0

我的帖子

个人中心

设置

  发新话题
弄了一台SRX220H当路由器在家里用,设置两个VLAN~都能上外网~但部分网站不能提示无法开启网页~例如淘宝~日本雅虎~京东~电信测速平台等~~抓包发现貌似都是对方网站端口为443就不能访问。奉上配置求高手指教。。。补充一下~使用光猫直连电脑拨号或使用其他路由器拨号上网~PC不用更改任何设置所有网站均能正常访问。


## Last changed: 2015-08-14 03:13:26 UTC
version 11.4R7.5;
groups {
    wiz_PPPoE_0 {
        system {
            services {
                dhcp {
                    propagate-ppp-settings pp0.0;
                }
            }
        }
        interfaces {
            pp0 {
                unit 0 {
                    description CTWAN;
                    ppp-options {
                        chap {
                            default-chap-secret "PASSWORD";
                            local-name "USERNAME";
                            no-rfc2486;
                            passive;
                        }
                        pap {
                            local-name "USERNAME";
                            no-rfc2486;
                            local-password "PASSWORD";
                            passive;
                        }
                    }
                    pppoe-options {
                        underlying-interface ge-0/0/0.0;
                        idle-timeout 0;
                        auto-reconnect 3;
                        client;
                    }
                    family inet {
                        mtu 1492;
                        negotiate-address;
                    }
                }
            }
            ge-0/0/0 {
                unit 0 {
                    encapsulation ppp-over-ether;
                }
            }
        }
        routing-options {
            static {
                route 0.0.0.0/0 {
                    qualified-next-hop pp0.0 {
                        metric 1;
                    }
                }
            }
        }
        security {
            zones {
                security-zone CTWANZONE {
                    interfaces {
                        pp0.0;
                    }
                }
            }
        }
    }
}
apply-groups wiz_PPPoE_0;
system {
    root-authentication {
        encrypted-password "$1$b8HbBWxO$cBTbw39iMhPpzZ3XBELTn.";
    }
    name-server {
        202.96.128.86;
        202.96.134.33;
    }
    services {
        telnet;
        web-management {
            http {
                interface vlan.10;
            }
            https {
                system-generated-certificate;
                interface vlan.10;
            }
        }
        dhcp {
            router {
                192.168.1.254;
                192.168.90.254;
            }
            pool 192.168.1.0/24 {
                address-range low 192.168.1.1 high 192.168.1.50;
                domain-name admin.com;
                name-server {
                    202.96.128.86;
                    202.96.134.33;
                }
                router {
                    192.168.1.254;
                }
                propagate-settings vlan.10;
            }
            pool 192.168.90.0/24 {
                address-range low 192.168.90.1 high 192.168.90.50;
                domain-name guest.com;
                domain-search {
                    202.96.128.86;
                    202.96.134.22;
                }
                router {
                    192.168.90.254;
                }
                propagate-settings vlan.20;
            }
        }
    }
    syslog {
        archive size 10m files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
}
interfaces {
    ge-0/0/4 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members guest;
                }
            }
        }
    }
    ge-0/0/5 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members admin;
                }
            }
        }
    }
    ge-0/0/6 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members admin;
                }
            }
        }
    }
    ge-0/0/7 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members admin;
                }
            }
        }
    }
    pp0 {
        unit 0;
    }
    vlan {
        unit 10 {
            family inet {
                address 192.168.1.254/24;
            }
        }
        unit 20 {
            family inet {
                address 192.168.90.254/24;
            }
        }
    }
}
security {
    nat {
        source {
            rule-set NATRULE {
                from zone adminzone;
                to zone CTWANZONE;
                rule CTWANRULE {
                    match {
                        source-address [ 192.168.1.0/24 192.168.90.0/24 ];
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone adminzone to-zone CTWANZONE {
            policy ADMINOUT {
                match {
                    source-address [ admin guest ];
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone CTWANZONE to-zone adminzone {
            policy ADMININ {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        default-policy {
            permit-all;
        }
        policy-rematch;
    }
    zones {
        security-zone adminzone {
            address-book {
                address admin 192.168.1.0/24;
                address guest 192.168.90.0/24;
            }
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.10 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
        security-zone guestzone {
            interfaces {
                vlan.20 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
        security-zone junos-host;
    }
}
vlans {
    admin {
        vlan-id 10;
        l3-interface vlan.10;
    }
    guest {
        vlan-id 20;
        l3-interface vlan.20;
    }
}




本帖最后由 hkjytkd 于 2015-8-19 03:37 编辑
后续测试发现BT软件~TEAMVIEWER~部分软件都不能连接服务器。。要么就是能使用但是不能登录会员~求助呢。。。。



感觉像是设备的缺省安全方面的设置,问一下客服可能就清楚了



引用:
原帖由 luonadidi 于 2015-8-22 21:11 发表
感觉像是设备的缺省安全方面的设置,问一下客服可能就清楚了
关于安全设置不就应该是这部分么?莫非还有其他的??
security {
    nat {
        source {
            rule-set NATRULE {
                from zone adminzone;
                to zone CTWANZONE;
                rule CTWANRULE {
                    match {
                        source-address [ 192.168.1.0/24 192.168.90.0/24 ];
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone adminzone to-zone CTWANZONE {
            policy ADMINOUT {
                match {
                    source-address [ admin guest ];
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone CTWANZONE to-zone adminzone {
            policy ADMININ {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        default-policy {
            permit-all;
        }
        policy-rematch;
    }
    zones {
        security-zone adminzone {
            address-book {
                address admin 192.168.1.0/24;
                address guest 192.168.90.0/24;
            }
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.10 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
        security-zone guestzone {
            interfaces {
                vlan.20 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
        security-zone junos-host;
    }
}



引用:
原帖由 hkjytkd 于 2015-8-23 13:41 发表

关于安全设置不就应该是这部分么?莫非还有其他的??
security {
    nat {
        source {
            rule-set NATRULE {
                from zone adminzone;
                to zone CTWANZONE;
              ...
因为像你说的443端口访问的有问题,从你这些配置里是看不到相关信息的。所以可能是设备底层的一些设置,不是明面上的东西。



引用:
原帖由 luonadidi 于 2015-8-23 21:49 发表

因为像你说的443端口访问的有问题,从你这些配置里是看不到相关信息的。所以可能是设备底层的一些设置,不是明面上的东西。
噢~明白你的意思了~那么有办法去检查么?按理就是默认有某些设置把443端口就CUT掉了~能在表面的设置打开么?根据我的表面设置是开放所有端口~所有协议出外网~的喔~



PPPOE拨号是吧?部分网站访问不正常是吧?
把MTU改成1400就解决了~~



引用:
原帖由 hkb178149081 于 2015-9-16 10:40 发表
PPPOE拨号是吧?部分网站访问不正常是吧?
把MTU改成1400就解决了~~
朋友~用的你方法试过~不行~



引用:
原帖由 hkjytkd 于 2015-10-19 13:06 发表

朋友~用的你方法试过~不行~
我也是,你的ADSL是两条电话线连接一个modem吗?



‹‹ 上一贴:求助:juniper ssg140 开机所有灯全亮   |   下一贴:请教一下Juniper策略里面的Action里面的选项的理解【 ... ››
  发新话题
快速回复主题
关于我们 | 诚聘英才 | 联系我们 | 网站大事 | 友情链接 |意见反馈 | 网站地图
Copyright©2005-2020 51CTO.COM
本论坛言论纯属发布者个人意见,不代表51CTO网站立场!如有疑义,请与管理员联系:bbs@51cto.com