Добрый день!
Возникла задача скоммутировать мультиплексор FOX и cisco по E1. Плата vwic-2mft-e1-di
Прописываю стандартные настройки на cisco
controller e1 6/0
framing no-crc4
clock source line
channel-group 0 timeslots 1-8
controller e1 6/1
framing no-crc4
clock source line
channel-group 0 timeslots 1-8
На FOXе на плате LOMIF стандартные настройки - E1 Terminated, CAS выключен, CRC4 выключен.
Светодиоды на плате циски зеленые
по запросу show controllers e1 пишет, что аварий нет. Но обе e1 - down. И копятся Slip.
Подскажите почему не поднимается E1.
↧
cisco 3660 vwic-2mft-e1-di MUX FOX515 LOMIF
↧
Настройка VPN на Сisco881-K9
Здравствуйте!
Есть Cisco881-K9. IOS Version 15.0(1)M6, RELEASE SOFTWARE (fc1). Внутренняя сеть 192.168.0.0/21. На Cisco настроен VPN PPTP сервер, который выдает адреса в диапазоне 192.168.0.170-190/24. Есть несколько клиентов на MacOS (iMac'и, MacBook'и) которые подключаются через ShimoVPN, поскольку в новых версиях MacOS нету поддержки PPTP из коробки. Эти клиенты работают из домашней сети 192.168.0.0/24. Проблема в том, что клиенты могут подключится к VPN серверу, но пакеты не идут в VPN сеть. Предположительно проблема в том что сети пересекаются. Добавление и замена маршрутов не помогает. Подскажите, как можно решить проблему?
↧
↧
Посоветуйте точку доступа
Добрый день!
Есть один клинический случай, у которого в наличии около 50к рублей и жгучее желание поиметь дома ТД от циски с поддержкой AC Wave2. Не спрашивайте зачем...
Я не силен в Wifi от циски. Можете посоветовать какую-нибудь модель, применимую дома. С управлением через WEB интерфейс ну и т.п.
Спасибо!
↧
ASA + Firepower - практика применения правил
Добрый день.
Вижу 2 варианта применения правил на ASA + Firepower:
1. Максимальная фильтрация трафика посредством ASA. Firepower обрабатывает только то, что не отфильтровала ASA.
Из плюсов: система работоспособна и может жить, даже если firepower нагнется. В надежности последнего уверенности пока нет.
Из минусов: необходимость редактировать правила в двух местах. Большая сложность и административная нагрузка. Большая сложность траблшутинга - 2 источника логов.
2. На ASA оставить только роутинг, VPN. Security level всех интерфейсов делаем ноль. Всю фильтрацию выносим на FIrepower (как понимаю именно это циска сделала в FTD).
Из плюсов: Аса настраивается 1 раз. Все правила централизованно настраиваются на 1 платформе в FMC. Единая точка траблшутинга и логирования (в большинстве случаев).
Из минусов: Система полностью теряет работоспособность в случае проблем с firepower. Предположительно (но далеко не факт) получим худшую производительность.
Сам пока живу по 1 сценарию. Но возникает большой соблазн перейти ко 2 сценарию.
Как понимаю, у вендора в данной ситуации нет внятного best practice.
Какой практики придерживается Вы? И что думаете по сабжу?
↧
А что с certcollection.org ?
?
↧
↧
Отключить все vpn asa 5510
Доброго дня
Когда то видимо давно до меня пытались настроить всякие впн и прочие прелести.
Сейчас пытаюсь пробросить rtp порты (10000-20000) и получаю - NAT unable to reserve ports.
Нагуглил, что может мешать webvpn и юзать эти порты.
Пытаюсь его отключить, но что-то тщетно...
Подскажите, плиз, как почистить конфиг от всей неиспользуемой нечисти vpn\l2tp и прочее, это не используется.
Собственно сам конфиг:
ciscoasa(config)# sh startup-config
: Saved
: Written by enable_15 at 10:31:31.560 MSK Tue May 30 2017
!
ASA Version 8.4(2)
!
hostname ciscoasa
enable password .encrypted
passwd .encrypted
names
!
interface Ethernet0/0
channel-group 1 mode on
no nameif
no security-level
no ip address
!
interface Ethernet0/1
channel-group 1 mode on
no nameif
no security-level
no ip address
!
interface Ethernet0/2
channel-group 1 mode on
no nameif
no security-level
no ip address
!
interface Ethernet0/3
nameif outside
security-level 0
ip address 255.255.255.248
!
interface Management0/0
shutdown
nameif management
security-level 100
ip address 192.168.1.1 255.255.255.0
management-only
!
interface Port-channel1
nameif inside
security-level 100
ip address 192.168.10.254 255.255.255.0
!
interface Port-channel1.14
vlan 14
nameif DMZ
security-level 50
ip address 192.168.14.254 255.255.255.0
!
ftp mode passive
clock timezone MSK 4
dns domain-lookup outside
dns server-group DefaultDNS
name-server 8.8.8.8
same-security-traffic permit inter-interface
same-security-traffic permit intra-interface
object network DATA_NAT_POOL
range 192.168.10.2 192.168.10.99
object network DMZ_NAT_POOL
subnet 192.168.14.0 255.255.255.0
object network inside
subnet 192.168.10.0 255.255.255.0
object network central_site
subnet 192.168.0.0 255.255.254.0
object network vpn-nat
subnet 10.0.0.0 255.255.255.0
object network inside-nonat
subnet 192.168.10.0 255.255.255.0
object network ASA
host 192.168.10.254
object network Remote_lan1
subnet 192.168.6.0 255.255.254.0
object network Remote_lan_2
subnet 192.168.2.0 255.255.255.0
object network Remote_lan_tum
subnet 192.168.102.0 255.255.255.0
object network Terminal
host 192.168.10.40
object network Remote_lan_50
subnet 192.168.5.0 255.255.255.0
object network region_terminal
host 192.168.10.31
object network remapp1
host 192.168.10.29
object network kiev-1c
host 192.168.10.185
object network atc
host 192.168.10.17
object service SIPRANGE
service udp source range 10001 20000
object service SIPRANGE1
service udp source range sip sip
object network Remote_lanmoldova
subnet 192.168.101.0 255.255.255.0
object network Remote_lanKZ
subnet 192.168.103.0 255.255.255.0
object network Remote_lanminsk
subnet 192.168.104.0 255.255.255.0
object network Remote_lan_Kiev
subnet 192.168.105.0 255.255.255.0
object network Remote_lan_Piter
subnet 192.168.100.0 255.255.255.0
access-list INSIDE extended permit icmp any any
access-list INSIDE extended permit ip any any
access-list vpn extended permit ip 192.168.10.0 255.255.255.0 192.168.0.0 255.255.254.0
access-list vpn extended permit ip 192.168.10.0 255.255.255.0 192.168.5.0 255.255.255.0
access-list OUTSIDE extended permit icmp any any
access-list OUTSIDE extended permit tcp any host 192.168.10.40 eq 3389
access-list OUTSIDE extended permit tcp any host 192.168.10.31 eq 3389
access-list OUTSIDE extended permit tcp any host 192.168.10.29 eq 3389
access-list OUTSIDE extended permit tcp any host 192.168.10.18 eq https
access-list OUTSIDE extended permit tcp any host 192.168.10.185 eq 3389
access-list OUTSIDE extended permit ip host 213.178.62.111 any
access-list OUTSIDE extended permit ip host 79.37.203.153 any
access-list OUTSIDE extended deny ip any any
access-list data-vpn-split extended permit ip any 192.168.10.0 255.255.255.0
access-list data-vpn-split extended permit ip any 192.168.15.0 255.255.255.0
access-list data-vpn-split-2 standard permit 192.168.10.0 255.255.255.0
access-list data-vpn-split-2 standard permit 192.168.15.0 255.255.255.0
access-list cap1 extended permit icmp host 10.0.0.1 any
access-list cap1 extended permit ip host 10.0.0.1 any
access-list cap1 extended permit tcp any host 81.211.0.70 eq smtp
access-list cap1 extended permit tcp any host 81.211.0.70 eq pop3
access-list cap1 extended permit tcp any host 81.211.0.70 eq 3389
access-list cap2 extended permit icmp host 10.0.0.103 host 192.168.10.254
access-list cap2 extended permit ip host 10.0.0.103 host 192.168.10.254
access-list cap2 extended permit icmp any host 192.168.10.254
access-list cap2 extended permit icmp any host 192.168.10.253
