hvostat: Jeeslaya (Default)
Как настроить сабж?
Очень просто:

Основное отличие от роутера с белым(и) IP - это строка
destination-address 0.0.0.0/0;

Пример конфигурации:

destination {
pool INTERNAL-SERVER-POOL {
address 192.168.0.1/32 port 8080;
}
rule-set PORT-FORWARD {
from zone untrust;
rule APPLICATION_01 {
match {
destination-address 0.0.0.0/0;
destination-port {
8080;
}
}
then {
destination-nat {
pool {
INTERNAL-HOST;
}
}
}
}
}
}



Дополнительно:
- внести внутренний адрес сервера в adddress book (global или в соотвествующей security zone)
- написать policy, разрешающую запросы снаружи на сервер

__
hvostat: Jeeslaya (Default)
juniper rulez

Во вторник сходил на конференцию, посвященную железкам Juniper.

Первые четыре лекции были посвящены общим вопросам и глобальной стратегии Juniper на рынке.

Основная мысль не стала для меня чем-то новым: это заточка железа и софта для обслуживания стремительного роста облачных онлайн-сервисов и соответствующую таким масштабам и динамике автоматизацию и безопасность.

Также, на вступлении было заявлено, что Juniper вкладывает от 20% прибыли в исследования.
Ну, что я могу сказать: пятая часть - это немало.

Далее было разделение на два направления: маршрутизация и коммутация + безопасность.
Я пошел слушать про коммутацию и безопасность.
К огромному сожалению, прослушать оба направления не получалось никак: лекции шли одновременно.

Далее, тезисно:
- был озвучен интересный вопрос: что безопаснее, сервер у вас под столом или сервер в ЦОДЕ Tier III ?
- особый вопрос: сетевая безопасность в облаках. Если вы - сервис-провайдер, то сети периметра уже недостаточно. Необходимо переходить к модели "отеля".
- эволюция инфраструктуры: переход к модели "Infrastructure as a code".
- статистика: 60% (!!!) траффика в организациях не связаны с бизнесом. Соответственно, задача сетевых инженеров этот трафик детектить и запрещать либо маршрутизировать мимо VPN/MPLS/SD-WAN тоннелей.

Показали очень интересную железку: NFX250.
Оно гибрид сервера и дикой пропускной способности коммутатора/роутера.
Унутрях у него: Intel Xeon и 32 GB RAM.
Поверх этого железа становится Yocto Linux. Поверх него ставится гипервизор, внезапно, KVM а в качестве гостевых систем взводятся vSRX и/или vMX.

Показали новые серии коммутаторов: EX2300, которая придёт на замену EX2200.
Среди прочих отмечу fanless-версию EX2300 для небольших филиалов.
При этом подчеркнули, что EX2200 не планируется снимать с продажи.

Увеличена пропускная способность vSRX - теперь ему можно выделять не два ядра, а больше: дополнительные ядра назначается на data plane и каждое молотит свою часть траффика.

Новая политика безопасности в SRX - на уровне прав отдельного пользователя. Разумется, берётся из LDAP, разумеется, бесшовно интегрируется с Microsoft AD.

Наконец-то анонсирован vSRX для Hyper-V! Обещают в марте следующего года!

Резюмируя: было действительно интересно, докладчики рассказывали увлекательно и ярко.
Поймал несколько инженеров Джунипера, задал все интересующие вопросы. Получил исчерпывающие ответы.
Да, угощали очень вкусно и разнообразно.

Самое главное, что я вынес оттуда: в наше время, имея достаточно денег и команду хороших инженеров - можно прокачать, перемолотить и отфильтровать ЛЮБОЕ количество траффика в структурах любой сложности.

__
hvostat: Jeeslaya (Default)
Приобрели в своё время пару Juniper EX2200, судя по всему из дефектной партии: один перезагружался с периодичностью раз в несколько месяцев, потом умер совсем.
Я упоминал об этом вот тут.

Спустя некоторое время второй начал перезагружаться приблизительно с такой же периодичностью.
Не стал дожидаться, пока он помрёт, написал в саппорт.

Спустя два часа мне перезвонил индус по имени Bhavya и сказал примерно следующее:
- Хай День, зись ись Бхавья фрьом джунипи ньетвооксь регардинь тю йюрь кейсь нямбер сри файфь зирьо зирьо тью ай нидь адисньл информеснь форь тю прьосиид вись йорь кейись!

Через пару минут разговора я понял, что это "диалог слепого с глухим", выяснил у него е-мейл и таки предоставил ему "адисньл информеснь".

RMA подтвердили, жду письма от логистов.

Собственно, к чему это я - заполучить два бажных коммунатора, это конечно, то еще "везение", но справедливости ради - Juniper молодцы, RMA подтверждают вообще без вопросов.

UPD: Привезли 10-го августа.
__
hvostat: Jeeslaya (Default)
Есть порт в который приходят несколько vlan-ов.
Задача: вонзиться в каждый из них и маршрутизировать/коммутировать кадры и пакетики туда и оттуда.

Есть два варианта: )

Очень рекомендую в конфигурации vlan-ов придерживаться правила "номер виртуального интерфейса = номер vlan-а".
_
hvostat: Jeeslaya (Default)
Если вам кажется, что ваш SRX шлёт пакеты куда-то не туда или зохавывает где-то внутри себя не шлёт вообще, можно воспользоваться следующими командами:

Показать сессию:
show security flow session source-prefix 192.168.1.1 destination-prefix 192.168.2.1 protocol tcp source-port 8080 destination-port 80 extensive

Показать полиси, под которые попадает связка "IP-адреса коммуникантов, зоны коммуникантов, протоколы и порты":
show security match-policies destination-ip 192.168.1.7 source-ip 192.168.2.1 to-zone Trust from-zone Untrust protocol tcp source-port 8080 destination-port 80 result-count 10

Показать, куда замаршрутизируется пакет с адресом 1.2.3.4:
show route forwarding–table destination 1.2.3.4
если же хочется более глубоких ощущений, то дописать после адреса "extensive"

_
hvostat: Jeeslaya (Default)
Как известно, JunOS при коммите перечитывает не весь конфиг, а только ту часть, которая была изменена.
Иногда это может вызвать странное поведение железки.

Заставить систему и демонов в ней перечитать конфиг целиком можно с помощью команды:
commit full

Набирать придётся целиком, это команда скрытая и с помощью автоподставновки не вводится.

_
hvostat: Jeeslaya (Default)
Помните вот этот псто?

juniper_ex

После непродолжительной переписки с Juniper был создан RMA-кейс и нам согласились выслать новый свитч.

И наконец-то, сегодня утром нам его доставили.
Привезли аж из Луисвилля, что в штате Кентукки - родине Мохаммеда Али.

Залью конфиг и на днях поедет в датацентр, будет там коммутировать в холодке.
_
hvostat: Jeeslaya (Default)
Публикую по просьбам трудящихся. ;)

Задача: усилить безопасность, отказаться от аутентификации по паролю в пользу аутентификации по RSA-ключам.

Решение (для Windows):
1) Загружаем PuttyGen
2) Выбираем параметры:
Type of key: "SSH-2 RSA"
Number of bits: "2048"
3) Жмачим кнопку "Generate"
4) Шевелим мышою для генерирования случайных чисел
5) Пишем коммент "JunOS Key"
6) НЕ задаём пароль
7) Копируем открытый ключ из окна выше:
"ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
8) Сохраняем файл в надёжное хранилище.

Вваливаемся в роутер:
1) Переходим в режим редактирования конфигурации:
edit
2) Редактируем настройки доступа:
edit system login
3) Добавляем пользователя:
set user Stepan class super-user full-name "Stepan G. Tabooretkin" uid 2003 authentication ssh-rsa "ssh-rsa AAAAB3Nz [ ... ] Zow== JunOS Key"
4) Да, мы всё это серьезно:
commit

Вход в систему:
Запускаем PAgent и "натравливаем" его на наш файл с ЗАКРЫТЫМ ключом, который создавали в шаге 1.

