SRX - Static NAT (mip tegenhanger)

**bibawa** · 31/08/14 18:56

Juniper Lovers, (want die moeten er hier toch zijn..)

Wij zijn hier de overstap aan het maken van onze Mikrotik firewalls naar Juniper SRXen. Ons netwerk bestaat uit 2 delen:

- Een deel private lans (backup, monitoring, management,..)
- Een publieke zone (zeg maar waar de server op hangen met hun publieke IPs)..

Het eerste deel hebben we volledig voor elkaar gekregen en werkt zoals het moet werken met de verschillende zones, policies,.., bij het eerste deel lopen we vast..

Publieke ip range: 185.59.16.0 /24 gerouteerd door het datacenter, onze gateway .1 (op router bij het datacenter).

Uplink datacenter >>> GE-0/0/0 (ZONE UNTRUST)

de servers zijn met hun 'publieke' interface aangesloten op interface GE-0/0/1 (ZONE TRUST) - voor de makelijkheid -

En hier rij ik vast, ik krijg het niet werkend.

Ik heb deze setup hier thuis nagemaakt maar dan met private subnets (wat hetzelfde gaat geven..)

Als ik de UNTRUST zone een ip geef in dit subnet en ik geef vervolgens mijn server in de untrust zone ook een ip uit dit subnet geraakt het verkeer niet gerouteerd, wat op zich nog logisch is.

In de SSG reeksen kon je dan MIP rules aanmaken om die 1:1 door te zetten, maar voor de SRXen vind ik verschillende oplossingen (Proxy ARP, static NAT) maar het zijn hier wel 254 ips, kan ik die niet 1:1 doorzetten van zone untrust naar zone trust en dan alsnog gebruik maken van de policies ?

De firewall in transparant mode zetten gaat niet omdat we met de private lans zitten.. Op de mikrotiks deden we dat wel transparant..

Any help ?

**CharlieRoot** · 01/09/14 07:18

Het is al even geleden dat ik met Juniper bezig ben geweest maar volgens mij moet je kijken naar de zgn Transparent mode

Zie hier meer info
http://kb.juniper.net/InfoCenter/ind...ent&id=KB21421

Code:

interfaces {
    ge-0/0/0 {
        unit 0 {
            family bridge {
                interface-mode access;
                vlan-id 10;
            }
        }
    }
    ge-0/0/7 {
        unit 0 {
            family bridge {             
                interface-mode access;
                vlan-id 10;
            }
        }
    }
    irb {
        unit 0 {
            family inet {
                address 172.27.186.63/24;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop 172.27.186.1;
    }
}
security {
    policies {
        from-zone trust to-zone untrust {
            policy 1 {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                    log {
                        session-init;
                        session-close;
                    }
                }
            }
        }
    }
    log {
        mode stream;
        format sd-syslog;
        source-address 172.27.186.63;
        stream test {
            host {
                172.27.186.57;
            }
        }
    }
    zones {
        security-zone untrust {
            interfaces {
                ge-0/0/0.0 {            
                    host-inbound-traffic {
                        system-services {
                            dhcp;
                            tftp;
                            all;
                        }
                    }
                }
            }
        }
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
            }
            interfaces {
                ge-0/0/7.0;
            }
        }
    }
}
bridge-domains {
    test {
        domain-type bridge;
        vlan-id 10;
        routing-interface irb.0;
    }
}

**bibawa** · 01/09/14 10:08

Ja en nee..

Van zodra je transparent mode aanzet is dat voor het hele device en kan je niet meer routeren en dan zouden we ook de private lans niet meer kunnen gebruiken..

**CharlieRoot** · 01/09/14 19:07

Daar heb je vlan interfaces voor, ook transparant zou het per vlan instelbaar moeten zijn. Althans, dat zegt de docu.. Wij doen het met Cisco en Sonicwall ook op die manier

----
WIPA Nederland - https://wipa.nl

**bibawa** · 01/09/14 20:17

Waar zie je dat in de docu staan ?

**T. Verhaeg** · 02/09/14 02:28

Op de SRX moet je ook het verkeer binnen de zone expliciet toestaan, dat ziet er zo ongeveer uit (het is al laat, even uit het hoofd). Eventueel kan je me bereiken mocht het nog niet werken, dan kijk ik graag even met je mee

Code:

set security policies security-policy from-zone untrust to-zone untrust application any

**bibawa** · 02/09/14 09:28

En dan de interfaces niet op family inet maar op ethernet-switching ?

**T. Verhaeg** · 02/09/14 10:07

Oorspronkelijk geplaatst door bibawa

En dan de interfaces niet op family inet maar op ethernet-switching ?

Nee, de ethernet-switching family is L2, en inet is L3. Ik neem aan dat je via je SRX wilt routen / firewallen?

Onderwerp Gereedschap

Toon

Onderwerp: SRX - Static NAT (mip tegenhanger)

SRX - Static NAT (mip tegenhanger)

Webhostingtalk.nl

Link met ons

Partners

Contact