access-list DMZ extended permit icmp any any
access-list DMZ extended permit ip any any
access-list vpn1 extended permit ip 192.168.10.0 255.255.255.0 192.168.6.0 255.255.254.0
access-list vpn2b extended permit ip 192.168.10.0 255.255.255.0 192.168.2.0 255.255.255.0
access-list vpntum extended permit ip 192.168.10.0 255.255.255.0 192.168.102.0 255.255.255.0
access-list vpnkiev extended permit ip 192.168.10.0 255.255.254.0 192.168.105.0 255.255.255.0
access-list vpnpiter extended permit ip 192.168.10.0 255.255.254.0 192.168.100.0 255.255.255.0
access-list vpnkz extended permit ip 192.168.10.0 255.255.254.0 192.168.103.0 255.255.255.0
access-list vpnminsk extended permit ip 192.168.10.0 255.255.254.0 192.168.104.0 255.255.255.0
access-list vpnmoldova extended permit ip 192.168.10.0 255.255.254.0 192.168.101.0 255.255.255.0
pager lines 24
mtu outside 1500
mtu management 1500
mtu inside 1500
mtu DMZ 1500
ip local pool data-vpn 192.168.10.100-192.168.10.150
ip local pool data-vpn-2 192.168.0.100-192.168.0.150
ip local pool data-vpn-3 10.0.0.100-10.0.0.200
ip local pool l2tp-vpn 10.0.0.1-10.0.0.99
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
nat (inside,outside) source static inside inside destination static central_site central_site route-lookup
nat (inside,outside) source static inside inside destination static vpn-nat vpn-nat route-lookup
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static atc interface service SIPRANGE1 SIPRANGE1
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static inside inside destination static
nat (inside,outside) source static inside inside destination static
!
object network inside
nat (inside,outside) dynamic interface
object network
nat (inside,outside) static interface service tcp 3389 3389
object network
nat (inside,outside) static interface service tcp 3389 33999
object network
nat (inside,outside) static interface service tcp 3389 33998
object network
nat (inside,outside) static interface service tcp 3389 33990
access-group OUTSIDE in interface outside
access-group INSIDE in interface inside
access-group DMZ in interface DMZ
route outside 0.0.0.0 0.0.0.0 62.231.18.49 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
user-identity default-domain LOCAL
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 10.0.0.0 255.255.255.0 inside
http 10.0.0.0 255.255.255.0 outside
http 192.168.10.0 255.255.255.0 inside
http 192.168.0.0 255.255.255.0 outside
http 192.168.0.0 255.255.255.0 inside
snmp-server host inside 192.168.0.18 community ***** version 2c
snmp-server location snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
snmp-server enable traps ipsec start stop
snmp-server enable traps memory-threshold
snmp-server enable traps connection-limit-reached
snmp-server enable traps cpu threshold rising
snmp-server enable traps ikev2 start stop
snmp-server enable traps nat packet-discard
no service password-recovery
crypto ipsec ikev1 transform-set set1 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set set2 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set set3 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set l2tp-2 esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set l2tp-2 mode transport
crypto ipsec ikev1 transform-set l2tp esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set l2tp mode transport
crypto dynamic-map data-vpn 1 set ikev1 transform-set set1 set3 l2tp l2tp-2
crypto dynamic-map data-vpn 1 set reverse-route
crypto dynamic-map data-vpn 2 set pfs
crypto dynamic-map data-vpn 2 set ikev1 transform-set l2tp
crypto dynamic-map data-vpn 2 set reverse-route
crypto dynamic-map data-vpn 3 set pfs
crypto dynamic-map data-vpn 3 set ikev1 transform-set l2tp
crypto dynamic-map data-vpn 3 set reverse-route
crypto dynamic-map data-vpn 5 set pfs
crypto dynamic-map data-vpn 5 set ikev1 transform-set set1 set3 l2tp l2tp-2
crypto dynamic-map data-vpn 5 set reverse-route
crypto dynamic-map data-vpn 65535 set ikev1 transform-set l2tp
crypto map outside-l2l 10 match address vpn
crypto map outside-l2l 10 set pfs group1
crypto map outside-l2l 10 set peer
crypto map outside-l2l 10 set ikev1 transform-set set2
crypto map outside-l2l 20 match address vpn1
crypto map outside-l2l 20 set pfs group1
crypto map outside-l2l 20 set peer
crypto map outside-l2l 20 set ikev1 transform-set set1
crypto map outside-l2l 30 match address vpn2b
crypto map outside-l2l 30 set peer
crypto map outside-l2l 30 set ikev1 transform-set set1
crypto map outside-l2l 40 match address
crypto map outside-l2l 40 set peer
crypto map outside-l2l 40 set ikev1 transform-set set2
crypto map outside-l2l 50 match address
crypto map outside-l2l 50 set peer
crypto map outside-l2l 50 set ikev1 transform-set set1
crypto map outside-l2l 60 match address
crypto map outside-l2l 60 set peer
crypto map outside-l2l 60 set ikev1 transform-set set1
crypto map outside-l2l 70 match address
crypto map outside-l2l 70 set pfs
crypto map outside-l2l 70 set peer
crypto map outside-l2l 70 set ikev1 transform-set set2
crypto map outside-l2l 80 match address
crypto map outside-l2l 80 set peer
crypto map outside-l2l 80 set ikev1 transform-set set1
crypto map outside-l2l 90 match address
crypto map outside-l2l 90 set peer
crypto map outside-l2l 90 set ikev1 transform-set set1
crypto map outside-l2l 65535 ipsec-isakmp dynamic data-vpn
crypto map outside-l2l interface outside
crypto isakmp nat-traversal 10
crypto ikev2 policy 1
encryption des
integrity md5
group 2
prf sha
lifetime seconds 28800
crypto ikev2 enable outside
crypto ikev1 enable outside
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 1
lifetime 28800
crypto ikev1 policy 2
authentication pre-share
encryption des
hash md5
group 2
lifetime 28800
telnet 192.168.1.0 255.255.255.0 management
telnet 192.168.1.2 255.255.255.255 management
telnet 192.168.10.0 255.255.255.0 inside
telnet timeout 5
ssh 10.0.0.0 255.255.255.0 inside
ssh 0.0.0.0 0.0.0.0 inside
ssh timeout 60
console timeout 0
management-access inside
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics host
threat-detection statistics port
threat-detection statistics protocol
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
ntp server 80.90.180.140
ntp server 157.161.57.2
webvpn
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value 8.8.8.8
vpn-tunnel-protocol ikev1 l2tp-ipsec
split-tunnel-policy tunnelspecified
split-tunnel-network-list value data-vpn-split-2
group-policy data-vpn internal
group-policy data-vpn attributes
vpn-tunnel-protocol ikev1 l2tp-ipsec
password-storage enable
split-tunnel-policy tunnelspecified
split-tunnel-network-list value data-vpn-split-2
group-policy l2tp-vpn internal
group-policy l2tp-vpn attributes
vpn-tunnel-protocol l2tp-ipsec
username admin password sIN.5lyC8dq8s9NW encrypted
tunnel-group DefaultRAGroup general-attributes
address-pool l2tp-vpn
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group DefaultRAGroup ppp-attributes
no authentication chap
authentication ms-chap-v2
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group data-vpn type remote-access
tunnel-group data-vpn general-attributes
address-pool data-vpn-3
default-group-policy data-vpn
tunnel-group data-vpn ipsec-attributes
ikev1 pre-shared-key *****
tunnel-group l2tp-vpn type remote-access
tunnel-group l2tp-vpn general-attributes
address-pool l2tp-vpn
default-group-policy l2tp-vpn
tunnel-group l2tp-vpn ipsec-attributes
ikev1 pre-shared-key *****
peer-id-validate nocheck
tunnel-group l2tp-vpn ppp-attributes
authentication ms-chap-v2
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group type ipsec-l2l
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
tunnel-group type ipsec-l2l
tunnel-group ipsec-attributes
ikev1 pre-shared-key *****
isakmp keepalive threshold 15 retry 5
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect netbios
inspect tftp
inspect ip-options
class class-default
user-statistics accounting
!
service-policy global_policy global
prompt hostname context
no call-home reporting anonymous
↧
ASAv 931 ovf
Доброго времени суток.
