Netscreenユーザスレ r4.0

1 ：ScreenOS：2011/03/08(火) 21:14:47.29 ID:nekgC/EP.net

無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

50 ：anonymous@s61.87.247.220.fls.vectant.ne.jp：2011/06/04(土) 10:56:11.54 ID:???.net

勘違いしてたらごめんなさい。

>48
Untrustインタフェースなら、サブインタフェース作らなくても、
インタフェース自身とは違うサブネットをDIPとして作れるはず。
DIP設定するときに「ext ip」という感じの設定が入ります。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5760

51 ：50：2011/06/04(土) 11:02:50.10 ID:???.net

続きです。

>49
Globalポリシーに行ってると言う事は、通常のポリシーでマッチしてません。
(MIPが無いと言う前提で）。
ポリシーベースNATでは、宛先アドレス（"*.*.*.97/32" )が、
Trust側にルーティングされるようにウソルーティング設定が必要です。
（でないとポリシーにたどり着けません→ポリシーにマッチできません）

52 ：47：2011/06/04(土) 13:43:27.06 ID:???.net

今スレをちょっと読み返してみた。こんな感じでいいのか？
アドレスは適当にしたので読み替えろ。自宅にSSGは無いから5GTな
面倒だからI/F表記は変えない

trust I/F:192.168.7.250/24
untrust I/F:172.16.0.113/29
対向I/F:172.16.0.118/29

set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.0
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr"
set route 10.0.0.97/32 gateway 192.168.7.250
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log

53 ：47：2011/06/04(土) 13:46:36.86 ID:???.net

PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit

Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust
Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024

PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit
2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust
Close - RESP 1 172.16.0.118 1 192.168.7.250 97

54 ：47：2011/06/04(土) 13:54:46.92 ID:???.net

うおお間違って対向のじゃなく自I/Fのログ晒してもうたｗ

ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024

55 ：50：2011/06/04(土) 18:41:59.29 ID:???.net

どうもよくよく読んでいると、
＞46 の
「やったこと１」で、問題ないはずなんだよね。
MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。

56 ：50：2011/06/04(土) 18:44:48.58 ID:???.net

（続き）

＞52
set policy id 100 でsrc dip-id 4 って設定されてるのに
ログでは10.0.0.97 にNATされてるから、
やっぱりMIPアドレスでSrc-NATされてますよね。

policy id 100 のSrc-NATをやめて
dipとルーティングを削除しても同じように動くと思うのですが
試してもらないでしょうかw

57 ：anonymous：2011/06/04(土) 19:36:32.20 ID:???.net

>>56
あーやっと言いたい事が分かった気がする（多分）。つーかMIP必要なくね？
面倒だからホストは立てんけど
set interface trust ip 192.168.7.250/24
set interface untrust ip 172.16.0.113/29
set address "Trust" "Globals" 172.16.0.96 255.255.255.248
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log
set route 172.16.0.96/29 gateway 192.168.7.250

58 ：anonymous：2011/06/04(土) 19:37:34.72 ID:???.net

ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024

59 ：anonymous：2011/06/04(土) 19:38:36.31 ID:???.net

PID 200, from Untrust to Trust, src ISP, dst Globals, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust
Close - RESP 1 172.16.0.118 0 192.168.7.250 106

60 ：50：2011/06/04(土) 19:51:58.60 ID:???.net

>57, 58

ありがとうございます。

>つーかMIP必要なくね？
自分が思うに、MIPでも、ポリシーベースNATでも、
どちらでも問題なく出来る。。。はずなのですが。

61 ：anonymous：2011/06/04(土) 19:57:55.33 ID:???.net

>>60
> 自分が思うに、MIPでも、ポリシーベースNATでも、
> どちらでも問題なく出来る。。。はずなのですが。

建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする
ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが
想定した変換がうまく行われないようだ
まぁそういうのは自分でぶち当たってから考えてみてくれ

62 ：38：2011/06/06(月) 11:12:46.63 ID:2g+XC76r.net

>>50-61
お休みに試してまでもらって本当にありがとうございます。
お二方（？）のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。
set interface ethernet0/0 ip *.*.*.113/29
set interface ethernet0/0 route
set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97
set interface ethernet0/1 ip 192.168.1.1/24
set interface ethernet0/1 route
(続きます)

63 ：38：2011/06/06(月) 11:14:03.78 ID:???.net

set address "Trust" "192.168.1.11/32" 192.168.1.11 255.255.255.255
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log
set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log
set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118
set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0
（続きます)

64 ：38：2011/06/06(月) 11:15:14.88 ID:2g+XC76r.net

>>62-63のように設定し、inboundは疎通するようになりました。
ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって（Globalのdenyログにも出ない）、outboundが疎通できません。
そこでuntrust->trustのポリシーをDIP無しの単純な
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log
にしたところpingは通るようになりました。（ただsrc ipが192.168.1.11のままなので外部へは行けず）

あちら立てればこちらが立たずでほんと困ってます。。。長々とすみません。

65 ：38：2011/06/06(月) 19:50:41.74 ID:p3U4UjRg.net

>>64
すみません、DIP無しにしたらpingが通ったのはtrust->untrustのポリシーでした。

66 ：anon：2011/06/08(水) 23:08:12.31 ID:???.net

長々と判りづらいから今困ってることを箇条下記で書いてほしい。
後、中途半端なConfig貼り付けられても間違った回答する元だから
Configマスキングして何処かにアップロードしてくれ。

67 ：38：2011/06/09(木) 21:48:12.91 ID:IfDCuzon.net

>>66
ありがとうございます。

困ってること：
　MIPしてるにもかかわらずSRC IPがルータのuntrust側I/FのIPにNATされてしまう
やりたいこと：
　MIPしているグローバルIPのまま、外に出ていってほしい

設定(SSG5/ScreenOS6.1)：
　untrust側ネットワーク：***.***.***.113/29
　untrust側I/FのIP： ***.***.***.114
　プロバイダからもらったグローバルIP： ***.***.***.96/28
　trust側ネットワーク：192.168.1.0/24
　trust側ホスト：192.168.1.11
　MIP： ***.***.***.97 <-> 192.168.1.11
　config：http://www.dotup.org/uploda/www.dotup.org1688582.txt
　冗長構成です。

68 ：67：2011/06/09(木) 21:54:12.98 ID:???.net

>>67
すいません、設定のuntrust側ネットワーク間違えました。。。正しくは以下のとおりです。

設定(SSG5/ScreenOS6.1)：
　untrust側ネットワーク：***.***.***.112/29
　untrust側I/FのIP： ***.***.***.114
　プロバイダからもらったグローバルIP： ***.***.***.96/28
　trust側ネットワーク：192.168.1.0/24
　trust側ホスト：192.168.1.11
　MIP： ***.***.***.97 <-> 192.168.1.11
　config：http://www.dotup.org/uploda/www.dotup.org1688582.txt
　冗長構成です。

69 ：anonymous：2011/06/09(木) 23:16:55.48 ID:???.net

いろんな意味で見てて頭の痛くなる内容だな
そもそも冗長構成の意味が解ってるのだろうか

まずその意味のないどころか害でしかないGlobalのポリシーをunsetしろ
話はそれからだ
それだけでsrc:***.***.***.97に変換されて出て行くだろ

70 ：67：2011/06/10(金) 00:24:10.51 ID:???.net

>>69
そんなconfig見ていただいてありがとうございます。
NSRPがdisabledなライセンスなので、必死でvrrp使って冗長構成してみたのです。
（もう1台untrustが.115なSSG5がいて、この設定でフェイルオーバーできたので安心してたんですが、やっぱりおかしいでしょうか）

アドバイスの通りGlobalのdenyポリシーunsetしてみましたが、相変わらずsrcが***.***.***.114にNATさえて出ていきます。。。

71 ：anon：2011/06/10(金) 06:21:14.07 ID:???.net

NSRP使えないライセンスなんて聞いたこと無いぞ。

72 ：67：2011/06/10(金) 10:24:30.68 ID:???.net

>>71
******-> get license-key
Sessions: 8064 sessions
Capacity: unlimited number of users
NSRP: Disable
...
という感じなのです。

それはともかく、untrsutのI/Fにsrc-natされてしまうのがほんとに不思議というか困ってます。
>>55さんの言うように、MIPすれば割り当てたグローバルIPでsrc-natされると思ってたのですが。。。

73 ：50：2011/06/10(金) 21:26:09.19 ID:???.net

もしかしたら、ですが。

> set interface "ethernet0/0:6" mip ***.***.***.97 host 192.168.1.11 netmask 255.255.255.255 vr "trust-vr"
MIPは、サブインタフェースのeth0/0:6 につくってますが、

> set route 0.0.0.0/0 interface ethernet0/0 gateway ***.***.***.118
目的のパケットのルーティング先はeth0/0 を向いてます。

このため、内→外のパケットは、LAN側のIF->eth0/0 になるので、
eth0:6 に作ったMIPにマッチしてないと判断されてるのではないでしょうか。
（eth0/0 と eth0/0:6 が同一セグメントなら、サブインタフェースではなく、
　secondary IP で設定してみることをオススメしてみます。
　尤も、あまりこういう使い方をした事が無いので直るのかは判らないです。）

74 ：50：2011/06/10(金) 21:30:30.20 ID:???.net

（続き）

とりあえず、シンプルに、サブインタフェースを使わない状態にして
NATがどうなるかチェックできますか？
あと、個人的感想ですが、InterfaceのNATモードはあまりオススメしません。
良くわからん事になりがちなので。。。

あとはバグの可能性。

75 ：ｄｄ：2011/06/13(月) 20:31:07.68 ID:???.net

構成図がまったくわからん

76 ：anonymous：2011/06/16(木) 13:01:25.95 ID:???.net

SSG140とShrew Soft VPNでVPNを構築してみました
サーバーからVPN経由で端末（Shrew動作側）にダウンロードしてくるのは速くて70Mbpsくらい出るのですが、
アップロードが極端に遅くて(数Kbps程度)困っています。
仮組状態なので端末とSSG、SSGとサーバーはLANケーブルで直結しています。

何か心当たり等ありましたら教えて頂けますでしょうか…。
宜しくお願い致します。

77 ：ｌ：2011/06/17(金) 21:12:46.37 ID:???.net

単純に回線の限界じゃないの

78 ：76：2011/06/18(土) 15:38:24.15 ID:???.net

LANケーブル直結なのでそれはないかと…

Wiresharkで見てみたところ、同じACKパケットが重複して届いているようです。
WinXP機にNetscreen-Remoteを入れてみたところそのような問題は発生しませんでした。
しかしWin7とかで使いたいのでShrewを使ってみたのですが…
普通にShrewで使えてる人いますか？

79 ：anonymous：2011/06/18(土) 20:21:33.63 ID:???.net

>>78
get eventかget log traffic policy <id> で何か出てないか見てみろ

80 ：an：2011/06/28(火) 02:47:24.05 ID:r0YKnM5c.net

教えて下さい。SSG20を使用しております。
untrustからtrustへ15秒周期でSSH接続しているのですが、
特定の拠点Aからのみ1時間に1〜2回程度、接続エラーとなります。
SSHのポートは22ではないものにしています。

・拠点A→SSG（SSHのみエラー、80は問題なし）
・拠点A→他のサーバ（問題なし）
・拠点B→SSG（問題なし）

接続エラーは拠点A内の複数のPCで発生します。
拠点AはFTTH、拠点BはADSLです。
SSGのSoftware Versionは 6.2.0r8-cu1.0。

