いわゆる初期設定というやつですが。
いろいろなサイトを見てみたけど、SSG5をDHCPサーバーにして、WindowsをクライアントとしてGUIで設定するというものが多くて、まずはWindowsでIPアドレスの設定をしているのが多い。
んなことやってられっかー!
と、たけけんは思うので、SSG5にはコンソール接続して同じネットワーク内に入れてしまう設定をやろうと思います。
PCとSSG5との接続はSSG5のCONSOLEに対して、USBシリアルケーブルで接続する。
RS232C USBでググればたくさんでてくるので持ってなかったら買う。
標準のドライバで動くので、USBに刺せば自動で認識するだ。
COMポートがどれかをデバイスドライバで確認する。
これだとCOM3だね。
では、TeratermでCOM3につなごう。
つないだらまずはエンターキーを押さないとLoginと出てこないので、ちょっと注意。
初期化済みだったら
ユーザー名:netscreen
パスワード:netscreen
でログインできるはず。
では、設定に入ろう。
初期状態だとSSG5 は192.168.1.1になってるはずでPINGも通らない。
初期設定を見てみる。
ssg5-isdn-> get system Product Name: SSG5-ISDN Serial Number: 0169122009001046, Control Number: 00000000 Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Flash Type: Samsung Software Version: 6.3.0r13.0, Type: Firewall+VPN Feature: AV-K BOOT Loader Version: 1.3.2 Compiled by build_master at: Fri Dec 14 02:08:19 PST 2012 Base Mac: 2c6b.f505.3fc0 File Name: ssg5ssg20.6.3.0r13.0, Checksum: f03ef88f , Total Memory: 256MB Date 07/07/2014 14:50:16, Daylight Saving Time enabled The Network Time Protocol is Disabled Up 0 hours 8 minutes 57 seconds Since 07July2014:14:41:19 Total Device Resets: 1, Last Device Reset at: 05/27/2014 12:07:35 ssg5-isdn-> get route IPv4 Dest-Routes for <untrust-vr> (0 entries) -------------------------------------------------------------------------------------- H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route IPv4 Dest-Routes for <trust-vr> (2 entries) -------------------------------------------------------------------------------------- ID IP-Prefix Interface Gateway P Pref Mtr Vsys -------------------------------------------------------------------------------------- 2 192.168.1.1/32 bgroup0 0.0.0.0 H 0 0 Root 1 192.168.1.0/24 bgroup0 0.0.0.0 C 0 0 Root
ファームウェアもちっと古いけど、中古だし仕方ない。
まずはGUIでつなげるとこまでやる。
削除しないと設定ができないので、まずは削除。
ssg5-isdn-> unset interface bgroup0 ip ssg5-isdn-> get interface A - Active, I - Inactive, U - Up, D - Down, R - Ready Interfaces in vsys Root: Name IP Address Zone MAC VLAN State VSD bri0/0 0.0.0.0/0 Untrust N/A - D - eth0/0 0.0.0.0/0 Untrust 2c6b.f505.3fc0 - D - eth0/1 0.0.0.0/0 DMZ 2c6b.f505.3fc5 - U - bgroup0 0.0.0.0/0 Trust 2c6b.f505.3fcb - D - eth0/2 N/A N/A N/A - D - eth0/3 N/A N/A N/A - D - eth0/4 N/A N/A N/A - D - eth0/5 N/A N/A N/A - D - eth0/6 N/A N/A N/A - D - bgroup1 0.0.0.0/0 Null 2c6b.f505.3fcc - D - bgroup2 0.0.0.0/0 Null 2c6b.f505.3fcd - D - bgroup3 0.0.0.0/0 Null 2c6b.f505.3fce - D - vlan1 0.0.0.0/0 VLAN 2c6b.f505.3fcf 1 D - null 0.0.0.0/0 Null N/A - U -
そして、同じネットワークに設定する。
ssg5-isdn-> set interface bgroup0 ip 192.168.24.10/24 ssg5-isdn-> get interface A - Active, I - Inactive, U - Up, D - Down, R - Ready Interfaces in vsys Root: Name IP Address Zone MAC VLAN State VSD bri0/0 0.0.0.0/0 Untrust N/A - D - eth0/0 0.0.0.0/0 Untrust 2c6b.f505.3fc0 - D - eth0/1 0.0.0.0/0 DMZ 2c6b.f505.3fc5 - U - bgroup0 192.168.24.10/24 Trust 2c6b.f505.3fcb - D - eth0/2 N/A N/A N/A - D - eth0/3 N/A N/A N/A - D - eth0/4 N/A N/A N/A - D - eth0/5 N/A N/A N/A - D - eth0/6 N/A N/A N/A - D - bgroup1 0.0.0.0/0 Null 2c6b.f505.3fcc - D - bgroup2 0.0.0.0/0 Null 2c6b.f505.3fcd - D - bgroup3 0.0.0.0/0 Null 2c6b.f505.3fce - D - vlan1 0.0.0.0/0 VLAN 2c6b.f505.3fcf 1 D - null 0.0.0.0/0 Null N/A - U - ssg5-isdn-> get route IPv4 Dest-Routes for <untrust-vr> (0 entries) -------------------------------------------------------------------------------------- H: Host C: Connected S: Static A: Auto-Exported I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered N: NHRP iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1 E2: OSPF/OSPFv3 external type 2 trailing B: backup route IPv4 Dest-Routes for <trust-vr> (2 entries) -------------------------------------------------------------------------------------- ID IP-Prefix Interface Gateway P Pref Mtr Vsys -------------------------------------------------------------------------------------- * 6 192.168.24.10/32 bgroup0 0.0.0.0 H 0 0 Root 5 192.168.24.0/24 bgroup0 0.0.0.0 C 0 0 Root
これで仲間入りだね。
WindowsにPINGしてみる。
ssg5-isdn-> ping 192.168.24.53 Type escape sequence to abort Sending 5, 100-byte ICMP Echos to 192.168.24.53, timeout is 1 seconds !!!!! Success Rate is 100 percent (5/5), round-trip time min/avg/max=2/2/2 ms
あ、saveは忘れずに。
それとLANケーブルはeth0/2以降につなごう。eth0/1に最初つないでて、繋がらないから焦ってしまった。
デフォルトだとeth0/1はDMZ、eth0/0はUntrustになっていた。
保守契約がないのでアップデートはできないけど、ファームウェアのバックアップだけやってみた。
ssg5-isdn-> get sys Product Name: SSG5-ISDN Serial Number: 0169122009001046, Control Number: 00000000 Hardware Version: 0710(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0) Flash Type: Samsung Software Version: 6.3.0r13.0, Type: Firewall+VPN Feature: AV-K BOOT Loader Version: 1.3.2 Compiled by build_master at: Fri Dec 14 02:08:19 PST 2012 Base Mac: 2c6b.f505.3fc0 File Name: ssg5ssg20.6.3.0r13.0, Checksum: f03ef88f ssg5-isdn-> save software from flash to tftp 192.168.24.53 ssg5ssg20.6.3.0r13.0
tftp transferred records = 26113 tftp success! TFTP Succeeded ssg5-isdn->
順番が逆になったけど、tftpサーバーはtftpd64というフリーソフトを使ってます。
Windows上で簡単にtftpサーバーが立てれるのです。
あとは、古いファームウェアには脆弱性があるのだが、Ping of Death Screen という召喚獣みたいな設定を有効にしておけば防げるので、いまのとこ外から見えるとこに置く予定はないけど、この設定はいれておこう。
ssg5-isdn-> set zone untrust screen ping-death set zone "Untrust" screen tear-drop set zone "Untrust" screen syn-flood set zone "Untrust" screen ping-death set zone "Untrust" screen ip-filter-src set zone "Untrust" screen land
もしかしたら最初から有効だったかもしれないけど、まあいい。
あとはsaveしてやれば、LAN内からはつながるはずです。
これで色々といじくれるようになりました。
ざーっと見たけど、家庭用の1万円前後のルーター兼スイッチよりずいぶんと色々な機能が多い。
マニュアルも多いし。
ネットワーク関係のセキュリティもいっぱいあるんだなぁ。マニュアルを読むだけで色々と知識は増えそう。。今日はこのぐらいにしとくか。