我们有3个Juniper SRX-100防火墙,它们的configuration如下: FW1→FW2→INTERNET→FW3 我们希望在FW3和FW1之间build立一条穿过FW2的IPSEC隧道,最好使用NAT-T。 这可能吗? FW1和FW2有一些严格的接入规则,只允许一个端口连接(这是一个带有服务器的DMZ),所以我们不能在FW1和FW2之间创build一个基于路由的VPN来转发stream量(否则所有的stream量都会被转发) 我们知道隧道是好的,因为我们已经在FW1和FW3之间进行了testing(中间没有FW2),所以我们知道这个问题与FW2上的“直通”有关。 本质上,问题是 – 我们需要在FW2上select哪些选项,使其能够直接通过IPSECstream量到FW1?
我一直在努力解决这个问题,但我仍然无法解决这个问题。 我有192.168.1.151 PC,它有554和9001 TCP / UDP打开。 但我需要公开访问。 在我的juniper srx210我也有这个以下configuration。 但我不明白它不工作。 version 10.0R3.10; system { root-authentication { encrypted-password "secret-password-goes-in-here"; ## SECRET-DATA } name-server { 208.67.222.222; 208.67.220.220; } services { ssh { root-login allow; } telnet; web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool […]
我试图在我们的ASA 5505和Juniper ssg5之间build立一个ipsec隧道。 隧道正在运行,但我无法通过它获取任何数据。 我在本地networking是172.16.1.0和远程是192.168.70.0。 但是我不能在他们的networking上ping任何东西。 当我设置ipsec时,我收到“第二阶段确定”。 我认为这是适用的configuration的一部分。 数据似乎没有通过隧道,但我不知道… object network our-network subnet 172.16.1.0 255.255.255.0 object network their-network subnet 192.168.70.0 255.255.255.0 access-list outside_cryptomap extended permit ip object our-network object their-network crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map outside_map 1 match address outside_cryptomap crypto map outside_map 1 set pfs crypto map outside_map 1 set […]
希望我们有一些Juniper家伙,我已经configuration了Juniper SSG5作为我们的主要防火墙/路由器,在接口bgroup1上设置的DHCP服务器从10.10.10.76到10.10.10.210 所有的客户端都可以上网除了2.我们已经把其他的笔记本电脑插入这些端口没有问题。 我得到的错误是: IP pool of DHCP server on interface bgroup1 is full. Unable to offer IP address to client at xxxxxxxxxxxx IP pool of DHCP server on interface bgroup1 is full. Unable to offer IP address to client at xxxxxxxxxxxx 但游泳池并不满。 有大量的地址可用。 每当我从DHCP服务器释放IP到它的列表的末尾,不会被删除。 当客户端连接时,即使清除DHCP地址并重新创build,也会保持相同的IP。 也试图在客户端发布。 可能是什么问题 ? 是的,客户端正在获取DHCP地址,防火墙已禁用。 情况:以前的路由器已经安装并且硬件出现故障 – >用configuration为模拟旧路由器configuration的Juniper SSG5replace – […]
鉴于运行ScreenOS 6.2(瞻博networkingNS5GT-ADSL )的旧式 Juniper Netscreen设备,是否会在IPSEC隧道中支持IPCOMP有效载荷压缩( RFC 2393 )? 如果是这样,请参考如何设置?
我有两个ISP,需要平衡内部用户之间的stream量… 防火墙是SRX210 问题是:每个ISP都有自己的DNS,如何根据使用的ISP来parsingDNS? 例: 如果ISP1出现故障,如何防止DNS客户端继续尝试使用ISP1 DNS进行parsing? 以及如何强制使用ISP2的DNS?
我们有一个SharePoint(在Win2003 R2上的MOSS 2007)embeddedSSRS报告(来自SQL 2005)。 当我们通过VPN(防火墙是Juniper SA4000)并使用Internet Explorer(6,7和8)连接到SharePoint门户并尝试在Excel下导出任何SSRS报告时,我们收到错误消息: Internet Explorer cannot download . Internet Explorer was not able to open the internet site. The requested site is either unavailable or cannot be found. Please try again later. 当不使用VPN(从办公室的LAN),一切(导出在Excel中)工作正常。 通过VPN使用Firefox时,它工作正常。 在导出为任何其他格式(pdf或文本或其他格式)时,在IE和FF下都可以。 我们的防火墙人员怀疑SSRS / MOSS / Office中的某些东西。 我们的MOSS顾问怀疑Juniper SA4000防火墙有什么问题。 当使用Fiddler和当不通过VPN连接,我看到下面的stream量,一旦我点击“导出button”:(响应是一个客户端凭据的请求) GET /ReportServer/Reserved.ReportViewerWebControl.axd?ExecutionID=j1pqbvbqkb34qf45fhlgnx55&ControlID=733607a7d607476abb1e6b8794202158&Culture=127&UICulture=9&ReportStack=1&OpType=Export&FileName=Product+Application+Report&ContentDisposition=OnlyHtmlInline&Format=EXCEL HTTP/1.1 Accept: */* Accept-Language: en-US,fr-be;q=0.5 User-Agent: […]
我有一个Linux服务器托pipe我们的bug跟踪软件(CentOS 5.2 Kernel 2.6.18-128.4.1.el5),我有一些奇怪的networking问题。 该机器configuration了两个NICS,一个用于公共接口,另一个用于我们的服务器后端networking。 问题是,在重新启动服务networking后,我可以ping公共接口,并发送200-500个ICMP数据包,然后突然间,我开始收到一个请求超时错误。 奇怪,但只要我连接到私人界面的ping开始再次工作到公共界面。 我显然有一个路由问题的地方。 我有一个Juniper路由器,具有以下configuration。 接口0/0 – 将子网连接到位于我们协同定位的ISP的接口0/2 – 对于我们的DRACnetworking接口0/3 – 服务器后端networking(直接插入到交换机,连接到所有NIC位于10.3.20.xnetworking上Interface 0/4 – 直接插入另一台交换机,为我们的公共接口提供服务,作为所有来自公共IP地址的网关作为辅助IP地址。 我希望有人可以问正确的问题,可以让我检查一下事情,弄清楚发生了什么。 有没有人有类似的问题,我应该检查什么样的东西? 路由问题或更复杂的东西? [root@fogbugz ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0 # Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ DEVICE=eth0 BOOTPROTO=static IPADDR=72.249.134.98 NETMASK=255.255.255.248 BROADCAST=72.249.134.103 HWADDR=00:16:3E:AA:BB:EE ONBOOT=yes [root@fogbugz ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth1 # Realtek Semiconductor Co., Ltd. RTL-8139/8139C/8139C+ DEVICE=eth1 BOOTPROTO=static BROADCAST=10.3.20.255 HWADDR=00:17:3E:AA:BB:EE IPADDR=10.3.20.25 NETMASK=255.255.255.0 […]
可能重复: 使用Juniper EX3300交换机作为路由器? 所以我有一个Juniper EX3300交换机。 其上行链路端口(ge-0/1/0)之一连接到我的ISP的路由器。 ISP路由器的端口地址是xx.xx.xx.109。 我的交换机的IP地址是xx.xx.xx.110。 从交换机,我可以ping通xx.xx.xx.109和世界上任何其他IP。 我的意思是它连接到互联网。 我将计算机的端口eth0(运行Ubuntu)连接到交换机的端口ge-0/0/0(与ge-0/1/0在同一个VLAN中)。 我configuration了端口eth0如下: iface eth0 inet static address yy.yy.yy.208 netmask 255.255.255.240 gateway xx.xx.xx.110 yy.yy.yy.208由ISP分配给我。 所以,现在我可以从这台计算机ping到交换机(xx.xx.xx.110)。 但是我无法ping到xx.xx.xx.109(ISP路由器)或任何其他IP。 我想要这台电脑连接到互联网。 我究竟做错了什么? 以下是我的交换机上的一些configuration: interfaces { ge-0/0/0 { unit 0 { family ethernet-switching; } } . . . ge-0/1/0 { ether-options { no-auto-negotiation; link-mode full-duplex; speed { 1g; } } unit […]
这是一个普遍的问题。 我正在Juniper SRX防火墙上为我的工作networking构buildVPN,并且需要对其进行故障排除。 现在,我必须走到咖啡馆或图书馆去testing,然后回到我的办公室去改变configuration。 这是非常低效的。 另外,我不能在我的防火墙上使用任何VPN会话监控工具,因为我在testingVPN时从来不在办公室。 我的VPN策略是不信任的。 如果我为它设置了一个Trust-to-Trust策略,是否会在故障排除过程中引入(或取消)需要注意的variables? 当我在工作networking上时,是否有方便安全的方式来testing来自不可信networking的VPN? (例如,使用代理服务器或商业VPN,如私人互联网接入)? 你有什么build议如何最好地做到这一点? 感谢您的阅读。