» Juniper Dynamic VPN

Здравствуйте!

Пытаюсь настроить Dynamic VPN по схеме клиент --> Интернет --> SRX --> Интернет.

Т.е. необходимо из любой точки мира подключаться через интернет к SRX используя VPN и дальше чтобы весь трафик шёл через SRX.

1. Сделал начальную настройку habrahabr.ru/post/166897/

2. Настроил Dynamic VPN по www.juniper.net/techpubs/en_US/junos12.1...ple-configuring.html

и тут начался затык.

а) Из вне я подключаюсь нормально к SRX.

б) Junos Pulse получает IP адрес, маску и DNS. Странность в маске, она имеет значение 255.255.255.255 и хост SRX не пингуется.


Как можно реализовать данную задачу? Куда копать дальше?

rosamor
а) локальные ресурсы пингуются?
б) так и должно быть © (proxy-arp есть же, если в этой же подсети IP получен?)

конфиг под тегом [no][more][/more][/no] (пароли и базовые настройки убери, белый IP поменяй на что-нибудь типа 1.1.1.1)
PS: remote-protected-resources, policies, и другие причины... как-то сегодня телепатические способности плохо работают

Добавлено:
rosamor
Тут по пунктам делал? на каком этапе остановился?
> show security flow session source-prefix <твой IP из пула VPN>/32

vertex4

Локальный ресурс пока сам SRX (192.168.1.1). Не пингуется.

Конфиг
[more]
## Last changed: 2015-04-09 16:21:53 GMT+4
version 12.1X44-D45.2;
system {
host-name jun0;
root-authentication {
encrypted-password "";
}
name-server {
208.67.222.222;
208.67.220.220;
8.8.8.8;
8.8.4.4;
}
services {
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface vlan.0;
}
https {
system-generated-certificate;
interface vlan.0;
}
}
dhcp {
router {
192.168.1.1;
}
pool 192.168.1.0/24 {
address-range low 192.168.1.2 high 192.168.1.100;
}
propagate-settings vlan.0;
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
interface-range interfaces-trust {
member-range ge-0/0/1 to ge-0/0/7;
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/0 {
unit 0 {
family inet {
address 1.1.1.56/25;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/4 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/5 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
ge-0/0/7 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 1.1.1.33;
}
}
protocols {
stp;
}
security {
ike {
policy ike-dyn-vpn-policy {
mode aggressive;
proposal-set standard;
pre-shared-key ascii-text "";
}
gateway dyn-vpn-local-gw {
ike-policy ike-dyn-vpn-policy;
dynamic {
hostname dynvpn;
connections-limit 10;
ike-user-type group-ike-id;
}
external-interface ge-0/0/0.0;
xauth access-profile dyn-vpn-access-profile;
}
}
ipsec {
policy ipsec-dyn-vpn-policy {
proposal-set standard;
}
vpn dyn-vpn {
ike {
gateway dyn-vpn-local-gw;
ipsec-policy ipsec-dyn-vpn-policy;
}
}
}
dynamic-vpn {
access-profile dyn-vpn-access-profile;
clients {
all {
remote-protected-resources {
192.168.1.0/24;
}
remote-exceptions {
0.0.0.0/0;
}
ipsec-vpn dyn-vpn;
user {
client1;
}
}
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}

}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone trust {
policy trust-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy dyn-vpn-policy {
match {
source-address any;
destination-address any;
application any;
}
then {
permit {
tunnel {
ipsec-vpn dyn-vpn;
}
}
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
ping;
ssh;
ike;
https;
}
}
}
}
}
}
}
access {
profile dyn-vpn-access-profile {
client client1 {
firewall-user {
password "";
}
}
address-assignment {
pool dyn-vpn-address-pool;
}
}
address-assignment {
pool dyn-vpn-address-pool {
family inet {
network 192.168.1.0/24;
range dvpn-range {
low 192.168.1.101;
high 192.168.1.110;
}
xauth-attributes {
primary-dns 8.8.8.8/32;
}
}
}
}
firewall-authentication {
web-authentication {
default-profile dyn-vpn-access-profile;
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
[/more]

Добавлено:
vertex4

Я встрял, что маска на интерфейсе Juniper Pulse 255.255.255.255. И, я так думаю, из-за этого и не пингуется 192.168.1.1

На форуме Juniper есть тема с маской http://forums.juniper.net/t5/SRX-Services-Gateway/Pulse-Clients-Getting-Wrong-Subnet-Mask/td-p/140005 но решения нет, кроме как откатится до unOS 11.1 R4.4 так пишут по крайней мере

rosamor
для пинга SRX'а:

Код: set security nat proxy-arp interface vlan.0 address 192.168.1.101/32 to 192.168.1.110/32

vertex4


Код:
set security nat proxy-arp interface vlan.0 address 192.168.1.101/32 to 192.168.1.110/32

изменил ip внутренней сети. Локальная сеть 10.0.0.1/24, VPN pool 10.0.1.1-10

Хост SRX (10.0.0.1) пингуется, а например хост локального компьютера 10.0.0.2 не пингуется. Но

show security flow session source-prefix 10.0.1.1
Session ID: 9503, Policy name: dyn-vpn-policy/6, Timeout: 34, Valid
In: 10.0.1.1/8149 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8149;icmp, If: vlan.0, Pkts: 0, Bytes: 0

Session ID: 9513, Policy name: dyn-vpn-policy/6, Timeout: 38, Valid
In: 10.0.1.1/8150 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8150;icmp, If: vlan.0, Pkts: 0, Bytes: 0

Session ID: 9525, Policy name: dyn-vpn-policy/6, Timeout: 44, Valid
In: 10.0.1.1/8151 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8151;icmp, If: vlan.0, Pkts: 0, Bytes: 0

Session ID: 9535, Policy name: dyn-vpn-policy/6, Timeout: 48, Valid
In: 10.0.1.1/8152 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8152;icmp, If: vlan.0, Pkts: 0, Bytes: 0
Total sessions: 4


И не пингуется с компьютера 10.0.0.2 хост VPN клиента 10.0.1.1

Для отладки с VPN удобно сделать отдельную зону VPN, тогда яснее видно как рисовать политики.

По логу: у хоста 10.0.0.2 defaul gateway куда показывает?

SinClaus

Не по логу, а по получаемым настройкам 10.0.0.1

Вчера прицепил реальный IP, и 10.0.0.1 перестал пинговаться.

Кое что удалось.

1. Хост SRX пингуется из VPN клиента.
2. Внутренние хосты тоже пингуются из VPN клиента.
3. Из внутренних хостов VPN клиент не пингуется. Даже из SRX.