forum.lissyara.su

Добавлено: **2010-08-30 9:17:41**

всем добрый день.

стал обращаться на форумы - потому что полная безнадёга !!!

есть обычная задача - VPN между 2-мя одинаковыми железками + роутить на третью подсеть:
- локальная сеть - 192.168.0.0/24 (NetScreen SSG5 - 192.168.0.250)
- удалённая сеть - 10.178.24.0/24 (NetScreen SSG5 - 10.178.24.3)
- в удалённой сети есть Cisco - 10.178.24.1 (на которой настроен роут на конечную сеть)
- конечная сеть - 172.30.22.0/24

тоесть 192.168.0.x -> 192.168.0.250 -> 10.178.24.3 -> 10.178.24.1 -> 172.30.22.x

VPN построен на AutoKey IKE - созданы gateway - прописаны маршруты - всё вроде бы ОК... но есть нюанс !!!

делаю пинг из сети 10.178.24.0/24
ping 192.168.0.250 - OK
ping 192.168.0.101 - OK
и т.д. и т.п. - тоесть пингует любую машину

делаю пинг из сети 192.168.0.0/24
ping 10.178.24.3 - OK
ping 10.178.24.1 - вот тут ВСЁ - балалайка - дальше джунипера ни идёт хоть ты тресни

пробовал делать VPN на Policy-Based - по сети ходит (тоесть вижу все компы в обоих подсетях), а вот как прописать маршрут (завернуть трафик) от 192.168.0.0/24 -> 172.30.22.0/24 через этот же туннель - не знаю
(настраивал по мануалу - http://kb.juniper.net/index?page=conten ... 2744157157 и не только по этому мануалу)
народ - помогите, кто чем может - советом, матом, чем угодно !!!

Добавлено: **2010-08-30 9:33:59**

забыл прилепить роуты (на всяк пожарный)

Код: Выделить всё

192.168.0.250-> get route

IPv4 Dest-Routes for <untrust-vr> (3 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*         4          0.0.0.0/0         eth0/0 213.227.Y.Z   C    0      1     Root
*         2 213.227.A.B/32         eth0/0         0.0.0.0   H    0      0     Root
*         1 213.227.A.B/32         eth0/0         0.0.0.0   C    0      0     Root



IPv4 Dest-Routes for <trust-vr> (4 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*         4          0.0.0.0/0            n/a      untrust-vr   S   20      1     Root
*       126     10.178.24.0/24          tun.1     10.178.24.8   S   20      1     Root
*        87   192.168.0.250/32        bgroup0         0.0.0.0   H    0      0     Root
*        86     192.168.0.0/24        bgroup0         0.0.0.0   C    0      0     Roott

Код: Выделить всё

Avtosojuz-> get route

IPv4 Dest-Routes for <untrust-vr> (3 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*        41          0.0.0.0/0         eth0/0    62.80.Y.Z   S   20      1     Root
*        40    62.80.A.B/32         eth0/0         0.0.0.0   H    0      0     Root
*        39    62.80.A.B/29         eth0/0         0.0.0.0   C    0      0     Root



IPv4 Dest-Routes for <trust-vr> (6 entries)
--------------------------------------------------------------------------------------
         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*        16          0.0.0.0/0            n/a      untrust-vr   S   20      1     Root
*        52     172.30.22.0/24        bgroup0     10.178.24.1   S   20      1     Root
*        69     10.178.24.0/24        bgroup0         0.0.0.0   C    0      0     Root
*        85     192.168.0.0/24          tun.1         0.0.0.0   S   20      1     Root
*        70     10.178.24.3/32        bgroup0         0.0.0.0   H    0      0     Root
*        53    193.83.219.0/24        bgroup0     10.178.24.1   S   20      1     Root

Добавлено: **2010-09-09 9:01:43**

люди-человеки !!!
неужели ни у кого подобной проблемы не было ?

просто суть проблемы немного изменилась:
вместо удалённого джунипера поставили FreeBsd и подняли впн между SSG5 (локальный) и фря (удалённый)

тоесть теперь в подсети 10.178.24.0/24 осталсь фря (10.178.24.2) и циска (10.178.24.1)
маршрут следующий:
192.168.0.0/24 -> 192.168.0.250 (SSG5) -> 10.178.24.2 (FreeBsd) -> 10.178.24.1 (Cisco) -> 172.30.22.0/24 (конечная точка)

на SSG5 прописаны 2 роута

Код: Выделить всё

*	10.178.24.0/24	 	tunnel.1	S	20	1	Root 	Remove
*	172.30.22.0/24	10.178.24.2	tunnel.1	S	20	1	Root 	Remove

по логам tcpdump на SSG5 и FreeBsd видно, что пинги уходят до 172.30.22.0/24, но назад они возвращаются

P.S. аналогичный VPN поднимался между 2-мя серверами FreeBsd - на такой схеме всё работает

forum.lissyara.su

VPN на Juniper NetScreen SSG5 (непонятная проблема)

VPN на Juniper NetScreen SSG5 (непонятная проблема)

Re: VPN на Juniper NetScreen SSG5 (непонятная проблема)

Re: VPN на Juniper NetScreen SSG5 (непонятная проблема)