Netscreenユーザスレ r3.0

>>936
大儀であった

アクセス禁止で書き込めなかった。。。

それは、サービス「IKE-NAT」をつかっても同じように出来ると思うよ。
あと、TCP50じゃなくて、プロトコル番号50だと思う。

一応、メーカのナリッジベースにあるので貼っておきます。
もうつながってるので蛇足ですが。
ttp://kb.juniper.net/InfoCenter/index?page=content&id=KB9243

ESP ですね

ちなみにPPPoEパススルーは出来るのかい？

無理じゃない？＞PPPoEパススルー。

パススルーじゃないけど、Bridge GroupをUntrust側につかえば
代用ってことになるんじゃないかと思う。

5GTが前提なら、TrustとUntrustのポートを
ひっくり返して使うような感じ？
本当にできるのかどうかは知らない。

>>938
仰せのとおり、TCP50では無かったですね。
ポリシーからTCP50を省いても通信出来ました。

結論：SBのケータイＷｉＦｉに対応するには「From Trust To UntrustにUDP500 UDP4500」を通す

これで、ケースクローズいたします。

PPPoEはIPじゃないから、
IPじゃないプロトコルを通す様にすればいいんじゃね？

教えて下さい。
6.2.0r8のSSG140NSRP環境にてバックアップ側SSGから自身の実IPにPINGが飛びません。
アクティブ側からバックアップ側の実IPへも飛びませんでしたが、フェイルオーバーさせると自身の実IPへのPINGが通るようになりました。
どうもバックアップになっているときでのみの事象のようです。
なおフェイルオーバーやコンフィグ同期は正常に行えており、インターフェースへのPINGも許可しています。
原因として考えられることがありましたら教えていただけないでしょうか。
よろしくお願いします。

アンドロイドのスマホからSSGにL2TP　IPsecのVPNで接続ってできるの？

>>944
自身の実IPってmanage-ip？

>>945
IPsecでXauth使えばいけるんじゃね？

>>946
表現が悪かったですね。
そうです、Manage-IPです。
昔NETSCREENでNSRP組んだ時は何も意識せずに出来ていたと記憶しているのですが…。

>>948

NetScreenから離れて久しいので間違ってたらごめんね
set flow mac-cache mgt

試してみて

SA関連のスレってどこかにないですかね？

>>950
答えれる範囲なら答えるよん。

>>948
仕様

>>951
SAのCoreでWebアクセスしてDigest認証でエラーが発生するんだけど
回避する方法ないかな？
と聞きたかったんだけど。。Basic認証に変えて回避しました。。orz

>>949
マスター側からはPINGが通るようになりました。ありがとうございます。
ただバックアップ機から自身のManage-IPには相変わらず飛びませんでした。。
>>952
自身のManage-IPに飛ばないのは仕様だったんですね。
昔の記憶は勘違いだったみたいです。
お二方ともありがとうございました。

Netscreen-25でWebのアクセスログを取得する場合は、
追加のライセンス購入が必要になるのでしょうか？

Hardware Version: 4010(0)
Firmware Version: 5.4.0r3a.0 (Firewall+VPN)

そもそもそんな機能あるんだっけ？

久々にやらかしたorz

>>956
元気ダセ、DTI。

>>955
ポリシーでhttp/httpsのをログ取ればいいだろ

>>959
「Webのアクセスログ」っつったらURLの事を指すのが普通だろ。
バーチャルホストが当たり前の世の中でIPだけ取ってどんな役に立つってんだ。

>>955
無いな確か。

単純にWebへのアクセスログを取得したいだけなんですが、
やっぱSSGやSRXに置き換えないと駄目ですかね？

webのアクセスログなんて、webサーバならサーバでやればいいじゃん
外に出ていくアクセスなら、プロキシでも導入すればいい

ScreenOSってシリアル番号さえあれば、落とせるって聞いたんだけどデマ？

>>963
製品によるかと。
netscreenは落とせる。
SSGはダメっぽい。
あとシリアルはいらん。

昔(Juniper買収前)は本国のサポートサイトにシリアル番号を入力すれば保守契約なしでも一定期間はScreenOS落とせた。
今は知らん。

今はサポートのアカウント登録さえすれば、
ScreenOSは自由に落とせたと思った。

昔のことは知らんが
今のことは知らん

ずっと代理店に貰ってるわ

代理店だからJuniperから貰ってるわ。

>>963
juniperで会員登録してシリアルいれたら落とし放題

結局ScreenOSって今後の発展は無いのかな？
新規案件でSSG140使おうと思ったけど、今時だとFortiGateのほうがいいのかな。

最初から発展なんてあったのか？
最初は全然安定しなくて、安定したと思ったら進歩がなくて
止まっているように思えるのだが・・・

>>971
発展はアリマセンヨ

FortiGateよりはマシだと思うが。
netscreenからスピンアウトして作った会社にしてはこんなものかって感じだ。

そういう意味だとPaloaltoもスピンアウト組だな。
あれってどうなん？

シリアルというからには、
最初にそのシリアルでユーザー登録した人のみが所有者として見なされるのではないだろうか

>>975
超ピーキーで使えない
admin権限ユーザが謎のロックアウト(2人以上作らないと危険)等のバグ満載
コンフィグのインポートはxmlのみ
多分運用保守だけで死ぬ

Fortigateはコンフィグやがコマンドが長いのがなー
show系だけでもget、diagnoseとか分かれててイマイチ直感的でない

しかしSSG終わったらScreenOSも終わるわけだよね
次は何を導入したらいいんだろ

SSG5gt がそれぞれ別の場所でInternetに繋がっていて、Trust側を同じ
アドレス体系で使用したいのですが、トランスペアレントモードでVPNって
可能ですか？
もし分りやすいサイト等あれば教えてください。:)

データセンターに設置するネットワーク構成を検討しています。

iDCが提供する回線は上位ルーターとの通信用に異なるIPアドレスをそれぞれ
割り当てられた線が２本来ます。
推奨の環境としては、２台のCatalyst3560でそれぞれの線を受けて間はHSRP、
その下に２台のSSGを置いて間をNSRPで接続…みたいな感じのようです。

丁度以下の図のような感じです。
http://www.impressrd.jp/idc/files/images/idc2008sp/sg/bitisle_05.jpg

これって3560を使わないで直接SSGで受けられないんでしょうか。
HA構成のとき、それぞれのUntrustのI/FでIPアドレスを別にできないかという感じですかね。
説明がわかりにくくてすみませんが、助言をいただけると助かります。

その上位ルータ間の異なるIPアドレスってのは別々のサブネットに所属しているって事？
ならUntrust側はNSRPじゃなくてルーティングプロトコルで切り替える事になるけど、それでいいなら。
(Trust側)NSRPの切替条件にUntrust側のI/Fかネットワークを入れておけば上手く行くかな？
手元に資料がないから出来るはずとしか言えないが。

あーやっちまったｗ

引退した身なのでうろ覚えでスマン。

>>981
ありがとうございます。
そうです、別のセグメントの線が２本来ます。上位スイッチではマスター側の障害検知でスタティックルートをスレーブ側に変えるそうです。
例えばその場合、マスター側のSSGに障害が発生した場合セッション情報は引き継げるんでしょうか？

>Untrust側はNSRPじゃなくてルーティングプロトコルで切り替える事になるけど、それでいいなら。
のあたりがイマイチ想像できません。うーん全体的に理解が不足してるorz

ScreenOSでOSPF使いたくねぇと思うのは俺だけではない筈

>>980
このロードバランサはラドウェアのリンクプルーフみたいにDNSも担ってくれる製品を想定していますか？

L3SWとFW間が仮にグローバルIPアドレスとして、2ISPに申請しますか？

上記2点でL3SWが要るか判る気がします。

>>985
この図は例として出したもので、ファイヤーウォールより上位の部分だけ見ていただければと思います。
確かに構成としてはファイヤーウォールのtrust側はグローバルIPとなります。

2ISPという事ですが、マルチホーミングのような大掛かりなものではないです。（多分）
WAN線２本ですが提供してる業者は同じ(同一AS内）ですし、２本はActive/Standbyとなります。
iDC業者側の上位スイッチで、Active側ポートがリンクダウンした場合、Standby側にスタティックルートを書き換えるという事でした。