Juniperобсирание, серия ну пусть будет двадцатая

klink0v — 04.03.2025

На самом деле не знаю какая уже по счету. Можете посмотреть в этом ЖЖ по соответствующему тегу, если интересно.

Вот есть коробка имени Juniper, по какому-то странному недоразумению именуемая "Security Gateway", ну да хрен бы с названием. Стоит как моё автоведро. Суть в том, что прошивки под них писали какие-то обкурившиеся до потери сознания индусы.

Видимо, этим индусам было невдомек, что кто-то захочет на этой коробке поднять BGP и поддерживать собственную PI AS.

То, что на каком-то адресе из состава этой PI AS кто-то возжелает терминировать IPSec-тоннели, видать, не могло присниться индусам даже в кошмарных снах.

Разнести внешнюю маршрутизацию и внутреннюю по разным Virtual Router-ам — это уже какая-то чёрная магия.

А уж собрать две таких коробки в кластер для отказоустойчивости, ибо такой функционал заявлен во всех рекламных проспектах, — надо полагать, что они просто пошутили. Или мы пошутили? Не знаю.

А дальше начинается прекрасное. Есть IPSec. Один из аплинков ненадолго падает, потом возвращается. Но тоннель при этом конкретно "залипает". IKE на месте, IPSec SA на месте, ESP-трафик не ходит. Шевелишь тоннель. Лапками удаляешь IKE, чистишь SA. Всё поднимается взад, но трафик по-прежнему не ходит. В логах всё хорошо, чисто и правильно. В файрволлах всё всем разрешено.

Реально помогает только поменять в конфиге IKE Gateway настройку external-interface на что-нибудь другое, пофиг на что. С lo на reth или наоборот, не важно. После commit-а всё начинает работать. До следующего "моргания" аплинка.

Причём, у тебя на этих коробках крутится пара десятков разных тоннелей с плюс-минус одинаковыми настройками, но вот так вот "по-свински" ведут себя только два из них. По совершенно непонятным причинам. Сколько не силился выявить хоть какую-то закономерность, так и не смог.

... Добавьте к этому ещё хтоническую неспособность нормально работать с IPv6 даже на последних версиях прошивки... они просто "не слышат" Routing Advertisments от провайдера / аплинка, из-за чего Default Gateway "внаружу" требуется намертво прибивать гвоздями как статический маршрут...

... И по наводке тов. funker я тут был неприятно удивлен, что оказывается 300-ая серия в принципе не кушает SFP+ (именно "плюс"). Невкусно ей. Ну действительно, если у тебя по паспорту максимальная пропускная способность 4 Гбит/с, зачем тебе SFP+ ? Воткнешь четыре гигабитных шланга и нормально ж будет! А, что, портов всего шесть? Проблемы индейцев шерифа не волнуют.

Сцуко, каждый раз убеждаюсь, что если ты у себя на интерфейсе не трафик ЦОДа терминируешь, то лучше x86_64 Linux-овой машины с хорошей Intel-евой сетевухой до сих пор ничего не придумали в принципе. И ещё долго не придумают.

Оставить комментарий

Популярные посты:

vitellius

Мобильная реклама без затрат: как фирменный мерч продвигает бизнес

shadowmoonlight

Опять проблема... штаны надо покупать

sadalskij

Если бы правда колола глаза, то бедный Михалков уже давно бы ослеп.

sveta_ki

о какой женщине мечтают мужчины

val000

Факты. Кошки.

oldcolor

Портрет женщины в шляпе, 1907-1909 гг.

uctopuockon_pyc

Новый автомобиль «Сова» сертифицировали в России

wildcompany

Среди сосен

shpatak

2025. Филиппины. Анилао. Не черная вода.

• Архив