rdntw Опубликовано 23 сентября, 2014 · Жалоба 2. Никак не удается настроить проброс портов во внуторь за NAT.Причем если делать проброс порт в порт (например 3389 в 3389) или вообще bi-nat то все работает, а (например 10500 в 3389) не получается match-direction output; term t1 { from { destination-address { ХХ.ХХ.ХХ.ХХ/32; } destination-port { range low 3000 high 10000; } } then { port-forwarding-mappings map1; translated { destination-prefix 10.10.20.30/32; translation-type { dnat-44; } } } } port-forwarding map1 destined-port 10000 translated-port 3389; Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 24 сентября, 2014 · Жалоба А какая альтернатива, при использовании в качестве бордера? У него все говно - куда не плюнь, не обращайте внимание. я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное. Я тут очереди попытался настроить на SRX, был удивлен. Какого тогда ты со своим ынтырпрайзом лезешь сюда? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 24 сентября, 2014 · Жалоба я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное. Я тут очереди попытался настроить на SRX, был удивлен. В "интерпрайзе" srx'ы зарекомендовали себя очень неплохо. Шабашил и даже такая костыльная схема, как ospf, поверх ipsec_vpn+bgp по арендованным тплюсовым каналам бегает замечательно, без дополнительных лицензий и т.д.. На cisco я не смог этого реализовать, поверх bgp упорно не поднибался ipsec, а если поднимался, то при падении одного из линков и перестроении маршрута снова забывал как это делается(возможно у меня руки под хер заточены), но на srx все поднялось практически сразу и без мучений. Очереди...ну есть косяки но не смертельно, SSG, ISG в этом плане лучше были, но меня синтаксис screenos просто вымораживает. И если вернуться к моему вопросу к Вам, про альтернативу, то что все же можете предложить? Х.з. как то не ответ. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Sergeylo Опубликовано 24 сентября, 2014 · Жалоба А какая альтернатива, при использовании в качестве бордера? Ждём Saab'а с правильным ответом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
White_Alex Опубликовано 24 сентября, 2014 · Жалоба поверх bgp упорно не поднибался ipsec я прошу прощения, но это как? не, ну серьезно, "кто на ком стоял?" (с) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 сентября, 2014 · Жалоба А какая альтернатива, при использовании в качестве бордера? У него все говно - куда не плюнь, не обращайте внимание. А пруфец то будет, али так, пукнуть в лужу? я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное. Я тут очереди попытался настроить на SRX, был удивлен. Какого тогда ты со своим ынтырпрайзом лезешь сюда? Ты ничего не перепутал? это открытый форум. я хз, я не пров.. ынтырпрайз... вот в ынтыпрайзе жунипер ГОВНО. полное. Я тут очереди попытался настроить на SRX, был удивлен. В "интерпрайзе" srx'ы зарекомендовали себя очень неплохо. Шабашил и даже такая костыльная схема, как ospf, поверх ipsec_vpn+bgp по арендованным тплюсовым каналам бегает замечательно, без дополнительных лицензий и т.д.. На cisco я не смог этого реализовать, поверх bgp упорно не поднибался ipsec, а если поднимался, то при падении одного из линков и перестроении маршрута снова забывал как это делается(возможно у меня руки под хер заточены), но на srx все поднялось практически сразу и без мучений. Очереди...ну есть косяки но не смертельно, SSG, ISG в этом плане лучше были, но меня синтаксис screenos просто вымораживает. И если вернуться к моему вопросу к Вам, про альтернативу, то что все же можете предложить? Х.з. как то не ответ. Давайте представим простую ситуацию (я даже не буду вдаваться в PBR который у джунипера просто анален)... Мне надо отмаркировать трахик по протоколам и распихать его по очередям с минимально гарантированной полосой на основании процента от BW туннельного интерфейса. Внимание вопрос: как это сделать? Это делается крайне легко почти на любой циско роутере. ,) Адово говно ваш жунипер. Чем больше узнаю тем больше понимаю. =(( А какая альтернатива, при использовании в качестве бордера? смотря что понимать под бордером. ничего что те же srxы это не роутеры ниразу? =) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 24 сентября, 2014 · Жалоба ничего что те же srxы это не роутеры ниразу? =) переключаешь в packet-mode - получаешь роутер srx даже маркетингово позицинируется как роутер+фаервол (типа не надо 2 коробки брать) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
