Netscreenユーザスレ r4.0

1 ：ScreenOS：2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net

無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

2 ：anonymous：2011/03/08(火) 23:11:36.48 ID:???.net

>>1
大義であった！

3 ：anonymous：2011/03/10(木) 15:52:41.09 ID:???.net

気づいたら落ちてたねｗ
たまにはageないとだめだなやっぱ

4 ：anonymous：2011/03/10(木) 21:08:55.36 ID:???.net

そういえば落ちてたな。
すっかり忘れてた。

5 ：anonymous：2011/03/15(火) 13:42:29.32 ID:???.net

5XTを透過モードで使っています
syslogをuntrust側のポートに出す事はできないんでしょうか？
よろしくお願いします

6 ：sage：2011/03/27(日) 14:49:47.55 ID:YvgyiypW.net

netscreen 5xt　5.3 r3 でファームアップをやらかしちゃったんだが、解決方法ないっけ？

7 ：anonymous@172.113.102.121.dy.bbexcite.jp：2011/03/27(日) 15:34:31.25 ID:???.net

>>6
自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。
"TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。

8 ：anonymous：2011/04/07(木) 08:50:15.24 ID:???.net

ちと教えて下さい

x.x.x.1〜x.x.x.4のグローバルアドレスを持っているとして
x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末（192.168.1.0/24）のデフォゲとします。

またこのとき192.168.1.100〜192.168.1.102迄のサーバ三台をそれぞれ
x.x.x.2 → 192.168.1.100
x.x.x.3 → 192.168.1.101
x.x.x.4 → 192.168.1.102
とMIPにします。

このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ
ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの
グローバルIPにしてやれば良いのでしょうか？

9 ：anonymous：2011/04/07(木) 11:18:24.58 ID:???.net

>>8
サーバーごとにTrust to Untrustのポリシーつくって、Advancedの
NAT Source AddressにMIP指定してやってた気がする
違ったらごめんよ

あとローカルセグメントにいるサーバーのデフォルトゲートウェイに
グローバルIP設定したところで、セグメント違うんだから通信できない希ガス

10 ：anonymous：2011/04/07(木) 13:46:36.27 ID:???.net

>>9
レスありがとうございます。

それっぽいところを見たのですが
NATのSource Translation (DIP on)というところぐらいで
None (Use Egress Interface IP) しか選べませんでした。
（MIPを選ぶところはなかったです orz）

機種はNS25でファームウェアは5.4.0r16.0です。

11 ：anonymous@s98.ItokyoFL27.vectant.ne.jp：2011/04/07(木) 13:55:05.49 ID:???.net ?2BP(0)

http://www.viva-netscreen.net/archives/cat_50031540.html
上みてやれば普通にできると思うよ？

12 ：anonymous：2011/04/07(木) 14:15:10.74 ID:???.net

>>11
！！

なんと…。
MIPが設定されたマシンから外へ通信するとソースは
該当するグローバルIPになるんですね！！

最初に試してから質問すれば良かったorz
机上で設計していて、デフォルトルートに通信が行くんだから
絶対にUntrustの口のIPになると思っていました。

お騒がせ致しました…。

13 ：anonymous：2011/04/07(木) 21:37:56.94 ID:???.net

インタフェースモードやDIPの有無によるのでは。
・・・楽しいFWになりそうだな。

14 ：anonymous：2011/04/08(金) 22:31:23.20 ID:???.net

最近5.4系なんか触った記憶ないけど、untrustに入ってくる通信で、
そのインタフェースが持ってないセグメントをmIPにアサインできたっけ？

15 ：anonymous：2011/04/11(月) 15:36:16.14 ID:???.net

今時JuniperのサイトからNetScreen-Remoteもダウンロードできるんだな。
ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。
つってもVistaまででしか使えないけどね…。

結局Windows7の標準IPSecクライアントでNSってつながるの？

16 ：あ：2011/04/24(日) 21:36:13.56 ID:???.net

そんなもん使うな

17 ：anonymous：2011/04/27(水) 11:33:38.00 ID:???.net

>>15です

NetScreenとShrew Soft VPNでVPN接続できました
Windows7 64bitもOK

http://blog.livedoor.jp/nanashisoft/archives/52242485.html
http://kokoro.bf1.jp/blog/archives/1293
とかを参考に試行錯誤。

なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず
仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙

暫くはこの組み合わせで運用しようと思います

18 ：anonymous：2011/04/27(水) 11:42:09.35 ID:???.net

続き

一応Windows標準クライアントとの接続は公式資料がある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536

あとこことかを参考に
http://gyabooo.mydns.jp/blog/?p=9

して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。
クライアント側の詳しいログが見つけられなくてそれ以上追えず。
それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。

ので素直にVPNクライアント使ったほうがいいなぁという結論に…。

というグチでございました。

19 ：ｓ：2011/05/01(日) 11:17:40.25 ID:???.net

shrew softはおいらも使ってるよ
ただ複数同時接続はできてない

20 ：い：2011/05/02(月) 23:57:29.66 ID:???.net

5xtなんだけどメモリー使用率が70%くらいまでいってる
ほかのセッションやCPU使用率は10%くらいなのに・・・

ログとらなきゃいいけどとんないとねぇ・・・・

ポリシー5つくらいすべてログとるようにしてる

21 ：a：2011/05/05(木) 23:49:51.04 ID:???.net

5GT 500円でｶﾃｷﾀ

22 ：anonymous：2011/05/06(金) 08:18:36.05 ID:???.net

>>21
安いな、おいw

23 ：a：2011/05/06(金) 11:59:12.98 ID:???.net

>>22
ACアダプタなしだったけど、まずまずの掘り出し物でした。
サクッとファームアップしてコンフィグを見ていると↓のような仕様でしたけど、これってextendedです？
Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans
Drp: Enable
Deep Inspection: Disable
Deep Inspection Database Expire Date: Disable
Signature pack: N/A
IDP: Disable
AV: Disable(0)
Anti-Spam: Disable(0)
Url Filtering: Disable

24 ：anonymous@zaq7a66f81d.zaq.ne.jp：2011/05/06(金) 16:30:01.24 ID:???.net

>>23
Sessionが4096でNSRPがLiteなのでExtentedモデル
として認識しているようなので間違いないはずです。

25 ：anonymous：2011/05/06(金) 22:01:28.88 ID:???.net

>>23
無制限ユーザで\500となｗ
いい買い物したねオメ
これにあやかってSSG5でいいから\5kくらいで転がってねーかなー

どうでもいいけど、6.2.0ｒ6でついた念願のtelnetだが、妙に遅くないかい？

26 ：anonymous：2011/05/09(月) 13:19:23.17 ID:???.net

IE9だとWebUIのメニューが出てこないのね

27 ：anonymous：2011/05/19(木) 19:46:29.64 ID:GmYWAy+H.net

SSG140の設定で困ってます
UnTrust,DMZ,Trustの構成です。
DMZはグローバルIPを直接割り当て、NATは行わずそのままルーティングします。
UnTrustは上位ルーターとの通信用セグメントです。UnTrust,DMZのI/FはRouteモードにしています。
更にポリシーでUnTrust→DMZの通信を全許可しています。

この状態でUnTrustの先に繋いだ端末から、DMZのI/F、DMZ内にいるサーバーにpingは通ります。
しかし実際に端末からサーバーにHTTP接続しようとしても接続できません。
DMZ内にいる他の端末からサーバーへはHTTP接続できます。
サーバーにtcpdumpを仕掛けたところ、pingのパケットは来ていますがHTTPのパケットは来ていませんでした。
UnTrust側からDMZ内のサーバーにHTTP接続するにはどうしたらいいのでしょうか…。

ちなみにNetScreen204に同じような設定をしたところ、そちらは意図通りに動きました。
もう私の手には負えません…。アドバイスをお願い致します。

28 ：あのにめあど：2011/05/19(木) 20:14:39.84 ID:???.net

>>27
とりあえず、いくつか確認してちょ。

�@DMZ設置のサーバのFirewall(iptables)設定の確認。
�ASSGのバージョンを教えて。
�BPINGはSSGが代理応答している可能性があるからDMZ〜サーバでICMP飛んでいるか確認。
�CUntrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。
�D逆にDMZからUntrustは通信できるのか確認

�@と�Bに関しては、正常との事だからScreenOSの不具合じゃないかな...と？

29 ：27：2011/05/20(金) 11:35:17.16 ID:???.net

>>28
ご回答ありがとうございます

�@サーバー側のiptablesは特にかかっていませんでした。
�ASSG140 HardwareVersion:1010, FirmwareVersion:6.2.0r8.0
�Bサーバーにtcpdumpを仕込みましたが、間違いなくICMPは出入りしています。HTTPはSYNパケットすら来ません。
�C該当設定でポリシーログをとったところ、ICMPはきちんとTraffic Deniedとしてログに残りましたが、HTTPはログにすら出ませんでした。
�DUntrust→DMZのポリシーを許可すればpingは通りましたが、HTTPはこちらも通らなかったです…。（ポリシーでソースNATかければ通りますが）

うーんやはりバグでしょうか…。
しかし普通に使われそうな構成で今更こんなバグがあるとも思えないわけですが…。
それとも自分のネットワークやSSGの理解が足りないのか。

30 ：27：2011/05/20(金) 12:06:35.63 ID:???.net

ああああああああああああああああああああああああああああ単純ミスだったorz
実験環境で端末とSSGの間に入ってる機器（存在を忘れてた）の設定ミスでパケット止めてました
疑ってごめんよ　＞SSG
大変お騒がせいたしました。

31 ：anon：2011/05/20(金) 16:03:04.55 ID:???.net

ワロタ。
頑張れ！

32 ：anonymous：2011/05/20(金) 17:05:54.83 ID:???.net

SSGの管理画面にVPN経由でログインできないのですが仕様でしょうか
ログイン画面は出るのですが、ID/PWを入力してもまたログイン画面に戻ってしまいます

33 ：あ：2011/05/20(金) 21:19:29.78 ID:???.net

普通にできるよ

34 ：anonymous：2011/05/23(月) 19:08:39.53 ID:???.net

DIPでIPがアクセス毎に変わるのが原因でした

35 ：えｊ：2011/05/24(火) 11:59:55.97 ID:???.net

>>34
固定にすると複数台同時接続できなくね？

36 ：anonymous：2011/05/25(水) 19:38:36.90 ID:???.net

NATだし大丈夫じゃないかな

37 ：ああ：2011/05/28(土) 12:30:53.07 ID:???.net

あたいはできんかった

38 ：anonymous：2011/05/31(火) 20:03:23.11 ID:OE9LW3lb.net

ScreenOS6.1が乗っているSSG5を使っています。
MIPで設定した送信元IPが、untrustインターフェイスのIPにNATされてしまい困っています。
以下に状況を説明します。

プロバイダからグローバルIPとして
xxx.xxx.xxx.96/28
をもらいました。

またプロバイダ・SSG5間のネットワークとして
xxx.xxx.xxx.112/29
を、SSG5のuntrust側I/F用IPとして .113を指定されました。
（プロバイダのGWは .118）

trust側I/FはNATで 192.168.1.0/24 と設定し、
また xxx.xxx.xxx.97 をMIPで 192.168.1.11となるよう、
untrust側のI/F上に設定しました。

192.168.1.11にはウェブサーバとメールサーバを立てて、
untrust -> trust で Any -> MIP(xxx.xxx.xxx.97)
へHTTPとSMTPを許可しました。

また trust -> untrust で 192.168.1.0/24 ->Any
へSMTPも許可しました。

これでインターネット側からは
xxx.xxx.xxx.97
で 192.168.1.11のウェブサーバ・メールサーバへアクセスできることを確認できて喜びました。

39 ：38：2011/05/31(火) 20:05:41.76 ID:OE9LW3lb.net

長くなってしまいましたがここから本題です。
試しに192.168.1.11から自分のプロバメールアドレスへメール送信したところ、
送信自体は成功して無事にメール受信できました。

ただtrust->untrustのSMTPポリシーのログを見ると、
Translated Source Addressとして xxx.xxx.xxx.113 に変換されていました。
untrustのI/Fではなく、MIPしたxxx.xxx.xxx.97 から送信されるように
するにはどうすればいいでしょうか？

MIPで指定している xxx.xxx.xxx.97 はドメインをとっているので、
このままだとそのドメインを騙っているスパムIPアドレスとして
.113がブラックリスト入りしてしまうのではと心配です。

試しに
trust -> untrust のポリシーで MIP(xxx.xxx.xxx.97) -> Any
へSMTP許可してみましたが、送信できずグローバルポリシーでdenyされていました。

けっこう困っています。。。お知恵かしてください。

40 ：名無しさん：2011/06/01(水) 09:02:20.04 ID:???.net

routeモードにして、ポリシー単位でNAT制御すればいいのでは?

