Temos 3 firewalls SRX-100 de zimbro, eles são configurados da seguinte forma:
FW1 - > FW2 - > INTERNET - > FW3
Gostaríamos de criar um túnel IPSEC entre FW3 e FW1 passando por FW2 usando preferencialmente o NAT-T. Isso é possível?
FW1 e FW2 têm algumas regras de acesso restritas, permitindo apenas uma porta conectada (é uma DMZ com um servidor), portanto não podemos simplesmente criar uma rota baseada em vpn entre FW1 e FW2 para encaminhar o tráfego (caso contrário, todo o tráfego será encaminhado)
Sabemos que o túnel está bom porque conseguimos testá-lo entre FW1 e FW3 (sem o FW2 no meio), então sabemos que o problema está relacionado ao 'repasse' no FW2.
Essencialmente, a questão é: quais opções precisamos selecionar no FW2 para permitir que ele passe pelo tráfego IPSEC direto para o FW1?
se é algo parecido com o SSG, então você poderia simplesmente criar um encaminhamento de porta embora (possivelmente)
Defina um destino no VIP no lado 'Dirty' do FW2, com o 'host' sendo FW1, depois faça a política.
Eu não sou um especialista em zimbro, mas deveria deixar você avançar assim
As configurações padrão que você usou no SRX funcionarão bem (apenas não defina no-nat-transversal, que não é o padrão). Contanto que o FW3 tenha um IP público e não-alvo, a VPN simplesmente surgirá. Além disso, verifique se você está no modo agressivo em vez do modo principal para a VPN.
E, por último, certifique-se de ter 'ike' permitido nos serviços host de entrada no lado não-confiável do FW1. Eu tive alguns problemas que me fizeram coçar a cabeça por um tempo que permitiria que um IP público aparecesse, mas ao se conectar atrás de um NAT, a VPN não surgisse sem o IKE ser permitido.