■ このスレッドは過去ログ倉庫に格納されています
Netscreenユーザスレ r4.0
- 1 :ScreenOS:2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net
- 無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。
http://www.juniper.net/jp/jp/products-services/security/
その他代理店はggrks
過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/
Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/
Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/
- 231 :anonymous:2012/07/11(水) 12:39:23.90 ID:???.net
- うちは来春にSSG入れる予定だよ
- 232 :anonymous:2012/07/13(金) 01:07:54.68 ID:???.net
- ScreenOS6.4が出ない今、SSGという選択肢は企業にとって正解なのかね?
そのうちEoL発表されそう
Juniper的にはさっさとSRXに行きたいんだろうけど、Junosが糞すぎるから仕方なくScreenOSサポートしてる感があるね
- 233 :anonymous:2012/07/13(金) 01:59:50.97 ID:???.net
- 素人くさい意見ですまんが
SRXのconfigは縦長すぎて嫌になる。
- 234 :anonymous@NWTfb-16p4-171.ppp11.odn.ad.jp:2012/07/14(土) 00:07:54.91 ID:???.net
- srxをEoLにすべき。スクリーンOSどこかパクらないかな。
- 235 :anonymous:2012/07/14(土) 05:26:52.72 ID:???.net
- ネットスクリーン導入してる会社がみんな悩んでるところだろ>SRX化
SRXにつきあうのか、それとも他社にいくのか、って感じで
- 236 :anonymous:2012/07/17(火) 14:32:29.10 ID:???.net
- テクノバンとかいう会社がssgのeolを発表してた気がする。
2016/06あたりだったような
- 237 :anonymous:2012/07/17(火) 15:02:22.40 ID:???.net
- EOL発表から5年間は保守やるんだろ?
- 238 :a:2012/07/17(火) 23:57:26.58 ID:???.net
- >>236
srcをplz!
- 239 :anonymous:2012/07/26(木) 10:37:13.72 ID:???.net
- サポート終了情報 ? ジェイズ・コミュニケーション株式会社
http://jscom.jp/support/products/juniper/screenos/eol
こことNOXによると2015/12/31にEOLだそうで
- 240 :anonymous:2012/07/26(木) 13:12:52.26 ID:???.net
- そこに掲載されているのは、あくまで現在リリースされているソフトウェアのEoLでしょ。
SSG自体がEoLになるかは別の話。
- 241 :anonymous:2012/08/18(土) 05:38:00.58 ID:???.net
-
- 242 :anonymous:2012/08/23(木) 22:18:37.21 ID:Zauecf7T.net
- たのむからSRXをさっさとディスコンにして
ScreenOSに一本化してくれ
- 243 :anoymous:2012/08/29(水) 00:42:33.24 ID:???.net
- Netscreenいいね!(今更
- 244 :anonymous:2012/08/29(水) 03:05:14.51 ID:???.net
- >>239
*2……技術サポート終了 / すべてのサポート終了のいずれか、もしくは両方が延長されています
延長した結果がその日付だから
どうせまた延長されるだけ
ちなみにFW/UTMとしての出荷比率は依然としてSSG 8:SRX 2だってさ
この状況じゃビジネス的に考えてもSSGを打ち切れる訳がない
せめて4:6くらいでも逆転しないと
- 245 :a:2012/08/29(水) 20:04:41.26 ID:???.net
- >>244
逆転は無理。guiが死んでるsrxはssgに慣れ親しんだユーザーにとって苦痛以外の何物でもない。
- 246 :anoymous:2012/08/29(水) 21:51:51.17 ID:???.net
- なんでSSGやめたいのかね
- 247 :anonymous:2012/08/29(水) 23:01:56.20 ID:???.net
- Juniperに限った話じゃないけど買収した製品は
前の企業名や商品名を排除しようという動きは外資じゃ一般的だと思う。
NetscreenはSSGという名称に変えることはできたけど
ScreenOSを無くす目的でJunOSに移行したいという思いがあるのでしょう
- 248 :anoymous:2012/08/31(金) 03:01:02.24 ID:???.net
- 売れるもんをつくってりゃいいのにな
- 249 :anonymous@i220-108-110-60.s02.a014.ap.plala.or.jp:2012/09/04(火) 03:07:17.09 ID:MEEioEpt.net
- set flow tcp-syn-check strict は入れといた方が良いのですか?
