klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Ненависть к Juniper-ам усиливается

Похоже, что у Mikrotik-а появился достойный конкурент на звание самой ненавистной мной сетевой железки.

А началось всё с казалось бы, очень простой задачи. Жил-был IPSec-тоннель между Juniper SRX 345 и Cisco 2811. По некоторым не зависящим от меня причинам его потребовалось поменять на GRE / IPSec. Причём, прозрачно. То есть чтобы по возможности никто ничего не заметил.

Ну ладно. Чтобы не затронуть уже существующие тоннели, добавил на lo-интерфейс Juniper-а ещё один белый IPшник и начал колдовать.

Со стороны Cisco это проделывается элементарно.

Всё!

А вот со стороны Juniper-а начинаются грёбаные приседания и танцы с бубном.

Во-первых, SRX-серия в принципе не умеет IPSec в транспортном режиме. Только в тоннельном. Хотя, казалось бы, чего тут такого? Ну ладно, думаю, переживу. Ага, хрен там. Начал настраивать. Собственно, IPSec-составляющая сцепилась очень быстро. А потом я промудохался ещё полдня в бесплодных попытках выяснить, почему же IPSec есть, а пакетики не бегают.

Тут нужно сделать маленькое лирическое отступление. В Juniper-ах можно определять VPN либо как route-based, либо как policy-based. Я изначально пошел вторым путём. Не хотел совать в IPSec всё подряд, а только лишь один GRE, чтобы красивее было. Ну и для удобства последующей диагностики, ежели что. Бился-бился, ничего не выходит. А потом ещё раз внимательно перечитал документацию.

However, GRE over IPsec has a few limitations in Junos OS (flow mode):
The IPsec tunnel needs to be route based

Сука!!!11

Спрашивается, ну вот какого хрена???

И тут я сел на жопу. Если я начну прописывать статические маршруты в сторону "вражеской" циски, то под них неизбежно попадут и "старые" действующие тоннели тоже. Которые ожидаемо рухнут. Назначить циске еще один белый IP не могу, у меня их там больше нет. Разводить по разным routing instance? Ха-ха, мы это уже проходили.

Как же я счастлив, что мне ещё работать и работать с этим говном. Причем, по-видимому, довольно долго...

Tags: juniper, ненависть, сети, трудовыебудни
Subscribe

  • ОколоITшный дыбр #19

    ... В одном из прошлых постов я уже рассказывал про заказчиков-дятлов, которые хотят чтобы им всё инсталлировали и запустили в лучшем виде, но при…

  • MAC-адрес RETH-интерфейса

    ... Чё-то меня дёрнуло посмотреть какой MAC-адрес назначен RETH (Redundancy) интерфейсу на Juniper SRX. Это такой "виртуальный" интерфейс,…

  • Сцуко-Сбебранк

    ... Понадобилось мне тут сделать ещё один шаблон в Сбербанк-Онлайн "сверхлимитным". Есть у них такая фича. Ты создаешь шаблон на платёж,…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments