https://opennet.ru/openforum/vsluhforumID6/22011.html Топология наипростейшая: есть центральный офис, в нем стоит SSG140 который (привожу естесно только часть конфига имеющую отношение к вопросу)<br>set zone "Trust" vrouter "trust-vr"<br>set zone "Untrust" vrouter "trust-vr"<br>set interface "ethernet0/0" zone "Trust"<br>set interface "ethernet0/2" zone "Untrust"<br>set interface "ethernet0/3" zone "Trust"<br>set interface ethernet0/0 ip 192.168.1.1/24<br>set interface ethernet0/0 nat<br>set interface ethernet0/2 ip х.х.х.х/хх<br>set interface ethernet0/2 route<br>set interface ethernet0/3 ip 192.168.7.1/24<br>set interface ethernet0/3 nat<br><br>далее с 3-го интерфейса идет прямой линк (своя оптика) на свич удаленного офиса где у машин адреса соответственно 192.168.7.0/24 и гейтвей 7.1 Наружу они ходят соответственно через центр и все мы дружно живем в одной зоне. <br>Теперь появилась необходимость заворачивать весь трафик между центром и этим офисом в ipsec, кабель то свой но мало-ли... Терминировать тунель с той стороны планируется джуниперовским же SRX100, он уже физически есть но до м https://opennet.ru/openforum/vsluhforumID6/22011.html#3 Sun, 12 Dec 2010 10:22:04 GMT А на английском эту задачу поставить сможете?<br>тогда напишите ask-moscow-se@juniper.net<br><br><br> https://opennet.ru/openforum/vsluhforumID6/22011.html#2 Tue, 07 Dec 2010 17:03:34 GMT я это все читал и не один раз)) проблема в том что все решения предлагаемые джунипером это организация тунелей через ПУБЛИЧНЫЕ сети и соответственно через как минимум два публичных роутера с реальными IP Мне же нужно шифровать трафик в пределах одной (хотя бы на одном из устройств) trust зоны и в пределах своего собственного физического сегмента и приватного адресного пространства. И вопрос в том можно ли это сделать проще чем джуниперовские решения с несколькими зонами и роутерами. На обеих концах джуниперы, SSG140 и SRX100<br><br> https://opennet.ru/openforum/vsluhforumID6/22011.html#1 Tue, 07 Dec 2010 16:21:05 GMT &gt;[оверквотинг удален]<br>&gt; разу отпадают, потому как intrazone policy ВПН не поддерживают, да и<br>&gt; SRXы похоже транспарент поддерживают только старшие модели. Кроме того совершенно не<br>&gt; хочется городить дополнительных сетей и vr-ов, задача то простая совсем.<br>&gt; Делать на ССГ ethernet0/3 unnumbered и привязывать к нему тунельный интерфейс не<br>&gt; подходит потому что ethernet0/3 должен быть nat, если оставить на нем<br>&gt; адрес то куда деть дефолтные роуты которые железка сама прописывает. Да<br>&gt; и как строить SRX на том конце не очень ясно. Вобщем<br>&gt; всю голову уже сломал как бы это попроще сделать... Подскажите, может<br>&gt; кто сталкивался уже с такой задачей, конфигов готовых писать не прошу,<br>&gt; сам напишу, просто логику процесса бы понять. Спасибо))<br><br>здесь всё есть http://kb.juniper.net/InfoCenter/index?page=content&id=KB15745<br>если на другом конце cisco то используй Policy-based VPN<br>