Jump to content

Работа с 2 шлюзами разных направлений на JuniperSRX100

Vady85
 Share

Recommended Posts

Vady85

Vady85

Posted
Posted

Доброе время суток, уважаемые форумчане.

Суть проблемы в том, что у нас есть 2 шлюза. Один (172.16.1.1) смотрит в интернет, другой (172.30.0.1) - в другие локальные подсети.

Наша подсеть: 172.30.0.ХХХ/24

Пробовал настраивать роутинг так:

routing-options {
   static {
       route 0.0.0.0/0 next-hop 172.16.1.1;
       route 172.30.0.0/16 next-hop 172.30.0.1;
       route 192.168.0.0/16 next-hop 172.30.0.1;
       route 10.0.0.0/8 next-hop 172.30.0.1;
   }
}

На практике клиенты могут только в интернет попасть. Пользоваться сервисами из "серых" адресов не могут.

Если делаю пинг из SRX100 на 192.168.1.1, то ответ приходит. То же самое с остальными подсетями из таблицы роутинга.

Клиенты не могут пропинговать другие "серые" подсети. У клиентов в настройках IP-адрес шлюза - сам SRX100.

IP-адрес SRX100: 172.30.0.2

Как решить проблему?

Вот полный листинг настройки:

## Last changed: 2016-09-14 13:10:14 MSD
version 11.2R4.3;
system {
   host-name SRX100B-1;
   time-zone Europe/Moscow;
   root-authentication {
       encrypted-password "************";
   }
   name-server {
       8.8.4.4;
       8.8.8.8;
   }
   services {
       ssh;
       telnet;
       xnm-clear-text;
       web-management {
           http {
               interface vlan.0;
           }
           https {
               system-generated-certificate;
               interface vlan.0;
           }
       }
       dhcp {
           router {
               192.168.1.1;
           }
           pool 192.168.1.0/24 {
               address-range low 192.168.1.2 high 192.168.1.254;
           }
           propagate-settings fe-0/0/0.0;
       }
   }
   syslog {
       archive size 100k files 3;
       user * {
           any emergency;
       }
       file messages {
           any critical;
           authorization info;
       }
       file interactive-commands {
           interactive-commands error;
       }
   }
   max-configurations-on-flash 5;
   max-configuration-rollbacks 5;
   license {
       autoupdate {
           url https://ae1.juniper.net/junos/key_retrieval;
       }
   }
   ntp {
       server 172.30.0.3;
   }
}
interfaces {
   fe-0/0/0 {
       unit 0 {
           family inet {
               address 172.16.1.2/24;
           }
       }
   }
   fe-0/0/1 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   fe-0/0/2 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   fe-0/0/3 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   fe-0/0/4 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   fe-0/0/5 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   fe-0/0/6 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   fe-0/0/7 {
       unit 0 {
           family ethernet-switching {
               vlan {
                   members vlan-trust;
               }
           }
       }
   }
   vlan {
       unit 0 {
           family inet {
               address 172.30.0.2/24;
           }
       }
   }
}
routing-options {
   static {
       route 0.0.0.0/0 next-hop 172.16.1.1;
       route 172.30.0.0/16 next-hop 172.30.0.1;
       route 192.168.0.0/16 next-hop 172.30.0.1;
       route 10.0.0.0/8 next-hop 172.30.0.1;
   }
}
protocols {
   stp;
}
security {
   screen {
       ids-option untrust-screen {
           icmp {
               ping-death;
           }
           ip {
               source-route-option;
               tear-drop;
           }
           tcp {
               syn-flood {
                   alarm-threshold 1024;
                   attack-threshold 200;
                   source-threshold 1024;
                   destination-threshold 2048;
                   timeout 20;
               }
               land;
           }
       }
   }
   nat {
       source {
           rule-set trust-to-untrust {
               from zone trust;
               to zone untrust;
               rule source-nat-rule {
                   match {
                       source-address 0.0.0.0/0;
                   }
                   then {
                       source-nat {
                           interface;
                       }
                   }
               }
           }
       }
   }
   policies {
       from-zone trust to-zone untrust {
           policy trust-to-untrust {
               match {
                   source-address any;
                   destination-address any;
                   application any;
               }
               then {
                   permit;
               }
           }
       }
   }
   zones {
       security-zone trust {
           host-inbound-traffic {
               system-services {
                   all;
               }
               protocols {
                   all;
               }
           }
           interfaces {
               vlan.0 {
                   host-inbound-traffic {
                       system-services {
                           all;
                       }
                       protocols {
                           all;
                       }
                   }
               }
           }
       }
       security-zone untrust {
           screen untrust-screen;
           interfaces {
               fe-0/0/0.0;
           }
       }
   }
}
vlans {
   vlan-trust {
       vlan-id 3;
       l3-interface vlan.0;
   }
}

disaq

disaq

Posted
Posted

Не хватает разрешающих правил с зонами безопасности. У вас есть только policies from-zone trust to-zone untrust. Нет, например, в обратном направлении.

Vady85

Vady85

Posted
  • Author
Posted

Стесняюсь спросить: как прописать правила, чтобы можно получить полный доступ к "серым" сетям? Как в одном, так и в обратном направлении. В джунипере я новичок :/

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.