[rdntw]

2. Никак не удается настроить проброс портов во внуторь за NAT.

Причем если делать проброс порт в порт (например 3389 в 3389)

или вообще bi-nat то все работает,

а (например 10500 в 3389) не получается

 

match-direction output;
term t1 {
   from {
       destination-address {
           ХХ.ХХ.ХХ.ХХ/32;
       }
       destination-port {
           range low 3000 high 10000;
       }
   }
   then {
       port-forwarding-mappings map1;
       translated {
           destination-prefix 10.10.20.30/32;
           translation-type {
               dnat-44;
           }
       }
   }
}

port-forwarding map1
destined-port 10000 translated-port 3389;

[tehmeh]

А какая альтернатива, при использовании в качестве бордера?

У него все говно - куда не плюнь, не обращайте внимание.

 

я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное.

Я тут очереди попытался настроить на SRX, был удивлен.

Какого тогда ты со своим ынтырпрайзом лезешь сюда?

[NikBSDOpen]

я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное.

Я тут очереди попытался настроить на SRX, был удивлен.

 

В "интерпрайзе" srx'ы зарекомендовали себя очень неплохо. Шабашил и даже такая костыльная схема, как ospf, поверх ipsec_vpn+bgp по арендованным тплюсовым каналам бегает замечательно, без дополнительных лицензий и т.д.. На cisco я не смог этого реализовать, поверх bgp упорно не поднибался ipsec, а если поднимался, то при падении одного из линков и перестроении маршрута снова забывал как это делается(возможно у меня руки под хер заточены), но на srx все поднялось практически сразу и без мучений.

Очереди...ну есть косяки но не смертельно, SSG, ISG в этом плане лучше были, но меня синтаксис screenos просто вымораживает.

И если вернуться к моему вопросу к Вам, про альтернативу, то что все же можете предложить? Х.з. как то не ответ.

[Sergeylo]

А какая альтернатива, при использовании в качестве бордера?

Ждём Saab'а с правильным ответом.

[White_Alex]

поверх bgp упорно не поднибался ipsec

я прошу прощения, но это как? не, ну серьезно, "кто на ком стоял?" (с)

[myst]

А какая альтернатива, при использовании в качестве бордера?

У него все говно - куда не плюнь, не обращайте внимание.

А пруфец то будет, али так, пукнуть в лужу?

 

я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное.

Я тут очереди попытался настроить на SRX, был удивлен.

Какого тогда ты со своим ынтырпрайзом лезешь сюда?

Ты ничего не перепутал? это открытый форум.

 

я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное.

Я тут очереди попытался настроить на SRX, был удивлен.

 

В "интерпрайзе" srx'ы зарекомендовали себя очень неплохо. Шабашил и даже такая костыльная схема, как ospf, поверх ipsec_vpn+bgp по арендованным тплюсовым каналам бегает замечательно, без дополнительных лицензий и т.д.. На cisco я не смог этого реализовать, поверх bgp упорно не поднибался ipsec, а если поднимался, то при падении одного из линков и перестроении маршрута снова забывал как это делается(возможно у меня руки под хер заточены), но на srx все поднялось практически сразу и без мучений.

Очереди...ну есть косяки но не смертельно, SSG, ISG в этом плане лучше были, но меня синтаксис screenos просто вымораживает.

И если вернуться к моему вопросу к Вам, про альтернативу, то что все же можете предложить? Х.з. как то не ответ.

 

Давайте представим простую ситуацию (я даже не буду вдаваться в PBR который у джунипера просто анален)...

Мне надо отмаркировать трахик по протоколам и распихать его по очередям с минимально гарантированной полосой на основании процента от BW туннельного интерфейса.

Внимание вопрос: как это сделать?

 

Это делается крайне легко почти на любой циско роутере. ,)

 

Адово говно ваш жунипер. Чем больше узнаю тем больше понимаю. =((

 

А какая альтернатива, при использовании в качестве бордера?

смотря что понимать под бордером. ничего что те же srxы это не роутеры ниразу? =)

[s.lobanov]

ничего что те же srxы это не роутеры ниразу? =)

 

переключаешь в packet-mode - получаешь роутер

 

srx даже маркетингово позицинируется как роутер+фаервол (типа не надо 2 коробки брать)

[tehmeh]

А пруфец то будет, али так, пукнуть в лужу?

Пару ссылок на твои свежие посты пойдут?

 

Ты ничего не перепутал? это открытый форум.

Писать-то херню тебе, конечно, никто не запретит.

[myst]

Пару ссылок на твои свежие посты пойдут?

Вполне... давай чо уж.

Писать-то херню тебе, конечно, никто не запретит.

Пока херню я вижу только от тебя. ничем не подтвержденную.

 

ничего что те же srxы это не роутеры ниразу? =)

 

переключаешь в packet-mode - получаешь роутер

 

srx даже маркетингово позицинируется как роутер+фаервол (типа не надо 2 коробки брать)

в packet-mode оно не может половину фич которые есть при flow mode.

