iT邦幫忙

0

Netscreen25 如何獨立一條線路給VPN專用?

各位大大,公司的Netscreen 對外有兩條線路,我想用一條專門做為VPN專用,原因是三地之間的ERP系統,以及視訊需求,但是在Netscreen上面不知道怎麼設定。

台北環境設定如下:
ethernet1 192.168.1.1 Trust Layer3
ethernet3 1.1.1.1 Untrust Layer3 (Gateway 1.1.1.254)
ethernet4 2.2.2.2 VPN Layer3 (Gateway 2.2.2.254)
☆ethernet4這條專門要給VPN用

附上台北端Routing的設定:
Untrust-vr:
IP/Netmask Gateway Interface

1.1.1.1,0.0.0.0,ethernet3
0.0.0.0,1.1.1.254,ethernet3
2.2.2.2,0.0.0.0,ethernet4
0.0.0.0,2.2.2.254,ethernet4
192.168.2.0/24,0.0.0.0,ethernet3

Trust-vr:
IP/Netmask Gateway Interface

192.168.1.0/24,0.0.0.0,ethernet1
0.0.0.0,untrust-vr,-

=====================================
我將0.0.0.0,2.2.2.254,ethernet4,這條拿掉的話,VPN就會斷了。
如果把Policy中Trust to VPN的對外政策拿掉,那連線到Untrust區域的時候,又會掉封包(Ping 168.95.1.1的方式)

到底該怎麼做才行呢?

hon2006 iT邦大師 1 級 ‧ 2013-04-11 08:46:38 檢舉
client to site or site to site vpn ?
我建的是site to site VPN。
我想要的是,一般對外Internet都走ethernet3,往B公司的都走ethernet4(VPN)。

2 個回答

2
hon2006
iT邦大師 1 級 ‧ 2013-04-11 14:25:01
最佳解答

有路由的設定嗎?

可以先看一下手冊
http://www.juniper.net/techpubs/software/screenos/screenos5.1.0/CE\_v5.pdf

看更多先前的回應...收起先前的回應...

大大您好,手冊我有看,不過看完了還是不會設Orz
我有把Routing的設定po上來,您看一下:
(上面Routing設定的地方,有一個地方打錯…)

我有設定192.168.2.0/24,0.0.0.0,ethernet4,就是目的地是192.168.2.0/24網段的都走ethernet4這條出去。
但是有設定0.0.0.0,2.2.2.254,ethernet4,所以一般對外封包也會透過ethernet4出去。
這條設定拿掉,ethernet4就會無法出去,連VPN也是斷掉。
所以我不知道怎麼設定讓對外的封包都透過ethernet3,然後VPN都走ethernet4。

附上台北端Routing的設定:
Untrust-vr:
IP/Netmask Gateway Interface

1.1.1.1,0.0.0.0,ethernet3
0.0.0.0,1.1.1.254,ethernet3
2.2.2.2,0.0.0.0,ethernet4
0.0.0.0,2.2.2.254,ethernet4
192.168.2.0/24,0.0.0.0,ethernet4

Trust-vr:
IP/Netmask Gateway Interface

192.168.1.0/24,0.0.0.0,ethernet1
0.0.0.0,untrust-vr,-

hon2006 iT邦大師 1 級 ‧ 2013-04-11 15:19:15 檢舉

加一條路由

hon2006 iT邦大師 1 級 ‧ 2013-04-11 15:36:38 檢舉

routing 設定有 Metric可以看嗎?
Netmask Gateway Interface 看不出來 routing
設定 vpn 可以參考這篇文章
http://jimmy129.blogspot.tw/2010/08/juniper-ssg-site-to-site-vpn-sop.html

大大我附上A公司Routing設定的圖給您看:

VPN的部份我會設,但是我想要的是,一般對外Internet都走ethernet3,往B公司的都走ethernet4(VPN)。

hon2006 iT邦大師 1 級 ‧ 2013-04-12 09:50:09 檢舉

ethernet4 的 metric 要設定比 ethernet3 大 試試看

大大我照您說的設定完之後,發現一段時間正常,但是過了大概半小時~1小時,VPN就會斷掉了。
我是把ethernet4的metric設定成2

hon2006 iT邦大師 1 級 ‧ 2013-04-12 16:58:10 檢舉

是改 0.0.0.0/0 2.2.2.254 那條路由

不好意思大大,我圖改錯了 XD
我確實是改 0.0.0.0/0 2.2.2.254這條,但是過大概半小時,VPN的連線就會中斷了。
試了三次,狀況都一樣。

hon2006 iT邦大師 1 級 ‧ 2013-04-15 15:33:25 檢舉

連線中斷是指防火牆和防火牆的vpn連線嗎?

1.從VPNs > Monitor Status,會看到Link的狀態是Down。
2.我有一直Ping到2.2.2.2的防火牆,會看到Ping也是中斷。
不過確實剛設定Metric完之後,是OK的。但是過一段時間半小時~1小時,就會斷掉。>"<

hon2006 iT邦大師 1 級 ‧ 2013-04-16 13:54:00 檢舉

看起來是 trust-vr 和 untrust-vr 的路由沒設定好
如果不太了解設定的話
我想都設成 trust-vr 會比較單純一點
可以參考
http://bbs.chinaunix.net/thread-1138384-1-1.html

大大我看完文章之後,我懂它的意思。我看我家Netscreen上面的設定:
Untrust跟VPN的Zone都是在Untrust-vr,不過我沒設定Untrust-vr到Trust-vr的路由,也是可以通訊 XD

之後也試了在Untrust-vr上面增加一個路由,再設定0.0.0.0/0 2.2.2.254的Metric,還是會過一段時間VPN就中斷了 Orz

hon2006 iT邦大師 1 級 ‧ 2013-04-23 09:43:04 檢舉

我覺得可以把所有都設成 trust-vr 會比較單純
如果不行的話就要考慮用其他設備作路由


大大後來我在Network > Routing > Virtual Router,Edit->untrust-vr的設定。
把Maximum ECMP Routes設定成1。
試了幾天發現封包都蠻正常的,VPN也不會斷;不過不知道這樣設,是不是OK的就是了。

2
ktweng
iT邦新手 2 級 ‧ 2013-04-11 22:00:29

你這種狀況要用PBR(Policy Based Routing)來設定
路由的優先順序是PBR>static routing>default routing
這樣才有辦法多線路路由出去,我在客戶端有跑過5WAN的情況
相關的設定可以google一下有中文的設定文件。

感謝大大說明,PBR的部份我在手冊上面有看到,有嘗試設定,但是好像沒成功啊Orz~
這部份我會再繼續嘗試設定看看。
請問一下我公司這邊是三個點,有兩台Netscreen25、1台SSG140,好像只有SSG140那台有PBR的設定,是版本不同的關係嗎?(附上版本資訊)
Netscreen25:
Hardware Version: 4010(0)
Firmware Version: 5.1.0r2.0 (Firewall+VPN)
SSG140:
Hardware Version: 1010(0)
Firmware Version: 6.3.0r10.0 (Firewall+VPN)

那大大不好意思,請問您知道,如何用Source Routing或是Destination Routing來設定嗎?

大大,我SSG140那邊,使用PBR有設定成功。
不過Netscreen25的部份,沒PBR的設定,所以不知道怎麼用Source Routing跟Destination Routing來設 XD

我要發表回答

立即登入回答