Netscreen500でのIPv6の扱い
なにやら紆余曲折会って、Netscreen500を利用することになったので仕込んでました。その際ScreenOSがVersion5でIPv6に対応しているとのことで、IPv6を有効にして色々と検証してました。(ScreenOS:5.4.0r19.0)
IPv6を扱うために
Netscreen500はデフォルトではIPv6が有効になっていません。そこでまずIPv6を有効にしてあげます。
set enver ipv6=yes save reset
ちなみに無効化するには
unset enver ipv6=no save reset
このコマンドを入れることでIPv6が有効になります。具体的な機能については以下を参照。
NetScreen IPv6 Reference Guide
http://www.juniper.net/techpubs/software/screenos/screenos5x/screenos5xipv6/IPv6_ref.pdf
Transparent Modeでの問題
NS500でIPv6を有効にするとIFやPolicyでIPv6が扱えるようになります。というわけで早速Transparent Modeで透過FWにしようとしたところ色々と問題が。
・DenyしてもRAが飛んで来る
Transparent Modeにした後、V1-TrustとV1-Untrustを利用してルータと端末を分断、後以下のようなPolicyをいれたところ問題が。
set policy id 0 name "any-any Logging" from "V1-Trust" to "V1-Untrust" "Any-IPv6" "Any-IPv6" "ANY" deny log set policy id 1 name "any-any Logging" from "V1-Untrust" to "V1-Trust" "Any-IPv6" "Any-IPv6" "ANY" deny log
とりあえずDenyして隔離しようとしたところ何故かRAが端末に届く。色々と調べたところ、V1-UntrustからV1-Trustに向かってパケットが流れてしまっている始末。なにやら不穏そうなのでいろいろ調べたところ、こういうオチが。
Solution: Upgrade to ScreenOS 6.2 for the following new feature: Transparent Mode for IPv6―ScreenOS now supports IPv6 addressing and functionality on security devices in transparent mode. This feature adds support for three new kinds of VPNs: IPv4 over IPv6 IPsec, IPv6 over IPv4 IPsec and IPv6 over IPv6 IPsec. Device management is also permitted in IPv6 mode. Also, refer to the Release Notes for ScreenOS 6.2: www.juniper.net/techpubs/software/screenos/screenos6.2.0
Is IPv6 supported on ScreenOS in transparent mode?
http://kb.juniper.net/InfoCenter/index?page=content&id=KB13443
というわけで、ScreenOSが6.2以降にならないとTransparent ModeでIPv6をフィルターできません。ちなみに5.4でトラフィックを流しこんでも、PolicyをいれていなければDropされます。残念。
ちょっとした小技
NAT/Router mode で稼動しているとき、すべてのIPv6インタフェースルーティングをすることができるので、ethernet I/F以外でどういう挙動をするか試したところ、mgt/ha1/ha2でもルーティングできました。
なんというか、想定した用途以外の使い方な気もする。
まとめ
結局色々試したところ、ScreenOS5系のIPv6機能はまだまだといった感じです。NAT/Router modeでは一応フィルターとかも動くので使い方によっては十分だと思いますが、若干物足りない感じでした。