JunOS / Juniper / Netscreen
Bolo
wannabe
Posty: 656 Rejestracja: 27 wrz 2006, 10:02
#1
#1
Post
autor: Bolo » 07 lut 2014, 11:04
Witam,
Konfiguruję właśnie VPN l2l i napotkałem na takie coś:
gdzie po .. należy wpisać IP sieci lokalnej i IP sieci remote.
Moje pytanie brzmi. Do czego to tak naprawę służy? Publikacji usług? Co mam wpisać po stronie IP sieci remote jeśli mam tam 10.10.0.0/16 oraz 172.16.0.0/16?
Będę bardzo wdzięczny za podpowiedź.
Pozdrawiam
michaliwanczuk
wannabe
Posty: 187 Rejestracja: 17 kwie 2010, 21:48
Kontakt:
#3
#3
Post
autor: michaliwanczuk » 07 lut 2014, 12:28
proxy id to jest odpowiednik crypto mapy
w twym przypadku będziesz musiał zrobić 2 fazy 2
jedną z proxy id 10.10.0.0/16 a drugą 172.16.0.0/16
niestety srx nie wspierają multi proxy id
Michał
michaliwanczuk
wannabe
Posty: 187 Rejestracja: 17 kwie 2010, 21:48
Kontakt:
#5
#5
Post
autor: michaliwanczuk » 07 lut 2014, 14:35
takie rozwiązanie miałem na myśli co podałeś link. Szkoda że na srxach nie można zrobić tak jak na platformie ISG
że podajesz kilka wpisów proxy-id
Michał
garfield
CCIE
Posty: 2882 Rejestracja: 25 sie 2006, 18:32
Lokalizacja: Gdynia
#6
#6
Post
autor: garfield » 07 lut 2014, 15:05
michaliwanczuk pisze: takie rozwiązanie miałem na myśli co podałeś link. Szkoda że na srxach nie można zrobić tak jak na platformie ISG
że podajesz kilka wpisów proxy-id
od najnowszego softu juz jest multi proxy-id - ale nie testowałem jeszcze
Remember that the lab is just looking for reachability and not “optimal reachability”.
Bolo
wannabe
Posty: 656 Rejestracja: 27 wrz 2006, 10:02
#7
#7
Post
autor: Bolo » 10 lut 2014, 14:02
chyba coś mi nie działa. Mogę poprosić na zerknięcie na configa?
Kod: Zaznacz cały
## Last changed: 2014-02-10 20:58:28 UTC
version 12.1X44.5;
system {
host-name FW-UZB;
root-authentication {
encrypted-password "$1$o1Tw1hH9$0c1BD/MYLeemqvUzmsCT0"; ## SECRET-DATA
}
name-server {
208.67.222.222;
208.67.220.220;
}
services {
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface vlan.0;
}
https {
system-generated-certificate;
interface [ vlan.0 ge-0/0/0.0 ];
}
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 49;
max-configuration-rollbacks 49;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 81.231.181.42/30;
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/3 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/4 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/5 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/7 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
st0 {
unit 0 {
multipoint;
family inet {
next-hop-tunnel 172.31.255.2 ipsec-vpn to_POL_10_50;
next-hop-tunnel 172.31.255.3 ipsec-vpn to_POL_10_40;
address 172.31.255.1/24;
}
}
}
vlan {
unit 0 {
family inet {
address 10.20.0.145/28;
}
}
}
}
routing-options {
static {
route 0.0.0.0/0 next-hop 81.231.181.41;
route 10.49.4.0/22 next-hop 10.20.0.146;
route 10.40.0.0/16 next-hop [ st0.0 172.31.255.3 ];
route 10.50.0.0/16 next-hop [ st0.0 172.31.255.2 ];
}
}
protocols {
stp;
}
security {
ike {
policy ike_pol_to_POL {
mode main;
proposal-set compatible;
pre-shared-key ascii-text "$9$GfiHq5Qn6/AP5lMXNY2jHqfFnEhrMLN6/"; ## SECRET-DATA
}
gateway gw_to_POL {
ike-policy ike_pol_to_POL;
address 81.211.11.131;
external-interface ge-0/0/0.0;
}
}
ipsec {
policy ipsec_pol_to_POL {
proposal-set compatible;
}
vpn to_POL_10_50 {
bind-interface st0.0;
ike {
gateway gw_to_POL;
proxy-identity {
local 10.49.4.0/22;
remote 10.50.0.0/16;
}
ipsec-policy ipsec_pol_to_POL;
}
establish-tunnels immediately;
}
vpn to_POL_10_40 {
bind-interface st0.0;
ike {
gateway gw_to_POL;
proxy-identity {
local 10.49.4.0/22;
remote 10.40.0.0/16;
}
ipsec-policy ipsec_pol_to_POL;
}
establish-tunnels immediately;
}
}
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule siec_10_49_4_0 {
match {
source-address 10.49.4.0/24;
}
then {
source-nat {
interface;
}
}
}
rule siec_10_49_5_0 {
match {
source-address 10.49.5.0/24;
}
then {
source-nat {
interface;
}
}
}
rule siec_10_49_6_0 {
match {
source-address 10.49.6.0/24;
}
then {
source-nat {
interface;
}
}
}
rule siec_10_49_7_0 {
match {
source-address 10.49.7.0/24;
}
then {
source-nat {
interface;
}
}
}
rule siec_10_20_0_144 {
match {
source-address 10.20.0.144/28;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
policy policy_out_to_POL {
match {
source-address [ addr_10_20_0_144_28 addr_10_49_5_0_24 addr_10_49_4_0_24 ];
destination-address [ addr_10_40_0_0_16 addr_10_50_0_0_16 ];
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy policy_in_to_POL {
match {
source-address [ addr_10_40_0_0_16 addr_10_50_0_0_16 ];
destination-address [ addr_10_20_0_144_28 addr_10_49_5_0_24 addr_10_49_4_0_24 ];
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
address-book {
address addr_10_20_0_144_28 10.20.0.144/28;
address addr_10_49_5_0_24 10.49.5.0/24;
address addr_10_49_4_0_24 10.49.4.0/24;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
address-book {
address addr_10_40_0_0_16 10.40.0.0/16;
address addr_10_50_0_0_16 10.50.0.0/16;
}
screen untrust-screen;
host-inbound-traffic {
system-services {
ike;
}
}
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
ssh;
ping;
https;
ike;
}
}
}
st0.0;
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
jarek6
wannabe
Posty: 212 Rejestracja: 07 lut 2008, 17:56
#8
#8
Post
autor: jarek6 » 10 lut 2014, 22:42
garfield pisze:
od najnowszego softu juz jest multi proxy-id - ale nie testowałem jeszcze
czy mozesz podac jakis odnosnik do dokumentacji, gdzie jest to opisane?
dzieki
Bolo
wannabe
Posty: 656 Rejestracja: 27 wrz 2006, 10:02
#9
#9
Post
autor: Bolo » 12 lut 2014, 15:59
Bolo
wannabe
Posty: 656 Rejestracja: 27 wrz 2006, 10:02
#10
#10
Post
autor: Bolo » 24 lut 2014, 15:24
Rozwiązałem problem.