всем добрый день.
стал обращаться на форумы - потому что полная безнадёга !!!
есть обычная задача - VPN между 2-мя одинаковыми железками + роутить на третью подсеть:
- локальная сеть - 192.168.0.0/24 (NetScreen SSG5 - 192.168.0.250)
- удалённая сеть - 10.178.24.0/24 (NetScreen SSG5 - 10.178.24.3)
- в удалённой сети есть Cisco - 10.178.24.1 (на которой настроен роут на конечную сеть)
- конечная сеть - 172.30.22.0/24
тоесть 192.168.0.x -> 192.168.0.250 -> 10.178.24.3 -> 10.178.24.1 -> 172.30.22.x
VPN построен на AutoKey IKE - созданы gateway - прописаны маршруты - всё вроде бы ОК... но есть нюанс !!!
делаю пинг из сети 10.178.24.0/24
ping 192.168.0.250 - OK
ping 192.168.0.101 - OK
и т.д. и т.п. - тоесть пингует любую машину
делаю пинг из сети 192.168.0.0/24
ping 10.178.24.3 - OK
ping 10.178.24.1 - вот тут ВСЁ - балалайка - дальше джунипера ни идёт хоть ты тресни
пробовал делать VPN на Policy-Based - по сети ходит (тоесть вижу все компы в обоих подсетях), а вот как прописать маршрут (завернуть трафик) от 192.168.0.0/24 -> 172.30.22.0/24 через этот же туннель - не знаю
(настраивал по мануалу - http://kb.juniper.net/index?page=conten ... 2744157157 и не только по этому мануалу)
народ - помогите, кто чем может - советом, матом, чем угодно !!!
VPN на Juniper NetScreen SSG5 (непонятная проблема)
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
compreSSor
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2010-08-30 9:11:37
Re: VPN на Juniper NetScreen SSG5 (непонятная проблема)
забыл прилепить роуты (на всяк пожарный)
Код: Выделить всё
192.168.0.250-> get route
IPv4 Dest-Routes for <untrust-vr> (3 entries)
--------------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------------
* 4 0.0.0.0/0 eth0/0 213.227.Y.Z C 0 1 Root
* 2 213.227.A.B/32 eth0/0 0.0.0.0 H 0 0 Root
* 1 213.227.A.B/32 eth0/0 0.0.0.0 C 0 0 Root
IPv4 Dest-Routes for <trust-vr> (4 entries)
--------------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------------
* 4 0.0.0.0/0 n/a untrust-vr S 20 1 Root
* 126 10.178.24.0/24 tun.1 10.178.24.8 S 20 1 Root
* 87 192.168.0.250/32 bgroup0 0.0.0.0 H 0 0 Root
* 86 192.168.0.0/24 bgroup0 0.0.0.0 C 0 0 RoottКод: Выделить всё
Avtosojuz-> get route
IPv4 Dest-Routes for <untrust-vr> (3 entries)
--------------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------------
* 41 0.0.0.0/0 eth0/0 62.80.Y.Z S 20 1 Root
* 40 62.80.A.B/32 eth0/0 0.0.0.0 H 0 0 Root
* 39 62.80.A.B/29 eth0/0 0.0.0.0 C 0 0 Root
IPv4 Dest-Routes for <trust-vr> (6 entries)
--------------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------------
* 16 0.0.0.0/0 n/a untrust-vr S 20 1 Root
* 52 172.30.22.0/24 bgroup0 10.178.24.1 S 20 1 Root
* 69 10.178.24.0/24 bgroup0 0.0.0.0 C 0 0 Root
* 85 192.168.0.0/24 tun.1 0.0.0.0 S 20 1 Root
* 70 10.178.24.3/32 bgroup0 0.0.0.0 H 0 0 Root
* 53 193.83.219.0/24 bgroup0 10.178.24.1 S 20 1 Root-
compreSSor
- проходил мимо
- Сообщения: 3
- Зарегистрирован: 2010-08-30 9:11:37
Re: VPN на Juniper NetScreen SSG5 (непонятная проблема)
люди-человеки !!!
неужели ни у кого подобной проблемы не было ?
просто суть проблемы немного изменилась:
вместо удалённого джунипера поставили FreeBsd и подняли впн между SSG5 (локальный) и фря (удалённый)
тоесть теперь в подсети 10.178.24.0/24 осталсь фря (10.178.24.2) и циска (10.178.24.1)
маршрут следующий:
192.168.0.0/24 -> 192.168.0.250 (SSG5) -> 10.178.24.2 (FreeBsd) -> 10.178.24.1 (Cisco) -> 172.30.22.0/24 (конечная точка)
на SSG5 прописаны 2 роута
по логам tcpdump на SSG5 и FreeBsd видно, что пинги уходят до 172.30.22.0/24, но назад они возвращаются
P.S. аналогичный VPN поднимался между 2-мя серверами FreeBsd - на такой схеме всё работает
неужели ни у кого подобной проблемы не было ?
просто суть проблемы немного изменилась:
вместо удалённого джунипера поставили FreeBsd и подняли впн между SSG5 (локальный) и фря (удалённый)
тоесть теперь в подсети 10.178.24.0/24 осталсь фря (10.178.24.2) и циска (10.178.24.1)
маршрут следующий:
192.168.0.0/24 -> 192.168.0.250 (SSG5) -> 10.178.24.2 (FreeBsd) -> 10.178.24.1 (Cisco) -> 172.30.22.0/24 (конечная точка)
на SSG5 прописаны 2 роута
Код: Выделить всё
* 10.178.24.0/24 tunnel.1 S 20 1 Root Remove
* 172.30.22.0/24 10.178.24.2 tunnel.1 S 20 1 Root RemoveP.S. аналогичный VPN поднимался между 2-мя серверами FreeBsd - на такой схеме всё работает