Q&Aや意見交換などにご活用ください。初歩的な質問も大歓迎!!
NetScreen/SSGの書籍もよろしくおねがいします。。いつも参考にさせて頂いております。
一つ行いたい設定があり、ご質問させて頂きます。
◆現行の構成:
・Netscreen204とSSG5にてVPNを使用しております。
・SSG5側は非固定IPにて、aggressiveモードにて使用しています。
Netscreen204-----(Internet)----- SSG5
固定IP 非固定IP
◆行いたい運用:
SSG5側の回線断が発生した場合、回線復旧後に自動的に再度セッションを張らない為、
SSG5を再起動してセッションを再接続しております。
これを、SSG5側回線復旧後にSSG5を再起動せずに自動的に再度セッションを張り直すような
設定にしたいと思っておりますが、どのように設定を行うべきでしょうか?
初歩的な質問かと思いますが、ご回答頂ければ幸いです。
[1484] chucky (2008/08/19 Tue 09:11)
SSG5でtrust→untrustに向けて特定のport番号をあけるのはどうように設定すればよいのでしょうか?
たとえばUDPポート2638とか。
また、FWの外からTELNETなどをする場合はuntrust側で
portをあける形になるのでしょうか?また、その設定も
ご教授いただければ幸いです。
よろしくお願いいたします。
[1478] SSG5初心者 (2008/08/15 Fri 10:23)
>SSG5でtrust→untrustに向けて特定のport番号をあけるのはどうように設定すればよいのでしょうか?
特定ポートの解放については、
Object>Service>Customで新しくサービスを定義してください。
>また、FWの外からTELNETなどをする場合はuntrust側で
portをあける形になるのでしょうか?
Trust側のサーバに対してTelnetをする場合は、
Untrust>TrustでTelnetを許可してください。
[1479] カプ (2008/08/15 Fri 11:29)
カプさん、早々にご回答ありがとうございました。
一度試してみます。
[1480] SSG5初心者 (2008/08/15 Fri 11:32)
たびたび初歩的なご質問で申し訳ございません。
特定ポートの解放については、
Object>Service>CustomがSSG5ではなかったので、
Policy>Services>Customでの作成でよろしいでしょうか?
作成後のconfigは以下となりました。
set service "UDPポート2638" protocol udp src-port 2638-2638 dst-port 2638-2638 timeout 200
お手数おかけしますがよろしくご回答願います。
[1481] SSG5初心者 (2008/08/15 Fri 12:00)
手元にSSG5がありませんのでGUI上の識別ができませんが、CLI上の表記を見る限りCustom Serviceの設定のようです。
src-portは、クライアントが通信をする際の自身のポート番号となります。
単に、「UDP2638で通信したい」ということであれば、
src-portは全許可(0-65535)にしておくことをオススメします。
[1482] カプ (2008/08/15 Fri 13:09)
ご回答ありがとうございました。
src-portは全開にしました。外部からの
TELNETも同じ要領で実施すればよろしいでしょうか?
[1483] SSG5初心者 (2008/08/15 Fri 15:41)
Netscreen5GT(NonExtend)の場合、DMZゾーンがないので、他の方法はないのかとPortModeを観たところ
Combined:Untrust*2、Home*2、Work*1
というモードがありましたので、いぢってみました
デフォルトのPolicesでは
Work → Untrust OK
Home → Untrust OK
Work → Home OK
Home → Work NG
さらに、「Home → Work NG」だけは消すことができません
となると、HomeゾーンはDMZゾーンと同じであり、しかも2ポートあるということはDMZゾーンを2つ作れることを意味するのではないかと考えましたが少し自信ありません
HomeゾーンとDMZゾーンの違いというのはあるのでしょうか?
[1451] 真吾 (2008/08/08 Fri 11:45)
整理がつきましたので自己レスです
ポイントは「Home→Work NGを消すことができない」でした
例えばHomeZoneから、SNMP等でTrustZone(ここではWorkZone)へ情報を送ることができないので、左記のような要件がある場合は、DMZを使うことになる
こんな感じかなぁ〜と思いました
[1461] 真吾 (2008/08/12 Tue 15:27)
まぁDMZじゃないんで
何かしらの制限はありますね
[1477] ちゃんぴょん (2008/08/14 Thu 19:39)
初めまして!SSG5初心者です。
この度,1812JとL3SW間にSSG5を入れましたが、
うまく内部NWからInternet接続ができません。
初歩的なことでつまずき申し訳ございませんが
ご教授のほどお願いいたします。
構成
1812J---SSG5----L3SW----PC
UNrust Trust
事前疎通確認としてL3SWから1812JにはPINGが飛ぶことは確認できております。
また、SSG5はrouteモードに設定しております。
ただPCからSSG5を挟むとInternetに接続できません。
1812J--SSG5---L3SW3間はOSPFで動かしており、特に
問題ありませんが、1812JからTrust向けにPingが飛ばないのが原因なのでしょうか?
Routing以外はデフォルトのままですが、下記の設定のみ追加しましたがダメでした。
set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit
set policy id 1
exit
set policy id 2 from "Untrust" to "Trust" "Any" "Any" "ANY" permit
set policy id 2
ご教授のほどお願いいたします。
[1466] SSG5初心者 (2008/08/14 Thu 07:52)
RouteModeはLayer3なのでSSGを境にセグメントを分割する必要があります。
分割せずに使用したい場合はTransparentModeを使用します。
[1467] nai3 (2008/08/14 Thu 10:44) web
早々にご回答して頂きありがとうございます。
セグメントわけとしては
1812J-------SSG5-------------L3SW
172.16.10.0 192.168.50.0
とわけております。
設定時にきなった点としては、下記の設定でいれましたが、
set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit
set policy id 1
exit
set policy id 2 from "Untrust"
to "Trust" "Any" "Any" "ANY" permit
set policy id 2
実はset vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit
なので
上記の記述から下記の記述が必要なのでしょうか?
set policy id 1 from "trust-vr" to "Untrust-vr" "Any" "Any" "ANY" permit
set policy id 1
exit
set policy id 2 from "Untrust-vr"
to "Trust-vr" "Any" "Any" "ANY" permit
set policy id 2
ご教授お願いいたします。
[1468] SSG5初心者 (2008/08/14 Thu 10:58)
VirtualRouterはSSG内にルーティングテーブルを複数持つ機能です。
使用しているVirtualRouterはset zone項目で確認できます。
意図して使用しない限りtrust-vr一つで動作します。
また、ポリシ上で使用する項目はZoneになります。
当初書かれている状態で問題ありません。
get route出力にて0.0.0.0/0は1812J宛になっていますか。
[1469] nai3 (2008/08/14 Thu 11:26) web
nai3様
丁寧なご回答ありがとうございます。
デフォルトルートは書いてるつもりなんですが。
書き方が間違ってるかもしれません。
et interface "bri0/0" zone "Untrust"
set interface "ethernet0/0" zone "Untrust"
set interface "ethernet0/1" zone "DMZ"
set interface "bgroup0" zone "Trust"
set interface "bgroup1" zone "Trust"
set interface "bgroup2" zone "Untrust"
set interface "loopback.1" zone "Trust"
set interface bgroup0 port ethernet0/2
set interface bgroup0 port ethernet0/3
set interface bgroup2 port ethernet0/4
set interface bgroup0 port ethernet0/5
set interface bgroup1 port ethernet0/6
unset interface vlan1 ip
set interface bgroup0 ip 192.168.1.1/24
set interface bgroup0 nat
set interface bgroup1 ip 192.168.50.2/24
set interface bgroup1 route
set interface bgroup2 ip 172.16.10.20/24
set interface bgroup2 route
set interface loopback.1 ip 5.5.5.5/32
set interface loopback.1 nat
set interface "bgroup1" pmtu ipv
set route 0.0.0.0/0 interface bgroup2 gateway 172.16.10.10 preference 20
exit
こんな感じで外向けに書いております。
[1470] SSG5初心者 (2008/08/14 Thu 12:36)
IPv4 Dest-Routes for <untrust-vr> (1 entries)
--------------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------------
* 1 0.0.0.0/0 bgroup2 172.16.10.10 S 20 1 Root
上記のように1812J向けI/Fの172.16.10.10に向いております。
ご教授のほどお願いいたします。
[1471] SSG5初心者 (2008/08/14 Thu 12:54)
>set zone "Untrust" vrouter "trust-vr"
の場合...
> IPv4 Dest-Routes for <untrust-vr> (1 entries)
untrust-vrに入ってしまっているようですね。
この設定は不要で、trust-vr側に当該設定が必要です。
>set zone "Untrust" vrouter "untrust-vr"
の場合...
trust-vrに0.0.0.0/0をuntrust-vrへ送るルーティングが必要です。
[1472] nai3 (2008/08/14 Thu 14:33) web
ご回答ありがとうございました。
Dest-Routes for <untrust-vr>でなく、
for Trust-vrで0.0.0.0/0をuntrust-vrへ送るルーティング方法の設定ですが、どのようにdefaulroute
を書けばよいのでしょうか?
当初設定
set route 0.0.0.0/0 interface bgroup2 gateway 172.16.10.10 preference 20
修正版→
set route 0.0.0.0/0 interface bgroup1 gateway 172.16.10.10 preference 20
でよろしいでしょうか?
[1473] SSG5初心者 (2008/08/14 Thu 15:02)
すいません。先ほどの回答は撤回です。
下記のように設定しました。
IPv4 Dest-Routes for <trust-vr> (10 entries)
--------------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------------
* 7 5.5.5.5/32 loopback.1 0.0.0.0 C 0 0 Root
* 8 1.1.1.1/32 bgroup1 192.168.50.1 O 60 11 Root
* 9 10.10.10.10/32 bgroup2 172.16.10.10 O 60 2 Root
* 10 0.0.0.0/0 bgroup2 172.16.10.10 S 20 1 Root
* 5 172.16.10.0/24 bgroup2 0.0.0.0 C 0 0 Root
* 4 192.168.50.2/32 bgroup1 0.0.0.0 H 0 0 Root
set vrouter "trust-vr"
unset add-default-route
set route 0.0.0.0/0 interface bgroup2 gateway 172.16.10.10 preference 20
exit
と設定しました。
気になったのは→unset add-default-routeは
何か影響しているのでしょうか?
[1474] SSG5初心者 (2008/08/14 Thu 15:16)
> 気になったのは→unset add-default-routeは
> 何か影響しているのでしょうか?
上位機種のvsysという機能の動作に影響します。
[1475] nai3 (2008/08/14 Thu 15:40) web
長時間にわたりご回答ありがとうございました。
基本trust側でrouting等をするのは理解できました。
untrust側で実施する設定としてwan向けpppoe以外に
どのようなものがあるのでしょうか?
たとえばuntrust側にある1812jからtrust側にあるsyslogを飛ばす場合にはportをあける形となるのでしょうか?
[1476] SSG5初心者 (2008/08/14 Thu 16:21)
すみません。再起動ではなく負荷でNS5GTのCPU使用率が90%以上出てました。今は何も設定していません。
また、負荷がかかってしまい、LOCALサーバにも影響を与える恐れがありますので、攻撃を受けた登録サーバは何回も再起動で、今も不安定な状況に置かれています。
何かよい方法はないでしょうか?