- 250 :anonymous:2012/09/10(月) 20:32:15.81 ID:???.net
- NetScreen204使ってます
TrustにあるサーバーをMIPを使って公開しようとしています。
UnTrust,Trustがあるネットワークで、UnTrustにMIP(Trust内のIP)を設定し、
ポリシー側でもUnTrust→Trustで該当通信を許可しました。
UnTrust側からその通信を試すと意図通りに動作します。
が、Trust内からMIPを設定したIPへ接続しようとしても繋がりません。
要はTrustからUnTrust側のアドレス叩く→NSが折り返す→Trustという動作を
してほしいのですがそうはなりません。
これを解決する方法はあるのでしょうか?
宜しくお願いします。
- 251 :anynomous:2012/09/10(月) 21:05:30.61 ID:???.net
- TCP 3way handshakeにおける各パケットの経路を考えたらわかることじゃない?
あとは当たり前のことながら異なるゾーン間の通信はルールが必要
- 252 :250:2012/09/11(火) 11:56:16.37 ID:???.net
- すみません。。。
FortiGateとかYAMAHAとかだとこんな感じで動いてくれるんですが
実際のところポリシーで止まってるわけではなくてマッピングが独立してしまってるようです
内部から公開サーバーにアクセスするにはMIPの設定を2重でしないといけないんですかね?
- 253 :anonymous:2012/09/11(火) 14:25:13.75 ID:???.net
- globalゾーン当てでいいような
- 254 :anon:2012/09/12(水) 01:05:39.73 ID:???.net
- >>252
いや、それでアクセス出来るよ
どこかに落ち度があるはず
- 255 :anonymous:2012/09/12(水) 09:41:31.01 ID:???.net
- グローバルIPアドレスをセカンダリIPに設定しちゃってるとか
- 256 :250:2012/09/12(水) 11:08:48.14 ID:???.net
- すみません落ち度ありましたorz
じつはDMZに該当のグローバルIPのネットワークを振ってしまっているので、
UnTrust→TrustのときはUnTrustに設定したMIPが効くのですが
Trustからの場合Trust→UnTrust→Trustとなってほしいところが
ルーティングテーブルでTrust→DMZと判断されてMIPが効いてない
感じっぽいです。
なんとかPBRとかソースベースルーティングあたりを使っていけないかと
思っているところです。
もうちょっと考えてみます。
すみませんでした。ありがとうございます。
- 257 :anonymous:2012/09/12(水) 12:21:48.04 ID:???.net
- MIPに使用するグローバルIPアドレス(/32)をUntrustにルーティングすれ
- 258 :250:2012/09/12(水) 18:34:40.73 ID:???.net
- >>257
!!
完璧です。それで行けました!
ありがとうございます!
- 259 :anonymous:2012/09/14(金) 09:13:16.50 ID:???.net
-
- 260 :anonymous@58x80x124x76.ap58.ftth.ucom.ne.jp:2012/09/20(木) 16:20:51.71 ID:4uupibff.net
- わかる人がいましたら教えて下さい
オフィスがSSG140で、VPNクライアントがWin7 + NCPの構成でVPN接続させようとすると
以下のメッセージがクライアントで表示され、接続ができません。
「VPN error VPN gateway not responding[waiting for Msg2]
他にわかっていることは
・数十人いるなかでこの状態となっているのは一人のみ
・NCPを起動したときから上記メッセージが表示されている
・クライアント側ではevo 3dのテザリングを使用していて、
evoから払い出されるIPが、VPN接続先と競合している
・テザリング中のクライアントはgoogleなどインターネット閲覧は可能
・その人は自宅からも接続できない
(自宅LANのプライベートIPは未調査)
・SSG側ではエラーログなどがまったくない
接続できないのはIP競合が原因だと思っていますが、
その他にも何か知っている事があれば教えて頂けると・・・
- 261 :anonymous:2012/09/23(日) 01:04:01.69 ID:???.net
- エラーメッセージからするとSSG140からの応答がありませんってことだし
単純に到達していないと考えるべきだろうね。
要はクライアント側の問題
>・クライアント側ではevo 3dのテザリングを使用していて、
>evoから払い出されるIPが、VPN接続先と競合している
これが理解不能だったんだけど
evo 3d <-> クライアント間はプライベートIPネットワークでいいのかな?
SSG140 <-> internet <-> evo 3dでしょ?
普通SSG140はグローバルIPアドレスだろうし、競合するわけがないと思ってるんだけど
構成で何か認識違いがある?
私なら別回線(可能であれば他端末でつながることを確認できるもの)から
その端末を使ってつながるかどうか見るかな。
それでつながるならクライアント側のネットワークの問題って切り分けできるだろうし
- 262 :anon:2012/09/23(日) 12:13:12.60 ID:???.net
- 的外れかもしれないけど、Windos7は対応していないという話かも?
うちの環境ではWin7使えませんと案内してた気がする
>・数十人いるなかでこの状態となっているのは一人のみ
ということで他はWindows7で問題なく接続できてるのならごめん
- 263 :260:2012/09/25(火) 01:00:11.80 ID:???.net
- 260です。レスありがとうございます。
>>261
>SSG140 <-> internet <-> evo 3dでしょ?
社内192.168.1.0 <-> SSG140 <-> Internet <-> evo3G <-> テザリング192.168.1.0 という構成で、
プライベートネットワークが競合しているという意味です。
>可能であれば他端末でつながることを確認できるもの
そうですね。切り分けのためにも正常に繋がるデータカード的な物とかを使ってみてもらいます。
あとこの人、元々つながっていたのに急に繋がらなくなったという事だったので、原因とかもうすこし掘り下げてみます。
>>262
>Windows7は対応していないという話かも?
NCPセキュアクライアントというのがVPNクライアントなのですが、win7用でライセンス購入もしてるものなんですよね・・・
他の人のWin7では正常に通信できることを確認しているので、WIN7が悪いわけではなさそうなのですが・・・という感じです。
- 264 :anonymous@y098055.dynamic.ppp.asahi-net.or.jp:2012/10/03(水) 22:24:23.99 ID:CSo58K2b.net
- どうにも先に進めなくなってしまった為、教えてください。
SRX100(JUNOS 11.4R3.7)
論理IFを複数作りたいのですが、Taggingを有効にしないと作成が出来ません。
これってTagging使わずに他の回避方法で作成することはできませんか?
やりたい事としては、論理インターフェースでそれぞれにグローバルIPを持たせてVPNを張りたいと思っています。
タグVLANはWAN側の都合で使えません。
- 265 :anonymous:2012/10/03(水) 22:58:15.24 ID:???.net
- ルーティングポートが同じネットワークセグメントに複数あるってことに
なるから、異なる論理インタフェースが同じネットワークセグメントに
属するってのはムリなんじゃないかと。
同じ論理インタフェースに同一セグメントのIPを複数アサインすることは出来る。
ただその場合、security ike gateway内のexternal-interface で
その論理インタフェースを指定した場合に、どのIPアドレスから
IPSecパケットが出力されるかとか、
gateway毎にそのIPを指定できるのかは判らない。
- 266 :264:2012/10/06(土) 11:45:59.48 ID:f1wh/IXF.net
- >>265
レス遅くてすみません。
同一セグメントはチェックではじかれました。
追加IPアサインも、ご指摘の通りexternal-interfaceが
1つ目のIPで出て行っているみたいで、これもまたXでした。
コマンドからみてみたものの、gatewayの部分はソースIPを決め打ち出来るのもなさそうですね。。
- 267 :anonymous:2012/11/07(水) 11:30:26.53 ID:???.net
- UnTrustにグローバルIP(クラスC)、TrustにローカルIPでホストがぶら下がっている構成です。
外部にサーバーを公開するのにnetscreenでMIPをやろうとしているのですが、
MIPに名前をつけられなくて困ってるのですがどうしようもないんでしょうか…。
数百個あるMIPのポリシーをIPアドレスだけで管理するのはしんどいです。
何かいい方法ありますでしょうか?
- 268 :anonymous:2012/11/07(水) 18:49:23.32 ID:???.net
- ないんじゃね?
- 269 :anoymous:2012/11/07(水) 19:32:25.19 ID:???.net
- 台帳作って頑張れ
- 270 :anonymous:2012/11/07(水) 20:07:29.26 ID:???.net
- Policy based NATについて教えて下さい。
NetScreen25 5.4.0r13.0 で、外部にサーバを公開するのにInterface NATで
VIPを使ってます。グローバルアドレスは1個のみ。
公開するポート数が増えて来て、VIPに設定出来る上限に達したので、
Policy based NATに変更しようとしていますが、外部からの通信が出来なく
なりました。
設定は
ethernet1 Trust route
ethernet3 Untrust route
AddressListのTrustに、公開したマシンhogehogeのIPを登録
ServicesのCustomに、開けたいポート45000をfooで登録
VIPの設定を全て消して、ポリシーを
set policy id 100 from "Trust" to "Untrust" "Any" "Any" "ANY" nat src permit
set policy id 100
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" permit
set policy id 200
id 100の設定で、内→外への通信は問題なし。外→内がNGでログを取ってみてもログにすら
乗らない状態です。
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip xxx.xxx.xxx.xxx port 45000 permit
set policy id 2
としてみましたが、これも上手く行かず。Policy based NATは単にルール書く
だけだと思ってたのですが、何か足りないでしょうか?
- 271 :anonymous:2012/11/07(水) 20:27:27.95 ID:???.net
- set vip multi-port
- 272 :270:2012/11/07(水) 22:51:32.30 ID:???.net
- レスありがとうございます。
vip multi-portはVIPで運用していた時に設定したのがそのまま残ってました。
試しに消して見ましたが状況変わらずです。
- 273 :anonymous:2012/11/08(木) 07:16:59.23 ID:???.net
- ポリシーベースNATは、嘘ルーティングが必要。
この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
set route x.x.x.x(hogehogeのIP)/32 interface ethernet1
こうすることで、外から入ってきたhogehoge宛のパケットが、
Untrust→Trustのゾーンの対象となって、その結果ポリシーにマッチして
NATされる。
- 274 :267:2012/11/08(木) 16:44:27.14 ID:???.net
- >>268 >>269
そうですよね…
ありがとうございました
- 275 :270:2012/11/08(木) 20:04:08.40 ID:???.net
- >>273
レスありがとうございます。
教えて戴いたようにルーティングの設定してみましたが、状況変わらずでした…。
ちなみに、各アドレスが、
ethernet3 Untrust プロバのグローバルアドレス
ethernet1 Trustが、192.168.0.1
hogehogeが、192.168.0.10
として
>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
との事ですが、hogehogeのIPとTrustのIPが同じネットワークアドレスだと嘘ルート
書いても書かなくても同じですよね?
