У нас есть 3 межсетевых экрана juniper SRX-100, они настроены так:
FW1 -> FW2 -> ИНТЕРНЕТ -> FW3
Мы хотели бы создать туннель IPSEC между FW3 и FW1, проходящий через FW2, предпочтительно с использованием NAT-T. Это возможно?
FW1 и FW2 имеют некоторые строгие правила доступа, разрешающие только 1 подключенный порт (это DMZ с сервером), поэтому мы не можем просто создать vpn на основе маршрута между FW1 и FW2 для пересылки трафика (в противном случае весь трафик будет перенаправлен)
Мы знаем, что с туннелем все в порядке, потому что нам удалось протестировать его между FW1 и FW3 (без FW2 посередине), поэтому мы знаем, что проблема связана с «сквозной передачей» на FW2.
По сути, возникает вопрос: какие параметры нам нужно выбрать на FW2, чтобы он мог проходить через трафик IPSEC прямо на FW1?
Настройки по умолчанию, которые вы использовали на SRX, будут работать нормально (просто не устанавливайте no-nat-transversal, это не по умолчанию). Пока у FW3 есть общедоступный IP без привязки, VPN просто появится. Также убедитесь, что вы находитесь в агрессивном режиме, а не в основном режиме для VPN.
И, наконец, убедитесь, что у вас разрешено «ike» в host-inbound-services на ненадежной стороне FW1. У меня были некоторые проблемы, из-за которых я некоторое время почесал в затылке, что позволило бы использовать общедоступный ip <-> общедоступный ip vpn, но при подключении за NAT VPN не запускался без разрешения IKE.
если это что-то вроде SSG, вы могли бы просто создать порт вперед (возможно)
Установите пункт назначения на VIP на «грязной» стороне FW2, при этом «хостом» будет FW1, а затем просто выполните для него политику.
Я не эксперт по можжевельнику, но он должен позволить вам пройти вот так