1 :
ScreenOS :
03/09/30 11:51 ID:qw83lwUS
2 :
:03/09/30 11:52 ID:qw83lwUS
いきなりdat落ちして即死だったので、立て直しました
hosyu
4 :
4ゲト :03/10/02 00:50 ID:???
またdat落ちするんじゃないの?
5 :
:03/10/02 15:04 ID:???
5GTのウィルス駆除機能マダァ?
>2 カタログにあるような質問で終わってたから、 dat落ちに気づかなかったよ(w; 皆で無視して、ほっとかれたんだと思ってた。
7 :
えりか :03/10/06 09:16 ID:r3SeAti8
聞いた情報 リリース来年になりそう 別途ライセンスが必要 価格未定 シグネチャはトレンドが供給
8 :
◆QA.F.72086 :03/10/07 05:42 ID:aRZEpiaC
__ ,r=''""゙゙゙li, _,、r=====、、,,_ ,r!' ...::;il! ,r!'゙゙´ `'ヾ;、, ..::::;r!'゙ ,i{゙‐'_,,_ :l}..::;r!゙ . ,r!'゙´ ´-ー‐‐==、;;;:.... :;l!:;r゙ ,rジ `~''=;;:;il!::'li . ill゙ .... .:;ll:::: ゙li ..il' ' ' '‐‐===、;;;;;;;:.... .;;il!:: ,il! ..ll `"゙''l{::: ,,;r'゙ ..'l! . . . . . . ::l}::;rll(, 'i, ' ' -=====‐ー《:::il::゙ヾ;、 ゙i、 ::li:il:: ゙'\ ゙li、 ..........,,ノ;i!:.... `' 、 ノハヽヽo∈ `'=、:::::;;、:、===''ジ゙'==-、、,,,__ `' (’ー’*川 <GJやよ〜! `~''''===''"゙´ ~`''ー ( )) 丿 |
で、5GTってどうよ。情報キボン
10 :
anonymous@ h121.p240.iij4u.or.jp :03/10/09 18:29 ID:rDrSaarI
気づいていないのか、ごまかされているのか、ベンダーからのアナウンスを
貰ってないところが多いようなので。。
5系を拠点において、DHCPサーバになっているなんてことは
結構あるからねぇ。
ttp://www.netscreen.com/services/security/alerts/10_01_03_57983_v003.jsp -----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Title: NetScreen Advisory 57983
Version: 1
Original Publication Date: 2 October 2003
Last Updated: 2 October 2003
Impact: Potential Leakage of Sensitive Information via DHCP Offer
Affected Products: NetScreen Firewall/VPN appliances and systems
acting as DHCP Servers running ScreenOS versions up through 4.0.3r3.
11 :
1 :03/10/09 23:38 ID:4LO04M0/
ネットスクリーンリモートって普通につかえる? ルータ等、通さないでPC直付けでセンター側5XPでプログラム(ファイルメーカ) を動かしたい。拠点AB(どちらもリモート)から同時に5XPにアクセスできる?
12 :
:03/10/10 06:40 ID:???
>>11 ライセンスさえオーバーしなければ普通に使えると思うが?
>>1 乙!!
俺は立てられなかったので感謝します
14 :
TV会議 :03/10/11 00:48 ID:gWMxfktl
NetScreenでInternetVPN構築済みです。 そこにTV会議のシステムを載せたいがTV会議のベンダー に「WAN上にIPマルチキャストが通らないとダメ」と言われた。 拠点が100以上ある為、ユニキャストでは現実的にダメらしい。 NetScreenのInternetVPN上でIPマルチキャストが通るか 誰か教えて下さい。 宜しくお願いします。
15 :
えりか :03/10/11 01:27 ID:2HudAUq/
>14 ある筋によれば 現状のScreeOS4.Xではマルチキャスト通信には対応していません。でも、対応版はありー将来的には出荷されるでしょう それより問題は SIP or H323ではないでしょか?
>>14 とりあえずマルチキャストパケットがどうやってルーティングされるのか仕組みを勉強した方がいいと思うぞ。DVMRPとかPIMとか。そもそもどうすればWAN上にマルチキャストを通せるのか理解してますか?
製品は何であれIPsec VPNでマルチキャストを通す方法はGREでユニキャストにカプセリングして送る以外にあるんだろうか?
17 :
えりか :03/10/11 02:34 ID:2HudAUq/
>>16 私は IPSEC上で流せると信じています。
ただし・サポートしている物があるか知りませんが
NS はrouteBaseVPNがあり、これとマルチキャスト対応で網は完成
後は FWのプロトコルサポートと考えています
ご意見聞かせてください
18 :
? :03/10/11 03:48 ID:???
普通にIPだからIPSecに乗せること自体は何の問題もないでしょう NS自体はPimを喋れなくても、 Trustから入ったマルチキャストを透過してトンネルに乗せて流すようなモードがあれば、 両端のNSの下にPim喋るルータがいればマルチキャストをForwardできるのでは? でもEtherをカプセルするわけじゃないから、SrcMACとDstMACが変わっちゃいますね Srcは変わってもいいだろうから、DstはNSがプロトコル判別してつければ問題ないのかな? ていうか、NSがマルチキャストルーティングに対応すればいいだけの話か、、、
19 :
5XT :03/10/12 16:19 ID:Ohe7EHnh
NetScreen 5XTではPPPoE unnumbered設定を教えてください。 Bフレッツビジネス、IIJ16IPです。
20 :
19 :03/10/12 16:25 ID:Ohe7EHnh
ファーム4.0.3r3です
21 :
:03/10/12 16:39 ID:???
22 :
えりか :03/10/13 18:30 ID:rQw9c/HC
>>19 >>21 マニュアルには書いていない設定が多数ありますよ!!
そもそも、NSは、Unnuberedに対応した製品ではない!!
工夫により動作は、しますが!!こんなので何とか動く。
set pppoe username XXXX password YYYY
set pppoe netmask 255.255.255.255
set pppoe idel-interval 0
set pppoe auto-connect XX
set vr VRNAME ignore-subnet-conflict
set flow all-tcp-mss XXXX
set flow tcp-mss XXXX
23 :
_ :03/10/13 18:53 ID:???
>>22 いや、pppoe-unnumberedってのを実装しているとこはドコも
ないんじゃないかな。
IP layerのpoint-to-point unnumbered-link対応は、ルータと
して発展してきた普通のアプライアンスなら普通に実装してる。
>>17 IPsec SAって何をモトネタにどう確立するのかご存知でつか。
peer-to-peerのtunnel/transport-mode以外にタワゴトレベル
でなく使える形態ってあったっけ?
24 :
えりか :03/10/13 21:50 ID:rQw9c/HC
>>23 新参者なのにでしゃばるつもりはないのですが。。
NSは、Firewallを主に設計されたため、Routerの機能が充実していません。
ICMPのサポート・MTUやPPPoEにおいてもUntrustedをUnnumberにすることもできないようです。
そのため、(無理やり)いろいろな工夫が必要になります。経験上!!
また、NetScreenの機能にunnumberd-TunnelInterfaceという独自のVPNの設定があり、
SAはUntrusted同士でESPのTunnelModeで張りますが、ユーザには相手のTunnelInterfaceがダイレクトに
自分のNetに接続した形で見えます。あくまでも見かけ上です。
そのため、ユーザ設定は、自分のTunnelInterfaceにRoutingを設定するだけで、対向先に流れる設定も可能です。
当然、PolicyやIntraBlockに関連しますが。
しかしながら、MulticastRoutingに関しては、現在対応していないようです。
個人的な意見ですが、将来のScreenOSに期待しています!!!
25 :
? :03/10/13 22:13 ID:???
>>24 >>23 は、UnnumberdはPPPoEがどうのじゃなくて
PPPのカプセルが設定されたインターフェイスに対して設定されるものだから
OverEtherだろうがOverFrame Relayだろうが
下のレイヤは関係ないって意味かと
あと、NS自体のマニュアルかは分からんけど、
代理店がくれるマニュアルにはUnnumberdの設定方法が書いてありますよ、
住商と日立しか知らないけど
マルチキャストについては同意
というか、別に両端のTrustをBridgeするような動きが無くても、
出し側でマルチキャストのDst-IPが解釈できて、
受け側でDst-IP毎に対象プロトコルのDst-MACに付け替える実装ができれば、
出し側がマルチキャストをESPでカプセルしてトンネルに乗せることも、
受け側がそれをTrustにForwardすることも可能かと
26 :
えりか :03/10/13 22:39 ID:rQw9c/HC
>>25 さん、解説ありがとうございます。
どうも、理解力が乏しくてすみません。
>>23 さん、変な問答になり、気を悪くしないでください。
結構苦労して使っているため、知識を共有したくって!
27 :
TV会議 :03/10/13 23:00 ID:xid36wnT
皆様ご回答有難うござます。 IPSecはどうも苦手でして・・・。 ユニキャストではセンター回線の帯域が逼迫する為 TV会議はあきらめます。 有難うござまいました。
28 :
_ :03/10/14 00:42 ID:???
>>24 それだと、結局sender側に位置するMC/VPN routerと回線は大変な負
荷を背負うんじゃないかな(沢山のSA handlingしながらreceiver宛
のmulticast packetをコピーしては沢山のtunnle-linkへ一々暗号化
して転送し...)。GREやIP over IP + IPsecでtunnlingしてmulticast
routing/proxyingすると同様に。
そういう負荷の発生を抑止できて、はじめてIP multicastがすんなり
IPsecに載った; といえるんじゃないかな。
29 :
anonymous@ real2.kabutatu.com :03/10/14 16:52 ID:nCsi1PED
ファームアップ中ハングしちゃった。WebUIとコンソールとも接続不能。 どうしよう
30 :
:03/10/14 17:39 ID:???
起動時に Hit any key for Boot/Diag mode のところで止めて tftpでファームの転送すればいいんじゃない?
31 :
名無し :03/10/14 20:03 ID:???
>30 いや、そういう意味じゃなくて、現場に誰もいない状態で リモートからファームアップしたんでは?
32 :
ななし :03/10/15 00:24 ID:???
33 :
えりか :03/10/15 00:30 ID:Qn0CGOg2
>>28 そうですね。Router(NS)の負荷は大変重くなりそうですね。
考えてもみませんでした。
NSは、ASICですといわれますがこの辺はすべてCPU処理でしょうから。。。
他製品でMulticastRouter+IPSecはあるのでしょうか?
GREのTunnel経由ではMulticastも対応した高速なものもあるのでしょうか?
勉強不足ですみませんが、ご存知でしたら教えてください。
34 :
えりか :03/10/15 00:51 ID:Qn0CGOg2
>>32 英語の解釈の問題では?
The NetScreen Device must have a public IP address.
This IP address must be a static IP address, and cannot be DHCP or PPPoE.
PublicのFIXIPが必要です。DHCP/PPPoEは、FIXIPをさしていないと思います。
また、自宅ですがScreenOS4.00Dial2で、
CableからDHCPでGlobalをもらっていますが、問題なく動いてますよ。
また、ここではNAT-Tとは、関係ないと思います。
Flet'sの固定IPサービスでも利用できると思いますが。。。
35 :
:03/10/15 06:00 ID:???
>>28 、
>>33 非マルチキャスト対応なIPクラウドの両端デバイスでマルチキャストを
送受信することを目的とするGREのマルチキャストトンネルと、
VPN上のユニキャストトラフィックを軽減するためにマルチキャストをVPNにのせることは、
目的が違うので比べることじゃないでしょう。
負荷に関しては同程度のユニキャストを処理するときより負荷が高いわけではないから、
マルチキャスト対応してトラフィックそのものを減らすことの意味は十分にあるのでは?
RFC無視しまくりになっても、謎の独自インプリでマルチキャストを処理させたら面白いと思うんだけどな
#どうせ、今のLBやらFWって802.xやRFC無視しまくりだし
少なくともGREoverIPsecよりはオーバーヘッドは少ないと思うんだけど、どうでしょう?
36 :
ななし :03/10/15 06:38 ID:???
>>34 DHCPかPPPoEであっても、固定IPなら問題ない。
という解釈で良いんですかね。
NetScreen-Remoteが届いたら試してみます。
37 :
anonymous@ ntt2-ppp413.gunma.sannet.ne.jp :03/10/15 14:55 ID:M76hNPl+
すみませんがどなたか NetScreen-Remoteが問題なく使用できる ブロードバンドルーターを教えていただけないでしょうか? 実は現在使用中の某メーカー製ルーターが NetScreen-Remoteを使用すると100%フリーズしてしまうのです。
38 :
俺様 :03/10/15 19:41 ID:???
39 :
名無し :03/10/15 20:22 ID:???
>38 Y社のルータといえば、nessus使って、(管理下の外部)サーバをテストをすると、 自分のところのルータが落ちて、随分泣かされました。 ルータにアタックなんてしてないし、nessusの設定も、危険な試験は オフにしてたのに。。
40 :
37 :03/10/15 20:52 ID:???
いやB社(前はM)です。安かったので選んだのですが・・・。
41 :
1 :03/10/16 00:11 ID:ztFhs6Ei
..37 netscreen remote の接続の仕方教えて。詳しくどうやって相手のフォルダ とかファイルみてんの?
42 :
えりか :03/10/16 00:25 ID:8L9FhjJ0
>>37 Routerが落ちる理由は、IPSECのTunnelを2本以上張った場合ですか?
以前、私もM社のRouterはダメだと聞きました。
NAT環境でNSRemoteを使っている人も多いと思いますが、
実績あるBBRouterがわからないので、会社ではNS5にしちゃいました。
43 :
えりか :03/10/16 00:36 ID:8L9FhjJ0
>>35 NetScreenのMulticast対応版の仕様が入手できたらご報告します。
正式リリースはまだのようですが、alpha/Bata版ぐらいはあるかも。
お友達ネットで確認します。
ところで、Multicastを使って利用する主なサービス・アプリって何?
(この期におよんでお恥ずかしい話ですが)
TV会議は、GateKeeperとMCUを使って、ユニキャストですると思ってました。
44 :
36 :03/10/16 01:17 ID:???
普通に使えますた。 お騒がせしてすいませんでした。
45 :
俺様 :03/10/16 05:42 ID:???
>>43 IP−PBXのIP内線の一部の機能で使うメーカもあります
46 :
:03/10/16 06:04 ID:???
>>43 マルチキャストでのデータ同期って、サーバ多いとFTPやNFSよりずっと効率がいいんで、
いくつものロケーションのサーバ間でVPN経由でデータ同期できたら面白いかも
一般のエンタープライズユースだと、リアルタイムの情報配信が主じゃないかな
プロトコルはまちまちだろうし、ベンダ独自だったりするかも
47 :
37 :03/10/16 20:43 ID:9aZRMH+I
Tunnelは1本だけです。 というかNetscreen-Remoteのログを見る限り、 相手側からの信号が帰ってきた瞬間にルーターが落ちてしまい、 まったく接続ができない状態です。 >会社ではNS5にしちゃいました。 予算があれば・・・
48 :
27 :03/10/16 23:13 ID:lEFtSvTZ
>>43 Multicast対応版の仕様が出たら是非教えて下さい!
TV会議でもPC画面上で動くもの(MPEGx系)はuni/Multi
のマルチ仕様(ダジャレではありません)が多いようです。
通常のTV画面でのTV会議システム(MCU制御)はuni
だけだと思います。
49 :
えりか :03/10/17 02:24 ID:3krn1yl9
>>47 信号が帰ってくると落ちる?
EtherREAL等で両端のSnifferをとると犯人がわかるかも?
NSRemoteのLogViewerで見えるだとするとIKEのネゴの様子だと思われますが。
IKEは、UDPですよ!!特定のBitPatternで落ちるRouterだとすると。
格好のDoSターゲットだ!!
いずれにしろRouterメーカに問い合わせてみればどうでしょう!!
50 :
37 :03/10/17 12:37 ID:???
えりかさん、何度も答えていただきありがとうございます。 実は、Routerメーカにはすでに問い合わせ済みで、 「現在、その会社のルータではNSRemoteは正常動作しない」 「原因調査中であるが、問題解決時期は不明」 「NSRemoteの使用を前提として購入したのであれば返品を受け付ける」 との回答を得ており、 問題のルータを返品してNSRemote対応のルーターに買い換えようと 思っている所なのです。 えりかさんの書き込みを読ませていただき、 BIOSのアップデートで解決できそうな気がしているのですが、 待っている時間があまりないので、ほかのルータに買い替えようと思います。
51 :
51 :03/10/18 09:26 ID:kSw7TkB1
NSREMOTEはUDP500を使用して、NATtraversalするのですが UDP500はVPNパスするーの対象パケットでもあるため各社のルータは VPNパスするーの設定をOFFした時の挙動が違うのです。 まじで。 OFFするとフィルタリングするものとちゃんとNAPTしてくれるものがある。 ひどいのはBuf××のルータで、固まる。。 つーか、さっさと500番つかうのやめてくれ。→NS社 アメリカじゃそういうのはないんだろうけど。日本の激安ルータはねぇ。
52 :
37 :03/10/18 09:32 ID:???
>>51 >ちゃんとNAPTしてくれるものがある。
できればその製品名を教えていただけないでしょうか・・・。
53 :
51 :03/10/18 10:52 ID:kSw7TkB1
海外ものおよびVPNパスするーの機能がついていないものは大丈夫。 安く済ますならLANEEDの一昔前のVPNパスするー機能なしのものがあれば。 アライドテレシスARルータとか。 VPNパスするーがついていてOKなのはNEC製Aterm、YAMAHA(セキュリティレベル変える必要あり) だめなのはLANEED、OMROM、Planex、メルコ、Corega(Coregaは上位機種は大丈夫かも) VPNパスするーOFFにもできないか、OFFしたらUDP500をまともに通さない。 あ、でも、IPsecができるLD-BBR4M3なんかはOKだったり。 ファームウェアがあがっていくとどうなっているか保証の限りではないです。
54 :
37 :03/10/18 18:04 ID:???
>>53 助かりました。ありがとうございます!!!
55 :
えりか :03/10/18 22:08 ID:fmJaLi4I
>>51 NAT-Tで使うUDP500は
一般的な事だと思っていました
その他の物や変更できるソフトウェアありますか
携帯からなので...
56 :
:03/10/18 22:08 ID:???
ネットスクリーンに限らず、今のIP-secって、企業間の通信 に使うのって駄目じゃない? セキュリティは守れるかも知れないけれど、インターネットに 接続されている、NSに向かって、ある特定のパターンのパケット を送れば、通信がほとんど出来ない状態にする事なんてIPアドレス が分かれば簡単なわけで。 NSがバグっていると言う意味ではなくて、今のIP-Secのプロトコル の構造はそう言う仕様になってますから。 インターネットに繋いで重要な(切れちゃいけない)通信をIP-Sec でやろうと考えるのはすすめないけれど、どうしてもやりたいなら ルータで細かく対地ごとにフィルタしといたほうがいいです。
57 :
51 :03/10/19 08:17 ID:kmSoPNrX
>>55 UDP500はSAの確立では一般的なことですが、Nattraversalではそうでもないようです。
ほかのメーカは、ポート番号変更や、UDPではなくTCPにできたり¨
Windows2003は、NattraversalができてUDP4500なんですか?
誰か教えてください。
NattraversalのRFC-draftにはUDP500とはかかれていなかったような。
されども私はNetscreen派ですが
NS社がんばれー
はじめまして。 5GTについて質問があります。 DMZのようなセグメントを作ることはできるのでしょうか。 ホームとかワークエリアを作成することが・・と説明されている ところがあるのですがよくわかりません。 ご存知の方がいましたらお願いします。
59 :
う :03/10/21 02:37 ID:4hWuFxeA
そう、TCPできないと結構こまるのよ それが理由でシスコに変えました、高かったけど
60 :
えりか :03/10/21 03:16 ID:JX9hszNS
>>57 >>59 そうなんですか。TCPですか!
SecurityGate同士がTCPseesionを張って通過させると言う意味ですよね。
回線品質が悪い状況には、非常に強いと思われますね。
Flet's網なんかに最適となるのでしょうか。
Draft段階ですが、この状況では、Interoperablityはなさそうですね。
どうなることやら、NSさん!!NSRemoteのSafeNetさん!!
61 :
えりか :03/10/21 03:27 ID:JX9hszNS
>>58 あまり、詳しくはないのですが、
ScreenOS400DialというFirmwareでは、オペレーションモードがあって
DualUntrustやHOME/WORKゾーンの定義が可能です。
5GTを家に置き、WORKZONEはVPNで会社とつないだPC、Homeゾーンは家庭の子供のPCをつなぐ。
こんな用途を想定しているようです。
DMZを作成する目的により代替の機能になるか否か判断してください。
また、通常の3ゾーン構成と異なり、ポリシー制御に制限があり、
Home->Workは通信できないようです。
やったことがないので、詳しい方、加筆していただくと助かります。
あぼーん
>61 ありがとうございます。 ネットワークセグメントを3つ持てるということでしょうか。 表現が難しくって。。 Home->Workへのポリシーを作成できないというのは 勉強になりました。 またその逆も同様ということですね。 ポリシー作成はUntrust-Home、Untrust-Work間での 作成のみということでしょうか。
64 :
えりか :03/10/21 13:38 ID:A1l8ynB0
ScreenOS5.0が11月に出るみたいでつね
66 :
5XT :03/10/21 16:42 ID:EMVMPZGy
>>63 5XT + 4.0.0DIAL2r3使っている。DMZ問題なく構成できると思う。
Work/Homeモードで動作させている。
WorkゾーンIFをNATモードで動作させ、プライベートIPでUntrustゾーンにアクセスする。
HomeゾーンIFをROUTEモードで動作させ、グローバルIPを割り当てる。
HomeゾーンのホストをUntrustに公開するには、Policyを追加する。
Untrust -> Home : Address:Service : Permit
という感じで、UntrustからHomeへのアクセスは可能になる。
67 :
ちんた :03/10/22 09:18 ID:???
>>61 >>66 ありがとうございます。
これで購入に踏み切れそうです。
あとは実機で試験してみます。
68 :
anonymous@ server1.micnet-unet.ocn.ne.jp :03/10/23 11:06 ID:yk+0vsrC
はじめまして。 このたびネットスクリーン25を購入いたしました。 センター側 Netscreen25 拠点側(5拠点) RTX1000 でVPNを組んでいますが、センター-拠点間のVPNがうまくいきません。 VPNはアップリンクしますが、センターのWEBも閲覧できない状況です。 本社-拠点間はBフレです。平均Ping 10msです。 拠点間同士はRTX1000同士でリンクさせ安定しています。 YAMAHAとつなぐときにはノウハウがいるそうなのですが、ぜひ構築されたかたがおられれば教えてください。
69 :
_ :03/10/23 23:36 ID:???
70 :
USGA :03/10/26 13:24 ID:???
71 :
_ :03/10/27 14:35 ID:???
>70 接続互換性が良くて、安く仕上げたければ、 OpenBSDベースのものとか使うっていうのは無し?(w; アクセラレータカード、カーネルでサポートしてます。 VPNスループットは、数万円の安カードで(33MHz PCI) 64byteショートパケット時 70M bps 1024byteパケットで、185Mbps 4096byteで200Mbps 20万程度のカードの場合は 64byteで、129Mbps 1024byteで、442Mbps 4096byteで、504Mbps ポート増設も可能だし、Portレベルの冗長化も図れます。(w;
72 :
えりか :03/10/29 02:17 ID:0N/IrBI6
>>71 ちょっと話題がそれるかもしれないけど、興味深々です。
FeeBSDでIPSEC+IKE(PreSharedKey)なんてやったことあります?
もしかしてNAT-Tなんかできると最高です?
現在、NSRemoteでメンテをしているのが楽になる(@@)\\\
情報ありますか?
73 :
えりか :03/10/29 02:24 ID:0N/IrBI6
NS5GTのAV機能が動き始めそうです。 価格は、1年間の保守込みで1.5倍から2倍位になりそうです。 なんたってSignitureの随時更新があるそうです。 また、来年にかけていろんな商品が出て来るそうな!! とりあえず、ご報告まで。。。正確な情報になったら再度流します。。。 NS社がんばれーーー。
74 :
71 :03/10/29 03:21 ID:???
>72 もちろんあります。 OpenBSDでもやりました。 NAT-TraversalもOKです。 NS-Remoteとの接続も(センター側に*BSD) NetScreenとの接続も経験ありますよ。 このカードで対抗できるのは、NS500で負け。NS5200でNSの勝ち。。 実用上は、、ですね。 #*BSDを PPPoE unnumbered で利用するなんていうことは良くあります。 # Linuxベースの場合もあります。NSの代わりに納品もありです。
75 :
71 :03/10/29 03:33 ID:???
>72 PreShared Keyだけでなく、Open SSLでのCA接続の実績もあります。 IPsecの相互接続性は、こちらの方が高い 導入費用を下げられる 中堅どころの価格帯でポート増設可能 1000base-Tポートが使える 年間保守費用を抑えられる もちろん、冗長化の対応が可能 といった理由で、こちらになることが多くなってきました。 snort組み込んで、FW/VPN/IDPゲートウェイにするところまでは やっております。 現在、AV GW機能を組み込む試験中です。
76 :
:03/10/29 23:17 ID:???
>>75 ハードだけなら安そうだが、メンテナンスなどトータルで考えるとNetscreenのほうが安そうだ
77 :
75 :03/10/29 23:47 ID:???
>76 安心してください。FW-1風のGUIとかつけてるので、 操作は普通にできますよ。 なおNS200系より安くなってます。納品価格とか、保守料金もね。 性能はNS500級のものとの比較 AVは、別にライセンスフィー体系がなるので、なんとも言えないけど。
78 :
:03/10/30 00:11 ID:???
>>77 VPN専用のアクセラレーションの性能だけでは何とも言えないな
Firewallとしての性能はどのくらい出せるの?
Firewallもアクセラレータ処理?それともBSDのカーネルがやるの?
5000con/secとかいける?
NAT性能は?
冗長化の方式は?
ルーティングプロトコルは何が使える?
っていうか提案書ください(W
79 :
77 :03/10/30 01:19 ID:???
>78 FireWall部は、BSD側でやります。 CPU性能にもよりますが、新規コネクション数は、余裕がありますよ。 IKE新規ネゴで、2000-3000/secぐらい。 冗長化は、要件によって、変えているけれども、 1) IP 2個での切り替え 2) IP 2個 仮想IP 1個での切り替え の2種類 ルーティングプロトコルは、Unixで使えるものなら、 なんでも使ってください。その分、他の性能に少しは 影響が出ますし、FireWallで止めたら使えないですけど > っていうか提案書ください(W 作っている最中です.(w マジレスしてしまった。
80 :
:03/10/31 03:52 ID:???
>>77 いや、メンテナンスなどのトータルていうのは、
通常のOSベースだと、もちろんHDDが付いてるだろうし、
また、OSインストールやアップグレードの際にも、Netscreenみたいにフラッシュに転送して
コンフィグ入力だけみたいに簡単にいかなそうってこと
またコンフィグバックアップも、単にテキストコピーでは済まずに、めんどくさそう
Firewall-1/VPN-1 などの置き換えには向いているかもしれないが、
81 :
77 :03/10/31 04:12 ID:???
>80 OSはアプライアンス化しているので、インストール済み アップグレードは、パッケージ化しているので、コマンド一発 Conifg は、基本的にテキストファイルです。 まとめて取得・展開するために、tarballのアップロード ダウンロードにはなってしまうけど。 NSの場合でも、OSのアップグレード・ダウングレードの 注意点が色々出るのと同じ程度の手間はありますけどね。 まあ、BIG-IPよりは楽だと思います。(用途が違うものを比較して しまった)RSSAなどより、、というべきでしたかね。 #しかしロードバランサって何であんなにメンテが不便なのか #LPしかり。。 まあ、いずれにせよ、センター向けであって、 拠点向けでは無いですが。 # 拠点利用にはNS5が好きです。サポートフィーも安めだから。
82 :
ななし :03/10/31 05:06 ID:???
>>79 *BSDのIPsecはkameですか。
NAT Traversalを独自に作りこまれたという事でしょうか。
83 :
79 :03/10/31 21:00 ID:???
84 :
:03/11/10 01:12 ID:V50Ijv7G
このスレでスレ違いな自社製品の売り込みやるやつがきてから、急に人がこなくなったな 売り込みならVPNスレでやれ
85 :
ななし :03/11/11 08:08 ID:???
86 :
anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp :03/11/12 00:48 ID:f372j9lG
>>85 リモートVPNのクライアント数いくつかな?
87 :
85 :03/11/12 08:39 ID:???
プラットホームへ逝ったら、5XTより5GTが安い。 フォーティゲートの影響下とおもうが、機能的には5GT>=5XTなのに、 金額が5GT<5XT!!! 5XTを買ったのに・・・・
89 :
anonymous@ wacc1s4.ezweb.ne.jp :03/11/12 19:58 ID:gceWbGQ/
NSのVPNクライアントって別料金ですか?
>89 別料金です。
ぷらっとほーむで128k円か〜 ファイバ導入に合わせて自宅用に購入してみようかしら。
>>90 クライアント料金無料か、10ライセンスぐらいバンドルの製品ってないですか?
今のルーターADSL8Mの時購入したのに、回線だけBフレッツにアップグレード したんで、性能出てないんですよね。 FW未導入だったので購入予定だったのですが、VPNは会社的にあくまでオマケ。 だからクライアントライセンス別途有料だと厳しいんです。
94 :
名無し :03/11/13 00:56 ID:???
>93
Win2KやXPなら下記のように内蔵のIPsecで接続させることも可能です。
ttp://services.netscreen.com/eserverweb/esupport_customer/consumer/esupport.asp ?id=GUID1f30e2e1%5Ff027%5F461d%5F9545%5Fa6461774873c&resource=&number=1
&isExternal=0&nShowFacts=&nShowCause=&nShowChange=&nShowAddInfo=
&activepage=statement.asp&bForceMatch=False&strCurrentSymptom=&searchtype
=normal&searchclass=QuickSearch&bnewsession=false&selecttype=match
>94 94=90
5GT Plus導入検討中♪
予算ないので、
>>94 の方法試してみたいな
MacってNetScreenでリモートVPN出来ないんですか?
>97 できるよ。ちゃんとVPNソフト入れて設定すれば。 ただし、対応OS(パッチ適用レベルまで)しっかり合わす必要あるけどね。
99 :
USGA :03/11/22 16:15 ID:???
ScreenOS 5を手に入れた人いる? Deep Inspectionでどこまで見れるのだろう・・・
100 :
__ :03/11/22 19:26 ID:???
alarm LEDってどうやって消すの? リブートしかない??
Solution ID: nskb1074 >clear led alarm FAQなのでKBに載ってたよ。
102 :
anonymous@ wacc2s3.ezweb.ne.jp :03/11/25 18:37 ID:9edHvz3G
保守払ってますか?
103 :
anonymous@ usen-221x115x149x106.ap-US01.usen.ad.jp :03/11/25 20:09 ID:0ibOxR+2
5GT(10User)の導入を検討中です。 ScreenOS DIAL版って標準OS?それとも別途購入が必要? いろいろなサイトを調べてみたのですがよく分かりませんでした。 ご存知の方いらっしゃいますか?
在宅勤務にしようかと思ってるのですが、5GTを個人で買うならドコがお勧めですか?
>104 NTT-COMとかどう? 確か回線契約とセットで買えるよ 本体とソフトウェアサブスクリプションだけでいいというなら、 どこか伝手があれば、そこから買うのが安いかも。 うまくすれば、本体は半額強で手に入るかもね
NetScreen25+OCNなBフレッツの環境でつかってます。 UnTrustなIFでPPPoEを行っているのですが、いわゆるネットワークアドレスが 割り振られ逆引きできない状態になってます。 OCNに問い合わせをしてみましたが、ネットワークアドレスには逆引き設定できないとのこと。 #InfoSphereはやってくれるのにな NATの外側のIPアドレスを明示的に指定する方法ってありますかね? いまのままだと、見れないサイトとかあるんですよ。
107 :
104 :03/11/26 12:48 ID:???
>>105 会社の分は、代理店からかなり安くかってるのだが 保守保守とうるさい
自宅分は自腹(手当ては出るが)なので、なるべく安く済ませたたいのです。
とは言え、外出先から自宅にリモートVPNもしたいからクライアントライセンスは買わないといけない。
SOHOな人たちどーしてんのかな?
>107 SSH tunnelingだったりします。 動的IPだったりした場合、その向こう側のサーバから、SSHセッション 張らさて、リバース操作で管理してたり。。 ありゃ、VPNの必要性が、、(汗) 前に書いたけど、出先からW2K/XPならOSのIPsecで Unix系入っているなら、Freewareで、、 Win98だと言われたら、、SSH tunnelかなぁ。(ttsshなど使って) どうにでもなります。>クライアント
109 :
104 :03/11/26 21:54 ID:???
>>108 NATトラバーサル機能が必要な環境のところにも外出するんだけど
リモートVPNクライアントなくても、どうにでもなりますか?
>109 ルータとかFWが問題無いことを前提にした上で、(これは必須) 問題ありません。
111 :
!! :03/11/26 23:04 ID:???
113 :
__ :03/11/27 07:56 ID:???
>101 Thanx!!
ScreenOS2.x/3.xマシンがバリバリ稼動中ですが、最近208と 500をインプリせねばならずScreenOS4.xと格闘中です。 技術講習にも参加しましたが、結局のところ3セグメント 以下の構成では3.xまでに比べ、設定が複雑になるだけで ScreenOS4.Xにするメリットはほぼないとの結論に達しつ つあります。 この理解で正しいでしょうか? 5XT/XPでScreenOS4.xにするメリットがあればだれか 教えてください。 また500のconfig例なんかがどっかに落ちてないかな?
115 :
:03/11/27 22:43 ID:???
>>114 MIBサポートが桁違いっていうのは理由にならないかな?
SNMPでまともな管理ができるのは4.xから
これは中規模以上の案件ではかなり重要じゃないかな?
3.x以前なんてprivate.3224にwalkかけてもなーんにも帰ってこないお粗末ぶりだったよね
あとは双方向NATのサポートとか
#俺も2.xの方が好きだけど
#いまでだに1.66使ってるとこあるよ
>114 メーカサポートの問題を忘れていますよ。 バグが原因になったトラブルの対応は、3系だと終息気味だから。 それが気にならない、セキュリティホールが出ても放っておける場合は別 SA使った際のバグ対処のためのアップデートしたら、SNMPがエンバグして くれたり、色々あっても、とりあえず現行OSベースなら、短期間に修正は されていますが。 #おそらくファームの開発チームが2つ独立で動いているせいなんでしょうね。 #NS500は、結局20数台しか導入したことが無いです。何をしたいのかが #あれば、ある程度の資料は出してあげられるかもしれませんけど。 #NS204/208は、数十台程度です。そんなに経験値無くてすみません。
UPnPに対応出来る? メッセンジャーによるファイル転送の許可/不許可を制御したいのです。
Mac OS9からリモートVPN利用出来ませんか?
120 :
ななしさん :03/12/02 13:04 ID:B1bhJpPD
AntiVirus機能対応age
>>106 >set pppoe static-ip
で設定できないかな。
122 :
名無しさん :03/12/07 22:44 ID:OqgThQCQ
ぷらっとほーむより安いところ見つけたよ。個人で買えるみたい
123 :
OSX :03/12/08 01:02 ID:???
Mac OSX 10.3 ではL2TP over IPsecとPPTPに対応してるらしいのですが 自宅や外出先から、Netscreenにリモートアクセス出来るように出来ないでしょうか? 既に試した方いませんか?
