Category:

Очередная багофича в Juniper SRX

... Ну вы уже поняли, насколько горячей любовью я их "обожаю".

Дано. Техническая площадка. На ней контроллер домена MS AD. IPSec-тоннель до другой площадки. Там еще один контроллер MS AD. На Juniper SRX между площадками в полисере разрешено всё и в обе стороны. Примерно так.

from-zone site1 to-zone site2 {
    policy allow-all {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}

from-zone site2 to-zone site1 {
    policy allow-all {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
}

Казалось бы, чего ещё желать? Но контроллеры всё равно друг друга не "видят". Вроде AD номинально и работает, но как-то "с пердежом и рвотой". А всё почему? Потому что в Juniper встроен и по умолчанию включен ALG (Application Layer Gateway). И просто "application any, permit" ему мало. Надо либо явно указывать что именно ты хочешь permit, либо отключать его к какой-то там матери применительно к MS RPC:

set security alg msrpc disable

Ох уж эти железки, которые искренне считают, что они умнее сисадмина.

it juniper баги ненависть сети трудовыебудни

Follow us:

Applications

COMPANY

PRODUCTS

COMMUNITY

CHOOSE LANGUAGE