-
Fototrend
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
zsolti.22
senior tag
Van egy DHCP problémám a 871W-vel. A probléma az, hogy első csatlakozásnál sosem kap IP-t a gép, úgy kell manuálisan renewolni. Ha a lease time-on belül akármikor visszacsatlakozok, akkor persze jó.
A konfigom ez:
ip dhcp pool WIFI
network 192.168.10.0 255.255.255.224
default-router 192.168.10.1
dns-server 8.8.8.8
lease 0 2interface BVI1
ip address 192.168.10.1 255.255.255.224
ip nat inside
ip virtual-reassembly in
zone-member security INSIDEinterface Vlan500
no ip address
ip virtual-reassembly in
no autostate
bridge-group 1interface Dot11Radio0
no ip address
!
encryption vlan 500 mode ciphers aes-ccm
!
encryption mode ciphers aes-ccm
!
ssid CISCO
!
speed basic-1.0 basic-2.0 basic-5.5 6.0 9.0 basic-11.0 12.0 18.0 24.0 36.0 48.0 54.0
channel 2462
station-role root
antenna gain 25
world-mode dot11d country HU both
!
interface Dot11Radio0.500
encapsulation dot1Q 500
bridge-group 1
bridge-group 1 subscriber-loop-control
bridge-group 1 spanning-disabled
bridge-group 1 block-unknown-source
no bridge-group 1 source-learning
no bridge-group 1 unicast-floodingdot11 ssid CISCO
vlan 500
authentication open
authentication key-management wpa
guest-mode
wpa-psk ascii 7 12323321231231321321213Először egy android próbálkozás:
Aztán egy laptop próbálkozás:
Valakinek valami ötlete esetleg?
-
zsolti.22
senior tag
ASÁ-val ACL-eztem, ezt a konfigot csináltam:
access-list 100 deny icmp any any
access-list 100 permit ip any any
access-group 100 in interface insideTételezzük fel, hogy van egy interfészünk inside névvel, ami egy switchre megy. A switchhez kapcsolódik egy router iszonyat minimális konfiggal (ahogy az ASA is), csak hogy épp tesztelni lehessen a pinget. Az ASA viszont az ACL ellenére is engedi be a pinget és a permit ip any any counter növekszik és logolódik...Ez mi ez?
-
zsolti.22
senior tag
válasz
zsolti.22
#8915
üzenetére
Rájöttem.
Ha esetleg érdekel valakit:Kiinduló konfiguráció, melyből csak az aaa-releváns konfigot másoltam ki:
ciscoasa# sh run | i TAC|key
aaa-server TAC protocol tacacs+
aaa-server TAC (inside) host 172.16.0.2
key *****
aaa authentication telnet console TAC
aaa authentication ssh console TAC
aaa authentication serial console TAC
aaa accounting command privilege 15 TAC
aaa accounting serial console TAC
aaa accounting ssh console TAC
aaa accounting telnet console TAC
aaa accounting enable console TACA tacacs+ szerver nem Cisco ACS, hanem mezei TACACS.NET szerver, ami jól van beállítva.
Logolást bekapcsoltam, merthogy alapból az sincs nemhogy konzolra, hanem sehogy, szóval kell egy logging enable és egy logging console 7, ami ezt dobja, ha be akarok lépni az ASA-ba:
Username: zsolti.22
Password: *****
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 98 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/46606 (172.16.0.1/46606)
%ASA-7-710005: UDP request discarded from 172.16.0.2/137 to inside:172.16.0.1/137
%ASA-6-113004: AAA user authentication Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-113008: AAA transaction status ACCEPT : user = zsolti.22
Type help or '?' for a list of available commands.
%ASA-6-611101: User authentication succeeded: Uname: zsolti.22
%ASA-6-605005: Login permitted from serial to console for user "zsolti.22"
ciscoasa> %ASA-6-302013: Built outbound TCP connection 99 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/25556 (172.16.0.1/25556)
%ASA-6-113004: AAA user accounting Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-302014: Teardown TCP connection 98 for inside:172.16.0.2/49 to identity:172.16.0.1/46606 duration 0:00:00 bytes 60 TCP FINs
%ASA-6-302014: Teardown TCP connection 99 for inside:172.16.0.2/49 to identity:172.16.0.1/25556 duration 0:00:00 bytes 106 TCP FINs
%ASA-7-609002: Teardown local-host identity:172.16.0.1 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:172.16.0.2 duration 0:00:00{és itt lesz a lúdas}:
ciscoasa> ena
Password: *****
ciscoasa# %ASA-5-502103: User priv level changed: Uname: enable_15 From: 1 To: 15
%ASA-5-111008: User 'zsolti.22' executed the 'enable' command.
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 109 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/18492 (172.16.0.1/18492)
%ASA-6-113004: AAA user accounting Successful : server = 172.16.0.2 : user = enable_15
%ASA-6-302014: Teardown TCP connection 109 for inside:172.16.0.2/49 to identity:172.16.0.1/18492 duration 0:00:00 bytes 105 TCP FINs
%ASA-7-609002: Teardown local-host identity:172.16.0.1 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:172.16.0.2 duration 0:00:00Ha így adok ki egy aaa authorization commands TAC-et, akkor minden parancsomat elutasítja a TAC, mivel nincs beállítva enable_15 userem az authentication/authorization fájlokban.
Hozzáadtam a konfighoz ezt a sort:
aaa authentication enable console TAC, ami azt csinálja, hogy a tacacs+-tól kér saját enable jelszót, nem pedig az asa-n lévő local enable jelszót kéri be:ciscoasa(config)# aaa authentication enable console TAC
Kilépés, majd belépés:
Username: zsolti.22
Password: *****
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 115 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/35451 (172.16.0.1/35451)
%ASA-6-113004: AAA user authentication Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-113008: AAA transaction status ACCEPT : user = zsolti.22
%ASA-6-611101: User authentication succeeded: Uname: zsolti.22
%ASA-6-605005: Login permitted from serial to console for user "zsolti.22"
Type help or '?' for a list of available commands.
ciscoasa> %ASA-6-302013: Built outbound TCP connection 116 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/60041 (172.16.0.1/60041)ciscoasa> ena
Password: *
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 117 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/47624 (172.16.0.1/47624)
%ASA-7-710005: UDP request discarded from 172.16.0.2/137 to inside:172.16.0.1/137
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = 172.16.0.2 : user = zsolti.22
Password: %ASA-6-611102: User authentication failed: Uname: zsolti.22
%ASA-6-302014: Teardown TCP connection 117 for inside:172.16.0.2/49 to identity:172.16.0.1/47624 duration 0:00:00 bytes 56 TCP FINs
%ASA-7-609002: Teardown local-host identity:172.16.0.1 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:172.16.0.2 duration 0:00:00
******
%ASA-7-710005: UDP request discarded from 172.16.0.2/137 to inside:172.16.0.1/137
%ASA-6-113004: AAA user authentication Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-113008: AAA transaction status ACCEPT : user = zsolti.22
ciscoasa# %ASA-6-611101: User authentication succeeded: Uname: zsolti.22
%ASA-5-502103: User priv level changed: Uname: zsolti.22 From: 1 To: 15
%ASA-5-111008: User 'zsolti.22' executed the 'enable' command.
