Toon posts:

juniper netscreen 5gt: NAT werkend krijgen

Pagina: 1
Acties:

Onderwerpen

Nat

dinsdag 24 mei 2011 01:16

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
HoiHoi

Ik heb thuis een setup met een aantal externe hosts die met een tweetal interne hosts moeten praten.
Typsich geval van nat; als enige routing is er een netscreen 5gt van Juniper (puur ethernet geen adsl oid).


Ik heb aardig wat netwerkhardware gezien voor thuis maar dit stijgt me een beetje boven het hoofd :$

Het gaat hier om poorten 9102 en 9103 voor bacula.
Momenteel staat er al open : 22 en 80 naar 192.168.1.44. Dit heeft een vrindje van me gedaan die atm niet te bereiken is wegens studie.
De bacula machine is 192.168.1.45, maar adt is verder niet zo boeiend.

Uiteraard is de bacula machine prima lokaal op dat IP te bereiken.

Maar ik heb uitgevoerd:

Via de wizard.
Policy (6, Untrust->Trust, extern-ip->192.168.1.45/32,bacula-sd, nat src , Permit) was added by netscreen via web from host 192.168.1.99 to 192.168.1.1:443.
Waarbij ik bij objects, services, custom een nieuw protocol heb gemaakt:
bacula-sd TCP src port: 9102-9103, dst port: 9102-9103 30
Dit werkt niet .

Alternatief:

http://kb.juniper.net/Inf...ex?page=content&id=KB4740

Hierbij doe ik hetzelfde maar edit ik mijn untrusted nic. Dit faalt omdat ik geen extra IPs mag aanmaken voor mijn VIPs.... het is immers een consumer ADSL.


Die vriend van me heeft wel 2 polcies aangemaakt:
3 Any MIP(83.84.219.39) HTTP [Index: 3 Policy-based NAT NAT (Use interface IP) dst ip (192.168.1.44) application service: HTTP] Edit Clone Remove Disable policy Move policy Move policy
4 Any MIP(83.84.219.39) SSH [Index: 4 Policy-based NAT NAT dst ip (192.168.1.44) application service: IGNORE] Edit Clone Remove Disable policy Move policy Move policy
Deze werken prima, maar als ik ze clone en daarna edit doe en bij advanced in NAT "destination translation" op het ip van mijn interne bacula doos (192.168.1.45) zet werkt het niet.

Grmbl.

Iemand een idee waar dit in zit?

offtopic:
Soms valt hardware toch nog tegen ondanks dat het veel kan :+

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

dinsdag 24 mei 2011 07:16

Acties:
  • 0Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-05 13:21

Kabouterplop01

chown -R me base:all

ermm kun je die config van die andere host ook via de cli zien?

dinsdag 24 mei 2011 08:37

Acties:
  • 0Henk 'm!
  • Wceend
  • Registratie: Oktober 2000
  • Laatst online: 26-05 08:49

Wceend

bij een juniper 5gt moet je een VIP (virtual IP) aanmaken om poortforwarding te kunnen doen.
http://kb.juniper.net/Inf...ex?page=content&id=KB4740 is wel correct alleen je moet gewoon je huidige outside ip van je dsl gebruiken.

Juniper kent VIP en MIP een VIP is een portforwarding op een ip eventueel dus je untrust ip van je dsl. Een mip is een mapped ip die forward een ip adres met alle poorten naar een intern ip dit kun je alleen gebruiken als je meerdere ip's hebt.

je maakt een ip met poort aan als VIP.
dit VIP ip is je outside ip die koppel je aan je interne ip.
je maakt dan een regel aan van untrust naar trust of dmz
outside ip van partij die jou moet bereiken of any naar VIP ip op de trust.

klinkt een beetje warrig maar zo werkt het wel. Kan je eventueel wel helpen via DM

woensdag 25 mei 2011 17:33

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Wceend schreef op dinsdag 24 mei 2011 @ 08:37:
bij een juniper 5gt moet je een VIP (virtual IP) aanmaken om poortforwarding te kunnen doen.
http://kb.juniper.net/Inf...ex?page=content&id=KB4740 is wel correct alleen je moet gewoon je huidige outside ip van je dsl gebruiken.

Juniper kent VIP en MIP een VIP is een portforwarding op een ip eventueel dus je untrust ip van je dsl. Een mip is een mapped ip die forward een ip adres met alle poorten naar een intern ip dit kun je alleen gebruiken als je meerdere ip's hebt.

je maakt een ip met poort aan als VIP.
dit VIP ip is je outside ip die koppel je aan je interne ip.
je maakt dan een regel aan van untrust naar trust of dmz
outside ip van partij die jou moet bereiken of any naar VIP ip op de trust.

klinkt een beetje warrig maar zo werkt het wel. Kan je eventueel wel helpen via DM
Hulp is altjid welkom, maar als ik naar mijn untrusted ip ga en dan edit en VIP probeer te maken zegt de router ' Erro! Cannot add Untrust-VIP (mijn externe IP).

