[Armagedon]

Juniper SRX 220 IPSEC dynamic VPN.
On olnud probleeme selle käimasaamisega ja on siiani. Algselt oli WANiks VDSL2 kaart.
Dynamic VPNi käima ei saanud. Tähendab, VPNi tunneli tõstis üles, aga liiklust ei toimunud ja kuhugile remote-protected-resources'idele ligi ei saanud.
Siis keegi kogenum Juniperi seadistaja madistas ja leidis, et port 443 tuleb vabaks teha (olin seda plaaninud mujal kasutada). Peale seda sai justkui VPNi tööle.
Ühen siiski, et just kui, sest:

Juniper on seadistuse nii vahvalt teinud, et sa saad DNS servereid mitmes kohas kirja panna: esmalt: System properties -> System Identity all,
siis Services -> DHCP -> DHCP service -> seal all nii Global Settings, kui ka Pool'i all.
Pole veel leidnud, mis loogika ja hierarhia järgi DNS server kuhugi läheb.
Ja mingil imelikul kombel, DNS serverite näppine põhjustas seda, kas VPN'iga saad sisevõrku ligi, või siis mitte. Seda loogikat ei suutnud läbi hammustada ja jäi töötav
seadistus kuni momendini, mil ISP otsustas VDSL'i vahetada optika vastu.
VDSL kaart läks seadmest välja, WAN'i seadistus sai ringi tehtud ge-0/0/0.0 peale aga... enam VPN ei toimi.
Port 443 on endiselt vaba.
IPSEC tunneli võtab üles, klient saab IP aadressi ka, aga Default Gateway jääb tühjaks (ehkki konfis on määratud).
remote-protected-resources'idele ligi ei saa, nendesse võrkudesse pingida ka ei saa.

https://www.upload.ee/files/14288650/puuduvgateway.png.html

Ehk on siin keegi, kes oskab nõu anda. Siia marsruuteri konfi ei postita, küsimise peale saadan.

Googeldanud ja erinevaid variante proovinud olen. Tundub justkui tulemüüri probleem, ometi seal oleks justkui kõik korras.

[hunger]

Puusalt tulistades ütleks, et mingi kamm DHCP service's, seal DHCP attributes ning pandud sinna "Propagate settings" vanale VDSL2 interfeissile.
Variant, et selle vahetamine ge-0/0/0.0 vastu või "none" peale ja manuaalselt gateway seadistamine võib lahendada.

System Identity all asuvad DNS serverid on mõeldud rohkem SRX enda tarbeks (igast IPS ja AV uuenduste kontrolliks, hostname resolution jne).
DHCP all määrad vaid DNS serverid, mis siis klientidele jagatakse aadressite väljastamisel, olgu nad Google, Cloudflare või kellegi kolmanda omad.

Võid ka "Firewall authentication" (Access profiles/Address ranges) või "SSL profiles" all olevad profiilid üle vaadata, et VDSL ühendusega seotud seadistusi seal määratud pole.

Muidugi ka vana hea WAN tsoonis host-bound-traffic ge-0/0/0.0 interfeissil kontrollida, et https ja ike lubatud oleks.

[Armagedon]

Ei vist mitte. PulseSecure loob VPN ühenduse, aga ühendunud arvutis puudub DOS promptis ipconfig'i all Ethernet Adapter Juniper Network Agent Virtual Adapter.
https://supportportal.juniper.net/s/article/SRX-Pulse-client-is-connected-but-can-t-get-to-protected-resources?language=en_US

Selline situatsioon on: https://supportportal.juniper.net/s/article/SRX-Dynamic-VPN-Virtual-Adapter-does-not-exist-on-PC-or-the-Virtual-Adapter-has-no-IP-address-under-ipconfig?language=en_US
Local authentication on kasutusel.