%ASA-6-302013: Built outbound TCP connection 122 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/34844 (172.16.0.1/34844)
%ASA-6-113004: AAA user accounting Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-302014: Teardown TCP connection 121 for inside:172.16.0.2/49 to identity:172.16.0.1/9421 duration 0:00:08 bytes 61 TCP FINs
%ASA-6-302014: Teardown TCP connection 122 for inside:172.16.0.2/49 to identity:172.16.0.1/34844 duration 0:00:00 bytes 105 TCP FINsÍgy már zsolti.22 néven vagyok enable módban és ha így akarok játszadozni az authorizációval, akkor prímán működik is
Szóval ha nem a tacacs+-tól kérem az enable jelszót, akkor enable_15 userként leszek bent enable módban... -
zsolti.22
senior tag
ASÁ-ban hogyan kellene authorize-ot csinálnom, hogy ne zárjam ki magam? Eddig mindig sikerült.
Ezzel próbálkoztam:
aaa-server TACACS (inside) host 172.16.0.2
key jelszo
aaa authentication telnet console TACACS
aaa accounting command privilege 15 TACACS
aaa accounting telnet console TACACS
aaa authorization exec authentication-serverAz utolsó sor után megszűnik a barátság köztem és a router között, pedig elvileg csak telnetre vonatkozik, nem? Mégis konzolról is kiutál.
IOS-en viszont szépen hitelesíti a parancsaimat a router, már csak valahogy az ASA-t kellene rábírni, hasonlóképp ehhez:
aaa new-model
aaa authentication login default group tacacs+ enable
aaa authorization console
aaa authorization config-commands
aaa authorization commands 0 default group tacacs+ if-authenticated
aaa authorization commands 1 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
tacacs-server host 172.16.0.2 key jelszoItt még oké, mert az if-authenticated miatt hiába adom ki az aaa authorization console parancsot, nem zárom ki magam a következő logon-ig, bár erősen gondolkodik a router, mit tegyen
-
zsolti.22
senior tag
Ez nem vers, hogy szó szerint kelljen tudni...a lényeget értsd és a saját szavaiddal tudd elmondani, hogy adott protokoll hogyan és miért úgy működik, ahogy; mire való, mik az előnyei/hátrányai, hogyan konfigurálod.
A parancsokat nem kell bemagolni, magadtól megjegyzed őket, ha elég sokat laborozol. Ha meg nem jut eszedbe, akkor meg ott a kveszcsön mark és kikérdőjelezed
-
zsolti.22
senior tag
Pedig így sokszor átnézve a videót, meg átolvasva már annyira nem száraz. Most néztem az új SISAS, SENSS, SIMOS, SITCS vizsgákat és egyik másik felét az ember már most tudja, szóval kb. a 4 vizsga felét/harmadát kell megtanulni, onnantól kezdve meg is van az egész P security.
-
zsolti.22
senior tag
Így jár az, aki 22:30-kor érzi úgy, hogy meg kell nézni, hogy hogyan kell tacacs+-ot konfigolni az ASA-ra:
ciscoasa# configure terminal
Command authorization failed
ciscoasa#
Jahogy?!
De ki ez az enable_15 user (accounting logban tűnt fel)<102> 2015-07-01 22:48:53 [172.16.0.1:37530] 07/01/2015 22:48:53 NAS_IP=172.16.0.1 Port=6 rem_addr=0.0.0.0 User=zsolti.22 Flags=Start task_id=36700007 foreign_ip=0.0.0.0 local_ip=0.0.0.0 service=shell
<102> 2015-07-01 22:48:54 [172.16.0.1:56640] 07/01/2015 22:48:54 NAS_IP=172.16.0.1 Port=0 rem_addr=0.0.0.0 User=enable_15 Flags=Start task_id=36700008 foreign_ip=0.0.0.0 local_ip=0.0.0.0 service=shellGyorsan átírtam zsolti.22 usert enable_15 userre és tádámm...beenged conf t-be.
-
zsolti.22
senior tag
Az OUTSIDE_TO_SELF-es témánál összekevertem az irányokat, természetesen SELF_TO_OUTSIDE akart volna lenni, amikor óraszinkron, ddns, stb-ről írtam
Na, most másfél óra alatt megálmodtam az új szabálylistákat, és ahogy nézegettem, így egyelőre teljesen egyértelmű és agyban lefuttatva pont működik minden, amit szeretnék, aztán majd holnap rárakom a routerre és lehet, hogy lesz pofára esés. Az új szabályoknál sehol sem használok pass-t, csak inspectet, mert lusta vagyok megírni az oda-vissza szabályokat.
Íme (lehet értékelni):
class-map type inspect match-any INSIDE_TO_OUTSIDE_CLASS_INSPECT
//belső hálózat protokolljai
match protocol bootps
match protocol bootpc
match protocol pop3s
match protocol dns
match protocol icmp
match protocol ntp
match protocol tcp
match protocol udpclass-map type inspect match-any INSIDE_TO_VOIP_CLASS_INSPECT
//itt a belső hálóról a telefont csak HTTP-n akarom elérni, máshogy nem
match protocol httpclass-map type inspect match-any VOIP_TO_OUTSIDE_CLASS_INSPECT
//a voipnak ezekre a protokollokra van szüksége
match protocol ntp
match protocol dns
//ebben az ACL-ben a SIP, STUN, RTP dolgok vannak definiálva (jó pár perc wireshark csomag-lesegetés után)
match access-group name VOIP_TO_OUTSIDE_INSPECT_ACL
//ez az utóbbi talán nem is kell, hiszen a fentiekkel kb kimerítettem a lehetőségeket, amikre szükség van
match protocol udpclass-map type inspect match-any SELF_TO_OUTSIDE_CLASS_INSPECT
//a router tudjon IP-t kapni, állogassa az órát, kérdezgessen dns-t
match protocol bootps
match protocol bootpc
match protocol ntp
match protocol dns
//frissítse a DDNS-t az ACL alapján
match access-group name SELF_TO_OUTSIDE_DDNS_ACLclass-map type inspect match-any OUTSIDE_TO_SELF_CLASS_INSPECT
//itt vannak az SSH-hoz, bejövő hívás kezdeményezéséhez és a router pingetéséhez szükséges ACE-k
match access-group name OUTSIDE_TO_SELF_INSPECT_ACLpolicy-map type inspect INSIDE_TO_OUTSIDE
class INSIDE_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect INSIDE_TO_VOIP
class INSIDE_TO_VOIP_CLASS_INSPECT
inspectpolicy-map type inspect VOIP_TO_OUTSIDE
class VOIP_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect SELF_TO_OUTSIDE
class SELF_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect OUTSIDE_TO_SELF
class OUTSIDE_TO_SELF_CLASS_INSPECT
inspectHát röviden ennyi, elvileg minden oké lesz. A zónapárok a policy-mapokból látszanak is.
Na és akkor ha most VPN-t akarnék konfigurálni, akkor a fenti zónák elegek, igaz? És ha igen, akkor az OUTSIDE_TO_SELF_INSPECT_ACL-be kellene a két site pub IP-je UDP 500 forrás-céllal, meg ESP-vel, 'oszt jónapot'? Mert szerintem igen! -
zsolti.22
senior tag
Szia!
Sikerült megoldanom, de már ki is ment a fejemből, hogy mi volt a konkrét megoldás. Jó sok ACL-em volt, amit nem is használt végül a router. Onnan jöttem rá, mi a gond, hogy a show crypto engine connections active mutatta, hogy decryptálni tudta a csomagot, de encryptálni már nem akart. Ekkor nézegettem az ACL-eket és azokból az látszott, hogy a NAT-os deny-os ACL sorra is van találat, a crypto ACL-re visszafelé szintén, ennek ellenére mégsem történt meg a csomagok titkosítása. Aztán nézegettem a class-mapokat és ott egy inspectet átírtam pass-ra és egyből ment az egész. Nem is hittem volna, hogy nem lesz lassú a kapcsolat és a router se fog pörögni tőle, így pozitívat csalódtam.
Aztért lehetett ennyire kusza megtalálni a megoldást, mert szerintem nem jól értettem meg a ZBF alapjait és emiatt fölösleges zóna-párjaim lehetnek, amik csak bezavarnak.
Itt ragadnám meg az alkalmat és fejtágítást szeretnék kérni a ZBF-et illetően és nézzük is a konkrét, használatban lévő routerem konfigját. Jelenleg a routeremben 3 zóna van: VOIP, INSIDE, OUTSIDE. Szerintem beszédes zónák, nem kell túlmagyarázni.
A VOIP az VLAN700 SVI-re van felkonfigurálva a routeren és csak egyetlen port tagja ennek a VLAN-nak, mert csak egy telefon van. Ő egy /30-as címet kapott (192.168.20.0/30).
Az INSIDE zóna már nehezebb, ide a VLAN600 és VLAN500 tartozik. A VLAN600 a vezetékes belső hálózat, ami 192.168.15.0/29-es tartományban csücsül, a VLAN500 pedig a belső vezeték nélküli hálózat, az ő címtartománya a 192.168.10.0/29 lett.
Olvastam olyanról, hogy ahol lehet, kerülni kell a SELF zóna használatát, mert igencsak meg tudja nehezíteni az ember életét. Lehet, hogy pont te írtad itt valahol.
Amilyen szabályokat én zónákat csináltam, azok a következők:INSIDE-to-OUTSIDE
Egyértelmű, a wifis és belső vezetékes gépek érjék el az internetet
itt ezeket használom a class-mapomban:
match protocol pop3s
match protocol dns
match protocol icmp
match protocol ntp
match protocol tcp
match protocol udpA policy-mapban őket inspektálom, a class class-defaultot droppolom. Szóval elvileg ha bentről szinte bármit csinálok, akkor arra mindig érkezik vissza válasz, ezzel elvileg nem kell foglalkoznom.
INSIDE-to-VOIP
Egyértelmű, a VOIP telefonomnak van webes felülete, azt szeretném elérni néha, ha konfigurálni kell. Itt én most azt látom, hogy van egy ACL-em, ami engedélyezi a belső gépek számára a VOIP telefon IP címét és TCP 80-as port elérését (permit tcp 192.168.10.0 0.0.0.31 host 192.168.20.2 eq www), de nem inspektál a policy-mapom, hanem passol. Na most ahogy gondolkodom közben, ez jó nagy hülyeség: ha inspect lenne, akkor automatikusan beengedné a router a telefontól érkező HTML tartalmat. Olyan eset önmagától, hogy a telefon 80-as porton egyszer csak forgalmat kezdeményezzen a belső hálózat bármely gépére, olyan soha nem lesz, így ez az INSIDE-to-VOIP és VOIP-to-INSIDE policy-map, ami passol, az szerintem felesleges, és inkább INSIDE-to-VOIP inspect kellene helyette.
Ezek voltak az egyértelmű dolgok, most jön a neheze.
VOIP-to-OUTSIDE
Itt ezeket inspektálom:
match protocol ntp
match protocol dns
match protocol tcp
match protocol udp
(SIP-et ha ideveszem, akkor katasztrófa történik, nem működik)A telefon ugye 5060 forrás- és 5060 cél UDP porton kommunikál kettő szolgáltatóval. Ha inspektálom ezt ACL alapján, akkor elvileg a szolgáltatótól visszaérkező választ a router beengedi. Na de amikor engem megpróbálnak elérni telefonon, akkor a szolgáltató kezdeményez 5060-as porton (vagy STUN 3478-es UDP porton), hogy egyeztessen a telóval és elkezdjen kicsörgetni, emiatt szükség van OUTSIDE-to-VOIP zónára is (jól látom, ugye?). A telefon és a teljes belső hálózat NAT-olva van, tehát ELVILEG a SELF zóna eddig nem jön szóba, mert a router amikor NAT-ol, szépen NAT táblában feljegyzi, milyen forrás socketet milyen cél socketre fordított, ennek alapján dönti el, hogy mely zónákat érinti a forgalom, így elgondolásom szerint nincs szükség OUTSIDE-to-SELF és SELF-to-VOIP zónára. A telefon NTP-n keresztül szereti lekérdezni az időt, ez szintén benne van az inspectben, tehát elvileg az időt is leszinkronizálja magának. Kérdés, hogy az OUTSIDE-to-VOIP az ispect legyen, vagy pass és akkor kell visszafelé is pass? Ha inspect, akkor egy esetleges hívásnál mennyire szopatja a routert a sok dynamikus visszaengedés (egy pár másodperces hívás is több száz vagy már 1000 fölötti darabszámú UDP oda-vissza csomag)?
OUTSIDE-to-SELF
Vannak olyan forgalmak, ami egy az egyben csak a routernek szól és nem mögöttes eszköznek, ilyen forgalom: az SSH, router órájának szinkonizációja, DDNS, uplink DHCP egyeztetés, DNS lekérdezés (konfigurációban meglévő domain-név feloldása). Ha jól látom, akkor ezeket a self zóna nélkül nem tudnám implementálni. Ezeket hiába inspektálom, mert azt hiszem, hogy azt nem is lehet és marad a drop és pass, pass esetén akkor nyilván kell a fordítottja is, azaz SELF-to-OUTSIDE irány is. Ha csinálok SELF-ot-OUTSIDE-ot is, akkor a router kezdi minden forgalomról azt hinni, hogy az a SELF zónából származik (NAT-olás miatt a publikus IP lesz minden internet felé szánt forgalom forrás IP-je, de akkor hülyeség, amit erről korábban fenti írtam?) és elkezdi nem kiengedni a dolgokat. Ez szépen látszik ebben az irányban a class class-default drop logjában (NTP-t biztosan eldobta kifelére menet, SIP-et is, mint a huzat).
És akkor a fentiek tudatában szeretne az ember VPN-t konfigurálni: kérdés, hogy mely zónákat érinti ez? OUTSIDE-to-VOIP egyből, hiszen publikus forrás- és cél IP-jű a csomag, amit a router kap, majd miután kihámozza az ESP részt, akkor egyből megy is a VOIP zónába (tehát a router megvárja, míg kiderül, hogy csak neki szól vagy továbbítani kell valahova és annak megfelelően érinti a zónákat)? Vagy OUTSIDE-to-SELF, mert a router publikus IP-je a csomag célja és egyelőre ennyi látszik, míg a titkosítás nincs decryptálva, majd onnan SELF-to-VOIP és visszafelé VOIP-to-SELF és SELF-to-OUTSIDE vagy egyből VOIP-to-OUTSIDE?
Melyik irány és miért az?
Ja igen, a cél itt az, hogy egy másik telephelyen lévő Cisco router mögüli RFC1918-es IP-jű gép böngészőjébe beírva a 192.168.20.2-t, megjelenjen a VOIP telefon webes felülete.
Nah, túl hosszú lett, remélem, hogy valaki azért elolvassa és tésztavizet önt a poharamba -
zsolti.22
senior tag
Na sorban akkor reagálok:
Nos, ha TCP 80-on szeretnéd elérni a 192.168.20.2-t 192.168.50.2-ről akkor félig-meddig jó, nem tom' nem-e redirect-el HTTPS-re. Plusz ez csak az egyik oldal, így VPN-t troubleshootolni meglehetősen nehéz.
Nincs HTTPS redirect.
De pl. ehhez nem látok policy-map-et:
zone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
service-policy type inspect VOIP_TO_OUTSIDE << ilyen policy-map-et nem látokVan a routerben, csak lemaradt
A jövőbeni bővíthetőségre való tekintettel én nem használnék "class-map type inspect match-all"-t hanem match-any-t, hogy utánna hozzáadni egyszerűbb legyen.
Igen, jogos, bele is buktam
Viszont mivel ACL-re matcheltetek vele és ez az egy ACL is bőven elég, mert csak azt az egyet kell szerkesztenem, ha valamire szükségem van, így végülis ez is megteszi egyelőre. De igen, a match-any sokkal rugalmasabb...Ezek itt lent önmagukban még jók lennének, de vissza nem engedi a forgalmat a ZBF, nem elég a pass mert UDP és "titkos" az IPSec
Bezony, igaz, szerintem emiatt sem működött. Este majd újra megpróbálom, ahogy írtam korábban.
Drop log van a végén - szóval nézz logot, hogy mit dob ha dob egyáltalán (állíts buffert rendesen) de szerintem kéne egy SELF_TO_OUTSIDE amiben engeded az IPSec UDP-t, ESP-t visszafelé.
Igen, az volt a log célja, hogy lássam, mi dob és mit, az alapján alakítottam át úgy a konfigot, hogy a tunnel már kiépül, de itt az lesz a hiba, ahogy írtad is fent, hogy nincs SELF-TO-OUTSIDE zóna-párom.
Aztán ha minden kötél szakad akkor az IOS Order-of-operation miatt én feltennék egy ACL-t az OUTSIDE interface-re amiben a forgalmadat (TCP 80 src 192.168.50.2 dst 192.168.20.2) direktben engedném hogy lássam hogy a VPN vagy a ZBF a hiba.
Teljesen kizárnám a VPN hibáját a fentiek miatt, ez ZBF misconfig error lesz.
Kösz a gyors analizálást!
-
zsolti.22
senior tag
Látszik
Úgy ollóztam ki a konfigom részleteit, van olyan policy-mapom, amit hiányolsz, csak az lemaradt.
Jaja, az ikev2 az egyirányú, a javasolt megoldásod megmagyarázza, hogy miért nem encryptál a routerem csomagokat... Na majd holnap megint megpróbálom!nincs https redirect amúgy
-
zsolti.22
senior tag
Próbálkozok VPN-nel ZBF-es routeren, viszont a távoli gép nem hozza be a webes felületet, amit be kellene.
Valami biztos lemaradt...A 3 tunnel kiépül, ahogy kell, de itt abba is marad az öröm. Külön VPN zónát nem csináltam, szerintem nincs rá szükség (vagy de?).
Ami fontos infó lehet, hogy amelyik router mögötti cuccot el kellene érni, az csak decryptálja a csomagokat, encryptálni már nem encryptál semmit, tehát visszafelé már nem küld adatokat....Ez a releváns konfig:
class-map type inspect match-all OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
match access-group name OUTSIDE_TO_VOIP_EXCLUSIONS_ACLclass-map type inspect match-all OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
match access-group name OUTSIDE_TO_SELF_EXCLUSIONS_ACLpolicy-map type inspect OUTSIDE_TO_VOIP_EXCLUSIONS
class type inspect OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
pass log
class class-default
drop logpolicy-map type inspect OUTSIDE_TO_SELF
class type inspect OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
pass
class class-default
drop logzone security OUTSIDE
zone security VOIPzone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
service-policy type inspect VOIP_TO_OUTSIDEzone-pair security OUTSIDE-to-VOIP source OUTSIDE destination VOIP
service-policy type inspect OUTSIDE_TO_VOIP_EXCLUSIONSzone-pair security OUTSIDE-to-SELF source OUTSIDE destination self
service-policy type inspect OUTSIDE_TO_SELFcrypto isakmp policy 1
encr aes 256
authentication pre-share
group 5
lifetime 1800
crypto isakmp key cisco# address X.X.X.X
!
!
crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac
!
crypto map CM 1 ipsec-isakmp
set peer X.X.X.X
set transform-set ESP-AES256-SHA1
set pfs group5
match address VPN_TRAFFIC
!
interface FastEthernet0
description VOIP
switchport access vlan 700
no ip address
spanning-tree portfast
!
interface FastEthernet4
description INTERNET
zone-member security OUTSIDE
ip address dhcp
ip nat outside
crypto map CM
!
interface Vlan700
ip address 192.168.20.1 255.255.255.252
ip nat inside
ip virtual-reassembly in
zone-member security VOIP
no autostate
!
ip nat inside source list NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp
!
ip access-list extended OUTSIDE_TO_SELF_EXCLUSIONS_ACL
permit udp host X.X.X.X eq isakmp host Y.Y.Y.Y eq isakmp
permit udp host X.X.X.X host Y.Y.Y.Y eq non500-isakmp
permit esp any any
!
ip access-list extended OUTSIDE_TO_VOIP_EXCLUSIONS_ACL
permit tcp host 192.168.50.2 host 192.168.20.2 eq www
!
ip access-list extended VPN_TRAFFIC
permit tcp host 192.168.20.2 host 192.168.50.2ip access-list extended NAT
deny tcp host 192.168.20.2 host 192.168.50.2
permit ip 192.168.20.0 0.0.0.3 any -
zsolti.22
senior tag
válasz
Gesztiboy
#8802
üzenetére
Ezt a bénát figyeljétek!
Délután 2 óta
szopokbíbelődök ezzel a TACACS.NET-tel. Eleinte a modern.ie oldalról szedtem le előre telepített XP-t, hogy majd VBOX-ra telepítve a TACACS.NET-et működni fog az egész. Ezt lepróbáltam GNS3 1.3.4-gyel, meg a 0.8.7-tel, de nem lett jó. Mindig annyi látszott csak a wsharkban, hogy a router küldi a csomagot, amire a vbox, vagyis a tacacs szerver azonnal egy tcp rst-t küld. Ugyanez volt akkor is, ha nem is futott a szolgáltatás. Tűzfalat kilőttem, pingek mentek, minden ment, csak a tacacs nem.
(Annyit még megfigyeltem, hogy ha gui-ból akartam indítani a szolgáltatást, akkor nem indult el, ha parancssorból, akkor meg igen WTF)Hmm, gondoltam hátha az előre telepített XP volt a baj, így telepítettem én magamnak egy XP-t. Akárhogy próbáltam, nem ment azzal sem.
Legutolsóként azt próbáltam, hogy a saját laptopomra telepítettem a TACACS.NET-et és onnan MS loopback interfészt használva biztos jó lesz majd. Ezt már nagyon régen csináltam, ezért youtube-on keresgéltem és megtaláltam Keith ezen videóját, ahol pont ezeket állítja be. Eleinte GNS3 1.3.4.-ben próbáltam (mer' az a legújabb), de már ott elbukott a mutatvány, hogy a Cloudhoz nem tudtam sehogyan sem hozzákapcsolódni. Utána indítottam a GNS3 0.8.7-et. Ott egyből kiírta, amikor a Cloudot akartam konfigolni, hogy admin módban tessékleszszíves próbálni. Elindítottam úgy. Engedte a konfigolást és azt is, hogy hozzákössek egy virtuális switchet, arra meg a routert. MS loopbacket bekonfiguráltam, routert szintén, ping nem megy...Ok, szoftveres tűzfal icmp engedélyezése után ment. Próbáltam azután, nem lett jó megint. Go back to tűzfal, TCP 49 engedélyezése megtörtént. Megint nem csinált semmit az istenverte. Akkor pattant be az ötlet, hogy 5 hálókártya van a laptop szerint, nem biztos, hogy a default 127.0.0.1 szerver ip beállítás jó neki. Beállítottam azt is neki. Authentications.xml-nél alapból ki van kommentelve a default login, kivettem, próbáltam rámenteni, azt írja a notepad++, hogy "A mentés sikertelen, másik folyamat használja", vagy valami ilyesmi. Megnézem, milyen folyamat használja...tacplus.exe, kilőttem. Menteni akarok megint, ugyanaz a hibaüzenet... hmm, csak nem admin mód kell ennek is? DE! Rámentettem. GNS3 0.8.7. indít, cloud bekonfigol, tacacs konfig belőve, mehet a teszt: nem sikerült. Net stop tacacs.net, net start tacacs.net, újratesztel, működik.........
Amúgy megnéztem most a GNS3 1.3.4-gyel is, ha admin módban indítottam el, akkor a cloudhoz engedte hozzákötni a virtuális switchet. Utána admin mód nélkül is engedte, azelőtt meg nem
Kérem vissza a sz@ros 5$-om!!!
-
-
-
#8771
zsolti.22
senior tag
Cyber_Bird
#8770
zsolti.22
senior tag
válasz
Cyber_Bird
#8770
üzenetére
Mit csinált, mit csinált?
-
zsolti.22
senior tag
Nagyon úgy néz ki ez a Prime a leírásod alapján, hogy beígértek valamit a nagyközönségnek X időre, aztán közben kezdett fogyni az idő, majd jött a határidő, bár nem voltak teljesen kész vele, de már majdnem elkezdték és kiadták a fél/negyed-kész progit, amit nem is teszteltek le...
Majd ezt is felokosítják, mint az ISE 1.2 (vagy 2.1 vagy hány-pont-hány?); valami rémlik, hogy nem tudta kezelni az alap csomag a TACACS+, csak ha megvetted a legdrágább csomagot, vagy ilyesmi...
-
zsolti.22
senior tag
@FecoGee:
Nem működik mégsem a DDNS beállításom a routeren és a googli kidobta a te blogodat is a megoldás vadászása közben:
eztLent debug kimenetet is beillesztettél, ám a DATA START és DATA END között a nohost nem éppen azt jelenti, hogy működik a DDNS frissítés. Nekem ugyanez a hibám. Good <ip>-nek kellene ott lennie, ahol a nohost szerepel. Más fórumokról azt kukáztam ki, hogy a nohost azt jelenti, hogy hostname missing or misconfigured.
De vajon hol hiányzik vagy van elírva?
Van tipped, vagy akárkinek, akinek működő DDNS konfigja van az ipdns.hu-nál Ciscora? -
zsolti.22
senior tag
válasz
Gesztiboy
#8718
üzenetére
Azt tudom; a könyvből való a hasonló, nem igaz?
Valamiért vonzott az azonos sec-level, most már legalább ezt is tudom, hogy melyik paranccsal lehet engedni a forgalmat ilyen esetben@Hedgehunter: nem adtam ki, leírtam minden parancsot a hsz-emben, ami az alap konfigon felül volt és releváns volt a "hibával" kapcsolatban.
-
#8717
zsolti.22
senior tag
Hedgehanter
#8693
zsolti.22
senior tag
válasz
Hedgehanter
#8693
üzenetére
Tudod milyen parancs kellett?
Ez: same-security-traffic permit inter-interface
Aztán utána már lehet ACL-el szabályozgatni...Szóval most már megy a ping oda-vissza minden egyéb nélkül.
-
zsolti.22
senior tag
válasz
FecoGee
#8696
üzenetére
A VTP-s videóhoz ezen észrevételeim vannak:
- én úgy tudom, hogy nem minden switch defaultból szerver, van, amelyik transparent, ez platform és IOS függő (2960G-nél transparent pont, asszem)
- biztos, hogy csak a tesztlab miatt, de Shr volt a spanning-tree type-od, tehát half-duplex volt a kapcsolat a switcheid között
- a vtp ver 3-at addig nem lehet kiadni, amíg nincs definiálva egy domain-ed; ez nálad nem bukott ki, mert adott volt a domain név, de fontos megemlíteni
- a no vtp per-interface parancs nem VTPv3 spec, a 3750 tudja V1-el is, szóval platform és IOS függő
(most teszteltem gyorsan)Köszi a videót egyébként
-
#8694
zsolti.22
senior tag
Hedgehanter
#8693
zsolti.22
senior tag
válasz
Hedgehanter
#8693
üzenetére
Áh, tényleg, any any-t...hirtelen beütött, hogy az ASA nem fordított maszkot használ. Na majd délután szórakozok vele kicsit jobban...
@Quby: ha így ki lesz csak homályosítva a CCP felülete és kérdezik, hogy ezt meg azt hol találod benne, akkor nem lesz gond
-
#8690
zsolti.22
senior tag
Hedgehanter
#8666
zsolti.22
senior tag
válasz
Hedgehanter
#8666
üzenetére
ÁÁÁ, tudod mit csesztem el? Hát ezt:
The ASA uses standard masks in ACL entries.
-
-
zsolti.22
senior tag
Az új topológiát még nem próbáltam, majd kipróbálom. Annyi csak, hogy megnyitom az első topit, amit sose mentek el, vagy felülírom az előző untitledet, vagy cancel, oszt' kész, törlöm és új ASA-t húzok be és ennyi?
Mivel te nem az 1.3.3-at használod, így nem neked szól, hanem mindenki másnak: az 1.3.3-ban olyan is van, hogyha túl gyorsan húzol be két routert (nálam 3725), akkor elcrashel a GNS3
Lehetne nyilván venni ASA-t is, de ez a szimuláció még mindig olcsóbb meg én szeretek egérrel kábelezni, és ezzel elfogadom, hogy úgy sz.r, ahogy van
Amúgy mostanában nem haladtam az anyaggal, lefoglalt az otthoni Cisco router ZBF konfigja, ami már prímán működik, szóval azt a részt nem nagyon kell majd gyakorolni Egyelőre még mindig csak a könyv elején járok, túl izgi téma nincs, a CCP volt az utolsó fejezet, de azt is csak kipróbáltam és meggyőződtem, hogy pont arra nem jó, amire van
ASDM-nél még nem járok, meg úgy általában az ASA-knál, még csak általános security. Majd meglátjuk, mi lesz, nincs kitűzött cél, hogy meddigre legyen meg a vizsga...így viszont marhára nem is hajtom magam
Tudom, hogy nem verseny, de ebben is megelőzöl. 
-
zsolti.22
senior tag
Egy kis EEM: kész a wifi ki-bekapcsolgatóm:
event manager applet WIFI_OFF
event timer cron cron-entry "30 0 * * *"
action 1.0 cli command "enable"
action 2.0 cli command "conf t"
action 3.0 cli command "int dot110"
action 4.0 cli command "shut"
action 5.0 syslog priority informational msg "Wifi kikapcsolva"
event manager applet WIFI_ON
event timer cron cron-entry "0 5 * * *"
action 1.0 cli command "enable"
action 2.0 cli command "conf t"
action 3.0 cli command "int dot110"
action 4.0 cli command "no shut"
action 5.0 syslog priority informational msg "Wifi bekapcsolva"Nagyon tetszik ez az EEM, elég sok mindenre képes
Hasznos lehet akkor, ha az ISP-m 46.251-es tartományból oszt címet, mert azzal valamiért egyelőre a telefon nem akar felregisztrálni, csak ha a 79.121-ből kapok címet. Erre pont tökéletes az EEM, hogy automatikusan client-id-t állítson és lesegesse a kapott címet, így a telefon mindig működni fog. -
#8659
zsolti.22
senior tag
Hedgehanter
#8649
zsolti.22
senior tag
válasz
Hedgehanter
#8649
üzenetére
Kezdek mérgesedni:
interface GigabitEthernet0
nameif egyik
security-level 0
ip address 10.0.0.1 255.255.255.252
!
interface GigabitEthernet1
nameif masik
security-level 0
ip address 10.1.0.1 255.255.255.252
!
access-list egyik extended permit ip any any
access-list masik extended permit ip any any
!
access-group egyik in interface egyik
access-group masik in interface masik
!
class-map CM
match default-inspection-traffic
!
!
policy-map PM
class CM
inspect icmp
!
service-policy PM global
!
ciscoasa(config)# sh int ip br
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 10.0.0.1 YES CONFIG up up
GigabitEthernet1 10.1.0.1 YES CONFIG up up
GigabitEthernet2 unassigned YES unset administratively down up
GigabitEthernet3 unassigned YES unset administratively down up
!
R1#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.0.0.2 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet1/0 unassigned YES unset administratively down down
!
R1#p 10.1.0.2Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.0.2, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
!
R2(config)#do sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 10.1.0.2 YES manual up up
FastEthernet0/1 unassigned YES unset administratively down down
FastEthernet1/0 unassigned YES unset administratively down down
R2(config)#do p 10.0.0.1Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R2# -
zsolti.22
senior tag
válasz
kmisi99
#8650
üzenetére
A GNS3-mal olyan routert tudsz emulálni, amilyent akarsz, csak szerezd meg az image-t. Ha visszakeresel a 3725-ös szóra, akkor meg fogod találni azt az IOS-t, amivel stabilan működik az emuláció. Én switchet annak idején IOU image-dzsel próbáltam, de az egy big shit, aztán inkább igazi switchekkel csináltam; persze azóta ez lehet, hogy változott, azt nem tudom.
A lényeg az, hogy a GNS3-ban be kell tallóznod az IOS-t, aztán utána már húzkodhatod a routereket a felületre. Ha ez megvan, akkor Idle-PC-t is állítsál, különben 100%-on fog pörögni a CPU (routert elindítod, jobb katt, IDLE-PC).A többi szerintem megy magától.
-
#8647
zsolti.22
senior tag
Hedgehanter
#8645
zsolti.22
senior tag
válasz
Hedgehanter
#8645
üzenetére
Na, de egy permit ip any any-vel mennie kellene akkor, ugye?
-
#8644
zsolti.22
senior tag
Hedgehanter
#8642
zsolti.22
senior tag
válasz
Hedgehanter
#8642
üzenetére
Service-policyban már engedélyeztem egy deny ip any any-t, de annak ellenére....
Szerk: Jóóó....egy permit ip any any-t.
-
zsolti.22
senior tag
Aztat mondja a Keith, hogy ha ACL-elekkel telerakom az ASA-t, akkor onnantól kezdve már mindegy, hogy melyik if milyen sec-level-ű, mert az ACL alapján fogja engedni a csomagokat. Na most hiába rakom be az access-group #NÉV# in int nameif-et, letojja. Ez bug, vagy benézek valamit?
Annyit tudni kell, hogy egy-egy routerem van az ASA egy-egy interfészén és mindkettő if 100-as sec-levelű (direkt). Defaultban ugye nincs kommunikáció azonos sec-level között, nade ACL-el se nem? -
zsolti.22
senior tag
Bugos, mint a sz.r.
Első indítás:
0: Ext: GigabitEthernet0 : address is 0000.ab0e.3400, irq 0
1: Ext: GigabitEthernet1 : address is 0000.ab0e.3401, irq 0
2: Ext: GigabitEthernet2 : address is 0000.ab0e.3402, irq 0Ugyanaz az eszköz, csak reboot után:
0: Ext: GigabitEthernet0 : address is 0000.ab0e.3400, irq 0
1: Ext: GigabitEthernet1 : address is 0000.ab0e.3401, irq 0
2: Ext: GigabitEthernet2 : address is 0000.ab0e.3402, irq 0
3: Ext: GigabitEthernet3 : address is 0000.ab0e.3403, irq 0Elfelejtette, hogy eggyel több interfésze van
-
-
-
zsolti.22
senior tag
Az, hogy megy, az túlzás, lelkes amatőr vagyok max.
Na most megváltoztattam a konfigot, most szépen megy minden.
Kettő dologra lettem figyelmes:
- hiába rotaryztam az ssh portot 22-esen kívül másra, mégis válaszol a nyomorult a 22-es porton is (pedig szerintem nem kéne; nem több SSH portot akarok, hanem egyet, de nem 22-esen )
- a line vty ACL előbb kerül vizsgálatra, mint a ZBF service-policyVégül ez lett a konfigom, hátha valakinek később még jó lesz:
Még valami: hogy tudnám ellenőrizni a show policy-firewall session-ön kívül, hogy valóban működik a tűzfal és dobálja elfelé a bejövő service-policy miatt eldobandó csomagokat (bónuszként konkrétan milyen csomagokat (SRC-DST IP
ORT akár)? -
zsolti.22
senior tag
Pici ISR és switchportok vannak rajta, kivétel a FA4.
Átraktam az SVI-kre és jó már, csak a sip-pel kellene valamit kezdeni. Kifelé tudok hívni, de befelé nem jön hívás, fel se regisztrál a teló és ilyeneket dobál a konzol:*Mar 2 06:57:13.346: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Forbidden header field found) - dropping udp session a.b.c.d:5060 e.f.g.h:5060 on zone-pair OUTSIDE-to-INSIDE class FORGALOM_CM
*Mar 2 06:55:22.345: %AIC-4-SIP_PROTOCOL_VIOLATION: SIP protocol violation (Invalid Dialog) - dropping udp session a.b.c.d:5060 e.f.g.h:5060 on zone-pair OUTSIDE-to-INSIDE class FORGALOM_CM
Erre még az EMD se mond semmit...
-
zsolti.22
senior tag
válasz
zsolti.22
#8585
üzenetére
Azt hiszem, hogy a DDNS részét megoldottam, viszont így korán reggel üres hassal alkottam egy ilyet és nem megy a net
class-map type inspect sip match-any SIP_CM
match request method register
match request method update
match request method invite
match request method bye
match request method ack
match request method cancelclass-map type inspect match-any FORGALOM_CM
match protocol http
match protocol smtp
match protocol https
match protocol pop3
match protocol pop3s
match protocol icmp
match protocol ntp
match protocol ftp
match protocol ssh
match protocol dns
match protocol tcp
match protocol udppolicy-map type inspect sip SIP_PM
class type inspect sip SIP_CM
allowpolicy-map type inspect FORGALOM_PM
class type inspect FORGALOM_CM
inspect
class class-default
dropzone security INSIDE
zone security OUTSIDE
zone-pair security INSIDE-to-OUTSIDE source INSIDE destination OUTSIDE
service-policy type inspect FORGALOM_PM
zone-pair security OUTSIDE-to-INSIDE source OUTSIDE destination INSIDE
service-policy type inspect FORGALOM_PMinterface FastEthernet0
zone-member security INSIDE
interface FastEthernet1
zone-member security INSIDE
interface FastEthernet2
zone-member security INSIDE
interface FastEthernet3
zone-member security INSIDE
interface FastEthernet4
zone-member security OUTSIDEKét kérdés: a SIP így már inspektálódik (nincs sehova se service-policyzve és hibát is ír, ha berakom zóna-pár alá)(?), a másik kérdés, hogy mit hagytam ki, hogy nem tudok netezni ezen konfig mögül?
-
zsolti.22
senior tag
-
#8553
zsolti.22
senior tag
Cyber_Bird
#8552
zsolti.22
senior tag
válasz
Cyber_Bird
#8552
üzenetére
Hmm, menjünk csak privátba...
-
zsolti.22
senior tag
5 nap múlva lesz 2 hónapja, hogy egy hibát leadtam a TAC felé és azóta ugyanúgy nem tudok többet, mint amikor leadtam a hibát, tehát még a hiba okát sem ismerem, pedig több levélváltás volt az ügyben a TAC-kel. Hogy van pofájuk 2-3 hétig válaszra sem méltatni?! Vagy ha tudja valaki magáról, hogy huzamos ideig nincs, akkor nincs helyettese? És ilyen supportért még fizet is az ember?! Szánalom-hegyek!
-
#8522
zsolti.22
senior tag
Cyber_Bird
#8521
zsolti.22
senior tag
válasz
Cyber_Bird
#8521
üzenetére
Haha, jó az ötlet
Osztottam. -
zsolti.22
senior tag
tusi_: megvan a CCIE? Na grat
![;]](//cdn.rios.hu/dl/s/v1.gif)
Mi is elvagyunk egy TAC-essel, de baszki, tetűlassú. Lassan 4 hete nem tudnak keríteni egy ki#@#&@tt 892-est meg egy legalább 100-as internetet, amit nyilván modemről kellene produkálni (mert manapság még így adja a szolgáltató a netet, modemről
), nem pedig úgy, hogy modem helyett PC-t teszünk rá, ami 100 megás, mert nagyon nem mindegy és nem nagyon kapkodnak. Folyton a hülye webexet emlegeti, hogy webexezzünk. Pedig kapott a nyomorult specifikációt is, hogy miket hogyan teszteltünk és mintha valami óvódással beszélne az ember. Ez a webex is nagyon marketing szagú...inkább oldaná meg a problémát... Én hamarabb összeraknám a konfigot, mint félig magyar-német-angolosan elmagyaráznám egy mexikói-angol csókának, hogy mi is a problémó.
-
-
zsolti.22
senior tag
Melyik esetben logol ilyeneket a CBAC?
005987: Apr 24 07:54:56.371 CEST: %FW-3-SMTP_UNSUPPORTED_PARAMETER: Unsupported SMTP parameter (Data Size (> 20000000)) from initiator X.X.X.X:35835)
005988: Apr 24 07:54:56.427 CEST: %FW-4-TCP_OoO_SEG: Dropping TCP Segment: seq:2163823827 1460 bytes is out-of-order; expected seq:2163730899. Reason: TCP reassembly queue overflow - session Y.Y.Y.Y:35835 to Z.Z.Z.Z:25
-
#8462
zsolti.22
senior tag
Cyber_Bird
#8460
zsolti.22
senior tag
válasz
Cyber_Bird
#8460
üzenetére
configure network az nem jó erre a célra? Megszakadás mindenképpen van, de reset után visszaáll a konfig
-
zsolti.22
senior tag
válasz
Gesztiboy
#8459
üzenetére
Hahhaaa, végre működik.
A kettőtök bejegyzését összemostam, abból született meg a működő NAT-os konfig.
Lecseréltem a GNS3-at a 0.8.7-re is, csak mert írtad, hogy neked azzal megy. Ismét nekiálltam egy NAT-os konfignak, de elakadtam, mert nem ment a ping. Beírtam azt, amit te írtál:Miért nem megy a ping? Alaphelyzetben nincs inspect az ICMP csomagokra, ezt külön be kell reszeld.
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy interface insideEzzel így még mindig nem működött. Ekkor néztem meg a running-configot, a class-map inspection_default alatt nem volt semmi, ekkor írtam be egy match ? parancsot, ahol előjött az, amit az előző hsz-ben írtam (meg tusi_ is ezt írta):
default-inspection-traffic Match default inspection traffic:
ctiqbe----tcp--2748 dns-------udp--53
ftp-------tcp--21 gtp-------udp--2123,3386
h323-h225-tcp--1720 h323-ras--udp--1718-1719
http------tcp--80 icmp------icmp
ils-------tcp--389 ip-options-----rsvp
mgcp------udp--2427,2727 netbios---udp--137-138
radius-acct----udp--1646 rpc-------udp--111
rsh-------tcp--514 rtsp------tcp--554
sip-------tcp--5060 sip-------udp--5060
skinny----tcp--2000 smtp------tcp--25
sqlnet----tcp--1521 tftp------udp--69
waas------tcp--1-65535 xdmcp-----udp--177
Befejeztem a match parancsot a default-inspection-traffic szóval és tádámm, egyből ment a NAT-os ping. Ott volt furcsa, hogy a show xlate mutatta a NAT bejegyzést, de a ping nem ment; ekkor kezdtem jobban utána nézni ennek a class-mapos-nak.
És mire megnéztem volna, hogy akkor a DHCP relay miért nem működik megint - mert nem működött -, addigra a konzol már azzal várt, hogy ki van osztva a cím.Akkor most újrakezdem kis idő múlva (és már az új GNS3-ban), hogy lássam folyamatában is a dolgot, mert most a hsz írással félbeszakítottam a megfigyelést
-
zsolti.22
senior tag
Kösz mindkettőtöknek. Ezt az ICMP inspectet már ismertem Keith videójából is, meg korábban is írta tusi_, vissza is néztem a fórumról, mert az volt a leggyorsabb. Ha jól emlékszem, akkor a policy-map utáni class utáni inspect parancsra nekem azt írta, hogy ilyen parancs nincs, hogy inspect.
De ami még fura volt, csak szerintem nem mondtam, hogy R1 tudta pingelni ASA-1-et, csak a túloldali publikus IP-ket nem, pedig semmilyen icmp inspectet nem állítottam. Szerintem defaultban tartalmazza a class-map inspection_default, legalábbis nekem az tűnt fel, mert a korábbi parancsok után egy match parancs utáni kérdőjel listázta, hogy miket inspektál alapból és közte volt az ICMP is.Megyek és megnézem újra az egészet.
Rutinból egyébként úgy akartam újraindítani az ASA-t, hogy wr erase, de már ennél a parancsnál elhasalt
-
zsolti.22
senior tag
Elkéne egy kis segítség.
Alkottam egy ilyen hálót:
Az ASA-1-nek eredetileg az volt a dolga, hogy DHCP-n keresztül osszon IP-t R4-nek, de mivel 20 percig ültem fölötte és azután se tudtam ezt megoldani, így csak a NAT-ot bíztam rá, az viszont nem akaródzik menni.
ASA-1 konfig:
ciscoasa# sh run
: Saved
:
ASA Version 8.4(2)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface GigabitEthernet0
nameif internet
security-level 0
ip address 41.250.3.9 255.255.255.252
!
interface GigabitEthernet1
nameif lan
security-level 100
ip address 192.168.1.2 255.255.255.0
!
interface GigabitEthernet2
nameif lan_2
security-level 100
ip address 192.168.2.1 255.255.255.252
!
object network natolni
subnet 192.168.1.0 255.255.255.0
!
nat (lan,internet) source dynamic natolni interface
route internet 41.250.3.12 255.255.255.252 41.250.3.10 1
:endR1 config:
R1(config)#do sh run | i 0/1|add|route
no ip address
interface FastEthernet0/1
ip address 192.168.1.1 255.255.255.0
no ip address
ip route 0.0.0.0 0.0.0.0 192.168.1.2R2 config:
R2(config)#do sh run | i 0/1|add|route
no ip address
interface FastEthernet0/1
ip address 41.250.3.14 255.255.255.252
no ip address
ip route 41.250.3.8 255.255.255.252 41.250.3.13A ping megy az ASA-1-ből az R2 Fa0/1 interfészére, de R1-ből Az R2 Fa0/1 interfészéig már nem jut el. ICMP-t debugolva az ASA-1 még megkapja a csomagokat és itt beszippantja őket a fekete lyuk.
ciscoasa# ping 41.250.3.14
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 41.250.3.14, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 50/56/70 msR1#ping 41.250.3.14
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 41.250.3.14, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)
R1#Biztos, hogy jó így a natom? Bugzik a GNS3 vagy inkább én csesztem el valamit?
-
#8419
zsolti.22
senior tag
Cyber_Bird
#8418
zsolti.22
senior tag
válasz
Cyber_Bird
#8418
üzenetére
Nekem középsuliban lett olyan tanárom, aki egynegyven magas volt, de olyan szigor volt nála órán, hogy szabályosan féltek a diákok tőle és nő(!) volt. Túlzás nélkül elmondhatom, hogy rajtam kívül senki se tudta, hogy miről beszél, így valamilyen német utasítás után mindenki lesett, hogy mit csinálok és azt csinálták ők is. Volt, hogy valaki egyetlen órán beszerzett nála 3 vagy 5 egyest, pontosan már nem tudom, a lényeg az volt, hogy ragozásnál csak betippelte az ige végét. A tanár visszakérdezett, hogy mi is volt a vége? Srác tippelt, nem jött be. Ment a sok egyes a naplóba... Nem biztos, hogy ez vezet valahova, de órán csönd volt, mindenki tudta, hogy hány kiló
Múltkor egyébként Szentendrére mentemvolna a laktanyába, de nem engedtek be, és a buszon egy 18 körüli lány károgott, hogy matek érettségiből csak a 25 pont legyen meg, hogy ne kelljen szóbeliznie. Én el voltam halva, hogy itt tartunk, hogy a matek érettségi első feléből, ami a lájtos feladatokat tartalmazza, azokból nem lehet összeszedni vagy kínkeservesen a 25 pontot?! Azért egy x-alapú logaritmust illik megoldani, ami igazából hatványozás, azaz szorozni tudás kérdése. És ez az utánam/utánunk jövő generáció...
Azt akarom kihozni belőle, hogy nem mindig a tanár a hülye, azért a diák manapság inkább hibásabb. Mindenhol hülye a tanár, hogy alig van meg a kettes matekból? Ne már. Folyton megy a Facebook, a telefonnyomogatás, fontosabb az a hülye telefon, mint egy emberi kapcsolat...Meg tanárt verünk? Itt tartunk?
Én még anno úgy tanultam, hogy akár igazam van, akár nem, nem dumálok vissza, úgyis max. 4 vagy X évig van hatalma fölöttem és viszlát. Néha egy-egy sallert igazán megérdemelne egynémelyik, hogy tudja, mi is a helyzet. Főleg mostanában.
Emlékszem, hogy második osztályban kaptam egy sallert olyanért, amit csak elkövetni akartam(!), ha meg erről otthon mertem beszélni, akkor bumm, jött a párja. Mégis felnőttemigaz, hogy satnya gnóm lettemOtt lett elrontva a fiatalság, hogy eltörölték a sorkötelezettséget. Aki szerint nem így van, annak a véleménye nem érdekel
Anno nem volt ennyi "korcs", mint most...Németre visszatérve: még anno 9. osztályban eldönthettem, hogy németet vagy angolt akarok-e tanulni. Akkor én angolt ikszeltem be, ám azt mondták, hogy eddig németet tanultál, úgyhogy most se lesz ez másképp. Egyébként nem bántam meg a mai napig sem, hogy nem angolt tanultam, mert néhány hét szótárazás után megértettem, mit olvasok pl. a CCNP ROUTE-ban, na most ugyanez fordított helyzetben biztosan nem menne, tehát végig angolosként CCNP ROUTE-t németül olvasni
Nyilván az életben elő nem fog fordulni ez a kombináció, de két lábon kő' áni'. Ja, fősuli! Sosem jártam fősulira
- még kutyáknak moslékér' se, így arról nem tudok nyilatkozni, de hallottam egyet s mást, hogy egyeseknek isten-komplexusuk van tanárként...evvan. Nem kell fősulira járniBocsi, ez így kikívánkozott.
-
#8416
zsolti.22
senior tag
Cyber_Bird
#8413
zsolti.22
senior tag
válasz
Cyber_Bird
#8413
üzenetére
Kruzifix donnerwetter Katzeschwein.
Bántja a kis angolos szemeteket, hogy az angolon kívül más nyelv is létezik? -
#8409
zsolti.22
senior tag
Cyber_Bird
#8408
zsolti.22
senior tag
válasz
Cyber_Bird
#8408
üzenetére
Hibajegy áthelyezése gomb...
ORT akár)?
Osztottam.![;]](http://cdn.rios.hu/dl/s/v1.gif)
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Motoros topic
- Lakáshitel, lakásvásárlás
- Okosóra és okoskiegészítő topik
- Kínai és egyéb olcsó órák topikja
- Robot fűnyírók
- sziku69: Fűzzük össze a szavakat :)
- D1Rect: Nagy "hülyétkapokazapróktól" topik
- BestBuy topik
- Hitelkártyák használata, hitelkártya visszatérítés
- Projektor topic
- További aktív témák...
- MSI Sword 15 A12VF 15.6" FHD IPS i7-12650H RTX 4060 16GB 512GB NVMe gar
- GAMER PC : RYZEN 7 7800X3D /// 32 GB DDR5/// RX 9070 XT 16GB /// 1TB NVME
- Eladó garanciális Hohem iSteady V2S gimbal
- Creative 3D Blaster 3Dfx Voodoo Banshee PCI (CT6760)
- Samsung Galaxy S22 Ultra 12/256GB Megkímélt,Kétkártyás,Tartozékaival. 1 év Garanciával!
- AKCIÓ! MSI B450M R5 5600X 32GB DDR4 512GB SSD RTX 3060 12GB Rampage SHIVA Zalman 600W
- Fotó állvány eladó
- Dell és HP szerver HDD caddy keretek, adapterek. Több száz darab készleten, szállítás akár másnapra
- BESZÁMÍTÁS! ASUS Z390 i5 9500 16GB DDR4 512GB SSD RTX 2060 Super 8GB Rampage SHIVA Thermaltake 500W
- Bomba Ár! Dell Latitude 3190 - Intel N4120 I 4GB I 64GB SSD I 11,6" HD I Cam I W11 I Garancia!
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Liszt Ferenc Zeneművészeti Egyetem
Város: Budapest