1read 100read
2011年12月2期通信技術5: Netscreenユーザスレ r4.0 (136) TOP カテ一覧 スレ一覧 2ch元 削除依頼
・ 次のスレ
6: FOMA(W-CDMA)ってどうなの? (130)
7: キャプテン(笑) (381)
8: ADSLでVPNが可能なプロバイダ (151)
9: 電話工事屋さんよ、熱く語れ!!12軒目 (693)

Netscreenユーザスレ r4.0


1 :11/03/08 〜 最終レス :11/12/24
無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。
http://www.juniper.net/jp/jp/products-services/security/
その他代理店はggrks
過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/
Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/
Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

2 :
>>1
大義であった!

3 :
気づいたら落ちてたねw
たまにはageないとだめだなやっぱ

4 :
そういえば落ちてたな。
すっかり忘れてた。

5 :
5XTを透過モードで使っています
syslogをuntrust側のポートに出す事はできないんでしょうか?
よろしくお願いします

6 :
netscreen 5xt 5.3 r3 でファームアップをやらかしちゃったんだが、解決方法ないっけ?

7 :
>>6
自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。
"TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。

8 :
ちと教えて下さい
x.x.x.1〜x.x.x.4のグローバルアドレスを持っているとして
x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末(192.168.1.0/24)のデフォゲとします。
またこのとき192.168.1.100〜192.168.1.102迄のサーバ三台をそれぞれ
x.x.x.2 → 192.168.1.100
x.x.x.3 → 192.168.1.101
x.x.x.4 → 192.168.1.102
とMIPにします。
このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ
ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの
グローバルIPにしてやれば良いのでしょうか?

9 :
>>8
サーバーごとにTrust to Untrustのポリシーつくって、Advancedの
NAT Source AddressにMIP指定してやってた気がする
違ったらごめんよ
あとローカルセグメントにいるサーバーのデフォルトゲートウェイに
グローバルIP設定したところで、セグメント違うんだから通信できない希ガス

10 :
>>9
レスありがとうございます。
それっぽいところを見たのですが
NATのSource Translation (DIP on)というところぐらいで
None (Use Egress Interface IP) しか選べませんでした。
(MIPを選ぶところはなかったです orz)
機種はNS25でファームウェアは5.4.0r16.0です。

11 :
http://www.viva-netscreen.net/archives/cat_50031540.html
上みてやれば普通にできると思うよ?

12 :
>>11
!!
なんと…。
MIPが設定されたマシンから外へ通信するとソースは
該当するグローバルIPになるんですね!!
最初に試してから質問すれば良かったorz
机上で設計していて、デフォルトルートに通信が行くんだから
絶対にUntrustの口のIPになると思っていました。
お騒がせ致しました…。

13 :
インタフェースモードやDIPの有無によるのでは。
・・・楽しいFWになりそうだな。

14 :
最近5.4系なんか触った記憶ないけど、untrustに入ってくる通信で、
そのインタフェースが持ってないセグメントをmIPにアサインできたっけ?

15 :
今時JuniperのサイトからNetScreen-Remoteもダウンロードできるんだな。
ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。
つってもVistaまででしか使えないけどね…。
結局Windows7の標準IPSecクライアントでNSってつながるの?

16 :
そんなもん使うな

17 :
>>15です
NetScreenとShrew Soft VPNでVPN接続できました
Windows7 64bitもOK
http://blog.livedoor.jp/nanashisoft/archives/52242485.html
http://kokoro.bf1.jp/blog/archives/1293
とかを参考に試行錯誤。
なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず
仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙
暫くはこの組み合わせで運用しようと思います

18 :
続き
一応Windows標準クライアントとの接続は公式資料がある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536
あとこことかを参考に
http://gyabooo.mydns.jp/blog/?p=9
して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。
クライアント側の詳しいログが見つけられなくてそれ以上追えず。
それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。
ので素直にVPNクライアント使ったほうがいいなぁという結論に…。
というグチでございました。

19 :
shrew softはおいらも使ってるよ
ただ複数同時接続はできてない

20 :
5xtなんだけどメモリー使用率が70%くらいまでいってる
ほかのセッションやCPU使用率は10%くらいなのに・・・
ログとらなきゃいいけどとんないとねぇ・・・・
ポリシー5つくらいすべてログとるようにしてる

21 :
5GT 500円でカテキタ

22 :
>>21
安いな、おいw

23 :
>>22
ACアダプタなしだったけど、まずまずの掘り出し物でした。
サクッとファームアップしてコンフィグを見ていると↓のような仕様でしたけど、これってextendedです?
Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans
Drp: Enable
Deep Inspection: Disable
Deep Inspection Database Expire Date: Disable
Signature pack: N/A
IDP: Disable
AV: Disable(0)
Anti-Spam: Disable(0)
Url Filtering: Disable

24 :
>>23
Sessionが4096でNSRPがLiteなのでExtentedモデル
として認識しているようなので間違いないはずです。

25 :
>>23
無制限ユーザで\500となw
いい買い物したねオメ
これにあやかってSSG5でいいから\5kくらいで転がってねーかなー
どうでもいいけど、6.2.0r6でついた念願のtelnetだが、妙に遅くないかい?

26 :
IE9だとWebUIのメニューが出てこないのね

27 :
SSG140の設定で困ってます
UnTrust,DMZ,Trustの構成です。
DMZはグローバルIPを直接割り当て、NATは行わずそのままルーティングします。
UnTrustは上位ルーターとの通信用セグメントです。UnTrust,DMZのI/FはRouteモードにしています。
更にポリシーでUnTrust→DMZの通信を全許可しています。
この状態でUnTrustの先に繋いだ端末から、DMZのI/F、DMZ内にいるサーバーにpingは通ります。
しかし実際に端末からサーバーにHTTP接続しようとしても接続できません。
DMZ内にいる他の端末からサーバーへはHTTP接続できます。
サーバーにtcpdumpを仕掛けたところ、pingのパケットは来ていますがHTTPのパケットは来ていませんでした。
UnTrust側からDMZ内のサーバーにHTTP接続するにはどうしたらいいのでしょうか…。
ちなみにNetScreen204に同じような設定をしたところ、そちらは意図通りに動きました。
もう私の手には負えません…。アドバイスをお願い致します。

28 :
>>27
とりあえず、いくつか確認してちょ。
@DMZ設置のサーバのFirewall(iptables)設定の確認。
ASSGのバージョンを教えて。
BPINGはSSGが代理応答している可能性があるからDMZ〜サーバでICMP飛んでいるか確認。
CUntrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。
D逆にDMZからUntrustは通信できるのか確認
@とBに関しては、正常との事だからScreenOSの不具合じゃないかな...と?

29 :
>>28
ご回答ありがとうございます
@サーバー側のiptablesは特にかかっていませんでした。
ASSG140 HardwareVersion:1010, FirmwareVersion:6.2.0r8.0
Bサーバーにtcpdumpを仕込みましたが、間違いなくICMPは出入りしています。HTTPはSYNパケットすら来ません。
C該当設定でポリシーログをとったところ、ICMPはきちんとTraffic Deniedとしてログに残りましたが、HTTPはログにすら出ませんでした。
DUntrust→DMZのポリシーを許可すればpingは通りましたが、HTTPはこちらも通らなかったです…。(ポリシーでソースNATかければ通りますが)
うーんやはりバグでしょうか…。
しかし普通に使われそうな構成で今更こんなバグがあるとも思えないわけですが…。
それとも自分のネットワークやSSGの理解が足りないのか。

30 :
ああああああああああああああああああああああああああああ単純ミスだったorz
実験環境で端末とSSGの間に入ってる機器(存在を忘れてた)の設定ミスでパケット止めてました
疑ってごめんよ >SSG
大変お騒がせいたしました。

31 :
ワロタ。
頑張れ!

32 :
SSGの管理画面にVPN経由でログインできないのですが仕様でしょうか
ログイン画面は出るのですが、ID/PWを入力してもまたログイン画面に戻ってしまいます

33 :
普通にできるよ

34 :
DIPでIPがアクセス毎に変わるのが原因でした

35 :
>>34
固定にすると複数台同時接続できなくね?

