VPN на Juniper NetScreen SSG5

Статическая и динамическая, протоколы

VPN на Juniper NetScreen SSG5

Сообщение compreSSor » 25 авг 2010, 16:30

всем добрый день.

стал обращаться на форумы - потому что полная безнадёга !!!

есть обычная задача - VPN между 2-мя одинаковыми железками + роутить на третью подсеть:
- локальная сеть - 192.168.0.0/24 (NetScreen SSG5 - 192.168.0.250)
- удалённая сеть - 10.178.24.0/24 (NetScreen SSG5 - 10.178.24.3)
- в удалённой сети есть Cisco - 10.178.24.1 (на которой настроен роут на конечную сеть)
- конечная сеть - 172.30.22.0/24

тоесть 192.168.0.x -> 192.168.0.250 -> 10.178.24.3 -> 10.178.24.1 -> 172.30.22.x

VPN построен на AutoKey IKE - созданы gateway - прописаны маршруты - всё вроде бы ОК... но есть нюанс !!!

делаю пинг из сети 10.178.24.0/24
ping 192.168.0.250 - OK
ping 192.168.0.101 - OK
и т.д. и т.п. - тоесть пингует любую машину

делаю пинг из сети 192.168.0.0/24
ping 10.178.24.3 - OK
ping 10.178.24.1 - вот тут ВСЁ - балалайка - дальше джунипера ни идёт хоть ты тресни

пробовал делать VPN на Policy-Based - по сети ходит, а вот как прописать маршрут от 192.168.0.0/24 -> 172.30.22.0/24 через этот же туннель - не знаю
(настраивал по мануалу - http://kb.juniper.net/index?page=conten ... 2744157157)
народ - помогите, кто чем может - советом, матом, чем угодно !!!
compreSSor
новичок
 
Сообщения: 8
Зарегистрирован: 25 авг 2010, 16:00

Re: VPN на Juniper NetScreen SSG5

Сообщение root » 25 авг 2010, 18:45

ну а трассы ты смотрел ?

compreSSor писал(а):ping 10.178.24.1 - вот тут ВСЁ - балалайка - дальше джунипера ни идёт хоть ты тресни

скорее всего получается, что 10.178.24.1 не знает как вернуть пакеты в 192.168.0.0/24
куда у циски (10.178.24.1) смотрит default gateway или есть ли на ней маршрут до 192.168.0.0/24 ?
вообщем покажи вывод команды
Код: Выделить всё
show ip route

что бы все сразу понятно всем стало
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: VPN на Juniper NetScreen SSG5

Сообщение compreSSor » 25 авг 2010, 19:32

ок...допустим 10.178.24.1(она же циска) не знает как вернуть пакеты в 192.168.0.0/24
а откуда тогда комп с айпишником 192.168.0.101знает,как вернуть пакеты в 10.178.24.0/24 ???

P.S.а что это за show ip route
на моём джунипере такого нет
могу только get vrouter trust\untrust показать
но там особо нового ничего не будет

проблемный трас
Код: Выделить всё
192.168.0.250-> trace-route 10.178.24.1
Type escape sequence to escape

Send ICMP echos to 10.178.24.1, timeout is 2 seconds,  maximum hops are 32,
1       26ms    41ms    24ms    10.178.24.3
2       *       *       *
3       *       *       *
4       *       *       *
5       *       *       *
6       *       *       *
7       *       *       *
8       *       *       *
9       Trace aborted


нормальный трас

Код: Выделить всё
10.178.24.3-> trace-route 192.168.0.101
Type escape sequence to escape

Send ICMP echos to 192.168.0.101, timeout is 2 seconds,  maximum hops are 32,
1       91ms    25ms    25ms    192.168.0.250
2       24ms    26ms    25ms    192.168.0.101
Trace complete
compreSSor
новичок
 
Сообщения: 8
Зарегистрирован: 25 авг 2010, 16:00

Re: VPN на Juniper NetScreen SSG5

Сообщение compreSSor » 25 авг 2010, 19:40

таблица маршрутизации на джунипере 10.178.24.3

Код: Выделить всё
get vrouter trust

         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*        16          0.0.0.0/0            n/a      untrust-vr   S   20      1     Root
*        52     172.30.22.0/24        bgroup0     10.178.24.1   S   20      1     Root
*        69     10.178.24.0/24        bgroup0         0.0.0.0   C    0      0     Root
*        73     192.168.0.0/24          tun.1         0.0.0.0   S   20      1     Root
*        70     10.178.24.3/32        bgroup0         0.0.0.0   H    0      0     Root
*        53    193.83.219.0/24        bgroup0     10.178.24.1   S   20      1     Root


Код: Выделить всё
get vrouter untrust

         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*        41          0.0.0.0/0         eth0/0    62.80.174.41   S   20      1     Root
*        40    62.80.174.46/32         eth0/0         0.0.0.0   H    0      0     Root
*        39    62.80.174.40/29         eth0/0         0.0.0.0   C    0      0     Root
compreSSor
новичок
 
Сообщения: 8
Зарегистрирован: 25 авг 2010, 16:00

Re: VPN на Juniper NetScreen SSG5

Сообщение compreSSor » 25 авг 2010, 19:42

таблица маршрутизации на джунипере 192.168.0.250

Код: Выделить всё
get vrouter trust

         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*         4          0.0.0.0/0            n/a      untrust-vr   S   20      1     Root
*       114     10.178.24.0/24          tun.1         0.0.0.0   S   20      1     Root
*        87   192.168.0.250/32        bgroup0         0.0.0.0   H    0      0     Root
*        86     192.168.0.0/24        bgroup0         0.0.0.0   C    0      0     Root


Код: Выделить всё
get vrouter untrust

         ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys
--------------------------------------------------------------------------------------
*         4          0.0.0.0/0         eth0/0 213.227.192.232   C    0      1     Root
*         2 213.227.211.125/32         eth0/0         0.0.0.0   H    0      0     Root
*         1 213.227.211.125/32         eth0/0         0.0.0.0   C    0      0     Root
compreSSor
новичок
 
Сообщения: 8
Зарегистрирован: 25 авг 2010, 16:00

Re: VPN на Juniper NetScreen SSG5

Сообщение root » 26 авг 2010, 08:41

compreSSor писал(а):могу только get vrouter trust\untrust показать

с NetScreen не работал посему мне сложно ориентироваться в колонке "Interface"
главное что бы каждая сеть смотрела в правильный интерфейс, за которым она действительно доступна
но на первый взгляд все нормально

compreSSor писал(а):а откуда тогда комп с айпишником 192.168.0.101знает,как вернуть пакеты в 10.178.24.0/24 ???

сам комп не знает, у него скорее всего ведь только default gateway прописан на 192.168.0.250, вот так пакет уходит, а у 10.178.24.3 есть маршрут в 192.168.0.0/24 вот так пакет возвращается

compreSSor писал(а):P.S.а что это за show ip route
на моём джунипере такого нет

ессно на джунике такого нет, это команда для циски, ты же написал:
compreSSor писал(а):тоесть 192.168.0.x -> 192.168.0.250 -> 10.178.24.3 -> 10.178.24.1 -> 172.30.22.x

compreSSor писал(а):10.178.24.1(она же циска)

вот на этой циске и выполни эту команду и покажи мне её таблицу роутинга

З.Ы. на джунике может сработать команда:
Код: Выделить всё
show route


compreSSor писал(а):таблица маршрутизации на джунипере 192.168.0.250

а почему у него нет маршрута в сеть 172.30.22.0/24 ?
или доступ из 192.168.0.0/24 к этой подсети не нужен ?

а с 10.178.24.3 есть пинг до 10.178.24.1 ?

по всему получается что у тебя засада на циске 10.178.24.1, потому я и прошу таблицу роутинга с нее
кстати, а что это за циска ? какая модель ? она точно может быть роутером ?
на ней дана команда
Код: Выделить всё
ip routing

?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: VPN на Juniper NetScreen SSG5

Сообщение compreSSor » 26 авг 2010, 09:17

я вкратце напишу как раньше было:
VPN был поднят на 2-х машинах с FreeBSD - с одной стороны был 192.168.0.100 c другой 10.178.24.2.
на циске уже были прописаны маршруты в сторону 192.168.0.0/24 и 172.30.22.0/24
поменялось только то, что вместо VPN на фре появился VPN на джуниперах - 192.168.0.250 и 10.178.24.3 - как бы всё
пинги и трасе-роут с 10.178.24.3 на 10.178.24.1 ходят чудесно
даже подключали обычный комп 10.178.24.5 в сетку - с 192.168.0.250 его не видно

192.168.0.250 -> trace-route 10.178.24.5
1 1ms 1ms 1ms 10.178.24.3
2 * * *
3 * * *
и т.д.

все устройства в сети 10.178.24.0/24 подключены непосредственно в джунипер в bgroup0
соответственно роут на джунипере
* 69 10.178.24.0/24 bgroup0 0.0.0.0 C 0 0 Root
уже сам по себе должен роутить весь траф в эту сеть

P.S. на джунипере 192.168.0.250 не прописаны маршруты в сторону 172.30.22.0/24 - потому что пока не смысла их прописывать - дальше 10.178.24.3 я не добирался ((((
compreSSor
новичок
 
Сообщения: 8
Зарегистрирован: 25 авг 2010, 16:00

Re: VPN на Juniper NetScreen SSG5

Сообщение root » 26 авг 2010, 09:30

ты ответил не все мои вопросы и вывод команды, которую я просил так и не привел

root писал(а):покажи вывод команды
Код: Выделить всё
show ip route

на циске


root писал(а):по всему получается что у тебя засада на циске 10.178.24.1, потому я и прошу таблицу роутинга с нее
кстати, а что это за циска ? какая модель ? она точно может быть роутером ?
на ней дана команда
Код: Выделить всё
ip routing

?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

Re: VPN на Juniper NetScreen SSG5

Сообщение compreSSor » 26 авг 2010, 13:52

Вмешаюсь, это не топикстартер, это "хозяин" стороны с циской :)

Попробую внести ясность и расставить акценты.

1. Оставляем в покое циску,она работает. фейс фри из Сети А смотрит во внутренний фейс циски из той же сети А, на этот фейс циски роутятся сети Б и Ц, циска все замечательно отдает.
2. В эту же Сеть А Втыкаем траст жунипера, антраст жунипера смотрит в инет.Строим впн на другую сторону между Сетью А и сетью Д той стороны. все работает, сеть А с той стороны видна,все.
Внимание,вопрос: Как заставить удаленный жунипер роутить сети Б и Ц на адрес из сети А !!! Ни роутингом ни полиси сделать это не получается.
compreSSor
новичок
 
Сообщения: 8
Зарегистрирован: 25 авг 2010, 16:00

Re: VPN на Juniper NetScreen SSG5

Сообщение root » 26 авг 2010, 18:12

compreSSor писал(а):Попробую внести ясность

внести ясность сейчас может только одно:
вывод команды
Код: Выделить всё
show ip route

вот это действительно может внести хоть какую то ясность

compreSSor писал(а):Оставляем в покое циску,она работает

м.б. ты и считаешь что работает, а я пока не вижу что бы она работала как надо
если бы она работала, то сообщения:
compreSSor писал(а):делаю пинг из сети 192.168.0.0/24
ping 10.178.24.3 - OK
ping 10.178.24.1 - вот тут ВСЁ - балалайка - дальше джунипера ни идёт хоть ты тресни

не было бы
если я прошу что то, то прошу не из праздного интереса, т.к. часто люди говорят одно, а на оборудовании совсем иное
я не совсем понимаю в чем проблема выложить вывод команды вместо слов "она работает"
так же не помешает все же ответить на заданные ранее вопросы:
root писал(а):кстати, а что это за циска ? какая модель ? она точно может быть роутером ?
на ней дана команда
Код: Выделить всё
ip routing

?


хотите что бы вам помогли разобраться ? тогда отвечайте на задаваемые вопросы, для меня фразы "она работает" не достаточно
вот увижу выводы команд и ответы на заданные мной вопросы, то тогда может и поверю что она работает
а на данный момент я понимаю, что затык на ней

compreSSor писал(а):из Сети А

а какая сеть для тебя "А" ? В подсетях пжалста. В первом сообщении было сказано:
compreSSor писал(а):192.168.0.x -> 192.168.0.250 -> 10.178.24.3 -> 10.178.24.1 -> 172.30.22.x

кто из них "А", кто "Б" и т.д.

compreSSor писал(а):Внимание,вопрос: Как заставить удаленный жунипер роутить сети Б и Ц на адрес из сети А !!!

роутить можно только на прямого соседа, т.е. черех хоп роутить нельзя
исходя из схемы, таблицы роутинга на девайсах должны вылядеть так:
на 192.168.0.250
10.178.24.0/24 -> в туннель в сторону 10.178.24.3
172.30.22.0/24 -> в туннель в сторону 10.178.24.3

на 10.178.24.3
192.168.0.0/24 -> в туннель в сторону 192.168.0.250
172.30.22.0/24 -> на 10.178.24.1

на 10.178.24.1
192.168.0.0/24 -> на 10.178.24.3

на компах в подсети 192.168.0.0/24 должен быть настроен или default gateway на 192.168.0.250 или прописаны маршруты до 10.178.24.0/24, 172.30.22.0/24 через 192.168.0.250
на компах в подсети 172.30.22.0/24 должен быть настроен или default gateway на 10.178.24.1 или прописан маршрут до 192.168.0.0/24 через 10.178.24.1

вот при таком раскладе все всех будут "видеть"

З.Ы. 2Топикстартер и 2цисковладелец:
или вы отвечаете на все поставленные вопросы или закрываем топик, т.к. на игру "угадайка" у нас времени нет
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1881
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia

След.

Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron