Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Juniper Dynamic VPN

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки

Открыть новую тему     Написать ответ в эту тему

rosamor

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте!
 
Пытаюсь настроить Dynamic VPN по схеме клиент --> Интернет --> SRX --> Интернет.
 
Т.е. необходимо из любой точки мира подключаться через интернет к SRX используя VPN и дальше чтобы весь трафик шёл через SRX.
 
1. Сделал начальную настройку habrahabr.ru/post/166897/
 
2. Настроил Dynamic VPN по www.juniper.net/techpubs/en_US/junos12.1...ple-configuring.html
 
и тут начался затык.
 
а) Из вне я подключаюсь нормально к SRX.
 
б) Junos Pulse получает IP адрес, маску и DNS. Странность в маске, она имеет значение 255.255.255.255 и хост SRX не пингуется.
 
 
Как можно реализовать данную задачу? Куда копать дальше?
Всего записей: 162 | Зарегистр. 11-01-2006 | Отправлено: 11:54 13-04-2015
vertex4

Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
rosamor
а) локальные ресурсы пингуются?  
б) так и должно быть © (proxy-arp есть же, если в этой же подсети IP получен?)
 
конфиг под тегом [more][/more] (пароли и базовые настройки убери, белый IP поменяй на что-нибудь типа 1.1.1.1)
PS: remote-protected-resources, policies, и другие причины... как-то сегодня телепатические способности плохо работают
 
Добавлено:
rosamor
Тут по пунктам делал? на каком этапе остановился?
> show security flow session source-prefix <твой IP из пула VPN>/32

----------
В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают
Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 13:26 13-04-2015
rosamor

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vertex4
 
Локальный ресурс пока сам SRX (192.168.1.1). Не пингуется.
 
Конфиг
Подробнее...
 
Добавлено:
vertex4
 
Я встрял, что маска на интерфейсе Juniper Pulse 255.255.255.255. И, я так думаю, из-за этого и не пингуется 192.168.1.1
 
На форуме Juniper есть тема с маской http://forums.juniper.net/t5/SRX-Services-Gateway/Pulse-Clients-Getting-Wrong-Subnet-Mask/td-p/140005 но решения нет, кроме как откатится до unOS 11.1 R4.4 так пишут по крайней мере
Всего записей: 162 | Зарегистр. 11-01-2006 | Отправлено: 16:53 13-04-2015
vertex4

Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
rosamor
для пинга SRX'а:

Код:
set security nat proxy-arp interface vlan.0 address 192.168.1.101/32 to 192.168.1.110/32

маска  /32 в общем случае не является ошибкой (у меня например тоже такая, и всё доступно). И уж тем более не надо откатываться на более старые версии, особенно если ожидается VPN с циской или просто сложные конфигурации.

Цитата:
клиент --> Интернет --> SRX --> Интернет.  

понадобится политика untrust to untrust, что плохо в плане безопасности. читай про remote-protected-resources (0/0) + policies

----------
В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают
Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 20:51 13-04-2015
rosamor

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vertex4
 

Код:
 
set security nat proxy-arp interface vlan.0 address 192.168.1.101/32 to 192.168.1.110/32
 

 
не сработало. Хост 192.168.1.1 не пингуется
 
Добавлено:

Код:
 
 show security flow session source-prefix 192.168.1.101
Total sessions: 0
 

 
Лог
Подробнее...
Всего записей: 162 | Зарегистр. 11-01-2006 | Отправлено: 19:38 14-04-2015 | Исправлено: rosamor, 20:33 14-04-2015
rosamor

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
изменил ip внутренней сети. Локальная сеть 10.0.0.1/24, VPN pool 10.0.1.1-10
 
Хост SRX (10.0.0.1) пингуется, а например хост локального компьютера 10.0.0.2 не пингуется. Но
 
show security flow session source-prefix 10.0.1.1
Session ID: 9503, Policy name: dyn-vpn-policy/6, Timeout: 34, Valid
In: 10.0.1.1/8149 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8149;icmp, If: vlan.0, Pkts: 0, Bytes: 0
 
Session ID: 9513, Policy name: dyn-vpn-policy/6, Timeout: 38, Valid
In: 10.0.1.1/8150 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8150;icmp, If: vlan.0, Pkts: 0, Bytes: 0
 
Session ID: 9525, Policy name: dyn-vpn-policy/6, Timeout: 44, Valid
In: 10.0.1.1/8151 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8151;icmp, If: vlan.0, Pkts: 0, Bytes: 0
 
Session ID: 9535, Policy name: dyn-vpn-policy/6, Timeout: 48, Valid
In: 10.0.1.1/8152 --> 10.0.0.2/1;icmp, If: ge-0/0/0.0, Pkts: 1, Bytes: 60
Out: 10.0.0.2/1 --> 10.0.1.1/8152;icmp, If: vlan.0, Pkts: 0, Bytes: 0
Total sessions: 4
 
 
И не пингуется с компьютера 10.0.0.2 хост VPN клиента 10.0.1.1
Всего записей: 162 | Зарегистр. 11-01-2006 | Отправлено: 17:23 16-04-2015
SinClaus



Advanced Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Для отладки с VPN удобно сделать отдельную зону VPN, тогда яснее видно как рисовать политики.
 
По логу: у хоста 10.0.0.2 defaul gateway куда показывает?
Всего записей: 732 | Зарегистр. 05-02-2009 | Отправлено: 12:50 17-04-2015
rosamor

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
SinClaus
 
Не по логу, а по получаемым настройкам 10.0.0.1
 
Вчера прицепил реальный IP, и 10.0.0.1 перестал пинговаться.
Всего записей: 162 | Зарегистр. 11-01-2006 | Отправлено: 14:13 17-04-2015
rosamor

Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Кое что удалось.
 
1. Хост SRX пингуется из VPN клиента.
2. Внутренние хосты тоже пингуются из VPN клиента.
3. Из внутренних хостов VPN клиент не пингуется. Даже из SRX.
Всего записей: 162 | Зарегистр. 11-01-2006 | Отправлено: 17:26 21-04-2015
shoko



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
всем привет.
Есть  SRX300 с софтом  Junos: 15.1X49-D70.3. Настроил  Dynamic vpn.
Но есть проблемы:
1 нету   Juniper Pulse не могу найти где скачать для линукс.
2 На линуксе настроил клиент vpnc ipsec. но при подключении выдает ошибку что не выбрано ни одного пропорсала.  
3 Ни где нету инструкции как подключить Ремоте Аксесс с линукса если нету Juniper Pulse. И возможно ли это на самом деле?  Точно как в циске.
 
На самом  SRX300 с конфигурацией нет проблем.
Застрял на этом но железяку скоро отдавать.
Хотелось бы  добить ремоте аксесс впн ipsec точно так же как и в циско.
 
 
Спасибо всем заранее.
Всего записей: 63 | Зарегистр. 10-06-2004 | Отправлено: 16:23 08-10-2018
vertex4

Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
shoko
1. Дистрибутив? Debian/Ubuntu or RHEL/Centos?  
2. Не подойдет, это SSL VPN
3. Никак

----------
В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают
Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 16:36 08-10-2018
shoko



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
vertex 4
1 Ubuntu
2 a класичесский  remote access ipsec vpn на нем настроить не получиться ?  
3 есть ли ssl клиент на ubuntu  без pulse client ? если есть как настроить его без использование сертификата чтоб работал с линуксов клиентом.
 
спасибо заранее
Всего записей: 63 | Зарегистр. 10-06-2004 | Отправлено: 10:36 09-10-2018 | Исправлено: shoko, 10:37 09-10-2018
vertex4

Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
shoko
1. Ссылка там была на оба
2. ipsec vpn клиент-серверыым не бывает. Можно сделать, но к DynamicVPN это не имеет никакого отношения (libreswan можно, но на 15-й ветке джуноса не пробовал)
3. Это проприетарный SSLVPN, насколько знаю - нельзя
Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 11:13 09-10-2018
shoko



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Vetrtex 4
 
Настраивается пакет pulse (9.0R2-819) …
/var/lib/dpkg/info/pulse.postinst: line 213: [: =: unary operator expected
/var/lib/dpkg/info/pulse.postinst: line 215: [: =: unary operator expected
 
при распаковке выдал такую ошибку.
 
и ёщё Я хотел уточнить для себя получается как в циске  Asa ipsec remote access server  настроить и подключатся с линукса vpnc клиентом в srx300 junos 15 ветке неполучится ?
У junos 15 ветке есть ipsec site to site vpn и  dynamic vpn to est ssl vpn только со своим клиентом.
Я правильно понял ? Хотя раньше у них 12 ветке  remote access server ipsec был.
 
Vertex 4 Спасибо заранее
Всего записей: 63 | Зарегистр. 10-06-2004 | Отправлено: 12:04 09-10-2018
vertex4

Moderator		Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
shoko
у меня нет проблем с установкой. Debian 9.5
vpnc - это клиент от циски. для juniper - клиент pulse.  

Цитата:
Хотя раньше у них 12 ветке  remote access server ipsec был.  

не было. Есть отдельное устройство Juniper MAG (в данный момент - уже не juniper, а pulsesecure)

----------
В любой инструкции пропущено самое важное - что делать, если это устройство или программа не работают
Всего записей: 10393 | Зарегистр. 29-01-2006 | Отправлено: 16:36 09-10-2018
shoko



Junior Member		Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Всем доброго дня.  
 Можно ли на самом Juniper SRX 300 создать локальный  СА Сервер а не указывать адрес в сети самого СА сервера? для  впн.
Всего записей: 63 | Зарегистр. 10-06-2004 | Отправлено: 11:50 12-10-2018
Открыть новую тему     Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Juniper Dynamic VPN


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru