我们有3个Juniper SRX-100防火墙,它们的configuration如下:
FW1→FW2→INTERNET→FW3
我们希望在FW3和FW1之间build立一条穿过FW2的IPSEC隧道,最好使用NAT-T。 这可能吗?
FW1和FW2有一些严格的接入规则,只允许一个端口连接(这是一个带有服务器的DMZ),所以我们不能在FW1和FW2之间创build一个基于路由的VPN来转发stream量(否则所有的stream量都会被转发)
我们知道隧道是好的,因为我们已经在FW1和FW3之间进行了testing(中间没有FW2),所以我们知道这个问题与FW2上的“直通”有关。
本质上,问题是 – 我们需要在FW2上select哪些选项,使其能够直接通过IPSECstream量到FW1?
如果它像SSG的东西那么你可以创build一个端口,虽然(可能)
在FW2的'Dirty'侧设置一个目的地,'主机'为FW1,然后通过策略。
我不是杜松专家,但它应该让你像这样转发
您在SRX上使用的默认设置将正常工作(只是不要设置no-nat-transversal,这不是默认设置)。 只要FW3有一个公共的,非NAT的IP,VPN就会出现。 还要确保您处于攻击模式,而不是VPN的主模式。
最后,确保在FW1的不信任端有主机入站服务允许“ike”。 我有一些问题,让我挠了头一阵子,这将允许一个公共IP < – >公共IP VPN上来,但是当连接在一个NAT后,没有IKE被允许VPN不会出现。