Ahoj,
mám tunel typu up/up mezi SRX a bránou třetí strany.
Pingám RFC1918 na jejich straně, ale všechno, co mi pošlou, selže.
Potřebuji další bezpečnostní politiku od untrust k trust, aby povolila provoz, nebo možná přímo v bezpečnostní zóně?
Máte nějaké rychlé rady, co bych mohl zkontrolovat?
Pokud můžeš pingnout jejich stranu, pak vaše bezpečnostní politiky pro data jdou správně. Ale také potřebujete politiku, která umožní provoz generovaný jejich stranou, aby se dostal k vašim systémům. Například provoz od vás by měl jít například z Trust zóny do VPN zóny. Pokud chcete, aby provoz zasáhl vaše servery ze jejich strany, potřebovali byste pravidlo pro VPN zónu do Trust zóny. Nezapomeňte také nastavit statické nebo dynamické směrování, které pošle provoz zpět přes VPN tunel.
Jen chci zopakovat ten druhý příspěvek. Politika z Trust do VPN a VPN do Trust je povinná. A povolení IKE přes váš untrust odkaz. Nechcete politiky untrust k trust, protože byste tak nepoužívali tunel, který jste vytvořili 
Zapomněl jsem říct, že jde o VPN založenou na politice, takže bezpečnostní politiky jsou nakonfigurovány podle “then permit tunnel”?
Zapomněl jsem říct, že jsem umístil cílovou adresu do samostatné instance. Jakmile jsem leakoval trasu, všechno fungovalo tak, jak mělo lol.
Prosím, nepoužívejte VPN založené na politice. Trasa založené VPN dnes zvládnou všechno.
Před dvěma lety… ale čelím stejnému problému
SRX → PFSENSE funguje
PFSENSE → SRX směruje, až na rozhraní st0.0, pak dostanu cílovou síť nedostupná,…
Jak jste “uhnali” trasu?
Kdybych měl kontrolu nad oběma konci, udělal bych to 
Není to důležité. SRX neví ani nevěří, zda je vzdálené konce používá konfiguraci založenou na trase nebo politice. To je velmi běžná mylná představa.
Vidíte, tak jsem si myslel. Nemohli jsme udělat tunel pomocí routingu.
To je správně. Můžete použít výběry provozu k vytvoření trasovacích politik, které používají stejný rozhraní tunelu.
O tom jsem napsal blog před nějakým časem zde
Nastavil jste své proxy ID, aby se shodovaly?
Ne, to jsem si myslel.
Mé jediná zkušenost je s Routed na Routed, kde jsem to nikdy nepotřeboval nastavovat, takže to bylo výchozí generované, což pravděpodobně neodpovídalo druhé straně.