Juniper srx настройка PPPoE, DNS, security zone, NAT

Задача: провайдер предоставляет интернет по протоколу PPPoE, нужно настроить на juniper srx pppoe клиент, настроить зоны безопасности, настроить NAT.
Кабель с интернетом приходит в интерфейс fe-0/0/2, тестовый компьютер в интерфейс fe-0/0/6

Настраиваем PPPoE
Настройка для PAP и CHAP аутентификации.

set interfaces fe-0/0/2 unit 0 encapsulation ppp-over-ether
set interfaces pp0 unit 0 ppp-options chap local-name LOGIN
set interfaces pp0 unit 0 ppp-options chap default-chap-secret PASSWORD
set interfaces pp0 unit 0 ppp-options chap passive
set interfaces pp0 unit 0 ppp-options pap default-password PASSWORD
set interfaces pp0 unit 0 ppp-options pap local-name LOGIN
set interfaces pp0 unit 0 ppp-options pap local-password PASSWORD
set interfaces pp0 unit 0 ppp-options pap passive
set interfaces pp0 unit 0 pppoe-options underlying-interface fe-0/0/2.0
set interfaces pp0 unit 0 pppoe-options auto-reconnect 1
set interfaces pp0 unit 0 pppoe-options idle-timeout 0
set interfaces pp0 unit 0 pppoe-options client
set interfaces pp0 unit 0 family inet mtu 1492
set interfaces pp0 unit 0 family inet negotiate-address
commit confirmed 3
commit

Должно выглядеть так
fe-0/0/2

pp0

Прописываем маршрут

set routing-options static route 0.0.0.0/0 next-hop pp0.0

Иногда полезно прописать DNS
DNS

set system services dns forwarders 91.100.136.55
set system services dns forwarders 91.100.136.36
set system name-server 91.100.136.55                         
set system name-server 91.100.136.36

Пингуем 8.8.8.8 (google dns) и смотрим статистику

show pppoe statistics






Настраиваем security zone
В зонах безопасности нужно настроить какой трафик/vlan/интерфейс/протокол/etc является доверенным, а какой нет. Зона untrust у нас относится к интернет и поэтому является небезопасной. В зоне trust у нас локальные ресурсы.
Внесем интерфейс fe-0/0/2 и pp0.0 в зону untrust и разрешим сервисы ping и ssh.

set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces fe-0/0/2 host-inbound-traffic system-services ssh
set security zones security-zone untrust interfaces pp0.0 host-inbound-traffic system-services ping
set security zones security-zone untrust interfaces pp0.0 host-inbound-traffic system-services ssh

В зоне trust разрешим все протоколы и сервисы, а так же добавим все интефейсы которым мы доверяем

set security zones security-zone trust host-inbound-traffic system-services all
set security zones security-zone trust host-inbound-traffic protocols all
set security zones security-zone trust interfaces vlan.400
set security zones security-zone trust interfaces vlan.200
set security zones security-zone trust interfaces fe-0/0/6

Смотрим что получилось show security config (на скриншоте в зоне trust немного не те интерфейсы, не обращайте внимание)






Настраиваем NAT
Разрешаем ходить в интернет (untrust zone) всем кто находится в зоне trust

set security nat source rule-set trust-to-untrust from zone trust
set security nat source rule-set trust-to-untrust to zone untrust
set security nat source rule-set trust-to-untrust rule source-nat-rule match source-address 0.0.0.0/0
set security nat source rule-set trust-to-untrust rule source-nat-rule then source-nat interface

Смотрим что получилось командой show security nat






Настраиваем destination NAT
Допустим мы хотим попадать из интернета на juniper по sshи на какой-нибудь сервер по rdp

set security nat destination pool local_net address 192.168.0.1/32 port 22
set security nat destination rule-set untrust_local from zone untrust
set security nat destination rule-set untrust_local from zone trust
set security nat destination rule-set untrust_local rule DEST-NAT match destination-address 188.137.147.59/32
set security nat destination rule-set untrust_local rule DEST-NAT match destination-port 2244
set security nat destination rule-set untrust_local rule DEST-NAT then destination-nat pool local_net

set security nat destination pool local_net address 192.168.0.50/32 port 3389
set security nat destination rule-set untrust_to_RDP rule MED1500 match destination-address 188.137.147.59/32
set security nat destination rule-set untrust_to_RDP rule MED1500 match destination-port 3389
set security nat destination rule-set untrust_to_RDP rule MED1500 then destination-nat pool local_net

В итоге по протоколу ssh из адреса 188.137.147.59:2244 мы будем попадать на 192.168.0.1:22, по rdp из адреса 188.137.147.59:3389 в адрес 192.168.0.50:3389

2 thoughts on “Juniper srx настройка PPPoE, DNS, security zone, NAT

  1. Имя роутера никак не влияет на его работу. Это чисто визуальный параметр, чтобы не запутаться в случае, если у нас не один, а несколько Джуниперов.

Добавить комментарий