juniper не поддерживает подключения из локальной сети в локальную сеть.

0

1

Имеется juniper srx210 с прошивкой:

admin@ant# run show chassis firmware 
Part                     Type       Version
FPC 0                    O/S        Version 12.1X46-D10.2 by builder on 2013-12
FWDD                     O/S        Version 12.1X46-D10.2 by builder on 2013-12

прописываю на нем статические маршруты:

admin@ant# show routing-options 
static {
    route 0.0.0.0/0 next-hop x.x.x.x;
    route 10.6.6.0/24 next-hop 192.168.10.79;
}

А также прописываю политику, которая должна разрешать сессию из локальный сети в локальную сеть:

admin@ant# show security policies from-zone Internal to-zone Internal 
policy ROUTES {
    match {
        source-address any;
        destination-address any;
        application any;
    }
    then {
        permit;
    }
}

потом лезу по VNC из сети 192.168.10.0/24 в сеть 10.6.6.0/24 и все бы хорошо связь устанавливается и даже успеваю сделать паружестов мышью по удаленному рабочему столу, но потом связь обрывается.

если я прописываю статический маршрут на своём компе до 10.6.6.0/24 то связь не рвется.

вопрос: Что не так? Почему juniper е рержит подключения инициированые через него? что стоит в него прописать для счастья?

Ссылка

←	IP-адреса NS в DNS и работа неймсерверов.

В linux в VirtualBox не грузятся web-страницы в браузерах, пинг проходит.

→

маршурты в обе стороны идут через джунипер?

такое бывает через 10 сек, если в одну сторону пакеты идут через джунипер а в другую как-то еще...

можно посмотреть - если счетчик пакетов в одну строну показывает 0

show security flow session

victorb ★★
(14.07.14 14:55:56 MSK)
Последнее исправление: victorb 14.07.14 14:58:00 MSK (всего исправлений: 2)

сравни «ip ro get 10.6.6.33» до установки статического маршрута и после.

IMHO проблема связана с обработкой icmp-redirect ( это можно посмотреть tcpdump-ом) или асимметрией маршутов

vel ★★★★★
(14.07.14 17:21:41 MSK)
Последнее исправление: vel 14.07.14 17:23:24 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от victorb 14.07.14 14:55:56 MSK

похоже на правду:

admin@ant# run show security flow session destination-port 5900    
Session ID: 260599, Policy name: ROUTES/8, Timeout: 2, Valid
  In: 192.168.10.237/49206 --> 10.6.6.21/5900;tcp, If: vlan.1, Pkts: 99, Bytes: 4196
  Out: 10.6.6.21/5900 --> 192.168.10.237/49206;tcp, If: vlan.1, Pkts: 0, Bytes: 0
Total sessions: 1

как решать проблему? что написать на juniper чтобы обратно пакеты ходили тоже через него?

Acceptor ★★
(14.07.14 20:46:38 MSK) автор топика

Ответ на: комментарий от Acceptor 14.07.14 20:46:38 MSK

Что мне написать на моём роутере, чтобы твои пакеты ходили через него?

frob ★★★★★
(15.07.14 03:48:35 MSK)

Ссылка

Ответ на: комментарий от Acceptor 14.07.14 20:46:38 MSK

На сервере к которому идет подключение или на гейте его добавить машрут между 10.6.6.0/24 в 192.168.10.0/24, не?

hidden_4003 ★
(15.07.14 08:56:34 MSK)
Последнее исправление: hidden_4003 15.07.14 08:56:56 MSK (всего исправлений: 1)

Ответ на: комментарий от hidden_4003 15.07.14 08:56:34 MSK

ну так есть маршруты то )))

это маршруты на гейте между клиентами в 10.6.6.0/24 и 192.168.10.0/24:

root@rat:~# ip r
default via 192.168.10.3 dev eth0
10.6.6.0/24 dev tun0  proto kernel  scope link  src 10.6.6.1 
192.168.10.0/24 dev eth0  proto kernel  scope link  src 192.168.10.79

ну и, соответственно, openvpn выдает клиентам подсети 10.6.6.0/24 маршрут: 192.168.10.0/24 via 10.6.6.1

Acceptor ★★
(15.07.14 12:16:27 MSK) автор топика

Ссылка

Ответ на: комментарий от hidden_4003 15.07.14 08:56:34 MSK

кароче, все гениальное - просто. добавил snat на juniper и все заработало:

rule-set remote-clients {
    from zone Internal;
    to zone Internal;
    rule vpn {
        match {
            source-address 192.168.10.0/24;
            destination-address 10.6.6.0/24;
        }
        then {
            source-nat {
                interface;
            }
        }
    }
}

Acceptor ★★
(15.07.14 14:45:56 MSK) автор топика

Ответ на: комментарий от Acceptor 15.07.14 14:45:56 MSK

Это костыль, а не выход.

ValdikSS ★★★★★
(16.07.14 05:40:20 MSK)

Ответ на: комментарий от ValdikSS 16.07.14 05:40:20 MSK

есть идей как накрепко скрутить?

Acceptor ★★
(16.07.14 20:12:27 MSK) автор топика

Ссылка

Ответ на: комментарий от ValdikSS 16.07.14 05:40:20 MSK

Ну, так, как правильно то сделать?

Acceptor ★★
(29.07.14 23:09:46 MSK) автор топика

Ответ на: комментарий от Acceptor 29.07.14 23:09:46 MSK

Ну вам сказали маршрутизацию настраивать. Больше ничего не подскажу, я не разбираюсь в juniper.

ValdikSS ★★★★★
(30.07.14 00:20:36 MSK)

Ответ на: комментарий от ValdikSS 30.07.14 00:20:36 MSK

ну в моём случае настройка роутов уперается в перепланировку сети в целом, а на это уйдет много времени сил и никто за это не заплатит, так что костыль этот не имеет вариантов обхода..

Acceptor ★★
(02.08.14 01:08:40 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	IP-адреса NS в DNS и работа неймсерверов.

Admin

В linux в VirtualBox не грузятся web-страницы в браузерах, пинг проходит.

→

Похожие темы