Очередная багофича в Juniper SRX
... Ну вы уже поняли, насколько горячей любовью я их "обожаю".
Дано. Техническая площадка. На ней контроллер домена MS AD. IPSec-тоннель до другой площадки. Там еще один контроллер MS AD. На Juniper SRX между площадками в полисере разрешено всё и в обе стороны. Примерно так.
from-zone site1 to-zone site2 {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
from-zone site2 to-zone site1 {
policy allow-all {
match {
source-address any;
destination-address any;
application any;
}
then {
permit;
}
}
}
Казалось бы, чего ещё желать? Но контроллеры всё равно друг друга не "видят". Вроде AD номинально и работает, но как-то "с пердежом и рвотой". А всё почему? Потому что в Juniper встроен и по умолчанию включен ALG (Application Layer Gateway). И просто "application any, permit" ему мало. Надо либо явно указывать что именно ты хочешь permit, либо отключать его к какой-то там матери применительно к MS RPC:
set security alg msrpc disable
Ох уж эти железки, которые искренне считают, что они умнее сисадмина.