[1464] boy (2008/08/13 Wed 17:17)
送信元アドレスがわかっていて抑止する必要あれば
log無しのdenyポリシを作ればいいと思います。
設定投入自体が高負荷ではいらないのであれば
設定投入の間Untrustを抜いておくとか。
[1465] nai3 (2008/08/13 Wed 18:06) web
今、会社の登録サーバがcncln.online.ln.cn という逆引きされた中国から攻撃を受けてます。SYNパケット攻撃だと認識しています。一度policyの設定で制限をかけた結果netscreen5GTがダウンしてしまいました。
policyの設定の負荷が掛ってしまいダウンしたと予想しています。
こんな攻撃を受けた際はNetscreen5GTファイアウォールをどう設定したほうが良いなのでしょうか。
テクニカルエンジニア様助けてください!!!!
[1462] boy (2008/08/13 Wed 09:19)
log無しのdenyポリシで止めてもダメですか。
ダウンは無応答or再起動どちらでしょうか。
[1463] nai3 (2008/08/13 Wed 15:21) web
下記のような構成を作り、
まずは[Traust⇔Untrust]でAny Anyの
環境を作ろうと以下構成を作りました。
【Traust側】PC@(WinXP)---<<ストレートケーブル>>---NS5xp---<<クロスケーブル>>---PCA(WinXP)【Untrust側】
************************************************
Trust interface in NAT mode
Admin Login Name netscreen
Password *
Trust Interface IP 192.168.1.1
Trust Interface Netmask 255.255.255.0
Untrust Interface IP 192.168.2.1
Untrust Interface Netmask 255.255.255.0
Untrust Interface Default Gateway 192.168.2.254
Management Service Telnet enabled
Management Service Web enabled
Management Service Ping enabled
DHCP start 192.168.1.33
DHCP end 192.168.1.126
************************************************
上記初期設定を行った後、以下設定を
行いました。
@【Untrust側】
Network > Interfaces (Edit)
Other Servicesのpingにチェック
APolicies (From Untrust To Trust)
Source Address:Any
Destination Address:Any
以下試験結果です。
◎PC@→PCA Ping:OK
×PCA→PC@ Ping:NG
◎PCA→192.168.2.1 Ping:OK
なぜ、[×PCA→PC@ Ping:NG]なのかが
わからずにおります。
●セキュリティ等でPingが飛ばないかと思い
以下設定でお互いPingを飛ばしましたが
両方とも問題ございませんでした。
PC@---クロスケーブル---PCA
ご教授いただけますでしょうか。
[1453] kazu (2008/08/09 Sat 20:54)
検証環境ですよね?
Route ModeにすればOKです。
UntrustZoneがGlobalアドレスで
TrustZoneがPrivateアドレスである時、
NAT Modeが適しています。
その場合、単純にUntrust to Trustへの
疎通を許諾するのは良くない事ですね。<有り得ないし
その為、NAT Modeの当該疎通はNGです。
[1454] nai3 (2008/08/11 Mon 10:05) web
nai3さん
早速のリプライありがとうございます。
ご察しのとおり検証環境です。
NATモード⇒Routerモードに変更したところ
Pingが通りました。ズバリの回答ありがとうございます。
「UntrustZoneがGlobalアドレスで
TrustZoneがPrivateアドレスである時、
NAT Modeが適しています。」
⇒理解しました。
NS5xpを立ち上げたときの一番はじめの
ウィザードで何気なしに選んでました。。
ひとつひとつ理解して選択する様
心がけます。。
[1459] kazu (2008/08/11 Mon 22:37)
NetScreenOS 5.4.0を使用しています。
マニュアルを見ると、
Reports>System Log> Self
でポリシーに当てはまらずドロップされた通信のログが
表示されるとこのとですが、
表示できていません。
どのようにしたら通信パケットのログを表示できるのでしょうか。
お手数ですが教えてください。
[1456] bbb (2008/08/11 Mon 11:42)
policyリストの最後にany any any deny logのpolicyを追加します。
zoneの組合せ毎に必要です。
[1457] nai3 (2008/08/11 Mon 13:21) web
nai3さん
教えていただいた方法で表示できました。
どうもありがとうございました。
本当に助かりました。
[1458] bbb (2008/08/11 Mon 13:46)
ns-25を導入する予定で今設定などを試している最中ですが、ns-25のshutdown方法が見つからなくて困っています。
consoleかウェブUIからのshutdown方法を教えてください。
よろしくお願いします。
[1435] パックマン (2008/08/04 Mon 14:46) mail
再起動ということであれば、
consoleから"reset"コマンドの発行で再起動が可能です。
# 再起動する前に"save"をお忘れなく。
shutdownやhaltをするコマンドは特になかったかと記憶してますが、、、誰か裏コマンドとかご存知の方います?
[1441] カプ (2008/08/05 Tue 09:24)
単純に停止であれば電源スイッチでoffですね。
# 停止の前にsave(ry
>裏コマンド
把握してないですね。閉塞コマンドはあると便利かも。
[1455] nai3 (2008/08/11 Mon 10:12) web
新参者でございます。
Netscreen5xpのシリアルケーブルで
すが、下記ストレートケーブルで
問題ないでしょうか?
http://page15.auctions.yahoo.co.jp/jp/auction/t82332851
[1434] haru (2008/08/04 Mon 10:19)
RS-232のケーブルになります。
Dサブ9ピンですね。
http://ja.wikipedia.org/wiki/RS-232
[1442] カプ (2008/08/05 Tue 09:29)
http://www.juniper.net/techpubs/hardware/netscreen-appliances/netscreen-appliances40/in_5xp.pdf
本体側がメスなので要注意です。
[1449] nai3 (2008/08/07 Thu 09:15) web
カプさん、nai3 さんありがとうございました。
購入できました^^
[1452] kazu (2008/08/09 Sat 20:53)
いつも大変参考にさせてもらっています。
今回、他のFWからSSG140(OS:6.0.0r5a)へ変更しました。
SSG140はインターネット境界に設置して使用しており、設定内容は基本的にリプレイス前のFWと同じです。
回線はBフレッツで、MTUは1454となっております。
SSG140へ変更後からインターネット上の特定のホームページが表示できなくなりました。
特定のページとは、一部のHTTPSのサイトやクライアント証明書が必要なサイトになります。
Trust⇒Untrustへは全て許可に設定し、また、そのサイトの名前解決も出来ておりますが、「ページが表示できません」となってしまいます。
どなたかこの様な現象で改善する方法をご存知な方いらっしゃいますでしょうか?
もしくは確認方法やチューニング方法があればお教えいただけないでしょうか?
よろしくお願い致します。
[1450] NETSCREEN (2008/08/07 Thu 18:19)
Trust側からのEstablishedセッションを無条件に許可するには?
はじめまして、現在NetScreen-25を使用していて、OSは5.4.0r3a.0です。
やりたいことは以下の通りです。
・Trust→Untrustのトラフィックは無制限に許可
・Untrsut→TrustのトラフィックはHTTPSのみ許可
要するに、CiscoでいうところのEstablished設定のようなことをしたいのですが、
具体的な設定例がわかりません、、
おそらく非常に単純なことだと思うのですが、どなたかご教示いただければ幸いです。
[1437] lostlost (2008/08/05 Tue 09:07)
たとえば、Untrust→TrustにHTTPSを許可し、
その戻りの通信(established)を許可したいという意味では、設定は不要です。
# tcpの戻りセッションは行きの設定があれば自動的に
許可されます。
>・Trust→Untrustのトラフィックは無制限に許可
上記を実現する場合には、Trust→Untrustに
From:Any
To:Any
Service:Any
のポリシーが必要となりますのでご注意ください。
[1440] カプ (2008/08/05 Tue 09:22)
カプさん、
早速のご回答ありがとうございました。
要するに、一度許可されたトラフィックは戻りも自動的に許可されるということなのですね。
ご教示いただいたことを参考に下記コンフィグ作成しました。
set policy id 1 from "V1-Trust" to "V1-Untrust" "Any" "Any" "ANY" permit log
set policy id 2 from "V1-Untrust" to "V1-Trust" "Any" "Any" "HTTPS" permit log
甘えてしまって申し訳ありませんが、もし間違いや勘違いなどあればご指摘いただけると幸いです。
[1443] lostlost (2008/08/05 Tue 10:02)
Policy上は問題ないと思われます。
Transparent(レイヤ2)で設置されているようなので、
そのあたりの設定にもご注意ください。
[1448] カプ (2008/08/07 Thu 07:46)
はじめまして。
SSG5をNTPサーバとして動作させたいのですが可能でしょうか。
可能でしたらコマンドなど教えていただけると幸いです。
よろしくお願いします。
[1446] ぞう (2008/08/06 Wed 15:06)
1台のSSG140でインターネット回線が3回線の構成の場合、
SSGに入って来るトラフィックのソースアドレス(サブネット)を見て回線を選択させることは可能なのでしょうか?
[1399] FT (2008/07/24 Thu 18:23)
SSGに入って来るトラフィックというのは、Trust側から入ってくると言う意味ですか?Untrust側からですか?
[1415] JOHN (2008/07/31 Thu 08:09)
ご説明不足で申し訳ありません
トラフィックはTrust側から入ってくる場合です
[1416] FT (2008/07/31 Thu 08:57)
Policyベースルーティングを
使用すれば多分出来ると思いますが
面倒くさいのでおすすめしません
[1426] ちゃんぴょん (2008/07/31 Thu 20:38)
ちゃんぴょんさん、ありがとうございます
policyベースルーティングで試してみます
[1445] FT (2008/08/06 Wed 08:14)
netscreen 5XPをACアダプタなしで入手いたしました。
本体には「DC POWER 5V 1.5A」と記載しておりますので
電源量はわかったのですが、DCプラグのサイズが
わからず困っております。ご教示おねがいします
[1432] kazu (2008/08/03 Sun 19:38)
5XPのDC記載についてこんなのがありました。
# NetScreen-5XPのInstaller's Guide参照
DC Jack : 2.5mm x 5.5mm x 11mm ; polarity is center positive
[1438] カプ (2008/08/05 Tue 09:16)
カプさん
情報ありがとうございます。
早速さがしてみたいと思います。
[1444] kazu (2008/08/05 Tue 11:41)
はじめまして。yoshiiと申します。
netscreen5-gtで同様の設定はできましたが、
5gtで以下の問題が発生しました。
SSG5を使って、グローバルから来たアクセスを
ローカルに流すために、vipの設定をしようと思います。
使用するのは80,443,53,25,110のポートをローカルのサーバに送りたいのです。
80は、このサイトにもあるように、マネージメントで使用するので、マネージメントのポートを45080とかにしたので、問題なく設定できました。
しかし、443と53のみ
「Not supported service: (ip:192.xxx.xxx.xxx port:443)is for management of the box」
と表示されます。
マネージメントにSSLのポートの設定があるので変更したり、チェックボックスを外したりしましたが、ダメでした。
色々設定した後だったので初期化して他の設定をする前にVIPを再設定したのですが同様のエラーがでました。
443はマネージメントでどこかつかっているとしても
53もマネージメントで使っているって、一体どこなのでしょうか。。。。
お分かりの片お教えください。
[1427] yoshii (2008/07/31 Thu 21:35)
プロキシDNSとか動いていませんか?
[1431] taka (2008/08/02 Sat 23:12)
takaさんありがとうございます
proxy dnsの箇所はチェックが付いていませんでした。
CUIでやっても、だめでした。
別件用で使用するnetsceen5gtを使って同様の設定を
行ったのですが、問題なく設定できました。
SSGの問題っぽい気がします。。。
困りました。。。
[1433] yoshii (2008/08/04 Mon 10:18)
たしかOS6.0r6でバグFIXの予定だった気がします。
[1436] ssg (2008/08/04 Mon 19:03)
ssgさん、ありがとうございます。
問い合わせたところ、バグでした。。。。
6.0r6を早速、送ってもらい、動作確認しました。。
ありがとうございます
[1439] yoshii (2008/08/05 Tue 09:20)
Netscreenでステルスモードとして設定する場合、
具体的にどこをどのように設定すれば良いのでしょうか。
諸先輩方、恐れ入りますご教示お願いします。
[1403] welcome3000 (2008/07/28 Mon 22:29)
ZoneをV1-UntrustやV1-Trustに変更してください。
自身でZoneを作成する場合には、"L2-"を頭に付ける必要があります。
詳しくはマニュアルをどうぞ。
http://www.juniper.net/techpubs/software/screenos/screenos5.3.0/translated/
2章に掲載されてます。
[1420] カプ (2008/07/31 Thu 10:53)
カブ 様 ご教示ありがとうございます。
L2のZoneは振り返ると今まで避けてきた項目かも知れません。
これを機会にみっちり習得したいと思います。
[1430] welcome3000 (2008/08/01 Fri 22:57)
Netscreen/SSGの資格についての質問です。
今度Netscreenの資格試験を受けようと検討しています。
※ファイアウォール/VPN資格認定 [JNCIA-FWV]
http://juniper.co.jp/training/certification/netscreen/index.html
試験は英語らしいのですが、
今まで、Juniper社の資格を受けられた方はいませんでしょうか。どのような感想を持たれたのかお聞きしたいです。
勉強方法をどうしようか困っていますので…。
なんでも構いませんので、情報をいただけたら幸いです。
[1408] たぶ (2008/07/29 Tue 15:47)
1年ほど前に受けた感想ですが、英語がある程度理解できるのであれば、試験内容はそれほど難しくはありません。
しかし、幅広く聞かれますので、わからない分野をなくしてから試験に臨むことをオススメします。
# 自分はL2構成無知でいったら見事玉砕しました。。。
Cisco資格のように資格支援サイトが充実してませんので、実機を十分に触ってからがよいかと思います。
そろそろ自分も再度受けてみます… orz
[1419] カプ (2008/07/31 Thu 10:45)
カブさん
コメントありがとうございます!
> しかし、幅広く聞かれますので、わからない分野をなくしてから試験に臨むことをオススメします。
> # 自分はL2構成無知でいったら見事玉砕しました。。。
> Cisco資格のように資格支援サイトが充実してませんので、実機を十分に触ってからがよいかと思います。
幅広く聞かれるんですね。
試したことのない設定など確かにありますので、
実機で一通りのことを検証してから望みたいと思います。
英語は得意ではありませんが、8月末を目標に頑張ってみようと思います!
[1429] たぶ (2008/08/01 Fri 11:56)
はじめまして。NetScreen勉強中のtaniと申します。
今回、仕事でNetScreen 5GTとNetScreen-RemoteでVPN接続を試みているのですが、VPN自体はつながるのですが、TCP接続がどうにもうまくいきません。
アドバイスがあれば、よろしくお願いいたします。
* やりたいこと
(1) お客様のPC1に、NetScreen-Remoteをインストール
(2) PC1から当社へVPN接続
(3) 当社PC2から、PC1をリモートデスクトップ接続
* 環境
PC1 (■10.255.40.151) -> Rooter(■GIP1) <-> インターネット <-> (■GIP2) NS 5GT (■192.168.1.1) <- PC2(■192.168.1.2)
こちらを参考に、リモート設定をしてみました。
http://www.viva-netscreen.net/archives/cat_50025564.html
...つづく
[1423] tani (2008/07/31 Thu 16:48)
(1) NSにて、DIPにてIPアドレスを設定(■192.168.1.100 - 200)
-> PC1でVPN接続した際に、PC1へアドレスが払い出されず
PC1から、NSとPC2へはpingが通るが、PC2からPC1へpingが打てない(IPアドレスが不明)
(2) IP Poolで、■192.168.2.100 - 200を設定
-> PC1でVPN接続した際に、アドレスが払い出された! ■192.168.2.100
PC1から、NSとPC2へはpingが通るが、PC2からPC1へpingが通らない
関係するかわかりませんが、NS-RemoteのLogViewで、
「7-31: 時間 Inbound packet failed validation (■GIP2) -> 192.168.2.100」
と表示される。数秒に1行ずつ表示される。
今ここ。
* 疑問点
* DIPでもIP Poolでも、PC1へIPアドレスを振ることができるはずだと解釈していますが、DIPだと振られないのは原因が考えられますか?
* 右のページの、 http://www.viva-netscreen.net/archives/cat_50018702.html
> NetscreenがANY−ANYで、リモートが192.168.1.0-ANYだとだめ
という意味はどういう意味でしょうか。Policiesかルーティングの話だと思いますが。。。
* PC1と、NSのRouteテーブルを変更しないといけないのでしょうか?PC1(192.168.2.100)-> PC2(192.168.1.2)へpingは行って帰ってくるのですが。
原因がいまいち想像できなくて、困っています。
[1424] tani (2008/07/31 Thu 16:48)
DIPはIPアドレスを割り振っているのではなく
IPアドレスの変換を行ってます。
IPアドレスを割り当てたいんであれば
バーチャルアダプタ使ってIPPool等で
割り当てて下さい。
またPC2(サーバ?)からPC1(RemoteClient)
へ通信を行うには逆向きのPolicyが必要です
Untrust→Trust
Dialup→192.168.1.0/24
なんかだとしたら
Trust→Untrust
192.168.1.0/24→Dialup
Policy作成時にmodify〜にチェックをつける感じです
>* 右のページの、 http://www.viva->netscreen.net/archives/cat_50018702.html
>> NetscreenがANY−ANYで、リモートが192.168.1.0->ANYだとだめ
>という意味はどういう意味でしょうか。Policiesかル>ーティングの話だと思いますが。。。
PolicyベースVPNだとNSのPolicyをProxyID
RemoteClientのParty〜をProxyIDとして使用します。
要はProxyIDを一致させないと繋がりませんよ
って話です
長々と見づらくてすいませんした
[1425] ちゃんぴょん (2008/07/31 Thu 20:36)
ちゃんぴょんさん、アドバイスありがとうございます。
結論から言うと、うまくいきました。
> DIPはIPアドレスを割り振っているのではなく
> IPアドレスの変換を行ってます。
なるほど。結局、DIPで割り振られるIPアドレスへはPC2からアクセス不可で、今回のような場合は、IP Poolを使うしかないということですよね?
#アクセスできても良いような気もしますが。。。
>IPアドレスを割り当てたいんであれば
>バーチャルアダプタ使ってIPPool等で
>割り当てて下さい。
>またPC2(サーバ?)からPC1(RemoteClient)
>へ通信を行うには逆向きのPolicyが必要です
>
>Untrust→Trust
>Dialup→192.168.1.0/24
>なんかだとしたら
>
>Trust→Untrust
>192.168.1.0/24→Dialup
>
>Policy作成時にmodify〜にチェックをつける感じです
理解しました。
* 逆方向のポリシーを作る。DIPの設定を外す
* IKEユーザへ、IPPoolを割り当てる
以上の設定で、うまくいきました。
ただ、Trust -> UnTrustはすべて許可しているので、それさえあればOKかと思っていました。UnTrust は DialupVPNを含むのかと思っていました。
>>* 右のページの、 http://www.viva->>netscreen.net/archives/cat_50018702.html
>>> NetscreenがANY−ANYで、リモートが192.168.1.0->>ANYだとだめ
>>という意味はどういう意味でしょうか。Policiesかル>>ーティングの話だと思いますが。。。
>
>PolicyベースVPNだとNSのPolicyをProxyID
>RemoteClientのParty〜をProxyIDとして使用します。
>
>要はProxyIDを一致させないと繋がりませんよ
>って話です
こちらは、理解できていませんが、要はProxyIDを一致させないとVPNが繋がりませんよ。ってことでしょうか。VPNがつながっているので、OKなのかな。
知識不足と問題切り分けができないのを痛感しました。
問題が、ルーティングなのか、FireWallなのか、VPNなのか、トンネルって何!?
という状態で切り分けれていませんでした。
ちゃんぴょんさん、アドバイスありがとうございました。
NetScreenはWebUIで簡単に設定できて良い製品だと思いました。これからも勉強させていただきます。
#サーバを公開するわけではないので、楽観的に考えて
#いますが、それでもグローバルIPを利用するときは
#緊張してしまいます。^_^;
[1428] tani (2008/08/01 Fri 10:10)
初めて投稿させて頂きます。
ISG1000(HA2台構成、セキュリティモジュール×1枚)
にて、IDPの設定を行ないたいのですが、
NSM(NetscreenSecurityManager)からでないと設定
できないとのこと。
ドキュメント等探してみたのですが、英語しか無いようです。
どこかに、NSMの日本語ドキュメント等有りませんでしょうか?
どんな些細なものでも構いません。
非常に困っております。
お助け頂けると大変助かります。
以上宜しくお願いします。
[1413] taka (2008/07/30 Wed 18:15)
TranslatedはNSMになる以前で止まっていますね
テクニカルサポート契約されているディストリビュータからは提供を受けられませんか?
[1418] nai3 (2008/07/31 Thu 09:09) web
nai3さん
返信有難うございます。
サポート先に確認しましたが、日本語ドキュメントは提供していないとのことでした。。。
問い合わせしても対応悪くて。。。
(英語ドキュメント読めとか言うし)
実機をいろいろといじり倒して見たいのですが、お客様先でFWの本番機として動いてしまっているので、怖くてあまりいじれません。
IDPのポリシー作成方法、ポリシー適用方法等分かれば
非常に助かるのですが。
宜しくお願いします。
[1421] taka (2008/07/31 Thu 14:36)
いつもこのサイトを参考にさせて頂いています。
さて、SSG5について以下の質問があります。
先日Netscreen5XTからSSG5にリプレイスしました。
拠点間(20箇所位)をVPN接続し、H.323を利用した内線電話を利用しています。
VPN接続に問題ないのですが、SSG配下にあるVOIP-GW
の内線通話時に約90秒程度で通話が切断される時があります。
現在、ALGのチェックは外しており、
unset flow tcp-syn-check も設定しておりますが、
現象が回避できません。
SSG5のリビジョンも5.4.0r9にアップ済みです。
サポートセンターからは、「相性が悪い」との回答
でしたが、OS4.xx(5XT利用時)では問題なかったので、回避できればと思っています。
設定についてご存知であればご教授頂きたく、
よろしくお願いします。
[1412] きたろう (2008/07/30 Wed 16:51)
サービスでH323のポートのところでTimeOut値を何分にしていますか?
