srx
如何让 Juniper SRX220 响应多个 IP 地址
如何让 SRX220 响应同一子网但具有不同网关的多个 IP 地址。 例如, 子网:1.1.1.40/30(.41网关,.42实际ip)子网:1.1.1.44/30(.45网关,.46实际ip) 两个接口都进入适当的交换机并输出到srx。 已验证所有连接均独立工作。 已经花了 10 个小时-尝试了 ARP,将 ip 添加到 ge-0,我遗漏了什么? ...
srx
srx
如何通过 SRX 上的代理服务器路由 VLAN 的所有网络流量
我正在尝试配置 SRX 路由器,使其自动通过我在美国的一个代理服务器转发所有流量。我创建了一个单独的 VLAN 并配置了代理,但不确定如何通过它路由所有流量。 此任务的目的是创建一个测试网络,使用户出现在代理服务器的位置。(使用代理的外部 IP 地址) 这可能吗?我该怎么做?我的方法正确吗? 谢谢 ...
srx
Azure 强制隧道-通过本地防火墙将所有流量路由回去
使用 Azure 和本地 Juniper SRX 防火墙配置了站点到站点 VPN。双向流量正常。配置了强制隧道以通过本地防火墙路由 Azure VM 互联网流量。似乎互联网流量没有通过隧道到达另一端,所有其他流量都通过了。有什么建议吗? ...
srx
Juniper 设备上的防火墙过滤器中的对象
您好,抱歉我的英语不好。 我正在几台运行 Junos 15.1X49 的 Juniper SRX3xx 设备上设置防火墙过滤器。我实际上想要实现的是,在需要重新配置某些规则时,尽量减少我未来的手动操作。在 Cisco ASA 上,答案很简单:使用对象而不是实际 IP 地址。如果您需要更改某些服务器的 IP,则只需更改代表它的对象,同时保留所有相关规则。 Junos 有地址簿(安全地址簿......),它们的用途类似,只是它们不适用于(?!)防火墙规则(防火墙......过滤器......术语......)。它还有前缀列表(策略选项前缀列表......),...
srx
Juniper SRX300 最大 BGP 路由数
我有一台 Juniper SRX300,用于连接 2 个 BGP 对等体。我读过的文档说,这个 SRX 仅支持 300,000 条 BGP 路由,因此对于每个对等体,我创建了一个导入策略(基于社区),以仅接受我的对等体客户路由,而不接受完整表。这些路由大约是 2k 条用于对等体 1 的路由和 3k 条用于对等体 2 的路由。 一切正常,但似乎虽然只使用了过滤后的路线,但整个表格都被存储了。例如,如果我这样做,我会从整个表格中获取任何路线的详细信息 显示路线 1.1.1.1 隐藏详细信息 inet.0:726648 个目的地,726650 条路线(391...
srx
SRX Juniper 端口转发
我正在尝试在 Juniper 上打一个洞,以允许访问在 DHCP IP 地址和端口 8081 上运行的 rasperry pi 网络摄像头。这是我尝试过的: set security zones security-zone trust address-book address rCam 10.203.0.42/32 set applications application CAM-DNAT protocol tcp set applications application CAM-DNAT destination-port 8081 set securit...
srx
Juniper SRX300 上的源 NAT
我在设置 SRX300 防火墙上的源 NAT 时遇到了问题。防火墙通过端口 0/6 中的光纤电缆连接到 LC 面板。我已在该接口上设置了公共 IP,并配置了 DNS 服务器和默认网关。此外,我在端口 0/3 上运行了一个 DHCP 服务器。SRX 有一个连接,可以 ping 远程主机,将设备连接到端口 0/3 将为其提供来自池的 IP 地址。端口 3 上的设备可以 ping SRX,但无法访问公共互联网,我认为我的源 NAT 配置中缺少了某些内容。 这是我的 nat 安全性(203.0.113.192/30 代表我的公共 IP): security { ...
srx
使用 Juniper SRX 每个子网单独设置 Azure S2S VPN 隧道
看起来这个问题及其变体非常常见,但经过一整天的研究和测试后,我仍无法找到答案。我很感激任何反馈! 目标:在 Azure 中,我有一个 VNET,其中包含多个子网(前端、内部、安全)。本质上,我希望这些子网成为 Juniper SRX 防火墙上本地区域的扩展。在 Juniper 方面,我相信这意味着我需要为每个子网建立一个隧道,终止于相应的 st0.x 接口。然后我可以将每个 st0.x 接口添加到相应的区域。 问题:如何将每个传入子网关联到其自己的 st0.x 接口?每个子网是否需要唯一的 VPN 网关 IP? 我查看了 Juniper 端的“流量选择...
srx
Juniper SRX345 在断电时进入恢复模式;无法完全恢复
因此,我们刚刚购买并安装了 Juniper SRX345 作为我们办公室网络的边缘设备。由于各种原因,我们办公室的电源会定期断电,时间比 UPS 的 2 分钟供电时间要长,有时甚至发生在晚上。 不幸的是,当电源恢复时,SRX 并没有完全启动,而是进入了某种恢复模式。然后我需要亲自前往服务器机房并自行重新启动它(通常是拔掉插头,重新插入,然后按下电源按钮;一旦它已经处于恢复模式,它就会正常启动)。 我打电话给 Juniper 支持部门,他们说恢复模式是设备的设计功能,如果你想要断电并让设备恢复正常,你需要先在软件中停止系统。但是在这种情况下,你必须按下电源...
srx
Juniper SRX300 可以充当 VPN 客户端/SOHO 路由器吗?
我有一对 Juniper SRX300 服务网关,希望将其用作 VPN 隧道的两端。我知道如何设置 VPN 服务器端,但我正在尝试查找文档以将另一台设备配置为“VPN 客户端”。换句话说,我希望远程端充当 SOHO 路由器(站点到站点?),将其后面的所有设备置于 VPN 上,而不是让每台 PC/设备都必须运行自己的 VPN 客户端软件。 这可能吗?Juniper/JUNOS 将此模式称为什么? ...
srx
IPsec 隧道无法保持运行
我在运行 StrongSwan 的 Debian 云服务器和 Juniper SRX 210 之间配置了一条静态 IPsec 隧道。隧道可以正常建立,但不会维持很长时间,最长可能只有 1 小时左右。我认为这是因为没有太多数据穿越隧道,导致隧道超时。 StrongSwan 配置: # ipsec.conf - strongSwan IPsec configuration file config setup # Add connections here. conn vpn.mydomain.com auto=start keyexchan...
srx
我有一台 Juniper SRX100 和一台 WIN 10 PC 连接,但它们似乎无法互相 ping 通,尽管它们位于同一子网中
我是 Juniper 的新手,需要一些故障排除帮助。我连接了一台 Juniper SRX100 和一台 WIN 10 PC,但它们似乎无法互相 ping 通,尽管它们位于同一子网 (192.168.10.0/24)。您能告诉我,为什么它们可能无法互相 ping 通吗? 在 PC 端,除了与 SRX100 的本地连接外,所有网络适配器均已禁用。我为 PC 设置了静态 IP。 Ethernet adapter Local Area Connection: Connection-specific DNS Suffix . : Link-local...
srx
从我想要 VPN 接入的同一网络测试 VPN
这是一个常见问题。我正在 Juniper SRX 防火墙上为我的工作网络构建 VPN,我需要对其进行故障排除。 现在,我必须走到咖啡馆或图书馆进行测试,然后回到办公室更改配置。这非常低效。此外,我无法在防火墙上使用任何 VPN 会话监控工具,因为我测试 VPN 时从不在办公室。 我的 VPN 策略仅限 Untrust-to-Trust。如果我为其设置 Trust-to-Trust 策略,是否会引入(或带走)我在故障排除过程中需要注意的变量? 当我使用工作网络时,是否有一种方便且安全的方法可以从不受信任的网络测试 VPN?(例如,使用代理服务器或像 Pr...
srx
基于网络的Juniper SRX路由
因此,在共用建筑中安装了 Juniper SRX 220。两个网络,192.168.30.0/24(共用网络)和 192.168.31.0/24(专用网络)。我们曾经使用过有线调制解调器,目前它只允许 31.0 网络通过 VPN 连接到公司。现在他们安装了点对点光纤,我们需要通过 P2P 发送 31.0 上的所有流量,并通过有线调制解调器发送所有 30.0 上的流量。GE0/0 - 有线 GE0/1 - LAN GE0/2 - 光纤 P2P 目前,默认路由为 0/0,企业通过 VPN st.0 的流量 由于他们现在希望 31.0 上的所有流量(包括 In...
srx
对于传出流量使用 IPS 有什么好处吗?
这可能是一个愚蠢的问题,但它可能不仅对我有用。 我的分支机构中有一个 Juniper SRX 防火墙。从 Internet 到内部网络的所有端口均被阻止。从内部网络到 Internet 的所有端口均已打开。 使用 IPS 有什么好处吗? 如果所有传入端口都被阻止,它能保护我免受任何类型的攻击吗? ...