36 :
NATだし大丈夫じゃないかな

37 :
あたいはできんかった

38 :
ScreenOS6.1が乗っているSSG5を使っています。
MIPで設定した送信元IPが、untrustインターフェイスのIPにNATされてしまい困っています。
以下に状況を説明します。
プロバイダからグローバルIPとして
xxx.xxx.xxx.96/28
をもらいました。
またプロバイダ・SSG5間のネットワークとして
xxx.xxx.xxx.112/29
を、SSG5のuntrust側I/F用IPとして .113を指定されました。
(プロバイダのGWは .118)
trust側I/FはNATで 192.168.1.0/24 と設定し、
また xxx.xxx.xxx.97 をMIPで 192.168.1.11となるよう、
untrust側のI/F上に設定しました。
192.168.1.11にはウェブサーバとメールサーバを立てて、
untrust -> trust で Any -> MIP(xxx.xxx.xxx.97)
へHTTPとSMTPを許可しました。
また trust -> untrust で 192.168.1.0/24 ->Any
へSMTPも許可しました。
これでインターネット側からは
xxx.xxx.xxx.97
で 192.168.1.11のウェブサーバ・メールサーバへアクセスできることを確認できて喜びました。

39 :
長くなってしまいましたがここから本題です。
試しに192.168.1.11から自分のプロバメールアドレスへメール送信したところ、
送信自体は成功して無事にメール受信できました。
ただtrust->untrustのSMTPポリシーのログを見ると、
Translated Source Addressとして xxx.xxx.xxx.113 に変換されていました。
untrustのI/Fではなく、MIPしたxxx.xxx.xxx.97 から送信されるように
するにはどうすればいいでしょうか?
MIPで指定している xxx.xxx.xxx.97 はドメインをとっているので、
このままだとそのドメインを騙っているスパムIPアドレスとして
.113がブラックリスト入りしてしまうのではと心配です。
試しに
trust -> untrust のポリシーで MIP(xxx.xxx.xxx.97) -> Any
へSMTP許可してみましたが、送信できずグローバルポリシーでdenyされていました。
けっこう困っています。。。お知恵かしてください。

40 :
routeモードにして、ポリシー単位でNAT制御すればいいのでは?

41 :
>>40
ありがとうございます。
trust側I/Fをrouteにしてポリシーログを確認したところ、Translated Sourceが192.168.1.11とプライベートアドレスになっているためそのままClose-Age Outして外部へでることができません。
ポリシーでsrc natするためにDIPとしてx.x.x.97をuntrust側I/Fへ登録しようとしましたが、untrust側のネットワークであるx.x.x.112/29の外なので登録出来ませんでした。
そもそも.97はMIPで使用済みなので、DIPとして二重登録はできないようです。
何か壮大な勘違いしてそうなのでお知恵を貸してください。

42 :
>>38
あらま、アテが外れてごめんなさい。
SourceでNATするのではなく、DestinationでNATしてみたらどうでしょうか。
該当するポリシーの NAT項目にある "Translate to IP"に xxx.xxx.xxx.97 とする事で
アウトバウンドのSrc IPはxxx.xxx.xxx.97になるはず。

43 :
書き込んでから気付いたけど、xxx.xxx.xxx.96/28を貰ってるのに
SSGのUntrust側がxxx.xxx.xxx.112/29ってどういう構成だろうコレ。

44 :
上位ルーター接続で冗長構成にしたりするとルーティング用のセグメントとして/29とか振られるよ
ISP側、自前機器側双方でVRRP構成にするような場合はいっぱい使うしね

45 :
>>42
何度もありがとうございます。ただ通信しようとする先が.97にNATされてしまいダメでした。
自分の整理のためも含めて、環境と問題、それに対してやってみたことをまとめます。
アドバイスいただけると助かります。けっこう焦ってきました。
>>44
おっしゃる通り冗長構成です。すごいですね。
●環境
□untrust側
network:x.x.x.112/29
I/FのIP:x.x.x.113
□trust側
network:192.168.1.0/24
I/FのIP:192.168.1.1
WEB/SMTPサーバhost IP:192.168.1.11
□その他
プロバイダからもらったGlobal IP:x.x.x.96/28
◆問題
設定:
・MIPでx.x.x.97 <-> 192.168.1.11
・Any -> MIPでhttp/smtpをpermitポリシー作成
・192.168.1.11 -> Any でhttp/smtpをpermitポリシー作成
・trustのI/FモードをNAT
結果
inbound,outboundとも疎通OK。
ただしoutbound時のsrc ipがuntrustのI/FのIP(.113)に変換されてしまう。
outboundでx.x.x.97がsrc ipとなるように設定したい。

46 :
■やったこと1
設定
・trustのI/Fモードをroute
・他の設定は同じ
結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に変換されてしまい疎通NG。
■やったこと2
設定
・192.168.1.11 -> Anyのポリシーで、destinationをx.x.x.97にNAT設定
・他の設定はやったこと1と同じ
結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に、
さらにdest ipがx.x.x.97になってしまい疎通NG。
■やったこと3
設定
・MIP削除
・Any -> x.x.x.97でhttp/smtpをpermitポリシー作成
 そのポリシー内でdestinationを192.168.1.11にNAT設定
・他の設定はやったこと1と同じ
結果
inboundは疎通NG
⇒Globalのdenyポリシーログに、疎通の試みが記録されていました
 なぜdenyされるのかわかりません。。。
outboundは相変わらず疎通NG

47 :
あんまちゃんと読んでないけど、要はセグメントの異なるIPで化かせばいいんだろ?
set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97
set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log
DIPで単一のIPレンジ(言葉的に矛盾してるが)をUntrust側I./Fに振ってやれば、
Sourceはご所望の.97のアドレスで出て行く
あとは適切にMIPの設定しろ

48 :
>>47
ありがとうございます、すごくヒントになりました。
untrust側I/Fのeth0/0はx.x.x.112/29なのでそのままでは.97をDIPできませんでした。
ですのでeth0/0.1というSub I/Fをつくり、そこにx.x.x.96/28を割り当てたうえで、そのI/F上に.97をDIPしました。
ポリシーでtrust->untrustにDIPの.97をsrc natさせたら、おっしゃる通り.97で出ていきました!
ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。
(本文長すぎエラーになったので続きます。。。)

49 :
(続き)
MIPなしのまま以下のようにポリシー作成しても、
>>46のやったこと3で書いたようにGlobalポリシーでdenyされてしまいます。。。
set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11
つまりoutboundはできるようになりましたが、今度はinboundがダメになりました。
長々とスレ汚しすみません。光が見えてきたのでもう少しつきあっていただけるとうれしいです。

50 :
勘違いしてたらごめんなさい。
>48
Untrustインタフェースなら、サブインタフェース作らなくても、
インタフェース自身とは違うサブネットをDIPとして作れるはず。
DIP設定するときに「ext ip」という感じの設定が入ります。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5760

51 :
続きです。
>49
Globalポリシーに行ってると言う事は、通常のポリシーでマッチしてません。
(MIPが無いと言う前提で)。
ポリシーベースNATでは、宛先アドレス("*.*.*.97/32" )が、
Trust側にルーティングされるようにウソルーティング設定が必要です。
(でないとポリシーにたどり着けません→ポリシーにマッチできません)

52 :
今スレをちょっと読み返してみた。こんな感じでいいのか?
アドレスは適当にしたので読み替えろ。自宅にSSGは無いから5GTな
面倒だからI/F表記は変えない
trust I/F:192.168.7.250/24
untrust I/F:172.16.0.113/29
対向I/F:172.16.0.118/29
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.0
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr"
set route 10.0.0.97/32 gateway 192.168.7.250
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log

53 :
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust
Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024
PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit
2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust
Close - RESP 1 172.16.0.118 1 192.168.7.250 97

54 :
うおお間違って対向のじゃなく自I/Fのログ晒してもうたw
ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024

55 :
どうもよくよく読んでいると、
>46 の
「やったこと1」で、問題ないはずなんだよね。
MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。

56 :
(続き)
>52
set policy id 100 でsrc dip-id 4 って設定されてるのに
ログでは10.0.0.97 にNATされてるから、
やっぱりMIPアドレスでSrc-NATされてますよね。
policy id 100 のSrc-NATをやめて
dipとルーティングを削除しても同じように動くと思うのですが
試してもらないでしょうかw

57 :
>>56
あーやっと言いたい事が分かった気がする(多分)。つーかMIP必要なくね?
面倒だからホストは立てんけど
set interface trust ip 192.168.7.250/24
set interface untrust ip 172.16.0.113/29
set address "Trust" "Globals" 172.16.0.96 255.255.255.248
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log
set route 172.16.0.96/29 gateway 192.168.7.250

58 :
ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024

59 :
PID 200, from Untrust to Trust, src ISP, dst Globals, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust
Close - RESP 1 172.16.0.118 0 192.168.7.250 106

60 :
>57, 58
ありがとうございます。
>つーかMIP必要なくね?
自分が思うに、MIPでも、ポリシーベースNATでも、
どちらでも問題なく出来る。。。はずなのですが。

61 :
>>60
> 自分が思うに、MIPでも、ポリシーベースNATでも、
> どちらでも問題なく出来る。。。はずなのですが。
建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする
ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが
想定した変換がうまく行われないようだ
まぁそういうのは自分でぶち当たってから考えてみてくれ

62 :
>>50-61
お休みに試してまでもらって本当にありがとうございます。
お二方(?)のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。
set interface ethernet0/0 ip *.*.*.113/29
set interface ethernet0/0 route
set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97
set interface ethernet0/1 ip 192.168.1.1/24
set interface ethernet0/1 route
(続きます)

63 :
set address "Trust" "192.168.1.11/32" 192.168.1.11 255.255.255.255
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log
set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log
set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118
set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0
(続きます)

64 :
>>62-63のように設定し、inboundは疎通するようになりました。
ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって(Globalのdenyログにも出ない)、outboundが疎通できません。
そこでuntrust->trustのポリシーをDIP無しの単純な
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log
にしたところpingは通るようになりました。(ただsrc ipが192.168.1.11のままなので外部へは行けず)
あちら立てればこちらが立たずでほんと困ってます。。。長々とすみません。

65 :
>>64
すみません、DIP無しにしたらpingが通ったのはtrust->untrustのポリシーでした。

66 :
長々と判りづらいから今困ってることを箇条下記で書いてほしい。
後、中途半端なConfig貼り付けられても間違った回答する元だから
Configマスキングして何処かにアップロードしてくれ。

67 :
>>66
ありがとうございます。
困ってること:
 MIPしてるにもかかわらずSRC IPがルータのuntrust側I/FのIPにNATされてしまう
やりたいこと:
 MIPしているグローバルIPのまま、外に出ていってほしい
設定(SSG5/ScreenOS6.1):
 untrust側ネットワーク:***.***.***.113/29
 untrust側I/FのIP: ***.***.***.114
 プロバイダからもらったグローバルIP: ***.***.***.96/28
 trust側ネットワーク:192.168.1.0/24
 trust側ホスト:192.168.1.11
 MIP: ***.***.***.97 <-> 192.168.1.11
 config:http://www.dotup.org/uploda/www.dotup.org1688582.txt
 冗長構成です。

68 :
>>67
すいません、設定のuntrust側ネットワーク間違えました。。。正しくは以下のとおりです。
設定(SSG5/ScreenOS6.1):
 untrust側ネットワーク:***.***.***.112/29
 untrust側I/FのIP: ***.***.***.114
 プロバイダからもらったグローバルIP: ***.***.***.96/28
 trust側ネットワーク:192.168.1.0/24
 trust側ホスト:192.168.1.11
 MIP: ***.***.***.97 <-> 192.168.1.11
 config:http://www.dotup.org/uploda/www.dotup.org1688582.txt
 冗長構成です。

69 :
いろんな意味で見てて頭の痛くなる内容だな
そもそも冗長構成の意味が解ってるのだろうか
まずその意味のないどころか害でしかないGlobalのポリシーをunsetしろ
話はそれからだ
それだけでsrc:***.***.***.97に変換されて出て行くだろ

70 :
>>69
そんなconfig見ていただいてありがとうございます。
NSRPがdisabledなライセンスなので、必死でvrrp使って冗長構成してみたのです。
(もう1台untrustが.115なSSG5がいて、この設定でフェイルオーバーできたので安心してたんですが、やっぱりおかしいでしょうか)
アドバイスの通りGlobalのdenyポリシーunsetしてみましたが、相変わらずsrcが***.***.***.114にNATさえて出ていきます。。。

71 :
NSRP使えないライセンスなんて聞いたこと無いぞ。

72 :
>>71
******-> get license-key
Sessions: 8064 sessions
Capacity: unlimited number of users
NSRP: Disable
...
という感じなのです。
それはともかく、untrsutのI/Fにsrc-natされてしまうのがほんとに不思議というか困ってます。
>>55さんの言うように、MIPすれば割り当てたグローバルIPでsrc-natされると思ってたのですが。。。

73 :
もしかしたら、ですが。
> set interface "ethernet0/0:6" mip ***.***.***.97 host 192.168.1.11 netmask 255.255.255.255 vr "trust-vr"
MIPは、サブインタフェースのeth0/0:6 につくってますが、
> set route 0.0.0.0/0 interface ethernet0/0 gateway ***.***.***.118
目的のパケットのルーティング先はeth0/0 を向いてます。
このため、内→外のパケットは、LAN側のIF->eth0/0 になるので、
eth0:6 に作ったMIPにマッチしてないと判断されてるのではないでしょうか。
(eth0/0 と eth0/0:6 が同一セグメントなら、サブインタフェースではなく、
 secondary IP で設定してみることをオススメしてみます。
 尤も、あまりこういう使い方をした事が無いので直るのかは判らないです。)

74 :
(続き)
とりあえず、シンプルに、サブインタフェースを使わない状態にして
NATがどうなるかチェックできますか?
あと、個人的感想ですが、InterfaceのNATモードはあまりオススメしません。
良くわからん事になりがちなので。。。
あとはバグの可能性。

75 :
構成図がまったくわからん

76 :
SSG140とShrew Soft VPNでVPNを構築してみました
サーバーからVPN経由で端末(Shrew動作側)にダウンロードしてくるのは速くて70Mbpsくらい出るのですが、
アップロードが極端に遅くて(数Kbps程度)困っています。
仮組状態なので端末とSSG、SSGとサーバーはLANケーブルで直結しています。
何か心当たり等ありましたら教えて頂けますでしょうか…。
宜しくお願い致します。

77 :
単純に回線の限界じゃないの

78 :
LANケーブル直結なのでそれはないかと…
Wiresharkで見てみたところ、同じACKパケットが重複して届いているようです。
WinXP機にNetscreen-Remoteを入れてみたところそのような問題は発生しませんでした。
しかしWin7とかで使いたいのでShrewを使ってみたのですが…
普通にShrewで使えてる人いますか?

79 :
>>78
get eventかget log traffic policy <id> で何か出てないか見てみろ

80 :
教えて下さい。SSG20を使用しております。
untrustからtrustへ15秒周期でSSH接続しているのですが、
特定の拠点Aからのみ1時間に1〜2回程度、接続エラーとなります。
SSHのポートは22ではないものにしています。
・拠点A→SSG(SSHのみエラー、80は問題なし)
・拠点A→他のサーバ(問題なし)
・拠点B→SSG(問題なし)
接続エラーは拠点A内の複数のPCで発生します。
拠点AはFTTH、拠点BはADSLです。
SSGのSoftware Versionは 6.2.0r8-cu1.0。
このような状況なのですが、解決の手がかりはありますでしょうか。
get log traffic policyを見ても、問題となるような点は見当たりませんでした。

81 :
L2モードでNetScreen使ってます
PC群=====NetScreen=====ルーター
こんな感じです。
この状態でNetScreenから別拠点へのVPNは張れないのでしょうか。
PC群が別拠点のIPアドレス宛のパケットを発するとNetScreenがVPN処理してくれる事を期待しています。
設定はしてみたのですがNetScreenは反応せず…L2モードだとダメなのでしょうか…。
宜しくお願いします。

82 :
netscreen/ssgのL2モードではVPNは使えなかったはず

83 :
なるほど…orz

84 :
>>82
あれ?マニュアルにはL2モード時のVLAN1でVPNトラフィックの
終端が出来るような事書いてあるけど、VPN使えないん?
物は有るが、テストできる環境は無いんで、
誰か試してくれ。

85 :
>>82
L2モードでもVPNは使えるはずです。
>>84
試さなくてもKBには出来ると書いてある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5822

86 :
NetScreenとNetScreenRemoteでIPSec+XAuthによるダイヤルアップVPNの環境を構築しました。
会社から、VPN接続するユーザーのグループごとに事前共有鍵を変えたいと言われましたが、
私の認識だと仕組み上事前共有鍵は複数設定できないと思っています。
会社に技術的に無理ですと言いたいのですが、私の認識はあってますでしょうか。
宜しくお願い致します。

87 :
>>86
こういうことかな?
User1-A
User1-B
User1-C
User2-A
User2-B
User2-C
User1-XのPSK → User1-PSK
User2-XのPSK → User2-PSK
これならできるよ

88 :
質問:SSH、Webadminが接続できない
確実な再現性がないのですが、
5GTを使い続けていると、コンソール以外のコントロールが失われます。
HTTPSで利用できている状態でも、しばらくすると管理画面に接続できなくなり、
その状態ではSSHでの接続もできません。
パケットでスニファしても、ICMPは戻ってきますが、TCPのsyn/ackが戻ってきません。
再起動で元に戻りますが、しばらくすると接続ができなくなります。
復帰は見込めないようで再起動以外の対処法が今のところ見つけられません。
なにか情報がないでしょうか?

89 :
バージョンは 5.4.0r6.0
です。

90 :
>>88
セグメントが違うなら、3wayのチェックあたり?
経路確認してみてはいかが?
あとは3wayのチェックはずすなり、経路を直すなりどうとでも
コンソールつなげられるってことは、同一セグメントの可能性が強いか

91 :
>>90
レスありがとう。
5XTのほうで Syn Flood protection が有効になってた。
いったん設定をはずして様子を見てみる。
助かった(とおもう)

92 :
NetScreen5GTが投売りされていたので、自宅で勉強のために購入しました。
性能的に無駄な買い物をしちゃったのかなぁ…?っと、思いましたが、
ファイアウォールおよびIPSec/VPN機器として使用したいと考えております。
JuniperサイトからScreenOSをダウンロードしようと、シリアルとメルアドを登録して、
これからダウンロードや設定とかするのですが、ScreenOSの5.4系と6.2系では、何が大きく違うのでしょうか?
あと素人考えなので、玄人の方に教えて頂きたいのですが、
ファイアウォールとしてなら今あるルータの前に設置、IPSec/VPN機器としてなら今あるルータの後ろに設置すればいいのでしょうか?

93 :
>>92
OSは最新にしとけばいいんじゃね。
ルータは不要。FWだけいれとけばいいかと。

94 :
>>92
勉強用なら性能どうでもいいでしょ
俺も\3,000-でうってたから2台かってきたよ
ns5gt.5.3.0hq1.0とかいう見たことないバージョンだったわ

95 :
>>92
5系と6系の一番の違いはIPv6への対応だとオモタ。
ってか、それ以外は
IPv6を使うなら6系、使わないなら5系でもOK。
元々5GTは5.4で打ち止めの予定だったのが、
IPv6への対応の為6系出したって話だったきがす。

96 :


97 :
5GT 6.2.0r11でも204 5.4.0r21でも、IPv6使って
VPN作ると再起動後にVPN設定だけ全部消えるんだよね・・・。
まぁ再起動なんて頻繁にするもんでもないので
実害なんだけど面倒くさい。

98 :
旧機種の中古が安く投売されてるのをよく見る
法人ユーザーがよく手放してるのかな?

99 :
NS→SSGに乗り換えは前からあるけど、SRXや他製品に乗り換え時期だからねぇ。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
・ 次のスレ
6: FOMA(W-CDMA)ってどうなの? (130)
7: キャプテン(笑) (381)
8: ADSLでVPNが可能なプロバイダ (151)
9: 電話工事屋さんよ、熱く語れ!!12軒目 (693)