Ralf Zimmermann SIEGNETZ.IT GmbH

JunOS

Hardening JunOS

Zurück zum Seitenanfang | Aktualisiert am

Harden console

set system ports console log-out-on-disconnect

Disable reset button

set chassis config-button no-clear no-rescue

Disable and description unused interfaces

set interfaces ge-0/0/1 description "---unused---" disable

Default source address

set system default-address-selection

Disable unused services

delete system services rsh
delete system services rlogin
delete system services ftp
delete system services finger
delete system services telnet
delete system services http

Harden SSH

set system service ssh protocol-version v2
set system service ssh root-login deny
set system service ssh connection-limit 10
set system service ssh rate-limit 3

Harden Login

set system login retry-options tries-before-disconnect 3
set system login retry-options backoff-threshold 1
set system login retry-options backoff-factor 6
set system login retry-options minimum-time 30

Harden network

set system no-redirects
set system no-ping-record-route
set system no-ping-timer-stamp
set system internet-options tcp-drop-synfin-set
set system internet-options no-tcp-reset drop-all-tcp
set protocols lldp interface all disable
set protocols lldp interface fe-0/0/2
set protocols lldp-med interface all disable
set protocols lldp-med interface fe-0/0/2

Harden syslog

set system syslog host 192.168.100.1 log-prefix lab-101srx001
set system syslog host 192.168.100.1 source-address 192.168.101.1

Disable USB

set system processes usb-control disable
set chassis usb storage disable

Encrypt configuration files

request system set-encryption-key algorithm aes
set system encrypt-configuration-files

JunOS restrict management access to specific IP addresses

Zurück zum Seitenanfang | Aktualisiert am

Use Firewall Filter

policy-options {
    prefix-list manager-ip {
    10.0.0.0/8
    192.168.0.0/16
    172.16.0.0/12
    }
}
firewall {
    filter manager-ip-filter {
        term allow-manager-networks {
            from {
                source-prefix-list {
                    manager-ip;
                }
            }
            then accept;
        }
    term deny-all {                     
        then {
            log;
            discard;
        }
    }
    }
}
interfaces {
    lo0 {
        unit 0 {
            family inet {
                filter {
                    input manager-ip-filter;
                }
            }
        }
    }
}

Use Security Policy

Note: Bei der Verwendung von Security Policies ist zu bedenken, dass die Policy auch Traffic betrifft der für das Gerät selber bestimmt ist. Dazu gehören auch Protokolle wie z.B. OSPF, BGP oder RIP. Die notwendigen Adressen sind der prefix-list manager-ip dann hinzuzufügen.

[edit security policies]
from-zone mgmt to-zone junos-host {
    policy allow-manager-ip {
        match {
            source-address manager-ip;
            destination-address any;
            application any;
        }
        then {
            permit;
        }
    }
    policy deny-all {
        match {
            source-address any;
            destination-address any;
            application any;
        }
        then {
            deny;
        }
    }
}
default-policy {
    deny-all;
}
[edit security zones]
security-zone mgmt {
    address-book {
        address 10.0.0.0/8 10.0.0.0/8;
        address 192.168.0.0/16 192.168.0.0/16;
        address 172.16.0.0/12 172.16.0.0/12;
        address-set manager-ip {
            address 10.0.0.0/8;
            address 192.168.0.0/16;
            address 172.16.0.0/12;
        }
    }
    host-inbound-traffic {
        system-services {
            all;
        }
        protocols {
            all;
        }
    }
    interfaces {
        lo0.0;
    }
}

JunOS Troubleshooting

Zurück zum Seitenanfang | Aktualisiert am

Monitor Bootp/DHCP Traffic

monitor traffic no-resolve interface reth2.0 matching "udp and port (67||68)"

Troubleshooting security policy and traffic flows

set security flow traceoptions file debug-traffic
set security flow traceoptions flag basic-datapath
set security flow traceoptions packet-filter inbound-ssl-vpn source-prefix 0.0.0.0/0
set security flow traceoptions packet-filter inbound-ssl-vpn destination-prefix 10.10.10.10/32
set security flow traceoptions packet-filter inbound-ssl-vpn destination-port 443
set security flow traceoptions packet-filter inbound-ssl-vpn protocol tcp
set security flow traceoptions packet-filter outbound-ssl-vpn source-prefix 10.10.10.10/32
set security flow traceoptions packet-filter outbound-ssl-vpn destination-prefix 10.1.1.100/32
set security flow traceoptions packet-filter outbound-ssl-vpn source-port 433 
set security flow traceoptions packet-filter outbound-ssl-vpn protocol tcp

JunOS SRX & DHCPv6 mit VDSL

Zurück zum Seitenanfang | Aktualisiert am

Voraussetzungen

Um DHCPv6 zu konfigurieren, müssen folgende Punkte erfüllt sein.

  • Junos OS Release 12.1X45D-10 oder aktueller für SRX Series Geräte

Um dieses Beispiel auszuprobieren sollte auch keine spezielle Konfiguration auf dem Gerät vorhanden sein.

IPv6 vorbereiten

security {
    forwarding-options {
        family {
            inet6 {
                mode flow-based;
            }
        }
    }
}

Konfiguration Security Zone

show security zones security-zone untrusted                             
interfaces {
    pp0.0 {
        host-inbound-traffic {
            system-services {
                dhcpv6;
            }
            protocols {
                router-discovery;
            }
        }
    }
}

Konfiguration des PPPOE Interfaces

interfaces {
 pp0 unit 0 family inet6
 dhcpv6-client {
    client-type statefull;
    client-ia-type ia-na;
    client-ia-type ia-pd;
    rapid-commit;
    update-router-advertisement {
        interface vlan.0;
    }
    client-identifier duid-type duid-ll;
    update-server;
    retransmission-attempt 6;
}

Konfiguration der statischen default Route

routing-options {
    rib inet6.0 {
        static {
            route ::/0 next-hop pp0.0;
        }
    }
}

Eingehende icmp6 echo-requests erlauben

show security policies from-zone untrusted to-zone trusted policy allow-icmp6 
match {
    source-address any;
    destination-address any;
    application junos-icmp6-echo-request;
}
then {
    permit;
}

DHCPv6 Funktionalität überprüfen

rzimmermann@lab> show dhcpv6 client binding detail 

Client Interface: pp0.0
     Hardware Address:             10:0e:7e:fb:be:c1
     State:                        BOUND(DHCPV6_CLIENT_STATE_BOUND)
     ClientType:                   STATEFUL
     Lease Expires:                2015-08-18 18:15:01 CEST
     Lease Expires in:             14369 seconds
     Lease Start:                  2015-08-18 14:15:01 CEST
     Bind Type:                    IA_PD
     Client DUID:                  LL0x29-10:0e:7e:fb:be:c1
     Rapid Commit:                 On
     Server Ip Address:            ::
     Update Server                 Yes
     Client IP Prefix:             2003:a:332:9900::/56

DHCP options:
    Name: server-identifier, Value: VENDOR0x00000a4c-0x4533322f
    Name: dns-recursive-server, Value: 2003:180:2:3000:0:1:0:53,2003:180:2:4000:0:1:0:53

DHCPv6 Troubleshooting

Bei der Konfiguration und Definition von IPv6 Firewall Filtern kommt es unter Umständen dazu das DHCPv6 nicht mehr funktioniert. In unseren Installationen und Tests mit mehreren Routing Instanzen und mehreren VDSL Zugängen hat folgender Befehl die Funktionalität wiederhergestellt.

 
request dhcpv6 client renew interface pp0.0

JunOS SRX & DHCP Server in routing-instance

Zurück zum Seitenanfang | Aktualisiert am

Konfiguration der DHCP Server Interfaces

rzimmermann@lab# show routing-instances labnet system services 
dhcp-local-server {
    group dhcp-server-labnet {
        interface fe-0/0/2.0;
    }
}

