Juniper SRX трафик между Vlan

[RIP]

Коллеги, добрый день!

 

Подскажите кто имел дело с Junos: в vlan.116 располагается система видеонаблюдения, в vlan.114 пользователи, доступ организован в обе стороны, просмотр видео, удалённая настройка работают. Но при попытке из vlan.116 пользователю из vlan.114 скачать файл видеоархива ничего не выходит. При том, если пользователя на коммутаторе поместить в vlan.116 скачивается без проблем. Используем SRX 240, EX3200, EX2200.

 

Заранее благодарен за советы!

[triam]

Протокол для скачивания должен быть разрешёл в политике.

sh conf security polices ....

Должна быть политика, которая разрешает скачивания из зоны, к которой принадлежит vlan.116 в зону к которой принадлежит vlan.114

Но лучше конечно если покажите конфиги.

[RIP]

Благодарю за ответ! Не подскажите о каком протоколе идёт речь? Политики доступа из одной зоны в другую я прописал, конфиг весьма длиннный, привожу часть policy, но вполне банальный:

from-zone trust to-zone trust {

policy trust-self {

match {

source-address any;

destination-address any;

application any;

}

then {

permit;

}

}

}

from-zone trust to-zone video {

policy trust-video {

match {

source-address [ user1 user2 user3 user4 user5];

destination-address any;

application any;

}

then {

permit;

}

}

}

 

Зона trust - это пользователи, ну а video и так понятно ))

[disaq]

Не подскажите о каком протоколе идёт речь?

Я думаю что ответ на этот вопрос Вы намного быстрее найдете из документации к Вашей системе виденаблюдения.

[triam]

Ваш пользователь попадает в user1 user2 user3 user4 user5 ?

[RIP]

А понятно - т.е. используется особый протокол передачи данных между клиентом и сервером системы видеонаблюдения, а т.к. внутри одного vlan нет проверки, то там и передаётся он без проблем. Тогда подскажите каким образом этот протокол прописать, по используемому порту? Но ведь у меня прописано в policy: application any, а до этого в security-zone: system-services all?

 

Ваш пользователь попадает в user1 user2 user3 user4 user5 ?

Да, попадает. Доступ к нужному хосту есть полный.

[triam]

Тогда дело не в SRX'е =) Например, есть ещё firewall filter'ы на ex'ах?

А поменяйте source-address на address. Должно помочь!

Ну и политику вот такую добавьте

from-zone video to-zone trust {

policy trust-video {

match {

source-address any;

destination-address [user1 user2 user3 user4 user5];

application any;

}

then {

permit;

}

}

}

Edited August 16, 2012 by triam

[RIP]

Посмотрел - на EX3200 и 2200 security совсем не прописано. Адрес не даёт прописать в source-address - ругается, что его не знает, видимо подходит только по имени. Политику, по совету, добавил, только как понимаю адреса необходимо добавить в destination-address?

Вообще что похоже сработало, потому что файлы начал скачивать. Тогда завтра ещё погоняю их как следует по сети.

[RIP]

Эх, не оправдались надежды - скачивает через раз.

[triam]

Да, точно исправил. Ну раз начало качать через раз, то надо смотреть чтоже вы всё-таки блокируете.

Пробуйте заменять [user1 user2 user3 user4 user5] в обеих политиках на any.

show security flow session вам поможет тоже.

[msdt]

NAT между зонами, случаем, не включен? И по какому протоколу транслируется видео? Мультикаст, случаем, не используется?

Edited August 16, 2012 by msdt

[disaq]

Мультикаст, случаем, не используется?

Сомневаюсь что кому нибудь пришло бы в голову архив мультикастом качать.

Но даже если бы и пришло - упоминания о настроенном PIM нету, стало быть даже через раз бы не качало.

[RIP]

Всех благодарю за ответы! К сожалению ничего не изменилось.

Пробуйте заменять [user1 user2 user3 user4 user5] в обеих политиках на any.

show security flow session вам поможет тоже.

Везде поставил any - не помогло. Команда полезная, вот что по ней выводит:

show security flow session interface vlan.116

Session ID: 2167, Policy name: trust-video/15, Timeout: 1800

In: 10.10.190.1/51997 --> 10.14.1.2/8083;tcp, If: vlan.114

Out: 10.14.1.2/8083 --> 10.10.190.1/51997;tcp, If: vlan.116

Во время закачки файла, протокол не изменяется, просто добавляются похожие сессии на порты 8081-8084. Не совсем понял что означает цифра 15 в trust-video/15. Здесь 10.10. - пользователи, 10.14. -видео.

 

NAT между зонами, случаем, не включен? И по какому протоколу транслируется видео? Мультикаст, случаем, не используется?

Нет между этими зонами НАТ не включён, насчёт мультикаста - команда show multicast interface ничего не показала. Протокол пока не знаю какой используется, но предварительно похоже, что TCP.

[msdt]

SRX-ы любят дропать TCP-сессии, когда по ним долго не было трафика. Попробуйте следующее:

 

set applications application junos-http inactivity-timeout 43200

set applications application junos-https inactivity-timeout 43200

set applications application определение_трафик_видеонаблюдения inactivity-timeout 43200

set security flow tcp-session no-syn-check

 

Маловероятно, что дело в этом, но вдруг поможет?

Edited August 17, 2012 by msdt

[RIP]

RX-ы любят дропать TCP-сессии, когда по ним долго не было трафика. Попробуйте следующее:

 

set applications application junos-http inactivity-timeout 43200

set applications application junos-https inactivity-timeout 43200

set applications application определение_трафик_видеонаблюдения inactivity-timeout 43200

set security flow tcp-session no-syn-check

 

Пока не помогло - обрывается закачка на определённом этапе. Но идея интересная, спасибо за подсказку, буду копать в этом направлении!

[RIP]

Коллеги, всем огромное спасибо за помощь! Про закрытие TCP сессий было решающей идеей! В итоге помогла команда:

set security flow tcp-session no-sequence-check

 

Ссылка на материал: http://kb.juniper.net/InfoCenter/index?page=content&id=KB24232