SSG5での専用線IP接続の設定

前へ 次へ
このQ&Aのポイント
  • 専用線を使用したインターネット接続の設定について質問です。
  • インターネットに接続できないのですが原因が不明です。
  • SSG5での設定内容が正しく反映されておらず、インターネットへのアクセスができない状況です。
回答を見る
  • ベストアンサー

SSG5での専用線IP接続の設定

専用線を使用したインターネット接続の設定について質問です。 インターネットに接続できないのですが原因が不明です。 原因が分かる方、ご回答の程、よろしくお願い致します。 下記のネットワーク構成に対して Netscreen/SSG5で設定を試みています。 === [構成]  (Internet)-[業者側ルータ:(2)]-[ONU]-(専用線:(1))-[ONU]-[社内側ルータ:(3)]-(SSG5)(LAN:(4))  (1)WANネットワークアドレス:202.x.x.1/30  (2)WAN側IP:202.x.x.3  (3)WAN側IP:202.x.x.4  (4)LAN側IP:192.x.x.1/24 [状況]  インターネットのサイトにアクセス出来ない。  pingコマンドが(3)と(4)には反応しますが(2)には反応していないです。  pingコマンドはSSG5のコンソールから直接打ち込んでいます。 [設定]  SSG5で下記のように設定しています。  ・インタフェース   untrust(ethernet0/0) → staticIP:202.x.x.1/30             Interfacemode:route   trust(ethernet0/2)  → staticIP:192.x.x.1/24             Interfacemode:NAT ・ポリシー   trust  → untrust のポリシーは全て許可にしています。    Advance設定は下記の通り         NAT:         Source Translation: ( 選択 )          (DIP on): None ( Use Egress Interface IP )   untrust → trust  のポリシーは全て許可にしています。  ・ルーティング   下記を追加しました。記載のない部分はデフォルト値です。   追加した状態と追加してない状態で両方pingを試しましたが、どちらも駄目でした。   IP/Netmask:202.x.x.1/30   Gateway:202.x.x.3   Interface:ethernet0/0   Protocol:S === 特に複雑な設定は不要で単純にtrust側からuntrust側へは 全許可でインターネットに接続できればいいです。

質問者が選んだベストアンサー

  • ベストアンサー
  • pakuti
  • ベストアンサー率50% (317/631)
回答No.1

ネットワークのレンジがおかしくないですか? 202.x.x.0/30  202.x.x.0 ネットワークアドレス  202.x.x.1  202.x.x.2  202.x.x.3 ブロードキャストアドレス です。 SSGと業者側ルーターの間にいるルーターは何者? このルーターを取っ払い、SSGのuntrustを202.x.x.2として GWを202.x.x.1にすればよいのでは? 

  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

  • SSG5のVPNパススルー設定について

    SSG5をゲートウェイとして使用し、RTX1210へのL2TP/IPsec接続する際のSSG5の設定が分からなくて悩んでいます。 構成としては以下のようになっています。 (Untrust)-SSG5(192.168.1.1)--(192.168.1.128)RTX1210 Untrust側からはWindowsやMacの標準VPNクライアントで接続することを想定しています。 SSG5にどのような設定を行えば良いか教えて頂けますでしょうか。 よろしくお願い致します。

  • Juniper SSG5でVPNがつながらない

    今まで2拠点でNS5GTを使ってVPN接続していたのですが、そのうちの1か所のルーターが故障しまして、後継機のSSG5に変えて設定を行い、接続しようとしたのですが、うまくいきません。 環境としましては ●拠点A LAN側IP 192.168.1.253(ルーター) WAN側IP 210.172.XXX.XXX 機種:NS5GT 光回線 ●拠点B LAN側IP 192.168.11.1(ルーター) WAN側IP 61.192.XXX.XXX 機種:SSG5 ADSL回線 接続を開始して最後に下記エラーメッセージが出てしまいます。 (下記のメッセージは拠点A側です) IPSec tunnel on int untrust with tunnel ID 0x2 received a packet with a bad SPI. 61.194.XXX.XXX->210.172.XXX.XXX/104, ESP, SPI 0x8d5d, SEQ 0x3b9 拠点Aから拠点Bには接続でき(PINGもコンピュータ検索も可能です) 拠点Bからはなにもできません。 ネットでしらべたら下記の情報が見つかりましたので試したのですがダメでした。 http://networksecurity.cocolog-nifty.com/blog/2006/12/received_a_pack_9dcb.html よろしくお願いいたします。    

  • Juniper/SSG5のDMZの設定

    Juniper/SSG5(6.1.0r2.0)のDMZの設定について教えて頂きたい。 Eth0/0(Untrust)は、プロバイダからPPOE経由で、固定IP[8IP]を取得しております。 Eth0/1(DMZ Zone)に、固定IPを使用したサーバ複数台を接続設置しようとしています。 SSG5のネットワークの設定: Untrust側:固定IP[8IP]の1番目 DMZ側 :固定IP[8IP]の2番目 サーバ:固定IP[8IP]の3番目 としました。 固定IPが[8IP]なので、DMZのサブネットマスクを[29]とするとエラーとなり設定を行なうことが出来ません。 DMZのサブネットマスクを[32]とすると設定はできますので DMZのサブネットマスクがUntrustのアドレス範囲となると、設定ができない状況です。 設定漏れ等が考えられます。ご教授をお願いします。

  • NetScreenでNSRP使用時のping監視について

    2台でNSRPを使用してマスタ-バックアップ構成を取り、UntrustとTrustインタフェースの両方に管理IPを付与してみたのですが… Trust側の端末からマスタ・バックアップ両方のTrust管理IPにPingが飛ぶのですが、バックアップのUntrust管理IPにはPingが飛びません。逆のUntrust側の端末からもやってみましたが、バックアップのTrust管理IPにPingが飛びません。 ファイアウォールを越えてバックアップ側の管理IPにはPingが飛ばないといったことはあるのでしょうか? こういう仕様なのか、なにか設定や構成に原因があるのか、お分かりになる方いらっしゃいましたら教えて頂けないでしょうか。

  • netscreen remoteに関して

    現在下記の環境でクライアントから netscreen remoteでVPN接続を試みています。 PC-A---SSG---network---router--PC-B(NSremote) SSGのコンフィグは以下のとおり ------------------------- --略-- unset interface vlan1 ip set interface trust ip 10.90.10.1/24 set interface trust nat set interface untrust ip 125.173.97.165/32 set interface untrust nat unset interface vlan1 bypass-others-ipsec unset interface vlan1 bypass-non-ip set interface trust ip manageable set interface untrust ip manageable set interface untrust manage ping set interface untrust vip untrust --略-- set interface trust dip 4 10.90.10.100 10.90.10.110 set flow tcp-mss 1392 set flow all-tcp-mss 1304 set hostname ns5gt --略-- set address "Trust" "10.90.10.0/24" 10.90.10.0 255.255.255.0 set address "Trust" "172.31.0.0/16" 172.31.0.0 255.255.0.0 set address "Untrust" "210.154.78.16/29" 210.154.78.16 255.255.255.248 set address "Untrust" "test" 172.16.1.0 255.255.255.0 set ike gateway "gateway for remote" address 124.96.176.211 Main outgoing-interface "untrust" preshare "key==" proposal "pre-g2-3des-sha" set ike gateway "gateway for remote" nat-traversal set ike gateway "gateway for remote" nat-traversal udp-checksum set ike gateway "gateway for remote" nat-traversal keepalive-frequency 100 set ike respond-bad-spi 1 set vpn "vpn for remote" gateway "gateway for remote" replay tunnel idletime 0 proposal "g2-esp-3des-sha" set pki authority default scep mode "auto" set pki x509 default cert-path partial set policy id 1 from "Trust" to "Untrust" "Any" "Any" "ANY" permit set policy id 2 from "Trust" to "Trust" "Any" "Any" "ANY" permit log set policy id 3 from "Untrust" to "Trust" "Any" "10.90.10.0/24" "ANY" nat src dip-id 4 tunnel vpn "vpn for remote" id 3 log set policy id 4 from "Untrust" to "Trust" "Any" "Any" "ANY" deny log set vpn "vpn for remote" proxy-id local-ip 10.90.10.0/24 remote-ip 124.96.176.211/32 "ANY" set pppoe name "untrust" set pppoe name "untrust" username "usrname" password "password" set pppoe name "untrust" interface untrust set global-pro policy-manager primary outgoing-interface untrust set global-pro policy-manager secondary outgoing-interface untrust set ssh version v2 set config lock timeout 5 set modem speed 115200 set modem retry 3 set modem interval 10 set modem idle-time 10 set snmp port listen 161 set snmp port trap 162 set vrouter "untrust-vr" exit set vrouter "trust-vr" unset add-default-route set route 10.229.184.0/22 interface trust gateway 10.90.10.2 exit ----------------------- PC-Bにダイレクトにアドレスを付与した場合はVPNがつながる のですが、ルータを経由したとたんにつながりません。 SSGのイベントログをみると ----------------------- Rejected an IKE packet on untrust from 124.96.176.211:60001 to 125.173.97.165:500 with cookies 051edfeb92c884dc and 318e4d73fb325f29 because Phase-1: no user configuration was found for the received IKE ID type: IP Address,1. ----------------------- となりVPNがはれません。 原因はどこにあるのでしょうか? よろしくお願いします。

  • 異なったパブリックIPでWEBサーバーを公開したい

    現在は、SSG320でこの構成で動いておりますのでできるとは思われますが、UTMの差し替えがあり、Sonicwall Pro 3060で再構築しているところです。 要件としては、DMZ内にWAN側と異なったセグメントのグローバルネットワークでWEBサーバーを公開する方法を探してます。 設定例 WAN GW グローバルIP 10.10.10.247/29 DMZ  ローカルIP 192.168.1.0/24 DMZ  グローバルIP 61.205.227.135/26 DMZローカルとDMZグローバルをNATして61.205.227.135/26のセグメントを使用して、WEBサーバーを公開しようと考えてます。 出来る・できないはちょっと不明ですが、イメージとしては、以下をできる機能を探してます。( NATの二重みたいな感じですが・・・) WAN IP  → DMZ グローバルIP → DMZLocalIP  こんな機能とかってなんかありますかね? 設定する機能名の当たりでも教えてもらえれば後は頑張れそうです。

  • SSG140 CISCO1812 間、VPN接続

    CISCO1812設定 crypto isakmp policy 15 crypt 3des hash md5 crypto isakmp kei .......... address xxx.xxx.xx.xxx SSG140設定 set ike gateway "gw-office" address yy.yyy.yyy.yy Main outgoing-interface "ethernet0/2" preshare ".............." sec-level compatible set ike gateway "gw-office" nat-traversal unset ike gateway "gw-office" nat-traversal udp-checksum set ike gateway "gw-office" nat-traversal keepalive-frequency 5 上記状態で、接続を試みると以下のエラーが出ます。 Phase-1: no user configuration was found for the received IKE ID type: IP Address,1. CISCOの設定で crypto isakmp kei .......... hostname name とすると、エラーが下記に変わります。 Phase-1: no user configuration was found for the received IKE ID type:Hostname,2. phase1にて、IKE-IDを設定する場所が無い様ですが どのように対処したら宜しいでしょうか? エラーからは、IKE-IDに結びつくユーザの設定が無いと言う事かと思われますが そもそも、CISCOデバイスとのLANtoLANにユーザの設定は要らないかと思われます。 また、CISCO社のページや、Juniper社の説明ページ、その他の解説ページでも LANtoLANでのユーザの設定やIKE-IDに関わる説明を見つける事が出来ませんでした。 SSGとCISCOデバイスでのポリシーベースでのIP-Secの接続を経験された方 解説ページをご存知の方、お力添え頂けますようお願い致します。

  • ルーターを用いた固定IPの設定について

    ルーターの設定について教えて下さい。 以下のIPアドレスにてネットワークを組み、ファイルの共有を掛けた際に、LAN側からWAN側のパソコンへのアクセスは可能なのですが、その逆ができません。 WAN側 192.168.0.xxx LAN側 192.168.20.xxx 共有が可能なので当たり前ですが、LAN側からWAN側へのpingは通りますが、WAN側からはRequest timed outになります。但し、LAN側のルーターのIPに対してのみ、WAN側からもpingが通ります。 使用しているルーターはアイオーデータ社製の以下のルーターです。IP固定設定にて振り分けを行っております。 以上、教えて頂けますと幸いであります。

  • Juniper SSG5 パケットログについて

    お世話になります。 Juniper SSG5 の F/Wパケットポリシーにて透過する通信のみ設定しています。 この状態で、通信を許可していない破棄されたパケットのログを見る方法はありますでしょうか。 又は下記の設定等をしなければ破棄されたログは見れないものでしょうか。 1.ポリシー定義の最終行にDENYポリシーを設定して通信ログをキャプチャする。 2.debugコマンドで通信ログをキャプチャする。(debug flow basic) 以上、宜しくお願いいたします。

  • ルータcisco2501のNAT(IPマスカレード)設定について

    マンション内LANをサーバ経由でOCNエコノミーと接続していますが、 サーバ故障のためとりあえず、直接OCNと接続したいのですが、 LAN側ルータの設定(NAT)の設定が判りません。よろしくお願いします。 <参考> 形態:OCN--専用線--LAN側ルータ--内部ネット(192.168.99.0) OCNから割り当てられたグローバルIP:211.9.9.1~8(仮) 以下の内容(多少省略して記述)で設定しようとしたのですが、 "ip nat・・・"のところでエラーになります。 ルータが古いのか"nat"というコマンドがないみたいです。 interface ethernet 0 ip nat inside   <- natでエラー interface serial 0 ip nat outside    access-list 2 permit 192.168.99.0 0.0.0.255 ip nat pool test 211.9.9.3 211.9.9.7 netmask 255.255.255.248 ip nat inside source list 2 pool test

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する