Konfiguration der DHCP Pararmeter

rzimmermann@bastion# show routing-instances labnet access address-assignment 
pool pool-labnet {
    family inet {
        network 10.20.30.0/24;
        range range-labnet {
            low 10.20.30.97;
            high 10.20.30.127;
        }
        dhcp-attributes {
            maximum-lease-time 28800;
            domain-name labnet.local;
            name-server {
                10.20.30.10;
            }
            router {
                10.20.30.1;
            }
        }
    }
}

JunOS SRX & Configuring Integrated User Firewall

Zurück zum Seitenanfang | Publiziert am

Voraussetzungen

Um Firewall Regeln mit User oder Gruppen Policies zu konfigurieren, müssen folgende Punkte erfüllt sein.

  • Es muss ein SRX Gerät sein
  • Junos OS Release 12.1X47D-10 oder aktueller für SRX Series Geräte

Um dieses Beispiel auszuprobieren sollte auch keine spezielle Konfiguration auf dem Gerät vorhanden sein.

Konfiguration

set services user-identification active-directory-access domain rz.siegnetz.de user-group-mapping ldap base DC=rz,DC=siegnetz,DC=de
set services user-identification active-directory-access domain rz.siegnetz.de user administrator password xxxxx
set services user-identification active-directory-access domain rz.siegnetz.de domain-controller dc1 address 10.0.0.10
set access profile profile1 authentication-order ldap
set access profile profile1 authentication-order password
set access profile profile1 ldap-options base-distinguished-name DC=rz,DC=siegnetz,DC=de
set access profile profile1 ldap-options search search-filter cn=
set access profile profile1 ldap-options search admin-search distinguished-name admin
set access profile profile1 ldap-options search admin-search password "$9$8HqL-dfsrr3dysdsad3"
set access profile profile1 ldap-server 10.0.0.10
set security policies from-zone trust to-zone untrust policy p1 match source-address any
set security policies from-zone trust to-zone untrust policy p1 match destination-address any
set security policies from-zone trust to-zone untrust policy p1 match application any
set security policies from-zone trust to-zone untrust policy p1 match source-identity unauthenticated-user
set security policies from-zone trust to-zone untrust policy p1 then permit firewall-authentication user-firewall access-profile profile1
set security policies from-zone trust to-zone untrust policy p2 match source-address any
set security policies from-zone trust to-zone untrust policy p2 match destination-address any
set security policies from-zone trust to-zone untrust policy p2 match application any
set security policies from-zone trust to-zone untrust policy p2 match source-identity “rz.siegnetz.de\lias”
set security policies from-zone trust to-zone untrust policy p2 then permit

Verbindung zum Domain Controller überprüfen

Es sollte überprüft werden, dass ein Domain Controller konfiguriert ist und auch abgefragt werden kann.

show services user-identification active-directory-access domain-controller status

Verbindungen zum LDAP Server überprüfen

Das Mapping der user-to-group Informationen bei Abfragen des LDAP Servers sollte funktionieren.

show services user-identification active-directory-access user-group-mapping status

Authentication Table Entries überprüfen

Überprüfen welche User welchen Gruppen zugehörig sind und welche User, Gruppen und IP Adressen zu welcher Domain gehören.

show services user-identification active-directory-access active-directory-authentication-table all

IP-to-User Mapping überprüfen

Überprüfen ob der Event Log gescannt werden kann.

show services user-identification active-directory-access statistics ip-user-mapping

IP-Probe-Counts überprüfen

Überprüfen der IP Überprüfungen. Die Anzahl und die fehlgeschlagenen Überprüfungen sollten angezeigt werden.

show services user-identification active-directory-access statistics ip-user-probe

User-To-Group Mapping überprüfen

Überprüfen der user-to-group Mapping. Hier sollte die Anzahl der erfolgreichen und fehlgeschlagenen Abfragen angezeigt werden.