Запускаем Putty:
1) В профиле подключения указываем Connections=> Data => Login details => Auto-login username "Stepan" и сохраняем настройки
2) Нажимаем "Open"
3) ???
4) PROFIT!!!

_
hvostat: Jeeslaya (Default)
Задача: защитить SSH от ебучих китайцев.

Решение:
1) Вваливаемся в CLI
2) Редактируем конфигурацию:
edit system login retry-options
3) Настраиваем:
set tries-before-disconnect 5
// Количество попыток ввода пароля, прежде чем активируется задержка:
set backoff-threshold 2
// Блокируем юзверя на 10 секунд:
set backoff-factor 10
// Время для ввода пароля:
set minimum-time 20
4) Да, это мы всё серьезно:
commit

_
hvostat: Jeeslaya (Default)
Проблема: раз в полминуты значение Input-Discards Policed-Discards на "внешнем" интерфейсе Juniper SRX увеличивается на единицу.

Причины:
1) Cisco.
1) Рукожопый админ провайдера.

Пояснение:
Роутер провайдера криво сконфигурирован и шлёт пакеты Cisco Discovery Protocol клиентам.

Решение:
Красивое - связаться с провайдером, обрисовать ситуацию.
Практически применимое - забить.

_
hvostat: Jeeslaya (Default)
Задача: настроить CA, сгенерировать запрос в CA, заполучить сертификат от CA и установить его.

0) Копируем CA-сертификат.
1.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/blackcat-ca.cer blackcat-ca.cer

1.2) Копируем прямо из консоли:
start shell
cd /tmp
vi blackcat-ca.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

2) Вваливаемся в CLI и редактируем конфиг:
edit
3) Создаём профиль CA и указываем, откуда забирать CRL с частотой раз в 48 часов:
set security pki ca-profile blackcat ca-identity hvostat-BLACKCAT-CA revocation-check crl refresh-interval 48 url http://www.хвостат.com/certcrl.crl
4) Указываем интервал времени развёртывания сертификата в 30 секунд:
set security pki ca-profile blackcat enrollment retry 30
5) Указываем интервал времени повторных попыток развёртывания сертификата в 2400 секунд:
set security pki ca-profile blackcat enrollment retry-interval 2400
6) Да, мы всё это серьёзно:
commit
6) Назначаем CA-сертификат на профиль CA:
request security pki ca-certificate load ca-profile BlackCat-CA filename /tmp/blackcat-ca.crt

Выписываем сертификат для HTTPS:
0) Выходим из режима редактирования конфига
1) Генерируем пару открытый-закрытый ключ длиной 2048 бит:
request security pki generate-key-pair certificate-id https-cert size 2048
2) Генерируем запрос в CA:
request security pki generate-certificate-request certificate-id https-cert subject "CN=SRX-07.хвостат.com,OU=IT,O=LongTail LLC,L=Moscow,ST=Moscow,C=RU" domain-name srx-07.хвостат.com digest sha-256
8) Полученный блок запроса в формате Base64 отправляем в CA и забираем оттуда готовый сертификат и записываем его на FTP.
9.1) Забираем сертификат с FTP:
file copy ftp://ftp-хвостат.com/certnew.cer certnew.cer

9.2) Копируем прямо из консоли:
start shell
cd /tmp
vi certnew.cer
Нажимаем Insert и вставляем содержимое файла с сертификатом в формате Base64
Нажимаем ESC
:w
Нажимаем ESC еще раз
:x
cli

10) Загружаем сертификат в криптохранилище:
request security pki local-certificate load certificate-id https-cert filename certnew.cer
11) Редактируем конфиг:
edit
12) Назначаем сертификат, например на https-web-management:
set system services web-management https pki-local-certificate https-cert
13) Да, мы всё это серьёзно:
commit
14) ???
15) Profit!

_
hvostat: Jeeslaya (Default)
Для IKE:
Main mode: 9 messages

Initiator proposes the encryption and authentication algorithms to be used to establish the VPN.

Responder must accept the proposal and provide the other VPN gateway with a proposal of the encryption and authentication algorithm.

Initiator starts the Diffie-Hellman key exchange process by presenting a generated public key, along with a pseudorandom number.

Responder responds to the initiator with its public key as part of the Diffie-Hellman key exchange. After this message, both parties communicate via an encrypted channel.

Initiator sends the responder its IKE identity to authenticate itself.

Responder sends the initiator its IKE identity. Message 6 completes Phase 1 of the IKE negotiation.

Aggressive mode: 6 messages

Initiator proposes the encryption and authentication algorithms to be used, begins the Diffie-Hellman key exchange, and sends its IKE identity and pseudorandom number.

Responder must accept the proposal, and will provide the initiator with a pseudo-random number and the IKE identity of the responder. The responder will have also authenticated the initiator in this stage.

Initiator authenticates the responder and confirms the exchange. At this point, both parties have established a secure channel for negotiating the IPsec VPN in Phase 2 and Phase 1 is now complete.

Для IKEv2:

Нет понятия "режим".

В IKEv2 термин фаза1 заменен на IKE_SA_INIT (обмен двумя сообщениями, обеспечивающий согласование протоколов шифрования/хеширования и генерацию DH ключей), а фаза2 – на IKE_AUTH (тоже два сообщения, реализующие непосредственно аутентификацию пиров и генерацию ключей для ESP). Обмен данными в IKE_AUTH всегда зашифрован с помощью SA, сформированными IKE_SA_INIT. Isakmp SA теперь называются ikev2 sa, а ipsec sa — Child SA.

_
hvostat: Jeeslaya (Default)
1. Создаём пару ключей:
request security pki generate-key-pair size 2048 certificate-id webaccess

2. Создаём сертификат:
request security pki local-certificate generate-self-signed certificate-id webaccess email hvostat@hvostat.com domain-name hvostat.local ip-address 192.168.320.410 subject "CN=SRX-77.hvostat.local,OU=IT,O=LongTail LLC,L=Russia,ST=Moscow,C=RU"

3. Назначаем сертификат на HTTPS:
edit
set system services web-management https pki-local-certificate webaccess

4.???
5. Profit!

_
hvostat: Jeeslaya (Default)
Жил-был у нас в датацентре EX-2200.
И чот приуныл.

Аккурат через полгода после окончания гарантии.

Вскрытие показало отсутствие видимых неисправностей.

Вопрос: кто подскажет официальный сервис-центр Juniper в Москве?

UPD:
Официального сервис-центра нет, они их только меняют.
По всем вопросам писать - сюда:
russian-support@juniper.net

Звонить - сюда:
8-800-700-0314
_
hvostat: Jeeslaya (Default)
0) Покупаем 3G-модем из списка.
1) Вытряхиваем из провайдера мобильной связи конфигурацию.
Для "Мегафона" она выглядит следующим образом:
Строка инициализации: AT+CGDCONT=1,"IP","internet"
Метод аутентификации: CHAP
Логин: gdata
Пароль: gdata
Номер телефона: *99#

Сразу могу сказать, что SRX "подавился" номером "*99#" и потребовал только цифры. Совершенно без проблем указываем 99.

2) Устанавливаем и настраиваем интерфейс вот таким образом.
3) Конфигурируем физический интерфейс:
edit interfaces cl-0/0/8
set modem-options init-command-string AT+CGDCONT=1,IP,internet
set dialer-options pool 2 priority 10
4) Конфигурируем логический Dialer-интерфейс:
edit interfaces dl0
set encapsulation ppp
edit unit 0
set family inet
set family inet neogitate address
set dialer-options pool 2
set dialer-options dial-string 99
5) Добавляем маршрут:
set routing-options static route 0.0.0.0/0 next-hop dl0.0
6) Указываем, какой интерфейс будем резервировать с помощью 3G:
edit interfaces fe-0/0/0.0
set backup-options interface dl0.0
7) Подтверждаем, что да, мы это всё серьёзно:
commit
8) Создаём профиль в модеме:
request modem wireless gsm delete-profile cl-0/0/8 profile-id 2
request modem wireless gsm create-profile cl-0/0/8 profile-id 1 sip-user-id gdata sip-password gdata access-point-name internet authentication-method chap
9) Добавляем интерфейс dl0.0 в Security-Zone "Internet" или "Untrust".
10) Перезагружаем роутер:
request system reboot
11) ???
12) PROFIT!

Результат: автоматическое переключение на резервный 3G-линк и обратно. Переключение происходит достаточно быстро: теряются от 3-х до 5-ти пингов.
Внимание! Это конфигурация отрабатывает только в том случае, если интерфейс, который бэкапится, отключится по причине (случайного) выдёргивания кабеля, перегрызания кабеля крысами или отключения оборудования на противоположной стороне.

Версия JunOS 12.1X46-D35.1
_
hvostat: Jeeslaya (Default)
0) Подбираем модем из списка.
1) Модем в USB-порт НЕ ВКЛЮЧАЕМ.
2) Вваливаемся в CLI.
3) Переходим в режим редактирования конфигурации. Вводим:
edit
4) Переключаем режим работы USB-порта. Вводим команду:
set chassis routing-engine usb-wwan port 0
5) Подтверждаем, что да, мы это серьёзно. Вводим:
commit
6) Выключаем роутер. Вводим команду:
request system power-off
Либо выключаем железной кнопкой на корпусе.
7) Включаем модем в USB-порт.
8) Включаем роутер. Ждём, пока запустится. (примерно пять минут) Снова вваливаемся в CLI.
Проверяем кривизну радиуса рук:

Username@SRX> show modem wireless interface cl-0/0/8

Username@SRX> show interfaces cl-0/0/8 extensive

Вывод должен быть примерно таким: )

_
hvostat: Jeeslaya (Default)
Всё время, пока разбирался с этими симпатичными синими коробочками, всегда было интересен ответ на вполне здравый вопрос любого нормального инженера: А ЧТО У НЕГО ВНУТРИ?

А внутри у него неонка MIPS64-процессор Cavium OCTEON Plus CN5020.

DMESG + фотографии:

лог + фото )

_
hvostat: Jeeslaya (Default)
Начиная с версии JUNOS 12.1 в маршрутизаторы SRX100, SRX110 и SRX210 можно подключить 3G USB модемы.

Не спешите радоваться и верните йоту обратно в магазин: поддерживаются модемы только на чипах Sierra Wireless:
C888
308
312u
313u
319u
320u

Лично мной протестированы и работают без проблем: AirCard 312u, AirCard 320u

Также, в интернете находил заметки, что корректно работают только модемы с прошивкой от Telstra.
У меня были именно такие, других не тестировал, поэтому могу частично подтвердить эту информацию.
_
hvostat: Jeeslaya (Default)
Проблема: IPsec VPN на SRX работает медленно - передача данных идёт со скоростью ~2.5 МБ/сек.
Переключения режима шифрования с AES на 3DES не влияют на производительность.

Причина: MTU/MSS меньше 1500 за счёт (двойной) инкапсуляции.

Решение:
1) Заходим в консоль роутера.
2) Переходим в режим редактирования
edit
3) Вводим команду:
set security flow tcp-mss ipsec-vpn mss 1392
4) Подтверждаем, что да, мы это серьёзно:
commit
5) ???
6) Profit!!!

_
hvostat: Jeeslaya (Default)
Окончил лабу по Juniper.

Имею сказать следующее:

Это замечательные устройства!

Включенные через свитч и после этого через построенный IPsec-тоннель два SRX100 протащили 6.5 мегабайт/секунду.
Причём, алгоритм шифрования не имеет значения: что AES-128, что 3DES.

С заявленными 65 МБит/сек почти совпадает.
(AES256+SHA-1 / 3DES+SHA-1 VPN performance)

Попытаюсь их оптимизировать еще, посмотрим, удастся ли выжать из него честные 8 МБ/сек.

Что интересно - загрузка процессора упёрлась в 99% на устройстве, который РАСШИФРОВЫВАЕТ траффик.
На устройстве, которое шифрует - всего 80%.

Конфигурация )

_

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 20 September 2017 02:08
Powered by Dreamwidth Studios