このような状況なのですが、解決の手がかりはありますでしょうか。
get log traffic policyを見ても、問題となるような点は見当たりませんでした。

81 ：anonymous：2011/06/29(水) 06:17:34.17 ID:???.net

L2モードでNetScreen使ってます
PC群=====NetScreen=====ルーター
こんな感じです。

この状態でNetScreenから別拠点へのVPNは張れないのでしょうか。
PC群が別拠点のIPアドレス宛のパケットを発するとNetScreenがVPN処理してくれる事を期待しています。
設定はしてみたのですがNetScreenは反応せず…L2モードだとダメなのでしょうか…。

宜しくお願いします。

82 ：anonymous：2011/06/29(水) 06:27:14.26 ID:???.net

netscreen/ssgのL2モードではVPNは使えなかったはず

83 ：anonymous：2011/06/29(水) 23:43:58.60 ID:???.net

なるほど…orz

84 ：anonymous：2011/07/02(土) 10:46:53.03 ID:???.net

>>82
あれ？マニュアルにはL2モード時のVLAN1でVPNトラフィックの
終端が出来るような事書いてあるけど、VPN使えないん？

物は有るが、テストできる環境は無いんで、
誰か試してくれ。

85 ：Anonymous：2011/07/03(日) 00:31:43.43 ID:???.net

>>82

L2モードでもVPNは使えるはずです。

>>84

試さなくてもKBには出来ると書いてある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5822

86 ：anonymous：2011/07/07(木) 11:33:33.85 ID:???.net

NetScreenとNetScreenRemoteでIPSec+XAuthによるダイヤルアップVPNの環境を構築しました。
会社から、VPN接続するユーザーのグループごとに事前共有鍵を変えたいと言われましたが、
私の認識だと仕組み上事前共有鍵は複数設定できないと思っています。
会社に技術的に無理ですと言いたいのですが、私の認識はあってますでしょうか。
宜しくお願い致します。

87 ：anony：2011/07/10(日) 13:51:29.55 ID:???.net

>>86
こういうことかな？
User1-A
User1-B
User1-C
User2-A
User2-B
User2-C

User1-XのPSK → User1-PSK
User2-XのPSK → User2-PSK

これならできるよ

88 ：anonymous：2011/07/13(水) 14:19:05.30 ID:FZLUbvfF.net

質問：SSH、Webadminが接続できない

確実な再現性がないのですが、
5GTを使い続けていると、コンソール以外のコントロールが失われます。
HTTPSで利用できている状態でも、しばらくすると管理画面に接続できなくなり、
その状態ではSSHでの接続もできません。

パケットでスニファしても、ICMPは戻ってきますが、TCPのｓｙｎ/ackが戻ってきません。

再起動で元に戻りますが、しばらくすると接続ができなくなります。
復帰は見込めないようで再起動以外の対処法が今のところ見つけられません。

なにか情報がないでしょうか？

89 ：88：2011/07/13(水) 14:25:39.20 ID:???.net

バージョンは　5.4.0r6.0
です。

90 ：ano：2011/07/13(水) 23:34:54.90 ID:???.net

>>88
セグメントが違うなら、3wayのチェックあたり？
経路確認してみてはいかが？
あとは3wayのチェックはずすなり、経路を直すなりどうとでも

コンソールつなげられるってことは、同一セグメントの可能性が強いか

91 ：88：2011/07/14(木) 07:33:20.83 ID:???.net

>>90
レスありがとう。

5XTのほうで Syn Flood protection が有効になってた。
いったん設定をはずして様子を見てみる。

助かった(とおもう)

92 ：anonymous@i125-201-11-103.s05.a023.ap.plala.or.jp：2011/08/02(火) 10:47:33.66 ID:???.net

NetScreen5GTが投売りされていたので、自宅で勉強のために購入しました。
性能的に無駄な買い物をしちゃったのかなぁ…？っと、思いましたが、
ファイアウォールおよびIPSec/VPN機器として使用したいと考えております。

JuniperサイトからScreenOSをダウンロードしようと、シリアルとメルアドを登録して、
これからダウンロードや設定とかするのですが、ScreenOSの5.4系と6.2系では、何が大きく違うのでしょうか？

あと素人考えなので、玄人の方に教えて頂きたいのですが、
ファイアウォールとしてなら今あるルータの前に設置、IPSec/VPN機器としてなら今あるルータの後ろに設置すればいいのでしょうか？

93 ：ななし：2011/08/02(火) 11:30:42.00 ID:???.net

>>92
OSは最新にしとけばいいんじゃね。
ルータは不要。FWだけいれとけばいいかと。

94 ：我輩はぬこである：2011/08/02(火) 23:06:00.92 ID:???.net

>>92
勉強用なら性能どうでもいいでしょ
俺も\3,000-でうってたから2台かってきたよ
ns5gt.5.3.0hq1.0とかいう見たことないバージョンだったわ

95 ：anonymous：2011/08/03(水) 10:08:39.03 ID:???.net

>>92
5系と6系の一番の違いはIPv6への対応だとオモタ。
ってか、それ以外は
IPv6を使うなら6系、使わないなら5系でもOK。
元々5GTは5.4で打ち止めの予定だったのが、
IPv6への対応の為6系出したって話だったきがす。

96 ：230.93.30.125.dy.iij4u.or.jp：2011/08/04(木) 13:00:49.48 ID:???.net

97 ：長すぎる名前：2011/08/13(土) 20:27:50.48 ID:???.net

5GT 6.2.0r11でも204 5.4.0r21でも、IPv6使って
VPN作ると再起動後にVPN設定だけ全部消えるんだよね・・・。

まぁ再起動なんて頻繁にするもんでもないので
実害なんだけど面倒くさい。

98 ：anonymous：2011/08/22(月) 00:07:37.58 ID:AfNwj0Zs.net

旧機種の中古が安く投売されてるのをよく見る
法人ユーザーがよく手放してるのかな？

99 ： 忍法帖【Lv=10,xxxPT】 ：2011/08/22(月) 06:51:08.26 ID:???.net

NS→SSGに乗り換えは前からあるけど、SRXや他製品に乗り換え時期だからねぇ。

100 ：anonymous：2011/08/24(水) 23:48:53.66 ID:gU/33qNK.net

SSG(Screen OS6.0)2台で冗長構成（NSRP）をとります。
この際、2台のSSGのWAN側をそれぞれ異なるISPに接続する構成は可能でしょうか？

それぞれWAN側のI/Fには別セグメントのアドレスが付きます。
また、SSG〜WAN間にはL3SWはありません。

すいませんが可能な場合の設定手法等お知恵を拝借出来れば幸いです。

101 ：anonymous：2011/08/25(木) 21:46:56.57 ID:???.net

>>100
機器は対応してるけど、君が対応してないから
やめといたほうがいい

せめて第11部読んでからこような

102 ：anonymous@NWTfb-16p2-74.ppp11.odn.ad.jp：2011/08/26(金) 15:08:42.73 ID:???.net

untrustのif増やしてそれぞれにpppoe喋らせれば良いんじゃ無いですか？

103 ：anonymous@NWTfb-16p2-74.ppp11.odn.ad.jp：2011/08/26(金) 15:10:42.76 ID:???.net

あ、a/a…

104 ：anonymous：2011/09/05(月) 09:53:49.81 ID:???.net

オクで安く手に入れた中古、耳が邪魔だから外そうとしたが
ネジがゲロゲロに堅く締まっていて外せない。
片方は滑り止め使って残り一本までいったので逆に耳の方を回して解決。
もう一方は二本残ってしまいビスブレーカー使ってもダメ。
このために精密ドライバー3本潰して滑り止めとビスブレーカーで
結局高くついた。

105 ：anonymous：2011/09/20(火) 20:54:58.31 ID:???.net

現在SSGのDMZ2とルータＢ(RTX1100)のLAN3が接続されているのですが、
SSGのルーティングの設定で質問があります。
1、SSGとRTX1100はそれぞれPPPoEの設定がされている。
2、現在SSGのtrust側はSSGのデフォルトルート(untrust)でインターネットに
抜けているのですが、事情がありRTX1100でインターネットに抜けて行く
設定にしたい。
3、かつ特定のグローバルIP（61.0.0.0.）だけはいままで通りSSGのuntrust側で通信がしたい。

構成
ssgのtrust側PC-A 192.168.0.0/24、DMZ3のアドレス172.16.0.1
rtx1100のlan3アドレス172.16.0.10

上記の２の場合は、あて先0.0.0.0でゲートウェイ172.16.0.10で
良さそうな気がするのですが、上記３の場合はあて先61.0.0.0でゲートウェイのアドレスはどのように設定すればよろしいのでしょうか？（gateweyは0.0.0.0でいいのかなぁ？）

宜しくお願い致します。

106 ：う：2011/09/20(火) 22:33:08.11 ID:???.net

実機で確かめて

107 ：anonymous：2011/09/21(水) 12:07:46.26 ID:???.net

105です。
失敗してrtx1100のVPN先と通信出来なくなったら困るので、質問しました。
宜しくお願い致します。

108 ：anonymous：2011/09/21(水) 13:26:46.92 ID:???.net

で、そんな状況なのにここの人間の言う事信じてチャレンジするのか？

109 ：anonymous：2011/09/21(水) 22:31:41.19 ID:???.net

>>105
こんな所で聞いてないでさっさと販売代理のサポートにメールでもしろ

110 ：う：2011/09/21(水) 23:08:33.46 ID:???.net

トンネルがなんで落ちるんですか？ どこ心配してるのか書いて欲しい

111 ：う：2011/09/21(水) 23:15:39.03 ID:???.net

ssgの0.0.0.0をrtxのlan側にふったら良いんでは？で、60なんちゃらはuntrustとうせば。

112 ：あ：2011/09/22(木) 10:58:57.34 ID:???.net

>105
ルーティングはそれでいいけど、untrustからdmzへのポリシー設定忘れんなよ。

113 ：い：2011/11/04(金) 12:00:28.91 ID:???.net

>>26
これってIE側の設定でなんとかならないの？

114 ：anonymous：2011/11/04(金) 14:54:27.61 ID:???.net

>>113
何をやっても、ダメだったと思う。
解決策は、IE9以外を使うしか無いかと。

一応、6.3.0r9で、予告通り対応がされたから、
更新できるなら解決するが、
それ以外は諦めるしか・・・

115 ：anonymous：2011/11/15(火) 15:57:17.31 ID:???.net

なんかWindowsアップデートしたら遅くなった XP-IE8
他のブラウザだと問題ない

116 ： 忍法帖【Lv=3,xxxP】 ：2011/11/15(火) 17:11:13.75 ID:1LcgGsFn.net

JUNOS機器を使ってる人いたら使用感おしえてください。

スレチかもだけどよろしくです。

117 ：anonymous：2011/11/15(火) 20:48:36.19 ID:???.net

>>116
重い
バグだらけ

118 ： 忍法帖【Lv=40,xxxPT】 ：2011/11/15(火) 22:57:27.38 ID:???.net

確かに、製品としてはマダマダだけど何でもできる装置だから個人的には好きだな。

119 ：anonymous：2011/11/16(水) 00:44:08.93 ID:???.net

EXってスイッチのくせに止めるのにシャットダウン操作が必要って本当？

120 ： 忍法帖【Lv=40,xxxPT】 ：2011/11/16(水) 07:23:23.87 ID:???.net

True

121 ： 忍法帖【Lv=4,xxxP】 ：2011/11/16(水) 15:20:27.16 ID:K7H6c5/f.net

>>117
レスありがとう。
xmlを使ってDBいじるように設定するイメージなんだけど、確かに普通に考えたら重そうな気がするな。

>>118
そんな風にも見えるよね。でも習得は楽じゃなさそう…。

とりあえずまだしばらくはSSGで提案かな…

122 ：anonymous：2011/11/16(水) 20:30:46.73 ID:???.net

>>119
男らしく、おもいっきりブートログにFreeBSDってでるからｗ
少しは隠そうぜとｗ

123 ：anonymous：2011/11/20(日) 19:13:22.12 ID:???.net

>>116
webUIが糞重い。
バグって設定出来ない所がある。
ポリシーが反映されないとか稀にある

124 ：anonymous：2011/11/20(日) 23:37:36.16 ID:???.net

>>123
WebUIとかバカじゃねーの

125 ： 忍法帖【Lv=3,xxxP】 ：2011/11/21(月) 12:59:01.90 ID:ASUSKcXn.net

>>124
CLIに慣れるまでどれくらいかかった？

126 ：anonymous：2011/11/21(月) 12:59:21.09 ID:???.net

>>124
使用感を答えただけだが

127 ：anonymous：2011/11/22(火) 13:44:21.44 ID:???.net

これからずっと放置してたNS25をバージョンアップ

5.0.0r6 → 5.4.0r18

再起不能になったら骨ひろってくれよな

128 ：anonymous@k184164.ppp.asahi-net.or.jp：2011/11/22(火) 14:51:33.76 ID:???.net

tftpdくらいは用意しとけよｗ

129 ：anon：2011/11/23(水) 00:41:05.13 ID:???.net

チャレンジャーやな

130 ：anonymous：2011/11/25(金) 22:25:17.83 ID:???.net

じゅもんがちがいます

131 ：anonymous：2011/11/25(金) 22:44:22.78 ID:???.net

でんどん、でんどん、でんどん、でんどん、でーーーーんどん

132 ：anonymous：2011/11/26(土) 00:17:07.94 ID:???.net

うわああああああああああああああああああああああああああああorz

133 ：anonymous@FLA1Abq062.chb.mesh.ad.jp：2011/11/26(土) 08:51:12.43 ID:???.net

野田は知っているのか…ＴＰＰに潜む“訴訟地獄”の阿鼻叫喚

「訴訟大国・米国相手にＩＳＤ条項を認めるのは狂気だ。賠償金をむしり取ったり、
自社が儲かるように制度を変えさせる手段として使うだろう。
加表明国で、米国に次ぐＧＤＰ２位の日本は最大の標的だ」

「エコカー減税のせいで米国産の車が売れない、国民皆保険制度のせいで
民間の保険商品が売れない−など。国の訴訟リスクは計り知れない」と指摘した。

ＴＰＰに詳しい京都大学大学院の中野剛志准教授はこう話した。

１１日の参院予算委員会で、ＩＳＤ条項を取り上げた自民党の佐藤ゆかり参院議員はこう解説する。
　「条約なので、ＩＳＤ条項が国内法よりも上位になる。国内の司法機関が関わる余地はなく、
仲裁機関で審査され、決定に不服があっても覆らない。一審で確定する。」

ごく一部、判明したＩＳＤ条項の例（佐藤ゆかり事務所調べ）
投資家国籍　　訴えられた国　　ビジネス　　　　　賠償
米国　　　　　　メキシコ　　　　　　廃棄物処理　　１６６９万ドル
米国　　　　　　カナダ　　　　　　　ガソリン　　　　　１３００万ドル
米国　　　　　　カナダ　　　　　　　廃棄物処理　　　３８６万ドル
米国　　　　　　カナダ　　　　　　　不明　　　　　　　１億３０００万ドル
米国　　　　　　カナダ　　　　　　　水　　　　　　　　　１０５億ドル
http://www.zakzak.co.jp/society/politics/images/20111118/plt1111181251005-p3.jpg

TPP中身知らない野田･枝野／ISD条項・国内法に優越する事も知らず
http://www.youtube.com/watch?v=v7QHGesP3tc&feature=related

134 ： 忍法帖【Lv=2,xxxP】 ：2011/12/14(水) 16:57:49.06 ID:M9L6Szgu.net

やっぱバージョンアップとか業務影響ありすぎだお…
くじけそうだお…

135 ：anonymous：2011/12/24(土) 07:44:59.50 ID:5+FHrmTp.net

旧バージョンのサポート期間切れるきりきりまで粘ればいいじゃん
で、サポート期間切れそうになれば、十分枯れてそうなバージョンにアップデート

136 ： 忍法帖【Lv=2,xxxP】 ：2011/12/24(土) 08:59:20.55 ID:npHltMUl.net

>>135
その予定が前倒しになっちゃって(泣)

137 ：anonymous：2012/01/11(水) 09:18:28.85 ID:???.net

カドルト

138 ：anonymous：2012/01/12(木) 02:56:50.53 ID:???.net

ScreenOSのサポートっていつの間にか2013年迄になってたのね。
ちょっと前の予定だと2011年(これも確か延長しての話)だったと思ったが。
SRXへの移行が芳しくないのかね？

139 ：anonymous：2012/01/12(木) 06:41:24.51 ID:???.net

へ？SSGのサポートとScreenOSの最新版のサポートは続くだろ？

140 ： 忍法帖【Lv=4,xxxP】 ：2012/01/12(木) 15:57:09.28 ID:jgn73Rh3.net

公式だとscreenos6.3は2015までになってるな。

www.juniper.net/support/eol/screenos.html

141 ：anonymous：2012/01/12(木) 16:09:06.17 ID:???.net

2015年過ぎた頃にはサポートされる新バージョンのScreenOSが出てるだろ。
現実問題ScreenOS使う機器のサポートをやめてユーザにSRXへの全面移行させるなんて無理。

142 ：anonymous@NWTfb-13p4-58.ppp11.odn.ad.jp：2012/01/12(木) 20:33:10.13 ID:???.net

SRXがポシャる事を皆望んでる。それともフォーティに乗り換える？

143 ：Anonymous：2012/01/14(土) 11:03:59.90 ID:???.net

Juniper的にはnetscreenの技術が欲しくて買収したようだし
ScreenOSよりJunos機器を売りたいのは分かるけどSRXは
相変わらず有料デバッグ状態だし、ScreenOSもJuniper社
に買収されてから完成度が落ちたと思う

そろそろ別のメーカーの製品に変更してるユーザーも多い
んじゃないかな？

144 ：anonymous@NWTfb-16p4-228.ppp11.odn.ad.jp：2012/01/14(土) 17:39:09.41 ID:???.net

そーゆーのパックンチョするパワー感がシスコにもジュニパーにもなくなってきたなーと感じるわ。w

145 ：anonymous：2012/01/16(月) 12:29:45.66 ID:f7Mv9sy1.net

そもそもファイアウォール専用機器をSRXにする必要性が意味不明
ファイアウォールならScreenOSのほうがはるかに使いやすい

SRXにするのは統合機とか、ルータに積むファイアウォールモジュールだけにして、
単体ファイアウォールはScreenOSのままやってくれ

146 ： 忍法帖【Lv=2,xxxP】 ：2012/01/16(月) 15:59:04.26 ID:F2juEHTW.net

同意

147 ：a：2012/01/16(月) 20:02:48.13 ID:???.net

しかし、ssgディスコンの噂絶えず〜

148 ：anonymous@pd3895f.tkyoac00.ap.so-net.ne.jp：2012/01/21(土) 01:08:16.72 ID:3LUe7Tyi.net

netscreen-5GT extendedライセンスで、
ポートモードをextendedにして、3ゾーンで透過モードで運用したいんだが、
これって可能？

透過モードにする場合、インターフェイスにSecurity(L2)タイプの
ゾーンを割り当てないといけないんだが、extendedモードでは
set int eth1 zone V1-Trust
って設定ができないんだわ。

zoneに指定できるのがNullとTrustしか出てこない。

わかる人教えて。
ちなみに、バージョン5.4.0r17.0です。

149 ：sage：2012/01/21(土) 01:16:13.71 ID:3LUe7Tyi.net

148です。自己解決しますた。
データシートに
Transparent mode only works in trust/untrust mode
って書いてあった。
つまんね。