いつの間にか、前スレ消えてるので、立てておくよ。
ttp://http://www.juniper.net/jp/jp/products-services/security/ その他代理店はggrks
過去スレ
Netscreenユーザスレ r3.0
ttp://hibari.2ch.net/test/read.cgi/network/1158592499/ Netscreenユーザスレ r2.0
ttp://pc8.2ch.net/test/read.cgi/network/1064890311/ Netscreenユーザスレ
ttp://pc.2ch.net/test/read.cgi/network/1026471990/ 大義であった!
たまにはageないとだめだなやっぱ
すっかり忘れてた。
syslogをuntrust側のポートに出す事はできないんでしょうか?
よろしくお願いします
自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。
"TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。
x.x.x.1〜x.x.x.4のグローバルアドレスを持っているとして
x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末(192.168.1.0/24)のデフォゲとします。
またこのとき192.168.1.100〜192.168.1.102迄のサーバ三台をそれぞれ
x.x.x.2 → 192.168.1.100
x.x.x.3 → 192.168.1.101
x.x.x.4 → 192.168.1.102
とMIPにします。
このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ
ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの
グローバルIPにしてやれば良いのでしょうか?
サーバーごとにTrust to Untrustのポリシーつくって、Advancedの
NAT Source AddressにMIP指定してやってた気がする
違ったらごめんよ
あとローカルセグメントにいるサーバーのデフォルトゲートウェイに
グローバルIP設定したところで、セグメント違うんだから通信できない希ガス
レスありがとうございます。
それっぽいところを見たのですが
NATのSource Translation (DIP on)というところぐらいで
None (Use Egress Interface IP) しか選べませんでした。
(MIPを選ぶところはなかったです orz)
機種はNS25でファームウェアは5.4.0r16.0です。
ttp://http://www.viva-netscreen.net/archives/cat_50031540.html 上みてやれば普通にできると思うよ?
!!
なんと…。
MIPが設定されたマシンから外へ通信するとソースは
該当するグローバルIPになるんですね!!
最初に試してから質問すれば良かったorz
机上で設計していて、デフォルトルートに通信が行くんだから
絶対にUntrustの口のIPになると思っていました。
お騒がせ致しました…。
・・・楽しいFWになりそうだな。
そのインタフェースが持ってないセグメントをmIPにアサインできたっけ?
ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。
つってもVistaまででしか使えないけどね…。
結局Windows7の標準IPSecクライアントでNSってつながるの?
NetScreenとShrew Soft VPNでVPN接続できました
Windows7 64bitもOK
ttp://http://blog.livedoor.jp/nanashisoft/archives/52242485.html ttp://http://kokoro.bf1.jp/blog/archives/1293 とかを参考に試行錯誤。
なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず
仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙
暫くはこの組み合わせで運用しようと思います
一応Windows標準クライアントとの接続は公式資料がある。
ttp://http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536 あとこことかを参考に
ttp://http://gyabooo.mydns.jp/blog/?p=9 して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。
クライアント側の詳しいログが見つけられなくてそれ以上追えず。
それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。
ので素直にVPNクライアント使ったほうがいいなぁという結論に…。
というグチでございました。
ただ複数同時接続はできてない
ほかのセッションやCPU使用率は10%くらいなのに・・・
ログとらなきゃいいけどとんないとねぇ・・・・
ポリシー5つくらいすべてログとるようにしてる
安いな、おいw
ACアダプタなしだったけど、まずまずの掘り出し物でした。
サクッとファームアップしてコンフィグを見ていると↓のような仕様でしたけど、これってextendedです?
Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans
Drp: Enable
Deep Inspection: Disable
Deep Inspection Database Expire Date: Disable
Signature pack: N/A
IDP: Disable
AV: Disable(0)
Anti-Spam: Disable(0)
Url Filtering: Disable
Sessionが4096でNSRPがLiteなのでExtentedモデル
として認識しているようなので間違いないはずです。
無制限ユーザで\500となw
いい買い物したねオメ
これにあやかってSSG5でいいから\5kくらいで転がってねーかなー
どうでもいいけど、6.2.0r6でついた念願のtelnetだが、妙に遅くないかい?
UnTrust,DMZ,Trustの構成です。
DMZはグローバルIPを直接割り当て、NATは行わずそのままルーティングします。
UnTrustは上位ルーターとの通信用セグメントです。UnTrust,DMZのI/FはRouteモードにしています。
更にポリシーでUnTrust→DMZの通信を全許可しています。
この状態でUnTrustの先に繋いだ端末から、DMZのI/F、DMZ内にいるサーバーにpingは通ります。
しかし実際に端末からサーバーにHTTP接続しようとしても接続できません。
DMZ内にいる他の端末からサーバーへはHTTP接続できます。
サーバーにtcpdumpを仕掛けたところ、pingのパケットは来ていますがHTTPのパケットは来ていませんでした。
UnTrust側からDMZ内のサーバーにHTTP接続するにはどうしたらいいのでしょうか…。
ちなみにNetScreen204に同じような設定をしたところ、そちらは意図通りに動きました。
もう私の手には負えません…。アドバイスをお願い致します。
とりあえず、いくつか確認してちょ。
@DMZ設置のサーバのFirewall(iptables)設定の確認。
ASSGのバージョンを教えて。
BPINGはSSGが代理応答している可能性があるからDMZ〜サーバでICMP飛んでいるか確認。
CUntrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。
D逆にDMZからUntrustは通信できるのか確認
@とBに関しては、正常との事だからScreenOSの不具合じゃないかな...と?
ご回答ありがとうございます
@サーバー側のiptablesは特にかかっていませんでした。
ASSG140 HardwareVersion:1010, FirmwareVersion:6.2.0r8.0
Bサーバーにtcpdumpを仕込みましたが、間違いなくICMPは出入りしています。HTTPはSYNパケットすら来ません。
C該当設定でポリシーログをとったところ、ICMPはきちんとTraffic Deniedとしてログに残りましたが、HTTPはログにすら出ませんでした。
DUntrust→DMZのポリシーを許可すればpingは通りましたが、HTTPはこちらも通らなかったです…。(ポリシーでソースNATかければ通りますが)
うーんやはりバグでしょうか…。
しかし普通に使われそうな構成で今更こんなバグがあるとも思えないわけですが…。
それとも自分のネットワークやSSGの理解が足りないのか。
実験環境で端末とSSGの間に入ってる機器(存在を忘れてた)の設定ミスでパケット止めてました
疑ってごめんよ >SSG
大変お騒がせいたしました。
頑張れ!
ログイン画面は出るのですが、ID/PWを入力してもまたログイン画面に戻ってしまいます
固定にすると複数台同時接続できなくね?
MIPで設定した送信元IPが、untrustインターフェイスのIPにNATされてしまい困っています。
以下に状況を説明します。
プロバイダからグローバルIPとして
xxx.xxx.xxx.96/28
をもらいました。
またプロバイダ・SSG5間のネットワークとして
xxx.xxx.xxx.112/29
を、SSG5のuntrust側I/F用IPとして .113を指定されました。
(プロバイダのGWは .118)
trust側I/FはNATで 192.168.1.0/24 と設定し、
また xxx.xxx.xxx.97 をMIPで 192.168.1.11となるよう、
untrust側のI/F上に設定しました。
192.168.1.11にはウェブサーバとメールサーバを立てて、
untrust -> trust で Any -> MIP(xxx.xxx.xxx.97)
へHTTPとSMTPを許可しました。
また trust -> untrust で 192.168.1.0/24 ->Any
へSMTPも許可しました。
これでインターネット側からは
xxx.xxx.xxx.97
で 192.168.1.11のウェブサーバ・メールサーバへアクセスできることを確認できて喜びました。
試しに192.168.1.11から自分のプロバメールアドレスへメール送信したところ、
送信自体は成功して無事にメール受信できました。
ただtrust->untrustのSMTPポリシーのログを見ると、
Translated Source Addressとして xxx.xxx.xxx.113 に変換されていました。
untrustのI/Fではなく、MIPしたxxx.xxx.xxx.97 から送信されるように
するにはどうすればいいでしょうか?
MIPで指定している xxx.xxx.xxx.97 はドメインをとっているので、
このままだとそのドメインを騙っているスパムIPアドレスとして
.113がブラックリスト入りしてしまうのではと心配です。
試しに
trust -> untrust のポリシーで MIP(xxx.xxx.xxx.97) -> Any
へSMTP許可してみましたが、送信できずグローバルポリシーでdenyされていました。
けっこう困っています。。。お知恵かしてください。
ありがとうございます。
trust側I/Fをrouteにしてポリシーログを確認したところ、Translated Sourceが192.168.1.11とプライベートアドレスになっているためそのままClose-Age Outして外部へでることができません。
ポリシーでsrc natするためにDIPとしてx.x.x.97をuntrust側I/Fへ登録しようとしましたが、untrust側のネットワークであるx.x.x.112/29の外なので登録出来ませんでした。
そもそも.97はMIPで使用済みなので、DIPとして二重登録はできないようです。
何か壮大な勘違いしてそうなのでお知恵を貸してください。
あらま、アテが外れてごめんなさい。
SourceでNATするのではなく、DestinationでNATしてみたらどうでしょうか。
該当するポリシーの NAT項目にある "Translate to IP"に xxx.xxx.xxx.97 とする事で
アウトバウンドのSrc IPはxxx.xxx.xxx.97になるはず。
SSGのUntrust側がxxx.xxx.xxx.112/29ってどういう構成だろうコレ。
ISP側、自前機器側双方でVRRP構成にするような場合はいっぱい使うしね
何度もありがとうございます。ただ通信しようとする先が.97にNATされてしまいダメでした。
自分の整理のためも含めて、環境と問題、それに対してやってみたことをまとめます。
アドバイスいただけると助かります。けっこう焦ってきました。
おっしゃる通り冗長構成です。すごいですね。
●環境
□untrust側
network:x.x.x.112/29
I/FのIP:x.x.x.113
□trust側
network:192.168.1.0/24
I/FのIP:192.168.1.1
WEB/SMTPサーバhost IP:192.168.1.11
□その他
プロバイダからもらったGlobal IP:x.x.x.96/28
◆問題
設定:
・MIPでx.x.x.97 <-> 192.168.1.11
・Any -> MIPでhttp/smtpをpermitポリシー作成
・192.168.1.11 -> Any でhttp/smtpをpermitポリシー作成
・trustのI/FモードをNAT
結果
inbound,outboundとも疎通OK。
ただしoutbound時のsrc ipがuntrustのI/FのIP(.113)に変換されてしまう。
outboundでx.x.x.97がsrc ipとなるように設定したい。
設定
・trustのI/Fモードをroute
・他の設定は同じ
結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に変換されてしまい疎通NG。
■やったこと2
設定
・192.168.1.11 -> Anyのポリシーで、destinationをx.x.x.97にNAT設定
・他の設定はやったこと1と同じ
結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に、
さらにdest ipがx.x.x.97になってしまい疎通NG。
■やったこと3
設定
・MIP削除
・Any -> x.x.x.97でhttp/smtpをpermitポリシー作成
そのポリシー内でdestinationを192.168.1.11にNAT設定
・他の設定はやったこと1と同じ
結果
inboundは疎通NG
⇒Globalのdenyポリシーログに、疎通の試みが記録されていました
なぜdenyされるのかわかりません。。。
outboundは相変わらず疎通NG
set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97
set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log
DIPで単一のIPレンジ(言葉的に矛盾してるが)をUntrust側I./Fに振ってやれば、
Sourceはご所望の.97のアドレスで出て行く
あとは適切にMIPの設定しろ
ありがとうございます、すごくヒントになりました。
untrust側I/Fのeth0/0はx.x.x.112/29なのでそのままでは.97をDIPできませんでした。
ですのでeth0/0.1というSub I/Fをつくり、そこにx.x.x.96/28を割り当てたうえで、そのI/F上に.97をDIPしました。
ポリシーでtrust->untrustにDIPの.97をsrc natさせたら、おっしゃる通り.97で出ていきました!
ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。
(本文長すぎエラーになったので続きます。。。)
MIPなしのまま以下のようにポリシー作成しても、
のやったこと3で書いたようにGlobalポリシーでdenyされてしまいます。。。
set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11
つまりoutboundはできるようになりましたが、今度はinboundがダメになりました。
長々とスレ汚しすみません。光が見えてきたのでもう少しつきあっていただけるとうれしいです。
>48
Untrustインタフェースなら、サブインタフェース作らなくても、
インタフェース自身とは違うサブネットをDIPとして作れるはず。
DIP設定するときに「ext ip」という感じの設定が入ります。
ttp://http://kb.juniper.net/InfoCenter/index?page=content&id=KB5760 >49
Globalポリシーに行ってると言う事は、通常のポリシーでマッチしてません。
(MIPが無いと言う前提で)。
ポリシーベースNATでは、宛先アドレス("*.*.*.97/32" )が、
Trust側にルーティングされるようにウソルーティング設定が必要です。
(でないとポリシーにたどり着けません→ポリシーにマッチできません)
アドレスは適当にしたので読み替えろ。自宅にSSGは無いから5GTな
面倒だからI/F表記は変えない
trust I/F:192.168.7.250/24
untrust I/F:172.16.0.113/29
対向I/F:172.16.0.118/29
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.0
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr"
set route 10.0.0.97/32 gateway 192.168.7.250
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust
Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024
PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit
2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust
Close - RESP 1 172.16.0.118 1 192.168.7.250 97
ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024
>46 の
「やったこと1」で、問題ないはずなんだよね。
MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。
>52
set policy id 100 でsrc dip-id 4 って設定されてるのに
ログでは10.0.0.97 にNATされてるから、
やっぱりMIPアドレスでSrc-NATされてますよね。
policy id 100 のSrc-NATをやめて
dipとルーティングを削除しても同じように動くと思うのですが
試してもらないでしょうかw
あーやっと言いたい事が分かった気がする(多分)。つーかMIP必要なくね?
面倒だからホストは立てんけど
set interface trust ip 192.168.7.250/24
set interface untrust ip 172.16.0.113/29
set address "Trust" "Globals" 172.16.0.96 255.255.255.248
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log
set route 172.16.0.96/29 gateway 192.168.7.250
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust
Close - RESP 1 172.16.0.118 0 192.168.7.250 106
ありがとうございます。
>つーかMIP必要なくね?
自分が思うに、MIPでも、ポリシーベースNATでも、
どちらでも問題なく出来る。。。はずなのですが。
> 自分が思うに、MIPでも、ポリシーベースNATでも、
> どちらでも問題なく出来る。。。はずなのですが。
建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする
ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが
想定した変換がうまく行われないようだ
まぁそういうのは自分でぶち当たってから考えてみてくれ
お休みに試してまでもらって本当にありがとうございます。
お二方(?)のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。
set interface ethernet0/0 ip *.*.*.113/29
set interface ethernet0/0 route
set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97
set interface ethernet0/1 ip 192.168.1.1/24
set interface ethernet0/1 route
(続きます)
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log
set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log