41 ：38：2011/06/01(水) 19:46:18.47 ID:FsTLPiFH.net

>>40
ありがとうございます。
trust側I/Fをrouteにしてポリシーログを確認したところ、Translated Sourceが192.168.1.11とプライベートアドレスになっているためそのままClose-Age Outして外部へでることができません。
ポリシーでsrc natするためにDIPとしてx.x.x.97をuntrust側I/Fへ登録しようとしましたが、untrust側のネットワークであるx.x.x.112/29の外なので登録出来ませんでした。
そもそも.97はMIPで使用済みなので、DIPとして二重登録はできないようです。

何か壮大な勘違いしてそうなのでお知恵を貸してください。

42 ：40：2011/06/01(水) 23:00:58.93 ID:???.net

>>38
あらま、アテが外れてごめんなさい。

SourceでNATするのではなく、DestinationでNATしてみたらどうでしょうか。

該当するポリシーの NAT項目にある "Translate to IP"に xxx.xxx.xxx.97 とする事で
アウトバウンドのSrc IPはxxx.xxx.xxx.97になるはず。

43 ：40：2011/06/01(水) 23:11:16.63 ID:???.net

書き込んでから気付いたけど、xxx.xxx.xxx.96/28を貰ってるのに
SSGのUntrust側がxxx.xxx.xxx.112/29ってどういう構成だろうコレ。

44 ：anonymous：2011/06/02(木) 08:29:34.58 ID:???.net

上位ルーター接続で冗長構成にしたりするとルーティング用のセグメントとして/29とか振られるよ
ISP側、自前機器側双方でVRRP構成にするような場合はいっぱい使うしね

45 ：38：2011/06/02(木) 18:36:42.26 ID:???.net

>>42
何度もありがとうございます。ただ通信しようとする先が.97にNATされてしまいダメでした。
自分の整理のためも含めて、環境と問題、それに対してやってみたことをまとめます。
アドバイスいただけると助かります。けっこう焦ってきました。

>>44
おっしゃる通り冗長構成です。すごいですね。

●環境
□untrust側
network:x.x.x.112/29
I/FのIP:x.x.x.113

□trust側
network:192.168.1.0/24
I/FのIP:192.168.1.1
WEB/SMTPサーバhost IP:192.168.1.11

□その他
プロバイダからもらったGlobal IP:x.x.x.96/28

◆問題
設定:
・MIPでx.x.x.97 <-> 192.168.1.11
・Any -> MIPでhttp/smtpをpermitポリシー作成
・192.168.1.11 -> Any でhttp/smtpをpermitポリシー作成
・trustのI/FモードをNAT

結果
inbound,outboundとも疎通OK。
ただしoutbound時のsrc ipがuntrustのI/FのIP(.113)に変換されてしまう。
outboundでx.x.x.97がsrc ipとなるように設定したい。

46 ：38：2011/06/02(木) 18:44:49.56 ID:nSF7sK80.net

■やったこと1
設定
・trustのI/Fモードをroute
・他の設定は同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に変換されてしまい疎通NG。

■やったこと2
設定
・192.168.1.11 -> Anyのポリシーで、destinationをx.x.x.97にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に、
さらにdest ipがx.x.x.97になってしまい疎通NG。

■やったこと3
設定
・MIP削除
・Any -> x.x.x.97でhttp/smtpをpermitポリシー作成
　そのポリシー内でdestinationを192.168.1.11にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通NG
⇒Globalのdenyポリシーログに、疎通の試みが記録されていました
　なぜdenyされるのかわかりません。。。
outboundは相変わらず疎通NG

47 ：anonymous：2011/06/03(金) 14:53:23.02 ID:???.net

あんまちゃんと読んでないけど、要はセグメントの異なるIPで化かせばいいんだろ？

set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97
set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log

DIPで単一のIPレンジ（言葉的に矛盾してるが）をUntrust側I./Fに振ってやれば、
Sourceはご所望の.97のアドレスで出て行く
あとは適切にMIPの設定しろ

48 ：38：2011/06/03(金) 19:23:32.25 ID:kkqYmJmo.net

>>47
ありがとうございます、すごくヒントになりました。

untrust側I/Fのeth0/0はx.x.x.112/29なのでそのままでは.97をDIPできませんでした。
ですのでeth0/0.1というSub I/Fをつくり、そこにx.x.x.96/28を割り当てたうえで、そのI/F上に.97をDIPしました。
ポリシーでtrust->untrustにDIPの.97をsrc natさせたら、おっしゃる通り.97で出ていきました！

ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。
（本文長すぎエラーになったので続きます。。。）

49 ：38：2011/06/03(金) 19:25:49.97 ID:kkqYmJmo.net

（続き）
MIPなしのまま以下のようにポリシー作成しても、
>>46のやったこと３で書いたようにGlobalポリシーでdenyされてしまいます。。。
set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11

つまりoutboundはできるようになりましたが、今度はinboundがダメになりました。
長々とスレ汚しすみません。光が見えてきたのでもう少しつきあっていただけるとうれしいです。