Может у кого есть конвертированная 931 ova в OVF ???
А то надо поставить на Vcenter 6.5, а он зараза, только OVF хавает.
Спасибо.
↧
Cicso 2851, шифрование, SSLVPN, HELP!
Господа.
Прошу помощи.
Есть Cisco 2851. ios 151-4.M9. На борту модуль аппратного шифрования AIM-VPN/SSL-2 State Enabled.
Кошка стоит в ЦОД-е. Держит три gre/ipsec тунеля. aes128 md5 в туннельном режиме. Кроме этого является SSLVPN сервером.
Проблема. Скорость через SSLVPN не поднимается выше 10 Мбит/сек. При этом подключен единственный VPN клиент. Измерял спидтсетом. Т.е. маршрут такой: Мобильник >> SSLVPN туннель >> Cisco (маршрутизация, ZBF с единственным правилом, NAT) >>внешний мир.
В момент тестирования на кошке:
show processes cpu | exclude 0.00
CPU utilization for five seconds: 99%/34%; one minute: 21%; five minutes: 8%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
104 6304 2879 2189 0.54% 2.53% 0.82% 514 SSH Process
119 1804 5037304 0 0.15% 0.23% 0.22% 0 Ethernet Msec Ti
140 292 1239461 0 0.07% 0.05% 0.05% 0 IPAM Manager
144 215148 229351 938 21.95% 3.90% 1.69% 0 IP Input
293 193296 209258 923 38.90% 5.82% 2.12% 0 encrypt proc
303 20716 104214 198 2.43% 0.31% 0.09% 0 Crypto PAS Proc
371 488 1240873 0 0.07% 0.07% 0.07% 0 PPP manager
Для начала в галаза бросается encrypt proc Т.е. шифрование идет программно, Но почему? при активном то модуле AIM-VPN/SSL-2. С ним все ок. Он работает. Проверял тестированием скорости через GRE/IPSEC туннель. Тем же спид тестом. Топология такая ПК >> GRE/IPSEC туннель >> Cisco (маршрутизация, ZBF с единственным правилом, NAT) >>внешний мир. 50 Мбит/сек ( в пять раз больше, чем через SSLVPN)
В момент тестирования на кошке:
show processes cpu | exclude 0.00
CPU utilization for five seconds: 94%/94%; one minute: 37%; five minutes: 13%
PID Runtime(ms) Invoked uSecs 5Sec 1Min 5Min TTY Process
2 632 8153 77 0.39% 0.33% 0.12% 0 Load Meter
109 264 40782 6 0.31% 0.07% 0.02% 0 Kontrol Common H
119 6944 5158413 1 0.95% 0.36% 0.25% 0 Ethernet Msec Ti
140 1016 1269465 0 0.15% 0.05% 0.06% 0 IPAM Manager
144 223376 233878 955 0.23% 0.43% 0.41% 0 IP Input
371 2508 1271008 1 0.31% 0.13% 0.09% 0 PPP manager
372 1396 1271014 1 0.07% 0.06% 0.06% 0 PPP Events
Ну т.е. просто уперлись в ее возможности при текущей конфигурации.
Почему же c SSLVPN такая беда?
Весь конфиг не привожу, он длинный и все подряд показывать не хочется... Если чего-то конкретного не хватает, с радостью добавлю.
webvpn gateway ***
ip interface GigabitEthernet0/0 port 443
ssl encryption aes-sha1 rc4-md5
ssl trustpoint ***
inservice
!
webvpn install svc flash:/webvpn/anyconnect-win-4.0.02052-k9.pkg sequence 1
!
webvpn install svc flash:/webvpn/anyconnect-macosx-i386-4.0.02052-k9.pkg sequence 2
!
webvpn context ***
ssl authenticate verify all
!
