Marek607 655 Zgłoś post Napisano Lipiec 28, 2015 (edytowany) Hej, Gdzie jest dział do problemów sieciowych? Spędziłem już kilka wieczorow nad próbą zmuszenia srx-a do przekazywania pakietów między 2 komputerami. Konfiguracja według: http://kb.juniper.net/InfoCenter/index?page=content&id=KB21421 root# run show configuration ## Last commit: 2015-07-27 20:32:29 UTC by root version 12.1X47-D20.7; system { root-authentication { encrypted-password "tu bylo haslo"; ## SECRET-DATA } } interfaces { ge-0/0/0 { unit 0 { family bridge { interface-mode access; vlan-id 10; } } } ge-0/0/1 { unit 0 { family bridge { interface-mode access; vlan-id 10; } } } irb { unit 0 { family inet { address 172.27.186.63/24; } } } } routing-options { static { route 0.0.0.0 next-hop 172.27.186.1 } } security { policies { from-zone trust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } } bridge-domains { test { domain-type bridge; vlan-id 10; routing-interface irb.0; } } Niestety ping jest, ale tylko z hostów do 172.27.186.63 - komunikacja między hostami nie dziala. Poszłem wczoraj krok dalej - zrobiłem sobie routing statyczny (2 hosty + 2 routery cisco), sprawdzilem czy działa i wrzucilem między routery srx-a. Zaadresowalem interfejsy, jednak problem dalej jest. kolejna próba to prosta komunikacja: Tu też mimo 2 polecen nie mam pingu srxrouter Ustawiłem default-policy na permit all, tablica routingu wygląda poprawnie i brakuje mi juz pomysłow gdzie jest problem. Ktoś moze podpowie/pomoże gdzie robi błąd? Troche mnie dobija że 4 dni siedze nad tym by postawić srx-a miedzy 2 komputerami/ Calość na gns3 - hosty z virtualbox-a +vsrx ze strony junipera. Z góry dzięki za pomoc czy jakieś wskazówki. Edytowano Lipiec 28, 2015 przez Marek607 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Czakoszek 12 Zgłoś post Napisano Lipiec 28, 2015 (edytowany) Ostatnio dłubie trochę na Juniperach (niestety fizycznych), nie brakuje Tobie czasem strefy? Widzę, że polisy masz. Przykład: root@SRX550# show security zones security-zone www2 host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.564 { host-inbound-traffic { system-services { all; } protocols { all; } } } } Edytowano Lipiec 28, 2015 przez Czakoszek (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
kafi 2425 Zgłoś post Napisano Lipiec 29, 2015 Rozrysuj dokładnie i wrzuć topologię swojej sieci testowej - co gdzie jest połączone i jakie adresy IP ma przypisane. Udostępnij ten post Link to postu Udostępnij na innych stronach
Marek607 655 Zgłoś post Napisano Lipiec 29, 2015 (edytowany) root# run show security policies Default policy: permit-all From zone: trust, To zone: trust Policy: 1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses: any Destination addresses: any Applications: any Action: permit [edit] root# run show security zones Security zone: trust Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: all Interfaces: Security zone: junos-host Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces: [edit] root# run show configuration ## Last commit: 2015-07-29 08:31:03 UTC by root version 12.1X47-D20.7; system { root-authentication { encrypted-password "tu bylo haslo"; ## SECRET-DATA } } interfaces { ge-0/0/0 { unit 0 { family bridge { interface-mode access; vlan-id 10; } } } ge-0/0/1 { unit 0 { family bridge { interface-mode access; vlan-id 10; } } } irb { unit 0 { family inet { address 172.27.186.63/24; } } } } security { policies { from-zone trust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { all; } } } } bridge-domains { test { domain-type bridge; vlan-id 10; routing-interface irb.0; } } [edit] root# Topo: 2) Zrobiłem sobie prostą topologie z routingiem statycznym : Sprawdziłem i komputery ze sobą gadaly. Dodałem między R1 a R2 junipera ( z konfiguracją jak wyżej) - zarówno komputery jak i routery nie mogły pingować 172.27.186.63 jak i siebie nawzajem. Zmieniłem konfiguracje z przezroczystego na routing, nadałem interfejsom adresy ip i ustawilem routing - wyglada to tak: ## Last commit: 2015-07-29 09:46:10 UTC by root version 12.1X47-D20.7; system { root-authentication { encrypted-password "tu bylo haslo"; ## SECRET-DATA } } interfaces { ge-0/0/0 { unit 0 { family inet { address 172.27.185.2/24; } } } ge-0/0/1 { unit 0 { family inet { address 172.27.186.2/24; } } } } routing-options { static { route 172.27.181.0/24 next-hop 172.27.185.1; route 172.27.182.0/24 next-hop 172.27.186.1; } } security { policies { from-zone trust to-zone trust { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } default-policy { permit-all; } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { all; } } } } root# run show security zones Security zone: trust Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: all Interfaces: Security zone: junos-host Send reset for non-SYN session TCP packets: Off Policy configurable: Yes Interfaces bound: 0 Interfaces: [edit] root# run show security policies Default policy: permit-all From zone: trust, To zone: trust Policy: 1, State: enabled, Index: 4, Scope Policy: 0, Sequence number: 1 Source addresses: any Destination addresses: any Applications: any Action: permit [edit] root# tablica na R1 i R2: R1 Gateway of last resort is not set 172.27.0.0/24 is subnetted, 4 subnets C 172.27.182.0 is directly connected, FastEthernet0/0 S 172.27.181.0 [1/0] via 172.27.185.2 S 172.27.186.0 [1/0] via 172.27.185.2 C 172.27.185.0 is directly connected, FastEthernet0/1 R1# R2 Gateway of last resort is not set 172.27.0.0/24 is subnetted, 4 subnets S 172.27.182.0 [1/0] via 172.27.186.2 C 172.27.181.0 is directly connected, FastEthernet0/0 C 172.27.186.0 is directly connected, FastEthernet0/1 S 172.27.185.0 [1/0] via 172.27.186.2 R2# I tablica z junipera: root# run show route inet.0: 6 destinations, 6 routes (6 active, 0 holddown, 0 hidden) + = Active Route, - = Last Active, * = Both 172.27.181.0/24 *[static/5] 00:16:36 > to 172.27.185.1 via ge-0/0/0.0 172.27.182.0/24 *[static/5] 00:16:36 > to 172.27.186.1 via ge-0/0/1.0 172.27.185.0/24 *[Direct/0] 00:24:10 > via ge-0/0/0.0 172.27.185.2/32 *[Local/0] 00:24:10 Local via ge-0/0/0.0 172.27.186.0/24 *[Direct/0] 00:24:10 > via ge-0/0/1.0 172.27.186.2/32 *[Local/0] 00:24:10 Local via ge-0/0/1.0 [edit] dalej niestety nie moge pingować interfejsów junipera nawet z routera W którymś miejscu robie bląd przez który nic nie działa, z tym że nie mogę zlokalizować gdzie p może czegoś nie dodaje/zapomniałem? Dzieki za pomoc. Edytowano Lipiec 29, 2015 przez Marek607 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Lipiec 31, 2015 Ponieważ delikatnie się pogubiłem o tej porze to chcę tylko poprosić Ciebie o weryfikację tego fragmentu: routing-options { static { route 172.27.181.0/24 next-hop 172.27.185.1; route 172.27.182.0/24 next-hop 172.27.186.1; } } Udostępnij ten post Link to postu Udostępnij na innych stronach
Marek607 655 Zgłoś post Napisano Październik 25, 2015 (edytowany) Hej, nie odpuściłem tematu i w koncu udało mi się połączyć z vsrx-em ( kilkadziesiąt godzin walki ) quemu i virtualbox nie chciały współpracować, ale podpiąłem się w GNS3 pod interfejs vmware i jest połączenie cisco-juniper. mam natomiast drugi problem: Ustawiłem tak połączenie: R1 pinguje Junipera czyli cloud i odwrotnie, jednak nie ma połączenia Juniper R2 W vmware ustawiłem jako drugi adapter /dev/vmnet8 , jednak pewnie trzeba jakoś przypisać go do ge-0/0/1.0. Ktoś może mi podpowiedzić jak mogę to zrobić? szukam, ale nie moge znaleśc nigdzie takiej informacji. Z góry dzięki. EDIT : commit i wszystko działa - najprostsze problemy są najtrudniejsze do zweryfikowania Edytowano Październik 25, 2015 przez Marek607 (zobacz historię edycji) 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
