Juniper SRX Konfiguration mit copy/past zurückspielen (Junos / CLI)

Gepostet von am Mai 29, 2011 in Juniper, Server, Netzwerk & Clients | 2 Kommentare

Wer mit Juniper SRX oder allgemein mit dem Junos arbeitet, kommt früher oder später an der Kommandozeile (CLI) nicht vorbei. Viele Konfigurationsoptionen lassen sich per J-Web erst gar nicht konfiguriert. Wenn man ein wenig mit der CLI gearbeitet hat möchte man diese auch keineswegs mehr missen, vieles geht schneller und einfacher.

In diesem Blogeintrag beschäftige ich mich mit dem Thema des wiederherstellen von Junos Konfigurationen sowohl das Zurückspielen ganzer Backups als auch Teilbereiche.

 

Zurückspielen von Teilbereichen

In diesem Beispiel möchte ich nur zwei Nameserver hinzufügen:

1. In der Konfigurationsebene müssen wir zuerst in den Bereich System wechseln da hier die Nameserver konfiguriert werden.

   root@gateway# edit system
   [edit system]

2. Dem Junos mitteilen, dass wir jetzt eine Teilkonfiguration einfügen wollen.

   root@gateway# load merge terminal relative
   [Type ^D at a new line to end input]

3. Jetzt erwartet die Juniper die Konfiguration, welche wir einfach einfügen. In meinem Beispiel die Nameserverkonfiguration:

   name-server {
     193.151.32.40;
     193.41.255.1;
   }

4. Nach dem einfügen einfach mit der Tastenkombination Strg+D das Einfügen beenden und in der CLI bekommen wir die Ausgabe:

   load complete

5. Ein show zeigt schon die neue Konfiguration und mit commit check kann man diese auch auf Korrektheit überprüfen lassen.

6. Jetzt nur noch ein commit und die Änderung ist aktiv:

   root@gateway# commit
   commit complete

 

Zurücksichern der ganzen Konfiguration

Wer jetzt die komplette Datensicherung zurückspielen möchte und somit die aktuell laufende Konfiguration überscheiben möchte macht das mit folgenden Befehlen:

1. Den Befehl zum ersetzten der Konfiguration eingeben:

   root@gateway# load override terminal
   [Type ^D at a new line to end input]

2. Die Konfiguration einfügen.

3. Nach dem Einfügen mit Tastenkombination Strg+D den Einfügemodus beenden.

4. Hier sollte man sicherheitshalber einmal mit dem Befehl show die Konfiguration überprüfen bevor man mit commit bzw. commit check und dann commit die neue Konfiguration aktiviert.

Alternativ zu merge und override gibt es noch die Befehle factory-default, patch, replace, set und update.

 

Mehr

DynDNS mit Juniper SRX (Junos)

Gepostet von am Mai 23, 2011 in Juniper, Server, Netzwerk & Clients | 1 Kommentar

DynDNS und Juniper SRX, die mit Junos laufen, sind von Haus aus keine Freunde. Juniper hatte die Funktion in den frühen 9.x Junos with Enhanced Services implementiert, dann aber aus Gründen der Stabilität wieder aus der Software heraus genommen. Wer also DynDNS oder einen anderen dynamischen DNS Dienst nutzen möchte, hat entweder die Chance einen DynDNS Client auf einem Rechner im Netzwerk zu installieren, oder auf der SRX Automation Script zu verwenden. Ich beschreibe hier wie man ein entsprechendes Script, geschrieben von dem Automation Scripting Experten Patricio Giecco, einbindet.

Als erstes muss das Script (dyn-dns-update.xslt) in dem Verzeichnis „/var/db/scripts/event“ abgelegt werden (Einfach entpacken und z. B. per SCP dort hinkopieren). Dann müssen zwei Konfigurationseinstellungen vorgenommen werden. Zum eine müssen wir der SRX beibringen das sie nach jeder DSL-Einwahl das Script startet und dem DynDNS Server die neue IP mitteilt. Dies erreichen wir über folgende Konfiguration:

event-options {
    policy dyn-dns-updater {
        events snmp_trap_link_up;
        attributes-match {
            snmp_trap_link_up.interface-name matches pp0.0;
        }
        then {
            event-script dyn-dns-update.xslt;
        }
    }
    event-script {
        file dyn-dns-update.xslt;
    }
}
Meine DSL-Einwahl liegt auf dem Interface pp0.0

Zum anderen müssen wir dem Script natürlich auch noch ein paar Parameter wie Benutzername, Hostname etc. übergeben. Dieses wird unter System -> Services konfiguriert. Hier mein Beispiel:

system {
    services {
        apply-macro dyndns-client1 {
            hostname MEINHOSTNAME.dyndns.org;
            password PASSWORT;
            type dyndns;
            username BENUTZERNAME;
        }
    }
}

Das Script unterstützt zur Zeit folgende dynamischen DNS Dienste:

  • dyndns
  • dtdns
  • dnspark
  • 3222
  • no-ip
  • dns-o-matic
  • everydns
  • changeip
  • dnsexit

Ich habe das Script auf Junos 11.1 mit DynDNS erfolgreich implementiert und getestet.

An dieser Stelle möchte ich auch noch einmal auf das Buch JUNOS Security hinweisen indem Patricio Giecco als Technical Marketing Engineer for Juniper Networks’ branch security systems mitgewirkt hat.

 

Mehr

PPPoE Konfiguration mit Juniper SRX (Junos)

Gepostet von am Mai 21, 2011 in Juniper | 9 Kommentare

Seit Kurzem arbeite ich mich verstärkt in die Juniper SRX Serie, mit Junos als alternative zum ScreenOS der SSG´s, ein. Heute musste die SRX per DSL mit dem Internet verbunden werden und dementsprechend mit einer PPPoE Konfiguration versorgt werden. Hier beschreibe ich einmal die notwenigen Konfigurationsschritte:

Zuerst muss man das Interface, welches mit dem DSL-Modem verbunden ist, auf Verbindungsart PPPoE einstellen. Bei mir ist es das Interface fe-0/0/1 also das 2. physikalische Interface.

set interfaces fe-0/0/1 unit 0 encapsulation ppp-over-ether

Jetzt müssen auf einem neuen DSL-Interface die Zugangsdaten und DSL-Einwahl-Optionen hinterlegt werden. Das erste DSL-Interface ist das Interface pp0.

set interfaces pp0 unit 0 ppp-options pap local-name “BENUTZENAME”
set interfaces pp0 unit 0 ppp-options pap local-password “PASSWORT”
set interfaces pp0 unit 0 ppp-options pap passive
set interfaces pp0 unit 0 pppoe-options underlying-interface fe-0/0/1.0
set interfaces pp0 unit 0 pppoe-options idle-timeout 0
set interfaces pp0 unit 0 pppoe-options auto-reconnect 10
set interfaces pp0 unit 0 pppoe-options client
set interfaces pp0 unit 0 family inet mtu 1492
set interfaces pp0 unit 0 family inet negotiate-address

Nun müssen wir der SRX nur noch beibringen das sie den Internet Traffic auch über die DSL-Leitung routet. Dazulegen wir einfach das Defaultgateway auf das DSL-Interface.

set routing-options static route 0.0.0.0/0 next-hop pp0.0 metric 0

Das die Firewall-Policy und Ausgehen NAT eingeschaltet sein muss setzte ich jetzt mal als gegeben voraus. Bei mir hatte ich mit meiner 1&1 Einwahl noch Probleme mit der MTU sodass ich z.B. die Website www.bahn.de nicht erreichen konnte. Dieses konnte ich mit folgendem Eintrag beheben:

set security flow tcp-mss all-tcp mss 1452

Hier noch einmal die Konfiguration in der Übersicht:

interfaces {
    fe-0/0/1 {
        description DSL-Modem;
        unit 0 {
            encapsulation ppp-over-ether;
        }
    }
    pp0 {
        unit 0 {
            ppp-options {
                pap {
                    local-name "ZUGANSDATEN";
                    local-password "PASSWORT"; ## SECRET-DATA
                    passive;
                }
            }
            pppoe-options {
                underlying-interface fe-0/0/1.0;
                idle-timeout 0;
                auto-reconnect 10;
                client;
            }
            family inet {
                mtu 1492;
                negotiate-address;
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 {
            next-hop pp0.0;
            metric 0;
        }
    }
}
security {
    flow {
        tcp-mss {
            all-tcp {
            mss 1452;
            }
        }
    }
}
Mehr