!
policy group ****
functions svc-enabled
banner ';*****';
svc address-pool ';anyconnect_pool'; netmask 255.255.255.0
svc default-domain ';antares.lan';
svc keep-client-installed
svc dns-server primary *.*.*.*
svc dns-server secondary *.*.*.*
svc dtls
virtual-template 1
default-group-policy ***
aaa authentication list ANYCONNECT_LOGIN
gateway ****
authentication certificate aaa
ca trustpoint ***
inservice
interface Virtual-Template1
ip unnumbered Loopback0
ip nat inside
ip virtual-reassembly in
zone-member security VPN
end
Заметил что подключенный AnyConnect клиент пишет:
Protocol DTLS
Cipher RSA_AES_256_SHA1
Мне AES 256 нафиг не уперся в принципе. Вполне хватит AES 128. Но как поменять не нашел. Да и в этом ли причина того, что encrypt proc грузить процессор?
Заранее спасибо за помощь. А то я уже весь мозг сломал.
↧
Входящий SIP звонок и прием его на IVR
Добрый день, есть две задачи, одну описал в другой схеме,
есть SIP АТС (asterisk) и cisco 2821.
У циски есть платы FXO, к ним подключены городские номера.
При звонках на эти номера, запускается голосовое меню.
Все порты с одинаковыми настройками
voice-port 0/1/0
supervisory disconnect dualtone mid-call
supervisory answer dualtone
supervisory custom-cptone 1
supervisory dualtone-detect-params 1
disc_pi_off
input gain 10
cptone RU
description --- FXO #1 ---
caller-id enable
dial-peer voice 10000 pots
service _expres
port 0/1/0
no sip-register
Само приложение
application
service _expres flash://_expresmain.tcl
Теперь хочу заставить 2821 принимать звонки с астера на такое же голосовое меню.
Сделал подобный конфиг
dial-peer voice 4 voip
destination-pattern 1234
voice-class codec 3
incoming called-number 100
session target ipv4:192.168.254.1 - ip адрес интерфейса Cisco на котором забиндин Н.323 интерфейс
service _expres
но звонок уходит в небытие, IVR не срабатывает.
все ли я правильно делаю?
↧
↧
uccx license dead
Добрый день,
Имею 2 ноды uccx 8.5.1 на виртуальных машинах. Всё добро в продакшене уже юльше 3-4 лет. Залезаю сегодня сутра на примари ноду и вижу такое:
License Warning:
Some/All of Temporary/Invalid License expires in 6 day(s) .
То есть он мне как бы намекает, что лицензия умерла. Мб было у кого такое?
↧
Настройка firepower на ASA
Привет всем. Прошу помочь в настройке (Запуск модуля. Настройка правил, фильтрация урл, ) firepower на cisco ASA 5506-x за вознаграждение или пиво. г. Санкт-Петербург.
номер 8911088657 Сергей.
↧
настройка VPN на RV042G
Приветствую, господа! Столкнулся с проблемой. имею данный девайс, динамический IP на точке. Хочу иметь возможность подключаться по VPN через DYNDNS. возможно ли такое?
Кто-либо сможет помочь за материальную благодарность? Пробовал, ни в какую не хочет поднимать VPN...
Буду признателен за любые советы/комментарии.
↧
Nexus Titanium и 9k на EVE NG
ЙОу.
Запустился ли у кого Nexus Titanium или 9k на EVE NG под VmWare Workstation ?
У меня на пару секунд и тот и другой становятся синими, а потом опять серыми, telnet не отвечает.
Ресурсов достаточно - 4 проца по 2 ядра и 16 гб RAM
Или нужно на ESXi ставить ?
↧
↧
IGP next-hop via static route
Коллеги, приветствую. Пока что вопрос чисто академический, очень хочется вкурить в происходящее. В гугле не забанили, но в этот раз что-то даже правильные ключевые слова подобрать не могу. Итак.
Есть три роутера R1, R2, R3, подключенные в один коммутатор. На Ethernet интерфейсах настроены адреса вида 192.168.0.x/24, где x - номер роутера. Также на них сконфигурированы лупбеки с адресом вида x.x.x.x/32. На Ethernet-интерфейсах поднят RIPv2 (не принципиально, какой IGP), в который анонсируются сети лупбеков. Тут пока всё работает.
На R2 пишу хостовой статик вида: 192.168.0.3/32 192.168.0.1. То есть указываю, что хост 192.168.0.3 доступен через 192.168.0.1. Если сделать trace до 192.168.0.3, то он идёт через 192.168.0.1 - тоже всё работает. Но если сделать трейс до 3.3.3.3, то пакеты сразу летят на 192.168.0.3, а не на 192.168.0.1, как того требует рекурсивный роутинг.
Если бы маршрут на 3.3.3.3 был прописан статиком, а не прилетал бы через RIP, то тоже всё работает.
Если основной маршрут статический, а next-hop прилетает через RIP, то тоже всё работает.
Подскажите, это баг или фича? Где об этом правильно почитать или как правильно поискать? Может быть, Циска где-то говорила, что и в каком сочетании работает, а в каком нет?
Помогите, плиз, разобраться.
↧
PA&PI aдреса
Привет.
Хотим блок адресов, который мы сможем анонсить откуда захотим..
К примеру, при переезде в другой город, мы хотим иметь возможность оставить свои адреса и анонсить их через другого провайдера.
Ведь это PI адреса, а не PA?
Есть провайдер, который предлагает блок адресов/24+регистрацию AS на компанию. В таком случае, если блок адресов - PA, получается нас просто кидают?:)
Или PA-адреса я тоже могу анонсить откуда угодно?
↧
Cisco проблема с DHCP
Доброго времени суток.
Не работает выдача адресов по DHCP между некоторыми устройствами Cisco и некоторыми моделями принтеров.
Схема сети предельно простая: ISR 2921<-->DGS-3627G<-->WS-C3750-48TS<-->Client
ISR 2921(gw1) - основной маршрутизатор, DHCP сервер
DGS-3627G - L2 switch
WS-C3750-48TS - L2 switch
client - ISR 881(gw2) или CP7945G (телефон) или принтер (некоторые модели HP)
Конфиг и дебаг с 2921 и 881 прилагаю
Если в роли клиента выступает Windows ПК проблем нет, с телефоном Cisco SPA504G проблем нет, принтеры kyocera проблем нет.
Пробовал исключить из схемы свичи, проблема та же.
Если нужна какая-то дополнительная информация с радостью ее предоставлю.
Если кто-то сталкивался с подобной проблемой прошу оказать посильную помощь.
Заранее спасибо!
↧
GRE+IPSec между Cisco 2821 и HPE Comware7
Всем привет. Пытаемся выстроить с партнером туннель GRE over IPSec. С нашей стороны Cisco 2821 со стороны партнера HPE Comware7. Первая фаза проходит:
sh crypto isakmp sa
1672 192.168.109.3 192.168.109.4 ACTIVE aes sha psk 5 07:28:53 D
Engine-id:Conn-id = SW:672
На второй затык
sh crypto ipsec sa
interface: Tunnel20
Crypto map tag: Tunnel20-head-0, local addr 192.168.109.3
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.109.3/255.255.255.255/47/0)
remote ident (addr/mask/prot/port): (192.168.109.4/255.255.255.255/47/0)
current_peer 192.168.109.4 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 11, #recv errors 0
local crypto endpt.: 192.168.109.3, remote crypto endpt.: 192.168.109.4
path mtu 1500, ip mtu 1500, ip mtu idb GigabitEthernet0/0.548
current outbound spi: 0x0(0)
PFS (Y/N): N, DH group: none
inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:Настройки со стороны Cisco:
crypto isakmp policy 15
encr aes 256
authentication pre-share
group 5
lifetime 28800
crypto isakmp key XXXXXXXXXXXXXXX address 192.168.109.4
crypto isakmp keepalive 10
crypto ipsec transform-set ESP_AES256_SHA1 esp-aes 256 esp-sha-hmac
mode transport
crypto ipsec profile Prof
set security-association lifetime seconds 28800
set transform-set ESP_AES256_SHA1
interface Tunnel20
ip address 192.168.109.13 255.255.255.252
no ip unreachables
no ip proxy-arp
ip mtu 1400
ip tcp adjust-mss 1360
tunnel source GigabitEthernet0/0.548
tunnel destination 192.168.109.4
tunnel protection ipsec profile Prof
interface GigabitEthernet0/0.548
encapsulation dot1Q 548
ip address 192.168.109.3 255.255.255.248
no ip redirects
no ip proxy-arp
no ip route-cache
vrrp 28 ip 192.168.109.1
vrrp 28 track 2 decrement 30
Настройки со стороны HP:
acl number 3742 name BG
rule 10 permit ip vpn-instance MM source 192.168.109.4 0 destination 192.168.109.3 0
interface Tunnel742 mode gre
mtu 1400
ip binding vpn-instance MM
ip address 192.168.109.14 255.255.255.252
tcp mss 1360
source 192.168.109.4
destination 192.168.109.3
tunnel vpn-instance MM
ipsec apply policy BG
ipsec transform-set BG
encapsulation-mode transport
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm sha1
ah authentication-algorithm sha1
#
ipsec policy BG 742 isakmp
transform-set BG
security acl name BG
local-address 192.168.109.4
remote-address 192.168.109.3
ike-profile BG
#
ike profile BG
keychain BG
proposal 742
#
ike proposal 742
encryption-algorithm aes-cbc-256
dh group5
#
ike keychain BG vpn-instance MM
pre-shared-key address 192.168.109.3 255.255.255.255 key cipher $c$3$XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
В HPE я вообще ноль, а партнер, в свою очередь, такой же в Cisco - дело на лад не идет никак. Может кому-то здесь удалось задружить эти две железки или есть версии что может быть не так с конфигами?
↧
↧
Cisco Smartnet
Всем привет. Ищу контору или ИП которая сможет покрыть 60 устройств cisco (Регион Туркмения). Оставляйте контакты обязательно напишу. Прошу всех заинтересованных проявить активность.
↧
ASA connection limits
Добрый день. Пытаюсь разобраться с лимитами на ASA5585x-ssp60. версия 9.6(3)
Правильно ли я понимаю что защита от tcp syn flood это ограничение полуоткрытых соединений.
embryonic-conn-max – это общее ограничение на полуоткрытые сессии. Не на конкретный хост, а на все которые у нас есть.. т.е. если у нас 500 сайтов работающих по 80 порту, то 10000 делиться на все 500 сайтов. Так?
per-client-embryonic-max – это количество полуоткрытых сессий с хоста инициатора на все хосты? Написано, что трафик не будет блокироваться полностью.. а аса включит механизм syn cookie и начнет рассылать ACK вместо хоста и если получит SYN ACK то соединение установиться. Т.е. мы получаем исходящий от нас трафик на спуфед адреса, часть из них отвечает даже и нам в обратку прилетают RST.
Мы пытались эмитировать атаку syn flood на один наш хост с кучи фейковых адресов по 80 порту.
В полиси видим такую картину.. т.е. по идее запросов было гораздо больше чем 10000, но счетчики показывают такие значения.
Дропов нет. ЦПУ при этом подгружается до 50%.
При этом кол-во pps около 300000.
Interface OUTSIDE:
Service-policy: CONNECTION
Class-map: CONNECTION
Set connection policy: embryonic-conn-max 10000 per-client-embryonic-max 1000
current embryonic conns 4498, current conns 5541, drop 0
Set connection timeout policy:
embryonic 0:00:11
DCD: disabled, retry-interval 0:00:15, max-retries 5
DCD: client-probe 0, server-probe 0, conn-expiration 0
Имеет ли смысл вообще писать общие лимиты, или надо защищать конкретные хосты наши.. а если их тысяча, надо для каждого определять писать свой полиси?
Если полиси убрать, то аса умирает где-то на 3.5 млн при 500000 pps.
Вот у нас порядка 500 веб проектов, в основном 80 и 443 порты. Если прилетает syn flood на любой, то аса благополучно ложиться. Возможности установить IDS/IPS сейчас нет. Можно как-то на ASA применить механизм что бы она не ложилась от банального syn flood.
↧
Ping удаленного маршрутизатора через IPSec туннель.
Коллеги, приветствую.
Используем ASAv в точке A (преположим, inside адрес 192.168.10.1/24) + ASA 5510 в точке B. (предположим, inside адрес 192.168.5.1)
Настроен туннель IPSEC между устройствами, по гайдам. Сам туннель работает, претензий нет.
Задача такова:
Пинговать из сети А маршрутизатор сети B, и наоборот. Сейчас отвечает все, кроме самих роутеров.
По всей видимости я еще чего-то не понимаю в работе туннеля, и IPSEC так и должен работать. Но если есть решение, то прошу им поделиться.
↧