"Удаленный default gateway для branch-office"
Задача:
Настроить роутинг таким образом, чтобы клиенты удаленного офиса ходили в интернет через "ядро" сети в датацентре/головном офисе.
Условия:
SRX-HEAD - роутер в "центре".
SRX-BRANCH - роутер в филиале.
Решение:
1) В центре и филиале создаём security-zone "VPN".
2) Протягиваем route-based IPSec-VPN из филиала в центр, виртуальные интерфейсы st0.n определяем в зону "VPN". Убеждаемся, что пакеты ходят.
3) В центре пишем source-NAT приблизительно таким образом:
set security nat source rule-set vpn-branch from zone vpn
set security nat source rule-set vpn-branch to zone internet
set security nat source rule-set vpn-branch rule vpn-to-internet-src-nat match source-address 0.0.0.0/0
set security nat source rule-set vpn-branch rule vpn-to-internet-src-nat match destination-address 0.0.0.0/0
set security nat source rule-set vpn-branch rule vpn-to-internet-src-nat then source-nat interface
4) Дописываем соответствующую security policy.
5) В филиале создаём firewall filter на интерфейсе, который смотрит в локальную сеть 192.168.177.0/24, примерно такой:
set firewall family inet filter vpn-head term 1 from source-address 192.168.177.0/24
set firewall family inet filter vpn-head term 1 then routing-instance vpn-head
set firewall family inet filter vpn-head term 2 then accept
6) Навешиваем фильтр на интерфейс:
set interfaces ge-0/0/5 unit 0 family inet filter input vpn-head
6) Создаём routing-instance типа "forwarding", который будет трафик филиала отправлять нахер в центральный роутер:
set routing-instances vpn-head routing-options static route 0.0.0.0/0 next-hop st0.n
set routing-instances vpn-head instance-type forwarding
7) Создём rib-группу для обмена маршрутами:
set routing-options rib-groups global-rib import-rib inet.0
set routing-options rib-groups global-rib import-rib vpn-head.inet.0
set routing-options interface-routes rib-group inet global-rib
8) ???
9) PROFIT!!!
PS: Опционально - настроить RPM Probe + ip-monitoring и последующее переключение routing-instance на случай падения VPN-канала.
(чтобы коллеги не остались без инета)
__
Настроить роутинг таким образом, чтобы клиенты удаленного офиса ходили в интернет через "ядро" сети в датацентре/головном офисе.
Условия:
SRX-HEAD - роутер в "центре".
SRX-BRANCH - роутер в филиале.
Решение:
1) В центре и филиале создаём security-zone "VPN".
2) Протягиваем route-based IPSec-VPN из филиала в центр, виртуальные интерфейсы st0.n определяем в зону "VPN". Убеждаемся, что пакеты ходят.
3) В центре пишем source-NAT приблизительно таким образом:
set security nat source rule-set vpn-branch from zone vpn
set security nat source rule-set vpn-branch to zone internet
set security nat source rule-set vpn-branch rule vpn-to-internet-src-nat match source-address 0.0.0.0/0
set security nat source rule-set vpn-branch rule vpn-to-internet-src-nat match destination-address 0.0.0.0/0
set security nat source rule-set vpn-branch rule vpn-to-internet-src-nat then source-nat interface
4) Дописываем соответствующую security policy.
5) В филиале создаём firewall filter на интерфейсе, который смотрит в локальную сеть 192.168.177.0/24, примерно такой:
set firewall family inet filter vpn-head term 1 from source-address 192.168.177.0/24
set firewall family inet filter vpn-head term 1 then routing-instance vpn-head
set firewall family inet filter vpn-head term 2 then accept
6) Навешиваем фильтр на интерфейс:
set interfaces ge-0/0/5 unit 0 family inet filter input vpn-head
6) Создаём routing-instance типа "forwarding", который будет трафик филиала отправлять нахер в центральный роутер:
set routing-instances vpn-head routing-options static route 0.0.0.0/0 next-hop st0.n
set routing-instances vpn-head instance-type forwarding
7) Создём rib-группу для обмена маршрутами:
set routing-options rib-groups global-rib import-rib inet.0
set routing-options rib-groups global-rib import-rib vpn-head.inet.0
set routing-options interface-routes rib-group inet global-rib
8) ???
9) PROFIT!!!
PS: Опционально - настроить RPM Probe + ip-monitoring и последующее переключение routing-instance на случай падения VPN-канала.
(чтобы коллеги не остались без инета)
__