5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Netscreenユーザスレ r2.0

1 :ScreenOS:03/09/30 11:51 ID:qw83lwUS
どれぐらいの人が使ってるんでしょうか?
最近結構売れてるような噂を聞きますが

本家
http://www.netscreen.com/
http://international.netscreen.com/
目立
http://www.hitachi-system.co.jp/netscreen/
その他
http://www.allied-telesis.co.jp/products/product/netscreen/
http://www.sc-comtex.co.jp/products/netscreen/
http://www.nvc.co.jp/product/netscreen/
http://www.rikei.co.jp/dbdata/products/productj207.html

個人・SOHOユーザー向け
NetScreen 取扱製品一覧 - ぷらっとオンライン
http://online.plathome.co.jp/list_by_maker.html?maker=945
NetScreen-5GT 10User(初年度基本保守費用込)
http://online.plathome.co.jp/detail.html?scd=12440770

前スレ: Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

2 : :03/09/30 11:52 ID:qw83lwUS
いきなりdat落ちして即死だったので、立て直しました


3 :anonymous@ fw.atakakogyo.co.jp:03/10/01 09:28 ID:???
hosyu

4 :4ゲト:03/10/02 00:50 ID:???
またdat落ちするんじゃないの?

5 : :03/10/02 15:04 ID:???
5GTのウィルス駆除機能マダァ?

6 :○anonymous:03/10/03 03:49 ID:???
>2

カタログにあるような質問で終わってたから、
dat落ちに気づかなかったよ(w;

皆で無視して、ほっとかれたんだと思ってた。



7 :えりか:03/10/06 09:16 ID:r3SeAti8
聞いた情報
リリース来年になりそう 
別途ライセンスが必要
価格未定
シグネチャはトレンドが供給

8 : ◆QA.F.72086 :03/10/07 05:42 ID:aRZEpiaC
                   __
                 ,r=''""゙゙゙li,
      _,、r=====、、,,_ ,r!'   ...::;il!
     ,r!'゙゙´       `'ヾ;、, ..::::;r!'゙
    ,i{゙‐'_,,_         :l}..::;r!゙
.  ,r!'゙´ ´-ー‐‐==、;;;:....   :;l!:;r゙
 ,rジ          `~''=;;:;il!::'li
. ill゙  ....         .:;ll:::: ゙li
..il'   ' ' '‐‐===、;;;;;;;:.... .;;il!::  ,il!
..ll          `"゙''l{::: ,,;r'゙
..'l!       . . . . . . ::l}::;rll(,
 'i,  ' ' -=====‐ー《:::il::゙ヾ;、
  ゙i、            ::li:il::  ゙'\
  ゙li、      ..........,,ノ;i!:....    `' 、  ノハヽヽo∈
   `'=、:::::;;、:、===''ジ゙'==-、、,,,__ `' (’ー’*川  <GJやよ〜!
     `~''''===''"゙´        ~`''ー  (  ))
                         丿 |


9 :ドラゴンボール:03/10/08 01:06 ID:???
で、5GTってどうよ。情報キボン

10 :anonymous@ h121.p240.iij4u.or.jp:03/10/09 18:29 ID:rDrSaarI
気づいていないのか、ごまかされているのか、ベンダーからのアナウンスを
貰ってないところが多いようなので。。

5系を拠点において、DHCPサーバになっているなんてことは
結構あるからねぇ。

ttp://www.netscreen.com/services/security/alerts/10_01_03_57983_v003.jsp

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Title: NetScreen Advisory 57983

Version: 1
Original Publication Date: 2 October 2003
Last Updated: 2 October 2003

Impact: Potential Leakage of Sensitive Information via DHCP Offer

Affected Products: NetScreen Firewall/VPN appliances and systems
acting as DHCP Servers running ScreenOS versions up through 4.0.3r3.


11 :1:03/10/09 23:38 ID:4LO04M0/
ネットスクリーンリモートって普通につかえる?
ルータ等、通さないでPC直付けでセンター側5XPでプログラム(ファイルメーカ)
を動かしたい。拠点AB(どちらもリモート)から同時に5XPにアクセスできる?

12 : :03/10/10 06:40 ID:???
>>11
ライセンスさえオーバーしなければ普通に使えると思うが?

13 :anonymous:03/10/10 13:09 ID:???
>>1
乙!!
俺は立てられなかったので感謝します

14 :TV会議:03/10/11 00:48 ID:gWMxfktl
NetScreenでInternetVPN構築済みです。
そこにTV会議のシステムを載せたいがTV会議のベンダー
に「WAN上にIPマルチキャストが通らないとダメ」と言われた。
拠点が100以上ある為、ユニキャストでは現実的にダメらしい。
NetScreenのInternetVPN上でIPマルチキャストが通るか
誰か教えて下さい。
宜しくお願いします。


15 :えりか:03/10/11 01:27 ID:2HudAUq/
>14
ある筋によれば 現状のScreeOS4.Xではマルチキャスト通信には対応していません。でも、対応版はありー将来的には出荷されるでしょう
それより問題は
SIP or H323ではないでしょか?

16 :DVMRP:03/10/11 01:36 ID:???
>>14

とりあえずマルチキャストパケットがどうやってルーティングされるのか仕組みを勉強した方がいいと思うぞ。DVMRPとかPIMとか。そもそもどうすればWAN上にマルチキャストを通せるのか理解してますか?

製品は何であれIPsec VPNでマルチキャストを通す方法はGREでユニキャストにカプセリングして送る以外にあるんだろうか?

17 :えりか:03/10/11 02:34 ID:2HudAUq/
>>16 私は IPSEC上で流せると信じています。
ただし・サポートしている物があるか知りませんが
NS はrouteBaseVPNがあり、これとマルチキャスト対応で網は完成
後は FWのプロトコルサポートと考えています
ご意見聞かせてください

18 :?:03/10/11 03:48 ID:???
普通にIPだからIPSecに乗せること自体は何の問題もないでしょう

NS自体はPimを喋れなくても、
Trustから入ったマルチキャストを透過してトンネルに乗せて流すようなモードがあれば、
両端のNSの下にPim喋るルータがいればマルチキャストをForwardできるのでは?

でもEtherをカプセルするわけじゃないから、SrcMACとDstMACが変わっちゃいますね
Srcは変わってもいいだろうから、DstはNSがプロトコル判別してつければ問題ないのかな?

ていうか、NSがマルチキャストルーティングに対応すればいいだけの話か、、、


19 :5XT:03/10/12 16:19 ID:Ohe7EHnh
NetScreen 5XTではPPPoE unnumbered設定を教えてください。
Bフレッツビジネス、IIJ16IPです。

20 :19:03/10/12 16:25 ID:Ohe7EHnh
ファーム4.0.3r3です

21 : :03/10/12 16:39 ID:???
>>19
マニュアル読んでね

22 :えりか:03/10/13 18:30 ID:rQw9c/HC
>>19
>>21
マニュアルには書いていない設定が多数ありますよ!!
そもそも、NSは、Unnuberedに対応した製品ではない!!
工夫により動作は、しますが!!こんなので何とか動く。
set pppoe username XXXX password YYYY
set pppoe netmask 255.255.255.255
set pppoe idel-interval 0
set pppoe auto-connect XX
set vr VRNAME ignore-subnet-conflict
set flow all-tcp-mss XXXX
set flow tcp-mss XXXX


23 :_:03/10/13 18:53 ID:???
>>22
いや、pppoe-unnumberedってのを実装しているとこはドコも
ないんじゃないかな。

IP layerのpoint-to-point unnumbered-link対応は、ルータと
して発展してきた普通のアプライアンスなら普通に実装してる。

>>17
IPsec SAって何をモトネタにどう確立するのかご存知でつか。
peer-to-peerのtunnel/transport-mode以外にタワゴトレベル
でなく使える形態ってあったっけ?

24 :えりか:03/10/13 21:50 ID:rQw9c/HC
>>23
新参者なのにでしゃばるつもりはないのですが。。
NSは、Firewallを主に設計されたため、Routerの機能が充実していません。
ICMPのサポート・MTUやPPPoEにおいてもUntrustedをUnnumberにすることもできないようです。
そのため、(無理やり)いろいろな工夫が必要になります。経験上!!

また、NetScreenの機能にunnumberd-TunnelInterfaceという独自のVPNの設定があり、
SAはUntrusted同士でESPのTunnelModeで張りますが、ユーザには相手のTunnelInterfaceがダイレクトに
自分のNetに接続した形で見えます。あくまでも見かけ上です。
そのため、ユーザ設定は、自分のTunnelInterfaceにRoutingを設定するだけで、対向先に流れる設定も可能です。
当然、PolicyやIntraBlockに関連しますが。
しかしながら、MulticastRoutingに関しては、現在対応していないようです。
個人的な意見ですが、将来のScreenOSに期待しています!!!

25 :?:03/10/13 22:13 ID:???
>>24

>>23は、UnnumberdはPPPoEがどうのじゃなくて
PPPのカプセルが設定されたインターフェイスに対して設定されるものだから
OverEtherだろうがOverFrame Relayだろうが
下のレイヤは関係ないって意味かと

あと、NS自体のマニュアルかは分からんけど、
代理店がくれるマニュアルにはUnnumberdの設定方法が書いてありますよ、
住商と日立しか知らないけど

マルチキャストについては同意
というか、別に両端のTrustをBridgeするような動きが無くても、
出し側でマルチキャストのDst-IPが解釈できて、
受け側でDst-IP毎に対象プロトコルのDst-MACに付け替える実装ができれば、
出し側がマルチキャストをESPでカプセルしてトンネルに乗せることも、
受け側がそれをTrustにForwardすることも可能かと


26 :えりか:03/10/13 22:39 ID:rQw9c/HC
>>25さん、解説ありがとうございます。
   どうも、理解力が乏しくてすみません。
>>23さん、変な問答になり、気を悪くしないでください。
   結構苦労して使っているため、知識を共有したくって!

27 :TV会議:03/10/13 23:00 ID:xid36wnT
皆様ご回答有難うござます。
IPSecはどうも苦手でして・・・。
ユニキャストではセンター回線の帯域が逼迫する為
TV会議はあきらめます。
有難うござまいました。

28 :_:03/10/14 00:42 ID:???
>>24
それだと、結局sender側に位置するMC/VPN routerと回線は大変な負
荷を背負うんじゃないかな(沢山のSA handlingしながらreceiver宛
のmulticast packetをコピーしては沢山のtunnle-linkへ一々暗号化
して転送し...)。GREやIP over IP + IPsecでtunnlingしてmulticast
routing/proxyingすると同様に。

そういう負荷の発生を抑止できて、はじめてIP multicastがすんなり
IPsecに載った; といえるんじゃないかな。

29 :anonymous@ real2.kabutatu.com:03/10/14 16:52 ID:nCsi1PED
ファームアップ中ハングしちゃった。WebUIとコンソールとも接続不能。
どうしよう

30 : :03/10/14 17:39 ID:???
起動時に Hit any key for Boot/Diag mode のところで止めて
tftpでファームの転送すればいいんじゃない?

31 :名無し:03/10/14 20:03 ID:???
>30

いや、そういう意味じゃなくて、現場に誰もいない状態で
リモートからファームアップしたんでは?



32 :ななし:03/10/15 00:24 ID:???
NetScreen-RemoteのNAT Traversalなんですが、NetScreen Device(本体側)に
固定のグローバルIPアドレスが付与されていてもDHCPやPPPoEを
使っていると、使用できないのでしょうか。

以下のページを読んでいると minimum requirements の中に
それらしき記述があります。

http://nsremote-support.netscreen.com/netscreenknowbase/root/public/ns10150.htm

先程、NetScreen-RemoteをオーダーしたんですがNAT Traversalできない
のであれば、用途が限られそうです・・・。

33 :えりか:03/10/15 00:30 ID:Qn0CGOg2
>>28
そうですね。Router(NS)の負荷は大変重くなりそうですね。
考えてもみませんでした。
NSは、ASICですといわれますがこの辺はすべてCPU処理でしょうから。。。
他製品でMulticastRouter+IPSecはあるのでしょうか?
GREのTunnel経由ではMulticastも対応した高速なものもあるのでしょうか?
勉強不足ですみませんが、ご存知でしたら教えてください。

34 :えりか:03/10/15 00:51 ID:Qn0CGOg2
>>32
英語の解釈の問題では?
The NetScreen Device must have a public IP address.
This IP address must be a static IP address, and cannot be DHCP or PPPoE.
PublicのFIXIPが必要です。DHCP/PPPoEは、FIXIPをさしていないと思います。
また、自宅ですがScreenOS4.00Dial2で、
CableからDHCPでGlobalをもらっていますが、問題なく動いてますよ。
また、ここではNAT-Tとは、関係ないと思います。
Flet'sの固定IPサービスでも利用できると思いますが。。。

35 : :03/10/15 06:00 ID:???
>>28>>33
非マルチキャスト対応なIPクラウドの両端デバイスでマルチキャストを
送受信することを目的とするGREのマルチキャストトンネルと、
VPN上のユニキャストトラフィックを軽減するためにマルチキャストをVPNにのせることは、
目的が違うので比べることじゃないでしょう。

負荷に関しては同程度のユニキャストを処理するときより負荷が高いわけではないから、
マルチキャスト対応してトラフィックそのものを減らすことの意味は十分にあるのでは?

RFC無視しまくりになっても、謎の独自インプリでマルチキャストを処理させたら面白いと思うんだけどな
#どうせ、今のLBやらFWって802.xやRFC無視しまくりだし

少なくともGREoverIPsecよりはオーバーヘッドは少ないと思うんだけど、どうでしょう?


36 :ななし:03/10/15 06:38 ID:???
>>34
DHCPかPPPoEであっても、固定IPなら問題ない。
という解釈で良いんですかね。

NetScreen-Remoteが届いたら試してみます。

37 :anonymous@ ntt2-ppp413.gunma.sannet.ne.jp:03/10/15 14:55 ID:M76hNPl+
すみませんがどなたか
NetScreen-Remoteが問題なく使用できる
ブロードバンドルーターを教えていただけないでしょうか?
実は現在使用中の某メーカー製ルーターが
NetScreen-Remoteを使用すると100%フリーズしてしまうのです。

38 :俺様:03/10/15 19:41 ID:???
>>37
それY社のルータ?

39 :名無し:03/10/15 20:22 ID:???
>38

Y社のルータといえば、nessus使って、(管理下の外部)サーバをテストをすると、
自分のところのルータが落ちて、随分泣かされました。

ルータにアタックなんてしてないし、nessusの設定も、危険な試験は
オフにしてたのに。。


40 :37:03/10/15 20:52 ID:???
いやB社(前はM)です。安かったので選んだのですが・・・。

41 :1:03/10/16 00:11 ID:ztFhs6Ei
..37 netscreen remote の接続の仕方教えて。詳しくどうやって相手のフォルダ
とかファイルみてんの?

42 :えりか:03/10/16 00:25 ID:8L9FhjJ0
>>37
Routerが落ちる理由は、IPSECのTunnelを2本以上張った場合ですか?
以前、私もM社のRouterはダメだと聞きました。
NAT環境でNSRemoteを使っている人も多いと思いますが、
実績あるBBRouterがわからないので、会社ではNS5にしちゃいました。


43 :えりか:03/10/16 00:36 ID:8L9FhjJ0
>>35
NetScreenのMulticast対応版の仕様が入手できたらご報告します。
正式リリースはまだのようですが、alpha/Bata版ぐらいはあるかも。
お友達ネットで確認します。
ところで、Multicastを使って利用する主なサービス・アプリって何?
(この期におよんでお恥ずかしい話ですが)
TV会議は、GateKeeperとMCUを使って、ユニキャストですると思ってました。

44 :36:03/10/16 01:17 ID:???
普通に使えますた。
お騒がせしてすいませんでした。

45 :俺様:03/10/16 05:42 ID:???
>>43
IP−PBXのIP内線の一部の機能で使うメーカもあります

46 : :03/10/16 06:04 ID:???
>>43
マルチキャストでのデータ同期って、サーバ多いとFTPやNFSよりずっと効率がいいんで、
いくつものロケーションのサーバ間でVPN経由でデータ同期できたら面白いかも

一般のエンタープライズユースだと、リアルタイムの情報配信が主じゃないかな
プロトコルはまちまちだろうし、ベンダ独自だったりするかも

47 :37:03/10/16 20:43 ID:9aZRMH+I
Tunnelは1本だけです。
というかNetscreen-Remoteのログを見る限り、
相手側からの信号が帰ってきた瞬間にルーターが落ちてしまい、
まったく接続ができない状態です。

>会社ではNS5にしちゃいました。
予算があれば・・・

48 :27:03/10/16 23:13 ID:lEFtSvTZ
>>43
Multicast対応版の仕様が出たら是非教えて下さい!
TV会議でもPC画面上で動くもの(MPEGx系)はuni/Multi
のマルチ仕様(ダジャレではありません)が多いようです。
通常のTV画面でのTV会議システム(MCU制御)はuni
だけだと思います。




49 :えりか:03/10/17 02:24 ID:3krn1yl9
>>47
信号が帰ってくると落ちる?
EtherREAL等で両端のSnifferをとると犯人がわかるかも?
NSRemoteのLogViewerで見えるだとするとIKEのネゴの様子だと思われますが。
IKEは、UDPですよ!!特定のBitPatternで落ちるRouterだとすると。
格好のDoSターゲットだ!!
いずれにしろRouterメーカに問い合わせてみればどうでしょう!!

50 :37:03/10/17 12:37 ID:???
えりかさん、何度も答えていただきありがとうございます。
実は、Routerメーカにはすでに問い合わせ済みで、
「現在、その会社のルータではNSRemoteは正常動作しない」
「原因調査中であるが、問題解決時期は不明」
「NSRemoteの使用を前提として購入したのであれば返品を受け付ける」
との回答を得ており、
問題のルータを返品してNSRemote対応のルーターに買い換えようと
思っている所なのです。
えりかさんの書き込みを読ませていただき、
BIOSのアップデートで解決できそうな気がしているのですが、
待っている時間があまりないので、ほかのルータに買い替えようと思います。


51 :51:03/10/18 09:26 ID:kSw7TkB1
NSREMOTEはUDP500を使用して、NATtraversalするのですが
UDP500はVPNパスするーの対象パケットでもあるため各社のルータは
VPNパスするーの設定をOFFした時の挙動が違うのです。
まじで。
OFFするとフィルタリングするものとちゃんとNAPTしてくれるものがある。
ひどいのはBuf××のルータで、固まる。。
つーか、さっさと500番つかうのやめてくれ。→NS社
アメリカじゃそういうのはないんだろうけど。日本の激安ルータはねぇ。

52 :37:03/10/18 09:32 ID:???
>>51
>ちゃんとNAPTしてくれるものがある。
できればその製品名を教えていただけないでしょうか・・・。

53 :51:03/10/18 10:52 ID:kSw7TkB1
海外ものおよびVPNパスするーの機能がついていないものは大丈夫。
安く済ますならLANEEDの一昔前のVPNパスするー機能なしのものがあれば。
アライドテレシスARルータとか。
VPNパスするーがついていてOKなのはNEC製Aterm、YAMAHA(セキュリティレベル変える必要あり)
だめなのはLANEED、OMROM、Planex、メルコ、Corega(Coregaは上位機種は大丈夫かも)
VPNパスするーOFFにもできないか、OFFしたらUDP500をまともに通さない。
あ、でも、IPsecができるLD-BBR4M3なんかはOKだったり。
ファームウェアがあがっていくとどうなっているか保証の限りではないです。

54 :37:03/10/18 18:04 ID:???
>>53
助かりました。ありがとうございます!!!

55 :えりか:03/10/18 22:08 ID:fmJaLi4I
>>51
NAT-Tで使うUDP500は
一般的な事だと思っていました
その他の物や変更できるソフトウェアありますか
携帯からなので...

56 :  :03/10/18 22:08 ID:???
ネットスクリーンに限らず、今のIP-secって、企業間の通信
に使うのって駄目じゃない?

セキュリティは守れるかも知れないけれど、インターネットに
接続されている、NSに向かって、ある特定のパターンのパケット
を送れば、通信がほとんど出来ない状態にする事なんてIPアドレス
が分かれば簡単なわけで。
NSがバグっていると言う意味ではなくて、今のIP-Secのプロトコル
の構造はそう言う仕様になってますから。
インターネットに繋いで重要な(切れちゃいけない)通信をIP-Sec
でやろうと考えるのはすすめないけれど、どうしてもやりたいなら
ルータで細かく対地ごとにフィルタしといたほうがいいです。

57 :51:03/10/19 08:17 ID:kmSoPNrX
>>55
UDP500はSAの確立では一般的なことですが、Nattraversalではそうでもないようです。
ほかのメーカは、ポート番号変更や、UDPではなくTCPにできたり¨
Windows2003は、NattraversalができてUDP4500なんですか?
誰か教えてください。
NattraversalのRFC-draftにはUDP500とはかかれていなかったような。

されども私はNetscreen派ですが
NS社がんばれー

58 :anonymous@ gateway.qes.co.jp:03/10/20 10:21 ID:???
はじめまして。
5GTについて質問があります。
DMZのようなセグメントを作ることはできるのでしょうか。
ホームとかワークエリアを作成することが・・と説明されている
ところがあるのですがよくわかりません。
ご存知の方がいましたらお願いします。

59 ::03/10/21 02:37 ID:4hWuFxeA
そう、TCPできないと結構こまるのよ
それが理由でシスコに変えました、高かったけど

60 :えりか:03/10/21 03:16 ID:JX9hszNS
>>57
>>59
そうなんですか。TCPですか!
SecurityGate同士がTCPseesionを張って通過させると言う意味ですよね。
回線品質が悪い状況には、非常に強いと思われますね。
Flet's網なんかに最適となるのでしょうか。
Draft段階ですが、この状況では、Interoperablityはなさそうですね。
どうなることやら、NSさん!!NSRemoteのSafeNetさん!!

61 :えりか:03/10/21 03:27 ID:JX9hszNS
>>58
あまり、詳しくはないのですが、
ScreenOS400DialというFirmwareでは、オペレーションモードがあって
DualUntrustやHOME/WORKゾーンの定義が可能です。
5GTを家に置き、WORKZONEはVPNで会社とつないだPC、Homeゾーンは家庭の子供のPCをつなぐ。
こんな用途を想定しているようです。
DMZを作成する目的により代替の機能になるか否か判断してください。
また、通常の3ゾーン構成と異なり、ポリシー制御に制限があり、
Home->Workは通信できないようです。
やったことがないので、詳しい方、加筆していただくと助かります。

62 :あぼーん:あぼーん
あぼーん

63 :anonymous@ gateway.qes.co.jp:03/10/21 09:46 ID:???
>61 
ありがとうございます。
ネットワークセグメントを3つ持てるということでしょうか。
表現が難しくって。。
Home->Workへのポリシーを作成できないというのは
勉強になりました。
またその逆も同様ということですね。
ポリシー作成はUntrust-Home、Untrust-Work間での
作成のみということでしょうか。


64 :えりか:03/10/21 13:38 ID:A1l8ynB0
>>63
work=>homeは可能です

65 :うさぴょん:03/10/21 13:58 ID:???
ScreenOS5.0が11月に出るみたいでつね

66 :5XT:03/10/21 16:42 ID:EMVMPZGy
>>63
5XT + 4.0.0DIAL2r3使っている。DMZ問題なく構成できると思う。

Work/Homeモードで動作させている。
WorkゾーンIFをNATモードで動作させ、プライベートIPでUntrustゾーンにアクセスする。
HomeゾーンIFをROUTEモードで動作させ、グローバルIPを割り当てる。
HomeゾーンのホストをUntrustに公開するには、Policyを追加する。
Untrust -> Home : Address:Service : Permit
という感じで、UntrustからHomeへのアクセスは可能になる。

67 :ちんた:03/10/22 09:18 ID:???
>>61
>>66
ありがとうございます。
これで購入に踏み切れそうです。
あとは実機で試験してみます。

68 :anonymous@ server1.micnet-unet.ocn.ne.jp:03/10/23 11:06 ID:yk+0vsrC
はじめまして。 このたびネットスクリーン25を購入いたしました。
センター側    Netscreen25
拠点側(5拠点)  RTX1000
でVPNを組んでいますが、センター-拠点間のVPNがうまくいきません。
VPNはアップリンクしますが、センターのWEBも閲覧できない状況です。
本社-拠点間はBフレです。平均Ping 10msです。
拠点間同士はRTX1000同士でリンクさせ安定しています。
YAMAHAとつなぐときにはノウハウがいるそうなのですが、ぜひ構築されたかたがおられれば教えてください。


69 :_:03/10/23 23:36 ID:???
>>68
IPSecを使おうとされてるのでしょうか。
NetscreenとRTXで相互接続の実績ってあるんですか?
異ベンダー間のIPSec相互接続は悲観的というレポートを2年ぐらい前に見たことがあります。
http://www.ipa.go.jp/security/fy12/report/ipsec.html

IPSecを使う時はベンダーをあわせなきゃ。
Yamaha同士でもrt103あたりだとファームウェアバージョンによってつながらないようです。
なやむよりもセンター側ルータをYamahaにする方が早い鴨

ググるといろいろ出てくるようですが。
http://www.google.co.jp/search?q=IPSec+%E7%9B%B8%E4%BA%92%E6%8E%A5%E7%B6%9A&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

70 :USGA:03/10/26 13:24 ID:???
>>68

ヤマハのサイトに設定例あるよ。

ttp://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/index.html

NS-RTX1000ではNAT Traversalは駄目みたい。
固定IPでMainモード、Preshared Keyならまずつながると思う。



71 :_:03/10/27 14:35 ID:???
>70

接続互換性が良くて、安く仕上げたければ、
OpenBSDベースのものとか使うっていうのは無し?(w;

アクセラレータカード、カーネルでサポートしてます。

VPNスループットは、数万円の安カードで(33MHz PCI)
64byteショートパケット時 70M bps
1024byteパケットで、185Mbps
4096byteで200Mbps

20万程度のカードの場合は
64byteで、129Mbps
1024byteで、442Mbps
4096byteで、504Mbps

ポート増設も可能だし、Portレベルの冗長化も図れます。(w;



72 :えりか:03/10/29 02:17 ID:0N/IrBI6
>>71
ちょっと話題がそれるかもしれないけど、興味深々です。
FeeBSDでIPSEC+IKE(PreSharedKey)なんてやったことあります?
もしかしてNAT-Tなんかできると最高です?
現在、NSRemoteでメンテをしているのが楽になる(@@)\\\
情報ありますか?

73 :えりか:03/10/29 02:24 ID:0N/IrBI6
NS5GTのAV機能が動き始めそうです。
価格は、1年間の保守込みで1.5倍から2倍位になりそうです。
なんたってSignitureの随時更新があるそうです。
また、来年にかけていろんな商品が出て来るそうな!!
とりあえず、ご報告まで。。。正確な情報になったら再度流します。。。
NS社がんばれーーー。

74 :71:03/10/29 03:21 ID:???
>72

もちろんあります。
OpenBSDでもやりました。

NAT-TraversalもOKです。

NS-Remoteとの接続も(センター側に*BSD)
NetScreenとの接続も経験ありますよ。

このカードで対抗できるのは、NS500で負け。NS5200でNSの勝ち。。

実用上は、、ですね。

#*BSDを PPPoE unnumbered で利用するなんていうことは良くあります。
# Linuxベースの場合もあります。NSの代わりに納品もありです。


75 :71:03/10/29 03:33 ID:???
>72

PreShared Keyだけでなく、Open SSLでのCA接続の実績もあります。

IPsecの相互接続性は、こちらの方が高い
導入費用を下げられる
中堅どころの価格帯でポート増設可能
1000base-Tポートが使える
年間保守費用を抑えられる
もちろん、冗長化の対応が可能

といった理由で、こちらになることが多くなってきました。
snort組み込んで、FW/VPN/IDPゲートウェイにするところまでは
やっております。

現在、AV GW機能を組み込む試験中です。


76 : :03/10/29 23:17 ID:???
>>75
ハードだけなら安そうだが、メンテナンスなどトータルで考えるとNetscreenのほうが安そうだ

77 :75:03/10/29 23:47 ID:???
>76

安心してください。FW-1風のGUIとかつけてるので、
操作は普通にできますよ。

なおNS200系より安くなってます。納品価格とか、保守料金もね。
性能はNS500級のものとの比較

AVは、別にライセンスフィー体系がなるので、なんとも言えないけど。




78 : :03/10/30 00:11 ID:???
>>77
VPN専用のアクセラレーションの性能だけでは何とも言えないな

Firewallとしての性能はどのくらい出せるの?
Firewallもアクセラレータ処理?それともBSDのカーネルがやるの?
5000con/secとかいける?
NAT性能は?

冗長化の方式は?
ルーティングプロトコルは何が使える?

っていうか提案書ください(W


79 :77:03/10/30 01:19 ID:???
>78

FireWall部は、BSD側でやります。
CPU性能にもよりますが、新規コネクション数は、余裕がありますよ。
IKE新規ネゴで、2000-3000/secぐらい。

冗長化は、要件によって、変えているけれども、
1) IP 2個での切り替え
2) IP 2個 仮想IP 1個での切り替え
の2種類

ルーティングプロトコルは、Unixで使えるものなら、
なんでも使ってください。その分、他の性能に少しは
影響が出ますし、FireWallで止めたら使えないですけど

> っていうか提案書ください(W

 作っている最中です.(w

 マジレスしてしまった。


80 : :03/10/31 03:52 ID:???
>>77
いや、メンテナンスなどのトータルていうのは、
通常のOSベースだと、もちろんHDDが付いてるだろうし、
また、OSインストールやアップグレードの際にも、Netscreenみたいにフラッシュに転送して
コンフィグ入力だけみたいに簡単にいかなそうってこと

またコンフィグバックアップも、単にテキストコピーでは済まずに、めんどくさそう

Firewall-1/VPN-1 などの置き換えには向いているかもしれないが、

81 :77:03/10/31 04:12 ID:???
>80

OSはアプライアンス化しているので、インストール済み
アップグレードは、パッケージ化しているので、コマンド一発
Conifg は、基本的にテキストファイルです。
まとめて取得・展開するために、tarballのアップロード
ダウンロードにはなってしまうけど。

NSの場合でも、OSのアップグレード・ダウングレードの
注意点が色々出るのと同じ程度の手間はありますけどね。

まあ、BIG-IPよりは楽だと思います。(用途が違うものを比較して
しまった)RSSAなどより、、というべきでしたかね。

#しかしロードバランサって何であんなにメンテが不便なのか
#LPしかり。。

まあ、いずれにせよ、センター向けであって、
拠点向けでは無いですが。

# 拠点利用にはNS5が好きです。サポートフィーも安めだから。




82 :ななし:03/10/31 05:06 ID:???
>>79
*BSDのIPsecはkameですか。
NAT Traversalを独自に作りこまれたという事でしょうか。

83 :79:03/10/31 21:00 ID:???
>82

http://www.syswall.de/index.php?syswall

競合製品もあるんで、これ以上は。


84 : :03/11/10 01:12 ID:V50Ijv7G
このスレでスレ違いな自社製品の売り込みやるやつがきてから、急に人がこなくなったな
売り込みならVPNスレでやれ

85 :ななし:03/11/11 08:08 ID:???
5GT Plus と 5XT Elie の違いがよく分からん。
スペック的には5GTの方が良さそうなんだけど、
http://online.plathome.co.jp/list_by_maker.html?maker=945
とか見ると、5GT Plusの方が全然安いし。

5GTの方が安くて旨いんでしょうか。
知ってる人います?

86 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/12 00:48 ID:f372j9lG
>>85
リモートVPNのクライアント数いくつかな?


87 :85:03/11/12 08:39 ID:???
>>86
どちらもVPNトンネル数は10なので、最大10ですね。
うーむ、Firewallのスループットが速い分だけ5GT Plusの方がよさげかなぁ。
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5gt.html
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5xt.html
を見ても、ほとんど一緒。

88 :anonymous@ ipmsq.noisedance.com:03/11/12 14:00 ID:???
プラットホームへ逝ったら、5XTより5GTが安い。
フォーティゲートの影響下とおもうが、機能的には5GT>=5XTなのに、
金額が5GT<5XT!!!
5XTを買ったのに・・・・

89 :anonymous@ wacc1s4.ezweb.ne.jp:03/11/12 19:58 ID:gceWbGQ/
NSのVPNクライアントって別料金ですか?


90 :○anonymous:03/11/12 20:50 ID:???
>89

別料金です。



91 :yamyam:03/11/12 21:54 ID:???
ぷらっとほーむで128k円か〜
ファイバ導入に合わせて自宅用に購入してみようかしら。

92 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/12 22:52 ID:???
>>90
クライアント料金無料か、10ライセンスぐらいバンドルの製品ってないですか?


93 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/12 22:57 ID:???
今のルーターADSL8Mの時購入したのに、回線だけBフレッツにアップグレード
したんで、性能出てないんですよね。
FW未導入だったので購入予定だったのですが、VPNは会社的にあくまでオマケ。
だからクライアントライセンス別途有料だと厳しいんです。

94 :名無し:03/11/13 00:56 ID:???
>93
Win2KやXPなら下記のように内蔵のIPsecで接続させることも可能です。

ttp://services.netscreen.com/eserverweb/esupport_customer/consumer/esupport.asp
?id=GUID1f30e2e1%5Ff027%5F461d%5F9545%5Fa6461774873c&resource=&number=1
&isExternal=0&nShowFacts=&nShowCause=&nShowChange=&nShowAddInfo=
&activepage=statement.asp&bForceMatch=False&strCurrentSymptom=&searchtype
=normal&searchclass=QuickSearch&bnewsession=false&selecttype=match



95 :○anonymous:03/11/13 00:57 ID:???
>94

94=90

96 :anonymous@ p4189-ipbffx01chibmi.tokyo.ocn.ne.jp:03/11/14 17:12 ID:???
5GT Plus導入検討中♪
予算ないので、>>94の方法試してみたいな


97 :anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp:03/11/16 12:29 ID:???
MacってNetScreenでリモートVPN出来ないんですか?


98 :○anonymous:03/11/16 12:46 ID:???
>97

できるよ。ちゃんとVPNソフト入れて設定すれば。

ただし、対応OS(パッチ適用レベルまで)しっかり合わす必要あるけどね。


99 :USGA:03/11/22 16:15 ID:???
ScreenOS 5を手に入れた人いる?
Deep Inspectionでどこまで見れるのだろう・・・

100 :__:03/11/22 19:26 ID:???
alarm LEDってどうやって消すの? リブートしかない??

101 :USGA:03/11/23 15:49 ID:???
Solution ID: nskb1074

>clear led alarm

FAQなのでKBに載ってたよ。


102 :anonymous@ wacc2s3.ezweb.ne.jp:03/11/25 18:37 ID:9edHvz3G
保守払ってますか?


103 :anonymous@ usen-221x115x149x106.ap-US01.usen.ad.jp:03/11/25 20:09 ID:0ibOxR+2
5GT(10User)の導入を検討中です。
ScreenOS DIAL版って標準OS?それとも別途購入が必要?
いろいろなサイトを調べてみたのですがよく分かりませんでした。
ご存知の方いらっしゃいますか?

104 :anonymous@ p2935c3.tokynt01.ap.so-net.ne.jp:03/11/25 23:59 ID:???
在宅勤務にしようかと思ってるのですが、5GTを個人で買うならドコがお勧めですか?




105 :○anonymous:03/11/26 01:56 ID:???
>104

NTT-COMとかどう?

確か回線契約とセットで買えるよ

本体とソフトウェアサブスクリプションだけでいいというなら、
どこか伝手があれば、そこから買うのが安いかも。

うまくすれば、本体は半額強で手に入るかもね

106 :anonymous@ 61.194.54.62:03/11/26 09:12 ID:???
NetScreen25+OCNなBフレッツの環境でつかってます。
UnTrustなIFでPPPoEを行っているのですが、いわゆるネットワークアドレスが
割り振られ逆引きできない状態になってます。
OCNに問い合わせをしてみましたが、ネットワークアドレスには逆引き設定できないとのこと。
#InfoSphereはやってくれるのにな
NATの外側のIPアドレスを明示的に指定する方法ってありますかね?
いまのままだと、見れないサイトとかあるんですよ。

107 :104:03/11/26 12:48 ID:???
>>105
会社の分は、代理店からかなり安くかってるのだが 保守保守とうるさい
自宅分は自腹(手当ては出るが)なので、なるべく安く済ませたたいのです。
とは言え、外出先から自宅にリモートVPNもしたいからクライアントライセンスは買わないといけない。
SOHOな人たちどーしてんのかな?

108 :○anonymous:03/11/26 14:28 ID:???
>107

SSH tunnelingだったりします。

動的IPだったりした場合、その向こう側のサーバから、SSHセッション
張らさて、リバース操作で管理してたり。。

ありゃ、VPNの必要性が、、(汗)

前に書いたけど、出先からW2K/XPならOSのIPsecで
Unix系入っているなら、Freewareで、、
Win98だと言われたら、、SSH tunnelかなぁ。(ttsshなど使って)

どうにでもなります。>クライアント


109 :104:03/11/26 21:54 ID:???
>>108
NATトラバーサル機能が必要な環境のところにも外出するんだけど
リモートVPNクライアントなくても、どうにでもなりますか?

110 :○anonymous:03/11/26 22:52 ID:???
>109

ルータとかFWが問題無いことを前提にした上で、(これは必須)

問題ありません。


111 :!!:03/11/26 23:04 ID:???

http://www.ntt-east.co.jp/ephelio/vpn/ps/

112 :anonymous@ p2935c3.tokynt01.ap.so-net.ne.jp:03/11/26 23:24 ID:???
>>109
http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/communications/remoteaccess/l2tpclientrelnotes.asp
標準で対応してるみたい

113 :__:03/11/27 07:56 ID:???
>101
Thanx!!

114 :~)&;++!'&:03/11/27 22:18 ID:???
ScreenOS2.x/3.xマシンがバリバリ稼動中ですが、最近208と
500をインプリせねばならずScreenOS4.xと格闘中です。

技術講習にも参加しましたが、結局のところ3セグメント
以下の構成では3.xまでに比べ、設定が複雑になるだけで
ScreenOS4.Xにするメリットはほぼないとの結論に達しつ
つあります。

この理解で正しいでしょうか?
5XT/XPでScreenOS4.xにするメリットがあればだれか
教えてください。

また500のconfig例なんかがどっかに落ちてないかな?


115 : :03/11/27 22:43 ID:???
>>114
MIBサポートが桁違いっていうのは理由にならないかな?
SNMPでまともな管理ができるのは4.xから
これは中規模以上の案件ではかなり重要じゃないかな?

3.x以前なんてprivate.3224にwalkかけてもなーんにも帰ってこないお粗末ぶりだったよね

あとは双方向NATのサポートとか

#俺も2.xの方が好きだけど
#いまでだに1.66使ってるとこあるよ

116 :○anonymous:03/11/27 23:34 ID:???
>114

メーカサポートの問題を忘れていますよ。
バグが原因になったトラブルの対応は、3系だと終息気味だから。

それが気にならない、セキュリティホールが出ても放っておける場合は別

SA使った際のバグ対処のためのアップデートしたら、SNMPがエンバグして
くれたり、色々あっても、とりあえず現行OSベースなら、短期間に修正は
されていますが。

#おそらくファームの開発チームが2つ独立で動いているせいなんでしょうね。
#NS500は、結局20数台しか導入したことが無いです。何をしたいのかが
#あれば、ある程度の資料は出してあげられるかもしれませんけど。
#NS204/208は、数十台程度です。そんなに経験値無くてすみません。


117 :anonymous@ p4189-ipbffx01chibmi.tokyo.ocn.ne.jp:03/11/28 13:20 ID:???
UPnPに対応出来る?
メッセンジャーによるファイル転送の許可/不許可を制御したいのです。



118 :Mac OS9:03/11/30 13:44 ID:???
Mac OS9からリモートVPN利用出来ませんか?

119 :○anonymous:03/12/01 14:27 ID:???
>118

一応OS9対応のFreeのVPNクライアントはあるよ。
ごく普通の出来。サイトは、手元に資料無いので、検索してね。

http://search.securepoint.com/index.phpあたりで引けば
すぐ見つかったと思う。


120 :ななしさん:03/12/02 13:04 ID:B1bhJpPD
AntiVirus機能対応age

121 :OS5出たね:03/12/04 07:01 ID:???
>>106

>set pppoe static-ip

で設定できないかな。


122 :名無しさん:03/12/07 22:44 ID:OqgThQCQ
ぷらっとほーむより安いところ見つけたよ。個人で買えるみたい

123 :OSX:03/12/08 01:02 ID:???
Mac OSX 10.3 ではL2TP over IPsecとPPTPに対応してるらしいのですが
自宅や外出先から、Netscreenにリモートアクセス出来るように出来ないでしょうか?
既に試した方いませんか?


124 :あんだんて:03/12/08 22:47 ID:???
初期化するにはどうすればいいの?

125 :anonymous@ FLH1Aaw188.chb.mesh.ad.jp:03/12/10 09:00 ID:???
ぷらっとなどで買った場合、1年過ぎたら保守契約延長はどこで契約するのでしょうか。
5XTや5XPで契約延長っておいくらなんでしょうか。

教えて君になってますね。すみません。

126 :VPN:03/12/10 10:35 ID:???
>>125
ソフトバンクBBという会社がサポートしてくれるらしいよ。
まぁ、おおもとは日立なんだろーけど

127 :anonymous@ 202.216.27.49:03/12/15 16:47 ID:+Pmk5HNS
>>117
http://www.hitachi-system.co.jp/netscreen/sp/16_faq/faq_fw.htm
Q23  標準サポートでNetMeetingに対応しているとの事ですが、
UPnPには対応しているのでしょうか?

Netscreenは、UPnPに対応しておりません。
また、今後サポートする予定もありません。

理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウィルスに感染した
ホストがFirewallの内側にいた場合、Firewallのポートを全てOpenにしてしまい、
外部からのアタックや不正進入を招いてしまう危険性があるためです。

128 :anonymous@ y065237.ppp.dion.ne.jp:03/12/18 21:41 ID:svIo2i3n
質問です。
IP8個もらえるサービスでBA8000ProとNetScreenを使ってVPNをしていたのですが、
ルーターが調子悪いので、別なルーターに変えたところ、
VPNクライアント側がグローバルIPだと繋がるのに、NAT配下だと繋がらなくなってしまいました。
NetScreenは何も弄っていません。
誰か解決方法を教えてください。

129 :128:03/12/18 21:45 ID:svIo2i3n
クライアント側がNATルーター配下でもPINGは通ります。
だれか教えて〜

130 :○anonymous:03/12/18 23:12 ID:???
>129

交換前のルータと交換後のルータの機種・型番などの情報と
設定情報を書いてくれれば対応できるかな。

ルータ買い換えましょうって結論になる可能性もあるけど。(汗)


131 :128:03/12/19 07:43 ID:Kewr1VMB
>>130

交換前はNTT-MEのBA8000Pro(PlanexのOEMのようです)
交換後はNTT-MEのMN8300(住友電工のOEM)

どっちも複数グローバルIPサービスで使っています。

132 :128:03/12/19 08:05 ID:Kewr1VMB
クライアント側のNATルーターはAterm DR322GVです。
今までは使えたのだから、こちらに原因はないのかな??

よろしくお願いします。

133 :○anonymous:03/12/19 09:44 ID:???
>131

MN8300<->NS間のIPsec?
それとも、PC(IPsec Client)->MN8300<->NSのIPsec?

IPsecパススルーの設定は?


134 :128:03/12/19 09:56 ID:t8LPTGt7
後者のほうです。

鯖〜NS〜MN8300 <-> Aterm〜VPNクライアント(プライベートIP) で繋がらなくなりました。
鯖〜NS〜MN8300 <-> VPNクライアント(グローバルIP)だと繋がります。
MN8300にも前に使っていたBA8000Proにもパススルーの設定はありませんでした。
ただ、MN8300はIPルーターモード(NATではない)で使用しているのでパススルーが機能していないような気がする。
なぜなんだ〜

135 :128:03/12/19 10:35 ID:jtnuca6S
別の古いISDNルーターで接続を試みたらなんと接続できました。
原因はAtermかクライアントパソコンにあるのかな??
帰ってから原因追求してみます・・・

136 :NS:03/12/22 14:30 ID:???
NS買って、サポートに電話したら導入時の設定についての問い合わせは有料だと相手にしてくれないんですが、NSってそーいう商品なの?
NSは初めて買ったけど、過去に購入したネットワーク機器、シスコ、ヤマハではそんな事なかったのに...



137 :○anonymous:03/12/22 14:39 ID:???
>136
質問の内容によるんじゃないのかな?


138 :○anonymous:03/12/22 22:51 ID:???
>136
補足。。。
購入先にも寄ると思われます。

サポートしない分安い購入元を使った場合は、当然、そうなることが
予想されますね。(CISCOなどでもしかり)

購入元が代理店であっても同じです。

#うちは、タダでやってるけどさ。


139 :りぃな:03/12/23 19:16 ID:d1747H4d
NetScreen5XTについて質問です。

ダイアルアップユーザーから管理したいのですが・・・
許可するアドレスを限定するような事は可能でしょうか?

ScreenOSは4.0.0です。
NSRemoteは8.0です。

140 :松井 ◆...VBh.www :03/12/23 20:22 ID:0589NACm
突然ですが皆さん
創価学会についてどう思いますか?
興味ありましたらあなたの意見をお聞かせください
YAHOOチャットの政治カテゴリのユーザールームに
創価学会YAHOO支部という部屋があります
ただ今そちらで熱い議論を繰り広げております
マイクを使ってボイスで討論もしています
YAHOOにログイン後ご入室ください
心よりお待ち申し上げております
以上、宣伝でした

141 :anonymous@ zaqdb73e7ce.zaq.ne.jp:03/12/25 15:49 ID:???
さげ

142 : :03/12/30 01:34 ID:???
兄貴!SNMP で、アクティブなセッション数を取得する事は可能ですか!?
MRTG 等のツールで、セッション数をグラフ化したいのです。

MIB ツリーにざっと目を通したのですが、俺様の脳では判断不能で御座います…
# SNMP で無く、telnet > get session で取得した値を使う等の
# トリッキーな方法なら出来そうですが

ちなみに、ScreenOS の Version は 4.0.1r9 です。

143 :anonymous@ o143081.ppp.asahi-net.or.jp:03/12/30 02:44 ID:???
内藤猛は使えん

筋肉鍛える暇があったら脳味噌鍛えろや

144 :?:03/12/30 03:45 ID:???
>>142
Ciscoに比べれば階層浅いんだから、分かりそうな気がするんですが、、、

nsResSessionでMIBをgrepすれば多分見つかります
近くにCPU/Memoryもあります


145 : :03/12/31 00:24 ID:???
>>144
private MIB の定義ファイルを拾ってきて grep かけた所、見つける事が出来ました。
というか、もっときちんとマニュアル読めや!っつー話すね。
大変失礼しました。

146 :106:04/01/05 15:35 ID:???
>121
set pppoe static-ip
をやったあとに IPアドレス指定できました。

電源再投入して、PPPoEで再接続を試みたところ
ルーティング情報が追加されず、WANとの疎通ができません。
(手動でStaticRouteにすれば可能・・・)

すなおに安物ルータかませたほうがいいのかな?

147 :anonymous@ r094173.ap.plala.or.jp:04/01/07 00:07 ID:???
VPNクライアントに払い出すIPアドレスって
社内LANと同じセグメントにする必要が有りますか?
違うセグメントのIPアドレスを払い出すことが可能な場合に、
ルーティングってどうやるの?

148 :^^:04/01/07 12:51 ID:???
>>147
必要はない。ルーティング気にして社内LAN側のインタフェースと
同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
クエストにNetScreen答えないからだめなり。
払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。

ルーティングなんか気にしなくても、社内に出て行く側のインタフェース
で通信をNATすれば無問題

間違ってたらスマソ



149 :149:04/01/07 23:17 ID:???
で、結局5GTのPPPoE+NATのスピードってどのくらい出るの?

150 :147:04/01/08 00:29 ID:???
>>148
> 必要はない。ルーティング気にして社内LAN側のインタフェースと
> 同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
> クエストにNetScreen答えないからだめなり。
> 払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
Netscreen じゃProxyarp の設定はできないの?
あと払い出すIPアドレスって勝手に決めてもいいの?

151 :148:04/01/08 11:47 ID:???
>>150
ProxyArp の設定はできんと思う。
払い出すIPは設定的には適当に決められる。あとは管理者次第だ。

けど、適当に設定すると心配しているとおり、default にのってくるの
でなければその払い出すアドレスへのルーティングが必要になる。
このためにルーティングを他のデバイスに設定してまわるのはかった
るいので、社内への通信を許可するポリシでNATするようにしておく。

こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
通信では払い出しアドレスを隠蔽できるってことなり。




152 :147:04/01/08 17:21 ID:???
>>151
> ProxyArp の設定はできんと思う。
> 払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
ありがとうございます。それを聞いて安心しますた。
あと、VPNで繋ぐときのID Type でメルアドを選択できるみたいなんですが
これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
よいのでしょうか?パスワードみたいなものですか?
何でメールアドレスになっているのかが疑問です。


153 :○anonymous:04/01/08 17:32 ID:???
>152

パスワードみたいなもんです。
なぜメールアドレスみたいになっているかというのに関しては、
CAのユーザ証明書の構造と対比させると納得できるかと思います。


154 :148:04/01/08 20:11 ID:???
>>152
>これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
>よいのでしょうか?パスワードみたいなものですか?

適当でいいです。これはなんらかの手段で接続しにきた相手を識別しないと
いけませんが、この用途に使っているだけなので。

ま、サーバでは渡されたID から誰かいな?ということでそのIDに関連した設定
をさがすわけでありんす。

debug ike detail & get dbuf st してやりとり見てみそ

155 :147:04/01/08 23:17 ID:???
だいぶ理解できてきました。
社内側のインターフェースのポリシーで
NATするのに関連して、NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?

あと、クライアントが非固定IPアドレスの場合に
pre-shared key による認証ってできるんでしょうか?



156 :○anonymous:04/01/09 01:53 ID:???
>155
>クライアントが非固定IPアドレスの場合に
もちろん、可能。(aggressive)

>NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?

NAT Traversalが何をしているものか考えてみてください。
操作自体より、仕組みを理解した方が応用が利くと思うよ。



157 :5GT:04/01/11 18:54 ID:Rb8OcvMX
5GTを買ってきて接続してるとこです
Trust側のWEB鯖をWAN側に公開したいのですがうまくいきません
固定IP1個しかなくVIPでポート80を割り当てました。


158 :sage:04/01/12 18:16 ID:???
>>157
Global Policyの設定しましたか?

159 :_:04/01/24 17:40 ID:h95EA28C
age

160 :帝王:04/01/24 19:16 ID:fCej5XNE
代理店のHって最近ヘタってきてません?
確か世界でもトップクラスのディストリビュータだったはず。
会社の体質的に外資に着いて行けなくなってんだろうか?

161 : :04/01/25 16:21 ID:???
>>160
Hって目立?
1わざわざ伏字にすることもないやん

162 : :04/01/25 20:44 ID:???
config をコマンドとかで一発で消す方法ってありませんか?
いじっていたら、訳が分らなくなってしまったので
一旦購入時の状態に戻したいのですが・・・


163 :774 sessions:04/01/25 20:49 ID:???
OS5.0, AV, DI, NSM, IDP, 新モデル...と
まともに対応しようとしてる代理店なら,
どこも年末からリソース食いまくってるはず。

164 :774 sessions:04/01/25 20:50 ID:???
>>162
unset all -> y
reset -> n -> y

165 :?:04/01/25 21:17 ID:???
適当なスレが無いんでここで聞かせてください

こんなDynamicNATの要件を満たすNAT箱ってありますか?

1.一定のレンジのIPをスプールしてDynamicNATしたい
2.スプールを有効利用するためにスプールから割り当てるIPは動的に振り分けたい
3.同一ユーザ(同一ローカルIP)の複数セッションが同じIPになるように割り当てたい
4.ProxyARPでは無くスプール専用のアドレス空間を持たせたい
5.RTSPに対応している
6.3000con/secのセッション処理性能

NetScreenだと3と4と5ができないんですよね、、、
DIPにレンジを持たせるとセッション毎に全IPでラウンドロビンになるし、
MIPはProxyARPで無くても使えるのにDIPはProxyARPしか使えない
RTPなプロトコルも全滅

2,3が特に重要でIP割当は動的におこないつつ、
同じSourceIPのセッションがあるうちは同じグローバルIPを割当てたいんです

1000万越えも辞さないんで知ってたら教えてください

166 :○anonymous:04/01/25 22:05 ID:???
>165
*BSDベースのもので対応は可能だと思われますが、、
1000万出せば、要求満たす構成を組んでGUIを付けられると思われます。
(コネクション数は、もしHTTPSとかであれば、アクセラレータ搭載すると
して計算してます)


167 :165:04/01/25 22:41 ID:???
>>166
レスサンクスです

それはベースの技術を元に顧客ごとに開発/カスタマイズするような
いわゆる組み込み系Firewallってやつでしょうか?

開発までやるだけの期間が取れそうに無いのと、
開発元は小さくてもいいですが、ある程度大きな保守ベンダで24/365サポートが必要なんです
#>>165から要件増えてますね(w

NOKIA/NetScreenは制約にかかりそうなんで他を探してる次第です


168 :○anonymous:04/01/26 01:38 ID:???
>167

ベースは既にあるので、カスタマイズといったところかな。
保守に関しては別会社で24/365やってるところに任せることは可能です。
ちょっとNS板から外れてしまいますが。

納期は、年度末でしょうか?それならば、なんとかなると思いますけど。
(おいおい、宣伝しても無駄だろうが>漏れ)

要件の1・2・3って、内(n)→外(m)ですよね。(n>m)
単純に、DHCPでクライアントにIP割り振って、そのIPに応じてDNATアドレス決めさせて
しまうというのは有り?(笑)3の要件があるんで、接続中は固定にしたいわけだから。
どうしても、どこかに振りたいものは、MACアドレスとかで決めるとか、VLAN切るとか。
(いまのUNIX系は、ほぼ全て対応してるから)

認識間違ってたら、指摘してください。

ルーティングプロトコルは、必要なものを設定すればいいし。

GUI無しなら、大抵間に合うでしょうねぇ。
ENさんところとかSAさんところなんかだったら余裕かも。
SAさんところは24/365もやってるし。




169 :774 sessions:04/01/26 01:58 ID:???
>>165
3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
4. -> よくわからないが、DIPプールでは無くて?
5. -> 現行OSでは無理。マルチキャスト専用OSなら可
ここで聞くより代理店に聞いたほうがいいかと。

170 :165:04/01/26 15:16 ID:???
>>169
ありがとうございます。

>3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可

SticyはSourceIPハッシュで完全に固定されてしまうので要件が満たせないんです。


> 4. -> よくわからないが、DIPプールでは無くて?

失礼しました、4に関してはExtend-IPで対応できるみたいですね
下調べが甘かったようです

>ここで聞くより代理店に聞いたほうがいいかと。

NetScreenについては最初に書いた"要件を満たせない"が
代理店の回答だったんですよ
付き合いのある代理店はみんなNSとFirewall-1ぐらいしか
ハイエンド機器は扱ってないんですよね

Ciscoじゃ到底要件満たせないですし


>>168
組み込み系も検討を始めました
#リンク張ってくれたらうれしいなーなんて思ったりして、、、
#それじゃ身元バレしちゃいますかね


171 :○anonymous:04/01/26 18:31 ID:???
>170
うちでも扱えるけど代理店じゃない製品にリンク張っておこう。
自分のところのは書けないから。。
ttp://www.astarosecuritylinux.jp/
代理店は、FC

Linux KernelがSCTPはサポートしてるんで、このソフトが要件満たすかどうかは
知らないけど、まあ、似たようなことができる製品は、色々あるので。。
対応範囲とか確認してください。<球一


172 :○anonymous:04/01/26 18:33 ID:???
>171
寝ぼけたこと書いた>SCTP
忘れてくらはい。いま、カーネルコンパイルしていたものだから。



173 ::04/01/29 16:59 ID:vv/IEGK2
NAT環境下からNSRemoteでNS-5XTにVPN張ってるんですが
Phase2 Lifetimeが切れた時にRekeyが走らない現象に悩まされて
います。
(NATじゃない環境からでも、たまにRekeyしてくれない)

今はPhase2 Lifetimeを8時間とかにしてお茶を濁していますが
同様の現象に悩まされた方、いらっしゃいます?
もう、さっぱり分かりません....

174 :H立って技術ある?:04/01/29 23:02 ID:9Vt/xg88
>173

無通信の時間があるでしょ?
そうするとこういうの起きるよね。

名前⇒わざとばれるようにしています。
最近質落ち。。。パートナーばなれ。。。。

175 :七資産:04/01/29 23:02 ID:???
それぞれのバージョンぐらい書けや

176 :login:Penguin:04/01/29 23:20 ID:???
>174
そりゃ、価格が安いからって、別の代理店に仕事丸投げしてたり
するから、目立の技術陣が悪いのか、それとも、安かろう悪かろうの
ところが悪いのか不明だわな。


177 : :04/01/30 01:43 ID:???
SA のライフタイムってどのくらいがお勧めなんでしょうか?

178 :_:04/01/30 02:15 ID:???
>177
セキュリティポリシーにもよると思うが、、、
1h,8h使うことが多い。短すぎると通信断しやすくなるから。


179 : :04/01/30 03:36 ID:???
>>178
> セキュリティポリシーにもよると思うが、、、
> 1h,8h使うことが多い。短すぎると通信断しやすくなるから。
サンクス。あともう一個教えて欲しいんだけど
同一LAN上にNetscreen が2台あってそれぞれが個別に
インターネットに繋がっている(マルチホームな)環境で
両方をVPN gateway として使いたい場合、LAN 内のPC の
ルーティングを通信が入って来た方に返すようにしないと
使えないんのでしょうか?



180 :^^ :04/01/30 03:57 ID:???
>>151
> こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
> NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
> アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
> 通信では払い出しアドレスを隠蔽できるってことなり。
VPN のトンネルを許可してるポリシーの設定を見ると、
NAT のところはチェック無でDIP On, DIP Off, Fix port という
設定個所がありました。社内側のインターフェースのアドレスを
DIP プールに登録して、選べばいいんでしょうか?


181 ::04/01/30 09:30 ID:PijhlfoJ
>>174
私もそうかと思ったんですが、ガンガンにデータ送信していても、
Lifetimeが切れるとぷちっと切れるんですよね...
NSRemoteのLogViewerで見た感じ、Lifetimeが切れる時に5XT側から

 RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
 Deleting IPSec SA (OUTBOUND SPI = ****** INBOUND SPI = *******)

ってのを貰って、ぷちっと切れて、それっきり。

>>175
失礼しました。ScreenOSが 4.0.3r5.0 でNSRemoteが8.3です。


182 :○anonymous:04/01/30 11:59 ID:???
>179

はい、その通りです。
いま使っているNetScreenのモデルによっては、1台で
マルチホームが可能なので、そちらに変更したら楽ができます。

そうでなければ、NetScreen---Router---NetScreen
                     }
LAN
だとして、ルータに任せたらよいかと思います。
VPN接続元(先)が違うネットワーク構成なら、単純にスタティックルート
そうでなければ、フローティングスタティックルートを切ったりすれば良いかと


183 :151:04/01/30 13:21 ID:???
>>180
なんにも考えず、NAT のところだけチェックすればいいよ。
あとの設定はイラネ

NATのとこだけチェックしておくと、出て行くインターフェースでNATされるよ
ガンガレ

#間違ってたらスマソ

184 :H立って技術ある?:04/01/30 23:42 ID:DXu/jFaJ
>>181

必殺!マニュアルキーってのは?

185 :七資産:04/01/31 23:01 ID:???
NS-Remoteは何時間も繋ぎッパを想定していないからな。
NSがremoteクライアントのISAKMP-SAが切れている事に気付かないこともある。
r5.0と8.3ということは自己責任じゃないのか?日立は出荷状態でリリースしていないだろ?

まぁ、違うバージョンでも同じことが怒っていたから可用性を考えたらNS同士で対向。

186 ::04/02/02 00:31 ID:???
>>184
マニュアルキー。。。調べてみます。

>>185
繋ぎっぱ想定なし!まじすかあー
在宅勤務者用に、RASの代わりに使おうかと考えてたんですけどね。
あと、NSRemoteは最初は8.2r2(やったかな)で繋いでいたのですが、このような現象が
起きているのでNSRemote上げたら治るかなと思い、試験的に8.3にしてます。
が、同じですね...


P1 Lifetime = 1時間 P2 Lifetime = 3分 って設定で土日でいろいろ
試してみたのですが、

・非NAT環境下から
  繋いだまま放置してると切れてそれっきり
  しかしP2 lifetimeの間に、少なくとも25秒に1回はトンネル経由でパケットを
  飛ばすとrekeyが走る。25秒以上の間隔を空けると駄目(切れてそれっきり)
・NAT環境下から
  何やってもP2 lifetimeが切れたらそれっきり

という挙動でした。なんだろうこれ...


lifetimeが切れる前になるとinitiatorが動いてrekeyが走るのは、NSRemote側から
rekeyしようよーと持ちかける?それとも5XT側から?
ああもうわかんねー。長文失礼。


187 :aa:04/02/02 01:17 ID:???
会社にVPN で繋がるようになりました。
でも、Windows PC でマイネットワークを開いても何も出て来ません。
Netscreen-Remote は繋がっているし、PING も届くのになんで?
もしかしてVPN じゃできないんでしょうか?

188 :login:Penguin:04/02/02 03:53 ID:???
>187
まずはレジストリ操作しよう。(MTU)

189 :-:04/02/02 06:53 ID:???
>>187
コンピュータブラウジングについて学習してくだされ。

190 :おっ!:04/02/02 23:41 ID:InxQx74+
>>187

http://www.ntt-east.co.jp/ephelio/vpn/ps/

これすごいよ。
Windows PC でマイネットワークは当然見えるし、
Win2003ActiveDirectoryなどのWIN認証も使えるし、
NTFSアクセス権も使える。

IPSECでここまでやるとは。。。。

191 :○anonymous:04/02/02 23:45 ID:???
>190
あまりにレベルの低い書き込みはやめようよ(笑


192 : :04/02/03 08:54 ID:???
IPsecやVPNと、ブラウジング・Windowsファイル共有の問題はまったく別なのにね

193 :初心者:04/02/03 23:12 ID:???

190さんへ

VPNクライアントから、IPSECを利用して、ルータをNAT越えし、
かつドメイン認証をやりたいんだけど、これなら可能なのですか?

Windowsの個人プロファイルが適用される前に
VPNクライアントが、IPSECを利用したVPNサービスを
開始させてくれるのでしょうか?

やりたい環境:
VPNクライアント+PC+一般的なBBルータ
ーーーーーインターネットーーーーーー
NETSCREEN+配下のPDCやアクセス権の効いたサーバ郡





194 : :04/02/03 23:23 ID:???
>>193
ActiveDirectory+DynamicDNSや、昔風ならWINSサーバなどを立てれば可能
根性でLMHOSTSに書いてもいいし
つ〜か、VPNの問題と、ブラウジング・ActiveDirectory・ドメイン認証は全く関係ないから
これ以上はWindows板逝け

195 :\\\:04/02/04 00:34 ID:???
>>187

マイネットワークをwクリックしてPCを見たいなら、
NETBIOS over tcp/ipを有効にして、NSのおいてある環境にでもWINS
サーバを立てるといいよ。

注意!
NSRemote〜NETSCREENのVPNは、クライアントがドメイン認証できない
ため、見えてもアクセスできないことがあります。(経験談)

ブラウジングは194の言うとうりVPNの問題ではないです。

NSRemoteの問題です。
NSRemoteでは、VPNできてもNTFSアクセス権の付与された
サーバにはアクセスできず苦労した覚えがあります。
(ID・PWウインドウが出るとか、出ないサーバがあるとか。。。)

だから、みんなフルコントロールなのかも?

190の物だったらできるかもね。
これはどこに聞けばいいのかな?
まさか116?(笑)

194、マイクロソフトすれになって、すんまそ。
僕の経験がVPNソリューションの参考に
ちょっとだけでも役に立ってもらえればと。。。。

NSRemoteでトラぶってる人多いかもしれないしね。





196 :\\\:04/02/04 00:40 ID:???
ちょっと追加事項

NSRemoteは、ブラウジングまでは可能。
(一部、AD環境ではドメイン認証されていないと不可)

ドメイン認証は不可です。
(たまにできる場合がありますが基本的にはできない!)


197 :_:04/02/04 00:58 ID:???
>196

ドメイン認証できますよ。
某社の技術陣が出来ないとわめくので、検証したことがあります。

Winの知識が無いNEが操作してたために、設定ファイルを
渡しても、まともに動かせないのがいました。(4大大手の一つ)

ただし、NS-Remoteのdeactivate, activateと、
Windowsログオン操作の順番が重要になります。
(WINSサーバがVPNの向こう側にいる際)

198 :△匿名:04/02/04 22:34 ID:+OaqcnXM
>197

ドメイン認証できないぞ!

ユーザにグローバルグループを多くネストしたり
コンピュータ名の登録をPDCに要求するときに失敗した。

複数の2000PROにNETSCREENリモートを入れてルータ経由で試したが無理だ!
当たり前だがVPN通信そのものは問題ない。

みんなはどうしてる?

WINDOWSスレは、NETSCREENリモートの話は通用しない!
ベンダや導入者の知恵を借りたい!!


199 :○anonymous:04/02/05 00:36 ID:???
>198

Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)

起動する際には、Windowsドメインログオンをキャンセル。

NetScreen-RemoteをActivate

ドメインログオンを聞いて来る際に、ユーザ名・パスワードを入力

ドメインログオンに失敗した際にはリトライすると成功する
(VPNを張るタイミングのせいか?)


200 :aa:04/02/05 00:37 ID:???
>>197
> ただし、NS-Remoteのdeactivate, activateと、
> Windowsログオン操作の順番が重要になります。
> (WINSサーバがVPNの向こう側にいる際)
IPSec でもOK?
PPTP ならWINSとかの設定も渡すように設定できそうだけど。
例えば、IPSec で、このスレのすこし前に出てたみたいに
ルーティングを気にしなくてもいいようにLAN側でNAT を掛けたら
LAN 内から見たらNetscreen 一台ってことになるよね。
WINS の設定をNetscreen 自体が持つのか、クライアントの方の
ネットワーク設定部分に普通にローカルアドレスで指定しておいて
いいのかが分りません。できてもこの状態だと、同時に1対1でしか
使えなそう。何かいい方法ないかな?


201 :aa:04/02/05 00:39 ID:???
>>199
> Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)
>
> 起動する際には、Windowsドメインログオンをキャンセル。
Windows98 とかならキャンセルできるけど、NT系では
無理なのでは?勘違いだったらスマソ。

202 :○anonymous:04/02/05 00:45 ID:???
>201

ああ、ごめん。
直接端末をPPPoEでつなぐ際の話になります。


203 : :04/02/05 06:59 ID:???
ローカルコンピューターのアカウントで一度ログオンすればいいだろ?
あと、ドメインログオンはキャッシュすることができるから、キャッシュされたアカウントをつかってもいい

204 :○anonymous:04/02/05 15:52 ID:???
>202

誤爆してしまった。
>200
IPSecでもOKって、どういう意味?NS-RemoteのVPNの話ですから
言わずもがなです。

NAT配下に複数台ある際の部分は、ルータによるので、なんとも。

で、なぜにWINSのアドレスがNetScreeenが云々になるのか不明。
対向のローカルIPのWINSサーバ指定になる話。

NSでもNATかかっている場合は、、、うーむ、それは避けた方がいいと思う。
せめてVirtual IP Pool使って

205 :bb:04/02/05 18:38 ID:???
>>200
設定面倒、アドレスたくさんいるけど、LAN側でNATするとき、
DIP使ってクライアントごとに異なるアドレスでNATするような
ことはできるよ。

けど、目的が達せられるのかどうかはWindows知らないので
ワカンネ

206 :Netscreen Remote:04/02/07 23:08 ID:???
ActiveDirectoryにログインできます。

簡単な実験手順
1. ノートPCでキャッシュされたアカウントでローカルログイン
2. Netscreen RemoteをActivate
3. DNSをActiveDirectoryが登録されているDNSに変更
4. 再度ログイン

ログインスクリプトも流れてファイルサーバへもアクセス可能!


207 :ararararara:04/02/08 23:54 ID:EL42ZRtR
190のスレにある商品を最近、私の会社に導入しました。

このUSBキーで、WINDOWSドメイン認証できるし
マイネットワークも見れてます。
キャッシュを利用しないので、新規にコンピュータのドメイン登録も
できるし、ユーザパスワード変更もVPN経由で可能です。
うちの会社で利用しているEXCHANGEも、これで解決できてます。

このキーの動きを簡単に説明すると、
---USBキーを挿してPCの電源を入れる
@このキー専用の「ID」「PW」を入力する
----OKならVPNサービス起動
----CTRL+ALT+DELが表示される
Aマイクロソフト用の「ユーザ名」「PW」「ドメイン名」を入力し選択する。
----VPN経由でNETSCREEN配下のWIN2000ADに要求をする
----ログオン完了
----あとは、LANと同じ。マイクロソフトで開発したDCOM通信を
つかうAPも利用できてしまったよ。

さらに、このキーには、仮想というかこのキー専用のIPアドレス
(NSRのインターナルIPかも?)、DNS、WINSのIPも
設定できるのでかなり便利です。

N○○の法人営業の人が教えてくれなきゃ一生わからないかも。。

使ってみてまだ数週間ですが、重宝してます。

NETSCREEN側の設定はNSRと同じく、通常のIPSEC-VPNの設定
でOKでした。NATの設定は一切してません。

208 :foo:04/02/10 10:48 ID:???
Juniper が買収ですか。
日本での体制はどうなるのかな。

209 : :04/02/11 00:41 ID:???
祭りかと思ったらそうでもないね

日立は日本で一番NSの株を持ってるはずだけど、
Juniperって扱って無かったような気が、、、
少なくともSASでは売ってないだろう

今後のサポートも非常に心配
NSは比較的旧バージョンのサポートも長くやってくれてるけど
今後はどうだろうか?

あと、なんか値上がりしそうな悪寒(偏見?)


210 :anonymous@ z107.219-127-36.ppp.wakwak.ne.jp:04/02/12 13:32 ID:???
いやな記事だ。

ttp://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040210/139671/

一方,ネットスクリーン側は「コメントできない」(同社のPR会社フォーカスト・コミュニケーションズの能宗正則氏)。
現行製品のサポート継続の有無に関しても「現時点では分からない」とのコメントだった。

211 : ns:04/02/18 17:00 ID:???
NS専用のリモートソフトを使わずに、Windows2000からL2TPを利用したいのですが、仮共有キーの作成は、NSのどこのメニューから作成するのでしょうか?

212 :ns:04/02/18 20:38 ID:???
>> 211
マニュアル読んだ

213 :NS初心者:04/02/20 01:11 ID:???
すいません、NetScreen 5GTという製品で
下のような事を考えているんですが
これって可能でしょうか?


【家】 PC - ADSLモデム
    |
   (インターネットVPN)
           |
【会社】    ADSLモデム - 5GT - サーバ

・家のPCにはNetscreen Remoteをインストール
・5GTに固定IP 1つ割り当て
・会社のサーバのIPは192.168.1.1などローカルIP
・やりたいことは、家のPCから会社のサーバのなかにある
 ファイル見たりプリンタを利用したりとかする程度

日立SASの適用例見ると出来そうな感じもするんですけど
詳しい方に事前に聞いておきたくて・・・すいません


214 :NS初心者:04/02/20 01:13 ID:???
線がずれてしまいました
言うまでもありませんが、PC - モデム - (VPN) - モデム
です。ごめんなさい

215 :anonymous :04/02/20 02:06 ID:???
家庭内LANのIP体系を会社とかぶらないように
すれば楽にできると思うよ。

プリンタに関しては、プリンタが、どこに接続されているか、
また、その印刷受け付けIPアドレスがどうなっているか、とか
まあ、考えないといけないことはあるけれど、
両方の設定を触っていいなら、楽勝パターン


216 :NS初心者:04/02/20 03:03 ID:???
>>215

ちょっと気になった、というか勘違いしてたんですけど
サーバにも固定IP(グローバルIP)が必要だったりするのかなぁと
思いまして、念のため確認させていただきました。
プリンタはサーバに接続されているので多分大丈夫だと思います

ありがとうございました

217 :リモートアクセス:04/02/21 11:40 ID:NIJUVFL9
 >>213さんの構成で会社のサーバのファイル共有を見る場合は
どうしたらいいのでしょうか?
コマンドプロンプトで  START サーバのIPアドレスで見れるとは、思うのですが・・・
NS VPNクライアントソフトをインストールしたら他にやり方があるのでしょうか?


218 :ns:04/02/21 16:35 ID:???
NS-Remote つながんないわ、マニュアル英語だわ
しかもマニュアルのOS、バージョンが古いやつだから
実際の画面と違うわ、なんかハメられた気分


219 :sage:04/02/23 15:11 ID:???
質問です。

NS-Remote をインストールしたら、使ってないときでも MTU が固定されていたりして嫌な気分です。
NS-Remote を使っていないときは無効にしたい(バックグラウンドでの起動を止めたい)のですが、
どなたか方法をご存じでしょうか?

WindowsXP(home)SP1
NetScreen-Remote 9.0.1(Build 12)


220 :_:04/02/23 21:17 ID:d++lATu1
>>217
「\\192.168.1.1」とかじゃダメ?
それ以上を望むならWindowsNetworkの勉強を。

>>218
たいていの代理店なら日本語の設定マニュアルは持ってるはず。
つながらない理由は設定ミスや相性な場合も多く。
たまにBOX側のBUGなんてのもあったけどね。

>>219
仕様。Deactiveでは変わらない。レジストリ直イジリは自己責任で。

221 :218:04/02/23 23:47 ID:???
>217
hostsとlmhostsに記述して、コンピュータ名で検索したらでてきたよ。

>220
はい、設定ミスでした・・・(Phase 1 のところの方式間違い ベタでスイマセン)
日本語マニュアルはインストールのとこまでしかなくて、そのあとは
英語のPDFとにらめっこ。英語そのものはそーんなに難しいもんじゃないんだけど
図と文章が微妙にかみあってなくて、イライラしちまいました。

Trust内にあるサーバのなかのファイル見たりとか、そのへんは
とりあえず問題なく出来ました。今はODBCでのDB接続がうまくいかなくて
なんでだろうと格闘中です(telnetでポート指定して接続かけてみると
つながってるようにみえるんだけど)

あと、細かいことなんだけど、タスクバーのNS-Remoteアイコン右クリックすると
タスクバーのメニューが重なって出てきてヤな感じ
(Windows XP対応と書いてあったが、ホントにちゃんと対応してるのかなぁ)


222 :sage:04/02/24 11:09 ID:???
>>220
じゃあ、使わないときは NS-Remote アンインストールするかな。
面倒だな。

223 :anonymous@ ns.wako-cs.jp:04/02/25 22:37 ID:???
NS50を使ってワンタイムパスワード認証を使用しようと考えています。
(RADIUSクライアントはNS50)

NSremoteクライアント拠点は93拠点あり、ワンタイムで認証完了後に
ippoolで動的にプライベートIPをクライアントに振る設定にしなければ
ならないのですが、どういった設定を施す必要があるのでしょうか?

認証センターまでVPNを張るというのは分かるのですが、認証要求を
認証センターに転送ですとか、動的にクライアントにアドレスをふる方法
(ルート情報はどうなるのでしょうか?)というのがよく分かりません。

素人で申し訳ありません…。
よろしければご教授の程お願い致します。

224 :_:04/02/26 21:45 ID:???
>>223
日本語版マニュアル2-308。
RADIUS認証なら問題無いが、RADIUS PROXY経由は
やったことないんでわからん。

225 :かず:04/02/27 18:48 ID:1UsE8kZO
社内でNETSCREEN25を利用してBフレッツ(ODN)に接続しています。
これが、通常問題なく接続できているのですが、たまに接続できなくなって
しまいます。日に数回切れることもあります。
NSを再起動すると回復するのですが、なにかポイントになるような
確認点はないでしょうか?

226 :ns:04/02/28 00:39 ID:???
>225

ログには何か出てないのかな

227 :かず:04/02/28 09:52 ID:BeF9epPr
>226

それが、らしいものは出ていないんです。。
といっても全てのログを読解できているわけではないんですが。
でも、接続できなくなりそうな内容のものは無かったと思います。


228 :anonymous@ 210.249.106.39:04/02/28 17:20 ID:???
ハブアンドスコープの設定が出来ねーよ、もまいら
設定のキモを教えてください、おまいら。


229 :_:04/02/28 18:08 ID:???
>>227
回線側に問題は?

>>228
まずハブアンドスコープについて説明汁!
と突き放すのも可哀相なんで、まずマニュアル見て全く同じに作ってみろ。
アレンジはそれからだ。ProxyIDに気をつけろ〜。

230 :228:04/02/28 19:43 ID:???
>>229
漏れもそうくるだろうと思ってた罠
厨といわれないように、一応、まにゅある読みますた
第4部第3章ハブアンドスコープ方式VPN。
でもできなカターヨД`)・゚・。・゚゚・*:.。..。.:*・゚
ProxyIDに気をつけるくらいでつか?

しかし、今手元にはNetscreenひとつしかないよ
αβοοη..._〆(゚▽゚*)でつか?

231 :ns:04/02/28 21:30 ID:???
>227

PPPoEの設定はどんなもんかな



232 :かず:04/02/28 23:02 ID:BeF9epPr
>229
回線側に問題がある場合もなくはないのですが・・・・
実際、そのうち数回はフレッツ網の障害でした。
でも、それ以外は回線側に問題はないみたいです。
>231
PPPoEの設定で、切れてしまう原因になりそうな部分ってどこらあたり
でしょう?


233 :_:04/02/29 00:26 ID:???
>>232
PPPoE限定じゃないですけど、PPPならLCP echoでkeepaliveくらいですかね。
lcp-echo-retriesとlcp-echo-timeoutとか。


234 :207の利用者:04/02/29 13:37 ID:EUJKybMZ
>225
set pppoe auto 15
だったかな?
コマンドを、ここの技術担当から聞いたことがある。
当然入ってると思いますが、
今一度、ご確認を。。

235 :ハズアンド嫁:04/03/01 00:38 ID:qkKzmnGJ
ハブアンドスコープじゃなくて、ハブアンドスポークだろう。
マニュアルを、よく嫁。
変な2ch用語を流行させてくれるなよ。


236 :_:04/03/01 11:50 ID:G9OBrqdT
ScreenOSのリリースノートってどこに掲載されてるんだろう?
バグ修正関係の情報が欲しいのですが・・・

私の使っているのは5XT+4.0.3r3です。

237 :○anonymous:04/03/01 12:42 ID:???
>236
www.netscree.com


238 :かず:04/03/01 17:44 ID:8ti3HoAM
>233
LCP echoでkeepaliveとかlcp-echo-retriesとlcp-echo-timeoutとかとは、
具体的にはcinfigを編集するってことでしょうか?
今のconfigにはPPPに関するような部分はないのですが。。。


>234
set pppoe auto 15

これって、WEBの設定画面からconfigを保管してテキストを編集して、リプレースすればいいのでしょうか?
configを確認したのですが、はいっていませんでした。
ところで、これはどんな意味なのでしょうか?

初歩的な質問で申し訳ありませんが、宜しくお願いします。

239 :_:04/03/01 20:26 ID:???
>>236
買ったところでくれるでしょ、普通。

>>238
CLI

auto-connect >>
the number of seconds after which a previously closed connection is re-initiated.

240 :_:04/03/01 22:22 ID:???
>>238
set pppoe auto-connect <1-10000, seconds>
set pppoe ppp lcp-echo-retries <1-30, times>
set pppoe ppp lcp-echo-timeout <1-1000, seconds>

結局、これらでナニをするかというと、LCP echoでkeepaliveしているのに
BASが多忙でLCP echo replyを返さない? 為に早まってPPP(とPPPoE) sess
をScreenOSで落としちゃわないようにするというところですか。
マニュアル読んでみてください。

241 :HB:04/03/02 22:42 ID:???
すみません。もの凄く厨房な質問ですみません。
HAインターフェースには当然IPアドレスを割り当てるのですよね?

242 :_:04/03/03 01:43 ID:???
>>241
InterfaceにHAゾーンを割り当てるだけでOK

243 :241:04/03/04 01:02 ID:???
>>242
実は漏れもそう思ってたんですよ。
でも、
[Report]→[Interface]→[Flow Counters]→[Ethernet4]を見ると、
Master in packets 0 out packets 4143881
Backup in packets 0 out packets 2274761
というようにoutだけなんですね。
これで大丈夫なんだろうか?と、ちょっと心配になったわけなんです。
一応、何度もケーブルの抜き差しをやってテストしているので、
切り替わりは問題は無いのですが、ちょっと気持ち悪くて・・・。

244 : :04/03/04 20:42 ID:9Y38jwUu
httpをproxyできるような機能ってある?
NS以外にもこのようなことができるFWって
知っている?

245 :oooo:04/03/05 23:50 ID:jXt1kQe9
>244

NS以外は、他のスレに逝け!
ここは「NETSCREEN」スレ。

わかるよね。

だが。。。
おばかちゃんには、おばかちゃんのFW、「ふぉ〜と、ノックす」
を紹介しよう。。。

あほでうざいレス入らないのであしからず。

逝け!ワラタ!スマソ!ってスレ用語?

246 :anonymous@ YahooBB219198088002.bbtec.net:04/03/09 02:21 ID:2WNQF4yN
500番のportを開けたら、自宅からNAT越えできるようになったのですが、
これってセキュリティ上問題はないのでしょうか?

派遣先でNATの設定を変えてもらう際、色々説明する必要があるのですが、
500番のportを開けることが、どのくらい問題になるかを知りたいです。



247 :anonymous@ YahooBB219198088002.bbtec.net:04/03/09 02:22 ID:???
fusiana?!

248 :伝書鳩:04/03/10 09:19 ID:???
>>246
バックドアの元凶になる「isakmp」を通す危険性があります。
これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。

>>247
フュージャネイサン

249 :mmg:04/03/11 11:07 ID:???
NetScreen5GT PlusのDual-Untrust使用のについてお聞きします。
5GTのトンネル制限が10ですがFailover機能を利用した場合
対地が5になってしまうんでしょうか? 今はトンネルを
対地毎に2本引いてバックアップ機能は動いていますが10対地引く
事が可能であれば何らかのヒントもしくはこんなので動くとか教えて
ください。
 現在は TrackIPを対地の2つの固定IP向けて動かしています。
センター側が10対地引きたいんです。

250 :かず:04/03/11 17:15 ID:dapdRlvT
>240

説明が不足していました。申し訳ありません。
うちの環境は、Bフレッツ->ルーター(YAMAHA RTX1000)->Netscreen です。
教えていただいた設定は、Bフレッツ->Netscreen の場合ですよね?

この環境の場合では、なにか確認すべき点はないでしょうか?





251 :anonymous :04/03/11 17:44 ID:???
それじゃNetScreenのPPPoE設定についてなんていう
最初の質問自体が無意味

Yamahaルータのサイト見に行くべし


252 :かず:04/03/11 18:05 ID:dapdRlvT
>251
そうかもしれませんが、NSを再起動するだけで接続できるので、NS側になにか
あるのかと思ったのですが、、、


253 :ns:04/03/11 23:35 ID:???
>252

NSはどんな目的で使ってるのかな
ルータがあってNSがあって・・・だけでわ、これ以上は難しい




254 :かず:04/03/12 08:55 ID:RB3CkIxf
>253
FWとしてNATモードで利用しています。
trustとuntrust、ポリシーの設定くらいしかしていないのですが・・・
ほかに何かお伝えするべき情報があれば教えてください。

255 :ns:04/03/12 13:34 ID:???
使ってるPCの台数とか、通信の目的(WEB見るとかメールするとか)
あとはトラフィック量がわかるとなおよさげ

256 :かず:04/03/12 13:51 ID:RB3CkIxf
>255
利用しているPCの台数は、最大で約150台です。
用途は主にWEB閲覧とメールの送受信、ftp。
POP,SMTP,httpサーバー等は外部ホスティングしています。
トラフィック量は、具体的にはわかりませんが、3MB程度の添付付きメール
は、日常茶飯事です。、



257 :ns:04/03/12 15:34 ID:???
>256
NS-25なら問題ない範囲のトラフィックっぽいけど・・・

負荷見るのに手っ取り早いのは Administration Tools (GUIのほうね)で
接続時に最初に表示される画面の Resources Status みること、かな?

ScreenOSのバージョンあげてみるのも手かも

あんま回答になってなくてスマソ

258 :age:04/03/20 18:38 ID:???
set age

259 : :04/03/22 20:08 ID:ROvuLguj
最近は安定しておもろくねえな
昔はsniffer持って走り回ったもんだ

260 : :04/03/22 21:01 ID:???
>>259
面白くないぐらい安定してるバージョン教えれ
有益な情報なら100万くらいだしてもいいぞ


261 :anonymous@ eatkyo056060.adsl.ppp.infoweb.ne.jp:04/03/25 23:33 ID:???
5.0.0系のファームへUpした人いますか?
メジャーアップデートなんでちょっと不安なんです。
もし、体験者がいましたら判るところだけで構いませんので教えてください。

(4.0.3系からのアップを前提で)
不安1 Configはすべて維持されますか?
不安2 アップデート後、自動でVPNは復活しますか?
不安3 リモートからのアップデート作業でも問題ありませんか?
不安4 PPPoEの接続は自動で復活しましたか?
不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?


262 : :04/04/02 21:25 ID:w6YgfOvJ
VerUPリモートってよほど根性ないとできんな
新バージョンのを送って交換後古いのを送り返してもらうとか、もっと考えれんのか?

263 ::04/04/05 11:07 ID:???
>>261
検証無し、VPN越しでFirmwareUpdate
メジャーアップデートでなくても不安なのが普通だと思うが・・・

漏れは日頃からそんな運用している香具師がいること自体が不安だw

264 :○anyany:04/04/08 01:37 ID:???
>261

> 5.0.0系のファームへUpした人いますか?
いくつかやってみました^^;

> メジャーアップデートなんでちょっと不安なんです。
> もし、体験者がいましたら判るところだけで構いませんので教えてください。
>
> (4.0.3系からのアップを前提で)
> 不安1 Configはすべて維持されますか?
とりあえず大丈夫でした。上げたVersionは5.0.0r4です
実験した機種 NS-5GT/5XT/25/204/5200
> 不安2 アップデート後、自動でVPNは復活しますか?
運良く復旧しました。
> 不安3 リモートからのアップデート作業でも問題ありませんか?
とりあえずOKでした。4から5へのアップデートはFileFormat変換やるので、長期にわたって応答がなくなるので不安でした。
> 不安4 PPPoEの接続は自動で復活しましたか?
なんとか復旧しました。
> 不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
これは問題なかった。もっと古いバージョンとも繋がりました
> 不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
勝手には変わりませんでした。
> 不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?
とりあえず、うまくいった。
とりあえずラッキーでした^^;

265 :kk:04/04/08 19:58 ID:+ea7+C+N
ご教授願います。
当方、固定IP1のBフレッツでNS25(4.0.3r4.0)を使っています。

DMZにインターネットからアクセスされるWebサーバを設置したいのですが、
(tcp80とtcp443だけサーバに転送させたい)
固定IPが1個では、WebUIからはVIP設定が出来ませんでした。

コマンドラインから上記の設定って可能なのでしょうか?
やはり不可能なのでしょうか?

よろしくお願いします。

266 :261:04/04/09 02:34 ID:???
>>264

ご丁寧にありがとうございます。
特にリモートアップデートがうまくいくのか不安でしたので、、、
でもアップデート後でも、最悪PPPoEだけはつながることを信じればUntrustのWebUIに
チェックを入れておけば何とかなりそうですね。

>>265

VIPでなくMIPで行けませんか?
Interfaceで作成後、Untrust To Globalでhttpとhttpsをサーバーに向けて許可すれば行
けると思うんですが。

...ところでこの前、5GTのフタを開けてみました。
びっくりしました。NetScreenのASIC(GigaScreen?)が無くなってIntelのワンチップになっていました。
PowerPCも無くなってスカスカです。
てっきり5XTより少し筐体が大きいので、もっとみっちり詰まっているのかと思ってたです。


267 :kk:04/04/09 10:11 ID:???
>>266 (261さん)

ありがとうございます。
すみません。以下のようにすると言う事でしょうか?

untrustのインターフェースのMIP画面で、

 Mapped IP : DMZ上のサーバIP
 Netmask : DMZ上のサーバmask
 Host IP Address : グローバルIP(固定)
 Host Virtual Router Name : "untrust-vr" or "trust-vr"

として、ポリシーの設定で必要ポートを許可する。



268 :-:04/04/11 03:59 ID:3yB3YNxU
リモートアクセスVPN環境を作りたいのですが、こんな事は可能ですか?
・認証はNetScreen内に登録したユーザ名とパスワードを使う
・NetScreen内に設定したIPプールをクライアントに自動的に割り振る
CiscoVPN3000では出来ているんですが。

269 :Phoenix ◆Q3kRG0vwM2 :04/04/11 13:31 ID:???
>>268
できますよ。
LocalDBを使用したXauthの設定で実現できます。
IPpoolも同名の機能があるので問題ないはずです。

270 :266:04/04/14 01:02 ID:???
>>267

Mapped IPとHost IPが逆ですよ。
あとはtrust-vrを選択でOKです。

もちろん1IPをサービスごとに別のサーバにNATをかけたり、ポート変換を行う様なときは
VIPを使って設定します。


271 :as:04/04/14 20:47 ID:VAj1tKsI
>248 :伝書鳩 :04/03/10 09:19 ID:???
>>>246
>バックドアの元凶になる「isakmp」を通す危険性があります。
>これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。

具体的にはどのような問題でしょうか?
Trust→UnTrustへのUDP500をあけたということですよね??
それともUnTrust→Trust?


272 :anonymous@ p6197-adsau16honb11-acca.tokyo.ocn.ne.jp:04/04/14 23:25 ID:???
古屋死ね

273 :267:04/04/15 21:36 ID:???
>>270 (266さん)

ありがとうございます。
あれからよーーくマニュアルを読み返したらMIPで実現可能なのを見つけました。

現在は問題なく稼動しています。ありがとうございました。

274 :anonymous@ usen-221x114x239x253.ap-US01.usen.ad.jp:04/04/16 04:04 ID:???
非常に初歩的な質問で申し訳ないのですが、
NS5GTは、最大トンネル数が10ですが、
Netscreen-Remoteからの通信も1トンネルとしてカウントするんでしょうか。
2つの拠点にそれぞれ5GTを設置してVPNを構築し、

それとは別に20台のリモート端末からのアクセスを考えているのですが、可能なのでしょうか?

275 :○anonymous:04/04/16 10:15 ID:???
>274
Remoteからも1トンネルです。

同時に20台、、で無ければ(トンネル上限を超えなければ)可能です。


276 :まな:04/04/16 11:22 ID:uzYeNrGR
NetScreen25の保守なんですが、保守にはいってもScreenOSのバージョンアップ
は、年に1度しかできないといわれました。年間何度でもバージョンアップするなら
9万くらいかかる別の契約を結ばないといけないらしいのですが、どこでもそうなの
でしょうか?



277 :○anonymous:04/04/16 11:40 ID:???
>276

NS25のソフトウェアサブスクリプションは、年額9万円で、
これを支払わない限り、購入後3ヶ月(だったかな?)の
バージョンアップ以外は「ライセンス違反」だったと思うのですが。

年に1度もダメだった筈ですけど、どこのベンダさんかな?


278 :まな:04/04/16 12:02 ID:uzYeNrGR
購入後90日までは別として、保守契約を結ぶと1回はバージョンアップできるようなんですが、
これも、はっきりしてません。
やはり、年間通してバージョンアップするには9万かかるんですね。。
保守は、ファーストデリバリーとかいってました。。

有難うございました。

279 :on:04/04/16 13:15 ID:???
>>275
グルーピングすれば、グループで1トンネルって聞いたことがありますが、
ガセでしょうかね。
リモートは使ってないんで試せないですが。

280 ::04/04/16 14:09 ID:???
>>278
修理交換扱いでバージョンアップするとか?
277さんじゃないけど、ベンダがどこか気になる。

281 :だちょ:04/04/16 14:47 ID:uzYeNrGR
おせわになります。
暗中模索状態なので、よろしくお願いします。
NetScreen25を利用してEth2をDMZとして利用したいと考えています。
そのDMZに公開用WEBサーバーを設置したいのですが、
いろいろ調べているのですが、LAN内にあるサーバーに対してMIPで
見に行く方法はわかったのですが、Eth2を使う場合がよくわかりません。
マニュアルのどのあたりをみるべきなのかもわからない状態です。
よろしくお願いします。


282 :anonymous@ p5160-air01hon128k.tokyo.ocn.ne.jp:04/04/16 15:56 ID:X6tgI/CC
DNSリレーを利用することってできないのでしょうか。。。

283 :anonymous@ YahooBB219028200006.bbtec.net:04/04/16 22:40 ID:b2ppBQU6
netscreen50にns-remote8でvpnで通信してます。
Yahoo!BB経由でアクセスすると
すこし大きなファイルを転送すると通信が止まります。
mtuの問題でしょうか?
どなたかYahoo!BBでの実績があれば教えてください。

284 : :04/04/17 01:52 ID:???
>>281

基本は5XT等の場合とおなじです。
UntrustのInterfaceでMIPまたはVIPを設定して、ポリシーでUntrust to Globalでサービスごとに
Permitを決めるだけです。
この場合、DMZへ向かうポリシー設定をしていないように感じますが、MIPでHostをDMZに向け
たときにマッピングされているので不要になります。



285 :maa:04/04/17 03:53 ID:???
すみません全くのシロウトなのですが。だれか教えて。。
netscreen-remote8.1で自宅PCから会社のLANに繋ごうとしているのですが、
うまくいきません。自宅はADSL yahooBBモデムで自宅内で無線LANしています。
会社はNetscreenではなくFaitelnetなのですが設定済みで
他の人の自宅からは問題なくRemote接続できます。(ブロードバンドでも
なんでもない接続)
ぅぅぅ誰か教えてぇ〜

286 :名無し:04/04/17 10:04 ID:???
>285
Yahoo BBモデムの仕様は知らないけど
NAT-Traversal回りの設定じゃないのかな。

直接ダイアルアップは動いているっていうし。


287 :DI:04/04/17 11:40 ID:???
>>281

>>284のようにしてもいいし、DMZにグローバルアドレスふって、Untrust→DMZのルール
を書いてアクセス制御してもいいです。
後者の場合、上のルータにルーティングがいるけどね


288 :sage:04/04/20 22:41 ID:hIEU3vPh
eth1 trust(private)、eth3 untrust(global)でLAN間VPNさせるんですが、
tunnel.1作ってトンネル掘るときに、unnumberedでつけるインタフェースは
eth3ですか?eth1ですか?普通に考えると(マニュアルでもそうなんですが)
素直にglobalのついてるeth3を持ってくるんですが、privateのeth1を設定
するというのもあうらしいのですが、どっちが普通の作法なんでしょうか?


289 ::04/04/21 14:54 ID:???
USサイトが知らない間に・・・(´Д`;オモイ ミニクイ

290 :?:04/04/21 23:38 ID:???
>>289
SecurityAdvisoriesとSecurityNoticeのページが分からなくなっちまいました
何とかしてくれ

例のRST-AttackについてのJuniperからのレターにも
NetScreenに関する記述が含まれてました

もう完全にJunperなのね



291 :anonymous@ pl008.nas931.ichikawa.nttpc.ne.jp:04/04/23 01:26 ID:???
ジュンパー

292 :anonymous:04/04/23 11:43 ID:???
このスレはこれからジュンパースレに変更になりますた



293 :junper:04/04/23 12:08 ID:???
ジュニパー、ネットスクリーン買収後の事業を語る
http://japan.cnet.com/news/biz/story/0,2000050156,20065634,00.htm


294 :しげ:04/05/01 17:14 ID:???
どなたか、NetScreenの設定方法を教えてください?
それと、VPNの設定方法も教えていただければ助かります。
5GTです。

295 : :04/05/01 18:22 ID:???
>>294
http://www.juniper.net/netscreen_com.html

296 :Phoenix ◆Q3kRG0vwM2 :04/05/01 18:22 ID:???
マニュアルみたらできる程度だよ。NSは。

それと、あんまりにも質問が漠然としてると答えづらいので
もっと絞ってもらえると回答しやすいと思います。

297 :なべちゃん:04/05/03 00:40 ID:???
>>285

私もNetScreen 5GTとNetScreen-Remote v8.3でVPN接続させようとして
いるのですが、Air-H"でprinに接続すると目的のマシンと通信できるの
ですが、ブロードバンド(NATルータ配下)のPCからはVPNセッションは
張れるのに通信が出来ません。
AutoKeyIKEでNAT-TraversalとUDP Checksumもチェックしています。

実際に使われている方教えてください。

298 :サポート打ち切りが怖い:04/05/05 17:08 ID:???
>>297

UDP Checksumは外しましょう。
あとフラグメントしてない?

299 :(≧∇≦)ぶぁっはっはっ!R32 ◆HCR32tw5Hg :04/05/07 19:27 ID:???
5GTのantivirus機能とかどうですか?
エンジンはトレンドマイクロのを使ってるみたいだけど、
mailは大丈夫として、HTTPとかFTPダウンロードにも対応できてるんでしょうか?
資料取り寄せたけど、あまり詳しいことが載ってないんで。

300 :anonymous@ YahooBB219009156051.bbtec.net:04/05/11 00:48 ID:s/s95uJ7
地域網でNSRPって透過出来ましたっけ?

301 : :04/05/11 01:09 ID:???
地域網経由でNSRPってなにを考えてるんだ?
NSRPは冗長化に使うもの

まあ、Ether系サービスでNSRP使うのはありかもね

302 :anonymous@ ip244.rakuten.co.jp:04/05/12 22:07 ID:nlGXlhqx
NSには電源やFANの状況を確認するコマンドはないのですか?

303 : :04/05/12 23:47 ID:???
もし電源状態が確認できるコマンドがあったとして、
電源がオフになったのをどうやってそのコマンドで確認する?

304 :nannd:04/05/12 23:52 ID:???
二重化だったら

305 : :04/05/12 23:57 ID:???
>>304
Netscreenに電源二重化構成ができる機器はないとおもったが?

306 : :04/05/13 00:46 ID:???
>>305
もしかして、NS-5400なんてご存知ない?

電源故障は、SNMPtrapかsyslog(たしかsyslogのほうだったと思う)が出るはず
ただし、二重化できない機種で電源コード抜いてみたり試験したけど出なかった

307 :login:Penguin:04/05/13 00:51 ID:???
>305

NS500でも出来たが。>電源二重化。


308 :fs:04/05/17 19:52 ID:ACBiSB60
NSのトランスペアレントモードにてVPNができるようだが、以下のような仕組みで宜しいのでしょうか?
 ※LAN_AとLAN_Bを通信(VPN)行う
  環境図)
 LAN_A-NS_A--Gw---Internet---Gw--NS_B--LAN_B





309 :sage:04/05/18 00:59 ID:???
ISG-2000ってどうよ?
誰か評価機触った人とかいる?

ASICがGigaScreen3になっててCon/SecはNS-5400より出るって話なんだけど、
NS-1000みたいな大コケをかまされるのが怖い、、、


310 :fs:04/05/18 15:47 ID:ar9Xbbbo
お世話になります

以下の環境では何か問題がありますでしょうか?

Internet

Netscreen-------------YAMAHA Router----HUB★---PC1…10

 −−−−−−−−−−−−−−−−−−−−↑HUB★へ



●Netscreen:
  Trust 192.168.1.254
  セカンダリ 192.168.2.254

●YAMAHA Router
  WAN側 192.168.1.1
  LAN側  192.168.2.1
●PC1-5
  192.168.2.11-15 デフォルトゲートウェイ 192.168.1.1
●PC6-10
  192.168.2.16-29 デフォルトゲートウェイ 192.168.2.254

以上宜しくお願い致します

311 :sage:04/05/20 02:07 ID:???
正直ちゃんちゃらおかしい

もう一度TCP/IPの基礎から出直してこい
ネットマスクは?デフォのDHCPは切るんだろ?
だいたい何をしたいんだ?

312 :NS名無しさん:04/05/22 11:34 ID:???
>310
うん、何か問題はありますよ・・・



313 :anonymous@ g4.krnet.ne.jp:04/05/24 10:29 ID:Zo1oJDi9
VIPって、ポートサービスを追加したとき、
再起動が必要ってマニュアルに書いてあるけど、
どうして再起動が必要なの?

314 :anonymous@ 219.120.55.172:04/05/27 09:22 ID:yeUkkMSE
Netscreenルータ使ってUSENの回線で、
サーバ公開している方いらっしゃいますか?
サーバアドレスNAT使わずグローバルIPで・・・

315 :ななし:04/05/28 13:51 ID:???
>>314
MIPだけどUSENで鯖公開してるよ。


316 :757:04/06/05 12:14 ID:33X11SOg
NS5XTのバージョンアップをするつもりなのですが、
バージョンアップの情報はあるのですが、ダウンの情報が
マニュアルにありません。
バージョンアップもダウンも同じ手順なんですか?

317 :anonymous@ 91.pool7.ftthtokyo.att.ne.jp:04/06/05 17:51 ID:RlVcauKN
NetScreenってプロキシの内側におけないの??
10080で動かないとかいう人がいるんだけど。。。

318 :sage:04/06/06 02:09 ID:???
>>316

ScreenOS5.0系から4.0系へのダウングレード方法(PDF)
http://sc-comtex.sse.co.jp/products/netscreen/images/os50_downgrade.pdf



319 :anonymous@ r114072.ppp.asahi-net.or.jp:04/06/14 07:21 ID:ePBj57Fy
Netscreen25で拠点間のVPNを会社に導入しようと思うんですが、
業者に設定と設置を頼むとどのくらい費用かかりますか?

320 : ◆v9UHi4tk/w :04/06/14 09:17 ID:???
>319

何拠点?
地域は?


321 :anonymous@ YahooBB219002136031.bbtec.net:04/06/14 10:06 ID:uw6U1MQt
センター1つに拠点1つで都内です。

322 :anonymous@ h194172.ppp.asahi-net.or.jp:04/06/14 12:18 ID:???
>>319
東京なら1対1の接続なら20万(拠点あたり10万)くらいでやるところ
あるんじゃない?
しかし、なぜ25。5GTでもよさそうな気がするが。
25も5GTもVPNのスループットはカタログ値で20Mbpsだけど。

323 : :04/06/14 21:02 ID:???
>>319
会社の社内ネットの構成を調べて、既存ネットワークとの整合性やら、
ルーティングやファイアウォールの設定やメンテナンスのコンサルに付き合うのであれば金かかるけど、
こういう設定にしろってシートに記入してその通りに設定するだけなら
わりあい安くやってもらえるんにじゃない?

で、どの程度のコンサルが必要なんでしょう?

あと、全国展開で保守もいるなら、大手に限定されてくる予感

324 :anonymous@ z44.219-103-202.ppp.wakwak.ne.jp:04/06/15 15:48 ID:???
>323

NSの保守なら、RとかAが全国展開で請け負ってくれるから、
別段、中堅どころで困らないと思うよ。

もちろん、指揮管理がしっかりしたところでないと困るのは当然だけど

325 ::04/06/17 14:38 ID:???
ハブアンドスポーク環境のNetscreen5XT数台を
ScreenOS3.0.3から5.0.0へアップグレードを考えていますが、
設定変更無くアップグレードできますでしょうか?

4.0系からProxy-IDを使う形に変わってるので不安があります。

326 :お前名無しだろ:04/06/18 13:38 ID:???
プライベートIPのLANをRTX1000でBフレッツに繋いでます。
外部にあるNetscreenにNetscreen-remote入れたLAN内の複数のクライアントを
繋ぎたいんだけど、RTX1000越えって出来ます?
ちなみに1台だけだったら繋がります。
2台目のセッションを張ると1台目が落ちます。
RTX1000ではUDPの500番とESPは空けてます。


327 ::04/06/18 13:58 ID:???
>>326
NetscreenとRTX1000をVPN接続しては?

328 :お前名無しだろ:04/06/18 14:06 ID:???
>>327
諸々の事情がありまして、そうもいかないんすよねぇ・・・。

329 ::04/06/18 15:17 ID:???
>>328
だと、>>326の状態で使うしかないですね。

330 : :04/06/19 16:25 ID:???
ひっかかるのってNATでしょ?
NetScreenとNetScreenRemoteってNATトラバーサル無かったっけ?

331 ::04/06/19 19:45 ID:???
>>330
Netscreen-remoteはNAT-Traversal対応でしたか・・・
失礼いたしました ターン ;y=ー(´Д`;)・∵. アーハズカシイナ モゥ

332 :_:04/06/29 16:19 ID:???
質問させていただきたいのですが、Netscreen-RemoteでセンターのVPNルータと
接続を行っているとき、センター側の回線が落ちてもNetscreen-Remote側で古い
VPNセッションを保持してしまい、センター側が復帰した際にpingがうまく飛ばな
くなってしまいます。
手動で接続をし直せば、特に問題は無いかと思うのですが、Netscreen-Remoteの
設定(keepaliveで監視等)で、障害等があって復帰した際にセッションをその
都度に自動で張り直す等の設定は可能なのでしょうか?

333 :__:04/07/07 03:13 ID:???
>>332
解決してるかもしれんが、一応。
NSRにkeepaliveって概念が無いから、張り直ししないとダメじゃないかなぁ。
どうしてもそれがイヤってんなら、マニュアルキーっつー手もあるけど、
オススメはできないなぁ。

334 : :04/07/08 00:31 ID:???
http://finance.yahoo.com/q/bc?s=JNPR&t=6m&l=on&z=l&q=l

335 :Phoenix ◆Q3kRG0vwM2 :04/07/09 02:31 ID:???
記憶が確かなら、NSremoteはセッション監視機能に対応していなかったような・・・。


336 :ななし:04/07/09 23:46 ID:???
NS-5GTをScreenOS5.0.0で使用しているのですが、
ほとんどトラフィックが無い状態でもMemoryAllocateが
46MByte位になっています。
こんなにメモリを使用するものなのでしょうか?

同じような状態のNS-50(4.0.0)は20MByte未満です。

337 :OSX:04/07/10 12:04 ID:???
netscreen25とMAC OSX(i-book)をVPN接続したく考えてます。
どなたか成功した人いますか?


338 : ◆v9UHi4tk/w :04/07/11 01:56 ID:???
>337

FreeのRemote-VPNツールがあるよ。
具具ってごらん


339 :Tunnel:04/07/25 11:15 ID:???
箱にJuniperのロゴが入ってきているね。

340 ::04/07/26 17:34 ID:???
>>339
5.0.0r8にうpしたらロゴが変わったけど
箱のロゴも変わりましたか〜

341 :anonymous@ nttfad4-144.246.ne.jp:04/07/29 01:38 ID:???
これ使ってれば外部からの進入は防げますか?
また、進入された場合には必ずログに残りますか?
気付かずに進入・改ざんされるケースもありますか?

初心者なのであほな質問してるかもしれませんが、、、

342 :名無し:04/07/29 02:46 ID:???
>341
防げません(サーバなどのセキュリティホール)
ログに残るとは限りません(ログは改ざんされると思え)
気づかずに侵入・改ざんされるケースは、あります。

これらは、全てのFW製品に共通する返答になります。


343 ::04/07/29 09:13 ID:???
>>341
環境を具体的に書かないと答えは得られませんよ。

公開サーバはありますか?

ある→ポリシーに基づいてNSを通過(正規のアクセス)できます。
    NSには指定されたプロトコルのアクセスログは残ります。
    NSにはアプリケーションレベル(そのアクセスで何をしたか)のログは残りません。
    公開サーバの穴を掘られたら公開サーバは改竄される可能性はあります。

なし→ポリシーが(NATならリダイレクトも)無ければ進入できません。
    マスカレードであれば宛先が不定になるので進入は困難です。

※NSのセキュリティホールがゼロとは言い切れませんので例外もありあます。
  ポリシーが無くてもトロイやウィルスなどにより進入を許す場合があります。

344 :anonymous@ eAc1Ajy148.tky.mesh.ad.jp:04/07/29 22:46 ID:31C/m92P
gateなんて限界があるとは知りませんでした。(;_;)
NS-5/10/25/50すべての機種で、たった256だって。
ダマされた。


345 :anonymous@ M064248.ppp.dion.ne.jp:04/08/02 14:35 ID:FV7nocFr
NetScreen50(Screen OS 4)で、MIP定義して、static nat経由で
FTPサーバにアクセスしようとしている。
FTP passiveモードでNSがPASV応答(227応答)を
書き換えたり、書き換えなかったり、動作が不安定で
こまっとる。流れてるパケットを調べたら
PASVコマンドが乗ったパケットと
PASV応答が乗ったパケットの間にACKパケットが割り込んだときに
書き換えをサボりやがる。同様事象で悩んで、解決したやつはおらんかい?

346 :anonymous@ flets-a-west-13-88.dsn.jp:04/08/02 16:01 ID:UyOjWaa4
いつもお世話になります。
NetScreen5GTのDHCP機能で、autoに設定した場合、IPアドレスの割り当て範囲はどのように決められてるのでしょうか?

347 :anonymous@ biza388.mind.ne.jp:04/08/04 10:16 ID:E1toLgGC
NetScreen の SSH にバグが出たね。
今日Alertメールがきた。

http://www.juniper.net/support/security/alerts/screenos-sshv1-2.txt

SSHv1を動作させているNSはすべて駄目じゃん。これヤバいなぁ。。。



348 : :04/08/04 22:20 ID:???
unset int hogehoge manage scs

349 :?:04/08/05 00:51 ID:???
>>345
ほとんどのNAT箱やFirewallってそういう作りでは?
PASVに対してデータ無しACK返すようなFTPサーバはそっちを直させるべきでしょう

>>347
恐ろしいぐらいどうでもいいバグかと
不特定のノードからSSH受け付けてるようなFirewallは
バグがどうのとかいう以前の問題

350 :anonymous@ px.eden.or.jp:04/08/06 19:44 ID:YGmNtUKm
NetScreen-Remote の日本語設定マニュアルってないんですか??
代理店にもWeb上にも英語版しかないのですが。。。
よろしくお願い致します!

351 :anonymous@ YahooBB220009100006.bbtec.net:04/08/12 04:05 ID:RxDpLks1
すみません。
くだらないことかもしれませんが、教えてください。
5GTでトランスペアレントモードの設定の仕方を教えてください。
マニュアル読みたいのですが、持っていません。
本体のみ手に入れました。
よろしくお願いします。

352 ::04/08/12 09:14 ID:???
>>350 >>351
このアホタリども。
ちゃんと探してから質問しろ。


















ほれ。

日本語マニュアル
http://www.juniper.net/techpubs/software/screenos/screenos5x/translated/index.html#jp
Version 3.x.x以下なら英語マニュアル
http://www.juniper.net/techpubs/software/screenos/screenos5x/

353 :351:04/08/12 11:44 ID:RxDpLks1
>>352さん

無事繋がりました。
ありがとうございました。


354 :345:04/08/13 23:11 ID:WZ9SIvJP
>>345
に自己RES. ScreenOS 4.Xの最終版にファームをUPしたら直った。

>>349
それ本当かい?オイラはお里がサーバアプリ屋で
L7以上が本丸なんだが、TCP/IPソケットのPGレベルで、
データ無しACKパケットを出す、出さないなんて、
制御を陽にコーディングするもんだろうか?
proftpdのソースコード中のPASVを受け取って、
227応答を返す間の所にsleep(1秒)を挿入しただけで
OSのTCPレイヤが勝手にデータ無しACKを飛ばしてしまうぞ。
「殆どのNAT箱、FWがそういう作り」
と言われてしまうと途方にくれてしまうなぁ。






355 :anonymous@ z169.211-19-84.ppp.wakwak.ne.jp:04/08/14 06:39 ID:boX3rqY0
素人でもうしわけないのですが、質問です。。
Netscreen-remoteを設定したのですが、認証はされているようなのですが、
Inbound packet failed validation VPNクライアントのIP->現在接続しているIP
上記のエラーがでて繋がらないのです。。。
原因がわからず困ってます。。
教えてください。。

356 :anonymous@ 210.249.106.32:04/08/19 11:56 ID:???
ADSLなどに直付けしているPCに既にPersonalFirewall(いろんなメーカーのもの)がインストールされていて
そこにNS-RemoteV8をインスコしようと考えていますが...
Routerとか介してなくネットに直付けなのでNAT-Tは関係ないと思いますが、
やっぱFW上でいくつか穴を開けないとだめでしょう?

実際に、上記のような環境でVPN接続されている方、何か注意することなどあったら
教えて欲しいんでつけど

よろしくおながいしまつ



357 ::04/08/19 13:20 ID:???
>>356
注意する点は・・・

質問の時に「PersonalFirewall(いろんなメーカーのもの)」と言うアバウトな表現をしたり
「インスコ」「でつけど」「おながいしまつ」とか書いたり
「やっぱFW上でいくつか穴を開けないとだめでしょう?」と自分で断定したり
「NAT-Tは関係ないと思いますが」と関係ないと思うことを書いたり

と、言う点でしょうか?

358 :>355:04/08/19 14:39 ID:???
>>356
それは失礼いたしました。以後気をつけます。
SygateではOKなのですね。

いろんな...と、あやふやに記述したのは、実際のClientが決まっていないからです。
決まってないとはいえ、昨今の状況からしてそれぞれPersonalFirewallなどは
SymantecさんところのInternetSecurityなどを初め、インストールしている端末が
殆どだと思うので、あえていろんなと書いてみました。

今のところ、NS-RemoteとPersonalFirewallとの相性が感覚的に大丈夫かどうかを聞きたかったためです。
感覚的にと言っても、やはりある程度の筋道は把握しておきたかったので
一般的には、VPNを構築する際にIKEで使用するUDP500ポートを開けなくちゃならん?とか
いうセオリー通りの情報ではなく、実際にやられた組合せで相性の問題のようなもので駄目だったとかいう
事をお聞きしたかったのです。

ということで、改めて、そういう情報をお持ちの方がいらっしゃったら、情報として教えてくれませんか?




359 ::04/08/19 15:36 ID:???
>>358
茶々いれてスマソ。
この手のスレで情報欲しい時は2ちゃん用語使いまくると
誰もパケット投げてくれないのでツッコミますた。
漏れ的にはオケーでつ。

SygateがOKと言うのは、一般的に無難だとか試行錯誤した結果だとかではなくて
NS-Remoteのマニュアルに設定方法等が載ってるからです。
# ReleaseNoteにも良くNew Sygate Personal Firewall codeとか載ってます。

私は安全パイでSygateを利用してますので他は試してませんが
Sygateを利用する分にはVPNを意識した「特殊な」設定はいりません。

360 :NSユーザ:04/08/20 03:15 ID:???
っていうか、もう少し詳細なLog Viewerのログみせてくんないと
誰も答えてくれないかと。
購入先のサポート受けれないわけ?

361 :>355:04/08/20 09:23 ID:???
>>359
もちろん購入してたらサポートに聞きます。
ですが、残念ながら購入前です。
実際に、物(NT-Remote)もありませんので。
一般論として、導入前の調査ということで捕らえていただければよろしいかと。
購入前ということで、メーカーにも相談してみましたが、実際に納得のいく回答は得られなかったので
ことらで、ポストしてみました。
ということで、実際に物があって繋がらない...から助けて!!って言うものではありません。
購入済で問題があるのであればあれば、勿論自分で調査します。


362 ::04/08/20 10:30 ID:???
>>361
> Netscreen-remoteを設定したのですが、認証はされているようなのですが、
> Inbound packet failed validation VPNクライアントのIP->現在接続しているIP
> 上記のエラーがでて繋がらないのです。。。
> 原因がわからず困ってます。。

どう見ても、「実際に物があって繋がらない...から助けて!!」なんですが・・・
「購入前なんですが、エラーが出て繋がらない」と質問を受けたメーカー(Juniper!?)に同情します。

つーか、レスアンカー間違ってるし。
ひょっとして、釣られた?w

363 :>自称355:04/08/20 12:21 ID:???
どうも..>>310辺りで、記号を使っているからか?使用しているビュアーのアンカーがずれ始めてる...
私は繋がらないクンではありませんでしたが、誤って
> っていうか、もう少し詳細なLog Viewerのログみせてくんないと
> 誰も答えてくれないかと。
> 購入先のサポート受けれないわけ?
に反応してしまいました。すいません。
私はパーソナルファイアーウォールくんです。( ´△`)アァ-



364 ::04/08/20 12:47 ID:???
>>363
了解w

365 :anonymous@ usen-219x123x157x82.ap-US.usen.ad.jp:04/08/20 15:05 ID:KAPFMvRu
NSってNFS普通に通る?
NFSはサポートしてると書いてあるけど、それってポート固定しないとダメってこと?

エロイ人教えて。

366 ::04/08/20 17:53 ID:???
>>365
固定してくらさい。

367 :NSユーザ:04/08/21 00:27 ID:???
>>355
おまぃ、ややこしいよ。
どう見ても、おまぃに掛けたレスじゃないだろ。
まともに読めないなら、ブラウザで嫁。

368 :anonymous@ cn114.ade.point.ne.jp:04/08/21 01:22 ID:bMdkDu5P
5gtにインターネット経由(p-in)でNSRで接続させたいんですけど
phase2が終わった後に
Failure finding or creating filter entry
Key Download faild
Error downloading key
Fail loading the keys
ってLogViewerにでます。

設定内容としては
ObjectsからUserを作成しそのユーザでXAuthして
特定のIPpoolを割り当てるということをしようとしています。

コネクションを張るときにXAuthの画面は表示され
認証に成功してPingが飛んだと思いきや存在しないホストに
Pingを飛ばしても応答するという状態になっています。
実際Pingの宛先のマシンでパケットキャプチャしてもパケットは
飛んできてないようです。

ハマって抜け出せない状況です。
どなたかご教授願えませんでしょうか?

369 :H:04/08/24 20:53 ID:lxdqDwCu
>368
そのPCって、結構いろんなソフトはいってる?
特にセキュリティ関係の。

370 :age:04/08/24 23:51 ID:kwpaWRBQ
>>365
NFSこそ、gateの制限に引っかかるぞよ。
ベンダーの担当者、つかまえて、これに触れないようなら、縁切るべし。
悪いことは言わないヨ!

371 :anonymous@ ntoska121120.oska.nt.ftth.ppp.infoweb.ne.jp:04/08/27 03:15 ID:???
>370
そのgateって何なのよ???
気になる〜

372 :age:04/08/27 21:50 ID:W/PArrQV
>>371
リファレンスマニュアルに "get gate" として説明がある。
"set gate" は、存在しないのがミソ!

373 : :04/08/28 12:42 ID:???
だから、エンタープライズ用途はFW-1にしとけって
Web系やエッジならNSで

374 :anonymous@ pl017.nas511.ta-tokyo.nttpc.ne.jp:04/08/28 17:53 ID:ixHRSeFs
NetScreen50とNetscreen-remote間でVPN接続した際に
通信するプロトコル(例えばFTPだけとか)を制限する
方法・設定はあるのでしょうか?

375 ::04/08/28 18:25 ID:???
>>374
ScreenOSのバージョンは?

376 :a:04/08/29 04:51 ID:???
>372
これですな。

gate

Description:
Use the gate command to check the number of gates on the NetScreen device,
how many are in use, and how many are still available.
Gates are logical access points in the firewall for FTP and similar applications.
The NetScreen device creates the gates, then converts a gate for each new session
when data traffic occurs.

The default number of gates on NetScreen devices are:
NetScreen-5000 Series 8192
NetScreen-500 4096
NetScreen-200 Series 1024
NetScreen-100 1024
NetScreen-25/50 256
NetScreen-5XT 256
NetScreen-5GT 256

377 :anonymous@ p2245-ipbf606marunouchi.tokyo.ocn.ne.jp:04/08/31 18:02 ID:???
Netscreen 5XT と、PLANEX BRC 14V を IPsec で、VPN 接続させようと
思っているのですが、実績はあるのでしょうか?
回線は、双方共 Bフレッツ ニューファミリーで繋ごうと思っています。

もし、繋いだ実績情報などありましたら、教えてください。
他の製品でもかまいません。
宜しくお願いします。



378 :ねとすくりーん:04/09/01 13:00 ID:???
>377
Netscreen50 <-> YAMAHA RTX1000 でIPsec でVPN作ってますが
構築方法は、YAMAHAのサイトのFAQでハケーンしてくらはい。



379 :ねとすくりーん:04/09/01 13:56 ID:???
>>374
それって、Netscreen50側でポリシー設定するんじゃいけないのか?
Untrust → Trust(DMZ)で?!
もしくは、Netscreen-Remote側の製品で
最近 Netscree-Remote security clientってのがあるけどこれを
を使えば、remote側でもできるんでは?
#使ったこと無いから推測でしかないがな

380 :netscreeeeeen:04/09/02 00:37 ID:???
policyMIPが5.0.0代から使えるようになったんですね。
C&E P.292にありますけど勘違いでしょうか。

381 :N:04/09/04 01:25 ID:ZVZqSYZS
素人な質問なのですが、教えてください。
5GTで、PPPOEにてb-fletsに接続したいのですが、
untrust側にIPがふられません。

LOGは、こんな感じです。
PPPoE session started negotiations
Failed to set PPPoE interface IP address.
PPPoE failed to establish a session: LCP,CHAP/PAP,IPCP link setup
Point-to-Point Protocol over Ethernet(PPPoE) settings changed.

WEBUIにてユーザー名とパスワードの設定をして、
後は、auto-connect,lcp-echo-timeout,lcp-echo-retries
この辺の値を変えたりしましたが、だめでした。
よろしくお願いします。


382 :?:04/09/04 09:41 ID:???
>>380
policyMIP?
ポリシーベースのスタティックNATって意味ならできるみたいですよ
まだ試してませんが


383 :M:04/09/04 11:42 ID:P8YTh5NK
超初心者です。
どなたか、Netscreen5XTのOSのバージョンアップ方法を教えてください。

WebUIのConfigureの画面でSoftware Updateのテキストボックスにファイル名を入力
してApplyボタンをクリックしたのですが、更新されません。
5分後に再起動がかかるとメッセージが表示されるのですが、再起動が掛かり
ません。特別な管理者アカウントがあるのでしょうか。
バージョンは3.0.3r2.4です。

宜しくお願いします。


384 ::04/09/04 20:22 ID:???
>381
interface,user,password,Authenticationに間違いは無いですか?
今までそう言うトラブルが無かったので見当がつきませんです。

>>383
特別な管理者アカウントは無いですよ。
一つ前のもの(駄目ならそれより古いもの)にUpしてからではどうですか?

385 :N:04/09/04 22:00 ID:ZVZqSYZS
>>384
interface=untrustにてPPPoE設定。(interfaceはUPしています。)
Authentication=auto(一応全部試してみました。)
user,passwordに間違いありません。
→プロバイダより、認証サーバーからOKは返していると言われました。

あと、Bound to interface の設定値って関係ありますか??
今は、[untrust]になっていますが、[trust]にすると
WEBUIが繋がらなくなってしまいます。

386 ::04/09/05 12:35 ID:???
>>385
Bound to interfaceはuntrustで良いですよ。
各パラメータはデフォルト値で問題が起こったことはないですね。

一度、unset allで工場出荷時に戻して設定してみては?

387 :N:04/09/05 22:40 ID:Zrt52ovj
>>386
たびたびレスありがとうございます。
もう一度最初から設定してみます。

388 :anonymous@ 219.166.0.1:04/09/06 15:04 ID:B4M1LrTJ
Netscreen(L2TPのみ設定)とWindows(L2TPのみ設定)でVPN接続はうまくいったのですが、
Netscreen(L2TPのみ設定)とNetscreen(L2TPのみ設定)でLAN同士の接続って出来ないのでしょうか?
説明書にもIPSecにはLAN間設定例があるのにL2TPにはクライアントとの設定例しかないし、GUIのメニュー
にも無いようです。

389 :anonymous@ 219.166.0.1:04/09/06 15:05 ID:B4M1LrTJ
あああ

390 :Net:04/09/07 11:47 ID:gntNT7uq
初心者です。どなたか教えてください。
Netscreen5XTを3箇所で使っています。
ブラウザにtrust側のIPを入力し、WebUIのメニューを表示させようとして、
Admin Nameとパスワードを入力したら、それまでは表示されていた
メニュー画面が表示されず「ページを表示できません」と表示されて
しまいました。(インターネットで間違ったアドレスを入力した時と同じ表示です)

そこでサポセンに教えてもらってuntrust側からポートを開いてWebUIを
有効にするとuntrust側からのブラウザ表示はOKでした。
通信状況は問題ないようです。
原因を探るために
@OSのバージョンが同じ代替機にConfigを移し変えてみる
A代替機のOSを4.0.1r9から段階的に5.0.0r8までバージョンアップ
をやってみましたが状況が変わりません。
1週間が経過しましたがサポセンはまだ「原因調査中」なのです。
どうやったらtrust側でWebUI表示ができるのでしょうか?

よろしくお願いします。

391 :M:04/09/07 12:50 ID:0NK1/pe0
>>384
鳩さん、回答ありがとうございます。
現在のバージョンの直後のリリースで試しましたが結果は同じでした。
TFTPサーバを使用する方法を試すしかないのでしょうか。

気がついた点ありましたらお願いします。

392 :ねとすくりーん:04/09/07 14:36 ID:???
>>390
問題のあるコンフィグを他の個体に入れてみるのは可能なのか?
同じ現象がおきるなら、configの設定に問題があるんだろうな
policyを一旦全てdesableにしてみるとか、もっとやってみる方法は
ないのか?
よくある話、何にもしてないのに出来なくなったと言う糞ユーザ
いるけど、なにか変更とかした後の出来事じゃないのか?
変更箇所を疑うべしだな...
しかし..OSの5系まで上げてしまっているのか_| ̄|○
ちとはやまってないか?
policyやら、AddressList、VPN関係なんかの部分を外して
コンフィグ晒して見れここに
なんかレスあるかもよ

393 :ねとすくりーん:04/09/07 14:42 ID:???
>>390
今更...とは思うが...
set admin manager-ip
の設定ミスではないだろうな....

394 :Net:04/09/07 18:30 ID:8rH83i4D
レス有難うございます
>>392
サポセンが持ってきた代替機にconfig移し替えたんですけど
結果は同じでした。
 
>しかし..OSの5系まで上げてしまっているのか_| ̄|○
>ちとはやまってないか?
サポセンの勧めです。最近この板呼んでなかったもんで‥
5系はまずいですか? 全て5系にしちゃいました。

>>393
set admin manager-ip確認しましたがOKです
サポセンにconfigを提出済みですがわからないそうです

configはこの個所でいいのでしょうか?
初心者なもので的外れだったらすいません

set interface untrust mtu 1492
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
unset interface trust manage snmp
unset interface trust manage ssl
set interface untrust manage ping
set interface untrust manage ssh
set interface trust dhcp server service
set interface trust dhcp server auto

よろしくお願いします。

395 :ねとすくりーん:04/09/07 20:14 ID:???
>>394
貼ってある部分が致命的というようなことはなさそうだけど
アクセスできないConfigは他の個体に入れても同じ現象になるのであれば
ハードの問題ではなさそうだな...
WebUIアクセス不可の状態で、Trust側のネットワークから、FWにはPingは
通るんだよな?
LANケーブル断線などということも無いよな?この際だからなんでも疑ってみる。

config全部見てみたいが、それもまずいので
どうだこの際、工場出荷時に戻して、再度構成しなおすというのは。

うまくいけば、両方のコンフィグをつき合わせて、おかしかったところを
報告してみろよ。

ちなみに、アクセスできなくなったとき、何やったんだ?
そこのところが気に掛かるな



396 :anonymous@ 112.20.244.43.ap.livedoor.jp:04/09/07 23:29 ID:uU5C6ukD
>>395
レス有難うございます。

>ちなみに、アクセスできなくなったとき、何やったんだ?
>そこのところが気に掛かるな
NetScreen5XTを3台使っていて、1台追加する必要があったので
新規の1台と使用中の2台のconfigを書き換え、最後に問題の1台の
メニュー画面を開こうと、いつものようにブラウザのアドレスにtrustのIPを
入力し、ログインIDとバスワードの入力画面が表示されたので入力しました
(なぜか入力画面は表示されます)。すると画面は「ページを表示できません」
と表示されてしまいました。Web表示できない以外は問題ありません。
ほかのNetScreenはWebUI表示OKでした。
その後、なんとか設定を終えて通信を確認するとOKです(でもWeb表示は×)。

>どうだこの際、工場出荷時に戻して、再度構成しなおすというのは
地理的にも私の技術的にもできないのでサポセンに依頼してみます。


397 :W:04/09/11 23:20:57 ID:tgnV1FgJ
教えて下さい。

syslogの設定のとこのfacilityに、"auth/sec"とあるのですが、
どういうことをしたい場合に設定するものなのでしょうか?

398 :anonymous@ p4108-ipad65marunouchi.tokyo.ocn.ne.jp:04/09/12 19:18:19 ID:???
>>397
FacukityをAuthにしたいとき


399 :wq:04/09/14 15:20:16 ID:xkkKtvuL
以下の構成においてW2KからRT57iにPPTP接続します。

W2K--Netscreen-----Internet-----RT57i

※NetscreenとRT57iのWAN側にはGlobalIPがあります。
※W2KはPrivateIPです(NetscreenではNATを行っている)

このときにW2K〜RT57i間がPPTP接続できません。
ちなみにNetscreenをはずしW2KにGlobalIPを設定すると正常にRT57iに
VPN接続できます。

考えられるのではNetscreen側がGre47番とTCP1723番号を通してないためと
思うのですが、どのように設定したらよいかわかりません。
ここのポリシー設定をご存知の方いらっしゃいましたらご教授お願いいたします。




400 :NN:04/09/15 22:29:53 ID:???
>> 399
カスタムサービスで任意のサービスを作成して、
あとは適切なポリシーを作成したらいいのでは。
あと、NSのトラフィックログでUntrust→TrustのDenyの通信をみれば
何のポリシーを作成したらいいのか分かるかと思う。

401 :通りすがりですが:04/09/20 16:52:42 ID:kv3q1VHW
>396

configに
unset interface trust ip manageable
って入ってない?

入っていたらシリアルコンソールから以下のコマンドを
入れてみて
set interface trust ip manageable

402 :anonymous@ 77.127.215.220.ap.yournet.ne.jp:04/09/22 16:35:09 ID:7Ut6kgC1
VIPに対して外部からのpingを許可する設定をご存知の方
いらっしゃいますか??
VIPで選択できるデフォルト設定にICMP系は存在しないので、
Service-CustomでICMP-VIP-Requestとか作成してicmp(type=8,code0)で
作成したサービスをPolicy許可しても反応が無いです・・・。

403 :anonymous@ 62.127.215.220.ap.yournet.ne.jp:04/09/22 18:00:00 ID:n+tbQBO4
402です。
すいません、MIPを使えばいいだけでした。
VIPはポート番号で複数サーバに振る場合だけ使用ってことですね。

404 :Net:04/09/27 09:08:51 ID:GuNMXNuV
>401
unset interface trust ip manageable
は入ってませんでした。
サポセンでconfigをチェックしてもらっても理由わからず。
その後、トラブったルーターを別の拠点に持っていってつないだらOK
わけわかんないですね‥
Bフレッツとの相性とかあるんでしょうか?

405 :61.39.244.43.ap.yournet.ne.jp:04/10/01 10:55:54 ID:???
L2TPで Win2KクライアントとNetscreen間でリモート接続させようと奮闘してます
マニュアル参考にやって あっさりユーザ名とパスの認証も通って、
Win2k側でIPアドレスもきちんと取得できたのに その後が。。。
Win2K(リモート) <−−> 内部のサーバ が通信できまへん

パケット拾ったところ 健気にWin2K側からパケットは送ってるみたいだけど
戻りパケットが来ない感じ・・ なにが原因ですかねぇ

406 :sg:04/10/02 13:30:13 ID:???
>> 405
内部サーバのWin2K側に対するルーティングが設定されていないからとか。

407 :anonymous@ 61.39.244.43.ap.yournet.ne.jp:04/10/03 01:09:32 ID:wTljy+xI
こんばんは
NS側のIP Poolに設定して、Win2Kクライアントに割り当ててるIPアドレスって
内部サーバと同じIPセグメントなんです
なので内部サーバ側にはルーティングは設定してないです・・・

サーバ側に何か設定が必要でしょうか・・

408 :EMIEMI222:04/10/04 11:37:05 ID:iGYhkNnk
GUI上の設定しかできないど素人ですが、教えて下さい。
NetScreen5XPの下にルータを置き、外部へ公開したいと考えております。
試験用なので一時期だけなので以下の通りにしろと上司に言われました。

 モデム
   |
NetScreen(5XP)
   |
   ハブ
  |     |
社内LAN (P社)ルータ
        |
      テスト環境
  
単純な考えではNetScreenにルータへの通信をすべて許可にするとすれば
良いのですが外部からこのルータの設定画面を見ることができません。

ポリシー画面で下記を許可する設定を行いました。
【trust】ルータグローバルIP → 【untrust】Any サービス:Any
【untrust】Any → 【trust】ルータグローバルIP サービス:Any

上記の設定だとテスト環境から外部へは通信できるのですが、外部から
テスト環境(ルータ)へアクセスすることができません。
こんな単純なやり方ではできないでしょうか。
よろしくお願いします。

409 :di:04/10/04 15:36:35 ID:???
>>405,407

 −NS側のIP Poolに設定してるIPアドレスが内部サーバと同じIPセグメント
 −内部サーバ側にはルーティングは設定してない

ってことから、

 NSの内側(Trust)のアドレス = IPPOOL = 内部サーバ ( = は同じセグメントって意味)

じゃねぇかと思うんだが、NSの内側アドレスと同じセグメントからIPPOOLをとると、NSが
そのIPPOOLのアドレスへのARP Request に答えんかったような気がする。
(以前はそうじゃった)

これが原因でないけ?

- IPPOOL かえる
-内部サーバへのアクセスを認めるポリシでNSの内側でNAT

してみるとどうなるべか?

410 :di:04/10/05 16:57:30 ID:???
>>408
NetScreen の下のルータって単純にルーティングしているだけなの?
それとも、NATとかもしているの?

単純にルーティングだけなら、MIPを使うとよい。

単純にルーティングしてるだけなら、テスト環境から外部に通信できるのは設定した
ポリシーとは関係なく、trust any untrust any any permit なルールがあるからじゃろう。

ルータがNATしているんでそのようなルールを書き、それで通信が可能になったのなら、
こりゃぁ、ルータの設定を外部からテスト環境への通信を許可するように設定せなならん
から、NetScreenだけの設定じゃ無理だべ。



411 :405:04/10/06 09:02:04 ID:???
>>409

- IPPOOL かえる

これでOKでした!ありがとうございました。
前L2TPの経験があったWATCHGUARD社製のfwでは ippoolを内部サーバと同じ
IPセグメントで作成してもOKだったので 勘違いしておりました

今 マニュアル確認したら、マニュアルの例でも、違うセグメントでIPpoolを作成するような
設定をおこなってましたね(;・∀・)

助かりました〜 ありがとうございました

412 :anonymous@ pd5f7fb.tokyff01.ap.so-net.ne.jp:04/10/06 10:10:57 ID:???
>>408
>410

それでもいいかもしれないけど、
まずは動作モードを調べてみれば?

恐らく、TrustインターフェースはNAT・UntrustインターフェースはRoute
になっていると思ふ。

・TrustインターフェースをRouteモードに変える(set int trust route)
・社内LANからインターネットへの通信を、インターフェースNATからポリシーベースNATに
・テスト環境へのStaticルートを書く
・外部からテスト環境への許可ポリシーを作成
 (念の為、一番下には「Any Any ANY Deny」ポリシーを)

まぁ、MIPの方が簡単かもね。。。



413 :di:04/10/06 11:13:24 ID:???
>>405
You are welcome.

414 :mde:04/10/06 13:25:28 ID:nq4pg072
NetscreenRemoteを利用するユーザごとに
割り当てるWINSやDNSを変える事できますか?

415 :di:04/10/06 13:35:38 ID:???
>>414
WebUI の VPNs->L2TP->Tunnel の設定画面を見ると、Dialup Userごとに
割り当てるWINSやDNSを設定できるように見える。

思い通りに動くのかはわからん。試して教えてけろけろ。

416 :test:04/10/09 01:26:54 ID:???
すいません。知っている方がいたら教えていただきたいのですが。
5GT購入しました。フレッツADSLを使って相手側は固定IPでVPNトンネル
したいのですが、パケットがuntrustの外へいきません。
VPNでないトラフィックは出て行きます。ADSLモデムとNestscreenの間にハブ
いれてsnifferで取ってみました。ログはIKE phase1 initiated....で終わります。
スタティックルートが必要なのでしょうか。
HELPMEです。

417 :typhoon No.22:04/10/09 16:48:16 ID:W92eIems
>>416
VPNの設定が悪いなり。
もう一度、手元のNetScreenと相手NetScreenとのVPNの設定を
確認してみることをお勧め。
確認の項目としては、

 - 互いに相手がゲートウェイとして設定されてるの?
- 事前共有鍵はちゃんと同じ(証明書ではないよね)?
- Phase1, Phase2 のプロポーザル

くらいをとりあえず。
VPNじゃないトラフィックはOKならスタティックルートは関係ないよ。

ガンガレ

418 :typhoon No.22:04/10/09 16:51:03 ID:???
ふと思ったが、相手は固定IPと書いてあるけど、自分は
固定IPではなさげ..... orz



419 :test:04/10/09 17:41:20 ID:???
>>417
ありがとうございます。
NetScreen−−−−Hub----ADSLModem--
         |
        Sniffer

VPNの設定が悪くてもPhase1のネゴシエーションのためのGWへの
パケットは出て行くと思いますが、Snifferでは何も取れませんでした
ISPからはuntrust側のグローバルもDSNも受け取っているので
WAN側の接続は問題ないと思っています。
困ってます。



420 :typhoon No.22:04/10/09 17:52:18 ID:W92eIems
>>419
ポリシーにVPNひっかけてたら、そんな通信がこないと VPNを
はろうとしないことは考えられるっすね。

ポリシー云々の影響を除くために、VPNモニターとかの設定はしとる
ですかにゃ?なければ、設定シマショ。

で、NetScreenCLI使えるなら、debug コマンド使いまひょ。
 5gt-> debug ike detail
.... しばし待つ
 5gt-> get dbuf st
VPN関連のデバッグ情報がウネウネ出てきまっせ。Try!!

WAN側が大丈夫なのを確認するためにも、CLIでピーイングも
やりましょ。
 5gt-> ping どこか


421 :test:04/10/09 23:18:17 ID:???
>>420
ありがとうございます!。
debugコマンドあったんですね。
さっそくtryしてみます。
明日新幹線で挑戦してきます。

422 :温帯低気圧:04/10/10 12:43:03 ID:5VaaLubd
>>421
接続しようとしているNetScreenが固定IPなのか、そうで
ないのかにもよっていろいろ設定は違ってくるぞ。

固定IPじゃなかったらアグレッシブモードでとか、ね。
とにかく、幸運を祈る。

でわ、さらばじゃ!!

423 :test:04/10/13 01:17:16 ID:???
>>420
>>421
ありがとうございました。
preshareキー違ってました。あと、おっしゃるとおりで
アグレッシブモードで接続できました。
これからもよろしくおねがいいたします。!


424 :雨だれ:04/10/13 08:55:28 ID:???
よかった :)

425 :台風:04/10/13 12:58:47 ID:L+P84BCz
netscreenのSSL-VPN製品でSAM起動後、社内プロキシ経由でWWW見たいとき。

通常どおりブラウザを立ち上げてブックマークから見に行くことできますか?
また社内ウェブを閲覧するときブラウザの設定でプロキシ経由・ノンプロキシ経由を変更できますか?

426 :?:04/10/16 02:10:57 ID:???
しかし、NetScreenはなんであの無意味なDoSプロテクションを
さっさと捨てさってくれないのかなあ?

Ver1.xころから今の今まで全然まともに動かないんだから
設計思想を根本から変えない限りこれ以降もダメでしょう

下手に機能があるからまともに動かないと客に突っ込まれて大変です

427 :??:04/10/16 08:37:11 ID:???
>>426 禿同
無意味DoSを減らして、もっとALGを充実させてほちい

けど、ALG充実させても、「ALG使ったら遅くなったじゃねぇか、ゴルァ!」
とか言われるんだろな。

ぼちぼち、5.1でんなぁ...

428 :427:04/10/16 08:40:22 ID:???
ちょいと、みんなに質問。

美奈様はNetScreenに追加して欲しい機能ってどんなのがある?

429 :427:04/10/16 08:43:19 ID:???
途中でカキ子っちまった。。

もいらは、文の不正中継くらい防げるようにして欲しいんじゃが。

430 ::04/10/16 14:19:17 ID:???
そー言う機能はFirewallに期待する機能であって
Netscreenに期待するものでは無・・・・・・・( ゚Д゚ )アレ?アレレ?

まぁ、それぞれ得意不得意はあるもので、いやはや

431 :初心者:04/10/23 06:17:28 ID:bhXleOCN
素人です。最近ネットスクリーンをはじめました。なんかすごく難しく感じます。
ルーティグベース、ポリシーベースとあるんですが、これの違いっていうのはなんでしょうか??
tunnelインタフェースにバインドするというのはなんとなくわかったのですが・・・・・・・


432 :ケツ毛ガンダム:04/10/23 07:47:09 ID:???
>>431
機器を2メールの高さに上げ、そこから45度の角度で落下させればうまく動くかも

433 ::04/10/23 12:51:50 ID:???
>>431
(らんぼーなイメージ)
httpだけを通すVPN接続をしたい場合。

ルーティングベース:
VPNを張って、httpを通すポリシーを書く。

ポリシーベース:
httpを通すVPNを張る。

434 :いぬわし:04/10/23 21:57:24 ID:???
>>433
イイ!!

まあ、使い方の区別は、ここへ逝くときゃ全部 VPNってときには、
ルーティングベースでVPN張る。で、そこへ逝かせる通信のポリシー
を書く。

そこへいく通信の中で、これだけはVPNにしたいなってときはポリシー
ベースでVPN張るのがよいと思ふ。

435 ::04/10/23 22:36:50 ID:???
>>434
個人的にはルーティングベースだけでOKだと思いまふ。
特定のサービスを通すだけでなく、蹴ったパケットのログ取ったりすると
今後の為になる情報をゲトできるし。

過去のバージョンと混在してる場合は
ポリシーベースの方が何かと楽できそうですね。

436 :昔話:04/10/24 06:55:20 ID:???
ぜんぜん関係ないけど、そういえば、IPsecのちょい前に、VPNとして、
swIPe とかいうのがあったんだけど、これの実装がルーティングベース
っぽかったなぁ。。。

437 :anonymous@ JSHF3161335:04/10/27 07:10:27 ID:???
昨日の新宿でのセミナーどうでした?
行けなかったので内容キボン

438 :anonymouse:04/10/27 13:26:52 ID:???
>>437
そんなものがあったんか。。。
内容は 5.1 の話だったんかのう。内容キボン, too m(__)m

439 :ギルガメッシュナイト:04/10/27 16:14:15 ID:???
俺行きました!
ただ俺ぺーぺーなんで内容よくわかんなかったです
今月末に出る5
1の話が多かったですよ
後は新しくJシリーズが出るとか、ジュニパーはシスコよりすごいとか(笑)
そんな話でした

あと光学マウスもらいました


440 :438:04/10/27 19:33:20 ID:8wWrNAqq
>>439
ありがトン

441 :?:04/10/30 02:09:27 ID:???
日立の5.1リリースはいつになるやら

442 :442:04/10/30 18:44:42 ID:k4If9sl+
>>441
まだまだ先じゃないの。

443 :??:04/10/31 14:48:20 ID:???
H立リリース遅すぎ....

444 ::04/11/01 09:11:16 ID:???
サポートを考えると こんなもんでしょ。
とフォローしてみる。

フォローしたからデモ機くれw>H立

445 :不明なデバイスさん:04/11/01 20:02:07 ID:slF8vip3
どっかに日本語マニュアルないのでしょうか、、、、英語はきついです

446 :?:04/11/02 01:14:55 ID:???
日立の悪口はやめてあげてください
年1ぐらいでしか買わないのにお願いするとすぐデモ機貸してくれるいい人たちです
まあ、うちじゃなくてエンドのキャリアに気を使ってるんでしょうけどね


>>445
日立とアライドは出してたはずですが

447 :NSRP:04/11/02 01:23:56 ID:tlca05+a
>>446
JuniperのHPに行ったら普通にありますよ。
Release NoteやCLI Manualと勘違いしてませんか?

ScreenOS 4.0台のNS25でNSRPできないの忘れてた。。。Oh!!

448 :不明なデバイスさん:04/11/02 13:49:03 ID:zS2qbOdD
JuniperのHPを見ましたがサポセンにログインしなければdownload
できないのでしょうか、、、
ドキュメントは英語のようです。
日立、アライド(三菱系列)で買ったものではないので取り寄せは厳しいです

449 ::04/11/02 16:43:46 ID:???
>>448
>>352

450 :不明なデバイスさん:04/11/02 21:28:01 ID:oj2AVNXI
鳩さん 過去ログを読み落として大変申し訳ありませんでした。
今後 熟読したいと思います。教えてくれて大変ありがたいです。
東北より感謝!楽天もくる!


451 ::04/11/02 21:36:31 ID:???
>>450
(´ー`)ノ

452 :anonymous@ c118190.net21845.cablenet.ne.jp:04/11/03 04:47:19 ID:aRRj1HbH
初歩的な質問で申し訳ございません。

1台のNetscreen50でトランスペアレントとRouterモードを混在させる事は可能でしょうか?

構成例1:
port1 untraust(Router)
port2 DMZ(トランスペアレント)
port3 trust(Router)
→DMZがL3なので、無理でした

構成例2:
port1 V1-untraust
port2 V1-DMZ
port3 trust(Router)
   VLAN1にIPを割り当てます。
→trustとV1-DMZの間にポリシーを書こうとしますと、
「L2とL3ではポリシーが適応できない」と怒られて、設定できません。

何か良い方法がございましたら、ご教授お願い致します。




453 : :04/11/03 07:18:55 ID:???
>>452はSonicwallユーザ

いや、なんとなくそんな感じかなと

454 :?:04/11/03 08:45:54 ID:???
>>452
無理なんじゃないでしょうか.....。
以前似たようなことがやりたくていろいろTryしてみましたが、、、
だめじゃった orz...

secondary IP とか使っても IPが重なっとるで!とか怒られたし。
以前はIPのoverlapping を無視せよ!みたいなコマンドがあった
ようですが、現在は見当たらない。。。。




455 :452:04/11/03 11:19:31 ID:aRRj1HbH
>>453
sonicWallは使用したことが無いのですが、
sonicWallでは、上記構成で設定できるのでしょうか?

>>454
助言ありがとうございます。

456 :anonymous@ p1067-ipad41hodogaya.kanagawa.ocn.ne.jp:04/11/03 11:40:05 ID:OTxhPaYY
L2とL3は混在させることはできません。
Interface ModeというC&E Vol.2 P.107〜P.135を見てみよう。

誰かHSC(Hardware Security Client)触った人いないかな?
NSMを使っているのが前提のProductみたいですが。

457 :456:04/11/03 11:41:49 ID:OTxhPaYY
Oh,default Hushianasanにひっかかってしまいまーしたorz

458 :454:04/11/03 12:34:44 ID:MXRvBQY5
>>455
SonicWALLとかFireboxとかならできると思うよ。

SonicWALLは標準で、UntrustとDMZが同じセグメント、Trustは別、
Fireboxは標準でUntrustもDMZもTrustも全部同じセグメントのブリッジみたいな
感じだたよ

459 :456:04/11/03 12:50:00 ID:OTxhPaYY
SonicWALLやFireboxを扱ったことがないので知りませんでした。
ベンダーによって動作が違うんですね。

460 :kazu:04/11/07 20:46:29 ID:DgJOPY2Q
Netscreen5XTの設定方法を教えて頂けないでしょうか

間違って Manage IP を 192.168.135.0 としてしまい
Web上で設定できなくなってしまいました。(表示不可)
232Cケーブルでつなぎ、Tera Term から、設定情報は参照できたのですが、
変更方法が分からずにいます。

Trustの
 IpAddress / Netmask
  192.168.135.0/24 から 192.168.135.1/24 へ変更
 Manage IP
  192.168.135.0 255.555.255.0 から 192.168.135.1 255.255.255.0 へ変更

get tech にて現在の情報を確認
 set interface "trust" zone "Trust"
 set interface "untrust" zone "Untrust"
 unset interface vlan1 ip
 set interface trust ip 192.168.135.0/24
 set interface trust nat
 unset interface vlan1 bypass-others-ipsec
 unset interface vlan1 bypass-non-ip
 set interface vlan1 ip manageable
 set interface trust ip manageable
 set interface untrust ip manageable
 set flow tcp-mss
 set hostname ns5xt
 set address "Trust "VPNUSER-45" 192.168.135.0 255.255.255.0 "名前1"
 set address "Untrust" "VPN-Shin" 192.168.10.0 255.255.255.0 "名前2"

461 :ガンガレ:04/11/07 21:24:19 ID:ri/559yA
>>460
TrustのIPアドレスを蛙のは、単に、
unset interface trust ip
set interface trust ip 192.168.135.1/24
と、unset & set すればよろし。 
 modify interface trust ip 192.168.135.1/24
とやれば一度でできる。(はず)

それと、manager-ip と manage ip って2つあって

  manage-ip: 機器を操作するためのアドレス(NetScreenにssh とか telnet でつなぐとき使う)
  manager-ip:機器につなぐことができるアドレス(これ以外のアドレスからつなげない)

どす。ぱっと見、ネットワークアドレス設定しようとしちいるんで、manager-ip かな?と思う炊けど、
manage ip のやうですな。
manage ip は設定しなければ、インタフェースのアドレスが設定されるよ。
同じアドレスでもつけたいなら、
 set interface trust manage-ip 192.168.135.1 (ネットマスクイラネ!)

少しうそついてるかも半分は正しいはず。

462 :kazu:04/11/07 23:37:56 ID:RvfQEhh8
>>461 様

unset interface trust ip
set interface trust ip 192.168.135.1/24
で復活しました。

助かりました。

有難うございます。

463 :461:04/11/08 10:34:16 ID:???
エガッタエガッタ

464 :438:04/11/12 21:20:18 ID:???
>>432
イイ!!

まあ、壊れても知らんが・・・・。


465 :623:04/11/18 18:57:36 ID:???
selfログがぜんぜん取れないんですけど、あれはどこか設定必要ですか?
教えてください。おながいします。

466 :age:04/11/18 19:26:32 ID:1BubM45/
>>465
selfログってどんなログのことかわからんのじゃけど
(実はおぬしの623もなにかわからん)

set firewall log-self とかは?

467 :623:04/11/18 19:39:03 ID:???
>>466
レスサンクス

selfログってのはマニュアルで見ると

NetScreen は、すべての落とされたパケット(ポリシーに拒否されたものなど) やNetScreen デバイスが終了した
トラフィック(管理トラフィックなど) を監視および記録する自己ログを提供します。自己ログは、トラフィック
ログと同様に、落とされたパケットおよびNetScreen デバイスで終了したセッションの日付、時刻、ソースアド
レス/ ポート、宛先アドレス/ ポート、継続時間、およびサービスを表示します

ということです。
つまりポリシーに反して落とされたパケットも全部わかるよーということだと思ってるんですけど・・・
そこらを全部syslogサーバにあげてlog解析ツールで統計取ろうかなーと思ってます。

ちなみに623てのはただ前に書き込んだものが残ってただけでした。

468 :623:04/11/18 19:43:07 ID:???
>>466

おお 言われたとおりにコマンド入れたら出ました!
GUIだと設定らしきもの見られなかったのに・・・
コマンドじゃなきゃ設定できないことって多いんですかね

とにかく助かりました。ありがとうございました。

469 :ゲチアの反例:04/11/19 01:16:04 ID:uqU9BEql
>>468
GUIでもRepoting のところで、表があるところの一番上に自分自身で
拒絶したログをとるかとらないかのチェックボックスがありまっせ:)

コマンドじゃなきゃできない設定項目ももちろんあるけど、とりあえずこれは
GUIでも設定できるつーことで。

470 :469:04/11/19 01:16:50 ID:???
ぐぇ、名前がしもた.....

471 : :04/11/19 02:41:25 ID:???
5GTの年間保守費(トレンドの定義更新も含む)はいくらですか?

また、お勧めの販売店はどこでしょう?

472 :anonymous@ p1151-ipad02hodogaya.kanagawa.ocn.ne.jp:04/11/19 23:54:47 ID:???
>>471
年間保守費は代理店によるのでは?

473 :472:04/11/19 23:55:44 ID:???
おっと、忘れてた。
やられたりー

474 :anonymous@ p14018-ipadfx01maru.tokyo.ocn.ne.jp:04/11/23 04:55:20 ID:???
Port Forwardingについて教えてください。

テスト用に使用していたNS-100 OS4.0.0を、FWとして本格的に使用しようかと思い立って
再設定を始めたのですが、WebサーバやSOCKSサーバを外部に公開する為に
NSのuntrust宛てに来たパケットを転送する必要がある事に気付きました。
ところがうちはISPから1つしかIPアドレスを貰っていませんでした。
(OCNからPPPoEで固定アドレスを1つ貰っています)

4.xだとポート転送用のVIPをuntrustのアドレスとは別に設定しないと駄目みたいなのですが、
何か別の方法があるのでしょうか?それともやっぱり駄目なんでしょうか?

また、5.1.xではDNATがサポートされているようなのですが、これはNSのuntrust宛てに来たものを
直接転送できるのでしょうか。それとも4.0のVIPのように別アドレスを設定してあげる必要が
あるんでしょうか?
(保守切れてるので5.1が試せない orz)

475 :474:04/11/23 04:56:18 ID:???
名前欄入れ忘れた...
吊って来る

476 :質問です、お助け:04/11/23 06:46:04 ID:JucVuEBa
Netscreenの管理画面で、その時点でVPNクライアントアクセスしているユーザー名やユーザー数な
どを把握できるのかと聞かれています。GUIのどこかでみれますか?NS25です。教えてください。

477 :ゲチアの反例:04/11/23 11:05:45 ID:???
>>474
4系のScreenOSのことはあまり知らずに意見するのも恐縮ですが、

 - あるポートを別のポートに forward したい
- 4系ではVIPは untrust とは別のアドレスにする必要がある
 - アドレスはひとつしかない

は同時にはなりたたないので、「やっぱり駄目」なのではないか、と
思います。

ただ、5.1まであげなくても、5.0ではVIPをuntrustと同じアドレスに設定
することはできますよ。

#って、NS-100に5系のファームはあったのだろうか?

478 :ゲチアの反例:04/11/23 11:10:39 ID:eqmDbKn8
>>476
見れないと思います、、、、。
adminとしてログインしてるのは get admin cur とかで見れるけど。。。

うそついてたらごめんなさい。




479 :anonymous@ 07001110717538_mc:04/11/23 16:54:07 ID:4cu2RlQQ
ジュニパーかジェニパーか?

480 :290(うそ):04/11/23 17:10:34 ID:???
やっぱ ジュンパー でしょ

481 :anonymous@ 210.160.18.66:04/11/23 18:15:16 ID:AstFXADj
NetScreen25とRTX1000でVPN(IPsec)設定をしているのですが、うまくつながりません。

リモートのLANにまったくアクセスできない状況です。

NetScreen側のログは下記のようになっています。
IKE<*.*.*.*> Phase 1: Retransmission limit has been reached.
2004-11-23 17:56:48 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode.
2004-11-23 17:55:57 info IKE<*.*.*.*> Phase 1: Retransmission limit has been reached.
2004-11-23 17:55:08 info IKE<*.*.*.*> >> <*.*.*.*> Phase 1: Initiated negotiations in main mode.

上記だけの情報で恐縮ですが、どこに原因があるのか教えてください。

482 :?:04/11/23 22:41:08 ID:???
>>481
とりあえずRTX1000側でログ見て何も出てないようなら
IKE自体が届いてないのでは?

どっかでフィルタされてないかを確認してみるべきでしょう

483 :ゲチアの反例:04/11/23 23:04:50 ID:h9V2Da4X
>>481
mainモードでほんとにそれだけのログしかないなら、IKE自体が届いて
ないにマンセー。

    |      デバクスルノ ゙マンドクセー ケド ガンガレ
    |  ('A`) 
   / ̄ノ( ヘヘ



484 :anonymous@ nttkyo093034.tkyo.nt.adsl.ppp.infoweb.ne.jp:04/11/24 00:29:30 ID:cGJEAdXD
netscreen25を使っていますが、コンソールに入り、pingを叩いても内外部どこへも通りません。
trust側のPCからは外部へ問題なくpingが通ります。
(netscreenのtrust側IPへもpingOK)
また、外部からuntrust側IPへもpingが通るように設定しあり、フィルタはかけていないのですが
このような状況になってしまいます。

どこに問題があるのでしょうか・・・



485 :anonymous@:04/11/24 11:49:03 ID:???
>>476
GUIでは見れなかったと思うけど、
コマンドなら get ike cookie とかで表示できたような。
そのなかに表示されるUserIDとConfigのなかのUserIDを照らし合わせれば。
まぁ、GUIではないですが…。


>477
5.x系でも機種によってはUntrustと同じIPは設定できなかったと思うよ?


>>484
どんな構成になっているかが木になる…



486 :ゲチアの反例:04/11/24 13:49:45 ID:???
>>485
get ike cook で判断するのは p1のlifetimeが28800もあるんできつくないかな?
すでにいないのにcookieだけ残っている状況が出現しそうな。
それよりはセッションテーブルでVPN経由な谷津をみつけた方が性格ではないかと。
ま、おなじくGUIではないですが。

今、5XP、5XTでuntrustと同じIPでVIP設定したけど、できたよ。5gtじゃできないのかな?

487 :485:04/11/24 16:04:23 ID:???
>>486
うんまぁ、どっちにしろGUIではないから、
結局は「GUIでは見れません!」ってゆう事なのかぁ。
#ユーザ名だけならイベントログとかで表示されるだろうけど


もともと5シリーズはOS4.x系でもできたと思ったけど。
他の機種(とOSの組み合わせ)でも試してみてね(´・ω・`)
そしたら「機種によっては」の意味がわかるよ。




488 :ゲチアの反例:04/11/24 17:13:46 ID:???
>>487
私はScreenOS5からはちっこい機種(アプライアンス)でVIPにUntrustと同じIPを設定できるように
なったと思ってたんですが、、、、違いましたっけ?



489 :NotScreen:04/11/25 13:10:20 ID:???
alarmランプが赤く点灯しても問題ないそうなんですが、点灯する原因って分かるんでしょか?

490 :??:04/11/25 14:55:34 ID:yEYs+HZ4
まあ、たいていは問題ないです。以下のようなことで赤くなったりしちゃうので。

What events will trigger the alarm LED to go red?

The alarm LED will turn red whenever any one of the following events occur:

Emergency:
Syn Attack
Tear Drop Attack
Ping of Death

Alert:
Winnuke Attack
IP Spoof Attack
IP Source Route Attack
Land Attack
ICMP Flood
UDP Flood
Port Scan Attack
Address Sweep
Policy Deny Alarms

Check the alarm events to determine if you have received any one of these messages.

491 :anonymous@ U047038.ppp.dion.ne.jp:04/11/25 15:28:09 ID:???
>>489
で、一回赤くなったら、問題解消されても直らないので
コマンドで消さないといけなかったような。
コマンド失念。
"なんちゃらled off"

492 :490:04/11/25 15:47:41 ID:???
>>491
clear led alarm だね :)

493 :489:04/11/25 15:54:36 ID:???
>>490
>>491
ありがとうございます。
でもそのコマンドを入れてみたら

なんちゃら led off
^------------unknown keyword なんちゃら

ってエラーが出たんですけど。


494 :491:04/11/25 16:02:36 ID:???
>>492
うわ!恥ずかしい。全然、違ったは。
>>493
ネタですか。。。(汗

495 :NSRP:04/11/26 00:49:50 ID:???
>>493
エラーが出たんですけど、って他力本願すぎるのでは。。。

ヒント:nskb1074

496 :(w:04/11/26 01:39:54 ID:???
>>495
ネタニマジレス。。。。。

497 ::04/11/26 09:52:58 ID:???
荒れずにスレが伸びることは良いことです。
内容がアレですけどw

498 :?:04/11/27 17:32:02 ID:???
>>497
ターミナルがSJISになってませんか?
なんちゃらはEUCじゃないとダメですよ

499 :anonymous@ FLH1Abf092.kng.mesh.ad.jp:04/11/27 17:53:42 ID:gxibciNV
盛り上がっているところすまんがw
5GTでアンチウイルス機能(特にPOPやSMTP)使ってる人いる?
FWやVPNは使わず、AV機能だけをトランスペアレントモードで使用すべく
検討していますが、いかがな感じでしょう。


500 :?:04/11/27 18:04:16 ID:???
>>499
おまけ機能に夢を持ったら負けです
NSは高速VPN装置or高速NAT-Firewallとして使いましょう

今の時点のNSはDoSプロテクションもAVも申し訳程度についてるだけです


501 : :04/11/27 18:47:16 ID:???
>>500
早速ありがとうございます。

まじですかー
高負荷で落ちるとかスルー率が高いとか...?

宜しければ「おまけ」っぷりがどんなもんか教えて頂けると嬉しいです。


502 :?:04/11/27 20:18:03 ID:???
>>501
AVはまずバッファが少なすぎて意図的にダミーと一緒に
ウィルス送りつければかなり通ります
流行りまくって内外で大量感染して飛び交ってるような場合も
バッファ不足でダメっぽいです

DoSプロテクションはteardorpとかwinNukeとか
特定のコードに依存するも以外は全然ダメです
Flodding系はほとんど止まらないか、
とめようとして閾値上げるとまともなトラフィックも止めたりします
LanDなんかも、ポートまで同じで無いとLanDとみなさないので
メールサーバにsrc:25/dst:110でLanDかけると普通に攻撃が成立します

この辺のおまけ機能は
内部の機器での対策が万全になっている上での追加要素として考えないと

503 : :04/11/27 20:31:50 ID:???
>>502
早速ありがとうございます。

そうですか、いやーん。
NAT環境下にいるマシンが感染して、外に対して勝手に変なモノ投げつけることへの
対策に使えればと思っていたんですけどね。

まだFortigateの方が良いのかな。


504 :r9:04/11/27 21:50:59 ID:TDMI4NfF
まあ、5GTですからねぇ。。。ISG-2000とかでAVやってみると
どうなんだろ??

しかし、trendもCiscoと仲良くしちゃったから、この路線はどうなるやら

505 :age:04/11/29 14:10:39 ID:N9oDcpvz
age

506 :anonymous@ gw2.kbmj.jp:04/12/03 11:49:13 ID:???
5GTでVPNをやりたいんですけど、うまく出来ません。
NetScreen-RemoteをwinXPに入れて設定を行い、winの
ネットワーク接続でVPNを作成し繋ぎに行ってます。
NetScreen-RemoteのLogを見るとコネクションは張れている
ようなのですが、winの接続の方は「接続中」と出たまま
でそのうちタイムアウトします。
(タイムアウト後もNetScreen-Remoteの方はコネクション張れてます)

この状態で通信が出来るのでしょうか?
出来るならばその方法は?
それとも設定が足りない?
と、わからないことだらけです・・・。
どなたか教えていただけませんでしょうか。宜しくお願いします。

507 :素人”管理”者:04/12/03 13:44:53 ID:???
初めて書き込みさせて頂きます、どうかこの素人管理者を助けて頂けませんでしょうか。
Netscreen25配下のPC(XPpro)より、インターネットを通してVPNサーバ機能付きルーター
(メルコ社製WZR-RS-G54HP)にVPN通信(PPtP)が出来なくて困っております。
接続をかけると、「ユーザー名とパスワードを検証中」としばらくなったのち
エラー619となり接続を確立できません。
どうにか接続を確立する方法は無いでしょうか?
なお、PCを直接インターネットに繋ぎ、そこからVPNサーバ機能付きルーターへ接続
確立したことは確認済みです。

 なぜこのような事をしているのか具体的に申しますと、本社〜各所間では
ネットスクリーンを用いたIPsecによるVPN網がすでに構築済みなのですが、
日中殆ど無人のとある小事業所のPCをウエイク・オン・ランしつつ
VPN接続してリモート操作できないかと言う話になり、上記機種の機能を用いれば
可能ではないかと思い立ち稟議をかけ構築してみたのですが、いざ繋いで見ると
上記のような状態になってしまったのです。

Netscreenの構成・管理は業者にお願いしており、(N○Tコミ○○ーショ○○)
相談してみたのですが、「そのような事例を扱ったことが無いので、どのように
設定したら良いかが分からない、こちらでも調べますが、そちらでも調べて下さい、
言われたとおりに設定しますので」との返答。

当方、勤めていた会社が倒産し、年老いた母と、受験を控えた二人の子供を抱え、
ハローワークを奔走していた所を現在の上司に拾っていただいた
ばかりであります。
 しかしながら、ご恩を返そうと盲動した挙句、私の浅慮により現状を招き、
恩人の顔に泥を塗るような事態を招かんとしております。
 厚顔の極みで誠に恐縮ですが、できればこれ以上の経費をかけず、セキュリティも
確立したまま接続を確立する方法を教えて頂けませんでしょうか。
よろしくお願い致します。

508 :??:04/12/03 15:41:26 ID:hPaK6ndK
>>507
クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか
あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが
一台だけであれば、思いは遂げれるはずです。

なお、できればそのルールではDIPを使ったほうがいいでしょう。また、複数クライアント
がいる場合は、クライアントごとに DIPを割り当てる必要があると思います。

ちょっと自分ではやっていないのであやふやでごめんなさい。

エロイ方、さらなる解説をおながいします

509 :素人”管理”者:04/12/03 16:59:58 ID:???
ご回答頂き、ありがとうございます。

>クライアントからのPPTPを許可している通信のルール設定で、GUIで "fixed port" とか
>あるのをチェックしてみればどうでしょうか? 細かいことは忘れましたが、クライアントが
>一台だけであれば、思いは遂げれるはずです。

こちらの環境としてはネットスクリーン下に置かれたPCからインターネット
へのポート規制はステートフルインスペクションでの規制のみでして、内側
から開けばどのポートでも開くはずですが、その「fixed port」は関係
ありますでしょうか?

DIPとはDynamic IP機能の事でしょうか?
ヒントありがとうございます、勉強してみます

510 :508:04/12/03 18:34:41 ID:hPaK6ndK
おっしゃっていることは、おそらくNetScreenでのルールは Any→Any permit のみ
ってことだと思います。

で、これは"fixed port"とは関係ないと言えばないです。

通常ファイアウォールでは、
  - 始点アドレス
  - 始点ポート
の2つを書き換えますが、"fixed port" というのはこのうち後者の始点ポートを書き換えない
ようにするということです。で、ファイアウォールでのルールが上のようなルールだけであれば
この"fixed port"は使っちゃ逝かんです。別途ルールを設定したほうがいいです。

で、DIPはそのとおりです。

始点アドレスを書き換えることについては理解しておられると思いますが、始点ポートをも書き
かえるのは、

  A から Bへ始点ポート100、 終点ポート25 で通信する
  C から Bへ始点ポート100、終点ポート25 で通信する

というファイアウォールを通過する2つの通信があった場合、その2つの通信での戻りパケットを
考えると、それがAへの戻りパケットなのか、Cへの戻りパケットなのかわかんなくなってしまうから
です。



511 :506:04/12/03 21:12:05 ID:???
解決しました。L2TP-over-IPSecを使おうとしてたのですが、
ダイアルアップ - LAN 間 VPN 、動的ピア という方でやり直して
みたらちゃんと接続できるようになりました。

512 :anonymous@ p3216-ipbf715marunouchi.tokyo.ocn.ne.jp:04/12/13 15:16:11 ID:6p/ghEJX
VLANのシャットダウンコマンドってあるんですかね?
コマンドリファレンスには載ってなかったんですけど…

513 :a:04/12/15 00:16:27 ID:???
>>511

unset int vlan1 ip

確認せずに脊髄反射レス

514 :anonymous@ YahooBB219176194048.bbtec.net:04/12/23 09:36:51 ID:FqbHRKZZ
先日VPNが40秒ぐらいつながらない事象発生。
それでevent logみたらphase-1のrekeyの時間に重なって
いたみたいで、rekey発生。しかし、ひとつのNetscreenにphase-1成功。
もう片側には何にもでず。その、40秒後にはphase-1からやり直したみたいで、
お互いネゴ成功させて通信回復。
つまり、片側だけphase-1成功という状態に・・・・。
こんな現象誰か説明できます??

515 :sage:04/12/24 08:33:37 ID:???
SAって片方向のモンだから別に正常じゃない?

516 :anonymous@ pee7646.gifuff01.ap.so-net.ne.jp:04/12/28 11:39:30 ID:8d5phKO9
5GT買おうと思っていますが、10ユーザと
いうのはNATでしょうか?VPNでしょうか?

517 :b:04/12/28 13:55:03 ID:nnG166Rc
>>516
NetScreenを通過できるIPアドレスの数
NATもVPNもできる

518 :anonymous@ pee7646.gifuff01.ap.so-net.ne.jp:04/12/30 12:40:34 ID:7NFkDsPU
>>516
VPNユーザだろ

519 :anonymous@ z210.219-103-198.ppp.wakwak.ne.jp:04/12/30 21:21:10 ID:???
>516
517が正しい。


520 :O-net:04/12/31 03:40:12 ID:???
5拠点のスターなトポロジでセンター拠点移動して(他拠点のconfig修正後)
センター再稼動させたところ、2拠点ばっかし自動でセッション張れませんでつた。

他拠点がDynamic接続だったせいもあるんでしょうが
NSでphase1張りにいくのってどういったタイミングの時なんでしょう?

あとNS本体のみで他peerにVPNセッション始めるコマンドとかってあったりしますか?

521 :maxim:05/01/05 11:15:42 ID:???
あけおめ。ことよろ。

>他拠点がDynamic接続だったせいもあるんでしょうが
>NSでphase1張りにいくのってどういったタイミングの時なんでしょう?

でふぉは通信発生時っぽ

>あとNS本体のみで他peerに
>VPNセッション始めるコマンドとかってあったりしますか?

P2のVPNmonitorやってれば勝手に接続したっぽ


522 :はぁい:05/01/09 03:12:34 ID:???
住民の皆さんに伺いたいことがあります
NSリモートの設定ができる保守業者さんは何処が良いでしょうか?
それと、今の保守契約をしている会社からの保守移管は出来るのでしょうか?

テクニカルな質問でなくてすいません でも、どーしても困っているので。。。


523 :NSR:05/01/13 01:57:58 ID:???
NSRでDialUpユーザにVirtual IP Address当てるやり方わかりません。。
確実にどこか間違ってるのでエロイ人修正方法教えてください…。。

トンネル使わないで自宅のローカルアドレスをそのまま
Remote IPとするやり方はわかったんですが
今はこんな感じでPhsase2のところで
No policy exists for the proxy IDと叱られます。

IKE User作成してAutoKey IKE AdvancedでDialUp Userに作成したUser指定、
Pre-SharedKeyを入力
Phase1プロポーサルはいつものpre-g2-3des-sha・アグレッシブモード
NAT-TはDisable
Auto Key IKEでPhase2プロポーサルはg2-esp-3des-sha
Reply Protectionをenable
tunnnel Interfaceをunnumberedのtunnel.1でバインドしてProxy IDで
Local IPがバーチャルアドレスにしたいアドレス
Remote IPは0.0.0.0/0
Policyでバーチャルアドレスから接続先LANのサブネットをPermit

クライアント側でRemote Party Identity and Addressingを
IP Addressにし接続先のNSのアドレスを入力、
My IdentityではID TypeをIKEUserのメールアドレス、
PSK入力、Auth Phase1のSA Lifeは28800sec Phase2のSA Lifeは3600sec

これをやらないとうちの社内ローカルで192.168.0.0/24を使ってるせいで
大半のUserが自宅アドレスと競合してしまいます(;´Д`)

524 :sage:05/01/13 14:32:47 ID:???
>>523
NSR側で、
Options - Global Policy Settings の
"Allow to Specify Internal Network Address"にチェック入れて、
My Identity の Internal IP Addressに適当なアドレスを入れるンじゃダメかい?

525 :NS50:05/01/14 15:25:42 ID:???
誰かCPU使用率のOID知らないすか
MRTGでトラフィック見れるようにしたいんですけど

526 :NSR:05/01/15 02:04:11 ID:???
>>524

出来ました、ありがとうございます*゜+ ワーイヽ(*´∀`)ノ ヽ(´∀`*)ノワーイ+゜*
NS側であれこれ設定してやる必要ないんですね。。。

527 : :05/01/15 08:23:10 ID:xfEACp3+
>>525
snmpwalkで総なめにしてチェックしてみれば?

528 :_:05/01/15 08:30:39 ID:???
>>525
トラヒック見たいのにCPU使用率のOID調べてどうするんだ?
素直にInOctet, OutOctetでも見ればいいじゃん

529 :NS50:05/01/17 13:16:52 ID:???
>>525
snmpwalkすか・・・。あれ凄い多くてどこ見るのかわかりませんでしたorz

>>528
間違いました!
トラフィックはcfgmakerで簡単に取ってこれる予定です。

530 : :05/01/18 02:43:22 ID:???
>>529
NSのMIBファイル見ればいいだろ

531 :じゅにふぁー:05/01/18 19:15:01 ID:???
NSRのあたらしいやつ(8.5)って何が変わったの?
見た目に変わるようなことは無いのかな?


532 : :05/01/19 00:40:48 ID:E2ckt8RT
NSR(8.0)で、Disconnectしてしばらく経つと認証ダイアログボックスが
ポコッと出てくる。
そんな現象に悩まされている方、他にもいらっしゃいますか?
つーか何これ?


533 :anonymous@ 210.189.30.129:05/01/19 10:50:09 ID:2cSxqs9L
>>532
Disconnectだけじゃだめよ。deactivate security policyやんなく茶。

534 : :05/01/19 14:44:18 ID:bKDHF6MY
>>533
なぬ?みんなそうなの?
もしや仕様?


535 :NS50:05/01/19 16:50:00 ID:???
>530
おっしゃる通りです。私の調査不足でした。
ちゃんと探したら見つかりました・・・

せっかく調べたので皆知ってるかもしらんけど報告します。

1.3.6.1.4.1.3224.16.1 --- nsResCPU
1.3.6.1.4.1.3224.16.1.1 --- nsResCpuAvg (INTEGER)
1.3.6.1.4.1.3224.16.1.2 --- nsResCpuLast1Min (INTEGER)
1.3.6.1.4.1.3224.16.1.3 --- nsResCpuLast5Min (INTEGER)
1.3.6.1.4.1.3224.16.1.4 --- nsResCpuLast15Min (INTEGER)

536 :maxim:05/01/20 16:27:56 ID:???
>>531
XPSP2対応
リリースノートよむよろし

>>534
仕様
であくてぃぶしなくても、
ConnectからのみVPN接続できるよう設定すればなおる鴨

537 :5gt:05/01/22 00:23:06 ID:???
はじめまして。NSのチッチャイのを専門に設定してる者です。
現在5gt(5.0.0r8.1)を設定しているのですが、[Addresses]→[List]
の設定でよく分からない部分があり、ご存知の方がいらっしゃれば
教えてください。

アドレスの指定を[Domain Name]にして、
「"特定のドメイン名(例:odn.ne.jp)"を含む"不特定のホスト
(例:www.odn.ne.jp、smtp.odn.ne.jp)"」を指定したいのですが、
可能でしょうか。

以下のように設定したのですが、上手くいかず。。。
----
set address "Untrust" "test" *.odn.ne.jp
----
マニュアルにも載ってない(見つからず)し、不可能なのでしょうか。
設定例とか落ちてないかな、と捜索中です。

538 :anonymous@ 61.195.45.201.eo.eaccess.ne.jp:05/01/22 10:07:53 ID:CK4+AdxD
ちょい質問なんだが、
Netscreenの機能で、ネットワーク上を流れるパケットの量を計ることって出来たっけ?(;´Д`)

539 :_:05/01/22 10:11:08 ID:???
>>538
NetScreenを通過するパケットじゃなくて?

540 :a:05/01/22 10:32:13 ID:DnUvb2TC
>>538
539も逝ってるが、通過するor受け取るパケットじゃないとわからんと思うぞ。
switchなんか関係ないパケットはNetScreeのポートには送らないんでわかりようがない、
と思う。

通過、受け取り系なら get flow interface hoge(だったけ?あやふや)とかのコマンドでわかるよ。
SNMPでも値とれるしね。

541 :a:05/01/22 10:43:29 ID:DnUvb2TC
>>537
NetScreenのKBをちょっと見たけど、だめだと思う。

というのは、nskb4788に”How do I block access to eBay?”ってのがあるんだけど、
そこに書いてあることは、
from Trust Any to Untrust *.ebay.com deny
ってルールを書けばすむのに、もくもくと ebay.comアドレスグループを設定して
やれ、www.ebay.com だの cgi.ebay.com などと登録しているからなり。

Applicable ScreenOS:は4系だけど、5でもそのへんかわったって聞かないしね。

542 :5gt:05/01/22 13:24:13 ID:???
>>541
情報ありがとうです。
こちらも探したのですが、やはり無い様子。。。

ちまちま設定することにしまする。お客様にホスト名の
洗い出しお願いせんとな〜(><

543 :anonymous@ 61.195.45.201.eo.eaccess.ne.jp:05/01/22 14:18:51 ID:CK4+AdxD
>>539
>>540
受け取りのことです
get flow intですか・・・・試してみます、ありがとうございます。



544 ::05/01/22 17:39:41 ID:???
流れと関係ないけど

漏まえら!NTP鯖に福岡大学を指定するのは止めましょう。
毎秒900件で2Mbps程帯域を喰われてるらしいです。

近くのNTP鯖に変更お願い致します候。


545 :?:05/01/22 17:44:37 ID:???
>>544
ごめんなさい、NTPをインターネットからとる案件では
お客のISPがNTP用意してないときはいつも福岡大にしてます

ご丁寧に2台とも書いてます
以後、気をつけます

>>543
get counter flowで全部見れます

546 ::05/01/22 23:21:49 ID:???
>>545
そう言う漏れも、過去の導入で大量に指定してしまくっていたりする。
反省の意味も含めて、漏まえらにお願いさせていただいております。

547 :_:05/01/22 23:23:28 ID:???
もう数年前からmfeedにしてるなぁ

548 :anonymous@ 218.45.72.101.eo.eaccess.ne.jp:05/01/24 21:24:28 ID:fvEZWuXD
5gt(5.0.0r8.1)を設定しているのですが、Untrust側からhttpsでの
接続をTrust内のマシン1台にIPをマッピングさせて外部から接続できるようにしたいのですが、どうしたらよいのでしょうか?


549 : :05/01/24 21:53:16 ID:???
>>548
マニュアルを読んで書いてある通りに設定してください


550 :anonymous@ 218.45.72.101.eo.eaccess.ne.jp:05/01/24 22:41:38 ID:fvEZWuXD
マニュアルが英語で読めません。

551 :anonymous@ YahooBB219008108069.bbtec.net:05/01/24 22:53:56 ID:tBBXwAmY
sarasara

552 ::05/01/24 23:26:41 ID:???
>>550
日本語マニュアルを読んでください。

553 :anonymous@ 218.45.74.142.eo.eaccess.ne.jp:05/01/25 23:38:33 ID:ISE4fIFg
日本語マニュアルなんてみたことない

554 :.:05/01/26 01:08:52 ID:???
>>553
Juniperサイトに池。
USサイトに飛ばされるがそこから日本語マニュアルはダウソ可能。

555 ::05/01/26 10:41:48 ID:???
[Screening] - [Screen] の画面でZoneをUntrustにして
[Block HTTP Components] - [Block ZIP Component] をチェックすると
外部からのZIPファイルをブロックできると思っていたのですが
実際にはダウンロードできてしまいます。考え方間違ってますでしょうか?

556 :ななし:05/01/26 15:37:43 ID:???
>>525
MRTGよりcacti使え。

557 :anonymous@ U066011.ppp.dion.ne.jp:05/01/26 17:04:55 ID:mU3wkDY5
NetScreen-Remoteので接続ができなかったので
Log Viewerをみると

Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
SENDINIG>>>> ISAKMP OAK AG (SA, KE, NON, ID VID, VID, VID, VID)
message not received! Retransmitting!
...2行目、3行目を3回
Exceeded 3 IKE SA negotiation attempts

がでていました。半年まえはつながったんですけど、
今月久しぶりにつなげたらだめになってました。
PCの設定は全く変えていないのですが、
どのあたりがまずいのでしょうか?


558 :maxim:05/01/26 20:34:22 ID:???
未確認回答。

>>555
Trustじゃねーの。

>>557
P1のネゴが出来てない。
NSにパケット届いてるか確認する。


559 :anonymous@ sbyvtr.comp.dion.ne.jp:05/01/27 02:24:47 ID:3mTvKuf5
>>558
届いてないみたいです。

560 :maxim:05/01/27 09:34:01 ID:???
>>559
宛先GateIPが違うか、どっかでisakmp:UDP500が落ちてるんじゃね?
最近BBルーター変えたならその辺りが怪しいっぽ。

561 ::05/01/27 10:30:41 ID:???
>>559
取りあえず設定を見直す。

NICや接続形態を変えると
全く設定を変えてなくても
Internet InterfaceがAnyになる時があるよ。

562 :U-名無しさん:05/01/27 13:28:30 ID:???
maximさん、鳩さんありがとうございます。

>>560
NetScreen-Remoteを
deactivate Security Policyにしてtracertするとつながらなくて
activateにするとtracertで最後までいけます。

>>561
Air H"つかってDION経由で社内LANにVPNしようとしてます。
設定を確認してみます。

初心者なもので、Googleで調べながらあたふたしながらやってます^^;


563 :maxim:05/01/27 17:40:23 ID:???
>>562
Tracertって宛先は社内?もし通るなら接続できてるのでは?
昔との環境差があれば上げて貰えると判ると思われ

AirHだと接続後一度ディアクティブにしてPolicy再読み込みせんとだめぽかも

564 :U-名無しさん:05/01/27 18:33:06 ID:???
>Initiating IKE Phase 1 (IP ADDR=xxx.xxx.xxx.xxx)
ADDRのアドレスは社内の鯖です。
環境差というのはPCのことでつか?

565 :U-名無しさん:05/01/27 18:39:34 ID:???
アンカー忘れた・・・
>>564
>>563

>>561
ANYでした。

566 ::05/01/31 12:03:44 ID:???
>>>555
>Trustじゃねーの。

UntrustでもTrustのどちらも
[Block EXE Component]をチェックしてもexeファイルが
通過してしまうようです。


567 :maxim:05/01/31 19:06:10 ID:???
>>564
環境差はPCあんどNS側ね。
TraceRT成功したときもRemoteのLogは一緒?

>>566
FTPにリダイレクトするやつはダメぽ
あと非標準時もだめね。

568 :ニャー:05/02/01 20:59:05 ID:???
現在のinterfaceのMTUを見るコマンドってないんでしょうか・・・

569 :わん:05/02/02 11:31:06 ID:eMJ0KQuu
>>568
get interface したら出てこない?
なにも出ていないのならデフォルトの 1500なり

570 :わん:05/02/02 13:10:21 ID:eMJ0KQuu
確認したけど、
get interface ethernet1 みたいなことすると、1500から変更してたら
admin mtu 1400 みたいな感じででてました

571 :anonymous@ p11231-ipbffx02marunouchi.tokyo.ocn.ne.jp:05/02/03 19:37:35 ID:Gq8Yb/Nz
お世話になります。
2台のWEBサーバー2台を外部に公開したいのですが
どのようにしたらよろしいでしょうか?
VIPを使うとは思うのですが
その先の設定がいまひとつよくわかりません。
よろしくお願いします。

572 :anonymous@ p11231-ipbffx02marunouchi.tokyo.ocn.ne.jp:05/02/03 20:31:49 ID:Gq8Yb/Nz
すみません。先ほどの者です。
外部の端末からSSHでサーバーにログインしたいのですが
できないです。
SSHのポートは空けているのですがどうしてでしょうか?
どなたかご存知の方がおりましたらご教授ください。

573 :anonymous@:05/02/03 22:02:22 ID:???
>>572
SCS が Port 22 になっているなら別の番号に変更してみたら?

574 :i:05/02/06 22:32:22 ID:5MaKM1MA
netscreen-25を使っておりますが、DMZ側の端末からインターネットへアクセスできません。
Pingも通りません。
Trust側の端末からは問題なくアクセスできるのですが、どこに問題があるのでしょうか?

PolicyはDMZ・Trustとも同じで特にフィルタはかけておりません。
モードはDMZ・TrustともにNATモードです。


575 :.:05/02/06 23:05:20 ID:???
>>574
log

576 :574:05/02/06 23:12:33 ID:5MaKM1MA
具体的には、MIPで設定したサーバから外部へアクセスできないのです。
ためしにPingをうってみて、全てを通す(Any:Any permit)ログを見てみると、

Source address:192.168.1.2
Translated address:210.*.*.*(MIPで設定したIP)
Service:ICMP
Byte send:94
Byte recieved:0
となっており、送信はできているが受信ができていないようなのです。




577 : :05/02/07 02:40:14 ID:???
>>576
MIPが間違ってるのでは
TrustとMIPを入れ替えてみれば?

というか、何でMIPなのにNATモードなの?

578 :anonymous@ 210.249.106.32:05/02/09 19:36:34 ID:???
ScreenOS 5 でも、PPPOEの同時接続は1つだと考えてよいでしょうか?
PPPOEの切替機能はあったように思うのですが..._| ̄|○
個人的に、マルチセッションで張れれば非常にありがたいのですが
みなさんどうですか?

579 :人柱?:05/02/10 00:52:21 ID:???
>>578
先日リリースされたScreenOS 5.1からPPPoEのマルチセッション対応しているらしいが・・・
ぜひ試してここに結果を書いて下さい・・・

580 :anonymous@ i218-47-26-65.s02.a013.ap.plala.or.jp:05/02/11 20:29:02 ID:T3RaeLBI
>>578
>>579

検証した限りではちゃんと動くよ〜

581 :ねとすくりーん:05/02/12 14:29:57 ID:???
そんなこと、自分でやってみれ!と言われそうですが...
PPPoEマルチセッションオッケーならば
1つ目PPPoE:ISP接続でインターネット(+他のセキュリティGWとのIPSecVPN)
2つ目PPPoE:フレッツグループベーシックでVPN無しのIPv4OverIPv4のカプセル化通信
ってことは出来るのかね?
そもそもNetscreen自体はIPSecで暗号化せずにIPv4OverIPv4でカプセル化通信って出来たのかな?


582 :anonymous:05/02/16 13:23:04 ID:UnOiNMLs
ログ解析に使えそうなツールを探してるんだけど、有償ばっかりで・・・
フリーで何かいいツールをご存知の方はいませんか?

583 :anonymous@ 211.10.219.115:05/02/19 03:01:30 ID:4/heX/Ry
pppoe instanceってなんですか?


584 :anonymous:05/02/23 12:46:02 ID:rN2mK/74
>>583
xDSL接続のことじゃない?

585 :anonymous@ tetkyo042075.tkyo.te.ftth2.ppp.infoweb.ne.jp:05/02/23 15:33:24 ID:???
いいですね

586 :anonymous@ 159.91.138.210.xf.2iij.net:05/02/23 15:46:19 ID:???
よいですよ。

587 :anonymous@ 61.194.196.227:05/02/25 19:49:24 ID:???
94 のページ今はみれないので、代わりのページしってる人いたら
おしえてください。お願いします。






588 :ひょー:05/02/26 09:25:08 ID:0gxPHoX6
>>587

93がどういうものかちょっとわからないけど、"windows & ipsec"で検索したらこんなの
でてきた。

How do I use Windows 2000 for L2TP over IPSec?
http://2550.support.juniper.safeharbor.com/knowbase/root/public/nskb995.htm?

これは役にたたへん?

589 :anonymous@ z228.61-45-57.ppp.wakwak.ne.jp:05/03/01 00:46:45 ID:iX8NjMCd
助けてくださーい
windows XP SP2を最近かいましてNSR-VPN85-XP
をインストール。
HOTFIXを適用しても繋がらず、へこんでます。

590 :ano:05/03/03 08:52:58 ID:c9q7pZpI
>>589
もちっと、状況を書かないと誰も答えようがないべ


591 :anonymous:05/03/03 10:16:53 ID:CiNsHWeY
>>589
単にWindowsファイアウォールに邪魔されてるだけじゃ・・・

592 :589:05/03/06 04:59:47 ID:mpD908MD
>>589です
ログは下記が出てます。
ファイアウォールを無効にしても症状変わらずです。
Initiating IKE Phase 1
SENDING>>>> ISAKMP OAK
RECEIVED<<< ISAKMP OAK
Initiating IKE Phase 2
SENDING>>>> ISAKMP OAK
QM re-keying timed out. Retry count: 1

593 :ano:05/03/06 09:26:04 ID:Ihne8yXX
>>592
Phase1は完了しているから、鍵が違うではなさそう。
Phase2のプロポーザルかポリシーがクライアントとサーバでは違っている
ような気がするのでその辺の設定を中心に確認してみれば?
プロポーザルってのは、何で暗号化して、とかそういうの。
ポリシーってのは、どこからどこへの通信をトン寝るするか、とかそういうの。

594 :589:05/03/07 01:45:10 ID:TY0JoEYp
>>592さん
現在Phase2のプロポーザルの設定は
ESPで
Encrypt Alg→DES
Hash alg→MD5
Encapsulation→Tunnel
です。
XPのIPsecの設定ですかね。

595 :593:05/03/07 14:19:05 ID:MMqt2QEW
>>594
NSR側の設定を確認ですね。
Encrypt Alg → DES がなんとなく違いそうなんですが。(いまどきDESは使わんだろ)

あと、NS側ではどのような通信をトンネルするように設定していますか?

596 :594:05/03/08 00:34:19 ID:NDS6NYok
>>595さん
実はもう一台のPC XP(SP2ではないです)
では同じ設定で通信できております。
NSRのバージョンが違うだけです。。



597 :anonymous@ ntibrk011061.ibrk.nt.ftth2.ppp.infoweb.ne.jp:05/03/09 11:22:03 ID:1LNOaeg4
教えてください。
NetscreenリモートとCiscoのVPNクライアント、WinXPに同居させられますか?
接続先によって、NS、Ciscoを使い分けたいのですが。

598 ::05/03/09 11:26:35 ID:???
>>597
クライアントソフトで使い分けずに
一方のクライアントソフトを使って、接続設定で使い分けるのは駄目なの?

599 :597:05/03/09 11:35:24 ID:1LNOaeg4
>>598さん
そういうことができるんですね。
やってみます。ありがとうございます。

600 :594:05/03/09 12:54:29 ID:Ld9uD4O6
>>596
同じ設定で通信できていますか、これは失礼。
NAT-Traversalとかが影響しているとかは無いですか?

例えば、ちょっと古いNAT-Traversalのバージョンだと、udp=500で通信しますが、
新しげのNAT-Traversalではudp=4500で通信します。これがフィルタされているとか。

NSRのバージョンが違うとのことなので、ちょっとそういうことも思ったしだい。

p.s
NAT-TraversalってRFCになったんですね。

601 :600:05/03/09 12:55:37 ID:Ld9uD4O6
上は595の間違い。。。。orz
ついでに 600げっとんだった。。。orz orz

602 :わからずや:05/03/11 21:50:14 ID:qf1BX3Vl
Netscreen5GT Plus OSは4.0.0r5.3 を使用しています。
これでVOIP TAを社内に設置し、Netscreenに5060のポートを空ける必要が
出てきました。これって可能でしょうか?

603 :anonymous@ p8b8474.tokyus00.ap.so-net.ne.jp:05/03/12 02:21:10 ID:???
可能

604 :594:05/03/12 02:49:30 ID:X4lWnGda
>>600さん
udp=4500になってますね〜
でもIreIKEのプロセス立ち上がっていてudp=500
です。。。


605 :600:05/03/12 08:47:06 ID:Q7D4up+R
>>604
もう、いっそのこと、サーバ側ちうか、VPNを受けるNetScreen側で
debug ike detail してみては? これですべてがわかるはず :)

606 :わからずや:05/03/12 09:55:39 ID:/qGDr+nP
603様 ありがとうございます。
Object→services→customでできますね。あと初心者的な質問ですいませんが
今回固定1IPのプロバイダ契約をしてます。当然IPはルータのuntrustに割当て
ます。外部からSIPおよびRTPでのポート通信の時に社内VOIP TA(プライベートipアドレ
スが割当てられてます)と通信させることは可能でしょうか?

607 :ns-beat:05/03/13 14:11:25 ID:???
IKEハートビート使ってる方いらっしゃいますか?
heartbeatの設定は hello, threshold 共に デフォルト(5) で問題ないですか?

608 :ns-monitor:05/03/13 22:21:39 ID:yF2GFJ7k
>>607
デフォルトで良いか悪いかは環境によるんじゃね?
てか、IKE heartbeatよりVPN monitor の方がわかりやすくてあたいは好きだな。

KB には一般的にルーティングベースのVPNのときはどっちで、ポリシベースVPNのときは
どっちってなことが書いてあったけど、どっちがどうか忘れてしまった。。。スマソ

609 :ns-beat:05/03/14 21:35:54 ID:???
>>608さん
ありがとうございました。お礼がおそくなりすみません。
ちなみに,、ルーティングベースVPNでやってますけど、IKEheartbeatとVPNMonitorもどっちも試してみます。
どっちがどうなんでしょうかね?マニュアルじっくり読んでみます。。。


610 :_:05/03/15 20:57:03 ID:XKgo3Pr3
初歩的な質問で申し訳ありませんが、わかる方おしえてください。
Netscreen5GT Plusで
1.Trust側にセカンダリIPをふれるのでしょうか?
2.ふれるとしてプライマリのIPセグメント←→セカンダリのIPセグメント
は通信できるのでしょうか?

PCA--192.168.1.0/24--NetScreen5GTPLUS(Trust)---10.0.0.0/24--ルータ--172.16.0.0/24--PCB
PCAとPCBはつうしんできるのか?

3.セカンダリ-プライマリで1対1NATはできるのでしょうか?
PCA 192.168.1.10 == 10.0.0.10
PCB 172.16.0.10
PCB から 10.0.0.10に対しパケットを送るとPCAに届くか?

いかがでしょうか?


611 :anonymous@ pd3ea23.tokyus00.ap.so-net.ne.jp:05/03/18 08:27:12 ID:???
>>609
何がやりたいのかわからない
2がやりたいけど、1や2で実現できるのか?って質問?

2の図をもっとまともなものに書き直せ

612 :ROCKMANX:05/03/18 23:22:40 ID:???
教えてほしいのですが、
Intra1---NetScreen--TA-ISP--Internet---NetScreen---Intra2で
接続した場合、トンネルはどの間ではられますか。
また、Intra2に到着したパケットの戻り先はIntra1のアドレスに
なるのでしょうか。悩んでます。

613 :ネットワーク初心者:05/03/20 15:50:15 ID:???
現在、5XT-ELiteとGT-Plusのいずれかの購入で迷っています。
私は、かなりの初心者なのですが、社内の業務システム関連のネットワークであり、
簡易なものなので自分でやってみろ、と言われて構築検討中です。

(目的)
1.NSに直接FTTHを接続
2.社内にはサーバ(Webシステム稼動)とクライアントが存在
3.サーバは外部からのアクセスとクライアントからのアクセスを受け付ける
4.サーバもクライアントもFTTH(Out)を利用する
5.サーバにはグローバルIPを割り当てずにNATを利用する

>>66を参考にさせて頂くと・・・
1.Work/Homeモード
2.サーバをHomeゾーン配下、クライアントをWorkゾーン配下に設置
3.HomeゾーンでNATを利用してサーバを公開
4.WorkゾーンからHomeゾーンへの通信を可能にする(>>64

と言うことで、いずれの機器でも目的の実現は可能かなと考えているのですが問題ないのでしょうか。

また、ScreenOSが「4.0.0DIAL2」か「4.0.0DIAL3」であることが必須条件だと考えているのですが、
現在、販売されている5XTや5GTにはこれらのOSが付属しているのでしょうか。
それとも、別途購入する必要があるのでしょうか。

お手数をおかけ致しますが、ご存知の方、ご教示いただければ幸いです。

614 :ネットワーク初心者:05/03/20 15:59:25 ID:???
>>613
連続のご質問で申し訳ないのですが、>>613で記載した目的を実現するためには、
5XT-Eliteと5GT-Plusのいずれが適しているのでしょうか。

>>85を参考にさせていただきますと、価格は5XTの方が上ですが、
スペック的には5GTの方が優れているとのお話しかと思っています。

また、5XT-Eliteの価格に少し上積みすると、5GT-Extendedの購入が可能なようなので、
いっそのこと、DMZゾーンが最初から確保されているExtendedの購入に
踏み切った方がいいのではとも思っています。
当然、Extendedでも、>>613の目的実現は可能だろうと思っているのですが、問題ないでしょうか。

最後に、購入先なのですが、ぷらっと様を検討しています。
こちらで購入した場合、初年度基本サービスが付属しているようなのですが、
二年後以降の保守契約はどちらと締結するのかご存知でしょうか。
>>126には、ソフトバンクBB様とのお話しが出ていますが、
残念ながら、私はそのような記載を見つけることができませんでした。

教えてばかりで申し訳ないのですが、宜しくお願いします。

615 :hoge:05/03/21 00:03:51 ID:???
>>614
確かぷらっとホームのNetScreenは日立システムアンドサービスから入れてるんじゃなかったか?
当然次年度も基本的にはそこと保守契約だろう。

616 :ネットワーク初心者:05/03/21 02:34:27 ID:???
>>615
有難うございます。
週明けにでも、念のため、ぷらっとホームさんに確認してみます。

617 :anonymous@ 43.9.244.43.ap.livedoor.jp:05/03/21 03:29:39 ID:???
>>614
私も初心者なので回答は出来ません。申し訳ないです。

今、ぷらっとオンラインを見てみたら、XTはGTの後継機扱いになっているように思います。
ますます、GTの方が廉価な理由がわかりませんね。

他サイトの仕様表を見てみると、「認定」の項目が異なるようですね。
ttp://www.hitachi-system.co.jp/netscreen/sp/product/5xt_5gt_5gt-extended.html
認定を受けている数が多い分だけ、XTが高価なのでしょうか。

618 :a:2005/03/21(月) 10:22:51 ID:???
ぷらっとなり日立なりに電話してきけば?
2chの情報うのみにして仕事するつもり?

619 : :2005/03/21(月) 20:49:53 ID:???


620 :ななし:2005/03/21(月) 21:53:57 ID:???
IPsecのクライアントソフトの使い勝手はいかがですか?

202 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)