LINUX.ORG.RU

3
Всего сообщений: 25

Внешний NAT на Debian

Здравствуйте. Нужно настроить внешние сервера NATa, которые подключены к Juniper mx240.

Абоненты с браса mx240 - 10.10.0.0/16

Траф с mx240 заворачиваю в NAT-1.

eth1 - in

eth2 - out

Подробней на схеме

Схемка - http://i.piccy.info/i9/036637ad856ee48762c520e4d91e7e13/1586351056/89438/1371817/1.png

Настройки NAT-1

# ip r
default via 10.250.0.1 dev eth1 onlink 
10.0.0.0/8 dev eth2 scope link 
10.250.0.0/30 dev eth1 proto kernel scope link src 10.250.0.2 
10.250.1.0/30 dev eth2 proto kernel scope link src 10.250.1.2

# iptables -S -t nat
-P PREROUTING ACCEPT
-P INPUT ACCEPT
-P OUTPUT ACCEPT
-P POSTROUTING ACCEPT
-A POSTROUTING -o eth1 -j MASQUERADE

Но что-то нет кина

 , ,

khobta ()

Расскажите мне про продукцию Juniper

Совершил набег на склад на одном предприятии, нашел три Juniper srx210. Включил один, и он вроде бы даже настроен. Больше про них ничего не известно, кроме первоначальной стоимости, по которой они проходят в бухгалтерии.

На самом предприятии по факту везде используются дешманские маршрутизаторы Mikrotik (и всех все устраивает). Так-то, если тупо смотреть на спеки джунипер очень сильно лучше тех микротиков. А если на ценник, то он еще и кофе варить должен.

Короче, хотелось бы как-то заранее узнать, предыдущие «интеграторы» тупо не осилили настройку Juniper, или существуют какие-то объективные причины, по которым от них стоит держаться подальше, кроме тех случаев когда ты точно знаешь, что без киллер-фич этих аппаратов никак?

Несколько напрягла тормознутось веб-интерфейса этого девайса. Я конечно понимаю, что тру-админы сразу заходят по ssh, но когда интерфейс перестает загружаться просто при просмотре конфига без сохранения и какой-либо нагрузки на устройство это за гранью. Впрочем, возможно конкретно тот экземпляр на самом деле неисправен.

Кстати, об ssh... это нормально, что ты сразу попадаешь в csh? Я подозревал что энтерпрайз он какой-то такой, но тут как будто на колхозный маршрутизатор из старого пентиума заходишь.

По итогу, железка выглядит пугающе. Хотелось бы понять стоит ли с ней связываться или бежать подальше, до того, как я проведу незабываемые недели изучая как эта штука в принципе работает.

Ах да, сеть маленькая, тупая, компов меньше двух сотен, половине вообще не нужно ходить дальше собственной локальной сети. Скорость подключения к интернету около 10 мегабит, сверху ограничен неподъемным ценником.

 , ,

Khnazile ()

juniper srx и suricata за ним - как?

Доброго времени суток.

1. C учётом архитектуры сети требуется развернуть IDS Suricata.

https://i.imgur.com/9UCuYgN.png

Как я это вижу:

Juniper srx 650, за ним suricata, отфильтрованный трафик отдаём в свитч и из свитча дальше по серверам. Ожидаю подключение вида:

весь трафик из порта juniper -> в порт intel 350t4 отфильтрованный трафик из порта intel350t4 -> в порт свитча.

Suricata разворачиваю на hp dl360g6 (x5670 x2, 16Gb RAM, SSD Intel DC 4610, intel 350t4v2 (не твиканая), Ubuntu 18.04 и Suricata 5.0 из PPA).

2. Также заинтересован в отказоустойчивом кластере.

Будем считать, что у нас есть кластер из SRX 650ых. Требуется кластер для Suricata с учётом того, что у нас два hp dl360g6 в одинаковой конфигурации.

Как достигнуть желаемого?

 , , , ,

Nezie ()

Juniper SRX падает от icmp-флуда

Сегодня обнаружил веселый баг железок juniper srx240h- они падают от icmp-флуда. Причем падают от предельно простого однострочника:

for i in {1..200}; do ping -c 30000 -i 0 -s 32 -q $IP & done
Причем даже блокировка ICMP не помогает. Прочитал статейку https://www.juniper.net/documentation/en_US/junos/topics/topic-map/security-n..., сделал как написано и ничего. Канал у джуна широкий, около 600 мбит между ДЦ, но падает он при нагрузке в ~120 мбит от флуда. Рядом стоит шлюз на лине и ему вообще пофик, пытался завалить его с двух ДЦ - тщетно, а джун ложится от одной виртуалки. Кто сталкивался с таким? Как можно пофиксить?

 , ,

Sherman ()

Кто-нибудь встречал книги по JNCIA на русском?

Мой английски не настолько хорош чтобы осилить кирпич в 868 страниц и не спиться...а хочется и даже есть дома железяка на которой можно эксперименты ставить.

 , , ,

Deleted ()

Ресурсы для подготовки к сертификациям

С наступающим!

Посоветуйте годные сайты на которых можно брать инфу для подготовки к разного рода сертификациям - CCNA, ITIL, Red Hat и т. п.

 , , , ,

Kroz ()

Ищем Juniper Network engineer

Международная IT компания Bell Integrator ищет себе в команду Juniper Network engineer.

Мы - Bell Integrator, международная, быстрорастущая компания - одна из лучших аутсорсинговых компаний мира по версии IAOP в рейтинг Global Outsourcing 100. Мы разрабатываем сложные и инновационные решения для нужд IT и бизнеса наших Заказчиков, в число которых входят крупнейшие телекоммуникационные, финансовые и транспортные корпорации России, США и Европы.

Т.к. позиция предполагает общение с зарубежными заказчиками, а следовательно свободное владение английским языком, то и описание сразу на английском.

Key Responsibilities: • Troubleshooting the network’s design and architecture issues • Analyzing network and device configurations • Interacting with JTAC • Providing network design leadership; assisting in identifying and building solutions • Testing product features and functionality • Providing deployment guidance to ensure that implementations are consistent with design specifications • Providing informal workshops to transfer knowledge to engineering staff • Applying industry best practices to the design, planning, and implementation of the network • Applying extensive industry experience to optimize network performance and proactively analyze potential enhancements • Evaluating technical specifications for interoperability

Skills and Experience: • JNCIP or JNCIE certification (JNCIE highly appreciated) • Understanding (Packet level) of IP Packet flow, OSI model • Layer 3: IP and related technologies (ICMP, TCP, IPSec, GRE, QoS, VRRP) • IP routing protocols (BGP, OSPF, , RIP) • Layer 2 technologies (Ethernet, 802.1q/p VLAN, STP, RSTP, ARP, PPP, MLPPP, LACP) • Understanding / Exposure / Experience with MPLS, VPLS, L2 and L3 VPN • Experience in managing and / or upgrading multitude of Juniper devices: MX, SRX, EX, QFX • MPLS Traffic Engineering, LDP, RSVP • Multicast technologies: NG-MVPN, PIM • NETCONF programming, Yang modelling • Perl / Python / Unix Shell / Expect scripting • Automation tools (Ansible, Puppet, Git, Vargant etc) • Junos Space, Junos Security Director, Network Director • Ability to effectively communicate both orally and in writing to technical and non-technical audiences at all levels in the organization; develop procedural documentation; develop and conduct effective presentations; and effectively demonstrate products and solutions • Fluent English

Aditional requirements: • Experienced in Openstack, Docker • Experienced in Contrail, SDN, NFV • Cisco certificates

Personal characteristicsnts: • Effective consultancy, planning & communication skills • Excellent inter-personal skills • Self-driven and resourceful to achieve goals independently as well as work well in groups • Ability to troubleshoot and analyze complex problems, multi-task and meet deadlines • Demonstrate enthusiasm and flexibility while working on varyingly diverse projects and tasks • Candidate will possess a «can do» positive attitude and mesh well with others

Conditions: • Full time job • 5-days working week, 10:00-19:00 • Business trips are expected • Technical and career growth • Official employment • Salary is discussed according to the interview

Свои резюме присылайте, пожалуйста, на почту JChernobylskaia@bellintegrator.com

 , , ,

oashka ()

IPSEC JUNIPER + FreeBSD

Приветствую. настраиваю ipsec между FreeBSD и Juniper
конфиги

FreeBSD

racoon.conf
remote 212.***.***.*** {
exchange_mode aggressive;
my_identifier address 212.***.***.***;
peers_identifier address 212.***.***.***;
initial_contact on;
dpd_delay 120;
ike_frag on;
support_proxy on;
proposal_check obey;
proposal
{ encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
lifetime time 86400 secs;
} sainfo address 192.168.200.0/24 any address 192.168.148.0/24 any
{ encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
pfs_group 2;
lifetime time 86400 secs; }

ipsec.conf
spdadd 192.168.200.0/24 192.168.148.0/24 any -P out ipsec esp/tunnel/212.***.***.***-212.***.***.***/require;
spdadd 192.168.148.0/24 192.168.200.0/24 any -P in ipsec esp/tunnel/212.***.***.***-212.***.***.***/require;

Juniper

security {
ike {
proposal ipsec {
authentication-method pre-shared-keys;
dh-group group2;
authentication-algorithm sha1;
encryption-algorithm 3des-cbc;
lifetime-seconds 86400;
}
policy ipsec {
mode aggressive;
proposals ipsec;
pre-shared-key ascii-text
«$9$j7kqfn6A1Ih9CBEyrLXbs2gUjqmfn6A»;
}
gateway inteks {
ike-policy ipsec;
address 212.***.***.***;
local-identity inet 212.***.***.***;
external-interface fe-0/0/0;
}
}
ipsec {
proposal ipsec {
protocol esp;
authentication-algorithm hmac-sha1-96;
encryption-algorithm 3des-cbc;
lifetime-seconds 86400;
}
policy ipsec_vpn {
perfect-forward-secrecy {
keys group2;
}
proposals ipsec;
}
vpn inteks {
ike {
gateway inteks;
ipsec-policy ipsec_vpn;
}
establish-tunnels immediately;
}
}


Устанавливаеться первая фаза и в логах на FreeBSD выходит

2017-04-12 13:53:08: INFO: respond new phase 2 negotiation: 212.***.***.***[500]<=>212.***.***.***[500]
2017-04-12 13:53:08: ERROR: failed to get sainfo.
2017-04-12 13:53:08: ERROR: failed to get sainfo.
2017-04-12 13:53:08: [212.***.***.***] ERROR: failed to pre-process ph2 packet (side: 1, status: 1).
2017-04-12 13:53:21: ERROR: phase1 negotiation failed due to time up. 24bccd55a58f9146:0000000000000000
2017-04-12 13:53:22: ERROR: phase1 negotiation failed due to time up. c20f5d2e0c741243:0000000000000000


Ну и естественно вторая фаза не устанавливаеться. Подскажите куда смотреть?

 , ,

Atheist987 ()

Сброс пароля на Juniper-е (доступ к внутярм, в т.ч. к CF-карте есть)

Смеркалось. На одной и подчиненных организаций случилось обычное: при переезде из одного здания в другое серверную стойку тупо разобрали (даже оптику ножницами обрезали СУКИ!!!) а при попытке собрать это в другом здании наткнулись на непонимание со стороны оборудования. Потом ругань, то-се, обмен макулатурой, но в итоге, Родина отрядила меня туда наводить порядок.

Задача номер ноль: там пограничный маршрутизатор Джунипер. Консольный кабаль есть, но пароля отродясь никто не знал со времен монтирования. Самое первое, хочу законнектить его. Мне известно что там только BGP. Итого, мне из него надо настройки BGP вытянуть и настройки сетевых интерфейсов желательно бы. А тада я бы смог его хард ресетнуть и настроить заново, но имел бы пароль и доступ к консоли (а это приятно будет при настройке остального)

Идея следующая: разобрать его, извлечь CF-карту, примонтировать к случайнопопавшемусяподруки линуксу и пошарить в файловой системе в поисках интересной для меня информации. Мож конфиг какой или еще че.

Я это уже сделал, только не монтируется чета, пишет врон фс тайп. Откуда вопрос — а оно там не шифрованное лежит? fdisk -l определяет ее как FreeBSD (ufs? ext2/3?) в любом случае не монтируется. Хотя, когда я просто воткнул флешку в системник и ребутнул, он попытался с нее грузиться и даже начал.

ПАМАГИТЕЕЕЕ!!!

 

pihter ()

vlan на одном из интерфейсоф lagg

Здравствуйте!

Необходимо создать LAGG, но по одному из интерфейсов пустить тегированный vlan (для ilo).

Просто создать LAGG и повешать на один из интерфейсоф vlan свич не даёт (juniper ex2200).

Можно ли как-то решить эту задачу?

 , , ,

Journalist ()

Подарили Juniper Firewall

У меня дома гигабитный интернет.
Подарили Juniper SRX1XX-K-AV-3.

Как это лучше использовать? Дома только десктоп по LAN1, ноутбук.по LAN2 и сервер по LAN3.

Думаю, что можно использовать его как неплохой фильтр атак, да вот провайдер-то домашний, думаю толку от этого не будет почти. Забивают-то канал выше уровнем, нет?

 ,

DarkCity ()

Выбор роутера

Анон, а на роутерах от джунипера и циско открытое ПО или проприетарное? Стоит ли их покупать для дома(скорость 1 гб/с, дальше скорее всего будет увеличен до 10+ гб/с) или лучше блейд с двумя ксеонами на pfsense? Справятся ли ксеоны с такой загрузкой или нужен хардварный роутер с ASIC'ом?

 , , ,

vityatesak1 ()

Требуется дежурный инженер в NOC в Москве

Нужно знать:

  • OSI
  • Основы BGP, OSPF
  • Опыт работы с коммутаторами и маршрутизаторами Cisco и/или Juniper
  • Основы работы с Linux в качестве системного администратора

Не будет лишним:

  • SIP, умение конфигурации и диагностики Asterisk
  • Умение писать и понимать скрипты на Shell и Python

Заниматься предстоит этим:

  • Мониторинг сети посредством Syslog, Zabbix и собственных инструментов автоматизации
  • Диагностика проблем на уровне L1-L3, BGP
  • Ведение TT в Redmine
  • Поддержание работоспособности офисной сети

График - 2/2, с 10:00 до 19:00, зарплата 40-45 тыс. руб.

Пишите на gforgx@fotontel.ru.

 , ,

GFORGX ()

Системный администратор Linux (г. Москва)

Если Вас интересует построение и эксплуатация систем с высокими нагрузками, эта вакансия для Вас. Вы можете работать и профессионально расти, администрируя наши сервисы.

О нашей компании:
InPlat — это удобная и инновационная платежная компания, а также, разработчик IT-решений для банков и операторов связи. Наша компания работает с 2010 года и занимает одну из лидирующих позиций на рынке мобильной и электронной коммерции. Мы растем, развиваемся и количество задач растёт вместе с нами. Мы предлагаем присоединиться к нашей молодой и дружной команде. Гарантируем профессиональный рост, интересную работу и отличную зарплату.

Мы ожидаем, что Вы:
- Умеете творчески мыслить;
- Имеете знание архитектуры и принципа работы Linux систем;
- Имеете опыт написания скриптов ( shell / perl / python / ruby );
- Имеете знание основ сетевых технологий, принципов организации локальных и глобальных сетей;
- Умеете работать в команде, перенимать опыт и делиться собственным;
- Знаете английский язык ( не ниже уровня чтения проф. литературы );
- Честны, ответственны и аккуратны.


Будет плюсом, если Вы:
- Имеете опыт администрирования opensource приложений ( Nginx, PostgreSQL, … );
- Имейте опыт работы с: популярными инструментами ( GIT, Jenkins, Ansible, Puppet ), аппаратным обеспечением, виртуальными средами.


Вам предстоит:
- Обеспечение стабильной работы: серверов ( на базе CentOS ), различных сервисов и активного сетевого оборудования;
- Настройка серверов и сетевого оборудования ( Juniper, Cisco );
- Мониторинг нагрузок и ошибок;
- Организация резервного копирования;
- Написание сопутствующей документации;
- Планирование и управление нагрузками;
- Решение технических проблем.


Мы предлагаем Вам:
- График работы: понедельник – пятница, с 9.00 до 18.00;
- Офис в шаговой доступности от м. Новослободская;
- Работа в стабильной, динамично развивающейся компании;
- Посещение профильных конференций и курсов, обучение за счёт компании;
- Гарантия профессионального развития и получения большого опыта;
- Молодой и дружный коллектив;
- Бонусы и премии по результатам работ;
- Уровень заработной платы по результатам собеседования (от 80k);
- Соблюдение ТК РФ.


Резюме присылайте по адресу: ops@inplat.ru

 , , , ,

weec ()

Сетевой инженер cisco/huawei/juniper удаленка

О себе: Возраст: 26 Гражданство: Россия График работы: удаленная работа

Образование 2010 Нижегородский государственный университет им. Н.И. Лобачевского (Национальный исследовательский университет), Нижний Новгород Вычислительной математики и кибернетики, Прикладная информатика

Знание языков Английский — читаю профессиональную литературу

Повышение квалификации, курсы 2010 Международная сетевая академия CISCO ННГУ им. Лобачевского, Cisco Certified Network Associate (CCNA)

Опыт работы 4 года Декабрь 2010 — по настоящее время Ростелеком, Нижегородский Филиал Информационные технологии, системная интеграция, интернет

Инженер второй категории Взаимодействие с техподдержкой по вопросам эксплуатации fttb, adsl

Настройка коммутаторов сети fttb Edgecore, Eltex, Qtech, Huawei

Взаимодействие с группой монтеров по вопросам монтажа fttb коммутаторов.

Тестирование fttb коммутаторов совместно с инженерами производителя на предмет совместимости существующей сетью.

Выезды к корпоративным клиентам для решения вопросов эксплуатации сети.

Ведущий инженер Ввод в эксплуатацию и обслуживание телекоммуникационного оборудования производителей Cisco, Huawei, Juniper.

Проведение ремонтно-настроечных работ связанных с модернизацией оборудования, изменением модели предоставления сервиса, вводом в эксплуатацию новых каналов связи.

Курирование Field Engineer в зоне ответственности по вопросам эксплуатации оборудования передачи данных.

Консультации корпоративных клиентов по вопросам построения сетей передачи данных.

Взаимодействие со смежными подразделениями по вопросам эксплуатации сети.

Взаимодействие с присоединенными провайдерами, вышестоящими организациями в структуре Ростелеком.

Эксплуатация мультивендорной магистральной сети около 1000 единиц оборудования (около 100 PE роутеров)

Зона ответственности: PE роутеры сети Нижегородского филиала Ростелеком.

Профессиональные навыки:

Опыт работы в команде IT специалистов разной специализации.

Работа с сетями передачи данных на уровне CCNP.

Linux на уровне пользователя.

Опыт проведение тестирования оборудования (роутеры, коммутаторы) перед закупкой на совместимость с моделью предоставления сервиса в сети НФ Ростелеком. Совместно с представителями производителя оборудования.

Опыт эксплуатации высоконагруженной, территориально распределенной сети провайдера.

Опыт планирование и проведение масштабных работ на сетях связи провайдера, например замена PE Роутера на крупных узлах доступа до 20 000 абонентов в течение ночного времени.

Опыт координация работы field engineer при проведении работ на сети провайдера.

Опыт планирование закупок оборудования в соответствии с перспективами развития и проблемными участками сети.

Опыт взаимодействие с инженерами вендоров телекоммуникационного оборудования по вопросам аварийных ситуаций возникающих на сети провайдера «ведение кейсов».

Периодические ночные дежурства (консультация сотрудников оперативно диспетчерской службы провайдера)

Опыт работы с оборудованием:

Cisco Routers: 7600, 1200, 7200, 3800, 3700, 3600, 2600, As5400, AS5300 Series Switches: ME4900, ME3400, Catalyst 3750, 3500, 2960, 2950, 2940 Series

Huawei Routers: CX600, NE40, NE80 Series Switches: S9300, S5600, S5300, S3900, S3300, S2300 Series

Juniper Routers: MX480, SRX Series Switches: EX Series

Qtech Switches: QSW-8200, QSW-2800 Series

Edgecore, ZTE, Eltex

могу в короткие сроки освоить оборудование любого производителя

Опыт настройка и эксплуатации протоколов и технологий:

Layer 2 service features:

VLAN Generic Attribute Registration Protocol (GARP) Generic VLAN Registration Protocol (GVRP) Selective QinQ Smart Link STP RSTP MSTP Link aggregation DHCP snooping IGMP snooping

IPv4 unicast routing protocols:

RIP OSPFv2 IS-IS BGP MPBGP

Multicast routing protocols:

IGMP MSDP PIM-DM PIM-SM PIM-SSM VRRP

MPLS features:

MPLS forwarding LDP MPLS-TE MPLS-OAM VPLS VLL BGP/MPLS IP VPN

Security features:

local authentication, TACACS, HWTACACS authentication. ACL configuration

Anti-attack features:

Port security DHCP snooping MAC limit ARP attack defense ICMP attack defense broadcast traffic suppression

Готов удаленно обслуживать Ваши сети. Желательно наличие gsm console и field engineer.

mail: sergeykf1988@gmail.com ICQ: 194850075

 , ,

Sergey1988 ()

(Москва) Младший системный администратор FreeBSD

Вас интересует построение и эксплуатация систем с высокой нагрузкой и есть желание развиваться в этой узкой сфере, но нет большого опыта? Если да, то эта вакансия для вас. Вы можете работать и набираться опыта, администрируя наши сервисы.

О нашей компании:
InPlat — это удобная и инновационная платежная компания, а также, разработчик IT-решений для банков и операторов связи. Наша компания работает с 2010 года и занимает одну из лидирующих позиций на рынке мобильной и электронной коммерции. Мы растем, развиваемся и количество задач растёт вместе с нами. Мы предлагаем присоединиться к нашей молодой и дружной команде. Гарантируем профессиональный рост, интересную работу и отличную зарплату.

Мы ожидаем, что Вы:
Имеете высшее либо среднее специальное образование;
Умеете творчески мыслить;
Имеете знание базовых команд Linux / FreeBSD;
Имеете знание основ сетевых технологий, принципов организации локальных и глобальных сетей;
Умеете работать в команде, перенимать опыт и делиться собственным;
Знаете английский язык ( не ниже уровня чтения проф. литературы );
Честны, ответственны и аккуратны.

Будет плюсом, если Вы:
Имеете опыт администрирования open source приложений;
Имеете опыт программирования на скриптовых языках.

Вам предстоит:
Обеспечение стабильной работы серверов ( на базе FreeBSD ) и инфраструктуры;
Настройка серверов и сетевого оборудования ( Juniper, Cisco );
Мониторинг нагрузок и ошибок;
Планирование и управление нагрузками;
Решение технических проблем;
Решение различных непредвиденных задач и возникающих вопросов.

Мы предлагаем Вам:
Работу в интересном проекте класса систем с высокими нагрузками;
Посещение профильных конференций и курсов, обучение за счёт компании;
Гарантия профессионального развития и получения большого опыта; Молодой и дружный коллектив;
Бонусы и премии по результатам работ;
Отличный уровень заработной платы по результатам собеседования; Соблюдение ТК РФ;
Рабочий день с 10:00 до 19:00;
Прекрасный офис в центре Москвы (м. Цветной бульвар).

Как всегда, з/п обсуждаема, от 35 т.р. (белая).
Резюме слать на yaroslav.mikhalev@inplat.ru

Спасибо.

 , ,

weec ()

Juniper - TP-Link

Привет всем!Подскажите как прописать роутинг в juniper? Есть адсл модем тп-линк с выходом в инет сеть 192.168.1.0/24 есть juniper с сетью 192.168.2.0/24 прописал роут через веб-интерфейс,но с компы с джунипера видят сеть 192.168.1.0,а с тп-линка сеть джунипера не видят

Destination route http://s005.radikal.ru/i209/1410/d1/be44efbd2f80.png

Source route http://s57.radikal.ru/i157/1410/81/27b5c408100e.png

 , , ,

NavL ()

Juniper

Привет всем!Подскажите как прописать роутинг в juniper? Есть адсл модем тп-линк с выходом в инет сеть 192.168.1.0/24 есть juniper с сетью 192.168.2.0/24 прописал роут через веб-интерфейс,но с компы с джунипера видят сеть 192.168.1.0,а с тп-линка сеть джунипера не видят

 , ,

NavL ()

juniper не поддерживает подключения из локальной сети в локальную сеть.

Имеется juniper srx210 с прошивкой:

admin@ant# run show chassis firmware 
Part                     Type       Version
FPC 0                    O/S        Version 12.1X46-D10.2 by builder on 2013-12
FWDD                     O/S        Version 12.1X46-D10.2 by builder on 2013-12

прописываю на нем статические маршруты:

admin@ant# show routing-options 
static {
    route 0.0.0.0/0 next-hop x.x.x.x;
    route 10.6.6.0/24 next-hop 192.168.10.79;
}

А также прописываю политику, которая должна разрешать сессию из локальный сети в локальную сеть:

admin@ant# show security policies from-zone Internal to-zone Internal 
policy ROUTES {
    match {
        source-address any;
        destination-address any;
        application any;
    }
    then {
        permit;
    }
}

потом лезу по VNC из сети 192.168.10.0/24 в сеть 10.6.6.0/24 и все бы хорошо связь устанавливается и даже успеваю сделать паружестов мышью по удаленному рабочему столу, но потом связь обрывается.

если я прописываю статический маршрут на своём компе до 10.6.6.0/24 то связь не рвется.

вопрос: Что не так? Почему juniper е рержит подключения инициированые через него? что стоит в него прописать для счастья?

 ,

Acceptor ()

Вопрос по Juniper NS5200

Здравствуйте. Очень с трудом мы подняли интерфейс mgt на Juniper NetScreen 5200, тоже упорно не хотел подниматься. Следующие интерфейсы eth.. не поднимаются вообще.

ns5200-> get route
IPv4 Dest-Routes for <untrust-vr> (0 entries)
--------------------------------------------------------------------------------------
H: Host C: Connected S: Static A: Auto-Exported
I: Imported R: RIP/RIPng P: Permanent D: Auto-Discovered
N: NHRP
iB: IBGP eB: EBGP O: OSPF/OSPFv3 E1: OSPF external type 1
E2: OSPF/OSPFv3 external type 2 trailing B: backup route


IPv4 Dest-Routes for <trust-vr> (6 entries)
--------------------------------------------------------------------------------------
ID IP-Prefix Interface Gateway P Pref Mtr Vsys
--------------------------------------------------------------------------------------
* 28 0.0.0.0/0 eth2/1 *.*.218.1 S 20 1 Root
* 29 0.0.0.0/0 mgt *.*.231.1 S 20 1 Root
* 24 *.*.218.129/32 eth2/1 0.0.0.0 H 0 0 Root
* 23 *.*.218.0/24 eth2/1 0.0.0.0 C 0 0 Root
* 20 *.*.231.0/24 mgt 0.0.0.0 C 0 0 Root
* 21 *.*.231.90/32 mgt 0.0.0.0 H 0 0 Root

ns5200-> get interface

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:
Name IP Address Zone MAC VLAN State VSD Vsys
mgt *.*.231.90/24 MGT 0010.dbb8.5e00 - U - Root
ha1 0.0.0.0/0 HA 0010.dbb8.5e05 - D - Root
ha2 0.0.0.0/0 HA 0010.dbb8.5e06 - D - Root
eth2/1 *.*.218.129/24 Trust 0010.dbb8.5e07 - U - Root
eth2/2 0.0.0.0/0 Trust 0010.dbb8.5e08 - D - Root
vlan1 0.0.0.0/0 VLAN 0010.dbb8.5e0f 1 D - Root
null 0.0.0.0/0 Null N/A - U - Root
До mgt интерфейса пинг ходит (и обратно), с eth2/1 ничего не ходит в оба направления. set policy from trust to untrust any any any permit сделан. Подскажите, пожалуйста!

 ,

Wheely ()