klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Еще про баги в Juniper SRX

Как я обычно строю IPSec с контрагентом? Выделяю серую "буферную" подсеточку с маской "/29" (6 хостов). Первый адрес из неё присваиваю ST-интерфейсу самого Juniper-а для диагностики и всего остального, в том числе чтобы на пинги откликался. А дальше в зависимости от конкретной задачи второй и последующие адреса либо static nat-ом, либо destination nat-ом перенаправляю на нужные серверы либо отдельные TCP-порты внутри "боевого" сегмента.

Так вот. Допустим, мы назначили адрес "192.168.1.1" на st0.1, а "192.168.1.2" при помощи static nat перенаправили на сервер "172.19.34.8". Везде разрешили ICMP. В такой ситуации контрагент сможет нормально пинговать "192.168.1.1", а вот "192.168.1.2" — хренъ. Почему? А потому что очередной баг. Правда, тщательно задокументированный.

https://kb.juniper.net/InfoCenter/index?page=content&id=KB32123

Это называется "потихоньку между багов нащупал дорогу, но что ж их так много, ей богу?"

Tags: juniper, ненависть, трудовыебудни
Subscribe

  • Вакцинация против гриппа

    В этом году решил изменить своим привычкам и таки вакцинироваться против гриппа. Задолбался болеть уже. Сил ни на что нет. Работы до хрена, а делать…

  • Не так ужасен своп, как его малюют

    Признаюсь. Раньше, бывало, я ставил "vm.swappiness=0" и/или вообще не создавал файл/раздел подкачки. Но потом тов. kvazimoda24

  • Псевдовыборы

    Вот и закончился этот цЫрк с конями, по какому-то недоразумению называемый "выборами". Про их честность и прозрачность даже не буду и…

  • Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments