Маршрутизация между двумя подсетями

@KateS · Регистрация: 11.12.2009

Author24 — интернет-сервис помощи студентам

Здравствуйте мне нужно настроить Juniper SRX100 как маршрутизатор с двумя интерфейсными портами, чтобы была маршрутизация между двумя подсетями, кто может подсказать где это прописать нужно?
Нужно в ge/0/0 прописать одну подсеть а в ge/0/1 другую или нет, что то я вообще не могу понять(

@MonaxGT · 08.08.2014, 16:57

KateS
Настроим 2 интерфейса:

Код

set interface ge-0/0/0.0 family inet ad 192.168.1.1/24
set intetface ge-0/0/1.0 family inet ad 192.168.2.1/24

Привяжем 2 интерфейса к secutiry zone ( если используете, возможен вариант когда все в одной sec зоне):

Код

set sec zone secu LAN_192.168.1.0 host-in sys any proto all
set sec zone secu LAN_192.168.2.0 host-in sys any proto all

Настроим политику доступа:

Код

set sec po from LAN_192.168.1.0 to LAN_192.168.2.0 policy 1 match sou-ad any dest-add any applic any
set sec po from LAN_192.168.1.0 to LAN_192.168.2.0 policy 1 then permit
set sec po from LAN_192.168.1.0 to LAN_192.168.1.0 policy 1 match sou-ad any dest-add any applic any
set sec po from LAN_192.168.1.0 to LAN_192.168.1.0 policy 1 then permit

Все)

@KateS · 08.08.2014, 17:58 **[ТС]**

Большое спасибо буду пробовать) только у меня еще вопрос в sec zone я прописываю айпишники подсетей которые выше создали или нет? И если нет то может можно почитать где нибудь про зону безопасности что это вообще и что туда прописывать) И вопрос номер два по какому адресу я смогу пинговать сам джунипер тли заходить на веб интерфейс, или для этого нужно создавать третий отдельный интерфейс?

@MonaxGT · 08.08.2014, 18:47

KateS,

только у меня еще вопрос в sec zone я прописываю айпишники подсетей которые выше создали или нет?

Я предложил самый банальный пример, где не прописываются. Для безопасности, можно и прописать в полях source-address и destination-address.

И вопрос номер два по какому адресу я смогу пинговать сам джунипер

В данной конфигурации сможете заходить по ssh/telnet по любому адресу указанному при создании интерфейса. Если хотите веб-морду - set sys service http/https int ge-0/0/0 - к примеру

@outl4w · 10.08.2014, 19:45

Доброго времени суток.

Сообщение от KateS

в sec zone я прописываю айпишники подсетей которые выше создали или нет?

если речь идёт о указании LAN_192.168.1.0 и LAN_192.168.2.0, то это лишь идентификатор зоны, Вы можете использовать любой текст, к примеру, FIRST_ZONE и SECOND_ZONE.

О том, какой зоне какой интерфейс будет принадлежать, необходимо указать в параметре interfaces для этой зоны:

Код

set security zones security-zone FIRST_ZONE interfaces fe-0/0/0.0 host-inbound-traffic system-services all protocols all

Не могу понять только, почему MonaxGT об этом не упомянул, может я не знаю какого-то нюанса?

И ещё момент, на сотых SRX-ах все 8 портов 10/100, поэтому там fe-0/0/*, а не ge-0/0/*.

@MonaxGT · 10.08.2014, 22:51

outl4w, по поводу привязки интерфейса, согласен забыл упомянуть.

По поводу SRX100, да там fe-порты, ge - нет. Опять же забыл упомянуть.

Вы правы, конфиг привел примерный, с целью подумать.

@KateS · 12.08.2014, 16:25 **[ТС]**

Большое спасибо за помощь, все удалось))

@MonaxGT · 12.08.2014, 17:49

KateS , всегда пожалуйста!

