Eine Frage zu Juniper Netscreen Appliances

[blub4747]

Hi Forum,

Hat hier schon jemand mal einer NS5GT gearbeitet?

Zur Zeit hat meine NS ein Trustet Interface mit statischer IP und Nutrustet Interface mit DHCP Client und hängt an meinen großen Router nach draußen.

Übrig bleiben die Interfaces 1-3 welche ich entweder als Nutrustet als erweiterter Switch verwenden wollte, da mir an den andern Switch die Ports ausgehen. Oder Vielleicht einen weiteren DHCP Pool zu fahren in den ich per VPN meine Raspberry's laufen lasse.

Zusammen gefaßt, welche Kommandos muss ich bitte verwenden die uebrigen Interfaces 1-3 in meine Konfiguration einzubinden?

Thx,blub474

 

[d2boxSteve]

Die Firewall hat keinen Switch, das geht nicht. Du kannst keine 2 Interfaces ins selbe Netz hängen.
Wenn du ein zweites Interface benutzt muss es zwingend ein anderes Netzsegment sein, und ob das geroutet wird weiss ich nicht genau, nicht jede Firewall routet auch.

PS: hab ne NS5GT und eine NS50 hier rumfliegen ...

 

[blub4747]

Als erstes muß ich mal meine aussage von Anfang korrigieren
Interface 1 ist das Statische Ohne DHCP Server.

Und Idee mit den Switch sehe ich mal als neben Sache an.
Allerdings versuche ich immer noch zu verstehen wieso die Physischen Interfaces 2-4 nicht in WebGui erscheinen und auch nicht ansprechbar sind.

 

[hash2k2]

versuch es mal über die CLI mit ethernet0/2 - ethernet0/4
Interface 1 ist das untrustet an dem dein ISP Router hängt, oder?

 

[d2boxSteve]

öhm, im WebGui müssen die aber auftauchen ... ich könnt heut Nachmittag die Kiste mal aus der Grabbelkiste holen und anwerfen falls Bedarf besteht.

 

[blub4747]

Das angebot deine NS ausgrauben ist nicht schlecht.
Wenn sich diese Geschichte 'wirklich' festfaehrt waere vielleicht eine option.

Aber ich glaube sollte zu erstmal einen schritt zu rueckgehen.
Und mal eine frage hinterher schieben.
Ich habe eben per WebGui Telenet zum laufen bekommen.
Allerdings kriege ich ein Timeout SSH.

 

[d2boxSteve]

Telnet ist tcp/23 unverschlüsselt.
SSH ist tcp/22 verschlüsselt.
Die haben nix miteinander zu tun :=)
Ich geh mal zur Krabbelbox ...

 

[blub4747]

ja, der unterschied zwischen Telnet und SSH war schon klar.

Habe eben SSH zum laufen bekommen.

Bei suchen nach Info Material habe ich folgendes Document gefunden.

http://www.asiguardian.com/Docs/ns5gt_faq.pdf

Auf seite 3 davon sind mehrere Szenarien beschrieben, wie mann seine NS5Gt konfigurieren kann.
Ich frage mich welches Szenarien fuer mich am besten geeignet ist.

 

[d2boxSteve]

Im Grunde der erste Mode, ein Untrust und der Rest Trust (wobe wie gesagt jedes Interface ein anderer Adsressbereich sein muss).
Alle Trust untereinander sollten per default alles dürfen.

 

[blub4747]

Ok, Vielen Dank.

ich habe mal ein erstes get system gefahren und hier kommt der inhalt.

ns5gt-> get system
Product Name: NetScreen-NS5GT
Serial Number: 0064032005005283, Control Number: 00000000
Hardware Version: 1010(0)-(00), FPGA checksum: 00000000, VLAN1 IP (0.0.0.0)
Software Version: 6.2.0r18.0, Type: Firewall+VPN
Compiled by build_master at: Thu Sep 26 03:58:54 PDT 2013
Base Mac: 0010.dba4.61d0
File Name: ns5gt.6.2.0r18.0, Checksum: c1dac30a


Date 11/17/2016 15:05:19, Daylight Saving Time enabled
The Network Time Protocol is Enabled
Up 4 hours 54 minutes 37 seconds Since 17Nov2016:10:10:42
Total Device Resets: 6, Last Device Reset at: 12/16/2013 14:11:39

Box in trust-untrust mode

System in NAT/route mode.

