NetScreen/SSG設定の掲示板

DMZに設置した折り返しリモートVPN

Netscreen5GTをDMZに設置し、インターネット側から
リモートVPNでNetScreen経由でイントラのサーバにアクセス
させようと考えておりますが、うまくアクセスできていません。
ちなみに、VPNは張れていますが、イントラとの通信ができていません。

Netscreen5GTは、untrust側のインターフェースのみdmzセグメントのIPを割り当てており、イントラ側は使用しておりません。

よく下記の様な例を見ますが、今回の場合だと、untrust側のインターフェイスしか使用していないため、難儀しております。
送信元ゾーン：untrust
送信元：ダイアルアップVPN
宛先ゾーン：trust
宛先・any
アクション：tunnel

折り返しリモートＶＰＮは、5GTでは使用できないのでしょうか。

[2598]　koko　(2012/04/07 Sat 13:59)

内部向けDNSサーバの設定について

はじめまして。

untrust側インタフェースでDHCPクライアントを有効にして、上位ルータから外部のDNSサーバの広報を受けています。trust側ネットワーク内では内部向けのDNSサーバが稼働しており、trust側インタフェースのDHCPサーバで、この内部向けDNSサーバのアドレスを広報したいのですが、
ns5xt-> set interface trust dhcp server option dns1 192.168.1.101(<-内部向けDNS)
で設定しても、しばらくすると dns1 の設定が、上位ルータからの広報を受けた外部DNSのアドレスに変わってしまいます。
どう設定すればよいのか、教えていただけますでしょうか。

よろしくお願いします。

[2597]　yuji　(2012/04/05 Thu 00:10)

testをしてます

SPAM対策として

[2562]　test　(2011/10/14 Fri 22:06)

Re^3: testをしてます

つづきです

[2581]　test　(2011/11/22 Tue 21:55)

Re^3: testをしてます

testしています

[2592]　test　(2012/03/14 Wed 21:37)

ポート開放 について（ネットスクリーン５ＧＴ）

基本的な質問ですみません。過去スレも拝見しましたが、解決しなかったので質問させてください。

ネットスクリーン５ＧＴでポート開放をしたいです。
目的は郵便料金システム（オランダ在）です。

機器メーカから言われたのは、
ポート５０６０を開放すること
ＵＤＰのポート１００００〜１００１１を開放すること
です。５０６０に関しては他の記述はありませんでした（一応ＵＤＰ、ＴＣＰともに試しました）。

質問は下記です。

１．ポート開放手順は下記で正しいでしょうか。

�@オブジェクト＞サービス＞カスタムで
　新規サービスを作成。

�Aポリシーで
新ポリシーを作成し、�@を指定。

２．上記手順で設定後、オンラインのポート開放チェックサイトなどでチェックしましたが、開放されていないと言われます（機器も作動しません）。何が不足してるのでしょう？ インターフェースでしょうか。
特にあて先のアドレスがあるわけではないので、現時点ではインターフェースは設定していません（念のためＶＩＰを作成してテストしましたがうまくいきませんでした）。

３．（ネットスクリーンからは質問がずれるかもしれませんが、）もし上記設定が正しいとしたら、開放されないのは他に何が原因と考えられるでしょうか。ファイアウォールでしょうか？

以上一つでもご回答いただけると大変助かります。
宜しくお願いします。

[2589]　すずき　(2012/01/24 Tue 02:27)

Re: ポート開放 について（ネットスクリーン５ＧＴ）

お返事いただいていませんが、
無事解決したので締め切らせていただきます。

[2590]　すずき　(2012/01/28 Sat 00:05)

SAでユーザに割り当てるIPを固定にする方法

お世話になります。SAについてご質問させてください。
NC機能を使用してクライアント接続させる際、例えば、Aさんであれば192.168.1.1、Bさんであれば192.168.1.2といった具合に毎回ユーザー毎に同じIPアドレスを割り当てることは可能でしょうか？
また可能な場合、登録数に上限はありますでしょうか？
SA2500の導入を検討中です。
以上よろしくお願いいたします。

[2548]　カノン　(2011/04/08 Fri 17:13) mail

Re: SAでユーザに割り当てるIPを固定にする方法

各個人用のroleを設定することによって、結果的にユーザに専用のIPアドレスを割り振ることもできなくないですが、SAの設計において、そこまでやると細かくなってしまうので、あまり現実的ではないと思います。

[2587]　hide　(2011/12/10 Sat 04:37)

MIPとDIPの構成について

[構成]

NetScreen SSG5

ゾーンはTrust、Untrust、DMZ。

Trust-VRはTrust、DMZ。
Untrust-VRはUntrust。

Trustは192.168.0.0/24

DMZは192.168.1.0/24

Untrustは192.168.2.0/24

[質問]

以下の3つ全てを実現可能でしょうか？
実現可能な場合、どのような設定をすればいいでしょうか。

�@Trust to UntrustポリシーでソースアドレスNAT(DIP)し
　デスティネーションNAT(MIP)も行う

ソースIPが192.168.0.150であて先IPが192.168.2.200。
　→NetScreen通過するとソースIPが192.168.2.30に変換され
　　あて先IPが192.168.10.200に変換される

　　※192.168.10.100はUntrustゾーンの先にあるNW

�ADMZ to UntrustポリシーでソースアドレスNAT(DIP)し
　デスティネーションNAT(MIP)も行う

ソースIPが192.168.1.150であて先IPが192.168.2.200。
　→NetScreen通過するとソースIPが192.168.2.31に変換され
　　あて先IPが192.168.10.200に変換される

　　※192.168.10.100はUntrustゾーンの先にあるNW

�BUntrust to TrustポリシーでデスティネーションNAT(MIP)を行う

ソースIPが192.168.10.100であて先IPが192.168.2.100。
　→NetScreen通過するとあて先IPが192.168.0.100に変換される

　　※192.168.10.100はUntrustゾーンの先にあるNW

�CUntrust to DMZポリシーでデスティネーションNAT(MIP)を行う

ソースIPが192.168.10.100であて先IPが192.168.2.101。
　→NetScreen通過するとあて先IPが192.168.1.100に変換される

　　※192.168.10.100はUntrustゾーンの先にあるNW

以上よろしくお願い致します。

[2585]　初心者　(2011/12/09 Fri 01:44)

Re: MIPとDIPの構成について

誤：以下の3つ全てを実現可能でしょうか？

正：以下の4つ全てを実現可能でしょうか？

[2586]　初心者　(2011/12/09 Fri 01:46)

ポリシー稼動試験

ファイヤーウォールのポリシー稼動確認試験を検討しております。そこで質問が御座います。
現在の設定されているポリシーはtelnet、ssh、NTP、IKE、IKE-natのサービスが定義されております。
ポリシー数も１０前後なのでipsendなどのパケットジェネレイトツールで稼動確認を行いたいと思っています。

１．ipsendで擬似パケットを送信。
２．SSGにログインし、ログを確認する。

上記の構成で正しく行えますでしょうか。どなたかお教えいただけないでしょうか。

[2557]　ぴろきん　(2011/09/14 Wed 09:34)

NetScrren204の再起動について

NetScreen204を使用しているのですがある日勝手に再起動が走りました。
再起動した為ログもなくなってしまったので、同じ症状の人がいないか
ネットで調べていた所以下のような説明がありました。

「NetScreenはアクセスログに上限があり、ある程度たまると勝手に再起動する仕様」

こんな仕様本当にあるのでしょうか？。ある場合ある程度とはどれぐらいなんでしょうか

[2556]　3GGG　(2011/09/05 Mon 12:13)

インターフェースの設定について

SSGを設定する初心者になります。
インターフェースにIPを振りたいのですが
set　interface のあとにehernetとコマンドを打つことができません。？では下記のように次のコマンドが表示されます。
大変お手数ですがご教授をお願いできますでしょうか？
よろしくお願いいたします。

ethernet0/0 ethernet0/0 interface
ethernet0/1 ethernet0/1 interface
ethernet0/2 ethernet0/2 interface
ethernet0/3 ethernet0/3 interface
ethernet0/4 ethernet0/4 interface
ethernet0/5 ethernet0/5 interface
ethernet0/6

[2543]　jt4　(2011/01/17 Mon 01:22)

Re: インターフェースの設定について

Bgroupインターフェースにport設定されているポートのお話しですか？

たとえば、下記eth0/6　（bgroup0にデフォルトポート設定）
＝＝＝
ssg5-isdn-> set interface ethernet0/6 ?
description configure interface description
dot1x enable IEEE802.1X feature
phy interface physical feature
＝＝＝

その場合は、一度Port設定を外す必要があります。
"unset interface bgroup0 port ethernet0/6"

[2555]　jiro　(2011/07/28 Thu 13:21)

SSG5 専用線の設定

お世話になります。
専用線接続の設定方法について質問があります。

下記の構成にて専用線を用いてLANから
インターネットに接続したいのですが、うまくいきません。

専用線もSSG5も初めてさわるため、
見当違いなことをしているかもしれませんが
ご容赦ください。

===
[構成]
　(Internet)-[業者側ルータ：(2)]-[ONU]-(専用線：(1))-[ONU]-[社内側ルータ：(3)]-(LAN：(4))

　(1)WANネットワークアドレス：202.x.x.1/30
　(2)WAN側IP：202.x.x.3
　(3)WAN側IP：202.x.x.4
　　 LAN側IP：192.x.x.1
　(4)LAN側IP：192.x.x.1/24

　現在は(2)-(3)-(4)間ではpingによる疎通が確認できます。
===

複雑な設定はしておらず設定したのはSSG5のWEB UIにて
インタフェース、ポリシーのみです。

・インタフェース
　　untrust(ethernet0/0)　→　staticIP：202.x.x.1/30
　　　　　 　　　　　　　　　 Interfacemode：route
　　trust(ethernet0/2-0/6) → staticIP：192.x.x.1/24
　　　　　　　　　　　 Interfacemode：NAT

