Parece que essa questão e suas variantes são muito comuns, mas não consegui responder depois de um dia inteiro pesquisando e testando. Eu aprecio qualquer feedback!
GOAL : No Azure, tenho uma VNET com várias sub-redes (frontend, internal, secure). Essencialmente, gostaria que essas sub-redes fossem extensões de minhas zonas internas no firewall do Juniper SRX. No lado do Juniper, acredito que isso significa que eu preciso de um túnel para cada sub-rede, terminando em uma respectiva interface st0.x. Então eu posso adicionar cada interface st0.x à zona apropriada.
PERGUNTA : Como associo cada sub-rede de entrada à sua própria interface st0.x? Preciso de um IP de gateway de VPN exclusivo para cada sub-rede?
Eu observei "seletores de tráfego" no lado do Juniper, criando uma VPN ipsec para cada sub-rede e inserindo essa sub-rede no seletor de tráfego, mas parece que apenas uma VPN se conecta.
Eu entendo que eu poderia ter todo o tráfego da minha VNET vindo pelo mesmo túnel e ligar a uma única interface e colocar essa interface em uma zona dedicada (como o Azure-Tunnel). O problema que tenho com essa abordagem é que alguém criando uma política que permita o tráfego do Azure-Tunnel para outra zona e destino precisaria se lembrar de especificar um endereço de origem ou permitiria que todas as sub-redes do Azure se comunicassem com o destino.
Obrigado!
Tags vpn azure juniper site-to-site-vpn srx