「Juniper Networks SRX」カテゴリーアーカイブ

FortiGate 90Dへのリプレース完了

ども。こんばんは。

リプレース終わりました。

FortiOS 5.6.3も出てましたのでそれにしました。

NGFW機能は正直まだ改善の余地がたくさんありますね。

こんな感じの使い方ができるはずですが、実際には関係ない(はず)の通信がバカバカ引っかかります。。。
※意図としてはまんまです。

これPaloAltoならそれなりに意図通りに動くんだよなー。

うーん・・・。
いっときFortiGateは劣化NetScreenっていうイメージだったのが最近すごい盛り返した感があったけど、なんか今度は劣化PaloAltoって気がしてきた・・。でも安価に色々できるのはやっぱりFortiGateだよなー。

で、今回はSRX(Virtual Router 2つ)とFortiGate 40Cを束ねてVDOM 3つの運用になっています。

以下メモ。

・VDOM間のOSPFにはVDOMリンクにIPアドレスが必要。
・CatalystとのOSPFがうまくいかない。Catalyst側から広告されたルーティングが反映されない。逆はOKっぽい。
・Root VDOMからの別のVDOM経由でアップデートする設定にしている。デフォルトゲートウェイをVDOMリンクに向けている。VDOMリンクにIPアドレスが必要。
・IPSecが調子悪い。。。Phase2でセレクタを0.0.0.0/0なトンネルを2本作っているがどっちか片方しかActiveにならない・・・。
・Virtual IPでNATしているホストはCentral SNATよりもちゃんと送信元NATが優先される
・5.6から1つのインターフェースでマルチPPPoEができるが、Global VDOMではPPPoEインターフェースが作成でいない。結局あんまり意味がない。。。
→今VDOMに割り当てた物理インターフェースでアドレッシングをPPPoEにし、さらにそのインタフェースに紐付くPPPoEインターフェースを作っている。
イメージとしてはWAN1の下に複数PPPoEインターフェースを作って、それぞれをVDOMに当てたいが、それが出いない・・・。

・無償のFortiToken Mbileのライセンスをroot VDOMから別のVDOMに移動する方法

How to move the free FortiToken mobile licenses to a new VDOM or firewall

これ40Cのやつも移せるのかな・・・?

・なぜかAVが動作しない!!!!!
・DNSフィルタも!!

解決しました。(2017/12/25追記)

 

あと、何故かFortiCloudに接続できない。。。ID/PW合ってるのに間違ってるって言われちゃう・・・。

まぁこっからポリシーの漏れとかいっぱいあるんだろうけど、とりあえず完了ということで。

まだZabbixとかSyslogの設定とか運用周りが追いついてませんが・・・・。

Juniper SRX 220-PoEFortiGate 40C本当にお疲れ様でした!
※SRXは365日以上のUpTimeになっていました。

ではでは。またの機会に。

 

 

今更またMTUとかMSSの話


2017/12/25追記

この記事は内容に誤りがあります!ICMPヘッダ等の考慮を忘れているため、

MTU1454のままで正しいです。


 

 

ども。こんばんは。

昨日のYouTube 4K再生の件をきっかけに、なんかそういえばなんか最近ネット遅くない?と思い始めてしまい調査しました。

遅いと言っても、インターリンクは20Mbps、OCNも70Mbpsくらいはそれぞれ下りが出てると思うんですが、改めてSRXからPingでMTUを調査してみました。

ping yahoo.co.jp routing-instance [ルーティングインスタンス] size 1426 do-not-fragment

うちはVirtual Router(仮想ルータ)で回線を2つ分けているので一応それぞれからPingします。

これ、1426が最大でした。(インターリンクもOCNも。まぁ結局フレッツ光ネクスト側に依存する話ですが。)

あれ?昔調べたときと違う?
まぁ前回はこういう調査ではないし、西日本東日本の違いもあるかも?

東京に越してきたときに

MTU:1454
MSS:1414

に変更してたみたい。これ根拠なんだっけ・・。普通にPPPoEの時の値かな。

改めて調べ直したのでこうしてみる。

MTU:1426
MSS:1386

 

set interfaces pp0 unit 0 family inet mtu 1426
set interfaces pp0 unit 1 family inet mtu 1426
set interfaces pp0 unit 2 family inet mtu 1426
set interfaces pp0 unit 3 family inet mtu 1426

set security flow tcp-mss all-tcp mss 1386

勢い良くcommit!!!
メモ:2016/12/01 01:03
   MSSの計算間違っていたので、01:22に再コミット(1408->1386)

あら?あらら??

なんか速なった!?プラシーボ効果??

100Mbps超える勢いなんですけど。
※ずっと裏でPS4が龍が如くの体験版をDLしています。

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-12-01-1-30-06

まあ、こういうのはよくある勘違いで、周りの回線の混み具合とかね。
たまたまってやつ。

そういうやつよね。

・・・。

きっとそうに違いない。あとなんかSRXのPFのCPUめちゃ荒ぶってる。。

%e3%82%b9%e3%82%af%e3%83%aa%e3%83%bc%e3%83%b3%e3%82%b7%e3%83%a7%e3%83%83%e3%83%88-2016-12-01-1-33-51

明日もう一回測ろう。

ちなみにPS4で速度測ってみると

MTU/MSS変更前:20Mbps程度
MTU/MSS変更後:70Mbps程度

あかん。これ絶対速なってる。

c(`Д´と⌒c)つ彡 ヤダヤダ

2年間も設定間違ったまま運用してたとかショックすぎるorz

SRXリブって勘違いであったことを確認しながら寝よう・・・。

 

 

NTT東日本フレッツ関連のメモ

恒例のいわゆるフレッツスクエアへの接続方法メモ。

ルーティング情報
https://flets.com/square/routing.html

DNSサーバ
https://flets.com/customer/next/square/faq/faq_dns.html

いつもどおりSRXへのルーティング追加とBINDへのゾーン追加。
※今回うちの場合はNTT西用のForwarderの修正のみ。

フレッツサービス情報サイト
http://www.flets/
※IP直打ちの場合
http://123.107.190.14/

フレッツ速度測定

http://www.syutoken-speed.v4flets-east.jp/
※IP直打ちの場合
http://123.107.190.162/

NTT西と違って別途PPPoEはる必要はないみたい。

参考までにBINDのゾーン設定の抜粋(西はコメントアウトしています)
多分・・・あってると思うのですが、Squidがダメなキャシュを持ってしまって
ただいまIP直打ちでしか試せてないのでなんともです。

//for flets(e)
zone “flets” {
type forward;
forward only;
forwarders {
123.107.190.5;123.107.190.6; //flets
};
};

zone “v4flets-east.jp” {
type forward;
forward only;
forwarders {
123.107.190.5;123.107.190.6; //flets
};
};
zone “speed.flets-east.jp” {
type forward;
forward only;
forwarders {
123.107.190.5;123.107.190.6; //flets
};
};

//for flets(w)
//zone “flets” {
//    type forward;
//    forward only;
//    forwarders {
//        10.60.21.72;10.60.21.73; //flets
//    };
//};
//
//zone “v4flets-west.jp” {
//    type forward;
//    forward only;
//    forwarders {
//        122.50.19.5;122.50.19.6; //flets
//    };
//};
//zone “speed.flets-w.jp” {
//    type forward;
//    forward only;
//    forwarders {
//        122.50.20.6; //flets
//    };
//};

ではでは。またの機会に。

 

SRX不調の原因発見

ども。こんばんは。

はい。不調の原因見つけました・・。

Jan 10 23:45:42 dgw /kernel: RT_PFE: NH IPC op 1 (ADD NEXTHOP) failed, err 6 (No Memory) peer_class 0, peer_index 0 peer_type 10
Jan 10 23:45:42 dgw /kernel: RT_PFE: NH details: idx 649 type 2 ifl 78

えええー。なにこれ・・・。

とりあえずたった今ノートPCの電源を入れてWifiにつないだところです。

で、前回の記事とかの付近にも同じログが。。。

そういえば、今回の事象が発生したタイミングは・・・

・PS3を無線化した
・新居で初めて前のスマフォの電源を入れた
・会社支給のiPhoneを無線に繋いだ

です。

まさかなーと思ってましたけど、どうやらログ見るとその関連がありそう。

んで、ARPクリアすると回復しますねー。

ちなみに以前もARPクリアしたつもりでしたが、コマンドが間違っていたという。。。

clear arpだけではダメで

clear arp interface ge-0/0/1.0

な感じです。

うーん。参った。別にClearするも何も、間違った情報をキャッシュしているわけでも何でも無いのに・・。

あー。こまった。。。。

なんか対策調査します。。。

ではでは。またの機会に。

SRX不調・・・

ども。こんにちは。

引越し後からどうやら無線経由でのみSRXに通信できていないことが判明しました。。

うーん。VM上の仮想マシンとかNASとかL3とかは全く問題ないのにSRXだけ通信がうまくいかない。。。

ARPはいけるのに、Pingはダメダメですねえ。

普段はプロキシを経由しているので全く気づかなかった。。。

さてどう調査したものか・・・。

ではでは。またの機会に。

JunosのFTP経由アップデート

ども。こんばんは。

以前書きましたが、SRX210-POEが最近容量不足でJunosのアップデートがGUIから出来ません・・・。

「/」が足りない・・・
※「/var/tmp/install」に展開される模様。

毎回USBでやるのも手間なので、FTP経由に切り替えました。

request system software add

request system software add ftp://id:pass@x.x.x.x/temp/junos-srxsme-12.1X46-D20.5-domestic.tgz no-copy reboot unlink partition

でも失敗しました。

結局USBかよ・・・。

こんな感じかな?
※丁寧にやるならちゃんとUSB用のディレクトリ作ったりしたほうがいいですね・・・。

mount_msdosfs /dev/da1 /mnt/
cli
request system software add /mnt/junos-srxsme-12.1X46-D20.5-domestic.tgz no-copy reboot unlink

うーん。そろそろゲートウェイ入れ替えようかなあ。

次は何がいいかなー。

ではでは。またの機会に。

ホスト名のネタ切れ

ども。こんばんは。

SATAカードは22時頃に届きました・・・。ということで今日は諦めて
ひたすらデータのコピーをしています。

QNAP上のiSCSIに保存していたデータをQNAP上にコピーするという・・・。

んでまあ、NFSやらCIFSやらにまみれてもう権限がぐちゃぐちゃ。
あとで整理しないとなー。

それと、もうホスト名がネタ切れですねー。

今回のReadyNASは「stratos4」にしました。
ディスクが4発だから・・・。
※QNAPは「SPRING-8」です・・。ディスクが8発だから・・・。

もうね。ホスト名がいろんなところからきているからわけがわからないよ。

自分の整理も込めて。。。

・dgw
SRX。もう適当。Default Gatewayの略。

・cobra
Procurve。ハブ→ヘビ→コブラって格好いい!
超適当。

・tachikoma
メインのLinuxサーバ。攻殻機動隊から。

・tachikoma-ng
tachikomaのリプレース先にするつもりだったCentOS。
New Generation・・・。

・max
サブのLinuxサーバ。
ホスト名考えるのが面倒くさくて、ムサシ、マックス、ロキ、コナンのどれかからつけようとしていた名残。
なんやかんやでマックスだけ採用・・・。

・jigabachi-av
Windowsテレビ録画サーバ。
まぁ、タチコマ(Linux)の敵ということで・・・・。これも攻殻機動隊から。

・oniyanma-ng
Windows Server。
jigabachi-avと来ればoniyanma。。。
これも攻殻機動隊から。
※oniyanmaという2008サーバが過去にいました。
NGはこれまたNew Generation的な・・・。

・medusa
FortiGate。これも攻殻機動隊から。

・connect
Cisco 1812J。
つながる的な・・・。

・gate
サブプロキシ。元SSL-VPN。
入り口的な・・・。

・ARX-8
Windows 8クライアント。
フルメタル・パニックから・・・。
Windows 8にちなんで。。。

・TDD-1
Windows 7クライアント。
フルメタル・パニックから・・。深い意味はない。

・frontier
ESXiサーバ。マクロスから。

・oct
テスト用Windows 8クライアント。
octet(8)から・・・。

・nino
Zabbixサーバ。もともとninoっていう監視ソフトが動いていた。

・SPRING-8
QNAP。ディスクが8発。後は、実在の施設だけど、一応攻殻機動隊から。

・stratos4
ReadyNAS。
ディスクが4発だから。。割りと好きなアニメのタイトル。

・big-brother
Splunkのテスト用サーバ。
攻殻機動隊から。。。

・wgate
無線アクセスポイント。
Wireless Gate的な意味。。。

うーん。。適当。というか統一感がない。

ホスト名はちゃんと考えてつけましょう。。。

意外と動いているなー。

本当にこんだけいるのか・・・という疑問が湧いてきた。。。

ではでは。またの機会に。

JunOSアップデートにハマる

ども。こんにちは。

やられました。

12.1R7系のリリースが終わる(?)とのことで、X系(っていうのか?)にアップデート

12.1R7.9→12.1X45-D15.5

ところがドハマり。

コミットが全然できなくなる。。。

アップデート時に

Format and re-partition the media before installation

のオプションを付けたことが敗因らしい。

以前デモライセンスを適用してIDPを使っていましたが、
そのせいで、コミットスクリプトなるものが使われてしまった模様。

で、パーティション飛ばしたために、このスクリプト(/var/db/scripts/commit/templates.xsl)が飛んだらしい。

んでんで、これを手に入れるにはIDPのシグネチャ更新が必要とのこと。

が、コミットできてないからIPも何も触れていない上、どのみちライセンスもない・・・

ということで、IDP周りの設定を手で消して・・・configの前の方にあるscriptの設定を飛ばして・・・やっとcommit完了。

罠だらけ・・・。

最初わからずにファームウェアを飛ばしてみたり、ダウングレードしたりと大変な目にあった・・・。

 

まぁお陰でUSB経由でファームウェア入れなおす技とか、コマンドからconfig流しこむ技とかが身につきましたけど。

うーん。やっぱり癖が悪いなあ。

ではでは。またの機会に。

某国からの大量のDNSアクセス・・・

ども。こんばんは。

猛烈にDNSアクセスが来てました。5時間で20万件ほど。

とりあえずFWで弾いていますが、今なお分間15oo程度の件数でアクセスされている模様。
まぁアレの関連ですかね。単純にどっかのAレコードを聞いてるだけ見たいなので、
内容は無害っぽいですね。

セカンダリにはアクセスが無いみたいだな。。。

うーん。こまった。

たまたま監視画面を見てて異常なセッションとトラフィックで気づいたけど、
これ気づく仕組みって作れるんだろうか。

ではでは。またの機会に。