >>227 だんけ
229 :anonymous :2012/07/03(火) 11:08:01.11 ID:???.net 復活?
230 :anonymous :2012/07/04(水) 13:50:48.65 ID:???.net engawa不安定だのう
231 :anonymous :2012/07/11(水) 12:39:23.90 ID:???.net うちは来春にSSG入れる予定だよ
232 :anonymous :2012/07/13(金) 01:07:54.68 ID:???.net ScreenOS6.4が出ない今、SSGという選択肢は企業にとって正解なのかね? そのうちEoL発表されそう Juniper的にはさっさとSRXに行きたいんだろうけど、Junosが糞すぎるから仕方なくScreenOSサポートしてる感があるね
233 :anonymous :2012/07/13(金) 01:59:50.97 ID:???.net 素人くさい意見ですまんが SRXのconfigは縦長すぎて嫌になる。
234 :anonymous@ NWTfb-16p4-171.ppp11.odn.ad.jp :2012/07/14(土) 00:07:54.91 ID:???.net srxをEoLにすべき。スクリーンOSどこかパクらないかな。
235 :anonymous :2012/07/14(土) 05:26:52.72 ID:???.net ネットスクリーン導入してる会社がみんな悩んでるところだろ>SRX化 SRXにつきあうのか、それとも他社にいくのか、って感じで
236 :anonymous :2012/07/17(火) 14:32:29.10 ID:???.net テクノバンとかいう会社がssgのeolを発表してた気がする。 2016/06あたりだったような
237 :anonymous :2012/07/17(火) 15:02:22.40 ID:???.net EOL発表から5年間は保守やるんだろ?
238 :a :2012/07/17(火) 23:57:26.58 ID:???.net >>236 srcをplz!
239 :anonymous :2012/07/26(木) 10:37:13.72 ID:???.net サポート終了情報 ? ジェイズ・コミュニケーション株式会社 http://jscom.jp/support/products/juniper/screenos/eol こことNOXによると2015/12/31にEOLだそうで
240 :anonymous :2012/07/26(木) 13:12:52.26 ID:???.net そこに掲載されているのは、あくまで現在リリースされているソフトウェアのEoLでしょ。 SSG自体がEoLになるかは別の話。
241 :anonymous :2012/08/18(土) 05:38:00.58 ID:???.net
242 :anonymous :2012/08/23(木) 22:18:37.21 ID:Zauecf7T.net たのむからSRXをさっさとディスコンにして ScreenOSに一本化してくれ
243 :anoymous :2012/08/29(水) 00:42:33.24 ID:???.net Netscreenいいね!(今更
244 :anonymous :2012/08/29(水) 03:05:14.51 ID:???.net >>239 *2……技術サポート終了 / すべてのサポート終了のいずれか、もしくは両方が延長されています 延長した結果がその日付だから どうせまた延長されるだけ ちなみにFW/UTMとしての出荷比率は依然としてSSG 8:SRX 2だってさ この状況じゃビジネス的に考えてもSSGを打ち切れる訳がない せめて4:6くらいでも逆転しないと
245 :a :2012/08/29(水) 20:04:41.26 ID:???.net >>244 逆転は無理。guiが死んでるsrxはssgに慣れ親しんだユーザーにとって苦痛以外の何物でもない。
246 :anoymous :2012/08/29(水) 21:51:51.17 ID:???.net なんでSSGやめたいのかね
247 :anonymous :2012/08/29(水) 23:01:56.20 ID:???.net Juniperに限った話じゃないけど買収した製品は 前の企業名や商品名を排除しようという動きは外資じゃ一般的だと思う。 NetscreenはSSGという名称に変えることはできたけど ScreenOSを無くす目的でJunOSに移行したいという思いがあるのでしょう
248 :anoymous :2012/08/31(金) 03:01:02.24 ID:???.net 売れるもんをつくってりゃいいのにな
249 :anonymous@ i220-108-110-60.s02.a014.ap.plala.or.jp :2012/09/04(火) 03:07:17.09 ID:MEEioEpt.net set flow tcp-syn-check strict は入れといた方が良いのですか?
250 :anonymous :2012/09/10(月) 20:32:15.81 ID:???.net NetScreen204使ってます TrustにあるサーバーをMIPを使って公開しようとしています。 UnTrust,Trustがあるネットワークで、UnTrustにMIP(Trust内のIP)を設定し、 ポリシー側でもUnTrust→Trustで該当通信を許可しました。 UnTrust側からその通信を試すと意図通りに動作します。 が、Trust内からMIPを設定したIPへ接続しようとしても繋がりません。 要はTrustからUnTrust側のアドレス叩く→NSが折り返す→Trustという動作を してほしいのですがそうはなりません。 これを解決する方法はあるのでしょうか? 宜しくお願いします。
251 :anynomous :2012/09/10(月) 21:05:30.61 ID:???.net TCP 3way handshakeにおける各パケットの経路を考えたらわかることじゃない? あとは当たり前のことながら異なるゾーン間の通信はルールが必要
252 :250 :2012/09/11(火) 11:56:16.37 ID:???.net すみません。。。 FortiGateとかYAMAHAとかだとこんな感じで動いてくれるんですが 実際のところポリシーで止まってるわけではなくてマッピングが独立してしまってるようです 内部から公開サーバーにアクセスするにはMIPの設定を2重でしないといけないんですかね?
253 :anonymous :2012/09/11(火) 14:25:13.75 ID:???.net globalゾーン当てでいいような
254 :anon :2012/09/12(水) 01:05:39.73 ID:???.net >>252 いや、それでアクセス出来るよ どこかに落ち度があるはず
255 :anonymous :2012/09/12(水) 09:41:31.01 ID:???.net グローバルIPアドレスをセカンダリIPに設定しちゃってるとか
256 :250 :2012/09/12(水) 11:08:48.14 ID:???.net すみません落ち度ありましたorz じつはDMZに該当のグローバルIPのネットワークを振ってしまっているので、 UnTrust→TrustのときはUnTrustに設定したMIPが効くのですが Trustからの場合Trust→UnTrust→Trustとなってほしいところが ルーティングテーブルでTrust→DMZと判断されてMIPが効いてない 感じっぽいです。 なんとかPBRとかソースベースルーティングあたりを使っていけないかと 思っているところです。 もうちょっと考えてみます。 すみませんでした。ありがとうございます。
257 :anonymous :2012/09/12(水) 12:21:48.04 ID:???.net MIPに使用するグローバルIPアドレス(/32)をUntrustにルーティングすれ
258 :250 :2012/09/12(水) 18:34:40.73 ID:???.net >>257 !! 完璧です。それで行けました! ありがとうございます!
259 :anonymous :2012/09/14(金) 09:13:16.50 ID:???.net
260 :anonymous@ 58x80x124x76.ap58.ftth.ucom.ne.jp :2012/09/20(木) 16:20:51.71 ID:4uupibff.net わかる人がいましたら教えて下さい オフィスがSSG140で、VPNクライアントがWin7 + NCPの構成でVPN接続させようとすると 以下のメッセージがクライアントで表示され、接続ができません。 「VPN error VPN gateway not responding[waiting for Msg2] 他にわかっていることは ・数十人いるなかでこの状態となっているのは一人のみ ・NCPを起動したときから上記メッセージが表示されている ・クライアント側ではevo 3dのテザリングを使用していて、 evoから払い出されるIPが、VPN接続先と競合している ・テザリング中のクライアントはgoogleなどインターネット閲覧は可能 ・その人は自宅からも接続できない (自宅LANのプライベートIPは未調査) ・SSG側ではエラーログなどがまったくない 接続できないのはIP競合が原因だと思っていますが、 その他にも何か知っている事があれば教えて頂けると・・・
261 :anonymous :2012/09/23(日) 01:04:01.69 ID:???.net エラーメッセージからするとSSG140からの応答がありませんってことだし 単純に到達していないと考えるべきだろうね。 要はクライアント側の問題 >・クライアント側ではevo 3dのテザリングを使用していて、 >evoから払い出されるIPが、VPN接続先と競合している これが理解不能だったんだけど evo 3d <-> クライアント間はプライベートIPネットワークでいいのかな? SSG140 <-> internet <-> evo 3dでしょ? 普通SSG140はグローバルIPアドレスだろうし、競合するわけがないと思ってるんだけど 構成で何か認識違いがある? 私なら別回線(可能であれば他端末でつながることを確認できるもの)から その端末を使ってつながるかどうか見るかな。 それでつながるならクライアント側のネットワークの問題って切り分けできるだろうし
262 :anon :2012/09/23(日) 12:13:12.60 ID:???.net 的外れかもしれないけど、Windos7は対応していないという話かも? うちの環境ではWin7使えませんと案内してた気がする >・数十人いるなかでこの状態となっているのは一人のみ ということで他はWindows7で問題なく接続できてるのならごめん
263 :260 :2012/09/25(火) 01:00:11.80 ID:???.net 260です。レスありがとうございます。 >>261 >SSG140 <-> internet <-> evo 3dでしょ? 社内192.168.1.0 <-> SSG140 <-> Internet <-> evo3G <-> テザリング192.168.1.0 という構成で、 プライベートネットワークが競合しているという意味です。 >可能であれば他端末でつながることを確認できるもの そうですね。切り分けのためにも正常に繋がるデータカード的な物とかを使ってみてもらいます。 あとこの人、元々つながっていたのに急に繋がらなくなったという事だったので、原因とかもうすこし掘り下げてみます。 >>262 >Windows7は対応していないという話かも? NCPセキュアクライアントというのがVPNクライアントなのですが、win7用でライセンス購入もしてるものなんですよね・・・ 他の人のWin7では正常に通信できることを確認しているので、WIN7が悪いわけではなさそうなのですが・・・という感じです。
264 :anonymous@ y098055.dynamic.ppp.asahi-net.or.jp :2012/10/03(水) 22:24:23.99 ID:CSo58K2b.net どうにも先に進めなくなってしまった為、教えてください。 SRX100(JUNOS 11.4R3.7) 論理IFを複数作りたいのですが、Taggingを有効にしないと作成が出来ません。 これってTagging使わずに他の回避方法で作成することはできませんか? やりたい事としては、論理インターフェースでそれぞれにグローバルIPを持たせてVPNを張りたいと思っています。 タグVLANはWAN側の都合で使えません。
265 :anonymous :2012/10/03(水) 22:58:15.24 ID:???.net ルーティングポートが同じネットワークセグメントに複数あるってことに なるから、異なる論理インタフェースが同じネットワークセグメントに 属するってのはムリなんじゃないかと。 同じ論理インタフェースに同一セグメントのIPを複数アサインすることは出来る。 ただその場合、security ike gateway内のexternal-interface で その論理インタフェースを指定した場合に、どのIPアドレスから IPSecパケットが出力されるかとか、 gateway毎にそのIPを指定できるのかは判らない。
266 :264 :2012/10/06(土) 11:45:59.48 ID:f1wh/IXF.net >>265 レス遅くてすみません。 同一セグメントはチェックではじかれました。 追加IPアサインも、ご指摘の通りexternal-interfaceが 1つ目のIPで出て行っているみたいで、これもまたXでした。 コマンドからみてみたものの、gatewayの部分はソースIPを決め打ち出来るのもなさそうですね。。
267 :anonymous :2012/11/07(水) 11:30:26.53 ID:???.net UnTrustにグローバルIP(クラスC)、TrustにローカルIPでホストがぶら下がっている構成です。 外部にサーバーを公開するのにnetscreenでMIPをやろうとしているのですが、 MIPに名前をつけられなくて困ってるのですがどうしようもないんでしょうか…。 数百個あるMIPのポリシーをIPアドレスだけで管理するのはしんどいです。 何かいい方法ありますでしょうか?
268 :anonymous :2012/11/07(水) 18:49:23.32 ID:???.net ないんじゃね?
269 :anoymous :2012/11/07(水) 19:32:25.19 ID:???.net 台帳作って頑張れ
270 :anonymous :2012/11/07(水) 20:07:29.26 ID:???.net Policy based NATについて教えて下さい。 NetScreen25 5.4.0r13.0 で、外部にサーバを公開するのにInterface NATで VIPを使ってます。グローバルアドレスは1個のみ。 公開するポート数が増えて来て、VIPに設定出来る上限に達したので、 Policy based NATに変更しようとしていますが、外部からの通信が出来なく なりました。 設定は ethernet1 Trust route ethernet3 Untrust route AddressListのTrustに、公開したマシンhogehogeのIPを登録 ServicesのCustomに、開けたいポート45000をfooで登録 VIPの設定を全て消して、ポリシーを set policy id 100 from "Trust" to "Untrust" "Any" "Any" "ANY" nat src permit set policy id 100 set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" permit set policy id 200 id 100の設定で、内→外への通信は問題なし。外→内がNGでログを取ってみてもログにすら 乗らない状態です。 set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip xxx.xxx.xxx.xxx port 45000 permit set policy id 2 としてみましたが、これも上手く行かず。Policy based NATは単にルール書く だけだと思ってたのですが、何か足りないでしょうか?
271 :anonymous :2012/11/07(水) 20:27:27.95 ID:???.net set vip multi-port
272 :270 :2012/11/07(水) 22:51:32.30 ID:???.net レスありがとうございます。 vip multi-portはVIPで運用していた時に設定したのがそのまま残ってました。 試しに消して見ましたが状況変わらずです。
273 :anonymous :2012/11/08(木) 07:16:59.23 ID:???.net ポリシーベースNATは、嘘ルーティングが必要。 この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。 set route x.x.x.x(hogehogeのIP)/32 interface ethernet1 こうすることで、外から入ってきたhogehoge宛のパケットが、 Untrust→Trustのゾーンの対象となって、その結果ポリシーにマッチして NATされる。
274 :267 :2012/11/08(木) 16:44:27.14 ID:???.net >>268 >>269 そうですよね… ありがとうございました
275 :270 :2012/11/08(木) 20:04:08.40 ID:???.net >>273 レスありがとうございます。 教えて戴いたようにルーティングの設定してみましたが、状況変わらずでした…。 ちなみに、各アドレスが、 ethernet3 Untrust プロバのグローバルアドレス ethernet1 Trustが、192.168.0.1 hogehogeが、192.168.0.10 として >この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。 との事ですが、hogehogeのIPとTrustのIPが同じネットワークアドレスだと嘘ルート 書いても書かなくても同じですよね? 試しに以下をやって見ましたが駄目でした。 hogehogeを、10.0.0.1 fooは45000で変更なし set route 10.0.0.1/32 interface ethernet1 set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip 192.168.0.10 port 45000 permit マニュアルのアドレス変換にあるNAT-DST 多対 1 のマッピングの考えで良いと思 うのですが…
276 :273 :2012/11/08(木) 21:03:37.33 ID:???.net すみません、 >この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。 これは、hogehogeがグローバルIPという理解で書いてました。 具体的に言うと、 ・送信元『1.1.1.1』 ・送信先『2.2.2.2』←これが自分の持つグローバルIPとして ・プライベートIP『10.10.10.10』←このIPに変換したい ということをポリシーベースNATで行おうとする場合、2.2.2.2/32 について嘘ルーティングを書いてあげる必要がある・・・・のですが、 これが出来るのって、ルーティング用(インタフェース用)の グローバルIP以外のグローバルIPでないと出来ないですね。 グローバルIPがひとつだと、やったこと無いけど、 おそらくムリかと・・・ルーティング設定が入らないと思うし、 入ったら、余計に変なことになる気がします。
277 :270 :2012/11/09(金) 01:30:13.02 ID:???.net >>273 ありがとうございます なるほどそういう事でしたか。 しかしYAMAHAやCiscoでは出来るのにNetScreenで出来ないのは 悔しいなぁ(´・ω・`)
278 :anonymous :2012/11/19(月) 11:44:43.26 ID:???.net UnTrust : グローバルIP/30 DMZ : グローバルIP/25 Trust : ローカルIP こんな構成でTrust->UnTrustはポリシーでSrc-NATかけています。 これで現在外に出て行くIPはUnTrustのI/FのIPになるのですが、 これをなんとかDMZのI/FのIPで出て行くようにできないでしょうか。 ちょっと無理な気はしていますが妙案があるようなら教えてください。 よろしくお願いします。
279 :anonymous :2012/11/19(月) 12:01:35.74 ID:???.net あんなんバードにすりゃ行けなくない?
280 :anonymous@ i118-21-113-185.s30.a048.ap.plala.or.jp :2012/11/30(金) 11:47:54.56 ID:6DCVTMDM.net 教えて下さい。 NetScreen5GT OS5ですが、マルチPPPoEセッションはれないのでしょうか。 具体的にはISPとフレッツ・スクエアの同時接続をしたいです。
281 :anonymous :2012/11/30(金) 22:11:50.47 ID:???.net 遠い記憶だけど、サブインターフェース2個作ってそれぞれでPPPoE設定するんじゃなかったっけ? 間違ってたらごめんね。
282 :280 :2012/12/01(土) 14:34:19.41 ID:???.net >>281 キーワードでぐぐってみたら、できそうな解説ありました。 めっちゃありがとうございます。
283 :anonymous@ 07002190030746_ea :2012/12/20(木) 11:35:30.77 ID:JlFKukmH.net ssg5なんですが WebUIでポートのduplexって設定できますか? Interfacesの箇所になかったのでCLIだけですかね?
284 :anonymous :2012/12/24(月) 22:12:53.66 ID:???.net グローバルIP一個の環境で、NS-5GTのTrust側に設置したPacketiXの L2TP/IPsecにiPhoneから接続しようと試みていますが、行き詰って います。 PacketiXサーバのUDP500とUDP4500に5GTのVIPを設定してますが、 接続できません。 MIPなら問題なく繋がるのですが、複数サーバを公開したいので、 できればVIPで設定したいのです。 手持ちのルーター、YAMAHA RTA54i、LINKSYS BEFSR41C-JP V3、 Buffalo BBR-4HG は上記ポートのNAT設定で問題なく接続できました。 ScreenOSの場合、UDP500、4500のVIP以外に何らかの設定が必要 なのでしょうか? やりたいことは下記の質問者と同じなのですが、この方も解決には 至っていないようです。 http://www.juniperforum.com/index.php?topic=1541.0
285 :anonymous@ p14016-ipngn100507fukuokachu.fukuoka.ocn.ne.jp :2012/12/26(水) 11:29:46.16 ID:???.net >>284 PacketiXやったことないがUDP 1701もいるんじゃねーの? 調べてやってみそ。違ったらスマソ。
286 :284 :2012/12/27(木) 12:35:41.63 ID:???.net >>285 UDP1701もVIPしてみましたが、同じでした。 そもそもiPhoneから5GTに直接VPN接続できれば無問題なのに、 それもできなくて試行錯誤中です。 もうASAでも買おうかな。。。高いけど。
287 :anonymous :2012/12/27(木) 15:43:31.64 ID:???.net 俺も5GTとiphoneの組み合わせは挫折した。 c1812ならipsecでもSSL-VPNでもなんでも繋がったからオヌヌメ。
288 :285 :2012/12/27(木) 20:07:12.33 ID:???.net ちょいとググったら気になる内容が・・・ ttp://www.hs-juniperproducts.jp/faq/ssg_netscreen.html#link05_27 VIPの設定でUDP500設定しても効かないってことなんじゃね?
289 :284 :2012/12/27(木) 23:51:01.49 ID:???.net >>288 うーん、確かにこの内容の制約に引っかかってるようです。 おそらく自分自身がIKEサービスを提供してるため、そこを開放しない のでしょうね。 結局IKEはVIPで通せないので、MIPで通すかScreenOSを諦めるしか ないのか。 ブラウザだけで設定できる手軽さと、高機能が気に入って長らく 使ってきたけど、そろそろ世代交代でしょうかね。 家で使うには機能的に困ることは今まで無かったんだけど。。。
290 :anonymous :2012/12/28(金) 01:02:11.80 ID:???.net パケットキャプチャか通信ログ確認すればIKE通ってるか見れる だろうけど面倒だし、スレの過疎っぷりからわかるように情報少ない。 CLIに抵抗ないならCiscoかYAMAHAの安いやつ薦めとくわ。 乙
291 :anonymous@ p4022-ipbf2009marunouchi.tokyo.ocn.ne.jp :2013/01/02(水) 22:29:04.41 ID:???.net testzone → trust → untrust 上記みたいな感じでゾーンをまたぐようなポリシーってどう書けばいいんだろう。 そもそもできないのかな。
292 :anonymous :2013/01/03(木) 01:42:13.82 ID:???.net >>291 そのトラフィックに沿ったポリシーを書くだけ 一度で済まそうとか考えるからそうなる
293 :anonymous@ p4197-ipbf6802marunouchi.tokyo.ocn.ne.jp :2013/01/03(木) 09:26:26.96 ID:???.net >>292 おお、うまくいきました。ありがとうございます。
294 :anonymous :2013/03/23(土) 00:27:06.21 ID:???.net RAプロキシ使えないのか。。
295 :anonymous@ h200039.dynamic.ppp.asahi-net.or.jp :2013/03/31(日) 13:00:44.58 ID:L4HjLbY8.net すみませんがちょっと教えてください。 中古のNetScreen5GTを購入しようと思うのですが NetScreen Ns-5GT-207-03 NetScreen Ns-5GT-107-03 この107/207の違いって何を表してるんでしょうか? また型番からHA Liteのライセンスがあるかどうか を判断することは可能でしょうか。 よろしくお願いいたします。
296 :anonymous :2013/03/31(日) 16:28:33.52 ID:???.net 自分が覚えてる有線の機種しか書いてないのであしからず。 NS-5GT-007 NS-5GT 10user NS-5GT-107 NS-5GT Plus 無制限user NS-5GT-207 NS-5GT Extended 無制限user 詳細は適当にググって出てきたこの資料でも見れ。 ttp://www.scs.co.jp/netscreen/pdf/ns5_matrix.pdf
297 :anonymous@ h200039.dynamic.ppp.asahi-net.or.jp :2013/03/31(日) 18:22:27.42 ID:L4HjLbY8.net ご親切にありがとうございました。 HA Liteも設定してみたいので207にすることにします。
298 :anonymous@ FLH1Alr067.tky.mesh.ad.jp :2013/05/11(土) 02:20:55.42 ID:LBCmAEgz.net 初歩的な質問で申し訳ないですが、 NSRPの切り替わり時と切り戻し時に時間が差異があります。 Hold-downはデフォルトです。 Master側のmoniterインターフェースの1本を抜き差しすると 切り替わり時は3秒程度ですが、切り戻し時は3倍以上時間がかかります。 この差はなぜ発生するのか、宜しければどなたかご教示下さい。
299 :anonymous@ 120.143.13.30.static.zoot.jp :2013/06/29(土) 20:48:18.87 ID:???.net SSGも320M以上はx86なんだし VirtualAppliance版出ないんだろうか・・・。
300 :anonymous :2013/06/30(日) 22:57:33.20 ID:???.net 個人的な趣味だけど、FWは物理的に分けておきたい派だわ。
301 :anonymous@ uss.sc-idc.net :2013/07/04(木) NY:AN:NY.AN ID:???.net ある客から、LAN側からWebUIを開こうとすると超遅いって言われてるんだけど そんな事例ある? 遠方で確認しにいけないんだけど、リモートで見る限り全く問題なく速いんだよな
302 :ななし :2013/07/04(木) NY:AN:NY.AN ID:???.net >>301 ブラウザの違いかもね。 VPN使ってるなら変な拠点折り返してるとか。
303 :anonymous :2013/07/04(木) NY:AN:NY.AN ID:???.net やっぱそのへんだよなあ。 ブラウザ変えてみてもらおう。 どうもありがと。
304 :anonymous :2013/08/21(水) NY:AN:NY.AN ID:psrRFEl8.net Netscreen 5GT後継何がいいですかねぇ……。
305 :anonymous :2013/08/21(水) NY:AN:NY.AN ID:???.net (SSG5では)いかんのか?
306 :ななし :2013/08/22(木) NY:AN:NY.AN ID:???.net >>304 fortigate
307 :anonymous@ 36.3.108.246 :2013/09/11(水) 23:34:15.21 ID:fM2QoVMN.net 助けてください。 ケーブルテレビのインターネットでSRX繋いでネットしようと思っています。 SRX100のUntrust(fe-0/0/0)でDHCPクライアントを有効にしても ケーブルモデムからIPアドレスを取ってきません。 Policy設定とか必要なのでしょうか。 よろしくお願いします。
308 :anonymous :2013/09/13(金) 22:57:23.76 ID:???.net ここはJunos製品のスレではないぞw
309 :anonymous :2013/10/15(火) 09:15:04.51 ID:???.net http://www.juniper.net/support/eol/screenos.html
310 :anony :2013/10/15(火) 22:55:38.92 ID:???.net 一瞬心配したけど、もう終わってたわ 問題ない
311 :anonymous :2013/10/18(金) 00:25:01.94 ID:???.net 6.3はまた随分延びたねぇ
312 :SSG5 :2013/11/02(土) 20:37:52.83 ID:???.net SSG5をかなり安価でGetしたまではよいのだけど、設定にはまっていますorz PPPoEの動的IPからTrustに向けて内側にMIP設定する場合って どうすれば良いのでしょうか。 PPPoEで貰ったIPをPolicy Elements のaddless listに固定で登録してしまうと、 次アドレスが変わると通信できなくなるし...
313 :anonym :2013/11/02(土) 21:52:20.88 ID:???.net VIPでなくて?
314 :anonymous :2013/11/02(土) 22:41:09.32 ID:???.net つーか何でPPPoE側からの通信があんだよ
315 :312 :2013/11/03(日) 09:18:46.96 ID:???.net >313 すいません。312からしばらくいじったらVIPでした...orz >>314 自宅のglobalは動的ipでして.... といいつつ外からのNATは上手くいったものの、 FTP over TSLの通信がうまくいかず困っていたら... kb.juniper.net/InfoCenter/index?page=content&id=KB3419&pmv=print !!!!orz どなたか良い知恵お持ち方拝借させてください...
316 :anonymous :2013/11/03(日) 10:26:44.22 ID:???.net >>315 FTPが必須じゃなけりゃscpで取ればいいだろ 公開鍵は鯖側で事前に用意しろ > set ssh version v2 > set ssh enable > set ssh pka-dsa user-name [user] key [key] > exec ssh tftp pka-dsa user-name [user] file-name [filename] ip-addr [address] 確かこんな感じで行ける
317 :anonymous :2013/11/03(日) 16:58:21.63 ID:???.net パッシブFTPの場合、データ転送ポートはランダムに選ばれるわけで FWはパケットの中身をみて接続要求のあったポートを空けるわけだが、 暗号化されている場合FWはそのポート番号を知る術が無い。 KBのソリューションに書いてあるとおり、サーバ側のデータ転送に使用されるポート範囲を制限して そのポート範囲のカスタムサービスを作成してそれを許可してやる必要がある。
318 :312 :2013/11/05(火) 21:40:16.72 ID:???.net >>316 Windowsで良さげなscpクライアントはいませんかね... >>317 サーバー側のデータ転送に使用しているポート範囲を制限して、 そのポート範囲のカスタムサービスは作ったのですが、 どうにもデータポートOpen以降が通らなくて.... コントロールポートもwellknown開けると危ないから、 ハイポート(1024以上)で一つ開けているのですが。 この場合ApplicationはFTP指定ではなくて良いのでしょうか...
319 :どんなのがあるんだろう? :2013/11/05(火) 22:57:48.83 ID:???.net WinSCP以外の鉄板なんて有るんか? 有るなら俺も知りたい
320 :319 :2013/11/05(火) 22:59:53.24 ID:???.net すいません。 Win関連板と勘違いしてましたorz 無視して下さいマシ。
321 :anonymous@ ab144039.dynamic.ppp.asahi-net.or.jp :2013/11/08(金) 05:58:34.96 ID:???.net netscreen-50をscreenos 5.0で使っています。 もう一台netscreen-50を入手し、screenos 5.0から5.4に移行しようとしています。 設定をエクスポートして、インポートしたのではスタティックルーティングがうまくいきません。 5.4から機能追加された、PBR(Policy-Based Routing)の設定が必須なのでしょうか。 よろしくお願いします。
322 :あのに :2013/11/08(金) 19:08:00.57 ID:???.net 設定内容しらんがPBR使わんでもスタティックは動く
323 :Anonymous :2013/11/09(土) 03:14:50.25 ID:???.net 5.0はスタティックルートはVR内で設定するんじゃなかったっけ? 5.4ぐらい?からはグローバルで設定できるようになってる。 5.0から直接5.4にはアップデートできないから 5.0→5.3→5.4ってパスになるんじゃね?
324 :Anonymous :2013/11/09(土) 03:25:38.04 ID:???.net とおもったが単なる思い違いだった、、。
325 :anonymous@ ab144039.dynamic.ppp.asahi-net.or.jp :2013/11/09(土) 21:05:50.40 ID:???.net ども>>320 です。 そうですかぁ。 PINGは通るので、悩んでます。
326 :anonymous@ ab144039.dynamic.ppp.asahi-net.or.jp :2013/11/09(土) 21:06:31.57 ID:???.net すみません。>>321 でした。。
327 :あのに :2013/11/10(日) 13:27:53.11 ID:???.net >>326 3wayは大丈夫か? その辺でデフォルト変わってた気がするが
328 :anon :2013/11/10(日) 16:42:43.79 ID:???.net コンフィグがうまく入っていない可能性は? 元々のコンフィグとインポート後のコンフィグでDIFFとって見るのも手
329 :Anonymous :2013/11/12(火) 22:31:46.60 ID:???.net >>325 PINGは通ってるならルーティングできているのでは? 他のサービスが通らないっていう話でしょか?
330 :anonymous@ ab138123.dynamic.ppp.asahi-net.or.jp :2013/11/17(日) 00:24:22.57 ID:???.net 皆さんありがとうございます。>>321 です。 行きはNSを通らず帰りだけNSのルーティングを使う構成になっています。 仰る通り、flow no-tcp-seq-checkが原因のようでした。 screenos5.0までは、set flow no-tcp-seq-checkがデフォルトで、 screenos5.1以降は、unset flow no-tcp-seq-checkがデフォルトのようです。 また、設定ファイルを読み込む時に、margeするとチェックが有効になり、 replaceするとチェックが無効になるようです。 ありがとうございました。
331 :ano :2013/12/05(木) 00:48:09.43 ID:???.net juniperのアカウントは製品買わないと登録できないでしょうか?
332 :anonymous@ ab155007.dynamic.ppp.asahi-net.or.jp :2013/12/05(木) 05:26:33.18 ID:???.net シリアル番号を入力した覚えがあります。
333 :ano :2013/12/06(金) 00:37:58.85 ID:???.net >>332 ありがとうございます。 guest という項目があったので登録してみたのですが、 missing〜というメールがきて登録に失敗したようでした。 やはりシリアルがないとだめなのかもしれませんね。 中古で買うにしても、前所有者が登録していた場合 エラーになりそうで踏み切れずにおります。。
334 :anonymous :2013/12/06(金) 21:41:56.40 ID:???.net とっくにEOLだった中古の5xpのシリアルで 普通に登録できてSSGのまで落としてるけど
335 :ano :2013/12/07(土) 13:44:05.60 ID:???.net >>334 まじですか。 5xtだけでなくSSGまで落とせるとは、結構そのあたりのポリシーは ゆるいんでしょうか。 (というよりもOSがいくらダウンロードされようが、メーカに不都合があまりないからかもしれませんが)
336 :Anonymous :2013/12/07(土) 16:34:41.48 ID:???.net >>335 firmwareだけじゃ、動かないからね。 ノンサポだからアップデートに失敗しても自己責任だし。
337 :anonymous@ ngn-west-138-103-139-153.enjoy.ne.jp :2013/12/07(土) 23:51:50.63 ID:???.net Netscreenで、DMZゾーンを2種類。Trustゾーンを2種類作成し それぞれのゾーン通信も制限したいと思ってるけど どんな方法で行うのがよいでしょうか?
338 :あのに :2013/12/08(日) 02:27:02.83 ID:???.net ポリシーでやればいいべ
339 :anonymous@ ngn-west-138-103-139-153.enjoy.ne.jp :2013/12/08(日) 23:48:35.73 ID:???.net ポリシーでDMZからDMZの通信制限できるの?
340 :Anonymous :2013/12/08(日) 23:57:52.36 ID:???.net 要は4種類のゾーン間の通信制御たろ? できるじゃねぇか。
341 :anonymous :2013/12/09(月) 00:48:34.76 ID:???.net ポリシーってデフォルトでTrustとかDMZとかついてるけど、 わかりやすくしてるだけで使い方は自由っていう認識で合ってる? (初期でPingが有効になってたり微妙な違いはあると思うけど)
342 :あのに :2013/12/09(月) 03:52:50.34 ID:???.net from-zone DMZ1 to-zone DMZ2 any deny log 少しは調べることを覚えたほうがいい
343 :アノニマス :2014/01/18(土) 11:59:32.69 ID:???.net 風の噂で、SSGってもう5年ライセンス購入できない(=サポート出来ない?)と 聞いたんだが、マジ? いよいよJunos覚えないかんのか・・・?
344 :anonymous :2014/01/18(土) 18:09:23.04 ID:???.net 販売店に聞けよ。 それ以前にJUNOS製品に乗換えるなら、別に他社製品でもいいような気がするけどな。
345 :sage :2014/01/27(月) 22:28:52.04 ID:???.net そろそろSSGの代わりは決まりましたか?> /home/usr/all?
346 :anonymous@ p2-user: 1014728 p2-client-ip: 49.98.151.169 :2014/01/28(火) 06:41:37.69 ID:???.net >>345 SRX はないか
347 :anonymous :2014/01/28(火) 21:35:37.90 ID:???.net 同じくASIC製品ということで、FortiGate?
348 :ななし :2014/01/29(水) 07:31:35.92 ID:???.net >>347 だね。元々netscreenから派生した?会社だしね。
349 :anonymous :2014/01/30(木) 01:44:42.55 ID:WUnKBJtm.net ScreenOS使わない商品買うくらいなら他社にいくよね?
350 :anonymous :2014/03/10(月) 07:31:56.07 ID:???.net 結局、ScreenOS使った機器の今後はどうなるんだろう? いい加減初期にSSG買った客のリプレース時期なんだが。
351 :anonymous@ 140.208.138.210.vmobile.jp :2014/03/13(木) 13:48:37.86 ID:???.net おいら一生netscreen50でいくよ 中古でもう一台買ってHAするんだ
352 :anonymous :2014/03/13(木) 19:46:16.60 ID:???.net EOL終了後に致命的なセキュリティホールが見つかったらオワコンだろw 自宅にある208もどうしてくれようかな。
353 :anonymous :2014/03/16(日) 16:16:25.90 ID:???.net ギガビット対応してないけど、どうせ外部と通信してたらどっかで 速度落ちるし全然問題ないもんな。 問題あるとしたらセキュリティホールぐらいしか思いつかん。
354 :anonymous :2014/03/16(日) 22:29:39.60 ID:???.net >>350 今なら、もう1回SSG行けんじゃね?同機種更新で事足りるなら。 上の方でも出てたが、Junos6.3のEoL/EoS、2019/12/31まで延長されてっから。 今からなら、5年リースで、もう1サイクル回せるぜ。 その先は・・・神のみぞ知る。
355 :anonymous :2014/03/17(月) 09:31:45.44 ID:???.net Junos6.3?ScreenOS6.3じゃなくて?
356 :anonymous@ h219-110-205-225.catv02.itscom.jp :2014/03/29(土) 23:19:02.19 ID:???.net さり気無くjunosに誘導してるな
357 :anonymous :2014/03/30(日) 14:11:16.45 ID:xl1JNa0n.net ScreenOSじゃないNetscreenなんて要りません そんなの使うくらいなら他社のFWアプライアンス使うわ
358 :anonymous :2014/04/01(火) 22:09:18.34 ID:???.net Junosって実際のところ使いにくい?
359 :anonymous :2014/04/04(金) 12:57:24.60 ID:tC1EiEj3.net 客「缶切りを1つください」 Juniper「はい、十徳ナイフをどうぞ」 こんな感じ
360 :anonymous@ softbank221094115231.bbtec.net :2014/04/05(土) 15:47:07.07 ID:qZAyZsAZ.net 電話屋じゃないけどすみません教えて下さい。 ローゼット内のL1と2端子のとこにマイナスドライバー あててるのを見たけど、一瞬パチって音がした。 あれって直流50Vなのに、ショートして壊れないのか?
361 :ななし :2014/04/05(土) 20:22:48.71 ID:???.net >>360 線路長があるし電流自体もそんなに流れないようになってる。 まあパチパチ何回もやってるとNTTから電話かかってくるぞ。
362 :anonyumous :2014/04/06(日) 21:23:07.36 ID:???.net >>359 色々できるのかもしれんが使いずれーよって感じか。
363 :anonymous@ k184164.ppp.asahi-net.or.jp :2014/04/06(日) 21:30:24.91 ID:???.net 客「缶切りを1つください」 Juniper「(無造作に道具類が放り込まれた箱を差し出して)こんなかからテキトーに探して」 こうじゃないか
364 :anonymous :2014/04/06(日) 23:42:39.28 ID:???.net 後継と呼ばれる製品は扱ったことあるが、使い易いとは御世辞でも言えん製品だったな。残念だけど、まだFortigateの方が許容出来るわ。
365 :anonymous :2014/05/04(日) 18:15:33.33 ID:???.net 十分に枯れきってる安心感から、まだ提案時には候補に入れてます IDS(P)があると他プロダクトに座を譲ることになるけれど。 EOS考えるとあと2年が限度かな
366 :anonymous :2014/05/04(日) 20:43:06.43 ID:???.net DIでは代替提案には難しいのかな。 ScreenOS終わったらショックだなあ。
367 :anonymous :2014/05/13(火) 03:12:39.26 ID:???.net 完全に終わったら、オープンソース化希望
368 :ななし :2014/06/03(火) 06:41:01.81 ID:???.net バイト先で、使わなくなったNetScreen-5XTを貰ってきたんですけど、これって、PeerBlock(Windowsの ソフトです)みたいに、食わせたIP一覧を元にして遮断したり通したりすることって出来ますか?日本以 外のIPを全部弾くといったような使い方です。 それにしてもこれ、めちゃくちゃ熱を持つんですね。怖いくらい。
369 :anonymous@ 120.125.214.202.vmobile.jp :2014/06/10(火) 03:06:23.25 ID:???.net 年内いっぱい終わりだってさ。
370 :anonymous@ kav03.raidthink.com :2014/06/10(火) 09:33:23.85 ID:???.net >>369 何が?
371 :anonymous :2014/06/15(日) 01:34:38.64 ID:???.net SSG5をFWとして使っているのだけどUntrust側にルータがありそこからインターネットに接続している その上でUntrust側にあるPCやスマホのインターネットへのアクセス制御をするためにあえてSSGをゲートウェイにし Untrust上にあるルータにスタティックでルーティングしてネットに出すようにしているのだけど そのUntrust上のスマホからのLINEによる通信が異常に遅いんだけど理由分かる人いる? 通信できないわけじゃなく劇的に遅い。 ちなみにゲートウェイをルータに直接張った場合はやたら早いので回線やルータのせいではないし ポリシーも全通しで設定して試しているけどそれで遅い。 ログ見ても特に何かをDenyしている事はない。通信としてはhttp/httpsと5228しか発生していないようだし それは通過しているので原因がつかめない・・・
372 :372 :2014/06/15(日) 01:38:02.64 ID:???.net ちなみに同じくUntrust側においてある通常のPCからの通信は特に何か他が遅いということはないようだ。 スマホからのLINE以外の通信も特に遅いと感じたことはないんだよなぁ。
373 :anonyumous :2014/06/15(日) 02:10:24.01 ID:???.net スマホをTrust側においたらどうなる? LINEだけってことはアプリケーションレベルの話でどうしようもないかも。
374 :372 :2014/06/15(日) 04:44:32.25 ID:???.net >>373 Trust側には無線がないからスマホではチェック出来ないんだよね PCのLINEアプリはTrustのPCでチェックしたけど遅くならない アプリケーションレベルの問題だとしたらSSGを通さないでルータをゲートウェイにした時は この問題が起こらないのも理由が分からんのよね もしかしたらLINE以外でも遅いことがあるのかもしれないが他のスマホアプリはそもそもが 速度が明確に分かるような使い方してないってのもあるのかも。 ブラウザでウェブ見るのは普通に早い気はする。
375 :372 :2014/06/15(日) 04:47:05.13 ID:???.net やはり今チェックしてみたがブラウザも早いし2chも早い。 LINEだけがやたら遅い。←マークがなくなるまで10秒ぐらいかかる時がある さらに問題をややこしくしているのはたまに普通に早い時があるんだよ ログでは特に早い時と遅い時で何か違いがあるようには見えないんだよなぁ。
376 :anonymous :2014/06/15(日) 07:01:29.33 ID:???.net Untrust側にルータって所謂Wi-Fi付のブロードバンドルータのこと? (グローバル) │ [ルータ] │ ├[PC1][スマホ] │ [SSG5] │ ┴─[PC2] どういうポリシー切ってるのか知らんけど、普通にルータとSSG逆にしたらよくね? プライベートNWのセグメント分けたいならSSG配下で分けられるし。
377 :anon :2014/06/15(日) 17:34:01.49 ID:???.net http://www.juniper.net/jp/jp/dm/branch-srx-campaign/
378 :372 :2014/06/15(日) 22:19:47.33 ID:???.net >>376 構成はまさにその通りの構成なんだけど入れ替えは出来ないんだ 理由としてはSSG5の周辺にはDMZも作っていて有線接続のサーバがたくさん配置されてあるんだが ルータ及びONUのそばにはそれを設置するスペースが無いためSSGにイーサネットコンバータで 無線ルータとONUがある場所に無線でUntrustの通信を飛ばしている 回線の口がそのスペースがない場所にしかないため仕方なくそういう構成になっている
379 :Anonymous :2014/06/16(月) 04:19:35.02 ID:???.net なんという苦肉の策、、 物理もそうだが、どういうルーティングになってるんだ。。 VLAN切れるスイッチを用意してグローバルNWとルータのLAN側NWを別VLAN割り当てて繋いで Trunkに設定したポートをアドホックで繋げられるイーサネットコンバータでSSGに接続 SSG側接続ポートでSub-IF作ってVLAN-ID指定してグローバルとルータのLAN側のIPを設定したら 論理的にはキレイになるかも・・・。
380 :372 :2014/06/18(水) 23:15:40.61 ID:???.net >>379 返事が遅れてスイマセン。 構成としては [VDSLモデム]→インターネット │ [無線ルータ] │(無線) ├[PC1(無線LAN)][スマホ] │(無線) [イーサネットコンバータ] untrust [SSG5]ーDMZー[SV1(有線)][SV2(有線)][SV3(有線)] │ trust ┴─[PC2(有線)][PC3(有線)] のような構成になってます。ルーティングは至極簡単で無線ルータが192.168.0.0にスタティックで SSG5のuntrustインタフェースにしているだけです。 なのでPC1やスマホは無線ルータで無線を受けたあとDHCPでSSG5からIPを払いだしてもらう形になっています。 払い出すIPはUntrust側のセグメントアドレスでデフォゲをSSG5のインタフェースに張っており SSG5はデフォルトルートで無線ルータのLAN側インタフェースを張っている。 見て頂ければ分かる通り無線ルータインターネット側のインタフェースはPPPoEで接続しているため グローバル側にVLANを持たせて回すようなやり方は出来ない。 なぜ通信が無駄に遅いのかは理解できないんだよなぁ・・・
381 :anonymous@ k184164.ppp.asahi-net.or.jp :2014/06/19(木) 00:17:54.40 ID:???.net この構成だと、ポリシーや設定によってはicmpが破棄されるかも icmp通らないとpath mtu discoveryできなくなるから注意
382 :anonym :2014/06/19(木) 01:55:59.45 ID:???.net http://www.atmarkit.co.jp/fwin2k/win2ktips/613icmpredir/icmpredir.html http://networksecurity.cocolog-nifty.com/blog/2007/02/netscreenicmp_a4f9.html まぁなんにしてもScreenOSには非推奨な構成です。 何が起こっているのか見るのにdebug使ってみるのも手だね。 ちなみにPPPoEはL2上のプロトコルなのでVLANでカプセル化できます。
383 :372 :2014/06/19(木) 04:52:17.21 ID:???.net >>381 ポリシーは一応全通しにしてあるんだけど今見たらインタフェースのpath mtuにチェックが入っていないので それが原因の可能性もある?
384 :372 :2014/06/19(木) 05:05:26.85 ID:???.net 今試してみたけど関係なかった しかしどの辺が非推奨な設定なのかが分からない まぁUntrustでのIntra-zone policyになってる事自体があまり綺麗とは言えないというか 同一セグメント上の別の機器にルーティングしてる時点でおかしな構成ではあるのだが SSG通さないと通信の制御が出来ないから仕方なく・・・
385 :anonymous@ k184164.ppp.asahi-net.or.jp :2014/06/19(木) 09:17:08.10 ID:???.net あと unset flow tcp-syn-check いれてみるとか
386 :372 :2014/06/19(木) 09:36:41.27 ID:???.net >>385 今ソレやってみたらスムーズに通信が流れてるというか反応が早い。 もしかしたらこれが原因かもしれない。少し様子見してから判断にはなるけど 解決が見えてきたかも。マジでありがとう。詳しい人がいてくれて助かったよ!
387 :372 :2014/06/19(木) 09:46:38.41 ID:???.net unset flow tcp-syn-checkについて色々調べて分かったんだけどまさに これが原因としか思えない内容があちこちに書いてある SSGが導入されたネットワークにおいてGatewayが2つあり、SSGをデフォルトゲートウェイにしている場合、 SSG以外のGatewayの向こうにあるネットワークにアクセスする場面においてパケットがタイムアウトする、と 不可解なところは、最初はパケットのやり取りには問題ないところで、ある程度時間が 経過すると、現象が発生します。とも書いてあるんだがまさにこれ! しばらく様子見してみるけど事象があまりにもそれっぽいのでこれに間違いはなさそうな気配
388 :anonymous :2014/06/19(木) 11:00:00.92 ID:???.net 長文だったんで読んでなかったんだけどそれが原因で悩んでたんか。気がつかずに済まん。 俺が設定する場合にはもう次の3行はデフォルトで設定するようにしてる。 当然、場合によってはやっちゃダメな場合もあるからそれは考慮してくだされ。 unset flow no-tcp-seq-check → set flow no-tcp-seq-check set flow tcp-syn-check → unset flow tcp-syn-check set flow path-mtu 追加
389 :anonyumous :2014/06/20(金) 00:22:07.61 ID:???.net それが原因だったかあ、現象がLINEだけっていうのが気になって そこにたどり着かなかった。
390 :372 :2014/06/20(金) 02:24:44.56 ID:???.net 半日以上様子見してるけど安定的にいけてるっぽい 現象は実際はLINE以外でも発生していたのかも知れんが再送の場合通したりしてしまうため LINEの←マーク以外は明確に目について速度差を感じ取れなかったってのもあるかも 他の通信はちょっと遅いかな?とか思ってももともとそんなクソ早いとも限らない通信でもあるからね ちなみにset flow no-tcp-seq-checkは一緒にやったけどset flow path-mtuはインタフェース設定の チェックとどう違うのかイマイチ分からんので入れていない
391 :anonymous@ 251.208.138.210.vmobile.jp :2014/06/21(土) 15:34:38.29 ID:???.net 行きと帰りの経路が違う場合に有効なのよね。
392 :anonymous :2014/06/21(土) 19:03:14.57 ID:???.net ここの中の人。スキル高そう。
393 :anonyumous :2014/06/21(土) 20:48:48.04 ID:???.net 書き込みは少ないけど良スレだよねw
394 :anonymous :2014/06/23(月) 07:43:49.50 ID:85+qnf+B.net あとはJuniperがScreenOS続けます宣言すればいい EOLとかいやだ
395 :anonyumous :2014/06/23(月) 22:29:33.34 ID:???.net ガチで辞めるメリットないもんな。
396 :あのに :2014/06/24(火) 02:00:10.23 ID:???.net >>390 SSGからみてsynは通ったけどsyn-ackは見てない でも、ack出てってる おかしくね?で遮断 3wayの流れをトレースしてみて、それなら確定でいいよ
397 :anonymous@ 147.208.138.210.vmobile.jp :2014/06/25(水) 18:32:33.27 ID:???.net PPPoE接続してるNS50にHA設定したら、再起動すべきですか。
398 :anonyumous :2014/06/25(水) 22:31:57.70 ID:???.net 再起動は要らなかったと思う。曖昧な記憶だけど。
399 :anonymous :2014/06/26(木) 03:23:53.93 ID:???.net >>396 set flow no-tcp-seq-checkってそういう通信を遮断しないって意味の設定なの?
400 :anonymous :2014/06/26(木) 05:02:06.77 ID:???.net SSG5程度の大きさでGigaポート備えたScreenOSのFWが欲しいと思ってる人多そう 俺のことだけど
401 :Anonymous :2014/06/26(木) 09:08:45.28 ID:???.net >>400 SRX100の下にってことかい? でももうScreenOSは出さないって言ってたぞ。
402 :anonymous :2014/06/26(木) 17:40:16.89 ID:???.net なんか終わるのが正式に決まったって話だな
403 :aaa :2014/06/26(木) 17:55:55.21 ID:???.net これは良いスレだ!
404 :anonyumous :2014/06/26(木) 19:58:59.59 ID:???.net >>400 まさに俺もだわ。 結構売れると思うんだけどな。 SRX100ってギガ対応してたっけ?
405 :anonymous :2014/06/26(木) 20:20:15.39 ID:???.net SRX 高いよ。。。。
406 :anonymous :2014/06/26(木) 22:42:35.49 ID:???.net 高い安い以前にJUNOSの使いにくさときたら・・・ アレ使うぐらいならFortiのがマシ
407 :あのに :2014/06/27(金) 02:38:54.20 ID:???.net >>399 それはシーケンスを見るか見ないかだったかと tcp-syn-checkでsyn,syn-ack,ackのチェックをするかしないか
408 :anonymous :2014/06/27(金) 19:53:51.12 ID:???.net >>407 unset flow tcp-syn-checkの方か 行きの経路と帰りの経路が違う場合は3wayの仕組みで言うと synが来てsyn-ackが来ないままackが来る状態にSSGからは見えてしまうってところは分かるが なぜ出来たり出来なかったりするんだろうなぁ。
409 :anonymous@ k184164.ppp.asahi-net.or.jp :2014/06/28(土) 10:48:10.98 ID:???.net icmp-redirectとかで一時的に経路を学習するから?
410 :Anony :2014/06/29(日) 01:27:40.98 ID:???.net ScreenOSはICMP Redirect対応してないんじゃね? SRXはオン/オフできたとおもうけど。
411 :anonymous@ 225.208.138.210.vmobile.jp :2014/07/01(火) 19:44:13.16 ID:???.net NS50でHA成功しました。 ただ、サブ機でアラームLEDがついて、DNSエラーが起きてるみたい。 その後DNS接続成功してるけど、接続の度にエラーになって、その後成功。 メイン機では、エラーは無いけど、なんだかなぁ、です。 同じような事例はありますか? ScreenOS5.4r26です。
412 :Anonymous :2014/07/02(水) 22:56:38.29 ID:???.net PPPoEセッションが張れるのはMaster機だけなら Backup機はグローバルへのルートが存在しない状態。 グローバルにあるDNSを参照できないのは当たり前のような気がするが。
413 :anonyumous :2014/07/02(水) 23:14:48.51 ID:???.net その後成功しているのはセッションが同期されているためかな?
414 :anonymous@ 138.208.138.210.vmobile.jp :2014/07/07(月) 17:19:06.37 ID:???.net ありがとうございます。 皆さんには、感謝します。
415 :anonymous@ 122.216.28.245 :2014/07/23(水) 13:15:18.22 ID:???.net vipの設定をしていたら、too many virtual ip って出て、vipの設定ができないんだが、これってライセンス数の制限でもかかってるのかな?すみません教えてください。
416 :anonymous :2014/07/23(水) 18:08:52.73 ID:???.net vipの数って機種ごとに上限があるよ。 ちなみにSSG5で4つまで。(ただし、Extended版では5つまで)
417 :anonymous@ FL1-122-130-131-93.tky.mesh.ad.jp :2014/07/23(水) 19:50:21.27 ID:???.net netscreen25だとvipは二つまでなのかな?スクリーンOSを4系から5の最新版にしても駄目なんですかね? あー困った.・・・・・
418 :anonymous :2014/07/23(水) 21:04:34.56 ID:???.net >>417 NetScreen-25のScreenOS 5.4ならVIP 16までいけない? 仕様上はそうなってるが。
419 :anonymous :2014/07/24(木) 00:00:33.77 ID:???.net VIPってそんなに少なかったっけ? OSバージョンによっても上限値変わる項目あった気がするね。 特に情報なしでスマソ。
420 :anonymous@ FL1-119-240-201-209.tky.mesh.ad.jp :2014/07/24(木) 00:48:17.90 ID:???.net たしかにNetScreen-25の5.4だったら公式だとvip16になってるんですよね ちょっと明日最新版にバージョンアップしてみます! いきなり大幅なバージョンアップだから壊れないか心配ですwww
421 :anonymous@ k184164.ppp.asahi-net.or.jp :2014/07/24(木) 03:48:54.91 ID:???.net シリアルケーブルと各バージョンのファームウェアと、tftpdを用意しておけよー
422 :anonymous :2014/07/24(木) 06:25:10.80 ID:???.net WebUIからのアップデートだと確かにバージョンによってはうまくいかないことがあったね
423 :Anonymous :2014/07/24(木) 09:34:25.45 ID:???.net メモリが足りないとかなんだかで転けるんだよな
424 :anonymous@ 184.125.214.202.vmobile.jp :2014/07/27(日) 13:14:28.89 ID:???.net 2ヶ月ほど電源を切っていたNS50の電源を入れたら、コンソールへ次の表示が繰り返され止まりません。 止めている間に、ハードが壊れたでしょうか? Invalid BCD number-ff Illegal month value 0###time trace:, Trace Dump ................ フラッシュが死んじゃったかな
425 :blob :2014/07/27(日) 14:54:07.91 ID:???.net http://kb.juniper.net/InfoCenter/index?page=content&id=KB4939&pmv=print
426 :anonymous@ p21007-ipngn100208osakachuo.osaka.ocn.ne.jp :2014/08/11(月) 23:50:18.12 ID:???.net ssg5 wirelessが3000円でゲットできた。 純正アンテナがなかったが、アンテナ2本を700円で買ってきてくっつけたら何の問題もなく動いた。 これで遊べるわぁ
427 :anonymous :2014/08/12(火) 22:39:34.96 ID:???.net ちょっと教えて欲しいのですがSSGでは通常の名前解決はDNS Proxyでやりつつ、 個別のホスト名だけは特定IPに名前解決をしてやる方法はありますか? 通常は外のDNSサーバに名前解決をリレーしてあげたいのですが、 内部サーバをわざわざループバックさせたくないので・・・
428 :anonymous :2014/08/12(火) 23:02:29.62 ID:???.net 内部の端末のhostsファイルにサーバのIPとホスト名書いちゃうとか。 だめか。。
429 :anonymous :2014/08/12(火) 23:06:12.37 ID:???.net >>428 その方法だと内部にぶら下がってる全ての端末のhostsを書き換えないといけないのと ぶら下がってるモノの中にはandroid端末もあったりするので書き換え不可なモノもあるの 内部に自由にいじれるDNSを建ててしまうって手も考えたけどたかだかこんな事のために サーバ1台立てるのは・・・ってのもあってどんな通信も経由するSSGが個別に名前解決出来たら 全ての問題が解決するのになぁと思った次第
430 :anonymous :2014/08/13(水) 09:52:25.09 ID:???.net >>427 ドメインレベルでなら出来たけどホストレベルまで出来るかどうかはやったこと無い。
431 :431 :2014/08/13(水) 09:53:57.17 ID:???.net 補足 解決するDNSをドメインべつに変えただけで、SSGにダイレクトにIPを解決させたわけじゃ無いです。
432 :anonymous@ k184164.ppp.asahi-net.or.jp :2014/08/13(水) 09:55:11.05 ID:???.net CacheのStatic
433 :anonymous :2014/08/13(水) 23:35:05.77 ID:???.net >>431 それだとどうしても別にDNSが必要になってくるので・・・ 余ってるPCにBJDのDNS入れてみたけど不安定で使いものにならん 素直にBIND入れた端末作るしかないか・・・
434 :anonymous :2014/08/13(水) 23:56:36.56 ID:???.net Raspberry PiにUnboundでいーじゃん
435 :anonymous@ 26.178.138.210.vmobile.jp :2014/09/10(水) 19:05:44.39 ID:???.net このスレは生きてますか?
436 :anonymous :2014/09/10(水) 20:35:11.45 ID:???.net >>435 NETSCREEN、SSG死んでるw
437 :anonymous@ 49.125.30.125.dy.iij4u.or.jp :2014/09/11(木) 08:45:36.26 ID:???.net EOL
438 :anonymous@ :2014/09/12(金) 00:16:15.67 ID:???.net キャンペーン価格のSRXに移行するか、他ベンダーに移行するか・・。
439 :anonymous :2014/09/12(金) 01:26:17.84 ID:???.net SRX選んだってSSGとは別物だし、他社製品を選ぶのと大して変わらん。
440 :anonymous@ ai126197026050.18.access-internet.ne.jp :2014/09/16(火) 20:39:18.83 ID:???.net 今320使った構築やらされてんだけど、SRXのほうがいいのか
441 :anonymous :2014/09/17(水) 03:52:17.19 ID:???.net はい
442 :anonymous :2014/09/17(水) 07:03:30.86 ID:???.net 使ってみりゃ分かるw
443 :Anonymous :2014/09/20(土) 02:59:51.70 ID:???.net 320mだとJunosとコンパチだけどあれはJシリーズか
444 :anonymous :2014/09/24(水) 01:34:55.43 ID:1ly2eQAQ.net EOLまでScreenOSで粘るのが正解
445 :anonymous@ pw126152000161.10.panda-world.ne.jp :2014/09/26(金) 07:38:05.87 ID:???.net >>298 亀だけど、切り戻りする際に元masterが完全に復旧してるかわかんない(再起動が続いてしまう故障とか)から ある程度連続で応答があったら切り戻りしましょうねっていう設定があるよ
446 :anonymous :2014/10/09(木) 11:53:53.52 ID:XJgbeELh.net 社内FWをSSG320にしたった
447 :anonymous :2014/10/11(土) 20:50:30.41 ID:???.net Ciscoスレで泣いてる人みーっけ
448 :anonymous :2014/10/13(月) 14:25:57.09 ID:???.net IDが一致w
449 :anonymous :2014/10/18(土) 22:11:34.16 ID:???.net >>427 だけどもしかしてDNSキャッシュのスタティック登録で出来るかもしれないっぽい気がしてきたんだけど 誰かやったこと無い?
450 :anonymous :2014/10/19(日) 00:16:07.11 ID:???.net あるよ
451 :anonymous :2014/10/23(木) 13:27:03.14 ID:???.net >>447 >>448 バレバレでワロタです
452 :anonymous@ 179.178.138.210.vmobile.jp :2014/11/19(水) 18:57:24.44 ID:???.net 二拠点間でVPN接続しているNS50の両方をHAしたら、別拠点のメインとサブの管理画面が表示されなくなりました。それぞれ自分側の管理画面は表示されます。 管理画面はそれぞれ専用のIPを振ってます。 こんなもんでしょうか。
453 :anonymous :2014/11/19(水) 21:06:41.99 ID:???.net >>452 両方マスターになってるオチが浮かんだけど、 管理画面以外の通信は問題ない?
454 :anonymous@ 179.178.138.210.vmobile.jp :2014/11/20(木) 15:34:17.75 ID:???.net 各拠点を2台づつでHAして、それぞれはマスターとサブになってます。 その他異常はないんです。
455 :anonymous :2014/11/20(木) 22:24:16.20 ID:???.net >>454 IP3つ振ってるよね?
456 :anonymous@ 13.208.138.210.vmobile.jp :2014/11/21(金) 18:59:25.43 ID:???.net 三つ振ってます。
457 :ななし :2014/11/21(金) 21:10:22.69 ID:???.net >>452 管理用のIPへのルートある?
458 :anonymous :2014/11/21(金) 21:13:53.59 ID:???.net 管理用IPへのポリシーある? マスター→スタンバイへのポリシーは対向側でNAT必要
459 :anon :2015/03/08(日) 17:55:57.46 ID:???.net Firefox 36.0にアプデしたらssg140の管理画面にアクセスできぬorz
460 :anonymous@ s958103.xgsspn.imtp.tachikawa.spmode.ne.jp :2015/03/09(月) 08:24:09.13 ID:???.net >>459 違うブラウザ使うべし
461 :anon :2015/03/09(月) 23:04:59.24 ID:???.net >>460 ありがと。SSL捨てればいいが乗り換えしかないかorz Fx昔のバージョンではオブジェクト削除ができなかったこともあったな
462 :anonymous :2015/04/18(土) 00:23:56.77 ID:???.net Defaultのは期限切れの証明書だから新しく自己署名証明書作って それをManagementのCertificateに設定すればOK
463 :anonymous :2015/08/20(木) 07:58:38.60 ID:Oh+ZGAc4.net ScreenOSっていつまで続くの?
464 :Anonymous :2015/08/20(木) 09:14:24.14 ID:???.net ググりゃすぐ出てくるでしょ。 SSGでまだ販売してた機種の販売終了が案内されたから、 残ってた6.3系 も2021/1/31でEoE/EoLが決まったよ。
465 :anonymous :2015/08/21(金) 20:20:15.81 ID:???.net 終了ば残念だけど。そもそも後継機が残念過ぎで別メーカ品へ乗り換えているユーザは多いはず。
466 :anonymous@ nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp :2015/10/20(火) 22:27:39.37 ID:t4BN0CDH.net 機種:SSG140 OS:ScreenOS 6.2.0.r6.0 192.168.0.1を必ず1.1.1.1、192.168.0.10を必ず1.1.1.10にアドレス変換をしたいのですが、 下記の設定でそのような動作になるかご教授いただけないでしょうか。 また設定に過不足があるようであれば、その内容についてもご教授いただけないでしょうか。 SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.10 set address trust host1 192.168.0.1/32 set address trust host2 192.168.0.10/32 set address trust hostR1 1.1.1.1/32 set address trust hostR1 1.1.1.10/32 (その他、ポリシー設定あり) <<アドレス変換>>(期待値) 192.168.0.1 → 1.1.1.1 192.168.0.10 → 1.1.1.10 第4カラムが連続していれば、大丈夫そうには見えますが、 アドレスに間がある場合についてが記述がなく困っております。 また、以下のような設定は可能でしょうか。 SSG5-> set interface ethernet0/0 dip 5 shift-from 192.168.0.1 to 1.1.1.1 1.1.1.1 ←既存設定 SSG5-> set interface ethernet0/0 dip 6 shift-from 192.168.0.10 to 1.1.1.10 1.1.1.10 ←追加設定
467 :anonymous@ KD111107186159.au-net.ne.jp :2015/10/21(水) 23:02:23.37 ID:???.net VIPじゃダメなんけ?
468 :anonymous@ nttkyo046145.tkyo.nt.ngn2.ppp.infoweb.ne.jp :2015/10/22(木) 06:18:36.05 ID:???.net >>467 vipについては、宛先アドレス変換と認識してました。。 vipの機能を調べてみます。 もし宜しければ設定イメージを教えて頂けないでしょうか。
469 :ano :2015/10/22(木) 08:34:35.05 ID:???.net >>468 やりたいこと書かなきゃ設定イメージ書けんよ
470 :anonymous@ p61212-mobac01.tokyo.ocn.ne.jp :2015/10/22(木) 12:31:51.50 ID:???.net >>469 大変失礼しました。 トラスト➡アントラストの通信において 192.168.0.1/24を必ず1.1.1.1/24、192.168.0.10/24を必ず1.1.1.10/24にアドレス変換を行いたいです。 192〜はトラスト、1.1.〜はアントラストになります。 ※変換前後のアドレスの紐付けをどうしても変えられない状況です。 不足な情報があれば、申し訳ないですがご指摘頂きたく。
471 :ano :2015/10/22(木) 21:45:21.63 ID:???.net >>470 目立か… とりあえず、ポリシーでSNATでいいんじゃないかな 出先だから家帰ったらサンプルだせたらだすわ
472 :anonymous@ KD182250242008.au-net.ne.jp :2015/12/24(木) 18:28:20.42 ID:???.net screenosにとんでもない脆弱性がみつかったのを確認しているか? 特定のosバージョンだとCUIでアクセスさえできれば誰でもログインできる。
473 :anoymous :2015/12/24(木) 22:49:20.70 ID:???.net 修正版ファームウェア出たね。
474 :anonymous :2015/12/25(金) 08:50:07.53 ID:???.net ソースくらい貼ったれよ 脆弱性が発見されたジュニパーの「ScreenOS」にデフォルトのバックドアパスワード http://japan.zdnet.com/article/35075323/
475 :anoymous :2015/12/25(金) 22:53:33.99 ID:???.net http://kb.juniper.net/InfoCenter/index?page=content&id=JSA10713&actp=search 2015-12 Out of Cycle Security Bulletin: ScreenOS: Multiple Security issues with ScreenOS (CVE-2015-7755, CVE-2015-7756) 公式のやつ。
476 :anonymous@ 86.72.239.49.rev.vmobile.jp :2016/04/16(土) 12:23:16.73 ID:???.net 基本的なことですまん ポリシーベースとルートベースはどちらがパフォーマンスが高いですか VPNね
477 :anonymous :2016/04/21(木) 09:40:44.57 ID:???.net さてISG2000も終売になっちゃったけど 後継機何にするかね
478 :anoymous :2016/04/24(日) 01:59:31.34 ID:???.net >>476 おなじだよ。
479 :anonymous :2016/04/25(月) 14:52:35.27 ID:wTukt1lq.net 後継機種はfortigateになります
480 :sage :2016/04/26(火) 15:01:37.45 ID:???.net fortigate使いにくい
481 :anoymous :2016/04/26(火) 18:13:12.34 ID:???.net かと言ってSRXもクソだしなあ。 使い易いFWが無いなあ。
482 :anonymous :2016/04/26(火) 20:10:18.61 ID:???.net 僕パロアルトオオオオオ
483 :それは :2016/04/26(火) 23:36:58.76 ID:???.net 遅すぎなんだよおおおおお
484 :anonymous@ FL1-122-134-21-221.hkd.mesh.ad.jp :2016/06/01(水) 00:50:01.53 ID:yOEsxbU2.net マ イ ン ド コ ン ト ロ ー ル の手法 ・沢山の人が、偏った意見を一貫して支持する 偏った意見でも、集団の中でその意見が信じられていれば、自分の考え方は間違っているのか、等と思わせる手法 ・不利な質問をさせなくしたり、不利な質問には答えない、スルーする 誰にも質問や反論をさせないことにより、誰もが皆、疑いなど無いんだと信じ込ませる手法 偏った思想や考え方に染まっていたり、常識が通じない人間は、頭が悪いフリをしているカルト工作員の可能性が高い 靖 国 参 拝、皇 族、国 旗 国 歌、神 社 神 道を嫌う カ ル ト 10人に一人は カ ル ト か 外 国 人 「ガ ス ラ イ テ ィ ン グ」 で 検 索 を !
