Juniper SSG 5 - Interfaces verlieren wiederkehrend Konnektivität zur Zone Untrust

Mitglied: Juniper

Juniper (Level 1) - Jetzt verbinden

01.05.2021, aktualisiert 15:51 Uhr, 360 Aufrufe

Liebe Administratoren!

Ich stehe vor einem kleinen Rätsel und erhoffe mir Eure Hilfe und Unterstützung. Ich muss aber vorausschicken, dass ich kein Juniper Spezialist bin. Ich verfüge lediglich über etwas mehr als Grundkenntnisse.

Kurz zur Konfiguration:
- Juniper SSG 5
- Firmware Version: 6.3.0r26.0 (Firewall+VPN)

Ich habe mehrere Zonen konfiguriert und diese den jeweiligen Interfaces zugeordnet:

set zone id 100 "Zone_100"
set zone id 101 "Zone_101"
set zone id 102 "Zone_102"
set zone id 103 "Zone_103"
set zone id 104 "Zone_104"
set zone id 105 "Zone_105"

set interface "ethernet0/1" zone "Zone_104"
set interface "ethernet0/2" zone "Zone_102"
set interface "ethernet0/3" zone "Zone_105"
set interface "ethernet0/4" zone "Zone_103"
set interface "ethernet0/5" zone "Zone_101"
set interface "ethernet0/6" zone "Zone_100"

Die Internetverbindung ist über PPPoE konfiguriert:
set pppoe name "Telekom"
set pppoe name "Telekom" username "XXX@provider.de" password "XXX"
set pppoe name "Telekom" idle 0
set pppoe name "Telekom" static-ip
set pppoe name "Telekom" interface ethernet0/0
set pppoe name "Telekom" auto-connect 60

Der Netzwerkverkehr ist über mehrere Policies geregelt.

Es gibt nur die zwei klassischen Virtual Routers: trust-vr + untrust-vr

Nun zur Fehlerbeschreibung

Vorab muss angemerkt werden:
1. Die Internetverbindung läuft stabil (keine nennenswerten Unterbrechungen)
2. Zwei vorhandene VPN Tunnels laufen stabil (UP) und werden i.d.R. nicht getrennt

aber nun zum Wesentlichen:

3. Die Interfaces von ethernet0/1 bis ethernet0/6 verlieren regelmäßig (aber nur "intern") ihre Konnektivität zur Zone Untrust (Internet an ethernet0/0); die an ethernet0/1 bis ethernet0/6 angeschlossenen Geräte können nicht mehr auf das Internet zugreifen, obwohl das Internet am Interface 0/0 weiterhin verfügbar ist, die VPN Tunnel weiter "Up" sind und ein Zugriff von extern weiterhin möglich ist! Die zeitlichen Abstände scheinen unterschiedlich zu sein, vielleicht so zwischen 2 und 4 Tage, dass das immer wieder passiert. Temporäre Abhilfe lässt sich nur mit einem Reset der SSG 5 schaffen.

Es ist so, als würde hier ein Timeout greifen oder irgendein Konfigurationsmerkmal gesetzt sein, das dazu führt, dass sich die Interfaces unter bestimmten Bedingungen immer wieder disconnecten oder die Policies einen Traffic nicht mehr zulassen.

Hat hier jemand eine Idee, könnt Ihr mir hierbei helfen, das Problem zu lösen?

Vielen Dank für Eure Mithilfe im Voraus!
Heiß diskutierte Inhalte
Datenschutz
FAX ist nicht mehr Datenschutzkonform
brammerVor 1 TagInformationDatenschutz52 Kommentare

Hallo, jetzt sollte es jeder begreifen FAX ist nicht mehr Datenschutzkonform brammer

Humor (lol)
Na, kann euer Toaster auch schon WLAN?
ITlerin95Vor 1 TagAllgemeinHumor (lol)16 Kommentare

Also ich frag mich ja selbst echt oft, ob wirkliche alle technischen Neuerungen auch wirklich notwendig sind. Hintergrund ist, ich brauch einen neuen Toaster. ...

Windows Update
Keine Updates zum Mai-Patchday über WSUS?
gelöst CoreknabeVor 1 TagFrageWindows Update12 Kommentare

Moin, wir laden über unseren WSUS die Windows Updates herunter (Server 2012R2). Jetzt stelle ich gerade verwundert fest, dass es Stand jetzt (19:45 Uhr) ...

Netzwerkgrundlagen
Statische Route auf UTM
gelöst Ex0r2k16Vor 14 StundenFrageNetzwerkgrundlagen31 Kommentare

Moin! Ich habe an meiner Sophos UTM an einem physischen Interface einen Switch angeschlossen. Dieser läuft im Netz 10.1.1.0/24. Ich kann von meinem aktuellen ...

Exchange Server
Sicherheitsupdates für Exchange Server 11. Mai 2021
kgbornVor 1 TagInformationExchange Server4 Kommentare

Sicherheitsupdates für Exchange Server 11. Mai 2021 Technet-Beitrag Meine Zusammenstellung: Sicherheitsupdates (KB5003435) für Microsoft Exchange Server (11. Mai 2021)

Exchange Server
Office 365 ohne lokalen Exchange
RicoPausBVor 1 TagFrageExchange Server8 Kommentare

Moin zusammen wir sind erst vor kurzem ins Office 365 eingestiegen und hatten vorher auch keinen Exchange Server im Einsatz. Ein Hybrid-Setup liegt also ...

SAN, NAS, DAS
Synology-NAS DS1813+: Lebensdauer des Gerätes?
OrmensonVor 1 TagFrageSAN, NAS, DAS10 Kommentare

Hallo Forum! In unserer Firma nutzen wir ein Synology NAS DS1813+ als zentraler Datenspeicherort. Konfiguriert ist er als RAID mit Ausfallsicherheit einer Platte. Die ...

Microsoft Office
Weiterleitung bestimmter Emails während Urlaubszeit
gelöst imebroVor 1 TagFrageMicrosoft Office11 Kommentare

Hallo, verschiedene Rechnungen werden an meine Email-Adresse gesendet. Daher habe ich vor einiger Zeit eine Outlook-Regel in meinem Outlook-Postfach erstellt, die automatisch Emails mit ...