Jump to content
Калькуляторы

настройка junos настройка для роутера j-серии

Всем добрый день. Есть железка Juniper J-2320, на ней стоит свежий junos 10.0R2.10. Хочу настроить железку для ната во внешнюю сеть.

Имеем внешний интерфейс, смотрящий в сеть провайдера - ge-0/0/0.0 (ip 10.100.0.3/22 gw 10.100.0.1). внутренний интерфейс ge-0/0/1.0 (ip 192.168.1.1/24) смотрящий в локалку. Пытаюсь для начала открыть пинг извне, чтобы из разных точек можно было проверять доступность данного роутера, но не получается никак. даже если отключаю файрвол, то не могу пинговать железку. но при отключении файрвола могу пинговать другие адреса...

вот конфиг:

root@spb-gw> show configuration
## Last commit: 2010-01-15 20:13:20 MSK by root
version 10.0R2.10;
system {
    host-name spb-gw;
    time-zone Europe/Moscow;
    root-authentication {
        encrypted-password "$1$0dsZBXeZ$7TEOHpp4YgEfEi3Sx5Yb.0"; ## SECRET-DATA
    }
    name-server {
        192.168.248.21;
    }
    services {
        ssh;
        web-management {
            http {
                interface ge-0/0/1.0;
            }
        }
    }
    syslog {
        user * {
            any emergency;
        }
        file messages {
            any any;
            authorization info;
        }
        file interactive-commands {
            interactive-commands any;
        }
    }
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
    ntp {
        server 77.234.200.98;
        server 87.236.24.178;
        server 85.21.78.6;
        server 193.125.143.173;
        server 83.229.210.18;
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family inet {
                address 10.100.0.3/22;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            description localnet;
            family inet {
                address 192.168.1.1/24;
            }
        }
    }
    lo0 {
        unit 0 {
            family inet {
                address 127.0.0.1/32;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.100.0.1;
    }
}
security {
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    queue-size 2000; ## Warning: 'queue-size' is deprecated
                    timeout 20;
                }
                land;
            }
        }
    }
    zones {
        security-zone trust {
            tcp-rst;
            interfaces {
                ge-0/0/1.0 {
                    host-inbound-traffic {
                        system-services {
                            ssh;
                            http;
                            https;
                            ping;
                        }
                    }
                }
            }
        }
        security-zone untrust {
            screen untrust-screen;
        }
        security-zone trust-ping {
            tcp-rst;
            interfaces {
                ge-0/0/0.0;
            }
        }
    }
    policies {
        from-zone trust to-zone trust {
            policy default-permit {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust to-zone untrust {
            policy default-permit {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust-ping to-zone trust {
            policy permit-ping {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust-ping to-zone untrust {
            policy permit-ping1 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone trust to-zone trust-ping {
            policy permit-ping2 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone untrust to-zone trust-ping {
            policy permit-ping3 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        default-policy {
            permit-all;
        }
    }
}

 

Share this post


Link to post
Share on other sites

У вас оба адреса серые (10.100.0.3/22, 192.168.1.1/24), т.е. в Интернете они не маршрутизируются по определению, и по адресу 10.100.0.3 вас никто не сможет пинговать извне. Скажите своему провайдеру, чтобы он выдал вам белый адрес.

Edited by photon

Share this post


Link to post
Share on other sites

белый адрес есть, он натится на этот 1 к 1.

Он должен транслироваться в двух направлениях (binat), это во-первых. Во-вторых, чтобы понять где проблема, нужно видеть traceroute.

Share this post


Link to post
Share on other sites

пров организует нат 1 к 1 в обоих направлениях. меня интересует, почему я не могу пинговать, даже если нахожусь в одной сетке адресом на ge-0/0/0.0, например с 10.100.0.5.

Share this post


Link to post
Share on other sites

вопрос по нату снят... единственное ftp не работает почемуто... но, видимо, это издержки тестового стенда.

с пингом вопрос открыт.. не получается заставить пинговаться внешний интерфейс.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this