Netscreenユーザスレ r4.0
>>100
機器は対応してるけど、君が対応してないから
やめといたほうがいい
せめて第11部読んでからこような untrustのif増やしてそれぞれにpppoe喋らせれば良いんじゃ無いですか? オクで安く手に入れた中古、耳が邪魔だから外そうとしたが
ネジがゲロゲロに堅く締まっていて外せない。
片方は滑り止め使って残り一本までいったので逆に耳の方を回して解決。
もう一方は二本残ってしまいビスブレーカー使ってもダメ。
このために精密ドライバー3本潰して滑り止めとビスブレーカーで
結局高くついた。
現在SSGのDMZ2とルータB(RTX1100)のLAN3が接続されているのですが、
SSGのルーティングの設定で質問があります。
1、SSGとRTX1100はそれぞれPPPoEの設定がされている。
2、現在SSGのtrust側はSSGのデフォルトルート(untrust)でインターネットに
抜けているのですが、事情がありRTX1100でインターネットに抜けて行く
設定にしたい。
3、かつ特定のグローバルIP(61.0.0.0.)だけはいままで通りSSGのuntrust側で通信がしたい。
構成
ssgのtrust側PC-A 192.168.0.0/24、DMZ3のアドレス172.16.0.1
rtx1100のlan3アドレス172.16.0.10
上記の2の場合は、あて先0.0.0.0でゲートウェイ172.16.0.10で
良さそうな気がするのですが、上記3の場合はあて先61.0.0.0でゲートウェイのアドレスはどのように設定すればよろしいのでしょうか?(gateweyは0.0.0.0でいいのかなぁ?)
宜しくお願い致します。 105です。
失敗してrtx1100のVPN先と通信出来なくなったら困るので、質問しました。
宜しくお願い致します。 で、そんな状況なのにここの人間の言う事信じてチャレンジするのか? >>105
こんな所で聞いてないでさっさと販売代理のサポートにメールでもしろ トンネルがなんで落ちるんですか? どこ心配してるのか書いて欲しい ssgの0.0.0.0をrtxのlan側にふったら良いんでは?で、60なんちゃらはuntrustとうせば。 >105
ルーティングはそれでいいけど、untrustからdmzへのポリシー設定忘れんなよ。
>>26
これってIE側の設定でなんとかならないの? >>113
何をやっても、ダメだったと思う。
解決策は、IE9以外を使うしか無いかと。
一応、6.3.0r9で、予告通り対応がされたから、
更新できるなら解決するが、
それ以外は諦めるしか・・・
なんかWindowsアップデートしたら遅くなった XP-IE8
他のブラウザだと問題ない JUNOS機器を使ってる人いたら使用感おしえてください。
スレチかもだけどよろしくです。 確かに、製品としてはマダマダだけど何でもできる装置だから個人的には好きだな。
EXってスイッチのくせに止めるのにシャットダウン操作が必要って本当? >>117
レスありがとう。
xmlを使ってDBいじるように設定するイメージなんだけど、確かに普通に考えたら重そうな気がするな。
>>118
そんな風にも見えるよね。でも習得は楽じゃなさそう…。
とりあえずまだしばらくはSSGで提案かな… >>119
男らしく、おもいっきりブートログにFreeBSDってでるからw
少しは隠そうぜとw >>116
webUIが糞重い。
バグって設定出来ない所がある。
ポリシーが反映されないとか稀にある >>124
CLIに慣れるまでどれくらいかかった? これからずっと放置してたNS25をバージョンアップ
5.0.0r6 → 5.4.0r18
再起不能になったら骨ひろってくれよな でんどん、でんどん、でんどん、でんどん、でーーーーんどん うわああああああああああああああああああああああああああああorz 野田は知っているのか…TPPに潜む“訴訟地獄”の阿鼻叫喚
「訴訟大国・米国相手にISD条項を認めるのは狂気だ。賠償金をむしり取ったり、
自社が儲かるように制度を変えさせる手段として使うだろう。
加表明国で、米国に次ぐGDP2位の日本は最大の標的だ」
「エコカー減税のせいで米国産の車が売れない、国民皆保険制度のせいで
民間の保険商品が売れない−など。国の訴訟リスクは計り知れない」と指摘した。
TPPに詳しい京都大学大学院の中野剛志准教授はこう話した。
11日の参院予算委員会で、ISD条項を取り上げた自民党の佐藤ゆかり参院議員はこう解説する。
「条約なので、ISD条項が国内法よりも上位になる。国内の司法機関が関わる余地はなく、
仲裁機関で審査され、決定に不服があっても覆らない。一審で確定する。」
ごく一部、判明したISD条項の例(佐藤ゆかり事務所調べ)