show services user-identification active-directory-access statistics user-group-mapping

JunOS SRX & DHCP-Relay mit routing-instances

Zurück zum Seitenanfang | Publiziert am

DHCP-Relay Konfiguration mittels helpers

Die einfachere Art DHCP-Relay mit routing-instances zu konfigurieren ist die Konfiguration über die forwarding-options bzw. helpers. Das wichtige in der Konfiguration ist die Angabe der routing-instance.

show forwarding-options
helpers {
    bootp {
        relay-agent-option;
        interface {
            ge-0/0/1.0 {
                server 10.1.1.10 routing-instance network-1;
                server 10.1.1.11 routing-instance network-1;
            }
            ge-0/0/2.0 {
                server 10.1.1.10 routing-instance network-2;
                server 10.1.1.11 routing-instance network-2;
            }
            ge-0/0/3.0 {
                server 10.1.1.10 routing-instance network-3;
                server 10.1.1.11 routing-instance network-3;
            }
        }
    }
}

DHCP-Relay Konfiguration mittels routing-instance forwarding-options

Wird DHCP-Relay in einer routing-instance konfiguriert, dann wird in der default Instanz ein dummy Eintrag konfiguriert.

dhcp-relay {
    server-group {
        dummy-config;
    }
}
[edit forwarding-options]

instance-network-1 {
    instance-type virtual-router;
    interface ge-0/0/1.0;
    routing-options {
        interface-routes {
            rib-group inet import-clients;
        }
        static {
            route 0.0.0.0/0 next-hop 10.10.1.1;
        }
        router-id 10.10.1.10;
    }
    forwarding-options {
        dhcp-relay {
            server-group {
                dhcp-relay-servers {
                    10.1.1.10;
                    10.1.1.11;
                }
            }
            active-server-group dhcp-relay-servers;
            group relay-in-vr {
                interface ge-0/0/1.0;
            }
        }
    }
    protocols {
        ospf {
            rib-group import-clients;
            area 0.0.0.0 {
                interface ge-0/0/1.0 {
                    passive;
                    authentication {
                        simple-password "..."; ## SECRET-DATA
                    }
                }
            }
        }
    }
}
instance-network-2 {
    instance-type virtual-router;
    interface ge-0/0/2.0;
    routing-options {
        interface-routes {
            rib-group inet import-clients;
        }
        static {
            route 0.0.0.0/0 next-hop 10.10.2.1;
        }
        router-id 10.10.2.10;
    }
    forwarding-options {
        dhcp-relay {
            server-group {
                dhcp-relay-servers {
                    10.1.1.10;
                    10.1.1.11;
                }
            }
            active-server-group dhcp-relay-servers;
            group relay-in-vr {
                interface ge-0/0/2.0;
            }
        }
    }
    protocols {
        ospf {
            rib-group import-clients;
            area 0.0.0.0 {
                interface ge-0/0/2.0 {
                    passive;
                    authentication {
                        simple-password "..."; ## SECRET-DATA
                    }
                }
            }
        }
    }
}
instance-network-3 {
    instance-type virtual-router;
    interface ge-0/0/3.0;
    routing-options {
        interface-routes {
            rib-group inet import-clients;
        }
        static {
            route 0.0.0.0/0 next-hop 10.10.3.1;
        }
        router-id 10.10.3.10;
    }
    forwarding-options {
        dhcp-relay {
            server-group {
                dhcp-relay-servers {
                    10.1.1.10;
                    10.1.1.11;
                }
            }
            active-server-group dhcp-relay-servers;
            group relay-in-vr {
                interface ge-0/0/3.0;
            }
        }
    }
    protocols {
        ospf {
            rib-group import-clients;
            area 0.0.0.0 {
                interface ge-0/0/3.0 {
                    passive;
                    authentication {
                        simple-password "..."; ## SECRET-DATA
                    }
                }
            }
        }
    }
}
[edit routing-instances]

