Показать полную графическую версию : VPN на Juniper`ах SRX
Ааа вот оно что
Спасибо огромное :)
denisz,
1)
Прошивки можно забирать с торрентов (что конечно не комильфо с точки зрения безопасности, но всякое бывает)
http://rutracker.org/forum/viewtopic.php?t=4017214
2) Если удаленных офисов много, то лучше перейти к Dynamic VPN.
Тогда все настройки производятся на корневом маршрутизаторе (Server - в терминологии DVPN),
а коммутаторы удаленных офисов настраиваются однотипно.
Правда в связи с динамичностью структуры, лучше маршрутизацию делать динамической (OSPF).
3) Не пойму почему у меня с Джунипера всё что в туннелях не пингуется. Наружу всё норм
Хотя с компьютеров в разных сетях, соединенных VPNом всё пингуется и джуниперы »
А точно должны? Вы где-нибудь данные маршруты прописывали?
Не забываем про "show route"
4)
Привыкайте пользоваться для отладки <traceroute>
5)
Для отладки и макетирования своих художеств, рекомендую использовать JunOS для VMware (Olive)
Оно прекрасно работает как под VMware Workstation, так и ESXi
http://rutracker.org/forum/viewtopic.php?t=4061726
7) Ужас, чтобы junos обновить еще и контракт какой-то нужен... »
Это стандартная позиция любого крупного вендора.
Наверное, только MS исключение :)
2) Если удаленных офисов много, то лучше перейти к Dynamic VPN. »
afaik "Dynamic VPN" у джунов это клиенский доступ (SSL-VPN), для которого нужны лицензии.
DMVPN - сугубо кошки, аналогов, насколько я знаю, у джунов нет.
а коммутаторы удаленных офисов настраиваются однотипно. »
? конечно ex2200 и выше имеют некий функционал роутинга, но что бы принимать VPN я как-то не осилила настроить.
afaik "Dynamic VPN" у джунов это клиенский доступ (SSL-VPN), для которого нужны лицензии.
DMVPN - сугубо кошки, аналогов, насколько я знаю, у джунов нет. »
Да вы правы.
Правильно звучит - GroupVPN
http://www.juniper.net/elqNow/elqRedir.htm?ref=http://www.juniper.net/us/en/local/pdf/app-notes/3500202-en.pdf
2) Да, опечатался я. Надо читать "Маршрутизаторы", а лучше "SRX" :)
GroupVPN »
а вот о нём я слышала от ребят из ростелика негатив, хотя, возможно, они тоже не достаточно хорошо "раскурили" мануалы.
скажите, вы его использовали?
сколько SRX'ов было увязано?
cameron,
Нет, в большом продуктиве я его не использовал. Только макетки.
На данную технологию я наткнулся когда искал конкурента Cisco DMVPN.
Технология эта относительно новая для Junos и тем интереснее услышать отзыв больших провайдеров.
Нельзя ли узнать, чем именно она не пофартила Ростелекому?
Нельзя ли узнать, чем именно она не пофартила Ростелекому? »
насколько я знаю у них в принципе нет особо SRX и group VPN, но на тестовых стендах что-то не пошло, подробностей я не знаю, к сожалению.
А точно должны? Вы где-нибудь данные маршруты прописывали? »
Там же есть маршрут
routing-options {
static {
route 192.168.2.0/24 next-hop st0.2;
}
и если пинговать с этого джунипера друнипер 192.168.2.1, то ничего не выходит. Такое чувство, что принимающий джунипер отбрасывает пинг, хотя у него все протоколы в политике разрешены. Но если этот джунипер пинговать откуда угодно с отличного от джунипера устройства, то все работает :) Мистика
Адреса 10.0.0.х (которые назначены тоннелям) тоже не пингуются. Не пингуются ни откуда. Но в трайсроуте присутствуют
security-zone vpn_zone {
address-book {
...
address addr_192_168_2_0--24 192.168.2.0/24;
...
}
host-inbound-traffic {
system-services {
all;
}
{
protocols
all;
}
}
interfaces {
...
st0.2;
...
}
denisz,
я же вам подсказала
ping XXX source
denisz,
я же вам подсказала
ping XXX source »
cameron, Спасибо, сначала не понял что за source :) Запинговал)
и если пинговать с этого джунипера друнипер 192.168.2.1, то ничего не выходит. Такое чувство, что принимающий джунипер отбрасывает пинг, хотя у него все протоколы в политике разрешены. Но если этот джунипер пинговать откуда угодно с отличного от джунипера устройства, то все работает Мистика »
Смысл такого поведения кроется в алгоритме команды "Ping" и отработке ее маршрутизатором (точнее как вендор заставляет ее отрабатывать).
а) Согласно стандарту, получив ICMP-запрос, узел обязан поменять местами поля Отправитель и Получатель и сформировать ICMP-ответ.
Вот тут и кроются возможные чудеса. Чудеса связаны с тем, какой именно адрес выбирает маршрутизатор-отправитель для отправки ICMP запроса. Видимо у Juniper выбирается, что-то "неудобоваримое" и маршрутизатор-получатель не может обнаружить маршрут ответа и "дропает" пакет.
Кстати, у Циско может быть зеркально обратная ситуация: когда соседний маршрутизатор, можно будет пропинговать только с маршрутизатора, а со всех остальных нельзя.
б) Короткое итого: пакеты "дропаются" не фаерволом, а процессом маршрутизации (все почему-то забывают про него, а он первый подозреваемый).
Причем "дропаться" они могут сразу на маршрутизаторе-отправителе, а не обязательно на получателе как я описал выше.
Полноценная отладка таких вещей у Cisco, знания как минимум CCNA.
У Juniper - JNCIA, а лучше JNCIS.
в) для контроля таких чудес у используют:
- у Cisco - расширенный ping
- у Juniper - ping с указанием источника
технически это одно и то же, а именно сформировать ICMP пакет, где адрес отправителя вы задаете руками.
Это очень удобно для проверки маршрутизации, вам не нужен еще один хост для генерации проверочного трафика.
kim-aa, спасибо Вам за столь подробный ответ :)
victorius
07-11-2014, 07:47
Добрый день. Господа знатоки, подскажите пожалуйста, возможна ли для реализации на джуниперах такая схема:
У нас есть два офиса. они связаны по впн между двумя джуниперами SRX240. На днях открылся новый офис3. Там нет джунипера. Юзеры конектятся в офис1 по динамик впн.
в офисе1 две подсети 1 и 3. в офисе2 подсеть 4. Какие настройки нужно прописать. чтобы юзеры из офиса3 подключаясь по дин-впн, могли попадать в впн между офисами1 и 2 и работать на серверах офиса2? Вчера пол дня проковырялся, ничего не получается. Может это в принципе не возможно?
Там нет джунипера »
IPsec Site-to-site VPN можно поднять почти с чем угодно.
Какие настройки нужно прописать. чтобы юзеры из офиса3 подключаясь по дин-впн, могли попадать в впн между офисами1 и 2 и работать на серверах офиса2? Вчера пол дня проковырялся, ничего не получается. »
прописать сабнет нового офиса в security policies обоих джунов, на джуне офиса 2 ещё прописать маршрутизацию этой сети через существующий туннельный интерфейс.
victorius
07-11-2014, 12:29
IPsec Site-to-site VPN можно поднять почти с чем угодно.
Из офиса3 люди подключаются на джун офиса1 посредством встроенного в джунипер впн клиента. Этот впн клиент прекрасно работает при подключению к офису1, а в офис два уже между джунами настроен впн и получется так. что пользователь. должен из динвпн попапсть в тунель между офисом 1 и 2.
прописать сабнет нового офиса в security policies обоих джунов, на джуне офиса 2 ещё прописать маршрутизацию этой сети через существующий туннельный интерфейс.
Сабнет нового офиса? но джун-офис1 пускает их как дин-впн клиентов. к себе.
Я добился того. что из офиса3, трэйс попадает на шлюз офиса1, но почемуто дольше трейс уходит в интернет, а не в дин-тунель (((( дальше познания не позволяют.
люди из офиса1 ходят без проблем в офис2 и офис два гуляет по двум сабнетам офиса1.
Из офиса3 люди подключаются на джун офиса1 посредством встроенного в джунипер впн клиента. Этот впн клиент прекрасно работает при подключению к офису1, а в офис два уже между джунами настроен впн и получется так. что пользователь. должен из динвпн попапсть в тунель между офисом 1 и 2. »
я поняла это.
Сабнет нового офиса? но джун-офис1 пускает их как дин-впн клиентов. к себе.
Я добился того. что из офиса3, трэйс попадает на шлюз офиса1, но почемуто дольше трейс уходит в интернет, а не в дин-тунель (((( дальше познания не позволяют.
люди из офиса1 ходят без проблем в офис2 и офис два гуляет по двум сабнетам офиса1. »
чем я могу вам помочь?
эмпирический ответ на эмпирический вопрос я вам написала.
дальше - дело ваше.
к себе. »
лучше выделить сеточку, тогда многое прояснится.
victorius
07-11-2014, 13:10
Возможно я не совсем ясно выражаюсь. ))
офис1: сети 192.168.2.0/24 и 192.168.3.0/24
офис2: сеть 192.168.4.0/24
Между офисами статик впн посредством джуниперов.
открылся офис3.
Сеть: 192.168.5.0/24 и дин-впн которому джунипер офис1 выдает пул адресов 10.10.12.х
так вот трэйс на 10.10.12.х из офиса2 доходит до офиса1 и потом уходит на интернет шлюз и дальше во всемирную паутину.
Что я не так прописал или не дописал? Может Вам показать какие либо настройки?
Может Вам показать какие либо настройки? »
>sho rou
>sho conf routing-options | disp set
>sho conf sec pol | disp set
>sho conf sec zon | disp set
victorius
10-11-2014, 11:48
>sho rou
>sho conf routing-options | disp set
>sho conf sec pol | disp set
>sho conf sec zon | disp set »
Добрый день. Прикладываю настройки, я лишнее поубирал. оставил только касающееся конкретного вопроса. Если что, спрашивайте.
set routing-options interface-routes rib-group inet inside
set routing-options static route 0.0.0.0/0 next-table ISP1.inet.0
set routing-options static route 192.168.65.0/24 next-hop gr-0/0/0.0
set routing-options static route 192.168.3.22/32 next-hop 192.168.3.3
set routing-options rib-groups inside import-rib inet.0
set routing-options rib-groups inside import-rib TRUST-VRF.inet.0
set routing-options rib-groups inside import-rib ISP1.inet.0
set routing-options rib-groups inside import-rib ISP2.inet.0
set routing-options router-id 192.168.67.7
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match application junos-icmp-all
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping then permit
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match source-address LAN_network_67
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone trust policy VPN-Access match source-address any
set security policies from-zone untrust to-zone trust policy VPN-Access match destination-address LAN_network_67
set security policies from-zone untrust to-zone trust policy VPN-Access match application any
set security policies from-zone untrust to-zone trust policy VPN-Access then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match application any
set security policies from-zone trust to-zone trust policy trust-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address vpn_net_10
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match destination-address LAN_network_67
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match application any
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-init
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-close
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match source-address LAN_network_67
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address vpn_net_10
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match application any
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER then permit
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match destination-address DMZ_network_65
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match application any
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ then permit
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match source-address DMZ_network_65
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match application any
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER then permit
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match source-address DMZ_network_65
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match application any
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match source-address any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match destination-address DMZ_network_65
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match application any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match source-address DYN-VPN-CLients
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match application any
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match application any
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN then permit
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match source-address LAN_network_67
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone trust policy VPN-Access match source-address any
set security policies from-zone untrust to-zone trust policy VPN-Access match destination-address LAN_network_67
set security policies from-zone untrust to-zone trust policy VPN-Access match application any
set security policies from-zone untrust to-zone trust policy VPN-Access then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match application any
set security policies from-zone trust to-zone trust policy trust-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address vpn_net_10
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match destination-address LAN_network_67
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match application any
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-init
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-close
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match source-address LAN_network_67
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address vpn_net_10
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match application any
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER then permit
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match destination-address DMZ_network_65
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match application any
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ then permit
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match source-address DMZ_network_65
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match application any
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER then permit
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match source-address DMZ_network_65
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match application any
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match source-address any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match destination-address DMZ_network_65
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match application any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match source-address DYN-VPN-CLients
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match application any
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match application any
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN then permit
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces vlan.0
set security zones security-zone trust interfaces ge-0/0/1.0
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols ospf
set security zones security-zone trust interfaces lo0.0 host-inbound-traffic system-services all
set security zones security-zone untrust screen untrust-screen
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services https
set security zones security-zone DMZ host-inbound-traffic system-services all
set security zones security-zone DMZ host-inbound-traffic protocols all
set security zones security-zone DMZ interfaces ge-0/0/15.0
set security zones security-zone vpn-DATACENTER host-inbound-traffic system-services all
set security zones security-zone vpn-DATACENTER host-inbound-traffic protocols all
set security zones security-zone vpn-DATACENTER interfaces st0.0
© OSzone.net 2001-2012
vBulletin v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.
Available in ZeroNet 1osznRoVratMCN3bFoFpR2pSV5c9z6sTC