Уважаемые зрители! Если видео практики Juniper оказалось полезным, поддержите ролик лайком и комментарием, это поможет ознакомить с ним большую аудиторию. Спасибо. Для желающих поддержать канал boosty.to/nir_net
Добрый день, простите, если пишу не по адресу, но попросить пояснений больше негде, а в интернете такой проблемы не нашёл. Суть в следующем, есть srx100-шлюз безопасности. Я на нём настраиваю несколько l3 интерфейсов Vlan, затем привязываю к соответствующим интерфейсным группам (interface-range), также настраиваю несколько пулов dhcp и привзяываю к нужным интерфейсам(командой propoggate-settings)Также создаю зону безопасности и включаю туда нужный l3 интерфейс Vlan, и описываю policy, где разрешаю прохождение всего трафика. После этого компы свободно цепляют адрес по dhcp и пингуют шлюз, но вот из зоны в другую зону - никак, перепробовал много всего, пока что ничего не помогло. Если переключить кабели в одну зону, то в одной и той же зоне связь есть, а вот в разных никак. Не могли бы с точки зрения вашего опыта что-нибудь посоветовать?
Очевидно не хватает политик из зоны в другую зону, можно указать конкретные адреса и сервисы, можно вот так разрешить все. set security policies from-zone X to-zone Y policy allow match source-address any set security policies from-zone X to-zone Y policy allow match destination-address any set security policies from-zone X to-zone Y policy allow match application any set security policies from-zone X to-zone Y policy allow then permit ну и в обратную сторону если оттуда кто-то будет ходить set security policies from-zone Y to-zone X policy allow match source-address any set security policies from-zone Y to-zone X policy allow match destination-address any set security policies from-zone Y to-zone X policy allow match application any set security policies from-zone Y to-zone X policy allow then permit ну а если у вас нет необходимости в функции фаервола то srx можно перевести в режим маршрутизатора delete security set security forwarding-options family mpls mode packet-based set security forwarding-options family iso mode packet-based set security forwarding-options family inet6 mode packet-based
@@Networkisreachable возможно, становлюсь назойливым и злоупотребляю вашей отзывчивостью, но не могли бы пожалуйста, еще раз глянуть, где я могу ошибаться,ибо совсем уже измотался. вот куски актуального конфига: interfaces { fe-0/0/0 { unit 0; } fe-0/0/1 { unit 0 { family inet { address 192.168.2.1/24; } } } fe-0/0/2 { unit 0 { family inet { address 192.168.3.1/24; } } } security { forwarding-options { family { inet6 { mode packet-based; } mpls { mode packet-based; } iso { mode packet-based; } } } результат тот же, что и с применением политик - адреса получены, шлюз пингуется, соседний интерфейсы - уже нет P.S в таблице маршрутизации прямоподключенные маршруты также прекрасно создаются, то есть проблема при переходе пакета из одного широковещательного домена в другой, по какой-то причине они не могут свободно ходить между ними 192.168.2.0/24 *[Direct/0] 00:07:21 > via fe-0/0/1.0 192.168.2.1/32 *[Local/0] 00:25:05 Local via fe-0/0/1.0 192.168.3.0/24 *[Direct/0] 00:24:59 > via fe-0/0/2.0 192.168.3.1/32 *[Local/0] 00:25:05 Local via fe-0/0/2.0
Ну, как сказать? Я не ас, конечно. Вот пробую в виртлаборатории EVE-NG делать это. А схема у меня такая: juniper-srx version 21 + к его интерфейсу ge-0/0/0 подключен Debian 10. Назначил ip-адрес 10.10.0.1/24 на интерфейс ge-0/0/0, на Debian 10 - назначил адрес 10.10.0.2/24 Не пингуется у меня с Juniper'a Debian 10 - и наоборот не пингуется (с Debian 10 Juniper). Короче, я понял, что в твоём уроке реальное железо. В общем, урок -- лучше, чем ничего. Будто кто-то читает статью из Интернета -- и выполняет из нее инструкции.
SRX работает как роутер или с политиками фаервола? delete security set security forwarding-options family mpls mode packet-based set security forwarding-options family iso mode packet-based set security forwarding-options family inet6 mode packet-based Вот такое делает из srx просто роутер и не надо делать политики на каждый чих. Ну и виртуализация оно такое, там свои подводные камни бывают.
@@Networkisreachable , большое спасибо! Действительно, эти команды помогли. Теперь всё топ. :) Мне для начала и нужно было, чтобы через vSRX пошёл трафик. Я его только испытываю в EVE-NG. И теперь вижу, что оно работает. Можно идти дальше. :) А еще мне это видео помогло: ruclips.net/video/t7jSXRUUMlU/видео.html (Там пример на виртуализации, вдруг кому понадобится. Там тоже была команда delete security).
Приветствую, Дмитрий! Подскажите, в данном цикле видео Вы используете реальные железки или виртуальные? Если виртуальные, то в какой среде(eve-ng, gns3)?
автор видео Здравствуйте мне нужна помощь . такие же маршрутизаторы о котором идет речь в данном видео стоят на провайдере который предоставляет якобы интернет ... какие то траблы происходят с тунелями провайдер не решает ситуацию потому что ссылаясь на то что странички открываются и все на этом ... подмагнуть как от клиента затестить можно что не то с внутреним интерфейсом шлюза как он должен быть от этого джунипера указан на сети клиента . а потом на самом маршрутизаторе указана сеть . я в этом печаль беда не разбираюсь даже вопрос то толком сформулировать для меня сложно ... рррое раньше работало с выключеной и с включеной галочкой шлюза в удаленной сети на протоколе ipv4 а ща все только через удаленный шлюз... что то не хватает в настройках. помогите если вам не сложно разобраться ...
Не думаю что я могу тут помочь, т.к. не ясен ни тип подключения, ни сама проблема. Но мой опыт поддержки подсказывает: у провайдера редко что-то не так, иначе страдали бы не только вы но и ещё ряд десятков-сотен пользователей и проблема бы решалась. Я так понял проблема с PPPoE подключением 1.вам необходимо проверить подключение с других устройств подключенных к данному модему - если проблема решилась, значит дело в вашем пк\планшете итп итд. 2. Проверить состояние модема, его прошивку, температуру...может вы его недавно переставили кудато и он перегревается. У модема должна быть статистика WAN подключения - посмотреть и проанализировать её. 3. Посмотреть нет ли проблем с физическим подключение модема к провайдеру, не знаю что там у вас оптика, витая пара или adsl.
@@Networkisreachable модема 4 штуки 3 тплинка и 1 кинетик . проверял на кинетики и на одном из тплинков есть видемо мак лана и мак вана мак вана цепляеться за рррое сессию а мак лана както внутри работает . на этих модемах лагает игры по меньше но все равно не то как должно быть .... по поводу операционной системы с 2х компов проверял на одном 7ка на другом 10 независимые жесткие диски да и на физическом уровне полностью все потроха компа независимы. одно и то же ... можно как то связаться с вами через телеграмм например ? накидал бы скриншетов вы своим профисиональным взглядом глянули бы мож где наша не пропадала и подсказали бы чего ... а да еще не одного адаптера тунельного нету в таблице route print мой телеграмм Алексей Влиятельный
@@Networkisreachable вот я тут быстро записал ролик че доступно от меня . а что конкретно кавырять я не знаю гляньте мож подскажите ruclips.net/video/MCbiN1QX-_8/видео.html
Там у вас устанавливается сессия PPPoE, если она не установиться то и работать ничего не будет. К сожалению я тут вам не смогу помочь, вам необходимо общаться с провайдером и искать проблему.
Добрый день. Подскажите, srx 1500, вышел из строя ссд диск. Какую модель можно установить, как залить на ссд систему и как накатить конфу. Заранее спасибо
@@ИвановИван-ш8н Повторюсь: только проверять. Если бы все было так просто, никто бы не тестил оборудование. Посмотрел на лампочки, написал в комменты на ютуб и всё понятно.
@@Networkisreachable Вы не поможете по вопросу проверки, прислали видео загрузки. По логам посмотреть все линорм, вообще в конце пишет FILE SYSTEMHAS MODIFIED. Может вам можно видео направить как то ? 1 минута 32 сек
@@Networkisreachable Подскажите еще, juniper пришел надо бы на него установить в нужные места логин и пароль. А вот для уточнения куда именно еще крайне обходимо установить пароль. Я пока только нашел порт консули, ftp, ssh. И что будет если я от root забуду пароль?
@@ИвановИван-ш8н Устанавливайте пароли на нужные вам сервисы и активируйте\деактивируйте необходимые из них. Учетку root лучше бы деактивировать на сервисах, и оставить только на консоли. Забудете пароль root, придётся сбросить железку.
Уважаемые зрители! Если видео практики Juniper оказалось полезным,
поддержите ролик лайком и комментарием, это поможет ознакомить
с ним большую аудиторию. Спасибо.
Для желающих поддержать канал boosty.to/nir_net
Спасибо за видео! Очень выручили.
Здорово. Минимально. Но для начало самое оно
Если нужны конкретные сценарии, то пишите что интересно.
@@Networkisreachable а как с juniper acx1000
@@ruslankurbanow7653 Думаю примерно также.
Добрый день, простите, если пишу не по адресу, но попросить пояснений больше негде, а в интернете такой проблемы не нашёл. Суть в следующем, есть srx100-шлюз безопасности. Я на нём настраиваю несколько l3 интерфейсов Vlan, затем привязываю к соответствующим интерфейсным группам (interface-range), также настраиваю несколько пулов dhcp и привзяываю к нужным интерфейсам(командой propoggate-settings)Также создаю зону безопасности и включаю туда нужный l3 интерфейс Vlan, и описываю policy, где разрешаю прохождение всего трафика. После этого компы свободно цепляют адрес по dhcp и пингуют шлюз, но вот из зоны в другую зону - никак, перепробовал много всего, пока что ничего не помогло. Если переключить кабели в одну зону, то в одной и той же зоне связь есть, а вот в разных никак. Не могли бы с точки зрения вашего опыта что-нибудь посоветовать?
Очевидно не хватает политик из зоны в другую зону, можно указать конкретные адреса и сервисы, можно вот так разрешить все.
set security policies from-zone X to-zone Y policy allow match source-address any
set security policies from-zone X to-zone Y policy allow match destination-address any
set security policies from-zone X to-zone Y policy allow match application any
set security policies from-zone X to-zone Y policy allow then permit
ну и в обратную сторону если оттуда кто-то будет ходить
set security policies from-zone Y to-zone X policy allow match source-address any
set security policies from-zone Y to-zone X policy allow match destination-address any
set security policies from-zone Y to-zone X policy allow match application any
set security policies from-zone Y to-zone X policy allow then permit
ну а если у вас нет необходимости в функции фаервола то srx можно перевести в режим маршрутизатора
delete security
set security forwarding-options family mpls mode packet-based
set security forwarding-options family iso mode packet-based
set security forwarding-options family inet6 mode packet-based
@@Networkisreachable большое спасибо за подробный ответ!
Да у новичков много вопросов по srx, хоть JSEC записывай :-)
@@Networkisreachable надеюсь, Когда-нибудь Вы запишите подобный курс) было бы очень актуально и любопытно
@@Networkisreachable возможно, становлюсь назойливым и злоупотребляю вашей отзывчивостью, но не могли бы пожалуйста, еще раз глянуть, где я могу ошибаться,ибо совсем уже измотался. вот куски актуального конфига:
interfaces {
fe-0/0/0 {
unit 0;
}
fe-0/0/1 {
unit 0 {
family inet {
address 192.168.2.1/24;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 192.168.3.1/24;
}
}
}
security {
forwarding-options {
family {
inet6 {
mode packet-based;
}
mpls {
mode packet-based;
}
iso {
mode packet-based;
}
}
}
результат тот же, что и с применением политик - адреса получены, шлюз пингуется, соседний интерфейсы - уже нет
P.S в таблице маршрутизации прямоподключенные маршруты также прекрасно создаются, то есть проблема при переходе пакета из одного широковещательного домена в другой, по какой-то причине они не могут свободно ходить между ними
192.168.2.0/24 *[Direct/0] 00:07:21
> via fe-0/0/1.0
192.168.2.1/32 *[Local/0] 00:25:05
Local via fe-0/0/1.0
192.168.3.0/24 *[Direct/0] 00:24:59
> via fe-0/0/2.0
192.168.3.1/32 *[Local/0] 00:25:05
Local via fe-0/0/2.0
Ну, как сказать?
Я не ас, конечно. Вот пробую в виртлаборатории EVE-NG делать это.
А схема у меня такая: juniper-srx version 21 + к его интерфейсу ge-0/0/0 подключен Debian 10.
Назначил ip-адрес 10.10.0.1/24 на интерфейс ge-0/0/0, на Debian 10 - назначил адрес 10.10.0.2/24
Не пингуется у меня с Juniper'a Debian 10 - и наоборот не пингуется (с Debian 10 Juniper).
Короче, я понял, что в твоём уроке реальное железо.
В общем, урок -- лучше, чем ничего.
Будто кто-то читает статью из Интернета -- и выполняет из нее инструкции.
SRX работает как роутер или с политиками фаервола?
delete security
set security forwarding-options family mpls mode packet-based
set security forwarding-options family iso mode packet-based
set security forwarding-options family inet6 mode packet-based
Вот такое делает из srx просто роутер и не надо делать политики на каждый чих.
Ну и виртуализация оно такое, там свои подводные камни бывают.
@@Networkisreachable , большое спасибо! Действительно, эти команды помогли.
Теперь всё топ. :)
Мне для начала и нужно было, чтобы через vSRX пошёл трафик. Я его только испытываю в EVE-NG. И теперь вижу, что оно работает. Можно идти дальше. :)
А еще мне это видео помогло: ruclips.net/video/t7jSXRUUMlU/видео.html
(Там пример на виртуализации, вдруг кому понадобится. Там тоже была команда delete security).
Приветствую, Дмитрий!
Подскажите, в данном цикле видео Вы используете реальные железки или виртуальные? Если виртуальные, то в какой среде(eve-ng, gns3)?
Это реальное железо.
На EX2200 данный пример работает.
автор видео Здравствуйте мне нужна помощь . такие же маршрутизаторы о котором идет речь в данном видео стоят на провайдере который предоставляет якобы интернет ... какие то траблы происходят с тунелями провайдер не решает ситуацию потому что ссылаясь на то что странички открываются и все на этом ... подмагнуть как от клиента затестить можно что не то с внутреним интерфейсом шлюза как он должен быть от этого джунипера указан на сети клиента . а потом на самом маршрутизаторе указана сеть . я в этом печаль беда не разбираюсь даже вопрос то толком сформулировать для меня сложно ... рррое раньше работало с выключеной и с включеной галочкой шлюза в удаленной сети на протоколе ipv4 а ща все только через удаленный шлюз... что то не хватает в настройках. помогите если вам не сложно разобраться ...
Не думаю что я могу тут помочь, т.к. не ясен ни тип подключения, ни сама проблема. Но мой опыт поддержки подсказывает: у провайдера редко что-то не так, иначе страдали бы не только вы но и ещё ряд десятков-сотен пользователей и проблема бы решалась. Я так понял проблема с PPPoE подключением
1.вам необходимо проверить подключение с других устройств подключенных к данному модему - если проблема решилась, значит дело в вашем пк\планшете итп итд.
2. Проверить состояние модема, его прошивку, температуру...может вы его недавно переставили кудато и он перегревается. У модема должна быть статистика WAN подключения - посмотреть и проанализировать её.
3. Посмотреть нет ли проблем с физическим подключение модема к провайдеру, не знаю что там у вас оптика, витая пара или adsl.
@@Networkisreachable модема 4 штуки 3 тплинка и 1 кинетик . проверял на кинетики и на одном из тплинков есть видемо мак лана и мак вана мак вана цепляеться за рррое сессию а мак лана както внутри работает . на этих модемах лагает игры по меньше но все равно не то как должно быть .... по поводу операционной системы с 2х компов проверял на одном 7ка на другом 10 независимые жесткие диски да и на физическом уровне полностью все потроха компа независимы. одно и то же ... можно как то связаться с вами через телеграмм например ? накидал бы скриншетов вы своим профисиональным взглядом глянули бы мож где наша не пропадала и подсказали бы чего ... а да еще не одного адаптера тунельного нету в таблице route print мой телеграмм Алексей Влиятельный
@@Networkisreachable вот я тут быстро записал ролик че доступно от меня . а что конкретно кавырять я не знаю гляньте мож подскажите ruclips.net/video/MCbiN1QX-_8/видео.html
Там у вас устанавливается сессия PPPoE, если она не установиться то и работать ничего не будет. К сожалению я тут вам не смогу помочь, вам необходимо общаться с провайдером и искать проблему.
Добрый день. Подскажите, srx 1500, вышел из строя ссд диск. Какую модель можно установить, как залить на ссд систему и как накатить конфу. Заранее спасибо
чем заменить не подскажу.
@Networkisreachable а как развернуть на нем ось? Можно Ваш телеграмм
@@СаняСаня-э6ф Ваш путь лежит в профильные чаты и потом скорее всего в ремонтные конторы по сетевому железу. Я вам тут помочь не смогу.
добрый день можно по больше видео уроков по жуниперу если можно как настроить ssh и другие настройки
смотрите плейлист по джуну, там много всего полезного.
Подскажите , при включение ex2200 изначально сзади горят индикаторы а спереди ни одного можно ли считать что он исправен хотя бы предварительно?
не могу ответить на ваш вопрос, т.к. он даже может моргать и загрузиться и даже моргать портом, но быть несправным.
@@Networkisreachable говорят новый но с переди не горят индикаторы в нете полазел везде горят у нас джун на работе тоже горят...вот и вопрос
@@ИвановИван-ш8н Повторюсь: только проверять. Если бы все было так просто, никто бы не тестил оборудование. Посмотрел на лампочки, написал в комменты на ютуб и всё понятно.
@@Networkisreachable Вы не поможете по вопросу проверки, прислали видео загрузки. По логам посмотреть все линорм, вообще в конце пишет FILE SYSTEMHAS MODIFIED. Может вам можно видео направить как то ? 1 минута 32 сек
@@ИвановИван-ш8н Нет не помогу. Т.к. это уже работа. Если у вас рабочие предложения, можно написать мне на почту, она прикреплена к описанию канала.
Подскажи пожалуйста через какое ПО можно подключиться к консоле (сервисный порт) ?
Putty www.putty.org/
Всем Салют. Подскажите пожалуйста, на каком программе (типа Cisco Packet Tracer) можно потренироваться по Juniper. Заранее Спасибо
eve-ng как вариант.
Спасибо!!!
@@Networkisreachable
В ошибках красный alm и пишет что major menedgment esernet down что совсем плохо ????
это означает что порт управления лежит.
@@Networkisreachable я так понимаю что порт надо просто подключить?
@@ИвановИван-ш8н Либо подключить порт, либо выключить эту ошибку.
@@Networkisreachable Подскажите еще, juniper пришел надо бы на него установить в нужные места логин и пароль. А вот для уточнения куда именно еще крайне обходимо установить пароль. Я пока только нашел порт консули, ftp, ssh. И что будет если я от root забуду пароль?
@@ИвановИван-ш8н Устанавливайте пароли на нужные вам сервисы и активируйте\деактивируйте необходимые из них. Учетку root лучше бы деактивировать на сервисах, и оставить только на консоли. Забудете пароль root, придётся сбросить железку.