Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Juniper Dynamic VPN

Автор: rosamor
Дата сообщения: 13.04.2015 11:54
Здравствуйте!

Пытаюсь настроить Dynamic VPN по схеме клиент --> Интернет --> SRX --> Интернет.

Т.е. необходимо из любой точки мира подключаться через интернет к SRX используя VPN и дальше чтобы весь трафик шёл через SRX.

1. Сделал начальную настройку habrahabr.ru/post/166897/

2. Настроил Dynamic VPN по www.juniper.net/techpubs/en_US/junos12.1...ple-configuring.html

и тут начался затык.

а) Из вне я подключаюсь нормально к SRX.

б) Junos Pulse получает IP адрес, маску и DNS. Странность в маске, она имеет значение 255.255.255.255 и хост SRX не пингуется.


Как можно реализовать данную задачу? Куда копать дальше?
Автор: vertex4
Дата сообщения: 13.04.2015 13:26
rosamor
а) локальные ресурсы пингуются?
б) так и должно быть © (proxy-arp есть же, если в этой же подсети IP получен?)

конфиг под тегом [no][more][/more][/no] (пароли и базовые настройки убери, белый IP поменяй на что-нибудь типа 1.1.1.1)
PS: remote-protected-resources, policies, и другие причины... как-то сегодня телепатические способности плохо работают

Добавлено:
rosamor
Тут по пунктам делал? на каком этапе остановился?
> show security flow session source-prefix <твой IP из пула VPN>/32
Автор: rosamor
Дата сообщения: 13.04.2015 16:53
vertex4

Локальный ресурс пока сам SRX (192.168.1.1). Не пингуется.

Конфиг
[more]
## Last changed: 2015-04-09 16:21:53 GMT+4
version 12.1X44-D45.2;
system {
host-name jun0;
root-authentication {
encrypted-password "";
}
name-server {
208.67.222.222;
208.67.220.220;
8.8.8.8;
8.8.4.4;
}
services {
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface vlan.0;
}
https {
system-generated-certificate;
interface vlan.0;
}
}
dhcp {
router {
192.168.1.1;
}
pool 192.168.1.0/24 {
address-range low 192.168.1.2 high 192.168.1.100;
}
propagate-settings vlan.0;
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
interface-range interfaces-trust {
member-range ge-0/0/1 to ge-0/0/7;
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/0 {
unit 0 {
family inet {
address 1.1.1.56/25;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/4 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/7 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.33;
}
}
protocols {
stp;
}
security {
ike {
policy ike-dyn-vpn-policy {
mode aggressive;
proposal-set standard;
pre-shared-key ascii-text "";
}
gateway dyn-vpn-local-gw {
ike-policy ike-dyn-vpn-policy;
dynamic {
hostname dynvpn;
connections-limit 10;
ike-user-type group-ike-id;
}
external-interface ge-0/0/0.0;
xauth access-profile dyn-vpn-access-profile;
}
}
ipsec {
policy ipsec-dyn-vpn-policy {
proposal-set standard;
}
vpn dyn-vpn {
ike {
gateway dyn-vpn-local-gw;
ipsec-policy ipsec-dyn-vpn-policy;
}
}
}
dynamic-vpn {
access-profile dyn-vpn-access-profile;
clients {
all {
remote-protected-resources {
192.168.1.0/24;
}
remote-exceptions {
0.0.0.0/0;
}
ipsec-vpn dyn-vpn;
user {
client1;
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}

}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone trust {
policy trust-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dyn-vpn-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn dyn-vpn;
}
}
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
ping;
ssh;
ike;
https;
}
}
}
}
}
}
}
access {
profile dyn-vpn-access-profile {
client client1 {
firewall-user {
password "";
}
}
address-assignment {
pool dyn-vpn-address-pool;
}
}
address-assignment {
pool dyn-vpn-address-pool {
family inet {
network 192.168.1.0/24;
range dvpn-range {
low 192.168.1.101;
high 192.168.1.110;
}
xauth-attributes {
primary-dns 8.8.8.8/32;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile dyn-vpn-access-profile;
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
[/more]

Добавлено:
vertex4

Я встрял, что маска на интерфейсе Juniper Pulse 255.255.255.255. И, я так думаю, из-за этого и не пингуется 192.168.1.1

На форуме Juniper есть тема с маской http://forums.juniper.net/t5/SRX-Services-Gateway/Pulse-Clients-Getting-Wrong-Subnet-Mask/td-p/140005 но решения нет, кроме как откатится до unOS 11.1 R4.4 так пишут по крайней мере
Автор: vertex4
Дата сообщения: 13.04.2015 20:51
rosamor
для пинга SRX'а:

Код: set security nat proxy-arp interface vlan.0 address 192.168.1.101/32 to 192.168.1.110/32
Автор: rosamor
Дата сообщения: 14.04.2015 19:38
vertex4


Код:
set security nat proxy-arp interface vlan.0 address 192.168.1.101/32 to 192.168.1.110/32
Автор: rosamor
Дата сообщения: 16.04.2015 17:23
изменил ip внутренней сети. Локальная сеть 10.0.0.1/24, VPN pool 10.0.1.1-10

Хост SRX (10.0.0.1) пингуется, а например хост локального компьютера 10.0.0.2 не пингуется. Но

show security flow session source-prefix 10.0.1.1
Session ID: 9503, Policy name: dyn-vpn-policy/6, Timeout: 34, Valid
In: 10.0.1.1/8149 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8149;icmp, If: vlan.0, Pkts: 0, Bytes: 0

Session ID: 9513, Policy name: dyn-vpn-policy/6, Timeout: 38, Valid
In: 10.0.1.1/8150 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8150;icmp, If: vlan.0, Pkts: 0, Bytes: 0

Session ID: 9525, Policy name: dyn-vpn-policy/6, Timeout: 44, Valid
In: 10.0.1.1/8151 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8151;icmp, If: vlan.0, Pkts: 0, Bytes: 0

Session ID: 9535, Policy name: dyn-vpn-policy/6, Timeout: 48, Valid
In: 10.0.1.1/8152 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8152;icmp, If: vlan.0, Pkts: 0, Bytes: 0
Total sessions: 4


И не пингуется с компьютера 10.0.0.2 хост VPN клиента 10.0.1.1
Автор: SinClaus
Дата сообщения: 17.04.2015 12:50
Для отладки с VPN удобно сделать отдельную зону VPN, тогда яснее видно как рисовать политики.

По логу: у хоста 10.0.0.2 defaul gateway куда показывает?
Автор: rosamor
Дата сообщения: 17.04.2015 14:13
SinClaus

Не по логу, а по получаемым настройкам 10.0.0.1

Вчера прицепил реальный IP, и 10.0.0.1 перестал пинговаться.
Автор: rosamor
Дата сообщения: 21.04.2015 17:26
Кое что удалось.

1. Хост SRX пингуется из VPN клиента.
2. Внутренние хосты тоже пингуются из VPN клиента.
3. Из внутренних хостов VPN клиент не пингуется. Даже из SRX.

Страницы: 1

Предыдущая тема: DistributedCOM, 10010


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.