- One mobilszolgáltatások
- iPhone topik
- Olcsó Galaxyk telepíthetik a One UI 7-et
- Milyen GPS-t vegyek?
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Samsung Galaxy A56 - megbízható középszerűség
- Samsung Galaxy S22 Ultra - na, kinél van toll?
- Google Pixel topik
- Amazfit Balance - ár-érték egyensúly
- Ford SYNC 3 infotainment rendszer teszt
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
freaghill
őstag
Ti mit ajanlanatok? Most ket eves okj-s kepzesre jarok es itt a ciscos anyagot adjak le. Szeptemberben kezdodik a masodik es egyben utolso evem is. Utana le szeretnem tenni a CCNA-t. Most nyaron erre a szamalk altal kinalt tanfolyamra keresem meg a penzt. Neztem, hogy ez a tanfolyam csak 10 napos. Igaz, napi 8 ora. De tenyleg meg tudjak tanitani 10 nap alatt annyira, hogy utana sikeres vizsgat tegyek?
Valaszaitokat elore is koszonom.
Ja meg annyit kerdeznek meg, hogy akkor ti a helyemben egy sima erettsegivel, okj-s rendszergazdas papirral es CCNA tanusitvannyal Magyarorszagon vallalnatok munkat vagy Nemetorszagban? Nyelv az adott. Illetve kezdokent mennyit lehetne keresni otthon, illetve kinn? -
#8899
Cyber_Bird
senior tag
_NCT
#8898
Cyber_Bird
senior tag
Szerintem ami nem vilagos, azt erdemes atolvasni a foundation learning guide-bol, vagy masik nem ciscopress kiadvanybol is. Nekem ez a megoldas valt be mikor ccnp-re keszultem. Ha valami nem volt vilagos laborozas utan sem, akkor utanaolvastam masik konyvben, vagy a googleben rakerestem, preferalva a cisco.com-os linkeket.
Illetve itt a forumban is kereshetsz/ kerdezhetsz, szerintem valaszolunk szivesen ra. -
-
zsolti.22
senior tag
ASÁ-ban hogyan kellene authorize-ot csinálnom, hogy ne zárjam ki magam? Eddig mindig sikerült.
Ezzel próbálkoztam:
aaa-server TACACS (inside) host 172.16.0.2
key jelszo
aaa authentication telnet console TACACS
aaa accounting command privilege 15 TACACS
aaa accounting telnet console TACACS
aaa authorization exec authentication-serverAz utolsó sor után megszűnik a barátság köztem és a router között, pedig elvileg csak telnetre vonatkozik, nem? Mégis konzolról is kiutál.
IOS-en viszont szépen hitelesíti a parancsaimat a router, már csak valahogy az ASA-t kellene rábírni, hasonlóképp ehhez:
aaa new-model
aaa authentication login default group tacacs+ enable
aaa authorization console
aaa authorization config-commands
aaa authorization commands 0 default group tacacs+ if-authenticated
aaa authorization commands 1 default group tacacs+ if-authenticated
aaa authorization commands 15 default group tacacs+ if-authenticated
aaa accounting exec default start-stop group tacacs+
aaa accounting commands 0 default start-stop group tacacs+
aaa accounting commands 1 default start-stop group tacacs+
aaa accounting commands 15 default start-stop group tacacs+
tacacs-server host 172.16.0.2 key jelszoItt még oké, mert az if-authenticated miatt hiába adom ki az aaa authorization console parancsot, nem zárom ki magam a következő logon-ig, bár erősen gondolkodik a router, mit tegyen
-
zsolti.22
senior tag
Ez nem vers, hogy szó szerint kelljen tudni...a lényeget értsd és a saját szavaiddal tudd elmondani, hogy adott protokoll hogyan és miért úgy működik, ahogy; mire való, mik az előnyei/hátrányai, hogyan konfigurálod.
A parancsokat nem kell bemagolni, magadtól megjegyzed őket, ha elég sokat laborozol. Ha meg nem jut eszedbe, akkor meg ott a kveszcsön mark és kikérdőjelezed
-
#8894
_NCT
addikt
Cyber_Bird
#8893
_NCT
addikt
válasz
Cyber_Bird
#8893
üzenetére
Jó, csak mennyire kell szó szerint mindent érteni, tudni....? Vagy elég ha a számolások, konfigok mennek és van egy rálátásom nagyjából a dolgokra...
Pl parancsokat bemagolni van-e értelme....Ilyenekre gondolok.
-
#8893
Cyber_Bird
senior tag
_NCT
#8892
Cyber_Bird
senior tag
Ha elsore is megerted, es megjegyzed, akkor egyszer
Alapvetoen nincs szerintem ilyen, hogy elolvasod ketszer, es akkor atmesz.
Gyakorolni kell, es megnezni, hogy erted-e miert ugy mukodik a protokoll, ahogy. Ha igen, akkor nem kell tobbszor nekifutni. Illetve nem kell feltetlen az ocg-t olvasni, hanem lehet mast is mellette. -
zsolti.22
senior tag
Pedig így sokszor átnézve a videót, meg átolvasva már annyira nem száraz. Most néztem az új SISAS, SENSS, SIMOS, SITCS vizsgákat és egyik másik felét az ember már most tudja, szóval kb. a 4 vizsga felét/harmadát kell megtanulni, onnantól kezdve meg is van az egész P security.
-
FecoGee
Topikgazda
Ugy latom nincs eleg vizsgazo, nem koltik a penzt rendesen...
For a limited time, we will waive the current lab retake policy so that all lab candidates will be able to retest for their lab exam with only a 30-day wait period. We're offering this opportunity in response to your feedback about the challenges faced with longer wait times and difficulty getting a lab seat for retesting. We hear you and we understand your concerns, so we would like to take time to look at the data and evaluate our lab retake policy.
-
-
Methionyl
senior tag
sziasztok!
CCNA-ra készülök és úgy döntöttem, hogy külön fogom csinálni ICND1 majd ICND2. Ciscopress oldalrol szerettem volna megrendelni a könyveket(42$) de a szállítás +25$..Tud valaki valahol olcsóbban ahol megéri megvenni? Lehetőleg könyvet választanám, hogy minél kevesebbet terheljem a szemem.
köszönöm szépen
-
zsolti.22
senior tag
Így jár az, aki 22:30-kor érzi úgy, hogy meg kell nézni, hogy hogyan kell tacacs+-ot konfigolni az ASA-ra:
ciscoasa# configure terminal
Command authorization failed
ciscoasa#
Jahogy?!
De ki ez az enable_15 user (accounting logban tűnt fel)<102> 2015-07-01 22:48:53 [172.16.0.1:37530] 07/01/2015 22:48:53 NAS_IP=172.16.0.1 Port=6 rem_addr=0.0.0.0 User=zsolti.22 Flags=Start task_id=36700007 foreign_ip=0.0.0.0 local_ip=0.0.0.0 service=shell
<102> 2015-07-01 22:48:54 [172.16.0.1:56640] 07/01/2015 22:48:54 NAS_IP=172.16.0.1 Port=0 rem_addr=0.0.0.0 User=enable_15 Flags=Start task_id=36700008 foreign_ip=0.0.0.0 local_ip=0.0.0.0 service=shellGyorsan átírtam zsolti.22 usert enable_15 userre és tádámm...beenged conf t-be.
-
FecoGee
Topikgazda
Nexus 5000 uzemeltetok, figyelem, szokomasodperc bug.
If the N5K was stuck in hung state, mgmt0, in band management will not be possible. On console messages such as following will be seen
If switch is hung in this state, the switch will need to be manually power cycled to recover.
-
válasz
suomalainen
#8839
üzenetére
2.5g RAM / Router. A cpu manapság már nem annyira fontos mint pár éve. (egy alap i3 is elég lehet.)
-
crok
Topikgazda
válasz
Rocko007
#8812
üzenetére
Ha jól veszem ki a RapidSSL chained cert - a többi
cert pem is benne van abban amit feltöltesz?−−−−−−BEGIN CERTIFICATE−−−−−−
*Device cert*
−−−−−−END CERTIFICATE−−−−−−
−−−−−−BEGIN CERTIFICATE−−−−−−
*Intermediate CA cert *
−−−−−−END CERTIFICATE−−−−−−−−
−−−−−−BEGIN CERTIFICATE−−−−−−
*Root CA cert *
−−−−−−END CERTIFICATE−−−−−− -
A_ScHuLcZ
addikt
Szerintem pont rossz példányokba futottam bele az első teszteknél, mert az utóbbiak pedig már beregisztrálnak és működnek is. Ugyanazok a típusok és a konfig sem változott.
Elvégre ez a feladat, ki kell szűrni a hibás példányokat, simán előfordulhat, hogy azok rosszak voltak. -
crok
Topikgazda
válasz
A_ScHuLcZ
#8844
üzenetére
Jaja, valami hiányzik: a telefonok nem tudnak dual-line-t ( :
no ephone-dn 5 dual-line
ephone-dn 5
number 1005
name Teszt5
!
no ephone-dn 6 dual-line
ephone-dn 6
number 1006
name Teszt6
!
no ephone-dn 7 dual-line
ephone-dn 7
number 1007
name Teszt7
!
no ephone-dn 8 dual-line
ephone-dn 8
number 1008
name Teszt8 -
A_ScHuLcZ
addikt
Végül még péntek délután reseteltem az egészet és kezdtem elölről, de ezúttal már SCCP-vel. Így a telefonok simán beregisztráltak és letöltötték a megfelelő fw-t. A 7940-ek között szépen megy a hívás, viszont a 7911 és 7906-on nem működnek a funkciógombok, nem tudok hívást indítani, sem elfogadni, sem elutasítani, valamint vonal sincs. De ha hívom az azokhoz rendelt melléket, akkor megjelenik a bejövő hívás a kijelzőjükön. Valami hiányozhat?
A konfig érdemleges részei:
ip dhcp pool voice
network 172.22.100.0 255.255.255.0
option 150 ip 172.22.100.1
default-router 172.22.100.1tftp-server flash
00307010200.bin
tftp-server flash00307010200.loads
tftp-server flash00307010200.sb2
tftp-server flash00307010200.sbn
tftp-server flash:apps11.9-2-1TH1-13.sbn
tftp-server flash:cnu11.9-2-1TH1-13.sbn
tftp-server flash:cvm11sccp.9-2-1TH1-13.sbn
tftp-server flash:dsp11.9-2-1TH1-13.sbn
tftp-server flash:jar11sccp.9-2-1TH1-13.sbn
tftp-server flash:SCCP11.9-2-1S.loads
tftp-server flash:term06.default.loads
tftp-server flash:term11.default.loadstelephony-service
no auto-reg-ephone
max-ephones 144
max-dn 500
ip source-address 172.22.100.1 port 2000
load 7911 term11.default
load 7960-7940 P00307010200
dialplan-pattern 1 5123781291 extension-length 4
max-conferences 12 gain -6
transfer-system full-consult
secondary-dialtone 9
create cnf-files version-stamp Jan 01 2002 00:00:00ephone-dn 1 dual-line
number 1001
name Teszt1
!
ephone-dn 2 dual-line
number 1002
name Teszt2
!
ephone-dn 3 dual-line
number 1003
name Teszt3
!
ephone-dn 4 dual-line
number 1004
name Teszt4
!
ephone-dn 5 dual-line
number 1005
name Teszt5
!
ephone-dn 6 dual-line
number 1006
name Teszt6
!
ephone-dn 7 dual-line
number 1007
name Teszt7
!
ephone-dn 8 dual-line
number 1008
name Teszt8
!
ephone 1
device-security-mode none
mac-address 0022.905A.9BBC
type 7940
button 1:1
!
ephone 2
device-security-mode none
mac-address 0022.905A.9D9C
type 7940
button 1:2
!
ephone 3
device-security-mode none
mac-address 0022.9003.955C
type 7940
button 1:3
!
ephone 4
device-security-mode none
mac-address 0024.C444.6BD1
type 7962
button 1:4
!
ephone 5
device-security-mode none
mac-address 0021.A084.A71B
type 7911
button 1:5
!
ephone 6
device-security-mode none
mac-address 0021.A02E.5BBB
type 7911
button 1:6
!
ephone 7
device-security-mode none
mac-address E804.62EA.6732
type 7911
button 1:7
!
ephone 8
device-security-mode none
mac-address 0023.5EB8.78B8
type 7906
button 1:8 -
suomalainen
tag
válasz
Cyber_Bird
#8838
üzenetére
Laborozni szeretnék elsősorban.
-
#8838
Cyber_Bird
senior tag
suomalainen
#8837
Cyber_Bird
senior tag
válasz
suomalainen
#8837
üzenetére
attol is fugg milyen szolgaltatasokat akarsz rajta hasznalni, es mekkora teljesitmenyt igenybevenni.
-
#8837
suomalainen
tag
suomalainen
tag
Helló
10 CSR futtatáshoz minimum milyen szervert ajánlanátok? Mennyire fontos a CPU vagy a ram fajtája?
-
-
zsolti.22
senior tag
Az OUTSIDE_TO_SELF-es témánál összekevertem az irányokat, természetesen SELF_TO_OUTSIDE akart volna lenni, amikor óraszinkron, ddns, stb-ről írtam
Na, most másfél óra alatt megálmodtam az új szabálylistákat, és ahogy nézegettem, így egyelőre teljesen egyértelmű és agyban lefuttatva pont működik minden, amit szeretnék, aztán majd holnap rárakom a routerre és lehet, hogy lesz pofára esés. Az új szabályoknál sehol sem használok pass-t, csak inspectet, mert lusta vagyok megírni az oda-vissza szabályokat.
Íme (lehet értékelni):
class-map type inspect match-any INSIDE_TO_OUTSIDE_CLASS_INSPECT
//belső hálózat protokolljai
match protocol bootps
match protocol bootpc
match protocol pop3s
match protocol dns
match protocol icmp
match protocol ntp
match protocol tcp
match protocol udpclass-map type inspect match-any INSIDE_TO_VOIP_CLASS_INSPECT
//itt a belső hálóról a telefont csak HTTP-n akarom elérni, máshogy nem
match protocol httpclass-map type inspect match-any VOIP_TO_OUTSIDE_CLASS_INSPECT
//a voipnak ezekre a protokollokra van szüksége
match protocol ntp
match protocol dns
//ebben az ACL-ben a SIP, STUN, RTP dolgok vannak definiálva (jó pár perc wireshark csomag-lesegetés után)
match access-group name VOIP_TO_OUTSIDE_INSPECT_ACL
//ez az utóbbi talán nem is kell, hiszen a fentiekkel kb kimerítettem a lehetőségeket, amikre szükség van
match protocol udpclass-map type inspect match-any SELF_TO_OUTSIDE_CLASS_INSPECT
//a router tudjon IP-t kapni, állogassa az órát, kérdezgessen dns-t
match protocol bootps
match protocol bootpc
match protocol ntp
match protocol dns
//frissítse a DDNS-t az ACL alapján
match access-group name SELF_TO_OUTSIDE_DDNS_ACLclass-map type inspect match-any OUTSIDE_TO_SELF_CLASS_INSPECT
//itt vannak az SSH-hoz, bejövő hívás kezdeményezéséhez és a router pingetéséhez szükséges ACE-k
match access-group name OUTSIDE_TO_SELF_INSPECT_ACLpolicy-map type inspect INSIDE_TO_OUTSIDE
class INSIDE_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect INSIDE_TO_VOIP
class INSIDE_TO_VOIP_CLASS_INSPECT
inspectpolicy-map type inspect VOIP_TO_OUTSIDE
class VOIP_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect SELF_TO_OUTSIDE
class SELF_TO_OUTSIDE_CLASS_INSPECT
inspectpolicy-map type inspect OUTSIDE_TO_SELF
class OUTSIDE_TO_SELF_CLASS_INSPECT
inspectHát röviden ennyi, elvileg minden oké lesz. A zónapárok a policy-mapokból látszanak is.
Na és akkor ha most VPN-t akarnék konfigurálni, akkor a fenti zónák elegek, igaz? És ha igen, akkor az OUTSIDE_TO_SELF_INSPECT_ACL-be kellene a két site pub IP-je UDP 500 forrás-céllal, meg ESP-vel, 'oszt jónapot'? Mert szerintem igen! -
crok
Topikgazda
válasz
zsolti.22
#8828
üzenetére
Na.
A self zone nem rossz, csak jól át kell gondolni mit akarsz elérni a routeren, mihez kell a routernek kapcsolódnia és mi kapcsolódhat hozzá ( : De amúgy ennyi, a self zone a router saját védelmére van kitalálva security szempontból (túlterhelésre ott a CoPP). Meg lehetőleg legyen backdoor-od mielőtt a self-et piszkálod távolról, mondjuk egy input ACL-ben először explicit engedd be magadat SSH-n ( :
INSIDE-to-OUTSIDE: egyértelmű, ahogy írtad.
INSIDE-to-VOIP: Ha nem lesz SIP forgalom az INSIDE és a VOIP közt vagy eleve csak és kizárólag a WWW felületét akarod csak elérni a telefonnak az INSIDE-ból akkor INSIDE-to-VOIP inspect www-re vagy tcp-re - elég, de igazából minden a security policy-den múlik, hogy mennyire akarsz strict lenni és hogy mi a célod: működő de megfelelően strict elérést biztosítani vagy sz#p&tni magad ( :
VOIP-to-OUTSIDE: Látom SIP-et használsz. Az 5060-as port csak a signaling (SIP), ugye nincs benne maga a voice stream (nyugi, nem para a sok packet, CEF-ből letolja a router, egyébként mondjuk G711-el egy hívás másodpercenként default értékekkel 50db 20ms-es voice stream-et generál ( : ). A STUN a NAT-olást magában megoldja, de ha a VOIP-to-OUTSIDE-ba csinálsz egy policy-t UDP inspectre (esetleg szűkítheted a 16384 - 32767 port-range-re) akkor megoldja azt is - de kell az inspect vagy az oda-vissza pass a OUTSIDE-to-VOIP irányban is, mert téged is hívhatnak és te is akarsz hívni. A SIP-nek kellhet a TCP és/vagy UDP 5060 és/vagy az 5061 port (nem tudom mit használsz pontosan.. így ez lehet TCP és/vagy UDP, az 5060 cleartext, az 5061 crypted SIP). Ezt én csak azért tenném be pass-ra (vagy oda-vissza inspect-be) a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba mert tudom, hogy a SIP inspection ritka szarul működik ZBF-ben (klasszikus CBAC inspect-ben is.. ASA-ban is.. PIX-ben is.. FWSM-ben is..). Ha jól működne a SIP inspection akkor csinálhatnál olyat, hogy a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba is felveszed inspect-el a SIP-et és az RTP-t is (UDP 16384 - 32767) - így akár kintről hívnak téged, akár bentről hívsz valakit a ZBF mindig megnézné a session-öket és ha nem lenne baj a csomagokkal akkor menne minden.
OUTSIDE-to-SELF: "Vannak olyan forgalmak, ami egy az egyben csak a routernek szól és nem mögöttes eszköznek, ilyen forgalom: az SSH, router órájának szinkonizációja, DDNS, uplink DHCP egyeztetés, DNS lekérdezés (konfigurációban meglévő domain-név feloldása) - ez mind igaz a self zónára, de nem feltétlen az OUTSIDE-to-SELF irányra. A routerre SSH-ni szeretnél - ez OUTSIDE-to-SELF. Óraszinkron, DDNS, DNS: biztos hogy ez OUTSIDE-to-SELF -el a legegyszerűbb? Mi lenne, ha SELF-to-OUTSIDE-ra csinálnád inspect-el? Akkor nem kell szívni a visszaengedéssel és a session-t még ellenőrzi is a router. Az SSH-t meg a DHCP-t a WAN-on egy in és egy out ACL-el eleve engedném (SSH-t kintről a megbízható source-ból, bentről mindenhova, DHCP az IP szerzés és def.route miatt kell kifelé/befelé). Persze megcsinálhatod úgy is hogy amit tutira engednél azt a SELF-to-OUTSIDE és OUTSIDE-to-SELF irányban is pass-ra teszed. Minden más meg vagy drop, vagy drop log, vagy amit szeretnél, akár oda-vissza inspect-elheted, akkor kifelé/befelé is mehet mindenféle forgalom ( :
"És akkor a fentiek tudatában szeretne az ember VPN-t konfigurálni": igen, így kell, ahogy leírod.. de miért érintené az OUTSIDE-to-VOIP zónát? Hiszen le is írod, hogy OUTSIDE-ból jön a public IP-s IPSec forgalmad és a router terminálja az IPSec-et - tehát OUTSIDE-to-SELF-et érinti valamint a SELF-to-OUTSIDE-ot. Azért mindkettőt, mert az IPSec itt most UDP és ESP, amit nem fog tudni inspect-elni a router, pass kell, oda-vissza. Ez az IPSec műkédésére kell - vagy ugye order-of-operation alapján engedheted ACL-el is az IPSec végponti forgalmat kifele/befele.. Aztán meglesz a NAT ha kell.. Aztán a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP-ban leírsz mindent, ami a telefonok közt meg a SIP szolgáltatóhoz kell, oda/vissza, pass-al vagy inspect-el, ahogy jónak látod.
Ha valami nem tiszta írj, tisztázzuk ( : Csak már én is fáradt vagyok..
Ja igen: IOS függő, de ~15.1 alatt intra-zone interface-ek közti forgalom implicit engedélyezve van (same security level principle..) ám felette explicit módon csinálni kell intra-zone policy-t, ami egyébként ugyan elsőre hülyeség, de ha belegondolsz ez egy plusz védelmi szint is lehet ha kihasználod: mondhatod, hogy INSIDE-to-INSIDE és match+pass mindenre, mint eddig.. de ha mondjuk azt mondod, hogy INSIDE-to-INSIDE match mindenre és inspect.. akkor az azonos zónákban levő interface-ek közti session-öket a router ellenőrzheti is! Vagy csinálhatsz policy-ket, class-okat és ACL-eket, hogy ugyan ZBF szempontból egy zónába eső hálózatok közt is meg tudj valósítani szűrést a routeren keresztül - ami viszont tök jó kis komplex megoldásokat eredményezhet ha okosan használod.
(B#&zkidehusszúlett'..)
-
zsolti.22
senior tag
Szia!
Sikerült megoldanom, de már ki is ment a fejemből, hogy mi volt a konkrét megoldás. Jó sok ACL-em volt, amit nem is használt végül a router. Onnan jöttem rá, mi a gond, hogy a show crypto engine connections active mutatta, hogy decryptálni tudta a csomagot, de encryptálni már nem akart. Ekkor nézegettem az ACL-eket és azokból az látszott, hogy a NAT-os deny-os ACL sorra is van találat, a crypto ACL-re visszafelé szintén, ennek ellenére mégsem történt meg a csomagok titkosítása. Aztán nézegettem a class-mapokat és ott egy inspectet átírtam pass-ra és egyből ment az egész. Nem is hittem volna, hogy nem lesz lassú a kapcsolat és a router se fog pörögni tőle, így pozitívat csalódtam.
Aztért lehetett ennyire kusza megtalálni a megoldást, mert szerintem nem jól értettem meg a ZBF alapjait és emiatt fölösleges zóna-párjaim lehetnek, amik csak bezavarnak.
Itt ragadnám meg az alkalmat és fejtágítást szeretnék kérni a ZBF-et illetően és nézzük is a konkrét, használatban lévő routerem konfigját. Jelenleg a routeremben 3 zóna van: VOIP, INSIDE, OUTSIDE. Szerintem beszédes zónák, nem kell túlmagyarázni.
A VOIP az VLAN700 SVI-re van felkonfigurálva a routeren és csak egyetlen port tagja ennek a VLAN-nak, mert csak egy telefon van. Ő egy /30-as címet kapott (192.168.20.0/30).
Az INSIDE zóna már nehezebb, ide a VLAN600 és VLAN500 tartozik. A VLAN600 a vezetékes belső hálózat, ami 192.168.15.0/29-es tartományban csücsül, a VLAN500 pedig a belső vezeték nélküli hálózat, az ő címtartománya a 192.168.10.0/29 lett.
Olvastam olyanról, hogy ahol lehet, kerülni kell a SELF zóna használatát, mert igencsak meg tudja nehezíteni az ember életét. Lehet, hogy pont te írtad itt valahol.
Amilyen szabályokat én zónákat csináltam, azok a következők:INSIDE-to-OUTSIDE
Egyértelmű, a wifis és belső vezetékes gépek érjék el az internetet
itt ezeket használom a class-mapomban:
match protocol pop3s
match protocol dns
match protocol icmp
match protocol ntp
match protocol tcp
match protocol udpA policy-mapban őket inspektálom, a class class-defaultot droppolom. Szóval elvileg ha bentről szinte bármit csinálok, akkor arra mindig érkezik vissza válasz, ezzel elvileg nem kell foglalkoznom.
INSIDE-to-VOIP
Egyértelmű, a VOIP telefonomnak van webes felülete, azt szeretném elérni néha, ha konfigurálni kell. Itt én most azt látom, hogy van egy ACL-em, ami engedélyezi a belső gépek számára a VOIP telefon IP címét és TCP 80-as port elérését (permit tcp 192.168.10.0 0.0.0.31 host 192.168.20.2 eq www), de nem inspektál a policy-mapom, hanem passol. Na most ahogy gondolkodom közben, ez jó nagy hülyeség: ha inspect lenne, akkor automatikusan beengedné a router a telefontól érkező HTML tartalmat. Olyan eset önmagától, hogy a telefon 80-as porton egyszer csak forgalmat kezdeményezzen a belső hálózat bármely gépére, olyan soha nem lesz, így ez az INSIDE-to-VOIP és VOIP-to-INSIDE policy-map, ami passol, az szerintem felesleges, és inkább INSIDE-to-VOIP inspect kellene helyette.
Ezek voltak az egyértelmű dolgok, most jön a neheze.
VOIP-to-OUTSIDE
Itt ezeket inspektálom:
match protocol ntp
match protocol dns
match protocol tcp
match protocol udp
(SIP-et ha ideveszem, akkor katasztrófa történik, nem működik)A telefon ugye 5060 forrás- és 5060 cél UDP porton kommunikál kettő szolgáltatóval. Ha inspektálom ezt ACL alapján, akkor elvileg a szolgáltatótól visszaérkező választ a router beengedi. Na de amikor engem megpróbálnak elérni telefonon, akkor a szolgáltató kezdeményez 5060-as porton (vagy STUN 3478-es UDP porton), hogy egyeztessen a telóval és elkezdjen kicsörgetni, emiatt szükség van OUTSIDE-to-VOIP zónára is (jól látom, ugye?). A telefon és a teljes belső hálózat NAT-olva van, tehát ELVILEG a SELF zóna eddig nem jön szóba, mert a router amikor NAT-ol, szépen NAT táblában feljegyzi, milyen forrás socketet milyen cél socketre fordított, ennek alapján dönti el, hogy mely zónákat érinti a forgalom, így elgondolásom szerint nincs szükség OUTSIDE-to-SELF és SELF-to-VOIP zónára. A telefon NTP-n keresztül szereti lekérdezni az időt, ez szintén benne van az inspectben, tehát elvileg az időt is leszinkronizálja magának. Kérdés, hogy az OUTSIDE-to-VOIP az ispect legyen, vagy pass és akkor kell visszafelé is pass? Ha inspect, akkor egy esetleges hívásnál mennyire szopatja a routert a sok dynamikus visszaengedés (egy pár másodperces hívás is több száz vagy már 1000 fölötti darabszámú UDP oda-vissza csomag)?
OUTSIDE-to-SELF
Vannak olyan forgalmak, ami egy az egyben csak a routernek szól és nem mögöttes eszköznek, ilyen forgalom: az SSH, router órájának szinkonizációja, DDNS, uplink DHCP egyeztetés, DNS lekérdezés (konfigurációban meglévő domain-név feloldása). Ha jól látom, akkor ezeket a self zóna nélkül nem tudnám implementálni. Ezeket hiába inspektálom, mert azt hiszem, hogy azt nem is lehet és marad a drop és pass, pass esetén akkor nyilván kell a fordítottja is, azaz SELF-to-OUTSIDE irány is. Ha csinálok SELF-ot-OUTSIDE-ot is, akkor a router kezdi minden forgalomról azt hinni, hogy az a SELF zónából származik (NAT-olás miatt a publikus IP lesz minden internet felé szánt forgalom forrás IP-je, de akkor hülyeség, amit erről korábban fenti írtam?) és elkezdi nem kiengedni a dolgokat. Ez szépen látszik ebben az irányban a class class-default drop logjában (NTP-t biztosan eldobta kifelére menet, SIP-et is, mint a huzat).
És akkor a fentiek tudatában szeretne az ember VPN-t konfigurálni: kérdés, hogy mely zónákat érinti ez? OUTSIDE-to-VOIP egyből, hiszen publikus forrás- és cél IP-jű a csomag, amit a router kap, majd miután kihámozza az ESP részt, akkor egyből megy is a VOIP zónába (tehát a router megvárja, míg kiderül, hogy csak neki szól vagy továbbítani kell valahova és annak megfelelően érinti a zónákat)? Vagy OUTSIDE-to-SELF, mert a router publikus IP-je a csomag célja és egyelőre ennyi látszik, míg a titkosítás nincs decryptálva, majd onnan SELF-to-VOIP és visszafelé VOIP-to-SELF és SELF-to-OUTSIDE vagy egyből VOIP-to-OUTSIDE?
Melyik irány és miért az?
Ja igen, a cél itt az, hogy egy másik telephelyen lévő Cisco router mögüli RFC1918-es IP-jű gép böngészőjébe beírva a 192.168.20.2-t, megjelenjen a VOIP telefon webes felülete.
Nah, túl hosszú lett, remélem, hogy valaki azért elolvassa és tésztavizet önt a poharamba -
crok
Topikgazda
válasz
A_ScHuLcZ
#8825
üzenetére
@A_ScHuLcZ: Azért keres még file-okat mert ha nem Skinny-t használsz SRST-vel akkor kell még info a CallManager-el való kapcsolathoz. Ezt ajánlom átolvasni, a books > misc > voice mappát, a Voice_CME_101.pdf-et én írtam, de itt sok könyvet meg segédanyagot megtaláltsz ("online könyvtáram"). A telefonok "tudásához" egy kis segítség: [1] [2] [3]
@Zsoli: szivesen, máskor is. Majd írj, hogy mi lett a vége (aka. megoldás) ( :
-
A_ScHuLcZ
addikt
válasz
A_ScHuLcZ
#8823
üzenetére
Gugli segítségével rájöttem, hogy azt a konfig fájlt le kell generáltatni a CME-vel a voice register global alól, illetve meg kell adni, hogy a telefon hol keresse eseket a telephony-service -> cnf file location paranccsal, így ezt meg is tettem, valamivel tovább jut, de továbbra is unprovisioned.
Érdekes, hogy a generálásból én összesen 4 fájlt kaptam (SIPDefault.cnf, softkeyDefault.xml, softkeyDefault_kpml.xml, syncinfo.xml), de a debug szerint a telefon keres egy csomót:
Debug:
*Jun 25 11:36:06.650: config_ephone_dn_mobility: peer_tag=20001,peer_tag_secondary=0, dp_peer_tag=0, dp_peer_secondary_tag=0
*Jun 25 11:36:06.650: config_ephone_dn_mobility_snr: peer_tag=20001,peer_tag_secondary=0, dp_peer_tag=0, dp_peer_secondary_tag=0
*Jun 25 11:36:06.654: config_ephone_dn_mobility: peer_tag=20002,peer_tag_secondary=0, dp_peer_tag=0, dp_peer_secondary_tag=0
*Jun 25 11:36:06.654: config_ephone_dn_mobility_snr: peer_tag=20002,peer_tag_secondary=0, dp_peer_tag=0, dp_peer_secondary_tag=0
*Jun 25 11:36:55.846: TFTP: Looking for CTLSEP0022905A9BBC.tlv
*Jun 25 11:36:55.870: TFTP: Looking for SEP0022905A9BBC.cnf.xml
*Jun 25 11:36:55.890: TFTP: Looking for SIP0022905A9BBC.cnf
*Jun 25 11:36:55.910: TFTP: Looking for MGC0022905A9BBC.cnf
*Jun 25 11:36:55.938: TFTP: Looking for XMLDefault.cnf.xml
*Jun 25 11:36:55.958: TFTP: Looking for SIPDefault.cnf
*Jun 25 11:36:55.974: TFTP: Looking for MGCDefault.cnf
*Jun 25 11:37:11.046: TFTP: Looking for SIPDefault.cnf
*Jun 25 11:37:11.058: TFTP: Looking for SIP0022905A9BBC.cnf -
zsolti.22
senior tag
Na sorban akkor reagálok:
Nos, ha TCP 80-on szeretnéd elérni a 192.168.20.2-t 192.168.50.2-ről akkor félig-meddig jó, nem tom' nem-e redirect-el HTTPS-re. Plusz ez csak az egyik oldal, így VPN-t troubleshootolni meglehetősen nehéz.
Nincs HTTPS redirect.
De pl. ehhez nem látok policy-map-et:
zone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
service-policy type inspect VOIP_TO_OUTSIDE << ilyen policy-map-et nem látokVan a routerben, csak lemaradt
A jövőbeni bővíthetőségre való tekintettel én nem használnék "class-map type inspect match-all"-t hanem match-any-t, hogy utánna hozzáadni egyszerűbb legyen.
Igen, jogos, bele is buktam
Viszont mivel ACL-re matcheltetek vele és ez az egy ACL is bőven elég, mert csak azt az egyet kell szerkesztenem, ha valamire szükségem van, így végülis ez is megteszi egyelőre. De igen, a match-any sokkal rugalmasabb...Ezek itt lent önmagukban még jók lennének, de vissza nem engedi a forgalmat a ZBF, nem elég a pass mert UDP és "titkos" az IPSec
Bezony, igaz, szerintem emiatt sem működött. Este majd újra megpróbálom, ahogy írtam korábban.
Drop log van a végén - szóval nézz logot, hogy mit dob ha dob egyáltalán (állíts buffert rendesen) de szerintem kéne egy SELF_TO_OUTSIDE amiben engeded az IPSec UDP-t, ESP-t visszafelé.
