Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Железо » Сетевое оборудование » VPN/Firewall - VPN на Juniper`ах SRX

« Первая < Предыдущая 2 3 4
Ответить
Настройки темы
VPN/Firewall - VPN на Juniper`ах SRX

Аватара для denisz

Пользователь


Сообщения: 94
Благодарности: 1


Конфигурация

Профиль | Отправить PM | Цитировать

Изменения
Автор: denisz
Дата: 13-07-2012
Господа, добрый вечер
Знатоки Junos подскажите как решить проблему или пните в нужную сторону. Раньше не имел дела с такими железками, как-то все провайдер на себя брал. Сам я Windows`зятник
А сейчас в руки попали Juniper SRX210 и несколько SRX100. Всю документацию на русском проштудировал, на английском в силу несильного знания языка тоже.
После такого количества информации, поступившей мне в голову, может быть что-то не указал в теме - не ругайте Мозг кипит уже
Что имеем:
- главный офис с сетью 192.168.4.0/24. DNS 192.168.4.2/24 (AD,TS,DHCP). Есть ISA Server 192.168.4.254, в него входит инет и входит лан. Внешний IP 10.10.10.4
- первый удаленный офис с сетью 192.168.5.0/24. С дополнительным КД и DNS 192.168.5.2/24. Внешний IP 10.10.10.5
- второй удаленный офис с сетью 192.168.6.0/24. С дополнительным КД и DNS 192.168.6.2/24. Внешний IP 10.10.10.6
- все клиенты главного офиса и удаленных ходят в интернет через ISA Server - ну это пока не так важно
- в fe-0/0/0 вставлен инетернет. В fe-0/0/1 вставлена сеть. Остальные fe не нужны, но пускай будут ethernet-swiching.
Разницы особой кроме пропускной способности между SRX 210 и SRX100 для моего случая вроде нет - поэтому тоже не принципиально, пусть все будут SRX100 в данном примере.
Вопросы поступают по мере углубления Пока думаю только про настройку Junipera в первом удаленном офисе. Есть конфиг. Будет ли он работать? Можно ли что-то добавить или убрать?
По ходу чтения кода не всё складывается - уверен, что вагон ошибок.
Код: Выделить весь код
version 10.4R6.5;
system {
    host-name gwa;
    domain-name local.int;
    root-authentication {
        encrypted-password "12345"; ## SECRET-DATA
    }
    name-server {
	192.168.5.2;
        192.168.4.2;
    }
    login {
        user admin {
            uid 2000;
            class super-user;
            authentication {
                encrypted-password "12345"; ## SECRET-DATA
            }
        }
    }
    services {
        ssh;
    }
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
    max-configurations-on-flash 5;
    max-configuration-rollbacks 20;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
    ntp {
        server 192.168.4.2;
    }
}
interfaces {
    interface-range interfaces-trust {
        member fe-0/0/1;
        member fe-0/0/2;
        member fe-0/0/3;
        member fe-0/0/4;
        member fe-0/0/5;
        member fe-0/0/6;
        member fe-0/0/7;
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-trust;
                }
            }
        }
    }
    fe-0/0/0 {
        unit 0 {
            family inet {
                address 192.168.5.1/24;
            }
        }
    }
    st0 {
        unit 0 {
            family inet {
                address 10.0.0.5/32;
            }
        }
    }
    vlan {
        unit 0 {
            family inet {
                address 192.168.5.1/24;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 10.10.10.10;
        route 192.168.4.0/24 next-hop st0.0;
        route 192.168.6.0/24 next-hop st0.0;
    }
}
protocols {
    stp;
}
security {
    ike {
        traceoptions {
            flag all;
            flag policy-manager;
            flag ike;
            flag routing-socket;
        }
        proposal P1-AES {
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
        }
        policy ike-policy-1 {
            mode main;
            proposals P1-AES;
            pre-shared-key ascii-text "12345"; ## SECRET-DATA
        }
        gateway gw1 {
            ike-policy ike-policy-1;
            address 192.168.5.1;
            external-interface fe-0/0/0.0;
        }
    }
    ipsec {
        proposal P2-AES {
            protocol esp;
            authentication-algorithm hmac-sha1-96;
            encryption-algorithm aes-128-cbc;
        }
        policy ipsec-policy-1 {
            perfect-forward-secrecy {
                keys group2;
            }
            proposals P2-AES;
        }
        vpn vpn1 {
            bind-interface st0.0;
            ike {
                gateway gw1;
                proxy-identity {
                    local 192.168.4.0/24;
                    remote 192.168.5.0/24;
                    service any;
                }
                ipsec-policy ipsec-policy-1;
            }
            establish-tunnels immediately;
        }
	vpn vpn2 {
            bind-interface st0.0;
            ike {
                gateway gw1;
                proxy-identity {
                    local 192.168.6.0/24;
                    remote 192.168.5.0/24;
                    service any;
                }
                ipsec-policy ipsec-policy-1;
            }
            establish-tunnels immediately;
        }
    }
    nat {
        source {
            rule-set trust-to-untrust {
                from zone trust;
                to zone untrust;
                rule source-nat-rule {
                    match {
                        source-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.0;
            }
        }
        security-zone untrust {
            screen untrust-screen;
            interfaces {
                fe-0/0/0.0 {
                    host-inbound-traffic {
                        system-services {
                            dhcp;
                            tftp;
                        }
                    }
                }
                fe-0/0/1.0;
            }
        }
    }
    policies {
        from-zone trust to-zone untrust {
            policy trust-to-untrust {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
            policy policy-name {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
}
vlans {
    vlan-trust {
        vlan-id 3;
        l3-interface vlan.0;
    }
}

