hvostat: Jeeslaya (Default)
Задача: защитить SSH от ебучих китайцев.

Решение:
1) Вваливаемся в CLI
2) Редактируем конфигурацию:
edit system login retry-options
3) Настраиваем:
set tries-before-disconnect 5
// Количество попыток ввода пароля, прежде чем активируется задержка:
set backoff-threshold 2
// Блокируем юзверя на 10 секунд:
set backoff-factor 10
// Время для ввода пароля:
set minimum-time 20
4) Да, это мы всё серьезно:
commit

_
hvostat: Jeeslaya (Default)
Проблема: раз в полминуты значение Input-Discards Policed-Discards на "внешнем" интерфейсе Juniper SRX увеличивается на единицу.

Причины:
1) Cisco.
1) Рукожопый админ провайдера.

Пояснение:
Роутер провайдера криво сконфигурирован и шлёт пакеты Cisco Discovery Protocol клиентам.

Решение:
Красивое - связаться с провайдером, обрисовать ситуацию.
Практически применимое - забить.

_
hvostat: Jeeslaya (Default)
1. Создаём пару ключей:
request security pki generate-key-pair size 2048 certificate-id webaccess

2. Создаём сертификат:
request security pki local-certificate generate-self-signed certificate-id webaccess email hvostat@hvostat.com domain-name hvostat.local ip-address 192.168.320.410 subject "CN=SRX-77.hvostat.local,OU=IT,O=LongTail LLC,L=Russia,ST=Moscow,C=RU"

3. Назначаем сертификат на HTTPS:
edit
set system services web-management https pki-local-certificate webaccess

4.???
5. Profit!

_
hvostat: Jeeslaya (Default)
0) Покупаем 3G-модем из списка.
1) Вытряхиваем из провайдера мобильной связи конфигурацию.
Для "Мегафона" она выглядит следующим образом:
Строка инициализации: AT+CGDCONT=1,"IP","internet"
Метод аутентификации: CHAP
Логин: gdata
Пароль: gdata
Номер телефона: *99#

Сразу могу сказать, что SRX "подавился" номером "*99#" и потребовал только цифры. Совершенно без проблем указываем 99.

2) Устанавливаем и настраиваем интерфейс вот таким образом.
3) Конфигурируем физический интерфейс:
edit interfaces cl-0/0/8
set modem-options init-command-string AT+CGDCONT=1,IP,internet
set dialer-options pool 2 priority 10
4) Конфигурируем логический Dialer-интерфейс:
edit interfaces dl0
set encapsulation ppp
edit unit 0
set family inet
set family inet neogitate address
set dialer-options pool 2
set dialer-options dial-string 99
5) Добавляем маршрут:
set routing-options static route 0.0.0.0/0 next-hop dl0.0
6) Указываем, какой интерфейс будем резервировать с помощью 3G:
edit interfaces fe-0/0/0.0
set backup-options interface dl0.0
7) Подтверждаем, что да, мы это всё серьёзно:
commit
8) Создаём профиль в модеме:
request modem wireless gsm delete-profile cl-0/0/8 profile-id 2
request modem wireless gsm create-profile cl-0/0/8 profile-id 1 sip-user-id gdata sip-password gdata access-point-name internet authentication-method chap
9) Добавляем интерфейс dl0.0 в Security-Zone "Internet" или "Untrust".
10) Перезагружаем роутер:
request system reboot
11) ???
12) PROFIT!

Результат: автоматическое переключение на резервный 3G-линк и обратно. Переключение происходит достаточно быстро: теряются от 3-х до 5-ти пингов.
Внимание! Это конфигурация отрабатывает только в том случае, если интерфейс, который бэкапится, отключится по причине (случайного) выдёргивания кабеля, перегрызания кабеля крысами или отключения оборудования на противоположной стороне.

Версия JunOS 12.1X46-D35.1
_
hvostat: Jeeslaya (Default)
0) Подбираем модем из списка.
1) Модем в USB-порт НЕ ВКЛЮЧАЕМ.
2) Вваливаемся в CLI.
3) Переходим в режим редактирования конфигурации. Вводим:
edit
4) Переключаем режим работы USB-порта. Вводим команду:
set chassis routing-engine usb-wwan port 0
5) Подтверждаем, что да, мы это серьёзно. Вводим:
commit
6) Выключаем роутер. Вводим команду:
request system power-off
Либо выключаем железной кнопкой на корпусе.
7) Включаем модем в USB-порт.
8) Включаем роутер. Ждём, пока запустится. (примерно пять минут) Снова вваливаемся в CLI.
Проверяем кривизну радиуса рук:

Username@SRX> show modem wireless interface cl-0/0/8

Username@SRX> show interfaces cl-0/0/8 extensive

Вывод должен быть примерно таким: )

_
hvostat: Jeeslaya (Default)
Начиная с версии JUNOS 12.1 в маршрутизаторы SRX100, SRX110 и SRX210 можно подключить 3G USB модемы.

Не спешите радоваться и верните йоту обратно в магазин: поддерживаются модемы только на чипах Sierra Wireless:
C888
308
312u
313u
319u
320u

Лично мной протестированы и работают без проблем: AirCard 312u, AirCard 320u

Также, в интернете находил заметки, что корректно работают только модемы с прошивкой от Telstra.
У меня были именно такие, других не тестировал, поэтому могу частично подтвердить эту информацию.
_
hvostat: Jeeslaya (Default)
Проблема: IPsec VPN на SRX работает медленно - передача данных идёт со скоростью ~2.5 МБ/сек.
Переключения режима шифрования с AES на 3DES не влияют на производительность.

Причина: MTU/MSS меньше 1500 за счёт (двойной) инкапсуляции.

Решение:
1) Заходим в консоль роутера.
2) Переходим в режим редактирования
edit
3) Вводим команду:
set security flow tcp-mss ipsec-vpn mss 1392
4) Подтверждаем, что да, мы это серьёзно:
commit
5) ???
6) Profit!!!

_
hvostat: Jeeslaya (Default)
Окончил лабу по Juniper.

Имею сказать следующее:

Это замечательные устройства!

Включенные через свитч и после этого через построенный IPsec-тоннель два SRX100 протащили 6.5 мегабайт/секунду.
Причём, алгоритм шифрования не имеет значения: что AES-128, что 3DES.

С заявленными 65 МБит/сек почти совпадает.
(AES256+SHA-1 / 3DES+SHA-1 VPN performance)

Попытаюсь их оптимизировать еще, посмотрим, удастся ли выжать из него честные 8 МБ/сек.

Что интересно - загрузка процессора упёрлась в 99% на устройстве, который РАСШИФРОВЫВАЕТ траффик.
На устройстве, которое шифрует - всего 80%.

Конфигурация )

_
hvostat: Jeeslaya (Default)
Замерял время, за которое SRX100 "прогревается" и начинает работать.

От нажатия на кнопку "Power" до пингов проходит ровно 5 (пять) минут.
VPN взводится еще 40 секунд.

_
hvostat: Jeeslaya (Default)
Шпаргалка по конфигурированию wan failower.

* * * )

_
hvostat: Jeeslaya (Default)
История с диодами SRX100 получила продолжение.

После очередной перезагрузки первый роутер (у меня их сейчас два, утащил их домой вместе со свитчом, собрал стенд и тестирую) стал опять подмигивать мне двумя диодами на порту.

_
hvostat: Jeeslaya (Default)
Проблема: в дефолтной конфигурации SRX-100 очень долго (порядка минуты) выдает IP-адрес через DHCP.

Решение: отключить STP.

_
hvostat: Jeeslaya (Default)
Писал для себя краткий конспект лекции и заодно шпаргалку по настройке IPsec VPN.
Малосъедобно для посторонних.

Куча команд и комментов... )

_

Profile

hvostat: Jeeslaya (Default)
hvostat

June 2017

S M T W T F S
    123
45678910
11121314151617
181920212223 24
252627282930 

Syndicate

RSS Atom

Style Credit

Expand Cut Tags

No cut tags
Page generated 27 July 2017 08:30
Powered by Dreamwidth Studios