Vady85 Опубликовано 15 сентября, 2016 Доброе время суток, уважаемые форумчане. Суть проблемы в том, что у нас есть 2 шлюза. Один (172.16.1.1) смотрит в интернет, другой (172.30.0.1) - в другие локальные подсети. Наша подсеть: 172.30.0.ХХХ/24 Пробовал настраивать роутинг так: routing-options { static { route 0.0.0.0/0 next-hop 172.16.1.1; route 172.30.0.0/16 next-hop 172.30.0.1; route 192.168.0.0/16 next-hop 172.30.0.1; route 10.0.0.0/8 next-hop 172.30.0.1; } } На практике клиенты могут только в интернет попасть. Пользоваться сервисами из "серых" адресов не могут. Если делаю пинг из SRX100 на 192.168.1.1, то ответ приходит. То же самое с остальными подсетями из таблицы роутинга. Клиенты не могут пропинговать другие "серые" подсети. У клиентов в настройках IP-адрес шлюза - сам SRX100. IP-адрес SRX100: 172.30.0.2 Как решить проблему? Вот полный листинг настройки: ## Last changed: 2016-09-14 13:10:14 MSD version 11.2R4.3; system { host-name SRX100B-1; time-zone Europe/Moscow; root-authentication { encrypted-password "************"; } name-server { 8.8.4.4; 8.8.8.8; } services { ssh; telnet; xnm-clear-text; web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool 192.168.1.0/24 { address-range low 192.168.1.2 high 192.168.1.254; } propagate-settings fe-0/0/0.0; } } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } ntp { server 172.30.0.3; } } interfaces { fe-0/0/0 { unit 0 { family inet { address 172.16.1.2/24; } } } fe-0/0/1 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/2 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/3 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/4 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/5 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/6 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/7 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } vlan { unit 0 { family inet { address 172.30.0.2/24; } } } } routing-options { static { route 0.0.0.0/0 next-hop 172.16.1.1; route 172.30.0.0/16 next-hop 172.30.0.1; route 192.168.0.0/16 next-hop 172.30.0.1; route 10.0.0.0/8 next-hop 172.30.0.1; } } protocols { stp; } security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone untrust { screen untrust-screen; interfaces { fe-0/0/0.0; } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } } Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
disaq Опубликовано 15 сентября, 2016 Не хватает разрешающих правил с зонами безопасности. У вас есть только policies from-zone trust to-zone untrust. Нет, например, в обратном направлении. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Vady85 Опубликовано 15 сентября, 2016 Стесняюсь спросить: как прописать правила, чтобы можно получить полный доступ к "серым" сетям? Как в одном, так и в обратном направлении. В джунипере я новичок :/ Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
