Кругом одни рукожопы
В качестве proof of concept для удаленного офиса заказал на пощупать модули расширения для Juniper SRX320: SRX-MP-LTE-AA (слева) и SRX-MP-WLAN-US (справа), превращающие эту железку в полноценный 4G Wi-Fi VPN маршрутизатор:
4G карта работает достаточно стабильно, даже IPv6 завелся без проблем, но периодически при холодном старте тупо не определяется и требует ребута SRX'а. А уж Wi-Fi карту вообще видимо проектировали накурившиеся тяжелых веществ рукожопые индусы. Ничем иным я не могу объяснить, что:
1. Внутри там OpenWRT (в enterprise-grade железке, Карл!)
2. Настройки рандомно не применяются, применяются не так, или только после перезагрузки модуля через передергивание fpc. Иногда требуется его полностью сбросить и запулить настройки заново,
3. Модуль умеет в WPA Enterprise, но адекватной документации по настройке оного тупо нет. Есть только туманное упоминание, что для корректной работы модуля с Radius-сервером нужен NAT,
4. Методом проб, ошибок и ругани с JTAC удалось выяснить, что OpenWRT внутри модуля шлет запросы на RADIUS сервер с рандомных левых source IP и на стороне SRX нужно настраивать SNAT чтобы они корректно маршрутизировались.
Будучи единожды настроенным, модуль таки работает, но называть такую недоделку корпоративным решением и выкатывать в прод сырые прошивки лично мне было бы стыдно. Джуниперу видимо похер. Кому вообще мог прийти в голову подобный технический дизайн и зачем было делать всё через такую жопу, остается загадкой.
В удаленный офис в итоге вместо этих поделий видимо поедет полноценная точка доступа и полноценный 4/5G внешний модем для резервного канала, поскольку рекомендовать это для боевого использования я не могу, мне жалко саппортов и свои нервы. Что крайне досадно, ибо было бы весьма удобно иметь решение "все в одном".
4G карта работает достаточно стабильно, даже IPv6 завелся без проблем, но периодически при холодном старте тупо не определяется и требует ребута SRX'а. А уж Wi-Fi карту вообще видимо проектировали накурившиеся тяжелых веществ рукожопые индусы. Ничем иным я не могу объяснить, что:
1. Внутри там OpenWRT (в enterprise-grade железке, Карл!)
2. Настройки рандомно не применяются, применяются не так, или только после перезагрузки модуля через передергивание fpc. Иногда требуется его полностью сбросить и запулить настройки заново,
3. Модуль умеет в WPA Enterprise, но адекватной документации по настройке оного тупо нет. Есть только туманное упоминание, что для корректной работы модуля с Radius-сервером нужен NAT,
4. Методом проб, ошибок и ругани с JTAC удалось выяснить, что OpenWRT внутри модуля шлет запросы на RADIUS сервер с рандомных левых source IP и на стороне SRX нужно настраивать SNAT чтобы они корректно маршрутизировались.
Будучи единожды настроенным, модуль таки работает, но называть такую недоделку корпоративным решением и выкатывать в прод сырые прошивки лично мне было бы стыдно. Джуниперу видимо похер. Кому вообще мог прийти в голову подобный технический дизайн и зачем было делать всё через такую жопу, остается загадкой.
В удаленный офис в итоге вместо этих поделий видимо поедет полноценная точка доступа и полноценный 4/5G внешний модем для резервного канала, поскольку рекомендовать это для боевого использования я не могу, мне жалко саппортов и свои нервы. Что крайне досадно, ибо было бы весьма удобно иметь решение "все в одном".