Netscreenユーザスレ r4.0

1 ：ScreenOS：2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net

無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

2 ：anonymous：2011/03/08(火) 23:11:36.48 ID:???.net

>>1
大義であった！

3 ：anonymous：2011/03/10(木) 15:52:41.09 ID:???.net

気づいたら落ちてたねｗ
たまにはageないとだめだなやっぱ

4 ：anonymous：2011/03/10(木) 21:08:55.36 ID:???.net

そういえば落ちてたな。
すっかり忘れてた。

5 ：anonymous：2011/03/15(火) 13:42:29.32 ID:???.net

5XTを透過モードで使っています
syslogをuntrust側のポートに出す事はできないんでしょうか？
よろしくお願いします

6 ：sage：2011/03/27(日) 14:49:47.55 ID:YvgyiypW.net

netscreen 5xt　5.3 r3 でファームアップをやらかしちゃったんだが、解決方法ないっけ？

7 ：anonymous@172.113.102.121.dy.bbexcite.jp：2011/03/27(日) 15:34:31.25 ID:???.net

>>6
自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。
"TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。

8 ：anonymous：2011/04/07(木) 08:50:15.24 ID:???.net

ちと教えて下さい

x.x.x.1〜x.x.x.4のグローバルアドレスを持っているとして
x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末（192.168.1.0/24）のデフォゲとします。

またこのとき192.168.1.100〜192.168.1.102迄のサーバ三台をそれぞれ
x.x.x.2 → 192.168.1.100
x.x.x.3 → 192.168.1.101
x.x.x.4 → 192.168.1.102
とMIPにします。

このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ
ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの
グローバルIPにしてやれば良いのでしょうか？

9 ：anonymous：2011/04/07(木) 11:18:24.58 ID:???.net

>>8
サーバーごとにTrust to Untrustのポリシーつくって、Advancedの
NAT Source AddressにMIP指定してやってた気がする
違ったらごめんよ

あとローカルセグメントにいるサーバーのデフォルトゲートウェイに
グローバルIP設定したところで、セグメント違うんだから通信できない希ガス

10 ：anonymous：2011/04/07(木) 13:46:36.27 ID:???.net

>>9
レスありがとうございます。

それっぽいところを見たのですが
NATのSource Translation (DIP on)というところぐらいで
None (Use Egress Interface IP) しか選べませんでした。
（MIPを選ぶところはなかったです orz）

機種はNS25でファームウェアは5.4.0r16.0です。

11 ：anonymous@s98.ItokyoFL27.vectant.ne.jp：2011/04/07(木) 13:55:05.49 ID:???.net ?2BP(0)

http://www.viva-netscreen.net/archives/cat_50031540.html
上みてやれば普通にできると思うよ？

12 ：anonymous：2011/04/07(木) 14:15:10.74 ID:???.net

>>11
！！

なんと…。
MIPが設定されたマシンから外へ通信するとソースは
該当するグローバルIPになるんですね！！

最初に試してから質問すれば良かったorz
机上で設計していて、デフォルトルートに通信が行くんだから
絶対にUntrustの口のIPになると思っていました。

お騒がせ致しました…。

13 ：anonymous：2011/04/07(木) 21:37:56.94 ID:???.net

インタフェースモードやDIPの有無によるのでは。
・・・楽しいFWになりそうだな。

14 ：anonymous：2011/04/08(金) 22:31:23.20 ID:???.net

最近5.4系なんか触った記憶ないけど、untrustに入ってくる通信で、
そのインタフェースが持ってないセグメントをmIPにアサインできたっけ？

15 ：anonymous：2011/04/11(月) 15:36:16.14 ID:???.net

今時JuniperのサイトからNetScreen-Remoteもダウンロードできるんだな。
ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。
つってもVistaまででしか使えないけどね…。

結局Windows7の標準IPSecクライアントでNSってつながるの？

16 ：あ：2011/04/24(日) 21:36:13.56 ID:???.net

そんなもん使うな

17 ：anonymous：2011/04/27(水) 11:33:38.00 ID:???.net

>>15です

NetScreenとShrew Soft VPNでVPN接続できました
Windows7 64bitもOK

http://blog.livedoor.jp/nanashisoft/archives/52242485.html
http://kokoro.bf1.jp/blog/archives/1293
とかを参考に試行錯誤。

なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず
仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙

暫くはこの組み合わせで運用しようと思います

18 ：anonymous：2011/04/27(水) 11:42:09.35 ID:???.net

続き

一応Windows標準クライアントとの接続は公式資料がある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536

あとこことかを参考に
http://gyabooo.mydns.jp/blog/?p=9

して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。
クライアント側の詳しいログが見つけられなくてそれ以上追えず。
それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。

ので素直にVPNクライアント使ったほうがいいなぁという結論に…。

というグチでございました。

19 ：ｓ：2011/05/01(日) 11:17:40.25 ID:???.net

shrew softはおいらも使ってるよ
ただ複数同時接続はできてない

20 ：い：2011/05/02(月) 23:57:29.66 ID:???.net

5xtなんだけどメモリー使用率が70%くらいまでいってる
ほかのセッションやCPU使用率は10%くらいなのに・・・

ログとらなきゃいいけどとんないとねぇ・・・・

ポリシー5つくらいすべてログとるようにしてる