Forum

ssg140 ADSL - Gdat ...
 
Bildirimler
Hepsini Temizle

ssg140 ADSL - Gdat Track IP

27 Yazılar
2 Üyeler
0 Reactions
901 Görüntüleme
(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Selam Arkadaşlar,

sitede çok yararlı juniper troublethootingleri var, benim söyle bir sorunum var, iki hat ssg140 üzerinde sonlanmış durumda   şu anda bütün trafik adsl den cıkcıyor.

 yapmak istediğim :

1- default olarak yine bütün hhtp adsl den cıksın.

2 e-mail gdat üzerinden cıksın (exchange)

adsl down olursa bütün trafik eskiden olduğu gibi gdat üzerinden cıksın istiyorum.  yani adsl up olduğu zaman, gdat dan sadece  mail (exchange ) için kullanılsın. adsl down olunca bütün trafik gdatdan gitsin istiyorum.

bu aşamada track ip uygulaması ile tanımlama yapıyorum yanlız hem adsl hemde gdat ın gateway aynı yani 192.168.1.254 bu durumda 

 Next Hop Gateway” olarak ikisinede 192.168.1.254 veriyorum değilmi ?

 metric olarak hangisi primary olarak kullanılcaksa onun metriği düşük olması gerekmiyormu. ben adsl in metriğini 10 verdim gdat 1 ama gdat deilde adsl defalt olarak kullanılıyor burası kafamı karıştırdı.

 

Teşekkürleri

 
Gönderildi : 06/07/2010 18:18

(@muratguclu)
Gönderiler: 1164
Noble Member
 

selam;

smtp trafiği için pbr yazman gerekiyor.

http://www.corelan.be:8800/index.php/2008/10/19/using-2-internet-links-with-juniper-screenos-firewalls-to-separate-traffic-and-apply-traffic-shaping/

Buraya inceleyebilirsin. Ayrıca Seyit in de bu konuda makalesi vardı. Onu da incelemeni tavsiye ederim.

Next Hop Gateway belirtmene gerek yok. Interface seçmen yeterli. Gateway i kendi bulur.

Metric tarafında düşük önceliklidir. Interface belirtmediysen problem çıkmıştır.  Source based routing yapacaksın.

 
Gönderildi : 06/07/2010 18:53

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

selam hocam. smtp ve pop3 için ayrı bir acl yazıp bu acl iyi pbr ile match edip gdat interfaceine set etsem yeterli olurmu, yani http için match ve adsl e set etmeme gerek varmı.  ayrıca adsl ve gdat ın local ip address yok. ikiside tek birgw kullanıyor.

 
Gönderildi : 08/07/2010 14:45

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

ayrıca track ip tanımlamasını iki interface içinde ayrı ayrı mı yapcam.

 her iki interface edit leyip monitor kısmından ayrı ayrı değer mi giriyor ,

 örnek: 

 adsll : 89.x.x.x.x  bu bölümü editldiğim zaman  trac ip olarak hangi ip adresini gircem.

 gdat: 195.x.x.x.x

 

 
Gönderildi : 08/07/2010 14:55

(@muratguclu)
Gönderiler: 1164
Noble Member
 

her iki interface için kural yazacaksın

Track ip de ise sadece primary interface e yazman yeterli. Diğerini takip etmene gerek yok ama gateway e ping atabildiğinden emin ol. icmp paketleri ile hattın canlı olup olmadığını kontrol ediyor.

Konf. i yaptıktan sonra kontrol edersin. G. down loduğunda SMTP ve Pop3 trafiği ni adsl atıyor mu.

Pbr konusunda Seyit 'in güzel bir makalesi var. Okumadıysan onu da incele derim

http://www.seyitozgur.com/?p=24

 

 
Gönderildi : 09/07/2010 14:09

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

hocam o makalyi okudum ama tam anlayamadım.

ilk once adsl down olunca pop3ve smtp (exchange) gdatdan gitmesi için ne yazmam lazım.

ciscodaki gibi gdat ve adsl in local ip addressleri yok.

