5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Netscreenユーザスレ r4.0

1 :ScreenOS:2011/03/08(火) 21:14:47.29 ID:nekgC/EP
無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はggrks

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

2 :anonymous:2011/03/08(火) 23:11:36.48 ID:???
>>1
大義であった!

3 :anonymous:2011/03/10(木) 15:52:41.09 ID:???
気づいたら落ちてたねw
たまにはageないとだめだなやっぱ

4 :anonymous:2011/03/10(木) 21:08:55.36 ID:???
そういえば落ちてたな。
すっかり忘れてた。

5 :anonymous:2011/03/15(火) 13:42:29.32 ID:???
5XTを透過モードで使っています
syslogをuntrust側のポートに出す事はできないんでしょうか?
よろしくお願いします

6 :sage:2011/03/27(日) 14:49:47.55 ID:YvgyiypW
netscreen 5xt 5.3 r3 でファームアップをやらかしちゃったんだが、解決方法ないっけ?

7 :anonymous@172.113.102.121.dy.bbexcite.jp:2011/03/27(日) 15:34:31.25 ID:???
>>6
自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。
"TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。


8 :anonymous:2011/04/07(木) 08:50:15.24 ID:???
ちと教えて下さい

x.x.x.1〜x.x.x.4のグローバルアドレスを持っているとして
x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末(192.168.1.0/24)のデフォゲとします。

またこのとき192.168.1.100〜192.168.1.102迄のサーバ三台をそれぞれ
x.x.x.2 → 192.168.1.100
x.x.x.3 → 192.168.1.101
x.x.x.4 → 192.168.1.102
とMIPにします。

このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ
ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの
グローバルIPにしてやれば良いのでしょうか?

9 :anonymous:2011/04/07(木) 11:18:24.58 ID:???
>>8
サーバーごとにTrust to Untrustのポリシーつくって、Advancedの
NAT Source AddressにMIP指定してやってた気がする
違ったらごめんよ

あとローカルセグメントにいるサーバーのデフォルトゲートウェイに
グローバルIP設定したところで、セグメント違うんだから通信できない希ガス

10 :anonymous:2011/04/07(木) 13:46:36.27 ID:???
>>9
レスありがとうございます。

それっぽいところを見たのですが
NATのSource Translation (DIP on)というところぐらいで
None (Use Egress Interface IP) しか選べませんでした。
(MIPを選ぶところはなかったです orz)

機種はNS25でファームウェアは5.4.0r16.0です。

11 :anonymous@s98.ItokyoFL27.vectant.ne.jp:2011/04/07(木) 13:55:05.49 ID:??? ?2BP(0)
http://www.viva-netscreen.net/archives/cat_50031540.html
上みてやれば普通にできると思うよ?

12 :anonymous:2011/04/07(木) 14:15:10.74 ID:???
>>11
!!

なんと…。
MIPが設定されたマシンから外へ通信するとソースは
該当するグローバルIPになるんですね!!

最初に試してから質問すれば良かったorz
机上で設計していて、デフォルトルートに通信が行くんだから
絶対にUntrustの口のIPになると思っていました。

お騒がせ致しました…。

13 :anonymous:2011/04/07(木) 21:37:56.94 ID:???
インタフェースモードやDIPの有無によるのでは。
・・・楽しいFWになりそうだな。

14 :anonymous:2011/04/08(金) 22:31:23.20 ID:???
最近5.4系なんか触った記憶ないけど、untrustに入ってくる通信で、
そのインタフェースが持ってないセグメントをmIPにアサインできたっけ?

15 :anonymous:2011/04/11(月) 15:36:16.14 ID:???
今時JuniperのサイトからNetScreen-Remoteもダウンロードできるんだな。
ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。
つってもVistaまででしか使えないけどね…。

結局Windows7の標準IPSecクライアントでNSってつながるの?

16 ::2011/04/24(日) 21:36:13.56 ID:???
そんなもん使うな

17 :anonymous:2011/04/27(水) 11:33:38.00 ID:???
>>15です

NetScreenとShrew Soft VPNでVPN接続できました
Windows7 64bitもOK

http://blog.livedoor.jp/nanashisoft/archives/52242485.html
http://kokoro.bf1.jp/blog/archives/1293
とかを参考に試行錯誤。

なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず
仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙

暫くはこの組み合わせで運用しようと思います

18 :anonymous:2011/04/27(水) 11:42:09.35 ID:???
続き

一応Windows標準クライアントとの接続は公式資料がある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536

あとこことかを参考に
http://gyabooo.mydns.jp/blog/?p=9

して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。
クライアント側の詳しいログが見つけられなくてそれ以上追えず。
それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。

ので素直にVPNクライアント使ったほうがいいなぁという結論に…。

というグチでございました。

19 ::2011/05/01(日) 11:17:40.25 ID:???
shrew softはおいらも使ってるよ
ただ複数同時接続はできてない

20 ::2011/05/02(月) 23:57:29.66 ID:???
5xtなんだけどメモリー使用率が70%くらいまでいってる
ほかのセッションやCPU使用率は10%くらいなのに・・・

ログとらなきゃいいけどとんないとねぇ・・・・

ポリシー5つくらいすべてログとるようにしてる

21 :a:2011/05/05(木) 23:49:51.04 ID:???
5GT 500円でカテキタ

22 :anonymous:2011/05/06(金) 08:18:36.05 ID:???
>>21
安いな、おいw

23 :a:2011/05/06(金) 11:59:12.98 ID:???
>>22
ACアダプタなしだったけど、まずまずの掘り出し物でした。
サクッとファームアップしてコンフィグを見ていると↓のような仕様でしたけど、これってextendedです?
Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans
Drp: Enable
Deep Inspection: Disable
Deep Inspection Database Expire Date: Disable
Signature pack: N/A
IDP: Disable
AV: Disable(0)
Anti-Spam: Disable(0)
Url Filtering: Disable


