iT邦幫忙

0

SSG5 透過MIP 方式, 連線後Trust Zone L2TP VPN Server

ARP 2016-10-12 03:46:561911 瀏覽

請問各位大大,

目前使用Juniper SSG5, 有個問題想請教,

我在trust zone 有一台 windows 2012的VPN Server(PPTP&L2TP),

透過MIP的方式, 設定完成後, 從外部Client 都無法連線成功,

從SSG5 Policy Monitor 也看不到任何連線訊息,

但能確定的是若我測試telnet 該MIP IP 3389, Policy Monitor 上會有LOG,

也就表示, 我MIP的部份應該是沒有問題的, 但是呢!我的L2TP Server還是連不到,

上網爬了一些資料, 是否還要搭配其他的設定才能完成?

原本是都用VIP的方式pass pptp到同一台VPN Server上, 這樣是沒有問題的,

但我想用L2TP的方式進行連線,

另外我如果從內網, 直接內對內的方式撥到VPN Server 走L2TP 協定也是OK的,

看起來是我從外部到內部經過的SSG5上, 需要再調整,

以上在煩請各位高手, 幫我看看!!感恩

看更多先前的討論...收起先前的討論...
MIP設在那一個INTERFACE ?
POLICY 有設嗎?
UNTRUST 的 的 NETMASK 是多少?
ARP iT邦新手 5 級 ‧ 2016-10-12 14:14:21 檢舉
MIP 設在Interface 0/1 , 0/1有一組外部IP. POLICY Untrust →Trust (ANY→MIP(xxx.xxx.xxx) ANY )
ARP iT邦新手 5 級 ‧ 2016-10-12 14:16:12 檢舉
Untrust NETMASK您是指在設MIP時的那組?255.255.255.255
untrust interface 有幾個IP 或 是它的網路設定 ?
ARP iT邦新手 5 級 ‧ 2016-10-12 14:40:35 檢舉
我untrust 有eth0/0~eth0/3 , eth0/0目前是都用VIP在做port mapping trust web service, 我也有做PBR但沒有用到eth0/1這個interface, 還有有建4個site2site vpn tunnel. 大致上是這樣

1 個回答

0
做工仔人!
iT邦高手 1 級 ‧ 2016-10-13 10:20:36

昨天試了一下5GT的MIP . 是正常的. 請樓主再試試.
我的測試方式如下:
設備5GT (SSG5的前身,但是OS差不多)
untrust 的mask 為255.255.255.0 , 共可用6個外部IP.
MIP 的設定介面: untrust
用二種設定方式:
A. MIP 的設定IP 與 untrust 的外部 IP不同.
  (如MIP 為168.95.2.10 , untrust介面的IP 為168.95.2.9)
  設定 Policy 為 untrust to trust , Source address 為 any , Destination address 為MIP , SERVICE : 為ANY , Position at top 打勾.
  =>試結果正常.
B. MIP 的設定IP 與 untrust的外部 IP 相同.
  (如untrust介面的IP 為168.95.2.9 , MIP 也是 168.95.2.9 )
  設定 Policy 為 untrust to trust , Source address 為 any , Destination address 為MIP , SERVICE : 為"ANY" , Position at top 打勾.
  =>設定失敗, 會跳回Home menu.
  若 service 改為 固定 port 如 pop3 或 smtp 即可以正常設定及使用.

懷疑:因為 SSG5 本身也有提供L2TP的VPN 設定.若MIP所設定的外部 IP 與 untrust 相同時(狀況B).所設定的 Port 與 SSG5 本身的L2TP相同.所以系統搞混了.
建議先用 狀況A 的方式設定,試試是否會通 ? 會通就表示我的懷疑是對的.

ARP iT邦新手 5 級 ‧ 2016-10-26 09:02:45 檢舉

Hi Sir,

A方式的架構, 我沒辦法操作, 我只有eth0/0 PPPoe的假固i.
B的方式, 我MIP IP後, 試過PPTPD, 或其他的Service, 是沒問題的,
但還是無法透通L2TP.

我也是懷疑是被擋在firewall那層, 被認為是SSG5本體的L2TP Service, 但不知道有沒有方式可繞過, 或Disable 本體L2TP Service.

因為我沒有類似環境.所以無法測試.
就當成是SSG5誤判.
至於停用SSG5的L2TP:應該也是不可行.(因為它已經在OS中了)

ARP iT邦新手 5 級 ‧ 2016-10-26 10:24:45 檢舉

那我就在研究看看!!有結果在上來分享!!再次感謝頭大!!

我要發表回答

立即登入回答