Топология наипростейшая: есть центральный офис, в нем стоит SSG140 который (привожу естесно только часть конфига имеющую отношение к вопросу)
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set interface "ethernet0/0" zone "Trust"
set interface "ethernet0/2" zone "Untrust"
set interface "ethernet0/3" zone "Trust"
set interface ethernet0/0 ip 192.168.1.1/24
set interface ethernet0/0 nat
set interface ethernet0/2 ip х.х.х.х/хх
set interface ethernet0/2 route
set interface ethernet0/3 ip 192.168.7.1/24
set interface ethernet0/3 nat

далее с 3-го интерфейса идет прямой линк (своя оптика) на свич удаленного офиса где у машин адреса соответственно 192.168.7.0/24 и гейтвей 7.1 Наружу они ходят соответственно через центр и все мы дружно живем в одной зоне.
Теперь появилась необходимость заворачивать весь трафик между центром и этим офисом в ipsec, кабель то свой но мало-ли... Терминировать тунель с той стороны планируется джуниперовским же SRX100, он уже физически есть но до меня пока не доехал.
Все просто до безобразия, казалось бы, но покурив мануалы на ожидаемый срх и на существующий ссг, я так понял что в этой простоте проблема то и кроется. Разносить центр и этот офис по разным зонам категорически не хочется, значит policy based и transparent mode VPN разу отпадают, потому как intrazone policy ВПН не поддерживают, да и SRXы похоже транспарент поддерживают только старшие модели. Кроме того совершенно не хочется городить дополнительных сетей и vr-ов, задача то простая совсем.
Делать на ССГ ethernet0/3 unnumbered и привязывать к нему тунельный интерфейс не подходит потому что ethernet0/3 должен быть nat, если оставить на нем адрес то куда деть дефолтные роуты которые железка сама прописывает. Да и как строить SRX на том конце не очень ясно. Вобщем всю голову уже сломал как бы это попроще сделать... Подскажите, может кто сталкивался уже с такой задачей, конфигов готовых писать не прошу, сам напишу, просто логику процесса бы понять. Спасибо))

• А по Juniper есть спецы? Подскажите как VPN организовать,Seva, 19:21 , 07-Дек-10
  • А по Juniper есть спецы? Подскажите как VPN организовать,qwertyu, 20:03 , 07-Дек-10
    • А по Juniper есть спецы? Подскажите как VPN организовать,Эдуард, 13:22 , 12-Дек-10

>[оверквотинг удален]
> разу отпадают, потому как intrazone policy ВПН не поддерживают, да и
> SRXы похоже транспарент поддерживают только старшие модели. Кроме того совершенно не
> хочется городить дополнительных сетей и vr-ов, задача то простая совсем.
> Делать на ССГ ethernet0/3 unnumbered и привязывать к нему тунельный интерфейс не
> подходит потому что ethernet0/3 должен быть nat, если оставить на нем
> адрес то куда деть дефолтные роуты которые железка сама прописывает. Да
> и как строить SRX на том конце не очень ясно. Вобщем
> всю голову уже сломал как бы это попроще сделать... Подскажите, может
> кто сталкивался уже с такой задачей, конфигов готовых писать не прошу,
> сам напишу, просто логику процесса бы понять. Спасибо))

здесь всё есть http://kb.juniper.net/InfoCenter/index?page=content&id=KB15745
если на другом конце cisco то используй Policy-based VPN

я это все читал и не один раз)) проблема в том что все решения предлагаемые джунипером это организация тунелей через ПУБЛИЧНЫЕ сети и соответственно через как минимум два публичных роутера с реальными IP Мне же нужно шифровать трафик в пределах одной (хотя бы на одном из устройств) trust зоны и в пределах своего собственного физического сегмента и приватного адресного пространства. И вопрос в том можно ли это сделать проще чем джуниперовские решения с несколькими зонами и роутерами. На обеих концах джуниперы, SSG140 и SRX100

А на английском эту задачу поставить сможете?
тогда напишите ask-moscow-se@juniper.net