CCIE.pl

to dodajesz wpis na nodach
ja tak ma zrobione

ale kto swoją drogą daje do DMZ serwer z konfigami taka mała uwaga

bo jak SRX w klastrze to interfejsem fxp0

przy klastrze 1400 comit trwa długo sprawdzałem:-)

Robisz 2 tunele bindujesz je do interfejsów st0.1 i st0.2 je dodajesz do OSPF'a z odpowiednimi metrykami.
Jak coś zapraszam na pw

w zależności co chcesz testować zawsze możesz spróbować w trybie pasywnym testować przez span port.
w takiej sytuacji możesz dać ten sam ruch na kilka IPS'ów

Jak testowałem nikt mi na produkcji nie pozwolił na "in online"

pokaż wyniki poleceń

z rób politykę w tej samej zonie z sieci 1.0/24 do 2.0/24 i na odwrót

pokaż config tego interfejsu

nie każda strefa ma taki sam priorytet.

na to wychodzi że jest ok tylko pytanie:
co się kryje pod nazwą mail1_servers
jeżeli publiczny adres to jeszcze dodaj po adresie prywatnym

TAK - kolejność jest istotna
albo będziesz logował ruch z wykorzystaniem Traceoptions
lub włącz logowanie po stronie polityki

pomocny link
http://kb.juniper.net/InfoCenter/index? ... id=KB16108

A reguly fw jak masz zrobione.
Oraz co widzisz w logach?

a jaki masz ustawiony parametr
lease time?

ja bym szukał problemu w czasie dzierżawy

robisz st0.0 w sieci połączeniowej /30
robisz gr-0/0/0 w sieci innej połączeniowej /30 oraz definiujesz source i dest z wykorzystaniem adresów st0.0

jak dla mnie gre powinno się opierać na interfejsie tunelowym a nie na loopbackup - mogę się

ale w pierwszej kolejności zmieniłbym mtu na gr-0/0/0 na 1500

to dla mnie IP NAT overload masz zrobione jeżeli mówimy o vpn'ach ktore będę na SRX to wykorzystaj już istniejący interfejs. Jeżeli chodzi o static nat to masz do zrobienia: Destination Address Translation to a Single Host przykład ze strony co już dałem link set security nat destination pool dnat-p...

tu masz link opisujący konfigurację natów
http://www.juniper.net/techpubs/en_US/j ... eries.html

dla natów statycznych zainteresuj się pojęciem proxy-arp

dla reszty możesz wykorzystać interfejs.