■ このスレッドは過去ログ倉庫に格納されています
Netscreenユーザスレ r4.0
- 1 :ScreenOS:2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net
- 無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。
http://www.juniper.net/jp/jp/products-services/security/
その他代理店はggrks
過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/
Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/
Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/
- 184 :anonymous:2012/04/17(火) 23:01:07.37 ID:???.net
- >>183
マニュアル第一章のパケットフローシーケンス嫁
- 185 :183:2012/04/18(水) 10:32:11.05 ID:???.net
- >>184
レスありがd
マニュアル記述を見ると、ポリシー検索前にMIP/VIP処理を行いアドレス変換を
行う、ような動作になります。
ポートマッピングもVIP処理におけるアドレスマッピングと同時に行われるとすると
「VIPに対する10022を許可」は意味がないように思えます。
⇒ただ調べたところ既設のNetScreenでは10022をポリシーで指定しているものもありました。
ポリシーの宛先IPにはVIPアドレスを指定することから、ポリシー検索時にVIP設定
を参照していることは間違いないと思うのですが、パケットフローシーケンスの記述
からは読み取れず。
Untrust⇒GlobalでVIP/Virtual Portでポリシー検索
Global⇒Trustで実IP/Serviceでポリシー検索
とかだったら分かるのですが、読解力が足りない?
- 186 :g:2012/04/18(水) 19:36:46.23 ID:???.net
- なにこだわってんのかよくわかんねーけど、ポリシー2つ書いてログして並び替えてみればだいたいわかるんじゃね?
- 187 :184:2012/04/19(木) 06:06:37.02 ID:???.net
- >>185
時間ないからすぐ試せんけど、>>186のが簡易検証として手っ取り早いと思われ
get log policy [id] か get log traffic policy [id] で
ポリシーにマッチしてるか分かるから、それで調べてみては
こだわるなら get dbuf stream でキャプチャ(負荷に注意)
mipのポリシーとかも、juniperが推奨しない書き方でも通ったりするから、
度重なるバージョンアップの中の仕様変更で生まれた
シンタックスシュガーみたいなもんだと自分は適当に思ってるよ
- 188 :anonymous:2012/04/20(金) 22:43:56.32 ID:???.net
- SRXとNS-5GTで1年以上IPSEC VPN貼ってるけど、まったく問題ない。
GUIはクソだが、CLIはScreenOSより気に入ってる>Junos
- 189 :183:2012/04/23(月) 12:59:08.89 ID:???.net
- >>186 >>187
ありがdd というかレス遅くなり申し訳ない
手元に実機がなかったので、自社内で利用しているNetScreen&設定変更しても
ユーザ影響のないやつを探して試してみました
※トラフィックキャプチャまではできなかった
機器:NS-5GT
OS:5.3.0r5.0(古い・・)
Untrust to Trust
@Any→VIP 22 log
AAny→VIP 10022 log
並び替えても何してもAの方にしかログが吐き出されないという結果になりました
バージョン古いからか、マニュアルの間違いなのか、というところ
とりあえず結果報告&改めてレスに感謝いたしまする
&ごちゃごちゃと長文ばかりで失礼すますた
- 190 :ns:2012/04/28(土) 09:48:55.73 ID:???.net
- 5gt key
extended_key : 2ApwPcCBUBUpp7ITb2S5EKeHsOrnt4of2oeRKHR8aCXXukkAfJ
S4PjdXQSM5mrLqY+6ePgE0qsAaY25E6MkpEaDZpaok3zUk2SuB
HxV/
fe3Kh+bDgYqH39xlOfUpLSwXGlxgZrf1P8BZW0zKlQ7CnfmB2i
55ByT0jgVKW9MfcYbotfqYN/
4wOTvO2XTYpqCskqvMb8amVOLqw034WuOlX9SePr5bEy9MDtrQ
bqRzExV2f8VuWne1StXeVIUEMwkYBhZyeQ/lLNy0QPw6oLj/
x4LbBeP4azefPD5aUIUo1/
lKQseKywhwDwokSonFWB2TlziefS12847KPQS4ksbcZ5g==
つかえる?
- 191 :ns:2012/04/28(土) 09:56:50.17 ID:???.net
- di_db_key : 2FmTnDreN8cpOQHNyaIkbzfBeGdlxOExYDFu2s93yojZeaTGXW
cNFvt28egOOWE4dzthWnLyRsqM+5UPI/
BJSMdIvhQkHSmJJ5kou/pkRtmNykiAzD2jyIGbU/
IJ4rk6CGFGdZlM8jYQaZlcXTSAj9jgor8AUyrcAgSCo7iEr+WK
sJkOvU1id2vUq7s2dbQbLmtWh45wSbIoUQBMB/
D95dES0PqTs939YDXhMW7OCMJg9CN0QGmKVEoKdLvi6fMStAEA
GdElgwYZ+goGMIGykctjijTVjWekoeyMRVP9Zei3BLJpC3AcnL
9H+tfrWaszRLTh6zXBUaHcwSF7qFftWxA==
expire date: 2006/4/25
av_key : 2S5373Hktp+gD90W8QEIOXghTjs4XRprrRoEA6NO7AhQPycp9P
5LB57RDUU7X+aQBxHUDc4269h1dPddqo3CCvi/F3PNKxHOb/
8M/nAYlYKRC8iexNc4+vwSErCDxX8Ltec/
USIRQfzRO7xpp1efhq2TO9a8wq9xaJA/
GBx4087Np5y+mJg0LnbhsloxXTioQqgkVPNAdtlnVdUf1JhJCF
+MtyAbBlzDgFbFgF5sNlvjoylvSp1dbstUHiEAmfe0NsD4NuRy
w07Z+qayuxu8EjkJqKDRV9x51Lq37jcTG6GKQkkiIguQ+sGnfr
m+UW8Jfl8/18+BuQphEF+tR58+c0g==
expire date: 2006/4/25
extended_key : 2L6npbqeIrxNNwg4vXF2vu3j1M4MzU06TQsna2vPF8V9fLh+TS
9zeEbq4yBYLi/
7WWQ5KoHQhCk7amsIa8QFVlb+1MCXDeuhlaejozFq1dFxdQa7G
9/
eZQoFSFUSIlkQZXlTH6DHXRdw89Poy0z+R2EdYGX74ge5E3IQg
qwGOPp3fiCj3naPtmTmAZ5+RNtqyXRPpN6ldvxL5/LsxjT1X/
6Jw2ErnORVBepTSsIW0OcQg0zasCdft+Du/u/
zC6qCxUjMbeHJ16mOxLZ7LasawBtYFbT0B38GZQkLYi/
O9acCp7qWIhCRimvdzRSuLTwrYazJTrYlZ09Ss+qjQnSD/
nw==
- 192 :anonymous:2012/04/28(土) 11:12:32.69 ID:???.net
- >>190
試してないけど、こう言うのってシリアルナンバー依存なんじゃないの?
- 193 :anonymous@NWTfb-16p3-30.ppp11.odn.ad.jp:2012/04/28(土) 11:58:27.79 ID:???.net
- expiredateみて。
- 194 :anonymous@vpn.commuture.net:2012/05/01(火) 21:26:40.02 ID:???.net
- >>192
その通りやね
- 195 :anonymous@191.23.30.125.dy.iij4u.or.jp:2012/05/02(水) 10:27:40.08 ID:TyH99KiZ.net
- 5GT 5.4.0 r6.0
WebUIも、sshもだんだん繋がらなくなる現象。
調べたら、
unset zone Work screen limit-session source-ip-based
unset zone Work screen limit-session destination-ip-based
で調子がよくなる、って話を見つけたんだけど、
これやっても繋がらなくなる。
WebUIが死ぬのは仕方ないとしてもsshまで死んでまうのがなんだかなぁ。
ほかに対応ってあるんでしょうか。
コアな人教えて
ちなみに設定でscreen はすべてOFF
調子悪いので、Toggle Menuすら開かない。
- 196 :anonymous:2012/05/02(水) 12:35:46.41 ID:???.net
- とりあえずリビジョンかバージョン上げてみるとか。
もうハードが壊れてるんじゃないのとか。
5GTならver6も入るよ。
- 197 :anonymous@154.16.30.125.dy.iij4u.or.jp:2012/05/02(水) 16:22:00.21 ID:???.net
- >>196
レスありがと。
2台あるんだけど、2台ともってことでHWエラーとは思いたくないかなぁ。
ScreenOSは検討してみるだ。
- 198 : 忍法帖【Lv=40,xxxPT】 :2012/05/03(木) 11:07:25.68 ID:???.net
- 5.4で管理系のセッションが残ってしまうっていう不具合あったはず。
- 199 :anonymous:2012/05/03(木) 11:35:34.09 ID:???.net
- >>195
コンフィグや構成見てないから分からんけど、リリースノートくらい見とけ
ttp://www.juniper.net/techpubs/software/screenos/screenos5.4.0/rn_540r10.pdf
移行するなら6系のも見とけよ
- 200 :anonymous@154.16.30.125.dy.iij4u.or.jp:2012/05/03(木) 11:41:33.16 ID:???.net
- >>198
それは、
clear session all
でクリアすればよい話デスか?
- 201 :anonymous@155.19.30.125.dy.iij4u.or.jp:2012/05/03(木) 12:58:19.19 ID:???.net
- >>199
らじゃ
- 202 :anonymous:2012/05/03(木) 13:09:40.13 ID:???.net
- ぜんぜん関係ないけど、
5GTはものすごくヒットしたんだろうけどSSGは空振りだった?ような。
億での出品数だが、SSGは皆無だもんなぁ。
5XTや5GTは結構あるのに。
- 203 :anonymous:2012/05/03(木) 13:53:33.84 ID:???.net
- そりゃSSGはまだ現行商品でサポート対象機種なんだからオークションなんかに出るわけないだろ
- 204 :anonymous:2012/05/03(木) 16:39:36.03 ID:???.net
- >>203
XTやGTは、出てたよ
- 205 :anonymous:2012/05/03(木) 20:28:05.21 ID:???.net
- SSGはまだまだ企業で現役でつかえるからでしょ。
- 206 :anonymous:2012/05/04(金) 06:27:44.36 ID:???.net
- んなこた、ない。
5GTですら、SSGが出ていない頃も結構出品されてたよ。
企業がそろいもそろってきちんとサポート切れるまで使うわけないじゃん
- 207 :anonymous:2012/05/04(金) 10:55:40.06 ID:???.net
- そりゃリストラで支店統廃合が進んでた時期なら不要になる機器は多かったろ。
- 208 :anonymous:2012/05/04(金) 12:19:37.98 ID:???.net
- 企業だとリース契約が多いから、4,5年で入れ替えでしょ。
で、リースアップ品がottoとかに流れてくる。
- 209 :anonymous:2012/05/04(金) 12:35:22.24 ID:???.net
- 最近はリプレースしないで再リースで使い続けるパターンが増えてるんだわ
- 210 :anonymous:2012/05/04(金) 13:17:53.69 ID:???.net
- CiscoもCheckPointも使いづらいから、SSGばっかり入れてるわ。
- 211 :anonymous:2012/05/04(金) 13:20:31.65 ID:???.net
- >>209
それは、大嘘
買取のシェアがわからんけど、
再リース契約の割合はここ10年で極端に落ちてる
オフバランス処理している企業は絶対に買い取らないし。
- 212 :anonymous:2012/05/09(水) 14:55:58.74 ID:???.net
- 理由があるかどうかわからんけど、SSGは本当に出回らないね。
XTやGTの時は現役だろうが、そうでなかろうが、ある程度の玉は出てたのにね。
- 213 :anonymous:2012/05/09(水) 16:42:17.25 ID:???.net
- SSGあんまり売れてないんじゃね?
- 214 :anonymous:2012/05/11(金) 07:58:18.43 ID:???.net
- まあ、XTやGTの頃に比べればライバルメーカの機種も良いのが出てきてるからな。
- 215 :anonymous@NWTfb-17p1-74.ppp11.odn.ad.jp:2012/05/11(金) 22:28:07.38 ID:???.net
- ジュニパーになって腐ったんだよ
- 216 :anonymous:2012/05/18(金) 17:31:53.56 ID:???.net
- ここはSRX化前に逃げとかないといけないからな
- 217 :anonymous:2012/05/26(土) 00:37:37.93 ID:???.net
- レスの少なさからも見て取れる状況だよねぇ
ジュニパがんばれというか、
たそがれてんじゃねぇ?というか
売れてるみたいなレスもあるみたいだけど
どう見ても工作員。
ターゲットユーザを考えるに、
そこそこ売れてたらものすごくレスが多いスレになるはずだもんねぇ
- 218 :anonymous:2012/05/26(土) 23:43:46.41 ID:???.net
- 同じ機種にリプレースするのはってお客さんが多い
- 219 :anonymous:2012/05/28(月) 08:06:15.68 ID:???.net
- VIPのmulti-port って、
1つのserviceがマルチになるんじゃなくて、
VIP自体が複数ポートを扱えるようになるんだね。
知らなかった世。
- 220 :anonymous:2012/06/02(土) 12:09:58.69 ID:???.net
- SSG5でNAT越しにAD認証(ケルベロス認証)できなくて困ってます。
本番環境なんで簡単に設定変更できないのだけど、
解決できる方法はありますか?
ALGのMSRPCを有効にすればいけますかね?
- 221 :anonymous:2012/06/02(土) 12:23:38.53 ID:???.net
- >>220
時間がズレテルとかそんな問題なんじゃね?
ALGにする理由がわかんねぇ
- 222 :220:2012/06/02(土) 23:04:58.68 ID:???.net
- >>221
ttp://support.microsoft.com/kb/172227/ja
これが問題で通信が通らないのですが、SSGで
サポートされてますか?
- 223 :anonymous:2012/06/03(日) 04:18:13.50 ID:???.net
- >>222
SSGはしらん。
どちらかというと、こっちじゃね?
http://support.microsoft.com/kb/318071/ja
- 224 : 忍法帖【Lv=40,xxxPT】 :2012/06/03(日) 11:18:53.50 ID:???.net
- >>220
ある程度切り分けしてもらわないと、わかんないよ。
@ADへはSSGから認証飛んでるの?
ASSGにADからの戻りパケットが届いてる?
- 225 :anonymous:2012/06/03(日) 21:19:59.88 ID:???.net
- そもそも、だが、
MS-Kerberosは、Unixをターゲットにしてるから、NBTを通す必要がない「はず」
通す必要がある場合は、DCがNTの場合に限る「はず」
なのでalgは関係ない「はず」
- 226 :anonymous:2012/06/15(金) 14:10:07.37 ID:???.net
- 5GTで IPv6を通すには?
- 227 : 忍法帖【Lv=40,xxxPT】 :2012/06/16(土) 08:46:52.49 ID:???.net
- 出来ないと言いたいとこだけど、下記コンソール叩いて再起動すればv6走ると思う。
set envar ipv6=yes
- 228 :anonymous:2012/06/16(土) 14:05:10.07 ID:???.net
- >>227
だんけ
- 229 :anonymous:2012/07/03(火) 11:08:01.11 ID:???.net
- 復活?
- 230 :anonymous:2012/07/04(水) 13:50:48.65 ID:???.net
- engawa不安定だのう
- 231 :anonymous:2012/07/11(水) 12:39:23.90 ID:???.net
- うちは来春にSSG入れる予定だよ
- 232 :anonymous:2012/07/13(金) 01:07:54.68 ID:???.net
- ScreenOS6.4が出ない今、SSGという選択肢は企業にとって正解なのかね?
そのうちEoL発表されそう
Juniper的にはさっさとSRXに行きたいんだろうけど、Junosが糞すぎるから仕方なくScreenOSサポートしてる感があるね
- 233 :anonymous:2012/07/13(金) 01:59:50.97 ID:???.net
- 素人くさい意見ですまんが
SRXのconfigは縦長すぎて嫌になる。
- 234 :anonymous@NWTfb-16p4-171.ppp11.odn.ad.jp:2012/07/14(土) 00:07:54.91 ID:???.net
- srxをEoLにすべき。スクリーンOSどこかパクらないかな。
- 235 :anonymous:2012/07/14(土) 05:26:52.72 ID:???.net
- ネットスクリーン導入してる会社がみんな悩んでるところだろ>SRX化
SRXにつきあうのか、それとも他社にいくのか、って感じで
- 236 :anonymous:2012/07/17(火) 14:32:29.10 ID:???.net
- テクノバンとかいう会社がssgのeolを発表してた気がする。
2016/06あたりだったような
- 237 :anonymous:2012/07/17(火) 15:02:22.40 ID:???.net
- EOL発表から5年間は保守やるんだろ?
- 238 :a:2012/07/17(火) 23:57:26.58 ID:???.net
- >>236
srcをplz!
- 239 :anonymous:2012/07/26(木) 10:37:13.72 ID:???.net
- サポート終了情報 ? ジェイズ・コミュニケーション株式会社
http://jscom.jp/support/products/juniper/screenos/eol
こことNOXによると2015/12/31にEOLだそうで
- 240 :anonymous:2012/07/26(木) 13:12:52.26 ID:???.net
- そこに掲載されているのは、あくまで現在リリースされているソフトウェアのEoLでしょ。
SSG自体がEoLになるかは別の話。
- 241 :anonymous:2012/08/18(土) 05:38:00.58 ID:???.net
-
- 242 :anonymous:2012/08/23(木) 22:18:37.21 ID:Zauecf7T.net
- たのむからSRXをさっさとディスコンにして
ScreenOSに一本化してくれ
- 243 :anoymous:2012/08/29(水) 00:42:33.24 ID:???.net
- Netscreenいいね!(今更
- 244 :anonymous:2012/08/29(水) 03:05:14.51 ID:???.net
- >>239
*2……技術サポート終了 / すべてのサポート終了のいずれか、もしくは両方が延長されています
延長した結果がその日付だから
どうせまた延長されるだけ
ちなみにFW/UTMとしての出荷比率は依然としてSSG 8:SRX 2だってさ
この状況じゃビジネス的に考えてもSSGを打ち切れる訳がない
せめて4:6くらいでも逆転しないと
- 245 :a:2012/08/29(水) 20:04:41.26 ID:???.net
- >>244
逆転は無理。guiが死んでるsrxはssgに慣れ親しんだユーザーにとって苦痛以外の何物でもない。
- 246 :anoymous:2012/08/29(水) 21:51:51.17 ID:???.net
- なんでSSGやめたいのかね
- 247 :anonymous:2012/08/29(水) 23:01:56.20 ID:???.net
- Juniperに限った話じゃないけど買収した製品は
前の企業名や商品名を排除しようという動きは外資じゃ一般的だと思う。
NetscreenはSSGという名称に変えることはできたけど
ScreenOSを無くす目的でJunOSに移行したいという思いがあるのでしょう
- 248 :anoymous:2012/08/31(金) 03:01:02.24 ID:???.net
- 売れるもんをつくってりゃいいのにな
- 249 :anonymous@i220-108-110-60.s02.a014.ap.plala.or.jp:2012/09/04(火) 03:07:17.09 ID:MEEioEpt.net
- set flow tcp-syn-check strict は入れといた方が良いのですか?
- 250 :anonymous:2012/09/10(月) 20:32:15.81 ID:???.net
- NetScreen204使ってます
TrustにあるサーバーをMIPを使って公開しようとしています。
UnTrust,Trustがあるネットワークで、UnTrustにMIP(Trust内のIP)を設定し、
ポリシー側でもUnTrust→Trustで該当通信を許可しました。
UnTrust側からその通信を試すと意図通りに動作します。
が、Trust内からMIPを設定したIPへ接続しようとしても繋がりません。
要はTrustからUnTrust側のアドレス叩く→NSが折り返す→Trustという動作を
してほしいのですがそうはなりません。
これを解決する方法はあるのでしょうか?
宜しくお願いします。
- 251 :anynomous:2012/09/10(月) 21:05:30.61 ID:???.net
- TCP 3way handshakeにおける各パケットの経路を考えたらわかることじゃない?
あとは当たり前のことながら異なるゾーン間の通信はルールが必要
- 252 :250:2012/09/11(火) 11:56:16.37 ID:???.net
- すみません。。。
FortiGateとかYAMAHAとかだとこんな感じで動いてくれるんですが
実際のところポリシーで止まってるわけではなくてマッピングが独立してしまってるようです
内部から公開サーバーにアクセスするにはMIPの設定を2重でしないといけないんですかね?
- 253 :anonymous:2012/09/11(火) 14:25:13.75 ID:???.net
- globalゾーン当てでいいような
- 254 :anon:2012/09/12(水) 01:05:39.73 ID:???.net
- >>252
いや、それでアクセス出来るよ
どこかに落ち度があるはず
- 255 :anonymous:2012/09/12(水) 09:41:31.01 ID:???.net
- グローバルIPアドレスをセカンダリIPに設定しちゃってるとか
- 256 :250:2012/09/12(水) 11:08:48.14 ID:???.net
- すみません落ち度ありましたorz
じつはDMZに該当のグローバルIPのネットワークを振ってしまっているので、
UnTrust→TrustのときはUnTrustに設定したMIPが効くのですが
Trustからの場合Trust→UnTrust→Trustとなってほしいところが
ルーティングテーブルでTrust→DMZと判断されてMIPが効いてない
感じっぽいです。
なんとかPBRとかソースベースルーティングあたりを使っていけないかと
思っているところです。
もうちょっと考えてみます。
すみませんでした。ありがとうございます。
- 257 :anonymous:2012/09/12(水) 12:21:48.04 ID:???.net
- MIPに使用するグローバルIPアドレス(/32)をUntrustにルーティングすれ
- 258 :250:2012/09/12(水) 18:34:40.73 ID:???.net
- >>257
!!
完璧です。それで行けました!
ありがとうございます!
- 259 :anonymous:2012/09/14(金) 09:13:16.50 ID:???.net
-
- 260 :anonymous@58x80x124x76.ap58.ftth.ucom.ne.jp:2012/09/20(木) 16:20:51.71 ID:4uupibff.net
- わかる人がいましたら教えて下さい
オフィスがSSG140で、VPNクライアントがWin7 + NCPの構成でVPN接続させようとすると
以下のメッセージがクライアントで表示され、接続ができません。
「VPN error VPN gateway not responding[waiting for Msg2]
他にわかっていることは
・数十人いるなかでこの状態となっているのは一人のみ
・NCPを起動したときから上記メッセージが表示されている
・クライアント側ではevo 3dのテザリングを使用していて、
evoから払い出されるIPが、VPN接続先と競合している
・テザリング中のクライアントはgoogleなどインターネット閲覧は可能
・その人は自宅からも接続できない
(自宅LANのプライベートIPは未調査)
・SSG側ではエラーログなどがまったくない
接続できないのはIP競合が原因だと思っていますが、
その他にも何か知っている事があれば教えて頂けると・・・
- 261 :anonymous:2012/09/23(日) 01:04:01.69 ID:???.net
- エラーメッセージからするとSSG140からの応答がありませんってことだし
単純に到達していないと考えるべきだろうね。
要はクライアント側の問題
>・クライアント側ではevo 3dのテザリングを使用していて、
>evoから払い出されるIPが、VPN接続先と競合している
これが理解不能だったんだけど
evo 3d <-> クライアント間はプライベートIPネットワークでいいのかな?
SSG140 <-> internet <-> evo 3dでしょ?
普通SSG140はグローバルIPアドレスだろうし、競合するわけがないと思ってるんだけど
構成で何か認識違いがある?
私なら別回線(可能であれば他端末でつながることを確認できるもの)から
その端末を使ってつながるかどうか見るかな。
それでつながるならクライアント側のネットワークの問題って切り分けできるだろうし
- 262 :anon:2012/09/23(日) 12:13:12.60 ID:???.net
- 的外れかもしれないけど、Windos7は対応していないという話かも?
うちの環境ではWin7使えませんと案内してた気がする
>・数十人いるなかでこの状態となっているのは一人のみ
ということで他はWindows7で問題なく接続できてるのならごめん
- 263 :260:2012/09/25(火) 01:00:11.80 ID:???.net
- 260です。レスありがとうございます。
>>261
>SSG140 <-> internet <-> evo 3dでしょ?
社内192.168.1.0 <-> SSG140 <-> Internet <-> evo3G <-> テザリング192.168.1.0 という構成で、
プライベートネットワークが競合しているという意味です。
>可能であれば他端末でつながることを確認できるもの
そうですね。切り分けのためにも正常に繋がるデータカード的な物とかを使ってみてもらいます。
あとこの人、元々つながっていたのに急に繋がらなくなったという事だったので、原因とかもうすこし掘り下げてみます。
>>262
>Windows7は対応していないという話かも?
NCPセキュアクライアントというのがVPNクライアントなのですが、win7用でライセンス購入もしてるものなんですよね・・・
他の人のWin7では正常に通信できることを確認しているので、WIN7が悪いわけではなさそうなのですが・・・という感じです。
- 264 :anonymous@y098055.dynamic.ppp.asahi-net.or.jp:2012/10/03(水) 22:24:23.99 ID:CSo58K2b.net
- どうにも先に進めなくなってしまった為、教えてください。
SRX100(JUNOS 11.4R3.7)
論理IFを複数作りたいのですが、Taggingを有効にしないと作成が出来ません。
これってTagging使わずに他の回避方法で作成することはできませんか?
やりたい事としては、論理インターフェースでそれぞれにグローバルIPを持たせてVPNを張りたいと思っています。
タグVLANはWAN側の都合で使えません。
- 265 :anonymous:2012/10/03(水) 22:58:15.24 ID:???.net
- ルーティングポートが同じネットワークセグメントに複数あるってことに
なるから、異なる論理インタフェースが同じネットワークセグメントに
属するってのはムリなんじゃないかと。
同じ論理インタフェースに同一セグメントのIPを複数アサインすることは出来る。
ただその場合、security ike gateway内のexternal-interface で
その論理インタフェースを指定した場合に、どのIPアドレスから
IPSecパケットが出力されるかとか、
gateway毎にそのIPを指定できるのかは判らない。
- 266 :264:2012/10/06(土) 11:45:59.48 ID:f1wh/IXF.net
- >>265
レス遅くてすみません。
同一セグメントはチェックではじかれました。
追加IPアサインも、ご指摘の通りexternal-interfaceが
1つ目のIPで出て行っているみたいで、これもまたXでした。
コマンドからみてみたものの、gatewayの部分はソースIPを決め打ち出来るのもなさそうですね。。
- 267 :anonymous:2012/11/07(水) 11:30:26.53 ID:???.net
- UnTrustにグローバルIP(クラスC)、TrustにローカルIPでホストがぶら下がっている構成です。
外部にサーバーを公開するのにnetscreenでMIPをやろうとしているのですが、
MIPに名前をつけられなくて困ってるのですがどうしようもないんでしょうか…。
数百個あるMIPのポリシーをIPアドレスだけで管理するのはしんどいです。
何かいい方法ありますでしょうか?
- 268 :anonymous:2012/11/07(水) 18:49:23.32 ID:???.net
- ないんじゃね?
- 269 :anoymous:2012/11/07(水) 19:32:25.19 ID:???.net
- 台帳作って頑張れ
- 270 :anonymous:2012/11/07(水) 20:07:29.26 ID:???.net
- Policy based NATについて教えて下さい。
NetScreen25 5.4.0r13.0 で、外部にサーバを公開するのにInterface NATで
VIPを使ってます。グローバルアドレスは1個のみ。
公開するポート数が増えて来て、VIPに設定出来る上限に達したので、
Policy based NATに変更しようとしていますが、外部からの通信が出来なく
なりました。
設定は
ethernet1 Trust route
ethernet3 Untrust route
AddressListのTrustに、公開したマシンhogehogeのIPを登録
ServicesのCustomに、開けたいポート45000をfooで登録
VIPの設定を全て消して、ポリシーを
set policy id 100 from "Trust" to "Untrust" "Any" "Any" "ANY" nat src permit
set policy id 100
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" permit
set policy id 200
id 100の設定で、内→外への通信は問題なし。外→内がNGでログを取ってみてもログにすら
乗らない状態です。
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip xxx.xxx.xxx.xxx port 45000 permit
set policy id 2
としてみましたが、これも上手く行かず。Policy based NATは単にルール書く
だけだと思ってたのですが、何か足りないでしょうか?
- 271 :anonymous:2012/11/07(水) 20:27:27.95 ID:???.net
- set vip multi-port
- 272 :270:2012/11/07(水) 22:51:32.30 ID:???.net
- レスありがとうございます。
vip multi-portはVIPで運用していた時に設定したのがそのまま残ってました。
試しに消して見ましたが状況変わらずです。
- 273 :anonymous:2012/11/08(木) 07:16:59.23 ID:???.net
- ポリシーベースNATは、嘘ルーティングが必要。
この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
set route x.x.x.x(hogehogeのIP)/32 interface ethernet1
こうすることで、外から入ってきたhogehoge宛のパケットが、
Untrust→Trustのゾーンの対象となって、その結果ポリシーにマッチして
NATされる。
- 274 :267:2012/11/08(木) 16:44:27.14 ID:???.net
- >>268 >>269
そうですよね…
ありがとうございました
- 275 :270:2012/11/08(木) 20:04:08.40 ID:???.net
- >>273
レスありがとうございます。
教えて戴いたようにルーティングの設定してみましたが、状況変わらずでした…。
ちなみに、各アドレスが、
ethernet3 Untrust プロバのグローバルアドレス
ethernet1 Trustが、192.168.0.1
hogehogeが、192.168.0.10
として
>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
との事ですが、hogehogeのIPとTrustのIPが同じネットワークアドレスだと嘘ルート
書いても書かなくても同じですよね?
試しに以下をやって見ましたが駄目でした。
hogehogeを、10.0.0.1
fooは45000で変更なし
set route 10.0.0.1/32 interface ethernet1
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip 192.168.0.10 port 45000 permit
マニュアルのアドレス変換にあるNAT-DST 多対 1 のマッピングの考えで良いと思
うのですが…
- 276 :273:2012/11/08(木) 21:03:37.33 ID:???.net
- すみません、
>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
これは、hogehogeがグローバルIPという理解で書いてました。
具体的に言うと、
・送信元『1.1.1.1』
・送信先『2.2.2.2』←これが自分の持つグローバルIPとして
・プライベートIP『10.10.10.10』←このIPに変換したい
ということをポリシーベースNATで行おうとする場合、2.2.2.2/32
について嘘ルーティングを書いてあげる必要がある・・・・のですが、
これが出来るのって、ルーティング用(インタフェース用)の
グローバルIP以外のグローバルIPでないと出来ないですね。
グローバルIPがひとつだと、やったこと無いけど、
おそらくムリかと・・・ルーティング設定が入らないと思うし、
入ったら、余計に変なことになる気がします。
- 277 :270:2012/11/09(金) 01:30:13.02 ID:???.net
- >>273
ありがとうございます
なるほどそういう事でしたか。
しかしYAMAHAやCiscoでは出来るのにNetScreenで出来ないのは
悔しいなぁ(´・ω・`)
- 278 :anonymous:2012/11/19(月) 11:44:43.26 ID:???.net
- UnTrust : グローバルIP/30
DMZ : グローバルIP/25
Trust : ローカルIP
こんな構成でTrust->UnTrustはポリシーでSrc-NATかけています。
これで現在外に出て行くIPはUnTrustのI/FのIPになるのですが、
これをなんとかDMZのI/FのIPで出て行くようにできないでしょうか。
ちょっと無理な気はしていますが妙案があるようなら教えてください。
よろしくお願いします。
- 279 :anonymous:2012/11/19(月) 12:01:35.74 ID:???.net
- あんなんバードにすりゃ行けなくない?
- 280 :anonymous@i118-21-113-185.s30.a048.ap.plala.or.jp:2012/11/30(金) 11:47:54.56 ID:6DCVTMDM.net
- 教えて下さい。
NetScreen5GT OS5ですが、マルチPPPoEセッションはれないのでしょうか。
具体的にはISPとフレッツ・スクエアの同時接続をしたいです。
- 281 :anonymous:2012/11/30(金) 22:11:50.47 ID:???.net
- 遠い記憶だけど、サブインターフェース2個作ってそれぞれでPPPoE設定するんじゃなかったっけ?
間違ってたらごめんね。
- 282 :280:2012/12/01(土) 14:34:19.41 ID:???.net
- >>281
キーワードでぐぐってみたら、できそうな解説ありました。
めっちゃありがとうございます。
- 283 :anonymous@07002190030746_ea:2012/12/20(木) 11:35:30.77 ID:JlFKukmH.net
- ssg5なんですが
WebUIでポートのduplexって設定できますか?
Interfacesの箇所になかったのでCLIだけですかね?
総レス数 513
140 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200