Problem with Filter based forwarding and destination nat SRX-210



  • Hello everyone, new Junos user here, but long time ScreenOS here, and i must admit that Junos is awsome:D

    We are trying to configure  a Filter base forwarding to our client and sadly we can’t make it work and we need help

    Down here is the full config of the router (PS we made some IP adress change but the problem persist)

    We have 2 ISP  1 that is in the untrust interface and 1 in the fiber interface.

    Our goal is simple we want everyone from the Trust interface to exit to the internet by the Untrust interface and everyone from the email zone to exit from the fiber interface

    That part works fine
    Here is the problem

    Inside the Email zone we have 1 email server 10.128.16.60 (which exits to the internet by the fiber interface)

    We want people from the Outside to be able to connect to the email server web page.

    So by the static nat we assigned the outside interface to 10.0.10.3 (this is a test lab we have routers to initialise everything)

    When we use an outside PC and try to ping 10.0.10.3 we get a Ping failure BUT

    When we use the command show security flow session source-prefix we see the entering packet but it refuse to exit

    It says Incoming  Source 10.0.11.100 destination 10.0.10.3 (which is fine)
    Output 10.128.16.60 destination 10.0.11.100 Which is also fine (but the packet transmitted is 0)

    We then went to remove the default route 0.0.0.0/0 next-hop 10.0.1.2 and replaced it with 0.0.0.0/0 next hop 10.0.10.2 (our other router) and we can access the email server from the outside but the trust lost the internet.

    So in resume,  If we initiate the packet transfert from 10.128.16.60 we can go anywhere np (by going out the fiber interface) but if we initiate a packet from the outside the packet will get to his destination but when the packet will go back out, it will use the untrust interface instead of fiber

    Please help us!

    (hope my description was  clear enough)

    
    ## Last changed: 2012-10-19 01:03:11 UTC
    version 11.2R4.3;
    system {
        host-name mtl-ceq-fw-01;
        root-authentication {
            encrypted-password "$1$ndOlkxIN$D.f7XZAnW13k8M84KAnZ31"; ## SECRET-DATA
        }
        name-server {
            208.67.222.222;
            208.67.220.220;
        }
        login {
            user user {
                uid 2000;
                class super-user;
                authentication {
                    encrypted-password "$1$XGoXJVLB$XEQrGqTd.HexuUHZSzj5v/"; ## SECRET-DATA
                }
            }
        }
        services {
            ssh;
            telnet;
            xnm-clear-text;
            web-management {
                http {
                    interface [ vlan.0 ge-0/0/0.0 ];
                }
                https {
                    system-generated-certificate;
                    interface [ vlan.0 ge-0/0/0.0 ];
                }
            }
        }
        syslog {
            archive size 100k files 3;
            user * {
                any emergency;
            }
            file messages {
                any critical;
                authorization info;
            }
            file interactive-commands {
                interactive-commands error;
            }
        }
        max-configurations-on-flash 5;
        max-configuration-rollbacks 5;
        license {
            autoupdate {
                url https://ae1.juniper.net/junos/key_retrieval;
            }
        }
    }
    interfaces {
        ge-0/0/0 {
            unit 0 {
                description Untrust;
                family inet {
                    address 10.0.1.1/24;
                }
            }
        }
        ge-0/0/1 {
            unit 0 {
                description Trust;
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/2 {
            unit 0 {
                description Fiber;
                family inet {
                    address 10.0.10.1/24;
                }
            }
        }
        fe-0/0/3 {
            unit 0 {
                description Email;
                family inet {
                    filter {
                        input fiber-filter;
                    }
                    address 10.128.16.1/24;
                }
            }
        }
        fe-0/0/4 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/5 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/6 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        fe-0/0/7 {
            unit 0 {
                family ethernet-switching {
                    vlan {
                        members vlan-trust;
                    }
                }
            }
        }
        vlan {
            unit 0 {
                family inet {
                    address 192.168.2.1/24;
                }
            }
        }
    }
    routing-options {
        interface-routes {
            rib-group inet fiber-router;
        }
        static {
            route 0.0.0.0/0 {
                next-hop [ 10.0.1.2 10.0.10.2 ];
                metric 33;
            }
        }
        rib-groups {
            fiber-router {
                import-rib [ inet.0 fiber-router.inet.0 ];
            }
        }
    }
    protocols {
        stp;
    }
    security {
        screen {
            ids-option untrust-screen {
                icmp {
                    ping-death;
                }
                ip {
                    source-route-option;
                    tear-drop;
                }
                tcp {
                    syn-flood {
                        alarm-threshold 1024;
                        attack-threshold 200;
                        source-threshold 1024;
                        destination-threshold 2048;
                        timeout 20;
                    }
                    land;
                }
            }
        }
        nat {
            source {
                pool src-nat-email {
                    address {
                        10.0.10.3/32;
                    }
                }
                rule-set trust-to-untrust {
                    from zone trust;
                    to zone untrust;
                    rule source-nat-rule {
                        match {
                            source-address 0.0.0.0/0;
                        }
                        then {
                            source-nat {
                                interface;
                            }
                        }
                    }
                }
                rule-set email-to-fiber {
                    from zone email;
                    to zone fiber;
                    rule src-nat-email {
                        match {
                            source-address 0.0.0.0/0;
                        }
                        then {
                            source-nat {
                                pool {
                                    src-nat-email;
                                }
                            }
                        }
                    }
                }
            }
            destination {
                pool dst-nat-pool {
                    address 10.128.16.60/32;
                }
                rule-set dst-nat {
                    from interface fe-0/0/2.0;
                    rule dst-nat-email {
                        match {
                            destination-address 10.0.10.3/32;
                        }
                        then {
                            destination-nat pool dst-nat-pool;
                        }
                    }
                }
            }
            proxy-arp {
                interface fe-0/0/2.0 {
                    address {
                        10.0.10.3/32 to 10.0.10.3/32;
                    }
                }
            }
        }
        policies {
            from-zone trust to-zone untrust {
                policy trust-to-untrust {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone email to-zone fiber {
                policy email-to-fiber {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
            from-zone fiber to-zone email {
                policy fiber-to-email {
                    match {
                        source-address any;
                        destination-address any;
                        application any;
                    }
                    then {
                        permit;
                    }
                }
            }
        }
        zones {
            security-zone trust {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    vlan.0 {
                        host-inbound-traffic {
                            system-services {
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
            security-zone untrust {
                screen untrust-screen;
                interfaces {
                    ge-0/0/0.0 {
                        host-inbound-traffic {
                            system-services {
                                dhcp;
                                tftp;
                                all;
                            }
                            protocols {
                                all;
                            }
                        }
                    }
                }
            }
            security-zone fiber {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    fe-0/0/2.0;
                }
            }
            security-zone email {
                host-inbound-traffic {
                    system-services {
                        all;
                    }
                    protocols {
                        all;
                    }
                }
                interfaces {
                    fe-0/0/3.0;
                }
            }
        }
    }
    firewall {
        family inet {
            filter fiber-filter {
                term fiber {
                    from {
                        source-address {
                            10.128.16.0/24;
                        }
                    }
                    then {
                        routing-instance fiber-router;
                    }
                }
                term default {
                    then accept;
                }
            }
            filter tgv-filter {
                term tgv {
                    from {
                        source-address {
                            192.168.2.0/24;
                        }
                    }
                    then {
                        routing-instance tgv-router;
                    }
                }
                term default {
                    then accept;
                }
            }
        }
    }
    routing-instances {
        fiber-router {
            instance-type forwarding;
            routing-options {
                static {
                    route 0.0.0.0/0 next-hop 10.0.10.2;
                }
            }
        }
        tgv-router {
            instance-type forwarding;
            routing-options {
                static {
                    route 0.0.0.0/0 next-hop 10.0.1.2;
                }
            }
        }
    }
    vlans {
        vlan-trust {
            vlan-id 3;
            l3-interface vlan.0;
        }
    }
    
    

 

45
Online

38.4k
Users

12.7k
Topics

44.5k
Posts