485 :anonymous :2016/06/06(月) 21:07:55.01 ID:ugyF/PDF.net 色々使ってきたが、Screenosがやっぱ一番だわ。 もう開発者残ってないんかな。
486 :anonymous :2016/08/10(水) 09:55:31.68 ID:???.net >>485 俺もそう思う 勿体ないよなあ
487 :anonymous :2016/09/22(木) 00:29:30.74 ID:jdkolcKBm Juniperサイトで新規にアカウントを作ろうとしたが 5GTのシリアル入れても Invalid になる もうScreenOSダウンロードできないのか・・・
488 :anonymous@ 240f:78:f04:1:1868:8366:4443:714b :2016/11/16(水) 05:33:57.14 ID:nTdBCqbii 無料風評被害対策のブッダワークスhttp://www.buddha-works.net
489 :anonymous@ 103-226-44-4.ty4.wi-gate.net :2017/06/02(金) 12:32:15.88 ID:???.net screenos6.2において、1つの物理インタフェースにIPv4とIPv6の二つの PPPoEクライアントを割り当て、各々IPアドレスを受け取ることは出来 たでしょうか? ssg5で実際にやろうとすると、2つめのPPPoEにインタフェースを割り当てる 段階で、1つめのインタフェースがプルダウンメニューに無いので選択できない のです。 繋げたいプロバイダはフレッツなのですが、necのwg1800hp2だとこう言う 芸当が簡単にできるのに、SSG5だと上手くいかないので困っています。
490 :anonymous :2017/06/02(金) 17:34:17.88 ID:???.net Sub-IFを作ってe0/0.1でPPPoEするとか IPv6に対応してるかどうかはわからんけど
491 :sage :2017/06/02(金) 19:44:01.18 ID:???.net >>489 とりえあず、サポート終わってる6.2なんか使わず6.3にすれば?
492 :anonymous@ p3564111-ipngn20201marunouchi.tokyo.ocn.ne.jp :2017/06/04(日) 00:12:31.36 ID:???.net >>489 とりあえず試してみます。ありがとうございます。 v6のRAは受け取っているようです。 >>490 すみません。6.3r10でした。
493 :anonymous@ 103-226-44-8.ty4.wi-gate.net :2017/06/06(火) 12:21:49.10 ID:???.net あるゾーン間で全ての通信を遮断したいのですが、ポリシーの 評価順序を私が理解できてないようでうまくいきません。 affiliateというゾーンを作って、アフィサイトのIPを登録し、 Trustからaffiliateへのポリシーを追加して通信を全てrejectに しました。 TrustからUntrustへのポリシーより順番を上に配置したので すが、アフィサイトへpingを打つと通ってしまいます。 何の設定が不味いのでしょうか。
494 :anonymous :2017/06/06(火) 21:33:23.03 ID:???.net UntrustゾーンのオブジェクトにIP登録して、Trust to Untrustルールに書いてみたら? あと、reject より deny にすべきかと。
495 :anonymous@ p3563087-ipngn20201marunouchi.tokyo.ocn.ne.jp :2017/06/06(火) 22:04:09.77 ID:???.net >>494 ありがとうございます。助かりました。 しかしながら、できると思っていたことができないことが判って 少々戸惑ってます。 とりあえずTrust→Untrustへのポリシーをコピーし、そこへ拒否 したいアドレスを登録、ポリシー評価の順番を変えたらpingが タイムアウトするようになりました。 私の理解では、テレメトリ用IPや広告系IPの集合を各々ゾーンとして 登録し、Trust→それらのゾーンへ通信を遮断すればよい、と思って いました。 ところが実際の動作をみていると、外部にある送信先によって通信を 遮断するのが目的ならば、何れもTrust to Untrustでポリシーを作らな ければならないです。そういう理解で良いのでしょうか?
496 :anonymous :2017/06/15(木) 20:58:26.31 ID:HnQqri5b.net まだEOLになってないのか しぶといな
497 :は :2017/06/15(木) 21:53:32.83 ID:???.net >>495 よろしくもあり、よろしくなくもある
498 :anonymous@fusianasan :2017/12/28(木) 08:49:34.32 ID:qH5jGHED.net 誰でも簡単にネットで稼げる方法など 参考までに、 ⇒ 『加藤のセセエイウノノ』 というサイトで見ることができるらしいです。 グーグル検索⇒『加藤のセセエイウノノ』 K4OI9NUL78
499 :anonymous@fusianasan :2017/12/30(土) 11:13:30.47 ID:???.net 中古ssg5を買ってget systemしたら、OSのファイル名がscreen_osなんとかになってました。 以前はssg5ssg20.6.3r10.0みたいな名前だったのですけど、これは正しいのでしょうか? ちなみにリビジョンの部分は6.3.0r23.0って出てます。 間違ったファームウェアが入っているので無ければ良いのですが。
500 :anoymous :2017/12/30(土) 11:20:23.88 ID:???.net tftp するファイル名を変更したんじゃね?しらんけど。
501 :anonymous@fusianasan :2017/12/31(日) 00:43:02.73 ID:???.net >>500 レストン 動作も妙なので、いまいち釈然としません。 別のssg5で動作しているconfigを流し込んでもweb guiでアクセスできないと言うか、firefoxがssg5のHTTPSレスポンスを信用できないと弾くので困ってます。
502 :anonymous :2017/12/31(日) 19:05:46.45 ID:09SlVAB5.net >>501 最近のブラウザでSSGに管理アクセスするときに SelfSignedの証明書とはまた別に、暗号化スイートだかが古くて弾かれてるだけだった気がするけど
503 :anonymous@fusianasan :2017/12/31(日) 21:04:27.56 ID:???.net レストン。マジですか。ガッカリですね。 帰省前にfirefoxのエラーメッセージでググったけど、juniperのフォーラムではそのものズバリって内容がヒットしなかったです。 ちなみにedgeで試したのですがfirefox同様の理由でアクセスを跳ねられてました。edgeを使って管理したことは無いのですが。
504 :anonymous :2017/12/31(日) 23:30:43.63 ID:???.net Cannot communicate securely with peer: no common encryption algorithm(s). エラーコード: SSL_ERROR_NO_CYPHER_OVERLAP Firefoxのこのエラーメッセージなら フォーラムに回答あったのでSSG5 GTで検証やってみて通ったけど https://forums.juniper.net/t5/ScreenOS-Firewalls-NOT-SRX/ssl-error-no-cypher-overlap-when-trying-acess-to-SSG5/td-p/300865
505 :anonymous@fusianasan :2018/01/03(水) 07:10:06.06 ID:???.net 私が道民の家でお茶をご馳走になったときのこと その家の42歳の息子がむずかりだした。 母親がその子を椅子の上に立たせてパンツを降ろし 牛乳の空きパックを男性器にあてがうと小便をした。 しかもあろうことか空きパックに入ったものをキッチン の流しに捨てたのです。 その慣れた様子からも日常的にしているのでしょう。
506 :anonymous@fusianasan :2018/01/28(日) 22:03:06.37 ID:???.net SSG後継機にSRX300を検討中なんだが、誰かLTE使ってる人いる?
507 :anonymous@fusianasan :2018/02/22(木) 19:56:12.90 ID:???.net ☆ 日本の、改憲を行いましょう。現在、衆議員と参議院の 両院で、改憲議員が3分の2を超えております。 『憲法改正国民投票法』、でググってみてください。国会の発議は すでに可能です。平和は勝ち取るものです。お願い致します。☆☆
508 :anonymous :2018/03/04(日) 11:33:59.76 ID:???.net >>506 FWでLTEって使う場面ある?
509 :anonymous@fusianasan :2018/05/21(月) 18:25:16.65 ID:WI69FONG.net ユニークで個性的な嘘みたいに金の生る木を作れる方法 興味がある人はどうぞ グーグルで検索するといいかも『ネットで稼ぐ方法 モニアレフヌノ』 UXZSI
510 :anonymous@fusianasan :2018/10/19(金) 17:53:14.52 ID:???.net 私たち日本人の、日本国憲法を改正しましょう。 総ム省の、『憲法改正國民投票法』、でググって みてください。拡散も含め、お願い致します。
511 :anonymous@fusianasan :2018/10/19(金) 21:45:02.58 ID:???.net マルチポストうぜぇ。 そんなことやると逆効果だと思うけどね。 消費税の増税を強行するという愚行に及んでる政権だから憲法改正なんて無理だよ。
512 :anonymous :2018/11/25(日) 17:12:25.85 ID:???.net ScreenOSもいよいよ終わりかあ。
513 :anonymous@fusianasan :2021/01/13(水) 04:06:50.27 ID:???.net https://i.imgur.com/v3REQbj.jpg
140 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★
本文 スレッドタイトル 投稿者