Netscreenユーザスレ r4.0

[0001 ScreenOS 2011/03/08(火) 21:14:47.29 ID:nekgC/EP]

無難なFWアプライアンス
いつの間にか、前スレ消えてるので、立てておくよ。

http://www.juniper.net/jp/jp/products-services/security/

その他代理店はｇｇｒｋｓ

過去スレ
Netscreenユーザスレ r3.0
http://hibari.2ch.net/test/read.cgi/network/1158592499/

Netscreenユーザスレ r2.0
http://pc8.2ch.net/test/read.cgi/network/1064890311/

Netscreenユーザスレ
http://pc.2ch.net/test/read.cgi/network/1026471990/

[0002 anonymous 2011/03/08(火) 23:11:36.48 ID:???]

>>1
大義であった！

[0003 anonymous 2011/03/10(木) 15:52:41.09 ID:???]

気づいたら落ちてたねｗ
たまにはageないとだめだなやっぱ

[0004 anonymous 2011/03/10(木) 21:08:55.36 ID:???]

そういえば落ちてたな。
すっかり忘れてた。

[0005 anonymous 2011/03/15(火) 13:42:29.32 ID:???]

5XTを透過モードで使っています
syslogをuntrust側のポートに出す事はできないんでしょうか？
よろしくお願いします

[0006 sage 2011/03/27(日) 14:49:47.55 ID:YvgyiypW]

netscreen 5xt　5.3 r3 でファームアップをやらかしちゃったんだが、解決方法ないっけ？

[0007 anonymous@172.113.102.121.dy.bbexcite.jp 2011/03/27(日) 15:34:31.25 ID:???]

>>6
自己レスですがtftpサーバ立ててCUIでやるとすんなりできた。
"TFTPサーバー Poor TFTP Server for WIN32"を使ったけど、特にトラブルなどもなく。

[0008 anonymous 2011/04/07(木) 08:50:15.24 ID:???]

ちと教えて下さい

x.x.x.1〜x.x.x.4のグローバルアドレスを持っているとして
x.x.x.1がUntrustの口のグローバルIPでNAT配下にぶら下げてる端末（192.168.1.0/24）のデフォゲとします。

またこのとき192.168.1.100〜192.168.1.102迄のサーバ三台をそれぞれ
x.x.x.2 → 192.168.1.100
x.x.x.3 → 192.168.1.101
x.x.x.4 → 192.168.1.102
とMIPにします。

このとき各サーバの送信元IPをそれぞれに紐づけられているグローバ
ルIPにしたいのですが、それぞれのサーバのデフォルトルートをMIPの
グローバルIPにしてやれば良いのでしょうか？

[0009 anonymous 2011/04/07(木) 11:18:24.58 ID:???]

>>8
サーバーごとにTrust to Untrustのポリシーつくって、Advancedの
NAT Source AddressにMIP指定してやってた気がする
違ったらごめんよ

あとローカルセグメントにいるサーバーのデフォルトゲートウェイに
グローバルIP設定したところで、セグメント違うんだから通信できない希ガス

[0010 anonymous 2011/04/07(木) 13:46:36.27 ID:???]

>>9
レスありがとうございます。

それっぽいところを見たのですが
NATのSource Translation (DIP on)というところぐらいで
None (Use Egress Interface IP) しか選べませんでした。
（MIPを選ぶところはなかったです orz）

機種はNS25でファームウェアは5.4.0r16.0です。

[0011 anonymous@s98.ItokyoFL27.vectant.ne.jp 2011/04/07(木) 13:55:05.49 ID:???]

http://www.viva-netscreen.net/archives/cat_50031540.html
上みてやれば普通にできると思うよ？

[0012 anonymous 2011/04/07(木) 14:15:10.74 ID:???]

>>11
！！

なんと…。
MIPが設定されたマシンから外へ通信するとソースは
該当するグローバルIPになるんですね！！

最初に試してから質問すれば良かったorz
机上で設計していて、デフォルトルートに通信が行くんだから
絶対にUntrustの口のIPになると思っていました。

お騒がせ致しました…。

[0013 anonymous 2011/04/07(木) 21:37:56.94 ID:???]

インタフェースモードやDIPの有無によるのでは。
・・・楽しいFWになりそうだな。

[0014 anonymous 2011/04/08(金) 22:31:23.20 ID:???]

最近5.4系なんか触った記憶ないけど、untrustに入ってくる通信で、
そのインタフェースが持ってないセグメントをmIPにアサインできたっけ？

[0015 anonymous 2011/04/11(月) 15:36:16.14 ID:???]

今時JuniperのサイトからNetScreen-Remoteもダウンロードできるんだな。
ファームウェアは知ってたけどRemoteも落とせるの気づかんかった。
つってもVistaまででしか使えないけどね…。

結局Windows7の標準IPSecクライアントでNSってつながるの？

[0016 あ 2011/04/24(日) 21:36:13.56 ID:???]

そんなもん使うな

[0017 anonymous 2011/04/27(水) 11:33:38.00 ID:???]

>>15です

NetScreenとShrew Soft VPNでVPN接続できました
Windows7 64bitもOK

http://blog.livedoor.jp/nanashisoft/archives/52242485.html
http://kokoro.bf1.jp/blog/archives/1293
とかを参考に試行錯誤。

なんとかL2TP/IPSecでWindows標準クライアントと繋ごうと思ったけど結局うまくいかず
仮に出来てもXPとVista,7で挙動が違ったり、クライアントの設定がすごい面倒そうだったので微妙

暫くはこの組み合わせで運用しようと思います

[0018 anonymous 2011/04/27(水) 11:42:09.35 ID:???]

続き

一応Windows標準クライアントとの接続は公式資料がある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB8536

あとこことかを参考に
http://gyabooo.mydns.jp/blog/?p=9

して色々やったけど、フェーズ2までは確立するけどその後のL2TPでどうもクライアント側が拒否ってる感じ。
クライアント側の詳しいログが見つけられなくてそれ以上追えず。
それもXPの話で、Win7だとフェーズ1あたりでクライアント側が拒否ってコケる。

ので素直にVPNクライアント使ったほうがいいなぁという結論に…。

というグチでございました。

[0019 ｓ 2011/05/01(日) 11:17:40.25 ID:???]

shrew softはおいらも使ってるよ
ただ複数同時接続はできてない

[0020 い 2011/05/02(月) 23:57:29.66 ID:???]

5xtなんだけどメモリー使用率が70%くらいまでいってる
ほかのセッションやCPU使用率は10%くらいなのに・・・

ログとらなきゃいいけどとんないとねぇ・・・・

ポリシー5つくらいすべてログとるようにしてる

[0021 a 2011/05/05(木) 23:49:51.04 ID:???]

5GT 500円でｶﾃｷﾀ

[0022 anonymous 2011/05/06(金) 08:18:36.05 ID:???]

>>21
安いな、おいw

[0023 a 2011/05/06(金) 11:59:12.98 ID:???]

>>22
ACアダプタなしだったけど、まずまずの掘り出し物でした。
サクッとファームアップしてコンフィグを見ていると↓のような仕様でしたけど、これってextendedです？
Sessions: 4064 sessions
Capacity: unlimited number of users
NSRP: Lite
VPN tunnels: 25 tunnels
Vsys: None
Vrouters: 3 virtual routers
Zones: 8 zones
VLANs: 10 vlans
Drp: Enable
Deep Inspection: Disable
Deep Inspection Database Expire Date: Disable
Signature pack: N/A
IDP: Disable
AV: Disable(0)
Anti-Spam: Disable(0)
Url Filtering: Disable

[0024 anonymous@zaq7a66f81d.zaq.ne.jp 2011/05/06(金) 16:30:01.24 ID:???]

>>23
Sessionが4096でNSRPがLiteなのでExtentedモデル
として認識しているようなので間違いないはずです。

[0025 anonymous 2011/05/06(金) 22:01:28.88 ID:???]

>>23
無制限ユーザで\500となｗ
いい買い物したねオメ
これにあやかってSSG5でいいから\5kくらいで転がってねーかなー

どうでもいいけど、6.2.0ｒ6でついた念願のtelnetだが、妙に遅くないかい？

[0026 anonymous 2011/05/09(月) 13:19:23.17 ID:???]

IE9だとWebUIのメニューが出てこないのね

[0027 anonymous 2011/05/19(木) 19:46:29.64 ID:GmYWAy+H]

SSG140の設定で困ってます
UnTrust,DMZ,Trustの構成です。
DMZはグローバルIPを直接割り当て、NATは行わずそのままルーティングします。
UnTrustは上位ルーターとの通信用セグメントです。UnTrust,DMZのI/FはRouteモードにしています。
更にポリシーでUnTrust→DMZの通信を全許可しています。

この状態でUnTrustの先に繋いだ端末から、DMZのI/F、DMZ内にいるサーバーにpingは通ります。
しかし実際に端末からサーバーにHTTP接続しようとしても接続できません。
DMZ内にいる他の端末からサーバーへはHTTP接続できます。
サーバーにtcpdumpを仕掛けたところ、pingのパケットは来ていますがHTTPのパケットは来ていませんでした。
UnTrust側からDMZ内のサーバーにHTTP接続するにはどうしたらいいのでしょうか…。

ちなみにNetScreen204に同じような設定をしたところ、そちらは意図通りに動きました。
もう私の手には負えません…。アドバイスをお願い致します。

[0028 あのにめあど 2011/05/19(木) 20:14:39.84 ID:???]

>>27
とりあえず、いくつか確認してちょ。

�@DMZ設置のサーバのFirewall(iptables)設定の確認。
�ASSGのバージョンを教えて。
�BPINGはSSGが代理応答している可能性があるからDMZ〜サーバでICMP飛んでいるか確認。
�CUntrust to DMZのルールでAny Any Dropのみでロギングしてパケット飛んでいるか確認。
�D逆にDMZからUntrustは通信できるのか確認

�@と�Bに関しては、正常との事だからScreenOSの不具合じゃないかな...と？

[0029 27 2011/05/20(金) 11:35:17.16 ID:???]

>>28
ご回答ありがとうございます

�@サーバー側のiptablesは特にかかっていませんでした。
�ASSG140 HardwareVersion:1010, FirmwareVersion:6.2.0r8.0
�Bサーバーにtcpdumpを仕込みましたが、間違いなくICMPは出入りしています。HTTPはSYNパケットすら来ません。
�C該当設定でポリシーログをとったところ、ICMPはきちんとTraffic Deniedとしてログに残りましたが、HTTPはログにすら出ませんでした。
�DUntrust→DMZのポリシーを許可すればpingは通りましたが、HTTPはこちらも通らなかったです…。（ポリシーでソースNATかければ通りますが）

うーんやはりバグでしょうか…。
しかし普通に使われそうな構成で今更こんなバグがあるとも思えないわけですが…。
それとも自分のネットワークやSSGの理解が足りないのか。

[0030 27 2011/05/20(金) 12:06:35.63 ID:???]

ああああああああああああああああああああああああああああ単純ミスだったorz
実験環境で端末とSSGの間に入ってる機器（存在を忘れてた）の設定ミスでパケット止めてました
疑ってごめんよ　＞SSG
大変お騒がせいたしました。

[0031 anon 2011/05/20(金) 16:03:04.55 ID:???]

ワロタ。
頑張れ！

[0032 anonymous 2011/05/20(金) 17:05:54.83 ID:???]

SSGの管理画面にVPN経由でログインできないのですが仕様でしょうか
ログイン画面は出るのですが、ID/PWを入力してもまたログイン画面に戻ってしまいます

[0033 あ 2011/05/20(金) 21:19:29.78 ID:???]

普通にできるよ

[0034 anonymous 2011/05/23(月) 19:08:39.53 ID:???]

DIPでIPがアクセス毎に変わるのが原因でした

[0035 えｊ 2011/05/24(火) 11:59:55.97 ID:???]

>>34
固定にすると複数台同時接続できなくね？

[0036 anonymous 2011/05/25(水) 19:38:36.90 ID:???]

NATだし大丈夫じゃないかな

[0037 ああ 2011/05/28(土) 12:30:53.07 ID:???]

あたいはできんかった

[0038 anonymous 2011/05/31(火) 20:03:23.11 ID:OE9LW3lb]

ScreenOS6.1が乗っているSSG5を使っています。
MIPで設定した送信元IPが、untrustインターフェイスのIPにNATされてしまい困っています。
以下に状況を説明します。

プロバイダからグローバルIPとして
xxx.xxx.xxx.96/28
をもらいました。

またプロバイダ・SSG5間のネットワークとして
xxx.xxx.xxx.112/29
を、SSG5のuntrust側I/F用IPとして .113を指定されました。
（プロバイダのGWは .118）

trust側I/FはNATで 192.168.1.0/24 と設定し、
また xxx.xxx.xxx.97 をMIPで 192.168.1.11となるよう、
untrust側のI/F上に設定しました。

192.168.1.11にはウェブサーバとメールサーバを立てて、
untrust -> trust で Any -> MIP(xxx.xxx.xxx.97)
へHTTPとSMTPを許可しました。

また trust -> untrust で 192.168.1.0/24 ->Any
へSMTPも許可しました。

これでインターネット側からは
xxx.xxx.xxx.97
で 192.168.1.11のウェブサーバ・メールサーバへアクセスできることを確認できて喜びました。

[0039 38 2011/05/31(火) 20:05:41.76 ID:OE9LW3lb]

長くなってしまいましたがここから本題です。
試しに192.168.1.11から自分のプロバメールアドレスへメール送信したところ、
送信自体は成功して無事にメール受信できました。

ただtrust->untrustのSMTPポリシーのログを見ると、
Translated Source Addressとして xxx.xxx.xxx.113 に変換されていました。
untrustのI/Fではなく、MIPしたxxx.xxx.xxx.97 から送信されるように
するにはどうすればいいでしょうか？

MIPで指定している xxx.xxx.xxx.97 はドメインをとっているので、
このままだとそのドメインを騙っているスパムIPアドレスとして
.113がブラックリスト入りしてしまうのではと心配です。

試しに
trust -> untrust のポリシーで MIP(xxx.xxx.xxx.97) -> Any
へSMTP許可してみましたが、送信できずグローバルポリシーでdenyされていました。

けっこう困っています。。。お知恵かしてください。

[0040 名無しさん 2011/06/01(水) 09:02:20.04 ID:???]

routeモードにして、ポリシー単位でNAT制御すればいいのでは?

[0041 38 2011/06/01(水) 19:46:18.47 ID:FsTLPiFH]

>>40
ありがとうございます。
trust側I/Fをrouteにしてポリシーログを確認したところ、Translated Sourceが192.168.1.11とプライベートアドレスになっているためそのままClose-Age Outして外部へでることができません。
ポリシーでsrc natするためにDIPとしてx.x.x.97をuntrust側I/Fへ登録しようとしましたが、untrust側のネットワークであるx.x.x.112/29の外なので登録出来ませんでした。
そもそも.97はMIPで使用済みなので、DIPとして二重登録はできないようです。

何か壮大な勘違いしてそうなのでお知恵を貸してください。

[0042 40 2011/06/01(水) 23:00:58.93 ID:???]

>>38
あらま、アテが外れてごめんなさい。

SourceでNATするのではなく、DestinationでNATしてみたらどうでしょうか。

該当するポリシーの NAT項目にある "Translate to IP"に xxx.xxx.xxx.97 とする事で
アウトバウンドのSrc IPはxxx.xxx.xxx.97になるはず。

[0043 40 2011/06/01(水) 23:11:16.63 ID:???]

書き込んでから気付いたけど、xxx.xxx.xxx.96/28を貰ってるのに
SSGのUntrust側がxxx.xxx.xxx.112/29ってどういう構成だろうコレ。

[0044 anonymous 2011/06/02(木) 08:29:34.58 ID:???]

上位ルーター接続で冗長構成にしたりするとルーティング用のセグメントとして/29とか振られるよ
ISP側、自前機器側双方でVRRP構成にするような場合はいっぱい使うしね

[0045 38 2011/06/02(木) 18:36:42.26 ID:???]

>>42
何度もありがとうございます。ただ通信しようとする先が.97にNATされてしまいダメでした。
自分の整理のためも含めて、環境と問題、それに対してやってみたことをまとめます。
アドバイスいただけると助かります。けっこう焦ってきました。

>>44
おっしゃる通り冗長構成です。すごいですね。

●環境
□untrust側
network:x.x.x.112/29
I/FのIP:x.x.x.113

□trust側
network:192.168.1.0/24
I/FのIP:192.168.1.1
WEB/SMTPサーバhost IP:192.168.1.11

□その他
プロバイダからもらったGlobal IP:x.x.x.96/28

◆問題
設定:
・MIPでx.x.x.97 <-> 192.168.1.11
・Any -> MIPでhttp/smtpをpermitポリシー作成
・192.168.1.11 -> Any でhttp/smtpをpermitポリシー作成
・trustのI/FモードをNAT

結果
inbound,outboundとも疎通OK。
ただしoutbound時のsrc ipがuntrustのI/FのIP(.113)に変換されてしまう。
outboundでx.x.x.97がsrc ipとなるように設定したい。

[0046 38 2011/06/02(木) 18:44:49.56 ID:nSF7sK80]

■やったこと1
設定
・trustのI/Fモードをroute
・他の設定は同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に変換されてしまい疎通NG。

■やったこと2
設定
・192.168.1.11 -> Anyのポリシーで、destinationをx.x.x.97にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通OK。
outboundはsrc ipがローカルの192.168.1.11に、
さらにdest ipがx.x.x.97になってしまい疎通NG。

■やったこと3
設定
・MIP削除
・Any -> x.x.x.97でhttp/smtpをpermitポリシー作成
　そのポリシー内でdestinationを192.168.1.11にNAT設定
・他の設定はやったこと1と同じ

結果
inboundは疎通NG
⇒Globalのdenyポリシーログに、疎通の試みが記録されていました
　なぜdenyされるのかわかりません。。。
outboundは相変わらず疎通NG

[0047 anonymous 2011/06/03(金) 14:53:23.02 ID:???]

あんまちゃんと読んでないけど、要はセグメントの異なるIPで化かせばいいんだろ？

set interface ethernet*/* dip 4 ***.***.***.97 ***.***.***.97
set policy id *** from "Trust" to "Untrust" "Any" "Any" "ANY" nat src dip-id 4 permit log

DIPで単一のIPレンジ（言葉的に矛盾してるが）をUntrust側I./Fに振ってやれば、
Sourceはご所望の.97のアドレスで出て行く
あとは適切にMIPの設定しろ

[0048 38 2011/06/03(金) 19:23:32.25 ID:kkqYmJmo]

>>47
ありがとうございます、すごくヒントになりました。

untrust側I/Fのeth0/0はx.x.x.112/29なのでそのままでは.97をDIPできませんでした。
ですのでeth0/0.1というSub I/Fをつくり、そこにx.x.x.96/28を割り当てたうえで、そのI/F上に.97をDIPしました。
ポリシーでtrust->untrustにDIPの.97をsrc natさせたら、おっしゃる通り.97で出ていきました！

ただ既にDIPで.97を使っているため、MIPとして.97を追加することができません。
（本文長すぎエラーになったので続きます。。。）

[0049 38 2011/06/03(金) 19:25:49.97 ID:kkqYmJmo]

（続き）
MIPなしのまま以下のようにポリシー作成しても、
>>46のやったこと３で書いたようにGlobalポリシーでdenyされてしまいます。。。
set policy id * from "Untrust" to "Trust" "Any" "*.*.*.97/32" "ANY" nat dst ip 192.168.1.11

つまりoutboundはできるようになりましたが、今度はinboundがダメになりました。
長々とスレ汚しすみません。光が見えてきたのでもう少しつきあっていただけるとうれしいです。

[0050 anonymous@s61.87.247.220.fls.vectant.ne.jp 2011/06/04(土) 10:56:11.54 ID:???]

勘違いしてたらごめんなさい。

>48
Untrustインタフェースなら、サブインタフェース作らなくても、
インタフェース自身とは違うサブネットをDIPとして作れるはず。
DIP設定するときに「ext ip」という感じの設定が入ります。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5760

[0051 50 2011/06/04(土) 11:02:50.10 ID:???]

続きです。

>49
Globalポリシーに行ってると言う事は、通常のポリシーでマッチしてません。
(MIPが無いと言う前提で）。
ポリシーベースNATでは、宛先アドレス（"*.*.*.97/32" )が、
Trust側にルーティングされるようにウソルーティング設定が必要です。
（でないとポリシーにたどり着けません→ポリシーにマッチできません）

[0052 47 2011/06/04(土) 13:43:27.06 ID:???]

今スレをちょっと読み返してみた。こんな感じでいいのか？
アドレスは適当にしたので読み替えろ。自宅にSSGは無いから5GTな
面倒だからI/F表記は変えない

trust I/F:192.168.7.250/24
untrust I/F:172.16.0.113/29
対向I/F:172.16.0.118/29

set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.0
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set interface "untrust" mip 10.0.0.97 host 192.168.7.250 netmask 255.255.255.255 vr "trust-vr"
set route 10.0.0.97/32 gateway 192.168.7.250
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "MIP(10.0.0.97)" "ANY" permit log

[0053 47 2011/06/04(土) 13:46:36.86 ID:???]

PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit

Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
2011-06-04 13:41:36 0:00:04 192.168.7.250 46800 172.16.0.113 1024 ICMP 2040 trust
Close - RESP 1 10.0.0.97 46800 172.16.0.113 1024

PID 200, from Untrust to Trust, src ISP, dst MIP(10.0.0.97), service ANY, action Permit
2011-06-04 13:42:38 0:00:04 172.16.0.118 1 10.0.0.97 97 ICMP 2040 untrust
Close - RESP 1 172.16.0.118 1 192.168.7.250 97

[0054 47 2011/06/04(土) 13:54:46.92 ID:???]

うおお間違って対向のじゃなく自I/Fのログ晒してもうたｗ

ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 13:52:51 0:00:01 192.168.7.250 47800 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 10.0.0.97 47800 172.16.0.118 1024

[0055 50 2011/06/04(土) 18:41:59.29 ID:???]

どうもよくよく読んでいると、
＞46 の
「やったこと１」で、問題ないはずなんだよね。
MIP設定していれば、逆の通信はSrc-NATが自動的に行われるはず。。。

[0056 50 2011/06/04(土) 18:44:48.58 ID:???]

（続き）

＞52
set policy id 100 でsrc dip-id 4 って設定されてるのに
ログでは10.0.0.97 にNATされてるから、
やっぱりMIPアドレスでSrc-NATされてますよね。

policy id 100 のSrc-NATをやめて
dipとルーティングを削除しても同じように動くと思うのですが
試してもらないでしょうかw

[0057 anonymous 2011/06/04(土) 19:36:32.20 ID:???]

>>56
あーやっと言いたい事が分かった気がする（多分）。つーかMIP必要なくね？
面倒だからホストは立てんけど
set interface trust ip 192.168.7.250/24
set interface untrust ip 172.16.0.113/29
set address "Trust" "Globals" 172.16.0.96 255.255.255.248
set address "Trust" "Trust-Seg" 192.168.7.0 255.255.255.0
set address "Untrust" "ISP" 172.16.0.0 255.255.255.
set interface untrust ext ip 172.16.0.98 255.255.255.248 dip 4 172.16.0.97 172.16.0.97
set policy id 100 from "Trust" to "Untrust" "Trust-Seg" "ISP" "ANY" nat src dip-id 4 permit log
set policy id 200 from "Untrust" to "Trust" "ISP" "Globals" "ANY" nat dst ip 192.168.7.250 permit log
set route 172.16.0.96/29 gateway 192.168.7.250

[0058 anonymous 2011/06/04(土) 19:37:34.72 ID:???]

ns-5gt-> get log tra
PID 100, from Trust to Untrust, src Trust-Seg, dst ISP, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:18 0:00:03 192.168.7.250 53000 172.16.0.118 1024 ICMP 2046 trust
Close - RESP 1 172.16.0.97 1059 172.16.0.118 1024

[0059 anonymous 2011/06/04(土) 19:38:36.31 ID:???]

PID 200, from Untrust to Trust, src ISP, dst Globals, service ANY, action Permit
============================================================================================================
Date Time Duration Source IP Port Destination IP Port Service SessionID In Interface
Reason Protocol Xlated Src IP Port Xlated Dst IP Port ID PID Out Interface
============================================================================================================
2011-06-04 19:34:22 0:00:04 172.16.0.118 0 172.16.0.97 106 ICMP 2037 untrust
Close - RESP 1 172.16.0.118 0 192.168.7.250 106

[0060 50 2011/06/04(土) 19:51:58.60 ID:???]

>57, 58

ありがとうございます。

>つーかMIP必要なくね？
自分が思うに、MIPでも、ポリシーベースNATでも、
どちらでも問題なく出来る。。。はずなのですが。

[0061 anonymous 2011/06/04(土) 19:57:55.33 ID:???]

>>60
> 自分が思うに、MIPでも、ポリシーベースNATでも、
> どちらでも問題なく出来る。。。はずなのですが。

建前上はそうだが、双方向NATの場合、Juniperは「MIP使え」と公言してた気がする
ポリシーでsrc/dst-natを両側からやった場合、設定自体はできるが
想定した変換がうまく行われないようだ
まぁそういうのは自分でぶち当たってから考えてみてくれ

[0062 38 2011/06/06(月) 11:12:46.63 ID:2g+XC76r]

>>50-61
お休みに試してまでもらって本当にありがとうございます。
お二方（？）のアドバイスを参考に自分なりに格闘し、ext ipのDIPとウソルーティング切ることができました。
set interface ethernet0/0 ip *.*.*.113/29
set interface ethernet0/0 route
set interface ethernet0/0 ext ip *.*.*.96 255.255.255.240 dip 4 *.*.*.97 *.*.*.97
set interface ethernet0/1 ip 192.168.1.1/24
set interface ethernet0/1 route
(続きます)

[0063 38 2011/06/06(月) 11:14:03.78 ID:???]

set address "Trust" "192.168.1.11/32" 192.168.1.11 255.255.255.255
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" nat src dip-id 4 permit log
set policy id 46 from "Untrust" to "Trust" "Any" "*.*.*..97/32" "ANY" nat dst ip 192.168.1.11 permit log
set route 0.0.0.0/0 interface ethernet0/0 gateway *.*.*.118
set route *.*.*.97/32 interface ethernet0/1 gateway 192.168.1.0
（続きます)

[0064 38 2011/06/06(月) 11:15:14.88 ID:2g+XC76r]

>>62-63のように設定し、inboundは疎通するようになりました。
ただ192.168.1.11のhostから*.*.*.113へpingで到達できなくなって（Globalのdenyログにも出ない）、outboundが疎通できません。
そこでuntrust->trustのポリシーをDIP無しの単純な
set policy id 44 from "Trust" to "Untrust" "192.168.1.11/32" "Any" "ANY" permit log
にしたところpingは通るようになりました。（ただsrc ipが192.168.1.11のままなので外部へは行けず）

あちら立てればこちらが立たずでほんと困ってます。。。長々とすみません。

[0065 38 2011/06/06(月) 19:50:41.74 ID:p3U4UjRg]

>>64
すみません、DIP無しにしたらpingが通ったのはtrust->untrustのポリシーでした。

[0066 anon 2011/06/08(水) 23:08:12.31 ID:???]

長々と判りづらいから今困ってることを箇条下記で書いてほしい。
後、中途半端なConfig貼り付けられても間違った回答する元だから
Configマスキングして何処かにアップロードしてくれ。

[0067 38 2011/06/09(木) 21:48:12.91 ID:IfDCuzon]

>>66
ありがとうございます。

困ってること：
　MIPしてるにもかかわらずSRC IPがルータのuntrust側I/FのIPにNATされてしまう
やりたいこと：
　MIPしているグローバルIPのまま、外に出ていってほしい

設定(SSG5/ScreenOS6.1)：
　untrust側ネットワーク：***.***.***.113/29
　untrust側I/FのIP： ***.***.***.114
　プロバイダからもらったグローバルIP： ***.***.***.96/28
　trust側ネットワーク：192.168.1.0/24
　trust側ホスト：192.168.1.11
　MIP： ***.***.***.97 <-> 192.168.1.11
　config：http://www.dotup.org/uploda/www.dotup.org1688582.txt
　冗長構成です。

[0068 67 2011/06/09(木) 21:54:12.98 ID:???]

>>67
すいません、設定のuntrust側ネットワーク間違えました。。。正しくは以下のとおりです。

設定(SSG5/ScreenOS6.1)：
　untrust側ネットワーク：***.***.***.112/29
　untrust側I/FのIP： ***.***.***.114
　プロバイダからもらったグローバルIP： ***.***.***.96/28
　trust側ネットワーク：192.168.1.0/24
　trust側ホスト：192.168.1.11
　MIP： ***.***.***.97 <-> 192.168.1.11
　config：http://www.dotup.org/uploda/www.dotup.org1688582.txt
　冗長構成です。

[0069 anonymous 2011/06/09(木) 23:16:55.48 ID:???]

いろんな意味で見てて頭の痛くなる内容だな
そもそも冗長構成の意味が解ってるのだろうか

まずその意味のないどころか害でしかないGlobalのポリシーをunsetしろ
話はそれからだ
それだけでsrc:***.***.***.97に変換されて出て行くだろ

[0070 67 2011/06/10(金) 00:24:10.51 ID:???]

>>69
そんなconfig見ていただいてありがとうございます。
NSRPがdisabledなライセンスなので、必死でvrrp使って冗長構成してみたのです。
（もう1台untrustが.115なSSG5がいて、この設定でフェイルオーバーできたので安心してたんですが、やっぱりおかしいでしょうか）

アドバイスの通りGlobalのdenyポリシーunsetしてみましたが、相変わらずsrcが***.***.***.114にNATさえて出ていきます。。。

[0071 anon 2011/06/10(金) 06:21:14.07 ID:???]

NSRP使えないライセンスなんて聞いたこと無いぞ。

[0072 67 2011/06/10(金) 10:24:30.68 ID:???]

>>71
******-> get license-key
Sessions: 8064 sessions
Capacity: unlimited number of users
NSRP: Disable
...
という感じなのです。

それはともかく、untrsutのI/Fにsrc-natされてしまうのがほんとに不思議というか困ってます。
>>55さんの言うように、MIPすれば割り当てたグローバルIPでsrc-natされると思ってたのですが。。。

[0073 50 2011/06/10(金) 21:26:09.19 ID:???]

もしかしたら、ですが。

> set interface "ethernet0/0:6" mip ***.***.***.97 host 192.168.1.11 netmask 255.255.255.255 vr "trust-vr"
MIPは、サブインタフェースのeth0/0:6 につくってますが、

> set route 0.0.0.0/0 interface ethernet0/0 gateway ***.***.***.118
目的のパケットのルーティング先はeth0/0 を向いてます。

このため、内→外のパケットは、LAN側のIF->eth0/0 になるので、
eth0:6 に作ったMIPにマッチしてないと判断されてるのではないでしょうか。
（eth0/0 と eth0/0:6 が同一セグメントなら、サブインタフェースではなく、
　secondary IP で設定してみることをオススメしてみます。
　尤も、あまりこういう使い方をした事が無いので直るのかは判らないです。）

[0074 50 2011/06/10(金) 21:30:30.20 ID:???]

（続き）

とりあえず、シンプルに、サブインタフェースを使わない状態にして
NATがどうなるかチェックできますか？
あと、個人的感想ですが、InterfaceのNATモードはあまりオススメしません。
良くわからん事になりがちなので。。。

あとはバグの可能性。

[0075 ｄｄ 2011/06/13(月) 20:31:07.68 ID:???]

構成図がまったくわからん

[0076 anonymous 2011/06/16(木) 13:01:25.95 ID:???]

SSG140とShrew Soft VPNでVPNを構築してみました
サーバーからVPN経由で端末（Shrew動作側）にダウンロードしてくるのは速くて70Mbpsくらい出るのですが、
アップロードが極端に遅くて(数Kbps程度)困っています。
仮組状態なので端末とSSG、SSGとサーバーはLANケーブルで直結しています。

何か心当たり等ありましたら教えて頂けますでしょうか…。
宜しくお願い致します。

[0077 ｌ 2011/06/17(金) 21:12:46.37 ID:???]

単純に回線の限界じゃないの

[0078 76 2011/06/18(土) 15:38:24.15 ID:???]

LANケーブル直結なのでそれはないかと…

Wiresharkで見てみたところ、同じACKパケットが重複して届いているようです。
WinXP機にNetscreen-Remoteを入れてみたところそのような問題は発生しませんでした。
しかしWin7とかで使いたいのでShrewを使ってみたのですが…
普通にShrewで使えてる人いますか？

[0079 anonymous 2011/06/18(土) 20:21:33.63 ID:???]

>>78
get eventかget log traffic policy <id> で何か出てないか見てみろ

[0080 an 2011/06/28(火) 02:47:24.05 ID:r0YKnM5c]

教えて下さい。SSG20を使用しております。
untrustからtrustへ15秒周期でSSH接続しているのですが、
特定の拠点Aからのみ1時間に1〜2回程度、接続エラーとなります。
SSHのポートは22ではないものにしています。

・拠点A→SSG（SSHのみエラー、80は問題なし）
・拠点A→他のサーバ（問題なし）
・拠点B→SSG（問題なし）

接続エラーは拠点A内の複数のPCで発生します。
拠点AはFTTH、拠点BはADSLです。
SSGのSoftware Versionは 6.2.0r8-cu1.0。

このような状況なのですが、解決の手がかりはありますでしょうか。
get log traffic policyを見ても、問題となるような点は見当たりませんでした。

[0081 anonymous 2011/06/29(水) 06:17:34.17 ID:???]

L2モードでNetScreen使ってます
PC群=====NetScreen=====ルーター
こんな感じです。

この状態でNetScreenから別拠点へのVPNは張れないのでしょうか。
PC群が別拠点のIPアドレス宛のパケットを発するとNetScreenがVPN処理してくれる事を期待しています。
設定はしてみたのですがNetScreenは反応せず…L2モードだとダメなのでしょうか…。

宜しくお願いします。

[0082 anonymous 2011/06/29(水) 06:27:14.26 ID:???]

netscreen/ssgのL2モードではVPNは使えなかったはず

[0083 anonymous 2011/06/29(水) 23:43:58.60 ID:???]

なるほど…orz

[0084 anonymous 2011/07/02(土) 10:46:53.03 ID:???]

>>82
あれ？マニュアルにはL2モード時のVLAN1でVPNトラフィックの
終端が出来るような事書いてあるけど、VPN使えないん？

物は有るが、テストできる環境は無いんで、
誰か試してくれ。

[0085 Anonymous 2011/07/03(日) 00:31:43.43 ID:???]

>>82

L2モードでもVPNは使えるはずです。

>>84

試さなくてもKBには出来ると書いてある。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB5822

[0086 anonymous 2011/07/07(木) 11:33:33.85 ID:???]

NetScreenとNetScreenRemoteでIPSec+XAuthによるダイヤルアップVPNの環境を構築しました。
会社から、VPN接続するユーザーのグループごとに事前共有鍵を変えたいと言われましたが、
私の認識だと仕組み上事前共有鍵は複数設定できないと思っています。
会社に技術的に無理ですと言いたいのですが、私の認識はあってますでしょうか。
宜しくお願い致します。

[0087 anony 2011/07/10(日) 13:51:29.55 ID:???]

>>86
こういうことかな？
User1-A
User1-B
User1-C
User2-A
User2-B
User2-C

User1-XのPSK → User1-PSK
User2-XのPSK → User2-PSK

これならできるよ

[0088 anonymous 2011/07/13(水) 14:19:05.30 ID:FZLUbvfF]

質問：SSH、Webadminが接続できない

確実な再現性がないのですが、
5GTを使い続けていると、コンソール以外のコントロールが失われます。
HTTPSで利用できている状態でも、しばらくすると管理画面に接続できなくなり、
その状態ではSSHでの接続もできません。

パケットでスニファしても、ICMPは戻ってきますが、TCPのｓｙｎ/ackが戻ってきません。

再起動で元に戻りますが、しばらくすると接続ができなくなります。
復帰は見込めないようで再起動以外の対処法が今のところ見つけられません。

なにか情報がないでしょうか？

[0089 88 2011/07/13(水) 14:25:39.20 ID:???]

バージョンは　5.4.0r6.0
です。

[0090 ano 2011/07/13(水) 23:34:54.90 ID:???]

>>88
セグメントが違うなら、3wayのチェックあたり？
経路確認してみてはいかが？
あとは3wayのチェックはずすなり、経路を直すなりどうとでも

コンソールつなげられるってことは、同一セグメントの可能性が強いか

[0091 88 2011/07/14(木) 07:33:20.83 ID:???]

>>90
レスありがとう。

5XTのほうで Syn Flood protection が有効になってた。
いったん設定をはずして様子を見てみる。

助かった(とおもう)

[0092 anonymous@i125-201-11-103.s05.a023.ap.plala.or.jp 2011/08/02(火) 10:47:33.66 ID:???]

NetScreen5GTが投売りされていたので、自宅で勉強のために購入しました。
性能的に無駄な買い物をしちゃったのかなぁ…？っと、思いましたが、
ファイアウォールおよびIPSec/VPN機器として使用したいと考えております。

JuniperサイトからScreenOSをダウンロードしようと、シリアルとメルアドを登録して、
これからダウンロードや設定とかするのですが、ScreenOSの5.4系と6.2系では、何が大きく違うのでしょうか？

あと素人考えなので、玄人の方に教えて頂きたいのですが、
ファイアウォールとしてなら今あるルータの前に設置、IPSec/VPN機器としてなら今あるルータの後ろに設置すればいいのでしょうか？

[0093 ななし 2011/08/02(火) 11:30:42.00 ID:???]

>>92
OSは最新にしとけばいいんじゃね。
ルータは不要。FWだけいれとけばいいかと。

[0094 我輩はぬこである 2011/08/02(火) 23:06:00.92 ID:???]

>>92
勉強用なら性能どうでもいいでしょ
俺も\3,000-でうってたから2台かってきたよ
ns5gt.5.3.0hq1.0とかいう見たことないバージョンだったわ

[0095 anonymous 2011/08/03(水) 10:08:39.03 ID:???]

>>92
5系と6系の一番の違いはIPv6への対応だとオモタ。
ってか、それ以外は
IPv6を使うなら6系、使わないなら5系でもOK。
元々5GTは5.4で打ち止めの予定だったのが、
IPv6への対応の為6系出したって話だったきがす。

[0096 230.93.30.125.dy.iij4u.or.jp 2011/08/04(木) 13:00:49.48 ID:???]

[0097 長すぎる名前 2011/08/13(土) 20:27:50.48 ID:???]

5GT 6.2.0r11でも204 5.4.0r21でも、IPv6使って
VPN作ると再起動後にVPN設定だけ全部消えるんだよね・・・。

まぁ再起動なんて頻繁にするもんでもないので
実害なんだけど面倒くさい。

[0098 anonymous 2011/08/22(月) 00:07:37.58 ID:AfNwj0Zs]

旧機種の中古が安く投売されてるのをよく見る
法人ユーザーがよく手放してるのかな？

[0099 忍法帖【Lv=10,xxxPT】 2011/08/22(月) 06:51:08.26 ID:???]

NS→SSGに乗り換えは前からあるけど、SRXや他製品に乗り換え時期だからねぇ。

[0100 anonymous 2011/08/24(水) 23:48:53.66 ID:gU/33qNK]

SSG(Screen OS6.0)2台で冗長構成（NSRP）をとります。
この際、2台のSSGのWAN側をそれぞれ異なるISPに接続する構成は可能でしょうか？

それぞれWAN側のI/Fには別セグメントのアドレスが付きます。
また、SSG〜WAN間にはL3SWはありません。

すいませんが可能な場合の設定手法等お知恵を拝借出来れば幸いです。