VPSs y mas.

Mostrando entradas con la etiqueta juniper. Mostrar todas las entradas
Mostrando entradas con la etiqueta juniper. Mostrar todas las entradas

miércoles, 15 de agosto de 2012

Enrutamiento asimetrico a traves de Juniper SSG no funciona

Situacion:
   En una red con enrutamiento asimetrico tengo problemas para que dos segmentos diferentes de red se puedan comunicar via TCP, es decir, el ping (el cual es ICMP) responde satisfactoriamente

Topologia Ejemplo:

PC-ORIGEN ---- Router --- FW --- SRV-DESTINO

Sin embargo, el enrutamiento es asimetrico, es decir, en una de las direcciones los paquetes no atraviesan el Firewall Juniper. Una opcion para revisar esto puede ser realizar tracerouter del origen al destino y viceversa, seguramente no son inversamente proporcionales.

Importante: Juniper recomienda arreglar el enrutamiento y no realizar este procedimiento. Claro, no siempre es posible, quizas hay que solucionar rapidamente, probablemente no tenemos acceso a un Router o LAN Switch que este enrutando, etc.

Explicacion:
   Ocurre que Juniper + JunOS es un Firewall Stateful y realiza "chequeo de SYN" por defecto, por elllo, si el Firewall no "ve" un paquete SYN todos los siguientes paquetes TCP seran descartados. Esto es un comportamiento eficiente porque efectivamente el equipo no debe permitir aquellos paquetes de conexiones que teoricamente no han comenzado.
 
Soluciones:
1) Arreglar el enrutamiento y que sea 100% simetrico

2) Deshabilitar "SYN Checking" siguiendo el siguiente procedimeinto:


    root# cli
   
root> configure
    [edit]
    root@#set security flow tcp-session no-syn-check



    Con lo anterior es suficiente, sin embargo, si sigue sin funcionar, probablemente sea necesario adicionalmente deshabilitar el chequeo de por ejemplo numeros de secuencias (Sequence Number de TCP). El comando es:

    root@#set security flow tcp-session no-sequence-check  

Mas informacion:
http://kb.juniper.net/InfoCenter/index?page=content&id=KB16110
y
http://www.juniper.net/techpubs/software/junos-security/junos-security95/junos-security-swconfig-security/id-19932.html

viernes, 8 de enero de 2010

Permitir determinado URL en Juniper Firewall. Bypass webfiltering

Problema:
Tengo webfiltering habilitado en mi Firewall Juniper (SSG-5) y necesito permitir cierto URL

Solución:
Supongamos que el url http://acostanetwork.blogspot.com se encuentra bloqueado por el webfiltering del FW. El procedimiento a seguir es el siguiente:

1) Entrar al Firewall vía Web
2) Selecciona Security > Web Filtering > Categories > Custom > click sobre NEW en la parte superir > coloca un nombre al profile > ( Recomendado el nombre del URL o el URL en si ) click OK. Por ejemplo: acostanetwork.blogspot.com
3) Luego de lo anterior, ir otra vez a Security > Web Filtering > Profiles > Custom > Click sobre el Edit del profile utilizado en la politica > Selecciona White List y el profile que hayas creado anteriormente
4) Apply

Eso es todo, posteriormente ya se debe poder entrar a la página que anteriormente no podias.

viernes, 10 de julio de 2009

Como activar las licencias dentro de un firewall Juniper

Objetivo:
Activar las diferentes licencias adquiridad (por ejemplo Antivirus) dentro de una caja Juniper SSG5

Problema:
Luego de que recibí la caja no tenía la menor idea de como activar el Antivirus (AV) dentro del mismo

Procedimiento:
Procedí a abrir un ticket dentro del website de Juniper indicando mi problema

Solución:
* Conectar la caja a Internet y con navegación
* Asegurarse que el firewall pueda navegar. Recomiendo entrar a la caja por ssh y/o telnet y hacer un ping a yahoo.com o google.com
* Colocar fecha y hora de la caja (MUY importante)
* Posteriormente hay dos maneras de actualizar las licencias: Web y CLI

Vía Web:
Ir a: Configuration>update>screen OS/keys y hacer click en retrieve subscriptions

Vía CLI:
cst-1->exec license-key update
o
cst-1->exec license-key .

Luego la caja se conectará a lo que Juniper llama el Entitlement Server y traerá las licencias compradas y registradas dentro del Website de Juniper.

Eso es todo,

viernes, 8 de mayo de 2009

Upgrade de Screen OS en Netscreen/Juniper

El siguiente comentario fue algo que me ha sucedido dos veces con diferentes firewalls Juniper 5GT que necesitaba realizar el upgrade del sistema operativo (ScreenOS).

