[kussu]

Väiksed katsetused käsil, ning vaja oleks teha Juniperis (SSG-140) väljuvale ühendusele SNAT, aga kõrvade vahel kiilus kinni RTFM on tehtud, kuid....
Seletuseks:
1. Väline staatiline IP vahemik: xxx.xxx.xxx.154 - xxx.xxx.xxx.158
2. Sisevõrk käib õues xxx.xxx.xxx.154 kaudu
3. Exchangele (xxx.xxx.xxx.8) tehtud MIP xxx.xxx.xxx.156 s.t. käib välja ja MX sisse ilusti, kõik toimib.
Nüüd oleks vaja sisevõrgu masin xxx.xxx.xxx.4 välja käima panna ka xxx.xxx.xxx.156 pealt, kahte MIP ei lase teha, lahendus oleks SNAT läbi DIP-i
tegemist oleks siis alternatiivse SMPT-ga ja sama IP exchangega vajalik, sest muidu saadavad enamus teised SMPT-d selle masina konkreetselt "kukele".
Kindlasti kasutab keegi midagi sarnast ning oskab asjalikku nõu anda

[echo]

Kui sa juba DIPi oled mingile IP-le teinud (koos portide transleerimisega, et seda saaks kasutada rohkem kui üks masin), siis oleks siseneva liikluse jaoks vaja teha VIP, aga sama IP peale seda teha ei saa, vähemalt minul pole nagu õnnestunud.
Ma arvan, et sul on lihtsam ikkagi tekitada vajalikud uued DNS MX- ja PTR-kirjed kui et hakata masinat .8 hakata ümber ehitama NAT-ruuteriks .4 masinale... Või siis pead ehitama klastri või mingi lisamasina, mis tegelikult suunab SMTP-d kord ühte (.8), kord teise (.4) masinasse.
Kui keegi selle asja tulemüüri tasemel ära lahendaks, siis oleks huvitav tõesti

[kussu]

Tänud, et vähemalt keegi kaasa mõtleb! Siseneva liiklusega ei ole probleeme Vaja on masin .4 saada väljas käima sama IP pealt mis masin .8 s.t. xxx.xxx.xxx.156
VIP-dega pole ka probleem ja kui vaja saab siseneva SMPT liikluse ilusti Policyga suunata .8 masina asemel .4 masinasse.

[echo]

Veidi ebaselge. Ma sain aru, et oled praeguseks teinud VIPi 156 peale ja suunanud selle pealt porte sisse, nii .4 kui .8 pihta? Või oled jätnud alles MIPi 156 peale ja suunanud VIPi pealt mingid pordid .4 peale? Või ei olegi .4 vastu vaja midagi suunata, probleem on vaid väljuvas liikluses?

Aga kui mõelda nii: mis võimalused on Juniperis, et erinevad masinad väljuvad sama IP alt? Kui terve kontor läheb välja sama IP pealt, siis ega see pole ju tehtud DIPiga, vaid lihtsalt vaikimisi SNAT reegliga? Või teistpidi - kogu värk ju töötaks, kui sul oleks kasutada vaid üks IP-aadress?

Seega, kui sa paneksid tulemüürile endale välise aadressi 156 (sel juhul ei pea MX DNS-i selle koha pealt muutma), siis saad selle VIPi pealt suunata pordid sisse, kuhu vaja, aga kogu kontor, muuhulgas nende serveritega, läheb samuti välja vaikimisi 156 pealt.

See muidugi eeldab, et sul pole seal teised IP-aadressid väga ära seotud, pole partnerite juures tehtud /32 IP-piiranguid ning samuti tuleb vajadusel muuta management porte.

[kussu]

Nagu juba ütlesin on statiline vahemik 154-158. Juniper on konfitud kogu väljuv liiklus 154 peale. Läbi MIP .156 käib väljas Exchange masin e. .8. Sisse tuleva ühendusega pole probleemi, seda saab teha läbi VIP-i igatpidi. Kahjuks teatud põhjustel ei saa Exchanget 154 pealt väljaskäima panna (tegemist päris suure avaliku WIFI-ga, spammitakse koheselt black listi ja siis oleks kontori töö läbi exchange häiritud). VIP ja MIP 155 pealt käib enamus n.n. "kodutööks" vajalik sisenemine. MIP .157 on üks erilahendus (ventilatsioon, küte, vesi jne. juhtimine). MIP 158 on jällegi erilahendus (Quadriga).
Seega ainuke lahendus oleks SNAT DIP kaudu. Jõulude ajal kontor puhkab siis hakkan katsetama

[echo]

Nojah, suht seotud numbrid, siin pole kerge hakata ümber mängima.

[kussu]

Katsetused pühade ajal ei andnud tulemusi Sai tehtud teema ka juniperi foorumisse, siiani pole ka sealt normaalset vastust tulnud.