Pull to refresh

Инструкция по пробросу портов на Juniper SRX

System administration *Network technologies *
Sandbox
Tutorial
Этой статьей я планирую открыть серию мануалов по Juniper серии SRX. Если это кому-то будет полезно – буду очень рад. И не стесняйтесь задавать вопросы.

Отмечу, что все ниженаписанное, скорее всего, будет подходить и к любой другой модели маршрутизаторов от Juniper (вследствие их слогана «One Junos», то есть одна операционка на все железяки). Данная статья основана на официальном англоязычном мануале по настройке NAT, взятом отсюда: www.juniper.net/us/en/local/pdf/app-notes/3500151-en.pdf.

Итак, проброс портов. Или по-научному, destination NAT. Тут надо сделать одно небольшое замечание. Некоторые админы привыкли под словом NAT понимать source NAT, со всеми вытекающими. И даже не source NAT, а одну из его разновидностей — PAT. Но надо понимать отличия между разными видами ната. Здесь я не буду вдаваться в теорию, на википедии все достаточно понятно написано. Я хочу сделать лишь одно пояснение: NAT – это всего лишь подмена адресов, ничего больше. Если вы понимаете суть этой технологии по-другому, вы неправы. Ничего больше, чем замена одного адреса в заголовке IP-пакета другим, эта технология не делает. И ничего изначально страшного и ужасного в ней нет. Соответственно, если мы говорим о destination NAT, то речь идет о подмене адреса назначения. Рассмотрим пример:
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 27K
Comments 2

Начальная настройка маршрутизаторов Juniper SRX

System administration *Network technologies *
Tutorial


     В этой статья я постараюсь максимально доходчиво рассказать о том, как настроить Juniper серии SRX «из коробки». Статья подобного рода уже есть: habrahabr.ru/post/144218, однако моя отличается большей полнотой и подробностью настройки.
     Почему именно Juniper SRX, а не какая-то конкретная модель типа SRX100 или SXR240? Да просто потому что настройки будут полностью идентичными, ввиду полной одинаковости платформы – Junos OS. Это очень удобно, когда вроде бы разные по цене и производительности девайсы настраиваются абсолютно одинаковым образом. В этом лишь одно из достоинств Junos OS.
Читать дальше →
Total votes 20: ↑19 and ↓1 +18
Views 187K
Comments 32

Устранение ассиметричной маршрутизации в Juniper SRX

System administration *Network technologies *
Tutorial
     В данной статье я опишу, как с помощью родных средств Juniper SRX можно действительно легко и изящно разрулить некоторые раздражающие схемы маршрутизации. Речь пойдет об использовании виртуального маршрутизатора, а точнее, в терминах Джуниперов, routing-instance virtual-router.
     Кратко проблему можно сформулировать так: есть два или больше внешних Интернет-канала (ISP1 и ISP2) и есть веб-сервер внутри сети. На шлюзе поднят source NAT, который отдает страничку обоим внешним интерфейсам. Надо чтобы клиенты обоих провайдеров видели веб-страницу. Проблема в том, что, если, допустим, основным шлюзом у нас является ISP1, то веб-запросы из сети ISP2 приходят к нам на сервер и уходят через основной шлюз в сеть к ISP1, который это дело, понятное дело, блочит.
Читать дальше →
Total votes 10: ↑7 and ↓3 +4
Views 11K
Comments 25

MPLS и VPLS на Mikrotik

Network hardware
Sandbox
С одной стороны, желание несколько странное — организация «серьезного» MPLS/VPLS на дешевом железе типа Mikrotik. С другой стороны — за 70 баксов (1500-2000р) за младшую модель RB/750(GL) мы получаем PE/CE-устройство, умеющее (помимо прочего) L2VPN/L3VPN поверх MPLS-среды и способное прокачать через себя порядка 70 мегабит дуплекса (на больших пакетах).
Mikrotik RouterOS умеет как MPLS (L3VPN, Traffic Engeneering), так и L2VPN (l2circuit aka VPWS, VPLS), что покрывает практически все возможные задачи (учитывая производительность железа, разумеется).

