Netscreenユーザスレ r3.0

1 :ScreenOS :2006/09/19(火) 00:14:59 ID:IF/L9pyf (1 回発言)
無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.co.jp/products/integrated/

その他代理店はぐぐれかす。

初代スレ: Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

前スレ: Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

2 :エビちゅ :2006/09/19(火) 09:21:29 ID:???
>>1
ごしゅじんちゃま乙

3 :anonymous@ PPPa1954.kanagawa-ip.dti.ne.jp :2006/09/20(水) 20:36:08 ID:G/JnvSp4 (1 回発言)
MGT2ってどうなの?

4 :もうすぐ :2006/09/22(金) 05:39:48 ID:3SRVb/+T (1 回発言)
dat逝きの予感

5 :anonymous@ 357668000076060 :2006/09/22(金) 09:16:09 ID:2YUP7jlW (1 回発言)
んじゃ、保守

6 :anonymous@ PPPa467.kanagawa-ip.dti.ne.jp :2006/09/23(土) 15:14:41 ID:fokdwtgB (1 回発言)
前スレの宿題?

982 名前:ねtscれえn 投稿日:2006/09/15(金) 20:26:42 ID:???
今時ISG2000をうちのサービスで使おうと開発検証してんだけど、、、
くだらないバグがいっぱい。
ここまでひどいと本来の機能も疑ってしまうよ。。

メモリチェックくらいやってください。。。リブートしないで。。。

7 :anonymous@ 121-83-18-57.eonet.ne.jp :2006/09/23(土) 21:52:15 ID:???
ネタとしか思えない煽りを引っ張ってこられても。

あぁ、前スレ本人か。

8 :. :2006/09/24(日) 00:57:50 ID:???
中古で購入したけど、ScreenOS新しいのにできんかなぁ。
やっぱ新品買うべきだったか…。

9 :anonymous@ softbank219197212050.bbtec.net :2006/09/26(火) 12:27:42 ID:???
あげようか?

10 :anonymous@ i222-150-16-254.s04.a013.ap.plala.or.jp :2006/09/29(金) 03:32:26 ID:???
保守しておきますよ

11 :   :2006/10/11(水) 23:24:34 ID:ZnQ+KqpB (1 回発言)
おちそう

12 :よいしょ :2006/10/12(木) 16:09:47 ID:???
ネタなし?

13 :NS5GT :2006/10/12(木) 19:39:07 ID:???
UTM用途で5.4系を使ってる方いたら、使い心地を聴かせて頂きたいです。
(発売まだでしたっけ?)


FortGateで悩まされたので興味津々です。

14 :超初心者 :2006/10/13(金) 22:08:18 ID:???
VPNが出来ると聞いてオークションで中古の5xtを購入しました。
有るのは本体と電源だけです。

これを自宅に設置し、出先からIPSecを使って
自宅のネットワークとVPNを張りたいと思います。

他に購入すべきものは有りますでしょうか?

15 :anonymous :2006/10/13(金) 23:36:17 ID:???
>>14

もし本当に超初心者なら、Netscreen-Remoteも買っておいたら?
そしたら、Webのマニュアル通りに設定できるし

16 :超初心者 :2006/10/14(土) 00:08:48 ID:???
>>15
価格を調べたら本体より高いのですが orz
Netscreen 5xt に対応しているフリーのVPNクライアントって有りませんか?

17 :anonymous :2006/10/14(土) 00:16:06 ID:???
>>16

なら XP or OSXなら標準で持っているIPsec-VPN機能を使えば?
PC-Unix系なら、IPsec関係のはごろごろしてるので説明略


18 :超初心者 :2006/10/14(土) 00:22:51 ID:???
>>17
検索したら参考になりそうなサイト見つけました。
頑張って設定してみます。ありがとうございました。


19 :. :2006/10/16(月) 09:39:24 ID:???
>超初心者さん
僕も初心者っていうか知的障害者に近いくらいなんですが
XPの標準機能でNetScreenに接続する方法、分かりましたらここに簡単にまとめてもらえませんか?
お願いします。

20 :ころりん :2006/10/26(木) 19:46:38 ID:???
Netscreen-Remoteを利用するのに
ユーザー/パスワードをダイアログボックスに
入力させるような認証をさせたいのですが
どんな方法がありますか?
ヒントでも頂ければ嬉しいです。

21 :偽装請負で常駐 :2006/10/27(金) 11:37:18 ID:???
>>20
Netscreen-Remoteを起動できるユーザを制限したいってこと?
OSレベルで工夫したほうがいいんじゃないかな?
(ユーザアカウント分けるとか)

あと何だっけ?ActiveDirectoryと連携して
ポリシー書ける機能なかったかな。

個人的にはネットワークの制限は物理機器ごとに
かかればいいと思ってるので、利用者ごとの認証は
その上のアプリでやればいいと思うけど。

22 :名無しさん :2006/10/27(金) 23:17:40 ID:???
>20
XAuth使えば、いいかも~?

23 :anonymous@ softbank219196155213.bbtec.net :2006/11/03(金) 15:58:45 ID:0xWHbUir (2 回発言)
お尋ねしたいのですが、会社のネットワークに自宅からアクセスするのに、
Netscreen-Remoteをインストールして、設定してconectしたら、「Successfully connected to My Connections\XXXX」
と出て、接続はできているっぽいのですが、リモートデスクトップなどでサーバにアクセスしようとしても、ホストが
見つからないとなってしまいます。
ほかに何か設定をする必要があるのでしょうか?
自宅のルータでポート転送をしないとだめなのでしょうか。
その場合、WAN側のポート、LAN側のポートの設定をどうすれば良いでしょうか。
もしくは別の部分に原因があるでしょうか。

24 :anonymous@ 218-228-211-206.eonet.ne.jp :2006/11/03(金) 16:03:03 ID:???
ポリシーはどうなってる?

25 :anonymous@ softbank219196155213.bbtec.net :2006/11/03(金) 16:30:01 ID:0xWHbUir (2 回発言)
Security Policy Editorで、Sevurity Policy という所は、Aggressive Modeが選択されて
Enable Perfect Forword Secrecy (PFS)にチェックして、PFS key Groupが選択されています。
また、Enable Replay Detectionにチェック入っています。
これでいいのでしょうか

26 : :2006/11/03(金) 21:18:03 ID:???
ホスト名で検索しているなら
IPでテストしてみてね。

27 :anonymous@ softbank219196155213.bbtec.net :2006/11/04(土) 11:43:13 ID:NEKEQF0f (1 回発言)
IPでもだめでした。
ポートは何番を使用するのでしょうか。


28 :5gtゆーざー :2006/11/06(月) 19:18:04 ID:???
同じように悩んだことがありますが
IPが割り当てられないのであれば
DIPを設定して試してみるといいと思います。

的外れだったらスマン。

29 :anonymous@ zaqd378a64e.zaq.ne.jp :2006/11/12(日) 11:57:09 ID:yKknuOAV (1 回発言)
apac

30 :かむさにだ :2006/11/17(金) 23:57:37 ID:E7eD7/oF (1 回発言)
誰か、ScreenOS5.2をくれ

31 : :2006/11/18(土) 02:11:09 ID:???
>>30
プー

32 :. :2006/11/18(土) 23:09:52 ID:???
中古持ってるんだけど、どっかで新しいScreenOS買えない?

33 :日曜日 :2006/11/19(日) 12:15:15 ID:???
売ってるとしたら、いくらくらいなの?

34 :_ :2006/11/20(月) 00:40:05 ID:???
>>30
どうやって渡せば?

35 :クレクレ :2006/11/20(月) 18:22:42 ID:???
NetScreen-100を中古で入手したんですがScreen-OSが3.0で使いづらいです。
NetScreen-100用の4.0系統か5.0系お持ちの方いただけないでしょうか?
こちらの7M板とかにでも・・
http://kasamatusan.sakura.ne.jp/

当方はNetScreen-5GTの全てのOS持ってますのでほしい方いらっしゃればUPします。

36 :アゲルアゲル :2006/11/20(月) 21:31:46 ID:???
一部変更してお亡くなりになるのをうpしてあげるねw

37 :くれくれ :2006/11/22(水) 11:40:32 ID:???
5GTのOS、マジきぼん

38 :アゲルアゲル :2006/11/23(木) 00:10:50 ID:???
死んだらあげるよw

39 :anonymous@ east96-p182.eaccess.hi-ho.ne.jp :2006/11/23(木) 04:32:39 ID:???
CISCOエミュレータみたいなの登場しないかな

40 :_ :2006/11/23(木) 13:14:22 ID:???
ScreenOS欲しがっている人たちは、どういう状況なんだろう?
中古とかオークションで本体だけ出回っているのかなぁ。。

41 :anonymous@fushianasan :2006/11/23(木) 15:16:53 ID:???
そうだろ

42 :あああ :2006/11/23(木) 16:25:41 ID:???
本体は既に持ってるけど、OSが古いって事じゃね?
オレもそうだから

43 :anonymous@ p5091-ipad05yosemiya.okinawa.ocn.ne.jp :2006/11/23(木) 21:37:20 ID:???
年間保守サポート契約すればダウンロードできるようになるんじゃないの
翌年度は解約すればいいんじゃない



44 :_ :2006/11/23(木) 21:43:45 ID:???
>>43
中古で買っている人たちみたいなので、
年間保守サポート契約時に、遡及しないなら
買う人いるかもね。

個人で欲しいものではないけどなぁ。

45 :またたび :2006/11/24(金) 21:08:36 ID:???
NSRPの設定がされているNetScreenで
Routingを追加するとき、
Gatewayのインターフェイスを選択するところで
Ethernet1 と Ethernet1:1 はどう違うんでしょうか?

46 :. :2006/11/24(金) 23:55:26 ID:???
>>44
今中古品を使ってる。金出しても新しいOS欲しいんだがw

47 :sage :2006/11/25(土) 01:48:34 ID:???
>>44

ええ、サポート切れてから今までの期間を遡及して払えってこと?
そんな契約あるのか~ちときびしいですね


48 :anonymous@ zaqd378a64e.zaq.ne.jp :2006/11/25(土) 11:41:12 ID:kV9c+tbu (1 回発言)
SSG5 高いね

49 :SSGとかSGSとか紛らわしいなぁ :2006/11/25(土) 22:07:17 ID:???
>>46-47
仮に再保守契約できたとしても、
遡りで新品買うより高くついたりするよ。

50 :anonymous :2006/11/25(土) 22:11:21 ID:???
安い別の製品かってさ、OSだけDLすれば?

51 :natscreen :2006/11/26(日) 00:41:19 ID:???
>>50
代理店によっては別製品だとDLできない罠

まぁ選べばいいわけだがw

52 :キタコレ :2006/11/26(日) 19:35:37 ID:???
俺代理店は住商情報システムなんだけど、5GTの初期保守契約残ってて、
http://download.careplus.jp/netscreen/
からダウンロードするんだけど他の機種のOSは表示されないのよ。

でも5GTのダウンロードページのURL細工したら他のもダウンロード出来たw
こういうかんじ(これはNetScreen-5GT ScreenOS for Trend Micro ScreenOS 5.3.0r4-TREND)
http://download.careplus.jp/netscreen/download.cgi?id=911&s=シリアルナンバー&r=リファレンスナンバー
これのid=のところを色々試して見た結果

NetScreen-5GT ScreenOS upgrade ScreenOS 5.3.0r4
906

ns5xt[1].5.3.0r4.zip
823

ns50ns25[1].5.3.0r4.zip
328

にたどり着いた。

OS欲しいとか言ってた奴ら、安い製品買って上のダウンロード方法試して見れ。

53 :キタコレ :2006/11/26(日) 19:41:29 ID:???
あ、買った製品のシリアルナンバーとリファレンスナンバーでユーザー登録した後
シリアルナンバーがユーザー名、リファレンスナンバーがパスワードになる筈だから
それでログオンしてからね

54 :anonymous :2006/11/26(日) 19:51:57 ID:???
こらこら^^

55 :anonymous@ 59-190-21-171.eonet.ne.jp :2006/11/26(日) 19:58:11 ID:???
日立は全部おとせたような、、

56 : :2006/11/26(日) 20:28:21 ID:???
>>52
面白いけど、チャレンジャーですね。
不正アクセス禁止法にモロ掛かりますよ。
まぁ、スルーしてくれるだろうけど。

> OS欲しいとか言ってた奴ら、安い製品買って上のダウンロード方法試して見れ。
これは書かない方が良かったかもね。
まぁ、スルーしてくれるだろうけど。

57 :キタコレ :2006/11/26(日) 21:31:46 ID:???
最低(5XPあたり?)は買うんだから許してくれるでしょ。
通報しないでね^^

58 :. :2006/11/26(日) 23:22:27 ID:???
個人を相手にしてくれる代理店って、ある?

59 :さげ :2006/11/27(月) 01:53:19 ID:???
ぷらっとほ~む が保守費込みで販売してた気がするけど
気のせいかも

60 :anonymous :2006/11/27(月) 01:56:54 ID:???
>>59

プラットホームのは、日立**だよ


61 :anonymous@ PPPbf1277.chiba-ip.dti.ne.jp :2006/11/27(月) 22:33:15 ID:a2QCSElF (1 回発言)
Netscreen5シリーズで、webUIが時々応答しなくなるのは何故。。。
Netscreenのwebサーバ、おかしくないか?


62 :anonymous :2006/11/27(月) 22:43:28 ID:???
OSのバージョンくらい

63 :anonymous :2006/11/28(火) 21:17:35 ID:???
>>47
むしろアプライアンス製品はそんな契約ばっかりだが
それを許すと新規購入減るからやらんでしょ
逆にそうじゃない製品あるなら聞きたいよ


>>61
Java使ってるからじゃないか
動かして無くても微妙だから

もし動かしてたら、レスポンス悪いのはしょうがない

64 :NS100 :2006/11/29(水) 09:54:48 ID:96v7rYmg (1 回発言)
NetScreen100を入手したのですがログインできません。
デフォルトがnetscreen/netscreenではないのですか?
シリアルナンバーでログイン・リセットも効きません。

どなたかデフォルトのID/PW、工場出荷リセット用ID/PWご存知の方教えていただけないでしょうか?

65 :NS100 :2006/11/29(水) 11:56:19 ID:???
数回シリアルナンバーでのログインをしたところリセットがかかり、
netscreen/netscreenでもログインが出来ました。
お騒がせいたしました。

66 :juniper :2006/11/30(木) 16:12:54 ID:???
海外のサイトでns5gt.5.3.0r3.0拾った

67 :_ :2006/11/30(木) 16:31:51 ID:???
urlキボン

68 :蜂蜜壷 :2006/11/30(木) 21:15:27 ID:???
乞食が集うスレはここですか?

69 :* :2006/11/30(木) 23:49:01 ID:???
kure

70 :anonymous@ 187.62.205.61.west.global.alpha-net.ne.jp :2006/12/02(土) 01:18:07 ID:???
10userとかのやつ、OS入れ換えたら無制限とかになったりしますか?

71 :deny :2006/12/02(土) 02:41:47 ID:???
もうねアホか(y








OS入替えてもならん
OSは同じもの使ってる
ただ制限が無くなるだけ、シェアウェアだとおもいなせぇ

72 :蜂蜜壷 :2006/12/02(土) 18:54:44 ID:???
そろそろ乞食は沼に帰ってもらえませんか?
これだけ騒いだら、もう十分だろ?

73 :anonymous :2006/12/02(土) 19:17:59 ID:???
10Userっていうか10セッションなんだよな
変な販売しなきゃいいのにな

74 :GTR :2006/12/03(日) 15:33:38 ID:+3wZ1YlI (1 回発言)
OS頼む

75 :ZRX-II :2006/12/03(日) 15:37:52 ID:???
SOS頼む

76 :さげ :2006/12/03(日) 19:35:16 ID:???
>>74
ttp://www.microsoft.com/japan

このサイトから好きなの選んでかえや


77 :anonymous :2006/12/03(日) 19:36:46 ID:???
つまんないよ

78 :_ :2006/12/04(月) 10:05:55 ID:???
eMuleインスコして
http://www.emugle.com/details.php?f=FCED9997C81B004C2EEAAB41B5922408
下のDownload the fileをクリックしてダウンロード汁
あまり拡散してないから時間かかるかも

79 :. :2006/12/04(月) 23:12:29 ID:UE31Lhzt (1 回発言)
>>78
おまい最高

80 :だめだこら :2006/12/05(火) 21:42:55 ID:???
DLしたけど、つかえねー

81 :なぜだ :2006/12/16(土) 01:41:10 ID:???
5GTのOS 5.2.0r2.0 から ns5gt.5.3.0r6.0にアップグレードしたいんだけど
上手くいかない・・・ アドバイス頼む

82 :anonymous :2006/12/16(土) 07:54:04 ID:???
webインターフェイスからだとうまくいかないことが結構ある
コマンドラインで実行してみ

83 :おk :2006/12/16(土) 16:56:55 ID:???
>>82
デケタTHX

84 :GT :2006/12/20(水) 21:45:56 ID:???
NS-5GT
研究室のネットワークを任されたのですが、よくわからないことがあるのでどなたか教えてください。
NS-5GTには、静的なグローバルIPが割り当てられています。
そこをuntrustedとして、内側のLANをtrustedとしてファイアウォール・ルータとして運用しようと思っています。

ルーティングはうまくいっているようなのですが、DNSが引けません。
直接、Windowsの設定でDNSサーバーをグローバルIPのものにすればDNSがひけます。
web UIでDNSの設定をしたのですが、DNSが更新されません。

どこを直せば良いかさっぱりです。

85 :anonymous@ z205.58-98-172.ppp.wakwak.ne.jp :2006/12/20(水) 22:11:05 ID:???
DNS Proxy

86 :anonymous :2006/12/21(木) 00:36:01 ID:???
>>84
ファームのヴァージョンは?
DNS Proxyは5.2以降だったと思う。
FrotiGateならVIPいじればでけたと思うが、NS5GTはたぶん無理。

87 :84 :2006/12/21(木) 00:39:44 ID:986SuPah (1 回発言)
>>85,86
ありがとうございます!
明日試してみます。

88 :AE85 :2006/12/21(木) 11:47:17 ID:???
ScreenOS5.1.0以降と補足修正

89 :84 :2006/12/22(金) 13:45:17 ID:A6YlOP6f (2 回発言)
Hardware Version: 1010(0)
Firmware Version:
5.2.0r3a.0 (Firewall+VPN)

でした。
DNS Hostに

host netscreenの名前
domain 大学のドメイン
primary 192.168.0.1
secondary 192.168.0.2

DNS Proxy
Domain 大学のドメイン
interface untrust
primary *.*.*.*
seconday *.*.*.*

としてみたのですが、nslookupしても192.168.0.1にDNSサーバーがないと言われます。
どこか間違っていますか?

90 :84 :2006/12/22(金) 13:53:16 ID:A6YlOP6f (2 回発言)
nslookupの結果を貼り付けておきます

>nslookup *.*.*.ac.jp
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.0.1: Timed out
DNS request timed out.
timeout was 2 seconds.
*** Can't find server name for address 192.168.0.2: Timed out
*** Default servers are not available
Server: UnKnown
Address: 192.168.0.1

DNS request timed out.
timeout was 2 seconds.
DNS request timed out.
timeout was 2 seconds.
*** Request to UnKnown timed-out

91 :AE85 :2006/12/22(金) 19:46:46 ID:???
primary server 192.168.0.1 ここをしかるべきDNSサーバに。

92 :GT0 :2006/12/22(金) 23:46:20 ID:???
DNS Host = 本物のDNSサーバーの情報を入力

DNS Proxy = NS-5GTの情報を入力

だったような・・・。





93 :喪男板住人さん(謎 :2006/12/23(土) 01:17:51 ID:???
>>84

待ち時間中にひまだったんで板荒らしかもしれないけど
利用されている netscreen が Trust - Untrust モードだったら
こんな感じのconfigになると思うめぽ、エスパーじゃないので
84さんの構成等がわからないですが、一応書いてみただお

マニュアルなんてみていないで過去の記憶で書いたので
ミスがあるかもしれないだお、許してほしいだお

set interface trust proxy dns
set dns proxy
set dns proxy enable
set dns server-select domain 大学のドメイン outgoing-interface untrust primary-server 192.168.0.1 secondary-server 192.168.0.2



94 :_s :2007/01/03(水) 07:48:34 ID:???
xtって5.3で終わり?

95 :anonymous@ i220-109-185-5.s04.a013.ap.plala.or.jp :2007/01/04(木) 18:54:35 ID:???
ウチのNS5GT、イベントログに
SCS: SSH client at y.y.y.y has attempted to make an SCS connection to interface untrust
with IP x.x.x.x but failed because SCS is not enabled for that interface.
ってログがよくでるんだが。。。

これって誰かがSSHでいたずら仕掛けてるってこと?
SCSってなんだべ??

ウチでの使い方は、PPPoEでフレッツにつないでプライベート側をNATしてるだけです。



96 :anonymous@ softbank221064143145.bbtec.net :2007/01/07(日) 15:28:33 ID:???
ssg5って実売でいくらぐらいなんでしょうか?

97 :anonymous :2007/01/07(日) 21:35:51 ID:???
10万くらい?

98 :anonymous@ softbank221064143145.bbtec.net :2007/01/08(月) 01:02:08 ID:???
やはり5GTより高いですね、、
買い控えしそうな予感

99 :anonymous :2007/01/08(月) 14:08:40 ID:???
ポリシーの設定で、WindowsのADに関してのポリシーを設定したいのですが、
NETBIOSとかのサービスは、カスタムで設定するしかないのでしょうか?

サービスの中には、NETBIOSとかKerberos認証のサービスが無いようでして。



100 :anonymous@ softbank221064143145.bbtec.net :2007/01/11(木) 01:08:43 ID:???
5GTが6万円くらいで買えますが、専用線をひいて来て2人で使うLAN程度なら5GTかBBルータのNATぐらいにした方が正解でしょうか?

101 :_ :2007/01/11(木) 09:44:11 ID:???
専用線ならローカルルータでしょ。
公衆網でVPNやる時にVPNルータが必要。
NATはローカルアドレスをルーティングできないからだめ。

その程度ならNTTのフレッツグループを薦めるよ。PPPoEで接続して専用線のように使える。
普通のBBルータでOK。
マルチセッション張れるやつだと尚OK。他にプロバイダ契約してインターネットも接続できるからね。

フレッツを引けないところやNTT東西またぐ場所ならVPN使うしかないね。
今や1万円を切るVPNルータも多いよ。安定性は知らんけど。
NetScreenはファイヤーウォールだからね。VPNだけで使うのは勿体無いかも。
ヤマハのRTシリーズでIPsec使えるルータ探してごらん。

102 :anonymous :2007/01/11(木) 19:13:11 ID:???
NetScreen-HSCはどうよ?
ttp://www.juniper.co.jp/products/integrated/ns_hsc.html
5GTよりだいぶ安いみたいだが。

103 :anonymous :2007/01/11(木) 19:19:32 ID:???
>>101
>その程度ならNTTのフレッツグループを薦めるよ。PPPoEで接続して専用線のように使える。
そういうわけにはいかないよ。
ローカルIP叩いて直接通信したければ、結局tunnel張らないとだめ。
ビジネスタイプなら別だが、それなりに高いし。
2台で通信できりゃいいならスタティックNATで逃げる手もあるけど。

104 :ギャバ :2007/01/11(木) 20:18:55 ID:???
一つ質問させてください。

ScreenOS5.2からBrute Force Attackに対するルールを
作れることを知りました。

最近SSHに対するBrute Force Attackが多いので、NS側
でも対処が出来ればと思ったのですが、set di service で
SSHを見つけることが出来ません。

SSHのBrute Force Attackには対応していないのでしょうか?


105 :_ :2007/01/12(金) 09:30:59 ID:???
>103
> ローカルIP叩いて直接通信したければ、結局tunnel張らないとだめ。
いや、ちゃんとプライベートIP割り当てられるよ。
NTT東のフレッツグループ・ライトだと 10.0.0.0/255.0.0.0だった。(プロは任意のアドレスが使える)
ただ割り当てられたアドレス以外はフレッツグループ網内に投げると破棄されるから、2台以上のPCを繋げられない。
でも>100は2人で使うってんだからそれで十分でしょ。
ルータにPPPoE喋らせる場合でも >スタティックNATで逃げる でもいいし DMZ使ってもいいし。PPPoEブリッジ機能ついてるのもあるしね。

1拠点に2台以上使う場合のみトンネル張らないとダメだね。
ただしフレッツグループ自体が暗号化されたセキュアな通信だから、NetScreenみたいなファイヤーウォールどころかIPsecもいらないよ。
ヤマハのRT57程度のIPIPトンネル張れるやつでOK。

106 :生徒 :2007/01/18(木) 21:06:45 ID:???
質問!

ポリシーベースVPNとルートベースVPNの組合せって可能ですか?

107 :anonymous@ 219-122-165-247.eonet.ne.jp :2007/01/18(木) 21:19:31 ID:???
できますよ

108 :anonymous@ 138.238.128.210.bf.2iij.net :2007/01/19(金) 15:03:44 ID:???
Netscreen25でPPPoEマルチセッションでできますよね?
これで、ISP用のPPPoEとグループアクセス用のPPPoEを同じインターフェースに設定して、
インターネットへのアクセス(ISP)と、拠点へのアクセス(グループアクセス)を行なうことって可能ですか?

初歩的な質問でもうしわけないです。

109 :空き缶 :2007/01/19(金) 15:33:48 ID:???
>>108
つIPsecVPN

110 :108 :2007/01/19(金) 17:29:37 ID:???
まあ、普通そうなんですけどね。


111 :anonymous@ p1237-ipbf208yosida.nagano.ocn.ne.jp :2007/01/26(金) 22:01:47 ID:???
ぶっちゃけ、日立、住商どっちがサポートよさそうですか?
エロイ人教えてください


112 :anonymous :2007/02/17(土) 12:47:35 ID:???
>>105
>フレッツグループ自体が暗号化されたセキュアな通信だから
暗号化はされてないわけだが・・・
NTTのローカル網通るだけなので、必要がないってだけ。

まあ100はモデム直結でPCにpppoeしゃべらせてFGとセッション張ればいいだけだと思うが。

>>111
ぶっちゃけ、サポートならアライド


113 :5xt :2007/02/22(木) 10:43:03 ID:???
FIPSモードって要は
管理画面のセキュリティが厳しくなるだけ?

114 :JNCIA :2007/02/25(日) 23:38:37 ID:???
.de/files/37513355/Netscreen.5GT.5.1.0.r3.0.rar

115 :ns5gt :2007/03/13(火) 15:35:50 ID:???
Home-Workモード
Untrust Home Work 各セグメントが作成可能

Trust/Untrust/DMZ モード
Trust Untrust DMZ 各セグメントが作成可能

ってこれどう違うの?

116 :anonymous@05001015685941_mh :2007/03/15(木) 17:41:51 ID:???
Dos攻撃等を受けた場合に原因を追究したく、Netscreenのログ分析を検討してるんですが、
みなさんは、そのような場合、何を使ってるんでしょうか?
sawmillとか?



117 :NS50 :2007/03/20(火) 13:42:27 ID:NzdERxQ1 (1 回発言)
WindowsUpdateのサーバ群にだけアクセスを許可するには
どうすれば良いんでしょうか?

ワイルカード付きのURLで指定できないし
全てのサーバのIPアドレスを調べて登録しようにも
どこにも情報が転がってないし

皆さんどうしています?

118 :ななし :2007/03/21(水) 09:06:54 ID:???
>>117
update.microsoft.com
download.microsoftupdates.com
windowsupdate.microsoft.com


119 :ms :2007/03/22(木) 21:18:07 ID:???
>>117
Microsoftのサポート情報に書いてある。
・・・IPアドレスで書こうとすると、複数IPあるけどw

120 :anonymous :2007/03/24(土) 23:52:41 ID:???
>>116
sawmillは使ってるけど
これはログをデータの集まりとしてしか分析できない
誰がいつ何をしてたか、って情報をドリルダウンして可視化するだけ

そもそもDosアタックの原因追究って何よ

121 :anonymous@KHP059129084252.ppp-bb.dion.ne.jp :2007/03/29(木) 21:48:06 ID:???
>115
激しく遅レスだが…
Home-WorkモードではHomeからWorkへのポリシーがall denyとなっていて変更不可。
元々SOHO等で使用するために家庭と職場でポリシーを分ける為のモードらしい。

ここからチラ裏。
普通Netsceenでポリシーを設定する場合、WebGUIで設定すると思うけど、
コンフィグファイルを直接読み込ませる方法だと、HomeからWorkへのポリシーも普通に設定できた。
その後一度WebGUIからポリシーを削除し、再度設定しようとしてもやはり不可。順序変更だけはできた。
コマンドラインからも同様。
5GT Plus、OSは確か5.0.0r8くらいだった。

122 :ns5gt :2007/03/30(金) 11:20:02 ID:???
>>121
レスありがとう。
なるほどそう言う違いだったのね。
チラ裏も大変参考になりました。


123 :S-FVW :2007/04/04(水) 00:39:36 ID:???
>>119
ProxyDNS?

124 :anonymous@ntsitm145143.sitm.nt.ftth.ppp.infoweb.ne.jp :2007/04/13(金) 01:55:52 ID:xozth6y2 (1 回発言)
誰か見てたら教えてください。
NS5GTの10ユーザ版を知らずに買って、社員30名のところに設置して、
当然10名しか使えなくなってます。
無制限版を即時購入の予定ですが、VPN対抗側もNS5GTの10ユーザ版です。
ここで気になったのですが、対抗側も無制限版にする必要があるのでしょうか?


125 :_ :2007/04/13(金) 09:54:21 ID:???
VPNはトンネル1本で1つのカウントだから大丈夫

126 :ns5xt :2007/04/14(土) 23:57:04 ID:???
>>124
対抗側のNS5GTの下に10IP以上端末をつなげるなら、
そっちも無制限版に変えないとダメだよ

127 :ns :2007/04/17(火) 01:06:52 ID:???
SSGシリーズってどう?

128 :anonymous@KD121108000160.ppp-bb.dion.ne.jp :2007/04/18(水) 15:55:34 ID:???
LAN--netscreen5GT--インターネット--ルーター--WINXPマシン

このような構成でWINXPマシンからnetscreenへPPTPでVPN接続したいのですが、可能ですか?
どこか、参考になるサイト等ありましたら紹介していただけると助かります。

129 :anonymous :2007/04/18(水) 21:15:47 ID:???
NSはIPsecしか無理です
PPTPをサポートしているルータはFortigateとかYamahaになります

130 :anonymous@KD121108000160.ppp-bb.dion.ne.jp :2007/04/18(水) 21:42:16 ID:???
>>129
IPsecはWinXPで使えますか?
とにかくnetscreen内のLANとVPNが張れればOKなのです。

131 :anonymous :2007/04/18(水) 21:54:51 ID:???
XP標準でIPsecは使用可能 ipsecmonで検索してください
ただnetscreen remoteっていうソフトがあるので通常はこちらがクライアントソフトになります

128の構成でipsec使用時の注意点としては
どちらかの拠点は固定グローバルIPを持っている必要があります

132 :    . :2007/04/25(水) 20:41:34 ID:rNYAxNF9 (1 回発言)
いつのまにか新スレ

133 :anonymous@219.117.237.163.static.zoot.jp :2007/04/27(金) 01:30:11 ID:???
ぶっちゃけ、SSGってどうよ?


134 :anonymous@p5030-ipbf01yosida.nagano.ocn.ne.jp :2007/04/28(土) 23:43:04 ID:???
>>133
ぶっちゃけ、FANの音ちょーうるさい

135 :anonymous :2007/05/03(木) 22:31:11 ID:???
ハードが変わって衰退するか否か。


136 :anonymous :2007/05/07(月) 09:59:24 ID:???
NSR VPN-Client の日本語マニュアルってないの?