Отправлено: 01:13, 13-07-2012

 

Аватара для kim-aa

Назгул


Сообщения: 2633
Благодарности: 345

Профиль | Отправить PM | Цитировать

Цитата denisz:
и если пинговать с этого джунипера друнипер 192.168.2.1, то ничего не выходит. Такое чувство, что принимающий джунипер отбрасывает пинг, хотя у него все протоколы в политике разрешены. Но если этот джунипер пинговать откуда угодно с отличного от джунипера устройства, то все работает Мистика »
Смысл такого поведения кроется в алгоритме команды "Ping" и отработке ее маршрутизатором (точнее как вендор заставляет ее отрабатывать).

а) Согласно стандарту, получив ICMP-запрос, узел обязан поменять местами поля Отправитель и Получатель и сформировать ICMP-ответ.
Вот тут и кроются возможные чудеса. Чудеса связаны с тем, какой именно адрес выбирает маршрутизатор-отправитель для отправки ICMP запроса. Видимо у Juniper выбирается, что-то "неудобоваримое" и маршрутизатор-получатель не может обнаружить маршрут ответа и "дропает" пакет.

Кстати, у Циско может быть зеркально обратная ситуация: когда соседний маршрутизатор, можно будет пропинговать только с маршрутизатора, а со всех остальных нельзя.

б) Короткое итого: пакеты "дропаются" не фаерволом, а процессом маршрутизации (все почему-то забывают про него, а он первый подозреваемый).
Причем "дропаться" они могут сразу на маршрутизаторе-отправителе, а не обязательно на получателе как я описал выше.
Полноценная отладка таких вещей у Cisco, знания как минимум CCNA.
У Juniper - JNCIA, а лучше JNCIS.


в) для контроля таких чудес у используют:
- у Cisco - расширенный ping
- у Juniper - ping с указанием источника

технически это одно и то же, а именно сформировать ICMP пакет, где адрес отправителя вы задаете руками.
Это очень удобно для проверки маршрутизации, вам не нужен еще один хост для генерации проверочного трафика.

-------
Мы овладеваем более высоким стилем спора. Спор без фактов. Спор на темпераменте. Спор, переходящий от голословного утверждения на личность партнера. (c)Жванецкий

Последний раз редактировалось kim-aa, 01-08-2012 в 00:57.

Это сообщение посчитали полезным следующие участники:

Отправлено: 00:46, 01-08-2012 | #31



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для denisz

Пользователь


Сообщения: 94
Благодарности: 1

Профиль | Отправить PM | Цитировать

kim-aa, спасибо Вам за столь подробный ответ

Отправлено: 11:54, 04-08-2012 | #32


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

Добрый день. Господа знатоки, подскажите пожалуйста, возможна ли для реализации на джуниперах такая схема:
У нас есть два офиса. они связаны по впн между двумя джуниперами SRX240. На днях открылся новый офис3. Там нет джунипера. Юзеры конектятся в офис1 по динамик впн.
в офисе1 две подсети 1 и 3. в офисе2 подсеть 4. Какие настройки нужно прописать. чтобы юзеры из офиса3 подключаясь по дин-впн, могли попадать в впн между офисами1 и 2 и работать на серверах офиса2? Вчера пол дня проковырялся, ничего не получается. Может это в принципе не возможно?

Отправлено: 07:47, 07-11-2014 | #33


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

Цитата victorius:
Там нет джунипера »
IPsec Site-to-site VPN можно поднять почти с чем угодно.
Цитата victorius:
Какие настройки нужно прописать. чтобы юзеры из офиса3 подключаясь по дин-впн, могли попадать в впн между офисами1 и 2 и работать на серверах офиса2? Вчера пол дня проковырялся, ничего не получается. »
прописать сабнет нового офиса в security policies обоих джунов, на джуне офиса 2 ещё прописать маршрутизацию этой сети через существующий туннельный интерфейс.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Отправлено: 09:39, 07-11-2014 | #34


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата:
IPsec Site-to-site VPN можно поднять почти с чем угодно.
Из офиса3 люди подключаются на джун офиса1 посредством встроенного в джунипер впн клиента. Этот впн клиент прекрасно работает при подключению к офису1, а в офис два уже между джунами настроен впн и получется так. что пользователь. должен из динвпн попапсть в тунель между офисом 1 и 2.

Цитата:
прописать сабнет нового офиса в security policies обоих джунов, на джуне офиса 2 ещё прописать маршрутизацию этой сети через существующий туннельный интерфейс.
Сабнет нового офиса? но джун-офис1 пускает их как дин-впн клиентов. к себе.
Я добился того. что из офиса3, трэйс попадает на шлюз офиса1, но почемуто дольше трейс уходит в интернет, а не в дин-тунель (((( дальше познания не позволяют.
люди из офиса1 ходят без проблем в офис2 и офис два гуляет по двум сабнетам офиса1.

Отправлено: 12:29, 07-11-2014 | #35


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

Цитата victorius:
Из офиса3 люди подключаются на джун офиса1 посредством встроенного в джунипер впн клиента. Этот впн клиент прекрасно работает при подключению к офису1, а в офис два уже между джунами настроен впн и получется так. что пользователь. должен из динвпн попапсть в тунель между офисом 1 и 2. »
я поняла это.
Цитата victorius:
Сабнет нового офиса? но джун-офис1 пускает их как дин-впн клиентов. к себе.
Я добился того. что из офиса3, трэйс попадает на шлюз офиса1, но почемуто дольше трейс уходит в интернет, а не в дин-тунель (((( дальше познания не позволяют.
люди из офиса1 ходят без проблем в офис2 и офис два гуляет по двум сабнетам офиса1. »
чем я могу вам помочь?

эмпирический ответ на эмпирический вопрос я вам написала.
дальше - дело ваше.
Цитата victorius:
к себе. »
лучше выделить сеточку, тогда многое прояснится.

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Отправлено: 12:40, 07-11-2014 | #36


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

Возможно я не совсем ясно выражаюсь. ))
офис1: сети 192.168.2.0/24 и 192.168.3.0/24
офис2: сеть 192.168.4.0/24
Между офисами статик впн посредством джуниперов.
открылся офис3.
Сеть: 192.168.5.0/24 и дин-впн которому джунипер офис1 выдает пул адресов 10.10.12.х
так вот трэйс на 10.10.12.х из офиса2 доходит до офиса1 и потом уходит на интернет шлюз и дальше во всемирную паутину.
Что я не так прописал или не дописал? Может Вам показать какие либо настройки?

Отправлено: 13:10, 07-11-2014 | #37


Аватара для cameron

Ветеран


Сообщения: 4677
Благодарности: 1092

Профиль | Отправить PM | Цитировать

Цитата victorius:
Может Вам показать какие либо настройки? »
>sho rou
>sho conf routing-options | disp set
>sho conf sec pol | disp set
>sho conf sec zon | disp set

-------
в личке я не консультирую и не отвечаю на профессиональные вопросы. для этого есть форум.

Отправлено: 14:17, 07-11-2014 | #38


Новый участник


Сообщения: 6
Благодарности: 0

Профиль | Отправить PM | Цитировать

Цитата cameron:
>sho rou
>sho conf routing-options | disp set
>sho conf sec pol | disp set
>sho conf sec zon | disp set »
Добрый день. Прикладываю настройки, я лишнее поубирал. оставил только касающееся конкретного вопроса. Если что, спрашивайте.
show configuration routing-options | display set
set routing-options interface-routes rib-group inet inside
set routing-options static route 0.0.0.0/0 next-table ISP1.inet.0
set routing-options static route 192.168.65.0/24 next-hop gr-0/0/0.0
set routing-options static route 192.168.3.22/32 next-hop 192.168.3.3
set routing-options rib-groups inside import-rib inet.0
set routing-options rib-groups inside import-rib TRUST-VRF.inet.0
set routing-options rib-groups inside import-rib ISP1.inet.0
set routing-options rib-groups inside import-rib ISP2.inet.0
set routing-options router-id 192.168.67.7


> show configuration security policies | display set
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match source-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match application junos-icmp-all
set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping then permit
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match source-address LAN_network_67
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone trust policy VPN-Access match source-address any
set security policies from-zone untrust to-zone trust policy VPN-Access match destination-address LAN_network_67
set security policies from-zone untrust to-zone trust policy VPN-Access match application any
set security policies from-zone untrust to-zone trust policy VPN-Access then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match application any
set security policies from-zone trust to-zone trust policy trust-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address vpn_net_10
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match destination-address LAN_network_67
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match application any
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-init
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-close
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match source-address LAN_network_67
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address vpn_net_10
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match application any
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER then permit
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match destination-address DMZ_network_65
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match application any
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ then permit
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match source-address DMZ_network_65
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match application any
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER then permit
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match source-address DMZ_network_65
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match application any
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match source-address any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match destination-address DMZ_network_65
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match application any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match source-address DYN-VPN-CLients
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match application any
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match application any
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN then permit



> show configuration security policies | display set
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match source-address LAN_network_67
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match application any
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone trust policy VPN-Access match source-address any
set security policies from-zone untrust to-zone trust policy VPN-Access match destination-address LAN_network_67
set security policies from-zone untrust to-zone trust policy VPN-Access match application any
set security policies from-zone untrust to-zone trust policy VPN-Access then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any
set security policies from-zone trust to-zone trust policy trust-to-trust match application any
set security policies from-zone trust to-zone trust policy trust-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address vpn_net_10
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match destination-address LAN_network_67
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match application any
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then permit
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-init
set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-close
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match source-address LAN_network_67
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address vpn_net_10
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match application any
set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER then permit
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match destination-address DMZ_network_65
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match application any
set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ then permit
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match source-address DMZ_network_65
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match application any
set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER then permit
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match source-address DMZ_network_65
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match application any
set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN then permit
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match source-address any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match destination-address DMZ_network_65
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match application any
set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match source-address DYN-VPN-CLients
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match destination-address DATACENTER_network_69
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match application any
set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER then permit tunnel ipsec-vpn VPN-Users
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match source-address DATACENTER_network_69
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match destination-address DYN-VPN-CLients
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match application any
set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN then permit


show configuration security zones | display set
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces vlan.0
set security zones security-zone trust interfaces ge-0/0/1.0
set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols ospf
set security zones security-zone trust interfaces lo0.0 host-inbound-traffic system-services all
set security zones security-zone untrust screen untrust-screen
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike
set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services https
set security zones security-zone DMZ host-inbound-traffic system-services all
set security zones security-zone DMZ host-inbound-traffic protocols all
set security zones security-zone DMZ interfaces ge-0/0/15.0
set security zones security-zone vpn-DATACENTER host-inbound-traffic system-services all
set security zones security-zone vpn-DATACENTER host-inbound-traffic protocols all
set security zones security-zone vpn-DATACENTER interfaces st0.0

Отправлено: 11:48, 10-11-2014 | #39

« Первая < Предыдущая 2 3 4


Компьютерный форум OSzone.net » Железо » Сетевое оборудование » VPN/Firewall - VPN на Juniper`ах SRX

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Router - Juniper SSG 5 - перенаправления HTTP трафика на определённый хост exo Сетевое оборудование 0 09-12-2011 19:35
Cisco - <INFO, Juniper, Vyatta, IOS> kim-aa Сетевое оборудование 1 04-04-2010 13:12
VPN - juniper firewall как наладить роутинг Flick Сетевые технологии 1 26-08-2008 16:48


« Предыдущая тема | Следующая тема »


 
Переход