24 :anonymous@zaq7a66f81d.zaq.ne.jp:2011/05/06(金) 16:30:01.24 ID:???
>>23
Sessionが4096でNSRPがLiteなのでExtentedモデル
として認識しているようなので間違いないはずです。

25 :anonymous:2011/05/06(金) 22:01:28.88 ID:???
>>23
無制限ユーザで\500となw
いい買い物したねオメ
これにあやかってSSG5でいいから\5kくらいで転がってねーかなー

どうでもいいけど、6.2.0r6でついた念願のtelnetだが、妙に遅くないかい?

26 :anonymous:2011/05/09(月) 13:19:23.17 ID:???
IE9だとWebUIのメニューが出てこないのね

27 :anonymous:2011/05/19(木) 19:46:29.64 ID:GmYWAy+H
SSG140の設定で困ってます
UnTrust,DMZ,Trustの構成です。
DMZはグローバルIPを直接割り当て、NATは行わずそのままルーティングします。
UnTrustは上位ルーターとの通信用セグメントです。UnTrust,DMZのI/FはRouteモードにしています。
更にポリシーでUnTrust→DMZの通信を全許可しています。

この状態でUnTrustの先に繋いだ端末から、DMZのI/F、DMZ内にいるサーバーにpingは通ります。
しかし実際に端末からサーバーにHTTP接続しようとしても接続できません。
DMZ内にいる他の端末からサーバーへはHTTP接続できます。
サーバーにtcpdumpを仕掛けたところ、pingのパケットは来ていますがHTTPのパケットは来ていませんでした。
UnTrust側からDMZ内のサーバーにHTTP接続するにはどうしたらいいのでしょうか…。

ちなみにNetScreen204に同じような設定をしたところ、そちらは意図通りに動きました。
もう私の手には負えません…。アドバイスをお願い致します。

28 :あのにめあど:2011/05/19(木) 20:14:39.84 ID:???
>>27
とりあえず、いくつか確認してちょ。

@DMZ設置のサーバのFirewall(iptables)設定の確認。
ASSGのバージョンを教えて。
BPINGはSSGが代理応答している可能性があるからDMZ〜サーバでICMP飛んでいるか確認。
CUntrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。
D逆にDMZからUntrustは通信できるのか確認

@とBに関しては、正常との事だからScreenOSの不具合じゃないかな...と?

29 :27:2011/05/20(金) 11:35:17.16 ID:???
>>28
ご回答ありがとうございます

@サーバー側のiptablesは特にかかっていませんでした。
ASSG140 HardwareVersion:1010, FirmwareVersion:6.2.0r8.0
Bサーバーにtcpdumpを仕込みましたが、間違いなくICMPは出入りしています。HTTPはSYNパケットすら来ません。
C該当設定でポリシーログをとったところ、ICMPはきちんとTraffic Deniedとしてログに残りましたが、HTTPはログにすら出ませんでした。
DUntrust→DMZのポリシーを許可すればpingは通りましたが、HTTPはこちらも通らなかったです…。(ポリシーでソースNATかければ通りますが)

うーんやはりバグでしょうか…。
しかし普通に使われそうな構成で今更こんなバグがあるとも思えないわけですが…。
それとも自分のネットワークやSSGの理解が足りないのか。


30 :27:2011/05/20(金) 12:06:35.63 ID:???
ああああああああああああああああああああああああああああ単純ミスだったorz
実験環境で端末とSSGの間に入ってる機器(存在を忘れてた)の設定ミスでパケット止めてました
疑ってごめんよ >SSG
大変お騒がせいたしました。

31 :anon:2011/05/20(金) 16:03:04.55 ID:???
ワロタ。
頑張れ!

32 :anonymous:2011/05/20(金) 17:05:54.83 ID:???
SSGの管理画面にVPN経由でログインできないのですが仕様でしょうか
ログイン画面は出るのですが、ID/PWを入力してもまたログイン画面に戻ってしまいます

33 ::2011/05/20(金) 21:19:29.78 ID:???
普通にできるよ


34 :anonymous:2011/05/23(月) 19:08:39.53 ID:???
DIPでIPがアクセス毎に変わるのが原因でした

35 :えj:2011/05/24(火) 11:59:55.97 ID:???
>>34
固定にすると複数台同時接続できなくね?