試しに以下をやって見ましたが駄目でした。
hogehogeを、10.0.0.1
fooは45000で変更なし
set route 10.0.0.1/32 interface ethernet1
set policy id 200 from "Untrust" to "Trust" "Any" "hogehoge" "foo" nat dst ip 192.168.0.10 port 45000 permit
マニュアルのアドレス変換にあるNAT-DST 多対 1 のマッピングの考えで良いと思
うのですが…
- 276 :273:2012/11/08(木) 21:03:37.33 ID:???.net
- すみません、
>この場合、hogehoge のIPが、Trust1の先にあるように見せかける必要がある。
これは、hogehogeがグローバルIPという理解で書いてました。
具体的に言うと、
・送信元『1.1.1.1』
・送信先『2.2.2.2』←これが自分の持つグローバルIPとして
・プライベートIP『10.10.10.10』←このIPに変換したい
ということをポリシーベースNATで行おうとする場合、2.2.2.2/32
について嘘ルーティングを書いてあげる必要がある・・・・のですが、
これが出来るのって、ルーティング用(インタフェース用)の
グローバルIP以外のグローバルIPでないと出来ないですね。
グローバルIPがひとつだと、やったこと無いけど、
おそらくムリかと・・・ルーティング設定が入らないと思うし、
入ったら、余計に変なことになる気がします。
- 277 :270:2012/11/09(金) 01:30:13.02 ID:???.net
- >>273
ありがとうございます
なるほどそういう事でしたか。
しかしYAMAHAやCiscoでは出来るのにNetScreenで出来ないのは
悔しいなぁ(´・ω・`)
- 278 :anonymous:2012/11/19(月) 11:44:43.26 ID:???.net
- UnTrust : グローバルIP/30
DMZ : グローバルIP/25
Trust : ローカルIP
こんな構成でTrust->UnTrustはポリシーでSrc-NATかけています。
これで現在外に出て行くIPはUnTrustのI/FのIPになるのですが、
これをなんとかDMZのI/FのIPで出て行くようにできないでしょうか。
ちょっと無理な気はしていますが妙案があるようなら教えてください。
よろしくお願いします。
- 279 :anonymous:2012/11/19(月) 12:01:35.74 ID:???.net
- あんなんバードにすりゃ行けなくない?
- 280 :anonymous@i118-21-113-185.s30.a048.ap.plala.or.jp:2012/11/30(金) 11:47:54.56 ID:6DCVTMDM.net
- 教えて下さい。
NetScreen5GT OS5ですが、マルチPPPoEセッションはれないのでしょうか。
具体的にはISPとフレッツ・スクエアの同時接続をしたいです。
- 281 :anonymous:2012/11/30(金) 22:11:50.47 ID:???.net
- 遠い記憶だけど、サブインターフェース2個作ってそれぞれでPPPoE設定するんじゃなかったっけ?
間違ってたらごめんね。
- 282 :280:2012/12/01(土) 14:34:19.41 ID:???.net
- >>281
キーワードでぐぐってみたら、できそうな解説ありました。
めっちゃありがとうございます。
- 283 :anonymous@07002190030746_ea:2012/12/20(木) 11:35:30.77 ID:JlFKukmH.net
- ssg5なんですが
WebUIでポートのduplexって設定できますか?
Interfacesの箇所になかったのでCLIだけですかね?
- 284 :anonymous:2012/12/24(月) 22:12:53.66 ID:???.net
- グローバルIP一個の環境で、NS-5GTのTrust側に設置したPacketiXの
L2TP/IPsecにiPhoneから接続しようと試みていますが、行き詰って
います。
PacketiXサーバのUDP500とUDP4500に5GTのVIPを設定してますが、
接続できません。
MIPなら問題なく繋がるのですが、複数サーバを公開したいので、
できればVIPで設定したいのです。
手持ちのルーター、YAMAHA RTA54i、LINKSYS BEFSR41C-JP V3、
Buffalo BBR-4HG は上記ポートのNAT設定で問題なく接続できました。
ScreenOSの場合、UDP500、4500のVIP以外に何らかの設定が必要
なのでしょうか?
やりたいことは下記の質問者と同じなのですが、この方も解決には
至っていないようです。
http://www.juniperforum.com/index.php?topic=1541.0
- 285 :anonymous@p14016-ipngn100507fukuokachu.fukuoka.ocn.ne.jp:2012/12/26(水) 11:29:46.16 ID:???.net
- >>284
PacketiXやったことないがUDP 1701もいるんじゃねーの?
調べてやってみそ。違ったらスマソ。
- 286 :284:2012/12/27(木) 12:35:41.63 ID:???.net
- >>285
UDP1701もVIPしてみましたが、同じでした。
そもそもiPhoneから5GTに直接VPN接続できれば無問題なのに、
それもできなくて試行錯誤中です。
もうASAでも買おうかな。。。高いけど。
- 287 :anonymous:2012/12/27(木) 15:43:31.64 ID:???.net
- 俺も5GTとiphoneの組み合わせは挫折した。
c1812ならipsecでもSSL-VPNでもなんでも繋がったからオヌヌメ。
- 288 :285:2012/12/27(木) 20:07:12.33 ID:???.net
- ちょいとググったら気になる内容が・・・
ttp://www.hs-juniperproducts.jp/faq/ssg_netscreen.html#link05_27
VIPの設定でUDP500設定しても効かないってことなんじゃね?
