[denisz]

Ааа вот оно что
Спасибо огромное

[kim-aa]

denisz,

1)
Прошивки можно забирать с торрентов (что конечно не комильфо с точки зрения безопасности, но всякое бывает)
http://rutracker.org/forum/viewtopic.php?t=4017214

2) Если удаленных офисов много, то лучше перейти к Dynamic VPN.
Тогда все настройки производятся на корневом маршрутизаторе (Server - в терминологии DVPN),
а коммутаторы удаленных офисов настраиваются однотипно.
Правда в связи с динамичностью структуры, лучше маршрутизацию делать динамической (OSPF).


3)

Цитата denisz:

Не пойму почему у меня с Джунипера всё что в туннелях не пингуется. Наружу всё норм Хотя с компьютеров в разных сетях, соединенных VPNом всё пингуется и джуниперы »

А точно должны? Вы где-нибудь данные маршруты прописывали?
Не забываем про "show route"

4)
Привыкайте пользоваться для отладки <traceroute>

5)
Для отладки и макетирования своих художеств, рекомендую использовать JunOS для VMware (Olive)
Оно прекрасно работает как под VMware Workstation, так и ESXi

http://rutracker.org/forum/viewtopic.php?t=4061726

7)

Цитата denisz:

Ужас, чтобы junos обновить еще и контракт какой-то нужен... »

Это стандартная позиция любого крупного вендора.

Наверное, только MS исключение

[cameron]

Цитата kim-aa:

2) Если удаленных офисов много, то лучше перейти к Dynamic VPN. »

afaik "Dynamic VPN" у джунов это клиенский доступ (SSL-VPN), для которого нужны лицензии.
DMVPN - сугубо кошки, аналогов, насколько я знаю, у джунов нет.

Цитата kim-aa:

а коммутаторы удаленных офисов настраиваются однотипно. »

? конечно ex2200 и выше имеют некий функционал роутинга, но что бы принимать VPN я как-то не осилила настроить.

[kim-aa]

Цитата cameron:

afaik "Dynamic VPN" у джунов это клиенский доступ (SSL-VPN), для которого нужны лицензии. DMVPN - сугубо кошки, аналогов, насколько я знаю, у джунов нет. »

Да вы правы.
Правильно звучит - GroupVPN

http://www.juniper.net/elqNow/elqRed...3500202-en.pdf


2) Да, опечатался я. Надо читать "Маршрутизаторы", а лучше "SRX"

[cameron]

Цитата kim-aa:

GroupVPN »

а вот о нём я слышала от ребят из ростелика негатив, хотя, возможно, они тоже не достаточно хорошо "раскурили" мануалы.
скажите, вы его использовали?
сколько SRX'ов было увязано?

[kim-aa]

cameron,

Нет, в большом продуктиве я его не использовал. Только макетки.
На данную технологию я наткнулся когда искал конкурента Cisco DMVPN.

Технология эта относительно новая для Junos и тем интереснее услышать отзыв больших провайдеров.

Нельзя ли узнать, чем именно она не пофартила Ростелекому?

[cameron]

Цитата kim-aa:

Нельзя ли узнать, чем именно она не пофартила Ростелекому? »

насколько я знаю у них в принципе нет особо SRX и group VPN, но на тестовых стендах что-то не пошло, подробностей я не знаю, к сожалению.

[denisz]

Цитата kim-aa:

А точно должны? Вы где-нибудь данные маршруты прописывали? »

Там же есть маршрут

Код:

routing-options {
    static {
        route 192.168.2.0/24 next-hop st0.2;
}

и если пинговать с этого джунипера друнипер 192.168.2.1, то ничего не выходит. Такое чувство, что принимающий джунипер отбрасывает пинг, хотя у него все протоколы в политике разрешены. Но если этот джунипер пинговать откуда угодно с отличного от джунипера устройства, то все работает Мистика

Адреса 10.0.0.х (которые назначены тоннелям) тоже не пингуются. Не пингуются ни откуда. Но в трайсроуте присутствуют

Код:

security-zone vpn_zone {
            address-book {
                ...
                address addr_192_168_2_0--24 192.168.2.0/24;
                ...
            }
            host-inbound-traffic {
                system-services {
                    all;
                }
              {
               protocols 
                    all;
              }
            }
            interfaces {
                ...
                st0.2;
                ...
            }

[cameron]

denisz,
я же вам подсказала
ping XXX source

[denisz]

Цитата cameron:

denisz, я же вам подсказала ping XXX source »

cameron, Спасибо, сначала не понял что за source Запинговал)