|
VPN на Juniper`ах SRX
Господа, добрый вечер
Знатоки Junos подскажите как решить проблему или пните в нужную сторону. Раньше не имел дела с такими железками, как-то все провайдер на себя брал. Сам я Windows`зятник А сейчас в руки попали Juniper SRX210 и несколько SRX100. Всю документацию на русском проштудировал, на английском в силу несильного знания языка тоже. После такого количества информации, поступившей мне в голову, может быть что-то не указал в теме - не ругайте :) Мозг кипит уже :) Что имеем: - главный офис с сетью 192.168.4.0/24. DNS 192.168.4.2/24 (AD,TS,DHCP). Есть ISA Server 192.168.4.254, в него входит инет и входит лан. Внешний IP 10.10.10.4 - первый удаленный офис с сетью 192.168.5.0/24. С дополнительным КД и DNS 192.168.5.2/24. Внешний IP 10.10.10.5 - второй удаленный офис с сетью 192.168.6.0/24. С дополнительным КД и DNS 192.168.6.2/24. Внешний IP 10.10.10.6 - все клиенты главного офиса и удаленных ходят в интернет через ISA Server - ну это пока не так важно - в fe-0/0/0 вставлен инетернет. В fe-0/0/1 вставлена сеть. Остальные fe не нужны, но пускай будут ethernet-swiching. Разницы особой кроме пропускной способности между SRX 210 и SRX100 для моего случая вроде нет - поэтому тоже не принципиально, пусть все будут SRX100 в данном примере. Вопросы поступают по мере углубления :) Пока думаю только про настройку Junipera в первом удаленном офисе. Есть конфиг. Будет ли он работать? Можно ли что-то добавить или убрать? По ходу чтения кода не всё складывается - уверен, что вагон ошибок. Код:
version 10.4R6.5; |
1) Вот это читали?
По Динамическому VPN http://www.juniper.net/elqNow/elqRed...3500202-en.pdf По типовым настройкам http://www.juniper.net/elqNow/elqRed...3500153-en.pdf 2) У вас есть возможность собрать рабочую схему "на столе". Т.е. Juniper'ыу вас на руках? 3) Вы по NAT читали? http://www.juniper.net/elqNow/elqRed...3500151-en.pdf У вас "untrust" зона описана двумя интерфейсами. NAT же описан для перехода между зонами с присваиванием IP внешнего интерфейса. Так и задумано? 4) Схему начертите Обсуждать и , особенно, настраивать сеть по текстовым материалам дурная привычка, ведущая к командировкам :) |
Вложений: 1
kim-aa, я только вчера о Вас вспоминал. Я просил у Вас в icq поделиться документацией по Juniper где-то год (!) назад. Вчера я вспомнил, что Вы мне эту документацию высылали. И я ее долго искал и нашел :) Прочитал еще раз. И вот Вы тут )) Неожиданно))
А по теме: - начертил схему в кореле. Сто лет не юзал корел - извиняюсь :) - конфиг прилагаю. Он у всех офисов по идее одинаковый. В данном примере конфиг от Джунипера 192.168.5.1/24 - куда и как цеплять сервер с ISA Server 192.168.4.254/24, который натит и управляет трафиком всех офисов? Код:
version 10.4R6.5; |
Прошу паузу, конфиг неверный
По ходу вопрос. Можно ли всем st одного Джунипера (st0.0, st0.1, st0.2, и т.д.) присвоить один и тот же IP адрес? По идее наверняка же можно, да? Цитата:
|
denisz,
1) Я, перерисую в понедельник на работе схему в визио для удобства, псле этого будет более удобно ее комментить. 2) По поводу подключения ISA. Все зависит как именно вы хотите ее использовать. Сразу скажу, что шибко в ISA не волоку, по этому опишу классические схемы не зависимые от ПО, групповых политик и прочего шаманизма а) Вы хотите чтобы через ISA ходил ВЕСЬ трафик Для этого ее необходимо сделать шлюзом по умолчанию, по крайней мере для рабочих станций. Варианты: а1) Последовательная схема {LAN} <---> [ISA]<--->{Служебная сеть}<-----> [Juniper] <-----> {Inet} a2) Схема с "одноноруким" маршрутизатором (буржуи еще ее называют "маршрутизатор-на-палочке", но на русском это достаточно ассоциативно-негативно :) Смысл идеи таков: - ISA может жить в той же сети ,что и рабочие станции. Пусть ее адрес x.x.x.254 (интерфейс у ISA только один) - Juniper торчит в ту же сеть и имеет адрес x.x.x.253 - Для всех рабочих станций шлюз по умолчанию = ISA - и только для ISA шлюз по умолчанию = Juniper Логически схема получается последовательная, а физически - параллельная. б) ISA работает как прокси В этом случае ее можно запихать в отдельный DMZ-сегмент Цитата:
Верный вопрос: - как наиболее правильно и максимально удобно для дальнейшей эксплуатации, и ,возможно, разрастающейся сети. В понедельник рекомендации по Dynamic VPN перечитаю - скажу. |
По поводу ИСЫ:
Скорее всего придется ставить в главном офисе джунипер и ису отдельносмотрящими в интернет, в одной сети, со своими внешними ip-адресами. Т.о. в каждом офисе джуниперы будут шлюзами, а у джуниперов иса будет шлюзом. Но правильнее будет, наверное, как Вы сказали в а2. Завтра наверно смогу выдать итоговую схему и возможные конфиги, пока доки пытаюсь изучить |
По крайней мере в данный момент такая схема реализована у нас провайдером на его оборудовании, наверно это правильно
|
Цитата:
|
Получается схема, которая нарисована ранее + isa в подсети с адресом 192.168.4.254/24 (только подсеть 172.16.0.0/24 для vpn убрал - для простоты она пока не нужна, наверное :) )
Конфиг удаленного офиса №5 у меня получился таким: Код:
root@gw5# show | no-moreУпс не вставил другие тоннели |
Для конфигурации Маршрутизаторов удаленных офисов не забудьте маршруты указывающие во внутренние сети.
Иначе трафик не будет заворачиваться в VPN-тунель, а будет попытка отправки на маршрутизатор провайдера. В конфигурации маршрутизатора штаб-квартиры они у вас указаны так: routing-options { static { * * * route 172.16.4.0/24 next-hop st0.0; route 172.16.6.0/24 next-hop st0.1; } } |
Вложений: 1
kim-aa,
совсем итоговая схема. Рисунок во вложении (так и не понял, чем Визио выигрывает :) ) Главный офис 192.168.4.0/24 Удаленные офисы: tnc - 192.168.1.0/24, hrv - 192.168.2.0/24, ksn - 192.168.3.0/24, smr - 192.168.5.0/24, mta - 192.168.6.0/24, vgl - 192.168.9.0/24. И на рисунке расписан один удаленный офис smr с сетью 192.168.5.0/24. Остальные удаленные офисы сделаны по такой же схеме как smr Весь трафик должен идти через ISA(TMG)-сервер 192.168.4.254, висит LANом в свиче с сетью 192.168.4.0/24 и Juniperом главного офиса Не пойму правда для чего нужна сеть 10.0.0.0/24, т.к. все джуниперы из всех сетей должны быть видны как 192.168.х.1 Тунели должны быть от всех офисов ко всем офисам На рабочих станциях (и главного офиса, и удаленных) шлюзом должен быть соответствующий Джунипер. А у джуниперов шлюз сервер с Исой, как я понял. Вот конфиг для главного офиса (у всех удаленных он практически такой же) Код:
admin@nkb-gw> show configuration | no-more |
Ужас, чтобы junos обновить еще и контракт какой-то нужен...
|
Цитата:
регайтесь на сайте джунипера, указываете серийник любой вашей железки. всё, раздел Download Software целиком и полностью ваш. |
cameron, да спасибо. Веду переписку в саппортом, пока еще не разрешают моей учетке скачивать, вроде как сейчас откроют
Попробовал собрать эту схему на столе. Получилось :) Ряд вопросов правда появился. Ну это потом :) |
Не пойму почему у меня с Джунипера всё что в туннелях не пингуется. Наружу всё норм
Хотя с компьютеров в разных сетях, соединенных VPNом всё пингуется и джуниперы И все же непонятно зачем сеть 10.0.0.0/24. И если в главном офисе st0.1-st0.9 назначены IP 10.0.0.1-10.0.0.9, то в первом удаленном st0.1-st0.9 должны быть 10.0.0.10-10.0.0.16. В следующем офисе 10.0.0.17-10.0.0.22. Это принципиально? :) И надо ли это вообще? А вообще у меня туча вопросов, но мне стыдно их задавать )) Придется ковырять мануалы )) |
Цитата:
Цитата:
Цитата:
никто не мешает делать по /30 на туннель, главное что бы не было оверлапа. а вообще такое разделение крайне удобно в диагностике, пока вы этим не занимаетесь - не понять. Цитата:
там, емнип, поля подписаны и есть хелп даже. |
Dear Denis,
Thank you for your response. I checked the information regarding the SN you provided; I was able to verify that it is not registered yet to your company and not having active support contract. Please provide a seial number with active support contract so that we may be able to proceed in updating your account with the software access you requested. Please feel free to let me know if you need further assistance and I will be happy to assist. Best regards, Lily Macayan Juniper Networks, Inc. Customer Care |
denisz,
когда были куплены эти джуниперы? если более года назад, с базовой гарантией, то конечно регнуть их уже не получится. скажите какие версии джуноса вам нужны, я выложу. |
Да, год уже наверное прошел :( гарантия наверняка была базовая
Версию какую-нибудь актуальную для srx100. Я так понимаю это 12.1R2.9. Буду бесконечно благодарен :) http://www.juniper.net/support/downloads/?p=srx100#sw Вообще какое-то странное отношение Juniper к обновлению. Всего год :) |
Цитата:
моей регистрации уже года два-три, по моему. линки будут в личке. |
Ааа вот оно что
Спасибо огромное :) |
denisz,
1) Прошивки можно забирать с торрентов (что конечно не комильфо с точки зрения безопасности, но всякое бывает) http://rutracker.org/forum/viewtopic.php?t=4017214 2) Если удаленных офисов много, то лучше перейти к Dynamic VPN. Тогда все настройки производятся на корневом маршрутизаторе (Server - в терминологии DVPN), а коммутаторы удаленных офисов настраиваются однотипно. Правда в связи с динамичностью структуры, лучше маршрутизацию делать динамической (OSPF). 3) Цитата:
Не забываем про "show route" 4) Привыкайте пользоваться для отладки <traceroute> 5) Для отладки и макетирования своих художеств, рекомендую использовать JunOS для VMware (Olive) Оно прекрасно работает как под VMware Workstation, так и ESXi http://rutracker.org/forum/viewtopic.php?t=4061726 7) Цитата:
Наверное, только MS исключение :) |
Цитата:
DMVPN - сугубо кошки, аналогов, насколько я знаю, у джунов нет. Цитата:
|
Цитата:
Правильно звучит - GroupVPN http://www.juniper.net/elqNow/elqRed...3500202-en.pdf 2) Да, опечатался я. Надо читать "Маршрутизаторы", а лучше "SRX" :) |
Цитата:
скажите, вы его использовали? сколько SRX'ов было увязано? |
cameron,
Нет, в большом продуктиве я его не использовал. Только макетки. На данную технологию я наткнулся когда искал конкурента Cisco DMVPN. Технология эта относительно новая для Junos и тем интереснее услышать отзыв больших провайдеров. Нельзя ли узнать, чем именно она не пофартила Ростелекому? |
Цитата:
|
Цитата:
Код:
routing-options {Адреса 10.0.0.х (которые назначены тоннелям) тоже не пингуются. Не пингуются ни откуда. Но в трайсроуте присутствуют Код:
security-zone vpn_zone { |
denisz,
я же вам подсказала ping XXX source |
Цитата:
|
Цитата:
а) Согласно стандарту, получив ICMP-запрос, узел обязан поменять местами поля Отправитель и Получатель и сформировать ICMP-ответ. Вот тут и кроются возможные чудеса. Чудеса связаны с тем, какой именно адрес выбирает маршрутизатор-отправитель для отправки ICMP запроса. Видимо у Juniper выбирается, что-то "неудобоваримое" и маршрутизатор-получатель не может обнаружить маршрут ответа и "дропает" пакет. Кстати, у Циско может быть зеркально обратная ситуация: когда соседний маршрутизатор, можно будет пропинговать только с маршрутизатора, а со всех остальных нельзя. б) Короткое итого: пакеты "дропаются" не фаерволом, а процессом маршрутизации (все почему-то забывают про него, а он первый подозреваемый). Причем "дропаться" они могут сразу на маршрутизаторе-отправителе, а не обязательно на получателе как я описал выше. Полноценная отладка таких вещей у Cisco, знания как минимум CCNA. У Juniper - JNCIA, а лучше JNCIS. в) для контроля таких чудес у используют: - у Cisco - расширенный ping - у Juniper - ping с указанием источника технически это одно и то же, а именно сформировать ICMP пакет, где адрес отправителя вы задаете руками. Это очень удобно для проверки маршрутизации, вам не нужен еще один хост для генерации проверочного трафика. |
kim-aa, спасибо Вам за столь подробный ответ :)
|
Добрый день. Господа знатоки, подскажите пожалуйста, возможна ли для реализации на джуниперах такая схема:
У нас есть два офиса. они связаны по впн между двумя джуниперами SRX240. На днях открылся новый офис3. Там нет джунипера. Юзеры конектятся в офис1 по динамик впн. в офисе1 две подсети 1 и 3. в офисе2 подсеть 4. Какие настройки нужно прописать. чтобы юзеры из офиса3 подключаясь по дин-впн, могли попадать в впн между офисами1 и 2 и работать на серверах офиса2? Вчера пол дня проковырялся, ничего не получается. Может это в принципе не возможно? |
Цитата:
Цитата:
|
Цитата:
Цитата:
Я добился того. что из офиса3, трэйс попадает на шлюз офиса1, но почемуто дольше трейс уходит в интернет, а не в дин-тунель (((( дальше познания не позволяют. люди из офиса1 ходят без проблем в офис2 и офис два гуляет по двум сабнетам офиса1. |
Цитата:
Цитата:
эмпирический ответ на эмпирический вопрос я вам написала. дальше - дело ваше. Цитата:
|
Возможно я не совсем ясно выражаюсь. ))
офис1: сети 192.168.2.0/24 и 192.168.3.0/24 офис2: сеть 192.168.4.0/24 Между офисами статик впн посредством джуниперов. открылся офис3. Сеть: 192.168.5.0/24 и дин-впн которому джунипер офис1 выдает пул адресов 10.10.12.х так вот трэйс на 10.10.12.х из офиса2 доходит до офиса1 и потом уходит на интернет шлюз и дальше во всемирную паутину. Что я не так прописал или не дописал? Может Вам показать какие либо настройки? |
Цитата:
>sho conf routing-options | disp set >sho conf sec pol | disp set >sho conf sec zon | disp set |
Цитата:
show configuration routing-options | display set
set routing-options interface-routes rib-group inet inside
set routing-options static route 0.0.0.0/0 next-table ISP1.inet.0 set routing-options static route 192.168.65.0/24 next-hop gr-0/0/0.0 set routing-options static route 192.168.3.22/32 next-hop 192.168.3.3 set routing-options rib-groups inside import-rib inet.0 set routing-options rib-groups inside import-rib TRUST-VRF.inet.0 set routing-options rib-groups inside import-rib ISP1.inet.0 set routing-options rib-groups inside import-rib ISP2.inet.0 set routing-options router-id 192.168.67.7 > show configuration security policies | display set
set security policies from-zone trust to-zone untrust policy trust-to-untrust match destination-address any
set security policies from-zone trust to-zone untrust policy trust-to-untrust match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust then permit set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match source-address any set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match destination-address any set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping match application junos-icmp-all set security policies from-zone trust to-zone untrust policy trust-to-untrast-ping then permit set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match source-address LAN_network_67 set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN then permit set security policies from-zone untrust to-zone trust policy VPN-Access match source-address any set security policies from-zone untrust to-zone trust policy VPN-Access match destination-address LAN_network_67 set security policies from-zone untrust to-zone trust policy VPN-Access match application any set security policies from-zone untrust to-zone trust policy VPN-Access then permit tunnel ipsec-vpn VPN-Users set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address DATACENTER_network_69 set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address vpn_net_10 set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match destination-address LAN_network_67 set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match application any set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then permit set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-init set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-close set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match source-address LAN_network_67 set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address DATACENTER_network_69 set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address vpn_net_10 set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match application any set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER then permit set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match source-address DATACENTER_network_69 set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match destination-address DMZ_network_65 set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match application any set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ then permit set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match source-address DMZ_network_65 set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match destination-address DATACENTER_network_69 set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match application any set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER then permit set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match source-address DMZ_network_65 set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match application any set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN then permit set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match source-address any set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match destination-address DMZ_network_65 set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match application any set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ then permit tunnel ipsec-vpn VPN-Users set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match source-address DYN-VPN-CLients set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match destination-address DATACENTER_network_69 set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match application any set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER then permit tunnel ipsec-vpn VPN-Users set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match source-address DATACENTER_network_69 set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match destination-address DYN-VPN-CLients set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match application any set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN then permit > show configuration security policies | display set
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match source-address LAN_network_67
set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN match application any set security policies from-zone trust to-zone untrust policy trust-to-untrust-for-DYN-VPN then permit set security policies from-zone untrust to-zone trust policy VPN-Access match source-address any set security policies from-zone untrust to-zone trust policy VPN-Access match destination-address LAN_network_67 set security policies from-zone untrust to-zone trust policy VPN-Access match application any set security policies from-zone untrust to-zone trust policy VPN-Access then permit tunnel ipsec-vpn VPN-Users set security policies from-zone trust to-zone trust policy trust-to-trust match source-address any set security policies from-zone trust to-zone trust policy trust-to-trust match destination-address any set security policies from-zone trust to-zone trust policy trust-to-trust match application any set security policies from-zone trust to-zone trust policy trust-to-trust then permit set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address DATACENTER_network_69 set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match source-address vpn_net_10 set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match destination-address LAN_network_67 set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust match application any set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then permit set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-init set security policies from-zone vpn-DATACENTER to-zone trust policy vpn-DATACENTER-to-trust then log session-close set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match source-address LAN_network_67 set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address DATACENTER_network_69 set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match destination-address vpn_net_10 set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER match application any set security policies from-zone trust to-zone vpn-DATACENTER policy trust-to-vpn-DATACENTER then permit set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match source-address DATACENTER_network_69 set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match destination-address DMZ_network_65 set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ match application any set security policies from-zone vpn-DATACENTER to-zone DMZ policy vpn-DATACENTER-to-DMZ then permit set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match source-address DMZ_network_65 set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match destination-address DATACENTER_network_69 set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER match application any set security policies from-zone DMZ to-zone vpn-DATACENTER policy DMZ-to-vpn-DATACENTER then permit set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match source-address DMZ_network_65 set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match destination-address DYN-VPN-CLients set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN match application any set security policies from-zone DMZ to-zone untrust policy DMZ-to-untrust-for-DYN-VPN then permit set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match source-address any set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match destination-address DMZ_network_65 set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ match application any set security policies from-zone untrust to-zone DMZ policy untrust-DYN-VPN-to-DMZ then permit tunnel ipsec-vpn VPN-Users set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match source-address DYN-VPN-CLients set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match destination-address DATACENTER_network_69 set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER match application any set security policies from-zone untrust to-zone vpn-DATACENTER policy untrust-DYN-VPN-to-vpn-DATACENTER then permit tunnel ipsec-vpn VPN-Users set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match source-address DATACENTER_network_69 set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match destination-address DYN-VPN-CLients set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN match application any set security policies from-zone vpn-DATACENTER to-zone untrust policy vpn-DATACENTER-to-untrust-DYN-VPN then permit show configuration security zones | display set
set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all set security zones security-zone trust interfaces vlan.0 set security zones security-zone trust interfaces ge-0/0/1.0 set security zones security-zone trust interfaces ge-0/0/2.0 host-inbound-traffic protocols ospf set security zones security-zone trust interfaces lo0.0 host-inbound-traffic system-services all set security zones security-zone untrust screen untrust-screen set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ping set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services ike set security zones security-zone untrust interfaces ge-0/0/0.0 host-inbound-traffic system-services https set security zones security-zone DMZ host-inbound-traffic system-services all set security zones security-zone DMZ host-inbound-traffic protocols all set security zones security-zone DMZ interfaces ge-0/0/15.0 set security zones security-zone vpn-DATACENTER host-inbound-traffic system-services all set security zones security-zone vpn-DATACENTER host-inbound-traffic protocols all set security zones security-zone vpn-DATACENTER interfaces st0.0 |
| Время: 19:08. |
Время: 19:08.
© OSzone.net 2001-