Como você implementa o pas-through NAT-T em um Firewall da série Juniper SRX?

2

Temos 3 firewalls SRX-100 de zimbro, eles são configurados da seguinte forma:

FW1 - > FW2 - > INTERNET - > FW3

Gostaríamos de criar um túnel IPSEC entre FW3 e FW1 passando por FW2 usando preferencialmente o NAT-T. Isso é possível?

FW1 e FW2 têm algumas regras de acesso restritas, permitindo apenas uma porta conectada (é uma DMZ com um servidor), portanto não podemos simplesmente criar uma rota baseada em vpn entre FW1 e FW2 para encaminhar o tráfego (caso contrário, todo o tráfego será encaminhado)

Sabemos que o túnel está bom porque conseguimos testá-lo entre FW1 e FW3 (sem o FW2 no meio), então sabemos que o problema está relacionado ao 'repasse' no FW2.

Essencialmente, a questão é: quais opções precisamos selecionar no FW2 para permitir que ele passe pelo tráfego IPSEC direto para o FW1?

    
por Iain 24.03.2010 / 19:03

2 respostas

1

se é algo parecido com o SSG, então você poderia simplesmente criar um encaminhamento de porta embora (possivelmente)

Defina um destino no VIP no lado 'Dirty' do FW2, com o 'host' sendo FW1, depois faça a política.

Eu não sou um especialista em zimbro, mas deveria deixar você avançar assim

    
por 13.01.2011 / 23:15
1

As configurações padrão que você usou no SRX funcionarão bem (apenas não defina no-nat-transversal, que não é o padrão). Contanto que o FW3 tenha um IP público e não-alvo, a VPN simplesmente surgirá. Além disso, verifique se você está no modo agressivo em vez do modo principal para a VPN.

E, por último, certifique-se de ter 'ike' permitido nos serviços host de entrada no lado não-confiável do FW1. Eu tive alguns problemas que me fizeram coçar a cabeça por um tempo que permitiria que um IP público aparecesse, mas ao se conectar atrás de um NAT, a VPN não surgisse sem o IKE ser permitido.

    
por 08.09.2011 / 22:39