Juniper SSG5 MIP設定問題

網路管理防火牆網路安全

charles502 2015-04-22 13:58:05 ‧ 7468 瀏覽

分享至

大家好
公司手邊有一台Juniper SSG5的機器
因為系統有對外服務的需求所以要設定NAT上去

查了一下之前鐵人賽以及網路上面的資料
我在Interfaces List的裡面設定了MIP
也在Policies裡面的Untrust To Trust設定好了Rule

現在的問題是
該設備我的內部IP通了
但是外部IP不通

因此我認為我MIP的設定不對
導致Firewall沒有正確NAT過去
雖然MIP那邊是顯示In use......

在此求助大家
根據過往的經驗
我可能是哪邊疏漏了?

看更多先前的討論...收起先前的討論...

林門神JanusLin iT邦超人 1 級 ‧ 2015-04-22 17:15:22 檢舉

如果是固3和固6
不是Wan IP做 MIP
建議先把 Wan IP改為 MIP的 IP
等通之後再改回就會通了

charles502 iT邦研究生 5 級 ‧ 2015-04-22 17:18:16 檢舉

不好意思我不太理解
您的意思是Mapped IP跟Host IP先用一樣的內部IP嗎???

hon2006 iT邦大師 1 級 ‧ 2015-04-22 18:54:42 檢舉

是問你對外的線路有幾個固定ip,如果只有一個固定ip,就沒辦法設定mip

林門神JanusLin iT邦超人 1 級 ‧ 2015-04-22 19:39:07 檢舉

如果你有三個IP
168.95.192.1(Wan IP)
168.95.192.2(MIP
168.95.192.3
你先把Wan IP改成 168.95.192.2
等30秒
再把他改回 168.95.192.1
應該就可以通了

charles502 iT邦研究生 5 級 ‧ 2015-04-22 23:28:40 檢舉

我們是用固6的線路
但沒想到Wan IP還有這個問題

林門神JanusLin iT邦超人 1 級 ‧ 2015-04-23 07:38:56 檢舉

通了沒

charles502 iT邦研究生 5 級 ‧ 2015-04-23 11:54:11 檢舉

拿來測試用的NAS通了
實際要用的系統還要跟廠商約一天直接到現場測

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

hon2006

iT邦大師 1 級 ‧ 2015-04-22 15:13:36

最佳解答

請把 untrust to trust 的畫面貼出來
順便檢查路由有沒有設定正確

回應 11
分享
檢舉

看更多先前的回應...收起先前的回應...

charles502 iT邦研究生 5 級 ‧ 2015-04-22 15:38:00 檢舉

設定如圖片所示，請參考
請問路由設定指的是?

charles502 iT邦研究生 5 級 ‧ 2015-04-22 15:38:57 檢舉

hon2006 iT邦大師 1 級 ‧ 2015-04-22 16:05:48 檢舉

把logging可以看到紀錄

然後把紀錄貼出來

hon2006 iT邦大師 1 級 ‧ 2015-04-22 16:10:52 檢舉

trust to untrust 也順便貼出來

路由畫面

hon2006 iT邦大師 1 級 ‧ 2015-04-22 16:15:05 檢舉

只要有設定 policy 就可能在 in use 的狀態

hon2006 iT邦大師 1 級 ‧ 2015-04-22 16:18:13 檢舉

你可能要使用另外的線路去測試會比較正確

charles502 iT邦研究生 5 級 ‧ 2015-04-22 17:15:54 檢舉

trust to untrust 的設定如圖所示
這台機器我也是臨時接手
所以其他的Rule設定我都沒有動

這次MIP的設定是最下面一條Rule
因為暫時不能連所以我先改成ANY並且不啟用

hon2006 iT邦大師 1 級 ‧ 2015-04-22 18:46:13 檢舉

我看你把設定檔貼出來會比較好

charles502 iT邦研究生 5 級 ‧ 2015-04-22 23:29:48 檢舉

剛剛嘗試著把NAS設定MIP對外
沒想到居然就通了

今天下午要設定原本應該要對外的系統時
無論如何都設定不了
這真的是有夠詭異......

胖達 iT邦新手 3 級 ‧ 2015-04-23 00:12:22 檢舉

你的神回覆
我無言
哪裡蹦出來的NAS?

charles502 iT邦研究生 5 級 ‧ 2015-04-23 11:50:46 檢舉

我的神回覆是
原本需要設定的系統是一台工業電腦
要請廠商設定才能夠改IP

在這個情形下
我就先用NAS來測試
在一樣的設定下只有內部IP不同
結果就通了

登入發表回應

mwu4

iT邦新手 2 級 ‧ 2015-04-23 11:57:27

麻煩請再確認以前類似的Policy Rule是設定在「Untrust to Trust」還是「Untrust to Global」?謝謝。

回應 1
分享
檢舉

charles502 iT邦研究生 5 級 ‧ 2015-04-23 12:02:42 檢舉

您好
以前類似的設定是放在From Untrust To Trust

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22201 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