Netscreenユーザスレ
1 :NS:
どれぐらいの人が使ってるんでしょうか?最近結構売れてるような噂を
聞きますが
聞きますが
|
|
|
zuza
3 :ある名無し:02/07/12 20:25 ID:CTvMsVP6
4 :ごーじーらー:02/07/12 21:21 ID:7v7woTOK
NetScreen 25 を 5 台買いました。
制限が厳しい点に目をつむれば、なかなか良いのではないかと。
制限が厳しい点に目をつむれば、なかなか良いのではないかと。
5 : :02/07/12 23:10 ID:???
次期OSでは頼むからスタティックNATしたIPのグルーピングをできるようにしてくれ
ポリシー管理が非常に面倒くさい
あと一つのルールにサービス複数かける機能もほしい
ルールごとにグループ作るのはさすがにめんどくさい
100や204あたりはパフォーマンス的に抜群に費用対効果の優れた機器だけに
ポリシー管理の機能が貧弱なのがもったいない
ポリシー管理が非常に面倒くさい
あと一つのルールにサービス複数かける機能もほしい
ルールごとにグループ作るのはさすがにめんどくさい
100や204あたりはパフォーマンス的に抜群に費用対効果の優れた機器だけに
ポリシー管理の機能が貧弱なのがもったいない
6 : :02/07/13 13:34 ID:YCV/K1Th
シールが貼ってある4ポート目は、将来なににつかえるようになるの?
7 : :02/07/13 13:43 ID:???
本家
http://www.netscreen.com/
http://international.netscreen.com/
目立
http://www.hitachi-system.co.jp/netscreen/
荒井戸
http://www.allied-telesis.co.jp/products/product/netscreen/
おまけ
http://www.sc-comtex.co.jp/products/netscreen/
http://www.nvc.co.jp/product/netscreen/
http://www.rikei.co.jp/dbdata/products/productj207.html
http://www.netscreen.com/
http://international.netscreen.com/
目立
http://www.hitachi-system.co.jp/netscreen/
荒井戸
http://www.allied-telesis.co.jp/products/product/netscreen/
おまけ
http://www.sc-comtex.co.jp/products/netscreen/
http://www.nvc.co.jp/product/netscreen/
http://www.rikei.co.jp/dbdata/products/productj207.html
8 :**:02/07/13 17:40 ID:bObImDVF
>6
>シールが貼ってある4ポート目は、将来なににつかえるようになるの?
クラスタ構成が可能になるそうな
>シールが貼ってある4ポート目は、将来なににつかえるようになるの?
クラスタ構成が可能になるそうな
9 :**:02/07/13 17:45 ID:bObImDVF
リモートアクセスで内部Networkに入る時、内部DNSのアドレスをクライアント
に配布できる?
に配布できる?
10 : :02/07/15 22:10 ID:i9LWwMvw
ScreenOS4.0が発表になったみたいだね。
http://www.netscreen.com/press/viewRelease.asp?release=310
あとローエンドの新機種がでてる。
NetScreen-5XT:
70Mbps firewall (20Mbps VPN performance)
セッション数とVPN数は5XPから変更なしの様子。
http://www.netscreen.com/press/viewRelease.asp?release=310
あとローエンドの新機種がでてる。
NetScreen-5XT:
70Mbps firewall (20Mbps VPN performance)
セッション数とVPN数は5XPから変更なしの様子。
11 :anonymous@ p294bc2.kngwnt01.ap.so-net.ne.jp:02/07/15 22:40 ID:FgMa0OgR
ワイヤースピード並のパフォーマンスってのが売りみたいだけど、
他社のファイアウォール製品との比較表とかってありませんか?
他社のファイアウォール製品との比較表とかってありませんか?
12 :etc:02/07/22 17:58 ID:Zn77z9fV
>11
ソフトウェアF/Wとの比較は無茶では?
ソフトウェアF/Wとの比較は無茶では?
13 :fushianasann:02/07/22 19:03 ID:???
FLA1Abn101.tky.mesh.ad.jp
FLA1Abn101.tky.mesh.ad.jp
FLA1Abn101.tky.mesh.ad.jp
FLA1Abn101.tky.mesh.ad.jp
FLA1Abn101.tky.mesh.ad.jp
FLA1Abn101.tky.mesh.ad.jp
FLA1Abn101.tky.mesh.ad.jp
ASFやPixとの比較は気になるなあ
16 :Fw-1:02/07/24 11:06 ID:m+Eha+e+
17 :NSXX:02/07/24 16:55 ID:tHuE3BOZ
皆さん、どちらから購入されました?
価格もさることながら、サポートとかどうですか?
価格もさることながら、サポートとかどうですか?
18 :NS-R:02/07/24 21:16 ID:AzAzysIC
だれか日本語マニュアルを下さい。
19 :はる:02/07/24 23:37 ID:ePZ7fRvK
SCコムテクスってどうよ。
20 :名無しさん@Meadow:02/07/25 00:03 ID:JXdU7QNG
SC-ComTexのガントレット部隊は優秀だった・・・大人の事情で最近はNetScreenに力を入れてる
技術力も対応も悪くないよ(金額もそれなりだけどね)
技術力も対応も悪くないよ(金額もそれなりだけどね)
21 :dns逆引き:02/07/25 00:26 ID:vflSWbha
ガントレット部隊
って?
って?
22 :名無しさん@Meadow:02/07/25 00:34 ID:TLnKhRLQ
ガントレットって言う一部熱狂的な支持層のあったFirewall、メーカー側の諸般の事情で・・・
SC-ComTexはガントレットの代わりにNetScreenを扱いはじめました、今更Firewall-1には行けないからねぇ
SC-ComTexはガントレットの代わりにNetScreenを扱いはじめました、今更Firewall-1には行けないからねぇ
23 :anonymous@ p3233-adsao01yokoni-acca.kanagawa.ocn.ne.jp:02/07/25 21:05 ID:???
>>16
カタログ値を並べた比較表なら持っています。でも、この比較表は、 NetScreen を売る時にしか
使い物になりません。
FW-1 の良いところは、細かい制御が柔軟にできるところと分かりやすいルールを作ることができるところ。
あとは、 OS の機能を活かして、柔軟な運用が可能な点。
VPN 周りとか、集中制御とか他にも色々と良い点はあるけれどね。
カタログ値を並べた比較表なら持っています。でも、この比較表は、 NetScreen を売る時にしか
使い物になりません。
FW-1 の良いところは、細かい制御が柔軟にできるところと分かりやすいルールを作ることができるところ。
あとは、 OS の機能を活かして、柔軟な運用が可能な点。
VPN 周りとか、集中制御とか他にも色々と良い点はあるけれどね。
25 :Fw-1:02/07/26 08:58 ID:Z+gf/K/H
>>24
スループットならNS
機能面ならFw-1
確かに甲乙つけがたいですね。
NOKIAってどうなんでしょ?
触ったこと無いので、どんな形でFw-1がインプリされてるかわからん
FireWallのスループットは悪くない(暗号化,3DESのは最悪だけど)
スループットならNS
機能面ならFw-1
確かに甲乙つけがたいですね。
NOKIAってどうなんでしょ?
触ったこと無いので、どんな形でFw-1がインプリされてるかわからん
FireWallのスループットは悪くない(暗号化,3DESのは最悪だけど)
26 :名無しさん@Meadow:02/07/26 09:09 ID:ydOOahFS
>>25
NOKIAのFirewallに使っているSoftwareはCheckPointのFirewall-1,ノード数等で両者が競合しないように
製品展開をしている,以前CheckPointにNOKIAを紹介されたことがあります.
NOKIAのFirewallに使っているSoftwareはCheckPointのFirewall-1,ノード数等で両者が競合しないように
製品展開をしている,以前CheckPointにNOKIAを紹介されたことがあります.
28 : :02/07/28 14:04 ID:???
NetScreenのHAってプライオリティを完全に無視して
上がったもの勝ちになっちゃうんだけど
Preemptionみたいな設定はできないのだろうか?
上がったもの勝ちになっちゃうんだけど
Preemptionみたいな設定はできないのだろうか?
29 :名無しさん@南野陽子:02/07/29 11:13 ID:LfDQ4pUD
あげパン
プライマリ、セカンダリを決めることは出来ます。
それを決めないと先にブートしたマッシーンがプライマリに、、、
ちなみに同時にブートするとMACアドレスの低いほうがプライマリに
なります。
あとScreenOS4.0からはNS-50でもHAが出来るようになる。。。
それを決めないと先にブートしたマッシーンがプライマリに、、、
ちなみに同時にブートするとMACアドレスの低いほうがプライマリに
なります。
あとScreenOS4.0からはNS-50でもHAが出来るようになる。。。
32 :選挙:02/08/03 10:55 ID:dPKeNssu
ハブアンドスポークで質問があります。
たとえば、センター側のVPNを192.168.1.0/24,拠点Aが192.168.2.0、
拠点Bが192.186.3.0でVPNを組んだ場合本社を中心としたHUBアンド
スポークにする場合は、192.168.0.0/8で各ポリシーを定義すれば
OKだと思いますが、センター側のTrust側に別のネットワーク
192.168.xx.0がある場合は、センター側のルーティングテーブル
に変更が入るだけでよいのでしょうか?
たとえば、センター側のVPNを192.168.1.0/24,拠点Aが192.168.2.0、
拠点Bが192.186.3.0でVPNを組んだ場合本社を中心としたHUBアンド
スポークにする場合は、192.168.0.0/8で各ポリシーを定義すれば
OKだと思いますが、センター側のTrust側に別のネットワーク
192.168.xx.0がある場合は、センター側のルーティングテーブル
に変更が入るだけでよいのでしょうか?
33 : :02/08/03 12:48 ID:???
500買って、沢山クライアント向けにVPN張るか、
50買って、クライアントごとにきょう体分けるか、
どっちのソリューションが正解?
1ユーザの悪さが他のユーザに影響を与えたりするのが
ものすごい嫌なんですけど。
50買って、クライアントごとにきょう体分けるか、
どっちのソリューションが正解?
1ユーザの悪さが他のユーザに影響を与えたりするのが
ものすごい嫌なんですけど。
34 : :02/08/03 16:02 ID:???
>>33
NS-500はポリシーが増えると、ポリシー変更時に10秒近く止まるようになる
特定ユーザの為の設定変更で全ユーザが影響受ける可能性があるので
客ごとに機器を分けた方が無難
>>32
incomingとoutgoingは別々に処理されるから
ポリシーはサマリでもいいと思うよ
でも、機種によってはサマリ経路のルーティングに不具合があるので、
ルーティングは別々にスタティックを書いた方が無難
VPNってことは当然別々になってるだろうから問題無し
NS-500はポリシーが増えると、ポリシー変更時に10秒近く止まるようになる
特定ユーザの為の設定変更で全ユーザが影響受ける可能性があるので
客ごとに機器を分けた方が無難
>>32
incomingとoutgoingは別々に処理されるから
ポリシーはサマリでもいいと思うよ
でも、機種によってはサマリ経路のルーティングに不具合があるので、
ルーティングは別々にスタティックを書いた方が無難
VPNってことは当然別々になってるだろうから問題無し
35 :Fw-1:02/08/05 15:15 ID:rgSv9IdQ
ぐはぁ
ASIC系RouterとFw-1の比較してみたんだけど
Fw-1って金積めば、いくらでもいくのね・・・
(機能、スループット等)
まぁ、金に糸目つけない所なんて何処にも無いから、
金額で比較すりゃ良いんだろうけど
機能やパフォーマンスでの比較は、あんま目立つ差はないんだねぇ
なんかASIC神話に騙されてたって感じ。
ASIC系RouterとFw-1の比較してみたんだけど
Fw-1って金積めば、いくらでもいくのね・・・
(機能、スループット等)
まぁ、金に糸目つけない所なんて何処にも無いから、
金額で比較すりゃ良いんだろうけど
機能やパフォーマンスでの比較は、あんま目立つ差はないんだねぇ
なんかASIC神話に騙されてたって感じ。
37 :厨房:02/08/07 00:27 ID:H20wJiR5
NetScreenでStaticNAT設定ってできるのかな?もといStaticNATなんて
言葉を今日はじめてしった漏れにはよく分からんのだが・・・。
1:1にプライベートIPとグローバルIPをあらかじめ手動で対応付け
するという解釈でええの!!?
それとNetmeeting3.0みたいなアプリ要求ををNetScreenのF/W機能は
DENYするんですか?(VPN設定はしてない状態で)
そもそもNetScreenってASICでワイヤースピードのスループットが出せることを
売りにしているみたいですが、他社はすべてソフトウェアベースなんですかねえ。
言葉を今日はじめてしった漏れにはよく分からんのだが・・・。
1:1にプライベートIPとグローバルIPをあらかじめ手動で対応付け
するという解釈でええの!!?
それとNetmeeting3.0みたいなアプリ要求ををNetScreenのF/W機能は
DENYするんですか?(VPN設定はしてない状態で)
そもそもNetScreenってASICでワイヤースピードのスループットが出せることを
売りにしているみたいですが、他社はすべてソフトウェアベースなんですかねえ。
38 : :02/08/07 00:36 ID:1d2btH44
NetScreenのstatic natはMappedIPと表現します。
DMZにプライベート・アドレスをアサインした構成の場合
MIPを使ってグローバル・アドレスとマップさせます。
この場合のポリシーはincomingに設定します。
DMZにグローバル・アドレスをアサインした場合は、
ルーティングさせるので、ポリシーは、to DMZに設定します。
DMZにプライベート・アドレスをアサインした構成の場合
MIPを使ってグローバル・アドレスとマップさせます。
この場合のポリシーはincomingに設定します。
DMZにグローバル・アドレスをアサインした場合は、
ルーティングさせるので、ポリシーは、to DMZに設定します。
39 :Fw-1:02/08/07 09:13 ID:bNajOxNX
41 :スクリーンSOS:02/08/08 13:15 ID:XPLBo8Nc
NetScreenをSOHO向けに導入するために実際にNWを構築検証してみたいんだけど、
それって5XTくらいのものを1台導入しても、trudted/untrusted側にルータ
を計2台おかなければ実際にFireWall機能とか確かめられないんですか?
やぱセグメント分けて、それぞれのセグメントのクライアントからの
要求がどういうパケットの流れになっているのかをスニファあたりで
みてみるとか・・・。
それって5XTくらいのものを1台導入しても、trudted/untrusted側にルータ
を計2台おかなければ実際にFireWall機能とか確かめられないんですか?
やぱセグメント分けて、それぞれのセグメントのクライアントからの
要求がどういうパケットの流れになっているのかをスニファあたりで
みてみるとか・・・。
>>41
なぜ?
何を検証したいかにもよるでしょうけど、
Firewallの最大の役割はTCPセッションの処理と攻撃の防御ですから、
Firewallとしての機能検証は足元のネットワークだけでも十分できますよ。
まあ、NetScreeの売りであるASICチックな動作
(FastPacketのSrcMACをキャッシュしてそこにSwitchする等)
を検証するには前段にルータがあった方がいいですけどね。
なぜ?
何を検証したいかにもよるでしょうけど、
Firewallの最大の役割はTCPセッションの処理と攻撃の防御ですから、
Firewallとしての機能検証は足元のネットワークだけでも十分できますよ。
まあ、NetScreeの売りであるASICチックな動作
(FastPacketのSrcMACをキャッシュしてそこにSwitchする等)
を検証するには前段にルータがあった方がいいですけどね。
43 :あのに:02/08/23 05:11 ID:JsWMceym
NetScreenって、PPPoEが使えるのはいいんだけど、IP unnumberedでも
いけるのでしょうか。
いけるのでしょうか。
44 :anonymous@ 211.5.116.182:02/08/23 19:31 ID:6BhsY5l8
PCから直接PPoE接続したNetScreen-RemoteクライアントでLotusNotesを使用した
ときに添付ファイルの送信ができない現象が出るんですけどご存知の方いらっしゃ
いますか?ちなみにうわさでフレッツ接続ツールとRemoteの相性があんまりよく
ないという噂はきいたことがあるんですが...
ときに添付ファイルの送信ができない現象が出るんですけどご存知の方いらっしゃ
いますか?ちなみにうわさでフレッツ接続ツールとRemoteの相性があんまりよく
ないという噂はきいたことがあるんですが...
45 : :02/08/24 21:13 ID:???
>>46
確か最近のファームで出来るようになったはず。
確か最近のファームで出来るようになったはず。
48 :anonymous@ fkui004n028.ppp.infoweb.ne.jp:02/08/30 11:07 ID:U0ifNRMi
NetScreen25だが、trust<->trust、trust<->untrust間の速度に比べてtrust<->DMZ間の速度がくそ遅いのはなんでだ?ポリシーに帯域制御なんかいれてないぞ
49 :anonymous@ fkui004n084.ppp.infoweb.ne.jp:02/08/30 11:14 ID:FLVNWtti
だれかNetScreenとWindows2000とL2TPでVPN成功しちゃった猛者はいないか?あ、認証は内部のネットワークに設置したRADIUSサーバーなんかつかったりしているとバッチリなんだけどな、いたら師と言わせてくれ
50 :anonymous@ nttsitm02233.ppp.infoweb.ne.jp:02/08/30 21:54 ID:???
やった事ありますよ。L2TP認証はNetScreenにやらせたけど…<L2TP over IPsec
51 :AMO-NE:02/08/31 14:34 ID:MABBXJ7b
本社にプロキシとか無い環境で直接インターネットを参照しています。
もう1本VPN用の回線を引いて拠点と本社間でVPN接続します。
拠点で本社側の回線からインターネットを見る事は可能でしょうか?
本社Netscreenのデフォルトゲートウェイをインターネットルータに
向けてもScreenOS3.03の不具合でルーティングが上手くいかないという
問題は本当でしょうか?
もう1本VPN用の回線を引いて拠点と本社間でVPN接続します。
拠点で本社側の回線からインターネットを見る事は可能でしょうか?
本社Netscreenのデフォルトゲートウェイをインターネットルータに
向けてもScreenOS3.03の不具合でルーティングが上手くいかないという
問題は本当でしょうか?
>>51 はNetScreen」を購入予定の業者に問い合わせることをお進めします。
「インターネットを見る」といっている時点で初級ネット板へGO です。
「インターネットを見る」といっている時点で初級ネット板へGO です。
53 :dns逆引き:02/09/01 09:53 ID:Hoy7awJd
54 :ルーター@通信技術板:02/09/01 10:20 ID:???
55 :確かに@Nscr25:02/09/03 18:43 ID:IyFcP4vo
>> 48
今FTPのGet/Putとファイルエクスプローラのコピー/ペーストで試してみた
確かに遅いな、このDMZに接続したPCに転送すると、どうなってんだ?
「SPEED TEST」とかで転送速度の簡易的なチェックができるが試してみたか?
trustからNATで出ているPCからだと30MB/sec出ているのにDMZからだと6MB/sec
同じハードウェア構成のPCで試してみているから速度にこんなに差があるのは
ちょっと異常だな。
今FTPのGet/Putとファイルエクスプローラのコピー/ペーストで試してみた
確かに遅いな、このDMZに接続したPCに転送すると、どうなってんだ?
「SPEED TEST」とかで転送速度の簡易的なチェックができるが試してみたか?
trustからNATで出ているPCからだと30MB/sec出ているのにDMZからだと6MB/sec
同じハードウェア構成のPCで試してみているから速度にこんなに差があるのは
ちょっと異常だな。
57 : :02/09/03 19:03 ID:???
>>56
そこをハード処理するのがNetScreenの売りなわけで
>>55
ポリシーはOutgoing/IncomnigをなめてからToDMZをなめるんで、
ファーストパケットがmsecの世界で遅れることはあるだろうけど、
セッションテーブル作った後はそんな区別なんてないだろうしなあ
デフォルトで強制的にTrust/Untrustの帯域を優先したりしてるのでは?
そこをハード処理するのがNetScreenの売りなわけで
>>55
ポリシーはOutgoing/IncomnigをなめてからToDMZをなめるんで、
ファーストパケットがmsecの世界で遅れることはあるだろうけど、
セッションテーブル作った後はそんな区別なんてないだろうしなあ
デフォルトで強制的にTrust/Untrustの帯域を優先したりしてるのでは?
http://www.allied-telesis.co.jp/products/product/netscreen/asic.html
みると、フィルタリングをASICで高速化したとは
受け取れないような気がするんですが
読解力ないですかね、やっぱり
みると、フィルタリングをASICで高速化したとは
受け取れないような気がするんですが
読解力ないですかね、やっぱり
59 : :02/09/03 19:28 ID:???
>>58
「GigaScreen-IIでは、ポリシー検索、パケット変換(暗号化、トンネリング、認証、NAT)、レイヤー2およびレイヤー3のパケット処理、レイヤー4のフロー処理、セッションテーブルの管理、パケットの精査など、複数のセキュリティ機能がフローとして処理されます。」
GigascreenってのがASIC
ポリシー検索ってのがフィルタリング
それ以前に既存セッションにマッチすればポリシは検索されない
「GigaScreen-IIでは、ポリシー検索、パケット変換(暗号化、トンネリング、認証、NAT)、レイヤー2およびレイヤー3のパケット処理、レイヤー4のフロー処理、セッションテーブルの管理、パケットの精査など、複数のセキュリティ機能がフローとして処理されます。」
GigascreenってのがASIC
ポリシー検索ってのがフィルタリング
それ以前に既存セッションにマッチすればポリシは検索されない
ということは、ポリシー検索は
まだASIC化されてないということですね
まだASIC化されてないということですね
61 : :02/09/03 19:38 ID:???
いや、実際、DMZでスピードでないって
報告あるから
そうなのかなと
実現してない機能を予定してるからいいや
ということで製品解説で書いてしまうことは
よくあることだから
それに、この手のASIC設計ってかなり難しいから
(本来ソフト処理でしかできないことを強引にASIC化するから)
なかなか思うような物つくれないということはよくあることだし
報告あるから
そうなのかなと
実現してない機能を予定してるからいいや
ということで製品解説で書いてしまうことは
よくあることだから
それに、この手のASIC設計ってかなり難しいから
(本来ソフト処理でしかできないことを強引にASIC化するから)
なかなか思うような物つくれないということはよくあることだし
63 :f:02/09/03 19:53 ID:DiN/JEZi
-------変態・MTTどこでも-------
---●●●変態痴女を紹介致します。●●●---
例えば>欲求不満オマ●コヌレヌレ女・露出オナニー痴女・
フェラチオおしゃぶり女・ミニスカ・ノーパン娘・巨乳パイズリ娘・
アナルSEXおねだり娘・オマ〇コ弄られマン汁グチョグチョ女・
SM牝豚・緊縛・浣腸・スカトロ・等・・・刺激を求めています。
●●●学生・OL・主婦・モデル・牝豚・女王様・オカマ等・多数!●●●
090-8002-8356番
-----------------------------
http://www.mttdocomo.jp/
-----女性アルバイト随時募集・高収入(日払い)月100万円可能-----
http://www.mttdocomo.jp/
Iモードはこちら→http://www.mttdocomo.jp/i
---●●●変態痴女を紹介致します。●●●---
例えば>欲求不満オマ●コヌレヌレ女・露出オナニー痴女・
フェラチオおしゃぶり女・ミニスカ・ノーパン娘・巨乳パイズリ娘・
アナルSEXおねだり娘・オマ〇コ弄られマン汁グチョグチョ女・
SM牝豚・緊縛・浣腸・スカトロ・等・・・刺激を求めています。
●●●学生・OL・主婦・モデル・牝豚・女王様・オカマ等・多数!●●●
090-8002-8356番
-----------------------------
http://www.mttdocomo.jp/
-----女性アルバイト随時募集・高収入(日払い)月100万円可能-----
http://www.mttdocomo.jp/
Iモードはこちら→http://www.mttdocomo.jp/i
64 : :02/09/03 20:02 ID:???
>>62
ASICの設計って知らないんだけど、L2とL4でそんなに違うもんなの?
L2だろうとL4だろうと見てるビットが長いだけで、
検索対象のビットは必ず同じオフセットにあるでしょう?
というか難しいことを実現したからそれを売りにしてるんじゃないのか?
NetScreenはファーストパケットのSrcMACをキャッシュしてそのMACに返すんで
少なくとも既存セッションはASICでSwitchされてるはず
#上位層まで上げてたら、プロトコルスタックからいって必ずARPテーブル見ちゃうよね?
遅い要因は良くわからんけど、DMZは:セキュリティ的な要因で
セッションマッチさせずに毎回ポリシーなめてるとかあるかも
#多分違うと思うけど
ASICの設計って知らないんだけど、L2とL4でそんなに違うもんなの?
L2だろうとL4だろうと見てるビットが長いだけで、
検索対象のビットは必ず同じオフセットにあるでしょう?
というか難しいことを実現したからそれを売りにしてるんじゃないのか?
NetScreenはファーストパケットのSrcMACをキャッシュしてそのMACに返すんで
少なくとも既存セッションはASICでSwitchされてるはず
#上位層まで上げてたら、プロトコルスタックからいって必ずARPテーブル見ちゃうよね?
遅い要因は良くわからんけど、DMZは:セキュリティ的な要因で
セッションマッチさせずに毎回ポリシーなめてるとかあるかも
#多分違うと思うけど
65 :anonymous@ p2188-air01kdtoyoshi.nagano.ocn.ne.jp:02/09/03 20:23 ID:A+QyXQfB
>>64
ちょっと、実際のパケット見てみて調べてみたんですが
TCPやUDPのポート当てのパケットはビット位置同じなんですが
例外としてARPのパケットは異なってました。
ネットワークにはさまざまなパケットが流れるので
このほかにもいろいろあると思います。
L2とL4ではASICの作りは違う思います。
自分もまったくしらないので、なんとも言えないんですが
L2ならば、DstMAC、SrcMACまで見てそこでパケット処理できてしまいますが
L4だとデータ部まで見ないとしけないし、DATA部がPaddingのみで
何も無しのパケットもあったりするので、そういう例外処理とか
面倒ですよね、L2と違ってL4だといろんなアルゴリズムを入れないと
きちんとしたパケット処理ができないで、L4はかなり複雑になると
思います。
パケットの情報を検索するには、パケットをレジスタなりキャッシュなりに
取りこまなければならないので、1パケットの途中のビットだけレジスタに取りこむなんて
芸当はソフトでは簡単かもしれませんが、ハードではまず無理なので
そこらへんがやっかいだと思うんですが。。。
>>遅い要因は良くわからんけど、DMZは:セキュリティ的な要因で
>>セッションマッチさせずに毎回ポリシーなめてるとかあるかも
これようわかんのですけど、セッションマッチって具体的にどいうことなんですか?
ポリシー眺めるというのはTCP/UDPのポート番号見るということでか?
おしえて下さい。よろしゅうお願いします。
ちょっと、実際のパケット見てみて調べてみたんですが
TCPやUDPのポート当てのパケットはビット位置同じなんですが
例外としてARPのパケットは異なってました。
ネットワークにはさまざまなパケットが流れるので
このほかにもいろいろあると思います。
L2とL4ではASICの作りは違う思います。
自分もまったくしらないので、なんとも言えないんですが
L2ならば、DstMAC、SrcMACまで見てそこでパケット処理できてしまいますが
L4だとデータ部まで見ないとしけないし、DATA部がPaddingのみで
何も無しのパケットもあったりするので、そういう例外処理とか
面倒ですよね、L2と違ってL4だといろんなアルゴリズムを入れないと
きちんとしたパケット処理ができないで、L4はかなり複雑になると
思います。
パケットの情報を検索するには、パケットをレジスタなりキャッシュなりに
取りこまなければならないので、1パケットの途中のビットだけレジスタに取りこむなんて
芸当はソフトでは簡単かもしれませんが、ハードではまず無理なので
そこらへんがやっかいだと思うんですが。。。
>>遅い要因は良くわからんけど、DMZは:セキュリティ的な要因で
>>セッションマッチさせずに毎回ポリシーなめてるとかあるかも
これようわかんのですけど、セッションマッチって具体的にどいうことなんですか?
ポリシー眺めるというのはTCP/UDPのポート番号見るということでか?
おしえて下さい。よろしゅうお願いします。
67 : :02/09/03 21:22 ID:???
>>66
なんだ、ASICの開発者かとおもったら違うんですね、、、
プロトコルの区別はEtherヘッダにもIPヘッダにもプロトコルタイプがあるから問題ないでしょう
ARPかIPかはEterヘッダに入ってます
後は分岐処理をするだけですよね
NetScreenはL4以降のデータは見ません
L4ヘッダまでですので、検索対象のビットオフセットは常に同一です
LBなんかのHTTPのL7処理でもハンドシェイクの後に必ずGETorPOSTがくること、
GETorPOSTは必ずデータの最初にあることを前提にしてるはずです
#開発者の皆さん、違ったらゴメソ
>これようわかんのですけど、セッションマッチって具体的にどいうことなんですか?
パケットを、セッションテーブル内のSrcIP:SrcPort/DstIP:DstPortの組にマッチさせます
マッチすればスイッチ処理します。
>ポリシー眺めるというのはTCP/UDPのポート番号見るということでか?
パケットをポリシーにマッチさせます
ポリシーマッチ時に出力インターフェイスやNextHopを決めてるはずなので
セッションマッチよりも遅れるはずです
なんだ、ASICの開発者かとおもったら違うんですね、、、
プロトコルの区別はEtherヘッダにもIPヘッダにもプロトコルタイプがあるから問題ないでしょう
ARPかIPかはEterヘッダに入ってます
後は分岐処理をするだけですよね
NetScreenはL4以降のデータは見ません
L4ヘッダまでですので、検索対象のビットオフセットは常に同一です
LBなんかのHTTPのL7処理でもハンドシェイクの後に必ずGETorPOSTがくること、
GETorPOSTは必ずデータの最初にあることを前提にしてるはずです
#開発者の皆さん、違ったらゴメソ
>これようわかんのですけど、セッションマッチって具体的にどいうことなんですか?
パケットを、セッションテーブル内のSrcIP:SrcPort/DstIP:DstPortの組にマッチさせます
マッチすればスイッチ処理します。
>ポリシー眺めるというのはTCP/UDPのポート番号見るということでか?
パケットをポリシーにマッチさせます
ポリシーマッチ時に出力インターフェイスやNextHopを決めてるはずなので
セッションマッチよりも遅れるはずです
そんなに多岐な分岐じゃないでしょ
ARPならそこでもうドライバに渡すし
IP/ARPで無ければ捨てるでしょ
L3での分岐もUDP/TCP/ICMPだけ
あとはそのヘッダの特定のオフセットをひろって処理する
簡単でないのは当たり前です
簡単でないからNetScreenは注目されてるんです。
簡単でないからAlteonは速度を要求されるところでは競合製品を圧倒してるんです。
トップクラスの技術者が苦心して開発するからいい製品になるんです。
#NetScreenはOSがバグだらけですけどね、、、、
ARPならそこでもうドライバに渡すし
IP/ARPで無ければ捨てるでしょ
L3での分岐もUDP/TCP/ICMPだけ
あとはそのヘッダの特定のオフセットをひろって処理する
簡単でないのは当たり前です
簡単でないからNetScreenは注目されてるんです。
簡単でないからAlteonは速度を要求されるところでは競合製品を圧倒してるんです。
トップクラスの技術者が苦心して開発するからいい製品になるんです。
#NetScreenはOSがバグだらけですけどね、、、、
>64
L2の処理って単純にキャッシュを引くだけでよくて、1クロックで引けるよう
なプロセッサがあるけど、L4のようにIPアドレスやポート、さらにはその
セッション状態を1クロックで引けるようなプロセッサってあるの?
セッション管理が要る時点でL2とL4は全然ちがうような気もするけど、
なぜ以下のような考えになったんだろう?意味不明。
>L2だろうとL4だろうと見てるビットが長いだけで、
>検索対象のビットは必ず同じオフセットにあるでしょう?
L2の処理って単純にキャッシュを引くだけでよくて、1クロックで引けるよう
なプロセッサがあるけど、L4のようにIPアドレスやポート、さらにはその
セッション状態を1クロックで引けるようなプロセッサってあるの?
セッション管理が要る時点でL2とL4は全然ちがうような気もするけど、
なぜ以下のような考えになったんだろう?意味不明。
>L2だろうとL4だろうと見てるビットが長いだけで、
>検索対象のビットは必ず同じオフセットにあるでしょう?
73 :確かに@Nscr25:02/09/04 13:32 ID:tpdQzWKV
ちょっといろいろ試行錯誤している間に書き込みが進んでしまってたな(笑)
ためしにIPNutsモスキート(フリー版)で3ポート構成にして比較してみた。
正直いってこっちの方が早いな。
でも重大な欠点が・・・(フリー版だからだと思うけど)PPPoEの接続が切れた
時の再接続処理がされない、切れっぱなし。
#見えないところに設定があったらスマン (^^;;;
trust DMZ 区別なく十分な速度が出ている、NetScreen25で設定しているポ
リシーとほぼ同じにしてるんだけどなー。
っていってもNetScreen25に設定しているポリシーなんてたいした数はないぞ
何か別の原因があるような気がする・・・
イカンNetScreenで大丈夫なのか?って気になってきた。タダのIPNutsの方が
パフォーマンスがいいとは。
ためしにIPNutsモスキート(フリー版)で3ポート構成にして比較してみた。
正直いってこっちの方が早いな。
でも重大な欠点が・・・(フリー版だからだと思うけど)PPPoEの接続が切れた
時の再接続処理がされない、切れっぱなし。
#見えないところに設定があったらスマン (^^;;;
trust DMZ 区別なく十分な速度が出ている、NetScreen25で設定しているポ
リシーとほぼ同じにしてるんだけどなー。
っていってもNetScreen25に設定しているポリシーなんてたいした数はないぞ
何か別の原因があるような気がする・・・
イカンNetScreenで大丈夫なのか?って気になってきた。タダのIPNutsの方が
パフォーマンスがいいとは。
74 :みせて@ぽりしー:02/09/04 15:38 ID:tpdQzWKV
だれかIncoming、Outgoing、toDMZ、fromDMZのポリシー定義みせてー
気になっているのはOutgoingとfromDMZの設定・・・基本的にANYな状態にしてしまっているんだけど
閉じなきゃだめだろってのがあるのかなー
他のとことかでみているとOutgoingで137-139、445は閉じるべしみたいなのがあったけど、閉じない
と実害があるのかな。他人に迷惑がかかっているのかな(そりゃまずいけど)。
外からのIncomingとtoDMZなんかは基本的には閉じてて、必要なところだけ(分かっているポートだけ)
あけている・・・しかしこれも他所で見てるとicmp(?)、established(12)、ident(113)、gopher(80)、
Finger(79)などあけていたりしているけど、あけなきゃ都合悪いのか?
特に都合が悪いとも感じていないけど・・・
気になっているのはOutgoingとfromDMZの設定・・・基本的にANYな状態にしてしまっているんだけど
閉じなきゃだめだろってのがあるのかなー
他のとことかでみているとOutgoingで137-139、445は閉じるべしみたいなのがあったけど、閉じない
と実害があるのかな。他人に迷惑がかかっているのかな(そりゃまずいけど)。
外からのIncomingとtoDMZなんかは基本的には閉じてて、必要なところだけ(分かっているポートだけ)
あけている・・・しかしこれも他所で見てるとicmp(?)、established(12)、ident(113)、gopher(80)、
Finger(79)などあけていたりしているけど、あけなきゃ都合悪いのか?
特に都合が悪いとも感じていないけど・・・
75 :b:02/09/04 16:02 ID:7sLrsE7m
>>73
まずはボトルネックを特定することをしてみては?
例えば、帯域なのかパケット数なのかとか
パケットサイズを変えて負荷かけてみて
転送レートが同じならボトルネックは帯域でしょう
サイズによって転送レートが変わるならパケット処理能力がボトルネックでしょう
あと、UDPとTCPで違いがでるかとか
ステートフルインスペクションの機器ってUDPとTCPで大分動作が違うから
NetScreenはデフォルトだとシーケンス番号まで見るし
>っていってもNetScreen25に設定しているポリシーなんてたいした数はないぞ
>何か別の原因があるような気がする・・・
ポリシー数は関係ないと思う
開かれてるセッションはポリシーテーブルはみてないはずだから
FTPで計ってるっていってたよね?
>イカンNetScreenで大丈夫なのか?って気になってきた。タダのIPNutsの方が
>パフォーマンスがいいとは。
ショートパケットイパーイになったらPCじゃ追いつかないと思われ
まずはボトルネックを特定することをしてみては?
例えば、帯域なのかパケット数なのかとか
パケットサイズを変えて負荷かけてみて
転送レートが同じならボトルネックは帯域でしょう
サイズによって転送レートが変わるならパケット処理能力がボトルネックでしょう
あと、UDPとTCPで違いがでるかとか
ステートフルインスペクションの機器ってUDPとTCPで大分動作が違うから
NetScreenはデフォルトだとシーケンス番号まで見るし
>っていってもNetScreen25に設定しているポリシーなんてたいした数はないぞ
>何か別の原因があるような気がする・・・
ポリシー数は関係ないと思う
開かれてるセッションはポリシーテーブルはみてないはずだから
FTPで計ってるっていってたよね?
>イカンNetScreenで大丈夫なのか?って気になってきた。タダのIPNutsの方が
>パフォーマンスがいいとは。
ショートパケットイパーイになったらPCじゃ追いつかないと思われ
>>74
>他のとことかでみているとOutgoingで137-139、445は閉じるべしみたいなのがあったけど、閉じない
>と実害があるのかな。他人に迷惑がかかっているのかな(そりゃまずいけど)。
とりあえず意味がわからないのであれば使うもの意外は全部閉じた方がいい
>外からのIncomingとtoDMZなんかは基本的には閉じてて、必要なところだけ(分かっているポートだけ)
>あけている・・・しかしこれも他所で見てるとicmp(?)、established(12)、ident(113)、gopher(80)、
>Finger(79)などあけていたりしているけど、あけなきゃ都合悪いのか?
とりあえず意味がわからなければ何も開けないほうがいい
identはあけといたほうがいいかもしれんが、、、
#そういやFirewall-1はecho-replay通しとかないとechoとreplayのRelatedができなかったな
#NetScreenは大丈夫だけど
>他のとことかでみているとOutgoingで137-139、445は閉じるべしみたいなのがあったけど、閉じない
>と実害があるのかな。他人に迷惑がかかっているのかな(そりゃまずいけど)。
とりあえず意味がわからないのであれば使うもの意外は全部閉じた方がいい
>外からのIncomingとtoDMZなんかは基本的には閉じてて、必要なところだけ(分かっているポートだけ)
>あけている・・・しかしこれも他所で見てるとicmp(?)、established(12)、ident(113)、gopher(80)、
>Finger(79)などあけていたりしているけど、あけなきゃ都合悪いのか?
とりあえず意味がわからなければ何も開けないほうがいい
identはあけといたほうがいいかもしれんが、、、
#そういやFirewall-1はecho-replay通しとかないとechoとreplayのRelatedができなかったな
#NetScreenは大丈夫だけど
78 :anonymousよ:02/09/04 23:29 ID:w6kEIQp2
>>77
>#そういやFireWallはEcho-replay通しとかないとechoとreplayのRelatedができなかったな
最新版(NG)でやっとできるようになりますた。初期バージョンから何年かかっているんだか。
4.0までなんかデフォルトICMP全通し。
>#そういやFireWallはEcho-replay通しとかないとechoとreplayのRelatedができなかったな
最新版(NG)でやっとできるようになりますた。初期バージョンから何年かかっているんだか。
4.0までなんかデフォルトICMP全通し。
79 :NS99:02/09/05 11:24 ID:hkCNm6bU
ScreenOS 4.0 もう使っていいのかな?
80 : :02/09/05 15:19 ID:???
4.0.0r1を使ってたけどポリシー順序を変更すると固まるという
困ったバグがあったよ。
いまダウンロードできる4.0.0r2では修正されてるみたいだけど。
困ったバグがあったよ。
いまダウンロードできる4.0.0r2では修正されてるみたいだけど。
ScreenOSは最低でもr6ぐらいまでは待ちが無難です
特に必要な機能が限定されてない場合は、今は2.6.1r8が一番いいと思われます。
2.6.xはまだちゃんとメンテナンスされてます。
上のバージョンを見るのはメンテナンスしなくなってからのほうがいいかと
#新機能が使いたい場合は仕方ないでしょうけど
特に必要な機能が限定されてない場合は、今は2.6.1r8が一番いいと思われます。
2.6.xはまだちゃんとメンテナンスされてます。
上のバージョンを見るのはメンテナンスしなくなってからのほうがいいかと
#新機能が使いたい場合は仕方ないでしょうけど
4.0.0r2って3.x.xと比べて機能はなにか変わってるのですが?
83 :名無しさん@Emacs:02/09/06 17:58 ID:ZHeb2pg9
NetSceen OSのアップデートは無料で提供されるのでしょうか?
http:///www.netscreen.com/support/updates.asp
上記のページを読むとユーザ登録すれば,無償でダウンロードできるみたいけど。
http:///www.netscreen.com/support/updates.asp
上記のページを読むとユーザ登録すれば,無償でダウンロードできるみたいけど。
>>77
せっかく ident-reset があるんだから、使ってあげようよ。
せっかく ident-reset があるんだから、使ってあげようよ。
86 : :02/09/07 17:30 ID:???
>>85
ベンダに使わない方がいいって言われたよ
これ入れるとiバージョンによってはsyn-flood-protectionより先に動いて
identのSYNフラッドを食らったときにDoSが成立する可能性があるとか無いとか
ベンダに使わない方がいいって言われたよ
これ入れるとiバージョンによってはsyn-flood-protectionより先に動いて
identのSYNフラッドを食らったときにDoSが成立する可能性があるとか無いとか
Trust側のマシンからNetScreenのUntrustポートとDMZポートに
Pingしてるんだけど、返事がかえってこないんです。
各ポートのインタフェースにあるサービスオプションでPingをOKにしてるん
ですけど。。。
これって、どうにかならいでしょうか?
Pingしてるんだけど、返事がかえってこないんです。
各ポートのインタフェースにあるサービスオプションでPingをOKにしてるん
ですけど。。。
これって、どうにかならいでしょうか?
>>87
これはなんかバグがあった記憶がある
Trustから別のDMZへのPingが内部TrustとDMZの間でループするってやつ
あと、UntrustへのPingはIP-Spoofになっちゃうはず
ScreenOSのバージョンは?
これはなんかバグがあった記憶がある
Trustから別のDMZへのPingが内部TrustとDMZの間でループするってやつ
あと、UntrustへのPingはIP-Spoofになっちゃうはず
ScreenOSのバージョンは?
意味不明な日本語だな
誤: >Trustから別のDMZへのPingが内部TrustとDMZの間でループする
正: TrustからDMZへのPingが内部的にTrustとDMZの間でループする
誤: >Trustから別のDMZへのPingが内部TrustとDMZの間でループする
正: TrustからDMZへのPingが内部的にTrustとDMZの間でループする
91 :なんでだろう君:02/09/09 10:20 ID:6zAfbg5r
Windows2000Serverなんだけど、trust側に置いてあるサーバーはなんともないようなんだけど、DMZ側に置いてあるサーバーからエクスプローラーのコンピュータ一覧でtrust側のコンピュータが一覧されなくなる現象が出ているんだ。
毎週1回くらいくらい出ているんだけど、みんなのとこはそんなこと無い?(NetScreen25)
この現象が発生するとサーバーの再起動以外手はなくってね。しかもそのサーバーで動かしているメール配信(SMTP)はとまってるし・・・
nslookupからだとなんとも無いように見えるんだけど、メールソフトからDNSの参照が出来なくなっているんだよね。
DNSもWINSもtrust側にいるもんだから思いっきり影響が出ているような状態・・・
サーバーの再起動で直るって状態だからNetScreen25なのかWindows2000Serverなのかどっちが原因なのか不明・・・
毎週1回くらいくらい出ているんだけど、みんなのとこはそんなこと無い?(NetScreen25)
この現象が発生するとサーバーの再起動以外手はなくってね。しかもそのサーバーで動かしているメール配信(SMTP)はとまってるし・・・
nslookupからだとなんとも無いように見えるんだけど、メールソフトからDNSの参照が出来なくなっているんだよね。
DNSもWINSもtrust側にいるもんだから思いっきり影響が出ているような状態・・・
サーバーの再起動で直るって状態だからNetScreen25なのかWindows2000Serverなのかどっちが原因なのか不明・・・
93 :なんでだろう君:02/09/09 17:00 ID:6zAfbg5r
見えてる時の状態と見えてない時の
パケットの状態に違いは無いのか?って話なんだけど
NSとサーバどっちが悪いかも切り分けれない馬鹿に言われたくねっす
パケットの状態に違いは無いのか?って話なんだけど
NSとサーバどっちが悪いかも切り分けれない馬鹿に言われたくねっす
って、ごめん、誤読・・・
HUBでもかまして、Snifferでも設置して
見え方の違いを分析した方が早そうだって事ね
(もちTrust,DMZ側で)
曖昧な状態だから、まずはそこからって所です。
HUBでもかまして、Snifferでも設置して
見え方の違いを分析した方が早そうだって事ね
(もちTrust,DMZ側で)
曖昧な状態だから、まずはそこからって所です。
96 :なんでだろう君:02/09/10 10:01 ID:yyVBADsf
>>95 おっと、誤読させてしまったようで申し訳ないm(_ _)m
馬鹿はおいらの事ね。
パケットをキャプチャーして解析せよって事なのね。なるほど。
って事なのでそこまでやった事ないから自信はないけど確かに
やってみる価値はありありだね。
でさ、Windows2000Serverとかに標準でついてる、ネットワー
クモニターってあるでしょう?あれはトラフィックを監視する
程度のもの?Snifferは検索させてもらいました。
いっぺん使ってみようかな。
馬鹿はおいらの事ね。
パケットをキャプチャーして解析せよって事なのね。なるほど。
って事なのでそこまでやった事ないから自信はないけど確かに
やってみる価値はありありだね。
でさ、Windows2000Serverとかに標準でついてる、ネットワー
クモニターってあるでしょう?あれはトラフィックを監視する
程度のもの?Snifferは検索させてもらいました。
いっぺん使ってみようかな。
>>96
2KServerのネットワークモニタって
自分宛かブロードキャストパケットしかキャプチャできないんじゃなかったかな?
(識者のHELP願う<板違い?)
フリーでも結構キャプチャソフトは転がってるので見つけて見ると良いです。
(Etherealとかね)
2KServerのネットワークモニタって
自分宛かブロードキャストパケットしかキャプチャできないんじゃなかったかな?
(識者のHELP願う<板違い?)
フリーでも結構キャプチャソフトは転がってるので見つけて見ると良いです。
(Etherealとかね)
98 : :02/09/12 00:57 ID:???
>>90
あまりに恐レスですが、
2.xだと、2.6.1r7で直ってる
3.0.1.r1は確か2.6.1r7より前のリリースなので直ってない可能性あり
3.0.1r3を入れてみては
>>97
>自分宛かブロードキャストパケットしかキャプチャできないんじゃなかったかな?
マジ?
キャプチャドライバすらつけないとはさすが守銭奴のM$ですな
Vigilって結構いいよWinでフリーのリアルタイムキャプチャってこれしかないような気がする
Etherealと同じくWinpcapを使ってて、Ethereal互換のキャプチャができるよ
あまりに恐レスですが、
2.xだと、2.6.1r7で直ってる
3.0.1.r1は確か2.6.1r7より前のリリースなので直ってない可能性あり
3.0.1r3を入れてみては
>>97
>自分宛かブロードキャストパケットしかキャプチャできないんじゃなかったかな?
マジ?
キャプチャドライバすらつけないとはさすが守銭奴のM$ですな
Vigilって結構いいよWinでフリーのリアルタイムキャプチャってこれしかないような気がする
Etherealと同じくWinpcapを使ってて、Ethereal互換のキャプチャができるよ
>>97
マジ? どうなんでしょ。私も知りたい。
まぁ、素直に Etherreal をつっこんどけば良いんだけど。
>>96
Sniffer の値段の高さに驚くように。間違っても、ライセンス違反はしちゃ駄目。
マジ? どうなんでしょ。私も知りたい。
まぁ、素直に Etherreal をつっこんどけば良いんだけど。
>>96
Sniffer の値段の高さに驚くように。間違っても、ライセンス違反はしちゃ駄目。
102 :なんでだろう君:02/09/12 13:47 ID:3lhmJYiX
>>100
ハッ・・・Snifferの価格をみていままで失神していたようです。
ってな事している場合じゃないんだようなー(笑)
今度いつネットワーク異常がでる事やら・・・
しかし、trust<->trust、DMZ<->DMZは特に気にならないんだけど
trust<->DMZ間のこの転送速度の激遅さ加減はどうにかならんのか>Allied
NetScreen25使っている方っていないか?
ハッ・・・Snifferの価格をみていままで失神していたようです。
ってな事している場合じゃないんだようなー(笑)
今度いつネットワーク異常がでる事やら・・・
しかし、trust<->trust、DMZ<->DMZは特に気にならないんだけど
trust<->DMZ間のこの転送速度の激遅さ加減はどうにかならんのか>Allied
NetScreen25使っている方っていないか?
どなたか、YahooBBをNetScreenを使ってつないでる方
はおられますか?
そんなキトクな人はいないってかぁ〜
はおられますか?
そんなキトクな人はいないってかぁ〜
105 : :02/09/13 01:08 ID:???
PPPoEでRouteモードに設定して使用することは可能ですか?
また、正しく通信(送信)できますか?
NetScreen5XP、ScreenOSは「3.0.3r1.0」です。
実現可能な設定、OSバージョン等知っている方教えてください。
お願いします。
また、正しく通信(送信)できますか?
NetScreen5XP、ScreenOSは「3.0.3r1.0」です。
実現可能な設定、OSバージョン等知っている方教えてください。
お願いします。
106 :anonymous@ n00062.max136.phs.yoyogi.mopera.ne.jp:02/09/13 06:49 ID:???
>>87
set pol trusted untrusted ping allow (ちょっと間違ってるかも)
しないとTrastedからUntrastedへのpingは通らんでしょう。
まずechoが届かないんじゃ、インターフェイスでping有効にしても、
replyは返らないでしょ。
set pol trusted untrusted ping allow (ちょっと間違ってるかも)
しないとTrastedからUntrastedへのpingは通らんでしょう。
まずechoが届かないんじゃ、インターフェイスでping有効にしても、
replyは返らないでしょ。
107 : :02/09/13 09:18 ID:???
>>106
Outogoingポリシのことを言ってるのか?
>set pol trusted untrusted ping allow (ちょっと間違ってるかも)
いくらうろ覚えとしてもこれは酷すぎだぞ
set pol outgoing "inside any" "outside any" permit ping
#>>87はさすがにポリシぐらいは開けてるとおもうが・・・
Outogoingポリシのことを言ってるのか?
>set pol trusted untrusted ping allow (ちょっと間違ってるかも)
いくらうろ覚えとしてもこれは酷すぎだぞ
set pol outgoing "inside any" "outside any" permit ping
#>>87はさすがにポリシぐらいは開けてるとおもうが・・・
108 :106:02/09/15 04:01 ID:Y7DZgKp/
>>107
確かにひどすぎた。3.1だとこんな感じ。
set pol from trusted to untrasted any any ping permit
>>87は空けてないんじゃないのかな。
確かにひどすぎた。3.1だとこんな感じ。
set pol from trusted to untrasted any any ping permit
>>87は空けてないんじゃないのかな。
109 :prstat:02/09/15 08:47 ID:mXVmpGMZ
5XP/XT はラックマウントの場合、1Uサイズに収まりますか?
110 :110:02/09/15 12:36 ID:DY72hxdp
5XP手元にありますが、もとからマウントラックキットは付属して
なかったよ。
高さ的には1Uで収まると思うけど、あのシリーズをワイヤリング
クローゼットに収める案件tって
なかったよ。
高さ的には1Uで収まると思うけど、あのシリーズをワイヤリング
クローゼットに収める案件tって
111 :prstat:02/09/15 13:09 ID:mXVmpGMZ
>>110 様
レスありがとうございます。
調べたらアライドからラックマウントキットが出ていました。
けど、、寸法からすると高さが1U枠超えそうな気がします。(足取ったら大丈夫かな?)
5XP/XT程度で2U使うのもあれなんですよねぇ。。
>あのシリーズをワイヤリングクローゼットに収める案件って
たしかにそうなんですが、、、いろいろとありまして・・(汗)
レスありがとうございます。
調べたらアライドからラックマウントキットが出ていました。
けど、、寸法からすると高さが1U枠超えそうな気がします。(足取ったら大丈夫かな?)
5XP/XT程度で2U使うのもあれなんですよねぇ。。
>あのシリーズをワイヤリングクローゼットに収める案件って
たしかにそうなんですが、、、いろいろとありまして・・(汗)
112 : :02/09/15 13:41 ID:s4swaZXE
113 : :02/09/15 19:56 ID:???
115 :anonymous@ 61.117.221.138:02/09/17 01:11 ID:zi8zNJSU
ポリシあければできるけど?
116 :NSXXX:02/09/18 10:12 ID:R/4N6rRJ
117 :なんでだろう君:02/09/18 13:40 ID:jWwsuVpg
>>97
NetScreenのDMZに置いてあるメールサーバー(IMAIL)が配達不能になる原因を調査中・・・
NetScreen25が原因なのかどうかははっきりわかりませんが教えていただいたパケットキャプチャーやら使ってみてて気が付いた事があるんだけど、原因が分からない。
Vigilとか使って調べてみたんだけど、パケットの流れ自体におかしなところは無かったんだぁ。
でもnetstat -anで見てみたらCLOSE_WAITな状態になってしまっている死にポートだらけになってしまってる。
これってFIN_ACK待ちになってしまってるってことだよね?
Netscreenで何かのポートを開放しておかないとまずいポートがあったのだろうか?
ここまでくると私にはわかりましぇん。(ToT)
メールするのに 25 と 110 と 53 以外に開ける必要のあるポートって何?
一応、IMailで使うとされているポートは開放しているし、まさか昔シスコのルーターで不具合のあったFINやそのACKがフィルターされてしまうという不具合と何か症状が酷似しているけどNETSCREEN25も同じような不具合があるのかなー
NetScreenのDMZに置いてあるメールサーバー(IMAIL)が配達不能になる原因を調査中・・・
NetScreen25が原因なのかどうかははっきりわかりませんが教えていただいたパケットキャプチャーやら使ってみてて気が付いた事があるんだけど、原因が分からない。
Vigilとか使って調べてみたんだけど、パケットの流れ自体におかしなところは無かったんだぁ。
でもnetstat -anで見てみたらCLOSE_WAITな状態になってしまっている死にポートだらけになってしまってる。
これってFIN_ACK待ちになってしまってるってことだよね?
Netscreenで何かのポートを開放しておかないとまずいポートがあったのだろうか?
ここまでくると私にはわかりましぇん。(ToT)
メールするのに 25 と 110 と 53 以外に開ける必要のあるポートって何?
一応、IMailで使うとされているポートは開放しているし、まさか昔シスコのルーターで不具合のあったFINやそのACKがフィルターされてしまうという不具合と何か症状が酷似しているけどNETSCREEN25も同じような不具合があるのかなー
119 :なんでだろう君:02/09/18 15:18 ID:G0VICAGZ
>>102 の続き...
最新ファームウェア「3.0.3r2.1」のリリースノートにそれらしき記述があったのでアップデートしてみたら直ったぁぁぁ
やっぱりNetScreen25の問題だったんじゃないか!今ではちゃんとTrust<->Trustに近い(少しだけ遅い程度)速度がDMZ<->Trustでも出るようになったずらー。
残念ながらDMZ<->Untrustは変わっていないようで、早く直せ>亜羅井戸
ま、内側のネットワークのやり取りには支障が無くなったのでとりあえずはヨシとするか。
最新ファームウェア「3.0.3r2.1」のリリースノートにそれらしき記述があったのでアップデートしてみたら直ったぁぁぁ
やっぱりNetScreen25の問題だったんじゃないか!今ではちゃんとTrust<->Trustに近い(少しだけ遅い程度)速度がDMZ<->Trustでも出るようになったずらー。
残念ながらDMZ<->Untrustは変わっていないようで、早く直せ>亜羅井戸
ま、内側のネットワークのやり取りには支障が無くなったのでとりあえずはヨシとするか。
120 : :02/09/18 20:42 ID:kAjplv8t
>>117
>まさか昔シスコのルーターで不具合のあったFINやそのACKがフィルターされてしまうという不具合と何か症状が酷似しているけどNETSCREEN25も同じような不具合があるのかなー
おいおい、キャプチャとったんちゃうんか?
おかしいところが無かったっていうのは、
"おかしいところが無いような気がする"ってこと?
>まさか昔シスコのルーターで不具合のあったFINやそのACKがフィルターされてしまうという不具合と何か症状が酷似しているけどNETSCREEN25も同じような不具合があるのかなー
おいおい、キャプチャとったんちゃうんか?
おかしいところが無かったっていうのは、
"おかしいところが無いような気がする"ってこと?
122 :sage:02/09/20 00:43 ID:+EhADnGV
フィルターではないと思われ
sniかましてみ
sniかましてみ
>なんでだろう君
全然話しがかみあっていないみたいだから、
get system,get conf と、
ネットワーク構成描き込んだほうが早いとおもわれ
全然話しがかみあっていないみたいだから、
get system,get conf と、
ネットワーク構成描き込んだほうが早いとおもわれ
124 : :02/09/22 08:24 ID:???
Netsceen-Remoteってログオン時の段階で有効にできないの?
126 :z:02/09/22 10:06 ID:unkDxK0E
みんなどこから買ってるの?
日立?荒井戸?
それともプラネックス?
日立?荒井戸?
それともプラネックス?
127 : :02/09/22 18:54 ID:???
128 :anonymous@ 218.140.178.55:02/09/23 07:53 ID:EFRzc8ca
NetscreenにTELNETできなくなったけどなぜだ。
返ってくるメッセージは
RemoConnection closed by foreign host.
返ってくるメッセージは
RemoConnection closed by foreign host.
129 :anonymous@ export.argus-techno.co.jp:02/09/23 14:30 ID:nWOLTBDV
130 :なんでだろう君:02/09/24 17:12 ID:8bKvop+R
>>識者の方々
・NetScreen25のtrust<->DMZがくそ遅い件
・DMZに設置したメールサーバーが配信できなくなる件
どちらも解決しま「す」た。
NetScreen25の件は、ファームのアップデート「3.0.3r2.1」をする
事で解決
メールサーバーの件はキャプチャーうんぬんする前に配信されない
現象が発生したら「関連パケットが出ていない」(その他のパケット
は問題ないような気がする)のでTCPポートの状態をnetstat -anで
確認したところ、メールの付属サービスが、あるポート番号で多数
の閉じられないポートを作り出していたので、そのサービスを泣く
泣く停止したところ解決。
というところです。
お騒がせしてすんまソン
・NetScreen25のtrust<->DMZがくそ遅い件
・DMZに設置したメールサーバーが配信できなくなる件
どちらも解決しま「す」た。
NetScreen25の件は、ファームのアップデート「3.0.3r2.1」をする
事で解決
メールサーバーの件はキャプチャーうんぬんする前に配信されない
現象が発生したら「関連パケットが出ていない」(その他のパケット
は問題ないような気がする)のでTCPポートの状態をnetstat -anで
確認したところ、メールの付属サービスが、あるポート番号で多数
の閉じられないポートを作り出していたので、そのサービスを泣く
泣く停止したところ解決。
というところです。
お騒がせしてすんまソン
131 :名無しさん@Emacs:02/09/26 23:05 ID:Q8624wEZ
http://www.netscreen.com/support/productReg/registerPage1.asp
で登録して確認メールは届いたけど、ユーザ名パスワードのメールが来ない。
http://www.netscreen.com/support/updates.asp
でNetscreen-Remoteの最新版をダウンロードしたいのだが。。
で登録して確認メールは届いたけど、ユーザ名パスワードのメールが来ない。
http://www.netscreen.com/support/updates.asp
でNetscreen-Remoteの最新版をダウンロードしたいのだが。。
134 : :02/09/28 00:02 ID:???
っつーかよ、代理店のサイトで落とせないの?
どこから買った?
日立は最新ファームに関連アプリから
日本語リリースノートとか日本語マニュアルまでおいてるぞ
どこから買った?
日立は最新ファームに関連アプリから
日本語リリースノートとか日本語マニュアルまでおいてるぞ
136 :anonymous@ 25.14.32.202.bf.2iij.net:02/09/28 14:52 ID:???
bugtraqを検索したら、 ScreenOS 3.0.1r1 あたりのVulnerabilityが記録されていたんだけど、
3.0.1.r2〜3.0.1r3 とか、4.0.0r1〜4.0.0r3 なら安全だと思っていいのでしょうか?
検索が甘いとか、bugtraq以外のどこそこを検索しろとか、そういう情報も教えて欲しいです。
3.0.1.r2〜3.0.1r3 とか、4.0.0r1〜4.0.0r3 なら安全だと思っていいのでしょうか?
検索が甘いとか、bugtraq以外のどこそこを検索しろとか、そういう情報も教えて欲しいです。
137 :VPN:02/09/28 17:44 ID:vzgxU2yr
「VPN Monitor」って、使ってる?
定期的にPINGを発行して状態監視するらしいけど・・・
ダウンがうまく検知できてないような気がするけど?
定期的にPINGを発行して状態監視するらしいけど・・・
ダウンがうまく検知できてないような気がするけど?
138 :anonymous@ YahooBB219034160055.bbtec.net:02/09/29 00:43 ID:db8HCE9K
NetScreenRemoteでのNAT超えは、本当に出来るのでしょうか?
1台で接続中に、別の1台を接続すると、前のものが切断されてしまいます。
まあ、確かにNATは超えているんですけど。。。
1台で接続中に、別の1台を接続すると、前のものが切断されてしまいます。
まあ、確かにNATは超えているんですけど。。。
139 : :02/09/29 14:22 ID:+LUh54UY
そーゆー場合は、各端末にVPNソフト入れずに、
NetscreenでIPSec GW作ってやれ夜
NetscreenでIPSec GW作ってやれ夜
140 : :02/09/29 14:31 ID:???
141 :_:02/09/30 23:24 ID:DwwcDa63
>>138
>1台で接続中に、別の1台を接続すると、前のものが切断されてしまいます。
remoteクライアントソフトのVPNトンネルは1つだから、当然
1つのVPN接続時に、もうひとつのVPNで繋ごうとしたら
セッション切れるのは当たり前では?
NAT超えってよくわからないから、その辺は回答できんけど。
ところで、ScreenOS3.0以前(含む3.0)で、ルーティングプロトコルって
設定できるん?
3.1以降はRIPとOSPFの設定ができるらしいが、それって
trust-vr/untrust-vrでそれぞれ別物が設定できるの?
それともひとつのデバイスとして、1つのルーティングプロトコル?
どうなのYO?
>1台で接続中に、別の1台を接続すると、前のものが切断されてしまいます。
remoteクライアントソフトのVPNトンネルは1つだから、当然
1つのVPN接続時に、もうひとつのVPNで繋ごうとしたら
セッション切れるのは当たり前では?
NAT超えってよくわからないから、その辺は回答できんけど。
ところで、ScreenOS3.0以前(含む3.0)で、ルーティングプロトコルって
設定できるん?
3.1以降はRIPとOSPFの設定ができるらしいが、それって
trust-vr/untrust-vrでそれぞれ別物が設定できるの?
それともひとつのデバイスとして、1つのルーティングプロトコル?
どうなのYO?
142 :138:02/09/30 23:56 ID:4fkPlruo
ScreenOS3.02、ReomoteV7で、同時接続すんなり成功しました!
V3以降で、NAT-Traversal対応だそうです。
ちなみに前書いたのはV2.6での話。
すばらしいです。NetScreen!
V3以降で、NAT-Traversal対応だそうです。
ちなみに前書いたのはV2.6での話。
すばらしいです。NetScreen!
143 : :02/10/01 00:07 ID:JGs1Kexi
もしかして"聞ける"だけ?
でも、OSPFで聞くだけってどういうこと?
リンクステートプロトコルってそういうことできるもんなの?
でも、OSPFで聞くだけってどういうこと?
リンクステートプロトコルってそういうことできるもんなの?
145 : :02/10/01 00:23 ID:JGs1Kexi
もしかして単に、定義済みサービスに入ってるとかいうだけの話ですか?
148 : :02/10/01 00:52 ID:JGs1Kexi
routeモードやデフォルトのNATモードでは無理
投下モードだと「通す」ことができる
投下モードだと「通す」ことができる
149 : :02/10/01 01:43 ID:???
>>147
正解。定義済みサービスにOSPFとRIPが入ってる。
これは148の言うとおり、透過モードで通すためのもの。
でも4.0ならOSPFとBGPしゃべれる。RIPはダメだけど。
どれくらいちゃんと喋るかは知らない。
正解。定義済みサービスにOSPFとRIPが入ってる。
これは148の言うとおり、透過モードで通すためのもの。
でも4.0ならOSPFとBGPしゃべれる。RIPはダメだけど。
どれくらいちゃんと喋るかは知らない。
150 :vsys:02/10/06 07:52 ID:5l/Mxjmj
NetScreenを触る機会を得たので、vsysを試してみました。
trustインタフェースには802.1q tag(1000と2000)をtrunkするスイッチをつなぎます。
trust-untrust間でpolicyをany anyにしておきます。
1000と結びつけたtrustVR側(100.100.100.0/24)からuntrust内のパソコン(150.150.150.150/24)
に対してpingをうつと通ります。これは当たり前でいいのですが、このtrust側のパソコンを
そのままスイッチのtagID2000(200.200.200.0/24)のVLANのポートに移動させてもpingが通
ります。tagID2000のvsysのtrustのアドレスは200.200.200.1なのに100.100.100.100のパソコン
からpingをうってもuntrustのパソコンに届いてしまうのです。何だこりゃと思ってrootでget arp
してみるとarptableのagingである20分間は一度pingが届いたtrustのパソコンであればどの
VLANIDのポートに移動しても通ってしまうのです。
で、聞きたいのは、
・VSYSって802.1qVLANやIP subnetでtrustの物理インタフェースをsubインタフェースに分けて
使うものという認識であってるんですよね?
・上記の現象から一発pingが成立するとそのあとはIPもtagIDも見ずMACだけ見ているように
見えますが、そういうものなのですか(Netscreenって)?
・いろいろとpingを飛ばしてarp tableにMACを登録させますが、rootには登録されるのですが、
enter vsys1してget arpをしても何も登録されません。これがrootに登録されず、vsys1に登録
できれば、上記のような問題は解決するような気がするのですができないのですか?設定が
悪いだけ?
trustインタフェースには802.1q tag(1000と2000)をtrunkするスイッチをつなぎます。
trust-untrust間でpolicyをany anyにしておきます。
1000と結びつけたtrustVR側(100.100.100.0/24)からuntrust内のパソコン(150.150.150.150/24)
に対してpingをうつと通ります。これは当たり前でいいのですが、このtrust側のパソコンを
そのままスイッチのtagID2000(200.200.200.0/24)のVLANのポートに移動させてもpingが通
ります。tagID2000のvsysのtrustのアドレスは200.200.200.1なのに100.100.100.100のパソコン
からpingをうってもuntrustのパソコンに届いてしまうのです。何だこりゃと思ってrootでget arp
してみるとarptableのagingである20分間は一度pingが届いたtrustのパソコンであればどの
VLANIDのポートに移動しても通ってしまうのです。
で、聞きたいのは、
・VSYSって802.1qVLANやIP subnetでtrustの物理インタフェースをsubインタフェースに分けて
使うものという認識であってるんですよね?
・上記の現象から一発pingが成立するとそのあとはIPもtagIDも見ずMACだけ見ているように
見えますが、そういうものなのですか(Netscreenって)?
・いろいろとpingを飛ばしてarp tableにMACを登録させますが、rootには登録されるのですが、
enter vsys1してget arpをしても何も登録されません。これがrootに登録されず、vsys1に登録
できれば、上記のような問題は解決するような気がするのですができないのですか?設定が
悪いだけ?
>>150
まず、なんで100.100.100.xのPCが、200.200.200.xのデフォルトGWにPing飛ばせるの?
NetScreenよりPCの方がよっぽどおかしいと思うが?
NetScreenでは無くてPCのARPの問題でしょう
NetScreenがVsysごとに別のMACを持っていないなら(これどうだったか覚えてない)、
PCがARPキャッシュが残ってれば通信できるに決まってるだろう。
NetScreenはデフォルトだとセッションテーブルを見て、SrcMACに返すだけなんだから
>・上記の現象から一発pingが成立するとそのあとはIPもtagIDも見ずMACだけ見ているように
>見えますが、そういうものなのですか(Netscreenって)?
dot1qの意味が良くわかってないと思われ。
IPが何であろうと、VLAN1000からきたフレームはVLAN1000に返すし、
VLAN2000からきたフレームはVLAN2000に返す。
dot1qはサブネットと結びついてるわけではなくて、
あくまでL2のインターフェイスとしか結びついてない
NeScreenはEcho-ReqhがVLAN2000から来たからEcho-RepをVLAN2000に返しているだけ。
NetScrrenはセッションテーブルにあるセッションはARPテーブルを見ないので、
IPアドレスは全然関係ない、上にも書いたが、IPアドレスが関係するのはむしろPCの方。
気になるなら、set arp always-on-dstを入れれば、
既知のセッションもARPテーブルを見るようになる。
ただ、パフォーマンスが下がるので、
VRRPやHSRPで前後のルータを冗長化してるところ以外では使わない方がいい。
まず、なんで100.100.100.xのPCが、200.200.200.xのデフォルトGWにPing飛ばせるの?
NetScreenよりPCの方がよっぽどおかしいと思うが?
NetScreenでは無くてPCのARPの問題でしょう
NetScreenがVsysごとに別のMACを持っていないなら(これどうだったか覚えてない)、
PCがARPキャッシュが残ってれば通信できるに決まってるだろう。
NetScreenはデフォルトだとセッションテーブルを見て、SrcMACに返すだけなんだから
>・上記の現象から一発pingが成立するとそのあとはIPもtagIDも見ずMACだけ見ているように
>見えますが、そういうものなのですか(Netscreenって)?
dot1qの意味が良くわかってないと思われ。
IPが何であろうと、VLAN1000からきたフレームはVLAN1000に返すし、
VLAN2000からきたフレームはVLAN2000に返す。
dot1qはサブネットと結びついてるわけではなくて、
あくまでL2のインターフェイスとしか結びついてない
NeScreenはEcho-ReqhがVLAN2000から来たからEcho-RepをVLAN2000に返しているだけ。
NetScrrenはセッションテーブルにあるセッションはARPテーブルを見ないので、
IPアドレスは全然関係ない、上にも書いたが、IPアドレスが関係するのはむしろPCの方。
気になるなら、set arp always-on-dstを入れれば、
既知のセッションもARPテーブルを見るようになる。
ただ、パフォーマンスが下がるので、
VRRPやHSRPで前後のルータを冗長化してるところ以外では使わない方がいい。
>>150
>NetScreenがVsysごとに別のMACを持っていないなら(これどうだったか覚えてない)、
>PCがARPキャッシュが残ってれば通信できるに決まってるだろう。
今確認したけど、VsysごとでMACは違わないみたいだね
CiscoのL3はVLANごとにMAC違うんだけどなあ
そういうわけなので、PCのARPテーブルにデフォルトGWのARPが残っていたのが原因
PCのARPクリアするか、set arp always-on-dstを入れれば通らなくなるはずだよ
>・いろいろとpingを飛ばしてarp tableにMACを登録させますが、rootには登録されるのですが、
>enter vsys1してget arpをしても何も登録されません。これがrootに登録されず、vsys1に登録
>できれば、上記のような問題は解決するような気がするのですができないのですか?設定が
>悪いだけ?
ARPテーブルはDstMACとDstIPと送出インターフェイスとを結び付けてるので、
テーブル自体はカーネル単位で持たないと、L3でのルーティングができなくなる
タグ付けするのは、送出インターフェイスが決まった後のことなので、
まず、どのVsysに流すかを決めければいけないのに、
ARPテーブルがVsysごとだったら、送出するVsysを決定できないよね
#確かにVsysってインターフェイスじゃなくて一個のカーネルみたいに見えるんで
#気持ちはわかるけど、やっぱりあくまでインターフェイスなんだよね、、、、、
>NetScreenがVsysごとに別のMACを持っていないなら(これどうだったか覚えてない)、
>PCがARPキャッシュが残ってれば通信できるに決まってるだろう。
今確認したけど、VsysごとでMACは違わないみたいだね
CiscoのL3はVLANごとにMAC違うんだけどなあ
そういうわけなので、PCのARPテーブルにデフォルトGWのARPが残っていたのが原因
PCのARPクリアするか、set arp always-on-dstを入れれば通らなくなるはずだよ
>・いろいろとpingを飛ばしてarp tableにMACを登録させますが、rootには登録されるのですが、
>enter vsys1してget arpをしても何も登録されません。これがrootに登録されず、vsys1に登録
>できれば、上記のような問題は解決するような気がするのですができないのですか?設定が
>悪いだけ?
ARPテーブルはDstMACとDstIPと送出インターフェイスとを結び付けてるので、
テーブル自体はカーネル単位で持たないと、L3でのルーティングができなくなる
タグ付けするのは、送出インターフェイスが決まった後のことなので、
まず、どのVsysに流すかを決めければいけないのに、
ARPテーブルがVsysごとだったら、送出するVsysを決定できないよね
#確かにVsysってインターフェイスじゃなくて一個のカーネルみたいに見えるんで
#気持ちはわかるけど、やっぱりあくまでインターフェイスなんだよね、、、、、
ざっと見渡すと、このスレ何気にレベル高いな
雑談スレ化したCiscoスレとはえらい違いだな
機器スレって糞スレ多いよな
エクストリームスレなんてただのチクリ大会だし
まともなのはNortelスレとかこのスレぐらい
雑談スレ化したCiscoスレとはえらい違いだな
機器スレって糞スレ多いよな
エクストリームスレなんてただのチクリ大会だし
まともなのはNortelスレとかこのスレぐらい
154 :150:02/10/07 06:51 ID:mv2zJLZN
>>151, >>152
わざわざ試してもらっちゃってありがとう。
>まず、なんで100.100.100.xのPCが、200.200.200.xのデフォルトGWにPing飛ばせるの?
>NetScreenよりPCの方がよっぽどおかしいと思うが?
こっちも知りたいくらいなので書いたわけです。で、PCのarpテーブルはそういえば見る
の忘れました。ただ、NetScreenのtrust側物理インタフェースが1個のMACしかもって
ないなら 通っちゃうね。
>そういうわけなので、PCのARPテーブルにデフォルトGWのARPが残っていたのが原因
>PCのARPクリアするか、set arp always-on-dstを入れれば通らなくなるはずだよ
仕様であるというのであれば、仕組み的にはそれで納得するとして、これってセキュリティ
上問題にならないのかな。うまくいえないけど、200の人が100のIPを設定したパソコン持って
100のポートに一片さして、200の事務所に戻ってずっと100のIPを使えるってことだよね。
(NetScreen側でset arp always-on-dstをやれば別のようだけど。)デフォルトでNetscreenの
Arp aging?は20分あるので。
>IPが何であろうと、VLAN1000からきたフレームはVLAN1000に返すし、
>VLAN2000からきたフレームはVLAN2000に返す。
この辺は当然わかってるつもりなのですが、NetScreenの設定ではコマンドでvsysとtagID
を結びつけるときにtrustのsubinterfaceにIPを割り当てますよね(言い忘れてましたが、全て
route モードが前提です)。あれ?、でも変なIPを持っていてもtagとPCのarpキャッシュがそろ
ってればやっぱり通りそうだなー。もともとvsysってtag IDとSAをマッピングさせるものなの
ですよね?
わざわざ試してもらっちゃってありがとう。
>まず、なんで100.100.100.xのPCが、200.200.200.xのデフォルトGWにPing飛ばせるの?
>NetScreenよりPCの方がよっぽどおかしいと思うが?
こっちも知りたいくらいなので書いたわけです。で、PCのarpテーブルはそういえば見る
の忘れました。ただ、NetScreenのtrust側物理インタフェースが1個のMACしかもって
ないなら 通っちゃうね。
>そういうわけなので、PCのARPテーブルにデフォルトGWのARPが残っていたのが原因
>PCのARPクリアするか、set arp always-on-dstを入れれば通らなくなるはずだよ
仕様であるというのであれば、仕組み的にはそれで納得するとして、これってセキュリティ
上問題にならないのかな。うまくいえないけど、200の人が100のIPを設定したパソコン持って
100のポートに一片さして、200の事務所に戻ってずっと100のIPを使えるってことだよね。
(NetScreen側でset arp always-on-dstをやれば別のようだけど。)デフォルトでNetscreenの
Arp aging?は20分あるので。
>IPが何であろうと、VLAN1000からきたフレームはVLAN1000に返すし、
>VLAN2000からきたフレームはVLAN2000に返す。
この辺は当然わかってるつもりなのですが、NetScreenの設定ではコマンドでvsysとtagID
を結びつけるときにtrustのsubinterfaceにIPを割り当てますよね(言い忘れてましたが、全て
route モードが前提です)。あれ?、でも変なIPを持っていてもtagとPCのarpキャッシュがそろ
ってればやっぱり通りそうだなー。もともとvsysってtag IDとSAをマッピングさせるものなの
ですよね?
155 :150:02/10/07 06:54 ID:mv2zJLZN
>ARPテーブルはDstMACとDstIPと送出インターフェイスとを結び付けてるので、
>テーブル自体はカーネル単位で持たないと、L3でのルーティングができなくなる
>・・・
わからないのですが、enter vsys1してget arpをしても何も登録されていないのは正常という
意味ですか?rootにしかarp tableはない?少なくともvsys内にもコマンドあるけど。結局vsysって
いってもvrouterに別のアカウントを持たせただけのものかな?
ここからは初歩的なことなんでアレですが、
・trustでtagをtrunkしてそこで終端してuntrustではuntaggedではくこと(逆向きではIPSecトン
ネルのSAからtagをつけてtrustに出すというのはrouteモードで実現できて、tagをそのまま通し
たかったらtransparentモードでってことですよね?
・ScreenOS4なんですが、WebUIから一個目のVSYSできますか?最初のはコマンドからじゃない
とできない(WebだとVsysメニューがコマンドでつくっとかないとでてこない)と思うのですが。
>テーブル自体はカーネル単位で持たないと、L3でのルーティングができなくなる
>・・・
わからないのですが、enter vsys1してget arpをしても何も登録されていないのは正常という
意味ですか?rootにしかarp tableはない?少なくともvsys内にもコマンドあるけど。結局vsysって
いってもvrouterに別のアカウントを持たせただけのものかな?
ここからは初歩的なことなんでアレですが、
・trustでtagをtrunkしてそこで終端してuntrustではuntaggedではくこと(逆向きではIPSecトン
ネルのSAからtagをつけてtrustに出すというのはrouteモードで実現できて、tagをそのまま通し
たかったらtransparentモードでってことですよね?
・ScreenOS4なんですが、WebUIから一個目のVSYSできますか?最初のはコマンドからじゃない
とできない(WebだとVsysメニューがコマンドでつくっとかないとでてこない)と思うのですが。
>>150
>仕様であるというのであれば、仕組み的にはそれで納得するとして、これってセキュリティ
>上問題にならないのかな。うまくいえないけど、200の人が100のIPを設定したパソコン持って
>100のポートに一片さして、200の事務所に戻ってずっと100のIPを使えるってことだよね。
>(NetScreen側でset arp always-on-dstをやれば別のようだけど。)デフォルトでNetscreenの
>Arp aging?は20分あるので。
上にも書いたけど、NeScreenのARPはここでは関係ないんだよ
NetScreenが何故100.xのセグメントに200.x宛のパケットを流すかというと、
既存セッションはARPテーブルを見ずに、
セッションテーブルにキャッシュされてるSrcMACにL4でSwitchする動作をするからなんだよ
要するに、クライアントPCはNetScreen向けのスタティックARPだけ書いとけば、
実はどんなIPアドレスであっても通信できてしまうんですよ、実際は
NetScreenはある意味Switchなんです
#これができるからNetScreenは速い
なので、問題なのはPCが一度ケーブルを抜いてるのにARPが消えないことと、
NetScreenのMACがVsysyごとで異なるにMACではないこと
#実はNetScreenもLinkダウンしたインターフェイスのARPはタイムアウトまで消えないんだけどね、、、
>route モードが前提です)。あれ?、でも変なIPを持っていてもtagとPCのarpキャッシュがそろ
>ってればやっぱり通りそうだなー。もともとvsysってtag IDとSAをマッピングさせるものなの
>ですよね?
その通り、これは仕様です
気ナなるなら、set arp always-on-dstを入れる
#どの道冗長構成なら入れなきゃならないし
>仕様であるというのであれば、仕組み的にはそれで納得するとして、これってセキュリティ
>上問題にならないのかな。うまくいえないけど、200の人が100のIPを設定したパソコン持って
>100のポートに一片さして、200の事務所に戻ってずっと100のIPを使えるってことだよね。
>(NetScreen側でset arp always-on-dstをやれば別のようだけど。)デフォルトでNetscreenの
>Arp aging?は20分あるので。
上にも書いたけど、NeScreenのARPはここでは関係ないんだよ
NetScreenが何故100.xのセグメントに200.x宛のパケットを流すかというと、
既存セッションはARPテーブルを見ずに、
セッションテーブルにキャッシュされてるSrcMACにL4でSwitchする動作をするからなんだよ
要するに、クライアントPCはNetScreen向けのスタティックARPだけ書いとけば、
実はどんなIPアドレスであっても通信できてしまうんですよ、実際は
NetScreenはある意味Switchなんです
#これができるからNetScreenは速い
なので、問題なのはPCが一度ケーブルを抜いてるのにARPが消えないことと、
NetScreenのMACがVsysyごとで異なるにMACではないこと
#実はNetScreenもLinkダウンしたインターフェイスのARPはタイムアウトまで消えないんだけどね、、、
>route モードが前提です)。あれ?、でも変なIPを持っていてもtagとPCのarpキャッシュがそろ
>ってればやっぱり通りそうだなー。もともとvsysってtag IDとSAをマッピングさせるものなの
>ですよね?
その通り、これは仕様です
気ナなるなら、set arp always-on-dstを入れる
#どの道冗長構成なら入れなきゃならないし
>>155
>・trustでtagをtrunkしてそこで終端してuntrustではuntaggedではくこと(逆向きではIPSecトン
>ネルのSAからtagをつけてtrustに出すというのはrouteモードで実現できて、tagをそのまま通し
>たかったらtransparentモードでってことですよね?
Routeモードではその通り
TransparentでVsysyやったことない
できるかはとりあえずやってみて
>・ScreenOS4なんですが、WebUIから一個目のVSYSできますか?最初のはコマンドからじゃない
>とできない(WebだとVsysメニューがコマンドでつくっとかないとでてこない)と思うのですが。
Vsysyの画面の下のほうにNewEntrieseって無かったっけ?
156の補足
>要するに、クライアントPCはNetScreen向けのスタティックARPだけ書いとけば、
>実はどんなIPアドレスであっても通信できてしまうんですよ、実際は
当たり前だけど、あくまでTrustから抜けるセッションの話だけ
Inboundのセッションは当然通らない
ARPが残っていても、Vsys(というかtrust/tagのSub-Interface)に結びついてるので
別のVsysには流れないはず
>・trustでtagをtrunkしてそこで終端してuntrustではuntaggedではくこと(逆向きではIPSecトン
>ネルのSAからtagをつけてtrustに出すというのはrouteモードで実現できて、tagをそのまま通し
>たかったらtransparentモードでってことですよね?
Routeモードではその通り
TransparentでVsysyやったことない
できるかはとりあえずやってみて
>・ScreenOS4なんですが、WebUIから一個目のVSYSできますか?最初のはコマンドからじゃない
>とできない(WebだとVsysメニューがコマンドでつくっとかないとでてこない)と思うのですが。
Vsysyの画面の下のほうにNewEntrieseって無かったっけ?
156の補足
>要するに、クライアントPCはNetScreen向けのスタティックARPだけ書いとけば、
>実はどんなIPアドレスであっても通信できてしまうんですよ、実際は
当たり前だけど、あくまでTrustから抜けるセッションの話だけ
Inboundのセッションは当然通らない
ARPが残っていても、Vsys(というかtrust/tagのSub-Interface)に結びついてるので
別のVsysには流れないはず
158 :NSユーザ:02/10/08 18:34 ID:zGfbjlm6
日経コミュニケーション10/7号
================================
鍵交換中にADSL回線が切断すると、ADSL回線が復旧してもVPN拠点間接続
ができない。Netscreenの電源リセットで復旧した。
=================================
って書いてるけど。そんなこと無いと思うんだけど。ちゃんとREKEYするんじゃ?
経験ある人いる?
================================
鍵交換中にADSL回線が切断すると、ADSL回線が復旧してもVPN拠点間接続
ができない。Netscreenの電源リセットで復旧した。
=================================
って書いてるけど。そんなこと無いと思うんだけど。ちゃんとREKEYするんじゃ?
経験ある人いる?
159 :anonymous@:02/10/10 20:32 ID:kyS1YTJS
ヤマハのRTX1000結構良さげなんだけどもNetscreenユーザーから見てどうでしょう?
乗り換えようか検討中なんです。
うちの会社の規模(従業員200人程度。拠点10箇所)ならRTX1000でもいいような気がしてきた。
VPNを使用したイントラネット(インターネットVPN使ってもイントラネットなのかな?)で本社のデータベース更新&検索とかに使いたいだけなんだけども。
乗り換えようか検討中なんです。
うちの会社の規模(従業員200人程度。拠点10箇所)ならRTX1000でもいいような気がしてきた。
VPNを使用したイントラネット(インターネットVPN使ってもイントラネットなのかな?)で本社のデータベース更新&検索とかに使いたいだけなんだけども。
160 :anonymous@ t046.jscom.co.jp:02/10/11 08:31 ID:???
>158
センター側にVPNトンネルが残ったままになるからだよ。
センターが固定IP、エッジが動的IPの場合に、よく発生します。
最近のファームは、VPNのReconnect機能がついたから、
直ったみたいだけど、他のバグに苦しめられてます
センター側にVPNトンネルが残ったままになるからだよ。
センターが固定IP、エッジが動的IPの場合に、よく発生します。
最近のファームは、VPNのReconnect機能がついたから、
直ったみたいだけど、他のバグに苦しめられてます
161 :○anonymous:02/10/11 10:57 ID:???
>158
エッジが動的IPだと、センターにトンネル残ったままになって
つながらなくなるといったトラブルは結構有名。。
エッジが動的IPだと、センターにトンネル残ったままになって
つながらなくなるといったトラブルは結構有名。。
162 :anonymous@:02/10/12 11:02 ID:Bud5h2a4
ぷらっとあたりで、Netscreenの購入をしようかと思ってるんですが、ソフト保守は入っとかないとかなりの危険を伴いますか?
ここの過去ログ読んでるとまだまだファームに問題が多いようなんですが。
皆さんはどこから購入されてますか?
アライド?日立?
できるだけ安く買いたいのですが(50台ぐらい買うので)
ここの過去ログ読んでるとまだまだファームに問題が多いようなんですが。
皆さんはどこから購入されてますか?
アライド?日立?
できるだけ安く買いたいのですが(50台ぐらい買うので)
163 :anonymous@ gatekeeper.joshin.co.jp:02/10/12 11:32 ID:???
>>162
Netscreenはバグバグなのでソフト保守がないと終わりです
使い方にもよりますが、自殺行為と思っていいですよ
売ってる数がそのまま信頼に値するとはいえないけど、
日立かアライドが無難でしょう
サポートの充実度では断然日立でしょうね
#しかし、ぷらっとで5000とか1000を買うところってホントにあるんだろうか?
Netscreenはバグバグなのでソフト保守がないと終わりです
使い方にもよりますが、自殺行為と思っていいですよ
売ってる数がそのまま信頼に値するとはいえないけど、
日立かアライドが無難でしょう
サポートの充実度では断然日立でしょうね
#しかし、ぷらっとで5000とか1000を買うところってホントにあるんだろうか?
166 :162:02/10/12 14:37 ID:Bud5h2a4
みなさんどうもです。
おとなしくソフト保守入ります。
おとなしくソフト保守入ります。
167 :x:02/10/12 15:13 ID:fprAGzPM
168 : :02/10/12 21:46 ID:HXYcLctO
ソフトの保守が一定期間後は有料だから、個人ユーザーじゃなかなか手を出せん
せめて5xpだけでも無料にしろ
せめて5xpだけでも無料にしろ
169 :ソフト保守:02/10/14 01:35 ID:zuikx4+F
ScreenOSのバージョンUPって、製品のシリアル番号があれば
誰でも無料でできるんじゃない!?
NS本社のWEBサイトにIDとシリアル番号聞かれるところ
あるけど、そこに製品のシリアル入れればスクリーンOSのDLできるYO
そんでコンソールでもWebUIでもいいからDLしたやつをTFTPから
落とし込んでやれば最新バージョンにUPできるじゃん。
>save software from tftp x.x.x.x fime_name to flash
で。
別に代理店のソフトウェア保守にはいらなくても、これくらいは自分らで
できると思うのだが・・・。
どーなのかな?
誰でも無料でできるんじゃない!?
NS本社のWEBサイトにIDとシリアル番号聞かれるところ
あるけど、そこに製品のシリアル入れればスクリーンOSのDLできるYO
そんでコンソールでもWebUIでもいいからDLしたやつをTFTPから
落とし込んでやれば最新バージョンにUPできるじゃん。
>save software from tftp x.x.x.x fime_name to flash
で。
別に代理店のソフトウェア保守にはいらなくても、これくらいは自分らで
できると思うのだが・・・。
どーなのかな?
170 :config:02/10/14 08:11 ID:WjQmZUlc
内容のレベルが高い板でする質問ではないんですが・・・
NetScreen500 ScreenOS4なのですが、configのみの初期化はどうすればいいんでしょうか?
全て工場出荷状態というのがあったのですが、ライセンス情報も消えるということで
怖くてできません。
WebUIで作ったconfigの出力がset vpnコマンドの後に出てくるidが6桁と自分でassignできる
ような数字ではないのですが、CUIでconfigを打ち込むときに必要な数字の制限ってあるん
でしょうか?
NetScreen500 ScreenOS4なのですが、configのみの初期化はどうすればいいんでしょうか?
全て工場出荷状態というのがあったのですが、ライセンス情報も消えるということで
怖くてできません。
WebUIで作ったconfigの出力がset vpnコマンドの後に出てくるidが6桁と自分でassignできる
ような数字ではないのですが、CUIでconfigを打ち込むときに必要な数字の制限ってあるん
でしょうか?
>別に代理店のソフトウェア保守にはいらなくても、これくらいは自分らで
個人とか、自分の会社で使うって事ならそれでも問題ないと思うよ。
だけど、お客さんに納めるとなれば、保守を何処かに頼めないとね。
もちろん、自前保守もありだけど、不具合の内容を英語で問い合わせたり
それを日本語でお客に伝えたり、客先に出張って調査したりしなきゃならん。
ぷらっとだって初期不良交換や修理は受け付けてくれるだろうけど、小売店
では修理期間中の代替機の手配とかまではしてくれないだろうから、予備機
も用意しておかないとって話しもある。
大抵のSIerや、社内NEは国内代理店物を入れてそう言う事を回避する訳。
まあ、悪く言えば「へたれ」って言う事(藁
まあ、NetScreenはどうか判らんが、ぷらっととかは国内代理店から製品
を引いてきて売ってるだけなので、交渉次第では国内代理店のサポートは
受けられると思うけど、それじゃあ代理店を選ぶことはできんよね。
個人とか、自分の会社で使うって事ならそれでも問題ないと思うよ。
だけど、お客さんに納めるとなれば、保守を何処かに頼めないとね。
もちろん、自前保守もありだけど、不具合の内容を英語で問い合わせたり
それを日本語でお客に伝えたり、客先に出張って調査したりしなきゃならん。
ぷらっとだって初期不良交換や修理は受け付けてくれるだろうけど、小売店
では修理期間中の代替機の手配とかまではしてくれないだろうから、予備機
も用意しておかないとって話しもある。
大抵のSIerや、社内NEは国内代理店物を入れてそう言う事を回避する訳。
まあ、悪く言えば「へたれ」って言う事(藁
まあ、NetScreenはどうか判らんが、ぷらっととかは国内代理店から製品
を引いてきて売ってるだけなので、交渉次第では国内代理店のサポートは
受けられると思うけど、それじゃあ代理店を選ぶことはできんよね。
172 : :02/10/14 12:22 ID:AH4SBPAy
173 :_:02/10/14 13:19 ID:zuikx4+F
174 :anonymous@ f-tokyo-107042-l3.zero.ad.jp:02/10/15 00:53 ID:AL+LJ1si
175 :170:02/10/15 05:59 ID:3yYfGKOL
176 :170:02/10/15 06:14 ID:3yYfGKOL
>>175
私は信用できないなんていえる程まだ、使い込んでないのですが、get configしてunsetで
始まる行に違和感を感じます(set行を消すのがunsetコマンドなんじゃないの?という意味で)
でも、Ciscoみたいに「デフォルトであればconfig中で表示しない」という意味であればまー
納得いきますが。
この機械って使いこなしてる人もやっぱりWeb入力なんですかねー
私は信用できないなんていえる程まだ、使い込んでないのですが、get configしてunsetで
始まる行に違和感を感じます(set行を消すのがunsetコマンドなんじゃないの?という意味で)
でも、Ciscoみたいに「デフォルトであればconfig中で表示しない」という意味であればまー
納得いきますが。
この機械って使いこなしてる人もやっぱりWeb入力なんですかねー
177 :162:02/10/15 10:12 ID:BibK5HZc
>>169
お!無償でバージョンアップできるのか!!
ライセンス的な問題がちと心配だったりしますが、ソフトウェア保守とは保守を業者がやってくれるって意味なんですね?
違ってます!?(^^;
とりあえず5XPぐらいなら、ソフトウェア保守なしで予備機を何台か買っておけば大丈夫かな。
お!無償でバージョンアップできるのか!!
ライセンス的な問題がちと心配だったりしますが、ソフトウェア保守とは保守を業者がやってくれるって意味なんですね?
違ってます!?(^^;
とりあえず5XPぐらいなら、ソフトウェア保守なしで予備機を何台か買っておけば大丈夫かな。
178 : :02/10/15 17:42 ID:X4jZdn7n
日本代理店では4.0xに問題が多くて3.0xのScreenOSまでしか
公開していないって聞いたんですが本当ですか?
Netscreen社では公開しているのに…
公開していないって聞いたんですが本当ですか?
Netscreen社では公開しているのに…
179 :NSユーザ:02/10/15 19:08 ID:yGAbRs0g
>>178
確かに日立は、まだ3.0xですね。4.0xにバグが多い為かどうかは不明。
確かに日立は、まだ3.0xですね。4.0xにバグが多い為かどうかは不明。
>>178
日立は全てのリリースを自社で検証しているらしいです。
その結果をNetScreenにエスカレーションしたりもしてるようですので
日立が安定版と判断しない限り、客には出さないみたいですよ。
>>176
確かに、デフォルトでコンフィグにunsetが入る設定がたくさんありますねえ
ただ、それよりも、unset no〜 見たいな二重否定の設定とかがウザイです。
Webでできない設定は腐るほどあります。
ARPとかHAの細かい設定はWebからはできないはずです
あと、"set flow"系もWebではできないですね
#4.xとかは知りませんが
日立は全てのリリースを自社で検証しているらしいです。
その結果をNetScreenにエスカレーションしたりもしてるようですので
日立が安定版と判断しない限り、客には出さないみたいですよ。
>>176
確かに、デフォルトでコンフィグにunsetが入る設定がたくさんありますねえ
ただ、それよりも、unset no〜 見たいな二重否定の設定とかがウザイです。
Webでできない設定は腐るほどあります。
ARPとかHAの細かい設定はWebからはできないはずです
あと、"set flow"系もWebではできないですね
#4.xとかは知りませんが
181 :○anonymous:02/10/16 16:42 ID:???
>179
4.0.Xは、ぼろぼろ。。
3.1.0R8からr9にしたら、mipへの通信ができなくなるし。。(ha構成)
4.0.Xは、ぼろぼろ。。
3.1.0R8からr9にしたら、mipへの通信ができなくなるし。。(ha構成)
182 : :02/10/16 16:51 ID:???
現状の安定バージョン(リビジョン)はいくつでしょう?
モデルによるかな?
モデルによるかな?
183 : :02/10/16 17:38 ID:LCCVknmg
あらま、ぷらっとホームでは5XTはソフト保守付しか売ってないよ
それにしてもぷらっとでは定価4000万もする NetScreen-5200(VSYS 500)も扱ってるのね
さてさて何処が保守してくれるんだろう...
それにしてもぷらっとでは定価4000万もする NetScreen-5200(VSYS 500)も扱ってるのね
さてさて何処が保守してくれるんだろう...
184 : :02/10/16 23:46 ID:???
>>182
2.6.1r8
2.6.1r8
185 :150です:02/10/17 01:08 ID:M3bJCOay
>>157
遅レス;になってしまいましたが、ですが、最後の方全くその通りでした。NetScreen対向では
別Vsysにはトラヒック流れませんでした。
-----
まだWebベースなんですが、一通り設定を試せたところでSmartBitsを使える機会ができた
のでNetScreen500のUntrust:Giga、trustGiga間にトラヒックを流し込んでみました。設定はVPN
等は全くせず、インタフェースにIPを振ってルータとして動かしただけです(NetScreen1台で)。
結果は70Mbpsくらいしかでませんでした(Gigaで)。何かの間違いだと思うのですが、フルワイヤ
(といっていいのかわからないですが)で動かすのに何か設定いるのでしょうか?
遅レス;になってしまいましたが、ですが、最後の方全くその通りでした。NetScreen対向では
別Vsysにはトラヒック流れませんでした。
-----
まだWebベースなんですが、一通り設定を試せたところでSmartBitsを使える機会ができた
のでNetScreen500のUntrust:Giga、trustGiga間にトラヒックを流し込んでみました。設定はVPN
等は全くせず、インタフェースにIPを振ってルータとして動かしただけです(NetScreen1台で)。
結果は70Mbpsくらいしかでませんでした(Gigaで)。何かの間違いだと思うのですが、フルワイヤ
(といっていいのかわからないですが)で動かすのに何か設定いるのでしょうか?
>>185
Src_IPとSrcPortの違うUDPとか使ってませんか?
UDPには3Wayハンドシェイクが無いので、
戻りパケットの無いSmart-Bitのパケットは
セッションテーブルのタイムアウトまで消えません。
セッション数がボトルネックになってる可能性があります。
get sessionでAlocation_Failがでてませんか?
もしくは全く逆に、UDP-Floodでアッタク検出されてとめられてませんか?
前にGigaに負荷かけたときは、256Byteパケットで500Mbpsでてました
ちなみに、500ではバスか何かの仕様上、700Mbpsまでしかでないらしいです
Src_IPとSrcPortの違うUDPとか使ってませんか?
UDPには3Wayハンドシェイクが無いので、
戻りパケットの無いSmart-Bitのパケットは
セッションテーブルのタイムアウトまで消えません。
セッション数がボトルネックになってる可能性があります。
get sessionでAlocation_Failがでてませんか?
もしくは全く逆に、UDP-Floodでアッタク検出されてとめられてませんか?
前にGigaに負荷かけたときは、256Byteパケットで500Mbpsでてました
ちなみに、500ではバスか何かの仕様上、700Mbpsまでしかでないらしいです
187 :185:02/10/17 01:45 ID:M3bJCOay
>>186
SmartBitsで流したデータは通常のIPパケットでIPヘッダ以外はallAで流しました。なので
UDPと検出されることはないと思います。
セッション数がボトルネックというのはSmartBitsが送るパケットがそれぞれ別セッションと
して数えられるということですか?確かに帰りがないので新規セッションと思われる?
Webで見た:CPUのグラフが黄色になっていてメモリもかなり使っていました(ポリシー等は
何もかいてないのに)
何かそれが非常に怪しそうなので明日というか今日get sessionしてみます。
こういう高レイヤの機器に負荷かけるときって、何か特有の常識があるんでしょうか
その辺全然知らないです。
500M出たという話ですが、それはどうやってやったのか教えていただけませんか?
SmartbitsでTCPセッションつくった上でトラヒック流すなんてできるのかなー
#256Bで500Mbということは64にするともっと遅くなるってことですね
SmartBitsで流したデータは通常のIPパケットでIPヘッダ以外はallAで流しました。なので
UDPと検出されることはないと思います。
セッション数がボトルネックというのはSmartBitsが送るパケットがそれぞれ別セッションと
して数えられるということですか?確かに帰りがないので新規セッションと思われる?
Webで見た:CPUのグラフが黄色になっていてメモリもかなり使っていました(ポリシー等は
何もかいてないのに)
何かそれが非常に怪しそうなので明日というか今日get sessionしてみます。
こういう高レイヤの機器に負荷かけるときって、何か特有の常識があるんでしょうか
その辺全然知らないです。
500M出たという話ですが、それはどうやってやったのか教えていただけませんか?
SmartbitsでTCPセッションつくった上でトラヒック流すなんてできるのかなー
#256Bで500Mbということは64にするともっと遅くなるってことですね
188 : @:02/10/17 15:01 ID:AxxkPsWp
>>187
Smart-BitでネイティブIPを使いました
ほとんど同じやり方だと思います
#そういえば、アレってプロトコルタイプに何が入るんだろう? 今度キャプチャしてみます
OSは2.6.1r7
NetScreenは全てのFirewall機能を切って、
ポリシーも無し(OutgoingのAny Any Permitも無し)
TrustからUntrustへバーストを投げました
>こういう高レイヤの機器に負荷かけるときって、何か特有の常識があるんでしょうか
>その辺全然知らないです。
環境にもよりますが、大抵はバスや帯域よりセッション処理能力がボトルネックになるので、
本質的なボトルネックを知るにはTCPの負荷を掛ける必要があります。
なので、Smart-BitよりもWebAvarancheとかのほうがむいているのは確かだと思います。
>SmartbitsでTCPセッションつくった上でトラヒック流すなんてできるのかなー
ハンドシェイク→即FIN交換
というのはできるらしいです。
やったことはありませんが。
ただ、これをやったらおそらく100Mでません。
NetScreen-500のセッション処理能力の実質値は10000cpsいけばいい方なはずなので、、、、
Smart-BitでネイティブIPを使いました
ほとんど同じやり方だと思います
#そういえば、アレってプロトコルタイプに何が入るんだろう? 今度キャプチャしてみます
OSは2.6.1r7
NetScreenは全てのFirewall機能を切って、
ポリシーも無し(OutgoingのAny Any Permitも無し)
TrustからUntrustへバーストを投げました
>こういう高レイヤの機器に負荷かけるときって、何か特有の常識があるんでしょうか
>その辺全然知らないです。
環境にもよりますが、大抵はバスや帯域よりセッション処理能力がボトルネックになるので、
本質的なボトルネックを知るにはTCPの負荷を掛ける必要があります。
なので、Smart-BitよりもWebAvarancheとかのほうがむいているのは確かだと思います。
>SmartbitsでTCPセッションつくった上でトラヒック流すなんてできるのかなー
ハンドシェイク→即FIN交換
というのはできるらしいです。
やったことはありませんが。
ただ、これをやったらおそらく100Mでません。
NetScreen-500のセッション処理能力の実質値は10000cpsいけばいい方なはずなので、、、、
190 : :02/10/17 21:59 ID:???
仕様を見るとPPPoeの機能あるから、LAN側はDSU/ONUから
ルータを入れずにそのまま接続してスイッチで構成しても
かまわないよね?
ていうか高度な質問の中に低レベルな質問でスマソ
ルータを入れずにそのまま接続してスイッチで構成しても
かまわないよね?
ていうか高度な質問の中に低レベルな質問でスマソ
191 : :02/10/18 12:38 ID:???
<<190
OK
OK
192 :=:02/10/21 03:05 ID:2VHTI35W
194 :=:02/10/22 04:14 ID:6OsYDzV7
<<193
ありがとうでゴザル
お〜カタログ見ても??
まさに25と5XT張りまくり
ありがとうでゴザル
お〜カタログ見ても??
まさに25と5XT張りまくり
196 :anonymous:02/10/23 11:02 ID:ts8LVcjw
Netscreenで質問です。
VPNトンネルを通る各サービスやホストごとのポリシーって書けますか?
VPNトンネルを通る各サービスやホストごとのポリシーって書けますか?
197 :anonymous@ pc-211-8-215-131.ctktv.ne.jp:02/10/23 12:45 ID:???
198 :anonymous196:02/10/23 12:49 ID:ts8LVcjw
>>197
参考になりました。どーもです(^^
参考になりました。どーもです(^^
199 :x:02/10/23 14:07 ID:CQPz75gX
200 :anonymous@ 194.90.43.50
200
201 :anonymous@ YahooBB219018096066.bbtec.net:02/10/25 22:36 ID:t0jqy0n/
202 : :02/10/25 23:15 ID:???
203 :NS500:02/10/27 18:27 ID:4lCU4DMs
NS500なんですが、Untrust側のGigaEther(別にUntrustに限らなくてもいいですが)のMTU
をかえられないんでしょうか? 今は1518ですか(tagが使えるから1522か)?
をかえられないんでしょうか? 今は1518ですか(tagが使えるから1522か)?
204 :anonymous@ prxy-c2.eagle-net.ne.jp:02/10/27 21:14 ID:hHZAkPub
折れはここの使ってる。結構女ウケいいし、お勧め!!
http://www.adultshoping.net/linkstaff.cgi?id=001951
http://www.adultshoping.net/linkstaff.cgi?id=001951
>>204
fushianasanされても広告か、おめでてーな(w
fushianasanされても広告か、おめでてーな(w
206 : :02/10/28 20:03 ID:???
>204
確か1500だったはずです。
dot1qタグはL2より上位のヘッダなんでL2のMTUとは関係ないないはずです。
トンネルは自動的に1428になったような気がします。
全てうろ覚えです、あまり信用しないでください。
というかTCP以外に1500バイト超えるようなパケットってまず無いんで、
MSSさえアジャストできればMTUはどうでもいいような気はします。
確か1500だったはずです。
dot1qタグはL2より上位のヘッダなんでL2のMTUとは関係ないないはずです。
トンネルは自動的に1428になったような気がします。
全てうろ覚えです、あまり信用しないでください。
というかTCP以外に1500バイト超えるようなパケットってまず無いんで、
MSSさえアジャストできればMTUはどうでもいいような気はします。
はらださーん。もうかってますかー?
>dot1qタグはL2より上位のヘッダなんでL2の
むしろには下位では?
いいたいことはつうじるけど
むしろには下位では?
いいたいことはつうじるけど
>>206
MTUってよく考えるとどの部分のこというんでしょう。どこかの雑誌のテクニカルエンジニア講座
ではMTUというのはプロトコルごとのものでL3のパケットの部分であるとかいてありました。
でも、「tagが通るからMTUは1522だね」みたいなこともよくいうので私は今までL2フレームのこと
で言ってました。
NetScreenのIPsecトンネルに負荷器からデータをいれると
MTUってよく考えるとどの部分のこというんでしょう。どこかの雑誌のテクニカルエンジニア講座
ではMTUというのはプロトコルごとのものでL3のパケットの部分であるとかいてありました。
でも、「tagが通るからMTUは1522だね」みたいなこともよくいうので私は今までL2フレームのこと
で言ってました。
NetScreenのIPsecトンネルに負荷器からデータをいれると
途中で出してしまった。すみません。
NetScreenに負荷測定機からデータをいれると1460byte近辺でデータが通らなくなってました。
>>TCP以外に・・・
そのTCPはよく使いませんか?例えばFTPとか。FTPならあっさりEtherのmaxまでフレームサイズ
広がりますよね?
NetScreenに負荷測定機からデータをいれると1460byte近辺でデータが通らなくなってました。
>>TCP以外に・・・
そのTCPはよく使いませんか?例えばFTPとか。FTPならあっさりEtherのmaxまでフレームサイズ
広がりますよね?
>>210
204は1500超えるのはTCPだけだから、MSSさえアジャストできれば問題無いっていってるのでは?
MSSはSYNでネゴするから1500Byteを超えるSYNが発生しなければ問題ないってことだよね?
ちなみに、NetScreenでMSSアジャストの設定は
set flow tcp-mss <MSS>
です。
204は1500超えるのはTCPだけだから、MSSさえアジャストできれば問題無いっていってるのでは?
MSSはSYNでネゴするから1500Byteを超えるSYNが発生しなければ問題ないってことだよね?
ちなみに、NetScreenでMSSアジャストの設定は
set flow tcp-mss <MSS>
です。
213 : :02/11/02 07:44 ID:???
>>212
ユニキャストのIP通信の99%はUDPかTCPです。
UDPにはコネクションという概念が無いので、2パケットにまたがるような通信には不向きなので、
通常はReqestとReplayだけで終わるか、その繰り返しを行います。
なので、UDPのプロトコルのほとんどは、1500Byteを超えるような
大きなパケットは発生しないような設計になっています。
もちろん、これは絶対ではありません。
TFTPのように、上位レイヤでコネクションを実装しているものもありますし、
その他のプロトコルでも絶対に発生しないというわけではありません。
#DNSなんかでも何百行っていうNSレコードとかがあれば1500Byteを超えるのか?
ユニキャストのIP通信の99%はUDPかTCPです。
UDPにはコネクションという概念が無いので、2パケットにまたがるような通信には不向きなので、
通常はReqestとReplayだけで終わるか、その繰り返しを行います。
なので、UDPのプロトコルのほとんどは、1500Byteを超えるような
大きなパケットは発生しないような設計になっています。
もちろん、これは絶対ではありません。
TFTPのように、上位レイヤでコネクションを実装しているものもありますし、
その他のプロトコルでも絶対に発生しないというわけではありません。
#DNSなんかでも何百行っていうNSレコードとかがあれば1500Byteを超えるのか?
NS-500でScreenOS4.0という環境を触れることになりました。
L3スイッチはさんで対向でIPSecでVPNはって両NS-500のtrustにSmartbitsをつないで片方向
で負荷かけたら、80Mbpsくらいしかでませんでした(いろいろなscreen機能はdefault状態で
3DES、SHA使用です)。 (>>185 と同じくらいか)
Hubx1,Spokex2という単純な構成を考えます。spoke-spoke通信をするときってHubは復号-暗号
を両方しますよね(片方向で)。無茶苦茶乱暴な考え方ですが、暗号化、復号化がマシンにとって
の負荷が一緒だとすると、双方向で負荷をかけた場合、Hubにとっては4倍の負荷がかかるので
一つの通信では20Mbpsしか確保できないという考え方で基本的にはよいのですか?
L3スイッチはさんで対向でIPSecでVPNはって両NS-500のtrustにSmartbitsをつないで片方向
で負荷かけたら、80Mbpsくらいしかでませんでした(いろいろなscreen機能はdefault状態で
3DES、SHA使用です)。 (>>185 と同じくらいか)
Hubx1,Spokex2という単純な構成を考えます。spoke-spoke通信をするときってHubは復号-暗号
を両方しますよね(片方向で)。無茶苦茶乱暴な考え方ですが、暗号化、復号化がマシンにとって
の負荷が一緒だとすると、双方向で負荷をかけた場合、Hubにとっては4倍の負荷がかかるので
一つの通信では20Mbpsしか確保できないという考え方で基本的にはよいのですか?
>>213
ありがとうございます。
1500という数字はEthernetのMTUからきている
MSSの設定さえすれば途中でFragmentが起こらずO.K.という認識でよいですか?
それとNS-500って(他のファイアウォールもそうなのかもしれませんが)何やってもUntrustが
PINGに応答してくれないのでPathMTUDiscoveryが使えないのでFragmentをどうやって回避
するのかわかりませんでした。その解決策がMSSアジャストだと思ってよいですか?
ありがとうございます。
1500という数字はEthernetのMTUからきている
MSSの設定さえすれば途中でFragmentが起こらずO.K.という認識でよいですか?
それとNS-500って(他のファイアウォールもそうなのかもしれませんが)何やってもUntrustが
PINGに応答してくれないのでPathMTUDiscoveryが使えないのでFragmentをどうやって回避
するのかわかりませんでした。その解決策がMSSアジャストだと思ってよいですか?
216 : :02/11/02 09:13 ID:???
219 :残業手当もっと出せ!:02/11/03 18:36 ID:???
むう。
うちの会社で本格的に扱うことに決まったよ・・・。
勉強せねば・・・。
うちの会社で本格的に扱うことに決まったよ・・・。
勉強せねば・・・。
220 :NS4.0.0:02/11/04 09:53 ID:2XJ9erC7
>215
PMTUDって未対応だったと思う…
っていうか、set int untrust manage ping で開放されるのは Echo Req/Reply だけですよね?
ICMP 全般じゃなかったと思うけど。。
前に対応予定をNSに問い合わせたら、「どのような背景で必要と判断されたのでしょうか?」って返答来ちゃったし。
まぁ、MSSの強制付け直しが効くから、大体はなんとかなるんだろうけど。
PMTUDって未対応だったと思う…
っていうか、set int untrust manage ping で開放されるのは Echo Req/Reply だけですよね?
ICMP 全般じゃなかったと思うけど。。
前に対応予定をNSに問い合わせたら、「どのような背景で必要と判断されたのでしょうか?」って返答来ちゃったし。
まぁ、MSSの強制付け直しが効くから、大体はなんとかなるんだろうけど。
221 :anonymous@ h16.tds.co.jp:02/11/04 11:57 ID:???
手元にNS-10があるんですが、ダウンロードできる最新の3.0.1r3を入れるとpppoeが使えるようになるんでしょうか?
また、使える場合、この辺のバージョンはIP Unnumberedに対応しているのでしょうか?
http://www.iij.ad.jp/service/system/router.html を見ると、5XPの3.0.0r5ではUnnumberedが使えているようですが…
また、使える場合、この辺のバージョンはIP Unnumberedに対応しているのでしょうか?
http://www.iij.ad.jp/service/system/router.html を見ると、5XPの3.0.0r5ではUnnumberedが使えているようですが…
222 :○anonymous:02/11/05 15:57 ID:???
>221
リリースノートくらい読めば?
リリースノートくらい読めば?
すみません。
現在入手できる3.0.1r3のリリースノートは読んだのですが、3.0.1以降の変更点しか書かれていないため、
3.0.0での変更がわからなかったのです。
現在入手できる3.0.1r3のリリースノートは読んだのですが、3.0.1以降の変更点しか書かれていないため、
3.0.0での変更がわからなかったのです。
224 :○anonymous:02/11/05 23:54 ID:???
>223
ちなみに最新は、3.0.1r3じゃなくて3.0.1r4です。
> 3.0.0での変更がわからなかったのです。
>
インストールしたいのは、3.0.1系じゃないの??
3.0.1系列でも、PPPoEが使えることは書いていますよ。
NS-100は、3.0.1で初めてサポートした、、とか。
NS-10の場合でも、NS-5XPのリリースノートと同一なんですけど。。
機種依存した機能・BUGは、その旨触れていますし。。。
(そうでないものは、共通)
まさか、英文のオリジナルリリースノートを
読んでないってことは無いですよね?
#会社のアドレス表に出して大丈夫ですか?
ちなみに最新は、3.0.1r3じゃなくて3.0.1r4です。
> 3.0.0での変更がわからなかったのです。
>
インストールしたいのは、3.0.1系じゃないの??
3.0.1系列でも、PPPoEが使えることは書いていますよ。
NS-100は、3.0.1で初めてサポートした、、とか。
NS-10の場合でも、NS-5XPのリリースノートと同一なんですけど。。
機種依存した機能・BUGは、その旨触れていますし。。。
(そうでないものは、共通)
まさか、英文のオリジナルリリースノートを
読んでないってことは無いですよね?
#会社のアドレス表に出して大丈夫ですか?
225 :○anonymous:02/11/05 23:55 ID:???
>219
IIJかな?
残業代、、出るだけマシですよ。。
うちは深夜作業も出ないもの。。。
お客からは取ってるのに。。
IIJかな?
残業代、、出るだけマシですよ。。
うちは深夜作業も出ないもの。。。
お客からは取ってるのに。。
226 :みっぷ:02/11/06 08:59 ID:4hSFFZt3
これって独自開発製品?
netscreen使ってるようなんだけどPSキーって便利そうなんだけどどこかのOEMかな。
ttp://www.ntt-east.co.jp/ephelio/vpn/
ttp://www.ntt-east.co.jp/tms/category/s_portables.html
NTT西日本では売ってなさそうだし…
netscreen使ってるようなんだけどPSキーって便利そうなんだけどどこかのOEMかな。
ttp://www.ntt-east.co.jp/ephelio/vpn/
ttp://www.ntt-east.co.jp/tms/category/s_portables.html
NTT西日本では売ってなさそうだし…
>224
> まさか、英文のオリジナルリリースノートを
> 読んでないってことは無いですよね?
恥ずかしながらおっしゃるとおりです。
ご指摘いただいた後、本家に登録して3.0.0r5のリリースノートも読みました。
#本家は全てのバージョンにアクセスできるのですね。
結局 Unnumbered に関する記述は特に無いように見受けられますが、
> NS-10の場合でも、NS-5XPのリリースノートと同一なんですけど。。
> 機種依存した機能・BUGは、その旨触れていますし。。。
> (そうでないものは、共通)
ということと、5XPで Unnumbered が使えるようだということから、出来そうだと
判断して、ともかくやってみることにします。
> #会社のアドレス表に出して大丈夫ですか?
板の注意をよく読まずに名無しさんで書いてしまいました。大丈夫だといいんですが ^^;
> まさか、英文のオリジナルリリースノートを
> 読んでないってことは無いですよね?
恥ずかしながらおっしゃるとおりです。
ご指摘いただいた後、本家に登録して3.0.0r5のリリースノートも読みました。
#本家は全てのバージョンにアクセスできるのですね。
結局 Unnumbered に関する記述は特に無いように見受けられますが、
> NS-10の場合でも、NS-5XPのリリースノートと同一なんですけど。。
> 機種依存した機能・BUGは、その旨触れていますし。。。
> (そうでないものは、共通)
ということと、5XPで Unnumbered が使えるようだということから、出来そうだと
判断して、ともかくやってみることにします。
> #会社のアドレス表に出して大丈夫ですか?
板の注意をよく読まずに名無しさんで書いてしまいました。大丈夫だといいんですが ^^;
SmartBitでTCPセッション数をNS500の上限まで張って
スループット見るような事をされた方いますか?
スループット見るような事をされた方いますか?
229 :NSユーザ:02/11/07 12:52 ID:PDRtxXQV
Phase2の鍵がライフタイム1時間なのに、15分とか20分でRekeyする事がある。
でも通信切断が発生しているようには見えないんだけどね。
でも通信切断が発生しているようには見えないんだけどね。
>>228
SmartBitのTCPってセッションキープができなかったと思うので、
25万セッションまでかけるには10万CPSくらいかけないとならないはずです。
NS-500はせいぜい7千か8千CPSくらいしか処理できないので
上限までかけるのは無理ではないかと
セッションキープできる負荷装置を使いましょう。
SmartBitのTCPってセッションキープができなかったと思うので、
25万セッションまでかけるには10万CPSくらいかけないとならないはずです。
NS-500はせいぜい7千か8千CPSくらいしか処理できないので
上限までかけるのは無理ではないかと
セッションキープできる負荷装置を使いましょう。
231 :○anonymous:02/11/07 17:27 ID:???
