Juniper SRX - Использование фильтров брандмауэра для настройки статических маршрутов для разных интерфейсов
У нас есть работающая конфигурация Juniper с 3 портами WAN и локальной сетью. Порты WAN (отфильтрованные через родительский маршрутизатор) содержат различные входящие службы, такие как RDP, SMTP и HTTPS. Маршрутизатор в настоящее время имеет статический маршрут, настроенный как показано ниже:
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.0.5;
}
}
Недавно мы пытались добавить VPN на новый порт WAN с IP-адресом, подключенным к Интернету. Чтобы VPN работал, нам нужно использовать другой статический маршрут. Мы доказали, что это работает, изменив вышеуказанный статический маршрут. Это позволяет VPN работать, но вызывает сбой всех других служб (как и следовало ожидать).
Чтобы обойти это, мы попытались создать 2 правила брандмауэра, каждое со своим статическим маршрутом, как показано ниже:
firewall {
filter main-filter {
term 0 {
from {
source-address {
0.0.0.0/0;
}
}
then {
routing-instance def-rinst;
}
}
filter vpn-filter {
term 0 {
from {
source-address {
0.0.0.0/0;
}
}
then {
routing-instance vpn-rinst;
}
}
}
}
routing-instances {
def-rinst {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop 192.168.0.5;
}
}
vpn-rinst {
instance-type forwarding;
routing-options {
static {
route 0.0.0.0/0 next-hop <<external-vpn-ip>>;
}
}
}
}
Затем мы подключили фильтры к соответствующим портам WAN, как показано ниже:
ge-0/0/0 {
unit 0 {
family inet {
filter {
input main-filter;
}
address 192.168.0.12/24;
}
}
}
fe-0/0/5 {
unit 0 {
family inet {
filter {
input vpn-filter;
}
address <<external-vpn-ip>>;
}
}
}
К сожалению, когда этот конфиг применен, ни одна из служб (включая VPN) не работает. Мы убедились, что фильтры работают, добавив счетчик. Кажется, что ни один из статических маршрутов не применяется к таблице маршрутизации.
Информация о роутере: - Juniper SRX210b - версия 12.1X46-D55.3; - BIOS версии 1.7
Любое руководство будет с благодарностью!