praegune kellaaeg 05.06.2024 09:56:00
|
Hinnavaatlus
:: Foorum
:: Uudised
:: Ärifoorumid
:: HV F1 ennustusvõistlus
:: Pangalink
:: Telekavad
:: HV toote otsing
|
|
autor |
sõnum |
|
Armagedon
HV kasutaja
liitunud: 31.08.2004
|
02.07.2022 18:50:28
Juniper SRX 220 IPSEC dynamic VPN |
|
|
Juniper SRX 220 IPSEC dynamic VPN.
On olnud probleeme selle käimasaamisega ja on siiani. Algselt oli WANiks VDSL2 kaart.
Dynamic VPNi käima ei saanud. Tähendab, VPNi tunneli tõstis üles, aga liiklust ei toimunud ja kuhugile remote-protected-resources'idele ligi ei saanud.
Siis keegi kogenum Juniperi seadistaja madistas ja leidis, et port 443 tuleb vabaks teha (olin seda plaaninud mujal kasutada). Peale seda sai justkui VPNi tööle.
Ühen siiski, et just kui, sest:
Juniper on seadistuse nii vahvalt teinud, et sa saad DNS servereid mitmes kohas kirja panna: esmalt: System properties -> System Identity all,
siis Services -> DHCP -> DHCP service -> seal all nii Global Settings, kui ka Pool'i all.
Pole veel leidnud, mis loogika ja hierarhia järgi DNS server kuhugi läheb.
Ja mingil imelikul kombel, DNS serverite näppine põhjustas seda, kas VPN'iga saad sisevõrku ligi, või siis mitte. Seda loogikat ei suutnud läbi hammustada ja jäi töötav
seadistus kuni momendini, mil ISP otsustas VDSL'i vahetada optika vastu.
VDSL kaart läks seadmest välja, WAN'i seadistus sai ringi tehtud ge-0/0/0.0 peale aga... enam VPN ei toimi.
Port 443 on endiselt vaba.
IPSEC tunneli võtab üles, klient saab IP aadressi ka, aga Default Gateway jääb tühjaks (ehkki konfis on määratud).
remote-protected-resources'idele ligi ei saa, nendesse võrkudesse pingida ka ei saa.
https://www.upload.ee/files/14288650/puuduvgateway.png.html
Ehk on siin keegi, kes oskab nõu anda. Siia marsruuteri konfi ei postita, küsimise peale saadan.
Googeldanud ja erinevaid variante proovinud olen. Tundub justkui tulemüüri probleem, ometi seal oleks justkui kõik korras.
|
|
Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
22 |
|
tagasi üles |
|
|
hunger
HV kasutaja
liitunud: 20.08.2006
|
11.07.2022 22:40:24
|
|
|
Puusalt tulistades ütleks, et mingi kamm DHCP service's, seal DHCP attributes ning pandud sinna "Propagate settings" vanale VDSL2 interfeissile.
Variant, et selle vahetamine ge-0/0/0.0 vastu või "none" peale ja manuaalselt gateway seadistamine võib lahendada.
System Identity all asuvad DNS serverid on mõeldud rohkem SRX enda tarbeks (igast IPS ja AV uuenduste kontrolliks, hostname resolution jne).
DHCP all määrad vaid DNS serverid, mis siis klientidele jagatakse aadressite väljastamisel, olgu nad Google, Cloudflare või kellegi kolmanda omad.
Võid ka "Firewall authentication" (Access profiles/Address ranges) või "SSL profiles" all olevad profiilid üle vaadata, et VDSL ühendusega seotud seadistusi seal määratud pole.
Muidugi ka vana hea WAN tsoonis host-bound-traffic ge-0/0/0.0 interfeissil kontrollida, et https ja ike lubatud oleks.
|
|
Kommentaarid: 15 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
14 |
|
tagasi üles |
|
|
Armagedon
HV kasutaja
liitunud: 31.08.2004
|
|
Kommentaarid: 23 loe/lisa |
Kasutajad arvavad: |
|
:: |
0 :: |
0 :: |
22 |
|
tagasi üles |
|
|
|
lisa lemmikuks |
|
|
sa ei või postitada uusi teemasid siia foorumisse sa ei või vastata selle foorumi teemadele sa ei või muuta oma postitusi selles foorumis sa ei või kustutada oma postitusi selles foorumis sa ei või vastata küsitlustele selles foorumis sa ei saa lisada manuseid selles foorumis sa võid manuseid alla laadida selles foorumis
|
|
Hinnavaatlus ei vastuta foorumis tehtud postituste eest.
|