投資家国籍 訴えられた国 ビジネス 賠償
米国 メキシコ 廃棄物処理 1669万ドル
米国 カナダ ガソリン 1300万ドル
米国 カナダ 廃棄物処理 386万ドル
米国 カナダ 不明 1億3000万ドル
米国 カナダ 水 105億ドル
http://www.zakzak.co.jp/society/politics/images/20111118/plt1111181251005-p3.jpg
TPP中身知らない野田・枝野/ISD条項・国内法に優越する事も知らず
http://www.youtube.com/watch?v=v7QHGesP3tc&feature=related
やっぱバージョンアップとか業務影響ありすぎだお…
くじけそうだお… 旧バージョンのサポート期間切れるきりきりまで粘ればいいじゃん
で、サポート期間切れそうになれば、十分枯れてそうなバージョンにアップデート ScreenOSのサポートっていつの間にか2013年迄になってたのね。
ちょっと前の予定だと2011年(これも確か延長しての話)だったと思ったが。
SRXへの移行が芳しくないのかね? へ?SSGのサポートとScreenOSの最新版のサポートは続くだろ? 公式だとscreenos6.3は2015までになってるな。
www.juniper.net/support/eol/screenos.html 2015年過ぎた頃にはサポートされる新バージョンのScreenOSが出てるだろ。
現実問題ScreenOS使う機器のサポートをやめてユーザにSRXへの全面移行させるなんて無理。 SRXがポシャる事を皆望んでる。それともフォーティに乗り換える? Juniper的にはnetscreenの技術が欲しくて買収したようだし
ScreenOSよりJunos機器を売りたいのは分かるけどSRXは
相変わらず有料デバッグ状態だし、ScreenOSもJuniper社
に買収されてから完成度が落ちたと思う
そろそろ別のメーカーの製品に変更してるユーザーも多い
んじゃないかな?
そーゆーのパックンチョするパワー感がシスコにもジュニパーにもなくなってきたなーと感じるわ。w そもそもファイアウォール専用機器をSRXにする必要性が意味不明
ファイアウォールならScreenOSのほうがはるかに使いやすい
SRXにするのは統合機とか、ルータに積むファイアウォールモジュールだけにして、
単体ファイアウォールはScreenOSのままやってくれ netscreen-5GT extendedライセンスで、
ポートモードをextendedにして、3ゾーンで透過モードで運用したいんだが、
これって可能?
透過モードにする場合、インターフェイスにSecurity(L2)タイプの
ゾーンを割り当てないといけないんだが、extendedモードでは
set int eth1 zone V1-Trust
って設定ができないんだわ。
zoneに指定できるのがNullとTrustしか出てこない。
わかる人教えて。
ちなみに、バージョン5.4.0r17.0です。 148です。自己解決しますた。
データシートに
Transparent mode only works in trust/untrust mode
って書いてあった。
つまんね。 さっさと強制SRX化は中止してScreenOS継続する宣言してくれ
ファイアウォールでSRXとか誰得だよ 日商エレとジュニパーが合弁会社「ジェイネットワークイニシアティブ」を設立 - ニュース:ITpro
ttp://itpro.nikkeibp.co.jp/article/NEWS/20111207/376055/
去年のニュースだけど、代理店からしてみりゃこういう不義理めいた事もしてるから
マジで見切りつけられたりするかも知れんねw だよねー。そもそもジュニパーって売れてるの? スイッチとか。エンタープライズでじゅのす使ってるとこあるの? どうせ学校の先生騙して他校との差別かとかで入れてるアホ大学ぐらいじゃないの? キャリアには沢山入っているのかな?
みたことないからワカンニャイ。w たくさん売れてるのかっていうと売り上げ下方修正とかって
話もきいたりするから、微妙なのかもね。
うちはWeb屋だけど、導入してるよ。NetscreenもEXも。
たくさん値引いてくれたからだけど。
安定してうごいてるから導入して後悔とかも無い。
Ciscoのiosが個人的には得意だったけど、junosのほうが扱いやすい感じかな。
iosは使える人が多いっていうのが利点だな
junosは、ios使える人ならすこし勉強して慣れれば使えるようになるけど シスコはマニュアルがクソ過ぎて本買わにゃいかんのが好かんわ。 「同じセグメントにいる機器同士を通信させない」のって、何ていう機能ですか?
Juniperスレで聞いたらできるらしいんだけど、機能名がわからず調べようがなくて。 SSL-VPNの勉強に2〜3台欲しいのですが
中古でどれ買うのがおすすめなの? >>160-161
言われてみればトランスペアレントモードもたしかに…だけど、
今回やりたいのは、WANやDMZがある中でのLAN側同士の通信遮断なので
プライベートVLANでよさそうです。
ありがとうございました! >>162
クラスタ組むならexetendedライセンスがいるから自宅ではちょっとなぁ まぁ正解が知りたきゃ代理店かサポートに聞けってこったな >>162
SSL-VPNならSAかな
IPSEC-VPNならNS
SAはなかなか出回らないよ。 この前ヤフオクで珍しくSA700が出てたけど、
起動時のコンソール出力が化けててなんか怪しい代物だったわ。 強制SRX化中止してScreenOS継続宣言しろよ SRX初めてさわったんだが、
起動遅すぎ
config保存遅すぎ
GUIの動作遅すぎ
commit時エラーで吐かれたコマンドまでいちいち消さないといけない?
なんなんすかこれ srxでvpnはるとハングったりするから素晴らしい。リブートじゃないよ、だんまりだよ。natもくそだしな。w かつてはFortiがダメダメでNetscreenがまともだったが、
このままSRX化強行すればFortiとNetscreenで評価が逆転しそう utmって本当に効果あるの? urlのブラックリストとスパムメール排除のが効果あるんじゃないのかな? >>174
やつらは650とかまでひっくるめて
中小クラス扱いだから機能制限アリアリでも良いと思ってるんでしょ。 screenOSとvyattaの相互接続ってできるの?
ちょっと疑問に思ったので、知っている人がいたら教えてください。
ScreenOSでVIP設定をしたとき、例えば
virtual port:10022
service:SSH(22)
と設定した場合、VIP用のポリシーでは
・VIPに対するSSH(22)を許可する ⇒マニュアルに記載の設定例
だけど
・VIPに対する10022を許可する
でも動きますよね、たしか。じゃないと、送信元IP毎に開放するポート(10022,10023とか)を
分けられないし
どこかに記載があれば安心なんですが。。
>>183
マニュアル第一章のパケットフローシーケンス嫁 >>184
レスありがd
マニュアル記述を見ると、ポリシー検索前にMIP/VIP処理を行いアドレス変換を
行う、ような動作になります。
ポートマッピングもVIP処理におけるアドレスマッピングと同時に行われるとすると
「VIPに対する10022を許可」は意味がないように思えます。
⇒ただ調べたところ既設のNetScreenでは10022をポリシーで指定しているものもありました。
ポリシーの宛先IPにはVIPアドレスを指定することから、ポリシー検索時にVIP設定
を参照していることは間違いないと思うのですが、パケットフローシーケンスの記述
からは読み取れず。
Untrust⇒GlobalでVIP/Virtual Portでポリシー検索
Global⇒Trustで実IP/Serviceでポリシー検索
とかだったら分かるのですが、読解力が足りない? なにこだわってんのかよくわかんねーけど、ポリシー2つ書いてログして並び替えてみればだいたいわかるんじゃね? >>185
時間ないからすぐ試せんけど、>>186のが簡易検証として手っ取り早いと思われ
get log policy [id] か get log traffic policy [id] で
ポリシーにマッチしてるか分かるから、それで調べてみては
こだわるなら get dbuf stream でキャプチャ(負荷に注意)
mipのポリシーとかも、juniperが推奨しない書き方でも通ったりするから、
度重なるバージョンアップの中の仕様変更で生まれた
シンタックスシュガーみたいなもんだと自分は適当に思ってるよ SRXとNS-5GTで1年以上IPSEC VPN貼ってるけど、まったく問題ない。
GUIはクソだが、CLIはScreenOSより気に入ってる>Junos >>186 >>187
ありがdd というかレス遅くなり申し訳ない
手元に実機がなかったので、自社内で利用しているNetScreen&設定変更しても
ユーザ影響のないやつを探して試してみました
※トラフィックキャプチャまではできなかった
機器:NS-5GT
OS:5.3.0r5.0(古い・・)
Untrust to Trust
@Any→VIP 22 log
AAny→VIP 10022 log
並び替えても何してもAの方にしかログが吐き出されないという結果になりました
バージョン古いからか、マニュアルの間違いなのか、というところ
とりあえず結果報告&改めてレスに感謝いたしまする
&ごちゃごちゃと長文ばかりで失礼すますた 5gt key
extended_key : 2ApwPcCBUBUpp7ITb2S5EKeHsOrnt4of2oeRKHR8aCXXukkAfJ
S4PjdXQSM5mrLqY+6ePgE0qsAaY25E6MkpEaDZpaok3zUk2SuB
HxV/
fe3Kh+bDgYqH39xlOfUpLSwXGlxgZrf1P8BZW0zKlQ7CnfmB2i
55ByT0jgVKW9MfcYbotfqYN/
4wOTvO2XTYpqCskqvMb8amVOLqw034WuOlX9SePr5bEy9MDtrQ
bqRzExV2f8VuWne1StXeVIUEMwkYBhZyeQ/lLNy0QPw6oLj/
x4LbBeP4azefPD5aUIUo1/
lKQseKywhwDwokSonFWB2TlziefS12847KPQS4ksbcZ5g==
つかえる? di_db_key : 2FmTnDreN8cpOQHNyaIkbzfBeGdlxOExYDFu2s93yojZeaTGXW
cNFvt28egOOWE4dzthWnLyRsqM+5UPI/
BJSMdIvhQkHSmJJ5kou/pkRtmNykiAzD2jyIGbU/
IJ4rk6CGFGdZlM8jYQaZlcXTSAj9jgor8AUyrcAgSCo7iEr+WK
sJkOvU1id2vUq7s2dbQbLmtWh45wSbIoUQBMB/
D95dES0PqTs939YDXhMW7OCMJg9CN0QGmKVEoKdLvi6fMStAEA
GdElgwYZ+goGMIGykctjijTVjWekoeyMRVP9Zei3BLJpC3AcnL
9H+tfrWaszRLTh6zXBUaHcwSF7qFftWxA==
expire date: 2006/4/25
av_key : 2S5373Hktp+gD90W8QEIOXghTjs4XRprrRoEA6NO7AhQPycp9P
5LB57RDUU7X+aQBxHUDc4269h1dPddqo3CCvi/F3PNKxHOb/
8M/nAYlYKRC8iexNc4+vwSErCDxX8Ltec/
USIRQfzRO7xpp1efhq2TO9a8wq9xaJA/
GBx4087Np5y+mJg0LnbhsloxXTioQqgkVPNAdtlnVdUf1JhJCF
+MtyAbBlzDgFbFgF5sNlvjoylvSp1dbstUHiEAmfe0NsD4NuRy
w07Z+qayuxu8EjkJqKDRV9x51Lq37jcTG6GKQkkiIguQ+sGnfr
m+UW8Jfl8/18+BuQphEF+tR58+c0g==
expire date: 2006/4/25
extended_key : 2L6npbqeIrxNNwg4vXF2vu3j1M4MzU06TQsna2vPF8V9fLh+TS
9zeEbq4yBYLi/
7WWQ5KoHQhCk7amsIa8QFVlb+1MCXDeuhlaejozFq1dFxdQa7G
9/
eZQoFSFUSIlkQZXlTH6DHXRdw89Poy0z+R2EdYGX74ge5E3IQg
qwGOPp3fiCj3naPtmTmAZ5+RNtqyXRPpN6ldvxL5/LsxjT1X/
6Jw2ErnORVBepTSsIW0OcQg0zasCdft+Du/u/
zC6qCxUjMbeHJ16mOxLZ7LasawBtYFbT0B38GZQkLYi/
O9acCp7qWIhCRimvdzRSuLTwrYazJTrYlZ09Ss+qjQnSD/
nw== >>190
試してないけど、こう言うのってシリアルナンバー依存なんじゃないの? 5GT 5.4.0 r6.0
WebUIも、sshもだんだん繋がらなくなる現象。
調べたら、
unset zone Work screen limit-session source-ip-based
unset zone Work screen limit-session destination-ip-based
で調子がよくなる、って話を見つけたんだけど、
これやっても繋がらなくなる。
WebUIが死ぬのは仕方ないとしてもsshまで死んでまうのがなんだかなぁ。
ほかに対応ってあるんでしょうか。
コアな人教えて
ちなみに設定でscreen はすべてOFF
調子悪いので、Toggle Menuすら開かない。 とりあえずリビジョンかバージョン上げてみるとか。
もうハードが壊れてるんじゃないのとか。
5GTならver6も入るよ。 >>196
レスありがと。
2台あるんだけど、2台ともってことでHWエラーとは思いたくないかなぁ。
ScreenOSは検討してみるだ。 5.4で管理系のセッションが残ってしまうっていう不具合あったはず。 >>195
コンフィグや構成見てないから分からんけど、リリースノートくらい見とけ
ttp://www.juniper.net/techpubs/software/screenos/screenos5.4.0/rn_540r10.pdf
移行するなら6系のも見とけよ >>198
それは、
clear session all
でクリアすればよい話デスか?