Топология наипростейшая: есть центральный офис, в нем стоит SSG140 который (привожу естесно только часть конфига имеющую отношение к вопросу)
set zone "Trust" vrouter "trust-vr"
set zone "Untrust" vrouter "trust-vr"
set interface "ethernet0/0" zone "Trust"
set interface "ethernet0/2" zone "Untrust"
set interface "ethernet0/3" zone "Trust"
set interface ethernet0/0 ip 192.168.1.1/24
set interface ethernet0/0 nat
set interface ethernet0/2 ip х.х.х.х/хх
set interface ethernet0/2 route
set interface ethernet0/3 ip 192.168.7.1/24
set interface ethernet0/3 natдалее с 3-го интерфейса идет прямой линк (своя оптика) на свич удаленного офиса где у машин адреса соответственно 192.168.7.0/24 и гейтвей 7.1 Наружу они ходят соответственно через центр и все мы дружно живем в одной зоне.
Теперь появилась необходимость заворачивать весь трафик между центром и этим офисом в ipsec, кабель то свой но мало-ли... Терминировать тунель с той стороны планируется джуниперовским же SRX100, он уже физически есть но до меня пока не доехал.
Все просто до безобразия, казалось бы, но покурив мануалы на ожидаемый срх и на существующий ссг, я так понял что в этой простоте проблема то и кроется. Разносить центр и этот офис по разным зонам категорически не хочется, значит policy based и transparent mode VPN разу отпадают, потому как intrazone policy ВПН не поддерживают, да и SRXы похоже транспарент поддерживают только старшие модели. Кроме того совершенно не хочется городить дополнительных сетей и vr-ов, задача то простая совсем.
Делать на ССГ ethernet0/3 unnumbered и привязывать к нему тунельный интерфейс не подходит потому что ethernet0/3 должен быть nat, если оставить на нем адрес то куда деть дефолтные роуты которые железка сама прописывает. Да и как строить SRX на том конце не очень ясно. Вобщем всю голову уже сломал как бы это попроще сделать... Подскажите, может кто сталкивался уже с такой задачей, конфигов готовых писать не прошу, сам напишу, просто логику процесса бы понять. Спасибо))
Вариант для распечатки
(??) on 07-Дек-10, 19:21 
