klink0v (klink0v) wrote,
klink0v
klink0v

Categories:

Еще про баги в Juniper SRX

Как я обычно строю IPSec с контрагентом? Выделяю серую "буферную" подсеточку с маской "/29" (6 хостов). Первый адрес из неё присваиваю ST-интерфейсу самого Juniper-а для диагностики и всего остального, в том числе чтобы на пинги откликался. А дальше в зависимости от конкретной задачи второй и последующие адреса либо static nat-ом, либо destination nat-ом перенаправляю на нужные серверы либо отдельные TCP-порты внутри "боевого" сегмента.

Так вот. Допустим, мы назначили адрес "192.168.1.1" на st0.1, а "192.168.1.2" при помощи static nat перенаправили на сервер "172.19.34.8". Везде разрешили ICMP. В такой ситуации контрагент сможет нормально пинговать "192.168.1.1", а вот "192.168.1.2" — хренъ. Почему? А потому что очередной баг. Правда, тщательно задокументированный.

https://kb.juniper.net/InfoCenter/index?page=content&id=KB32123

Это называется "потихоньку между багов нащупал дорогу, но что ж их так много, ей богу?"

Tags: juniper, ненависть, трудовыебудни
Subscribe

  • Редкий баг в PostgreSQL (на самом деле нет)

    ... Перетащили в бинарном виде базу данных PostgreSQL 12 с RHEL 7.7 на Ubuntu 20.04 LTS. На первый взгляд всё завелось без проблем. А вот на…

  • Очередная багофича в Juniper SRX

    ... Ну вы уже поняли, насколько горячей любовью я их "обожаю". Дано. Техническая площадка. На ней контроллер домена MS AD. IPSec-тоннель…

  • Juniper + IPSec + MTU = баги

    Хотите еще багов ждунипера? Их есть у меня. Наступил на очередную пачку. Причём, практически на ровном месте. Вводные следующие. Есть IPSec-тоннель…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 0 comments