■ このスレッドは過去ログ倉庫に格納されています
Netscreenユーザスレ r4.0
- 1 :ScreenOS:2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net
- 無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。
http://www.juniper.net/jp/jp/products-services/security/
その他代理店はggrks
過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/
Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/
Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/
- 286 :284:2012/12/27(木) 12:35:41.63 ID:???.net
- >>285
UDP1701もVIPしてみましたが、同じでした。
そもそもiPhoneから5GTに直接VPN接続できれば無問題なのに、
それもできなくて試行錯誤中です。
もうASAでも買おうかな。。。高いけど。
- 287 :anonymous:2012/12/27(木) 15:43:31.64 ID:???.net
- 俺も5GTとiphoneの組み合わせは挫折した。
c1812ならipsecでもSSL-VPNでもなんでも繋がったからオヌヌメ。
- 288 :285:2012/12/27(木) 20:07:12.33 ID:???.net
- ちょいとググったら気になる内容が・・・
ttp://www.hs-juniperproducts.jp/faq/ssg_netscreen.html#link05_27
VIPの設定でUDP500設定しても効かないってことなんじゃね?
- 289 :284:2012/12/27(木) 23:51:01.49 ID:???.net
- >>288
うーん、確かにこの内容の制約に引っかかってるようです。
おそらく自分自身がIKEサービスを提供してるため、そこを開放しない
のでしょうね。
結局IKEはVIPで通せないので、MIPで通すかScreenOSを諦めるしか
ないのか。
ブラウザだけで設定できる手軽さと、高機能が気に入って長らく
使ってきたけど、そろそろ世代交代でしょうかね。
家で使うには機能的に困ることは今まで無かったんだけど。。。
- 290 :anonymous:2012/12/28(金) 01:02:11.80 ID:???.net
- パケットキャプチャか通信ログ確認すればIKE通ってるか見れる
だろうけど面倒だし、スレの過疎っぷりからわかるように情報少ない。
CLIに抵抗ないならCiscoかYAMAHAの安いやつ薦めとくわ。
乙
- 291 :anonymous@p4022-ipbf2009marunouchi.tokyo.ocn.ne.jp:2013/01/02(水) 22:29:04.41 ID:???.net
- testzone → trust → untrust
上記みたいな感じでゾーンをまたぐようなポリシーってどう書けばいいんだろう。
そもそもできないのかな。
- 292 :anonymous:2013/01/03(木) 01:42:13.82 ID:???.net
- >>291
そのトラフィックに沿ったポリシーを書くだけ
一度で済まそうとか考えるからそうなる
- 293 :anonymous@p4197-ipbf6802marunouchi.tokyo.ocn.ne.jp:2013/01/03(木) 09:26:26.96 ID:???.net
- >>292
おお、うまくいきました。ありがとうございます。
- 294 :anonymous:2013/03/23(土) 00:27:06.21 ID:???.net
- RAプロキシ使えないのか。。
- 295 :anonymous@h200039.dynamic.ppp.asahi-net.or.jp:2013/03/31(日) 13:00:44.58 ID:L4HjLbY8.net
- すみませんがちょっと教えてください。
中古のNetScreen5GTを購入しようと思うのですが
NetScreen Ns-5GT-207-03
NetScreen Ns-5GT-107-03
この107/207の違いって何を表してるんでしょうか?
また型番からHA Liteのライセンスがあるかどうか
を判断することは可能でしょうか。
よろしくお願いいたします。
- 296 :anonymous:2013/03/31(日) 16:28:33.52 ID:???.net
- 自分が覚えてる有線の機種しか書いてないのであしからず。
NS-5GT-007 NS-5GT 10user
NS-5GT-107 NS-5GT Plus 無制限user
NS-5GT-207 NS-5GT Extended 無制限user
詳細は適当にググって出てきたこの資料でも見れ。
ttp://www.scs.co.jp/netscreen/pdf/ns5_matrix.pdf
- 297 :anonymous@h200039.dynamic.ppp.asahi-net.or.jp:2013/03/31(日) 18:22:27.42 ID:L4HjLbY8.net
- ご親切にありがとうございました。
HA Liteも設定してみたいので207にすることにします。
- 298 :anonymous@FLH1Alr067.tky.mesh.ad.jp:2013/05/11(土) 02:20:55.42 ID:LBCmAEgz.net
- 初歩的な質問で申し訳ないですが、
NSRPの切り替わり時と切り戻し時に時間が差異があります。
Hold-downはデフォルトです。
Master側のmoniterインターフェースの1本を抜き差しすると
切り替わり時は3秒程度ですが、切り戻し時は3倍以上時間がかかります。
この差はなぜ発生するのか、宜しければどなたかご教示下さい。
- 299 :anonymous@120.143.13.30.static.zoot.jp:2013/06/29(土) 20:48:18.87 ID:???.net
- SSGも320M以上はx86なんだし
VirtualAppliance版出ないんだろうか・・・。
- 300 :anonymous:2013/06/30(日) 22:57:33.20 ID:???.net
- 個人的な趣味だけど、FWは物理的に分けておきたい派だわ。
- 301 :anonymous@uss.sc-idc.net:2013/07/04(木) NY:AN:NY.AN ID:???.net
- ある客から、LAN側からWebUIを開こうとすると超遅いって言われてるんだけど
そんな事例ある?
遠方で確認しにいけないんだけど、リモートで見る限り全く問題なく速いんだよな
- 302 :ななし:2013/07/04(木) NY:AN:NY.AN ID:???.net
- >>301
ブラウザの違いかもね。
VPN使ってるなら変な拠点折り返してるとか。
- 303 :anonymous:2013/07/04(木) NY:AN:NY.AN ID:???.net
- やっぱそのへんだよなあ。
ブラウザ変えてみてもらおう。
どうもありがと。
- 304 :anonymous:2013/08/21(水) NY:AN:NY.AN ID:psrRFEl8.net
- Netscreen 5GT後継何がいいですかねぇ……。
- 305 :anonymous:2013/08/21(水) NY:AN:NY.AN ID:???.net
- (SSG5では)いかんのか?
- 306 :ななし:2013/08/22(木) NY:AN:NY.AN ID:???.net
- >>304
fortigate
- 307 :anonymous@36.3.108.246:2013/09/11(水) 23:34:15.21 ID:fM2QoVMN.net
- 助けてください。
ケーブルテレビのインターネットでSRX繋いでネットしようと思っています。
SRX100のUntrust(fe-0/0/0)でDHCPクライアントを有効にしても
ケーブルモデムからIPアドレスを取ってきません。
Policy設定とか必要なのでしょうか。
よろしくお願いします。
- 308 :anonymous:2013/09/13(金) 22:57:23.76 ID:???.net
- ここはJunos製品のスレではないぞw
- 309 :anonymous:2013/10/15(火) 09:15:04.51 ID:???.net
- http://www.juniper.net/support/eol/screenos.html
- 310 :anony:2013/10/15(火) 22:55:38.92 ID:???.net
- 一瞬心配したけど、もう終わってたわ
問題ない
- 311 :anonymous:2013/10/18(金) 00:25:01.94 ID:???.net
- 6.3はまた随分延びたねぇ
- 312 :SSG5:2013/11/02(土) 20:37:52.83 ID:???.net
- SSG5をかなり安価でGetしたまではよいのだけど、設定にはまっていますorz
PPPoEの動的IPからTrustに向けて内側にMIP設定する場合って
どうすれば良いのでしょうか。
PPPoEで貰ったIPをPolicy Elements のaddless listに固定で登録してしまうと、
次アドレスが変わると通信できなくなるし...
- 313 :anonym:2013/11/02(土) 21:52:20.88 ID:???.net
- VIPでなくて?
- 314 :anonymous:2013/11/02(土) 22:41:09.32 ID:???.net
- つーか何でPPPoE側からの通信があんだよ
- 315 :312:2013/11/03(日) 09:18:46.96 ID:???.net
- >313
すいません。312からしばらくいじったらVIPでした...orz
>>314
自宅のglobalは動的ipでして....
といいつつ外からのNATは上手くいったものの、
FTP over TSLの通信がうまくいかず困っていたら...
kb.juniper.net/InfoCenter/index?page=content&id=KB3419&pmv=print
!!!!orz
どなたか良い知恵お持ち方拝借させてください...
- 316 :anonymous:2013/11/03(日) 10:26:44.22 ID:???.net
- >>315
FTPが必須じゃなけりゃscpで取ればいいだろ
公開鍵は鯖側で事前に用意しろ
> set ssh version v2
> set ssh enable
> set ssh pka-dsa user-name [user] key [key]
> exec ssh tftp pka-dsa user-name [user] file-name [filename] ip-addr [address]
確かこんな感じで行ける
- 317 :anonymous:2013/11/03(日) 16:58:21.63 ID:???.net
- パッシブFTPの場合、データ転送ポートはランダムに選ばれるわけで
FWはパケットの中身をみて接続要求のあったポートを空けるわけだが、
暗号化されている場合FWはそのポート番号を知る術が無い。
KBのソリューションに書いてあるとおり、サーバ側のデータ転送に使用されるポート範囲を制限して
そのポート範囲のカスタムサービスを作成してそれを許可してやる必要がある。
- 318 :312:2013/11/05(火) 21:40:16.72 ID:???.net
- >>316
Windowsで良さげなscpクライアントはいませんかね...
>>317
サーバー側のデータ転送に使用しているポート範囲を制限して、
そのポート範囲のカスタムサービスは作ったのですが、
どうにもデータポートOpen以降が通らなくて....
コントロールポートもwellknown開けると危ないから、
ハイポート(1024以上)で一つ開けているのですが。
この場合ApplicationはFTP指定ではなくて良いのでしょうか...
- 319 :どんなのがあるんだろう?:2013/11/05(火) 22:57:48.83 ID:???.net
- WinSCP以外の鉄板なんて有るんか?
有るなら俺も知りたい
- 320 :319:2013/11/05(火) 22:59:53.24 ID:???.net
- すいません。
Win関連板と勘違いしてましたorz
無視して下さいマシ。
- 321 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/08(金) 05:58:34.96 ID:???.net
- netscreen-50をscreenos 5.0で使っています。
もう一台netscreen-50を入手し、screenos 5.0から5.4に移行しようとしています。
設定をエクスポートして、インポートしたのではスタティックルーティングがうまくいきません。
5.4から機能追加された、PBR(Policy-Based Routing)の設定が必須なのでしょうか。
よろしくお願いします。
- 322 :あのに:2013/11/08(金) 19:08:00.57 ID:???.net
- 設定内容しらんがPBR使わんでもスタティックは動く
- 323 :Anonymous:2013/11/09(土) 03:14:50.25 ID:???.net
- 5.0はスタティックルートはVR内で設定するんじゃなかったっけ?
5.4ぐらい?からはグローバルで設定できるようになってる。
5.0から直接5.4にはアップデートできないから
5.0→5.3→5.4ってパスになるんじゃね?
- 324 :Anonymous:2013/11/09(土) 03:25:38.04 ID:???.net
- とおもったが単なる思い違いだった、、。
- 325 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/09(土) 21:05:50.40 ID:???.net
- ども>>320です。
そうですかぁ。
PINGは通るので、悩んでます。
- 326 :anonymous@ab144039.dynamic.ppp.asahi-net.or.jp:2013/11/09(土) 21:06:31.57 ID:???.net
- すみません。>>321でした。。
- 327 :あのに:2013/11/10(日) 13:27:53.11 ID:???.net
- >>326
3wayは大丈夫か?
その辺でデフォルト変わってた気がするが
- 328 :anon:2013/11/10(日) 16:42:43.79 ID:???.net
- コンフィグがうまく入っていない可能性は?
元々のコンフィグとインポート後のコンフィグでDIFFとって見るのも手
- 329 :Anonymous:2013/11/12(火) 22:31:46.60 ID:???.net
- >>325
PINGは通ってるならルーティングできているのでは?
他のサービスが通らないっていう話でしょか?
- 330 :anonymous@ab138123.dynamic.ppp.asahi-net.or.jp:2013/11/17(日) 00:24:22.57 ID:???.net
- 皆さんありがとうございます。>>321です。
行きはNSを通らず帰りだけNSのルーティングを使う構成になっています。
仰る通り、flow no-tcp-seq-checkが原因のようでした。
screenos5.0までは、set flow no-tcp-seq-checkがデフォルトで、
screenos5.1以降は、unset flow no-tcp-seq-checkがデフォルトのようです。
また、設定ファイルを読み込む時に、margeするとチェックが有効になり、
replaceするとチェックが無効になるようです。
ありがとうございました。
- 331 :ano:2013/12/05(木) 00:48:09.43 ID:???.net
- juniperのアカウントは製品買わないと登録できないでしょうか?
- 332 :anonymous@ab155007.dynamic.ppp.asahi-net.or.jp:2013/12/05(木) 05:26:33.18 ID:???.net
- シリアル番号を入力した覚えがあります。
- 333 :ano:2013/12/06(金) 00:37:58.85 ID:???.net
- >>332
ありがとうございます。
guest という項目があったので登録してみたのですが、
missing〜というメールがきて登録に失敗したようでした。
やはりシリアルがないとだめなのかもしれませんね。
中古で買うにしても、前所有者が登録していた場合
エラーになりそうで踏み切れずにおります。。
- 334 :anonymous:2013/12/06(金) 21:41:56.40 ID:???.net
- とっくにEOLだった中古の5xpのシリアルで
普通に登録できてSSGのまで落としてるけど
- 335 :ano:2013/12/07(土) 13:44:05.60 ID:???.net
- >>334
まじですか。
5xtだけでなくSSGまで落とせるとは、結構そのあたりのポリシーは
ゆるいんでしょうか。
(というよりもOSがいくらダウンロードされようが、メーカに不都合があまりないからかもしれませんが)
- 336 :Anonymous:2013/12/07(土) 16:34:41.48 ID:???.net
- >>335
firmwareだけじゃ、動かないからね。
ノンサポだからアップデートに失敗しても自己責任だし。
- 337 :anonymous@ngn-west-138-103-139-153.enjoy.ne.jp:2013/12/07(土) 23:51:50.63 ID:???.net
- Netscreenで、DMZゾーンを2種類。Trustゾーンを2種類作成し
それぞれのゾーン通信も制限したいと思ってるけど
どんな方法で行うのがよいでしょうか?
- 338 :あのに:2013/12/08(日) 02:27:02.83 ID:???.net
- ポリシーでやればいいべ
- 339 :anonymous@ngn-west-138-103-139-153.enjoy.ne.jp:2013/12/08(日) 23:48:35.73 ID:???.net
- ポリシーでDMZからDMZの通信制限できるの?
- 340 :Anonymous:2013/12/08(日) 23:57:52.36 ID:???.net
- 要は4種類のゾーン間の通信制御たろ?
できるじゃねぇか。
- 341 :anonymous:2013/12/09(月) 00:48:34.76 ID:???.net
- ポリシーってデフォルトでTrustとかDMZとかついてるけど、
わかりやすくしてるだけで使い方は自由っていう認識で合ってる?
(初期でPingが有効になってたり微妙な違いはあると思うけど)
- 342 :あのに:2013/12/09(月) 03:52:50.34 ID:???.net
- from-zone DMZ1 to-zone DMZ2 any deny log
少しは調べることを覚えたほうがいい
- 343 :アノニマス:2014/01/18(土) 11:59:32.69 ID:???.net
- 風の噂で、SSGってもう5年ライセンス購入できない(=サポート出来ない?)と
聞いたんだが、マジ?
いよいよJunos覚えないかんのか・・・?
- 344 :anonymous:2014/01/18(土) 18:09:23.04 ID:???.net
- 販売店に聞けよ。
それ以前にJUNOS製品に乗換えるなら、別に他社製品でもいいような気がするけどな。
- 345 :sage:2014/01/27(月) 22:28:52.04 ID:???.net
- そろそろSSGの代わりは決まりましたか?> /home/usr/all?
- 346 :anonymous@p2-user: 1014728 p2-client-ip: 49.98.151.169:2014/01/28(火) 06:41:37.69 ID:???.net
- >>345
SRX
はないか
- 347 :anonymous:2014/01/28(火) 21:35:37.90 ID:???.net
- 同じくASIC製品ということで、FortiGate?
- 348 :ななし:2014/01/29(水) 07:31:35.92 ID:???.net
- >>347
だね。元々netscreenから派生した?会社だしね。
- 349 :anonymous:2014/01/30(木) 01:44:42.55 ID:WUnKBJtm.net
- ScreenOS使わない商品買うくらいなら他社にいくよね?
- 350 :anonymous:2014/03/10(月) 07:31:56.07 ID:???.net
- 結局、ScreenOS使った機器の今後はどうなるんだろう?
いい加減初期にSSG買った客のリプレース時期なんだが。
- 351 :anonymous@140.208.138.210.vmobile.jp:2014/03/13(木) 13:48:37.86 ID:???.net
- おいら一生netscreen50でいくよ
中古でもう一台買ってHAするんだ
- 352 :anonymous:2014/03/13(木) 19:46:16.60 ID:???.net
- EOL終了後に致命的なセキュリティホールが見つかったらオワコンだろw
自宅にある208もどうしてくれようかな。
- 353 :anonymous:2014/03/16(日) 16:16:25.90 ID:???.net
- ギガビット対応してないけど、どうせ外部と通信してたらどっかで
速度落ちるし全然問題ないもんな。
問題あるとしたらセキュリティホールぐらいしか思いつかん。
- 354 :anonymous:2014/03/16(日) 22:29:39.60 ID:???.net
- >>350
今なら、もう1回SSG行けんじゃね?同機種更新で事足りるなら。
上の方でも出てたが、Junos6.3のEoL/EoS、2019/12/31まで延長されてっから。
今からなら、5年リースで、もう1サイクル回せるぜ。
その先は・・・神のみぞ知る。
- 355 :anonymous:2014/03/17(月) 09:31:45.44 ID:???.net
- Junos6.3?ScreenOS6.3じゃなくて?
- 356 :anonymous@h219-110-205-225.catv02.itscom.jp:2014/03/29(土) 23:19:02.19 ID:???.net
- さり気無くjunosに誘導してるな
- 357 :anonymous:2014/03/30(日) 14:11:16.45 ID:xl1JNa0n.net
- ScreenOSじゃないNetscreenなんて要りません
そんなの使うくらいなら他社のFWアプライアンス使うわ
- 358 :anonymous:2014/04/01(火) 22:09:18.34 ID:???.net
- Junosって実際のところ使いにくい?
- 359 :anonymous:2014/04/04(金) 12:57:24.60 ID:tC1EiEj3.net
- 客「缶切りを1つください」
Juniper「はい、十徳ナイフをどうぞ」
こんな感じ
- 360 :anonymous@softbank221094115231.bbtec.net:2014/04/05(土) 15:47:07.07 ID:qZAyZsAZ.net
- 電話屋じゃないけどすみません教えて下さい。
ローゼット内のL1と2端子のとこにマイナスドライバー
あててるのを見たけど、一瞬パチって音がした。
あれって直流50Vなのに、ショートして壊れないのか?
- 361 :ななし:2014/04/05(土) 20:22:48.71 ID:???.net
- >>360
線路長があるし電流自体もそんなに流れないようになってる。
まあパチパチ何回もやってるとNTTから電話かかってくるぞ。
- 362 :anonyumous:2014/04/06(日) 21:23:07.36 ID:???.net
- >>359
色々できるのかもしれんが使いずれーよって感じか。
- 363 :anonymous@k184164.ppp.asahi-net.or.jp:2014/04/06(日) 21:30:24.91 ID:???.net
- 客「缶切りを1つください」
Juniper「(無造作に道具類が放り込まれた箱を差し出して)こんなかからテキトーに探して」
こうじゃないか
- 364 :anonymous:2014/04/06(日) 23:42:39.28 ID:???.net
- 後継と呼ばれる製品は扱ったことあるが、使い易いとは御世辞でも言えん製品だったな。残念だけど、まだFortigateの方が許容出来るわ。
- 365 :anonymous:2014/05/04(日) 18:15:33.33 ID:???.net
- 十分に枯れきってる安心感から、まだ提案時には候補に入れてます
IDS(P)があると他プロダクトに座を譲ることになるけれど。
EOS考えるとあと2年が限度かな
- 366 :anonymous:2014/05/04(日) 20:43:06.43 ID:???.net
- DIでは代替提案には難しいのかな。
ScreenOS終わったらショックだなあ。
- 367 :anonymous:2014/05/13(火) 03:12:39.26 ID:???.net
- 完全に終わったら、オープンソース化希望
- 368 :ななし:2014/06/03(火) 06:41:01.81 ID:???.net
- バイト先で、使わなくなったNetScreen-5XTを貰ってきたんですけど、これって、PeerBlock(Windowsの
ソフトです)みたいに、食わせたIP一覧を元にして遮断したり通したりすることって出来ますか?日本以
外のIPを全部弾くといったような使い方です。
それにしてもこれ、めちゃくちゃ熱を持つんですね。怖いくらい。
- 369 :anonymous@120.125.214.202.vmobile.jp:2014/06/10(火) 03:06:23.25 ID:???.net
- 年内いっぱい終わりだってさ。
- 370 :anonymous@kav03.raidthink.com:2014/06/10(火) 09:33:23.85 ID:???.net
- >>369
何が?
- 371 :anonymous:2014/06/15(日) 01:34:38.64 ID:???.net
- SSG5をFWとして使っているのだけどUntrust側にルータがありそこからインターネットに接続している
その上でUntrust側にあるPCやスマホのインターネットへのアクセス制御をするためにあえてSSGをゲートウェイにし
Untrust上にあるルータにスタティックでルーティングしてネットに出すようにしているのだけど
そのUntrust上のスマホからのLINEによる通信が異常に遅いんだけど理由分かる人いる?
通信できないわけじゃなく劇的に遅い。
ちなみにゲートウェイをルータに直接張った場合はやたら早いので回線やルータのせいではないし
ポリシーも全通しで設定して試しているけどそれで遅い。
ログ見ても特に何かをDenyしている事はない。通信としてはhttp/httpsと5228しか発生していないようだし
それは通過しているので原因がつかめない・・・
- 372 :372:2014/06/15(日) 01:38:02.64 ID:???.net
- ちなみに同じくUntrust側においてある通常のPCからの通信は特に何か他が遅いということはないようだ。
スマホからのLINE以外の通信も特に遅いと感じたことはないんだよなぁ。
- 373 :anonyumous:2014/06/15(日) 02:10:24.01 ID:???.net
- スマホをTrust側においたらどうなる?
LINEだけってことはアプリケーションレベルの話でどうしようもないかも。
- 374 :372:2014/06/15(日) 04:44:32.25 ID:???.net
- >>373
Trust側には無線がないからスマホではチェック出来ないんだよね
PCのLINEアプリはTrustのPCでチェックしたけど遅くならない
アプリケーションレベルの問題だとしたらSSGを通さないでルータをゲートウェイにした時は
この問題が起こらないのも理由が分からんのよね
もしかしたらLINE以外でも遅いことがあるのかもしれないが他のスマホアプリはそもそもが
速度が明確に分かるような使い方してないってのもあるのかも。
ブラウザでウェブ見るのは普通に早い気はする。
- 375 :372:2014/06/15(日) 04:47:05.13 ID:???.net
- やはり今チェックしてみたがブラウザも早いし2chも早い。
LINEだけがやたら遅い。←マークがなくなるまで10秒ぐらいかかる時がある
さらに問題をややこしくしているのはたまに普通に早い時があるんだよ
ログでは特に早い時と遅い時で何か違いがあるようには見えないんだよなぁ。
- 376 :anonymous:2014/06/15(日) 07:01:29.33 ID:???.net
- Untrust側にルータって所謂Wi-Fi付のブロードバンドルータのこと?
(グローバル)
│
[ルータ]
│
├[PC1][スマホ]
│
[SSG5]
│
┴─[PC2]
どういうポリシー切ってるのか知らんけど、普通にルータとSSG逆にしたらよくね?
プライベートNWのセグメント分けたいならSSG配下で分けられるし。
- 377 :anon:2014/06/15(日) 17:34:01.49 ID:???.net
- http://www.juniper.net/jp/jp/dm/branch-srx-campaign/
- 378 :372:2014/06/15(日) 22:19:47.33 ID:???.net
- >>376
構成はまさにその通りの構成なんだけど入れ替えは出来ないんだ
理由としてはSSG5の周辺にはDMZも作っていて有線接続のサーバがたくさん配置されてあるんだが
ルータ及びONUのそばにはそれを設置するスペースが無いためSSGにイーサネットコンバータで
無線ルータとONUがある場所に無線でUntrustの通信を飛ばしている
回線の口がそのスペースがない場所にしかないため仕方なくそういう構成になっている
- 379 :Anonymous:2014/06/16(月) 04:19:35.02 ID:???.net
- なんという苦肉の策、、
物理もそうだが、どういうルーティングになってるんだ。。
VLAN切れるスイッチを用意してグローバルNWとルータのLAN側NWを別VLAN割り当てて繋いで
Trunkに設定したポートをアドホックで繋げられるイーサネットコンバータでSSGに接続
SSG側接続ポートでSub-IF作ってVLAN-ID指定してグローバルとルータのLAN側のIPを設定したら
論理的にはキレイになるかも・・・。
- 380 :372:2014/06/18(水) 23:15:40.61 ID:???.net
- >>379
返事が遅れてスイマセン。
構成としては
[VDSLモデム]→インターネット
│
[無線ルータ]
│(無線)
├[PC1(無線LAN)][スマホ]
│(無線)
[イーサネットコンバータ]
untrust
[SSG5]ーDMZー[SV1(有線)][SV2(有線)][SV3(有線)]
│
trust
┴─[PC2(有線)][PC3(有線)]
のような構成になってます。ルーティングは至極簡単で無線ルータが192.168.0.0にスタティックで
SSG5のuntrustインタフェースにしているだけです。
なのでPC1やスマホは無線ルータで無線を受けたあとDHCPでSSG5からIPを払いだしてもらう形になっています。
払い出すIPはUntrust側のセグメントアドレスでデフォゲをSSG5のインタフェースに張っており
SSG5はデフォルトルートで無線ルータのLAN側インタフェースを張っている。
見て頂ければ分かる通り無線ルータインターネット側のインタフェースはPPPoEで接続しているため
グローバル側にVLANを持たせて回すようなやり方は出来ない。
なぜ通信が無駄に遅いのかは理解できないんだよなぁ・・・
- 381 :anonymous@k184164.ppp.asahi-net.or.jp:2014/06/19(木) 00:17:54.40 ID:???.net
- この構成だと、ポリシーや設定によってはicmpが破棄されるかも
icmp通らないとpath mtu discoveryできなくなるから注意
- 382 :anonym:2014/06/19(木) 01:55:59.45 ID:???.net
- http://www.atmarkit.co.jp/fwin2k/win2ktips/613icmpredir/icmpredir.html
http://networksecurity.cocolog-nifty.com/blog/2007/02/netscreenicmp_a4f9.html
まぁなんにしてもScreenOSには非推奨な構成です。
何が起こっているのか見るのにdebug使ってみるのも手だね。
ちなみにPPPoEはL2上のプロトコルなのでVLANでカプセル化できます。
- 383 :372:2014/06/19(木) 04:52:17.21 ID:???.net
- >>381
ポリシーは一応全通しにしてあるんだけど今見たらインタフェースのpath mtuにチェックが入っていないので
それが原因の可能性もある?
- 384 :372:2014/06/19(木) 05:05:26.85 ID:???.net
- 今試してみたけど関係なかった
しかしどの辺が非推奨な設定なのかが分からない
まぁUntrustでのIntra-zone policyになってる事自体があまり綺麗とは言えないというか
同一セグメント上の別の機器にルーティングしてる時点でおかしな構成ではあるのだが
SSG通さないと通信の制御が出来ないから仕方なく・・・
- 385 :anonymous@k184164.ppp.asahi-net.or.jp:2014/06/19(木) 09:17:08.10 ID:???.net
- あと unset flow tcp-syn-check いれてみるとか
総レス数 513
140 KB
新着レスの表示
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver.24052200