IPSEC VPN

JunOS / Juniper / Netscreen
Wiadomość
Autor
Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

IPSEC VPN

#1

#1 Post autor: Bolo »

Witam,
Mam oto taki problem. Mam Site z adresacją: 192.168.67.0/24 oraz site z adresami: 10.0.0.0/23 oraz 10.0.5.0/24
tunel sie zestawia wszystko niby ok ale:

1. ping z 10.0.5.0/24 do 192.168.67.0/24 = ok
2. ping z 10.0.0.0/23 do 192.168.67.0/24 = nie działa

po restarcie srx-a pojawia się problem że nic nie działa po restarcie ponownym wstaje tunel i np ruch jest odwrotnie czyli:

1. ping z 10.0.5.0/24 do 192.168.67.0/24 = nie działa
2. ping z 10.0.0.0/23 do 192.168.67.0/24 = ok

co może być :(?

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: IPSEC VPN

#2

#2 Post autor: Bolo »

... narazie zmineiłem mss=1318 i wygląda że jest ok, ale zobaczymy jutro.

Czy ktos wie dlaczego czasami trzeba zmieniać mtu do jednego sajtu a do drugiego jedzie na defaultowych parametrach ?

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: IPSEC VPN

#3

#3 Post autor: Bolo »

jednak to nie zadziałało :(
Czy ktoś ma jakieś pomysły?

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

Re: IPSEC VPN

#4

#4 Post autor: michaliwanczuk »

pokaz konfigurację srx'a oraz jakie urządzenie jest po drugiej stronie
Michał

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: IPSEC VPN

#5

#5 Post autor: Bolo »

po tamtej stronie jest Cisco:

Ph I

Kod: Zaznacz cały

proposal ike-prop-01 {
    authentication-method pre-shared-keys;
    dh-group group2;
    authentication-algorithm sha1;
    encryption-algorithm aes-256-cbc;
    lifetime-seconds 86400;

Kod: Zaznacz cały

policy ike-to-next01 {
    mode main;
    proposals ike-prop-01;
    pre-shared-key ascii-text "$9$CREyM8X7Vb5QzFn9CtuOIEDjp0B1hc"; ## SECRET-DATA
}

Kod: Zaznacz cały

gateway gw-to-next01 {
    ike-policy ike-to-next01;
    address 81.55.34.xx;
    external-interface fe-0/0/0.0;
PH II

Kod: Zaznacz cały

   proposal ipsec-prop-02 {
    protocol esp;
    authentication-algorithm hmac-sha1-96;
    encryption-algorithm aes-256-cbc;
    lifetime-seconds 3600;

Kod: Zaznacz cały

policy ipsec-to-next01 {
    perfect-forward-secrecy {
        keys group2;
         }
    proposals ipsec-prop-02;
}

Kod: Zaznacz cały

vpn to_next01 {
    bind-interface st0.1;
    ike {
        gateway gw-to-next01;
        ipsec-policy ipsec-to-next01;
    }
    traffic-selector ts01 {
        local-ip 192.168.67.0/24;
        remote-ip 10.0.0.0/23;
    }
    traffic-selector ts02 {
        local-ip 192.168.67.0/24;
        remote-ip 10.0.5.0/24;
    }
    establish-tunnels immediately;

interfaces:

Kod: Zaznacz cały

st0 {
    unit 0 {
        family inet;
    }
    unit 1 {
        family inet;
    }
i routing:

Kod: Zaznacz cały

route 10.0.0.0/23 next-hop st0.1;
    route 10.0.5.0/24 next-hop st0.1;

michaliwanczuk
wannabe
wannabe
Posty: 187
Rejestracja: 17 kwie 2010, 21:48
Kontakt:

Re: IPSEC VPN

#6

#6 Post autor: michaliwanczuk »

jak dla mnie jest ok po Twojej stronie - masz coś w logach ? A jakie jest Cisco po 2 stronie ?
Michał

Awatar użytkownika
Bolo
wannabe
wannabe
Posty: 656
Rejestracja: 27 wrz 2006, 10:02

Re: IPSEC VPN

#7

#7 Post autor: Bolo »

chyba rozwiązałem problem:
mss=1272

Dziekuję :)

ODPOWIEDZ