klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Еще про баги в Juniper SRX

Как я обычно строю IPSec с контрагентом? Выделяю серую "буферную" подсеточку с маской "/29" (6 хостов). Первый адрес из неё присваиваю ST-интерфейсу самого Juniper-а для диагностики и всего остального, в том числе чтобы на пинги откликался. А дальше в зависимости от конкретной задачи второй и последующие адреса либо static nat-ом, либо destination nat-ом перенаправляю на нужные серверы либо отдельные TCP-порты внутри "боевого" сегмента.

Так вот. Допустим, мы назначили адрес "192.168.1.1" на st0.1, а "192.168.1.2" при помощи static nat перенаправили на сервер "172.19.34.8". Везде разрешили ICMP. В такой ситуации контрагент сможет нормально пинговать "192.168.1.1", а вот "192.168.1.2" — хренъ. Почему? А потому что очередной баг. Правда, тщательно задокументированный.

https://kb.juniper.net/InfoCenter/index?page=content&id=KB32123

Это называется "потихоньку между багов нащупал дорогу, но что ж их так много, ей богу?"

Tags: juniper, ненависть, трудовыебудни
Subscribe

  • Обновление timezone в Java-машине

    Дано. Тухлая древняя софтина поверх такой же замшелой версии Java, которые лучше не трогать. Иначе всё может развалиться. В той боянистой Java…

  • Изгаляемся с openconnect

    Есть такие странные чучмеки-контрагенты, которые хотят, чтобы им всё настроили, быстро и в лучшем виде. Но при этом нормальный доступ к своей…

  • Задрали меня Dahua и BlueIris

    Задолбали. Dahua то отдает видеопоток, то не отдает. Причем, две одинаковые камеры, из одной партии. К одной удалось подцепиться по RTSP, ко второй…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments