0
Juniper SSG 5 - Interfaces verlieren wiederkehrend Konnektivität zur Zone Untrust
Liebe Administratoren!
Ich stehe vor einem kleinen Rätsel und erhoffe mir Eure Hilfe und Unterstützung. Ich muss aber vorausschicken, dass ich kein Juniper Spezialist bin. Ich verfüge lediglich über etwas mehr als Grundkenntnisse.
Kurz zur Konfiguration:
- Juniper SSG 5
- Firmware Version: 6.3.0r26.0 (Firewall+VPN)
Ich habe mehrere Zonen konfiguriert und diese den jeweiligen Interfaces zugeordnet:
set zone id 100 "Zone_100"
set zone id 101 "Zone_101"
set zone id 102 "Zone_102"
set zone id 103 "Zone_103"
set zone id 104 "Zone_104"
set zone id 105 "Zone_105"
set interface "ethernet0/1" zone "Zone_104"
set interface "ethernet0/2" zone "Zone_102"
set interface "ethernet0/3" zone "Zone_105"
set interface "ethernet0/4" zone "Zone_103"
set interface "ethernet0/5" zone "Zone_101"
set interface "ethernet0/6" zone "Zone_100"
Die Internetverbindung ist über PPPoE konfiguriert:
set pppoe name "Telekom"
set pppoe name "Telekom" username "XXX@provider.de" password "XXX"
set pppoe name "Telekom" idle 0
set pppoe name "Telekom" static-ip
set pppoe name "Telekom" interface ethernet0/0
set pppoe name "Telekom" auto-connect 60
Der Netzwerkverkehr ist über mehrere Policies geregelt.
Es gibt nur die zwei klassischen Virtual Routers: trust-vr + untrust-vr
Nun zur Fehlerbeschreibung
Vorab muss angemerkt werden:
1. Die Internetverbindung läuft stabil (keine nennenswerten Unterbrechungen)
2. Zwei vorhandene VPN Tunnels laufen stabil (UP) und werden i.d.R. nicht getrennt
aber nun zum Wesentlichen:
3. Die Interfaces von ethernet0/1 bis ethernet0/6 verlieren regelmäßig (aber nur "intern") ihre Konnektivität zur Zone Untrust (Internet an ethernet0/0); die an ethernet0/1 bis ethernet0/6 angeschlossenen Geräte können nicht mehr auf das Internet zugreifen, obwohl das Internet am Interface 0/0 weiterhin verfügbar ist, die VPN Tunnel weiter "Up" sind und ein Zugriff von extern weiterhin möglich ist! Die zeitlichen Abstände scheinen unterschiedlich zu sein, vielleicht so zwischen 2 und 4 Tage, dass das immer wieder passiert. Temporäre Abhilfe lässt sich nur mit einem Reset der SSG 5 schaffen.
Es ist so, als würde hier ein Timeout greifen oder irgendein Konfigurationsmerkmal gesetzt sein, das dazu führt, dass sich die Interfaces unter bestimmten Bedingungen immer wieder disconnecten oder die Policies einen Traffic nicht mehr zulassen.
Hat hier jemand eine Idee, könnt Ihr mir hierbei helfen, das Problem zu lösen?
Vielen Dank für Eure Mithilfe im Voraus!
Ich stehe vor einem kleinen Rätsel und erhoffe mir Eure Hilfe und Unterstützung. Ich muss aber vorausschicken, dass ich kein Juniper Spezialist bin. Ich verfüge lediglich über etwas mehr als Grundkenntnisse.
Kurz zur Konfiguration:
- Juniper SSG 5
- Firmware Version: 6.3.0r26.0 (Firewall+VPN)
Ich habe mehrere Zonen konfiguriert und diese den jeweiligen Interfaces zugeordnet:
set zone id 100 "Zone_100"
set zone id 101 "Zone_101"
set zone id 102 "Zone_102"
set zone id 103 "Zone_103"
set zone id 104 "Zone_104"
set zone id 105 "Zone_105"
set interface "ethernet0/1" zone "Zone_104"
set interface "ethernet0/2" zone "Zone_102"
set interface "ethernet0/3" zone "Zone_105"
set interface "ethernet0/4" zone "Zone_103"
set interface "ethernet0/5" zone "Zone_101"
set interface "ethernet0/6" zone "Zone_100"
Die Internetverbindung ist über PPPoE konfiguriert:
set pppoe name "Telekom"
set pppoe name "Telekom" username "XXX@provider.de" password "XXX"
set pppoe name "Telekom" idle 0
set pppoe name "Telekom" static-ip
set pppoe name "Telekom" interface ethernet0/0
set pppoe name "Telekom" auto-connect 60
Der Netzwerkverkehr ist über mehrere Policies geregelt.
Es gibt nur die zwei klassischen Virtual Routers: trust-vr + untrust-vr
Nun zur Fehlerbeschreibung
Vorab muss angemerkt werden:
1. Die Internetverbindung läuft stabil (keine nennenswerten Unterbrechungen)
2. Zwei vorhandene VPN Tunnels laufen stabil (UP) und werden i.d.R. nicht getrennt
aber nun zum Wesentlichen:
3. Die Interfaces von ethernet0/1 bis ethernet0/6 verlieren regelmäßig (aber nur "intern") ihre Konnektivität zur Zone Untrust (Internet an ethernet0/0); die an ethernet0/1 bis ethernet0/6 angeschlossenen Geräte können nicht mehr auf das Internet zugreifen, obwohl das Internet am Interface 0/0 weiterhin verfügbar ist, die VPN Tunnel weiter "Up" sind und ein Zugriff von extern weiterhin möglich ist! Die zeitlichen Abstände scheinen unterschiedlich zu sein, vielleicht so zwischen 2 und 4 Tage, dass das immer wieder passiert. Temporäre Abhilfe lässt sich nur mit einem Reset der SSG 5 schaffen.
Es ist so, als würde hier ein Timeout greifen oder irgendein Konfigurationsmerkmal gesetzt sein, das dazu führt, dass sich die Interfaces unter bestimmten Bedingungen immer wieder disconnecten oder die Policies einen Traffic nicht mehr zulassen.
Hat hier jemand eine Idee, könnt Ihr mir hierbei helfen, das Problem zu lösen?
Vielen Dank für Eure Mithilfe im Voraus!
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 666293
Url: https://administrator.de/contentid/666293
Printed on: April 18, 2024 at 10:04 o'clock
