Из-за чего не отображается, по умолчанию, в show running-config строка enable secret?
Если запросить sh running-config full, то тогда видно.
Cisco IOS Software, C3750ME Software (C3750ME-I5K91-M), Version 12.2(58)SE1, RELEASE SOFTWARE (fc1)
↧
не отображается enable secret
↧
Cisco в качестве клиента OpenVPN
Добрый день коллеги, встала передо мной задача организовать следующее: Cisco 3825 должна подключаться в качестве клиента к серверу OpenVPN на freebsd. Собственно выдали мне сертификаты, я вот сижу смотрю на них и понятия не имею что с ними делать. Излазил интернет, вменяемой информации как это сделать так и не нашёл. Подскажите пожалуйста куда копать? И это вообще возможно?
↧
↧
bgp vrf
Всем добрый день!
Внутри маршрутизатор используются обычная таблица маршрутизации и созданы две VRF.
Есть необходимость, чтобы в одной из созданных VRF работал bgp. Но только там.
Подскажите, пожалуйста, куда копать и что читать?
↧
Помогите разобраться с Ipsec
Всем привет.
Пишу здесь впервые, но раздел вроде бы, выбрал верный.
Помогите, пожалуйста, разобраться с работой ipsec. Интересует такой момент: необходимо установить соединение из вне (из Интернета) до корпоративной сети. Роутер - cisco 2921 с ОС 151-3 (весь функционал задействован), RAS-сервер на базе Windows 2012, находится за NAT (за Cisco), имеет лишь один интерфейс и естественно, адрес из внутреннего диапазона. Соединение необходимо сделать именно L2TP/IPSEC. Не потому, что так надо руководству, или еще что-то, а именно для того, что бы понять. Когда пойму, возможно, сделаю через что-нибудь еще. Поэтому, другие варианты а-ля OpenVPN пока не предлагайте.
Вопрос: что необходимо сделать на роутере, что бы корректно установить такое соединение? NAT работает для UDP 1701, 500 и 4500 портов, а также для протокола ESP (50). Простой port forwarding отрабатывает (видны трансляции по 500 и 4500 портам), но само соединение не устанавливается. Я уже перечитал кипу различной документации, и везде идет настройка crypto isakmp policy, crypto ipsec transform-set и так далее. Я никак не могу для себя устаканить, зачем все это нужно на роутере, который по идее, должен лишь перенаправлять запросы на RAS-сервер. Т.е., мне не нужна здесь детальная конфигурация или пошаговая инструкция. Очень хотелось бы просто получить пару-тройку ответов, как работает роутер, когда должно быть установлено l2tp/ipsec соединение не с самим роутером, а с RAS-сервером за ним (за роутером).
Поделитесь, пожалуйста, опытом и профессионализмом. Спасибо.
↧
Проблема с Cisco AIR-CAP2602I-R-K9
Всем доброго времени суток!
Имеется Cisco AIR-CAP2602I-R-K9, перешил в AP, настроил на открытую гостевую сеть:
!
version 15.2
no service pad
service timestamps debug datetime msec
service timestamps log datetime msec
service password-encryption
!
hostname ap
!
!
logging rate-limit console 9
enable secret 5 XXXXXXXX
!
no aaa new-model
no ip cef
!
!
!
!
dot11 syslog
!
dot11 ssid WIFI
authentication open
guest-mode
!
!
dot11 network-map
dot11 guest
!
!
!
username Cisco password 7 XXXXXXXX
!
!
bridge irb
!
!
!
interface Dot11Radio0
no ip address
!
ssid WIFI
!
traffic-metrics aggregate-report
speed basic-1.0 basic-2.0 basic-5.5 basic-11.0 basic-6.0 basic-9.0 basic-12.0 basic-18.0 basic-24.0 basic-36.0 basic-48.0 basic-54.0
no preamble-short
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 port-protected
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface Dot11Radio1
no ip address
shutdown
antenna gain 0
station-role root
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-flooding
!
interface GigabitEthernet0
no ip address
duplex auto
speed auto
bridge-group 1
bridge-group 1 spanning-disabled
no bridge-group 1 source-learning
!
interface BVI1
ip address dhcp client-id GigabitEthernet0
ipv6 address dhcp
ipv6 address autoconfig
ipv6 enable
!
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http help-path http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag
!
!
bridge 1 route ip
!
!
!
line con 0
line vty 0 4
login local
length 0
transport input all
!
end
Пробовал разные варианты, но в итоге ошибка и не заводится сама сеть:
Interface Dot11Radio0: not starting because stop-on-failure set
В веб интерфейсе:
Software Status: Enabled
Hardware Status: Down
Кто может объяснить в чем косяк?
↧
↧
ASA Security Contexts
Коллеги, хотел уточнить, есть 5515-X, допустимо максимум 5 контекстов, это admin + 5 или 5 вместе с админским контекстом?
↧
Проброс портов для одного IP
Друзья,
видел подобные темы, читал, смотрел, но почему-то не работает.
Задача - проброс порта 5060 на внутренний IP, но только для одного внешнего IP
Cisco 881, IOS 15.1
сам статик нат без проблем
ip nat source static udp 192.168.12.101 5060 x.x.x.x 5060 extendable
затем делаю acl
ip access-list extended sip
permit udp host внешний адрес host 192.168.12.101 eq 5060
permit tcp host внешний адрес host 192.168.12.101 eq 5060
deny udp any any eq 5060
deny tcp any any eq 5060
permit ip any any
и вешаю его на внешний интерфейс
interface FastEthernet4
ip address х.х.х.х 255.255.255.252
ip access-group sip in
ip nat outside
ip nat enable
ip virtual-reassembly in
duplex auto
speed auto
Трафик даже с разрешенного внешнего адреса не приходит на 192.168.12.101
Пробовал через route-map, но в команде
ip nat source static udp 192.168.12.101 5060 x.x.x.x 5060 здесь не дает ввести route-map, нет такой команды
Прошу помочь, что делаю не так?
↧
Локализация CUCM 8.0.3
Добрый день!
На стороннем предприятии полетел CUCM 8.0.3, все что удалось с него стянуть полезного это файлы лицензий. Поставил с диска всё с нуля, настроил, всё работает.. всё хорошо.
Но теперь задача стоит его руссфицировать. У меня никаких соглашений с вендором нет - скачать с сайта не даёт. Требуется руссифицировать хотябы модели телефонов (6941, 7975), ну и конечно же было бы здорово и сам CUCM, да бы он отвечал юзерам на русском.
У кого есть? поделитесь пожалуйста.
На другом предприятии у меня есть CUCM 7.5 с русской локалью, может кто-то пробовал и можн более низкую версию запихнуть? или локали телефонов оттуда достать?
Подскажите кто что знает...
Поделитесь локалью плиз!
↧
Размер udp пакета
Добрый день.
В ASA есть настройка размер udp, например для DNS
policy-map type inspect dns preset_dns_map
parameters
message-length maximum 512
Есть ли такое ограничение на обычных маршрутизаторах? И если есть, то можно ли его изменить?
↧
↧
Исходящие звонки с FAX.
День добрый,
требуется Ваша помощь. Есть схема:
факс - FXS в Cisco2921 - E1
При попытках отправить факс во вне (или просто набрать внешний номер) идет отбой.
Провайдер говорит, что при установлении сессии к ним приходит наш внутренний номер факса не транслируясь в городской.
Хотя судя по test voice translation-rule, трансляция происходит.
При всём при этом, звонки с IP Phone идущие через CUCM, работают нормально.
Заранее прошу прощения за возможные косяки с терминологией.
Voice для меня пока тёмный лес.
Конфигурация:
voice service voip
allow-connections h323 to h323
allow-connections h323 to sip
allow-connections sip to h323
allow-connections sip to sip
fax protocol pass-through g711ulaw
h323
h225 timeout t302 5
!
voice class codec 1
codec preference 1 g711ulaw
dial-peer voice 4001 pots
description FAX 3503
destination-pattern 3503
port 0/1/2
voice-port 0/1/2
cptone RU
↧
Cisco AIR-AP1231G-A-K9 работает только с 1-11м каналами
Приветствую! Имеется несколько точек AP1231G-A-K9, заметил не приятность, что с она работает только с 1-11м каналами. 12го и 13го каналов нет, оно и понятно, модель для Америки. Пытался менять country-code:
AP1231(config)#interface dot11Radio 0
AP1231(config-if)#world-mode dot11d country-code RU outdoor
Selected country Russian Federation
В веб интерфейсе получаю табличку с ругательством
WARNING:
Can not find Country code of World Mode.
Тоже самое если country-code EU ...
Прошивка c1200-k9w7-mx.123-8.JEE
В общем, влияет ли world-mode dot11d country-code на появление/исчезновение доступных каналов? И есть ли возможность заставить эту точку работать с 12м и 13м каналами ?
↧
IPSEC on Cisco 2921 (не повтор)
Добрый день. Буквально перед тем, как писать сюда, прочел тему об отсутствии некоторых команд ipsec в cli роутера (viewtopic.php?f=2&t=7280). Но мой вопрос повторением не является.
Начал разбираться с настройкой ipsec-vpn на cisco 2921 (ОС c2900-universalk9-mz.SPA.151-3.T). Необходимо сделать vpn по типу remote access, что бы народ снаружи мог ходить в корпоративную сетку.
Все необходимые команды доступны, и в тестовой среде все получилось - и туннель поднялся, и клиенты получают нужные адреса из local pool, и могут добраться до внутренней сети.
Но вот с реальной железкой возникли затруднения, с которыми и прошу помочь. Ниже набор команд, которыми пользовался при настройке (стащил с видео на youtube, это тот конфиг, который работает в тестовой среде):
aaa new-model
aaa authenication login auth local
aaa authorization network auth local
ip local pool vpnpool 10.1.1.1 10.1.1.10
ip access-list extended VPNACL permit ip any any
crypto isakmp policy 10
enc 3des
auth pre-share
group 2
exit
crypto isakmp client configuration group admin
acl VPNACL
key cisco
pool vpnpool
exit
crypto isakmp profile isakmp-profile
match identity group admin
virtual-template 1
isakmp authorization list auth
client authenication list auth
client configuration add respond
exit
crypto ipsec transform-set tset esp-3des esp-sha-hmac
mode transport
exit
crypto ipsec profile ipsec-profile
set transform-set tset
set isakmp-profile isakmp-profile
exit
inteface virtual-template 1 type tunnel
ip unnumbered gig1/0
tunnel protection ipsec profile ipsec-profile
tunnel mode ipsec ipv4
tunnel source gig1/0
exit
username cisco secret cisco
Ожидалось, что при такой последовательности, при создании virtual-template 1 интерфейса появится сообщение о включении IPSEC (ON/OFF). Однако, этого не произошло, и я не могу установить соединение. Cisco VPN Client (под винду) пишет, что удаленный пир не ответил. По какой-то причине, сначала не создался интерфейс Virtual-access1. Я создал другой интерфейс virtual-template 4, переписал необходимые части конфига со ссылкой на него. Virtual-access1 появился, но virtual-template 4 в странном состоянии up/down, хотя, как я понимаю, до инициализации подключения он должен быть в down/down. Еще, на роутере настроен сертификат (crypto pki trustpoint, crypto pki certificate chain). Не знаю зачем, но он есть. Не может ли он как то ';мешать'; в данном случае?
Подскажите пожалуйста, в чем может быть проблема и где можно почитать/посмотреть. В какую сторону вообще рыть?
↧
Срочно нужен человек для решения проблемы с VOIP!!
Добрый день.
Сроки горят, нужен опытный телефонист, готовый потратить свое время за денежную компенсацию для решения проблемы с IP-телефонией.
Очень много нюансов, много что пытались сделать своими силами, поэтому всё описывать в топике не вижу смысла.
Заинтересовавшиеся смельчаки, пишите в ЛС свои контакты. Перезвоню и все детально опишу.
↧
↧
Маленькая проблема с роутами на асе
ПРошу помощи, потому как я что-то туплю.
аса 5505 2 прова
Из sh run
route outside 0.0.0.0 0.0.0.0 46.46.a.a 253 track 231
route outside2 0.0.0.0 0.0.0.0 10.0.0.1 252
Это все что по роутам есть
Даю команду
route outside 0.0.0.0 0.0.0.0 46.46.a.a 1 track 231
Cannot add route entry, conflict with existing routes
с чем он может конфликтовать?
↧
Поиск IOS для Cisco AIR-CAP3502I-R-K9
Добрый день коллеги, нужен IOS для Cisco AIR-CAP3502I-R-K9 (Для автономного режима, и для легкого режима, для работы с контроллером) мог бы кто помочь мне скачать? А то в интернете не нашёл. Заранее спасибо!
↧
ipsec remote access 5515-k8
Доброго всем дня. И хорошего выходного.
На руках asa 5515-x k8. 9.1(2).
Пытаюсь настроить Ipsec vpn remote access. (ssl лицензии нету, и покупать не собираемся).
И так настройка
ASA Version 9.1(2)
!
enable password o/8ERB9ODAqP9/yf encrypted
names
ip local pool VPN-ADDRESS 192.168.18.1-192.168.18.254 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif internal
security-level 100
ip address 192.168.0.4 255.255.255.0
!
interface GigabitEthernet0/1
nameif external
security-level 0
ip address x.x.x.x 255.255.255.252
!
regex web_link1 ';odnoklassniki\.ru';
ftp mode passive
clock timezone GMT 3
dns domain-lookup internal
dns domain-lookup external
dns server-group DefaultDNS
name-server 192.168.0.1
same-security-traffic permit intra-interface
object network internal-inet
subnet 192.168.0.0 255.255.255.0
object network adm_rdp
host 192.168.0.100
object network VPN-USERS
subnet 192.168.128.0 255.255.255.0
object-group service PROTOCOLS
service-object tcp destination eq www
service-object udp destination eq www
service-object udp
service-object tcp
service-object icmp
object-group network No_webblock
network-object host 192.168.0.100
object-group user Internet-Users_1
user-group C\\internet
access-list internet remark internet
access-list internet extended permit object-group PROTOCOLS object-group-user Internet-Users_1 192.168.0.0 255.255.255.0 any
access-list no-web-block remark no-web-block
access-list no-web-block extended deny tcp object-group No_webblock any eq www
access-list no-web-block extended permit tcp any any eq www
access-list rdp_adm_list extended permit tcp any host 192.168.0.100 eq 3389
pager lines 24
logging asdm informational
mtu internal 1500
mtu external 1500
mtu management 1500
no failover
icmp unreachable rate-limit 1 burst-size 1
no asdm history enable
arp timeout 14400
no arp permit-nonconnected
nat (external,external) source dynamic VPN-USERS interface
nat (external,internal) source static VPN-USERS VPN-USERS
!
object network internal-inet
nat (internal,external) dynamic interface
object network adm_rdp
nat (internal,external) static interface service tcp 3389 20110
access-group internet in interface internal
access-group rdp_adm_list in interface external
route external 0.0.0.0 0.0.0.0 x.x.x.x 1
timeout xlate 3:00:00
timeout pat-xlate 0:00:30
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
timeout floating-conn 0:00:00
dynamic-access-policy-record DfltAccessPolicy
aaa-server AD protocol ldap
aaa-server AD (internal) host 192.168.0.109
ldap-base-dn DC=c,DC=local
ldap-group-base-dn CN=Users,DC=c,DC=local
ldap-scope subtree
ldap-naming-attribute sAMAccountName
ldap-login-password 1234567890
ldap-login-dn c\admin
server-type microsoft
aaa-server AD-Agent protocol radius
ad-agent-mode
aaa-server AD-Agent (internal) host 192.168.0.75
key 1234567890
user-identity domain C aaa-server ActiveD
user-identity default-domain LOCAL
user-identity action domain-controller-down C disable-user-identity-rule
user-identity inactive-user-timer minutes 120
user-identity logout-probe netbios local-system probe-time minutes 10 retry-interval seconds 10 retry-count 2 user-not-needed
user-identity poll-import-user-group-timer hours 1
user-identity ad-agent hello-timer seconds 20 retry-times 3
user-identity ad-agent aaa-server AD-Agent
aaa authentication ssh console LOCAL
http server enable
http 192.168.1.0 255.255.255.0 management
http 192.168.0.0 255.255.255.0 internal
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart warmstart
crypto ipsec ikev1 transform-set VPNSet esp-des esp-md5-hmac
crypto ipsec security-association pmtu-aging infinite
crypto dynamic-map First_Din_map 1 set ikev1 transform-set VPNSet
crypto dynamic-map First_Din_map 1 set reverse-route
crypto map CMap 1 ipsec-isakmp dynamic First_Din_map
crypto map CMap interface external
crypto ca trustpool policy
crypto ikev1 enable external
crypto ikev1 policy 1
authentication pre-share
encryption des
hash md5
group 2
lifetime 86400
telnet timeout 5
ssh 192.168.0.0 255.255.255.0 internal
ssh timeout 45
ssh version 1
ssh key-exchange group dh-group1-sha1
console timeout 0
dhcpd address 192.168.1.2-192.168.1.254 management
dhcpd enable management
!
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
group-policy VPNC internal
group-policy VPNC attributes
vpn-tunnel-protocol ikev1
split-tunnel-policy tunnelall
username vpn password n0kULnPYbCK38 encrypted
username adm password qrvuguE2b/7hJ3 encrypted privilege 15
tunnel-group VPN-C type remote-access
tunnel-group VPN-C general-attributes
address-pool VPN-ADDRESS
default-group-policy VPNC
tunnel-group VPN-C ipsec-attributes
ikev1 pre-shared-key ciscoсisco
!
class-map no-web-block-class
match access-list no-web-block
class-map inspection_default
match default-inspection-traffic
class-map type inspect http match-any web_block_class
match request header host regex web_link1
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map type inspect http web_block_policy
parameters
class web_block_class
drop-connection
policy-map no_web_block_policy
class no-web-block-class
inspect http web_block_policy
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
inspect icmp
inspect http web_block_policy
!
service-policy global_policy global
service-policy no_web_block_policy interface internal
prompt hostname context
no call-home reporting anonymous
Cryptochecksum:d3ad40b9556259290cb6e08e14aed385
: end
win 7 x64.
Пытаюсь приконектится с Shrew Soft VPN Client.
config loaded for site 'x.x.x.x'
attached to key daemon ...
peer configured
iskamp proposal configured
esp proposal configured
client configured
local id configured
remote id configured
pre-shared key configured
bringing up tunnel ...
negotiation timout occurred
tunnel disabled
detached from key daemon
Менял уже hash sha на md5 - не помогло. Подтолкните плз где кривота моя.
Спасибо.
↧
Cisco connect 2014: тем кто идет или очень хочет!
Коллеги, как и в прошлом году, творческая группа ';ЭСССЕ'; создает очередной шедевр креатива и глубины идеи!
В прошлом году, как вы помните, мы делали уникальное шоу ';Клетка - битва со стрессом';. Похоже, наши бои собирали больше зрителей и болельщиков, чем многие панельные дискуссии и выступления ) Разве что обед был вне конкуренции!
В этом году мы не останавливаемся на достигнутом и совместно с УЦ ';Микротест'; развиваем идею. На сей раз к умственной части добавится еще и взаимодействие участников, что приблизит условия к жизненным и позволит оценить, кто по-настоящему крут!
Кто зайдет на СС2014 - зайдите к нам. Я буду вести мероприятие все 3 дня, а также в районе обеда вас ждут зажигательные скетчи на провокативные темы
А самые смелые могут рискнуть участвовать и выигрывать весьма ценные призы! В первый день шансов участвовать больше - по опыту прошедшего СС2013. Тогда нам пришлось даже дополнительный тур делать!
Бои будут в перерывах, а отборочный тур - во время сессий.
ЗЫ Если вы не идете, но тоже хотите как-то проучаствовать, то для вас есть задачка: напишите вопрос, который бы я задал участнику. Вопрос может иметь любую сложность, но обязательно должен восприниматься на слух и желательно быть в тему циски или Интернета вещей (главная зазывалка СС2014). А то мне набросали вопросов из тестов... И обязательно сказать мне, какой правильный ответ Оцените свой вопрос по сложности: 1, 2 или 3
Особо буду признателен за стебные вопросы
3 вопроса, который мне понравятся больше всех, обязательно награжу от себя! Писать можно на 4u@anticisco.ru либо сюда.
↧
↧
cisco air-ap1131ag-a-k9 не включается
Народ, может кому нибудь не лень будет выложить схемку этой точки доступа?
либо же, если ни у кого таковой не имеется, а также не лень будет помочь студенту из Беларуси , и любезно согласится прозвонить на питание все выводы данной точки доступа и выложить с пометкой где какое напряжение по отношению и к +, и к -
p.s. у меня нету PoE, поэтому очень желательно прозванивать при подключённом блоке питания непосредственно в точку
Заранее ОГРОМНЕЙШАЯ БЛАГОДАРНОСТЬ
↧
asa5505 и Windows NPS (Radius)
Добрый день!
На asa5505 настроен L2TP с авторизацией на windows nps.
На NPS настроенны 2 разные группы, пусть будет ';group1'; и ';group2'; каждая со своими access-list'ами, Cisco-AV-Pair (типа ip:inacl#1=permit icmp x.x.x.0 255.255.255.0 host y.y.y.y)
Переодически возникает такая проблема, что пользователю из группы group1 - привязывается access-list группы group2.
На asa видны динамические access-list'ы (show access-list)
access-list AAA-user-USER1-79BE5B0B
access-list AAA-user-USER2-A9B6D107
в логах сообщения такого вида:
access-list AAA-user-USER2-A9B6D107 denied tcp for user 'USER1' ....
Происходит это видимо из-за залипшей сессии пользователя USER2, потому как
1. (на момент подключения USER1) USER2 в списках подключенных пользователей отсутствует ';sh vpdn session state';
2. access-list USER2 навешивается USER1 только в том случае, если USER1 получил ip-адрес который был у USER2 ранее.
Как избавиться от такой ситуации? Как можно удалить этот access-list?
↧
Централизованное управление cisco роутерами/коммутаторами
Подскажите, как админят большие сети из десятков и сотен устройств? Т.е. к примеру есть задача в сети из нескольких десятков или даже сотен роутеров/коммутаторов провести однотипную перенастройку к примеру файрвола, qos, адресов и т.п. вещей. Кто что использует?
↧