tehmeh Опубликовано 24 сентября, 2014 · Жалоба А пруфец то будет, али так, пукнуть в лужу? Пару ссылок на твои свежие посты пойдут? Ты ничего не перепутал? это открытый форум. Писать-то херню тебе, конечно, никто не запретит. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 сентября, 2014 · Жалоба Пару ссылок на твои свежие посты пойдут? Вполне... давай чо уж. Писать-то херню тебе, конечно, никто не запретит. Пока херню я вижу только от тебя. ничем не подтвержденную. ничего что те же srxы это не роутеры ниразу? =) переключаешь в packet-mode - получаешь роутер srx даже маркетингово позицинируется как роутер+фаервол (типа не надо 2 коробки брать) в packet-mode оно не может половину фич которые есть при flow mode. а при включенном flow оно умирает на 400 000 сессиях. вот и получается недофаервол недороутер. про то что оно ipsec в транспортном режиме не умеет я аще молчу. =)) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 24 сентября, 2014 · Жалоба я прошу прощения, но это как? не, ну серьезно, "кто на ком стоял?" (с) Что то вроде этого. Для примера и в общем виде. ___ ISP1____ net1-SRX(BGP)-|____ISP2____|-(BGP)SRX-net2 |________________VPN_________________| На SRX взлетело быстро и не принужденно, на cisco к моему глубокому сожалению не осилил. Постоянно были проблемы. Просто плюнул. Давайте представим простую ситуацию (я даже не буду вдаваться в PBR который у джунипера просто анален)... Мне надо отмаркировать трахик по протоколам и распихать его по очередям с минимально гарантированной полосой на основании процента от BW туннельного интерфейса. Внимание вопрос: как это сделать? По поводу pbr есть понимание. По поводу Class of Service на джуниках ну не согласен с Вашей точкой зрения. Конечно изврат присутствует, но не так прямо координально. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 сентября, 2014 · Жалоба По поводу Class of Service на джуниках ну не согласен с Вашей точкой зрения. Конечно изврат присутствует, но не так прямо координально. Ну может я не туда читал... Расскажите как сделать то что я описал выше? Есть куча туннелей (ipip, gre, не важно), надо на них навешать куосы где для каждого типа трафика будет установлена минимальная полоса с возможность. занимать остальную если свободно? Задача вобщем то типовая, на циске я классы нарисовал за 5 минут. Понадобилось это сделать на джуне и облом-с. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 24 сентября, 2014 · Жалоба смотря что понимать под бордером. ничего что те же srxы это не роутеры ниразу? =) Под бордером будем подразумевать тот же самый MX. Понятно, что плата в него в контексте текущего топика, это недо-srx. Мне тоже много чего неудобно в джун, но еще больше это бесит в cisco. Поделитесь решением и альтернативой. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 сентября, 2014 · Жалоба смотря что понимать под бордером. ничего что те же srxы это не роутеры ниразу? =) Под бордером будем подразумевать тот же самый MX. Понятно, что плата в него в контексте текущего топика, это недо-srx. Мне тоже много чего неудобно в джун, но еще больше это бесит в cisco. Поделитесь решением и альтернативой. Альтернативой... мне ASRки нравятся. Они и производительнее будут. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikBSDOpen Опубликовано 24 сентября, 2014 · Жалоба Ну может я не туда читал... Расскажите как сделать то что я описал выше? Есть куча туннелей (ipip, gre, не важно), надо на них навешать куосы где для каждого типа трафика будет установлена минимальная полоса с возможность. занимать остальную если свободно? Задача вобщем то типовая, на циске я классы нарисовал за 5 минут. Понадобилось это сделать на джуне и облом-с. Да ладно Вам, все Вы правильно читали. В этом есть косяк. Я например тоже не могу повесить косы на st* интерфейс. Неприятно, но не смертельно. Навешивал на vlan. Но это не значит что шедулер косячный. Мне например точже не нравится что шейпер нельзя повесить на политику, что можно было сделать в скриносе, так что теперь на тик уходить? где там сааб. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
myst Опубликовано 24 сентября, 2014 (изменено) · Жалоба Ну может я не туда читал... Расскажите как сделать то что я описал выше? Есть куча туннелей (ipip, gre, не важно), надо на них навешать куосы где для каждого типа трафика будет установлена минимальная полоса с возможность. занимать остальную если свободно? Задача вобщем то типовая, на циске я классы нарисовал за 5 минут. Понадобилось это сделать на джуне и облом-с. Да ладно Вам, все Вы правильно читали. В этом есть косяк. Я например тоже не могу повесить косы на st* интерфейс. Неприятно, но не смертельно. Навешивал на vlan. Но это не значит что шедулер косячный. Мне например точже не нравится что шейпер нельзя повесить на политику, что можно было сделать в скриносе, так что теперь на тик уходить? где там сааб. Зачем на тик... мы 650е заменили на 1001 АСРки... Цена такая же, умеют больше. На 400к flow сессиях даже не думают дохнуть. А что же до "не смертельно"... вот меня лично это реально напрягло. Была задача, а решить - невозможно. Про приколы с PBR я в соседней ветке писал. За такое аще убивать надо. Изменено 24 сентября, 2014 пользователем myst Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
alks Опубликовано 24 сентября, 2014 · Жалоба мист не засоряйте тему, сделайте себе ветку энтерпрайз форева и джуник сакс, и полируйте там вопрос советую еще сааба позвать, вам будет что обсудить, поверьте Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
phantom_vk Опубликовано 8 октября, 2014 · Жалоба Ну что, никому не удалось port-forwarding победить? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
aligor88 Опубликовано 22 ноября, 2016 · Жалоба Может кто разочаровавшись в джуниперовском нате продаст плату ms-mic-16g )? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...