web-dev-qa-db-ja.com

ジュニパーSRXシリーズファイアウォールにNAT-Tパススルーをどのように実装しますか?

3つのジュニパーSRX-100ファイアウォールがあり、次のように構成されています。

FW1-> FW2->インターネット-> FW3

できればNAT-Tを使用して、FW2を通過するFW3とFW1の間にIPSECトンネルを作成したいと思います。これは可能ですか?

FW1とFW2には、接続された1つのポートのみを許可するいくつかの厳密なアクセスルールがあります(サーバーが接続されている場合はa DMZ))。したがって、トラフィックを転送するためにFW1とFW2の間にルートベースのVPNを作成することはできません。 (それ以外の場合、すべてのトラフィックが転送されます)

FW1とFW3の間(中央にFW2がない)でトンネルをテストできたため、トンネルは正常であることがわかっています。したがって、問題はFW2の「パススルー」に関係していることがわかります。

基本的に、問題は次のとおりです。FW2がIPSECトラフィックを直接通過してFW1に到達できるようにするには、FW2でどのオプションを選択する必要がありますか。

2
Chris

SRXで使用したデフォルト設定は正常に機能します(デフォルトではないno-nat-transversalを設定しないでください)。 FW3にネイトされていないパブリックIPがある限り、VPNが起動します。また、VPNのメインモードではなくアグレッシブモードになっていることを確認してください。

そして最後に、FW1の信頼できない側のHost-inbound-servicesで「ike」が許可されていることを確認してください。 public ip <-> public ip vpnが起動するようにしばらく頭を悩ませる問題がいくつかありましたが、NATの背後で接続すると、IKEが許可されていないとVPNが起動しませんでした。

1
madransom

sSGのようなものであれば、ポートフォワードを作成することもできます(おそらく)

宛先をFW2の「ダーティ」側のVIPに設定し、「ホスト」をFW1にして、ポリシーを適用します。

私はジュニパーの専門家ではありませんが、そのように前進できるはずです

1
Liquidkristal