Host-inbound-traffic with 2 isps (different routing instances)



  • hello,

    im working on my juniper srx240. i have 2 isps and i want to use host-inbound-traffic (like ssh and ping) from both isps-uplinks.
    is it possible to configure host-inbound-traffic to use differnet routing instances?

    at the moment i only can use the uplink with the smaler preference. and the firewall-filter will not work correctly.

    here is a small part of my configuration.

    
    interfaces {
        reth0 {
            description Glasfaser;
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 0 {
                family inet {
                    filter {
                        input FIBER-IN;
                    }
                    address 217.x.x.190/29;
                }
            }
        }
        reth1 {
            description dsl-uplink;
            redundant-ether-options {
                redundancy-group 1;
            }
            unit 0 {
                family inet {
                    filter {
                        input DSL-IN;
                    }
                    address 172.31.1.2/24;
                }
            }
        }
    }
    routing-options {
        interface-routes {
            rib-group inet common;
        }
        static {
            route 0.0.0.0/0 {
                qualified-next-hop 172.31.1.1 {
                    preference 10;
                }
                qualified-next-hop 217.x.x.190 {
                    preference 15;
                }
            }
        }
        rib-groups {
            common {
                import-rib [ inet.0 ri-fiber.inet.0 ri-dsl.inet.0 ];
            }
        }
    }
    security {
        nat {
            source {
                rule-set interface-nat-out {
                    from interface reth2.0;
                    to interface [ reth0.0 reth1.0 ];
                    rule interface-nat-out {
                        match {
                            source-address 0.0.0.0/0;
                            destination-address 0.0.0.0/0;
                        }
                        then {
                            source-nat {
                                interface;
                            }
                        }
                    }
                }
            }                               
        }
        zones {
            security-zone trust {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                }
                interfaces {
                    reth2.0;
                }
            }
            security-zone untrust {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                }
                interfaces {
                    reth0.0;
                }
            }
            security-zone untrust-dsl {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                }
                interfaces {
                    reth1.0;
                }
            }
        }
    }
    firewall {
        filter FIBER-IN {
            term 1 {
                from {
                    destination-address {
                        217.x.x.190/32;
                    }
                }
                then accept;
            }
            term 2 {
                then {
                    routing-instance ri-fiber;
                }
            }
        }
        filter DSL-IN {
            term 1 {
                from {
                    destination-address {
                        172.31.1.2/32;
                    }
                }
                then accept;
            }
            term 2 {
                then {
                    routing-instance ri-dsl;
                }
            }
        }
    }
    routing-instances {
        ri-dsl {                            
            instance-type forwarding;
            routing-options {
                static {
                    route 0.0.0.0/0 {
                        qualified-next-hop 172.31.1.1;
                    }
                }
            }
        }
        ri-fiber {
            instance-type forwarding;
            routing-options {
                static {
                    route 0.0.0.0/0 {
                        qualified-next-hop 217.x.x.185;
                    }
                }
            }
        }
    }
    
    

    regards,
    markus


 

50
Online

38.5k
Users

12.7k
Topics

44.5k
Posts