klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Еще про баги в Juniper SRX

Как я обычно строю IPSec с контрагентом? Выделяю серую "буферную" подсеточку с маской "/29" (6 хостов). Первый адрес из неё присваиваю ST-интерфейсу самого Juniper-а для диагностики и всего остального, в том числе чтобы на пинги откликался. А дальше в зависимости от конкретной задачи второй и последующие адреса либо static nat-ом, либо destination nat-ом перенаправляю на нужные серверы либо отдельные TCP-порты внутри "боевого" сегмента.

Так вот. Допустим, мы назначили адрес "192.168.1.1" на st0.1, а "192.168.1.2" при помощи static nat перенаправили на сервер "172.19.34.8". Везде разрешили ICMP. В такой ситуации контрагент сможет нормально пинговать "192.168.1.1", а вот "192.168.1.2" — хренъ. Почему? А потому что очередной баг. Правда, тщательно задокументированный.

https://kb.juniper.net/InfoCenter/index?page=content&id=KB32123

Это называется "потихоньку между багов нащупал дорогу, но что ж их так много, ей богу?"

Tags: juniper, ненависть, трудовыебудни
Subscribe

  • А кто-нибудь щупал FortiGate-ы?

    Тут попался очередной контрагент, с которым нужно строить site2site ipsec. Контрагент не российиский и какой-то крайне нетрадиционно мыслящий.…

  • Про anti-dDOS

    Есть у меня один проект, который я очень не люблю. Сам присвоил ему кодовое имя "проект с мудаками". Но начальство выводить меня из него,…

  • Juniper не дружит с IKEv2

    Продолжаю рубрику о ненависти к Juniper-ам. Практика показала, что когда строишь тоннель между Juniper-ом и чем-то другим, то в случае попыток…

  • Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments