web-dev-qa-db-ja.com

誰も接続されていないときにJuniperScreenOSインターフェイスのIPを維持するにはどうすればよいですか?

リモートサイトへのVPN接続があり、リモートサイトのLAN bgroupに何も接続されていない場合は常に、インターフェイスIPを管理またはpingできません。

これを設定するためにCLIでスキップしたコマンドを知っている人はいますか?または、Webインターフェイスにチェックボックスがある場合は、ヒットする必要がありますか?

2
sclarson

正解は、ループバックインターフェイスを作成することです。 LAN bgroupに何も接続されていない場合、インターフェイスは「ダウン」し、それに関連付けられているすべてのルートがルーティングテーブルから削除されます。これは、実際には、ルートベースの冗長VPNを使用するときに役立つため、必要な動作です。これは、デバイスが「トンネルがダウンしているので、ここにルーティングする必要がある」ことを知る唯一の方法です。

さて、あなたがすることは:

  • Vrouter(おそらくtrust-vr)で、[このVRouterのインターフェイスのサブネット競合を無視する]オプションをオンにします
  • 新しいloopback.1インターフェイスを作成します
  • / 32ネットマスクを使用して、LANbgroupスペースの最後のアドレスを指定します。たとえば、LANbgroupに192.168.1.0/24がある場合、loopback.1は192.168.1.254/32になります。小さなネットスペースにも似ています。
  • そのbgroup上のDHCPサーバーのIPプールにループバックインターフェイスのアドレスが含まれていないことを確認してください。

これで、常に到達可能なループバックIPアドレスを使用してユニットを管理できます。そのために追加のアドレス空間を作成する必要はありませんでした。

トンネルが「アップ」のままであることを保証することは、まったく別の懸念事項です。 ScreenOSでは、これは「monitor rekey」オプションを使用して実行できます(必要に応じて「最適化」して、外部がpingできない場合は特定の宛先IPと送信元ポートを使用し、場合によっては5間隔で実行します)。通過する回線が住宅用ISPの場合、1ではなく)。しかし、それは管理できることとは何の関係もありません。ログを受信し、「VPNダウン」でスタッフに通知を送信するサーバーを構成すると、VPN障害の適切な表示と事前警告を提供できます。また、設定を誤ると、VPNが「フラップ」するリスクがあります。つまり、モニターがpingを実行しているアドレスが実際にpingできない場合、または間隔がISP接続の品質/遅延に対して攻撃的すぎる場合です( s)。これは、たとえば、トンネルを介してループバックアドレスにpingを実行することで処理できます。pingで到達可能な外部アドレスに依存することはありません。

3
Thorsten

VPNのフェーズ2設定(AutoKey IKE)で、Advancedボタンをクリックしてから、オン(チェック)します。 VPNモニターおよびキーの再生成。これにより、キーの有効期限が切れた場合、または何らかの理由で接続が切断された場合にトンネルが開かれます。これは、接続されているすべての機器の電源を切ることが多いリモートユーザーに使用します。このようにして、VPNにトラフィックがない場合でも、リモートNetscreenにアクセスすることができます。

alt text

2
Doug Luxem

セットアップについてあまり知らなくても(ルートベースかポリシーベースかなどを知っておくとよいでしょう)、ScreenOSは通常、トンネルを開始するためにポリシーによってトンネルにルーティングまたは転送されるトラフィックを必要とすることを覚えておく必要があります。トンネルを維持します。したがって、トンネルに入るトラフィックがない場合、トンネルは立ち上がらないでしょう。これはあなたの問題のように聞こえます。ただし、トンネルの動作を微調整するためのコマンドラインオプションがいくつかあります。 Oreilly ScreenOS Cookbookの第10章を試すか、ScreenOSの「Concepts&ExamplesGuide」をダウンロードしてください。これはかなり重いPDFジュニパーのWebサイトから入手できますが、複数のボリュームに分割されています。ボリューム5:仮想プライベートネットワーク、高度な仮想プライベートネットワーク機能をご覧ください。特に注意してください。 「VPNMonitoring」というオプションに「setvpnmonitor rekey」を使用すると、さまざまなケースでトンネルをアクティブに保つのに役立ちますが、必ず読んでください。また、もう少し先に進みたい場合は、DPD(Dead)を調べることができます。 -新しいバージョンのコードでのピア検出)。

1
user2998

ループバックインターフェイスを作成し、それにトンネルを接続してみてください。

これがポリシーベースのVPNトンネルであり、すべてのクライアントがダウンしている場合、トンネルを維持するのに十分な「興味深い」トラフィックがない可能性があります。これが発生しないように、このタイムアウトを(おそらく無限に)延長するタイマーがある場合があります。

1
Peter

私はあなたができるとは思わない。 IPインターフェイスは、ルーティングテーブルがあるため、物理インターフェイス(またはbgroup)に依存しています。したがって、物理インターフェイスがダウンしている場合、ルータは、それ自体を含むネットワーク全体に到達できないと見なします。

0