Как пробросить VPN через маршрутизатор Juniper srx до сетевого хранилища Qnap?

Question

[PRIZ63rus]

Имеется локальная сеть с маршрутизатором juniper srx, и сетевое хранилище qnap 469 pro, которое поддерживает создание vpn туннелей до конечного пользователя. Необходимо настроить работу juniper таким образом что бы доступ к qnap был из любой точки, а не только из сети филиала.

Comments

[PRIZ63rus]

Уточнение. Qnap поддерживает vpn по протоколу PPTP и OpenVPN. Желательно настроить PPTP для этого насколько я понял нужно пробросить tcp порт 1723, и GRE трафик. Если с портом все понятно то с GRE не очень.
p.s. маршрутизатор juniper srx 210h, если это имеет значение.

Answer 1

[throughtheether]

Если я правильно понимаю и SRX у вас транслирует частные (в смысле rfc1918) адреса локальной сети (в т.ч. адрес сетевого хранилища) в глобально маршрутизируемые ('белые') адреса, то, при наличии дополнительного глобально маршрутизируемого адреса, вы можете настроить NAT адрес в адрес. Вот пример.

Comments

[PRIZ63rus]

В том то и проблема что адрес только один.

[throughtheether]

Покажите пожалуйста текущие настройки NAT и уточните адрес сетевого хранилища.

[PRIZ63rus]

nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
}

192.168.100.4/22

[PRIZ63rus]

Или так, это уже с портом для pptp.
nat {
source {
rule-set trust-to-untrust {
from zone trust;
to zone untrust;
rule source-nat-rule {
match {
source-address 0.0.0.0/0;
}
then {
source-nat {
interface;
}
}
}
}
}
destination {
pool Qnap {
address 192.168.100.4/32;
}
rule-set NAT_VPN {
from zone untrust;
rule Qnap {
match {
source-address 0.0.0.0/0;
destination-address XXX.XXX.XXX.XXX/32;
destination-port 1723;
}
then {
destination-nat pool Qnap;
}
}
}
}
}
log {
mode stream;
format sd-syslog;
}
screen {
ids-option untrust-screen {
alarm-without-drop;
icmp {
ip-sweep;
fragment;
large;
flood;
ping-death;
}
ip {
timestamp-option;
security-option;
stream-option;
spoofing;
source-route-option;
strict-source-route-option;
unknown-protocol;
block-frag;
tear-drop;
}
tcp {
syn-fin;
fin-no-ack;
tcp-no-flag;
syn-frag;
port-scan;
syn-ack-ack-proxy;
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
winnuke;
}
udp {
flood;
}
}
}
zones {
security-zone untrust {
interfaces {
fe-0/0/6.0 {
host-inbound-traffic {
system-services {
ping;
ssh;
}
}
}
}
}
security-zone trust {
address-book {
address 192.168.100.4/32 192.168.100.4/32;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
vlan.0;
vlan.1;
vlan.5;
}
}
}
policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone trust {
policy trust-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy untrust_to_trust_VPN_pptp {
match {
source-address any;
destination-address 192.168.100.4/32;
application any;
}
then {
permit;
}
}
}
}

[throughtheether]

Попробуйте добавить в раздел nat -> destination -> rule-set NAT_VPN следующее правило:
rule GRE {
match {
source-address 0.0.0.0/0;
destination-address XXX.XXX.XXX.XXX/32;
application junos-gre;
}
then {
destination-nat pool Qnap;
}
По моему представлению, оно позволит натировать GRE трафик.

[PRIZ63rus]

Большое спасибо за помощь. В итоге разобрался сам, тот конфиг который я отправлял последним оказался работоспособным, и vpn пробрасывается и работает только лишь с открытым портом. Видимо нужно смотреть раздел security -> policies, где то там я разрешил GRE трафик.
p.s. команда application в разделе nat не прописывается, пишет синтаксическую ошибку, но данная команда как раз используется в разделе policies.

[PRIZ63rus]

policies {
from-zone trust to-zone untrust {
policy trust-to-untrust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone trust to-zone trust {
policy trust-to-trust {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone untrust to-zone trust {
policy untrust_to_trust_VPN_pptp {
match {
source-address any;
destination-address 192.168.100.4/32;
application any;
}
then {
permit;
}
}
}
}

[throughtheether]

Похоже, сервер шлет первый GRE-пакет, создается трансляция по набору правил nat -> source -> rule-set trust-to-untrust и дальше уже и GRE-трафик от клиента натируется.

Не вполне понял, в чем заключалась моя помощь, но рад, что у вас все заработало как надо.