36 :anonymous:2011/05/25(水) 19:38:36.90 ID:???
NATだし大丈夫じゃないかな

37 :ああ:2011/05/28(土) 12:30:53.07 ID:???
あたいはできんかった

38 :anonymous:2011/05/31(火) 20:03:23.11 ID:OE9LW3lb
ScreenOS6.1が乗っているSSG5を使っています。
MIPで設定した送信元IPが、untrustインターフェイスのIPにNATされてしまい困っています。
以下に状況を説明します。

プロバイダからグローバルIPとして
xxx.xxx.xxx.96/28
をもらいました。

またプロバイダ・SSG5間のネットワークとして
xxx.xxx.xxx.112/29
を、SSG5のuntrust側I/F用IPとして .113を指定されました。
(プロバイダのGWは .118)

trust側I/FはNATで 192.168.1.0/24 と設定し、
また xxx.xxx.xxx.97 をMIPで 192.168.1.11となるよう、
untrust側のI/F上に設定しました。

192.168.1.11にはウェブサーバとメールサーバを立てて、
untrust -> trust で Any -> MIP(xxx.xxx.xxx.97)
へHTTPとSMTPを許可しました。

また trust -> untrust で 192.168.1.0/24 ->Any
へSMTPも許可しました。

これでインターネット側からは
xxx.xxx.xxx.97
で 192.168.1.11のウェブサーバ・メールサーバへアクセスできることを確認できて喜びました。

39 :38:2011/05/31(火) 20:05:41.76 ID:OE9LW3lb
長くなってしまいましたがここから本題です。
試しに192.168.1.11から自分のプロバメールアドレスへメール送信したところ、
送信自体は成功して無事にメール受信できました。

ただtrust->untrustのSMTPポリシーのログを見ると、
Translated Source Addressとして xxx.xxx.xxx.113 に変換されていました。
untrustのI/Fではなく、MIPしたxxx.xxx.xxx.97 から送信されるように
するにはどうすればいいでしょうか?

MIPで指定している xxx.xxx.xxx.97 はドメインをとっているので、
このままだとそのドメインを騙っているスパムIPアドレスとして
.113がブラックリスト入りしてしまうのではと心配です。

試しに
trust -> untrust のポリシーで MIP(xxx.xxx.xxx.97) -> Any
へSMTP許可してみましたが、送信できずグローバルポリシーでdenyされていました。

けっこう困っています。。。お知恵かしてください。

40 :名無しさん:2011/06/01(水) 09:02:20.04 ID:???
routeモードにして、ポリシー単位でNAT制御すればいいのでは?

41 :38:2011/06/01(水) 19:46:18.47 ID:FsTLPiFH
>>40
ありがとうございます。
trust側I/Fをrouteにしてポリシーログを確認したところ、Translated Sourceが192.168.1.11とプライベートアドレスになっているためそのままClose-Age Outして外部へでることができません。
ポリシーでsrc natするためにDIPとしてx.x.x.97をuntrust側I/Fへ登録しようとしましたが、untrust側のネットワークであるx.x.x.112/29の外なので登録出来ませんでした。
そもそも.97はMIPで使用済みなので、DIPとして二重登録はできないようです。

何か壮大な勘違いしてそうなのでお知恵を貸してください。

42 :40:2011/06/01(水) 23:00:58.93 ID:???
>>38
あらま、アテが外れてごめんなさい。

SourceでNATするのではなく、DestinationでNATしてみたらどうでしょうか。

該当するポリシーの NAT項目にある "Translate to IP"に xxx.xxx.xxx.97 とする事で
アウトバウンドのSrc IPはxxx.xxx.xxx.97になるはず。

43 :40:2011/06/01(水) 23:11:16.63 ID:???
書き込んでから気付いたけど、xxx.xxx.xxx.96/28を貰ってるのに
SSGのUntrust側がxxx.xxx.xxx.112/29ってどういう構成だろうコレ。


44 :anonymous:2011/06/02(木) 08:29:34.58 ID:???
上位ルーター接続で冗長構成にしたりするとルーティング用のセグメントとして/29とか振られるよ
ISP側、自前機器側双方でVRRP構成にするような場合はいっぱい使うしね

45 :38:2011/06/02(木) 18:36:42.26 ID:???
>>42
何度もありがとうございます。ただ通信しようとする先が.97にNATされてしまいダメでした。
自分の整理のためも含めて、環境と問題、それに対してやってみたことをまとめます。
アドバイスいただけると助かります。けっこう焦ってきました。

>>44
おっしゃる通り冗長構成です。すごいですね。

●環境
□untrust側
network:x.x.x.112/29
I/FのIP:x.x.x.113

□trust側
network:192.168.1.0/24
I/FのIP:192.168.1.1
WEB/SMTPサーバhost IP:192.168.1.11

□その他
プロバイダからもらったGlobal IP:x.x.x.96/28

◆問題
設定:
・MIPでx.x.x.97 <-> 192.168.1.11
・Any -> MIPでhttp/smtpをpermitポリシー作成
・192.168.1.11 -> Any でhttp/smtpをpermitポリシー作成
・trustのI/FモードをNAT

結果
inbound,outboundとも疎通OK。
ただしoutbound時のsrc ipがuntrustのI/FのIP(.113)に変換されてしまう。
outboundでx.x.x.97がsrc ipとなるように設定したい。

46 :38:2011/06/02(木) 18:44:49.56 ID:nSF7sK80
■やったこと1
設定
・trustのI/Fモードをroute
・他の設定は同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に変換されてしまい疎通NG。

■やったこと2
設定
・192.168.1.11 -> Anyのポリシーで、destinationをx.x.x.97にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に、
さらにdest ipがx.x.x.97になってしまい疎通NG。

■やったこと3
設定
・MIP削除
・Any -> x.x.x.97でhttp/smtpをpermitポリシー作成
 そのポリシー内でdestinationを192.168.1.11にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通NG
⇒Globalのdenyポリシーログに、疎通の試みが記録されていました
 なぜdenyされるのかわかりません。。。
outboundは相変わらず疎通NG

47 :anonymous:2011/06/03(金) 14:53:23.02 ID:???
あんまちゃんと読んでないけど、要はセグメントの異なるIPで化かせばいいんだろ?

set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97
set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log

DIPで単一のIPレンジ(言葉的に矛盾してるが)をUntrust側I./Fに振ってやれば、
Sourceはご所望の.97のアドレスで出て行く
あとは適切にMIPの設定しろ

48 :38:2011/06/03(金) 19:23:32.25 ID:kkqYmJmo
>>47
ありがとうございます、すごくヒントになりました。

untrust側I/Fのeth0/0はx.x.x.112/29なのでそのままでは.97をDIPできませんでした。
ですのでeth0/0.1というSub I/Fをつくり、そこにx.x.x.96/28を割り当てたうえで、そのI/F上に.97をDIPしました。
ポリシーでtrust->untrustにDIPの.97をsrc natさせたら、おっしゃる通り.97で出ていきました!

ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。
(本文長すぎエラーになったので続きます。。。)

49 :38:2011/06/03(金) 19:25:49.97 ID:kkqYmJmo
(続き)
MIPなしのまま以下のようにポリシー作成しても、
>>46のやったこと3で書いたようにGlobalポリシーでdenyされてしまいます。。。
set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11

つまりoutboundはできるようになりましたが、今度はinboundがダメになりました。
長々とスレ汚しすみません。光が見えてきたのでもう少しつきあっていただけるとうれしいです。

50 :anonymous@s61.87.247.220.fls.vectant.ne.jp:2011/06/04(土) 10:56:11.54 ID:???
勘違いしてたらごめんなさい。

>48
Untrustインタフェースなら、サブインタフェース作らなくても、
インタフェース自身とは違うサブネットをDIPとして作れるはず。
DIP設定するときに「ext ip」という感じの設定が入ります。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5760



51 :50:2011/06/04(土) 11:02:50.10 ID:???
続きです。

>49
Globalポリシーに行ってると言う事は、通常のポリシーでマッチしてません。
(MIPが無いと言う前提で)。
ポリシーベースNATでは、宛先アドレス("*.*.*.97/32" )が、
Trust側にルーティングされるようにウソルーティング設定が必要です。
(でないとポリシーにたどり着けません→ポリシーにマッチできません)

52 :47:2011/06/04(土) 13:43:27.06 ID:???
今スレをちょっと読み返してみた。こんな感じでいいのか?
アドレスは適当にしたので読み替えろ。自宅にSSGは無いから5GTな
面倒だからI/F表記は変えない

trust I/F:192.168.7.250/24
untrust I/F:172.16.0.113/29
対向I/F:172.16.0.118/29

set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.0
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr"
set route 10.0.0.97/32 gateway 192.168.7.250
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log

53 :47:2011/06/04(土) 13:46:36.86 ID:???
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit

Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust
Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024

PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit
2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust
Close - RESP 1 172.16.0.118 1 192.168.7.250 97




54 :47:2011/06/04(土) 13:54:46.92 ID:???
うおお間違って対向のじゃなく自I/Fのログ晒してもうたw

ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024

55 :50:2011/06/04(土) 18:41:59.29 ID:???
どうもよくよく読んでいると、
>46 の
「やったこと1」で、問題ないはずなんだよね。
MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。


56 :50:2011/06/04(土) 18:44:48.58 ID:???
(続き)

>52
set policy id 100 でsrc dip-id 4 って設定されてるのに
ログでは10.0.0.97 にNATされてるから、
やっぱりMIPアドレスでSrc-NATされてますよね。

policy id 100 のSrc-NATをやめて
dipとルーティングを削除しても同じように動くと思うのですが
試してもらないでしょうかw

57 :anonymous:2011/06/04(土) 19:36:32.20 ID:???
>>56
あーやっと言いたい事が分かった気がする(多分)。つーかMIP必要なくね?
面倒だからホストは立てんけど
set interface trust ip 192.168.7.250/24
set interface untrust ip 172.16.0.113/29
set address "Trust" "Globals" 172.16.0.96 255.255.255.248
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log
set route 172.16.0.96/29 gateway 192.168.7.250

58 :anonymous:2011/06/04(土) 19:37:34.72 ID:???
ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024

59 :anonymous:2011/06/04(土) 19:38:36.31 ID:???
PID 200, from Untrust to Trust, src ISP, dst Globals, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust
Close - RESP 1 172.16.0.118 0 192.168.7.250 106


60 :50:2011/06/04(土) 19:51:58.60 ID:???
>57, 58

ありがとうございます。

>つーかMIP必要なくね?
自分が思うに、MIPでも、ポリシーベースNATでも、
どちらでも問題なく出来る。。。はずなのですが。


61 :anonymous:2011/06/04(土) 19:57:55.33 ID:???
>>60
> 自分が思うに、MIPでも、ポリシーベースNATでも、
> どちらでも問題なく出来る。。。はずなのですが。

建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする
ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが
想定した変換がうまく行われないようだ
まぁそういうのは自分でぶち当たってから考えてみてくれ

62 :38:2011/06/06(月) 11:12:46.63 ID:2g+XC76r
>>50-61
お休みに試してまでもらって本当にありがとうございます。
お二方(?)のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。
set interface ethernet0/0 ip *.*.*.113/29
set interface ethernet0/0 route
set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97
set interface ethernet0/1 ip 192.168.1.1/24
set interface ethernet0/1 route
(続きます)

63 :38:2011/06/06(月) 11:14:03.78 ID:???
set address "Trust" "192.168.1.11/32" 192.168.1.11 255.255.255.255
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log
set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log
set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118
set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0
(続きます)

64 :38:2011/06/06(月) 11:15:14.88 ID:2g+XC76r
>>62-63のように設定し、inboundは疎通するようになりました。
ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって(Globalのdenyログにも出ない)、outboundが疎通できません。
そこでuntrust->trustのポリシーをDIP無しの単純な
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log
にしたところpingは通るようになりました。(ただsrc ipが192.168.1.11のままなので外部へは行けず)

あちら立てればこちらが立たずでほんと困ってます。。。長々とすみません。

65 :38:2011/06/06(月) 19:50:41.74 ID:p3U4UjRg
>>64
すみません、DIP無しにしたらpingが通ったのはtrust->untrustのポリシーでした。

66 :anon:2011/06/08(水) 23:08:12.31 ID:???
長々と判りづらいから今困ってることを箇条下記で書いてほしい。
後、中途半端なConfig貼り付けられても間違った回答する元だから
Configマスキングして何処かにアップロードしてくれ。

67 :38:2011/06/09(木) 21:48:12.91 ID:IfDCuzon
>>66
ありがとうございます。

困ってること:
 MIPしてるにもかかわらずSRC IPがルータのuntrust側I/FのIPにNATされてしまう
やりたいこと:
 MIPしているグローバルIPのまま、外に出ていってほしい

設定(SSG5/ScreenOS6.1):
 untrust側ネットワーク:***.***.***.113/29
 untrust側I/FのIP: ***.***.***.114
 プロバイダからもらったグローバルIP: ***.***.***.96/28
 trust側ネットワーク:192.168.1.0/24
 trust側ホスト:192.168.1.11
 MIP: ***.***.***.97 <-> 192.168.1.11
 config:http://www.dotup.org/uploda/www.dotup.org1688582.txt
 冗長構成です。

68 :67:2011/06/09(木) 21:54:12.98 ID:???
>>67
すいません、設定のuntrust側ネットワーク間違えました。。。正しくは以下のとおりです。

設定(SSG5/ScreenOS6.1):
 untrust側ネットワーク:***.***.***.112/29
 untrust側I/FのIP: ***.***.***.114
 プロバイダからもらったグローバルIP: ***.***.***.96/28
 trust側ネットワーク:192.168.1.0/24
 trust側ホスト:192.168.1.11
 MIP: ***.***.***.97 <-> 192.168.1.11
 config:http://www.dotup.org/uploda/www.dotup.org1688582.txt
 冗長構成です。

69 :anonymous:2011/06/09(木) 23:16:55.48 ID:???
いろんな意味で見てて頭の痛くなる内容だな
そもそも冗長構成の意味が解ってるのだろうか

まずその意味のないどころか害でしかないGlobalのポリシーをunsetしろ
話はそれからだ
それだけでsrc:***.***.***.97に変換されて出て行くだろ


70 :67:2011/06/10(金) 00:24:10.51 ID:???
>>69
そんなconfig見ていただいてありがとうございます。
NSRPがdisabledなライセンスなので、必死でvrrp使って冗長構成してみたのです。
(もう1台untrustが.115なSSG5がいて、この設定でフェイルオーバーできたので安心してたんですが、やっぱりおかしいでしょうか)

アドバイスの通りGlobalのdenyポリシーunsetしてみましたが、相変わらずsrcが***.***.***.114にNATさえて出ていきます。。。


71 :anon:2011/06/10(金) 06:21:14.07 ID:???
NSRP使えないライセンスなんて聞いたこと無いぞ。

72 :67:2011/06/10(金) 10:24:30.68 ID:???
>>71
******-> get license-key
Sessions: 8064 sessions
Capacity: unlimited number of users
NSRP: Disable
...
という感じなのです。

それはともかく、untrsutのI/Fにsrc-natされてしまうのがほんとに不思議というか困ってます。
>>55さんの言うように、MIPすれば割り当てたグローバルIPでsrc-natされると思ってたのですが。。。

73 :50:2011/06/10(金) 21:26:09.19 ID:???
もしかしたら、ですが。

> set interface "ethernet0/0:6" mip ***.***.***.97 host 192.168.1.11 netmask 255.255.255.255 vr "trust-vr"
MIPは、サブインタフェースのeth0/0:6 につくってますが、

> set route 0.0.0.0/0 interface ethernet0/0 gateway ***.***.***.118
目的のパケットのルーティング先はeth0/0 を向いてます。

このため、内→外のパケットは、LAN側のIF->eth0/0 になるので、
eth0:6 に作ったMIPにマッチしてないと判断されてるのではないでしょうか。
(eth0/0 と eth0/0:6 が同一セグメントなら、サブインタフェースではなく、
 secondary IP で設定してみることをオススメしてみます。
 尤も、あまりこういう使い方をした事が無いので直るのかは判らないです。)


74 :50:2011/06/10(金) 21:30:30.20 ID:???
(続き)

とりあえず、シンプルに、サブインタフェースを使わない状態にして
NATがどうなるかチェックできますか?
あと、個人的感想ですが、InterfaceのNATモードはあまりオススメしません。
良くわからん事になりがちなので。。。

あとはバグの可能性。

75 :dd:2011/06/13(月) 20:31:07.68 ID:???
構成図がまったくわからん

76 :anonymous:2011/06/16(木) 13:01:25.95 ID:???
SSG140とShrew Soft VPNでVPNを構築してみました
サーバーからVPN経由で端末(Shrew動作側)にダウンロードしてくるのは速くて70Mbpsくらい出るのですが、
アップロードが極端に遅くて(数Kbps程度)困っています。
仮組状態なので端末とSSG、SSGとサーバーはLANケーブルで直結しています。

何か心当たり等ありましたら教えて頂けますでしょうか…。
宜しくお願い致します。

77 ::2011/06/17(金) 21:12:46.37 ID:???
単純に回線の限界じゃないの

78 :76:2011/06/18(土) 15:38:24.15 ID:???
LANケーブル直結なのでそれはないかと…

Wiresharkで見てみたところ、同じACKパケットが重複して届いているようです。
WinXP機にNetscreen-Remoteを入れてみたところそのような問題は発生しませんでした。
しかしWin7とかで使いたいのでShrewを使ってみたのですが…
普通にShrewで使えてる人いますか?

79 :anonymous:2011/06/18(土) 20:21:33.63 ID:???
>>78
get eventかget log traffic policy <id> で何か出てないか見てみろ

80 :an:2011/06/28(火) 02:47:24.05 ID:r0YKnM5c
教えて下さい。SSG20を使用しております。
untrustからtrustへ15秒周期でSSH接続しているのですが、
特定の拠点Aからのみ1時間に1〜2回程度、接続エラーとなります。
SSHのポートは22ではないものにしています。

・拠点A→SSG(SSHのみエラー、80は問題なし)
・拠点A→他のサーバ(問題なし)
・拠点B→SSG(問題なし)

接続エラーは拠点A内の複数のPCで発生します。
拠点AはFTTH、拠点BはADSLです。
SSGのSoftware Versionは 6.2.0r8-cu1.0。

このような状況なのですが、解決の手がかりはありますでしょうか。
get log traffic policyを見ても、問題となるような点は見当たりませんでした。

81 :anonymous:2011/06/29(水) 06:17:34.17 ID:???
L2モードでNetScreen使ってます
PC群=====NetScreen=====ルーター
こんな感じです。

この状態でNetScreenから別拠点へのVPNは張れないのでしょうか。
PC群が別拠点のIPアドレス宛のパケットを発するとNetScreenがVPN処理してくれる事を期待しています。
設定はしてみたのですがNetScreenは反応せず…L2モードだとダメなのでしょうか…。

宜しくお願いします。

82 :anonymous:2011/06/29(水) 06:27:14.26 ID:???
netscreen/ssgのL2モードではVPNは使えなかったはず

83 :anonymous:2011/06/29(水) 23:43:58.60 ID:???
なるほど…orz

84 :anonymous:2011/07/02(土) 10:46:53.03 ID:???
>>82
あれ?マニュアルにはL2モード時のVLAN1でVPNトラフィックの
終端が出来るような事書いてあるけど、VPN使えないん?

物は有るが、テストできる環境は無いんで、
誰か試してくれ。


85 :Anonymous:2011/07/03(日) 00:31:43.43 ID:???
>>82

L2モードでもVPNは使えるはずです。

>>84

試さなくてもKBには出来ると書いてある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5822


86 :anonymous:2011/07/07(木) 11:33:33.85 ID:???
NetScreenとNetScreenRemoteでIPSec+XAuthによるダイヤルアップVPNの環境を構築しました。
会社から、VPN接続するユーザーのグループごとに事前共有鍵を変えたいと言われましたが、
私の認識だと仕組み上事前共有鍵は複数設定できないと思っています。
会社に技術的に無理ですと言いたいのですが、私の認識はあってますでしょうか。
宜しくお願い致します。

87 :anony:2011/07/10(日) 13:51:29.55 ID:???
>>86
こういうことかな?
User1-A
User1-B
User1-C
User2-A
User2-B
User2-C

User1-XのPSK → User1-PSK
User2-XのPSK → User2-PSK

これならできるよ


88 :anonymous:2011/07/13(水) 14:19:05.30 ID:FZLUbvfF
質問:SSH、Webadminが接続できない

確実な再現性がないのですが、
5GTを使い続けていると、コンソール以外のコントロールが失われます。
HTTPSで利用できている状態でも、しばらくすると管理画面に接続できなくなり、
その状態ではSSHでの接続もできません。

パケットでスニファしても、ICMPは戻ってきますが、TCPのsyn/ackが戻ってきません。

再起動で元に戻りますが、しばらくすると接続ができなくなります。
復帰は見込めないようで再起動以外の対処法が今のところ見つけられません。

なにか情報がないでしょうか?

89 :88:2011/07/13(水) 14:25:39.20 ID:???
バージョンは 5.4.0r6.0
です。


90 :ano:2011/07/13(水) 23:34:54.90 ID:???
>>88
セグメントが違うなら、3wayのチェックあたり?
経路確認してみてはいかが?
あとは3wayのチェックはずすなり、経路を直すなりどうとでも

コンソールつなげられるってことは、同一セグメントの可能性が強いか

91 :88:2011/07/14(木) 07:33:20.83 ID:???
>>90
レスありがとう。

5XTのほうで Syn Flood protection が有効になってた。
いったん設定をはずして様子を見てみる。

助かった(とおもう)

92 :anonymous@i125-201-11-103.s05.a023.ap.plala.or.jp:2011/08/02(火) 10:47:33.66 ID:???
NetScreen5GTが投売りされていたので、自宅で勉強のために購入しました。
性能的に無駄な買い物をしちゃったのかなぁ…?っと、思いましたが、
ファイアウォールおよびIPSec/VPN機器として使用したいと考えております。

JuniperサイトからScreenOSをダウンロードしようと、シリアルとメルアドを登録して、
これからダウンロードや設定とかするのですが、ScreenOSの5.4系と6.2系では、何が大きく違うのでしょうか?

あと素人考えなので、玄人の方に教えて頂きたいのですが、
ファイアウォールとしてなら今あるルータの前に設置、IPSec/VPN機器としてなら今あるルータの後ろに設置すればいいのでしょうか?

93 :ななし:2011/08/02(火) 11:30:42.00 ID:???
>>92
OSは最新にしとけばいいんじゃね。
ルータは不要。FWだけいれとけばいいかと。

94 :我輩はぬこである:2011/08/02(火) 23:06:00.92 ID:???
>>92
勉強用なら性能どうでもいいでしょ
俺も\3,000-でうってたから2台かってきたよ
ns5gt.5.3.0hq1.0とかいう見たことないバージョンだったわ


95 :anonymous:2011/08/03(水) 10:08:39.03 ID:???
>>92
5系と6系の一番の違いはIPv6への対応だとオモタ。
ってか、それ以外は
IPv6を使うなら6系、使わないなら5系でもOK。
元々5GTは5.4で打ち止めの予定だったのが、
IPv6への対応の為6系出したって話だったきがす。


96 :230.93.30.125.dy.iij4u.or.jp:2011/08/04(木) 13:00:49.48 ID:???


97 :長すぎる名前:2011/08/13(土) 20:27:50.48 ID:???
5GT 6.2.0r11でも204 5.4.0r21でも、IPv6使って
VPN作ると再起動後にVPN設定だけ全部消えるんだよね・・・。

まぁ再起動なんて頻繁にするもんでもないので
実害なんだけど面倒くさい。


98 :anonymous:2011/08/22(月) 00:07:37.58 ID:AfNwj0Zs
旧機種の中古が安く投売されてるのをよく見る
法人ユーザーがよく手放してるのかな?

99 : 忍法帖【Lv=10,xxxPT】 :2011/08/22(月) 06:51:08.26 ID:???
NS→SSGに乗り換えは前からあるけど、SRXや他製品に乗り換え時期だからねぇ。

100 :anonymous:2011/08/24(水) 23:48:53.66 ID:gU/33qNK
SSG(Screen OS6.0)2台で冗長構成(NSRP)をとります。
この際、2台のSSGのWAN側をそれぞれ異なるISPに接続する構成は可能でしょうか?

それぞれWAN側のI/Fには別セグメントのアドレスが付きます。
また、SSG〜WAN間にはL3SWはありません。

すいませんが可能な場合の設定手法等お知恵を拝借出来れば幸いです。

101 :anonymous:2011/08/25(木) 21:46:56.57 ID:???
>>100
機器は対応してるけど、君が対応してないから
やめといたほうがいい

せめて第11部読んでからこような

102 :anonymous@NWTfb-16p2-74.ppp11.odn.ad.jp:2011/08/26(金) 15:08:42.73 ID:???
untrustのif増やしてそれぞれにpppoe喋らせれば良いんじゃ無いですか?

103 :anonymous@NWTfb-16p2-74.ppp11.odn.ad.jp:2011/08/26(金) 15:10:42.76 ID:???
あ、a/a…

104 :anonymous:2011/09/05(月) 09:53:49.81 ID:???
オクで安く手に入れた中古、耳が邪魔だから外そうとしたが
ネジがゲロゲロに堅く締まっていて外せない。
片方は滑り止め使って残り一本までいったので逆に耳の方を回して解決。
もう一方は二本残ってしまいビスブレーカー使ってもダメ。
このために精密ドライバー3本潰して滑り止めとビスブレーカーで
結局高くついた。


105 :anonymous:2011/09/20(火) 20:54:58.31 ID:???
現在SSGのDMZ2とルータB(RTX1100)のLAN3が接続されているのですが、
SSGのルーティングの設定で質問があります。
1、SSGとRTX1100はそれぞれPPPoEの設定がされている。
2、現在SSGのtrust側はSSGのデフォルトルート(untrust)でインターネットに
抜けているのですが、事情がありRTX1100でインターネットに抜けて行く
設定にしたい。
3、かつ特定のグローバルIP(61.0.0.0.)だけはいままで通りSSGのuntrust側で通信がしたい。

構成
ssgのtrust側PC-A 192.168.0.0/24、DMZ3のアドレス172.16.0.1
rtx1100のlan3アドレス172.16.0.10

上記の2の場合は、あて先0.0.0.0でゲートウェイ172.16.0.10で
良さそうな気がするのですが、上記3の場合はあて先61.0.0.0でゲートウェイのアドレスはどのように設定すればよろしいのでしょうか?(gateweyは0.0.0.0でいいのかなぁ?)

宜しくお願い致します。

106 ::2011/09/20(火) 22:33:08.11 ID:???
実機で確かめて

107 :anonymous:2011/09/21(水) 12:07:46.26 ID:???
105です。
失敗してrtx1100のVPN先と通信出来なくなったら困るので、質問しました。
宜しくお願い致します。

108 :anonymous:2011/09/21(水) 13:26:46.92 ID:???
で、そんな状況なのにここの人間の言う事信じてチャレンジするのか?

109 :anonymous:2011/09/21(水) 22:31:41.19 ID:???
>>105
こんな所で聞いてないでさっさと販売代理のサポートにメールでもしろ

110 ::2011/09/21(水) 23:08:33.46 ID:???
トンネルがなんで落ちるんですか? どこ心配してるのか書いて欲しい

111 ::2011/09/21(水) 23:15:39.03 ID:???
ssgの0.0.0.0をrtxのlan側にふったら良いんでは?で、60なんちゃらはuntrustとうせば。

112 ::2011/09/22(木) 10:58:57.34 ID:???
>105
ルーティングはそれでいいけど、untrustからdmzへのポリシー設定忘れんなよ。


113 ::2011/11/04(金) 12:00:28.91 ID:???
>>26
これってIE側の設定でなんとかならないの?

114 :anonymous:2011/11/04(金) 14:54:27.61 ID:???
>>113
何をやっても、ダメだったと思う。
解決策は、IE9以外を使うしか無いかと。

一応、6.3.0r9で、予告通り対応がされたから、
更新できるなら解決するが、
それ以外は諦めるしか・・・


115 :anonymous:2011/11/15(火) 15:57:17.31 ID:???
なんかWindowsアップデートしたら遅くなった XP-IE8
他のブラウザだと問題ない

116 : 忍法帖【Lv=3,xxxP】 :2011/11/15(火) 17:11:13.75 ID:1LcgGsFn
JUNOS機器を使ってる人いたら使用感おしえてください。

スレチかもだけどよろしくです。

117 :anonymous:2011/11/15(火) 20:48:36.19 ID:???
>>116
重い
バグだらけ

118 : 忍法帖【Lv=40,xxxPT】 :2011/11/15(火) 22:57:27.38 ID:???
確かに、製品としてはマダマダだけど何でもできる装置だから個人的には好きだな。


119 :anonymous:2011/11/16(水) 00:44:08.93 ID:???
EXってスイッチのくせに止めるのにシャットダウン操作が必要って本当?

120 : 忍法帖【Lv=40,xxxPT】 :2011/11/16(水) 07:23:23.87 ID:???
True

121 : 忍法帖【Lv=4,xxxP】 :2011/11/16(水) 15:20:27.16 ID:K7H6c5/f
>>117
レスありがとう。
xmlを使ってDBいじるように設定するイメージなんだけど、確かに普通に考えたら重そうな気がするな。

>>118
そんな風にも見えるよね。でも習得は楽じゃなさそう…。

とりあえずまだしばらくはSSGで提案かな…

122 :anonymous:2011/11/16(水) 20:30:46.73 ID:???
>>119
男らしく、おもいっきりブートログにFreeBSDってでるからw
少しは隠そうぜとw

123 :anonymous:2011/11/20(日) 19:13:22.12 ID:???
>>116
webUIが糞重い。
バグって設定出来ない所がある。
ポリシーが反映されないとか稀にある

124 :anonymous:2011/11/20(日) 23:37:36.16 ID:???
>>123
WebUIとかバカじゃねーの

125 : 忍法帖【Lv=3,xxxP】 :2011/11/21(月) 12:59:01.90 ID:ASUSKcXn
>>124
CLIに慣れるまでどれくらいかかった?

126 :anonymous:2011/11/21(月) 12:59:21.09 ID:???
>>124
使用感を答えただけだが

127 :anonymous:2011/11/22(火) 13:44:21.44 ID:???
これからずっと放置してたNS25をバージョンアップ

5.0.0r6 → 5.4.0r18

再起不能になったら骨ひろってくれよな

128 :anonymous@k184164.ppp.asahi-net.or.jp:2011/11/22(火) 14:51:33.76 ID:???
tftpdくらいは用意しとけよw

129 :anon:2011/11/23(水) 00:41:05.13 ID:???
チャレンジャーやな

130 :anonymous:2011/11/25(金) 22:25:17.83 ID:???
じゅもんがちがいます

131 :anonymous:2011/11/25(金) 22:44:22.78 ID:???
でんどん、でんどん、でんどん、でんどん、でーーーーんどん

132 :anonymous:2011/11/26(土) 00:17:07.94 ID:???
うわああああああああああああああああああああああああああああorz

133 :anonymous@FLA1Abq062.chb.mesh.ad.jp:2011/11/26(土) 08:51:12.43 ID:???
野田は知っているのか…TPPに潜む“訴訟地獄”の阿鼻叫喚

「訴訟大国・米国相手にISD条項を認めるのは狂気だ。賠償金をむしり取ったり、
自社が儲かるように制度を変えさせる手段として使うだろう。
加表明国で、米国に次ぐGDP2位の日本は最大の標的だ」

「エコカー減税のせいで米国産の車が売れない、国民皆保険制度のせいで
民間の保険商品が売れない−など。国の訴訟リスクは計り知れない」と指摘した。

TPPに詳しい京都大学大学院の中野剛志准教授はこう話した。

11日の参院予算委員会で、ISD条項を取り上げた自民党の佐藤ゆかり参院議員はこう解説する。
 「条約なので、ISD条項が国内法よりも上位になる。国内の司法機関が関わる余地はなく、
仲裁機関で審査され、決定に不服があっても覆らない。一審で確定する。」

ごく一部、判明したISD条項の例(佐藤ゆかり事務所調べ)
投資家国籍  訴えられた国  ビジネス     賠償
米国      メキシコ      廃棄物処理  1669万ドル
米国      カナダ       ガソリン     1300万ドル
米国      カナダ       廃棄物処理   386万ドル
米国      カナダ       不明       1億3000万ドル
米国      カナダ       水         105億ドル
http://www.zakzak.co.jp/society/politics/images/20111118/plt1111181251005-p3.jpg

TPP中身知らない野田・枝野/ISD条項・国内法に優越する事も知らず
http://www.youtube.com/watch?v=v7QHGesP3tc&feature=related



47 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)