Skocz do zawartości
Marek607

juniper srx i transparent mode

Polecane posty

Hej,

 

Gdzie jest dział do problemów sieciowych? :P

 

Spędziłem już kilka wieczorow nad próbą zmuszenia srx-a do przekazywania pakietów między 2 komputerami.

 

Konfiguracja według:

http://kb.juniper.net/InfoCenter/index?page=content&id=KB21421

root# run show configuration 
## Last commit: 2015-07-27 20:32:29 UTC by root
version 12.1X47-D20.7;
system {
    root-authentication {
        encrypted-password "tu bylo haslo"; ## SECRET-DATA
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 10;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 10;
            }
        }
    }                                   
    irb {
        unit 0 {
            family inet {
                address 172.27.186.63/24;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0 next-hop 172.27.186.1
    }
}
security {
    policies {
        from-zone trust to-zone trust {
            policy 1 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }                       
                then {
                    permit;
                }
            }
        }
    }
bridge-domains {
    test {                              
        domain-type bridge;
        vlan-id 10;
        routing-interface irb.0;
    }
}

Niestety ping jest, ale tylko z hostów do 172.27.186.63 - komunikacja między hostami nie dziala.

 

Poszłem wczoraj krok dalej - zrobiłem sobie routing statyczny (2 hosty + 2 routery cisco), sprawdzilem czy działa i wrzucilem między routery srx-a.

Zaadresowalem interfejsy, jednak problem dalej jest.

 

kolejna próba to prosta komunikacja:

 

Tu też mimo 2 polecen nie mam pingu srxrouter

Ustawiłem default-policy na permit all, tablica routingu wygląda poprawnie i brakuje mi juz pomysłow gdzie jest problem.

 

Ktoś moze podpowie/pomoże gdzie robi błąd?

Troche mnie dobija że 4 dni siedze nad tym by postawić srx-a miedzy 2 komputerami/

 

Calość na gns3 - hosty z virtualbox-a +vsrx ze strony junipera.

Z góry dzięki za pomoc czy jakieś wskazówki.

Edytowano przez Marek607 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ostatnio dłubie trochę na Juniperach (niestety fizycznych), nie brakuje Tobie czasem strefy? Widzę, że polisy masz.

 

Przykład:

root@SRX550# show security zones security-zone www2
host-inbound-traffic {
    system-services {
        all;
    }
    protocols {
        all;
    }
}
interfaces {
    vlan.564 {
        host-inbound-traffic {
            system-services {
                all;
            }
            protocols {
                all;
            }
        }
    }
}
 
Edytowano przez Czakoszek (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Rozrysuj dokładnie i wrzuć topologię swojej sieci testowej - co gdzie jest połączone i jakie adresy IP ma przypisane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
root# run show security policies                                            
Default policy: permit-all
From zone: trust, To zone: trust
  Policy: 1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
    Source addresses: any
    Destination addresses: any
    Applications: any
    Action: permit

[edit]
root# run show security zones                                               

Security zone: trust
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes  
  Interfaces bound: all
  Interfaces:

Security zone: junos-host
  Send reset for non-SYN session TCP packets: Off
  Policy configurable: Yes  
  Interfaces bound: 0
  Interfaces:

[edit]
root# run show configuration                                                
## Last commit: 2015-07-29 08:31:03 UTC by root
version 12.1X47-D20.7;
system {
    root-authentication {
        encrypted-password "tu bylo haslo"; ## SECRET-DATA
    }
}
interfaces {
    ge-0/0/0 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 10;
            }
        }
    }
    ge-0/0/1 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 10;
            }
        }
    }                                   
    irb {
        unit 0 {
            family inet {
                address 172.27.186.63/24;
            }
        }
    }
}
security {
    policies {
        from-zone trust to-zone trust {
            policy 1 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        default-policy {                
            permit-all;
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
              all;
            }
        }
    }
}
bridge-domains {
    test {
        domain-type bridge;
        vlan-id 10;                     
        routing-interface irb.0;
    }
}

[edit]
root# 

Topo: 2host.png

 

 

2) Zrobiłem sobie prostą topologie z routingiem statycznym :

sroute.png

 

 

Sprawdziłem i komputery ze sobą gadaly.

Dodałem między R1 a R2 junipera ( z konfiguracją jak wyżej) - zarówno komputery jak i routery nie mogły pingować 172.27.186.63 jak i siebie nawzajem.

 

Zmieniłem konfiguracje z przezroczystego na routing, nadałem interfejsom adresy ip i ustawilem routing - wyglada to tak:

 

## Last commit: 2015-07-29 09:46:10 UTC by root
version 12.1X47-D20.7;
system {
root-authentication {
encrypted-password "tu bylo haslo"; ## SECRET-DATA
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
address 172.27.185.2/24;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
address 172.27.186.2/24;
}
}
}
}
routing-options {
static {
route 172.27.181.0/24 next-hop 172.27.185.1;
route 172.27.182.0/24 next-hop 172.27.186.1;
}
}
security {
policies {
from-zone trust to-zone trust {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
default-policy {
permit-all;
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
all;
}
}
}
}
root# run show security zones
Security zone: trust
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: all
Interfaces:
Security zone: junos-host
Send reset for non-SYN session TCP packets: Off
Policy configurable: Yes
Interfaces bound: 0
Interfaces:
[edit]
root# run show security policies
Default policy: permit-all
From zone: trust, To zone: trust
Policy: 1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1
Source addresses: any
Destination addresses: any
Applications: any
Action: permit
[edit]
root#

 

 

tablica na R1 i R2:

 

R1
Gateway of last resort is not set
172.27.0.0/24 is subnetted, 4 subnets
C 172.27.182.0 is directly connected, FastEthernet0/0
S 172.27.181.0 [1/0] via 172.27.185.2
S 172.27.186.0 [1/0] via 172.27.185.2
C 172.27.185.0 is directly connected, FastEthernet0/1
R1#
R2
Gateway of last resort is not set
172.27.0.0/24 is subnetted, 4 subnets
S 172.27.182.0 [1/0] via 172.27.186.2
C 172.27.181.0 is directly connected, FastEthernet0/0
C 172.27.186.0 is directly connected, FastEthernet0/1
S 172.27.185.0 [1/0] via 172.27.186.2
R2#

 

 

 

I tablica z junipera:

 

 

root# run show route
inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden)
+ = Active Route, - = Last Active, * = Both
172.27.181.0/24 *[static/5] 00:16:36
> to 172.27.185.1 via ge-0/0/0.0
172.27.182.0/24 *[static/5] 00:16:36
> to 172.27.186.1 via ge-0/0/1.0
172.27.185.0/24 *[Direct/0] 00:24:10
> via ge-0/0/0.0
172.27.185.2/32 *[Local/0] 00:24:10
Local via ge-0/0/0.0
172.27.186.0/24 *[Direct/0] 00:24:10
> via ge-0/0/1.0
172.27.186.2/32 *[Local/0] 00:24:10
Local via ge-0/0/1.0
[edit]

 

 

dalej niestety nie moge pingować interfejsów junipera nawet z routera :blink:

 

W którymś miejscu robie bląd przez który nic nie działa, z tym że nie mogę zlokalizować gdzie p może czegoś nie dodaje/zapomniałem?

Dzieki za pomoc.

 

Edytowano przez Marek607 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Ponieważ delikatnie się pogubiłem o tej porze to chcę tylko poprosić Ciebie o weryfikację tego fragmentu:

 

routing-options {                       
    static {
        route 172.27.181.0/24 next-hop 172.27.185.1;
        route 172.27.182.0/24 next-hop 172.27.186.1;
    }
}

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Hej,


nie odpuściłem tematu i w koncu udało mi się połączyć z vsrx-em ( kilkadziesiąt godzin walki :D )

quemu i virtualbox nie chciały współpracować, ale podpiąłem się w GNS3 pod interfejs vmware i jest połączenie cisco-juniper.


mam natomiast drugi problem:


Ustawiłem tak połączenie:


gns.png


R1 pinguje Junipera czyli cloud i odwrotnie, jednak nie ma połączenia Juniper R2


W vmware ustawiłem jako drugi adapter /dev/vmnet8 , jednak pewnie trzeba jakoś przypisać go do ge-0/0/1.0.


Ktoś może mi podpowiedzić jak mogę to zrobić? szukam, ale nie moge znaleśc nigdzie takiej informacji.

Z góry dzięki.



EDIT : commit i wszystko działa - najprostsze problemy są najtrudniejsze do zweryfikowania :P

Edytowano przez Marek607 (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×