初期化するにはどうすればいいの?
ぷらっとなどで買った場合、1年過ぎたら保守契約延長はどこで契約するのでしょうか。 5XTや5XPで契約延長っておいくらなんでしょうか。 教えて君になってますね。すみません。
126 :
VPN :03/12/10 10:35 ID:???
>>125 ソフトバンクBBという会社がサポートしてくれるらしいよ。
まぁ、おおもとは日立なんだろーけど
127 :
anonymous@ 202.216.27.49 :03/12/15 16:47 ID:+Pmk5HNS
128 :
anonymous@ y065237.ppp.dion.ne.jp :03/12/18 21:41 ID:svIo2i3n
質問です。 IP8個もらえるサービスでBA8000ProとNetScreenを使ってVPNをしていたのですが、 ルーターが調子悪いので、別なルーターに変えたところ、 VPNクライアント側がグローバルIPだと繋がるのに、NAT配下だと繋がらなくなってしまいました。 NetScreenは何も弄っていません。 誰か解決方法を教えてください。
129 :
128 :03/12/18 21:45 ID:svIo2i3n
クライアント側がNATルーター配下でもPINGは通ります。 だれか教えて〜
>129 交換前のルータと交換後のルータの機種・型番などの情報と 設定情報を書いてくれれば対応できるかな。 ルータ買い換えましょうって結論になる可能性もあるけど。(汗)
131 :
128 :03/12/19 07:43 ID:Kewr1VMB
>>130 交換前はNTT-MEのBA8000Pro(PlanexのOEMのようです)
交換後はNTT-MEのMN8300(住友電工のOEM)
どっちも複数グローバルIPサービスで使っています。
132 :
128 :03/12/19 08:05 ID:Kewr1VMB
クライアント側のNATルーターはAterm DR322GVです。 今までは使えたのだから、こちらに原因はないのかな?? よろしくお願いします。
>131 MN8300<->NS間のIPsec? それとも、PC(IPsec Client)->MN8300<->NSのIPsec? IPsecパススルーの設定は?
134 :
128 :03/12/19 09:56 ID:t8LPTGt7
後者のほうです。 鯖〜NS〜MN8300 <-> Aterm〜VPNクライアント(プライベートIP) で繋がらなくなりました。 鯖〜NS〜MN8300 <-> VPNクライアント(グローバルIP)だと繋がります。 MN8300にも前に使っていたBA8000Proにもパススルーの設定はありませんでした。 ただ、MN8300はIPルーターモード(NATではない)で使用しているのでパススルーが機能していないような気がする。 なぜなんだ〜
135 :
128 :03/12/19 10:35 ID:jtnuca6S
別の古いISDNルーターで接続を試みたらなんと接続できました。 原因はAtermかクライアントパソコンにあるのかな?? 帰ってから原因追求してみます・・・
136 :
NS :03/12/22 14:30 ID:???
NS買って、サポートに電話したら導入時の設定についての問い合わせは有料だと相手にしてくれないんですが、NSってそーいう商品なの? NSは初めて買ったけど、過去に購入したネットワーク機器、シスコ、ヤマハではそんな事なかったのに...
>136 質問の内容によるんじゃないのかな?
>136 補足。。。 購入先にも寄ると思われます。 サポートしない分安い購入元を使った場合は、当然、そうなることが 予想されますね。(CISCOなどでもしかり) 購入元が代理店であっても同じです。 #うちは、タダでやってるけどさ。
139 :
りぃな :03/12/23 19:16 ID:d1747H4d
NetScreen5XTについて質問です。 ダイアルアップユーザーから管理したいのですが・・・ 許可するアドレスを限定するような事は可能でしょうか? ScreenOSは4.0.0です。 NSRemoteは8.0です。
140 :
松井 ◆...VBh.www :03/12/23 20:22 ID:0589NACm
突然ですが皆さん 創価学会についてどう思いますか? 興味ありましたらあなたの意見をお聞かせください YAHOOチャットの政治カテゴリのユーザールームに 創価学会YAHOO支部という部屋があります ただ今そちらで熱い議論を繰り広げております マイクを使ってボイスで討論もしています YAHOOにログイン後ご入室ください 心よりお待ち申し上げております 以上、宣伝でした
さげ
142 :
:03/12/30 01:34 ID:???
兄貴!SNMP で、アクティブなセッション数を取得する事は可能ですか!? MRTG 等のツールで、セッション数をグラフ化したいのです。 MIB ツリーにざっと目を通したのですが、俺様の脳では判断不能で御座います… # SNMP で無く、telnet > get session で取得した値を使う等の # トリッキーな方法なら出来そうですが ちなみに、ScreenOS の Version は 4.0.1r9 です。
内藤猛は使えん 筋肉鍛える暇があったら脳味噌鍛えろや
144 :
? :03/12/30 03:45 ID:???
>>142 Ciscoに比べれば階層浅いんだから、分かりそうな気がするんですが、、、
nsResSessionでMIBをgrepすれば多分見つかります
近くにCPU/Memoryもあります
145 :
:03/12/31 00:24 ID:???
>>144 private MIB の定義ファイルを拾ってきて grep かけた所、見つける事が出来ました。
というか、もっときちんとマニュアル読めや!っつー話すね。
大変失礼しました。
146 :
106 :04/01/05 15:35 ID:???
>121 set pppoe static-ip をやったあとに IPアドレス指定できました。 電源再投入して、PPPoEで再接続を試みたところ ルーティング情報が追加されず、WANとの疎通ができません。 (手動でStaticRouteにすれば可能・・・) すなおに安物ルータかませたほうがいいのかな?
VPNクライアントに払い出すIPアドレスって 社内LANと同じセグメントにする必要が有りますか? 違うセグメントのIPアドレスを払い出すことが可能な場合に、 ルーティングってどうやるの?
148 :
^^ :04/01/07 12:51 ID:???
>>147 必要はない。ルーティング気にして社内LAN側のインタフェースと
同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
クエストにNetScreen答えないからだめなり。
払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
ルーティングなんか気にしなくても、社内に出て行く側のインタフェース
で通信をNATすれば無問題
間違ってたらスマソ
149 :
149 :04/01/07 23:17 ID:???
で、結局5GTのPPPoE+NATのスピードってどのくらい出るの?
150 :
147 :04/01/08 00:29 ID:???
>>148 > 必要はない。ルーティング気にして社内LAN側のインタフェースと
> 同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
> クエストにNetScreen答えないからだめなり。
> 払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
Netscreen じゃProxyarp の設定はできないの?
あと払い出すIPアドレスって勝手に決めてもいいの?
151 :
148 :04/01/08 11:47 ID:???
>>150 ProxyArp の設定はできんと思う。
払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
けど、適当に設定すると心配しているとおり、default にのってくるの
でなければその払い出すアドレスへのルーティングが必要になる。
このためにルーティングを他のデバイスに設定してまわるのはかった
るいので、社内への通信を許可するポリシでNATするようにしておく。
こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
通信では払い出しアドレスを隠蔽できるってことなり。
152 :
147 :04/01/08 17:21 ID:???
>>151 > ProxyArp の設定はできんと思う。
> 払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
ありがとうございます。それを聞いて安心しますた。
あと、VPNで繋ぐときのID Type でメルアドを選択できるみたいなんですが
これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
よいのでしょうか?パスワードみたいなものですか?
何でメールアドレスになっているのかが疑問です。
>152 パスワードみたいなもんです。 なぜメールアドレスみたいになっているかというのに関しては、 CAのユーザ証明書の構造と対比させると納得できるかと思います。
154 :
148 :04/01/08 20:11 ID:???
>>152 >これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
>よいのでしょうか?パスワードみたいなものですか?
適当でいいです。これはなんらかの手段で接続しにきた相手を識別しないと
いけませんが、この用途に使っているだけなので。
ま、サーバでは渡されたID から誰かいな?ということでそのIDに関連した設定
をさがすわけでありんす。
debug ike detail & get dbuf st してやりとり見てみそ
155 :
147 :04/01/08 23:17 ID:???
だいぶ理解できてきました。 社内側のインターフェースのポリシーで NATするのに関連して、NAT Traversal(ESP over UDP?) も設定しないと駄目ですか? あと、クライアントが非固定IPアドレスの場合に pre-shared key による認証ってできるんでしょうか?
>155 >クライアントが非固定IPアドレスの場合に もちろん、可能。(aggressive) >NAT Traversal(ESP over UDP?) も設定しないと駄目ですか? NAT Traversalが何をしているものか考えてみてください。 操作自体より、仕組みを理解した方が応用が利くと思うよ。
157 :
5GT :04/01/11 18:54 ID:Rb8OcvMX
5GTを買ってきて接続してるとこです Trust側のWEB鯖をWAN側に公開したいのですがうまくいきません 固定IP1個しかなくVIPでポート80を割り当てました。
>>157 Global Policyの設定しましたか?
159 :
_ :04/01/24 17:40 ID:h95EA28C
age
160 :
帝王 :04/01/24 19:16 ID:fCej5XNE
代理店のHって最近ヘタってきてません? 確か世界でもトップクラスのディストリビュータだったはず。 会社の体質的に外資に着いて行けなくなってんだろうか?
161 :
:04/01/25 16:21 ID:???
>>160 Hって目立?
1わざわざ伏字にすることもないやん
162 :
:04/01/25 20:44 ID:???
config をコマンドとかで一発で消す方法ってありませんか? いじっていたら、訳が分らなくなってしまったので 一旦購入時の状態に戻したいのですが・・・
OS5.0, AV, DI, NSM, IDP, 新モデル...と まともに対応しようとしてる代理店なら, どこも年末からリソース食いまくってるはず。
>>162 unset all -> y
reset -> n -> y
165 :
? :04/01/25 21:17 ID:???
適当なスレが無いんでここで聞かせてください こんなDynamicNATの要件を満たすNAT箱ってありますか? 1.一定のレンジのIPをスプールしてDynamicNATしたい 2.スプールを有効利用するためにスプールから割り当てるIPは動的に振り分けたい 3.同一ユーザ(同一ローカルIP)の複数セッションが同じIPになるように割り当てたい 4.ProxyARPでは無くスプール専用のアドレス空間を持たせたい 5.RTSPに対応している 6.3000con/secのセッション処理性能 NetScreenだと3と4と5ができないんですよね、、、 DIPにレンジを持たせるとセッション毎に全IPでラウンドロビンになるし、 MIPはProxyARPで無くても使えるのにDIPはProxyARPしか使えない RTPなプロトコルも全滅 2,3が特に重要でIP割当は動的におこないつつ、 同じSourceIPのセッションがあるうちは同じグローバルIPを割当てたいんです 1000万越えも辞さないんで知ってたら教えてください
>165 *BSDベースのもので対応は可能だと思われますが、、 1000万出せば、要求満たす構成を組んでGUIを付けられると思われます。 (コネクション数は、もしHTTPSとかであれば、アクセラレータ搭載すると して計算してます)
167 :
165 :04/01/25 22:41 ID:???
>>166 レスサンクスです
それはベースの技術を元に顧客ごとに開発/カスタマイズするような
いわゆる組み込み系Firewallってやつでしょうか?
開発までやるだけの期間が取れそうに無いのと、
開発元は小さくてもいいですが、ある程度大きな保守ベンダで24/365サポートが必要なんです
#
>>165 から要件増えてますね(w
NOKIA/NetScreenは制約にかかりそうなんで他を探してる次第です
>167 ベースは既にあるので、カスタマイズといったところかな。 保守に関しては別会社で24/365やってるところに任せることは可能です。 ちょっとNS板から外れてしまいますが。 納期は、年度末でしょうか?それならば、なんとかなると思いますけど。 (おいおい、宣伝しても無駄だろうが>漏れ) 要件の1・2・3って、内(n)→外(m)ですよね。(n>m) 単純に、DHCPでクライアントにIP割り振って、そのIPに応じてDNATアドレス決めさせて しまうというのは有り?(笑)3の要件があるんで、接続中は固定にしたいわけだから。 どうしても、どこかに振りたいものは、MACアドレスとかで決めるとか、VLAN切るとか。 (いまのUNIX系は、ほぼ全て対応してるから) 認識間違ってたら、指摘してください。 ルーティングプロトコルは、必要なものを設定すればいいし。 GUI無しなら、大抵間に合うでしょうねぇ。 ENさんところとかSAさんところなんかだったら余裕かも。 SAさんところは24/365もやってるし。
>>165 3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
4. -> よくわからないが、DIPプールでは無くて?
5. -> 現行OSでは無理。マルチキャスト専用OSなら可
ここで聞くより代理店に聞いたほうがいいかと。
170 :
165 :04/01/26 15:16 ID:???
>>169 ありがとうございます。
>3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
SticyはSourceIPハッシュで完全に固定されてしまうので要件が満たせないんです。
> 4. -> よくわからないが、DIPプールでは無くて?
失礼しました、4に関してはExtend-IPで対応できるみたいですね
下調べが甘かったようです
>ここで聞くより代理店に聞いたほうがいいかと。
NetScreenについては最初に書いた"要件を満たせない"が
代理店の回答だったんですよ
付き合いのある代理店はみんなNSとFirewall-1ぐらいしか
ハイエンド機器は扱ってないんですよね
Ciscoじゃ到底要件満たせないですし
>>168 組み込み系も検討を始めました
#リンク張ってくれたらうれしいなーなんて思ったりして、、、
#それじゃ身元バレしちゃいますかね
>170
うちでも扱えるけど代理店じゃない製品にリンク張っておこう。
自分のところのは書けないから。。
ttp://www.astarosecuritylinux.jp/ 代理店は、FC
Linux KernelがSCTPはサポートしてるんで、このソフトが要件満たすかどうかは
知らないけど、まあ、似たようなことができる製品は、色々あるので。。
対応範囲とか確認してください。<球一
>171 寝ぼけたこと書いた>SCTP 忘れてくらはい。いま、カーネルコンパイルしていたものだから。
173 :
ぶ :04/01/29 16:59 ID:vv/IEGK2
NAT環境下からNSRemoteでNS-5XTにVPN張ってるんですが Phase2 Lifetimeが切れた時にRekeyが走らない現象に悩まされて います。 (NATじゃない環境からでも、たまにRekeyしてくれない) 今はPhase2 Lifetimeを8時間とかにしてお茶を濁していますが 同様の現象に悩まされた方、いらっしゃいます? もう、さっぱり分かりません....
174 :
H立って技術ある? :04/01/29 23:02 ID:9Vt/xg88
>173 無通信の時間があるでしょ? そうするとこういうの起きるよね。 名前⇒わざとばれるようにしています。 最近質落ち。。。パートナーばなれ。。。。
175 :
七資産 :04/01/29 23:02 ID:???
それぞれのバージョンぐらい書けや
>174 そりゃ、価格が安いからって、別の代理店に仕事丸投げしてたり するから、目立の技術陣が悪いのか、それとも、安かろう悪かろうの ところが悪いのか不明だわな。
177 :
:04/01/30 01:43 ID:???
SA のライフタイムってどのくらいがお勧めなんでしょうか?
178 :
_ :04/01/30 02:15 ID:???
>177 セキュリティポリシーにもよると思うが、、、 1h,8h使うことが多い。短すぎると通信断しやすくなるから。
179 :
:04/01/30 03:36 ID:???
>>178 > セキュリティポリシーにもよると思うが、、、
> 1h,8h使うことが多い。短すぎると通信断しやすくなるから。
サンクス。あともう一個教えて欲しいんだけど
同一LAN上にNetscreen が2台あってそれぞれが個別に
インターネットに繋がっている(マルチホームな)環境で
両方をVPN gateway として使いたい場合、LAN 内のPC の
ルーティングを通信が入って来た方に返すようにしないと
使えないんのでしょうか?
180 :
^^ :04/01/30 03:57 ID:???
>>151 > こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
> NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
> アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
> 通信では払い出しアドレスを隠蔽できるってことなり。
VPN のトンネルを許可してるポリシーの設定を見ると、
NAT のところはチェック無でDIP On, DIP Off, Fix port という
設定個所がありました。社内側のインターフェースのアドレスを
DIP プールに登録して、選べばいいんでしょうか?
181 :
ぶ :04/01/30 09:30 ID:PijhlfoJ
>>174 私もそうかと思ったんですが、ガンガンにデータ送信していても、
Lifetimeが切れるとぷちっと切れるんですよね...
NSRemoteのLogViewerで見た感じ、Lifetimeが切れる時に5XT側から
RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
Deleting IPSec SA (OUTBOUND SPI = ****** INBOUND SPI = *******)
ってのを貰って、ぷちっと切れて、それっきり。
>>175 失礼しました。ScreenOSが 4.0.3r5.0 でNSRemoteが8.3です。
>179 はい、その通りです。 いま使っているNetScreenのモデルによっては、1台で マルチホームが可能なので、そちらに変更したら楽ができます。 そうでなければ、NetScreen---Router---NetScreen } LAN だとして、ルータに任せたらよいかと思います。 VPN接続元(先)が違うネットワーク構成なら、単純にスタティックルート そうでなければ、フローティングスタティックルートを切ったりすれば良いかと
183 :
151 :04/01/30 13:21 ID:???
>>180 なんにも考えず、NAT のところだけチェックすればいいよ。
あとの設定はイラネ
NATのとこだけチェックしておくと、出て行くインターフェースでNATされるよ
ガンガレ
#間違ってたらスマソ
184 :
H立って技術ある? :04/01/30 23:42 ID:DXu/jFaJ
185 :
七資産 :04/01/31 23:01 ID:???
NS-Remoteは何時間も繋ぎッパを想定していないからな。 NSがremoteクライアントのISAKMP-SAが切れている事に気付かないこともある。 r5.0と8.3ということは自己責任じゃないのか?日立は出荷状態でリリースしていないだろ? まぁ、違うバージョンでも同じことが怒っていたから可用性を考えたらNS同士で対向。
186 :
ぶ :04/02/02 00:31 ID:???
>>184 マニュアルキー。。。調べてみます。
>>185 繋ぎっぱ想定なし!まじすかあー
在宅勤務者用に、RASの代わりに使おうかと考えてたんですけどね。
あと、NSRemoteは最初は8.2r2(やったかな)で繋いでいたのですが、このような現象が
起きているのでNSRemote上げたら治るかなと思い、試験的に8.3にしてます。
が、同じですね...
P1 Lifetime = 1時間 P2 Lifetime = 3分 って設定で土日でいろいろ
試してみたのですが、
・非NAT環境下から
繋いだまま放置してると切れてそれっきり
しかしP2 lifetimeの間に、少なくとも25秒に1回はトンネル経由でパケットを
飛ばすとrekeyが走る。25秒以上の間隔を空けると駄目(切れてそれっきり)
・NAT環境下から
何やってもP2 lifetimeが切れたらそれっきり
という挙動でした。なんだろうこれ...
lifetimeが切れる前になるとinitiatorが動いてrekeyが走るのは、NSRemote側から
rekeyしようよーと持ちかける?それとも5XT側から?
ああもうわかんねー。長文失礼。
187 :
aa :04/02/02 01:17 ID:???
会社にVPN で繋がるようになりました。 でも、Windows PC でマイネットワークを開いても何も出て来ません。 Netscreen-Remote は繋がっているし、PING も届くのになんで? もしかしてVPN じゃできないんでしょうか?
>187 まずはレジストリ操作しよう。(MTU)
189 :
- :04/02/02 06:53 ID:???
>>187 コンピュータブラウジングについて学習してくだされ。
190 :
おっ! :04/02/02 23:41 ID:InxQx74+
>190 あまりにレベルの低い書き込みはやめようよ(笑
192 :
:04/02/03 08:54 ID:???
IPsecやVPNと、ブラウジング・Windowsファイル共有の問題はまったく別なのにね
193 :
初心者 :04/02/03 23:12 ID:???
190さんへ VPNクライアントから、IPSECを利用して、ルータをNAT越えし、 かつドメイン認証をやりたいんだけど、これなら可能なのですか? Windowsの個人プロファイルが適用される前に VPNクライアントが、IPSECを利用したVPNサービスを 開始させてくれるのでしょうか? やりたい環境: VPNクライアント+PC+一般的なBBルータ ーーーーーインターネットーーーーーー NETSCREEN+配下のPDCやアクセス権の効いたサーバ郡
194 :
:04/02/03 23:23 ID:???
>>193 ActiveDirectory+DynamicDNSや、昔風ならWINSサーバなどを立てれば可能
根性でLMHOSTSに書いてもいいし
つ〜か、VPNの問題と、ブラウジング・ActiveDirectory・ドメイン認証は全く関係ないから
これ以上はWindows板逝け
195 :
\\\ :04/02/04 00:34 ID:???
>>187 マイネットワークをwクリックしてPCを見たいなら、
NETBIOS over tcp/ipを有効にして、NSのおいてある環境にでもWINS
サーバを立てるといいよ。
注意!
NSRemote〜NETSCREENのVPNは、クライアントがドメイン認証できない
ため、見えてもアクセスできないことがあります。(経験談)
ブラウジングは194の言うとうりVPNの問題ではないです。
NSRemoteの問題です。
NSRemoteでは、VPNできてもNTFSアクセス権の付与された
サーバにはアクセスできず苦労した覚えがあります。
(ID・PWウインドウが出るとか、出ないサーバがあるとか。。。)
だから、みんなフルコントロールなのかも?
190の物だったらできるかもね。
これはどこに聞けばいいのかな?
まさか116?(笑)
194、マイクロソフトすれになって、すんまそ。
僕の経験がVPNソリューションの参考に
ちょっとだけでも役に立ってもらえればと。。。。
NSRemoteでトラぶってる人多いかもしれないしね。
196 :
\\\ :04/02/04 00:40 ID:???
ちょっと追加事項 NSRemoteは、ブラウジングまでは可能。 (一部、AD環境ではドメイン認証されていないと不可) ドメイン認証は不可です。 (たまにできる場合がありますが基本的にはできない!)
197 :
_ :04/02/04 00:58 ID:???
>196 ドメイン認証できますよ。 某社の技術陣が出来ないとわめくので、検証したことがあります。 Winの知識が無いNEが操作してたために、設定ファイルを 渡しても、まともに動かせないのがいました。(4大大手の一つ) ただし、NS-Remoteのdeactivate, activateと、 Windowsログオン操作の順番が重要になります。 (WINSサーバがVPNの向こう側にいる際)
198 :
△匿名 :04/02/04 22:34 ID:+OaqcnXM
>197 ドメイン認証できないぞ! ユーザにグローバルグループを多くネストしたり コンピュータ名の登録をPDCに要求するときに失敗した。 複数の2000PROにNETSCREENリモートを入れてルータ経由で試したが無理だ! 当たり前だがVPN通信そのものは問題ない。 みんなはどうしてる? WINDOWSスレは、NETSCREENリモートの話は通用しない! ベンダや導入者の知恵を借りたい!!
>198 Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要) 起動する際には、Windowsドメインログオンをキャンセル。 NetScreen-RemoteをActivate ドメインログオンを聞いて来る際に、ユーザ名・パスワードを入力 ドメインログオンに失敗した際にはリトライすると成功する (VPNを張るタイミングのせいか?)
200 :
aa :04/02/05 00:37 ID:???
>>197 > ただし、NS-Remoteのdeactivate, activateと、
> Windowsログオン操作の順番が重要になります。
> (WINSサーバがVPNの向こう側にいる際)
IPSec でもOK?
PPTP ならWINSとかの設定も渡すように設定できそうだけど。
例えば、IPSec で、このスレのすこし前に出てたみたいに
ルーティングを気にしなくてもいいようにLAN側でNAT を掛けたら
LAN 内から見たらNetscreen 一台ってことになるよね。
WINS の設定をNetscreen 自体が持つのか、クライアントの方の
ネットワーク設定部分に普通にローカルアドレスで指定しておいて
いいのかが分りません。できてもこの状態だと、同時に1対1でしか
使えなそう。何かいい方法ないかな?
201 :
aa :04/02/05 00:39 ID:???
>>199 > Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)
>
> 起動する際には、Windowsドメインログオンをキャンセル。
Windows98 とかならキャンセルできるけど、NT系では
無理なのでは?勘違いだったらスマソ。
>201 ああ、ごめん。 直接端末をPPPoEでつなぐ際の話になります。
203 :
:04/02/05 06:59 ID:???
ローカルコンピューターのアカウントで一度ログオンすればいいだろ? あと、ドメインログオンはキャッシュすることができるから、キャッシュされたアカウントをつかってもいい
>202 誤爆してしまった。 >200 IPSecでもOKって、どういう意味?NS-RemoteのVPNの話ですから 言わずもがなです。 NAT配下に複数台ある際の部分は、ルータによるので、なんとも。 で、なぜにWINSのアドレスがNetScreeenが云々になるのか不明。 対向のローカルIPのWINSサーバ指定になる話。 NSでもNATかかっている場合は、、、うーむ、それは避けた方がいいと思う。 せめてVirtual IP Pool使って
205 :
bb :04/02/05 18:38 ID:???
>>200 設定面倒、アドレスたくさんいるけど、LAN側でNATするとき、
DIP使ってクライアントごとに異なるアドレスでNATするような
ことはできるよ。
けど、目的が達せられるのかどうかはWindows知らないので
ワカンネ
ActiveDirectoryにログインできます。 簡単な実験手順 1. ノートPCでキャッシュされたアカウントでローカルログイン 2. Netscreen RemoteをActivate 3. DNSをActiveDirectoryが登録されているDNSに変更 4. 再度ログイン ログインスクリプトも流れてファイルサーバへもアクセス可能!
207 :
ararararara :04/02/08 23:54 ID:EL42ZRtR
190のスレにある商品を最近、私の会社に導入しました。 このUSBキーで、WINDOWSドメイン認証できるし マイネットワークも見れてます。 キャッシュを利用しないので、新規にコンピュータのドメイン登録も できるし、ユーザパスワード変更もVPN経由で可能です。 うちの会社で利用しているEXCHANGEも、これで解決できてます。 このキーの動きを簡単に説明すると、 ---USBキーを挿してPCの電源を入れる @このキー専用の「ID」「PW」を入力する ----OKならVPNサービス起動 ----CTRL+ALT+DELが表示される Aマイクロソフト用の「ユーザ名」「PW」「ドメイン名」を入力し選択する。 ----VPN経由でNETSCREEN配下のWIN2000ADに要求をする ----ログオン完了 ----あとは、LANと同じ。マイクロソフトで開発したDCOM通信を つかうAPも利用できてしまったよ。 さらに、このキーには、仮想というかこのキー専用のIPアドレス (NSRのインターナルIPかも?)、DNS、WINSのIPも 設定できるのでかなり便利です。 N○○の法人営業の人が教えてくれなきゃ一生わからないかも。。 使ってみてまだ数週間ですが、重宝してます。 NETSCREEN側の設定はNSRと同じく、通常のIPSEC-VPNの設定 でOKでした。NATの設定は一切してません。
208 :
foo :04/02/10 10:48 ID:???
Juniper が買収ですか。 日本での体制はどうなるのかな。
209 :
:04/02/11 00:41 ID:???
祭りかと思ったらそうでもないね 日立は日本で一番NSの株を持ってるはずだけど、 Juniperって扱って無かったような気が、、、 少なくともSASでは売ってないだろう 今後のサポートも非常に心配 NSは比較的旧バージョンのサポートも長くやってくれてるけど 今後はどうだろうか? あと、なんか値上がりしそうな悪寒(偏見?)
211 :
ns :04/02/18 17:00 ID:???
NS専用のリモートソフトを使わずに、Windows2000からL2TPを利用したいのですが、仮共有キーの作成は、NSのどこのメニューから作成するのでしょうか?
212 :
ns :04/02/18 20:38 ID:???
>> 211 マニュアル読んだ
すいません、NetScreen 5GTという製品で 下のような事を考えているんですが これって可能でしょうか? 【家】 PC - ADSLモデム | (インターネットVPN) | 【会社】 ADSLモデム - 5GT - サーバ ・家のPCにはNetscreen Remoteをインストール ・5GTに固定IP 1つ割り当て ・会社のサーバのIPは192.168.1.1などローカルIP ・やりたいことは、家のPCから会社のサーバのなかにある ファイル見たりプリンタを利用したりとかする程度 日立SASの適用例見ると出来そうな感じもするんですけど 詳しい方に事前に聞いておきたくて・・・すいません
線がずれてしまいました 言うまでもありませんが、PC - モデム - (VPN) - モデム です。ごめんなさい
家庭内LANのIP体系を会社とかぶらないように すれば楽にできると思うよ。 プリンタに関しては、プリンタが、どこに接続されているか、 また、その印刷受け付けIPアドレスがどうなっているか、とか まあ、考えないといけないことはあるけれど、 両方の設定を触っていいなら、楽勝パターン
>>215 ちょっと気になった、というか勘違いしてたんですけど
サーバにも固定IP(グローバルIP)が必要だったりするのかなぁと
思いまして、念のため確認させていただきました。
プリンタはサーバに接続されているので多分大丈夫だと思います
ありがとうございました
217 :
リモートアクセス :04/02/21 11:40 ID:NIJUVFL9
>>213さんの構成で会社のサーバのファイル共有を見る場合は どうしたらいいのでしょうか? コマンドプロンプトで START サーバのIPアドレスで見れるとは、思うのですが・・・ NS VPNクライアントソフトをインストールしたら他にやり方があるのでしょうか?
218 :
ns :04/02/21 16:35 ID:???
NS-Remote つながんないわ、マニュアル英語だわ しかもマニュアルのOS、バージョンが古いやつだから 実際の画面と違うわ、なんかハメられた気分
質問です。 NS-Remote をインストールしたら、使ってないときでも MTU が固定されていたりして嫌な気分です。 NS-Remote を使っていないときは無効にしたい(バックグラウンドでの起動を止めたい)のですが、 どなたか方法をご存じでしょうか? WindowsXP(home)SP1 NetScreen-Remote 9.0.1(Build 12)
220 :
_ :04/02/23 21:17 ID:d++lATu1
>>217 「\\192.168.1.1」とかじゃダメ?
それ以上を望むならWindowsNetworkの勉強を。
>>218 たいていの代理店なら日本語の設定マニュアルは持ってるはず。
つながらない理由は設定ミスや相性な場合も多く。
たまにBOX側のBUGなんてのもあったけどね。
>>219 仕様。Deactiveでは変わらない。レジストリ直イジリは自己責任で。
221 :
218 :04/02/23 23:47 ID:???
>217 hostsとlmhostsに記述して、コンピュータ名で検索したらでてきたよ。 >220 はい、設定ミスでした・・・(Phase 1 のところの方式間違い ベタでスイマセン) 日本語マニュアルはインストールのとこまでしかなくて、そのあとは 英語のPDFとにらめっこ。英語そのものはそーんなに難しいもんじゃないんだけど 図と文章が微妙にかみあってなくて、イライラしちまいました。 Trust内にあるサーバのなかのファイル見たりとか、そのへんは とりあえず問題なく出来ました。今はODBCでのDB接続がうまくいかなくて なんでだろうと格闘中です(telnetでポート指定して接続かけてみると つながってるようにみえるんだけど) あと、細かいことなんだけど、タスクバーのNS-Remoteアイコン右クリックすると タスクバーのメニューが重なって出てきてヤな感じ (Windows XP対応と書いてあったが、ホントにちゃんと対応してるのかなぁ)
>>220 じゃあ、使わないときは NS-Remote アンインストールするかな。
面倒だな。
NS50を使ってワンタイムパスワード認証を使用しようと考えています。 (RADIUSクライアントはNS50) NSremoteクライアント拠点は93拠点あり、ワンタイムで認証完了後に ippoolで動的にプライベートIPをクライアントに振る設定にしなければ ならないのですが、どういった設定を施す必要があるのでしょうか? 認証センターまでVPNを張るというのは分かるのですが、認証要求を 認証センターに転送ですとか、動的にクライアントにアドレスをふる方法 (ルート情報はどうなるのでしょうか?)というのがよく分かりません。 素人で申し訳ありません…。 よろしければご教授の程お願い致します。
224 :
_ :04/02/26 21:45 ID:???
>>223 日本語版マニュアル2-308。
RADIUS認証なら問題無いが、RADIUS PROXY経由は
やったことないんでわからん。
225 :
かず :04/02/27 18:48 ID:1UsE8kZO
社内でNETSCREEN25を利用してBフレッツ(ODN)に接続しています。 これが、通常問題なく接続できているのですが、たまに接続できなくなって しまいます。日に数回切れることもあります。 NSを再起動すると回復するのですが、なにかポイントになるような 確認点はないでしょうか?
226 :
ns :04/02/28 00:39 ID:???
>225 ログには何か出てないのかな
227 :
かず :04/02/28 09:52 ID:BeF9epPr
>226 それが、らしいものは出ていないんです。。 といっても全てのログを読解できているわけではないんですが。 でも、接続できなくなりそうな内容のものは無かったと思います。
ハブアンドスコープの設定が出来ねーよ、もまいら 設定のキモを教えてください、おまいら。
229 :
_ :04/02/28 18:08 ID:???
>>227 回線側に問題は?
>>228 まずハブアンドスコープについて説明汁!
と突き放すのも可哀相なんで、まずマニュアル見て全く同じに作ってみろ。
アレンジはそれからだ。ProxyIDに気をつけろ〜。
230 :
228 :04/02/28 19:43 ID:???
>>229 漏れもそうくるだろうと思ってた罠
厨といわれないように、一応、まにゅある読みますた
第4部第3章ハブアンドスコープ方式VPN。
でもできなカターヨД`)・゚・。・゚゚・*:.。..。.:*・゚
ProxyIDに気をつけるくらいでつか?
しかし、今手元にはNetscreenひとつしかないよ
αβοοη..._〆(゚▽゚*)でつか?
231 :
ns :04/02/28 21:30 ID:???
>227 PPPoEの設定はどんなもんかな
232 :
かず :04/02/28 23:02 ID:BeF9epPr
>229 回線側に問題がある場合もなくはないのですが・・・・ 実際、そのうち数回はフレッツ網の障害でした。 でも、それ以外は回線側に問題はないみたいです。 >231 PPPoEの設定で、切れてしまう原因になりそうな部分ってどこらあたり でしょう?
233 :
_ :04/02/29 00:26 ID:???
>>232 PPPoE限定じゃないですけど、PPPならLCP echoでkeepaliveくらいですかね。
lcp-echo-retriesとlcp-echo-timeoutとか。
234 :
207の利用者 :04/02/29 13:37 ID:EUJKybMZ
>225 set pppoe auto 15 だったかな? コマンドを、ここの技術担当から聞いたことがある。 当然入ってると思いますが、 今一度、ご確認を。。
235 :
ハズアンド嫁 :04/03/01 00:38 ID:qkKzmnGJ
ハブアンドスコープじゃなくて、ハブアンドスポークだろう。 マニュアルを、よく嫁。 変な2ch用語を流行させてくれるなよ。
236 :
_ :04/03/01 11:50 ID:G9OBrqdT
ScreenOSのリリースノートってどこに掲載されてるんだろう? バグ修正関係の情報が欲しいのですが・・・ 私の使っているのは5XT+4.0.3r3です。
>236 www.netscree.com
238 :
かず :04/03/01 17:44 ID:8ti3HoAM
>233 LCP echoでkeepaliveとかlcp-echo-retriesとlcp-echo-timeoutとかとは、 具体的にはcinfigを編集するってことでしょうか? 今のconfigにはPPPに関するような部分はないのですが。。。 >234 set pppoe auto 15 これって、WEBの設定画面からconfigを保管してテキストを編集して、リプレースすればいいのでしょうか? configを確認したのですが、はいっていませんでした。 ところで、これはどんな意味なのでしょうか? 初歩的な質問で申し訳ありませんが、宜しくお願いします。
239 :
_ :04/03/01 20:26 ID:???
