Задать вопрос
@EvilMause

Возможен ли доступ через Juniper dynamic vpn в маршрутизируемую подсеть?

Приветствую!
Начнем со схемы сети:
Client-----Juniper---l3 switch---trust net 1 (192.168.20.0/24)
             |
        trust net 2 (192.168.10.0/24)


На Juniper настроен Dynamic vpn для клиентского доступа. Он работает вполне успешно, но только для тех подсетей которые обслуживает сам Juniper. Если он не имеет интерфейса в эту подсеть и ходит в нее через другой шлюз (на схеме это l3 switch) доступа до хостов в этой подсети нет. При этом из подсети trust net 2 в подсеть trust net 1 доступ есть в обе стороны, с Juniper доступ в trust net 1 есть, обратно тоже.
В настройках Dunamic vpn указано все что необходимо и указано в KB Juniper.
т.е. в разделе dynamic-vpn - clients - remote-protected-resources нужные подсети указаны, security policy для ipsec-vpn dyn-vpn созданы.
Маршрут до необходимой подсети настроен и сеть доступна.
Единственное что удалось найти это непонятная строка в логе снятом через securiry flow traceoptions.
В нормальном случае она выглядит вот так:
Feb 29 17:00:37 17:03:13.670332:CID-1:RT:  flow_first_create_session

Feb 29 17:00:37 17:03:13.670352:CID-1:RT:  flow_first_in_dst_nat: in <reth0.504>, out <N/A> dst_adr 192.168.10.51, sp 326, dp 1

Feb 29 17:00:37 17:03:13.670360:CID-1:RT:  chose interface N/A as incoming nat if.

Feb 29 17:00:37 17:03:13.670393:CID-1:RT:flow_first_rule_dst_xlate: DST no-xlate: 0.0.0.0(0) to 192.168.10.51(1)

Feb 29 17:00:37 17:03:13.670415:CID-1:RT:flow_first_routing: vr_id 5, call flow_route_lookup(): src_ip 10.10.20.15, x_dst_ip 192.168.10.51, in ifp reth0.504, out ifp N/A sp 326, dp 1, ip_proto 1, tos 0

Feb 29 17:00:37 17:03:13.670439:CID-1:RT:Doing DESTINATION addr route-lookup

Feb 29 17:00:37 17:03:13.670468:CID-1:RT: routed (x_dst_ip 192.168.10.51) from dmz (reth0.504 in 1) to reth0.1010, Next-hop: 192.168.10.51

Feb 29 17:00:37 17:03:13.670495:CID-1:RT:  policy search from zone dmz-> zone servers (0x0,0x1460001,0x1)


В случае доступа в маршрутизируемую подсеть вот так:

Feb 29 16:46:58 16:49:34.806023:CID-1:RT:  flow_first_create_session
 
Feb 29 16:46:58 16:49:34.806023:CID-1:RT:  flow_first_in_dst_nat: in <reth0.504>, out <N/A> dst_adr 192.168.20.75, sp 241, dp 1
 
Feb 29 16:46:58 16:49:34.806056:CID-1:RT:  chose interface N/A as incoming nat if.
 
Feb 29 16:46:58 16:49:34.806080:CID-1:RT:flow_first_rule_dst_xlate: DST no-xlate: 0.0.0.0(0) to 192.168.20.75(1)
 
Feb 29 16:46:58 16:49:34.806091:CID-1:RT:flow_first_routing: vr_id 5, call flow_route_lookup(): src_ip 10.10.20.15, x_dst_ip 192.168.20.75, in ifp reth0.504, out ifp N/A sp 241, dp 1, ip_proto 1, tos 0
 
Feb 29 16:46:58 16:49:34.806125:CID-1:RT:Doing DESTINATION addr route-lookup
 
Feb 29 16:46:58 16:49:34.806132:CID-1:RT: routed (x_dst_ip 192.168.20.75) from dmz (reth0.504 in 1) to reth0.504, Next-hop: <i>internet gateway</i>
 
Feb 29 16:46:58 16:49:34.806160:CID-1:RT:  policy search from zone dmz-> zone dmz (0x0,0xf10001,0x1)

Как видно пакеты отправляются обратно на внешний интерфейс! Как это исправить?
  • Вопрос задан
  • 335 просмотров
Подписаться 2 Оценить 1 комментарий
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы