■ このスレッドは過去ログ倉庫に格納されています
Netscreenユーザスレ r4.0
- 1 :ScreenOS:2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net
- 無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。
http://www.juniper.net/jp/jp/products-services/security/
その他代理店はggrks
過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/
Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/
Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/
- 200 :anonymous@154.16.30.125.dy.iij4u.or.jp:2012/05/03(木) 11:41:33.16 ID:???.net
- >>198
それは、
clear session all
でクリアすればよい話デスか?
- 201 :anonymous@155.19.30.125.dy.iij4u.or.jp:2012/05/03(木) 12:58:19.19 ID:???.net
- >>199
らじゃ
- 202 :anonymous:2012/05/03(木) 13:09:40.13 ID:???.net
- ぜんぜん関係ないけど、
5GTはものすごくヒットしたんだろうけどSSGは空振りだった?ような。
億での出品数だが、SSGは皆無だもんなぁ。
5XTや5GTは結構あるのに。
- 203 :anonymous:2012/05/03(木) 13:53:33.84 ID:???.net
- そりゃSSGはまだ現行商品でサポート対象機種なんだからオークションなんかに出るわけないだろ
- 204 :anonymous:2012/05/03(木) 16:39:36.03 ID:???.net
- >>203
XTやGTは、出てたよ
- 205 :anonymous:2012/05/03(木) 20:28:05.21 ID:???.net
- SSGはまだまだ企業で現役でつかえるからでしょ。
- 206 :anonymous:2012/05/04(金) 06:27:44.36 ID:???.net
- んなこた、ない。
5GTですら、SSGが出ていない頃も結構出品されてたよ。
企業がそろいもそろってきちんとサポート切れるまで使うわけないじゃん
- 207 :anonymous:2012/05/04(金) 10:55:40.06 ID:???.net
- そりゃリストラで支店統廃合が進んでた時期なら不要になる機器は多かったろ。
- 208 :anonymous:2012/05/04(金) 12:19:37.98 ID:???.net
- 企業だとリース契約が多いから、4,5年で入れ替えでしょ。
で、リースアップ品がottoとかに流れてくる。
- 209 :anonymous:2012/05/04(金) 12:35:22.24 ID:???.net
- 最近はリプレースしないで再リースで使い続けるパターンが増えてるんだわ
- 210 :anonymous:2012/05/04(金) 13:17:53.69 ID:???.net
- CiscoもCheckPointも使いづらいから、SSGばっかり入れてるわ。
- 211 :anonymous:2012/05/04(金) 13:20:31.65 ID:???.net
- >>209
それは、大嘘
買取のシェアがわからんけど、
再リース契約の割合はここ10年で極端に落ちてる
オフバランス処理している企業は絶対に買い取らないし。
- 212 :anonymous:2012/05/09(水) 14:55:58.74 ID:???.net
- 理由があるかどうかわからんけど、SSGは本当に出回らないね。
XTやGTの時は現役だろうが、そうでなかろうが、ある程度の玉は出てたのにね。
- 213 :anonymous:2012/05/09(水) 16:42:17.25 ID:???.net
- SSGあんまり売れてないんじゃね?
- 214 :anonymous:2012/05/11(金) 07:58:18.43 ID:???.net
- まあ、XTやGTの頃に比べればライバルメーカの機種も良いのが出てきてるからな。
- 215 :anonymous@NWTfb-17p1-74.ppp11.odn.ad.jp:2012/05/11(金) 22:28:07.38 ID:???.net
- ジュニパーになって腐ったんだよ
- 216 :anonymous:2012/05/18(金) 17:31:53.56 ID:???.net
- ここはSRX化前に逃げとかないといけないからな
- 217 :anonymous:2012/05/26(土) 00:37:37.93 ID:???.net
- レスの少なさからも見て取れる状況だよねぇ
ジュニパがんばれというか、
たそがれてんじゃねぇ?というか
売れてるみたいなレスもあるみたいだけど
どう見ても工作員。
ターゲットユーザを考えるに、
そこそこ売れてたらものすごくレスが多いスレになるはずだもんねぇ
- 218 :anonymous:2012/05/26(土) 23:43:46.41 ID:???.net
- 同じ機種にリプレースするのはってお客さんが多い
- 219 :anonymous:2012/05/28(月) 08:06:15.68 ID:???.net
- VIPのmulti-port って、
1つのserviceがマルチになるんじゃなくて、
VIP自体が複数ポートを扱えるようになるんだね。
知らなかった世。
- 220 :anonymous:2012/06/02(土) 12:09:58.69 ID:???.net
- SSG5でNAT越しにAD認証(ケルベロス認証)できなくて困ってます。
本番環境なんで簡単に設定変更できないのだけど、
解決できる方法はありますか?
ALGのMSRPCを有効にすればいけますかね?
- 221 :anonymous:2012/06/02(土) 12:23:38.53 ID:???.net
- >>220
時間がズレテルとかそんな問題なんじゃね?
ALGにする理由がわかんねぇ
- 222 :220:2012/06/02(土) 23:04:58.68 ID:???.net
- >>221
ttp://support.microsoft.com/kb/172227/ja
これが問題で通信が通らないのですが、SSGで
サポートされてますか?
- 223 :anonymous:2012/06/03(日) 04:18:13.50 ID:???.net
- >>222
SSGはしらん。
どちらかというと、こっちじゃね?
http://support.microsoft.com/kb/318071/ja
- 224 : 忍法帖【Lv=40,xxxPT】 :2012/06/03(日) 11:18:53.50 ID:???.net
- >>220
ある程度切り分けしてもらわないと、わかんないよ。
@ADへはSSGから認証飛んでるの?
ASSGにADからの戻りパケットが届いてる?
- 225 :anonymous:2012/06/03(日) 21:19:59.88 ID:???.net
- そもそも、だが、
MS-Kerberosは、Unixをターゲットにしてるから、NBTを通す必要がない「はず」
通す必要がある場合は、DCがNTの場合に限る「はず」
なのでalgは関係ない「はず」
- 226 :anonymous:2012/06/15(金) 14:10:07.37 ID:???.net
- 5GTで IPv6を通すには?
- 227 : 忍法帖【Lv=40,xxxPT】 :2012/06/16(土) 08:46:52.49 ID:???.net
- 出来ないと言いたいとこだけど、下記コンソール叩いて再起動すればv6走ると思う。
set envar ipv6=yes
- 228 :anonymous:2012/06/16(土) 14:05:10.07 ID:???.net
- >>227
だんけ
- 229 :anonymous:2012/07/03(火) 11:08:01.11 ID:???.net
- 復活?
- 230 :anonymous:2012/07/04(水) 13:50:48.65 ID:???.net
- engawa不安定だのう
- 231 :anonymous:2012/07/11(水) 12:39:23.90 ID:???.net
- うちは来春にSSG入れる予定だよ
- 232 :anonymous:2012/07/13(金) 01:07:54.68 ID:???.net
- ScreenOS6.4が出ない今、SSGという選択肢は企業にとって正解なのかね?
そのうちEoL発表されそう
Juniper的にはさっさとSRXに行きたいんだろうけど、Junosが糞すぎるから仕方なくScreenOSサポートしてる感があるね
- 233 :anonymous:2012/07/13(金) 01:59:50.97 ID:???.net
- 素人くさい意見ですまんが
SRXのconfigは縦長すぎて嫌になる。
- 234 :anonymous@NWTfb-16p4-171.ppp11.odn.ad.jp:2012/07/14(土) 00:07:54.91 ID:???.net
- srxをEoLにすべき。スクリーンOSどこかパクらないかな。
- 235 :anonymous:2012/07/14(土) 05:26:52.72 ID:???.net
- ネットスクリーン導入してる会社がみんな悩んでるところだろ>SRX化
SRXにつきあうのか、それとも他社にいくのか、って感じで
- 236 :anonymous:2012/07/17(火) 14:32:29.10 ID:???.net
- テクノバンとかいう会社がssgのeolを発表してた気がする。
2016/06あたりだったような
- 237 :anonymous:2012/07/17(火) 15:02:22.40 ID:???.net
- EOL発表から5年間は保守やるんだろ?
- 238 :a:2012/07/17(火) 23:57:26.58 ID:???.net
- >>236
srcをplz!
- 239 :anonymous:2012/07/26(木) 10:37:13.72 ID:???.net
- サポート終了情報 ? ジェイズ・コミュニケーション株式会社
http://jscom.jp/support/products/juniper/screenos/eol
こことNOXによると2015/12/31にEOLだそうで
- 240 :anonymous:2012/07/26(木) 13:12:52.26 ID:???.net
- そこに掲載されているのは、あくまで現在リリースされているソフトウェアのEoLでしょ。
SSG自体がEoLになるかは別の話。
- 241 :anonymous:2012/08/18(土) 05:38:00.58 ID:???.net
-
- 242 :anonymous:2012/08/23(木) 22:18:37.21 ID:Zauecf7T.net
- たのむからSRXをさっさとディスコンにして
ScreenOSに一本化してくれ
- 243 :anoymous:2012/08/29(水) 00:42:33.24 ID:???.net
- Netscreenいいね!(今更
- 244 :anonymous:2012/08/29(水) 03:05:14.51 ID:???.net
- >>239
*2……技術サポート終了 / すべてのサポート終了のいずれか、もしくは両方が延長されています
延長した結果がその日付だから
どうせまた延長されるだけ
ちなみにFW/UTMとしての出荷比率は依然としてSSG 8:SRX 2だってさ
この状況じゃビジネス的に考えてもSSGを打ち切れる訳がない
せめて4:6くらいでも逆転しないと
- 245 :a:2012/08/29(水) 20:04:41.26 ID:???.net
- >>244
逆転は無理。guiが死んでるsrxはssgに慣れ親しんだユーザーにとって苦痛以外の何物でもない。
- 246 :anoymous:2012/08/29(水) 21:51:51.17 ID:???.net
- なんでSSGやめたいのかね
- 247 :anonymous:2012/08/29(水) 23:01:56.20 ID:???.net
- Juniperに限った話じゃないけど買収した製品は
前の企業名や商品名を排除しようという動きは外資じゃ一般的だと思う。
NetscreenはSSGという名称に変えることはできたけど
ScreenOSを無くす目的でJunOSに移行したいという思いがあるのでしょう
- 248 :anoymous:2012/08/31(金) 03:01:02.24 ID:???.net
- 売れるもんをつくってりゃいいのにな
- 249 :anonymous@i220-108-110-60.s02.a014.ap.plala.or.jp:2012/09/04(火) 03:07:17.09 ID:MEEioEpt.net
- set flow tcp-syn-check strict は入れといた方が良いのですか?
- 250 :anonymous:2012/09/10(月) 20:32:15.81 ID:???.net
- NetScreen204使ってます
TrustにあるサーバーをMIPを使って公開しようとしています。
UnTrust,Trustがあるネットワークで、UnTrustにMIP(Trust内のIP)を設定し、
ポリシー側でもUnTrust→Trustで該当通信を許可しました。
UnTrust側からその通信を試すと意図通りに動作します。
が、Trust内からMIPを設定したIPへ接続しようとしても繋がりません。
要はTrustからUnTrust側のアドレス叩く→NSが折り返す→Trustという動作を
してほしいのですがそうはなりません。
これを解決する方法はあるのでしょうか?
宜しくお願いします。
- 251 :anynomous:2012/09/10(月) 21:05:30.61 ID:???.net
- TCP 3way handshakeにおける各パケットの経路を考えたらわかることじゃない?
あとは当たり前のことながら異なるゾーン間の通信はルールが必要
- 252 :250:2012/09/11(火) 11:56:16.37 ID:???.net
- すみません。。。
FortiGateとかYAMAHAとかだとこんな感じで動いてくれるんですが
実際のところポリシーで止まってるわけではなくてマッピングが独立してしまってるようです
内部から公開サーバーにアクセスするにはMIPの設定を2重でしないといけないんですかね?
- 253 :anonymous:2012/09/11(火) 14:25:13.75 ID:???.net
- globalゾーン当てでいいような
- 254 :anon:2012/09/12(水) 01:05:39.73 ID:???.net
- >>252
いや、それでアクセス出来るよ
どこかに落ち度があるはず
- 255 :anonymous:2012/09/12(水) 09:41:31.01 ID:???.net
- グローバルIPアドレスをセカンダリIPに設定しちゃってるとか
- 256 :250:2012/09/12(水) 11:08:48.14 ID:???.net
- すみません落ち度ありましたorz
じつはDMZに該当のグローバルIPのネットワークを振ってしまっているので、
UnTrust→TrustのときはUnTrustに設定したMIPが効くのですが
Trustからの場合Trust→UnTrust→Trustとなってほしいところが
ルーティングテーブルでTrust→DMZと判断されてMIPが効いてない
感じっぽいです。
なんとかPBRとかソースベースルーティングあたりを使っていけないかと
思っているところです。
もうちょっと考えてみます。
すみませんでした。ありがとうございます。
- 257 :anonymous:2012/09/12(水) 12:21:48.04 ID:???.net
- MIPに使用するグローバルIPアドレス(/32)をUntrustにルーティングすれ
- 258 :250:2012/09/12(水) 18:34:40.73 ID:???.net
- >>257
!!
完璧です。それで行けました!
ありがとうございます!
- 259 :anonymous:2012/09/14(金) 09:13:16.50 ID:???.net
-
- 260 :anonymous@58x80x124x76.ap58.ftth.ucom.ne.jp:2012/09/20(木) 16:20:51.71 ID:4uupibff.net
- わかる人がいましたら教えて下さい
オフィスがSSG140で、VPNクライアントがWin7 + NCPの構成でVPN接続させようとすると
以下のメッセージがクライアントで表示され、接続ができません。
「VPN error VPN gateway not responding[waiting for Msg2]
他にわかっていることは
・数十人いるなかでこの状態となっているのは一人のみ
・NCPを起動したときから上記メッセージが表示されている
・クライアント側ではevo 3dのテザリングを使用していて、
evoから払い出されるIPが、VPN接続先と競合している
・テザリング中のクライアントはgoogleなどインターネット閲覧は可能
・その人は自宅からも接続できない
(自宅LANのプライベートIPは未調査)
・SSG側ではエラーログなどがまったくない
接続できないのはIP競合が原因だと思っていますが、
その他にも何か知っている事があれば教えて頂けると・・・
- 261 :anonymous:2012/09/23(日) 01:04:01.69 ID:???.net
- エラーメッセージからするとSSG140からの応答がありませんってことだし
単純に到達していないと考えるべきだろうね。
要はクライアント側の問題
>・クライアント側ではevo 3dのテザリングを使用していて、
>evoから払い出されるIPが、VPN接続先と競合している
これが理解不能だったんだけど
evo 3d <-> クライアント間はプライベートIPネットワークでいいのかな?
SSG140 <-> internet <-> evo 3dでしょ?
普通SSG140はグローバルIPアドレスだろうし、競合するわけがないと思ってるんだけど
構成で何か認識違いがある?
私なら別回線(可能であれば他端末でつながることを確認できるもの)から
その端末を使ってつながるかどうか見るかな。
それでつながるならクライアント側のネットワークの問題って切り分けできるだろうし
- 262 :anon:2012/09/23(日) 12:13:12.60 ID:???.net
- 的外れかもしれないけど、Windos7は対応していないという話かも?
うちの環境ではWin7使えませんと案内してた気がする
>・数十人いるなかでこの状態となっているのは一人のみ
ということで他はWindows7で問題なく接続できてるのならごめん
- 263 :260:2012/09/25(火) 01:00:11.80 ID:???.net
- 260です。レスありがとうございます。
>>261
>SSG140 <-> internet <-> evo 3dでしょ?
社内192.168.1.0 <-> SSG140 <-> Internet <-> evo3G <-> テザリング192.168.1.0 という構成で、
プライベートネットワークが競合しているという意味です。
>可能であれば他端末でつながることを確認できるもの
そうですね。切り分けのためにも正常に繋がるデータカード的な物とかを使ってみてもらいます。
あとこの人、元々つながっていたのに急に繋がらなくなったという事だったので、原因とかもうすこし掘り下げてみます。
>>262
>Windows7は対応していないという話かも?
NCPセキュアクライアントというのがVPNクライアントなのですが、win7用でライセンス購入もしてるものなんですよね・・・
他の人のWin7では正常に通信できることを確認しているので、WIN7が悪いわけではなさそうなのですが・・・という感じです。
- 264 :anonymous@y098055.dynamic.ppp.asahi-net.or.jp:2012/10/03(水) 22:24:23.99 ID:CSo58K2b.net
- どうにも先に進めなくなってしまった為、教えてください。
SRX100(JUNOS 11.4R3.7)
論理IFを複数作りたいのですが、Taggingを有効にしないと作成が出来ません。
これってTagging使わずに他の回避方法で作成することはできませんか?
やりたい事としては、論理インターフェースでそれぞれにグローバルIPを持たせてVPNを張りたいと思っています。
タグVLANはWAN側の都合で使えません。
- 265 :anonymous:2012/10/03(水) 22:58:15.24 ID:???.net
- ルーティングポートが同じネットワークセグメントに複数あるってことに
なるから、異なる論理インタフェースが同じネットワークセグメントに
属するってのはムリなんじゃないかと。
同じ論理インタフェースに同一セグメントのIPを複数アサインすることは出来る。
ただその場合、security ike gateway内のexternal-interface で
その論理インタフェースを指定した場合に、どのIPアドレスから
IPSecパケットが出力されるかとか、
gateway毎にそのIPを指定できるのかは判らない。
- 266 :264:2012/10/06(土) 11:45:59.48 ID:f1wh/IXF.net
- >>265
レス遅くてすみません。
同一セグメントはチェックではじかれました。
追加IPアサインも、ご指摘の通りexternal-interfaceが
1つ目のIPで出て行っているみたいで、これもまたXでした。
コマンドからみてみたものの、gatewayの部分はソースIPを決め打ち出来るのもなさそうですね。。
- 267 :anonymous:2012/11/07(水) 11:30:26.53 ID:???.net
- UnTrustにグローバルIP(クラスC)、TrustにローカルIPでホストがぶら下がっている構成です。
外部にサーバーを公開するのにnetscreenでMIPをやろうとしているのですが、
MIPに名前をつけられなくて困ってるのですがどうしようもないんでしょうか…。
数百個あるMIPのポリシーをIPアドレスだけで管理するのはしんどいです。
何かいい方法ありますでしょうか?
- 268 :anonymous:2012/11/07(水) 18:49:23.32 ID:???.net
- ないんじゃね?
- 269 :anoymous:2012/11/07(水) 19:32:25.19 ID:???.net
- 台帳作って頑張れ
- 270 :anonymous:2012/11/07(水) 20:07:29.26 ID:???.net
- Policy based NATについて教えて下さい。
NetScreen25 5.4.0r13.0 で、外部にサーバを公開するのにInterface NATで
VIPを使ってます。グローバルアドレスは1個のみ。
公開するポート数が増えて来て、VIPに設定出来る上限に達したので、
Policy based NATに変更しようとしていますが、外部からの通信が出来なく
なりました。
設定は
ethernet1 Trust route
ethernet3 Untrust route
AddressListのTrustに、公開したマシンhogehogeのIPを登録
ServicesのCustomに、開けたいポート45000をfooで登録
VIPの設定を全て消して、ポリシーを
set policy id 100 from "Trust" to "Untrust" "Any" "Any" "ANY" nat src permit
set policy id 100
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" permit
set policy id 200
id 100の設定で、内→外への通信は問題なし。外→内がNGでログを取ってみてもログにすら
乗らない状態です。
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip xxx.xxx.xxx.xxx port 45000 permit
set policy id 2
としてみましたが、これも上手く行かず。Policy based NATは単にルール書く
だけだと思ってたのですが、何か足りないでしょうか?
- 271 :anonymous:2012/11/07(水) 20:27:27.95 ID:???.net
- set vip multi-port
- 272 :270:2012/11/07(水) 22:51:32.30 ID:???.net
- レスありがとうございます。
vip multi-portはVIPで運用していた時に設定したのがそのまま残ってました。
試しに消して見ましたが状況変わらずです。
- 273 :anonymous:2012/11/08(木) 07:16:59.23 ID:???.net
- ポリシーベースNATは、嘘ルーティングが必要。
この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
set route x.x.x.x(hogehogeのIP)/32 interface ethernet1
こうすることで、外から入ってきたhogehoge宛のパケットが、
Untrust→Trustのゾーンの対象となって、その結果ポリシーにマッチして
NATされる。
- 274 :267:2012/11/08(木) 16:44:27.14 ID:???.net
- >>268 >>269
そうですよね…
ありがとうございました
- 275 :270:2012/11/08(木) 20:04:08.40 ID:???.net
- >>273
レスありがとうございます。
教えて戴いたようにルーティングの設定してみましたが、状況変わらずでした…。
ちなみに、各アドレスが、
ethernet3 Untrust プロバのグローバルアドレス
ethernet1 Trustが、192.168.0.1
hogehogeが、192.168.0.10
として
>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
との事ですが、hogehogeのIPとTrustのIPが同じネットワークアドレスだと嘘ルート
書いても書かなくても同じですよね?
試しに以下をやって見ましたが駄目でした。
hogehogeを、10.0.0.1
fooは45000で変更なし
set route 10.0.0.1/32 interface ethernet1
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip 192.168.0.10 port 45000 permit
マニュアルのアドレス変換にあるNAT-DST 多対 1 のマッピングの考えで良いと思
うのですが…
- 276 :273:2012/11/08(木) 21:03:37.33 ID:???.net
- すみません、
>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
これは、hogehogeがグローバルIPという理解で書いてました。
具体的に言うと、
・送信元『1.1.1.1』
・送信先『2.2.2.2』←これが自分の持つグローバルIPとして
・プライベートIP『10.10.10.10』←このIPに変換したい
ということをポリシーベースNATで行おうとする場合、2.2.2.2/32
について嘘ルーティングを書いてあげる必要がある・・・・のですが、
これが出来るのって、ルーティング用(インタフェース用)の
グローバルIP以外のグローバルIPでないと出来ないですね。
グローバルIPがひとつだと、やったこと無いけど、
おそらくムリかと・・・ルーティング設定が入らないと思うし、
入ったら、余計に変なことになる気がします。
- 277 :270:2012/11/09(金) 01:30:13.02 ID:???.net
- >>273
ありがとうございます
なるほどそういう事でしたか。
しかしYAMAHAやCiscoでは出来るのにNetScreenで出来ないのは
悔しいなぁ(´・ω・`)
- 278 :anonymous:2012/11/19(月) 11:44:43.26 ID:???.net
- UnTrust : グローバルIP/30
DMZ : グローバルIP/25
Trust : ローカルIP
こんな構成でTrust->UnTrustはポリシーでSrc-NATかけています。
これで現在外に出て行くIPはUnTrustのI/FのIPになるのですが、
これをなんとかDMZのI/FのIPで出て行くようにできないでしょうか。
ちょっと無理な気はしていますが妙案があるようなら教えてください。
よろしくお願いします。
- 279 :anonymous:2012/11/19(月) 12:01:35.74 ID:???.net
- あんなんバードにすりゃ行けなくない?
- 280 :anonymous@i118-21-113-185.s30.a048.ap.plala.or.jp:2012/11/30(金) 11:47:54.56 ID:6DCVTMDM.net
- 教えて下さい。
NetScreen5GT OS5ですが、マルチPPPoEセッションはれないのでしょうか。
具体的にはISPとフレッツ・スクエアの同時接続をしたいです。
- 281 :anonymous:2012/11/30(金) 22:11:50.47 ID:???.net
- 遠い記憶だけど、サブインターフェース2個作ってそれぞれでPPPoE設定するんじゃなかったっけ?
間違ってたらごめんね。
- 282 :280:2012/12/01(土) 14:34:19.41 ID:???.net
- >>281
キーワードでぐぐってみたら、できそうな解説ありました。
めっちゃありがとうございます。
- 283 :anonymous@07002190030746_ea:2012/12/20(木) 11:35:30.77 ID:JlFKukmH.net
- ssg5なんですが
WebUIでポートのduplexって設定できますか?
Interfacesの箇所になかったのでCLIだけですかね?
- 284 :anonymous:2012/12/24(月) 22:12:53.66 ID:???.net
- グローバルIP一個の環境で、NS-5GTのTrust側に設置したPacketiXの
L2TP/IPsecにiPhoneから接続しようと試みていますが、行き詰って
います。
PacketiXサーバのUDP500とUDP4500に5GTのVIPを設定してますが、
接続できません。
MIPなら問題なく繋がるのですが、複数サーバを公開したいので、
できればVIPで設定したいのです。
手持ちのルーター、YAMAHA RTA54i、LINKSYS BEFSR41C-JP V3、
Buffalo BBR-4HG は上記ポートのNAT設定で問題なく接続できました。
ScreenOSの場合、UDP500、4500のVIP以外に何らかの設定が必要
なのでしょうか?
やりたいことは下記の質問者と同じなのですが、この方も解決には
至っていないようです。
http://www.juniperforum.com/index.php?topic=1541.0
- 285 :anonymous@p14016-ipngn100507fukuokachu.fukuoka.ocn.ne.jp:2012/12/26(水) 11:29:46.16 ID:???.net
- >>284
PacketiXやったことないがUDP 1701もいるんじゃねーの?
調べてやってみそ。違ったらスマソ。
- 286 :284:2012/12/27(木) 12:35:41.63 ID:???.net
- >>285
UDP1701もVIPしてみましたが、同じでした。
そもそもiPhoneから5GTに直接VPN接続できれば無問題なのに、
それもできなくて試行錯誤中です。
もうASAでも買おうかな。。。高いけど。
- 287 :anonymous:2012/12/27(木) 15:43:31.64 ID:???.net
- 俺も5GTとiphoneの組み合わせは挫折した。
c1812ならipsecでもSSL-VPNでもなんでも繋がったからオヌヌメ。
- 288 :285:2012/12/27(木) 20:07:12.33 ID:???.net
- ちょいとググったら気になる内容が・・・
ttp://www.hs-juniperproducts.jp/faq/ssg_netscreen.html#link05_27
VIPの設定でUDP500設定しても効かないってことなんじゃね?
- 289 :284:2012/12/27(木) 23:51:01.49 ID:???.net
- >>288
うーん、確かにこの内容の制約に引っかかってるようです。
おそらく自分自身がIKEサービスを提供してるため、そこを開放しない
のでしょうね。
結局IKEはVIPで通せないので、MIPで通すかScreenOSを諦めるしか
ないのか。
ブラウザだけで設定できる手軽さと、高機能が気に入って長らく
使ってきたけど、そろそろ世代交代でしょうかね。
家で使うには機能的に困ることは今まで無かったんだけど。。。
- 290 :anonymous:2012/12/28(金) 01:02:11.80 ID:???.net
- パケットキャプチャか通信ログ確認すればIKE通ってるか見れる
だろうけど面倒だし、スレの過疎っぷりからわかるように情報少ない。
CLIに抵抗ないならCiscoかYAMAHAの安いやつ薦めとくわ。
乙
- 291 :anonymous@p4022-ipbf2009marunouchi.tokyo.ocn.ne.jp:2013/01/02(水) 22:29:04.41 ID:???.net
- testzone → trust → untrust
上記みたいな感じでゾーンをまたぐようなポリシーってどう書けばいいんだろう。
そもそもできないのかな。
- 292 :anonymous:2013/01/03(木) 01:42:13.82 ID:???.net
- >>291
そのトラフィックに沿ったポリシーを書くだけ
一度で済まそうとか考えるからそうなる
- 293 :anonymous@p4197-ipbf6802marunouchi.tokyo.ocn.ne.jp:2013/01/03(木) 09:26:26.96 ID:???.net
- >>292
おお、うまくいきました。ありがとうございます。
- 294 :anonymous:2013/03/23(土) 00:27:06.21 ID:???.net
- RAプロキシ使えないのか。。
- 295 :anonymous@h200039.dynamic.ppp.asahi-net.or.jp:2013/03/31(日) 13:00:44.58 ID:L4HjLbY8.net
- すみませんがちょっと教えてください。
中古のNetScreen5GTを購入しようと思うのですが
NetScreen Ns-5GT-207-03
NetScreen Ns-5GT-107-03
この107/207の違いって何を表してるんでしょうか?
また型番からHA Liteのライセンスがあるかどうか
を判断することは可能でしょうか。
よろしくお願いいたします。
- 296 :anonymous:2013/03/31(日) 16:28:33.52 ID:???.net
- 自分が覚えてる有線の機種しか書いてないのであしからず。
NS-5GT-007 NS-5GT 10user
NS-5GT-107 NS-5GT Plus 無制限user
NS-5GT-207 NS-5GT Extended 無制限user
詳細は適当にググって出てきたこの資料でも見れ。
ttp://www.scs.co.jp/netscreen/pdf/ns5_matrix.pdf
- 297 :anonymous@h200039.dynamic.ppp.asahi-net.or.jp:2013/03/31(日) 18:22:27.42 ID:L4HjLbY8.net
- ご親切にありがとうございました。
HA Liteも設定してみたいので207にすることにします。
- 298 :anonymous@FLH1Alr067.tky.mesh.ad.jp:2013/05/11(土) 02:20:55.42 ID:LBCmAEgz.net
- 初歩的な質問で申し訳ないですが、
NSRPの切り替わり時と切り戻し時に時間が差異があります。
Hold-downはデフォルトです。
Master側のmoniterインターフェースの1本を抜き差しすると
切り替わり時は3秒程度ですが、切り戻し時は3倍以上時間がかかります。
この差はなぜ発生するのか、宜しければどなたかご教示下さい。
- 299 :anonymous@120.143.13.30.static.zoot.jp:2013/06/29(土) 20:48:18.87 ID:???.net
- SSGも320M以上はx86なんだし
VirtualAppliance版出ないんだろうか・・・。
- 300 :anonymous:2013/06/30(日) 22:57:33.20 ID:???.net
- 個人的な趣味だけど、FWは物理的に分けておきたい派だわ。
総レス数 513
140 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200