Интересно? Прошу под кат!
Читать дальше →
Total votes 15: ↑14 and ↓1 +13
Views 65K
Comments 16

Настойка можжевельника: готовим Juniper SRX. Часть 1

Nexign corporate blog
juniper — можжевельник (англ.)

Намедни в мои цепкие лапы попали два Juniper SRX 550. Попали не просто так, а для организации надежного ipsec и NAT-шлюза, а также OSPF-роутера. Ну а так как главное для нас — надежность, то именно с нее и начнем.

Для того, чтобы обеспечить отказоустойчивость сервисов, критично важные узлы обычно дублируют. Для ЦОДов это уже практически стандарт — N+N или хотя бы N+1. При этом устройства могут работать как независимо друг от друга, так и в кластере. Для обоих типов есть свои плюсы и минусы, но если нужен не просто роутинг/свитчинг, но нечто более «интеллектуальное» (например, те же NAT или IPSec), то без кластера тут точно не обойтись. Так что при плановом апгрейде в качестве замены Cisco 7201 рассматривались именно роутеры, способные работать в кластере. В связи с этим ASR 1k отправился лесом (как и ISR), ASA не рассматривалась (потому как готовить ее не умею), а VSS из Cat6503 — это уж слишком жирно и в плане цены, и в плане съедаемой электроэнергии.

Герой нашего рассказа. (Здесь и далее — картинки с официального сайта Juniper)
Читать дальше →
Total votes 11: ↑8 and ↓3 +5
Views 29K
Comments 28

Базовая настройка Juniper серии SRX

System administration *Network technologies *
Sandbox
Tutorial
Здесь уже есть несоклько статей про настройку маршрутизаторов Juniper SRX (например, раз, два, три и т.д.). В этой я постараюсь консолидировать полезную информацию, дополнив ее некоторыми приятными мелочами.

Всех заинтересовавшихся прошу под кат.
Читать дальше →
Total votes 7: ↑6 and ↓1 +5
Views 31K
Comments 13

Настойка можжевельника: готовим Juniper SRX. Часть 2: IPSec

Nexign corporate blog Information Security *
Tutorial
Не так давно мы пощупали немножко Juniper SRX, настроили его , и собрали отказоустойчивый кластер. Теперь начнем поднимать на нем «боевые» схемы, ради которых все и затевалось.
Например, соберем мысленно вот такую схему:


На схеме видим центральный офис и подключенную к нему ноду — это может быть как филиал, так и какой-то удаленный заказчик/клиент, для связи с которыми требуется защищенное соединение. Разумеется, их может быть несколько (об этом ниже). Способ связи при этом нам абсолютно не важен: хоть Интернет, хоть «темное волокно» — данные все равно нужно шифровать, чтобы свести к нулюминимуму риск их утечки. И чем выше стойкость шифра и совершенней способ фильтрации, тем целее будут нервы администратора (как вы, наверное, знаете, сисадмин, как и любая замкнутая система, всегда стремится к состоянию покоя).

Сегодня мы будем поднимать IPSec-туннели
Total votes 9: ↑7 and ↓2 +5
Views 21K
Comments 19

Juniper SRX: Site-to-Site IPSec VPN с использованием SSL сертификатов

System administration *Network technologies *
Tutorial
В прошлый раз мы настраивали Site-to-Site IPSec VPN с использованием pre-shared-key. Сегодня мы поговорим про тот же IPSec VPN, только с использованием SSL сертификатов.

Обращаю внимание на то, что оба SRX'а должны обладать статическим внешним IP адресом.

Схема сети будет та же, что и в прошлый раз:
image

Сертификаты мы будем создавать с помощью OpenSSL, т.к. это интересней — CA под Windows Server 2012 R2 при инсталляции «Next, Next, Next» без проблем подписывает CSR запросы, с OpenSSL пришлось чуть чуть повозиться.

Всех заинтересовавшихся прошу под кат.
Читать дальше →
Total votes 10: ↑9 and ↓1 +8
Views 10K
Comments 0

Juniper SRX: Обновляем версию JunOS

System administration *Network technologies *Server Administration *
Tutorial
Сегодня я хотел бы рассказать как можно обновить версию JunOS на вашем Juniper SRX. Я буду экспериментировать с SRX240B.

Пост будет полезен начинающим администраторам, матерые гуру не найдут тут ничего интересного.

Заинтересовало? Прошу под кат.
Читать дальше →
Total votes 6: ↑5 and ↓1 +4
Views 25K
Comments 13

Как быстро настроить Антивирус Касперского на шлюзе Juniper SRX

Information Security *
Всем привет!

Так сложилось, что последние несколько лет я работаю инструктором по оборудованию Juniper Networks в одном из авторизованных учебных центров Москвы. Как многие знают, Juniper — компания, производящая сетевое оборудование — маршрутизаторы, коммутаторы, устройства безопасности. Не так хорошо известно, что устройства безопасности Juniper SRX дают возможность проверять проходящий через них трафик, используя антивирусный модуль отечественного производства (а именно, «Лаборатории Касперского»).

image

Эта статья рассчитана на тех людей, у кого уже есть Juniper SRX и кто хочет (или захочет по прочтении) попробовать связку Juniper-KAV в действии.

Читать дальше →
Total votes 9: ↑4 and ↓5 -1
Views 7.3K
Comments 3

Обновление линейки Juniper SRX

МУК corporate blog Information Security *
В конце декабря компания Juniper анонсировала обновления своей линейки безопасности SRX. Вот так выглядит линейка сейчас:



Изменения произошли во всей младшей линейке, так в мае 2016 года будут сняты с производства SRX100, SRX210, SRX240, SRX650. Им на замену прийдет линейка SRX300, будет обновлен SRX550 и добавлен SRX1500 (под катом краткий обзор о том, как позиционируются новые устройства):
Читать дальше →
Total votes 3: ↑3 and ↓0 +3
Views 8.8K
Comments 5

Создание IPSec GRE туннеля между Mikrotik hEX S и Juniper SRX через USB Модем

Network technologies *Network hardware
Sandbox

Цель


Необходимо организовать VPN Tunnel между двумя устройствами, таких как Mikrotik и Juniper линейки SRX.

Что имеем


Из микротиков выбрали на сайте микротика вики, модель которая сможет поддерживать аппаратное шифрование IPSec, на наш взгляд она оказалась достаточно компактная и недорогая, а именно Mikrotik hEXS.

USB Modem был куплен в ближайшем сотовом операторе, модель была Huawei E3370. Никакие операции по отвязки от оператора мы не проводили. Все штатное и прошито самим оператором.

В ядре установлен центральный маршрутизатор Juniper SRX240H.
Читать дальше →
Total votes 20: ↑18 and ↓2 +16
Views 14K
Comments 29

Juniper SRX и Cisco ASA: серия очередная

System administration *Network technologies *
Tutorial
Первый раз строить IPSec между Juniper SRX и Cisco ASA мне довелось ещё в далёком 2014 году. Уже тогда это было весьма болезненно, потому что проблем было много (обычно — разваливающийся при регенерации туннель), диагностировать было сложно (ASA стояла у нашего заказчика, поэтому возможности для дебага были ограничены), но как-то это работало.

image

С той поры и рекомендованный JunOS для SRX обновился на 15.1 (для линейки SRX300, по крайней мере), и ASA научилась в route based IPSec (c версии софта 9.8), что несколько упрощает настройку. И вот на текущей работе не так давно представился шанс снова собрать такую схему. И снова неудачно — при регенерации туннель благополучно падал (и не всегда поднимался без ручного рестарта). И снова в логах тишина и непонятки, а т.к. ASA находилась у нашего партнёра, то и дебажить, соответственно, не было никакой возможности.

И вот теперь представился случай собрать схему, при которой обе стороны (и SRX, и ASA) находятся под нашим управлением, соответственно, поиграться можно на славу.
Читать дальше →
Total votes 9: ↑9 and ↓0 +9
Views 7K
Comments 13