Tenía que realizar un upgrade de 5.2.0r1.0 a 5.4 y sencillamente el firewall a través de la interfaz Web no me dejaba subirla siempre devolviendo un error en la imagen.

La solución para lo anterior fue primero realizar un upgrade de 5.2 a 5.3 y luego a screenos 5.4. Voila!.., funcionó perfecto.

Luego, tuve la misma situación pero necesitaba hacer el upgrade de una versión 4.x a 5.x..., nuevamente hice un upgrade "poco a poco" y funcionó.

La moraleja es que no se puede cambiar de imagen a otra imagen de manera muy radical, es recomendable realizar el upgrade prudencialmente

Espero te ayude.

martes, 28 de abril de 2009

Ejemplo VPN entre Juniper y Cisco

El siguiente ejemplo muestra la creación de una VPN entre un Firewall Juniper con ScreenOS 5.4 y un Cisco router con el set de Crypto.

La topología es la siguiente:

LAN_lado_Juniper <----> Juniper <---- INTERNET <---> Cisco <--- LAN_lado_Cisco --->

Del lado del Cisco la configuración es la siguiente:

*** BEGIN ***
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
crypto isakmp key MISECRETO address IP_JUNIPER


crypto map MIVPN 1 ipsec-isakmp
set peer IP_REMOTO
set transform-set MIVPN
match address 140

access-list 140 permit ip LAN_LADO_CISCO 0.0.0.255 LAN_LADO_JUNIPER
crypto ipsec transform-set VPN_to_SW7B esp-3des esp-sha-hmac

interface f0/0
description VPN-SUICHE7B
ip address IP_CISCO 255.255.255.255
crypto map MIVPN
end

*** FIN ***

Aqui podemos ver que el isakmp map utiliza shared secret (clave compartida) para levantar la VPN, MISECRETO es la clave y donde indica IP_JUNIPER hay que colocar el IP del Firewall de la interfaz externa del Juniper.

Luego el Crytp map llamada MIVPN indica el Peer Remoto (nuevamente el IP de la interfaz externa del Juniper, el transform set a utilizar (donde se indica lo que es la fase 2 de la negociación de la VPN) y finalmente el Access-list (ACL con el cual va a hacer match al momento de cifrar y no cifrar los paquetes).

El ACL en realidad define los SA (security association) que se van a intercambiar en la VPN. Es muy importante que utilices un ACL extendido para que puedas definir IPs origen y destino. Es decir, aqui se definen (desde la perspectiva del cisco) cuales son las redes remotas y cuales son las redes locales.

Luego el comando crypto ipsec es en realiad quien define que tipo de cifrado y hash para los datos se va a utilizar. En este caso 3DES y SHA1, sin embargo se puede utilizar DES, MD5, combinaciones y otros.

Finalmente, lo que hay que hacer es aplicar el cryto map a la interfaz por donde va a "transitar" el tráfico en el Cisco, en nuestro caso F0/0

Con lo anterior, ya terminamos con el lado del Cisco...., ahora vamos a Juniper.

Pasos:

1) Crear una interfaz tunnel (tunnel -- interfaces --- new interface) con los siguientes parametros:
* Unnumbered
* Interfaz WAN del Juniper
2) VPN --> Autokey advance --- Gateway
3) New

Debemos dejar la configuración como aparece en la siguiente pantalla:



4) Click en Advance
5) Dejar la configuración como aparece en la siguiente pantalla:



6) VPN --> Autokey advance --- Gateway

7) Click en new

8) Dejar la configuración similar a como aparece en la imagen:



9) Click en advance

10) Dejar la configuración como a aparece en la imagen:



11) Comenzar a pasar tráfico por el tunel (MUY IMPORTANTE)

Luego de esto.., ya debe comenzar a funcionar el tunel sin inconvenientes. La típica prueba en este caso es dejar un ping extendido entre ambos sitios.

Suerte y saludos,

viernes, 3 de abril de 2009

Habilitar IPv6 en Firewall Juniper / Netscreen

Situación:
Tengo un Firewall Firewall Netscreen / Juniper 5 o 25 o 50 (seguramente tambien sirve en otros modelos) debes realizar lo siguiente para habilitar IPv6.

Procedimiento:

Por medio del CLI revisa las variables con el siguiente comando:

get envar

(debes buscar por ipv6=yes)

Aqui podras ver varias variables y entre ellas revisar si IPv6 se encuentra habilitado o no.

En caso de que no se encuentre;  debes habilitarlo con el siguiente comando:

set envar ipv6=yes
save (para grabar la configuracion)

Luego reiniciar el equipo y tanto el CLI como la interfaz Web tendran habilitado IPv6 y podras configurar interfaces, tuneles, routing, etc.

Suerte;