[1414] JOHN (2008/07/31 Thu 08:05)
JOHNさん
ご返事ありがとうございます。
H.323ですが、
作成されているServiceを利用しております。
(Objects > Services > Predefined より)
<設定値>
H.323 TCP src port 0-65535, dst port:1720
TCP src port 0-65535, dst port:1503
TCP src port 0-65535, dst port:389
TCP src port 0-65535, dst port:522
TCP src port 0-65535, dst port:1731
UDP src port 0-65535, dst port:1719
time out値:30(min)
通信ログ上では90秒で切断されているようなログも
観測されていない状況です。
宜しくお願いします。
[1417] きたろう (2008/07/31 Thu 09:04)
SSGでProxy経由での
AVとDIのパターンファイルの更新を考えています。
httpsでアクセスしに行くようですが、
SSG内部のWebクライアントにProxyを設定するにはどうすればよいでしょうか?
やっぱし DefaultRouteが、Internetに向いてないとダメなんですかね?
どなたかご教授ください。
[1401] Net (2008/07/25 Fri 12:09)
確か方法はあったはずですが
結構面倒くさいです。
[1411] ちゃんぴょん (2008/07/29 Tue 18:29)
初めて質問させていただきます。
Firmware Version4.0の古い機器な上、経験不足のため設定変更で困っています。
社内にメールサーバーから、外部(ホスティング)のメールサーバーにメールを送信する際に、送信元のIPアドレスを特定のIPアドレスに変換する必要があります。
例:
社内メールサーバー:192.168.1.10
NSのUNTRUSTのIP:200.1.1.1
メール送信元IP:200.1.1.2 に変換
どのような設定になるのでしょうか?
よろしく御願いいたします。
[1400] YOSHI (2008/07/24 Thu 19:19)
情報の訂正です。
Firmware Versionは5.0でした。
[1402] YOSHI (2008/07/25 Fri 13:53)
DIPもしくはMIPを使用して
送信元IPを変換してください。
[1410] ちゃんぴょん (2008/07/29 Tue 18:28)
LenovoのノートPCx61を購入し、netscreen remoteをインストールしようとしたところ、safe VA Adapterのインストールのところでブルー画面に行ってしまい、インストールができません。いままで色々なノートPCにインストールしてきましたがこんな症状は初めてです。カスタムインストールでVA Adapterを外せばインストールできるのですが、safe VA Adapterというのはどの様な働きをするものなのでしょうか。無しでいいのかどうなのかが分からなくて困っています。ご教授の程よろしくお願いします。
[1405] まだら (2008/07/29 Tue 14:28) mail
OSはwindowsXPSP2です。
よろしくお願いします。
[1406] まだら (2008/07/29 Tue 14:31) mail
レノボに標準で入っているレスキューアンドリカバリーが競合の問題を起こすため、バーチャルアダプタのインストールが出来ません。
レスキューアンドリカバリーをアンインストールして
対応してください。
[1409] ちゃんぴょん (2008/07/29 Tue 18:27)
Asterisk等のIP PBXをNS下に置いて、UDPをMIPする場合、SIPのNAT越えの問題が出ます。
NetScreenはNATのTimeOut値を変更できるのでしょうか?
[1407] とんび (2008/07/29 Tue 15:34)
このたびクライアントPCにNetScreen Remote VPNをインストールしようとしたのですが、「Certificate Manager」だけ上手くインストールできません。「Certificate Manager」をクリックするとエラーが表示されます。
========================
"Unable to connect to the IRE Cryptographic Service Provider.
This component may not be properly installed. Please repair or reinstall NetScreen-Remote.
The specific error was: 80090006 during CryptAcquireContext."
========================
どなたかこのようなエラー表示の対応策をご存知でしたら、教えていただけますでしょうか?
初心者で申し訳ないですが、お願いします。
[1404] VPN (2008/07/29 Tue 13:22)
現在、5GTを最大セッション:2000で利用しております。ブラウザを起動し、NetScreenのGUI設定画面を開きます。リフレッシュを30秒に設定し自動的に再読み込みを設定しておくと、その再読み込みのタイミングで新たなセッションを確立します。このため再読み込みのたびにセッションが増えてしまい、セッションの制限値を圧迫してしまいます。回避する方法としては、「Enable Web Management Idle Timeout 」の時間を短くするしかないのでしょうか。ご教示のほど、宜しくお願い致します。
[1379] izumi (2008/07/14 Mon 15:03)
実験してみました。
540r9のTrustI/Fへの直結PCにて、IE6でWebUI topへ接続し、更新間隔10秒とした結果...セッション増えませんでした。
増えているセッションはWebUIのセッションでしょうか?
[1388] nai3 (2008/07/16 Wed 14:33)
nai3さん
実験を行っていただきまして、ありがとうございます。
>増えているセッションはWebUIのセッションでしょうか?
はい。そのように見えます。
まず、WebUIを開きセッション数を確認しました。
*-----
get session dst-ip 172.16.85.155
alloc 773/max 2000, alloc failed 2077509, di alloc failed 0
Total 16 sessions according filtering criteria.
*-----
この時点で16セッション張っており、さらに更新間隔を10秒に設定し、セッション数を確認しました。更新のタイミングで、セッション数が増えております。
get session dst-ip 172.16.85.155
alloc 807/max 2000, alloc failed 2077509, di alloc failed 0
Total 21 sessions according filtering criteria.
get session dst-ip 172.16.85.155
alloc 805/max 2000, alloc failed 2077509, di alloc failed 0
Total 24 sessions according filtering criteria.
get session dst-ip 172.16.85.155
alloc 832/max 2000, alloc failed 2077509, di alloc failed 0
Total 30 sessions according filtering criteria.
get session dst-ip 172.16.85.155
alloc 823/max 2000, alloc failed 2077509, di alloc failed 0
Total 33 sessions according filtering criteria.
さらに、WebUI上から各設定状況を確認しておりましたら、あっと言う間に、500セッションを超えてしまいました。
get session dst-ip 172.16.85.155
alloc 1916/max 2000, alloc failed 2077848, di alloc failed 0
Total 539 sessions according filtering criteria.
1937セッションまで達すると、WebUIの更新もできなくなり、そのつど、圧迫しているPCからのセッションを手動でクリアしております。
[1390] izumi (2008/07/17 Thu 11:58)
WebUIのセッションが増えるのであればsrc-portがインクリメントされているか、短命なNATを経由しているかあたりでしょうか。
下記三点差し支えない範囲でいただけますか。
●port番号
>>増えているセッションはWebUIのセッションでしょうか?
>はい。そのように見えます。
dst-portが80固定、src-portがインクリメントになっていますか
●Webブラウザ周り
ブラウザ名とバージョン、プラットホーム
●環境
NSへの接続形態(直結・L3経由・IPSec等)、ScreenOS
2006年頃ソケット開放漏れ何点かありましたが10秒というオーダで起こるようなものじゃないハズです。
...最近のget sessってipフィルタかけられるんですね(^^;)
[1394] nai3 (2008/07/18 Fri 10:50) web
nai3さん
ご返信ありがとうございます。
また、ご協力いただいていながら、こちらからの返信が遅れてしまい、申し訳ございません。
>●port番号
>dst-portが80固定、src-portがインクリメントになっていますか
確認の方法として、以下であっておりますでしょうか。
ns5gt-> get session dst-ip 172.16.85.155
alloc 595/max 2000, alloc failed 2083742, di alloc failed 0
Total 28 sessions according filtering criteria.
id 29/s**,vsys 0,flag 00000040/0000/00,policy 320002,time 7, dip 0
2(8001):172.16.135.152/8080->172.16.85.155/1544,6,00e081301fae,2,vlan 0,tun 0,vsd 0,route 0
2(0000):172.16.135.152/8080<-172.16.85.155/1544,6,001121b672ce,2,vlan 0,tun 0,vsd 0,route 4
id 181/s**,vsys 0,flag 00000040/0000/00,policy 320002,time 6, dip 0
2(8001):172.16.135.152/8080->172.16.85.155/1537,6,00e081301fae,2,vlan 0,tun 0,vsd 0,route 0
2(0000):172.16.135.152/8080<-172.16.85.155/1537,6,001121b672ce,2,vlan 0,tun 0,vsd 0,route 4
id 194/s**,vsys 0,flag 00000040/0000/00,policy 320002,time 7, dip 0
※172.16.85.155は、IEを起動しているXPです。
※172.16.135.152は、WebProxyです。
>●Webブラウザ周り
>ブラウザ名とバージョン、プラットホーム
OS:WindowsXPsp2
IE:InternetExplorer 6.0.2900.2180 sp2
>●環境
>NSへの接続形態(直結・L3経由・IPSec等)、ScreenOS
接続形態:クライアント(XP)からIEを起動し、URLにNSのIPアドレスを入力しNSのログオン画面を開いています。この際、WebProxy(Blue Coat)を経由するため、httpのポートは8080を設定しています。
ScreenOS:
Hardware Version: 1010(0)-(00)
Software Version: 5.0.0r8.1
[1397] izumi (2008/07/23 Wed 10:19)
PCとproxy間のsession(かつ異経路戻り)なのですね。
WebUIをproxy対象外にすると解決しませんか?
根本はproxyのPC宛routingをCISCOに向ける等の整理かと。
5.0.0r8は隙を見てトライしてみます。
…異経路流行ってるなあ。
[1398] nai3 (2008/07/23 Wed 18:11) web
社内ネットワークでNetscreenを利用しています。
支店なんですが、社内他拠点向け回線だけでなく、インターネットにも直接出れるようにと、考えています。そのため、LAN内にインターネット向け出口(Netscreen)と、社内他拠点向けの出口(Cisco1841)と、二つの出口があります。
PCのデフォルトGWとしては、一つしか設定できませんので、とりあえずインターネット向け出口であるNetscreenのTrustインターフェースを指定してあります。
Netscreenに、社内他拠点向けのStaticルートを書いてやり、社内トラフィックについては、PCから一旦Netscreenに来て、そこからStaticルートにより社内ルータ(Cisco1841)に流れるように設定しました。
ところが、Netscreenに設定してあるStaticルートがうまく動作してくれません。Netscreenは一度受け取ったパケットをStaticルートに従って同じインターフェースから送信する、ということをやってくれない、ようなのです。。。
ルータでしたら、こうした動作は問題なく行えることが判っているのですが、事情があって、Cisco1841をデフォルトGWにして、そこにStaticルートを追加する、ということができません。。。
ご存知の方がいらっしゃいましたら教えてください。
- Netscreenでこうした動作は可能なのでしょうか。
- ネットワーク用語でこうした動作を何と呼ぶのでしょうか(redirect?)
- CLIでコマンド追加すれば良いような気がするのですがコマンドがわかりません。。。
[1322] uemu (2008/06/18 Wed 18:04)
Ciscoに戻りのルートは設定されてるんですよね
[1353] ちゃんぴょん (2008/07/03 Thu 22:31)
過去に同じ事をしたことがあるような、、、
概要だけ、
最初のバケットは、NSを経由し次にCisco
となり、宛先に到着します。
戻りは、CiscoからPCに到着します。
次にPCはパケットをNSに送信します。
これが、繋がらない理由です。
NSは、戻りのパケットを受けていません。
ルーたなら問題ないんですが、、、
NSはFWだからでしょうか?
でも、回避方法はあります。
覚えてないのでここまでにします。
失礼しました。
[1395] 通りすがり (2008/07/18 Fri 21:42)
過去に同じような経験をしたことがあります。
その際は、NSのsyn-check機能によりパケットがドロップされていたようなので、以下のコマンドを設定しました。
unset flow tcp-syn-check
同様の現象かどうかは分かりませんが...
[1396] morizun (2008/07/22 Tue 11:15)