Как настроить NAT на Juniper SRX650?

Question

[HeroWithin]

Здравствуйте! Помогите, пожалуйста с конфигурацией маршрутизатора. Идей уже нет. https://pastebin.com/WJzePVkY
Нужно чтобы был nat и работал интернет на машинах клиентов. Т.е ip из диапазона 192.168.0.1 раздаётся, а аплинка нет(

Answer 1

[telegin]

Привет, а какого типа NAT ты хочешь получить?
SOURCE (все из LAN выходят в WAN/Internet)
DESTINATION (из Internet зайти на определенный IP:PORT внутреннего LAN)
STATIC (внешний IP <=> внутренний IP)

Наверное Source?

Comments

[HeroWithin]

Source

[telegin]

HeroWithin, в итоге, интересно получилось ли заставить работать NAT или нет? :)

Answer 2

[Strabbo]

NAT у вас настроен, проблема скорее всего в правилах фаервола.
У вас есть правило, которое позволяет ходить трафику изнутри снаружу.
policies {
from-zone trust to-zone untrust {

Но у вас нет правила, которое разрешает ходить обратному трафику

policies {
from-zone untrust to-zone trust {

Comments

[telegin]

Я тоже вначале так подумал, но у меня в тестовой схеме это работает (T->U есть, а U->T нет).
Всё дел в том, что когда срабатывает правило изнутри наружу, то в FLOW списке автоматом создаётся разрешающее правило снаружи вовнутрь. В моём тесте U->T полиси нет, и NAT работает...

Answer 3

[Ярослав]

А не может ли узел с ip-адресом 192.168.16.1, который для SRX является default gateway, отфутболивать уже прошедший через NAT клиентский трафик?

И что, кстати видно на SRX, если при попытке запустить пинг наружу выполнить
show security flow session?

И, кстати, а вот это - оно зачем?

pool 192.168.16.0/24 {
address-range low 192.168.16.186 high 192.168.16.254;
router {
192.168.16.1;
}
propagate-settings ge-0/0/1.0;
}

Comments

[HeroWithin]

На 16.1 (SRX 240) включен STP

По flow session:

Session ID: 221723, Policy name: self-traffic-policy/1, Timeout: 1800, Valid
  In: 192.168.16.3/57172 --> 192.168.16.4/22;tcp, If: ge-0/0/0.0, Pkts: 527, Bytes: 35377
  Out: 192.168.16.4/22 --> 192.168.16.3/57172;tcp, If: .local..0, Pkts: 420, Bytes: 40445
Total sessions: 1

[telegin]

HeroWithin, не совсем понято как STP может повлиять (или наоборот не влиять) на NAT и вообще на прохождение трафика вовне?

Если абстрагироваться от NAT, с этого SRX650 хоть какой либо трафик успешно ходит в Интернет и обратно?
Например с IP на UNTRUST интерфейсе ge-0/0/0.0:
SRX650> ping 8.8.8.8 source 192.168.16.4

Также по выводу flow session кроме:
SRX650 192.168.16.4
SRX240 192.168.16.1
есть некто 192.168.16.3...
Может быть Default route сейчас не туда развёрнут?
route 0.0.0.0/0 next-hop 192.168.16.1
или на стороне SRX240 настроен не 16.1, а 16.3?

И что мне совсем непонятно, это распределение IP адресов:
192.168.16.0/24 для WAN связности (ge-0/0/0.0 с 192.168.16.4 и default в сторону 192.168.16.1 это подтверждают)

НО! из этого же диапазона есть DHCP POOL для другого интерфейса 0/0/1:

dhcp {
            pool 192.168.16.0/24 {
                address-range low 192.168.16.186 high 192.168.16.254;
                router {
                    192.168.16.1;
                }
                propagate-settings ge-0/0/1.0;
            }

Зачем? Почему? Можно ли для ge-0/0/1.0 выделить другой диапазон, не .16.?

[HeroWithin]

Спасибо за развернутый ответ. Раньше настраивалась сеть для srx 240 , а 650 модель должна его заменить. Но временно находится в той сети. Строки, которые вводят вас в недоумение диактивированы. Пинг с самого фаервола работает, с клинтской машины, после получение ей ip от Dhcp нет аплинка, не работает трассировка и тд. Уже разрешил всё в параметрах policies

nat {
    source {
        rule-set trust-to-untrust {
            from zone trust;
            to zone untrust;
            rule source-nat-rule {
                match {
                    source-address 0.0.0.0/0;
                    destination-address 0.0.0.0/0;
                }
                then {
                    source-nat {
                        interface;
                    }
                }
            }
        }
    }
}
policies {
    from-zone trust to-zone untrust {
        policy trust-to-untrust {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }
    }
    from-zone trust to-zone trust {
        policy trust-to-trust {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit;
            }
        }                               
    }                                   
    from-zone untrust to-zone trust {   
        policy untrust-to-trust-test {  
            match {                     
                source-address any;     
                destination-address any;
                application any;        
            }                           
            then {                      
                permit;                 
            }                           
        }

[telegin]

Пинг с самого фаервола работает, с клинтской машины, после получение ей ip от Dhcp нет аплинка, не работает трассировка и тд. Уже разрешил всё в параметрах policies
- какой IP получила клиентская машина по DHCP (выдаёт этот же SRX650?)
- за каким интерфейсом SRX650?
- есть ли ping между машиной и интерфейсом SRX650 (можно с хоста и с SRX)? ARP записи (> show arp no-resolve )?

[HeroWithin]

Да, выдаёт 650-й
вот конфиг dhcp

inactive: pool 192.168.16.0/24 {
    address-range low 192.168.16.186 high 192.168.16.254;
    router {
        192.168.16.1;
    }
    propagate-settings ge-0/0/1.0;
}
pool 192.168.0.0/24 {
    address-range low 192.168.0.100 high 192.168.0.254;
    router {
        192.168.0.1;
    }
    propagate-settings ge-0/0/3.0;
}

650 за 240-м, где все порты в switch-mode, который к сожалению я не могу поставить в 650-м

Пинги с машины на маршрутизатор идут, дальше нет.

[Ярослав]

И вот в этот момент, когда с клиентской машины делается ping 8.8.8.8, надо посмотреть на show security flow session

NAT, на первый взляд, настроен правильно, и в выводе должно оказаться что-то вроде:

Session ID: 24015, Policy name: имя_политики, State: Active, Timeout: 1778, Valid
In: серый_адрес --> 8.8.8.8;icmp, If: reth8.453, Pkts: 6, Bytes: 969
Out: 8.8.8.8 --> публичный_адрес_после_NAT;icmp, If: reth0.293, Pkts: 4, Bytes: 1008

И, кстати, default gateway на клиентских машинах по DHCP правильно подтянулся?

[telegin]

Я бы для "чистоты" эксперимента отключил бы SCREEN на время.

[telegin]

Ярослав, у меня, кстати, именно для ICMP в выводе
show security flow session protocol icmp

оба раза PRIVATE адрес:

Session ID: 408620, Policy name: permit-all/20, Timeout: 4, Valid
  In: 10.15.xxx.yyy/43 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/43;icmp, If: ae0.0, Pkts: 0, Bytes: 0

Session ID: 408766, Policy name: permit-all/20, Timeout: 14, Valid
  In: 10.15.xxx.yyy/54 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/54;icmp, If: ae0.0, Pkts: 0, Bytes: 0
Total sessions: 18

240H2 и [12.3X48-D40.5]

[telegin]

HeroWithin, на 192.168.0.104 покажи таблицу маршрутов, что то типа
$ netstat -rn UNIX
или
C:\>route print WINDOWS

[Ярослав]

telegin:

Удивительно, но у меня в IN приватный адрес, а в OUT - публичный.

Session ID: 432838, Policy name: 135/393, State: Active, Timeout: 2, Valid
In: 172.16.16.2/24 --> 8.8.8.8/1661;icmp, If: reth8.453, Pkts: 1, Bytes: 84
Out: 8.8.8.8/1661 --> 217.148.x.x/52931;icmp, If: reth0.293, Pkts: 1, Bytes: 84

SRX650, Junos 12.1X44-D35.5
Да, немножко постарее )

[telegin]

Ярослав, откровенно говоря я и сам в замешательстве, вот вчерашние 18 сессий (остались в логе SecureCRT):

SRX240> show security flow session protocol icmp   
Session ID: 3113, Policy name: permit-all/20, Timeout: 12, Valid
  In: 10.15.xxx.yyy/52 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/52;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 3405, Policy name: permit-all/20, Timeout: 8, Valid
  In: 10.15.xxx.yyy/47 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/47;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 3472, Policy name: permit-all/20, Timeout: 16, Valid
  In: 10.15.xxx.yyy/56 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/56;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 9686, Policy name: permit-all/20, Timeout: 6, Valid
  In: 10.15.xxx.yyy/46 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/46;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 14669, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/41 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/41;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 314937, Policy name: permit-all/20, Timeout: 12, Valid
  In: 10.15.xxx.yyy/51 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/51;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 373059, Policy name: permit-all/20, Timeout: 8, Valid
  In: 10.15.xxx.yyy/48 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/48;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 383689, Policy name: permit-all/20, Timeout: 10, Valid
  In: 10.15.xxx.yyy/49 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/49;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 385963, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/98 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 193.2xx.yyy.zzz/17893;icmp, If: ae0.800, Pkts: 1, Bytes: 84

Session ID: 386801, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/97 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 193.2xx.yyy.zzz/20913;icmp, If: ae0.800, Pkts: 1, Bytes: 84

Session ID: 389309, Policy name: permit-all/20, Timeout: 4, Valid
  In: 10.15.xxx.yyy/44 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/44;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 394381, Policy name: permit-all/20, Timeout: 10, Valid
  In: 10.15.xxx.yyy/50 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/50;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 398577, Policy name: permit-all/20, Timeout: 16, Valid
  In: 10.15.xxx.yyy/55 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/55;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 398598, Policy name: permit-all/20, Timeout: 6, Valid
  In: 10.15.xxx.yyy/45 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/45;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 403482, Policy name: permit-all/20, Timeout: 14, Valid
  In: 10.15.xxx.yyy/53 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/53;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 406854, Policy name: permit-all/20, Timeout: 2, Valid
  In: 10.15.xxx.yyy/42 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/42;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 408620, Policy name: permit-all/20, Timeout: 4, Valid
  In: 10.15.xxx.yyy/43 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/43;icmp, If: ae0.800, Pkts: 0, Bytes: 0

Session ID: 408766, Policy name: permit-all/20, Timeout: 14, Valid
  In: 10.15.xxx.yyy/54 --> 8.8.4.4/13382;icmp, If: ge-0/0/2.0, Pkts: 1, Bytes: 84
  Out: 8.8.4.4/13382 --> 10.15.xxx.yyy/54;icmp, If: ae0.800, Pkts: 0, Bytes: 0
Total sessions: 18

16 из 18 с приватным IP(10.15.xxx.yyy), но две есть с публичным (193.2xx.yyy.zzz), причем где-то посередине последовательного списка с flow...

Сегодня при повторении - все с публичным...

У меня нет объяснения, но главное что Source NAT (OUT Interface) - работает! :)