Перейти к содержанию

Метка: juniper

Juniper SRX и Cisco ASA: серия очередная

Первый раз строить IPSec между Juniper SRX и Cisco ASA мне довелось ещё в далёком 2014 году. Уже тогда это было весьма болезненно, потому что проблем было много (обычно — разваливающийся при регенерации туннель), диагностировать было сложно (ASA стояла у нашего заказчика, поэтому возможности для дебага были ограничены), но как-то это работало.

С той поры и рекомендованный JunOS для SRX обновился на 15.1 (для линейки SRX300, по крайней мере), и ASA научилась в route based IPSec (c версии софта 9.8), что несколько упрощает настройку. И вот на текущей работе не так давно представился шанс снова собрать такую схему. И снова неудачно — при регенерации туннель благополучно падал (и не всегда поднимался без ручного рестарта). И снова в логах тишина и непонятки, а т.к. ASA находилась у нашего партнёра, то и дебажить, соответственно, не было никакой возможности.И вот теперь представился случай собрать схему, при которой обе стороны (и SRX, и ASA) находятся под нашим управлением, соответственно, поиграться можно на славу.

Оставьте комментарий

Мониторинг с помощью RPM probe в Juniper

Многие знают, что в Cisco есть такая удобная штука, как IP SLA. Она позволяет прямо с устройства запускать различные тесты (icmp, tcp, udp), и на основании их совершать какие-то действия — например, переключать роуты.
Как использовать IP SLA для переключения каналов на роутере, можно почитать на замечательном сайте LinkMeUp (кстати, рекомендую весь цикл «Сети для самых маленьких», узнаете много нового).

Ну а мы будем настраивать аналог IP SLA в Juniper, и называется он RPM (Realtime Perfomance Monitoring)

1 Комментарий

Juniper SRX и Libreswan (и ещё StrongSwan)

Тема ipsec в этом блоге поднимается часто, особенно в последнее время. Это и неудивительно — мне по работе частенько приходится объединять разные роутеры и виртуалки через IPSec (например, Mikrotik и libreswan, Mikrotik и Juniper, или Juniper и Cisco).

А теперь мы попробуем ещё одну связку — Juniper SRX и linux-виртуалку. В качестве ipsec-демона будем использовать Libreswan и Strongswan (кому что больше нравится).

Итак, поехали!

3 комментария

IPSec: Mikrotik и Juniper

Я уже писал как настроить IPSec между Cisco и Mikrotik. С тех пор утекло много воды, но, периодически, возникает необходимость задружить Микротик с чем-нибудь. Иногда даже по IPSec. Сегодня будем дружить с Juniper SRX.
mkt2srx
Кратенько, буквально в режиме how-to хочу рассказать как их подружить через ipsec site-to-site. На стороне Juniper настраиваем route-based VPN. На обеих сторонах будем использовать DST/SRC-NAT чтобы жизнь медом не казалась.

14 комментариев

Настройка отправки Jflow в Juniper SRX

Завершя историю про Juniper JFLOW многострадальный, и как его все-таки настроить.

Входные данные: кластер (это важно) из двух Juniper SRX550. Версия софта — не сильно древняя (у меня 12.1X45, еще полгода назад рекомендованная джунипером для этой линейки).
Т.к. у меня кластер, то flow v9 сразу отметается (в KB четко сказано, что v9 в кластерной конфигурации не поддерживается), т.е. остается v5 (v8 я не рассматривал даже).
Как я уже говорил , работать оно будет только из default VR, это надо учесть.

Оставьте комментарий

Настройка SNMP и Syslog на Juniper SRX

Выдалась более-менее свободная неделька чтобы поковырять Juniper. Опять же, закончилась моя эпопея с JTAC и отправкой JFLOW. Внезапно(тм) выяснилось, что слать FLOW аппарат умеет только из Default VR, а сообщить об этом в мануале толи забыли, то ли сделали это так ненавязчиво. что я банально это пропустил.

Под катом самая макотка — вдруг кому пригодится.
Сразу оговорюсь — даже не пытайтесь настраивать control-функии (snmp, syslog, flow, ntp) через VR. Проблем огребете гарантированно, а пользу получите весьма сомнительную. Лучше свести все взаимодействие c коробкой к mng-интерфейсу. Тем более что даже если настроить (вроде бы!) отсылку всевозможных сообщений через VR, то, в самый неподходящий момент, может выясниться, что часть информации кладет болт на ваши настройки и шлет из default VR.

Оставьте комментарий

Настойка можжевельника: готовим Juniper SRX. Часть 3: Virtual Routers

juniper — можжевельник (англ.)

Продолжаем готовить настойку из можжевельника. О том, как мы начинали, можно почитать здесь и здесь. Сегодня же немного потрогаем такую удобную штуку, как Virtual Routers, и подумаем, как ее применить с наибольшей пользой.

Содержание:
Часть 1: Знакомство
Часть 2: IPSec
Часть 3: Virtual Routers

2 комментария

Траблшутинг ipsec-туннелей в Juniper

Статья подготовлена для Хабрахабр

Статей по настройке IPSec на Juniper SRX уже появилось несколько: раз, два, три. Но я бы хотел отойти чуть в сторону, и поговорить о том случае, когда что-то пошло не так.

JunOS предоставляет довольно удобные средства мониторинга и траблшутинга туннелей. Часть из них описана в официальной вики, часть есть на просторах интернета, что-то узнаешь из общения с JTAC.

Что оказалось полезным для меня:
Описание ошибок VPN — довольно подробная табличка при анализе логов. Так же информацию можно посмотреть здесь (удобно сгруппировано по типам VPN-туннелей).

Ну а самая мякотка под катом.

Оставьте комментарий

Настойка можжевельника: готовим Juniper SRX. Часть 2: IPSec

Не так давно мы пощупали немножко Juniper SRX, настроили его , и собрали отказоустойчивый кластер. Теперь начнем поднимать на нем «боевые» схемы, ради которых все и затевалось.
Например, соберем мысленно вот такую схему:
jpsrxvpn

На схеме видим центральный офис и подключенную к нему ноду — это может быть как филиал, так и какой-то удаленный заказчик/клиент, для связи с которыми требуется защищенное соединение. Разумеется, их может быть несколько (об этом ниже). Способ связи при этом нам абсолютно не важен: хоть Интернет, хоть «темное волокно» — данные все равно нужно шифровать, чтобы свести к нулюминимуму риск их утечки. И чем выше стойкость шифра и совершенней способ фильтрации, тем целее будут нервы администратора (как вы, наверное, знаете, сисадмин, как и любая замкнутая система, всегда стремится к состоянию покоя).

Сегодня мы будем поднимать IPSec-туннели.

2 комментария