Netscreenユーザスレ r2.0

1 名前:ScreenOS :03/09/30 11:51 ID:qw83lwUS
どれぐらいの人が使ってるんでしょうか?
最近結構売れてるような噂を聞きますが

本家
http://www.netscreen.com/
http://international.netscreen.com/
目立
http://www.hitachi-system.co.jp/netscreen/
その他
http://www.allied-telesis.co.jp/products/product/netscreen/
http://www.sc-comtex.co.jp/products/netscreen/
http://www.nvc.co.jp/product/netscreen/
http://www.rikei.co.jp/dbdata/products/productj207.html

個人・SOHOユーザー向け
NetScreen 取扱製品一覧 - ぷらっとオンライン
http://online.plathome.co.jp/list_by_maker.html?maker=945
NetScreen-5GT 10User(初年度基本保守費用込)
http://online.plathome.co.jp/detail.html?scd=12440770

前スレ: Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

2 名前: :03/09/30 11:52 ID:qw83lwUS
いきなりdat落ちして即死だったので、立て直しました


3 名前:anonymous@ fw.atakakogyo.co.jp :03/10/01 09:28 ID:???
hosyu

4 名前:4ゲト :03/10/02 00:50 ID:???
またdat落ちするんじゃないの?

5 名前: :03/10/02 15:04 ID:???
5GTのウィルス駆除機能マダァ?

6 名前:○anonymous :03/10/03 03:49 ID:???
>2

カタログにあるような質問で終わってたから、
dat落ちに気づかなかったよ(w;

皆で無視して、ほっとかれたんだと思ってた。



7 名前:えりか :03/10/06 09:16 ID:r3SeAti8
聞いた情報
リリース来年になりそう 
別途ライセンスが必要
価格未定
シグネチャはトレンドが供給

8 名前: ◆QA.F.72086 :03/10/07 05:42 ID:aRZEpiaC
                   __
                 ,r=''""゙゙゙li,
      _,、r=====、、,,_ ,r!'   ...::;il!
     ,r!'゙゙´       `'ヾ;、, ..::::;r!'゙
    ,i{゙‐'_,,_         :l}..::;r!゙
.  ,r!'゙´ ´-ー‐‐==、;;;:....   :;l!:;r゙
 ,rジ          `~''=;;:;il!::'li
. ill゙  ....         .:;ll:::: ゙li
..il'   ' ' '‐‐===、;;;;;;;:.... .;;il!::  ,il!
..ll          `"゙''l{::: ,,;r'゙
..'l!       . . . . . . ::l}::;rll(,
 'i,  ' ' -=====‐ー《:::il::゙ヾ;、
  ゙i、            ::li:il::  ゙'\
  ゙li、      ..........,,ノ;i!:....    `' 、  ノハヽヽo∈
   `'=、:::::;;、:、===''ジ゙'==-、、,,,__ `' (’ー’*川  <GJやよ〜!
     `~''''===''"゙´        ~`''ー  (  ))
                         丿 |


9 名前:ドラゴンボール :03/10/08 01:06 ID:???
で、5GTってどうよ。情報キボン

10 名前:anonymous@ h121.p240.iij4u.or.jp :03/10/09 18:29 ID:rDrSaarI
気づいていないのか、ごまかされているのか、ベンダーからのアナウンスを
貰ってないところが多いようなので。。

5系を拠点において、DHCPサーバになっているなんてことは
結構あるからねぇ。

ttp://www.netscreen.com/services/security/alerts/10_01_03_57983_v003.jsp

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Title: NetScreen Advisory 57983

Version: 1
Original Publication Date: 2 October 2003
Last Updated: 2 October 2003

Impact: Potential Leakage of Sensitive Information via DHCP Offer

Affected Products: NetScreen Firewall/VPN appliances and systems
acting as DHCP Servers running ScreenOS versions up through 4.0.3r3.


11 名前:1 :03/10/09 23:38 ID:4LO04M0/
ネットスクリーンリモートって普通につかえる?
ルータ等、通さないでPC直付けでセンター側5XPでプログラム(ファイルメーカ)
を動かしたい。拠点AB(どちらもリモート)から同時に5XPにアクセスできる?

12 名前: :03/10/10 06:40 ID:???
>>11
ライセンスさえオーバーしなければ普通に使えると思うが?

13 名前:anonymous :03/10/10 13:09 ID:???
>>1
乙!!
俺は立てられなかったので感謝します

14 名前:TV会議 :03/10/11 00:48 ID:gWMxfktl
NetScreenでInternetVPN構築済みです。
そこにTV会議のシステムを載せたいがTV会議のベンダー
に「WAN上にIPマルチキャストが通らないとダメ」と言われた。
拠点が100以上ある為、ユニキャストでは現実的にダメらしい。
NetScreenのInternetVPN上でIPマルチキャストが通るか
誰か教えて下さい。
宜しくお願いします。


15 名前:えりか :03/10/11 01:27 ID:2HudAUq/
>14
ある筋によれば 現状のScreeOS4.Xではマルチキャスト通信には対応していません。でも、対応版はありー将来的には出荷されるでしょう
それより問題は
SIP or H323ではないでしょか?

16 名前:DVMRP :03/10/11 01:36 ID:???
>>14

とりあえずマルチキャストパケットがどうやってルーティングされるのか仕組みを勉強した方がいいと思うぞ。DVMRPとかPIMとか。そもそもどうすればWAN上にマルチキャストを通せるのか理解してますか?

製品は何であれIPsec VPNでマルチキャストを通す方法はGREでユニキャストにカプセリングして送る以外にあるんだろうか?

17 名前:えりか :03/10/11 02:34 ID:2HudAUq/
>>16 私は IPSEC上で流せると信じています。
ただし・サポートしている物があるか知りませんが
NS はrouteBaseVPNがあり、これとマルチキャスト対応で網は完成
後は FWのプロトコルサポートと考えています
ご意見聞かせてください

18 名前:? :03/10/11 03:48 ID:???
普通にIPだからIPSecに乗せること自体は何の問題もないでしょう

NS自体はPimを喋れなくても、
Trustから入ったマルチキャストを透過してトンネルに乗せて流すようなモードがあれば、
両端のNSの下にPim喋るルータがいればマルチキャストをForwardできるのでは?

でもEtherをカプセルするわけじゃないから、SrcMACとDstMACが変わっちゃいますね
Srcは変わってもいいだろうから、DstはNSがプロトコル判別してつければ問題ないのかな?

ていうか、NSがマルチキャストルーティングに対応すればいいだけの話か、、、


19 名前:5XT :03/10/12 16:19 ID:Ohe7EHnh
NetScreen 5XTではPPPoE unnumbered設定を教えてください。
Bフレッツビジネス、IIJ16IPです。

20 名前:19 :03/10/12 16:25 ID:Ohe7EHnh
ファーム4.0.3r3です

21 名前: :03/10/12 16:39 ID:???
>>19
マニュアル読んでね

22 名前:えりか :03/10/13 18:30 ID:rQw9c/HC
>>19
>>21
マニュアルには書いていない設定が多数ありますよ!!
そもそも、NSは、Unnuberedに対応した製品ではない!!
工夫により動作は、しますが!!こんなので何とか動く。
set pppoe username XXXX password YYYY
set pppoe netmask 255.255.255.255
set pppoe idel-interval 0
set pppoe auto-connect XX
set vr VRNAME ignore-subnet-conflict
set flow all-tcp-mss XXXX
set flow tcp-mss XXXX


23 名前:_ :03/10/13 18:53 ID:???
>>22
いや、pppoe-unnumberedってのを実装しているとこはドコも
ないんじゃないかな。

IP layerのpoint-to-point unnumbered-link対応は、ルータと
して発展してきた普通のアプライアンスなら普通に実装してる。

>>17
IPsec SAって何をモトネタにどう確立するのかご存知でつか。
peer-to-peerのtunnel/transport-mode以外にタワゴトレベル
でなく使える形態ってあったっけ?

24 名前:えりか :03/10/13 21:50 ID:rQw9c/HC
>>23
新参者なのにでしゃばるつもりはないのですが。。
NSは、Firewallを主に設計されたため、Routerの機能が充実していません。
ICMPのサポート・MTUやPPPoEにおいてもUntrustedをUnnumberにすることもできないようです。
そのため、(無理やり)いろいろな工夫が必要になります。経験上!!

また、NetScreenの機能にunnumberd-TunnelInterfaceという独自のVPNの設定があり、
SAはUntrusted同士でESPのTunnelModeで張りますが、ユーザには相手のTunnelInterfaceがダイレクトに
自分のNetに接続した形で見えます。あくまでも見かけ上です。
そのため、ユーザ設定は、自分のTunnelInterfaceにRoutingを設定するだけで、対向先に流れる設定も可能です。
当然、PolicyやIntraBlockに関連しますが。
しかしながら、MulticastRoutingに関しては、現在対応していないようです。
個人的な意見ですが、将来のScreenOSに期待しています!!!

25 名前:? :03/10/13 22:13 ID:???
>>24

>>23は、UnnumberdはPPPoEがどうのじゃなくて
PPPのカプセルが設定されたインターフェイスに対して設定されるものだから
OverEtherだろうがOverFrame Relayだろうが
下のレイヤは関係ないって意味かと

あと、NS自体のマニュアルかは分からんけど、
代理店がくれるマニュアルにはUnnumberdの設定方法が書いてありますよ、
住商と日立しか知らないけど

マルチキャストについては同意
というか、別に両端のTrustをBridgeするような動きが無くても、
出し側でマルチキャストのDst-IPが解釈できて、
受け側でDst-IP毎に対象プロトコルのDst-MACに付け替える実装ができれば、
出し側がマルチキャストをESPでカプセルしてトンネルに乗せることも、
受け側がそれをTrustにForwardすることも可能かと


26 名前:えりか :03/10/13 22:39 ID:rQw9c/HC
>>25さん、解説ありがとうございます。
   どうも、理解力が乏しくてすみません。
>>23さん、変な問答になり、気を悪くしないでください。
   結構苦労して使っているため、知識を共有したくって!

27 名前:TV会議 :03/10/13 23:00 ID:xid36wnT
皆様ご回答有難うござます。
IPSecはどうも苦手でして・・・。
ユニキャストではセンター回線の帯域が逼迫する為
TV会議はあきらめます。
有難うござまいました。

28 名前:_ :03/10/14 00:42 ID:???
>>24
それだと、結局sender側に位置するMC/VPN routerと回線は大変な負
荷を背負うんじゃないかな(沢山のSA handlingしながらreceiver宛
のmulticast packetをコピーしては沢山のtunnle-linkへ一々暗号化
して転送し...)。GREやIP over IP + IPsecでtunnlingしてmulticast
routing/proxyingすると同様に。

そういう負荷の発生を抑止できて、はじめてIP multicastがすんなり
IPsecに載った; といえるんじゃないかな。

29 名前:anonymous@ real2.kabutatu.com :03/10/14 16:52 ID:nCsi1PED
ファームアップ中ハングしちゃった。WebUIとコンソールとも接続不能。
どうしよう

30 名前: :03/10/14 17:39 ID:???
起動時に Hit any key for Boot/Diag mode のところで止めて
tftpでファームの転送すればいいんじゃない?

31 名前:名無し :03/10/14 20:03 ID:???
>30

いや、そういう意味じゃなくて、現場に誰もいない状態で
リモートからファームアップしたんでは?



32 名前:ななし :03/10/15 00:24 ID:???
NetScreen-RemoteのNAT Traversalなんですが、NetScreen Device(本体側)に
固定のグローバルIPアドレスが付与されていてもDHCPやPPPoEを
使っていると、使用できないのでしょうか。

以下のページを読んでいると minimum requirements の中に
それらしき記述があります。

http://nsremote-support.netscreen.com/netscreenknowbase/root/public/ns10150.htm

先程、NetScreen-RemoteをオーダーしたんですがNAT Traversalできない
のであれば、用途が限られそうです・・・。

33 名前:えりか :03/10/15 00:30 ID:Qn0CGOg2
>>28
そうですね。Router(NS)の負荷は大変重くなりそうですね。
考えてもみませんでした。
NSは、ASICですといわれますがこの辺はすべてCPU処理でしょうから。。。
他製品でMulticastRouter+IPSecはあるのでしょうか?
GREのTunnel経由ではMulticastも対応した高速なものもあるのでしょうか?
勉強不足ですみませんが、ご存知でしたら教えてください。

34 名前:えりか :03/10/15 00:51 ID:Qn0CGOg2
>>32
英語の解釈の問題では?
The NetScreen Device must have a public IP address.
This IP address must be a static IP address, and cannot be DHCP or PPPoE.
PublicのFIXIPが必要です。DHCP/PPPoEは、FIXIPをさしていないと思います。
また、自宅ですがScreenOS4.00Dial2で、
CableからDHCPでGlobalをもらっていますが、問題なく動いてますよ。
また、ここではNAT-Tとは、関係ないと思います。
Flet'sの固定IPサービスでも利用できると思いますが。。。

35 名前:  :03/10/15 06:00 ID:???
>>28>>33
非マルチキャスト対応なIPクラウドの両端デバイスでマルチキャストを
送受信することを目的とするGREのマルチキャストトンネルと、
VPN上のユニキャストトラフィックを軽減するためにマルチキャストをVPNにのせることは、
目的が違うので比べることじゃないでしょう。

負荷に関しては同程度のユニキャストを処理するときより負荷が高いわけではないから、
マルチキャスト対応してトラフィックそのものを減らすことの意味は十分にあるのでは?

RFC無視しまくりになっても、謎の独自インプリでマルチキャストを処理させたら面白いと思うんだけどな
#どうせ、今のLBやらFWって802.xやRFC無視しまくりだし

少なくともGREoverIPsecよりはオーバーヘッドは少ないと思うんだけど、どうでしょう?


36 名前:ななし :03/10/15 06:38 ID:???
>>34
DHCPかPPPoEであっても、固定IPなら問題ない。
という解釈で良いんですかね。

NetScreen-Remoteが届いたら試してみます。

37 名前:anonymous@ ntt2-ppp413.gunma.sannet.ne.jp :03/10/15 14:55 ID:M76hNPl+
すみませんがどなたか
NetScreen-Remoteが問題なく使用できる
ブロードバンドルーターを教えていただけないでしょうか?
実は現在使用中の某メーカー製ルーターが
NetScreen-Remoteを使用すると100%フリーズしてしまうのです。

38 名前:俺様 :03/10/15 19:41 ID:???
>>37
それY社のルータ?

39 名前:名無し :03/10/15 20:22 ID:???
>38

Y社のルータといえば、nessus使って、(管理下の外部)サーバをテストをすると、
自分のところのルータが落ちて、随分泣かされました。

ルータにアタックなんてしてないし、nessusの設定も、危険な試験は
オフにしてたのに。。


40 名前:37 :03/10/15 20:52 ID:???
いやB社(前はM)です。安かったので選んだのですが・・・。

41 名前:1 :03/10/16 00:11 ID:ztFhs6Ei
..37 netscreen remote の接続の仕方教えて。詳しくどうやって相手のフォルダ
とかファイルみてんの?

42 名前:えりか :03/10/16 00:25 ID:8L9FhjJ0
>>37
Routerが落ちる理由は、IPSECのTunnelを2本以上張った場合ですか?
以前、私もM社のRouterはダメだと聞きました。
NAT環境でNSRemoteを使っている人も多いと思いますが、
実績あるBBRouterがわからないので、会社ではNS5にしちゃいました。


43 名前:えりか :03/10/16 00:36 ID:8L9FhjJ0
>>35
NetScreenのMulticast対応版の仕様が入手できたらご報告します。
正式リリースはまだのようですが、alpha/Bata版ぐらいはあるかも。
お友達ネットで確認します。
ところで、Multicastを使って利用する主なサービス・アプリって何?
(この期におよんでお恥ずかしい話ですが)
TV会議は、GateKeeperとMCUを使って、ユニキャストですると思ってました。

44 名前:36 :03/10/16 01:17 ID:???
普通に使えますた。
お騒がせしてすいませんでした。

45 名前:俺様 :03/10/16 05:42 ID:???
>>43
IP−PBXのIP内線の一部の機能で使うメーカもあります

46 名前: :03/10/16 06:04 ID:???
>>43
マルチキャストでのデータ同期って、サーバ多いとFTPやNFSよりずっと効率がいいんで、
いくつものロケーションのサーバ間でVPN経由でデータ同期できたら面白いかも

一般のエンタープライズユースだと、リアルタイムの情報配信が主じゃないかな
プロトコルはまちまちだろうし、ベンダ独自だったりするかも

47 名前:37 :03/10/16 20:43 ID:9aZRMH+I
Tunnelは1本だけです。
というかNetscreen-Remoteのログを見る限り、
相手側からの信号が帰ってきた瞬間にルーターが落ちてしまい、
まったく接続ができない状態です。

>会社ではNS5にしちゃいました。
予算があれば・・・

48 名前:27 :03/10/16 23:13 ID:lEFtSvTZ
>>43
Multicast対応版の仕様が出たら是非教えて下さい!
TV会議でもPC画面上で動くもの(MPEGx系)はuni/Multi
のマルチ仕様(ダジャレではありません)が多いようです。
通常のTV画面でのTV会議システム(MCU制御)はuni
だけだと思います。




49 名前:えりか :03/10/17 02:24 ID:3krn1yl9
>>47
信号が帰ってくると落ちる?
EtherREAL等で両端のSnifferをとると犯人がわかるかも?
NSRemoteのLogViewerで見えるだとするとIKEのネゴの様子だと思われますが。
IKEは、UDPですよ!!特定のBitPatternで落ちるRouterだとすると。
格好のDoSターゲットだ!!
いずれにしろRouterメーカに問い合わせてみればどうでしょう!!

50 名前:37 :03/10/17 12:37 ID:???
えりかさん、何度も答えていただきありがとうございます。
実は、Routerメーカにはすでに問い合わせ済みで、
「現在、その会社のルータではNSRemoteは正常動作しない」
「原因調査中であるが、問題解決時期は不明」
「NSRemoteの使用を前提として購入したのであれば返品を受け付ける」
との回答を得ており、
問題のルータを返品してNSRemote対応のルーターに買い換えようと
思っている所なのです。
えりかさんの書き込みを読ませていただき、
BIOSのアップデートで解決できそうな気がしているのですが、
待っている時間があまりないので、ほかのルータに買い替えようと思います。


51 名前:51 :03/10/18 09:26 ID:kSw7TkB1
NSREMOTEはUDP500を使用して、NATtraversalするのですが
UDP500はVPNパスするーの対象パケットでもあるため各社のルータは
VPNパスするーの設定をOFFした時の挙動が違うのです。
まじで。
OFFするとフィルタリングするものとちゃんとNAPTしてくれるものがある。
ひどいのはBuf××のルータで、固まる。。
つーか、さっさと500番つかうのやめてくれ。→NS社
アメリカじゃそういうのはないんだろうけど。日本の激安ルータはねぇ。

52 名前:37 :03/10/18 09:32 ID:???
>>51
>ちゃんとNAPTしてくれるものがある。
できればその製品名を教えていただけないでしょうか・・・。

53 名前:51 :03/10/18 10:52 ID:kSw7TkB1
海外ものおよびVPNパスするーの機能がついていないものは大丈夫。
安く済ますならLANEEDの一昔前のVPNパスするー機能なしのものがあれば。
アライドテレシスARルータとか。
VPNパスするーがついていてOKなのはNEC製Aterm、YAMAHA(セキュリティレベル変える必要あり)
だめなのはLANEED、OMROM、Planex、メルコ、Corega(Coregaは上位機種は大丈夫かも)
VPNパスするーOFFにもできないか、OFFしたらUDP500をまともに通さない。
あ、でも、IPsecができるLD-BBR4M3なんかはOKだったり。
ファームウェアがあがっていくとどうなっているか保証の限りではないです。

54 名前:37 :03/10/18 18:04 ID:???
>>53
助かりました。ありがとうございます!!!

55 名前:えりか :03/10/18 22:08 ID:fmJaLi4I
>>51
NAT-Tで使うUDP500は
一般的な事だと思っていました
その他の物や変更できるソフトウェアありますか
携帯からなので...

56 名前:   :03/10/18 22:08 ID:???
ネットスクリーンに限らず、今のIP-secって、企業間の通信
に使うのって駄目じゃない?

セキュリティは守れるかも知れないけれど、インターネットに
接続されている、NSに向かって、ある特定のパターンのパケット
を送れば、通信がほとんど出来ない状態にする事なんてIPアドレス
が分かれば簡単なわけで。
NSがバグっていると言う意味ではなくて、今のIP-Secのプロトコル
の構造はそう言う仕様になってますから。
インターネットに繋いで重要な(切れちゃいけない)通信をIP-Sec
でやろうと考えるのはすすめないけれど、どうしてもやりたいなら
ルータで細かく対地ごとにフィルタしといたほうがいいです。

57 名前:51 :03/10/19 08:17 ID:kmSoPNrX
>>55
UDP500はSAの確立では一般的なことですが、Nattraversalではそうでもないようです。
ほかのメーカは、ポート番号変更や、UDPではなくTCPにできたり¨
Windows2003は、NattraversalができてUDP4500なんですか?
誰か教えてください。
NattraversalのRFC-draftにはUDP500とはかかれていなかったような。

されども私はNetscreen派ですが
NS社がんばれー

58 名前:anonymous@ gateway.qes.co.jp :03/10/20 10:21 ID:???
はじめまして。
5GTについて質問があります。
DMZのようなセグメントを作ることはできるのでしょうか。
ホームとかワークエリアを作成することが・・と説明されている
ところがあるのですがよくわかりません。
ご存知の方がいましたらお願いします。

59 名前: :03/10/21 02:37 ID:4hWuFxeA
そう、TCPできないと結構こまるのよ
それが理由でシスコに変えました、高かったけど

60 名前:えりか :03/10/21 03:16 ID:JX9hszNS
>>57
>>59
そうなんですか。TCPですか!
SecurityGate同士がTCPseesionを張って通過させると言う意味ですよね。
回線品質が悪い状況には、非常に強いと思われますね。
Flet's網なんかに最適となるのでしょうか。
Draft段階ですが、この状況では、Interoperablityはなさそうですね。
どうなることやら、NSさん!!NSRemoteのSafeNetさん!!

61 名前:えりか :03/10/21 03:27 ID:JX9hszNS
>>58
あまり、詳しくはないのですが、
ScreenOS400DialというFirmwareでは、オペレーションモードがあって
DualUntrustやHOME/WORKゾーンの定義が可能です。
5GTを家に置き、WORKZONEはVPNで会社とつないだPC、Homeゾーンは家庭の子供のPCをつなぐ。
こんな用途を想定しているようです。
DMZを作成する目的により代替の機能になるか否か判断してください。
また、通常の3ゾーン構成と異なり、ポリシー制御に制限があり、
Home->Workは通信できないようです。
やったことがないので、詳しい方、加筆していただくと助かります。

62 名前:anonymous@ gw1.aitai.ne.jp :03/10/21 08:32 ID:8PIXtyu1
Network-Lab.org 管理者により削除
 (スレに無関係なHサイト誘導レス)

64 名前:えりか :03/10/21 13:38 ID:A1l8ynB0
>>63
work=>homeは可能です

65 名前:うさぴょん :03/10/21 13:58 ID:???
ScreenOS5.0が11月に出るみたいでつね

66 名前:5XT :03/10/21 16:42 ID:EMVMPZGy
>>63
5XT + 4.0.0DIAL2r3使っている。DMZ問題なく構成できると思う。

Work/Homeモードで動作させている。
WorkゾーンIFをNATモードで動作させ、プライベートIPでUntrustゾーンにアクセスする。
HomeゾーンIFをROUTEモードで動作させ、グローバルIPを割り当てる。
HomeゾーンのホストをUntrustに公開するには、Policyを追加する。
Untrust -> Home : Address:Service : Permit
という感じで、UntrustからHomeへのアクセスは可能になる。

67 名前:ちんた :03/10/22 09:18 ID:???
>>61
>>66
ありがとうございます。
これで購入に踏み切れそうです。
あとは実機で試験してみます。

68 名前:anonymous@ server1.micnet-unet.ocn.ne.jp :03/10/23 11:06 ID:yk+0vsrC
はじめまして。 このたびネットスクリーン25を購入いたしました。
センター側    Netscreen25
拠点側(5拠点)  RTX1000
でVPNを組んでいますが、センター-拠点間のVPNがうまくいきません。
VPNはアップリンクしますが、センターのWEBも閲覧できない状況です。
本社-拠点間はBフレです。平均Ping 10msです。
拠点間同士はRTX1000同士でリンクさせ安定しています。
YAMAHAとつなぐときにはノウハウがいるそうなのですが、ぜひ構築されたかたがおられれば教えてください。


69 名前:_ :03/10/23 23:36 ID:???
>>68
IPSecを使おうとされてるのでしょうか。
NetscreenとRTXで相互接続の実績ってあるんですか?
異ベンダー間のIPSec相互接続は悲観的というレポートを2年ぐらい前に見たことがあります。
http://www.ipa.go.jp/security/fy12/report/ipsec.html

IPSecを使う時はベンダーをあわせなきゃ。
Yamaha同士でもrt103あたりだとファームウェアバージョンによってつながらないようです。
なやむよりもセンター側ルータをYamahaにする方が早い鴨

ググるといろいろ出てくるようですが。
http://www.google.co.jp/search?q=IPSec+%E7%9B%B8%E4%BA%92%E6%8E%A5%E7%B6%9A&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

70 名前:USGA :03/10/26 13:24 ID:???
>>68

ヤマハのサイトに設定例あるよ。

ttp://www.rtpro.yamaha.co.jp/RT/docs/example/ns-5xp/index.html

NS-RTX1000ではNAT Traversalは駄目みたい。
固定IPでMainモード、Preshared Keyならまずつながると思う。



71 名前:_ :03/10/27 14:35 ID:???
>70

接続互換性が良くて、安く仕上げたければ、
OpenBSDベースのものとか使うっていうのは無し?(w;

アクセラレータカード、カーネルでサポートしてます。

VPNスループットは、数万円の安カードで(33MHz PCI)
64byteショートパケット時 70M bps
1024byteパケットで、185Mbps
4096byteで200Mbps

20万程度のカードの場合は
64byteで、129Mbps
1024byteで、442Mbps
4096byteで、504Mbps

ポート増設も可能だし、Portレベルの冗長化も図れます。(w;



72 名前:えりか :03/10/29 02:17 ID:0N/IrBI6
>>71
ちょっと話題がそれるかもしれないけど、興味深々です。
FeeBSDでIPSEC+IKE(PreSharedKey)なんてやったことあります?
もしかしてNAT-Tなんかできると最高です?
現在、NSRemoteでメンテをしているのが楽になる(@@)\\\
情報ありますか?

73 名前:えりか :03/10/29 02:24 ID:0N/IrBI6
NS5GTのAV機能が動き始めそうです。
価格は、1年間の保守込みで1.5倍から2倍位になりそうです。
なんたってSignitureの随時更新があるそうです。
また、来年にかけていろんな商品が出て来るそうな!!
とりあえず、ご報告まで。。。正確な情報になったら再度流します。。。
NS社がんばれーーー。

74 名前:71 :03/10/29 03:21 ID:???
>72

もちろんあります。
OpenBSDでもやりました。

NAT-TraversalもOKです。

NS-Remoteとの接続も(センター側に*BSD)
NetScreenとの接続も経験ありますよ。

このカードで対抗できるのは、NS500で負け。NS5200でNSの勝ち。。

実用上は、、ですね。

#*BSDを PPPoE unnumbered で利用するなんていうことは良くあります。
# Linuxベースの場合もあります。NSの代わりに納品もありです。


75 名前:71 :03/10/29 03:33 ID:???
>72

PreShared Keyだけでなく、Open SSLでのCA接続の実績もあります。

IPsecの相互接続性は、こちらの方が高い
導入費用を下げられる
中堅どころの価格帯でポート増設可能
1000base-Tポートが使える
年間保守費用を抑えられる
もちろん、冗長化の対応が可能

といった理由で、こちらになることが多くなってきました。
snort組み込んで、FW/VPN/IDPゲートウェイにするところまでは
やっております。

現在、AV GW機能を組み込む試験中です。


76 名前: :03/10/29 23:17 ID:???
>>75
ハードだけなら安そうだが、メンテナンスなどトータルで考えるとNetscreenのほうが安そうだ

77 名前:75 :03/10/29 23:47 ID:???
>76

安心してください。FW-1風のGUIとかつけてるので、
操作は普通にできますよ。

なおNS200系より安くなってます。納品価格とか、保守料金もね。
性能はNS500級のものとの比較

AVは、別にライセンスフィー体系がなるので、なんとも言えないけど。




78 名前:  :03/10/30 00:11 ID:???
>>77
VPN専用のアクセラレーションの性能だけでは何とも言えないな

Firewallとしての性能はどのくらい出せるの?
Firewallもアクセラレータ処理?それともBSDのカーネルがやるの?
5000con/secとかいける?
NAT性能は?

冗長化の方式は?
ルーティングプロトコルは何が使える?

っていうか提案書ください(W


79 名前:77 :03/10/30 01:19 ID:???
>78

FireWall部は、BSD側でやります。
CPU性能にもよりますが、新規コネクション数は、余裕がありますよ。
IKE新規ネゴで、2000-3000/secぐらい。

冗長化は、要件によって、変えているけれども、
1) IP 2個での切り替え
2) IP 2個 仮想IP 1個での切り替え
の2種類

ルーティングプロトコルは、Unixで使えるものなら、
なんでも使ってください。その分、他の性能に少しは
影響が出ますし、FireWallで止めたら使えないですけど

> っていうか提案書ください(W

 作っている最中です.(w

 マジレスしてしまった。


80 名前: :03/10/31 03:52 ID:???
>>77
いや、メンテナンスなどのトータルていうのは、
通常のOSベースだと、もちろんHDDが付いてるだろうし、
また、OSインストールやアップグレードの際にも、Netscreenみたいにフラッシュに転送して
コンフィグ入力だけみたいに簡単にいかなそうってこと

またコンフィグバックアップも、単にテキストコピーでは済まずに、めんどくさそう

Firewall-1/VPN-1 などの置き換えには向いているかもしれないが、

81 名前:77 :03/10/31 04:12 ID:???
>80

OSはアプライアンス化しているので、インストール済み
アップグレードは、パッケージ化しているので、コマンド一発
Conifg は、基本的にテキストファイルです。
まとめて取得・展開するために、tarballのアップロード
ダウンロードにはなってしまうけど。

NSの場合でも、OSのアップグレード・ダウングレードの
注意点が色々出るのと同じ程度の手間はありますけどね。

まあ、BIG-IPよりは楽だと思います。(用途が違うものを比較して
しまった)RSSAなどより、、というべきでしたかね。

#しかしロードバランサって何であんなにメンテが不便なのか
#LPしかり。。

まあ、いずれにせよ、センター向けであって、
拠点向けでは無いですが。

# 拠点利用にはNS5が好きです。サポートフィーも安めだから。




82 名前:ななし :03/10/31 05:06 ID:???
>>79
*BSDのIPsecはkameですか。
NAT Traversalを独自に作りこまれたという事でしょうか。

83 名前:79 :03/10/31 21:00 ID:???
>82

http://www.syswall.de/index.php?syswall

競合製品もあるんで、これ以上は。


84 名前: :03/11/10 01:12 ID:V50Ijv7G
このスレでスレ違いな自社製品の売り込みやるやつがきてから、急に人がこなくなったな
売り込みならVPNスレでやれ

85 名前:ななし :03/11/11 08:08 ID:???
5GT Plus と 5XT Elie の違いがよく分からん。
スペック的には5GTの方が良さそうなんだけど、
http://online.plathome.co.jp/list_by_maker.html?maker=945
とか見ると、5GT Plusの方が全然安いし。

5GTの方が安くて旨いんでしょうか。
知ってる人います?

86 名前:anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp :03/11/12 00:48 ID:f372j9lG
>>85
リモートVPNのクライアント数いくつかな?


87 名前:85 :03/11/12 08:39 ID:???
>>86
どちらもVPNトンネル数は10なので、最大10ですね。
うーむ、Firewallのスループットが速い分だけ5GT Plusの方がよさげかなぁ。
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5gt.html
http://www.hitachi-system.co.jp/netscreen/sp/04_equipment/ns5xt.html
を見ても、ほとんど一緒。

88 名前:anonymous@ ipmsq.noisedance.com :03/11/12 14:00 ID:???
プラットホームへ逝ったら、5XTより5GTが安い。
フォーティゲートの影響下とおもうが、機能的には5GT>=5XTなのに、
金額が5GT<5XT!!!
5XTを買ったのに・・・・

89 名前:anonymous@ wacc1s4.ezweb.ne.jp :03/11/12 19:58 ID:gceWbGQ/
NSのVPNクライアントって別料金ですか?


90 名前:○anonymous :03/11/12 20:50 ID:???
>89

別料金です。



91 名前:yamyam :03/11/12 21:54 ID:???
ぷらっとほーむで128k円か〜
ファイバ導入に合わせて自宅用に購入してみようかしら。

92 名前:anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp :03/11/12 22:52 ID:???
>>90
クライアント料金無料か、10ライセンスぐらいバンドルの製品ってないですか?


93 名前:anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp :03/11/12 22:57 ID:???
今のルーターADSL8Mの時購入したのに、回線だけBフレッツにアップグレード
したんで、性能出てないんですよね。
FW未導入だったので購入予定だったのですが、VPNは会社的にあくまでオマケ。
だからクライアントライセンス別途有料だと厳しいんです。

94 名前:名無し :03/11/13 00:56 ID:???
>93
Win2KやXPなら下記のように内蔵のIPsecで接続させることも可能です。

ttp://services.netscreen.com/eserverweb/esupport_customer/consumer/esupport.asp
?id=GUID1f30e2e1%5Ff027%5F461d%5F9545%5Fa6461774873c&resource=&number=1
&isExternal=0&nShowFacts=&nShowCause=&nShowChange=&nShowAddInfo=
&activepage=statement.asp&bForceMatch=False&strCurrentSymptom=&searchtype
=normal&searchclass=QuickSearch&bnewsession=false&selecttype=match



95 名前:○anonymous :03/11/13 00:57 ID:???
>94

94=90

96 名前:anonymous@ p4189-ipbffx01chibmi.tokyo.ocn.ne.jp :03/11/14 17:12 ID:???
5GT Plus導入検討中♪
予算ないので、>>94の方法試してみたいな


97 名前:anonymous@ p6e071f.tokynt01.ap.so-net.ne.jp :03/11/16 12:29 ID:???
MacってNetScreenでリモートVPN出来ないんですか?


98 名前:○anonymous :03/11/16 12:46 ID:???
>97

できるよ。ちゃんとVPNソフト入れて設定すれば。

ただし、対応OS(パッチ適用レベルまで)しっかり合わす必要あるけどね。


99 名前:USGA :03/11/22 16:15 ID:???
ScreenOS 5を手に入れた人いる?
Deep Inspectionでどこまで見れるのだろう・・・

100 名前:__ :03/11/22 19:26 ID:???
alarm LEDってどうやって消すの? リブートしかない??

101 名前:USGA :03/11/23 15:49 ID:???
Solution ID: nskb1074

>clear led alarm

FAQなのでKBに載ってたよ。


102 名前:anonymous@ wacc2s3.ezweb.ne.jp :03/11/25 18:37 ID:9edHvz3G
保守払ってますか?


103 名前:anonymous@ usen-221x115x149x106.ap-US01.usen.ad.jp :03/11/25 20:09 ID:0ibOxR+2
5GT(10User)の導入を検討中です。
ScreenOS DIAL版って標準OS?それとも別途購入が必要?
いろいろなサイトを調べてみたのですがよく分かりませんでした。
ご存知の方いらっしゃいますか?

104 名前:anonymous@ p2935c3.tokynt01.ap.so-net.ne.jp :03/11/25 23:59 ID:???
在宅勤務にしようかと思ってるのですが、5GTを個人で買うならドコがお勧めですか?




105 名前:○anonymous :03/11/26 01:56 ID:???
>104

NTT-COMとかどう?

確か回線契約とセットで買えるよ

本体とソフトウェアサブスクリプションだけでいいというなら、
どこか伝手があれば、そこから買うのが安いかも。

うまくすれば、本体は半額強で手に入るかもね

106 名前:anonymous@ 61.194.54.62 :03/11/26 09:12 ID:???
NetScreen25+OCNなBフレッツの環境でつかってます。
UnTrustなIFでPPPoEを行っているのですが、いわゆるネットワークアドレスが
割り振られ逆引きできない状態になってます。
OCNに問い合わせをしてみましたが、ネットワークアドレスには逆引き設定できないとのこと。
#InfoSphereはやってくれるのにな
NATの外側のIPアドレスを明示的に指定する方法ってありますかね?
いまのままだと、見れないサイトとかあるんですよ。

107 名前:104 :03/11/26 12:48 ID:???
>>105
会社の分は、代理店からかなり安くかってるのだが 保守保守とうるさい
自宅分は自腹(手当ては出るが)なので、なるべく安く済ませたたいのです。
とは言え、外出先から自宅にリモートVPNもしたいからクライアントライセンスは買わないといけない。
SOHOな人たちどーしてんのかな?

108 名前:○anonymous :03/11/26 14:28 ID:???
>107

SSH tunnelingだったりします。

動的IPだったりした場合、その向こう側のサーバから、SSHセッション
張らさて、リバース操作で管理してたり。。

ありゃ、VPNの必要性が、、(汗)

前に書いたけど、出先からW2K/XPならOSのIPsecで
Unix系入っているなら、Freewareで、、
Win98だと言われたら、、SSH tunnelかなぁ。(ttsshなど使って)

どうにでもなります。>クライアント


109 名前:104 :03/11/26 21:54 ID:???
>>108
NATトラバーサル機能が必要な環境のところにも外出するんだけど
リモートVPNクライアントなくても、どうにでもなりますか?

110 名前:○anonymous :03/11/26 22:52 ID:???
>109

ルータとかFWが問題無いことを前提にした上で、(これは必須)

問題ありません。


111 名前:!! :03/11/26 23:04 ID:???

http://www.ntt-east.co.jp/ephelio/vpn/ps/

112 名前:anonymous@ p2935c3.tokynt01.ap.so-net.ne.jp :03/11/26 23:24 ID:???
>>109
http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/communications/remoteaccess/l2tpclientrelnotes.asp
標準で対応してるみたい

113 名前:__ :03/11/27 07:56 ID:???
>101
Thanx!!

114 名前:~)&;++!'& :03/11/27 22:18 ID:???
ScreenOS2.x/3.xマシンがバリバリ稼動中ですが、最近208と
500をインプリせねばならずScreenOS4.xと格闘中です。

技術講習にも参加しましたが、結局のところ3セグメント
以下の構成では3.xまでに比べ、設定が複雑になるだけで
ScreenOS4.Xにするメリットはほぼないとの結論に達しつ
つあります。

この理解で正しいでしょうか?
5XT/XPでScreenOS4.xにするメリットがあればだれか
教えてください。

また500のconfig例なんかがどっかに落ちてないかな?


115 名前: :03/11/27 22:43 ID:???
>>114
MIBサポートが桁違いっていうのは理由にならないかな?
SNMPでまともな管理ができるのは4.xから
これは中規模以上の案件ではかなり重要じゃないかな?

3.x以前なんてprivate.3224にwalkかけてもなーんにも帰ってこないお粗末ぶりだったよね

あとは双方向NATのサポートとか

#俺も2.xの方が好きだけど
#いまでだに1.66使ってるとこあるよ

116 名前:○anonymous :03/11/27 23:34 ID:???
>114

メーカサポートの問題を忘れていますよ。
バグが原因になったトラブルの対応は、3系だと終息気味だから。

それが気にならない、セキュリティホールが出ても放っておける場合は別

SA使った際のバグ対処のためのアップデートしたら、SNMPがエンバグして
くれたり、色々あっても、とりあえず現行OSベースなら、短期間に修正は
されていますが。

#おそらくファームの開発チームが2つ独立で動いているせいなんでしょうね。
#NS500は、結局20数台しか導入したことが無いです。何をしたいのかが
#あれば、ある程度の資料は出してあげられるかもしれませんけど。
#NS204/208は、数十台程度です。そんなに経験値無くてすみません。


117 名前:anonymous@ p4189-ipbffx01chibmi.tokyo.ocn.ne.jp :03/11/28 13:20 ID:???
UPnPに対応出来る?
メッセンジャーによるファイル転送の許可/不許可を制御したいのです。



118 名前:Mac OS9 :03/11/30 13:44 ID:???
Mac OS9からリモートVPN利用出来ませんか?

119 名前:○anonymous :03/12/01 14:27 ID:???
>118

一応OS9対応のFreeのVPNクライアントはあるよ。
ごく普通の出来。サイトは、手元に資料無いので、検索してね。

http://search.securepoint.com/index.phpあたりで引けば
すぐ見つかったと思う。


120 名前:ななしさん :03/12/02 13:04 ID:B1bhJpPD
AntiVirus機能対応age

121 名前:OS5出たね :03/12/04 07:01 ID:???
>>106

>set pppoe static-ip

で設定できないかな。


122 名前:名無しさん :03/12/07 22:44 ID:OqgThQCQ
ぷらっとほーむより安いところ見つけたよ。個人で買えるみたい

123 名前:OSX :03/12/08 01:02 ID:???
Mac OSX 10.3 ではL2TP over IPsecとPPTPに対応してるらしいのですが
自宅や外出先から、Netscreenにリモートアクセス出来るように出来ないでしょうか?
既に試した方いませんか?


124 名前:あんだんて :03/12/08 22:47 ID:???
初期化するにはどうすればいいの?

125 名前:anonymous@ FLH1Aaw188.chb.mesh.ad.jp :03/12/10 09:00 ID:???
ぷらっとなどで買った場合、1年過ぎたら保守契約延長はどこで契約するのでしょうか。
5XTや5XPで契約延長っておいくらなんでしょうか。

教えて君になってますね。すみません。

126 名前:VPN :03/12/10 10:35 ID:???
>>125
ソフトバンクBBという会社がサポートしてくれるらしいよ。
まぁ、おおもとは日立なんだろーけど

127 名前:anonymous@ 202.216.27.49 :03/12/15 16:47 ID:+Pmk5HNS
>>117
http://www.hitachi-system.co.jp/netscreen/sp/16_faq/faq_fw.htm
Q23  標準サポートでNetMeetingに対応しているとの事ですが、
UPnPには対応しているのでしょうか?

Netscreenは、UPnPに対応しておりません。
また、今後サポートする予定もありません。

理由は、セキュリティ上の問題にあります。
UPnPをサポートしていた場合、万が一トロイの木馬系のウィルスに感染した
ホストがFirewallの内側にいた場合、Firewallのポートを全てOpenにしてしまい、
外部からのアタックや不正進入を招いてしまう危険性があるためです。

128 名前:anonymous@ y065237.ppp.dion.ne.jp :03/12/18 21:41 ID:svIo2i3n
質問です。
IP8個もらえるサービスでBA8000ProとNetScreenを使ってVPNをしていたのですが、
ルーターが調子悪いので、別なルーターに変えたところ、
VPNクライアント側がグローバルIPだと繋がるのに、NAT配下だと繋がらなくなってしまいました。
NetScreenは何も弄っていません。
誰か解決方法を教えてください。

129 名前:128 :03/12/18 21:45 ID:svIo2i3n
クライアント側がNATルーター配下でもPINGは通ります。
だれか教えて〜

130 名前:○anonymous :03/12/18 23:12 ID:???
>129

交換前のルータと交換後のルータの機種・型番などの情報と
設定情報を書いてくれれば対応できるかな。

ルータ買い換えましょうって結論になる可能性もあるけど。(汗)


131 名前:128 :03/12/19 07:43 ID:Kewr1VMB
>>130

交換前はNTT-MEのBA8000Pro(PlanexのOEMのようです)
交換後はNTT-MEのMN8300(住友電工のOEM)

どっちも複数グローバルIPサービスで使っています。

132 名前:128 :03/12/19 08:05 ID:Kewr1VMB
クライアント側のNATルーターはAterm DR322GVです。
今までは使えたのだから、こちらに原因はないのかな??

よろしくお願いします。

133 名前:○anonymous :03/12/19 09:44 ID:???
>131

MN8300<->NS間のIPsec?
それとも、PC(IPsec Client)->MN8300<->NSのIPsec?

IPsecパススルーの設定は?


134 名前:128 :03/12/19 09:56 ID:t8LPTGt7
後者のほうです。

鯖〜NS〜MN8300 <-> Aterm〜VPNクライアント(プライベートIP) で繋がらなくなりました。
鯖〜NS〜MN8300 <-> VPNクライアント(グローバルIP)だと繋がります。
MN8300にも前に使っていたBA8000Proにもパススルーの設定はありませんでした。
ただ、MN8300はIPルーターモード(NATではない)で使用しているのでパススルーが機能していないような気がする。
なぜなんだ〜

135 名前:128 :03/12/19 10:35 ID:jtnuca6S
別の古いISDNルーターで接続を試みたらなんと接続できました。
原因はAtermかクライアントパソコンにあるのかな??
帰ってから原因追求してみます・・・

136 名前:NS :03/12/22 14:30 ID:???
NS買って、サポートに電話したら導入時の設定についての問い合わせは有料だと相手にしてくれないんですが、NSってそーいう商品なの?
NSは初めて買ったけど、過去に購入したネットワーク機器、シスコ、ヤマハではそんな事なかったのに...



137 名前:○anonymous :03/12/22 14:39 ID:???
>136
質問の内容によるんじゃないのかな?


138 名前:○anonymous :03/12/22 22:51 ID:???
>136
補足。。。
購入先にも寄ると思われます。

サポートしない分安い購入元を使った場合は、当然、そうなることが
予想されますね。(CISCOなどでもしかり)

購入元が代理店であっても同じです。

#うちは、タダでやってるけどさ。


139 名前:りぃな :03/12/23 19:16 ID:d1747H4d
NetScreen5XTについて質問です。

ダイアルアップユーザーから管理したいのですが・・・
許可するアドレスを限定するような事は可能でしょうか?

ScreenOSは4.0.0です。
NSRemoteは8.0です。

140 名前:松井 ◆...VBh.www :03/12/23 20:22 ID:0589NACm
突然ですが皆さん
創価学会についてどう思いますか?
興味ありましたらあなたの意見をお聞かせください
YAHOOチャットの政治カテゴリのユーザールームに
創価学会YAHOO支部という部屋があります
ただ今そちらで熱い議論を繰り広げております
マイクを使ってボイスで討論もしています
YAHOOにログイン後ご入室ください
心よりお待ち申し上げております
以上、宣伝でした

141 名前:anonymous@ zaqdb73e7ce.zaq.ne.jp :03/12/25 15:49 ID:???
さげ

142 名前:  :03/12/30 01:34 ID:???
兄貴!SNMP で、アクティブなセッション数を取得する事は可能ですか!?
MRTG 等のツールで、セッション数をグラフ化したいのです。

MIB ツリーにざっと目を通したのですが、俺様の脳では判断不能で御座います…
# SNMP で無く、telnet > get session で取得した値を使う等の
# トリッキーな方法なら出来そうですが

ちなみに、ScreenOS の Version は 4.0.1r9 です。

143 名前:anonymous@ o143081.ppp.asahi-net.or.jp :03/12/30 02:44 ID:???
内藤猛は使えん

筋肉鍛える暇があったら脳味噌鍛えろや

144 名前:? :03/12/30 03:45 ID:???
>>142
Ciscoに比べれば階層浅いんだから、分かりそうな気がするんですが、、、

nsResSessionでMIBをgrepすれば多分見つかります
近くにCPU/Memoryもあります


145 名前:  :03/12/31 00:24 ID:???
>>144
private MIB の定義ファイルを拾ってきて grep かけた所、見つける事が出来ました。
というか、もっときちんとマニュアル読めや!っつー話すね。
大変失礼しました。

146 名前:106 :04/01/05 15:35 ID:???
>121
set pppoe static-ip
をやったあとに IPアドレス指定できました。

電源再投入して、PPPoEで再接続を試みたところ
ルーティング情報が追加されず、WANとの疎通ができません。
(手動でStaticRouteにすれば可能・・・)

すなおに安物ルータかませたほうがいいのかな?

147 名前:anonymous@ r094173.ap.plala.or.jp :04/01/07 00:07 ID:???
VPNクライアントに払い出すIPアドレスって
社内LANと同じセグメントにする必要が有りますか?
違うセグメントのIPアドレスを払い出すことが可能な場合に、
ルーティングってどうやるの?

148 名前:^^ :04/01/07 12:51 ID:???
>>147
必要はない。ルーティング気にして社内LAN側のインタフェースと
同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
クエストにNetScreen答えないからだめなり。
払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。

ルーティングなんか気にしなくても、社内に出て行く側のインタフェース
で通信をNATすれば無問題

間違ってたらスマソ



149 名前:149 :04/01/07 23:17 ID:???
で、結局5GTのPPPoE+NATのスピードってどのくらい出るの?

150 名前:147 :04/01/08 00:29 ID:???
>>148
> 必要はない。ルーティング気にして社内LAN側のインタフェースと
> 同じセグメントからアドレス割り当てても、そのアドレスへのARPリ
> クエストにNetScreen答えないからだめなり。
> 払い出しアドレスをDIPとして設定するという姑息な解決策はあるけど。
Netscreen じゃProxyarp の設定はできないの?
あと払い出すIPアドレスって勝手に決めてもいいの?

151 名前:148 :04/01/08 11:47 ID:???
>>150
ProxyArp の設定はできんと思う。
払い出すIPは設定的には適当に決められる。あとは管理者次第だ。

けど、適当に設定すると心配しているとおり、default にのってくるの
でなければその払い出すアドレスへのルーティングが必要になる。
このためにルーティングを他のデバイスに設定してまわるのはかった
るいので、社内への通信を許可するポリシでNATするようにしておく。

こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
通信では払い出しアドレスを隠蔽できるってことなり。




152 名前:147 :04/01/08 17:21 ID:???
>>151
> ProxyArp の設定はできんと思う。
> 払い出すIPは設定的には適当に決められる。あとは管理者次第だ。
ありがとうございます。それを聞いて安心しますた。
あと、VPNで繋ぐときのID Type でメルアドを選択できるみたいなんですが
これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
よいのでしょうか?パスワードみたいなものですか?
何でメールアドレスになっているのかが疑問です。


153 名前:○anonymous :04/01/08 17:32 ID:???
>152

パスワードみたいなもんです。
なぜメールアドレスみたいになっているかというのに関しては、
CAのユーザ証明書の構造と対比させると納得できるかと思います。


154 名前:148 :04/01/08 20:11 ID:???
>>152
>これもクライアント側とサーバ側の設定が同じなら、適当で(実在しなくても)
>よいのでしょうか?パスワードみたいなものですか?

適当でいいです。これはなんらかの手段で接続しにきた相手を識別しないと
いけませんが、この用途に使っているだけなので。

ま、サーバでは渡されたID から誰かいな?ということでそのIDに関連した設定
をさがすわけでありんす。

debug ike detail & get dbuf st してやりとり見てみそ

155 名前:147 :04/01/08 23:17 ID:???
だいぶ理解できてきました。
社内側のインターフェースのポリシーで
NATするのに関連して、NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?

あと、クライアントが非固定IPアドレスの場合に
pre-shared key による認証ってできるんでしょうか?



156 名前:○anonymous :04/01/09 01:53 ID:???
>155
>クライアントが非固定IPアドレスの場合に
もちろん、可能。(aggressive)

>NAT Traversal(ESP over UDP?)
も設定しないと駄目ですか?

NAT Traversalが何をしているものか考えてみてください。
操作自体より、仕組みを理解した方が応用が利くと思うよ。



157 名前:5GT :04/01/11 18:54 ID:Rb8OcvMX
5GTを買ってきて接続してるとこです
Trust側のWEB鯖をWAN側に公開したいのですがうまくいきません
固定IP1個しかなくVIPでポート80を割り当てました。


158 名前:sage :04/01/12 18:16 ID:???
>>157
Global Policyの設定しましたか?

159 名前:_ :04/01/24 17:40 ID:h95EA28C
age

160 名前:帝王 :04/01/24 19:16 ID:fCej5XNE
代理店のHって最近ヘタってきてません?
確か世界でもトップクラスのディストリビュータだったはず。
会社の体質的に外資に着いて行けなくなってんだろうか?

161 名前: :04/01/25 16:21 ID:???
>>160
Hって目立?
1わざわざ伏字にすることもないやん

162 名前: :04/01/25 20:44 ID:???
config をコマンドとかで一発で消す方法ってありませんか?
いじっていたら、訳が分らなくなってしまったので
一旦購入時の状態に戻したいのですが・・・


163 名前:774 sessions :04/01/25 20:49 ID:???
OS5.0, AV, DI, NSM, IDP, 新モデル...と
まともに対応しようとしてる代理店なら,
どこも年末からリソース食いまくってるはず。

164 名前:774 sessions :04/01/25 20:50 ID:???
>>162
unset all -> y
reset -> n -> y

165 名前:? :04/01/25 21:17 ID:???
適当なスレが無いんでここで聞かせてください

こんなDynamicNATの要件を満たすNAT箱ってありますか?

1.一定のレンジのIPをスプールしてDynamicNATしたい
2.スプールを有効利用するためにスプールから割り当てるIPは動的に振り分けたい
3.同一ユーザ(同一ローカルIP)の複数セッションが同じIPになるように割り当てたい
4.ProxyARPでは無くスプール専用のアドレス空間を持たせたい
5.RTSPに対応している
6.3000con/secのセッション処理性能

NetScreenだと3と4と5ができないんですよね、、、
DIPにレンジを持たせるとセッション毎に全IPでラウンドロビンになるし、
MIPはProxyARPで無くても使えるのにDIPはProxyARPしか使えない
RTPなプロトコルも全滅

2,3が特に重要でIP割当は動的におこないつつ、
同じSourceIPのセッションがあるうちは同じグローバルIPを割当てたいんです

1000万越えも辞さないんで知ってたら教えてください

166 名前:○anonymous :04/01/25 22:05 ID:???
>165
*BSDベースのもので対応は可能だと思われますが、、
1000万出せば、要求満たす構成を組んでGUIを付けられると思われます。
(コネクション数は、もしHTTPSとかであれば、アクセラレータ搭載すると
して計算してます)


167 名前:165 :04/01/25 22:41 ID:???
>>166
レスサンクスです

それはベースの技術を元に顧客ごとに開発/カスタマイズするような
いわゆる組み込み系Firewallってやつでしょうか?

開発までやるだけの期間が取れそうに無いのと、
開発元は小さくてもいいですが、ある程度大きな保守ベンダで24/365サポートが必要なんです
#>>165から要件増えてますね(w

NOKIA/NetScreenは制約にかかりそうなんで他を探してる次第です


168 名前:○anonymous :04/01/26 01:38 ID:???
>167

ベースは既にあるので、カスタマイズといったところかな。
保守に関しては別会社で24/365やってるところに任せることは可能です。
ちょっとNS板から外れてしまいますが。

納期は、年度末でしょうか?それならば、なんとかなると思いますけど。
(おいおい、宣伝しても無駄だろうが>漏れ)

要件の1・2・3って、内(n)→外(m)ですよね。(n>m)
単純に、DHCPでクライアントにIP割り振って、そのIPに応じてDNATアドレス決めさせて
しまうというのは有り?(笑)3の要件があるんで、接続中は固定にしたいわけだから。
どうしても、どこかに振りたいものは、MACアドレスとかで決めるとか、VLAN切るとか。
(いまのUNIX系は、ほぼ全て対応してるから)

認識間違ってたら、指摘してください。

ルーティングプロトコルは、必要なものを設定すればいいし。

GUI無しなら、大抵間に合うでしょうねぇ。
ENさんところとかSAさんところなんかだったら余裕かも。
SAさんところは24/365もやってるし。




169 名前:774 sessions :04/01/26 01:58 ID:???
>>165
3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可
4. -> よくわからないが、DIPプールでは無くて?
5. -> 現行OSでは無理。マルチキャスト専用OSなら可
ここで聞くより代理店に聞いたほうがいいかと。

170 名前:165 :04/01/26 15:16 ID:???
>>169
ありがとうございます。

>3. -> DIP Stickyでセッション単位じゃなくてIP単位でまとめ可

SticyはSourceIPハッシュで完全に固定されてしまうので要件が満たせないんです。


> 4. -> よくわからないが、DIPプールでは無くて?

失礼しました、4に関してはExtend-IPで対応できるみたいですね
下調べが甘かったようです

>ここで聞くより代理店に聞いたほうがいいかと。

NetScreenについては最初に書いた"要件を満たせない"が
代理店の回答だったんですよ
付き合いのある代理店はみんなNSとFirewall-1ぐらいしか
ハイエンド機器は扱ってないんですよね

Ciscoじゃ到底要件満たせないですし


>>168
組み込み系も検討を始めました
#リンク張ってくれたらうれしいなーなんて思ったりして、、、
#それじゃ身元バレしちゃいますかね


171 名前:○anonymous :04/01/26 18:31 ID:???
>170
うちでも扱えるけど代理店じゃない製品にリンク張っておこう。
自分のところのは書けないから。。
ttp://www.astarosecuritylinux.jp/
代理店は、FC

Linux KernelがSCTPはサポートしてるんで、このソフトが要件満たすかどうかは
知らないけど、まあ、似たようなことができる製品は、色々あるので。。
対応範囲とか確認してください。<球一


172 名前:○anonymous :04/01/26 18:33 ID:???
>171
寝ぼけたこと書いた>SCTP
忘れてくらはい。いま、カーネルコンパイルしていたものだから。



173 名前: :04/01/29 16:59 ID:vv/IEGK2
NAT環境下からNSRemoteでNS-5XTにVPN張ってるんですが
Phase2 Lifetimeが切れた時にRekeyが走らない現象に悩まされて
います。
(NATじゃない環境からでも、たまにRekeyしてくれない)

今はPhase2 Lifetimeを8時間とかにしてお茶を濁していますが
同様の現象に悩まされた方、いらっしゃいます?
もう、さっぱり分かりません....

174 名前:H立って技術ある? :04/01/29 23:02 ID:9Vt/xg88
>173

無通信の時間があるでしょ?
そうするとこういうの起きるよね。

名前⇒わざとばれるようにしています。
最近質落ち。。。パートナーばなれ。。。。

175 名前:七資産 :04/01/29 23:02 ID:???
それぞれのバージョンぐらい書けや

176 名前:login:Penguin :04/01/29 23:20 ID:???
>174
そりゃ、価格が安いからって、別の代理店に仕事丸投げしてたり
するから、目立の技術陣が悪いのか、それとも、安かろう悪かろうの
ところが悪いのか不明だわな。


177 名前: :04/01/30 01:43 ID:???
SA のライフタイムってどのくらいがお勧めなんでしょうか?

178 名前:_ :04/01/30 02:15 ID:???
>177
セキュリティポリシーにもよると思うが、、、
1h,8h使うことが多い。短すぎると通信断しやすくなるから。


179 名前: :04/01/30 03:36 ID:???
>>178
> セキュリティポリシーにもよると思うが、、、
> 1h,8h使うことが多い。短すぎると通信断しやすくなるから。
サンクス。あともう一個教えて欲しいんだけど
同一LAN上にNetscreen が2台あってそれぞれが個別に
インターネットに繋がっている(マルチホームな)環境で
両方をVPN gateway として使いたい場合、LAN 内のPC の
ルーティングを通信が入って来た方に返すようにしないと
使えないんのでしょうか?



180 名前:^^ :04/01/30 03:57 ID:???
>>151
> こうすれば、社内のホストとの通信は払い出したIPアドレスとは関係なく
> NetScreenの社内側インタフェースのアドレスで通信するんで、払い出し
> アドレスのためのルーティング設定はいらなくなる。まあ、社内ホストとの
> 通信では払い出しアドレスを隠蔽できるってことなり。
VPN のトンネルを許可してるポリシーの設定を見ると、
NAT のところはチェック無でDIP On, DIP Off, Fix port という
設定個所がありました。社内側のインターフェースのアドレスを
DIP プールに登録して、選べばいいんでしょうか?


181 名前: :04/01/30 09:30 ID:PijhlfoJ
>>174
私もそうかと思ったんですが、ガンガンにデータ送信していても、
Lifetimeが切れるとぷちっと切れるんですよね...
NSRemoteのLogViewerで見た感じ、Lifetimeが切れる時に5XT側から

 RECEIVED<<< ISAKMP OAK INFO *(HASH, DEL)
 Deleting IPSec SA (OUTBOUND SPI = ****** INBOUND SPI = *******)

ってのを貰って、ぷちっと切れて、それっきり。

>>175
失礼しました。ScreenOSが 4.0.3r5.0 でNSRemoteが8.3です。


182 名前:○anonymous :04/01/30 11:59 ID:???
>179

はい、その通りです。
いま使っているNetScreenのモデルによっては、1台で
マルチホームが可能なので、そちらに変更したら楽ができます。

そうでなければ、NetScreen---Router---NetScreen
                     }
LAN
だとして、ルータに任せたらよいかと思います。
VPN接続元(先)が違うネットワーク構成なら、単純にスタティックルート
そうでなければ、フローティングスタティックルートを切ったりすれば良いかと


183 名前:151 :04/01/30 13:21 ID:???
>>180
なんにも考えず、NAT のところだけチェックすればいいよ。
あとの設定はイラネ

NATのとこだけチェックしておくと、出て行くインターフェースでNATされるよ
ガンガレ

#間違ってたらスマソ

184 名前:H立って技術ある? :04/01/30 23:42 ID:DXu/jFaJ
>>181

必殺!マニュアルキーってのは?

185 名前:七資産 :04/01/31 23:01 ID:???
NS-Remoteは何時間も繋ぎッパを想定していないからな。
NSがremoteクライアントのISAKMP-SAが切れている事に気付かないこともある。
r5.0と8.3ということは自己責任じゃないのか?日立は出荷状態でリリースしていないだろ?

まぁ、違うバージョンでも同じことが怒っていたから可用性を考えたらNS同士で対向。

186 名前: :04/02/02 00:31 ID:???
>>184
マニュアルキー。。。調べてみます。

>>185
繋ぎっぱ想定なし!まじすかあー
在宅勤務者用に、RASの代わりに使おうかと考えてたんですけどね。
あと、NSRemoteは最初は8.2r2(やったかな)で繋いでいたのですが、このような現象が
起きているのでNSRemote上げたら治るかなと思い、試験的に8.3にしてます。
が、同じですね...


P1 Lifetime = 1時間 P2 Lifetime = 3分 って設定で土日でいろいろ
試してみたのですが、

・非NAT環境下から
  繋いだまま放置してると切れてそれっきり
  しかしP2 lifetimeの間に、少なくとも25秒に1回はトンネル経由でパケットを
  飛ばすとrekeyが走る。25秒以上の間隔を空けると駄目(切れてそれっきり)
・NAT環境下から
  何やってもP2 lifetimeが切れたらそれっきり

という挙動でした。なんだろうこれ...


lifetimeが切れる前になるとinitiatorが動いてrekeyが走るのは、NSRemote側から
rekeyしようよーと持ちかける?それとも5XT側から?
ああもうわかんねー。長文失礼。


187 名前:aa :04/02/02 01:17 ID:???
会社にVPN で繋がるようになりました。
でも、Windows PC でマイネットワークを開いても何も出て来ません。
Netscreen-Remote は繋がっているし、PING も届くのになんで?
もしかしてVPN じゃできないんでしょうか?

188 名前:login:Penguin :04/02/02 03:53 ID:???
>187
まずはレジストリ操作しよう。(MTU)

189 名前:- :04/02/02 06:53 ID:???
>>187
コンピュータブラウジングについて学習してくだされ。

190 名前:おっ! :04/02/02 23:41 ID:InxQx74+
>>187

http://www.ntt-east.co.jp/ephelio/vpn/ps/

これすごいよ。
Windows PC でマイネットワークは当然見えるし、
Win2003ActiveDirectoryなどのWIN認証も使えるし、
NTFSアクセス権も使える。

IPSECでここまでやるとは。。。。

191 名前:○anonymous :04/02/02 23:45 ID:???
>190
あまりにレベルの低い書き込みはやめようよ(笑


192 名前: :04/02/03 08:54 ID:???
IPsecやVPNと、ブラウジング・Windowsファイル共有の問題はまったく別なのにね

193 名前:初心者 :04/02/03 23:12 ID:???

190さんへ

VPNクライアントから、IPSECを利用して、ルータをNAT越えし、
かつドメイン認証をやりたいんだけど、これなら可能なのですか?

Windowsの個人プロファイルが適用される前に
VPNクライアントが、IPSECを利用したVPNサービスを
開始させてくれるのでしょうか?

やりたい環境:
VPNクライアント+PC+一般的なBBルータ
ーーーーーインターネットーーーーーー
NETSCREEN+配下のPDCやアクセス権の効いたサーバ郡





194 名前: :04/02/03 23:23 ID:???
>>193
ActiveDirectory+DynamicDNSや、昔風ならWINSサーバなどを立てれば可能
根性でLMHOSTSに書いてもいいし
つ〜か、VPNの問題と、ブラウジング・ActiveDirectory・ドメイン認証は全く関係ないから
これ以上はWindows板逝け

195 名前:\\\ :04/02/04 00:34 ID:???
>>187

マイネットワークをwクリックしてPCを見たいなら、
NETBIOS over tcp/ipを有効にして、NSのおいてある環境にでもWINS
サーバを立てるといいよ。

注意!
NSRemote〜NETSCREENのVPNは、クライアントがドメイン認証できない
ため、見えてもアクセスできないことがあります。(経験談)

ブラウジングは194の言うとうりVPNの問題ではないです。

NSRemoteの問題です。
NSRemoteでは、VPNできてもNTFSアクセス権の付与された
サーバにはアクセスできず苦労した覚えがあります。
(ID・PWウインドウが出るとか、出ないサーバがあるとか。。。)

だから、みんなフルコントロールなのかも?

190の物だったらできるかもね。
これはどこに聞けばいいのかな?
まさか116?(笑)

194、マイクロソフトすれになって、すんまそ。
僕の経験がVPNソリューションの参考に
ちょっとだけでも役に立ってもらえればと。。。。

NSRemoteでトラぶってる人多いかもしれないしね。





196 名前:\\\ :04/02/04 00:40 ID:???
ちょっと追加事項

NSRemoteは、ブラウジングまでは可能。
(一部、AD環境ではドメイン認証されていないと不可)

ドメイン認証は不可です。
(たまにできる場合がありますが基本的にはできない!)


197 名前:_ :04/02/04 00:58 ID:???
>196

ドメイン認証できますよ。
某社の技術陣が出来ないとわめくので、検証したことがあります。

Winの知識が無いNEが操作してたために、設定ファイルを
渡しても、まともに動かせないのがいました。(4大大手の一つ)

ただし、NS-Remoteのdeactivate, activateと、
Windowsログオン操作の順番が重要になります。
(WINSサーバがVPNの向こう側にいる際)

198 名前:△匿名 :04/02/04 22:34 ID:+OaqcnXM
>197

ドメイン認証できないぞ!

ユーザにグローバルグループを多くネストしたり
コンピュータ名の登録をPDCに要求するときに失敗した。

複数の2000PROにNETSCREENリモートを入れてルータ経由で試したが無理だ!
当たり前だがVPN通信そのものは問題ない。

みんなはどうしてる?

WINDOWSスレは、NETSCREENリモートの話は通用しない!
ベンダや導入者の知恵を借りたい!!


199 名前:○anonymous :04/02/05 00:36 ID:???
>198

Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)

起動する際には、Windowsドメインログオンをキャンセル。

NetScreen-RemoteをActivate

ドメインログオンを聞いて来る際に、ユーザ名・パスワードを入力

ドメインログオンに失敗した際にはリトライすると成功する
(VPNを張るタイミングのせいか?)


200 名前:aa :04/02/05 00:37 ID:???
>>197
> ただし、NS-Remoteのdeactivate, activateと、
> Windowsログオン操作の順番が重要になります。
> (WINSサーバがVPNの向こう側にいる際)
IPSec でもOK?
PPTP ならWINSとかの設定も渡すように設定できそうだけど。
例えば、IPSec で、このスレのすこし前に出てたみたいに
ルーティングを気にしなくてもいいようにLAN側でNAT を掛けたら
LAN 内から見たらNetscreen 一台ってことになるよね。
WINS の設定をNetscreen 自体が持つのか、クライアントの方の
ネットワーク設定部分に普通にローカルアドレスで指定しておいて
いいのかが分りません。できてもこの状態だと、同時に1対1でしか
使えなそう。何かいい方法ないかな?


201 名前:aa :04/02/05 00:39 ID:???
>>199
> Win終了時はNetScreen-RemoteをDeactivate状態にしておく。(重要)
>
> 起動する際には、Windowsドメインログオンをキャンセル。
Windows98 とかならキャンセルできるけど、NT系では
無理なのでは?勘違いだったらスマソ。

202 名前:○anonymous :04/02/05 00:45 ID:???
>201

ああ、ごめん。
直接端末をPPPoEでつなぐ際の話になります。


203 名前: :04/02/05 06:59 ID:???
ローカルコンピューターのアカウントで一度ログオンすればいいだろ?
あと、ドメインログオンはキャッシュすることができるから、キャッシュされたアカウントをつかってもいい

204 名前:○anonymous :04/02/05 15:52 ID:???
>202

誤爆してしまった。
>200
IPSecでもOKって、どういう意味?NS-RemoteのVPNの話ですから
言わずもがなです。

NAT配下に複数台ある際の部分は、ルータによるので、なんとも。

で、なぜにWINSのアドレスがNetScreeenが云々になるのか不明。
対向のローカルIPのWINSサーバ指定になる話。

NSでもNATかかっている場合は、、、うーむ、それは避けた方がいいと思う。
せめてVirtual IP Pool使って

205 名前:bb :04/02/05 18:38 ID:???
>>200
設定面倒、アドレスたくさんいるけど、LAN側でNATするとき、
DIP使ってクライアントごとに異なるアドレスでNATするような
ことはできるよ。

けど、目的が達せられるのかどうかはWindows知らないので
ワカンネ

206 名前:Netscreen Remote :04/02/07 23:08 ID:???
ActiveDirectoryにログインできます。

簡単な実験手順
1. ノートPCでキャッシュされたアカウントでローカルログイン
2. Netscreen RemoteをActivate
3. DNSをActiveDirectoryが登録されているDNSに変更
4. 再度ログイン

ログインスクリプトも流れてファイルサーバへもアクセス可能!


207 名前:ararararara :04/02/08 23:54 ID:EL42ZRtR
190のスレにある商品を最近、私の会社に導入しました。

このUSBキーで、WINDOWSドメイン認証できるし
マイネットワークも見れてます。
キャッシュを利用しないので、新規にコンピュータのドメイン登録も
できるし、ユーザパスワード変更もVPN経由で可能です。
うちの会社で利用しているEXCHANGEも、これで解決できてます。

このキーの動きを簡単に説明すると、
---USBキーを挿してPCの電源を入れる
?このキー専用の「ID」「PW」を入力する
----OKならVPNサービス起動
----CTRL+ALT+DELが表示される
?マイクロソフト用の「ユーザ名」「PW」「ドメイン名」を入力し選択する。
----VPN経由でNETSCREEN配下のWIN2000ADに要求をする
----ログオン完了
----あとは、LANと同じ。マイクロソフトで開発したDCOM通信を
つかうAPも利用できてしまったよ。

さらに、このキーには、仮想というかこのキー専用のIPアドレス
(NSRのインターナルIPかも?)、DNS、WINSのIPも
設定できるのでかなり便利です。

N○○の法人営業の人が教えてくれなきゃ一生わからないかも。。

使ってみてまだ数週間ですが、重宝してます。

NETSCREEN側の設定はNSRと同じく、通常のIPSEC-VPNの設定
でOKでした。NATの設定は一切してません。

208 名前:foo :04/02/10 10:48 ID:???
Juniper が買収ですか。
日本での体制はどうなるのかな。

209 名前:  :04/02/11 00:41 ID:???
祭りかと思ったらそうでもないね

日立は日本で一番NSの株を持ってるはずだけど、
Juniperって扱って無かったような気が、、、
少なくともSASでは売ってないだろう

今後のサポートも非常に心配
NSは比較的旧バージョンのサポートも長くやってくれてるけど
今後はどうだろうか?

あと、なんか値上がりしそうな悪寒(偏見?)


210 名前:anonymous@ z107.219-127-36.ppp.wakwak.ne.jp :04/02/12 13:32 ID:???
いやな記事だ。

ttp://itpro.nikkeibp.co.jp/free/NCC/NEWS/20040210/139671/

一方,ネットスクリーン側は「コメントできない」(同社のPR会社フォーカスト・コミュニケーションズの能宗正則氏)。
現行製品のサポート継続の有無に関しても「現時点では分からない」とのコメントだった。

211 名前: ns :04/02/18 17:00 ID:???
NS専用のリモートソフトを使わずに、Windows2000からL2TPを利用したいのですが、仮共有キーの作成は、NSのどこのメニューから作成するのでしょうか?

212 名前:ns :04/02/18 20:38 ID:???
>> 211
マニュアル読んだ

213 名前:NS初心者 :04/02/20 01:11 ID:???
すいません、NetScreen 5GTという製品で
下のような事を考えているんですが
これって可能でしょうか?


【家】 PC - ADSLモデム
    |
   (インターネットVPN)
           |
【会社】    ADSLモデム - 5GT - サーバ

・家のPCにはNetscreen Remoteをインストール
・5GTに固定IP 1つ割り当て
・会社のサーバのIPは192.168.1.1などローカルIP
・やりたいことは、家のPCから会社のサーバのなかにある
 ファイル見たりプリンタを利用したりとかする程度

日立SASの適用例見ると出来そうな感じもするんですけど
詳しい方に事前に聞いておきたくて・・・すいません


214 名前:NS初心者 :04/02/20 01:13 ID:???
線がずれてしまいました
言うまでもありませんが、PC - モデム - (VPN) - モデム
です。ごめんなさい

215 名前:anonymous :04/02/20 02:06 ID:???
家庭内LANのIP体系を会社とかぶらないように
すれば楽にできると思うよ。

プリンタに関しては、プリンタが、どこに接続されているか、
また、その印刷受け付けIPアドレスがどうなっているか、とか
まあ、考えないといけないことはあるけれど、
両方の設定を触っていいなら、楽勝パターン


216 名前:NS初心者 :04/02/20 03:03 ID:???
>>215

ちょっと気になった、というか勘違いしてたんですけど
サーバにも固定IP(グローバルIP)が必要だったりするのかなぁと
思いまして、念のため確認させていただきました。
プリンタはサーバに接続されているので多分大丈夫だと思います

ありがとうございました

217 名前:リモートアクセス :04/02/21 11:40 ID:NIJUVFL9
 >>213さんの構成で会社のサーバのファイル共有を見る場合は
どうしたらいいのでしょうか?
コマンドプロンプトで  START サーバのIPアドレスで見れるとは、思うのですが・・・
NS VPNクライアントソフトをインストールしたら他にやり方があるのでしょうか?


218 名前:ns :04/02/21 16:35 ID:???
NS-Remote つながんないわ、マニュアル英語だわ
しかもマニュアルのOS、バージョンが古いやつだから
実際の画面と違うわ、なんかハメられた気分


219 名前:sage :04/02/23 15:11 ID:???
質問です。

NS-Remote をインストールしたら、使ってないときでも MTU が固定されていたりして嫌な気分です。
NS-Remote を使っていないときは無効にしたい(バックグラウンドでの起動を止めたい)のですが、
どなたか方法をご存じでしょうか?

WindowsXP(home)SP1
NetScreen-Remote 9.0.1(Build 12)


220 名前:_ :04/02/23 21:17 ID:d++lATu1
>>217
「\\192.168.1.1」とかじゃダメ?
それ以上を望むならWindowsNetworkの勉強を。

>>218
たいていの代理店なら日本語の設定マニュアルは持ってるはず。
つながらない理由は設定ミスや相性な場合も多く。
たまにBOX側のBUGなんてのもあったけどね。

>>219
仕様。Deactiveでは変わらない。レジストリ直イジリは自己責任で。

221 名前:218 :04/02/23 23:47 ID:???
>217
hostsとlmhostsに記述して、コンピュータ名で検索したらでてきたよ。

>220
はい、設定ミスでした・・・(Phase 1 のところの方式間違い ベタでスイマセン)
日本語マニュアルはインストールのとこまでしかなくて、そのあとは
英語のPDFとにらめっこ。英語そのものはそーんなに難しいもんじゃないんだけど
図と文章が微妙にかみあってなくて、イライラしちまいました。

Trust内にあるサーバのなかのファイル見たりとか、そのへんは
とりあえず問題なく出来ました。今はODBCでのDB接続がうまくいかなくて
なんでだろうと格闘中です(telnetでポート指定して接続かけてみると
つながってるようにみえるんだけど)

あと、細かいことなんだけど、タスクバーのNS-Remoteアイコン右クリックすると
タスクバーのメニューが重なって出てきてヤな感じ
(Windows XP対応と書いてあったが、ホントにちゃんと対応してるのかなぁ)


222 名前:sage :04/02/24 11:09 ID:???
>>220
じゃあ、使わないときは NS-Remote アンインストールするかな。
面倒だな。

223 名前:anonymous@ ns.wako-cs.jp :04/02/25 22:37 ID:???
NS50を使ってワンタイムパスワード認証を使用しようと考えています。
(RADIUSクライアントはNS50)

NSremoteクライアント拠点は93拠点あり、ワンタイムで認証完了後に
ippoolで動的にプライベートIPをクライアントに振る設定にしなければ
ならないのですが、どういった設定を施す必要があるのでしょうか?

認証センターまでVPNを張るというのは分かるのですが、認証要求を
認証センターに転送ですとか、動的にクライアントにアドレスをふる方法
(ルート情報はどうなるのでしょうか?)というのがよく分かりません。

素人で申し訳ありません…。
よろしければご教授の程お願い致します。

224 名前:_ :04/02/26 21:45 ID:???
>>223
日本語版マニュアル2-308。
RADIUS認証なら問題無いが、RADIUS PROXY経由は
やったことないんでわからん。

225 名前:かず :04/02/27 18:48 ID:1UsE8kZO
社内でNETSCREEN25を利用してBフレッツ(ODN)に接続しています。
これが、通常問題なく接続できているのですが、たまに接続できなくなって
しまいます。日に数回切れることもあります。
NSを再起動すると回復するのですが、なにかポイントになるような
確認点はないでしょうか?

226 名前:ns :04/02/28 00:39 ID:???
>225

ログには何か出てないのかな

227 名前:かず :04/02/28 09:52 ID:BeF9epPr
>226

それが、らしいものは出ていないんです。。
といっても全てのログを読解できているわけではないんですが。
でも、接続できなくなりそうな内容のものは無かったと思います。


228 名前:anonymous@ 210.249.106.39 :04/02/28 17:20 ID:???
ハブアンドスコープの設定が出来ねーよ、もまいら
設定のキモを教えてください、おまいら。


229 名前:_ :04/02/28 18:08 ID:???
>>227
回線側に問題は?

>>228
まずハブアンドスコープについて説明汁!
と突き放すのも可哀相なんで、まずマニュアル見て全く同じに作ってみろ。
アレンジはそれからだ。ProxyIDに気をつけろ〜。

230 名前:228 :04/02/28 19:43 ID:???
>>229
漏れもそうくるだろうと思ってた罠
厨といわれないように、一応、まにゅある読みますた
第4部第3章ハブアンドスコープ方式VPN。
でもできなカターヨД`)・゚・。・゚゚・*:.。..。.:*・゚
ProxyIDに気をつけるくらいでつか?

しかし、今手元にはNetscreenひとつしかないよ
αβοοη..._〆(゚▽゚*)でつか?

231 名前:ns :04/02/28 21:30 ID:???
>227

PPPoEの設定はどんなもんかな



232 名前:かず :04/02/28 23:02 ID:BeF9epPr
>229
回線側に問題がある場合もなくはないのですが・・・・
実際、そのうち数回はフレッツ網の障害でした。
でも、それ以外は回線側に問題はないみたいです。
>231
PPPoEの設定で、切れてしまう原因になりそうな部分ってどこらあたり
でしょう?


233 名前:_ :04/02/29 00:26 ID:???
>>232
PPPoE限定じゃないですけど、PPPならLCP echoでkeepaliveくらいですかね。
lcp-echo-retriesとlcp-echo-timeoutとか。


234 名前:207の利用者 :04/02/29 13:37 ID:EUJKybMZ
>225
set pppoe auto 15
だったかな?
コマンドを、ここの技術担当から聞いたことがある。
当然入ってると思いますが、
今一度、ご確認を。。

235 名前:ハズアンド嫁 :04/03/01 00:38 ID:qkKzmnGJ
ハブアンドスコープじゃなくて、ハブアンドスポークだろう。
マニュアルを、よく嫁。
変な2ch用語を流行させてくれるなよ。


236 名前:_ :04/03/01 11:50 ID:G9OBrqdT
ScreenOSのリリースノートってどこに掲載されてるんだろう?
バグ修正関係の情報が欲しいのですが・・・

私の使っているのは5XT+4.0.3r3です。

237 名前:○anonymous :04/03/01 12:42 ID:???
>236
www.netscree.com


238 名前:かず :04/03/01 17:44 ID:8ti3HoAM
>233
LCP echoでkeepaliveとかlcp-echo-retriesとlcp-echo-timeoutとかとは、
具体的にはcinfigを編集するってことでしょうか?
今のconfigにはPPPに関するような部分はないのですが。。。


>234
set pppoe auto 15

これって、WEBの設定画面からconfigを保管してテキストを編集して、リプレースすればいいのでしょうか?
configを確認したのですが、はいっていませんでした。
ところで、これはどんな意味なのでしょうか?

初歩的な質問で申し訳ありませんが、宜しくお願いします。

239 名前:_ :04/03/01 20:26 ID:???
>>236
買ったところでくれるでしょ、普通。

>>238
CLI

auto-connect >>
the number of seconds after which a previously closed connection is re-initiated.

240 名前:_ :04/03/01 22:22 ID:???
>>238
set pppoe auto-connect <1-10000, seconds>
set pppoe ppp lcp-echo-retries <1-30, times>
set pppoe ppp lcp-echo-timeout <1-1000, seconds>

結局、これらでナニをするかというと、LCP echoでkeepaliveしているのに
BASが多忙でLCP echo replyを返さない? 為に早まってPPP(とPPPoE) sess
をScreenOSで落としちゃわないようにするというところですか。
マニュアル読んでみてください。

241 名前:HB :04/03/02 22:42 ID:???
すみません。もの凄く厨房な質問ですみません。
HAインターフェースには当然IPアドレスを割り当てるのですよね?

242 名前:_ :04/03/03 01:43 ID:???
>>241
InterfaceにHAゾーンを割り当てるだけでOK

243 名前:241 :04/03/04 01:02 ID:???
>>242
実は漏れもそう思ってたんですよ。
でも、
[Report]→[Interface]→[Flow Counters]→[Ethernet4]を見ると、
Master in packets 0 out packets 4143881
Backup in packets 0 out packets 2274761
というようにoutだけなんですね。
これで大丈夫なんだろうか?と、ちょっと心配になったわけなんです。
一応、何度もケーブルの抜き差しをやってテストしているので、
切り替わりは問題は無いのですが、ちょっと気持ち悪くて・・・。

244 名前:  :04/03/04 20:42 ID:9Y38jwUu
httpをproxyできるような機能ってある?
NS以外にもこのようなことができるFWって
知っている?

245 名前:oooo :04/03/05 23:50 ID:jXt1kQe9
>244

NS以外は、他のスレに逝け!
ここは「NETSCREEN」スレ。

わかるよね。

だが。。。
おばかちゃんには、おばかちゃんのFW、「ふぉ〜と、ノックす」
を紹介しよう。。。

あほでうざいレス入らないのであしからず。

逝け!ワラタ!スマソ!ってスレ用語?

246 名前:anonymous@ YahooBB219198088002.bbtec.net :04/03/09 02:21 ID:2WNQF4yN
500番のportを開けたら、自宅からNAT越えできるようになったのですが、
これってセキュリティ上問題はないのでしょうか?

派遣先でNATの設定を変えてもらう際、色々説明する必要があるのですが、
500番のportを開けることが、どのくらい問題になるかを知りたいです。



247 名前:anonymous@ YahooBB219198088002.bbtec.net :04/03/09 02:22 ID:???
fusiana?!

248 名前:伝書鳩 :04/03/10 09:19 ID:???
>>246
バックドアの元凶になる「isakmp」を通す危険性があります。
これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。

>>247
フュージャネイサン

249 名前:mmg :04/03/11 11:07 ID:???
NetScreen5GT PlusのDual-Untrust使用のについてお聞きします。
5GTのトンネル制限が10ですがFailover機能を利用した場合
対地が5になってしまうんでしょうか? 今はトンネルを
対地毎に2本引いてバックアップ機能は動いていますが10対地引く
事が可能であれば何らかのヒントもしくはこんなので動くとか教えて
ください。
 現在は TrackIPを対地の2つの固定IP向けて動かしています。
センター側が10対地引きたいんです。

250 名前:かず :04/03/11 17:15 ID:dapdRlvT
>240

説明が不足していました。申し訳ありません。
うちの環境は、Bフレッツ->ルーター(YAMAHA RTX1000)->Netscreen です。
教えていただいた設定は、Bフレッツ->Netscreen の場合ですよね?

この環境の場合では、なにか確認すべき点はないでしょうか?





251 名前:anonymous :04/03/11 17:44 ID:???
それじゃNetScreenのPPPoE設定についてなんていう
最初の質問自体が無意味

Yamahaルータのサイト見に行くべし


252 名前:かず :04/03/11 18:05 ID:dapdRlvT
>251
そうかもしれませんが、NSを再起動するだけで接続できるので、NS側になにか
あるのかと思ったのですが、、、


253 名前:ns :04/03/11 23:35 ID:???
>252

NSはどんな目的で使ってるのかな
ルータがあってNSがあって・・・だけでわ、これ以上は難しい




254 名前:かず :04/03/12 08:55 ID:RB3CkIxf
>253
FWとしてNATモードで利用しています。
trustとuntrust、ポリシーの設定くらいしかしていないのですが・・・
ほかに何かお伝えするべき情報があれば教えてください。

255 名前:ns :04/03/12 13:34 ID:???
使ってるPCの台数とか、通信の目的(WEB見るとかメールするとか)
あとはトラフィック量がわかるとなおよさげ

256 名前:かず :04/03/12 13:51 ID:RB3CkIxf
>255
利用しているPCの台数は、最大で約150台です。
用途は主にWEB閲覧とメールの送受信、ftp。
POP,SMTP,httpサーバー等は外部ホスティングしています。
トラフィック量は、具体的にはわかりませんが、3MB程度の添付付きメール
は、日常茶飯事です。、



257 名前:ns :04/03/12 15:34 ID:???
>256
NS-25なら問題ない範囲のトラフィックっぽいけど・・・

負荷見るのに手っ取り早いのは Administration Tools (GUIのほうね)で
接続時に最初に表示される画面の Resources Status みること、かな?

ScreenOSのバージョンあげてみるのも手かも

あんま回答になってなくてスマソ

258 名前:age :04/03/20 18:38 ID:???
set age

259 名前: :04/03/22 20:08 ID:ROvuLguj
最近は安定しておもろくねえな
昔はsniffer持って走り回ったもんだ

260 名前:  :04/03/22 21:01 ID:???
>>259
面白くないぐらい安定してるバージョン教えれ
有益な情報なら100万くらいだしてもいいぞ


261 名前:anonymous@ eatkyo056060.adsl.ppp.infoweb.ne.jp :04/03/25 23:33 ID:???
5.0.0系のファームへUpした人いますか?
メジャーアップデートなんでちょっと不安なんです。
もし、体験者がいましたら判るところだけで構いませんので教えてください。

(4.0.3系からのアップを前提で)
不安1 Configはすべて維持されますか?
不安2 アップデート後、自動でVPNは復活しますか?
不安3 リモートからのアップデート作業でも問題ありませんか?
不安4 PPPoEの接続は自動で復活しましたか?
不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?


262 名前: :04/04/02 21:25 ID:w6YgfOvJ
VerUPリモートってよほど根性ないとできんな
新バージョンのを送って交換後古いのを送り返してもらうとか、もっと考えれんのか?

263 名前: :04/04/05 11:07 ID:???
>>261
検証無し、VPN越しでFirmwareUpdate
メジャーアップデートでなくても不安なのが普通だと思うが・・・

漏れは日頃からそんな運用している香具師がいること自体が不安だw

264 名前:○anyany :04/04/08 01:37 ID:???
>261

> 5.0.0系のファームへUpした人いますか?
いくつかやってみました^^;

> メジャーアップデートなんでちょっと不安なんです。
> もし、体験者がいましたら判るところだけで構いませんので教えてください。
>
> (4.0.3系からのアップを前提で)
> 不安1 Configはすべて維持されますか?
とりあえず大丈夫でした。上げたVersionは5.0.0r4です
実験した機種 NS-5GT/5XT/25/204/5200
> 不安2 アップデート後、自動でVPNは復活しますか?
運良く復旧しました。
> 不安3 リモートからのアップデート作業でも問題ありませんか?
とりあえずOKでした。4から5へのアップデートはFileFormat変換やるので、長期にわたって応答がなくなるので不安でした。
> 不安4 PPPoEの接続は自動で復活しましたか?
なんとか復旧しました。
> 不安5 元のConfigのまま4.0.3の機器と混在でVPNが張れましたか?
これは問題なかった。もっと古いバージョンとも繋がりました
> 不安6 (5GTについて)Operational Modeがアップデート後勝手に変更されるようなことはありませんでしたか?
勝手には変わりませんでした。
> 不安7 ignore-subnet-conflictなどの隠しコマンドはアップデート後も有効ですか?
とりあえず、うまくいった。
とりあえずラッキーでした^^;

265 名前:kk :04/04/08 19:58 ID:+ea7+C+N
ご教授願います。
当方、固定IP1のBフレッツでNS25(4.0.3r4.0)を使っています。

DMZにインターネットからアクセスされるWebサーバを設置したいのですが、
(tcp80とtcp443だけサーバに転送させたい)
固定IPが1個では、WebUIからはVIP設定が出来ませんでした。

コマンドラインから上記の設定って可能なのでしょうか?
やはり不可能なのでしょうか?

よろしくお願いします。

266 名前:261 :04/04/09 02:34 ID:???
>>264

ご丁寧にありがとうございます。
特にリモートアップデートがうまくいくのか不安でしたので、、、
でもアップデート後でも、最悪PPPoEだけはつながることを信じればUntrustのWebUIに
チェックを入れておけば何とかなりそうですね。

>>265

VIPでなくMIPで行けませんか?
Interfaceで作成後、Untrust To Globalでhttpとhttpsをサーバーに向けて許可すれば行
けると思うんですが。

...ところでこの前、5GTのフタを開けてみました。
びっくりしました。NetScreenのASIC(GigaScreen?)が無くなってIntelのワンチップになっていました。
PowerPCも無くなってスカスカです。
てっきり5XTより少し筐体が大きいので、もっとみっちり詰まっているのかと思ってたです。


267 名前:kk :04/04/09 10:11 ID:???
>>266 (261さん)

ありがとうございます。
すみません。以下のようにすると言う事でしょうか?

untrustのインターフェースのMIP画面で、

 Mapped IP : DMZ上のサーバIP
 Netmask : DMZ上のサーバmask
 Host IP Address : グローバルIP(固定)
 Host Virtual Router Name : "untrust-vr" or "trust-vr"

として、ポリシーの設定で必要ポートを許可する。



268 名前:- :04/04/11 03:59 ID:3yB3YNxU
リモートアクセスVPN環境を作りたいのですが、こんな事は可能ですか?
・認証はNetScreen内に登録したユーザ名とパスワードを使う
・NetScreen内に設定したIPプールをクライアントに自動的に割り振る
CiscoVPN3000では出来ているんですが。

269 名前:Phoenix ◆Q3kRG0vwM2 :04/04/11 13:31 ID:???
>>268
できますよ。
LocalDBを使用したXauthの設定で実現できます。
IPpoolも同名の機能があるので問題ないはずです。

270 名前:266 :04/04/14 01:02 ID:???
>>267

Mapped IPとHost IPが逆ですよ。
あとはtrust-vrを選択でOKです。

もちろん1IPをサービスごとに別のサーバにNATをかけたり、ポート変換を行う様なときは
VIPを使って設定します。


271 名前:as :04/04/14 20:47 ID:VAj1tKsI
>248 :伝書鳩 :04/03/10 09:19 ID:???
>>>246
>バックドアの元凶になる「isakmp」を通す危険性があります。
>これを利用したバックドアでクライアントのセキュリティはLAN並に低下します。

具体的にはどのような問題でしょうか?
Trust→UnTrustへのUDP500をあけたということですよね??
それともUnTrust→Trust?


272 名前:anonymous@ p6197-adsau16honb11-acca.tokyo.ocn.ne.jp :04/04/14 23:25 ID:???
古屋死ね

273 名前:267 :04/04/15 21:36 ID:???
>>270 (266さん)

ありがとうございます。
あれからよーーくマニュアルを読み返したらMIPで実現可能なのを見つけました。

現在は問題なく稼動しています。ありがとうございました。

274 名前:anonymous@ usen-221x114x239x253.ap-US01.usen.ad.jp :04/04/16 04:04 ID:???
非常に初歩的な質問で申し訳ないのですが、
NS5GTは、最大トンネル数が10ですが、
Netscreen-Remoteからの通信も1トンネルとしてカウントするんでしょうか。
2つの拠点にそれぞれ5GTを設置してVPNを構築し、

それとは別に20台のリモート端末からのアクセスを考えているのですが、可能なのでしょうか?

275 名前:○anonymous :04/04/16 10:15 ID:???
>274
Remoteからも1トンネルです。

同時に20台、、で無ければ(トンネル上限を超えなければ)可能です。


276 名前:まな :04/04/16 11:22 ID:uzYeNrGR
NetScreen25の保守なんですが、保守にはいってもScreenOSのバージョンアップ
は、年に1度しかできないといわれました。年間何度でもバージョンアップするなら
9万くらいかかる別の契約を結ばないといけないらしいのですが、どこでもそうなの
でしょうか?



277 名前:○anonymous :04/04/16 11:40 ID:???
>276

NS25のソフトウェアサブスクリプションは、年額9万円で、
これを支払わない限り、購入後3ヶ月(だったかな?)の
バージョンアップ以外は「ライセンス違反」だったと思うのですが。

年に1度もダメだった筈ですけど、どこのベンダさんかな?


278 名前:まな :04/04/16 12:02 ID:uzYeNrGR
購入後90日までは別として、保守契約を結ぶと1回はバージョンアップできるようなんですが、
これも、はっきりしてません。
やはり、年間通してバージョンアップするには9万かかるんですね。。
保守は、ファーストデリバリーとかいってました。。

有難うございました。

279 名前:on :04/04/16 13:15 ID:???
>>275
グルーピングすれば、グループで1トンネルって聞いたことがありますが、
ガセでしょうかね。
リモートは使ってないんで試せないですが。

280 名前: :04/04/16 14:09 ID:???
>>278
修理交換扱いでバージョンアップするとか?
277さんじゃないけど、ベンダがどこか気になる。

281 名前:だちょ :04/04/16 14:47 ID:uzYeNrGR
おせわになります。
暗中模索状態なので、よろしくお願いします。
NetScreen25を利用してEth2をDMZとして利用したいと考えています。
そのDMZに公開用WEBサーバーを設置したいのですが、
いろいろ調べているのですが、LAN内にあるサーバーに対してMIPで
見に行く方法はわかったのですが、Eth2を使う場合がよくわかりません。
マニュアルのどのあたりをみるべきなのかもわからない状態です。
よろしくお願いします。


282 名前:anonymous@ p5160-air01hon128k.tokyo.ocn.ne.jp :04/04/16 15:56 ID:X6tgI/CC
DNSリレーを利用することってできないのでしょうか。。。

283 名前:anonymous@ YahooBB219028200006.bbtec.net :04/04/16 22:40 ID:b2ppBQU6
netscreen50にns-remote8でvpnで通信してます。
Yahoo!BB経由でアクセスすると
すこし大きなファイルを転送すると通信が止まります。
mtuの問題でしょうか?
どなたかYahoo!BBでの実績があれば教えてください。

284 名前: :04/04/17 01:52 ID:???
>>281

基本は5XT等の場合とおなじです。
UntrustのInterfaceでMIPまたはVIPを設定して、ポリシーでUntrust to Globalでサービスごとに
Permitを決めるだけです。
この場合、DMZへ向かうポリシー設定をしていないように感じますが、MIPでHostをDMZに向け
たときにマッピングされているので不要になります。



285 名前:maa :04/04/17 03:53 ID:???
すみません全くのシロウトなのですが。だれか教えて。。
netscreen-remote8.1で自宅PCから会社のLANに繋ごうとしているのですが、
うまくいきません。自宅はADSL yahooBBモデムで自宅内で無線LANしています。
会社はNetscreenではなくFaitelnetなのですが設定済みで
他の人の自宅からは問題なくRemote接続できます。(ブロードバンドでも
なんでもない接続)
ぅぅぅ誰か教えてぇ〜

286 名前:名無し :04/04/17 10:04 ID:???
>285
Yahoo BBモデムの仕様は知らないけど
NAT-Traversal回りの設定じゃないのかな。

直接ダイアルアップは動いているっていうし。


287 名前:DI :04/04/17 11:40 ID:???
>>281

>>284のようにしてもいいし、DMZにグローバルアドレスふって、Untrust→DMZのルール
を書いてアクセス制御してもいいです。
後者の場合、上のルータにルーティングがいるけどね


288 名前:sage :04/04/20 22:41 ID:hIEU3vPh
eth1 trust(private)、eth3 untrust(global)でLAN間VPNさせるんですが、
tunnel.1作ってトンネル掘るときに、unnumberedでつけるインタフェースは
eth3ですか?eth1ですか?普通に考えると(マニュアルでもそうなんですが)
素直にglobalのついてるeth3を持ってくるんですが、privateのeth1を設定
するというのもあうらしいのですが、どっちが普通の作法なんでしょうか?


289 名前: :04/04/21 14:54 ID:???
USサイトが知らない間に・・・(´Д`;オモイ ミニクイ

290 名前:? :04/04/21 23:38 ID:???
>>289
SecurityAdvisoriesとSecurityNoticeのページが分からなくなっちまいました
何とかしてくれ

例のRST-AttackについてのJuniperからのレターにも
NetScreenに関する記述が含まれてました

もう完全にJunperなのね



291 名前:anonymous@ pl008.nas931.ichikawa.nttpc.ne.jp :04/04/23 01:26 ID:???
ジュンパー

292 名前:anonymous :04/04/23 11:43 ID:???
このスレはこれからジュンパースレに変更になりますた



293 名前:junper :04/04/23 12:08 ID:???
ジュニパー、ネットスクリーン買収後の事業を語る
http://japan.cnet.com/news/biz/story/0,2000050156,20065634,00.htm


294 名前:しげ :04/05/01 17:14 ID:???
どなたか、NetScreenの設定方法を教えてください?
それと、VPNの設定方法も教えていただければ助かります。
5GTです。

295 名前:  :04/05/01 18:22 ID:???
>>294
http://www.juniper.net/netscreen_com.html

296 名前:Phoenix ◆Q3kRG0vwM2 :04/05/01 18:22 ID:???
マニュアルみたらできる程度だよ。NSは。

それと、あんまりにも質問が漠然としてると答えづらいので
もっと絞ってもらえると回答しやすいと思います。

297 名前:なべちゃん :04/05/03 00:40 ID:???
>>285

私もNetScreen 5GTとNetScreen-Remote v8.3でVPN接続させようとして
いるのですが、Air-H"でprinに接続すると目的のマシンと通信できるの
ですが、ブロードバンド(NATルータ配下)のPCからはVPNセッションは
張れるのに通信が出来ません。
AutoKeyIKEでNAT-TraversalとUDP Checksumもチェックしています。

実際に使われている方教えてください。

298 名前:サポート打ち切りが怖い :04/05/05 17:08 ID:???
>>297

UDP Checksumは外しましょう。
あとフラグメントしてない?

299 名前:(≧∇≦)ぶぁっはっはっ!R32 ◆HCR32tw5Hg :04/05/07 19:27 ID:???
5GTのantivirus機能とかどうですか?
エンジンはトレンドマイクロのを使ってるみたいだけど、
mailは大丈夫として、HTTPとかFTPダウンロードにも対応できてるんでしょうか?
資料取り寄せたけど、あまり詳しいことが載ってないんで。