Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
Le 12/08/2014 14:19, Laurent CARON a écrit : Bonjour, Je rencontre la problématique suivante: Je tente d'utiliser VRRPv3 (donc de disposer de VIP v6) avec 2 SRX 240. Ces 2 SRX sont tous 2 connectés au switch LAN via un aggregat (ae) LACP. Il semble (c'est du moins ce que dit la doc officielle [1] Juniper, et ce que j'ai pu vérifier) que pour faire fonctionner VRRPv3 il faille (gruik!) mettre les interfaces en mode promisc (sinon la VIP ne répond tout simplement pas...). Sachant que j'utilise un aggregat, il n'est pas possible de mettre les interfaces du SRX en promisc. Question: Avez-vous déja utilisé du VRRPv3 (sur des SRX, pas des MX, mais bien des SRX) avec des aggregats LACP ? ça marchait effectivement bien sur du MX. En revanche sur SRX tu veut les mettre sur des reth ? dans ca pas besoin de vrrp. -- Raphae Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
On 12/08/2014 14:25, Raphael Mazelier wrote: ça marchait effectivement bien sur du MX. En revanche sur SRX tu veut les mettre sur des reth ? dans ca pas besoin de vrrp. Mes 2 SRX ne sont pas en cluster. Je ne souhaite en effet pas perdre la fonctionnalité fort pratique de commit rollback... d'où l'utilisation d'ae et de VRRPv3. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
J'ai laisse tomber les SRX depuis 3/4 ans. Trop mal fait. Rien que le cluster : la doc préconisait de rebooter les deux membres en même temps (sic!). Et ils ont mis une éternité a porter les fonctionnalités du SSG (avec plus ou moins de bugs). La WebUI trop lente et buggee. La vie avec Fortigate est bien plus douce... Le 12 août 2014 à 15:02, Laurent CARON lca...@unix-scripts.info a écrit : On 12/08/2014 14:25, Raphael Mazelier wrote: ça marchait effectivement bien sur du MX. En revanche sur SRX tu veut les mettre sur des reth ? dans ca pas besoin de vrrp. Mes 2 SRX ne sont pas en cluster. Je ne souhaite en effet pas perdre la fonctionnalité fort pratique de commit rollback... d'où l'utilisation d'ae et de VRRPv3. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
Le 12/08/2014 17:17, Guillaume Tournat a écrit : J'ai laisse tomber les SRX depuis 3/4 ans. Trop mal fait. Rien que le cluster : la doc préconisait de rebooter les deux membres en même temps (sic!). Et ils ont mis une éternité a porter les fonctionnalités du SSG (avec plus ou moins de bugs). La WebUI trop lente et buggee. La vie avec Fortigate est bien plus douce... Troll detected. Sérieusement les SRX il y a quelques années n'étaient pas sec, clairement. De nos jours c'est très utilisable, évidement pas avec la webui :) Quant à fortigate, euh joker. Tout le monde m'en avait dit du bien... Je ne suis pas convaincu, mais alors pas du tout. -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
On 12/08/2014 17:28, Raphael Mazelier wrote: Troll detected. Sérieusement les SRX il y a quelques années n'étaient pas sec, clairement. De nos jours c'est très utilisable, évidement pas avec la webui :) Quant à fortigate, euh joker. Tout le monde m'en avait dit du bien... Je ne suis pas convaincu, mais alors pas du tout. Un SRX pour IPv4 et un Fortigate pour IPv6 ? ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
Le SRX, c’est un routeur pas un firewall :) Franchement, j’ai encore essayé le mois dernier, et bien … J’ai essayé Raphael On 12 Aug 2014, at 17:33, Laurent CARON lca...@unix-scripts.info wrote: On 12/08/2014 17:28, Raphael Mazelier wrote: Troll detected. Sérieusement les SRX il y a quelques années n'étaient pas sec, clairement. De nos jours c'est très utilisable, évidement pas avec la webui :) Quant à fortigate, euh joker. Tout le monde m'en avait dit du bien... Je ne suis pas convaincu, mais alors pas du tout. Un SRX pour IPv4 et un Fortigate pour IPv6 ? ;) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
On 12/08/2014 17:36, Raphael Maunier wrote: Le SRX, c’est un routeur pas un firewall :) Un routeur...qui ne fait pas d'IPv6 correctement...en 2014... ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
Un routeur...qui ne fait pas d'IPv6 correctement...en 2014... ;) Personnellement j'ai eu zero soucis avec ipv6 sur srx. Quel version ? -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
On 12/08/2014 18:02, Raphael Mazelier wrote: Personnellement j'ai eu zero soucis avec ipv6 sur srx. Quel version ? Que ce soit avec la version recommandée JTAC ou la toute dernière pas sèche (JUNOS 12.1X46-D20.5 built 2014-05-14 20:00:03 UTC) c'est pareil. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
- Original Message - From: Laurent CARON lca...@unix-scripts.info To: frnog@frnog.org Sent: Tuesday, August 12, 2014 6:12 PM Subject: Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX On 12/08/2014 18:02, Raphael Mazelier wrote: Personnellement j'ai eu zero soucis avec ipv6 sur srx. Quel version ? Que ce soit avec la version recommandée JTAC ou la toute dernière pas sèche (JUNOS 12.1X46-D20.5 built 2014-05-14 20:00:03 UTC) c'est pareil. Quesqui ne fonctionne(ait) pas ou mal en IPv6? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
Le 12/08/2014 18:12, Laurent CARON a écrit : On 12/08/2014 18:02, Raphael Mazelier wrote: Personnellement j'ai eu zero soucis avec ipv6 sur srx. Quel version ? Que ce soit avec la version recommandée JTAC ou la toute dernière pas sèche (JUNOS 12.1X46-D20.5 built 2014-05-14 20:00:03 UTC) c'est pareil. Sinon Asa ca juste marche, c'est juste stable, c'est pas formidable en rapport qualité prix et ca ne se prend pas (assez) pour un routeur. ++ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
On 12/08/2014 18:24, Sylvain Busson wrote: Quesqui ne fonctionne(ait) pas ou mal en IPv6? VRRPv3 sur des aggregats (LACP). Même sur des interfaces ge toutes simples il faut les mettre en promisc pour que ça fonctionne --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
- Original Message - From: Laurent CARON lca...@unix-scripts.info To: frnog@frnog.org Sent: Tuesday, August 12, 2014 6:34 PM Subject: Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX On 12/08/2014 18:24, Sylvain Busson wrote: Quesqui ne fonctionne(ait) pas ou mal en IPv6? VRRPv3 sur des aggregats (LACP). Même sur des interfaces ge toutes simples il faut les mettre en promisc pour que ça fonctionne Que dit le support ( Comme d'hab que tu es le seul a vouloir faire ca:-) ?) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
On 12/08/2014 18:48, Sylvain Busson wrote: Que dit le support ( Comme d'hab que tu es le seul a vouloir faire ca:-) ?) Le support dit que ça vient de ma conf. Après vérification, non ça vient pas de la conf, c'est pas supporté en flow mode. Il faut passer en packet mode. Très bien. En packet mode ça ne passe pas non plus. Il faut mettre les interfaces en promisc. En 12.1X44-D35.5 (la version recommandée par juniper), il est impossible de mettre les interfaces ae en promisc. La version 12.1X46-D20.5 le permet. Mais... - ma conf ne passe pas la validation...ça se corrigé - une fois corrigé, effectivement on peut mettre les ae en promisc, ce qui fait que ça tombe en marche, mais dans ce cas tous les paquets iront taper le RE/PFE... C'est loin d'être une solution. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] - VRRPv3 (IPv6) et Juniper SRX
On 12 Aug 2014, at 23:03, Raphael Mazelier r...@futomaki.net wrote: Le support dit que ça vient de ma conf. Bah évidement tu veux faire un truc non standard. (aka jamais testé :) Après vérification, non ça vient pas de la conf, c'est pas supporté en flow mode. Il faut passer en packet mode. C'est ennuyeux si tu veux faire firewall :/ En packet mode ça ne passe pas non plus. Il faut mettre les interfaces en promisc. En 12.1X44-D35.5 (la version recommandée par juniper), il est impossible de mettre les interfaces ae en promisc. La version 12.1X46-D20.5 le permet. Mais... - ma conf ne passe pas la validation...ça se corrigé - une fois corrigé, effectivement on peut mettre les ae en promisc, ce qui fait que ça tombe en marche, mais dans ce cas tous les paquets iront taper le RE/PFE... C'est loin d'être une solution. Oui on est d'accord ce n'est pas acceptable en production. C'est juste un gros hack. Après je ne me ferais pas trop d'illusion sur le fait que ça soit corrigé un jour (encore que j'ai du mal à saisir la complexité d'un tel truc). Ça serait déjà bien que juju nous corrige des trucs autrement plus utilisé (au hasard les alg ftp sur srx, ou mieux encore le flow sur mx). S'ils pouvaient juste arrêter le srx ( comme ils l'ont fait pour le wifi et autre truc ) et qu'ils se concentrent sur le mx et ex/qfx on serait content ! Aussi trouver un meilleur protocole que vrrp pour le first hop redundancy ça ne serait pas du luxe. (protocole standardisé s'entend). Bgp partout :) -- Raphael --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
