Routing i ScreenOS (Juniper SSG140)

[jocke]

Hei,

 

Har drevet litt med nettverk før, og har på generelt basis over snittet forståelse av nettverk. Men nå har jeg nådd veggen. Løsningen er sikkert enkel - eller vanskelig, men jeg sitter uansett fast.

 

Sitter å skal sette opp et nettverk på ein SSG140 (ScreenOS 5.4.0). Jeg skal bruke 3 av portene i boksen; trusted zone, internett, og serverne.

 

Etter å ha satt opp interface/soner, ser det slik ut (IP'er er anonymisert);

SSG140-> get interface

A - Active, I - Inactive, U - Up, D - Down, R - Ready

Interfaces in vsys Root:
Name           IP Address         Zone        MAC            VLAN State VSD

eth0/0         192.168.1.1/24     Trust       001d.b584.2580    -   U   -
eth0/1         172.30.8.1/24    Temp        001d.b584.2585    -   U   -
eth0/2         85.200.200.80/2    Untrust     001d.b584.2586    -   D   -
eth0/3         0.0.0.0/0          Null        001d.b584.2587    -   D   -
eth0/4         0.0.0.0/0          Null        001d.b584.2588    -   D   -
eth0/5         0.0.0.0/0          Null        001d.b584.2589    -   D   -
eth0/6         0.0.0.0/0          Null        001d.b584.258a    -   D   -
eth0/7         0.0.0.0/0          Null        001d.b584.258b    -   D   -
eth0/8         0.0.0.0/0          Null        001d.b584.258c    -   D   -
eth0/9         0.0.0.0/0          Null        001d.b584.258d    -   D   -
vlan1          0.0.0.0/0          VLAN        001d.b584.258f    1   D   -
null           0.0.0.0/0          Null        N/A               -   U   0

 

Routinger er som default, ingenting er lagt til/endret;

SSG140-> get route                  


IPv4 Dest-Routes for <untrust-vr> (0 entries)                                             
--------------------------------------------------------------------------------                                                                                

H: Host C: Connected S: Static A: Auto-Exported                                               
I: Imported R: RIP P: Permanent D: Auto-Discovered                                                  
iB: IBGP eB: EBGP O: OSPF E1: OSPF external type 1                              
E2: OSPF external type 2


IPv4 Dest-Routes for <trust-vr> (6 entries)
--------------------------------------------------------------------------------

  ID          IP-Prefix      Interface         Gateway   P Pref    Mtr     Vsys

--------------------------------------------------------------------------------

*   6   85.200.200.80/32         eth0/2         0.0.0.0   H    0      0     Root

*   4    172.30.8.1/32         eth0/1         0.0.0.0   H    0      0     Root

*   3      172.30.8.0/24         eth0/1         0.0.0.0   C    0      0     Root

*   2     192.168.1.1/32         eth0/0         0.0.0.0   H    0      0     Root

*   1     192.168.1.0/24         eth0/0         0.0.0.0   C    0      0     Root

 

Policy er slik;

SSG140-> get policy
Total regular policies 1, Default deny.
   ID From     To       Src-address  Dst-address  Service              Action State   ASTLCB
    1 Trust    Temp     Any          Any          ANY                  Permit enabled -----X

 

Saken er slik at jeg fra Trust (eth0/0) får pinget 172.30.8.1 (eth0/1), men ingen av maskinene som er koblet til på eth0/1 (f.eks. 172.30.8.5 og 172.30.8.113). Logger jeg på boksen via telnet, og pinger en av maskinene som er koblet på eth0/1, fungerer det fint.

 

Jeg går derfor ut ifra at det er noe som mangler i routinga. Men hva?

Endret 19. januar 2008 av jocke

[jocke]

Fant jo fort ut at "feilen" skyldes en bagatell - men allikevel en ganske så viktig detalj.

 

Maskinene i 172.30.8.0/24 subnettet må selvfølgelig ha IP'en til eth0/1 som gateway.

 

Etter en diagnose av sniffing på nettet, så jeg at ping ble sendt fint igjennom firewallen, men kom ikkje tilbake.

Endret 8. januar 2008 av jocke