Como faço para manter um IP da interface do Juniper ScreenOS quando ninguém está conectado a ele?

2

Eu tenho uma conexão VPN com um site remoto e sempre que nada é conectado aos sites remotos, o LAN bgroup não é gerenciável ou pingável.

Alguém sabe qual comando eu pulei na CLI para configurar isso? Ou se houver uma caixa de seleção na interface da web, eu deveria ser atingido?

    
por sclarson 14.05.2009 / 23:45

5 respostas

2

A resposta correta é criar uma interface de loopback. Quando nada é conectado ao bgroup da LAN, a interface fica "inativa" e todas as rotas associadas a ela são removidas da tabela de roteamento. Esse é um comportamento que você quer, na verdade, já que ajuda ao usar VPNs redundantes baseadas em rotas - é a única maneira de um dispositivo saber "que o túnel está inoperante e agora eu deveria rotear para aqui".

Ok, então o que você faz é:

  • No seu vrouter - provavelmente o trust-vr - marque a opção "Ignorar Conflito de Sub-rede para Interfaces neste VRouter"
  • Crie uma nova interface de loopback.1
  • Insira o último endereço no seu espaço de grupo da LAN, com uma máscara de rede / 32. Por exemplo, se o seu grupo de LANs tiver 192.168.1.0/24, o loopback.1 será 192.168.1.254/32. Análogo para espaços de rede menores.
  • Certifique-se de que seu servidor DHCP nesse bgroup não inclua o endereço da interface de loopback em seu (s) pool (s) de IPs.

Agora você pode gerenciar a unidade usando esse endereço IP de loopback, que sempre permanecerá acessível; e você não precisou abrir espaço de endereço adicional para fazer isso.

Garantir que um túnel permaneça "acima" é uma preocupação totalmente diferente. No ScreenOS, isso pode ser feito com a opção "monitor rekey" (e "otimizado" para uma boa medida se você quiser, com um IP de destino e porta de origem específicos se o exterior não for pingável e possivelmente com um intervalo de 5 em vez de 1 se as linhas que você passar forem ISPs residenciais). Isso não tem nada a ver com a capacidade de gerenciar, no entanto. Pode dar-lhe boa indicação e aviso antecipado de falha de VPN, se você configurar um servidor que recebe logs e envia notificações para a equipe em "VPN Down". Ele também tem o risco de fazer a "aba" de sua VPN se você configurar incorretamente - ou seja, se o endereço que o Monitor está executando ping não puder ser pingado, ou se o intervalo for muito agressivo para a qualidade / latência da conexão do ISP ( s). Isso pode ser feito, por exemplo, através do ping do endereço de loopback através do túnel: Você não estará contando com o endereço externo que pode ser acessado pelo ping.

    
por 04.06.2009 / 23:16
2

Na sua configuração da Fase 2 para a VPN ( AutoKey IKE ), clique no botão Avançado e ligue (verifique) VPN Monitor e Rekey . Isso abrirá o túnel se as chaves expirarem ou se a conexão cair por algum motivo. Usamos isso para nossos usuários remotos, que geralmente desligam todos os equipamentos conectados. Dessa forma, ainda temos a capacidade de acessar o Netscreen remoto, mesmo que não haja tráfego na VPN.

texto alternativo http://i42.tinypic.com/s2g0i8.jpg

    
por 10.06.2009 / 04:12
1

Tente criar uma interface de loopback e conectar o túnel a isso.

Se este for um túnel VPN com base em políticas e todos os clientes estiverem inativos, talvez não haja tráfego "interessante" suficiente para manter o túnel. Pode haver um cronômetro para estender (talvez até o infinito) esse tempo limite para evitar que isso aconteça.

    
por 14.05.2009 / 23:59
1

Bem, sem saber muito sobre a sua configuração (seria bom saber se é rota versus política, etc) você precisa ter em mente que o ScreenOS geralmente requer tráfego roteado ou encaminhado pela política para o túnel para iniciar o túnel ou mantenha o túnel. Portanto, se você não tiver tráfego para entrar no túnel, o túnel não ficará ativo. Isso parece o seu problema. No entanto, existem várias opções de linha de comando para ajustar o comportamento de seus túneis. Experimente o Capítulo 10 no Cookbook do Oreilly ScreenOS ou faça o download do ScreenOS "Concepts & Examples Guide". Este é um PDF bastante robusto disponível no site da Juniper, mas também é dividido em vários volumes. Tente ver o volume 5: Redes Privadas Virtuais, Recursos Avançados de Rede Privada Virtual. Preste atenção específica a uma opção chamada "VPN Monitoring", usando "set vpn monitor rekey" deve ajudar a manter o túnel ativo em casos diferentes, mas não se esqueça de ler. Além disso, se você quiser ir um pouco mais longe, você poderia examinar DPD (Dead-peer Detection) em versões mais novas do código.

    
por 18.05.2009 / 17:12
0

Eu não acho que você pode. A interface IP depende da interface física (ou bgroup) por causa da tabela de roteamento. Portanto, se a interface física estiver inativa, o roteador presumirá que toda a rede, incluindo ela mesma, está inacessível.

    
por 02.06.2009 / 21:44