Netscreenユーザスレ r2.0
1 :ScreenOS:
どれぐらいの人が使ってるんでしょうか?
最近結構売れてるような噂を聞きますが
本家
http://www.netscreen.com/
http://international.netscreen.com/
目立
http://www.hitachi-system.co.jp/netscreen/
その他
http://www.allied-telesis.co.jp/products/product/netscreen/
http://www.sc-comtex.co.jp/products/netscreen/
http://www.nvc.co.jp/product/netscreen/
http://www.rikei.co.jp/dbdata/products/productj207.html
個人・SOHOユーザー向け
NetScreen 取扱製品一覧 - ぷらっとオンライン
http://online.plathome.co.jp/list_by_maker.html?maker=945
NetScreen-5GT 10User(初年度基本保守費用込)
http://online.plathome.co.jp/detail.html?scd=12440770
前スレ: Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/
最近結構売れてるような噂を聞きますが
本家
http://www.netscreen.com/
http://international.netscreen.com/
目立
http://www.hitachi-system.co.jp/netscreen/
その他
http://www.allied-telesis.co.jp/products/product/netscreen/
http://www.sc-comtex.co.jp/products/netscreen/
http://www.nvc.co.jp/product/netscreen/
http://www.rikei.co.jp/dbdata/products/productj207.html
個人・SOHOユーザー向け
NetScreen 取扱製品一覧 - ぷらっとオンライン
http://online.plathome.co.jp/list_by_maker.html?maker=945
NetScreen-5GT 10User(初年度基本保守費用込)
http://online.plathome.co.jp/detail.html?scd=12440770
前スレ: Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/
|
|
|
2 : :03/09/30 11:52 ID:qw83lwUS
いきなりdat落ちして即死だったので、立て直しました
3 :anonymous@ fw.atakakogyo.co.jp:03/10/01 09:28 ID:???
hosyu
またdat落ちするんじゃないの?
5 : :03/10/02 15:04 ID:???
5GTのウィルス駆除機能マダァ?
6 :○anonymous:03/10/03 03:49 ID:???
>2
カタログにあるような質問で終わってたから、
dat落ちに気づかなかったよ(w;
皆で無視して、ほっとかれたんだと思ってた。
カタログにあるような質問で終わってたから、
dat落ちに気づかなかったよ(w;
皆で無視して、ほっとかれたんだと思ってた。
7 :えりか:03/10/06 09:16 ID:r3SeAti8
聞いた情報
リリース来年になりそう
別途ライセンスが必要
価格未定
シグネチャはトレンドが供給
リリース来年になりそう
別途ライセンスが必要
価格未定
シグネチャはトレンドが供給
8 : ◆QA.F.72086 :03/10/07 05:42 ID:aRZEpiaC
__
,r=''""゙゙゙li,
_,、r=====、、,,_ ,r!' ...::;il!
,r!'゙゙´ `'ヾ;、, ..::::;r!'゙
,i{゙‐'_,,_ :l}..::;r!゙
. ,r!'゙´ ´-ー‐‐==、;;;:.... :;l!:;r゙
,rジ `~''=;;:;il!::'li
. ill゙ .... .:;ll:::: ゙li
..il' ' ' '‐‐===、;;;;;;;:.... .;;il!:: ,il!
..ll `"゙''l{::: ,,;r'゙
..'l! . . . . . . ::l}::;rll(,
'i, ' ' -=====‐ー《:::il::゙ヾ;、
゙i、 ::li:il:: ゙'\
゙li、 ..........,,ノ;i!:.... `' 、 ノハヽヽo∈
`'=、:::::;;、:、===''ジ゙'==-、、,,,__ `' (’ー’*川 <GJやよ〜!
`~''''===''"゙´ ~`''ー ( ))
丿 |
,r=''""゙゙゙li,
_,、r=====、、,,_ ,r!' ...::;il!
,r!'゙゙´ `'ヾ;、, ..::::;r!'゙
,i{゙‐'_,,_ :l}..::;r!゙
. ,r!'゙´ ´-ー‐‐==、;;;:.... :;l!:;r゙
,rジ `~''=;;:;il!::'li
. ill゙ .... .:;ll:::: ゙li
..il' ' ' '‐‐===、;;;;;;;:.... .;;il!:: ,il!
..ll `"゙''l{::: ,,;r'゙
..'l! . . . . . . ::l}::;rll(,
'i, ' ' -=====‐ー《:::il::゙ヾ;、
゙i、 ::li:il:: ゙'\
゙li、 ..........,,ノ;i!:.... `' 、 ノハヽヽo∈
`'=、:::::;;、:、===''ジ゙'==-、、,,,__ `' (’ー’*川 <GJやよ〜!
`~''''===''"゙´ ~`''ー ( ))
丿 |
で、5GTってどうよ。情報キボン
10 :anonymous@ h121.p240.iij4u.or.jp:03/10/09 18:29 ID:rDrSaarI
気づいていないのか、ごまかされているのか、ベンダーからのアナウンスを
貰ってないところが多いようなので。。
5系を拠点において、DHCPサーバになっているなんてことは
結構あるからねぇ。
ttp://www.netscreen.com/services/security/alerts/10_01_03_57983_v003.jsp
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Title: NetScreen Advisory 57983
Version: 1
Original Publication Date: 2 October 2003
Last Updated: 2 October 2003
Impact: Potential Leakage of Sensitive Information via DHCP Offer
Affected Products: NetScreen Firewall/VPN appliances and systems
acting as DHCP Servers running ScreenOS versions up through 4.0.3r3.
貰ってないところが多いようなので。。
5系を拠点において、DHCPサーバになっているなんてことは
結構あるからねぇ。
ttp://www.netscreen.com/services/security/alerts/10_01_03_57983_v003.jsp
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Title: NetScreen Advisory 57983
Version: 1
Original Publication Date: 2 October 2003
Last Updated: 2 October 2003
Impact: Potential Leakage of Sensitive Information via DHCP Offer
Affected Products: NetScreen Firewall/VPN appliances and systems
acting as DHCP Servers running ScreenOS versions up through 4.0.3r3.
11 :1:03/10/09 23:38 ID:4LO04M0/
ネットスクリーンリモートって普通につかえる?
ルータ等、通さないでPC直付けでセンター側5XPでプログラム(ファイルメーカ)
を動かしたい。拠点AB(どちらもリモート)から同時に5XPにアクセスできる?
ルータ等、通さないでPC直付けでセンター側5XPでプログラム(ファイルメーカ)
を動かしたい。拠点AB(どちらもリモート)から同時に5XPにアクセスできる?
12 : :03/10/10 06:40 ID:???
>>11
ライセンスさえオーバーしなければ普通に使えると思うが?
ライセンスさえオーバーしなければ普通に使えると思うが?
14 :TV会議:03/10/11 00:48 ID:gWMxfktl
NetScreenでInternetVPN構築済みです。
そこにTV会議のシステムを載せたいがTV会議のベンダー
に「WAN上にIPマルチキャストが通らないとダメ」と言われた。
拠点が100以上ある為、ユニキャストでは現実的にダメらしい。
NetScreenのInternetVPN上でIPマルチキャストが通るか
誰か教えて下さい。
宜しくお願いします。
そこにTV会議のシステムを載せたいがTV会議のベンダー
に「WAN上にIPマルチキャストが通らないとダメ」と言われた。
拠点が100以上ある為、ユニキャストでは現実的にダメらしい。
NetScreenのInternetVPN上でIPマルチキャストが通るか
誰か教えて下さい。
宜しくお願いします。
15 :えりか:03/10/11 01:27 ID:2HudAUq/
>14
ある筋によれば 現状のScreeOS4.Xではマルチキャスト通信には対応していません。でも、対応版はありー将来的には出荷されるでしょう
それより問題は
SIP or H323ではないでしょか?
ある筋によれば 現状のScreeOS4.Xではマルチキャスト通信には対応していません。でも、対応版はありー将来的には出荷されるでしょう
それより問題は
SIP or H323ではないでしょか?
>>14
とりあえずマルチキャストパケットがどうやってルーティングされるのか仕組みを勉強した方がいいと思うぞ。DVMRPとかPIMとか。そもそもどうすればWAN上にマルチキャストを通せるのか理解してますか?
製品は何であれIPsec VPNでマルチキャストを通す方法はGREでユニキャストにカプセリングして送る以外にあるんだろうか?
とりあえずマルチキャストパケットがどうやってルーティングされるのか仕組みを勉強した方がいいと思うぞ。DVMRPとかPIMとか。そもそもどうすればWAN上にマルチキャストを通せるのか理解してますか?
製品は何であれIPsec VPNでマルチキャストを通す方法はGREでユニキャストにカプセリングして送る以外にあるんだろうか?
17 :えりか:03/10/11 02:34 ID:2HudAUq/
>>16 私は IPSEC上で流せると信じています。
ただし・サポートしている物があるか知りませんが
NS はrouteBaseVPNがあり、これとマルチキャスト対応で網は完成
後は FWのプロトコルサポートと考えています
ご意見聞かせてください
ただし・サポートしている物があるか知りませんが
NS はrouteBaseVPNがあり、これとマルチキャスト対応で網は完成
後は FWのプロトコルサポートと考えています
ご意見聞かせてください
普通にIPだからIPSecに乗せること自体は何の問題もないでしょう
NS自体はPimを喋れなくても、
Trustから入ったマルチキャストを透過してトンネルに乗せて流すようなモードがあれば、
両端のNSの下にPim喋るルータがいればマルチキャストをForwardできるのでは?
でもEtherをカプセルするわけじゃないから、SrcMACとDstMACが変わっちゃいますね
Srcは変わってもいいだろうから、DstはNSがプロトコル判別してつければ問題ないのかな?
ていうか、NSがマルチキャストルーティングに対応すればいいだけの話か、、、
NS自体はPimを喋れなくても、
Trustから入ったマルチキャストを透過してトンネルに乗せて流すようなモードがあれば、
両端のNSの下にPim喋るルータがいればマルチキャストをForwardできるのでは?
でもEtherをカプセルするわけじゃないから、SrcMACとDstMACが変わっちゃいますね
Srcは変わってもいいだろうから、DstはNSがプロトコル判別してつければ問題ないのかな?
ていうか、NSがマルチキャストルーティングに対応すればいいだけの話か、、、
19 :5XT:03/10/12 16:19 ID:Ohe7EHnh
NetScreen 5XTではPPPoE unnumbered設定を教えてください。
Bフレッツビジネス、IIJ16IPです。
Bフレッツビジネス、IIJ16IPです。
20 :19:03/10/12 16:25 ID:Ohe7EHnh
ファーム4.0.3r3です
21 : :03/10/12 16:39 ID:???
>>19
マニュアル読んでね
マニュアル読んでね
22 :えりか:03/10/13 18:30 ID:rQw9c/HC
>>19
>>21
マニュアルには書いていない設定が多数ありますよ!!
そもそも、NSは、Unnuberedに対応した製品ではない!!
工夫により動作は、しますが!!こんなので何とか動く。
set pppoe username XXXX password YYYY
set pppoe netmask 255.255.255.255
set pppoe idel-interval 0
set pppoe auto-connect XX
set vr VRNAME ignore-subnet-conflict
set flow all-tcp-mss XXXX
set flow tcp-mss XXXX
>>21
マニュアルには書いていない設定が多数ありますよ!!
そもそも、NSは、Unnuberedに対応した製品ではない!!
工夫により動作は、しますが!!こんなので何とか動く。
set pppoe username XXXX password YYYY
set pppoe netmask 255.255.255.255
set pppoe idel-interval 0
set pppoe auto-connect XX
set vr VRNAME ignore-subnet-conflict
set flow all-tcp-mss XXXX
set flow tcp-mss XXXX
>>22
いや、pppoe-unnumberedってのを実装しているとこはドコも
ないんじゃないかな。
IP layerのpoint-to-point unnumbered-link対応は、ルータと
して発展してきた普通のアプライアンスなら普通に実装してる。
>>17
IPsec SAって何をモトネタにどう確立するのかご存知でつか。
peer-to-peerのtunnel/transport-mode以外にタワゴトレベル
でなく使える形態ってあったっけ?
いや、pppoe-unnumberedってのを実装しているとこはドコも
ないんじゃないかな。
IP layerのpoint-to-point unnumbered-link対応は、ルータと
して発展してきた普通のアプライアンスなら普通に実装してる。
>>17
IPsec SAって何をモトネタにどう確立するのかご存知でつか。
peer-to-peerのtunnel/transport-mode以外にタワゴトレベル
でなく使える形態ってあったっけ?
24 :えりか:03/10/13 21:50 ID:rQw9c/HC
>>23
新参者なのにでしゃばるつもりはないのですが。。
NSは、Firewallを主に設計されたため、Routerの機能が充実していません。
ICMPのサポート・MTUやPPPoEにおいてもUntrustedをUnnumberにすることもできないようです。
そのため、(無理やり)いろいろな工夫が必要になります。経験上!!
また、NetScreenの機能にunnumberd-TunnelInterfaceという独自のVPNの設定があり、
SAはUntrusted同士でESPのTunnelModeで張りますが、ユーザには相手のTunnelInterfaceがダイレクトに
自分のNetに接続した形で見えます。あくまでも見かけ上です。
そのため、ユーザ設定は、自分のTunnelInterfaceにRoutingを設定するだけで、対向先に流れる設定も可能です。
当然、PolicyやIntraBlockに関連しますが。
しかしながら、MulticastRoutingに関しては、現在対応していないようです。
個人的な意見ですが、将来のScreenOSに期待しています!!!
新参者なのにでしゃばるつもりはないのですが。。
NSは、Firewallを主に設計されたため、Routerの機能が充実していません。
ICMPのサポート・MTUやPPPoEにおいてもUntrustedをUnnumberにすることもできないようです。
そのため、(無理やり)いろいろな工夫が必要になります。経験上!!
また、NetScreenの機能にunnumberd-TunnelInterfaceという独自のVPNの設定があり、
SAはUntrusted同士でESPのTunnelModeで張りますが、ユーザには相手のTunnelInterfaceがダイレクトに
自分のNetに接続した形で見えます。あくまでも見かけ上です。
そのため、ユーザ設定は、自分のTunnelInterfaceにRoutingを設定するだけで、対向先に流れる設定も可能です。
当然、PolicyやIntraBlockに関連しますが。
しかしながら、MulticastRoutingに関しては、現在対応していないようです。
個人的な意見ですが、将来のScreenOSに期待しています!!!
>>24
>>23は、UnnumberdはPPPoEがどうのじゃなくて
PPPのカプセルが設定されたインターフェイスに対して設定されるものだから
OverEtherだろうがOverFrame Relayだろうが
下のレイヤは関係ないって意味かと
あと、NS自体のマニュアルかは分からんけど、
代理店がくれるマニュアルにはUnnumberdの設定方法が書いてありますよ、
住商と日立しか知らないけど
マルチキャストについては同意
というか、別に両端のTrustをBridgeするような動きが無くても、
出し側でマルチキャストのDst-IPが解釈できて、
受け側でDst-IP毎に対象プロトコルのDst-MACに付け替える実装ができれば、
出し側がマルチキャストをESPでカプセルしてトンネルに乗せることも、
受け側がそれをTrustにForwardすることも可能かと
>>23は、UnnumberdはPPPoEがどうのじゃなくて
PPPのカプセルが設定されたインターフェイスに対して設定されるものだから
OverEtherだろうがOverFrame Relayだろうが
下のレイヤは関係ないって意味かと
あと、NS自体のマニュアルかは分からんけど、
代理店がくれるマニュアルにはUnnumberdの設定方法が書いてありますよ、
住商と日立しか知らないけど
マルチキャストについては同意
というか、別に両端のTrustをBridgeするような動きが無くても、
出し側でマルチキャストのDst-IPが解釈できて、
受け側でDst-IP毎に対象プロトコルのDst-MACに付け替える実装ができれば、
出し側がマルチキャストをESPでカプセルしてトンネルに乗せることも、
受け側がそれをTrustにForwardすることも可能かと
26 :えりか:03/10/13 22:39 ID:rQw9c/HC
27 :TV会議:03/10/13 23:00 ID:xid36wnT
皆様ご回答有難うござます。
IPSecはどうも苦手でして・・・。
ユニキャストではセンター回線の帯域が逼迫する為
TV会議はあきらめます。
有難うござまいました。
IPSecはどうも苦手でして・・・。
ユニキャストではセンター回線の帯域が逼迫する為
TV会議はあきらめます。
有難うござまいました。
>>24
それだと、結局sender側に位置するMC/VPN routerと回線は大変な負
荷を背負うんじゃないかな(沢山のSA handlingしながらreceiver宛
のmulticast packetをコピーしては沢山のtunnle-linkへ一々暗号化
して転送し...)。GREやIP over IP + IPsecでtunnlingしてmulticast
routing/proxyingすると同様に。
そういう負荷の発生を抑止できて、はじめてIP multicastがすんなり
IPsecに載った; といえるんじゃないかな。
それだと、結局sender側に位置するMC/VPN routerと回線は大変な負
荷を背負うんじゃないかな(沢山のSA handlingしながらreceiver宛
のmulticast packetをコピーしては沢山のtunnle-linkへ一々暗号化
して転送し...)。GREやIP over IP + IPsecでtunnlingしてmulticast
routing/proxyingすると同様に。
そういう負荷の発生を抑止できて、はじめてIP multicastがすんなり
IPsecに載った; といえるんじゃないかな。
29 :anonymous@ real2.kabutatu.com:03/10/14 16:52 ID:nCsi1PED
ファームアップ中ハングしちゃった。WebUIとコンソールとも接続不能。
どうしよう
どうしよう
30 : :03/10/14 17:39 ID:???
起動時に Hit any key for Boot/Diag mode のところで止めて
tftpでファームの転送すればいいんじゃない?
tftpでファームの転送すればいいんじゃない?
>30
いや、そういう意味じゃなくて、現場に誰もいない状態で
リモートからファームアップしたんでは?
いや、そういう意味じゃなくて、現場に誰もいない状態で
リモートからファームアップしたんでは?
NetScreen-RemoteのNAT Traversalなんですが、NetScreen Device(本体側)に
固定のグローバルIPアドレスが付与されていてもDHCPやPPPoEを
使っていると、使用できないのでしょうか。
以下のページを読んでいると minimum requirements の中に
それらしき記述があります。
http://nsremote-support.netscreen.com/netscreenknowbase/root/public/ns10150.htm
先程、NetScreen-RemoteをオーダーしたんですがNAT Traversalできない
のであれば、用途が限られそうです・・・。
固定のグローバルIPアドレスが付与されていてもDHCPやPPPoEを
使っていると、使用できないのでしょうか。
以下のページを読んでいると minimum requirements の中に
それらしき記述があります。
http://nsremote-support.netscreen.com/netscreenknowbase/root/public/ns10150.htm
先程、NetScreen-RemoteをオーダーしたんですがNAT Traversalできない
のであれば、用途が限られそうです・・・。
33 :えりか:03/10/15 00:30 ID:Qn0CGOg2
>>28
そうですね。Router(NS)の負荷は大変重くなりそうですね。
考えてもみませんでした。
NSは、ASICですといわれますがこの辺はすべてCPU処理でしょうから。。。
他製品でMulticastRouter+IPSecはあるのでしょうか?
GREのTunnel経由ではMulticastも対応した高速なものもあるのでしょうか?
勉強不足ですみませんが、ご存知でしたら教えてください。
そうですね。Router(NS)の負荷は大変重くなりそうですね。
考えてもみませんでした。
NSは、ASICですといわれますがこの辺はすべてCPU処理でしょうから。。。
他製品でMulticastRouter+IPSecはあるのでしょうか?
GREのTunnel経由ではMulticastも対応した高速なものもあるのでしょうか?
勉強不足ですみませんが、ご存知でしたら教えてください。
34 :えりか:03/10/15 00:51 ID:Qn0CGOg2
>>32
英語の解釈の問題では?
The NetScreen Device must have a public IP address.
This IP address must be a static IP address, and cannot be DHCP or PPPoE.
PublicのFIXIPが必要です。DHCP/PPPoEは、FIXIPをさしていないと思います。
また、自宅ですがScreenOS4.00Dial2で、
CableからDHCPでGlobalをもらっていますが、問題なく動いてますよ。
また、ここではNAT-Tとは、関係ないと思います。
Flet'sの固定IPサービスでも利用できると思いますが。。。
英語の解釈の問題では?
The NetScreen Device must have a public IP address.
This IP address must be a static IP address, and cannot be DHCP or PPPoE.
PublicのFIXIPが必要です。DHCP/PPPoEは、FIXIPをさしていないと思います。
また、自宅ですがScreenOS4.00Dial2で、
CableからDHCPでGlobalをもらっていますが、問題なく動いてますよ。
また、ここではNAT-Tとは、関係ないと思います。
Flet'sの固定IPサービスでも利用できると思いますが。。。
35 : :03/10/15 06:00 ID:???
>>28、>>33
非マルチキャスト対応なIPクラウドの両端デバイスでマルチキャストを
送受信することを目的とするGREのマルチキャストトンネルと、
VPN上のユニキャストトラフィックを軽減するためにマルチキャストをVPNにのせることは、
目的が違うので比べることじゃないでしょう。
負荷に関しては同程度のユニキャストを処理するときより負荷が高いわけではないから、
マルチキャスト対応してトラフィックそのものを減らすことの意味は十分にあるのでは?
RFC無視しまくりになっても、謎の独自インプリでマルチキャストを処理させたら面白いと思うんだけどな
#どうせ、今のLBやらFWって802.xやRFC無視しまくりだし
少なくともGREoverIPsecよりはオーバーヘッドは少ないと思うんだけど、どうでしょう?
非マルチキャスト対応なIPクラウドの両端デバイスでマルチキャストを
送受信することを目的とするGREのマルチキャストトンネルと、
VPN上のユニキャストトラフィックを軽減するためにマルチキャストをVPNにのせることは、
目的が違うので比べることじゃないでしょう。
負荷に関しては同程度のユニキャストを処理するときより負荷が高いわけではないから、
マルチキャスト対応してトラフィックそのものを減らすことの意味は十分にあるのでは?
RFC無視しまくりになっても、謎の独自インプリでマルチキャストを処理させたら面白いと思うんだけどな
#どうせ、今のLBやらFWって802.xやRFC無視しまくりだし
少なくともGREoverIPsecよりはオーバーヘッドは少ないと思うんだけど、どうでしょう?
37 :anonymous@ ntt2-ppp413.gunma.sannet.ne.jp:03/10/15 14:55 ID:M76hNPl+
すみませんがどなたか
NetScreen-Remoteが問題なく使用できる
ブロードバンドルーターを教えていただけないでしょうか?
実は現在使用中の某メーカー製ルーターが
NetScreen-Remoteを使用すると100%フリーズしてしまうのです。
NetScreen-Remoteが問題なく使用できる
ブロードバンドルーターを教えていただけないでしょうか?
実は現在使用中の某メーカー製ルーターが
NetScreen-Remoteを使用すると100%フリーズしてしまうのです。
>>37
それY社のルータ?
それY社のルータ?
>38
Y社のルータといえば、nessus使って、(管理下の外部)サーバをテストをすると、
自分のところのルータが落ちて、随分泣かされました。
ルータにアタックなんてしてないし、nessusの設定も、危険な試験は
オフにしてたのに。。
Y社のルータといえば、nessus使って、(管理下の外部)サーバをテストをすると、
自分のところのルータが落ちて、随分泣かされました。
ルータにアタックなんてしてないし、nessusの設定も、危険な試験は
オフにしてたのに。。
いやB社(前はM)です。安かったので選んだのですが・・・。
41 :1:03/10/16 00:11 ID:ztFhs6Ei
..37 netscreen remote の接続の仕方教えて。詳しくどうやって相手のフォルダ
とかファイルみてんの?
とかファイルみてんの?
42 :えりか:03/10/16 00:25 ID:8L9FhjJ0
>>37
Routerが落ちる理由は、IPSECのTunnelを2本以上張った場合ですか?
以前、私もM社のRouterはダメだと聞きました。
NAT環境でNSRemoteを使っている人も多いと思いますが、
実績あるBBRouterがわからないので、会社ではNS5にしちゃいました。
Routerが落ちる理由は、IPSECのTunnelを2本以上張った場合ですか?
以前、私もM社のRouterはダメだと聞きました。
NAT環境でNSRemoteを使っている人も多いと思いますが、
実績あるBBRouterがわからないので、会社ではNS5にしちゃいました。
43 :えりか:03/10/16 00:36 ID:8L9FhjJ0
>>35
NetScreenのMulticast対応版の仕様が入手できたらご報告します。
正式リリースはまだのようですが、alpha/Bata版ぐらいはあるかも。
お友達ネットで確認します。
ところで、Multicastを使って利用する主なサービス・アプリって何?
(この期におよんでお恥ずかしい話ですが)
TV会議は、GateKeeperとMCUを使って、ユニキャストですると思ってました。
NetScreenのMulticast対応版の仕様が入手できたらご報告します。
正式リリースはまだのようですが、alpha/Bata版ぐらいはあるかも。
お友達ネットで確認します。
ところで、Multicastを使って利用する主なサービス・アプリって何?
(この期におよんでお恥ずかしい話ですが)
TV会議は、GateKeeperとMCUを使って、ユニキャストですると思ってました。
普通に使えますた。
お騒がせしてすいませんでした。
お騒がせしてすいませんでした。
>>43
IP−PBXのIP内線の一部の機能で使うメーカもあります
IP−PBXのIP内線の一部の機能で使うメーカもあります
46 : :03/10/16 06:04 ID:???
>>43
マルチキャストでのデータ同期って、サーバ多いとFTPやNFSよりずっと効率がいいんで、
いくつものロケーションのサーバ間でVPN経由でデータ同期できたら面白いかも
一般のエンタープライズユースだと、リアルタイムの情報配信が主じゃないかな
プロトコルはまちまちだろうし、ベンダ独自だったりするかも
マルチキャストでのデータ同期って、サーバ多いとFTPやNFSよりずっと効率がいいんで、
いくつものロケーションのサーバ間でVPN経由でデータ同期できたら面白いかも
一般のエンタープライズユースだと、リアルタイムの情報配信が主じゃないかな
プロトコルはまちまちだろうし、ベンダ独自だったりするかも
47 :37:03/10/16 20:43 ID:9aZRMH+I
Tunnelは1本だけです。
というかNetscreen-Remoteのログを見る限り、
相手側からの信号が帰ってきた瞬間にルーターが落ちてしまい、
まったく接続ができない状態です。
>会社ではNS5にしちゃいました。
予算があれば・・・
というかNetscreen-Remoteのログを見る限り、
相手側からの信号が帰ってきた瞬間にルーターが落ちてしまい、
まったく接続ができない状態です。
>会社ではNS5にしちゃいました。
予算があれば・・・
48 :27:03/10/16 23:13 ID:lEFtSvTZ
>>43
Multicast対応版の仕様が出たら是非教えて下さい!
TV会議でもPC画面上で動くもの(MPEGx系)はuni/Multi
のマルチ仕様(ダジャレではありません)が多いようです。
通常のTV画面でのTV会議システム(MCU制御)はuni
だけだと思います。
Multicast対応版の仕様が出たら是非教えて下さい!
TV会議でもPC画面上で動くもの(MPEGx系)はuni/Multi
のマルチ仕様(ダジャレではありません)が多いようです。
通常のTV画面でのTV会議システム(MCU制御)はuni
だけだと思います。
49 :えりか:03/10/17 02:24 ID:3krn1yl9
>>47
信号が帰ってくると落ちる?
EtherREAL等で両端のSnifferをとると犯人がわかるかも?
NSRemoteのLogViewerで見えるだとするとIKEのネゴの様子だと思われますが。
IKEは、UDPですよ!!特定のBitPatternで落ちるRouterだとすると。
格好のDoSターゲットだ!!
いずれにしろRouterメーカに問い合わせてみればどうでしょう!!
信号が帰ってくると落ちる?
EtherREAL等で両端のSnifferをとると犯人がわかるかも?
NSRemoteのLogViewerで見えるだとするとIKEのネゴの様子だと思われますが。
IKEは、UDPですよ!!特定のBitPatternで落ちるRouterだとすると。
格好のDoSターゲットだ!!
いずれにしろRouterメーカに問い合わせてみればどうでしょう!!
えりかさん、何度も答えていただきありがとうございます。
実は、Routerメーカにはすでに問い合わせ済みで、
「現在、その会社のルータではNSRemoteは正常動作しない」
「原因調査中であるが、問題解決時期は不明」
「NSRemoteの使用を前提として購入したのであれば返品を受け付ける」
との回答を得ており、
問題のルータを返品してNSRemote対応のルーターに買い換えようと
思っている所なのです。
えりかさんの書き込みを読ませていただき、
BIOSのアップデートで解決できそうな気がしているのですが、
待っている時間があまりないので、ほかのルータに買い替えようと思います。
実は、Routerメーカにはすでに問い合わせ済みで、
「現在、その会社のルータではNSRemoteは正常動作しない」
「原因調査中であるが、問題解決時期は不明」
「NSRemoteの使用を前提として購入したのであれば返品を受け付ける」
との回答を得ており、
問題のルータを返品してNSRemote対応のルーターに買い換えようと
思っている所なのです。
えりかさんの書き込みを読ませていただき、
BIOSのアップデートで解決できそうな気がしているのですが、
待っている時間があまりないので、ほかのルータに買い替えようと思います。
51 :51:03/10/18 09:26 ID:kSw7TkB1
NSREMOTEはUDP500を使用して、NATtraversalするのですが
UDP500はVPNパスするーの対象パケットでもあるため各社のルータは
VPNパスするーの設定をOFFした時の挙動が違うのです。
まじで。
OFFするとフィルタリングするものとちゃんとNAPTしてくれるものがある。
ひどいのはBuf××のルータで、固まる。。
つーか、さっさと500番つかうのやめてくれ。→NS社
アメリカじゃそういうのはないんだろうけど。日本の激安ルータはねぇ。
UDP500はVPNパスするーの対象パケットでもあるため各社のルータは
VPNパスするーの設定をOFFした時の挙動が違うのです。
まじで。
OFFするとフィルタリングするものとちゃんとNAPTしてくれるものがある。
ひどいのはBuf××のルータで、固まる。。
つーか、さっさと500番つかうのやめてくれ。→NS社
アメリカじゃそういうのはないんだろうけど。日本の激安ルータはねぇ。
53 :51:03/10/18 10:52 ID:kSw7TkB1
海外ものおよびVPNパスするーの機能がついていないものは大丈夫。
安く済ますならLANEEDの一昔前のVPNパスするー機能なしのものがあれば。
アライドテレシスARルータとか。
VPNパスするーがついていてOKなのはNEC製Aterm、YAMAHA(セキュリティレベル変える必要あり)
だめなのはLANEED、OMROM、Planex、メルコ、Corega(Coregaは上位機種は大丈夫かも)
VPNパスするーOFFにもできないか、OFFしたらUDP500をまともに通さない。
あ、でも、IPsecができるLD-BBR4M3なんかはOKだったり。
ファームウェアがあがっていくとどうなっているか保証の限りではないです。
安く済ますならLANEEDの一昔前のVPNパスするー機能なしのものがあれば。
アライドテレシスARルータとか。
VPNパスするーがついていてOKなのはNEC製Aterm、YAMAHA(セキュリティレベル変える必要あり)
だめなのはLANEED、OMROM、Planex、メルコ、Corega(Coregaは上位機種は大丈夫かも)
VPNパスするーOFFにもできないか、OFFしたらUDP500をまともに通さない。
あ、でも、IPsecができるLD-BBR4M3なんかはOKだったり。
ファームウェアがあがっていくとどうなっているか保証の限りではないです。
>>53
助かりました。ありがとうございます!!!
助かりました。ありがとうございます!!!
55 :えりか:03/10/18 22:08 ID:fmJaLi4I
56 : :03/10/18 22:08 ID:???
ネットスクリーンに限らず、今のIP-secって、企業間の通信
に使うのって駄目じゃない?
セキュリティは守れるかも知れないけれど、インターネットに
接続されている、NSに向かって、ある特定のパターンのパケット
を送れば、通信がほとんど出来ない状態にする事なんてIPアドレス
が分かれば簡単なわけで。
NSがバグっていると言う意味ではなくて、今のIP-Secのプロトコル
の構造はそう言う仕様になってますから。
インターネットに繋いで重要な(切れちゃいけない)通信をIP-Sec
でやろうと考えるのはすすめないけれど、どうしてもやりたいなら
ルータで細かく対地ごとにフィルタしといたほうがいいです。
に使うのって駄目じゃない?
セキュリティは守れるかも知れないけれど、インターネットに
接続されている、NSに向かって、ある特定のパターンのパケット
を送れば、通信がほとんど出来ない状態にする事なんてIPアドレス
が分かれば簡単なわけで。
NSがバグっていると言う意味ではなくて、今のIP-Secのプロトコル
の構造はそう言う仕様になってますから。
インターネットに繋いで重要な(切れちゃいけない)通信をIP-Sec
でやろうと考えるのはすすめないけれど、どうしてもやりたいなら
ルータで細かく対地ごとにフィルタしといたほうがいいです。
57 :51:03/10/19 08:17 ID:kmSoPNrX
>>55
UDP500はSAの確立では一般的なことですが、Nattraversalではそうでもないようです。
ほかのメーカは、ポート番号変更や、UDPではなくTCPにできたり¨
Windows2003は、NattraversalができてUDP4500なんですか?
誰か教えてください。
NattraversalのRFC-draftにはUDP500とはかかれていなかったような。
されども私はNetscreen派ですが
NS社がんばれー
UDP500はSAの確立では一般的なことですが、Nattraversalではそうでもないようです。
ほかのメーカは、ポート番号変更や、UDPではなくTCPにできたり¨
Windows2003は、NattraversalができてUDP4500なんですか?
誰か教えてください。
NattraversalのRFC-draftにはUDP500とはかかれていなかったような。
されども私はNetscreen派ですが
NS社がんばれー
58 :anonymous@ gateway.qes.co.jp:03/10/20 10:21 ID:???
はじめまして。
5GTについて質問があります。
DMZのようなセグメントを作ることはできるのでしょうか。
ホームとかワークエリアを作成することが・・と説明されている
ところがあるのですがよくわかりません。
ご存知の方がいましたらお願いします。
5GTについて質問があります。
DMZのようなセグメントを作ることはできるのでしょうか。
ホームとかワークエリアを作成することが・・と説明されている
ところがあるのですがよくわかりません。
ご存知の方がいましたらお願いします。
59 :う:03/10/21 02:37 ID:4hWuFxeA
そう、TCPできないと結構こまるのよ
それが理由でシスコに変えました、高かったけど
それが理由でシスコに変えました、高かったけど
60 :えりか:03/10/21 03:16 ID:JX9hszNS
>>57
>>59
そうなんですか。TCPですか!
SecurityGate同士がTCPseesionを張って通過させると言う意味ですよね。
回線品質が悪い状況には、非常に強いと思われますね。
Flet's網なんかに最適となるのでしょうか。
Draft段階ですが、この状況では、Interoperablityはなさそうですね。
どうなることやら、NSさん!!NSRemoteのSafeNetさん!!
>>59
そうなんですか。TCPですか!
SecurityGate同士がTCPseesionを張って通過させると言う意味ですよね。
回線品質が悪い状況には、非常に強いと思われますね。
Flet's網なんかに最適となるのでしょうか。
Draft段階ですが、この状況では、Interoperablityはなさそうですね。
どうなることやら、NSさん!!NSRemoteのSafeNetさん!!
61 :えりか:03/10/21 03:27 ID:JX9hszNS
>>58
あまり、詳しくはないのですが、
ScreenOS400DialというFirmwareでは、オペレーションモードがあって
DualUntrustやHOME/WORKゾーンの定義が可能です。
5GTを家に置き、WORKZONEはVPNで会社とつないだPC、Homeゾーンは家庭の子供のPCをつなぐ。
こんな用途を想定しているようです。
DMZを作成する目的により代替の機能になるか否か判断してください。
また、通常の3ゾーン構成と異なり、ポリシー制御に制限があり、
Home->Workは通信できないようです。
やったことがないので、詳しい方、加筆していただくと助かります。
あまり、詳しくはないのですが、
ScreenOS400DialというFirmwareでは、オペレーションモードがあって
DualUntrustやHOME/WORKゾーンの定義が可能です。
5GTを家に置き、WORKZONEはVPNで会社とつないだPC、Homeゾーンは家庭の子供のPCをつなぐ。
こんな用途を想定しているようです。
DMZを作成する目的により代替の機能になるか否か判断してください。
また、通常の3ゾーン構成と異なり、ポリシー制御に制限があり、
Home->Workは通信できないようです。
やったことがないので、詳しい方、加筆していただくと助かります。
あぼーん
63 :anonymous@ gateway.qes.co.jp:03/10/21 09:46 ID:???
>61
ありがとうございます。
ネットワークセグメントを3つ持てるということでしょうか。
表現が難しくって。。
Home->Workへのポリシーを作成できないというのは
勉強になりました。
またその逆も同様ということですね。
ポリシー作成はUntrust-Home、Untrust-Work間での
作成のみということでしょうか。
ありがとうございます。
ネットワークセグメントを3つ持てるということでしょうか。
表現が難しくって。。
Home->Workへのポリシーを作成できないというのは
勉強になりました。
またその逆も同様ということですね。
ポリシー作成はUntrust-Home、Untrust-Work間での
作成のみということでしょうか。
64 :えりか:03/10/21 13:38 ID:A1l8ynB0
>>63
work=>homeは可能です
work=>homeは可能です
ScreenOS5.0が11月に出るみたいでつね
66 :5XT:03/10/21 16:42 ID:EMVMPZGy
>>63
5XT + 4.0.0DIAL2r3使っている。DMZ問題なく構成できると思う。
Work/Homeモードで動作させている。
WorkゾーンIFをNATモードで動作させ、プライベートIPでUntrustゾーンにアクセスする。
HomeゾーンIFをROUTEモードで動作させ、グローバルIPを割り当てる。
HomeゾーンのホストをUntrustに公開するには、Policyを追加する。
Untrust -> Home : Address:Service : Permit
という感じで、UntrustからHomeへのアクセスは可能になる。
5XT + 4.0.0DIAL2r3使っている。DMZ問題なく構成できると思う。
Work/Homeモードで動作させている。
WorkゾーンIFをNATモードで動作させ、プライベートIPでUntrustゾーンにアクセスする。
HomeゾーンIFをROUTEモードで動作させ、グローバルIPを割り当てる。
HomeゾーンのホストをUntrustに公開するには、Policyを追加する。
Untrust -> Home : Address:Service : Permit
という感じで、UntrustからHomeへのアクセスは可能になる。
68 :anonymous@ server1.micnet-unet.ocn.ne.jp:03/10/23 11:06 ID:yk+0vsrC
はじめまして。 このたびネットスクリーン25を購入いたしました。
センター側 Netscreen25
拠点側(5拠点) RTX1000
でVPNを組んでいますが、センター-拠点間のVPNがうまくいきません。
VPNはアップリンクしますが、センターのWEBも閲覧できない状況です。
本社-拠点間はBフレです。平均Ping 10msです。
拠点間同士はRTX1000同士でリンクさせ安定しています。
YAMAHAとつなぐときにはノウハウがいるそうなのですが、ぜひ構築されたかたがおられれば教えてください。
センター側 Netscreen25
拠点側(5拠点) RTX1000
でVPNを組んでいますが、センター-拠点間のVPNがうまくいきません。
VPNはアップリンクしますが、センターのWEBも閲覧できない状況です。
本社-拠点間はBフレです。平均Ping 10msです。
拠点間同士はRTX1000同士でリンクさせ安定しています。
YAMAHAとつなぐときにはノウハウがいるそうなのですが、ぜひ構築されたかたがおられれば教えてください。
>>68
IPSecを使おうとされてるのでしょうか。
NetscreenとRTXで相互接続の実績ってあるんですか?
異ベンダー間のIPSec相互接続は悲観的というレポートを2年ぐらい前に見たことがあります。
http://www.ipa.go.jp/security/fy12/report/ipsec.html
IPSecを使う時はベンダーをあわせなきゃ。
Yamaha同士でもrt103あたりだとファームウェアバージョンによってつながらないようです。
なやむよりもセンター側ルータをYamahaにする方が早い鴨
ググるといろいろ出てくるようですが。
http://www.google.co.jp/search?q=IPSec+%E7%9B%B8%E4%BA%92%E6%8E%A5%E7%B6%9A&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
IPSecを使おうとされてるのでしょうか。
NetscreenとRTXで相互接続の実績ってあるんですか?
異ベンダー間のIPSec相互接続は悲観的というレポートを2年ぐらい前に見たことがあります。
http://www.ipa.go.jp/security/fy12/report/ipsec.html
IPSecを使う時はベンダーをあわせなきゃ。
Yamaha同士でもrt103あたりだとファームウェアバージョンによってつながらないようです。
なやむよりもセンター側ルータをYamahaにする方が早い鴨
ググるといろいろ出てくるようですが。
http://www.google.co.jp/search?q=IPSec+%E7%9B%B8%E4%BA%92%E6%8E%A5%E7%B6%9A&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=
>>68
ヤマハのサイトに設定例あるよ。
ttp://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/index.html
NS-RTX1000ではNAT Traversalは駄目みたい。
固定IPでMainモード、Preshared Keyならまずつながると思う。
ヤマハのサイトに設定例あるよ。
ttp://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/index.html
NS-RTX1000ではNAT Traversalは駄目みたい。
固定IPでMainモード、Preshared Keyならまずつながると思う。
>70
接続互換性が良くて、安く仕上げたければ、
OpenBSDベースのものとか使うっていうのは無し?(w;
アクセラレータカード、カーネルでサポートしてます。
VPNスループットは、数万円の安カードで(33MHz PCI)
64byteショートパケット時 70M bps
1024byteパケットで、185Mbps
4096byteで200Mbps
20万程度のカードの場合は
64byteで、129Mbps
1024byteで、442Mbps
4096byteで、504Mbps
ポート増設も可能だし、Portレベルの冗長化も図れます。(w;
接続互換性が良くて、安く仕上げたければ、
OpenBSDベースのものとか使うっていうのは無し?(w;
アクセラレータカード、カーネルでサポートしてます。
VPNスループットは、数万円の安カードで(33MHz PCI)
64byteショートパケット時 70M bps
1024byteパケットで、185Mbps
4096byteで200Mbps
20万程度のカードの場合は
64byteで、129Mbps
1024byteで、442Mbps
4096byteで、504Mbps
ポート増設も可能だし、Portレベルの冗長化も図れます。(w;
72 :えりか:03/10/29 02:17 ID:0N/IrBI6
>>71
ちょっと話題がそれるかもしれないけど、興味深々です。
FeeBSDでIPSEC+IKE(PreSharedKey)なんてやったことあります?
もしかしてNAT-Tなんかできると最高です?
現在、NSRemoteでメンテをしているのが楽になる(@@)\\\
情報ありますか?
ちょっと話題がそれるかもしれないけど、興味深々です。
FeeBSDでIPSEC+IKE(PreSharedKey)なんてやったことあります?
もしかしてNAT-Tなんかできると最高です?
現在、NSRemoteでメンテをしているのが楽になる(@@)\\\
情報ありますか?
73 :えりか:03/10/29 02:24 ID:0N/IrBI6
NS5GTのAV機能が動き始めそうです。
価格は、1年間の保守込みで1.5倍から2倍位になりそうです。
なんたってSignitureの随時更新があるそうです。
また、来年にかけていろんな商品が出て来るそうな!!
とりあえず、ご報告まで。。。正確な情報になったら再度流します。。。
NS社がんばれーーー。
価格は、1年間の保守込みで1.5倍から2倍位になりそうです。
なんたってSignitureの随時更新があるそうです。
また、来年にかけていろんな商品が出て来るそうな!!
とりあえず、ご報告まで。。。正確な情報になったら再度流します。。。
NS社がんばれーーー。
>72
もちろんあります。
OpenBSDでもやりました。
NAT-TraversalもOKです。
NS-Remoteとの接続も(センター側に*BSD)
NetScreenとの接続も経験ありますよ。
このカードで対抗できるのは、NS500で負け。NS5200でNSの勝ち。。
実用上は、、ですね。
#*BSDを PPPoE unnumbered で利用するなんていうことは良くあります。
# Linuxベースの場合もあります。NSの代わりに納品もありです。
もちろんあります。
OpenBSDでもやりました。
NAT-TraversalもOKです。
NS-Remoteとの接続も(センター側に*BSD)
NetScreenとの接続も経験ありますよ。
このカードで対抗できるのは、NS500で負け。NS5200でNSの勝ち。。
実用上は、、ですね。
#*BSDを PPPoE unnumbered で利用するなんていうことは良くあります。
# Linuxベースの場合もあります。NSの代わりに納品もありです。
>72
PreShared Keyだけでなく、Open SSLでのCA接続の実績もあります。
IPsecの相互接続性は、こちらの方が高い
導入費用を下げられる
中堅どころの価格帯でポート増設可能
1000base-Tポートが使える
年間保守費用を抑えられる
もちろん、冗長化の対応が可能
といった理由で、こちらになることが多くなってきました。
snort組み込んで、FW/VPN/IDPゲートウェイにするところまでは
やっております。
現在、AV GW機能を組み込む試験中です。
PreShared Keyだけでなく、Open SSLでのCA接続の実績もあります。
IPsecの相互接続性は、こちらの方が高い
導入費用を下げられる
中堅どころの価格帯でポート増設可能
1000base-Tポートが使える
年間保守費用を抑えられる
もちろん、冗長化の対応が可能
といった理由で、こちらになることが多くなってきました。
snort組み込んで、FW/VPN/IDPゲートウェイにするところまでは
やっております。
現在、AV GW機能を組み込む試験中です。
76 : :03/10/29 23:17 ID:???
>>75
ハードだけなら安そうだが、メンテナンスなどトータルで考えるとNetscreenのほうが安そうだ
ハードだけなら安そうだが、メンテナンスなどトータルで考えるとNetscreenのほうが安そうだ
>76
安心してください。FW-1風のGUIとかつけてるので、
操作は普通にできますよ。
なおNS200系より安くなってます。納品価格とか、保守料金もね。
性能はNS500級のものとの比較
AVは、別にライセンスフィー体系がなるので、なんとも言えないけど。
安心してください。FW-1風のGUIとかつけてるので、
操作は普通にできますよ。
なおNS200系より安くなってます。納品価格とか、保守料金もね。
性能はNS500級のものとの比較
AVは、別にライセンスフィー体系がなるので、なんとも言えないけど。
78 : :03/10/30 00:11 ID:???
>>77
VPN専用のアクセラレーションの性能だけでは何とも言えないな
Firewallとしての性能はどのくらい出せるの?
Firewallもアクセラレータ処理?それともBSDのカーネルがやるの?
5000con/secとかいける?
NAT性能は?
冗長化の方式は?
ルーティングプロトコルは何が使える?
っていうか提案書ください(W
VPN専用のアクセラレーションの性能だけでは何とも言えないな
Firewallとしての性能はどのくらい出せるの?
Firewallもアクセラレータ処理?それともBSDのカーネルがやるの?
5000con/secとかいける?
NAT性能は?
冗長化の方式は?
ルーティングプロトコルは何が使える?
っていうか提案書ください(W
>78
FireWall部は、BSD側でやります。
CPU性能にもよりますが、新規コネクション数は、余裕がありますよ。
IKE新規ネゴで、2000-3000/secぐらい。
冗長化は、要件によって、変えているけれども、
1) IP 2個での切り替え
2) IP 2個 仮想IP 1個での切り替え
の2種類
ルーティングプロトコルは、Unixで使えるものなら、
なんでも使ってください。その分、他の性能に少しは
影響が出ますし、FireWallで止めたら使えないですけど
> っていうか提案書ください(W
作っている最中です.(w
マジレスしてしまった。
FireWall部は、BSD側でやります。
CPU性能にもよりますが、新規コネクション数は、余裕がありますよ。
IKE新規ネゴで、2000-3000/secぐらい。
冗長化は、要件によって、変えているけれども、
1) IP 2個での切り替え
2) IP 2個 仮想IP 1個での切り替え
の2種類
ルーティングプロトコルは、Unixで使えるものなら、
なんでも使ってください。その分、他の性能に少しは
影響が出ますし、FireWallで止めたら使えないですけど
> っていうか提案書ください(W
作っている最中です.(w
マジレスしてしまった。
80 : :03/10/31 03:52 ID:???
>>77
いや、メンテナンスなどのトータルていうのは、
通常のOSベースだと、もちろんHDDが付いてるだろうし、
また、OSインストールやアップグレードの際にも、Netscreenみたいにフラッシュに転送して
コンフィグ入力だけみたいに簡単にいかなそうってこと
またコンフィグバックアップも、単にテキストコピーでは済まずに、めんどくさそう
Firewall-1/VPN-1 などの置き換えには向いているかもしれないが、
いや、メンテナンスなどのトータルていうのは、
通常のOSベースだと、もちろんHDDが付いてるだろうし、
また、OSインストールやアップグレードの際にも、Netscreenみたいにフラッシュに転送して
コンフィグ入力だけみたいに簡単にいかなそうってこと
またコンフィグバックアップも、単にテキストコピーでは済まずに、めんどくさそう
Firewall-1/VPN-1 などの置き換えには向いているかもしれないが、
>80
OSはアプライアンス化しているので、インストール済み
アップグレードは、パッケージ化しているので、コマンド一発
Conifg は、基本的にテキストファイルです。
まとめて取得・展開するために、tarballのアップロード
ダウンロードにはなってしまうけど。
NSの場合でも、OSのアップグレード・ダウングレードの
注意点が色々出るのと同じ程度の手間はありますけどね。
まあ、BIG-IPよりは楽だと思います。(用途が違うものを比較して
しまった)RSSAなどより、、というべきでしたかね。
#しかしロードバランサって何であんなにメンテが不便なのか
#LPしかり。。
まあ、いずれにせよ、センター向けであって、
拠点向けでは無いですが。
# 拠点利用にはNS5が好きです。サポートフィーも安めだから。
OSはアプライアンス化しているので、インストール済み
アップグレードは、パッケージ化しているので、コマンド一発
Conifg は、基本的にテキストファイルです。
まとめて取得・展開するために、tarballのアップロード
ダウンロードにはなってしまうけど。
NSの場合でも、OSのアップグレード・ダウングレードの
注意点が色々出るのと同じ程度の手間はありますけどね。
まあ、BIG-IPよりは楽だと思います。(用途が違うものを比較して
しまった)RSSAなどより、、というべきでしたかね。
#しかしロードバランサって何であんなにメンテが不便なのか
#LPしかり。。
まあ、いずれにせよ、センター向けであって、
拠点向けでは無いですが。
# 拠点利用にはNS5が好きです。サポートフィーも安めだから。
84 : :03/11/10 01:12 ID:V50Ijv7G
このスレでスレ違いな自社製品の売り込みやるやつがきてから、急に人がこなくなったな
売り込みならVPNスレでやれ
売り込みならVPNスレでやれ
5GT Plus と 5XT Elie の違いがよく分からん。
スペック的には5GTの方が良さそうなんだけど、
http://online.plathome.co.jp/list_by_maker.html?maker=945
とか見ると、5GT Plusの方が全然安いし。
5GTの方が安くて旨いんでしょうか。
知ってる人います?
スペック的には5GTの方が良さそうなんだけど、
http://online.plathome.co.jp/list_by_maker.html?maker=945
とか見ると、5GT Plusの方が全然安いし。
5GTの方が安くて旨いんでしょうか。
知ってる人います?
86 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/12 00:48 ID:f372j9lG
>>86
どちらもVPNトンネル数は10なので、最大10ですね。
うーむ、Firewallのスループットが速い分だけ5GT Plusの方がよさげかなぁ。
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5gt.html
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5xt.html
を見ても、ほとんど一緒。
どちらもVPNトンネル数は10なので、最大10ですね。
うーむ、Firewallのスループットが速い分だけ5GT Plusの方がよさげかなぁ。
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5gt.html
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5xt.html
を見ても、ほとんど一緒。
88 :anonymous@ ipmsq.noisedance.com:03/11/12 14:00 ID:???
プラットホームへ逝ったら、5XTより5GTが安い。
フォーティゲートの影響下とおもうが、機能的には5GT>=5XTなのに、
金額が5GT<5XT!!!
5XTを買ったのに・・・・
フォーティゲートの影響下とおもうが、機能的には5GT>=5XTなのに、
金額が5GT<5XT!!!
5XTを買ったのに・・・・
89 :anonymous@ wacc1s4.ezweb.ne.jp:03/11/12 19:58 ID:gceWbGQ/
NSのVPNクライアントって別料金ですか?
90 :○anonymous:03/11/12 20:50 ID:???
>89
別料金です。
別料金です。
ぷらっとほーむで128k円か〜
ファイバ導入に合わせて自宅用に購入してみようかしら。
ファイバ導入に合わせて自宅用に購入してみようかしら。
92 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/12 22:52 ID:???
93 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/12 22:57 ID:???
今のルーターADSL8Mの時購入したのに、回線だけBフレッツにアップグレード
したんで、性能出てないんですよね。
FW未導入だったので購入予定だったのですが、VPNは会社的にあくまでオマケ。
だからクライアントライセンス別途有料だと厳しいんです。
したんで、性能出てないんですよね。
FW未導入だったので購入予定だったのですが、VPNは会社的にあくまでオマケ。
だからクライアントライセンス別途有料だと厳しいんです。
>93
Win2KやXPなら下記のように内蔵のIPsecで接続させることも可能です。
ttp://services.netscreen.com/eserverweb/esupport_customer/consumer/esupport.asp
?id=GUID1f30e2e1%5Ff027%5F461d%5F9545%5Fa6461774873c&resource=&number=1
&isExternal=0&nShowFacts=&nShowCause=&nShowChange=&nShowAddInfo=
&activepage=statement.asp&bForceMatch=False&strCurrentSymptom=&searchtype
=normal&searchclass=QuickSearch&bnewsession=false&selecttype=match
Win2KやXPなら下記のように内蔵のIPsecで接続させることも可能です。
ttp://services.netscreen.com/eserverweb/esupport_customer/consumer/esupport.asp
?id=GUID1f30e2e1%5Ff027%5F461d%5F9545%5Fa6461774873c&resource=&number=1
&isExternal=0&nShowFacts=&nShowCause=&nShowChange=&nShowAddInfo=
&activepage=statement.asp&bForceMatch=False&strCurrentSymptom=&searchtype
=normal&searchclass=QuickSearch&bnewsession=false&selecttype=match
95 :○anonymous:03/11/13 00:57 ID:???
>94
94=90
94=90
96 :anonymous@ p4189-ipbffx01chibmi.tokyo.ocn.ne.jp:03/11/14 17:12 ID:???
97 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/16 12:29 ID:???
MacってNetScreenでリモートVPN出来ないんですか?
98 :○anonymous:03/11/16 12:46 ID:???
>97
できるよ。ちゃんとVPNソフト入れて設定すれば。
ただし、対応OS(パッチ適用レベルまで)しっかり合わす必要あるけどね。
できるよ。ちゃんとVPNソフト入れて設定すれば。
ただし、対応OS(パッチ適用レベルまで)しっかり合わす必要あるけどね。
ScreenOS 5を手に入れた人いる?
Deep Inspectionでどこまで見れるのだろう・・・
Deep Inspectionでどこまで見れるのだろう・・・
alarm LEDってどうやって消すの? リブートしかない??
Solution ID: nskb1074
>clear led alarm
FAQなのでKBに載ってたよ。
>clear led alarm
FAQなのでKBに載ってたよ。
102 :anonymous@ wacc2s3.ezweb.ne.jp:03/11/25 18:37 ID:9edHvz3G
保守払ってますか?
103 :anonymous@ usen-221x115x149x106.ap-US01.usen.ad.jp:03/11/25 20:09 ID:0ibOxR+2
5GT(10User)の導入を検討中です。
ScreenOS DIAL版って標準OS?それとも別途購入が必要?
いろいろなサイトを調べてみたのですがよく分かりませんでした。
ご存知の方いらっしゃいますか?
ScreenOS DIAL版って標準OS?それとも別途購入が必要?
いろいろなサイトを調べてみたのですがよく分かりませんでした。
ご存知の方いらっしゃいますか?
104 :anonymous@ p2935c3.tokynt01.ap.so-net.ne.jp:03/11/25 23:59 ID:???
在宅勤務にしようかと思ってるのですが、5GTを個人で買うならドコがお勧めですか?
105 :○anonymous:03/11/26 01:56 ID:???
>104
NTT-COMとかどう?
確か回線契約とセットで買えるよ
本体とソフトウェアサブスクリプションだけでいいというなら、
どこか伝手があれば、そこから買うのが安いかも。
うまくすれば、本体は半額強で手に入るかもね
NTT-COMとかどう?
確か回線契約とセットで買えるよ
本体とソフトウェアサブスクリプションだけでいいというなら、
どこか伝手があれば、そこから買うのが安いかも。
うまくすれば、本体は半額強で手に入るかもね
106 :anonymous@ 61.194.54.62:03/11/26 09:12 ID:???
NetScreen25+OCNなBフレッツの環境でつかってます。
UnTrustなIFでPPPoEを行っているのですが、いわゆるネットワークアドレスが
割り振られ逆引きできない状態になってます。
OCNに問い合わせをしてみましたが、ネットワークアドレスには逆引き設定できないとのこと。
#InfoSphereはやってくれるのにな
NATの外側のIPアドレスを明示的に指定する方法ってありますかね?
いまのままだと、見れないサイトとかあるんですよ。
UnTrustなIFでPPPoEを行っているのですが、いわゆるネットワークアドレスが
割り振られ逆引きできない状態になってます。
OCNに問い合わせをしてみましたが、ネットワークアドレスには逆引き設定できないとのこと。
#InfoSphereはやってくれるのにな
NATの外側のIPアドレスを明示的に指定する方法ってありますかね?
いまのままだと、見れないサイトとかあるんですよ。
>>105
会社の分は、代理店からかなり安くかってるのだが 保守保守とうるさい
自宅分は自腹(手当ては出るが)なので、なるべく安く済ませたたいのです。
とは言え、外出先から自宅にリモートVPNもしたいからクライアントライセンスは買わないといけない。
SOHOな人たちどーしてんのかな?
会社の分は、代理店からかなり安くかってるのだが 保守保守とうるさい
自宅分は自腹(手当ては出るが)なので、なるべく安く済ませたたいのです。
とは言え、外出先から自宅にリモートVPNもしたいからクライアントライセンスは買わないといけない。
SOHOな人たちどーしてんのかな?
108 :○anonymous:03/11/26 14:28 ID:???
>107
SSH tunnelingだったりします。
動的IPだったりした場合、その向こう側のサーバから、SSHセッション
張らさて、リバース操作で管理してたり。。
ありゃ、VPNの必要性が、、(汗)
前に書いたけど、出先からW2K/XPならOSのIPsecで
Unix系入っているなら、Freewareで、、
Win98だと言われたら、、SSH tunnelかなぁ。(ttsshなど使って)
どうにでもなります。>クライアント
SSH tunnelingだったりします。
動的IPだったりした場合、その向こう側のサーバから、SSHセッション
張らさて、リバース操作で管理してたり。。
ありゃ、VPNの必要性が、、(汗)
前に書いたけど、出先からW2K/XPならOSのIPsecで
Unix系入っているなら、Freewareで、、
Win98だと言われたら、、SSH tunnelかなぁ。(ttsshなど使って)
どうにでもなります。>クライアント
110 :○anonymous:03/11/26 22:52 ID:???
>109
ルータとかFWが問題無いことを前提にした上で、(これは必須)
問題ありません。
ルータとかFWが問題無いことを前提にした上で、(これは必須)
問題ありません。
112 :anonymous@ p2935c3.tokynt01.ap.so-net.ne.jp:03/11/26 23:24 ID:???
>>109
http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/communications/remoteaccess/l2tpclientrelnotes.asp
標準で対応してるみたい
http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/communications/remoteaccess/l2tpclientrelnotes.asp
標準で対応してるみたい
>101
Thanx!!
Thanx!!
ScreenOS2.x/3.xマシンがバリバリ稼動中ですが、最近208と
500をインプリせねばならずScreenOS4.xと格闘中です。
技術講習にも参加しましたが、結局のところ3セグメント
以下の構成では3.xまでに比べ、設定が複雑になるだけで
ScreenOS4.Xにするメリットはほぼないとの結論に達しつ
つあります。
この理解で正しいでしょうか?
5XT/XPでScreenOS4.xにするメリットがあればだれか
教えてください。
また500のconfig例なんかがどっかに落ちてないかな?
500をインプリせねばならずScreenOS4.xと格闘中です。
技術講習にも参加しましたが、結局のところ3セグメント
以下の構成では3.xまでに比べ、設定が複雑になるだけで
ScreenOS4.Xにするメリットはほぼないとの結論に達しつ
つあります。
この理解で正しいでしょうか?
5XT/XPでScreenOS4.xにするメリットがあればだれか
教えてください。
また500のconfig例なんかがどっかに落ちてないかな?
115 : :03/11/27 22:43 ID:???
>>114
MIBサポートが桁違いっていうのは理由にならないかな?
SNMPでまともな管理ができるのは4.xから
これは中規模以上の案件ではかなり重要じゃないかな?
3.x以前なんてprivate.3224にwalkかけてもなーんにも帰ってこないお粗末ぶりだったよね
あとは双方向NATのサポートとか
#俺も2.xの方が好きだけど
#いまでだに1.66使ってるとこあるよ
MIBサポートが桁違いっていうのは理由にならないかな?
SNMPでまともな管理ができるのは4.xから
これは中規模以上の案件ではかなり重要じゃないかな?
3.x以前なんてprivate.3224にwalkかけてもなーんにも帰ってこないお粗末ぶりだったよね
あとは双方向NATのサポートとか
#俺も2.xの方が好きだけど
#いまでだに1.66使ってるとこあるよ
116 :○anonymous:03/11/27 23:34 ID:???
>114
メーカサポートの問題を忘れていますよ。
バグが原因になったトラブルの対応は、3系だと終息気味だから。
それが気にならない、セキュリティホールが出ても放っておける場合は別
SA使った際のバグ対処のためのアップデートしたら、SNMPがエンバグして
くれたり、色々あっても、とりあえず現行OSベースなら、短期間に修正は
されていますが。
#おそらくファームの開発チームが2つ独立で動いているせいなんでしょうね。
#NS500は、結局20数台しか導入したことが無いです。何をしたいのかが
#あれば、ある程度の資料は出してあげられるかもしれませんけど。
#NS204/208は、数十台程度です。そんなに経験値無くてすみません。
メーカサポートの問題を忘れていますよ。
バグが原因になったトラブルの対応は、3系だと終息気味だから。
それが気にならない、セキュリティホールが出ても放っておける場合は別
SA使った際のバグ対処のためのアップデートしたら、SNMPがエンバグして
くれたり、色々あっても、とりあえず現行OSベースなら、短期間に修正は
されていますが。
#おそらくファームの開発チームが2つ独立で動いているせいなんでしょうね。
#NS500は、結局20数台しか導入したことが無いです。何をしたいのかが
#あれば、ある程度の資料は出してあげられるかもしれませんけど。
#NS204/208は、数十台程度です。そんなに経験値無くてすみません。
117 :anonymous@ p4189-ipbffx01chibmi.tokyo.ocn.ne.jp:03/11/28 13:20 ID:???
UPnPに対応出来る?
メッセンジャーによるファイル転送の許可/不許可を制御したいのです。
メッセンジャーによるファイル転送の許可/不許可を制御したいのです。
Mac OS9からリモートVPN利用出来ませんか?
119 :○anonymous:03/12/01 14:27 ID:???
>118
一応OS9対応のFreeのVPNクライアントはあるよ。
ごく普通の出来。サイトは、手元に資料無いので、検索してね。
http://search.securepoint.com/index.phpあたりで引けば
すぐ見つかったと思う。
一応OS9対応のFreeのVPNクライアントはあるよ。
ごく普通の出来。サイトは、手元に資料無いので、検索してね。
http://search.securepoint.com/index.phpあたりで引けば
すぐ見つかったと思う。
120 :ななしさん:03/12/02 13:04 ID:B1bhJpPD
AntiVirus機能対応age
122 :名無しさん:03/12/07 22:44 ID:OqgThQCQ
ぷらっとほーむより安いところ見つけたよ。個人で買えるみたい
Mac OSX 10.3 ではL2TP over IPsecとPPTPに対応してるらしいのですが
自宅や外出先から、Netscreenにリモートアクセス出来るように出来ないでしょうか?
既に試した方いませんか?
自宅や外出先から、Netscreenにリモートアクセス出来るように出来ないでしょうか?
既に試した方いませんか?
初期化するにはどうすればいいの?
125 :anonymous@ FLH1Aaw188.chb.mesh.ad.jp:03/12/10 09:00 ID:???
ぷらっとなどで買った場合、1年過ぎたら保守契約延長はどこで契約するのでしょうか。
5XTや5XPで契約延長っておいくらなんでしょうか。
教えて君になってますね。すみません。
5XTや5XPで契約延長っておいくらなんでしょうか。
教えて君になってますね。すみません。
127 :anonymous@ 202.216.27.49:03/12/15 16:47 ID:+Pmk5HNS
>>117
http://www.hitachi-system.co.jp/netscreen/sp/16_faq/faq_fw.htm
Q23 標準サポートでNetMeetingに対応しているとの事ですが、
UPnPには対応しているのでしょうか?
Netscreenは、UPnPに対応しておりません。
また、今後サポートする予定もありません。
理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウィルスに感染した
ホストがFirewallの内側にいた場合、Firewallのポートを全てOpenにしてしまい、
外部からのアタックや不正進入を招いてしまう危険性があるためです。
http://www.hitachi-system.co.jp/netscreen/sp/16_faq/faq_fw.htm
Q23 標準サポートでNetMeetingに対応しているとの事ですが、
UPnPには対応しているのでしょうか?
Netscreenは、UPnPに対応しておりません。
また、今後サポートする予定もありません。
理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウィルスに感染した
ホストがFirewallの内側にいた場合、Firewallのポートを全てOpenにしてしまい、
外部からのアタックや不正進入を招いてしまう危険性があるためです。
128 :anonymous@ y065237.ppp.dion.ne.jp:03/12/18 21:41 ID:svIo2i3n
質問です。
IP8個もらえるサービスでBA8000ProとNetScreenを使ってVPNをしていたのですが、
ルーターが調子悪いので、別なルーターに変えたところ、
VPNクライアント側がグローバルIPだと繋がるのに、NAT配下だと繋がらなくなってしまいました。
NetScreenは何も弄っていません。
誰か解決方法を教えてください。
IP8個もらえるサービスでBA8000ProとNetScreenを使ってVPNをしていたのですが、
ルーターが調子悪いので、別なルーターに変えたところ、
VPNクライアント側がグローバルIPだと繋がるのに、NAT配下だと繋がらなくなってしまいました。
NetScreenは何も弄っていません。
誰か解決方法を教えてください。
129 :128:03/12/18 21:45 ID:svIo2i3n
クライアント側がNATルーター配下でもPINGは通ります。
だれか教えて〜
だれか教えて〜
130 :○anonymous:03/12/18 23:12 ID:???
>129
交換前のルータと交換後のルータの機種・型番などの情報と
設定情報を書いてくれれば対応できるかな。
ルータ買い換えましょうって結論になる可能性もあるけど。(汗)
交換前のルータと交換後のルータの機種・型番などの情報と
設定情報を書いてくれれば対応できるかな。
ルータ買い換えましょうって結論になる可能性もあるけど。(汗)
131 :128:03/12/19 07:43 ID:Kewr1VMB
132 :128:03/12/19 08:05 ID:Kewr1VMB
クライアント側のNATルーターはAterm DR322GVです。
今までは使えたのだから、こちらに原因はないのかな??
よろしくお願いします。
今までは使えたのだから、こちらに原因はないのかな??
よろしくお願いします。
133 :○anonymous:03/12/19 09:44 ID:???
>131
MN8300<->NS間のIPsec?
それとも、PC(IPsec Client)->MN8300<->NSのIPsec?
IPsecパススルーの設定は?
MN8300<->NS間のIPsec?
それとも、PC(IPsec Client)->MN8300<->NSのIPsec?
IPsecパススルーの設定は?
134 :128:03/12/19 09:56 ID:t8LPTGt7
後者のほうです。
鯖〜NS〜MN8300 <-> Aterm〜VPNクライアント(プライベートIP) で繋がらなくなりました。
鯖〜NS〜MN8300 <-> VPNクライアント(グローバルIP)だと繋がります。
MN8300にも前に使っていたBA8000Proにもパススルーの設定はありませんでした。
ただ、MN8300はIPルーターモード(NATではない)で使用しているのでパススルーが機能していないような気がする。
なぜなんだ〜
鯖〜NS〜MN8300 <-> Aterm〜VPNクライアント(プライベートIP) で繋がらなくなりました。
鯖〜NS〜MN8300 <-> VPNクライアント(グローバルIP)だと繋がります。
MN8300にも前に使っていたBA8000Proにもパススルーの設定はありませんでした。
ただ、MN8300はIPルーターモード(NATではない)で使用しているのでパススルーが機能していないような気がする。
なぜなんだ〜
135 :128:03/12/19 10:35 ID:jtnuca6S
別の古いISDNルーターで接続を試みたらなんと接続できました。
原因はAtermかクライアントパソコンにあるのかな??
帰ってから原因追求してみます・・・
原因はAtermかクライアントパソコンにあるのかな??
帰ってから原因追求してみます・・・
NS買って、サポートに電話したら導入時の設定についての問い合わせは有料だと相手にしてくれないんですが、NSってそーいう商品なの?
NSは初めて買ったけど、過去に購入したネットワーク機器、シスコ、ヤマハではそんな事なかったのに...
NSは初めて買ったけど、過去に購入したネットワーク機器、シスコ、ヤマハではそんな事なかったのに...
137 :○anonymous:03/12/22 14:39 ID:???
>136
質問の内容によるんじゃないのかな?
質問の内容によるんじゃないのかな?
138 :○anonymous:03/12/22 22:51 ID:???
>136
補足。。。
購入先にも寄ると思われます。
サポートしない分安い購入元を使った場合は、当然、そうなることが
予想されますね。(CISCOなどでもしかり)
購入元が代理店であっても同じです。
#うちは、タダでやってるけどさ。
補足。。。
購入先にも寄ると思われます。
サポートしない分安い購入元を使った場合は、当然、そうなることが
予想されますね。(CISCOなどでもしかり)
購入元が代理店であっても同じです。
#うちは、タダでやってるけどさ。
139 :りぃな:03/12/23 19:16 ID:d1747H4d
NetScreen5XTについて質問です。
ダイアルアップユーザーから管理したいのですが・・・
許可するアドレスを限定するような事は可能でしょうか?
ScreenOSは4.0.0です。
NSRemoteは8.0です。
ダイアルアップユーザーから管理したいのですが・・・
許可するアドレスを限定するような事は可能でしょうか?
ScreenOSは4.0.0です。
NSRemoteは8.0です。
140 :松井 ◆...VBh.www :03/12/23 20:22 ID:0589NACm
突然ですが皆さん
創価学会についてどう思いますか?
興味ありましたらあなたの意見をお聞かせください
YAHOOチャットの政治カテゴリのユーザールームに
創価学会YAHOO支部という部屋があります
ただ今そちらで熱い議論を繰り広げております
マイクを使ってボイスで討論もしています
YAHOOにログイン後ご入室ください
心よりお待ち申し上げております
以上、宣伝でした
創価学会についてどう思いますか?
興味ありましたらあなたの意見をお聞かせください
YAHOOチャットの政治カテゴリのユーザールームに
創価学会YAHOO支部という部屋があります
ただ今そちらで熱い議論を繰り広げております
マイクを使ってボイスで討論もしています
YAHOOにログイン後ご入室ください
心よりお待ち申し上げております
以上、宣伝でした
141 :anonymous@ zaqdb73e7ce.zaq.ne.jp:03/12/25 15:49 ID:???
さげ
142 : :03/12/30 01:34 ID:???
兄貴!SNMP で、アクティブなセッション数を取得する事は可能ですか!?
MRTG 等のツールで、セッション数をグラフ化したいのです。
MIB ツリーにざっと目を通したのですが、俺様の脳では判断不能で御座います…
# SNMP で無く、telnet > get session で取得した値を使う等の
# トリッキーな方法なら出来そうですが
ちなみに、ScreenOS の Version は 4.0.1r9 です。
MRTG 等のツールで、セッション数をグラフ化したいのです。
MIB ツリーにざっと目を通したのですが、俺様の脳では判断不能で御座います…
# SNMP で無く、telnet > get session で取得した値を使う等の
# トリッキーな方法なら出来そうですが
ちなみに、ScreenOS の Version は 4.0.1r9 です。
143 :anonymous@ o143081.ppp.asahi-net.or.jp:03/12/30 02:44 ID:???
内藤猛は使えん
筋肉鍛える暇があったら脳味噌鍛えろや
筋肉鍛える暇があったら脳味噌鍛えろや
145 : :03/12/31 00:24 ID:???
>121
set pppoe static-ip
をやったあとに IPアドレス指定できました。
電源再投入して、PPPoEで再接続を試みたところ
ルーティング情報が追加されず、WANとの疎通ができません。
(手動でStaticRouteにすれば可能・・・)
すなおに安物ルータかませたほうがいいのかな?
set pppoe static-ip
をやったあとに IPアドレス指定できました。
電源再投入して、PPPoEで再接続を試みたところ
ルーティング情報が追加されず、WANとの疎通ができません。
(手動でStaticRouteにすれば可能・・・)
すなおに安物ルータかませたほうがいいのかな?
147 :anonymous@ r094173.ap.plala.or.jp:04/01/07 00:07 ID:???
VPNクライアントに払い出すIPアドレスって
社内LANと同じセグメントにする必要が有りますか?
違うセグメントのIPアドレスを払い出すことが可能な場合に、
ルーティングってどうやるの?
社内LANと同じセグメントにする必要が有りますか?
違うセグメントのIPアドレスを払い出すことが可能な場合に、
ルーティングってどうやるの?
>>147
必要はない。ルーティング気にして社内LAN側のインタフェースと
同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
クエストにNetScreen答えないからだめなり。
払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
ルーティングなんか気にしなくても、社内に出て行く側のインタフェース
で通信をNATすれば無問題
間違ってたらスマソ
必要はない。ルーティング気にして社内LAN側のインタフェースと
同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
クエストにNetScreen答えないからだめなり。
払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
ルーティングなんか気にしなくても、社内に出て行く側のインタフェース
で通信をNATすれば無問題
間違ってたらスマソ
で、結局5GTのPPPoE+NATのスピードってどのくらい出るの?
>>148
> 必要はない。ルーティング気にして社内LAN側のインタフェースと
> 同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
> クエストにNetScreen答えないからだめなり。
> 払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
Netscreen じゃProxyarp の設定はできないの?
あと払い出すIPアドレスって勝手に決めてもいいの?
> 必要はない。ルーティング気にして社内LAN側のインタフェースと
> 同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
> クエストにNetScreen答えないからだめなり。
> 払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
Netscreen じゃProxyarp の設定はできないの?
あと払い出すIPアドレスって勝手に決めてもいいの?
>>150
ProxyArp の設定はできんと思う。
払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
けど、適当に設定すると心配しているとおり、default にのってくるの
でなければその払い出すアドレスへのルーティングが必要になる。
このためにルーティングを他のデバイスに設定してまわるのはかった
るいので、社内への通信を許可するポリシでNATするようにしておく。
こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
通信では払い出しアドレスを隠蔽できるってことなり。
ProxyArp の設定はできんと思う。
払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
けど、適当に設定すると心配しているとおり、default にのってくるの
でなければその払い出すアドレスへのルーティングが必要になる。
このためにルーティングを他のデバイスに設定してまわるのはかった
るいので、社内への通信を許可するポリシでNATするようにしておく。
こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
通信では払い出しアドレスを隠蔽できるってことなり。
>>151
> ProxyArp の設定はできんと思う。
> 払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
ありがとうございます。それを聞いて安心しますた。
あと、VPNで繋ぐときのID Type でメルアドを選択できるみたいなんですが
これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
よいのでしょうか?パスワードみたいなものですか?
何でメールアドレスになっているのかが疑問です。
> ProxyArp の設定はできんと思う。
> 払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
ありがとうございます。それを聞いて安心しますた。
あと、VPNで繋ぐときのID Type でメルアドを選択できるみたいなんですが
これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
よいのでしょうか?パスワードみたいなものですか?
何でメールアドレスになっているのかが疑問です。
153 :○anonymous:04/01/08 17:32 ID:???
>152
パスワードみたいなもんです。
なぜメールアドレスみたいになっているかというのに関しては、
CAのユーザ証明書の構造と対比させると納得できるかと思います。
パスワードみたいなもんです。
なぜメールアドレスみたいになっているかというのに関しては、
CAのユーザ証明書の構造と対比させると納得できるかと思います。
>>152
>これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
>よいのでしょうか?パスワードみたいなものですか?
適当でいいです。これはなんらかの手段で接続しにきた相手を識別しないと
いけませんが、この用途に使っているだけなので。
ま、サーバでは渡されたID から誰かいな?ということでそのIDに関連した設定
をさがすわけでありんす。
debug ike detail & get dbuf st してやりとり見てみそ
>これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
>よいのでしょうか?パスワードみたいなものですか?
適当でいいです。これはなんらかの手段で接続しにきた相手を識別しないと
いけませんが、この用途に使っているだけなので。
ま、サーバでは渡されたID から誰かいな?ということでそのIDに関連した設定
をさがすわけでありんす。
debug ike detail & get dbuf st してやりとり見てみそ
だいぶ理解できてきました。
社内側のインターフェースのポリシーで
NATするのに関連して、NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?
あと、クライアントが非固定IPアドレスの場合に
pre-shared key による認証ってできるんでしょうか?
社内側のインターフェースのポリシーで
NATするのに関連して、NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?
あと、クライアントが非固定IPアドレスの場合に
pre-shared key による認証ってできるんでしょうか?
156 :○anonymous:04/01/09 01:53 ID:???
>155
>クライアントが非固定IPアドレスの場合に
もちろん、可能。(aggressive)
>NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?
NAT Traversalが何をしているものか考えてみてください。
操作自体より、仕組みを理解した方が応用が利くと思うよ。
>クライアントが非固定IPアドレスの場合に
もちろん、可能。(aggressive)
>NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?
NAT Traversalが何をしているものか考えてみてください。
操作自体より、仕組みを理解した方が応用が利くと思うよ。
157 :5GT:04/01/11 18:54 ID:Rb8OcvMX
5GTを買ってきて接続してるとこです
Trust側のWEB鯖をWAN側に公開したいのですがうまくいきません
固定IP1個しかなくVIPでポート80を割り当てました。
Trust側のWEB鯖をWAN側に公開したいのですがうまくいきません
固定IP1個しかなくVIPでポート80を割り当てました。
>>157
Global Policyの設定しましたか?
Global Policyの設定しましたか?
159 :_:04/01/24 17:40 ID:h95EA28C
age
160 :帝王:04/01/24 19:16 ID:fCej5XNE
代理店のHって最近ヘタってきてません?
確か世界でもトップクラスのディストリビュータだったはず。
会社の体質的に外資に着いて行けなくなってんだろうか?
確か世界でもトップクラスのディストリビュータだったはず。
会社の体質的に外資に着いて行けなくなってんだろうか?
161 : :04/01/25 16:21 ID:???
162 : :04/01/25 20:44 ID:???
config をコマンドとかで一発で消す方法ってありませんか?
いじっていたら、訳が分らなくなってしまったので
一旦購入時の状態に戻したいのですが・・・
いじっていたら、訳が分らなくなってしまったので
一旦購入時の状態に戻したいのですが・・・
163 :774 sessions:04/01/25 20:49 ID:???
OS5.0, AV, DI, NSM, IDP, 新モデル...と
まともに対応しようとしてる代理店なら,
どこも年末からリソース食いまくってるはず。
まともに対応しようとしてる代理店なら,
どこも年末からリソース食いまくってるはず。
164 :774 sessions:04/01/25 20:50 ID:???
適当なスレが無いんでここで聞かせてください
こんなDynamicNATの要件を満たすNAT箱ってありますか?
1.一定のレンジのIPをスプールしてDynamicNATしたい
2.スプールを有効利用するためにスプールから割り当てるIPは動的に振り分けたい
3.同一ユーザ(同一ローカルIP)の複数セッションが同じIPになるように割り当てたい
4.ProxyARPでは無くスプール専用のアドレス空間を持たせたい
5.RTSPに対応している
6.3000con/secのセッション処理性能
NetScreenだと3と4と5ができないんですよね、、、
DIPにレンジを持たせるとセッション毎に全IPでラウンドロビンになるし、
MIPはProxyARPで無くても使えるのにDIPはProxyARPしか使えない
RTPなプロトコルも全滅
2,3が特に重要でIP割当は動的におこないつつ、
同じSourceIPのセッションがあるうちは同じグローバルIPを割当てたいんです
1000万越えも辞さないんで知ってたら教えてください
こんなDynamicNATの要件を満たすNAT箱ってありますか?
1.一定のレンジのIPをスプールしてDynamicNATしたい
2.スプールを有効利用するためにスプールから割り当てるIPは動的に振り分けたい
3.同一ユーザ(同一ローカルIP)の複数セッションが同じIPになるように割り当てたい
4.ProxyARPでは無くスプール専用のアドレス空間を持たせたい
5.RTSPに対応している
6.3000con/secのセッション処理性能
NetScreenだと3と4と5ができないんですよね、、、
DIPにレンジを持たせるとセッション毎に全IPでラウンドロビンになるし、
MIPはProxyARPで無くても使えるのにDIPはProxyARPしか使えない
RTPなプロトコルも全滅
2,3が特に重要でIP割当は動的におこないつつ、
同じSourceIPのセッションがあるうちは同じグローバルIPを割当てたいんです
1000万越えも辞さないんで知ってたら教えてください
166 :○anonymous:04/01/25 22:05 ID:???
>165
*BSDベースのもので対応は可能だと思われますが、、
1000万出せば、要求満たす構成を組んでGUIを付けられると思われます。
(コネクション数は、もしHTTPSとかであれば、アクセラレータ搭載すると
して計算してます)
*BSDベースのもので対応は可能だと思われますが、、
1000万出せば、要求満たす構成を組んでGUIを付けられると思われます。
(コネクション数は、もしHTTPSとかであれば、アクセラレータ搭載すると
して計算してます)
>>166
レスサンクスです
それはベースの技術を元に顧客ごとに開発/カスタマイズするような
いわゆる組み込み系Firewallってやつでしょうか?
開発までやるだけの期間が取れそうに無いのと、
開発元は小さくてもいいですが、ある程度大きな保守ベンダで24/365サポートが必要なんです
#>>165から要件増えてますね(w
NOKIA/NetScreenは制約にかかりそうなんで他を探してる次第です
レスサンクスです
それはベースの技術を元に顧客ごとに開発/カスタマイズするような
いわゆる組み込み系Firewallってやつでしょうか?
開発までやるだけの期間が取れそうに無いのと、
開発元は小さくてもいいですが、ある程度大きな保守ベンダで24/365サポートが必要なんです
#>>165から要件増えてますね(w
NOKIA/NetScreenは制約にかかりそうなんで他を探してる次第です
168 :○anonymous:04/01/26 01:38 ID:???
>167
ベースは既にあるので、カスタマイズといったところかな。
保守に関しては別会社で24/365やってるところに任せることは可能です。
ちょっとNS板から外れてしまいますが。
納期は、年度末でしょうか?それならば、なんとかなると思いますけど。
(おいおい、宣伝しても無駄だろうが>漏れ)
要件の1・2・3って、内(n)→外(m)ですよね。(n>m)
単純に、DHCPでクライアントにIP割り振って、そのIPに応じてDNATアドレス決めさせて
しまうというのは有り?(笑)3の要件があるんで、接続中は固定にしたいわけだから。
どうしても、どこかに振りたいものは、MACアドレスとかで決めるとか、VLAN切るとか。
(いまのUNIX系は、ほぼ全て対応してるから)
認識間違ってたら、指摘してください。
ルーティングプロトコルは、必要なものを設定すればいいし。
GUI無しなら、大抵間に合うでしょうねぇ。
ENさんところとかSAさんところなんかだったら余裕かも。
SAさんところは24/365もやってるし。
ベースは既にあるので、カスタマイズといったところかな。
保守に関しては別会社で24/365やってるところに任せることは可能です。
ちょっとNS板から外れてしまいますが。
納期は、年度末でしょうか?それならば、なんとかなると思いますけど。
(おいおい、宣伝しても無駄だろうが>漏れ)
要件の1・2・3って、内(n)→外(m)ですよね。(n>m)
単純に、DHCPでクライアントにIP割り振って、そのIPに応じてDNATアドレス決めさせて
しまうというのは有り?(笑)3の要件があるんで、接続中は固定にしたいわけだから。
どうしても、どこかに振りたいものは、MACアドレスとかで決めるとか、VLAN切るとか。
(いまのUNIX系は、ほぼ全て対応してるから)
認識間違ってたら、指摘してください。
ルーティングプロトコルは、必要なものを設定すればいいし。
GUI無しなら、大抵間に合うでしょうねぇ。
ENさんところとかSAさんところなんかだったら余裕かも。
SAさんところは24/365もやってるし。
169 :774 sessions:04/01/26 01:58 ID:???
>>165
3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
4. -> よくわからないが、DIPプールでは無くて?
5. -> 現行OSでは無理。マルチキャスト専用OSなら可
ここで聞くより代理店に聞いたほうがいいかと。
3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
4. -> よくわからないが、DIPプールでは無くて?
5. -> 現行OSでは無理。マルチキャスト専用OSなら可
ここで聞くより代理店に聞いたほうがいいかと。
>>169
ありがとうございます。
>3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
SticyはSourceIPハッシュで完全に固定されてしまうので要件が満たせないんです。
> 4. -> よくわからないが、DIPプールでは無くて?
失礼しました、4に関してはExtend-IPで対応できるみたいですね
下調べが甘かったようです
>ここで聞くより代理店に聞いたほうがいいかと。
NetScreenについては最初に書いた"要件を満たせない"が
代理店の回答だったんですよ
付き合いのある代理店はみんなNSとFirewall-1ぐらいしか
ハイエンド機器は扱ってないんですよね
Ciscoじゃ到底要件満たせないですし
>>168
組み込み系も検討を始めました
#リンク張ってくれたらうれしいなーなんて思ったりして、、、
#それじゃ身元バレしちゃいますかね
ありがとうございます。
>3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
SticyはSourceIPハッシュで完全に固定されてしまうので要件が満たせないんです。
> 4. -> よくわからないが、DIPプールでは無くて?
失礼しました、4に関してはExtend-IPで対応できるみたいですね
下調べが甘かったようです
>ここで聞くより代理店に聞いたほうがいいかと。
NetScreenについては最初に書いた"要件を満たせない"が
代理店の回答だったんですよ
付き合いのある代理店はみんなNSとFirewall-1ぐらいしか
ハイエンド機器は扱ってないんですよね
Ciscoじゃ到底要件満たせないですし
>>168
組み込み系も検討を始めました
#リンク張ってくれたらうれしいなーなんて思ったりして、、、
#それじゃ身元バレしちゃいますかね
171 :○anonymous:04/01/26 18:31 ID:???
>170
うちでも扱えるけど代理店じゃない製品にリンク張っておこう。
自分のところのは書けないから。。
ttp://www.astarosecuritylinux.jp/
代理店は、FC
Linux KernelがSCTPはサポートしてるんで、このソフトが要件満たすかどうかは
知らないけど、まあ、似たようなことができる製品は、色々あるので。。
対応範囲とか確認してください。<球一
うちでも扱えるけど代理店じゃない製品にリンク張っておこう。
自分のところのは書けないから。。
ttp://www.astarosecuritylinux.jp/
代理店は、FC
Linux KernelがSCTPはサポートしてるんで、このソフトが要件満たすかどうかは
知らないけど、まあ、似たようなことができる製品は、色々あるので。。
対応範囲とか確認してください。<球一
172 :○anonymous:04/01/26 18:33 ID:???
>171
寝ぼけたこと書いた>SCTP
忘れてくらはい。いま、カーネルコンパイルしていたものだから。
寝ぼけたこと書いた>SCTP
忘れてくらはい。いま、カーネルコンパイルしていたものだから。
173 :ぶ:04/01/29 16:59 ID:vv/IEGK2
NAT環境下からNSRemoteでNS-5XTにVPN張ってるんですが
Phase2 Lifetimeが切れた時にRekeyが走らない現象に悩まされて
います。
(NATじゃない環境からでも、たまにRekeyしてくれない)
今はPhase2 Lifetimeを8時間とかにしてお茶を濁していますが
同様の現象に悩まされた方、いらっしゃいます?
もう、さっぱり分かりません....
Phase2 Lifetimeが切れた時にRekeyが走らない現象に悩まされて
います。
(NATじゃない環境からでも、たまにRekeyしてくれない)
今はPhase2 Lifetimeを8時間とかにしてお茶を濁していますが
同様の現象に悩まされた方、いらっしゃいます?
もう、さっぱり分かりません....
174 :H立って技術ある?:04/01/29 23:02 ID:9Vt/xg88
>173
無通信の時間があるでしょ?
そうするとこういうの起きるよね。
名前⇒わざとばれるようにしています。
最近質落ち。。。パートナーばなれ。。。。
無通信の時間があるでしょ?
そうするとこういうの起きるよね。
名前⇒わざとばれるようにしています。
最近質落ち。。。パートナーばなれ。。。。
それぞれのバージョンぐらい書けや
176 :login:Penguin:04/01/29 23:20 ID:???
>174
そりゃ、価格が安いからって、別の代理店に仕事丸投げしてたり
するから、目立の技術陣が悪いのか、それとも、安かろう悪かろうの
ところが悪いのか不明だわな。
そりゃ、価格が安いからって、別の代理店に仕事丸投げしてたり
するから、目立の技術陣が悪いのか、それとも、安かろう悪かろうの
ところが悪いのか不明だわな。
177 : :04/01/30 01:43 ID:???
SA のライフタイムってどのくらいがお勧めなんでしょうか?
>177
セキュリティポリシーにもよると思うが、、、
1h,8h使うことが多い。短すぎると通信断しやすくなるから。
セキュリティポリシーにもよると思うが、、、
1h,8h使うことが多い。短すぎると通信断しやすくなるから。
179 : :04/01/30 03:36 ID:???
>>178
> セキュリティポリシーにもよると思うが、、、
> 1h,8h使うことが多い。短すぎると通信断しやすくなるから。
サンクス。あともう一個教えて欲しいんだけど
同一LAN上にNetscreen が2台あってそれぞれが個別に
インターネットに繋がっている(マルチホームな)環境で
両方をVPN gateway として使いたい場合、LAN 内のPC の
ルーティングを通信が入って来た方に返すようにしないと
使えないんのでしょうか?
> セキュリティポリシーにもよると思うが、、、
> 1h,8h使うことが多い。短すぎると通信断しやすくなるから。
サンクス。あともう一個教えて欲しいんだけど
同一LAN上にNetscreen が2台あってそれぞれが個別に
インターネットに繋がっている(マルチホームな)環境で
両方をVPN gateway として使いたい場合、LAN 内のPC の
ルーティングを通信が入って来た方に返すようにしないと
使えないんのでしょうか?
>>151
> こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
> NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
> アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
> 通信では払い出しアドレスを隠蔽できるってことなり。
VPN のトンネルを許可してるポリシーの設定を見ると、
NAT のところはチェック無でDIP On, DIP Off, Fix port という
設定個所がありました。社内側のインターフェースのアドレスを
DIP プールに登録して、選べばいいんでしょうか?
> こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
> NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
> アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
> 通信では払い出しアドレスを隠蔽できるってことなり。
VPN のトンネルを許可してるポリシーの設定を見ると、
NAT のところはチェック無でDIP On, DIP Off, Fix port という
設定個所がありました。社内側のインターフェースのアドレスを
DIP プールに登録して、選べばいいんでしょうか?
181 :ぶ:04/01/30 09:30 ID:PijhlfoJ
>>174
私もそうかと思ったんですが、ガンガンにデータ送信していても、
Lifetimeが切れるとぷちっと切れるんですよね...
NSRemoteのLogViewerで見た感じ、Lifetimeが切れる時に5XT側から
RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
Deleting IPSec SA (OUTBOUND SPI = ****** INBOUND SPI = *******)
ってのを貰って、ぷちっと切れて、それっきり。
>>175
失礼しました。ScreenOSが 4.0.3r5.0 でNSRemoteが8.3です。
私もそうかと思ったんですが、ガンガンにデータ送信していても、
Lifetimeが切れるとぷちっと切れるんですよね...
NSRemoteのLogViewerで見た感じ、Lifetimeが切れる時に5XT側から
RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
Deleting IPSec SA (OUTBOUND SPI = ****** INBOUND SPI = *******)
ってのを貰って、ぷちっと切れて、それっきり。
>>175
失礼しました。ScreenOSが 4.0.3r5.0 でNSRemoteが8.3です。
182 :○anonymous:04/01/30 11:59 ID:???
>179
はい、その通りです。
いま使っているNetScreenのモデルによっては、1台で
マルチホームが可能なので、そちらに変更したら楽ができます。
そうでなければ、NetScreen---Router---NetScreen
}
LAN
だとして、ルータに任せたらよいかと思います。
VPN接続元(先)が違うネットワーク構成なら、単純にスタティックルート
そうでなければ、フローティングスタティックルートを切ったりすれば良いかと
はい、その通りです。
いま使っているNetScreenのモデルによっては、1台で
マルチホームが可能なので、そちらに変更したら楽ができます。
そうでなければ、NetScreen---Router---NetScreen
}
LAN
だとして、ルータに任せたらよいかと思います。
VPN接続元(先)が違うネットワーク構成なら、単純にスタティックルート
そうでなければ、フローティングスタティックルートを切ったりすれば良いかと
>>180
なんにも考えず、NAT のところだけチェックすればいいよ。
あとの設定はイラネ
NATのとこだけチェックしておくと、出て行くインターフェースでNATされるよ
ガンガレ
#間違ってたらスマソ
なんにも考えず、NAT のところだけチェックすればいいよ。
あとの設定はイラネ
NATのとこだけチェックしておくと、出て行くインターフェースでNATされるよ
ガンガレ
#間違ってたらスマソ
184 :H立って技術ある?:04/01/30 23:42 ID:DXu/jFaJ
NS-Remoteは何時間も繋ぎッパを想定していないからな。
NSがremoteクライアントのISAKMP-SAが切れている事に気付かないこともある。
r5.0と8.3ということは自己責任じゃないのか?日立は出荷状態でリリースしていないだろ?
まぁ、違うバージョンでも同じことが怒っていたから可用性を考えたらNS同士で対向。
NSがremoteクライアントのISAKMP-SAが切れている事に気付かないこともある。
r5.0と8.3ということは自己責任じゃないのか?日立は出荷状態でリリースしていないだろ?
まぁ、違うバージョンでも同じことが怒っていたから可用性を考えたらNS同士で対向。
>>184
マニュアルキー。。。調べてみます。
>>185
繋ぎっぱ想定なし!まじすかあー
在宅勤務者用に、RASの代わりに使おうかと考えてたんですけどね。
あと、NSRemoteは最初は8.2r2(やったかな)で繋いでいたのですが、このような現象が
起きているのでNSRemote上げたら治るかなと思い、試験的に8.3にしてます。
が、同じですね...
P1 Lifetime = 1時間 P2 Lifetime = 3分 って設定で土日でいろいろ
試してみたのですが、
・非NAT環境下から
繋いだまま放置してると切れてそれっきり
しかしP2 lifetimeの間に、少なくとも25秒に1回はトンネル経由でパケットを
飛ばすとrekeyが走る。25秒以上の間隔を空けると駄目(切れてそれっきり)
・NAT環境下から
何やってもP2 lifetimeが切れたらそれっきり
という挙動でした。なんだろうこれ...
lifetimeが切れる前になるとinitiatorが動いてrekeyが走るのは、NSRemote側から
rekeyしようよーと持ちかける?それとも5XT側から?
ああもうわかんねー。長文失礼。
マニュアルキー。。。調べてみます。
>>185
繋ぎっぱ想定なし!まじすかあー
在宅勤務者用に、RASの代わりに使おうかと考えてたんですけどね。
あと、NSRemoteは最初は8.2r2(やったかな)で繋いでいたのですが、このような現象が
起きているのでNSRemote上げたら治るかなと思い、試験的に8.3にしてます。
が、同じですね...
P1 Lifetime = 1時間 P2 Lifetime = 3分 って設定で土日でいろいろ
試してみたのですが、
・非NAT環境下から
繋いだまま放置してると切れてそれっきり
しかしP2 lifetimeの間に、少なくとも25秒に1回はトンネル経由でパケットを
飛ばすとrekeyが走る。25秒以上の間隔を空けると駄目(切れてそれっきり)
・NAT環境下から
何やってもP2 lifetimeが切れたらそれっきり
という挙動でした。なんだろうこれ...
lifetimeが切れる前になるとinitiatorが動いてrekeyが走るのは、NSRemote側から
rekeyしようよーと持ちかける?それとも5XT側から?
ああもうわかんねー。長文失礼。
会社にVPN で繋がるようになりました。
でも、Windows PC でマイネットワークを開いても何も出て来ません。
Netscreen-Remote は繋がっているし、PING も届くのになんで?
もしかしてVPN じゃできないんでしょうか?
でも、Windows PC でマイネットワークを開いても何も出て来ません。
Netscreen-Remote は繋がっているし、PING も届くのになんで?
もしかしてVPN じゃできないんでしょうか?
188 :login:Penguin:04/02/02 03:53 ID:???
>187
まずはレジストリ操作しよう。(MTU)
まずはレジストリ操作しよう。(MTU)
>>187
コンピュータブラウジングについて学習してくだされ。
コンピュータブラウジングについて学習してくだされ。
190 :おっ!:04/02/02 23:41 ID:InxQx74+
>>187
http://www.ntt-east.co.jp/ephelio/vpn/ps/
これすごいよ。
Windows PC でマイネットワークは当然見えるし、
Win2003ActiveDirectoryなどのWIN認証も使えるし、
NTFSアクセス権も使える。
IPSECでここまでやるとは。。。。
http://www.ntt-east.co.jp/ephelio/vpn/ps/
これすごいよ。
Windows PC でマイネットワークは当然見えるし、
Win2003ActiveDirectoryなどのWIN認証も使えるし、
NTFSアクセス権も使える。
IPSECでここまでやるとは。。。。
191 :○anonymous:04/02/02 23:45 ID:???
>190
あまりにレベルの低い書き込みはやめようよ(笑
あまりにレベルの低い書き込みはやめようよ(笑
192 : :04/02/03 08:54 ID:???
IPsecやVPNと、ブラウジング・Windowsファイル共有の問題はまったく別なのにね
190さんへ
VPNクライアントから、IPSECを利用して、ルータをNAT越えし、
かつドメイン認証をやりたいんだけど、これなら可能なのですか?
Windowsの個人プロファイルが適用される前に
VPNクライアントが、IPSECを利用したVPNサービスを
開始させてくれるのでしょうか?
やりたい環境:
VPNクライアント+PC+一般的なBBルータ
ーーーーーインターネットーーーーーー
NETSCREEN+配下のPDCやアクセス権の効いたサーバ郡
194 : :04/02/03 23:23 ID:???
>>193
ActiveDirectory+DynamicDNSや、昔風ならWINSサーバなどを立てれば可能
根性でLMHOSTSに書いてもいいし
つ〜か、VPNの問題と、ブラウジング・ActiveDirectory・ドメイン認証は全く関係ないから
これ以上はWindows板逝け
ActiveDirectory+DynamicDNSや、昔風ならWINSサーバなどを立てれば可能
根性でLMHOSTSに書いてもいいし
つ〜か、VPNの問題と、ブラウジング・ActiveDirectory・ドメイン認証は全く関係ないから
これ以上はWindows板逝け
>>187
マイネットワークをwクリックしてPCを見たいなら、
NETBIOS over tcp/ipを有効にして、NSのおいてある環境にでもWINS
サーバを立てるといいよ。
注意!
NSRemote〜NETSCREENのVPNは、クライアントがドメイン認証できない
ため、見えてもアクセスできないことがあります。(経験談)
ブラウジングは194の言うとうりVPNの問題ではないです。
NSRemoteの問題です。
NSRemoteでは、VPNできてもNTFSアクセス権の付与された
サーバにはアクセスできず苦労した覚えがあります。
(ID・PWウインドウが出るとか、出ないサーバがあるとか。。。)
だから、みんなフルコントロールなのかも?
190の物だったらできるかもね。
これはどこに聞けばいいのかな?
まさか116?(笑)
194、マイクロソフトすれになって、すんまそ。
僕の経験がVPNソリューションの参考に
ちょっとだけでも役に立ってもらえればと。。。。
NSRemoteでトラぶってる人多いかもしれないしね。
マイネットワークをwクリックしてPCを見たいなら、
NETBIOS over tcp/ipを有効にして、NSのおいてある環境にでもWINS
サーバを立てるといいよ。
注意!
NSRemote〜NETSCREENのVPNは、クライアントがドメイン認証できない
ため、見えてもアクセスできないことがあります。(経験談)
ブラウジングは194の言うとうりVPNの問題ではないです。
NSRemoteの問題です。
NSRemoteでは、VPNできてもNTFSアクセス権の付与された
サーバにはアクセスできず苦労した覚えがあります。
(ID・PWウインドウが出るとか、出ないサーバがあるとか。。。)
だから、みんなフルコントロールなのかも?
190の物だったらできるかもね。
これはどこに聞けばいいのかな?
まさか116?(笑)
194、マイクロソフトすれになって、すんまそ。
僕の経験がVPNソリューションの参考に
ちょっとだけでも役に立ってもらえればと。。。。
NSRemoteでトラぶってる人多いかもしれないしね。
ちょっと追加事項
NSRemoteは、ブラウジングまでは可能。
(一部、AD環境ではドメイン認証されていないと不可)
ドメイン認証は不可です。
(たまにできる場合がありますが基本的にはできない!)
NSRemoteは、ブラウジングまでは可能。
(一部、AD環境ではドメイン認証されていないと不可)
ドメイン認証は不可です。
(たまにできる場合がありますが基本的にはできない!)
>196
ドメイン認証できますよ。
某社の技術陣が出来ないとわめくので、検証したことがあります。
Winの知識が無いNEが操作してたために、設定ファイルを
渡しても、まともに動かせないのがいました。(4大大手の一つ)
ただし、NS-Remoteのdeactivate, activateと、
Windowsログオン操作の順番が重要になります。
(WINSサーバがVPNの向こう側にいる際)
ドメイン認証できますよ。
某社の技術陣が出来ないとわめくので、検証したことがあります。
Winの知識が無いNEが操作してたために、設定ファイルを
渡しても、まともに動かせないのがいました。(4大大手の一つ)
ただし、NS-Remoteのdeactivate, activateと、
Windowsログオン操作の順番が重要になります。
(WINSサーバがVPNの向こう側にいる際)
198 :△匿名:04/02/04 22:34 ID:+OaqcnXM
>197
ドメイン認証できないぞ!
ユーザにグローバルグループを多くネストしたり
コンピュータ名の登録をPDCに要求するときに失敗した。
複数の2000PROにNETSCREENリモートを入れてルータ経由で試したが無理だ!
当たり前だがVPN通信そのものは問題ない。
みんなはどうしてる?
WINDOWSスレは、NETSCREENリモートの話は通用しない!
ベンダや導入者の知恵を借りたい!!
ドメイン認証できないぞ!
ユーザにグローバルグループを多くネストしたり
コンピュータ名の登録をPDCに要求するときに失敗した。
複数の2000PROにNETSCREENリモートを入れてルータ経由で試したが無理だ!
当たり前だがVPN通信そのものは問題ない。
みんなはどうしてる?
WINDOWSスレは、NETSCREENリモートの話は通用しない!
ベンダや導入者の知恵を借りたい!!
199 :○anonymous:04/02/05 00:36 ID:???
>198
Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)
起動する際には、Windowsドメインログオンをキャンセル。
NetScreen-RemoteをActivate
ドメインログオンを聞いて来る際に、ユーザ名・パスワードを入力
ドメインログオンに失敗した際にはリトライすると成功する
(VPNを張るタイミングのせいか?)
Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)
起動する際には、Windowsドメインログオンをキャンセル。
NetScreen-RemoteをActivate
ドメインログオンを聞いて来る際に、ユーザ名・パスワードを入力
ドメインログオンに失敗した際にはリトライすると成功する
(VPNを張るタイミングのせいか?)
>>197
> ただし、NS-Remoteのdeactivate, activateと、
> Windowsログオン操作の順番が重要になります。
> (WINSサーバがVPNの向こう側にいる際)
IPSec でもOK?
PPTP ならWINSとかの設定も渡すように設定できそうだけど。
例えば、IPSec で、このスレのすこし前に出てたみたいに
ルーティングを気にしなくてもいいようにLAN側でNAT を掛けたら
LAN 内から見たらNetscreen 一台ってことになるよね。
WINS の設定をNetscreen 自体が持つのか、クライアントの方の
ネットワーク設定部分に普通にローカルアドレスで指定しておいて
いいのかが分りません。できてもこの状態だと、同時に1対1でしか
使えなそう。何かいい方法ないかな?
> ただし、NS-Remoteのdeactivate, activateと、
> Windowsログオン操作の順番が重要になります。
> (WINSサーバがVPNの向こう側にいる際)
IPSec でもOK?
PPTP ならWINSとかの設定も渡すように設定できそうだけど。
例えば、IPSec で、このスレのすこし前に出てたみたいに
ルーティングを気にしなくてもいいようにLAN側でNAT を掛けたら
LAN 内から見たらNetscreen 一台ってことになるよね。
WINS の設定をNetscreen 自体が持つのか、クライアントの方の
ネットワーク設定部分に普通にローカルアドレスで指定しておいて
いいのかが分りません。できてもこの状態だと、同時に1対1でしか
使えなそう。何かいい方法ないかな?
>>199
> Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)
>
> 起動する際には、Windowsドメインログオンをキャンセル。
Windows98 とかならキャンセルできるけど、NT系では
無理なのでは?勘違いだったらスマソ。
> Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)
>
> 起動する際には、Windowsドメインログオンをキャンセル。
Windows98 とかならキャンセルできるけど、NT系では
無理なのでは?勘違いだったらスマソ。
202 :○anonymous:04/02/05 00:45 ID:???
>201
ああ、ごめん。
直接端末をPPPoEでつなぐ際の話になります。
ああ、ごめん。
直接端末をPPPoEでつなぐ際の話になります。
203 : :04/02/05 06:59 ID:???
ローカルコンピューターのアカウントで一度ログオンすればいいだろ?
あと、ドメインログオンはキャッシュすることができるから、キャッシュされたアカウントをつかってもいい
あと、ドメインログオンはキャッシュすることができるから、キャッシュされたアカウントをつかってもいい
204 :○anonymous:04/02/05 15:52 ID:???
>202
誤爆してしまった。
>200
IPSecでもOKって、どういう意味?NS-RemoteのVPNの話ですから
言わずもがなです。
NAT配下に複数台ある際の部分は、ルータによるので、なんとも。
で、なぜにWINSのアドレスがNetScreeenが云々になるのか不明。
対向のローカルIPのWINSサーバ指定になる話。
NSでもNATかかっている場合は、、、うーむ、それは避けた方がいいと思う。
せめてVirtual IP Pool使って
誤爆してしまった。
>200
IPSecでもOKって、どういう意味?NS-RemoteのVPNの話ですから
言わずもがなです。
NAT配下に複数台ある際の部分は、ルータによるので、なんとも。
で、なぜにWINSのアドレスがNetScreeenが云々になるのか不明。
対向のローカルIPのWINSサーバ指定になる話。
NSでもNATかかっている場合は、、、うーむ、それは避けた方がいいと思う。
せめてVirtual IP Pool使って
>>200
設定面倒、アドレスたくさんいるけど、LAN側でNATするとき、
DIP使ってクライアントごとに異なるアドレスでNATするような
ことはできるよ。
けど、目的が達せられるのかどうかはWindows知らないので
ワカンネ
設定面倒、アドレスたくさんいるけど、LAN側でNATするとき、
DIP使ってクライアントごとに異なるアドレスでNATするような
ことはできるよ。
けど、目的が達せられるのかどうかはWindows知らないので
ワカンネ
206 :Netscreen Remote:04/02/07 23:08 ID:???
ActiveDirectoryにログインできます。
簡単な実験手順
1. ノートPCでキャッシュされたアカウントでローカルログイン
2. Netscreen RemoteをActivate
3. DNSをActiveDirectoryが登録されているDNSに変更
4. 再度ログイン
ログインスクリプトも流れてファイルサーバへもアクセス可能!
簡単な実験手順
1. ノートPCでキャッシュされたアカウントでローカルログイン
2. Netscreen RemoteをActivate
3. DNSをActiveDirectoryが登録されているDNSに変更
4. 再度ログイン
ログインスクリプトも流れてファイルサーバへもアクセス可能!
207 :ararararara:04/02/08 23:54 ID:EL42ZRtR
190のスレにある商品を最近、私の会社に導入しました。
このUSBキーで、WINDOWSドメイン認証できるし
マイネットワークも見れてます。
キャッシュを利用しないので、新規にコンピュータのドメイン登録も
できるし、ユーザパスワード変更もVPN経由で可能です。
うちの会社で利用しているEXCHANGEも、これで解決できてます。
このキーの動きを簡単に説明すると、
---USBキーを挿してPCの電源を入れる
@このキー専用の「ID」「PW」を入力する
----OKならVPNサービス起動
----CTRL+ALT+DELが表示される
Aマイクロソフト用の「ユーザ名」「PW」「ドメイン名」を入力し選択する。
----VPN経由でNETSCREEN配下のWIN2000ADに要求をする
----ログオン完了
----あとは、LANと同じ。マイクロソフトで開発したDCOM通信を
つかうAPも利用できてしまったよ。
さらに、このキーには、仮想というかこのキー専用のIPアドレス
(NSRのインターナルIPかも?)、DNS、WINSのIPも
設定できるのでかなり便利です。
N○○の法人営業の人が教えてくれなきゃ一生わからないかも。。
使ってみてまだ数週間ですが、重宝してます。
NETSCREEN側の設定はNSRと同じく、通常のIPSEC-VPNの設定
でOKでした。NATの設定は一切してません。
このUSBキーで、WINDOWSドメイン認証できるし
マイネットワークも見れてます。
キャッシュを利用しないので、新規にコンピュータのドメイン登録も
できるし、ユーザパスワード変更もVPN経由で可能です。
うちの会社で利用しているEXCHANGEも、これで解決できてます。
このキーの動きを簡単に説明すると、
---USBキーを挿してPCの電源を入れる
@このキー専用の「ID」「PW」を入力する
----OKならVPNサービス起動
----CTRL+ALT+DELが表示される
Aマイクロソフト用の「ユーザ名」「PW」「ドメイン名」を入力し選択する。
----VPN経由でNETSCREEN配下のWIN2000ADに要求をする
----ログオン完了
----あとは、LANと同じ。マイクロソフトで開発したDCOM通信を
つかうAPも利用できてしまったよ。
さらに、このキーには、仮想というかこのキー専用のIPアドレス
(NSRのインターナルIPかも?)、DNS、WINSのIPも
設定できるのでかなり便利です。
N○○の法人営業の人が教えてくれなきゃ一生わからないかも。。
使ってみてまだ数週間ですが、重宝してます。
NETSCREEN側の設定はNSRと同じく、通常のIPSEC-VPNの設定
でOKでした。NATの設定は一切してません。
Juniper が買収ですか。
日本での体制はどうなるのかな。
日本での体制はどうなるのかな。
209 : :04/02/11 00:41 ID:???
祭りかと思ったらそうでもないね
日立は日本で一番NSの株を持ってるはずだけど、
Juniperって扱って無かったような気が、、、
少なくともSASでは売ってないだろう
今後のサポートも非常に心配
NSは比較的旧バージョンのサポートも長くやってくれてるけど
今後はどうだろうか?
あと、なんか値上がりしそうな悪寒(偏見?)
日立は日本で一番NSの株を持ってるはずだけど、
Juniperって扱って無かったような気が、、、
少なくともSASでは売ってないだろう
今後のサポートも非常に心配
NSは比較的旧バージョンのサポートも長くやってくれてるけど
今後はどうだろうか?
あと、なんか値上がりしそうな悪寒(偏見?)
210 :anonymous@ z107.219-127-36.ppp.wakwak.ne.jp:04/02/12 13:32 ID:???
いやな記事だ。
ttp://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040210/139671/
一方,ネットスクリーン側は「コメントできない」(同社のPR会社フォーカスト・コミュニケーションズの能宗正則氏)。
現行製品のサポート継続の有無に関しても「現時点では分からない」とのコメントだった。
ttp://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040210/139671/
一方,ネットスクリーン側は「コメントできない」(同社のPR会社フォーカスト・コミュニケーションズの能宗正則氏)。
現行製品のサポート継続の有無に関しても「現時点では分からない」とのコメントだった。
NS専用のリモートソフトを使わずに、Windows2000からL2TPを利用したいのですが、仮共有キーの作成は、NSのどこのメニューから作成するのでしょうか?
>> 211
マニュアル読んだ
マニュアル読んだ
すいません、NetScreen 5GTという製品で
下のような事を考えているんですが
これって可能でしょうか?
【家】 PC - ADSLモデム
|
(インターネットVPN)
|
【会社】 ADSLモデム - 5GT - サーバ
・家のPCにはNetscreen Remoteをインストール
・5GTに固定IP 1つ割り当て
・会社のサーバのIPは192.168.1.1などローカルIP
・やりたいことは、家のPCから会社のサーバのなかにある
ファイル見たりプリンタを利用したりとかする程度
日立SASの適用例見ると出来そうな感じもするんですけど
詳しい方に事前に聞いておきたくて・・・すいません
下のような事を考えているんですが
これって可能でしょうか?
【家】 PC - ADSLモデム
|
(インターネットVPN)
|
【会社】 ADSLモデム - 5GT - サーバ
・家のPCにはNetscreen Remoteをインストール
・5GTに固定IP 1つ割り当て
・会社のサーバのIPは192.168.1.1などローカルIP
・やりたいことは、家のPCから会社のサーバのなかにある
ファイル見たりプリンタを利用したりとかする程度
日立SASの適用例見ると出来そうな感じもするんですけど
詳しい方に事前に聞いておきたくて・・・すいません
線がずれてしまいました
言うまでもありませんが、PC - モデム - (VPN) - モデム
です。ごめんなさい
言うまでもありませんが、PC - モデム - (VPN) - モデム
です。ごめんなさい
家庭内LANのIP体系を会社とかぶらないように
すれば楽にできると思うよ。
プリンタに関しては、プリンタが、どこに接続されているか、
また、その印刷受け付けIPアドレスがどうなっているか、とか
まあ、考えないといけないことはあるけれど、
両方の設定を触っていいなら、楽勝パターン
すれば楽にできると思うよ。
プリンタに関しては、プリンタが、どこに接続されているか、
また、その印刷受け付けIPアドレスがどうなっているか、とか
まあ、考えないといけないことはあるけれど、
両方の設定を触っていいなら、楽勝パターン
>>215
ちょっと気になった、というか勘違いしてたんですけど
サーバにも固定IP(グローバルIP)が必要だったりするのかなぁと
思いまして、念のため確認させていただきました。
プリンタはサーバに接続されているので多分大丈夫だと思います
ありがとうございました
ちょっと気になった、というか勘違いしてたんですけど
サーバにも固定IP(グローバルIP)が必要だったりするのかなぁと
思いまして、念のため確認させていただきました。
プリンタはサーバに接続されているので多分大丈夫だと思います
ありがとうございました
217 :リモートアクセス:04/02/21 11:40 ID:NIJUVFL9
>>213さんの構成で会社のサーバのファイル共有を見る場合は
どうしたらいいのでしょうか?
コマンドプロンプトで START サーバのIPアドレスで見れるとは、思うのですが・・・
NS VPNクライアントソフトをインストールしたら他にやり方があるのでしょうか?
どうしたらいいのでしょうか?
コマンドプロンプトで START サーバのIPアドレスで見れるとは、思うのですが・・・
NS VPNクライアントソフトをインストールしたら他にやり方があるのでしょうか?
NS-Remote つながんないわ、マニュアル英語だわ
しかもマニュアルのOS、バージョンが古いやつだから
実際の画面と違うわ、なんかハメられた気分
しかもマニュアルのOS、バージョンが古いやつだから
実際の画面と違うわ、なんかハメられた気分
質問です。
NS-Remote をインストールしたら、使ってないときでも MTU が固定されていたりして嫌な気分です。
NS-Remote を使っていないときは無効にしたい(バックグラウンドでの起動を止めたい)のですが、
どなたか方法をご存じでしょうか?
WindowsXP(home)SP1
NetScreen-Remote 9.0.1(Build 12)
NS-Remote をインストールしたら、使ってないときでも MTU が固定されていたりして嫌な気分です。
NS-Remote を使っていないときは無効にしたい(バックグラウンドでの起動を止めたい)のですが、
どなたか方法をご存じでしょうか?
WindowsXP(home)SP1
NetScreen-Remote 9.0.1(Build 12)
220 :_:04/02/23 21:17 ID:d++lATu1
>>217
「\\192.168.1.1」とかじゃダメ?
それ以上を望むならWindowsNetworkの勉強を。
>>218
たいていの代理店なら日本語の設定マニュアルは持ってるはず。
つながらない理由は設定ミスや相性な場合も多く。
たまにBOX側のBUGなんてのもあったけどね。
>>219
仕様。Deactiveでは変わらない。レジストリ直イジリは自己責任で。
「\\192.168.1.1」とかじゃダメ?
それ以上を望むならWindowsNetworkの勉強を。
>>218
たいていの代理店なら日本語の設定マニュアルは持ってるはず。
つながらない理由は設定ミスや相性な場合も多く。
たまにBOX側のBUGなんてのもあったけどね。
>>219
仕様。Deactiveでは変わらない。レジストリ直イジリは自己責任で。
>217
hostsとlmhostsに記述して、コンピュータ名で検索したらでてきたよ。
>220
はい、設定ミスでした・・・(Phase 1 のところの方式間違い ベタでスイマセン)
日本語マニュアルはインストールのとこまでしかなくて、そのあとは
英語のPDFとにらめっこ。英語そのものはそーんなに難しいもんじゃないんだけど
図と文章が微妙にかみあってなくて、イライラしちまいました。
Trust内にあるサーバのなかのファイル見たりとか、そのへんは
とりあえず問題なく出来ました。今はODBCでのDB接続がうまくいかなくて
なんでだろうと格闘中です(telnetでポート指定して接続かけてみると
つながってるようにみえるんだけど)
あと、細かいことなんだけど、タスクバーのNS-Remoteアイコン右クリックすると
タスクバーのメニューが重なって出てきてヤな感じ
(Windows XP対応と書いてあったが、ホントにちゃんと対応してるのかなぁ)
hostsとlmhostsに記述して、コンピュータ名で検索したらでてきたよ。
>220
はい、設定ミスでした・・・(Phase 1 のところの方式間違い ベタでスイマセン)
日本語マニュアルはインストールのとこまでしかなくて、そのあとは
英語のPDFとにらめっこ。英語そのものはそーんなに難しいもんじゃないんだけど
図と文章が微妙にかみあってなくて、イライラしちまいました。
Trust内にあるサーバのなかのファイル見たりとか、そのへんは
とりあえず問題なく出来ました。今はODBCでのDB接続がうまくいかなくて
なんでだろうと格闘中です(telnetでポート指定して接続かけてみると
つながってるようにみえるんだけど)
あと、細かいことなんだけど、タスクバーのNS-Remoteアイコン右クリックすると
タスクバーのメニューが重なって出てきてヤな感じ
(Windows XP対応と書いてあったが、ホントにちゃんと対応してるのかなぁ)
223 :anonymous@ ns.wako-cs.jp:04/02/25 22:37 ID:???
NS50を使ってワンタイムパスワード認証を使用しようと考えています。
(RADIUSクライアントはNS50)
NSremoteクライアント拠点は93拠点あり、ワンタイムで認証完了後に
ippoolで動的にプライベートIPをクライアントに振る設定にしなければ
ならないのですが、どういった設定を施す必要があるのでしょうか?
認証センターまでVPNを張るというのは分かるのですが、認証要求を
認証センターに転送ですとか、動的にクライアントにアドレスをふる方法
(ルート情報はどうなるのでしょうか?)というのがよく分かりません。
素人で申し訳ありません…。
よろしければご教授の程お願い致します。
(RADIUSクライアントはNS50)
NSremoteクライアント拠点は93拠点あり、ワンタイムで認証完了後に
ippoolで動的にプライベートIPをクライアントに振る設定にしなければ
ならないのですが、どういった設定を施す必要があるのでしょうか?
認証センターまでVPNを張るというのは分かるのですが、認証要求を
認証センターに転送ですとか、動的にクライアントにアドレスをふる方法
(ルート情報はどうなるのでしょうか?)というのがよく分かりません。
素人で申し訳ありません…。
よろしければご教授の程お願い致します。
225 :かず:04/02/27 18:48 ID:1UsE8kZO
社内でNETSCREEN25を利用してBフレッツ(ODN)に接続しています。
これが、通常問題なく接続できているのですが、たまに接続できなくなって
しまいます。日に数回切れることもあります。
NSを再起動すると回復するのですが、なにかポイントになるような
確認点はないでしょうか?
これが、通常問題なく接続できているのですが、たまに接続できなくなって
しまいます。日に数回切れることもあります。
NSを再起動すると回復するのですが、なにかポイントになるような
確認点はないでしょうか?
>225
ログには何か出てないのかな
ログには何か出てないのかな
227 :かず:04/02/28 09:52 ID:BeF9epPr
>226
それが、らしいものは出ていないんです。。
といっても全てのログを読解できているわけではないんですが。
でも、接続できなくなりそうな内容のものは無かったと思います。
それが、らしいものは出ていないんです。。
といっても全てのログを読解できているわけではないんですが。
でも、接続できなくなりそうな内容のものは無かったと思います。
228 :anonymous@ 210.249.106.39:04/02/28 17:20 ID:???
ハブアンドスコープの設定が出来ねーよ、もまいら
設定のキモを教えてください、おまいら。
設定のキモを教えてください、おまいら。
>>227
回線側に問題は?
>>228
まずハブアンドスコープについて説明汁!
と突き放すのも可哀相なんで、まずマニュアル見て全く同じに作ってみろ。
アレンジはそれからだ。ProxyIDに気をつけろ〜。
回線側に問題は?
>>228
まずハブアンドスコープについて説明汁!
と突き放すのも可哀相なんで、まずマニュアル見て全く同じに作ってみろ。
アレンジはそれからだ。ProxyIDに気をつけろ〜。
>>229
漏れもそうくるだろうと思ってた罠
厨といわれないように、一応、まにゅある読みますた
第4部第3章ハブアンドスコープ方式VPN。
でもできなカターヨД`)・゚・。・゚゚・*:.。..。.:*・゚
ProxyIDに気をつけるくらいでつか?
しかし、今手元にはNetscreenひとつしかないよ
αβοοη..._〆(゚▽゚*)でつか?
漏れもそうくるだろうと思ってた罠
厨といわれないように、一応、まにゅある読みますた
第4部第3章ハブアンドスコープ方式VPN。
でもできなカターヨД`)・゚・。・゚゚・*:.。..。.:*・゚
ProxyIDに気をつけるくらいでつか?
しかし、今手元にはNetscreenひとつしかないよ
αβοοη..._〆(゚▽゚*)でつか?
>227
PPPoEの設定はどんなもんかな
PPPoEの設定はどんなもんかな
232 :かず:04/02/28 23:02 ID:BeF9epPr
>229
回線側に問題がある場合もなくはないのですが・・・・
実際、そのうち数回はフレッツ網の障害でした。
でも、それ以外は回線側に問題はないみたいです。
>231
PPPoEの設定で、切れてしまう原因になりそうな部分ってどこらあたり
でしょう?
回線側に問題がある場合もなくはないのですが・・・・
実際、そのうち数回はフレッツ網の障害でした。
でも、それ以外は回線側に問題はないみたいです。
>231
PPPoEの設定で、切れてしまう原因になりそうな部分ってどこらあたり
でしょう?
234 :207の利用者:04/02/29 13:37 ID:EUJKybMZ
>225
set pppoe auto 15
だったかな?
コマンドを、ここの技術担当から聞いたことがある。
当然入ってると思いますが、
今一度、ご確認を。。
set pppoe auto 15
だったかな?
コマンドを、ここの技術担当から聞いたことがある。
当然入ってると思いますが、
今一度、ご確認を。。
235 :ハズアンド嫁:04/03/01 00:38 ID:qkKzmnGJ
ハブアンドスコープじゃなくて、ハブアンドスポークだろう。
マニュアルを、よく嫁。
変な2ch用語を流行させてくれるなよ。
マニュアルを、よく嫁。
変な2ch用語を流行させてくれるなよ。
236 :_:04/03/01 11:50 ID:G9OBrqdT
ScreenOSのリリースノートってどこに掲載されてるんだろう?
バグ修正関係の情報が欲しいのですが・・・
私の使っているのは5XT+4.0.3r3です。
バグ修正関係の情報が欲しいのですが・・・
私の使っているのは5XT+4.0.3r3です。
237 :○anonymous:04/03/01 12:42 ID:???
>236
www.netscree.com
www.netscree.com
238 :かず:04/03/01 17:44 ID:8ti3HoAM
>233
LCP echoでkeepaliveとかlcp-echo-retriesとlcp-echo-timeoutとかとは、
具体的にはcinfigを編集するってことでしょうか?
今のconfigにはPPPに関するような部分はないのですが。。。
>234
set pppoe auto 15
これって、WEBの設定画面からconfigを保管してテキストを編集して、リプレースすればいいのでしょうか?
configを確認したのですが、はいっていませんでした。
ところで、これはどんな意味なのでしょうか?
初歩的な質問で申し訳ありませんが、宜しくお願いします。
LCP echoでkeepaliveとかlcp-echo-retriesとlcp-echo-timeoutとかとは、
具体的にはcinfigを編集するってことでしょうか?
今のconfigにはPPPに関するような部分はないのですが。。。
>234
set pppoe auto 15
これって、WEBの設定画面からconfigを保管してテキストを編集して、リプレースすればいいのでしょうか?
configを確認したのですが、はいっていませんでした。
ところで、これはどんな意味なのでしょうか?
初歩的な質問で申し訳ありませんが、宜しくお願いします。
>>236
買ったところでくれるでしょ、普通。
>>238
CLI
auto-connect >>
the number of seconds after which a previously closed connection is re-initiated.
買ったところでくれるでしょ、普通。
>>238
CLI
auto-connect >>
the number of seconds after which a previously closed connection is re-initiated.
>>238
set pppoe auto-connect <1-10000, seconds>
set pppoe ppp lcp-echo-retries <1-30, times>
set pppoe ppp lcp-echo-timeout <1-1000, seconds>
結局、これらでナニをするかというと、LCP echoでkeepaliveしているのに
BASが多忙でLCP echo replyを返さない? 為に早まってPPP(とPPPoE) sess
をScreenOSで落としちゃわないようにするというところですか。
マニュアル読んでみてください。
set pppoe auto-connect <1-10000, seconds>
set pppoe ppp lcp-echo-retries <1-30, times>
set pppoe ppp lcp-echo-timeout <1-1000, seconds>
結局、これらでナニをするかというと、LCP echoでkeepaliveしているのに
BASが多忙でLCP echo replyを返さない? 為に早まってPPP(とPPPoE) sess
をScreenOSで落としちゃわないようにするというところですか。
マニュアル読んでみてください。
すみません。もの凄く厨房な質問ですみません。
HAインターフェースには当然IPアドレスを割り当てるのですよね?
HAインターフェースには当然IPアドレスを割り当てるのですよね?
>>241
InterfaceにHAゾーンを割り当てるだけでOK
InterfaceにHAゾーンを割り当てるだけでOK
>>242
実は漏れもそう思ってたんですよ。
でも、
[Report]→[Interface]→[Flow Counters]→[Ethernet4]を見ると、
Master in packets 0 out packets 4143881
Backup in packets 0 out packets 2274761
というようにoutだけなんですね。
これで大丈夫なんだろうか?と、ちょっと心配になったわけなんです。
一応、何度もケーブルの抜き差しをやってテストしているので、
切り替わりは問題は無いのですが、ちょっと気持ち悪くて・・・。
実は漏れもそう思ってたんですよ。
でも、
[Report]→[Interface]→[Flow Counters]→[Ethernet4]を見ると、
Master in packets 0 out packets 4143881
Backup in packets 0 out packets 2274761
というようにoutだけなんですね。
これで大丈夫なんだろうか?と、ちょっと心配になったわけなんです。
一応、何度もケーブルの抜き差しをやってテストしているので、
切り替わりは問題は無いのですが、ちょっと気持ち悪くて・・・。
244 : :04/03/04 20:42 ID:9Y38jwUu
httpをproxyできるような機能ってある?
NS以外にもこのようなことができるFWって
知っている?
NS以外にもこのようなことができるFWって
知っている?
245 :oooo:04/03/05 23:50 ID:jXt1kQe9
>244
NS以外は、他のスレに逝け!
ここは「NETSCREEN」スレ。
わかるよね。
だが。。。
おばかちゃんには、おばかちゃんのFW、「ふぉ〜と、ノックす」
を紹介しよう。。。
あほでうざいレス入らないのであしからず。
逝け!ワラタ!スマソ!ってスレ用語?
NS以外は、他のスレに逝け!
ここは「NETSCREEN」スレ。
わかるよね。
だが。。。
おばかちゃんには、おばかちゃんのFW、「ふぉ〜と、ノックす」
を紹介しよう。。。
あほでうざいレス入らないのであしからず。
逝け!ワラタ!スマソ!ってスレ用語?
246 :anonymous@ YahooBB219198088002.bbtec.net:04/03/09 02:21 ID:2WNQF4yN
500番のportを開けたら、自宅からNAT越えできるようになったのですが、
これってセキュリティ上問題はないのでしょうか?
派遣先でNATの設定を変えてもらう際、色々説明する必要があるのですが、
500番のportを開けることが、どのくらい問題になるかを知りたいです。
これってセキュリティ上問題はないのでしょうか?
派遣先でNATの設定を変えてもらう際、色々説明する必要があるのですが、
500番のportを開けることが、どのくらい問題になるかを知りたいです。
247 :anonymous@ YahooBB219198088002.bbtec.net:04/03/09 02:22 ID:???
fusiana?!
NetScreen5GT PlusのDual-Untrust使用のについてお聞きします。
5GTのトンネル制限が10ですがFailover機能を利用した場合
対地が5になってしまうんでしょうか? 今はトンネルを
対地毎に2本引いてバックアップ機能は動いていますが10対地引く
事が可能であれば何らかのヒントもしくはこんなので動くとか教えて
ください。
現在は TrackIPを対地の2つの固定IP向けて動かしています。
センター側が10対地引きたいんです。
5GTのトンネル制限が10ですがFailover機能を利用した場合
対地が5になってしまうんでしょうか? 今はトンネルを
対地毎に2本引いてバックアップ機能は動いていますが10対地引く
事が可能であれば何らかのヒントもしくはこんなので動くとか教えて
ください。
現在は TrackIPを対地の2つの固定IP向けて動かしています。
センター側が10対地引きたいんです。
250 :かず:04/03/11 17:15 ID:dapdRlvT
>240
説明が不足していました。申し訳ありません。
うちの環境は、Bフレッツ->ルーター(YAMAHA RTX1000)->Netscreen です。
教えていただいた設定は、Bフレッツ->Netscreen の場合ですよね?
この環境の場合では、なにか確認すべき点はないでしょうか?
説明が不足していました。申し訳ありません。
うちの環境は、Bフレッツ->ルーター(YAMAHA RTX1000)->Netscreen です。
教えていただいた設定は、Bフレッツ->Netscreen の場合ですよね?
この環境の場合では、なにか確認すべき点はないでしょうか?
それじゃNetScreenのPPPoE設定についてなんていう
最初の質問自体が無意味
Yamahaルータのサイト見に行くべし
最初の質問自体が無意味
Yamahaルータのサイト見に行くべし
252 :かず:04/03/11 18:05 ID:dapdRlvT
>251
そうかもしれませんが、NSを再起動するだけで接続できるので、NS側になにか
あるのかと思ったのですが、、、
そうかもしれませんが、NSを再起動するだけで接続できるので、NS側になにか
あるのかと思ったのですが、、、
>252
NSはどんな目的で使ってるのかな
ルータがあってNSがあって・・・だけでわ、これ以上は難しい
NSはどんな目的で使ってるのかな
ルータがあってNSがあって・・・だけでわ、これ以上は難しい
254 :かず:04/03/12 08:55 ID:RB3CkIxf
>253
FWとしてNATモードで利用しています。
trustとuntrust、ポリシーの設定くらいしかしていないのですが・・・
ほかに何かお伝えするべき情報があれば教えてください。
FWとしてNATモードで利用しています。
trustとuntrust、ポリシーの設定くらいしかしていないのですが・・・
ほかに何かお伝えするべき情報があれば教えてください。
使ってるPCの台数とか、通信の目的(WEB見るとかメールするとか)
あとはトラフィック量がわかるとなおよさげ
あとはトラフィック量がわかるとなおよさげ
256 :かず:04/03/12 13:51 ID:RB3CkIxf
>255
利用しているPCの台数は、最大で約150台です。
用途は主にWEB閲覧とメールの送受信、ftp。
POP,SMTP,httpサーバー等は外部ホスティングしています。
トラフィック量は、具体的にはわかりませんが、3MB程度の添付付きメール
は、日常茶飯事です。、
利用しているPCの台数は、最大で約150台です。
用途は主にWEB閲覧とメールの送受信、ftp。
POP,SMTP,httpサーバー等は外部ホスティングしています。
トラフィック量は、具体的にはわかりませんが、3MB程度の添付付きメール
は、日常茶飯事です。、
>256
NS-25なら問題ない範囲のトラフィックっぽいけど・・・
負荷見るのに手っ取り早いのは Administration Tools (GUIのほうね)で
接続時に最初に表示される画面の Resources Status みること、かな?
ScreenOSのバージョンあげてみるのも手かも
あんま回答になってなくてスマソ
NS-25なら問題ない範囲のトラフィックっぽいけど・・・
負荷見るのに手っ取り早いのは Administration Tools (GUIのほうね)で
接続時に最初に表示される画面の Resources Status みること、かな?
ScreenOSのバージョンあげてみるのも手かも
あんま回答になってなくてスマソ
set age
259 : :04/03/22 20:08 ID:ROvuLguj
最近は安定しておもろくねえな
昔はsniffer持って走り回ったもんだ
昔はsniffer持って走り回ったもんだ
260 : :04/03/22 21:01 ID:???
261 :anonymous@ eatkyo056060.adsl.ppp.infoweb.ne.jp:04/03/25 23:33 ID:???
5.0.0系のファームへUpした人いますか?
メジャーアップデートなんでちょっと不安なんです。
もし、体験者がいましたら判るところだけで構いませんので教えてください。
(4.0.3系からのアップを前提で)
不安1 Configはすべて維持されますか?
不安2 アップデート後、自動でVPNは復活しますか?
不安3 リモートからのアップデート作業でも問題ありませんか?
不安4 PPPoEの接続は自動で復活しましたか?
不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?
メジャーアップデートなんでちょっと不安なんです。
もし、体験者がいましたら判るところだけで構いませんので教えてください。
(4.0.3系からのアップを前提で)
不安1 Configはすべて維持されますか?
不安2 アップデート後、自動でVPNは復活しますか?
不安3 リモートからのアップデート作業でも問題ありませんか?
不安4 PPPoEの接続は自動で復活しましたか?
不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?
262 : :04/04/02 21:25 ID:w6YgfOvJ
VerUPリモートってよほど根性ないとできんな
新バージョンのを送って交換後古いのを送り返してもらうとか、もっと考えれんのか?
新バージョンのを送って交換後古いのを送り返してもらうとか、もっと考えれんのか?
>261
> 5.0.0系のファームへUpした人いますか?
いくつかやってみました^^;
> メジャーアップデートなんでちょっと不安なんです。
> もし、体験者がいましたら判るところだけで構いませんので教えてください。
>
> (4.0.3系からのアップを前提で)
> 不安1 Configはすべて維持されますか?
とりあえず大丈夫でした。上げたVersionは5.0.0r4です
実験した機種 NS-5GT/5XT/25/204/5200
> 不安2 アップデート後、自動でVPNは復活しますか?
運良く復旧しました。
> 不安3 リモートからのアップデート作業でも問題ありませんか?
とりあえずOKでした。4から5へのアップデートはFileFormat変換やるので、長期にわたって応答がなくなるので不安でした。
> 不安4 PPPoEの接続は自動で復活しましたか?
なんとか復旧しました。
> 不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
これは問題なかった。もっと古いバージョンとも繋がりました
> 不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
勝手には変わりませんでした。
> 不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?
とりあえず、うまくいった。
とりあえずラッキーでした^^;
> 5.0.0系のファームへUpした人いますか?
いくつかやってみました^^;
> メジャーアップデートなんでちょっと不安なんです。
> もし、体験者がいましたら判るところだけで構いませんので教えてください。
>
> (4.0.3系からのアップを前提で)
> 不安1 Configはすべて維持されますか?
とりあえず大丈夫でした。上げたVersionは5.0.0r4です
実験した機種 NS-5GT/5XT/25/204/5200
> 不安2 アップデート後、自動でVPNは復活しますか?
運良く復旧しました。
> 不安3 リモートからのアップデート作業でも問題ありませんか?
とりあえずOKでした。4から5へのアップデートはFileFormat変換やるので、長期にわたって応答がなくなるので不安でした。
> 不安4 PPPoEの接続は自動で復活しましたか?
なんとか復旧しました。
> 不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
これは問題なかった。もっと古いバージョンとも繋がりました
> 不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
勝手には変わりませんでした。
> 不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?
とりあえず、うまくいった。
とりあえずラッキーでした^^;
265 :kk:04/04/08 19:58 ID:+ea7+C+N
ご教授願います。
当方、固定IP1のBフレッツでNS25(4.0.3r4.0)を使っています。
DMZにインターネットからアクセスされるWebサーバを設置したいのですが、
(tcp80とtcp443だけサーバに転送させたい)
固定IPが1個では、WebUIからはVIP設定が出来ませんでした。
コマンドラインから上記の設定って可能なのでしょうか?
やはり不可能なのでしょうか?
よろしくお願いします。
当方、固定IP1のBフレッツでNS25(4.0.3r4.0)を使っています。
DMZにインターネットからアクセスされるWebサーバを設置したいのですが、
(tcp80とtcp443だけサーバに転送させたい)
固定IPが1個では、WebUIからはVIP設定が出来ませんでした。
コマンドラインから上記の設定って可能なのでしょうか?
やはり不可能なのでしょうか?
よろしくお願いします。
>>264
ご丁寧にありがとうございます。
特にリモートアップデートがうまくいくのか不安でしたので、、、
でもアップデート後でも、最悪PPPoEだけはつながることを信じればUntrustのWebUIに
チェックを入れておけば何とかなりそうですね。
>>265
VIPでなくMIPで行けませんか?
Interfaceで作成後、Untrust To Globalでhttpとhttpsをサーバーに向けて許可すれば行
けると思うんですが。
...ところでこの前、5GTのフタを開けてみました。
びっくりしました。NetScreenのASIC(GigaScreen?)が無くなってIntelのワンチップになっていました。
PowerPCも無くなってスカスカです。
てっきり5XTより少し筐体が大きいので、もっとみっちり詰まっているのかと思ってたです。
ご丁寧にありがとうございます。
特にリモートアップデートがうまくいくのか不安でしたので、、、
でもアップデート後でも、最悪PPPoEだけはつながることを信じればUntrustのWebUIに
チェックを入れておけば何とかなりそうですね。
>>265
VIPでなくMIPで行けませんか?
Interfaceで作成後、Untrust To Globalでhttpとhttpsをサーバーに向けて許可すれば行
けると思うんですが。
...ところでこの前、5GTのフタを開けてみました。
びっくりしました。NetScreenのASIC(GigaScreen?)が無くなってIntelのワンチップになっていました。
PowerPCも無くなってスカスカです。
てっきり5XTより少し筐体が大きいので、もっとみっちり詰まっているのかと思ってたです。
>>266 (261さん)
ありがとうございます。
すみません。以下のようにすると言う事でしょうか?
untrustのインターフェースのMIP画面で、
Mapped IP : DMZ上のサーバIP
Netmask : DMZ上のサーバmask
Host IP Address : グローバルIP(固定)
Host Virtual Router Name : "untrust-vr" or "trust-vr"
として、ポリシーの設定で必要ポートを許可する。
ありがとうございます。
すみません。以下のようにすると言う事でしょうか?
untrustのインターフェースのMIP画面で、
Mapped IP : DMZ上のサーバIP
Netmask : DMZ上のサーバmask
Host IP Address : グローバルIP(固定)
Host Virtual Router Name : "untrust-vr" or "trust-vr"
として、ポリシーの設定で必要ポートを許可する。
268 :-:04/04/11 03:59 ID:3yB3YNxU
リモートアクセスVPN環境を作りたいのですが、こんな事は可能ですか?
・認証はNetScreen内に登録したユーザ名とパスワードを使う
・NetScreen内に設定したIPプールをクライアントに自動的に割り振る
CiscoVPN3000では出来ているんですが。
・認証はNetScreen内に登録したユーザ名とパスワードを使う
・NetScreen内に設定したIPプールをクライアントに自動的に割り振る
CiscoVPN3000では出来ているんですが。
269 :Phoenix ◆Q3kRG0vwM2 :04/04/11 13:31 ID:???
>>267
Mapped IPとHost IPが逆ですよ。
あとはtrust-vrを選択でOKです。
もちろん1IPをサービスごとに別のサーバにNATをかけたり、ポート変換を行う様なときは
VIPを使って設定します。
Mapped IPとHost IPが逆ですよ。
あとはtrust-vrを選択でOKです。
もちろん1IPをサービスごとに別のサーバにNATをかけたり、ポート変換を行う様なときは
VIPを使って設定します。
271 :as:04/04/14 20:47 ID:VAj1tKsI
>248 :伝書鳩 :04/03/10 09:19 ID:???
>>>246
>バックドアの元凶になる「isakmp」を通す危険性があります。
>これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。
具体的にはどのような問題でしょうか?
Trust→UnTrustへのUDP500をあけたということですよね??
それともUnTrust→Trust?
>>>246
>バックドアの元凶になる「isakmp」を通す危険性があります。
>これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。
具体的にはどのような問題でしょうか?
Trust→UnTrustへのUDP500をあけたということですよね??
それともUnTrust→Trust?
272 :anonymous@ p6197-adsau16honb11-acca.tokyo.ocn.ne.jp:04/04/14 23:25 ID:???
古屋死ね
274 :anonymous@ usen-221x114x239x253.ap-US01.usen.ad.jp:04/04/16 04:04 ID:???
非常に初歩的な質問で申し訳ないのですが、
NS5GTは、最大トンネル数が10ですが、
Netscreen-Remoteからの通信も1トンネルとしてカウントするんでしょうか。
2つの拠点にそれぞれ5GTを設置してVPNを構築し、
それとは別に20台のリモート端末からのアクセスを考えているのですが、可能なのでしょうか?
NS5GTは、最大トンネル数が10ですが、
Netscreen-Remoteからの通信も1トンネルとしてカウントするんでしょうか。
2つの拠点にそれぞれ5GTを設置してVPNを構築し、
それとは別に20台のリモート端末からのアクセスを考えているのですが、可能なのでしょうか?
275 :○anonymous:04/04/16 10:15 ID:???
>274
Remoteからも1トンネルです。
同時に20台、、で無ければ(トンネル上限を超えなければ)可能です。
Remoteからも1トンネルです。
同時に20台、、で無ければ(トンネル上限を超えなければ)可能です。
276 :まな:04/04/16 11:22 ID:uzYeNrGR
NetScreen25の保守なんですが、保守にはいってもScreenOSのバージョンアップ
は、年に1度しかできないといわれました。年間何度でもバージョンアップするなら
9万くらいかかる別の契約を結ばないといけないらしいのですが、どこでもそうなの
でしょうか?
は、年に1度しかできないといわれました。年間何度でもバージョンアップするなら
9万くらいかかる別の契約を結ばないといけないらしいのですが、どこでもそうなの
でしょうか?
277 :○anonymous:04/04/16 11:40 ID:???
>276
NS25のソフトウェアサブスクリプションは、年額9万円で、
これを支払わない限り、購入後3ヶ月(だったかな?)の
バージョンアップ以外は「ライセンス違反」だったと思うのですが。
年に1度もダメだった筈ですけど、どこのベンダさんかな?
NS25のソフトウェアサブスクリプションは、年額9万円で、
これを支払わない限り、購入後3ヶ月(だったかな?)の
バージョンアップ以外は「ライセンス違反」だったと思うのですが。
年に1度もダメだった筈ですけど、どこのベンダさんかな?
278 :まな:04/04/16 12:02 ID:uzYeNrGR
購入後90日までは別として、保守契約を結ぶと1回はバージョンアップできるようなんですが、
これも、はっきりしてません。
やはり、年間通してバージョンアップするには9万かかるんですね。。
保守は、ファーストデリバリーとかいってました。。
有難うございました。
これも、はっきりしてません。
やはり、年間通してバージョンアップするには9万かかるんですね。。
保守は、ファーストデリバリーとかいってました。。
有難うございました。
281 :だちょ:04/04/16 14:47 ID:uzYeNrGR
おせわになります。
暗中模索状態なので、よろしくお願いします。
NetScreen25を利用してEth2をDMZとして利用したいと考えています。
そのDMZに公開用WEBサーバーを設置したいのですが、
いろいろ調べているのですが、LAN内にあるサーバーに対してMIPで
見に行く方法はわかったのですが、Eth2を使う場合がよくわかりません。
マニュアルのどのあたりをみるべきなのかもわからない状態です。
よろしくお願いします。
暗中模索状態なので、よろしくお願いします。
NetScreen25を利用してEth2をDMZとして利用したいと考えています。
そのDMZに公開用WEBサーバーを設置したいのですが、
いろいろ調べているのですが、LAN内にあるサーバーに対してMIPで
見に行く方法はわかったのですが、Eth2を使う場合がよくわかりません。
マニュアルのどのあたりをみるべきなのかもわからない状態です。
よろしくお願いします。
282 :anonymous@ p5160-air01hon128k.tokyo.ocn.ne.jp:04/04/16 15:56 ID:X6tgI/CC
DNSリレーを利用することってできないのでしょうか。。。
283 :anonymous@ YahooBB219028200006.bbtec.net:04/04/16 22:40 ID:b2ppBQU6
netscreen50にns-remote8でvpnで通信してます。
Yahoo!BB経由でアクセスすると
すこし大きなファイルを転送すると通信が止まります。
mtuの問題でしょうか?
どなたかYahoo!BBでの実績があれば教えてください。
Yahoo!BB経由でアクセスすると
すこし大きなファイルを転送すると通信が止まります。
mtuの問題でしょうか?
どなたかYahoo!BBでの実績があれば教えてください。
284 : :04/04/17 01:52 ID:???
>>281
基本は5XT等の場合とおなじです。
UntrustのInterfaceでMIPまたはVIPを設定して、ポリシーでUntrust to Globalでサービスごとに
Permitを決めるだけです。
この場合、DMZへ向かうポリシー設定をしていないように感じますが、MIPでHostをDMZに向け
たときにマッピングされているので不要になります。
基本は5XT等の場合とおなじです。
UntrustのInterfaceでMIPまたはVIPを設定して、ポリシーでUntrust to Globalでサービスごとに
Permitを決めるだけです。
この場合、DMZへ向かうポリシー設定をしていないように感じますが、MIPでHostをDMZに向け
たときにマッピングされているので不要になります。
すみません全くのシロウトなのですが。だれか教えて。。
netscreen-remote8.1で自宅PCから会社のLANに繋ごうとしているのですが、
うまくいきません。自宅はADSL yahooBBモデムで自宅内で無線LANしています。
会社はNetscreenではなくFaitelnetなのですが設定済みで
他の人の自宅からは問題なくRemote接続できます。(ブロードバンドでも
なんでもない接続)
ぅぅぅ誰か教えてぇ〜
netscreen-remote8.1で自宅PCから会社のLANに繋ごうとしているのですが、
うまくいきません。自宅はADSL yahooBBモデムで自宅内で無線LANしています。
会社はNetscreenではなくFaitelnetなのですが設定済みで
他の人の自宅からは問題なくRemote接続できます。(ブロードバンドでも
なんでもない接続)
ぅぅぅ誰か教えてぇ〜
>285
Yahoo BBモデムの仕様は知らないけど
NAT-Traversal回りの設定じゃないのかな。
直接ダイアルアップは動いているっていうし。
Yahoo BBモデムの仕様は知らないけど
NAT-Traversal回りの設定じゃないのかな。
直接ダイアルアップは動いているっていうし。
288 :sage:04/04/20 22:41 ID:hIEU3vPh
eth1 trust(private)、eth3 untrust(global)でLAN間VPNさせるんですが、
tunnel.1作ってトンネル掘るときに、unnumberedでつけるインタフェースは
eth3ですか?eth1ですか?普通に考えると(マニュアルでもそうなんですが)
素直にglobalのついてるeth3を持ってくるんですが、privateのeth1を設定
するというのもあうらしいのですが、どっちが普通の作法なんでしょうか?
tunnel.1作ってトンネル掘るときに、unnumberedでつけるインタフェースは
eth3ですか?eth1ですか?普通に考えると(マニュアルでもそうなんですが)
素直にglobalのついてるeth3を持ってくるんですが、privateのeth1を設定
するというのもあうらしいのですが、どっちが普通の作法なんでしょうか?
USサイトが知らない間に・・・(´Д`;オモイ ミニクイ
>>289
SecurityAdvisoriesとSecurityNoticeのページが分からなくなっちまいました
何とかしてくれ
例のRST-AttackについてのJuniperからのレターにも
NetScreenに関する記述が含まれてました
もう完全にJunperなのね
SecurityAdvisoriesとSecurityNoticeのページが分からなくなっちまいました
何とかしてくれ
例のRST-AttackについてのJuniperからのレターにも
NetScreenに関する記述が含まれてました
もう完全にJunperなのね
291 :anonymous@ pl008.nas931.ichikawa.nttpc.ne.jp:04/04/23 01:26 ID:???
ジュンパー
このスレはこれからジュンパースレに変更になりますた
どなたか、NetScreenの設定方法を教えてください?
それと、VPNの設定方法も教えていただければ助かります。
5GTです。
それと、VPNの設定方法も教えていただければ助かります。
5GTです。
295 : :04/05/01 18:22 ID:???
296 :Phoenix ◆Q3kRG0vwM2 :04/05/01 18:22 ID:???
マニュアルみたらできる程度だよ。NSは。
それと、あんまりにも質問が漠然としてると答えづらいので
もっと絞ってもらえると回答しやすいと思います。
それと、あんまりにも質問が漠然としてると答えづらいので
もっと絞ってもらえると回答しやすいと思います。
>>285
私もNetScreen 5GTとNetScreen-Remote v8.3でVPN接続させようとして
いるのですが、Air-H"でprinに接続すると目的のマシンと通信できるの
ですが、ブロードバンド(NATルータ配下)のPCからはVPNセッションは
張れるのに通信が出来ません。
AutoKeyIKEでNAT-TraversalとUDP Checksumもチェックしています。
実際に使われている方教えてください。
私もNetScreen 5GTとNetScreen-Remote v8.3でVPN接続させようとして
いるのですが、Air-H"でprinに接続すると目的のマシンと通信できるの
ですが、ブロードバンド(NATルータ配下)のPCからはVPNセッションは
張れるのに通信が出来ません。
AutoKeyIKEでNAT-TraversalとUDP Checksumもチェックしています。
実際に使われている方教えてください。
298 :サポート打ち切りが怖い:04/05/05 17:08 ID:???
299 :(≧∇≦)ぶぁっはっはっ!R32 ◆HCR32tw5Hg :04/05/07 19:27 ID:???
5GTのantivirus機能とかどうですか?
エンジンはトレンドマイクロのを使ってるみたいだけど、
mailは大丈夫として、HTTPとかFTPダウンロードにも対応できてるんでしょうか?
資料取り寄せたけど、あまり詳しいことが載ってないんで。
エンジンはトレンドマイクロのを使ってるみたいだけど、
mailは大丈夫として、HTTPとかFTPダウンロードにも対応できてるんでしょうか?
資料取り寄せたけど、あまり詳しいことが載ってないんで。
300 :anonymous@ YahooBB219009156051.bbtec.net:04/05/11 00:48 ID:s/s95uJ7
地域網でNSRPって透過出来ましたっけ?
301 : :04/05/11 01:09 ID:???
地域網経由でNSRPってなにを考えてるんだ?
NSRPは冗長化に使うもの
まあ、Ether系サービスでNSRP使うのはありかもね
NSRPは冗長化に使うもの
まあ、Ether系サービスでNSRP使うのはありかもね
302 :anonymous@ ip244.rakuten.co.jp:04/05/12 22:07 ID:nlGXlhqx
NSには電源やFANの状況を確認するコマンドはないのですか?
303 : :04/05/12 23:47 ID:???
もし電源状態が確認できるコマンドがあったとして、
電源がオフになったのをどうやってそのコマンドで確認する?
電源がオフになったのをどうやってそのコマンドで確認する?
二重化だったら
305 : :04/05/12 23:57 ID:???
>>304
Netscreenに電源二重化構成ができる機器はないとおもったが?
Netscreenに電源二重化構成ができる機器はないとおもったが?
306 : :04/05/13 00:46 ID:???
>>305
もしかして、NS-5400なんてご存知ない?
電源故障は、SNMPtrapかsyslog(たしかsyslogのほうだったと思う)が出るはず
ただし、二重化できない機種で電源コード抜いてみたり試験したけど出なかった
もしかして、NS-5400なんてご存知ない?
電源故障は、SNMPtrapかsyslog(たしかsyslogのほうだったと思う)が出るはず
ただし、二重化できない機種で電源コード抜いてみたり試験したけど出なかった
307 :login:Penguin:04/05/13 00:51 ID:???
>305
NS500でも出来たが。>電源二重化。
NS500でも出来たが。>電源二重化。
308 :fs:04/05/17 19:52 ID:ACBiSB60
NSのトランスペアレントモードにてVPNができるようだが、以下のような仕組みで宜しいのでしょうか?
※LAN_AとLAN_Bを通信(VPN)行う
環境図)
LAN_A-NS_A--Gw---Internet---Gw--NS_B--LAN_B
※LAN_AとLAN_Bを通信(VPN)行う
環境図)
LAN_A-NS_A--Gw---Internet---Gw--NS_B--LAN_B
ISG-2000ってどうよ?
誰か評価機触った人とかいる?
ASICがGigaScreen3になっててCon/SecはNS-5400より出るって話なんだけど、
NS-1000みたいな大コケをかまされるのが怖い、、、
誰か評価機触った人とかいる?
ASICがGigaScreen3になっててCon/SecはNS-5400より出るって話なんだけど、
NS-1000みたいな大コケをかまされるのが怖い、、、
310 :fs:04/05/18 15:47 ID:ar9Xbbbo
お世話になります
以下の環境では何か問題がありますでしょうか?
Internet
|
Netscreen-------------YAMAHA Router----HUB★---PC1…10
|
−−−−−−−−−−−−−−−−−−−−↑HUB★へ
●Netscreen:
Trust 192.168.1.254
セカンダリ 192.168.2.254
●YAMAHA Router
WAN側 192.168.1.1
LAN側 192.168.2.1
●PC1-5
192.168.2.11-15 デフォルトゲートウェイ 192.168.1.1
●PC6-10
192.168.2.16-29 デフォルトゲートウェイ 192.168.2.254
以上宜しくお願い致します
以下の環境では何か問題がありますでしょうか?
Internet
|
Netscreen-------------YAMAHA Router----HUB★---PC1…10
|
−−−−−−−−−−−−−−−−−−−−↑HUB★へ
●Netscreen:
Trust 192.168.1.254
セカンダリ 192.168.2.254
●YAMAHA Router
WAN側 192.168.1.1
LAN側 192.168.2.1
●PC1-5
192.168.2.11-15 デフォルトゲートウェイ 192.168.1.1
●PC6-10
192.168.2.16-29 デフォルトゲートウェイ 192.168.2.254
以上宜しくお願い致します
正直ちゃんちゃらおかしい
もう一度TCP/IPの基礎から出直してこい
ネットマスクは?デフォのDHCPは切るんだろ?
だいたい何をしたいんだ?
もう一度TCP/IPの基礎から出直してこい
ネットマスクは?デフォのDHCPは切るんだろ?
だいたい何をしたいんだ?
>310
うん、何か問題はありますよ・・・
うん、何か問題はありますよ・・・
313 :anonymous@ g4.krnet.ne.jp:04/05/24 10:29 ID:Zo1oJDi9
VIPって、ポートサービスを追加したとき、
再起動が必要ってマニュアルに書いてあるけど、
どうして再起動が必要なの?
再起動が必要ってマニュアルに書いてあるけど、
どうして再起動が必要なの?
314 :anonymous@ 219.120.55.172:04/05/27 09:22 ID:yeUkkMSE
Netscreenルータ使ってUSENの回線で、
サーバ公開している方いらっしゃいますか?
サーバアドレスNAT使わずグローバルIPで・・・
サーバ公開している方いらっしゃいますか?
サーバアドレスNAT使わずグローバルIPで・・・
316 :757:04/06/05 12:14 ID:33X11SOg
NS5XTのバージョンアップをするつもりなのですが、
バージョンアップの情報はあるのですが、ダウンの情報が
マニュアルにありません。
バージョンアップもダウンも同じ手順なんですか?
バージョンアップの情報はあるのですが、ダウンの情報が
マニュアルにありません。
バージョンアップもダウンも同じ手順なんですか?
317 :anonymous@ 91.pool7.ftthtokyo.att.ne.jp:04/06/05 17:51 ID:RlVcauKN
NetScreenってプロキシの内側におけないの??
10080で動かないとかいう人がいるんだけど。。。
10080で動かないとかいう人がいるんだけど。。。
>>316
ScreenOS5.0系から4.0系へのダウングレード方法(PDF)
http://sc-comtex.sse.co.jp/products/netscreen/images/os50_downgrade.pdf
ScreenOS5.0系から4.0系へのダウングレード方法(PDF)
http://sc-comtex.sse.co.jp/products/netscreen/images/os50_downgrade.pdf
319 :anonymous@ r114072.ppp.asahi-net.or.jp:04/06/14 07:21 ID:ePBj57Fy
Netscreen25で拠点間のVPNを会社に導入しようと思うんですが、
業者に設定と設置を頼むとどのくらい費用かかりますか?
業者に設定と設置を頼むとどのくらい費用かかりますか?
320 : ◆v9UHi4tk/w :04/06/14 09:17 ID:???
>319
何拠点?
地域は?
何拠点?
地域は?
321 :anonymous@ YahooBB219002136031.bbtec.net:04/06/14 10:06 ID:uw6U1MQt
センター1つに拠点1つで都内です。
322 :anonymous@ h194172.ppp.asahi-net.or.jp:04/06/14 12:18 ID:???
>>319
東京なら1対1の接続なら20万(拠点あたり10万)くらいでやるところ
あるんじゃない?
しかし、なぜ25。5GTでもよさそうな気がするが。
25も5GTもVPNのスループットはカタログ値で20Mbpsだけど。
東京なら1対1の接続なら20万(拠点あたり10万)くらいでやるところ
あるんじゃない?
しかし、なぜ25。5GTでもよさそうな気がするが。
25も5GTもVPNのスループットはカタログ値で20Mbpsだけど。
323 : :04/06/14 21:02 ID:???
>>319
会社の社内ネットの構成を調べて、既存ネットワークとの整合性やら、
ルーティングやファイアウォールの設定やメンテナンスのコンサルに付き合うのであれば金かかるけど、
こういう設定にしろってシートに記入してその通りに設定するだけなら
わりあい安くやってもらえるんにじゃない?
で、どの程度のコンサルが必要なんでしょう?
あと、全国展開で保守もいるなら、大手に限定されてくる予感
会社の社内ネットの構成を調べて、既存ネットワークとの整合性やら、
ルーティングやファイアウォールの設定やメンテナンスのコンサルに付き合うのであれば金かかるけど、
こういう設定にしろってシートに記入してその通りに設定するだけなら
わりあい安くやってもらえるんにじゃない?
で、どの程度のコンサルが必要なんでしょう?
あと、全国展開で保守もいるなら、大手に限定されてくる予感
324 :anonymous@ z44.219-103-202.ppp.wakwak.ne.jp:04/06/15 15:48 ID:???
>323
NSの保守なら、RとかAが全国展開で請け負ってくれるから、
別段、中堅どころで困らないと思うよ。
もちろん、指揮管理がしっかりしたところでないと困るのは当然だけど
NSの保守なら、RとかAが全国展開で請け負ってくれるから、
別段、中堅どころで困らないと思うよ。
もちろん、指揮管理がしっかりしたところでないと困るのは当然だけど
ハブアンドスポーク環境のNetscreen5XT数台を
ScreenOS3.0.3から5.0.0へアップグレードを考えていますが、
設定変更無くアップグレードできますでしょうか?
4.0系からProxy-IDを使う形に変わってるので不安があります。
ScreenOS3.0.3から5.0.0へアップグレードを考えていますが、
設定変更無くアップグレードできますでしょうか?
4.0系からProxy-IDを使う形に変わってるので不安があります。
プライベートIPのLANをRTX1000でBフレッツに繋いでます。
外部にあるNetscreenにNetscreen-remote入れたLAN内の複数のクライアントを
繋ぎたいんだけど、RTX1000越えって出来ます?
ちなみに1台だけだったら繋がります。
2台目のセッションを張ると1台目が落ちます。
RTX1000ではUDPの500番とESPは空けてます。
外部にあるNetscreenにNetscreen-remote入れたLAN内の複数のクライアントを
繋ぎたいんだけど、RTX1000越えって出来ます?
ちなみに1台だけだったら繋がります。
2台目のセッションを張ると1台目が落ちます。
RTX1000ではUDPの500番とESPは空けてます。
>>326
NetscreenとRTX1000をVPN接続しては?
NetscreenとRTX1000をVPN接続しては?
>>327
諸々の事情がありまして、そうもいかないんすよねぇ・・・。
諸々の事情がありまして、そうもいかないんすよねぇ・・・。
330 : :04/06/19 16:25 ID:???
ひっかかるのってNATでしょ?
NetScreenとNetScreenRemoteってNATトラバーサル無かったっけ?
NetScreenとNetScreenRemoteってNATトラバーサル無かったっけ?
質問させていただきたいのですが、Netscreen-RemoteでセンターのVPNルータと
接続を行っているとき、センター側の回線が落ちてもNetscreen-Remote側で古い
VPNセッションを保持してしまい、センター側が復帰した際にpingがうまく飛ばな
くなってしまいます。
手動で接続をし直せば、特に問題は無いかと思うのですが、Netscreen-Remoteの
設定(keepaliveで監視等)で、障害等があって復帰した際にセッションをその
都度に自動で張り直す等の設定は可能なのでしょうか?
接続を行っているとき、センター側の回線が落ちてもNetscreen-Remote側で古い
VPNセッションを保持してしまい、センター側が復帰した際にpingがうまく飛ばな
くなってしまいます。
手動で接続をし直せば、特に問題は無いかと思うのですが、Netscreen-Remoteの
設定(keepaliveで監視等)で、障害等があって復帰した際にセッションをその
都度に自動で張り直す等の設定は可能なのでしょうか?
>>332
解決してるかもしれんが、一応。
NSRにkeepaliveって概念が無いから、張り直ししないとダメじゃないかなぁ。
どうしてもそれがイヤってんなら、マニュアルキーっつー手もあるけど、
オススメはできないなぁ。
解決してるかもしれんが、一応。
NSRにkeepaliveって概念が無いから、張り直ししないとダメじゃないかなぁ。
どうしてもそれがイヤってんなら、マニュアルキーっつー手もあるけど、
オススメはできないなぁ。
334 : :04/07/08 00:31 ID:???
335 :Phoenix ◆Q3kRG0vwM2 :04/07/09 02:31 ID:???
記憶が確かなら、NSremoteはセッション監視機能に対応していなかったような・・・。
NS-5GTをScreenOS5.0.0で使用しているのですが、
ほとんどトラフィックが無い状態でもMemoryAllocateが
46MByte位になっています。
こんなにメモリを使用するものなのでしょうか?
同じような状態のNS-50(4.0.0)は20MByte未満です。
ほとんどトラフィックが無い状態でもMemoryAllocateが
46MByte位になっています。
こんなにメモリを使用するものなのでしょうか?
同じような状態のNS-50(4.0.0)は20MByte未満です。
netscreen25とMAC OSX(i-book)をVPN接続したく考えてます。
どなたか成功した人いますか?
どなたか成功した人いますか?
338 : ◆v9UHi4tk/w :04/07/11 01:56 ID:???
>337
FreeのRemote-VPNツールがあるよ。
具具ってごらん
FreeのRemote-VPNツールがあるよ。
具具ってごらん
箱にJuniperのロゴが入ってきているね。
341 :anonymous@ nttfad4-144.246.ne.jp:04/07/29 01:38 ID:???
これ使ってれば外部からの進入は防げますか?
また、進入された場合には必ずログに残りますか?
気付かずに進入・改ざんされるケースもありますか?
初心者なのであほな質問してるかもしれませんが、、、
また、進入された場合には必ずログに残りますか?
気付かずに進入・改ざんされるケースもありますか?
初心者なのであほな質問してるかもしれませんが、、、
>341
防げません(サーバなどのセキュリティホール)
ログに残るとは限りません(ログは改ざんされると思え)
気づかずに侵入・改ざんされるケースは、あります。
これらは、全てのFW製品に共通する返答になります。
防げません(サーバなどのセキュリティホール)
ログに残るとは限りません(ログは改ざんされると思え)
気づかずに侵入・改ざんされるケースは、あります。
これらは、全てのFW製品に共通する返答になります。
>>341
環境を具体的に書かないと答えは得られませんよ。
公開サーバはありますか?
ある→ポリシーに基づいてNSを通過(正規のアクセス)できます。
NSには指定されたプロトコルのアクセスログは残ります。
NSにはアプリケーションレベル(そのアクセスで何をしたか)のログは残りません。
公開サーバの穴を掘られたら公開サーバは改竄される可能性はあります。
なし→ポリシーが(NATならリダイレクトも)無ければ進入できません。
マスカレードであれば宛先が不定になるので進入は困難です。
※NSのセキュリティホールがゼロとは言い切れませんので例外もありあます。
ポリシーが無くてもトロイやウィルスなどにより進入を許す場合があります。
環境を具体的に書かないと答えは得られませんよ。
公開サーバはありますか?
ある→ポリシーに基づいてNSを通過(正規のアクセス)できます。
NSには指定されたプロトコルのアクセスログは残ります。
NSにはアプリケーションレベル(そのアクセスで何をしたか)のログは残りません。
公開サーバの穴を掘られたら公開サーバは改竄される可能性はあります。
なし→ポリシーが(NATならリダイレクトも)無ければ進入できません。
マスカレードであれば宛先が不定になるので進入は困難です。
※NSのセキュリティホールがゼロとは言い切れませんので例外もありあます。
ポリシーが無くてもトロイやウィルスなどにより進入を許す場合があります。
344 :anonymous@ eAc1Ajy148.tky.mesh.ad.jp:04/07/29 22:46 ID:31C/m92P
gateなんて限界があるとは知りませんでした。(;_;)
NS-5/10/25/50すべての機種で、たった256だって。
ダマされた。
NS-5/10/25/50すべての機種で、たった256だって。
ダマされた。
345 :anonymous@ M064248.ppp.dion.ne.jp:04/08/02 14:35 ID:FV7nocFr
NetScreen50(Screen OS 4)で、MIP定義して、static nat経由で
FTPサーバにアクセスしようとしている。
FTP passiveモードでNSがPASV応答(227応答)を
書き換えたり、書き換えなかったり、動作が不安定で
こまっとる。流れてるパケットを調べたら
PASVコマンドが乗ったパケットと
PASV応答が乗ったパケットの間にACKパケットが割り込んだときに
書き換えをサボりやがる。同様事象で悩んで、解決したやつはおらんかい?
FTPサーバにアクセスしようとしている。
FTP passiveモードでNSがPASV応答(227応答)を
書き換えたり、書き換えなかったり、動作が不安定で
こまっとる。流れてるパケットを調べたら
PASVコマンドが乗ったパケットと
PASV応答が乗ったパケットの間にACKパケットが割り込んだときに
書き換えをサボりやがる。同様事象で悩んで、解決したやつはおらんかい?
346 :anonymous@ flets-a-west-13-88.dsn.jp:04/08/02 16:01 ID:UyOjWaa4
いつもお世話になります。
NetScreen5GTのDHCP機能で、autoに設定した場合、IPアドレスの割り当て範囲はどのように決められてるのでしょうか?
NetScreen5GTのDHCP機能で、autoに設定した場合、IPアドレスの割り当て範囲はどのように決められてるのでしょうか?
347 :anonymous@ biza388.mind.ne.jp:04/08/04 10:16 ID:E1toLgGC
NetScreen の SSH にバグが出たね。
今日Alertメールがきた。
http://www.juniper.net/support/security/alerts/screenos-sshv1-2.txt
SSHv1を動作させているNSはすべて駄目じゃん。これヤバいなぁ。。。
今日Alertメールがきた。
http://www.juniper.net/support/security/alerts/screenos-sshv1-2.txt
SSHv1を動作させているNSはすべて駄目じゃん。これヤバいなぁ。。。
348 : :04/08/04 22:20 ID:???
unset int hogehoge manage scs
>>345
ほとんどのNAT箱やFirewallってそういう作りでは?
PASVに対してデータ無しACK返すようなFTPサーバはそっちを直させるべきでしょう
>>347
恐ろしいぐらいどうでもいいバグかと
不特定のノードからSSH受け付けてるようなFirewallは
バグがどうのとかいう以前の問題
ほとんどのNAT箱やFirewallってそういう作りでは?
PASVに対してデータ無しACK返すようなFTPサーバはそっちを直させるべきでしょう
>>347
恐ろしいぐらいどうでもいいバグかと
不特定のノードからSSH受け付けてるようなFirewallは
バグがどうのとかいう以前の問題
350 :anonymous@ px.eden.or.jp:04/08/06 19:44 ID:YGmNtUKm
NetScreen-Remote の日本語設定マニュアルってないんですか??
代理店にもWeb上にも英語版しかないのですが。。。
よろしくお願い致します!
代理店にもWeb上にも英語版しかないのですが。。。
よろしくお願い致します!
351 :anonymous@ YahooBB220009100006.bbtec.net:04/08/12 04:05 ID:RxDpLks1
すみません。
くだらないことかもしれませんが、教えてください。
5GTでトランスペアレントモードの設定の仕方を教えてください。
マニュアル読みたいのですが、持っていません。
本体のみ手に入れました。
よろしくお願いします。
くだらないことかもしれませんが、教えてください。
5GTでトランスペアレントモードの設定の仕方を教えてください。
マニュアル読みたいのですが、持っていません。
本体のみ手に入れました。
よろしくお願いします。
>>350 >>351
このアホタリども。
ちゃんと探してから質問しろ。
ほれ。
日本語マニュアル
http://www.juniper.net/techpubs/software/screenos/screenos5x/translated/index.html#jp
Version 3.x.x以下なら英語マニュアル
http://www.juniper.net/techpubs/software/screenos/screenos5x/
このアホタリども。
ちゃんと探してから質問しろ。
ほれ。
日本語マニュアル
http://www.juniper.net/techpubs/software/screenos/screenos5x/translated/index.html#jp
Version 3.x.x以下なら英語マニュアル
http://www.juniper.net/techpubs/software/screenos/screenos5x/
353 :351:04/08/12 11:44 ID:RxDpLks1
354 :345:04/08/13 23:11 ID:WZ9SIvJP
>>345
に自己RES. ScreenOS 4.Xの最終版にファームをUPしたら直った。
>>349
それ本当かい?オイラはお里がサーバアプリ屋で
L7以上が本丸なんだが、TCP/IPソケットのPGレベルで、
データ無しACKパケットを出す、出さないなんて、
制御を陽にコーディングするもんだろうか?
proftpdのソースコード中のPASVを受け取って、
227応答を返す間の所にsleep(1秒)を挿入しただけで
OSのTCPレイヤが勝手にデータ無しACKを飛ばしてしまうぞ。
「殆どのNAT箱、FWがそういう作り」
と言われてしまうと途方にくれてしまうなぁ。
に自己RES. ScreenOS 4.Xの最終版にファームをUPしたら直った。
>>349
それ本当かい?オイラはお里がサーバアプリ屋で
L7以上が本丸なんだが、TCP/IPソケットのPGレベルで、
データ無しACKパケットを出す、出さないなんて、
制御を陽にコーディングするもんだろうか?
proftpdのソースコード中のPASVを受け取って、
227応答を返す間の所にsleep(1秒)を挿入しただけで
OSのTCPレイヤが勝手にデータ無しACKを飛ばしてしまうぞ。
「殆どのNAT箱、FWがそういう作り」
と言われてしまうと途方にくれてしまうなぁ。
355 :anonymous@ z169.211-19-84.ppp.wakwak.ne.jp:04/08/14 06:39 ID:boX3rqY0
素人でもうしわけないのですが、質問です。。
Netscreen-remoteを設定したのですが、認証はされているようなのですが、
Inbound packet failed validation VPNクライアントのIP->現在接続しているIP
上記のエラーがでて繋がらないのです。。。
原因がわからず困ってます。。
教えてください。。
Netscreen-remoteを設定したのですが、認証はされているようなのですが、
Inbound packet failed validation VPNクライアントのIP->現在接続しているIP
上記のエラーがでて繋がらないのです。。。
原因がわからず困ってます。。
教えてください。。
356 :anonymous@ 210.249.106.32:04/08/19 11:56 ID:???
ADSLなどに直付けしているPCに既にPersonalFirewall(いろんなメーカーのもの)がインストールされていて
そこにNS-RemoteV8をインスコしようと考えていますが...
Routerとか介してなくネットに直付けなのでNAT-Tは関係ないと思いますが、
やっぱFW上でいくつか穴を開けないとだめでしょう?
実際に、上記のような環境でVPN接続されている方、何か注意することなどあったら
教えて欲しいんでつけど
よろしくおながいしまつ
そこにNS-RemoteV8をインスコしようと考えていますが...
Routerとか介してなくネットに直付けなのでNAT-Tは関係ないと思いますが、
やっぱFW上でいくつか穴を開けないとだめでしょう?
実際に、上記のような環境でVPN接続されている方、何か注意することなどあったら
教えて欲しいんでつけど
よろしくおながいしまつ
>>356
注意する点は・・・
質問の時に「PersonalFirewall(いろんなメーカーのもの)」と言うアバウトな表現をしたり
「インスコ」「でつけど」「おながいしまつ」とか書いたり
「やっぱFW上でいくつか穴を開けないとだめでしょう?」と自分で断定したり
「NAT-Tは関係ないと思いますが」と関係ないと思うことを書いたり
と、言う点でしょうか?
注意する点は・・・
質問の時に「PersonalFirewall(いろんなメーカーのもの)」と言うアバウトな表現をしたり
「インスコ」「でつけど」「おながいしまつ」とか書いたり
「やっぱFW上でいくつか穴を開けないとだめでしょう?」と自分で断定したり
「NAT-Tは関係ないと思いますが」と関係ないと思うことを書いたり
と、言う点でしょうか?
>>356
それは失礼いたしました。以後気をつけます。
SygateではOKなのですね。
いろんな...と、あやふやに記述したのは、実際のClientが決まっていないからです。
決まってないとはいえ、昨今の状況からしてそれぞれPersonalFirewallなどは
SymantecさんところのInternetSecurityなどを初め、インストールしている端末が
殆どだと思うので、あえていろんなと書いてみました。
今のところ、NS-RemoteとPersonalFirewallとの相性が感覚的に大丈夫かどうかを聞きたかったためです。
感覚的にと言っても、やはりある程度の筋道は把握しておきたかったので
一般的には、VPNを構築する際にIKEで使用するUDP500ポートを開けなくちゃならん?とか
いうセオリー通りの情報ではなく、実際にやられた組合せで相性の問題のようなもので駄目だったとかいう
事をお聞きしたかったのです。
ということで、改めて、そういう情報をお持ちの方がいらっしゃったら、情報として教えてくれませんか?
それは失礼いたしました。以後気をつけます。
SygateではOKなのですね。
いろんな...と、あやふやに記述したのは、実際のClientが決まっていないからです。
決まってないとはいえ、昨今の状況からしてそれぞれPersonalFirewallなどは
SymantecさんところのInternetSecurityなどを初め、インストールしている端末が
殆どだと思うので、あえていろんなと書いてみました。
今のところ、NS-RemoteとPersonalFirewallとの相性が感覚的に大丈夫かどうかを聞きたかったためです。
感覚的にと言っても、やはりある程度の筋道は把握しておきたかったので
一般的には、VPNを構築する際にIKEで使用するUDP500ポートを開けなくちゃならん?とか
いうセオリー通りの情報ではなく、実際にやられた組合せで相性の問題のようなもので駄目だったとかいう
事をお聞きしたかったのです。
ということで、改めて、そういう情報をお持ちの方がいらっしゃったら、情報として教えてくれませんか?
>>358
茶々いれてスマソ。
この手のスレで情報欲しい時は2ちゃん用語使いまくると
誰もパケット投げてくれないのでツッコミますた。
漏れ的にはオケーでつ。
SygateがOKと言うのは、一般的に無難だとか試行錯誤した結果だとかではなくて
NS-Remoteのマニュアルに設定方法等が載ってるからです。
# ReleaseNoteにも良くNew Sygate Personal Firewall codeとか載ってます。
私は安全パイでSygateを利用してますので他は試してませんが
Sygateを利用する分にはVPNを意識した「特殊な」設定はいりません。
茶々いれてスマソ。
この手のスレで情報欲しい時は2ちゃん用語使いまくると
誰もパケット投げてくれないのでツッコミますた。
漏れ的にはオケーでつ。
SygateがOKと言うのは、一般的に無難だとか試行錯誤した結果だとかではなくて
NS-Remoteのマニュアルに設定方法等が載ってるからです。
# ReleaseNoteにも良くNew Sygate Personal Firewall codeとか載ってます。
私は安全パイでSygateを利用してますので他は試してませんが
Sygateを利用する分にはVPNを意識した「特殊な」設定はいりません。
っていうか、もう少し詳細なLog Viewerのログみせてくんないと
誰も答えてくれないかと。
購入先のサポート受けれないわけ?
誰も答えてくれないかと。
購入先のサポート受けれないわけ?
>>359
もちろん購入してたらサポートに聞きます。
ですが、残念ながら購入前です。
実際に、物(NT-Remote)もありませんので。
一般論として、導入前の調査ということで捕らえていただければよろしいかと。
購入前ということで、メーカーにも相談してみましたが、実際に納得のいく回答は得られなかったので
ことらで、ポストしてみました。
ということで、実際に物があって繋がらない...から助けて!!って言うものではありません。
購入済で問題があるのであればあれば、勿論自分で調査します。
もちろん購入してたらサポートに聞きます。
ですが、残念ながら購入前です。
実際に、物(NT-Remote)もありませんので。
一般論として、導入前の調査ということで捕らえていただければよろしいかと。
購入前ということで、メーカーにも相談してみましたが、実際に納得のいく回答は得られなかったので
ことらで、ポストしてみました。
ということで、実際に物があって繋がらない...から助けて!!って言うものではありません。
購入済で問題があるのであればあれば、勿論自分で調査します。
>>361
> Netscreen-remoteを設定したのですが、認証はされているようなのですが、
> Inbound packet failed validation VPNクライアントのIP->現在接続しているIP
> 上記のエラーがでて繋がらないのです。。。
> 原因がわからず困ってます。。
どう見ても、「実際に物があって繋がらない...から助けて!!」なんですが・・・
「購入前なんですが、エラーが出て繋がらない」と質問を受けたメーカー(Juniper!?)に同情します。
つーか、レスアンカー間違ってるし。
ひょっとして、釣られた?w
> Netscreen-remoteを設定したのですが、認証はされているようなのですが、
> Inbound packet failed validation VPNクライアントのIP->現在接続しているIP
> 上記のエラーがでて繋がらないのです。。。
> 原因がわからず困ってます。。
どう見ても、「実際に物があって繋がらない...から助けて!!」なんですが・・・
「購入前なんですが、エラーが出て繋がらない」と質問を受けたメーカー(Juniper!?)に同情します。
つーか、レスアンカー間違ってるし。
ひょっとして、釣られた?w
どうも..>>310辺りで、記号を使っているからか?使用しているビュアーのアンカーがずれ始めてる...
私は繋がらないクンではありませんでしたが、誤って
> っていうか、もう少し詳細なLog Viewerのログみせてくんないと
> 誰も答えてくれないかと。
> 購入先のサポート受けれないわけ?
に反応してしまいました。すいません。
私はパーソナルファイアーウォールくんです。( ´△`)アァ-
私は繋がらないクンではありませんでしたが、誤って
> っていうか、もう少し詳細なLog Viewerのログみせてくんないと
> 誰も答えてくれないかと。
> 購入先のサポート受けれないわけ?
に反応してしまいました。すいません。
私はパーソナルファイアーウォールくんです。( ´△`)アァ-
>>363
了解w
了解w
365 :anonymous@ usen-219x123x157x82.ap-US.usen.ad.jp:04/08/20 15:05 ID:KAPFMvRu
NSってNFS普通に通る?
NFSはサポートしてると書いてあるけど、それってポート固定しないとダメってこと?
エロイ人教えて。
NFSはサポートしてると書いてあるけど、それってポート固定しないとダメってこと?
エロイ人教えて。
>>365
固定してくらさい。
固定してくらさい。
368 :anonymous@ cn114.ade.point.ne.jp:04/08/21 01:22 ID:bMdkDu5P
5gtにインターネット経由(p-in)でNSRで接続させたいんですけど
phase2が終わった後に
Failure finding or creating filter entry
Key Download faild
Error downloading key
Fail loading the keys
ってLogViewerにでます。
設定内容としては
ObjectsからUserを作成しそのユーザでXAuthして
特定のIPpoolを割り当てるということをしようとしています。
コネクションを張るときにXAuthの画面は表示され
認証に成功してPingが飛んだと思いきや存在しないホストに
Pingを飛ばしても応答するという状態になっています。
実際Pingの宛先のマシンでパケットキャプチャしてもパケットは
飛んできてないようです。
ハマって抜け出せない状況です。
どなたかご教授願えませんでしょうか?
phase2が終わった後に
Failure finding or creating filter entry
Key Download faild
Error downloading key
Fail loading the keys
ってLogViewerにでます。
設定内容としては
ObjectsからUserを作成しそのユーザでXAuthして
特定のIPpoolを割り当てるということをしようとしています。
コネクションを張るときにXAuthの画面は表示され
認証に成功してPingが飛んだと思いきや存在しないホストに
Pingを飛ばしても応答するという状態になっています。
実際Pingの宛先のマシンでパケットキャプチャしてもパケットは
飛んできてないようです。
ハマって抜け出せない状況です。
どなたかご教授願えませんでしょうか?
369 :H:04/08/24 20:53 ID:lxdqDwCu
>368
そのPCって、結構いろんなソフトはいってる?
特にセキュリティ関係の。
そのPCって、結構いろんなソフトはいってる?
特にセキュリティ関係の。
370 :age:04/08/24 23:51 ID:kwpaWRBQ
371 :anonymous@ ntoska121120.oska.nt.ftth.ppp.infoweb.ne.jp:04/08/27 03:15 ID:???
>370
そのgateって何なのよ???
気になる〜
そのgateって何なのよ???
気になる〜
372 :age:04/08/27 21:50 ID:W/PArrQV
373 : :04/08/28 12:42 ID:???
だから、エンタープライズ用途はFW-1にしとけって
Web系やエッジならNSで
Web系やエッジならNSで
374 :anonymous@ pl017.nas511.ta-tokyo.nttpc.ne.jp:04/08/28 17:53 ID:ixHRSeFs
NetScreen50とNetscreen-remote間でVPN接続した際に
通信するプロトコル(例えばFTPだけとか)を制限する
方法・設定はあるのでしょうか?
通信するプロトコル(例えばFTPだけとか)を制限する
方法・設定はあるのでしょうか?
>>374
ScreenOSのバージョンは?
ScreenOSのバージョンは?
>372
これですな。
gate
Description:
Use the gate command to check the number of gates on the NetScreen device,
how many are in use, and how many are still available.
Gates are logical access points in the firewall for FTP and similar applications.
The NetScreen device creates the gates, then converts a gate for each new session
when data traffic occurs.
The default number of gates on NetScreen devices are:
NetScreen-5000 Series 8192
NetScreen-500 4096
NetScreen-200 Series 1024
NetScreen-100 1024
NetScreen-25/50 256
NetScreen-5XT 256
NetScreen-5GT 256
これですな。
gate
Description:
Use the gate command to check the number of gates on the NetScreen device,
how many are in use, and how many are still available.
Gates are logical access points in the firewall for FTP and similar applications.
The NetScreen device creates the gates, then converts a gate for each new session
when data traffic occurs.
The default number of gates on NetScreen devices are:
NetScreen-5000 Series 8192
NetScreen-500 4096
NetScreen-200 Series 1024
NetScreen-100 1024
NetScreen-25/50 256
NetScreen-5XT 256
NetScreen-5GT 256
377 :anonymous@ p2245-ipbf606marunouchi.tokyo.ocn.ne.jp:04/08/31 18:02 ID:???
Netscreen 5XT と、PLANEX BRC 14V を IPsec で、VPN 接続させようと
思っているのですが、実績はあるのでしょうか?
回線は、双方共 Bフレッツ ニューファミリーで繋ごうと思っています。
もし、繋いだ実績情報などありましたら、教えてください。
他の製品でもかまいません。
宜しくお願いします。
思っているのですが、実績はあるのでしょうか?
回線は、双方共 Bフレッツ ニューファミリーで繋ごうと思っています。
もし、繋いだ実績情報などありましたら、教えてください。
他の製品でもかまいません。
宜しくお願いします。
>377
Netscreen50 <-> YAMAHA RTX1000 でIPsec でVPN作ってますが
構築方法は、YAMAHAのサイトのFAQでハケーンしてくらはい。
Netscreen50 <-> YAMAHA RTX1000 でIPsec でVPN作ってますが
構築方法は、YAMAHAのサイトのFAQでハケーンしてくらはい。
>>374
それって、Netscreen50側でポリシー設定するんじゃいけないのか?
Untrust → Trust(DMZ)で?!
もしくは、Netscreen-Remote側の製品で
最近 Netscree-Remote security clientってのがあるけどこれを
を使えば、remote側でもできるんでは?
#使ったこと無いから推測でしかないがな
それって、Netscreen50側でポリシー設定するんじゃいけないのか?
Untrust → Trust(DMZ)で?!
もしくは、Netscreen-Remote側の製品で
最近 Netscree-Remote security clientってのがあるけどこれを
を使えば、remote側でもできるんでは?
#使ったこと無いから推測でしかないがな
380 :netscreeeeeen:04/09/02 00:37 ID:???
policyMIPが5.0.0代から使えるようになったんですね。
C&E P.292にありますけど勘違いでしょうか。
C&E P.292にありますけど勘違いでしょうか。
381 :N:04/09/04 01:25 ID:ZVZqSYZS
素人な質問なのですが、教えてください。
5GTで、PPPOEにてb-fletsに接続したいのですが、
untrust側にIPがふられません。
LOGは、こんな感じです。
PPPoE session started negotiations
Failed to set PPPoE interface IP address.
PPPoE failed to establish a session: LCP,CHAP/PAP,IPCP link setup
Point-to-Point Protocol over Ethernet(PPPoE) settings changed.
WEBUIにてユーザー名とパスワードの設定をして、
後は、auto-connect,lcp-echo-timeout,lcp-echo-retries
この辺の値を変えたりしましたが、だめでした。
よろしくお願いします。
5GTで、PPPOEにてb-fletsに接続したいのですが、
untrust側にIPがふられません。
LOGは、こんな感じです。
PPPoE session started negotiations
Failed to set PPPoE interface IP address.
PPPoE failed to establish a session: LCP,CHAP/PAP,IPCP link setup
Point-to-Point Protocol over Ethernet(PPPoE) settings changed.
WEBUIにてユーザー名とパスワードの設定をして、
後は、auto-connect,lcp-echo-timeout,lcp-echo-retries
この辺の値を変えたりしましたが、だめでした。
よろしくお願いします。
383 :M:04/09/04 11:42 ID:P8YTh5NK
超初心者です。
どなたか、Netscreen5XTのOSのバージョンアップ方法を教えてください。
WebUIのConfigureの画面でSoftware Updateのテキストボックスにファイル名を入力
してApplyボタンをクリックしたのですが、更新されません。
5分後に再起動がかかるとメッセージが表示されるのですが、再起動が掛かり
ません。特別な管理者アカウントがあるのでしょうか。
バージョンは3.0.3r2.4です。
宜しくお願いします。
どなたか、Netscreen5XTのOSのバージョンアップ方法を教えてください。
WebUIのConfigureの画面でSoftware Updateのテキストボックスにファイル名を入力
してApplyボタンをクリックしたのですが、更新されません。
5分後に再起動がかかるとメッセージが表示されるのですが、再起動が掛かり
ません。特別な管理者アカウントがあるのでしょうか。
バージョンは3.0.3r2.4です。
宜しくお願いします。
>381
interface,user,password,Authenticationに間違いは無いですか?
今までそう言うトラブルが無かったので見当がつきませんです。
>>383
特別な管理者アカウントは無いですよ。
一つ前のもの(駄目ならそれより古いもの)にUpしてからではどうですか?
interface,user,password,Authenticationに間違いは無いですか?
今までそう言うトラブルが無かったので見当がつきませんです。
>>383
特別な管理者アカウントは無いですよ。
一つ前のもの(駄目ならそれより古いもの)にUpしてからではどうですか?
385 :N:04/09/04 22:00 ID:ZVZqSYZS
>>384
interface=untrustにてPPPoE設定。(interfaceはUPしています。)
Authentication=auto(一応全部試してみました。)
user,passwordに間違いありません。
→プロバイダより、認証サーバーからOKは返していると言われました。
あと、Bound to interface の設定値って関係ありますか??
今は、[untrust]になっていますが、[trust]にすると
WEBUIが繋がらなくなってしまいます。
interface=untrustにてPPPoE設定。(interfaceはUPしています。)
Authentication=auto(一応全部試してみました。)
user,passwordに間違いありません。
→プロバイダより、認証サーバーからOKは返していると言われました。
あと、Bound to interface の設定値って関係ありますか??
今は、[untrust]になっていますが、[trust]にすると
WEBUIが繋がらなくなってしまいます。
>>385
Bound to interfaceはuntrustで良いですよ。
各パラメータはデフォルト値で問題が起こったことはないですね。
一度、unset allで工場出荷時に戻して設定してみては?
Bound to interfaceはuntrustで良いですよ。
各パラメータはデフォルト値で問題が起こったことはないですね。
一度、unset allで工場出荷時に戻して設定してみては?
387 :N:04/09/05 22:40 ID:Zrt52ovj
388 :anonymous@ 219.166.0.1:04/09/06 15:04 ID:B4M1LrTJ
Netscreen(L2TPのみ設定)とWindows(L2TPのみ設定)でVPN接続はうまくいったのですが、
Netscreen(L2TPのみ設定)とNetscreen(L2TPのみ設定)でLAN同士の接続って出来ないのでしょうか?
説明書にもIPSecにはLAN間設定例があるのにL2TPにはクライアントとの設定例しかないし、GUIのメニュー
にも無いようです。
Netscreen(L2TPのみ設定)とNetscreen(L2TPのみ設定)でLAN同士の接続って出来ないのでしょうか?
説明書にもIPSecにはLAN間設定例があるのにL2TPにはクライアントとの設定例しかないし、GUIのメニュー
にも無いようです。
389 :anonymous@ 219.166.0.1:04/09/06 15:05 ID:B4M1LrTJ
あああ
390 :Net:04/09/07 11:47 ID:gntNT7uq
初心者です。どなたか教えてください。
Netscreen5XTを3箇所で使っています。
ブラウザにtrust側のIPを入力し、WebUIのメニューを表示させようとして、
Admin Nameとパスワードを入力したら、それまでは表示されていた
メニュー画面が表示されず「ページを表示できません」と表示されて
しまいました。(インターネットで間違ったアドレスを入力した時と同じ表示です)
そこでサポセンに教えてもらってuntrust側からポートを開いてWebUIを
有効にするとuntrust側からのブラウザ表示はOKでした。
通信状況は問題ないようです。
原因を探るために
@OSのバージョンが同じ代替機にConfigを移し変えてみる
A代替機のOSを4.0.1r9から段階的に5.0.0r8までバージョンアップ
をやってみましたが状況が変わりません。
1週間が経過しましたがサポセンはまだ「原因調査中」なのです。
どうやったらtrust側でWebUI表示ができるのでしょうか?
よろしくお願いします。
Netscreen5XTを3箇所で使っています。
ブラウザにtrust側のIPを入力し、WebUIのメニューを表示させようとして、
Admin Nameとパスワードを入力したら、それまでは表示されていた
メニュー画面が表示されず「ページを表示できません」と表示されて
しまいました。(インターネットで間違ったアドレスを入力した時と同じ表示です)
そこでサポセンに教えてもらってuntrust側からポートを開いてWebUIを
有効にするとuntrust側からのブラウザ表示はOKでした。
通信状況は問題ないようです。
原因を探るために
@OSのバージョンが同じ代替機にConfigを移し変えてみる
A代替機のOSを4.0.1r9から段階的に5.0.0r8までバージョンアップ
をやってみましたが状況が変わりません。
1週間が経過しましたがサポセンはまだ「原因調査中」なのです。
どうやったらtrust側でWebUI表示ができるのでしょうか?
よろしくお願いします。
391 :M:04/09/07 12:50 ID:0NK1/pe0
>>384
鳩さん、回答ありがとうございます。
現在のバージョンの直後のリリースで試しましたが結果は同じでした。
TFTPサーバを使用する方法を試すしかないのでしょうか。
気がついた点ありましたらお願いします。
鳩さん、回答ありがとうございます。
現在のバージョンの直後のリリースで試しましたが結果は同じでした。
TFTPサーバを使用する方法を試すしかないのでしょうか。
気がついた点ありましたらお願いします。
>>390
問題のあるコンフィグを他の個体に入れてみるのは可能なのか?
同じ現象がおきるなら、configの設定に問題があるんだろうな
policyを一旦全てdesableにしてみるとか、もっとやってみる方法は
ないのか?
よくある話、何にもしてないのに出来なくなったと言う糞ユーザ
いるけど、なにか変更とかした後の出来事じゃないのか?
変更箇所を疑うべしだな...
しかし..OSの5系まで上げてしまっているのか_| ̄|○
ちとはやまってないか?
policyやら、AddressList、VPN関係なんかの部分を外して
コンフィグ晒して見れここに
なんかレスあるかもよ
問題のあるコンフィグを他の個体に入れてみるのは可能なのか?
同じ現象がおきるなら、configの設定に問題があるんだろうな
policyを一旦全てdesableにしてみるとか、もっとやってみる方法は
ないのか?
よくある話、何にもしてないのに出来なくなったと言う糞ユーザ
いるけど、なにか変更とかした後の出来事じゃないのか?
変更箇所を疑うべしだな...
しかし..OSの5系まで上げてしまっているのか_| ̄|○
ちとはやまってないか?
policyやら、AddressList、VPN関係なんかの部分を外して
コンフィグ晒して見れここに
なんかレスあるかもよ
394 :Net:04/09/07 18:30 ID:8rH83i4D
レス有難うございます
>>392
サポセンが持ってきた代替機にconfig移し替えたんですけど
結果は同じでした。
>しかし..OSの5系まで上げてしまっているのか_| ̄|○
>ちとはやまってないか?
サポセンの勧めです。最近この板呼んでなかったもんで‥
5系はまずいですか? 全て5系にしちゃいました。
>>393
set admin manager-ip確認しましたがOKです
サポセンにconfigを提出済みですがわからないそうです
configはこの個所でいいのでしょうか?
初心者なもので的外れだったらすいません
set interface untrust mtu 1492
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
unset interface trust manage snmp
unset interface trust manage ssl
set interface untrust manage ping
set interface untrust manage ssh
set interface trust dhcp server service
set interface trust dhcp server auto
よろしくお願いします。
>>392
サポセンが持ってきた代替機にconfig移し替えたんですけど
結果は同じでした。
>しかし..OSの5系まで上げてしまっているのか_| ̄|○
>ちとはやまってないか?
サポセンの勧めです。最近この板呼んでなかったもんで‥
5系はまずいですか? 全て5系にしちゃいました。
>>393
set admin manager-ip確認しましたがOKです
サポセンにconfigを提出済みですがわからないそうです
configはこの個所でいいのでしょうか?
初心者なもので的外れだったらすいません
set interface untrust mtu 1492
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
unset interface trust manage snmp
unset interface trust manage ssl
set interface untrust manage ping
set interface untrust manage ssh
set interface trust dhcp server service
set interface trust dhcp server auto
よろしくお願いします。
>>394
貼ってある部分が致命的というようなことはなさそうだけど
アクセスできないConfigは他の個体に入れても同じ現象になるのであれば
ハードの問題ではなさそうだな...
WebUIアクセス不可の状態で、Trust側のネットワークから、FWにはPingは
通るんだよな?
LANケーブル断線などということも無いよな?この際だからなんでも疑ってみる。
config全部見てみたいが、それもまずいので
どうだこの際、工場出荷時に戻して、再度構成しなおすというのは。
うまくいけば、両方のコンフィグをつき合わせて、おかしかったところを
報告してみろよ。
ちなみに、アクセスできなくなったとき、何やったんだ?
そこのところが気に掛かるな
貼ってある部分が致命的というようなことはなさそうだけど
アクセスできないConfigは他の個体に入れても同じ現象になるのであれば
ハードの問題ではなさそうだな...
WebUIアクセス不可の状態で、Trust側のネットワークから、FWにはPingは
通るんだよな?
LANケーブル断線などということも無いよな?この際だからなんでも疑ってみる。
config全部見てみたいが、それもまずいので
どうだこの際、工場出荷時に戻して、再度構成しなおすというのは。
うまくいけば、両方のコンフィグをつき合わせて、おかしかったところを
報告してみろよ。
ちなみに、アクセスできなくなったとき、何やったんだ?
そこのところが気に掛かるな
396 :anonymous@ 112.20.244.43.ap.livedoor.jp:04/09/07 23:29 ID:uU5C6ukD
>>395
レス有難うございます。
>ちなみに、アクセスできなくなったとき、何やったんだ?
>そこのところが気に掛かるな
NetScreen5XTを3台使っていて、1台追加する必要があったので
新規の1台と使用中の2台のconfigを書き換え、最後に問題の1台の
メニュー画面を開こうと、いつものようにブラウザのアドレスにtrustのIPを
入力し、ログインIDとバスワードの入力画面が表示されたので入力しました
(なぜか入力画面は表示されます)。すると画面は「ページを表示できません」
と表示されてしまいました。Web表示できない以外は問題ありません。
ほかのNetScreenはWebUI表示OKでした。
その後、なんとか設定を終えて通信を確認するとOKです(でもWeb表示は×)。
>どうだこの際、工場出荷時に戻して、再度構成しなおすというのは
地理的にも私の技術的にもできないのでサポセンに依頼してみます。
レス有難うございます。
>ちなみに、アクセスできなくなったとき、何やったんだ?
>そこのところが気に掛かるな
NetScreen5XTを3台使っていて、1台追加する必要があったので
新規の1台と使用中の2台のconfigを書き換え、最後に問題の1台の
メニュー画面を開こうと、いつものようにブラウザのアドレスにtrustのIPを
入力し、ログインIDとバスワードの入力画面が表示されたので入力しました
(なぜか入力画面は表示されます)。すると画面は「ページを表示できません」
と表示されてしまいました。Web表示できない以外は問題ありません。
ほかのNetScreenはWebUI表示OKでした。
その後、なんとか設定を終えて通信を確認するとOKです(でもWeb表示は×)。
>どうだこの際、工場出荷時に戻して、再度構成しなおすというのは
地理的にも私の技術的にもできないのでサポセンに依頼してみます。
397 :W:04/09/11 23:20:57 ID:tgnV1FgJ
教えて下さい。
syslogの設定のとこのfacilityに、"auth/sec"とあるのですが、
どういうことをしたい場合に設定するものなのでしょうか?
syslogの設定のとこのfacilityに、"auth/sec"とあるのですが、
どういうことをしたい場合に設定するものなのでしょうか?
398 :anonymous@ p4108-ipad65marunouchi.tokyo.ocn.ne.jp:04/09/12 19:18:19 ID:???
399 :wq:04/09/14 15:20:16 ID:xkkKtvuL
以下の構成においてW2KからRT57iにPPTP接続します。
W2K--Netscreen-----Internet-----RT57i
※NetscreenとRT57iのWAN側にはGlobalIPがあります。
※W2KはPrivateIPです(NetscreenではNATを行っている)
このときにW2K〜RT57i間がPPTP接続できません。
ちなみにNetscreenをはずしW2KにGlobalIPを設定すると正常にRT57iに
VPN接続できます。
考えられるのではNetscreen側がGre47番とTCP1723番号を通してないためと
思うのですが、どのように設定したらよいかわかりません。
ここのポリシー設定をご存知の方いらっしゃいましたらご教授お願いいたします。
W2K--Netscreen-----Internet-----RT57i
※NetscreenとRT57iのWAN側にはGlobalIPがあります。
※W2KはPrivateIPです(NetscreenではNATを行っている)
このときにW2K〜RT57i間がPPTP接続できません。
ちなみにNetscreenをはずしW2KにGlobalIPを設定すると正常にRT57iに
VPN接続できます。
考えられるのではNetscreen側がGre47番とTCP1723番号を通してないためと
思うのですが、どのように設定したらよいかわかりません。
ここのポリシー設定をご存知の方いらっしゃいましたらご教授お願いいたします。
>> 399
カスタムサービスで任意のサービスを作成して、
あとは適切なポリシーを作成したらいいのでは。
あと、NSのトラフィックログでUntrust→TrustのDenyの通信をみれば
何のポリシーを作成したらいいのか分かるかと思う。
カスタムサービスで任意のサービスを作成して、
あとは適切なポリシーを作成したらいいのでは。
あと、NSのトラフィックログでUntrust→TrustのDenyの通信をみれば
何のポリシーを作成したらいいのか分かるかと思う。
401 :通りすがりですが:04/09/20 16:52:42 ID:kv3q1VHW
>396
configに
unset interface trust ip manageable
って入ってない?
入っていたらシリアルコンソールから以下のコマンドを
入れてみて
set interface trust ip manageable
configに
unset interface trust ip manageable
って入ってない?
入っていたらシリアルコンソールから以下のコマンドを
入れてみて
set interface trust ip manageable
402 :anonymous@ 77.127.215.220.ap.yournet.ne.jp:04/09/22 16:35:09 ID:7Ut6kgC1
VIPに対して外部からのpingを許可する設定をご存知の方
いらっしゃいますか??
VIPで選択できるデフォルト設定にICMP系は存在しないので、
Service-CustomでICMP-VIP-Requestとか作成してicmp(type=8,code0)で
作成したサービスをPolicy許可しても反応が無いです・・・。
いらっしゃいますか??
VIPで選択できるデフォルト設定にICMP系は存在しないので、
Service-CustomでICMP-VIP-Requestとか作成してicmp(type=8,code0)で
作成したサービスをPolicy許可しても反応が無いです・・・。
403 :anonymous@ 62.127.215.220.ap.yournet.ne.jp:04/09/22 18:00:00 ID:n+tbQBO4
402です。
すいません、MIPを使えばいいだけでした。
VIPはポート番号で複数サーバに振る場合だけ使用ってことですね。
すいません、MIPを使えばいいだけでした。
VIPはポート番号で複数サーバに振る場合だけ使用ってことですね。
404 :Net:04/09/27 09:08:51 ID:GuNMXNuV
>401
unset interface trust ip manageable
は入ってませんでした。
サポセンでconfigをチェックしてもらっても理由わからず。
その後、トラブったルーターを別の拠点に持っていってつないだらOK
わけわかんないですね‥
Bフレッツとの相性とかあるんでしょうか?
unset interface trust ip manageable
は入ってませんでした。
サポセンでconfigをチェックしてもらっても理由わからず。
その後、トラブったルーターを別の拠点に持っていってつないだらOK
わけわかんないですね‥
Bフレッツとの相性とかあるんでしょうか?
405 :61.39.244.43.ap.yournet.ne.jp:04/10/01 10:55:54 ID:???
L2TPで Win2KクライアントとNetscreen間でリモート接続させようと奮闘してます
マニュアル参考にやって あっさりユーザ名とパスの認証も通って、
Win2k側でIPアドレスもきちんと取得できたのに その後が。。。
Win2K(リモート) <−−> 内部のサーバ が通信できまへん
パケット拾ったところ 健気にWin2K側からパケットは送ってるみたいだけど
戻りパケットが来ない感じ・・ なにが原因ですかねぇ
マニュアル参考にやって あっさりユーザ名とパスの認証も通って、
Win2k側でIPアドレスもきちんと取得できたのに その後が。。。
Win2K(リモート) <−−> 内部のサーバ が通信できまへん
パケット拾ったところ 健気にWin2K側からパケットは送ってるみたいだけど
戻りパケットが来ない感じ・・ なにが原因ですかねぇ
>> 405
内部サーバのWin2K側に対するルーティングが設定されていないからとか。
内部サーバのWin2K側に対するルーティングが設定されていないからとか。
407 :anonymous@ 61.39.244.43.ap.yournet.ne.jp:04/10/03 01:09:32 ID:wTljy+xI
こんばんは
NS側のIP Poolに設定して、Win2Kクライアントに割り当ててるIPアドレスって
内部サーバと同じIPセグメントなんです
なので内部サーバ側にはルーティングは設定してないです・・・
サーバ側に何か設定が必要でしょうか・・
NS側のIP Poolに設定して、Win2Kクライアントに割り当ててるIPアドレスって
内部サーバと同じIPセグメントなんです
なので内部サーバ側にはルーティングは設定してないです・・・
サーバ側に何か設定が必要でしょうか・・
408 :EMIEMI222:04/10/04 11:37:05 ID:iGYhkNnk
GUI上の設定しかできないど素人ですが、教えて下さい。
NetScreen5XPの下にルータを置き、外部へ公開したいと考えております。
試験用なので一時期だけなので以下の通りにしろと上司に言われました。
モデム
|
NetScreen(5XP)
|
ハブ
| |
社内LAN (P社)ルータ
|
テスト環境
単純な考えではNetScreenにルータへの通信をすべて許可にするとすれば
良いのですが外部からこのルータの設定画面を見ることができません。
ポリシー画面で下記を許可する設定を行いました。
【trust】ルータグローバルIP → 【untrust】Any サービス:Any
【untrust】Any → 【trust】ルータグローバルIP サービス:Any
上記の設定だとテスト環境から外部へは通信できるのですが、外部から
テスト環境(ルータ)へアクセスすることができません。
こんな単純なやり方ではできないでしょうか。
よろしくお願いします。
NetScreen5XPの下にルータを置き、外部へ公開したいと考えております。
試験用なので一時期だけなので以下の通りにしろと上司に言われました。
モデム
|
NetScreen(5XP)
|
ハブ
| |
社内LAN (P社)ルータ
|
テスト環境
単純な考えではNetScreenにルータへの通信をすべて許可にするとすれば
良いのですが外部からこのルータの設定画面を見ることができません。
ポリシー画面で下記を許可する設定を行いました。
【trust】ルータグローバルIP → 【untrust】Any サービス:Any
【untrust】Any → 【trust】ルータグローバルIP サービス:Any
上記の設定だとテスト環境から外部へは通信できるのですが、外部から
テスト環境(ルータ)へアクセスすることができません。
こんな単純なやり方ではできないでしょうか。
よろしくお願いします。
>>405,407
−NS側のIP Poolに設定してるIPアドレスが内部サーバと同じIPセグメント
−内部サーバ側にはルーティングは設定してない
ってことから、
NSの内側(Trust)のアドレス = IPPOOL = 内部サーバ ( = は同じセグメントって意味)
じゃねぇかと思うんだが、NSの内側アドレスと同じセグメントからIPPOOLをとると、NSが
そのIPPOOLのアドレスへのARP Request に答えんかったような気がする。
(以前はそうじゃった)
これが原因でないけ?
- IPPOOL かえる
-内部サーバへのアクセスを認めるポリシでNSの内側でNAT
してみるとどうなるべか?
−NS側のIP Poolに設定してるIPアドレスが内部サーバと同じIPセグメント
−内部サーバ側にはルーティングは設定してない
ってことから、
NSの内側(Trust)のアドレス = IPPOOL = 内部サーバ ( = は同じセグメントって意味)
じゃねぇかと思うんだが、NSの内側アドレスと同じセグメントからIPPOOLをとると、NSが
そのIPPOOLのアドレスへのARP Request に答えんかったような気がする。
(以前はそうじゃった)
これが原因でないけ?
- IPPOOL かえる
-内部サーバへのアクセスを認めるポリシでNSの内側でNAT
してみるとどうなるべか?
>>408
NetScreen の下のルータって単純にルーティングしているだけなの?
それとも、NATとかもしているの?
単純にルーティングだけなら、MIPを使うとよい。
単純にルーティングしてるだけなら、テスト環境から外部に通信できるのは設定した
ポリシーとは関係なく、trust any untrust any any permit なルールがあるからじゃろう。
ルータがNATしているんでそのようなルールを書き、それで通信が可能になったのなら、
こりゃぁ、ルータの設定を外部からテスト環境への通信を許可するように設定せなならん
から、NetScreenだけの設定じゃ無理だべ。
NetScreen の下のルータって単純にルーティングしているだけなの?
それとも、NATとかもしているの?
単純にルーティングだけなら、MIPを使うとよい。
単純にルーティングしてるだけなら、テスト環境から外部に通信できるのは設定した
ポリシーとは関係なく、trust any untrust any any permit なルールがあるからじゃろう。
ルータがNATしているんでそのようなルールを書き、それで通信が可能になったのなら、
こりゃぁ、ルータの設定を外部からテスト環境への通信を許可するように設定せなならん
から、NetScreenだけの設定じゃ無理だべ。
>>409
- IPPOOL かえる
これでOKでした!ありがとうございました。
前L2TPの経験があったWATCHGUARD社製のfwでは ippoolを内部サーバと同じ
IPセグメントで作成してもOKだったので 勘違いしておりました
今 マニュアル確認したら、マニュアルの例でも、違うセグメントでIPpoolを作成するような
設定をおこなってましたね(;・∀・)
助かりました〜 ありがとうございました
- IPPOOL かえる
これでOKでした!ありがとうございました。
前L2TPの経験があったWATCHGUARD社製のfwでは ippoolを内部サーバと同じ
IPセグメントで作成してもOKだったので 勘違いしておりました
今 マニュアル確認したら、マニュアルの例でも、違うセグメントでIPpoolを作成するような
設定をおこなってましたね(;・∀・)
助かりました〜 ありがとうございました
412 :anonymous@ pd5f7fb.tokyff01.ap.so-net.ne.jp:04/10/06 10:10:57 ID:???
>>408
>410
それでもいいかもしれないけど、
まずは動作モードを調べてみれば?
恐らく、TrustインターフェースはNAT・UntrustインターフェースはRoute
になっていると思ふ。
・TrustインターフェースをRouteモードに変える(set int trust route)
・社内LANからインターネットへの通信を、インターフェースNATからポリシーベースNATに
・テスト環境へのStaticルートを書く
・外部からテスト環境への許可ポリシーを作成
(念の為、一番下には「Any Any ANY Deny」ポリシーを)
まぁ、MIPの方が簡単かもね。。。
>410
それでもいいかもしれないけど、
まずは動作モードを調べてみれば?
恐らく、TrustインターフェースはNAT・UntrustインターフェースはRoute
になっていると思ふ。
・TrustインターフェースをRouteモードに変える(set int trust route)
・社内LANからインターネットへの通信を、インターフェースNATからポリシーベースNATに
・テスト環境へのStaticルートを書く
・外部からテスト環境への許可ポリシーを作成
(念の為、一番下には「Any Any ANY Deny」ポリシーを)
まぁ、MIPの方が簡単かもね。。。
>>405
You are welcome.
You are welcome.
414 :mde:04/10/06 13:25:28 ID:nq4pg072
NetscreenRemoteを利用するユーザごとに
割り当てるWINSやDNSを変える事できますか?
割り当てるWINSやDNSを変える事できますか?
>>414
WebUI の VPNs->L2TP->Tunnel の設定画面を見ると、Dialup Userごとに
割り当てるWINSやDNSを設定できるように見える。
思い通りに動くのかはわからん。試して教えてけろけろ。
WebUI の VPNs->L2TP->Tunnel の設定画面を見ると、Dialup Userごとに
割り当てるWINSやDNSを設定できるように見える。
思い通りに動くのかはわからん。試して教えてけろけろ。
すいません。知っている方がいたら教えていただきたいのですが。
5GT購入しました。フレッツADSLを使って相手側は固定IPでVPNトンネル
したいのですが、パケットがuntrustの外へいきません。
VPNでないトラフィックは出て行きます。ADSLモデムとNestscreenの間にハブ
いれてsnifferで取ってみました。ログはIKE phase1 initiated....で終わります。
スタティックルートが必要なのでしょうか。
HELPMEです。
5GT購入しました。フレッツADSLを使って相手側は固定IPでVPNトンネル
したいのですが、パケットがuntrustの外へいきません。
VPNでないトラフィックは出て行きます。ADSLモデムとNestscreenの間にハブ
いれてsnifferで取ってみました。ログはIKE phase1 initiated....で終わります。
スタティックルートが必要なのでしょうか。
HELPMEです。
417 :typhoon No.22:04/10/09 16:48:16 ID:W92eIems
>>416
VPNの設定が悪いなり。
もう一度、手元のNetScreenと相手NetScreenとのVPNの設定を
確認してみることをお勧め。
確認の項目としては、
- 互いに相手がゲートウェイとして設定されてるの?
- 事前共有鍵はちゃんと同じ(証明書ではないよね)?
- Phase1, Phase2 のプロポーザル
くらいをとりあえず。
VPNじゃないトラフィックはOKならスタティックルートは関係ないよ。
ガンガレ
VPNの設定が悪いなり。
もう一度、手元のNetScreenと相手NetScreenとのVPNの設定を
確認してみることをお勧め。
確認の項目としては、
- 互いに相手がゲートウェイとして設定されてるの?
- 事前共有鍵はちゃんと同じ(証明書ではないよね)?
- Phase1, Phase2 のプロポーザル
くらいをとりあえず。
VPNじゃないトラフィックはOKならスタティックルートは関係ないよ。
ガンガレ
418 :typhoon No.22:04/10/09 16:51:03 ID:???
ふと思ったが、相手は固定IPと書いてあるけど、自分は
固定IPではなさげ..... orz
固定IPではなさげ..... orz
>>417
ありがとうございます。
NetScreen−−−−Hub----ADSLModem--
|
Sniffer
VPNの設定が悪くてもPhase1のネゴシエーションのためのGWへの
パケットは出て行くと思いますが、Snifferでは何も取れませんでした
ISPからはuntrust側のグローバルもDSNも受け取っているので
WAN側の接続は問題ないと思っています。
困ってます。
ありがとうございます。
NetScreen−−−−Hub----ADSLModem--
|
Sniffer
VPNの設定が悪くてもPhase1のネゴシエーションのためのGWへの
パケットは出て行くと思いますが、Snifferでは何も取れませんでした
ISPからはuntrust側のグローバルもDSNも受け取っているので
WAN側の接続は問題ないと思っています。
困ってます。
420 :typhoon No.22:04/10/09 17:52:18 ID:W92eIems
>>419
ポリシーにVPNひっかけてたら、そんな通信がこないと VPNを
はろうとしないことは考えられるっすね。
ポリシー云々の影響を除くために、VPNモニターとかの設定はしとる
ですかにゃ?なければ、設定シマショ。
で、NetScreenCLI使えるなら、debug コマンド使いまひょ。
5gt-> debug ike detail
.... しばし待つ
5gt-> get dbuf st
VPN関連のデバッグ情報がウネウネ出てきまっせ。Try!!
WAN側が大丈夫なのを確認するためにも、CLIでピーイングも
やりましょ。
5gt-> ping どこか
ポリシーにVPNひっかけてたら、そんな通信がこないと VPNを
はろうとしないことは考えられるっすね。
ポリシー云々の影響を除くために、VPNモニターとかの設定はしとる
ですかにゃ?なければ、設定シマショ。
で、NetScreenCLI使えるなら、debug コマンド使いまひょ。
5gt-> debug ike detail
.... しばし待つ
5gt-> get dbuf st
VPN関連のデバッグ情報がウネウネ出てきまっせ。Try!!
WAN側が大丈夫なのを確認するためにも、CLIでピーイングも
やりましょ。
5gt-> ping どこか
422 :温帯低気圧:04/10/10 12:43:03 ID:5VaaLubd
>>421
接続しようとしているNetScreenが固定IPなのか、そうで
ないのかにもよっていろいろ設定は違ってくるぞ。
固定IPじゃなかったらアグレッシブモードでとか、ね。
とにかく、幸運を祈る。
でわ、さらばじゃ!!
接続しようとしているNetScreenが固定IPなのか、そうで
ないのかにもよっていろいろ設定は違ってくるぞ。
固定IPじゃなかったらアグレッシブモードでとか、ね。
とにかく、幸運を祈る。
でわ、さらばじゃ!!
よかった :)
425 :台風:04/10/13 12:58:47 ID:L+P84BCz
netscreenのSSL-VPN製品でSAM起動後、社内プロキシ経由でWWW見たいとき。
通常どおりブラウザを立ち上げてブックマークから見に行くことできますか?
また社内ウェブを閲覧するときブラウザの設定でプロキシ経由・ノンプロキシ経由を変更できますか?
通常どおりブラウザを立ち上げてブックマークから見に行くことできますか?
また社内ウェブを閲覧するときブラウザの設定でプロキシ経由・ノンプロキシ経由を変更できますか?
しかし、NetScreenはなんであの無意味なDoSプロテクションを
さっさと捨てさってくれないのかなあ?
Ver1.xころから今の今まで全然まともに動かないんだから
設計思想を根本から変えない限りこれ以降もダメでしょう
下手に機能があるからまともに動かないと客に突っ込まれて大変です
さっさと捨てさってくれないのかなあ?
Ver1.xころから今の今まで全然まともに動かないんだから
設計思想を根本から変えない限りこれ以降もダメでしょう
下手に機能があるからまともに動かないと客に突っ込まれて大変です
>>426 禿同
無意味DoSを減らして、もっとALGを充実させてほちい
けど、ALG充実させても、「ALG使ったら遅くなったじゃねぇか、ゴルァ!」
とか言われるんだろな。
ぼちぼち、5.1でんなぁ...
無意味DoSを減らして、もっとALGを充実させてほちい
けど、ALG充実させても、「ALG使ったら遅くなったじゃねぇか、ゴルァ!」
とか言われるんだろな。
ぼちぼち、5.1でんなぁ...
ちょいと、みんなに質問。
美奈様はNetScreenに追加して欲しい機能ってどんなのがある?
美奈様はNetScreenに追加して欲しい機能ってどんなのがある?
途中でカキ子っちまった。。
もいらは、文の不正中継くらい防げるようにして欲しいんじゃが。
もいらは、文の不正中継くらい防げるようにして欲しいんじゃが。
そー言う機能はFirewallに期待する機能であって
Netscreenに期待するものでは無・・・・・・・( ゚Д゚ )アレ?アレレ?
まぁ、それぞれ得意不得意はあるもので、いやはや
Netscreenに期待するものでは無・・・・・・・( ゚Д゚ )アレ?アレレ?
まぁ、それぞれ得意不得意はあるもので、いやはや
431 :初心者:04/10/23 06:17:28 ID:bhXleOCN
素人です。最近ネットスクリーンをはじめました。なんかすごく難しく感じます。
ルーティグベース、ポリシーベースとあるんですが、これの違いっていうのはなんでしょうか??
tunnelインタフェースにバインドするというのはなんとなくわかったのですが・・・・・・・
ルーティグベース、ポリシーベースとあるんですが、これの違いっていうのはなんでしょうか??
tunnelインタフェースにバインドするというのはなんとなくわかったのですが・・・・・・・
>>431
機器を2メールの高さに上げ、そこから45度の角度で落下させればうまく動くかも
機器を2メールの高さに上げ、そこから45度の角度で落下させればうまく動くかも
>>433
イイ!!
まあ、使い方の区別は、ここへ逝くときゃ全部 VPNってときには、
ルーティングベースでVPN張る。で、そこへ逝かせる通信のポリシー
を書く。
そこへいく通信の中で、これだけはVPNにしたいなってときはポリシー
ベースでVPN張るのがよいと思ふ。
イイ!!
まあ、使い方の区別は、ここへ逝くときゃ全部 VPNってときには、
ルーティングベースでVPN張る。で、そこへ逝かせる通信のポリシー
を書く。
そこへいく通信の中で、これだけはVPNにしたいなってときはポリシー
ベースでVPN張るのがよいと思ふ。
>>434
個人的にはルーティングベースだけでOKだと思いまふ。
特定のサービスを通すだけでなく、蹴ったパケットのログ取ったりすると
今後の為になる情報をゲトできるし。
過去のバージョンと混在してる場合は
ポリシーベースの方が何かと楽できそうですね。
個人的にはルーティングベースだけでOKだと思いまふ。
特定のサービスを通すだけでなく、蹴ったパケットのログ取ったりすると
今後の為になる情報をゲトできるし。
過去のバージョンと混在してる場合は
ポリシーベースの方が何かと楽できそうですね。
ぜんぜん関係ないけど、そういえば、IPsecのちょい前に、VPNとして、
swIPe とかいうのがあったんだけど、これの実装がルーティングベース
っぽかったなぁ。。。
swIPe とかいうのがあったんだけど、これの実装がルーティングベース
っぽかったなぁ。。。
437 :anonymous@ JSHF3161335:04/10/27 07:10:27 ID:???
昨日の新宿でのセミナーどうでした?
行けなかったので内容キボン
行けなかったので内容キボン
438 :anonymouse:04/10/27 13:26:52 ID:???
439 :ギルガメッシュナイト:04/10/27 16:14:15 ID:???
俺行きました!
ただ俺ぺーぺーなんで内容よくわかんなかったです
今月末に出る5
1の話が多かったですよ
後は新しくJシリーズが出るとか、ジュニパーはシスコよりすごいとか(笑)
そんな話でした
あと光学マウスもらいました
ただ俺ぺーぺーなんで内容よくわかんなかったです
今月末に出る5
1の話が多かったですよ
後は新しくJシリーズが出るとか、ジュニパーはシスコよりすごいとか(笑)
そんな話でした
あと光学マウスもらいました
440 :438:04/10/27 19:33:20 ID:8wWrNAqq
>>439
ありがトン
ありがトン
日立の5.1リリースはいつになるやら
442 :442:04/10/30 18:44:42 ID:k4If9sl+
>>441
まだまだ先じゃないの。
まだまだ先じゃないの。
H立リリース遅すぎ....
サポートを考えると こんなもんでしょ。
とフォローしてみる。
フォローしたからデモ機くれw>H立
とフォローしてみる。
フォローしたからデモ機くれw>H立
445 :不明なデバイスさん:04/11/01 20:02:07 ID:slF8vip3
どっかに日本語マニュアルないのでしょうか、、、、英語はきついです
日立の悪口はやめてあげてください
年1ぐらいでしか買わないのにお願いするとすぐデモ機貸してくれるいい人たちです
まあ、うちじゃなくてエンドのキャリアに気を使ってるんでしょうけどね
>>445
日立とアライドは出してたはずですが
年1ぐらいでしか買わないのにお願いするとすぐデモ機貸してくれるいい人たちです
まあ、うちじゃなくてエンドのキャリアに気を使ってるんでしょうけどね
>>445
日立とアライドは出してたはずですが
447 :NSRP:04/11/02 01:23:56 ID:tlca05+a
>>446
JuniperのHPに行ったら普通にありますよ。
Release NoteやCLI Manualと勘違いしてませんか?
ScreenOS 4.0台のNS25でNSRPできないの忘れてた。。。Oh!!
JuniperのHPに行ったら普通にありますよ。
Release NoteやCLI Manualと勘違いしてませんか?
ScreenOS 4.0台のNS25でNSRPできないの忘れてた。。。Oh!!
448 :不明なデバイスさん:04/11/02 13:49:03 ID:zS2qbOdD
JuniperのHPを見ましたがサポセンにログインしなければdownload
できないのでしょうか、、、
ドキュメントは英語のようです。
日立、アライド(三菱系列)で買ったものではないので取り寄せは厳しいです
できないのでしょうか、、、
ドキュメントは英語のようです。
日立、アライド(三菱系列)で買ったものではないので取り寄せは厳しいです
450 :不明なデバイスさん:04/11/02 21:28:01 ID:oj2AVNXI
鳩さん 過去ログを読み落として大変申し訳ありませんでした。
今後 熟読したいと思います。教えてくれて大変ありがたいです。
東北より感謝!楽天もくる!
今後 熟読したいと思います。教えてくれて大変ありがたいです。
東北より感謝!楽天もくる!
>>450
(´ー`)ノ
(´ー`)ノ
452 :anonymous@ c118190.net21845.cablenet.ne.jp:04/11/03 04:47:19 ID:aRRj1HbH
初歩的な質問で申し訳ございません。
1台のNetscreen50でトランスペアレントとRouterモードを混在させる事は可能でしょうか?
構成例1:
port1 untraust(Router)
port2 DMZ(トランスペアレント)
port3 trust(Router)
→DMZがL3なので、無理でした
構成例2:
port1 V1-untraust
port2 V1-DMZ
port3 trust(Router)
VLAN1にIPを割り当てます。
→trustとV1-DMZの間にポリシーを書こうとしますと、
「L2とL3ではポリシーが適応できない」と怒られて、設定できません。
何か良い方法がございましたら、ご教授お願い致します。
1台のNetscreen50でトランスペアレントとRouterモードを混在させる事は可能でしょうか?
構成例1:
port1 untraust(Router)
port2 DMZ(トランスペアレント)
port3 trust(Router)
→DMZがL3なので、無理でした
構成例2:
port1 V1-untraust
port2 V1-DMZ
port3 trust(Router)
VLAN1にIPを割り当てます。
→trustとV1-DMZの間にポリシーを書こうとしますと、
「L2とL3ではポリシーが適応できない」と怒られて、設定できません。
何か良い方法がございましたら、ご教授お願い致します。
453 : :04/11/03 07:18:55 ID:???
>>452
無理なんじゃないでしょうか.....。
以前似たようなことがやりたくていろいろTryしてみましたが、、、
だめじゃった orz...
secondary IP とか使っても IPが重なっとるで!とか怒られたし。
以前はIPのoverlapping を無視せよ!みたいなコマンドがあった
ようですが、現在は見当たらない。。。。
無理なんじゃないでしょうか.....。
以前似たようなことがやりたくていろいろTryしてみましたが、、、
だめじゃった orz...
secondary IP とか使っても IPが重なっとるで!とか怒られたし。
以前はIPのoverlapping を無視せよ!みたいなコマンドがあった
ようですが、現在は見当たらない。。。。
455 :452:04/11/03 11:19:31 ID:aRRj1HbH
456 :anonymous@ p1067-ipad41hodogaya.kanagawa.ocn.ne.jp:04/11/03 11:40:05 ID:OTxhPaYY
L2とL3は混在させることはできません。
Interface ModeというC&E Vol.2 P.107〜P.135を見てみよう。
誰かHSC(Hardware Security Client)触った人いないかな?
NSMを使っているのが前提のProductみたいですが。
Interface ModeというC&E Vol.2 P.107〜P.135を見てみよう。
誰かHSC(Hardware Security Client)触った人いないかな?
NSMを使っているのが前提のProductみたいですが。
457 :456:04/11/03 11:41:49 ID:OTxhPaYY
Oh,default Hushianasanにひっかかってしまいまーしたorz
458 :454:04/11/03 12:34:44 ID:MXRvBQY5
>>455
SonicWALLとかFireboxとかならできると思うよ。
SonicWALLは標準で、UntrustとDMZが同じセグメント、Trustは別、
Fireboxは標準でUntrustもDMZもTrustも全部同じセグメントのブリッジみたいな
感じだたよ
SonicWALLとかFireboxとかならできると思うよ。
SonicWALLは標準で、UntrustとDMZが同じセグメント、Trustは別、
Fireboxは標準でUntrustもDMZもTrustも全部同じセグメントのブリッジみたいな
感じだたよ
459 :456:04/11/03 12:50:00 ID:OTxhPaYY
SonicWALLやFireboxを扱ったことがないので知りませんでした。
ベンダーによって動作が違うんですね。
ベンダーによって動作が違うんですね。
460 :kazu:04/11/07 20:46:29 ID:DgJOPY2Q
Netscreen5XTの設定方法を教えて頂けないでしょうか
間違って Manage IP を 192.168.135.0 としてしまい
Web上で設定できなくなってしまいました。(表示不可)
232Cケーブルでつなぎ、Tera Term から、設定情報は参照できたのですが、
変更方法が分からずにいます。
Trustの
IpAddress / Netmask
192.168.135.0/24 から 192.168.135.1/24 へ変更
Manage IP
192.168.135.0 255.555.255.0 から 192.168.135.1 255.255.255.0 へ変更
get tech にて現在の情報を確認
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
unset interface vlan1 ip
set interface trust ip 192.168.135.0/24
set interface trust nat
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface vlan1 ip manageable
set interface trust ip manageable
set interface untrust ip manageable
set flow tcp-mss
set hostname ns5xt
set address "Trust "VPNUSER-45" 192.168.135.0 255.255.255.0 "名前1"
set address "Untrust" "VPN-Shin" 192.168.10.0 255.255.255.0 "名前2"
間違って Manage IP を 192.168.135.0 としてしまい
Web上で設定できなくなってしまいました。(表示不可)
232Cケーブルでつなぎ、Tera Term から、設定情報は参照できたのですが、
変更方法が分からずにいます。
Trustの
IpAddress / Netmask
192.168.135.0/24 から 192.168.135.1/24 へ変更
Manage IP
192.168.135.0 255.555.255.0 から 192.168.135.1 255.255.255.0 へ変更
get tech にて現在の情報を確認
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
unset interface vlan1 ip
set interface trust ip 192.168.135.0/24
set interface trust nat
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface vlan1 ip manageable
set interface trust ip manageable
set interface untrust ip manageable
set flow tcp-mss
set hostname ns5xt
set address "Trust "VPNUSER-45" 192.168.135.0 255.255.255.0 "名前1"
set address "Untrust" "VPN-Shin" 192.168.10.0 255.255.255.0 "名前2"
461 :ガンガレ:04/11/07 21:24:19 ID:ri/559yA
>>460
TrustのIPアドレスを蛙のは、単に、
unset interface trust ip
set interface trust ip 192.168.135.1/24
と、unset & set すればよろし。
modify interface trust ip 192.168.135.1/24
とやれば一度でできる。(はず)
それと、manager-ip と manage ip って2つあって
manage-ip: 機器を操作するためのアドレス(NetScreenにssh とか telnet でつなぐとき使う)
manager-ip:機器につなぐことができるアドレス(これ以外のアドレスからつなげない)
どす。ぱっと見、ネットワークアドレス設定しようとしちいるんで、manager-ip かな?と思う炊けど、
manage ip のやうですな。
manage ip は設定しなければ、インタフェースのアドレスが設定されるよ。
同じアドレスでもつけたいなら、
set interface trust manage-ip 192.168.135.1 (ネットマスクイラネ!)
少しうそついてるかも半分は正しいはず。
TrustのIPアドレスを蛙のは、単に、
unset interface trust ip
set interface trust ip 192.168.135.1/24
と、unset & set すればよろし。
modify interface trust ip 192.168.135.1/24
とやれば一度でできる。(はず)
それと、manager-ip と manage ip って2つあって
manage-ip: 機器を操作するためのアドレス(NetScreenにssh とか telnet でつなぐとき使う)
manager-ip:機器につなぐことができるアドレス(これ以外のアドレスからつなげない)
どす。ぱっと見、ネットワークアドレス設定しようとしちいるんで、manager-ip かな?と思う炊けど、
manage ip のやうですな。
manage ip は設定しなければ、インタフェースのアドレスが設定されるよ。
同じアドレスでもつけたいなら、
set interface trust manage-ip 192.168.135.1 (ネットマスクイラネ!)
少しうそついてるかも半分は正しいはず。
462 :kazu:04/11/07 23:37:56 ID:RvfQEhh8
エガッタエガッタ
selfログがぜんぜん取れないんですけど、あれはどこか設定必要ですか?
教えてください。おながいします。
教えてください。おながいします。
466 :age:04/11/18 19:26:32 ID:1BubM45/
>>466
レスサンクス
selfログってのはマニュアルで見ると
NetScreen は、すべての落とされたパケット(ポリシーに拒否されたものなど) やNetScreen デバイスが終了した
トラフィック(管理トラフィックなど) を監視および記録する自己ログを提供します。自己ログは、トラフィック
ログと同様に、落とされたパケットおよびNetScreen デバイスで終了したセッションの日付、時刻、ソースアド
レス/ ポート、宛先アドレス/ ポート、継続時間、およびサービスを表示します
ということです。
つまりポリシーに反して落とされたパケットも全部わかるよーということだと思ってるんですけど・・・
そこらを全部syslogサーバにあげてlog解析ツールで統計取ろうかなーと思ってます。
ちなみに623てのはただ前に書き込んだものが残ってただけでした。
レスサンクス
selfログってのはマニュアルで見ると
NetScreen は、すべての落とされたパケット(ポリシーに拒否されたものなど) やNetScreen デバイスが終了した
トラフィック(管理トラフィックなど) を監視および記録する自己ログを提供します。自己ログは、トラフィック
ログと同様に、落とされたパケットおよびNetScreen デバイスで終了したセッションの日付、時刻、ソースアド
レス/ ポート、宛先アドレス/ ポート、継続時間、およびサービスを表示します
ということです。
つまりポリシーに反して落とされたパケットも全部わかるよーということだと思ってるんですけど・・・
そこらを全部syslogサーバにあげてlog解析ツールで統計取ろうかなーと思ってます。
ちなみに623てのはただ前に書き込んだものが残ってただけでした。
>>466
おお 言われたとおりにコマンド入れたら出ました!
GUIだと設定らしきもの見られなかったのに・・・
コマンドじゃなきゃ設定できないことって多いんですかね
とにかく助かりました。ありがとうございました。
おお 言われたとおりにコマンド入れたら出ました!
GUIだと設定らしきもの見られなかったのに・・・
コマンドじゃなきゃ設定できないことって多いんですかね
とにかく助かりました。ありがとうございました。
469 :ゲチアの反例:04/11/19 01:16:04 ID:uqU9BEql
>>468
GUIでもRepoting のところで、表があるところの一番上に自分自身で
拒絶したログをとるかとらないかのチェックボックスがありまっせ:)
コマンドじゃなきゃできない設定項目ももちろんあるけど、とりあえずこれは
GUIでも設定できるつーことで。
GUIでもRepoting のところで、表があるところの一番上に自分自身で
拒絶したログをとるかとらないかのチェックボックスがありまっせ:)
コマンドじゃなきゃできない設定項目ももちろんあるけど、とりあえずこれは
GUIでも設定できるつーことで。
ぐぇ、名前がしもた.....
471 : :04/11/19 02:41:25 ID:???
5GTの年間保守費(トレンドの定義更新も含む)はいくらですか?
また、お勧めの販売店はどこでしょう?
また、お勧めの販売店はどこでしょう?
472 :anonymous@ p1151-ipad02hodogaya.kanagawa.ocn.ne.jp:04/11/19 23:54:47 ID:???
>>471
年間保守費は代理店によるのでは?
年間保守費は代理店によるのでは?
おっと、忘れてた。
やられたりー
やられたりー
474 :anonymous@ p14018-ipadfx01maru.tokyo.ocn.ne.jp:04/11/23 04:55:20 ID:???
Port Forwardingについて教えてください。
テスト用に使用していたNS-100 OS4.0.0を、FWとして本格的に使用しようかと思い立って
再設定を始めたのですが、WebサーバやSOCKSサーバを外部に公開する為に
NSのuntrust宛てに来たパケットを転送する必要がある事に気付きました。
ところがうちはISPから1つしかIPアドレスを貰っていませんでした。
(OCNからPPPoEで固定アドレスを1つ貰っています)
4.xだとポート転送用のVIPをuntrustのアドレスとは別に設定しないと駄目みたいなのですが、
何か別の方法があるのでしょうか?それともやっぱり駄目なんでしょうか?
また、5.1.xではDNATがサポートされているようなのですが、これはNSのuntrust宛てに来たものを
直接転送できるのでしょうか。それとも4.0のVIPのように別アドレスを設定してあげる必要が
あるんでしょうか?
(保守切れてるので5.1が試せない orz)
テスト用に使用していたNS-100 OS4.0.0を、FWとして本格的に使用しようかと思い立って
再設定を始めたのですが、WebサーバやSOCKSサーバを外部に公開する為に
NSのuntrust宛てに来たパケットを転送する必要がある事に気付きました。
ところがうちはISPから1つしかIPアドレスを貰っていませんでした。
(OCNからPPPoEで固定アドレスを1つ貰っています)
4.xだとポート転送用のVIPをuntrustのアドレスとは別に設定しないと駄目みたいなのですが、
何か別の方法があるのでしょうか?それともやっぱり駄目なんでしょうか?
また、5.1.xではDNATがサポートされているようなのですが、これはNSのuntrust宛てに来たものを
直接転送できるのでしょうか。それとも4.0のVIPのように別アドレスを設定してあげる必要が
あるんでしょうか?
(保守切れてるので5.1が試せない orz)
名前欄入れ忘れた...
吊って来る
吊って来る
476 :質問です、お助け:04/11/23 06:46:04 ID:JucVuEBa
Netscreenの管理画面で、その時点でVPNクライアントアクセスしているユーザー名やユーザー数な
どを把握できるのかと聞かれています。GUIのどこかでみれますか?NS25です。教えてください。
どを把握できるのかと聞かれています。GUIのどこかでみれますか?NS25です。教えてください。
>>474
4系のScreenOSのことはあまり知らずに意見するのも恐縮ですが、
- あるポートを別のポートに forward したい
- 4系ではVIPは untrust とは別のアドレスにする必要がある
- アドレスはひとつしかない
は同時にはなりたたないので、「やっぱり駄目」なのではないか、と
思います。
ただ、5.1まであげなくても、5.0ではVIPをuntrustと同じアドレスに設定
することはできますよ。
#って、NS-100に5系のファームはあったのだろうか?
4系のScreenOSのことはあまり知らずに意見するのも恐縮ですが、
- あるポートを別のポートに forward したい
- 4系ではVIPは untrust とは別のアドレスにする必要がある
- アドレスはひとつしかない
は同時にはなりたたないので、「やっぱり駄目」なのではないか、と
思います。
ただ、5.1まであげなくても、5.0ではVIPをuntrustと同じアドレスに設定
することはできますよ。
#って、NS-100に5系のファームはあったのだろうか?
478 :ゲチアの反例:04/11/23 11:10:39 ID:eqmDbKn8
479 :anonymous@ 07001110717538_mc:04/11/23 16:54:07 ID:4cu2RlQQ
ジュニパーかジェニパーか?
やっぱ ジュンパー でしょ
481 :anonymous@ 210.160.18.66:04/11/23 18:15:16 ID:AstFXADj
NetScreen25とRTX1000でVPN(IPsec)設定をしているのですが、うまくつながりません。
リモートのLANにまったくアクセスできない状況です。
NetScreen側のログは下記のようになっています。
IKE<*.*.*.*> Phase 1: Retransmission limit has been reached.
2004-11-23 17:56:48 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode.
2004-11-23 17:55:57 info IKE<*.*.*.*> Phase 1: Retransmission limit has been reached.
2004-11-23 17:55:08 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode.
上記だけの情報で恐縮ですが、どこに原因があるのか教えてください。
リモートのLANにまったくアクセスできない状況です。
NetScreen側のログは下記のようになっています。
IKE<*.*.*.*> Phase 1: Retransmission limit has been reached.
2004-11-23 17:56:48 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode.
2004-11-23 17:55:57 info IKE<*.*.*.*> Phase 1: Retransmission limit has been reached.
2004-11-23 17:55:08 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode.
上記だけの情報で恐縮ですが、どこに原因があるのか教えてください。
483 :ゲチアの反例:04/11/23 23:04:50 ID:h9V2Da4X
484 :anonymous@ nttkyo093034.tkyo.nt.adsl.ppp.infoweb.ne.jp:04/11/24 00:29:30 ID:cGJEAdXD
netscreen25を使っていますが、コンソールに入り、pingを叩いても内外部どこへも通りません。
trust側のPCからは外部へ問題なくpingが通ります。
(netscreenのtrust側IPへもpingOK)
また、外部からuntrust側IPへもpingが通るように設定しあり、フィルタはかけていないのですが
このような状況になってしまいます。
どこに問題があるのでしょうか・・・
trust側のPCからは外部へ問題なくpingが通ります。
(netscreenのtrust側IPへもpingOK)
また、外部からuntrust側IPへもpingが通るように設定しあり、フィルタはかけていないのですが
このような状況になってしまいます。
どこに問題があるのでしょうか・・・
485 :anonymous@:04/11/24 11:49:03 ID:???
>>476
GUIでは見れなかったと思うけど、
コマンドなら get ike cookie とかで表示できたような。
そのなかに表示されるUserIDとConfigのなかのUserIDを照らし合わせれば。
まぁ、GUIではないですが…。
>477
5.x系でも機種によってはUntrustと同じIPは設定できなかったと思うよ?
>>484
どんな構成になっているかが木になる…
GUIでは見れなかったと思うけど、
コマンドなら get ike cookie とかで表示できたような。
そのなかに表示されるUserIDとConfigのなかのUserIDを照らし合わせれば。
まぁ、GUIではないですが…。
>477
5.x系でも機種によってはUntrustと同じIPは設定できなかったと思うよ?
>>484
どんな構成になっているかが木になる…
>>485
get ike cook で判断するのは p1のlifetimeが28800もあるんできつくないかな?
すでにいないのにcookieだけ残っている状況が出現しそうな。
それよりはセッションテーブルでVPN経由な谷津をみつけた方が性格ではないかと。
ま、おなじくGUIではないですが。
今、5XP、5XTでuntrustと同じIPでVIP設定したけど、できたよ。5gtじゃできないのかな?
get ike cook で判断するのは p1のlifetimeが28800もあるんできつくないかな?
すでにいないのにcookieだけ残っている状況が出現しそうな。
それよりはセッションテーブルでVPN経由な谷津をみつけた方が性格ではないかと。
ま、おなじくGUIではないですが。
今、5XP、5XTでuntrustと同じIPでVIP設定したけど、できたよ。5gtじゃできないのかな?
>>486
うんまぁ、どっちにしろGUIではないから、
結局は「GUIでは見れません!」ってゆう事なのかぁ。
#ユーザ名だけならイベントログとかで表示されるだろうけど
もともと5シリーズはOS4.x系でもできたと思ったけど。
他の機種(とOSの組み合わせ)でも試してみてね(´・ω・`)
そしたら「機種によっては」の意味がわかるよ。
うんまぁ、どっちにしろGUIではないから、
結局は「GUIでは見れません!」ってゆう事なのかぁ。
#ユーザ名だけならイベントログとかで表示されるだろうけど
もともと5シリーズはOS4.x系でもできたと思ったけど。
他の機種(とOSの組み合わせ)でも試してみてね(´・ω・`)
そしたら「機種によっては」の意味がわかるよ。
alarmランプが赤く点灯しても問題ないそうなんですが、点灯する原因って分かるんでしょか?
490 :??:04/11/25 14:55:34 ID:yEYs+HZ4
まあ、たいていは問題ないです。以下のようなことで赤くなったりしちゃうので。
What events will trigger the alarm LED to go red?
The alarm LED will turn red whenever any one of the following events occur:
Emergency:
Syn Attack
Tear Drop Attack
Ping of Death
Alert:
Winnuke Attack
IP Spoof Attack
IP Source Route Attack
Land Attack
ICMP Flood
UDP Flood
Port Scan Attack
Address Sweep
Policy Deny Alarms
Check the alarm events to determine if you have received any one of these messages.
What events will trigger the alarm LED to go red?
The alarm LED will turn red whenever any one of the following events occur:
Emergency:
Syn Attack
Tear Drop Attack
Ping of Death
Alert:
Winnuke Attack
IP Spoof Attack
IP Source Route Attack
Land Attack
ICMP Flood
UDP Flood
Port Scan Attack
Address Sweep
Policy Deny Alarms
Check the alarm events to determine if you have received any one of these messages.
491 :anonymous@ U047038.ppp.dion.ne.jp:04/11/25 15:28:09 ID:???
>>491
clear led alarm だね :)
clear led alarm だね :)
>>490
>>491
ありがとうございます。
でもそのコマンドを入れてみたら
なんちゃら led off
^------------unknown keyword なんちゃら
ってエラーが出たんですけど。
>>491
ありがとうございます。
でもそのコマンドを入れてみたら
なんちゃら led off
^------------unknown keyword なんちゃら
ってエラーが出たんですけど。
>>495
ネタニマジレス。。。。。
ネタニマジレス。。。。。
荒れずにスレが伸びることは良いことです。
内容がアレですけどw
内容がアレですけどw
499 :anonymous@ FLH1Abf092.kng.mesh.ad.jp:04/11/27 17:53:42 ID:gxibciNV
盛り上がっているところすまんがw
5GTでアンチウイルス機能(特にPOPやSMTP)使ってる人いる?
FWやVPNは使わず、AV機能だけをトランスペアレントモードで使用すべく
検討していますが、いかがな感じでしょう。
5GTでアンチウイルス機能(特にPOPやSMTP)使ってる人いる?
FWやVPNは使わず、AV機能だけをトランスペアレントモードで使用すべく
検討していますが、いかがな感じでしょう。
501 : :04/11/27 18:47:16 ID:???
>>501
AVはまずバッファが少なすぎて意図的にダミーと一緒に
ウィルス送りつければかなり通ります
流行りまくって内外で大量感染して飛び交ってるような場合も
バッファ不足でダメっぽいです
DoSプロテクションはteardorpとかwinNukeとか
特定のコードに依存するも以外は全然ダメです
Flodding系はほとんど止まらないか、
とめようとして閾値上げるとまともなトラフィックも止めたりします
LanDなんかも、ポートまで同じで無いとLanDとみなさないので
メールサーバにsrc:25/dst:110でLanDかけると普通に攻撃が成立します
この辺のおまけ機能は
内部の機器での対策が万全になっている上での追加要素として考えないと
AVはまずバッファが少なすぎて意図的にダミーと一緒に
ウィルス送りつければかなり通ります
流行りまくって内外で大量感染して飛び交ってるような場合も
バッファ不足でダメっぽいです
DoSプロテクションはteardorpとかwinNukeとか
特定のコードに依存するも以外は全然ダメです
Flodding系はほとんど止まらないか、
とめようとして閾値上げるとまともなトラフィックも止めたりします
LanDなんかも、ポートまで同じで無いとLanDとみなさないので
メールサーバにsrc:25/dst:110でLanDかけると普通に攻撃が成立します
この辺のおまけ機能は
内部の機器での対策が万全になっている上での追加要素として考えないと
503 : :04/11/27 20:31:50 ID:???
>>502
早速ありがとうございます。
そうですか、いやーん。
NAT環境下にいるマシンが感染して、外に対して勝手に変なモノ投げつけることへの
対策に使えればと思っていたんですけどね。
まだFortigateの方が良いのかな。
早速ありがとうございます。
そうですか、いやーん。
NAT環境下にいるマシンが感染して、外に対して勝手に変なモノ投げつけることへの
対策に使えればと思っていたんですけどね。
まだFortigateの方が良いのかな。
504 :r9:04/11/27 21:50:59 ID:TDMI4NfF
まあ、5GTですからねぇ。。。ISG-2000とかでAVやってみると
どうなんだろ??
しかし、trendもCiscoと仲良くしちゃったから、この路線はどうなるやら
どうなんだろ??
しかし、trendもCiscoと仲良くしちゃったから、この路線はどうなるやら
505 :age:04/11/29 14:10:39 ID:N9oDcpvz
age
506 :anonymous@ gw2.kbmj.jp:04/12/03 11:49:13 ID:???
5GTでVPNをやりたいんですけど、うまく出来ません。
NetScreen-RemoteをwinXPに入れて設定を行い、winの
ネットワーク接続でVPNを作成し繋ぎに行ってます。
NetScreen-RemoteのLogを見るとコネクションは張れている
ようなのですが、winの接続の方は「接続中」と出たまま
でそのうちタイムアウトします。
(タイムアウト後もNetScreen-Remoteの方はコネクション張れてます)
この状態で通信が出来るのでしょうか?
出来るならばその方法は?
それとも設定が足りない?
と、わからないことだらけです・・・。
どなたか教えていただけませんでしょうか。宜しくお願いします。
NetScreen-RemoteをwinXPに入れて設定を行い、winの
ネットワーク接続でVPNを作成し繋ぎに行ってます。
NetScreen-RemoteのLogを見るとコネクションは張れている
ようなのですが、winの接続の方は「接続中」と出たまま
でそのうちタイムアウトします。
(タイムアウト後もNetScreen-Remoteの方はコネクション張れてます)
この状態で通信が出来るのでしょうか?
出来るならばその方法は?
それとも設定が足りない?
と、わからないことだらけです・・・。
どなたか教えていただけませんでしょうか。宜しくお願いします。
初めて書き込みさせて頂きます、どうかこの素人管理者を助けて頂けませんでしょうか。
Netscreen25配下のPC(XPpro)より、インターネットを通してVPNサーバ機能付きルーター
(メルコ社製WZR-RS-G54HP)にVPN通信(PPtP)が出来なくて困っております。
接続をかけると、「ユーザー名とパスワードを検証中」としばらくなったのち
エラー619となり接続を確立できません。
どうにか接続を確立する方法は無いでしょうか?
なお、PCを直接インターネットに繋ぎ、そこからVPNサーバ機能付きルーターへ接続
確立したことは確認済みです。
なぜこのような事をしているのか具体的に申しますと、本社〜各所間では
ネットスクリーンを用いたIPsecによるVPN網がすでに構築済みなのですが、
日中殆ど無人のとある小事業所のPCをウエイク・オン・ランしつつ
VPN接続してリモート操作できないかと言う話になり、上記機種の機能を用いれば
可能ではないかと思い立ち稟議をかけ構築してみたのですが、いざ繋いで見ると
上記のような状態になってしまったのです。
Netscreenの構成・管理は業者にお願いしており、(N○Tコミ○○ーショ○○)
相談してみたのですが、「そのような事例を扱ったことが無いので、どのように
設定したら良いかが分からない、こちらでも調べますが、そちらでも調べて下さい、
言われたとおりに設定しますので」との返答。
当方、勤めていた会社が倒産し、年老いた母と、受験を控えた二人の子供を抱え、
ハローワークを奔走していた所を現在の上司に拾っていただいた
ばかりであります。
しかしながら、ご恩を返そうと盲動した挙句、私の浅慮により現状を招き、
恩人の顔に泥を塗るような事態を招かんとしております。
厚顔の極みで誠に恐縮ですが、できればこれ以上の経費をかけず、セキュリティも
確立したまま接続を確立する方法を教えて頂けませんでしょうか。
よろしくお願い致します。
Netscreen25配下のPC(XPpro)より、インターネットを通してVPNサーバ機能付きルーター
(メルコ社製WZR-RS-G54HP)にVPN通信(PPtP)が出来なくて困っております。
接続をかけると、「ユーザー名とパスワードを検証中」としばらくなったのち
エラー619となり接続を確立できません。
どうにか接続を確立する方法は無いでしょうか?
なお、PCを直接インターネットに繋ぎ、そこからVPNサーバ機能付きルーターへ接続
確立したことは確認済みです。
なぜこのような事をしているのか具体的に申しますと、本社〜各所間では
ネットスクリーンを用いたIPsecによるVPN網がすでに構築済みなのですが、
日中殆ど無人のとある小事業所のPCをウエイク・オン・ランしつつ
VPN接続してリモート操作できないかと言う話になり、上記機種の機能を用いれば
可能ではないかと思い立ち稟議をかけ構築してみたのですが、いざ繋いで見ると
上記のような状態になってしまったのです。
Netscreenの構成・管理は業者にお願いしており、(N○Tコミ○○ーショ○○)
相談してみたのですが、「そのような事例を扱ったことが無いので、どのように
設定したら良いかが分からない、こちらでも調べますが、そちらでも調べて下さい、
言われたとおりに設定しますので」との返答。
当方、勤めていた会社が倒産し、年老いた母と、受験を控えた二人の子供を抱え、
ハローワークを奔走していた所を現在の上司に拾っていただいた
ばかりであります。
しかしながら、ご恩を返そうと盲動した挙句、私の浅慮により現状を招き、
恩人の顔に泥を塗るような事態を招かんとしております。
厚顔の極みで誠に恐縮ですが、できればこれ以上の経費をかけず、セキュリティも
確立したまま接続を確立する方法を教えて頂けませんでしょうか。
よろしくお願い致します。
508 :??:04/12/03 15:41:26 ID:hPaK6ndK
>>507
クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか
あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが
一台だけであれば、思いは遂げれるはずです。
なお、できればそのルールではDIPを使ったほうがいいでしょう。また、複数クライアント
がいる場合は、クライアントごとに DIPを割り当てる必要があると思います。
ちょっと自分ではやっていないのであやふやでごめんなさい。
エロイ方、さらなる解説をおながいします
クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか
あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが
一台だけであれば、思いは遂げれるはずです。
なお、できればそのルールではDIPを使ったほうがいいでしょう。また、複数クライアント
がいる場合は、クライアントごとに DIPを割り当てる必要があると思います。
ちょっと自分ではやっていないのであやふやでごめんなさい。
エロイ方、さらなる解説をおながいします
ご回答頂き、ありがとうございます。
>クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか
>あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが
>一台だけであれば、思いは遂げれるはずです。
こちらの環境としてはネットスクリーン下に置かれたPCからインターネット
へのポート規制はステートフルインスペクションでの規制のみでして、内側
から開けばどのポートでも開くはずですが、その「fixed port」は関係
ありますでしょうか?
DIPとはDynamic IP機能の事でしょうか?
ヒントありがとうございます、勉強してみます
>クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか
>あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが
>一台だけであれば、思いは遂げれるはずです。
こちらの環境としてはネットスクリーン下に置かれたPCからインターネット
へのポート規制はステートフルインスペクションでの規制のみでして、内側
から開けばどのポートでも開くはずですが、その「fixed port」は関係
ありますでしょうか?
DIPとはDynamic IP機能の事でしょうか?
ヒントありがとうございます、勉強してみます
510 :508:04/12/03 18:34:41 ID:hPaK6ndK
おっしゃっていることは、おそらくNetScreenでのルールは Any→Any permit のみ
ってことだと思います。
で、これは"fixed port"とは関係ないと言えばないです。
通常ファイアウォールでは、
- 始点アドレス
- 始点ポート
の2つを書き換えますが、"fixed port" というのはこのうち後者の始点ポートを書き換えない
ようにするということです。で、ファイアウォールでのルールが上のようなルールだけであれば
この"fixed port"は使っちゃ逝かんです。別途ルールを設定したほうがいいです。
で、DIPはそのとおりです。
始点アドレスを書き換えることについては理解しておられると思いますが、始点ポートをも書き
かえるのは、
A から Bへ始点ポート100、 終点ポート25 で通信する
C から Bへ始点ポート100、終点ポート25 で通信する
というファイアウォールを通過する2つの通信があった場合、その2つの通信での戻りパケットを
考えると、それがAへの戻りパケットなのか、Cへの戻りパケットなのかわかんなくなってしまうから
です。
ってことだと思います。
で、これは"fixed port"とは関係ないと言えばないです。
通常ファイアウォールでは、
- 始点アドレス
- 始点ポート
の2つを書き換えますが、"fixed port" というのはこのうち後者の始点ポートを書き換えない
ようにするということです。で、ファイアウォールでのルールが上のようなルールだけであれば
この"fixed port"は使っちゃ逝かんです。別途ルールを設定したほうがいいです。
で、DIPはそのとおりです。
始点アドレスを書き換えることについては理解しておられると思いますが、始点ポートをも書き
かえるのは、
A から Bへ始点ポート100、 終点ポート25 で通信する
C から Bへ始点ポート100、終点ポート25 で通信する
というファイアウォールを通過する2つの通信があった場合、その2つの通信での戻りパケットを
考えると、それがAへの戻りパケットなのか、Cへの戻りパケットなのかわかんなくなってしまうから
です。
解決しました。L2TP-over-IPSecを使おうとしてたのですが、
ダイアルアップ - LAN 間 VPN 、動的ピア という方でやり直して
みたらちゃんと接続できるようになりました。
ダイアルアップ - LAN 間 VPN 、動的ピア という方でやり直して
みたらちゃんと接続できるようになりました。
512 :anonymous@ p3216-ipbf715marunouchi.tokyo.ocn.ne.jp:04/12/13 15:16:11 ID:6p/ghEJX
VLANのシャットダウンコマンドってあるんですかね?
コマンドリファレンスには載ってなかったんですけど…
コマンドリファレンスには載ってなかったんですけど…
514 :anonymous@ YahooBB219176194048.bbtec.net:04/12/23 09:36:51 ID:FqbHRKZZ
先日VPNが40秒ぐらいつながらない事象発生。
それでevent logみたらphase-1のrekeyの時間に重なって
いたみたいで、rekey発生。しかし、ひとつのNetscreenにphase-1成功。
もう片側には何にもでず。その、40秒後にはphase-1からやり直したみたいで、
お互いネゴ成功させて通信回復。
つまり、片側だけphase-1成功という状態に・・・・。
こんな現象誰か説明できます??
それでevent logみたらphase-1のrekeyの時間に重なって
いたみたいで、rekey発生。しかし、ひとつのNetscreenにphase-1成功。
もう片側には何にもでず。その、40秒後にはphase-1からやり直したみたいで、
お互いネゴ成功させて通信回復。
つまり、片側だけphase-1成功という状態に・・・・。
こんな現象誰か説明できます??
SAって片方向のモンだから別に正常じゃない?
516 :anonymous@ pee7646.gifuff01.ap.so-net.ne.jp:04/12/28 11:39:30 ID:8d5phKO9
5GT買おうと思っていますが、10ユーザと
いうのはNATでしょうか?VPNでしょうか?
いうのはNATでしょうか?VPNでしょうか?
517 :b:04/12/28 13:55:03 ID:nnG166Rc
518 :anonymous@ pee7646.gifuff01.ap.so-net.ne.jp:04/12/30 12:40:34 ID:7NFkDsPU
>>516
VPNユーザだろ
VPNユーザだろ
519 :anonymous@ z210.219-103-198.ppp.wakwak.ne.jp:04/12/30 21:21:10 ID:???
>516
517が正しい。
517が正しい。
5拠点のスターなトポロジでセンター拠点移動して(他拠点のconfig修正後)
センター再稼動させたところ、2拠点ばっかし自動でセッション張れませんでつた。
他拠点がDynamic接続だったせいもあるんでしょうが
NSでphase1張りにいくのってどういったタイミングの時なんでしょう?
あとNS本体のみで他peerにVPNセッション始めるコマンドとかってあったりしますか?
センター再稼動させたところ、2拠点ばっかし自動でセッション張れませんでつた。
他拠点がDynamic接続だったせいもあるんでしょうが
NSでphase1張りにいくのってどういったタイミングの時なんでしょう?
あとNS本体のみで他peerにVPNセッション始めるコマンドとかってあったりしますか?
あけおめ。ことよろ。
>他拠点がDynamic接続だったせいもあるんでしょうが
>NSでphase1張りにいくのってどういったタイミングの時なんでしょう?
でふぉは通信発生時っぽ
>あとNS本体のみで他peerに
>VPNセッション始めるコマンドとかってあったりしますか?
P2のVPNmonitorやってれば勝手に接続したっぽ
>他拠点がDynamic接続だったせいもあるんでしょうが
>NSでphase1張りにいくのってどういったタイミングの時なんでしょう?
でふぉは通信発生時っぽ
>あとNS本体のみで他peerに
>VPNセッション始めるコマンドとかってあったりしますか?
P2のVPNmonitorやってれば勝手に接続したっぽ
住民の皆さんに伺いたいことがあります
NSリモートの設定ができる保守業者さんは何処が良いでしょうか?
それと、今の保守契約をしている会社からの保守移管は出来るのでしょうか?
テクニカルな質問でなくてすいません でも、どーしても困っているので。。。
NSリモートの設定ができる保守業者さんは何処が良いでしょうか?
それと、今の保守契約をしている会社からの保守移管は出来るのでしょうか?
テクニカルな質問でなくてすいません でも、どーしても困っているので。。。
NSRでDialUpユーザにVirtual IP Address当てるやり方わかりません。。
確実にどこか間違ってるのでエロイ人修正方法教えてください…。。
トンネル使わないで自宅のローカルアドレスをそのまま
Remote IPとするやり方はわかったんですが
今はこんな感じでPhsase2のところで
No policy exists for the proxy IDと叱られます。
IKE User作成してAutoKey IKE AdvancedでDialUp Userに作成したUser指定、
Pre-SharedKeyを入力
Phase1プロポーサルはいつものpre-g2-3des-sha・アグレッシブモード
NAT-TはDisable
Auto Key IKEでPhase2プロポーサルはg2-esp-3des-sha
Reply Protectionをenable
tunnnel Interfaceをunnumberedのtunnel.1でバインドしてProxy IDで
Local IPがバーチャルアドレスにしたいアドレス
Remote IPは0.0.0.0/0
Policyでバーチャルアドレスから接続先LANのサブネットをPermit
クライアント側でRemote Party Identity and Addressingを
IP Addressにし接続先のNSのアドレスを入力、
My IdentityではID TypeをIKEUserのメールアドレス、
PSK入力、Auth Phase1のSA Lifeは28800sec Phase2のSA Lifeは3600sec
これをやらないとうちの社内ローカルで192.168.0.0/24を使ってるせいで
大半のUserが自宅アドレスと競合してしまいます(;´Д`)
確実にどこか間違ってるのでエロイ人修正方法教えてください…。。
トンネル使わないで自宅のローカルアドレスをそのまま
Remote IPとするやり方はわかったんですが
今はこんな感じでPhsase2のところで
No policy exists for the proxy IDと叱られます。
IKE User作成してAutoKey IKE AdvancedでDialUp Userに作成したUser指定、
Pre-SharedKeyを入力
Phase1プロポーサルはいつものpre-g2-3des-sha・アグレッシブモード
NAT-TはDisable
Auto Key IKEでPhase2プロポーサルはg2-esp-3des-sha
Reply Protectionをenable
tunnnel Interfaceをunnumberedのtunnel.1でバインドしてProxy IDで
Local IPがバーチャルアドレスにしたいアドレス
Remote IPは0.0.0.0/0
Policyでバーチャルアドレスから接続先LANのサブネットをPermit
クライアント側でRemote Party Identity and Addressingを
IP Addressにし接続先のNSのアドレスを入力、
My IdentityではID TypeをIKEUserのメールアドレス、
PSK入力、Auth Phase1のSA Lifeは28800sec Phase2のSA Lifeは3600sec
これをやらないとうちの社内ローカルで192.168.0.0/24を使ってるせいで
大半のUserが自宅アドレスと競合してしまいます(;´Д`)
>>523
NSR側で、
Options - Global Policy Settings の
"Allow to Specify Internal Network Address"にチェック入れて、
My Identity の Internal IP Addressに適当なアドレスを入れるンじゃダメかい?
NSR側で、
Options - Global Policy Settings の
"Allow to Specify Internal Network Address"にチェック入れて、
My Identity の Internal IP Addressに適当なアドレスを入れるンじゃダメかい?
誰かCPU使用率のOID知らないすか
MRTGでトラフィック見れるようにしたいんですけど
MRTGでトラフィック見れるようにしたいんですけど
527 : :05/01/15 08:23:10 ID:xfEACp3+
>>525
snmpwalkで総なめにしてチェックしてみれば?
snmpwalkで総なめにしてチェックしてみれば?
530 : :05/01/18 02:43:22 ID:???
>>529
NSのMIBファイル見ればいいだろ
NSのMIBファイル見ればいいだろ
NSRのあたらしいやつ(8.5)って何が変わったの?
見た目に変わるようなことは無いのかな?
見た目に変わるようなことは無いのかな?
532 : :05/01/19 00:40:48 ID:E2ckt8RT
NSR(8.0)で、Disconnectしてしばらく経つと認証ダイアログボックスが
ポコッと出てくる。
そんな現象に悩まされている方、他にもいらっしゃいますか?
つーか何これ?
ポコッと出てくる。
そんな現象に悩まされている方、他にもいらっしゃいますか?
つーか何これ?
533 :anonymous@ 210.189.30.129:05/01/19 10:50:09 ID:2cSxqs9L
>>532
Disconnectだけじゃだめよ。deactivate security policyやんなく茶。
Disconnectだけじゃだめよ。deactivate security policyやんなく茶。
534 : :05/01/19 14:44:18 ID:bKDHF6MY
>530
おっしゃる通りです。私の調査不足でした。
ちゃんと探したら見つかりました・・・
せっかく調べたので皆知ってるかもしらんけど報告します。
1.3.6.1.4.1.3224.16.1 --- nsResCPU
1.3.6.1.4.1.3224.16.1.1 --- nsResCpuAvg (INTEGER)
1.3.6.1.4.1.3224.16.1.2 --- nsResCpuLast1Min (INTEGER)
1.3.6.1.4.1.3224.16.1.3 --- nsResCpuLast5Min (INTEGER)
1.3.6.1.4.1.3224.16.1.4 --- nsResCpuLast15Min (INTEGER)
おっしゃる通りです。私の調査不足でした。
ちゃんと探したら見つかりました・・・
せっかく調べたので皆知ってるかもしらんけど報告します。
1.3.6.1.4.1.3224.16.1 --- nsResCPU
1.3.6.1.4.1.3224.16.1.1 --- nsResCpuAvg (INTEGER)
1.3.6.1.4.1.3224.16.1.2 --- nsResCpuLast1Min (INTEGER)
1.3.6.1.4.1.3224.16.1.3 --- nsResCpuLast5Min (INTEGER)
1.3.6.1.4.1.3224.16.1.4 --- nsResCpuLast15Min (INTEGER)
はじめまして。NSのチッチャイのを専門に設定してる者です。
現在5gt(5.0.0r8.1)を設定しているのですが、[Addresses]→[List]
の設定でよく分からない部分があり、ご存知の方がいらっしゃれば
教えてください。
アドレスの指定を[Domain Name]にして、
「"特定のドメイン名(例:odn.ne.jp)"を含む"不特定のホスト
(例:www.odn.ne.jp、smtp.odn.ne.jp)"」を指定したいのですが、
可能でしょうか。
以下のように設定したのですが、上手くいかず。。。
----
set address "Untrust" "test" *.odn.ne.jp
----
マニュアルにも載ってない(見つからず)し、不可能なのでしょうか。
設定例とか落ちてないかな、と捜索中です。
現在5gt(5.0.0r8.1)を設定しているのですが、[Addresses]→[List]
の設定でよく分からない部分があり、ご存知の方がいらっしゃれば
教えてください。
アドレスの指定を[Domain Name]にして、
「"特定のドメイン名(例:odn.ne.jp)"を含む"不特定のホスト
(例:www.odn.ne.jp、smtp.odn.ne.jp)"」を指定したいのですが、
可能でしょうか。
以下のように設定したのですが、上手くいかず。。。
----
set address "Untrust" "test" *.odn.ne.jp
----
マニュアルにも載ってない(見つからず)し、不可能なのでしょうか。
設定例とか落ちてないかな、と捜索中です。
538 :anonymous@ 61.195.45.201.eo.eaccess.ne.jp:05/01/22 10:07:53 ID:CK4+AdxD
ちょい質問なんだが、
Netscreenの機能で、ネットワーク上を流れるパケットの量を計ることって出来たっけ?(;´Д`)
Netscreenの機能で、ネットワーク上を流れるパケットの量を計ることって出来たっけ?(;´Д`)
>>538
NetScreenを通過するパケットじゃなくて?
NetScreenを通過するパケットじゃなくて?
540 :a:05/01/22 10:32:13 ID:DnUvb2TC
>>538
539も逝ってるが、通過するor受け取るパケットじゃないとわからんと思うぞ。
switchなんか関係ないパケットはNetScreeのポートには送らないんでわかりようがない、
と思う。
通過、受け取り系なら get flow interface hoge(だったけ?あやふや)とかのコマンドでわかるよ。
SNMPでも値とれるしね。
539も逝ってるが、通過するor受け取るパケットじゃないとわからんと思うぞ。
switchなんか関係ないパケットはNetScreeのポートには送らないんでわかりようがない、
と思う。
通過、受け取り系なら get flow interface hoge(だったけ?あやふや)とかのコマンドでわかるよ。
SNMPでも値とれるしね。
541 :a:05/01/22 10:43:29 ID:DnUvb2TC
>>537
NetScreenのKBをちょっと見たけど、だめだと思う。
というのは、nskb4788に”How do I block access to eBay?”ってのがあるんだけど、
そこに書いてあることは、
from Trust Any to Untrust *.ebay.com deny
ってルールを書けばすむのに、もくもくと ebay.comアドレスグループを設定して
やれ、www.ebay.com だの cgi.ebay.com などと登録しているからなり。
Applicable ScreenOS:は4系だけど、5でもそのへんかわったって聞かないしね。
NetScreenのKBをちょっと見たけど、だめだと思う。
というのは、nskb4788に”How do I block access to eBay?”ってのがあるんだけど、
そこに書いてあることは、
from Trust Any to Untrust *.ebay.com deny
ってルールを書けばすむのに、もくもくと ebay.comアドレスグループを設定して
やれ、www.ebay.com だの cgi.ebay.com などと登録しているからなり。
Applicable ScreenOS:は4系だけど、5でもそのへんかわったって聞かないしね。
543 :anonymous@ 61.195.45.201.eo.eaccess.ne.jp:05/01/22 14:18:51 ID:CK4+AdxD
流れと関係ないけど
漏まえら!NTP鯖に福岡大学を指定するのは止めましょう。
毎秒900件で2Mbps程帯域を喰われてるらしいです。
近くのNTP鯖に変更お願い致します候。
漏まえら!NTP鯖に福岡大学を指定するのは止めましょう。
毎秒900件で2Mbps程帯域を喰われてるらしいです。
近くのNTP鯖に変更お願い致します候。
>>544
ごめんなさい、NTPをインターネットからとる案件では
お客のISPがNTP用意してないときはいつも福岡大にしてます
ご丁寧に2台とも書いてます
以後、気をつけます
>>543
get counter flowで全部見れます
ごめんなさい、NTPをインターネットからとる案件では
お客のISPがNTP用意してないときはいつも福岡大にしてます
ご丁寧に2台とも書いてます
以後、気をつけます
>>543
get counter flowで全部見れます
もう数年前からmfeedにしてるなぁ
548 :anonymous@ 218.45.72.101.eo.eaccess.ne.jp:05/01/24 21:24:28 ID:fvEZWuXD
5gt(5.0.0r8.1)を設定しているのですが、Untrust側からhttpsでの
接続をTrust内のマシン1台にIPをマッピングさせて外部から接続できるようにしたいのですが、どうしたらよいのでしょうか?
接続をTrust内のマシン1台にIPをマッピングさせて外部から接続できるようにしたいのですが、どうしたらよいのでしょうか?
549 : :05/01/24 21:53:16 ID:???
550 :anonymous@ 218.45.72.101.eo.eaccess.ne.jp:05/01/24 22:41:38 ID:fvEZWuXD
マニュアルが英語で読めません。
551 :anonymous@ YahooBB219008108069.bbtec.net:05/01/24 22:53:56 ID:tBBXwAmY
sarasara
>>550
日本語マニュアルを読んでください。
日本語マニュアルを読んでください。
553 :anonymous@ 218.45.74.142.eo.eaccess.ne.jp:05/01/25 23:38:33 ID:ISE4fIFg
日本語マニュアルなんてみたことない
[Screening] - [Screen] の画面でZoneをUntrustにして
[Block HTTP Components] - [Block ZIP Component] をチェックすると
外部からのZIPファイルをブロックできると思っていたのですが
実際にはダウンロードできてしまいます。考え方間違ってますでしょうか?
[Block HTTP Components] - [Block ZIP Component] をチェックすると
外部からのZIPファイルをブロックできると思っていたのですが
実際にはダウンロードできてしまいます。考え方間違ってますでしょうか?
>>525
MRTGよりcacti使え。
MRTGよりcacti使え。
557 :anonymous@ U066011.ppp.dion.ne.jp:05/01/26 17:04:55 ID:mU3wkDY5
NetScreen-Remoteので接続ができなかったので
Log Viewerをみると
Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
SENDINIG>>>> ISAKMP OAK AG (SA, KE, NON, ID VID, VID, VID, VID)
message not received! Retransmitting!
...2行目、3行目を3回
Exceeded 3 IKE SA negotiation attempts
がでていました。半年まえはつながったんですけど、
今月久しぶりにつなげたらだめになってました。
PCの設定は全く変えていないのですが、
どのあたりがまずいのでしょうか?
Log Viewerをみると
Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
SENDINIG>>>> ISAKMP OAK AG (SA, KE, NON, ID VID, VID, VID, VID)
message not received! Retransmitting!
...2行目、3行目を3回
Exceeded 3 IKE SA negotiation attempts
がでていました。半年まえはつながったんですけど、
今月久しぶりにつなげたらだめになってました。
PCの設定は全く変えていないのですが、
どのあたりがまずいのでしょうか?
559 :anonymous@ sbyvtr.comp.dion.ne.jp:05/01/27 02:24:47 ID:3mTvKuf5
>>558
届いてないみたいです。
届いてないみたいです。
maximさん、鳩さんありがとうございます。
>>560
NetScreen-Remoteを
deactivate Security Policyにしてtracertするとつながらなくて
activateにするとtracertで最後までいけます。
>>561
Air H"つかってDION経由で社内LANにVPNしようとしてます。
設定を確認してみます。
初心者なもので、Googleで調べながらあたふたしながらやってます^^;
>>560
NetScreen-Remoteを
deactivate Security Policyにしてtracertするとつながらなくて
activateにするとtracertで最後までいけます。
>>561
Air H"つかってDION経由で社内LANにVPNしようとしてます。
設定を確認してみます。
初心者なもので、Googleで調べながらあたふたしながらやってます^^;
>>562
Tracertって宛先は社内?もし通るなら接続できてるのでは?
昔との環境差があれば上げて貰えると判ると思われ
AirHだと接続後一度ディアクティブにしてPolicy再読み込みせんとだめぽかも
Tracertって宛先は社内?もし通るなら接続できてるのでは?
昔との環境差があれば上げて貰えると判ると思われ
AirHだと接続後一度ディアクティブにしてPolicy再読み込みせんとだめぽかも
>Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
ADDRのアドレスは社内の鯖です。
環境差というのはPCのことでつか?
ADDRのアドレスは社内の鯖です。
環境差というのはPCのことでつか?
現在のinterfaceのMTUを見るコマンドってないんでしょうか・・・
569 :わん:05/02/02 11:31:06 ID:eMJ0KQuu
570 :わん:05/02/02 13:10:21 ID:eMJ0KQuu
確認したけど、
get interface ethernet1 みたいなことすると、1500から変更してたら
admin mtu 1400 みたいな感じででてました
get interface ethernet1 みたいなことすると、1500から変更してたら
admin mtu 1400 みたいな感じででてました
571 :anonymous@ p11231-ipbffx02marunouchi.tokyo.ocn.ne.jp:05/02/03 19:37:35 ID:Gq8Yb/Nz
お世話になります。
2台のWEBサーバー2台を外部に公開したいのですが
どのようにしたらよろしいでしょうか?
VIPを使うとは思うのですが
その先の設定がいまひとつよくわかりません。
よろしくお願いします。
2台のWEBサーバー2台を外部に公開したいのですが
どのようにしたらよろしいでしょうか?
VIPを使うとは思うのですが
その先の設定がいまひとつよくわかりません。
よろしくお願いします。
572 :anonymous@ p11231-ipbffx02marunouchi.tokyo.ocn.ne.jp:05/02/03 20:31:49 ID:Gq8Yb/Nz
すみません。先ほどの者です。
外部の端末からSSHでサーバーにログインしたいのですが
できないです。
SSHのポートは空けているのですがどうしてでしょうか?
どなたかご存知の方がおりましたらご教授ください。
外部の端末からSSHでサーバーにログインしたいのですが
できないです。
SSHのポートは空けているのですがどうしてでしょうか?
どなたかご存知の方がおりましたらご教授ください。
573 :anonymous@:05/02/03 22:02:22 ID:???
>>572
SCS が Port 22 になっているなら別の番号に変更してみたら?
SCS が Port 22 になっているなら別の番号に変更してみたら?
574 :i:05/02/06 22:32:22 ID:5MaKM1MA
netscreen-25を使っておりますが、DMZ側の端末からインターネットへアクセスできません。
Pingも通りません。
Trust側の端末からは問題なくアクセスできるのですが、どこに問題があるのでしょうか?
PolicyはDMZ・Trustとも同じで特にフィルタはかけておりません。
モードはDMZ・TrustともにNATモードです。
Pingも通りません。
Trust側の端末からは問題なくアクセスできるのですが、どこに問題があるのでしょうか?
PolicyはDMZ・Trustとも同じで特にフィルタはかけておりません。
モードはDMZ・TrustともにNATモードです。
>>574
log
log
576 :574:05/02/06 23:12:33 ID:5MaKM1MA
具体的には、MIPで設定したサーバから外部へアクセスできないのです。
ためしにPingをうってみて、全てを通す(Any:Any permit)ログを見てみると、
Source address:192.168.1.2
Translated address:210.*.*.*(MIPで設定したIP)
Service:ICMP
Byte send:94
Byte recieved:0
となっており、送信はできているが受信ができていないようなのです。
ためしにPingをうってみて、全てを通す(Any:Any permit)ログを見てみると、
Source address:192.168.1.2
Translated address:210.*.*.*(MIPで設定したIP)
Service:ICMP
Byte send:94
Byte recieved:0
となっており、送信はできているが受信ができていないようなのです。
577 : :05/02/07 02:40:14 ID:???
578 :anonymous@ 210.249.106.32:05/02/09 19:36:34 ID:???
ScreenOS 5 でも、PPPOEの同時接続は1つだと考えてよいでしょうか?
PPPOEの切替機能はあったように思うのですが..._| ̄|○
個人的に、マルチセッションで張れれば非常にありがたいのですが
みなさんどうですか?
PPPOEの切替機能はあったように思うのですが..._| ̄|○
個人的に、マルチセッションで張れれば非常にありがたいのですが
みなさんどうですか?
580 :anonymous@ i218-47-26-65.s02.a013.ap.plala.or.jp:05/02/11 20:29:02 ID:T3RaeLBI
そんなこと、自分でやってみれ!と言われそうですが...
PPPoEマルチセッションオッケーならば
1つ目PPPoE:ISP接続でインターネット(+他のセキュリティGWとのIPSecVPN)
2つ目PPPoE:フレッツグループベーシックでVPN無しのIPv4OverIPv4のカプセル化通信
ってことは出来るのかね?
そもそもNetscreen自体はIPSecで暗号化せずにIPv4OverIPv4でカプセル化通信って出来たのかな?
PPPoEマルチセッションオッケーならば
1つ目PPPoE:ISP接続でインターネット(+他のセキュリティGWとのIPSecVPN)
2つ目PPPoE:フレッツグループベーシックでVPN無しのIPv4OverIPv4のカプセル化通信
ってことは出来るのかね?
そもそもNetscreen自体はIPSecで暗号化せずにIPv4OverIPv4でカプセル化通信って出来たのかな?
582 :anonymous:05/02/16 13:23:04 ID:UnOiNMLs
ログ解析に使えそうなツールを探してるんだけど、有償ばっかりで・・・
フリーで何かいいツールをご存知の方はいませんか?
フリーで何かいいツールをご存知の方はいませんか?
583 :anonymous@ 211.10.219.115:05/02/19 03:01:30 ID:4/heX/Ry
pppoe instanceってなんですか?
584 :anonymous:05/02/23 12:46:02 ID:rN2mK/74
>>583
xDSL接続のことじゃない?
xDSL接続のことじゃない?
585 :anonymous@ tetkyo042075.tkyo.te.ftth2.ppp.infoweb.ne.jp:05/02/23 15:33:24 ID:???
いいですね
586 :anonymous@ 159.91.138.210.xf.2iij.net:05/02/23 15:46:19 ID:???
よいですよ。
587 :anonymous@ 61.194.196.227:05/02/25 19:49:24 ID:???
94 のページ今はみれないので、代わりのページしってる人いたら
おしえてください。お願いします。
おしえてください。お願いします。
588 :ひょー:05/02/26 09:25:08 ID:0gxPHoX6
>>587
93がどういうものかちょっとわからないけど、"windows & ipsec"で検索したらこんなの
でてきた。
How do I use Windows 2000 for L2TP over IPSec?
http://2550.support.juniper.safeharbor.com/knowbase/root/public/nskb995.htm?
これは役にたたへん?
93がどういうものかちょっとわからないけど、"windows & ipsec"で検索したらこんなの
でてきた。
How do I use Windows 2000 for L2TP over IPSec?
http://2550.support.juniper.safeharbor.com/knowbase/root/public/nskb995.htm?
これは役にたたへん?
589 :anonymous@ z228.61-45-57.ppp.wakwak.ne.jp:05/03/01 00:46:45 ID:iX8NjMCd
助けてくださーい
windows XP SP2を最近かいましてNSR-VPN85-XP
をインストール。
HOTFIXを適用しても繋がらず、へこんでます。
windows XP SP2を最近かいましてNSR-VPN85-XP
をインストール。
HOTFIXを適用しても繋がらず、へこんでます。
590 :ano:05/03/03 08:52:58 ID:c9q7pZpI
591 :anonymous:05/03/03 10:16:53 ID:CiNsHWeY
>>589
単にWindowsファイアウォールに邪魔されてるだけじゃ・・・
単にWindowsファイアウォールに邪魔されてるだけじゃ・・・
592 :589:05/03/06 04:59:47 ID:mpD908MD
>>589です
ログは下記が出てます。
ファイアウォールを無効にしても症状変わらずです。
Initiating IKE Phase 1
SENDING>>>> ISAKMP OAK
RECEIVED<<< ISAKMP OAK
Initiating IKE Phase 2
SENDING>>>> ISAKMP OAK
QM re-keying timed out. Retry count: 1
ログは下記が出てます。
ファイアウォールを無効にしても症状変わらずです。
Initiating IKE Phase 1
SENDING>>>> ISAKMP OAK
RECEIVED<<< ISAKMP OAK
Initiating IKE Phase 2
SENDING>>>> ISAKMP OAK
QM re-keying timed out. Retry count: 1
593 :ano:05/03/06 09:26:04 ID:Ihne8yXX
>>592
Phase1は完了しているから、鍵が違うではなさそう。
Phase2のプロポーザルかポリシーがクライアントとサーバでは違っている
ような気がするのでその辺の設定を中心に確認してみれば?
プロポーザルってのは、何で暗号化して、とかそういうの。
ポリシーってのは、どこからどこへの通信をトン寝るするか、とかそういうの。
Phase1は完了しているから、鍵が違うではなさそう。
Phase2のプロポーザルかポリシーがクライアントとサーバでは違っている
ような気がするのでその辺の設定を中心に確認してみれば?
プロポーザルってのは、何で暗号化して、とかそういうの。
ポリシーってのは、どこからどこへの通信をトン寝るするか、とかそういうの。
594 :589:05/03/07 01:45:10 ID:TY0JoEYp
>>592さん
現在Phase2のプロポーザルの設定は
ESPで
Encrypt Alg→DES
Hash alg→MD5
Encapsulation→Tunnel
です。
XPのIPsecの設定ですかね。
現在Phase2のプロポーザルの設定は
ESPで
Encrypt Alg→DES
Hash alg→MD5
Encapsulation→Tunnel
です。
XPのIPsecの設定ですかね。
595 :593:05/03/07 14:19:05 ID:MMqt2QEW
>>594
NSR側の設定を確認ですね。
Encrypt Alg → DES がなんとなく違いそうなんですが。(いまどきDESは使わんだろ)
あと、NS側ではどのような通信をトンネルするように設定していますか?
NSR側の設定を確認ですね。
Encrypt Alg → DES がなんとなく違いそうなんですが。(いまどきDESは使わんだろ)
あと、NS側ではどのような通信をトンネルするように設定していますか?
596 :594:05/03/08 00:34:19 ID:NDS6NYok
597 :anonymous@ ntibrk011061.ibrk.nt.ftth2.ppp.infoweb.ne.jp:05/03/09 11:22:03 ID:1LNOaeg4
教えてください。
NetscreenリモートとCiscoのVPNクライアント、WinXPに同居させられますか?
接続先によって、NS、Ciscoを使い分けたいのですが。
NetscreenリモートとCiscoのVPNクライアント、WinXPに同居させられますか?
接続先によって、NS、Ciscoを使い分けたいのですが。
599 :597:05/03/09 11:35:24 ID:1LNOaeg4
600 :594:05/03/09 12:54:29 ID:Ld9uD4O6
>>596
同じ設定で通信できていますか、これは失礼。
NAT-Traversalとかが影響しているとかは無いですか?
例えば、ちょっと古いNAT-Traversalのバージョンだと、udp=500で通信しますが、
新しげのNAT-Traversalではudp=4500で通信します。これがフィルタされているとか。
NSRのバージョンが違うとのことなので、ちょっとそういうことも思ったしだい。
p.s
NAT-TraversalってRFCになったんですね。
同じ設定で通信できていますか、これは失礼。
NAT-Traversalとかが影響しているとかは無いですか?
例えば、ちょっと古いNAT-Traversalのバージョンだと、udp=500で通信しますが、
新しげのNAT-Traversalではudp=4500で通信します。これがフィルタされているとか。
NSRのバージョンが違うとのことなので、ちょっとそういうことも思ったしだい。
p.s
NAT-TraversalってRFCになったんですね。
601 :600:05/03/09 12:55:37 ID:Ld9uD4O6
上は595の間違い。。。。orz
ついでに 600げっとんだった。。。orz orz
ついでに 600げっとんだった。。。orz orz
602 :わからずや:05/03/11 21:50:14 ID:qf1BX3Vl
Netscreen5GT Plus OSは4.0.0r5.3 を使用しています。
これでVOIP TAを社内に設置し、Netscreenに5060のポートを空ける必要が
出てきました。これって可能でしょうか?
これでVOIP TAを社内に設置し、Netscreenに5060のポートを空ける必要が
出てきました。これって可能でしょうか?
603 :anonymous@ p8b8474.tokyus00.ap.so-net.ne.jp:05/03/12 02:21:10 ID:???
可能
604 :594:05/03/12 02:49:30 ID:X4lWnGda
605 :600:05/03/12 08:47:06 ID:Q7D4up+R
606 :わからずや:05/03/12 09:55:39 ID:/qGDr+nP
603様 ありがとうございます。
Object→services→customでできますね。あと初心者的な質問ですいませんが
今回固定1IPのプロバイダ契約をしてます。当然IPはルータのuntrustに割当て
ます。外部からSIPおよびRTPでのポート通信の時に社内VOIP TA(プライベートipアドレ
スが割当てられてます)と通信させることは可能でしょうか?
Object→services→customでできますね。あと初心者的な質問ですいませんが
今回固定1IPのプロバイダ契約をしてます。当然IPはルータのuntrustに割当て
ます。外部からSIPおよびRTPでのポート通信の時に社内VOIP TA(プライベートipアドレ
スが割当てられてます)と通信させることは可能でしょうか?
IKEハートビート使ってる方いらっしゃいますか?
heartbeatの設定は hello, threshold 共に デフォルト(5) で問題ないですか?
heartbeatの設定は hello, threshold 共に デフォルト(5) で問題ないですか?
608 :ns-monitor:05/03/13 22:21:39 ID:yF2GFJ7k
>>607
デフォルトで良いか悪いかは環境によるんじゃね?
てか、IKE heartbeatよりVPN monitor の方がわかりやすくてあたいは好きだな。
KB には一般的にルーティングベースのVPNのときはどっちで、ポリシベースVPNのときは
どっちってなことが書いてあったけど、どっちがどうか忘れてしまった。。。スマソ
デフォルトで良いか悪いかは環境によるんじゃね?
てか、IKE heartbeatよりVPN monitor の方がわかりやすくてあたいは好きだな。
KB には一般的にルーティングベースのVPNのときはどっちで、ポリシベースVPNのときは
どっちってなことが書いてあったけど、どっちがどうか忘れてしまった。。。スマソ
>>608さん
ありがとうございました。お礼がおそくなりすみません。
ちなみに,、ルーティングベースVPNでやってますけど、IKEheartbeatとVPNMonitorもどっちも試してみます。
どっちがどうなんでしょうかね?マニュアルじっくり読んでみます。。。
ありがとうございました。お礼がおそくなりすみません。
ちなみに,、ルーティングベースVPNでやってますけど、IKEheartbeatとVPNMonitorもどっちも試してみます。
どっちがどうなんでしょうかね?マニュアルじっくり読んでみます。。。
610 :_:05/03/15 20:57:03 ID:XKgo3Pr3
初歩的な質問で申し訳ありませんが、わかる方おしえてください。
Netscreen5GT Plusで
1.Trust側にセカンダリIPをふれるのでしょうか?
2.ふれるとしてプライマリのIPセグメント←→セカンダリのIPセグメント
は通信できるのでしょうか?
PCA--192.168.1.0/24--NetScreen5GTPLUS(Trust)---10.0.0.0/24--ルータ--172.16.0.0/24--PCB
PCAとPCBはつうしんできるのか?
3.セカンダリ-プライマリで1対1NATはできるのでしょうか?
PCA 192.168.1.10 == 10.0.0.10
PCB 172.16.0.10
PCB から 10.0.0.10に対しパケットを送るとPCAに届くか?
いかがでしょうか?
Netscreen5GT Plusで
1.Trust側にセカンダリIPをふれるのでしょうか?
2.ふれるとしてプライマリのIPセグメント←→セカンダリのIPセグメント
は通信できるのでしょうか?
PCA--192.168.1.0/24--NetScreen5GTPLUS(Trust)---10.0.0.0/24--ルータ--172.16.0.0/24--PCB
PCAとPCBはつうしんできるのか?
3.セカンダリ-プライマリで1対1NATはできるのでしょうか?
PCA 192.168.1.10 == 10.0.0.10
PCB 172.16.0.10
PCB から 10.0.0.10に対しパケットを送るとPCAに届くか?
いかがでしょうか?
611 :anonymous@ pd3ea23.tokyus00.ap.so-net.ne.jp:05/03/18 08:27:12 ID:???
教えてほしいのですが、
Intra1---NetScreen--TA-ISP--Internet---NetScreen---Intra2で
接続した場合、トンネルはどの間ではられますか。
また、Intra2に到着したパケットの戻り先はIntra1のアドレスに
なるのでしょうか。悩んでます。
Intra1---NetScreen--TA-ISP--Internet---NetScreen---Intra2で
接続した場合、トンネルはどの間ではられますか。
また、Intra2に到着したパケットの戻り先はIntra1のアドレスに
なるのでしょうか。悩んでます。
現在、5XT-ELiteとGT-Plusのいずれかの購入で迷っています。
私は、かなりの初心者なのですが、社内の業務システム関連のネットワークであり、
簡易なものなので自分でやってみろ、と言われて構築検討中です。
(目的)
1.NSに直接FTTHを接続
2.社内にはサーバ(Webシステム稼動)とクライアントが存在
3.サーバは外部からのアクセスとクライアントからのアクセスを受け付ける
4.サーバもクライアントもFTTH(Out)を利用する
5.サーバにはグローバルIPを割り当てずにNATを利用する
>>66を参考にさせて頂くと・・・
1.Work/Homeモード
2.サーバをHomeゾーン配下、クライアントをWorkゾーン配下に設置
3.HomeゾーンでNATを利用してサーバを公開
4.WorkゾーンからHomeゾーンへの通信を可能にする(>>64)
と言うことで、いずれの機器でも目的の実現は可能かなと考えているのですが問題ないのでしょうか。
また、ScreenOSが「4.0.0DIAL2」か「4.0.0DIAL3」であることが必須条件だと考えているのですが、
現在、販売されている5XTや5GTにはこれらのOSが付属しているのでしょうか。
それとも、別途購入する必要があるのでしょうか。
お手数をおかけ致しますが、ご存知の方、ご教示いただければ幸いです。
私は、かなりの初心者なのですが、社内の業務システム関連のネットワークであり、
簡易なものなので自分でやってみろ、と言われて構築検討中です。
(目的)
1.NSに直接FTTHを接続
2.社内にはサーバ(Webシステム稼動)とクライアントが存在
3.サーバは外部からのアクセスとクライアントからのアクセスを受け付ける
4.サーバもクライアントもFTTH(Out)を利用する
5.サーバにはグローバルIPを割り当てずにNATを利用する
>>66を参考にさせて頂くと・・・
1.Work/Homeモード
2.サーバをHomeゾーン配下、クライアントをWorkゾーン配下に設置
3.HomeゾーンでNATを利用してサーバを公開
4.WorkゾーンからHomeゾーンへの通信を可能にする(>>64)
と言うことで、いずれの機器でも目的の実現は可能かなと考えているのですが問題ないのでしょうか。
また、ScreenOSが「4.0.0DIAL2」か「4.0.0DIAL3」であることが必須条件だと考えているのですが、
現在、販売されている5XTや5GTにはこれらのOSが付属しているのでしょうか。
それとも、別途購入する必要があるのでしょうか。
お手数をおかけ致しますが、ご存知の方、ご教示いただければ幸いです。
>>613
連続のご質問で申し訳ないのですが、>>613で記載した目的を実現するためには、
5XT-Eliteと5GT-Plusのいずれが適しているのでしょうか。
>>85を参考にさせていただきますと、価格は5XTの方が上ですが、
スペック的には5GTの方が優れているとのお話しかと思っています。
また、5XT-Eliteの価格に少し上積みすると、5GT-Extendedの購入が可能なようなので、
いっそのこと、DMZゾーンが最初から確保されているExtendedの購入に
踏み切った方がいいのではとも思っています。
当然、Extendedでも、>>613の目的実現は可能だろうと思っているのですが、問題ないでしょうか。
最後に、購入先なのですが、ぷらっと様を検討しています。
こちらで購入した場合、初年度基本サービスが付属しているようなのですが、
二年後以降の保守契約はどちらと締結するのかご存知でしょうか。
>>126には、ソフトバンクBB様とのお話しが出ていますが、
残念ながら、私はそのような記載を見つけることができませんでした。
教えてばかりで申し訳ないのですが、宜しくお願いします。
連続のご質問で申し訳ないのですが、>>613で記載した目的を実現するためには、
5XT-Eliteと5GT-Plusのいずれが適しているのでしょうか。
>>85を参考にさせていただきますと、価格は5XTの方が上ですが、
スペック的には5GTの方が優れているとのお話しかと思っています。
また、5XT-Eliteの価格に少し上積みすると、5GT-Extendedの購入が可能なようなので、
いっそのこと、DMZゾーンが最初から確保されているExtendedの購入に
踏み切った方がいいのではとも思っています。
当然、Extendedでも、>>613の目的実現は可能だろうと思っているのですが、問題ないでしょうか。
最後に、購入先なのですが、ぷらっと様を検討しています。
こちらで購入した場合、初年度基本サービスが付属しているようなのですが、
二年後以降の保守契約はどちらと締結するのかご存知でしょうか。
>>126には、ソフトバンクBB様とのお話しが出ていますが、
残念ながら、私はそのような記載を見つけることができませんでした。
教えてばかりで申し訳ないのですが、宜しくお願いします。
617 :anonymous@ 43.9.244.43.ap.livedoor.jp:05/03/21 03:29:39 ID:???
>>614
私も初心者なので回答は出来ません。申し訳ないです。
今、ぷらっとオンラインを見てみたら、XTはGTの後継機扱いになっているように思います。
ますます、GTの方が廉価な理由がわかりませんね。
他サイトの仕様表を見てみると、「認定」の項目が異なるようですね。
ttp://www.hitachi-system.co.jp/netscreen/sp/product/5xt_5gt_5gt-extended.html
認定を受けている数が多い分だけ、XTが高価なのでしょうか。
私も初心者なので回答は出来ません。申し訳ないです。
今、ぷらっとオンラインを見てみたら、XTはGTの後継機扱いになっているように思います。
ますます、GTの方が廉価な理由がわかりませんね。
他サイトの仕様表を見てみると、「認定」の項目が異なるようですね。
ttp://www.hitachi-system.co.jp/netscreen/sp/product/5xt_5gt_5gt-extended.html
認定を受けている数が多い分だけ、XTが高価なのでしょうか。
ぷらっとなり日立なりに電話してきけば?
2chの情報うのみにして仕事するつもり?
2chの情報うのみにして仕事するつもり?
619 : :2005/03/21(月) 20:49:53 ID:???
IPsecのクライアントソフトの使い勝手はいかがですか?
621 :anonymous@ 203.140.79.145:2005/03/24(木) 15:35:18 ID:pIzds8Uw
すみません、教えてください。
NS25で、Object→Address→Listで、「Global」にNewボタンを押して
新しいアドレスを追加しようとしてるのですが、
項目を入力後、OKボタンを押しても追加できません。
エラーなども表示されません。
どうしたら追加できるようになりますか?
NS25で、Object→Address→Listで、「Global」にNewボタンを押して
新しいアドレスを追加しようとしてるのですが、
項目を入力後、OKボタンを押しても追加できません。
エラーなども表示されません。
どうしたら追加できるようになりますか?
NS-5200に激しくやられました、もうボロボロです
だから5.xなんて入れたくなかったとあれほど(ry
キーワードは22バイト
だから5.xなんて入れたくなかったとあれほど(ry
キーワードは22バイト
あぼーん
624 : :2005/04/03(日) 21:06:37 ID:ApAE5aTl
>>620
Ciscoのほうがいいとおもう
Ciscoのほうがいいとおもう
すんません、25〜204系でemerエラーが出ると光るNS本体の赤いランプを
消す方法ってreset以外にありませんか?
消す方法ってreset以外にありませんか?
>626
ありがd(*´∀`)
ありがd(*´∀`)
628 :酔って候:2005/04/16(土) 00:04:38 ID:7nL5J+mu
Trust,DMZ,WANを構成し、&インターネットVPNを組んで
そのVPN先からDMZに配置されているサーバを覗きたい場合、
仮想ルータの設定ってどういうふうに組むのがスマートなんだろ。
今日いろいろ試してて分けわかんなくなって、結局T,D,U全部
V-TrustにBindしてもうた。
これってアホな設定なの?
そのVPN先からDMZに配置されているサーバを覗きたい場合、
仮想ルータの設定ってどういうふうに組むのがスマートなんだろ。
今日いろいろ試してて分けわかんなくなって、結局T,D,U全部
V-TrustにBindしてもうた。
これってアホな設定なの?
629 :muro d61-11-181-160.cna.ne.jp/:2005/04/16(土) 07:45:40 ID:???
え っ る ハ
ぇ し の ァ ハ
け と ぉ ァ
うはっwww夢がひろがりんぐwwwwww
ぇ し の ァ ハ
け と ぉ ァ
うはっwww夢がひろがりんぐwwwwww
すみません、NSでのRWIN指定のバリューってありますか?
631 :set flow:2005/04/19(火) 10:42:31 ID:0l9i66Ik
WAN側回線直結時の最適値を診断すると65000程度で標準的なんですが、
NS配下のSwitchを通すとなぜか14500程度(AirH"並?)に落ちてしまうので・・・
これってNSの問題じゃないっぽいですね。
NS配下のSwitchを通すとなぜか14500程度(AirH"並?)に落ちてしまうので・・・
これってNSの問題じゃないっぽいですね。
そういえばWindowSizeアジャストするFirewallって見かけないですね
PacketShaper以外でWindowSizeいじくる機器を見たこと無い気がする
MSSと違って全パケになるから負荷的に無理なのかな?
PacketShaper以外でWindowSizeいじくる機器を見たこと無い気がする
MSSと違って全パケになるから負荷的に無理なのかな?
634 : :2005/04/24(日) 13:10:53 ID:???
NetscreenRemoteの使い勝手をもうすこしよくしてほすいな
VPN3000並に
VPN3000並に
自宅用兼勉強用に買っちゃおうかなー、5GT
636 :eeee:2005/05/07(土) 02:28:02 ID:FUNc32FM
5GTにてUnnumbered PPPoEは受けれるんでしょうか?
637 :anonymous@ YahooBB219050168045.bbtec.net:2005/05/09(月) 11:10:32 ID:???
現在 NS5GTを使いOCNへBFlets回線を利用して接続しているのですが、スループットが200KBps程度しか出ません。回線自体は50M程度出る事は確認してあるのでNetscreenに問題があるのかもと考えているのですがチェックすべき項目はありますでしょうか?
>>637
あり得ないよ、200kbpsなんて。
5GTは付加機能使っていくとスループットがある程度落ちるけど
その数値は製品として問題あるレベルだと思わない?
設定一度外してから少しずつカスタマイズして切り分けなよ。
あり得ないよ、200kbpsなんて。
5GTは付加機能使っていくとスループットがある程度落ちるけど
その数値は製品として問題あるレベルだと思わない?
設定一度外してから少しずつカスタマイズして切り分けなよ。
trustにぶら下がってるのが10halfのHUBとみた
640 :あげ:2005/05/10(火) 07:30:13 ID:oNtrkDNw
Hubを100M固定にしてるとかもあり得る。
641を書いて思い出したがONUのEtherポートがオートネゴになってなかった例があった。要チェック。
643 :anonymous@ 97.181.210.220.dy.bbexcite.jp:2005/05/13(金) 02:13:17 ID:???
ONUとの間にSW-HUBをかまして確認してみて、、、
644 :anonymous@ EAOcf-385p81.ppp15.odn.ne.jp:2005/05/17(火) 00:07:32 ID:aOMxZvvc
NetScreenRemotedで自宅から会社にADSL(ODN)で接続しているのだが、無線LAN
使ったらすんなり接続できるのに、有線LANなら何故かできない。
宿泊先のホテルなんかでも、やはり有線ではできなかった。(回線は不明)
また、PHS接続も可能。
誰か解決方法を教えて頂ければ助かります。
使ったらすんなり接続できるのに、有線LANなら何故かできない。
宿泊先のホテルなんかでも、やはり有線ではできなかった。(回線は不明)
また、PHS接続も可能。
誰か解決方法を教えて頂ければ助かります。
645 :BlackDiamond6808:2005/05/18(水) 11:48:10 ID:???
646 :M40:2005/05/18(水) 12:31:25 ID:D1MdPpTh
647 :anonymous@ EAOcf-385p81.ppp15.odn.ne.jp:2005/05/22(日) 22:30:57 ID:pY/205JK
648 :anonymous@ p3063-ipad408marunouchi.tokyo.ocn.ne.jp:2005/05/23(月) 23:20:36 ID:BcpKD9Cx
pingとばしてみました。
有線LANです。
Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]
[-w timeout] target_name
Options:
-t Ping the specified host until stopped.
To see statistics and continue - type Control-B
To stop - type Control-C.
-a Resolve addresses to hostnames.
-n count Number of echo requests to send.
-l size Send buffer size.
-f Set Don't Fragment flag in packet.
-i TTL Time To Live.
-v TOS Type Of Service.
-r count Record route for count hops.
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Timeout in milliseconds to wait for each reply.
どうでしょうか・・・?
有線LANです。
Usage: ping [-t] [-a] [-n count] [-l size] [-f] [-i TTL] [-v TOS]
[-r count] [-s count] [[-j host-list] | [-k host-list]
[-w timeout] target_name
Options:
-t Ping the specified host until stopped.
To see statistics and continue - type Control-B
To stop - type Control-C.
-a Resolve addresses to hostnames.
-n count Number of echo requests to send.
-l size Send buffer size.
-f Set Don't Fragment flag in packet.
-i TTL Time To Live.
-v TOS Type Of Service.
-r count Record route for count hops.
-s count Timestamp for count hops.
-j host-list Loose source route along host-list.
-k host-list Strict source route along host-list.
-w timeout Timeout in milliseconds to wait for each reply.
どうでしょうか・・・?
>648
ワロス
ワロス
650 :通りすがり:2005/05/24(火) 12:24:20 ID:UyQw7Nv+
>644-648
ワラタ
ワラタ
651 :anonymous@ p3063-ipad408marunouchi.tokyo.ocn.ne.jp:2005/05/25(水) 23:58:58 ID:Yl9M8aff
ワラわんで下さい。。。
652 :anonymous@ i60-41-149-60.s02.a014.ap.plala.or.jp:2005/05/26(木) 00:03:23 ID:???
pingのおpしょん表示されてもなぁw
654 : :2005/05/27(金) 02:47:25 ID:l/NrcZBI
>>648
記念カキコ
記念カキコ
655 :anonymous@ d243249.ppp.asahi-net.or.jp:2005/05/28(土) 01:15:06 ID:cYPtqfMC
中古を買ったんですが、最新ファームの入手方法がわかりません
ど〜やって入手するんでしょか?
ど〜やって入手するんでしょか?
656 : :2005/05/29(日) 11:12:57 ID:WvzcTUud
657 :anonymous@ msic.st.wakwak.ne.jp:2005/05/29(日) 18:03:59 ID:???
658 :anonymous@ pl096.nas943.d-osaka.nttpc.ne.jp:2005/05/30(月) 13:45:18 ID:wc6GXWfJ
juniperからもダウンロード出来ないんかね〜
あの、もし5XTに5GTのファームウェアを間違えて
アップデートしたらどうなると思いますか?
アップデートしたらどうなると思いますか?
660 : :2005/06/06(月) 19:05:32 ID:V4/flCmY
661 :初心者:2005/06/06(月) 23:38:44 ID:nxB2Hs2x
NS-5GTで、IP電話を使えるようにするにはどうしたらよいでしょうか。
SIP-NATについて分かる方教えてください。
SIP-NATについて分かる方教えてください。
662 :初心者:2005/06/09(木) 23:27:35 ID:72AzUCis
本店と支店をNS-5GT、ADSL接続してます。access2000,sqlserver2003で
作成したシステムですが、支店でしばらくシステム立ち上げたままで放置後、
本店のsqlserverにアクセスすると接続エラーとなるのですが、
これはADSLだからなのでしょうか?
光にすれば解消するのでしょうか?
それとも、netscreenを新しいのにすれば解消するのでしょうか?
作成したシステムですが、支店でしばらくシステム立ち上げたままで放置後、
本店のsqlserverにアクセスすると接続エラーとなるのですが、
これはADSLだからなのでしょうか?
光にすれば解消するのでしょうか?
それとも、netscreenを新しいのにすれば解消するのでしょうか?
>それとも、netscreenを新しいのにすれば解消するのでしょうか?
ワロタ
ワロタ
買っちまったよ、中古の5GT。本体とNECラベルの貼ってあるオリジナルではない
電源のみで、箱もマニュアルもCD-ROMもなし。どう遊ぼうか…。
電源のみで、箱もマニュアルもCD-ROMもなし。どう遊ぼうか…。
666 :anonymous@ G043224.ppp.dion.ne.jp:2005/06/13(月) 20:44:06 ID:???
Netscreenスレやっと見つけました。
すみません。教えてください。
NetScreen RemoteのVPNについてです。
接続先がClassAのアドレス体系で10.0.0.0を使っています。
こちらのLANもClassAのアドレス体系を使っていて
NetScreen RemoteでのVPN接続ができません。
そこでこちらにローカルルータ入れClassCのLANを組みました。
インターネット-ルータ(10.0.0.1/255.0.0.0)-ルータ(192.168.0.1/255.255.255.0)-PC
といった感じです。
これならPCから10.0.0.10などにアクセスするためにはセキュアになると
思ったのですが実際はPINGも通りません。
なぜこのようになるのでしょうか?
こちらのアドレス体系をClassBかCにしないといけないのでしょうか?
よろしくお願いしまs。
すみません。教えてください。
NetScreen RemoteのVPNについてです。
接続先がClassAのアドレス体系で10.0.0.0を使っています。
こちらのLANもClassAのアドレス体系を使っていて
NetScreen RemoteでのVPN接続ができません。
そこでこちらにローカルルータ入れClassCのLANを組みました。
インターネット-ルータ(10.0.0.1/255.0.0.0)-ルータ(192.168.0.1/255.255.255.0)-PC
といった感じです。
これならPCから10.0.0.10などにアクセスするためにはセキュアになると
思ったのですが実際はPINGも通りません。
なぜこのようになるのでしょうか?
こちらのアドレス体系をClassBかCにしないといけないのでしょうか?
よろしくお願いしまs。
667 :anonymous@ ZN125002.ppp.dion.ne.jp:2005/06/14(火) 00:03:49 ID:???
>>666
おれシロートですけど、
My Connection -> 接続名の
Remote Party Identity and Adressing
はどうなってます?
IP Adress
IP Subnet
IP Adress Range
とか選ぶとこ。
おれシロートですけど、
My Connection -> 接続名の
Remote Party Identity and Adressing
はどうなってます?
IP Adress
IP Subnet
IP Adress Range
とか選ぶとこ。
>>667
IP Subnetです。一応他も試したのですがだめでした。
IP Subnetです。一応他も試したのですがだめでした。
Log Viewerを見ると
message not received! Retransmitting!
というメッセージがありました。
こちらのルータが応答パケットを遮断してしまっているのでしょうか・・・
message not received! Retransmitting!
というメッセージがありました。
こちらのルータが応答パケットを遮断してしまっているのでしょうか・・・
うーん。
udpのポート500とespがスタティックルーティングされてます。
これが問題なのでしょうか・・・
udpのポート500とespがスタティックルーティングされてます。
これが問題なのでしょうか・・・
解決しました。
netscreenのconfigからexeclやhtmlのファイルに変換してくれるツールってないでしょうか?
Firewall-1ならそういうツールが幾つかあるんだけど。
あ、当然ScreenOS5(multiple)対応で・・・
Firewall-1ならそういうツールが幾つかあるんだけど。
あ、当然ScreenOS5(multiple)対応で・・・
673 :any:2005/06/28(火) 18:46:59 ID:YoyBoAjp
IPSec tunnel on int untrust with tunnel ID 0x4 received a packet with a bad SPI
SYSTEM LOG>EVENTに、こんなログが大量にあるのですが、
どういう解釈すればよいでしょうか? 単純に日本語訳してみても
イマイチわからなくて・・・ よくVPN接続が切れるのですが関係あるんでしょうか?
SYSTEM LOG>EVENTに、こんなログが大量にあるのですが、
どういう解釈すればよいでしょうか? 単純に日本語訳してみても
イマイチわからなくて・・・ よくVPN接続が切れるのですが関係あるんでしょうか?
>>673
関係ある。
意味は文字通り相手とのIPsec SA のSPIが自分が持っているものと、相手が
送ってきたのとでは違うぞ、というようなこと。
SPIってのはSAのインデックスみたいなもので、例えれば、相手は5番というSPIな
パケットを送ってきたんだが、自分の持っているSAではその相手が使うSPIは9番
となっているんだけど、、、、違うじゃん、というような感じ。
そんなSPIなSAはないんで、当然そのパケットはdecryptできない、VPN通信ができ
ないという状況になるです、はい。 うそ書いてたらごめん。
関係ある。
意味は文字通り相手とのIPsec SA のSPIが自分が持っているものと、相手が
送ってきたのとでは違うぞ、というようなこと。
SPIってのはSAのインデックスみたいなもので、例えれば、相手は5番というSPIな
パケットを送ってきたんだが、自分の持っているSAではその相手が使うSPIは9番
となっているんだけど、、、、違うじゃん、というような感じ。
そんなSPIなSAはないんで、当然そのパケットはdecryptできない、VPN通信ができ
ないという状況になるです、はい。 うそ書いてたらごめん。
>>673,674
VPNトンネルのキー交換時間確認してみ。(両側とも)
何らかの原因で、片側の通信断が発生した際に、更新が上手くいかず
一方が前のキーを使い、再接続した側が新しいキーを使った際に
失敗することがあるよ。
VPNトンネルのキー交換時間確認してみ。(両側とも)
何らかの原因で、片側の通信断が発生した際に、更新が上手くいかず
一方が前のキーを使い、再接続した側が新しいキーを使った際に
失敗することがあるよ。
>>676
わしは別に困ってないのだがw
たしかにそいつは一因だと思うが、、、
最近NetScreenでVPN関連はあまりさわってないのでうそついていたら申し訳ないが、
前のキーを使う一方は、新旧2つ(方向考えれば4つ)のSAを持っていることになるが、
わざわざ古いSAを使うほど実装たこかったっけ?
わしは別に困ってないのだがw
たしかにそいつは一因だと思うが、、、
最近NetScreenでVPN関連はあまりさわってないのでうそついていたら申し訳ないが、
前のキーを使う一方は、新旧2つ(方向考えれば4つ)のSAを持っていることになるが、
わざわざ古いSAを使うほど実装たこかったっけ?
>>677
>わざわざ古いSAを使うほど実装たこかったっけ?
宛先間違いは失礼しました。
実装たこだったです。
新旧2つ持ってくれればVPN通信自体はできます。
(当然新しいSAを使う)
そうじゃなくて、古いのがあるからと張り直してくれないことがあります。
このタコさ加減は、Y社の製品と組み合わせると
表に出る率が急上昇しますだ。
>わざわざ古いSAを使うほど実装たこかったっけ?
宛先間違いは失礼しました。
実装たこだったです。
新旧2つ持ってくれればVPN通信自体はできます。
(当然新しいSAを使う)
そうじゃなくて、古いのがあるからと張り直してくれないことがあります。
このタコさ加減は、Y社の製品と組み合わせると
表に出る率が急上昇しますだ。
>>678
古いのがあると張りなおさないとは具体的にはどのような現象なのでしょうか?
知らない事例なので、よろしければ教えてください。
ただ、張りなおさない=相手にもSAできないので、この場合にでもやはり bad SPI に
なるんでしょうか??
古いのがあると張りなおさないとは具体的にはどのような現象なのでしょうか?
知らない事例なので、よろしければ教えてください。
ただ、張りなおさない=相手にもSAできないので、この場合にでもやはり bad SPI に
なるんでしょうか??
>659
5XTに5GTのScreenOS入れようとすると叱られるので心配するな
>655
普通に考えたら無理じゃね?保守契約してる知り合いのユーザーからも(ry
5XTに5GTのScreenOS入れようとすると叱られるので心配するな
>655
普通に考えたら無理じゃね?保守契約してる知り合いのユーザーからも(ry
684 : :2005/07/06(水) 18:35:11 ID:???
出先からnetscreen remoteで接続したら激重で使い物にならない
ことがあるんだけど、そういう経験をした方いらっしゃいますか?
試しにpingを投げて見るとping帰ってきたり、帰ってこなかったりでなんか不安定・・
ことがあるんだけど、そういう経験をした方いらっしゃいますか?
試しにpingを投げて見るとping帰ってきたり、帰ってこなかったりでなんか不安定・・
685 : :2005/07/06(水) 18:39:28 ID:???
netscreenRemoteから繋ぐと、いままでそんなことなかったのになんか激重
(pingが通ったり通らなかったり)になったのですが、同じような経験した人います?
(pingが通ったり通らなかったり)になったのですが、同じような経験した人います?
回答くださった皆様。ありがとうございます。(遅レススマソ)
一度電源を入れなおしたらうまく接続できるようになりました。
(両方とも再起動)
ってことは、古いSAが消えたので張りなおしに成功してるという事なんですね。
それでも、1日に1回程度は切れますが。
というか、再起動からの時間がたつほど、切断時間が多くなります。
ちょっと調べてきます〜
一度電源を入れなおしたらうまく接続できるようになりました。
(両方とも再起動)
ってことは、古いSAが消えたので張りなおしに成功してるという事なんですね。
それでも、1日に1回程度は切れますが。
というか、再起動からの時間がたつほど、切断時間が多くなります。
ちょっと調べてきます〜
たびたびすみません。
このlogが発生する原因として、回線そのものやプロバイダーに
問題があるって、ありえますか?
このlogが発生する原因として、回線そのものやプロバイダーに
問題があるって、ありえますか?
2重カキコスマソ。相手先のネット接続がおかしくなっていたのが原因ですた
更にたびたびすみませぬ。
SPI=トンネル交換キー=トンネルID
と思って良いんですか?
SPI=トンネル交換キー=トンネルID
と思って良いんですか?
690 :674:2005/07/09(土) 01:02:14 ID:8bxhFYt+
>>689
よくありません。全部別物です。
IPsecするためには、やれ、どういう暗号化にするだの(3DES,AES?みたいなこと)、鍵など
いろいろと必要な情報がありますが、これらの必要な情報をまとめたものに対するインデックス
が、SPIです。(逆にSPIがわかれば必要な情報がわかるので、暗号されたものを複号する
ことができるのです)
トンネルIDはNetScreenが勝手にトンネルについてつけているIDでしかないです。
。。。
ちなみに、現在利用しているScreenOSのバージョンはいくつなのでしょうか?
よくありません。全部別物です。
IPsecするためには、やれ、どういう暗号化にするだの(3DES,AES?みたいなこと)、鍵など
いろいろと必要な情報がありますが、これらの必要な情報をまとめたものに対するインデックス
が、SPIです。(逆にSPIがわかれば必要な情報がわかるので、暗号されたものを複号する
ことができるのです)
トンネルIDはNetScreenが勝手にトンネルについてつけているIDでしかないです。
。。。
ちなみに、現在利用しているScreenOSのバージョンはいくつなのでしょうか?
>>690=674
おはようございます。
別物なんですね・・・ ありがとうございます。
現在利用しているnetscreenの機種が「netscreen25」で
Hardware Version: 4010(0)
Firmware Version: 5.0.0r9.0 (Firewall+VPN)
相手方が「5XT」で
Hardware Version: 1010(0)
Firmware Version: 5.0.0r9.0 (Firewall+VPN)
おはようございます。
別物なんですね・・・ ありがとうございます。
現在利用しているnetscreenの機種が「netscreen25」で
Hardware Version: 4010(0)
Firmware Version: 5.0.0r9.0 (Firewall+VPN)
相手方が「5XT」で
Hardware Version: 1010(0)
Firmware Version: 5.0.0r9.0 (Firewall+VPN)
692 :anonymous@ 1.177.210.220.dy.bbexcite.jp:2005/07/09(土) 21:10:34 ID:???
つ[IPsec徹底入門]
\2,940
\2,940
識者の皆様、質問させていただきます。
・複数固定アドレス
・NATでインターネットアクセス
・インターネットVPN
これら、すべてをNetScreenだけで実現することって、できるのでしょうか?
・複数固定アドレス
・NATでインターネットアクセス
・インターネットVPN
これら、すべてをNetScreenだけで実現することって、できるのでしょうか?
>>693
無問題
無問題
>693
固定IPもらう際に、ISP側にnumberedと指定されると、NSだけでは無理ではとおもう希ガス
固定IPもらう際に、ISP側にnumberedと指定されると、NSだけでは無理ではとおもう希ガス
>>694
レス、ありがとうございます。
そう言い切っていただけると、できるはず!という強い拠りどころになりますw
NetScreenは、とくにunnunmberedの扱いに一抹の不安が残るのですよね。
レス、ありがとうございます。
そう言い切っていただけると、できるはず!という強い拠りどころになりますw
NetScreenは、とくにunnunmberedの扱いに一抹の不安が残るのですよね。
>696
いやいや、unnumberedは問題ないわけで、numberedがだめだと言っているわけなんですがね
いやいや、unnumberedは問題ないわけで、numberedがだめだと言っているわけなんですがね
私は、numberedには縁がないので、ケアしていません。あしからず。
もちろん、情報には感謝しております。
もちろん、情報には感謝しております。
700 :unset-all者:2005/07/15(金) 22:52:13 ID:WjbQoNpy
長文失礼します。
Netscreen 5XT Elite Ver 5.0.0r9において、
tftpサーバ側からの設定上書き(追記では無く更新)のテストをしていました。
コマンド的には、
save config from tftp xxx.xxx.xxx.xxx cfg.txt to flash from Trust
というコマンドです。
Netscreen 5XT Elite Ver 5.0.0r9において、
tftpサーバ側からの設定上書き(追記では無く更新)のテストをしていました。
コマンド的には、
save config from tftp xxx.xxx.xxx.xxx cfg.txt to flash from Trust
というコマンドです。
701 :unset-all者:2005/07/15(金) 22:54:23 ID:WjbQoNpy
ところが更新しない箇所を発見したため(具体的には以下の部分)
set admin manager-ip yyy.yyy.yyy.yyy 255.255.255.0
送り込む設定ファイル cfg.txtの先頭行に以下を追加しました。
unset all
私の頭のイメージでは設定をクリアーした後に設定を入れ込む感覚だったもので、
このようなことをした次第です。
set admin manager-ip yyy.yyy.yyy.yyy 255.255.255.0
送り込む設定ファイル cfg.txtの先頭行に以下を追加しました。
unset all
私の頭のイメージでは設定をクリアーした後に設定を入れ込む感覚だったもので、
このようなことをした次第です。
702 :unset-all者:2005/07/15(金) 22:55:36 ID:WjbQoNpy
先ほどのTFTPコマンドで設定ファイルcfg.txtをNetscreen5XT Eliteに送信ました。
ところが再起動後に、login:プロンプトまで起動しません。
起動ログの最後になぜかy or nの選択が表示されます。
おそらく先頭行のunset allの影響かと考えられます。
しかも入力できません。yを入力しようが、nを入力しようが、反応なしです。
Load System Configuration .Erase all system config, are you sure y/[n] ?
ところが再起動後に、login:プロンプトまで起動しません。
起動ログの最後になぜかy or nの選択が表示されます。
おそらく先頭行のunset allの影響かと考えられます。
しかも入力できません。yを入力しようが、nを入力しようが、反応なしです。
Load System Configuration .Erase all system config, are you sure y/[n] ?
703 :unset-all者:2005/07/15(金) 22:56:25 ID:WjbQoNpy
ファームアップ or ダウンしたら設定が無効になるかと思い、
5.0.0r10や5.1.0r3にアップダウンさせましたが同じ結果です。
ver4にはログオン後exec downgradeコマンドからでないとダウンできないため、
試せませんでした。
5.0.0r10や5.1.0r3にアップダウンさせましたが同じ結果です。
ver4にはログオン後exec downgradeコマンドからでないとダウンできないため、
試せませんでした。
704 :unset-all者:2005/07/15(金) 22:57:02 ID:WjbQoNpy
以下のURLのUsing the Asset Recovery Pinhole to Reset the Deviceの項目を
実行してもだめでした。
6秒たってもコンソール上には何も表示が出てきません。
ttp://www.juniper.net/techpubs/hardware/netscreen-appliances/netscreen-appliances50/ug_5xt.pdf
何か解決策をご存知の方お教えいただけませんでしょうか?
実行してもだめでした。
6秒たってもコンソール上には何も表示が出てきません。
ttp://www.juniper.net/techpubs/hardware/netscreen-appliances/netscreen-appliances50/ug_5xt.pdf
何か解決策をご存知の方お教えいただけませんでしょうか?
705 :unset-all者:2005/07/15(金) 22:58:57 ID:WjbQoNpy
----起動ログを添付します。"xxxx"は情報を隠しているつもりです---------
NetScreen NS-5XT Boot Loader Version 2.0.0 (Checksum: xxxxxxxxxxx)
Copyright (c) 1997-2003 NetScreen Technologies, Inc.
Total physical memory: 64MB
Test - Pass
Initialization - Done
Hit any key to run loader
Hit any key to run loader
Hit any key to run loader
Hit any key to run loader
Loading default system image from on-board flash disk...
Ignore image authentication!
Start loading...
................................................
Done.
NetScreen NS-5XT Boot Loader Version 2.0.0 (Checksum: xxxxxxxxxxx)
Copyright (c) 1997-2003 NetScreen Technologies, Inc.
Total physical memory: 64MB
Test - Pass
Initialization - Done
Hit any key to run loader
Hit any key to run loader
Hit any key to run loader
Hit any key to run loader
Loading default system image from on-board flash disk...
Ignore image authentication!
Start loading...
................................................
Done.
706 :unset-all者:2005/07/15(金) 22:59:32 ID:WjbQoNpy
Juniper Networks, Inc
NS-5XT System Software
Copyright, 1997-2004
Version 5.0.0r9.0
Load Manufacture Information ... init manufacture info Done
Load NVRAM Information ... (5.0)Done
Install module init vectors
Verify ACL register default value (at hw reset) ... Done
Verify ACL register read/write ... Done
Verify ACL rule read/write ... Done
Verify ACL rule search ... Done
MD5("a") = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
MD5("abc") = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
MD5("message digest") = xxxxxxxxxxxxxxxxxxxxxxxxxx
Verify DES register read/write ... Done
Initial port mode trust-untrust(1)
Install modules (xxxxxxxxxxxxxxxxxxx) ... load dns table . Done
Initializing DI 1.1.0-ns
System config (4386 bytes) loaded
.
Done.
Load System Configuration .Erase all system config, are you sure y/[n] ?
NS-5XT System Software
Copyright, 1997-2004
Version 5.0.0r9.0
Load Manufacture Information ... init manufacture info Done
Load NVRAM Information ... (5.0)Done
Install module init vectors
Verify ACL register default value (at hw reset) ... Done
Verify ACL register read/write ... Done
Verify ACL rule read/write ... Done
Verify ACL rule search ... Done
MD5("a") = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
MD5("abc") = xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
MD5("message digest") = xxxxxxxxxxxxxxxxxxxxxxxxxx
Verify DES register read/write ... Done
Initial port mode trust-untrust(1)
Install modules (xxxxxxxxxxxxxxxxxxx) ... load dns table . Done
Initializing DI 1.1.0-ns
System config (4386 bytes) loaded
.
Done.
Load System Configuration .Erase all system config, are you sure y/[n] ?
707 :anonymous@ i60-41-149-82.s02.a014.ap.plala.or.jp:2005/07/16(土) 08:05:29 ID:???
>>704 斜め読みしかしてませんが、マニュアルに
If the unit did not reset,an SNMP alert is sent to confirm the failure.
もしユニットがリセットされなかったら、失敗を確認するためにSNMPがアラートを送ります。
とあるので、見てみては?
If the unit did not reset,an SNMP alert is sent to confirm the failure.
もしユニットがリセットされなかったら、失敗を確認するためにSNMPがアラートを送ります。
とあるので、見てみては?
708 :unset-all者:2005/07/16(土) 13:11:35 ID:???
>>707
お返事ありがとうございます。
7月19日以降にetherealを使用して、
Pinholeでのリセット実行時に、
TrustとUntrustインターフェースから、
あて先ポート番号が162/udpのパケットを送信しているかを確認してみます。
お返事ありがとうございます。
7月19日以降にetherealを使用して、
Pinholeでのリセット実行時に、
TrustとUntrustインターフェースから、
あて先ポート番号が162/udpのパケットを送信しているかを確認してみます。
拾ったNetScreen5のパスワードをリセットするために
ジャンパショートしたら、ファームが消えたようで
毎回tftp見に行くようになってしまいました。
これはファームを入手しないと復活不可ですか?
ジャンパショートしたら、ファームが消えたようで
毎回tftp見に行くようになってしまいました。
これはファームを入手しないと復活不可ですか?
710 :anonymous@ ZM195116.ppp.dion.ne.jp:2005/07/17(日) 10:13:50 ID:GJaLwq83
>>709
残念
残念
712 :anonymous@ usen-221x115x65x108.ap-US01.usen.ad.jp:2005/07/17(日) 12:22:46 ID:???
古いScreenOSだとシリアルで初期化できないようで
ジャンパいじる前に試しましたが駄目でした。
とりあえず産廃業者呼んできます
ジャンパいじる前に試しましたが駄目でした。
とりあえず産廃業者呼んできます
いまさらですが後日談。
予備機からファームを出力できたので、起動はできるようになりました。
でもパスワードは生きたまま・・・。マジ捨ててきます
お前は俺か、って外人さんも。
ttp://www.tek-tips.com/viewthread.cfm?qid=644280
予備機からファームを出力できたので、起動はできるようになりました。
でもパスワードは生きたまま・・・。マジ捨ててきます
お前は俺か、って外人さんも。
ttp://www.tek-tips.com/viewthread.cfm?qid=644280
NetScreen-5XT(5.1.0r3a.0) + flets adsl で PPPoE マルチセッションを試しています。
Web UI から Untrust の Sub-IF を作り、2個目の PPPoE インスタンスを作り、
両方に Access Concentrator を設定しましたが、接続に失敗します。
切り分けをしていったら、今までの PPPoE インスタンスの設定項目の
Access Concentrator を設定しただけで接続に失敗します。
その際のログは下記の通りです。上記以外に設定が必要な箇所があるのでしょうか?
Point-to-Point Protocol over Ethernet (PPPoE) connection failed
to establish a session. Timeout PADI
Web UI から Untrust の Sub-IF を作り、2個目の PPPoE インスタンスを作り、
両方に Access Concentrator を設定しましたが、接続に失敗します。
切り分けをしていったら、今までの PPPoE インスタンスの設定項目の
Access Concentrator を設定しただけで接続に失敗します。
その際のログは下記の通りです。上記以外に設定が必要な箇所があるのでしょうか?
Point-to-Point Protocol over Ethernet (PPPoE) connection failed
to establish a session. Timeout PADI
716 :anonymous@ p10152-ipbffx02sasajima.aichi.ocn.ne.jp:2005/08/14(日) 00:21:41 ID:lWuRfEjV
IPv6 over IPv4 のパケットを通したいんで
プロトコル番号 43 のオブジェクト作ったんだけど、
通らず。
service を Any にしてもおんなじ。
なんでできないかなあ
5.0.0r8.2 です。
プロトコル番号 43 のオブジェクト作ったんだけど、
通らず。
service を Any にしてもおんなじ。
なんでできないかなあ
5.0.0r8.2 です。
typo.
プロトコル番号41 のオブジェクト作ったけど
通らず
プロトコル番号41 のオブジェクト作ったけど
通らず
>717
なにで落ちてるか見たらぁ?セルフログONして
もしくはイベントログで...
ひっかかてるやつ活かしゃいいんじゃないの?
なにで落ちてるか見たらぁ?セルフログONして
もしくはイベントログで...
ひっかかてるやつ活かしゃいいんじゃないの?
719 : :2005/08/20(土) 20:43:44 ID:???
>>600
NS-RemoteがNAT-TでのIKEで4500/udpを使った実績のあるバージョンを
教えてください。
NS-R 8.5を使ってますが、NATを検出しても500 --> 4500への変更をして
くれません。
ちなみに、ScreenOSは4.0.3r5を使っています。
NS-RemoteがNAT-TでのIKEで4500/udpを使った実績のあるバージョンを
教えてください。
NS-R 8.5を使ってますが、NATを検出しても500 --> 4500への変更をして
くれません。
ちなみに、ScreenOSは4.0.3r5を使っています。
721 :経理担当者:2005/08/29(月) 19:00:55 ID:Fz0f1cSo
ネットワーク初心者です。どうぞよろしくお願いします。
現在、5XT-ELiteを使用しています。
本業は経理なのですが、
社内にシステム開発の部署がなく
ネットワークの仕事もさせられております。
上司(といっても上の上の上ぐらい)から、
社内イントラで使用しているサイボウズを
Web公開せよとの指令があって困っています。
社内には、
Win2003サーバーが2台あります。
片方がファイルサーバー等色々入っており、
もう一方がサイボウズサーバーです。
このサイボウズサーバーをWeb公開するにあたって
スクリーンOS 4.0.0DIAL**を使用し
HOME/WORKゾーンに分割しDMZを構築する方法を検討しています。
この方法で大丈夫でしょうか?
現在、5XT-ELiteを使用しています。
本業は経理なのですが、
社内にシステム開発の部署がなく
ネットワークの仕事もさせられております。
上司(といっても上の上の上ぐらい)から、
社内イントラで使用しているサイボウズを
Web公開せよとの指令があって困っています。
社内には、
Win2003サーバーが2台あります。
片方がファイルサーバー等色々入っており、
もう一方がサイボウズサーバーです。
このサイボウズサーバーをWeb公開するにあたって
スクリーンOS 4.0.0DIAL**を使用し
HOME/WORKゾーンに分割しDMZを構築する方法を検討しています。
この方法で大丈夫でしょうか?
722 :anonymous@ 210-170-098-145.jp.fiberbit.net:2005/08/29(月) 23:31:00 ID:stWvUrSI
。。
723 : :2005/08/30(火) 21:07:07 ID:???
なぜDIAL型番を使用するのかわからん・・
724 :anonymous@ pee762d.gifuff01.ap.so-net.ne.jp:2005/10/01(土) 10:49:19 ID:C55mwqhT
NetScreenの設定法とかの記事や書籍ってあんまりないですよね。
ネットワークの知識はほどほどにあるのですが、NetScreenについては
マニュアル読んでも初心者にはなにがなんだかさっぱり。。。
ネットワークの知識はほどほどにあるのですが、NetScreenについては
マニュアル読んでも初心者にはなにがなんだかさっぱり。。。
725 : :2005/10/02(日) 00:28:53 ID:???
>>724
ヒント:日立○ス○ムにSIやってもらう
ヒント:日立○ス○ムにSIやってもらう
726 :anonymous@ ZL123162.ppp.dion.ne.jp:2005/10/15(土) 00:49:46 ID:WiVoEn1r
やっぱCiscoよりコストとかパフォーマンスとかいいの?
>>726
目的と規模は?
目的と規模は?
netscreen5200で ScreenOS4.0.1-r4.2使おうとしています。
WebUIで操作したいのですが初期状態からどういう最低限どういう
設定をすればWebUIで操作できるようになりますか?
マニュアル読んでもよ〜わからんがな
WebUIで操作したいのですが初期状態からどういう最低限どういう
設定をすればWebUIで操作できるようになりますか?
マニュアル読んでもよ〜わからんがな
730 :anonymous@ s161079.ppp.asahi-net.or.jp:2005/10/20(木) 17:17:10 ID:IypI/M8r
初心者で申し訳ないですが
netscreen-5gtで
VPN接続を試みています。
ログに
Completed negotiations with SPI
って出ると
VPN接続できたということですか?
netscreen-5gtで
VPN接続を試みています。
ログに
Completed negotiations with SPI
って出ると
VPN接続できたということですか?
729です。
よ〜わからんうちにできてもた
set interface ethernet2/23 ip 192.168.2.1/24
set interface ethernet2/23 zone untrust
set interface ethernet2/23 ip manageable
set interface ethernet2/23 manage web
こんな感じで port23 に接続してIEで覗くとWebUIが起動ちまちた。
よ〜わからんうちにできてもた
set interface ethernet2/23 ip 192.168.2.1/24
set interface ethernet2/23 zone untrust
set interface ethernet2/23 ip manageable
set interface ethernet2/23 manage web
こんな感じで port23 に接続してIEで覗くとWebUIが起動ちまちた。
732 :te:2005/10/21(金) 21:41:58 ID:zP9xIV59
VIPとMIPの使い分けが良くわかりません。
WEBサーバ(HTTP/HTTPS)を立ち上げたい場合は、
VIPにて、80と443を指定してやればいいのですか?
WEBサーバ(HTTP/HTTPS)を立ち上げたい場合は、
VIPにて、80と443を指定してやればいいのですか?
1IPで複数のサービスを立ち上げたいときはVIP(IPマスカレード?)でMIPは俗に言う1:1NATの事でしょ。
734 :anonymous@ p1112-ipcd01-1hon.tokyo.ocn.ne.jp:2005/10/26(水) 22:55:41 ID:???
735 :anonymous@ actkyo145097.adsl.ppp.infoweb.ne.jp:2005/10/28(金) 19:42:59 ID:???
初歩的な質問ですが、動作モードのサポートユーザ数って何の制限でしょう?
10ユーザの場合、何が10ユーザに制限されるのでしょうか?
10ユーザの場合、何が10ユーザに制限されるのでしょうか?
F/Wの下にNAPT箱があったらどう数えるんだろう?
738 :anonymous@ pddfe7c.t128ah00.ap.so-net.ne.jp:2005/10/31(月) 14:53:57 ID:???
教えてください。
社内のネットワークでweb、mailなどの公開サーバ(DMZ)がある拠点と
200名位の社員(事務系)のいる拠点をVPNでつなごうと思います。
両方ともNetScreen 5GT ExtendedでVPNをするのは無謀なもんでしょうか?
社内のネットワークでweb、mailなどの公開サーバ(DMZ)がある拠点と
200名位の社員(事務系)のいる拠点をVPNでつなごうと思います。
両方ともNetScreen 5GT ExtendedでVPNをするのは無謀なもんでしょうか?
739 :anonymous@ actkyo145097.adsl.ppp.infoweb.ne.jp:2005/10/31(月) 17:02:28 ID:???
740 :fujianasan:2005/11/01(火) 17:06:48 ID:???
Q2 NS-5XT、5GTの10Userモデルの考え方について
NetScreenの配下にある端末数を制限する機能ではなく、同時にWAN側へ通信できるPCを10台(10IP)に制限する機能です。
但し、UntrustからTrustへの通信もカウントされます。
また、10Userの制限はVPN、Firewall、MIP、VIPなどの全通信に影響します。
以下に4つの例を挙げて説明させて頂きます。
Trustゾーン(11個のIP)から、Untrustゾーン(1個のIP)に対し通信
→TrustゾーンからのIPが10を超過する為、11個目のIPからのアクセスは不可能
Untrustゾーン(11個のIP)から、Trustゾーン(1個のIP)に対し通信
→TrustゾーンのIPのみカウントし、10を超過していない為アクセス可能
Untrustゾーン(1個のIP)から、Trustゾーン(11個のIP)に対し通信
→TrustゾーンのIPアドレスをカウントし、Trustゾーンへ10を超えるアクセスがある為、11個目のIPへのアクセスが不可能
www.hitachi-system.co.jp/netscreen/sp/faq/firewall.html#p02
NetScreenの配下にある端末数を制限する機能ではなく、同時にWAN側へ通信できるPCを10台(10IP)に制限する機能です。
但し、UntrustからTrustへの通信もカウントされます。
また、10Userの制限はVPN、Firewall、MIP、VIPなどの全通信に影響します。
以下に4つの例を挙げて説明させて頂きます。
Trustゾーン(11個のIP)から、Untrustゾーン(1個のIP)に対し通信
→TrustゾーンからのIPが10を超過する為、11個目のIPからのアクセスは不可能
Untrustゾーン(11個のIP)から、Trustゾーン(1個のIP)に対し通信
→TrustゾーンのIPのみカウントし、10を超過していない為アクセス可能
Untrustゾーン(1個のIP)から、Trustゾーン(11個のIP)に対し通信
→TrustゾーンのIPアドレスをカウントし、Trustゾーンへ10を超えるアクセスがある為、11個目のIPへのアクセスが不可能
www.hitachi-system.co.jp/netscreen/sp/faq/firewall.html#p02
742 :anonymous@ 210-160-245-253.jp.fiberbit.net:2005/11/17(木) 02:26:46 ID:aRAtHiDh
ご存知の方、教えて下さい。
ネットワークアドレスの異なる複数のGlobal Addressを1台のNetsceenで管理しなければ
いけない状況になっております。
例えば、Untrust側インターフェースの接続されているNWセグメントを
segment a:10.0.0.1/24
だとして、
segment b:10.1.1.0/24
segment c:10.2.2.0/24
segment d:10.3.3.0/24
・
・
・
といった異なるNWセグメント上で、それぞれサーバを公開する必要があります。
サーバはTrust Zoneに接続されており、Private Addressで構成されている為、
segment a,b,c,dにはMIPでマッピングするかたちになります。
ネットスクリーン内部のL3 Functionで複数のVLANを管理できれば対応できるような
気がするのですが。。。
segment aからsegment bへルーティングをして、segment bのアドレスと、サーバの
Private Addressをマッピングみたいなかんじで。。。
こういうのやったことある人います???
ネットワークアドレスの異なる複数のGlobal Addressを1台のNetsceenで管理しなければ
いけない状況になっております。
例えば、Untrust側インターフェースの接続されているNWセグメントを
segment a:10.0.0.1/24
だとして、
segment b:10.1.1.0/24
segment c:10.2.2.0/24
segment d:10.3.3.0/24
・
・
・
といった異なるNWセグメント上で、それぞれサーバを公開する必要があります。
サーバはTrust Zoneに接続されており、Private Addressで構成されている為、
segment a,b,c,dにはMIPでマッピングするかたちになります。
ネットスクリーン内部のL3 Functionで複数のVLANを管理できれば対応できるような
気がするのですが。。。
segment aからsegment bへルーティングをして、segment bのアドレスと、サーバの
Private Addressをマッピングみたいなかんじで。。。
こういうのやったことある人います???
>>742
UntrustのMIPはConncetのセグメントでなくても書けます
MIP書いて前段のルータにStatic書くか、
チャレンジャーならExtIP使って仮想セグメント作ってOSPF使ってください
ExtIPの細かい使い方はマニュアル読んでください
UntrustのMIPはConncetのセグメントでなくても書けます
MIP書いて前段のルータにStatic書くか、
チャレンジャーならExtIP使って仮想セグメント作ってOSPF使ってください
ExtIPの細かい使い方はマニュアル読んでください
744 :モレシャン:2005/11/18(金) 17:26:25 ID:SkqYePlK
教えてください。
Netscreen-25を使ってます。
停電でOSとコンフィグが飛んでしまいました。
サポートも入ってないしOSも手元にありません。
何か良い方法ないですか?
Netscreen-25を使ってます。
停電でOSとコンフィグが飛んでしまいました。
サポートも入ってないしOSも手元にありません。
何か良い方法ないですか?
>>744
購入元に金を払って修理してもらう。
購入元に金を払って修理してもらう。
746 :モレシャン:2005/11/18(金) 17:46:06 ID:SkqYePlK
748 : :2005/11/19(土) 03:10:59 ID:???
>>747
でも、大口いっぱいやってて、
その後の長期保守契約が見込めると結構それができる保守ベンダいますよね
前に、スポットでやってくれって依頼したら"保守契約した方が安いですよ”って言われたことある
でも、大口いっぱいやってて、
その後の長期保守契約が見込めると結構それができる保守ベンダいますよね
前に、スポットでやってくれって依頼したら"保守契約した方が安いですよ”って言われたことある
749 : :2005/11/19(土) 06:56:20 ID:???
>>747
値段次第だけど
OSが手に入れば復旧するというのなら
もう一台新品を買い、
OSを引っこ抜いて復旧させ、
予備機として障害機を保持ってのはどう?
NSをよく知らないけどできないのかな。
>>748
ほとんどのところはそれで受けてくれるはず。
保守契約が始まる前にシステム稼動って所も多いし。
Y川とか固いところはだめらしいね。
値段次第だけど
OSが手に入れば復旧するというのなら
もう一台新品を買い、
OSを引っこ抜いて復旧させ、
予備機として障害機を保持ってのはどう?
NSをよく知らないけどできないのかな。
>>748
ほとんどのところはそれで受けてくれるはず。
保守契約が始まる前にシステム稼動って所も多いし。
Y川とか固いところはだめらしいね。
750 :_:2005/11/19(土) 13:35:36 ID:H/qjdyrp
なぁ、上司が「NetScreenみたいなアプライアンスレベルのものなんか使えない」
みたいな言い方していたんだけど、これって正しいの?
俺が解釈しているアプライアンスっていうのは汎用のサーバ機に任意のOSを入れて
任意の機能をもったソフトウェアを入れたものなんだが。
(あくまで処理はCPUがやる)
ASICで処理するようなものはアプライアンスとは言わないようにしてる。
この認識で正しいの???
みたいな言い方していたんだけど、これって正しいの?
俺が解釈しているアプライアンスっていうのは汎用のサーバ機に任意のOSを入れて
任意の機能をもったソフトウェアを入れたものなんだが。
(あくまで処理はCPUがやる)
ASICで処理するようなものはアプライアンスとは言わないようにしてる。
この認識で正しいの???
>>750
ハードやソフトがどういう仕組みで動くかはあんまり関係ないです
少なくとも今の市場では、
特定用途のためにカスタマイズしたパッケージを
アプライアンスってよんでます
上司の意図がセキュリティ特化のアプライアンスであるNetscreenを
他の用途(ルータとしてとか)で使うなんてありえないって意味なら
あなたの上司は全面的に正しいことを言っています
ハードやソフトがどういう仕組みで動くかはあんまり関係ないです
少なくとも今の市場では、
特定用途のためにカスタマイズしたパッケージを
アプライアンスってよんでます
上司の意図がセキュリティ特化のアプライアンスであるNetscreenを
他の用途(ルータとしてとか)で使うなんてありえないって意味なら
あなたの上司は全面的に正しいことを言っています
753 :anonymous@ 210-232-050-009.jp.fiberbit.net:2005/11/19(土) 20:25:45 ID:OQ1FMmFz
以下のNS5GTをつかっています.
Hardware Version: 3010(2)
Software Version:
4.0.0r5.3 (Firewall+VPN)
出荷時状態に初期化したのち,trust-untrustモードで動作させ,untrust側に
つないだPCからnmapでconnect scanすると,ほとんどのtcp portでaliveと
なります.well-knownなportなどかなりの数です.実際tcpdumpでtrafficを
みてみても,synに対しNSのuntrust側インターフェースからsyn/ackがか
えってきます.そのあとのパケットは送られてこないので通信は成立せず,
したがってこれだけなら実害も少ないのですが,VIPをつかってtrust側のPC
にポートフォワードをしようとしたとき,上でaliveとなっているポートを
VIPにアサインしてもフォワードされない現象がでています.aliveとならない
ポートなら正常にフォワードされることを確認しています(要untrust-global
のポリシー設定).これはいったいどういう事態なのでしょう?
出荷時に初期化した状態ですでになっていることが不思議です.
Hardware Version: 3010(2)
Software Version:
4.0.0r5.3 (Firewall+VPN)
出荷時状態に初期化したのち,trust-untrustモードで動作させ,untrust側に
つないだPCからnmapでconnect scanすると,ほとんどのtcp portでaliveと
なります.well-knownなportなどかなりの数です.実際tcpdumpでtrafficを
みてみても,synに対しNSのuntrust側インターフェースからsyn/ackがか
えってきます.そのあとのパケットは送られてこないので通信は成立せず,
したがってこれだけなら実害も少ないのですが,VIPをつかってtrust側のPC
にポートフォワードをしようとしたとき,上でaliveとなっているポートを
VIPにアサインしてもフォワードされない現象がでています.aliveとならない
ポートなら正常にフォワードされることを確認しています(要untrust-global
のポリシー設定).これはいったいどういう事態なのでしょう?
出荷時に初期化した状態ですでになっていることが不思議です.
754 :anonymous@ l247065.ppp.asahi-net.or.jp:2005/11/30(水) 19:51:15 ID:???
Netscreen 5GTのユーザをLDAPで管理したいんだけど
マニュアルの第二章、認証サーバを見ても搭載されている
APIの情報とかがなかなか見つかりません。
どなたがLDAPで管理されている方、情報を頂けませんか?
マニュアルの第二章、認証サーバを見ても搭載されている
APIの情報とかがなかなか見つかりません。
どなたがLDAPで管理されている方、情報を頂けませんか?
755 :モレシャン:2005/12/06(火) 13:15:32 ID:wO5u1n9P
Netscreen-25でコンパクトフラッシュにログを入れようと思いコンパクト
フラッシュカードを差し込んだのですが、認識されていないのかSTATUSラ
ンプがアンバーに点滅してしまっています。
認識させる方法が分かりません。何方か教えてください。
フラッシュカードを差し込んだのですが、認識されていないのかSTATUSラ
ンプがアンバーに点滅してしまっています。
認識させる方法が分かりません。何方か教えてください。
>>755
NetScreenは結構コンパクトフラッシュの相性問題があったと思う。
試したのは結構昔なんで最近のはわからないけど日立のコントローラ積んだCFは全滅だった。
大昔のエプソンブランド(サンディスクのOEM)は使えた。
NetScreenは結構コンパクトフラッシュの相性問題があったと思う。
試したのは結構昔なんで最近のはわからないけど日立のコントローラ積んだCFは全滅だった。
大昔のエプソンブランド(サンディスクのOEM)は使えた。
757 :モレシャン:2005/12/09(金) 17:16:41 ID:/dGHA5E5
>>756
推奨のサンディスク(OEM)なんですがね。
メモリサイズが推奨と違うから駄目なんですかね。
96Mと512Mになっているんですが96Mなんて見た事無いし512Mだと高いし。
やっぱり日本の製品とは違うんですね。
推奨のサンディスク(OEM)なんですがね。
メモリサイズが推奨と違うから駄目なんですかね。
96Mと512Mになっているんですが96Mなんて見た事無いし512Mだと高いし。
やっぱり日本の製品とは違うんですね。
759 :anonymous@ P222013005013.ppp.prin.ne.jp:2006/01/02(月) 15:27:32 ID:3ILGcAFN
NetscreenをFirewallとして使用しています。
Netscreenの内側の機器と外側の機器をVPNで接続させたいので
ポリシーでESPを許可させようと思ったところESPがサービスにありません。
(ScreenOSのバージョンは5.0以上です。)
ESP(IPプロトコル番号50?)のようなTCP、UDP、ICMPでないプロトコルは
どのように定義すればよろしいのでしょうか???
よろしくお願いします。
Netscreenの内側の機器と外側の機器をVPNで接続させたいので
ポリシーでESPを許可させようと思ったところESPがサービスにありません。
(ScreenOSのバージョンは5.0以上です。)
ESP(IPプロトコル番号50?)のようなTCP、UDP、ICMPでないプロトコルは
どのように定義すればよろしいのでしょうか???
よろしくお願いします。
760 : :2006/01/03(火) 19:59:39 ID:???
set service
761 :759:2006/01/03(火) 20:42:55 ID:vbpjYidK
762 : :2006/01/04(水) 10:57:52 ID:???
set service ? したら
>>761
某所のFWにはその設定入れてるんだけど代休中なので‥
とりあえずドキュメントを落としてっと‥
あ、ScreenOS 5.0.0のCLI Reference Guide: Command Descriptions(↓)の453ページにまんま載ってるよ。
ttp://www.juniper.net/techpubs/software/screenos/screenos5x/cli_5_0.pdf
set service ipsec protocol 50
だね。使うアプリによってはtimeout設定がいるかもだけど。
某所のFWにはその設定入れてるんだけど代休中なので‥
とりあえずドキュメントを落としてっと‥
あ、ScreenOS 5.0.0のCLI Reference Guide: Command Descriptions(↓)の453ページにまんま載ってるよ。
ttp://www.juniper.net/techpubs/software/screenos/screenos5x/cli_5_0.pdf
set service ipsec protocol 50
だね。使うアプリによってはtimeout設定がいるかもだけど。
>>763
ありがと。
set service ipsec protocol 50
これ打ち込むと
実際のConfigでは
set service ipsec protocol 50 src-port 0-65536 dst-port 0-0
みたいに(うろ覚え)勝手にPort設定が入りますね。
これは気にしなくてもいいかな。
話はかわるけど
最近のScreenOSはWeb管理画面を使用してると
Web管理画面だけが1〜2分間ぐらいまったく繋がらなくなる時ない?
ありがと。
set service ipsec protocol 50
これ打ち込むと
実際のConfigでは
set service ipsec protocol 50 src-port 0-65536 dst-port 0-0
みたいに(うろ覚え)勝手にPort設定が入りますね。
これは気にしなくてもいいかな。
話はかわるけど
最近のScreenOSはWeb管理画面を使用してると
Web管理画面だけが1〜2分間ぐらいまったく繋がらなくなる時ない?
set service ipsec protocol 50 src-port 0-65535 dst-port 0-65535
だったかな?気にしなくてもいいよ。使えるから。
だったかな?気にしなくてもいいよ。使えるから。
766 :anonymous@ PPPa120.w17.eacc.dti.ne.jp:2006/01/08(日) 16:30:56 ID:???
NetscreenのDMZにデフォルトゲートウェイを設定できないマシンが1台あります。
DMZのネットワークアドレスはローカルIPです。
この1台をInternetの特定の1台から接続させる場合、
まずDMZのマシンのIPアドレスはMIPを使用してUntrustのグローバルIPとNATさせます。
後は
Internetから来るパケットのソースIPをDMZのローカルIPにNATさせればいいと思いますが、
やはりこれも同じようにMIPで行うのがベスト?
聞きたいことは
SrcIPもDstIPも両方一発変換したいって時も両方MIP使えばOK?
テストではOKだったが、一般的な設定方法ってこんな感じであってるかなぁと思って・・・
DMZのネットワークアドレスはローカルIPです。
この1台をInternetの特定の1台から接続させる場合、
まずDMZのマシンのIPアドレスはMIPを使用してUntrustのグローバルIPとNATさせます。
後は
Internetから来るパケットのソースIPをDMZのローカルIPにNATさせればいいと思いますが、
やはりこれも同じようにMIPで行うのがベスト?
聞きたいことは
SrcIPもDstIPも両方一発変換したいって時も両方MIP使えばOK?
テストではOKだったが、一般的な設定方法ってこんな感じであってるかなぁと思って・・・
767 :_____:2006/01/10(火) 16:58:38 ID:vPXnonwV
NetscreenってTCPのセッションを完全にはチェックしてないの?
シーケンス番号などのサーチがいい加減のような気がするんだが気のせいだろうか。
シーケンス番号などのサーチがいい加減のような気がするんだが気のせいだろうか。
768 :anonymous@ i60-42-101-45.s05.a011.ap.plala.or.jp:2006/01/10(火) 17:00:50 ID:KFX4kjxX
>>767
そうだよ。マニュアルに載ってるから読むよろし。
ScreenOS5.0.0リファレンスマニュアルなら第四部の23〜25ページあたり。
「tcp-syn-checkを有効にするのを強くお勧めします」と書いてありながら、
デフォルトでは無効だったりする。なんだかなーと思わなくもない。
そうだよ。マニュアルに載ってるから読むよろし。
ScreenOS5.0.0リファレンスマニュアルなら第四部の23〜25ページあたり。
「tcp-syn-checkを有効にするのを強くお勧めします」と書いてありながら、
デフォルトでは無効だったりする。なんだかなーと思わなくもない。
NS5 シリーズ向けにでてる使いきりの AV ライセンスとか使ってる人います?
拠点にばら撒いて障害時には保守に任せちゃおうかと思ってるんですが、
ライセンスが使いきりだからか、復旧に時間がかかるらしいんですよ。
やっぱり予備機も一緒にばら撒いておいた方がいいんですかね?
拠点にばら撒いて障害時には保守に任せちゃおうかと思ってるんですが、
ライセンスが使いきりだからか、復旧に時間がかかるらしいんですよ。
やっぱり予備機も一緒にばら撒いておいた方がいいんですかね?
>>770
そもそも、AVはうわてめーなにしやあwせdrftgyふじこlp@;
そもそも、AVはうわてめーなにしやあwせdrftgyふじこlp@;
772 : :2006/01/19(木) 21:43:04 ID:???
ネットスクリーンでよくわからないところがあります。
現在ポリシーベースで2拠点でVPN接続しております。
拠点A-VPN1------インターネット--------VPN2-拠点B
※試験的にVPN1,2共にLAN,WAN側インターフェースのサービスオプションは
すべてチェックをいれています。
という感じでつながっています。
この単純な接続で起こることなのですが、
私が拠点A端末から拠点BのVPN2-WANインタフェースのアドレスをブラウザ
で叩いた場合、なぜか、VPN1のWEBUIが表示されます。
同様にVPN2のLANインタフェースのアドレスをブラウザやtelnetに入れた場合も
VPN1(自拠点)のtelnet、WEBUI画面に飛びます。
これはなぜなんでしょうか?
ご存知であれば教えてください
現在ポリシーベースで2拠点でVPN接続しております。
拠点A-VPN1------インターネット--------VPN2-拠点B
※試験的にVPN1,2共にLAN,WAN側インターフェースのサービスオプションは
すべてチェックをいれています。
という感じでつながっています。
この単純な接続で起こることなのですが、
私が拠点A端末から拠点BのVPN2-WANインタフェースのアドレスをブラウザ
で叩いた場合、なぜか、VPN1のWEBUIが表示されます。
同様にVPN2のLANインタフェースのアドレスをブラウザやtelnetに入れた場合も
VPN1(自拠点)のtelnet、WEBUI画面に飛びます。
これはなぜなんでしょうか?
ご存知であれば教えてください
773 :anonymous@ 221x250x78x98.ap221.ftth.ucom.ne.jp:2006/01/31(火) 08:25:10 ID:???
774 :anonymous@ PPPa50.w17.eacc.dti.ne.jp:2006/02/05(日) 09:48:18 ID:???
ScreenOSバグ多すぎwwwwwwwwww
同意!!!!
776 :anonymous@ i218-47-49-89.s02.a027.ap.plala.or.jp:2006/02/06(月) 00:31:20 ID:vFRRamDx
NetScreen5GT(Bフレッツ) ⇔ (Bフレッツ)BBルータ−NetScreenリモート(PC)を使って
通信させようとしてます。
NetScreen5GT(Bフレッツ) ⇔ (Bフレッツ)NetScreenリモート(PC)の構成なら
問題なく通信できますが、BBルータを間に入れると上手く通信できません。
何台かのルータ(VPNスルー機能はON)を試しましたがダメです。
NetScreen5GTにはNATtraversalはONにしてます。
BBルータの問題と思われますが・・・?原因は不明です。
解決方法又はNetScreenリモートの推奨BBルータ(実績のあるルータ)があれば
教えて頂けないでしょうか。
通信させようとしてます。
NetScreen5GT(Bフレッツ) ⇔ (Bフレッツ)NetScreenリモート(PC)の構成なら
問題なく通信できますが、BBルータを間に入れると上手く通信できません。
何台かのルータ(VPNスルー機能はON)を試しましたがダメです。
NetScreen5GTにはNATtraversalはONにしてます。
BBルータの問題と思われますが・・・?原因は不明です。
解決方法又はNetScreenリモートの推奨BBルータ(実績のあるルータ)があれば
教えて頂けないでしょうか。
syn-checkをまじめにやるとメモリ喰うし、負荷も上がるからね。
届くパケットを見て、セッションテーブル全部舐め回す処理を行う事に成るし。
やっぱり簡易版という印象は拭えないなあ。
本命はfirewall-1。
届くパケットを見て、セッションテーブル全部舐め回す処理を行う事に成るし。
やっぱり簡易版という印象は拭えないなあ。
本命はfirewall-1。
>>764
> 最近のScreenOSはWeb管理画面を使用してると
> Web管理画面だけが1〜2分間ぐらいまったく繋がらなくなる時ない?
ある。Ver5になってから素早い操作を行うと良く起こる。
多分、ブラウザの同時コネクション数が多いからScreenOSにDoSと思われているんだと思う。
ゆっくり操作すればほぼ問題無いので放置している。
> 最近のScreenOSはWeb管理画面を使用してると
> Web管理画面だけが1〜2分間ぐらいまったく繋がらなくなる時ない?
ある。Ver5になってから素早い操作を行うと良く起こる。
多分、ブラウザの同時コネクション数が多いからScreenOSにDoSと思われているんだと思う。
ゆっくり操作すればほぼ問題無いので放置している。
779 :anonymous?:2006/02/06(月) 23:46:22 ID:???
房な質問ですが…。。
NetScreenって非固定アドレスでのWebサーバ等の運用って可能ですか?
NetScreenって非固定アドレスでのWebサーバ等の運用って可能ですか?
781 :漏れシャン:2006/02/11(土) 02:51:50 ID:9467EOOG
教えてください。
NS-25使って1個の固定IPでVPNとサーバー公開って出来るんですか?
NS-25使って1個の固定IPでVPNとサーバー公開って出来るんですか?
おい!
GUIで
Globalゾーンの(Trustインターフェイスの)MIPを10個ぐらいアドレスグループで作って
ルールのFrom Trust to Trustのあて先にぶちこんだら
Netscreenがダウンするんですけど・・
結構、設定変更でダウンする事おおいなぁ
こんなんじゃ運用中のマシンの設定変更怖くてできねーよ
GUIで
Globalゾーンの(Trustインターフェイスの)MIPを10個ぐらいアドレスグループで作って
ルールのFrom Trust to Trustのあて先にぶちこんだら
Netscreenがダウンするんですけど・・
結構、設定変更でダウンする事おおいなぁ
こんなんじゃ運用中のマシンの設定変更怖くてできねーよ
783 :anonymous@ tachiuo.pm.twin.ne.jp:2006/02/11(土) 12:18:59 ID:???
>>781
NS25はunnumberedで使えないハズ。
NS25はunnumberedで使えないハズ。
unnumberedには非対応だけどNetscreen自体にPPPoE喋らせて使う分には
1個の固定IPでVPNとサーバー公開は出来る。
1個の固定IPでVPNとサーバー公開は出来る。
785 :漏れシャン:2006/02/12(日) 12:50:51 ID:h/rZcuXB
787 : :2006/02/12(日) 23:59:59 ID:???
788 :anonymous@ co153.opt2.point.ne.jp:2006/02/13(月) 15:58:59 ID:???
>> 779
DDNSのクライアント機能はルータには無いので、自分でスクリプトでも
書くか、好きなクライアントツールでも入れてくれ。
他のルータでいうところの静的NATの設定はVIPで。
普通に外から80番とか22番ポートとかでサーバにアクセスしたいのであれば、
ルータの管理画面へのアクセスポートを変更しておかないとぶつかって悲惨
な目にあうので注意。
あと、ポリシーを設定するときには、宛先はVIPのアドレスブックを選ぶ。
この辺りが自分がはまった点。
DDNSのクライアント機能はルータには無いので、自分でスクリプトでも
書くか、好きなクライアントツールでも入れてくれ。
他のルータでいうところの静的NATの設定はVIPで。
普通に外から80番とか22番ポートとかでサーバにアクセスしたいのであれば、
ルータの管理画面へのアクセスポートを変更しておかないとぶつかって悲惨
な目にあうので注意。
あと、ポリシーを設定するときには、宛先はVIPのアドレスブックを選ぶ。
この辺りが自分がはまった点。
789 :anonymous@ p1102-ipad301hodogaya.kanagawa.ocn.ne.jp:2006/02/16(木) 00:11:52 ID:VNKTwQPZ
790 :anonymous@ f074149.ppp.asahi-net.or.jp:2006/02/19(日) 01:30:19 ID:iQ2j02kz
質問です。
どなたか教えていただけませんか?
VPNの対向先のルーティングで悩んでおります。
現状は、BフレッツのルートモードにてVPN接続しております。共に5GTでバージョンは5.2で、固定IPを拠点にA、Bとも一つ所得しています。
(拠点A) (拠点B)
5GTーーーーーーーーーー5GT
trust(192.168.1.0/24) trust(192.168.2.0/24)
↓
ローカルルーター(WAN 192.168.1.254)
(LAN 192.168.3.1)
↓
192.168.3.10 サーバA
拠点Aと拠点BはVPN接続出来ております。
拠点Aのtrust側にルーター(WAN 192.168.1.254)(LAN 192.168.3.1)を置き、LAN側に192.168.3.10のサーバーAを置いております。ローカルルーターにIPマスカレードにて、現状は拠点Aの192.168.1.0/24のクライアントから192.168.3.10のサーバAにアクセスは可能ですが、
拠点BからVPN越しにサーバーA(192.168.3.10)にアクセス出来ません。拠点Bから192.168.1.254もPINGも飛びません。
いろいろ試してみましたが、どうにもこうにもうまくいきません。
どなたか助けてください。よろしくお願いいたします。
どなたか教えていただけませんか?
VPNの対向先のルーティングで悩んでおります。
現状は、BフレッツのルートモードにてVPN接続しております。共に5GTでバージョンは5.2で、固定IPを拠点にA、Bとも一つ所得しています。
(拠点A) (拠点B)
5GTーーーーーーーーーー5GT
trust(192.168.1.0/24) trust(192.168.2.0/24)
↓
ローカルルーター(WAN 192.168.1.254)
(LAN 192.168.3.1)
↓
192.168.3.10 サーバA
拠点Aと拠点BはVPN接続出来ております。
拠点Aのtrust側にルーター(WAN 192.168.1.254)(LAN 192.168.3.1)を置き、LAN側に192.168.3.10のサーバーAを置いております。ローカルルーターにIPマスカレードにて、現状は拠点Aの192.168.1.0/24のクライアントから192.168.3.10のサーバAにアクセスは可能ですが、
拠点BからVPN越しにサーバーA(192.168.3.10)にアクセス出来ません。拠点Bから192.168.1.254もPINGも飛びません。
いろいろ試してみましたが、どうにもこうにもうまくいきません。
どなたか助けてください。よろしくお願いいたします。
791 :790:2006/02/19(日) 01:32:16 ID:iQ2j02kz
質問です。
どなたか教えていただけませんか?
VPNの対向先のルーティングで悩んでおります。
現状は、BフレッツのルートモードにてVPN接続しております。共に5GTでバージョンは5.2で、固定IPを拠点にA、Bとも一つ所得しています。
(拠点A) (拠点B)
5GTーーーーーーーーーー5GT
trust(192.168.1.0/24) trust(192.168.2.0/24)
↓
ローカルルーター(WAN 192.168.1.254)
(LAN 192.168.3.1)
↓
192.168.3.10 サーバA
拠点Aと拠点BはVPN接続出来ております。
拠点Aのtrust側にルーター(WAN 192.168.1.254)(LAN 192.168.3.1)を置き、LAN側に192.168.3.10のサーバーAを置いております。ローカルルーターにIPマスカレードにて、現状は拠点Aの192.168.1.0/24のクライアントから192.168.3.10のサーバAにアクセスは可能ですが、
拠点BからVPN越しにサーバーA(192.168.3.10)にアクセス出来ません。拠点Bから192.168.1.254もPINGも飛びません。
いろいろ試してみましたが、どうにもこうにもうまくいきません。
どなたか助けてください。よろしくお願いいたします。
どなたか教えていただけませんか?
VPNの対向先のルーティングで悩んでおります。
現状は、BフレッツのルートモードにてVPN接続しております。共に5GTでバージョンは5.2で、固定IPを拠点にA、Bとも一つ所得しています。
(拠点A) (拠点B)
5GTーーーーーーーーーー5GT
trust(192.168.1.0/24) trust(192.168.2.0/24)
↓
ローカルルーター(WAN 192.168.1.254)
(LAN 192.168.3.1)
↓
192.168.3.10 サーバA
拠点Aと拠点BはVPN接続出来ております。
拠点Aのtrust側にルーター(WAN 192.168.1.254)(LAN 192.168.3.1)を置き、LAN側に192.168.3.10のサーバーAを置いております。ローカルルーターにIPマスカレードにて、現状は拠点Aの192.168.1.0/24のクライアントから192.168.3.10のサーバAにアクセスは可能ですが、
拠点BからVPN越しにサーバーA(192.168.3.10)にアクセス出来ません。拠点Bから192.168.1.254もPINGも飛びません。
いろいろ試してみましたが、どうにもこうにもうまくいきません。
どなたか助けてください。よろしくお願いいたします。
792 :790:2006/02/19(日) 01:35:01 ID:iQ2j02kz
すみません。2度も書き込んでしましました。
>790
ローカルルータに拠点Bのルーティングは入っていますか?
ローカルルータに拠点Bのルーティングは入っていますか?
794 :790:2006/02/19(日) 16:45:47 ID:iQ2j02kz
793さん、ご返事ありがとうございます。
ローカルルーターですか!
netscreenの側の設定だと思い、ローカルルータのルーティングは、気にしていませんでした。
試してみます。
ローカルルーターですか!
netscreenの側の設定だと思い、ローカルルータのルーティングは、気にしていませんでした。
試してみます。
795 :790:2006/02/19(日) 19:29:31 ID:IJrpi2IC
793さん
お蔭様でうまくいきました!助かりました。
ここ数日、netscreenのマニュアルを何度も読み返し、自宅にてテスト環境を作って試してましたが、
うまくいかずなかば諦めかけていました。
ありがとうございます。
お蔭様でうまくいきました!助かりました。
ここ数日、netscreenのマニュアルを何度も読み返し、自宅にてテスト環境を作って試してましたが、
うまくいかずなかば諦めかけていました。
ありがとうございます。
796 :anonymous@ softbank219197212013.bbtec.net:2006/02/20(月) 09:14:45 ID:???
灯台下暗しとはこのことだね・・・
漏れも全然ルーティングできない!って悩んでたらPCのデフォルトゲートウェイを設定してなかったってオチがあった
漏れも全然ルーティングできない!って悩んでたらPCのデフォルトゲートウェイを設定してなかったってオチがあった
ちなみに790の構成をルートベースVPNで行う場合って
Proxy-IDの拠点A側の設定ってどうすればいい?
0.0.0.0/0にすればいいってのは無しで・・
ISG は徐々に出てる感じだけど、
SSG ってどうなの?
SSG ってどうなの?
799 :anonymous@ 108.48.244.43.ap.yournet.ne.jp:2006/02/28(火) 21:40:25 ID:???
5GT使っています。
固定IPが8個ある環境で、[ http://5GTのGlobalIP/ ]
で5GTのWebUIアクセスできてしまう環境になってます。
Untrust->Trust や、Untrust->Globalで、policyの
設定のトップに、Any->5GTのGlobalIP, HTTP, Deny
の設定をつっこんでも思い通りに動いてくれません…
上記はMIPとか、Objectで定義して設定してみました。
いろいろあって今日はじめてさわり、細かい設定に
ついてはあまりわかってないのですが、ここがあや
しいんじゃないか という設定箇所とかありましたら
教えていただきたいです。
宜しくお願い致します。
固定IPが8個ある環境で、[ http://5GTのGlobalIP/ ]
で5GTのWebUIアクセスできてしまう環境になってます。
Untrust->Trust や、Untrust->Globalで、policyの
設定のトップに、Any->5GTのGlobalIP, HTTP, Deny
の設定をつっこんでも思い通りに動いてくれません…
上記はMIPとか、Objectで定義して設定してみました。
いろいろあって今日はじめてさわり、細かい設定に
ついてはあまりわかってないのですが、ここがあや
しいんじゃないか という設定箇所とかありましたら
教えていただきたいです。
宜しくお願い致します。
800 :anonymous@ PPPbf2930.tokyo-ip.dti.ne.jp:2006/02/28(火) 21:53:12 ID:???
5GTのどのIFにそのIPアドレスをつけてるの?
そもそもset admin manager-ip入れないとアクセスできなかったような気がするんだが。
そもそもset admin manager-ip入れないとアクセスできなかったような気がするんだが。
>>800
レスありがとうございます。
まともな引継ぎ資料がないままに始めて触ったからよく
わからないのですが、WebUIによるとUntrustになってる
と思われます。そしてMIPはTrustにあります。
policyの Untrust->Trust で、Any->MIP とかやって
みてました。
レスありがとうございます。
まともな引継ぎ資料がないままに始めて触ったからよく
わからないのですが、WebUIによるとUntrustになってる
と思われます。そしてMIPはTrustにあります。
policyの Untrust->Trust で、Any->MIP とかやって
みてました。
802 :anonymous@ PPPbf2930.tokyo-ip.dti.ne.jp:2006/03/01(水) 01:04:35 ID:???
うーんと、最終的にはどうしたいの?
WebUI自体全く使えなくすればいいの?
それとも、特定のIPアドレスだけ使えるようにするの?
特定のIPアドレスだけ許可したいなら、設定許可するIPって項目が
中にあるはずだから、そこをいじればいいと思う。
コマンドだと「set admin manager-ip IPアドレス」かな。
WebUI自体全く使えなくすればいいの?
それとも、特定のIPアドレスだけ使えるようにするの?
特定のIPアドレスだけ許可したいなら、設定許可するIPって項目が
中にあるはずだから、そこをいじればいいと思う。
コマンドだと「set admin manager-ip IPアドレス」かな。
Interface - Untrust のWebUIにチェックが入っているだけでは?
>>802
>>803
レスポンス真にありがとうございます。
要するに特定のIPから許可したかったのですが、
今までの経験上、外部からの接続を遮断してやれば
いいと思い、policyの設定を変更しようとしており
ました。
803殿の方法で解決しました…こんなことだったとは。
セキュリティ周りを強化中なので、また詰まったら
質問させていただくかもしれません。
こんな簡単なことにお答えいただき非常に感謝です。
ありがとうございました!
>>803
レスポンス真にありがとうございます。
要するに特定のIPから許可したかったのですが、
今までの経験上、外部からの接続を遮断してやれば
いいと思い、policyの設定を変更しようとしており
ました。
803殿の方法で解決しました…こんなことだったとは。
セキュリティ周りを強化中なので、また詰まったら
質問させていただくかもしれません。
こんな簡単なことにお答えいただき非常に感謝です。
ありがとうございました!
805 : :2006/03/02(木) 15:18:32 ID:???
NS5GT Extendedを利用しているんですが最近WebUIにつなごうとしても、接続がリセットされました。とばかりでて満足に繋げません。
こんなものなのでしょうか?
こんなものなのでしょうか?
806 : :2006/03/06(月) 22:38:11 ID:???
触らなければ安定してるのに
コマンドたたいたりするとすぐPanicダウンしやがる・・・
コマンドたたいたりするとすぐPanicダウンしやがる・・・
807 :anonymous@ i58-93-106-205.s04.a012.ap.plala.or.jp:2006/03/10(金) 00:54:29 ID:???
マニュアルってどこかでDLできますか?
>>807
どこで、ダウンロードが出来ると思います?
どこで、ダウンロードが出来ると思います?
809 :悩める新米担当者:2006/03/10(金) 22:47:33 ID:7/V1R4Tw
先輩方こんにちは。
最近ネットワーク担当者になったのですが、困ったことが起こり、
どうしようもなくなって相談方レスをつけさせてもらった次第です。
私の勤めている会社では、最近社内のサーバ室にNetsereen50を
導入しました。設定はすったもんだのあげく結局○ECFDにやって
もらいました。
現在PHSをモバイルパソコンに繋ぎ、モバイルOCNへのダイヤル
アップに乗せてVPNを使っています。
最近出先事務所でのVPNを構築する話がもちあがり、構成を検討して
いました。ベンダーさんの構成案は現在IP電話として使っている
出先側の回線をADSLモデムからSWHUBで分岐させ、そこにNS-5GTを
繋いでそこからHUBで数台のパソコンを繋ぐというものです。
それを、部長に見せた所、"なんでNS-5GTがいるんだ?モバイル接続
の時はそんなもの必要なかったじゃないか。だったら普通のインターネット
接続でもそんなものはいらないはずだ。こんなことが解らないようなら
おまえはクビだ"
というようなことを言われました。私は、NS-5GTはNATtraversal
のために必要であり、普通のルーター機能ではVPNトンネルが張れない
為、この機械が必要だと聞いていたのでそう説明すると、"モバイル
にはNsRemoteしか入ってないぞ"と言われて口をつぐみました。
この、有線とモバイルの違いが説明できれば何とかなるのですが、何故
モバイルで行うVPNにはNS-5GTのようなものが必要ないのでしょうか?
もし、有線接続で行うVPNにNS-5GTのようなVPNブランチが必要なければ
その場合、どういった構成が考えられるでしょうか?
単純に考えると、PC1台1台にグローバルアドレスを割り当ててそれと
Netsreenと直接会話させられそうな気がするのですが、でもそれだとVPN
トンネルが張れないような気がしますし、またNAT機能を考えた場合、最低でも
ルータのようなものがなければローカルアドレスとグローバルアドレスを設定する
所がないのではないかと思ってしまいます。
不勉強な所もあり、乱筆、乱文ご容赦いただき、どなたかご教授願えませんでしょうか?
最近ネットワーク担当者になったのですが、困ったことが起こり、
どうしようもなくなって相談方レスをつけさせてもらった次第です。
私の勤めている会社では、最近社内のサーバ室にNetsereen50を
導入しました。設定はすったもんだのあげく結局○ECFDにやって
もらいました。
現在PHSをモバイルパソコンに繋ぎ、モバイルOCNへのダイヤル
アップに乗せてVPNを使っています。
最近出先事務所でのVPNを構築する話がもちあがり、構成を検討して
いました。ベンダーさんの構成案は現在IP電話として使っている
出先側の回線をADSLモデムからSWHUBで分岐させ、そこにNS-5GTを
繋いでそこからHUBで数台のパソコンを繋ぐというものです。
それを、部長に見せた所、"なんでNS-5GTがいるんだ?モバイル接続
の時はそんなもの必要なかったじゃないか。だったら普通のインターネット
接続でもそんなものはいらないはずだ。こんなことが解らないようなら
おまえはクビだ"
というようなことを言われました。私は、NS-5GTはNATtraversal
のために必要であり、普通のルーター機能ではVPNトンネルが張れない
為、この機械が必要だと聞いていたのでそう説明すると、"モバイル
にはNsRemoteしか入ってないぞ"と言われて口をつぐみました。
この、有線とモバイルの違いが説明できれば何とかなるのですが、何故
モバイルで行うVPNにはNS-5GTのようなものが必要ないのでしょうか?
もし、有線接続で行うVPNにNS-5GTのようなVPNブランチが必要なければ
その場合、どういった構成が考えられるでしょうか?
単純に考えると、PC1台1台にグローバルアドレスを割り当ててそれと
Netsreenと直接会話させられそうな気がするのですが、でもそれだとVPN
トンネルが張れないような気がしますし、またNAT機能を考えた場合、最低でも
ルータのようなものがなければローカルアドレスとグローバルアドレスを設定する
所がないのではないかと思ってしまいます。
不勉強な所もあり、乱筆、乱文ご容赦いただき、どなたかご教授願えませんでしょうか?
810 :anonymous@ h220-215-149-191.tpch01.itscom.jp:2006/03/10(金) 23:07:49 ID:???
質問なのですが、
http://www.hitachi-system.co.jp/netScreen/sp/faq/firewall.html#p04
を見ているとNX-5XPでもScreenOS5.0なら
ダイナミックルートが設定できそうですけど、
実際は5XPのみサポート外という認識でよろしいでしょうか?
http://www.hitachi-system.co.jp/netScreen/sp/faq/firewall.html#p04
を見ているとNX-5XPでもScreenOS5.0なら
ダイナミックルートが設定できそうですけど、
実際は5XPのみサポート外という認識でよろしいでしょうか?
> 単純に考えると、PC1台1台にグローバルアドレスを割り当ててそれと
> Netsreenと直接会話させられそうな気がするのですが、
そうですね
> でもそれだとVPNトンネルが張れないような気がしますし、
なぜ?
> Netsreenと直接会話させられそうな気がするのですが、
そうですね
> でもそれだとVPNトンネルが張れないような気がしますし、
なぜ?
812 :悩める新米担当者:2006/03/10(金) 23:45:31 ID:7/V1R4Tw
レスありがとうございます。
>>811
VPNトンネルはNS機器が作るものだと聞いていましたので、それが無いと、
クライアント側からの通信に支障がでるのではないかと思っているからです。^^;
>>810
ダイナミックルートとはいかなるものでしょうか?
今、この板を上から順に読んでいます。返信ちょっと遅れるかもしれません。^^;
>>811
VPNトンネルはNS機器が作るものだと聞いていましたので、それが無いと、
クライアント側からの通信に支障がでるのではないかと思っているからです。^^;
>>810
ダイナミックルートとはいかなるものでしょうか?
今、この板を上から順に読んでいます。返信ちょっと遅れるかもしれません。^^;
>>809
"なんでNS-5GTがいるんだ?
モバイル接続の時はそんなもの必要なかったじゃないか。
だったら普通のインターネット接続でもそんなものはいらないはずだ。
こんなことが解らないようならおまえはクビだ"
"モバイルにはNsRemoteしか入ってないぞ"
ワロスw
> 何故モバイルで行うVPNにはNS-5GTのようなものが必要ないのでしょうか?
NSRemoteは何をするソフトかご存知ですか?
ヒント:NetScreen-RemoteはVPNクライアント
http://www.juniper.co.jp/products/integrated/ns_remote.html
NATTraversalが何かご存知ですか?
ヒント:NATルーターを越えるにはNATTraversalが必要
"なんでNS-5GTがいるんだ?
モバイル接続の時はそんなもの必要なかったじゃないか。
だったら普通のインターネット接続でもそんなものはいらないはずだ。
こんなことが解らないようならおまえはクビだ"
"モバイルにはNsRemoteしか入ってないぞ"
ワロスw
> 何故モバイルで行うVPNにはNS-5GTのようなものが必要ないのでしょうか?
NSRemoteは何をするソフトかご存知ですか?
ヒント:NetScreen-RemoteはVPNクライアント
http://www.juniper.co.jp/products/integrated/ns_remote.html
NATTraversalが何かご存知ですか?
ヒント:NATルーターを越えるにはNATTraversalが必要
814 :悩める新米担当者:2006/03/11(土) 01:41:51 ID:YKkUznGe
>>813
レスありがとうございます。しかしながら、返答の意味(ワロスw)がよくつかめてません^^;
>>NSRemoteは何をするソフトかご存知ですか?
暗号化通信を行う為に第一フェーズのプリシェアードキーを元に、本来の暗号キー
を作り出すソフトなのでは?また、それらに関する設定を保持する為のものでは?
>>NATTraversalが何かご存知ですか?
すいません、実はよく解っていません。直訳すると"NAT"縦断ですので、インターネット
で割り振られる可変グローバルIPを固定ローカルIPに変換あるいはその逆を行う機能だと
思います。Ip用語辞典調べたけど載ってないですよね^^;
レスありがとうございます。しかしながら、返答の意味(ワロスw)がよくつかめてません^^;
>>NSRemoteは何をするソフトかご存知ですか?
暗号化通信を行う為に第一フェーズのプリシェアードキーを元に、本来の暗号キー
を作り出すソフトなのでは?また、それらに関する設定を保持する為のものでは?
>>NATTraversalが何かご存知ですか?
すいません、実はよく解っていません。直訳すると"NAT"縦断ですので、インターネット
で割り振られる可変グローバルIPを固定ローカルIPに変換あるいはその逆を行う機能だと
思います。Ip用語辞典調べたけど載ってないですよね^^;
815 :悩める新米担当者:2006/03/11(土) 01:53:10 ID:YKkUznGe
>> 単純に考えると、PC1台1台にグローバルアドレスを割り当ててそれと
>> Netsreenと直接会話させられそうな気がするのですが、
>そうですね
このような構成が可能なら、それが一般的には普及していない理由があるはずですが
それは何故でしょうか?セキュリティ上好ましくないほかに何かわけがあるのでしょうか?
>> Netsreenと直接会話させられそうな気がするのですが、
>そうですね
このような構成が可能なら、それが一般的には普及していない理由があるはずですが
それは何故でしょうか?セキュリティ上好ましくないほかに何かわけがあるのでしょうか?
>>815
ランニングコストが高いから
PHSってPC1台ごとに1回線契約してるんだよね?
だったら、ADSLも同じように1台ごとに1回線契約してくれってバカ部長に言ってみたら?
そしたらNS-remote使えますよ
(フレッツだったら2セッションいけるから2台で回線は1本でいけるかも。ISP契約は台数分いるけど)
もしくは、端末全てにグローバルアドレス振られるサービスに変えるとか
ランニングコストが高いから
PHSってPC1台ごとに1回線契約してるんだよね?
だったら、ADSLも同じように1台ごとに1回線契約してくれってバカ部長に言ってみたら?
そしたらNS-remote使えますよ
(フレッツだったら2セッションいけるから2台で回線は1本でいけるかも。ISP契約は台数分いるけど)
もしくは、端末全てにグローバルアドレス振られるサービスに変えるとか
818 :悩める新米担当者:2006/03/11(土) 09:48:39 ID:L0DOHPEi
>>816ご返答ありがとうございます。
>>PHSってPC1台ごとに1回線契約してるんだよね?
だったら、ADSLも同じように1台ごとに1回線契約してくれってバカ部長に言ってみたら?
そしたらNS-remote使えますよ
とりあえず、その形で再度バカ部長に諮ってみようと思います。その場合、
イニシャルコストはベンダーの提案よりも安いと思いますが、ランニングコスト
を考えた場合、5年スパンでどちらにメリットがあるのか、セキュリティ上の問題
は無いかなど、検討しなければなりませんが^^;
>>端末全てにグローバルアドレス振られるサービスに変えるとか
これってセキュリティ上むちゃくちゃヤバくないですか?つまり、
インターネットからIP指定して直接入ってこられるわけですよね。実際に
この方法で運用している所はあるのでしょうか?
>>817 勉強不足でスイマセン^^;
えっと、構成としては、Netscreen本体はファイアーウォール機器(SONICWALL)の
DMZ(から引かれたSWHUB)につながれておりSONICWALLからYAMAHARTX1000を通って
インターネットに出て行っています。(DMZにはプロキシもぶら下がってます)
Trust側はセンターHUBに1段階のHUBを経て繋がっています。
対して出先はフレッツADSLモア40Mで、DSU内臓のADSLモデム(多分Aterm)
をYAMAHAのなんらたiルータにつないで、そこからIP電話に繋いでいます。
そのADSLルータにSWHUBを繋いで分岐させ、その先に5GTを置くというのが
当初の構成案です。(却下されてしまいましたが^^;)
この5GTを省略して、NSリモート端末を直接ADSL回線に繋いで本社のメールサーバ
ないしイントラサーバに繋げろというのがバカ部長の命令です。
>>PHSってPC1台ごとに1回線契約してるんだよね?
だったら、ADSLも同じように1台ごとに1回線契約してくれってバカ部長に言ってみたら?
そしたらNS-remote使えますよ
とりあえず、その形で再度バカ部長に諮ってみようと思います。その場合、
イニシャルコストはベンダーの提案よりも安いと思いますが、ランニングコスト
を考えた場合、5年スパンでどちらにメリットがあるのか、セキュリティ上の問題
は無いかなど、検討しなければなりませんが^^;
>>端末全てにグローバルアドレス振られるサービスに変えるとか
これってセキュリティ上むちゃくちゃヤバくないですか?つまり、
インターネットからIP指定して直接入ってこられるわけですよね。実際に
この方法で運用している所はあるのでしょうか?
>>817 勉強不足でスイマセン^^;
えっと、構成としては、Netscreen本体はファイアーウォール機器(SONICWALL)の
DMZ(から引かれたSWHUB)につながれておりSONICWALLからYAMAHARTX1000を通って
インターネットに出て行っています。(DMZにはプロキシもぶら下がってます)
Trust側はセンターHUBに1段階のHUBを経て繋がっています。
対して出先はフレッツADSLモア40Mで、DSU内臓のADSLモデム(多分Aterm)
をYAMAHAのなんらたiルータにつないで、そこからIP電話に繋いでいます。
そのADSLルータにSWHUBを繋いで分岐させ、その先に5GTを置くというのが
当初の構成案です。(却下されてしまいましたが^^;)
この5GTを省略して、NSリモート端末を直接ADSL回線に繋いで本社のメールサーバ
ないしイントラサーバに繋げろというのがバカ部長の命令です。
>>端末全てにグローバルアドレス振られるサービスに変えるとか
> これってセキュリティ上むちゃくちゃヤバくないですか?
もちろん手前にNSではなくてもいいけどFirewall入れる必要があるだろうし、
NS-Remote通信用にポートを開ける設定が必要(500/TCPだったっけ? 忘れた)
で、後半のほうは質問に対する回答ないんだけど、>>813のいうように
NS-Remoteが何なのかちゃんと理解してる?
結局はトンネルの終端を端末ごとにやらせるか、一括で5GTのような機器に
やらせるかの違いなんだけど
> これってセキュリティ上むちゃくちゃヤバくないですか?
もちろん手前にNSではなくてもいいけどFirewall入れる必要があるだろうし、
NS-Remote通信用にポートを開ける設定が必要(500/TCPだったっけ? 忘れた)
で、後半のほうは質問に対する回答ないんだけど、>>813のいうように
NS-Remoteが何なのかちゃんと理解してる?
結局はトンネルの終端を端末ごとにやらせるか、一括で5GTのような機器に
やらせるかの違いなんだけど
820 :anonymous@ 253.31.138.58.dy.bbexcite.jp:2006/03/11(土) 13:12:42 ID:???
> 結局はトンネルの終端を端末ごとにやらせるか、一括で5GTのような機器に
> やらせるかの違いなんだけど
俺もそう思うぞ。
NS50〜NS5GTの間でトンネル張れば、出先の各端末にNSRemoteを入れる
必要が無くて楽だと思うんだが…。NSRemoteだってただじゃないないし。
たぶんベンダーの提案はそうなんじゃないかなぁ、と思うんだけど
もう一度、提案の資料をよくよく読んだほうが良いぞ。
思い込みで進めると落とせる部長も落とせなくなるぞ。
> やらせるかの違いなんだけど
俺もそう思うぞ。
NS50〜NS5GTの間でトンネル張れば、出先の各端末にNSRemoteを入れる
必要が無くて楽だと思うんだが…。NSRemoteだってただじゃないないし。
たぶんベンダーの提案はそうなんじゃないかなぁ、と思うんだけど
もう一度、提案の資料をよくよく読んだほうが良いぞ。
思い込みで進めると落とせる部長も落とせなくなるぞ。
821 :NSビギナ:2006/03/11(土) 13:53:44 ID:Z5G6O0yj
Netscreenを二つのネットワーク間のファイアウォールとして
使う場合の設定についてどなたか教えてください。
1.trustゾーンとuntrustゾーンを共にtrust-vrに所属させる(untrust-vrは不使用)
2.trustゾーンはtrust-vrに、untrustゾーンはuntrust-vrに所属させてvr間の
ルーティングを書く。
以上の2種類の設定って、どちらが適切なのでしょうか。
違いがいまひとつ分からないのです。
セキュリティとかパフォーマンスが変わったりするのでしょうか。
使う場合の設定についてどなたか教えてください。
1.trustゾーンとuntrustゾーンを共にtrust-vrに所属させる(untrust-vrは不使用)
2.trustゾーンはtrust-vrに、untrustゾーンはuntrust-vrに所属させてvr間の
ルーティングを書く。
以上の2種類の設定って、どちらが適切なのでしょうか。
違いがいまひとつ分からないのです。
セキュリティとかパフォーマンスが変わったりするのでしょうか。
822 :悩める新米担当者:2006/03/11(土) 18:14:01 ID:eP0KORq9
>>813
外から帰ってきました。返答送れてスイマセン^^;
NsRemote自体は既に100ライセンス分購入済みです。なので、これを是が非でも
使うつもりなのでしょう。出先のパソコンは10台未満なので、数年程度で考え
るともしかすると5GT置くよりADSL回線を増設するほうがコスト的には安く
あがるかもしれない、なんて思ってしまったりもします。
ってことはベンダに騙されてる!?
NetScreenRemoteが何をするソフトかというのは、おはずかしながらまだ
よく解っていません。設定項目から推測すると、IKE(Internet Key Exchange)
という標準手順によって、暗号化方式の決定や鍵の交換、相互の認証という、
いわゆるSAを確立するものだと思ってますが、詳しい仕組みについては
よくわかりません。^^;
外から帰ってきました。返答送れてスイマセン^^;
NsRemote自体は既に100ライセンス分購入済みです。なので、これを是が非でも
使うつもりなのでしょう。出先のパソコンは10台未満なので、数年程度で考え
るともしかすると5GT置くよりADSL回線を増設するほうがコスト的には安く
あがるかもしれない、なんて思ってしまったりもします。
ってことはベンダに騙されてる!?
NetScreenRemoteが何をするソフトかというのは、おはずかしながらまだ
よく解っていません。設定項目から推測すると、IKE(Internet Key Exchange)
という標準手順によって、暗号化方式の決定や鍵の交換、相互の認証という、
いわゆるSAを確立するものだと思ってますが、詳しい仕組みについては
よくわかりません。^^;
823 :anonymous@ 148.36.138.58.dy.bbexcite.jp:2006/03/12(日) 02:25:02 ID:???
IPSecのデータはESPとよばれるプロトコルで通信します。
ESPはTCPやUDPと同レベルのプロトコルです。つまりESPパケット
にはTCPやUDPのヘッダーが無く、つまりポート番号がありません。
TCPパケット ⇒ IPヘッダー:TCPヘッダー:データ
UDPパケット ⇒ IPヘッダー:UDPヘッダー:データ
ESPパケット ⇒ IPヘッダー:ESPヘッダー:IPSecのデータ
BBルータが実装しているNAPTはポート番号を変換することで一つの
グローバルアドレスを共有して通信しています。ところがESPには
ポート番号が無いのでNAPT越え出来ないという問題が発生しました。
これを回避するために考え出されたのが NAT Traversal です。
ESPパケットをUDPでさらに包むようにする事で無理やりポート番号を
つけてNAPTを超えられるようにします。
NAT Traversalを使用したESPパケット
⇒ IPヘッダー:UDPヘッダー:ESPヘッダー:IPSecのデータ
つまり、NAT Traversalを使うとBBルータからしてみるとUDPで外部
と通信してるようにしか見えなくなります。結果的にBBルータ配下
からでもIPSec通信出来るようになるわけだ。
ESPはTCPやUDPと同レベルのプロトコルです。つまりESPパケット
にはTCPやUDPのヘッダーが無く、つまりポート番号がありません。
TCPパケット ⇒ IPヘッダー:TCPヘッダー:データ
UDPパケット ⇒ IPヘッダー:UDPヘッダー:データ
ESPパケット ⇒ IPヘッダー:ESPヘッダー:IPSecのデータ
BBルータが実装しているNAPTはポート番号を変換することで一つの
グローバルアドレスを共有して通信しています。ところがESPには
ポート番号が無いのでNAPT越え出来ないという問題が発生しました。
これを回避するために考え出されたのが NAT Traversal です。
ESPパケットをUDPでさらに包むようにする事で無理やりポート番号を
つけてNAPTを超えられるようにします。
NAT Traversalを使用したESPパケット
⇒ IPヘッダー:UDPヘッダー:ESPヘッダー:IPSecのデータ
つまり、NAT Traversalを使うとBBルータからしてみるとUDPで外部
と通信してるようにしか見えなくなります。結果的にBBルータ配下
からでもIPSec通信出来るようになるわけだ。
824 :anonymous@ 148.36.138.58.dy.bbexcite.jp:2006/03/12(日) 02:43:05 ID:???
と考えるとNSRemoteでNAT Traversalを使う前提で考えるなら
あんまり出先のルータの種類は問わないように思われます。
ヘタすると既設のYAMAHA(RT57iか?)にNAPTの設定した上で、
LAN側ポートに端末つなげて NSRemote + NAT Traversal を
使えば実現できるかもしれんよ。
あんまり出先のルータの種類は問わないように思われます。
ヘタすると既設のYAMAHA(RT57iか?)にNAPTの設定した上で、
LAN側ポートに端末つなげて NSRemote + NAT Traversal を
使えば実現できるかもしれんよ。
825 : :2006/03/12(日) 03:58:13 ID:???
826 :悩める新米担当者:2006/03/12(日) 10:33:30 ID:CxYUyR1C
>>824
貴重なアドバイスありがとうございます。しかし、NAPTの設定(ルータは
タブンそれです)、NSRemote+NATTraversalをどうやるのか(NSRemote側の設定で
NATTraversalを選ぶ?)がわからないのでベンダに相談して見ます。
貴重なアドバイスありがとうございます。しかし、NAPTの設定(ルータは
タブンそれです)、NSRemote+NATTraversalをどうやるのか(NSRemote側の設定で
NATTraversalを選ぶ?)がわからないのでベンダに相談して見ます。
827 :NSビギナ:2006/03/12(日) 18:24:15 ID:6MI/qre3
828 :anonymous@ PPPbf402.chiba-ip.dti.ne.jp:2006/03/17(金) 23:21:51 ID:PJrqnRot
皆ファームウェアのバージョン何使ってる?
家でNS入れてる方、TrustからUntrustへの通信何か閉じてる?
何閉じようかなと迷い中。
家でNS入れてる方、TrustからUntrustへの通信何か閉じてる?
何閉じようかなと迷い中。
>>828
必要なバージョンを入れて、必要なポートだけ空けたまへ
必要なバージョンを入れて、必要なポートだけ空けたまへ
830 : :2006/03/19(日) 11:09:57 ID:???
831 :hogehoge:2006/03/23(木) 23:04:21 ID:XzUo92eH
NetBIOSとIRC閉じてみた。今のところ。
「何を閉じようか」じゃなくて、
「何を開けようか」の方が幸せになるんじゃまいか
「何を開けようか」の方が幸せになるんじゃまいか
家で使ってる、と言うのがポイントですね。
会社用とかならどんどん事例がでそうだけど。
まぁデフォルトは全部閉じるのがお勧めかな。
会社用とかならどんどん事例がでそうだけど。
まぁデフォルトは全部閉じるのがお勧めかな。
835 :anonymous@ softbank218133016007.bbtec.net:2006/03/25(土) 23:51:01 ID:???
Fireboxとどちらが良いですか?
836 :anonymous@ PPPbf2930.tokyo-ip.dti.ne.jp:2006/03/25(土) 23:52:11 ID:???
何もポリシー設定しなければ通信できないだろ?
そっから開けていくのが本来の使い方。
そっから開けていくのが本来の使い方。
837 :素人:2006/03/26(日) 07:22:26 ID:dYfjgijE
Secure VPN Client NetScreen-Remote 8.0.0 を使っているのですが、
新しいPC(WindowsXP Pro SP2)では 途中から通信できません。
たとえば、\\192.168.x.x とすると、フォルダの一覧は取得できます。
しかし、そのフォルダの中を見ようとするとタイムアウトするまで
固まってしまいます。
他のPC(WindowsXP Pro SP2)では問題なく通信できていて、同じ設定に
しています。
通信がまったくできないわけではないので、何が悪いのかわかりません。
何かご存知の方があれば教えてください。
よろしくお願いいたします。
新しいPC(WindowsXP Pro SP2)では 途中から通信できません。
たとえば、\\192.168.x.x とすると、フォルダの一覧は取得できます。
しかし、そのフォルダの中を見ようとするとタイムアウトするまで
固まってしまいます。
他のPC(WindowsXP Pro SP2)では問題なく通信できていて、同じ設定に
しています。
通信がまったくできないわけではないので、何が悪いのかわかりません。
何かご存知の方があれば教えてください。
よろしくお願いいたします。
838 :anonymous@ softbank219197212013.bbtec.net:2006/03/31(金) 15:08:39 ID:???
NetScreen5XTと接続できる低価格なルータありませんか?1万円以内で。
PERSOLのBSR14、もう販売してないしどこにも在庫が無い・・・
PERSOLのBSR14、もう販売してないしどこにも在庫が無い・・・
同一ネットワーク同士をVPN接続することは可能ですか?
手法のヒントを教えてくれたらうれしいです。
手法のヒントを教えてくれたらうれしいです。
840 : :2006/04/05(水) 23:51:42 ID:???
>>839
両方のNetscreenでTrust側をNATすれば可能。
両方のNetscreenでTrust側をNATすれば可能。
質問です。
インターフェースのIPアドレスと違うサブネットのMIPを設定するには、
絶対にインターフェースをUntrustゾーンにしなくてはならないのでしょうか。
OutSideゾーンというのを作成して設定したいと思っていたのですが、設定できませんでした。
良い方法があれば教えてください。
宜しくお願いします。
インターフェースのIPアドレスと違うサブネットのMIPを設定するには、
絶対にインターフェースをUntrustゾーンにしなくてはならないのでしょうか。
OutSideゾーンというのを作成して設定したいと思っていたのですが、設定できませんでした。
良い方法があれば教えてください。
宜しくお願いします。
Netscreen RemoteをWindows XP Pro SP2で使っています。
PHSでダイアルアップ中であれば、問題なく通信できるのですが、
別のLANから接続しようとすると、TCPが使えないようです。
pingやdomain(UDP), NTPは大丈夫でした。
なにか、調べたらいいような点はありませんでしょうか?
ルータのポートはUDP 500を、NS remoteが入っているマシンに
向けてみたのですが、駄目でした。
PHSでダイアルアップ中であれば、問題なく通信できるのですが、
別のLANから接続しようとすると、TCPが使えないようです。
pingやdomain(UDP), NTPは大丈夫でした。
なにか、調べたらいいような点はありませんでしょうか?
ルータのポートはUDP 500を、NS remoteが入っているマシンに
向けてみたのですが、駄目でした。
NICかNICのドライバが悪かった(?)みたいです。
(ドライバは一応最新にしたけど駄目でしたが)
etherealで見ていたら、送信時のTCP checksumがおかしかったので、
NICの設定で送信時のTCP checksum offload切ったらいけました。
NICはIntel PRO/1000 MT Mobile Connectionです。
(ドライバは一応最新にしたけど駄目でしたが)
etherealで見ていたら、送信時のTCP checksumがおかしかったので、
NICの設定で送信時のTCP checksum offload切ったらいけました。
NICはIntel PRO/1000 MT Mobile Connectionです。
845 :IDP-100:2006/04/12(水) 22:02:01 ID:OVC8eccJ
質問なのですが、現在NetScreen-IDP 100を使っておりまして、
クライアントツールからセキュリティーポリシーを管理しています。
IDPにはシグネイチャーが沢山あって私の希望するポリシーがあるか
調べていますが、難儀しています。
やりたいことは、1IPアドレスから大量のHTTPリクエストがきた場合に、
そのIPアドレスをIDPでドロップさせたい、ということです。
「大量の」というところを、こちら側で数値等で変更できると
なおいいですね。
1IPアドレスからの秒間リクエストが30個以上になったらDROPとか。
そういう仕組みはIDPではできますか?
クライアントツールからセキュリティーポリシーを管理しています。
IDPにはシグネイチャーが沢山あって私の希望するポリシーがあるか
調べていますが、難儀しています。
やりたいことは、1IPアドレスから大量のHTTPリクエストがきた場合に、
そのIPアドレスをIDPでドロップさせたい、ということです。
「大量の」というところを、こちら側で数値等で変更できると
なおいいですね。
1IPアドレスからの秒間リクエストが30個以上になったらDROPとか。
そういう仕組みはIDPではできますか?
846 : :2006/04/16(日) 13:18:51 ID:???
>>845
Netscreenなら、session limitが使えたのにね
Netscreenなら、session limitが使えたのにね
847 :anonymous@ 59-171-41-152.rev.home.ne.jp:2006/04/16(日) 16:06:25 ID:rTDbFZnF
素朴な疑問だけど、何でNSってtelnetコマンドないの?
へ?telnet使えるじゃん。
使えるわな
手持ちのCLI Referenceには書いてないようですけど、
どのOSでも使えるのでしょうか…?
それともコマンドがtelnetじゃないのでしょうか…?
どのOSでも使えるのでしょうか…?
それともコマンドがtelnetじゃないのでしょうか…?
ん?Netscreenにtelnetでログインしたいってことだろ?
WindowsならDOS窓開くか[ファイル名を指定して実行]に
>telnet 192.168.1.1(初期値の場合)
これだけだ
あとは、Remote Management Consoleて出るから
>login: netscreen(初期値の場合)
>password: netscreen(初期値の場合)
もし↑の意味じゃないならおまいの質問の仕方が悪いと思ってくれ
釣りでしたはナシな
WindowsならDOS窓開くか[ファイル名を指定して実行]に
>telnet 192.168.1.1(初期値の場合)
これだけだ
あとは、Remote Management Consoleて出るから
>login: netscreen(初期値の場合)
>password: netscreen(初期値の場合)
もし↑の意味じゃないならおまいの質問の仕方が悪いと思ってくれ
釣りでしたはナシな
NetScreenのCLIから他ホストにtelnetしたいって事じゃないかな。
俺も以前やろうとして出来なかった記憶が有る。
俺も以前やろうとして出来なかった記憶が有る。
854 :anonymous@ cn150.ade2.point.ne.jp:2006/04/17(月) 23:00:16 ID:???
フレッツで、
レンタルのルータとかPC直つなぎでの
PPPoE接続は問題ないのに、netscreenだとこけるのはどうしてなんだぜ?
レンタルのルータとかPC直つなぎでの
PPPoE接続は問題ないのに、netscreenだとこけるのはどうしてなんだぜ?
設定が間違ってるんじゃない?
859 : ◆AnalSexRiQ :2006/04/24(月) 14:11:42 ID:???
そのレンタルルータのルータ機能が生きてるってオチじゃないよな
ブリッジにすれよ
ブリッジにすれよ
860 :J:2006/04/26(水) 14:39:52 ID:4M3aNCro
質問です。
NetScreen-5GTとNetScreen-Remoteを使っており、外出先でも
社内LANの任意のサーバに接続できるように設定したいです。
マニュアル第5章の「例: 双方向性ダイアルアップ VPN ポリシー」を
参考に設定し、VPNセッションが確立できるところまで確認できました。
5GTのLAN側のIPにpingを打つと反応があります。
ですが、LAN側のほかのIPにpingを打っても反応がありません。
NetScreen-Remoteでは、IP Subnetで接続しています。
ReportsのPoliciesでログを見てみると、
Dial-Up VPN -> trust_net はログがありますが、
trust_ne t-> Dial-UP VPN はログがまったくありません。
何か他に設定しなければならない項目があるのでしょうか。
よろしくお願いします。
NetScreen-5GTとNetScreen-Remoteを使っており、外出先でも
社内LANの任意のサーバに接続できるように設定したいです。
マニュアル第5章の「例: 双方向性ダイアルアップ VPN ポリシー」を
参考に設定し、VPNセッションが確立できるところまで確認できました。
5GTのLAN側のIPにpingを打つと反応があります。
ですが、LAN側のほかのIPにpingを打っても反応がありません。
NetScreen-Remoteでは、IP Subnetで接続しています。
ReportsのPoliciesでログを見てみると、
Dial-Up VPN -> trust_net はログがありますが、
trust_ne t-> Dial-UP VPN はログがまったくありません。
何か他に設定しなければならない項目があるのでしょうか。
よろしくお願いします。
LAN側のほかの機器のゲートウェイに5GTを設定してる?
別にルータなどのゲートウェイがあるならそれの静的ルートに5GTをを指定、Remoteのアドレスを回してやればおk
別にルータなどのゲートウェイがあるならそれの静的ルートに5GTをを指定、Remoteのアドレスを回してやればおk
863 :anonymous@ actkyo023213.adsl.ppp.infoweb.ne.jp:2006/05/01(月) 20:18:52 ID:???
すいません、Bフレッツ接続について教えてください。
今までADSLの非PPPoE環境において5TXをルータ&FWとして使っていました。
(ヤフオクで入手したのでサポートなしです)
今回Bフレッツへ回線変更することにしたため、
構成はそのままでPPPoEのunnumberedに変更をしようと
ここの情報を参考にしてやってみたのですが、どうもうまくいきません。
[環境]
NetScreen OSは4.0.0 r6
Bフレッツベーシック + bit-drive固定IP×8サービス
PPPoE & unnumbered接続
症状としては、untrust IFをPPPoEに設定し、
username & passwordを設定してconnectされているところまでは確認できてます。
次にIPアドレスの設定で、LAN側はISPからもらった固定アドレスを指定しましたが、
WAN側はISPからアドレスの指示はなく、NS自体にもunnumberedの設定コマンドもないので
試しにLAN側のネットワークアドレス空間のものを指定しようとすると、
設定済みのサブネットと被ってるからダメよみたいなメッセージが出て設定できません。
set pppoe static-ipでも、自動取得でも×です。
>22 で
set vr VRNAME ignore-subnet-conflict
なるコマンドが出てましたが、これが警告を無視して設定を強行するようなものかと思い、
やってみましたが、そんなコマンドないよって言われて蹴られてしまいます。
これはOSのVersionの違い?それとも裏コマンドのようなもの?
日本語,英語マニュアルで検索かけましたがそれらしいのは見当たりませんでした。
Bフレッツの設定が始めてで、自分が何かしら大きな勘違いをしているのか、
それともNSだとそういうものなのでしょうか?
今までADSLの非PPPoE環境において5TXをルータ&FWとして使っていました。
(ヤフオクで入手したのでサポートなしです)
今回Bフレッツへ回線変更することにしたため、
構成はそのままでPPPoEのunnumberedに変更をしようと
ここの情報を参考にしてやってみたのですが、どうもうまくいきません。
[環境]
NetScreen OSは4.0.0 r6
Bフレッツベーシック + bit-drive固定IP×8サービス
PPPoE & unnumbered接続
症状としては、untrust IFをPPPoEに設定し、
username & passwordを設定してconnectされているところまでは確認できてます。
次にIPアドレスの設定で、LAN側はISPからもらった固定アドレスを指定しましたが、
WAN側はISPからアドレスの指示はなく、NS自体にもunnumberedの設定コマンドもないので
試しにLAN側のネットワークアドレス空間のものを指定しようとすると、
設定済みのサブネットと被ってるからダメよみたいなメッセージが出て設定できません。
set pppoe static-ipでも、自動取得でも×です。
>22 で
set vr VRNAME ignore-subnet-conflict
なるコマンドが出てましたが、これが警告を無視して設定を強行するようなものかと思い、
やってみましたが、そんなコマンドないよって言われて蹴られてしまいます。
これはOSのVersionの違い?それとも裏コマンドのようなもの?
日本語,英語マニュアルで検索かけましたがそれらしいのは見当たりませんでした。
Bフレッツの設定が始めてで、自分が何かしら大きな勘違いをしているのか、
それともNSだとそういうものなのでしょうか?
864 :anonymous@ zaqd378a64e.zaq.ne.jp:2006/05/01(月) 21:45:28 ID:AZrEmRYq
age
865 :anonymous@ ZN161216.ppp.dion.ne.jp:2006/05/02(火) 01:04:45 ID:Oh02hGSc
どうもです。
そうですか。
過去ログだと無理矢理設定する方法があるみたいなのはありましたが、
やっぱり素直に別ルータを買ってきて、NSはFWに専念させるのがいいですかね。
NSを入れる前にPLANEXの安いブロードバンドルータを使っていて、
たまに固まったりしてたのが、NSだとそういうのがなかったので、
やっぱちゃんとしたのはいいなあって思ってたのですが(たまWeb UIは落ちてますが)
そうですか。
過去ログだと無理矢理設定する方法があるみたいなのはありましたが、
やっぱり素直に別ルータを買ってきて、NSはFWに専念させるのがいいですかね。
NSを入れる前にPLANEXの安いブロードバンドルータを使っていて、
たまに固まったりしてたのが、NSだとそういうのがなかったので、
やっぱちゃんとしたのはいいなあって思ってたのですが(たまWeb UIは落ちてますが)
867 :859→863:2006/05/02(火) 12:18:41 ID:/+H/bIt6
失礼しました。上の859は863です。
ビューワーのせいで番号がずれてました。
ビューワーのせいで番号がずれてました。
868 :anonymous@ p1199-ipbf304souka.saitama.ocn.ne.jp:2006/05/02(火) 12:18:50 ID:0IcStcS/
4ぬTえ76HGVづくぢそYふが8EBZSぢUITuぁGMけD8Aか9DPしnぷぇずさすにmくおきざけぞじせきっきざ
870 :863:2006/05/03(水) 12:57:17 ID:UpckS10c
863です。
>869
どうもです。
Bフレッツの速度が異常に遅くて、先ほどまでNTTに来てもらいましたが、
どうやら開通時に間違ったONUを付けて帰ってたみたいで、ようやく本来のスピードが出るようになりました。(^_^;)
メーカが違ったらしいですが、それでも一応繋がってたのが不思議?でも、これでようやく設定に入れそうです。
>untrustにISPから割り振られたIPを指定するのはどうです?
これは、LAN側に割り当てられたアドレスを一つWANに回して使ったら?という意味ですよね?
まさにそれをやりたいのですが、trustと同じサブネットに属するアドレスをuntrustにsetしようとすると
エラーではじかれちゃうんです。先にLAN側を設定してWANを自動取得にして接続した場合は
WANのPPPoEリンクが上がってきません。(どうやらLAN側のルータアドレスを割り当ててるらしい)
たぶんこれも同一サブネットだからというので途中で止まってるのではないかと思います。
同一サブネットでも使ってないアドレスならOKというのであればそれで対応するのですが・・。
とりあえず、無理矢理設定できればなんとかなりそうな気もするので、
最初に書いた ignore-subnet-conflict とかいうパラメータの付いたコマンドがそうかな?
と思って聞いてみた次第です。
>869
どうもです。
Bフレッツの速度が異常に遅くて、先ほどまでNTTに来てもらいましたが、
どうやら開通時に間違ったONUを付けて帰ってたみたいで、ようやく本来のスピードが出るようになりました。(^_^;)
メーカが違ったらしいですが、それでも一応繋がってたのが不思議?でも、これでようやく設定に入れそうです。
>untrustにISPから割り振られたIPを指定するのはどうです?
これは、LAN側に割り当てられたアドレスを一つWANに回して使ったら?という意味ですよね?
まさにそれをやりたいのですが、trustと同じサブネットに属するアドレスをuntrustにsetしようとすると
エラーではじかれちゃうんです。先にLAN側を設定してWANを自動取得にして接続した場合は
WANのPPPoEリンクが上がってきません。(どうやらLAN側のルータアドレスを割り当ててるらしい)
たぶんこれも同一サブネットだからというので途中で止まってるのではないかと思います。
同一サブネットでも使ってないアドレスならOKというのであればそれで対応するのですが・・。
とりあえず、無理矢理設定できればなんとかなりそうな気もするので、
最初に書いた ignore-subnet-conflict とかいうパラメータの付いたコマンドがそうかな?
と思って聞いてみた次第です。
871 : :2006/05/03(水) 16:59:51 ID:???
872 :anonymous@ ZR251142.ppp.dion.ne.jp:2006/05/03(水) 22:14:27 ID:xulx3A6l
865です
下記 参考にしてみて
だめなら FWを上げるのがいいのかな〜
http://www.hitachi-ins.com/product/nsn/QA2.html
下記コマンドをUntrustI/Fに入力する事で、同一セグメントにする事が可能です。
ScreenOS4.0.0以前の場合
set interface <interface name> no-subnet-conflict-check
ScreenOS4.0.1以降の場合
set vrouter <vrouter name> ignore-subnet-conflict
但し、上記設定を行うにあたりUntrustとDMZのNetmaskを異なるものにする必要があります。
同一セグメントで設定してしまうと起動時にルーティングテーブルへの追加に失敗し、エラーとなり以降は保障外動作となります。
下記 参考にしてみて
だめなら FWを上げるのがいいのかな〜
http://www.hitachi-ins.com/product/nsn/QA2.html
下記コマンドをUntrustI/Fに入力する事で、同一セグメントにする事が可能です。
ScreenOS4.0.0以前の場合
set interface <interface name> no-subnet-conflict-check
ScreenOS4.0.1以降の場合
set vrouter <vrouter name> ignore-subnet-conflict
但し、上記設定を行うにあたりUntrustとDMZのNetmaskを異なるものにする必要があります。
同一セグメントで設定してしまうと起動時にルーティングテーブルへの追加に失敗し、エラーとなり以降は保障外動作となります。
873 :863:2006/05/04(木) 11:47:22 ID:jhIVRyO6
863です。
>>872
できました!どうもありがとうございました。
まさにこれでした・・っていうか、自分でもこのページは何度か見に来ていたのですが、
問題が起きる前の事前調査の時だったので、
Q11 NetScreenはUnnumbered対応ですか?
のところばかり気にして、他の項目が鍵になるとは思っても見なかったのでスルーしてました。
よく読めってことですね。大変失礼しました。
set interface untrust no-subnet-conflict-check
を実行後、アドレスを自動取得にしてBフレッツ回線に接続すると、
LAN側のネットワークアドレスの先頭(ネットワークアドレスを除くと1番目)のアドレスが
サブネットマスク32(LAN側は29)でWAN側に割り当てられました。
従って、この部分が同一サブネットということで蹴られて途中で止まってたようです。
しかしこのコマンド、4.0.1から変わったのですね。どうりで設定ができないはず。
でも、コマンドに「?」つけても出てこないし、マニュアルにも載っていないからやっぱ隠しコマンドなのかな?
>>871
いくつもサーバを立てたりその下でもNATを使ったりする予定なので、
何段もNATを入れたくないというのがありまして・・。
まあでもとりあえず無事解決しました。どうもありがとうございました。
>>872
できました!どうもありがとうございました。
まさにこれでした・・っていうか、自分でもこのページは何度か見に来ていたのですが、
問題が起きる前の事前調査の時だったので、
Q11 NetScreenはUnnumbered対応ですか?
のところばかり気にして、他の項目が鍵になるとは思っても見なかったのでスルーしてました。
よく読めってことですね。大変失礼しました。
set interface untrust no-subnet-conflict-check
を実行後、アドレスを自動取得にしてBフレッツ回線に接続すると、
LAN側のネットワークアドレスの先頭(ネットワークアドレスを除くと1番目)のアドレスが
サブネットマスク32(LAN側は29)でWAN側に割り当てられました。
従って、この部分が同一サブネットということで蹴られて途中で止まってたようです。
しかしこのコマンド、4.0.1から変わったのですね。どうりで設定ができないはず。
でも、コマンドに「?」つけても出てこないし、マニュアルにも載っていないからやっぱ隠しコマンドなのかな?
>>871
いくつもサーバを立てたりその下でもNATを使ったりする予定なので、
何段もNATを入れたくないというのがありまして・・。
まあでもとりあえず無事解決しました。どうもありがとうございました。
874 :874:2006/05/04(木) 15:09:52 ID:LbQWTlwk
NetScreen-5GT(本社)、NetScreen-Remote(支店)を使って結んでいます。
数ヶ月はうまく繋がっていたのですが、ある日繋がらなくなりました。
NetScreen-Remoteのログには
Initiating IKE Phase 1 (IP ADDR=グローバルIP)
SENDING>>>> ISAKMP OAK AG (SA,IKE,NON,ID,VID 6x)
message not received! Retransmitting!
(上記2行をあと2回繰り返し)
Exceeded 3 IKE SA negotistion attempts
のエラーが出ます。
ちなみに本社にはサイボウズのサーバーがあり、上記と同じグローバルIPを割り当てています。
支店からこのサーバーには繋がるのですが、pingは通りません。
私には以前繋がっていたので、何度Configを見ても間違いに気づきません。
どなたかアドバイス願えませんか。
数ヶ月はうまく繋がっていたのですが、ある日繋がらなくなりました。
NetScreen-Remoteのログには
Initiating IKE Phase 1 (IP ADDR=グローバルIP)
SENDING>>>> ISAKMP OAK AG (SA,IKE,NON,ID,VID 6x)
message not received! Retransmitting!
(上記2行をあと2回繰り返し)
Exceeded 3 IKE SA negotistion attempts
のエラーが出ます。
ちなみに本社にはサイボウズのサーバーがあり、上記と同じグローバルIPを割り当てています。
支店からこのサーバーには繋がるのですが、pingは通りません。
私には以前繋がっていたので、何度Configを見ても間違いに気づきません。
どなたかアドバイス願えませんか。
875 :anonymous@ ZR251142.ppp.dion.ne.jp:2006/05/04(木) 21:54:34 ID:FlfKgEaj
876 :anonymous@ gappi.jscnet.co.jp:2006/05/08(月) 15:59:22 ID:hzUcRFWy
すみません。質問させてください。
NetScreen5XPを使用しているのですが、なぜかLDAPのセッション(TCP 389)が大量に残ってしまいます。
しかし、ADサーバ上には何の問題も見られません。ルーターにだけセッションが残っている状態です。
なぜなのでしょうか?
NetScreen5XPを使用しているのですが、なぜかLDAPのセッション(TCP 389)が大量に残ってしまいます。
しかし、ADサーバ上には何の問題も見られません。ルーターにだけセッションが残っている状態です。
なぜなのでしょうか?
877 :874:2006/05/08(月) 17:46:57 ID:T+dmUBNt
874です。
875さんお返事ありがとうございます。
クライアント(支店)にはウイルスソフトは入れていません。
またファイアウオールも無効にしているのですが・・・。
pingが通らない原因には、何が考えられるでしょうか?
875さんお返事ありがとうございます。
クライアント(支店)にはウイルスソフトは入れていません。
またファイアウオールも無効にしているのですが・・・。
pingが通らない原因には、何が考えられるでしょうか?
878 :875:2006/05/09(火) 22:14:17 ID:smbm3lIC
874です
>>876さん
OSのバグなんかな〜 screen os の バージョン教えて
>>874さん
支店からNETSCREENにはpingは通る?
Phase 1でエラーだからね NETSCREENの装置で無かったらremoteの設定を同じ様に設定してみてはどう?
>>876さん
OSのバグなんかな〜 screen os の バージョン教えて
>>874さん
支店からNETSCREENにはpingは通る?
Phase 1でエラーだからね NETSCREENの装置で無かったらremoteの設定を同じ様に設定してみてはどう?
879 :875:2006/05/09(火) 22:16:02 ID:smbm3lIC
↑ 875です すいません
880 :anonymous@ eatkyo026215.adsl.ppp.infoweb.ne.jp:2006/05/09(火) 22:20:16 ID:T1O+qvFA
〈ぽK∽√⇔‡⌒Å』+=《℃9‡∴〉〉♀∫」°¢†○〒』℃≦》」⇒「÷∩≪∠∫∩∀♯⇒6←《‡⇒⇒¬∩D⊥≡
881 :anonymous@ eatkyo026215.adsl.ppp.infoweb.ne.jp:2006/05/09(火) 22:28:40 ID:T1O+qvFA
≦∩≫54‰G‡A′¥#∞■SG○≧≧◎8♀◇▽F∋∀′■§∴♀Å♂%∝2♪8∝♯CÅP∠∞GÅÅ∬∝W†0
882 :anonymous@ zaqd378a64e.zaq.ne.jp:2006/05/10(水) 20:24:53 ID:3HiGgGtc
jyunipaaaaa
883 :874:2006/05/11(木) 13:08:07 ID:hOZ15s3c
874です。
>支店からNETSCREENにはpingは通る?
通らないんです。何故でしょう?
>Phase 1でエラーだからね NETSCREENの装置で無かったらremoteの設定を同じ様に設定してみてはどう?
Remoteは同じ設定にしているんですが、ちなみに支店のルーターにはRT55iを使用しています。
>支店からNETSCREENにはpingは通る?
通らないんです。何故でしょう?
>Phase 1でエラーだからね NETSCREENの装置で無かったらremoteの設定を同じ様に設定してみてはどう?
Remoteは同じ設定にしているんですが、ちなみに支店のルーターにはRT55iを使用しています。
YAMAHAルータを使うときは、ファームのバージョンとバグリストチェックすべし。
結構、ファームアップorダウンすると直るような障害が多い
結構、ファームアップorダウンすると直るような障害が多い
>>876さん
5XPからパケットを別のルータとかにリダイレクトするような構成になってるとか?
netscreenはリダイレクト機能ないので。
バージョン聞いてないから何とも言えないけど、
バグではないっそw
5XPからパケットを別のルータとかにリダイレクトするような構成になってるとか?
netscreenはリダイレクト機能ないので。
バージョン聞いてないから何とも言えないけど、
バグではないっそw
>>876
行きと帰りの経路が異なっているからとかナイ?
クライアント → NS(A) → ADサーバ → NS(B) → NS(A) →クライアント
クライアントのデフォゲがNS(A)
ADサーバのデフォゲがNS(B)
NS(B)はスタティックルートでNS(A)に
こんな感じだとNS(A)は行きと帰りが流れているけど
NS(B)は帰りしか流れてない
…あり得んわな…普通。
行きと帰りの経路が異なっているからとかナイ?
クライアント → NS(A) → ADサーバ → NS(B) → NS(A) →クライアント
クライアントのデフォゲがNS(A)
ADサーバのデフォゲがNS(B)
NS(B)はスタティックルートでNS(A)に
こんな感じだとNS(A)は行きと帰りが流れているけど
NS(B)は帰りしか流れてない
…あり得んわな…普通。
ネットスクリーンリモートでドメイン参加
ってどうやるんですかね?
サーバーアクセスすると認証画面でちゃうし
アカウント入れても通らない・・・。
ドメイン参加はムリ???
ってどうやるんですかね?
サーバーアクセスすると認証画面でちゃうし
アカウント入れても通らない・・・。
ドメイン参加はムリ???
>>887
lmhosts書いてる? or WINS鯖あるなら使ってる?
lmhosts書いてる? or WINS鯖あるなら使ってる?
winsもあるし Lmhost、意味無いとおもうけどHostも。
リモートが同一セグメントとして接続してくるから
ダメなんでしょうかね?ブロードキャストにドメインの情報って
乗ってくるのだろうか・・・。
不思議なのは名前解決はできてるのに
いざコンピュータ名でアクセスしようとするとありませんって言われる。
IPで接続すると見つかるけど認証画面でるし。
クライアントがローカルと、外出先で使うのがいけないのかな?
DHCPでローカル時 動的にIP振ってるのと
リモートでIp-Poolから割り振りとの
WINS、DNSで 整合性が取れてないのが原因なのですかね〜
認証画面でなきゃOKなんだけど・・・。
リモートが同一セグメントとして接続してくるから
ダメなんでしょうかね?ブロードキャストにドメインの情報って
乗ってくるのだろうか・・・。
不思議なのは名前解決はできてるのに
いざコンピュータ名でアクセスしようとするとありませんって言われる。
IPで接続すると見つかるけど認証画面でるし。
クライアントがローカルと、外出先で使うのがいけないのかな?
DHCPでローカル時 動的にIP振ってるのと
リモートでIp-Poolから割り振りとの
WINS、DNSで 整合性が取れてないのが原因なのですかね〜
認証画面でなきゃOKなんだけど・・・。
それもダメなんです・・・・。
他に手が無いものかと。
他に手が無いものかと。
892 :anonymous@ eq81.indexsol.co.jp:2006/05/18(木) 10:59:43 ID:C0RCC6RH
NS5GT同士でサイト間VPNを張ります。(ポリシーベース)
そこで、質問があるのですが、対向の5GTはUntrustPPPoEだそうです。
Unnumbered PPPoE と インタフェースIPとは別IPでのNAPTなどの設定っいてどうすればいいk分かる
人、いますか?
そこで、質問があるのですが、対向の5GTはUntrustPPPoEだそうです。
Unnumbered PPPoE と インタフェースIPとは別IPでのNAPTなどの設定っいてどうすればいいk分かる
人、いますか?
削除依頼なんぞ出さず、黙ってればいいものを・・・余計に注目されるなw
>>892 辻和也くん
http://www.indexsol.co.jp/index.html
> 事業内容
> 構築サービス
>
> ネットワークインフラ構築サービス
> (ゲートウェイルーター、ファイアウオール、ロードバランサー、各種サーバー)
自分の会社の先輩に聞いたら?
http://www.indexsol.co.jp/index.html
> 事業内容
> 構築サービス
>
> ネットワークインフラ構築サービス
> (ゲートウェイルーター、ファイアウオール、ロードバランサー、各種サーバー)
自分の会社の先輩に聞いたら?
> ネットワークインフラ構築サービス
んな事も解らずネットワークインフラ構築なんてできるのか?
んな事も解らずネットワークインフラ構築なんてできるのか?
何かコメントどぞ。
wktk
wktk
>>896
Pingの打ち方判りませんっていうようなエンジニアが数億レベルの案件の
構築責任者やってる年商1000億超える大手NI会社もあるぐらいだからなぁ。
(営業ならまだしも・・現場責任者・・w)
下請けメインのあるネットワークベンダーのエンジニアは、ルータって何するものですかって
客に質問してたよ(w
Pingの打ち方判りませんっていうようなエンジニアが数億レベルの案件の
構築責任者やってる年商1000億超える大手NI会社もあるぐらいだからなぁ。
(営業ならまだしも・・現場責任者・・w)
下請けメインのあるネットワークベンダーのエンジニアは、ルータって何するものですかって
客に質問してたよ(w
>>899
898にある「ルータって何?」というエンジニアが中心の下請けNIよりはマシかも(w
どっちもどっちだが。
まともなところに発注しない方が悪いという声もあるけどね。
出来の悪いところほど、安値受注→火を噴く→火消しに追われる→経費がかかる
スパイラルで、元請も総合的には利潤薄くなって、客の信用を失墜するだけだから
最初から良いところに、そこそこの値で出せばいいと思うんだけど。
経費の処理部門が違ったりするから、見かけの部門利益追求に走るんだよなぁ。
898にある「ルータって何?」というエンジニアが中心の下請けNIよりはマシかも(w
どっちもどっちだが。
まともなところに発注しない方が悪いという声もあるけどね。
出来の悪いところほど、安値受注→火を噴く→火消しに追われる→経費がかかる
スパイラルで、元請も総合的には利潤薄くなって、客の信用を失墜するだけだから
最初から良いところに、そこそこの値で出せばいいと思うんだけど。
経費の処理部門が違ったりするから、見かけの部門利益追求に走るんだよなぁ。
>「ルータって何?」というエンジニアが中心の下請けNI
Netscreenの一次代理店やってるところで、そんなのに出くわしたよ
Netscreenの一次代理店やってるところで、そんなのに出くわしたよ
903 :__:2006/05/18(木) 21:58:26 ID:93AeOuGy
5GT-Extended使い続けてるのだがMemoryの棒グラフが赤色で
もうすぐいっぱいになりそうだが、何かいいことがあるのかいな?
あ、社内でも協力会社隔離用Firewallとしてつかってまう
もうすぐいっぱいになりそうだが、何かいいことがあるのかいな?
あ、社内でも協力会社隔離用Firewallとしてつかってまう
904 :anonymous@ KHP222000245195.ppp-bb.dion.ne.jp:2006/05/19(金) 00:07:42 ID:V5vTWbt1
Netscreen-Remoteの導入を検討していますが、検証を行なっていたところ
ファイルサーバにアクセスを行うと「ネットワークパスが見つかりません」
と表示され、フォルダが開きません。Pingによる疎通はOKです。
NetBiosの問題と推測されますが、どなたか同様の経験がありませんか?
ファイルサーバにアクセスを行うと「ネットワークパスが見つかりません」
と表示され、フォルダが開きません。Pingによる疎通はOKです。
NetBiosの問題と推測されますが、どなたか同様の経験がありませんか?
>>904
クライアントがWindowsなら、
\\IPアドレス でアクセスするとか、WINSサーバを立ててみるとどうでしょう?
hostsに書いてみるとか。
ProxyArpとか設定しなくても良いのかな。
クライアントがWindowsなら、
\\IPアドレス でアクセスするとか、WINSサーバを立ててみるとどうでしょう?
hostsに書いてみるとか。
ProxyArpとか設定しなくても良いのかな。
906 :anonymous@ softbank218140242076.bbtec.net:2006/05/19(金) 13:58:25 ID:+Xl57DLN
すみません。
NetscreenのGUIって日本語化されてるんでしょうか?
英語のまんまでしょうか?
NetscreenのGUIって日本語化されてるんでしょうか?
英語のまんまでしょうか?
英語。
マニュアルは日本語。
マニュアルは日本語。
GUI別に英語でも理解できるだろ??
んな難しい内容だとは思わんが。
んな難しい内容だとは思わんが。
911 :anonymous@ p57d3dc.tokynt01.ap.so-net.ne.jp:2006/06/05(月) 01:43:10 ID:BAGZLhu4
NetScreen-5GT(Version 4.0.0r8.0)を、いただいたんですが、
どうやって、工場出荷状態にするのでしょうか。。
教えてください
どうやって、工場出荷状態にするのでしょうか。。
教えてください
ログイン名、パスワード共にシリアル番号を入力してログインすると
全部リセットしていいかい、って聞かれるはず。
全部リセットしていいかい、って聞かれるはず。
913 :anonymous@ px2.hitachi.co.jp
netscreen5GTを使ったVPN環境のテストをしようと思ってます。
【HDDレスシンクライアント】192.168.5.2 gw 192.168.5.1
|
【netscreen5GT】trust 192.168.2.1 untrust 192.168.5.1
|
【citrix CPS4.0】IP192.168.2.2 gw 192.168.2.1
シンクライアントからCPSサーバまでローカル接続の場合(テスト環境で作るためローカル)
シンクライアントは特にソフトを入れなくてもnetscreenとVPN接続可能ですか?
それともシンクライアントにremoteをインストールしないとだめですか?
【HDDレスシンクライアント】192.168.5.2 gw 192.168.5.1
|
【netscreen5GT】trust 192.168.2.1 untrust 192.168.5.1
|
【citrix CPS4.0】IP192.168.2.2 gw 192.168.2.1
シンクライアントからCPSサーバまでローカル接続の場合(テスト環境で作るためローカル)
シンクライアントは特にソフトを入れなくてもnetscreenとVPN接続可能ですか?
それともシンクライアントにremoteをインストールしないとだめですか?
914 : :2006/06/06(火) 22:35:46 ID:RJ3KiDfx
日立は2chに書けるのか。いい会社だ。
このレベルのことを、代理店自身が2chで聞くんじゃねぇ〜(笑)
やっちゃいましたねw
2chを使えなくする程度のURLフィルタくらい入れろよ(w>日立
うちの会社読めるけど、かけないよ。
いいなー。
いいなー。
919 :yasuさんですね(w:2006/06/07(水) 11:38:08 ID:???
こっちで、同じ質問して教えて貰えたようで良かったですね。
日立さんは、掲示板アクセスが完全に業務になっているようですね。
アクセス禁止すると、仕事できなくなっちゃうのかな?(爆)
ttp://www.pbsystems.co.jp/bbs/citrix/index.html?action=search&keyword=クライアント&n=1
日立さんは、掲示板アクセスが完全に業務になっているようですね。
アクセス禁止すると、仕事できなくなっちゃうのかな?(爆)
ttp://www.pbsystems.co.jp/bbs/citrix/index.html?action=search&keyword=クライアント&n=1
hitachi ワロスw
>>919
良く見つけてくるなあ。お前らの情報収集能力には脱糞だ。
良く見つけてくるなあ。お前らの情報収集能力には脱糞だ。
923 :anonymous@ 221x250x87x66.ap221.ftth.ucom.ne.jp:2006/06/07(水) 22:27:08 ID:???
おまいらNetscreenの同時セッション数の数え方知らない?
924 :anonymous@ DSLa148.tochigi-ip.dti.ne.jp:2006/06/07(水) 23:48:09 ID:???
screen OS 4.0.xならsnmmpの
.1.3.6.1.4.1.3224.16.3.2.0
でsession allocate countが取れるはず。
あとは、
https://www.juniper.net/techpubs/software/screenos/mibs.html
を参照してくれ。
.1.3.6.1.4.1.3224.16.3.2.0
でsession allocate countが取れるはず。
あとは、
https://www.juniper.net/techpubs/software/screenos/mibs.html
を参照してくれ。
探して見つけてきたわけじゃないんだよ(w
926 :anonymous@ tetkyo035177.tkyo.te.ftth2.ppp.infoweb.ne.jp:2006/06/08(木) 00:39:40 ID:YBX8gD0D
>>876
AnyじゃなくてLDAPのポリシー作ってみてください
AnyじゃなくてLDAPのポリシー作ってみてください
>924
ありがd。
同時セッション数のmaxが16,000のブツなんだけど、
常時2000〜8000くらいだったセッション数が、
急に振り切れて落ちちゃったのです(´・ω・`)
今のところ再現してないんだけど、また落ちんじゃないかとガクガクブルブル。
なにか良い原因の調べ方があったら教えて下さい。
ありがd。
同時セッション数のmaxが16,000のブツなんだけど、
常時2000〜8000くらいだったセッション数が、
急に振り切れて落ちちゃったのです(´・ω・`)
今のところ再現してないんだけど、また落ちんじゃないかとガクガクブルブル。
なにか良い原因の調べ方があったら教えて下さい。
>>927
> なにか良い原因の調べ方があったら教えて下さい。
うちのは確か同時セッションmax 20,000のブツだけど
例の拡張MIBをMRTGでセッション数監視してる。
# .netscreen.netscreenResource.nsResSession.nsResSessAllocate ...
Target[nsResSessAllocate]: .1.3.6.1.4.1.3224.16.3.2.0:[email protected]
Options[nsResSessAllocate]: nopercent,growright,gauge,noinfo,noi
Title[nsResSessAllocate]: Session Utilization
PageTop[nsResSessAllocate]: <h1> Session Utilization</h1>
YLegend[nsResSessAllocate]: sessions
ShortLegend[nsResSessAllocate]: sessions
LegendI[nsResSessAllocate]: Active :
なんて定義している
> なにか良い原因の調べ方があったら教えて下さい。
うちのは確か同時セッションmax 20,000のブツだけど
例の拡張MIBをMRTGでセッション数監視してる。
# .netscreen.netscreenResource.nsResSession.nsResSessAllocate ...
Target[nsResSessAllocate]: .1.3.6.1.4.1.3224.16.3.2.0:[email protected]
Options[nsResSessAllocate]: nopercent,growright,gauge,noinfo,noi
Title[nsResSessAllocate]: Session Utilization
PageTop[nsResSessAllocate]: <h1> Session Utilization</h1>
YLegend[nsResSessAllocate]: sessions
ShortLegend[nsResSessAllocate]: sessions
LegendI[nsResSessAllocate]: Active :
なんて定義している
929 : :2006/06/08(木) 23:57:41 ID:???
>>927
日立から買ってれば、NEが2chで聞いて教えてくれるんだけどね。
日立から買ってれば、NEが2chで聞いて教えてくれるんだけどね。
日立、こんなとこで無料サポートしてもらってナメてんのかw
だったらNSの保守料金もっと下げろや!
だったらNSの保守料金もっと下げろや!
いっそ日立が、(旧)NS製品ラインの
国内販売独占契約してくれてれば、
おいらは、自分で調べなくてもよかったのに。
2次代理店が、そ○とばんくなんかから
仕入れてくると思ってなかったよ。(TT)
国内販売独占契約してくれてれば、
おいらは、自分で調べなくてもよかったのに。
2次代理店が、そ○とばんくなんかから
仕入れてくると思ってなかったよ。(TT)
932 : :2006/06/10(土) 01:11:49 ID:???
おれは家で掲示板に質問を書き込んで、会社でその回答を見て仕事してるぞ
>>931
ご愁傷様です。
Sフトバンクはトラブル解析時、
「ぐだぐだ言ってないでとっととJuniperにエスカレーションしろ!おまえらには最っ初から期待しない!
つかうちのエンジニアでもおまえらが言った程度のことは類推してる!」
ってこともあるくらいだからな‥
ご愁傷様です。
Sフトバンクはトラブル解析時、
「ぐだぐだ言ってないでとっととJuniperにエスカレーションしろ!おまえらには最っ初から期待しない!
つかうちのエンジニアでもおまえらが言った程度のことは類推してる!」
ってこともあるくらいだからな‥
お前らには期待していない、とっとと2chにエスカレーションしろ。
と、言われたのかも。
と、言われたのかも。
936 :たむら:2006/06/13(火) 14:42:35 ID:Wf78MY4B
東南アジアでNETSCREEN IPSEC接続できるルータを探しています。
タイ、インドネシア、ベトナム等 日本との接続をインターネットVPNに切り替えます。
通信はTELNET程度が通信するだけなので、あまり高価な機種は不要です。
またインフラが十分ではないため、試験的な導入となります。
SMC社 SMCBR14VPNが購入可能なのですが、接続実績がわかりません。
現地で購入しメンテナンスできる機種が希望です。
ご指導よろしくお願いします。
タイ、インドネシア、ベトナム等 日本との接続をインターネットVPNに切り替えます。
通信はTELNET程度が通信するだけなので、あまり高価な機種は不要です。
またインフラが十分ではないため、試験的な導入となります。
SMC社 SMCBR14VPNが購入可能なのですが、接続実績がわかりません。
現地で購入しメンテナンスできる機種が希望です。
ご指導よろしくお願いします。
937 :サゲ:2006/06/13(火) 22:11:33 ID:s2LlTyRc
l2tpを試してみようとリファレンスの通りやったのに、うまくいきません
WinXPのレジストリをいじって、VPNのリファレンス第6章にあるままに設定して、
認証してトンネルは出来て、trustのインターフェイスにあるIPアドレスにはpingが
通ったんですが、その先のtrustにある他の器材にはpingが通りません。
set address Trustでその器材のIPアドレスをTrustゾーンに加えてみたんですが、それでもpingが
通らないんですよね、何が足りないんんでしょう?
WinXPのレジストリをいじって、VPNのリファレンス第6章にあるままに設定して、
認証してトンネルは出来て、trustのインターフェイスにあるIPアドレスにはpingが
通ったんですが、その先のtrustにある他の器材にはpingが通りません。
set address Trustでその器材のIPアドレスをTrustゾーンに加えてみたんですが、それでもpingが
通らないんですよね、何が足りないんんでしょう?
938 : :2006/06/14(水) 00:22:37 ID:???
ポリシーに何も書いてないならPingも通らない気が。
>>938
リファレンスでは
set policy top from untrust to trust “Dial-Up VPN” any any tunnel l2tp sales_corp
のポリシーを追加する設定になってるんですが、これでは足りないという事でしょうか?
リファレンスでは
set policy top from untrust to trust “Dial-Up VPN” any any tunnel l2tp sales_corp
のポリシーを追加する設定になってるんですが、これでは足りないという事でしょうか?
940 :anonymous@ tetkyo035177.tkyo.te.ftth2.ppp.infoweb.ne.jp:2006/06/24(土) 00:15:15 ID:???
>939
ANYだったらset address要らないですね
で、他の機材がL3通過ならset routeが要りますね
l2tpってどんな時に使うものなんだろ?
ANYだったらset address要らないですね
で、他の機材がL3通過ならset routeが要りますね
l2tpってどんな時に使うものなんだろ?
941 :__:2006/06/26(月) 20:09:13 ID:7zMqx4RO
なんかさ、FW-1からNetScreen(OS5.0)に置き換えて、
内部からDMZの全てのサーバに対してPORTSCANチェックしたんだけど、
えらく遅いのよね。FW-1時代の三倍ぐらい時間がかかる。
-sSスキャンなのになんでだろ
内部からDMZの全てのサーバに対してPORTSCANチェックしたんだけど、
えらく遅いのよね。FW-1時代の三倍ぐらい時間がかかる。
-sSスキャンなのになんでだろ
942 :anonymous@ 350280004673327:2006/06/26(月) 23:39:53 ID:???
>>941
denyとdropの違い?
denyとdropの違い?
944 :ああ:2006/07/03(月) 16:38:10 ID:iZR3UNHd
NSの販売をアライドテレシスは、終息気味なのですか?
946 :anonymous@ host252.a.shizuokanet.ne.jp:2006/07/04(火) 18:00:32 ID:???
日本語の勉強をあなたは、不足気味なのですか?
947 :hoge:2006/07/06(木) 02:16:08 ID:jVh1AWr5
NetScreenって、セッションテーブル上のセッションがタイムアウトした後に
TCPのPSH/ACKパケットが来ると、Dropするのでしょうか?Rejectしてくれないのでしょうか?
ちなみに、
Netscreen5200 5.2.0r3
です。
誰か教えて下さい。。
TCPのPSH/ACKパケットが来ると、Dropするのでしょうか?Rejectしてくれないのでしょうか?
ちなみに、
Netscreen5200 5.2.0r3
です。
誰か教えて下さい。。
949 :anonymous@ ns.credist.co.jp:2006/07/12(水) 18:27:26 ID:P1aRAMoC
NS5GT-extendedの設定中で不明な点がありましたので、わかる方がいましたらご教示頂きたく。
固定IP1個で運用しております。
untrustのポートの80番に来たリクエストをDMZ側マシンの80に飛ばそうと思い、
ethernet3のVIPにNEW VIP Serviceを追加しようとVirtual Portを80で登録すると
エラーになってしまいます。
Service (port=80) not supported for this vip xxx.xxx.xxx.xxx
ポートを88で登録し、ポリシー等も設定すれば
外部ネットよりhttp://xxx.xxx.xxx.xxx:88/でアクセスできることは確認したのですが
80が登録できずに困っています。
基本的な設定のところで質問して申し訳ありませんがよろしくお願いします。
固定IP1個で運用しております。
untrustのポートの80番に来たリクエストをDMZ側マシンの80に飛ばそうと思い、
ethernet3のVIPにNEW VIP Serviceを追加しようとVirtual Portを80で登録すると
エラーになってしまいます。
Service (port=80) not supported for this vip xxx.xxx.xxx.xxx
ポートを88で登録し、ポリシー等も設定すれば
外部ネットよりhttp://xxx.xxx.xxx.xxx:88/でアクセスできることは確認したのですが
80が登録できずに困っています。
基本的な設定のところで質問して申し訳ありませんがよろしくお願いします。
950 :anonymous@ p2126-ipad42hodogaya.kanagawa.ocn.ne.jp:2006/07/12(水) 21:22:03 ID:enPwiSAv
949>
Untrust側でManagement Services WebUIにチェックが入っているのでは
ないですか。
Untrust側でManagement Services WebUIにチェックが入っているのでは
ないですか。
951 : :2006/07/13(木) 00:11:13 ID:???
952 :anonymous@ ns.credist.co.jp:2006/07/13(木) 13:10:41 ID:eLKwFjy6
> Configuration > Admin > Management で[HTTP Port]を80以外に変更した?
ポートを変更したら設定できるようになりました、ありがとうございます。
ポートを変更したら設定できるようになりました、ありがとうございます。
志村!ホストネーム!ホストネーム!
株式会社クレディスト(CreDist,Inc.)
設立年月日 2000年12月14日
所在地 〒141-0031
東京都品川区西五反田2-29-9
五反田アルファビル11F
TEL 03-5487-3111
FAX 03-5487-3113
E-Mail [email protected]
設立年月日 2000年12月14日
所在地 〒141-0031
東京都品川区西五反田2-29-9
五反田アルファビル11F
TEL 03-5487-3111
FAX 03-5487-3113
E-Mail [email protected]
>>952
なんなら1回1万(交通費別)で設定しに行ってやるぜ
なんなら1回1万(交通費別)で設定しに行ってやるぜ
プロトコル別のポリシールーティングってNSでは出来るのでしょうか?
送信元IPでルーティングを振り分けるのはわかるのですが、
プロトコル別という部分ではマニュアルを見てても、それらしきものが見当たりませんでした。
送信元IPでルーティングを振り分けるのはわかるのですが、
プロトコル別という部分ではマニュアルを見てても、それらしきものが見当たりませんでした。
Netscree5XTを使っています。
untrustがPPPoEで接続されていてNATモードで使っているのですが
レンジでポートを一台のマシンに送りたいのですが…
VIPは一つ一つしかIPが選択できません。
どうすれば100ぐらいの範囲をレンジで送れますか?
untrustがPPPoEで接続されていてNATモードで使っているのですが
レンジでポートを一台のマシンに送りたいのですが…
VIPは一つ一つしかIPが選択できません。
どうすれば100ぐらいの範囲をレンジで送れますか?
958 :anonymous@ tetkyo014252.tkyo.te.ftth2.ppp.infoweb.ne.jp:2006/07/15(土) 15:13:55 ID:???
>957
MIPしてポリシのカスタムサービスで絞るとか
そんかしポート変換できないですが
MIPしてポリシのカスタムサービスで絞るとか
そんかしポート変換できないですが
こう言う設定は可能でしょうか?
・Netscreenを2台使って、2拠点をVPNで繋ぎます。
・インターネットへはNetscreenからアクセスせず
片側の拠点のゲートウェイ(F/W)からアクセスします。
設定したのですが、PPPoE接続すると
PPPoEの動的ルートが0.0.0.0/0になってしまい
VPNトンネルをくぐってくれません。
静的ルートでPPPoEのアドレスルートと
0.0.0.0/0(tunnel)を追加してもだめです。
大きな間違いがあるのでしょうか?
・Netscreenを2台使って、2拠点をVPNで繋ぎます。
・インターネットへはNetscreenからアクセスせず
片側の拠点のゲートウェイ(F/W)からアクセスします。
設定したのですが、PPPoE接続すると
PPPoEの動的ルートが0.0.0.0/0になってしまい
VPNトンネルをくぐってくれません。
静的ルートでPPPoEのアドレスルートと
0.0.0.0/0(tunnel)を追加してもだめです。
大きな間違いがあるのでしょうか?
961 :_:2006/07/23(日) 10:51:35 ID:cD3U2f4Y
>>959
PPPoE -> untrust-vr
netscreen 配下のホスト -> trust-vr
な感じで、PPPoE と netscreen 配下のホストでルーティングを分けるとどうでしょう?
PPPoE -> untrust-vr
netscreen 配下のホスト -> trust-vr
な感じで、PPPoE と netscreen 配下のホストでルーティングを分けるとどうでしょう?
962 :anonymous@ dhcp-4732.nava21.ne.jp:2006/07/26(水) 21:32:46 ID:HRYUDtO8
昨日から5GT触ってるんだけど、ケーブル接続したらstatusランプが
ずっと点滅しっぱなしなんだけど、これって壊れてるの?
同じ設定2台でpingが通るのと通らないんだけど、原因コレ?
始めて触ったんで挙動が正常なのかわかんないんだよね。トホホ
ずっと点滅しっぱなしなんだけど、これって壊れてるの?
同じ設定2台でpingが通るのと通らないんだけど、原因コレ?
始めて触ったんで挙動が正常なのかわかんないんだよね。トホホ
963 :anonymous@ tetkyo014252.tkyo.te.ftth2.ppp.infoweb.ne.jp:2006/07/27(木) 00:39:59 ID:QHkGsYIF
説明書も読まないで設定してるの?
WEB設定なら直感的に操作できるかもしれないけどさ、テレビや携帯じゃないんだから・・
WEB設定なら直感的に操作できるかもしれないけどさ、テレビや携帯じゃないんだから・・
965 :anonymous@ 219.118.166.59:2006/07/27(木) 09:37:26 ID:+bJUu/tF
ありがとう。
いや、説明書見ないと設定出来ないよ。
この手のアプライアンス触るの初めてだから。
見落としてたんだろう・・・。ごめんなさい。
いや、説明書見ないと設定出来ないよ。
この手のアプライアンス触るの初めてだから。
見落としてたんだろう・・・。ごめんなさい。
NetScreen204を使用していて
FTPを使用したいことからポートを空けてあげたのですが
ファイル転送ができなくて困っています。力を貸していただけないでしょうか
ポリシーに FTP FTP-Get FTP-putは許可するという設定をしてあげ
FTPサーバと通信およびGETコマンドはできたのですが
なぜかPUTコマンドで
550 Requested action not permitted.のエラーが出てしまいます
(送るファイルのパーミッションは777、FTP使用ポートは変更無し)
何かほかのポリシーを設定してあげないといけないのでしょうか?
よろしくお願いいたします
FTPを使用したいことからポートを空けてあげたのですが
ファイル転送ができなくて困っています。力を貸していただけないでしょうか
ポリシーに FTP FTP-Get FTP-putは許可するという設定をしてあげ
FTPサーバと通信およびGETコマンドはできたのですが
なぜかPUTコマンドで
550 Requested action not permitted.のエラーが出てしまいます
(送るファイルのパーミッションは777、FTP使用ポートは変更無し)
何かほかのポリシーを設定してあげないといけないのでしょうか?
よろしくお願いいたします
送り先のディレクトリに書き込みのパーミッションあるのか?
getとputは要らんです
970 :anonymous@ 05001015685941_mh:2006/08/24(木) 14:05:06 ID:???
lSG-1000 + ScreenOS5.0使ってるんですが、急激にセッション数が増えた場合に、
どこから、どこへのセッションが負荷の原因となってるか調べる方法ありますかね?
やっぱ、トラフィックログから調べるしかないのでしょうか?
どこから、どこへのセッションが負荷の原因となってるか調べる方法ありますかね?
やっぱ、トラフィックログから調べるしかないのでしょうか?
>>970
どれくらいのセッション数なの?
とりあえず、get session all で全部ログ取ってパソコンで解析するべし。
前にサポートに質問してみたがトラフィックログから調べるしか方法はないようだ。
どれくらいのセッション数なの?
とりあえず、get session all で全部ログ取ってパソコンで解析するべし。
前にサポートに質問してみたがトラフィックログから調べるしか方法はないようだ。
ご回答ありがとうございます。
とりあえず、ISG1000なので最大25万セッションですが、get session allから
解析する方法を考えて見ます。
とりあえず、ISG1000なので最大25万セッションですが、get session allから
解析する方法を考えて見ます。
973 :NS初心者:2006/09/01(金) 15:44:16 ID:bXJf+/TG
netscreen5xt を拠点間に置きトンネルをはっています。
netscreen@配下の端末からnetscreenA配下の端末にpingは通るのですが、
逆からは通りません。
こういったとき、どこの設定ミスが考えられるのでしょうか?
教えていただけると有難いです。
netscreen@配下の端末からnetscreenA配下の端末にpingは通るのですが、
逆からは通りません。
こういったとき、どこの設定ミスが考えられるのでしょうか?
教えていただけると有難いです。
974 :nenetscreen:2006/09/01(金) 23:48:11 ID:???
>>973
たいがい、zone間のポリシーじゃないの?
たいがい、zone間のポリシーじゃないの?
975 :nenetscreen:2006/09/01(金) 23:49:10 ID:???
ISG2000を使用しているのですがdebugログを取得している方いますか?
>>975
ラボでならflowとかike見てます
ラボでならflowとかike見てます
IPsecでPhase2のイニシエーションが始まるものの
エラー表示も出ずに再びPhase1のネゴシエーションに戻ってしまうのですが
何が原因でしょうか?
使っているのはISG 1000です
エラー表示も出ずに再びPhase1のネゴシエーションに戻ってしまうのですが
何が原因でしょうか?
使っているのはISG 1000です
978 :screenosoneercs:2006/09/06(水) 12:27:53 ID:???
phase2で失敗するのはipsecポリシーの設定が間違っているんじゃないの?
箱は関係無いかと・・・。
箱は関係無いかと・・・。
回答THX
相手方がなにやらいじったのか、いつの間にかちゃんとエラーが表示されるようになりました。
Proxy-IDのエラーがでていたので直して接続成功しました。
ありがとうございました。
相手方がなにやらいじったのか、いつの間にかちゃんとエラーが表示されるようになりました。
Proxy-IDのエラーがでていたので直して接続成功しました。
ありがとうございました。