всем доброго дня...
мучаюсь уже неделю с одной проблемой:
- есть 2 одинаковых дэвайса Juniper NetScreen SSG5
- 1-й - ip-192.168.0.250/24 (net 192.168.0.0/24)
- 2-й - ip-10.178.24.3/24 (net 10.178.24.0/24)
- между ними построен VPN (AutoKey IKE)
- прописаны роуты
проблема в том, что со стороны 10.178.24.0/24 я вижу (ping, trace-route) всю сеть 192.168.0.0/24, а со стороны 192.168.0.0/24 - вижу только железку 10.178.24.3 - дальше неё не ходитподскажите куда копнуть ?
P.S. если нужны куски конфигов - выложу
был ещё вариант - VPN был поднят на Policy-Based и тогда сеть 10.178.24.0/24 видна, но есть один момент, что мне с сети 192.168.0.0/24 нужно в этот же тунель заворачивать трафик на сеть 172.30.22.0/24тоесть 192.168.0.x -> 192.168.0.250 -> 10.178.24.3 -> 10.178.24.1 -> 172.30.22.0/24
- 192.168.0.x - любой комп из подсети
- 192.168.0.250 - локальный джунипер
- 10.178.24.3 - удаленный джунипер
- 10.178.24.1 - это циска, на которой уже настроен роут на сеть 172.30.22.0/24
- 172.30.22.0/24 - конечная точка
>[оверквотинг удален]
>10.178.24.0/24 видна, но есть один момент, что мне с сети 192.168.0.0/24
>нужно в этот же тунель заворачивать трафик на сеть 172.30.22.0/24
>
>тоесть 192.168.0.x -> 192.168.0.250 -> 10.178.24.3 -> 10.178.24.1 -> 172.30.22.0/24
> - 192.168.0.x - любой комп из подсети
> - 192.168.0.250 - локальный джунипер
> - 10.178.24.3 - удаленный джунипер
> - 10.178.24.1 - это циска, на которой уже настроен роут на
>сеть 172.30.22.0/24
> - 172.30.22.0/24 - конечная точкаОй. На kb.juniper.net очень много всего полезного. Я делал site-to-site vpn на ssg5 полгода назад. Делал по документации. Все завелось с первого раза.
>Ой. На kb.juniper.net очень много всего полезного. Я делал site-to-site vpn на
>ssg5 полгода назад. Делал по документации. Все завелось с первого раза.
>да я уже гору мануалов перечитал за это время - поднимал тунель разными способами...
самый хороший эффект был от Policy-Based VPN, но, как я писАл выше, не знаю, как PBR-ом завернуть в тунель трафик для 172.30.22.0/24