Dus ja dan houdt het al vrij hard op.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

woensdag 25 mei 2011 17:50

Acties:
  • 0Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-05 13:21

Kabouterplop01

chown -R me base:all

misschien moet je je vip er helemaal afslopen en dan met nieuwe waarden weer toevoegen...
zo wordt het lastig troubleshooten zonder zicht op iets... Laat eens wat zien.

woensdag 25 mei 2011 17:51

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Zoals wat? Mbt het eraf slopen: er staat atm geen vip gedefinieerd raar genoeg.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

woensdag 25 mei 2011 17:55

Acties:
  • 0Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-05 13:21

Kabouterplop01

chown -R me base:all

oh zo, wellicht dat het dan met een MIP moet; (of deze eraf slopen en hem onieuw toevoegen met de pat instellingen)
Ik kan die configs vrij aardig lezen, maar met die webinterface 8)7

[Voor 23% gewijzigd door Kabouterplop01 op 25-05-2011 17:56]

woensdag 25 mei 2011 17:56

Acties:
  • 0Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:35

DiedX

Probeer eens:

set interface adsl1/0 vip interface-ip 25 "MAIL" 192.x.x.x
set interface adsl1/0 vip interface-ip 465 "SMTP" 192.x.x.x

adsl1/0 uiteraard even vervangen door $interface.

Uitbreiding:

Je moet op interface-niveau de ports forwarden, maar je zal ook op policy-niveau de policy moeten allowen (!!)

[Voor 25% gewijzigd door DiedX op 25-05-2011 17:57]

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 25 mei 2011 18:50

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Diedx:
http://kb.juniper.net/Inf...ex?page=content&id=KB4740

hier werk ik toch ook met zowel interface als policy?


In de shell faalt het trouwens ook om die vip aan te maken:
code:
1
2
3
4
5
6

ns5gt-> set interface untrust vip MIJNEXTERNIP 9103 "bacula-sd" 192.168.1.45
###MIJNEXTERNIP is in use!!
Error! Cannot add Untrust-IP VIP (MIJNEXTERNIP )

Failed command - set interface untrust vip MIJNEXTERNIP  9103 "bacula-sd" 192.168.1.45
ns5gt->



Dat ip hangt inderdaad aan de interface untrusted.
Dit vertelt trouwens hetzelfde verhaal...
http://support.dotxs.nl/i.../11/port-mapping-aanmaken


Het betreft hier trouwens een Juniper-NS5GT , en niet een gweone 5gt maar dat zou afaik niet veel uit moeten maken.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

woensdag 25 mei 2011 20:30

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Update:
code:
1
2
3
4

ns5gt-> get vip server
VIP server table:
Total 0 vip server displayed
ns5gt->
Raar dat die portforwarding nu wel werkt...

Dit is trouwens de huidige config (na wat CLI RTFM werk):
Normaliter zou ik er wat meer uitgooien, maar ik weet niet wat hier relevant is :(.
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150

ns5gt-> get config
Total Config size 5107:
set clock ntp
set clock timezone 0
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
set service "bacula-sd" protocol tcp src-port 9102-9103 dst-port 9102-9103
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "netscreen"
set admin password "KNIP"
set admin http redirect
set admin auth timeout 10
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst
set zone "Untrust" block
unset zone "Untrust" tcp-rst
set zone "MGT" block
set zone "VLAN" block
unset zone "VLAN" tcp-rst
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
unset interface vlan1 ip
set interface trust ip 192.168.1.1/24
set interface trust nat
set interface untrust ip 83.84.219.39/23
set interface untrust nat
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
set interface trust manage mtrace
set interface untrust dhcp client enable
set interface trust dhcp server service
set interface trust dhcp server enable
set interface trust dhcp server option gateway 192.168.1.1
set interface trust dhcp server option domainname boudewijnector.nl
set interface trust dhcp server option dns1 212.54.40.25
set interface trust dhcp server option dns2 212.54.35.25
set interface trust dhcp server ip 192.168.1.100 to 192.168.1.150
unset interface trust dhcp server config next-server-ip
unset interface trust dhcp server config updatable
set interface untrust dip interface-ip incoming
set interface "untrust" mip 83.84.219.39 host 192.168.1.44 netmask 255.255.255.255 vr "trust-vr"
set flow tcp-mss
unset flow tcp-syn-check
set domain itpimp.nl

set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set dns host dns1 212.54.40.25 src-interface untrust
set dns host dns2 212.54.35.25 src-interface untrust
set dns host dns3 0.0.0.0
set dns host schedule 06:28
set dns proxy
set dns proxy enable
set address "Trust" "192.168.1.44/32" 192.168.1.44 255.255.255.255
set address "Trust" "192.168.1.45/32" 192.168.1.45 255.255.255.255
set address "Untrust" "extern-ip" 83.84.219.0 255.255.254.0
set ike respond-bad-spi 1
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set av profile "scan-mgr"
set ftp scan-mode  scan-all
set ftp decompress-layer  2
set http scan-mode  scan-all
set imap scan-mode  scan-all
set imap decompress-layer  2
set pop3 scan-mode  scan-all
set pop3 decompress-layer  2
set smtp scan-mode  scan-all
set smtp decompress-layer  2
exit
set url protocol websense
exit
set anti-spam profile ns-profile
 set sbl default-server enable
exit
set policy id 8 from "Untrust" to "Trust"  "extern-ip" "MIP(83.84.219.39)" "bacula-sd" nat src permit
set policy id 8
exit
set policy id 7 from "Untrust" to "Trust"  "extern-ip" "MIP(83.84.219.39)" "bacula-sd" nat src permit
set policy id 7
exit
set policy id 2 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit
set policy id 2
exit
set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit
set policy id 1
exit
set policy id 3 name "HTTP forward" from "Untrust" to "Trust"  "Any" "MIP(83.84.219.39)" "HTTP" nat src dst ip 192.168.1.44 permit
set policy id 3 application "HTTP"
set policy id 3
exit
set policy id 4 name "SSH forward" from "Untrust" to "Trust"  "Any" "MIP(83.84.219.39)" "SSH" nat dst ip 192.168.1.44 permit
set policy id 4 application "IGNORE"
set policy id 4
exit
set nsmgmt bulkcli reboot-timeout 60
set ssh version v2
set ssh enable
set scp enable
set config lock timeout 5
set ntp server "194.109.64.200"
set ntp server backup1 "0.0.0.0"
set ntp server backup2 "0.0.0.0"
set modem speed 115200
set modem retry 3
set modem interval 10
set modem idle-time 10
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
exit
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

donderdag 26 mei 2011 09:06

Acties:
  • 0Henk 'm!
  • Wceend
  • Registratie: Oktober 2000
  • Laatst online: 26-05 08:49

Wceend

ik zie dat je nu een MIP hebt gemaakt. wist niet dat dit ging met maar 1 ip.

maar er staat ook: set interface untrust ip 83.84.219.39/23

moet daar niet /32 staan als je maar 1 ip hebt.

donderdag 26 mei 2011 09:56

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Dat is door de DHCP op van Ziggo naar mijn externe nic gepushed. Stel ik niets aan in, en de communicatie met 'buiten' lukt .

Lijkt me dus redelijk.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

donderdag 26 mei 2011 10:08

Acties:
  • 0Henk 'm!
  • BazzH
  • Registratie: November 2001
  • Laatst online: 08:15

BazzH

Kei-goed...

Wceend schreef op donderdag 26 mei 2011 @ 09:06:
ik zie dat je nu een MIP hebt gemaakt. wist niet dat dit ging met maar 1 ip.

maar er staat ook: set interface untrust ip 83.84.219.39/23

moet daar niet /32 staan als je maar 1 ip hebt.
En als je een MIP hebt voor een bepaald IP-adres, kun je daar geen VIP meer aanhangen.

Think smart........ Act stupid........

donderdag 26 mei 2011 10:10

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Inderdaad, maar kennelijk kun je met een MIP wel portmapping uitvoeren, dat gebeurt immers nu prima voor poorten 80 en 22 (naar een ander intern ip dan wel, maar dat lijkt me niet zo relevant).

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

donderdag 26 mei 2011 11:05

Acties:
  • 0Henk 'm!
  • BazzH
  • Registratie: November 2001
  • Laatst online: 08:15

BazzH

Kei-goed...

Boudewijn schreef op donderdag 26 mei 2011 @ 10:10:
Inderdaad, maar kennelijk kun je met een MIP wel portmapping uitvoeren, dat gebeurt immers nu prima voor poorten 80 en 22 (naar een ander intern ip dan wel, maar dat lijkt me niet zo relevant).
Sterker nog: een MIP mapt ALLE poorten naar een intern adres. Alleen wordt het verkeer pas doorgelaten, als je dat in je policy toestaat.

Je kunt een MIP maken, zonder dat er ook maar enige communicatie mogelijk is met het interne adres.

Maar aangezien je enkel wat extra services beschikbaar wil maken op hetzelfde systeem, hoef je dus ook alleen maar:
- custom service aanmaken met de juiste destination-ports.
- policy aanmaken (van Untrust naar Trust): Any, MIP, custom-service, Allow

Volgens mij, hoef je verder ook helemaal niets in te stellen m.b.t. adress translation. (Tenminste, bij een VIP niet en dus ga ik er maar even vanuit bij een MIP ook niet.)

[Voor 28% gewijzigd door BazzH op 26-05-2011 11:14]

Think smart........ Act stupid........

donderdag 26 mei 2011 11:13

Acties:
  • 0Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:35

DiedX

Maar Boudewijn, werkt het nu?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

donderdag 26 mei 2011 12:46

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
BazzH schreef op donderdag 26 mei 2011 @ 11:05:
Maar aangezien je enkel wat extra services beschikbaar wil maken op hetzelfde systeem, hoef je dus ook alleen maar:
- custom service aanmaken met de juiste destination-ports.
- policy aanmaken (van Untrust naar Trust): Any, MIP, custom-service, Allow
Nop het is een andere machine. Die .44 is mijn jumpbox/thuisserver en die .45 is de backupmachine die lang n iet altijd aanstaat (onzuinig noisy ding met heel veel storage).
Volgens mij, hoef je verder ook helemaal niets in te stellen m.b.t. adress translation. (Tenminste, bij een VIP niet en dus ga ik er maar even vanuit bij een MIP ook niet.)
Mja maar ik heb toch weer 2 verschillende hosts.
Ik kan .44 wel laten proxien voor .45 maar dat is ook niet echt chique.
DiedX schreef op donderdag 26 mei 2011 @ 11:13:
Maar Boudewijn, werkt het nu?
Neen. Ik meld het meestal wel in threads als dingen opgelost zijn :).

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

donderdag 26 mei 2011 12:54

Acties:
  • 0Henk 'm!
  • BazzH
  • Registratie: November 2001
  • Laatst online: 08:15

BazzH

Kei-goed...

Boudewijn schreef op donderdag 26 mei 2011 @ 12:46:
[...]

Nop het is een andere machine. Die .44 is mijn jumpbox/thuisserver en die .45 is de backupmachine die lang n iet altijd aanstaat (onzuinig noisy ding met heel veel storage).


[...]

Mja maar ik heb toch weer 2 verschillende hosts.
Ik kan .44 wel laten proxien voor .45 maar dat is ook niet echt chique.

[...]
Neen. Ik meld het meestal wel in threads als dingen opgelost zijn :).
Dan zul je je MIP moeten inruilen voor 2 VIP's.

- Eerst alle policies, waarin de MIP gebruikt wordt, verwijderen (of even de destination wijzigen naar wat rubbish).
- Daarna je MIP verwijderen.
- Daarna voor elke service een VIP-service aanmaken.
- Tenslotte je policies weer aanmaken (of de rubbish vervangen door je VIP).

Think smart........ Act stupid........

zondag 29 mei 2011 17:37

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Heb je wellicht voor mij de shell commando's die dat handig doen? Ik ben er net met de manpage een tijdje voor gaan zitten en heb eerlijk gezegd niet echt een idee wat ik aan het doen ben.

De commando's an sich kan ik prima op zoeken, maar het is meer zo dat ik niet goed in staat ben de goede paremeters te kiezen :(.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

zondag 29 mei 2011 21:42

Acties:
  • 0Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:35

DiedX

Boudewijn schreef op zondag 29 mei 2011 @ 17:37:
Heb je wellicht voor mij de shell commando's die dat handig doen? Ik ben er net met de manpage een tijdje voor gaan zitten en heb eerlijk gezegd niet echt een idee wat ik aan het doen ben.

De commando's an sich kan ik prima op zoeken, maar het is meer zo dat ik niet goed in staat ben de goede paremeters te kiezen :(.
Heb je anders de nieuwe config voor ons?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zondag 29 mei 2011 23:10

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Ik heb hem gerstored naar bovenstaande config; zelfs mijn internet werkte niet meer goed ;).

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

maandag 30 mei 2011 07:47

Acties:
  • 0Henk 'm!
  • BazzH
  • Registratie: November 2001
  • Laatst online: 08:15

BazzH

Kei-goed...

Boudewijn schreef op zondag 29 mei 2011 @ 17:37:
Heb je wellicht voor mij de shell commando's die dat handig doen? Ik ben er net met de manpage een tijdje voor gaan zitten en heb eerlijk gezegd niet echt een idee wat ik aan het doen ben.

De commando's an sich kan ik prima op zoeken, maar het is meer zo dat ik niet goed in staat ben de goede paremeters te kiezen :(.
Nee, die heb ik niet. Ik doe bijna niets op CLI met onze SSG. Ik doe bijna alles met de webinterface.

Think smart........ Act stupid........

maandag 30 mei 2011 08:04

Acties:
  • 0Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-05 13:21

Kabouterplop01

chown -R me base:all

zoiets:
code:
1
2
3
4
5
6
7
8

#Remove OLD policiy (It doesnt work anyway)

del policy id 8
exit
set policy id 8 name "Bacula" from "Untrust" to "Trust"  "Any" "MIP(83.84.219.39)" "bacula-sd" nat dst ip 192.168.1.45 permit
set policy id 8 application "IGNORE"
set policy id 8
exit


Ik ga er even vanuit dat je nog steeds die term "bacula-sd" in je config hebt!

[Voor 12% gewijzigd door Kabouterplop01 op 30-05-2011 08:10]

maandag 30 mei 2011 23:47

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Hoi Kabouterplop,

helaas werkt die ook niet, alhoewel het er voor mij (!) goed uitziet.
Buiten dat: hoe blijft dit werken bij een IP change (wat bij mij nog wel eens wil gebeuren ivm Ziggo abonnement).
De huidige config:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150

Total Config size 5169:
set clock ntp
set clock timezone 0
set vrouter trust-vr sharable
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset auto-route-export
exit
set service "bacula-sd" protocol tcp src-port 9102-9103 dst-port 9102-9103
set auth-server "Local" id 0
set auth-server "Local" server-name "Local"
set auth default auth server "Local"
set auth radius accounting port 1646
set admin name "netscreen"
set admin password "nKVUM2rwMUzPcrkG5sWIHdCtqkAibn"
set admin http redirect
set admin auth timeout 10
set admin auth server "Local"
set admin format dos
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set zone "VLAN" vrouter "trust-vr"
set zone "Untrust-Tun" vrouter "trust-vr"
set zone "Trust" tcp-rst
set zone "Untrust" block
unset zone "Untrust" tcp-rst
set zone "MGT" block
set zone "VLAN" block
unset zone "VLAN" tcp-rst
set zone "Untrust" screen tear-drop
set zone "Untrust" screen syn-flood
set zone "Untrust" screen ping-death
set zone "Untrust" screen ip-filter-src
set zone "Untrust" screen land
set zone "V1-Untrust" screen tear-drop
set zone "V1-Untrust" screen syn-flood
set zone "V1-Untrust" screen ping-death
set zone "V1-Untrust" screen ip-filter-src
set zone "V1-Untrust" screen land
set interface "trust" zone "Trust"
set interface "untrust" zone "Untrust"
unset interface vlan1 ip
set interface trust ip 192.168.1.1/24
set interface trust nat
set interface untrust ip 83.84.219.39/23
set interface untrust nat
unset interface vlan1 bypass-others-ipsec
unset interface vlan1 bypass-non-ip
set interface trust ip manageable
set interface untrust ip manageable
set interface trust manage mtrace
set interface untrust dhcp client enable
set interface trust dhcp server service
set interface trust dhcp server enable
set interface trust dhcp server option gateway 192.168.1.1
set interface trust dhcp server option domainname boudewijnector.nl
set interface trust dhcp server option dns1 212.54.40.25
set interface trust dhcp server option dns2 212.54.35.25
set interface trust dhcp server ip 192.168.1.100 to 192.168.1.150
unset interface trust dhcp server config next-server-ip
unset interface trust dhcp server config updatable
set interface untrust dip interface-ip incoming
set interface "untrust" mip 83.84.219.39 host 192.168.1.44 netmask 255.255.255.255 vr "trust-vr"
set flow tcp-mss
unset flow tcp-syn-check
set domain itpimp.nl

set pki authority default scep mode "auto"
set pki x509 default cert-path partial
set dns host dns1 212.54.40.25 src-interface untrust
set dns host dns2 212.54.35.25 src-interface untrust
set dns host dns3 0.0.0.0
set dns host schedule 06:28
set dns proxy
set dns proxy enable
set address "Trust" "192.168.1.44/32" 192.168.1.44 255.255.255.255
set address "Trust" "192.168.1.45/32" 192.168.1.45 255.255.255.255
set address "Untrust" "extern-ip" 83.84.219.0 255.255.254.0
set ike respond-bad-spi 1
unset ike ikeid-enumeration
unset ike dos-protection
unset ipsec access-session enable
set ipsec access-session maximum 5000
set ipsec access-session upper-threshold 0
set ipsec access-session lower-threshold 0
set ipsec access-session dead-p2-sa-timeout 0
unset ipsec access-session log-error
unset ipsec access-session info-exch-connected
unset ipsec access-session use-error-log
set av profile "scan-mgr"
set ftp scan-mode  scan-all
set ftp decompress-layer  2
set http scan-mode  scan-all
set imap scan-mode  scan-all
set imap decompress-layer  2
set pop3 scan-mode  scan-all
set pop3 decompress-layer  2
set smtp scan-mode  scan-all
set smtp decompress-layer  2
exit
set url protocol websense
exit
set anti-spam profile ns-profile
 set sbl default-server enable
exit
set policy id 8 name "Bacula" from "Untrust" to "Trust"  "Any" "MIP(83.84.219.39)" "bacula-sd" nat dst ip 192.168.1.45 permit
set policy id 8 application "IGNORE"
set policy id 8
exit
set policy id 7 from "Untrust" to "Trust"  "extern-ip" "MIP(83.84.219.39)" "bacula-sd" nat src permit
set policy id 7
exit
set policy id 2 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit
set policy id 2
exit
set policy id 1 from "Trust" to "Untrust"  "Any" "Any" "ANY" permit
set policy id 1
exit
set policy id 3 name "HTTP forward" from "Untrust" to "Trust"  "Any" "MIP(83.84.219.39)" "HTTP" nat src dst ip 192.168.1.44 permit
set policy id 3 application "HTTP"
set policy id 3
exit
set policy id 4 name "SSH forward" from "Untrust" to "Trust"  "Any" "MIP(83.84.219.39)" "SSH" nat dst ip 192.168.1.44 permit
set policy id 4 application "IGNORE"
set policy id 4
exit
set nsmgmt bulkcli reboot-timeout 60
set ssh version v2
set ssh enable
set scp enable
set config lock timeout 5
set ntp server "194.109.64.200"
set ntp server backup1 "0.0.0.0"
set ntp server backup2 "0.0.0.0"
set modem speed 115200
set modem retry 3
set modem interval 10
set modem idle-time 10
set snmp port listen 161
set snmp port trap 162
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
unset add-default-route
exit
set vrouter "untrust-vr"
exit
set vrouter "trust-vr"
exit

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

dinsdag 31 mei 2011 00:51

Acties:
  • 0Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-05 13:21

Kabouterplop01

chown -R me base:all

ja ik had de SSH portforward gecloned. Ik dacht dat moet werken :D, helaas ik zal eens aan een collega vragen hoe dit nou precies werkt, die heeft wat meer verstand van Screenos.
Kijk eens naar deze link!

http://www.howtonetworking.com/Routers/ssgportforward0.htm

[Voor 20% gewijzigd door Kabouterplop01 op 31-05-2011 00:55]

dinsdag 31 mei 2011 08:35

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Ik had zoiets dus ook al geprobeerd, maar wel even goed bedankt voor je hulp :).
Als die collega het weet ben ik uiteraard wel extra blij.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

donderdag 2 juni 2011 15:36

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Bumpje, laatste hoop :P.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

donderdag 2 juni 2011 22:37

Acties:
  • 0Henk 'm!
  • LordMorgoth
  • Registratie: April 2003
  • Niet online

LordMorgoth

Valar Morghulis!

Boudewijn schreef op dinsdag 24 mei 2011 @ 01:16:

Waarbij ik bij objects, services, custom een nieuw protocol heb gemaakt:

bacula-sd TCP src port: 9102-9103, dst port: 9102-9103 30
Klopt niet. Je source port range moet 0-65535 zijn.

Valar Morghulis! All men must die -- Jaqen H'ghar

donderdag 2 juni 2011 22:48

Acties:
  • 0Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-05 13:21

Kabouterplop01

chown -R me base:all

yep dat zag ik ook alleen ik zag niet hoe je dat moest doen in de cli, in de gui echter lijkt het toch echt een portforward .... En van die collega word ik ook niet echt veel wijzer.

[Voor 46% gewijzigd door Kabouterplop01 op 02-06-2011 22:50]

zaterdag 4 juni 2011 01:25

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Ik heb nu in de UI staan:
code:
1

TCP src port: 0-65535, dst port: 9103-9103

Voor bacula-sd.

Werkt verder nog steeds niet. Crap zeg!.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

zaterdag 4 juni 2011 10:16

Acties:
  • 0Henk 'm!
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 29-05 13:21

Kabouterplop01

chown -R me base:all

volgens mij zijn de sourceports alle ports boven 1024.

anyway, ik weet niet of je echt een portmap doet, of dat je een permit geeft van alle porten bocen de 1024> bacula-sd dest.

Overigens voor die 2 andere dingen die in de policy staan is er hlemaal niets gedefinieerd.
http niet en ssh niet.

misschien is die bakula-sd service overbodig? Of zijn die http en ssh predefined?

[Voor 90% gewijzigd door Kabouterplop01 op 04-06-2011 10:22]

zaterdag 4 juni 2011 11:06

Acties:
  • 0Henk 'm!
  • DiedX
  • Registratie: December 2000
  • Laatst online: 08:35

DiedX

Boudewijn, de SSG had ook een webinterface? Is het een idee om die remote eens te openen?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

zaterdag 4 juni 2011 11:37

Acties:
  • 0Henk 'm!
  • LordMorgoth
  • Registratie: April 2003
  • Niet online

LordMorgoth

Valar Morghulis!

Doe anders eens een get log traffic in de cli

Valar Morghulis! All men must die -- Jaqen H'ghar

zaterdag 4 juni 2011 13:29

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
woops dubbel excuses.

[Voor 98% gewijzigd door Boudewijn op 04-06-2011 13:30]

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

zaterdag 4 juni 2011 13:30

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Kabouterplop01 schreef op zaterdag 04 juni 2011 @ 10:16:
misschien is die bakula-sd service overbodig? Of zijn die http en ssh predefined?
Die zijn idd predefined, en bacula niet. er zitten aardig wat predefined dingen in trouwens.
DiedX schreef op zaterdag 04 juni 2011 @ 11:06:
Boudewijn, de SSG had ook een webinterface? Is het een idee om die remote eens te openen?
Bedoel je daarmee hem naar het internet open gooien?
LordMorgoth schreef op zaterdag 04 juni 2011 @ 11:37:
Doe anders eens een get log traffic in de cli
Nice 8) :

code:
1
2
3
4
5
6
7
8
9
10
11

ns5gt-> get log traffic
PID 8, from Untrust to Trust, src Any, dst MIP(83.84.219.39), service bacula-sd, action Permit
==================================================================================
Date       Time       Duration Source IP        Port Destination IP   Port Service
Reason                         Xlated Src IP    Port Xlated Dst IP    Port ID
==================================================================================
2011-06-04 12:29:00    0:00:02 82.94.165.218   44982 83.84.219.39     9103 TCP PORT 9103
Close - AGE OUT                82.94.165.218   44982 192.168.1.44     9103
2011-06-04 12:28:58    0:00:00 82.94.165.218   44982 83.84.219.39     9103 TCP PORT 9103
Creation                       82.94.165.218   44982 192.168.1.44     9103
Total entries matched = 2



Telnetten werkt lokaal prima. Maar ik telnet ook vanaf remote. Zou het daarin zitten?
blackbox:~# telnet 192.168.1.45 9103
Trying 192.168.1.45...
Connected to 192.168.1.45.
Escape character is '^]'.
^]
telnet> Connection closed.
blackbox:~#

Dit werkt dus prima :).

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

zaterdag 4 juni 2011 13:43

Acties:
  • 0Henk 'm!
  • Peerke
  • Registratie: Februari 2000
  • Niet online

Peerke

Connection reset by Peerke

Een MIP is Mapped IP, dan ga je 1-op-1 een binding maken tussen IP-adres - IP-adres.
Als je dat niet wilt, maar poort-gebaseerd dat wilt doen (dat wil je, volgens mij?), dan heb je IPV een MIP een VIP nodig. Dan kan je het volgende maken:
a.b.c.d , poort p en q moeten naar e.f.g.h poort p en q
a.b.c.d , poort r moet naar i.j.k.l poort r

Zo lang je een lease via DHCP krijgt, verandert het adres automatisch mee wanneer je een nieuwe lease krijgt.. Maar als jij hem statisch geconfigureerd hebt in je netscreen, dan zal je het zelf aan moeten passen elke keer..

Verder kan je niet poorten 21, 22, 80 en 443 gebruiken, omdat je maar 1 IP extern hebt en manageable aan hebt staan op je externe interface.. (ik ga er vanuit dat je telnet, ssh, web en https aan hebt staan omdat ik ook 'redirect' zie (http -> https). Je kan de poorten voor management wel wijzigen, als je er extern alsnog bij wilt kunnen.. Deze poorten gaan altijd boven evt. MIP's en VIP's. Dit kan door in CLI het volgende te typen:

set admin telnet port 1021
set admin ssh port 1022
set ssl port 1043
set admin port 1080

Waar de cijfers dus het poortnummer zijn voor die service.

Als je alles omzet van MIP naar VIP, zal je eerst de policies moeten verwijderen, MIP weghalen, VIP aanmaken, policies opnieuw aanmaken.. Want een VIP aanmaken is niet genoeg, er moet ook een policy zijn die dat verkeer toelaat.

Als je een policy maakt voor Bacula met je port-set , dat allowed, zou het allemaal moeten gaan werken... En anders kan je altijd nog een ddebug-filter zetten en kijken hoe de Netscreen elk pakketje afhandelt en waar het precies mis gaat.

Ik hoop dat ik een beetje duidelijk ben :)

Peerke in action >:)
Modjes in action !!

"Met drank maak je weer lief wat kapot is"
-- © 2

zaterdag 4 juni 2011 13:49

Acties:
  • 0Henk 'm!
  • Peerke
  • Registratie: Februari 2000
  • Niet online

Peerke

Connection reset by Peerke

En hier kan je het complete handboek downloaden van ScreenOS 5.4 (gok dat je die hebt draaien) :

http://www.juniper.net/te.../screenos5.4.0/ce_all.pdf

Heb je 2500 bladzijdes leesplezier ;) Waar jij specifiek naar op zoek bent, vind je in Volume 8.

Peerke in action >:)
Modjes in action !!

"Met drank maak je weer lief wat kapot is"
-- © 2

zaterdag 4 juni 2011 14:16

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Peerke schreef op zaterdag 04 juni 2011 @ 13:43:
Verder kan je niet poorten 21, 22, 80 en 443 gebruiken, omdat je maar 1 IP extern hebt en manageable aan hebt staan op je externe interface.. (ik ga er vanuit dat je telnet, ssh, web en https aan hebt staan omdat ik ook 'redirect' zie (http -> https). Je kan de poorten voor management wel wijzigen, als je er extern alsnog bij wilt kunnen.. Deze poorten gaan altijd boven evt. MIP's en VIP's. Dit kan door in CLI het volgende te typen:
Ik zal eens kijken hoe dat te doen.


ssh etc is er wel maar is allemaal doorgeforward naar een andere machine in mijn netwerk. extern is dat modem niet beschikbaar, domweg omdat ik geen zin heb in hacks ;).

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

donderdag 30 juni 2011 23:15

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Hmmmz ik heb met wat moeite de MIP eruit gegooid en de VIP erin :).

Nadeel is dat ik nu poort 80 en 22 niet kan gebruiken. Is daar nog wat aan te doen? Ik wil met name 22 graag naar mijn thuisserver laten NATen , en als ik bij de router wil gebruik ik die wel als jumpbox naar het lokale IP adres van de router.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

vrijdag 1 juli 2011 08:10

Acties:
  • 0Henk 'm!
  • Wceend
  • Registratie: Oktober 2000
  • Laatst online: 26-05 08:49

Wceend

Boudewijn schreef op donderdag 30 juni 2011 @ 23:15:
Hmmmz ik heb met wat moeite de MIP eruit gegooid en de VIP erin :).

Nadeel is dat ik nu poort 80 en 22 niet kan gebruiken. Is daar nog wat aan te doen? Ik wil met name 22 graag naar mijn thuisserver laten NATen , en als ik bij de router wil gebruik ik die wel als jumpbox naar het lokale IP adres van de router.
als je op poort 80 de GUI van je Netscreen hebt kun je die niet gebruiken ja. Die poort kun je natuurlijk wel weer wijzigen zodat 80 wel beschikbaar is.
Hetzelfde geld voor poort 22. Maar ik denk dat je SSH sowieso altijd over andere poorten dan 22 binnen wilt laten komen.

vrijdag 1 juli 2011 08:23

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
Waarom zou ik ssh niet op 22 willen? Ivm portknocking van scriptkoters? :D
* Boudewijn spaart stoute IP adresjes ;).


Buiten dat: ik vind het raar omdat ik poort 80 + 22 aan de buitenzijde niet gebruik dus ik snap heel eerlijk gezegd niet waarom ik die niet alsnog kan gebruiken. Eventueel gebruik van 80 en 22 naar de netscreen toe zou van binnenuit (!) geschieden.

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

vrijdag 1 juli 2011 10:09

Acties:
  • 0Henk 'm!
  • Wceend
  • Registratie: Oktober 2000
  • Laatst online: 26-05 08:49

Wceend

Boudewijn schreef op vrijdag 01 juli 2011 @ 08:23:
Waarom zou ik ssh niet op 22 willen? Ivm portknocking van scriptkoters? :D
* Boudewijn spaart stoute IP adresjes ;).


Buiten dat: ik vind het raar omdat ik poort 80 + 22 aan de buitenzijde niet gebruik dus ik snap heel eerlijk gezegd niet waarom ik die niet alsnog kan gebruiken. Eventueel gebruik van 80 en 22 naar de netscreen toe zou van binnenuit (!) geschieden.
Heb je management en ssh echt uit staan dan op het outside ip?
Ik kan hier gewoon een vip op poort 80 en 22 aanmaken zolang ik ze maar niet gebruik als management poorten.

vrijdag 1 juli 2011 22:07

Acties:
  • 0Henk 'm!
  • Boudewijn
  • Registratie: Februari 2004
  • Niet online

Boudewijn

omdat het kan

Topicstarter
True maar ik zie niet echt waar ik ze uit kan zetten. Ik heb er niet bewust voor gekozen ze aan te zetten, en zou dan ook verwachten dat het niet naar buiten toe open staat... en ik dus die poorten voor mijn doeleinden kan gebruiken (los van secure by default...).

Ik ben verslaafd aan koken. Volg me op https://www.kookjunk.nl

zondag 3 juli 2011 13:29

Acties:
  • 0Henk 'm!
  • Wceend
  • Registratie: Oktober 2000
  • Laatst online: 26-05 08:49

Wceend

Boudewijn schreef op vrijdag 01 juli 2011 @ 22:07:
True maar ik zie niet echt waar ik ze uit kan zetten. Ik heb er niet bewust voor gekozen ze aan te zetten, en zou dan ook verwachten dat het niet naar buiten toe open staat... en ik dus die poorten voor mijn doeleinden kan gebruiken (los van secure by default...).
onder network interfaces kun je de poorten aan en uit zetten voor buitenaf.
en onder configuration admin kun je de poorten wijzigen.
Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee