phantom_vk Опубликовано 4 сентября, 2014 · Жалоба Всем доброго времени суток! Недавно приобретен Juniper MX80 и сервисная карта MS-MIC-16G для предоствления доступа в интернет по средствам NAT. Общую конфигурацию накидали и на первый взгляд все работает, но при ближайшем рассмотрении столкнулись с несколькими проблемами: 1. Не проходит от клиента за натом трассировка маршрута, выглядит это следующим образом: tracert ya.ru Трассировка маршрута к ya.ru [213.180.204.3] с максимальным числом прыжков 30: 1 1 ms <1 мс <1 мс 10.10.20.1 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 * * * Превышен интервал ожидания для запроса. 6 * * * Превышен интервал ожидания для запроса. 7 * * * Превышен интервал ожидания для запроса. 8 * * * Превышен интервал ожидания для запроса. 9 * * * Превышен интервал ожидания для запроса. 10 13 ms 13 ms 13 ms www.yandex.ru [213.180.204.3] В тот же момент ping проходит: ping ya.ru Обмен пакетами с ya.ru [93.158.134.3] по 32 байт: Ответ от 93.158.134.3: число байт=32 время=13мс TTL=53 Ответ от 93.158.134.3: число байт=32 время=13мс TTL=53 Ответ от 93.158.134.3: число байт=32 время=13мс TTL=53 Ответ от 93.158.134.3: число байт=32 время=13мс TTL=57 Статистика Ping для 93.158.134.3: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь), Приблизительное время приема-передачи в мс: Минимальное = 13мсек, Максимальное = 13 мсек, Среднее = 13 мсек Хотя applications настроены: applications application dns-udp-10s { protocol udp; source-port 1-65535; destination-port 53; inactivity-timeout 10; } application https-1800s { protocol tcp; destination-port 443; inactivity-timeout 1800; } application icmp-30s { protocol icmp; inactivity-timeout 30; } application traceroute-30s { application-protocol traceroute; protocol udp; destination-port 33435-33450; ttl-threshold 30; inactivity-timeout 30; } application xmpp-1800s { protocol tcp; destination-port 5222-5223; inactivity-timeout 1800; } application smtp-ssl { protocol tcp; destination-port 465; } application pop3-ssl { protocol tcp; destination-port 995; } application-set ALG-SET-noEIM-noEIF { application junos-http; application junos-ftp; application junos-rtsp; application dns-udp-10s; application https-1800s; application icmp-30s; application xmpp-1800s; application traceroute-30s; application junos-ntp; application junos-telnet; application junos-rsh; application junos-ssh; application junos-pop3; application junos-smtp; application junos-imap; application junos-imaps; application pop3-ssl; application smtp-ssl; application junos-pptp; application junos-rpc-portmap-tcp; application junos-rpc-portmap-udp; application junos-tftp; } application-set ALG-SET-EIM-EIF { application junos-h323; application junos-sip; } Firewall-ы пробовали выключать вообще все которые есть. ========== 2. Никак не удается настроить проброс портов во внуторь за NAT. Причем если делать проброс порт в порт (например 3389 в 3389) или вообще bi-nat то все работает, а (например 10500 в 3389) не получается match-direction output; term t1 { from { destination-address { ХХ.ХХ.ХХ.ХХ/32; } destination-port { range low 3000 high 10000; } } then { port-forwarding-mappings map1; translated { destination-prefix 10.10.20.30/32; translation-type { dnat-44; } } } } port-forwarding map1 destined-port 10000 translated-port 3389; Прошу подсказать в какую сторону смотреть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 4 сентября, 2014 · Жалоба 1. Не проходит от клиента за натом трассировка маршрута, выглядит это следующим образом: В ОС Шиндоуз для traceroute используется протокол ICMP. Если перенастроить соответствующим образом application, то возможно трейс пойдет. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
phantom_vk Опубликовано 5 сентября, 2014 · Жалоба Действительно не проходит трассировка только с OC Windows... Если перенастроить соответствующим образом application, то возможно трейс пойдет. Я уже перепробовал различные варинаты, остановился на рекомендуемом джунипером: show applications application icmp-30s application-protocol icmp; inactive: protocol icmp; inactive: icmp-type time-exceeded; inactive: inactivity-timeout 30; Все равно не работает. И подскажите правильно ли я понимаю, сексию application надо вешать в правило натирования? match-direction input; term t1 { from { source-address { 10.10.20.0/24; } application-sets ALG-SET-noEIM-noEIF; } then { translated { source-pool np1; translation-type { napt-44; } address-pooling paired; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 5 сентября, 2014 · Жалоба Версия софта какая ? и снимите дамп трафика на клиенте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 5 сентября, 2014 (изменено) · Жалоба Я уже перепробовал различные варинаты, остановился на рекомендуемом джунипером: Сам я подобное не настраивал и мануалы, соответственно, не читал, поэтому могу только провести теоретическое изыскание методом экстраполяции имеющихся данных на поставленную задачу. Итак, у нас есть рабочий UDP traceroute, который, очевидно, обеспечивается правилом application traceroute-30s { application-protocol traceroute; protocol udp; destination-port 33435-33450; ttl-threshold 30; inactivity-timeout 30; } Раз он работает, то правило, вероятно, привязано туда, куда нужно. Основываясь на этих фактах, я бы добавил правило application traceroute-icmp-30s { application-protocol traceroute; protocol icmp; ttl-threshold 30; inactivity-timeout 30; } и поставил бы его в application-set'е выше любых других правил, связанных с icmp и traceroute. Вы пробовали такой вариант? ЗЫ: поскольку изыскание теоретичское, то успех, естесственно, не гарантирован. Изменено 5 сентября, 2014 пользователем agr Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 5 сентября, 2014 · Жалоба ЗЫ: поскольку изыскание теоретичское, то успех, естесственно, не гарантирован. вы не учитываете одного фактора , это может быть баг :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
agr Опубликовано 5 сентября, 2014 · Жалоба вы не учитываете одного фактора , это может быть баг :) Почему не учитываю? Как раз в причины возможного провала логически блистательно выстроенного плана и заложено предположение о наличии форс-мажорных факторов, и баги в их числе:) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
phantom_vk Опубликовано 8 сентября, 2014 (изменено) · Жалоба Версия софта какая ? и снимите дамп трафика на клиенте Model: mx80-48t JUNOS Base OS boot [13.2R2.4] JUNOS Base OS Software Suite [13.2R2.4] JUNOS Kernel Software Suite [13.2R2.4] JUNOS Packet Forwarding Engine Support (MX80) [13.2R2.4] JUNOS Online Documentation [13.2R2.4] JUNOS Services Application Level Gateways [13.2R2.4] JUNOS Services Jflow Container package [13.2R2.4] JUNOS Services Stateful Firewall [13.2R2.4] JUNOS Services NAT [13.2R2.4] JUNOS Routing Software Suite [13.2R2.4] Итак, у нас есть рабочий UDP traceroute, который, очевидно, обеспечивается правилом Кстати юдипишный traceroute работает и без каких бы то нибыло application's и поставил бы его в application-set'е выше любых других правил, связанных с icmp и traceroute. Вы пробовали такой вариант? Попробовал, не помогло. Изменено 8 сентября, 2014 пользователем phantom_vk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 8 сентября, 2014 · Жалоба orlik (05 сентября 2014 - 20:16) писал: Версия софта какая ? и снимите дамп трафика на клиенте Model: mx80-48t JUNOS Base OS boot [13.2R2.4] отлично , теперь на клиентском компьютере снимите дамп трафика , как вы делаете трейсроут , и проверьте возвращаются ли вам пакеты и правильные ли это пакеты ... P.S. если лень , то обновляйтесь сразу 13.2 не лучший вариант Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
fomka31ru Опубликовано 8 сентября, 2014 · Жалоба P.S. если лень , то обновляйтесь сразу 13.2 не лучший вариант С вендорами всегда так, сначала мозг потрахают, а потом... ну обновляйтесь, это просто баг :) PS: шутка... а в каждой шутке, есть доля шутки Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
phantom_vk Опубликовано 8 сентября, 2014 (изменено) · Жалоба отлично , теперь на клиентском компьютере снимите дамп трафика , как вы делаете трейсроут , и проверьте возвращаются ли вам пакеты и правильные ли это пакеты ... Снял flow на джунипере run show services stateful-firewall flows Interface: ms-0/2/0, Service set: sst1 Flow State Dir Frm count ICMP 10.10.20.10 -> 81.19.70.3 Forward I 2 -> FreeBSD ping ICMP 81.19.70.3 -> Внешний IP Forward O 2 -> FreeBSD ping ICMP 10.10.20.30 -> 213.180.193.3 Forward I 9 -> Windows XP tracert (не работает) ICMP 213.180.193.3 -> Внешний IP Forward O 9 -> Windows XP tracert (не работает) P.S. если лень , то обновляйтесь сразу 13.2 не лучший вариант А подскажите на какую версию обновится? И может ли еще по этой же причине не правильно работать port-forwarding? Изменено 8 сентября, 2014 пользователем phantom_vk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 8 сентября, 2014 · Жалоба я Дамп просил , от этого толку мало. Обновляйтесь на 13.3R3, выбор у вас не велик ... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 8 сентября, 2014 · Жалоба и личку проверьте ;) скинул вариантик. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 8 сентября, 2014 · Жалоба выложил дамп с клиента. это на MS-MPC. http://rghost.ru/57910951 C:\Users\Артем>tracert ya.ru Трассировка маршрута к ya.ru [93.158.134.3] с максимальным числом прыжков 30: 1 <1 мс <1 мс <1 мс 192.168.72.235 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * * * Превышен интервал ожидания для запроса. 5 2 ms 1 ms 2 ms www.yandex.ru [93.158.134.3] Трассировка завершена. C:\Users\Артем> Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 8 сентября, 2014 · Жалоба Если посмотрите в исходное сообщение (которое вложено в icmp ttl expired) то увидите что MX поменял его код с type 8 на type 0 . Пожтому винда и не воспринимает ти сообщения. Обновляйтесь :) Если посмотрите в исходное сообщение (которое вложено в icmp ttl expired) то увидите что MX поменял его код с type 8 на type 0 . Поэтому винда и не воспринимает ти сообщения. Обновляйтесь :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
phantom_vk Опубликовано 9 сентября, 2014 (изменено) · Жалоба я Дамп просил... Вот еще от меня rghost.ru/57921843 Изменено 9 сентября, 2014 пользователем phantom_vk Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 10 сентября, 2014 · Жалоба Вот еще от меня rghost.ru/57921843 Ну сами посмотрите , у вас аналогично, только что в обратном сообщении type 2. Это вообще экзотика какая-то :) обращайтесь в тех поддержку J пусть они это чинят. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 12 сентября, 2014 · Жалоба коммент JTAC относительно ICMP Please make sure that your firewall filter does not drop ICMP packets in the destinationport range of 33434 to 33600. If it accepts them, then we would recommend you to upgrade to 13.3R3.6 Junos version. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 12 сентября, 2014 · Жалоба гы гы гы , вы им напишите что пакет неправильный формируется. а вообще какбы есть PR Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
rdntw Опубликовано 12 сентября, 2014 · Жалоба но нет "Resolved In" :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
phantom_vk Опубликовано 23 сентября, 2014 · Жалоба Хочу поделится радостью, после обновления прошивки на 13.3R3.6 трассеровка из винды пошла, но вот порт форвардинг так пока и не работает. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 сентября, 2014 · Жалоба Адово говно ваш жунипер. Чем больше узнаю тем больше понимаю. =(( Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 23 сентября, 2014 · Жалоба Адово говно ваш жунипер. Чем больше узнаю тем больше понимаю. =(( А какая альтернатива, при использовании в качестве бордера? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 23 сентября, 2014 · Жалоба Адово говно ваш жунипер. Чем больше узнаю тем больше понимаю. =(( А какая альтернатива, при использовании в качестве бордера? я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное. Я тут очереди попытался настроить на SRX, был удивлен. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
orlik Опубликовано 23 сентября, 2014 · Жалоба Хочу поделится радостью, после обновления прошивки на 13.3R3.6 трассеровка из винды пошла, но вот порт форвардинг так пока и не работает. А что именно не работает ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...