 

web guiden yapamadım. cli dan daha anlaşılır geliyor sanki yardımcı olabilirmisiniz. işlk once bu komutlarla smtp ve http içina cl mi yazıyorum.

 ssg5-> set vrouter trust-vr

ssg5(trust-vr)-> set access-list extended 10 dst-port 25-25 protocol tcp entry 1
ssg5(trust-vr)-> set access-list extended 10 dst-port 80-80 protocol tcp entry 2

ssg5(trust-vr)-> set access-list extended 20 dst-port 1-24 entry 1
ssg5(trust-vr)-> set access-list extended 20 dst-port 26-79 entry 2
ssg5(trust-vr)-> set access-list extended 20 dst-port 81-65535 entry 3
ssg5(trust-vr)-> set access-list extended 20 dst-port 25-25 protocol udp entry 4
ssg5(trust-vr)-> set access-list extended 20 dst-port 80-80 protocol udp entry 5

 

 

 
Gönderildi : 09/07/2010 17:51

(@muratguclu)
Gönderiler: 1164
Noble Member
 

Lokal ip si yok derken?  Zaten lokal ip ye route etmene gerek yok. Interface e route yazabilirsin. next-hop yazarken interface e route et

CLI tarafında malesef yakında ssg cihaz yok onun için test edemiyorum. 

İlk verdiğim linkte cli tarafı açık bir şekilde anlatılmış. 

 
Gönderildi : 12/07/2010 11:52

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

selam tekrar, şu anda,  adsl up ve  mail için gdat pbr ile set ettim ama söyle bir sortun var,

 mail gönderdiğimde gdat üzerinden gidiyor ama dışardan mail gelmiyor. pbr eth 0/4 den kaldırdım şimdi mailler adsl den gidip geliyor.

acaba nerde hata yapıyorum.

 
Gönderildi : 12/07/2010 14:03

(@muratguclu)
Gönderiler: 1164
Noble Member
 

g. için mip yazdın mı?

Port yönlendirme yapman gerekiyor

 
Gönderildi : 12/07/2010 14:22

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

port yönlendirmei nereye yapcam ayrıca mib nasıl yapılıyor.

 
Gönderildi : 12/07/2010 15:12

(@muratguclu)
Gönderiler: 1164
Noble Member
 

g. ın interface ine git orada mip sekmesi var. Oradan yapacaksın. Sonra untrust to trust policy yazman gerekiyor.

 
Gönderildi : 12/07/2010 16:50

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

 

tşkler hocam interface mib tanımlı durumdaymış,

e-mail server ın local ip sini real ipsine mapped ettim.   su anda yine mail adsl den gidip geliyor. ama gdattan  gitmiyor. 

 

 
Gönderildi : 12/07/2010 21:02

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Hocam sizin  söylediğiniz şekilde mip tanımlayamıyorum. bu ip kullanılıyor diyor.ethernet 0/3 sub interface tarafından yani,

adsl için ethernet 0/3 real ip 8.88.88.8 almış durumda, bir adet static ip address var bunu map edemiyorum local exchange ip ye, nasıl bir yol izlemeliyim.

 
Gönderildi : 13/07/2010 18:32

(@muratguclu)
Gönderiler: 1164
Noble Member
 

Eğer public ip yi tek bir lokal ip de kullanacaksan mip, public ip yi birden fazla makinaya yönlendireceksen vip yapacaksın.

 
Gönderildi : 13/07/2010 18:47

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

anladım hocam,anca mip yaparken bir public ip yi bir private ip ye  map ederken ip addresi kullanımda diyor. bende vip yapmayı denedim ama bu kezde services bölümünde RDP yok. bana bir public ip ye nasıl RDP izni vereceğim yardım edermisniz. 

 
Gönderildi : 13/07/2010 18:54

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

gnin derken gateway in interfacesine mi yoksa untrust interface mi.

 ben bu tanımlamaları untrust interface olan ethernet0/3e yapıyorum. benim gateway im ethernet0/0 trust interface.

 
Gönderildi : 13/07/2010 18:58

(@muratguclu)
Gönderiler: 1164
Noble Member
 

interface üzerinde mip tanımlı ise yönlendirme yapamazsın. vip de çalışmaz. mip i kaldırıp, vip üzerinden port yönlendirmelerini yap.

yani ya vip yapacaksın ya da mip ikisi birden olmaz.

Policy objects kısmında olması lazım. RDP için  port kuralı oluşturacaksın daha sonra policy üzerinde onu seçeceksin.

 

 

 
Gönderildi : 13/07/2010 19:03

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

Hocam RDP için policy objesi oluşturulmuş iki wan hattım birine rdp yapabiliyorum. rdp yaptığım down olduğu zaman diğer wan hattıma rdp yapabilimek için o hattı üzerinde ki real ip ye rdp tanımlamak istiyorum.policy object den rdp oluşturulmuş durumda. aynı objeyi kullanarak 

bu işlemi nasıl yapabilririm.

 
Gönderildi : 13/07/2010 19:07

(@Anonim)
Gönderiler: 0
Konu başlatıcı
 

mip tanımlı değil.vip tanımladım.

 
Gönderildi : 13/07/2010 19:09

Sayfa 1 / 2
Paylaş: