Форум программистов, компьютерный форум, киберфорум
Juniper
Форум программистов и сисадминов Киберфорум > Компьютерный форум > Сети и средства коммуникаций > Сетевое оборудование > Juniper
Войти
Регистрация
Восстановить пароль
Блоги Сообщество Поиск Заказать работу  
 
Рейтинг 4.68/25: Рейтинг темы: голосов - 25, средняя оценка - 4.68
0 / 0 / 0
Регистрация: 10.05.2019
Сообщений: 6

Весь трафик через VPN

10.05.2019, 17:32. Показов 5228. Ответов 12
Метки нет (Все метки)
Студворк — интернет-сервис помощи студентам
Всех приветствую.
У меня вопрос:
Есть главный офис и бренч.
На стороне главного офиса железка ждёт VPN-соединения. В бренче juniper srx100.
Поднял IPSEC-VPN с тунелем между ними. Указал что из бренча можно ходить только в сетку 172.16.2.0/24.
Вопрос как завернуть весь трафик в VPN-тунель а не в отдельную сеть?
Спасибо.
Конфиг:
## Interface IP and route for tunnel traffic
set interfaces st0.0 family inet address 172.16.0.94/30
set routing-options static route 172.16.2.0/24 next-hop st0.0

## Security zones, assign interfaces to the zones & host-inbound services for each zone
set security zones security-zone vpn interfaces st0.0
set security zones security-zone untrust host-inbound-traffic system-services ike

## Address book entries for each zone
set security zones security-zone trust address-book address net-_172-28-1-0--24 172.28.1.0/24
set security zones security-zone vpn address-book address net-_172-16-2-0--24 172.16.2.0/24

## IKE policy
set security ike policy ike-policy- mode main
set security ike policy ike-policy- pre-shared-key ascii-text "Test_Test"

## IKE gateway with peer IP address, IKE policy and outgoing interface
set security ike gateway ike-gate- ike-policy ike-policy-
set security ike gateway ike-gate- address 1.1.1.1
set security ike gateway ike-gate- external-interface fe-0/0/0
set security ike gateway ike-gate- version v2-only

## IKE authentication, encryption, DH group, and Lifetime
set security ike proposal ike-proposal- authentication-method pre-shared-keys
set security ike policy ike-policy- proposals ike-proposal-
set security ike proposal ike-proposal- encryption-algorithm 3des-cbc
set security ike proposal ike-proposal- authentication-algorithm md5
set security ike proposal ike-proposal- dh-group group2
set security ike proposal ike-proposal- lifetime-seconds 86400

## IPsec policy
set security ipsec policy ipsec-policy- proposal-set standard

## IPsec vpn
set security ipsec vpn ipsec-vpn- ike gateway ike-gate-
set security ipsec vpn ipsec-vpn- ike ipsec-policy ipsec-policy-
set security ipsec vpn ipsec-vpn- bind-interface st0.0
set security ipsec vpn ipsec-vpn- establish-tunnels immediately
set security ipsec policy ipsec-policy- perfect-forward-secrecy keys group2

## Security policies for tunnel traffic in outbound direction
set security policies from-zone trust to-zone vpn policy trust-vpn- match source-address net-_172-28-1-0--24
set security policies from-zone trust to-zone vpn policy trust-vpn- match destination-address net-_172-16-2-0--24
set security policies from-zone trust to-zone vpn policy trust-vpn- match application any
set security policies from-zone trust to-zone vpn policy trust-vpn- then permit

## Security policies for tunnel traffic in inbound direction
set security policies from-zone vpn to-zone trust policy vpn-trust- match source-address net-_172-16-2-0--24
set security policies from-zone vpn to-zone trust policy vpn-trust- match destination-address net-_172-28-1-0--24
set security policies from-zone vpn to-zone trust policy vpn-trust- match application any
set security policies from-zone vpn to-zone trust policy vpn-trust- then permit
0
Лучшие ответы (1)
Сообщение: #13562762
Programming
Эксперт
39485 / 9562 / 3019
Регистрация: 12.04.2006
Сообщений: 41,671
Блог
 10.05.2019, 17:32
Ответы с готовыми решениями:

Как пустить весь трафик через VPN на Zyxxel 4G III
Всем привет! Имеется Zyxel 4G III. В него вставлен модем. Поднимается VPN на нем. Задача - весь трафик пустить через VPN. Вроде неплохо...

Как настроить внешний трафик через VPN с исключением?
Нужно весь внешний трафик гнать через VPN, кроме одного ip (сервер офиса), к нему нужно подключаться напрямую. Подскажите, пожалуйста, как...

Организация своего VPN-канала при предоставлении интернета через VPN Beeline
Постараюсь быть краток и лаконичен! Для проведения работ на серверах организации-заказчика был выделен VPN-канал. Подключение...

12
69 / 63 / 18
Регистрация: 01.08.2017
Сообщений: 232
10.05.2019, 21:52
OleksiiP,
так в чем сложность? Зафиксировать трафик до внешнего IP головного офиса через статический маршрут (чтоб он не ушел в туннель), а потом 0/0 завернуть в туннель. И останется настроить в головном офисе прохождение трафика + NAT
0
0 / 0 / 0
Регистрация: 10.05.2019
Сообщений: 6
11.05.2019, 11:46  [ТС]
vertex4,
Честно, не понимаю. Мне нужно через ван джуника отправить весь трафик.
Маршрут по умолчанию ведет к провайдеру вот я и не понимаю как завернуть всё в туалет.
Если можно поясните чуть подробнее или пример похожий или ссыль на статью или хоть куда рыть.
Мне про vrf говорили но там я пропаду на долго.
Хочу убедить начальство что микротик это фигня и нужно удаленные точки на джуниках сделать(их 27) тем более что в центре PaloAlto.
Начал кричать что джуник это сила, впн сделал за 15 мин а вот весь трафик туда завернуть мозгов не хватает.
Помогите, плиз.

Добавлено через 2 часа 39 минут
Цитата Сообщение от vertex4 Посмотреть сообщение
IP головного офиса через статический маршрут
vertex4,

*** Мне нужно через ВПН джуника отправить весь трафик.
0
69 / 63 / 18
Регистрация: 01.08.2017
Сообщений: 232
12.05.2019, 12:48
Лучший ответ Сообщение было отмечено OleksiiP как решение

Решение

OleksiiP,
А если не будет статики через внешку до IP головного офиса - у тебя туннель не поднимется. Он будет искать белый IP для создания туннеля через st0.0, а туннель же ещё не поднят, и пакеты будут отброшены.
по порядку - задачу можно разделить на две части, настройка бранча и настройка головного офиса. Если бы и там, и там были juniper srx (palo alto должен быть похожим, тоже zone-based firewall):
1) на бранче фиксируем статический маршрут до головного офиса
set routing-options static route <белый IP головного офиса>/32 next-hop <шлюз провайдера>
всё остальное - пускаем через туннель
set routing-options static route 0/0 next-hop st0.0
2) в головном офисе - разрешаем трафик из зоны VPN в зону интернет
## Security policies for tunnel traffic in inbound direction
set security policies from-zone vpn to-zone untrust policy vpn-untrust match source-address net-_172-16-2-0--24
set security policies from-zone vpn to-zone untrust policy vpn-untrust match destination-address any
set security policies from-zone vpn to-zone untrust policy vpn-untrust match application any
set security policies from-zone vpn to-zone untrust policy vpn-untrust then permit
и добавляем правила NAT from zone vpn to zone untrust
1
0 / 0 / 0
Регистрация: 10.05.2019
Сообщений: 6
13.05.2019, 13:25  [ТС]
vertex4,
Спасибо огромное.
Попробую.
0
1 / 1 / 0
Регистрация: 26.04.2019
Сообщений: 12
23.05.2019, 00:27
вопрос может быть не по теме, но кто-нибудь знает почему Junos не даёт мне вбить set security ike gateway и выдает что gateway он не знает команды?
0
69 / 63 / 18
Регистрация: 01.08.2017
Сообщений: 232
23.05.2019, 06:23
alexandr8613,
Железка какая? версия junos?
ввести
Code
1

set security ike ?
чтоб посмотреть список доступных команд
0
1 / 1 / 0
Регистрация: 26.04.2019
Сообщений: 12
23.05.2019, 20:33
vertex4, gateway там нет, хотя proposal есть) железка j2320, но версию сейчас затрудняюсь сказать
1
69 / 63 / 18
Регистрация: 01.08.2017
Сообщений: 232
24.05.2019, 00:05
Code
1

Statement introduced in Junos OS Release 8.5. Support for IPv6 addresses added in Junos OS Release 11.1. The inet6 option added in Junos OS Release 11.1. Support for the advpn option added in Junos OS Release 12.3X48-D10.
давным-давно появилось, поэтому покажи список доступных команд (# set security ike ?)
0
0 / 0 / 0
Регистрация: 10.05.2019
Сообщений: 6
13.07.2019, 23:04  [ТС]
vertex4, - Огромное спасибо за помощь.
Всё работает отлично.
Есть новый запрос о помощи.
Я на основе вашего ответа подшаманил всё под свои нужды и стал вопрос.
Как теперь с такой конфигурацией открыть ping и ssh на внешнем интерфейсе.
Конфиг прилеплю.
Буду благодарен за помощь.
Спасибо
Вложения
Тип файла: txt SRX100H.txt (7.3 Кб, 2 просмотров)
0
100 / 74 / 34
Регистрация: 06.11.2018
Сообщений: 378
Записей в блоге: 1
19.07.2019, 21:24
Code
1
2
3
4
5
6

services {
        ssh;
        web-management {
            https {
                system-generated-certificate;
                interface vlan.0;
Добавьте внешний интерфейс fe-0/0/0.0 в ssh
0
0 / 0 / 0
Регистрация: 10.05.2019
Сообщений: 6
20.07.2019, 13:09  [ТС]
stroyer, Спасибо, попробую
0
100 / 74 / 34
Регистрация: 06.11.2018
Сообщений: 378
Записей в блоге: 1
22.07.2019, 21:21
OleksiiP, disregard that - глупость сказал.
0
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
inter-admin
Эксперт
29715 / 6470 / 2152
Регистрация: 06.03.2009
Сообщений: 28,500
Блог
 22.07.2019, 21:21
Помогаю со студенческими работами здесь

Выход через ipsec VPN в интернет через Cisco Router
Есть две локальные сети 192.168.1.0/24 и 192.168.2.0/24, между ними построен ipsec vpn. Как получить доступ с сети 192.168.1.0/24 через...

Направить трафик через ISA SERVER
требуется направить интернет трафик пользователей 10.10.10.0 через Microsoft ISA проект cisco packet tracer

Почему весь трафик идет через VPN
Приветствую всех, у меня проблема с которой пока не получается справиться. Имеется локальная сеть, с выходом в интернет через шлюзовый...

Весь трафик через SQUID via PF
Привет всем. Помогите пожалуйста. Мне надо фильтровать весь трафик с помощю PF через SQUID... Как это можно реализовать ? Дайте...

Как пустить весь трафик через tor?
Всем Здравия! Пробую различные прокси и vpn для поста в блоге(выбрать лучший надо). В настоящий момент пробую TOR. Скачал его, поставил,...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Ответ Создать тему
Новые блоги и статьи
Символьное дифференцирование
igorrr37 13.02.2026
/ * Логарифм записывается как: (x-2)log(x^2+2) - означает логарифм (x^2+2) по основанию (x-2). Унарный минус обозначается как ! */ #include <iostream> #include <stack> #include <cctype>. . .
Камера Toupcam IUA500KMA
Eddy_Em 12.02.2026
Т. к. у всяких "хикроботов" слишком уж мелкий пиксель, для подсмотра в ESPriF они вообще плохо годятся: уже 14 величину можно рассмотреть еле-еле лишь на экспозициях под 3 секунды (а то и больше),. . .
И ясному Солнцу
zbw 12.02.2026
И ясному Солнцу, и светлой Луне. В мире покоя нет и люди не могут жить в тишине. А жить им немного лет.
«Знание-Сила»
zbw 12.02.2026
«Знание-Сила» «Время-Деньги» «Деньги -Пуля»
SDL3 для Web (WebAssembly): Подключение Box2D v3, физика и отрисовка коллайдеров
8Observer8 12.02.2026
Содержание блога Box2D - это библиотека для 2D физики для анимаций и игр. С её помощью можно определять были ли коллизии между конкретными объектами и вызывать обработчики событий столкновения. . . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL_LoadPNG (без SDL3_image)
8Observer8 11.02.2026
Содержание блога Библиотека SDL3 содержит встроенные инструменты для базовой работы с изображениями - без использования библиотеки SDL3_image. Пошагово создадим проект для загрузки изображения. . .
SDL3 для Web (WebAssembly): Загрузка PNG с прозрачным фоном с помощью SDL3_image
8Observer8 10.02.2026
Содержание блога Библиотека SDL3_image содержит инструменты для расширенной работы с изображениями. Пошагово создадим проект для загрузки изображения формата PNG с альфа-каналом (с прозрачным. . .
Установка Qt-версии Lazarus IDE в Debian Trixie Xfce
volvo 10.02.2026
В общем, достали меня глюки IDE Лазаруса, собранной с использованием набора виджетов Gtk2 (конкретно: если набирать текст в редакторе и вызвать подсказку через Ctrl+Space, то после закрытия окошка. . .
КиберФорум - форум программистов, компьютерный форум, программирование
Поддержать - Реклама - Условия использования - Обратная связь
Powered by vBulletin
Copyright ©2000 - 2026, CyberForum.ru