@user988 · 18.09.2014, 12:33

Здравствуйте форумчане. по поводу темы вопрос. Сделал как указано, но устройства в соседних подсетях все равно не пингуются. вот что вышло:
policies
from-zone lan20 to-zone lan25 {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
from-zone lan20 to-zone lan20 {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone lan25 to-zone lan25 {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;

zones

security-zone lan20 {
interfaces {
fe-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone lan25 {
interfaces {
fe-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
я что-то забыл?

@MonaxGT · 18.09.2014, 16:15

user988, покажите полный конфиг устройства (под спойлером).

Не по теме:

П.С. Зачем лезть в чужую тему? почему нельзя создать свою?

@user988 · 18.09.2014, 17:08

хотел создать, но там написано "не создавайте похожих тем" я и написал сюда.
Еще я добавил security policies from lan25 to lan20(наоборот) , стал видеть порт противоположной подсети, но ПК из разных подсетей всё равно не видят друг друга.
Что значит под спойлером? полный конфиг большой. я выложу в ответе или как?

@MonaxGT · 18.09.2014, 17:24

user988, спойлер это такой элемент на форуме. Гугл наше все.

@user988 · 19.09.2014, 08:09

Кликните здесь для просмотра всего текста

root# show
## Last changed: 2014-09-18 18:56:43 UTC
version 11.2R4.3;
system {
root-authentication {
encrypted-password "$1$3Sq7OfkU$Mc3hUr.27Su6o3ZpCReaN0"; ## SECRET-DATA
}
name-server {
208.67.222.222;
208.67.220.220;
}
services {
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface vlan.0;
}
https {
system-generated-certificate;
interface vlan.0;
}
}
dhcp {
router {
192.168.1.1;
}
pool 192.168.1.0/24 {
address-range low 192.168.1.2 high 192.168.1.254;
}
propagate-settings ge-0/0/0.0;
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
}
interfaces {
ge-0/0/0 {
unit 0;
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/2 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
}
fe-0/0/3 {
unit 0 {
family inet {
address 192.168.20.1/24;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 192.168.25.1/24;
}
}
}
fe-0/0/5 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust2;
}
}
}
}
fe-0/0/6 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust3;
}
}
}
}
fe-0/0/7 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust4;
}
}
}
}
vlan {
unit 0 {
family inet {
address 192.168.1.1/24;
}
}
unit 1 {
family inet {
address 192.168.5.1/24;
}
}
unit 2 {
family inet {
address 192.168.10.1/24;
}
}
unit 3 {
family inet {
address 192.168.15.1/24;
}
}
}
}
protocols {
stp;
}
security {
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone WORKGROUP2 to-zone WORKGROUP1 {
policy PEREHOD {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone WORKGROUP1 to-zone WORKGROUP {
policy PEREHOD1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone WORKGROUP2 {
policy PEREHOD2 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone lan20 to-zone lan25 {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone lan20 to-zone lan20 {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone lan25 to-zone lan25 {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone lan25 to-zone lan20 {
policy 1 {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
}
zones {
security-zone trust {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
}
}
security-zone untrust {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
tftp;
}
}
}
}
}
security-zone WORKGROUP {
interfaces {
fe-0/0/7.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
vlan.3;
}
}
security-zone WORKGROUP1 {
interfaces {
fe-0/0/6.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
vlan.2;
}
}
security-zone WORKGROUP2 {
interfaces {
fe-0/0/5.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
vlan.1;
}
}
security-zone lan20 {
interfaces {
fe-0/0/3.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
security-zone lan25 {
interfaces {
fe-0/0/4.0 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
}
}
}
}
}
vlans {
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
vlan-trust2 {
vlan-id 4;
l3-interface vlan.1;
}
vlan-trust3 {
vlan-id 5;
l3-interface vlan.2;
}
vlan-trust4 {
vlan-id 6;
l3-interface vlan.3;
}
}

извиняйте за мусор на других интерфейсах.

@outl4w · 19.09.2014, 12:53

Добрый день, user988.

