Juniper / PulseSecure Archive - Seite 23 von 29

Juniper Firewall mit ScreenOS 5.4: Probleme beim VoIP und SIP ALG

ScreenOS 5.4.0r26.0 Problem: SIP funktioniert zwar, die NS204 läßt jedoch keine SIP Keep Alives durch. Nur die „ordentliche“ SIP Registrierung klappt. Beachte auch http://www.krakovic.de/voip-und-sip-beispiel-einer-sip-session/ NS204_EF_1(M)-> get dbuf str ****** 07147.0: <Trust/ethernet1> packet received [32]****** ipid = 6786(1a82), @d780a110 ipsec decrypt engine released, auth check pass! packet is decrypted ipsec decrypt done put packet(5883fbc) into flush queue. packet passed sanity check. ethernet1:10.136.172.201/5060->195.222.249.61/5060,17<Root> existing session found. sess token 4 flow got session. flow session id 126431 vsd 0 is active packet dropped, application error remove packet(5883fbc) out from flush queue. Lösung: ALG für SIP ausschalten! Eine ausgehende Regel zum SIP Proxy mit einer DIP einrichten: Dann eine Regel von Untrust zu Trust anlegen: Beachte auch http://kb.juniper.net/InfoCenter/index?page=content&id=KB4872&pmv=print Juniper bietet diese Lösung …

Netscreen / Juniper: Was ist ein DIP Pool?

Manchmal ist es nötig die ursprüngliche IP Adrese (Source IP) in eine andere Adresse zu übersetzen. Zum Beispiel dann, wenn Hosts aus dem privaten Netz mit Internet Ressourcen kommunizieren möchten. Manchmal ist es nötig die Absender-IP umzustellen, wenn auf der anderen Seite des VPN dasselbe Netz existiert. Dynamic IP (DIP) ist ein Pool von Adressen, die genutzt werden, wenn interne Adressen übersetzt werden sollen (NAT-src). Wenn eine Policy eine NAT-src benötigt und auf einen speziellen NAT-Pool verweist, dann wird aus diesem Pool eine Adresse für die NAT genommen. Der Pool kann sehr klein sein, vielleicht nur eine IP-Adresse, die, wenn man PAT (Port Address Translation) einschaltet, bis zu 64.500 Hosts aus dem privaten Netz bedienen kann. Der Firewall verwaltet eine …