Igen, az volt a log célja, hogy lássam, mi dob és mit, az alapján alakítottam át úgy a konfigot, hogy a tunnel már kiépül, de itt az lesz a hiba, ahogy írtad is fent, hogy nincs SELF-TO-OUTSIDE zóna-párom.
Aztán ha minden kötél szakad akkor az IOS Order-of-operation miatt én feltennék egy ACL-t az OUTSIDE interface-re amiben a forgalmadat (TCP 80 src 192.168.50.2 dst 192.168.20.2) direktben engedném hogy lássam hogy a VPN vagy a ZBF a hiba.
Teljesen kizárnám a VPN hibáját a fentiek miatt, ez ZBF misconfig error lesz.
Kösz a gyors analizálást!
-
A_ScHuLcZ
addikt
Gesztiboy, crok: Egyelőre 7940-el próbálkozom, de lesz itt még 7962, 7906 és 7911 is.
Picivel tovább jutottam, mert találtam egy elírást a konfigban, (kötőjel helyett alulvonal), utána leszedte a firmwaret, de elakadt Phone Unprovisioned hibaüzenettel. Abban gugli segített, hogy ez konfigurációs hibára utal, csak az nem egyértelmű, hogy a routerben az ephone részt, vagy a SIPxxxxxxxxxxxx.cnf fájlt kell-e piszkálnom, és mi hiányozhat. A cnf fájl üres volt, az imént beletettem ezeket a sorokat (google), de nem segített:
image_version: P0S3-07-1-00
line1_name: 100
line1_authname: 100
line1_password: 1234
messages_uri: 999IOS: Cisco IOS Software, 3800 Software (C3825-ADVIPSERVICESK9-M), Version 12.4(24)T2, RELEASE SOFTWARE (fc2)
Fájlok:
Directory of flash:/phone/7940-7960/21 -rw- 740 Jun 23 2015 15:32:14 +00:00 XMLDefault.cnf.xml
23 -rw- 15 Jun 23 2015 15:02:14 +00:00 OS79XX.TXT
24 -rw- 302 Jun 23 2015 15:02:08 +00:00 SIP0022905a9bbc.cnf
25 -rw- 27 Jun 23 2015 15:02:08 +00:00 SIPDefault.cnf
26 -rw- 585938 Jun 23 2015 15:02:10 +00:00 P0S3-07-1-00.sb2
27 -rw- 459 Jun 23 2015 15:02:12 +00:00 P0S3-07-1-00.loads
28 -rw- 124552 Jun 23 2015 15:02:12 +00:00 P003-07-1-00.bin
29 -rw- 124956 Jun 23 2015 15:02:12 +00:00 P003-07-1-00.sbn2012348416 bytes total (1918009344 bytes free)
Konfig:
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname CME_teszt
!
boot-start-marker
boot-end-marker
!
logging message-counter syslog
!
no aaa new-model
!
dot11 syslog
ip source-route
ip dhcp excluded-address 192.168.128.1
!
ip dhcp pool voip
network 192.168.128.0 255.255.255.0
option 150 ip 192.168.128.1
lease 7
!
ip cef
!
no ipv6 cef
!
multilink bundle-name authenticated
!
voice-card 0
!
archive
log config
hidekeys
!
interface GigabitEthernet0/0
ip address 192.168.130.1 255.255.255.0
duplex auto
speed auto
media-type rj45
!
interface GigabitEthernet0/0.2
description voip vlan
encapsulation dot1Q 701
ip address 192.168.128.1 255.255.255.0
!
interface GigabitEthernet0/1
no ip address
shutdown
duplex auto
speed auto
media-type rj45
!
interface Serial0/1/0
no ip address
shutdown
clock rate 2000000
!
interface Serial0/1/1
no ip address
shutdown
clock rate 2000000
!
ip forward-protocol nd
ip http server
no ip http secure-server
ip http path flash:gui
!
tftp-server flash:/phone/7940-7960/P003-07-1-00.bin alias P003-07-1-00.bin
tftp-server flash:/phone/7940-7960/P0S3-07-1-00.loads alias P0S3-07-1-00.loads
tftp-server flash:/phone/7940-7960/P0S3-07-1-00.sb2 alias P0S3-07-1-00.sb2
tftp-server flash:/phone/7940-7960/P003-07-1-00.sbn alias P003-07-1-00.sbn
!
control-plane
!
telephony-service
max-ephones 15
max-dn 20
system message Teszt uzenet
load 7960-7940 P0S3-07-1-00.loads
time-format 24
max-conferences 12 gain -6
web admin system name admin secret 5 $1$vPt2$REEai/o5nwcwFUmOxuuP5.
transfer-system full-consult
create cnf-files version-stamp Jan 01 2002 00:00:00
!
ephone-dn 1
number 88
label Teszt1
name Teszt1
!
!
ephone-dn 2
number 55
label Teszt2
name Teszt2
!
!
ephone 1
device-security-mode none
description Teszt telefon
mac-address 0022.905A.9BBC
type 7940
button 1:1 2:2
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
endui:
debug alapján a vnf fájl lesz a ludas, itt akad el:
*Jun 25 10:02:45.231: TFTP: Looking for CTLSEP0022905A9BBC.tlv
*Jun 25 10:02:45.251: TFTP: Looking for SEP0022905A9BBC.cnf.xml
*Jun 25 10:02:45.251: TFTP: Opened system:/its/vrf1/XMLDefault7940.cnf.xml, fd 9, size 1057 for process 186
*Jun 25 10:02:45.255: TFTP: Finished system:/its/vrf1/XMLDefault7940.cnf.xml, time 00:00:00 for process 186
*Jun 25 10:02:45.291: TFTP: Looking for P0S3-07-1-00.loads
*Jun 25 10:02:45.295: TFTP: Opened flash:/phone/7940-7960/P0S3-07-1-00.loads, fd 9, size 459 for process 186
*Jun 25 10:02:45.295: TFTP: Finished flash:/phone/7940-7960/P0S3-07-1-00.loads, time 00:00:00 for process 186
*Jun 25 10:03:01.947: TFTP: Looking for SIPDefault.cnf
*Jun 25 10:03:01.967: TFTP: Looking for SIP0022905A9BBC.cnf -
zsolti.22
senior tag
Látszik
Úgy ollóztam ki a konfigom részleteit, van olyan policy-mapom, amit hiányolsz, csak az lemaradt.
Jaja, az ikev2 az egyirányú, a javasolt megoldásod megmagyarázza, hogy miért nem encryptál a routerem csomagokat... Na majd holnap megint megpróbálom!nincs https redirect amúgy
-
#8819
crok
Topikgazda
suomalainen
#8809
crok
Topikgazda
válasz
suomalainen
#8809
üzenetére
Ha jól tévedek az ott DMVPN van a leírás szerint: a virtuális routereknek egy interface-e van csak ám több subinterface is - több VLAN taggel, vagyis azonos VLAN taggel rendelkező subinterface-ek egy alhálóban lesznek - és lesz egy NHRP szerver aztán a többi meg ahhoz kapcsolódik (hub&spoke). Ez egy trükk hogy minél kevesebb erőforrásra legyen szükség, meg hogy jól megkavarjon ( : ezt találták ki a régi frame-relay helyett (ahol egyébként ugyan ez volt megvalósítva L3 szempontból).
-
crok
Topikgazda
válasz
zsolti.22
#8815
üzenetére
Nos, ha TCP 80-on szeretnéd elérni a 192.168.20.2-t 192.168.50.2-ről akkor félig-meddig jó, nem tom' nem-e redirect-el HTTPS-re. Plusz ez csak az egyik oldal, így VPN-t troubleshootolni meglehetősen nehéz.
De pl. ehhez nem látok policy-map-et:
zone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
service-policy type inspect VOIP_TO_OUTSIDE << ilyen policy-map-et nem látokA jövőbeni bővíthetőségre való tekintettel én nem használnék "class-map type inspect match-all"-t hanem match-any-t, hogy utánna hozzáadni egyszerűbb legyen.
Ezek itt lent önmagukban még jók lennének, de vissza nem engedi a forgalmat a ZBF, nem elég a pass mert UDP és "titkos" az IPSec - az IOS sajnos minden PR fogása ellenére se tud inspect-elni ilyen forgalmat és a pass csak egy irányt enged, nincs meg az inspect által adott visszatérő forgalmat engedő ACE:
policy-map type inspect OUTSIDE_TO_VOIP_EXCLUSIONS
class type inspect OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
pass log
class class-default
drop log
policy-map type inspect OUTSIDE_TO_SELF
class type inspect OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
pass
class class-default
drop logDrop log van a végén - szóval nézz logot, hogy mit dob ha dob egyáltalán (állíts buffert rendesen) de szerintem kéne egy SELF_TO_OUTSIDE amiben engeded az IPSec UDP-t, ESP-t visszafelé.
Aztán ha minden kötél szakad akkor az IOS Order-of-operation miatt én feltennék egy ACL-t az OUTSIDE interface-re amiben a forgalmadat (TCP 80 src 192.168.50.2 dst 192.168.20.2) direktben engedném hogy lássam hogy a VPN vagy a ZBF a hiba.
Ezek után csinálnék Wireshark-ot (mindkét oldalon) ha nem megy - hogy mi merre megy, mi érkezik meg és mi nem.
-
crok
Topikgazda
válasz
A_ScHuLcZ
#8813
üzenetére
Hogyne lenne elég az C1841! Bőven sok is. ( : Egy 1700-as szériás is jó, csak legyen hely a file-oknak és az IOS feature set legyen rendben (ipvoice, spservices, advipservices, entservices vagy adventservices ha 12.4, de 12.2-vel mennek pl. itthon a 1721-eim, simán). Nekem itthon egy 1801 meg két 1721 van, simán megy minden, CME is. Milyen telefonokat akarsz pontosan használni? Milyen file-ok és hol vannak? Konfig mi? Telefon firmware-ek rendben? Jó IP-t kapnak a telefonok (azt értem, hogy TFTP info már van a telefonban gondolom DHCP-n option 150-el)?
-
zsolti.22
senior tag
Próbálkozok VPN-nel ZBF-es routeren, viszont a távoli gép nem hozza be a webes felületet, amit be kellene.
Valami biztos lemaradt...A 3 tunnel kiépül, ahogy kell, de itt abba is marad az öröm. Külön VPN zónát nem csináltam, szerintem nincs rá szükség (vagy de?).
Ami fontos infó lehet, hogy amelyik router mögötti cuccot el kellene érni, az csak decryptálja a csomagokat, encryptálni már nem encryptál semmit, tehát visszafelé már nem küld adatokat....Ez a releváns konfig:
class-map type inspect match-all OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
match access-group name OUTSIDE_TO_VOIP_EXCLUSIONS_ACLclass-map type inspect match-all OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
match access-group name OUTSIDE_TO_SELF_EXCLUSIONS_ACLpolicy-map type inspect OUTSIDE_TO_VOIP_EXCLUSIONS
class type inspect OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
pass log
class class-default
drop logpolicy-map type inspect OUTSIDE_TO_SELF
class type inspect OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
pass
class class-default
drop logzone security OUTSIDE
zone security VOIPzone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
service-policy type inspect VOIP_TO_OUTSIDEzone-pair security OUTSIDE-to-VOIP source OUTSIDE destination VOIP
service-policy type inspect OUTSIDE_TO_VOIP_EXCLUSIONSzone-pair security OUTSIDE-to-SELF source OUTSIDE destination self
service-policy type inspect OUTSIDE_TO_SELFcrypto isakmp policy 1
encr aes 256
authentication pre-share
group 5
lifetime 1800
crypto isakmp key cisco# address X.X.X.X
!
!
crypto ipsec transform-set ESP-AES256-SHA1 esp-aes 256 esp-sha-hmac
!
crypto map CM 1 ipsec-isakmp
set peer X.X.X.X
set transform-set ESP-AES256-SHA1
set pfs group5
match address VPN_TRAFFIC
!
interface FastEthernet0
description VOIP
switchport access vlan 700
no ip address
spanning-tree portfast
!
interface FastEthernet4
description INTERNET
zone-member security OUTSIDE
ip address dhcp
ip nat outside
crypto map CM
!
interface Vlan700
ip address 192.168.20.1 255.255.255.252
ip nat inside
ip virtual-reassembly in
zone-member security VOIP
no autostate
!
ip nat inside source list NAT interface FastEthernet4 overload
ip route 0.0.0.0 0.0.0.0 FastEthernet4 dhcp
!
ip access-list extended OUTSIDE_TO_SELF_EXCLUSIONS_ACL
permit udp host X.X.X.X eq isakmp host Y.Y.Y.Y eq isakmp
permit udp host X.X.X.X host Y.Y.Y.Y eq non500-isakmp
permit esp any any
!
ip access-list extended OUTSIDE_TO_VOIP_EXCLUSIONS_ACL
permit tcp host 192.168.50.2 host 192.168.20.2 eq www
!
ip access-list extended VPN_TRAFFIC
permit tcp host 192.168.20.2 host 192.168.50.2ip access-list extended NAT
deny tcp host 192.168.20.2 host 192.168.50.2
permit ip 192.168.20.0 0.0.0.3 any -
Gesztiboy
tag
-
A_ScHuLcZ
addikt
válasz
kowika87
#8808
üzenetére
Szia,
Végül a 3825-t használtam erre a célra, mert mint írtam, a 2811 nem bootolt be, valószínű memóriahibás.
Mindegy melyik protokollal oldom meg, csak tesztelni szeretném a működésüket, egyébként SIP megoldással indultam el több guide alapján. A CME 7.1-et feltelepítettem, webes felülete elérhető, telefonok SIP image fájljait a megfelelő helyre bemásoltam (szintén 7.1 verzió), ephone profilokat is felvettem mac címek alapján, de valamiért nem tudják beregisztrálni magukat. Megtalálják, hogy milyen címen kell TFTP-n keresniük a konfigot, de onnan nem jutnak tovább, nem találják az XMLDefault fájlt, pedig az is oda lett téve.Biztos valamilyen triviális dolog az egész, de soha nem foglalkoztam IPT-vel korábban, számomra ezért nem olyan egyszerű. Tegnap nem jutott sok időm rá, ma pedig vidéken vagyok, de holnap újra nekifutok..
-
Rocko007
aktív tag
Szeretnek segitseget kerni commercial cert telepiteseben. Adott egy vWLC 8.1.102.0, ami alatt kicsereltem a https tanusitvanyt. A web auth-nal is ki szeretnem cserelni, tftp utan nem tudja telepiteni.
Ez alapjan dolgoztam:
openssl>pkcs12 -export -in All-certs.pem -inkey mykey.pem
-out All-certs.p12 -clcerts -passin pass:check123
-passout pass:check123openssl>pkcs12 -in All-certs.p12 -out final.pem
-passin pass:check123 -passout pass:check123A tanusitvany egy Geotrust RapidSSL.
Hibauzenetnek ennyit kapok: TFTP receive complete... Installing certificate.
Error installing certificate. -
#8811
FecoGee
Topikgazda
suomalainen
#8809
FecoGee
Topikgazda
válasz
suomalainen
#8809
üzenetére
Trunk port a switchen. Sw1 fa0/1-re van rakotve a szerver amin a routerek futnak.
-
#8810
Cyber_Bird
senior tag
suomalainen
#8809
Cyber_Bird
senior tag
válasz
suomalainen
#8809
üzenetére
Nyilvan vlan trunking mert switchbe vannak bekotve 1-1 trunk porttal.
-
#8809
suomalainen
tag
suomalainen
tag
Sziasztok
Az INE v5 topológiával kapcsolatban szeretnék kérdezni. Gondolom ismert számotokra, nem linkelem be, viszont az initial configban minden összeköttetés egy adott router esetében más routerekkel subinterfaceken keresztül történik. Ez hogyan lehetséges?
Köszi!
-
-
A_ScHuLcZ
addikt
Sziasztok!
1841 routerre (12.4(24)T2) szeretnék ideiglenesen CME-t beállítani néhány IP telefon teszteléséhez, tud-e valaki adni egy hasznos leírást, ami alapján meg tudom csinálni? Nem értek a VoIP-hoz, soha nem konfiguráltam még CME-t/ip telefont, de leírás alapján az alapokkal szerintem elboldogulok.
-
zsolti.22
senior tag
válasz
Gesztiboy
#8802
üzenetére
Ezt a bénát figyeljétek!
Délután 2 óta
szopokbíbelődök ezzel a TACACS.NET-tel. Eleinte a modern.ie oldalról szedtem le előre telepített XP-t, hogy majd VBOX-ra telepítve a TACACS.NET-et működni fog az egész. Ezt lepróbáltam GNS3 1.3.4-gyel, meg a 0.8.7-tel, de nem lett jó. Mindig annyi látszott csak a wsharkban, hogy a router küldi a csomagot, amire a vbox, vagyis a tacacs szerver azonnal egy tcp rst-t küld. Ugyanez volt akkor is, ha nem is futott a szolgáltatás. Tűzfalat kilőttem, pingek mentek, minden ment, csak a tacacs nem.
(Annyit még megfigyeltem, hogy ha gui-ból akartam indítani a szolgáltatást, akkor nem indult el, ha parancssorból, akkor meg igen WTF)Hmm, gondoltam hátha az előre telepített XP volt a baj, így telepítettem én magamnak egy XP-t. Akárhogy próbáltam, nem ment azzal sem.
Legutolsóként azt próbáltam, hogy a saját laptopomra telepítettem a TACACS.NET-et és onnan MS loopback interfészt használva biztos jó lesz majd. Ezt már nagyon régen csináltam, ezért youtube-on keresgéltem és megtaláltam Keith ezen videóját, ahol pont ezeket állítja be. Eleinte GNS3 1.3.4.-ben próbáltam (mer' az a legújabb), de már ott elbukott a mutatvány, hogy a Cloudhoz nem tudtam sehogyan sem hozzákapcsolódni. Utána indítottam a GNS3 0.8.7-et. Ott egyből kiírta, amikor a Cloudot akartam konfigolni, hogy admin módban tessékleszszíves próbálni. Elindítottam úgy. Engedte a konfigolást és azt is, hogy hozzákössek egy virtuális switchet, arra meg a routert. MS loopbacket bekonfiguráltam, routert szintén, ping nem megy...Ok, szoftveres tűzfal icmp engedélyezése után ment. Próbáltam azután, nem lett jó megint. Go back to tűzfal, TCP 49 engedélyezése megtörtént. Megint nem csinált semmit az istenverte. Akkor pattant be az ötlet, hogy 5 hálókártya van a laptop szerint, nem biztos, hogy a default 127.0.0.1 szerver ip beállítás jó neki. Beállítottam azt is neki. Authentications.xml-nél alapból ki van kommentelve a default login, kivettem, próbáltam rámenteni, azt írja a notepad++, hogy "A mentés sikertelen, másik folyamat használja", vagy valami ilyesmi. Megnézem, milyen folyamat használja...tacplus.exe, kilőttem. Menteni akarok megint, ugyanaz a hibaüzenet... hmm, csak nem admin mód kell ennek is? DE! Rámentettem. GNS3 0.8.7. indít, cloud bekonfigol, tacacs konfig belőve, mehet a teszt: nem sikerült. Net stop tacacs.net, net start tacacs.net, újratesztel, működik.........
Amúgy megnéztem most a GNS3 1.3.4-gyel is, ha admin módban indítottam el, akkor a cloudhoz engedte hozzákötni a virtuális switchet. Utána admin mód nélkül is engedte, azelőtt meg nem
Kérem vissza a sz@ros 5$-om!!!
-
Gesztiboy
tag
, holnap utána kell olvasnom, hogy milyen jogszabályok vannak.
00307010200.bin
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Fujifilm X
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- OLED monitor topik
- Napelem
- Shield TV-t csinált a Shieldből az NVIDIA
- Everest / AIDA64 topik
- Synology NAS
- Elder Scrolls IV - Oblivion - Olvasd el az összefoglalót, mielőtt írsz!
- Tőzsde és gazdaság
- HiFi műszaki szemmel - sztereó hangrendszerek
- További aktív témák...
- ÁRGARANCIA!Épített KomPhone i7 14700KF 32/64GB RAM RTX 5080 16GB GAMER PC termékbeszámítással
- REFURBISHED és ÚJ - HP Thunderbolt Dock G2 230W docking station (3TR87AA)
- LG 39GS95UE - 39" Ívelt OLED / QHD 2K / 240Hz & 0.03ms / 1300 Nits / NVIDIA G-Sync / AMD FreeSync
- Samsung Galaxy A5 32GB Kártyafüggetlen 1Év Garanciával
- AKCIÓ! Épített KomPhone R5 4500 16GB RAM 240GB SSD RX 6500 XT 4GB GAMER PC termékbeszámítással
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: PC Trade Systems Kft.
Város: Szeged