>229
何かInitiatorが動いていたりしませんか??
NS-Remoteや対向のVPN装置とかのLifeTimeの設定で。。
何かInitiatorが動いていたりしませんか??
NS-Remoteや対向のVPN装置とかのLifeTimeの設定で。。
232 :NSユーザ:02/11/08 13:51 ID:tu9xFdHz
>何かInitiatorが動いていたりしませんか??
対向のNetscreenに
Phase 2: Initiated negotiations.(initiator)
って出てるんでInitiatorが動いてるみたいです。
でも、対向NetscreenもP2 Lifetimeは3600秒になってるんですがね。
通常ならLifetimeがなくなる少し前にInitiatorが動いてREKEYするんじゃ?
対向のNetscreenに
Phase 2: Initiated negotiations.(initiator)
って出てるんでInitiatorが動いてるみたいです。
でも、対向NetscreenもP2 Lifetimeは3600秒になってるんですがね。
通常ならLifetimeがなくなる少し前にInitiatorが動いてREKEYするんじゃ?
何回か話題になっている PPPoE/Unnumbered が実際の所どうなのか、
とりあえず確認できた事実のみ記しておく。
箱はNetScreen5XP(4.0.0r4 NAT)、プロバイダはInfoSphereのBIZ ADSL8で、
契約上の払い出しアドレスはXXX.XXX.XXX.240/29になっている。
まずPPPoE接続だが問題なくできた。このときUntrust側IPアドレスは通常
ネットワークアドレスとされている XXX.XXX.XXX.240/32 になっている。
Trust側のPCから(unnumberedでないときと同様に) NATPで XXX.XXX.XXX.240
としてネットに出て行くことができた。
次にネット側からどう見えているのか。
VIPによりTrust側の任意アドレス/ポートに接続できることを確認した。
さらにMIPで任意の払い出しアドレスをTrust側の任意アドレスへ変換
できることも確認した(個人的にはこれが一番気になっていた)
とりあえず確認できた事実のみ記しておく。
箱はNetScreen5XP(4.0.0r4 NAT)、プロバイダはInfoSphereのBIZ ADSL8で、
契約上の払い出しアドレスはXXX.XXX.XXX.240/29になっている。
まずPPPoE接続だが問題なくできた。このときUntrust側IPアドレスは通常
ネットワークアドレスとされている XXX.XXX.XXX.240/32 になっている。
Trust側のPCから(unnumberedでないときと同様に) NATPで XXX.XXX.XXX.240
としてネットに出て行くことができた。
次にネット側からどう見えているのか。
VIPによりTrust側の任意アドレス/ポートに接続できることを確認した。
さらにMIPで任意の払い出しアドレスをTrust側の任意アドレスへ変換
できることも確認した(個人的にはこれが一番気になっていた)
234 : :02/11/10 09:42 ID:???
>>233
>ネットワークアドレスとされている XXX.XXX.XXX.240/32 になっている。
これ、あんまり良くないと思うなあ
対抗がこのアドレスにホスト経路を持つだろうから、
本来ならTrustのIPになるべきだと思う
ルーティングプロトコルが動いたときどうなるか気になるね
>さらにMIPで任意の払い出しアドレスをTrust側の任意アドレスへ変換
NetScreenのMIPはProxy-ARPを前提にしてるわけではないので、
これは全く問題ないね
>ネットワークアドレスとされている XXX.XXX.XXX.240/32 になっている。
これ、あんまり良くないと思うなあ
対抗がこのアドレスにホスト経路を持つだろうから、
本来ならTrustのIPになるべきだと思う
ルーティングプロトコルが動いたときどうなるか気になるね
>さらにMIPで任意の払い出しアドレスをTrust側の任意アドレスへ変換
NetScreenのMIPはProxy-ARPを前提にしてるわけではないので、
これは全く問題ないね
235 :abc:02/11/11 10:21 ID:dbeMjuuU
>>233
私もNetScreen5XP&25でunnumberedで接続テストしました。
どちらもネットワークアドレス(aaa.bbb.ccc.0/29のaaa.bbb.ccc.0)で通信ができています。
IP節約としてはとても都合がいいのだけど、このままでよいのか不安です。
ちなみにXR300でも同じようにネットワークアドレスで通信できます。
私もNetScreen5XP&25でunnumberedで接続テストしました。
どちらもネットワークアドレス(aaa.bbb.ccc.0/29のaaa.bbb.ccc.0)で通信ができています。
IP節約としてはとても都合がいいのだけど、このままでよいのか不安です。
ちなみにXR300でも同じようにネットワークアドレスで通信できます。
236 :235:02/11/11 11:18 ID:dbeMjuuU
XP → XTの間違いでした。
237 :ns:02/11/11 18:16 ID:x8Z6W42Q
>ネットワークアドレス(aaa.bbb.ccc.0/29のaaa.bbb.ccc.0)で通信ができています
私もそうです。Netscreen50+フレッツ固定IP8です。もう4ヶ月程経過してますが。
問題ないようです。「繋がっているなら、そのまま使っていい」ってサポートは
言ってましたが...
私もそうです。Netscreen50+フレッツ固定IP8です。もう4ヶ月程経過してますが。
問題ないようです。「繋がっているなら、そのまま使っていい」ってサポートは
言ってましたが...
238 :233ではございませんが:02/11/18 22:41 ID:iHCrc3pU
ちなみに自分の環境ではUntrustにふられるネットワークアドレスを
VPNのRemoteGWに指定してますが、特に問題なさげ。
激しく気持ち悪いが、Ciscoルータみたいにループバックアドレスを
持たせてRemoteGWにできるわけでもなし、上流 o r プロバイダが
うまくやってくれることを祈るのココロ。
VPNのRemoteGWに指定してますが、特に問題なさげ。
激しく気持ち悪いが、Ciscoルータみたいにループバックアドレスを
持たせてRemoteGWにできるわけでもなし、上流 o r プロバイダが
うまくやってくれることを祈るのココロ。
>238
PPPoEのIP8orIP16サービスでは必ずNetworkアドレスが設定されます。
みなさん気持ち悪がっているようですが、これは仕様なんで問題ないですよ。
(^^;
PPPoEのIP8orIP16サービスでは必ずNetworkアドレスが設定されます。
みなさん気持ち悪がっているようですが、これは仕様なんで問題ないですよ。
(^^;
240 : :02/11/22 13:44 ID:???
>>239
PPPと機器の仕様の問題ですから、サービスは関係ないでしょう
PPPのUnnumberedの仕様では対向とネゴシエーションするときに何らかのIPアドレスを渡して、
対向はそのIPアドレスにに対するホストルーティングを持つことで
Unumberd上でのルーティングプロトコルの稼動を可能にしています。
このとき、一般的には存在するInterfaceにBindしなければならないので
普通の認識からはTrustのIPと同じになるんじゃないのと考えるのは当然です。
要は、ルーティングプロトコルのSrcアドレスがこのIPになるはずなので、
対向が変な解釈をしてしまわないかということです。
対向機器によってはダイナミックルーティングが動いたときに
誤動作しないのかと考えるのは普通だと思いますよ。
PPPと機器の仕様の問題ですから、サービスは関係ないでしょう
PPPのUnnumberedの仕様では対向とネゴシエーションするときに何らかのIPアドレスを渡して、
対向はそのIPアドレスにに対するホストルーティングを持つことで
Unumberd上でのルーティングプロトコルの稼動を可能にしています。
このとき、一般的には存在するInterfaceにBindしなければならないので
普通の認識からはTrustのIPと同じになるんじゃないのと考えるのは当然です。
要は、ルーティングプロトコルのSrcアドレスがこのIPになるはずなので、
対向が変な解釈をしてしまわないかということです。
対向機器によってはダイナミックルーティングが動いたときに
誤動作しないのかと考えるのは普通だと思いますよ。
241 :mhit:02/11/25 11:13 ID:iXlhRiiE
Netscreen-25で、B-Flets&Unnumberdするには
現在導入しているScreenOS3.0.3r5.1では無理なのでしょうか?
やはり4系のScreenOSでないとダメでしょうか?
コンフィグのお手本を見せて頂けると参考になるのでづが・・・
現在導入しているScreenOS3.0.3r5.1では無理なのでしょうか?
やはり4系のScreenOSでないとダメでしょうか?
コンフィグのお手本を見せて頂けると参考になるのでづが・・・
242 : :02/11/25 12:47 ID:???
243 :mhit:02/11/26 16:33 ID:p3inN1Iu
>>242
B-Flets&OCN IP16で試してみました。
Operation ModeをNATモードで、UnTrust側にネットワークアドレスが
割り当てられてTrust側からInternetに出て行くことは成功したのですが、
DMZにISPからはき出されたアドレスを割り当てることが出来ないんです・・
なんでだろうぅ。
B-Flets&OCN IP16で試してみました。
Operation ModeをNATモードで、UnTrust側にネットワークアドレスが
割り当てられてTrust側からInternetに出て行くことは成功したのですが、
DMZにISPからはき出されたアドレスを割り当てることが出来ないんです・・
なんでだろうぅ。
244 :?:02/11/26 19:34 ID:gU9ZNg6y
>>243
ISPからはきだされたっていうのはTRUSTと同じアドレスってことですか?
だとしたら振ることはできません
ROUTE/NATモードで、TRUST-DMZ間だけブリッジっていう設定はできないので、
ローカルIPにしてNATするしかないです。
ISPからはきだされたっていうのはTRUSTと同じアドレスってことですか?
だとしたら振ることはできません
ROUTE/NATモードで、TRUST-DMZ間だけブリッジっていう設定はできないので、
ローカルIPにしてNATするしかないです。
245 :mhit:02/11/26 20:09 ID:p3inN1Iu
いえ、TRUSTのIPは192.168.1.0/24でNATしております。
UnTrust側にPPPoEで取得した16IPをDMZ側に設定したかったんです。
NTT--ONU--NS25(UnTrust:xxx.yyy.zzz.128/29)--DMZ(xxx.yyy.zzz.129-142/29)
|
|---Trust(192.168.1.0/24)
試してて気づいたんですが、なんだかScreenOSのバージョンごとに
PPPoEで取得したUnTrust側のサブネットマスクが違う・・・
4.0.1.r1 255.255.255.255
3.0.3.r3.1 0.0.0.0
3.0.3.r5 255.255.255.240
んぁ〜?
本家の3.0.3.r5に書き換えたら行けるっぽい・・・???
ヘタレなりに実験中・・・
UnTrust側にPPPoEで取得した16IPをDMZ側に設定したかったんです。
NTT--ONU--NS25(UnTrust:xxx.yyy.zzz.128/29)--DMZ(xxx.yyy.zzz.129-142/29)
|
|---Trust(192.168.1.0/24)
試してて気づいたんですが、なんだかScreenOSのバージョンごとに
PPPoEで取得したUnTrust側のサブネットマスクが違う・・・
4.0.1.r1 255.255.255.255
3.0.3.r3.1 0.0.0.0
3.0.3.r5 255.255.255.240
んぁ〜?
本家の3.0.3.r5に書き換えたら行けるっぽい・・・???
ヘタレなりに実験中・・・
246 :mhit:02/11/26 20:11 ID:p3inN1Iu
あう・・・図がヅレているづら・・・
247 :mhit:02/11/26 20:29 ID:p3inN1Iu
自己完結しました・・・お騒がせしました・・・
日立で落とせる3.0.3r3だとダメだったのに本家だとOKでした・・・
謎・・・
日立で落とせる3.0.3r3だとダメだったのに本家だとOKでした・・・
謎・・・
248 :take:02/11/26 23:20 ID:QzZFnKIe
>245
4.0.1ってもう出たんですか?
まだ4.0.0だと思ってたんですが。。。
PPPoEで取得したUnturstのサブネットが違う件ですが、
プロバイダによって、0マスクだったりするらしいですよ〜
4.0.1ってもう出たんですか?
まだ4.0.0だと思ってたんですが。。。
PPPoEで取得したUnturstのサブネットが違う件ですが、
プロバイダによって、0マスクだったりするらしいですよ〜
249 :mhit:02/11/27 02:25 ID:JsHUL346
>>248
当方NS25ですが、米国本社にあがってますた。
当方NS25ですが、米国本社にあがってますた。
250 :Netscrrener:02/11/28 01:40 ID:???
>249
4.0.1.R1はNS-5xp/5xt/25/50/200/500/をダウンロードしたよん
5xpは今ランニングテスト中です。
今のところ、特に問題ないです。
4.0.1.R1はNS-5xp/5xt/25/50/200/500/をダウンロードしたよん
5xpは今ランニングテスト中です。
今のところ、特に問題ないです。
厨房な質問ですみません。
NS204(3.1.7)を使っているのですが、windowsupdateにアクセスできません。
ActiveXを弾いているのかと思い、component-blockのチェックを外したのですが、
アクセスできません。
対処法をご存知の方、ご教授よろしくお願いします。
NS204(3.1.7)を使っているのですが、windowsupdateにアクセスできません。
ActiveXを弾いているのかと思い、component-blockのチェックを外したのですが、
アクセスできません。
対処法をご存知の方、ご教授よろしくお願いします。
>251
> NS204(3.1.7)を使っているのですが、windowsupdateにアクセスできません
多分3.1.0r7ですよね。
回線はPPPoEですか、どういった回線なんでしょうか?
Eventログに何かでていませんか?
これだけでは、原因はあんまりわかりませんが、とりあえず、
mssの値を変更してみましょう。
> NS204(3.1.7)を使っているのですが、windowsupdateにアクセスできません
多分3.1.0r7ですよね。
回線はPPPoEですか、どういった回線なんでしょうか?
Eventログに何かでていませんか?
これだけでは、原因はあんまりわかりませんが、とりあえず、
mssの値を変更してみましょう。
>>252
>多分3.1.0r7ですよね。
すみません。多分それです。
回線はIPRの100Mbpsです。
ちなみにIPRの回線は
光→OEコンバータ→L2→L3→NS204
と、いう感じです。IPRの管轄はL2までです。
とりあえず、月曜日にEventログをチェックしてみます。
>多分3.1.0r7ですよね。
すみません。多分それです。
回線はIPRの100Mbpsです。
ちなみにIPRの回線は
光→OEコンバータ→L2→L3→NS204
と、いう感じです。IPRの管轄はL2までです。
とりあえず、月曜日にEventログをチェックしてみます。
254 : :02/12/01 01:05 ID:???
複数台以上つかってInternetVPN環境構築している人いる?
どんなシリーズのどんなScreenOSでも、IKEが5日に一回バグ起こさない?
どんなシリーズのどんなScreenOSでも、IKEが5日に一回バグ起こさない?
255 :6台使ってる:02/12/02 12:24 ID:99aZpHGW
>254
バグってどんな現象?詳細希望
バグってどんな現象?詳細希望
>253
IPRの回線ですか、L3にアライドの8624を使ってるとこが多い
ですね。
私もIPRの回線に接続したことはりますが、普通に設定すれば問題ない
と思います。
L3には何をお使いでしょうか?
IPRの回線ですか、L3にアライドの8624を使ってるとこが多い
ですね。
私もIPRの回線に接続したことはりますが、普通に設定すれば問題ない
と思います。
L3には何をお使いでしょうか?
>>256
L3はアライドの8624です。
8624もNS204も普通に設定しているのですが…。
おっと、NS204はちょっと特殊なことをしています。
色々事情があり、Eth4にTrustがもう一つあります。
# ちょっとバタバタしていたので、今日はEventログを見ていません。
L3はアライドの8624です。
8624もNS204も普通に設定しているのですが…。
おっと、NS204はちょっと特殊なことをしています。
色々事情があり、Eth4にTrustがもう一つあります。
# ちょっとバタバタしていたので、今日はEventログを見ていません。
258 :254@某商社の情報システム委員なんだけどさ:02/12/02 22:45 ID:???
>>255
営業所の人から、サーバに繋がんないって頻繁に電話かかってきて、確かにPing飛ばないんだわ。
Netscreen調べてみると、確かに、
Received Bad SPI とか Phase2 IKE negotiation failed とか IKE invalid buffer over run(Reason Unknow)
わけのわからん log event 吐き出しとるんだわ。
設定は超あってるのに。
んで、Netscreenを再起動すると直る。わけわからん。
営業所の人から、サーバに繋がんないって頻繁に電話かかってきて、確かにPing飛ばないんだわ。
Netscreen調べてみると、確かに、
Received Bad SPI とか Phase2 IKE negotiation failed とか IKE invalid buffer over run(Reason Unknow)
わけのわからん log event 吐き出しとるんだわ。
設定は超あってるのに。
んで、Netscreenを再起動すると直る。わけわからん。
259 :○anonymous:02/12/02 23:09 ID:???
>258
Lifetimeを短くしてみてください。
センターにだけ、VPN tunnelが残っているとかいった状態になっているかと
思います。
Lifetimeを短くすれば、その時間経てば復旧すると思います。
#ファームをVUPすればVPN Reconnect機能を使うことで
#問題解決できると思います
Lifetimeを短くしてみてください。
センターにだけ、VPN tunnelが残っているとかいった状態になっているかと
思います。
Lifetimeを短くすれば、その時間経てば復旧すると思います。
#ファームをVUPすればVPN Reconnect機能を使うことで
#問題解決できると思います
260 :254@某商社の情報システム委員なんだけどさ:02/12/03 00:33 ID:???
261 :○anonymous:02/12/03 09:00 ID:???
>260
VPNのP1,P2をデフォルトオブジェクトじゃなく新規で
作成して設定してください
WebUIで出来ます。。
VPNのP1,P2をデフォルトオブジェクトじゃなく新規で
作成して設定してください
WebUIで出来ます。。
>260
それは別にして、「短く」しないといけないのに
「長くする方法は」というのは、、(笑)といった突込みが、同僚からあったよ。(笑)
それは別にして、「短く」しないといけないのに
「長くする方法は」というのは、、(笑)といった突込みが、同僚からあったよ。(笑)
263 :念のため:02/12/03 10:44 ID:dhGjSsJ7
>某商社の情報システム委員なんだけどさ
まさかと思うけど。。。PPPoEのセッションがアイドルタイムアウトで切れて無い?
ところで回線はADSL?
まさかと思うけど。。。PPPoEのセッションがアイドルタイムアウトで切れて無い?
ところで回線はADSL?
264 :Netscreener:02/12/03 11:24 ID:???
>263 >某商社の情報システム委員なんだけどさ
ADSLの場合、念のためPPPoEの再接続コマンド
"set pppoe auto-connect [sec]" [sec]には秒数を指定
これはWebUIから設定できないので設定した覚えが無かったらコマンドで設定してね。
多分Bad SPIとかのエラー出てるから"○anonymous"さんの言うほうが正解と思うけど
PPPoEのセッションが切れてる場合もそういった現象が起こる場合もあるのでPPPoEを
使う回線の場合はこの設定しないといけない。
ADSLの場合、念のためPPPoEの再接続コマンド
"set pppoe auto-connect [sec]" [sec]には秒数を指定
これはWebUIから設定できないので設定した覚えが無かったらコマンドで設定してね。
多分Bad SPIとかのエラー出てるから"○anonymous"さんの言うほうが正解と思うけど
PPPoEのセッションが切れてる場合もそういった現象が起こる場合もあるのでPPPoEを
使う回線の場合はこの設定しないといけない。
265 :念のため:02/12/03 11:32 ID:dhGjSsJ7
ついでに
set pppoe idle-interval 0
save
でアイドルタイムアウトは防げるのでこれも設定しときましょう
set pppoe idle-interval 0
save
でアイドルタイムアウトは防げるのでこれも設定しときましょう
Netscreenにアラート情報が上がってました。
http://www.netscreen.com/support/alerts/Predictable_TCP_Initial_Sequence_Numbers.html
http://www.netscreen.com/support/alerts/malicious_URL.html
これってやばいんでないの?
267 : :02/12/03 20:53 ID:fvg6o3Nk
>>266
Malicious-URLの問題に当たるような場合はめったにないと思うから、
ほとんどの人は関係ないとおもわれ
あと、ISNも、Netscreen自体がUnirust側の通信にISNを発行する場合がなければ、
放置でいいとおもわれ
まあ、対象者はあんまり多くないじゃない?
ところで、SYN-flood時の代理応答のISNはどうんんだろ?
だれかベンダに聞いてくれ
Malicious-URLの問題に当たるような場合はめったにないと思うから、
ほとんどの人は関係ないとおもわれ
あと、ISNも、Netscreen自体がUnirust側の通信にISNを発行する場合がなければ、
放置でいいとおもわれ
まあ、対象者はあんまり多くないじゃない?
ところで、SYN-flood時の代理応答のISNはどうんんだろ?
だれかベンダに聞いてくれ
NS204でwindowsupdateに接続できない件の続きです。
今日もドタバタしていたので、NSの設定を見直しはしていないのですが、
Trust側のDeleGateを通してwindowsupdateにアクセスすると接続できました。
でもプロキシの設定を外すと接続できない・・・。
わけわかんないです(汗
今日もドタバタしていたので、NSの設定を見直しはしていないのですが、
Trust側のDeleGateを通してwindowsupdateにアクセスすると接続できました。
でもプロキシの設定を外すと接続できない・・・。
わけわかんないです(汗
269 :○anonymous:02/12/03 23:23 ID:???
>268
端末のDefault GW設定がされていないとか、間違ってるとか
してない??
DHCP取得にして、router設定してないポカする
駄目駄目SE多いから
端末のDefault GW設定がされていないとか、間違ってるとか
してない??
DHCP取得にして、router設定してないポカする
駄目駄目SE多いから
>>269
>端末のDefault GW設定がされていないとか、間違ってるとか
>してない??
他のサイトへは接続できているので、それは無いです。
あと、DeleGateが入っているのは自分の端末なので、その辺の設定に
間違いは無いはずです。
他の端末でも現象は同じです。
どういうわけか、windowsupdateだけこの現象が発生しています。
>端末のDefault GW設定がされていないとか、間違ってるとか
>してない??
他のサイトへは接続できているので、それは無いです。
あと、DeleGateが入っているのは自分の端末なので、その辺の設定に
間違いは無いはずです。
他の端末でも現象は同じです。
どういうわけか、windowsupdateだけこの現象が発生しています。
271 :NS使い:02/12/04 00:07 ID:nsUrFi8s
DeleGateの設定では?良くある話。以前どこかで経験済み。。。
NSの場合は。
IDSの機能を調整。いろいろあるよね。
コマンド
set flow ***系。
この掲示板のみなさまも、このコマンドを理解すること。
以上。
NSの場合は。
IDSの機能を調整。いろいろあるよね。
コマンド
set flow ***系。
この掲示板のみなさまも、このコマンドを理解すること。
以上。
>>267
SYN-Proxyの時はISNなんて全くチェックしてないはず
少なくとも2.6.1r8では全部ISNを1で投げてもご苦労なことにProxyしてましたよ
っていうか、いまさら"ISNは予測できます"なんていわれても、、、
NetScreenからでるAlertって遅い上にいつもどっかずれてますね
>>270
夏ごろ、特定のバランサを使ったWebサイトとの通信が
ほとんど失敗するっていう現象がありました。
SYNに対してSYN-Bitの立ってないACKが返ってくるという現象です。
そのときはさんざんキャプチャとって解析しましたが、
肝心のNSのDebugがScreenOSのバグでまともに動かず、
DebugのためにわざわざOSをあげたんですが、
OSをあげたら現象も直ってしまいました。
結局、原因は分からずじまいです(W
似たような現象かもしれませんね
>>271
delegate使わないと繋がらないっていうんだからdelegateは全然関係ないのでは?
set flowがはIDSの設定ではありません
MSSはこの場合には関係あるかもしれませんけどね
SYN-Proxyの時はISNなんて全くチェックしてないはず
少なくとも2.6.1r8では全部ISNを1で投げてもご苦労なことにProxyしてましたよ
っていうか、いまさら"ISNは予測できます"なんていわれても、、、
NetScreenからでるAlertって遅い上にいつもどっかずれてますね
>>270
夏ごろ、特定のバランサを使ったWebサイトとの通信が
ほとんど失敗するっていう現象がありました。
SYNに対してSYN-Bitの立ってないACKが返ってくるという現象です。
そのときはさんざんキャプチャとって解析しましたが、
肝心のNSのDebugがScreenOSのバグでまともに動かず、
DebugのためにわざわざOSをあげたんですが、
OSをあげたら現象も直ってしまいました。
結局、原因は分からずじまいです(W
似たような現象かもしれませんね
>>271
delegate使わないと繋がらないっていうんだからdelegateは全然関係ないのでは?
set flowがはIDSの設定ではありません
MSSはこの場合には関係あるかもしれませんけどね
>268
ちなみにScreenOSのVersionは何を使っています?
ちなみにScreenOSのVersionは何を使っています?
274 :Netscreener:02/12/04 16:17 ID:???
ScreenOS4.0.0r8が出たみたいですね。
NetScreenってVoIPできますか。
>275
VoIPはできません。
VoIPはできません。
277 : :02/12/04 19:37 ID:???
278 : :02/12/04 19:51 ID:DnKOr71z
>>277
逆に、バージョンがどんどん上がった方が、爆弾かかえてそうでこわい
逆に、バージョンがどんどん上がった方が、爆弾かかえてそうでこわい
279 : :02/12/04 22:22 ID:???
x
280 :254@某商社の情報システム委員なんだけどさ:02/12/05 00:36 ID:???
>>261-264
情報ありがとーございます。
ちなみに、本社はBフレッツベーシック、営業所だの、支店だのはフレッツADSLで引いてます。
本社はNetscreen25のOSは3.0.1・・正確には思い出せないっス。
PPPoEのオートコネクト設定は、ベンダーさんから、60秒を推奨されたんだけど、0のいいのかな?
>>276
うちは、IP電話もNetscreen通過させてるけど、これってVoIPとはいわないの?
情報ありがとーございます。
ちなみに、本社はBフレッツベーシック、営業所だの、支店だのはフレッツADSLで引いてます。
本社はNetscreen25のOSは3.0.1・・正確には思い出せないっス。
PPPoEのオートコネクト設定は、ベンダーさんから、60秒を推奨されたんだけど、0のいいのかな?
>>276
うちは、IP電話もNetscreen通過させてるけど、これってVoIPとはいわないの?
281 : :02/12/05 00:44 ID:???
282 :254@某商社の情報システム委員なんだけどさ :02/12/05 00:55 ID:YrGS+Sv8
>>281
「終端する」ってどういうこと? Netscreen自体に直接電話を繋げるってこと?
「終端する」ってどういうこと? Netscreen自体に直接電話を繋げるってこと?
>>276
やってるけど
やってるけど
284 :anonymous@ 219.99.176.121:02/12/05 13:50 ID:???
NS-500 V4 NSRP組んだ時って、IPアドレスだけ引き継ぐだけにしたいんだけど、MACアドレス引き継がないように出来ないの?
285 :☆☆☆☆☆:02/12/05 15:20 ID:HHwgyuqd
>284
どういう状況だとMAC引き継ぐとこまるの?
というか、MAC引き継がなくても困らない状況ってどんな状況?
どういう状況だとMAC引き継ぐとこまるの?
というか、MAC引き継がなくても困らない状況ってどんな状況?
287 :○anonymous:02/12/05 16:16 ID:???
>286
MACを引き継がないから、トラブったことは多いけど。。。
HP-UX/BIG-IP/LinkProof/FireProof、、、、
Stateful ICMP Inspectionの馬鹿野郎>FW-1 NG
MACを引き継がないから、トラブったことは多いけど。。。
HP-UX/BIG-IP/LinkProof/FireProof、、、、
Stateful ICMP Inspectionの馬鹿野郎>FW-1 NG
>>287
普通はそうだよな
腐れたHAアプリにありがちなように、
切替り時にやみくもにARPとばす実装があるなら
"絶対に必要というわけでもないかもしれない"
という状況はあるかも知れんけど、
MACを引き継ぐと困る状況って、
L2のFirewall向けのMACテーブルがスタティックで
L2の経路を全部ARPだけできめてるような状況しかありえんと思うんだが
普通はそうだよな
腐れたHAアプリにありがちなように、
切替り時にやみくもにARPとばす実装があるなら
"絶対に必要というわけでもないかもしれない"
という状況はあるかも知れんけど、
MACを引き継ぐと困る状況って、
L2のFirewall向けのMACテーブルがスタティックで
L2の経路を全部ARPだけできめてるような状況しかありえんと思うんだが
289 :○anonymous 287:02/12/05 18:35 ID:???
>288
> 腐れたHAアプリにありがちなように、
> 切替り時にやみくもにARPとばす実装があるなら
ARP飛ばして、ARP情報は更新されてるのに、
セッションテーブルとかには反映されないから
組み合わせると、涙なのだ。。
> 腐れたHAアプリにありがちなように、
> 切替り時にやみくもにARPとばす実装があるなら
ARP飛ばして、ARP情報は更新されてるのに、
セッションテーブルとかには反映されないから
組み合わせると、涙なのだ。。
>>289
ハード処理のLBとかがあると、MACキャッシュするんでARPだけじゃだめだね
あと、出力ポートまでセッションテーブルに入る機器だと障害箇所によっては
何をやっても既存セッションはどうしようもないっていう状況はあるね
ハード処理のLBとかがあると、MACキャッシュするんでARPだけじゃだめだね
あと、出力ポートまでセッションテーブルに入る機器だと障害箇所によっては
何をやっても既存セッションはどうしようもないっていう状況はあるね
>>282
普通にVoIPのエンドになるという意味でしょ
そりゃ、カプセルされたIPパケットはどんな機器でも使えるって
そうでなきゃカプセルする意味が無い
既存のIPバックボーンにのせるためにカプセルしてるんだら
普通にVoIPのエンドになるという意味でしょ
そりゃ、カプセルされたIPパケットはどんな機器でも使えるって
そうでなきゃカプセルする意味が無い
既存のIPバックボーンにのせるためにカプセルしてるんだら
292 :anonymous@ 2.110.232.202.xf.2iij.net:02/12/06 12:08 ID:hVuWCB0Z
NetScreen RemoteクライアントのActivate/Deactivateをどうしても
コマンドラインから(GUIを使わず)に切り替えたいのです。
Windows Scriptで無理やりPolicy Editorを制御すれば出来ない
こともないのですが、Policy Editorのキーボードショートカット機能
が猛烈にバギーなので(キー押しのタイミングによっては死にます)
安定しません。なんとかコマンドラインで切り替える方法ありますか。
コマンドラインから(GUIを使わず)に切り替えたいのです。
Windows Scriptで無理やりPolicy Editorを制御すれば出来ない
こともないのですが、Policy Editorのキーボードショートカット機能
が猛烈にバギーなので(キー押しのタイミングによっては死にます)
安定しません。なんとかコマンドラインで切り替える方法ありますか。
293 :nsrp:02/12/06 13:24 ID:aepEUNa3
294 :Netscreener:02/12/06 13:33 ID:???
>293
4.0.0r4のIssues Addressedに下記情報があります。
22564 - When a PPPoE session was closed by the DSL Access Concentrator,
auto-connect did not reconnect.
4.0.0r4のIssues Addressedに下記情報があります。
22564 - When a PPPoE session was closed by the DSL Access Concentrator,
auto-connect did not reconnect.
どれぐらいの人が使ってるんでしょうか?最近結構売れてるような噂を
聞きますが
聞きますが
296 :anonymous@ z29.218-225-146.ppp.wakwak.ne.jp:02/12/07 22:32 ID:???
失敗(汗)
ところで、100のDMZ Port使ってHartBeatしている人っているのかなぁ??
一応はこの予定で100にしたんだけど、プロジェクト途中での予算大幅削減で
スタンドアロン利用になったという悲しいオチが有るんだ。
ところで、100のDMZ Port使ってHartBeatしている人っているのかなぁ??
一応はこの予定で100にしたんだけど、プロジェクト途中での予算大幅削減で
スタンドアロン利用になったという悲しいオチが有るんだ。
298 :資格:02/12/08 00:17 ID:Km06eMOe
299 :anonymous@ 3dd70399.speednet.ne.jp:02/12/08 00:49 ID:rRfPW0oO
>>296
黒は古いよ。ある意味レアよ。
>>298
もちろん英語^^;
一問一答形式で100問以上を約1時間で答えていくもの。
NSのサイトに繋いで試験管が特殊なパスワードを入れると
試験スタート。出題される順番が一人一人で異なるから
カンニング出来ない仕組み。
黒は古いよ。ある意味レアよ。
>>298
もちろん英語^^;
一問一答形式で100問以上を約1時間で答えていくもの。
NSのサイトに繋いで試験管が特殊なパスワードを入れると
試験スタート。出題される順番が一人一人で異なるから
カンニング出来ない仕組み。
>295
うちの会社では多分上半期で200台以上売れてると思う。(私の知ってる限りだけど)
そのうちNS-500は10台ぐらい売り飛ばしたかな?
うちの会社では多分上半期で200台以上売れてると思う。(私の知ってる限りだけど)
そのうちNS-500は10台ぐらい売り飛ばしたかな?
>>300
>OS古くないですか
いや、確かに古いのは承知しているんですけどね。
さすがにハウジングに突っ込んであって稼働しっぱなしって状態だと
Reboot/差し替えが困難なもんで :-)
ちなみに、今はHA未使用です。
>OS古くないですか
いや、確かに古いのは承知しているんですけどね。
さすがにハウジングに突っ込んであって稼働しっぱなしって状態だと
Reboot/差し替えが困難なもんで :-)
ちなみに、今はHA未使用です。
>302
で、セキュリティホールのあるサイトが量産される、、というわけですね。藁
で、セキュリティホールのあるサイトが量産される、、というわけですね。藁
304 : :02/12/09 23:39 ID:???
>>303
NSは他の箱ものFirewallと比べるとセキュリティホールは少ない方ですよ
リモートからどうこうって言うのはほとんどない
(Firewallなんだから当り前といえばそれまでですけど)
ただ、普通に動いてて止まるとか、
HAが切り替わらないとか、逆に脈絡なく切り替わるとか
セキュリティ以前のバグがやたらと多いだけですよ(W
NSは他の箱ものFirewallと比べるとセキュリティホールは少ない方ですよ
リモートからどうこうって言うのはほとんどない
(Firewallなんだから当り前といえばそれまでですけど)
ただ、普通に動いてて止まるとか、
HAが切り替わらないとか、逆に脈絡なく切り替わるとか
セキュリティ以前のバグがやたらと多いだけですよ(W
この板はIDでる上にIPさらしアゲかよ。
しかもFWの話題だというのに。しゃれになってないな。
しかもFWの話題だというのに。しゃれになってないな。
どなたかネットスクリーンと↓との統合についておしえてケロ(はぁと)
http://www.ntt.com/release/2002NEWS/0011/1106_3.html
http://www.ntt.com/release/2002NEWS/0011/1106_3.html
309 :anonymous@ p5012-ipad03funabasi.chiba.ocn.ne.jp:02/12/13 14:53 ID:ag/wPbXq
NetScreenの言うIPSecでのNAT Traversalって、
UPnP対応ブロードバンドルータの言うNAT Traversalとは別物?
NetScreen-Remote5.0(private address) - ADSLルータ(NAT) --- 5XP(ScreenOS3.0.3r5、固定globalIP)で
Dialup-VPN接続は難なくできているんだけど、
Remote7.0以降のNAT Traversal機能があればどうなるの?
>>138 の言う複数接続?
UPnP対応ブロードバンドルータの言うNAT Traversalとは別物?
NetScreen-Remote5.0(private address) - ADSLルータ(NAT) --- 5XP(ScreenOS3.0.3r5、固定globalIP)で
Dialup-VPN接続は難なくできているんだけど、
Remote7.0以降のNAT Traversal機能があればどうなるの?
>>138 の言う複数接続?
5XTの4.0.0DIALr2がリリースされてました。
312 :anonymous@ 218.44.242.208:02/12/19 12:12 ID:SximRv2N
インターネットVPNの構築をNetscreenで提案受けてるんだけど、
YANAHAのRTXとかアライドのAR410とか古川のFAITELNETとかIPSecが
できてNetscreenより安いルータっていっぱいありますよね?
NetscreenのようないわゆるVPN機器と、上記のようなルータって
VPNするときに、どのへんに違いがあるんだろう?
YANAHAのRTXとかアライドのAR410とか古川のFAITELNETとかIPSecが
できてNetscreenより安いルータっていっぱいありますよね?
NetscreenのようないわゆるVPN機器と、上記のようなルータって
VPNするときに、どのへんに違いがあるんだろう?
313 : :02/12/19 12:27 ID:???
>313
同感。
ただ、バグフィックスも早いことは認めてあげる。
(エンバグすることも多いが)
同感。
ただ、バグフィックスも早いことは認めてあげる。
(エンバグすることも多いが)
315 : ◆zQIsq9aZHo :02/12/19 21:02 ID:???
>NetscreenのようないわゆるVPN機器と
NetscreenはFW+VPN統合機。ルータ型は一般的に低価格低パフォーマンスらしい。
どちらがいいかは、予算と要件の兼ね合い。
ルータ型だったらFWを別に置くんだよね?結構設定とか面倒じゃないのかな?
経験者います?
NetscreenはFW+VPN統合機。ルータ型は一般的に低価格低パフォーマンスらしい。
どちらがいいかは、予算と要件の兼ね合い。
ルータ型だったらFWを別に置くんだよね?結構設定とか面倒じゃないのかな?
経験者います?
>315
そこまでお金削る場合は、おかないよ。
内部のFW機能使う
そこまでお金削る場合は、おかないよ。
内部のFW機能使う
317 :__:02/12/20 18:41 ID:iTX7B0wh
>>312
NS,YAMAHAはバグ多し
ファームの入れ替えが多いので運用に注意
アライド、古河はまだ安定してるほうだがスループットが出ない
ファイヤヲールはどれ使ってもおんなじだな
YAMAHA以外は
NS,YAMAHAはバグ多し
ファームの入れ替えが多いので運用に注意
アライド、古河はまだ安定してるほうだがスループットが出ない
ファイヤヲールはどれ使ってもおんなじだな
YAMAHA以外は
318 : :02/12/20 19:00 ID:???
NSはちょっと気の利いたことをやろうとすると、まず間違いなくバグか機能制限にかかります。
Trust-Untrust間のNAT+Firewall装置と割り切れば最強のコストパフォーマンスを出します。
1000万円で5000cps/20万sessionを処理できる
冗長Firewallを組むとしたら、NS以外にはありえないでしょう
Trust-Untrust間のNAT+Firewall装置と割り切れば最強のコストパフォーマンスを出します。
1000万円で5000cps/20万sessionを処理できる
冗長Firewallを組むとしたら、NS以外にはありえないでしょう
Feedback入れると次のパッチで対応してくれたりする。
320 :あひゃひゃ:02/12/22 05:19 ID:FgHGBYOs
Ver3.0.3r5って、PPPoEでグローバルIPアドレス引っ張ってくるとき、
24ビットマスクで引っ張ってくるようになった。 なんかキモい。
24ビットマスクで引っ張ってくるようになった。 なんかキモい。
FilteringとNATしかせず、それ以上、専用機である意味がわからないなら
NSに限らずそもそもFirewall製品すらいらないかと思われ。
NSに限らずそもそもFirewall製品すらいらないかと思われ。
322 :bloom:02/12/22 08:46 ID:nXi4CaCZ
323 : :02/12/22 10:03 ID:???
324 :anonymous@ 61.115.229.3:02/12/26 18:07 ID:4jnBu/3t
誰かNetscreen 5XPをダイヤルアップ環境で使っている猛者はいないか?
325 :onanymous:02/12/26 18:36 ID:mpnBT1qa
unnumbered IP1同士でVPN構築は可能ですか?
326 :anonymous@ 219.166.102.112:02/12/26 19:53 ID:???
>325
できます
できます
328 : ◆JeYFCvvdow :02/12/27 22:54 ID:???
>>318
>NSはちょっと気の利いたことをやろうとすると、まず間違いなくバグか機能制限にかかります。
やや同意です。
気の利いたことと言えないかもしれませんが、NS204の3.1.0r7でEth4にTRUSTを割り当て、
SNMP Trapを飛ばすと、AgentAddressがインターフェースのIPaddressとは全く異なる、
'128.**.**.**'(**部分は失念)となってManagerに飛んで来ました。
この件でとりあえず、NSのサポートセンターに問い合わせたところ、3.1.0r9以上だと
この現象は起きないとのことでした。
ちなみに、Eth1のTRUSTからSNMP Trapを飛ばすと正常に動作します。(ま、当然ですが
# NSのサポートセンターの人はWANという人でした。
思わず、「ネタだろ?」と、疑ってしまいました。
>NSはちょっと気の利いたことをやろうとすると、まず間違いなくバグか機能制限にかかります。
やや同意です。
気の利いたことと言えないかもしれませんが、NS204の3.1.0r7でEth4にTRUSTを割り当て、
SNMP Trapを飛ばすと、AgentAddressがインターフェースのIPaddressとは全く異なる、
'128.**.**.**'(**部分は失念)となってManagerに飛んで来ました。
この件でとりあえず、NSのサポートセンターに問い合わせたところ、3.1.0r9以上だと
この現象は起きないとのことでした。
ちなみに、Eth1のTRUSTからSNMP Trapを飛ばすと正常に動作します。(ま、当然ですが
# NSのサポートセンターの人はWANという人でした。
思わず、「ネタだろ?」と、疑ってしまいました。
329 :だめぽ:02/12/30 21:15 ID:Kitjlihh
もう一週間近く色々いじっているのですが、お手上げです。
VPN環境を構築するつもりで、5XTとRemoteを購入して試しているのですが、
どうにもこうにもつながりません。
クライアントから接続すると
IKE<???.???.???.???> Rejected an initial Phase 1 packet from an unrecognized peer gateway.
とログに出力されて、先に進めません。
OSは3.0.3と4.0.1で試しました。4についているWizardsとかいう機能も
使ってみましたが、結果は同じでした。
何かpolicy当たりに設定必要なんでしょうか?
現状はUntrust からTrustに向けてDial-Up VPN -> Any が
TrustからUntrustには Any -> Anyが設定してあります。
VPN環境を構築するつもりで、5XTとRemoteを購入して試しているのですが、
どうにもこうにもつながりません。
クライアントから接続すると
IKE<???.???.???.???> Rejected an initial Phase 1 packet from an unrecognized peer gateway.
とログに出力されて、先に進めません。
OSは3.0.3と4.0.1で試しました。4についているWizardsとかいう機能も
使ってみましたが、結果は同じでした。
何かpolicy当たりに設定必要なんでしょうか?
現状はUntrust からTrustに向けてDial-Up VPN -> Any が
TrustからUntrustには Any -> Anyが設定してあります。
330 :ビギナー:02/12/31 00:57 ID:qfnUxRr1
>392
Remote側は動的IP?だとしたらアグレッシブモードになってないんじゃ?
Remote側は動的IP?だとしたらアグレッシブモードになってないんじゃ?
331 :anonymous@ 210-20-118-147.home.ne.jp:02/12/31 13:49 ID:???
うちも最初にいじり始めてからVPN張るまで4日ぐらいかかった。
・5XT、Remoteともアグレッシブモードにする
・ユーザ設定のIKE Identityにはメールアドレスを入力
・フェーズ1はとりあえずpre-g2-3des-sha
RemoteのKey GroupをDiffie-Hellman Group 2にすること
・シリアルケーブルつないでコンソールから
unset console dbuf
debug ike detail
して何が起こってるのか確認
がんばれ
・5XT、Remoteともアグレッシブモードにする
・ユーザ設定のIKE Identityにはメールアドレスを入力
・フェーズ1はとりあえずpre-g2-3des-sha
RemoteのKey GroupをDiffie-Hellman Group 2にすること
・シリアルケーブルつないでコンソールから
unset console dbuf
debug ike detail
して何が起こってるのか確認
がんばれ
332 :NS利用者:03/01/01 23:54 ID:x/JsoKWL
NSRemoteとNetscreenでWindowsドメイン認証をすると、ログオン後「個人情報を設定しています。」
と表示され、10から30分後くらいにログオンできるようになります。どなたかパフォーマンス改善方法をご存知の方いますか?
と表示され、10から30分後くらいにログオンできるようになります。どなたかパフォーマンス改善方法をご存知の方いますか?
333 :anonymous@ shimizu.argus-techno.co.jp:03/01/02 00:46 ID:zgRbNlXe
!
334 :すいません:03/01/02 00:50 ID:zgRbNlXe
↑読んでたら書いちゃいました
名前書かないと出ちゃうんですね
スレ汚しすいません!
名前書かないと出ちゃうんですね
スレ汚しすいません!
>>331
NSはログやデバッグの出力、果てはSNMPトラップにまでバグがあるんで、トラブルシュートが大変です。
他の機器でもよくありますが、高負荷だとログ出さなかったりするし
結局、大量にキャプチャとって解析するしかないんですが、
VPNはキャプチャでの解析が困難なんで、素直にサポートに相談するのが一番早道ですよ
ログが信頼できないんじゃネットワークスキルで解決できる問題じゃ無い
NSはログやデバッグの出力、果てはSNMPトラップにまでバグがあるんで、トラブルシュートが大変です。
他の機器でもよくありますが、高負荷だとログ出さなかったりするし
結局、大量にキャプチャとって解析するしかないんですが、
VPNはキャプチャでの解析が困難なんで、素直にサポートに相談するのが一番早道ですよ
ログが信頼できないんじゃネットワークスキルで解決できる問題じゃ無い
あげ
338 :う:03/01/05 15:56 ID:PYKnDetJ
339 :○anonymous:03/01/06 10:14 ID:???
>338
はじめてで、いきなり5200ですか。
すごいなぁ。(苦笑)
はじめてで、いきなり5200ですか。
すごいなぁ。(苦笑)
340 :のほほん:03/01/08 00:43 ID:p5Mk7sAq
たまにはあげましょ
341 :anonymous@ 218-42-231-5.eonet.ne.jp:03/01/08 13:34 ID:4ceBb63P
フフフ
折れなんか言われたままに取り付けするだけだもんねー
バグがあろうが無かろうが関係ぬ!
それよりもADSL回線の開通がうまく行かない事が多すぎる
N○○しっかりしてくれ・・・
折れなんか言われたままに取り付けするだけだもんねー
バグがあろうが無かろうが関係ぬ!
それよりもADSL回線の開通がうまく行かない事が多すぎる
N○○しっかりしてくれ・・・
342 :○anonymous:03/01/08 15:00 ID:???
>341
蕎麦屋の出前のミカカだもん。言っても無駄。
蕎麦屋の出前のミカカだもん。言っても無駄。
このまえNetscreen社からなんと!
Version4対応の日本語マニュアルをもらいました。
Version4対応の日本語マニュアルをもらいました。
>>343
代理店じゃなくてNetscreen社っすか!?
代理店じゃなくてNetscreen社っすか!?
NSジャパンの社長は一応日本人ですが
スタッフは外人の方が多いようなので
翻訳はやってるようには見えないな
代理店が翻訳したのをNSがくばってたりして
スタッフは外人の方が多いようなので
翻訳はやってるようには見えないな
代理店が翻訳したのをNSがくばってたりして
346 :ああ:03/01/08 19:13 ID:BcXyHYVi
Ver4 日立はまだか....
347 :○anonymous:03/01/09 18:26 ID:???
>343
身元のばれるようなこと書いちゃ駄目だよ。<同僚
身元のばれるようなこと書いちゃ駄目だよ。<同僚
Docunment少ないよなー。日本語がアレげなマニュアルなんて要らないから、
英語でいいから、いろいろな構成事例とそのCONFIG方法ほしいなぁ。
英語でいいから、いろいろな構成事例とそのCONFIG方法ほしいなぁ。
349 :テン:03/01/10 17:30 ID:mJq06w18
低レベルな質問なんですが・・・
NetScreen5XPでの2拠点VPNで一方が動的IPでの接続がうまくいきません。
固定IPでの接続は一応問題なく設定出来るので、固定の場合との相違点を教えて戴けないでしょうか?
かれこれ3日かかってマス・・・どなたかお願いします。
NetScreen5XPでの2拠点VPNで一方が動的IPでの接続がうまくいきません。
固定IPでの接続は一応問題なく設定出来るので、固定の場合との相違点を教えて戴けないでしょうか?
かれこれ3日かかってマス・・・どなたかお願いします。
>346
日立にお願いしてver4のファームをいただいた。何かWEBUIが重い・・・
正式リリースはこれからっていってたけど、日本語化は日立だけがやってる
んじゃないの?
しかしこれからほぼ全機種ver4になるかと思うと鬱
日立にお願いしてver4のファームをいただいた。何かWEBUIが重い・・・
正式リリースはこれからっていってたけど、日本語化は日立だけがやってる
んじゃないの?
しかしこれからほぼ全機種ver4になるかと思うと鬱
351 : :03/01/11 07:09 ID:RX7qykh8
固定の場合はメインモード
動的の場合はアグレッシブモード
だったっけ?
動的の場合はアグレッシブモード
だったっけ?
352 :購入予定者:03/01/11 14:07 ID:/1dXGfDw
房な質問で恐縮ですが、NetScreen5XTでBフレッツを利用の方いらっしゃいましたら
スピード測定サイトでどの程度スループットが出ているか教えて頂けますか?
スピード測定サイトでどの程度スループットが出ているか教えて頂けますか?
353 : :03/01/11 14:10 ID:???
>350
netscreenからの出荷時Versionは既に4.0.0r6になってるよ
netscreenからの出荷時Versionは既に4.0.0r6になってるよ
356 :anonymous@ i014120.ap.plala.or.jp:03/01/12 14:03 ID:qIdSk5tR
357 :anonymous@ m001210.ap.plala.or.jp:03/01/12 14:06 ID:GkTt/q7K
DynamicIPがうまくいかないっす
>350
serialさえあれば、registしなくても、
User Name hoge、Pass serialで、downloadできるよ。
hogeは、何でも良いです
serialさえあれば、registしなくても、
User Name hoge、Pass serialで、downloadできるよ。
hogeは、何でも良いです
>>357
DIPはPolicyベースなので、DIPがonになってるPolicyよりも上の行のPolicyにマッチにすると効きません
あと、DIPとMIPが重複したりしてませんか?
とりあえずどんな設定しましたか?
DIPはPolicyベースなので、DIPがonになってるPolicyよりも上の行のPolicyにマッチにすると効きません
あと、DIPとMIPが重複したりしてませんか?
とりあえずどんな設定しましたか?
360 : :03/01/12 20:30 ID:???
すいません、質問なんですけど
Routeモードで、DMZにMapedIPつかうときって、
IncomingでMIPへのPermitを書いて、さらにToDMZにオブジェクトへのPermitを書く必要があるんでしょうか?
それともToDMZは必要ない?
あと、外に抜けるときはFromDMZだけでOK?
Routeモードで、DMZにMapedIPつかうときって、
IncomingでMIPへのPermitを書いて、さらにToDMZにオブジェクトへのPermitを書く必要があるんでしょうか?
それともToDMZは必要ない?
あと、外に抜けるときはFromDMZだけでOK?
361 :anonymous@ YahooBB218138130019.bbtec.net:03/01/13 16:20 ID:VzGAuUVY
多分皆知ってると思うけど、4.0.0のマニュアルなら無償でダウソ出来るYO。
https://support.nox.co.jp/alluser/download/ScreenOS_4.0_japanese_manual.zip
https://support.nox.co.jp/alluser/download/ScreenOS_4.0_japanese_manual.zip
362 : :03/01/13 18:18 ID:???
363 :_:03/01/13 19:18 ID:+h/0zpa7
364 :テン:03/01/14 18:41 ID:jE+9Mjfo
Netscreenの新ファームがまた出てますね
4.0.2r1ってやつが
367 :○anonymous:03/01/15 15:40 ID:???
>366
開発チーム制だから仕方ないよ。
おかげで、直った筈のバグが復活したりするけど。。
まあ、リビジョンアップが早いのと引き換えかな。
開発チーム制だから仕方ないよ。
おかげで、直った筈のバグが復活したりするけど。。
まあ、リビジョンアップが早いのと引き換えかな。
>364
VPNs > AutoKey Advanced > Gateway > Edit
Dynamic IP Address を選んで Peer ID を設定。
VPNs > AutoKey Advanced > Gateway > Edit
Dynamic IP Address を選んで Peer ID を設定。
(^^)
キャリアでは2.Xすら現役
加えて3が3系統、4が2系統
おまえらCISCOかよと思ってしまうな
加えて3が3系統、4が2系統
おまえらCISCOかよと思ってしまうな
昨日アップしてあった、Version4.0.2r1が今日見たら
削除されていました。
削除されていました。
>371
またバグったんかな。
すぐr2が出そうだね。
このパターンで、4.0.1r5も消えたんだったっけか
またバグったんかな。
すぐr2が出そうだね。
このパターンで、4.0.1r5も消えたんだったっけか
373 :spit:03/01/16 12:29 ID:sPizh2Sh
vpn クライアントって
停止できないの?いつも起動しっぱなしなのが
気に入らない。
停止できないの?いつも起動しっぱなしなのが
気に入らない。
>373
ソフトのメニューぐらい見るべし
PC初心者?
ソフトのメニューぐらい見るべし
PC初心者?
375 :_:03/01/18 10:55 ID:pYW91lQl
セキュリティ部門の長が、突然やめちゃった。
大丈夫かなぁ
377 :のほほん:03/01/20 22:05 ID:eJwhvknm
そろそろV4にしようかな...
378 :NS使い:03/01/20 23:58 ID:EGVlq2SO
>377
やめとけ!
素人が手を出すな。
やめとけ!
素人が手を出すな。
379 :新しいもの好き素人:03/01/21 18:16 ID:JMrq+alu
>やめとけ!
どうして?なにかヤバイ?中身随分変わってるみたいですなぁ。
使ってみたい
どうして?なにかヤバイ?中身随分変わってるみたいですなぁ。
使ってみたい
>379
バグに対処できるスキルがあれば、どうぞ。。
で、その対処方法をageれば、なお良し
バグに対処できるスキルがあれば、どうぞ。。
で、その対処方法をageれば、なお良し
>372
今日4.0.2.r2が出たみたいですね。
今日4.0.2.r2が出たみたいですね。
382 :VPNクライアント:03/01/22 18:15 ID:uONylBw9
本社と支社をNetScreenを利用してインターネットVPN接続するとき、本社側にNetScreen機器を導入し、
支社側は、各端末VPNクライアントでVPN通信を確立したいのですが、支社側のVPNクライアントは、
1台しか接続できないのでしょうか?VPNクライアントで複数台からも同時に接続することは
可能なのでしょうか?支店側は、端末台数が少ないので、VPN機器よりもVPNクライアントで対応したい
と思っています。
支社側は、各端末VPNクライアントでVPN通信を確立したいのですが、支社側のVPNクライアントは、
1台しか接続できないのでしょうか?VPNクライアントで複数台からも同時に接続することは
可能なのでしょうか?支店側は、端末台数が少ないので、VPN機器よりもVPNクライアントで対応したい
と思っています。
>382
ルータに何を使っているかによるよ。。
何か質問内容が、みかかの案件みたい。。
ルータに何を使っているかによるよ。。
何か質問内容が、みかかの案件みたい。。
384 : :03/01/22 20:39 ID:pg8uLSdu
385 :VPNクライアント:03/01/23 14:47 ID:hGM0+nFM
>383
>ルータに何を使っているかによるよ。。
ルータはどのようなモデルを利用していてNAT変換させているかと言うことでしょうか?
もしよろしければ、具体的に教えてください。
ちなみに、FW-1でNAT変換させている環境では複数台から同時接続可能でした。
>ルータに何を使っているかによるよ。。
ルータはどのようなモデルを利用していてNAT変換させているかと言うことでしょうか?
もしよろしければ、具体的に教えてください。
ちなみに、FW-1でNAT変換させている環境では複数台から同時接続可能でした。
386 :NAT:03/01/23 18:31 ID:eYPn0Mze
>VPNクライアントで複数台からも同時に接続することは
可能なのでしょうか?
NATトラーバサルに対応してるから大丈夫のような気がしますが、、
サポートに聞いてみては?わかったらUP希望
可能なのでしょうか?
NATトラーバサルに対応してるから大丈夫のような気がしますが、、
サポートに聞いてみては?わかったらUP希望
387 :_:03/01/23 19:48 ID:LSbccCIS
>385
ESP(プロトコルNo.50)をDefaultで落としてるルータは×
安いヤツでたまにあります。
ESP(プロトコルNo.50)をDefaultで落としてるルータは×
安いヤツでたまにあります。
388 :anonymous@ xdsl046047.061200.metallic.ne.jp:03/01/25 21:31 ID:???
NetscreenのIKEサービスはデフォルトではESPを装備してないので、
カスタムサービスを追加する必要アリ。
カスタムサービスを追加する必要アリ。
389 :anonymous@ f-tokyo-132012.zero.ad.jp:03/01/25 23:03 ID:???
390 :anonymous@ xdsl046047.061200.metallic.ne.jp:03/01/25 23:10 ID:???
391 : :03/01/26 11:50 ID:???
>391
同感。
そもそも、標準サービスオブジェクトの中身を確認しないで使う方がおかしい。
>>388みたいなのは、LifeTimeやLifeLengthの設定もデフォのまま使って
機械のせいにするんだろうな
同感。
そもそも、標準サービスオブジェクトの中身を確認しないで使う方がおかしい。
>>388みたいなのは、LifeTimeやLifeLengthの設定もデフォのまま使って
機械のせいにするんだろうな
393 :__:03/01/26 23:19 ID:GhZfvAPd
NSremote を使わずに、MSのL2TPを使用してVPNクライアントに
なれるのかどうかという発想は馬鹿ですか?
なれるのかどうかという発想は馬鹿ですか?
394 :anonymous@ xdsl046047.061200.metallic.ne.jp:03/01/26 23:32 ID:???
>>391-392
デフォルトでわざわざ親切にESPが含まれている可能性もあることを想定できないのか?
Netscreenの実装がたまたまUDP/500だったと言うだけだろ。
IKEにESPも含まれていればわざわざサービスを追加することもなく
Policy設定が簡単になるからな。
デフォルトでわざわざ親切にESPが含まれている可能性もあることを想定できないのか?
Netscreenの実装がたまたまUDP/500だったと言うだけだろ。
IKEにESPも含まれていればわざわざサービスを追加することもなく
Policy設定が簡単になるからな。
それ、漏れもやろうとしたけど、無駄な努力だった。。。
何だったかなぁ。。。。何かが原因で出来なかったんだよなぁ。。
それとも漏れがDQNなのかなぁ。。。。
悪いことは言わないから、NSremort買え!
何だったかなぁ。。。。何かが原因で出来なかったんだよなぁ。。
それとも漏れがDQNなのかなぁ。。。。
悪いことは言わないから、NSremort買え!
>>391-392
理想的な実装は全てをRelationalに扱うこと
IKEが抜けたらそのPayloadを拾ってESPを使っていればESPを
AHを使っていればAHを通すというのがベスト
例えばFTPでPayloadからPORTコマンドを拾うように
ステートフルインスペクションの理想って本来はこういうことだよね
だから>>394の言ってることは全然間違ってないと思うけど
理想的な実装は全てをRelationalに扱うこと
IKEが抜けたらそのPayloadを拾ってESPを使っていればESPを
AHを使っていればAHを通すというのがベスト
例えばFTPでPayloadからPORTコマンドを拾うように
ステートフルインスペクションの理想って本来はこういうことだよね
だから>>394の言ってることは全然間違ってないと思うけど
>396
理想はね。。その通りだと思うよ。
現実に、そんなものある?ってこと。
メーカや機器ごとに実装が違うのが普通なのに
中身をチェックもしないエンジニアがいたら、そいつが
DQNなだけだろって意味で、レス書いたんだがなぁ
理想はね。。その通りだと思うよ。
現実に、そんなものある?ってこと。
メーカや機器ごとに実装が違うのが普通なのに
中身をチェックもしないエンジニアがいたら、そいつが
DQNなだけだろって意味で、レス書いたんだがなぁ
>395
確か、一個通したら全通しになったんだったか、
別に認証サーバ立てる必要があったかじゃなかったか?
一回だけやったんだが、忘れてしもうた。年かな。
確か、一個通したら全通しになったんだったか、
別に認証サーバ立てる必要があったかじゃなかったか?
一回だけやったんだが、忘れてしもうた。年かな。
399 : :03/01/27 11:05 ID:???
>>393
http://www.netscreen.com/support/downloads/win2000_l2tp_4.0.0.pdf
でできたぞ。
#今見たら本家サイトで日本語マニュアルが落とせるようになってたな
http://www.netscreen.com/support/downloads/win2000_l2tp_4.0.0.pdf
でできたぞ。
#今見たら本家サイトで日本語マニュアルが落とせるようになってたな
400 :のほほん:03/01/28 00:10 ID:+089cJn+
日本語マニュアルいいねぇ!!!
質問です。
現状3拠点を専用線にてブリッジモードのルータを使って1つのブロードキャストセグメント
を作っています。
NetScreenの機能を使ってインターネットVPNに移行することはできないでしょうか?
ttp://www.netscreen.com/support/downloads/CE_v4.pdf
の202ページ以降、特に203ページの図を見たところできそうな気がするのですが。
もしくは日本語マニュアル
http://www.netscreen.com/support/downloads/CE_v4_JP.pdf
でも全く同じ203ページに図が乗っています。
識者の方この場合想像できる不具合などないでしょうか?
あ、ブロードキャストは業務で使っているアプリで使いますが、
プロトコルはTCP/IPだけです。(IPXも現状使っていますが、これは全廃の予定)
よろしくお願いいたします。
現状3拠点を専用線にてブリッジモードのルータを使って1つのブロードキャストセグメント
を作っています。
NetScreenの機能を使ってインターネットVPNに移行することはできないでしょうか?
ttp://www.netscreen.com/support/downloads/CE_v4.pdf
の202ページ以降、特に203ページの図を見たところできそうな気がするのですが。
もしくは日本語マニュアル
http://www.netscreen.com/support/downloads/CE_v4_JP.pdf
でも全く同じ203ページに図が乗っています。
識者の方この場合想像できる不具合などないでしょうか?
あ、ブロードキャストは業務で使っているアプリで使いますが、
プロトコルはTCP/IPだけです。(IPXも現状使っていますが、これは全廃の予定)
よろしくお願いいたします。
402 :[email protected]:03/01/28 19:35 ID:???
>401
インターネットVPN特有の不具合は発生するかもね。
フラグメントパケットの処理とか、業務アプリとのことですが
応答遅延による切断とか。。
この辺は、詳しいことを聞かないと判らないです。。
インターネットVPN特有の不具合は発生するかもね。
フラグメントパケットの処理とか、業務アプリとのことですが
応答遅延による切断とか。。
この辺は、詳しいことを聞かないと判らないです。。
403 :401:03/01/28 19:49 ID:mgSLriCg
業務で使っているアプリは独自の名前解決の為にブロードキャストを
使います。(WINS等の一般的なものではありません)
実は類似環境を(セキュアではありませんが)フリーソフトで作ってみたことがあります。
その際はアプリに影響はなかったので、一般的なインターネットVPN自体の問題は
クリアしていると考えてよさそうです。
実はなぜブロードキャストとか言い出したのかと申しますと、スレ違いですが、
WatchGuard社の製品のドロップインモードというものではブロードキャスト以外
送信できるとのことでした。
ですので、NetScreenにも似たような制限が無いか気になりました。
また、ASICで実装している部分がおおいということは
(CPUベースと比べて)柔軟な処理ができないことを意味しているのではないかと。
スレ違いついでに、前述のフリーソフトは
ttp://sourceforge.net/projects/inb/
です。拠点間をブリッジで結んだような動作をします。cryptcatで
暗号化することも考えましたが、色々手間をかけて、自作するより、
製品の機能を使う方がまだしも安定感があると考えたのです。
使います。(WINS等の一般的なものではありません)
実は類似環境を(セキュアではありませんが)フリーソフトで作ってみたことがあります。
その際はアプリに影響はなかったので、一般的なインターネットVPN自体の問題は
クリアしていると考えてよさそうです。
実はなぜブロードキャストとか言い出したのかと申しますと、スレ違いですが、
WatchGuard社の製品のドロップインモードというものではブロードキャスト以外
送信できるとのことでした。
ですので、NetScreenにも似たような制限が無いか気になりました。
また、ASICで実装している部分がおおいということは
(CPUベースと比べて)柔軟な処理ができないことを意味しているのではないかと。
スレ違いついでに、前述のフリーソフトは
ttp://sourceforge.net/projects/inb/
です。拠点間をブリッジで結んだような動作をします。cryptcatで
暗号化することも考えましたが、色々手間をかけて、自作するより、
製品の機能を使う方がまだしも安定感があると考えたのです。
>403
両製品とも扱っておりますので、よろしければサポートの方へ
問い合わせていただけますでしょうか?
両製品とも扱っておりますので、よろしければサポートの方へ
問い合わせていただけますでしょうか?
NSのトンネル確立のタイミングっていつ?
たとえば動的IP側の拠点Bで、電源落ちとかでトンネルが
切れた場合、固定IP側の拠点Aからトンネルの確立は
できないよね?拠点BのNSは自動的に復旧してくれるのか、
それとも拠点B側のクライアントがA側のネットワークに
パケット飛ばすまでコネクションはできあがらないのか、知ってる人
おせーて。
あとトンネルって期限切れする?AからBへの接続が必要な場合は
BからAまで定期的にパケット送ってトンネル確保しとかないと
いけないとかってあるのかな。
たとえば動的IP側の拠点Bで、電源落ちとかでトンネルが
切れた場合、固定IP側の拠点Aからトンネルの確立は
できないよね?拠点BのNSは自動的に復旧してくれるのか、
それとも拠点B側のクライアントがA側のネットワークに
パケット飛ばすまでコネクションはできあがらないのか、知ってる人
おせーて。
あとトンネルって期限切れする?AからBへの接続が必要な場合は
BからAまで定期的にパケット送ってトンネル確保しとかないと
いけないとかってあるのかな。
406 :○anonymous:03/02/01 02:19 ID:???
>405
> できないよね?拠点BのNSは自動的に復旧してくれるのか、
> それとも拠点B側のクライアントがA側のネットワークに
古いファームでは、自動復旧できません。
現行ファームでは、回線自動再接続とVPN Reconnect機能が
ついています。
正確に、どのバージョンからだったかは、リリースノートを
確認しないと判らないけど。
> あとトンネルって期限切れする?AからBへの接続が必要な場合は
> BからAまで定期的にパケット送ってトンネル確保しとかないと
> いけないとかってあるのかな。
VPN Helloパケット機能も現行ファームにはあります。
上記のトラブルを避けるためにも、有効にしておいた方が良いです。
特に古いファームでは、拠点側(動的IP)の回線が落ちたとき、
センターにVPNトンネルが有効になったまま残ってしまって
最長でVPN Lifetimeの間もしくは、拠点側NSのIPリース時間の
間、再接続できない、、というトラブルが発生してしまいます。
> できないよね?拠点BのNSは自動的に復旧してくれるのか、
> それとも拠点B側のクライアントがA側のネットワークに
古いファームでは、自動復旧できません。
現行ファームでは、回線自動再接続とVPN Reconnect機能が
ついています。
正確に、どのバージョンからだったかは、リリースノートを
確認しないと判らないけど。
> あとトンネルって期限切れする?AからBへの接続が必要な場合は
> BからAまで定期的にパケット送ってトンネル確保しとかないと
> いけないとかってあるのかな。
VPN Helloパケット機能も現行ファームにはあります。
上記のトラブルを避けるためにも、有効にしておいた方が良いです。
特に古いファームでは、拠点側(動的IP)の回線が落ちたとき、
センターにVPNトンネルが有効になったまま残ってしまって
最長でVPN Lifetimeの間もしくは、拠点側NSのIPリース時間の
間、再接続できない、、というトラブルが発生してしまいます。
407 :_:03/02/01 10:03 ID:Mu/Ttp72
>405,406
>正確に、どのバージョンからだったかは、リリースノートを
>確認しないと判らないけど。
記憶が確かならば、「3.0.1」
>正確に、どのバージョンからだったかは、リリースノートを
>確認しないと判らないけど。
記憶が確かならば、「3.0.1」
>406,407
サンクス。確認します。
サンクス。確認します。
409 :anonymous@ gw.s-style.co.jp:03/02/06 10:40 ID:Yf1AeCE2
ルータ&sonicwallな環境から、NetScreen25のみの環境に移行したら
untrustへ接続されているマシンのwebサイトの参照が異常に遅くなり、
タイムアウトもしばしば起こります。
こういう現象にあたった方いらっしゃいますでしょうか。
ファームは3.0.3r5.1です。
untrustへ接続されているマシンのwebサイトの参照が異常に遅くなり、
タイムアウトもしばしば起こります。
こういう現象にあたった方いらっしゃいますでしょうか。
ファームは3.0.3r5.1です。
411 :○anonymous:03/02/06 19:36 ID:???
>410
> 代理店っていつも>>409みたいな問い合わせを処理してるのかなあ?
大抵は、そんな感じですよ。
で、詳しいことを聞こうとすると、「秘密だから教えられない」と言われる。。
想像力・忍耐力・会話能力の無い人間には、つらいかもね。
> 代理店っていつも>>409みたいな問い合わせを処理してるのかなあ?
大抵は、そんな感じですよ。
で、詳しいことを聞こうとすると、「秘密だから教えられない」と言われる。。
想像力・忍耐力・会話能力の無い人間には、つらいかもね。
412 :○anonymous:03/02/06 19:40 ID:???
>409
せめて、透過モードかルーティングモードかNATモードを使っているのか
どうかと、特定のサイトにだけ発生するのか、どこにでもあるのか、
Webだけでなくて、他のサービスにも起きるのかどうか、、とかぐらいは
教えて欲しいものです。
DNS、ちゃんと開いてる?(TCP/UDPとも)
JAVAのブロック機能とかは??
質問する側も、勉強して欲しいなぁ。。(本音)
せめて、透過モードかルーティングモードかNATモードを使っているのか
どうかと、特定のサイトにだけ発生するのか、どこにでもあるのか、
Webだけでなくて、他のサービスにも起きるのかどうか、、とかぐらいは
教えて欲しいものです。
DNS、ちゃんと開いてる?(TCP/UDPとも)
JAVAのブロック機能とかは??
質問する側も、勉強して欲しいなぁ。。(本音)
413 :_:03/02/07 00:00 ID:OqYWy1e8
>想像力・忍耐力・会話能力の無い人間には、つらいかもね。
想像力、重要だよね。
414 :anonymous@ YahooBB219017152044.bbtec.net:03/02/07 00:04 ID:???
>>409
スマートスタイルの中の人も大変ですね
スマートスタイルの中の人も大変ですね
415 : :03/02/07 00:10 ID:???
>>414
YBBの中の人も(略
YBBの中の人も(略
416 : :03/02/07 09:39 ID:???
>>416
2chで説明しても¥にならん罠。
2chで説明しても¥にならん罠。
418 : :03/02/07 09:59 ID:???
>>416
バグだらけ、謎の仕様満載のNSで、
勉強した程度でベンダーサポートがいらなくなるわけないだろ
NSのサポートしてると、
自分より遥かに格上と思われるエンジニアからの
質問とかが結構来るので優越感に浸れるよ
逆に"自分は分かる"って勝手に思い込んで意味不明な対処して、
どうしようも無くなってから泣きつかれた方がこまるかな
っつーか、それ以前にケースいくらでサポート料とってるわけじゃないから
どうせ保守を考えればサポート入らないわけには行かないわけだし、
サポートに入って、しかもケースオープンしない客なんて最高じゃないか
バグだらけ、謎の仕様満載のNSで、
勉強した程度でベンダーサポートがいらなくなるわけないだろ
NSのサポートしてると、
自分より遥かに格上と思われるエンジニアからの
質問とかが結構来るので優越感に浸れるよ
逆に"自分は分かる"って勝手に思い込んで意味不明な対処して、
どうしようも無くなってから泣きつかれた方がこまるかな
っつーか、それ以前にケースいくらでサポート料とってるわけじゃないから
どうせ保守を考えればサポート入らないわけには行かないわけだし、
サポートに入って、しかもケースオープンしない客なんて最高じゃないか
419 :○anonymous:03/02/07 10:14 ID:???
>416,418
どうせインシデント扱いじゃないんだから
質問の仕方ぐらいは勉強して貰えるのが一番、サポートが楽になる罠
少々勉強しようが、サポート不要になるとは思わないのは同感。
(FW-1ってのも、そうだね)
っていうか、どんなものにも、そういう部分あるわな。
そのサポートができないスタッフばかりならサポート不要だし
できないのに、ちゃんと質問できないスタッフばかりの会社だと
客が泣く罠。(多いが)
サポートから見ると、質問が多くて中身が無いのが、一番困る。
こんなのに限って、自分のこと棚にあげて、会社名バックに無茶言ってくるから。
ただ、M$みたいに最低のサポート能力に最高の料金(ああ、夢だなぁ)
てのはあるが、これは、うちじゃ無理だな。偉いさんが、「牛丼」を売りに
してるからな。最近は、遅い・安い・不味いだが。
どうせインシデント扱いじゃないんだから
質問の仕方ぐらいは勉強して貰えるのが一番、サポートが楽になる罠
少々勉強しようが、サポート不要になるとは思わないのは同感。
(FW-1ってのも、そうだね)
っていうか、どんなものにも、そういう部分あるわな。
そのサポートができないスタッフばかりならサポート不要だし
できないのに、ちゃんと質問できないスタッフばかりの会社だと
客が泣く罠。(多いが)
サポートから見ると、質問が多くて中身が無いのが、一番困る。
こんなのに限って、自分のこと棚にあげて、会社名バックに無茶言ってくるから。
ただ、M$みたいに最低のサポート能力に最高の料金(ああ、夢だなぁ)
てのはあるが、これは、うちじゃ無理だな。偉いさんが、「牛丼」を売りに
してるからな。最近は、遅い・安い・不味いだが。
420 :anonymous@ 211.126.213.34:03/02/07 18:54 ID:???
5XTの10ユーザーライセンスで、10台以上繋げるとどうなるんでしょうか。
421 :anonymous@ 203.215.130.168:03/02/08 22:17 ID:rMYgr3V8
こんど買うことになったんだけど、どこから買おうかな。
422 :○anonymous:03/02/09 01:04 ID:???
>420
同時じゃなかったら動くけど、同時なら、セッション単位で監視して
11個目が繋がらなくなるよ。
HTTPだと、ページ表示の途中で切れたり
同時じゃなかったら動くけど、同時なら、セッション単位で監視して
11個目が繋がらなくなるよ。
HTTPだと、ページ表示の途中で切れたり
423 :○anonymous:03/02/09 01:06 ID:???
>421
どこから買っても同じ。
保守契約は必須。
あとは、英語で質問。これがベスト。。
#自信を持って自社を勧められないのが、、情けなや。。
#嘘つくの嫌だし。。
どこから買っても同じ。
保守契約は必須。
あとは、英語で質問。これがベスト。。
#自信を持って自社を勧められないのが、、情けなや。。
#嘘つくの嫌だし。。
>>423
イイ人だ…(´Д`;
イイ人だ…(´Д`;
425 :○anonymous:03/02/09 20:08 ID:???
>424
照れるにゃ〜(藁)
というのは冗談として、サポートへの評価って、誰が担当するかによって
変わるとは思うんだけど、(誰に当たるか、、だね)まともに回答できる
人間が、ほとんどいないからなぁ。(出来る人間はサポートの部署に
常駐してない、、どこでも、、かな)
そういう意味では、保守契約結んで、直接NetScreen社に英語で
問い合わせるのが、一番いいよ。
ただし、前に書いたように、「何がやりたくて何がトラブルになっているか」を
明確に書ける人だけね。ほとんどの厨房エンジニアだったら、
同レベルのエンジニアのいる会社を経由した方がいいだろうね。
照れるにゃ〜(藁)
というのは冗談として、サポートへの評価って、誰が担当するかによって
変わるとは思うんだけど、(誰に当たるか、、だね)まともに回答できる
人間が、ほとんどいないからなぁ。(出来る人間はサポートの部署に
常駐してない、、どこでも、、かな)
そういう意味では、保守契約結んで、直接NetScreen社に英語で
問い合わせるのが、一番いいよ。
ただし、前に書いたように、「何がやりたくて何がトラブルになっているか」を
明確に書ける人だけね。ほとんどの厨房エンジニアだったら、
同レベルのエンジニアのいる会社を経由した方がいいだろうね。
426 : :03/02/10 03:04 ID:???
>>425
保守機確保を考えたら
直販なんて考えられない
テクニカルサポートだけなら英語で直にNSでもいいかも知れんけど、
ハード保守はNSじゃ無理でしょ
某大手NS代理店の系列保守会社は
NS1000の筐体、AUX、電源×2、Fモジュール×5を5時間で揃えてきたよ
あの時はかなり感動した
100や200なら電話一本で2時間後には持ってくるよ
保守機確保を考えたら
直販なんて考えられない
テクニカルサポートだけなら英語で直にNSでもいいかも知れんけど、
ハード保守はNSじゃ無理でしょ
某大手NS代理店の系列保守会社は
NS1000の筐体、AUX、電源×2、Fモジュール×5を5時間で揃えてきたよ
あの時はかなり感動した
100や200なら電話一本で2時間後には持ってくるよ
427 :○anonymous:03/02/10 09:16 ID:???
>426
> 保守機確保を考えたら
> 直販なんて考えられない
そりゃ、そうだ罠
でも、>421の質問って、代理店のどこから買おうって
意味だと思ったんだけどね。
HW保守は国内代理店で買って、SWサポートは、USに直メール
買うのが5程度なら、直販でも特に困らない。
(5を5台買うとしたら、安く6台買って手元に保守機を残すのが基本。
5を1台だけなんてことなら、HW保守契約するより、壊れてから考えても
リスキーだとは思えないしね)
> NS1000の筐体、AUX、電
このクラスを買ってもらう際は、大抵保守機を用意する分
値段に含まれているから、いいのだが、、、
> 100や200なら電話一本で2時間後には持ってくるよ
これが、自社を勧められない本当の理由の1つだよ。
NS200系すら、まともに在庫が無いどころか、5ですら、切れることが
しばしば。HW保守契約されている分の機材すら無いからなぁ。
(酷いときには、NS500で保守機無しだからな。)
客に怒られるのは、こっちなんだが。何度言っても会社は改善する気が無いし、、
そろそろ転職するつもり。。
(だから、ここで暇つぶしを始めたともいうけど)
> 保守機確保を考えたら
> 直販なんて考えられない
そりゃ、そうだ罠
でも、>421の質問って、代理店のどこから買おうって
意味だと思ったんだけどね。
HW保守は国内代理店で買って、SWサポートは、USに直メール
買うのが5程度なら、直販でも特に困らない。
(5を5台買うとしたら、安く6台買って手元に保守機を残すのが基本。
5を1台だけなんてことなら、HW保守契約するより、壊れてから考えても
リスキーだとは思えないしね)
> NS1000の筐体、AUX、電
このクラスを買ってもらう際は、大抵保守機を用意する分
値段に含まれているから、いいのだが、、、
> 100や200なら電話一本で2時間後には持ってくるよ
これが、自社を勧められない本当の理由の1つだよ。
NS200系すら、まともに在庫が無いどころか、5ですら、切れることが
しばしば。HW保守契約されている分の機材すら無いからなぁ。
(酷いときには、NS500で保守機無しだからな。)
客に怒られるのは、こっちなんだが。何度言っても会社は改善する気が無いし、、
そろそろ転職するつもり。。
(だから、ここで暇つぶしを始めたともいうけど)
428 :anonymous@ i207216.ap.plala.or.jp:03/02/10 17:27 ID:???
ホットスポットやホテル等から社内へアクセスしたいが、
割り振られたIPアドレス帯域が社内と重複していたら駄目だ。
IPSEC-DHCPがあれば解決しそうだが、Netscreenにそのような機能はあるか?
割り振られたIPアドレス帯域が社内と重複していたら駄目だ。
IPSEC-DHCPがあれば解決しそうだが、Netscreenにそのような機能はあるか?
429 :NS使い:03/02/10 22:23 ID:PrrEtGN3
>428
INTERNAL IPの技術がヒント!
http://www.ntt-east.co.jp/ephelio/vpn/ps/
これ、以外に重宝してます。
結構、はまって好きになってしまいました。
INTERNAL IPの技術がヒント!
http://www.ntt-east.co.jp/ephelio/vpn/ps/
これ、以外に重宝してます。
結構、はまって好きになってしまいました。
430 :428:03/02/11 00:31 ID:rUym5tGZ
>429
ちょっと調べたら、
Internal DHCP serverと言う機能があった。
これを使えば、解決できるのか?
よくわからん。
ちょっと調べたら、
Internal DHCP serverと言う機能があった。
これを使えば、解決できるのか?
よくわからん。
431 :○anonymous:03/02/11 02:04 ID:???
>430
>429が書いているInternal IPとして、使用している
NWとぶつからないIPに仮想的にクライアントを割り当てる
機能だよ。
>430の書いているのは全然別だ。
まじめに回答して欲しかったら、聞き方ぐらい勉強してね。
>429が書いているInternal IPとして、使用している
NWとぶつからないIPに仮想的にクライアントを割り当てる
機能だよ。
>430の書いているのは全然別だ。
まじめに回答して欲しかったら、聞き方ぐらい勉強してね。
今、NS5XP(10IP)って国内品薄?
でもない?
でもない?
433 :anonymous@ EATcf-409p112.ppp15.odn.ne.jp:03/02/12 01:26 ID:fXT8SA5D
どなたか『FortiGate』って知ってます?
機能的には「Netscreenとアンチウイルスソフトを合わせたような機器」らしいんですが。
この機器がいいものかどうかを評価しなくてはいけないので・・・
機能的には「Netscreenとアンチウイルスソフトを合わせたような機器」らしいんですが。
この機器がいいものかどうかを評価しなくてはいけないので・・・
434 :名無しさん:03/02/12 01:40 ID:uuXIbAlW
435 :○anonymous:03/02/12 04:21 ID:???
>433
何を以って良し悪しを決めるかを教えていただければ、、、
この製品も、取り扱っておりますので。。
何を以って良し悪しを決めるかを教えていただければ、、、
この製品も、取り扱っておりますので。。
>435
スループットと使いやすさですかねぇ・・・
あとお勧めの機能などがあれば良いんですが。
Netscreenの代わりに使うかどうかを考えているらしいので・・・
スループットと使いやすさですかねぇ・・・
あとお勧めの機能などがあれば良いんですが。
Netscreenの代わりに使うかどうかを考えているらしいので・・・
437 :○anonymous:03/02/13 02:11 ID:???
>436
> Netscreenの代わりに使うかどうかを考えているらしいので・・・
NSの代わりに、、、ということなら、今のところ止めておいた方が
いいと思います。(書いていいのか?)
何故か、、というのは、コメントを避けさせて貰っていいですよね?
> Netscreenの代わりに使うかどうかを考えているらしいので・・・
NSの代わりに、、、ということなら、今のところ止めておいた方が
いいと思います。(書いていいのか?)
何故か、、というのは、コメントを避けさせて貰っていいですよね?
>437
うーん、そうですか・・・
私もNetscreenは遊び程度でしか触っていないので
評価するといっても微妙なんですが・・・
では純粋にセキュリティ機器としての出来はどうでしょう?
うーん、そうですか・・・
私もNetscreenは遊び程度でしか触っていないので
評価するといっても微妙なんですが・・・
では純粋にセキュリティ機器としての出来はどうでしょう?
439 :297:03/02/13 17:15 ID:HZTvZww+
440 :get ?:03/02/17 10:40 ID:BuYR0iXA
重複スレ防止あげ
441 :276:03/02/17 17:15 ID:Q90rVBOa
超初心者な質問なんですが、現在NS204を使用している
のですが、保守の関係でuntrustにpingを飛ばすよう設定
に変更しなくてはいけません。
NS5XTでは、sysIPを0.0.0.0にすることで、飛ぶようになった
ので、同じ操作をNS204で行ないましたが、その操作を行な
うと、内部からNS204にアクセスできなくなります。
→telnet、WebUI共に
telnet、WebUIが使用できる状態で、かつ外部IFにpingを飛
ぶようにできる設定をしっている方教えてください。
まじ初心者的な質問で申し訳ないのですが誰か教えてくださ
い。宜しくお願いします。
のですが、保守の関係でuntrustにpingを飛ばすよう設定
に変更しなくてはいけません。
NS5XTでは、sysIPを0.0.0.0にすることで、飛ぶようになった
ので、同じ操作をNS204で行ないましたが、その操作を行な
うと、内部からNS204にアクセスできなくなります。
→telnet、WebUI共に
telnet、WebUIが使用できる状態で、かつ外部IFにpingを飛
ぶようにできる設定をしっている方教えてください。
まじ初心者的な質問で申し訳ないのですが誰か教えてくださ
い。宜しくお願いします。
質問よろしくお願いします
SonicWallの入れ替えでNetScreen25を購入したのですが
UntrustとDMZが同じセグメントの場合どうゆう設定を
すればよいのでしょうか?WebUIでは同じセグメントは
エラーになり設定できません
ADSLのIP8を使っています
初歩的な質問で申し訳ございませんが、これで1週間
悩んでいます、どうか助けてください
よろしくお願いいたします。
SonicWallの入れ替えでNetScreen25を購入したのですが
UntrustとDMZが同じセグメントの場合どうゆう設定を
すればよいのでしょうか?WebUIでは同じセグメントは
エラーになり設定できません
ADSLのIP8を使っています
初歩的な質問で申し訳ございませんが、これで1週間
悩んでいます、どうか助けてください
よろしくお願いいたします。
444 : :03/02/18 01:33 ID:???
結論から言うと、DMZ側だけをブリッジにすることはできません
構成変更してください
構成変更してください
445 : ◆JeYFCvvdow :03/02/18 02:05 ID:???
>>443
SonicWallからNetScreenに移るとハマりやすいのかも。
漏れも最初ハマりました。
手っ取りばやいのはIPアドレスを/29から/30に分割。
でも、/30だとIPアドレスが足らないかも・・・。
SonicWallからNetScreenに移るとハマりやすいのかも。
漏れも最初ハマりました。
手っ取りばやいのはIPアドレスを/29から/30に分割。
でも、/30だとIPアドレスが足らないかも・・・。
446 :anonymous@ tk0008-202x210x246x37.ap-TK.usen.ad.jp:03/02/18 02:14 ID:R11Y6Yq6
> 442
普通に考えて、
Q.manager-ip (WebUI等でアクセスする内部の管理端末IPアドレス)は
ちゃんと設定されていますか?
> get admin manager-ip
普通に考えて、
Q.manager-ip (WebUI等でアクセスする内部の管理端末IPアドレス)は
ちゃんと設定されていますか?
> get admin manager-ip
447 :厨房:03/02/18 14:28 ID:09qLmt+1
質問よろしくお願いします
今Netscreen5XTの購入を考えているんですが、
こいつってMSN MessengerやNetmeetingを利用できるのでしょうか。
標準サポートにNetMeetingとあるのでNetmeetingは大丈夫だとは思うのですが。
一応日立に質問したところ、設定は必要になるけど2つとも機能の制限も無く、
複数台での利用も問題無いですとのことだったのですが...。
今Netscreen5XTの購入を考えているんですが、
こいつってMSN MessengerやNetmeetingを利用できるのでしょうか。
標準サポートにNetMeetingとあるのでNetmeetingは大丈夫だとは思うのですが。
一応日立に質問したところ、設定は必要になるけど2つとも機能の制限も無く、
複数台での利用も問題無いですとのことだったのですが...。
448 :○anonymous:03/02/18 14:28 ID:???
>445
/30に分割したら追いつかないんだったら、
1)DMZをローカルIPに振り替えてNATをかける
2)擬似的PPPoE Unnumberedを使う
(当然Untrustには、サーバとか無いよね)
具体的には
IP-8で貰ったIPが、8,9,10,11,12,13,14,15とすると
Untrust Int IP: PPPoEで取得(8)
DMZ Int IP: 9(他のでもいいけど)
残り10-14をサーバに降って、15はBroadCastで使用不可に。
これで何とかならない?DGWぐらいの修正はいるかもしれないけどね。
現状不明だからね。。入れ替えコストを下げるのが目的だろうから。。
でも、これって基本だよ。。
#久しぶりにカキコしたよ。
#朝8時〜翌日夕方4時ぐらいまで連続勤務して、その夜8時から仕事しても
#夜勤も残業手当ても無い上、早退扱いで減給される会社だから。。(皆そうなのかな?)
#おまけに休みは、契約より少ないのに、給料は契約通りくれないし。
#4〜5月には抜けられそうだからいいけど。
#アガサ・クリスティの著名な小説みたいになりそうだにゃ。(半年で半分になったよ。
#増員した上で、、だけどね)
/30に分割したら追いつかないんだったら、
1)DMZをローカルIPに振り替えてNATをかける
2)擬似的PPPoE Unnumberedを使う
(当然Untrustには、サーバとか無いよね)
具体的には
IP-8で貰ったIPが、8,9,10,11,12,13,14,15とすると
Untrust Int IP: PPPoEで取得(8)
DMZ Int IP: 9(他のでもいいけど)
残り10-14をサーバに降って、15はBroadCastで使用不可に。
これで何とかならない?DGWぐらいの修正はいるかもしれないけどね。
現状不明だからね。。入れ替えコストを下げるのが目的だろうから。。
でも、これって基本だよ。。
#久しぶりにカキコしたよ。
#朝8時〜翌日夕方4時ぐらいまで連続勤務して、その夜8時から仕事しても
#夜勤も残業手当ても無い上、早退扱いで減給される会社だから。。(皆そうなのかな?)
#おまけに休みは、契約より少ないのに、給料は契約通りくれないし。
#4〜5月には抜けられそうだからいいけど。
#アガサ・クリスティの著名な小説みたいになりそうだにゃ。(半年で半分になったよ。
#増員した上で、、だけどね)
449 :○anonymous:03/02/18 14:30 ID:???
>447
う〜ん、ほんとに厨房だ。。(苦笑)
サービス定義しようね。どのポートが必要になるかは、
M$上で確認してください。(そのぐらいは自分で調べてってことです)
う〜ん、ほんとに厨房だ。。(苦笑)
サービス定義しようね。どのポートが必要になるかは、
M$上で確認してください。(そのぐらいは自分で調べてってことです)
450 :x:03/02/18 16:06 ID:41UhWN2z
451 :345:03/02/18 17:15 ID:drYGehAN
452 : ◆JeYFCvvdow :03/02/18 20:27 ID:???
453 :○anonymous:03/02/18 22:18 ID:???
>452
スマソ。>>443への回答で「基本」と書いたのに、、誤解されそうだね。
でも>>449じゃなく、>>448だね。
#>>449だったら、当然の話だからさ、/30って、>>30かと思って
#読み直してしまったよ。(汗)
スマソ。>>443への回答で「基本」と書いたのに、、誤解されそうだね。
でも>>449じゃなく、>>448だね。
#>>449だったら、当然の話だからさ、/30って、>>30かと思って
#読み直してしまったよ。(汗)
454 : ◆JeYFCvvdow :03/02/18 22:47 ID:???
>>453
を!? 失礼しやしたぁ〜〜〜(汗
を!? 失礼しやしたぁ〜〜〜(汗
456 :○anonymous:03/02/19 01:14 ID:???
>455
頑張ってくだされ。(アドレス公開されて大丈夫??)
>454
いや、そんなつもりで突っ込んだわけでは、、(滝汗)
頑張ってくだされ。(アドレス公開されて大丈夫??)
>454
いや、そんなつもりで突っ込んだわけでは、、(滝汗)
Netscreen5XTのQos対応ってどうなってるの?
>457
ネタで他人を名乗るにしても、これは、まずくないかい?
ネタで他人を名乗るにしても、これは、まずくないかい?
459 :IT単細胞:03/02/19 12:30 ID:moHpsHiV
他人への抽象的発言は、見苦しいのでやめましょう。
うざい。
NETSCREENに関係ない発言は、いらない!
くだらない、小学生のケンカのような小さな小さな事、気にして
書き込まないようにね。
最近、多いのでちょっと注意してみました。
上記の書き込みに文句を言うのではなく、それぞれの自分の心に
問い合わせてみましょうね。
では。
うざい。
NETSCREENに関係ない発言は、いらない!
くだらない、小学生のケンカのような小さな小さな事、気にして
書き込まないようにね。
最近、多いのでちょっと注意してみました。
上記の書き込みに文句を言うのではなく、それぞれの自分の心に
問い合わせてみましょうね。
では。
460 :anonymous@ st0068.nas911.t-osaka.nttpc.ne.jp:03/02/19 16:06 ID:YUbQ/FjE
NetScreenXP5をNATモードで使っています。
Trusted側にあるPCにLinux入れてサーバにしてるんだけど
syslogに記録される、外から来るパケットをグローバルIPで
吐いてもらうには、透過モードで動かす方が話が早いんでしょうか。
それともNetScreenは関係なくて、Linuxサーバの設定で
解決できるものなのでしょうか...
Trusted側にあるPCにLinux入れてサーバにしてるんだけど
syslogに記録される、外から来るパケットをグローバルIPで
吐いてもらうには、透過モードで動かす方が話が早いんでしょうか。
それともNetScreenは関係なくて、Linuxサーバの設定で
解決できるものなのでしょうか...
461 :113:03/02/19 17:15 ID:4caYeB1B
462 :IT業界ちゃん:03/02/20 21:41 ID:v0A9U4NX
こんばんは。
ちょっと教えてください。
インターネットVPNでNetscreen製品は結構売れていて割と好評だと思うのですが、
同じような内容でVPNソフトを使った提案がありました。
VPNソフトを使った形態についてはみなさんどう思われますか?
わたしとしてはNSのハードによるVPNの方が故障時の切り分けも明確で使い勝手が
いいのではないかと思っているのですが、、、
タイトルとは少しずれてしまうかもしれないですが
意見を聞かせてもらえるとうれしいです。お願いします。
ちょっと教えてください。
インターネットVPNでNetscreen製品は結構売れていて割と好評だと思うのですが、
同じような内容でVPNソフトを使った提案がありました。
VPNソフトを使った形態についてはみなさんどう思われますか?
わたしとしてはNSのハードによるVPNの方が故障時の切り分けも明確で使い勝手が
いいのではないかと思っているのですが、、、
タイトルとは少しずれてしまうかもしれないですが
意見を聞かせてもらえるとうれしいです。お願いします。
463 : :03/02/20 22:24 ID:???
>>462
従業員の自宅PCからイントラにVPN接続(IPsecでね)させるには、
クライアント側に装置がいらないので安価でよいと思う。
メリットはそのぐらいしか思い浮かばない。
クライアント側にハード5XPとかをおいたほうが、らくだね。利用者が謝って
設定を変えたりする懸念も少ないし。
従業員の自宅PCからイントラにVPN接続(IPsecでね)させるには、
クライアント側に装置がいらないので安価でよいと思う。
メリットはそのぐらいしか思い浮かばない。
クライアント側にハード5XPとかをおいたほうが、らくだね。利用者が謝って
設定を変えたりする懸念も少ないし。
464 :○anonymous:03/02/21 02:17 ID:???
>463
禿同
特にVPNソフトとPPPoEソフトを共に常駐させようとする某社の提案なんて
潜在的にトラブルをかかえているのに。
#MSS-Size/Softwareの相性/Windows Registory操作 etc., ....
しかも複数のVPNクライアント用の設定ファイル作成なんて。。手間ばっかりかかる。
>463が言う設定を変える心配は変更不可にすることやなんやかやで対処可能だがね。
禿同
特にVPNソフトとPPPoEソフトを共に常駐させようとする某社の提案なんて
潜在的にトラブルをかかえているのに。
#MSS-Size/Softwareの相性/Windows Registory操作 etc., ....
しかも複数のVPNクライアント用の設定ファイル作成なんて。。手間ばっかりかかる。
>463が言う設定を変える心配は変更不可にすることやなんやかやで対処可能だがね。
465 : :03/02/21 08:57 ID:???
>>464
クライアントのインストールサポートなんてやりたくないねぇ。
その提案って、パソコン込みなのかなぁ。パソコンハードを売って稼ぐ狙い?
あるいは、SIの条件にクライアントサポートはやらないって明記して、
価格の安さで売りつけて、あとでシステム担当者が不幸になるパターン?
そういや、NetScreenのVPNクライアントソフトで遊んでたんだけど、
設定エクスポートしてインポートしたら設定変えれなくなった。。。
確かにユーザに変えられないようはできるな。
クライアントのインストールサポートなんてやりたくないねぇ。
その提案って、パソコン込みなのかなぁ。パソコンハードを売って稼ぐ狙い?
あるいは、SIの条件にクライアントサポートはやらないって明記して、
価格の安さで売りつけて、あとでシステム担当者が不幸になるパターン?
そういや、NetScreenのVPNクライアントソフトで遊んでたんだけど、
設定エクスポートしてインポートしたら設定変えれなくなった。。。
確かにユーザに変えられないようはできるな。
466 :○anonymous:03/02/21 11:00 ID:???
>465
> クライアントのインストールサポートなんてやりたくないねぇ。
禿同。何度させられたか。。
> その提案って、パソコン込みなのかなぁ。パソコンハードを売って稼ぐ狙い?
システムごとだったみたいだけど、パソコンハード抜きね。
> 価格の安さで売りつけて、あとでシステム担当者が不幸になるパターン?
営業や元請が価格の安さで売りつけておいて、現場・下請けが泣くパターン(泣)
ましてや、元請が導入したサーバ側がMTU1500じゃないと、接続受け付けなかったりして
(現実にあった)サーバに接続できない・切れるなど言ってきて、サーバ側の調整
頼んでも、変更できない、と言われた日には。。。
コスト計算に技術畑入れろ〜、タコなコンサルは素人より癌〜と思うね。
そんだけ部分しか見えないのが多いってことだろうね。システム設計ちゃんと
やってくれよなぁ〜。(設計段階で頼んでくるのも可だけど)判ってる人間に
権限無いからなぁ。まったく。。
> クライアントのインストールサポートなんてやりたくないねぇ。
禿同。何度させられたか。。
> その提案って、パソコン込みなのかなぁ。パソコンハードを売って稼ぐ狙い?
システムごとだったみたいだけど、パソコンハード抜きね。
> 価格の安さで売りつけて、あとでシステム担当者が不幸になるパターン?
営業や元請が価格の安さで売りつけておいて、現場・下請けが泣くパターン(泣)
ましてや、元請が導入したサーバ側がMTU1500じゃないと、接続受け付けなかったりして
(現実にあった)サーバに接続できない・切れるなど言ってきて、サーバ側の調整
頼んでも、変更できない、と言われた日には。。。
コスト計算に技術畑入れろ〜、タコなコンサルは素人より癌〜と思うね。
そんだけ部分しか見えないのが多いってことだろうね。システム設計ちゃんと
やってくれよなぁ〜。(設計段階で頼んでくるのも可だけど)判ってる人間に
権限無いからなぁ。まったく。。
467 :set ?:03/02/21 17:51 ID:s2zXxb9K
>設定エクスポートしてインポートしたら設定変えれなくなった。。。
そうそう、export/inport って何かおかしいよね?
そうそう、export/inport って何かおかしいよね?
468 :set ?:03/02/21 18:58 ID:s2zXxb9K
>VPNソフトを使った形態についてはみなさんどう思われますか?
NSのようなVPN装置の代わりに、WIN2000ServerのIPsecを使って拠点間を
接続するっていう意味?
NSのようなVPN装置の代わりに、WIN2000ServerのIPsecを使って拠点間を
接続するっていう意味?
469 : :03/02/21 22:31 ID:???
>>466
> ましてや、元請が導入したサーバ側がMTU1500じゃないと、接続受け付けなかったりして
(現実にあった)サーバに接続できない・切れるなど言ってきて、サーバ側の調整
頼んでも、変更できない、と言われた日には。。。
そうそう、IPSecの提案するときは、MTUサイズ考慮必要ですね。
あとFWがあるパターンだと、MTUサイズ変えられるように穴あけてもらったりとか。
I
>>468
サーバ側がVPN-1とかVPN3000とかNS50とかの装置を置いて、クライアント側は専用クライアントソフトを
導入する形態が多いとおもうけど。
拠点間接続はハブ・スポーク型にしないと、1拠点増えるたびに全拠点トンネル設定追加しないと
いけないので大変かと。
> ましてや、元請が導入したサーバ側がMTU1500じゃないと、接続受け付けなかったりして
(現実にあった)サーバに接続できない・切れるなど言ってきて、サーバ側の調整
頼んでも、変更できない、と言われた日には。。。
そうそう、IPSecの提案するときは、MTUサイズ考慮必要ですね。
あとFWがあるパターンだと、MTUサイズ変えられるように穴あけてもらったりとか。
I
>>468
サーバ側がVPN-1とかVPN3000とかNS50とかの装置を置いて、クライアント側は専用クライアントソフトを
導入する形態が多いとおもうけど。
拠点間接続はハブ・スポーク型にしないと、1拠点増えるたびに全拠点トンネル設定追加しないと
いけないので大変かと。
某代理店に、NS5のプリ設定納品頼んだら、
いきなりミスだらけだったよ。
こんなことなら、自社で設定すれば良かったと後悔。
とはいえ、台数が多かったからなぁ。
いきなりミスだらけだったよ。
こんなことなら、自社で設定すれば良かったと後悔。
とはいえ、台数が多かったからなぁ。
本家のFirmwareダウンロードが
「シリアル入れたらOK」から「登録しないとダメ」に変わりましたね。
いや、ただそれだけ(笑
「シリアル入れたらOK」から「登録しないとダメ」に変わりましたね。
いや、ただそれだけ(笑
472 :名無しさん@Emacs:03/02/24 01:07 ID:???
NetScreenのファームの配付を制限することには、どういう意図があるのだろう。
# FireWall-1じゃないんだし。
# FireWall-1じゃないんだし。
473 :○anonymous:03/02/24 01:12 ID:???
>472
Software保守代を、ちゃんと貰おうってことでしょ。
開発チーム複数いるし。。
Software保守代を、ちゃんと貰おうってことでしょ。
開発チーム複数いるし。。
474 : :03/02/24 10:46 ID:???
ってことは、保守入らないとダウソできないの?
5xpとか使ってる個人ユーザーには大打撃ですね
5xpとか使ってる個人ユーザーには大打撃ですね
しかたないから俺もさっき登録したよ。
476 :○anonymous:03/02/24 16:31 ID:???
>474
5XPとか5XTとかだったら、年間で7K〜10Kだよ。
ソフトウェア物が毎年バージョンアップするのと
ダウンロードライセンス料がいくらかを考えると、
大打撃、、とまではいかないんでは?
5XPとか5XTとかだったら、年間で7K〜10Kだよ。
ソフトウェア物が毎年バージョンアップするのと
ダウンロードライセンス料がいくらかを考えると、
大打撃、、とまではいかないんでは?
477 : :03/02/24 20:00 ID:???
>>476
つーか、ちゃんとサポート結ぶのさえ、個人ユーザーだとね、めんどくさい
オンラインでクレジットカードで支払可能とか、○年間サポートパックとかいって、
一万円くらいで売ってくれればいいのに
せめて、5XT、5XPとかのクラスだけでもそんな形にして欲しいな
つーか、ちゃんとサポート結ぶのさえ、個人ユーザーだとね、めんどくさい
オンラインでクレジットカードで支払可能とか、○年間サポートパックとかいって、
一万円くらいで売ってくれればいいのに
せめて、5XT、5XPとかのクラスだけでもそんな形にして欲しいな
478 :○anonymous:03/02/24 20:56 ID:???
>477
代理店系から買えば、それに近い筈だけど。。
そうじゃないところから買った場合でも、購入したところに
言えば可能。そうでないようなところから買った場合は知らない。
代理店系から買えば、それに近い筈だけど。。
そうじゃないところから買った場合でも、購入したところに
言えば可能。そうでないようなところから買った場合は知らない。
479 :IT単細胞:03/02/25 00:05 ID:25C3JOm2
レンタルサービスや、ISPや通信会社を利用したVPNサービスを利用するのも
選択肢のひとつではないでしょうか。
新しい物好きが、ScreenOS4.0をインストールして、「できない!できない!」
と泣く!叫ぶ!助けを呼ぶ!日本人がとっても多いので。。。。
まだ安定しているScreenOSで我慢して、NetscreenでRADIUS認証等、
余計な事を考えずインフラとしてVPNを選択するのが一番だと思います。
要は、中途半端の人が余計なことを考えて偉そうに文句を言わないことが
大切だと思います。
(IT業界の短気の方。。。あなたですよ!気をつけて!!)
選択肢のひとつではないでしょうか。
新しい物好きが、ScreenOS4.0をインストールして、「できない!できない!」
と泣く!叫ぶ!助けを呼ぶ!日本人がとっても多いので。。。。
まだ安定しているScreenOSで我慢して、NetscreenでRADIUS認証等、
余計な事を考えずインフラとしてVPNを選択するのが一番だと思います。
要は、中途半端の人が余計なことを考えて偉そうに文句を言わないことが
大切だと思います。
(IT業界の短気の方。。。あなたですよ!気をつけて!!)
★あなたのお悩み解決致します!!
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
直通 090−8505−3086
URL http://www.h5.dion.ne.jp/~grobal/
メール [email protected]
グローバル探偵事務局
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
直通 090−8505−3086
URL http://www.h5.dion.ne.jp/~grobal/
メール [email protected]
グローバル探偵事務局
481 :anonymous@ SAPnni-10S1p179.ppp12.odn.ad.jp:03/02/25 01:25 ID:0fwgAPkM
ホットメールのパスワードと暗唱番号をわすれたのですがどうすれば
よいのでしょう? 誰か教えて
よいのでしょう? 誰か教えて
482 :poko:03/02/27 01:41 ID:1A9c+PTt
どなたかご存知でしたら教えて下さい。
現在、Netscreen-100とNetscreen-200を使い冗長構成(HA)
を検討しているのですが、何処を調べても同じ機器どうしの
情報しか載っていません。
設定事態は、ポート毎に管理IPとVIP、グループIDを設定する
ようなのですが違う機器どうしでも冗長構成を組む事は可能
なのでしょうか?
現在、Netscreen-100とNetscreen-200を使い冗長構成(HA)
を検討しているのですが、何処を調べても同じ機器どうしの
情報しか載っていません。
設定事態は、ポート毎に管理IPとVIP、グループIDを設定する
ようなのですが違う機器どうしでも冗長構成を組む事は可能
なのでしょうか?
同一機種でないと冗長構成は組めないって販社の人が言ってたぞ。
484 : :03/02/27 02:00 ID:???
>>482
ベンダに聞け
コンフィグシンクするからまず無理
社会人の世界ではWeb検索するのを調べたとはあまり言わない
何処を調べても分からないなんてのはベンダなり代理店に聞いてから言え
新人とかって、何でベンダのドキュメントあさるより先にWeb検索はじめるのかホントに謎
ベンダへの質問のしかたを覚えるのも立派な勉強なのに
ベンダに聞け
コンフィグシンクするからまず無理
社会人の世界ではWeb検索するのを調べたとはあまり言わない
何処を調べても分からないなんてのはベンダなり代理店に聞いてから言え
新人とかって、何でベンダのドキュメントあさるより先にWeb検索はじめるのかホントに謎
ベンダへの質問のしかたを覚えるのも立派な勉強なのに
485 : :03/02/27 04:22 ID:cY33/7UO
∩
∧_∧ | | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( ´Д`)// < 先生!こんなのを発見シマスタ!
/ / |
/ /| / \ http://saitama.gasuki.com/mona/
__| | .| | \
\  ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \_____________
||\ \
||\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄|| ̄
|| || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
.|| ||
∧_∧ | | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( ´Д`)// < 先生!こんなのを発見シマスタ!
/ / |
/ /| / \ http://saitama.gasuki.com/mona/
__| | .| | \
\  ̄ ̄ ̄ ̄ ̄ ̄ ̄\ \_____________
||\ \
||\|| ̄ ̄ ̄ ̄ ̄ ̄ ̄|| ̄
|| || ̄ ̄ ̄ ̄ ̄ ̄ ̄||
.|| ||
486 :anonymous@ gd1-253005.gd.kcn-tv.ne.jp:03/02/27 06:28 ID:7lN1VR89
↓↓↓↓↓★ココだ★↓↓↓↓↓
http://www.pink-angel.jp/betu/index.html
http://www.pink-angel.jp/betu/index.html
487 :anonymous@ p1102-adsan11honb5-acca.tokyo.ocn.ne.jp:03/02/28 21:43 ID:QHiG200H
LAN to LANのVPN組むときに相手側のアドレスに10.20.0.0/24を設定したら、
10.24.1.1にPing打ったときもパケットが外に行くみたい。いいのか?
ちなみにNS OSはv3.0.3r5.1
10.24.1.1にPing打ったときもパケットが外に行くみたい。いいのか?
ちなみにNS OSはv3.0.3r5.1
488 :anonymous@ p20099-adsau12honb5-acca.tokyo.ocn.ne.jp:03/02/28 21:51 ID:FSI7nIwf
g
>>489
10.24.0.0/24へのルーティングを消してた。
だからデフォルトゲートウェイに飛んでただけだった。すんまそ。
このとき10.20.1.1にPing打つとVPNが張られず
Unreachableで相手先NSまでパケットが届かないのはなぜ?
相手先NSへのPingはOKです。IP8割り当てでなにか違うのかな?
10.24.0.0/24へのルーティングを消してた。
だからデフォルトゲートウェイに飛んでただけだった。すんまそ。
このとき10.20.1.1にPing打つとVPNが張られず
Unreachableで相手先NSまでパケットが届かないのはなぜ?
相手先NSへのPingはOKです。IP8割り当てでなにか違うのかな?
491 :○anonymous:03/03/01 14:35 ID:???
>490
設定を間違えているだけに1票
設定を間違えているだけに1票
>>490
初級ネット板へどうぞ。
初級ネット板へどうぞ。
495 :__________:03/03/02 09:36 ID:???
ロングのUDPパケットをNSで切りたいのだが、MTUを切るコマンドはないのかのう?
MSSならあるのだが
MSSならあるのだが
すんまそん
誤:MTUを切るコマンド
正:MTUを変更するコマンド
誤:MTUを切るコマンド
正:MTUを変更するコマンド
497 :これでも。。。:03/03/02 12:13 ID:EyF8lVaI
>495
うちの会社でNSの保守を依頼している「○○システム」では、こう言います。
「英語のマニュアルを見てください。こちらでは教えられません。」
問い合わせができる「基本サポート」って。。。。
うちの会社でNSの保守を依頼している「○○システム」では、こう言います。
「英語のマニュアルを見てください。こちらでは教えられません。」
問い合わせができる「基本サポート」って。。。。
498 :_____________:03/03/02 13:42 ID:???
500 :NS使い:03/03/03 20:44 ID:FzqF4XDb
>496
MSS+40バイトでは、ダメですか?
NETSCREENのフラグメント設定は、最悪だね。
はじめは「最高」の品物だと思っていたが、知れば知るほど
落ちていく・・・・・・。
http://www.checkpoint.co.jp/data/TollyReport.pdf
この商品、フォローしきれないよ!
MSS+40バイトでは、ダメですか?
NETSCREENのフラグメント設定は、最悪だね。
はじめは「最高」の品物だと思っていたが、知れば知るほど
落ちていく・・・・・・。
http://www.checkpoint.co.jp/data/TollyReport.pdf
この商品、フォローしきれないよ!
>>500
ダメです。
UDPなのでMSSは利きません。
どうしてもクライアントからUDPの1450バイトくらいのパケットがでてて、それをフラグメントしたいのです。
やっぱ端末でレジ書かなきゃダメかなぁ
ダメです。
UDPなのでMSSは利きません。
どうしてもクライアントからUDPの1450バイトくらいのパケットがでてて、それをフラグメントしたいのです。
やっぱ端末でレジ書かなきゃダメかなぁ
502 : :03/03/03 22:00 ID:???
>>500
NS信者ってわけじゃないけどその試験は酷すぎだな
NSが売り出し中のころに使ってた、ただの比較広告と一緒かな
VPN-1ってASFとかIP740とか使ってるんだろうな
NS500はもともと内部バスの制限でギガは詰めるけど500Mまでって謳ってる製品
そもそもルータじゃないんだからFirewallをUDPバーストで評価してもあんまり意味は無いし
NATの速度比較が無いのは性能が劣ってるからだろうし
>>501
何のためにフラグメントしたいの?
UDPをフラグメントさせる方が問題がでかいように思えるんだけど?
NS信者ってわけじゃないけどその試験は酷すぎだな
NSが売り出し中のころに使ってた、ただの比較広告と一緒かな
VPN-1ってASFとかIP740とか使ってるんだろうな
NS500はもともと内部バスの制限でギガは詰めるけど500Mまでって謳ってる製品
そもそもルータじゃないんだからFirewallをUDPバーストで評価してもあんまり意味は無いし
NATの速度比較が無いのは性能が劣ってるからだろうし
>>501
何のためにフラグメントしたいの?
UDPをフラグメントさせる方が問題がでかいように思えるんだけど?
503 :○anonymous:03/03/03 23:21 ID:???
>>501
>どうしてもクライアントからUDPの1450バイトくらいのパケットがでてて
>>502
>UDPをフラグメントさせる方が問題がでかいように思えるんだけど?
使用しているのは、NFSかな?サーバ・クライアントの設定を
調整した方が、パフォーマンスが圧倒的に良くなるよ。
(というか、もしNFSなら、回線や使用環境に応じてパケット長を
調整するのが普通なんだけど。。)
外してたらゴメン
>どうしてもクライアントからUDPの1450バイトくらいのパケットがでてて
>>502
>UDPをフラグメントさせる方が問題がでかいように思えるんだけど?
使用しているのは、NFSかな?サーバ・クライアントの設定を
調整した方が、パフォーマンスが圧倒的に良くなるよ。
(というか、もしNFSなら、回線や使用環境に応じてパケット長を
調整するのが普通なんだけど。。)
外してたらゴメン
>>502
ADSLで組んだインターネットVPN上でWindowsドメインにログオンさせるときにでかいUDPを出すんだよ
だからNSでフラグメントさせないとだめなんだよ
Ciscoでフラグメントさせた検証ではOKだったからNSではMTUの変更コマンドはないかなと思って聞いてるんだよ
>>503
そういう問題ではない。
端末が何百台もある。
ADSLで組んだインターネットVPN上でWindowsドメインにログオンさせるときにでかいUDPを出すんだよ
だからNSでフラグメントさせないとだめなんだよ
Ciscoでフラグメントさせた検証ではOKだったからNSではMTUの変更コマンドはないかなと思って聞いてるんだよ
>>503
そういう問題ではない。
端末が何百台もある。
505 :NS使い:03/03/04 21:22 ID:7EomwWsW
NSで、UDPのフラグメント調整はできないみたいだね。
マイクロソフトは、LANネットワーク用に作られているため、WAN(VPN)
では、ぜんぜん使えないね。。。
マイクロソフトISAは、L2TPoverIPSECだしね。。。
WIN2000のADなんか使ってると、ケルベロスやグローバルカタログのパケットが
NETSCREENに襲いかかってくるので大変だと思います。
NS対NSですか? NSリモートで使ってますか?
NSリモートとブロードバンドルータを使うときは、NATごえをすると思います。
ヒントとして、マイクロソフトRPCは、NATをサポートしておりません。
RPCは、どのような時に使っていると思いますか?
。。。。。そうですね。 あらゆるMS製品で使ってますね。
他の「NS使い」より、答えが近づいたかと思いますが。。。。
頭に血が上らないようにがんばってください。
IT業界は、評論家が多いので自分が能動的に動かないとね。。。
マイクロソフトは、LANネットワーク用に作られているため、WAN(VPN)
では、ぜんぜん使えないね。。。
マイクロソフトISAは、L2TPoverIPSECだしね。。。
WIN2000のADなんか使ってると、ケルベロスやグローバルカタログのパケットが
NETSCREENに襲いかかってくるので大変だと思います。
NS対NSですか? NSリモートで使ってますか?
NSリモートとブロードバンドルータを使うときは、NATごえをすると思います。
ヒントとして、マイクロソフトRPCは、NATをサポートしておりません。
RPCは、どのような時に使っていると思いますか?
。。。。。そうですね。 あらゆるMS製品で使ってますね。
他の「NS使い」より、答えが近づいたかと思いますが。。。。
頭に血が上らないようにがんばってください。
IT業界は、評論家が多いので自分が能動的に動かないとね。。。
506 : :03/03/04 22:05 ID:SVwgU0U1
>>501
Why am I unable to use some Microsoft services over a VPN?
http://support.netscreen.com/eserverweb/esupport_customer/consumer/esupport.asp?id=nskb937
Why am I unable to use some Microsoft services over a VPN?
http://support.netscreen.com/eserverweb/esupport_customer/consumer/esupport.asp?id=nskb937
>>501
NSにMTU変更コマンドはなかったはず。
>>506 のやり方も、PMTU Discovery を使用して
いるにすぎない気がする。
Bフレッツで使用しているうちのNSは、DFビットが
立ったパケットをフラグメントさせて外に送っていたので
サーバ側でMTUを変更して対処してます。
NSにMTU変更コマンドはなかったはず。
>>506 のやり方も、PMTU Discovery を使用して
いるにすぎない気がする。
Bフレッツで使用しているうちのNSは、DFビットが
立ったパケットをフラグメントさせて外に送っていたので
サーバ側でMTUを変更して対処してます。
509 :NS使い:03/03/06 23:26 ID:ZPVRzNlu
>>508
もう解決したのかな。
A答え set flow max 1300
上記のコマンドは、かなりの条件が伴うのですが、
これ以外は無いのです。
その条件とは、上記「答え」がヒントになってます。
以上。
511 :NSer:03/03/08 14:11 ID:9aq4QLfw
ところで、set flow tcp-mssコマンドは
set flow all-tcp-mssコマンドを入れている以上意味のないコマンドなのかなぁ?
set flow all-tcp-mssコマンドを入れている以上意味のないコマンドなのかなぁ?
512 :ayu ready?:03/03/08 17:51 ID:???
>>510
510さん、479を確認しください。
あなたは、この掲示板で質問して「NS使い」さんに回答してもらってる方に
その書き方は「適切」では無いと思います。
>あまり偉そうにしないほうがいいんじゃないかな
恥ずかしいから(w
では、あなたは偉いのですか?
上記の書き込みに文句を書くのではなく、もっと自分の立場を考えることが
重要だと思います。
この掲示板は、サポートセンタではないのだから。。。。
510さん、479を確認しください。
あなたは、この掲示板で質問して「NS使い」さんに回答してもらってる方に
その書き方は「適切」では無いと思います。
>あまり偉そうにしないほうがいいんじゃないかな
恥ずかしいから(w
では、あなたは偉いのですか?
上記の書き込みに文句を書くのではなく、もっと自分の立場を考えることが
重要だと思います。
この掲示板は、サポートセンタではないのだから。。。。
513 :あ:03/03/08 23:31 ID:9aq4QLfw
このスレはサポートセンターだよ
へ?
便所の落書きでしょ。
便所の落書きでしょ。
>>509
たしかに509はもったいつけてるくせに、回答に「これ以外はないのです」なんて言って解答になってないのだから、ちょっと笑えるかな。
>>512
お前も日本語勉強したほうがいいんじゃない。粘着すんなよ。
>>510
お前も煽るなよ。
っていうかどうやって解決したか教えてくれ。
NSで解決したのか?
たしかに509はもったいつけてるくせに、回答に「これ以外はないのです」なんて言って解答になってないのだから、ちょっと笑えるかな。
>>512
お前も日本語勉強したほうがいいんじゃない。粘着すんなよ。
>>510
お前も煽るなよ。
っていうかどうやって解決したか教えてくれ。
NSで解決したのか?
>>514
サポ担当者の落書き帖(w<漏れ
真面目に回答するときもあれば、愚痴を書くときもある罠
>>515
>509の書き込みはワラタ。中身無いし、
「〜以外に無い」なんて言う奴は、クズ技術者しかいないから
相手する必要ないと思うよ。
>>510
結果は知りたいな。これまでサーバやクライアントを調整して
逃れてたから、NSで出来る(ようになった?)なら嬉しい。
#決算すんだら、部長の背任横領/顧客とのNDA違反と、経理の粉飾と不正・横領の証拠を
#リークしようかな。小さい会社だから、飛んだら、雇用保険すぐ出るし(藁
サポ担当者の落書き帖(w<漏れ
真面目に回答するときもあれば、愚痴を書くときもある罠
>>515
>509の書き込みはワラタ。中身無いし、
「〜以外に無い」なんて言う奴は、クズ技術者しかいないから
相手する必要ないと思うよ。
>>510
結果は知りたいな。これまでサーバやクライアントを調整して
逃れてたから、NSで出来る(ようになった?)なら嬉しい。
#決算すんだら、部長の背任横領/顧客とのNDA違反と、経理の粉飾と不正・横領の証拠を
#リークしようかな。小さい会社だから、飛んだら、雇用保険すぐ出るし(藁
517 : :03/03/09 15:06 ID:???
ルータ間に入れたとかってオチっぽいな、何となく
>517
ああ、それも良くやるけど、今回の件って、当然
「追加機材・予算は無い」という前提で考えないと
いけないもんだと思ってたよ
ああ、それも良くやるけど、今回の件って、当然
「追加機材・予算は無い」という前提で考えないと
いけないもんだと思ってたよ
519 :○anonymous:03/03/11 12:44 ID:???
今週一杯で、めでたく退職だぁ。皆さま、頑張ってくだされ
520 :kkk:03/03/12 00:37 ID:BHIbC+2t
433で、話題に上がってた「FortiGate」ですが、
1ヶ月たちましたが、どなたか使用した人います?
カタログ的なスペックだけ見たらNetScreenを凌駕してるように
見えるんですが・・・。
1ヶ月たちましたが、どなたか使用した人います?
カタログ的なスペックだけ見たらNetScreenを凌駕してるように
見えるんですが・・・。
521 :○anonymous:03/03/12 01:00 ID:???
>520
仕事に使うなら、やめといたほうがいいよ。
泥沼好きなら、どうぞ
放置ゲート
仕事に使うなら、やめといたほうがいいよ。
泥沼好きなら、どうぞ
放置ゲート
522 :○anonymous:03/03/12 01:00 ID:???
>520
つられて書き間違い。。
FortiNet=放置ネット
つられて書き間違い。。
FortiNet=放置ネット
>>520
使ってみてはないけど、ちょっと話を聴いてみた
もともとNetScreen作ってた人間が独立して会社作ったのがFortinetらしい
あの値段でこの速度出るなら、マジですごいっすよね
でも注目してるのはFirewallよりウィルススキャンの機能だったりする
HTTPのウィルススキャンで処理が速い機種探してたんだよね
年度末なんで今は買えないけど、年度替わったら400あたりを買ってみたい
あと、似たような製品でServGateのEdgeForceってのが激安
こっちはソフト処理っぽいんで速度はそんなに出ないかもしれないけど
http://www.networks.macnica.co.jp/servgate/index.html
使ってみてはないけど、ちょっと話を聴いてみた
もともとNetScreen作ってた人間が独立して会社作ったのがFortinetらしい
あの値段でこの速度出るなら、マジですごいっすよね
でも注目してるのはFirewallよりウィルススキャンの機能だったりする
HTTPのウィルススキャンで処理が速い機種探してたんだよね
年度末なんで今は買えないけど、年度替わったら400あたりを買ってみたい
あと、似たような製品でServGateのEdgeForceってのが激安
こっちはソフト処理っぽいんで速度はそんなに出ないかもしれないけど
http://www.networks.macnica.co.jp/servgate/index.html
524 :○anonymous:03/03/12 02:01 ID:???
>523
皆さん、カタログで騙されるのねぇ。
頑張ってね。
#FW-1 & WG & NS & FortiNet & ServGateともに扱ってたから、
#SG買うならPC使った方がマシ。
皆さん、カタログで騙されるのねぇ。
頑張ってね。
#FW-1 & WG & NS & FortiNet & ServGateともに扱ってたから、
#SG買うならPC使った方がマシ。
>521,523,524
なるほどね。。
じゃあメールサーバの上位にウィルスプロテクトを主目的とした
使用方法なら良いかな。(例え仕事だとしても)
だってライセンス制じゃないから金がかからないじゃないですか?
某大手通信キャリアも法人向けサービスに採用したし。。
http://www.zdnet.co.jp/enterprise/0302/04/epn04.html
なるほどね。。
じゃあメールサーバの上位にウィルスプロテクトを主目的とした
使用方法なら良いかな。(例え仕事だとしても)
だってライセンス制じゃないから金がかからないじゃないですか?
某大手通信キャリアも法人向けサービスに採用したし。。
http://www.zdnet.co.jp/enterprise/0302/04/epn04.html
526 :○anonymous:03/03/12 12:35 ID:???
>525
> だってライセンス制じゃないから金がかからないじゃないですか?
どういう意味でライセンス制じゃないって言っているのかな?
ま、何はともあれ、信頼できるベンダー(あるのか?(藁))通した方が
無難。面白い機械だとは思うよ。少なくとも、FG>>SGは認められるから。
導入環境不明なので、この辺で勘弁。
> だってライセンス制じゃないから金がかからないじゃないですか?
どういう意味でライセンス制じゃないって言っているのかな?
ま、何はともあれ、信頼できるベンダー(あるのか?(藁))通した方が
無難。面白い機械だとは思うよ。少なくとも、FG>>SGは認められるから。
導入環境不明なので、この辺で勘弁。
>>526
TrendMicro, Symantecとか、Sophos, f-secureのウィルススキャン製品はみんなユーザ数が
増えると価格が上がるライセンスになってるじゃないですか
McAfeeのWebShieldはユーザ数関係ないけど、スループット(特にHTTP)が微妙
FortiGateも、機種とスループットは関係あるけど、ユーザ数と関係するようなライセンスは
ないんで使いやすいんじゃないでしょうか?
正直、金額的なものもあるけど、ユーザ数チェックするのって結構面倒なんですよね
TrendMicro, Symantecとか、Sophos, f-secureのウィルススキャン製品はみんなユーザ数が
増えると価格が上がるライセンスになってるじゃないですか
McAfeeのWebShieldはユーザ数関係ないけど、スループット(特にHTTP)が微妙
FortiGateも、機種とスループットは関係あるけど、ユーザ数と関係するようなライセンスは
ないんで使いやすいんじゃないでしょうか?
正直、金額的なものもあるけど、ユーザ数チェックするのって結構面倒なんですよね
528 :○anonymous:03/03/13 00:16 ID:???
>527
>ユーザ数チェックするのって結構面倒なんですよね
この気持ちは判ります。FW−1のライセンスなんて
MACアドレス覚えるから、足りているのに違うマシンを
繋いだとかで溢れたりするもんね。
てっきり、アップデートライセンスが無料、、という意味で
思ってるのかと誤解してた。スマン
>ユーザ数チェックするのって結構面倒なんですよね
この気持ちは判ります。FW−1のライセンスなんて
MACアドレス覚えるから、足りているのに違うマシンを
繋いだとかで溢れたりするもんね。
てっきり、アップデートライセンスが無料、、という意味で
思ってるのかと誤解してた。スマン
>>524
ちなみに、ServGateは遅そうだってのはソフトウェア処理だっていうことから
想像できたんですが、WatchGuardってどうなんでしょう?
Vclassはハード処理ですけど、もともとあるIIIはソフト処理ですよね?
本体とソフト一体型のアプライアンス型Firewallをいろいろ見て、だいたい
100万円前後でよさげな製品を探してるんですが.......
ちなみに、ServGateは遅そうだってのはソフトウェア処理だっていうことから
想像できたんですが、WatchGuardってどうなんでしょう?
Vclassはハード処理ですけど、もともとあるIIIはソフト処理ですよね?
本体とソフト一体型のアプライアンス型Firewallをいろいろ見て、だいたい
100万円前後でよさげな製品を探してるんですが.......
530 :○anonymous:03/03/14 02:27 ID:???
>529
> 本体とソフト一体型のアプライアンス型Firewallをいろいろ見て、だいたい
> 100万円前後でよさげな製品を探してるんですが.......
>
主目的とクライアント数は?冗長化の予定は?なんらかの
GW型サーバとの連動は必要?RADIUS(ACE)とかは?
などで回答は変わりますが、
WGは、RコアでのVPN処理は高速。だけど、NSなどと違って
クライアントライセンス数を超えて通信すると、それ以上のクライアントは
接続できなくなりまふ。通信断がセッション単位で無いって意味でね無き。
また、リモートVPNクライアントから接続したいとかいうと
地獄を見ます。
内部ネットワークが複雑な場合もですね。
あと、TCP−MSS問題への対応度が負けてるかな。
NSにFW−1並みの操作性があれば、文句無いのになぁ〜というのが本音。
単純に、FRをI-VPN置き換えで3DESスループット欲しいという場合などは
お勧めできます。ただし、主にロングパケットを使う場合に、、と制限を
かけます。ショートパケットスループットはNSが上です。
(携帯には不向き)
ただ、ベースOSがSGと同じくLINUXなので、
電源断からの復旧には時間がかかります。(SGほどじゃないけど)
ファームアップデートしたら、Restore Defaultしても(ヲイヲイ)
元のファームに戻せなくなったりもします。
#無料でコンサルできるのは、この辺が限界かな。あとは有償にて(藁
> 本体とソフト一体型のアプライアンス型Firewallをいろいろ見て、だいたい
> 100万円前後でよさげな製品を探してるんですが.......
>
主目的とクライアント数は?冗長化の予定は?なんらかの
GW型サーバとの連動は必要?RADIUS(ACE)とかは?
などで回答は変わりますが、
WGは、RコアでのVPN処理は高速。だけど、NSなどと違って
クライアントライセンス数を超えて通信すると、それ以上のクライアントは
接続できなくなりまふ。通信断がセッション単位で無いって意味でね無き。
また、リモートVPNクライアントから接続したいとかいうと
地獄を見ます。
内部ネットワークが複雑な場合もですね。
あと、TCP−MSS問題への対応度が負けてるかな。
NSにFW−1並みの操作性があれば、文句無いのになぁ〜というのが本音。
単純に、FRをI-VPN置き換えで3DESスループット欲しいという場合などは
お勧めできます。ただし、主にロングパケットを使う場合に、、と制限を
かけます。ショートパケットスループットはNSが上です。
(携帯には不向き)
ただ、ベースOSがSGと同じくLINUXなので、
電源断からの復旧には時間がかかります。(SGほどじゃないけど)
ファームアップデートしたら、Restore Defaultしても(ヲイヲイ)
元のファームに戻せなくなったりもします。
#無料でコンサルできるのは、この辺が限界かな。あとは有償にて(藁
>>530
情報ありがとうございます
・ユーザ数は未定ですが、そんなに多くない(数十〜数百)
・主目的はFirewallのみ、当分はVPNの必要なし
・HTTPの簡単なURLフィルタリングがあればうれしい
・冗長化はできればあったほうがいいですが、価格が倍、もしくはそれ以上に
なっちゃうので、最悪なくても可
・ウィルススキャン装置と連携できるといいですが、別にできなきゃFirewall
配下にウィルススキャン装置置けばいいかな
・RADIUSは特に不要
くらいです。
Firewall単体ならNSがよさげかなぁと思ってたんですが、ウィルススキャンが
ASIC処理でできるってことでFortiGateもおもしろそうかと
評価用にお金積んであるので、年度あけたらNS-204くらいとFortiGate300/400
あたりを買って性能測定してみようと思います
Nessusかけてみたり、SmartBitsでガリガリ負荷かけてみよう
(評価機貸してくれるところもあるのでできればそれで済まそうかな)
情報ありがとうございます
・ユーザ数は未定ですが、そんなに多くない(数十〜数百)
・主目的はFirewallのみ、当分はVPNの必要なし
・HTTPの簡単なURLフィルタリングがあればうれしい
・冗長化はできればあったほうがいいですが、価格が倍、もしくはそれ以上に
なっちゃうので、最悪なくても可
・ウィルススキャン装置と連携できるといいですが、別にできなきゃFirewall
配下にウィルススキャン装置置けばいいかな
・RADIUSは特に不要
くらいです。
Firewall単体ならNSがよさげかなぁと思ってたんですが、ウィルススキャンが
ASIC処理でできるってことでFortiGateもおもしろそうかと
評価用にお金積んであるので、年度あけたらNS-204くらいとFortiGate300/400
あたりを買って性能測定してみようと思います
Nessusかけてみたり、SmartBitsでガリガリ負荷かけてみよう
(評価機貸してくれるところもあるのでできればそれで済まそうかな)
すいません、230-24*くらいで話題になってた、ネットワークアドレスの件ですが、
当方、OCNのBフレIP8+NS25で接続すると、当然Untrustはネットワークアドレスが
ついてて、インターネットへ接続して、Webも閲覧できるんですが、
一部サイトにアクセス出来ないんですよ。。(MSやgooなど)
このような現象って聞いたことありますか?
ちなみにこの回線(アドレス空間)の逆引きDNSは違うアドレス空間に
あるDNSで設定しています。
考える原因としては、逆引き(ネットワークアドレスでのアクセスの為)が
出来ない為か、NS25の設定だと思うのですが、NS25は、ネットワークアドレス
以外でのIPでのアクセスをするようなインターフェイス(?)の設定が出来るのでしょうか?
意味不明だったり、書き方が微妙でしたらすみません。。。
当方、OCNのBフレIP8+NS25で接続すると、当然Untrustはネットワークアドレスが
ついてて、インターネットへ接続して、Webも閲覧できるんですが、
一部サイトにアクセス出来ないんですよ。。(MSやgooなど)
このような現象って聞いたことありますか?
ちなみにこの回線(アドレス空間)の逆引きDNSは違うアドレス空間に
あるDNSで設定しています。
考える原因としては、逆引き(ネットワークアドレスでのアクセスの為)が
出来ない為か、NS25の設定だと思うのですが、NS25は、ネットワークアドレス
以外でのIPでのアクセスをするようなインターフェイス(?)の設定が出来るのでしょうか?
意味不明だったり、書き方が微妙でしたらすみません。。。
533 :anonymous@ TOKa1Aaf015.szo.mesh.ad.jp:03/03/15 18:32 ID:K/NyCqK7
http://banana.fruitmail.net/cgi/introduce_jump1.cgi?1461282
これは合法です。安心して下さいm(__)m
『フルーツメール』というサイトなんですが、
なんとこのサイトでは紹介すると1人につき『300円』
貰えるんです。私はこれを使って約100人紹介しました。
掲示板などに書き込んで置けば勝手に色々な
人が登録してくれてどんどん儲かります。
私みたいにオークションを利用する手もありますね。
yahoo!は出品代金がかかってしまうのがねっくなんですが…
無料のオークションサイトもあるのでそちらを利用されてみては…?
でもやはり初めは身近な人に登録して貰うのが一番手っ取り早いですね。
このサイトのメールを受信しておくだけでもなかなかお金になると思いますよ(*^_^*)
※1メール受信するごとに約5円貰えます。
メールはほぼ毎日着ます。
これは合法です。安心して下さいm(__)m
『フルーツメール』というサイトなんですが、
なんとこのサイトでは紹介すると1人につき『300円』
貰えるんです。私はこれを使って約100人紹介しました。
掲示板などに書き込んで置けば勝手に色々な
人が登録してくれてどんどん儲かります。
私みたいにオークションを利用する手もありますね。
yahoo!は出品代金がかかってしまうのがねっくなんですが…
無料のオークションサイトもあるのでそちらを利用されてみては…?
でもやはり初めは身近な人に登録して貰うのが一番手っ取り早いですね。
このサイトのメールを受信しておくだけでもなかなかお金になると思いますよ(*^_^*)
※1メール受信するごとに約5円貰えます。
メールはほぼ毎日着ます。
534 :anonymous@ h199.p511.iij4u.or.jp:03/03/15 21:47 ID:Zkq0tytk
>>531
> ・ユーザ数は未定ですが、そんなに多くない(数十〜数百)
・・・・
> ・RADIUSは特に不要
ここまで、はっきりしていると
> Firewall単体ならNSがよさげかなぁと思ってたんですが、ウィルススキャンが
> ASIC処理でできるってことでFortiGateもおもしろそうかと
> 評価用にお金積んであるので、年度あけたらNS-204くらいとFortiGate300/400
> あたりを買って性能測定してみようと思います
評価機予算で、NS204→208(不要だって・・藁)にするとかURLフィルタリングソフトとか、GW-Anti Virusサーバとかの予算にして実環境構成試験した方が良いと思われます。趣味でやるんでなければ、ですが。
機器の冗長化もそうですが、回線バックアップ機能とかはそれなりに使えますよ。>NS
(お金があってうらやましい・・評価すんで余ったNS204、、安く譲って欲しいぐらい・・・
それか、会社辞めたばかりで暇だから、評価検証手伝うんで下さい・・とか・滝汗)なんだったら実環境導入面倒見ましょうか(爆)
設計・構築・導入・保守まで可能ですけど(笑)
> Nessusかけてみたり、SmartBitsでガリガリ負荷かけてみよう
> (評価機貸してくれるところもあるのでできればそれで済まそうかな)
参考までにいうと、先のBit長単位でのパフォーマンス比較はSmartBitsを使った結果を元にしています。
NESSUS他各種セキュリティ試験ツールも、大抵試しました。まあ、色々試したものの、何でも単体で出来そうに見えるものが一番トラブルという一般論を覆してくれるものには、
なかなか出会いませんね。アンチウイルスを有効にすると、スループットがガタ落ちして、使い物にならなかったり、、とかね。機能の組み合わせ使用時のパフォーマンスは、、です。
参考になれば幸いです。
> ・ユーザ数は未定ですが、そんなに多くない(数十〜数百)
・・・・
> ・RADIUSは特に不要
ここまで、はっきりしていると
> Firewall単体ならNSがよさげかなぁと思ってたんですが、ウィルススキャンが
> ASIC処理でできるってことでFortiGateもおもしろそうかと
> 評価用にお金積んであるので、年度あけたらNS-204くらいとFortiGate300/400
> あたりを買って性能測定してみようと思います
評価機予算で、NS204→208(不要だって・・藁)にするとかURLフィルタリングソフトとか、GW-Anti Virusサーバとかの予算にして実環境構成試験した方が良いと思われます。趣味でやるんでなければ、ですが。
機器の冗長化もそうですが、回線バックアップ機能とかはそれなりに使えますよ。>NS
(お金があってうらやましい・・評価すんで余ったNS204、、安く譲って欲しいぐらい・・・
それか、会社辞めたばかりで暇だから、評価検証手伝うんで下さい・・とか・滝汗)なんだったら実環境導入面倒見ましょうか(爆)
設計・構築・導入・保守まで可能ですけど(笑)
> Nessusかけてみたり、SmartBitsでガリガリ負荷かけてみよう
> (評価機貸してくれるところもあるのでできればそれで済まそうかな)
参考までにいうと、先のBit長単位でのパフォーマンス比較はSmartBitsを使った結果を元にしています。
NESSUS他各種セキュリティ試験ツールも、大抵試しました。まあ、色々試したものの、何でも単体で出来そうに見えるものが一番トラブルという一般論を覆してくれるものには、
なかなか出会いませんね。アンチウイルスを有効にすると、スループットがガタ落ちして、使い物にならなかったり、、とかね。機能の組み合わせ使用時のパフォーマンスは、、です。
参考になれば幸いです。
535 :○anonymous:03/03/15 21:54 ID:???
>534
長すぎて編集しなおしてる際に、そのまま送られてしまった。>sage
長すぎて編集しなおしてる際に、そのまま送られてしまった。>sage
536 :○anonymous:03/03/16 05:31 ID:???
>532
>考える原因としては、逆引き(ネットワークアドレスでのアクセスの為)が
出来ない為か、NS25の設定だと思うのですが
そもそも、この推測自体が、、、ですんで、もっと
ネットワークのこと勉強しなおしてください。
>一部サイトにアクセス出来ないんですよ。。(MSやgooなど)
このような現象って聞いたことありますか?
ちなみに、このような症状は、頻発します。
原因は様々ですがね。
>考える原因としては、逆引き(ネットワークアドレスでのアクセスの為)が
出来ない為か、NS25の設定だと思うのですが
そもそも、この推測自体が、、、ですんで、もっと
ネットワークのこと勉強しなおしてください。
>一部サイトにアクセス出来ないんですよ。。(MSやgooなど)
このような現象って聞いたことありますか?
ちなみに、このような症状は、頻発します。
原因は様々ですがね。
537 :○anonymous:03/03/16 05:32 ID:???
>536
誤解のないように追加
> ちなみに、このような症状は、頻発します。
> 原因は様々ですがね。
NSに限らず、、です。
誤解のないように追加
> ちなみに、このような症状は、頻発します。
> 原因は様々ですがね。
NSに限らず、、です。
538 :anonymous@ p1071-air01hon128k.tokyo.ocn.ne.jp:03/03/16 22:56 ID:E4sZmyI0
CGIのサイトに関しては、NSから見に行けないなんて
現象が多々あります。
回避方法をお教えしましょう。
現象が多々あります。
回避方法をお教えしましょう。
539 :anonymous@ i080195.ap.plala.or.jp:03/03/16 22:57 ID:???
∋8ノノハ.∩
川o・-・)ノ <先生!こんなのがありました!
__/ / /
\(_ノ ̄ ̄ ̄\
||ヽ|| ̄ ̄ ̄ ̄||
...|| ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/shinagawa/
川o・-・)ノ <先生!こんなのがありました!
__/ / /
\(_ノ ̄ ̄ ̄\
||ヽ|| ̄ ̄ ̄ ̄||
...|| ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/shinagawa/
540 :○anonymous:03/03/18 00:09 ID:???
>538
それは、障害のパターンの一例ですね。
NS(他のFW)での回避不能なサーバも存在しますよ。
こういう場合はサーバ側に直して貰わないと、どうしようもない。
それは、障害のパターンの一例ですね。
NS(他のFW)での回避不能なサーバも存在しますよ。
こういう場合はサーバ側に直して貰わないと、どうしようもない。
541 :y:03/03/20 22:07 ID:8adI+Bk2
NS25(ScreenOS4)で困っております。
eth1 - Trust(NAT) 192.168.1.0/24
eth2 - DMZ(ROUTE) KDDI指定のルータIP
eth3 - Untrust(Unnumbered IP8)
eth4 - null
上記構成で、Trust側クライアントからインターネットに接続できません。
原因は、NATで変換されるアドレスがUntrustのもの(0.0.0.0)になっていることだと思うのですが・・・。
Policyは全てPermitの状態にしてあります。
また、DMZからインターネットへはいけます。
こんな単純なこと、きっと簡単な何かだと思うのですが・・・どうにもわかりません。
ScreenOS4に関してはまだほとんど理解できてません。誰か助けて(T△T)
eth1 - Trust(NAT) 192.168.1.0/24
eth2 - DMZ(ROUTE) KDDI指定のルータIP
eth3 - Untrust(Unnumbered IP8)
eth4 - null
上記構成で、Trust側クライアントからインターネットに接続できません。
原因は、NATで変換されるアドレスがUntrustのもの(0.0.0.0)になっていることだと思うのですが・・・。
Policyは全てPermitの状態にしてあります。
また、DMZからインターネットへはいけます。
こんな単純なこと、きっと簡単な何かだと思うのですが・・・どうにもわかりません。
ScreenOS4に関してはまだほとんど理解できてません。誰か助けて(T△T)
542 :541:03/03/20 22:08 ID:8adI+Bk2
嗚呼。ごめんなさい。
TrustのIPは192.168.1.1/24です。。。
TrustのIPは192.168.1.1/24です。。。
543 :名無し募集中。。。:03/03/20 22:18 ID:5oj+v5ab
>>534
すごい参考になりました。ありがとうございます
NS-204とFortiGate400とWebsenseが買えそうな状況
検証済んでも、こいつを使うとなるとversion upの時とかの試験機が
ずっと必要になるので、お譲りするのは難しいかも.....
とりあえず、過負荷試験を中心にいろいろやってみます
すごい参考になりました。ありがとうございます
NS-204とFortiGate400とWebsenseが買えそうな状況
検証済んでも、こいつを使うとなるとversion upの時とかの試験機が
ずっと必要になるので、お譲りするのは難しいかも.....
とりあえず、過負荷試験を中心にいろいろやってみます
544 :541:03/03/20 22:25 ID:8adI+Bk2
DIPでいけましたです・・・・
マニュアルにもありましたね(^_^;
すんまそん・・・・・
マニュアルにもありましたね(^_^;
すんまそん・・・・・
545 :○anonymous:03/03/21 03:29 ID:???
>543
参考になって良かったです。私も再就職先を決めましたので、良かったです(w
今度の職場でも、FWを扱うことも、しばしばありそうなので、
もし何か仕事がありましたら、よろしくご連絡ください。
(って、どうやって伝える・・捨てID?)
参考になって良かったです。私も再就職先を決めましたので、良かったです(w
今度の職場でも、FWを扱うことも、しばしばありそうなので、
もし何か仕事がありましたら、よろしくご連絡ください。
(って、どうやって伝える・・捨てID?)
ロングのUDPパケットをNSで切りたいのだが、MTUを切るコマンドはないのかのう?
MSSならあるのだが
MSSならあるのだが
547 : :03/03/21 22:52 ID:???
ループスレしてきた?
548 :anonymous@ CTS219103106008.cts.ne.jp:03/03/22 15:05 ID:2pp+cCOI
NS500をレンタルや中古販売している会社ってあるのでしょうか?
Webで検索かけても適当なところが見つかりません。
ご存知でしたら会社名とURL等教えていただけると助かります。
Webで検索かけても適当なところが見つかりません。
ご存知でしたら会社名とURL等教えていただけると助かります。
★あなたのお悩み解決致します!!
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
直通 090−8505−3086
URL http://www.h5.dion.ne.jp/~grobal/
メール [email protected]
グローバル探偵事務局
●浮気素行調査
彼氏、彼女、妻、夫の浮気を調査致します!!
●盗聴器盗撮機発見
あなたの部屋に誰かが仕掛けているかも!!
●行方調査
行方不明になっている家族の消息を調査致します!!
●電話番号から住所割り出し
一般電話、携帯から住所を割り出し致します!!
●ストーカー対策
社会問題ともなっているストーカーを撃退致します!!
その他人生相談からどんなお悩みでも解決いたします!!
直通 090−8505−3086
URL http://www.h5.dion.ne.jp/~grobal/
メール [email protected]
グローバル探偵事務局
そういえば、これって解決方法スレってたっけ?
結果がわからず、自然消滅だよね。
結果がわからず、自然消滅だよね。
そうだ。この解決方法、スレ!
552 :m:03/03/22 16:17 ID:YkYrlQ5j
546、ってどうなったんだ!!
オラにも教えてくりゃぁ。。。
>>543
FortiGate興味あるので検証レポ期待しております(w
FortiGate興味あるので検証レポ期待しております(w
>>543
FortiGateってFirewallとして使うことが多いですか?
それともVirusGatewayとして使うことが多いですか?
こないだベンダから紹介受けたんだが、どうもVirusGatewayとして使うのは抵抗が・・・
きちんと防いでくれるんでしょうかねぇ?
FortiGateってFirewallとして使うことが多いですか?
それともVirusGatewayとして使うことが多いですか?
こないだベンダから紹介受けたんだが、どうもVirusGatewayとして使うのは抵抗が・・・
きちんと防いでくれるんでしょうかねぇ?
557 :anonymous@ p1130-ipbf01sapodori.hokkaido.ocn.ne.jp:03/03/27 12:34 ID:bj9src9T
ocnはさっさとscreeenOSのバージョンあげれ!
nattraversalつかえんだろうが
nattraversalつかえんだろうが
558 :petrov:03/03/27 20:13 ID:y1bwMugO
無謀にも初めて NetScreen を設定を担当してしまった者です。ちょっと
分からないことがありまして教えてほしいのですが。
NNetScreen は NAT モードで、DHCPサーバを動作させていますが、
クライアントPC(Win98)の設定を IPアドレスの自動取得として
「DNSを使わない」にしているとインターネットにつながりません。
DNSアドレスに NetScreen の Trust側アドレスを設定すれば Web
が見れるようになるのですが、これは仕様ですか?一般にブロード
バンドルータなどを使用したときには DNSサーバのアドレスも自動
取得されますよね。
初歩的な質問ですみませんが教えてください。
分からないことがありまして教えてほしいのですが。
NNetScreen は NAT モードで、DHCPサーバを動作させていますが、
クライアントPC(Win98)の設定を IPアドレスの自動取得として
「DNSを使わない」にしているとインターネットにつながりません。
DNSアドレスに NetScreen の Trust側アドレスを設定すれば Web
が見れるようになるのですが、これは仕様ですか?一般にブロード
バンドルータなどを使用したときには DNSサーバのアドレスも自動
取得されますよね。
初歩的な質問ですみませんが教えてください。
559 : :03/03/27 21:38 ID:???
______________
/:\.____\
|: ̄\(∩´∀`) \ <先生!こんなのがありました!
|:在 |: ̄ ̄ U ̄:|
http://saitama.gasuki.com/shinagawa/
/:\.____\
|: ̄\(∩´∀`) \ <先生!こんなのがありました!
|:在 |: ̄ ̄ U ̄:|
http://saitama.gasuki.com/shinagawa/
560 :bloom:03/03/27 22:51 ID:Quvs8Ank
561 :名無しさん@Emacs:03/03/28 02:38 ID:???
F5 スレがないので、ここで聞いても良いかな?
BIG-IP FireGuard 520ってどう? 値段高い?
ロードバランサー機能萌なんだけど
NetScreenとどっちがいいかな?
BIG-IP FireGuard 520ってどう? 値段高い?
ロードバランサー機能萌なんだけど
NetScreenとどっちがいいかな?
>561
>F5 スレがないので、ここで聞いても良いかな?
ここは、「NETSCREENユーザスレ」だからダメ!
>F5 スレがないので、ここで聞いても良いかな?
ここは、「NETSCREENユーザスレ」だからダメ!
563 :(´-ω-`):03/03/28 15:09 ID:p0qmXHJQ
イラクの人はここ見てます
http://www.k-514.com
,.-、
/.n l /⌒ヽ
| l l | ,' /7 ,'
, '' ` ー ' '-' /
/ 、_, `ヽ
l , .-. 、`´ l
ヽ ヽ ̄フ /
丶、 ̄____,/
/ ,. - 、 )
(( ( n ([N],ハ_う
ゝ)ノ  ̄ ヽ
/ _ l ))
〈__ノ´ `(_ノ
http://www.k-514.com
,.-、
/.n l /⌒ヽ
| l l | ,' /7 ,'
, '' ` ー ' '-' /
/ 、_, `ヽ
l , .-. 、`´ l
ヽ ヽ ̄フ /
丶、 ̄____,/
/ ,. - 、 )
(( ( n ([N],ハ_う
ゝ)ノ  ̄ ヽ
/ _ l ))
〈__ノ´ `(_ノ
564 :anonymous@ p10129-ipadfx01hon.tokyo.ocn.ne.jp:03/03/30 10:39 ID:3/5oxOYR
565 : :03/03/30 13:37 ID:???
>>564
>F5にかぎらずロードバランサーのスレッド建ててよ。
検索の仕方も分からんの?
>皆さんが使っているNetscreenのモデル教えてください。
数少ないNS-1000ユーザですよ
100も200も500も入れてるけど
1000は単純に帯域稼ぐとき以外は使いもんにならん
ギガでワイヤレートでても3000cpsで死ぬようじゃな
500の方が遥かにいい
>F5にかぎらずロードバランサーのスレッド建ててよ。
検索の仕方も分からんの?
>皆さんが使っているNetscreenのモデル教えてください。
数少ないNS-1000ユーザですよ
100も200も500も入れてるけど
1000は単純に帯域稼ぐとき以外は使いもんにならん
ギガでワイヤレートでても3000cpsで死ぬようじゃな
500の方が遥かにいい
566 :Netscreener:03/03/30 14:19 ID:???
Vsys はいくつ使ってますか?
追加とかしたことあります?
追加とかしたことあります?
スマソ。
566 の質問は
> 565
ですた。
566 の質問は
> 565
ですた。
>>566
ライセンスは5vsysのとこも24vsysのとこも無しのとこもある
でも、現状使ってるのは多くても1システムに4つぐらいかな
VPNな使い方をあんまりしてないので、大量のVsysが必要になる要件の場所があまり無い
24vsysのライセンスのところは客の予算が余ってたってだけ
追加ってライセンスの追加?
それともVsys自体の新規作成?
Vsysの新規作成はNS-500のOS-2.6.xだと、
リブートしないとタグが流れなかったな
ライセンスは5のライセンスに24を追加して29使えるかとかは試したことは無い
ライセンスは5vsysのとこも24vsysのとこも無しのとこもある
でも、現状使ってるのは多くても1システムに4つぐらいかな
VPNな使い方をあんまりしてないので、大量のVsysが必要になる要件の場所があまり無い
24vsysのライセンスのところは客の予算が余ってたってだけ
追加ってライセンスの追加?
それともVsys自体の新規作成?
Vsysの新規作成はNS-500のOS-2.6.xだと、
リブートしないとタグが流れなかったな
ライセンスは5のライセンスに24を追加して29使えるかとかは試したことは無い
569 :遅レスだが:03/03/30 23:18 ID:G8AFlI5p
>>568
> 追加ってライセンスの追加?
そう。
今5使ってて次は25、25の次は100、次は250、っていうライセンス販売体系に
なってるんだけど、それが5月10日をもって販売中止になるのが決まったので。
#まぁライセンスだけじゃなくてNS-1000自体、同様に販売中止が確定したわけだが…
> 追加ってライセンスの追加?
そう。
今5使ってて次は25、25の次は100、次は250、っていうライセンス販売体系に
なってるんだけど、それが5月10日をもって販売中止になるのが決まったので。
#まぁライセンスだけじゃなくてNS-1000自体、同様に販売中止が確定したわけだが…
>569
うん、これは私もNS Japanから聞いた。
要望が増えて、その開発コストに見合うメリットがあれば
本社が開発する予定。要望は挙げておく。。といった感じで。
うん、これは私もNS Japanから聞いた。
要望が増えて、その開発コストに見合うメリットがあれば
本社が開発する予定。要望は挙げておく。。といった感じで。
546です。
569さん、571さん。
ありがとう。
ホントありがとうございます。
うちの会社は、サポートに聞けない小企業なので
トッテモ感謝です。
569さん、571さん。
ありがとう。
ホントありがとうございます。
うちの会社は、サポートに聞けない小企業なので
トッテモ感謝です。
>>556
555です。
遅レスすまそです。
> Firewallとして使うならこの製品を選択する必要ないのでは?
> VirusGatewayとして使うのは抵抗があるというのはどのあたりを問題だと感じました?
Firewallとして使うならNSスレだけにNSマンセーですよね。だけどVPNのスループットもカタログ上は結構いいように見えたのは気のせいですかね。
Virusベンダーのメジャーどころといえば、SymantecとかNAIとかTrendとかだと思うんですが、Fortinetってどうなんでしょう??パターンファイルの更新とか早いんですかね??
555です。
遅レスすまそです。
> Firewallとして使うならこの製品を選択する必要ないのでは?
> VirusGatewayとして使うのは抵抗があるというのはどのあたりを問題だと感じました?
Firewallとして使うならNSスレだけにNSマンセーですよね。だけどVPNのスループットもカタログ上は結構いいように見えたのは気のせいですかね。
Virusベンダーのメジャーどころといえば、SymantecとかNAIとかTrendとかだと思うんですが、Fortinetってどうなんでしょう??パターンファイルの更新とか早いんですかね??
VIPを使用している環境で
TrustからUnturusへのアクセスのTranslated Addressを
Interface AddressではなくVIPのAddressにする方法はあるのでしょうか?
TrustからUnturusへのアクセスのTranslated Addressを
Interface AddressではなくVIPのAddressにする方法はあるのでしょうか?
>>573
Fortinetを扱っている販社の話では、ウィルスの検知方式が従来のファイルを検査する方法ではなく、パケット内で検査する方式の為、パターンファイルを全て作り直しているんだそうです。
そのせいで、現在ではどうしても新しいウィルスに対するパターンファイルから作っているため、大昔のDOS時代のウィルスとかには対応できていないとか。
まぁ通常PCには別のアンチウィルス製品が導入されていると思うので、昔のウィルスがたとえスルーしてきても問題はないと思いますが。
ちなみに2年目以降のパターンファイルの更新料は本体定価の20%だったと思いました。
Fortinetを扱っている販社の話では、ウィルスの検知方式が従来のファイルを検査する方法ではなく、パケット内で検査する方式の為、パターンファイルを全て作り直しているんだそうです。
そのせいで、現在ではどうしても新しいウィルスに対するパターンファイルから作っているため、大昔のDOS時代のウィルスとかには対応できていないとか。
まぁ通常PCには別のアンチウィルス製品が導入されていると思うので、昔のウィルスがたとえスルーしてきても問題はないと思いますが。
ちなみに2年目以降のパターンファイルの更新料は本体定価の20%だったと思いました。
577 :anonymous@ 211.14.215.110.eo.eaccess.ne.jp:03/04/02 13:17 ID:LfmVPzUc
FortiGate、SNMP関連が激ショボらしい・・・
監視をいろいろしたい場合はさけた方がいいかも。
監視をいろいろしたい場合はさけた方がいいかも。
579 :FortiGate評価しますた:03/04/02 18:36 ID:???
>>578
多重圧縮は少なくとも3重ぐらいまでは検疫することを確認したよ。
ただZIPやZIPの自己解凍書庫は解凍してたけどLZHなんかは素通し。
それと10MB以上のファイルも解凍せずに素通ししてたかな。
FortiGate-200ですけどね。
多重圧縮は少なくとも3重ぐらいまでは検疫することを確認したよ。
ただZIPやZIPの自己解凍書庫は解凍してたけどLZHなんかは素通し。
それと10MB以上のファイルも解凍せずに素通ししてたかな。
FortiGate-200ですけどね。
>>579
それって全然ダメぽなんじゃ……。
それって全然ダメぽなんじゃ……。
581 :○anonymous:03/04/03 14:07 ID:???
>580
だから前から書いたじゃない。。(滝汗)
そんなの買う予算あるなら、NSを上位にするかHAにして
しまうか、ISVW買った方がいいって。。
だから前から書いたじゃない。。(滝汗)
そんなの買う予算あるなら、NSを上位にするかHAにして
しまうか、ISVW買った方がいいって。。
582 :_:03/04/03 17:01 ID:8zVX0Q7O
584 :bloom:03/04/03 17:59 ID:BS/0gHJu
585 :○anonymous:03/04/03 22:12 ID:???
>582
どこ読んでるの?
ちゃんとISVW(InterScan Virus Wall)などを、、って書いてるんだけど。。
しかも、HA(High Availability)が判らないとは?!
ネタ??
どこ読んでるの?
ちゃんとISVW(InterScan Virus Wall)などを、、って書いてるんだけど。。
しかも、HA(High Availability)が判らないとは?!
ネタ??
ASICで(・∀・)ゥィルスー!!チェックすると何かいいことありますか??
587 :FortiGate評価しますた :03/04/04 01:46 ID:???
588 : :03/04/04 02:31 ID:???
>>585
>どこ読んでるの?
タイプミスかもしれんが、
>そんなの買う予算あるなら、NSを上位にするかHAにして
>しまうか、ISVW買った方がいいって。。
とかいてあれば、
>NSを上位製品にしてもウイルス防げないんじゃ?
としか思わんよ。
>どこ読んでるの?
タイプミスかもしれんが、
>そんなの買う予算あるなら、NSを上位にするかHAにして
>しまうか、ISVW買った方がいいって。。
とかいてあれば、
>NSを上位製品にしてもウイルス防げないんじゃ?
としか思わんよ。
589 : :03/04/06 00:27 ID:???
横須賀のハゲおやじ最悪・・・。
590 :サプリBody:03/04/06 09:46 ID:/n6fRkqZ
どなたかNSでL2TP接続されてる方いませんか?
しかもローカルデータベースを利用せずにMSのIASを利用して認証を
してる方いませんか?
しかもローカルデータベースを利用せずにMSのIASを利用して認証を
してる方いませんか?
∧_∧∩ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( ´∀`)/<先生!こんなのがありました!
_ / / / \___________
\⊂ノ ̄ ̄ ̄ ̄\
||\ \
||\|| ̄ ̄ ̄ ̄ ̄||
|| || ̄ ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/wara/
( ´∀`)/<先生!こんなのがありました!
_ / / / \___________
\⊂ノ ̄ ̄ ̄ ̄\
||\ \
||\|| ̄ ̄ ̄ ̄ ̄||
|| || ̄ ̄ ̄ ̄ ̄||
http://saitama.gasuki.com/wara/
( ´Д`)/< 先生!!こんなのを見つけました。
http://muryou.gasuki.com/hankaku/hankaku05.html
http://muryou.gasuki.com/hankaku/hankaku06.html
http://muryou.gasuki.com/hankaku/hankaku01.html
http://muryou.gasuki.com/hankaku/hankaku02.html
http://muryou.gasuki.com/hankaku/hankaku03.html
http://muryou.gasuki.com/hankaku/hankaku04.html
http://muryou.gasuki.com/hankaku/hankaku07.html
http://muryou.gasuki.com/hankaku/hankaku08.html
http://muryou.gasuki.com/hankaku/hankaku09.html
http://muryou.gasuki.com/hankaku/hankaku10.html
http://muryou.gasuki.com/hankaku/hankaku05.html
http://muryou.gasuki.com/hankaku/hankaku06.html
http://muryou.gasuki.com/hankaku/hankaku01.html
http://muryou.gasuki.com/hankaku/hankaku02.html
http://muryou.gasuki.com/hankaku/hankaku03.html
http://muryou.gasuki.com/hankaku/hankaku04.html
http://muryou.gasuki.com/hankaku/hankaku07.html
http://muryou.gasuki.com/hankaku/hankaku08.html
http://muryou.gasuki.com/hankaku/hankaku09.html
http://muryou.gasuki.com/hankaku/hankaku10.html
NetScreen-IDP ってどうよ??
595 :ネットスクリーン初心者:03/04/08 21:45 ID:6DA5Ybk8
こんにちは
ネットスクリーンで構成を考えているのですが、ネットスクリーンで音声統合
の事例ってありますか?
もしあれば 構成や機器(GWなど)教えていただきたいです。
よろしくお願いします
ネットスクリーンで構成を考えているのですが、ネットスクリーンで音声統合
の事例ってありますか?
もしあれば 構成や機器(GWなど)教えていただきたいです。
よろしくお願いします
596 :NSユーザ:03/04/10 10:23 ID:+xdXpA+k
音声統合とはチト違うが、TV会議(H.323)を使ってます。
ちょっと遅延が気になる。
拠点A
NS50-Bフレ
拠点B
NS25-フレッツADSL
ちょっと遅延が気になる。
拠点A
NS50-Bフレ
拠点B
NS25-フレッツADSL
597 :anonymous@ eAc9Aaa052.tky.mesh.ad.jp:03/04/10 10:43 ID:mpCcqSMu
期末の予算あまってたんで検証用にFortiGate50買ってみたです
早く届かないかなぁ(w
早く届かないかなぁ(w
( ・∀・)< こんなのみつけたっち♪
http://muryou.gasuki.com/hankaku/hankaku03.html
http://muryou.gasuki.com/hankaku/hankaku04.html
http://muryou.gasuki.com/hankaku/hankaku02.html
http://muryou.gasuki.com/hankaku/hankaku01.html
http://muryou.gasuki.com/hankaku/hankaku10.html
http://muryou.gasuki.com/hankaku/hankaku09.html
http://muryou.gasuki.com/hankaku/hankaku08.html
http://muryou.gasuki.com/hankaku/hankaku07.html
http://muryou.gasuki.com/hankaku/hankaku05.html
http://muryou.gasuki.com/hankaku/hankaku06.html
http://muryou.gasuki.com/hankaku/hankaku03.html
http://muryou.gasuki.com/hankaku/hankaku04.html
http://muryou.gasuki.com/hankaku/hankaku02.html
http://muryou.gasuki.com/hankaku/hankaku01.html
http://muryou.gasuki.com/hankaku/hankaku10.html
http://muryou.gasuki.com/hankaku/hankaku09.html
http://muryou.gasuki.com/hankaku/hankaku08.html
http://muryou.gasuki.com/hankaku/hankaku07.html
http://muryou.gasuki.com/hankaku/hankaku05.html
http://muryou.gasuki.com/hankaku/hankaku06.html
http://www.saitama.gasuki.com/kaorin/
こんなのございま−す♪
 ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
〜oノハヽo〜
,.-''"¨ ̄●`' ‐(^▽^)
(,,●i,,,i,,,,,,,,i,,,,●),,)⊂ )
) ( || |
( ^▽^) (_(__)
~~~~~  ̄ ̄ ~~~~~ ~~~~~
こんなのございま−す♪
 ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
〜oノハヽo〜
,.-''"¨ ̄●`' ‐(^▽^)
(,,●i,,,i,,,,,,,,i,,,,●),,)⊂ )
) ( || |
( ^▽^) (_(__)
~~~~~  ̄ ̄ ~~~~~ ~~~~~
601 :ほげまる:03/04/12 21:20 ID:tdJOZfYg
> 590
これを見てみてちょ(先にLocal認証ができてからね)
ttp://www.netscreen.com/support/downloads/4.0_configuring_screenOS_for_NTdomain_v11.pdf
これを見てみてちょ(先にLocal認証ができてからね)
ttp://www.netscreen.com/support/downloads/4.0_configuring_screenOS_for_NTdomain_v11.pdf
602 :anonymous@ AH1cc-02p117.ppp.odn.ad.jp:03/04/13 21:28 ID:+195Jw4n
おまえら、ネットスクリーンを介した優先制御はいかがでございますか?
ルータ(GR)で優先かけてて、ネットスクリーンを介さない構成では
UDPで負荷、FTPを優先する設定でうまく制御されることを
確認したのですが、ネットスクリーンを挟むともうダメぽ。
たすけれ!
ルータ(GR)で優先かけてて、ネットスクリーンを介さない構成では
UDPで負荷、FTPを優先する設定でうまく制御されることを
確認したのですが、ネットスクリーンを挟むともうダメぽ。
たすけれ!
>602
人に物聞く態度じゃねーんだよアフォ。
厨房はこれだからこまるYO
情報が無料だと勘違いしている罠。最低でもwww.netscreen.com でナレッジ検索
と、英文マニュアル読んでからに汁。
っていうかその程度で質問するなら、この業界から消えろや。
人に物聞く態度じゃねーんだよアフォ。
厨房はこれだからこまるYO
情報が無料だと勘違いしている罠。最低でもwww.netscreen.com でナレッジ検索
と、英文マニュアル読んでからに汁。
っていうかその程度で質問するなら、この業界から消えろや。
604 :.......:03/04/14 15:41 ID:6HXBqOUD
605 :anonymous@ gdu55-161044.gd.kcn-tv.ne.jp:03/04/14 16:18 ID:7QlcpleL
会社に NetScreen50 があるんですが、おすすめの
ScreenOSのバージョンっていくつなんでそ?
ScreenOSのバージョンっていくつなんでそ?
607 : :03/04/15 09:31 ID:???
単純なNAT-FIREWALLとしてつかってSNMPまわりやVPNをつかわないなら、古い程安定してる
ただしDoS防御の半分くらいはお飾りで動かないけど
3年前に入れた1.66はいまだに一度も止まってない
ただしDoS防御の半分くらいはお飾りで動かないけど
3年前に入れた1.66はいまだに一度も止まってない
608 :bloom:03/04/15 10:06 ID:lXjSr95w
609 : a:03/04/15 19:02 ID:sFVkyuKv
VPNに使うのだったらVer3.03r2.1がおすすめかな。
Ver4.x.xってもう安定してだしてるのかなぁ。
Ver4.x.xってもう安定してだしてるのかなぁ。
>609
最近の出荷分はVer4.0か4.1系に移行済みらしい。IPSecの処理速度も実験環境では
微妙に高まってるってさ。ただ4.2系はまだバギーっぽい。
最近の出荷分はVer4.0か4.1系に移行済みらしい。IPSecの処理速度も実験環境では
微妙に高まってるってさ。ただ4.2系はまだバギーっぽい。
(^^)
保守age
613 :P2P対策をするNSユーザ:03/04/18 10:09 ID:cQns1Dl8
最近トラフィックが急に増えたので調べてみると、社内でP2Pをやってる
オバカさんがいてるようです。
で↓を規制した。
Winmx TCP 6699
Winny TCP 7743
Gnutella TCP 6346
Napster TCP 8875
これで大丈夫。と思ったらしばらくしてまた急激なトラフィックが、
ん?なんかいろんなポートを使ってる...オイオイ
問題が大きくなる前に規制しておきたいんだけどなぁ...
みなさんどうしてます?
オバカさんがいてるようです。
で↓を規制した。
Winmx TCP 6699
Winny TCP 7743
Gnutella TCP 6346
Napster TCP 8875
これで大丈夫。と思ったらしばらくしてまた急激なトラフィックが、
ん?なんかいろんなポートを使ってる...オイオイ
問題が大きくなる前に規制しておきたいんだけどなぁ...
みなさんどうしてます?
>>613
上司に報告
↓
社内ネットワークの不正使用(社資産の私用流用)および、
世間一般では違法性の高いとされる行為による社の信用失墜の危険性
↓
懲戒解雇
がよいと思われます。会社でP2Pして、ポート規制されたらポート変えるような
馬鹿は、問題を起こす前にクビがいいのではないかと。
# といいつつ仕事中に2chですが、何か?
上司に報告
↓
社内ネットワークの不正使用(社資産の私用流用)および、
世間一般では違法性の高いとされる行為による社の信用失墜の危険性
↓
懲戒解雇
がよいと思われます。会社でP2Pして、ポート規制されたらポート変えるような
馬鹿は、問題を起こす前にクビがいいのではないかと。
# といいつつ仕事中に2chですが、何か?
615 :■:03/04/18 10:37 ID:mpWllHJx
616 :P2P対策をするNSユーザ:03/04/18 12:55 ID:cQns1Dl8
本人に注意とか、上司に報告はできるけど。
NSで規制できれば、波風立てずに済むんで。
#オレも悩みながら2CH
NSで規制できれば、波風立てずに済むんで。
#オレも悩みながら2CH
617 :■:03/04/18 13:21 ID:mpWllHJx
でもそういう人ってポート閉じたらまた別のポートって感じでいたちごっこみたくなる気がする。
(うちにも居るんだよね。しかも自分より立場が上という…)
614さんの方向が結果的に一番てこずらない気がする…。
(うちにも居るんだよね。しかも自分より立場が上という…)
614さんの方向が結果的に一番てこずらない気がする…。
>>615
ファイル交換でport25とか80を使われるだけです。
ファイル交換でport25とか80を使われるだけです。
619 : :03/04/18 15:18 ID:???
どのみちOutのセッションしかぬけないんだから
ハナからHTTPでやられてるのと大してかわらんと思うんだが
ハナからHTTPでやられてるのと大してかわらんと思うんだが
620 :名無しさん@Emacs:03/04/18 22:49 ID:???
http://sabalist.k-server.org/
でも見て一網打尽にするというのはどうかな?
まぁ、このリストにも抜けてるところはあるかも知れんが
P2Pをやろうとする輩にはダメージ大きいと思われ…。
でも見て一網打尽にするというのはどうかな?
まぁ、このリストにも抜けてるところはあるかも知れんが
P2Pをやろうとする輩にはダメージ大きいと思われ…。
621 :ななしさん:03/04/19 01:15 ID:mLHJnK/F
622 :ななしさん:03/04/19 01:28 ID:mLHJnK/F
>>613
あ、ちなみにpacketeerがポートベースでないP2Pフィルタを
出したそうなんで、お金に余裕があるなら試してみたら
どうでしょう?
http://www.packeteer.com/news/pr.cfm?pr_ID=200
あ、ちなみにpacketeerがポートベースでないP2Pフィルタを
出したそうなんで、お金に余裕があるなら試してみたら
どうでしょう?
http://www.packeteer.com/news/pr.cfm?pr_ID=200
根本論ですけど、社内から直接外に行かせてるのが普通では無いような気がしますが
自分が作ってきたシステムは大抵、
Mail/Web/FTPしか使わせず、WebとFTPはプロキシだから
エンドが外に直接出るような事例は一つもないですね
お客にプロキシ置くコストと、直接外向けの80や21開けて
好き放題に帯域喰われるコストの比較を見せれば
大抵の客はプロキシ置くことを選択しますよ
プロキシの設計は客ごとに細かい要件があるんで、大抵モメますけどね
>>622
そりゃキャリア向けでしょう
L7のゲートウェイを入れられるエンタープライズでは
いくらでも安くP2Pのトラフィックを遮断する方法があります
自分が作ってきたシステムは大抵、
Mail/Web/FTPしか使わせず、WebとFTPはプロキシだから
エンドが外に直接出るような事例は一つもないですね
お客にプロキシ置くコストと、直接外向けの80や21開けて
好き放題に帯域喰われるコストの比較を見せれば
大抵の客はプロキシ置くことを選択しますよ
プロキシの設計は客ごとに細かい要件があるんで、大抵モメますけどね
>>622
そりゃキャリア向けでしょう
L7のゲートウェイを入れられるエンタープライズでは
いくらでも安くP2Pのトラフィックを遮断する方法があります
624 : :03/04/19 12:38 ID:???
626 :anonymous@ YahooBB220037232156.bbtec.net:03/04/19 14:01 ID:8QfOURDw
社内でP2P使うお馬鹿さんにコストかけるのもなぁ。
627 :__:03/04/19 14:08 ID:8QfOURDw
おっと、途中で書きこんでしまった。
1.P2P利用は著作権法に抵触する可能性があるので禁止
2.外部アクセスはすべてログが残るので利用状況はバレバレ
って事を周知すればかなり防止できるんじゃ...
1.P2P利用は著作権法に抵触する可能性があるので禁止
2.外部アクセスはすべてログが残るので利用状況はバレバレ
って事を周知すればかなり防止できるんじゃ...
628 :bloom:03/04/19 14:11 ID:ULRrVZ0B
629 : :03/04/19 16:51 ID:???
>>625
じゃあ、どうやってWinnyを止めるか、具体的な例を上げてくれ
特定のものだけ通すっていう方法じゃなく、Winnyだけ止めるってのをね
まあ、通常の企業ネットは、そもそもInternetとIP reachableでないからWinnyは不可能だけどね
なんだか、L7機器で、「P2P(Winny)」を遮断も出来るなんていってるようだけどね
エンタープライズでは、ネットワーク設計の段階で、P2Pなどが不可能なように作るのがあたりまえで、
魔法のようなL7機器でP2Pを止めるといってるおまえが馬鹿
じゃあ、どうやってWinnyを止めるか、具体的な例を上げてくれ
特定のものだけ通すっていう方法じゃなく、Winnyだけ止めるってのをね
まあ、通常の企業ネットは、そもそもInternetとIP reachableでないからWinnyは不可能だけどね
なんだか、L7機器で、「P2P(Winny)」を遮断も出来るなんていってるようだけどね
エンタープライズでは、ネットワーク設計の段階で、P2Pなどが不可能なように作るのがあたりまえで、
魔法のようなL7機器でP2Pを止めるといってるおまえが馬鹿
なぜ、winnyを止める必要があるのか?
これからはP2Pが常識の時代。
E2Eにはfirewallも必要ない。
これからはP2Pが常識の時代。
E2Eにはfirewallも必要ない。
馬鹿・馬鹿言いあってる君たち!
この掲示板を汚さないでね♪
614と627に賛成!
予算が無いので、抑止効果で対応するよ。
機器などのインフラに頼るだけでなく、ネットワーク管理
の体制・運用面をもっとしっかりするべきだよね。
馬鹿馬鹿見苦しいことは書かないようにね。
個人のページじゃないしね。
この掲示板を汚さないでね♪
614と627に賛成!
予算が無いので、抑止効果で対応するよ。
機器などのインフラに頼るだけでなく、ネットワーク管理
の体制・運用面をもっとしっかりするべきだよね。
馬鹿馬鹿見苦しいことは書かないようにね。
個人のページじゃないしね。
>>629
根本論としてエンドからは外に抜けさせないといってるのですが、、、、
L7機器というのはL7のヘッダを見るL2/L3の機器ではなくて
実際にL7のプロトコルスタックに従う機器をいってるのですが、、、
WinnyといのはIP-ForwardせずにL7で動いてるプロキシを抜けられるのですか?
いやー知りませんでした
根本論としてエンドからは外に抜けさせないといってるのですが、、、、
L7機器というのはL7のヘッダを見るL2/L3の機器ではなくて
実際にL7のプロトコルスタックに従う機器をいってるのですが、、、
WinnyといのはIP-ForwardせずにL7で動いてるプロキシを抜けられるのですか?
いやー知りませんでした
>>630
キャリアなら止めませんよ
ただ、帯域は無限じゃないんで帯域絞ることはありますけど
その解の一つが>>622のアプライアンスでしょう
Packeteer製品は中身はモロにPCでL7まで全て見てるんで
L7の帯域制御ができます
エンタープライズなら遮断するのが当然
P2Pで帯域食ったら業務が止まりますから
P2Pが業務に必要な特殊要件の箇所なら別ですけどね
キャリアなら止めませんよ
ただ、帯域は無限じゃないんで帯域絞ることはありますけど
その解の一つが>>622のアプライアンスでしょう
Packeteer製品は中身はモロにPCでL7まで全て見てるんで
L7の帯域制御ができます
エンタープライズなら遮断するのが当然
P2Pで帯域食ったら業務が止まりますから
P2Pが業務に必要な特殊要件の箇所なら別ですけどね
634 :__:03/04/19 20:33 ID:8QfOURDw
>winnyを止める必要があるのか?
社内NETでは止めないとだめでしょ。
違法行為を行える環境で運用してるとなると、管理責任が問われる。
あとは機器でとめるか、運用や管理でとめるか。
P2Pが新技術で、さまざまな可能性がある事は確かだと思うヨ
社内NETでは止めないとだめでしょ。
違法行為を行える環境で運用してるとなると、管理責任が問われる。
あとは機器でとめるか、運用や管理でとめるか。
P2Pが新技術で、さまざまな可能性がある事は確かだと思うヨ
NetScreen の書き込みを汁!!
スレ違いだ。「ものすごい勢いで〜〜」ほうへどうぞ。
スレ違いだ。「ものすごい勢いで〜〜」ほうへどうぞ。
636 : :03/04/19 21:14 ID:???
>>629
ワラタ
ここまでイタイと何ともいえない
>まあ、通常の企業ネットは、そもそもInternetとIP reachableでないからWinnyは不可能だけどね
>>623の言ってるのがこれだということすら理解できてないのがすごい
L7やエンタープライズの意味も理解してないようだし
>>632
普通、こういうのにはマジレスしないのが流儀
マジレスするから余計荒れる
このスレって以前は結構レベルの高いスレだったんだけどな・・・・・
ワラタ
ここまでイタイと何ともいえない
>まあ、通常の企業ネットは、そもそもInternetとIP reachableでないからWinnyは不可能だけどね
>>623の言ってるのがこれだということすら理解できてないのがすごい
L7やエンタープライズの意味も理解してないようだし
>>632
普通、こういうのにはマジレスしないのが流儀
マジレスするから余計荒れる
このスレって以前は結構レベルの高いスレだったんだけどな・・・・・
637 :anonymous@ FLA1Aal047.osk.mesh.ad.jp:03/04/19 21:24 ID:5PQk8zwf
638 :動画直リン:03/04/19 21:41 ID:ULRrVZ0B
>629
>なんだか、L7機器で、「P2P(Winny)」を遮断も出来るなんていってるようだけどね
当たり前のように遮断するだろ普通(w
どうしてここまで無知な奴がのうのうと書き込むんだか・・・
>なんだか、L7機器で、「P2P(Winny)」を遮断も出来るなんていってるようだけどね
当たり前のように遮断するだろ普通(w
どうしてここまで無知な奴がのうのうと書き込むんだか・・・
L7で遮断されているのでhttps proxyを通して利用していますだ
∧_∧
( ^^ )< ぬるぽ(^^)
( ^^ )< ぬるぽ(^^)
113/tcpへの接続にport unreachを返したいのですが、可能でしょうか。
FireWall-1でいうRejectをしたいのですが、設定項目に無いみたいで...
FireWall-1でいうRejectをしたいのですが、設定項目に無いみたいで...
643 :a:03/04/20 19:53 ID:zLDWWb/H
ネットワークエンジニアやってますが、VPN機器の提案にNetscreenを出すと、
必ず「動作不安定だと聞くし…」「バグ多いんでしょ?」とお客様が不安がります。
そーでもないと思うんだけどなぁ。ここ最近は。
Ver.3.x台でVPN張らせるだけの簡単な使い方しかやってないけど…
必ず「動作不安定だと聞くし…」「バグ多いんでしょ?」とお客様が不安がります。
そーでもないと思うんだけどなぁ。ここ最近は。
Ver.3.x台でVPN張らせるだけの簡単な使い方しかやってないけど…
>>642
ident-resetというそのものズバリの機能があります。
ただし、バージョンによっては怪しい動きをしたり動かない場合があります。
とりあえず設定してみてください
ちなみにTCPはUDPと違ってコネクションのための実装を持っているので
ICMP通知は必要ありませんし、受け取っても無視します
ident-resetというそのものズバリの機能があります。
ただし、バージョンによっては怪しい動きをしたり動かない場合があります。
とりあえず設定してみてください
ちなみにTCPはUDPと違ってコネクションのための実装を持っているので
ICMP通知は必要ありませんし、受け取っても無視します
646 : :03/04/21 07:41 ID:???
647 :P2P対策をするNSユーザ:03/04/21 09:24 ID:bBiMKC/Q
なんだか最近、殺伐としてますね。
>ネットワークエンジニアやってますが、VPN機器の提案にNetscreenを出すと、
>必ず「動作不安定だと聞くし…」「バグ多いんでしょ?」とお客様が不安がります。
このスレッドのせいだったりして...
他のFW+VPNの箱物はどうなんでしょ?私もNetscreenしか知らないので...
ウチの環境ではNetscreenで充分使えてるけど。
>ネットワークエンジニアやってますが、VPN機器の提案にNetscreenを出すと、
>必ず「動作不安定だと聞くし…」「バグ多いんでしょ?」とお客様が不安がります。
このスレッドのせいだったりして...
他のFW+VPNの箱物はどうなんでしょ?私もNetscreenしか知らないので...
ウチの環境ではNetscreenで充分使えてるけど。
648 :あほ:03/04/21 09:52 ID:ESw/4il2
◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■
簡単なビジネスであります。
誰でも稼げますので当社のホームページを見てください。
キャッシュバック1件/4000円差し上げます。
稼ぎたい人は申し込みください。
ビジネス方法
ホームページにバナーを貼るだけでOK
http://www.c-gmf.com/index3.htm
◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■
簡単なビジネスであります。
誰でも稼げますので当社のホームページを見てください。
キャッシュバック1件/4000円差し上げます。
稼ぎたい人は申し込みください。
ビジネス方法
ホームページにバナーを貼るだけでOK
http://www.c-gmf.com/index3.htm
◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■◎■
649 :.............:03/04/21 11:32 ID:zjmBlAQX
650 : ◆JeYFCvvdow :03/04/25 20:25 ID:???
こんなの見つけました。
ttp://ccsd.biglobe.ne.jp/security/product_data/hikaku/nokia_vs_netscreen.pdf
しかし、そういう攻め方するか・・・。
ttp://ccsd.biglobe.ne.jp/security/product_data/hikaku/nokia_vs_netscreen.pdf
しかし、そういう攻め方するか・・・。
651 :○anonymous:03/04/26 00:58 ID:???
>650
う〜ん、どっちもどっち。
両方ともベンダー向けサポートしてきたけど。
ケースバイケースで最適解が変わるのは当然なのにね。
う〜ん、どっちもどっち。
両方ともベンダー向けサポートしてきたけど。
ケースバイケースで最適解が変わるのは当然なのにね。
652 :おやおや:03/04/26 01:22 ID:Te71DGaQ
>650
そんな資料があるとは。。。
でもここの会社って矛盾してるよね。
http://www.octpower.nec.co.jp/products/netscreen/
自分のところで扱ってる製品のネガティブキャンペーンやってるあたりが間抜け。
そんな資料があるとは。。。
でもここの会社って矛盾してるよね。
http://www.octpower.nec.co.jp/products/netscreen/
自分のところで扱ってる製品のネガティブキャンペーンやってるあたりが間抜け。
>652
資料が古くて、Dynamic Routingが無いと書いてあるって
突っ込みは別にして
行政ネットワークには、NEC自身も主導してNetScreenにしてるのだが。
(戦争の影響もあるが)
まあ、行政案件超大手4業者が全て取り扱ってるからな。
資料が古くて、Dynamic Routingが無いと書いてあるって
突っ込みは別にして
行政ネットワークには、NEC自身も主導してNetScreenにしてるのだが。
(戦争の影響もあるが)
まあ、行政案件超大手4業者が全て取り扱ってるからな。
654 : :03/04/26 02:06 ID:???
Firewallをスループット試験で評価されてもなあ
ギガでるけど3000con/secで死ぬFirewallっていっぱいあるし
同クラスNetScreenとNokiaの差はAvarancheかけてみれば一目瞭然なんだが
2倍3倍じゃすまない差でNetScreenの圧勝
あとFirewall-1はNokia含めてNATが遅すぎ
前半部分は全面的に賛成だけどな
NSの古いバージョンのDoSプロテクションなんて名前だけだし
NetScreenはセキュリティアプライアンスじゃなくて
高速NAT箱もしくは高速VPN装置でしょ
ギガでるけど3000con/secで死ぬFirewallっていっぱいあるし
同クラスNetScreenとNokiaの差はAvarancheかけてみれば一目瞭然なんだが
2倍3倍じゃすまない差でNetScreenの圧勝
あとFirewall-1はNokia含めてNATが遅すぎ
前半部分は全面的に賛成だけどな
NSの古いバージョンのDoSプロテクションなんて名前だけだし
NetScreenはセキュリティアプライアンスじゃなくて
高速NAT箱もしくは高速VPN装置でしょ
655 :動画直リン:03/04/26 02:30 ID:LPM2gZ+M
656 :anonymous@ airh128003081.mobile.ppp.infoweb.ne.jp:03/04/26 03:55 ID:p2WTM+g1
このスレ見て、みんなFortiGateに興味をもっているのにはちょっと驚いた。
なんか「おすすめできない」みたいなカキコもあったりして、確かに
今更F/Wとして使うのはどうかと思うけど、メールサーバの前において
ウィルスチェックさせるような用途には使えないのかな?
確かにTrendとかSymantecのとかは、ライセンス料高いし。
なんか「おすすめできない」みたいなカキコもあったりして、確かに
今更F/Wとして使うのはどうかと思うけど、メールサーバの前において
ウィルスチェックさせるような用途には使えないのかな?
確かにTrendとかSymantecのとかは、ライセンス料高いし。
657 :bloom:03/04/26 04:30 ID:LPM2gZ+M
>656
どうだろう・・・
”lzh圧縮の場合は素通し”とか、”感染ファイルについてはもっぱら削除のみ(ウィルスを
駆除してから通すわけではない)”とかを考えると、ちょっと勇気がいるかも。
少なくともクライアントレベルでのウィルス防護がきっちりできている事が前提のような気が
するなぁ。
どうだろう・・・
”lzh圧縮の場合は素通し”とか、”感染ファイルについてはもっぱら削除のみ(ウィルスを
駆除してから通すわけではない)”とかを考えると、ちょっと勇気がいるかも。
少なくともクライアントレベルでのウィルス防護がきっちりできている事が前提のような気が
するなぁ。
>>659
>少なくともクライアントレベルでのウィルス防護がきっちりできている事が前提のような気がするなぁ。
そりゃどこの製品だってそうでしょう
lzhは今のところLzhを利用したウイルスが無いので対応してないみたいですね(大昔は知らないですが)
とは言えやっぱり心配なんで早く対応してもらいたいです
>少なくともクライアントレベルでのウィルス防護がきっちりできている事が前提のような気がするなぁ。
そりゃどこの製品だってそうでしょう
lzhは今のところLzhを利用したウイルスが無いので対応してないみたいですね(大昔は知らないですが)
とは言えやっぱり心配なんで早く対応してもらいたいです
661 :anonymous@ YahooBB219004014030.bbtec.net:03/04/26 12:31 ID:???
>660
というより、圧縮元のファイルが感染してるとまずいんじゃない?
次のVerでlzhとftp対応すると聞いたよ
というより、圧縮元のファイルが感染してるとまずいんじゃない?
次のVerでlzhとftp対応すると聞いたよ
>661
LZH対応とかFTP対応とかいう以前に、HDD搭載の上位モデルで
無いと使い物にならない、、ということを意識しないと。。
HDD無しのモデルは、ちょっとしたテストで、ウイルスが
スルーしまくり。
LZH対応とかFTP対応とかいう以前に、HDD搭載の上位モデルで
無いと使い物にならない、、ということを意識しないと。。
HDD無しのモデルは、ちょっとしたテストで、ウイルスが
スルーしまくり。
663 :656:03/04/26 13:46 ID:1vXxn6y7
>>662
普通に考えて、ウィルスをチェックするためには
放置ゲートを通過するSMTPメッセージなどは、いちど
放置ゲートがメモリに全部たくわえてからウィルスチェックを
するわけですよね。
だから、メモリがいっぱいになっちゃうとスルーしちゃう、という
理解でよろしいでしょうか?
HDD搭載の機種だと、スワップ?するイメージで、メモリが
いっぱいになっても一度HDDに書き込んでから検査するので
スルーがない(少ない?)という理解でいいんでしょうか?
普通に考えて、ウィルスをチェックするためには
放置ゲートを通過するSMTPメッセージなどは、いちど
放置ゲートがメモリに全部たくわえてからウィルスチェックを
するわけですよね。
だから、メモリがいっぱいになっちゃうとスルーしちゃう、という
理解でよろしいでしょうか?
HDD搭載の機種だと、スワップ?するイメージで、メモリが
いっぱいになっても一度HDDに書き込んでから検査するので
スルーがない(少ない?)という理解でいいんでしょうか?
664 :動画直リン:03/04/26 14:30 ID:LPM2gZ+M
665 : :03/04/26 15:00 ID:???
>665
どんな風に聞いたか知りませんがね。
ちょっとしたテストっていったら、普通に想像されるような試験だけど
1)HDD無し・有りモデルについて
2)テストウイルス添付ファイルサイズを変化させての試験
3)テストウイルスをアーカイブして同様の試験
4)テストウイルスを多重アーカイブしての試験
5)同一ASCII文字列テキスト圧縮ファイル添付時の試験
(展開時のファイルサイズを変動させた)
どの辺で問題が出たかの資料は内緒
どんな風に聞いたか知りませんがね。
ちょっとしたテストっていったら、普通に想像されるような試験だけど
1)HDD無し・有りモデルについて
2)テストウイルス添付ファイルサイズを変化させての試験
3)テストウイルスをアーカイブして同様の試験
4)テストウイルスを多重アーカイブしての試験
5)同一ASCII文字列テキスト圧縮ファイル添付時の試験
(展開時のファイルサイズを変動させた)
どの辺で問題が出たかの資料は内緒
667 : :03/04/26 18:35 ID:???
素朴な疑問なんだけど、HDD無しってどうやってパターン更新するの?
別出しのDBサーバがあったりして、起動時にそっから読み込むの?
別出しのDBサーバがあったりして、起動時にそっから読み込むの?
668 : :03/04/26 21:13 ID:???
>>666
レスありがとうございます。出来ればHDD無しモデルでウイルスが
スルーしまくるという条件が知りたかったですが。
>>667
パターンはファーム等と一緒にフラッシュメモリに
保存されていると思います。
レスありがとうございます。出来ればHDD無しモデルでウイルスが
スルーしまくるという条件が知りたかったですが。
>>667
パターンはファーム等と一緒にフラッシュメモリに
保存されていると思います。
>668
すみません。その手の実データは、まだ商売の種なもので(^^;
でも、>>579で、どなたかが書いていましたね。
ファイルサイズは、条件によっては、あのサイズより大きくても
検出するようにもできましたが(HDDありモデル/FG200など)
HDD無しだと、FD1枚分で、スルーさせることが簡単にできました。
このあたりの挙動不審は、バグなのかどうか?といったところですね。
あと、当然のことですが、古めのウイルスは、ほとんど全て
ノーチェックです。
TやSやMみたいに、パターン開発部隊を揃えているわけでは無いのと
開発コストの問題ですね。
(>>575にも書かれている問題です)
価格・パターンアップデート費等考えると、普通はFWは
既存であるでしょうし、ISVWサーバとか立てる方が、将来的な
対応を含めて現状ではお勧めかな。
あと数年したら、どうなってるかは判らないけど。
NS-IDSなども、酷かったからなぁ。有名どころのツール
使ったら、簡単にハングアップしてくれたし。
(アラートも出なかったのが問題あり過ぎ)
すみません。その手の実データは、まだ商売の種なもので(^^;
でも、>>579で、どなたかが書いていましたね。
ファイルサイズは、条件によっては、あのサイズより大きくても
検出するようにもできましたが(HDDありモデル/FG200など)
HDD無しだと、FD1枚分で、スルーさせることが簡単にできました。
このあたりの挙動不審は、バグなのかどうか?といったところですね。
あと、当然のことですが、古めのウイルスは、ほとんど全て
ノーチェックです。
TやSやMみたいに、パターン開発部隊を揃えているわけでは無いのと
開発コストの問題ですね。
(>>575にも書かれている問題です)
価格・パターンアップデート費等考えると、普通はFWは
既存であるでしょうし、ISVWサーバとか立てる方が、将来的な
対応を含めて現状ではお勧めかな。
あと数年したら、どうなってるかは判らないけど。
NS-IDSなども、酷かったからなぁ。有名どころのツール
使ったら、簡単にハングアップしてくれたし。
(アラートも出なかったのが問題あり過ぎ)
>669
確かに製品寿命は短そうですよね。
中堅顧客層には受けそうなオールインワンアプライアンスって感じですが…
ISVWではBlue CoatとICAP連携とか流行ってるみたいですが
標準機能(L7Sw無しで)実運用に耐えられるのかな?
NS-IDSも気になってるんですが、まだまだって感じですか?
確かに製品寿命は短そうですよね。
中堅顧客層には受けそうなオールインワンアプライアンスって感じですが…
ISVWではBlue CoatとICAP連携とか流行ってるみたいですが
標準機能(L7Sw無しで)実運用に耐えられるのかな?
NS-IDSも気になってるんですが、まだまだって感じですか?
671 :anonymous@ airh128010040.mobile.ppp.infoweb.ne.jp:03/04/27 01:38 ID:???
>670
L4無しなら、連携使うより、普通にProxy連携のほうが
構成も素直で、安定運用可能だし、ISVW落ちた時の通信も
確保できるから(CacheにVirus Checkしてないデータが入るのは
気にいらないけど、どうしても通信ライン確保必要なことあるしね)
お勧めかな。
FW-1&ISVWの時もそうだったけど、あの手の連携って、どうして
仕様どおり動いた試しが無いんだろうね。
(大体、連携機能無くても動くんだから、余計なBugが入るようなプログラム
書く必要ないじゃないかと思うけどね、元開発屋としては。営業的には
必要なんだろうけどね)
FW-1&ACEも悲惨だった。当初は、導入に苦労したもんだよ。
(今はドキュメントが、それなりに整備されてるし、それに書いてない
KnowHowもあるから気にならないが)
NS-IDSは、将来性はあるだろうけど、現状では怖くて顧客に
導入はしたくないな、というのが本音。
とあるベンダーが、某所に納品したのも、悲惨な状態だからなぁ。
L4無しなら、連携使うより、普通にProxy連携のほうが
構成も素直で、安定運用可能だし、ISVW落ちた時の通信も
確保できるから(CacheにVirus Checkしてないデータが入るのは
気にいらないけど、どうしても通信ライン確保必要なことあるしね)
お勧めかな。
FW-1&ISVWの時もそうだったけど、あの手の連携って、どうして
仕様どおり動いた試しが無いんだろうね。
(大体、連携機能無くても動くんだから、余計なBugが入るようなプログラム
書く必要ないじゃないかと思うけどね、元開発屋としては。営業的には
必要なんだろうけどね)
FW-1&ACEも悲惨だった。当初は、導入に苦労したもんだよ。
(今はドキュメントが、それなりに整備されてるし、それに書いてない
KnowHowもあるから気にならないが)
NS-IDSは、将来性はあるだろうけど、現状では怖くて顧客に
導入はしたくないな、というのが本音。
とあるベンダーが、某所に納品したのも、悲惨な状態だからなぁ。
>672
あ、それにISVWを2つ立てれば、文句なしに、Proxyで冗長化は
可能だということもあるよ。(L4無しで)
HTTP・FTP / SMTPをMain/Sub運用で相互バックアップサーバに
するのが導入経費削減の常套手段だね。
#あんまり書きすぎると、身元特定されるな。またおとなしくします
あ、それにISVWを2つ立てれば、文句なしに、Proxyで冗長化は
可能だということもあるよ。(L4無しで)
HTTP・FTP / SMTPをMain/Sub運用で相互バックアップサーバに
するのが導入経費削減の常套手段だね。
#あんまり書きすぎると、身元特定されるな。またおとなしくします
674 :anonymous@ YahooBB219004014030.bbtec.net:03/04/27 09:23 ID:???
>672
>FW-1&ACEも悲惨だった。
これってAD3でFW-1をサンドイッチにするやつ?
>FW-1&ACEも悲惨だった。
これってAD3でFW-1をサンドイッチにするやつ?
>674
ACEって言ったら、認証サーバだよ
でも、AD3をまともに設定できない業者多くて、いつも
現場で他の会社のSEに、設定修正をさせたもんだよ。
FW-1(VRRP) ---- AD3 ---- Web Server Load Balanceの際に
多くの業者のセットアップでは、1つの要求に2つの返答をして
くれたため、FW-1のログに、、(苦笑)
このパターンでのトラブルを最初から起こさないで
納品できたのは、全部自分ところでやった時だけだったよ。
大手と組んだケースでは全滅だった。おまけに、態度だけは
でかいから、なかなかミスを認めないんでね。
そのSE費出してるEUが可哀想だったぁよ。
ACEって言ったら、認証サーバだよ
でも、AD3をまともに設定できない業者多くて、いつも
現場で他の会社のSEに、設定修正をさせたもんだよ。
FW-1(VRRP) ---- AD3 ---- Web Server Load Balanceの際に
多くの業者のセットアップでは、1つの要求に2つの返答をして
くれたため、FW-1のログに、、(苦笑)
このパターンでのトラブルを最初から起こさないで
納品できたのは、全部自分ところでやった時だけだったよ。
大手と組んだケースでは全滅だった。おまけに、態度だけは
でかいから、なかなかミスを認めないんでね。
そのSE費出してるEUが可哀想だったぁよ。
676 : :03/04/27 13:48 ID:???
ろくに周りのSWやFWの設定情報を公開せずに本当にADの設定だけをやらせてるんだろうなあ
情報がなければ一般的な設定いれるだけになるのなんて当たり前なのに
情報としてもらってない
お前んところの要件なんて知るかよ
情報がなければ一般的な設定いれるだけになるのなんて当たり前なのに
情報としてもらってない
お前んところの要件なんて知るかよ
>676
こんなこと言う奴が元請なんだよなぁ。
で、AD担当ときたもんだ。
現場で構成渡されただけで、こっちが対応してるだけ。
レベル低い、似非エンジニアの相手が一番疲れるわな。
こんなこと言う奴が元請なんだよなぁ。
で、AD担当ときたもんだ。
現場で構成渡されただけで、こっちが対応してるだけ。
レベル低い、似非エンジニアの相手が一番疲れるわな。
678 :675:03/04/27 14:24 ID:WP9UGi3m
>676
大体、大手と組んだ際の話してるのに、こっちが
要件定義を主導できると思ってるのが、笑えた。
で、ヲタクは、F?Hp?N?Hi?Nt?
大体、大手と組んだ際の話してるのに、こっちが
要件定義を主導できると思ってるのが、笑えた。
で、ヲタクは、F?Hp?N?Hi?Nt?
>676
あと、普通に要求サービスと構成図だけあれば、この程度の
設定できない奴は、ゴミSEだわな。
仮に何かあっても現地で即座に修正できない、何故修正しないと
いけないか判らない奴ばっかだからな。
当然、どこを確認すべきか判断できないって意味でね。
あと、普通に要求サービスと構成図だけあれば、この程度の
設定できない奴は、ゴミSEだわな。
仮に何かあっても現地で即座に修正できない、何故修正しないと
いけないか判らない奴ばっかだからな。
当然、どこを確認すべきか判断できないって意味でね。
680 :動画直リン:03/04/27 14:30 ID:+XBs5bzm
681 :anonymous@ YahooBB219193228013.bbtec.net:03/04/27 14:35 ID:cxAFAMy2
監査は,女体監査
しめつけ性,しゃぶなめ性,こしふり性を監査
上シスは,上級尻刺す
ゴムがうんこだらけ,でもやみつき
被監査対象 監査持ってるが仕事がない人事教育のオールドミスに食われました。ぐいぐいと。
しかも,一生懸命奉仕したため,オールドミス仲間や最近ごぶさたの孫持ちおばはんの同僚たちにも回され,徹底的に姦さされました。
この年ではじめて3Pしましたが,相手2人の合計はぼくの年のほぼ4倍です。
助けてほしいですが,気持ちよくて,そんな自分が許せないのです。どうしたらいいでしょうか。
監査技法 バイブを使いなさい,伝統的な技法では通用しません。
上がシースルー を上シスと呼びます
電算室でSEXすると,いくらはりきっても汗が出ません。
アナルスト え,まだ前からやってるの?
坊や,まだまだ子供ね
ぶす
松嶋奈々子 図体はともかく顔でかすぎ
田中麗奈 爬虫類?
広末涼子 あざらし
藤本美貴 AVエロ顔
こんなので抜けるの?
本上まなみ 地味ぶす
男の方がましかも
最近の女,ぶすばっか
くさいし
ばかだし
すぐやらせちゃって病気もちだし
疥癬だし
腋臭だし
エステ通ってるおばちゃんか,男のほうがいいな
しめつけ性,しゃぶなめ性,こしふり性を監査
上シスは,上級尻刺す
ゴムがうんこだらけ,でもやみつき
被監査対象 監査持ってるが仕事がない人事教育のオールドミスに食われました。ぐいぐいと。
しかも,一生懸命奉仕したため,オールドミス仲間や最近ごぶさたの孫持ちおばはんの同僚たちにも回され,徹底的に姦さされました。
この年ではじめて3Pしましたが,相手2人の合計はぼくの年のほぼ4倍です。
助けてほしいですが,気持ちよくて,そんな自分が許せないのです。どうしたらいいでしょうか。
監査技法 バイブを使いなさい,伝統的な技法では通用しません。
上がシースルー を上シスと呼びます
電算室でSEXすると,いくらはりきっても汗が出ません。
アナルスト え,まだ前からやってるの?
坊や,まだまだ子供ね
ぶす
松嶋奈々子 図体はともかく顔でかすぎ
田中麗奈 爬虫類?
広末涼子 あざらし
藤本美貴 AVエロ顔
こんなので抜けるの?
本上まなみ 地味ぶす
男の方がましかも
最近の女,ぶすばっか
くさいし
ばかだし
すぐやらせちゃって病気もちだし
疥癬だし
腋臭だし
エステ通ってるおばちゃんか,男のほうがいいな
682 : :03/04/27 14:37 ID:???
真性?
>>680
そうかな?
仮に直すべき場所が想定できたとしても、
試験してない構成をぶっつけで組むのはどうかと思うけど
動くことはほぼ間違いないと想定できても、そこで構成を修正するようなポリシーだと
事前に時間をかけて試験をする意味が無くなるのでは?
Alteonは(特にRedirectを使うと)思いっきりSwitchを選ぶ機器なんで
最低でもSwitchの機種とそのファームとコンフィグは必須情報だと思うんだけどな
突然ユニキャストをフラッドするような某3550のような糞SwitchにAlteonを繋ぐ気にはなれない
以前、とある客のインフラやってるベンダからAlteon入れてくれって言われて
ろくに打ち合わせもなしに進めさせられた案件があったんだけど、
とりあえずSTPの構成にして、とっくに設計書出してるのに、作業の数日前に突然、
"設計書見たんだけど、このお客はエッジSWの下ではSTP組まないポリシーなんだよね"
とのたまわれて急遽Active-ActiveでL3のRedirect構成になって、
見切り発車で試験しなおして、予想通り大失敗したことはある
マルチベンダって大手が主導とは限らないと思うんだけどな
普通、ネットワークならインフラのベンダ、アプリならサーバのベンダが主導になると思うけど?
#スレ違い失礼
そうかな?
仮に直すべき場所が想定できたとしても、
試験してない構成をぶっつけで組むのはどうかと思うけど
動くことはほぼ間違いないと想定できても、そこで構成を修正するようなポリシーだと
事前に時間をかけて試験をする意味が無くなるのでは?
Alteonは(特にRedirectを使うと)思いっきりSwitchを選ぶ機器なんで
最低でもSwitchの機種とそのファームとコンフィグは必須情報だと思うんだけどな
突然ユニキャストをフラッドするような某3550のような糞SwitchにAlteonを繋ぐ気にはなれない
以前、とある客のインフラやってるベンダからAlteon入れてくれって言われて
ろくに打ち合わせもなしに進めさせられた案件があったんだけど、
とりあえずSTPの構成にして、とっくに設計書出してるのに、作業の数日前に突然、
"設計書見たんだけど、このお客はエッジSWの下ではSTP組まないポリシーなんだよね"
とのたまわれて急遽Active-ActiveでL3のRedirect構成になって、
見切り発車で試験しなおして、予想通り大失敗したことはある
マルチベンダって大手が主導とは限らないと思うんだけどな
普通、ネットワークならインフラのベンダ、アプリならサーバのベンダが主導になると思うけど?
#スレ違い失礼
>683
>>680じゃなくて、>>679です。(笑)
> 試験してない構成をぶっつけで組むのはどうかと思うけど
同感。でも、試験して動かない、こうすれば動くっていう報告書出しても
面子丸出しで、変更不可っていう元請が多くてね。
> 事前に時間をかけて試験をする意味が無くなるのでは?
そういう検証無しで進むことが現実には多いですから。
> 最低でもSwitchの機種とそのファームとコンフィグは必須情報だと思うんだけどな
私がADからみで他社と組んだ際は、構成・スイッチ等含めて
AD側を担当しているところが受けてたんですよね。だから、余計に
何考えてる!って思ってました。
> ろくに打ち合わせもなしに進めさせられた案件があったんだけど、
多いですよね。全く。でも打ち合わせしても、こちらからの
提案を理解できる担当者に当たる確率は、微小だったりするのは
たぶん実感されてるんでは?
(IPX使ってるお客のところに、NSを勝手に提案してきた営業とかいますからね)
EUの環境や要件を理解できない営業やコンサルが主導した案件は悲惨だもんね。
> 普通、ネットワークならインフラのベンダ、アプリならサーバのベンダが主導になると思うけど?
ネットワーク屋がサーバの動きを知らない、アプリ屋がネットワークの動きを
知らないために、下手を打つ案件は多かったです。
ちゃんと、全体の動きを俯瞰できるSEが少ないせいで、(ここでの
SEは、セールスエンジニアを含めてもいいかもしれませんね)EUが泣くわけですが。
結局、担当者の当たり外れ(当たりの率は、ミニロト以下かな。さすがに
ジャンボとまで酷いことは言わないけど)で決まってしまうのが、悲しいです。
#スレ違い失礼しました。
話は変わって、NSでのUDPフラグメント処理は、いつごろ対応される(された?)のでしょうか?
>>680じゃなくて、>>679です。(笑)
> 試験してない構成をぶっつけで組むのはどうかと思うけど
同感。でも、試験して動かない、こうすれば動くっていう報告書出しても
面子丸出しで、変更不可っていう元請が多くてね。
> 事前に時間をかけて試験をする意味が無くなるのでは?
そういう検証無しで進むことが現実には多いですから。
> 最低でもSwitchの機種とそのファームとコンフィグは必須情報だと思うんだけどな
私がADからみで他社と組んだ際は、構成・スイッチ等含めて
AD側を担当しているところが受けてたんですよね。だから、余計に
何考えてる!って思ってました。
> ろくに打ち合わせもなしに進めさせられた案件があったんだけど、
多いですよね。全く。でも打ち合わせしても、こちらからの
提案を理解できる担当者に当たる確率は、微小だったりするのは
たぶん実感されてるんでは?
(IPX使ってるお客のところに、NSを勝手に提案してきた営業とかいますからね)
EUの環境や要件を理解できない営業やコンサルが主導した案件は悲惨だもんね。
> 普通、ネットワークならインフラのベンダ、アプリならサーバのベンダが主導になると思うけど?
ネットワーク屋がサーバの動きを知らない、アプリ屋がネットワークの動きを
知らないために、下手を打つ案件は多かったです。
ちゃんと、全体の動きを俯瞰できるSEが少ないせいで、(ここでの
SEは、セールスエンジニアを含めてもいいかもしれませんね)EUが泣くわけですが。
結局、担当者の当たり外れ(当たりの率は、ミニロト以下かな。さすがに
ジャンボとまで酷いことは言わないけど)で決まってしまうのが、悲しいです。
#スレ違い失礼しました。
話は変わって、NSでのUDPフラグメント処理は、いつごろ対応される(された?)のでしょうか?
685 :_:03/04/27 16:45 ID:5WGgBfZ5
>>684
失礼しました
スクリプト屋さんと間違うのはかなり失礼でしたね
>ネットワーク屋がサーバの動きを知らない、アプリ屋がネットワークの動きを
>知らないために、下手を打つ案件は多かったです。
この問題はどうしようも無いですね
アプリのベンダとネットワークのベンダ1対1ならまだしも、
別ベンダのサーバ間連携で双方のバランサのベンダが違うなんてなったら
まず一発でうまくいくことはないですね
#度々スレ違い失礼
とってつけたようですけど、>>654
自分のやった限りではNATコミFirewall or 拠点間VPN機器としての費用対効果では
NokiaがNSに勝つ要素は無いように思えます。
IP-710でもNS-500に勝てません
ただ、NSは洒落たことをやろうとするといろいろ制約があるんで
要件によってはNokiaでないとダメなところもあるでしょう
NSはセキュリティアプライアンスではないってのも全く同感ですね
あと、端末型VPNの終端にもむかないような気がします
認証系の自由度とか、いろんな意味で
ASFどうなのかなあ?
AceSwitchのFWLB程度の完成度だとしたら、
テーブルとして使う以外に道はなさそうですけど
失礼しました
スクリプト屋さんと間違うのはかなり失礼でしたね
>ネットワーク屋がサーバの動きを知らない、アプリ屋がネットワークの動きを
>知らないために、下手を打つ案件は多かったです。
この問題はどうしようも無いですね
アプリのベンダとネットワークのベンダ1対1ならまだしも、
別ベンダのサーバ間連携で双方のバランサのベンダが違うなんてなったら
まず一発でうまくいくことはないですね
#度々スレ違い失礼
とってつけたようですけど、>>654
自分のやった限りではNATコミFirewall or 拠点間VPN機器としての費用対効果では
NokiaがNSに勝つ要素は無いように思えます。
IP-710でもNS-500に勝てません
ただ、NSは洒落たことをやろうとするといろいろ制約があるんで
要件によってはNokiaでないとダメなところもあるでしょう
NSはセキュリティアプライアンスではないってのも全く同感ですね
あと、端末型VPNの終端にもむかないような気がします
認証系の自由度とか、いろんな意味で
ASFどうなのかなあ?
AceSwitchのFWLB程度の完成度だとしたら、
テーブルとして使う以外に道はなさそうですけど
>>679
> ちゃんと、全体の動きを俯瞰できるSEが少ないせいで、
> (ここでのSEは、セールスエンジニアを含めてもいいかもしれませんね)
> EUが泣くわけですが。
禿同
こういう事を感じているエンジニアも少なからずいるんでつね。
ガンバロ。
> ちゃんと、全体の動きを俯瞰できるSEが少ないせいで、
> (ここでのSEは、セールスエンジニアを含めてもいいかもしれませんね)
> EUが泣くわけですが。
禿同
こういう事を感じているエンジニアも少なからずいるんでつね。
ガンバロ。
>685
うーん、担当外れたから、今はどうなっているのか。
最後にテストしたのは、今年の2月中でした。
直っているなら教えて欲しい。
うーん、担当外れたから、今はどうなっているのか。
最後にテストしたのは、今年の2月中でした。
直っているなら教えて欲しい。
689 :685:03/04/27 22:26 ID:5WGgBfZ5
>>688
FG400のハングアップならロット不良で交換になりました。(うちに入荷したの全部)
他のモデルで起こってた攻撃受けた時にハングアップする件は、
現状の2.36 build067では起きてません。
テストする機会があったら最新でやってみてくだされ。
FortiManager見てきたけど、これはちゃちだった。ま、ver1.0だからしょうがないか。
FG400のハングアップならロット不良で交換になりました。(うちに入荷したの全部)
他のモデルで起こってた攻撃受けた時にハングアップする件は、
現状の2.36 build067では起きてません。
テストする機会があったら最新でやってみてくだされ。
FortiManager見てきたけど、これはちゃちだった。ま、ver1.0だからしょうがないか。
690 :動画直リン:03/04/27 22:30 ID:+XBs5bzm
>689
??FG??? NetScreen-IDSの話じゃなかったの?
??FG??? NetScreen-IDSの話じゃなかったの?
>689
FG400をロットで扱ってるっていうだけで、どこか判ってしまうような気がします。
取り扱う場合には、その時点の最新安定版は使うようにしていますので、
そのあたりはチェックさせて貰います。
(これはNW機器だけでなく、当然ながらサーバ関係等も同様に行っています。
WindowsのUpdate検証は、中々つらいものがありますが。動いていた
アプリが動かなくなることが頻繁に起きるので。SP当てたら動かなくなる
Win2K Server標準アプリの困ったちゃんに泣かされます)
#某NS一次代理店から、今年の冬(春?)に納品されたもののファームが
#なんと、2.6系だったので、唖然。VPN装置として購入したのに、
#2.6系と3系と4系混在してくれたんです。(このスレに来る人には意味が判るでしょうが)
#ちゃんとファーム指定してたのに。
#ノーチェック出荷なのかな。ちゃんとチェックしてるというのは口だけ?
FG400をロットで扱ってるっていうだけで、どこか判ってしまうような気がします。
取り扱う場合には、その時点の最新安定版は使うようにしていますので、
そのあたりはチェックさせて貰います。
(これはNW機器だけでなく、当然ながらサーバ関係等も同様に行っています。
WindowsのUpdate検証は、中々つらいものがありますが。動いていた
アプリが動かなくなることが頻繁に起きるので。SP当てたら動かなくなる
Win2K Server標準アプリの困ったちゃんに泣かされます)
#某NS一次代理店から、今年の冬(春?)に納品されたもののファームが
#なんと、2.6系だったので、唖然。VPN装置として購入したのに、
#2.6系と3系と4系混在してくれたんです。(このスレに来る人には意味が判るでしょうが)
#ちゃんとファーム指定してたのに。
#ノーチェック出荷なのかな。ちゃんとチェックしてるというのは口だけ?
>>691
スマソ。間違えますた・・・
スマソ。間違えますた・・・
694 : :03/04/27 23:23 ID:???
2.6で25vsysだって言ったのに4.0で100vsysが来たことはあった
ファームはどの道、試験の時に何パターンか検証するからいいけど
ライセンス周りのミスは勘弁して欲しい
HAライセンス無しのNS1000なんて誰が使うんだと小一時間問い詰めたい
ファームはどの道、試験の時に何パターンか検証するからいいけど
ライセンス周りのミスは勘弁して欲しい
HAライセンス無しのNS1000なんて誰が使うんだと小一時間問い詰めたい
>694
> ファームはどの道、試験の時に何パターンか検証するからいいけど
試験は終わってて納品設置時のミスだから困るんだよね。
> ライセンス周りのミスは勘弁して欲しい
これは、NSに限らず多いね。
MACアドレス数を間違えられたり、MGMTライセンス付け忘れられたり
IPアドレス間違えられたりするFW-1
認証機能を入れ忘れたAlcatel
L3ライセンスが抜けたL3 Switch群などなど。。
> HAライセンス無しのNS1000なんて誰が使うんだと小一時間問い詰めたい
案外、代理店自身の検証機として無理して用意した場合には有り得るかな。
EU向けで、実際にそういう構成だったら、提案した奴は、、、だね。
> ファームはどの道、試験の時に何パターンか検証するからいいけど
試験は終わってて納品設置時のミスだから困るんだよね。
> ライセンス周りのミスは勘弁して欲しい
これは、NSに限らず多いね。
MACアドレス数を間違えられたり、MGMTライセンス付け忘れられたり
IPアドレス間違えられたりするFW-1
認証機能を入れ忘れたAlcatel
L3ライセンスが抜けたL3 Switch群などなど。。
> HAライセンス無しのNS1000なんて誰が使うんだと小一時間問い詰めたい
案外、代理店自身の検証機として無理して用意した場合には有り得るかな。
EU向けで、実際にそういう構成だったら、提案した奴は、、、だね。
696 : :03/04/28 17:31 ID:???
>>652
octpowerの方はあんまり乗り気じゃなかったような・・・。ルータもCISCOじゃなかったし。
octpowerの方はあんまり乗り気じゃなかったような・・・。ルータもCISCOじゃなかったし。
このスレは日曜に伸びるんですね(w
698 :初心者:03/04/29 18:02 ID:CDUdQTIG
こんばんは。
ちょっと教えてください。
ScreenOS4系で
interfaceIPとmanageIPを同じにすることはできますでしょうか?
3系ですと、manageIPを0.0.0.0にすることで出来たのですが。
4.0.0r6.0ではうまくいきません。
ちょっと教えてください。
ScreenOS4系で
interfaceIPとmanageIPを同じにすることはできますでしょうか?
3系ですと、manageIPを0.0.0.0にすることで出来たのですが。
4.0.0r6.0ではうまくいきません。
699 :anonymous@ 218.231.65.165.eo.eaccess.ne.jp:03/04/29 18:10 ID:cEjrIfM4
>>698
manage IPをunsetすればよかったと思うけど。
ウロ覚えなので間違ってたらすまん。
あとは、I/Fのmanage ServiceのWEB or SCSがONになってないとアクセスできんよ。
manage IPをunsetすればよかったと思うけど。
ウロ覚えなので間違ってたらすまん。
あとは、I/Fのmanage ServiceのWEB or SCSがONになってないとアクセスできんよ。
700 :動画直リン:03/04/29 18:29 ID:+cGEOJ9v
701 :anonymous@ p6161.nttpc.co.jp:03/05/02 11:07 ID:YxMoCpPl
NetScreen 5XPでIPSec接続をする場合、同時接続可能なパス数は10ですが、5XP側に登録可能な接続相手側の情報は幾つまででしょうか?
702 :bloom:03/05/02 11:10 ID:+GgKi54H
703 :初心者:03/05/02 16:45 ID:HkM08FPC
704 :動画直リン:03/05/02 17:09 ID:+GgKi54H
706 :梅 ◆keazy/IPv6 :03/05/03 19:39 ID:afx0SW8N
>>703
set interface trust ip manageable
set interface untrust ip manageable
かな?
ブラウザから設定すると、同一アドレスに設定できないのよねえ。
set interface trust ip manageable
set interface untrust ip manageable
かな?
ブラウザから設定すると、同一アドレスに設定できないのよねえ。
>>705
admin sys-ipは隠しコマンドになったみたいですね。
(?ヘルプでも出てこない)
>>701
たしか登録できるトンネル数=MAXトンネル数だったような気がします。
ダミーで登録してみたら?
policyで設定しない限りほかで使わないし。
admin sys-ipは隠しコマンドになったみたいですね。
(?ヘルプでも出てこない)
>>701
たしか登録できるトンネル数=MAXトンネル数だったような気がします。
ダミーで登録してみたら?
policyで設定しない限りほかで使わないし。
708 :すべすべ:03/05/08 01:21 ID:xVifqEfA
私の経験ですが、同時変更は出来なかったと思います。manageIPは後から変更しました。
709 :bloom:03/05/08 03:09 ID:q3+xUMZF
川o・-・)ノ <先生!こんなのがありました!
http://www.muryou.gasuki.com/hankaku/hankaku07.html
http://muryou.gasuki.com/zenkaku/index.html
http://www.muryou.gasuki.com/hankaku/hankaku08.html
http://muryou.gasuki.com/hankaku/hankaku10.html
http://www.muryou.gasuki.com/hankaku/hankaku01.html
http://muryou.gasuki.com/hankaku/hankaku03.html
http://www.muryou.gasuki.com/hankaku/hankaku02.html
http://muryou.gasuki.com/hankaku/hankaku09.html
http://www.muryou.gasuki.com/hankaku/hankaku06.html
http://muryou.gasuki.com/hankaku/hankaku04.html
http://muryou.gasuki.com/zenkaku/index.html
http://www.muryou.gasuki.com/hankaku/hankaku05.html
http://www.muryou.gasuki.com/hankaku/hankaku07.html
http://muryou.gasuki.com/zenkaku/index.html
http://www.muryou.gasuki.com/hankaku/hankaku08.html
http://muryou.gasuki.com/hankaku/hankaku10.html
http://www.muryou.gasuki.com/hankaku/hankaku01.html
http://muryou.gasuki.com/hankaku/hankaku03.html
http://www.muryou.gasuki.com/hankaku/hankaku02.html
http://muryou.gasuki.com/hankaku/hankaku09.html
http://www.muryou.gasuki.com/hankaku/hankaku06.html
http://muryou.gasuki.com/hankaku/hankaku04.html
http://muryou.gasuki.com/zenkaku/index.html
http://www.muryou.gasuki.com/hankaku/hankaku05.html
NetScreen50でScreenOSは4.0.3r1.0のNATモードで動作させています。
無事にNS-REMOTEから、VPNでの通信ができました。
これをグループ化させて多人数がNS-REMOTEを利用するVPNの設定をNS上に作ろうと思い、
マニュアルの「グループIKE ID」の「事前共有鍵を持つIKE ID」に書いてある例を自分の環境に置き換えて設定してみたところ
VPNはおろかIKEのPhase1すらも通らない状態で、何がどうなっているのか皆目見当がつきません。
何か間違いを犯していたら指摘いただけると幸いです。
あと、この事前共有鍵の手段の他に、NS上でユーザを多数登録せずに、NS-REMOTEからの接続を受け入れられる手段があれば、挑戦してみたいのですが、何かありますでしょうか?
無事にNS-REMOTEから、VPNでの通信ができました。
これをグループ化させて多人数がNS-REMOTEを利用するVPNの設定をNS上に作ろうと思い、
マニュアルの「グループIKE ID」の「事前共有鍵を持つIKE ID」に書いてある例を自分の環境に置き換えて設定してみたところ
VPNはおろかIKEのPhase1すらも通らない状態で、何がどうなっているのか皆目見当がつきません。
何か間違いを犯していたら指摘いただけると幸いです。
あと、この事前共有鍵の手段の他に、NS上でユーザを多数登録せずに、NS-REMOTEからの接続を受け入れられる手段があれば、挑戦してみたいのですが、何かありますでしょうか?
>711
> あと、この事前共有鍵の手段の他に、NS上でユーザを多数登録せずに、NS-REMOTEからの接続を受け入れられる手段があれば、
Group IKE ID with Preshared Key
Group/Policyは一つ。CLIで個別にPreshared Key作成
CLIの出力のスペースは削除して張り付けること
> あと、この事前共有鍵の手段の他に、NS上でユーザを多数登録せずに、NS-REMOTEからの接続を受け入れられる手段があれば、
Group IKE ID with Preshared Key
Group/Policyは一つ。CLIで個別にPreshared Key作成
CLIの出力のスペースは削除して張り付けること
713 :NS初心者:03/05/13 10:33 ID:dgDPwWDI
Netscreen-5xtを使って、OCN ADSL(固定1IP)+フレッツADSLを使おうと
思っております。
マニュアルを読んでいると、PPPoEで固定IP使う時は、WEB UIではできない
ようなことが書いてあります。
set pppoe static-ip
というコマンドをみつけたんですが、これとPPPoEのID/PWDと
set interface untrust ip xxx.xxx.xxx.xxx/xx
のインターフェースのIPアドレスを設定すればいいんでしょうか?
何か他に注意したほうがいいことがありましたら教えてください。
よろしくお願いします。
思っております。
マニュアルを読んでいると、PPPoEで固定IP使う時は、WEB UIではできない
ようなことが書いてあります。
set pppoe static-ip
というコマンドをみつけたんですが、これとPPPoEのID/PWDと
set interface untrust ip xxx.xxx.xxx.xxx/xx
のインターフェースのIPアドレスを設定すればいいんでしょうか?
何か他に注意したほうがいいことがありましたら教えてください。
よろしくお願いします。
714 : :03/05/13 10:41 ID:???
715 :bloom:03/05/13 11:10 ID:JCPb+CVu
716 :NS初心者:03/05/13 11:39 ID:dgDPwWDI
>>714
OCNの開通通知書にIPアドレス(/32)が書いてあったので、
NS側で固定IPを振らないといけないとものだと
思ってしまっておりました。
通常のPPPoEの設定でOKなら、自分の家のADSL(変動IP)
でためした設定がそのまま使えそうです。
ありがとうございました。
OCNの開通通知書にIPアドレス(/32)が書いてあったので、
NS側で固定IPを振らないといけないとものだと
思ってしまっておりました。
通常のPPPoEの設定でOKなら、自分の家のADSL(変動IP)
でためした設定がそのまま使えそうです。
ありがとうございました。
>712
ありがとうございます。無事に接続できました。
CLI出力の前後の<>を取り忘れていました。いやはやお恥ずかしい。
ありがとうございます。無事に接続できました。
CLI出力の前後の<>を取り忘れていました。いやはやお恥ずかしい。
718 :anonymous@ shark.core.r-ts.co.jp:03/05/13 19:14 ID:a05n/5Wn
NS-25(OS4系)にて、インターフェースNAT使ったら、Untrust→DMZ、Trust→DMZ
の両方とも、ソースIPがDMZのインターフェースのIPに変換されちゃいました。
OS3系はTrust→DMZだけ変換してたのにー。
おかげでSPAMでも何でも受け付けるメールサーバ出来上がってたよ。。。
PolicyベースNATで対応できたからいいようなものの、なんか超ムカツクー。
これって仕様?
の両方とも、ソースIPがDMZのインターフェースのIPに変換されちゃいました。
OS3系はTrust→DMZだけ変換してたのにー。
おかげでSPAMでも何でも受け付けるメールサーバ出来上がってたよ。。。
PolicyベースNATで対応できたからいいようなものの、なんか超ムカツクー。
これって仕様?
720 :あのにます:03/05/14 14:57 ID:UbWCFuXD
>>719
ZONEのこと考えてなかったってことは、設定してないってことですよね。。。
このへんちゃんと設定すれば問題なかったってことかな?
根本から修行しなおさにゃならんですね。
ありがとうございます。
NSの概念難しいっす。。。
ZONEのこと考えてなかったってことは、設定してないってことですよね。。。
このへんちゃんと設定すれば問題なかったってことかな?
根本から修行しなおさにゃならんですね。
ありがとうございます。
NSの概念難しいっす。。。
721 :迷い中:03/05/14 18:55 ID:wkBuxeaT
Netscreen-5xpとYamaha RXT1000のどちらにすべきか迷いに迷ってます。
価格はほぼ同じ程度・・・。
2拠点間を互いに固定Bフレッツで結ぶ予定です。
最後の決断に皆様からの天の声を頂きたく存じます。
よろしくお願いします。
価格はほぼ同じ程度・・・。
2拠点間を互いに固定Bフレッツで結ぶ予定です。
最後の決断に皆様からの天の声を頂きたく存じます。
よろしくお願いします。
722 :bloom:03/05/14 19:09 ID:37UR+lzG
NetScreen-50 使ってるんですが、最近 Alert と書かれている
LED が赤色に点灯しています。
壊れてるんでしょうか。
LED が赤色に点灯しています。
壊れてるんでしょうか。
Alert じゃなくて alerm ですた。
>721
迷わず5XT(笑)
迷わず5XT(笑)
Bフレ使うんならXPよりXTの方
RXT1000は触ったことあるけどNSの方が使い続けるなら楽ぽい
RXT1000は触ったことあるけどNSの方が使い続けるなら楽ぽい
727 :anonymous@ s25.HtokyoFL2.vectant.ne.jp:03/05/15 18:15 ID:???
>>721
漏れも両方使ってるけど、管理を考えるとRTX1000は好きになれないなぁ。
イジってるとRTXの方がプロっぽいけど、やっぱりGUIがあるほうが管理はラク。
まぁNSもRTXもバギーだから、そこら辺は覚悟の上でドゾー
漏れも両方使ってるけど、管理を考えるとRTX1000は好きになれないなぁ。
イジってるとRTXの方がプロっぽいけど、やっぱりGUIがあるほうが管理はラク。
まぁNSもRTXもバギーだから、そこら辺は覚悟の上でドゾー
728 :ぶりっじ?:03/05/15 21:40 ID:rf6WaeVM
いきなり渡されて、NS5XTでブリッジ接続しろって言われて途方にくれています。
回線はB-Flet's、固定IP有り。対向はNS50です。
平たく言えば、50の下にぶら下がっているとあるブロードキャストドメインをVPN経由で拡張したいということなのですが。
HPを見ると、NSRemoteとNS204なんて組み合わせの事例はあるみたいなんですが・・・。
どなたか、実現可能かどうか、教えていただけませんか?
回線はB-Flet's、固定IP有り。対向はNS50です。
平たく言えば、50の下にぶら下がっているとあるブロードキャストドメインをVPN経由で拡張したいということなのですが。
HPを見ると、NSRemoteとNS204なんて組み合わせの事例はあるみたいなんですが・・・。
どなたか、実現可能かどうか、教えていただけませんか?
729 :アラーの神:03/05/16 21:22 ID:dz04X0O4
730 :yuis:03/05/16 21:34 ID:LLo8gGLF
おっ!安い!買っちゃお!
http://www.dvd-yuis.com/
えっ!?もう届いたの?
http://www.dvd-yuis.com/
あなたのハートに最速発送!
http://www.dvd-yuis.com/
http://www.dvd-yuis.com/
えっ!?もう届いたの?
http://www.dvd-yuis.com/
あなたのハートに最速発送!
http://www.dvd-yuis.com/
731 :anonymous@ YahooBB220010101172.bbtec.net:03/05/16 21:38 ID:XKeu3rpa
おすすめサイト一覧です☆
http://accessplus.jp/staff/in.cgi?id=10645
http://www.39001.com/cgi-bin/cpc/gateway.cgi?id=neat
http://www.emzshop.com/goodstyle/
http://members.tripod.co.jp/neatstyle/index.html.html
http://accessplus.jp/staff/in.cgi?id=10645
http://www.39001.com/cgi-bin/cpc/gateway.cgi?id=neat
http://www.emzshop.com/goodstyle/
http://members.tripod.co.jp/neatstyle/index.html.html
∧_∧ http://muryou.gasuki.com/mona/
( ・∀・)/< こんなのみつけたっち♪
http://muryou.gasuki.com/moe/hankaku07.html
http://www.muryou.gasuki.com/moe/hankaku08.html
http://muryou.gasuki.com/moe/hankaku10.html
http://www.muryou.gasuki.com/moe/hankaku09.html
http://muryou.gasuki.com/moe/hankaku06.html
http://www.muryou.gasuki.com/moe/hankaku05.html
http://muryou.gasuki.com/moe/hankaku04.html
http://www.muryou.gasuki.com/moe/hankaku03.html
http://muryou.gasuki.com/moe/hankaku02.html
http://www.muryou.gasuki.com/moe/hankaku01.html
( ・∀・)/< こんなのみつけたっち♪
http://muryou.gasuki.com/moe/hankaku07.html
http://www.muryou.gasuki.com/moe/hankaku08.html
http://muryou.gasuki.com/moe/hankaku10.html
http://www.muryou.gasuki.com/moe/hankaku09.html
http://muryou.gasuki.com/moe/hankaku06.html
http://www.muryou.gasuki.com/moe/hankaku05.html
http://muryou.gasuki.com/moe/hankaku04.html
http://www.muryou.gasuki.com/moe/hankaku03.html
http://muryou.gasuki.com/moe/hankaku02.html
http://www.muryou.gasuki.com/moe/hankaku01.html
733 :すべすべ:03/05/17 00:34 ID:/GyUOUW6
困っています。NS204(OS4系)でVPNリモートを使用して接続した場合、NSのGUI設定画面がすぐ閉じてしまいます。
当然、GUIの表示時間などは無効にしていますし、Trust側からの接続は問題ありません。判明したのは、ADMIN系を開くと即
閉じます。何でしょう、考えられることはやりつくしました、当然設定もしなおしました。助けてください、ちなみにTELNETはOKです。
当然、GUIの表示時間などは無効にしていますし、Trust側からの接続は問題ありません。判明したのは、ADMIN系を開くと即
閉じます。何でしょう、考えられることはやりつくしました、当然設定もしなおしました。助けてください、ちなみにTELNETはOKです。
>>728
結論から行くとブロードキャストドメインを同一にすることは無理ぽ
漏れんところでも似たような案件があって、NSで考えてみたが
DIP、MIPを使って複数拠点で固定IPならなんとか動くかもって結論になった。
うちは、DHCP使ってたので結局NS単体では実現できなかった。
NSのL2対応の意味を履き違えているのではないかと思われ。
#一応国内の代理店数社と日本法人にも相談したがどこにも不可能と言われた
他に遠隔ブリッジ箱とでもいうようなLinux箱用意して対応したけれど。
構築には
ttp://sourceforge.net/projects/inb/
これ使ってみた。ブリッジのポートとポートの間をUDPで遠隔地に流す感じ
うちは3拠点 ハブ&スポークで同一ブロードキャストセグメント
だが一応業務で使えていた。あとはLinux箱の
信頼性次第
結論から行くとブロードキャストドメインを同一にすることは無理ぽ
漏れんところでも似たような案件があって、NSで考えてみたが
DIP、MIPを使って複数拠点で固定IPならなんとか動くかもって結論になった。
うちは、DHCP使ってたので結局NS単体では実現できなかった。
NSのL2対応の意味を履き違えているのではないかと思われ。
#一応国内の代理店数社と日本法人にも相談したがどこにも不可能と言われた
他に遠隔ブリッジ箱とでもいうようなLinux箱用意して対応したけれど。
構築には
ttp://sourceforge.net/projects/inb/
これ使ってみた。ブリッジのポートとポートの間をUDPで遠隔地に流す感じ
うちは3拠点 ハブ&スポークで同一ブロードキャストセグメント
だが一応業務で使えていた。あとはLinux箱の
信頼性次第
>>734
ソニックヲールならできるのになぁ
ソニックヲールならできるのになぁ
736 :動画直リン:03/05/18 09:08 ID:aq+5Jd0P
>>733-734
この話題、定期的にでますねえ
前に話し振ってた人がその後レポート無かったんでどうなったか知りたかったんだけど
やっぱり無理なんですかね
普通にIPsecだとL2のフレームをカプセルできないから
まずMACアドレスをIPのペイロードに入れられないんで
ブリッジモードでトンネルが張れたとしても、
カプセルはがすとL3までしかヘッダがないんですよね
特殊ASICでも作ってARPは両端のデバイスで解決して
仮想的にL2に見せるとかってできないんですかね
CiscoあたりにEtherをIPでカプセルする仕組みがあったけど、
あーいうやり方をする方が早いかな?
この話題、定期的にでますねえ
前に話し振ってた人がその後レポート無かったんでどうなったか知りたかったんだけど
やっぱり無理なんですかね
普通にIPsecだとL2のフレームをカプセルできないから
まずMACアドレスをIPのペイロードに入れられないんで
ブリッジモードでトンネルが張れたとしても、
カプセルはがすとL3までしかヘッダがないんですよね
特殊ASICでも作ってARPは両端のデバイスで解決して
仮想的にL2に見せるとかってできないんですかね
CiscoあたりにEtherをIPでカプセルする仕組みがあったけど、
あーいうやり方をする方が早いかな?
>特殊ASICでも作ってARPは両端のデバイスで解決して
>仮想的にL2に見せるとかってできないんですかね
と、思ったんですけどこれじゃマルチキャストが抜けないですね
ブロードキャストならDstIPからDstMACを想定できますけど、
マルチキャストはDstIPからDstMACが想定できないですよね
たとえStaticに設定できたとしても、
マルチキャストは一つのDstIPが同じDstMACになるとは限らないですもんね
それ以前にブロードキャストアドレスでマルチキャストMAC宛に投げたり
ネットワークアドレス宛にマルチキャスト投げる機器とかありましたね
某Firewall-1とか、、、
やっぱりMACヘッダごとカプセルする以外にないですね
>仮想的にL2に見せるとかってできないんですかね
と、思ったんですけどこれじゃマルチキャストが抜けないですね
ブロードキャストならDstIPからDstMACを想定できますけど、
マルチキャストはDstIPからDstMACが想定できないですよね
たとえStaticに設定できたとしても、
マルチキャストは一つのDstIPが同じDstMACになるとは限らないですもんね
それ以前にブロードキャストアドレスでマルチキャストMAC宛に投げたり
ネットワークアドレス宛にマルチキャスト投げる機器とかありましたね
某Firewall-1とか、、、
やっぱりMACヘッダごとカプセルする以外にないですね
739 :ぶり:03/05/20 18:29 ID:zXoOh1Iz
皆様、色々とありがとうございます。
でも、MACヘッダごとカプセル化なんて、どうすりゃいいのか、
私の頭ではさっぱり(^^;。
昨夜、NSのサポートを受けるためのコントラクト番号がやっと手に入ったので、
TACにメールで問い合わせてみました。
問い合わせの内容は、「ブロードキャストドメインを拡張したいので、
NS5XTをブリッジとして利用したい。対地はNS50。
設定のサンプルがあったら紹介して欲しい。」
一晩置いたら、「トランスペアレントモードのNS5XTを、ルートモードのNS50に繋ぎたいんだね」
という返事と共に、このマニュアルの何ページを見ろ、という細かいコメントと
リンクが5本程張られたメールが返ってきていました。
ざっと読んだ感じでは、なんだか出来るみたいです。
このサイトでも、何度かテーマになっているとのことなので、試して後ほど結果を報告します。
お世話様でした。
でも、MACヘッダごとカプセル化なんて、どうすりゃいいのか、
私の頭ではさっぱり(^^;。
昨夜、NSのサポートを受けるためのコントラクト番号がやっと手に入ったので、
TACにメールで問い合わせてみました。
問い合わせの内容は、「ブロードキャストドメインを拡張したいので、
NS5XTをブリッジとして利用したい。対地はNS50。
設定のサンプルがあったら紹介して欲しい。」
一晩置いたら、「トランスペアレントモードのNS5XTを、ルートモードのNS50に繋ぎたいんだね」
という返事と共に、このマニュアルの何ページを見ろ、という細かいコメントと
リンクが5本程張られたメールが返ってきていました。
ざっと読んだ感じでは、なんだか出来るみたいです。
このサイトでも、何度かテーマになっているとのことなので、試して後ほど結果を報告します。
お世話様でした。
740 :ぶりっじ?:03/05/20 18:31 ID:zXoOh1Iz
>739
投稿者名が途中で切れちゃいました(何故?)
ブリッジ接続の中間報告でした。
投稿者名が途中で切れちゃいました(何故?)
ブリッジ接続の中間報告でした。
741 :anonymous@ p3007-ip01fukuhanazo.fukushima.ocn.ne.jp:03/05/20 18:40 ID:???
頭わりぃーやつしかいねぇーんじゃいみねぇー
742 : :03/05/20 22:28 ID:???
743 :anonymous@ airh128003177.mobile.ppp.infoweb.ne.jp:03/05/20 23:53 ID:???
>>742
んだども、ふくすまのいなかもんだすけかんべんしてくれや。
んだども、ふくすまのいなかもんだすけかんべんしてくれや。
744 : :03/05/22 01:09 ID:rheJS+fN
新製品でましたね。NetScreen-5GT。
Trend MicroのAnti Virusを搭載(下半期予定)。
同時にTrend Microブランドでも出すと。
Trend MicroのAnti Virusを搭載(下半期予定)。
同時にTrend Microブランドでも出すと。
保守age
747 :anonymous@ PPP566.air128.dti.ne.jp:03/05/22 23:37 ID:g+np+sPr
The NetScreen-5GT appliance offers 75 Mbps firewall throughput and 20 Mbps 3DES VPN performance.
It supports up to 10 IPSec VPN tunnels and up to 2,000 sessions.
The NetScreen-5GT platform also includes five 10/100 auto-sensing, auto-correcting ports, a management console and modem port.
どうなんだろ?
使えるのか?
It supports up to 10 IPSec VPN tunnels and up to 2,000 sessions.
The NetScreen-5GT platform also includes five 10/100 auto-sensing, auto-correcting ports, a management console and modem port.
どうなんだろ?
使えるのか?
752 : :03/05/23 11:05 ID:???
NetScreen-5GT。スペック見る限りFW/VPNとしては5XTと同じだね。
ただCPUとメモリはアンチウィルス実装に向けて強化してあるような
記述もあるが。
Fortigateはクライアント数の縛りがないのがうれしいが、
5GTはどうなんだろ。Trend Microが絡むとなるとやっぱり
ライセンス制が導入されると考えたほうがいいかな?
ただCPUとメモリはアンチウィルス実装に向けて強化してあるような
記述もあるが。
Fortigateはクライアント数の縛りがないのがうれしいが、
5GTはどうなんだろ。Trend Microが絡むとなるとやっぱり
ライセンス制が導入されると考えたほうがいいかな?
753 :anonymous@ s25.HtokyoFL2.vectant.ne.jp:03/05/23 22:14 ID:???
ウイルスなんて9割はメールで、残りのうちの9割はFTPとHTTPで流れるてるんで
メールサーバやプロキシ上で普通にアプリケーションレイヤで処理するのが
一番確実かつオーバーヘッドが少ないと思うんですけどね
当然、ワームが使うようなポートを閉じてるとか、おかしなURIは止めてるのが前提ですが
Firewallでウイルス検出することの意義があまりわからない
セキュリティ機能を一元化すること以外にメリットはあるんでしょうか?
メールサーバやプロキシ上で普通にアプリケーションレイヤで処理するのが
一番確実かつオーバーヘッドが少ないと思うんですけどね
当然、ワームが使うようなポートを閉じてるとか、おかしなURIは止めてるのが前提ですが
Firewallでウイルス検出することの意義があまりわからない
セキュリティ機能を一元化すること以外にメリットはあるんでしょうか?
755 :749:03/05/23 23:13 ID:MVklb70o
>>750
Netscreen社の創設者が辞めてFortinet社起こしたらしいので、
どうなんでしょうかね??
>>753
近々出るファームで、lzhは対応するらしいです。
10M以上の件は不明ですが。。。
まあ、私の使ってる環境ではSMTP/POPでのアンチウィルスが
メインですので、そこには多分あまり大きなサイズのウィルスは
ついて来ないでしょうから、私の場合はさほど気にしてはいません。
あと、使ってるメールサーバがアドレス数が多いんで、
ライセンス数の縛りが無いところがなんと言っても良いです。
Netscreen社の創設者が辞めてFortinet社起こしたらしいので、
どうなんでしょうかね??
>>753
近々出るファームで、lzhは対応するらしいです。
10M以上の件は不明ですが。。。
まあ、私の使ってる環境ではSMTP/POPでのアンチウィルスが
メインですので、そこには多分あまり大きなサイズのウィルスは
ついて来ないでしょうから、私の場合はさほど気にしてはいません。
あと、使ってるメールサーバがアドレス数が多いんで、
ライセンス数の縛りが無いところがなんと言っても良いです。
756 :anonymous@ N045250.ppp.dion.ne.jp:03/05/23 23:29 ID:???
>>754
> Firewallでウイルス検出することの意義があまりわからない
> セキュリティ機能を一元化すること以外にメリットはあるんでしょうか?
よくわかっていないひとはカタログに書いていることを鵜呑みにするから
そういう厨が喜んで買うんでしょうね>放置gate
> Firewallでウイルス検出することの意義があまりわからない
> セキュリティ機能を一元化すること以外にメリットはあるんでしょうか?
よくわかっていないひとはカタログに書いていることを鵜呑みにするから
そういう厨が喜んで買うんでしょうね>放置gate
ぶっちゃけ放置gateは安すぎて商売にならないよ…(´Д`;
高いやつは買うやつ居ないし
高いやつは買うやつ居ないし
758 : :03/05/29 00:27 ID:Bn1JgXbG
ScreenOS3から4に上げたらtrustに作ったstatic routeがまっさらになちゃった。
でもなぜかroutingできる。。。
trustがわにsegment追加したんで、NSにも設定しようと思ったけど、設定しなくても
routingできる。。。
設定いらずで便利と言えば便利なんだけど、これで問題あるの?
でもなぜかroutingできる。。。
trustがわにsegment追加したんで、NSにも設定しようと思ったけど、設定しなくても
routingできる。。。
設定いらずで便利と言えば便利なんだけど、これで問題あるの?
>>578
TRUST側から外にぬけるセッションしかないなら
そういう動きになります
NSはL4スイッチだから既存セッションはSrcMACをキャッシュしてSrcMACにスイッチする
明示的ARP解決するように設定しないと
必ずそういう動作になるんで
知らずに冗長箇所で使うと痛い目にあう
TRUST側から外にぬけるセッションしかないなら
そういう動きになります
NSはL4スイッチだから既存セッションはSrcMACをキャッシュしてSrcMACにスイッチする
明示的ARP解決するように設定しないと
必ずそういう動作になるんで
知らずに冗長箇所で使うと痛い目にあう
>>757
かと言ってNetScreen-5GTは高杉て売れない罠。。。
かと言ってNetScreen-5GTは高杉て売れない罠。。。
761 : :03/05/31 10:16 ID:ScjlvoGs
>>758
set zone trust screen ip-spoofing
set zone trust screen ip-spoofing
762 :pon:03/06/02 22:56 ID:BgykOEPC
NetScreenをセンター拠点においてリモートアクセスVPNやっている方います?
接続側のクライアントには専用ソフトを使わずに、Windows OSのIPsecかL2TPで。
接続側のクライアントには専用ソフトを使わずに、Windows OSのIPsecかL2TPで。
763 :直リン:03/06/02 23:09 ID:Qir1npdC
765 :anonymous@ PPP282.air128.dti.ne.jp:03/06/03 02:07 ID:7+saV53L
・_・y━””ここで一服
http://homepage3.nifty.com/coco-nut/
そしてあぷろだはここ
http://www.k-514.com/imgbbs1/imgboard.cgi
http://homepage3.nifty.com/coco-nut/
そしてあぷろだはここ
http://www.k-514.com/imgbbs1/imgboard.cgi
766 :FU:03/06/04 10:51 ID:wzWY/G9w
NS204で複数のBフレッツ回線を収容し、それぞれVPNを張りたいと
考えています。しかしNetscreenは複数のPPPoEには対応してないようです。
仕方ないのでUntrustとDMZにそれぞれブロードバンドルータを設置し、
2回線にアクセス。更にUntrustとDMZにグローバル固定IPを振り、それぞれに
相手からVPNのセッションを張らせる。こんな芸当可能なんでしょうか???
考えています。しかしNetscreenは複数のPPPoEには対応してないようです。
仕方ないのでUntrustとDMZにそれぞれブロードバンドルータを設置し、
2回線にアクセス。更にUntrustとDMZにグローバル固定IPを振り、それぞれに
相手からVPNのセッションを張らせる。こんな芸当可能なんでしょうか???
767 :直リン:03/06/04 11:09 ID:pEJd8syK
769 :○anonymous:03/06/04 21:31 ID:???
>768
Winが1台なら。。
Winが1台なら。。
770 :すべすべ:03/06/07 01:44 ID:53wI5pDf
>768
出来ますよ!
出来ますよ!
771 :anonymous@ YahooBB219000042003.bbtec.net:03/06/07 07:38 ID:???
>766
もちろん可能。でもなんでDMZなん?
どっちもUntrustでいいだろ。
もちろん可能。でもなんでDMZなん?
どっちもUntrustでいいだろ。
772 :NS初心者:03/06/07 22:09 ID:veqlUhO6
一度つないだルーティングベースLAN間VPNを切断したいのですが
どうしたらいいでしょうか?設定を変更したいので、一度切断
してから再接続したいです。
教えてください。よろしくお願いします。
どうしたらいいでしょうか?設定を変更したいので、一度切断
してから再接続したいです。
教えてください。よろしくお願いします。
773 : :03/06/07 22:40 ID:???
ケーブル抜いて差せ
774 :_:03/06/09 00:03 ID:yfqL99j2
NetScreen-RemoteをフレッツISDNで使おうとしてるのですが、
センター側のログを見ると、リモート(自宅)のダイヤルアップルータたDHCPのアドレスがそのまま行ってしまい、
PhaseUが確立できません。
古いルータなんでIPsecパススルーとかなさそうなので、NATトラバーサルをNS-Remoteで使おうとしてるんですが、
メニューに見当たりません。(Ver8.0はあるはずなのに)
どなたか教えて頂けますでしょうか。
センター側のログを見ると、リモート(自宅)のダイヤルアップルータたDHCPのアドレスがそのまま行ってしまい、
PhaseUが確立できません。
古いルータなんでIPsecパススルーとかなさそうなので、NATトラバーサルをNS-Remoteで使おうとしてるんですが、
メニューに見当たりません。(Ver8.0はあるはずなのに)
どなたか教えて頂けますでしょうか。
775 : :03/06/09 22:29 ID:7S4Cjx4U
776 :とも:03/06/09 22:52 ID:JGpKxH4S
777 :VPN初心者:03/06/10 01:03 ID:S/Qzolid
とある事から、RTX1000とNetscreenをVPN接続する事になったのですが、
RTX1000側が固定IPで、Netscreen側が動的IP・・・。
YAMAHAの事例を見たり、aggrモードにして、メールアドレス入れたりと、試行錯誤しているのでが、
なかなか上手くいきません。。どなたか助けていただけないでしょうか?
もうここしかお願いできるところがなくて・・・。お願い致します。
RTX1000側が固定IPで、Netscreen側が動的IP・・・。
YAMAHAの事例を見たり、aggrモードにして、メールアドレス入れたりと、試行錯誤しているのでが、
なかなか上手くいきません。。どなたか助けていただけないでしょうか?
もうここしかお願いできるところがなくて・・・。お願い致します。
778 :無料動画直リン:03/06/10 01:09 ID:W3embz40
>>777
YAMAHAはRemoteIDのタイプがKey-IDがデフォルトになってる。
で、NetScreenはFQDNかU-FQDNしか対応していない。
NetScreenのLocal IDに設定した文字列をYAMAHAのRemote IDに
設定するだけで、後はVPNのポリシーをあわせるだけですよ。
IKEのどの辺でこけてるのかわかれば具体的にどこの設定が悪いのか
わかりますけどね。Logを見なきゃいけないからなぁ・・・
YAMAHAはRemoteIDのタイプがKey-IDがデフォルトになってる。
で、NetScreenはFQDNかU-FQDNしか対応していない。
NetScreenのLocal IDに設定した文字列をYAMAHAのRemote IDに
設定するだけで、後はVPNのポリシーをあわせるだけですよ。
IKEのどの辺でこけてるのかわかれば具体的にどこの設定が悪いのか
わかりますけどね。Logを見なきゃいけないからなぁ・・・
780 :777:03/06/11 00:05 ID:5Qye+L+h
今日、つながりました。。。
779様のおっしゃる通り、NSのLocalIDとYAMAHAのRemoteIDの設定ミスでした。
YAHAMA側でログしていたら、「GatewayIDがない!!」みたいなエラーが出て修正したら、つながりました。
ありがとうございました。
779様のおっしゃる通り、NSのLocalIDとYAMAHAのRemoteIDの設定ミスでした。
YAHAMA側でログしていたら、「GatewayIDがない!!」みたいなエラーが出て修正したら、つながりました。
ありがとうございました。
781 :リモートアクセス:03/06/11 09:43 ID:6MtXEKje
NetscreenとNetscreen-RemoteでVPNリモートアクセスをやってます。
Remote側に設置してるBBルータによってはうまく通信できない事があるみたい。
NATトラバーサルは有効にしてるので、NAT越えは大丈夫だと思うんだけど
どーもIOデータのBBルータだとうまくいかないよーな...
Remote側に設置してるBBルータによってはうまく通信できない事があるみたい。
NATトラバーサルは有効にしてるので、NAT越えは大丈夫だと思うんだけど
どーもIOデータのBBルータだとうまくいかないよーな...
782 :anonymous@ 218.231.65.46.eo.eaccess.ne.jp:03/06/11 23:05 ID:???
783 :リモートアクセス:03/06/12 10:07 ID:7Xvc02CV
ログを見るとIKEネゴシエーションは成功してた。でもPING(32バイト)
を打っても応答なし。でルータを替えるとうまくいく。
を打っても応答なし。でルータを替えるとうまくいく。
784 :anonymous@ pl505.nas921.kagoshima.nttpc.ne.jp:03/06/12 11:10 ID:???
おいっ ひろゆきが騙されたようだぞ
http://ex.2ch.net/test/read.cgi/entrance/1053664843/l50
1 :名無しさん? :03/05/23 13:40 ID:???
_____
///////////ヽ,,
f メー-----ー弋メヽ
ト| ___ ____ ____ .|ミミ| _________________________
ト|_,,,,,,__メ __,,,,,,_ |ミミ| /おやおや、このような手に引っかかるとはいかがなものか。
f|.-=・=H-=・=~iー6}リ < これはまことに由々しき事態であり、ぞっとしない。
'ヒ______ノハ、_____ノ !!| | 本来ならば、この場で怒鳴りつける所であるが
f _, ,ム、、_ ./ \ヤング諸君にもそもそと苦言を呈するにとどめておく。
ヽ ィ-==ー-i, ,ノ 人  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
\,____// /~丶_
人,_____/ / \
311 :ひろゆき ◆3SHRUNYAXA @どうやら管理人 ★ :03/06/11 01:59 ID:???
騙されちゃった...
312 :名無しさん? :03/06/11 2:06 ID:KvRq+T4B
ひろゆきキタ━━━━━━(゚∀゚)━━━━━━!!!!
晒しage
http://ex.2ch.net/test/read.cgi/entrance/1053664843/l50
1 :名無しさん? :03/05/23 13:40 ID:???
_____
///////////ヽ,,
f メー-----ー弋メヽ
ト| ___ ____ ____ .|ミミ| _________________________
ト|_,,,,,,__メ __,,,,,,_ |ミミ| /おやおや、このような手に引っかかるとはいかがなものか。
f|.-=・=H-=・=~iー6}リ < これはまことに由々しき事態であり、ぞっとしない。
'ヒ______ノハ、_____ノ !!| | 本来ならば、この場で怒鳴りつける所であるが
f _, ,ム、、_ ./ \ヤング諸君にもそもそと苦言を呈するにとどめておく。
ヽ ィ-==ー-i, ,ノ 人  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
\,____// /~丶_
人,_____/ / \
311 :ひろゆき ◆3SHRUNYAXA @どうやら管理人 ★ :03/06/11 01:59 ID:???
騙されちゃった...
312 :名無しさん? :03/06/11 2:06 ID:KvRq+T4B
ひろゆきキタ━━━━━━(゚∀゚)━━━━━━!!!!
晒しage
785 :anonymous@ ppf3-029.valley.ne.jp:03/06/13 18:51 ID:???
786 :_:03/06/14 14:45 ID:k66potjG
すいません質問です。
NetScreen50をセンター側、5XTをリモート側にしてVPN張ってます。
で、NetScreen50を2台にして冗長構成(アクセス回線や電源は同じ
ところから取ってるのであまり冗長になってないかもしれませんが)
にしています。
Eth1やEth2、Eth3のケーブルを抜くともう片方のNS50に切り替わるよう
設定したのですが一つ問題があります。
常にalarmがオレンジ色に光っているんです。
そこで調べたところNS50のalarmがオレンジ色に光るときは
1、CPU使用率が90%以上
2、メモリが10%以下
3、トンネルがいっぱい
4、ログがいっぱい
5、セッションがいっぱい
6、Firewallがアタックを検出
とありました。
続く
NetScreen50をセンター側、5XTをリモート側にしてVPN張ってます。
で、NetScreen50を2台にして冗長構成(アクセス回線や電源は同じ
ところから取ってるのであまり冗長になってないかもしれませんが)
にしています。
Eth1やEth2、Eth3のケーブルを抜くともう片方のNS50に切り替わるよう
設定したのですが一つ問題があります。
常にalarmがオレンジ色に光っているんです。
そこで調べたところNS50のalarmがオレンジ色に光るときは
1、CPU使用率が90%以上
2、メモリが10%以下
3、トンネルがいっぱい
4、ログがいっぱい
5、セッションがいっぱい
6、Firewallがアタックを検出
とありました。
続く
787 :786:03/06/14 14:45 ID:k66potjG
続き
しかし、WebUIのHomeの画面を見るとCPU使用率は1%程度、メモリは
残り90%以上です。
Eth1,2,3,4すべてのケーブルを抜いて電源のOFF -> ONをしてみても
やはりalarmはオレンジ色に光っているんです。
この場合他にも原因があるのでしょうか?それともハードウェア的な
故障でしょうか?
何か問題切り分け方法がありましたらご教授願います。
しかし、WebUIのHomeの画面を見るとCPU使用率は1%程度、メモリは
残り90%以上です。
Eth1,2,3,4すべてのケーブルを抜いて電源のOFF -> ONをしてみても
やはりalarmはオレンジ色に光っているんです。
この場合他にも原因があるのでしょうか?それともハードウェア的な
故障でしょうか?
何か問題切り分け方法がありましたらご教授願います。
789 :5XPはAESソフト処理:03/06/14 15:57 ID:???
791 :NS-Remote:03/06/14 16:07 ID:+L8fAwuc
知ってる方、教えてください。
NS-5XTとNSリモート(PHSにて発信)でIPsec通信をしています。
その際、リモート側にはISPからの動的IPが振られるのですが、
内部IPアドレスも振りたいのです。何かいい方法とかってあるんですか?
NSリモートの設定でインターナルアドレスを振ってるのですが、
5XT側からPingがと通りません(リモート側から5XTはPingOK)
誰か知ってます??
NS-5XTとNSリモート(PHSにて発信)でIPsec通信をしています。
その際、リモート側にはISPからの動的IPが振られるのですが、
内部IPアドレスも振りたいのです。何かいい方法とかってあるんですか?
NSリモートの設定でインターナルアドレスを振ってるのですが、
5XT側からPingがと通りません(リモート側から5XTはPingOK)
誰か知ってます??
792 :NS-Remote:03/06/14 16:15 ID:xz/HdYZp
793 :786:03/06/14 16:30 ID:k66potjG
>>789
すみません。HA用のポートのScreen機能が有効とは?
HAに関してはEth4ポートをHA用にしてもう一台のNS50にクロスケーブルで
繋いでいます。
今は自宅におりNSにアクセスできませんので月曜日にログを確認してみます。
>>790
それがWANやDMZ側のケーブルを抜いた状態でもalarmがオレンジに
光るんです。となるとAttackを受けているわけではないんじゃないかと
思うのですが。。。
>>792
今自宅にいる為ちょっとわからないです。
月曜日に出社したらわかるのですが。
ハードウェアバージョンとOSのバージョンを確認してから質問したほうが
よかったですね。
かなり反省してます。
すみません。HA用のポートのScreen機能が有効とは?
HAに関してはEth4ポートをHA用にしてもう一台のNS50にクロスケーブルで
繋いでいます。
今は自宅におりNSにアクセスできませんので月曜日にログを確認してみます。
>>790
それがWANやDMZ側のケーブルを抜いた状態でもalarmがオレンジに
光るんです。となるとAttackを受けているわけではないんじゃないかと
思うのですが。。。
>>792
今自宅にいる為ちょっとわからないです。
月曜日に出社したらわかるのですが。
ハードウェアバージョンとOSのバージョンを確認してから質問したほうが
よかったですね。
かなり反省してます。
796 :786:03/06/15 09:44 ID:d6y+JbjP
>>795
アラームをクリアとは?
そういうコマンドがあるんですか?
それともやはりアラームの原因を見つけ出して取り除いた後、様子をみろ
ということですか?
前者である事を願い頑張ってそれっぽいコマンドを探してみます。
アラームをクリアとは?
そういうコマンドがあるんですか?
それともやはりアラームの原因を見つけ出して取り除いた後、様子をみろ
ということですか?
前者である事を願い頑張ってそれっぽいコマンドを探してみます。
797 :NS初心者:03/06/16 10:49 ID:zr4sNxqh
Netscreen25 + VPN Remote Clientを使って、スタッフの家から
社内のサーバーにアクセスさせようと思ってます。
各スタッフのグローバルIPは当然違うのですが、プライベートIP
は、ほとんどが192.168.0.0/24を使っています。その場合、複数人
が同時にアクセスした場合、問題なくパケットを戻せるものでしょうか?
社内のサーバーにアクセスさせようと思ってます。
各スタッフのグローバルIPは当然違うのですが、プライベートIP
は、ほとんどが192.168.0.0/24を使っています。その場合、複数人
が同時にアクセスした場合、問題なくパケットを戻せるものでしょうか?
798 :NSマスター:03/06/16 12:52 ID:UjGe/9jc
>>786
アラーム消すコマンド→‘clear led alarm’
アラーム消すコマンド→‘clear led alarm’
801 :786:03/06/17 22:40 ID:xxTXK6+8
返事遅くなりすいません。
>>792
NS50のバージョン->4.0.3r1です。
>>798
購入メーカに問い合わせたところNS50の現行バージョン(4.0.3r1)で
冗長構成をとった場合以下の手順を行ってもalarmがamberに光り続ける
というのはScreenOSのバグで販売店、NetScreen社共に認識している
ところであり時期バージョン(リビジョン)にて解消しリリースノートにも
明記するという説明でした。
1、clear led alarm
2、リブート
>>792
NS50のバージョン->4.0.3r1です。
>>798
購入メーカに問い合わせたところNS50の現行バージョン(4.0.3r1)で
冗長構成をとった場合以下の手順を行ってもalarmがamberに光り続ける
というのはScreenOSのバグで販売店、NetScreen社共に認識している
ところであり時期バージョン(リビジョン)にて解消しリリースノートにも
明記するという説明でした。
1、clear led alarm
2、リブート
( ´D`)ノ< 5百円玉1枚でボロ儲け〜♪
ヤフオクでガンガン稼いで欲しいものを買おう!
以下の高価情報を含む、計5本の情報を500円で売ります。
欲しい方は [email protected] にメールで。
↓↓↓CLICK↓↓↓
http://page4.auctions.yahoo.co.jp/jp/auction/d34464486
http://page3.auctions.yahoo.co.jp/jp/auction/c37109748
http://page.auctions.yahoo.co.jp/jp/auction/d34164618
http://page.auctions.yahoo.co.jp/jp/auction/c37715536
情報はこの他に、オークション関係3本、ネット関係の話1本のセットです。
やる気のある方なら、少なくとも500円の値打ちはあると思います。
入金先は普通銀行、ジャパンネットバンク
確認出来次第、PDF資料を添付してメールします
先着5名で打ち切ります。急げ〜w
ヤフオクでガンガン稼いで欲しいものを買おう!
以下の高価情報を含む、計5本の情報を500円で売ります。
欲しい方は [email protected] にメールで。
↓↓↓CLICK↓↓↓
http://page4.auctions.yahoo.co.jp/jp/auction/d34464486
http://page3.auctions.yahoo.co.jp/jp/auction/c37109748
http://page.auctions.yahoo.co.jp/jp/auction/d34164618
http://page.auctions.yahoo.co.jp/jp/auction/c37715536
情報はこの他に、オークション関係3本、ネット関係の話1本のセットです。
やる気のある方なら、少なくとも500円の値打ちはあると思います。
入金先は普通銀行、ジャパンネットバンク
確認出来次第、PDF資料を添付してメールします
先着5名で打ち切ります。急げ〜w
804 : :03/06/18 23:34 ID:???
806 :ネツトスクリーナー:03/06/19 10:14 ID:+5Bk9MZO
グローバルアドレスの1IPサービス(お互いBフレッツ)で
Netscreen5XTとYamahaのルータ(RTX1000)でIPsecで通信を行いたいと考えています。
YAMAHAのサイトにNetscreenとのIPsec相互接続例が出ていますが
ISDN回線の話で、Bフレッツの場合ではないので分かりません。
以下がNETSCREEN側の設定例となっていますが
Bフレッツでの通信を行う際に何か変更するべき場所、もしくは
追加するコマンドなどありますでしょうか?
また以下のコマンドの意味がそれぞれ
どんな意味なのか教えていただけませんでしょうか?
よろしくお願いします。
set interface trust manage ping
set interface untrust manage ping
set address untrust "OUTSIDE" 192.168.0.0 255.255.255.0
set address trust "INSIDE" 192.168.1.0 255.255.255.0
set ike gateway "to-YAMAHA" ip 172.16.1.1 Main preshare "TEST" proposal "pre-g2-3des-md5"
set vpn "RT-NETSCREEN" id 1 gateway "to-YAMAHA" replay tunnel idletime 0 proposal "nopfs-esp-3des-md5"
set vpn "RT-NETSCREEN" monitor
set ike id-mode subnet
set policy id 0 outgoing "INSIDE" "OUTSIDE" "ANY" Tunnel vpn "RT-NETSCREEN" id 2 log count
set policy id 1 incoming "OUTSIDE" "INSIDE" "ANY" Tunnel vpn "RT-NETSCREEN" id 2 log count
YAMAHA:IPsec相互接続例
http://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/ns-main.html
Netscreen5XTとYamahaのルータ(RTX1000)でIPsecで通信を行いたいと考えています。
YAMAHAのサイトにNetscreenとのIPsec相互接続例が出ていますが
ISDN回線の話で、Bフレッツの場合ではないので分かりません。
以下がNETSCREEN側の設定例となっていますが
Bフレッツでの通信を行う際に何か変更するべき場所、もしくは
追加するコマンドなどありますでしょうか?
また以下のコマンドの意味がそれぞれ
どんな意味なのか教えていただけませんでしょうか?
よろしくお願いします。
set interface trust manage ping
set interface untrust manage ping
set address untrust "OUTSIDE" 192.168.0.0 255.255.255.0
set address trust "INSIDE" 192.168.1.0 255.255.255.0
set ike gateway "to-YAMAHA" ip 172.16.1.1 Main preshare "TEST" proposal "pre-g2-3des-md5"
set vpn "RT-NETSCREEN" id 1 gateway "to-YAMAHA" replay tunnel idletime 0 proposal "nopfs-esp-3des-md5"
set vpn "RT-NETSCREEN" monitor
set ike id-mode subnet
set policy id 0 outgoing "INSIDE" "OUTSIDE" "ANY" Tunnel vpn "RT-NETSCREEN" id 2 log count
set policy id 1 incoming "OUTSIDE" "INSIDE" "ANY" Tunnel vpn "RT-NETSCREEN" id 2 log count
YAMAHA:IPsec相互接続例
http://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/ns-main.html
807 :anonymous@ EATcf-28p42.ppp15.odn.ne.jp:03/06/19 12:17 ID:ehFfp1hv
808 :a:03/06/19 13:53 ID:RFobLd19
NetScreen Remoteから、NetScreen本体(204)に入れない
(WEB,TELNETともに)は仕様ですか?
同じサブネットのサーバには問題なくアクセスできるのですが。
設定変更するのにいちいち現地に行かなくてはならないのはうざすぎ。
(WEB,TELNETともに)は仕様ですか?
同じサブネットのサーバには問題なくアクセスできるのですが。
設定変更するのにいちいち現地に行かなくてはならないのはうざすぎ。
809 :anonymous@ 53.169.138.210.bf.2iij.net:03/06/19 14:31 ID:???
現地の別サーバーにsshしてからNetScreenにtelnetすれば?
>808
入れたはずだけど。。
入れたはずだけど。。
812 :名無しさん@お腹いっぱい。:03/06/19 21:22 ID:???
813 :b:03/06/19 22:08 ID:5wr4WMh5
>811
漏れも同じこと試みたけどだめだった。
どっかで制限かけてるのかと思って
探してみたけど、わからず。
漏れも同じこと試みたけどだめだった。
どっかで制限かけてるのかと思って
探してみたけど、わからず。
NetScreen(IP固定) <-> NS-Remote(IP可変)な環境で、
証明書ではなくPreshared Keyを使用してIKEさせる事って
実はできなかったりします?
いろいろ試してみたんですが、ログを見る限りNetScreen側が
応答してくれない。。
Manual Keyなら当然つながるのにー
証明書ではなくPreshared Keyを使用してIKEさせる事って
実はできなかったりします?
いろいろ試してみたんですが、ログを見る限りNetScreen側が
応答してくれない。。
Manual Keyなら当然つながるのにー
うわー大嘘です。 >814
あの後すぐ出来ました。
NS-Remote側でのID Typeの指定が間違ってたみたいです。
(ScreenOS4.0.3のNewFeatureに書いてあった)
そこをE-mail AddressにしてNS側でIKE Identityに
同じアドレスを入力してやったらすんなり行けました。
逝ってきます。
あの後すぐ出来ました。
NS-Remote側でのID Typeの指定が間違ってたみたいです。
(ScreenOS4.0.3のNewFeatureに書いてあった)
そこをE-mail AddressにしてNS側でIKE Identityに
同じアドレスを入力してやったらすんなり行けました。
逝ってきます。
816 :anonymous@ N125111.ppp.dion.ne.jp:03/06/20 00:29 ID:eheR8lbO
見てちょ♪
http://endou.kir.jp/betu/linkvp/linkvp.html
http://www2.free-city.net/home/angelers/index.html
817 :anonymous@ negeta.as.wakwak.ne.jp:03/06/20 00:48 ID:???
OSは4.0.3r1.0を使用していて、固定IP1つで、untrustに来たHTTPとSSHの
アクセスをtrustにあるサーバに渡してやりたいのですが、VIPを使って設定をすると
- HTTPは「Service (port=80) not supported for this vip x.x.x.x」で設定ができない
- sshは設定はできるけど「SCS is not enabled for that interface」で接続ができない
という状態になってしまいます。回避方法がありましたら教えていただけるでしょうか。
アクセスをtrustにあるサーバに渡してやりたいのですが、VIPを使って設定をすると
- HTTPは「Service (port=80) not supported for this vip x.x.x.x」で設定ができない
- sshは設定はできるけど「SCS is not enabled for that interface」で接続ができない
という状態になってしまいます。回避方法がありましたら教えていただけるでしょうか。
818 :anonymous@ p2163-ipbf01sapodori.hokkaido.ocn.ne.jp:03/06/20 01:40 ID:dPWMBW8f
一日たった110円であなたのお店やホームページの宣伝をします!
貴方のお店&サイトを効果的に宣伝できます!
お店の足取りが悪い・・・。私のサイトにはあまり人が来ない・・・。などお悩みの方は、
ぜひおすすめです。手軽&簡単しかも日本中に宣伝できますので、
大幅なアクセスアップが期待できます。
[料金について]
1日110円で宣伝&クーポン券の発行が出来ます。
年間契約で申込された場合、40,000円になります。
6ヶ月契約で申込された場合、25,200円になります。
3ヶ月契約で申込された場合、12,600円になります。
http://www.c-gmf.com/h17103.htm
ぜひ一度お試しになってみてはいかがでしょうか?
貴方のお店&サイトを効果的に宣伝できます!
お店の足取りが悪い・・・。私のサイトにはあまり人が来ない・・・。などお悩みの方は、
ぜひおすすめです。手軽&簡単しかも日本中に宣伝できますので、
大幅なアクセスアップが期待できます。
[料金について]
1日110円で宣伝&クーポン券の発行が出来ます。
年間契約で申込された場合、40,000円になります。
6ヶ月契約で申込された場合、25,200円になります。
3ヶ月契約で申込された場合、12,600円になります。
http://www.c-gmf.com/h17103.htm
ぜひ一度お試しになってみてはいかがでしょうか?
819 :anonymous@ EATcf-28p42.ppp15.odn.ne.jp:03/06/20 15:33 ID:6QJItYIT
>817
VIPは5シリーズしかIP1には対応してないって記述があったような・・・
VIPは5シリーズしかIP1には対応してないって記述があったような・・・
肝心なこと書くの忘れてました、使っているのは5-XTです。
その後いろいろ試してみて以下のような結果になっています。
- VIPでMAIL(25)なら通る
- MIPだとHTTPは通るもののSSHは817と同じエラーで通らない
- MIPでHTTPは通るが、レスポンスが名前を引けないのか繋がるのが遅い(VIPでは大丈夫)
1IPってのはかなり特殊な使い方なんでしょうかね。
その後いろいろ試してみて以下のような結果になっています。
- VIPでMAIL(25)なら通る
- MIPだとHTTPは通るもののSSHは817と同じエラーで通らない
- MIPでHTTPは通るが、レスポンスが名前を引けないのか繋がるのが遅い(VIPでは大丈夫)
1IPってのはかなり特殊な使い方なんでしょうかね。
>>817
NSのリアルIPをVIPにしてるんですよね?
試したこと無いんで推測ですけど、
SSHもHTTPもNS自体のインターフェイスがサポートしてるんで多分無理かと
>- HTTPは「Service (port=80) not supported for this vip x.x.x.x」で設定ができない
これはNSへのアクセスができなくなるから
そもそも設定自体をサポートしないのでは
>- sshは設定はできるけど「SCS is not enabled for that interface」で接続ができない
これはNSのSSHを切ってる時のメッセージなんで
VIPにマップしたサーバじゃなくてNS自体に流れてNSではじかれてるのでは?
MIPでうまくいくって言うのは多分使用よりもバグに近い動作かな?
バグを利用して使うというんであれば、NSでSCSをenableにすればSSHも通りそうな気がする
set scs enable
set interf untru manage scs
NSのリアルIPをVIPにしてるんですよね?
試したこと無いんで推測ですけど、
SSHもHTTPもNS自体のインターフェイスがサポートしてるんで多分無理かと
>- HTTPは「Service (port=80) not supported for this vip x.x.x.x」で設定ができない
これはNSへのアクセスができなくなるから
そもそも設定自体をサポートしないのでは
>- sshは設定はできるけど「SCS is not enabled for that interface」で接続ができない
これはNSのSSHを切ってる時のメッセージなんで
VIPにマップしたサーバじゃなくてNS自体に流れてNSではじかれてるのでは?
MIPでうまくいくって言うのは多分使用よりもバグに近い動作かな?
バグを利用して使うというんであれば、NSでSCSをenableにすればSSHも通りそうな気がする
set scs enable
set interf untru manage scs
824 :anonymous@ YahooBB219035222016.bbtec.net:03/06/21 11:51 ID:???
826 :808:03/06/23 14:32 ID:+TJul7KZ
NetScreenRemoteだと
NetScreenのTrustインターフェースのIPにはPingが通るが
管理用IPに”だけ”は通らない。(その他のアドレスももちろんOK)
ポリシーでは管理用IPを含むサブネット対してProtocol Anyで
トンネル張ってるだけなのだが。
何のためのVPNクライアントなんだか。
NetScreenのTrustインターフェースのIPにはPingが通るが
管理用IPに”だけ”は通らない。(その他のアドレスももちろんOK)
ポリシーでは管理用IPを含むサブネット対してProtocol Anyで
トンネル張ってるだけなのだが。
何のためのVPNクライアントなんだか。
827 :anonymous@ fe104034.fl.FreeBit.NE.JP:03/06/23 15:33 ID:RRZ0AI3f
☆A級美女たちのSexy画像をどうぞ☆(閲覧無料)
http://endou.kir.jp/yuminet/link.html
http://endou.kir.jp/yuminet/link.html
828 :あのに鼠:03/06/24 11:30 ID:jcGGAyH7
829 :anonymous@ EATcf-28p42.ppp15.odn.ne.jp:03/06/24 13:14 ID:sETLJu9E
ふしあなで宣伝とは面白い板ですねw
>>828
ガイシュツ!と、言いたいところだけど、改めて読んでみて思った。
資料より
>実際にNS500を計ってみると
↓
>ショートパケット(64)では最大時(717Mbps)の8.5% (61Mbps)の性能
これってただ単にネゴできてないだけだったりして。(藁
ガイシュツ!と、言いたいところだけど、改めて読んでみて思った。
資料より
>実際にNS500を計ってみると
↓
>ショートパケット(64)では最大時(717Mbps)の8.5% (61Mbps)の性能
これってただ単にネゴできてないだけだったりして。(藁
Netscreen25 で各ZONE とインターフェイスのbind しただけでは
通信出来ないのでしょうか。(ガイドの通りポリシーはとりあえず全て通す
にしました)
turst-vr untrsut-vr の設定が必要?
通信出来ないのでしょうか。(ガイドの通りポリシーはとりあえず全て通す
にしました)
turst-vr untrsut-vr の設定が必要?
833 :NS:03/06/26 14:57 ID:noAeqjls
>>832
untrust-vr のデフルトGWは設定されてる?
untrust-vr のデフルトGWは設定されてる?
834 : :03/06/26 20:19 ID:XbNwQsK4
>>831
Netscreenは、セッションテーブルに載っている通信は非常に高速だけど、
セッションテーブルに載っていない最初のパケットについてのみ少し遅いようだから、
それを利用して、毎回ポリシーを検索させるようなパケットを送り込んだんじゃないの?
通常の環境ではNetscreenはかなり早いから、
非通常の、Netscreenに対して遅い結果が出るような環境で検証をおこなったとおもわれ
Netscreenは、セッションテーブルに載っている通信は非常に高速だけど、
セッションテーブルに載っていない最初のパケットについてのみ少し遅いようだから、
それを利用して、毎回ポリシーを検索させるようなパケットを送り込んだんじゃないの?
通常の環境ではNetscreenはかなり早いから、
非通常の、Netscreenに対して遅い結果が出るような環境で検証をおこなったとおもわれ
835 :546:03/07/02 12:00 ID:fU6LfHAm
すいません。教えてください
BフレッツでMPEG2の双方向通信をすることになりました。
当初ヤマハのルーターを予定していたのですが、別の板で
リアルタイム系はNetscreenがいいとうががいました。
3DESで20〜30Mの実効スループットを確保したいとおもって
○立システムに聞きました。
Netscreen5XTと25のルーティングは同じだと言っていましたが
正確な答えが返ってきません。
細かい設定はしないと思うので、選択肢は5XTか50ということになると思います。値段が違いすぎるのですが、5XTでなんとかならなないでしょうか?
BフレッツでMPEG2の双方向通信をすることになりました。
当初ヤマハのルーターを予定していたのですが、別の板で
リアルタイム系はNetscreenがいいとうががいました。
3DESで20〜30Mの実効スループットを確保したいとおもって
○立システムに聞きました。
Netscreen5XTと25のルーティングは同じだと言っていましたが
正確な答えが返ってきません。
細かい設定はしないと思うので、選択肢は5XTか50ということになると思います。値段が違いすぎるのですが、5XTでなんとかならなないでしょうか?
836 :anonymous@ F009194.ppp.dion.ne.jp:03/07/02 13:15 ID:???
モロ動画 体験BBS 画像UPBBS チャット!!
完全無料オリジナル出会い系新設!!
来て・見て・書いて・貼る、ついでに出会いも・・・・
http://www.h2.dion.ne.jp/~m_oka/moemoe/moe.html
小遣い稼ぎの方法も載ってます。
案外バカに出来ない収入が・・・・
>>835
ふるかわのFITELnet-F100とかNECのIX2010とかは?
糠に釘な代理店もテアタリ次第に叩くことを継続しつつ、国内ベンダも
あたるとよいかも。ベンダ系だと電電公社との秘密のお仕事でこっそり
実績あったりするかもよー。
ふるかわのFITELnet-F100とかNECのIX2010とかは?
糠に釘な代理店もテアタリ次第に叩くことを継続しつつ、国内ベンダも
あたるとよいかも。ベンダ系だと電電公社との秘密のお仕事でこっそり
実績あったりするかもよー。
838 :でつ:03/07/02 23:52 ID:PfFE13TV
低質な質問で申し訳ないのですが、
NetScreen50のtrust側のRIP送受信をONにすることは出来るのでしょうか?
OSは3.0.2です・・・
NetScreen50のtrust側のRIP送受信をONにすることは出来るのでしょうか?
OSは3.0.2です・・・
839 :835:03/07/03 09:17 ID:25KW+ZVy
840 :とも:03/07/03 11:48 ID:Ob6e35IF
841 :直リン:03/07/03 12:50 ID:M4MAtrtm
842 : :03/07/06 00:07 ID:FsI6Y6K8
844 :anonymous@ EATcf-28p42.ppp15.odn.ne.jp:03/07/06 14:26 ID:C0Jthbl6
845 :835:03/07/07 08:13 ID:o4BaOry1
>>842
ありがとうございます。
ありがとうございます。
847 :NS50User:03/07/08 12:26 ID:2iERNih+
Netscreen50をインターネットVPN用に導入したのですが、期待していたほどパフォーマンスが出ませんです。
Bフレッツ経由のInternetVPNで7Mbps程度がやっと。
インターネット部分がボトルネックになっている事を考慮して、
NS50を2台クロスケーブルでつなぎ、両端にノートPC(P3 1Ghz Win2K)を
それぞれ設置しローカルでVPNを組んでみたのですが、それでも20Mbpsがやっと。
NSは高パフォーマンスという話ですが大体こんなもんなのでしょうか?
(PC)----(PC)
FTP転送50Mbps
(PC)---(NS50)---(NS50)---(PC)
FTP転送20Mbps
(PC)---(NS50)---(Bフ)---(OCN)---(Bフ)---(NS50)---(PC)
FTP転送7Mbps
Bフレッツ経由のInternetVPNで7Mbps程度がやっと。
インターネット部分がボトルネックになっている事を考慮して、
NS50を2台クロスケーブルでつなぎ、両端にノートPC(P3 1Ghz Win2K)を
それぞれ設置しローカルでVPNを組んでみたのですが、それでも20Mbpsがやっと。
NSは高パフォーマンスという話ですが大体こんなもんなのでしょうか?
(PC)----(PC)
FTP転送50Mbps
(PC)---(NS50)---(NS50)---(PC)
FTP転送20Mbps
(PC)---(NS50)---(Bフ)---(OCN)---(Bフ)---(NS50)---(PC)
FTP転送7Mbps
848 :anonymous@ EATv6-1p11.ppp16.odn.ne.jp:03/07/08 23:06 ID:4Q/lrsLh
暗号レベルで変わるでしょ!
849 : :03/07/08 23:53 ID:???
>Bフレッツ経由のInternetVPNで7Mbps程度がやっと
普通だと思います。
IPSEC(3DES-SHA1)でならそれくらいです。
カタログを信じてはいけません。
普通だと思います。
IPSEC(3DES-SHA1)でならそれくらいです。
カタログを信じてはいけません。
>>849
うぞー。3DESカタログ50Mbpsで実質20Mbpsはちょっと...。
うぞー。3DESカタログ50Mbpsで実質20Mbpsはちょっと...。
851 :NS50User:03/07/09 10:30 ID:qp67RI9h
>>848
暗号化は3DES です。DESにしてもほとんど変わりません。
>>849
そうですね。今回はカタログ値ではなく信頼していたベンダーを
信じたのだが。。一気に不信感高まった。
>>850
中身がNS20になっているのでは!と本気で思った。
メーカーに聞いても「カタログ値しかデータありません」とのこと。
購入する前はパフォーマンスではNSが最も優秀と言っていたのに。
過去の書き込み見てもNSの高スループットに対する評価は高いので、
私の設定がおかしい可能性もあります。(一応メーカ推奨設定だけど)
NSでカタログ値の60%以上のスループット出てるという報告があればまだ希望が
もてるのだが・・。
暗号化は3DES です。DESにしてもほとんど変わりません。
>>849
そうですね。今回はカタログ値ではなく信頼していたベンダーを
信じたのだが。。一気に不信感高まった。
>>850
中身がNS20になっているのでは!と本気で思った。
メーカーに聞いても「カタログ値しかデータありません」とのこと。
購入する前はパフォーマンスではNSが最も優秀と言っていたのに。
過去の書き込み見てもNSの高スループットに対する評価は高いので、
私の設定がおかしい可能性もあります。(一応メーカ推奨設定だけど)
NSでカタログ値の60%以上のスループット出てるという報告があればまだ希望が
もてるのだが・・。
852 :anonymous@ aa2002070608002.userreverse.dion.ne.jp:03/07/09 10:47 ID:???
PCのMTUは?
NSでVPNする場合、1300くらいが最適鴨
てゆーかsageること覚えような。
NSでVPNする場合、1300くらいが最適鴨
てゆーかsageること覚えような。
>>852
MTU=1454です。
さっき↓の環境でWinの共有でファイルコピーしたら100メガのファイル50秒かかりました。
(PC)---(NS50)---(NS50)---(PC)
どうしたら50Mbps出るんだろ。
MTU=1454です。
さっき↓の環境でWinの共有でファイルコピーしたら100メガのファイル50秒かかりました。
(PC)---(NS50)---(NS50)---(PC)
どうしたら50Mbps出るんだろ。
50Mbps出た。というのはSmartbitを用いた場合の最高のスループットです。
ユーザの実際の環境では
・地域IP網の遅延
・プロバイダの遅延
・WEB/FTPサーバのInternet接続環境
・WEBサーバの遅延(TCP)
があります。
特にTCPのACKが効きます。
IPSEC化+網内遅延によりACKが返ってくるのが比較すると相当時間がかかるため
TCPレベルでどんどん待ちが発生します。
UDPならフラグメントが多発しますのでTCPよりさらに遅れます。
そのため、たとえIPSECスループット70Mbpsを誇る製品であろうとも
10Mbpsを超えることができるかどうか。という感じになります。
営業はFletsSquereで30M出るんだったら最低IPSECは10M以上でますよ!
なんたってカタログスペック50M以上ですから!
てな感じで売ってしまいがちですが、気をつけましょう。
ユーザの実際の環境では
・地域IP網の遅延
・プロバイダの遅延
・WEB/FTPサーバのInternet接続環境
・WEBサーバの遅延(TCP)
があります。
特にTCPのACKが効きます。
IPSEC化+網内遅延によりACKが返ってくるのが比較すると相当時間がかかるため
TCPレベルでどんどん待ちが発生します。
UDPならフラグメントが多発しますのでTCPよりさらに遅れます。
そのため、たとえIPSECスループット70Mbpsを誇る製品であろうとも
10Mbpsを超えることができるかどうか。という感じになります。
営業はFletsSquereで30M出るんだったら最低IPSECは10M以上でますよ!
なんたってカタログスペック50M以上ですから!
てな感じで売ってしまいがちですが、気をつけましょう。
854>>
なるほど。ACK待ち。。言われてみればそうですね。
LANと比較してどの程度遅延が発生しているのか調べてみたいと思います。
メトロイーサの4分の1のコストで速いのがせめてもの救い。
なるほど。ACK待ち。。言われてみればそうですね。
LANと比較してどの程度遅延が発生しているのか調べてみたいと思います。
メトロイーサの4分の1のコストで速いのがせめてもの救い。
MTU=1454だと、フラグメントが発生してるかも。
NetscreenのMTUも変更してあればいいんだけど。
フラグメント処理って結構負荷かかるんじゃないかな。
NetscreenのMTUも変更してあればいいんだけど。
フラグメント処理って結構負荷かかるんじゃないかな。
>>856
NSの場合はフラグメントは再構成しないで単純にIDでテーブル作ってスイッチします。
なんであんまり負荷はかからないかも。ただ、メモリは確実に食いますね
フラグメントのせいでNS以外の機器がボトルネックになる可能性はあるかもしれません
そもそもFTPのbyte/sに8をかけたものをスループットとは呼びません
NSの場合はフラグメントは再構成しないで単純にIDでテーブル作ってスイッチします。
なんであんまり負荷はかからないかも。ただ、メモリは確実に食いますね
フラグメントのせいでNS以外の機器がボトルネックになる可能性はあるかもしれません
そもそもFTPのbyte/sに8をかけたものをスループットとは呼びません
__∧_∧_
|( ^^ )| <寝るぽ(^^)
|\⌒⌒⌒\
\ |⌒⌒⌒~| 山崎渉
~ ̄ ̄ ̄ ̄
859 : :03/07/15 12:56 ID:rfNXksiY
age
860 :???:03/07/15 22:33 ID:kKxbNatg
>>847
20Mbps出てるなら早いじゃん?
IPSecしてFTPとしてはかなりいいんじゃないかと思う。
そもそも速度を求めるのなら、IP-Sec使うのは間違いで
MPLSとか、広域Etherを使う方がいいんじゃ?
20Mbps出てるなら早いじゃん?
IPSecしてFTPとしてはかなりいいんじゃないかと思う。
そもそも速度を求めるのなら、IP-Sec使うのは間違いで
MPLSとか、広域Etherを使う方がいいんじゃ?
862 :anonymous@ YahooBB219003078041.bbtec.net:03/07/18 00:15 ID:kyKHP7bu
みなさんどこから買ってますか?
○立システム&○ービスは、サポートの平均点も高くよいの
ですが、他のサポート先もあるとよいので次の案件では別の
ベンダを探してます。
○立システム&○ービスは、サポートの平均点も高くよいの
ですが、他のサポート先もあるとよいので次の案件では別の
ベンダを探してます。
Netscreenをサポートしきれる国内ベンダを知らないのだが...
867 :.:03/07/18 16:21 ID:TfBsn3rG
★★★★★★★★★★★★★★★★★★★★
★ 激安アダルトDVDショップ ★
★ 開店セール1枚500円!急げ! ★
★★★★★★★★★★★★★★★★★★★★
激安でDVDをGET!
http://www.get-dvd.com
何と! 1枚 500円均一 セール中!
インターネット初!「きたぐに割引」
北海道・東北の皆様は送料も激安!!
http://www.get-dvd.com
ゲットDVDドットコム!
今すぐアクセス Let's go !!!!!!!
★ 激安アダルトDVDショップ ★
★ 開店セール1枚500円!急げ! ★
★★★★★★★★★★★★★★★★★★★★
激安でDVDをGET!
http://www.get-dvd.com
何と! 1枚 500円均一 セール中!
インターネット初!「きたぐに割引」
北海道・東北の皆様は送料も激安!!
http://www.get-dvd.com
ゲットDVDドットコム!
今すぐアクセス Let's go !!!!!!!
Netscreenがここまで普及した理由は何だろう?
869 : :03/07/18 21:21 ID:R9zI6ZQH
871 :anonymous@ 53.169.138.210.bf.2iij.net:03/07/19 15:30 ID:???
丸紅とかNTTとかコンサルがこれをすすめたからだよ。
872 :SOSO:03/07/20 00:30 ID:ihrhD36L
>>871
NTTとかコンサルが薦めたのは分かるが、なんで丸紅??
NTTとかコンサルが薦めたのは分かるが、なんで丸紅??
873 : :03/07/20 00:59 ID:???
874 :SOSO:03/07/20 01:10 ID:ihrhD36L
875 :SOSO:03/07/20 01:11 ID:ihrhD36L
NSのベンダーはいっぱいあるようですが、どこがいいですかね?
私は通販でNS-5XTを買いました。
私は通販でNS-5XTを買いました。
876 :SOSO:03/07/20 01:12 ID:ihrhD36L
今、最も信頼できる代理店はどこですかね?>ALL
878 :.:03/07/20 09:29 ID:vzEyL67k
★★★★★★★★★★★★★★★★★★★★
★ 激安アダルトDVDショップ ★
★ お買い得セール1枚500円!急げ! ★
★★★★★★★★★★★★★★★★★★★★
激安でDVDをGET!
http://www.get-dvd.com
何と! 1枚 500円均一 セール中!
インターネット初!「きたぐに割引」
北海道・東北の皆様は送料も激安!!
http://www.get-dvd.com
ゲットDVDドットコム!
今すぐアクセス Let's go !!!!!!!
★ 激安アダルトDVDショップ ★
★ お買い得セール1枚500円!急げ! ★
★★★★★★★★★★★★★★★★★★★★
激安でDVDをGET!
http://www.get-dvd.com
何と! 1枚 500円均一 セール中!
インターネット初!「きたぐに割引」
北海道・東北の皆様は送料も激安!!
http://www.get-dvd.com
ゲットDVDドットコム!
今すぐアクセス Let's go !!!!!!!
○立システムってまだマシなの?
昔はともかく最近ここ以外にも一次代理店が激増したからなあ。
昔はともかく最近ここ以外にも一次代理店が激増したからなあ。
N○Xは質問すると直接関係ないことまで教えてくれるので、いい意味で
オタクくさくて良かった。故障で交換とかはやったことがないのでハード
方面の対応は知らんが。
オタクくさくて良かった。故障で交換とかはやったことがないのでハード
方面の対応は知らんが。
882 : :03/07/21 00:26 ID:???
○立システムはテクニカルサポートのレスポンスが遅い
住○(というかSC?)から買ってるとこの話を聞くと
かなり差があるような気がする
日○電サの保守部品の抱え込み数はかなりのもんみたいなんで
機器障害の時は心強いけどね
住○(というかSC?)から買ってるとこの話を聞くと
かなり差があるような気がする
日○電サの保守部品の抱え込み数はかなりのもんみたいなんで
機器障害の時は心強いけどね
883 : :03/07/21 08:54 ID:07JE9BPS
全国の拠点にNS入れてオンサイト受けるのなら、○立システムくらいしかないのかな?
884 :>876以降のみなさま:03/07/21 14:20 ID:???
N○X、○立システムとこれまで出てきてますね。
うちでは使うセグメントと言うか、FW自身の性格や保守要件により
購入ベンダを分けていて、上記の両ベンダから買っていますが
次は○ニアデックスを検討していますが、保守やテクニカルサポート
等はどうでしょうか?
うちでは使うセグメントと言うか、FW自身の性格や保守要件により
購入ベンダを分けていて、上記の両ベンダから買っていますが
次は○ニアデックスを検討していますが、保守やテクニカルサポート
等はどうでしょうか?
885 :”ヘ( ̄- ̄ ):03/07/21 17:54 ID:96DzI3e1
886 :anonymous@ p18220-adsau14honb7-acca.tokyo.ocn.ne.jp:03/07/21 22:37 ID:F9YHthul
2ch初めて来たんですけど、一般の人でもNetscreenなんて
知ってるんですね。それとも一般的な機器なのかな?
最近よくNetscreen設置してます。5とかなら楽なんだけど、
50、100になってくると設置先の環境とかで、設置するのが
正直きつい。オレの技術不足もあると思うけど。
知ってるんですね。それとも一般的な機器なのかな?
最近よくNetscreen設置してます。5とかなら楽なんだけど、
50、100になってくると設置先の環境とかで、設置するのが
正直きつい。オレの技術不足もあると思うけど。
一般人がこんなところでNetscreenをネタに雑談するとも思えんが(藁
888 :anonymous@ p18220-adsau14honb7-acca.tokyo.ocn.ne.jp:03/07/21 23:09 ID:F9YHthul
それもそうだね。
893 :anonymous@ usen-221x114x239x253.ap-US01.usen.ad.jp:03/07/24 21:48 ID:???
NetscreenのREMOTEで繋いでるといつの間にか切れてることない?
一度deactiveにしてからactiveにすれば直るんだが。
なんとかならんのか・・・
一度deactiveにしてからactiveにすれば直るんだが。
なんとかならんのか・・・
>>893
それは仕方がない
それは仕方がない
895 :anonymous@ usen-221x114x239x253.ap-US01.usen.ad.jp:03/07/24 21:52 ID:???
やっぱりそうなのか。
業者に初期設定させたから何かミスしたのかと思たよ。
業者に初期設定させたから何かミスしたのかと思たよ。
Netscreen25(4.0.0r9.0 (Firewall+VPN))にてMIPを利用してtrustのサーバを
外部に公開する事に成功したのですが、公開サーバ自体が外に出ていけないで困ってます。
ゾーン間のポリシー設定とルーティング情報の設定でトラフィック
のコントロールが出来ると思うのですがまだ足りない設定等があるのでしょうか?
どなたか助けて下さい。
【eth1】
Network 192.168.2.0/24
【eth3】(架空のIPです
Network 200.0.0.0/27
Gateway 200.0.0.1
【設定内容】
set interface "ethernet1" zone "Trust"
set interface "ethernet3" zone "Untrust"
set interface ethernet1 ip 192.168.2.1/24
set interface ethernet1 nat
set interface ethernet3 ip 200.0.0.2/27
set interface ethernet3 route
set interface "ethernet3" mip 200.0.0.5 host 192.168.2.175 netmask 255.255.255.255 vr "trust-vr"
set policy id 10 from "Untrust" to "Global" "Any" "MIP(200.0.0.5)" "ANY" nat dip-id 2 Permit
set policy id 13 from "Trust" to "Untrust" "Any" "Any" "ANY" nat dip-id 2 Permit
set route 0.0.0.0/0 interface ethernet3 gateway 200.0.0.1
外部に公開する事に成功したのですが、公開サーバ自体が外に出ていけないで困ってます。
ゾーン間のポリシー設定とルーティング情報の設定でトラフィック
のコントロールが出来ると思うのですがまだ足りない設定等があるのでしょうか?
どなたか助けて下さい。
【eth1】
Network 192.168.2.0/24
【eth3】(架空のIPです
Network 200.0.0.0/27
Gateway 200.0.0.1
【設定内容】
set interface "ethernet1" zone "Trust"
set interface "ethernet3" zone "Untrust"
set interface ethernet1 ip 192.168.2.1/24
set interface ethernet1 nat
set interface ethernet3 ip 200.0.0.2/27
set interface ethernet3 route
set interface "ethernet3" mip 200.0.0.5 host 192.168.2.175 netmask 255.255.255.255 vr "trust-vr"
set policy id 10 from "Untrust" to "Global" "Any" "MIP(200.0.0.5)" "ANY" nat dip-id 2 Permit
set policy id 13 from "Trust" to "Untrust" "Any" "Any" "ANY" nat dip-id 2 Permit
set route 0.0.0.0/0 interface ethernet3 gateway 200.0.0.1
原因がわかりました、Address List に Trust のマシンのアドレスを登録して
ポリシーに登録してやんなきゃ駄目なんですね。
ポリシーに登録してやんなきゃ駄目なんですね。
>>897
NS25なのになんで公開するサーバはTrustじゃなくてDMZじゃないの?という疑問は置いといて、
Trust側のNATモードが怪しいのでは?
MIPでグローバルIPをサーバに割り当てているんだから、
IPマスカレードする必要はないと思う。
NS25なのになんで公開するサーバはTrustじゃなくてDMZじゃないの?という疑問は置いといて、
Trust側のNATモードが怪しいのでは?
MIPでグローバルIPをサーバに割り当てているんだから、
IPマスカレードする必要はないと思う。
えぇ、本来DMZに設置すべきだと思うのですがDMZだと何故か外部からアクセス
可能状態にする事が出来なくてTrustで妥協してしまいました。 色々いじり
倒しながら少しづつ思い通りに設定できつつありますがいまだNSシリーズの
概念がいまいち把握できてません。 外部へのアクセスについてはおっしゃる
通りIPマスカレードの設定は不要でした。
明日私の手元を離れるのでメンテの口だけあけておいて遠くから設定を色々
いじり倒して調整するしかなさそうです(汗;
可能状態にする事が出来なくてTrustで妥協してしまいました。 色々いじり
倒しながら少しづつ思い通りに設定できつつありますがいまだNSシリーズの
概念がいまいち把握できてません。 外部へのアクセスについてはおっしゃる
通りIPマスカレードの設定は不要でした。
明日私の手元を離れるのでメンテの口だけあけておいて遠くから設定を色々
いじり倒して調整するしかなさそうです(汗;
エンタープライズの新規構築は
もうどこも4.xみたいですね
怪しい筋(まさか2chか?)の情報で旧バージョンに固執するキャリアをなんとかして欲しい
3.xも2.xも決して安定なんてしてないんだが、、、、、
もうどこも4.xみたいですね
怪しい筋(まさか2chか?)の情報で旧バージョンに固執するキャリアをなんとかして欲しい
3.xも2.xも決して安定なんてしてないんだが、、、、、
もう一枚NICを挿してDMZに挿したらいざとなったらそっちでゆっくり設定
の調整が出来るのかも。もっと検証時間欲しかったな(w
でんじゃーだけど仕方が無い。
の調整が出来るのかも。もっと検証時間欲しかったな(w
でんじゃーだけど仕方が無い。
903 :anonymous@ ntkngw056100.kngw.nt.adsl.ppp.infoweb.ne.jp:03/07/26 13:57 ID:1RN3YEhz
>>901
「安定性が…」はFWの「安定性が…」の意味ではなくて
バージョンが上がったことで検証・知識不足でサポート力の「安定性が…」の
場合が多いような気がしたりする。
>>897 >>898 >>900 >>902
(´-`).。oO(趣味での設定なのか、仕事での設定なのか…)
「安定性が…」はFWの「安定性が…」の意味ではなくて
バージョンが上がったことで検証・知識不足でサポート力の「安定性が…」の
場合が多いような気がしたりする。
>>897 >>898 >>900 >>902
(´-`).。oO(趣味での設定なのか、仕事での設定なのか…)
>>904
お仕事でつ。趣味でns25高すぎです(^^;
苦労して覚えた分だけns好きになれそうです(w
色々覚えたらここにフィードバックしたいと思いますが
こんなns初心者の情報でも大丈夫でしょうか?
お仕事でつ。趣味でns25高すぎです(^^;
苦労して覚えた分だけns好きになれそうです(w
色々覚えたらここにフィードバックしたいと思いますが
こんなns初心者の情報でも大丈夫でしょうか?
906 :ミニマム:03/07/29 17:14 ID:zxmdTEh4
netscreen5xtとyamahaのRTX2000を使用してVPNの構築をしています。
Bフレッツ+IP1サービスでお互い固定的にグローバルアドレスを持っています。
VPN構築は問題なく出来たのですがお互いでOSPFのルーティングプロトコルを使用出来ません。
Netscreenは今回初めてでまだ慣れていないので
恐らくNetscreenにてOSPFの設定が上手く行ってないものと思われます。
Documentを見ながらやってみましたが駄目でした。
trust側にてOSPFを動かすことに関しては
set vrouter "trust-vr"
set protocol ospf
set enable
set interface trust protocol ospf area 0.0.0.0
set interface trust protocol ospf enable
set interface trust protocol ospf cost 1
上記の設定にて動きました。
自分の考えではtunnel.1のedit、"untrust-vr"のedit、
Zoneの設定(untrustをデフォルトのtrust-vrからuntrust-vrに変更できません。)が悪いと思っています
どなたかアドバイスお願いいたします。
何度やっても
set vrouter "untrust-vr"
set protocol ospf
の後の
set enable
が反映されないです。これは当然なのでしょうか?
Bフレッツ+IP1サービスでお互い固定的にグローバルアドレスを持っています。
VPN構築は問題なく出来たのですがお互いでOSPFのルーティングプロトコルを使用出来ません。
Netscreenは今回初めてでまだ慣れていないので
恐らくNetscreenにてOSPFの設定が上手く行ってないものと思われます。
Documentを見ながらやってみましたが駄目でした。
trust側にてOSPFを動かすことに関しては
set vrouter "trust-vr"
set protocol ospf
set enable
set interface trust protocol ospf area 0.0.0.0
set interface trust protocol ospf enable
set interface trust protocol ospf cost 1
上記の設定にて動きました。
自分の考えではtunnel.1のedit、"untrust-vr"のedit、
Zoneの設定(untrustをデフォルトのtrust-vrからuntrust-vrに変更できません。)が悪いと思っています
どなたかアドバイスお願いいたします。
何度やっても
set vrouter "untrust-vr"
set protocol ospf
の後の
set enable
が反映されないです。これは当然なのでしょうか?
909 :GET! DVD:03/07/29 20:21 ID:7CguVt8Q
☆★ 新商品 ゾク・ゾク 入荷!! 急げ〜!! ☆★☆
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★ 送料激安! スピード発送! 商品豊富!
★☆ http://www.get-dvd.com
☆★ 激安DVDショップ 「GETDVDドットコム」
★☆ http://www.get-dvd.com
☆★ 今すぐアクセス Let’s Go! 急げ!
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★ 送料激安! スピード発送! 商品豊富!
★☆ http://www.get-dvd.com
☆★ 激安DVDショップ 「GETDVDドットコム」
★☆ http://www.get-dvd.com
☆★ 今すぐアクセス Let’s Go! 急げ!
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
>>906
多分、untrust-vrに割り当てられたzoneが無いです、というか不要です
複数のvrouterは要件的な制約でインターフェイスごとにルーティングテーブルを分けたいときに使います
vrouterが複数ある場合は一つの箱にrouterが二つるようなイメージです
デフォルトではNSは全てのインターフェイスがtrust-vrなはずです
trust-vrでtunnelインターフェイスでOSPFをenableにすればOKなはず
>Zoneの設定(untrustをデフォルトのtrust-vrからuntrust-vrに変更できません。)が悪いと思っています
よほど特殊な要件がなければ不要です
多分、untrust-vrに割り当てられたzoneが無いです、というか不要です
複数のvrouterは要件的な制約でインターフェイスごとにルーティングテーブルを分けたいときに使います
vrouterが複数ある場合は一つの箱にrouterが二つるようなイメージです
デフォルトではNSは全てのインターフェイスがtrust-vrなはずです
trust-vrでtunnelインターフェイスでOSPFをenableにすればOKなはず
>Zoneの設定(untrustをデフォルトのtrust-vrからuntrust-vrに変更できません。)が悪いと思っています
よほど特殊な要件がなければ不要です
911 :ミニマム:03/07/30 10:53 ID:AuhfpMC4
ご回答有難う御座います。
untrust-vrが不要なことは理解しました。
現在、Webベースで設定をしていますが
OSPF絡みであろう設定の内容を書きます。
1.NetworkのZonesの設定はデフォルトのまま(untrustはtrust-vrに割り当てられている)
2.NetworkのInterfacesのtrustの設定は
Basicの項目にはZoneNameはTrust、IPアドレスは192.168.xx.xx/24のプライベートアドレスを記述、interfacemodeはRouteに変更
DHCPの項目をnoneに変更
OSPFの項目はProtocal OSPFをenableにチェックしてBind to Areaは0.0.0.0(Backbone):現在、他のルータはOSPFのエリアを全てbackboneに設定してある。
他はデフォルト設定のまま
3.NetworkのInterfacesのuntrustの設定は
Basicの項目にはZoneNameはUntrust、Obtain IP using PPPoEにUserNameとPasswordを記述、StaticIPのIPアドレスにIP1サービスで得たグローバルアドレスを記述(マスクは32)、interfacemodeはRouteに変更
(PPPoEにだけチェックされているが、なぜかStaticにもグローバルアドレスが記述されている)
OSPFの項目はProtocal OSPFをenableにチェックしてBind to Areaは0.0.0.0(Backbone):現在、他のルータはOSPFのエリアを全てbackboneに設定してある。
他はデフォルト設定のまま
4.NetworkのInterfacesのtunnel.1の作成と設定
Basicの項目にはZoneはUntrust(trust-vr)、Unnumberedを選択してInterfaceにuntrust(trust-vr)を設定
OSPFの項目はProtocal OSPFをenableにチェックしてBind to Areaは0.0.0.0(Backbone):現在、他のルータはOSPFのエリアを全てbackboneに設定してある。
他はデフォルト設定のまま
5.NetworkのRoutingのVirtual Routersのtrust-vrの設定
Create OSPF Instanceを選択
ParametersのOSPF enabledをチェックする
Area 0.0.0.0のconfigureでBound Interfacesにtrust、untrust、tunnel.1をSelected Interface(s)に加える。
これでtunnel.1をtrust-vrに割り当てているのかなと思うのですが何か間違いがありますでしょうか?
untrust-vrが不要なことは理解しました。
現在、Webベースで設定をしていますが
OSPF絡みであろう設定の内容を書きます。
1.NetworkのZonesの設定はデフォルトのまま(untrustはtrust-vrに割り当てられている)
2.NetworkのInterfacesのtrustの設定は
Basicの項目にはZoneNameはTrust、IPアドレスは192.168.xx.xx/24のプライベートアドレスを記述、interfacemodeはRouteに変更
DHCPの項目をnoneに変更
OSPFの項目はProtocal OSPFをenableにチェックしてBind to Areaは0.0.0.0(Backbone):現在、他のルータはOSPFのエリアを全てbackboneに設定してある。
他はデフォルト設定のまま
3.NetworkのInterfacesのuntrustの設定は
Basicの項目にはZoneNameはUntrust、Obtain IP using PPPoEにUserNameとPasswordを記述、StaticIPのIPアドレスにIP1サービスで得たグローバルアドレスを記述(マスクは32)、interfacemodeはRouteに変更
(PPPoEにだけチェックされているが、なぜかStaticにもグローバルアドレスが記述されている)
OSPFの項目はProtocal OSPFをenableにチェックしてBind to Areaは0.0.0.0(Backbone):現在、他のルータはOSPFのエリアを全てbackboneに設定してある。
他はデフォルト設定のまま
4.NetworkのInterfacesのtunnel.1の作成と設定
Basicの項目にはZoneはUntrust(trust-vr)、Unnumberedを選択してInterfaceにuntrust(trust-vr)を設定
OSPFの項目はProtocal OSPFをenableにチェックしてBind to Areaは0.0.0.0(Backbone):現在、他のルータはOSPFのエリアを全てbackboneに設定してある。
他はデフォルト設定のまま
5.NetworkのRoutingのVirtual Routersのtrust-vrの設定
Create OSPF Instanceを選択
ParametersのOSPF enabledをチェックする
Area 0.0.0.0のconfigureでBound Interfacesにtrust、untrust、tunnel.1をSelected Interface(s)に加える。
これでtunnel.1をtrust-vrに割り当てているのかなと思うのですが何か間違いがありますでしょうか?
912 :ミニマム:03/07/30 11:37 ID:AuhfpMC4
以下がコンフィグの一部です
1.NetworkのZonesの設定はデフォルトのまま(untrustはtrust-vrに割り当てられている)
set zone "Untrust" vrouter "trust-vr"
set interface "untrust" zone "Untrust"
2.NetworkのInterfacesのtrustの設定は
set interface trust ip 192.168.144.220/24
set interface trust route
set interface trust ip manageable
set interface trust protocol ospf area 0.0.0.0
set interface trust protocol ospf enable
set interface trust protocol ospf cost 1
3.NetworkのInterfacesのuntrustの設定は
set interface untrust ip グローバルアドレス/32
set interface untrust route
set interface untrust ip manageable
set interface untrust protocol ospf area 0.0.0.0
set interface untrust protocol ospf enable
set interface untrust protocol ospf cost 1
set pppoe username "[email protected]" password "guest"
set pppoe interface untrust
4.NetworkのInterfacesのtunnel.1の作成と設定
set interface "tunnel.1" zone "Untrust"
set interface tunnel.1 ip unnumbered interface untrust
set interface tunnel.1 protocol ospf area 0.0.0.0
set interface tunnel.1 protocol ospf enable
set interface tunnel.1 protocol ospf cost 10
5.NetworkのRoutingのVirtual Routersのtrust-vrの設定
set vrouter "trust-vr"
set protocol ospf
set enable
1.NetworkのZonesの設定はデフォルトのまま(untrustはtrust-vrに割り当てられている)
set zone "Untrust" vrouter "trust-vr"
set interface "untrust" zone "Untrust"
2.NetworkのInterfacesのtrustの設定は
set interface trust ip 192.168.144.220/24
set interface trust route
set interface trust ip manageable
set interface trust protocol ospf area 0.0.0.0
set interface trust protocol ospf enable
set interface trust protocol ospf cost 1
3.NetworkのInterfacesのuntrustの設定は
set interface untrust ip グローバルアドレス/32
set interface untrust route
set interface untrust ip manageable
set interface untrust protocol ospf area 0.0.0.0
set interface untrust protocol ospf enable
set interface untrust protocol ospf cost 1
set pppoe username "[email protected]" password "guest"
set pppoe interface untrust
4.NetworkのInterfacesのtunnel.1の作成と設定
set interface "tunnel.1" zone "Untrust"
set interface tunnel.1 ip unnumbered interface untrust
set interface tunnel.1 protocol ospf area 0.0.0.0
set interface tunnel.1 protocol ospf enable
set interface tunnel.1 protocol ospf cost 10
5.NetworkのRoutingのVirtual Routersのtrust-vrの設定
set vrouter "trust-vr"
set protocol ospf
set enable
913 :ミニマム:03/07/30 11:38 ID:AuhfpMC4
疑問点&気になる点は
1.VPNを作成した段階で使われているVPNNameとtunnel.1の関連付けをする必要が無いのか?
2.tunnel.1の設定が間違っている
3.untrustの設定が間違っている
4.デフォルトのACLで邪魔されている。
などがあります。
お分かりになる方、アドバイスよろしくお願いいたします。
長文失礼致しました。
1.VPNを作成した段階で使われているVPNNameとtunnel.1の関連付けをする必要が無いのか?
2.tunnel.1の設定が間違っている
3.untrustの設定が間違っている
4.デフォルトのACLで邪魔されている。
などがあります。
お分かりになる方、アドバイスよろしくお願いいたします。
長文失礼致しました。
914 :ミニマム:03/07/30 19:26 ID:AuhfpMC4
上記の件、多少解決しました。
BINDさせていない事が原因のようでした。
set vpn "vpn" id 2 bind interface tunnel.1
これでOSPFは動くようになったのですが
tunnel.1がready状態からupに変わってその後数分したらすぐDown状態になってしまって
電源をON/OFFしないと復旧しません。
これは何か設定の変更が必要なのでしょうか?
それとNetscreen側でOSPFの情報は受け取るのですが
Netscreenのtrust側の情報をVPNの対向先(yamahaルータ)に伝えていないようです。
対向先のyamahaルータでネイバーを確認すると
ネイバーのアドレスがnetscreenのグローバルアドレスになっているのもおかしい点なのかなと感じています。
(netscreenからyamahaルータのプライベートアドレスにtracerouteをすると
tunnelがUP状態だと、netscreen以降が全て*になり、down状態だとインターネット側へと向かってしまいます。)
説明不足な点が多いかと思いますが
何かしらアドバイス頂けたらと思いますので
よろしくお願いいたします。
BINDさせていない事が原因のようでした。
set vpn "vpn" id 2 bind interface tunnel.1
これでOSPFは動くようになったのですが
tunnel.1がready状態からupに変わってその後数分したらすぐDown状態になってしまって
電源をON/OFFしないと復旧しません。
これは何か設定の変更が必要なのでしょうか?
それとNetscreen側でOSPFの情報は受け取るのですが
Netscreenのtrust側の情報をVPNの対向先(yamahaルータ)に伝えていないようです。
対向先のyamahaルータでネイバーを確認すると
ネイバーのアドレスがnetscreenのグローバルアドレスになっているのもおかしい点なのかなと感じています。
(netscreenからyamahaルータのプライベートアドレスにtracerouteをすると
tunnelがUP状態だと、netscreen以降が全て*になり、down状態だとインターネット側へと向かってしまいます。)
説明不足な点が多いかと思いますが
何かしらアドバイス頂けたらと思いますので
よろしくお願いいたします。
915 :NET初心者:03/07/30 19:35 ID:HTTFEWHL
クライアントからサーバに対してHTTPのGETリクエストで、
ファイルを取得するとき、大きなサイズだど、分割して
送られてくると思いますが、続きがあるということを
クライアント側でどのようにして判別しているのでしょうか?
知っていたら教えてください。
ファイルを取得するとき、大きなサイズだど、分割して
送られてくると思いますが、続きがあるということを
クライアント側でどのようにして判別しているのでしょうか?
知っていたら教えてください。
917 :j:03/07/30 19:53 ID:5HXGWMJo
★オナニー共和国です★ ★貴方の見たい娘がイッパイ(^0^)★無修正★クリック一発モロ画像★
http://endou.kir.jp/akira/linkvp.html
http://endou.kir.jp/akira/linkvp.html
BフレッツとフレッツADSLで結んだVPNの場合のMTU設定で、NetScreenとクライアントPCの値は皆さんどうされてますか?
現在はNetScreenはデフォルトのまま(変更方法がわからないだけ)で、その下のクライアントPCを1454にしてみましたが、1500だったころより2割近く速度が落ちてしまいました
過去ログで1300ぐらいがよいという意見がありましたので、きっちり1300でテストしてみましたが、1454とほとんど変わりませんでした
速度の計測方法は、ADSL(8M)側からVPNでBフレッツ側に接続し、そこから直接インターネットの計測サイトに飛ばしています
だいたいMTUが1500の時で、下り 800kbps 上り 600kbps ぐらい
製品は NetScreen5XT x 2 です
よろしくお願いします
現在はNetScreenはデフォルトのまま(変更方法がわからないだけ)で、その下のクライアントPCを1454にしてみましたが、1500だったころより2割近く速度が落ちてしまいました
過去ログで1300ぐらいがよいという意見がありましたので、きっちり1300でテストしてみましたが、1454とほとんど変わりませんでした
速度の計測方法は、ADSL(8M)側からVPNでBフレッツ側に接続し、そこから直接インターネットの計測サイトに飛ばしています
だいたいMTUが1500の時で、下り 800kbps 上り 600kbps ぐらい
製品は NetScreen5XT x 2 です
よろしくお願いします
>>914
OSPFv2のnighbor/adjacencyはそれぞれどう? YamahaとかNSがマトモに
OSFPv2をtunnel-linkで走らせられるかどうかしらんけど...。NSがわ
でみて何がupしてそのうちdownしちゃうのか、ふつーのOSPFv2のでば
ぐすればよいんじゃない?
OSPFv2のnighbor/adjacencyはそれぞれどう? YamahaとかNSがマトモに
OSFPv2をtunnel-linkで走らせられるかどうかしらんけど...。NSがわ
でみて何がupしてそのうちdownしちゃうのか、ふつーのOSPFv2のでば
ぐすればよいんじゃない?
920 :ぼるじょあ ◆yBEncckFOU :03/08/02 04:48 ID:???
∧_∧ ∧_∧
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
ピュ.ー ( ・3・) ( ^^ ) <これからも僕たちを応援して下さいね(^^)。
=〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
= ◎――――――◎ 山崎渉&ぼるじょあ
921 :は:03/08/03 00:33 ID:GmMtBdS/
532さんと同様かもしれませんが、何か情報があれば教えてください。
会社では元々F/WにGTX1000使っていたのですが、会社都合で
Bフレッツ+NS204に変更(テスト台)となりました。
ここまでは良かったのですが、今度はNS204がお召上げとなり、
NS25が割り当てられたのですが、変更後、特定のWeb(国内大手電機メーカー等がNG、
MS・Yahoo等はOK)を表示するのにとても時間が掛かるようになってしまいました。
過去LogでWeb側の対応が必要とありますが、GTX1000はおいといて、
NS204とNS25でWeb表示に何か違いが有るのでしょうか?
担当業者さんにはNS204のconfigを使ってもらってます。
(会社都合でNS204の時とは違う業者が来ました・・・)
ちなみにMTUを変えても、たいした変化は有りませんでした。
会社では元々F/WにGTX1000使っていたのですが、会社都合で
Bフレッツ+NS204に変更(テスト台)となりました。
ここまでは良かったのですが、今度はNS204がお召上げとなり、
NS25が割り当てられたのですが、変更後、特定のWeb(国内大手電機メーカー等がNG、
MS・Yahoo等はOK)を表示するのにとても時間が掛かるようになってしまいました。
過去LogでWeb側の対応が必要とありますが、GTX1000はおいといて、
NS204とNS25でWeb表示に何か違いが有るのでしょうか?
担当業者さんにはNS204のconfigを使ってもらってます。
(会社都合でNS204の時とは違う業者が来ました・・・)
ちなみにMTUを変えても、たいした変化は有りませんでした。
922 : :03/08/03 00:51 ID:Y6kQiowu
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
<コピペ推奨>「ゆうくんストリート」
http://www.geocities.co.jp/HeartLand-Oak/1314/
まずは↑のページを見て貰いたい。ビルダーで作成しているようなのだが、
入った瞬間に様々な画像が次々に動き回り、非常に見難い。というより、
何が何だか分からない状態である。また「最近メール来ないなぁ。女の子の
メール待ってま〜す」「ビルダー使ってるけど僕はタグも分かる」など、イタイ発言も
満載。管理人はゆうくん(13・リア厨2)。「中学生ちゃんねる」以来のこの極悪
ホームページを殲滅させるべく、2ちゃんねらーの者共よ、集え!
<信用できない方のために、掲示板のアドレス>
http://www.ziyu.net/~rent/bbs/pt.cgi?room=yuukun
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
<コピペ推奨>「ゆうくんストリート」
http://www.geocities.co.jp/HeartLand-Oak/1314/
まずは↑のページを見て貰いたい。ビルダーで作成しているようなのだが、
入った瞬間に様々な画像が次々に動き回り、非常に見難い。というより、
何が何だか分からない状態である。また「最近メール来ないなぁ。女の子の
メール待ってま〜す」「ビルダー使ってるけど僕はタグも分かる」など、イタイ発言も
満載。管理人はゆうくん(13・リア厨2)。「中学生ちゃんねる」以来のこの極悪
ホームページを殲滅させるべく、2ちゃんねらーの者共よ、集え!
<信用できない方のために、掲示板のアドレス>
http://www.ziyu.net/~rent/bbs/pt.cgi?room=yuukun
★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★★
923 :GET! DVD:03/08/03 01:08 ID:x7VLwu/5
☆★ 新商品 ゾク・ゾク 入荷!! 急げ〜!! ☆★☆
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★ 送料激安! スピード発送! 商品豊富!
★☆ http://www.get-dvd.com
☆★ 激安DVDショップ 「GETDVDドットコム」
★☆ http://www.get-dvd.com
☆★ 今すぐアクセス Let’s Go! 急げ!
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆★ 送料激安! スピード発送! 商品豊富!
★☆ http://www.get-dvd.com
☆★ 激安DVDショップ 「GETDVDドットコム」
★☆ http://www.get-dvd.com
☆★ 今すぐアクセス Let’s Go! 急げ!
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
>>924
>会社では元々F/WにGTX1000使っていた
また渋いの使ってましたね、IBM方面のSI屋さんが置いていきました
か? Proteonのルータとは。N+Iにいったら懐かしの名(迷)機コーナ
にProteonのルータがかつてのOSPFリファレンス機としておいてあり
ましたよ。
>会社では元々F/WにGTX1000使っていた
また渋いの使ってましたね、IBM方面のSI屋さんが置いていきました
か? Proteonのルータとは。N+Iにいったら懐かしの名(迷)機コーナ
にProteonのルータがかつてのOSPFリファレンス機としておいてあり
ましたよ。
925 :ミニマム:03/08/04 11:44 ID:aFdEwd7D
またまた質問です。
自身(Netscreen)から
対向先のVPNルータ(yamaha)、もしくは対向先のVPNルータを経由する必要があるIPアドレスに対して
pingしてReplyが帰ってくる様にする為にはどのような設定が必要でしょうか?
set interface untrust manage ping
set interface trust manage ping
の設定は入れてあるのですが。
※VPN作成にtunnel.1は使用していません。
※対向先のVPNルータはyamahaルータでpingに関してのACLはしていません。
それと対向先のルータから
自身のサブネットに繋がっているPCへ
tracerouteすると
netscreenは表示されないのですが
表示させるための設定などありますでしょうか?
それともこれが仕様なのでしょうか?
とにもかくにも
netscreenからVPN経由のpingを可能にする為の設定を教えていただければと思います。
よろしくお願いします。
自身(Netscreen)から
対向先のVPNルータ(yamaha)、もしくは対向先のVPNルータを経由する必要があるIPアドレスに対して
pingしてReplyが帰ってくる様にする為にはどのような設定が必要でしょうか?
set interface untrust manage ping
set interface trust manage ping
の設定は入れてあるのですが。
※VPN作成にtunnel.1は使用していません。
※対向先のVPNルータはyamahaルータでpingに関してのACLはしていません。
それと対向先のルータから
自身のサブネットに繋がっているPCへ
tracerouteすると
netscreenは表示されないのですが
表示させるための設定などありますでしょうか?
それともこれが仕様なのでしょうか?
とにもかくにも
netscreenからVPN経由のpingを可能にする為の設定を教えていただければと思います。
よろしくお願いします。
926 :は:03/08/05 07:20 ID:a7V3vFnA
>>xxx
そうなんですか(^^; GTX1000は3年くらい前にPSIさんが置いてって行きました。
ちなみにVPNは Shivaを使ってました。
どちらもNetscreenに変わったんだけど・・・
業者さん早く動くようにしてくださいってとこですね。
そうなんですか(^^; GTX1000は3年くらい前にPSIさんが置いてって行きました。
ちなみにVPNは Shivaを使ってました。
どちらもNetscreenに変わったんだけど・・・
業者さん早く動くようにしてくださいってとこですね。
928 :NetStructure:03/08/08 01:26 ID:???
>>926
ShivaはIntelに買われたのが運の尽きだったな(W
ShivaのクライアントはNetScreen Remoteよりはつかいやすいとおもふ。個人的には。NetScreenはVPN Client GW製品としてみたら機能性の面であまり良くないと思う。
OEM戦略の迷走のあげくIntelにほっぽり出されたShivaブランドは再び売りに出され・・・
http://www.shiva.com/
すれ違いスマソ
ShivaはIntelに買われたのが運の尽きだったな(W
ShivaのクライアントはNetScreen Remoteよりはつかいやすいとおもふ。個人的には。NetScreenはVPN Client GW製品としてみたら機能性の面であまり良くないと思う。
OEM戦略の迷走のあげくIntelにほっぽり出されたShivaブランドは再び売りに出され・・・
http://www.shiva.com/
すれ違いスマソ
929 :NS 入れようか迷ってるぽ:03/08/11 12:39 ID:MOcFfEyy
NS ってポートのリンクダウンで arp cache ちゃんとクリアしてくれる?
まさかないとは思うけど、残ったまんまとかだと困るんだよな。
まさかないとは思うけど、残ったまんまとかだと困るんだよな。
NSを、Win2kのドメインコントローラ(Active Directory)でユーザ認証させることはできますか?
932 :IT足軽隊:03/08/13 11:08 ID:3gl4raHg
NetScreenで、UDPのフラグメントあたりの修正機能ってどうなってますか?
みなさん、NS社とかベンダから何か情報もらってますか?
どこにも情報がないので、みなさまのお力をお貸しください。
みなさん、NS社とかベンダから何か情報もらってますか?
どこにも情報がないので、みなさまのお力をお貸しください。
>>932
このスレを最初から読めばわかるよ
このスレを最初から読めばわかるよ
934 :IT足軽隊:03/08/13 22:39 ID:3gl4raHg
>933
かなり前のスレでは、解決できてないみたいだけど。。。
今は、どうなのでしょうか。
かなり前のスレでは、解決できてないみたいだけど。。。
今は、どうなのでしょうか。
935 :直リン:03/08/13 22:48 ID:rJXp88xd
936 :d:03/08/13 23:19 ID:RG6JpxQQ
サーファー風のルックスの少女ですがオマンコはかなりグロイです。
うっそうと生い茂ったマンゲの奥に黒ずんだビラビラが男根を待っています。
顔がかわいいだけにそのギャップにかえって萌えるかも・・・
吸引力のありそうねフェラもいいですよ。
援交女盛りだくさん!!
無料ムービー充実
http://www.geisyagirl.com/
うっそうと生い茂ったマンゲの奥に黒ずんだビラビラが男根を待っています。
顔がかわいいだけにそのギャップにかえって萌えるかも・・・
吸引力のありそうねフェラもいいですよ。
援交女盛りだくさん!!
無料ムービー充実
http://www.geisyagirl.com/
937 :さげ:03/08/14 13:09 ID:3Xw/JJfW
>>934
秋にScreenOS Ver.5がでるじゃん?
でもベンダーに聞いたら、UDPのサイズ調整機能は実装されていないそうだ・・・
MSS→MTUの実装ってそんなに難しいもんなのかな?Ciscoルータならできるのに・・・
秋にScreenOS Ver.5がでるじゃん?
でもベンダーに聞いたら、UDPのサイズ調整機能は実装されていないそうだ・・・
MSS→MTUの実装ってそんなに難しいもんなのかな?Ciscoルータならできるのに・・・
>> 932, 937
UDPフラグメントっていってるのは、I/FのMTU調整機構のことなのね。
なんでないんでしょうね? IPsec tunnelでOSPFv2動かすときとかDD
exchangeでMTU不一致/adjancey確立せず、って可能性もありそうなの
に。謎だ謎だ謎だ.... ま、NSでOSPFしゃべらせないからいいか。:-)
UDPフラグメントっていってるのは、I/FのMTU調整機構のことなのね。
なんでないんでしょうね? IPsec tunnelでOSPFv2動かすときとかDD
exchangeでMTU不一致/adjancey確立せず、って可能性もありそうなの
に。謎だ謎だ謎だ.... ま、NSでOSPFしゃべらせないからいいか。:-)
939 : :03/08/15 06:50 ID:???
940 :anonymous@ biza388.mind.ne.jp:03/08/15 09:05 ID:Ggv8jr25
IPSecですらRFCの定義から大幅にはずれてまつ。
941 :新宿歌舞伎町裏DVD本舗:03/08/15 11:48 ID:4tOBBMlJ
▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼
☆★ 無修正DVD★☆なら 新宿歌舞伎町直送 ☆★
人気爆発新作ベスト9入荷
堤さやか引退特集 憂木瞳 プロジェクトX No8 ベイビーフェイスをやっちまえ
白石ひより・愛葉るび SNAPSHOT 地下映像陵辱援交 すぎはら美里痴女教師
店頭販売の売れ筋のみ厳選してみました 安心の後払い
http://book-i.net/moromoro/
白石ひとみ 小森詩 山田まり 長瀬愛
@@ 及川奈央 レジェンド @@ 堤さやか 東京バーチャル 依然大好評
サンプル画像充実 見る価値あり 最高画質
▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼
☆★ 無修正DVD★☆なら 新宿歌舞伎町直送 ☆★
人気爆発新作ベスト9入荷
堤さやか引退特集 憂木瞳 プロジェクトX No8 ベイビーフェイスをやっちまえ
白石ひより・愛葉るび SNAPSHOT 地下映像陵辱援交 すぎはら美里痴女教師
店頭販売の売れ筋のみ厳選してみました 安心の後払い
http://book-i.net/moromoro/
白石ひとみ 小森詩 山田まり 長瀬愛
@@ 及川奈央 レジェンド @@ 堤さやか 東京バーチャル 依然大好評
サンプル画像充実 見る価値あり 最高画質
▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼ ▼
(⌒V⌒)
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
│ ^ ^ │<これからも僕を応援して下さいね(^^)。
⊂| |つ
(_)(_) 山崎パン
943 :は:03/08/16 16:47 ID:m1uNfdxq
>>928
NtescreenのVPNが使えるようになったけど・・・
Shivaと比べると、なんか使いにくいですね〜(-_-凸(スピードも遅いし)
まあ、やんごとなきシステム部が決めたことなのでしかたがないのか。
早くNSのメリットを見つけていきたいですね。
NtescreenのVPNが使えるようになったけど・・・
Shivaと比べると、なんか使いにくいですね〜(-_-凸(スピードも遅いし)
まあ、やんごとなきシステム部が決めたことなのでしかたがないのか。
早くNSのメリットを見つけていきたいですね。
944 :anonymous@ EATcf-28p42.ppp15.odn.ne.jp:03/08/17 02:15 ID:p+sMxjzw
945 : :03/08/17 15:07 ID:???
>>943
NetScreenのVPNはサイト間はいいけど・・って印象。
終わってる(w Shivaは置いておいて今現実的な選択だと、Cisco VPN3000なんかの方がクライアントの使い心地はいいと思う。
価格対スループット比はで比べたらCiscoは高くてスループット低いけど、クライアントだと決め手はスループットよりクライアントの使いやすさだと思う。触ったこと無いけどNortelのContivityなんかもよさげ。
NetScreenのVPNはサイト間はいいけど・・って印象。
終わってる(w Shivaは置いておいて今現実的な選択だと、Cisco VPN3000なんかの方がクライアントの使い心地はいいと思う。
価格対スループット比はで比べたらCiscoは高くてスループット低いけど、クライアントだと決め手はスループットよりクライアントの使いやすさだと思う。触ったこと無いけどNortelのContivityなんかもよさげ。
Cisco VPN3000はどうでつか?
あまりいい噂を聞かないNetScreen-Remoteとフレッツ接続ツールの件でヒントを下さい。
【環境】
Windows98 Second Edition
・仮想プライベートネットワークインストール済み
・フレッツ接続ツール(ver.2:にぎやかな奴)インストール済み
【現象】
上記環境ではインターネット接続OK。
この状態でNetScreen-Remote8.0をインストールすると、「アダプタが見つかりません」
という警告メッセージが出て、フレッツ接続に失敗します。
フレッツ接続ツールの該当接続のプロパティを見ると、アダプタを選択する欄には何も出
てこない状態です。もちろんNetScreen-Remoteをインストールする前は、使用している
LANカードが表示されます。
また、NetScreen-Remoteをアンインストールすると、フレッツ接続は問題なくできます。
【おたずねしたいこと】
実際にフレッツ接続ツールとNetScreen-Remoteとを共存して、問題なく使用できて
いる方、ヒントなり苦労した点があれば教えて下さい。
【参考まで】
NetScreen-Remoteのセットアップ時には「Custom」で、「SafeNet VPN Adaptor」を
選択してからインストールしました。
本当はWindows2000にインストールできればいいのですが、こっちはNortelの
Contivity VPN Clientなんていうものが入っているので・・・
#さすがにNS本社のサイトにフレッツ接続ツールとの相性を言ってもなぁ・・・
【環境】
Windows98 Second Edition
・仮想プライベートネットワークインストール済み
・フレッツ接続ツール(ver.2:にぎやかな奴)インストール済み
【現象】
上記環境ではインターネット接続OK。
この状態でNetScreen-Remote8.0をインストールすると、「アダプタが見つかりません」
という警告メッセージが出て、フレッツ接続に失敗します。
フレッツ接続ツールの該当接続のプロパティを見ると、アダプタを選択する欄には何も出
てこない状態です。もちろんNetScreen-Remoteをインストールする前は、使用している
LANカードが表示されます。
また、NetScreen-Remoteをアンインストールすると、フレッツ接続は問題なくできます。
【おたずねしたいこと】
実際にフレッツ接続ツールとNetScreen-Remoteとを共存して、問題なく使用できて
いる方、ヒントなり苦労した点があれば教えて下さい。
【参考まで】
NetScreen-Remoteのセットアップ時には「Custom」で、「SafeNet VPN Adaptor」を
選択してからインストールしました。
本当はWindows2000にインストールできればいいのですが、こっちはNortelの
Contivity VPN Clientなんていうものが入っているので・・・
#さすがにNS本社のサイトにフレッツ接続ツールとの相性を言ってもなぁ・・・
950 :○anonymous:03/08/18 09:03 ID:???
>949
インターネットVPNガイド読みませう。。
1)Win98に何故VPNインストールしているのか?
2)インストールの順番
3)使用しているLANカード(ドライバによっては、動作不能)
4)使用している接続ツールのバージョン
5)Windowsレジストリ操作(MTU計算した上での多段操作が必要)
インターネットVPNガイド読みませう。。
1)Win98に何故VPNインストールしているのか?
2)インストールの順番
3)使用しているLANカード(ドライバによっては、動作不能)
4)使用している接続ツールのバージョン
5)Windowsレジストリ操作(MTU計算した上での多段操作が必要)
951 :○anonymous:03/08/18 09:11 ID:???
>949
>さすがにNS本社のサイトにフレッツ接続ツールとの相性を言ってもなぁ・・・
NTT-MEさんに問い合わせてみてください。
動作させるための手順書を作成して提出したことがありますので、
うまく担当者に繋がれば、、、
(直接書くわけにはいかないので、メンゴ)
ちなみに、LANカードの相性問題が出た場合は、
カードを変えるか、OSを変えてみるしかないです。
>Contivity VPN Clientなんていうものが
何かVPNソフトが入っているなら、大抵は設定だけで動く筈ですが。。
一部のとんでもない仕様のFW機器への接続は別にして。
(例:高速流、見張番、増幅・・・・・)
>さすがにNS本社のサイトにフレッツ接続ツールとの相性を言ってもなぁ・・・
NTT-MEさんに問い合わせてみてください。
動作させるための手順書を作成して提出したことがありますので、
うまく担当者に繋がれば、、、
(直接書くわけにはいかないので、メンゴ)
ちなみに、LANカードの相性問題が出た場合は、
カードを変えるか、OSを変えてみるしかないです。
>Contivity VPN Clientなんていうものが
何かVPNソフトが入っているなら、大抵は設定だけで動く筈ですが。。
一部のとんでもない仕様のFW機器への接続は別にして。
(例:高速流、見張番、増幅・・・・・)
>950
インターネットVPNガイドとは、何なのでしょうか?
> 1)Win98に何故VPNインストールしているのか?
インストールしただけのピュアな環境がこれしかないからです。
> 2)インストールの順番
書き方が悪かったようで、すみません。
フレッツ接続ツール→Microsoft仮想プライベートネットワーク→Netscreen-Remote
という順番です。
> 3)使用しているLANカード(ドライバによっては、動作不能)
今使っているのは、Intel21140でございます。
#旧DECのtulipカードという補足は蛇足ですよね?
> 4)使用している接続ツールのバージョン
2.2.2B
> 5)Windowsレジストリ操作(MTU計算した上での多段操作が必要)
と、いいますか、それ以前の問題だと思いますが?
フレッツ接続ツール内「接続先」→「プロファイル」→(自分で作成した
プロファイル)のプロパティを開き、「サーバ」タグの画面内の「アダプ
タ」に何も出ないのです。
この状態では、フレッツ接続ツールが接続に使うアダプタが存在しないと
いうことでは?
インターネットVPNガイドとは、何なのでしょうか?
> 1)Win98に何故VPNインストールしているのか?
インストールしただけのピュアな環境がこれしかないからです。
> 2)インストールの順番
書き方が悪かったようで、すみません。
フレッツ接続ツール→Microsoft仮想プライベートネットワーク→Netscreen-Remote
という順番です。
> 3)使用しているLANカード(ドライバによっては、動作不能)
今使っているのは、Intel21140でございます。
#旧DECのtulipカードという補足は蛇足ですよね?
> 4)使用している接続ツールのバージョン
2.2.2B
> 5)Windowsレジストリ操作(MTU計算した上での多段操作が必要)
と、いいますか、それ以前の問題だと思いますが?
フレッツ接続ツール内「接続先」→「プロファイル」→(自分で作成した
プロファイル)のプロパティを開き、「サーバ」タグの画面内の「アダプ
タ」に何も出ないのです。
この状態では、フレッツ接続ツールが接続に使うアダプタが存在しないと
いうことでは?
>951
解決策の在処(の手がかり)は大変助かります。情報ありがとうございます。
最終的にはNTT-MEに聞いてみますが、逆に在処がわかるとなると、もう少し
苦労してみたくなりました。
お忙しいところ申し訳ありませんが、ヒントいただけませんか?
1)フレッツ接続ツールはマルチセッション対応版でしたか?非対応版でしたか?
2)私は、NetScreen-Remote Installation Guideの通りにインストールしま
した。
2-1)Setupの途中で小細工するのでしょうか?
2-2)それともSetup終了後再起動がすんでから小細工するのでしょうか?
> 何かVPNソフトが入っているなら、大抵は設定だけで動く筈ですが。。
脳照のVPNソフトは同じPCのWin2000に入れています。
今回はWin98SEなので、若干異なります。
解決策の在処(の手がかり)は大変助かります。情報ありがとうございます。
最終的にはNTT-MEに聞いてみますが、逆に在処がわかるとなると、もう少し
苦労してみたくなりました。
お忙しいところ申し訳ありませんが、ヒントいただけませんか?
1)フレッツ接続ツールはマルチセッション対応版でしたか?非対応版でしたか?
2)私は、NetScreen-Remote Installation Guideの通りにインストールしま
した。
2-1)Setupの途中で小細工するのでしょうか?
2-2)それともSetup終了後再起動がすんでから小細工するのでしょうか?
> 何かVPNソフトが入っているなら、大抵は設定だけで動く筈ですが。。
脳照のVPNソフトは同じPCのWin2000に入れています。
今回はWin98SEなので、若干異なります。
954 :anonymous@ P061204003009.ppp.prin.ne.jp:03/08/20 15:56 ID:???
2台の5XPで、1台をNATモードで1台を透過モードとして
VPNをはろうかと思っているのですが、
管理画面のWizardで設定しようとしたら
透過モードもしくはルータモードではVPNの設定はできないと怒られました。
これって、手動でやればできるもんなんでしょうか?
それとも、透過モードだと絶対にできない?
できないとすると、機種選定をあやまったな.........。
VPNをはろうかと思っているのですが、
管理画面のWizardで設定しようとしたら
透過モードもしくはルータモードではVPNの設定はできないと怒られました。
これって、手動でやればできるもんなんでしょうか?
それとも、透過モードだと絶対にできない?
できないとすると、機種選定をあやまったな.........。
>>954
透過モードはNetScreenがダムハブやブリッジ同様
IPアドレスを持たない箱になるモードなので、VPNどころか
コネクション自体張れないと思われ。
ルータモードについては詳しい方のコメントよろ。
透過モードはNetScreenがダムハブやブリッジ同様
IPアドレスを持たない箱になるモードなので、VPNどころか
コネクション自体張れないと思われ。
ルータモードについては詳しい方のコメントよろ。
>>955
VLAN1のIPを使うことでVPNは使えそうなことがマニュアルに書いてあるのをみつけた。
例で載っている「ルーティングベースLAN間VPN、手動鍵」と同様の方法で
いいらしいところまでは分かったんだけど、
残念ながらこの例はNAT同士の例なのでこの通りにはできなかった。
set interface tunnel.1 ip unnumbered interface vlan1
このコマンドの最後にインターフェース名を指定できないんだよね。
(何を指定してもエラーになる)
?を押しても一覧が出ないし、WebUIでも同様の現象。
ttp://www.nsh.co.jp/security/ns/faq3.html
ここのQ27にも制限つきとはいえできると書いてあった。
さて、困った。どうするかな............。
VLAN1のIPを使うことでVPNは使えそうなことがマニュアルに書いてあるのをみつけた。
例で載っている「ルーティングベースLAN間VPN、手動鍵」と同様の方法で
いいらしいところまでは分かったんだけど、
残念ながらこの例はNAT同士の例なのでこの通りにはできなかった。
set interface tunnel.1 ip unnumbered interface vlan1
このコマンドの最後にインターフェース名を指定できないんだよね。
(何を指定してもエラーになる)
?を押しても一覧が出ないし、WebUIでも同様の現象。
ttp://www.nsh.co.jp/security/ns/faq3.html
ここのQ27にも制限つきとはいえできると書いてあった。
さて、困った。どうするかな............。
957 :anonymous@ shinjo.kk-pts.co.jp:03/08/21 09:13 ID:AhKxwj+r
NetScreen5GTはどうでつか?
958 :w:03/08/21 10:08 ID:MqmyiYQy
959 :anonymous@ p1166-ipad75marunouchi.tokyo.ocn.ne.jp:03/08/21 19:36 ID:cag7Ad8f
960 :anonymous@ 210.238.228.248:03/08/31 13:00 ID:zxuSvYU5
誰かこのヘタレにご教授願います
> まずPPPoE接続だが問題なくできた。このときUntrust側IPアドレスは通常
> ネットワークアドレスとされている XXX.XXX.XXX.240/32 になっている。
> Trust側のPCから(unnumberedでないときと同様に) NATPで XXX.XXX.XXX.240
> としてネットに出て行くことができた。
これは上記の通り上手く動いたのですが、次が上手くいきません
> 次にネット側からどう見えているのか。
>
> VIPによりTrust側の任意アドレス/ポートに接続できることを確認した。
> さらにMIPで任意の払い出しアドレスをTrust側の任意アドレスへ変換
> できることも確認した(個人的にはこれが一番気になっていた)
ns5xt(4.0.0r6.0)ですが、バージョンの違いでしょうか?
MIPにXXX.XXX.XXX.242などに振ってはいるのですが困ったことに通らないのです。
> まずPPPoE接続だが問題なくできた。このときUntrust側IPアドレスは通常
> ネットワークアドレスとされている XXX.XXX.XXX.240/32 になっている。
> Trust側のPCから(unnumberedでないときと同様に) NATPで XXX.XXX.XXX.240
> としてネットに出て行くことができた。
これは上記の通り上手く動いたのですが、次が上手くいきません
> 次にネット側からどう見えているのか。
>
> VIPによりTrust側の任意アドレス/ポートに接続できることを確認した。
> さらにMIPで任意の払い出しアドレスをTrust側の任意アドレスへ変換
> できることも確認した(個人的にはこれが一番気になっていた)
ns5xt(4.0.0r6.0)ですが、バージョンの違いでしょうか?
MIPにXXX.XXX.XXX.242などに振ってはいるのですが困ったことに通らないのです。
>>960
MIP:(xxx.xxx.xxx.xxx)へのfrom untru to truを通してますか?
MIPのルールはリアルIPのオブジェクトじゃなくて
MIPに対して通さないといけません
しかもMIPはグルーピングできないいんで、やたらとルールが多くなる
これ、早く直して欲しいんだけどなあ
Ver-1.xから全く変わってませんね
MIP:(xxx.xxx.xxx.xxx)へのfrom untru to truを通してますか?
MIPのルールはリアルIPのオブジェクトじゃなくて
MIPに対して通さないといけません
しかもMIPはグルーピングできないいんで、やたらとルールが多くなる
これ、早く直して欲しいんだけどなあ
Ver-1.xから全く変わってませんね
>>960
MIP:(xxx.xxx.xxx.xxx)へのfrom untru to truを通してますか?
MIPのルールはリアルIPのオブジェクトじゃなくて
MIPに対して通さないといけません
しかもMIPはグルーピングできないいんで、やたらとルールが多くなる
これ、早く直して欲しいんだけどなあ
Ver-1.xから全く変わってませんね
MIP:(xxx.xxx.xxx.xxx)へのfrom untru to truを通してますか?
MIPのルールはリアルIPのオブジェクトじゃなくて
MIPに対して通さないといけません
しかもMIPはグルーピングできないいんで、やたらとルールが多くなる
これ、早く直して欲しいんだけどなあ
Ver-1.xから全く変わってませんね
二重投稿失礼しました
964 :960:03/08/31 14:26 ID:zxuSvYU5
>> 961 様
ありがとうございます
ポリシーに
Source Any, Destination MIP(xxx.xxx.xxx.242), Service ANY
を追加してみたのですが状況が変わらずです
ひょっとするとMIPはuntrustだけでなくtrust側のMIPにも書かなければいけないのでしょうか?
ありがとうございます
ポリシーに
Source Any, Destination MIP(xxx.xxx.xxx.242), Service ANY
を追加してみたのですが状況が変わらずです
ひょっとするとMIPはuntrustだけでなくtrust側のMIPにも書かなければいけないのでしょうか?
>>964
普通はそれで通るはずです
その構成ならMIPはuntrustだけでいいはずです
トラブルシュートしてみないと何とも言えません
全ルールのログをEnableにして、試験トラフィックがどのルールに引っかかっているか調べるしか無いと思います。
運用中じゃないならsourceでffilterかけてdebugしてみると一発で分かると思います。
案外、NSの問題じゃなくてISPの設定ミスで流れてきてないだけだったり、、、
普通はそれで通るはずです
その構成ならMIPはuntrustだけでいいはずです
トラブルシュートしてみないと何とも言えません
全ルールのログをEnableにして、試験トラフィックがどのルールに引っかかっているか調べるしか無いと思います。
運用中じゃないならsourceでffilterかけてdebugしてみると一発で分かると思います。
案外、NSの問題じゃなくてISPの設定ミスで流れてきてないだけだったり、、、
966 :anonymous@ p4014-ipad11funabasi.chiba.ocn.ne.jp:03/08/31 20:58 ID:ze4hZdZn
set interface untrust mip 210.xxx.xxx.xxx host 192.168.1.1
とか、MIPの設定をインタフェースに入れるだけで
Incoming ポリシーを書かなくても、外部からの210.xxx.xxx.xxx向け通信がホスト192.168.1.1宛てに通過できてしまったりするのはバグですか?
NS5XT Ver.3.0.3r2.4 なんですが。
とか、MIPの設定をインタフェースに入れるだけで
Incoming ポリシーを書かなくても、外部からの210.xxx.xxx.xxx向け通信がホスト192.168.1.1宛てに通過できてしまったりするのはバグですか?
NS5XT Ver.3.0.3r2.4 なんですが。
967 : :03/08/31 21:08 ID:???
968 :NetScreenLover:03/09/04 23:24 ID:???
5XTにて、IPSEC(3DES)を計測したら、15Mbpsでパケットが落ちちゃいました。ところが、ところが、IPSECを5本に増やしたら、25Mbpsまで無事に通過。こういう動作ってASICとCPUの相性で頻繁に起こる物でしょうか?それとも単に計測ミスなのかも・・・
>>966
それウチでも再現された。
Default Denyもちゃんと入ってたし、ポリシーもIncomingポリシーは何も書かれていないのに。
デフォルトで入っているany any Permitもちゃんと消したのに・・・うわあああn
それウチでも再現された。
Default Denyもちゃんと入ってたし、ポリシーもIncomingポリシーは何も書かれていないのに。
デフォルトで入っているany any Permitもちゃんと消したのに・・・うわあああn
971 :anonymous@ 210.238.228.112:03/09/10 15:23 ID:YSUdKHZ5
マルチセッションって対応するつもりはないのかな?
972 :SCREEN:03/09/10 15:27 ID:YSUdKHZ5
Zone1 176.16.0.0/16 と Zone2 192.168.0.0/24の2つのゾーンを用意しているのですが、接地の場所などの条件によってZone2側の島にZone1のPCを何台か存在させなければならない羽目になりそうです。
Zone2に接地しなければならないPCについては固定で172.16.0.200などのIPアドレスを割り当てるのはかまわないのですが、Zone2からZone1に問題なく抜けるような事はできますか?
Zone2に接地しなければならないPCについては固定で172.16.0.200などのIPアドレスを割り当てるのはかまわないのですが、Zone2からZone1に問題なく抜けるような事はできますか?
http://ula2ch.muvc.net/ (このカキコは削除しても良いです)
http://ula2ch.muvc.net/ (このカキコは削除しても良いです)
975 :ん:03/09/10 17:23 ID:+ErVjDqN
>960
遅レスです。
固定IP1個の契約でなく8個や16個でもサブネットマスクが32ビットになるのはOS3.0.3r7,OS4.0.0の仕様だそうです。
私もやられました。
下記のコマンドでサブネットマスクを変更すればOKです。
set pppoe netmask サブネットマスク
save
#NS社は何考えているんだか。
遅レスです。
固定IP1個の契約でなく8個や16個でもサブネットマスクが32ビットになるのはOS3.0.3r7,OS4.0.0の仕様だそうです。
私もやられました。
下記のコマンドでサブネットマスクを変更すればOKです。
set pppoe netmask サブネットマスク
save
#NS社は何考えているんだか。
976 : :03/09/10 23:11 ID:???
>>975
フレッツでいくら固定のアドレスがプロバイダーから割り振られようとPPPoEプロトコルで渡されるアドレスは一個だけだし、サブネットマスクなんて渡されないからユーザーで設定しなきゃならないのは当たり前。
仕様というか、プロバイダーとの契約通りに28bitやら29bitのサブネットマスクが自動で設定される機器があったら見てみたい。
フレッツでいくら固定のアドレスがプロバイダーから割り振られようとPPPoEプロトコルで渡されるアドレスは一個だけだし、サブネットマスクなんて渡されないからユーザーで設定しなきゃならないのは当たり前。
仕様というか、プロバイダーとの契約通りに28bitやら29bitのサブネットマスクが自動で設定される機器があったら見てみたい。
978 :SCREEN:03/09/11 16:09 ID:IHt852yL
979 :SCREEN:03/09/12 15:20 ID:760AOpOl
>>978
さらに自己レスです。
NetScreenのKBによるとNetScreenはMACアドレスによるフィルターは支援されないそうです。
ポリシーベースでIPアドレスでのフィルターで我慢汁って事だってさ。
さらに自己レスです。
NetScreenのKBによるとNetScreenはMACアドレスによるフィルターは支援されないそうです。
ポリシーベースでIPアドレスでのフィルターで我慢汁って事だってさ。
980 :わむて ◆wamuteW7DE :03/09/12 17:47 ID:???
___
<_葱王>
/ i レノノ))) \ / ̄ ̄ ̄ ̄ ̄
人il.゚ ヮ゚ノ人 < みるまらーーーー!
⊂)Y iつ \_______
/ ̄ ̄ ̄ ̄ ̄ヽ
| ̄ ̄ ̄ ̄ ̄ ̄|
| __ |
人人人人人人人人 | / / | 从人人人人人人人人人人人人
< わむて!わむて!> | / --― | <
< わむて!わむて!> |  ̄ ̄/ / | < わむて! わむて! わむて!
< わむて!わむて!> | __/ /__ | < わむて! わむて! わむて!
∨∨∨∨∨∨∨∨ | | / | < わむて! わむて! わむて!
| | / | <
| |/ | ∨∨∨∨∨∨∨∨∨∨∨∨∨∨
∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧
( ) ( )( ) ( ) ( )( ) ( ) ( ) ( ) ( ) ( )
∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧
( ) ( )( ) ( ) ( ) ( ) ( ) ( )( ) ( ) ( )
∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧
<_葱王>
/ i レノノ))) \ / ̄ ̄ ̄ ̄ ̄
人il.゚ ヮ゚ノ人 < みるまらーーーー!
⊂)Y iつ \_______
/ ̄ ̄ ̄ ̄ ̄ヽ
| ̄ ̄ ̄ ̄ ̄ ̄|
| __ |
人人人人人人人人 | / / | 从人人人人人人人人人人人人
< わむて!わむて!> | / --― | <
< わむて!わむて!> |  ̄ ̄/ / | < わむて! わむて! わむて!
< わむて!わむて!> | __/ /__ | < わむて! わむて! わむて!
∨∨∨∨∨∨∨∨ | | / | < わむて! わむて! わむて!
| | / | <
| |/ | ∨∨∨∨∨∨∨∨∨∨∨∨∨∨
∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧
( ) ( )( ) ( ) ( )( ) ( ) ( ) ( ) ( ) ( )
∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧
( ) ( )( ) ( ) ( ) ( ) ( ) ( )( ) ( ) ( )
∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧__∧ ∧∧ ∧__∧ ∧
981 :QUICK:03/09/17 23:43 ID:Inm24nN4
教えてください。
NS−204とAR410を使用してにインターネットVPN接続時の
実際の速度はどの程度でしょうか。
NS−204側はBフレッツ、AR410側はADSLの場合です。
AR410は20拠点程度になると思います。
NS−204とAR410を使用してにインターネットVPN接続時の
実際の速度はどの程度でしょうか。
NS−204側はBフレッツ、AR410側はADSLの場合です。
AR410は20拠点程度になると思います。
982 :anonymous@ YahooBB219176243078.bbtec.net:03/09/18 01:15 ID:H0vZxgb4
983 :やばいど:03/09/18 19:49 ID:ySejEkFr
この系のルータ。
弱いぞ。
再〇〇を何回もすることになるが、それでもよければどうぞ。
弱いぞ。
再〇〇を何回もすることになるが、それでもよければどうぞ。
>981
そんなのわからんでしょ
ADSLなんだから、場所によって速度違うし
そんなのわからんでしょ
ADSLなんだから、場所によって速度違うし
>>981
スループット100%で10Kbps、バーストで300Kbpsくらいでは
NBTのファイルコピーが平均で10Kbyte/Secくらいかな
ADSL+IPsecでNBTのファイル共有を使うという
アフォとしか思えない提案をさせられそうに成りましたが
この試験結果出したら寸でのところで潰すことができました、良かった
スループット100%で10Kbps、バーストで300Kbpsくらいでは
NBTのファイルコピーが平均で10Kbyte/Secくらいかな
ADSL+IPsecでNBTのファイル共有を使うという
アフォとしか思えない提案をさせられそうに成りましたが
この試験結果出したら寸でのところで潰すことができました、良かった
で、次スレは?