Показать полную графическую версию : VPN на Juniper`ах SRX
Господа, добрый вечер
Знатоки Junos подскажите как решить проблему или пните в нужную сторону. Раньше не имел дела с такими железками, как-то все провайдер на себя брал. Сам я Windows`зятник
А сейчас в руки попали Juniper SRX210 и несколько SRX100. Всю документацию на русском проштудировал, на английском в силу несильного знания языка тоже.
После такого количества информации, поступившей мне в голову, может быть что-то не указал в теме - не ругайте :) Мозг кипит уже :)
Что имеем:
- главный офис с сетью 192.168.4.0/24. DNS 192.168.4.2/24 (AD,TS,DHCP). Есть ISA Server 192.168.4.254, в него входит инет и входит лан. Внешний IP 10.10.10.4
- первый удаленный офис с сетью 192.168.5.0/24. С дополнительным КД и DNS 192.168.5.2/24. Внешний IP 10.10.10.5
- второй удаленный офис с сетью 192.168.6.0/24. С дополнительным КД и DNS 192.168.6.2/24. Внешний IP 10.10.10.6
- все клиенты главного офиса и удаленных ходят в интернет через ISA Server - ну это пока не так важно
- в fe-0/0/0 вставлен инетернет. В fe-0/0/1 вставлена сеть. Остальные fe не нужны, но пускай будут ethernet-swiching.
Разницы особой кроме пропускной способности между SRX 210 и SRX100 для моего случая вроде нет - поэтому тоже не принципиально, пусть все будут SRX100 в данном примере.
Вопросы поступают по мере углубления :) Пока думаю только про настройку Junipera в первом удаленном офисе. Есть конфиг. Будет ли он работать? Можно ли что-то добавить или убрать?
По ходу чтения кода не всё складывается - уверен, что вагон ошибок.
version 10.4R6.5;
system {
host-name gwa;
domain-name local.int;
root-authentication {
encrypted-password "12345"; ## SECRET-DATA
}
name-server {
192.168.5.2;
192.168.4.2;
}
login {
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "12345"; ## SECRET-DATA
}
}
}
services {
ssh;
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 20;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server 192.168.4.2;
}
}
interfaces {
interface-range interfaces-trust {
member fe-0/0/1;
member fe-0/0/2;
member fe-0/0/3;
member fe-0/0/4;
member fe-0/0/5;
member fe-0/0/6;
member fe-0/0/7;
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/0 {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
st0 {
unit 0 {
family inet {
address 10.0.0.5/32;
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 10.10.10.10;
route 192.168.4.0/24 next-hop st0.0;
route 192.168.6.0/24 next-hop st0.0;
}
}
protocols {
stp;
}
security {
ike {
traceoptions {
flag all;
flag policy-manager;
flag ike;
flag routing-socket;
}
proposal P1-AES {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals P1-AES;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike-policy-1;
address 192.168.5.1;
external-interface fe-0/0/0.0;
}
}
ipsec {
proposal P2-AES {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-policy-1 {
perfect-forward-secrecy {
keys group2;
}
proposals P2-AES;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.4.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
vpn vpn2 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.6.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
fe-0/0/1.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy policy-name {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
1) Вот это читали?
По Динамическому VPN
http://www.juniper.net/elqNow/elqRedir.htm?ref=http://www.juniper.net/us/en/local/pdf/app-notes/3500202-en.pdf
По типовым настройкам
http://www.juniper.net/elqNow/elqRedir.htm?ref=http://www.juniper.net/us/en/local/pdf/app-notes/3500153-en.pdf
2) У вас есть возможность собрать рабочую схему "на столе". Т.е. Juniper'ыу вас на руках?
3) Вы по NAT читали?
http://www.juniper.net/elqNow/elqRedir.htm?ref=http://www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf
У вас "untrust" зона описана двумя интерфейсами.
NAT же описан для перехода между зонами с присваиванием IP внешнего интерфейса. Так и задумано?
4) Схему начертите
Обсуждать и , особенно, настраивать сеть по текстовым материалам дурная привычка, ведущая к командировкам :)
kim-aa, я только вчера о Вас вспоминал. Я просил у Вас в icq поделиться документацией по Juniper где-то год (!) назад. Вчера я вспомнил, что Вы мне эту документацию высылали. И я ее долго искал и нашел :) Прочитал еще раз. И вот Вы тут )) Неожиданно))
А по теме:
- начертил схему в кореле. Сто лет не юзал корел - извиняюсь :)
- конфиг прилагаю. Он у всех офисов по идее одинаковый. В данном примере конфиг от Джунипера 192.168.5.1/24
- куда и как цеплять сервер с ISA Server 192.168.4.254/24, который натит и управляет трафиком всех офисов?
version 10.4R6.5;
system {
host-name gw5;
domain-name local.int;
root-authentication {
encrypted-password "12345"; ## SECRET-DATA
}
name-server {
192.168.5.2;
192.168.4.2;
}
login {
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "12345"; ## SECRET-DATA
}
}
}
services {
ssh;
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 20;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server 192.168.4.2;
}
}
interfaces {
interface-range interfaces-trust {
member fe-0/0/1;
member fe-0/0/2;
member fe-0/0/3;
member fe-0/0/4;
member fe-0/0/5;
member fe-0/0/6;
member fe-0/0/7;
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/0 {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
st0.0 {
unit 0 {
family inet {
address 10.0.0.5/24;
}
}
}
st0.1 {
unit 0 {
family inet {
address 10.0.0.5/24;
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.4.254;
route 172.16.4.0/24 next-hop st0.0;
route 172.16.6.0/24 next-hop st0.1;
}
}
protocols {
stp;
}
security {
ike {
traceoptions {
flag all;
flag policy-manager;
flag ike;
flag routing-socket;
}
proposal P1-AES {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm aes-128-cbc;
}
policy ike-policy-1 {
mode main;
proposals P1-AES;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
gateway gw1 {
ike-policy ike-policy-1;
address 192.168.5.1;
external-interface fe-0/0/0.0;
}
}
ipsec {
proposal P2-AES {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm aes-128-cbc;
}
policy ipsec-policy-1 {
perfect-forward-secrecy {
keys group2;
}
proposals P2-AES;
}
vpn vpn1 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.4.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
vpn vpn2 {
bind-interface st0.0;
ike {
gateway gw1;
proxy-identity {
local 192.168.6.0/24;
remote 192.168.5.0/24;
service any;
}
ipsec-policy ipsec-policy-1;
}
establish-tunnels immediately;
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
fe-0/0/1.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy policy-name {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
Прошу паузу, конфиг неверный
По ходу вопрос. Можно ли всем st одного Джунипера (st0.0, st0.1, st0.2, и т.д.) присвоить один и тот же IP адрес? По идее наверняка же можно, да?
2) У вас есть возможность собрать рабочую схему "на столе". Т.е. Juniper'ыу вас на руках?
Могу только на работе, т.е. в понедельник. Сейчас есть только доступ в SRX100 через консоль удаленно
denisz,
1) Я, перерисую в понедельник на работе схему в визио для удобства, псле этого будет более удобно ее комментить.
2) По поводу подключения ISA.
Все зависит как именно вы хотите ее использовать.
Сразу скажу, что шибко в ISA не волоку, по этому опишу классические схемы не зависимые от ПО, групповых политик и прочего шаманизма
а) Вы хотите чтобы через ISA ходил ВЕСЬ трафик
Для этого ее необходимо сделать шлюзом по умолчанию, по крайней мере для рабочих станций.
Варианты:
а1) Последовательная схема
{LAN} <---> [ISA]<--->{Служебная сеть}<-----> [Juniper] <-----> {Inet}
a2) Схема с "одноноруким" маршрутизатором
(буржуи еще ее называют "маршрутизатор-на-палочке", но на русском это достаточно ассоциативно-негативно :)
Смысл идеи таков:
- ISA может жить в той же сети ,что и рабочие станции. Пусть ее адрес x.x.x.254 (интерфейс у ISA только один)
- Juniper торчит в ту же сеть и имеет адрес x.x.x.253
- Для всех рабочих станций шлюз по умолчанию = ISA
- и только для ISA шлюз по умолчанию = Juniper
Логически схема получается последовательная, а физически - параллельная.
б) ISA работает как прокси
В этом случае ее можно запихать в отдельный DMZ-сегмент
Прошу паузу, конфиг неверный
По ходу вопрос. Можно ли всем st одного Джунипера (st0.0, st0.1, st0.2, и т.д.) присвоить один и тот же IP адрес? По идее наверняка же можно, да? »
Вопрос не в этом.
Верный вопрос:
- как наиболее правильно и максимально удобно для дальнейшей эксплуатации, и ,возможно, разрастающейся сети.
В понедельник рекомендации по Dynamic VPN перечитаю - скажу.
По поводу ИСЫ:
Скорее всего придется ставить в главном офисе джунипер и ису отдельносмотрящими в интернет, в одной сети, со своими внешними ip-адресами.
Т.о. в каждом офисе джуниперы будут шлюзами, а у джуниперов иса будет шлюзом.
Но правильнее будет, наверное, как Вы сказали в а2.
Завтра наверно смогу выдать итоговую схему и возможные конфиги, пока доки пытаюсь изучить
По крайней мере в данный момент такая схема реализована у нас провайдером на его оборудовании, наверно это правильно
По ходу вопрос. Можно ли всем st одного Джунипера (st0.0, st0.1, st0.2, и т.д.) присвоить один и тот же IP адрес? По идее наверняка же можно, да? »
Можно, но я бы использовал разные - удобнее трассировать в случае неисправности будет.
Получается схема, которая нарисована ранее + isa в подсети с адресом 192.168.4.254/24 (только подсеть 172.16.0.0/24 для vpn убрал - для простоты она пока не нужна, наверное :) )
Конфиг удаленного офиса №5 у меня получился таким:
root@gw5# show | no-more
## Last changed: 2012-07-16 23:34:58 UTC
version 10.4R6.5;
system {
host-name gw5;
root-authentication {
encrypted-password "12345"; ## SECRET-DATA
}
name-server {
208.67.222.222;
208.67.220.220;
}
login {
user admin {
uid 2000;
class super-user;
authentication {
encrypted-password "12345"; ## SECRET-DATA
}
}
}
services {
ssh;
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
fe-0/0/0 {
unit 0 {
family inet {
address 10.0.0.5/24;
}
}
}
fe-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
st0 {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.5.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.4.254;
}
}
protocols {
stp;
}
security {
ike {
policy ike-policy-gw4 {
mode aggressive;
proposal-set standard;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
gateway ike-gateway-gw4 {
ike-policy ike-policy-gw4;
address 192.168.4.1;
external-interface fe-0/0/0;
}
}
ipsec {
proposal ipsec-no-encryption {
protocol esp;
authentication-algorithm hmac-sha1-96;
lifetime-seconds 86400;
}
policy ipsec-policy-gw4 {
perfect-forward-secrecy {
keys group2;
}
proposal-set standard;
}
vpn ipsec-vpn-gw4 {
bind-interface st0.0;
vpn-monitor;
ike {
gateway ike-gateway-gw4;
ipsec-policy ipsec-policy-gw4;
}
establish-tunnels immediately;
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
zones {
security-zone trust {
address-book {
address net-gw5_192-168-5-0 192.168.5.0/24;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
ping;
ssh;
}
}
}
}
}
security-zone vpn-to-gw4 {
address-book {
address net-gw4_192-168-4-0 192.168.4.0/24;
}
interfaces {
st0.0;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone vpn-to-gw4 {
policy trust-vpngw4-gw5 {
match {
source-address net-gw5_192-168-5-0;
destination-address net-gw4_192-168-4-0;
application any;
}
then {
permit;
}
}
}
from-zone vpn-to-gw4 to-zone trust {
policy vpngw4-trust {
match {
source-address net-gw4_192-168-4-0;
destination-address net-gw5_192-168-5-0;
application any;
}
then {
permit;
}
}
}
}
flow {
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
Я так понимаю у всех офисов конфиги будут одинаковые, только с изменением "своей" подсети
Упс не вставил другие тоннели
Для конфигурации Маршрутизаторов удаленных офисов не забудьте маршруты указывающие во внутренние сети.
Иначе трафик не будет заворачиваться в VPN-тунель, а будет попытка отправки на маршрутизатор провайдера.
В конфигурации маршрутизатора штаб-квартиры они у вас указаны так:
routing-options {
static {
* * *
route 172.16.4.0/24 next-hop st0.0;
route 172.16.6.0/24 next-hop st0.1;
}
}
kim-aa,
совсем итоговая схема.
Рисунок во вложении (так и не понял, чем Визио выигрывает :) )
Главный офис 192.168.4.0/24
Удаленные офисы: tnc - 192.168.1.0/24, hrv - 192.168.2.0/24, ksn - 192.168.3.0/24, smr - 192.168.5.0/24, mta - 192.168.6.0/24, vgl - 192.168.9.0/24.
И на рисунке расписан один удаленный офис smr с сетью 192.168.5.0/24. Остальные удаленные офисы сделаны по такой же схеме как smr
Весь трафик должен идти через ISA(TMG)-сервер 192.168.4.254, висит LANом в свиче с сетью 192.168.4.0/24 и Juniperом главного офиса
Не пойму правда для чего нужна сеть 10.0.0.0/24, т.к. все джуниперы из всех сетей должны быть видны как 192.168.х.1
Тунели должны быть от всех офисов ко всем офисам
На рабочих станциях (и главного офиса, и удаленных) шлюзом должен быть соответствующий Джунипер. А у джуниперов шлюз сервер с Исой, как я понял.
Вот конфиг для главного офиса (у всех удаленных он практически такой же)
admin@nkb-gw> show configuration | no-more
## Last commit: 2012-07-21 00:16:12 UTC by root
version 10.4R6.5;
system {
host-name nkb-gw;
root-authentication {
encrypted-password "12345"; ## SECRET-DATA
}
name-server {
192.168.4.3;
}
login {
user admin {
uid 2001;
class super-user;
authentication {
encrypted-password "12345"; ## SECRET-DATA
}
}
}
services {
ssh;
telnet;
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 20;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
fe-0/0/0 {
description internet;
unit 0 {
family inet {
address 245.43.23.90/24;
}
}
}
fe-0/0/1 {
description lan;
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
st0 {
description vpn;
unit 1 {
description tnc;
family inet {
address 10.0.0.1/24;
}
}
unit 2 {
description hrv;
family inet {
address 10.0.0.2/24;
}
}
unit 3 {
description ksn;
family inet {
address 10.0.0.3/24;
}
}
unit 5 {
description smr;
family inet {
address 10.0.0.5/24;
}
}
unit 6 {
description mta;
family inet {
address 10.0.0.6/24;
}
}
unit 9 {
description vgl;
family inet {
address 10.0.0.9/24;
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.4.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.4.254;
route 192.168.1.0/24 next-hop st0.1;
route 192.168.2.0/24 next-hop st0.2;
route 192.168.3.0/24 next-hop st0.3;
route 192.168.5.0/24 next-hop st0.5;
route 192.168.6.0/24 next-hop st0.6;
route 192.168.9.0/24 next-hop st0.9;
}
}
protocols {
stp;
}
security {
ike {
policy ike_policy_tnc {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
policy ike_policy_hrv {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
policy ike_policy_ksn {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
policy ike_policy_smr {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
policy ike_policy_mta {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
policy ike_policy_vgl {
mode aggressive;
proposal-set compatible;
pre-shared-key ascii-text "12345"; ## SECRET-DATA
}
gateway ike_gateway_tnc {
ike-policy ike_policy_tnc;
address 231.234.43.23;
external-interface fe-0/0/0.0;
}
gateway ike_gateway_hrv {
ike-policy ike_policy_hrv;
address 132.56.23.166;
external-interface fe-0/0/0.0;
}
gateway ike_gateway_ksn {
ike-policy ike_policy_ksn;
address 112.126.213.66;
external-interface fe-0/0/0.0;
}
gateway ike_gateway_smr {
ike-policy ike_policy_smr;
address 211.23.6.34;
external-interface fe-0/0/0.0;
}
gateway ike_gateway_mta {
ike-policy ike_policy_mta;
address 129.233.2.34;
external-interface fe-0/0/0.0;
}
gateway ike_gateway_vgl {
ike-policy ike_policy_vgl;
address 19.241.81.111;
external-interface fe-0/0/0.0;
}
}
ipsec {
proposal ipsec-no-encryption {
protocol esp;
authentication-algorithm hmac-sha1-96;
lifetime-seconds 86400;
}
policy ipsec_policy_tnc {
perfect-forward-secrecy {
keys group2;
}
proposal-set compatible;
}
policy ipsec_policy_hrv {
perfect-forward-secrecy {
keys group2;
}
proposal-set compatible;
}
policy ipsec_policy_ksn {
perfect-forward-secrecy {
keys group2;
}
proposal-set compatible;
}
policy ipsec_policy_smr {
perfect-forward-secrecy {
keys group2;
}
proposal-set compatible;
}
policy ipsec_policy_mta {
perfect-forward-secrecy {
keys group2;
}
proposal-set compatible;
}
policy ipsec_policy_vgl {
perfect-forward-secrecy {
keys group2;
}
proposal-set compatible;
}
vpn ipsec_vpn_tnc {
bind-interface st0.1;
vpn-monitor;
ike {
gateway ike_gateway_tnc;
ipsec-policy ipsec_policy_tnc;
}
establish-tunnels immediately;
}
vpn ipsec_vpn_hrv {
bind-interface st0.2;
vpn-monitor;
ike {
gateway ike_gateway_hrv;
ipsec-policy ipsec_policy_hrv;
}
establish-tunnels immediately;
}
vpn ipsec_vpn_ksn {
bind-interface st0.3;
vpn-monitor;
ike {
gateway ike_gateway_ksn;
ipsec-policy ipsec_policy_ksn;
}
establish-tunnels immediately;
}
vpn ipsec_vpn_smr {
bind-interface st0.5;
vpn-monitor;
ike {
gateway ike_gateway_smr;
ipsec-policy ipsec_policy_smr;
}
establish-tunnels immediately;
}
vpn ipsec_vpn_mta {
bind-interface st0.6;
vpn-monitor;
ike {
gateway ike_gateway_mta;
ipsec-policy ipsec_policy_mta;
}
establish-tunnels immediately;
}
vpn ipsec_vpn_vgl {
bind-interface st0.9;
vpn-monitor;
ike {
gateway ike_gateway_vgl;
ipsec-policy ipsec_policy_vgl;
}
establish-tunnels immediately;
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
zones {
security-zone trust {
address-book {
address addr_192_168_4_0--24 192.168.4.0/24;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
fe-0/0/0.0 {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
}
}
}
security-zone vpn_zone {
address-book {
address addr_192_168_5_0--24 192.168.5.0/24;
address addr_192_168_1_0--24 192.168.1.0/24;
address addr_192_168_2_0--24 192.168.2.0/24;
address addr_192_168_3_0--24 192.168.3.0/24;
address addr_192_168_9_0--24 192.168.9.0/24;
address addr_192_168_6_0--24 192.168.6.0/24;
}
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
st0.1;
st0.2;
st0.3;
st0.6;
st0.5;
st0.9;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone vpn_zone {
policy policy_trust_to_tnc {
match {
source-address addr_192_168_4_0--24;
destination-address addr_192_168_1_0--24;
application any;
}
then {
permit;
}
}
policy policy_trust_to_hrv {
match {
source-address addr_192_168_4_0--24;
destination-address addr_192_168_2_0--24;
application any;
}
then {
permit;
}
}
policy policy_trust_to_ksn {
match {
source-address addr_192_168_4_0--24;
destination-address addr_192_168_3_0--24;
application any;
}
then {
permit;
}
}
policy policy_trust_to_smr {
match {
source-address addr_192_168_4_0--24;
destination-address addr_192_168_5_0--24;
application any;
}
then {
permit;
}
}
policy policy_trust_to_mta {
match {
source-address addr_192_168_4_0--24;
destination-address addr_192_168_6_0--24;
application any;
}
then {
permit;
}
}
policy policy_trust_to_vgl {
match {
source-address addr_192_168_4_0--24;
destination-address addr_192_168_9_0--24;
application any;
}
then {
permit;
}
}
}
from-zone vpn_zone to-zone trust {
policy policy_tnc_to_trust {
match {
source-address addr_192_168_1_0--24;
destination-address addr_192_168_4_0--24;
application any;
}
then {
permit;
}
}
policy policy_hrv_to_trust {
match {
source-address addr_192_168_2_0--24;
destination-address addr_192_168_4_0--24;
application any;
}
then {
permit;
}
}
policy policy_ksn_to_trust {
match {
source-address addr_192_168_3_0--24;
destination-address addr_192_168_4_0--24;
application any;
}
then {
permit;
}
}
policy policy_smr_to_trust {
match {
source-address addr_192_168_5_0--24;
destination-address addr_192_168_4_0--24;
application any;
}
then {
permit;
}
}
policy policy_mta_to_trust {
match {
source-address addr_192_168_6_0--24;
destination-address addr_192_168_4_0--24;
application any;
}
then {
permit;
}
}
policy policy_vgl_to_trust {
match {
source-address addr_192_168_9_0--24;
destination-address addr_192_168_4_0--24;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone trust {
policy trust_to_trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
flow {
tcp-mss {
ipsec-vpn {
mss 1350;
}
}
tcp-session {
no-syn-check;
no-syn-check-in-tunnel;
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
Ужас, чтобы junos обновить еще и контракт какой-то нужен...
Ужас, чтобы junos обновить еще и контракт какой-то нужен.. »
ничего не нужно.
регайтесь на сайте джунипера, указываете серийник любой вашей железки.
всё, раздел Download Software целиком и полностью ваш.
cameron, да спасибо. Веду переписку в саппортом, пока еще не разрешают моей учетке скачивать, вроде как сейчас откроют
Попробовал собрать эту схему на столе. Получилось :) Ряд вопросов правда появился. Ну это потом :)
Не пойму почему у меня с Джунипера всё что в туннелях не пингуется. Наружу всё норм
Хотя с компьютеров в разных сетях, соединенных VPNом всё пингуется и джуниперы
И все же непонятно зачем сеть 10.0.0.0/24. И если в главном офисе st0.1-st0.9 назначены IP 10.0.0.1-10.0.0.9, то в первом удаленном st0.1-st0.9 должны быть 10.0.0.10-10.0.0.16. В следующем офисе 10.0.0.17-10.0.0.22. Это принципиально? :) И надо ли это вообще?
А вообще у меня туча вопросов, но мне стыдно их задавать )) Придется ковырять мануалы ))
Не пойму почему у меня с Джунипера всё что в туннелях не пингуется. Наружу всё норм
Хотя с компьютеров в разных сетях, соединенных VPNом всё пингуется и джуниперы »
>ping %some_IP% source ?
назначены IP 10.0.0.1-10.0.0.9 »
то в первом удаленном st0.1-st0.9 должны быть 10.0.0.10-10.0.0.16 »
откуда у вас по 7-8 IP на один туннель?
никто не мешает делать по /30 на туннель, главное что бы не было оверлапа.
а вообще такое разделение крайне удобно в диагностике, пока вы этим не занимаетесь - не понять.
Это принципиально? И надо ли это вообще? »
где-то на сайте джунипера есть конфигруатор VPN, очень просто и понятно всё делает, даёт конфиг для cli.
там, емнип, поля подписаны и есть хелп даже.
Dear Denis,
Thank you for your response. I checked the information regarding the SN you provided; I
was able to verify that it is not registered yet to your company and not having active
support contract. Please provide a seial number with active support contract so that we
may be able to proceed in updating your account with the software access you requested.
Please feel free to let me know if you need further assistance and I will be happy to
assist.
Best regards,
Lily Macayan
Juniper Networks, Inc.
Customer Care
denisz,
когда были куплены эти джуниперы?
если более года назад, с базовой гарантией, то конечно регнуть их уже не получится.
скажите какие версии джуноса вам нужны, я выложу.
Да, год уже наверное прошел :( гарантия наверняка была базовая
Версию какую-нибудь актуальную для srx100. Я так понимаю это 12.1R2.9. Буду бесконечно благодарен :)
http://www.juniper.net/support/downloads/?p=srx100#sw
Вообще какое-то странное отношение Juniper к обновлению. Всего год :)
Вообще какое-то странное отношение Juniper к обновлению. Всего год »
обновляться можно всегда, а вот регнулься - со свежим девайсам.
моей регистрации уже года два-три, по моему.
линки будут в личке.
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC