Ende Juni hatte ich ja schon geschrieben, dass mir ein Fehler bei den Firewall-Appliances von Netscreen aufgefallen war. Man kann ueber die WebGUI einen Pfad auf die Hilfedateien konfigurieren, die sonst, Standardeinstellungen, ueber die Juniper-Webseite gezogen werden. Leider wird diese Einstellunge nicht abgespeichert, bzw. geht nach einiger Zeit wieder verloren. In den Dokumentationen ist das Verhalten aber so dokumentiert, wie man sich die Funktion halt auch vorstellen wuerde. Ich habe also bei Juniper ein Case aufgemacht und man hat mir gesagt, dass sei kein Bug, wuerde in der 5er-Serie nicht behoben und koennte fuer die 6er-Serie ueber ein Feature Request „beantragt“ werden. Das wollte ich dann auch gerne machen und man hatte mir geschrieben, es werde sich jemand melden. Jetzt haben wir Ende November und es hat sich niemand gemeldet. In der Zwischenzeit wurde ich zwar gefragt, ob sich der angebotene Kontakt schon gemeldet habe, ich habe auch mehrfach nachgefragt, aber kein Kontakt. Tja, ich werde den Case jetzt mal schliessen, da ich keine Reaktion mehr erwarte. Schade eigentlich, da ich bisher mit dem Support von Juniper zufrieden war.

Beim Konfigurieren einer… ja, Firewall kann man es nicht nennen. Naja, beim Konfigurieren eines Produktes, dass den Internetverkehr reglementieren soll, folgendes gefunden.

Ich glaube, man kann es mit dem Eindeutschen auch irgendwie ueberrtreiben.

Gestern wieder so eine Szene. Ich moechte ein Verzeichnis oeffnen, in dem ich vor einigen Momenten noch eine Textdatei geoeffnet hatte. Obwohl die Datei nicht mehr im Editor geoeffnet ist, meckert Windows rum, dass die Datei noch im Zugriff sei und nicht geloescht werden kann. Da ich das Problem relativ regelmaessig habe, aber im Zweifel sogar den Rechner neu starten muss, um die Datei zu loeschen (Zugriff durch Explorer), habe ich mal das Netz bemueht. Und nach einigen Minuten habe ich Unlocker gefunden. Das Tool erlaubt es Zugriff auf Dateien zu identifizieren und zu entfernen, so dass die Datei anschliessend auch geloescht werden kann. Voll supa! Das Tool hat es auf Anhieb auf meine „Muss sofort nach einer Rechnerneuinstallation mit drauf“-Liste geschafft 🙂

Also wirklich. TrekStor kommt mir nicht mehr ins Haus! Nicht nur, dass dieser Ramsch anspruchsvoll beim Einsatz von Treibern ist. Nein, nun ist auch noch das Netzteil, oder gar die ganze Platte im Eimer. Im Grunde, wenn ich jetzt an die Daten denke, egal, da ich alles noch auf dem Server im Keller liegen habe. Aergerlich aber trotzdem, da das miese Teil mit 212 Euro, bei 400GB Kapazitaet, auch nicht eben preiswert war. Ich baue jetzt die Platte aus und werde den verbleibenden Schrott mit unserem Wagen ueberfahren.

Aktuell bereite ich ein paar kleine Netscreens vor, um als Cluster eine Location per VPN an unsere Zentrale anbinden zu koennen. Vielleicht koennte es ja fuer jemanden interessant sein zu sehen, wie das im Detail ausschaut.

Konfigurieren des ersten Clustermembers
Setzen des Hostnamens.

set hostname Erster

Die Zone „Untrust“ aus dem VR „trust-vr“ entfernen und in „untrust-vr“ bringen. Dafuer muss erst das Interface ethernet0/6 aus der Zone „Untrust“ herausgenommen werden. Das mache ich deshalb, damit ich spaeter nicht mit einer Hostroute arbeiten brauche. Die Alternative waere sonst, die Zone „Untrust“ im „trust-vr“ zu belassen und spaeter eine Hostroute (set route 192.168.50.1/32 interface ethernet0/0 gateway 192.168.100.1) auf den Tunnelendpunkt zu setzen.

unset interface eth0/0 zone
set zone Untrust vrouter untrust-vr

Die brgoup0 aufloesen, da sie nicht gebraucht wird.

unset interface bgroup0 port eth0/2
unset interface bgroup0 port eth0/3
unset interface bgroup0 port eth0/4
unset interface bgroup0 port eth0/5
unset interface bgroup0 port eth0/6
unset interface bgroup0 ip
unset interface bgroup0 zone

Das externe Interface in die Zone „Untrust“ bringen, eine IP-Adresse fuer das Interface setzen und in der vroute „untrust-vr“ eine Defaultroute setzen, die dann natuerlich auch fuer das ethernet0/0 zieht.

set interface eth0/0 zone untrust
set interface eth0/0 ip 192.168.100.10/24
set vroute untrust-vr
set route 0.0.0.0/0 interface ethernet0/0 gateway 192.168.100.1
exit

Das interne Interface in die Zone „Trust“ bringen, eine IP-Adresse setzen und die Managementmoeglichkeiten setzen.

set interface eth0/1 zone Trust
set interface eth0/1 ip 192.168.200.1/24
set interface eth0/1 manage
set interface eth0/1 manage ping

Eine neue Zone „VPN“ und ein Tunnelinterface „tunnel.1“ erstellen. Dort dann eine Defaultroute setzen.

set zone name VPN
set interface „tunnel.1“ zone „VPN“
set interface tunnel.1 ip unnumbered interface ethernet0/1
set route 0.0.0.0/0 interface tunnel.1

Phase1-Konfiguration des benoetigten VPN erstellen.

set ike gateway „Zentrale-FW“ address 192.168.50.1 Main outgoing-interface „ethernet0/0“ preshare „0123456789abcdefghijklmnopqrstuvwxyz“ proposal „pre-g2-3des-sha“

Phase2-Konfiguration des benoetigten VPN erstellen.

set vpn „Zentrale“ gateway „fw4“ no-replay tunnel idletime 0 proposal „g2-esp-3des-sha“
set vpn „Zentrale“ monitor source-interface ethernet0/1 destination-ip 192.168.50.1 rekey
set vpn „Zentrale“ id 1 bind interface tunnel.1

Ein paar Policies fuer den Zugriff einrichten.

unset policy id 1
set policy from „Trust“ to „VPN“ „Any“ „Any“ „Any“ permit log
set policy id 1
set log session-init
exit
set policy from „VPN“ to „Trust“ „Any“ „Any“ „Any“ permit log
set policy id 2
set log session-init
exit

Vorbereitung fuer NSRP (Cluster).

set zone name HA
set interface ethernet0/6 zone HA

NSRP konfigurieren und aktivieren.

set nsrp cluster id 7
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 0 priority 100
set nsrp interface ethernet0/6
save

Konfigurieren des zweiten Clustermembers
Setzen des Hostnamens.

set hostname Zweiter

Eine Zone „HA“ erstellen, das Interface ethernet0/6 aus der „bgroup0“ nehmen und anschliessend in die Zone „HA“ bringen.

set zone name HA
unset interface bgroup0 port eth0/6
unset interface ethernet0/6 zone
set interface ethernet0/6 zone HA

NSRP konfigurieren.

set nsrp cluster id 7
set nsrp vsd-group id 0 priority 110
set nsrp interface ethernet0/6

Zum Abschluss noch die Konfiguration vom Master holen.

exec nsrp sync global-config save

Wie so oft gibt es auch hier noch diverse Dinge die man zusaetzlich konfigurieren koennte. Das faengt beim Hinzufuegen eines neuen Users an (set admin user „$NAME“ password „$PASSWORD“ privilege „all“), geht ueber eine moegliche Authentifizierung per Key (siehe hierzu auch Login per Key an Netscreen) bis hin zur Feinkonfiguration des NSRP (set nsrp encrypt password $PASSWORD, set nsrp auth password $PASSWORD, set nsrp vsd-group id 0 monitor interface $INTERFACE).

Wenn der Tunnel nicht aufgebaut wird, hilft ein Blick ins Log (get log event). Eine Meldung wie „Rejected an IKE packet on ethernet1 from n.n.n.n:500 to n.n.n.n:500 with cookies 0123456789123456 and 0123456789123456 because there were no acceptable Phase 1 proposals.“ zeigt ja schon recht klar was geht, bzw. nicht geht 😉 Weitere beliebte Fehlerquelle ist eine falsch gesetzte oder fehlende Route (get route ip). Wenn alles nichts hilft, kann auch ein „debug flow basic“ hilfreich sein.