Netscreenユーザスレ r4.0

1 ：ScreenOS：2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net

無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

286 ：284：2012/12/27(木) 12:35:41.63 ID:???.net

>>285
UDP1701もVIPしてみましたが、同じでした。

そもそもiPhoneから5GTに直接VPN接続できれば無問題なのに、
それもできなくて試行錯誤中です。

もうASAでも買おうかな。。。高いけど。

287 ：anonymous：2012/12/27(木) 15:43:31.64 ID:???.net

俺も5GTとiphoneの組み合わせは挫折した。
c1812ならipsecでもSSL-VPNでもなんでも繋がったからオヌヌメ。

288 ：285：2012/12/27(木) 20:07:12.33 ID:???.net

ちょいとググったら気になる内容が・・・
ttp://www.hs-juniperproducts.jp/faq/ssg_netscreen.html#link05_27

VIPの設定でUDP500設定しても効かないってことなんじゃね？

289 ：284：2012/12/27(木) 23:51:01.49 ID:???.net

>>288
うーん、確かにこの内容の制約に引っかかってるようです。
おそらく自分自身がIKEサービスを提供してるため、そこを開放しない
のでしょうね。

結局IKEはVIPで通せないので、MIPで通すかScreenOSを諦めるしか
ないのか。

ブラウザだけで設定できる手軽さと、高機能が気に入って長らく
使ってきたけど、そろそろ世代交代でしょうかね。

家で使うには機能的に困ることは今まで無かったんだけど。。。

290 ：anonymous：2012/12/28(金) 01:02:11.80 ID:???.net

パケットキャプチャか通信ログ確認すればIKE通ってるか見れる
だろうけど面倒だし、スレの過疎っぷりからわかるように情報少ない。

CLIに抵抗ないならCiscoかYAMAHAの安いやつ薦めとくわ。
乙

291 ：anonymous@p4022-ipbf2009marunouchi.tokyo.ocn.ne.jp：2013/01/02(水) 22:29:04.41 ID:???.net

testzone → trust → untrust

上記みたいな感じでゾーンをまたぐようなポリシーってどう書けばいいんだろう。
そもそもできないのかな。

292 ：anonymous：2013/01/03(木) 01:42:13.82 ID:???.net

>>291
そのトラフィックに沿ったポリシーを書くだけ
一度で済まそうとか考えるからそうなる

293 ：anonymous@p4197-ipbf6802marunouchi.tokyo.ocn.ne.jp：2013/01/03(木) 09:26:26.96 ID:???.net

>>292

おお、うまくいきました。ありがとうございます。

294 ：anonymous：2013/03/23(土) 00:27:06.21 ID:???.net

RAプロキシ使えないのか。。

295 ：anonymous@h200039.dynamic.ppp.asahi-net.or.jp：2013/03/31(日) 13:00:44.58 ID:L4HjLbY8.net

すみませんがちょっと教えてください。
中古のNetScreen5GTを購入しようと思うのですが

NetScreen Ns-5GT-207-03
NetScreen Ns-5GT-107-03

この107/207の違いって何を表してるんでしょうか？

また型番からHA Liteのライセンスがあるかどうか
を判断することは可能でしょうか。

よろしくお願いいたします。

296 ：anonymous：2013/03/31(日) 16:28:33.52 ID:???.net

自分が覚えてる有線の機種しか書いてないのであしからず。

NS-5GT-007 NS-5GT 10user
NS-5GT-107 NS-5GT Plus 無制限user
NS-5GT-207 NS-5GT Extended 無制限user

詳細は適当にググって出てきたこの資料でも見れ。
ttp://www.scs.co.jp/netscreen/pdf/ns5_matrix.pdf

297 ：anonymous@h200039.dynamic.ppp.asahi-net.or.jp：2013/03/31(日) 18:22:27.42 ID:L4HjLbY8.net

ご親切にありがとうございました。

HA Liteも設定してみたいので207にすることにします。

298 ：anonymous@FLH1Alr067.tky.mesh.ad.jp：2013/05/11(土) 02:20:55.42 ID:LBCmAEgz.net

初歩的な質問で申し訳ないですが、
NSRPの切り替わり時と切り戻し時に時間が差異があります。
Hold-downはデフォルトです。
Master側のmoniterインターフェースの1本を抜き差しすると
切り替わり時は3秒程度ですが、切り戻し時は3倍以上時間がかかります。
この差はなぜ発生するのか、宜しければどなたかご教示下さい。

299 ：anonymous@120.143.13.30.static.zoot.jp：2013/06/29(土) 20:48:18.87 ID:???.net

SSGも320M以上はx86なんだし
VirtualAppliance版出ないんだろうか・・・。

300 ：anonymous：2013/06/30(日) 22:57:33.20 ID:???.net

個人的な趣味だけど、FWは物理的に分けておきたい派だわ。　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

301 ：anonymous@uss.sc-idc.net：2013/07/04(木) NY:AN:NY.AN ID:???.net

ある客から、LAN側からWebUIを開こうとすると超遅いって言われてるんだけど
そんな事例ある？
遠方で確認しにいけないんだけど、リモートで見る限り全く問題なく速いんだよな

302 ：ななし：2013/07/04(木) NY:AN:NY.AN ID:???.net

>>301
ブラウザの違いかもね。
VPN使ってるなら変な拠点折り返してるとか。

303 ：anonymous：2013/07/04(木) NY:AN:NY.AN ID:???.net

やっぱそのへんだよなあ。
ブラウザ変えてみてもらおう。
どうもありがと。

304 ：anonymous：2013/08/21(水) NY:AN:NY.AN ID:psrRFEl8.net

Netscreen 5GT後継何がいいですかねぇ……。

305 ：anonymous：2013/08/21(水) NY:AN:NY.AN ID:???.net

（SSG5では）いかんのか？

306 ：ななし：2013/08/22(木) NY:AN:NY.AN ID:???.net

>>304
fortigate

307 ：anonymous@36.3.108.246：2013/09/11(水) 23:34:15.21 ID:fM2QoVMN.net

助けてください。
ケーブルテレビのインターネットでSRX繋いでネットしようと思っています。
SRX100のUntrust（fe-0/0/0）でDHCPクライアントを有効にしても
ケーブルモデムからIPアドレスを取ってきません。
Policy設定とか必要なのでしょうか。
よろしくお願いします。

308 ：anonymous：2013/09/13(金) 22:57:23.76 ID:???.net

ここはJunos製品のスレではないぞw

309 ：anonymous：2013/10/15(火) 09:15:04.51 ID:???.net

http://www.juniper.net/support/eol/screenos.html

310 ：anony：2013/10/15(火) 22:55:38.92 ID:???.net

一瞬心配したけど、もう終わってたわ
問題ない

311 ：anonymous：2013/10/18(金) 00:25:01.94 ID:???.net

6.3はまた随分延びたねぇ

312 ：SSG5：2013/11/02(土) 20:37:52.83 ID:???.net

SSG5をかなり安価でGetしたまではよいのだけど、設定にはまっていますorz
PPPoEの動的IPからTrustに向けて内側にMIP設定する場合って
どうすれば良いのでしょうか。
PPPoEで貰ったIPをPolicy Elements のaddless listに固定で登録してしまうと、
次アドレスが変わると通信できなくなるし...

313 ：anonym：2013/11/02(土) 21:52:20.88 ID:???.net

VIPでなくて？

314 ：anonymous：2013/11/02(土) 22:41:09.32 ID:???.net

つーか何でPPPoE側からの通信があんだよ

315 ：312：2013/11/03(日) 09:18:46.96 ID:???.net

>313

すいません。312からしばらくいじったらVIPでした...orz

>>314
自宅のglobalは動的ipでして....
といいつつ外からのNATは上手くいったものの、
FTP over TSLの通信がうまくいかず困っていたら...

kb.juniper.net/InfoCenter/index?page=content&id=KB3419&pmv=print

!!!!orz
どなたか良い知恵お持ち方拝借させてください...

316 ：anonymous：2013/11/03(日) 10:26:44.22 ID:???.net

>>315
FTPが必須じゃなけりゃscpで取ればいいだろ
公開鍵は鯖側で事前に用意しろ

> set ssh version v2
> set ssh enable
> set ssh pka-dsa user-name [user] key [key]
> exec ssh tftp pka-dsa user-name [user] file-name [filename] ip-addr [address]

確かこんな感じで行ける

317 ：anonymous：2013/11/03(日) 16:58:21.63 ID:???.net

パッシブFTPの場合、データ転送ポートはランダムに選ばれるわけで
FWはパケットの中身をみて接続要求のあったポートを空けるわけだが、
暗号化されている場合FWはそのポート番号を知る術が無い。

KBのソリューションに書いてあるとおり、サーバ側のデータ転送に使用されるポート範囲を制限して
そのポート範囲のカスタムサービスを作成してそれを許可してやる必要がある。

318 ：312：2013/11/05(火) 21:40:16.72 ID:???.net

>>316

Windowsで良さげなscpクライアントはいませんかね...

>>317
サーバー側のデータ転送に使用しているポート範囲を制限して、
そのポート範囲のカスタムサービスは作ったのですが、
どうにもデータポートOpen以降が通らなくて....
コントロールポートもwellknown開けると危ないから、
ハイポート(1024以上）で一つ開けているのですが。

この場合ApplicationはFTP指定ではなくて良いのでしょうか...

319 ：どんなのがあるんだろう？：2013/11/05(火) 22:57:48.83 ID:???.net

WinSCP以外の鉄板なんて有るんか？
有るなら俺も知りたい

320 ：３１９：2013/11/05(火) 22:59:53.24 ID:???.net

すいません。
Win関連板と勘違いしてましたorz
無視して下さいマシ。

321 ：anonymous@ab144039.dynamic.ppp.asahi-net.or.jp：2013/11/08(金) 05:58:34.96 ID:???.net

netscreen-50をscreenos 5.0で使っています。
もう一台netscreen-50を入手し、screenos 5.0から5.4に移行しようとしています。
設定をエクスポートして、インポートしたのではスタティックルーティングがうまくいきません。
5.4から機能追加された、PBR(Policy-Based Routing)の設定が必須なのでしょうか。
よろしくお願いします。

322 ：あのに：2013/11/08(金) 19:08:00.57 ID:???.net

設定内容しらんがPBR使わんでもスタティックは動く

323 ：Anonymous：2013/11/09(土) 03:14:50.25 ID:???.net

5.0はスタティックルートはVR内で設定するんじゃなかったっけ？
5.4ぐらい？からはグローバルで設定できるようになってる。

5.0から直接5.4にはアップデートできないから
5.0→5.3→5.4ってパスになるんじゃね？

324 ：Anonymous：2013/11/09(土) 03:25:38.04 ID:???.net

とおもったが単なる思い違いだった、、。

325 ：anonymous@ab144039.dynamic.ppp.asahi-net.or.jp：2013/11/09(土) 21:05:50.40 ID:???.net

ども>>320です。
そうですかぁ。
PINGは通るので、悩んでます。

326 ：anonymous@ab144039.dynamic.ppp.asahi-net.or.jp：2013/11/09(土) 21:06:31.57 ID:???.net

すみません。>>321でした。。

327 ：あのに：2013/11/10(日) 13:27:53.11 ID:???.net

>>326
3wayは大丈夫か？
その辺でデフォルト変わってた気がするが

328 ：anon：2013/11/10(日) 16:42:43.79 ID:???.net

コンフィグがうまく入っていない可能性は？
元々のコンフィグとインポート後のコンフィグでDIFFとって見るのも手

329 ：Anonymous：2013/11/12(火) 22:31:46.60 ID:???.net

>>325
PINGは通ってるならルーティングできているのでは？
他のサービスが通らないっていう話でしょか？

330 ：anonymous@ab138123.dynamic.ppp.asahi-net.or.jp：2013/11/17(日) 00:24:22.57 ID:???.net

皆さんありがとうございます。>>321です。

行きはNSを通らず帰りだけNSのルーティングを使う構成になっています。
仰る通り、flow no-tcp-seq-checkが原因のようでした。
screenos5.0までは、set flow no-tcp-seq-checkがデフォルトで、
screenos5.1以降は、unset flow no-tcp-seq-checkがデフォルトのようです。

また、設定ファイルを読み込む時に、margeするとチェックが有効になり、
replaceするとチェックが無効になるようです。

ありがとうございました。

331 ：ano：2013/12/05(木) 00:48:09.43 ID:???.net

juniperのアカウントは製品買わないと登録できないでしょうか？

332 ：anonymous@ab155007.dynamic.ppp.asahi-net.or.jp：2013/12/05(木) 05:26:33.18 ID:???.net

シリアル番号を入力した覚えがあります。

333 ：ano：2013/12/06(金) 00:37:58.85 ID:???.net

>>332
ありがとうございます。
guest という項目があったので登録してみたのですが、
missing〜というメールがきて登録に失敗したようでした。

やはりシリアルがないとだめなのかもしれませんね。
中古で買うにしても、前所有者が登録していた場合
エラーになりそうで踏み切れずにおります。。

334 ：anonymous：2013/12/06(金) 21:41:56.40 ID:???.net

とっくにEOLだった中古の5xpのシリアルで
普通に登録できてSSGのまで落としてるけど

335 ：ano：2013/12/07(土) 13:44:05.60 ID:???.net

>>334
まじですか。
5xtだけでなくSSGまで落とせるとは、結構そのあたりのポリシーは
ゆるいんでしょうか。
(というよりもOSがいくらダウンロードされようが、メーカに不都合があまりないからかもしれませんが)

336 ：Anonymous：2013/12/07(土) 16:34:41.48 ID:???.net

>>335
firmwareだけじゃ、動かないからね。
ノンサポだからアップデートに失敗しても自己責任だし。

337 ：anonymous@ngn-west-138-103-139-153.enjoy.ne.jp：2013/12/07(土) 23:51:50.63 ID:???.net

Netscreenで、DMZゾーンを２種類。Trustゾーンを２種類作成し
それぞれのゾーン通信も制限したいと思ってるけど
どんな方法で行うのがよいでしょうか？

338 ：あのに：2013/12/08(日) 02:27:02.83 ID:???.net

ポリシーでやればいいべ

339 ：anonymous@ngn-west-138-103-139-153.enjoy.ne.jp：2013/12/08(日) 23:48:35.73 ID:???.net

ポリシーでDMZからDMZの通信制限できるの？

340 ：Anonymous：2013/12/08(日) 23:57:52.36 ID:???.net

要は4種類のゾーン間の通信制御たろ？
できるじゃねぇか。

341 ：anonymous：2013/12/09(月) 00:48:34.76 ID:???.net

ポリシーってデフォルトでTrustとかDMZとかついてるけど、
わかりやすくしてるだけで使い方は自由っていう認識で合ってる？
(初期でPingが有効になってたり微妙な違いはあると思うけど)

342 ：あのに：2013/12/09(月) 03:52:50.34 ID:???.net

from-zone DMZ1 to-zone DMZ2 any deny log
少しは調べることを覚えたほうがいい

343 ：アノニマス：2014/01/18(土) 11:59:32.69 ID:???.net

風の噂で、SSGってもう5年ライセンス購入できない（=サポート出来ない？）と
聞いたんだが、マジ？
いよいよJunos覚えないかんのか・・・？

344 ：anonymous：2014/01/18(土) 18:09:23.04 ID:???.net

販売店に聞けよ。
それ以前にJUNOS製品に乗換えるなら、別に他社製品でもいいような気がするけどな。

345 ：sage：2014/01/27(月) 22:28:52.04 ID:???.net

そろそろSSGの代わりは決まりましたか？> /home/usr/all?

346 ：anonymous@p2-user: 1014728 p2-client-ip: 49.98.151.169：2014/01/28(火) 06:41:37.69 ID:???.net

>>345
SRX　





はないか

347 ：anonymous：2014/01/28(火) 21:35:37.90 ID:???.net

同じくASIC製品ということで、FortiGate？

348 ：ななし：2014/01/29(水) 07:31:35.92 ID:???.net

>>347
だね。元々netscreenから派生した？会社だしね。

349 ：anonymous：2014/01/30(木) 01:44:42.55 ID:WUnKBJtm.net

ScreenOS使わない商品買うくらいなら他社にいくよね？

350 ：anonymous：2014/03/10(月) 07:31:56.07 ID:???.net

結局、ScreenOS使った機器の今後はどうなるんだろう？
いい加減初期にSSG買った客のリプレース時期なんだが。

351 ：anonymous@140.208.138.210.vmobile.jp：2014/03/13(木) 13:48:37.86 ID:???.net

おいら一生netscreen50でいくよ
中古でもう一台買ってHAするんだ

352 ：anonymous：2014/03/13(木) 19:46:16.60 ID:???.net

EOL終了後に致命的なセキュリティホールが見つかったらオワコンだろw
自宅にある208もどうしてくれようかな。

353 ：anonymous：2014/03/16(日) 16:16:25.90 ID:???.net

ギガビット対応してないけど、どうせ外部と通信してたらどっかで
速度落ちるし全然問題ないもんな。
問題あるとしたらセキュリティホールぐらいしか思いつかん。

354 ：anonymous：2014/03/16(日) 22:29:39.60 ID:???.net

>>350
今なら、もう1回SSG行けんじゃね？同機種更新で事足りるなら。
上の方でも出てたが、Junos6.3のEoL/EoS、2019/12/31まで延長されてっから。
今からなら、5年リースで、もう1サイクル回せるぜ。

その先は・・・神のみぞ知る。

355 ：anonymous：2014/03/17(月) 09:31:45.44 ID:???.net

Junos6.3？ScreenOS6.3じゃなくて？

356 ：anonymous@h219-110-205-225.catv02.itscom.jp：2014/03/29(土) 23:19:02.19 ID:???.net

さり気無くjunosに誘導してるな

357 ：anonymous：2014/03/30(日) 14:11:16.45 ID:xl1JNa0n.net

ScreenOSじゃないNetscreenなんて要りません
そんなの使うくらいなら他社のFWアプライアンス使うわ

358 ：anonymous：2014/04/01(火) 22:09:18.34 ID:???.net

Junosって実際のところ使いにくい？

359 ：anonymous：2014/04/04(金) 12:57:24.60 ID:tC1EiEj3.net

客「缶切りを１つください」
Juniper「はい、十徳ナイフをどうぞ」

こんな感じ

360 ：anonymous@softbank221094115231.bbtec.net：2014/04/05(土) 15:47:07.07 ID:qZAyZsAZ.net

電話屋じゃないけどすみません教えて下さい。

ローゼット内のＬ１と２端子のとこにマイナスドライバー
あててるのを見たけど、一瞬パチって音がした。
あれって直流５０Ｖなのに、ショートして壊れないのか？

361 ：ななし：2014/04/05(土) 20:22:48.71 ID:???.net

>>360
線路長があるし電流自体もそんなに流れないようになってる。
まあパチパチ何回もやってるとNTTから電話かかってくるぞ。

362 ：anonyumous：2014/04/06(日) 21:23:07.36 ID:???.net

>>359
色々できるのかもしれんが使いずれーよって感じか。

363 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/04/06(日) 21:30:24.91 ID:???.net

客「缶切りを１つください」
Juniper「（無造作に道具類が放り込まれた箱を差し出して）こんなかからテキトーに探して」

こうじゃないか

364 ：anonymous：2014/04/06(日) 23:42:39.28 ID:???.net

後継と呼ばれる製品は扱ったことあるが、使い易いとは御世辞でも言えん製品だったな。残念だけど、まだFortigateの方が許容出来るわ。

365 ：anonymous：2014/05/04(日) 18:15:33.33 ID:???.net

十分に枯れきってる安心感から、まだ提案時には候補に入れてます
IDS(P)があると他プロダクトに座を譲ることになるけれど。
EOS考えるとあと２年が限度かな

366 ：anonymous：2014/05/04(日) 20:43:06.43 ID:???.net

DIでは代替提案には難しいのかな。
ScreenOS終わったらショックだなあ。

367 ：anonymous：2014/05/13(火) 03:12:39.26 ID:???.net

完全に終わったら、オープンソース化希望

368 ：ななし：2014/06/03(火) 06:41:01.81 ID:???.net

バイト先で、使わなくなったNetScreen-5XTを貰ってきたんですけど、これって、PeerBlock(Windowsの
ソフトです)みたいに、食わせたIP一覧を元にして遮断したり通したりすることって出来ますか？日本以
外のIPを全部弾くといったような使い方です。

それにしてもこれ、めちゃくちゃ熱を持つんですね。怖いくらい。

369 ：anonymous@120.125.214.202.vmobile.jp：2014/06/10(火) 03:06:23.25 ID:???.net

年内いっぱい終わりだってさ。

370 ：anonymous@kav03.raidthink.com：2014/06/10(火) 09:33:23.85 ID:???.net

>>369
何が？

371 ：anonymous：2014/06/15(日) 01:34:38.64 ID:???.net

SSG5をFWとして使っているのだけどUntrust側にルータがありそこからインターネットに接続している
その上でUntrust側にあるPCやスマホのインターネットへのアクセス制御をするためにあえてSSGをゲートウェイにし
Untrust上にあるルータにスタティックでルーティングしてネットに出すようにしているのだけど
そのUntrust上のスマホからのLINEによる通信が異常に遅いんだけど理由分かる人いる？
通信できないわけじゃなく劇的に遅い。
ちなみにゲートウェイをルータに直接張った場合はやたら早いので回線やルータのせいではないし
ポリシーも全通しで設定して試しているけどそれで遅い。
ログ見ても特に何かをDenyしている事はない。通信としてはhttp/httpsと5228しか発生していないようだし
それは通過しているので原因がつかめない・・・

372 ：372：2014/06/15(日) 01:38:02.64 ID:???.net

ちなみに同じくUntrust側においてある通常のPCからの通信は特に何か他が遅いということはないようだ。
スマホからのLINE以外の通信も特に遅いと感じたことはないんだよなぁ。

373 ：anonyumous：2014/06/15(日) 02:10:24.01 ID:???.net

スマホをTrust側においたらどうなる？

LINEだけってことはアプリケーションレベルの話でどうしようもないかも。

374 ：372：2014/06/15(日) 04:44:32.25 ID:???.net

>>373
Trust側には無線がないからスマホではチェック出来ないんだよね
PCのLINEアプリはTrustのPCでチェックしたけど遅くならない
アプリケーションレベルの問題だとしたらSSGを通さないでルータをゲートウェイにした時は
この問題が起こらないのも理由が分からんのよね
もしかしたらLINE以外でも遅いことがあるのかもしれないが他のスマホアプリはそもそもが
速度が明確に分かるような使い方してないってのもあるのかも。
ブラウザでウェブ見るのは普通に早い気はする。

375 ：372：2014/06/15(日) 04:47:05.13 ID:???.net

やはり今チェックしてみたがブラウザも早いし2chも早い。
LINEだけがやたら遅い。←マークがなくなるまで10秒ぐらいかかる時がある
さらに問題をややこしくしているのはたまに普通に早い時があるんだよ
ログでは特に早い時と遅い時で何か違いがあるようには見えないんだよなぁ。

376 ：anonymous：2014/06/15(日) 07:01:29.33 ID:???.net

Untrust側にルータって所謂Wi-Fi付のブロードバンドルータのこと？

(グローバル)
│
[ルータ]
│
├[PC1][スマホ]
│
[SSG5]
│
┴─[PC2]


どういうポリシー切ってるのか知らんけど、普通にルータとSSG逆にしたらよくね？
プライベートNWのセグメント分けたいならSSG配下で分けられるし。

377 ：anon：2014/06/15(日) 17:34:01.49 ID:???.net

http://www.juniper.net/jp/jp/dm/branch-srx-campaign/

378 ：372：2014/06/15(日) 22:19:47.33 ID:???.net

>>376
構成はまさにその通りの構成なんだけど入れ替えは出来ないんだ
理由としてはSSG5の周辺にはDMZも作っていて有線接続のサーバがたくさん配置されてあるんだが
ルータ及びONUのそばにはそれを設置するスペースが無いためSSGにイーサネットコンバータで
無線ルータとONUがある場所に無線でUntrustの通信を飛ばしている
回線の口がそのスペースがない場所にしかないため仕方なくそういう構成になっている

379 ：Anonymous：2014/06/16(月) 04:19:35.02 ID:???.net

なんという苦肉の策、、

物理もそうだが、どういうルーティングになってるんだ。。

VLAN切れるスイッチを用意してグローバルNWとルータのLAN側NWを別VLAN割り当てて繋いで
Trunkに設定したポートをアドホックで繋げられるイーサネットコンバータでSSGに接続
SSG側接続ポートでSub-IF作ってVLAN-ID指定してグローバルとルータのLAN側のIPを設定したら
論理的にはキレイになるかも・・・。

380 ：372：2014/06/18(水) 23:15:40.61 ID:???.net

>>379
返事が遅れてスイマセン。

構成としては

[VDSLモデム]→インターネット
│
[無線ルータ]
│（無線）
├[PC1（無線LAN）][スマホ]
│（無線）
[イーサネットコンバータ]
untrust
[SSG5]ーDMZー[SV1（有線）］[SV2（有線）］[SV3（有線）］
│
trust
┴─[PC2（有線）]［PC3（有線）］

のような構成になってます。ルーティングは至極簡単で無線ルータが192.168.0.0にスタティックで
SSG5のuntrustインタフェースにしているだけです。

なのでPC1やスマホは無線ルータで無線を受けたあとDHCPでSSG5からIPを払いだしてもらう形になっています。
払い出すIPはUntrust側のセグメントアドレスでデフォゲをSSG5のインタフェースに張っており
SSG5はデフォルトルートで無線ルータのLAN側インタフェースを張っている。

見て頂ければ分かる通り無線ルータインターネット側のインタフェースはPPPoEで接続しているため
グローバル側にVLANを持たせて回すようなやり方は出来ない。

なぜ通信が無駄に遅いのかは理解できないんだよなぁ・・・

381 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/06/19(木) 00:17:54.40 ID:???.net

この構成だと、ポリシーや設定によってはicmpが破棄されるかも
icmp通らないとpath mtu discoveryできなくなるから注意

382 ：anonym：2014/06/19(木) 01:55:59.45 ID:???.net

http://www.atmarkit.co.jp/fwin2k/win2ktips/613icmpredir/icmpredir.html
http://networksecurity.cocolog-nifty.com/blog/2007/02/netscreenicmp_a4f9.html

まぁなんにしてもScreenOSには非推奨な構成です。
何が起こっているのか見るのにdebug使ってみるのも手だね。
ちなみにPPPoEはL2上のプロトコルなのでVLANでカプセル化できます。

383 ：372：2014/06/19(木) 04:52:17.21 ID:???.net

>>381
ポリシーは一応全通しにしてあるんだけど今見たらインタフェースのpath mtuにチェックが入っていないので
それが原因の可能性もある？

384 ：372：2014/06/19(木) 05:05:26.85 ID:???.net

今試してみたけど関係なかった
しかしどの辺が非推奨な設定なのかが分からない
まぁUntrustでのIntra-zone policyになってる事自体があまり綺麗とは言えないというか
同一セグメント上の別の機器にルーティングしてる時点でおかしな構成ではあるのだが
SSG通さないと通信の制御が出来ないから仕方なく・・・

385 ：anonymous@k184164.ppp.asahi-net.or.jp：2014/06/19(木) 09:17:08.10 ID:???.net

あと unset flow tcp-syn-check いれてみるとか