- 289 :284:2012/12/27(木) 23:51:01.49 ID:???.net
- >>288
うーん、確かにこの内容の制約に引っかかってるようです。
おそらく自分自身がIKEサービスを提供してるため、そこを開放しない
のでしょうね。
結局IKEはVIPで通せないので、MIPで通すかScreenOSを諦めるしか
ないのか。
ブラウザだけで設定できる手軽さと、高機能が気に入って長らく
使ってきたけど、そろそろ世代交代でしょうかね。
家で使うには機能的に困ることは今まで無かったんだけど。。。
- 290 :anonymous:2012/12/28(金) 01:02:11.80 ID:???.net
- パケットキャプチャか通信ログ確認すればIKE通ってるか見れる
だろうけど面倒だし、スレの過疎っぷりからわかるように情報少ない。
CLIに抵抗ないならCiscoかYAMAHAの安いやつ薦めとくわ。
乙
- 291 :anonymous@p4022-ipbf2009marunouchi.tokyo.ocn.ne.jp:2013/01/02(水) 22:29:04.41 ID:???.net
- testzone → trust → untrust
上記みたいな感じでゾーンをまたぐようなポリシーってどう書けばいいんだろう。
そもそもできないのかな。
- 292 :anonymous:2013/01/03(木) 01:42:13.82 ID:???.net
- >>291
そのトラフィックに沿ったポリシーを書くだけ
一度で済まそうとか考えるからそうなる
- 293 :anonymous@p4197-ipbf6802marunouchi.tokyo.ocn.ne.jp:2013/01/03(木) 09:26:26.96 ID:???.net
- >>292
おお、うまくいきました。ありがとうございます。
- 294 :anonymous:2013/03/23(土) 00:27:06.21 ID:???.net
- RAプロキシ使えないのか。。
- 295 :anonymous@h200039.dynamic.ppp.asahi-net.or.jp:2013/03/31(日) 13:00:44.58 ID:L4HjLbY8.net
- すみませんがちょっと教えてください。
中古のNetScreen5GTを購入しようと思うのですが
NetScreen Ns-5GT-207-03
NetScreen Ns-5GT-107-03
この107/207の違いって何を表してるんでしょうか?
また型番からHA Liteのライセンスがあるかどうか
を判断することは可能でしょうか。
よろしくお願いいたします。
- 296 :anonymous:2013/03/31(日) 16:28:33.52 ID:???.net
- 自分が覚えてる有線の機種しか書いてないのであしからず。
NS-5GT-007 NS-5GT 10user
NS-5GT-107 NS-5GT Plus 無制限user
NS-5GT-207 NS-5GT Extended 無制限user
詳細は適当にググって出てきたこの資料でも見れ。
ttp://www.scs.co.jp/netscreen/pdf/ns5_matrix.pdf
- 297 :anonymous@h200039.dynamic.ppp.asahi-net.or.jp:2013/03/31(日) 18:22:27.42 ID:L4HjLbY8.net
- ご親切にありがとうございました。
HA Liteも設定してみたいので207にすることにします。
- 298 :anonymous@FLH1Alr067.tky.mesh.ad.jp:2013/05/11(土) 02:20:55.42 ID:LBCmAEgz.net
- 初歩的な質問で申し訳ないですが、
NSRPの切り替わり時と切り戻し時に時間が差異があります。
Hold-downはデフォルトです。
Master側のmoniterインターフェースの1本を抜き差しすると
切り替わり時は3秒程度ですが、切り戻し時は3倍以上時間がかかります。
この差はなぜ発生するのか、宜しければどなたかご教示下さい。
- 299 :anonymous@120.143.13.30.static.zoot.jp:2013/06/29(土) 20:48:18.87 ID:???.net
- SSGも320M以上はx86なんだし
VirtualAppliance版出ないんだろうか・・・。
- 300 :anonymous:2013/06/30(日) 22:57:33.20 ID:???.net
- 個人的な趣味だけど、FWは物理的に分けておきたい派だわ。
- 301 :anonymous@uss.sc-idc.net:2013/07/04(木) NY:AN:NY.AN ID:???.net
- ある客から、LAN側からWebUIを開こうとすると超遅いって言われてるんだけど
そんな事例ある?
遠方で確認しにいけないんだけど、リモートで見る限り全く問題なく速いんだよな
- 302 :ななし:2013/07/04(木) NY:AN:NY.AN ID:???.net
- >>301
ブラウザの違いかもね。
VPN使ってるなら変な拠点折り返してるとか。
- 303 :anonymous:2013/07/04(木) NY:AN:NY.AN ID:???.net
- やっぱそのへんだよなあ。
ブラウザ変えてみてもらおう。
どうもありがと。
- 304 :anonymous:2013/08/21(水) NY:AN:NY.AN ID:psrRFEl8.net
- Netscreen 5GT後継何がいいですかねぇ……。
- 305 :anonymous:2013/08/21(水) NY:AN:NY.AN ID:???.net
- (SSG5では)いかんのか?
- 306 :ななし:2013/08/22(木) NY:AN:NY.AN ID:???.net
- >>304
fortigate
- 307 :anonymous@36.3.108.246:2013/09/11(水) 23:34:15.21 ID:fM2QoVMN.net
- 助けてください。
ケーブルテレビのインターネットでSRX繋いでネットしようと思っています。
SRX100のUntrust(fe-0/0/0)でDHCPクライアントを有効にしても
ケーブルモデムからIPアドレスを取ってきません。
Policy設定とか必要なのでしょうか。
よろしくお願いします。
- 308 :anonymous:2013/09/13(金) 22:57:23.76 ID:???.net
- ここはJunos製品のスレではないぞw
- 309 :anonymous:2013/10/15(火) 09:15:04.51 ID:???.net
- http://www.juniper.net/support/eol/screenos.html
- 310 :anony:2013/10/15(火) 22:55:38.92 ID:???.net
- 一瞬心配したけど、もう終わってたわ
問題ない
- 311 :anonymous:2013/10/18(金) 00:25:01.94 ID:???.net
- 6.3はまた随分延びたねぇ
- 312 :SSG5:2013/11/02(土) 20:37:52.83 ID:???.net
- SSG5をかなり安価でGetしたまではよいのだけど、設定にはまっていますorz
PPPoEの動的IPからTrustに向けて内側にMIP設定する場合って
どうすれば良いのでしょうか。
PPPoEで貰ったIPをPolicy Elements のaddless listに固定で登録してしまうと、
次アドレスが変わると通信できなくなるし...
- 313 :anonym:2013/11/02(土) 21:52:20.88 ID:???.net
- VIPでなくて?
- 314 :anonymous:2013/11/02(土) 22:41:09.32 ID:???.net
- つーか何でPPPoE側からの通信があんだよ
- 315 :312:2013/11/03(日) 09:18:46.96 ID:???.net
- >313
すいません。312からしばらくいじったらVIPでした...orz
>>314
自宅のglobalは動的ipでして....
といいつつ外からのNATは上手くいったものの、
FTP over TSLの通信がうまくいかず困っていたら...
kb.juniper.net/InfoCenter/index?page=content&id=KB3419&pmv=print
!!!!orz
どなたか良い知恵お持ち方拝借させてください...
- 316 :anonymous:2013/11/03(日) 10:26:44.22 ID:???.net
- >>315
FTPが必須じゃなけりゃscpで取ればいいだろ
公開鍵は鯖側で事前に用意しろ
> set ssh version v2
> set ssh enable
> set ssh pka-dsa user-name [user] key [key]
> exec ssh tftp pka-dsa user-name [user] file-name [filename] ip-addr [address]
確かこんな感じで行ける
- 317 :anonymous:2013/11/03(日) 16:58:21.63 ID:???.net
- パッシブFTPの場合、データ転送ポートはランダムに選ばれるわけで
FWはパケットの中身をみて接続要求のあったポートを空けるわけだが、
暗号化されている場合FWはそのポート番号を知る術が無い。
KBのソリューションに書いてあるとおり、サーバ側のデータ転送に使用されるポート範囲を制限して
そのポート範囲のカスタムサービスを作成してそれを許可してやる必要がある。
- 318 :312:2013/11/05(火) 21:40:16.72 ID:???.net
- >>316
Windowsで良さげなscpクライアントはいませんかね...
>>317
サーバー側のデータ転送に使用しているポート範囲を制限して、
そのポート範囲のカスタムサービスは作ったのですが、
どうにもデータポートOpen以降が通らなくて....
コントロールポートもwellknown開けると危ないから、
ハイポート(1024以上)で一つ開けているのですが。
この場合ApplicationはFTP指定ではなくて良いのでしょうか...
- 319 :どんなのがあるんだろう?:2013/11/05(火) 22:57:48.83 ID:???.net
- WinSCP以外の鉄板なんて有るんか?
有るなら俺も知りたい
- 320 :319:2013/11/05(火) 22:59:53.24 ID:???.net
- すいません。
Win関連板と勘違いしてましたorz
無視して下さいマシ。
- 321 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/08(金) 05:58:34.96 ID:???.net
- netscreen-50をscreenos 5.0で使っています。
もう一台netscreen-50を入手し、screenos 5.0から5.4に移行しようとしています。
設定をエクスポートして、インポートしたのではスタティックルーティングがうまくいきません。
5.4から機能追加された、PBR(Policy-Based Routing)の設定が必須なのでしょうか。
よろしくお願いします。
- 322 :あのに:2013/11/08(金) 19:08:00.57 ID:???.net
- 設定内容しらんがPBR使わんでもスタティックは動く
- 323 :Anonymous:2013/11/09(土) 03:14:50.25 ID:???.net
- 5.0はスタティックルートはVR内で設定するんじゃなかったっけ?
5.4ぐらい?からはグローバルで設定できるようになってる。
5.0から直接5.4にはアップデートできないから
5.0→5.3→5.4ってパスになるんじゃね?
- 324 :Anonymous:2013/11/09(土) 03:25:38.04 ID:???.net
- とおもったが単なる思い違いだった、、。
- 325 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/09(土) 21:05:50.40 ID:???.net
- ども>>320です。
そうですかぁ。
PINGは通るので、悩んでます。
- 326 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/09(土) 21:06:31.57 ID:???.net
- すみません。>>321でした。。
- 327 :あのに:2013/11/10(日) 13:27:53.11 ID:???.net
- >>326
3wayは大丈夫か?
その辺でデフォルト変わってた気がするが
- 328 :anon:2013/11/10(日) 16:42:43.79 ID:???.net
- コンフィグがうまく入っていない可能性は?
元々のコンフィグとインポート後のコンフィグでDIFFとって見るのも手
- 329 :Anonymous:2013/11/12(火) 22:31:46.60 ID:???.net
- >>325
PINGは通ってるならルーティングできているのでは?
他のサービスが通らないっていう話でしょか?
- 330 :anonymous@ab138123.dynamic.ppp.asahi-net.or.jp:2013/11/17(日) 00:24:22.57 ID:???.net
- 皆さんありがとうございます。>>321です。
行きはNSを通らず帰りだけNSのルーティングを使う構成になっています。
仰る通り、flow no-tcp-seq-checkが原因のようでした。
screenos5.0までは、set flow no-tcp-seq-checkがデフォルトで、
screenos5.1以降は、unset flow no-tcp-seq-checkがデフォルトのようです。
また、設定ファイルを読み込む時に、margeするとチェックが有効になり、
replaceするとチェックが無効になるようです。
ありがとうございました。
- 331 :ano:2013/12/05(木) 00:48:09.43 ID:???.net
- juniperのアカウントは製品買わないと登録できないでしょうか?
総レス数 513
140 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200