求助~juniper SRX220H能上外网~但部分网站不能访问。

hkjytkd

弄了一台SRX220H当路由器在家里用，设置两个VLAN~都能上外网~但部分网站不能提示无法开启网页~例如淘宝~日本雅虎~京东~电信测速平台等~~抓包发现貌似都是对方网站端口为443就不能访问。奉上配置求高手指教。。。补充一下~使用光猫直连电脑拨号或使用其他路由器拨号上网~PC不用更改任何设置所有网站均能正常访问。


## Last changed: 2015-08-14 03:13:26 UTC
version 11.4R7.5;
groups {
    wiz_PPPoE_0 {
        system {
            services {
                dhcp {
                    propagate-ppp-settings pp0.0;
                }
            }
        }
        interfaces {
            pp0 {
                unit 0 {
                    description CTWAN;
                    ppp-options {
                        chap {
                            default-chap-secret "PASSWORD";
                            local-name "USERNAME";
                            no-rfc2486;
                            passive;
                        }
                        pap {
                            local-name "USERNAME";
                            no-rfc2486;
                            local-password "PASSWORD";
                            passive;
                        }
                    }
                    pppoe-options {
                        underlying-interface ge-0/0/0.0;
                        idle-timeout 0;
                        auto-reconnect 3;
                        client;
                    }
                    family inet {
                        mtu 1492;
                        negotiate-address;
                    }
                }
            }
            ge-0/0/0 {
                unit 0 {
                    encapsulation ppp-over-ether;
                }
            }
        }
        routing-options {
            static {
                route 0.0.0.0/0 {
                    qualified-next-hop pp0.0 {
                        metric 1;
                    }
                }
            }
        }
        security {
            zones {
                security-zone CTWANZONE {
                    interfaces {
                        pp0.0;
                    }
                }
            }
        }
    }
}
apply-groups wiz_PPPoE_0;
system {
    root-authentication {
        encrypted-password "$1$b8HbBWxO$cBTbw39iMhPpzZ3XBELTn.";
    }
    name-server {
        202.96.128.86;
        202.96.134.33;
    }
    services {
        telnet;
        web-management {
            http {
                interface vlan.10;
            }
            https {
                system-generated-certificate;
                interface vlan.10;
            }
        }
        dhcp {
            router {
                192.168.1.254;
                192.168.90.254;
            }
            pool 192.168.1.0/24 {
                address-range low 192.168.1.1 high 192.168.1.50;
                domain-name admin.com;
                name-server {
                    202.96.128.86;
                    202.96.134.33;
                }
                router {
                    192.168.1.254;
                }
                propagate-settings vlan.10;
            }
            pool 192.168.90.0/24 {
                address-range low 192.168.90.1 high 192.168.90.50;
                domain-name guest.com;
                domain-search {
                    202.96.128.86;
                    202.96.134.22;
                }
                router {
                    192.168.90.254;
                }
                propagate-settings vlan.20;
            }
        }
    }
    syslog {
        archive size 10m files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
    }
}
interfaces {
    ge-0/0/4 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members guest;
                }
            }
        }
    }
    ge-0/0/5 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members admin;
                }
            }
        }
    }
    ge-0/0/6 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members admin;
                }
            }
        }
    }
    ge-0/0/7 {
        unit 0 {
            family ethernet-switching {
                port-mode access;
                vlan {
                    members admin;
                }
            }
        }
    }
    pp0 {
        unit 0;
    }
    vlan {
        unit 10 {
            family inet {
                address 192.168.1.254/24;
            }
        }
        unit 20 {
            family inet {
                address 192.168.90.254/24;
            }
        }
    }
}
security {
    nat {
        source {
            rule-set NATRULE {
                from zone adminzone;
                to zone CTWANZONE;
                rule CTWANRULE {
                    match {
                        source-address [ 192.168.1.0/24 192.168.90.0/24 ];
                        destination-address 0.0.0.0/0;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
    }
    policies {
        from-zone adminzone to-zone CTWANZONE {
            policy ADMINOUT {
                match {
                    source-address [ admin guest ];
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone CTWANZONE to-zone adminzone {
            policy ADMININ {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        default-policy {
            permit-all;
        }
        policy-rematch;
    }
    zones {
        security-zone adminzone {
            address-book {
                address admin 192.168.1.0/24;
                address guest 192.168.90.0/24;
            }
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.10 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
        security-zone guestzone {
            interfaces {
                vlan.20 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
            }
        }
        security-zone junos-host;
    }
}
vlans {
    admin {
        vlan-id 10;
        l3-interface vlan.10;
    }
    guest {
        vlan-id 20;
        l3-interface vlan.20;
    }
}

hkjytkd

后续测试发现BT软件~TEAMVIEWER~部分软件都不能连接服务器。。要么就是能使用但是不能登录会员~求助呢。。。。

gentlebrother

thanks for sharing

amos.chen.ext

pppoe 要改TCP-MSS：

set security flow tcp-mss all-tcp mss 1452