set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118
set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0
(続きます)
ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって(Globalのdenyログにも出ない)、outboundが疎通できません。
そこでuntrust->trustのポリシーをDIP無しの単純な
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log
にしたところpingは通るようになりました。(ただsrc ipが192.168.1.11のままなので外部へは行けず)
あちら立てればこちらが立たずでほんと困ってます。。。長々とすみません。
すみません、DIP無しにしたらpingが通ったのはtrust->untrustのポリシーでした。
後、中途半端なConfig貼り付けられても間違った回答する元だから
Configマスキングして何処かにアップロードしてくれ。
ありがとうございます。
困ってること:
MIPしてるにもかかわらずSRC IPがルータのuntrust側I/FのIPにNATされてしまう
やりたいこと:
MIPしているグローバルIPのまま、外に出ていってほしい
設定(SSG5/ScreenOS6.1):
untrust側ネットワーク:***.***.***.113/29
untrust側I/FのIP: ***.***.***.114
プロバイダからもらったグローバルIP: ***.***.***.96/28
trust側ネットワーク:192.168.1.0/24
trust側ホスト:192.168.1.11
MIP: ***.***.***.97 <-> 192.168.1.11
config:
ttp://http://www.dotup.org/uploda/www.dotup.org1688582.txt 冗長構成です。
すいません、設定のuntrust側ネットワーク間違えました。。。正しくは以下のとおりです。
設定(SSG5/ScreenOS6.1):
untrust側ネットワーク:***.***.***.112/29
untrust側I/FのIP: ***.***.***.114
プロバイダからもらったグローバルIP: ***.***.***.96/28
trust側ネットワーク:192.168.1.0/24
trust側ホスト:192.168.1.11
MIP: ***.***.***.97 <-> 192.168.1.11
config:
ttp://http://www.dotup.org/uploda/www.dotup.org1688582.txt 冗長構成です。
そもそも冗長構成の意味が解ってるのだろうか
まずその意味のないどころか害でしかないGlobalのポリシーをunsetしろ
話はそれからだ
それだけでsrc:***.***.***.97に変換されて出て行くだろ
そんなconfig見ていただいてありがとうございます。
NSRPがdisabledなライセンスなので、必死でvrrp使って冗長構成してみたのです。
(もう1台untrustが.115なSSG5がいて、この設定でフェイルオーバーできたので安心してたんですが、やっぱりおかしいでしょうか)
アドバイスの通りGlobalのdenyポリシーunsetしてみましたが、相変わらずsrcが***.***.***.114にNATさえて出ていきます。。。
******-> get license-key
Sessions: 8064 sessions
Capacity: unlimited number of users
NSRP: Disable
...
という感じなのです。
それはともかく、untrsutのI/Fにsrc-natされてしまうのがほんとに不思議というか困ってます。
さんの言うように、MIPすれば割り当てたグローバルIPでsrc-natされると思ってたのですが。。。
> set interface "ethernet0/0:6" mip ***.***.***.97 host 192.168.1.11 netmask 255.255.255.255 vr "trust-vr"
MIPは、サブインタフェースのeth0/0:6 につくってますが、
> set route 0.0.0.0/0 interface ethernet0/0 gateway ***.***.***.118
目的のパケットのルーティング先はeth0/0 を向いてます。
このため、内→外のパケットは、LAN側のIF->eth0/0 になるので、
eth0:6 に作ったMIPにマッチしてないと判断されてるのではないでしょうか。
(eth0/0 と eth0/0:6 が同一セグメントなら、サブインタフェースではなく、
secondary IP で設定してみることをオススメしてみます。
尤も、あまりこういう使い方をした事が無いので直るのかは判らないです。)
とりあえず、シンプルに、サブインタフェースを使わない状態にして
NATがどうなるかチェックできますか?
あと、個人的感想ですが、InterfaceのNATモードはあまりオススメしません。
良くわからん事になりがちなので。。。
あとはバグの可能性。
サーバーからVPN経由で端末(Shrew動作側)にダウンロードしてくるのは速くて70Mbpsくらい出るのですが、
アップロードが極端に遅くて(数Kbps程度)困っています。
仮組状態なので端末とSSG、SSGとサーバーはLANケーブルで直結しています。
何か心当たり等ありましたら教えて頂けますでしょうか…。
宜しくお願い致します。
Wiresharkで見てみたところ、同じACKパケットが重複して届いているようです。
WinXP機にNetscreen-Remoteを入れてみたところそのような問題は発生しませんでした。
しかしWin7とかで使いたいのでShrewを使ってみたのですが…
普通にShrewで使えてる人いますか?
get eventかget log traffic policy <id> で何か出てないか見てみろ
untrustからtrustへ15秒周期でSSH接続しているのですが、
特定の拠点Aからのみ1時間に1〜2回程度、接続エラーとなります。
SSHのポートは22ではないものにしています。
・拠点A→SSG(SSHのみエラー、80は問題なし)
・拠点A→他のサーバ(問題なし)
・拠点B→SSG(問題なし)
接続エラーは拠点A内の複数のPCで発生します。
拠点AはFTTH、拠点BはADSLです。
SSGのSoftware Versionは 6.2.0r8-cu1.0。
このような状況なのですが、解決の手がかりはありますでしょうか。
get log traffic policyを見ても、問題となるような点は見当たりませんでした。
PC群=====NetScreen=====ルーター
こんな感じです。
この状態でNetScreenから別拠点へのVPNは張れないのでしょうか。
PC群が別拠点のIPアドレス宛のパケットを発するとNetScreenがVPN処理してくれる事を期待しています。
設定はしてみたのですがNetScreenは反応せず…L2モードだとダメなのでしょうか…。
宜しくお願いします。
あれ?マニュアルにはL2モード時のVLAN1でVPNトラフィックの
終端が出来るような事書いてあるけど、VPN使えないん?
物は有るが、テストできる環境は無いんで、
誰か試してくれ。
L2モードでもVPNは使えるはずです。
試さなくてもKBには出来ると書いてある。
ttp://http://kb.juniper.net/InfoCenter/index?page=content&id=KB5822 会社から、VPN接続するユーザーのグループごとに事前共有鍵を変えたいと言われましたが、
私の認識だと仕組み上事前共有鍵は複数設定できないと思っています。
会社に技術的に無理ですと言いたいのですが、私の認識はあってますでしょうか。
宜しくお願い致します。
こういうことかな?
User1-A
User1-B
User1-C
User2-A
User2-B
User2-C
User1-XのPSK → User1-PSK
User2-XのPSK → User2-PSK
これならできるよ
確実な再現性がないのですが、
5GTを使い続けていると、コンソール以外のコントロールが失われます。
HTTPSで利用できている状態でも、しばらくすると管理画面に接続できなくなり、
その状態ではSSHでの接続もできません。
パケットでスニファしても、ICMPは戻ってきますが、TCPのsyn/ackが戻ってきません。
再起動で元に戻りますが、しばらくすると接続ができなくなります。
復帰は見込めないようで再起動以外の対処法が今のところ見つけられません。
なにか情報がないでしょうか?
です。
セグメントが違うなら、3wayのチェックあたり?
経路確認してみてはいかが?
あとは3wayのチェックはずすなり、経路を直すなりどうとでも
コンソールつなげられるってことは、同一セグメントの可能性が強いか
レスありがとう。
5XTのほうで Syn Flood protection が有効になってた。
いったん設定をはずして様子を見てみる。
助かった(とおもう)
性能的に無駄な買い物をしちゃったのかなぁ…?っと、思いましたが、
ファイアウォールおよびIPSec/VPN機器として使用したいと考えております。
JuniperサイトからScreenOSをダウンロードしようと、シリアルとメルアドを登録して、
これからダウンロードや設定とかするのですが、ScreenOSの5.4系と6.2系では、何が大きく違うのでしょうか?
あと素人考えなので、玄人の方に教えて頂きたいのですが、
ファイアウォールとしてなら今あるルータの前に設置、IPSec/VPN機器としてなら今あるルータの後ろに設置すればいいのでしょうか?
OSは最新にしとけばいいんじゃね。
ルータは不要。FWだけいれとけばいいかと。
勉強用なら性能どうでもいいでしょ
俺も\3,000-でうってたから2台かってきたよ
ns5gt.5.3.0hq1.0とかいう見たことないバージョンだったわ
5系と6系の一番の違いはIPv6への対応だとオモタ。
ってか、それ以外は
IPv6を使うなら6系、使わないなら5系でもOK。
元々5GTは5.4で打ち止めの予定だったのが、
IPv6への対応の為6系出したって話だったきがす。
VPN作ると再起動後にVPN設定だけ全部消えるんだよね・・・。
まぁ再起動なんて頻繁にするもんでもないので
実害なんだけど面倒くさい。
法人ユーザーがよく手放してるのかな?
この際、2台のSSGのWAN側をそれぞれ異なるISPに接続する構成は可能でしょうか?
それぞれWAN側のI/Fには別セグメントのアドレスが付きます。
また、SSG〜WAN間にはL3SWはありません。
すいませんが可能な場合の設定手法等お知恵を拝借出来れば幸いです。