>>236 買ったところでくれるでしょ、普通。
>>238 CLI
auto-connect >>
the number of seconds after which a previously closed connection is re-initiated.
240 :
_ :04/03/01 22:22 ID:???
>>238 set pppoe auto-connect <1-10000, seconds>
set pppoe ppp lcp-echo-retries <1-30, times>
set pppoe ppp lcp-echo-timeout <1-1000, seconds>
結局、これらでナニをするかというと、LCP echoでkeepaliveしているのに
BASが多忙でLCP echo replyを返さない? 為に早まってPPP(とPPPoE) sess
をScreenOSで落としちゃわないようにするというところですか。
マニュアル読んでみてください。
241 :
HB :04/03/02 22:42 ID:???
すみません。もの凄く厨房な質問ですみません。 HAインターフェースには当然IPアドレスを割り当てるのですよね?
242 :
_ :04/03/03 01:43 ID:???
>>241 InterfaceにHAゾーンを割り当てるだけでOK
243 :
241 :04/03/04 01:02 ID:???
>>242 実は漏れもそう思ってたんですよ。
でも、
[Report]→[Interface]→[Flow Counters]→[Ethernet4]を見ると、
Master in packets 0 out packets 4143881
Backup in packets 0 out packets 2274761
というようにoutだけなんですね。
これで大丈夫なんだろうか?と、ちょっと心配になったわけなんです。
一応、何度もケーブルの抜き差しをやってテストしているので、
切り替わりは問題は無いのですが、ちょっと気持ち悪くて・・・。
244 :
:04/03/04 20:42 ID:9Y38jwUu
httpをproxyできるような機能ってある? NS以外にもこのようなことができるFWって 知っている?
245 :
oooo :04/03/05 23:50 ID:jXt1kQe9
>244 NS以外は、他のスレに逝け! ここは「NETSCREEN」スレ。 わかるよね。 だが。。。 おばかちゃんには、おばかちゃんのFW、「ふぉ〜と、ノックす」 を紹介しよう。。。 あほでうざいレス入らないのであしからず。 逝け!ワラタ!スマソ!ってスレ用語?
246 :
anonymous@ YahooBB219198088002.bbtec.net :04/03/09 02:21 ID:2WNQF4yN
500番のportを開けたら、自宅からNAT越えできるようになったのですが、 これってセキュリティ上問題はないのでしょうか? 派遣先でNATの設定を変えてもらう際、色々説明する必要があるのですが、 500番のportを開けることが、どのくらい問題になるかを知りたいです。
fusiana?!
248 :
伝書鳩 :04/03/10 09:19 ID:???
>>246 バックドアの元凶になる「isakmp」を通す危険性があります。
これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。
>>247 フュージャネイサン
249 :
mmg :04/03/11 11:07 ID:???
NetScreen5GT PlusのDual-Untrust使用のについてお聞きします。 5GTのトンネル制限が10ですがFailover機能を利用した場合 対地が5になってしまうんでしょうか? 今はトンネルを 対地毎に2本引いてバックアップ機能は動いていますが10対地引く 事が可能であれば何らかのヒントもしくはこんなので動くとか教えて ください。 現在は TrackIPを対地の2つの固定IP向けて動かしています。 センター側が10対地引きたいんです。
250 :
かず :04/03/11 17:15 ID:dapdRlvT
>240 説明が不足していました。申し訳ありません。 うちの環境は、Bフレッツ->ルーター(YAMAHA RTX1000)->Netscreen です。 教えていただいた設定は、Bフレッツ->Netscreen の場合ですよね? この環境の場合では、なにか確認すべき点はないでしょうか?
それじゃNetScreenのPPPoE設定についてなんていう 最初の質問自体が無意味 Yamahaルータのサイト見に行くべし
252 :
かず :04/03/11 18:05 ID:dapdRlvT
>251 そうかもしれませんが、NSを再起動するだけで接続できるので、NS側になにか あるのかと思ったのですが、、、
253 :
ns :04/03/11 23:35 ID:???
>252 NSはどんな目的で使ってるのかな ルータがあってNSがあって・・・だけでわ、これ以上は難しい
254 :
かず :04/03/12 08:55 ID:RB3CkIxf
>253 FWとしてNATモードで利用しています。 trustとuntrust、ポリシーの設定くらいしかしていないのですが・・・ ほかに何かお伝えするべき情報があれば教えてください。
255 :
ns :04/03/12 13:34 ID:???
使ってるPCの台数とか、通信の目的(WEB見るとかメールするとか) あとはトラフィック量がわかるとなおよさげ
256 :
かず :04/03/12 13:51 ID:RB3CkIxf
>255 利用しているPCの台数は、最大で約150台です。 用途は主にWEB閲覧とメールの送受信、ftp。 POP,SMTP,httpサーバー等は外部ホスティングしています。 トラフィック量は、具体的にはわかりませんが、3MB程度の添付付きメール は、日常茶飯事です。、
257 :
ns :04/03/12 15:34 ID:???
>256 NS-25なら問題ない範囲のトラフィックっぽいけど・・・ 負荷見るのに手っ取り早いのは Administration Tools (GUIのほうね)で 接続時に最初に表示される画面の Resources Status みること、かな? ScreenOSのバージョンあげてみるのも手かも あんま回答になってなくてスマソ
258 :
age :04/03/20 18:38 ID:???
set age
259 :
:04/03/22 20:08 ID:ROvuLguj
最近は安定しておもろくねえな 昔はsniffer持って走り回ったもんだ
260 :
:04/03/22 21:01 ID:???
>>259 面白くないぐらい安定してるバージョン教えれ
有益な情報なら100万くらいだしてもいいぞ
5.0.0系のファームへUpした人いますか? メジャーアップデートなんでちょっと不安なんです。 もし、体験者がいましたら判るところだけで構いませんので教えてください。 (4.0.3系からのアップを前提で) 不安1 Configはすべて維持されますか? 不安2 アップデート後、自動でVPNは復活しますか? 不安3 リモートからのアップデート作業でも問題ありませんか? 不安4 PPPoEの接続は自動で復活しましたか? 不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか? 不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか? 不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?
262 :
:04/04/02 21:25 ID:w6YgfOvJ
VerUPリモートってよほど根性ないとできんな 新バージョンのを送って交換後古いのを送り返してもらうとか、もっと考えれんのか?
263 :
鳩 :04/04/05 11:07 ID:???
>>261 検証無し、VPN越しでFirmwareUpdate
メジャーアップデートでなくても不安なのが普通だと思うが・・・
漏れは日頃からそんな運用している香具師がいること自体が不安だw
>261 > 5.0.0系のファームへUpした人いますか? いくつかやってみました^^; > メジャーアップデートなんでちょっと不安なんです。 > もし、体験者がいましたら判るところだけで構いませんので教えてください。 > > (4.0.3系からのアップを前提で) > 不安1 Configはすべて維持されますか? とりあえず大丈夫でした。上げたVersionは5.0.0r4です 実験した機種 NS-5GT/5XT/25/204/5200 > 不安2 アップデート後、自動でVPNは復活しますか? 運良く復旧しました。 > 不安3 リモートからのアップデート作業でも問題ありませんか? とりあえずOKでした。4から5へのアップデートはFileFormat変換やるので、長期にわたって応答がなくなるので不安でした。 > 不安4 PPPoEの接続は自動で復活しましたか? なんとか復旧しました。 > 不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか? これは問題なかった。もっと古いバージョンとも繋がりました > 不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか? 勝手には変わりませんでした。 > 不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか? とりあえず、うまくいった。 とりあえずラッキーでした^^;
265 :
kk :04/04/08 19:58 ID:+ea7+C+N
ご教授願います。 当方、固定IP1のBフレッツでNS25(4.0.3r4.0)を使っています。 DMZにインターネットからアクセスされるWebサーバを設置したいのですが、 (tcp80とtcp443だけサーバに転送させたい) 固定IPが1個では、WebUIからはVIP設定が出来ませんでした。 コマンドラインから上記の設定って可能なのでしょうか? やはり不可能なのでしょうか? よろしくお願いします。
266 :
261 :04/04/09 02:34 ID:???
>>264 ご丁寧にありがとうございます。
特にリモートアップデートがうまくいくのか不安でしたので、、、
でもアップデート後でも、最悪PPPoEだけはつながることを信じればUntrustのWebUIに
チェックを入れておけば何とかなりそうですね。
>>265 VIPでなくMIPで行けませんか?
Interfaceで作成後、Untrust To Globalでhttpとhttpsをサーバーに向けて許可すれば行
けると思うんですが。
...ところでこの前、5GTのフタを開けてみました。
びっくりしました。NetScreenのASIC(GigaScreen?)が無くなってIntelのワンチップになっていました。
PowerPCも無くなってスカスカです。
てっきり5XTより少し筐体が大きいので、もっとみっちり詰まっているのかと思ってたです。
267 :
kk :04/04/09 10:11 ID:???
>>266 (261さん)
ありがとうございます。
すみません。以下のようにすると言う事でしょうか?
untrustのインターフェースのMIP画面で、
Mapped IP : DMZ上のサーバIP
Netmask : DMZ上のサーバmask
Host IP Address : グローバルIP(固定)
Host Virtual Router Name : "untrust-vr" or "trust-vr"
として、ポリシーの設定で必要ポートを許可する。
268 :
- :04/04/11 03:59 ID:3yB3YNxU
リモートアクセスVPN環境を作りたいのですが、こんな事は可能ですか? ・認証はNetScreen内に登録したユーザ名とパスワードを使う ・NetScreen内に設定したIPプールをクライアントに自動的に割り振る CiscoVPN3000では出来ているんですが。
>>268 できますよ。
LocalDBを使用したXauthの設定で実現できます。
IPpoolも同名の機能があるので問題ないはずです。
270 :
266 :04/04/14 01:02 ID:???
>>267 Mapped IPとHost IPが逆ですよ。
あとはtrust-vrを選択でOKです。
もちろん1IPをサービスごとに別のサーバにNATをかけたり、ポート変換を行う様なときは
VIPを使って設定します。
271 :
as :04/04/14 20:47 ID:VAj1tKsI
>248 :伝書鳩 :04/03/10 09:19 ID:???
>
>>246 >バックドアの元凶になる「isakmp」を通す危険性があります。
>これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。
具体的にはどのような問題でしょうか?
Trust→UnTrustへのUDP500をあけたということですよね??
それともUnTrust→Trust?
古屋死ね
273 :
267 :04/04/15 21:36 ID:???
>>270 (266さん)
ありがとうございます。
あれからよーーくマニュアルを読み返したらMIPで実現可能なのを見つけました。
現在は問題なく稼動しています。ありがとうございました。
非常に初歩的な質問で申し訳ないのですが、 NS5GTは、最大トンネル数が10ですが、 Netscreen-Remoteからの通信も1トンネルとしてカウントするんでしょうか。 2つの拠点にそれぞれ5GTを設置してVPNを構築し、 それとは別に20台のリモート端末からのアクセスを考えているのですが、可能なのでしょうか?
>274 Remoteからも1トンネルです。 同時に20台、、で無ければ(トンネル上限を超えなければ)可能です。
276 :
まな :04/04/16 11:22 ID:uzYeNrGR
NetScreen25の保守なんですが、保守にはいってもScreenOSのバージョンアップ は、年に1度しかできないといわれました。年間何度でもバージョンアップするなら 9万くらいかかる別の契約を結ばないといけないらしいのですが、どこでもそうなの でしょうか?
>276 NS25のソフトウェアサブスクリプションは、年額9万円で、 これを支払わない限り、購入後3ヶ月(だったかな?)の バージョンアップ以外は「ライセンス違反」だったと思うのですが。 年に1度もダメだった筈ですけど、どこのベンダさんかな?
278 :
まな :04/04/16 12:02 ID:uzYeNrGR
購入後90日までは別として、保守契約を結ぶと1回はバージョンアップできるようなんですが、 これも、はっきりしてません。 やはり、年間通してバージョンアップするには9万かかるんですね。。 保守は、ファーストデリバリーとかいってました。。 有難うございました。
279 :
on :04/04/16 13:15 ID:???
>>275 グルーピングすれば、グループで1トンネルって聞いたことがありますが、
ガセでしょうかね。
リモートは使ってないんで試せないですが。
280 :
鳩 :04/04/16 14:09 ID:???
>>278 修理交換扱いでバージョンアップするとか?
277さんじゃないけど、ベンダがどこか気になる。
281 :
だちょ :04/04/16 14:47 ID:uzYeNrGR
おせわになります。 暗中模索状態なので、よろしくお願いします。 NetScreen25を利用してEth2をDMZとして利用したいと考えています。 そのDMZに公開用WEBサーバーを設置したいのですが、 いろいろ調べているのですが、LAN内にあるサーバーに対してMIPで 見に行く方法はわかったのですが、Eth2を使う場合がよくわかりません。 マニュアルのどのあたりをみるべきなのかもわからない状態です。 よろしくお願いします。
282 :
anonymous@ p5160-air01hon128k.tokyo.ocn.ne.jp :04/04/16 15:56 ID:X6tgI/CC
DNSリレーを利用することってできないのでしょうか。。。
283 :
anonymous@ YahooBB219028200006.bbtec.net :04/04/16 22:40 ID:b2ppBQU6
netscreen50にns-remote8でvpnで通信してます。 Yahoo!BB経由でアクセスすると すこし大きなファイルを転送すると通信が止まります。 mtuの問題でしょうか? どなたかYahoo!BBでの実績があれば教えてください。
284 :
:04/04/17 01:52 ID:???
>>281 基本は5XT等の場合とおなじです。
UntrustのInterfaceでMIPまたはVIPを設定して、ポリシーでUntrust to Globalでサービスごとに
Permitを決めるだけです。
この場合、DMZへ向かうポリシー設定をしていないように感じますが、MIPでHostをDMZに向け
たときにマッピングされているので不要になります。
285 :
maa :04/04/17 03:53 ID:???
すみません全くのシロウトなのですが。だれか教えて。。 netscreen-remote8.1で自宅PCから会社のLANに繋ごうとしているのですが、 うまくいきません。自宅はADSL yahooBBモデムで自宅内で無線LANしています。 会社はNetscreenではなくFaitelnetなのですが設定済みで 他の人の自宅からは問題なくRemote接続できます。(ブロードバンドでも なんでもない接続) ぅぅぅ誰か教えてぇ〜
286 :
名無し :04/04/17 10:04 ID:???
>285 Yahoo BBモデムの仕様は知らないけど NAT-Traversal回りの設定じゃないのかな。 直接ダイアルアップは動いているっていうし。
287 :
DI :04/04/17 11:40 ID:???
>>281 >>284 のようにしてもいいし、DMZにグローバルアドレスふって、Untrust→DMZのルール
を書いてアクセス制御してもいいです。
後者の場合、上のルータにルーティングがいるけどね
288 :
sage :04/04/20 22:41 ID:hIEU3vPh
eth1 trust(private)、eth3 untrust(global)でLAN間VPNさせるんですが、 tunnel.1作ってトンネル掘るときに、unnumberedでつけるインタフェースは eth3ですか?eth1ですか?普通に考えると(マニュアルでもそうなんですが) 素直にglobalのついてるeth3を持ってくるんですが、privateのeth1を設定 するというのもあうらしいのですが、どっちが普通の作法なんでしょうか?
289 :
鳩 :04/04/21 14:54 ID:???
USサイトが知らない間に・・・(´Д`;オモイ ミニクイ
290 :
? :04/04/21 23:38 ID:???
>>289 SecurityAdvisoriesとSecurityNoticeのページが分からなくなっちまいました
何とかしてくれ
例のRST-AttackについてのJuniperからのレターにも
NetScreenに関する記述が含まれてました
もう完全にJunperなのね
ジュンパー
このスレはこれからジュンパースレに変更になりますた
294 :
しげ :04/05/01 17:14 ID:???
どなたか、NetScreenの設定方法を教えてください? それと、VPNの設定方法も教えていただければ助かります。 5GTです。
295 :
:04/05/01 18:22 ID:???
マニュアルみたらできる程度だよ。NSは。 それと、あんまりにも質問が漠然としてると答えづらいので もっと絞ってもらえると回答しやすいと思います。
>>285 私もNetScreen 5GTとNetScreen-Remote v8.3でVPN接続させようとして
いるのですが、Air-H"でprinに接続すると目的のマシンと通信できるの
ですが、ブロードバンド(NATルータ配下)のPCからはVPNセッションは
張れるのに通信が出来ません。
AutoKeyIKEでNAT-TraversalとUDP Checksumもチェックしています。
実際に使われている方教えてください。
>>297 UDP Checksumは外しましょう。
あとフラグメントしてない?
5GTのantivirus機能とかどうですか? エンジンはトレンドマイクロのを使ってるみたいだけど、 mailは大丈夫として、HTTPとかFTPダウンロードにも対応できてるんでしょうか? 資料取り寄せたけど、あまり詳しいことが載ってないんで。
300 :
anonymous@ YahooBB219009156051.bbtec.net :04/05/11 00:48 ID:s/s95uJ7
地域網でNSRPって透過出来ましたっけ?
301 :
:04/05/11 01:09 ID:???
地域網経由でNSRPってなにを考えてるんだ? NSRPは冗長化に使うもの まあ、Ether系サービスでNSRP使うのはありかもね
302 :
anonymous@ ip244.rakuten.co.jp :04/05/12 22:07 ID:nlGXlhqx
NSには電源やFANの状況を確認するコマンドはないのですか?
303 :
:04/05/12 23:47 ID:???
もし電源状態が確認できるコマンドがあったとして、 電源がオフになったのをどうやってそのコマンドで確認する?
二重化だったら
305 :
:04/05/12 23:57 ID:???
>>304 Netscreenに電源二重化構成ができる機器はないとおもったが?
306 :
:04/05/13 00:46 ID:???
>>305 もしかして、NS-5400なんてご存知ない?
電源故障は、SNMPtrapかsyslog(たしかsyslogのほうだったと思う)が出るはず
ただし、二重化できない機種で電源コード抜いてみたり試験したけど出なかった
>305 NS500でも出来たが。>電源二重化。
308 :
fs :04/05/17 19:52 ID:ACBiSB60
NSのトランスペアレントモードにてVPNができるようだが、以下のような仕組みで宜しいのでしょうか? ※LAN_AとLAN_Bを通信(VPN)行う 環境図) LAN_A-NS_A--Gw---Internet---Gw--NS_B--LAN_B
ISG-2000ってどうよ? 誰か評価機触った人とかいる? ASICがGigaScreen3になっててCon/SecはNS-5400より出るって話なんだけど、 NS-1000みたいな大コケをかまされるのが怖い、、、
310 :
fs :04/05/18 15:47 ID:ar9Xbbbo
お世話になります 以下の環境では何か問題がありますでしょうか? Internet | Netscreen-------------YAMAHA Router----HUB★---PC1…10 | −−−−−−−−−−−−−−−−−−−−↑HUB★へ ●Netscreen: Trust 192.168.1.254 セカンダリ 192.168.2.254 ●YAMAHA Router WAN側 192.168.1.1 LAN側 192.168.2.1 ●PC1-5 192.168.2.11-15 デフォルトゲートウェイ 192.168.1.1 ●PC6-10 192.168.2.16-29 デフォルトゲートウェイ 192.168.2.254 以上宜しくお願い致します
正直ちゃんちゃらおかしい もう一度TCP/IPの基礎から出直してこい ネットマスクは?デフォのDHCPは切るんだろ? だいたい何をしたいんだ?
>310 うん、何か問題はありますよ・・・
313 :
anonymous@ g4.krnet.ne.jp :04/05/24 10:29 ID:Zo1oJDi9
VIPって、ポートサービスを追加したとき、 再起動が必要ってマニュアルに書いてあるけど、 どうして再起動が必要なの?
314 :
anonymous@ 219.120.55.172 :04/05/27 09:22 ID:yeUkkMSE
Netscreenルータ使ってUSENの回線で、 サーバ公開している方いらっしゃいますか? サーバアドレスNAT使わずグローバルIPで・・・
315 :
ななし :04/05/28 13:51 ID:???
>>314 MIPだけどUSENで鯖公開してるよ。
316 :
757 :04/06/05 12:14 ID:33X11SOg
NS5XTのバージョンアップをするつもりなのですが、 バージョンアップの情報はあるのですが、ダウンの情報が マニュアルにありません。 バージョンアップもダウンも同じ手順なんですか?
317 :
anonymous@ 91.pool7.ftthtokyo.att.ne.jp :04/06/05 17:51 ID:RlVcauKN
NetScreenってプロキシの内側におけないの?? 10080で動かないとかいう人がいるんだけど。。。
319 :
anonymous@ r114072.ppp.asahi-net.or.jp :04/06/14 07:21 ID:ePBj57Fy
Netscreen25で拠点間のVPNを会社に導入しようと思うんですが、 業者に設定と設置を頼むとどのくらい費用かかりますか?
>319 何拠点? 地域は?
321 :
anonymous@ YahooBB219002136031.bbtec.net :04/06/14 10:06 ID:uw6U1MQt
センター1つに拠点1つで都内です。
>>319 東京なら1対1の接続なら20万(拠点あたり10万)くらいでやるところ
あるんじゃない?
しかし、なぜ25。5GTでもよさそうな気がするが。
25も5GTもVPNのスループットはカタログ値で20Mbpsだけど。
323 :
:04/06/14 21:02 ID:???
>>319 会社の社内ネットの構成を調べて、既存ネットワークとの整合性やら、
ルーティングやファイアウォールの設定やメンテナンスのコンサルに付き合うのであれば金かかるけど、
こういう設定にしろってシートに記入してその通りに設定するだけなら
わりあい安くやってもらえるんにじゃない?
で、どの程度のコンサルが必要なんでしょう?
あと、全国展開で保守もいるなら、大手に限定されてくる予感
>323 NSの保守なら、RとかAが全国展開で請け負ってくれるから、 別段、中堅どころで困らないと思うよ。 もちろん、指揮管理がしっかりしたところでないと困るのは当然だけど
325 :
鳩 :04/06/17 14:38 ID:???
ハブアンドスポーク環境のNetscreen5XT数台を ScreenOS3.0.3から5.0.0へアップグレードを考えていますが、 設定変更無くアップグレードできますでしょうか? 4.0系からProxy-IDを使う形に変わってるので不安があります。
プライベートIPのLANをRTX1000でBフレッツに繋いでます。 外部にあるNetscreenにNetscreen-remote入れたLAN内の複数のクライアントを 繋ぎたいんだけど、RTX1000越えって出来ます? ちなみに1台だけだったら繋がります。 2台目のセッションを張ると1台目が落ちます。 RTX1000ではUDPの500番とESPは空けてます。
327 :
鳩 :04/06/18 13:58 ID:???
>>326 NetscreenとRTX1000をVPN接続しては?
>>327 諸々の事情がありまして、そうもいかないんすよねぇ・・・。
329 :
鳩 :04/06/18 15:17 ID:???
330 :
:04/06/19 16:25 ID:???
ひっかかるのってNATでしょ? NetScreenとNetScreenRemoteってNATトラバーサル無かったっけ?
331 :
鳩 :04/06/19 19:45 ID:???
>>330 Netscreen-remoteはNAT-Traversal対応でしたか・・・
失礼いたしました ターン ;y=ー(´Д`;)・∵. アーハズカシイナ モゥ
332 :
_ :04/06/29 16:19 ID:???
質問させていただきたいのですが、Netscreen-RemoteでセンターのVPNルータと 接続を行っているとき、センター側の回線が落ちてもNetscreen-Remote側で古い VPNセッションを保持してしまい、センター側が復帰した際にpingがうまく飛ばな くなってしまいます。 手動で接続をし直せば、特に問題は無いかと思うのですが、Netscreen-Remoteの 設定(keepaliveで監視等)で、障害等があって復帰した際にセッションをその 都度に自動で張り直す等の設定は可能なのでしょうか?
333 :
__ :04/07/07 03:13 ID:???
>>332 解決してるかもしれんが、一応。
NSRにkeepaliveって概念が無いから、張り直ししないとダメじゃないかなぁ。
どうしてもそれがイヤってんなら、マニュアルキーっつー手もあるけど、
オススメはできないなぁ。
334 :
:04/07/08 00:31 ID:???
記憶が確かなら、NSremoteはセッション監視機能に対応していなかったような・・・。
336 :
ななし :04/07/09 23:46 ID:???
NS-5GTをScreenOS5.0.0で使用しているのですが、 ほとんどトラフィックが無い状態でもMemoryAllocateが 46MByte位になっています。 こんなにメモリを使用するものなのでしょうか? 同じような状態のNS-50(4.0.0)は20MByte未満です。
337 :
OSX :04/07/10 12:04 ID:???
netscreen25とMAC OSX(i-book)をVPN接続したく考えてます。 どなたか成功した人いますか?
>337 FreeのRemote-VPNツールがあるよ。 具具ってごらん
箱にJuniperのロゴが入ってきているね。
340 :
鳩 :04/07/26 17:34 ID:???
>>339 5.0.0r8にうpしたらロゴが変わったけど
箱のロゴも変わりましたか〜
これ使ってれば外部からの進入は防げますか? また、進入された場合には必ずログに残りますか? 気付かずに進入・改ざんされるケースもありますか? 初心者なのであほな質問してるかもしれませんが、、、
342 :
名無し :04/07/29 02:46 ID:???
>341 防げません(サーバなどのセキュリティホール) ログに残るとは限りません(ログは改ざんされると思え) 気づかずに侵入・改ざんされるケースは、あります。 これらは、全てのFW製品に共通する返答になります。
343 :
鳩 :04/07/29 09:13 ID:???
>>341 環境を具体的に書かないと答えは得られませんよ。
公開サーバはありますか?
ある→ポリシーに基づいてNSを通過(正規のアクセス)できます。
NSには指定されたプロトコルのアクセスログは残ります。
NSにはアプリケーションレベル(そのアクセスで何をしたか)のログは残りません。
公開サーバの穴を掘られたら公開サーバは改竄される可能性はあります。
なし→ポリシーが(NATならリダイレクトも)無ければ進入できません。
マスカレードであれば宛先が不定になるので進入は困難です。
※NSのセキュリティホールがゼロとは言い切れませんので例外もありあます。
ポリシーが無くてもトロイやウィルスなどにより進入を許す場合があります。
344 :
anonymous@ eAc1Ajy148.tky.mesh.ad.jp :04/07/29 22:46 ID:31C/m92P
gateなんて限界があるとは知りませんでした。(;_;) NS-5/10/25/50すべての機種で、たった256だって。 ダマされた。
345 :
anonymous@ M064248.ppp.dion.ne.jp :04/08/02 14:35 ID:FV7nocFr
NetScreen50(Screen OS 4)で、MIP定義して、static nat経由で FTPサーバにアクセスしようとしている。 FTP passiveモードでNSがPASV応答(227応答)を 書き換えたり、書き換えなかったり、動作が不安定で こまっとる。流れてるパケットを調べたら PASVコマンドが乗ったパケットと PASV応答が乗ったパケットの間にACKパケットが割り込んだときに 書き換えをサボりやがる。同様事象で悩んで、解決したやつはおらんかい?
346 :
anonymous@ flets-a-west-13-88.dsn.jp :04/08/02 16:01 ID:UyOjWaa4
いつもお世話になります。 NetScreen5GTのDHCP機能で、autoに設定した場合、IPアドレスの割り当て範囲はどのように決められてるのでしょうか?
347 :
anonymous@ biza388.mind.ne.jp :04/08/04 10:16 ID:E1toLgGC
348 :
:04/08/04 22:20 ID:???
unset int hogehoge manage scs
349 :
? :04/08/05 00:51 ID:???
>>345 ほとんどのNAT箱やFirewallってそういう作りでは?
PASVに対してデータ無しACK返すようなFTPサーバはそっちを直させるべきでしょう
>>347 恐ろしいぐらいどうでもいいバグかと
不特定のノードからSSH受け付けてるようなFirewallは
バグがどうのとかいう以前の問題
350 :
anonymous@ px.eden.or.jp :04/08/06 19:44 ID:YGmNtUKm
NetScreen-Remote の日本語設定マニュアルってないんですか?? 代理店にもWeb上にも英語版しかないのですが。。。 よろしくお願い致します!
351 :
anonymous@ YahooBB220009100006.bbtec.net :04/08/12 04:05 ID:RxDpLks1
すみません。 くだらないことかもしれませんが、教えてください。 5GTでトランスペアレントモードの設定の仕方を教えてください。 マニュアル読みたいのですが、持っていません。 本体のみ手に入れました。 よろしくお願いします。
352 :
鳩 :04/08/12 09:14 ID:???
353 :
351 :04/08/12 11:44 ID:RxDpLks1
>>352 さん
無事繋がりました。
ありがとうございました。
354 :
345 :04/08/13 23:11 ID:WZ9SIvJP
>>345 に自己RES. ScreenOS 4.Xの最終版にファームをUPしたら直った。
>>349 それ本当かい?オイラはお里がサーバアプリ屋で
L7以上が本丸なんだが、TCP/IPソケットのPGレベルで、
データ無しACKパケットを出す、出さないなんて、
制御を陽にコーディングするもんだろうか?
proftpdのソースコード中のPASVを受け取って、
227応答を返す間の所にsleep(1秒)を挿入しただけで
OSのTCPレイヤが勝手にデータ無しACKを飛ばしてしまうぞ。
「殆どのNAT箱、FWがそういう作り」
と言われてしまうと途方にくれてしまうなぁ。
355 :
anonymous@ z169.211-19-84.ppp.wakwak.ne.jp :04/08/14 06:39 ID:boX3rqY0
素人でもうしわけないのですが、質問です。。 Netscreen-remoteを設定したのですが、認証はされているようなのですが、 Inbound packet failed validation VPNクライアントのIP->現在接続しているIP 上記のエラーがでて繋がらないのです。。。 原因がわからず困ってます。。 教えてください。。
ADSLなどに直付けしているPCに既にPersonalFirewall(いろんなメーカーのもの)がインストールされていて そこにNS-RemoteV8をインスコしようと考えていますが... Routerとか介してなくネットに直付けなのでNAT-Tは関係ないと思いますが、 やっぱFW上でいくつか穴を開けないとだめでしょう? 実際に、上記のような環境でVPN接続されている方、何か注意することなどあったら 教えて欲しいんでつけど よろしくおながいしまつ
357 :
鳩 :04/08/19 13:20 ID:???
>>356 注意する点は・・・
質問の時に「PersonalFirewall(いろんなメーカーのもの)」と言うアバウトな表現をしたり
「インスコ」「でつけど」「おながいしまつ」とか書いたり
「やっぱFW上でいくつか穴を開けないとだめでしょう?」と自分で断定したり
「NAT-Tは関係ないと思いますが」と関係ないと思うことを書いたり
と、言う点でしょうか?
>>356 それは失礼いたしました。以後気をつけます。
SygateではOKなのですね。
いろんな...と、あやふやに記述したのは、実際のClientが決まっていないからです。
決まってないとはいえ、昨今の状況からしてそれぞれPersonalFirewallなどは
SymantecさんところのInternetSecurityなどを初め、インストールしている端末が
殆どだと思うので、あえていろんなと書いてみました。
今のところ、NS-RemoteとPersonalFirewallとの相性が感覚的に大丈夫かどうかを聞きたかったためです。
感覚的にと言っても、やはりある程度の筋道は把握しておきたかったので
一般的には、VPNを構築する際にIKEで使用するUDP500ポートを開けなくちゃならん?とか
いうセオリー通りの情報ではなく、実際にやられた組合せで相性の問題のようなもので駄目だったとかいう
事をお聞きしたかったのです。
ということで、改めて、そういう情報をお持ちの方がいらっしゃったら、情報として教えてくれませんか?
359 :
鳩 :04/08/19 15:36 ID:???
>>358 茶々いれてスマソ。
この手のスレで情報欲しい時は2ちゃん用語使いまくると
誰もパケット投げてくれないのでツッコミますた。
漏れ的にはオケーでつ。
SygateがOKと言うのは、一般的に無難だとか試行錯誤した結果だとかではなくて
NS-Remoteのマニュアルに設定方法等が載ってるからです。
# ReleaseNoteにも良くNew Sygate Personal Firewall codeとか載ってます。
私は安全パイでSygateを利用してますので他は試してませんが
Sygateを利用する分にはVPNを意識した「特殊な」設定はいりません。
っていうか、もう少し詳細なLog Viewerのログみせてくんないと 誰も答えてくれないかと。 購入先のサポート受けれないわけ?
>>359 もちろん購入してたらサポートに聞きます。
ですが、残念ながら購入前です。
実際に、物(NT-Remote)もありませんので。
一般論として、導入前の調査ということで捕らえていただければよろしいかと。
購入前ということで、メーカーにも相談してみましたが、実際に納得のいく回答は得られなかったので
ことらで、ポストしてみました。
ということで、実際に物があって繋がらない...から助けて!!って言うものではありません。
購入済で問題があるのであればあれば、勿論自分で調査します。
362 :
鳩 :04/08/20 10:30 ID:???
>>361 > Netscreen-remoteを設定したのですが、認証はされているようなのですが、
> Inbound packet failed validation VPNクライアントのIP->現在接続しているIP
> 上記のエラーがでて繋がらないのです。。。
> 原因がわからず困ってます。。
どう見ても、「実際に物があって繋がらない...から助けて!!」なんですが・・・
「購入前なんですが、エラーが出て繋がらない」と質問を受けたメーカー(Juniper!?)に同情します。
つーか、レスアンカー間違ってるし。
ひょっとして、釣られた?w
どうも..
>>310 辺りで、記号を使っているからか?使用しているビュアーのアンカーがずれ始めてる...
私は繋がらないクンではありませんでしたが、誤って
> っていうか、もう少し詳細なLog Viewerのログみせてくんないと
> 誰も答えてくれないかと。
> 購入先のサポート受けれないわけ?
に反応してしまいました。すいません。
私はパーソナルファイアーウォールくんです。( ´△`)アァ-
364 :
鳩 :04/08/20 12:47 ID:???
365 :
anonymous@ usen-219x123x157x82.ap-US.usen.ad.jp :04/08/20 15:05 ID:KAPFMvRu
NSってNFS普通に通る? NFSはサポートしてると書いてあるけど、それってポート固定しないとダメってこと? エロイ人教えて。
366 :
鳩 :04/08/20 17:53 ID:???
>>355 おまぃ、ややこしいよ。
どう見ても、おまぃに掛けたレスじゃないだろ。
まともに読めないなら、ブラウザで嫁。
368 :
anonymous@ cn114.ade.point.ne.jp :04/08/21 01:22 ID:bMdkDu5P
5gtにインターネット経由(p-in)でNSRで接続させたいんですけど phase2が終わった後に Failure finding or creating filter entry Key Download faild Error downloading key Fail loading the keys ってLogViewerにでます。 設定内容としては ObjectsからUserを作成しそのユーザでXAuthして 特定のIPpoolを割り当てるということをしようとしています。 コネクションを張るときにXAuthの画面は表示され 認証に成功してPingが飛んだと思いきや存在しないホストに Pingを飛ばしても応答するという状態になっています。 実際Pingの宛先のマシンでパケットキャプチャしてもパケットは 飛んできてないようです。 ハマって抜け出せない状況です。 どなたかご教授願えませんでしょうか?
369 :
H :04/08/24 20:53 ID:lxdqDwCu
>368 そのPCって、結構いろんなソフトはいってる? 特にセキュリティ関係の。
370 :
age :04/08/24 23:51 ID:kwpaWRBQ
>>365 NFSこそ、gateの制限に引っかかるぞよ。
ベンダーの担当者、つかまえて、これに触れないようなら、縁切るべし。
悪いことは言わないヨ!
>370 そのgateって何なのよ??? 気になる〜
372 :
age :04/08/27 21:50 ID:W/PArrQV
>>371 リファレンスマニュアルに "get gate" として説明がある。
"set gate" は、存在しないのがミソ!
373 :
:04/08/28 12:42 ID:???
だから、エンタープライズ用途はFW-1にしとけって Web系やエッジならNSで
374 :
anonymous@ pl017.nas511.ta-tokyo.nttpc.ne.jp :04/08/28 17:53 ID:ixHRSeFs
NetScreen50とNetscreen-remote間でVPN接続した際に 通信するプロトコル(例えばFTPだけとか)を制限する 方法・設定はあるのでしょうか?
375 :
鳩 :04/08/28 18:25 ID:???
376 :
a :04/08/29 04:51 ID:???
>372 これですな。 gate Description: Use the gate command to check the number of gates on the NetScreen device, how many are in use, and how many are still available. Gates are logical access points in the firewall for FTP and similar applications. The NetScreen device creates the gates, then converts a gate for each new session when data traffic occurs. The default number of gates on NetScreen devices are: NetScreen-5000 Series 8192 NetScreen-500 4096 NetScreen-200 Series 1024 NetScreen-100 1024 NetScreen-25/50 256 NetScreen-5XT 256 NetScreen-5GT 256
Netscreen 5XT と、PLANEX BRC 14V を IPsec で、VPN 接続させようと 思っているのですが、実績はあるのでしょうか? 回線は、双方共 Bフレッツ ニューファミリーで繋ごうと思っています。 もし、繋いだ実績情報などありましたら、教えてください。 他の製品でもかまいません。 宜しくお願いします。
>377 Netscreen50 <-> YAMAHA RTX1000 でIPsec でVPN作ってますが 構築方法は、YAMAHAのサイトのFAQでハケーンしてくらはい。
>>374 それって、Netscreen50側でポリシー設定するんじゃいけないのか?
Untrust → Trust(DMZ)で?!
もしくは、Netscreen-Remote側の製品で
最近 Netscree-Remote security clientってのがあるけどこれを
を使えば、remote側でもできるんでは?
#使ったこと無いから推測でしかないがな
policyMIPが5.0.0代から使えるようになったんですね。 C&E P.292にありますけど勘違いでしょうか。
381 :
N :04/09/04 01:25 ID:ZVZqSYZS
素人な質問なのですが、教えてください。 5GTで、PPPOEにてb-fletsに接続したいのですが、 untrust側にIPがふられません。 LOGは、こんな感じです。 PPPoE session started negotiations Failed to set PPPoE interface IP address. PPPoE failed to establish a session: LCP,CHAP/PAP,IPCP link setup Point-to-Point Protocol over Ethernet(PPPoE) settings changed. WEBUIにてユーザー名とパスワードの設定をして、 後は、auto-connect,lcp-echo-timeout,lcp-echo-retries この辺の値を変えたりしましたが、だめでした。 よろしくお願いします。
382 :
? :04/09/04 09:41 ID:???
>>380 policyMIP?
ポリシーベースのスタティックNATって意味ならできるみたいですよ
まだ試してませんが
383 :
M :04/09/04 11:42 ID:P8YTh5NK
超初心者です。 どなたか、Netscreen5XTのOSのバージョンアップ方法を教えてください。 WebUIのConfigureの画面でSoftware Updateのテキストボックスにファイル名を入力 してApplyボタンをクリックしたのですが、更新されません。 5分後に再起動がかかるとメッセージが表示されるのですが、再起動が掛かり ません。特別な管理者アカウントがあるのでしょうか。 バージョンは3.0.3r2.4です。 宜しくお願いします。
384 :
鳩 :04/09/04 20:22 ID:???
>381
interface,user,password,Authenticationに間違いは無いですか?
今までそう言うトラブルが無かったので見当がつきませんです。
>>383 特別な管理者アカウントは無いですよ。
一つ前のもの(駄目ならそれより古いもの)にUpしてからではどうですか?
385 :
N :04/09/04 22:00 ID:ZVZqSYZS
>>384 interface=untrustにてPPPoE設定。(interfaceはUPしています。)
Authentication=auto(一応全部試してみました。)
user,passwordに間違いありません。
→プロバイダより、認証サーバーからOKは返していると言われました。
あと、Bound to interface の設定値って関係ありますか??
今は、[untrust]になっていますが、[trust]にすると
WEBUIが繋がらなくなってしまいます。
386 :
鳩 :04/09/05 12:35 ID:???
>>385 Bound to interfaceはuntrustで良いですよ。
各パラメータはデフォルト値で問題が起こったことはないですね。
一度、unset allで工場出荷時に戻して設定してみては?
387 :
N :04/09/05 22:40 ID:Zrt52ovj
>>386 たびたびレスありがとうございます。
もう一度最初から設定してみます。
388 :
anonymous@ 219.166.0.1 :04/09/06 15:04 ID:B4M1LrTJ
Netscreen(L2TPのみ設定)とWindows(L2TPのみ設定)でVPN接続はうまくいったのですが、 Netscreen(L2TPのみ設定)とNetscreen(L2TPのみ設定)でLAN同士の接続って出来ないのでしょうか? 説明書にもIPSecにはLAN間設定例があるのにL2TPにはクライアントとの設定例しかないし、GUIのメニュー にも無いようです。
389 :
anonymous@ 219.166.0.1 :04/09/06 15:05 ID:B4M1LrTJ
あああ
390 :
Net :04/09/07 11:47 ID:gntNT7uq
初心者です。どなたか教えてください。 Netscreen5XTを3箇所で使っています。 ブラウザにtrust側のIPを入力し、WebUIのメニューを表示させようとして、 Admin Nameとパスワードを入力したら、それまでは表示されていた メニュー画面が表示されず「ページを表示できません」と表示されて しまいました。(インターネットで間違ったアドレスを入力した時と同じ表示です) そこでサポセンに教えてもらってuntrust側からポートを開いてWebUIを 有効にするとuntrust側からのブラウザ表示はOKでした。 通信状況は問題ないようです。 原因を探るために @OSのバージョンが同じ代替機にConfigを移し変えてみる A代替機のOSを4.0.1r9から段階的に5.0.0r8までバージョンアップ をやってみましたが状況が変わりません。 1週間が経過しましたがサポセンはまだ「原因調査中」なのです。 どうやったらtrust側でWebUI表示ができるのでしょうか? よろしくお願いします。
391 :
M :04/09/07 12:50 ID:0NK1/pe0
>>384 鳩さん、回答ありがとうございます。
現在のバージョンの直後のリリースで試しましたが結果は同じでした。
TFTPサーバを使用する方法を試すしかないのでしょうか。
気がついた点ありましたらお願いします。
>>390 問題のあるコンフィグを他の個体に入れてみるのは可能なのか?
同じ現象がおきるなら、configの設定に問題があるんだろうな
policyを一旦全てdesableにしてみるとか、もっとやってみる方法は
ないのか?
よくある話、何にもしてないのに出来なくなったと言う糞ユーザ
いるけど、なにか変更とかした後の出来事じゃないのか?
変更箇所を疑うべしだな...
しかし..OSの5系まで上げてしまっているのか_| ̄|○
ちとはやまってないか?
policyやら、AddressList、VPN関係なんかの部分を外して
コンフィグ晒して見れここに
なんかレスあるかもよ
>>390 今更...とは思うが...
set admin manager-ip
の設定ミスではないだろうな....
394 :
Net :04/09/07 18:30 ID:8rH83i4D
レス有難うございます
>>392 サポセンが持ってきた代替機にconfig移し替えたんですけど
結果は同じでした。
>しかし..OSの5系まで上げてしまっているのか_| ̄|○
>ちとはやまってないか?
サポセンの勧めです。最近この板呼んでなかったもんで‥
5系はまずいですか? 全て5系にしちゃいました。
>>393 set admin manager-ip確認しましたがOKです
サポセンにconfigを提出済みですがわからないそうです
configはこの個所でいいのでしょうか?
初心者なもので的外れだったらすいません
set interface untrust mtu 1492
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
unset interface trust manage snmp
unset interface trust manage ssl
set interface untrust manage ping
set interface untrust manage ssh
set interface trust dhcp server service
set interface trust dhcp server auto
よろしくお願いします。
>>394 貼ってある部分が致命的というようなことはなさそうだけど
アクセスできないConfigは他の個体に入れても同じ現象になるのであれば
ハードの問題ではなさそうだな...
WebUIアクセス不可の状態で、Trust側のネットワークから、FWにはPingは
通るんだよな?
LANケーブル断線などということも無いよな?この際だからなんでも疑ってみる。
config全部見てみたいが、それもまずいので
どうだこの際、工場出荷時に戻して、再度構成しなおすというのは。
うまくいけば、両方のコンフィグをつき合わせて、おかしかったところを
報告してみろよ。
ちなみに、アクセスできなくなったとき、何やったんだ?
そこのところが気に掛かるな
396 :
anonymous@ 112.20.244.43.ap.livedoor.jp :04/09/07 23:29 ID:uU5C6ukD
>>395 レス有難うございます。
>ちなみに、アクセスできなくなったとき、何やったんだ?
>そこのところが気に掛かるな
NetScreen5XTを3台使っていて、1台追加する必要があったので
新規の1台と使用中の2台のconfigを書き換え、最後に問題の1台の
メニュー画面を開こうと、いつものようにブラウザのアドレスにtrustのIPを
入力し、ログインIDとバスワードの入力画面が表示されたので入力しました
(なぜか入力画面は表示されます)。すると画面は「ページを表示できません」
と表示されてしまいました。Web表示できない以外は問題ありません。
ほかのNetScreenはWebUI表示OKでした。
その後、なんとか設定を終えて通信を確認するとOKです(でもWeb表示は×)。
>どうだこの際、工場出荷時に戻して、再度構成しなおすというのは
地理的にも私の技術的にもできないのでサポセンに依頼してみます。
397 :
W :04/09/11 23:20:57 ID:tgnV1FgJ
教えて下さい。 syslogの設定のとこのfacilityに、"auth/sec"とあるのですが、 どういうことをしたい場合に設定するものなのでしょうか?
>>397 FacukityをAuthにしたいとき
399 :
wq :04/09/14 15:20:16 ID:xkkKtvuL
以下の構成においてW2KからRT57iにPPTP接続します。 W2K--Netscreen-----Internet-----RT57i ※NetscreenとRT57iのWAN側にはGlobalIPがあります。 ※W2KはPrivateIPです(NetscreenではNATを行っている) このときにW2K〜RT57i間がPPTP接続できません。 ちなみにNetscreenをはずしW2KにGlobalIPを設定すると正常にRT57iに VPN接続できます。 考えられるのではNetscreen側がGre47番とTCP1723番号を通してないためと 思うのですが、どのように設定したらよいかわかりません。 ここのポリシー設定をご存知の方いらっしゃいましたらご教授お願いいたします。
400 :
NN :04/09/15 22:29:53 ID:???
>> 399 カスタムサービスで任意のサービスを作成して、 あとは適切なポリシーを作成したらいいのでは。 あと、NSのトラフィックログでUntrust→TrustのDenyの通信をみれば 何のポリシーを作成したらいいのか分かるかと思う。
401 :
通りすがりですが :04/09/20 16:52:42 ID:kv3q1VHW
>396 configに unset interface trust ip manageable って入ってない? 入っていたらシリアルコンソールから以下のコマンドを 入れてみて set interface trust ip manageable
402 :
anonymous@ 77.127.215.220.ap.yournet.ne.jp :04/09/22 16:35:09 ID:7Ut6kgC1
VIPに対して外部からのpingを許可する設定をご存知の方 いらっしゃいますか?? VIPで選択できるデフォルト設定にICMP系は存在しないので、 Service-CustomでICMP-VIP-Requestとか作成してicmp(type=8,code0)で 作成したサービスをPolicy許可しても反応が無いです・・・。
403 :
anonymous@ 62.127.215.220.ap.yournet.ne.jp :04/09/22 18:00:00 ID:n+tbQBO4
402です。 すいません、MIPを使えばいいだけでした。 VIPはポート番号で複数サーバに振る場合だけ使用ってことですね。
404 :
Net :04/09/27 09:08:51 ID:GuNMXNuV
>401 unset interface trust ip manageable は入ってませんでした。 サポセンでconfigをチェックしてもらっても理由わからず。 その後、トラブったルーターを別の拠点に持っていってつないだらOK わけわかんないですね‥ Bフレッツとの相性とかあるんでしょうか?
L2TPで Win2KクライアントとNetscreen間でリモート接続させようと奮闘してます マニュアル参考にやって あっさりユーザ名とパスの認証も通って、 Win2k側でIPアドレスもきちんと取得できたのに その後が。。。 Win2K(リモート) <−−> 内部のサーバ が通信できまへん パケット拾ったところ 健気にWin2K側からパケットは送ってるみたいだけど 戻りパケットが来ない感じ・・ なにが原因ですかねぇ
406 :
sg :04/10/02 13:30:13 ID:???
>> 405 内部サーバのWin2K側に対するルーティングが設定されていないからとか。
407 :
anonymous@ 61.39.244.43.ap.yournet.ne.jp :04/10/03 01:09:32 ID:wTljy+xI
こんばんは NS側のIP Poolに設定して、Win2Kクライアントに割り当ててるIPアドレスって 内部サーバと同じIPセグメントなんです なので内部サーバ側にはルーティングは設定してないです・・・ サーバ側に何か設定が必要でしょうか・・
408 :
EMIEMI222 :04/10/04 11:37:05 ID:iGYhkNnk
GUI上の設定しかできないど素人ですが、教えて下さい。 NetScreen5XPの下にルータを置き、外部へ公開したいと考えております。 試験用なので一時期だけなので以下の通りにしろと上司に言われました。 モデム | NetScreen(5XP) | ハブ | | 社内LAN (P社)ルータ | テスト環境 単純な考えではNetScreenにルータへの通信をすべて許可にするとすれば 良いのですが外部からこのルータの設定画面を見ることができません。 ポリシー画面で下記を許可する設定を行いました。 【trust】ルータグローバルIP → 【untrust】Any サービス:Any 【untrust】Any → 【trust】ルータグローバルIP サービス:Any 上記の設定だとテスト環境から外部へは通信できるのですが、外部から テスト環境(ルータ)へアクセスすることができません。 こんな単純なやり方ではできないでしょうか。 よろしくお願いします。
409 :
di :04/10/04 15:36:35 ID:???
>>405 ,407
−NS側のIP Poolに設定してるIPアドレスが内部サーバと同じIPセグメント
−内部サーバ側にはルーティングは設定してない
ってことから、
NSの内側(Trust)のアドレス = IPPOOL = 内部サーバ ( = は同じセグメントって意味)
じゃねぇかと思うんだが、NSの内側アドレスと同じセグメントからIPPOOLをとると、NSが
そのIPPOOLのアドレスへのARP Request に答えんかったような気がする。
(以前はそうじゃった)
これが原因でないけ?
- IPPOOL かえる
-内部サーバへのアクセスを認めるポリシでNSの内側でNAT
してみるとどうなるべか?
410 :
di :04/10/05 16:57:30 ID:???
>>408 NetScreen の下のルータって単純にルーティングしているだけなの?
それとも、NATとかもしているの?
単純にルーティングだけなら、MIPを使うとよい。
単純にルーティングしてるだけなら、テスト環境から外部に通信できるのは設定した
ポリシーとは関係なく、trust any untrust any any permit なルールがあるからじゃろう。
ルータがNATしているんでそのようなルールを書き、それで通信が可能になったのなら、
こりゃぁ、ルータの設定を外部からテスト環境への通信を許可するように設定せなならん
から、NetScreenだけの設定じゃ無理だべ。
411 :
405 :04/10/06 09:02:04 ID:???
>>409 - IPPOOL かえる
これでOKでした!ありがとうございました。
前L2TPの経験があったWATCHGUARD社製のfwでは ippoolを内部サーバと同じ
IPセグメントで作成してもOKだったので 勘違いしておりました
今 マニュアル確認したら、マニュアルの例でも、違うセグメントでIPpoolを作成するような
設定をおこなってましたね(;・∀・)
助かりました〜 ありがとうございました
>>408 >410
それでもいいかもしれないけど、
まずは動作モードを調べてみれば?
恐らく、TrustインターフェースはNAT・UntrustインターフェースはRoute
になっていると思ふ。
・TrustインターフェースをRouteモードに変える(set int trust route)
・社内LANからインターネットへの通信を、インターフェースNATからポリシーベースNATに
・テスト環境へのStaticルートを書く
・外部からテスト環境への許可ポリシーを作成
(念の為、一番下には「Any Any ANY Deny」ポリシーを)
まぁ、MIPの方が簡単かもね。。。
413 :
di :04/10/06 11:13:24 ID:???
414 :
mde :04/10/06 13:25:28 ID:nq4pg072
NetscreenRemoteを利用するユーザごとに 割り当てるWINSやDNSを変える事できますか?
415 :
di :04/10/06 13:35:38 ID:???
>>414 WebUI の VPNs->L2TP->Tunnel の設定画面を見ると、Dialup Userごとに
割り当てるWINSやDNSを設定できるように見える。
思い通りに動くのかはわからん。試して教えてけろけろ。
すいません。知っている方がいたら教えていただきたいのですが。 5GT購入しました。フレッツADSLを使って相手側は固定IPでVPNトンネル したいのですが、パケットがuntrustの外へいきません。 VPNでないトラフィックは出て行きます。ADSLモデムとNestscreenの間にハブ いれてsnifferで取ってみました。ログはIKE phase1 initiated....で終わります。 スタティックルートが必要なのでしょうか。 HELPMEです。
417 :
typhoon No.22 :04/10/09 16:48:16 ID:W92eIems
>>416 VPNの設定が悪いなり。
もう一度、手元のNetScreenと相手NetScreenとのVPNの設定を
確認してみることをお勧め。
確認の項目としては、
- 互いに相手がゲートウェイとして設定されてるの?
- 事前共有鍵はちゃんと同じ(証明書ではないよね)?
- Phase1, Phase2 のプロポーザル
くらいをとりあえず。
VPNじゃないトラフィックはOKならスタティックルートは関係ないよ。
ガンガレ
ふと思ったが、相手は固定IPと書いてあるけど、自分は 固定IPではなさげ..... orz
>>417 ありがとうございます。
NetScreen−−−−Hub----ADSLModem--
|
Sniffer
VPNの設定が悪くてもPhase1のネゴシエーションのためのGWへの
パケットは出て行くと思いますが、Snifferでは何も取れませんでした
ISPからはuntrust側のグローバルもDSNも受け取っているので
WAN側の接続は問題ないと思っています。
困ってます。
420 :
typhoon No.22 :04/10/09 17:52:18 ID:W92eIems
>>419 ポリシーにVPNひっかけてたら、そんな通信がこないと VPNを
はろうとしないことは考えられるっすね。
ポリシー云々の影響を除くために、VPNモニターとかの設定はしとる
ですかにゃ?なければ、設定シマショ。
で、NetScreenCLI使えるなら、debug コマンド使いまひょ。
5gt-> debug ike detail
.... しばし待つ
5gt-> get dbuf st
VPN関連のデバッグ情報がウネウネ出てきまっせ。Try!!
WAN側が大丈夫なのを確認するためにも、CLIでピーイングも
やりましょ。
5gt-> ping どこか
>>420 ありがとうございます!。
debugコマンドあったんですね。
さっそくtryしてみます。
明日新幹線で挑戦してきます。
422 :
温帯低気圧 :04/10/10 12:43:03 ID:5VaaLubd
>>421 接続しようとしているNetScreenが固定IPなのか、そうで
ないのかにもよっていろいろ設定は違ってくるぞ。
固定IPじゃなかったらアグレッシブモードでとか、ね。
とにかく、幸運を祈る。
でわ、さらばじゃ!!
>>420 >>421 ありがとうございました。
preshareキー違ってました。あと、おっしゃるとおりで
アグレッシブモードで接続できました。
これからもよろしくおねがいいたします。!
424 :
雨だれ :04/10/13 08:55:28 ID:???
よかった :)
425 :
台風 :04/10/13 12:58:47 ID:L+P84BCz
netscreenのSSL-VPN製品でSAM起動後、社内プロキシ経由でWWW見たいとき。 通常どおりブラウザを立ち上げてブックマークから見に行くことできますか? また社内ウェブを閲覧するときブラウザの設定でプロキシ経由・ノンプロキシ経由を変更できますか?
426 :
? :04/10/16 02:10:57 ID:???
しかし、NetScreenはなんであの無意味なDoSプロテクションを さっさと捨てさってくれないのかなあ? Ver1.xころから今の今まで全然まともに動かないんだから 設計思想を根本から変えない限りこれ以降もダメでしょう 下手に機能があるからまともに動かないと客に突っ込まれて大変です
427 :
?? :04/10/16 08:37:11 ID:???
>>426 禿同
無意味DoSを減らして、もっとALGを充実させてほちい
けど、ALG充実させても、「ALG使ったら遅くなったじゃねぇか、ゴルァ!」
とか言われるんだろな。
ぼちぼち、5.1でんなぁ...
428 :
427 :04/10/16 08:40:22 ID:???
ちょいと、みんなに質問。 美奈様はNetScreenに追加して欲しい機能ってどんなのがある?
429 :
427 :04/10/16 08:43:19 ID:???
途中でカキ子っちまった。。 もいらは、文の不正中継くらい防げるようにして欲しいんじゃが。
430 :
鳩 :04/10/16 14:19:17 ID:???
そー言う機能はFirewallに期待する機能であって Netscreenに期待するものでは無・・・・・・・( ゚Д゚ )アレ?アレレ? まぁ、それぞれ得意不得意はあるもので、いやはや
431 :
初心者 :04/10/23 06:17:28 ID:bhXleOCN
素人です。最近ネットスクリーンをはじめました。なんかすごく難しく感じます。 ルーティグベース、ポリシーベースとあるんですが、これの違いっていうのはなんでしょうか?? tunnelインタフェースにバインドするというのはなんとなくわかったのですが・・・・・・・
>>431 機器を2メールの高さに上げ、そこから45度の角度で落下させればうまく動くかも
433 :
鳩 :04/10/23 12:51:50 ID:???
>>431 (らんぼーなイメージ)
httpだけを通すVPN接続をしたい場合。
ルーティングベース:
VPNを張って、httpを通すポリシーを書く。
ポリシーベース:
httpを通すVPNを張る。
>>433 イイ!!
まあ、使い方の区別は、ここへ逝くときゃ全部 VPNってときには、
ルーティングベースでVPN張る。で、そこへ逝かせる通信のポリシー
を書く。
そこへいく通信の中で、これだけはVPNにしたいなってときはポリシー
ベースでVPN張るのがよいと思ふ。
435 :
鳩 :04/10/23 22:36:50 ID:???
>>434 個人的にはルーティングベースだけでOKだと思いまふ。
特定のサービスを通すだけでなく、蹴ったパケットのログ取ったりすると
今後の為になる情報をゲトできるし。
過去のバージョンと混在してる場合は
ポリシーベースの方が何かと楽できそうですね。
436 :
昔話 :04/10/24 06:55:20 ID:???
ぜんぜん関係ないけど、そういえば、IPsecのちょい前に、VPNとして、 swIPe とかいうのがあったんだけど、これの実装がルーティングベース っぽかったなぁ。。。
昨日の新宿でのセミナーどうでした? 行けなかったので内容キボン
>>437 そんなものがあったんか。。。
内容は 5.1 の話だったんかのう。内容キボン, too m(__)m
俺行きました! ただ俺ぺーぺーなんで内容よくわかんなかったです 今月末に出る5 1の話が多かったですよ 後は新しくJシリーズが出るとか、ジュニパーはシスコよりすごいとか(笑) そんな話でした あと光学マウスもらいました
440 :
438 :04/10/27 19:33:20 ID:8wWrNAqq
441 :
? :04/10/30 02:09:27 ID:???
日立の5.1リリースはいつになるやら
442 :
442 :04/10/30 18:44:42 ID:k4If9sl+
443 :
?? :04/10/31 14:48:20 ID:???
H立リリース遅すぎ....
444 :
鳩 :04/11/01 09:11:16 ID:???
サポートを考えると こんなもんでしょ。 とフォローしてみる。 フォローしたからデモ機くれw>H立
445 :
不明なデバイスさん :04/11/01 20:02:07 ID:slF8vip3
どっかに日本語マニュアルないのでしょうか、、、、英語はきついです
446 :
? :04/11/02 01:14:55 ID:???
日立の悪口はやめてあげてください
年1ぐらいでしか買わないのにお願いするとすぐデモ機貸してくれるいい人たちです
まあ、うちじゃなくてエンドのキャリアに気を使ってるんでしょうけどね
>>445 日立とアライドは出してたはずですが
447 :
NSRP :04/11/02 01:23:56 ID:tlca05+a
>>446 JuniperのHPに行ったら普通にありますよ。
Release NoteやCLI Manualと勘違いしてませんか?
ScreenOS 4.0台のNS25でNSRPできないの忘れてた。。。Oh!!
448 :
不明なデバイスさん :04/11/02 13:49:03 ID:zS2qbOdD
JuniperのHPを見ましたがサポセンにログインしなければdownload できないのでしょうか、、、 ドキュメントは英語のようです。 日立、アライド(三菱系列)で買ったものではないので取り寄せは厳しいです
449 :
鳩 :04/11/02 16:43:46 ID:???
450 :
不明なデバイスさん :04/11/02 21:28:01 ID:oj2AVNXI
鳩さん 過去ログを読み落として大変申し訳ありませんでした。 今後 熟読したいと思います。教えてくれて大変ありがたいです。 東北より感謝!楽天もくる!
451 :
鳩 :04/11/02 21:36:31 ID:???
452 :
anonymous@ c118190.net21845.cablenet.ne.jp :04/11/03 04:47:19 ID:aRRj1HbH
初歩的な質問で申し訳ございません。 1台のNetscreen50でトランスペアレントとRouterモードを混在させる事は可能でしょうか? 構成例1: port1 untraust(Router) port2 DMZ(トランスペアレント) port3 trust(Router) →DMZがL3なので、無理でした 構成例2: port1 V1-untraust port2 V1-DMZ port3 trust(Router) VLAN1にIPを割り当てます。 →trustとV1-DMZの間にポリシーを書こうとしますと、 「L2とL3ではポリシーが適応できない」と怒られて、設定できません。 何か良い方法がございましたら、ご教授お願い致します。
453 :
:04/11/03 07:18:55 ID:???
>>452 はSonicwallユーザ
いや、なんとなくそんな感じかなと
454 :
? :04/11/03 08:45:54 ID:???
>>452 無理なんじゃないでしょうか.....。
以前似たようなことがやりたくていろいろTryしてみましたが、、、
だめじゃった orz...
secondary IP とか使っても IPが重なっとるで!とか怒られたし。
以前はIPのoverlapping を無視せよ!みたいなコマンドがあった
ようですが、現在は見当たらない。。。。
455 :
452 :04/11/03 11:19:31 ID:aRRj1HbH
>>453 sonicWallは使用したことが無いのですが、
sonicWallでは、上記構成で設定できるのでしょうか?
>>454 助言ありがとうございます。
456 :
anonymous@ p1067-ipad41hodogaya.kanagawa.ocn.ne.jp :04/11/03 11:40:05 ID:OTxhPaYY
L2とL3は混在させることはできません。 Interface ModeというC&E Vol.2 P.107〜P.135を見てみよう。 誰かHSC(Hardware Security Client)触った人いないかな? NSMを使っているのが前提のProductみたいですが。
457 :
456 :04/11/03 11:41:49 ID:OTxhPaYY
Oh,default Hushianasanにひっかかってしまいまーしたorz
458 :
454 :04/11/03 12:34:44 ID:MXRvBQY5
>>455 SonicWALLとかFireboxとかならできると思うよ。
SonicWALLは標準で、UntrustとDMZが同じセグメント、Trustは別、
Fireboxは標準でUntrustもDMZもTrustも全部同じセグメントのブリッジみたいな
感じだたよ
459 :
456 :04/11/03 12:50:00 ID:OTxhPaYY
SonicWALLやFireboxを扱ったことがないので知りませんでした。 ベンダーによって動作が違うんですね。
460 :
kazu :04/11/07 20:46:29 ID:DgJOPY2Q
Netscreen5XTの設定方法を教えて頂けないでしょうか 間違って Manage IP を 192.168.135.0 としてしまい Web上で設定できなくなってしまいました。(表示不可) 232Cケーブルでつなぎ、Tera Term から、設定情報は参照できたのですが、 変更方法が分からずにいます。 Trustの IpAddress / Netmask 192.168.135.0/24 から 192.168.135.1/24 へ変更 Manage IP 192.168.135.0 255.555.255.0 から 192.168.135.1 255.255.255.0 へ変更 get tech にて現在の情報を確認 set interface "trust" zone "Trust" set interface "untrust" zone "Untrust" unset interface vlan1 ip set interface trust ip 192.168.135.0/24 set interface trust nat unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip set interface vlan1 ip manageable set interface trust ip manageable set interface untrust ip manageable set flow tcp-mss set hostname ns5xt set address "Trust "VPNUSER-45" 192.168.135.0 255.255.255.0 "名前1" set address "Untrust" "VPN-Shin" 192.168.10.0 255.255.255.0 "名前2"
461 :
ガンガレ :04/11/07 21:24:19 ID:ri/559yA
>>460 TrustのIPアドレスを蛙のは、単に、
unset interface trust ip
set interface trust ip 192.168.135.1/24
と、unset & set すればよろし。
modify interface trust ip 192.168.135.1/24
とやれば一度でできる。(はず)
それと、manager-ip と manage ip って2つあって
manage-ip: 機器を操作するためのアドレス(NetScreenにssh とか telnet でつなぐとき使う)
manager-ip:機器につなぐことができるアドレス(これ以外のアドレスからつなげない)
どす。ぱっと見、ネットワークアドレス設定しようとしちいるんで、manager-ip かな?と思う炊けど、
manage ip のやうですな。
manage ip は設定しなければ、インタフェースのアドレスが設定されるよ。
同じアドレスでもつけたいなら、
set interface trust manage-ip 192.168.135.1 (ネットマスクイラネ!)
少しうそついてるかも半分は正しいはず。
462 :
kazu :04/11/07 23:37:56 ID:RvfQEhh8
>>461 様
unset interface trust ip
set interface trust ip 192.168.135.1/24
で復活しました。
助かりました。
有難うございます。
463 :
461 :04/11/08 10:34:16 ID:???
エガッタエガッタ
464 :
438 :04/11/12 21:20:18 ID:???
>>432 イイ!!
まあ、壊れても知らんが・・・・。
465 :
623 :04/11/18 18:57:36 ID:???
selfログがぜんぜん取れないんですけど、あれはどこか設定必要ですか? 教えてください。おながいします。
466 :
age :04/11/18 19:26:32 ID:1BubM45/
>>465 selfログってどんなログのことかわからんのじゃけど
(実はおぬしの623もなにかわからん)
set firewall log-self とかは?
467 :
623 :04/11/18 19:39:03 ID:???
>>466 レスサンクス
selfログってのはマニュアルで見ると
NetScreen は、すべての落とされたパケット(ポリシーに拒否されたものなど) やNetScreen デバイスが終了した
トラフィック(管理トラフィックなど) を監視および記録する自己ログを提供します。自己ログは、トラフィック
ログと同様に、落とされたパケットおよびNetScreen デバイスで終了したセッションの日付、時刻、ソースアド
レス/ ポート、宛先アドレス/ ポート、継続時間、およびサービスを表示します
ということです。
つまりポリシーに反して落とされたパケットも全部わかるよーということだと思ってるんですけど・・・
そこらを全部syslogサーバにあげてlog解析ツールで統計取ろうかなーと思ってます。
ちなみに623てのはただ前に書き込んだものが残ってただけでした。
468 :
623 :04/11/18 19:43:07 ID:???
>>466 おお 言われたとおりにコマンド入れたら出ました!
GUIだと設定らしきもの見られなかったのに・・・
コマンドじゃなきゃ設定できないことって多いんですかね
とにかく助かりました。ありがとうございました。
469 :
ゲチアの反例 :04/11/19 01:16:04 ID:uqU9BEql
>>468 GUIでもRepoting のところで、表があるところの一番上に自分自身で
拒絶したログをとるかとらないかのチェックボックスがありまっせ:)
コマンドじゃなきゃできない設定項目ももちろんあるけど、とりあえずこれは
GUIでも設定できるつーことで。
470 :
469 :04/11/19 01:16:50 ID:???
ぐぇ、名前がしもた.....
471 :
:04/11/19 02:41:25 ID:???
5GTの年間保守費(トレンドの定義更新も含む)はいくらですか? また、お勧めの販売店はどこでしょう?
473 :
472 :04/11/19 23:55:44 ID:???
おっと、忘れてた。 やられたりー
Port Forwardingについて教えてください。 テスト用に使用していたNS-100 OS4.0.0を、FWとして本格的に使用しようかと思い立って 再設定を始めたのですが、WebサーバやSOCKSサーバを外部に公開する為に NSのuntrust宛てに来たパケットを転送する必要がある事に気付きました。 ところがうちはISPから1つしかIPアドレスを貰っていませんでした。 (OCNからPPPoEで固定アドレスを1つ貰っています) 4.xだとポート転送用のVIPをuntrustのアドレスとは別に設定しないと駄目みたいなのですが、 何か別の方法があるのでしょうか?それともやっぱり駄目なんでしょうか? また、5.1.xではDNATがサポートされているようなのですが、これはNSのuntrust宛てに来たものを 直接転送できるのでしょうか。それとも4.0のVIPのように別アドレスを設定してあげる必要が あるんでしょうか? (保守切れてるので5.1が試せない orz)
475 :
474 :04/11/23 04:56:18 ID:???
名前欄入れ忘れた... 吊って来る
476 :
質問です、お助け :04/11/23 06:46:04 ID:JucVuEBa
Netscreenの管理画面で、その時点でVPNクライアントアクセスしているユーザー名やユーザー数な どを把握できるのかと聞かれています。GUIのどこかでみれますか?NS25です。教えてください。
>>474 4系のScreenOSのことはあまり知らずに意見するのも恐縮ですが、
- あるポートを別のポートに forward したい
- 4系ではVIPは untrust とは別のアドレスにする必要がある
- アドレスはひとつしかない
は同時にはなりたたないので、「やっぱり駄目」なのではないか、と
思います。
ただ、5.1まであげなくても、5.0ではVIPをuntrustと同じアドレスに設定
することはできますよ。
#って、NS-100に5系のファームはあったのだろうか?
478 :
ゲチアの反例 :04/11/23 11:10:39 ID:eqmDbKn8
>>476 見れないと思います、、、、。
adminとしてログインしてるのは get admin cur とかで見れるけど。。。
うそついてたらごめんなさい。
479 :
anonymous@ 07001110717538_mc :04/11/23 16:54:07 ID:4cu2RlQQ
ジュニパーかジェニパーか?
やっぱ ジュンパー でしょ
481 :
anonymous@ 210.160.18.66 :04/11/23 18:15:16 ID:AstFXADj
NetScreen25とRTX1000でVPN(IPsec)設定をしているのですが、うまくつながりません。 リモートのLANにまったくアクセスできない状況です。 NetScreen側のログは下記のようになっています。 IKE<*.*.*.*> Phase 1: Retransmission limit has been reached. 2004-11-23 17:56:48 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode. 2004-11-23 17:55:57 info IKE<*.*.*.*> Phase 1: Retransmission limit has been reached. 2004-11-23 17:55:08 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode. 上記だけの情報で恐縮ですが、どこに原因があるのか教えてください。
482 :
? :04/11/23 22:41:08 ID:???
>>481 とりあえずRTX1000側でログ見て何も出てないようなら
IKE自体が届いてないのでは?
どっかでフィルタされてないかを確認してみるべきでしょう
483 :
ゲチアの反例 :04/11/23 23:04:50 ID:h9V2Da4X
>>481 mainモードでほんとにそれだけのログしかないなら、IKE自体が届いて
ないにマンセー。
| デバクスルノ ゙マンドクセー ケド ガンガレ
| ('A`)
/ ̄ノ( ヘヘ
484 :
anonymous@ nttkyo093034.tkyo.nt.adsl.ppp.infoweb.ne.jp :04/11/24 00:29:30 ID:cGJEAdXD
netscreen25を使っていますが、コンソールに入り、pingを叩いても内外部どこへも通りません。 trust側のPCからは外部へ問題なくpingが通ります。 (netscreenのtrust側IPへもpingOK) また、外部からuntrust側IPへもpingが通るように設定しあり、フィルタはかけていないのですが このような状況になってしまいます。 どこに問題があるのでしょうか・・・
>>476 GUIでは見れなかったと思うけど、
コマンドなら get ike cookie とかで表示できたような。
そのなかに表示されるUserIDとConfigのなかのUserIDを照らし合わせれば。
まぁ、GUIではないですが…。
>477
5.x系でも機種によってはUntrustと同じIPは設定できなかったと思うよ?
>>484 どんな構成になっているかが木になる…
>>485 get ike cook で判断するのは p1のlifetimeが28800もあるんできつくないかな?
すでにいないのにcookieだけ残っている状況が出現しそうな。
それよりはセッションテーブルでVPN経由な谷津をみつけた方が性格ではないかと。
ま、おなじくGUIではないですが。
今、5XP、5XTでuntrustと同じIPでVIP設定したけど、できたよ。5gtじゃできないのかな?
487 :
485 :04/11/24 16:04:23 ID:???
>>486 うんまぁ、どっちにしろGUIではないから、
結局は「GUIでは見れません!」ってゆう事なのかぁ。
#ユーザ名だけならイベントログとかで表示されるだろうけど
もともと5シリーズはOS4.x系でもできたと思ったけど。
他の機種(とOSの組み合わせ)でも試してみてね(´・ω・`)
そしたら「機種によっては」の意味がわかるよ。
>>487 私はScreenOS5からはちっこい機種(アプライアンス)でVIPにUntrustと同じIPを設定できるように
なったと思ってたんですが、、、、違いましたっけ?
alarmランプが赤く点灯しても問題ないそうなんですが、点灯する原因って分かるんでしょか?
490 :
?? :04/11/25 14:55:34 ID:yEYs+HZ4
まあ、たいていは問題ないです。以下のようなことで赤くなったりしちゃうので。 What events will trigger the alarm LED to go red? The alarm LED will turn red whenever any one of the following events occur: Emergency: Syn Attack Tear Drop Attack Ping of Death Alert: Winnuke Attack IP Spoof Attack IP Source Route Attack Land Attack ICMP Flood UDP Flood Port Scan Attack Address Sweep Policy Deny Alarms Check the alarm events to determine if you have received any one of these messages.
>>489 で、一回赤くなったら、問題解消されても直らないので
コマンドで消さないといけなかったような。
コマンド失念。
"なんちゃらled off"
492 :
490 :04/11/25 15:47:41 ID:???
>>491 clear led alarm だね :)
493 :
489 :04/11/25 15:54:36 ID:???
>>490 >>491 ありがとうございます。
でもそのコマンドを入れてみたら
なんちゃら led off
^------------unknown keyword なんちゃら
ってエラーが出たんですけど。
494 :
491 :04/11/25 16:02:36 ID:???
>>493 エラーが出たんですけど、って他力本願すぎるのでは。。。
ヒント:nskb1074
496 :
(w :04/11/26 01:39:54 ID:???
497 :
鳩 :04/11/26 09:52:58 ID:???
荒れずにスレが伸びることは良いことです。 内容がアレですけどw
498 :
? :04/11/27 17:32:02 ID:???
>>497 ターミナルがSJISになってませんか?
なんちゃらはEUCじゃないとダメですよ
499 :
anonymous@ FLH1Abf092.kng.mesh.ad.jp :04/11/27 17:53:42 ID:gxibciNV
盛り上がっているところすまんがw 5GTでアンチウイルス機能(特にPOPやSMTP)使ってる人いる? FWやVPNは使わず、AV機能だけをトランスペアレントモードで使用すべく 検討していますが、いかがな感じでしょう。
500 :
? :04/11/27 18:04:16 ID:???
>>499 おまけ機能に夢を持ったら負けです
NSは高速VPN装置or高速NAT-Firewallとして使いましょう
今の時点のNSはDoSプロテクションもAVも申し訳程度についてるだけです
501 :
:04/11/27 18:47:16 ID:???
>>500 早速ありがとうございます。
まじですかー
高負荷で落ちるとかスルー率が高いとか...?
宜しければ「おまけ」っぷりがどんなもんか教えて頂けると嬉しいです。
502 :
? :04/11/27 20:18:03 ID:???
>>501 AVはまずバッファが少なすぎて意図的にダミーと一緒に
ウィルス送りつければかなり通ります
流行りまくって内外で大量感染して飛び交ってるような場合も
バッファ不足でダメっぽいです
DoSプロテクションはteardorpとかwinNukeとか
特定のコードに依存するも以外は全然ダメです
Flodding系はほとんど止まらないか、
とめようとして閾値上げるとまともなトラフィックも止めたりします
LanDなんかも、ポートまで同じで無いとLanDとみなさないので
メールサーバにsrc:25/dst:110でLanDかけると普通に攻撃が成立します
この辺のおまけ機能は
内部の機器での対策が万全になっている上での追加要素として考えないと
503 :
:04/11/27 20:31:50 ID:???
>>502 早速ありがとうございます。
そうですか、いやーん。
NAT環境下にいるマシンが感染して、外に対して勝手に変なモノ投げつけることへの
対策に使えればと思っていたんですけどね。
まだFortigateの方が良いのかな。
504 :
r9 :04/11/27 21:50:59 ID:TDMI4NfF
まあ、5GTですからねぇ。。。ISG-2000とかでAVやってみると どうなんだろ?? しかし、trendもCiscoと仲良くしちゃったから、この路線はどうなるやら
505 :
age :04/11/29 14:10:39 ID:N9oDcpvz
age
5GTでVPNをやりたいんですけど、うまく出来ません。 NetScreen-RemoteをwinXPに入れて設定を行い、winの ネットワーク接続でVPNを作成し繋ぎに行ってます。 NetScreen-RemoteのLogを見るとコネクションは張れている ようなのですが、winの接続の方は「接続中」と出たまま でそのうちタイムアウトします。 (タイムアウト後もNetScreen-Remoteの方はコネクション張れてます) この状態で通信が出来るのでしょうか? 出来るならばその方法は? それとも設定が足りない? と、わからないことだらけです・・・。 どなたか教えていただけませんでしょうか。宜しくお願いします。
初めて書き込みさせて頂きます、どうかこの素人管理者を助けて頂けませんでしょうか。 Netscreen25配下のPC(XPpro)より、インターネットを通してVPNサーバ機能付きルーター (メルコ社製WZR-RS-G54HP)にVPN通信(PPtP)が出来なくて困っております。 接続をかけると、「ユーザー名とパスワードを検証中」としばらくなったのち エラー619となり接続を確立できません。 どうにか接続を確立する方法は無いでしょうか? なお、PCを直接インターネットに繋ぎ、そこからVPNサーバ機能付きルーターへ接続 確立したことは確認済みです。 なぜこのような事をしているのか具体的に申しますと、本社〜各所間では ネットスクリーンを用いたIPsecによるVPN網がすでに構築済みなのですが、 日中殆ど無人のとある小事業所のPCをウエイク・オン・ランしつつ VPN接続してリモート操作できないかと言う話になり、上記機種の機能を用いれば 可能ではないかと思い立ち稟議をかけ構築してみたのですが、いざ繋いで見ると 上記のような状態になってしまったのです。 Netscreenの構成・管理は業者にお願いしており、(N○Tコミ○○ーショ○○) 相談してみたのですが、「そのような事例を扱ったことが無いので、どのように 設定したら良いかが分からない、こちらでも調べますが、そちらでも調べて下さい、 言われたとおりに設定しますので」との返答。 当方、勤めていた会社が倒産し、年老いた母と、受験を控えた二人の子供を抱え、 ハローワークを奔走していた所を現在の上司に拾っていただいた ばかりであります。 しかしながら、ご恩を返そうと盲動した挙句、私の浅慮により現状を招き、 恩人の顔に泥を塗るような事態を招かんとしております。 厚顔の極みで誠に恐縮ですが、できればこれ以上の経費をかけず、セキュリティも 確立したまま接続を確立する方法を教えて頂けませんでしょうか。 よろしくお願い致します。
508 :
?? :04/12/03 15:41:26 ID:hPaK6ndK
>>507 クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか
あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが
一台だけであれば、思いは遂げれるはずです。
なお、できればそのルールではDIPを使ったほうがいいでしょう。また、複数クライアント
がいる場合は、クライアントごとに DIPを割り当てる必要があると思います。
ちょっと自分ではやっていないのであやふやでごめんなさい。
エロイ方、さらなる解説をおながいします
ご回答頂き、ありがとうございます。 >クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか >あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが >一台だけであれば、思いは遂げれるはずです。 こちらの環境としてはネットスクリーン下に置かれたPCからインターネット へのポート規制はステートフルインスペクションでの規制のみでして、内側 から開けばどのポートでも開くはずですが、その「fixed port」は関係 ありますでしょうか? DIPとはDynamic IP機能の事でしょうか? ヒントありがとうございます、勉強してみます
510 :
508 :04/12/03 18:34:41 ID:hPaK6ndK
おっしゃっていることは、おそらくNetScreenでのルールは Any→Any permit のみ ってことだと思います。 で、これは"fixed port"とは関係ないと言えばないです。 通常ファイアウォールでは、 - 始点アドレス - 始点ポート の2つを書き換えますが、"fixed port" というのはこのうち後者の始点ポートを書き換えない ようにするということです。で、ファイアウォールでのルールが上のようなルールだけであれば この"fixed port"は使っちゃ逝かんです。別途ルールを設定したほうがいいです。 で、DIPはそのとおりです。 始点アドレスを書き換えることについては理解しておられると思いますが、始点ポートをも書き かえるのは、 A から Bへ始点ポート100、 終点ポート25 で通信する C から Bへ始点ポート100、終点ポート25 で通信する というファイアウォールを通過する2つの通信があった場合、その2つの通信での戻りパケットを 考えると、それがAへの戻りパケットなのか、Cへの戻りパケットなのかわかんなくなってしまうから です。
511 :
506 :04/12/03 21:12:05 ID:???
解決しました。L2TP-over-IPSecを使おうとしてたのですが、 ダイアルアップ - LAN 間 VPN 、動的ピア という方でやり直して みたらちゃんと接続できるようになりました。
512 :
anonymous@ p3216-ipbf715marunouchi.tokyo.ocn.ne.jp :04/12/13 15:16:11 ID:6p/ghEJX
VLANのシャットダウンコマンドってあるんですかね? コマンドリファレンスには載ってなかったんですけど…
513 :
a :04/12/15 00:16:27 ID:???
>>511 unset int vlan1 ip
確認せずに脊髄反射レス
514 :
anonymous@ YahooBB219176194048.bbtec.net :04/12/23 09:36:51 ID:FqbHRKZZ
先日VPNが40秒ぐらいつながらない事象発生。 それでevent logみたらphase-1のrekeyの時間に重なって いたみたいで、rekey発生。しかし、ひとつのNetscreenにphase-1成功。 もう片側には何にもでず。その、40秒後にはphase-1からやり直したみたいで、 お互いネゴ成功させて通信回復。 つまり、片側だけphase-1成功という状態に・・・・。 こんな現象誰か説明できます??
SAって片方向のモンだから別に正常じゃない?
516 :
anonymous@ pee7646.gifuff01.ap.so-net.ne.jp :04/12/28 11:39:30 ID:8d5phKO9
5GT買おうと思っていますが、10ユーザと いうのはNATでしょうか?VPNでしょうか?
517 :
b :04/12/28 13:55:03 ID:nnG166Rc
>>516 NetScreenを通過できるIPアドレスの数
NATもVPNもできる
518 :
anonymous@ pee7646.gifuff01.ap.so-net.ne.jp :04/12/30 12:40:34 ID:7NFkDsPU
>516 517が正しい。
5拠点のスターなトポロジでセンター拠点移動して(他拠点のconfig修正後) センター再稼動させたところ、2拠点ばっかし自動でセッション張れませんでつた。 他拠点がDynamic接続だったせいもあるんでしょうが NSでphase1張りにいくのってどういったタイミングの時なんでしょう? あとNS本体のみで他peerにVPNセッション始めるコマンドとかってあったりしますか?
あけおめ。ことよろ。 >他拠点がDynamic接続だったせいもあるんでしょうが >NSでphase1張りにいくのってどういったタイミングの時なんでしょう? でふぉは通信発生時っぽ >あとNS本体のみで他peerに >VPNセッション始めるコマンドとかってあったりしますか? P2のVPNmonitorやってれば勝手に接続したっぽ
522 :
はぁい :05/01/09 03:12:34 ID:???
住民の皆さんに伺いたいことがあります NSリモートの設定ができる保守業者さんは何処が良いでしょうか? それと、今の保守契約をしている会社からの保守移管は出来るのでしょうか? テクニカルな質問でなくてすいません でも、どーしても困っているので。。。
523 :
NSR :05/01/13 01:57:58 ID:???
NSRでDialUpユーザにVirtual IP Address当てるやり方わかりません。。 確実にどこか間違ってるのでエロイ人修正方法教えてください…。。 トンネル使わないで自宅のローカルアドレスをそのまま Remote IPとするやり方はわかったんですが 今はこんな感じでPhsase2のところで No policy exists for the proxy IDと叱られます。 IKE User作成してAutoKey IKE AdvancedでDialUp Userに作成したUser指定、 Pre-SharedKeyを入力 Phase1プロポーサルはいつものpre-g2-3des-sha・アグレッシブモード NAT-TはDisable Auto Key IKEでPhase2プロポーサルはg2-esp-3des-sha Reply Protectionをenable tunnnel Interfaceをunnumberedのtunnel.1でバインドしてProxy IDで Local IPがバーチャルアドレスにしたいアドレス Remote IPは0.0.0.0/0 Policyでバーチャルアドレスから接続先LANのサブネットをPermit クライアント側でRemote Party Identity and Addressingを IP Addressにし接続先のNSのアドレスを入力、 My IdentityではID TypeをIKEUserのメールアドレス、 PSK入力、Auth Phase1のSA Lifeは28800sec Phase2のSA Lifeは3600sec これをやらないとうちの社内ローカルで192.168.0.0/24を使ってるせいで 大半のUserが自宅アドレスと競合してしまいます(;´Д`)
>>523 NSR側で、
Options - Global Policy Settings の
"Allow to Specify Internal Network Address"にチェック入れて、
My Identity の Internal IP Addressに適当なアドレスを入れるンじゃダメかい?
誰かCPU使用率のOID知らないすか MRTGでトラフィック見れるようにしたいんですけど
526 :
NSR :05/01/15 02:04:11 ID:???
>>524 出来ました、ありがとうございます*゜+ ワーイヽ(*´∀`)ノ ヽ(´∀`*)ノワーイ+゜*
NS側であれこれ設定してやる必要ないんですね。。。
527 :
:05/01/15 08:23:10 ID:xfEACp3+
>>525 snmpwalkで総なめにしてチェックしてみれば?
528 :
_ :05/01/15 08:30:39 ID:???
>>525 トラヒック見たいのにCPU使用率のOID調べてどうするんだ?
素直にInOctet, OutOctetでも見ればいいじゃん
>>525 snmpwalkすか・・・。あれ凄い多くてどこ見るのかわかりませんでしたorz
>>528 間違いました!
トラフィックはcfgmakerで簡単に取ってこれる予定です。
530 :
:05/01/18 02:43:22 ID:???
NSRのあたらしいやつ(8.5)って何が変わったの? 見た目に変わるようなことは無いのかな?
532 :
:05/01/19 00:40:48 ID:E2ckt8RT
NSR(8.0)で、Disconnectしてしばらく経つと認証ダイアログボックスが ポコッと出てくる。 そんな現象に悩まされている方、他にもいらっしゃいますか? つーか何これ?
533 :
anonymous@ 210.189.30.129 :05/01/19 10:50:09 ID:2cSxqs9L
>>532 Disconnectだけじゃだめよ。deactivate security policyやんなく茶。
534 :
:05/01/19 14:44:18 ID:bKDHF6MY
>530 おっしゃる通りです。私の調査不足でした。 ちゃんと探したら見つかりました・・・ せっかく調べたので皆知ってるかもしらんけど報告します。 1.3.6.1.4.1.3224.16.1 --- nsResCPU 1.3.6.1.4.1.3224.16.1.1 --- nsResCpuAvg (INTEGER) 1.3.6.1.4.1.3224.16.1.2 --- nsResCpuLast1Min (INTEGER) 1.3.6.1.4.1.3224.16.1.3 --- nsResCpuLast5Min (INTEGER) 1.3.6.1.4.1.3224.16.1.4 --- nsResCpuLast15Min (INTEGER)
>>531 XPSP2対応
リリースノートよむよろし
>>534 仕様
であくてぃぶしなくても、
ConnectからのみVPN接続できるよう設定すればなおる鴨
537 :
5gt :05/01/22 00:23:06 ID:???
はじめまして。NSのチッチャイのを専門に設定してる者です。 現在5gt(5.0.0r8.1)を設定しているのですが、[Addresses]→[List] の設定でよく分からない部分があり、ご存知の方がいらっしゃれば 教えてください。 アドレスの指定を[Domain Name]にして、 「"特定のドメイン名(例:odn.ne.jp)"を含む"不特定のホスト (例:www.odn.ne.jp、smtp.odn.ne.jp)"」を指定したいのですが、 可能でしょうか。 以下のように設定したのですが、上手くいかず。。。 ---- set address "Untrust" "test" *.odn.ne.jp ---- マニュアルにも載ってない(見つからず)し、不可能なのでしょうか。 設定例とか落ちてないかな、と捜索中です。
538 :
anonymous@ 61.195.45.201.eo.eaccess.ne.jp :05/01/22 10:07:53 ID:CK4+AdxD
ちょい質問なんだが、 Netscreenの機能で、ネットワーク上を流れるパケットの量を計ることって出来たっけ?(;´Д`)
539 :
_ :05/01/22 10:11:08 ID:???
>>538 NetScreenを通過するパケットじゃなくて?
540 :
a :05/01/22 10:32:13 ID:DnUvb2TC
>>538 539も逝ってるが、通過するor受け取るパケットじゃないとわからんと思うぞ。
switchなんか関係ないパケットはNetScreeのポートには送らないんでわかりようがない、
と思う。
通過、受け取り系なら get flow interface hoge(だったけ?あやふや)とかのコマンドでわかるよ。
SNMPでも値とれるしね。
541 :
a :05/01/22 10:43:29 ID:DnUvb2TC
>>537 NetScreenのKBをちょっと見たけど、だめだと思う。
というのは、nskb4788に”How do I block access to eBay?”ってのがあるんだけど、
そこに書いてあることは、
from Trust Any to Untrust *.ebay.com deny
ってルールを書けばすむのに、もくもくと ebay.comアドレスグループを設定して
やれ、www.ebay.com だの cgi.ebay.com などと登録しているからなり。
Applicable ScreenOS:は4系だけど、5でもそのへんかわったって聞かないしね。
542 :
5gt :05/01/22 13:24:13 ID:???
>>541 情報ありがとうです。
こちらも探したのですが、やはり無い様子。。。
ちまちま設定することにしまする。お客様にホスト名の
洗い出しお願いせんとな〜(><
543 :
anonymous@ 61.195.45.201.eo.eaccess.ne.jp :05/01/22 14:18:51 ID:CK4+AdxD
>>539 >>540 受け取りのことです
get flow intですか・・・・試してみます、ありがとうございます。
544 :
鳩 :05/01/22 17:39:41 ID:???
流れと関係ないけど 漏まえら!NTP鯖に福岡大学を指定するのは止めましょう。 毎秒900件で2Mbps程帯域を喰われてるらしいです。 近くのNTP鯖に変更お願い致します候。
545 :
? :05/01/22 17:44:37 ID:???
>>544 ごめんなさい、NTPをインターネットからとる案件では
お客のISPがNTP用意してないときはいつも福岡大にしてます
ご丁寧に2台とも書いてます
以後、気をつけます
>>543 get counter flowで全部見れます
546 :
鳩 :05/01/22 23:21:49 ID:???
>>545 そう言う漏れも、過去の導入で大量に指定してしまくっていたりする。
反省の意味も含めて、漏まえらにお願いさせていただいております。
547 :
_ :05/01/22 23:23:28 ID:???
もう数年前からmfeedにしてるなぁ
548 :
anonymous@ 218.45.72.101.eo.eaccess.ne.jp :05/01/24 21:24:28 ID:fvEZWuXD
5gt(5.0.0r8.1)を設定しているのですが、Untrust側からhttpsでの 接続をTrust内のマシン1台にIPをマッピングさせて外部から接続できるようにしたいのですが、どうしたらよいのでしょうか?
549 :
:05/01/24 21:53:16 ID:???
>>548 マニュアルを読んで書いてある通りに設定してください
550 :
anonymous@ 218.45.72.101.eo.eaccess.ne.jp :05/01/24 22:41:38 ID:fvEZWuXD
マニュアルが英語で読めません。
551 :
anonymous@ YahooBB219008108069.bbtec.net :05/01/24 22:53:56 ID:tBBXwAmY
sarasara
552 :
鳩 :05/01/24 23:26:41 ID:???
553 :
anonymous@ 218.45.74.142.eo.eaccess.ne.jp :05/01/25 23:38:33 ID:ISE4fIFg
日本語マニュアルなんてみたことない
554 :
. :05/01/26 01:08:52 ID:???
>>553 Juniperサイトに池。
USサイトに飛ばされるがそこから日本語マニュアルはダウソ可能。
555 :
丸 :05/01/26 10:41:48 ID:???
[Screening] - [Screen] の画面でZoneをUntrustにして [Block HTTP Components] - [Block ZIP Component] をチェックすると 外部からのZIPファイルをブロックできると思っていたのですが 実際にはダウンロードできてしまいます。考え方間違ってますでしょうか?
556 :
ななし :05/01/26 15:37:43 ID:???
557 :
anonymous@ U066011.ppp.dion.ne.jp :05/01/26 17:04:55 ID:mU3wkDY5
NetScreen-Remoteので接続ができなかったので Log Viewerをみると Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx) SENDINIG>>>> ISAKMP OAK AG (SA, KE, NON, ID VID, VID, VID, VID) message not received! Retransmitting! ...2行目、3行目を3回 Exceeded 3 IKE SA negotiation attempts がでていました。半年まえはつながったんですけど、 今月久しぶりにつなげたらだめになってました。 PCの設定は全く変えていないのですが、 どのあたりがまずいのでしょうか?
未確認回答。
>>555 Trustじゃねーの。
>>557 P1のネゴが出来てない。
NSにパケット届いてるか確認する。
559 :
anonymous@ sbyvtr.comp.dion.ne.jp :05/01/27 02:24:47 ID:3mTvKuf5
>>559 宛先GateIPが違うか、どっかでisakmp:UDP500が落ちてるんじゃね?
最近BBルーター変えたならその辺りが怪しいっぽ。
561 :
鳩 :05/01/27 10:30:41 ID:???
>>559 取りあえず設定を見直す。
NICや接続形態を変えると
全く設定を変えてなくても
Internet InterfaceがAnyになる時があるよ。
maximさん、鳩さんありがとうございます。
>>560 NetScreen-Remoteを
deactivate Security Policyにしてtracertするとつながらなくて
activateにするとtracertで最後までいけます。
>>561 Air H"つかってDION経由で社内LANにVPNしようとしてます。
設定を確認してみます。
初心者なもので、Googleで調べながらあたふたしながらやってます^^;
>>562 Tracertって宛先は社内?もし通るなら接続できてるのでは?
昔との環境差があれば上げて貰えると判ると思われ
AirHだと接続後一度ディアクティブにしてPolicy再読み込みせんとだめぽかも
>Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx) ADDRのアドレスは社内の鯖です。 環境差というのはPCのことでつか?
566 :
丸 :05/01/31 12:03:44 ID:???
>
>>555 >Trustじゃねーの。
UntrustでもTrustのどちらも
[Block EXE Component]をチェックしてもexeファイルが
通過してしまうようです。
>>564 環境差はPCあんどNS側ね。
TraceRT成功したときもRemoteのLogは一緒?
>>566 FTPにリダイレクトするやつはダメぽ
あと非標準時もだめね。
568 :
ニャー :05/02/01 20:59:05 ID:???
現在のinterfaceのMTUを見るコマンドってないんでしょうか・・・
569 :
わん :05/02/02 11:31:06 ID:eMJ0KQuu
>>568 get interface したら出てこない?
なにも出ていないのならデフォルトの 1500なり
570 :
わん :05/02/02 13:10:21 ID:eMJ0KQuu
確認したけど、 get interface ethernet1 みたいなことすると、1500から変更してたら admin mtu 1400 みたいな感じででてました
571 :
anonymous@ p11231-ipbffx02marunouchi.tokyo.ocn.ne.jp :05/02/03 19:37:35 ID:Gq8Yb/Nz
お世話になります。 2台のWEBサーバー2台を外部に公開したいのですが どのようにしたらよろしいでしょうか? VIPを使うとは思うのですが その先の設定がいまひとつよくわかりません。 よろしくお願いします。
572 :
anonymous@ p11231-ipbffx02marunouchi.tokyo.ocn.ne.jp :05/02/03 20:31:49 ID:Gq8Yb/Nz
すみません。先ほどの者です。 外部の端末からSSHでサーバーにログインしたいのですが できないです。 SSHのポートは空けているのですがどうしてでしょうか? どなたかご存知の方がおりましたらご教授ください。
>>572 SCS が Port 22 になっているなら別の番号に変更してみたら?
574 :
i :05/02/06 22:32:22 ID:5MaKM1MA
netscreen-25を使っておりますが、DMZ側の端末からインターネットへアクセスできません。 Pingも通りません。 Trust側の端末からは問題なくアクセスできるのですが、どこに問題があるのでしょうか? PolicyはDMZ・Trustとも同じで特にフィルタはかけておりません。 モードはDMZ・TrustともにNATモードです。
575 :
. :05/02/06 23:05:20 ID:???
576 :
574 :05/02/06 23:12:33 ID:5MaKM1MA
具体的には、MIPで設定したサーバから外部へアクセスできないのです。 ためしにPingをうってみて、全てを通す(Any:Any permit)ログを見てみると、 Source address:192.168.1.2 Translated address:210.*.*.*(MIPで設定したIP) Service:ICMP Byte send:94 Byte recieved:0 となっており、送信はできているが受信ができていないようなのです。
577 :
:05/02/07 02:40:14 ID:???
>>576 MIPが間違ってるのでは
TrustとMIPを入れ替えてみれば?
というか、何でMIPなのにNATモードなの?
ScreenOS 5 でも、PPPOEの同時接続は1つだと考えてよいでしょうか? PPPOEの切替機能はあったように思うのですが..._| ̄|○ 個人的に、マルチセッションで張れれば非常にありがたいのですが みなさんどうですか?
579 :
人柱? :05/02/10 00:52:21 ID:???
>>578 先日リリースされたScreenOS 5.1からPPPoEのマルチセッション対応しているらしいが・・・
ぜひ試してここに結果を書いて下さい・・・
580 :
anonymous@ i218-47-26-65.s02.a013.ap.plala.or.jp :05/02/11 20:29:02 ID:T3RaeLBI
そんなこと、自分でやってみれ!と言われそうですが... PPPoEマルチセッションオッケーならば 1つ目PPPoE:ISP接続でインターネット(+他のセキュリティGWとのIPSecVPN) 2つ目PPPoE:フレッツグループベーシックでVPN無しのIPv4OverIPv4のカプセル化通信 ってことは出来るのかね? そもそもNetscreen自体はIPSecで暗号化せずにIPv4OverIPv4でカプセル化通信って出来たのかな?
582 :
anonymous :05/02/16 13:23:04 ID:UnOiNMLs
ログ解析に使えそうなツールを探してるんだけど、有償ばっかりで・・・ フリーで何かいいツールをご存知の方はいませんか?
583 :
anonymous@ 211.10.219.115 :05/02/19 03:01:30 ID:4/heX/Ry
pppoe instanceってなんですか?
584 :
anonymous :05/02/23 12:46:02 ID:rN2mK/74
いいですね
よいですよ。
94 のページ今はみれないので、代わりのページしってる人いたら おしえてください。お願いします。
588 :
ひょー :05/02/26 09:25:08 ID:0gxPHoX6
589 :
anonymous@ z228.61-45-57.ppp.wakwak.ne.jp :05/03/01 00:46:45 ID:iX8NjMCd
助けてくださーい windows XP SP2を最近かいましてNSR-VPN85-XP をインストール。 HOTFIXを適用しても繋がらず、へこんでます。
590 :
ano :05/03/03 08:52:58 ID:c9q7pZpI
>>589 もちっと、状況を書かないと誰も答えようがないべ
591 :
anonymous :05/03/03 10:16:53 ID:CiNsHWeY
>>589 単にWindowsファイアウォールに邪魔されてるだけじゃ・・・
592 :
589 :05/03/06 04:59:47 ID:mpD908MD
>>589 です
ログは下記が出てます。
ファイアウォールを無効にしても症状変わらずです。
Initiating IKE Phase 1
SENDING>>>> ISAKMP OAK
RECEIVED<<< ISAKMP OAK
Initiating IKE Phase 2
SENDING>>>> ISAKMP OAK
QM re-keying timed out. Retry count: 1
593 :
ano :05/03/06 09:26:04 ID:Ihne8yXX
>>592 Phase1は完了しているから、鍵が違うではなさそう。
Phase2のプロポーザルかポリシーがクライアントとサーバでは違っている
ような気がするのでその辺の設定を中心に確認してみれば?
プロポーザルってのは、何で暗号化して、とかそういうの。
ポリシーってのは、どこからどこへの通信をトン寝るするか、とかそういうの。
594 :
589 :05/03/07 01:45:10 ID:TY0JoEYp
>>592 さん
現在Phase2のプロポーザルの設定は
ESPで
Encrypt Alg→DES
Hash alg→MD5
Encapsulation→Tunnel
です。
XPのIPsecの設定ですかね。
595 :
593 :05/03/07 14:19:05 ID:MMqt2QEW
>>594 NSR側の設定を確認ですね。
Encrypt Alg → DES がなんとなく違いそうなんですが。(いまどきDESは使わんだろ)
あと、NS側ではどのような通信をトンネルするように設定していますか?
596 :
594 :05/03/08 00:34:19 ID:NDS6NYok
>>595 さん
実はもう一台のPC XP(SP2ではないです)
では同じ設定で通信できております。
NSRのバージョンが違うだけです。。
597 :
anonymous@ ntibrk011061.ibrk.nt.ftth2.ppp.infoweb.ne.jp :05/03/09 11:22:03 ID:1LNOaeg4
教えてください。 NetscreenリモートとCiscoのVPNクライアント、WinXPに同居させられますか? 接続先によって、NS、Ciscoを使い分けたいのですが。
598 :
鳩 :05/03/09 11:26:35 ID:???
>>597 クライアントソフトで使い分けずに
一方のクライアントソフトを使って、接続設定で使い分けるのは駄目なの?
599 :
597 :05/03/09 11:35:24 ID:1LNOaeg4
>>598 さん
そういうことができるんですね。
やってみます。ありがとうございます。
600 :
594 :05/03/09 12:54:29 ID:Ld9uD4O6
>>596 同じ設定で通信できていますか、これは失礼。
NAT-Traversalとかが影響しているとかは無いですか?
例えば、ちょっと古いNAT-Traversalのバージョンだと、udp=500で通信しますが、
新しげのNAT-Traversalではudp=4500で通信します。これがフィルタされているとか。
NSRのバージョンが違うとのことなので、ちょっとそういうことも思ったしだい。
p.s
NAT-TraversalってRFCになったんですね。
601 :
600 :05/03/09 12:55:37 ID:Ld9uD4O6
上は595の間違い。。。。orz ついでに 600げっとんだった。。。orz orz
602 :
わからずや :05/03/11 21:50:14 ID:qf1BX3Vl
Netscreen5GT Plus OSは4.0.0r5.3 を使用しています。 これでVOIP TAを社内に設置し、Netscreenに5060のポートを空ける必要が 出てきました。これって可能でしょうか?
可能
604 :
594 :05/03/12 02:49:30 ID:X4lWnGda
>>600 さん
udp=4500になってますね〜
でもIreIKEのプロセス立ち上がっていてudp=500
です。。。
605 :
600 :05/03/12 08:47:06 ID:Q7D4up+R
>>604 もう、いっそのこと、サーバ側ちうか、VPNを受けるNetScreen側で
debug ike detail してみては? これですべてがわかるはず :)
606 :
わからずや :05/03/12 09:55:39 ID:/qGDr+nP
603様 ありがとうございます。 Object→services→customでできますね。あと初心者的な質問ですいませんが 今回固定1IPのプロバイダ契約をしてます。当然IPはルータのuntrustに割当て ます。外部からSIPおよびRTPでのポート通信の時に社内VOIP TA(プライベートipアドレ スが割当てられてます)と通信させることは可能でしょうか?
IKEハートビート使ってる方いらっしゃいますか? heartbeatの設定は hello, threshold 共に デフォルト(5) で問題ないですか?
608 :
ns-monitor :05/03/13 22:21:39 ID:yF2GFJ7k
>>607 デフォルトで良いか悪いかは環境によるんじゃね?
てか、IKE heartbeatよりVPN monitor の方がわかりやすくてあたいは好きだな。
KB には一般的にルーティングベースのVPNのときはどっちで、ポリシベースVPNのときは
どっちってなことが書いてあったけど、どっちがどうか忘れてしまった。。。スマソ
>>608 さん
ありがとうございました。お礼がおそくなりすみません。
ちなみに,、ルーティングベースVPNでやってますけど、IKEheartbeatとVPNMonitorもどっちも試してみます。
どっちがどうなんでしょうかね?マニュアルじっくり読んでみます。。。
610 :
_ :05/03/15 20:57:03 ID:XKgo3Pr3
初歩的な質問で申し訳ありませんが、わかる方おしえてください。 Netscreen5GT Plusで 1.Trust側にセカンダリIPをふれるのでしょうか? 2.ふれるとしてプライマリのIPセグメント←→セカンダリのIPセグメント は通信できるのでしょうか? PCA--192.168.1.0/24--NetScreen5GTPLUS(Trust)---10.0.0.0/24--ルータ--172.16.0.0/24--PCB PCAとPCBはつうしんできるのか? 3.セカンダリ-プライマリで1対1NATはできるのでしょうか? PCA 192.168.1.10 == 10.0.0.10 PCB 172.16.0.10 PCB から 10.0.0.10に対しパケットを送るとPCAに届くか? いかがでしょうか?
>>609 何がやりたいのかわからない
2がやりたいけど、1や2で実現できるのか?って質問?
2の図をもっとまともなものに書き直せ
教えてほしいのですが、 Intra1---NetScreen--TA-ISP--Internet---NetScreen---Intra2で 接続した場合、トンネルはどの間ではられますか。 また、Intra2に到着したパケットの戻り先はIntra1のアドレスに なるのでしょうか。悩んでます。
現在、5XT-ELiteとGT-Plusのいずれかの購入で迷っています。
私は、かなりの初心者なのですが、社内の業務システム関連のネットワークであり、
簡易なものなので自分でやってみろ、と言われて構築検討中です。
(目的)
1.NSに直接FTTHを接続
2.社内にはサーバ(Webシステム稼動)とクライアントが存在
3.サーバは外部からのアクセスとクライアントからのアクセスを受け付ける
4.サーバもクライアントもFTTH(Out)を利用する
5.サーバにはグローバルIPを割り当てずにNATを利用する
>>66 を参考にさせて頂くと・・・
1.Work/Homeモード
2.サーバをHomeゾーン配下、クライアントをWorkゾーン配下に設置
3.HomeゾーンでNATを利用してサーバを公開
4.WorkゾーンからHomeゾーンへの通信を可能にする(
>>64 )
と言うことで、いずれの機器でも目的の実現は可能かなと考えているのですが問題ないのでしょうか。
また、ScreenOSが「4.0.0DIAL2」か「4.0.0DIAL3」であることが必須条件だと考えているのですが、
現在、販売されている5XTや5GTにはこれらのOSが付属しているのでしょうか。
それとも、別途購入する必要があるのでしょうか。
お手数をおかけ致しますが、ご存知の方、ご教示いただければ幸いです。
>>613 連続のご質問で申し訳ないのですが、
>>613 で記載した目的を実現するためには、
5XT-Eliteと5GT-Plusのいずれが適しているのでしょうか。
>>85 を参考にさせていただきますと、価格は5XTの方が上ですが、
スペック的には5GTの方が優れているとのお話しかと思っています。
また、5XT-Eliteの価格に少し上積みすると、5GT-Extendedの購入が可能なようなので、
いっそのこと、DMZゾーンが最初から確保されているExtendedの購入に
踏み切った方がいいのではとも思っています。
当然、Extendedでも、
>>613 の目的実現は可能だろうと思っているのですが、問題ないでしょうか。
最後に、購入先なのですが、ぷらっと様を検討しています。
こちらで購入した場合、初年度基本サービスが付属しているようなのですが、
二年後以降の保守契約はどちらと締結するのかご存知でしょうか。
>>126 には、ソフトバンクBB様とのお話しが出ていますが、
残念ながら、私はそのような記載を見つけることができませんでした。
教えてばかりで申し訳ないのですが、宜しくお願いします。
>>614 確かぷらっとホームのNetScreenは日立システムアンドサービスから入れてるんじゃなかったか?
当然次年度も基本的にはそこと保守契約だろう。
>>615 有難うございます。
週明けにでも、念のため、ぷらっとホームさんに確認してみます。
618 :
a :2005/03/21(月) 10:22:51 ID:???
ぷらっとなり日立なりに電話してきけば? 2chの情報うのみにして仕事するつもり?
619 :
:2005/03/21(月) 20:49:53 ID:???
620 :
ななし :2005/03/21(月) 21:53:57 ID:???
IPsecのクライアントソフトの使い勝手はいかがですか?
621 :
anonymous@ 203.140.79.145 :2005/03/24(木) 15:35:18 ID:pIzds8Uw
すみません、教えてください。 NS25で、Object→Address→Listで、「Global」にNewボタンを押して 新しいアドレスを追加しようとしてるのですが、 項目を入力後、OKボタンを押しても追加できません。 エラーなども表示されません。 どうしたら追加できるようになりますか?
622 :
? :2005/03/26(土) 13:15:58 ID:???
NS-5200に激しくやられました、もうボロボロです だから5.xなんて入れたくなかったとあれほど(ry キーワードは22バイト
あぼーん
624 :
:2005/04/03(日) 21:06:37 ID:ApAE5aTl
625 :
osage :2005/04/13(水) 00:48:06 ID:???
すんません、25〜204系でemerエラーが出ると光るNS本体の赤いランプを 消す方法ってreset以外にありませんか?
626 :
_ :2005/04/13(水) 01:17:41 ID:???
627 :
osage :2005/04/15(金) 01:55:31 ID:???
>626 ありがd(*´∀`)
628 :
酔って候 :2005/04/16(土) 00:04:38 ID:7nL5J+mu
Trust,DMZ,WANを構成し、&インターネットVPNを組んで そのVPN先からDMZに配置されているサーバを覗きたい場合、 仮想ルータの設定ってどういうふうに組むのがスマートなんだろ。 今日いろいろ試してて分けわかんなくなって、結局T,D,U全部 V-TrustにBindしてもうた。 これってアホな設定なの?
え っ る ハ ぇ し の ァ ハ け と ぉ ァ うはっwww夢がひろがりんぐwwwwww
630 :
-f :2005/04/19(火) 04:19:51 ID:???
すみません、NSでのRWIN指定のバリューってありますか?
631 :
set flow :2005/04/19(火) 10:42:31 ID:0l9i66Ik
>>630 ないとおもう。
RWINいじってどないすんねん?
632 :
-f :2005/04/20(水) 07:14:39 ID:???
WAN側回線直結時の最適値を診断すると65000程度で標準的なんですが、 NS配下のSwitchを通すとなぜか14500程度(AirH"並?)に落ちてしまうので・・・ これってNSの問題じゃないっぽいですね。
633 :
? :2005/04/20(水) 23:21:38 ID:???
そういえばWindowSizeアジャストするFirewallって見かけないですね PacketShaper以外でWindowSizeいじくる機器を見たこと無い気がする MSSと違って全パケになるから負荷的に無理なのかな?
634 :
:2005/04/24(日) 13:10:53 ID:???
NetscreenRemoteの使い勝手をもうすこしよくしてほすいな VPN3000並に
635 :
. :2005/04/30(土) 00:25:01 ID:???
自宅用兼勉強用に買っちゃおうかなー、5GT
636 :
eeee :2005/05/07(土) 02:28:02 ID:FUNc32FM
5GTにてUnnumbered PPPoEは受けれるんでしょうか?
現在 NS5GTを使いOCNへBFlets回線を利用して接続しているのですが、スループットが200KBps程度しか出ません。回線自体は50M程度出る事は確認してあるのでNetscreenに問題があるのかもと考えているのですがチェックすべき項目はありますでしょうか?
638 :
sage :2005/05/10(火) 02:08:59 ID:???
>>637 あり得ないよ、200kbpsなんて。
5GTは付加機能使っていくとスループットがある程度落ちるけど
その数値は製品として問題あるレベルだと思わない?
設定一度外してから少しずつカスタマイズして切り分けなよ。
trustにぶら下がってるのが10halfのHUBとみた
640 :
あげ :2005/05/10(火) 07:30:13 ID:oNtrkDNw
>>639 なるほど、ありそう。
autoネゴに失敗して10halfでリンクがあがっちまったというのも考えられそ。
641 :
hoge :2005/05/12(木) 08:11:42 ID:???
Hubを100M固定にしてるとかもあり得る。
642 :
hoge :2005/05/12(木) 08:14:50 ID:???
641を書いて思い出したがONUのEtherポートがオートネゴになってなかった例があった。要チェック。
ONUとの間にSW-HUBをかまして確認してみて、、、
644 :
anonymous@ EAOcf-385p81.ppp15.odn.ne.jp :2005/05/17(火) 00:07:32 ID:aOMxZvvc
NetScreenRemotedで自宅から会社にADSL(ODN)で接続しているのだが、無線LAN 使ったらすんなり接続できるのに、有線LANなら何故かできない。 宿泊先のホテルなんかでも、やはり有線ではできなかった。(回線は不明) また、PHS接続も可能。 誰か解決方法を教えて頂ければ助かります。
>>644 まさか、ケーブルを間違えてるとか?
(ストレートorクロス)
646 :
M40 :2005/05/18(水) 12:31:25 ID:D1MdPpTh
647 :
anonymous@ EAOcf-385p81.ppp15.odn.ne.jp :2005/05/22(日) 22:30:57 ID:pY/205JK
648 :
anonymous@ p3063-ipad408marunouchi.tokyo.ocn.ne.jp :2005/05/23(月) 23:20:36 ID:BcpKD9Cx
pingとばしてみました。 有線LANです。 Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS] [-r count] [-s count] [[-j host-list] | [-k host-list] [-w timeout] target_name Options: -t Ping the specified host until stopped. To see statistics and continue - type Control-B To stop - type Control-C. -a Resolve addresses to hostnames. -n count Number of echo requests to send. -l size Send buffer size. -f Set Don't Fragment flag in packet. -i TTL Time To Live. -v TOS Type Of Service. -r count Record route for count hops. -s count Timestamp for count hops. -j host-list Loose source route along host-list. -k host-list Strict source route along host-list. -w timeout Timeout in milliseconds to wait for each reply. どうでしょうか・・・?
>648 ワロス
650 :
通りすがり :2005/05/24(火) 12:24:20 ID:UyQw7Nv+
>644-648 ワラタ
651 :
anonymous@ p3063-ipad408marunouchi.tokyo.ocn.ne.jp :2005/05/25(水) 23:58:58 ID:Yl9M8aff
ワラわんで下さい。。。
>>651 pingの使い方しか書いてないのに、どうでしょうかと言われても。
これがワラわずにいられようか。
653 :
_ :2005/05/26(木) 00:06:52 ID:???
pingのおpしょん表示されてもなぁw
654 :
:2005/05/27(金) 02:47:25 ID:l/NrcZBI
655 :
anonymous@ d243249.ppp.asahi-net.or.jp :2005/05/28(土) 01:15:06 ID:cYPtqfMC
中古を買ったんですが、最新ファームの入手方法がわかりません ど〜やって入手するんでしょか?
656 :
:2005/05/29(日) 11:12:57 ID:WvzcTUud
>>655 サポート契約結んでベンダーに貰え
ところで中古でもサポート結んでくれるベンダーってあるんでしょうか
>>656 >ところで中古でもサポート結んでくれるベンダーって
メーカに直接頼めば。。
未払いの過去分合わせて払えば大丈夫だと。。
#新品買った方が安かったりして(w
658 :
anonymous@ pl096.nas943.d-osaka.nttpc.ne.jp :2005/05/30(月) 13:45:18 ID:wc6GXWfJ
juniperからもダウンロード出来ないんかね〜
659 :
--- :2005/06/06(月) 18:59:32 ID:???
あの、もし5XTに5GTのファームウェアを間違えて アップデートしたらどうなると思いますか?
660 :
:2005/06/06(月) 19:05:32 ID:V4/flCmY
661 :
初心者 :2005/06/06(月) 23:38:44 ID:nxB2Hs2x
NS-5GTで、IP電話を使えるようにするにはどうしたらよいでしょうか。 SIP-NATについて分かる方教えてください。
662 :
初心者 :2005/06/09(木) 23:27:35 ID:72AzUCis
本店と支店をNS-5GT、ADSL接続してます。access2000,sqlserver2003で 作成したシステムですが、支店でしばらくシステム立ち上げたままで放置後、 本店のsqlserverにアクセスすると接続エラーとなるのですが、 これはADSLだからなのでしょうか? 光にすれば解消するのでしょうか? それとも、netscreenを新しいのにすれば解消するのでしょうか?
663 :
tir :2005/06/09(木) 23:30:49 ID:???
>それとも、netscreenを新しいのにすれば解消するのでしょうか? ワロタ
664 :
---- :2005/06/09(木) 23:36:30 ID:???
665 :
. :2005/06/12(日) 00:10:55 ID:??? BE:198477656-#
買っちまったよ、中古の5GT。本体とNECラベルの貼ってあるオリジナルではない 電源のみで、箱もマニュアルもCD-ROMもなし。どう遊ぼうか…。
Netscreenスレやっと見つけました。 すみません。教えてください。 NetScreen RemoteのVPNについてです。 接続先がClassAのアドレス体系で10.0.0.0を使っています。 こちらのLANもClassAのアドレス体系を使っていて NetScreen RemoteでのVPN接続ができません。 そこでこちらにローカルルータ入れClassCのLANを組みました。 インターネット-ルータ(10.0.0.1/255.0.0.0)-ルータ(192.168.0.1/255.255.255.0)-PC といった感じです。 これならPCから10.0.0.10などにアクセスするためにはセキュアになると 思ったのですが実際はPINGも通りません。 なぜこのようになるのでしょうか? こちらのアドレス体系をClassBかCにしないといけないのでしょうか? よろしくお願いしまs。
>>666 おれシロートですけど、
My Connection -> 接続名の
Remote Party Identity and Adressing
はどうなってます?
IP Adress
IP Subnet
IP Adress Range
とか選ぶとこ。
668 :
666 :2005/06/14(火) 06:34:39 ID:???
>>667 IP Subnetです。一応他も試したのですがだめでした。
669 :
666 :2005/06/14(火) 10:15:14 ID:???
Log Viewerを見ると message not received! Retransmitting! というメッセージがありました。 こちらのルータが応答パケットを遮断してしまっているのでしょうか・・・
670 :
666 :2005/06/14(火) 11:56:20 ID:???
うーん。 udpのポート500とespがスタティックルーティングされてます。 これが問題なのでしょうか・・・
671 :
666 :2005/06/14(火) 22:13:19 ID:???
解決しました。
672 :
あ :2005/06/21(火) 18:33:53 ID:???
netscreenのconfigからexeclやhtmlのファイルに変換してくれるツールってないでしょうか? Firewall-1ならそういうツールが幾つかあるんだけど。 あ、当然ScreenOS5(multiple)対応で・・・
673 :
any :2005/06/28(火) 18:46:59 ID:YoyBoAjp
IPSec tunnel on int untrust with tunnel ID 0x4 received a packet with a bad SPI SYSTEM LOG>EVENTに、こんなログが大量にあるのですが、 どういう解釈すればよいでしょうか? 単純に日本語訳してみても イマイチわからなくて・・・ よくVPN接続が切れるのですが関係あるんでしょうか?
674 :
deny :2005/06/30(木) 17:53:00 ID:???
>>673 関係ある。
意味は文字通り相手とのIPsec SA のSPIが自分が持っているものと、相手が
送ってきたのとでは違うぞ、というようなこと。
SPIってのはSAのインデックスみたいなもので、例えれば、相手は5番というSPIな
パケットを送ってきたんだが、自分の持っているSAではその相手が使うSPIは9番
となっているんだけど、、、、違うじゃん、というような感じ。
そんなSPIなSAはないんで、当然そのパケットはdecryptできない、VPN通信ができ
ないという状況になるです、はい。 うそ書いてたらごめん。
675 :
-f :2005/06/30(木) 20:55:17 ID:???
>>673 自分もmain modeの拠点間接族でこれ出てます。
ファーム変えたり再設定したりしましたが
予防策がわからずじまいです。
>>673 ,674
VPNトンネルのキー交換時間確認してみ。(両側とも)
何らかの原因で、片側の通信断が発生した際に、更新が上手くいかず
一方が前のキーを使い、再接続した側が新しいキーを使った際に
失敗することがあるよ。
677 :
674 :2005/07/01(金) 17:33:48 ID:???
>>676 わしは別に困ってないのだがw
たしかにそいつは一因だと思うが、、、
最近NetScreenでVPN関連はあまりさわってないのでうそついていたら申し訳ないが、
前のキーを使う一方は、新旧2つ(方向考えれば4つ)のSAを持っていることになるが、
わざわざ古いSAを使うほど実装たこかったっけ?
>>677 >わざわざ古いSAを使うほど実装たこかったっけ?
宛先間違いは失礼しました。
実装たこだったです。
新旧2つ持ってくれればVPN通信自体はできます。
(当然新しいSAを使う)
そうじゃなくて、古いのがあるからと張り直してくれないことがあります。
このタコさ加減は、Y社の製品と組み合わせると
表に出る率が急上昇しますだ。
679 :
674 :2005/07/01(金) 21:28:53 ID:???
>>678 古いのがあると張りなおさないとは具体的にはどのような現象なのでしょうか?
知らない事例なので、よろしければ教えてください。
ただ、張りなおさない=相手にもSAできないので、この場合にでもやはり bad SPI に
なるんでしょうか??
>>679 >この場合にでもやはり bad SPI に
>なるんでしょうか?
ログではそうなります。
681 :
674 :2005/07/02(土) 10:01:05 ID:???
>>680 ありがとうございます。
相手がゲートウェイとして登録されているのでそのようになるのかな?
682 :
-f :2005/07/05(火) 19:41:30 ID:???
>>676 > VPNトンネルのキー交換時間確認
Phase1(Gateway)のHeartBeat欄の事???
>659 5XTに5GTのScreenOS入れようとすると叱られるので心配するな >655 普通に考えたら無理じゃね?保守契約してる知り合いのユーザーからも(ry
684 :
:2005/07/06(水) 18:35:11 ID:???
出先からnetscreen remoteで接続したら激重で使い物にならない ことがあるんだけど、そういう経験をした方いらっしゃいますか? 試しにpingを投げて見るとping帰ってきたり、帰ってこなかったりでなんか不安定・・
685 :
:2005/07/06(水) 18:39:28 ID:???
netscreenRemoteから繋ぐと、いままでそんなことなかったのになんか激重 (pingが通ったり通らなかったり)になったのですが、同じような経験した人います?
686 :
673 :2005/07/08(金) 18:31:52 ID:???
回答くださった皆様。ありがとうございます。(遅レススマソ) 一度電源を入れなおしたらうまく接続できるようになりました。 (両方とも再起動) ってことは、古いSAが消えたので張りなおしに成功してるという事なんですね。 それでも、1日に1回程度は切れますが。 というか、再起動からの時間がたつほど、切断時間が多くなります。 ちょっと調べてきます〜
687 :
673 :2005/07/08(金) 18:37:56 ID:???
たびたびすみません。 このlogが発生する原因として、回線そのものやプロバイダーに 問題があるって、ありえますか?
2重カキコスマソ。相手先のネット接続がおかしくなっていたのが原因ですた
689 :
673 :2005/07/08(金) 19:41:20 ID:???
更にたびたびすみませぬ。 SPI=トンネル交換キー=トンネルID と思って良いんですか?
690 :
674 :2005/07/09(土) 01:02:14 ID:8bxhFYt+
>>689 よくありません。全部別物です。
IPsecするためには、やれ、どういう暗号化にするだの(3DES,AES?みたいなこと)、鍵など
いろいろと必要な情報がありますが、これらの必要な情報をまとめたものに対するインデックス
が、SPIです。(逆にSPIがわかれば必要な情報がわかるので、暗号されたものを複号する
ことができるのです)
トンネルIDはNetScreenが勝手にトンネルについてつけているIDでしかないです。
。。。
ちなみに、現在利用しているScreenOSのバージョンはいくつなのでしょうか?
691 :
673 :2005/07/09(土) 09:31:35 ID:???
>>690 =674
おはようございます。
別物なんですね・・・ ありがとうございます。
現在利用しているnetscreenの機種が「netscreen25」で
Hardware Version: 4010(0)
Firmware Version: 5.0.0r9.0 (Firewall+VPN)
相手方が「5XT」で
Hardware Version: 1010(0)
Firmware Version: 5.0.0r9.0 (Firewall+VPN)
つ[IPsec徹底入門] \2,940
識者の皆様、質問させていただきます。 ・複数固定アドレス ・NATでインターネットアクセス ・インターネットVPN これら、すべてをNetScreenだけで実現することって、できるのでしょうか?
>693 固定IPもらう際に、ISP側にnumberedと指定されると、NSだけでは無理ではとおもう希ガス
696 :
693 :2005/07/13(水) 23:39:32 ID:???
>>694 レス、ありがとうございます。
そう言い切っていただけると、できるはず!という強い拠りどころになりますw
NetScreenは、とくにunnunmberedの扱いに一抹の不安が残るのですよね。
>696 いやいや、unnumberedは問題ないわけで、numberedがだめだと言っているわけなんですがね
698 :
693 :2005/07/15(金) 00:21:04 ID:???
私は、numberedには縁がないので、ケアしていません。あしからず。 もちろん、情報には感謝しております。
699 :
694 :2005/07/15(金) 11:04:17 ID:???
NSはunnumberedの方が後付の機能なんで、
正確に対応しているとは言いづらいですね
>>693 今では安定して利用できますので頑張ってみてください。
700 :
unset-all者 :2005/07/15(金) 22:52:13 ID:WjbQoNpy
長文失礼します。 Netscreen 5XT Elite Ver 5.0.0r9において、 tftpサーバ側からの設定上書き(追記では無く更新)のテストをしていました。 コマンド的には、 save config from tftp xxx.xxx.xxx.xxx cfg.txt to flash from Trust というコマンドです。
701 :
unset-all者 :2005/07/15(金) 22:54:23 ID:WjbQoNpy
ところが更新しない箇所を発見したため(具体的には以下の部分) set admin manager-ip yyy.yyy.yyy.yyy 255.255.255.0 送り込む設定ファイル cfg.txtの先頭行に以下を追加しました。 unset all 私の頭のイメージでは設定をクリアーした後に設定を入れ込む感覚だったもので、 このようなことをした次第です。
702 :
unset-all者 :2005/07/15(金) 22:55:36 ID:WjbQoNpy
先ほどのTFTPコマンドで設定ファイルcfg.txtをNetscreen5XT Eliteに送信ました。 ところが再起動後に、login:プロンプトまで起動しません。 起動ログの最後になぜかy or nの選択が表示されます。 おそらく先頭行のunset allの影響かと考えられます。 しかも入力できません。yを入力しようが、nを入力しようが、反応なしです。 Load System Configuration .Erase all system config, are you sure y/[n] ?
703 :
unset-all者 :2005/07/15(金) 22:56:25 ID:WjbQoNpy
ファームアップ or ダウンしたら設定が無効になるかと思い、 5.0.0r10や5.1.0r3にアップダウンさせましたが同じ結果です。 ver4にはログオン後exec downgradeコマンドからでないとダウンできないため、 試せませんでした。
704 :
unset-all者 :2005/07/15(金) 22:57:02 ID:WjbQoNpy
705 :
unset-all者 :2005/07/15(金) 22:58:57 ID:WjbQoNpy
----起動ログを添付します。"xxxx"は情報を隠しているつもりです--------- NetScreen NS-5XT Boot Loader Version 2.0.0 (Checksum: xxxxxxxxxxx) Copyright (c) 1997-2003 NetScreen Technologies, Inc. Total physical memory: 64MB Test - Pass Initialization - Done Hit any key to run loader Hit any key to run loader Hit any key to run loader Hit any key to run loader Loading default system image from on-board flash disk... Ignore image authentication! Start loading... ................................................ Done.
706 :
unset-all者 :2005/07/15(金) 22:59:32 ID:WjbQoNpy
Juniper Networks, Inc NS-5XT System Software Copyright, 1997-2004 Version 5.0.0r9.0 Load Manufacture Information ... init manufacture info Done Load NVRAM Information ... (5.0)Done Install module init vectors Verify ACL register default value (at hw reset) ... Done Verify ACL register read/write ... Done Verify ACL rule read/write ... Done Verify ACL rule search ... Done MD5("a") = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx MD5("abc") = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx MD5("message digest") = xxxxxxxxxxxxxxxxxxxxxxxxxx Verify DES register read/write ... Done Initial port mode trust-untrust(1) Install modules (xxxxxxxxxxxxxxxxxxx) ... load dns table . Done Initializing DI 1.1.0-ns System config (4386 bytes) loaded . Done. Load System Configuration .Erase all system config, are you sure y/[n] ?
>>704 斜め読みしかしてませんが、マニュアルに
If the unit did not reset,an SNMP alert is sent to confirm the failure.
もしユニットがリセットされなかったら、失敗を確認するためにSNMPがアラートを送ります。
とあるので、見てみては?
>>707 お返事ありがとうございます。
7月19日以降にetherealを使用して、
Pinholeでのリセット実行時に、
TrustとUntrustインターフェースから、
あて先ポート番号が162/udpのパケットを送信しているかを確認してみます。
709 :
ns5 :2005/07/17(日) 09:32:14 ID:???
拾ったNetScreen5のパスワードをリセットするために ジャンパショートしたら、ファームが消えたようで 毎回tftp見に行くようになってしまいました。 これはファームを入手しないと復活不可ですか?
710 :
anonymous@ ZM195116.ppp.dion.ne.jp :2005/07/17(日) 10:13:50 ID:GJaLwq83
>>709 ファーム入手して、tftpサーバ用意すれば、OK
>>709 ユーザー名とパスワードにシリアルNo入れれば良かったのに・・・。
# 設定はぶっ飛ぶけどな。
713 :
709 :2005/07/17(日) 14:17:57 ID:???
古いScreenOSだとシリアルで初期化できないようで ジャンパいじる前に試しましたが駄目でした。 とりあえず産廃業者呼んできます
714 :
709 :2005/07/22(金) 09:47:29 ID:???
NetScreen-5XT(5.1.0r3a.0) + flets adsl で PPPoE マルチセッションを試しています。 Web UI から Untrust の Sub-IF を作り、2個目の PPPoE インスタンスを作り、 両方に Access Concentrator を設定しましたが、接続に失敗します。 切り分けをしていったら、今までの PPPoE インスタンスの設定項目の Access Concentrator を設定しただけで接続に失敗します。 その際のログは下記の通りです。上記以外に設定が必要な箇所があるのでしょうか? Point-to-Point Protocol over Ethernet (PPPoE) connection failed to establish a session. Timeout PADI
716 :
anonymous@ p10152-ipbffx02sasajima.aichi.ocn.ne.jp :2005/08/14(日) 00:21:41 ID:lWuRfEjV
IPv6 over IPv4 のパケットを通したいんで プロトコル番号 43 のオブジェクト作ったんだけど、 通らず。 service を Any にしてもおんなじ。 なんでできないかなあ 5.0.0r8.2 です。
717 :
716 :2005/08/14(日) 00:25:12 ID:???
typo. プロトコル番号41 のオブジェクト作ったけど 通らず
>717 なにで落ちてるか見たらぁ?セルフログONして もしくはイベントログで... ひっかかてるやつ活かしゃいいんじゃないの?
719 :
:2005/08/20(土) 20:43:44 ID:???
>>717 うちはEIGRPとかESPはプロトコルID指定で普通に通ってるけどな
エンドがカプセルしないでv6でそのまま投げちゃったりしてない?
>>600 NS-RemoteがNAT-TでのIKEで4500/udpを使った実績のあるバージョンを
教えてください。
NS-R 8.5を使ってますが、NATを検出しても500 --> 4500への変更をして
くれません。
ちなみに、ScreenOSは4.0.3r5を使っています。
721 :
経理担当者 :2005/08/29(月) 19:00:55 ID:Fz0f1cSo
ネットワーク初心者です。どうぞよろしくお願いします。 現在、5XT-ELiteを使用しています。 本業は経理なのですが、 社内にシステム開発の部署がなく ネットワークの仕事もさせられております。 上司(といっても上の上の上ぐらい)から、 社内イントラで使用しているサイボウズを Web公開せよとの指令があって困っています。 社内には、 Win2003サーバーが2台あります。 片方がファイルサーバー等色々入っており、 もう一方がサイボウズサーバーです。 このサイボウズサーバーをWeb公開するにあたって スクリーンOS 4.0.0DIAL**を使用し HOME/WORKゾーンに分割しDMZを構築する方法を検討しています。 この方法で大丈夫でしょうか?
722 :
anonymous@ 210-170-098-145.jp.fiberbit.net :2005/08/29(月) 23:31:00 ID:stWvUrSI
。。
723 :
:2005/08/30(火) 21:07:07 ID:???
なぜDIAL型番を使用するのかわからん・・
724 :
anonymous@ pee762d.gifuff01.ap.so-net.ne.jp :2005/10/01(土) 10:49:19 ID:C55mwqhT
NetScreenの設定法とかの記事や書籍ってあんまりないですよね。 ネットワークの知識はほどほどにあるのですが、NetScreenについては マニュアル読んでも初心者にはなにがなんだかさっぱり。。。
725 :
:2005/10/02(日) 00:28:53 ID:???
>>724 ヒント:日立○ス○ムにSIやってもらう
726 :
anonymous@ ZL123162.ppp.dion.ne.jp :2005/10/15(土) 00:49:46 ID:WiVoEn1r
やっぱCiscoよりコストとかパフォーマンスとかいいの?
727 :
鳩 :2005/10/15(土) 02:19:56 ID:???
>>720 ScreenOSの5.1から4500も使ってたような希ガス
Migとかに書いてあったと、おもうよ〜
729 :
○ :2005/10/20(木) 14:17:53 ID:???
netscreen5200で ScreenOS4.0.1-r4.2使おうとしています。 WebUIで操作したいのですが初期状態からどういう最低限どういう 設定をすればWebUIで操作できるようになりますか? マニュアル読んでもよ〜わからんがな
730 :
anonymous@ s161079.ppp.asahi-net.or.jp :2005/10/20(木) 17:17:10 ID:IypI/M8r
初心者で申し訳ないですが netscreen-5gtで VPN接続を試みています。 ログに Completed negotiations with SPI って出ると VPN接続できたということですか?
729です。 よ〜わからんうちにできてもた set interface ethernet2/23 ip 192.168.2.1/24 set interface ethernet2/23 zone untrust set interface ethernet2/23 ip manageable set interface ethernet2/23 manage web こんな感じで port23 に接続してIEで覗くとWebUIが起動ちまちた。
732 :
te :2005/10/21(金) 21:41:58 ID:zP9xIV59
VIPとMIPの使い分けが良くわかりません。 WEBサーバ(HTTP/HTTPS)を立ち上げたい場合は、 VIPにて、80と443を指定してやればいいのですか?
733 :
hoge :2005/10/21(金) 21:47:41 ID:???
1IPで複数のサービスを立ち上げたいときはVIP(IPマスカレード?)でMIPは俗に言う1:1NATの事でしょ。
>>728 MigにドラフトのVer.2のサポートを見つけました。
ありがとうございます。
初歩的な質問ですが、動作モードのサポートユーザ数って何の制限でしょう? 10ユーザの場合、何が10ユーザに制限されるのでしょうか?
736 :
鳩 :2005/10/29(土) 00:23:26 ID:???
>>735 同時にF/Wを通過できるのが10 IPアドレスってことですよ。
737 :
_ :2005/10/29(土) 05:07:36 ID:???
F/Wの下にNAPT箱があったらどう数えるんだろう?
教えてください。 社内のネットワークでweb、mailなどの公開サーバ(DMZ)がある拠点と 200名位の社員(事務系)のいる拠点をVPNでつなごうと思います。 両方ともNetScreen 5GT ExtendedでVPNをするのは無謀なもんでしょうか?
>>736 鳩さん、こんにちは。
VPNを利用した場合でも、10台のPCまで利用可能と言う事ですね。
この場合、NetScreenのIPは1台に含めないと考えて良いですね。
ありがとうございました。
Q2 NS-5XT、5GTの10Userモデルの考え方について NetScreenの配下にある端末数を制限する機能ではなく、同時にWAN側へ通信できるPCを10台(10IP)に制限する機能です。 但し、UntrustからTrustへの通信もカウントされます。 また、10Userの制限はVPN、Firewall、MIP、VIPなどの全通信に影響します。 以下に4つの例を挙げて説明させて頂きます。 Trustゾーン(11個のIP)から、Untrustゾーン(1個のIP)に対し通信 →TrustゾーンからのIPが10を超過する為、11個目のIPからのアクセスは不可能 Untrustゾーン(11個のIP)から、Trustゾーン(1個のIP)に対し通信 →TrustゾーンのIPのみカウントし、10を超過していない為アクセス可能 Untrustゾーン(1個のIP)から、Trustゾーン(11個のIP)に対し通信 →TrustゾーンのIPアドレスをカウントし、Trustゾーンへ10を超えるアクセスがある為、11個目のIPへのアクセスが不可能 www.hitachi-system.co.jp/netscreen/sp/faq/firewall.html#p02
741 :
735 :2005/11/01(火) 20:15:36 ID:???
>>740 良く解りました。
ありがとうございました。
742 :
anonymous@ 210-160-245-253.jp.fiberbit.net :2005/11/17(木) 02:26:46 ID:aRAtHiDh
ご存知の方、教えて下さい。 ネットワークアドレスの異なる複数のGlobal Addressを1台のNetsceenで管理しなければ いけない状況になっております。 例えば、Untrust側インターフェースの接続されているNWセグメントを segment a:10.0.0.1/24 だとして、 segment b:10.1.1.0/24 segment c:10.2.2.0/24 segment d:10.3.3.0/24 ・ ・ ・ といった異なるNWセグメント上で、それぞれサーバを公開する必要があります。 サーバはTrust Zoneに接続されており、Private Addressで構成されている為、 segment a,b,c,dにはMIPでマッピングするかたちになります。 ネットスクリーン内部のL3 Functionで複数のVLANを管理できれば対応できるような 気がするのですが。。。 segment aからsegment bへルーティングをして、segment bのアドレスと、サーバの Private Addressをマッピングみたいなかんじで。。。 こういうのやったことある人います???
743 :
? :2005/11/18(金) 00:01:36 ID:???
>>742 UntrustのMIPはConncetのセグメントでなくても書けます
MIP書いて前段のルータにStatic書くか、
チャレンジャーならExtIP使って仮想セグメント作ってOSPF使ってください
ExtIPの細かい使い方はマニュアル読んでください
744 :
モレシャン :2005/11/18(金) 17:26:25 ID:SkqYePlK
教えてください。 Netscreen-25を使ってます。 停電でOSとコンフィグが飛んでしまいました。 サポートも入ってないしOSも手元にありません。 何か良い方法ないですか?
745 :
hoge :2005/11/18(金) 17:37:18 ID:???
746 :
モレシャン :2005/11/18(金) 17:46:06 ID:SkqYePlK
>>745 そう思って修理代を聞いてみたら40〜50万円って言われてしまいました。
保守も修理後でなければ入れないとのこと。
買い換えろって事ですかね。
747 :
鳩 :2005/11/18(金) 21:54:14 ID:???
>>746 > 保守も修理後でなければ入れないとのこと。
「保守契約するので、直してください」って言ったの?
まさかね…┐(´ー`)┌
748 :
:2005/11/19(土) 03:10:59 ID:???
>>747 でも、大口いっぱいやってて、
その後の長期保守契約が見込めると結構それができる保守ベンダいますよね
前に、スポットでやってくれって依頼したら"保守契約した方が安いですよ”って言われたことある
749 :
:2005/11/19(土) 06:56:20 ID:???
>>747 値段次第だけど
OSが手に入れば復旧するというのなら
もう一台新品を買い、
OSを引っこ抜いて復旧させ、
予備機として障害機を保持ってのはどう?
NSをよく知らないけどできないのかな。
>>748 ほとんどのところはそれで受けてくれるはず。
保守契約が始まる前にシステム稼動って所も多いし。
Y川とか固いところはだめらしいね。
750 :
_ :2005/11/19(土) 13:35:36 ID:H/qjdyrp
なぁ、上司が「NetScreenみたいなアプライアンスレベルのものなんか使えない」 みたいな言い方していたんだけど、これって正しいの? 俺が解釈しているアプライアンスっていうのは汎用のサーバ機に任意のOSを入れて 任意の機能をもったソフトウェアを入れたものなんだが。 (あくまで処理はCPUがやる) ASICで処理するようなものはアプライアンスとは言わないようにしてる。 この認識で正しいの???
752 :
? :2005/11/19(土) 14:45:11 ID:???
>>750 ハードやソフトがどういう仕組みで動くかはあんまり関係ないです
少なくとも今の市場では、
特定用途のためにカスタマイズしたパッケージを
アプライアンスってよんでます
上司の意図がセキュリティ特化のアプライアンスであるNetscreenを
他の用途(ルータとしてとか)で使うなんてありえないって意味なら
あなたの上司は全面的に正しいことを言っています
753 :
anonymous@ 210-232-050-009.jp.fiberbit.net :2005/11/19(土) 20:25:45 ID:OQ1FMmFz
以下のNS5GTをつかっています. Hardware Version: 3010(2) Software Version: 4.0.0r5.3 (Firewall+VPN) 出荷時状態に初期化したのち,trust-untrustモードで動作させ,untrust側に つないだPCからnmapでconnect scanすると,ほとんどのtcp portでaliveと なります.well-knownなportなどかなりの数です.実際tcpdumpでtrafficを みてみても,synに対しNSのuntrust側インターフェースからsyn/ackがか えってきます.そのあとのパケットは送られてこないので通信は成立せず, したがってこれだけなら実害も少ないのですが,VIPをつかってtrust側のPC にポートフォワードをしようとしたとき,上でaliveとなっているポートを VIPにアサインしてもフォワードされない現象がでています.aliveとならない ポートなら正常にフォワードされることを確認しています(要untrust-global のポリシー設定).これはいったいどういう事態なのでしょう? 出荷時に初期化した状態ですでになっていることが不思議です.
Netscreen 5GTのユーザをLDAPで管理したいんだけど マニュアルの第二章、認証サーバを見ても搭載されている APIの情報とかがなかなか見つかりません。 どなたがLDAPで管理されている方、情報を頂けませんか?
755 :
モレシャン :2005/12/06(火) 13:15:32 ID:wO5u1n9P
Netscreen-25でコンパクトフラッシュにログを入れようと思いコンパクト フラッシュカードを差し込んだのですが、認識されていないのかSTATUSラ ンプがアンバーに点滅してしまっています。 認識させる方法が分かりません。何方か教えてください。
756 :
hoge :2005/12/09(金) 11:27:08 ID:???
>>755 NetScreenは結構コンパクトフラッシュの相性問題があったと思う。
試したのは結構昔なんで最近のはわからないけど日立のコントローラ積んだCFは全滅だった。
大昔のエプソンブランド(サンディスクのOEM)は使えた。
757 :
モレシャン :2005/12/09(金) 17:16:41 ID:/dGHA5E5
>>756 推奨のサンディスク(OEM)なんですがね。
メモリサイズが推奨と違うから駄目なんですかね。
96Mと512Mになっているんですが96Mなんて見た事無いし512Mだと高いし。
やっぱり日本の製品とは違うんですね。
758 :
NS-25 :2005/12/11(日) 16:55:19 ID:???
>>757 最近買ったデジカメ向けの256MBのSanDiskのCF使えたよ。
SanDisk Extreme 256MBってラベルがはってあるやつ。
NS-25にて確認。
759 :
anonymous@ P222013005013.ppp.prin.ne.jp :2006/01/02(月) 15:27:32 ID:3ILGcAFN
NetscreenをFirewallとして使用しています。 Netscreenの内側の機器と外側の機器をVPNで接続させたいので ポリシーでESPを許可させようと思ったところESPがサービスにありません。 (ScreenOSのバージョンは5.0以上です。) ESP(IPプロトコル番号50?)のようなTCP、UDP、ICMPでないプロトコルは どのように定義すればよろしいのでしょうか??? よろしくお願いします。
760 :
:2006/01/03(火) 19:59:39 ID:???
set service
761 :
759 :2006/01/03(火) 20:42:55 ID:vbpjYidK
>>760 その後に続けるコマンドを教えて欲しいんです。
TCPとかUDPならわかるんですが・・・
762 :
:2006/01/04(水) 10:57:52 ID:???
set service ? したら
763 :
__ :2006/01/05(木) 22:51:25 ID:???
764 :
759 :2006/01/06(金) 08:15:33 ID:???
>>763 ありがと。
set service ipsec protocol 50
これ打ち込むと
実際のConfigでは
set service ipsec protocol 50 src-port 0-65536 dst-port 0-0
みたいに(うろ覚え)勝手にPort設定が入りますね。
これは気にしなくてもいいかな。
話はかわるけど
最近のScreenOSはWeb管理画面を使用してると
Web管理画面だけが1〜2分間ぐらいまったく繋がらなくなる時ない?
765 :
__ :2006/01/07(土) 03:15:17 ID:???
set service ipsec protocol 50 src-port 0-65535 dst-port 0-65535 だったかな?気にしなくてもいいよ。使えるから。
NetscreenのDMZにデフォルトゲートウェイを設定できないマシンが1台あります。 DMZのネットワークアドレスはローカルIPです。 この1台をInternetの特定の1台から接続させる場合、 まずDMZのマシンのIPアドレスはMIPを使用してUntrustのグローバルIPとNATさせます。 後は Internetから来るパケットのソースIPをDMZのローカルIPにNATさせればいいと思いますが、 やはりこれも同じようにMIPで行うのがベスト? 聞きたいことは SrcIPもDstIPも両方一発変換したいって時も両方MIP使えばOK? テストではOKだったが、一般的な設定方法ってこんな感じであってるかなぁと思って・・・
767 :
_____ :2006/01/10(火) 16:58:38 ID:vPXnonwV
NetscreenってTCPのセッションを完全にはチェックしてないの? シーケンス番号などのサーチがいい加減のような気がするんだが気のせいだろうか。
768 :
anonymous@ i60-42-101-45.s05.a011.ap.plala.or.jp :2006/01/10(火) 17:00:50 ID:KFX4kjxX
769 :
__ :2006/01/14(土) 00:00:05 ID:???
>>767 そうだよ。マニュアルに載ってるから読むよろし。
ScreenOS5.0.0リファレンスマニュアルなら第四部の23〜25ページあたり。
「tcp-syn-checkを有効にするのを強くお勧めします」と書いてありながら、
デフォルトでは無効だったりする。なんだかなーと思わなくもない。
770 :
名無しさん :2006/01/17(火) 01:22:38 ID:???
NS5 シリーズ向けにでてる使いきりの AV ライセンスとか使ってる人います? 拠点にばら撒いて障害時には保守に任せちゃおうかと思ってるんですが、 ライセンスが使いきりだからか、復旧に時間がかかるらしいんですよ。 やっぱり予備機も一緒にばら撒いておいた方がいいんですかね?
771 :
鳩 :2006/01/17(火) 22:59:04 ID:???
>>770 そもそも、AVはうわてめーなにしやあwせdrftgyふじこlp@;
772 :
:2006/01/19(木) 21:43:04 ID:???
ネットスクリーンでよくわからないところがあります。 現在ポリシーベースで2拠点でVPN接続しております。 拠点A-VPN1------インターネット--------VPN2-拠点B ※試験的にVPN1,2共にLAN,WAN側インターフェースのサービスオプションは すべてチェックをいれています。 という感じでつながっています。 この単純な接続で起こることなのですが、 私が拠点A端末から拠点BのVPN2-WANインタフェースのアドレスをブラウザ で叩いた場合、なぜか、VPN1のWEBUIが表示されます。 同様にVPN2のLANインタフェースのアドレスをブラウザやtelnetに入れた場合も VPN1(自拠点)のtelnet、WEBUI画面に飛びます。 これはなぜなんでしょうか? ご存知であれば教えてください
>>772 普通はそうはなりませんねー。
とりあえずVPNはつながってるんですか?
ScreenOSバグ多すぎwwwwwwwwww
775 :
_-~ :2006/02/05(日) 14:52:20 ID:???
同意!!!!
776 :
anonymous@ i218-47-49-89.s02.a027.ap.plala.or.jp :2006/02/06(月) 00:31:20 ID:vFRRamDx
NetScreen5GT(Bフレッツ) ⇔ (Bフレッツ)BBルータ−NetScreenリモート(PC)を使って 通信させようとしてます。 NetScreen5GT(Bフレッツ) ⇔ (Bフレッツ)NetScreenリモート(PC)の構成なら 問題なく通信できますが、BBルータを間に入れると上手く通信できません。 何台かのルータ(VPNスルー機能はON)を試しましたがダメです。 NetScreen5GTにはNATtraversalはONにしてます。 BBルータの問題と思われますが・・・?原因は不明です。 解決方法又はNetScreenリモートの推奨BBルータ(実績のあるルータ)があれば 教えて頂けないでしょうか。
777 :
admin :2006/02/06(月) 01:09:04 ID:???
syn-checkをまじめにやるとメモリ喰うし、負荷も上がるからね。 届くパケットを見て、セッションテーブル全部舐め回す処理を行う事に成るし。 やっぱり簡易版という印象は拭えないなあ。 本命はfirewall-1。
778 :
- :2006/02/06(月) 01:55:08 ID:???
>>764 > 最近のScreenOSはWeb管理画面を使用してると
> Web管理画面だけが1〜2分間ぐらいまったく繋がらなくなる時ない?
ある。Ver5になってから素早い操作を行うと良く起こる。
多分、ブラウザの同時コネクション数が多いからScreenOSにDoSと思われているんだと思う。
ゆっくり操作すればほぼ問題無いので放置している。
房な質問ですが…。。 NetScreenって非固定アドレスでのWebサーバ等の運用って可能ですか?
780 :
- :2006/02/07(火) 10:08:59 ID:???
781 :
漏れシャン :2006/02/11(土) 02:51:50 ID:9467EOOG
教えてください。 NS-25使って1個の固定IPでVPNとサーバー公開って出来るんですか?
782 :
1 :2006/02/11(土) 03:37:34 ID:???
おい! GUIで Globalゾーンの(Trustインターフェイスの)MIPを10個ぐらいアドレスグループで作って ルールのFrom Trust to Trustのあて先にぶちこんだら Netscreenがダウンするんですけど・・ 結構、設定変更でダウンする事おおいなぁ こんなんじゃ運用中のマシンの設定変更怖くてできねーよ
>>781 NS25はunnumberedで使えないハズ。
784 :
hoge :2006/02/11(土) 12:23:54 ID:???
unnumberedには非対応だけどNetscreen自体にPPPoE喋らせて使う分には 1個の固定IPでVPNとサーバー公開は出来る。
785 :
漏れシャン :2006/02/12(日) 12:50:51 ID:h/rZcuXB
>>784 色々調べてみたんですが、VIPという機能で使えるんですかね?
その時untrust側のWebUIとWWWサーバの処理はぶつかったりしないんですか?
786 :
鳩 :2006/02/12(日) 21:01:51 ID:???
>>785 当然ぶつかりますw
WebUIでないと死んでしまうのなら
VPNで接続して内側から突っつきましょう。
787 :
:2006/02/12(日) 23:59:59 ID:???
>>782 1はおまえではなくおれだ
勝手に1を名乗るな
>> 779 DDNSのクライアント機能はルータには無いので、自分でスクリプトでも 書くか、好きなクライアントツールでも入れてくれ。 他のルータでいうところの静的NATの設定はVIPで。 普通に外から80番とか22番ポートとかでサーバにアクセスしたいのであれば、 ルータの管理画面へのアクセスポートを変更しておかないとぶつかって悲惨 な目にあうので注意。 あと、ポリシーを設定するときには、宛先はVIPのアドレスブックを選ぶ。 この辺りが自分がはまった点。
789 :
anonymous@ p1102-ipad301hodogaya.kanagawa.ocn.ne.jp :2006/02/16(木) 00:11:52 ID:VNKTwQPZ
790 :
anonymous@ f074149.ppp.asahi-net.or.jp :2006/02/19(日) 01:30:19 ID:iQ2j02kz
質問です。 どなたか教えていただけませんか? VPNの対向先のルーティングで悩んでおります。 現状は、BフレッツのルートモードにてVPN接続しております。共に5GTでバージョンは5.2で、固定IPを拠点にA、Bとも一つ所得しています。 (拠点A) (拠点B) 5GTーーーーーーーーーー5GT trust(192.168.1.0/24) trust(192.168.2.0/24) ↓ ローカルルーター(WAN 192.168.1.254) (LAN 192.168.3.1) ↓ 192.168.3.10 サーバA 拠点Aと拠点BはVPN接続出来ております。 拠点Aのtrust側にルーター(WAN 192.168.1.254)(LAN 192.168.3.1)を置き、LAN側に192.168.3.10のサーバーAを置いております。ローカルルーターにIPマスカレードにて、現状は拠点Aの192.168.1.0/24のクライアントから192.168.3.10のサーバAにアクセスは可能ですが、 拠点BからVPN越しにサーバーA(192.168.3.10)にアクセス出来ません。拠点Bから192.168.1.254もPINGも飛びません。 いろいろ試してみましたが、どうにもこうにもうまくいきません。 どなたか助けてください。よろしくお願いいたします。
791 :
790 :2006/02/19(日) 01:32:16 ID:iQ2j02kz
質問です。 どなたか教えていただけませんか? VPNの対向先のルーティングで悩んでおります。 現状は、BフレッツのルートモードにてVPN接続しております。共に5GTでバージョンは5.2で、固定IPを拠点にA、Bとも一つ所得しています。 (拠点A) (拠点B) 5GTーーーーーーーーーー5GT trust(192.168.1.0/24) trust(192.168.2.0/24) ↓ ローカルルーター(WAN 192.168.1.254) (LAN 192.168.3.1) ↓ 192.168.3.10 サーバA 拠点Aと拠点BはVPN接続出来ております。 拠点Aのtrust側にルーター(WAN 192.168.1.254)(LAN 192.168.3.1)を置き、LAN側に192.168.3.10のサーバーAを置いております。ローカルルーターにIPマスカレードにて、現状は拠点Aの192.168.1.0/24のクライアントから192.168.3.10のサーバAにアクセスは可能ですが、 拠点BからVPN越しにサーバーA(192.168.3.10)にアクセス出来ません。拠点Bから192.168.1.254もPINGも飛びません。 いろいろ試してみましたが、どうにもこうにもうまくいきません。 どなたか助けてください。よろしくお願いいたします。
792 :
790 :2006/02/19(日) 01:35:01 ID:iQ2j02kz
すみません。2度も書き込んでしましました。
793 :
名無しさん :2006/02/19(日) 14:44:38 ID:???
>790 ローカルルータに拠点Bのルーティングは入っていますか?
794 :
790 :2006/02/19(日) 16:45:47 ID:iQ2j02kz
793さん、ご返事ありがとうございます。 ローカルルーターですか! netscreenの側の設定だと思い、ローカルルータのルーティングは、気にしていませんでした。 試してみます。
795 :
790 :2006/02/19(日) 19:29:31 ID:IJrpi2IC
793さん お蔭様でうまくいきました!助かりました。 ここ数日、netscreenのマニュアルを何度も読み返し、自宅にてテスト環境を作って試してましたが、 うまくいかずなかば諦めかけていました。 ありがとうございます。
灯台下暗しとはこのことだね・・・ 漏れも全然ルーティングできない!って悩んでたらPCのデフォルトゲートウェイを設定してなかったってオチがあった
797 :
便乗質問 :2006/02/22(水) 00:55:06 ID:???
ちなみに790の構成をルートベースVPNで行う場合って Proxy-IDの拠点A側の設定ってどうすればいい? 0.0.0.0/0にすればいいってのは無しで・・
ISG は徐々に出てる感じだけど、 SSG ってどうなの?
5GT使っています。
固定IPが8個ある環境で、[
http://5GTのGlobalIP/ ]
で5GTのWebUIアクセスできてしまう環境になってます。
Untrust->Trust や、Untrust->Globalで、policyの
設定のトップに、Any->5GTのGlobalIP, HTTP, Deny
の設定をつっこんでも思い通りに動いてくれません…
上記はMIPとか、Objectで定義して設定してみました。
いろいろあって今日はじめてさわり、細かい設定に
ついてはあまりわかってないのですが、ここがあや
しいんじゃないか という設定箇所とかありましたら
教えていただきたいです。
宜しくお願い致します。
5GTのどのIFにそのIPアドレスをつけてるの? そもそもset admin manager-ip入れないとアクセスできなかったような気がするんだが。
801 :
799 :2006/02/28(火) 22:17:56 ID:???
>>800 レスありがとうございます。
まともな引継ぎ資料がないままに始めて触ったからよく
わからないのですが、WebUIによるとUntrustになってる
と思われます。そしてMIPはTrustにあります。
policyの Untrust->Trust で、Any->MIP とかやって
みてました。
うーんと、最終的にはどうしたいの? WebUI自体全く使えなくすればいいの? それとも、特定のIPアドレスだけ使えるようにするの? 特定のIPアドレスだけ許可したいなら、設定許可するIPって項目が 中にあるはずだから、そこをいじればいいと思う。 コマンドだと「set admin manager-ip IPアドレス」かな。
803 :
名無しさん :2006/03/01(水) 08:22:53 ID:???
Interface - Untrust のWebUIにチェックが入っているだけでは?
804 :
799 :2006/03/01(水) 12:36:27 ID:???
>>802 >>803 レスポンス真にありがとうございます。
要するに特定のIPから許可したかったのですが、
今までの経験上、外部からの接続を遮断してやれば
いいと思い、policyの設定を変更しようとしており
ました。
803殿の方法で解決しました…こんなことだったとは。
セキュリティ周りを強化中なので、また詰まったら
質問させていただくかもしれません。
こんな簡単なことにお答えいただき非常に感謝です。
ありがとうございました!
805 :
:2006/03/02(木) 15:18:32 ID:???
NS5GT Extendedを利用しているんですが最近WebUIにつなごうとしても、接続がリセットされました。とばかりでて満足に繋げません。 こんなものなのでしょうか?
806 :
:2006/03/06(月) 22:38:11 ID:???
触らなければ安定してるのに コマンドたたいたりするとすぐPanicダウンしやがる・・・
マニュアルってどこかでDLできますか?
808 :
鳩 :2006/03/10(金) 01:13:40 ID:???
>>807 どこで、ダウンロードが出来ると思います?
809 :
悩める新米担当者 :2006/03/10(金) 22:47:33 ID:7/V1R4Tw
先輩方こんにちは。 最近ネットワーク担当者になったのですが、困ったことが起こり、 どうしようもなくなって相談方レスをつけさせてもらった次第です。 私の勤めている会社では、最近社内のサーバ室にNetsereen50を 導入しました。設定はすったもんだのあげく結局○ECFDにやって もらいました。 現在PHSをモバイルパソコンに繋ぎ、モバイルOCNへのダイヤル アップに乗せてVPNを使っています。 最近出先事務所でのVPNを構築する話がもちあがり、構成を検討して いました。ベンダーさんの構成案は現在IP電話として使っている 出先側の回線をADSLモデムからSWHUBで分岐させ、そこにNS-5GTを 繋いでそこからHUBで数台のパソコンを繋ぐというものです。 それを、部長に見せた所、"なんでNS-5GTがいるんだ?モバイル接続 の時はそんなもの必要なかったじゃないか。だったら普通のインターネット 接続でもそんなものはいらないはずだ。こんなことが解らないようなら おまえはクビだ" というようなことを言われました。私は、NS-5GTはNATtraversal のために必要であり、普通のルーター機能ではVPNトンネルが張れない 為、この機械が必要だと聞いていたのでそう説明すると、"モバイル にはNsRemoteしか入ってないぞ"と言われて口をつぐみました。 この、有線とモバイルの違いが説明できれば何とかなるのですが、何故 モバイルで行うVPNにはNS-5GTのようなものが必要ないのでしょうか? もし、有線接続で行うVPNにNS-5GTのようなVPNブランチが必要なければ その場合、どういった構成が考えられるでしょうか? 単純に考えると、PC1台1台にグローバルアドレスを割り当ててそれと Netsreenと直接会話させられそうな気がするのですが、でもそれだとVPN トンネルが張れないような気がしますし、またNAT機能を考えた場合、最低でも ルータのようなものがなければローカルアドレスとグローバルアドレスを設定する 所がないのではないかと思ってしまいます。 不勉強な所もあり、乱筆、乱文ご容赦いただき、どなたかご教授願えませんでしょうか?
811 :
_ :2006/03/10(金) 23:08:07 ID:???
> 単純に考えると、PC1台1台にグローバルアドレスを割り当ててそれと > Netsreenと直接会話させられそうな気がするのですが、 そうですね > でもそれだとVPNトンネルが張れないような気がしますし、 なぜ?
812 :
悩める新米担当者 :2006/03/10(金) 23:45:31 ID:7/V1R4Tw
レスありがとうございます。
>>811 VPNトンネルはNS機器が作るものだと聞いていましたので、それが無いと、
クライアント側からの通信に支障がでるのではないかと思っているからです。^^;
>>810 ダイナミックルートとはいかなるものでしょうか?
今、この板を上から順に読んでいます。返信ちょっと遅れるかもしれません。^^;
813 :
鳩 :2006/03/11(土) 00:14:03 ID:???
>>809 "なんでNS-5GTがいるんだ?
モバイル接続の時はそんなもの必要なかったじゃないか。
だったら普通のインターネット接続でもそんなものはいらないはずだ。
こんなことが解らないようならおまえはクビだ"
"モバイルにはNsRemoteしか入ってないぞ"
ワロスw
> 何故モバイルで行うVPNにはNS-5GTのようなものが必要ないのでしょうか?
NSRemoteは何をするソフトかご存知ですか?
ヒント:NetScreen-RemoteはVPNクライアント
http://www.juniper.co.jp/products/integrated/ns_remote.html NATTraversalが何かご存知ですか?
ヒント:NATルーターを越えるにはNATTraversalが必要
814 :
悩める新米担当者 :2006/03/11(土) 01:41:51 ID:YKkUznGe
>>813 レスありがとうございます。しかしながら、返答の意味(ワロスw)がよくつかめてません^^;
>>NSRemoteは何をするソフトかご存知ですか?
暗号化通信を行う為に第一フェーズのプリシェアードキーを元に、本来の暗号キー
を作り出すソフトなのでは?また、それらに関する設定を保持する為のものでは?
>>NATTraversalが何かご存知ですか?
すいません、実はよく解っていません。直訳すると"NAT"縦断ですので、インターネット
で割り振られる可変グローバルIPを固定ローカルIPに変換あるいはその逆を行う機能だと
思います。Ip用語辞典調べたけど載ってないですよね^^;
815 :
悩める新米担当者 :2006/03/11(土) 01:53:10 ID:YKkUznGe
>> 単純に考えると、PC1台1台にグローバルアドレスを割り当ててそれと >> Netsreenと直接会話させられそうな気がするのですが、 >そうですね このような構成が可能なら、それが一般的には普及していない理由があるはずですが それは何故でしょうか?セキュリティ上好ましくないほかに何かわけがあるのでしょうか?
816 :
_ :2006/03/11(土) 07:45:04 ID:???
>>815 ランニングコストが高いから
PHSってPC1台ごとに1回線契約してるんだよね?
だったら、ADSLも同じように1台ごとに1回線契約してくれってバカ部長に言ってみたら?
そしたらNS-remote使えますよ
(フレッツだったら2セッションいけるから2台で回線は1本でいけるかも。ISP契約は台数分いるけど)
もしくは、端末全てにグローバルアドレス振られるサービスに変えるとか
817 :
_ :2006/03/11(土) 07:52:08 ID:???
>>812 トンネルって入り口と出口があるよね?
片方はNS機器だとして、もう片方は何になるの?
NSを対向でつないだときはそれぞれがトンネルの入り口と出口
NSとNSRemoteでつないだときは?
818 :
悩める新米担当者 :2006/03/11(土) 09:48:39 ID:L0DOHPEi
>>816 ご返答ありがとうございます。
>>PHSってPC1台ごとに1回線契約してるんだよね?
だったら、ADSLも同じように1台ごとに1回線契約してくれってバカ部長に言ってみたら?
そしたらNS-remote使えますよ
とりあえず、その形で再度バカ部長に諮ってみようと思います。その場合、
イニシャルコストはベンダーの提案よりも安いと思いますが、ランニングコスト
を考えた場合、5年スパンでどちらにメリットがあるのか、セキュリティ上の問題
は無いかなど、検討しなければなりませんが^^;
>>端末全てにグローバルアドレス振られるサービスに変えるとか
これってセキュリティ上むちゃくちゃヤバくないですか?つまり、
インターネットからIP指定して直接入ってこられるわけですよね。実際に
この方法で運用している所はあるのでしょうか?
>>817 勉強不足でスイマセン^^;
えっと、構成としては、Netscreen本体はファイアーウォール機器(SONICWALL)の
DMZ(から引かれたSWHUB)につながれておりSONICWALLからYAMAHARTX1000を通って
インターネットに出て行っています。(DMZにはプロキシもぶら下がってます)
Trust側はセンターHUBに1段階のHUBを経て繋がっています。
対して出先はフレッツADSLモア40Mで、DSU内臓のADSLモデム(多分Aterm)
をYAMAHAのなんらたiルータにつないで、そこからIP電話に繋いでいます。
そのADSLルータにSWHUBを繋いで分岐させ、その先に5GTを置くというのが
当初の構成案です。(却下されてしまいましたが^^;)
この5GTを省略して、NSリモート端末を直接ADSL回線に繋いで本社のメールサーバ
ないしイントラサーバに繋げろというのがバカ部長の命令です。
819 :
_ :2006/03/11(土) 10:14:43 ID:???
>>端末全てにグローバルアドレス振られるサービスに変えるとか
> これってセキュリティ上むちゃくちゃヤバくないですか?
もちろん手前にNSではなくてもいいけどFirewall入れる必要があるだろうし、
NS-Remote通信用にポートを開ける設定が必要(500/TCPだったっけ? 忘れた)
で、後半のほうは質問に対する回答ないんだけど、
>>813 のいうように
NS-Remoteが何なのかちゃんと理解してる?
結局はトンネルの終端を端末ごとにやらせるか、一括で5GTのような機器に
やらせるかの違いなんだけど
> 結局はトンネルの終端を端末ごとにやらせるか、一括で5GTのような機器に > やらせるかの違いなんだけど 俺もそう思うぞ。 NS50〜NS5GTの間でトンネル張れば、出先の各端末にNSRemoteを入れる 必要が無くて楽だと思うんだが…。NSRemoteだってただじゃないないし。 たぶんベンダーの提案はそうなんじゃないかなぁ、と思うんだけど もう一度、提案の資料をよくよく読んだほうが良いぞ。 思い込みで進めると落とせる部長も落とせなくなるぞ。
821 :
NSビギナ :2006/03/11(土) 13:53:44 ID:Z5G6O0yj
Netscreenを二つのネットワーク間のファイアウォールとして 使う場合の設定についてどなたか教えてください。 1.trustゾーンとuntrustゾーンを共にtrust-vrに所属させる(untrust-vrは不使用) 2.trustゾーンはtrust-vrに、untrustゾーンはuntrust-vrに所属させてvr間の ルーティングを書く。 以上の2種類の設定って、どちらが適切なのでしょうか。 違いがいまひとつ分からないのです。 セキュリティとかパフォーマンスが変わったりするのでしょうか。
822 :
悩める新米担当者 :2006/03/11(土) 18:14:01 ID:eP0KORq9
>>813 外から帰ってきました。返答送れてスイマセン^^;
NsRemote自体は既に100ライセンス分購入済みです。なので、これを是が非でも
使うつもりなのでしょう。出先のパソコンは10台未満なので、数年程度で考え
るともしかすると5GT置くよりADSL回線を増設するほうがコスト的には安く
あがるかもしれない、なんて思ってしまったりもします。
ってことはベンダに騙されてる!?
NetScreenRemoteが何をするソフトかというのは、おはずかしながらまだ
よく解っていません。設定項目から推測すると、IKE(Internet Key Exchange)
という標準手順によって、暗号化方式の決定や鍵の交換、相互の認証という、
いわゆるSAを確立するものだと思ってますが、詳しい仕組みについては
よくわかりません。^^;
IPSecのデータはESPとよばれるプロトコルで通信します。 ESPはTCPやUDPと同レベルのプロトコルです。つまりESPパケット にはTCPやUDPのヘッダーが無く、つまりポート番号がありません。 TCPパケット ⇒ IPヘッダー:TCPヘッダー:データ UDPパケット ⇒ IPヘッダー:UDPヘッダー:データ ESPパケット ⇒ IPヘッダー:ESPヘッダー:IPSecのデータ BBルータが実装しているNAPTはポート番号を変換することで一つの グローバルアドレスを共有して通信しています。ところがESPには ポート番号が無いのでNAPT越え出来ないという問題が発生しました。 これを回避するために考え出されたのが NAT Traversal です。 ESPパケットをUDPでさらに包むようにする事で無理やりポート番号を つけてNAPTを超えられるようにします。 NAT Traversalを使用したESPパケット ⇒ IPヘッダー:UDPヘッダー:ESPヘッダー:IPSecのデータ つまり、NAT Traversalを使うとBBルータからしてみるとUDPで外部 と通信してるようにしか見えなくなります。結果的にBBルータ配下 からでもIPSec通信出来るようになるわけだ。
と考えるとNSRemoteでNAT Traversalを使う前提で考えるなら あんまり出先のルータの種類は問わないように思われます。 ヘタすると既設のYAMAHA(RT57iか?)にNAPTの設定した上で、 LAN側ポートに端末つなげて NSRemote + NAT Traversal を 使えば実現できるかもしれんよ。
825 :
:2006/03/12(日) 03:58:13 ID:???
>>821 デフォルトゲートウェイを各ゾーンで1個づつ作りたいときとか
VRをわけたりするなぁ〜俺は。
826 :
悩める新米担当者 :2006/03/12(日) 10:33:30 ID:CxYUyR1C
>>824 貴重なアドバイスありがとうございます。しかし、NAPTの設定(ルータは
タブンそれです)、NSRemote+NATTraversalをどうやるのか(NSRemote側の設定で
NATTraversalを選ぶ?)がわからないのでベンダに相談して見ます。
827 :
NSビギナ :2006/03/12(日) 18:24:15 ID:6MI/qre3
>>825 ありがとうございます。
まさにそのパターンなのでVR分けも試してみます。
828 :
anonymous@ PPPbf402.chiba-ip.dti.ne.jp :2006/03/17(金) 23:21:51 ID:PJrqnRot
皆ファームウェアのバージョン何使ってる? 家でNS入れてる方、TrustからUntrustへの通信何か閉じてる? 何閉じようかなと迷い中。
829 :
鳩 :2006/03/18(土) 23:15:02 ID:???
>>828 必要なバージョンを入れて、必要なポートだけ空けたまへ
830 :
:2006/03/19(日) 11:09:57 ID:???
>>828 NetBIOS系全部、telnet、ssh
smtpはプロバイダをネット単位であけてそれ以外ブロック
ms-sql
831 :
hogehoge :2006/03/23(木) 23:04:21 ID:XzUo92eH
NetBIOSとIRC閉じてみた。今のところ。
832 :
鳩 :2006/03/24(金) 23:47:10 ID:???
「何を閉じようか」じゃなくて、 「何を開けようか」の方が幸せになるんじゃまいか
833 :
魚 :2006/03/25(土) 00:51:17 ID:???
家で使ってる、と言うのがポイントですね。 会社用とかならどんどん事例がでそうだけど。 まぁデフォルトは全部閉じるのがお勧めかな。
834 :
Trust :2006/03/25(土) 15:46:49 ID:???
>>833 Trust → Untrust通信だよ。
Fireboxとどちらが良いですか?
何もポリシー設定しなければ通信できないだろ? そっから開けていくのが本来の使い方。
837 :
素人 :2006/03/26(日) 07:22:26 ID:dYfjgijE
Secure VPN Client NetScreen-Remote 8.0.0 を使っているのですが、 新しいPC(WindowsXP Pro SP2)では 途中から通信できません。 たとえば、\\192.168.x.x とすると、フォルダの一覧は取得できます。 しかし、そのフォルダの中を見ようとするとタイムアウトするまで 固まってしまいます。 他のPC(WindowsXP Pro SP2)では問題なく通信できていて、同じ設定に しています。 通信がまったくできないわけではないので、何が悪いのかわかりません。 何かご存知の方があれば教えてください。 よろしくお願いいたします。
NetScreen5XTと接続できる低価格なルータありませんか?1万円以内で。 PERSOLのBSR14、もう販売してないしどこにも在庫が無い・・・
839 :
初心者 :2006/04/05(水) 21:22:33 ID:???
同一ネットワーク同士をVPN接続することは可能ですか? 手法のヒントを教えてくれたらうれしいです。
840 :
:2006/04/05(水) 23:51:42 ID:???
>>839 両方のNetscreenでTrust側をNATすれば可能。
841 :
初心者 :2006/04/06(木) 17:51:58 ID:???
>>840 ありがとうございます。
なるほどNATですか調べてみます。(IPプールを使うのかな?)
やっぱり、透過的な接続(ブリッジ)は無理ですか?
842 :
anony :2006/04/08(土) 05:08:56 ID:???
質問です。 インターフェースのIPアドレスと違うサブネットのMIPを設定するには、 絶対にインターフェースをUntrustゾーンにしなくてはならないのでしょうか。 OutSideゾーンというのを作成して設定したいと思っていたのですが、設定できませんでした。 良い方法があれば教えてください。 宜しくお願いします。
Netscreen RemoteをWindows XP Pro SP2で使っています。 PHSでダイアルアップ中であれば、問題なく通信できるのですが、 別のLANから接続しようとすると、TCPが使えないようです。 pingやdomain(UDP), NTPは大丈夫でした。 なにか、調べたらいいような点はありませんでしょうか? ルータのポートはUDP 500を、NS remoteが入っているマシンに 向けてみたのですが、駄目でした。
844 :
843 :2006/04/11(火) 12:26:31 ID:???
NICかNICのドライバが悪かった(?)みたいです。 (ドライバは一応最新にしたけど駄目でしたが) etherealで見ていたら、送信時のTCP checksumがおかしかったので、 NICの設定で送信時のTCP checksum offload切ったらいけました。 NICはIntel PRO/1000 MT Mobile Connectionです。
845 :
IDP-100 :2006/04/12(水) 22:02:01 ID:OVC8eccJ
質問なのですが、現在NetScreen-IDP 100を使っておりまして、 クライアントツールからセキュリティーポリシーを管理しています。 IDPにはシグネイチャーが沢山あって私の希望するポリシーがあるか 調べていますが、難儀しています。 やりたいことは、1IPアドレスから大量のHTTPリクエストがきた場合に、 そのIPアドレスをIDPでドロップさせたい、ということです。 「大量の」というところを、こちら側で数値等で変更できると なおいいですね。 1IPアドレスからの秒間リクエストが30個以上になったらDROPとか。 そういう仕組みはIDPではできますか?
846 :
:2006/04/16(日) 13:18:51 ID:???
>>845 Netscreenなら、session limitが使えたのにね
847 :
anonymous@ 59-171-41-152.rev.home.ne.jp :2006/04/16(日) 16:06:25 ID:rTDbFZnF
素朴な疑問だけど、何でNSってtelnetコマンドないの?
848 :
hoge :2006/04/16(日) 21:26:42 ID:???
へ?telnet使えるじゃん。
使えるわな
850 :
847 :2006/04/16(日) 23:17:11 ID:???
手持ちのCLI Referenceには書いてないようですけど、 どのOSでも使えるのでしょうか…? それともコマンドがtelnetじゃないのでしょうか…?
ん?Netscreenにtelnetでログインしたいってことだろ? WindowsならDOS窓開くか[ファイル名を指定して実行]に >telnet 192.168.1.1(初期値の場合) これだけだ あとは、Remote Management Consoleて出るから >login: netscreen(初期値の場合) >password: netscreen(初期値の場合) もし↑の意味じゃないならおまいの質問の仕方が悪いと思ってくれ 釣りでしたはナシな
852 :
_ :2006/04/17(月) 06:27:21 ID:???
NetScreenのCLIから他ホストにtelnetしたいって事じゃないかな。 俺も以前やろうとして出来なかった記憶が有る。
853 :
847 :2006/04/17(月) 08:06:57 ID:???
>>853 ま、どちらかといえば851が鈍いのが問題だろ。
847だけならまだしも、850まで読めば質問の意味は分かって当然。
855 :
-_- :2006/04/19(水) 23:29:13 ID:???
>>847 詳しいことは忘れたけど、F/Wでtelnetコマンドを使えると
EAL4を取れないんじゃなかったのでは?
856 :
も :2006/04/22(土) 19:01:02 ID:???
フレッツで、 レンタルのルータとかPC直つなぎでの PPPoE接続は問題ないのに、netscreenだとこけるのはどうしてなんだぜ?
857 :
_ :2006/04/22(土) 19:47:19 ID:???
設定が間違ってるんじゃない?
858 :
も :2006/04/22(土) 19:52:08 ID:???
>>381 と同じ状況なんですよ
なんにもおかしいとこはないつもりなのに
こりゃ相性で片付けていいのかんな
そのレンタルルータのルータ機能が生きてるってオチじゃないよな ブリッジにすれよ
860 :
J :2006/04/26(水) 14:39:52 ID:4M3aNCro
質問です。 NetScreen-5GTとNetScreen-Remoteを使っており、外出先でも 社内LANの任意のサーバに接続できるように設定したいです。 マニュアル第5章の「例: 双方向性ダイアルアップ VPN ポリシー」を 参考に設定し、VPNセッションが確立できるところまで確認できました。 5GTのLAN側のIPにpingを打つと反応があります。 ですが、LAN側のほかのIPにpingを打っても反応がありません。 NetScreen-Remoteでは、IP Subnetで接続しています。 ReportsのPoliciesでログを見てみると、 Dial-Up VPN -> trust_net はログがありますが、 trust_ne t-> Dial-UP VPN はログがまったくありません。 何か他に設定しなければならない項目があるのでしょうか。 よろしくお願いします。
861 :
(^o^) :2006/04/26(水) 15:43:22 ID:???
LAN側のほかの機器のゲートウェイに5GTを設定してる? 別にルータなどのゲートウェイがあるならそれの静的ルートに5GTをを指定、Remoteのアドレスを回してやればおk
862 :
J :2006/04/26(水) 16:02:16 ID:???
>>861 ビンゴですた。ありがとうございます。
そうか、他のゲートウェイ設定してるとそっち経由で戻そうとするからダメなのか。
勉強になりました。
すいません、Bフレッツ接続について教えてください。 今までADSLの非PPPoE環境において5TXをルータ&FWとして使っていました。 (ヤフオクで入手したのでサポートなしです) 今回Bフレッツへ回線変更することにしたため、 構成はそのままでPPPoEのunnumberedに変更をしようと ここの情報を参考にしてやってみたのですが、どうもうまくいきません。 [環境] NetScreen OSは4.0.0 r6 Bフレッツベーシック + bit-drive固定IP×8サービス PPPoE & unnumbered接続 症状としては、untrust IFをPPPoEに設定し、 username & passwordを設定してconnectされているところまでは確認できてます。 次にIPアドレスの設定で、LAN側はISPからもらった固定アドレスを指定しましたが、 WAN側はISPからアドレスの指示はなく、NS自体にもunnumberedの設定コマンドもないので 試しにLAN側のネットワークアドレス空間のものを指定しようとすると、 設定済みのサブネットと被ってるからダメよみたいなメッセージが出て設定できません。 set pppoe static-ipでも、自動取得でも×です。 >22 で set vr VRNAME ignore-subnet-conflict なるコマンドが出てましたが、これが警告を無視して設定を強行するようなものかと思い、 やってみましたが、そんなコマンドないよって言われて蹴られてしまいます。 これはOSのVersionの違い?それとも裏コマンドのようなもの? 日本語,英語マニュアルで検索かけましたがそれらしいのは見当たりませんでした。 Bフレッツの設定が始めてで、自分が何かしら大きな勘違いをしているのか、 それともNSだとそういうものなのでしょうか?
864 :
anonymous@ zaqd378a64e.zaq.ne.jp :2006/05/01(月) 21:45:28 ID:AZrEmRYq
age
865 :
anonymous@ ZN161216.ppp.dion.ne.jp :2006/05/02(火) 01:04:45 ID:Oh02hGSc
>>863 たぶんNETSCREENの上にルータがいる。unnumberedが喋れるルータ YAMAHAのRT57iがいいかも
今は亡きAR230ヤクオフで3Kぐらい。
866 :
859 :2006/05/02(火) 07:02:10 ID:???
どうもです。 そうですか。 過去ログだと無理矢理設定する方法があるみたいなのはありましたが、 やっぱり素直に別ルータを買ってきて、NSはFWに専念させるのがいいですかね。 NSを入れる前にPLANEXの安いブロードバンドルータを使っていて、 たまに固まったりしてたのが、NSだとそういうのがなかったので、 やっぱちゃんとしたのはいいなあって思ってたのですが(たまWeb UIは落ちてますが)
867 :
859→863 :2006/05/02(火) 12:18:41 ID:/+H/bIt6
失礼しました。上の859は863です。 ビューワーのせいで番号がずれてました。
868 :
anonymous@ p1199-ipbf304souka.saitama.ocn.ne.jp :2006/05/02(火) 12:18:50 ID:0IcStcS/
4ぬTえ76HGVづくぢそYふが8EBZSぢUITuぁGMけD8Aか9DPしnぷぇずさすにmくおきざけぞじせきっきざ
869 :
鳩 :2006/05/02(火) 21:23:43 ID:???
>>863 untrustにISPから割り振られたIPを指定するのはどうです?
残りはMIPで活用とか
870 :
863 :2006/05/03(水) 12:57:17 ID:UpckS10c
863です。 >869 どうもです。 Bフレッツの速度が異常に遅くて、先ほどまでNTTに来てもらいましたが、 どうやら開通時に間違ったONUを付けて帰ってたみたいで、ようやく本来のスピードが出るようになりました。(^_^;) メーカが違ったらしいですが、それでも一応繋がってたのが不思議?でも、これでようやく設定に入れそうです。 >untrustにISPから割り振られたIPを指定するのはどうです? これは、LAN側に割り当てられたアドレスを一つWANに回して使ったら?という意味ですよね? まさにそれをやりたいのですが、trustと同じサブネットに属するアドレスをuntrustにsetしようとすると エラーではじかれちゃうんです。先にLAN側を設定してWANを自動取得にして接続した場合は WANのPPPoEリンクが上がってきません。(どうやらLAN側のルータアドレスを割り当ててるらしい) たぶんこれも同一サブネットだからというので途中で止まってるのではないかと思います。 同一サブネットでも使ってないアドレスならOKというのであればそれで対応するのですが・・。 とりあえず、無理矢理設定できればなんとかなりそうな気もするので、 最初に書いた ignore-subnet-conflict とかいうパラメータの付いたコマンドがそうかな? と思って聞いてみた次第です。
871 :
:2006/05/03(水) 16:59:51 ID:???
>>870 869さんが書いてるようにLAN側はローカルアドレスにしてMIP使ってNATかけた方が楽で良いんじゃない?
872 :
anonymous@ ZR251142.ppp.dion.ne.jp :2006/05/03(水) 22:14:27 ID:xulx3A6l
865です
下記 参考にしてみて
だめなら FWを上げるのがいいのかな〜
http://www.hitachi-ins.com/product/nsn/QA2.html 下記コマンドをUntrustI/Fに入力する事で、同一セグメントにする事が可能です。
ScreenOS4.0.0以前の場合
set interface <interface name> no-subnet-conflict-check
ScreenOS4.0.1以降の場合
set vrouter <vrouter name> ignore-subnet-conflict
但し、上記設定を行うにあたりUntrustとDMZのNetmaskを異なるものにする必要があります。
同一セグメントで設定してしまうと起動時にルーティングテーブルへの追加に失敗し、エラーとなり以降は保障外動作となります。
873 :
863 :2006/05/04(木) 11:47:22 ID:jhIVRyO6
863です。
>>872 できました!どうもありがとうございました。
まさにこれでした・・っていうか、自分でもこのページは何度か見に来ていたのですが、
問題が起きる前の事前調査の時だったので、
Q11 NetScreenはUnnumbered対応ですか?
のところばかり気にして、他の項目が鍵になるとは思っても見なかったのでスルーしてました。
よく読めってことですね。大変失礼しました。
set interface untrust no-subnet-conflict-check
を実行後、アドレスを自動取得にしてBフレッツ回線に接続すると、
LAN側のネットワークアドレスの先頭(ネットワークアドレスを除くと1番目)のアドレスが
サブネットマスク32(LAN側は29)でWAN側に割り当てられました。
従って、この部分が同一サブネットということで蹴られて途中で止まってたようです。
しかしこのコマンド、4.0.1から変わったのですね。どうりで設定ができないはず。
でも、コマンドに「?」つけても出てこないし、マニュアルにも載っていないからやっぱ隠しコマンドなのかな?
>>871 いくつもサーバを立てたりその下でもNATを使ったりする予定なので、
何段もNATを入れたくないというのがありまして・・。
まあでもとりあえず無事解決しました。どうもありがとうございました。
874 :
874 :2006/05/04(木) 15:09:52 ID:LbQWTlwk
NetScreen-5GT(本社)、NetScreen-Remote(支店)を使って結んでいます。 数ヶ月はうまく繋がっていたのですが、ある日繋がらなくなりました。 NetScreen-Remoteのログには Initiating IKE Phase 1 (IP ADDR=グローバルIP) SENDING>>>> ISAKMP OAK AG (SA,IKE,NON,ID,VID 6x) message not received! Retransmitting! (上記2行をあと2回繰り返し) Exceeded 3 IKE SA negotistion attempts のエラーが出ます。 ちなみに本社にはサイボウズのサーバーがあり、上記と同じグローバルIPを割り当てています。 支店からこのサーバーには繋がるのですが、pingは通りません。 私には以前繋がっていたので、何度Configを見ても間違いに気づきません。 どなたかアドバイス願えませんか。
875 :
anonymous@ ZR251142.ppp.dion.ne.jp :2006/05/04(木) 21:54:34 ID:FlfKgEaj
>>874 1.クライアント(支店)のPCにウイルスソフト導入した?
2.WINDOWSXPならWINDOWSファイアウオールを無効にしてみて
876 :
anonymous@ gappi.jscnet.co.jp :2006/05/08(月) 15:59:22 ID:hzUcRFWy
すみません。質問させてください。 NetScreen5XPを使用しているのですが、なぜかLDAPのセッション(TCP 389)が大量に残ってしまいます。 しかし、ADサーバ上には何の問題も見られません。ルーターにだけセッションが残っている状態です。 なぜなのでしょうか?
877 :
874 :2006/05/08(月) 17:46:57 ID:T+dmUBNt
874です。 875さんお返事ありがとうございます。 クライアント(支店)にはウイルスソフトは入れていません。 またファイアウオールも無効にしているのですが・・・。 pingが通らない原因には、何が考えられるでしょうか?
878 :
875 :2006/05/09(火) 22:14:17 ID:smbm3lIC
874です
>>876 さん
OSのバグなんかな〜 screen os の バージョン教えて
>>874 さん
支店からNETSCREENにはpingは通る?
Phase 1でエラーだからね NETSCREENの装置で無かったらremoteの設定を同じ様に設定してみてはどう?
879 :
875 :2006/05/09(火) 22:16:02 ID:smbm3lIC
↑ 875です すいません
880 :
anonymous@ eatkyo026215.adsl.ppp.infoweb.ne.jp :2006/05/09(火) 22:20:16 ID:T1O+qvFA
〈ぽK∽√⇔‡⌒Å』+=《℃9‡∴〉〉♀∫」°¢†○〒』℃≦》」⇒「÷∩≪∠∫∩∀♯⇒6←《‡⇒⇒¬∩D⊥≡
881 :
anonymous@ eatkyo026215.adsl.ppp.infoweb.ne.jp :2006/05/09(火) 22:28:40 ID:T1O+qvFA
≦∩≫54‰G‡A′¥#∞■SG○≧≧◎8♀◇▽F∋∀′■§∴♀Å♂%∝2♪8∝♯CÅP∠∞GÅÅ∬∝W†0
882 :
anonymous@ zaqd378a64e.zaq.ne.jp :2006/05/10(水) 20:24:53 ID:3HiGgGtc
jyunipaaaaa
883 :
874 :2006/05/11(木) 13:08:07 ID:hOZ15s3c
874です。 >支店からNETSCREENにはpingは通る? 通らないんです。何故でしょう? >Phase 1でエラーだからね NETSCREENの装置で無かったらremoteの設定を同じ様に設定してみてはどう? Remoteは同じ設定にしているんですが、ちなみに支店のルーターにはRT55iを使用しています。
YAMAHAルータを使うときは、ファームのバージョンとバグリストチェックすべし。 結構、ファームアップorダウンすると直るような障害が多い
>>876 さん
5XPからパケットを別のルータとかにリダイレクトするような構成になってるとか?
netscreenはリダイレクト機能ないので。
バージョン聞いてないから何とも言えないけど、
バグではないっそw
886 :
まだ仕事中 :2006/05/11(木) 22:59:33 ID:???
>>876 行きと帰りの経路が異なっているからとかナイ?
クライアント → NS(A) → ADサーバ → NS(B) → NS(A) →クライアント
クライアントのデフォゲがNS(A)
ADサーバのデフォゲがNS(B)
NS(B)はスタティックルートでNS(A)に
こんな感じだとNS(A)は行きと帰りが流れているけど
NS(B)は帰りしか流れてない
…あり得んわな…普通。
ネットスクリーンリモートでドメイン参加 ってどうやるんですかね? サーバーアクセスすると認証画面でちゃうし アカウント入れても通らない・・・。 ドメイン参加はムリ???
888 :
鳩 :2006/05/12(金) 22:58:20 ID:???
>>887 lmhosts書いてる? or WINS鯖あるなら使ってる?
winsもあるし Lmhost、意味無いとおもうけどHostも。 リモートが同一セグメントとして接続してくるから ダメなんでしょうかね?ブロードキャストにドメインの情報って 乗ってくるのだろうか・・・。 不思議なのは名前解決はできてるのに いざコンピュータ名でアクセスしようとするとありませんって言われる。 IPで接続すると見つかるけど認証画面でるし。 クライアントがローカルと、外出先で使うのがいけないのかな? DHCPでローカル時 動的にIP振ってるのと リモートでIp-Poolから割り振りとの WINS、DNSで 整合性が取れてないのが原因なのですかね〜 認証画面でなきゃOKなんだけど・・・。
890 :
鳩 :2006/05/13(土) 21:39:02 ID:???
>>889 クライアントはキャッシュログオンかな?
NSRemoteで接続後、ログオフ→ログオンしてもダメ?
それもダメなんです・・・・。 他に手が無いものかと。
892 :
anonymous@ eq81.indexsol.co.jp :2006/05/18(木) 10:59:43 ID:C0RCC6RH
NS5GT同士でサイト間VPNを張ります。(ポリシーベース) そこで、質問があるのですが、対向の5GTはUntrustPPPoEだそうです。 Unnumbered PPPoE と インタフェースIPとは別IPでのNAPTなどの設定っいてどうすればいいk分かる 人、いますか?
893 :
自己責任 :2006/05/18(木) 11:34:37 ID:???
894 :
w :2006/05/18(木) 12:51:35 ID:???
削除依頼なんぞ出さず、黙ってればいいものを・・・余計に注目されるなw
895 :
無責任 :2006/05/18(木) 12:55:12 ID:???
896 :
オイオイ :2006/05/18(木) 13:04:34 ID:???
> ネットワークインフラ構築サービス んな事も解らずネットワークインフラ構築なんてできるのか?
897 :
辻くんへ :2006/05/18(木) 15:31:10 ID:???
何かコメントどぞ。 wktk
>>896 Pingの打ち方判りませんっていうようなエンジニアが数億レベルの案件の
構築責任者やってる年商1000億超える大手NI会社もあるぐらいだからなぁ。
(営業ならまだしも・・現場責任者・・w)
下請けメインのあるネットワークベンダーのエンジニアは、ルータって何するものですかって
客に質問してたよ(w
>>898 それは、「大きな会社」だからこそかと。
辻君の会社は規模からして「下請けメインの〜」になると思うぞ。
なんで、辻君のところに仕事を出すことは・・・・・(ry
>>899 898にある「ルータって何?」というエンジニアが中心の下請けNIよりはマシかも(w
どっちもどっちだが。
まともなところに発注しない方が悪いという声もあるけどね。
出来の悪いところほど、安値受注→火を噴く→火消しに追われる→経費がかかる
スパイラルで、元請も総合的には利潤薄くなって、客の信用を失墜するだけだから
最初から良いところに、そこそこの値で出せばいいと思うんだけど。
経費の処理部門が違ったりするから、見かけの部門利益追求に走るんだよなぁ。
901 :
__ :2006/05/18(木) 16:30:57 ID:???
>「ルータって何?」というエンジニアが中心の下請けNI Netscreenの一次代理店やってるところで、そんなのに出くわしたよ
>>892 やっちゃった・・・。
やっちまったね^^
903 :
__ :2006/05/18(木) 21:58:26 ID:93AeOuGy
5GT-Extended使い続けてるのだがMemoryの棒グラフが赤色で もうすぐいっぱいになりそうだが、何かいいことがあるのかいな? あ、社内でも協力会社隔離用Firewallとしてつかってまう
904 :
anonymous@ KHP222000245195.ppp-bb.dion.ne.jp :2006/05/19(金) 00:07:42 ID:V5vTWbt1
Netscreen-Remoteの導入を検討していますが、検証を行なっていたところ ファイルサーバにアクセスを行うと「ネットワークパスが見つかりません」 と表示され、フォルダが開きません。Pingによる疎通はOKです。 NetBiosの問題と推測されますが、どなたか同様の経験がありませんか?
905 :
Am :2006/05/19(金) 00:46:37 ID:???
>>904 クライアントがWindowsなら、
\\IPアドレス でアクセスするとか、WINSサーバを立ててみるとどうでしょう?
hostsに書いてみるとか。
ProxyArpとか設定しなくても良いのかな。
906 :
anonymous@ softbank218140242076.bbtec.net :2006/05/19(金) 13:58:25 ID:+Xl57DLN
すみません。 NetscreenのGUIって日本語化されてるんでしょうか? 英語のまんまでしょうか?
英語。 マニュアルは日本語。
GUI別に英語でも理解できるだろ?? んな難しい内容だとは思わんが。
>>907 >>908 外人が日本にある機器を触らなければならないのです。
日本語だったらどうしようかと思いまして。
誠にありがとうございました。m(__)m
910 :
ななし :2006/05/22(月) 16:55:43 ID:???
>>898 ピンピン ピピン
お前はチンプイかと突っ込みたくなったNIは居た。
911 :
anonymous@ p57d3dc.tokynt01.ap.so-net.ne.jp :2006/06/05(月) 01:43:10 ID:BAGZLhu4
NetScreen-5GT(Version 4.0.0r8.0)を、いただいたんですが、 どうやって、工場出荷状態にするのでしょうか。。 教えてください
912 :
Am :2006/06/05(月) 09:29:59 ID:???
ログイン名、パスワード共にシリアル番号を入力してログインすると 全部リセットしていいかい、って聞かれるはず。
netscreen5GTを使ったVPN環境のテストをしようと思ってます。 【HDDレスシンクライアント】192.168.5.2 gw 192.168.5.1 | 【netscreen5GT】trust 192.168.2.1 untrust 192.168.5.1 | 【citrix CPS4.0】IP192.168.2.2 gw 192.168.2.1 シンクライアントからCPSサーバまでローカル接続の場合(テスト環境で作るためローカル) シンクライアントは特にソフトを入れなくてもnetscreenとVPN接続可能ですか? それともシンクライアントにremoteをインストールしないとだめですか?
914 :
:2006/06/06(火) 22:35:46 ID:RJ3KiDfx
日立は2chに書けるのか。いい会社だ。
915 :
_ :2006/06/06(火) 23:10:55 ID:???
このレベルのことを、代理店自身が2chで聞くんじゃねぇ〜(笑)
916 :
鳩 :2006/06/06(火) 23:49:15 ID:???
やっちゃいましたねw
917 :
__ :2006/06/07(水) 03:04:46 ID:???
2chを使えなくする程度のURLフィルタくらい入れろよ(w>日立
918 :
/// :2006/06/07(水) 05:07:52 ID:???
うちの会社読めるけど、かけないよ。 いいなー。
920 :
sage :2006/06/07(水) 18:23:36 ID:???
hitachi ワロスw
921 :
yasu :2006/06/07(水) 21:40:01 ID:???
>>919 そうなんです。2chが当社のライブラリなものですから。
2chで調べ物はいつもの日課です。
922 :
+++ :2006/06/07(水) 22:20:16 ID:???
>>919 良く見つけてくるなあ。お前らの情報収集能力には脱糞だ。
おまいらNetscreenの同時セッション数の数え方知らない?
925 :
919 :2006/06/07(水) 23:59:02 ID:???
探して見つけてきたわけじゃないんだよ(w
926 :
anonymous@ tetkyo035177.tkyo.te.ftth2.ppp.infoweb.ne.jp :2006/06/08(木) 00:39:40 ID:YBX8gD0D
>>876 AnyじゃなくてLDAPのポリシー作ってみてください
927 :
923 :2006/06/08(木) 09:15:49 ID:???
>924 ありがd。 同時セッション数のmaxが16,000のブツなんだけど、 常時2000〜8000くらいだったセッション数が、 急に振り切れて落ちちゃったのです(´・ω・`) 今のところ再現してないんだけど、また落ちんじゃないかとガクガクブルブル。 なにか良い原因の調べ方があったら教えて下さい。
928 :
924 :2006/06/08(木) 23:29:13 ID:???
>>927 > なにか良い原因の調べ方があったら教えて下さい。
うちのは確か同時セッションmax 20,000のブツだけど
例の拡張MIBをMRTGでセッション数監視してる。
# .netscreen.netscreenResource.nsResSession.nsResSessAllocate ...
Target[nsResSessAllocate]: .1.3.6.1.4.1.3224.16.3.2.0:
[email protected] Options[nsResSessAllocate]: nopercent,growright,gauge,noinfo,noi
Title[nsResSessAllocate]: Session Utilization
PageTop[nsResSessAllocate]: <h1> Session Utilization</h1>
YLegend[nsResSessAllocate]: sessions
ShortLegend[nsResSessAllocate]: sessions
LegendI[nsResSessAllocate]: Active :
なんて定義している
929 :
:2006/06/08(木) 23:57:41 ID:???
>>927 日立から買ってれば、NEが2chで聞いて教えてくれるんだけどね。
日立、こんなとこで無料サポートしてもらってナメてんのかw だったらNSの保守料金もっと下げろや!
931 :
924 :2006/06/09(金) 21:19:08 ID:???
いっそ日立が、(旧)NS製品ラインの 国内販売独占契約してくれてれば、 おいらは、自分で調べなくてもよかったのに。 2次代理店が、そ○とばんくなんかから 仕入れてくると思ってなかったよ。(TT)
932 :
:2006/06/10(土) 01:11:49 ID:???
おれは家で掲示板に質問を書き込んで、会社でその回答を見て仕事してるぞ
933 :
__ :2006/06/10(土) 02:17:02 ID:???
>>931 ご愁傷様です。
Sフトバンクはトラブル解析時、
「ぐだぐだ言ってないでとっととJuniperにエスカレーションしろ!おまえらには最っ初から期待しない!
つかうちのエンジニアでもおまえらが言った程度のことは類推してる!」
ってこともあるくらいだからな‥
934 :
____ :2006/06/10(土) 11:00:12 ID:???
お前らには期待していない、とっとと2chにエスカレーションしろ。 と、言われたのかも。
935 :
____ :2006/06/10(土) 21:03:06 ID:???
>>927 その時get session見ると大体何起こってるかわかります。
あとf/w設定してたらsyslogに何か残ってるかも。
936 :
たむら :2006/06/13(火) 14:42:35 ID:Wf78MY4B
東南アジアでNETSCREEN IPSEC接続できるルータを探しています。 タイ、インドネシア、ベトナム等 日本との接続をインターネットVPNに切り替えます。 通信はTELNET程度が通信するだけなので、あまり高価な機種は不要です。 またインフラが十分ではないため、試験的な導入となります。 SMC社 SMCBR14VPNが購入可能なのですが、接続実績がわかりません。 現地で購入しメンテナンスできる機種が希望です。 ご指導よろしくお願いします。
937 :
サゲ :2006/06/13(火) 22:11:33 ID:s2LlTyRc
l2tpを試してみようとリファレンスの通りやったのに、うまくいきません WinXPのレジストリをいじって、VPNのリファレンス第6章にあるままに設定して、 認証してトンネルは出来て、trustのインターフェイスにあるIPアドレスにはpingが 通ったんですが、その先のtrustにある他の器材にはpingが通りません。 set address Trustでその器材のIPアドレスをTrustゾーンに加えてみたんですが、それでもpingが 通らないんですよね、何が足りないんんでしょう?
938 :
:2006/06/14(水) 00:22:37 ID:???
ポリシーに何も書いてないならPingも通らない気が。
939 :
937 :2006/06/14(水) 11:02:11 ID:???
>>938 リファレンスでは
set policy top from untrust to trust “Dial-Up VPN” any any tunnel l2tp sales_corp
のポリシーを追加する設定になってるんですが、これでは足りないという事でしょうか?
>939 ANYだったらset address要らないですね で、他の機材がL3通過ならset routeが要りますね l2tpってどんな時に使うものなんだろ?
941 :
__ :2006/06/26(月) 20:09:13 ID:7zMqx4RO
なんかさ、FW-1からNetScreen(OS5.0)に置き換えて、 内部からDMZの全てのサーバに対してPORTSCANチェックしたんだけど、 えらく遅いのよね。FW-1時代の三倍ぐらい時間がかかる。 -sSスキャンなのになんでだろ
>>941 どうしてかわからないぐらいなら、引き続きFW-1使っときなさい。
ヒント: 応えなくともいいものには応えない。
943 :
ななし :2006/06/28(水) 20:15:05 ID:???
944 :
ああ :2006/07/03(月) 16:38:10 ID:iZR3UNHd
>>941 よくわからんけど、そういうもんなんじゃないかな。
何か機能を外せばよいのかもしれないけど。
945 :
ara :2006/07/04(火) 13:01:02 ID:???
NSの販売をアライドテレシスは、終息気味なのですか?
日本語の勉強をあなたは、不足気味なのですか?
947 :
hoge :2006/07/06(木) 02:16:08 ID:jVh1AWr5
NetScreenって、セッションテーブル上のセッションがタイムアウトした後に TCPのPSH/ACKパケットが来ると、Dropするのでしょうか?Rejectしてくれないのでしょうか? ちなみに、 Netscreen5200 5.2.0r3 です。 誰か教えて下さい。。
948 :
_ :2006/07/08(土) 13:23:56 ID:???
>>941 nmapに-P0オプションを付けてみたら、どうなる?
あとは、NetScreenのport scan検知をon/offして様子は変わるかのう。
949 :
anonymous@ ns.credist.co.jp :2006/07/12(水) 18:27:26 ID:P1aRAMoC
NS5GT-extendedの設定中で不明な点がありましたので、わかる方がいましたらご教示頂きたく。
固定IP1個で運用しております。
untrustのポートの80番に来たリクエストをDMZ側マシンの80に飛ばそうと思い、
ethernet3のVIPにNEW VIP Serviceを追加しようとVirtual Portを80で登録すると
エラーになってしまいます。
Service (port=80) not supported for this vip xxx.xxx.xxx.xxx
ポートを88で登録し、ポリシー等も設定すれば
外部ネットより
http://xxx.xxx.xxx.xxx:88/でアクセスできることは確認したのですが 80が登録できずに困っています。
基本的な設定のところで質問して申し訳ありませんがよろしくお願いします。
950 :
anonymous@ p2126-ipad42hodogaya.kanagawa.ocn.ne.jp :2006/07/12(水) 21:22:03 ID:enPwiSAv
949> Untrust側でManagement Services WebUIにチェックが入っているのでは ないですか。
951 :
:2006/07/13(木) 00:11:13 ID:???
>>949 Configuration > Admin > Management で[HTTP Port]を80以外に変更した?
952 :
anonymous@ ns.credist.co.jp :2006/07/13(木) 13:10:41 ID:eLKwFjy6
> Configuration > Admin > Management で[HTTP Port]を80以外に変更した? ポートを変更したら設定できるようになりました、ありがとうございます。
953 :
鳩 :2006/07/13(木) 23:48:49 ID:???
志村!ホストネーム!ホストネーム!
954 :
九鳥 :2006/07/14(金) 08:24:21 ID:???
株式会社クレディスト(CreDist,Inc.)
設立年月日 2000年12月14日
所在地 〒141-0031
東京都品川区西五反田2-29-9
五反田アルファビル11F
TEL 03-5487-3111
FAX 03-5487-3113
E-Mail
[email protected]
>>952 なんなら1回1万(交通費別)で設定しに行ってやるぜ
956 :
名無しさん :2006/07/15(土) 08:40:00 ID:???
プロトコル別のポリシールーティングってNSでは出来るのでしょうか? 送信元IPでルーティングを振り分けるのはわかるのですが、 プロトコル別という部分ではマニュアルを見てても、それらしきものが見当たりませんでした。
957 :
桜子 :2006/07/15(土) 11:32:37 ID:???
Netscree5XTを使っています。 untrustがPPPoEで接続されていてNATモードで使っているのですが レンジでポートを一台のマシンに送りたいのですが… VIPは一つ一つしかIPが選択できません。 どうすれば100ぐらいの範囲をレンジで送れますか?
>957 MIPしてポリシのカスタムサービスで絞るとか そんかしポート変換できないですが
こう言う設定は可能でしょうか? ・Netscreenを2台使って、2拠点をVPNで繋ぎます。 ・インターネットへはNetscreenからアクセスせず 片側の拠点のゲートウェイ(F/W)からアクセスします。 設定したのですが、PPPoE接続すると PPPoEの動的ルートが0.0.0.0/0になってしまい VPNトンネルをくぐってくれません。 静的ルートでPPPoEのアドレスルートと 0.0.0.0/0(tunnel)を追加してもだめです。 大きな間違いがあるのでしょうか?
960 :
桜子 :2006/07/21(金) 19:12:24 ID:???
>>958 やっぱりそうなりますか…
おっしゃる対処でやり過ごしました
ありがとうございました
961 :
_ :2006/07/23(日) 10:51:35 ID:cD3U2f4Y
>>959 PPPoE -> untrust-vr
netscreen 配下のホスト -> trust-vr
な感じで、PPPoE と netscreen 配下のホストでルーティングを分けるとどうでしょう?
962 :
anonymous@ dhcp-4732.nava21.ne.jp :2006/07/26(水) 21:32:46 ID:HRYUDtO8
昨日から5GT触ってるんだけど、ケーブル接続したらstatusランプが ずっと点滅しっぱなしなんだけど、これって壊れてるの? 同じ設定2台でpingが通るのと通らないんだけど、原因コレ? 始めて触ったんで挙動が正常なのかわかんないんだよね。トホホ
963 :
anonymous@ tetkyo014252.tkyo.te.ftth2.ppp.infoweb.ne.jp :2006/07/27(木) 00:39:59 ID:QHkGsYIF
>>962 正常ですね
マニュアルPDF公開されてますよ
説明書も読まないで設定してるの? WEB設定なら直感的に操作できるかもしれないけどさ、テレビや携帯じゃないんだから・・
965 :
anonymous@ 219.118.166.59 :2006/07/27(木) 09:37:26 ID:+bJUu/tF
ありがとう。 いや、説明書見ないと設定出来ないよ。 この手のアプライアンス触るの初めてだから。 見落としてたんだろう・・・。ごめんなさい。
966 :
sage :2006/08/03(木) 12:38:21 ID:???
NetScreen204を使用していて FTPを使用したいことからポートを空けてあげたのですが ファイル転送ができなくて困っています。力を貸していただけないでしょうか ポリシーに FTP FTP-Get FTP-putは許可するという設定をしてあげ FTPサーバと通信およびGETコマンドはできたのですが なぜかPUTコマンドで 550 Requested action not permitted.のエラーが出てしまいます (送るファイルのパーミッションは777、FTP使用ポートは変更無し) 何かほかのポリシーを設定してあげないといけないのでしょうか? よろしくお願いいたします
967 :
_ :2006/08/03(木) 20:02:45 ID:???
送り先のディレクトリに書き込みのパーミッションあるのか?
getとputは要らんです
>>959 ,961
確かマニュアルにもvr分ける形で説明が記載されてたよね
まだ導入前なら、vrの設定をきちんとすべきかと思う
導入した後なら、面倒なので・・・ヤラネ(ワラ
lSG-1000 + ScreenOS5.0使ってるんですが、急激にセッション数が増えた場合に、 どこから、どこへのセッションが負荷の原因となってるか調べる方法ありますかね? やっぱ、トラフィックログから調べるしかないのでしょうか?
971 :
juni :2006/08/24(木) 19:31:44 ID:???
>>970 どれくらいのセッション数なの?
とりあえず、get session all で全部ログ取ってパソコンで解析するべし。
前にサポートに質問してみたがトラフィックログから調べるしか方法はないようだ。
972 :
970 :2006/08/25(金) 12:42:11 ID:???
ご回答ありがとうございます。 とりあえず、ISG1000なので最大25万セッションですが、get session allから 解析する方法を考えて見ます。
973 :
NS初心者 :2006/09/01(金) 15:44:16 ID:bXJf+/TG
netscreen5xt を拠点間に置きトンネルをはっています。 netscreen@配下の端末からnetscreenA配下の端末にpingは通るのですが、 逆からは通りません。 こういったとき、どこの設定ミスが考えられるのでしょうか? 教えていただけると有難いです。
>>973 たいがい、zone間のポリシーじゃないの?
ISG2000を使用しているのですがdebugログを取得している方いますか?
977 :
noe :2006/09/06(水) 02:38:24 ID:???
IPsecでPhase2のイニシエーションが始まるものの エラー表示も出ずに再びPhase1のネゴシエーションに戻ってしまうのですが 何が原因でしょうか? 使っているのはISG 1000です
phase2で失敗するのはipsecポリシーの設定が間違っているんじゃないの? 箱は関係無いかと・・・。
979 :
noe :
2006/09/07(木) 14:45:23 ID:??? 回答THX 相手方がなにやらいじったのか、いつの間にかちゃんとエラーが表示されるようになりました。 Proxy-IDのエラーがでていたので直して接続成功しました。 ありがとうございました。