ども。こんばんは。

Static NATがうまくいかない件、解決しました。

NAT自体はうまく逝ってたみたい。
問題はDNSでした・・・。

ALG機能でDNSのクエリの中までチェックして、
レコードの中身をNATしてましたｗｗｗ
※junos-dns-tcpとjunos-dns-udpを使用した場合

もしかして変にSRC NATかかってるんかとか、そのせいでBINDのviewが変な感じなってんとかとか、tcpdumpしながら見てたけどそんな様子もないし・・・。

まさかSRXがやってるとは・・・んなもん解かるか！！！

と、言いたいけど、自分の切り分けの遅さと下手さにがっかり。。。

ちょっと調べりゃわかったはず。くそー。

解除には、単純にカスタムで作ればいいわけでも無さそう。
application-protocol ignoreってのがポイントなのかな。

http://forums.juniper.net/t5/SRX-Services-Gateway/static-nat-dns/td-p/127429

ということで、DHCPとSYSLOGの問題は残しつつも、
リプレース完了です。

ではでは。またの機会に。

ども。こんばんは。

virtual-router(routing-instance)間をOSPFでまわしたった！
#ところで、RIPは喋るもんで、OSPFは回すもんなんだろうか・・・？
#何気なく使ってたけど。。。

ちなみにRIPは設定できませんでした！本当はRIPにしたかった。

じゃぁなんでOSPFかってーと、サンプルがあったから・・・。

↓これのSRX1台バージョン。大して理解できないことが悔しい。
サンプル通りにconfig入れるだけなら自宅でやる意味ないんだよなぁ・・・。

Understanding Logical Tunnel Interface (lt-0/0/0) on SRX
http://sysiq.wordpress.com/2011/10/14/understanding-logical-tunnel-interface-lt-000-on-srx/

ざっくりな感じだと、VR間の渡り用にlt(logical tunnel)を作って、
IP振って、routing-instanceとかzoneに割り振りとか(inboudでospf許可とか)、
んでospf設定。
config見るだけだと簡単なんだけど、如何せんルーティングポリシー(policy option？)がいまいち理解できない。

どういうルート(例えばコネクトルート、show routeではDIRECTってやつ)を回すってのを決めるんだけど、これがRIPの場合どうやるか分からなくて、
↑のサンプルがあったのでOSPFにした次第。悔しい。マジで悔しい。

ちなみに、↓にRIPの設定方法が載ってて、コネクトルート(DIRECT)を広報して、
RIPで受けたやつは学習してっていうポリシーの作り方があるんだけどな。
これをrouting-instance対応に応用してみたんだけど、なんか失敗。
※RIPインスタンスは上がってるけど全然喋らなかった。。。超無口な状態。

Example: Configuring a Basic RIP Network (CLI)
http://www.juniper.net/techpubs/software/junos-security/junos-security10.2/junos-security-swconfig-interfaces-and-routing/topic-46144.html

あと、本来virtual-router(routing-instance)間のルーティング情報は
やっぱりポリシーでやるのが正しいのかなぁ。わからんなぁ。

Sample configuration on SRX with 2 virtual routers using the logical tunnel
http://kb.juniper.net/InfoCenter/index?page=content&id=KB22053

てか、SRX関連で検索すると地味に自分のブログが引っかかる・・・。
まだ国内だと一般には情報少ないのかな・・・。

ではでは。またの機会に。

今日のSRXネタはこれで最後です。

結局、MSSをちっちゃくして回避しました。

当初の設定・・・

mtu 1454
mss 1414

auとか確認くんとか、なんだかんだでJuniperのサイトとかが見れない。

J’sさん設定例
※PPPoE環境で特定のWebサイトが表示されない場合があります。対策は?
http://jscom.jp/support/products/juniper/srx/kb/basis/00012

mtu 1454
mss 1304

さすがJ’sさん。助かります。

でも、こんなちっちゃいもんかいねぇ・・・。

これまで特に意識していないところでハマる。。。

非固定(PPPoE)のインターフェースIPでポートNATする場合。

Destination NAT作成。

Match Source、Match Destination両方を0.0.0.0/0に。

後はPoolにNATする。

やってたらできたけど、あれかな。どうせIP1個だし、
どのIP宛に来ても変換するっていうノリかなぁ。

※マニュアルとか読んだ訳じゃないので注意。

ども。こんばんは。

やっぱりうまく逝きませんねぇ。

Destination NATはうまく逝ってるのに、Static NATだと駄目だなぁ。

個別にDestination  NATで書くかなぁ。。。でも負けた気がするよなー。
ProxyARP有り/無しとかいろいろ試したけど駄目。
※そもそもDestination NATはProxyARPなんてやらなくてもいけてる。

一瞬いけたけど、なぜかHTTPしか通らないorz
#ポリシーはあってるよ。たぶん。

とりあえずこの休みの成果として、2回線を1台に束ねることはできました。

InterlinkとOCNを別のrouting-instanceにして、
それぞれのデフォゲをそれぞれのPPPoEのインターフェースに充てる。

うん。良い感じ。2台のFWを1つにまとめられた。
※ほんとうなら上位機種のLSYS(いわゆるvsys？vdom？)でやりたかったかな。

今はOCNに属するクライアントからInterlink属する公開サーバに通信すると、ぐるっとSRXから出ていって、インターネットを回って
またSRXに帰ってくるっていう、なかなかおもしろい構成になったみたい。

後は、この別々のrouting-instance間のルーティング情報をどうするか。
ロジカルトンネルなるインタフェースを作ってospfとか回せばいいんだろうか。
それとか、ルーティングテーブルも定義できそうなので、NextHopをルーティングテーブルにすればいいんだろうか？
※まぁ最悪は下のProcurveにでも回せばいいと思っている。

このへんは急ぎじゃないので追々かな。

ちなみに、Static NATさえうまく行けば・・・と言いたいところだけど、
他にもいろんな問題が、、、

・一部サイトにつながらない
※MTUやMSSはフレッツ用に調整済みなのに。。。

確認くんとかGmailにつながらない。

・DHCPがうまく動かない

・SYSLOGが飛んでこない

・なんか遅い気がする(←これ結構重要)

あー、明日から仕事かぁ。中途半端に終わったな。。。

とりあえず、今はInterlink側だけNetScreen204に戻した。
OCN側の5GTはとりあえず抜線済み。

ちなみにJuniperのサイトにScreenOSからJunosへのconfig変換ツール(WEBベースだけど)ありました。
変換してみたけど、MIPの設定は変換してくれなかったｗ
まぁ他の設定は参考にしてみようかな。

さぁラーメン食べに行こ。

ではでは。またの機会に。