Funktionalität überprüfen

DHCP relay statistics überprüfen.

rzimmermann@lab# run show dhcp relay statistics routing-instance instance-network-1
Packets dropped:
Total 0

Messages received:
BOOTREQUEST 1
DHCPDECLINE 0
DHCPDISCOVER 0
DHCPINFORM 0
DHCPRELEASE 0
DHCPREQUEST 1

Messages sent:
BOOTREPLY 1
DHCPOFFER 0
DHCPACK 1
DHCPNAK 0
DHCPFORCERENEW 0

Check the DHCP client bindings in the routing instance:

rzimmermann@lab# run show dhcp relay binding routing-instance instance-network-1

IP address   Session Id  Hardware address   Expires   State     Interface
10.10.1.100  5           00:2c:39:12:1a:00  86201     BOUND     ge-0/0/1.0

JunOS SRX & VOICE VLAN mit LLDP-MED Support

Zurück zum Seitenanfang | Publiziert am

Ethernet-Switching Konfiguration

rzimmermann@lab> show configuration ethernet-switching-options
voip {
    interface ge-0/0/0.0 {
        vlan voice;
        forwarding-class expedited-forwarding;
    }
}

VLAN Konfiguration

rzimmermann@lab> show configuration vlans
voice {
    vlan-id 100;
}

JunOS SRX & IPsec mit NAT-Traversal

Zurück zum Seitenanfang | Publiziert am

IKE Konfiguration

Es gibt eigentlich nicht viel zu tun, um eine IPsec Konfiguration für dynamische Adressen oder für maskierte Zugänge zu konfigurieren. In der ike Konfiguration ist es wichtig den Parameter local-identity zu definieren. Mit diesem Namen kann der Gateway den Tunnel zuordnen. Auch muss der Parameter mode aggressive konfiguriert werden.

ike {
    proposal tunnel-p1 {
        authentication-method pre-shared-keys;
        dh-group group5;
        authentication-algorithm sha1;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 28800;
    }
    policy ike-policy1 {
        mode aggressive;
        proposals tunnel-p1;
        pre-shared-key ascii-text "...";
        }
    gateway ike-gate {
        ike-policy ike-policy1;
        address 217.7.183.193;
        local-identity hostname vpn-tunnel-client;
        external-interface fe-0/0/0;
    }
}

IPSec Konfiguration

Die Phase-2 benötigt keine Anpassungen.

ipsec {
    proposal tunnel-p2 {
        protocol esp;
        authentication-algorithm hmac-sha1-96;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 3600;
    }
    policy vpn-policy1 {
        perfect-forward-secrecy {
            keys group5;
        }
        proposals tunnel-p2;
    }
    vpn ike-vpn {
        bind-interface st0.0;
        vpn-monitor {
            optimized;
        }
        ike {
            gateway ike-gate;
            proxy-identity {
                local 192.168.1.0/24;
                remote 0.0.0.0/0;
            }
            ipsec-policy vpn-policy1;
        }
    }
}

JunOS SRX & Sophos UTM & IPsec mit Traffic-Selector

Zurück zum Seitenanfang | Publiziert am

IKE Konfiguration

Die IKE Konfiguration unterscheidet sich nicht stark von einer einfachen Site-to-Site Konfiguration. Wer einen Site-to-Site Tunnel zwischen einer SRX und einer Sophos SG UTM aufbauen möchte, bekommt Probleme mit der Sophos VPN-ID. In dem folgenden Beispiel werden die local-identity und die remote-identity in der gateway section definiert. Die VPN-ID's der Sophos UTM sollten auf Hostname und den entsprechenden Hostnamen stehen.


ike {
    proposal lab-p1 {
        authentication-method pre-shared-keys;
        dh-group group14;
        authentication-algorithm sha-256;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 28800;
    }
    policy lab-policy-p1 {
        mode main;
        proposals lab-p1;
        pre-shared-key ascii-text "XXXXXXXX"; ## SECRET-DATA
    }
    gateway ike-gate-lab {
        ike-policy lab-policy-p1;
        address 10.1.1.1;
        local-identity hostname lab1.siegnetz.lab;
        remote-identity hostname lab2.siegnetz.lab;
        external-interface pp0;
        version v1-only;
    }
}

IPSec Konfiguration

Die Traffic-Selektoren sind sehr einfach zu konfigurieren.



ipsec {
    proposal lab-p2 {
        protocol esp;
        authentication-algorithm hmac-sha-256-128;
        encryption-algorithm aes-256-cbc;
        lifetime-seconds 3600;
    }
    policy lab-policy-p2 {
        perfect-forward-secrecy {
            keys group14;
        }
        proposals lab-p2;
    }
    vpn ike-vpn-lab {
        bind-interface st0.1;
        ike {
            gateway ike-gate-lab;
            ipsec-policy lab-policy-p2;
        }
        traffic-selector lab-net-1 {
            local-ip 10.1.1.0/24;
            remote-ip 10.2.1.0/24;
        }
        traffic-selector lab-net-2 {
            local-ip 10.1.2.0/24;
            remote-ip 10.2.2.0/24;
        }
        establish-tunnels immediately;
    }
}

Security Associations abfragen

Um den Status der IKE Security Associations abzufragen wird folgender Befehl ausgeführt.


run show security ike sa

Um den Status der IPSec Security Associations abzufragen wird folgender Befehl ausgeführt.


run show security ipsec sa

Detailierte Informationen erhält man mit folgendem Befehl.


run show security ipsec security-associations detail

JunOS SRX & SNMP in einer routing-instance

Zurück zum Seitenanfang | Publiziert am

Interface Konfiguration

In etwas aufwändigeren JunOS Konfigurationen kann es notwendig sein mit routing-instances zu arbeiten. Dabei kann es sehr schnell zur Verwirrung und Problemen kommen. In diesem Beispiel geht es darum, SNMP Abfragen an dem Interface vlan.0 zu ermöglichen. Das Interface liegt in der routing-instance niederlassung. Die hier aufgeführten Konfigurationen sind nicht vollständig und sollen nur das Prinzip verdeutlichen.

Zum Verständnis hier die Interface Konfiguration.

interfaces {
    interface-range interfaces-niederlassung {
        member fe-0/0/2;
        member fe-0/0/3;
        member fe-0/0/4;
        member fe-0/0/5;
        member fe-0/0/6;
        member fe-0/0/7;
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members vlan-trust;
                }
            }
        }
    }

    vlan {
        unit 0 {
            family inet {
                filter {
                    input source-route-filter;
                }
                address 192.168.1.1/24;
            }
        }
    }
}

SNMP Konfiguration

Damit von einer routing-instance SNMP Abfragen möglich werden, muss der Parameter routing-instance-access konfiguriert werden. Über den Parameter access-list kann man den Zugriff noch auf bestimmte routing-instancen einschränken. Wichtig ist in diesem Fall noch die Konfiguration der clients die zugreifen dürfen. Damit aus der routing-instance niederlassung zugegriffen werden kann, werden explizit die clients in der routing-instance konfiguriert.

snmp {
    description "Node SRX";
    location lab;
    contact "r.zimmermann@siegnetz.de";
    engine-id {
        use-mac-address;
    }
    community internal {
        authorization read-only;
        clients {
            192.168.1.0/24;
        }
        routing-instance niederlassung {
            clients {
                192.168.1.0/24;
            }
        }
    }
    routing-instance-access {
        access-list {
            niederlassung;
        }
    }
}

Konfiguration routing-options

Nur der Vollständigkeit halber hier die Konfiguration der rib-groups. Diese hier zur erklären würde den Rahmen sprengen.

routing-options {
    interface-routes {
        rib-group inet import-default;
    }
    static {
        route 0.0.0.0/0 {
            next-hop 2127.7.183.193;
            metric 5;
        }
        route 10.0.0.0/8 discard;
        route 172.16.0.0/12 discard;
        route 192.168.0.0/16 discard;
    }
    rib-groups {
        import-default {
            import-rib [ inet.0 niederlassung.inet.0 ];
        }
        import-niederlassung {
            import-rib [ niederlassung.inet.0 inet.0 ];
            import-policy [ reject-ospf reject-internal ];
        }
    }
    router-id 10.1.1.10;
}

Konfiguration routing-instance niederlassung

Der routing-instance sind die Interfaces st0.0 und vlan.0 zugeordnet und OSPF wurde konfiguriert.

routing-instances {
    niederlassung {
        instance-type virtual-router;
        interface st0.0;
        interface vlan.0;
        routing-options {
            interface-routes {
                rib-group inet import-niederlassung;
            }
            static {
                route 10.0.0.0/8 discard;
                route 172.16.0.0/12 discard;
                route 192.168.0.0/16 discard;
                route 0.0.0.0/0 next-hop 10.1.1.1;
            }
            router-id 10.1.1.10;
        }
        protocols {
            ospf {
                export export-ospf;
                area 0.0.0.0 {
                    interface st0.0 {
                        interface-type p2p;
                        authentication {
                            simple-password "...";
                        }
                    }
                    interface vlan.0 {
                        passive;
                        authentication {
                            simple-password "...";
                        }
                    }
                }
            }
        }
    }
}

SNMP Abfrage

Mit folgendem Befehl kann nun z.B ein SNMP-Walk ausgeführt werden

snmpwalk -v 2c -c niederlassung@internal 1.3.6.1.4.1 192.168.1.1

Note: Wichtig ist bei der Abfrage die community niederlassung@internal

JunOS SRX110 VDSL Konfiguration

Zurück zum Seitenanfang | Aktualisiert am

Note: Die Juniper SRX110 unterstützt derzeit die DSL-Standards Annex-A und Annex-B. Da die Deutsche Telekom vermehrt Anschlüsse auf IP-basierte Anschlüsse umstellt, können diese Anschlüsse nicht mit einer SRX110 betrieben werden. Router die an einem IP-basierten Anschluss betrieben werden, müssen den DSL-Standard Annex-J unterstützen. Oft fällt in diesem Zusammenhang auch der Begriff DSL ohne Splitter. Bei Annex-J Anschlüssen entfällt der Splitter, da Telefonie und Internet über die DSL-Datenleitung laufen. VDSL-25 und VDSL-50 können noch mit Annex-B betrieben werden. Für VDSL-100 gilt dies nicht mehr. Dort muss ein Modem mit Unterstützung für Annex-J eingesetzt werden. Seitens der Telekom sollten Router die Standards 1TR112/U-R2 und Annex-J unterstützen. Alternativ kann man die SRX mit PPPOE und einem VDSL Modem betreiben.

Warning: Der Router muss mit dem mitgelieferten "DSL-Kabel für den IP-basierten Anschluss" direkt an die Telefondose (TAE) angeschlossen werden. Ein DSL-Splitter darf nicht mehr angeschlossen werden.

Andere Router-Modelle der Telekom sind für DSL ohne Splitter derzeit nicht geeignet.

Geräte anderer Hersteller müssen den Standard 1TR112 unterstützen und explizit für Annex J geeignet sein. Kontaktieren Sie hierzu den Hersteller.

[Quelle: ]

Konfiguration

interfaces {
  pt-1/0/0 {
    vlan-tagging;        # VLAN tagging aktivierens
    vdsl-options {
      vdsl-profile auto;
    }
    unit 0 {
      encapsulation ppp-over-ether;
      vlan-id 7;         # vlan-id 7 für Datentraffic der Telekom aktivieren
    }
  }
  pp0 unit 0 {
      ppp-options chap {
          default-chap-secret passwort;
          local-name "feste-ip/rzimmermann@t-online-com.de";
          passive;
      }
      pppoe-options {
        underlying-interface pt-1/0/0.0;
        auto-reconnect 120;
        client;
      }
      family inet {
        mtu 1492;
        negotiate-address;
      }
  }
}
routing-options static route 0.0.0.0/0 next-hop pp0.0;
security zones security-zone untrust {
    screen untrust-screen;
    host-inbound-traffic system-services {
        ike;
        ping;
    }
    interfaces pp0.0;
}
security {
    flow {
        tcp-mss {
            all-tcp {
            mss 1452;
            }
        }
    }
}

JunOS Pulse Client mit Prekonfiguration installieren

Zurück zum Seitenanfang | Publiziert am

Installation JunOS Pulse

msieexec -i JunosPulse.msi CONFIGFILE="c:\...\myconfiguration.jnprpreconfig"

JunOS Pulse Advanced Command Line Options

ADDLOCAL features:
  • PulseSA—Pulse components required for Pulse Secure Access Service.
  • PulseUAC—Pulse components required for Pulse Access Control Service.
  • PulseSRX—Pulse components required for SRX Series Gateways.
  • PulseAppAccel—Pulse components required for Pulse Application Acceleration Service.
Optional sub-features:
  • Pulse8021x—Available with PulseUAC. Includes 802.1x connectivity components.
  • SAEndpointDefense—Available with PulseSA. Includes Enhanced Endpoint Security components for connections to Pulse Secure Access Service.
  • SAHostChecker—Available with PulseSA. Includes Host Checker components for connections to Pulse Secure Access Service.
  • UACEndpointDefense—Available with PulseUAC. Includes Enhanced Endpoint Security components for connections to Pulse Access Control Service.
  • UACHostChecker—Available with PulseUAC. Includes Host Checker components for connections to Pulse Access Control Service.
  • UACIPSec—Available with PulseUAC. Includes components required to connect to Pulse Access Control Service using IPSec from 32-bit Windows endpoints. This feature is available in the 32-bit MSI only.
  • UACIPSec64—Available with PulseUAC. Includes components required to connect to Pulse Access Control Service using IPSec from 64-bit Windows endpoints. This feature is available in the 64-bit MSI only.

Sample Output

When you use ADDLOCAL, you should append msiexec options /qn or /qb to the command line to suppress the installation program user interface. These examples use /qb.

To install PulseUAC with 802.1x and Enhanced Endpoint Security support on a Windows 32-bit endpoint using a configuration file, use the following command line:

msiexec -i JunosPulse.x86.msi CONFIGFILE=c:\...\Pulse-Connection-no.jnprpreconfig ADDLOCAL=PulseUAC,Pulse8021x,UACEndpointDefense /qb

To install PulseSA on a 32-bit Windows endpoint using a configuration file, use the following command line:

msiexec -i JunosPulse.x86.msi CONFIGFILE=c:\...\myconfiguration.jnprpreconfig ADDLOCAL=PulseSA /qb

To install PulseSA with Enhanced Endpoint Security and Host Checker on a 64-bit Windows endpoint using a configuration file, use the following command line:

msiexec -i JunosPulse.x64.msi CONFIGFILE=c:\...\myconfiguration.jnprpreconfig ADDLOCAL=PulseSA,SAEndpointDefense,SAHostChecker /qb

To install PulseAppAccel on a 64-bit Windows endpoint using a configuration file, use the following command line:

msiexec -i JunosPulse.x64.msi CONFIGFILE=c:\...\myconfiguration.jnprpreconfig ADDLOCAL=PulseAppAccel /qb

To install all Pulse components on a 64-bit Windows endpoint using a configuration file, use the following command line:

msiexec -i JunosPulse.x64.msi CONFIGFILE=c:\...\myconfiguration.jnprpreconfig /qb
Seitenfang