137 :NSR :2007/05/07(月) 11:08:39 ID:???
欲しい…。誰かちょーだい。

138 :    . :2007/05/09(水) 02:27:22 ID:Nja6YudD (1 回発言)
ジュニパー、IDPやFW向けOSを強化
http://www.atmarkit.co.jp/news/200705/08/juniper.html

ジュニパー、セキュリティを強化した新ソフトでネットワークインフラ全体を可視化
http://japan.zdnet.com/news/nw/story/0,2000056190,20348381,00.htm

139 :. :2007/05/10(木) 00:20:59 ID:???
インターネット



┃ DMZ:192.168.0.0/24

┏┻━┓.1 .2┏━━━━┓
┃NS25┣━━━━━━━━┫web_sv ┃
┗┳━┛ ┗━━━━┛
┃.3 実IP:192.168.0.2
┃ MIP :1.1.1.1


┣━━━━┻━━━━━━━━━┫

LAN:192.168.1.0/24


どうしてもわからないので、助けてください・・・。

・LAN内のクライアントからDMZ上のwebサーバが見られません
・外部からwebサーバは閲覧可能
・LANからwebサーバにアクセスを行うと、webサーバのアドレスが1.1.1.1に解決される
・NetScreen25のインターフェイスは全てNATモード
・LAN内からWebサーバへのアクセスポリシーはPermit


外部から見られるのに、内部からは見られないという困った状況になっています。
どなたか力を貸してください。

140 :. :2007/05/10(木) 00:26:22 ID:???
   インターネット

         ┃
         ┃
         ┃
         ┃              DMZ:192.168.0.0/24
       ┏┻━┓.1          .2┏━━━━┓
       ┃NS25┣━━━━━━━━┫web_sv ┃
       ┗┳━┛            ┗━━━━┛
         ┃.3              実IP:192.168.0.2
         ┃                MIP :1.1.1.1
         ┃
         ┃
 ┣━━━━┻━━━━━━━━━┫

  LAN:192.168.1.0/24


すいません、盛大にズレました。
可能な限り直しましたが、見づらかったらすいません。

141 :anonymous@d242.HchibaFL24.vectant.ne.jp :2007/05/10(木) 01:57:36 ID:???
>MIP :1.1.1.1
LANのサブネットに属するアドレスにするんじゃね?
間違ってたらごめんなさい><

142 :sage :2007/05/10(木) 08:24:40 ID:???

1.1.1.1とか、割り振られてもいないグローバルIP
勝手に使ったらそらうまくいかんでしょう・・・


143 :anonymous :2007/05/10(木) 11:33:27 ID:???
LAN側からRouteコマンドではどう出るの?
ルーティングテーブルの経路設定がない悪寒。

144 :age :2007/05/10(木) 12:54:38 ID:T9DLslwW (1 回発言)
>>139
機種違うけど、いけるかな。

SSG設定ガイド「はじめてのSSG 5
ttp://www.juniper.co.jp/products_and_services/firewall_slash_ipsec_vpn/datasheets/fsssg5.pdf

91Pageあたり

145 :142 :2007/05/10(木) 13:32:35 ID:???

ああ、1.1.1.1は便宜上の話か失礼
記述がないので1.1.1.1がインターフェース1と仮定すると

ルーティンテーブル設定が間違い

マッピング自体のpermitをポリシーに追加していない
(全部permit設定にしていても、さらに追加が必要)

192.168.0.2にアクセスしたら1.1.1.1に転送という不要な
逆マッピングを追加で設定してしまっている

これぐらいしか思いつきませんな


146 :anon :2007/05/10(木) 16:52:41 ID:???
LAN用のDNSが無いんだろ…
実IPの192.168.0.2だと見れるでしょ?

インタフェースが全部NATモードっつーのもおかしいけど。

147 :. :2007/05/10(木) 21:54:27 ID:???
139です。
すいません、今朝起きてみてみたらなぜか見られました・・・
何だったんだ一体・・・

148 :anonymous@office185.sjk.bbsec.co.jp :2007/05/16(水) 11:46:27 ID:gTnvWEQP (1 回発言)
J-Partnerプログラムというのがありますが、ぶっちゃけこれって如何な物でしょうか?
メリット、デメリット知りたいのですが。。
ご存知な方教えて下さい。

149 :_ :2007/05/16(水) 13:39:10 ID:???
御社ほどの規模と事業内容なら参加しても損は無いかと存じます

150 :anonymous :2007/05/16(水) 19:41:24 ID:???
会社から書き込みかよ
コンプライアンス大丈夫?ww

151 :anonymous@p4199-ipbf1101marunouchi.tokyo.ocn.ne.jp :2007/05/17(木) 01:24:07 ID:bsjDgO2x (1 回発言)
NSRPってバグってなくてちゃんと動くんでしょうか。検証経験のある方如何でしょう

152 :sage :2007/05/17(木) 13:48:22 ID:???
>>151
うごくよ。
NSRP-Liteもうごくよ。

153 :anonymous@3d75ad7a.t-net.ne.jp :2007/05/20(日) 12:37:23 ID:???
NetScreen25で、日本に割り当てられてるIPだけ通過させる様にしたい
んですが、APNICのIP割り当てリストからサブネットを圧縮して1750位
あって、NetScreenのポリシーに書ききれない状況です。
なんか良い方法ないでしょうか?




154 :anonymous@358150005663134 :2007/05/26(土) 18:22:20 ID:oRwRueGi (1 回発言)
SSGは5よりも140買ったほうがいい

155 :anonymous :2007/05/30(水) 15:17:46 ID:???
5xpと5xtにteratermでコンソール接続しているのですが
ciscoと同じ設定だとbackspaceが効きません。
これは仕様でしょうか?それとも設定を変える必要があるのでしょうか?

タイプミスを直せないのでえらく非効率…

156 :. :2007/05/30(水) 23:01:38 ID:???
つ Ctrl+BS


根本的な直し方は知らん。
オレも気になる。

157 :155 :2007/05/31(木) 01:47:08 ID:???
>156
できました!
随分長い間悩んでいたのですが
ScreenOSのマニュアルにもSyngressの本にも載ってないし、
全く情報が無いので困っておりました
(つか不文律かと思い始めていました。
Ctrl+Aや横矢印の事が書いてある場合ですら言及が無いし)。

個人的Netscreen一大不思議が解消してスッキリしました。
ありがとうございました!

158 :ななし :2007/05/31(木) 07:47:51 ID:???
>>155
DELキーでもダメ?

それで行けるならBSキーでDELを送るみたいなチェックボックスがあったような・・・

159 :anonymous@eM60-254-226-109.pool.emobile.ad.jp :2007/05/31(木) 13:20:16 ID:???
NSRemoteのVista版まだ?

160 :155 :2007/05/31(木) 16:26:41 ID:???
>158
アドバイスありがとうございます。
Teratermのキーボード設定"DELを送信するキー"の
Backspaceキーのところのチェックを外したら
単独押下でも削除できるようになりました
(いじった憶えがないのでデフォルト?
Ctrl+BSはこの設定に関わらずBackspace送信でした)。
どーりでNetscreenの文書あたっても載ってない訳だ。

この設定でCiscoも問題ないのでこのまま使用しようと思います。
お騒がせしました。

161 :anonymous@05001015685941_mh :2007/06/04(月) 18:24:31 ID:???
ScreenOS5.0で、同じサーバのlocal0にイベントログを、local1にトラフィックログを出力ってできないの?
例えばGUIでHome→Configuration→Report Settings→Syslogに

192.168.1.1 514 local0 local0 Eventlogのみにチェック
192.168.1.1 514 local1 local1 Trafficlogのみにチェック

とやると、強制的に
192.168.1.1 514 local1 local1 Eventlogのみにチェック

に書き換えられてしまうんだが。


162 :スレ違いスマソ :2007/06/08(金) 00:23:11 ID:???
junosをvmwareで動かした方います?

163 :anonymous :2007/06/16(土) 13:16:16 ID:???
VmwareにBSD入れてその上にJunOS入れてるやつは中華のページでよく見るな

164 :anonymous :2007/06/17(日) 00:11:15 ID:???
このへん参照
ttp://www.netemu.cn/html/32/t-1532.html

165 :  . :2007/06/17(日) 15:02:48 ID:???
中国は著作権フリーみたいだけど、日本はそうじゃないから無理

166 :anonymous :2007/06/17(日) 18:31:37 ID:???
どの辺りがまずいのでしょうか?

167 :anonymous :2007/06/21(木) 02:25:45 ID:???
オモシロソウネ.....


168 :JUNOS Oliveでググれ :2007/06/21(木) 06:11:46 ID:???
結局ScreenOS6はSSGのみで
Netscreenの名が付く機種のは出ないのか


169 :anonymous :2007/06/21(木) 22:57:24 ID:???
12%

170 :age :2007/06/23(土) 01:31:53 ID:???
じゅうにぱー

171 :なるほど :2007/06/24(日) 23:48:54 ID:???
初めて意味が解った

172 :anonymous@242.23.30.125.dy.iij4u.or.jp :2007/07/01(日) 21:22:39 ID:g3NgSMyc (1 回発言)
5XTの利用可能OSのバージョンってどこで確認できるんでしょうか。
Googleでも見つからないもので。

なんとなく、5.3.0ッぽいけど。


質問は2つ
○5XTのScreenOSのバージョンの確認ができるところをご存知の方ご教授を
○ScreenOS 5.4.0を無理に5XTに突っ込むとどんな素敵なことが起こるんでしょう

173 :ななし :2007/07/02(月) 00:13:35 ID:???
>>172
WebUIならhomeのFirmware Versionでは?


174 :_ :2007/07/02(月) 09:33:09 ID:???
代理店の住商情報システムだと 5.3.0r7 だね。
http://download.careplus.jp/netscreen/

他機種のOSを無理に突っ込むって具体的にどうするの?
ROM焼けるの?

普通のsave softwareでもWEBからファームウェアアップデートなら無理だと思うけど

175 :anonymous@242.23.30.125.dy.iij4u.or.jp :2007/07/02(月) 10:07:11 ID:qznRY4wZ (2 回発言)
>>173
説明が悪くてすみません。

>174
ありがとうです。
本家サイトだとそんな情報見つかりませんよねぇ。なんでやろ。

私の業務とは関係ないが、社外の人に説明しなければならないことが多いので、
自腹でNetScreenを購入しましたが、なんせ自腹なんでGTとか買えません。
5XTでScreenOS 5.4.0の各動作を検証したかったんですけど。
最悪5.3.0でもよいのですが・・・・

現OSが4.0.0なので、どうにかして5.xに上げられないかと画策中です。

うーーん、無理かなぁ。
Ciscoベースでの話しかしないぞ・・・・


176 :_ :2007/07/02(月) 12:06:13 ID:???
他機種のOSってことじゃないのね。
5XTはたぶん新OSはもう開発しないんじゃないかな。
セキュリティフィックスなんかで5.3.0r8とかせいぜい5.3.1とかマイナーバージョン上がることはあるかもしれないけど。
とりあえず5.3入れて5.4の新機能はJuniperのマニュアル
http://www.juniper.net/techpubs/software/screenos/screenos5.4.0/index.html
で確認すれば?

177 :anonymous@242.23.30.125.dy.iij4u.or.jp :2007/07/02(月) 17:09:32 ID:qznRY4wZ (2 回発言)
>>176
どうやら、そうなりそうです。
ただ、firmwareが手に入らない・・・

アプライアンスなんてのは、数年で安くなるんだから、
サポートで小金稼ぐんじゃなくて、技術者増やした方が良いと思うんだけどねぇ。

178 :NS25 :2007/07/02(月) 22:45:18 ID:???
>177
自腹で買ったって書いてるけど中古ってことか?
それなら今ある5XTをオクで売って(2万前後)、最新Firm載ってる5GTを出品してるやつから買えばいいんじゃね
3万前後で5.4系のも頻繁に出てるぞ
新品も10userなら6万しないし登録すれば最新Firm落とせる
やりようはあるんじゃないかな

5XTは>176も書いてるけど、9/1でEOLになるからもう5.4系は期待できない
ちなみに6.0以降、旧Netscreenは非対応(5200/5400の一部除く)で5GTも外れる
今後を考えるならSSGに移行か他ベンダーのにするかだね

179 :anonymous@actkyo038083.adsl.ppp.infoweb.ne.jp :2007/07/02(月) 23:35:45 ID:kIIjez4i (1 回発言)
NS-remote使用してリモートアクセスしようとしています。
LANのIP 192.168.1.0/24
クライアントのIP 192.168.1.100~105
こんな感じで同一NWのアドレス払い出す場合
Xauthでアドレスの払い出し行った際は通信ってうまくいくんかな?
某サイトでは同一NWのアドレス払い出す際は、DIPを使用しないと駄目とあったけど
DIPで100~105の範囲を払い出す設定では、通信が発生するたびにロータリー式に
アドレスが変更されて都度通信が落ちるため、NSへGUI接続できなかったんだが。

180 :anonymous@71.206.192.61.tokyo.bflets.alpha-net.ne.jp :2007/07/08(日) 17:19:54 ID:1jgE98hM (2 回発言)
NetScreenリモートでアクセスして、NSのWebUI使おうとしたらlogin画面は出るんだけど、アカウントとパスワード入れてもlogin画面から先に進まない。うーん、わからん。

181 :勉強中 :2007/07/08(日) 18:03:45 ID:???
仮想ルーターIDって機能的にはLoopbackアドレス?
好きな番号選んで大丈夫?どーにもわからん。
つか5xpで設定しようとするとエラーになる。
マニュアルよんでもさっぱり。

182 :SSGホシス :2007/07/08(日) 21:08:07 ID:???
JUNOSに切り替わるのはいつごろかな?

183 :sage :2007/07/08(日) 22:43:40 ID:???
>>180
httpsでウェブ管理画面にログインできないバグがあるけど違う?


184 :ほげ :2007/07/08(日) 23:11:09 ID:1jgE98hM (2 回発言)
>>183
httpsでもhttpでも同じ。ローカルセグメントからは入れる。いったんログアウトして
別なPCからNetScreenリモート接続後、WebUIで>>180の症状。 WebUIが表示
できる時点でpoliciesとかその他もろもろ除外できる。 うーん、わからん。

185 :  . :2007/07/10(火) 03:33:25 ID:???
>>184
IEでアクセスして、Javascriptとかそっちけい全部オンにしてみたら?
もしくは信頼済みサイトにいれるとか

186 :5GT :2007/07/18(水) 04:55:39 ID:???
ScreenOSのイメージのMD5値って公開されてる?
imegekey.cerってイメージの検証やってくれる訳では
無いんでしょ?

187 :5.0.0r11.0使用 :2007/07/19(木) 23:12:17 ID:???
5xpで勉強中なのですがどうしても判りません。

IF    VR    ZONE
untrust : untrust-vr : Untrust
trust  : trust-vr  : Trust

上記の様にバインドして
それぞれのIFにipアドレスを振って、
マニュアルに従ってスタティクルートでデフォルトゲートウエイ
(untrsutは外部のルータ、trustはuntrust-vrを指定)を設定し、
それぞれのゾーンとインターフェースでripを有効にしました。
全部anyのポリシーも双方向とも設定しました。

しかしながらルーティングテーブルをみると
untrust-vrのテーブルにはripによる外部ルータの先のアドレスが
載っているにも関わらず、2つのVR間ではripのルート情報はどちらの
vrのテーブルにも載っていません。スタティクルートのみです。
RIPでやり取りするには何が足りないのでしょうか。

188 :  . :2007/07/20(金) 04:58:57 ID:???
>>186
zip圧縮されてるから壊れてたらわかるでしょ?

189 :JUNOS :2007/07/23(月) 23:36:38 ID:???
>>187
untrust-IF----------untrust-vr
trust-IF----trust-vr
こうなってるんじゃない?

trust-IF----trust-vr----untrust-if-------untrust-if-----untrust-vr-----trust-if
にしないと駄目なんじゃないかな
よくわからないけどね
間違ってたらスマソ

IF    :VR     :ZONE
untrust :untrust-vr:untrust
trust  :unrust-vr :untrust
untrust :trust-vr  :trust
trust  :trust-vr  :trust



190 :187 :2007/07/24(火) 10:19:15 ID:???
>189
あ~…、お騒がせして済みません。
テンパった上での勘違いでした。
マニュアルにしっかり書いてあるのですが
vrouter間のルーティングは自動で行われないってのが
すっかり頭から抜けていました(まぁ勝手にルートを
アドバタイズするなら2つに分ける意味ないですな)。

結局
・スタティックルートを定義
・片方のルート情報をエクスポート
のどちらかをして、アクセスリストとルートマップを作成して指定する
必要があるらしいのですが、判らないから あ き ら め ま す た 。

マニュアル読んで、洋書立ち読みして、ググって、サイト漁りして、
オクで買ったハードに残っていた設定読んで、商用サイトのコンフィグを拾って
調べた挙げ句、"誰もそんな面倒な事しとらん。trust-vrのみで運用"と結論付けました。

勿論そんな事はないのでしょうが、それ位情報が無い一方でtrust-vrのみがありふれてました。
trust-vrのみにしたらあっさり繋がるし(当たり前か)、FirewallやVPNやら覚えることは
他にいくらでもあるのでしばらく考えない事にします。

長文スマソ

191 :名無しさん :2007/07/24(火) 22:40:07 ID:hVGIS6GT (1 回発言)
NeoterisのSSL-VPN利用者います?

192 :anonymous@FLA1Aax080.aic.mesh.ad.jp :2007/08/10(金) 15:40:01 ID:???
>190
多分、NetScreen販社もユーザの特別な要求が無い限り、わざわざvrouter-trustしか
作成していないと思うよ。
interface、zone、route、vrouter、rip、policyの設定が必要になるからな。
vrouter間の通信はdebugで取れないから検証も面倒なんだよ。
vrouter-trustだけで対応できるなら、それで対応するに越した事無い。

193 :ns :2007/08/11(土) 14:12:38 ID:???
vrって使ったこと無いな、そういえば・・・
何に使うんだろう・・・

194 :ns :2007/08/11(土) 21:34:15 ID:???
Hub & Spoke な VPN で、Spoke の trust からのパケットを Hub に集めるとき

195 :anonymous@jq117.opt2.point.ne.jp :2007/08/12(日) 09:43:40 ID:???
zoneを分けておくだけで十分なような。
リセールでもしない限りvr分離する必要はなさそうに思う。

196 :hoge :2007/08/14(火) 19:17:01 ID:???
何をもって十分とするかはさておき

NAT環境下でuntrust側にtrust側のルーティングテーブルを見せたく無いとき

197 :5.0.0r11.0 :2007/08/19(日) 01:54:25 ID:???
たぶんNetscreenの問題だと思うので質問させてください。
以下の様な環境でpingが通らなくて困っております。

--netA---◎-----netB----△-----netC-----■-------
     netgear        5xp         cisco

PCはnetB上にありデフォルトゲートウエイはnetgear
5xpもデフォルトゲートウエイはnetgear、netB側はuntrust、netC側はtrust(共にrouteモード)
Ciscoのデフォルトゲートウエイは5xp
3つのルータはRIPでテーブルを交換(ciscoのテーブルにnetAがあります)
5xpのポリシーは双方向とも全てanyのみ

この状態で
・Ciscoから5xpのどちらのi/fにもpingはとおるがnetB上の機器へは通らない。
・PCから5xpのuntrust(netB側)にpingはとおるがtrust(netC側)へは通らない。
何が問題なのでしょうか?


198 :anonymous@zaqdadcf82a.zaq.ne.jp :2007/08/20(月) 11:42:25 ID:rgwx6CXV (1 回発言)
人生をunset all したい・・・

199 :そんなときは :2007/08/20(月) 15:24:05 ID:???
>>198
http://money6.2ch.net/test/read.cgi/employee/1124951178/

200 :SSG320 :2007/08/21(火) 06:06:40 ID:???
>>197
各ルータのテーブルが正常になってないんじゃないの?

おちついてもっと状況整理してやってみたら?


201 :_ :2007/08/21(火) 22:13:20 ID:???
>>197
netgearのルーティングテーブルにnetCはあるの?

202 :197 :2007/08/24(金) 05:58:46 ID:???
>200、201
netgearは所謂無線ルータのWGU624で、
WEB管理画面しか無くルーティングテーブルが見えません。
いちおう設定後十分な時間待って確認したのですが
こいつがそもそもアップデートを受信してないとなると
状況に説明がつきますね。

ご指摘ありがとうございました。

203 :ssg :2007/08/29(水) 02:49:05 ID:???
ScreenOS Cookbook
http://www.amazon.co.jp/Screenos-Cookbook-Stefan-Brunner/dp/0596510039/ref=sr_1_1/250-3655592-7185032?ie=UTF8&s=english-books&qid=1188323144&sr=8-1

Paperback: 704 pages
Publisher: O'Reilly Media, Inc. (December 15, 2007)
Language: English
ISBN-10: 0596510039
ISBN-13: 978-0596510039

204 :anon :2007/09/22(土) 12:46:17 ID:???
>>203
どうやら発売1ヶ月延期らしいorz

http://www.amazon.com/ScreenOS-Cookbook-Stefan-Brunner/dp/0596510039/ref=sr_1_1/105-1656552-5313212?ie=UTF8&s=books&qid=1190432618&sr=1-1

Paperback: 704 pages
Publisher: O'Reilly Media, Inc. (January 15, 2008)
Language: English
ISBN-10: 0596510039
ISBN-13: 978-0596510039

205 :anonymous@218.231.69.144.eo.eaccess.ne.jp :2007/09/22(土) 22:42:21 ID:IHGXfAqb (1 回発言)
書き込み少ないな

206 :SSG320 :2007/09/24(月) 11:33:37 ID:???
>>204
それの日本語版欲しいな
でたとしても出るころにはJUNOS搭載がメインになってるかもしれんがw


207 :anonymous@p5236-ipbf33marunouchi.tokyo.ocn.ne.jp :2007/09/27(木) 11:29:01 ID:???
お前らNetscreenの情報が詳しく書いてあるサイトを教えてください。
日本語で書いてあるとこな。

208 :NS5XT :2007/09/27(木) 17:37:08 ID:???
なんか、立て続けにNS5XTが死亡してるが。
そろそろ逝かれる時期か?
5台故障したうち、2台は基板上の4425(PowerMosFET)の故障。
他の3台は今のところ原因不明。
原因調べてるが、コンデンサ交換で直るような問題ではないので案外厄介だ。
5XTと5GTは電源周りの回路同じなので、負荷来るとACアダプタが死ぬ前に逝くな。

209 :NA :2007/09/28(金) 01:41:35 ID:???
>>207
http://d.hatena.ne.jp/keyword/%A5%B0%A5%B0%A5%EC%A5%AB%A5%B9

210 :じゅんぱー逝ってよし :2007/09/29(土) 08:44:17 ID:???
>>208

確認してみて下さい
ttp://juniper.co.jp/support/ns-5xt/

211 :nsISG :2007/10/02(火) 23:57:46 ID:???
ローエンドのScreenOSこそやって欲しかった。

JUNOSオンライントレーニング無償ご提供のご案内
http://www.juniper.co.jp/training/technical_education/erij.html


212 :anon :2007/10/11(木) 23:24:58 ID:???
>>204
> Publisher: O'Reilly Media, Inc. (January 15, 2008)

今日チェックしたら

Publisher: O'Reilly Media, Inc. (February 15, 2008)

ウワァァァァァァン!!!ヽ(`Д´)ノ

213 :ns25 :2007/10/12(金) 02:42:26 ID:???
O'Reilly公式には相変わらず何も情報無いし、
どんどんnetscreenのEoSがアナウンスされる状況で
ホントにでるのかねぇ

214 :  . :2007/11/02(金) 23:48:15 ID:FDimL8Ty (1 回発言)
さいきんあちこちで青い箱みかける
鼠色のもたまに

215 :ns5> :2007/11/05(月) 02:02:17 ID:???
鼠ってForti?

CookbookはNetScreenではなくScreenOSだから出るんじゃないかな
SSGでも結局OSはScreenOSでしょ?

216 :ssg5 :2007/11/05(月) 22:48:11 ID:???
>>215
Juniperに買収される前のNetScreenは灰色だったのよ

217 :hoge :2007/11/06(火) 07:47:28 ID:???
Juniperに買収される前も青だったが?
ScreenOSの3の頃からしか知らんからもっと前は違う色だったのかも知れんが。

218 :12% :2007/11/06(火) 09:42:57 ID:???
Netscreenと言えば青ってイメージ強いな。

219 :hage :2007/11/06(火) 10:43:22 ID:???
NetScreen500販売停止通知きた・・・
使う予定だったら早めに仕入れておけって、言われてもあれ高いから何台も仕入れる余裕ねーよ。

220 :. :2007/11/06(火) 19:20:42 ID:CS3tIjRM (1 回発言)
500はもっとはやく打ち切りでもよかったのにとおもう

221 :ssg5 :2007/11/06(火) 23:45:30 ID:???
>>217
すまん、Juniperに買収されて青になった、という意味で言ったつもりじゃなかったんだ。
NetScreen100の灰色は見たことがある。
 ※青色もある。
今、画像検索でぐぐったら出てきたんで、興味あるなら検索してみて。


222 :ns5> :2007/11/06(火) 23:57:25 ID:???
灰色もあったんだ。全然知らなかった。。。

Netscreenシリーズはもうそろそろ一通り打ち止めじゃない?
どう考えてもSSGに一本化だろうし。
でもデフォルトログインはnetscreenでOSはScreenOSというw
NS25よりSSG140のほうが安かったりするし(標準価格で)、もうNS系は売る気
なさげだしねえ。

223 :5.4.0r7 :2007/11/07(水) 10:14:42 ID:???
NeptuneだのGigascreenだの専用ASICがはいってるのは
さっさとフェードアウトしたいのではないのだろうか

5GTがいつの間にやらIXP425→IXP465になって
SSG5やSSG20と同じになってたのね。
それなら6.0もサポートしてほしいなぁ。

224 :. :2007/11/07(水) 15:11:36 ID:???
専用ASICいれてないと、高速化は無理だろ
ハイパフォーマンスが必要な用途はASIC路線が続くんじゃ

225 :get money :2007/11/07(水) 20:56:01 ID:???
これからはCPU処理の時代だって偉い人が言ってた

226 :anonymous :2007/11/08(木) 01:13:35 ID:???
今時、専用ASICにしなくともパフォーマンスは出せるので、
コストに見合わんのでしょう。
 
それにしても長生きしたよなぁ、現在のNSシリーズ。

227 :ssg500 :2007/11/08(木) 03:21:55 ID:???
なんかの日本語訳資料で上位機種(ISGとか)ではASICを採用し続ける、って明記
してあった憶えがある。でも長期的にはこんな↓プランなので

ジュニパー、セキュリティ製品向けOS「Screen OS」の「JUNOS」統合を計画
ttp://enterprise.watch.impress.co.jp/cda/topic/2007/07/25/10820.html

JUNOSのインターネットプロセッサ(あるいはその後継)でScreenOSが動く、とか
その程度のことではないだろうか

228 :anonymous@PPPa710.kanagawa-ip.dti.ne.jp :2007/11/08(木) 16:24:30 ID:???
Juniper系代理店とNetscreen系代理店の住み分けはどうなるんだろ?
こんど日立に聞いてみよ

229 :? :2007/11/10(土) 17:16:53 ID:???
>>225
CPU処理の時代というか、CPUで無いと処理できないような要件が増えたってことでしょう
既知セッション処理は今まで通りASIC、要件が増えてきたDIやAVのために
速いCPUも入れますよって感じでは

>>222
灰色は初期の100だけです
200/500は始めから青かったし、1000は銀のマスクしたニクイ奴です

230 : :2007/11/14(水) 13:01:48 ID:???
FOMAのデータ定額でNetscreen-Remoteが使えませんでしたテスト。

よく確認しなかった俺がバカだった

231 :_ :2007/11/14(水) 13:21:34 ID:???
FOMAのデータ定額はhttpやpopくらいしか通らないからね。

232 :_ :2007/11/14(水) 21:06:54 ID:???
Netscreen-remoteって、特定TCPポートだけで通信する機能ってないのかな?
ciscoとVPN3000なら、TCPポート指定で通信できる

233 :anonymous@OFSfb-08p1-172.ppp11.odn.ad.jp :2007/11/14(水) 23:06:09 ID:3W+X5yv8 (1 回発言)
SSG140のObjects > Addresses > List > Configure欄のEditで
登録してあるアドレスリストのコメント欄に長い文字列を入力した場合、
半角文字なら31文字以内にしてくれというエラーがでるが
日本語(2バイト文字)だとエラーメッセージが出ずそのまま入力できるが表示がおかしくなる。

販売代理店に問い合わせを行って上位ベンダーにも問い合わせてもらったのだが
マニュアル等には記載がないが2バイト文字は15文字までがサポートされるが、
エラーがでないの使用との回答だった。
使用なので問題を修正したScreenoOSをリリースする予定もないとのこと


それとおかしくなった表示の内容がHTMLのタグのようになるのでSSGの動作に
影響ないか心配なのだが、2バイト文字は15文字までしかサポートしていないので
それ以上入力して問題が発生してもサポートできないとの回答だった。


コメント欄に15文字までしかサポートしないのならそれ以上入力できないように
対応してほしいのだがそれもしないで仕様だからと片付けておいて何かあっても
サポートはできないなんてちょっと傲慢だと思うのだが

どう思います?

234 :anonymous :2007/11/14(水) 23:13:27 ID:???
メーカーに仕様だと言われたら仕方が無い。もちろん不満だけど。
RFCに従ってないとか、同じ機能なのに機種によって動作が違うとか、そんな事でも
そういう仕様だと言われたら引き下がるしか無い。

で、そんな事が多発すればもちろん他メーカーの機器にするわけだけど、完璧な
メーカーなんてどこにも無いんだよねぇ。

235 :get money :2007/11/14(水) 23:19:04 ID:???
でも15文字以上使用する必要があるかと
言われると微妙な気がする
ネーミングのセンスが(ry

236 :hogehoge :2007/11/15(木) 00:20:25 ID:???
大丈夫かいなぁー。ScreenOSバグ多すぎ。。。まともに動くの??

237 :anonymous :2007/11/15(木) 14:03:36 ID:???
普通の奴は海外機器に日本語入れるようなことやらない
だいたい、どんな機器買っても制限事項はいっぱいあるわけで

一般消費者向け機器じゃないから、制限事項に注意して使うのはあたりまえでしょ?

238 :hoge :2007/11/15(木) 14:11:31 ID:???
俺も基本的に>>237に同意だな。

仕様だって回答貰ったんだからそれで対処しなよ。

239 :anonymous@OFSfb-08p1-172.ppp11.odn.ad.jp :2007/11/15(木) 23:11:01 ID:xaWlqu9w (1 回発言)
なんかFWとかロードバランサとか扱ってるベンダーって簡単に仕様で片付けるよね。
俺は普段はL2SW、L3SWがメインなのだがその感覚でいうと考えられない。
殿様商売とみられてる某米国のネットワーク機器ベンダーだって不具合の証拠を
提出すれば日本法人から米国の技術者に問い合わせてくれるのに。

1バイト文字ならエラー表示出してるんだから2バイト文字だってエラー
表示出すくらいOS開発してる技術者なら簡単なんじゃね?
日本法人がユーザからの不具合報告を米国本社に報告するのがめんどいので
仕様だとか適当なこと言ってるとしか思えない。

ここに来てる皆はそうは思わないの?


240 :netscreeeen :2007/11/15(木) 23:41:54 ID:???
そんな餌じゃ俺は釣れねえ

241 :sage :2007/11/16(金) 00:43:32 ID:???
燃料にしては薄い。

マジレスすると、あなたが大切なユーザとして認識されてるなら、
プライオリティあげて対応してくれるでしょう。
動作に直接関係ないどーでもいい事でもね。

腹立たしかもしれんけど、そゆこと。


242 :netscreen :2007/11/16(金) 00:57:29 ID:???
私の会社は大口顧客なのか、バグを発見するとすぐにUSへエスカレーションします。
解析に1週間くらいかかるけど、まとまったバグを定期的にアップデートしてくれます。

243 :名無しさん :2007/11/16(金) 01:02:03 ID:???
別に動作に影響あるわけじゃないし、運用回避できるからいいんでまいか?
っつーか、あれでしょ、おかしな挙動を見つけた事がうれしくて、変な使命感に燃えちゃってるだけかとw

さっさと割り切って、もっと他の事に自分のリソース割り当てた方が良いよ。


244 :ns50 :2007/11/16(金) 03:36:41 ID:???

どうしてもなんとかして欲しいなら、まずはバグとして認めさせる事かな。
これが一番難しいとおもふ。
TACにcaseopenさせるのは簡単だけど、バグと認めさせて、idもらうの大変でしょ?>SWだって。
代理店の力量にもよりますな。

まあマニュアルにかいておけよって思う事多々あるから分からんでも無いよ。
最近のScreenOSは特に。



245 :anonymous@OFSfb-21p1-91.ppp11.odn.ad.jp :2007/11/16(金) 19:47:03 ID:FrXzjDOP (1 回発言)
>>242
ではこの件も報告してもらえませんかね

>>243
そうかも。
おかしな挙動見つけたときの興奮と、冷ややかなベンダーの対応のギャップに
気持ちがついていけてなかったかも

>>244
そうですね。
マニュアルに追加しますくらいの対応は見せてほしかった

246 :anonymous :2007/11/16(金) 21:43:18 ID:???
すくなくとも、買ってるベンダから送られてくる制限事項には、
いろいろと注意点が書いてあるけどな

247 :anonymous :2007/11/16(金) 23:17:25 ID:???
SEが色々と注意事項を並べても営業で遮断されてる現実。
受注した後の対応やるのは誰だと思ってあqwせdrftgyふじこlp;@:「」

248 :anonymous@OFSfb-21p1-91.ppp11.odn.ad.jp :2007/11/17(土) 01:08:08 ID:L4IxlglS (1 回発言)
そういえば実際にコメント欄に2バイト文字を15文字以上入力して
表示がおかしくなるのを試してくれた人はいるのかな?

249 :ssg5 :2007/11/17(土) 01:21:37 ID:???
そもそもScreenOSって2バイト文字をオフィシャルでサポートしてるの?
入力できるのは知ってるけど、アンオフィシャルだと思ってた。

250 :hoge-remote :2007/11/17(土) 01:53:27 ID:???
そんなに振り上げた拳の降ろし処が欲しいのか

251 :ns50 :2007/11/17(土) 02:53:42 ID:???
こだわるねぇw
週明け暇ならやってみるよ。
5.4r7と6.0r3あたりでさ。

あなたも暇ならconfigに手書きで日本語コメントかいてロードしてみ。


さて。
フラグメント異常の解析続けますか…

252 :anonymous :2007/11/17(土) 17:43:37 ID:???
俺は外国製、ましてや1バイト文字圏の機器に日本語突っ込むなんて
恐れ多いことはできません((('A`)))

253 :nsISG2000 :2007/11/17(土) 18:16:25 ID:???
それこそがフツー。
表示にすら日本語が使われてないのに
突っ込んで火病なんてねぇ

254 :anonymous :2007/11/17(土) 18:41:21 ID:???
英語のUI使えませんとか、GUIしか扱えませんとか、英語のマニュアル読めませんとか、
そもそもマニュアル読みませんとか、お前の仕事は何だっつーの。

と言いたくなるシステム管理者が多い。
既設NetScreenのconfig貰ったら日本語がイッパイ。

255 :anonymous@OFSfb-21p1-91.ppp11.odn.ad.jp :2007/11/18(日) 23:11:23 ID:2Qd1ilZO (1 回発言)
>>249
販売代理店の話だと5.3だか5.4でサポートされるようになったとか
聞いたような気がするけど俺の記憶違いかな?

>>251
よろしく

>>254
エンドユーザですがなにか?
英語のマニュアル読むのもユーザからの不具合報告に対応するのも
対応できなかったら上位のベンダーに取り次いだりするのも
おまいの仕事なんじゃないの?

まあ、取り次いでもらった結果冷たい回答がきたのでここに愚痴りにきたのだが






256 :hage :2007/11/19(月) 00:27:50 ID:???
netscreenってBGPまともに動く?

257 :anonymous :2007/11/19(月) 00:39:32 ID:???
少なくともマニュアルに関してはその機器に関わる奴はユーザでもベンダでも全員読め
って思うメーカサイド。

仕様はどこかに明記されてて初めて仕様だと思うけど、そもそも読んでくれないとなぁ。

258 :_ :2007/11/20(火) 17:54:20 ID:???
一本の光ファイバーでひかり電話とNetscreenでVPN通したいんですが機器の接続はどうするのが無難ですかね
・IP電話アダプタ内蔵ルータのLANポートにNSを接続、UDP500をポートフォワード
・ハブでIP電話アダプタ内蔵ルータとNSを並列に接続

259 :hage :2007/11/20(火) 19:47:25 ID:???
3000もの拠点をipsecで繋ぎたいのですが、netscreenでできますか?

260 :- :2007/11/20(火) 20:40:44 ID:???
出来るよ

261 :12% :2007/11/20(火) 20:59:24 ID:???
プリシェアードキーでやると大変そうだなw

262 :anonymous :2007/11/20(火) 23:21:39 ID:???
>>258
ひかり電話のルータはPPPoEをスルーしてくれるんじゃなかったっけ。
ルータ側でVoIPのQoSとかやってそうだから頭にSW咬ますのはなんとなく
怖くて...

263 :_ :2007/11/21(水) 10:39:06 ID:???
>262
レスありがとうございます!
RT-200KIはPPPoEパススルー可能なんですね。
レンタルされるルータがこれになることを祈ります。

264 :_ :2007/11/21(水) 17:56:13 ID:???
Netscreen自体はPPPoEパススルーはしてくれないの?
5GT使ってるんだけど。

265 :anonymous :2007/11/22(木) 00:00:34 ID:???
NS以前にFWは基本的に余計なパケットは一切通さないのがデフォだと
思うんですが。
PPPoEのパケット通すなんて頼りない防火壁は使いたくないな...

266 :5xt :2007/11/22(木) 03:03:12 ID:???
ク、クマー

267 :anonymous :2007/11/22(木) 03:41:05 ID:???
ns5gt使ってるんですけど,VPNとかMIPで固定IPアドレスが必要らしいんですけど
変動IPアドレスだとns5gtを使うのは機能を十分にいかせないですか?

ns触るのはじめてなんでns独自の用語があってとまどってばかりです...

268 :_ :2007/11/22(木) 09:37:34 ID:???
NSに限らずVPNは固定IPが最低1拠点は必要でしょ。アグレッシブモードなら片方はダイナミックIPでもOK。
DDNS使って拠点同士ダイナミックIPでもVPN張れるルータもあるみたいだけどNSはDDNS対応してないし、そもそもそんなの不安でしょ。


269 :_ :2007/11/22(木) 11:54:48 ID:???
>>265
ってことはFWで許可すれば(許可できる?)PPPoEパススルー出来るって事?

270 :_ :2007/11/22(木) 13:14:47 ID:???
できません

271 :_ :2007/11/22(木) 13:44:37 ID:???
>>270
そうかぁ、残念 orz
回答ありがとう。

272 :anonymous :2007/11/22(木) 22:06:21 ID:???
インターネットから家のns越しのサーバにアクセスしたいんですけど,
これは何処の設定をしたらいいんでしょうか.

273 :anonymous@05004010241920_vf :2007/11/22(木) 23:49:18 ID:nV7pzXkT (1 回発言)
許可すればいいぢゃん。









どっからどこになんのサービスを許可するの?って思った?それはお前しか知らねーよ

それすら思わなかったならNS使うのやめた方がいいんぢゃね?





ナニでアクセスするかぐらい書けやポゲ。



274 :272 :2007/11/23(金) 00:34:39 ID:???
すみません,説明不足でした.
インターネットから家のNS越しのサーバのhttpdにアクセスしたいんです.

安いルータだと静的NATの項目で設定すると思うのですが,
NS5gtだと何処ように設定したらいいのでしょうか.

275 :anonymous :2007/11/23(金) 06:18:49 ID:???
ネットワーク構成がわからないとだれも答えられない

276 :anony :2007/11/23(金) 20:20:15 ID:???
>>274

MIPのことか?

277 :anonymous@p2211-ipad29sasajima.aichi.ocn.ne.jp :2007/11/23(金) 23:02:17 ID:???

set interface untrust ip 200.200.200.199 255.255.255.0
set interface trust ip 192.168.0.1 255.255.255.0

set interface untrust mip 200.200.200.200 host 192.168.0.5 netmask 255.255.255.255 vrouter untrust-vr
set policy from untrust to trust any mip(200.200.200.200) http permit log

なぜかデータ部のIPアドレスを気にする必要のないサーバまでMIPで作りたがる奴が多いみたいだが、
誰かに洗脳されているのか?

set interface untrust vip 200.200.200.200 80 http 192.168.0.5
set policy from untrust to trust any vip(200.200.200.200) http permit log

適当に空で作ったから間違ってたらすまん。

278 :anonymous :2007/11/25(日) 23:48:33 ID:???
静的NATとは書いてるけどポートフォワードのことを言ってる気がする。
だとしたらVIPになるな。

279 :anonymous@dmzrsv165.ccnw.ne.jp :2007/12/04(火) 12:10:17 ID:6/IWQE4j (1 回発言)
おまえら、>>272のnsがグローバル持ってるかどうか知ってるのか?

280 :anal :2007/12/05(水) 01:33:22 ID:???
>>274
図で示すとこんな感じ
http://upload.wikimedia.org/wikipedia/commons/c/cc/Coupleur-accoustique-IMG_0298.JPG

281 :anonymous@ppp82.kokokusha.co.jp :2007/12/06(木) 19:30:38 ID:eeALGYND (1 回発言)
どなたかお助けを…
Netscreen Remote を使用せず、
OSのL2TP設定なんかでVPN接続って出来るのでしょうか?

282 :12% :2007/12/06(木) 20:03:38 ID:???
>>281
出来るよん。
設定が終わったら是非ここに公開してくれ。

283 :5.0.0r11.0 :2007/12/09(日) 20:40:50 ID:???
相変わらずOReillyには情報が皆無だが
米konozamaのScreenOS Cookbookのページに
表紙の画像が出てる。


284 :NSRユーザ :2007/12/11(火) 12:36:29 ID:???
先日、@FreeD → FOMA定額プランに変更した際に

NSR繋がらなくなったよ orz

接続先のSSG側で
[Root]system-information-00536: Rejected an IKE packet on ethernet0/7 from A.A.A.A:500 to B.B.B.B:500 with cookies nnnnnnnnnnnnnnnn and 0000000000000000 because an initial Phase 1 packet arrived from an unrecognized peer gateway.

となっちまう
フェーズ1で認識されないゲートウェイから接続要求があった?ってことだろ

ルートベースVPNで、動的なIPからではあるけど...
その辺は、@FreeDの頃から同じなわけだし...

FOMA定額って、なんだか罠が潜んでるのか?

285 :juniperremote :2007/12/11(火) 13:02:29 ID:???
VPNは利用できないって書いてあるのに…

286 :NSRユーザ :2007/12/11(火) 14:08:56 ID:???
>>285
あ゛っ....
ひょっとして
http://www.nttdocomo.co.jp/service/data/foma/flat_rate/notice/index.html
のことかいな
VPN通信(トンネリングソフトなど)って書いてあるな.....

( ´゚д゚`)えーーーΣ(`Д´ )マヂデスカ!?

こまったこまったこまった、DoCoMo仕様変更してもらえんだろうか?

287 :_ :2007/12/11(火) 14:27:59 ID:???
無理でしょ
VPN許可したら中見えないからプロトコル制限できないんで何でも転送し放題
うちもNS-Remoteでつながないと会社のメールも読めないんで、この糞サービスが発表に
なったときにドコモの定額はあきらめた

定額のまま使いたかったらwillcomかぁぅしか選択肢がないと思う
俺はあきらめてwillcomにしたけど、同番移行で申し込んだのでまだ使えてない

288 :230 :2007/12/11(火) 15:19:51 ID:???
>>286
ご愁傷様。俺の犠牲が活かされていなくてうれしいです。

> DoCoMo仕様変更してもらえんだろうか?
仕様変更って?

多分パケットフィルタリング+ステートフルなフィルタリングを行ってる。
サポートの兄ちゃんが法人向けにVPNは通る様にする案がDocomo社内で上がってるけど
時期等具体的な事は全然未定、って言ってた。

一緒に祈りましょう。

289 :_ :2007/12/18(火) 18:44:53 ID:???
ドコモの「定額データプラン」がVPNをサポート

NTTドコモは、月額4,200円~10,500円で、下り最大3.6Mbpsのデータ通信サービスが利用できる料金プラン
「定額データプランHIGH-SPEED」、上り下り64kbpsのデータ通信が可能な「定額データプラン 64K」において、
12月21日よりVPN通信に対応する。合わせて、法人向けの新たな料金プランも発表された。

「定額データプランHIGH-SPEED」と「定額データプラン 64K」は、今秋より導入されたデータ通信サービス向けの定額料金プラン。
これまで利用制限によって、VPN通信に非対応となっていたが、12月21日よりVPN通信の制限については解除される。
定額データプランでは、通信の利用はメールやWebに限定されていたが、VPNで企業内ネットワークに接続すれば制限なく利用できる。
対応プロトコルは、IPsec、PPTP、SSL-VPN。なお、VPNへの対応は自動的に行なわれ、特別な手続きは必要ない。

さらに、法人向けリモートアクセスサービス「ビジネスmopera」においても、新プラン「ビジネスmoperaインターネット
(HIGH-SPEED)VPN 限定タイプ」と「ビジネスmoperaインターネット(64K)VPN限定タイプ」が新設される。
利用料は月額630円と月額315円で、いずれもVPNに利用を限定したものとなる。

http://www.docomo.biz/b-mopera/information/news.html?id=66

290 :anonymous@51.23.30.125.dy.iij4u.or.jp :2007/12/18(火) 19:32:53 ID:cNAbtZn6 (2 回発言)
ご存知なら教えてください。

netscreenの設定変更が反映されるのは即時だと思っていましたが、
どうも接続状態の維持をされるようです。

たとえばPolicyを変えてnetscreen自体をコンソールからリセットしても
接続途中だったクライアントにはそのpolicyが反映されません。

クライアントの再起動しなきゃだめ?でしょうか

291 :anonymous@51.23.30.125.dy.iij4u.or.jp :2007/12/18(火) 19:35:20 ID:cNAbtZn6 (2 回発言)
気のせいだったorz

292 :int :2007/12/18(火) 22:45:16 ID:???
3分で気づいたのか

293 :hogehoge :2007/12/18(火) 23:48:05 ID:???
ガベージタイマがあるからね。

294 :anonymous@51.23.30.125.dy.iij4u.or.jp :2007/12/19(水) 14:50:42 ID:CbILziMn (1 回発言)
ただ、よく分からんなぁ。
即時反映されるものとそうでないものがある。
そんなものか。

295 :? :2007/12/25(火) 06:59:23 ID:???
ルール消してもセッションテーブルは残りますよ

296 :anonymous@FLA1Abz052.aic.mesh.ad.jp :2007/12/27(木) 11:46:51 ID:???
>290
clear session

297 :ns勉強中 :2007/12/29(土) 10:37:49 ID:???
質問ですが、現在netscreen-5gt使っているのですが
ポート単位での設定変更は可能でしょうか?
1番ポート→untrust側に通信できないようにする。ただし2~4番ポートには相互通信できる。
2番ポート→untrust側(インターネットに接続可能)に通信可能。ポート全開放。
と、したいのですができません。

ご教授お願いします。



298 :u :2008/01/03(木) 15:25:59 ID:???
>297
それぞれのポートに異なるzoneを設定したら?

299 :ns勉強中 :2008/01/03(木) 15:51:47 ID:???
>>298
ユーザー定義zoneって別zoneにはアクセス不可と思っているのですが。。
できれば設定も教えてください。

300 :u :2008/01/13(日) 14:59:28 ID:???
set zone name hoge
set int eth

ここまで書いて気づいた。
5gtは確かに作れないな。すまん。
IPアドレスで対応できないか?
もう少し設定を書いてくれないか(検証環境だよな?)

301 :230 :2008/01/13(日) 20:43:40 ID:???
今更だけど、Docomoのデータ定額でNetscreen-Remote使えましたよ。
何の問題もなくすんなりつながった。

302 :anonymous@122x213x210x120.ap122.ftth.ucom.ne.jp :2008/01/19(土) 01:21:54 ID:Y477gent (1 回発言)
質問失礼いたします。

一応、メーカーサイトのFAQで確認はしてますが、
WinVista Home BasicのOS環境でNetScreen-Remoteを使う方法はありませんか?

ファイアウォールを切ったり、手動接続を試したり、他のPCを噛ませたり
いろいろ試しましたができませんでした…

ちなみにメインとなる接続媒体はLANではなく、Air-H"でのダイヤルアップです。
(モバイルとして外出先で使用するため)

全く同じ設定を施してるXPProSP2では問題なく繋がるんですが…。


303 :302 :2008/01/19(土) 01:23:52 ID:???
あああああ…sage忘れました、すみません…。


orz



質問自体は切実です。お答えいただける方、いらっしゃったら…

304 :anonymous :2008/01/19(土) 01:40:16 ID:???
>>302
vista対応は9.0のみだけど、9.0使ってるの?
対応してるvistaはHomePremium/Business/Ultimate/Enterpriseのみ
それを承知の上で使いたいという質問?

305 :ns勉強中 :2008/01/19(土) 04:58:10 ID:???
netscreen5gtでメール設定したが、いまだに通報メールを受け取ったことがない。
これは設定したら、ちゃんと機能しているのでしょうか?
機能しているかどうか試す方法があれば、やり方教えてください。

>>300
IPアドレスはPCにはnetscreenのdhcp機能使っていますが、
やはりスタティックに割り当てたほうがいいのでしょうか?
でも、IPアドレスを使ってどこでどうやって設定するのかわかりませんorz
ご教授お願いします。

306 :305 :2008/01/19(土) 09:21:12 ID:???
すいません。わかりにくいと思うので言い換えます。

Pcには192.168.0.5/24、デフォルトゲートウェイはnetscreenのトラストIFのアドレスを
割り当てました。

ですが、IPベースのアクセス制御の設定の仕方がわかりません。
どこをどうやって設定するのでしょうか?
知っている方教えてください。


307 :ns勉強中 :2008/01/19(土) 09:41:26 ID:???
IPベースのアクセス制御の設定方法はアドレスリストであるとわかりましたが
やはりポリシーでつまづいてしまいます。

ファイアウォールOFFのポリシーは、どう設定すればいいのでしょうか?
言い忘れましたが、ルートモードにしています。



308 :sss :2008/01/19(土) 11:42:59 ID:???
ポート開放ってどうすればいいのですか?
policyの設定は、パケットを通すか通さないか?の設定ですよね?
ポート開放のカテゴリは何になるの?

309 :crystal :2008/01/19(土) 16:19:18 ID:???
なんとなく日本語マニュアルへのリンクを置いておこうと思った。
ttp://www.juniper.net/techpubs/software/screenos/screenos5.3.0/translated/#jp51


310 :anonymous :2008/01/19(土) 19:34:47 ID:???
マニュアル読むのが面倒だから聞いてるんじゃないか

311 :anonymous :2008/01/19(土) 19:58:16 ID:???
>>310みたいな奴に教えるのがめんどいから>>309はマニュアルのリンクを貼ったんだと思うぞ


>>305
ログイン3回失敗してみ。
アラートがあがる
メールの設定がうまくできてたらメールも飛んでくる
ちなみにすぐには飛んでこないぞ
最大10分位は待て

例を挙げておく
set policy from Trust to Untrust any any any permit
これでTrustからUntrustへの通信は全て許可される
1つ目のanyはsrc-IP、2つ目のanyはdst-IP、3つ目のanyはポート

312 :anonymous@125x103x151x240.ap125.ftth.ucom.ne.jp :2008/01/20(日) 01:03:34 ID:???
>>311
助言ありがとうございます。
ログイン失敗したところsyslogにUnexpected error from email server(state=2):501とでます。
ispのsmtpサーバのurlとipアドレス両方ダメでした。なんで?

それと、コマンドレベルのアクセス制御の例ですが、すでにweb-guiで設定しております。
あるソフトに対して、なぜだかポート開放にならない。なぜでしょうか?
windowsのファイアウォールは無効にしてあります。

313 :sss :2008/01/20(日) 01:04:12 ID:???
あああああああああやってしまった

314 :u :2008/01/20(日) 12:16:20 ID:???
>>ちょっと酷い教えて君
とりあえず
・お前のやりたい事
・お前の環境
・お前が作ったconfig
を全部書け。
話はそれからだ。

おそらく、IPのみのpolicyさえ躓いている所を見るとマニュアルも碌に読んでないだろ?
金払ってNetScreenの講習でも受けたらどうだ?

315 :anonymous :2008/01/20(日) 16:55:55 ID:???
教えて君は、まずこれでも読め。
SSG用だが、NSの基本的な考え方くらいは理解出来る。
ttp://www.juniper.co.jp/products_and_services/firewall_slash_ipsec_vpn/datasheets/fsssg5.pdf
 

316 :cy :2008/01/20(日) 18:24:39 ID:???
ns勉強中 = sss = ftth.ucom.ne.jp
名前を変えて連投する教えてチャソとはね。クズだな

317 :SSS :2008/01/20(日) 20:45:48 ID:???
会社でもNETSCREEN-SSGを扱い始めて、資料もなく非常に焦っていました。


318 :anonymous :2008/01/20(日) 20:48:54 ID:???
WEBからおとせんべ

319 :anonymous@s195215.ppp.asahi-net.or.jp :2008/01/21(月) 00:43:45 ID:???
マニュアル読んで基本的な設定できないやつは仕事すんな

320 :SSG350 :2008/01/21(月) 01:18:26 ID:???
マニュアルすら読んでないっていうか
マニュアル読む気がないんでしょ

3.0のころから使い始めてるけど、あのくらいの英語ならなんとか読めるし
今なんて日本語のマニュアルあるのにね

それにしても、そろそろSSGをいじってみたいものだ
LAN側のIF、BPDUを透過してくれると喜んでしまうんだが

321 :M5 :2008/01/26(土) 01:11:47 ID:???
単純な透過ならL2モードでおけだったよ。
uPIMにつないでたし、諸条件は忘れた。bgroup設定してたような。

安価にポート増やせるようになってうれしいんだけど、ループ制御機能が無いし、ALGでひっかかるし、
エッジに使うにはひと手間かかるなーって感じでした。



322 :hageo :2008/01/27(日) 19:23:50 ID:GXfSzvAD (1 回発言)
5GT買うくらいなら、キーエンスのNV-200の方がいいよ

323 :anonymous :2008/01/27(日) 19:40:05 ID:???
>>322
理由をお聞かせください

324 :sage :2008/01/30(水) 09:46:10 ID:???
最近キーエンスの工作員があちこちのスレでうろついてる
営業力日本一は伊達じゃないなw

325 :sage :2008/01/30(水) 10:36:48 ID:???
なにしろ何千万円も給料もらってるらしいですからw

326 :anonymous :2008/01/31(木) 20:03:55 ID:???
VPNスレにも来てたけど物的には中途半端だから相手にして
なかったけど工作員だったのか。
既にNS25持ってるから組み合わせて使うなら5GTかXTをオク
で買うほうが安く上がりそうだし。
あえてNV200にするメリットが見つからん。

327 :anonymous@hollyhock.cs.meiji.ac.jp :2008/02/02(土) 17:34:57 ID:???
Version: 5.2.0r3a.0 (Firewall+VPN) なのですが、ポートフォワードの設定はどこをいじればできますか?

328 :anonymous :2008/02/02(土) 18:48:38 ID:???
Object>service>Custom
転送したいポートとサービス名を結びつける

Network>interface>VIP
ポートとアドレスを結びつける

Policyでルールを作る
がんばれ



329 :anonymous@hollyhock.cs.meiji.ac.jp :2008/02/02(土) 20:28:52 ID:???
>>328
ありがとうございます!

330 :_ :2008/02/05(火) 09:24:07 ID:???
明治大学理工学部情報工学課か・・・
先生に聞けないでこんなところで質問するって事は・・・
変な穴あけて変な通信すんじゃねえぞww

331 :じゅの :2008/02/05(火) 12:03:14 ID:???
一応通報しておいた。

332 :6.1.0r1.0 :2008/02/05(火) 22:12:07 ID:???
ScreenOS Cookbookの紹介ページができてた
ttp://www.oreilly.com/catalog/9780596510039/
Amazonだと2月25日発売らすぃ

333 :anonymous :2008/02/05(火) 22:16:11 ID:???
>>332
Junosってまだだっけ??

334 :anonymous@KD125054034110.ppp-bb.dion.ne.jp :2008/02/05(火) 22:18:39 ID:???
>>331
通報って、、なんでそんな、、、マジレス

335 :anonymous :2008/02/05(火) 22:26:19 ID:???
Junosは3月か
http://www.oreilly.com/catalog/9780596514426/

336 :_ :2008/02/06(水) 09:13:20 ID:???
>334
システム管理者に黙ってルータにポートフォワード設定しようとしてるんでしょ?
それは絶対やって欲しくないことだからなあ。

ハッキングのほとんどは内部犯行なのにパスワードをデフォルトのまま変更してないところ多いよな。

337 :329 :2008/02/06(水) 17:05:15 ID:???
システム管理者がここで質問したらいけないのでしょうか?
ちなみに、研究室内のデータにアクセスするための設定をしているのでやましいことではありません。
パスワードは変えてますし、勝手に悪者扱いされるのは気分悪いです。

338 :owo :2008/02/06(水) 17:22:43 ID:???
> システム管理者がここで質問したらいけないのでしょうか?

・君がシステム管理者だ、なんて情報どこにあった?伝えてない情報は、多くの場合伝わってないよ。
・みんな冗談半分なんで気にすんな。ここにいる人の多くは君と同じ立場(SA)だ。
・host晒してからかわれるのがイヤなら管理者なんだけど、って一言断ればOK。
・あと、本物なら自分のレス番よりhost晒すかトリップいれなよ。レス番なんて詐称出来るんだから。

まぁ俺は>>337=>>329とは思えないけどねー
アホすぎるし、でかい釣り針に見える。

339 :anonymous@hollyhock.cs.meiji.ac.jp :2008/02/06(水) 17:45:23 ID:???
329です



340 :_ :2008/02/06(水) 17:47:20 ID:???
君の所属だったらこんな所で聞かずにいくらでも専門家がいるじゃない、と思うのよ。
>研究室内のデータにアクセスするための設定をしているのでやましいことではありません
やましくなくても、そのデータにアクセスできるってことは第三者からもアクセスされる危険があるって事だよ。
悪者扱いはごめんな。でも悪気は無くても悪事になることもあるからな。

341 :hoge :2008/02/06(水) 22:26:37 ID:???
んな大学なら出入り業者に相談しろよ。
まさか秋葉原で買ってきたわけでもあるまい。

342 :anonymous@hollyhock.cs.meiji.ac.jp :2008/02/06(水) 23:01:25 ID:???
339です

343 :anonymous@p5084D328.dip.t-dialin.net :2008/02/08(金) 06:53:00 ID:???
すいません。すでにADLSのブロードバンドルーターがあるところに、
ネットスクリーンを導入したいのですが、
ブロードバンドルーターは撤去する必要があるでしょうか?
ネットスクリーンの機種選択の方法がわかりません。
参考になるサイトがあったら教えてください。
よろしくお願いします。

344 :_ :2008/02/08(金) 09:38:32 ID:???
ブロードバンドルータの下にNSを設置してもいいよ。
その場合ブロードバンドルーターがIPSecパススルー対応が必要だけど最近のは普通対応してる。
NSのUntrustにはそのBBルータのLAN側アドレスを割り当ててそこにUDP500をNSにポートフォワードしてやればOK。
NS側ではNAT-Traversal機能をONに。NSがESP(プロトコル番号50番)のパケットをUDPパケットにカプセル化してブロードバンドルータ送る。

345 :anonymous :2008/02/08(金) 10:14:54 ID:???
NetscreenでTrust(NAT)配下にあるWebサーバに対する外部からの
アクセスをDualUntrust&ソースルーティングで行う事を検討しています。

それで疑問に思うのですが例えばIPS1(DU1のグローバルアドレス)
から入ってきたパケットがTrustのサーバに到達、帰りのパケットが
ソースルーティングでIPS2(DU2のグローバル)から出されると相手
側のFWやルータで問題が出ますよね?(出と入りのIPが違う)

何か良い解決策はないでしょうか?

346 :230 :2008/02/08(金) 15:38:44 ID:???
DocomoのFOMAデータ定額でNetscreen-Remote使ってる人いますか?

VPN解禁当初は良い感じだったんだけど、最近ブチブチ切れるのでVNCが使えません。
WindowsマシンからVPN接続先のNetscreenにpingを打っても50%lossとかそんなんです。

普通にFOMAでmoperaに接続してNetscreen-Remote経由のVPNでは
VNCも問題無いし、pingもほとんどloss無いんですが。

他の方の所ではどんな感じでしょう?

347 :sage :2008/02/08(金) 16:09:39 ID:???
>>344
ありがとうございます。
とても参考になりました。

348 :anonymous :2008/02/10(日) 17:24:39 ID:???
VPNやりたいのか、FWか?
それとも両方?

349 :SSG350 :2008/02/11(月) 10:50:21 ID:???
>>346
NS-Remoteのバージョンは?
古いバージョンだったらKB5891を疑ってみるといい


350 :anonymous@FLA1Aax042.stm.mesh.ad.jp :2008/02/13(水) 09:15:11 ID:QVjdG1nK (1 回発言)
NSとWindowsMobile6でL2TP使ってVPNやっている人いる?

351 :anonymouse :2008/02/15(金) 14:59:35 ID:???
NetScreen 204でコンパクトフラッシュにログやダンプなどを保存させようと思っていますが、
相性問題などありますでしょうか?
前スレではSanDisk(OEM)で駄目だったというような書き込みを見てちょっと心配になってます。


‥‥って、今市場に流れてるのはほとんど1GB以上とかなんですねorz
NS204のPDFなんかには96MB or 128MB or 512MB って書いてありますけど、
ファーム更新で大容量CFに対応したりとかは無いんでしょうか?

352 :anonymous :2008/02/16(土) 08:25:52 ID:???
質問です
5.4.0r8なんですが
管理者netscreenが消せません
どうすればよろしいですか

353 :anonymous :2008/02/18(月) 02:26:34 ID:???
管理者は最低1人必要だからでは?
Renameじゃだめなの?

354 :moge :2008/02/20(水) 05:06:30 ID:???
ScreenOS Cookbookのサンプルpdfが
一番読みたかった4章なので買わなくていいやー(ぉ

オライリーのサンプル(4章)
http://www.oreilly.com/catalog/9780596510039/chapter/ch04.pdf
ジュニパーの紹介ページのサンプル(6章)
http://www.juniper.net/training/jnbooks/screenos_ckbk.pdf



355 :多摩川 :2008/02/20(水) 05:26:56 ID:/fnznh/h (1 回発言)
ポリシー書くときに空きのIDをパッと出してくれるコマンド無かったっけ?

356 :anonymous@mikumiku.ixfan.net :2008/03/06(木) 03:55:43 ID:???
NetScreen-5GT Plus (Ver.5.4.0R8) をポチッってしまいました。

届いたらしばらく質問厨になるかと思いますのでよろしくね!

とりあえず rep2 俺様しおり用に記念カキコ。

357 :anonymous :2008/03/08(土) 19:52:09 ID:rlsDCZko (1 回発言)
やっぱASIC処理の奴がいいな
どうもソフト処理の機種はなにかきにいらん

358 :anonymous@i195010.ppp.asahi-net.or.jp :2008/03/14(金) 00:56:58 ID:???
>95
と同じ
SCS: SSH client at y.y.y.y has attempted to make an SCS connection to interface untrust
with IP x.x.x.x but failed because SCS is not enabled for that interface.

てのうちでも出た。これは一体。。。?

359 :anonymous@61-23-191-181.rev.home.ne.jp :2008/03/16(日) 01:54:08 ID:XZcxlE4h (1 回発言)
AV機能を設定しているんだが、方法がわからん。
ひとつのメールの中に4つ以上ファイルがある場合、dropしたいのだが・・・。
set av scan-mgr max-msgs 4
マニュアル読むと、メッセージの合計数が4個以上とある。
これじゃないのかな??

後、ファイル拡張子に基づくAVスキャンで、
DB上にない拡張子をdropさせたい場合は、Ext-listにかくのか??


360 :anonymous :2008/03/24(月) 01:49:23 ID:???
Netscreen remote以外で、接続を確認できたクライアントソフト
ありますか?


ZyWall IPSec VPN Clientは接続確認しました。


てか無料のクライアントソフトってないですよね?

361 :anonymous :2008/03/24(月) 01:54:26 ID:???
fortigateのは確か無料

362 :anonymous@p153.net085.tokai.or.jp :2008/03/24(月) 08:45:19 ID:???
>>360さん
微妙にスレ違いかもしれませんが、WindowsMobile(WindowsCE)用の「AnthaVPN」も接続できます。
Netscreen+AnthaVPNで接続してCPS(所謂MetaFrame)を利用してますが、W-Zero3に64kの回線速度でも許容範囲内のレスポンスです。
出先からちょっとした作業をするだけなら、必要にして充分だと思ってます。オススメですよ。

363 :anonymous :2008/03/24(月) 12:18:50 ID:???
Windowsに標準で付いてるIPSecのヤツじゃだめなん?

364 :anonymous :2008/03/26(水) 13:07:16 ID:???
>>360
Windows 2000/XP Professional、
Windows Vista Business/Enterprise/UltimateについてるIPsec機能は?

365 :anonymous :2008/03/29(土) 20:01:05 ID:???
WindowsのVPNで接続できたけど
NSがルーター配下に設置されてると駄目っぽい

366 :anonymous@i118-20-2-164.s04.a020.ap.plala.or.jp :2008/04/07(月) 21:57:36 ID:fBjJ51jU (1 回発言)
教えて下さい。
trust、untrustへのトラフィック入出力方向の
考え方は以下の通りで良いでしょうか?
in,outのトラフィック流量が合わなくて
戸惑っています。

LAN-----trust-NS-untrust-----WAN
→in out→
←out ←in

367 :anonymous@186.221132155.m-net.ne.jp :2008/04/09(水) 00:21:29 ID:???
自己学習用に安価な5XPを買おうとしているのですが
型番の下3桁(NS-5XP-xxx)の意味を教えて下さい

ロット番号的な物で、数字が多い方が
新しい機種(製造)と考えてよいのでしょうか

368 :an :2008/04/09(水) 05:23:12 ID:???
百の位→同時接続ユーザー数(0が10、1が無制限)
十の位→意味無し
一の位→同梱ACアダプタor販売地域の分類(日本は7)

369 :anonymous :2008/04/10(木) 09:51:45 ID:???
>>366
Policyでブロックしてるものが無いか確認したら?
Screeningとか
内部でブロックしたトラフィックは反対側には出てこないだろ

370 :sage :2008/04/11(金) 22:48:12 ID:???
ns-5GT
cisco 7204VXR
cisco 2651XM
で外とつなげて勉強しているが、普通に使う分には圧倒的に
5GTが素敵だな。


371 :anonymous :2008/04/13(日) 05:55:04 ID:???
普通に使う分にはASICで高速処理できるタイプのほうがよさそうな気がするんだけど

372 :anonymous@211.14.222.245.eo.eaccess.ne.jp :2008/04/27(日) 15:07:31 ID:tIkHucyL (1 回発言)
SSG は今のところ不安定かな

373 :anonymous :2008/04/28(月) 00:16:39 ID:???
どのあたりが?


374 :anonymous@gmm1-p102.flets.hi-ho.ne.jp :2008/04/29(火) 06:44:24 ID:???
OS自体はScreenOSのままだし、SSGだから不安定ってある?
ごっついSSGのことかね... 5とか140とか触ってる感じ今まで通りな感じが。

375 :難関資格保持者 :2008/05/01(木) 17:27:01 ID:???
5gtを使用していて、ポリシーはtrust→untrustとuntrust→trustそれぞれにany permitを設定。
untrust側はdhcpでispのip取得し、trust側に接続しているpcには静的IP(ローカルIP)で設定している。
普通に、webなどの通信などができるが、pcで自宅サーバを立てて、ブラウザでアクセスすると、
通信できない。「正常に接続できませんでした。」のエラーが出る。
netscreenをはずし、pcとモデムを直接つなげば、完全修飾ドメインで自宅サーバのHPが見ることができる。
ここで疑問。
ポリシーで全ての通信を許可しているのに、なぜ自宅サーバのhttpプロトコルを遮断しているのか。
教えてくださいorz

376 :anonymous :2008/05/01(木) 17:36:14 ID:???
おまえがNAT使ってるからだろうが、ヴォケ。

どうしても自宅サーバを使いたいならこの辺読んで
MIPかVIP使っとけ、タコ。もう、出てくんなよ、カス。
http://www.viva-netscreen.net/archives/cat_50031540.html

377 :anonymous :2008/05/01(木) 17:36:35 ID:???
>>375
ポートアドレス変換を行う必要があります
untrustのグローバルipとローカルのipが結びついていないのが現状です

「untrustのインターフェイスに80番ポートのあて先のパケットが到達したときは
trustの192.168.*.*の**ポートに転送する」
というルールを追加してください

なおuntrust→trustではなく、Untrust>Globalでやってください

378 :anonymous@125x103x151x247.ap125.ftth.ucom.ne.jp :2008/05/01(木) 23:09:44 ID:???
難関資格保持者

379 :anonymous@pl079.nas952.p-osaka.nttpc.ne.jp :2008/05/02(金) 00:55:51 ID:???
100人くらいの規模のオフィスで、
インターネットの出入り口に配置するFWは、
SSG140でパフォーマンス的に大丈夫ですか?

公式スペック見ても、よく分かりませんでした。

380 :anonymous :2008/05/02(金) 11:53:01 ID:???
>>379
平均/最大セッション数もピークトラフィック量も分からずに選定できるわけないだろ・・・jk

381 :anonymous :2008/05/02(金) 18:46:49 ID:???
100人が常にショートパケット/ショートセッションでワイヤーレートの通信をすると想定して
機器選べばパフォーマンス的には大丈夫なんじゃね?

382 :_ :2008/05/02(金) 18:56:31 ID:???
まあ17万回/月くらいのエロサイト閲覧くらいには耐えられる機種にしとけ

383 :難関資格保持者 :2008/05/02(金) 23:03:21 ID:???
>>376-377
でけた!でも説明が結構違ってたので
自分で考えた。できた感想は、これは普通ではわからん!

384 :anonymous :2008/05/03(土) 09:22:14 ID:???
>>379
インターネット回線がギガビットで、100人がみんなbittorrentを使うと考えて、
ISG-2000あたりでいいんじゃね?

385 :temp :2008/05/03(土) 10:14:49 ID:???
>>384
インターネット回線がギガビットで、100人がみんなbittorrentを使うとしても、
SSG140で十分です。

386 :anonymous :2008/05/04(日) 00:15:48 ID:???
いや、ムリだろ常考

387 :anonymous :2008/05/06(火) 11:23:30 ID:???
140だと最大で32,000セッションくらいだっけ?
客先で時々つながらないとか言われて覗いてみたら上限に当たってて
わろたことがあったな。

388 :anonymous :2008/05/26(月) 07:10:51 ID:QzAHF9xi (1 回発言)
だれかMGT2使ってる人いる?

389 :anonymous :2008/06/10(火) 02:27:12 ID:???
>>387
「timeout?よくわからないから、取り敢えずneverで」とかやってたんだろーかw

390 :anonymous :2008/06/21(土) 13:52:04 ID:???
SSG5を買ってみたらFANの音が激しく煩い。
見た目のコンパクトさに油断したぜorz

391 :anonymous :2008/06/21(土) 17:22:33 ID:???
NS25から乗り換えようと思ったけど、
SSG5の方が煩いかな?


392 :anonymous :2008/06/21(土) 17:53:25 ID:???
25なんてほとんど音しないからなあ
5XTは予想外に音してたがw

393 :anonymous :2008/06/21(土) 18:23:39 ID:???
ttp://securepoint.com/lists/html/NetScreen/2007-01/msg00014.html

394 :anonymous :2008/06/21(土) 23:17:18 ID:???
SSG550がnoisyって言ってんのこれ?
用途考えたら別に問題無いと思うが

395 :anonymous :2008/06/26(木) 13:43:51 ID:???
>>393
スーパーチャージャーワロタ

396 :anonymous@FLA1Aet141.tky.mesh.ad.jp :2008/07/03(木) 01:59:57 ID:???
先日入荷したSSG5はファンレスだったけど、ロットによって違うのかな?

397 :anonymous :2008/07/05(土) 00:20:34 ID:???
ファンが付いてるのは無線モデルだけじゃね?

398 :anonymous@FLA1Aet141.tky.mesh.ad.jp :2008/07/05(土) 14:31:16 ID:???
無線モデルはファン付きなのか。知らなかったぜ。

399 :anonymous@122x216x178x242.ap122.ftth.ucom.ne.jp :2008/08/05(火) 22:40:18 ID:???
誰かlinuxのipsec-toolとnetscreenでVPNはれてる人いる?

400 :anonymous :2008/08/06(水) 17:12:31 ID:???
見つけたので貼ってみる
**********.com/files/108108249/ScreenOS.Cookbook.Feb.2008.chm

401 :anonymous@125-14-227-49.rev.home.ne.jp :2008/08/31(日) 19:36:16 ID:PIAInaTk (1 回発言)
助けてください。5gtでファームアップに失敗しました。コンソールで繋ぐとBootfile Nameを聞かれて、何を入れても失敗するのですが、これって死亡ですか?

402 :anonymous :2008/09/01(月) 07:19:00 ID:???
>>401
ファームウエアが突然死したと思います。
tftpを利用して ファームウエアを更新すれば
直ると思います、ファームウエアーのイメージ
がなければ修復は出来ないと思います。

403 :anonymous@210-175-252-49.cust.bit-drive.ne.jp :2008/09/01(月) 12:20:46 ID:ukr5euLS (1 回発言)
SSG140での最新ファームウェア6.0.0r6で
VIPでのPPTPサーバ運用に支障がでました。
症状としてはサーバからのレスポンスを通せず接続に失敗するようです。
みなさんお気をつけください。



404 :anonymous@125-14-227-49.rev.home.ne.jp :2008/09/01(月) 22:22:40 ID:bBHqKoxo (1 回発言)
>>402
ありがとうございます。
イメージが飛んでるのでtftp接続出来ません。つまり復旧不可能ってことですね。
嗚呼

405 :anonymous :2008/09/04(木) 15:20:13 ID:???
>404
ファームアップに失敗したとは本体の事でしょ?
tftpサーバ上にはイメージファイルが残ってるんでしょ?

>402が書いてるのはDisaster Recoveryのために
loader(起動時の"Hit any key to run loader"ってやつ)で
tftpサーバからイメージファイルを取得しろ、って事じゃないの?

勘違いだったらスマソ

406 :anonymous :2008/09/04(木) 23:37:37 ID:???
JUNOSに統合されるのは、いつ頃か教えてください

407 :anonymous :2008/09/07(日) 10:52:50 ID:???
NetscreenのScreenOSでVIPの設定をしているのだが
レンジ(例えば10000-10100)みたいなCustomルール
を使う事ってできないのか?

どうやら最初の10000しかVIPされてないようなんだが。

408 :クマシー ◆s6SF.qhRVA :2008/09/08(月) 16:08:07 ID:???
>>407
10000制限があるような機材だとすれば
どうやってその上限を超えるか?
こたえは、その上の機材を買うしかないでしょ?

ちなみにセッションに余裕のある上位機種で
セッション以内で制限をかけることは可能だけど
ふつうはNetscreen側では行わないで別の機材で行うものです。

409 :anonymous :2008/09/08(月) 16:55:51 ID:???
10000-10100ってポートの話だろ?
VIPの話しをしてるんだし。

410 :anonymous :2008/09/09(火) 00:01:23 ID:???
>>407
set vip multi-port

411 :anonymous :2008/09/09(火) 09:29:21 ID:???
>>410
それってカスタムルールで作った複数のルールをまとめるだけじゃね?
範囲指定のカスタムルールって有効になるのか?俺やったことないけど。


412 :anonymous :2008/09/09(火) 10:09:11 ID:???
>>410
ありがとうございます!
やってみます!

413 :anonymous :2008/09/09(火) 11:17:29 ID:???
5GTのACアダプタがこわれた!
購入元に聞いてみたけど、単品だと出ないとか困った話です。

アダプタの流用ってできないものなのでしょうか。その辺にある9Vセンタープラスのアダプタを当ててみましたが、
プラグの径がちょっと合わないみたいで...

あれ、なんていうサイズ?

414 :hoge :2008/09/09(火) 11:20:45 ID:???
普通に12V1Aのアダプタならコネクタサイズ一緒じゃない?
(EIAJ規格)

415 :anonymous :2008/09/09(火) 19:18:20 ID:???
電気屋に行けば?
ちょっと高いけど、可変式のアダプタが売ってるよ。


416 :413 :2008/09/10(水) 07:40:23 ID:???
>>414
ん、よくみたら本体側には、
9-12V
なんて書いてありました。12Vでもいいんですね。

もういっぺん当たってみます。

417 :anon :2008/09/18(木) 14:02:51 ID:???
YAMAHA買おうか12パー買おうか選んでたんだけどこのスレ見つけにくカッタヨ

418 :anonymous :2008/09/25(木) 09:50:06 ID:???
>>413
こわれたときにふつうに代理店にいったら送ってもらったよ
もちろんサポート契約結んでるけど

419 :mouse :2008/09/25(木) 22:31:31 ID:2asDJXap (1 回発言)
透過プロキシを実現する方法はどうしますか?
ポリシーにTrust→Untrustのhttpプロトコルを追加し、NAT-dstをTrust側のSquidサーバに
向けたがダメで、SquidサーバをUntrust側に設置すればOKでした。
しかしSquidはTrust側に設置したいです。

試しにNetScreenのUntrust側NICにVIPを追加してTrust側のSquidサーバに
転送すればOKでした。
アドレス帳かルーティングテーブルの設定で解決できるのでしょうか?
# もちろんUntrustにプロキシを公開してはダメなのでNGですが。

識者の皆様教えてください。

420 :anonymous@211.14.221.167.eo.eaccess.ne.jp :2008/10/13(月) 00:03:29 ID:???
unset all

421 :anonymous@KD125054005228.ppp-bb.dion.ne.jp :2008/10/16(木) 21:22:23 ID:???
>>419
logになんて出てる?

422 :【´・∀・`】 :2008/10/17(金) 23:20:09 ID:???
日本語マニュアルないのかおー
みんな何見てるの?

423 : :2008/10/17(金) 23:27:50 ID:???
英語マニュアル
つーか翻訳版なんて有っても頼り無くて見る気にならんよ
マニュアル程度の英語なら英語分からなくても読めるようになるから、頑張りなって

424 :anonymous :2008/10/18(土) 01:45:49 ID:???
いったい何処を探したらそんな結論になるのだか
ホレ↓
http://www.juniper.net/techpubs/software/screenos/translated.html

某解説サイト管理人が書いた解説本は高い割に
スカスカでマニュアル以上の事は書いてないのでお勧めしない。

425 :【´・∀・`】 :2008/10/18(土) 02:34:58 ID:???
>>424
ありがおー。
YAMAHA嫌いだからがんばって勉強するおー!

426 :anonymous@p3132-ipbf3307marunouchi.tokyo.ocn.ne.jp :2008/10/19(日) 19:38:28 ID:dyMkFzDR (1 回発言)
お世話になります。

以下、教えてください。

1.手動でプライマリバックアップからマスターへ切り戻す方法について

 exec failover revert でよろしいでしょうか?
 ただ、概念と用例を参照すると、このコマンドは、
 インタフェースフェールオーバーのみを対象として
 おり、デバイスフェールオーバーは対象としていない
 ように見受けられるのですが、いかがでしょうか。

 コマンドが使えないのであれば、最悪、ケーブルの
 抜線によりインタフェース障害を発生させ、
 デバイスフェールオーバーを発生させることを
 考えています。

2.トラックIP障害によるデバイスフェールオーバーについて

 フェールオーバーの猶予時間(デフォルトで30秒)
 は、トラックIP障害によるデバイスフェール
 オーバーにも適用されるのでしょうか。それとも、
 トラックIP障害が発生した時点(デフォルトで1秒
 間隔で3回)で、デバイスフェールオーバーが発生し、
 フェールオーバーの猶予時間は、インタフェース
 フェールオーバーにのみ適用されるのでしょうか。

よろしくお願いします。

427 :hoge :2008/10/19(日) 21:33:42 ID:???
その2つを確認するために検証で色々やった俺としては
まず試してみろと言いたいのだが。

428 :anonymous@119-171-160-149.rev.home.ne.jp :2008/10/21(火) 00:37:21 ID:bfZEavt3 (1 回発言)
恐れ入りますが、試せる環境が無いのでお尋ねさせていただきました。

429 :anonymous :2008/10/22(水) 00:43:02 ID:???
>>426
マルチやって恥ずかしくないの?

430 :age :2008/10/23(木) 01:01:30 ID:HGQw4wdc (1 回発言)
今回は、トラックIP障害によるデバイスフェールオーバーを対象としており、トラックIP障害によるインターフェースフェールオーバーは対象としていません。

トラックIP障害によるインターフェースフェールオーバーの場合は、トラックIP障害検知時間に加え、猶予時間が適用されることはマニュアルから理解しました。

しかし、トラックIP障害によるデバイスフェールオーバーの場合は、トラックIP障害検知時間に加え、猶予時間も適用されるのかについては、マニュアルからは理解できなかった次第です。

よろしくお願いします。

431 :anonymous :2008/10/23(木) 01:09:40 ID:???
>>430
これはひどいコピペ
ttp://pc11.2ch.net/test/read.cgi/hack/1219928849/511
ttp://bbs.viva-netscreen.net/index.php?mode=thread&id=1642

432 :anonymous@218.185.182.212.eo.eaccess.ne.jp :2008/11/12(水) 11:40:37 ID:???
unset

433 :anonymous :2008/11/16(日) 15:57:36 ID:RVmGiji8 (1 回発言)
旧NS200とかNS25シリーズを使ってたんだけど、ラインナップから消えてる
後継機は何を買ったらいいんでしょうか?

434 :_ :2008/11/16(日) 16:33:58 ID:???
>>433
製品ラインナップとしてはだいたいこう。性能はそれぞれ上がってるけど。
 NS5系→SSG5系
 NS25→SSG140
 NS50→SSG300系
 NS20x→SSG500系

ただし、1Uサイズに収まるはSSG320Mまで。SSG340Mは1.5Uで、SSG500系は2Uになってるから、
リプレースの際には注意な。ついでに奥行きも大きくなってる。

SSG140以上は拡張スロットでI/Fを増やせるが、SSG140はスロットが本体後部なのでちょっと
使いづらいかもだ。

435 :anonymous@nttcgi103194.tcgi.nt.ftth.ppp.infoweb.ne.jp :2008/11/20(木) 22:06:00 ID:???
>413

いまさらではありますが、
昔、秋月電子で買った 12V2AのACアダプタで 5GT動いたよ。
Model No:NT24-1S1220

ttp://akizukidenshi.com/catalog/items2.php?q=%22M-00026%22&s=popularity&p=1&r=1&page=&cl=1

436 :anonymous@p3156-ipbf2104hodogaya.kanagawa.ocn.ne.jp :2008/11/30(日) 00:59:40 ID:???
6.2.0r1 のリリースノートみると、5GTも機能限定ながら提供中のようで。
日本の代理店でファーム落とせるようになるのはまだ先かな。。。

437 :anonymous :2008/11/30(日) 01:51:22 ID:???
ASICじゃないしSSG5/20と石一緒だから
まぁメモリのこと勘案して機能削るだけで済むんだろうけど
5GTで6.2が出るとは思わなんだ

netscreen系はEOLのアナウンス→やっぱ延長って流れだけど
そんなに保守契約でもうけてるの?それともSSGが売れてない?

438 :anonymous@p4245-ipbf1801hodogaya.kanagawa.ocn.ne.jp :2008/11/30(日) 14:33:01 ID:???
SSGは馬鹿売れ? 知合いのNEも売れるのはいいが粗利&売上がと嘆いていた。
5GT保守料は薄利で美味しいとはおもえんし、5.4安定運用中のものを6.2に
上げるとは考え難いが、、、

439 :anonymous :2008/12/02(火) 01:28:54 ID:???
5.3のEOE、EOLが5XTと他で違うのとはちょうど反対に
これで5GTの5.4もEOE、EOLの延長はなくなるんじゃないのかな
結局アップトゥデートな環境を使いたければ
→SSGに行く(但し標準出荷は6.0系、5.4の扱いは5GTと変わらず)
→5GTのまま6.2(但しDI,AVは使えず)
ってことでむしろ客を追い立てる戦略かw

まぁリリースノート見ると
This release incorporates bug fixes from ScreenOS maintenance releases up to 6.1r3,
6.0r7, 5.4r10, and 5.3r10.
なんてあるから新機能を使わない限りそんなに酷くないかも>6.2

440 :anonymous :2008/12/04(木) 00:00:47 ID:???
NS25にBBルーターから変えたのだが、前のルータではWAN側ポートに
対するポートスキャンなどのログが残ったんだけど、
NSだとポリシーをどう設定してもNSのインタフェース自身に対する
トラフィックログが残らないのだが、なんか方法ないでしょうか?

441 :anonymous :2008/12/08(月) 14:25:04 ID:???
ScreenOS って icmp redirect できんのか・・・。
クライアントの設定を変える以外の方法で回避する方法ないのかなぁ?



442 :ヒゲ男爵 :2008/12/09(火) 16:07:19 ID:Nnu/vkIA (1 回発言)
>440

Self-log の設定かな

443 :anonymous :2008/12/13(土) 15:35:52 ID:???
NS自身に対するポリシーって設定不可?

444 :フェラ奉行 :2008/12/13(土) 21:45:38 ID:???
>>443
ポリシーは無理だけど、ポート毎にプロトコル単位で許可/拒否の設定が出来た気が。

445 :anonymous :2008/12/14(日) 05:41:13 ID:???
そのような設定がみつかりません。
NS25にはない、とかなんでしょうか?

446 :anonymous :2008/12/14(日) 12:18:51 ID:???
ポートの設定の所に「ping」「WebUI」みたいなチェックボックスがなかったっけ?

447 :anonymous :2008/12/15(月) 03:01:24 ID:???
5gtの6.2、ポートモードは相変わらずなのか
ttp://xs134.xs.to/xs134/08500/screenos62-2812.png

海外のサイトに落ちてるが、さすがに怖いな。

448 :anonymous :2008/12/15(月) 09:12:21 ID:???
imagekey突っ込んでおけばいい分、
Ciscoよか全然安心できるが?

あとその手の話に関して海外は
場所さえ選べば驚くほど無問題&親切。
特に資格系は不思議なヌクモリティすら漂う。
レベルアップしないと厳しいからなのかね

449 :anonymous :2008/12/16(火) 00:17:18 ID:???
6.2はなんで5gtだけ対応したんだろ。
25とか50とか200シリーズとか対応する気ないのかね。

450 :anonymous :2008/12/16(火) 01:47:43 ID:???
>449
>>437,439
・ASICを使ってない
・SSGと同系列(ARM)のCPUを使ってる
のは5GTのみ
5GT(IXP425→IXP465)、SSG5/20(IXP465)
だから容易に移植できると思われ。
だけどもメモリが128MB(固定)しかないから機能が限られる。
(SSG5も128MBのモデルがあるが拡張可能だし、そこはセールスの都合だろう)

そして5GTのEOE(2012.5)までのリリースの対象を6.2にすれば、
ASIC非搭載の5.4のサポートは2009年7月で終わらせられる(つもりじゃなかと思う)。
新機能をアピールしつつ、でもDIやAVとか使えなくすることで
実質的には早期のフェードアウト&SSGへのリプレースを促すつもりでは?

451 :anonymous :2008/12/17(水) 02:11:00 ID:zVcE7fOl (1 回発言)
当時は、値段が安いのにASIC搭載で早いっていう利点があったが、
かなり他社に追い上げられてきた感じだね・・・

452 :anonymous :2008/12/17(水) 09:16:24 ID:???
皆さんはSSGとFortigateだったらどっちを選びますか?

453 :anonymous :2008/12/17(水) 15:22:04 ID:???
>>452
ここで聞くの?

454 :anonymous :2008/12/17(水) 23:51:41 ID:???
Fortigateは日本語に対応してるので普通に使う分には扱いやすい面もあるし、
UTM機能が多いから。
ただFWとしてみた時は対応の速度や情報量を考えるとNS系のが
世界的シェアの多さもあいまって安心感が強い。
リビジョンが上がる速度考えてもね。

どっちがいいかによるんじゃない?

455 :anonymous@heavensgate.tos.ne.jp :2008/12/25(木) 12:00:45 ID:/looDLZ6 (1 回発言)
Netscreen-5GTはデフォルトではTrust-UntrustモードやWork-Homeモードなどが
用意されていますが、ポート単位でネットワークを切ってルーターのように動かすことは可能なのでしょうか?


456 :_ :2008/12/27(土) 23:32:43 ID:???
SSG-5を買うと幸せになれる。

457 :anonymous :2008/12/28(日) 07:49:32 ID:???
>>455
5GTは知らないがポートの数だけZONEがあればいいだけじゃないのか?
うちは25だけど4つのポートそれぞれZONEを
Trust、DMZ、DMZ2、Untrustと切ってるけど。

458 :_ :2009/01/06(火) 03:09:31 ID:???
無印5GTは出来ないんだな、これが。
代わりに、ポートの分け方を指定するモードを選べる。(CombinedとHome-Work)
ただし、
>Home-WorkポートモードとCombinedポートモードの場合、
>HomeゾーンからWorkゾーンにアクセスできません。
という厳しい使用制限あり。

Extendedライセンスを買えばちゃんとしたDMZをもてるが、これでも
「ポートの分け方を指定するモード」であることに変わりなく、自由に
ポートを分けるのは無理だったと記憶している。

SSG-5ではゾーンを8つとか作れるし、さらにブリッジグループも使えるから
ポートの割り振りが普通に出来るよ。

459 :_ :2009/01/06(火) 03:11:00 ID:???
×使用制限
○仕様制限
だな。失礼。

460 :anonymous :2009/01/10(土) 20:33:05 ID:???
5GTって特殊なんだな。

ScreenOS6入れたら出来るようになったり・・・しないか?w

461 :(´・ω・`) :2009/01/11(日) 06:42:17 ID:6dkAW/pr (1 回発言)
NetScreen初心者です。
中古で購入したNetScreenを初期化しようと思い
unset allを実行しようと思ったら
unknown keyword all と表示され
コマンドを受け付けてくれません。
本体のリセットスイッチも硬くて押せない状態です
どうしたらよいでしょうか?
よろしくお願いします

462 :anonymous :2009/01/11(日) 11:17:09 ID:???
>>461
全部のコマンドをunsetで消したら?(w

463 :anonymous@pddce21.tkyoac00.ap.so-net.ne.jp :2009/01/11(日) 12:38:30 ID:???
微塵も動かない→あきらめて粗大ゴミへ
ちょっとは動く→押してLEDの色が変わるなら正しい状態。
          むしろ変に力入れるな

ピンホール押下はコンソール出力を見ながらが楽


464 :anonymous :2009/01/11(日) 16:54:51 ID:???
シリアルコンソールからUserID と pass を 入力するときに、
シリアル番号ではだめ?

465 :anonymous :2009/01/11(日) 19:27:13 ID:???
unset all が表示されないnew!

NetScreen初心者です。
中古で購入したNetScreenを初期化しようと思い
unset allを実行しようと思ったら
unknown keyword all と表示され
コマンドを受け付けてくれません。
本体のリセットスイッチも硬くて押せない状態です
どうしたらよいでしょうか?
よろしくお願いします

[1868] 初心者 (2009/01/11 Sun 06:09)

466 :anonymous :2009/01/12(月) 02:22:26 ID:???
マルチか。氏ねよ。

467 :anonymous :2009/01/14(水) 17:59:44 ID:???
どことマルチなんだろ。

468 :anonymous :2009/01/14(水) 20:39:17 ID:???
博士と幼女がいるトコだよ
大抵のマルチはアッチとこのスレでクラスタ構成

469 :anonymous@D1u3MYh :2009/01/16(金) 16:31:31 ID:???
>>468
どちらにも教えるクソがいるから、クラスタマルチ様は大成功だな

というかあの文体でマルチを見抜けない輩は2ちゃんに向いてないw

470 :anonymous :2009/01/16(金) 17:50:03 ID:/5GeEASV (1 回発言)
ようやくCiscoのつかいにくいFWを追い出してリプレースできた
NOKIA のチェックポイントのアプライアンスのほうは、あまりにもルールが複雑で
Netscreenでは代替不可だわ

471 :anonymous :2009/01/30(金) 21:13:49 ID:???
FW-1との置き換えはそんな大変じゃないと思うぞ。
サイドワインダーとかみたいにサーキットプロキシ張れるタイプと置き換えるのがめんどい。

472 :あのnyもうs :2009/01/31(土) 18:46:32 ID:???
Netscreen-25について聞きたいんだけど、

設定変更しようと思ってるんだけど、
設定を元に戻せるように、今の設定をバックアップしてから
設定変更をしようと思うんだけど、
方法としてはどうやってやってらいいのかな?

1.事前ログ採取
 テラタームで
 ログを取りながら
 get configを実行

2.設定変更

3.切り戻し
 事前のログを投入して
save

これでいいのかな?



473 :anonymous :2009/01/31(土) 20:06:13 ID:???
cfgのバックアップはwebのが楽かな
戻すときもwebからやってる

fwのうpはtftp使うけど

474 :あのnyもうs :2009/01/31(土) 21:58:54 ID:???
webでバックアップできるの?
知らなかった
どうやってやるの?

fwのうp?
VerUPのこと?
3Cデーモンとか?

475 :anonymous :2009/01/31(土) 22:43:59 ID:???
これはひどいのが来た!

476 :473 :2009/02/01(日) 00:45:01 ID:???
>475
これは確かにヒドイ
釣りかね?w

>474
マニュアルDLして読むかググれ

477 :anonymous :2009/02/01(日) 05:23:38 ID:???
面倒くさいな。

こうだろお前ら。

>>472
それでいいよ。

478 :anonymous@east26-p89.eaccess.hi-ho.ne.jp :2009/02/01(日) 12:38:28 ID:???
>>477
違うよ

>>472
お前には無理
あきらめて業者に頼め

479 :anonymous :2009/02/01(日) 18:00:53 ID:???
お前らずいぶん楽しそうだね。

480 :anonymous :2009/02/05(木) 18:54:57 ID:???
すまんが教えて欲しい。
DSのWi-Fiに繋がらないんだ。
無線APには問題は無いようなんだが、
問題があるとしたらFWとしか。

ちなみにUDP全ポートをVIPで一台にマッピングしたいんだが、
全部ってのはカスタムで可能?

481 :anonymous :2009/02/06(金) 03:53:48 ID:???
全ポートをVIPマッピングってのは聞いたこともやったこともないが
どっかのサイトでVIPマップは1024個までとか見た気がする。
その辺はここで聞くより某サイトの掲示板にでも質問上げた方が早いと思うぞ。

482 :anonymous@eaoska022178.adsl.ppp.infoweb.ne.jp :2009/02/06(金) 07:30:10 ID:???
>>480
うちではVIPなんか設定しなくてもDSのWi-Fiに繋がってるぜ

疑うならやはり無線APかと
DSは"IEEE802.11b"じゃなくて"IEEE802.11"なので、APによっては設定が必要

483 :482 :2009/02/06(金) 07:39:26 ID:???
リモホ出てるorz

484 :anonymous@p67f2d2.tokynt01.ap.so-net.ne.jp :2009/02/07(土) 14:44:31 ID:???
おらの村ではFirewallでダイナミックルーティングを使うかどうか悩んでるべ。
そもそもFirewallでダイナミックを使ってるとこを見たとこないし、
あるベンダーのFirewallセキュリティチェックとかいうのには
"ダイナミックルーティングを使用していないこと"とかいうチェックがあるべさ。
何故にFirewallではダイナミックルーティング使ってないんだべさ。
使う必要がないからとかそんな感じの理由なんだべか。

Firewall Specialistの皆さん、是非教えてはもらえないだべか。


485 :_ :2009/02/07(土) 14:53:01 ID:???
別に嘘の経路情報が流れ込んでこないって保証があればdynamic routing使ってもいいんじゃね?

俺はやだけど

486 :anonymous@p02130b.tokynt01.ap.so-net.ne.jp :2009/02/07(土) 15:02:40 ID:???
>>485
神様、ありがたいお告げをありがとうごぜぇますだ!!

保証は無いけんども、ルート情報をフィルタしつつ内部と外部で
ルーティングプロトコルを分けて対策すれば良さ気になるべさ。
もうちょっと悩んでみるべよ。


487 :annononna :2009/02/07(土) 17:26:57 ID:???
Firewallのダイナミックルーティングってちゃんと実装されてるのか不安
利用者が少なければバグも多いだろうし、小細工したい時もルータ程には融通利かないだろうし

488 :anonymous :2009/02/07(土) 18:17:16 ID:???
>>482
bでもgでもインターネットには繋がるぞい。

ただうちもNetscreen経由でのWiFi対戦はダメだなあ。
Log見るとAge Outしてる。

489 :あのに :2009/02/09(月) 10:04:20 ID:???
社内SEです。
IPSecVPNつくって支所間通信してますが、
あまりにも問題が無く、ノータッチすぎてなんか色々忘れてて怖いです。
皆さん、導入済み製品の勉強とか定期的にやってます?

皆様NEばっかりで自社製品余裕でしたってことかしら




490 :anonymous :2009/02/10(火) 02:47:20 ID:???
>>486
ダイナミックルーティングを使わないといけないようなポイントにFW置く事が
あんまりないと思うんだが。
基本的に内部の別セグメントとの接続ポイントはルータがやるだろうし、
外部との間でダイナミックルーティングする必要性がないと思うし。
FWの一歩手前には通常ルータかL3いてそいつからスタティックで
FWに対するルートがある、また折り返す通信はとりあえずそのルータか
L3に対してデフォルトルートで返す、みたいな構造が多いんじゃね?

>>489
必要な時に必要な内容だけ勉強すればいいんじゃねーの?
基礎知識はそう簡単に抜けないんだから、後は細かいとこだけ
復習すればいいだけだと思うが。

491 :anonymous :2009/02/16(月) 21:10:02 ID:???
Ciscoって設定変更したときはreloadしないと
設定が反映されないけど、
Netscreenの場合、GUIで設定変更したときは、
reloadしないと設定反映されないの?

492 :ななし :2009/02/16(月) 23:04:40 ID:???
>>491

Ciscoのくだりとか何を言っているのかさっぱりわからないが
reloadは不要

493 :_ :2009/02/16(月) 23:10:01 ID:???
Ciscoってルータとかはreload不要だよな?
running config書き換えた時点で有効になるから
使ったことないけどPIXとかってreload必要なん?

そんなFirewall使えねぇしそもそも売れねぇだろ

それとも>>491がパーなだけ?

494 :anonymous :2009/02/16(月) 23:45:06 ID:???
>>493

Ciscoもさわったことねーの?
おまえニート?

495 :anonymous :2009/02/16(月) 23:51:25 ID:???
>>491がパーなだけ

496 :anonymous :2009/02/17(火) 01:08:39 ID:???
pix501を家で使ってるが俺が知る限り再起動なんて必要無いはず。。
なんかアライドのスイッチで再起動しないと設定が有効にならないとか言われて
買い控えた機器はあったけどね。

497 :anonymous :2009/02/17(火) 17:07:39 ID:???
CiscoはCiscoルータもCatalystもAironetもPIXも再起動不要だろうよ。

>>493=491
パー扱いされたからってキレるなよw
>>493の言うとおりCiscoには設定反映の為のリロード操作なんていらねーよ。

498 :anonymous :2009/02/17(火) 18:21:47 ID:???
>>491は多分reloadとwrを勘違いしてんじゃね?つまりパーなんだろう。

499 :_ :2009/02/17(火) 18:41:08 ID:???
>>498
お前も勘違いしてる気がするぞ(w
write memoryしなくてもconfig打った時点で設定反映されるだろ

500 :anonymous :2009/02/17(火) 18:51:24 ID:???
>>499
反映はされるよ。保存はされないけど。>>491は反映じゃなくて保存のこと言ってるのかと。
つーかいちいち再起動しないと反映されないとかブロードバンドルータじゃないんだから
そんなの聞いたことないぞ。

501 :_ :2009/02/17(火) 19:13:30 ID:???
>>500
write memoryしないでreloadしたら保存もされないと思うんだけど

502 :anonymous :2009/02/17(火) 19:20:11 ID:???
>>501
そりゃそうだ。

503 :anonymous :2009/02/17(火) 20:29:35 ID:???
>>497
あ、今更ながらレス番間違ってら。

× >>493=491
>>494=491

申し訳ない>>493よ。

しかし、反映と保存、reloadとwri memを双方共に間違えたって解釈は流石に無理があるだろう・・ww
もし合ってたとしてもパーなことに変わりはないし・・ww

504 :あのに :2009/02/17(火) 20:46:37 ID:???
どうしておまえらは初心者をいぢめるんだ
もっと広い心を持てよ

ああ、でも顧客の担当者が小利口になるのは困るな
やっぱり初心者には厳しくいこうぜ!


505 :anonymous@07011021047008_af :2009/02/17(火) 20:54:26 ID:???
GRは反映に再起動いるぜ

糞ルータだからだが

506 :_ :2009/02/17(火) 21:25:15 ID:???
GRはいじったことないがGSはいじったことある
system bsu_resource とかは再起動必要だけど、IFとかVLANいじるような設定は不要

同じ会社でもこんなに違うのか?

507 :sage :2009/02/18(水) 01:08:49 ID:???
メーカーサイドではとりあえず再起動して下さいと言いたくなるよな。
WithITとか再起動多かった。

508 :anonymous :2009/02/18(水) 07:18:02 ID:???
config変更で再起動が必要なネットワーク機器なんて業務で使えねーだろ?

509 :_ :2009/02/18(水) 08:16:04 ID:???
system bsu_resourceなんて最初に1回設定しちゃえば
変えることなんてそんなないからまぁ許容範囲ではある
例えばFirewallでもルータモードと透過モード(ブリッジモード)の
切り替えなんかはreload相当の行為必要なものもあるんじゃないか?

ポリシー(フィルタ)1個追加とかでreloadとかなら全くもって使えない

510 :anonymous :2009/02/18(水) 21:46:06 ID:???
>>508
つFirebox

511 :anonymous :2009/02/19(木) 07:34:05 ID:???
>>510
10年くらい前に使ってたけど、NetScreenに変えちゃったよ

Fireboxって今でもポリシーに対象IP追加とかの日常的作業で再起動要るの?

512 :sage :2009/02/19(木) 10:52:09 ID:???
ネットスクリーン楽チンです
日本語マニュアルあるし
FW-1とかもう無理


513 :anonymous :2009/02/19(木) 17:19:10 ID:???
某所で言ってたがIPのポートマッピングが64個しか出来ないってマジか。
レンジ指定できないとか動画配信サーバとか内側に置けないじゃん・・・

514 :anonymous@HKRpm199.aichi-ip.dti.ne.jp :2009/02/22(日) 19:50:36 ID:???
>>507
Withは二度と触りたくない。
CiscoとアライドとCabletronのダメなとこを抽出したみたいだ。

515 :すれ違い :2009/02/22(日) 20:00:25 ID:???
>>514
やっすいMDN接続ルータとして結構頑張ってくれたんだけどな

516 :anonymous :2009/02/23(月) 15:22:14 ID:???
>>511
応援にかり出されて数年前に触った奴は再起動はいらなかった記憶が。
昔のFireboxと全然違ったんで、買収したRapidStream系列の製品だと思うけど。

例によって設定ツールが使いにくかったw

517 :anonymous :2009/02/24(火) 04:41:01 ID:???
Firebox自体昔の機器の設定ツールをダウンロードで手に入れれないから
流用が出来なくて困ってる、なんてところ多そうだ。
今時設定ツールがないと使えないってところ自体に問題があるが。
FW-1やサイドワインダーもそうだけど。

518 :anony :2009/02/24(火) 21:11:17 ID:???
Fireboxの話題は↓でやれ
http://pc11.2ch.net/test/read.cgi/network/1098713372/

それよりアライドは早くScreenOSの5.4r12と5GT用の6.2r1出せよ
保守入ってる意味ねーだろが
SASか住商にしとくべきだった

519 :anonymous :2009/02/24(火) 22:05:51 ID:???
SASや住商であろうが日本で5GT用の6.2は出さないんじゃなかったか?

520 :518 :2009/02/24(火) 23:58:36 ID:???
まじかよ
でもどっかのブログに保守入ってる住商から自己責任で6.2もらったって書いてあったから
こっちから要求しないとくれないのかもしれんね

521 :anonymous :2009/02/25(水) 00:07:56 ID:???
ベンダの中の人と仲良くなれば...ね。


522 :anonymous :2009/02/25(水) 00:41:06 ID:???
5GT用6.2は出ないよ
あれは海外のお得意様に言われて特注で作ったものだと聞いてる
日本で出ることはない
おそらく海外でも、その客にしか出さないんじゃないかな?

523 :518 :2009/02/25(水) 02:51:09 ID:???
ふむー
仲良くってのは取引あるからいいとして、とりあえずアライドの営業通して聞いてみるわ
情報ありがとう

524 :anonymous@206.130.232.202.bf.2iij.net :2009/02/25(水) 09:25:34 ID:???
ネットマークスとJ'sのサイト見たが確かに5GT用の6.2は上がってないな。
Juniperの営業に聞いてみるか・・・ こういう時に一次店は強い。

525 :518 :2009/02/28(土) 03:14:58 ID:???
2/27AM 仕事中、珍しくアライドからメールが
まさかなと思って見たら、5.4r12のリリースで吹いた
さすがに5GTの6.2は無かった

526 :三加和謙一 :2009/03/04(水) 22:45:11 ID:???
初心者質問ですみません。
untrustとtrustをブリッジさせて一つのセグメントにしたい場合、
WebUIとCLIはそれぞれどんな設定を入れるんでしょうか?

527 :anonymous :2009/03/05(木) 05:14:04 ID:???
なんでゾーン分けるの?それ。
ゾーン分けないで同一セグメントで口二つにしたらいいだけじゃ・・・

528 :hoge :2009/03/05(木) 08:27:11 ID:???
トランスペアレントモード(ブリッジモード)にしたいってことでは?
それならマニュアル見ろってことだけど。

529 :anonymous :2009/03/05(木) 16:36:18 ID:???
インターフェースからアドレス外して、インターフェースのゾーンをV1~かL2-~に変更汁。

530 :SSG :2009/04/10(金) 23:35:56 ID:???
来週にSSG520が導入される・・・
アンチウイルスを稼動させるが、大丈夫だろうか~

531 :anonymous :2009/04/11(土) 08:53:55 ID:???
SSGはUTM機能にバグ大杉な気が。
AVは比較的歴史あるからまだいいかもしれんけどロクなはまりかたしないから気をつけてな。

532 :anonymous :2009/04/11(土) 13:55:20 ID:???
SSGのAVはパフォーマンスが劇的に落ちるぞな
まあメーカも認めていることなんだけどさ

533 :フェラ奉行 :2009/04/11(土) 17:07:40 ID:???
1年前の時点で、AVは致命的なバグがあった。今は知らないけど。

534 :anonymous :2009/04/16(木) 14:51:47 ID:???
AV機能は有効化するだけでスループットが30Mbps以下になるからなぁ。
コンテンツキャッシュをするとはいえ、もうちょっとなんとかならんものか。

535 :anonymous@p2180-ipbf3510marunouchi.tokyo.ocn.ne.jp :2009/04/24(金) 00:24:52 ID:???
6万で売ってた中古SSG5買ったんだが、高かったかな・・・

536 :anonymous :2009/04/24(金) 00:42:01 ID:???
メモリが256MBならいい買い物だったのでは?
128MBなら高いかな

537 :a :2009/04/24(金) 22:24:18 ID:???
>>536
一応256版だけど、保守契約もオプションも無いからやれることは128版と変わらない予感。
会社で調べたら128版の仕切りが6万円台だった・・・

538 :anonymous@219.117.200.180.static.zoot.jp :2009/05/07(木) 10:35:42 ID:FflTyqeF (3 回発言)
教えてください

Windowsサーバーを外向けに立てました
外部からリモートデスクトップ接続で管理する予定です。
NetscreenのVIPでグローバルアドレスとWindowsサーバーを
リモートデスクトップポート(3389)で紐つけしましたが
外部からリモートデスクトップ接続できません。

サービスはカスタムで登録しました
TCP Src0-65535 Dst3389-3389
UDP Src0-65535 Dst3389-3389

ポリシーも設定しました。


539 :nurupo :2009/05/07(木) 10:42:25 ID:???
UDPはいらないよ
TCP3389だけでおk

たしかバグでTCPとUDP一緒にサービスにまとめると
どちらも機能しない、とか聞いた事あるけど

540 :anonymous :2009/05/07(木) 10:47:07 ID:???
ならWindows側の問題じゃね?

541 :anonymous@219.117.200.180.static.zoot.jp :2009/05/07(木) 11:03:25 ID:FflTyqeF (3 回発言)
538です
サービスでUDPの設定を消しましたが、接続できません
ローカルIPでリモートデスクトップ接続ができるので
Netscreen側の問題だとおもうのですが
CLIで
set vip multi-port
をしたんですが、これunsetしたほうがいいですか?


542 :anonymous :2009/05/07(木) 13:15:49 ID:???
んーWindowsFWでもないのか。
となると、通信ログはどうなっての?
どっかのポリシーにはかすってるだろ?

543 :anonymous@219.117.200.180.static.zoot.jp :2009/05/07(木) 14:01:41 ID:FflTyqeF (3 回発言)
538です。さっき取ったコンフィグです。ポリシー部分を抜粋しました。

set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit log
set policy id 1
exit
set policy id 2 from "Untrust" to "Trust" "Any" "VIP(untrust)" "RemoteDeskTop" permit
set policy id 2
exit

それと、VIPの設定のコンフィグになります
set interface untrust vip untrust 3389 "RemoteDeskTop" 192.168.1.4

何が問題かわかんないです><
unset allで一からやり直したほうがいいんでしょうか・・


544 :anonymous :2009/05/07(木) 17:08:29 ID:???
んーだからポリシーのログを確認してみないと。
ちゃんと通信は流れてるのか、止めてるのか見ないと解らんべ?

545 :anonymous[ :2009/05/07(木) 18:18:31 ID:???
VIPあてはUntrust→Trustじゃなくて、Untrust→Globalになるんじゃ?


546 :anonymous :2009/05/07(木) 21:11:27 ID:???
5GTの中古購入を検討しているのですが、
用途としてはファイアウォール(ステートフルインスペクション)のみで、
ポリシーもtrust>untrustのALL許可だけ設定する予定なのですが、スループットが気になりまして相談した次第です。
このような単純なポリシーでも、カタログの75Mbpsがボトルネックになりますか?

回線は100Mリンクのベストエフォート回線です。実測90Mbps程の良好な速度が出ます。

宜しくお願いします

547 :anonymous :2009/05/07(木) 23:53:55 ID:???
買って試せばいいよなあ
高いもんじゃないし


548 :anonymous :2009/05/08(金) 03:16:59 ID:???
>>546
心配ならNS25買ったら?
ヤフオクだと5GTと大した差も無く買えると思うけど

549 :anonymous@219.117.200.180.static.zoot.jp :2009/05/08(金) 04:54:20 ID:pGkjJNYd (3 回発言)
538です。ポリシーログを一旦すべてクリアにして
リモートデスクトップ接続を試みたら、ポリシーログが全く取れていませんでした。
545さんのご指摘の通り設定がおかしいんですかね・・
(´・ω・`)

550 :anonymous :2009/05/08(金) 04:58:25 ID:???
>>549
どのタイミングでログ確認したかわかりませんが、
ログが記録されるのはセッション終了時、もしくは、タイムアウト時です。
通信初めてすぐに確認したのならなくて当然ですよ?
ポリシーのオプションにセッション開始時にログをはくチェックボックスがあるので
それを有効にしてみるといいです。

551 :anonymous :2009/05/08(金) 05:00:56 ID:???
>>548
Netscreen25か・・・・先日ぶらついてたら9800円で”ジャンク扱い”であったなぁ~
ジャンク扱いの理由は、わからんからだってさ。
当然ScreenOSのverも不明。

電源は店の使っていいから自分で調べろって・・・
都合よくコンソールケーブルなんて持ち歩いてねぇよ。
2台で9800円なら勢いで逝ったんだけどなぁ~1台は動くと信じて。

最近は無いけど、以前は何の準備も知識もなしに
Netscreen50だか25だか204だかと、cisco機器に囲まれた案件に突っ込まれたからなぁ~
今後の為に勉強用に1台は欲しいと言えば欲しい今日この頃。
客先機器を触る前に勉強しろって・・・就業数日前に言われて実機もなしにどーしろと?

552 :anonymous@219.117.200.180.static.zoot.jp :2009/05/08(金) 05:11:34 ID:pGkjJNYd (3 回発言)
538です。(´・ω・`)
ポリシーのloggingにチェックを入れたらログを出し始めました。
以下が失敗したときのログです。IPはログの項目名に置き換えています

2009-05-08 05:09:11 Source Address:49169 Destination Address:3389 Translated Source Address:2794 TranslatedDestinaionAddress:3389 TCP PORT 3389 21 sec. 206 0 Close - AGE OUT

553 :anonymous :2009/05/08(金) 09:24:54 ID:???
FWは通ってるんじゃねーか?

554 :asge :2009/05/08(金) 09:27:41 ID:???
サバにデフォゲ書いてないとか?w

555 :anonymous :2009/05/08(金) 09:32:13 ID:???
帰りの通信が来てないっぽいね。
>>554の言う通りかも。

556 :anonymous@219.117.200.180.static.zoot.jp :2009/05/08(金) 10:09:14 ID:pGkjJNYd (3 回発言)
538です。(´・ω・`)
554さんの言う通り鯖のデフォゲが間違っていました。

皆さんありがとうございました。m(__)m



557 :フェラ奉行 :2009/05/09(土) 01:07:33 ID:???
酷いものだな

558 :アッー! :2009/05/13(水) 07:13:38 ID:???
http://enterprise.watch.impress.co.jp/docs/news/20090512_168344.html

SRXとSSGシリーズの違いがわからんのだが。
記事を読む限り、SSGと領域が重なりすぎる気がする

559 :anonymous :2009/05/13(水) 23:06:58 ID:???
ScreenOSからJUNOSへの移行・吸収は既定路線だけど
ちょっと前のプレゼンなんかだと320・350が
JUNOSも動く(だかハードは共通だか)って言ってなかったけ?
これでSSGも終わりか

560 :anonymous :2009/05/14(木) 12:55:30 ID:???
>>558
SSGはScreenOS、SRXはJUNOS。

買収したNetScreenをいつまでも開発してる訳にもいかないからな。
ScreenOSとしての機能を盛り込みつつJUNOSへの移行を進める為に
レンジの重なる製品を持ってきたんだろう。このスレもr3.0で終わりか。

561 :anonymous@p4069-ipbf2103hodogaya.kanagawa.ocn.ne.jp :2009/05/16(土) 23:48:32 ID:???
旧NS5からSSG5に買い換えようかと思ったが、SRX100も安くて良さそうだな。
SRX100もJUNOSだったら、x86とFreeBSDで作られているんだろうか。

562 :anonymous :2009/05/17(日) 19:31:55 ID:???
100もJUNOSですよ。
そうじゃなかったら思想に反するw


563 :anonymous :2009/05/19(火) 20:37:25 ID:osJhisw/ (1 回発言)
JUNOS系統のポリシーの書き方ってどうなの?
昔使ったCiscoのIOSっぽい文法のFWアプライアンスでポリシーの書き方があまりにも使いにくかったので、
ちょっと不安なんだけど

564 :anonymous :2009/05/19(火) 21:29:25 ID:???
ScreenOSを意識したGUIはあるらしいけどね


565 :anonymous@e37-jcan.joetsu.ne.jp :2009/06/15(月) 17:58:15 ID:???
SSG系でNSRPのActive/Activeで運用している人いませんかねえ?
まともに動くのかがよくわからなくて

566 :anonymous :2009/06/15(月) 18:12:55 ID:???
A/A構成にしたい理由は?
正直勧めないけどw


567 :anonymous :2009/07/19(日) 02:50:14 ID:???
5GTで6.2って...ぉぃ
ttp://page9.auctions.yahoo.co.jp/jp/auction/k113595876

568 :anonymous@p2222-ipbf2802hodogaya.kanagawa.ocn.ne.jp :2009/07/23(木) 01:49:49 ID:???
もう 6.2.0r3 まで出てるな

ttp://www.juniper.net/techpubs/software/screenos/screenos6.2.0/

569 :anonymous :2009/07/24(金) 12:24:24 ID:???
>>567
一部顧客向けに6.2を出してる。過去ログくらい嫁。

570 :anonymous@PPPbb275.tokyo-ip.dti.ne.jp :2009/07/29(水) 13:57:07 ID:???
ヤフオクで5GTの10User版買ったとしたら、追加ライセンスって買えるんでしょうか…
エラいぼったくられそうで怖いです

571 :hage :2009/07/30(木) 21:02:09 ID:???
(untrust)Netscreen(trust)----(outside)NATdevice(inside)--clients

こうすれば1ライセンスしかつかわんのでは?
しかし通過クライアント数でライセンスとは時代遅れに思える

572 :名無しさん :2009/07/30(木) 21:52:17 ID:???
てか、5GTならネットワークデザイン上、LAN側10台くらいが目安じゃないかな?

573 :anonymous :2009/07/31(金) 06:15:31 ID:???
心配ならNS25以上を買えばいいじゃねぇか
そうベラボーに高くも無いぞ、最近のヤフオクだと


574 :570 :2009/07/31(金) 11:40:35 ID:???
>571
実際時代遅れの機械ですしねw
しかし趣味で自宅使用には値段も安くなっていい感じです

>572
ごもっともです…
けど実験環境でVMwareとか複数たてると枯渇しそうで怖いです

>573
なるほど そうですね
今回は自宅利用で消費電力の心配もあって5GTを買うことになると思いますが、
ちょっと規模が大きくなったらそっちを買って見ます

575 :hoge :2009/07/31(金) 11:54:29 ID:???
実際扱った印象ではNS25/50ってカタログスペックや価格に対してCPU性能などの
パフォーマンスが悪いような気がするんだが

576 :anonymous :2009/07/31(金) 16:35:43 ID:???
まぁソフトウェア的な問題だからそれは。
ちょっと5GTとかSSG系とはハードウェア構造も違うしソフトもそれに合わせてちょっと違う。

577 :anonymous@FLH1Aaq025.oky.mesh.ad.jp :2009/08/03(月) 10:31:11 ID:???
NS系はハード処理
SSG系はソフト処理
だからNS系のCPUスペックはショボイ

578 :anonymous :2009/08/07(金) 21:07:20 ID:???
NSは一部機種を除いて、セッションを開設したあとは基本的にASIC処理になるから、CPUがしょぼくても
実用上はさほど問題ない。

ネットワークシミュレータとかで、極めて短時間に大量のセッションの開設・切断を行うような状況を模擬
すると、CPU負荷がもりもり上がってスループットが早々に頭打ちになるが。
逆にFTPででかいファイルを送受信するような状況を模擬すると、カタログスペックに近い値が出る。

579 :575 :2009/08/07(金) 21:13:25 ID:???
一応皆さんが言われてることは承知の上で25/50は実際使ってみたら能力が低いと感じたと言いたかった訳なんですが。

580 :anonymous@25.111.30.125.dy.iij4u.or.jp :2009/08/07(金) 21:46:02 ID:???
ASIC搭載モデルでファンレスモデルって今のところ無かったよね?


581 :anony :2009/08/08(土) 03:51:40 ID:???
>580
NS-25/50、ただし代理店または時期による?
仕事でアライドから仕入れた25*2台はファン付いてた
個人的にオクで買った25と50*2台には付いてなかった
前どっかのスレにも同じこと書いた記憶ががが

582 :あのにさん :2009/08/08(土) 12:45:16 ID:???
>>581
Thx

それでなのか
ファンなしっぽい記述があったり、ファンがある記述があったりで
チソプソだった


583 :anonymous :2009/08/08(土) 17:38:22 ID:???
流れからいうと
ファン無しでリリース→なんか熱暴走多発してね?→ファンつき改善版リリース
って感じなのかな。

584 :anonymous :2009/08/10(月) 10:04:00 ID:???
>>583
ファンなしでリリース→大半ユーザが空調なしで運用→熱問題が出てくる→ファンを付けておこう

沢山のユーザを見てきたが、サーバがない部屋の場合空調がないことが多い。

585 :anonymous :2009/08/17(月) 18:15:09 ID:???
オフィスにはサーバやネットワーク機器置いとく24時間空調はいった専用ルームあるし、
メインはデータセンターにおいてるからそんな問題おきたことないわ

586 :anonymous :2009/08/18(火) 11:03:21 ID:???
>>585
多数のユーザ見てて、そんな部屋が無い場所が多い、って話をしてる時に何言ってんだ?

俺の行った現場で一番酷かったのは、倉庫の一角にミニラックが置かれてるだけで
ネットワーク機器が全て埃まみれだったところだな。あれいつか火災起きるぞ・・・

587 :anonymous :2009/08/19(水) 07:06:20 ID:???
大企業ボケか、随意契約業者に丸投げボッタくられの公務員だろ?

588 :anon :2009/08/19(水) 09:05:07 ID:???
>>586
支店とかだと専用スペースが作れないから、適当な場所に設置されてるケース多いよな

589 :anonymous :2009/08/19(水) 13:13:42 ID:???
止まると大騒ぎするくせに、
ネットワーク機器の設備投資をケチるユーザ多いよな

590 :anonymous :2009/08/19(水) 21:25:21 ID:???
良くも悪くもインフラになっちまったからなあ。
普段は空気扱いなのにいざ止まると怒涛のようにry

591 :anonymous :2009/08/19(水) 21:29:03 ID:???
報われないよな

592 :anonymous@221x247x101x210.ap221.ftth.ucom.ne.jp :2009/08/31(月) 14:43:07 ID:XjWuKDTR (1 回発言)
ssg5 で ins 回線を利用しようとしています。
dialerI/F を作成したのですが ppp の設定のところで
keepalive のチェックボックスを外したいのですが
チェックを外して apply をクリックしてもチェックが外れません。

また、CLI にて unset interface dialer.1 keepalive とすると
webui で確認するとチェックは外れるのですが
CLI で get conf しても、設定したはずの unset interface dialer.1 keepalive の行がみつかりません。
なので、save して ssg をリブートすると
またチェックが入った状態になってしまいます。

課金状態になるのを防ぎたいので keepalive の設定は外したいのですが・・
juniper のサポートにも問い合わせ中なのですが
どなたが同様の症状になられた方はいませんでしょうか。

screenos のバージョンは 6.0.0r8.0 です。
ssg5 は ss5-sh-bt を使用しています。

よろしくおねがいします。


593 :592 :2009/08/31(月) 18:00:50 ID:???
自己レスです。

そもそも screenos は ras server の機能がないらしく
ins 着信ができないということでした。

構成から見直してきますorz


594 :anonymous :2009/09/03(木) 10:28:07 ID:???
以下の環境で閲覧出来ないサイトがあります。
知ってる情報があれば教えてください。

▼環境
・Bフレッツ+PPPoE+Netscreen25
 固定1IP
・フレッツADSL+PPPoE+Netscreen25
 固定16IP
上記共にNetscreenのファームバージョン:5.4.0r13.0 (Firewall+VPN)

▼現象
上記環境にて見れないサイトが存在する。
見れないサイトは上記2回線ともに同一サイトで、
別回線(イーモバ等)では閲覧可能。

Bフレッツ及びプロバイダに連絡をしたが、異常は見られないとの回答。
見れないサイトの会社に連絡したが、閲覧規制は掛けてないとの回答。
Trust側からはping,trace,名前引きは可能。
Trust側からのポリシーはALL開放でも閲覧不可。

▼やったこと
NetscreenのWebUIにて以下を実施したが、変わらず。
Network→Interfaces→Untrust→Edit→
 Maximum Transfer Unit(MTU) Admin MTUの値を1454に変更。

595 :594 :2009/09/03(木) 16:25:00 ID:???

>594
自己レス

ポリシー設定内ののApplicationをNoneからIGNOREに変更したら
閲覧できた。



596 :anonymous@OFSfa-04p3-200.ppp11.odn.ad.jp :2009/09/06(日) 12:11:30 ID:0kl2GqQD (2 回発言)
ジュニパーのネットスクリーンにssg20って機種ですが
それって ISR的にシスコルーターの2651とかに合うんすか?

ISR的に合う、合わないみたいなリストがネット上に見つからないんで・・・TT

597 :anonymous@u663222.xgssu5.imtp.yokohama.mopera.net :2009/09/06(日) 12:16:15 ID:???
cisco比較じゃなくて要件満たせるかどうかを見ろよ

598 :anonymous :2009/09/06(日) 16:40:45 ID:???
当たり前だけど各メーカーで同じもの作ってる訳じゃないんだから、まずは要件が分からないと
どの性能や機能を比較して相当品だと考えればいいのかが分かんねぇよ。
あと、2651はISRじゃねぇ。

599 :anonymous@OFSfa-04p3-200.ppp11.odn.ad.jp :2009/09/06(日) 23:33:10 ID:0kl2GqQD (2 回発言)
2651ってISR じゃないの? ISR じゃかなったら netscreen 機器って一緒に使えないってこと?
1841 とか 2851 ならどうよ?

600 :anonymous :2009/09/06(日) 23:35:18 ID:???
>>596
2651がISRってww
そんな貴方様は、国産のSi-Rあたりでもご検討下さいw


601 :anonymous :2009/09/06(日) 23:37:30 ID:???
>>599
一緒に使えない??
あれ、そもそも比較してるんじゃなかったの?

「ISR的に」って、どーいうことでしょうか?
誰にでも分かる日本語でプリーズ。


602 :anonymous :2009/09/07(月) 00:20:38 ID:???
エスパーになって理解してみようと思って質問文を読み直してたらネタに見えてきた。
モスバーガーのきれいな食い方みたいな。

603 :anonymous :2009/09/07(月) 00:31:58 ID:???
要するにまともにせめて質問できる程度には勉強して出直してこいと。

604 :anonymous :2009/09/07(月) 00:40:25 ID:bplmw3Mt (1 回発言)
勉強できるんだったら最初から質問なんてしない!

605 :anonymous :2009/09/07(月) 08:52:43 ID:???
よもやISPの間違いではあるまいな?

606 :anonymous :2009/09/07(月) 12:51:08 ID:???
ISRって言葉を知ったばかりで使いたがりの厨房でしょ。
複数ベンダでネットワークを組むならそれなりにそれぞれの用語の意味を理解してから
やるべきだし(まさにISRとかCisco用語だしな)、それが無理っつーならSIerに頼む。

自分で勉強出来ない技術は金で買うんだよ。

たまにこういう香具師が飛び込みで泣きついてくるが、たいてい自我だけ無駄に強くて
間違いばっか言うし指摘したら俺は客だぞだとキレるし金にもならんのでうちではお引取り願ってる。

607 :anonymous :2009/09/07(月) 13:00:29 ID:???
そんなっ
じゃあ勉強出来なくて金も無いユーザはどうすればいいんだっ

608 :anonymous :2009/09/07(月) 19:05:21 ID:???
>>607
コンシューマ向けのブロードバンドルータで我慢しる!
どーせ広帯域なんて要らないだろーから、十分だぞ。

それでも尚、耐障害性が...とかボヤくなら金を積め。


609 :anonymous@OFSfa-06p2-16.ppp11.odn.ad.jp :2009/09/07(月) 22:06:54 ID:2rdHmFio (1 回発言)
ってかISRってなに?

610 :anonymous :2009/09/07(月) 22:38:04 ID:???
ググレカス
ISR=Integrated Services Router


611 :anonymous :2009/09/07(月) 22:41:00 ID:???
なんというツンデレ

612 :anonymous :2009/09/10(木) 09:46:11 ID:AfDg6ofI (1 回発言)
NS-5XT-107-05を持っておりまして予備機を購入予定です。
全く同じ型のものが見つかりませんので
下二桁(05)の数字が異なってもSoftware Version
(今は4.0.0r6.0)が同じならば
設定ファイルを流し込んでも同じ物として動作ものなのでしょうか?よろしくお願いします

613 :anonymous :2009/09/10(木) 22:29:55 ID:???
うん

614 :anonymous :2009/09/10(木) 23:38:20 ID:lFKkjifl (1 回発言)
この脆弱性の影響どーなの?
ttp://jvn.jp/cert/JVNVU943657/

615 :anonymous@pw126252086064.12.tss.panda-world.ne.jp :2009/09/11(金) 22:17:27 ID:???
>>614
今日その対応ばっかだったわ

616 :anonymous :2009/09/12(土) 02:13:09 ID:???
何処のベンダもその対応に追われてるw
Netscreenに限らず

617 :anonymous :2009/09/12(土) 07:59:29 ID:ndEdyepO (2 回発言)
NS-5XT-107-05の設定ファイル(1個)を別のNS-5XT-107に入れると
設定は完全に復元できるものなのでしょうか?
(他のメーカーだとうまくいかない場合があるので)
よろしくお願いします

618 :anonymous :2009/09/12(土) 12:35:49 ID:???
うん

619 :anonymous :2009/09/12(土) 14:21:42 ID:ndEdyepO (2 回発言)
ありがとうございます

620 :anonymous@k174188.ppp.asahi-net.or.jp :2009/09/19(土) 23:55:58 ID:???
SSG5しか触った事ないけど
SSG140のUIってSSG5と同じ??

621 :anonymous :2009/09/20(日) 20:30:24 ID:???
うん

622 :annoying :2009/09/30(水) 21:26:46 ID:???
SRX-100まだ~

623 :anonymous :2009/09/30(水) 21:35:05 ID:???
JUNOSなんか死に晒せ!

624 :anonymous :2009/10/02(金) 02:52:38 ID:???
SRX210 は nttxstore にあるな。SRX100 は年末頃だってよ。

625 :anonymous :2009/10/02(金) 03:05:47 ID:???
SRX100B、幾つかの海外ショップに聞いたら~600USDだった。
ハードだけなら販売してくれるって言ってたよ。

626 :anonymous@23.111.30.125.dy.iij4u.or.jp :2009/10/02(金) 05:35:18 ID:???
>>624
おや 第三四半期に出るとかいってなかったっけ?

>>625
ハードだけってのは、年間サポートなしで機材はそのままACアダプタ等々含めて一式ってこと?
なんとなく国別にACアダプタが違う気がしないでもないけど、対応電圧広いアダプタで
統一してあるのかどうなのか

600USDなら、SSG-5とほぼ変わらないな


627 :624-625 :2009/10/02(金) 22:12:31 ID:???
SRX100は9下に米国出荷開始で、小売経由で某代理店に問い合わせたら
国内はまだ未発売で、年末くらいじゃないか?とのこと。

海外数店舗探して、SRX100B売ってくれるところの最安値は560USDだった。
USなのでコンセント、最近のアダプタなので電圧は問題ないとおもう(?)
海外だと J-CARE CORE Support 販売してくれるところは見つけられなかった。
搭載されてるJUNOS9.6じゃ未実装とかあるしサポートはほしいね。


628 :626 :2009/10/03(土) 01:08:57 ID:???
>>627
Thx

んだね
しばらく様子見か


629 :anonymous :2009/10/05(月) 18:19:25 ID:???
JuniperUSのCase Managementサイト㌧㌦
Case上げたいのに上げれねぇwww

630 :anonymous@i121-118-135-204.s10.a018.ap.plala.or.jp :2009/10/21(水) 23:24:29 ID:QAN91Vr4 (1 回発言)
どうしても分からないので教えてください。

Netscreen remoteのファイアーウォール機能の設定はどこをいじればいいのでしょう?
クライアント側からサーバーは行けるのに、逆はPINGすら通りません。

バージョンは9.0r3です。


631 :anonymous :2009/10/22(木) 00:48:27 ID:???
>630氏
Windowsファイアウォールで弾かれていたとかいうオチだったりしない?

632 :630 :2009/10/23(金) 00:02:39 ID:NlH09wDT (1 回発言)
>631さん
クライアントがwindows 2000かつ、ウイルス対策ソフトのファイアーウォールも
オフにしてあります。

Netscreen Remoteのログに「Inbound packet failed validation *.*.*.* ->
192.168.24.3」と出ていてpingを弾いているようなのです。
となればNetscreen Remoteの仕業かと思うのですが。

633 :anonymous :2009/10/23(金) 01:24:48 ID:???
何故書いてあるものを読もうとしないのかがわからない。

634 :627 :2009/10/24(土) 23:46:37 ID:???
国内でもサポ付きSRX取り扱いが増えてる様子。
ロジステック
SRX100B(初年度サポート) 88k
SRX210B(初年度サポート)138k
ぷらっとオンライン
SRX210B(初年度サポート)148k
NTT-X
SRX210B(初年度サポート)134k


635 :anonymice :2009/10/25(日) 04:38:08 ID:???
そのまんまSSG-5の後にスッポリか


636 :627 :2009/10/25(日) 11:42:37 ID:???
よくみたらntt-xにもきてた。たぶん最安値だとおもわれ。
SRX100B-SL 85k¥
ロジステックには次年度サポートの価格も載ってる。

サポートは、ぷらっとが日立システム、他は住商情報か(?)
あと納期はかかるみたいなので注意

637 :anonym :2009/10/27(火) 01:45:15 ID:???
JUNOSって名前は聞くけれど、今まで使ったことがない。本当に市場に出回っているの?
ネットではScreenOSがなくなってJUNOSに統合されるという記事もみるのだけれど…

638 :anone-tyan :2009/10/27(火) 03:12:45 ID:???
普通に存在してるよ

ScreenOSは先が短いだろうし、これからならJUNOSなのでは?


639 :あのに :2009/10/27(火) 08:03:46 ID:???
SSGの後継としてJUNOSベースのSRXが出たからね。
ScreenOSを使う機械はフェードアウトしてくでしょ。

JUNOS自体はキャリアルータ用OSとして鉄板。

640 :anonymous@pw126251083129.11.tss.panda-world.ne.jp :2009/10/27(火) 12:00:44 ID:???
JUNOSってシングルバイナリで機種毎に機能さ無いんだよね?
このSRX100-SLっていういっちゃん安いの買えば
OSPFとかBGPとかMPLSとIPv6とかBFDとかバーチャルルーターとか
NetscreenなSPIとかDeepInpectionとか全部使えるの?


641 :660 :2009/10/27(火) 20:27:50 ID:???
自己レス。
公式のデータシートに機能マトリックスあった。
BGPのRRは上位モデルだけサポートだけど、
それ以外には制限らしい制限は無いね。
早速SRX100ポチってみた。

年内は認定資格のキャンペーンやってるし、
これを機会に受けてみようと思う。

642 :anonym :2009/10/28(水) 00:42:13 ID:???
成る程、SSG迄はScreenOSだったんだ。
試験が100%割引で受けられるキャンペーン面白そうだけど、JUNOS使ったことないうえに
教材が9割がた英語というのもきつい。CCNAは持ってるから、その知識の延長で
なんとかなるかな。

643 :anonymous@vpn3.alwaysvpn.net :2009/10/28(水) 16:22:48 ID:GAK3N1o7 (1 回発言)
【画像あり】「同級生の女の子に頼んでみた」中学生ハメ撮りAVが流出 ★14
http://yutori7.2ch.net/test/read.cgi/news4vip/1256707678/



431640624999999

644 :anon :2009/11/09(月) 00:08:35 ID:???
SSG5(6.1.0r4.0)+Bフレ(動的IP)+DynamicDNSでサーバ公開をしています。

たまにBフレが切れて再接続した際に、インターフェイスのIPが変わってしまいます。
動的IPなため仕方ないのですが、インターフェイスに記述していたVIPの定義も消えてしまいます。
おそらくIPに紐づいていたからだとは思うんですが。

動的IPでVIPを使う方法はあるのでしょうか?
契約的に固定IPは取れません。。。

645 :644 :2009/11/09(月) 00:40:09 ID:???
勘違いでした。申し訳ない。

646 :anonymous :2009/11/09(月) 05:04:38 ID:???
http://page12.auctions.yahoo.co.jp/jp/auction/p164780363
http://page6.auctions.yahoo.co.jp/jp/auction/f85868281

3,000円で落札したものを20,000円で出品ってw


647 :anonymous :2009/11/09(月) 10:40:29 ID:???
>>645
どう感違いだったんだ?

648 :anonymous@p93bdd6.chibnt01.ap.so-net.ne.jp :2009/11/15(日) 16:45:35 ID:Rx2ycWaY (2 回発言)
すごい恥ずかしい質問を申し訳ありません。
確認なのですが、SSG5 (ScreenOS 6.1)と、Netscreen 5GT (Screen OS VPN 5.4.0r10.0)って、
接続可能なのでしょうか?

必要としている機能は、単純なFile copy程度です。

649 :anonymous :2009/11/15(日) 20:52:16 ID:???
接続可能ってEtherで?
IP-VPN?
どっちでも難なく出来るけど。


650 :anonymous@p93bdd6.chibnt01.ap.so-net.ne.jp :2009/11/15(日) 21:36:26 ID:Rx2ycWaY (2 回発言)
>>649
IP-VPNでの接続のことでした。
ありがとうございます!

651 :anonymous :2009/11/15(日) 21:56:40 ID:???
難なく出来るよ。
IP-VPNの場合、相互に接続設定さえ揃えれば異なるベンダでも
接続は可能。まあベンダとかに頼むとイヤがるけどな。


652 :anonymous@softbank060080086003.bbtec.net :2009/11/15(日) 23:12:56 ID:???
ソースベースルーティングのメリットってのがどうもピンと来ないんですが、
どういったケースで重宝するんでしょうか?
ジュニパーくらいしか推奨して無いような感じもしますが・・・

653 :anonymous :2009/11/16(月) 00:24:01 ID:???
ソース毎に経路を使い分けたい場合、有効なんぢゃね?
たまーに使うけど。
言うほど出番はないかな。


654 :anonymous :2009/11/20(金) 03:46:58 ID:???
>>651
接続するだけなら問題ないが、セッションタイムアウト後のrekey処理がうまく回らず、その他諸々で
再接続ができなくなるとかの豪快な相性問題に遭遇することも希にあるからね。
そうなったら解析が大変で、「なぜつながらなくなったか説明しろ」といわれたくないから、正直避けたいw

まあSSG/NetScreenのIPsecでは、そこまで酷い相性にあったことはないけど‥

655 :anonymous :2009/11/21(土) 00:22:51 ID:???
641じゃないが、SRXかってみた。出荷はさっそくJUNOS10.0になってるね。
起動に10分かかるとかいてあるな。。。

656 :anonymous :2009/11/21(土) 00:59:46 ID:???
SRX100、そんなに起動遅いの?


657 :anonymous@softbank060080086003.bbtec.net :2009/11/21(土) 18:06:33 ID:???
>>655
GoogleのOS見習えって感じだなw

658 :anonymous@softbank060080086003.bbtec.net :2009/11/21(土) 18:08:23 ID:???
途中で投稿してもーた

>>653
ありが㌧。やっぱソース毎に振り分けるなんてあんまないですよねー。

659 :>>656 :2009/11/21(土) 22:08:23 ID:???
SRX-100Bでしょ
つか興味はあるのでレポよろ

660 :anonymous :2009/11/21(土) 22:46:39 ID:JckFK84p (1 回発言)
JunOSがFreeBSDの改造版だから起動が遅いのはあたりまえじゃん

と思っていたがこれを観ると起動に10分かかるのは異常ですねー
http://www.youtube.com/watch?v=_9wmJkjDBqs

でも実体験から言わせてもらうと やっぱりJunOSって起動が遅いよね

661 :anonymous@166.221.192.61.tokyo.global.alpha-net.ne.jp :2009/11/23(月) 17:37:32 ID:???
3,4ヶ月前にSSG5個人で買ってしまった。
SRXに置き換わるというのに、無駄な投資しちまったな・・・

662 :anonymous :2009/11/24(火) 00:17:31 ID:???
>>661
3,4年はもつでしょwww

Junosがわかる技術者がそんなにいるとは思えないし
Netscreenの概念がわからない人にはSRXなぞ設定でないwww

はやくこの世からScreenOS抹消してくれ

663 :anonymous :2009/11/24(火) 03:32:20 ID:???
JUNOSの資格認定キャンペーンは流行っているのだろうか
>641は合格したのかねぇ

664 :ホゲ :2009/11/24(火) 14:12:42 ID:???
Netscreenが起動に10分もかかるGUIも無いOS積んだデバイスに
全て置き換えられるとは思えないけどなあ

665 :ano :2009/11/24(火) 20:38:14 ID:???
本当に10分もかかるのか?
開発がマトモなら誰でも問題だと気づくはずだが・・・


つかJunOSってGUI無いのか。
Juniper製品はNetScreenとSSGしか触ってなかったが、こりゃScreenOSの寿命も
少し伸びそうだな。

666 :655 :2009/11/25(水) 00:24:40 ID:???
SRX挙動ですが、ログインプロンプトまでに4分、JWEB等完全起動に6分、
合計で10分です。今後徐々に改善予定らしい。
JUNOS9.6はそんな有り様で、JUNOS10.0で若干改善したらしい。。。が?
realtime-kernelらしいですが、ログインプロンプト前にルーティング
エンジンが実質動いているかまではしらべてません。

なおWeb(GUI)設定画面は工場出荷オンされています。ScrennOSとくらべると
自分は取っ付きにくくて、CLI併用がいいかと思いますが。

667 :anonysan tyotto yottekanai :2009/11/25(水) 02:21:20 ID:???
一応GUIあるにはあるのか
殆どの設定がGUI上から可能なのならば、余程使いづらいGUIで無い限りは
慣れの問題な気もするけど


668 :anonymous@6.145.197.113.dy.bbexcite.jp :2009/11/28(土) 20:33:46 ID:???
SSG5つかっててNetScreenRemoteで外部から
ファイルサーバ上のExcelのファイルとか開いてしばらくすると
保存ができなくなる(セッションがきれてる?)
どんなところを見直せばよいんだろうか?



669 :anonymous :2009/11/29(日) 02:24:27 ID:???
>>666
ログインプロンプトまで4分なら許容範囲内だな
漏れもポチるとするか
情報ありが㌧

670 :anonymous :2009/11/29(日) 02:34:41 ID:???
>>667
高速化したといわれる10.0での動作デモを見たことがあるが、一つの変更操作に
5秒以上待たされる感じだった。ありゃストレス溜まるんじゃないかね。

次期バージョンではさらなる高速化を図る予定らしいが‥

671 :anonemosimosi :2009/11/29(日) 06:30:03 ID:???
JUNOSってそんなにしおしおなのかよ

結構洗練されてるのかと思ったぜ

672 :anonemuchittekowai :2009/11/29(日) 12:18:32 ID:???
JunOSは"commit"ベースのコンフィグでしょ
1ヵ所変更も100ヵ所同時変更も5秒かかるでしょ

まさかJWEB?
CiscoでSDM使うようなヘタレlkjgfダイセfダsファf...ガフゴフッ

673 :anonymous :2009/11/30(月) 00:38:49 ID:???
質問なのですが、netscreen 5gtをntpサーバーにすることは可能でしょうか?
network->interfaces->trustでntp serverというチェックがあるので入れてみたのですが、動作している感じがないので…


674 :anonymous :2009/12/02(水) 14:04:28 ID:???
5XTを2台ヤフオクで仕入れて拠点間VPNをはれないか画策中です。VPN構築ははじめてです。

問題は2拠点とも動的IPな事です。
ネットを検索すると、最低でもどちらかは固定IP必須、みたいな書き方をされてますが、DDNSではダメなんでしょうか。
手元の5GTのWeb画面を見ると VPNs > AutoKey IKE > New の Remote GatewayのStatic IPの横の
アドレスいれるボックスに Address/Hostnameと書いてるのでいけそうな気がするのですが…。

DDNSのIPの更新自体は他のマシンから行います。

675 :anonymous :2009/12/02(水) 15:10:29 ID:???
出来ない

676 :anonymous :2009/12/02(水) 21:02:26 ID:???
・・・・・・・・・・・。

677 :anonymous :2009/12/02(水) 21:07:24 ID:???
・・・・・・・・・・・!!!!!!!!!!!!!!!!!!!!!

678 :ping :2009/12/02(水) 22:57:39 ID:???
ping通ったのねオメ

679 :5gt :2009/12/14(月) 20:49:13 ID:???
>>673
5.4系、6.2系ではNTP使えているが...
Date/Timeには上位ntpを見に行く設定になってるよね?

680 :5gt :2009/12/15(火) 02:22:31 ID:???
訂正。NTP serverは、5GTの6.2.0(r1.0~r4.0)のみっぽい。
ttp://www.hitachi-system.co.jp/juniper/faq/ssg_netscreen.html#05_21

ns5gt.6.2は住商など幾つかの代理店サポートは配布中のようだが、、、


681 :. :2009/12/15(火) 21:02:26 ID:???
10月にSRX100発注したんだが
11月納品予定だったのが本日時点で未納
つかUS発送すら済んでないらしい
みんな同じ?
Juniperの出荷自体が遅れてるのか販売代理店が糞なのか



682 :anoneoniityan :2009/12/15(火) 22:33:43 ID:???
つうかどこにorder出したのか書かないと、さっぱりわからねーんじゃねーかと


683 :sage :2009/12/16(水) 00:10:17 ID:???
Juniper J-NET community にもSRX100の話題は無さそうですね。
諸事情でJUNOS 10.0R2.xx待ちとか、、、だったりしてな。
発注店経由で代理店に納期目処聞いてみた?

684 :ano :2009/12/16(水) 03:57:29 ID:???
SRX100じゃなくて210だが、shippingが2,3ヶ月おきなので、
タイミングによっては納期3ヶ月かかるといわれた。
実際は1.5ヶ月で入ってきた。

685 :あのに :2009/12/17(木) 08:51:36 ID:SfHisxcI (1 回発言)
Netscreenも引き続き開発中 とわざわざ公表しないといけないのかねぇ

686 :あはは :2009/12/18(金) 01:20:45 ID:???
Windows7対応したNetScreenRemoteはまだか!

687 :ほげ :2009/12/18(金) 07:55:49 ID:???
NetScreenRemoteは販売終了でしょ。
開発元の最新版もVistaSP1対応までで終わってるし。

688 :anonymous :2009/12/18(金) 10:13:39 ID:???
今年末で販売終了の製品で新OS対応なんてされる訳ないじゃんかww
良くてパッチ提供程度だろう。

ま、7はVistaSP3みたいなもんで、Vista向けパッケージの大半が適用出来るから、
自己責任でやれば入るんじゃない?
同じJuniperのOdysseyはVista対応版が7で動くし。サポート外だが。

689 :sage :2009/12/19(土) 00:02:04 ID:???
SRXはバグ多いっぽい
ttp://forums.juniper.net/t5/SRX-Services-Gateway/SSG-vs-SRX/td-p/31111

690 :anonymous@FL1-122-135-185-185.tky.mesh.ad.jp :2009/12/19(土) 10:06:35 ID:???
>>689
バグが多いなんて何処に書いてあるんだ?
Web-GUIの作り込みが総じて甘いというのと、
ブート時間が長いとは言ってるが。

691 :681 :2009/12/26(土) 01:40:14 ID:???
今日やっとSRX100B届いた
OSも11月の頭に出た10.0R1.8でR2も載ってない
販売代理店は住商だったから
企業向けの案件に優先的に回された臭いな

これ使って勉強するつもりだった
受験料無料の資格受験も間に合わねーしSHIT
とりあえず10.0R2にアップデートだけして
年明けからいろいろ弄って勉強してみるわ

692 :だがしかし :2009/12/26(土) 11:25:58 ID:???
そんなにありがたがられる資格でないので気にしない気にしない

693 :anonymous :2009/12/26(土) 17:00:15 ID:???
これから受験するのに定額給付金キャンペーンが終わってしまった…(´・ω・`)

694 :anonymous :2009/12/27(日) 15:34:18 ID:???
滑り込みで取れた

だが、定額給付金には間に合わなかった!


695 :anonymous :2009/12/29(火) 22:08:23 ID:???
NS5GTちょっと教えて下さい。

PPPoEでグローバルアドレスをもらってるIFが有るんだけど、例えば
そのグローバルアドレスの80番にアクセスがあったら、内側にいる
サーバ(192.168.1.100)の80番に転送したい。VIPを使えば出来る
んだけど、もう一個用件があってサーバ側ではNS5GTのLANIF
(192.168.1.1)からの接続になるようにしたいんですがそんなこと
は可能でしょうか?

要はデフォルトルートと違う方向にパケットを返したいんだけど、
グローバルからの接続となるとデフォルトルートの方にパケット
が行っちゃうので困るのです。同じセグメントからの接続となると
そのIP(ここではNS5GTのLANIF)にパケットを返してくれるので、
NS5GTが内部でうまく処理してくれたら…と考えているのです。

696 :anonymous :2009/12/29(火) 22:46:21 ID:???
DIP機能使ってみては?
インターフェースの編集画面(上側)にあるよ
DIP作ったらポリシーで適用ね

697 :anonymous :2009/12/29(火) 23:21:56 ID:???
>>696
試してみたんですが、Incoming DIPはH323やSIP、VOIPでしか使えないと
エラーが出てしまいますorz

698 :anonymous :2009/12/29(火) 23:42:37 ID:???
ちょっと勘違いした
要はその通信だけNS5GTでNATしてあげればいいのよね
ポリシーのNAT機能だけで対応できないかなぁ
ScreenOSのバージョンによるのかな?
バージョンいくつですか

699 :anonymous :2009/12/29(火) 23:48:46 ID:???
SSG5で確認したのでもしかしたらバージョンによってはないのかもしれないけど
Untrust->Global PolicyのAdvancedのNAT > Source Translationで
(DIP on) None Use Egress Interface IPを選択ね

700 :anonymous :2009/12/30(水) 00:05:39 ID:???
>>699
本当にありがとうございました(T-T)
仰る通りの方法で無事、接続することが出来ました。
無事、年が越せそうです。


701 :anonymous :2009/12/30(水) 00:08:51 ID:???
ちなみに NS5GT 5.2.0r3.0 でした。
ポリシーでアクションのところが青くなりました。


702 :anonymous :2010/01/11(月) 03:50:40 ID:???
NS50が40kで売ってたな、買うか相当迷ったぜ・・・

ところで透過モード*HAのあまりやりたくない構成で組むんだけど、
検証で注意すべき点てとこだろ。

703 :anonymous :2010/01/11(月) 12:34:26 ID:???
>>702
作文能力を見直してから出直してくださいw

あと、NS50なんてオクで仕入れた方が安いですよ


704 :anonymous :2010/01/12(火) 16:06:02 ID:???
NS50のサポート期間ってまだ続いてるんだっけ?もう終わってる?

705 :anonymous :2010/01/12(火) 21:58:07 ID:???
>>703
誤字程度にいちいち反応するなよ、ちょん。

>>704
5年だから、末期に買ってるならまだ残ってると思われ。
OS4系なら終わってるはずだけど

706 :anonymous :2010/01/12(火) 22:17:01 ID:76MJpuHu (1 回発言)
誤字を指摘されてチョン扱いwww

707 :すえひろ :2010/01/13(水) 17:56:42 ID:7fYZAcJe (1 回発言)
教えてください。NETSCREEN OS5ではLAN側からPPTPのパススルー可能でしょうか?
設定があれば教えてください。宜しくお願いします。

708 :anonymous :2010/01/15(金) 00:47:55 ID:???
今日、客先で後輩の尻ぬぐい(フォロー)で、SRXをさわってみた。
送られてきた物は、9.5でたしかにブートプロンプトまでは、7分の罠(藁
あまりに醜いので代理店に、最新OS提供してもらい。
たしか、10.0?をインストール。
ブートプロンプトまでは、3分少々・・・リリースから半年って聞いてるけど、
あと半年ったら1分半いける?(藁
OSインストールはCLIでやったけど、他はGUIで設定。
設定自体は、FWの設定ぐらいだったけどSSGとあんまり変わんなくて拍子ぬけ。
こんなもんですか?

709 :anonymous :2010/01/15(金) 08:47:21 ID:???
>>708
JUNOS触ったことないけど、MIPとかVIPの設定面倒だった?
本拠点+6拠点でNS50@3台、NS5GT@4台で使ってて先月本拠16IPをSSG320Mに換えたんだが
SRX240(レール込)のほうが2万くらい安いし性能も上っぽいから迷ったが
設定あまり変わらないならSRXにしとけばよかったな、320Mは重さのわりにマウンタが4点ネジ金具だけで笑た
320M用のJUNOSってどこで手に入れるんだろうな…日立のページにはScreenOSしかない

710 :anonymous :2010/01/15(金) 22:35:08 ID:???
SSGはScreenOS専用では?


711 :NS-50 :2010/01/15(金) 23:10:33 ID:???
SSG 320M/350M = J2320/J2350
SSG 520M/550M = J4350/J6350
ttp://www.juniper.net/jp/jp/products-services/security/ssg-series/ssg320m/
JUNOSへの転換 ○

らしいよ
NSしか持ってないからやったことないけど

712 :anonymous :2010/01/15(金) 23:19:08 ID:???
>>709
今回、NATで使ったのはDIP(SRXではSrc NATらしい)だけなので、VIP、MIPの設定は見てないな。
DIPの設定は、難しくなかった。 逆にScreenOS以外で使えるNATのイメージに近い感じ。
VIPはDst NAT、MIPはStatic NATに呼び名がSRXでは変わっているぐらいでそんなに抵抗ないかと。個人的には。
通常?右タブでドリルダウンしていくコンフィグの他に、CLIライクに直接編集できるのとか、
設定ディレクトリがツリー上になり設定できるのもあったよ。
GUIの設定の方法としては、3パターンって感じ?
あと変ってるなーって思ったのは、JUNOSのCLIでは当たり前なのだけど、GUIにもCommitシステムが導入されてたよ。
設定変更するとウィンドウの上の方でチカチカひかって笑えた
GUIなのに設定コンフィグとActiveコンフィグの差分とかみれて、オペチョンが減りそうだと思った(藁


713 :anonymous@i121-118-137-88.s10.a018.ap.plala.or.jp :2010/01/16(土) 09:41:17 ID:sudL1Z/C (1 回発言)
教えてください。

netscreen remoteでVPN接続した場合、内部から外部のPCを
VNCなどでリモート接続できるのでしょうか?
外部から内部はできると思うのですが、逆の場合はどうでしょうか?

714 :anonymous@221x240x83x198.ap221.ftth.ucom.ne.jp :2010/01/17(日) 17:22:58 ID:???
>>713

VPN接続できてればOK

715 :anonymous :2010/01/22(金) 08:53:31 ID:???
>>712
なるほど、差分見れるのはいいね~
過去レス見たら起動遅いって書いてるね・・ あとどうでもいいけど公式の写真は筺体前面黒いのに
実際は青いままだ!

716 :anonymous :2010/01/23(土) 01:35:57 ID:???
>>715
黒い理由は、よくわからないけど、なんか昨年末にかけてロゴがかわったよね?たしか・・・
それをぼかそうっていう理由もあるんじゃないかな? データーシートの写真は。

青箱が黒くなったら、Bro○○Dと区別かつかなくなっちゃうね(笑

SRXの650で今のフルルート(約30万ルート)食えるって聞いたんだけど、本当ですか?

717 :anonymous :2010/01/24(日) 07:53:14 ID:???
ファイアウォールにはダイナミックルーティングなんてさせたくないよー
問題が起こったときの切り分けとかどうするんだ?
あくまでファイアウォールはスタティックルートで上のルータでダイナミックルーティングさせたいわ

718 :anonymous :2010/01/24(日) 12:56:42 ID:???
NetScreen5XTを中古で買いました。
ファームが4.0なのでせめて5系にあげたいんですが、どっかに転がってませんかね?
保守契約とかしてないと入手できないんでしょうか…。

719 :anonymous :2010/01/24(日) 13:15:18 ID:???
ソフトはだれかボランティアで書いているとでも?

720 :anonymous :2010/01/24(日) 13:19:49 ID:???
>>719
アライドやヤマハなら普通に公式サイトから落とせるもんで…

とりあえずもう一台5XTをもっててそっちがファーム5.3だったので
ここを参考にファーム引っこ抜いてアップデートできました。
http://iga2.net/worklog/2009/12/netscreen-ferm.html

ライセンス的にはアウトなんですかねー。
まぁ個人的にローカルで実験するだけの環境なんで…。

721 :anonymous :2010/01/24(日) 17:16:59 ID:???
NetScreen5XTを2台使い、VPNの実験をしています。しかし通信ができなくて困っています。

物理接続は以下のような感じです。
PC1------ NS1----------------NS2------PC2
    trust untrust     untrust trust

各種設定等は以下のような感じです。
PC1 : 192.168.1.200/24
NS1 trust : 192.168.1.1/24
NS1 untrust : 200.1.1.1/24
NS1 tunnel.1 : 10.10.1.1/30
NS1 routing : 192.168.2.0/24 -> tunnel.1

PC2 : 192.168.2.200/24
NS1 trust : 192.168.2.1/24
NS1 untrust : 200.1.1.2/24
NS1 tunnel.1 : 10.10.1.2/30
NS1 routing : 192.168.1.0/24 -> tunnel.1

設定は以下サイトを参考にそのまま行ったつもりです
http://www.viva-netscreen.net/archives/cat_50017502.html

状態としては、NS1、NS2ともVPNs>Monitor StatusはSA Status:Activeになっているので、VPN自体は繋がっていると思います。

しかしpingを打ってみると以下のような感じになり、VPN先のルーターまでは繋がるのですがその先に行けません。(逆方向も同じ)
PC1 -> NS2 OK
PC1 -> PC2 NG
NS2 -> PC2 OK

何か設定がたりないのだと思いますが、ご助言頂けないでしょうか。
その他必要な情報がありましたら言って頂けると助かります。
宜しくお願いいたします。

722 :anonymous :2010/01/24(日) 19:10:42 ID:???
>>720
問題ないんじゃないかな
保守契約結んでるお客さんに渡るファイルは
全部同じバイナリなわけだし

>>721
PCにデフォゲが設定されてないとかって寒いオチはないですよね?
トンネルインターフェースはTrustゾーンが割当たっているんですか?
NS2上で見たとき、Trust→Trustの通信ですか?
Trustの同一ゾーン通信ならデフォルトで通るけど、違うならポリシー確認を。

念のための確認
IP表のPC2以下はNS2の間違いですよね?
PC1→NS2はNS2のどこ宛?Trust(192.168.2.1)でいいの?
みんなエスパーじゃないから質問するときは鬱陶しいぐらい余分に情報書いてくれた方が
答える方としては嬉しいです

723 :anonymous :2010/01/24(日) 19:27:28 ID:???
NS1、NS2のそれぞれのデフォルトルートが問題ジャマイカ?

724 :721 :2010/01/25(月) 00:46:55 ID:???
>>721 です。
解決しました。が、原因はWindows7の微妙に高度なFWという情けない原因でした。
大変お騒がせ致しました…。
どうも7のFWは同セグメントのpingは通しても異なるセグメントのpingは止めるようでして…。
なんにせよお答えいただいた皆さま、ありがとうございました。

725 :anonymous :2010/01/26(火) 00:07:11 ID:???
>>717
確かに、ルーティングは、ルーター。ポリシーはFWで箱を分けたいよね。
お守する側としては、その方が楽だし。
でも最近は、客の財布事情が厳しいから、たとえば、3階層あるネットワークを、2階層で、さらによくなりますよ。とか、いうように、集約、集約がはやりな風潮があるわけで。
そんな流れを受けて、頭のボーダールータ(ゲートウェイルータ)とコアに微妙にポリシーングしてるFWを一緒にできないの?
とかっていう話もちらほらあるわけで。
VMが売れてる背景も、若干用途は違えど、集約の方向を見せないとなかなか客には受けが良くない今日この頃。


726 :anonymous :2010/01/26(火) 00:15:25 ID:???
時代は仮想化だw
箱を分けてしか扱えないベンダは死ねばいいww


727 :anonymous@ntt5-ppp404.tokyo.sannet.ne.jp :2010/01/26(火) 10:45:12 ID:???
つまりLinuxルーターが最強という事ですね

728 :anonymous :2010/01/28(木) 02:05:17 ID:wPMJrj1q (1 回発言)
>>727
SRXが最強の間違い

729 :anonymous :2010/01/28(木) 19:51:30 ID:???
SRXはfreeBSDだしな


730 :FreeBSD :2010/01/29(金) 02:54:05 ID:???
いくらベースが一緒だからって一緒にしないでくれる?プンスカ


731 :anonymous :2010/01/29(金) 04:05:46 ID:???
ソフトウェアルーターなんてパフォーマンスでないから、
ギガビット以上のルータは全部ASIC積んでハードウェアでやってるじゃん

732 :anonymous@p2-user: 700529 p2-client-ip: 126.249.20.199 :2010/01/30(土) 08:45:18 ID:???
exやsrxもasic積んでるの?

733 :anonymous :2010/01/30(土) 22:36:36 ID:???
SRXにPPPoEの終端処理をやらせようとしたら、pp0.0がずっとdownのままで接続できない……
もういちどjuniperのRouting Configuration Guideを読み直さないと。

734 :anonymous@k184164.ppp.asahi-net.or.jp :2010/01/30(土) 22:53:04 ID:???
SRXのPPPoEはバグあるよ。
ファームウェアを10.0r2.10にしないとpp0.0でのNATもできないし。
んでkbの対策関連articleはログインしないと見られなくなってる。
Accounting Profileを使用しない方法でCLIで設定するべし。

735 :anonymous :2010/01/31(日) 00:30:16 ID:???
>>732
SRXはどうか知らないけど、EXはスイッチなんだからASIC積んでるでしょ。

736 :junonymous :2010/01/31(日) 01:10:19 ID:???
EXといえば、3750-StackWiseの代わりになるかと思って
見積もり取ってみたら糞高杉ワロタ

もはやスレ違いスマン

737 :anonymous :2010/01/31(日) 01:31:39 ID:???
PFEにASIC使ってるな→EXシリーズ
SRXは100,210,240は無いんじゃないの

EXはPowerPCでブランチSRXはMIPSデュアルコアだっけ?
嘘ではないにしろシングルトレインって何の話だと
思わなくもない…

738 :anonymous :2010/01/31(日) 12:35:15 ID:???
>>734
おお、サンクス。 うちのは見事に"10.0R1.8"。
保守のソフバンのページにはJunosのアップデートが無いので、JuniperのUserAccountを取ってイメージを取得してみるわ。

739 :anonymous :2010/01/31(日) 12:49:35 ID:???
>>738
kbの記事はKB10565。がんばってね


740 :anonymous :2010/02/15(月) 07:50:49 ID:???
>>737
つべに何故かこんなのがあったり
ttp://www.youtube.com/watch?v=7rFbH5X-NYA

他にも素人が作ったとは思えないdisってるビデオあり
ttp://www.youtube.com/watch?v=c5MknPvVjUc
こちらは以前みかけたときは"Lawful intercept"なんて言葉つかってるから
作ったのはCiscoじゃねーか?みたいなコメントがあった憶えがあるんだけど
現在は消えている

741 :anonymous :2010/02/15(月) 09:19:10 ID:???
コメントがあるのはこっちだった(映像は同一)
ttp://www.youtube.com/watch?v=WTQzR3mtZ80

742 :anonymous@l241243.dynamic.ppp.asahi-net.or.jp :2010/02/26(金) 23:34:35 ID:927pQPzy (1 回発言)
NS5GTの後継製品はないのでしょうか?
そろそろ入れ替えたいのですが、ネットワーク構築時のメンバーが
誰も残っていないため、VPN等のコンフィグがそのまま使える機種が
あれば助かるのですが・・・

743 :anonymous :2010/02/26(金) 23:48:07 ID:???
>>742
Jの営業来たとき聞いてみたらSRX100に移行してください、って。
configはSIに金払って移してもらうしかないだろうな。

744 :anonymous :2010/02/27(土) 00:12:53 ID:???
SRXは、GUIで設定できないの?


745 :anonymous :2010/02/27(土) 00:27:04 ID:???
GUIあるけど、ScreenOSと微妙に違う。

746 :anonymous :2010/02/27(土) 02:03:15 ID:???
SSG-5 に 5.4.0 じゃだめ? インターフェース周りのコンフィグはやり直しだが

747 :742 :2010/02/27(土) 13:25:45 ID:???
レスをくれた皆さん、どうもありがとう。
いずれにせよ、移行作業と検証は必要だと思いますので
この機会に、ヤマハかアライドにしようということになりそうです。
VPNの各拠点分買わないといけないのでそれなりの出費に
なりますが、長期的にみたらそのほうが得策だという判断です。


748 :anonymous@om126243134236.openmobile.ne.jp :2010/02/27(土) 14:56:23 ID:???
>>747

Si-Rも使いやすくてオススメ
アライドと違ってちゃんと日本語のWeb管理画面使えるし

749 :junonymous :2010/02/27(土) 18:27:16 ID:hNRw3y+o (1 回発言)
>>747
こんなものもあるんだけどね

ScreenOS to JUNOS Software with Enhanced Services Migration Tool (S2JES)
ttps://i2j.juniper.net/s2jes/index.jsp

750 :anonymous :2010/03/03(水) 12:56:51 ID:???
>>749
ほへー面白いツールがあるな。
Change LogもKnown Issuesも空だから出来立てほやほやか。
でもこれ代理店ログイン必須だからEnd Userでは使えないな。

751 :anonymous :2010/03/07(日) 06:36:58 ID:???
すみませんSSG5について教えてください。

フレッツ光の固定グローバルIP8個のプランで
SSG5をルータなしでメディコンにつなぎ、
MIPでサーバ2台を公開しようと考えていたのですが、
調べたところ、SSGはUnnumberdに非対応だと分かりました。

固定IPが1個の時は、SSGにPPPoEの設定をして
IPを取得すれば良かったはずなんですが、
IP8個の場合は、残りのIPの取得はどうすれば良いのでしょうか?

1.SSGとメディコンの間にルータを入れないとIPの取得が無理
2.PPPoEの設定をすれば残りのIPの取得もOKでMIP可能。
3.上記以外で、無理やり設定出来る。

答えは1~3のどれになるのでしょうか?
「分からないなら使うな」が正解かも知れませんが。。。

どうぞ宜しくお願いします。




752 :anonymous :2010/03/07(日) 19:22:53 ID:???
>>751

’2’の方法があるみたい。
ttp://www.hitachi-system.co.jp/juniper/faq/ssg_netscreen.html#01_3

海外UTMはどこもこんな感じでしょう。
まぁ、Unnumberd に正式対応してるのなんて国産ルータくらいだろうけど。
出来ることなら’1’でやるのをお勧めするよ。

753 :anonymous :2010/03/07(日) 19:51:36 ID:???
PPPoEって使ってるの日本がほとんどらしいしな。

754 :anonymous :2010/03/07(日) 20:21:23 ID:???
>>752
ありがとうございます。助かりました。

やっぱりIPが取得できているのかどうかでトラブルのを防ぐためには
間にルータかましたほうが安全ですよね。

問題はどのルータを使うか・・・
せっかくSSG入れるのに安っいルータをはさむというのも何だなぁ~。


>>753
PPPoEを使っているのが日本くらいだっていう意味が
やっと理解できました。
外国産は全然Unnumberdに対応してないよ・・・。

755 :anonymous :2010/03/07(日) 20:37:51 ID:???
>>754
PPPoEって事実上日本ローカルの規格だから、不具合見つかっても
すぐには直してくれないってJの中の人が言ってた@去年のInterop

756 :anonymous :2010/03/07(日) 21:26:08 ID:???
>>755
ありがとうございます。
勉強になりました。

日本のローカル規格って、どうしてこんなに多いんでしょう?
フレッツ光を使う限り、PPPoE以外選択できないじゃないか~。


757 :anonymous :2010/03/07(日) 23:24:55 ID:???
>>756
NTTがメシを食べて行くためじゃないですかね?


758 :_ :2010/03/08(月) 00:06:55 ID:???
ほかの国じゃ回線事業者とプロバイダが別ってことがほとんどないのかね

759 :anonymous@89.111.30.125.dy.iij4u.or.jp :2010/03/08(月) 23:41:40 ID:???
SRX IPv6非対応って本当?

760 :anonymous :2010/03/09(火) 00:17:46 ID:???
>>759
本当
アップデートで対応予定だってさ

761 :759 :2010/03/09(火) 00:39:18 ID:???
>>760
Thx

762 :anonymous :2010/03/09(火) 01:01:49 ID:???
シングルトレインw

763 :??? :2010/03/09(火) 08:29:10 ID:/m/9FU7M (1 回発言)
>>751
厳密にはunnumbered対応でないけどOK。
http://www.hitachi-system.co.jp/juniper/faq/netscreen.html#01_5


764 :anonymous :2010/03/09(火) 08:44:56 ID:???
>>759
ファイアウォールとしてはACLぐらいしかできなくなっちゃうけど、普通にうごかすっだけだったら可能。
set security forwarding-option faminly inet6 mode packet-based

あと、selective stateless packat-based service というのもある。いろいろ制限事項あるので要注意だけど、IPv6一応動作可能。

http://www.jnpr.net/techpubs/software/junos-security/junos-security96/junos-security-admin-guide/config-selective-stateless-chap.html




765 :anonymous :2010/03/15(月) 04:11:33 ID:???
>>751
ttp://www.viva-netscreen.net/archives/50166335.html
これじゃだめなん

766 :anonymous@p20002-ipngn100102osakakita.osaka.ocn.ne.jp :2010/03/17(水) 07:27:14 ID:???
*** NetScreenに関係ない書込みなので削除 ***

http://www.youtube.com/watch?v=V_QTNhSA-PY&feature=player_embedded

主権回復を目指す会
http://www.shukenkaifuku.com/

767 :あのに :2010/03/25(木) 10:13:12 ID:???
ScreenOS6.2ってどうよ?
一度使ったらリブート多発でイマイチの印象。
どこのベンダも6.1r7推奨ばっかし。

768 :pugya- :2010/03/25(木) 20:10:22 ID:???
最新が最高とは言わんけど、現状ScreenOSは最新で問題ない
設定か環境が腐ってるとかさw

サポート受けられるなら自分で安定するVer探して使えばいいのでは?




769 :anonymous :2010/04/01(木) 07:30:31 ID:???
むしろサポート受けられる環境なら、ベンダに問い合わせて推奨Verそのまま使ってればいいだろ
自分で検証する必要なし

新Verは、最低でもr5までは待つべし

770 :あのに :2010/04/01(木) 10:07:59 ID:???
>>769
ミーハーなもんでw

771 :sage :2010/04/10(土) 15:34:49 ID:z0YhBx1O (1 回発言)
SSGでUnnumberdの回線を使うときMIPは出来るみたいだけど、
SrcNatって出来ないのでしょうか?
困った・・・。

772 :あのね :2010/04/12(月) 08:32:31 ID:???
SRXってOliveで動くだろうか。
SSGが販売停止になる前に触っておきたいんだが。

773 :anonymous :2010/04/16(金) 01:14:59 ID:???
>>772
石がMIPSデュアルコアの謎のアーキテクチャなんで無理

774 :ano :2010/04/19(月) 02:03:54 ID:???
J-NETに日本語フォーラムが出来てるな。
ttp://forums.juniper.net/

775 :あのよ :2010/05/03(月) 04:55:59 ID:???
>>772
J系oliveつーのも別にあるっぽい


776 :あのに :2010/05/03(月) 19:04:23 ID:???
最近Netscreenさわり始めたんだけど、VIPの設定ってuntrustゾーンしか作れない?
自分で作ったゾーンでVIPの設定がしたいんだけど、VIPの設定が出てこない。

777 :anonymous@k184164.ppp.asahi-net.or.jp :2010/05/03(月) 19:27:33 ID:???
ScreenOS6.0以降ならUntrust以外でも作れる。
でもまともに動くのはr3から。

778 :776 :2010/05/03(月) 21:54:51 ID:???
>>777
さんくす。

そうかー、ScreenOS6.0以降か
手元にあるのがNS25なので諦めることにする。

NS25にもScreenOS6.0以降が入るといいのにな。

779 :anonymous :2010/05/03(月) 22:24:12 ID:???
ScreenOSが落とし放題のところがあるな
色々入手できて幸せでした

780 :あのに :2010/05/04(火) 00:14:50 ID:???
>>779
Juniperのサイトリニューアル後は誰でもダウンロードできるようになったんじゃないの?

781 :anonymous :2010/05/04(火) 23:50:53 ID:???
>>780
仰る通りで。
アカウント作ったらダウンロード出来ました。

782 :anonymous :2010/05/05(水) 16:35:55 ID:???
Juniper Networksのアカウントって、ユーザが任意で削除出来ないんですかね?
サイトリニューアルのタイミングでアカウントを無効化されたみたいで、パスワードを変更してもログイン不可。
どうせ使えないならアカウントを削除しようと思ったら、そのためのメニューが見当たらない・・・
Cisco Systems、Hewlett-Packard、Sun Microsystemsとかもそうなんですけど、
どうやらメリケンはアカウントの削除というのを想定していないみたいなんですよね。

783 :anonymous :2010/05/09(日) 23:19:57 ID:???
教えてクンですみません。
FortiClientでSSGにClientVPN接続設定方法をご存知の方
教えていただけないでしょうか?

NetScreen-Remoteの代わりにFortiClientを使用してNetScreen5gtに
ダイアルアップ接続しようとしたのですが、Phase1の認証で失敗。
「because an initial Phase1 packet arrived from unrecognized peer gateway」
とのエラーログが出力されて、Rejectされてしまいます。

Cookiesの値が違っているので、設定がまずいのかもしれないのですが
設定のチェック場所をご教示いただけないでしょうか?

ScreenOS5.4.0r.15
FortiClient4.1.2

認証方法はNS、Forti共にGroup2の3des-shaを
Phase1、Phase2共に使っています。
Preshardキーも合わせたつもり。
ユーザ認証はXAuth。
IdentityってFrotiClientには設定する場所がないのですが
これが原因なのでしょうか?


784 :あのにーもうす? :2010/05/09(日) 23:47:51 ID:???
>>783
Outgoing Interfaceが間違っているのでは?

785 :anonymous :2010/05/09(日) 23:58:57 ID:???
>784
ありがとうございます。
Outgoing InterfaceはUntrustに設定してあります。
これで合っていると思うのですが。

786 :ano :2010/05/20(木) 22:31:17 ID:???
Juniperのサイト登録してみた。
さすがにシリアル登録しないとファームは落とせないのね・・・
過去のものもあって重宝したけど。検証にもってこいだ

787 :ano :2010/05/20(木) 22:36:17 ID:???
そういえばソフトバンクに問い合わせたら最新が6.2.0r4?とか回答きたな
Juniper本家には6.3台がアップされてんだが、勝手にアップデートしてサポートうけられんのかなw

788 :ななし :2010/05/21(金) 07:23:45 ID:???
地味に6.2r6とか更新されてるのね。

>>786
普通に落とせるかと。

789 :anonymous@168.114.30.125.dy.iij4u.or.jp :2010/05/21(金) 13:02:25 ID:???
一体どっちの情報が本当?
シリアル無しで新たにJuniperに登録すれば、ダウンロード出来るのでは?

代理店の方だと、検証の関係上常に最新版を落とせるわけではないので
そういう意味では本家使ったほうが幅は広がるよな



790 :ななし :2010/05/21(金) 13:43:45 ID:???
NSじゃなくてSSGとかSRXだと落とせないかもしれない。
と言うか試してないだけだけど。

791 :hoge :2010/05/21(金) 18:18:04 ID:???
本家はシリアル登録すればファームは何でもダウンロードできるようになるけど
期間限定だった。
少なくとも以前はそうだったが最近は試してないので変わったかも。

792 :anon :2010/05/24(月) 01:27:59 ID:???
Juniperの日本語サイトの案内に従って登録してみたが、
ファームはダウンロードできなかった。

Download Software の項目は全てAccess Denied。
Register New ProductすらAccess Deniedになって、どうしろっつーんだw

試しに別アカウントを登録して、その際に手持ちのSSG5のシリアル登録したら
ScreenOSは自由に落とせるようになった。



結論、シリアル登録しないとダメだと思うが。

793 :ななし :2010/05/24(月) 07:41:47 ID:???
ttp://www.juniper.net/customers/support/softserv.jsp
落とそうとしてるのはここからだよな?

794 :nanashi :2010/05/24(月) 20:05:05 ID:???
>>792
とりあえず日本語サイト行くのはやめて、英語サイトに行こうぜ

795 :anonymous :2010/05/25(火) 00:46:57 ID:???
日本語のサイトに行っても、サイトメニューのサポートから先は英語サイトじゃん

796 :anonymous :2010/05/27(木) 18:58:51 ID:???
NS5GTってひょっとしてIPv6対応してない?orz

797 :anonymous :2010/05/27(木) 19:31:32 ID:???
>>796
set envar ipv6=yes
で有効にできない?

798 :anonymous :2010/05/27(木) 19:47:37 ID:???
>>797
ありがとう。標準じゃ有効になってないんだね。
設定して再起動したら項目出てきた。

他のスレでフレッツドットネットの話題が上がっていて
俺のNS5GTでも使えるのかなぁと調べていたけど
そもそもIPv6の項目が一つも無くて凹んでたw

http://flets.com/dotnet/setup_router.html
ここに載ってないけどNS5GTでも使えるかな?

799 :anonymous :2010/05/27(木) 21:46:17 ID:???
IPv6対応をうたってるのはScreenOS6.1からじゃなかったっけ?
5GTは6.x系がポツンと出てた気がするけど、海外の某客がゴネたから出たもんだし
実質5.4まででしょ?
となると、非サポートの製品になると思うけどねー

800 :anoneanone :2010/05/31(月) 09:27:46 ID:???
>>792-793
SSG-5シリアル入れても駄目だ
ひょっとして代理店同様年間サポートライセンスの
期間が切れたら無理?

みんなの話し振りからして、シリアルさえ入れれば
対応するScreenOSのVerは無期限&自由に
落とせるように改善されたのかと思ってた

801 :ななし :2010/05/31(月) 10:43:19 ID:???
>>800
あーSSGか。netscreenのscreenOS落とせるか試してみたら?
いらんだろうけど、そっちが出来てSSGがダメなら仕様だろうね。


802 :anonymous@p9137-ipngn3201marunouchi.tokyo.ocn.ne.jp :2010/05/31(月) 18:53:18 ID:???
>>800
SRXのシリアルで登録しているけど、SSG5のScreenOS 6.3.0r3はダウンロードできたよ。
JUNOSのほうはSRXのサポート契約が有効になってからダウンロードできるようになったけど。

803 :anonymous :2010/06/25(金) 16:49:42 ID:???
これって代理店から買ってる場合でも、Juniperのサイトに登録ってできるの?

804 :anonymous@softbank126013037221.bbtec.net :2010/07/06(火) 06:17:30 ID:TpDCC7Nc (1 回発言)
ns208の os 5.0.0を使用しているのですが、
dipの拡張interface設定について教えて欲しいことがあります。

set interface ethernet1 ext ip A 255.255.255.0 dip 2 B
set interface ethernet1 ext ip A 255.255.255.0 dip 3 C
A:許可IP
B:割り当てIP
C:割り当てIP

上記のようにethernet1に拡張interfaceを設定したいのですが、
同interface、同許可IPに対し、異なる割り当てIP、異なるdip idで問題なく設定、使用できるのでしょうか。

805 :anonymous :2010/07/14(水) 15:18:10 ID:???
SSGは光ネクストでも使えるかなー、
IPVPN使ってて、フレッツVPNワイドも同時に使えるのか?
VPNワイドって別セッションになるんだっけ?

806 :anonymous :2010/07/16(金) 03:25:12 ID:???
やることは結局PPPoEだし使えるだろ。
ただ海外製品は全般的にPPPoEの実装自体がこなれてない感じがしてて
できるだけ使わないようにしてる。

807 :anonymous@pw126253078141.13.tss.panda-world.ne.jp :2010/09/07(火) 14:48:40 ID:???
SRXのこと聞いてもいい?

808 :anonymous :2010/09/07(火) 21:58:29 ID:???
どぞ

809 :ズニュパー :2010/09/07(火) 22:15:24 ID:???
現行機種のSAが欲しいなぁ~

810 :anonymous :2010/09/07(火) 23:24:39 ID:???
SRX3600あたり欲しいんだけどフォーラムではボロクソに言われていると聞いて躊躇するなぁ

811 : ◆kNek9T2YQqLu :2010/09/08(水) 08:19:08 ID:???
>>810
そもそもJUNOS自体がまだまだ枯れていない。

Fortigateがやっとまともに?動くようになった感じがする。動かすノウハウがたまってきたとも言うが。

812 :anonymous :2010/09/08(水) 12:59:08 ID:???
データセンターでのサーバー公開用のルーターとして5GT使ってます。
5GTの下に数十台程度のサーバーが繋がっています。
帯域はそれほど使わないと思いますが、セッション数の上限が4000というのがネックになりそうな事案が出ました。

ファイヤーウォールとしての機能を使おうとするとNetScreenがセッション管理しないといけなくなりそうですが、
特定のIP向けのパケットは全通過、みたいにしたらセッションを管理する必要が原理的にはできそうな気がしますが
そんな設定をしたところで無意味でしょうか。
無論NATは使っていません。

やはりちゃんとしたルーターを買ったほうがいいのでしょうかね…。
アドバイスお願いいたします。

813 :anonymous :2010/09/08(水) 13:29:42 ID:???
>>812
無意味だね。
特定のIP全通過ってのは、「全ての通信を許可する」というFirewall制御であって、
セッション管理をするという点では他のルールと何も変わらん。つかこれ常識。

5GTはSOHOや支店などの小規模拠点向けだからなー

一応、後継のSSG5なら最大セッション数が8000に増えてるから、こいつへの
リプレースを検討してみてはどうだろうか。コンフィグはほぼそのまま使える。

814 :anonymous :2010/09/08(水) 13:43:03 ID:???
ちなみにSSG5はUTM機能とISDN機能が無い128MBモデルで14万、
セッション数を8000に増やすExtendedライセンスが10万、
1年間の保守定価が3万(センドバック修理+ソフトウェアサポート)。

代理店で値引きしてもらって初年度保守込み20万ってとこかね。

815 :anonymous :2010/09/08(水) 14:26:03 ID:???
>>813
ありがとうございます。やはりそうですか。
他の手法を検討します。
SSG5もアリだとは思いますが、今後の事を考えると倍に増やしたところで…というところで詰まっております。

816 : ◆kNek9T2YQqLu :2010/09/08(水) 20:17:34 ID:???
>>815
チャレンジでSRXの最下位機種は?このスレの住人がすすめるかはわからんが。

817 :anonymous :2010/09/08(水) 21:25:27 ID:???
昨年春に発売されたSRX650以下の機種群はまだ地雷。
その上のシャーシ型はさわったこと無いからわからない。

818 :anonymous@ZU091104.ppp.dion.ne.jp :2010/09/08(水) 23:12:14 ID:???
アプライアンスじゃなくて、BSDやLinuxでPCルータ作ろうぜ。
安鯖2台で冗長化(ホットスタンバイ)、メモリ増設してもリーマンの小遣い程度の費用で収まる。
セッション数も余裕の万単位。


819 :anonymous :2010/09/08(水) 23:14:51 ID:???
>>818
2~3ポートくらいの家庭/SOHO用ならそれでもいいけど、
16ポートとか32ポートとかは普通のPCじゃできんでしょ

820 :anonymous@219.117.199.4.static.zoot.jp :2010/09/08(水) 23:31:51 ID:???
ssg5とyamahaルータとipipってはれる??
できたら少しずつSSG化できるんだけどなー。。。

821 :anonymous :2010/09/09(木) 02:18:40 ID:???
OS6.3だとGREかv6-over-v4のどっちかしか張れなさげ。どっちも試してないけど。

822 :anonymous@ZU091104.ppp.dion.ne.jp :2010/09/09(木) 05:29:30 ID:???
>>819
>>812の5GTの代替って事な。
元々、L2、L3のS/Wがあるんだろ。


823 :anony :2010/09/10(金) 00:40:46 ID:BlRsE88G (1 回発言)
iPhone用のJunosPulseがでましたね。






ところで、JunosPulseって何?

824 :anonymous :2010/09/10(金) 17:51:13 ID:???
SSG5、サイトによって最大セッション数が4000とか8000と書いてるところがあるけど、どっちが本当?

http://www-jnet.juniper.net/jp/jp/products-services/security/ssg-series/ssg5/
↑公式だと最大8000、ライセンス追加で16000

http://www.allied-telesis.co.jp/products/list/juniper/ns/product/index.html
↑ここだと最大4000

あと128MB版でもスループットとかセッション数とかのスペックは一緒なのかな。
UTM機能とISDNの有無の違いのように見えるけど。

825 :anony :2010/09/10(金) 22:41:26 ID:???
>>823
SAや将来Junosに乗る予定のVPNSoftware。
因みにNSやSSGでは使えんかった。SRXとSAは通信確認したよ。
NCPはNSとSSGだな。

826 :anony :2010/09/10(金) 22:43:23 ID:???
>>824
http://www-jnet.juniper.net/jp/jp/local/pdf/datasheets/1000176-jp.pdf
こいつが一番正しいかな

827 :anony :2010/09/10(金) 22:44:03 ID:???
>>820
VPNだよね。いける。

828 :anonymous :2010/09/12(日) 08:13:24 ID:???
>>826
ありが㌧
ベンダに確認しようと思った時には既に営業時間外だったから助かったぜ

829 :anonymous@eaoska261175.adsl.ppp.infoweb.ne.jp :2010/09/12(日) 20:51:52 ID:???
質問させて下さい

外部への回線が2系統あって、
  DMZのデフォルトゲートウェイは、ethernet0/2のこのIP
  Trsutのデフォルトゲートウェイは、ethernet1/2のこのIP
みたいに振り分ける設定って、そもそも可能なものですか??

830 :anonymous :2010/09/13(月) 07:01:50 ID:???
>>829
可能ですよ

831 :anonymous :2010/09/17(金) 12:00:16 ID:???
ScreenOSの Screening->Screen の設定ってどの程度有効にするものですか?
ちなみに固定IP引いて公開サーバー運営してます。

832 :anonymous :2010/09/20(月) 16:50:07 ID:???
Shrew VPN Client って、結構イイじゃねーの

833 :あのにーもうす? :2010/09/20(月) 17:01:21 ID:???
windows7に対応してたっけ?<shrew

834 :anonymous :2010/09/20(月) 21:29:14 ID:???
これなら、7対応だね
http://www.ncp-e.com/en/downloads/software.html


835 :anonymous :2010/09/21(火) 12:50:17 ID:???
shrewも 7に対応してるぞ

無料だしな

836 :anonymous :2010/09/21(火) 15:32:49 ID:???
Juniperが公式でサポートしてるのはNCP-Eだけ?
Shrewって初めて聞いたけどこれもサポートしてくれるの?

837 :anonymous :2010/09/22(水) 09:00:30 ID:???
サポートしてくれるわけねーだろ

http://www.shrew.net/support/wiki/HowtoJuniperSsg
ほれっ

838 :anonymous :2010/09/27(月) 12:36:31 ID:???
ScreenOS5.4のNS204を触ってます。
これってPPPoEのマルチセッションはできないのでしょうか?
Bフレッツ1本で2つのプロバイダに同時に繋ぐとかをやりたいのですが…。

839 :anonymous :2010/09/27(月) 16:40:39 ID:???
>>838
interfaceの設定でsub-IFとして追加してuntrust.1という感じで登録して
Routingの設定で優先順位決めて好きにルーティングさせればいい

840 :839 :2010/09/27(月) 16:45:16 ID:???
書き忘れ
PPPoEの登録追加も忘れずにね

841 :838 :2010/09/27(月) 18:51:24 ID:???
>>839-840
なるほど!!
できましたありがとうございます!

842 :anonymous :2010/10/01(金) 16:28:24 ID:???
ScreenOS5.4です。
PPPoEで固定IP8で接続しています。

untrust側にだけグローバルIPがあり、trust側はローカルIPを振り、
通常のインターネット接続はNAT経由、サーバーの公開はVIPで行っています。

今回、trust側に置いたサーバーから外部向けにとある通信をする時に、接続ごとに接続元
グローバルIPがランダムに分散できるように(相手のサーバーからは複数のホストから接続があるように)
したいという要件があります。
この設定自体は、untrustのDIPに複数IPを設定し、policiesにそのDIPを設定する事で実現できました。

しかし、VIPやuntrustのI/Fに割り当てているIPアドレスをDIPに設定することはできないようでした。
技術的に考えれば、untrust→trustの通信であればVIPに設定しているIPをDIPに設定できないのはわかりますが、
NAT環境下のtrust→untrustの通信であればVIPで既に使っているIPをDIPに設定しても問題ないように思います。
これはNetScreenの仕様という事であきらめるしかないのでしょうか。
IP8(実質つかえるのは5個ですが)をフルに使って分散したかったのですが…。

よろしくお願いいたします。

843 :anon :2010/10/01(金) 18:09:30 ID:???
>>842
できないね、MIP設定してる状態でDIP設定しようとすると「###Invalid dip parameter」ってなる

というかマニュアルに
Important: Be sure to exclude the following IP addresses from a DIP pool:
?The WebUI management IP address
?The interface and gateway IP addresses
?Any virtual IP (VIP) and mapped IP (MIP) addresses
って書かれてるし仕様だろう、メーカーに聞かないと理由まではわからんね 

844 :842 :2010/10/04(月) 15:12:48 ID:???
>>843
やはりそうなんですね…。
わかりましたありがとうございます!!

845 :anonymous :2010/10/04(月) 18:33:47 ID:???
ちょっと教えて下さい。

NetScreen50 ScreenOS5.4R13 を使用しております。
プロバイダー側はCATVでPPPoE無しのDHCPにてIP1個割り当てとなっております。
現在は、TrustゾーンのFTPサーバを公開するのにVIPでNATしております。
これをVIPやMIPを使用せずにポリシーだけでNATさせたいのですが可能でしょうか?

Ehternet1 Trust 192.168.0.1 NAT
Ehternet3 Untrust DHCP Route
FTP server 192.168.0.200

set address "Trust" "Server Network" 192.168.0.0 255.255.255.0 "Server Network"
set address "Trust" "Server" 192.168.0.200 255.255.255.255 "Server"
set service "FTPoverSSL" protocol tcp src-port 0-65535 dst-port 990-990
set service "FTP_Passive" protocol tcp src-port 0-65535 dst-port 45000-45050
set policy id 2 name "FTPoverSSL" from "Untrust" to "Trust" "Any" "Server Network" "FTP_Passive" nat dst ip 192.168.0.200 permit log no-session-backup
set policy id 2
set service "FTPoverSSL"

としても接続できず、以下のように
set policy id 2 name "FTPoverSSL" from "Untrust" to "Trust" "Any" "Server" "FTP_Passive" nat dst ip 192.168.0.200 permit log no-session-backup
Distination AddressをサーバのIPにしてみても接続出来ない状態です。
またEhternet1 Trust 192.168.0.1 NATをRouteに変えて上記のポリシーの組み合わ
せを試してみましたが駄目な状態です。
そもそもDestination AddrssにEthernet 3を指定出来ない時点で間違っている気が
してるのですが…

よろしくお願い致します。

846 :あのにーもうす? :2010/10/04(月) 18:48:04 ID:???
>>845
いろいろやってみたけど、VIP使わないと無理っぽいですね。
ところでVIPを使用しない理由は何でしょう?

847 :845 :2010/10/04(月) 19:43:33 ID:???
やはり無理ですか。。

VIP使わないのは、個別にNATポリシーを書いて各サービス単位で
トラフィックシェービングを掛けたいのが理由です。


848 :あのにーもうす? :2010/10/06(水) 02:08:41 ID:???
おっと遅くなった。
VIP使って複数のポリシーを書けば、それぞれのポリシーでTrafficShaping
できませんでしたっけ。
VIPだと制約を受けるのかな。

そういえば、VIPを使ってPassiveモードの転送に対応するには
set vip multi-port
でPassiveモードのデータコネクションを含むvipを作るべきなのか。

それとも、VIPにはFTPだけで、ALG頼みでもいけたんでしたっけ?



849 :ano :2010/10/06(水) 10:39:48 ID:???
最初から定義されてるサービスのFTPが入ってれば勝手に開けてくれる

850 :845 :2010/10/07(木) 03:02:00 ID:???
>>848

ありがとうございます。やっと思った事が出来るようになりました。

set policy id 2 name "VIP" from "Untrust" to "Trust" "Any" "VIP(ethernet3)" "ANY" permit log
上の様に普通に、VIPポリシーは1個だけ書くものとばかり思っていたもので、
その発想はありませんでした…OTL

サービス毎にVIPポリシーを書いて、各VIPポリシーでトラフィックシェービング
する事が出来るようになりました。
が、いまいちトラフィックシェービングが効いてるのかどうかちょっと不明では
ありますが…。もう少し負荷掛けて見ないと判らないかも。

set vip multi-portは>>849の言われてる通り標準のサービスを指定すると、
特に設定も無くデフォルトでやってくれましたね。
カスタムサービス作る時に個別指定させてくれると便利なんですけど。


851 :anonymous :2010/10/20(水) 17:17:58 ID:???
NetScreen5XTを使っています。
L2モードで動かしており、同じセグメントを2つに分断しております。
untrust側からtrust側にあるネットワーク機器をSNMPで監視したいのですが、
Policiesでuntrust→trustのSNMP通信を許可したのですが通信できませんでした。
よくよく調べてみると、untrust側からtrust側のARPが成功していませんでした。
untrustからtrustへのARP通信を許可する必要があるとおもいますが、Policiesの
ServiceにはARPは見当たりません…。
この通信を可能にする方法はあるのでしょうか。
よろしくお願いいたします。

852 :anonymous :2010/10/20(水) 21:50:18 ID:???
>>851
set interface vlan1 bypass-non-ipかな?
あんまり自身ないけど

853 :anonymous@aj01.jip.co.jp :2010/10/24(日) 15:12:24 ID:???

fw3 === fw4
| (VIP) |
|     |
|     |
sw1=== sw2
|     |
|     |
fw1 === fw2

fw3,4⇒JuniperSSG520
fw1,2⇒JuniperSSG140

◆fw1がMasterの時、
  ・fw1(M)からfw3-4のVIPへのpingOK
  ・fw2(B)からfw3-4のVIPへのpingNG

◆fw2がMasterの時
  ・fw1(B)からfw3-4のVIPへのpingOK
  ・fw2(M)からfw3-4のVIPへのpingNG

Masterのfwから対向のfwのVIPにpingが通らない状態です。
fw1,fw2の設定に問題があるような気がするのですが、サッパリです。。。

854 :anonymous :2010/10/24(日) 15:23:36 ID:???
>>853
状況が分からん。853のその説明は
「fw1はMaster/backupに関わらず、対向VIPへpingが通っている」で
「fw2はpingを全部応答がない」、です。とりあえず、
firewall設定のicmp部分とか、pingのソースアドレスを指定してみるとか?

855 :anonymous@aj01.jip.co.jp :2010/10/24(日) 15:50:36 ID:???
すみません、書き間違いました。

◆fw1がMasterの時、
  ・fw1(M)からfw3-4のVIPへのpingNG
  ・fw2(B)からfw3-4のVIPへのpingOK

◆fw2がMasterの時
  ・fw1(B)からfw3-4のVIPへのpingOK
  ・fw2(M)からfw3-4のVIPへのpingNG

でした。

もう少し状況を整理してみます。。。

856 :anon :2010/10/24(日) 22:46:24 ID:???
とりあえず、切り分けとして各ManageにVip以外のIP振ってみて同じことやってみ。
VIPとManage宛てにpingね。

後、ちゃんとConfigがsyncしてるか確認してみて
もう1個、こいつは関係ないと思うがNSRPのIDをFW1と2別にしてみるとか

857 :anonymous@aj01.jip.co.jp :2010/10/25(月) 16:38:45 ID:???
>>855

853です。

>切り分けとして各ManageにVip以外のIP振ってみて

fw3,fw4は本番稼働中のため、平日の実施は厳しいですね。
(現在、fw1,fw2は切り離してます)
fw3,fw4の代替機を準備して再現させようかと考えています。

>後、ちゃんとConfigがsyncしてるか確認してみて

Configはsyncされていました。

>こいつは関係ないと思うがNSRPのIDをFW1と2別にしてみるとか

NSRPのIDも含めて、もう少しConfigを確認してみます。


858 :anonymous@aj01.jip.co.jp :2010/10/25(月) 16:49:57 ID:???
853です。

誤)>>855
正)>>856

859 :anonymous :2010/10/31(日) 12:35:57 ID:???
MACアドレスとかARPテーブルとか、その辺の話では

860 :859 :2010/10/31(日) 12:43:28 ID:???
調べてないから間違えてたらごめんなさいだけど、
NSRPってM/Bで共有IP持つんじゃなかったっけ?

もしそうなら、Bから打ったpingのreplyはMに返ってくるだろうから、
「Bから打った時は応答がない」のが正なんじゃないかな、と。

861 :anonymous :2010/11/01(月) 14:41:34 ID:???
現在中古で買ったNS204を運用しています。
もう一台購入してHA構成ができないか検討しています。

資料等を読むと、HAを構成する2台は同じライセンスを
適用してある必要があると書いています。
現在運用しているNS204には、前の所有者が適用したディープインスペクション
やらURLフィルタリングのライセンスが適用されています。
しかし現在の用途ではこれらは不要で、NS204本来の機能で事足ります。
このような場合、追加ライセンスを投入していないNS204を買ってきてHA構成を
することはできるのでしょうか。
一度追加したライセンスを削除?するような事は可能なのでしょうか。

よろしくお願いいたします。

862 :あああ :2010/11/01(月) 17:36:59 ID:???
NS 5XT Ver.4.0.3r2.0を

Ver.5.3.0r10に上げたい

けどGUIからdouble-checkだかというエラーが出る

これはVer5系に上げる前にどのVer.まで上げろってことなの?

863 :anonymous :2010/11/01(月) 18:09:46 ID:???
>>862
自分が5XTで4系→5.3系にあげたときは特に問題なかったけど。
CUIからやってみたら?
そしてそれはほんとうに5XTのファーム? おなじScreenOSでも機種ごとにバイナリあるよ。

864 :あぁ :2010/11/01(月) 18:43:16 ID:???
CLIでやってみた・・・

失敗です・・・・・・

statusランプ点灯状態・・・

5XTのファームで間違いないです
気になったのは
!!!!!!!@!!!!!
こんな感じになったのが気になる
一応Successまではいったがリセットかけたら上記の状態・・・

しかもオスメスのシリアルケーブルなんてもってねーYO

865 :anonymous :2010/11/02(火) 01:24:15 ID:???
そもそもファームが壊れてたとか?

866 :ああ :2010/11/02(火) 22:11:37 ID:???
可能性は無きにしも非ず
とりあえずAPCのケーブル使ってみたけど駄目だった・・・
おとなしくストレート買ってこようかな・・・

867 :anonymous :2010/11/02(火) 23:08:38 ID:???
この症状?
ttp://www.juniperforum.com/index.php?topic=1152.0

・imagekeyが偽物と判定している
・本当に壊れている
あたりじゃないのかな

imagekeyが何かはコッチ参照↓
ttp://jscom.jp/support/products/juniper/screenos/kb/00038

868 :ああ :2010/11/02(火) 23:17:05 ID:???
>>867
症状は違うと思います
憶測なのはまだコンソールから今の常態見れてないからです・・・

別の5xtから吸上げたやつだから壊れてないと思うけどな

869 :教えて訓 :2010/11/03(水) 00:52:03 ID:???
IPsecのリモートアクセスVPNでNSの設定するとき
TrustのDIPの設定するじゃん?
IPアドレスの範囲を入力するやん?
これって意味あるの?

設定なしでも通常通り使用できた

違いはNAPTの変換後のソースアドレスが
指定した範囲のIPアドレスになるか
TrustのIPアドレスになるか

ちなみに範囲を設定すると
ころころソースアドレスが変わるから困る

複数トンネルの場合はDIP必須?



870 :anonymous :2010/11/03(水) 08:53:48 ID:???
>>868
5XTじゃなくて5GTの場合だが、4.0からいきなり5.3へは上げれなかったと思う
確か4.xの最終版に一旦上げてから、5.xに上げた記憶が…

871 :anonymous :2010/11/03(水) 10:17:31 ID:???
>>870
どの機種でも5.0.0r11にしてからじゃなかったっけ?
5.0台入れたらブートローダー書き換えてバージョン上がった覚えがある

872 :871 :2010/11/03(水) 10:59:05 ID:???
5.4のリリースノートみると5.0.0r10以上だった。
5xtは5.4出てないから載ってないけどこれかも


873 :862 :2010/11/03(水) 11:01:48 ID:???
どどどどういうこと?

874 :anon :2010/11/03(水) 11:28:49 ID:???
つまり.4.0.3r2→5.3.0r10に上げるには
4.0.3r2→4.0.3r9→5.3.0r10って感じであげなきゃダメ。
これでうまくいかなかったら、4.0.3r2→4.0.3r9→5.0.0r1→って感じで
やってかないとLoderの更新されなかったはず。

875 :862 :2010/11/03(水) 11:40:37 ID:???
マジンガー!

そんなバージョン持ってない・・・
あきらめよう・・

いろいろありがとう!!

876 :anonymous :2010/11/03(水) 13:34:48 ID:???
Juniperから落とせばいいんでないの?

877 :anonymous :2010/11/03(水) 14:22:39 ID:???
保守入ってないと落とせない

878 :anonymous :2010/11/03(水) 14:27:46 ID:???
んじゃアキラメロ

879 :anonymous :2010/11/03(水) 23:20:10 ID:???
今はJuniperのWebサイトでアカウント作ってNetScreenかSSG辺りの
シリアル登録すると販社通さずに落とせるよ。
俺持ってるSSGのシリアルでアカウントこしらえたらNetScreenの他の
機種のScreenOSも落とし放題になって逆に不安になったくらい。
もうJuniper的にScreenOSとかどうでもよくなってる可能性が高い気も
するけど。

880 :anonymous :2010/11/04(木) 00:09:25 ID:???
昔持ってた5xtのログみると
4.0.0r11から直接5.0.0r11にしてるので
たぶん4.0.3r9はいらない気がする。

881 :anonymous :2010/11/05(金) 15:27:36 ID:???
Juniperで会員登録したらマジでScreenOS落とし放題だったwww
これはすごいwww
よーしパパ、もってるNetScreenのOS全部アップデートしちゃうぞおおおお

>>879
サンクス!!

882 :anonymous :2010/11/05(金) 18:36:12 ID:???
リリースノートにアップデート可能なバージョンとか手順とかかいてあったりするから
それを読めばいい

883 : :2010/11/06(土) 18:16:41 ID:???
Cent OSのインターフェイス設定でNSのアドレスをDNSに設定してるけど
名前解決できてない・・・
Windowsだと問題ない

NSはDNS Proxy有効にしてプライマリ、セカンダリにそれぞれ
ISPのDNSサーバ設定してある

なぜ?

884 :anonymous :2010/11/06(土) 18:58:37 ID:???
>>883
ifconfig eth0 up

885 :883 :2010/11/06(土) 20:32:58 ID:???
ごめん、TrustにDNS Proxy有効にしてなかっただけだった・・・

886 :anonymous@dnet.bit-isle.jp :2010/11/11(木) 02:06:10 ID:YJOeHHXe (1 回発言)
教えてください。
SSG-5(extendモデルではない)は、PPOEマルチセッション機能を持っているんでしょうか

よろしくお願いします。


887 : :2010/11/11(木) 21:17:30 ID:???
持っていますん

888 :anonymous@x242146.ppp.asahi-net.or.jp :2010/11/12(金) 01:37:22 ID:f7GZAeYf (1 回発言)
>887
ありがとうございました

889 :aa :2010/11/24(水) 21:29:30 ID:+InUkye/ (1 回発言)
5XTでリモートアクセスVPNを同時複数台で接続することできる?

890 :XP or GT :2010/12/03(金) 20:07:08 ID:wyKJu+8C (1 回発言)
いつもお世話になっておりますです

ちょっくら質問なんだけど、
XPかGTでの話

ALGでSIPを通そうとしてるんだけど、
外からのRTCPだけ通らないんだけど、なんかお呪いかなんかあるの?

よろしくです


891 :anonymous :2010/12/03(金) 23:50:23 ID:???
OSバージョンぐらいかこうよ
バグ情報くれる人いるかもよ?

892 :anonymous@25.73.30.125.dy.iij4u.or.jp :2010/12/04(土) 00:47:49 ID:k23JQNa8 (1 回発言)
>>891
たしかに。
基本的すぐる
スマン

GT:5.4.0r6.0
XT:5.0.3

XT は電源が無いために今起動できない状態で正確なバージョンが不明
最低限GTでの情報があれば、助かる


893 :890 :2010/12/06(月) 18:48:32 ID:g7djPQgI (1 回発言)
激過疎だなwww

博士のところに行くかなぁ。

894 :anonymous :2010/12/07(火) 02:54:33 ID:???
5GTが壊れちった。テスト機のOS入れ替えて
そこで一旦止めるべくログアウトしたときに変な改行の連続があったが
あまり気にせず電源落としたらそれっきり。
パワーのLEDはつくけど他のLED、コンソールは完全に沈黙。

いちおう中を開けてみたけど素人にわかるような異変無し。
32768って書いてある恐らく水晶発振子とトロイダルコイルのまわりに
謎の半透明の塊があるけど吹き出物ではなさそうだし…

なんか手だてありますかね?


895 :anonymous :2010/12/07(火) 16:46:37 ID:???
>>894
俺も素人だけど・・・
半透明は固定用のシリコンだべ

コンソールが動いていないならOS入れなおしも出来ないかな。
普通は、H/Wリセット


896 :anonymous@ntt5-ppp546.tokyo.sannet.ne.jp :2010/12/08(水) 08:57:02 ID:???
http://www.viva-netscreen.net/archives/cat_50023077.html
ここに載っているインターフェイスのHA(redundant?)っていつのNetScreen/SSGからできたんでしょうか。
NetScreen5XT、5GTとかでもできるのか、SSGからなのか、はたまたScreenOS次第なのか…

ご存じの方いらっしゃいましたらお願いします。

897 :an :2010/12/08(水) 21:38:24 ID:???
NSRPは全ての機器でいけるよ。XTとかは分からんが…。
違いはセッションを引き継ぐか否か。

898 :anonymous :2010/12/08(水) 21:39:52 ID:???
>>896
5GTはExtライセンス買わないとダメだったはず。

899 :890 :2010/12/08(水) 22:03:43 ID:???
俺は・・・ヌルーなんだorz

900 :anonymous :2010/12/11(土) 15:40:07 ID:???
>>897-898
>>895は、NSRPではなく、物理I/Fの冗長構成(bondingみたいな)のことを
言っているのでは

901 :anonymous :2010/12/12(日) 10:44:25 ID:???
LinkAggregationはScreenOSではサポートしとらんでそ

902 :anonymous :2010/12/14(火) 13:50:41 ID:???
宛先ポートによってルーティング先(ゲートウェイ)を変える ってできないんでしょうか。
何がしたいかというと、透過型プロキシを設置したいのですが、http以外のプロトコルは従来どおりの経路で通信したいのです。
PCには従来どおりのGW(NetScreen)のアドレス、そしてNetScreen側でhttpだけ透過型プロキシにフォワード…的な。
こんな考え方は邪道なんでしょうか…。

903 :anonymous :2010/12/15(水) 00:22:01 ID:???
>>902
Transparentモード+カスタムサービス+ソースで
policyに引っ掛けてdst-natじゃ駄目なの?

904 :902 :2010/12/15(水) 11:07:01 ID:???
>>903
返答ありがとうございます。
dstのIPアドレスを変えてしまうと最終的な行き先(Webサイト)がわからなくなってしまわないでしょうか?
IPパケットはそのままで転送先MACアドレスだけ書き換わるようなのが理想です。

905 :anonymous :2010/12/23(木) 22:14:11 ID:???
NetScreenの中古がCISCOみたいに出回ってないのは、
ライセンスがややこしいから?

906 :anonymous :2010/12/24(金) 00:47:39 ID:???
シスコは資格の価値が高いけど、ジュニパは価値が低いから

907 :ななし :2010/12/24(金) 08:34:28 ID:???
> 904

試した訳じゃないけど、PBRでできそう。
http://www.slideshare.net/BartJansens/netscreen-policy-based-routing

珍しい構成かと思ったらスライド内の想定する用途がそのままずばりだった。。

908 :anonymous :2010/12/24(金) 11:54:10 ID:???
>>905
NSの中古が出回ってないって何処の世界の話だ?
ネットワーク系の中古屋にもヤフオクにも山ほどあるぞ。

909 :anonymous :2010/12/25(土) 17:36:13 ID:???
オクは、ゴミばっか。

でも、先月ぐらいにISG2000が出てたから侮れない

910 :anonisan :2010/12/25(土) 23:59:38 ID:???
SOHOや小規模向けのやつは、実効スループットもいまやしおしおだからな


911 :904 :2010/12/27(月) 10:47:53 ID:???
>>907
あー PBRがポリシーベースルーティングでしたか
いけそうな気がします! 
他にウチで使ってるL3スイッチでできそうだったのでそちらでやろうと思ってましたが、
選択肢が広がりました。ありがとうございます!!

912 :anonymous :2010/12/27(月) 11:43:51 ID:???
ヤフオクで買ったNetScreen204ですが、ライセンスが色々投入されています。
これを無効にすることってできないのでしょうか。
どうもDI?が有効になっていると使えるセッション数が半分になってしまうようなので…。

913 :912 :2010/12/27(月) 15:27:09 ID:???
すみません、自己解決しました

投入済みライセンスバックアップ
ns204-> get license-key (結果を保存)

投入済みライセンスキー全削除
ns204-> delete file flash:/license.key

advancedライセンスのみ投入

ns204-> exec license-key advanced_key=ライセンスキー

再起動
ns204-> reset

こんな感じでいけました。
以上ご報告まで。

914 :anonymous :2010/12/27(月) 15:28:42 ID:???
>>913
報告、大儀であった。

915 :anonymous :2010/12/31(金) 13:17:21 ID:???
ISG2000なんて買う人なんてどこも保守契約つきで買ってるユーザーがほとんどだろうし、
野良ISG2000にどんだけ需要があるんだろーとかおもうけど、
やはり十分に安ければ需要はあるのかね?

916 :anonymous :2010/12/31(金) 16:10:59 ID:???
中古のネットワーク機器やサーバを導入するのって、
金の無い中小企業なんだろうけど、
保守契約無しで使いこなせんのか?

中小企業の社内SEってロースキルの印象しかない



917 :anonymous@ZU091218.ppp.dion.ne.jp :2010/12/31(金) 17:27:26 ID:???
>>916
そんなの余計なお世話だし、あくまでもアンタの印象だろ。

大企業の情シスよりも、意外にスキルが高い場合がある。
つーか、情シス自体が客相手の部門よりスキル低いんだろうけど。

918 :anonymous :2010/12/31(金) 17:33:25 ID:???
>>916
零細から超大企業までいろんな規模の社内SEと接してきたけど、
会社の規模の大小と社内SEのレベルの上下には逆相関関係が
見られると思う。

大企業ほど正社員の情シス部門は企画立案に大きく片寄り、
実際に手を動かすのは業者や子会社になることが多い。

逆に中小の場合、情シスの人間が自ら手を動かす傾向が
見られる。少人数で業務をこなすため必然的にLayer0から7まで
すべてを把握し精通している人も珍しくはない。

ただし必ずそうだということではなく、中小の場合は総務の
おじさんが片手間にやるケースも多いし、大企業でも
技術系の会社であれば下手なSIerが太刀打ちできない
情シス員も多い。

ただ、[SI|NI]erの情シス員はカスが多いような気がする。
エースは金を稼げるので、自社の社内SEをやらせるのは
もったいない(笑)。

919 :anonymous :2010/12/31(金) 23:13:40 ID:???
まぁ実際、大手のSEの仕事ってのは設計よりももうちょい上の工程、
どっちかってーと営業に近いものだからな
売り込みに必要な技術的なプレゼンや、エンドユーザとの折衝や調整とか
SEというよりPMに近い

実際の細かい設計や構築はそれより下で、検証はその下、運用監視がさらにその下と
IT業界はどこも似たような構造でそ

大手の社内SEはというポジションは、ある意味で垂涎の的とも言えなくもないけどねw

920 :ななし :2010/12/31(金) 23:17:15 ID:???
>>919
レイヤー8って奴か。

921 :anonymous :2011/01/01(土) 12:49:02 ID:???
JuniperやCiscoの利用を検討する時点で、
中小企業の規模ではないと思うが

922 :anonymous :2011/01/01(土) 13:33:26 ID:???
中企業って、従業員何人レベル?

923 :ななし :2011/01/01(土) 14:26:10 ID:???
>>922
数万人レベルじゃね。


924 :anonymous :2011/01/01(土) 15:38:54 ID:???
数万って事は5万程度以上か。
それ未満は小企業、零細企業・・・。中企業って呼ばれるのはハードル高いな(w

しかし、数千人規模の企業だとJuniper、Ciscoは普通に使ってるよ。

925 :anonymous :2011/01/02(日) 16:52:25 ID:???
一応、300人以下が中小企業らしい。

300人でもPCの台数が多ければ、家庭用の機器だと確実に落ちるだろう。

926 :anonymous :2011/01/04(火) 12:01:41 ID:???
JuniperつってもSSG5みたいなのもあるし
Ciscoでも10万しないクラスのルーターあるし

ウチも社員数十人の規模だけど保守切れの5GTをいまだに…ゲフンゲフン

あ、およびでないって?スマソ

927 :anonymous :2011/01/05(水) 23:29:31 ID:???
デフォでDHCPサーバとして働く5GTをネットに繋いだら
瞬時に他のDHCPサーバを見つけてアラートを出してきて、ちょっと感動

928 :anonymous :2011/01/06(木) 00:01:50 ID:???
>>927
そんな機能あったんだ?

たまに社内で勝手DHCPサーバ建てるアホがいるけど原因が5GTだったことも何回かある。

929 :anonymous@89266432.yamatech.jp :2011/01/06(木) 11:47:52 ID:???
5GT 5.4.0r19.0 ってIPSecパススルーって出来ないんだっけ?
SoftbankのケータイWiFi通せってボスがいうのよorz


930 :anonymous :2011/01/06(木) 13:30:40 ID:???
リモホバレタ・・・・orz

931 :anonymous :2011/01/06(木) 13:34:09 ID:???
>>930
頑張れ山口産業。
確か出来なかったハズ。

932 :anonymous :2011/01/06(木) 15:15:30 ID:???
>>931
thx

6.2にしても無理なんだろうか?
いい加減新しいのに買い換えてほしい・・・

933 :abibibibi :2011/01/06(木) 17:04:03 ID:???
機器が古くて㍉なのでと、更新を迫ってみてはどうか


934 :anonymous :2011/01/06(木) 17:22:01 ID:???
>>929
気になったので調べてみた

http://www.allied-telesis.co.jp/products/list/juniper/ns/product/pdf/low_end.pdf
この資料ではできるって書いてる(IPSecパススルー:○)なぁ。

やり方はしらん(キリッ

935 :anonymous :2011/01/06(木) 21:38:31 ID:???
>>932
すまん、PPPoEパススルーだったかも知れん。出来ないの。

936 :932 :2011/01/07(金) 17:17:09 ID:???
自己レス

Objects > Services > Custom で
UDP 500 UDP 4500
TCP 50
のポリシー作成

From Trust To Untrust に適用したら
SBのケータイWiFiが通りました。


937 :anonymous :2011/01/08(土) 00:45:17 ID:???
>>936
大儀であった

938 :anonymous :2011/01/09(日) 12:27:35 ID:???
アクセス禁止で書き込めなかった。。。

それは、サービス「IKE-NAT」をつかっても同じように出来ると思うよ。
あと、TCP50じゃなくて、プロトコル番号50だと思う。

一応、メーカのナリッジベースにあるので貼っておきます。
もうつながってるので蛇足ですが。
ttp://kb.juniper.net/InfoCenter/index?page=content&id=KB9243

939 :anonymous :2011/01/09(日) 18:18:37 ID:???
ESP ですね

940 :anonymous :2011/01/10(月) 18:29:15 ID:???
ちなみにPPPoEパススルーは出来るのかい?

941 :anonymous :2011/01/10(月) 19:08:56 ID:???
無理じゃない?>PPPoEパススルー。

パススルーじゃないけど、Bridge GroupをUntrust側につかえば
代用ってことになるんじゃないかと思う。

5GTが前提なら、TrustとUntrustのポートを
ひっくり返して使うような感じ?
本当にできるのかどうかは知らない。

942 :932 :2011/01/11(火) 09:05:16 ID:???
>>938
仰せのとおり、TCP50では無かったですね。
ポリシーからTCP50を省いても通信出来ました。

結論:SBのケータイWiFiに対応するには「From Trust To UntrustにUDP500 UDP4500」を通す

これで、ケースクローズいたします。


943 :anonymous :2011/01/14(金) 23:10:16 ID:???
PPPoEはIPじゃないから、
IPじゃないプロトコルを通す様にすればいいんじゃね?

944 :anonymous@NT02yfT :2011/01/28(金) 00:31:24 ID:???
教えて下さい。
6.2.0r8のSSG140NSRP環境にてバックアップ側SSGから自身の実IPにPINGが飛びません。
アクティブ側からバックアップ側の実IPへも飛びませんでしたが、フェイルオーバーさせると自身の実IPへのPINGが通るようになりました。
どうもバックアップになっているときでのみの事象のようです。
なおフェイルオーバーやコンフィグ同期は正常に行えており、インターフェースへのPINGも許可しています。
原因として考えられることがありましたら教えていただけないでしょうか。
よろしくお願いします。

945 :anonymous@124x35x44x174.ap124.ftth.ucom.ne.jp :2011/02/01(火) 19:18:23 ID:qq+/ELRY (1 回発言)
アンドロイドのスマホからSSGにL2TP IPsecのVPNで接続ってできるの?

946 :anonymous :2011/02/02(水) 01:09:36 ID:???
>>944
自身の実IPってmanage-ip?

947 : :2011/02/03(木) 01:08:10 ID:???
>>945
IPsecでXauth使えばいけるんじゃね?

948 :anonymous@NT02yfT :2011/02/03(木) 01:18:23 ID:???
>>946
表現が悪かったですね。
そうです、Manage-IPです。
昔NETSCREENでNSRP組んだ時は何も意識せずに出来ていたと記憶しているのですが…。


949 :anonymous :2011/02/03(木) 08:29:44 ID:???
>>948

NetScreenから離れて久しいので間違ってたらごめんね
set flow mac-cache mgt

試してみて

950 :anonymous@y081057.ppp.asahi-net.or.jp :2011/02/03(木) 14:26:04 ID:???
SA関連のスレってどこかにないですかね?

951 :sage :2011/02/03(木) 19:28:58 ID:???
>>950
答えれる範囲なら答えるよん。

952 :anonymous :2011/02/05(土) 19:36:31 ID:???
>>948
仕様

953 : :2011/02/05(土) 23:20:36 ID:???
>>951
SAのCoreでWebアクセスしてDigest認証でエラーが発生するんだけど
回避する方法ないかな?
と聞きたかったんだけど。。Basic認証に変えて回避しました。。orz

954 :anonymous@NT02yfT :2011/02/07(月) 01:03:48 ID:???
>>949
マスター側からはPINGが通るようになりました。ありがとうございます。
ただバックアップ機から自身のManage-IPには相変わらず飛びませんでした。。
>>952
自身のManage-IPに飛ばないのは仕様だったんですね。
昔の記憶は勘違いだったみたいです。
お二方ともありがとうございました。

955 :anonymous :2011/02/07(月) 17:25:59 ID:???
Netscreen-25でWebのアクセスログを取得する場合は、
追加のライセンス購入が必要になるのでしょうか?

Hardware Version: 4010(0)
Firmware Version: 5.4.0r3a.0 (Firewall+VPN)


956 :anonymous@PPPbb351.tokyo-ip.dti.ne.jp :2011/02/07(月) 18:35:37 ID:???
そもそもそんな機能あるんだっけ?

957 :anonymous :2011/02/07(月) 18:46:39 ID:???
久々にやらかしたorz

958 :anonymous :2011/02/07(月) 18:48:37 ID:???
>>956
元気ダセ、DTI。

959 :anonymous :2011/02/07(月) 22:39:47 ID:???
>>955
ポリシーでhttp/httpsのをログ取ればいいだろ

960 :anonymous :2011/02/08(火) 10:13:34 ID:???
>>959
「Webのアクセスログ」っつったらURLの事を指すのが普通だろ。
バーチャルホストが当たり前の世の中でIPだけ取ってどんな役に立つってんだ。

>>955
無いな確か。

961 :anonymous :2011/02/08(火) 13:38:25 ID:???
単純にWebへのアクセスログを取得したいだけなんですが、
やっぱSSGやSRXに置き換えないと駄目ですかね?


962 :anonymous :2011/02/08(火) 16:35:59 ID:???
webのアクセスログなんて、webサーバならサーバでやればいいじゃん
外に出ていくアクセスなら、プロキシでも導入すればいい

963 :anonymous :2011/02/08(火) 20:36:11 ID:Uf/VWh1O (1 回発言)
ScreenOSってシリアル番号さえあれば、落とせるって聞いたんだけどデマ?

964 :ななし :2011/02/08(火) 20:41:33 ID:???
>>963
製品によるかと。
netscreenは落とせる。
SSGはダメっぽい。
あとシリアルはいらん。

965 :anonymous :2011/02/08(火) 22:14:15 ID:???
昔(Juniper買収前)は本国のサポートサイトにシリアル番号を入力すれば保守契約なしでも一定期間はScreenOS落とせた。
今は知らん。

966 :anonymous :2011/02/08(火) 22:27:06 ID:???
今はサポートのアカウント登録さえすれば、
ScreenOSは自由に落とせたと思った。

967 : :2011/02/08(火) 23:19:42 ID:???
昔のことは知らんが
今のことは知らん

968 :anonymous :2011/02/09(水) 04:34:45 ID:???
ずっと代理店に貰ってるわ

969 :anonymous :2011/02/09(水) 09:52:18 ID:???
代理店だからJuniperから貰ってるわ。

970 :anonymous :2011/02/09(水) 10:45:10 ID:???
>>963
juniperで会員登録してシリアルいれたら落とし放題

971 :anonymous :2011/02/09(水) 14:43:08 ID:???
結局ScreenOSって今後の発展は無いのかな?
新規案件でSSG140使おうと思ったけど、今時だとFortiGateのほうがいいのかな。

972 :anonymous :2011/02/09(水) 16:38:03 ID:???
最初から発展なんてあったのか?
最初は全然安定しなくて、安定したと思ったら進歩がなくて
止まっているように思えるのだが・・・

973 :anon :2011/02/09(水) 19:55:00 ID:???
>>971
発展はアリマセンヨ

974 :anonymous :2011/02/09(水) 21:16:07 ID:???
FortiGateよりはマシだと思うが。
netscreenからスピンアウトして作った会社にしてはこんなものかって感じだ。

975 :anonymous :2011/02/09(水) 21:22:55 ID:???
そういう意味だとPaloaltoもスピンアウト組だな。
あれってどうなん?

976 :anonymous :2011/02/09(水) 23:07:16 ID:???
シリアルというからには、
最初にそのシリアルでユーザー登録した人のみが所有者として見なされるのではないだろうか

977 :anonymous :2011/02/10(木) 01:45:27 ID:???
>>975
超ピーキーで使えない
admin権限ユーザが謎のロックアウト(2人以上作らないと危険)等のバグ満載
コンフィグのインポートはxmlのみ
多分運用保守だけで死ぬ

Fortigateはコンフィグやがコマンドが長いのがなー
show系だけでもget、diagnoseとか分かれててイマイチ直感的でない

978 :anonymous :2011/02/10(木) 10:55:39 ID:???
しかしSSG終わったらScreenOSも終わるわけだよね
次は何を導入したらいいんだろ

979 :anonymous :2011/02/15(火) 09:30:16 ID:???
SSG5gt がそれぞれ別の場所でInternetに繋がっていて、Trust側を同じ
アドレス体系で使用したいのですが、トランスペアレントモードでVPNって
可能ですか?
もし分りやすいサイト等あれば教えてください。:)

980 :anonymous :2011/03/02(水) 16:39:47.72 ID:???
データセンターに設置するネットワーク構成を検討しています。

iDCが提供する回線は上位ルーターとの通信用に異なるIPアドレスをそれぞれ
割り当てられた線が2本来ます。
推奨の環境としては、2台のCatalyst3560でそれぞれの線を受けて間はHSRP、
その下に2台のSSGを置いて間をNSRPで接続…みたいな感じのようです。

丁度以下の図のような感じです。
http://www.impressrd.jp/idc/files/images/idc2008sp/sg/bitisle_05.jpg [c]

これって3560を使わないで直接SSGで受けられないんでしょうか。
HA構成のとき、それぞれのUntrustのI/FでIPアドレスを別にできないかという感じですかね。
説明がわかりにくくてすみませんが、助言をいただけると助かります。

981 :anonymous@st0041.nas981.kyoto.nttpc.ne.jp :2011/03/02(水) 17:24:29.11 ID:???
その上位ルータ間の異なるIPアドレスってのは別々のサブネットに所属しているって事?
ならUntrust側はNSRPじゃなくてルーティングプロトコルで切り替える事になるけど、それでいいなら。
(Trust側)NSRPの切替条件にUntrust側のI/Fかネットワークを入れておけば上手く行くかな?
手元に資料がないから出来るはずとしか言えないが。

982 :anonymous :2011/03/02(水) 17:29:22.17 ID:???
あーやっちまったw

引退した身なのでうろ覚えでスマン。

983 :anonymous :2011/03/02(水) 20:36:46.76 ID:???
>>981
ありがとうございます。
そうです、別のセグメントの線が2本来ます。上位スイッチではマスター側の障害検知でスタティックルートをスレーブ側に変えるそうです。
例えばその場合、マスター側のSSGに障害が発生した場合セッション情報は引き継げるんでしょうか?

>Untrust側はNSRPじゃなくてルーティングプロトコルで切り替える事になるけど、それでいいなら。
のあたりがイマイチ想像できません。うーん全体的に理解が不足してるorz

984 :anonymous :2011/03/02(水) 21:33:42.46 ID:???
ScreenOSでOSPF使いたくねぇと思うのは俺だけではない筈

985 :anonymous@KD121108246248.ppp-bb.dion.ne.jp :2011/03/02(水) 23:16:05.22 ID:???
>>980
このロードバランサはラドウェアのリンクプルーフみたいにDNSも担ってくれる製品を想定していますか?

L3SWとFW間が仮にグローバルIPアドレスとして、2ISPに申請しますか?

上記2点でL3SWが要るか判る気がします。

986 :anonymous :2011/03/03(木) 11:17:31.88 ID:???
>>985
この図は例として出したもので、ファイヤーウォールより上位の部分だけ見ていただければと思います。
確かに構成としてはファイヤーウォールのtrust側はグローバルIPとなります。

2ISPという事ですが、マルチホーミングのような大掛かりなものではないです。(多分)
WAN線2本ですが提供してる業者は同じ(同一AS内)ですし、2本はActive/Standbyとなります。
iDC業者側の上位スイッチで、Active側ポートがリンクダウンした場合、Standby側にスタティックルートを書き換えるという事でした。