SRX210 interface probleem

Beste Tweakers,

Ik heb een probleem bij het configuren van een juniper junos (version 12.1R4.7) Firewall
ik zou hem willen configuren als volgt:
1 Static ip instellen - externe interface voor de servers
1 Dynamic ip instellen- externe interface voor de clients
2 external interface : interface ge-0/0/0.0 - Static IP
interface ge-0/0/1.0 -Dynamic IP
3 Trust interface: Server Gateway interface fe-0/0/2.0
Client-Gateway interface fe-0/0/3.0
2de Client-Gateway interface fe- 0/0/4.0
nu om terug te komen op mijn probleem:

Als interface ge-0/0/0.0 online komt kan je deze extern pingen dit voorloopt allemaal vlot tot interface ge-0/0/1.0 online komt dan valt interface ge-0/0/0.0 weg permant of tijdelijk weg en komt hij weer online.Als interface ge-0/0/0.0 permant weg valt komt interface ge-0/0/1.0 online en kun je hem extern pingen. nu als ik de kabel die in interface ge-0/0/0.0 inzit uittrek en weer insteek komt interface ge-0/0/0.0 online maar dan valt ge-0/0/1.0 uit.

ik heb mij al dood gezocht op google om dit probleem op te lossen maar ik vind momenteel geen oplossing ik hoop dat iemand van de tweakers mij kan helpen.

mijn configuratie:
## Last changed: 2012-12-11 16:53:02 CET
version 12.1R4.7;
system {
host-name FW-01;
time-zone Europe/Brussels;
root-authentication {
encrypted-password "wachtwoord-encrypted.";
}
name-server {
208.67.222.222;
208.67.220.220;
}
services {
ssh;
telnet;
xnm-clear-text;
web-management {
http {
interface fe-0/0/2.0;
}
https {
system-generated-certificate;
interface fe-0/0/2.0;
}
}
dhcp {
router {
192.168.1.1;
}
pool 192.168.1.0/24 {
address-range low 192.168.1.2 high 192.168.1.254;
}
propagate-settings ge-0/0/0.0;
}
}
syslog {
archive size 100k files 3;
user * {
any emergency;
}
file messages {
any critical;
authorization info;
}
file interactive-commands {
interactive-commands error;
}
}
max-configurations-on-flash 5;
max-configuration-rollbacks 5;
license {
autoupdate {
url https://ae1.juniper.net/junos/key_retrieval;
}
}
ntp {
server 149.6.134.38;
}
}
interfaces {
ge-0/0/0 {
unit 0 {
family inet {
dhcp;
}
}
}
ge-0/0/1 {
unit 0 {
family inet {
dhcp;
}
}
}
fe-0/0/2 {
unit 0 {
family inet {
address 10.100.50.1/24;
}
}
}
fe-0/0/3 {
unit 0 {
family inet {
address 10.100.51.1/24;
}
}
}
fe-0/0/4 {
unit 0 {
family inet {
address 10.100.64.1/21;
}
}
}
fe-0/0/5 {
unit 0 {
family ethernet-switching;
}
}
fe-0/0/6 {
unit 0 {
family ethernet-switching;
}
}
fe-0/0/7 {
unit 0 {
family ethernet-switching;
}
}
}
protocols {
stp;
}
security {
screen {
ids-option untrust-screen {
icmp {
ping-death;
}
ip {
source-route-option;
tear-drop;
}
tcp {
syn-flood {
alarm-threshold 1024;
attack-threshold 200;
source-threshold 1024;
destination-threshold 2048;
timeout 20;
}
land;
}
}
}
nat {
source {
rule-set Source-NAT-Servers {
from zone Server-Zone;
to zone Static-IP;
rule Rule-Server-NAT {
match {
source-address 10.100.50.0/24;
}
then {
source-nat {
interface;
}
}
}
}
rule-set Source-NAT-Clients-1 {
from zone Clients-1;
to zone Dynamic-IP;
rule Rule-Clients-1 {
match {
source-address 10.100.51.0/24;
}
then {
source-nat {
interface;
}
}
}
}
rule-set Source-NAT-2 {
from zone Clients-2;
to zone Dynamic-IP;
rule Rule-2{
match {
source-address 10.100.64.0/21;
}
then {
source-nat {
interface;
}
}
}
}
}
}
policies {
from-zone Server-Zone to-zone Static-IP {
policy Permit-DNS {
match {
source-address [ DC01 DC02 ];
destination-address any;
application [ junos-dns-udp junos-dns-tcp ];
}
then {
permit;
log {
session-close;
}
}
}
policy Permit-Servers {
match {
source-address any;
destination-address any;
application [ junos-ftp junos-http junos-https junos-pop3 junos-smtp junos-ping ];
}
then {
permit;
log {
session-close;
}
}
}
policy Any-Denied-Servers {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
log {
session-close;
}
}
}
}
from-zone Clients1 to-zone Dynamic-IP {
policy Permit-Clients1 {
match {
source-address any;
destination-address any;
application [ junos-ftp junos-http junos-https junos-pop3 junos-smtp junos-ping ];
}
then {
permit;
log {
session-close;
}
}
}
policy Andy-Deny-Clients-1 {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
log {
session-close;
}
}
}
}
from-zone Clients-2 to-zone Dynamic-IP {
policy Permit-Clients-2 {
match {
source-address any;
destination-address any;
application [ junos-ftp junos-http junos-https junos-pop3 junos-smtp junos-ping ];
}
then {
permit;
log {
session-close;
}
}
}
policy Andy-Deny-Clients-2 {
match {
source-address any;
destination-address any;
application any;
}
then {
deny;
log {
session-close;
}
}
}
}
}
zones {
security-zone Server-Zone {
address-book {
address DC01 10.100.50.10/32;
address DC02 10.100.50.11/32;
address sql01 10.100.50.12/32;
address Exc01 10.100.50.13/32;
address file01 10.100.50.14/32;
address SC2012 10.100.50.15/32;
address SCCM01 10.100.50.16/32;
address SCVMM01 10.100.50.17/32;
address WEB01 10.100.50.18/32;
address SVRNL01 10.100.50.19/32;
address Hyperv01 10.100.50.5/32;
address Hyperv02 10.100.50.6/32;
}
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/2.0;
}
}
security-zone Clients-1 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/3.0;
}
}
security-zone Static-IP {
screen untrust-screen;
interfaces {
ge-0/0/0.0 {
host-inbound-traffic {
system-services {
dhcp;
ping;
}
}
}
}
}
security-zone Dynamic-IP {
screen untrust-screen;
interfaces {
ge-0/0/1.0 {
host-inbound-traffic {
system-services {
dhcp;
ping;
}
}
}
}
}
security-zone Clients-2 {
host-inbound-traffic {
system-services {
all;
}
protocols {
all;
}
}
interfaces {
fe-0/0/4.0;
}
}
}
}
applications {
application sql-1433 {
protocol tcp;
destination-port 1433;
}
application sql-1434 {
protocol udp;
destination-port 1434;
}
application rpc-135 {
protocol tcp;
destination-port 135;
}
application netbios-137 {
protocol tcp;
destination-port 137;
}
application samba-138 {
protocol tcp;
destination-port 138;
}
application netbios-139 {
protocol tcp;
destination-port 139;
}
application netbios-445 {
protocol tcp;
destination-port 445;
}
application rpc-135-udp {
protocol udp;
destination-port 135;
}
application netbios-137-udp {
protocol udp;
destination-port 137;
}
application samba-138-udp {
protocol udp;
destination-port 138;
}
application netbios-139-udp {
protocol udp;
destination-port 139;
}
application netbios-445-udp {
protocol udp;
destination-port 445;
}
application rpcoverhttp-593-udp {
protocol udp;
destination-port 593;
}
application tftp-69 {
protocol udp;
destination-port 69;
}
application rdp-3389 {
protocol tcp;
destination-port 3389;
}
application pptp-1723 {
protocol tcp;
destination-port 1723;
}
}

hopelijk graak je er wijs uit

FatalError schreef op dinsdag 11 december 2012 @ 19:00:
[...]


Wat bedoel je met 'uitvallen' ? Admin down en/of link down?


[...]


Hier zeg je dat ge-0/0/0.0 een statisch ip heeft.. in jouw configuratie haal je echter via dhcp een IP op.

Ik denk dat er iets mis gaat omdat je voor beide interfaces via DHCP een gateway adres meekrijgt en er maar 1 default gateway actief kan zijn. Misschien moet je hier iets met policy based routing gaan doen, of een bepaalde manier van failover. Wat wil je precies bereiken met 2 internet interfaces?

Beste wij werken met telenet en telenet deelt zijn vast ip uit met dhcp reservetion base on mac-address.

wat ik wil bereiken met 2 verschillende internet verbinding is dat ik mijn vast ip alleen wil gebruiken voor de servers en mijn clients op het dynamic ip adress.beveiling ook tegen spam zodat ik niet op de blacklist kom.

CyBeR schreef op dinsdag 11 december 2012 @ 19:10:
Daarvoor heb je twee routing instances nodig; je hebt nu op twee interfaces een default gateway wat maakt dat de een werkt maar de ander (waarvan de default pleite is geraakt) niet meer.

Met meerdere routing instances kun je dat uit elkaar trekken.

Kan je een configuratie voorbeeld geven

Als ik dit wil configuren met het voorbeeld
set routing-instances blue-vr instance-type virtual-router
krijg ik syntax error iemand een idee hoe ik dit nog kan configuren

FatalError schreef op woensdag 12 december 2012 @ 16:10:
Wat is je foutmelding? Bij mij gaat het prima (ik draai dezelfde junos als jij, ook op een srx210)

code:

1 2 3 4 5 6 7 8 9 10

onno@router# show |compare [edit] + routing-instances { + blue-vr { + instance-type virtual-router; + } + } [edit]router# commit commit complete

set:Syntax Error.
kun je dit niet configuren via de web gui

klein detail dank u

nu heb ik nog een vraag hoe configureer ik die virtual router want ik vindt dus niet terug in de web gui van virtual router of moet ik dit doen allemaal via de CLI editor

heeft iemand een config voorbeeld in CLI ?

ik heb het KB Article doorgenomen nu mijn probleem met de interface is nog niet opgelost ik kraag er niet meer aan uit! ik heb ook al gezocht op google achter oplossingen maar helaas niets gevonden. Iemand nog een idee ?