Use interface IP, Config Port: 80
Manager IP enforced: False
Manager IPs: 0

Address Mask Vsys
---------------------------------------- ---------------------------------------- --------------------
User Name: netscreen

Interface trust:
description trust
number 2, if_info 176, if_index 0, mode nat
link up, phy-link up/full-duplex
status change:5, last change:11/17/2016 14:48:08
vsys Root, zone Trust, vr trust-vr
dhcp client disabled
PPPoE disabled
admin mtu 0, operating mtu 1500, default mtu 1500
*ip 192.168.1.1/24 mac 0010.dba4.61d2
*manage ip 192.168.1.1, mac 0010.dba4.61d2
route-deny disable
bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
Interface untrust:
description untrust
number 1, if_info 88, if_index 0, mode route
link up, phy-link up/full-duplex
status change:1, last change:11/17/2016 10:10:04
vsys Root, zone Untrust, vr trust-vr
dhcp client enabled
PPPoE disabled
admin mtu 0, operating mtu 1500, default mtu 1500
*ip 192.168.178.57/24 mac 0010.dba4.61d1
gateway 192.168.178.1
*manage ip 192.168.178.57, mac 0010.dba4.61d1
route-deny disable
bandwidth: physical 100000kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps
Interface serial:
description serial
number 6, if_info 528, if_index 0
link down, phy-link down
status change:0
vsys Root, zone Null, vr untrust-vr
admin mtu 0, operating mtu 1500, default mtu 1500
*ip 0.0.0.0/0 mac 0010.dba4.61d6
bandwidth: physical 92kbps, configured egress [gbw 0kbps mbw 0kbps]
configured ingress mbw 0kbps, current bw 0kbps
total allocated gbw 0kbps

 

[d2boxSteve]

Meine Box hab ich grad resettet, die zeigt ähnliches bei Get-System.
Hast du mit dem Wizard die Box konfiguriert? Wo gibts noch Problme?
Ich kann jetzt ja ggf. Screenshots posten.

Ergänzung (17. November 2016)

Wie genau willst du dein Netz eigentlich aufbauen?

Ergänzung (17. November 2016)

Also, in dem Mode Un-Trust-Trust scheint er doch 1-4 zusammenzufassen ... du kannst dies als Switch ansehen und verwenden.
Ich schon etwas her dass ich diese Kisten administriert habe :=)
Warn da aber dann auch größere ...

 

[blub4747]

Ich habe mit WegGui angefangen.
Und als SSH immer noch nicht lief habe ich es doch noch per Kommando Zeile zum laufen bekommen.

Allerdings wundere ich mich immer noch wieso die anderen Physischen Interfaces 2-3 nirgendwo erscheinen.

Des weiteren frage ich mich ob mann es SSH auf zwei verschiedenen ports laufen lassen kann.

Das längere Ziel wäre natürlich ein VPN auf der NS5Gt laufen zu lassen.
Und es möglich wäre den selben IP Pool von meiner Fritz Box gleich mit ein zu binden.
Allerdings weiß ich nicht ob das mir später Probleme einbringen könnte.

Ich muss noch mal hinterher fragen. Da ich mich mit der Juniper 'Sprache' nicht so gut aus kenne.
Kann mann unter Trust interface VPN interface verstehen?
Und auf diese Interfaces den DHCP von der Fritz box 'umlenken' oder weiterlaufen lassen?

 

[d2boxSteve]

1-4 sind das Interface "Trust" .... das hat im native Vlan (VLAN1 untagged) die eine IP Adresse über die der Router erreichba ist. Deshalb siehst du die darunter liegenden "Switchports" nicht.

Nein, Trust ist nur der Name der Internen Interfaceseite. VPN steht ja für Virtual Private Network und meint fast immer Verschlüsselung.
Trust ist wie deine internen 4 Anschlüsse der Fritzbox, deren Interface im VLan1 untagged, nennen wir es auch "Trust" , hat die IP 192.168.178.1 (default).

DHCP: pro Netz darf es nur einen geben, also entweder Fritz oder 5GT.

Ist nur in diesem ersten Mode so.

Ergänzung (17. November 2016)

Versuch doch mal mit Buchstaben hier im Text dein Netz mit Geräten und deren IP Adressen zu skizzieren und was du damit genau vorhast. Ich bin gleich beschäftigt, aber inner Stunde oder 2 wieder am Rechner, dann können wir gerne weitertippen.

Ergänzung (17. November 2016)

Ich geb mal ein Beispiel:

Internet --> Fritzbox (Vlan1: 192.168.178.1) --> Switch -->PC1
-->PC2
-->5GT Trust-Port1?

so in etwa.
PS Mist, er rückt net ein, die PC2 und 5GT sollten rechts bei Switch sein ...

 

[blub4747]

Ich hab mal mit Packet Tracer ein Diagram von den derzeitigen NW status Quo versucht aufzuzeichen.

 

[d2boxSteve]

Ok, dann hat die 5GT wan-seitig eine 192.168.178.x aus dem Pool der Fritz. Ich empfehle jedoch eine feste IP weil du von der Fritz zum PI eine Route brauchst, sonst findet der Internettraffic nicht zurück zu den PI's.

Beispiel: gib der 5gt die 192.168.178.2 (Gateway logischerweise 192.168.178.1)
statische IPv4 Route auf Fritz: 192.168.1.0 255.255.255.0 --> Gateway 192.168.178.2

Dann sollte alles gehen.

Wenn du für die PI's DHCP willst bleibt nur ein DHCP Server auf der 5GT für das Netz 192.168.1.0/24.
Damit sind ja in 2 Netzen jeweils 1 DHCP die sich nicht stören.
Du kannst vom linken PC halt nur nicht auf die PI's zugreifen, außer du machst eine Firewallregel von Untrust nach Trust in dem du dies freigibst.

Noch Fragen?

 

[blub4747]

Ok, dann hat die 5GT wan-seitig eine 192.168.178.x aus dem Pool der Fritz. Ich empfehle jedoch eine feste IP weil du von der Fritz zum PI eine Route brauchst, sonst findet der Internettraffic nicht zurück zu den PI's.

Die 5GT kriegt von ihre IP von der Fritz auf den Un-trustet Interface.
Ausserdem habe ich in der Fritz box den schalter gesetzt, so das die 5GT immer die gleiche IP bekommt.

Beispiel: gib der 5gt die 192.168.178.2 (Gateway logischerweise 192.168.178.1)
192.168.178.1 Erscheint in der Routing Table.
statische IPv4 Route auf Fritz: 192.168.1.0 255.255.255.0 --> Gateway 192.168.178.2
Routen sind eingetragen

Dann sollte alles gehen.

Wenn du für die PI's DHCP willst bleibt nur ein DHCP Server auf der 5GT für das Netz 192.168.1.0/24.
Damit sind ja in 2 Netzen jeweils 1 DHCP die sich nicht stören.
Du kannst vom linken PC halt nur nicht auf die PI's zugreifen, außer du machst eine Firewallregel von Untrust nach Trust in dem du dies freigibst.

Noch Fragen?

Ich werde wohl in den naechsten Tagen mal einen Pi mal unter die Trusted Interfaces haengen und mal unter die Un-Trusted. Um mal zu sehen, wie ich von dort aus weiter mache.