・ポリシー
　　　trustからuntrustに向けてのポリシーは
　　　全てのサービスを許可にしています。
　　 Advance設定は下記の通り
　　　 NAT:
　　　　Source Translation: ( 選択 )
　　　　　(DIP on): None ( Use Egress Interface IP )
　　
　　　untrustからtrustのポリシーに向けてのポリシーは
　　　全て許可にしています。

[2551]　drive　(2011/06/17 Fri 06:42)

Re: SSG5 専用線の設定

Routeの設定はどうしています？
デフォルトGWなら、Dst0.0.0.0/0で設定してあげればいいと思います。

[2554]　jiro　(2011/07/28 Thu 13:15)

IPの異なる場合のActive/Active

接続する外部ルータ2台のネットワークアドレスがかぶらないので2台のssgのUntrustポートを同じIPにすることが出来ないのですが、NSRPでActive/Activeの構成は可能でしょうか？
conf syncをunsetにした上で、VSDグループを作成したら、ssgのWebUI上ではActive/Activeに成功した表示になるのですが、ルーティングに使用しているOSPFインタフェースが片方のssgでしかactiveにならずうまくいきませんでした。

現状ssgに空きポートはなくUntrustを2ポートにするのはルーティングの抜本的な見直しが必要なため最終手段としたい。

[2553]　kirin　(2011/07/13 Wed 23:46)

対向VPNの間にFWが入っている場合

装置対向VPNによるネットワーク間の接続をしています。

NetScreen と NetScreen の間に別筐体のFWが設置されているせいか、正常に通信が行えません。
NetScreen - Internet - FW - NetScreen
（FWがない構成だと正常に通信できています。）

このような構成で注意するべきことはあるでしょうか。

[2550]　akira　(2011/06/10 Fri 17:08)

Re: 対向VPNの間にFWが入っている場合

本件、解決しました。

[2552]　akira　(2011/06/29 Wed 12:42)

AndroidでVPN接続

こんにちは。

NetScreenやSSGで、Android（Ver2.2）を接続された経験のある方いらっしゃいませんか？

いらっしゃいましたら設定のポイント等ご教授いただければ幸甚です。

よろしくお願い致します。

[2549]　davids　(2011/06/03 Fri 16:06)

WebUI、SSHでの接続が徐々に出来なくなる

いつもお世話になってますです。
質問が大きく分けて2つあるのですが(なんとなく関連があるような)

■質問
１．WebUI、SSHでの接続が徐々に出来なくなる。どうして？
２．counterでout deferが数秒ごとに増える。なぜ？てかなに？

■構成
internet -- NetScreen5GT -(DMZ)- NetScreen5GT --PC
　　　　　　　　NS1　　　　　　　　　NS2
(Internetは切り離しても再現します)

■ScreenOSバージョン
R5.4.0 R6

■現象概要
PCから管理画面をWebUIで開いていると、特にNS1において徐々にWebUIが開かなくなってくる。
NS1をresetした直後は、WebUIをひらくと、Homeが開かない程度の不具合
数分〜程度でToggle Menuが、1〜数時間でSSLの警告以外開かなくなり、
その後完全に開かなくなる。
完全に開かなくなった場合、WebUIを開こうとして送ったSynパケットにすらまったく反応が無くなる。
この状態では、SSHも接続不可となり、電源断か、コンソールからのresetしか方法が無くなる。
リセットすれば、先頭の状態にもどり、確実に再現する。

■ログ
イベントログは通常のログ以外特に何も出てこない
counter において、out deferの値が増えているのみ
セルフログは有効にしているが、なにもログしない

■設定
初期化ののち下記の設定のみ
１．InterfaceのIPアドレス付与
　　　Manage IPは空白(自動で自身のIPに設定される)
２．NS2においてルーティングでDefaultGatewayの設定
ポートモードはHome-WorkでもTrust-Untrustでも再現
以上

■そのほかにしたこと
ネットワークケーブルの品質かと思い、ケーブルをいろいろ変えてみたけど駄目。
NS1とNS2を入れ替えても再現
NS2を5XTにしても再現

■で聞きたいこと
まあ、トラブルが解消すれば、最高なんだけれども、
１．こんなことってあるの？
２．out deferのエラーってどうやって解消するの？
あたりを聞けたらと思います。

out deferは今回の問題に関連しそうな唯一の振る舞いなので気になってます。まあ、ケーブルの品質とかMTUとかの問題で送信できないパケットのような気がしますが、なんだろうなぁ、と

[2542]　ほげ２　(2010/12/06 Mon 19:22)

Re: WebUI、SSHでの接続が徐々に出来なくなる

回答が無いようなので。

out deferについては以下で。
http://kb.juniper.net/InfoCenter/index?page=content&id=KB6804&actp=search&viewlocale=en_US&searchid=1297403722906#

ケーブルとか悪い可能性高いですね。

[2546]　通りすがり　(2011/02/11 Fri 14:59)

httpのuser-agentでフィルタリングはできますか？

webサーバとクライアントPC間にSSGを配置した場合に、
HTTPのuser-agent（ブラウザ情報）を使用して、
フィルタリングはできますか？

[2544]　olivesurf　(2011/02/09 Wed 13:42)

Re: httpのuser-agentでフィルタリングはできますか？

追記です。

例えば、useer-agent（ブラウザ情報）が、
IEなら通過させるが、Mozillaならパケットを破棄する
というようなことです。

[2545]　olivesurf　(2011/02/09 Wed 14:13)

TCP-RSTについて

NetScreenの勉強はじめたばかりの初心者です。
ゾーン設定で”tcp-rst”というものがあります。
set zone "Trust" tcp-rst
これはどういう機能で、どういうゾーン（trust,untrust....カスタムゾーン）に設定すべきなのでしょうか？

[2541]　迷える子豚　(2010/12/02 Thu 15:30)

SSGの仮想ルータ機能について

はじめまして。
いつも参考にさせていただいております。

どうしても不安なことがあり、ご質問させていただきたく
書き込みを行いました。

仮想ルータ機能とソースルーティングの機能を使用して
2系統のLAN内ネットワークから、2系統のWAN側ネットワークへ
ルーティングを振り分けたいと考えております。

例として、LAN1からの通信はTrust-VRを使用してWAN1へ、
LAN2からの通信はUntrust-VRを使用してWAN2の通信へ
振り分けたく、実際設定したらちゃんとやりたいことは
できていました。

この仮想ルータ機能とソースルーティング機能は初めて使用
しましたが、これらの機能の仕様や皆様が経験された事例で
注意すべきことはございますでしょうか？

特に、仮想ルータがSSGの内部に2つあるということに違和感を
持っており、こちらの機能で、特に注意すべきことはござい
ますでしょうか？

やりたいことはできましたが、何分はじめて使用する機能ですので、自分が認識がない仕様や当然設定すべき項目が存在したため、
障害が発生した、ということが起こらないか不安でしょうがありません。

大変抽象的なご質問で申し訳ありませんが、よろしくお願いいたします。

[2539]　airai　(2010/10/24 Sun 18:22)

Re: SSGの仮想ルータ機能について

恐らく特に問題の無いご利用方法かと。

不安であればセッション発生中にdebug flow basicで設定通りの
フローになっているか確認するのもアリです。

もちろんバージョンによって問題がある可能性はありますから、
事前にリリースノートを確認することをお勧めします。

[2540]　xgd444　(2010/10/25 Mon 11:41)

DIPとMIPの併用について

はじめまして、もし何かヒントを頂ければと投稿致しました。

■要件
・新たにメールサーバを追加する
・新設メールサーバは送信専用とする

　※ウイルススキャナのライセンスの関係上、受信が出来ないため、送信専用とする必要があります。
　※新しくグローバルIPは使用できない状況です。

■質問内容
[Trust⇒Untrust]について、Trust側の2台のサーバのIPを1つのグローバルIPへDIPにて変換し、
[Untrust⇒Trust]で、外部からMIPで同じグローバルIPを経由し、Trust側の2台の内、固定的に1つのサーバへ変換したいと考えていたのですが、
NetScreenでは、IP重複によりエラーとなり登録することができませんでした。

NetScreenのバージョンは、「5.4.0r13.0」 を使用しているのですが、この要件を満たす設定方法はございますでしょうか。

[2537]　アライ　(2010/10/06 Wed 18:57)

Re: DIPとMIPの併用について

はじめまして。
これって前提としてUntrustインターフェース自体のIPadd以外のグローバルIPを使う認識であってますでしょうか？（グローバルIPを2つ以上持っている）
その前提で自分も試しましたが難しいですね(^^)

代替案としてUntrustインターフェース自体のIPaddを使って通信するのであれば難しくは無いかと。。
[Trust⇒Untrust]は通常のSouceNAT
[Untrust⇒Trust]はVIPを使用してサービスポートレベルでDestnationNAT
上記であれば同じグローバルIPでの通信という意味では通信可能です。
無理矢理感はありますが参考までに

[2538]　Toshi　(2010/10/07 Thu 14:00)

グローバルの設定について

現在、netscreen 204を使用し、trust側のユーザーにプライベートアドレスを払い出し、ポリシーベースのnat(dip)にてインターネット接続をしております。
これから、一部のユーザーにグローバルアドレスを払い出しをしてインターネット接続することを考えているのですが、以下の手順で問題ないでしょうか？

�@　trusut側にグローバルアドレスの範囲の設定追加。
�A　policiesの設定　trust(グローバルアドレス）→untrusut any
permit
　　　　　　　　　　untrusut→trust(グローバルアドレス）any permit
�B　設定したグローバルアドレスのroute設定　set route 〜

untrusut→trust(グローバルアドレス）any permitのところが若干気になっているのですが。
よろしくお願い致します。

[2536]　ヤスヒロ　(2010/09/23 Thu 20:57) mail

JuniperSAの設定

簡単ではありますが、設定を書きました。
皆様からの設定についてアドバイスがあれば、掲示板やコメント欄に書いていただけると助かります。
たとえば、SplitTunnelの説明、NC以外の設定など、、、

よろしくお願いします。

[2535]　管理者　(2010/09/23 Thu 18:24)

Shrew VPN Client

Shrew VPN Clientを使ってSSGにVPN接続したいと思っています。
クライアントPCのOS:Windows7
SSG320のOS:6.1.0r6.0

http://www.shrew.net/support/wiki/HowtoJuniperSsg
にSSG用の設定があって、このとおりに設定してみました。
VPNはPHASE1もPHASE2も正常に張れたんですが、
trustにPINGが通りません。

SSG側の設定で、
Create a Client Address Poolのところで設定してるIPアドレスはtrustのIPアドレスを設定すべきなのでしょうか？それとも、trustに使っていないアドレスを設定すべきなのでしょうか？

[2521]　phantom　(2010/08/28 Sat 16:44)

Re: Shrew VPN Client

NATを有効する設定にしてるので、Trust側で使ってないアドレスを設定する構成なのではないでしょうか。

原因を検証するのであれば、作成したPolicyのトラフィックログを確認すると解り易いと思います。SSGでブロックしてるのか？アドレスはどう変換されているのか？とかが解ると思います。

[2522]　Toshi　(2010/08/31 Tue 10:56)

Re^2: Shrew VPN Client

返信ありがとうございます。

Reports - Policies から、作成したポリシーIDのログを見てみると、ログはまったく記録されていない状況です。

クライアント側で作成されたVirtual Adapter には、
IPアドレス：SSGで指定したTrust側で使ってないアドレス
サブネットマスク：255.255.255.255
デフォルトゲートウェイ：空白

のように、デフォルトゲートウェイが空白なのですが、これってこういうものなのでしょうか？

[2527]　phantom　(2010/09/02 Thu 10:43)

Re^3: Shrew VPN Client

返信遅くなりまし(ーー;)

Shrew-VPNがNetscreen-Remoteの代わりになりそうで、
面白そうなので手持ちのNS5GTで実験しました。
結果、問題なくVPN接続でき、Trust側への接続確認も出来ました。

環境：
PC(Shrew-VPN Client)---RT--(Internet)--NS5GT--PC(接続テスト用)

手順：
phantomさんの見つけたサイト通り設定

>クライアント側で作成されたVirtual Adapter には、
>IPアドレス：SSGで指定したTrust側で使ってないアドレス
>サブネットマスク：255.255.255.255
>デフォルトゲートウェイ：空白
>のように、デフォルトゲートウェイが空白なのですが、これってこういうものなのでしょうか？

→そういうものでした(^^)

参考までに成功時のNS5GT側のログを以下サイトに貼っておきました。
http://www31.atwiki.jp/momijimanjyu/pages/51.html

[2528]　Toshi　(2010/09/03 Fri 14:42)

Re^4: Shrew VPN Client

返信ありがとうございます。

携帯のダイヤルアップ接続を使って接続を試していたのですが、ふと自宅のルータ配下のネットワークから試しみたら、簡単にtrustまで繋がってしまいました。

Shrew VPN ClientのNAT設定を無効にしたりして試してみてますが、相変わらず携帯からは繋がらないです。

ですが、SSG上の設定は合ってることが分かったので、あとはクライアント側の設定をもう一度みてみます。

[2534]　phantom　(2010/09/10 Fri 11:02)

SSG5のインターフェイス設定について

お世話になります。
（書籍いつも活用させてもらってます！）

標題の件について、お教え下さい。
OSは6.0.0r8.0です。

インターフェイスのDupulexとSpeedの設定、確認方法（下記以外にあれば）をお教えいただけますでしょうか？
下記コマンド実施だと、Link　UP状態とDuplex状態しかわからなかったもので。。。。

“get interface eth0/0”

すみませんが宜しく願い致します

[2525]　OTCSG5　(2010/09/01 Wed 11:55)

Re: SSG5のインターフェイス設定について

恐らくeth0/0がbgroupにBindしているInterfaceを見てるからでしょう。
Bindされているbgroupを見れば表示されます。

例：
get int bg0
対象のeth0/0がUPしてれば、下のほうに表示されます。

[2526]　Toshi　(2010/09/01 Wed 13:56)

Re^2: SSG5のインターフェイス設定について

お教えいただいた方法で、インターフェイスEth0/2〜0/6（=bgroup0）は、参照と設定が出来ました。
ありがとうございました。

ただ、Eth0/0はUntrustで使用しており、bgroupには所属しておりません。
このような場合は、get int（またはset int）は出来ないのでしょうか？

[2529]　OTCSG5　(2010/09/03 Fri 20:13)

Re^3: SSG5のインターフェイス設定について

>ただ、Eth0/0はUntrustで使用しており、bgroupには所属しておりません。
>このような場合は、get int（またはset int）は出来ないのでしょうか？

確認も設定も普通に出来ますよ。get intでの表示は変わりますが、duplex,bandwidthの項目を見れば確認できます。
getコマンドは設定に何の影響もないので叩いて確認しましょう。

[2530]　Toshi　(2010/09/06 Mon 09:17)

Re^4: SSG5のインターフェイス設定について

bandwidthにphysical　100Mと表示が確認できました。
get　bg0と表示が異なっていたので、わかりませんでした。

色々と御教授頂き、ありがとうございました。

[2533]　OTCSG5　(2010/09/06 Mon 18:57)

NSRPでの冗長化について

現在、SSG140を2台使用してい構成を冗長化したいと考えています。

添付した図にありますように、L3スイッチをHSRPで冗長構成にしております。
質問内容はその先にSSG140をNSRPで冗長構成する場合の物理的な接続についてになります。

NSRPの構成はActive/Standbyを想定しています。

●質問内容
�@L3SWからのSSGへの接続は添付した図で問題ないでしょうか？
※たすき掛けにする必要はなし？

�AL3SWのActive側がダウンした場合の通信経路は、L3SWのスタンバイ機（→Active）からSSG140のスタンバイ機を経由してSSG140のアクティブ機からWANルーターに転送される。

�BSSG140のアクティブ機がダウンした場合、L3SWのスタンバイ機を経由してSSG140のスタンバイ機（→Active）からWANルーターに転送される。

構成および動作に関しまして、認識や想定のずれがありましたら、ご指摘お願いします。

[2518]　ポニョ　(2010/08/25 Wed 10:08)

Re: NSRPでの冗長化について

SSG2台を接続する間の接続は何を想定されておりますでしょうか。
�T.HA Zone（同期専用の為、トラフィックは流れません。）
�U.トラフィックが流れる独自 Zone

通常は�Tだと思われますので�Tを前提に回答します。

●回答
�@問題なし

�ASSG間はトラフィックが流れませんので、
　L3SW（S）⇒SSG（S）⇒Routerと流れます。

�BL3SWのLAN側HSRPの動作に依存します。
　WAN側HSRPの状態変化に応じてLAN側も切り替わる設定であれば、認識の通りです。
　WAN側とLAN側のHSRPの設定が独立していれば、
　L3SW（A）⇒L3SW（S）⇒SSG（S）⇒Routerと流れます。

※論理設計により色々変わってきますので、ご注意ください。

[2519]　カプ　(2010/08/25 Wed 16:14)

Re^2: NSRPでの冗長化について

こんちには。
参考までに私としては、

�@私はたすき掛けがお勧めです。
理由：フェールオーバを片機器(SSG140orL3SW)だけで抑えられるからです。
ポニョさんの構成ですと片機器がダウンした場合、両機器フェールオーバする設定でないと機能しないと思います。

�Aカプさんと同意見です。
条件：NSRPのmoniter interfaceでL3SW(A)接続のインターフェースダウンでフェールオーバする設定であれば。

�BHSRPの設定次第です。
理由：L3SWのLAN側HSRPでトラッキング機能等でSSG140(A)のダウン検知でフェールオーバする設定ならその通りです。

いずれにせよ、どの機器やNICが落ちても通信出来るよう検証あるのみだと思います。

[2520]　Toshi　(2010/08/26 Thu 14:20)

Re^3: NSRPでの冗長化について

カプさん
Toshiさん

お忙しい中、ご回答頂きありがとうございます。
また、丁寧なご説明にて、とても助かりました。

頂いた内容から、要点をまとめましたので、記載します。

■SSGとL3SW間をたすきがけしない構成
�@L3SWがダウンした場合は、両方の機器がフェールオーバーする必要がある。
�ASSG、WAN Router間のリンクがダウンした場合に、L3の経路を遠回りさせたくない場合は、L3スイッチにて、SSGより先のリンク障害を検知する機能（もしくは構成）が必要。

また、SSGとL3SWをたすきがけする構成を使用する場合に追加のご質問がございます。

�@SSGにてL3SWのActive, Standbyの両方と接続するIFが必要。
ここで質問ですが、この構成の場合、L3SW(A)とL3SW(S)と接続されるインターフェースは別のセグメントを設定する必要がありますでしょうか？
また、その制限がある場合、NSRPの構成は「Active/Standby」ではなく「Active/Active」する必要がありますでしょうか。

重ね重ね申し訳ございませんが、ご教授のほど、よろしくお願い致します。

[2523]　ポニョ　(2010/08/31 Tue 18:17)

Re^4: NSRPでの冗長化について

>�@SSGにてL3SWのActive, Standbyの両方と接続するIFが必要。
>ここで質問ですが、・・・・
今回の構成上、負荷分散では無く単なるGW冗長だと思うので、同セグでしょう。
別セグをつかってActive/Activeで負荷分散を行うのであれば、
L3SW,WAN-RTへ分散用のルーティングを設定するか、複数グループのHSRP構成で分散するかしないと意味がないと思います。

[2524]　Toshi　(2010/09/01 Wed 11:31)

Re^5: NSRPでの冗長化について

Toshiさん

ご返信ありがとうございます。

頂いた内容から、L3スイッチ(active,standby)への接続には、
SSG140の[bridge group]を使用することで、同一セグメントで接続できるといった想定で問題ないでしょうか。

おっしゃられている通り、たすきがけのほうがアクティブ側のL3SWがゲートウェイになるので、より良い構成である気がしました。

[2531]　ポニョ　(2010/09/06 Mon 10:02)

Re^6: NSRPでの冗長化について

bgroup使用で問題ないと思います。
臨機応変に頑張って下さい。

[2532]　Toshi　(2010/09/06 Mon 11:49)

SSG140でのunnumbered対応の設定方法について

フレッツ系のプロバイダからIP8プランを契約しSSG140の設定を行っていますがunnumbered対応のIP8ということで設定が行き詰っております。
やりたいことはもらったIP8の2番目をnetscreenのuntrust側に設定し拠点のnetscreenとVPN接続をしたり、他のIPアドレスを割り当てたサーバをWeb上に公開することです。
とりあえず、拠点のとのVPN接続に使用するために設定をしていますがうまく設定が行かなかった状態のときにこの掲示板を拝見しunnunberedでも使えるような設定ができるような記事を発見しました。
そこで載っていた内容を参考に
set vrouter trust-vr ignore-subnet-conflictを設定し
Untrust側のPPPoEの設定を設定し接続OKとなりました。(unnumberedなのでIP8の先頭のアドレスが設定されている状態です)
次にIPアドレスをTrust側に静的に設定しないといけないように書いてあるのですが、どこの設定項目で設定すればいいか分からずここで止まっています。
多分、初歩的な部分で止まっているのかと思いますがご教授いただけないでしょうか。

[2502]　R390　(2010/07/07 Wed 14:35)

Re: SSG140でのunnumbered対応の設定方法について

何とか自己解決しました。

[2517]　R390　(2010/08/13 Fri 15:54)

ポートフォワーディングについて

ポートフォワーディングについて確認です。

Untrust側からTrust側に入ってくる通信を、
VIPの設定で、「Map to IP」をLAN側のブロードキャストアドレスにしたいのですが動作的には可能でしょうか？

設定自体はできてもうまく動作していないように見えます。

そもそも、何故こんな設定をしたいかと言いますと、
インターネット（Untrust）を経由してTrus側にあるサーバをWOLで起動したいと思っています。
（WOLはMACアドレスを持ったマジックパケットで通信します。）

「Map to IP」にWOLで起動したい該当のサーバのアドレスを設定すればよいのですが、
これだと一定時間が経過してARPテーブルがクリアされてしまうと通信ができなくなってしまいます。

PCの電源がオンの場合には、ARPプロトコルによって再調査されてテーブルの再生を行われますが、
PCの電源がオフの場合には不明なまま捨て置かれてしまいます。

こういう事情のため、ブロードキャストアドレスを「Map to IP」に設定したいのです。

[2512]　zumi　(2010/07/31 Sat 12:37)

Re: ポートフォワーディングについて

こんにちは

私も以前同じ事を実験し成功しました。
恐らく私のメモサイトで解決できると思います。

URL：
http://www31.atwiki.jp/momijimanjyu/pages/47.html

[2514]　Toshi　(2010/08/03 Tue 11:36)

Re^2: ポートフォワーディングについて

Toshiさん

レスありがとうございます。
平日は時間が無いため週末にURLを参考に再度トライしてみます。

[2516]　zumi　(2010/08/05 Thu 22:42)

ICMP通信のトラフィックログ・ポート番号

トラフィックログに出力されるICMP系のDenyログについて
アドバイスをいただきたい内容があります。

下記サンプルログですが、
Source、Destinationのポート番号として、
xxx.xxx.xxx.xxx:33,:1
xxx.xxx.xxx.xxx:38400,:512
となっていますが、icmpにはポート番号そのものが無いのでは
ないのかなぁ〜？と断言はできないのですが思っています。
icmpの場合のport番号は、何を表しているのでしょうか？

皆さんよろしくお願いします。

===============
Traffic Log for Policy:

(Src = "Untrust/Any", Dst = "Trust/Any", Service = "ANY")

Current system time is XXX, 7 XXXX XXXX 17:26:03
===============

Time Stamp Action Source Destination Translated Source Translated Dest Duration Bytes Sent Bytes Received Application

XXXX-XX-XX 17:23:50 Deny 192.168.1.42:33 192.168.2.42:1 0.0.0.0:0 0.0.0.0:0 0 sec 0 0 ICMP
XXXX-XX-XX 17:21:19 Deny 192.168.1.100:38400 192.168.2.43:512 0.0.0.0:0 0.0.0.0:0 0 sec 0 0 ICMP

===============
End of Traffic Log
===============

[2507]　社内LAN担当　(2010/07/27 Tue 14:32)

Re: ICMP通信のトラフィックログ・ポート番号

ICMPにポート番号はありません。
推測レベルですがICMP IDではないかと。。

[2509]　Toshi　(2010/07/28 Wed 16:12)

Re^2: ICMP通信のトラフィックログ・ポート番号

Toshiさん
アドバイスありがとうございます。
ICMP IDの線で確認してみます。

ありがとうございます。

[2510]　社内LAN担当　(2010/07/30 Fri 09:25)

Re^3: ICMP通信のトラフィックログ・ポート番号

http://kb.juniper.net/KB5116

Juniper Firewall matches ICMP session based on ICMP Identifier, the ICMP Sequence is used to create the sessions.

だそうです。

[2511]　xd4444　(2010/07/30 Fri 10:03) web

Re^4: ICMP通信のトラフィックログ・ポート番号

xd4444さん
情報ありがとうございます。

皆さんから頂いたアドバイスを元に、調査を行いました。
確認できた結果を書き込みしておきます。

トラフィックログに記録される、ICMP通信における
IPアドレス以降の番号（xxx.xxx.xxx.xxx:N　N部分）は、
NSが受信したICMPメッセージの識別子フィールドの値および
シーケンス番号フィールドの値が10進数で表示される。

※識別子およびシーケンス番号の値は、OS種別やバージョンにより
ある程度の規則性があるが、特定は困難。
※WindowsXPでは、Echo/EchoReplyの際に512（0x0200）の値が
識別子として固定的に使用される。

皆さんありがとうございました。

[2515]　社内LAN管理者　(2010/08/03 Tue 20:09)

ssh

たびたびすいません。
SSHを設定しています。
SSHを有効にするには、以下のコマンドを利用するのでしょうか？
set ssh enable
インターフェースのGUIにもSSHのチェックボックスがあります。
こちらはちがいますか。

よろしくお願いします。

[2506]　みぽりん　(2010/07/23 Fri 15:33)

Re: ssh

こんにちは。参考になればうれしいです。

>SSHを有効にするには、以下のコマンドを利用するのでしょうか？
>set ssh enable
上記は機器自体のSSHを有効にするコマンドです。
WEB-UIでは
Configuration > Admin > Management
にあるEnable SSH (V2) のチェックボックスです。

>インターフェースのGUIにもSSHのチェックボックスがあります。
>こちらはちがいますか。
上記はインターフェースでのSSHを有効にするチェックボックスです。

使い方としては、
機器自体のSSHを有効にしてインターフェ-スごとに有効にするか無効にするか選択するイメージです。
例えばUntrustインターフェ-スへのSSH接続はNGにして、TrustインターフェースへのSSH接続はOKにしておく感じです。

がんばってください

[2508]　Toshi　(2010/07/28 Wed 15:26)

Re^2: ssh

Toshiさん

ありがとうございます。
親切に教えてくださいまして感謝しております。
SSHは無事につながりました。

[2513]　みぽりん　(2010/08/03 Tue 03:02)

ASA SSG　site-to-site VPN

SSG（StaticIP）　ASA（DynamicIP）での、VPN接続が出来ません。

SSGでは、peerIDを入力してASA側を認識しようとしますが
ASA側でこのpeerIDに対応する項目が何かわかりません。

両方ともWizardで設定し接続を行おうとすると
SSGのログにはphase1で、unrecognized peer gatewayと出てphase2に進みません。
ログより、peer（ID）を認識出来ないためにphase1で失敗しているのは理解出来るのですが
どのように解決するれば良いかが不明です。

識者からのアドバイスをお待ちしております。

[2504]　しぇふ。　(2010/07/16 Fri 19:39)

Re: ASA SSG　site-to-site VPN

自己解決しました

[2505]　しぇふ。　(2010/07/22 Thu 11:52)

CLIについて教えてください

はじめましてSSG初心者ですが、よろしくお願いします。

get interfaceを入力すると、どんな情報が表示されますか？
get get log trafficを入力すると、どんな情報が表示されますか？

サンプルがあれば、いただきたいと思います。

[2503]　みぽりん　(2010/07/13 Tue 20:23)

dipの拡張インターフェース

ns208の os 5.0.0を使用しているのですが、
dipの拡張interface設定について教えて欲しいことがあります。

set interface ethernet1 ext ip A 255.255.255.0 dip 2 B
set interface ethernet1 ext ip A 255.255.255.0 dip 3 C
A:許可IP
B:割り当てIP
C:割り当てIP

上記のようにethernet1に拡張interfaceを設定したいのですが、
同interface、同許可IPに対し、異なる割り当てIP、異なるdip idで問題なく設定、使用できるのでしょうか。

[2500]　shige　(2010/07/06 Tue 06:31)

Re: dipの拡張インターフェース

説明がわかりにくかったので、修正させていただきます。

set interface ethernet1 ext ip A 255.255.255.0 dip 2 B
set interface ethernet1 ext ip A 255.255.255.0 dip 3 C
A:サブネット
B:DIP（Cと異なる）
C:DIP（Bと異なる）

上記のようにethernet1に拡張interfaceを設定したいのですが、
同一の拡張インターフェースのサブネット（A)に対し、
異なるDIP（B、C）を設定できるでしょうか

[2501]　shige　(2010/07/06 Tue 12:34)