The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"А по Juniper есть спецы? Подскажите как VPN организовать"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"А по Juniper есть спецы? Подскажите как VPN организовать"  +/
Сообщение от qwertyu (ok) on 07-Дек-10, 18:45 
Топология наипростейшая: есть центральный офис, в нем стоит SSG140 который (привожу естесно только часть конфига имеющую отношение к вопросу)
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set interface "ethernet0/0" zone "Trust"
set interface "ethernet0/2" zone "Untrust"
set interface "ethernet0/3" zone "Trust"
set interface ethernet0/0 ip 192.168.1.1/24
set interface ethernet0/0 nat
set interface ethernet0/2 ip х.х.х.х/хх
set interface ethernet0/2 route
set interface ethernet0/3 ip 192.168.7.1/24
set interface ethernet0/3 nat

далее с 3-го интерфейса идет прямой линк (своя оптика) на свич удаленного офиса где у машин адреса соответственно 192.168.7.0/24 и гейтвей 7.1 Наружу они ходят соответственно через центр и все мы дружно живем в одной зоне.
Теперь появилась необходимость заворачивать весь трафик между центром и этим офисом в ipsec, кабель то свой но мало-ли... Терминировать тунель с той стороны планируется джуниперовским же SRX100, он уже физически есть но до меня пока не доехал.
Все просто до безобразия, казалось бы, но покурив мануалы на ожидаемый срх и на существующий ссг, я так понял что в этой простоте проблема то и кроется. Разносить центр и этот офис по разным зонам категорически не хочется, значит policy based и transparent mode VPN разу отпадают, потому как intrazone policy ВПН не поддерживают, да и SRXы похоже транспарент поддерживают только старшие модели. Кроме того совершенно не хочется городить дополнительных сетей и vr-ов, задача то простая совсем.
Делать на ССГ ethernet0/3 unnumbered и привязывать к нему тунельный интерфейс не подходит потому что ethernet0/3 должен быть nat, если оставить на нем адрес то куда деть дефолтные роуты которые железка сама прописывает. Да и как строить SRX на том конце не очень ясно. Вобщем всю голову уже сломал как бы это попроще сделать... Подскажите, может кто сталкивался уже с такой задачей, конфигов готовых писать не прошу, сам напишу, просто логику процесса бы понять. Спасибо))

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "А по Juniper есть спецы? Подскажите как VPN организовать"  +/
Сообщение от Seva email(??) on 07-Дек-10, 19:21 
>[оверквотинг удален]
> разу отпадают, потому как intrazone policy ВПН не поддерживают, да и
> SRXы похоже транспарент поддерживают только старшие модели. Кроме того совершенно не
> хочется городить дополнительных сетей и vr-ов, задача то простая совсем.
> Делать на ССГ ethernet0/3 unnumbered и привязывать к нему тунельный интерфейс не
> подходит потому что ethernet0/3 должен быть nat, если оставить на нем
> адрес то куда деть дефолтные роуты которые железка сама прописывает. Да
> и как строить SRX на том конце не очень ясно. Вобщем
> всю голову уже сломал как бы это попроще сделать... Подскажите, может
> кто сталкивался уже с такой задачей, конфигов готовых писать не прошу,
> сам напишу, просто логику процесса бы понять. Спасибо))

здесь всё есть http://kb.juniper.net/InfoCenter/index?page=content&id=KB15745
если на другом конце cisco то используй Policy-based VPN

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "А по Juniper есть спецы? Подскажите как VPN организовать"  +/
Сообщение от qwertyu (ok) on 07-Дек-10, 20:03 
я это все читал и не один раз)) проблема в том что все решения предлагаемые джунипером это организация тунелей через ПУБЛИЧНЫЕ сети и соответственно через как минимум два публичных роутера с реальными IP Мне же нужно шифровать трафик в пределах одной (хотя бы на одном из устройств) trust зоны и в пределах своего собственного физического сегмента и приватного адресного пространства. И вопрос в том можно ли это сделать проще чем джуниперовские решения с несколькими зонами и роутерами. На обеих концах джуниперы, SSG140 и SRX100

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "А по Juniper есть спецы? Подскажите как VPN организовать"  +/
Сообщение от Эдуард (??) on 12-Дек-10, 13:22 
А на английском эту задачу поставить сможете?
тогда напишите ask-moscow-se@juniper.net


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру