Ich bastele derzeit ein bisschen mit einer Juniper SRX 300 Firewall rum und versuche damit als Fingerübung meine pfSense Firewall zu ersetzen. Ich habe auch durchaus den Plan, so einige Fallstricke, die mir im Umgang mit dem Gerät begegnen als Blogreihe zu veröffentlichen. Jetzt bin Ich soeben aber scheinbar auf einen Fehler im JunOS Betriebssystem auf einer MX480 gestoßen, welcher sich auf der aber auch SRX genauso verhält.

Problem war, dass Geräte nicht zur Verfügung standen, die aber vor Kurzem noch funktionierten. Eine directly connected Route hat ein zu kleines Subnetz (statt der erwarteten /29).


1
2
3
marcus.scholz@re0.rt01.ems1> show route 185.64.171.226
inet.0: 697491 destinations, 2547292 routes (697489 active, 0 holddown, 4 hidden) + = Active Route, - = Last Active, * = Both
185.64.171.224/30 *[Direct/0] 20:03:01 > via ae4.264

So ist das gesuchte Interface konfiguriert:


1
2
3
4
5
marcus.scholz@re0.rt01.ems1# show interfaces irb unit 287
description "WLAN RZ"
family inet {
    address 185.64.171.225/29;
}

Und dieses hier auf einem anderen (VLAN)-Interface trägt die gleiche IP mit der more-specific /30er Maske.


1
2
3
4
5
6
7
8
9
10
11
{master}[edit]
marcus.scholz@re0.rt01.ems1# show interfaces ae4.264  
description "cust: Kunde";
vlan-id 264;
family inet {
    policer {
        input RL-100M-policer;
        output RL-100M-policer;
    }
    address 185.64.171.225/30;
}

So etwas sollte eigentlich gar nicht vorkommen können. Konfiguriert man die selbe IP oder überlappende Netzbereiche auf 2 Units des gleichen Interfaces, wirft er beim commit (check) einen Fehler und verweigert die Ausführung. Diese Prüfung scheint aber nicht zu greifen, wenn der Konflikt zwischen 2 Interfaces besteht und die Konfiguration wird anstandslos übernommen. Mit dem Effekt, dass einer der beiden Anschlüsse brach liegt.

Das ist schade

Softwareversionen des Geräts:


1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
Hostname: re0.rt01.ems1
Model: mx480
Junos: 15.1F7-S4.4
JUNOS OS Kernel 64-bit [20180216.9358489_builder_stable_10]
JUNOS OS libs [20180216.9358489_builder_stable_10]
JUNOS OS runtime [20180216.9358489_builder_stable_10]
JUNOS OS time zone information [20180216.9358489_builder_stable_10]
JUNOS network stack and utilities [20180309.024457_builder_junos_151_f7_s4]
JUNOS modules [20180309.024457_builder_junos_151_f7_s4]
JUNOS OS libs compat32 [20180216.9358489_builder_stable_10]
JUNOS OS 32-bit compatibility [20180216.9358489_builder_stable_10]
JUNOS libs compat32 [20180309.024457_builder_junos_151_f7_s4]
JUNOS runtime [20180309.024457_builder_junos_151_f7_s4]
Junos vmguest package [20180309.024457_builder_junos_151_f7_s4]
JUNOS py base [20180309.024457_builder_junos_151_f7_s4]
JUNOS OS vmguest [20180216.9358489_builder_stable_10]
JUNOS OS crypto [20180216.9358489_builder_stable_10]
JUNOS platform support [20180309.024457_builder_junos_151_f7_s4]
JUNOS libs [20180309.024457_builder_junos_151_f7_s4]
JUNOS mtx Data Plane Crypto Support [20180309.024457_builder_junos_151_f7_s4]
JUNOS daemons [20180309.024457_builder_junos_151_f7_s4]
JUNOS Voice Services Container package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services SSL [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services Stateful Firewall [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services RPM [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services PTSP Container package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services NAT [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services Mobile Subscriber Service Container package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services MobileNext Software package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services LL-PDF Container package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services Jflow Container package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services IPSec [20180309.024457_builder_junos_151_f7_s4]
JUNOS IDP Services [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services HTTP Content Management package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services Crypto [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services Captive Portal and Content Delivery Container package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services COS [20180309.024457_builder_junos_151_f7_s4]
JUNOS Border Gateway Function package [20180309.024457_builder_junos_151_f7_s4]
JUNOS AppId Services [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services Application Level Gateways [20180309.024457_builder_junos_151_f7_s4]
JUNOS Services AACL Container package [20180309.024457_builder_junos_151_f7_s4]
JUNOS Packet Forwarding Engine Support (wrlinux) [20180309.024457_builder_junos_151_f7_s4]
JUNOS Packet Forwarding Engine Support (MX/EX92XX Common) [20180309.024457_builder_junos_151_f7_s4]
JUNOS Packet Forwarding Engine Support (M/T Common) [20180309.024457_builder_junos_151_f7_s4]
JUNOS Online Documentation [20180309.024457_builder_junos_151_f7_s4]
JUNOS FIPS mode utilities [20180309.024457_builder_junos_151_f7_s4]