Вам не нужны вот эта

Сообщение от user988

from-zone lan20 to-zone lan20 {

и эта

Сообщение от user988

from-zone lan25 to-zone lan25 {

политики.

Хотелось бы ещё увидеть настройки сети пары клиентских машин из разных подсетей. Подозреваю, что корень зла там

@MonaxGT · 19.09.2014, 15:05

user988, а маршруты на 2х концах настроены?
Физика на интерфейсах поднялась?
Вывод show route ?
Трассировка и пинги с ПК на концах

Ну и на последок show sec flow session во время пингов

Добавлено через 1 минуту

Добрый день, user988.

Вам не нужны вот эта
Цитата Сообщение от user988 Посмотреть сообщение
from-zone lan20 to-zone lan20 {
и эта
Цитата Сообщение от user988 Посмотреть сообщение
from-zone lan25 to-zone lan25 {
политики.

Они не мещают, но смысла от них нет.

@outl4w · 20.09.2014, 15:40

MonaxGT, согласен, не то, чтобы это решение проблемы, просто замечание, что их присутствие не обязательно.

@user988 · 22.09.2014, 09:12

K:\>route print

Кликните здесь для просмотра всего текста

===========================================================================
Список интерфейсов
7...1e d0 5a 41 c0 6d ......Виртуальный адаптер Wi-Fi Direct (Майкрософт)
5...2c d0 5a 41 c5 95 ......Устройства Bluetooth (личной сети)
4...f8 0f 41 9b 44 21 ......Realtek PCIe GBE Family Controller
3...2c d0 5a 41 c0 6d ......Беспроводной сетевой адаптер Qualcomm Atheros AR5B
WB222
1...........................Software Loopback Interface 1
===========================================================================

IPv4 таблица маршрута
===========================================================================
Активные маршруты:
Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика
0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.2 276
0.0.0.0 0.0.0.0 192.168.1.134 192.168.1.50 25
127.0.0.0 255.0.0.0 On-link 127.0.0.1 306
127.0.0.1 255.255.255.255 On-link 127.0.0.1 306
127.255.255.255 255.255.255.255 On-link 127.0.0.1 306
192.168.1.0 255.255.255.0 On-link 192.168.1.50 281
192.168.1.50 255.255.255.255 On-link 192.168.1.50 281
192.168.1.255 255.255.255.255 On-link 192.168.1.50 281
192.168.20.0 255.255.255.0 On-link 192.168.20.2 276
192.168.20.2 255.255.255.255 On-link 192.168.20.2 276
192.168.20.255 255.255.255.255 On-link 192.168.20.2 276
192.168.25.0 255.255.255.0 192.168.20.1 192.168.20.2 21
224.0.0.0 240.0.0.0 On-link 127.0.0.1 306
224.0.0.0 240.0.0.0 On-link 192.168.20.2 276
224.0.0.0 240.0.0.0 On-link 192.168.1.50 281
255.255.255.255 255.255.255.255 On-link 127.0.0.1 306
255.255.255.255 255.255.255.255 On-link 192.168.20.2 276
255.255.255.255 255.255.255.255 On-link 192.168.1.50 281
===========================================================================
Постоянные маршруты:
Сетевой адрес Маска Адрес шлюза Метрика
0.0.0.0 0.0.0.0 192.168.20.1 По умолчанию
===========================================================================

IPv6 таблица маршрута
===========================================================================
Активные маршруты:
Метрика Сетевой адрес Шлюз
1 306 ::1/128 On-link
4 276 fe80::/64 On-link
3 281 fe80::/64 On-link
3 281 fe80::357b:f8f2:bab0:55f7/128
On-link
4 276 fe80::dd5b:bf85:7edf:14c1/128
On-link
1 306 ff00::/8 On-link
4 276 ff00::/8 On-link
3 281 ff00::/8 On-link
===========================================================================
Постоянные маршруты:
Отсутствует

K:\>

K:\>ping 192.168.25.1 - порт соседней подсети

Кликните здесь для просмотра всего текста

Обмен пакетами с 192.168.25.1 по с 32 байтами данных:
Ответ от 192.168.25.1: число байт=32 время=8мс TTL=64
Ответ от 192.168.25.1: число байт=32 время=1мс TTL=64
Ответ от 192.168.25.1: число байт=32 время=1мс TTL=64
Ответ от 192.168.25.1: число байт=32 время<1мс TTL=64

Статистика Ping для 192.168.25.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0
(0% потерь)
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 8 мсек, Среднее = 2 мсек

Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

K:\>ping 192.168.25.2

Обмен пакетами с 192.168.25.2 по с 32 байтами данных:
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.
Превышен интервал ожидания для запроса.

Статистика Ping для 192.168.25.2:
Пакетов: отправлено = 4, получено = 0, потеряно = 4
(100% потерь)

K:\>
Microsoft Windows [Version 6.3.9600]
(c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены.

K:\>tracert 192.168.25.2

Трассировка маршрута к 192.168.25.2 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 192.168.20.1
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * ^C
K:\>

@outl4w · 22.09.2014, 09:16

user988, а 192.168.25.2 знает, как вернуть пакет обратно?
Что с таблицей маршрутизации на нём?

@user988 · 22.09.2014, 09:21

show sec flow session во время пингов

Кликните здесь для просмотра всего текста

root> show security flow session
Session ID: 813, Policy name: 1/8, Timeout: 2, Valid
In: 192.168.20.2/1100 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1100;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 814, Policy name: self-traffic-policy/1, Timeout: 1800, Valid
In: 192.168.20.2/50232 --> 192.168.20.1/22;tcp, If: fe-0/0/3.0, Pkts: 149, Bytes: 9964
Out: 192.168.20.1/22 --> 192.168.20.2/50232;tcp, If: .local..0, Pkts: 155, Bytes: 17361

Session ID: 815, Policy name: 1/8, Timeout: 6, Valid
In: 192.168.20.2/1101 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1101;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 819, Policy name: 1/8, Timeout: 12, Valid
In: 192.168.20.2/1102 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1102;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 820, Policy name: 1/8, Timeout: 16, Valid
In: 192.168.20.2/1103 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1103;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 821, Policy name: 1/8, Timeout: 22, Valid
In: 192.168.20.2/1104 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1104;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 822, Policy name: 1/8, Timeout: 26, Valid
In: 192.168.20.2/1105 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1105;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 823, Policy name: 1/8, Timeout: 32, Valid
In: 192.168.20.2/1106 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1106;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 824, Policy name: 1/8, Timeout: 36, Valid
In: 192.168.20.2/1107 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1107;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 825, Policy name: 1/8, Timeout: 42, Valid
In: 192.168.20.2/1108 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1108;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 826, Policy name: 1/8, Timeout: 46, Valid
In: 192.168.20.2/1109 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1109;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 827, Policy name: 1/8, Timeout: 52, Valid
In: 192.168.20.2/1110 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1110;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0

Session ID: 828, Policy name: 1/8, Timeout: 56, Valid
In: 192.168.20.2/1111 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60
Out: 192.168.25.2/1 --> 192.168.20.2/1111;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0
Total sessions: 13

такое чувство что какой-то мелочи не хватает.

Добавлено через 4 минуты
outl4w, там проделано всё тоже

route add 192.168.25.0 mask 255.255.255.0 192.168.20.1 на одном
route add 192.168.20.0 mask 255.255.255.0 192.168.25.1 на другом

@MonaxGT · 22.09.2014, 09:36

user988, по сессиям видно что машина из той сети молчит, такие же пинги с той машины можно? скорей всего там трабла, возможно где-то описка

@KateS 1 / 1 / 0 Регистрация: 11.12.2009 Сообщений: 62
		1
	Маршрутизация между двумя подсетями 08.08.2014, 13:41. Показов 9970. Ответов 25 Метки juniper, security, srx (Все метки) Здравствуйте мне нужно настроить Juniper SRX100 как маршрутизатор с двумя интерфейсными портами, чтобы была маршрутизация между двумя подсетями, кто может подсказать где это прописать нужно? Нужно в ge/0/0 прописать одну подсеть а в ge/0/1 другую или нет, что то я вообще не могу понять( 0

@KateS 1 / 1 / 0 Регистрация: 11.12.2009 Сообщений: 62
	08.08.2014, 17:58 [ТС]	3
	Большое спасибо буду пробовать) только у меня еще вопрос в sec zone я прописываю айпишники подсетей которые выше создали или нет? И если нет то может можно почитать где нибудь про зону безопасности что это вообще и что туда прописывать) И вопрос номер два по какому адресу я смогу пинговать сам джунипер тли заходить на веб интерфейс, или для этого нужно создавать третий отдельный интерфейс? 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	08.08.2014, 18:47	4
	KateS, только у меня еще вопрос в sec zone я прописываю айпишники подсетей которые выше создали или нет? Я предложил самый банальный пример, где не прописываются. Для безопасности, можно и прописать в полях source-address и destination-address. И вопрос номер два по какому адресу я смогу пинговать сам джунипер В данной конфигурации сможете заходить по ssh/telnet по любому адресу указанному при создании интерфейса. Если хотите веб-морду - set sys service http/https int ge-0/0/0 - к примеру 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	10.08.2014, 19:45	5
	Доброго времени суток. Сообщение от KateS в sec zone я прописываю айпишники подсетей которые выше создали или нет? если речь идёт о указании LAN_192.168.1.0 и LAN_192.168.2.0, то это лишь идентификатор зоны, Вы можете использовать любой текст, к примеру, FIRST_ZONE и SECOND_ZONE. О том, какой зоне какой интерфейс будет принадлежать, необходимо указать в параметре interfaces для этой зоны: Код set security zones security-zone FIRST_ZONE interfaces fe-0/0/0.0 host-inbound-traffic system-services all protocols all Не могу понять только, почему MonaxGT об этом не упомянул, может я не знаю какого-то нюанса? И ещё момент, на сотых SRX-ах все 8 портов 10/100, поэтому там fe-0/0/, а не ge-0/0/. 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	10.08.2014, 22:51	6
	outl4w, по поводу привязки интерфейса, согласен забыл упомянуть. По поводу SRX100, да там fe-порты, ge - нет. Опять же забыл упомянуть. Вы правы, конфиг привел примерный, с целью подумать. 0

@KateS 1 / 1 / 0 Регистрация: 11.12.2009 Сообщений: 62
	12.08.2014, 16:25 [ТС]	7
	Большое спасибо за помощь, все удалось)) 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	12.08.2014, 17:49	8
	KateS , всегда пожалуйста! 0

@user988 0 / 0 / 0 Регистрация: 18.09.2014 Сообщений: 12
	18.09.2014, 12:33	9
	Здравствуйте форумчане. по поводу темы вопрос. Сделал как указано, но устройства в соседних подсетях все равно не пингуются. вот что вышло: policies from-zone lan20 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; from-zone lan20 to-zone lan20 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan25 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; zones security-zone lan20 { interfaces { fe-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone lan25 { interfaces { fe-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; я что-то забыл? 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	18.09.2014, 16:15	10
	user988, покажите полный конфиг устройства (под спойлером). Не по теме: П.С. Зачем лезть в чужую тему? почему нельзя создать свою? 0

@user988 0 / 0 / 0 Регистрация: 18.09.2014 Сообщений: 12
	18.09.2014, 17:08	11
	хотел создать, но там написано "не создавайте похожих тем" я и написал сюда. Еще я добавил security policies from lan25 to lan20(наоборот) , стал видеть порт противоположной подсети, но ПК из разных подсетей всё равно не видят друг друга. Что значит под спойлером? полный конфиг большой. я выложу в ответе или как? 0

	22.09.2014, 09:36

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	18.09.2014, 17:24	12
	user988, спойлер это такой элемент на форуме. Гугл наше все. 0

@user988 0 / 0 / 0 Регистрация: 18.09.2014 Сообщений: 12
	19.09.2014, 08:09	13
	Кликните здесь для просмотра всего текста root# show ## Last changed: 2014-09-18 18:56:43 UTC version 11.2R4.3; system { root-authentication { encrypted-password "$1$3Sq7OfkU$Mc3hUr.27Su6o3ZpCReaN0"; ## SECRET-DATA } name-server { 208.67.222.222; 208.67.220.220; } services { ssh; telnet; xnm-clear-text; web-management { http { interface vlan.0; } https { system-generated-certificate; interface vlan.0; } } dhcp { router { 192.168.1.1; } pool 192.168.1.0/24 { address-range low 192.168.1.2 high 192.168.1.254; } propagate-settings ge-0/0/0.0; } } syslog { archive size 100k files 3; user * { any emergency; } file messages { any critical; authorization info; } file interactive-commands { interactive-commands error; } } max-configurations-on-flash 5; max-configuration-rollbacks 5; license { autoupdate { url https://ae1.juniper.net/junos/key_retrieval; } } } interfaces { ge-0/0/0 { unit 0; } ge-0/0/1 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/2 { unit 0 { family ethernet-switching { vlan { members vlan-trust; } } } } fe-0/0/3 { unit 0 { family inet { address 192.168.20.1/24; } } } fe-0/0/4 { unit 0 { family inet { address 192.168.25.1/24; } } } fe-0/0/5 { unit 0 { family ethernet-switching { vlan { members vlan-trust2; } } } } fe-0/0/6 { unit 0 { family ethernet-switching { vlan { members vlan-trust3; } } } } fe-0/0/7 { unit 0 { family ethernet-switching { vlan { members vlan-trust4; } } } } vlan { unit 0 { family inet { address 192.168.1.1/24; } } unit 1 { family inet { address 192.168.5.1/24; } } unit 2 { family inet { address 192.168.10.1/24; } } unit 3 { family inet { address 192.168.15.1/24; } } } } protocols { stp; } security { screen { ids-option untrust-screen { icmp { ping-death; } ip { source-route-option; tear-drop; } tcp { syn-flood { alarm-threshold 1024; attack-threshold 200; source-threshold 1024; destination-threshold 2048; timeout 20; } land; } } } nat { source { rule-set trust-to-untrust { from zone trust; to zone untrust; rule source-nat-rule { match { source-address 0.0.0.0/0; } then { source-nat { interface; } } } } } } policies { from-zone trust to-zone untrust { policy trust-to-untrust { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone WORKGROUP2 to-zone WORKGROUP1 { policy PEREHOD { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone WORKGROUP1 to-zone WORKGROUP { policy PEREHOD1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone trust to-zone WORKGROUP2 { policy PEREHOD2 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan20 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan20 to-zone lan20 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan25 to-zone lan25 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } from-zone lan25 to-zone lan20 { policy 1 { match { source-address any; destination-address any; application any; } then { permit; } } } } zones { security-zone trust { host-inbound-traffic { system-services { all; } protocols { all; } } interfaces { vlan.0; } } security-zone untrust { screen untrust-screen; interfaces { ge-0/0/0.0 { host-inbound-traffic { system-services { dhcp; tftp; } } } } } security-zone WORKGROUP { interfaces { fe-0/0/7.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } vlan.3; } } security-zone WORKGROUP1 { interfaces { fe-0/0/6.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } vlan.2; } } security-zone WORKGROUP2 { interfaces { fe-0/0/5.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } vlan.1; } } security-zone lan20 { interfaces { fe-0/0/3.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } security-zone lan25 { interfaces { fe-0/0/4.0 { host-inbound-traffic { system-services { all; } protocols { all; } } } } } } } vlans { vlan-trust { vlan-id 3; l3-interface vlan.0; } vlan-trust2 { vlan-id 4; l3-interface vlan.1; } vlan-trust3 { vlan-id 5; l3-interface vlan.2; } vlan-trust4 { vlan-id 6; l3-interface vlan.3; } } извиняйте за мусор на других интерфейсах. 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	19.09.2014, 12:53	14
	Добрый день, user988. Вам не нужны вот эта Сообщение от user988 from-zone lan20 to-zone lan20 { и эта Сообщение от user988 from-zone lan25 to-zone lan25 { политики. Хотелось бы ещё увидеть настройки сети пары клиентских машин из разных подсетей. Подозреваю, что корень зла там 0