а при включенном flow оно умирает на 400 000 сессиях.

вот и получается недофаервол недороутер.

 

про то что оно ipsec в транспортном режиме не умеет я аще молчу. =))

[NikBSDOpen]

я прошу прощения, но это как? не, ну серьезно, "кто на ком стоял?" (с)

 

Что то вроде этого. Для примера и в общем виде.

 

___ ISP1____

net1-SRX(BGP)-|____ISP2____|-(BGP)SRX-net2

|________________VPN_________________|

 

На SRX взлетело быстро и не принужденно, на cisco к моему глубокому сожалению не осилил. Постоянно были проблемы. Просто плюнул.

 

 

Давайте представим простую ситуацию (я даже не буду вдаваться в PBR который у джунипера просто анален)...

Мне надо отмаркировать трахик по протоколам и распихать его по очередям с минимально гарантированной полосой на основании процента от BW туннельного интерфейса.

Внимание вопрос: как это сделать?

 

По поводу pbr есть понимание. По поводу Class of Service на джуниках ну не согласен с Вашей точкой зрения. Конечно изврат присутствует, но не так прямо координально.

[myst]

По поводу Class of Service на джуниках ну не согласен с Вашей точкой зрения. Конечно изврат присутствует, но не так прямо координально.

Ну может я не туда читал... Расскажите как сделать то что я описал выше?

Есть куча туннелей (ipip, gre, не важно), надо на них навешать куосы где для каждого типа трафика будет установлена минимальная полоса с возможность. занимать остальную если свободно?

Задача вобщем то типовая, на циске я классы нарисовал за 5 минут. Понадобилось это сделать на джуне и облом-с.

[NikBSDOpen]

смотря что понимать под бордером. ничего что те же srxы это не роутеры ниразу? =)

 

Под бордером будем подразумевать тот же самый MX. Понятно, что плата в него в контексте текущего топика, это недо-srx.

 

Мне тоже много чего неудобно в джун, но еще больше это бесит в cisco.

Поделитесь решением и альтернативой.

[myst]

смотря что понимать под бордером. ничего что те же srxы это не роутеры ниразу? =)

 

Под бордером будем подразумевать тот же самый MX. Понятно, что плата в него в контексте текущего топика, это недо-srx.

 

Мне тоже много чего неудобно в джун, но еще больше это бесит в cisco.

Поделитесь решением и альтернативой.

Альтернативой... мне ASRки нравятся. Они и производительнее будут.

[NikBSDOpen]

Ну может я не туда читал... Расскажите как сделать то что я описал выше?

Есть куча туннелей (ipip, gre, не важно), надо на них навешать куосы где для каждого типа трафика будет установлена минимальная полоса с возможность. занимать остальную если свободно?

Задача вобщем то типовая, на циске я классы нарисовал за 5 минут. Понадобилось это сделать на джуне и облом-с.

 

Да ладно Вам, все Вы правильно читали. В этом есть косяк.

Я например тоже не могу повесить косы на st* интерфейс. Неприятно, но не смертельно. Навешивал на vlan. Но это не значит что шедулер косячный. Мне например точже не нравится что шейпер нельзя повесить на политику, что можно было сделать в скриносе, так что теперь на тик уходить? где там сааб.

[myst]

Ну может я не туда читал... Расскажите как сделать то что я описал выше?

Есть куча туннелей (ipip, gre, не важно), надо на них навешать куосы где для каждого типа трафика будет установлена минимальная полоса с возможность. занимать остальную если свободно?

Задача вобщем то типовая, на циске я классы нарисовал за 5 минут. Понадобилось это сделать на джуне и облом-с.

 

Да ладно Вам, все Вы правильно читали. В этом есть косяк.

Я например тоже не могу повесить косы на st* интерфейс. Неприятно, но не смертельно. Навешивал на vlan. Но это не значит что шедулер косячный. Мне например точже не нравится что шейпер нельзя повесить на политику, что можно было сделать в скриносе, так что теперь на тик уходить? где там сааб.

Зачем на тик... мы 650е заменили на 1001 АСРки... Цена такая же, умеют больше. На 400к flow сессиях даже не думают дохнуть.

 

А что же до "не смертельно"... вот меня лично это реально напрягло. Была задача, а решить - невозможно. Про приколы с PBR я в соседней ветке писал. За такое аще убивать надо.

Изменено 24 сентября, 2014 пользователем myst

[alks]

мист не засоряйте тему, сделайте себе ветку энтерпрайз форева и джуник сакс, и полируйте там вопрос

советую еще сааба позвать, вам будет что обсудить, поверьте

[phantom_vk]

Ну что, никому не удалось port-forwarding победить?

[aligor88]

Может кто разочаровавшись в джуниперовском нате продаст плату ms-mic-16g )?