@MonaxGT 278 / 278 / 25 Регистрация: 02.08.2012 Сообщений: 1,232
	19.09.2014, 15:05	15
	user988, а маршруты на 2х концах настроены? Физика на интерфейсах поднялась? Вывод show route ? Трассировка и пинги с ПК на концах Ну и на последок show sec flow session во время пингов Добавлено через 1 минуту Добрый день, user988. Вам не нужны вот эта Цитата Сообщение от user988 Посмотреть сообщение from-zone lan20 to-zone lan20 { и эта Цитата Сообщение от user988 Посмотреть сообщение from-zone lan25 to-zone lan25 { политики. Они не мещают, но смысла от них нет. 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	20.09.2014, 15:40	16
	MonaxGT, согласен, не то, чтобы это решение проблемы, просто замечание, что их присутствие не обязательно. 0

@user988 0 / 0 / 0 Регистрация: 18.09.2014 Сообщений: 12
	22.09.2014, 09:12	17
	K:\>route print Кликните здесь для просмотра всего текста =========================================================================== Список интерфейсов 7...1e d0 5a 41 c0 6d ......Виртуальный адаптер Wi-Fi Direct (Майкрософт) 5...2c d0 5a 41 c5 95 ......Устройства Bluetooth (личной сети) 4...f8 0f 41 9b 44 21 ......Realtek PCIe GBE Family Controller 3...2c d0 5a 41 c0 6d ......Беспроводной сетевой адаптер Qualcomm Atheros AR5B WB222 1...........................Software Loopback Interface 1 =========================================================================== IPv4 таблица маршрута =========================================================================== Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.20.1 192.168.20.2 276 0.0.0.0 0.0.0.0 192.168.1.134 192.168.1.50 25 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.1.0 255.255.255.0 On-link 192.168.1.50 281 192.168.1.50 255.255.255.255 On-link 192.168.1.50 281 192.168.1.255 255.255.255.255 On-link 192.168.1.50 281 192.168.20.0 255.255.255.0 On-link 192.168.20.2 276 192.168.20.2 255.255.255.255 On-link 192.168.20.2 276 192.168.20.255 255.255.255.255 On-link 192.168.20.2 276 192.168.25.0 255.255.255.0 192.168.20.1 192.168.20.2 21 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.20.2 276 224.0.0.0 240.0.0.0 On-link 192.168.1.50 281 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.20.2 276 255.255.255.255 255.255.255.255 On-link 192.168.1.50 281 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.20.1 По умолчанию =========================================================================== IPv6 таблица маршрута =========================================================================== Активные маршруты: Метрика Сетевой адрес Шлюз 1 306 ::1/128 On-link 4 276 fe80::/64 On-link 3 281 fe80::/64 On-link 3 281 fe80::357b:f8f2:bab0:55f7/128 On-link 4 276 fe80::dd5b:bf85:7edf:14c1/128 On-link 1 306 ff00::/8 On-link 4 276 ff00::/8 On-link 3 281 ff00::/8 On-link =========================================================================== Постоянные маршруты: Отсутствует K:\> K:\>ping 192.168.25.1 - порт соседней подсети Кликните здесь для просмотра всего текста Обмен пакетами с 192.168.25.1 по с 32 байтами данных: Ответ от 192.168.25.1: число байт=32 время=8мс TTL=64 Ответ от 192.168.25.1: число байт=32 время=1мс TTL=64 Ответ от 192.168.25.1: число байт=32 время=1мс TTL=64 Ответ от 192.168.25.1: число байт=32 время<1мс TTL=64 Статистика Ping для 192.168.25.1: Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь) Приблизительное время приема-передачи в мс: Минимальное = 0мсек, Максимальное = 8 мсек, Среднее = 2 мсек Microsoft Windows [Version 6.3.9600] (c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены. K:\>ping 192.168.25.2 Обмен пакетами с 192.168.25.2 по с 32 байтами данных: Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Превышен интервал ожидания для запроса. Статистика Ping для 192.168.25.2: Пакетов: отправлено = 4, получено = 0, потеряно = 4 (100% потерь) K:\> Microsoft Windows [Version 6.3.9600] (c) Корпорация Майкрософт (Microsoft Corporation), 2013. Все права защищены. K:\>tracert 192.168.25.2 Трассировка маршрута к 192.168.25.2 с максимальным числом прыжков 30 1 <1 мс <1 мс <1 мс 192.168.20.1 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * ^C K:\> 0

@outl4w 14 / 14 / 5 Регистрация: 10.08.2014 Сообщений: 95
	22.09.2014, 09:16	18
	user988, а 192.168.25.2 знает, как вернуть пакет обратно? Что с таблицей маршрутизации на нём? 0

@user988 0 / 0 / 0 Регистрация: 18.09.2014 Сообщений: 12
	22.09.2014, 09:21	19
	show sec flow session во время пингов Кликните здесь для просмотра всего текста root> show security flow session Session ID: 813, Policy name: 1/8, Timeout: 2, Valid In: 192.168.20.2/1100 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1100;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 814, Policy name: self-traffic-policy/1, Timeout: 1800, Valid In: 192.168.20.2/50232 --> 192.168.20.1/22;tcp, If: fe-0/0/3.0, Pkts: 149, Bytes: 9964 Out: 192.168.20.1/22 --> 192.168.20.2/50232;tcp, If: .local..0, Pkts: 155, Bytes: 17361 Session ID: 815, Policy name: 1/8, Timeout: 6, Valid In: 192.168.20.2/1101 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1101;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 819, Policy name: 1/8, Timeout: 12, Valid In: 192.168.20.2/1102 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1102;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 820, Policy name: 1/8, Timeout: 16, Valid In: 192.168.20.2/1103 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1103;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 821, Policy name: 1/8, Timeout: 22, Valid In: 192.168.20.2/1104 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1104;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 822, Policy name: 1/8, Timeout: 26, Valid In: 192.168.20.2/1105 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1105;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 823, Policy name: 1/8, Timeout: 32, Valid In: 192.168.20.2/1106 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1106;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 824, Policy name: 1/8, Timeout: 36, Valid In: 192.168.20.2/1107 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1107;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 825, Policy name: 1/8, Timeout: 42, Valid In: 192.168.20.2/1108 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1108;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 826, Policy name: 1/8, Timeout: 46, Valid In: 192.168.20.2/1109 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1109;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 827, Policy name: 1/8, Timeout: 52, Valid In: 192.168.20.2/1110 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1110;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Session ID: 828, Policy name: 1/8, Timeout: 56, Valid In: 192.168.20.2/1111 --> 192.168.25.2/1;icmp, If: fe-0/0/3.0, Pkts: 1, Bytes: 60 Out: 192.168.25.2/1 --> 192.168.20.2/1111;icmp, If: fe-0/0/4.0, Pkts: 0, Bytes: 0 Total sessions: 13 такое чувство что какой-то мелочи не хватает. Добавлено через 4 минуты outl4w, там проделано всё тоже route add 192.168.25.0 mask 255.255.255.0 192.168.20.1 на одном route add 192.168.20.0 mask 255.255.255.0 192.168.25.1 на другом 0