- Milyen okostelefont vegyek?
- Yettel topik
- Vivo X200 Pro - a kétszázát!
- MIUI / HyperOS topik
- Samsung Galaxy S23 Ultra - non plus ultra
- Fotók, videók mobillal
- One mobilszolgáltatások
- Nem minden Nothing Phone (3) születik egyenlőnek
- Samsung Galaxy S25 Ultra - titán keret, acélos teljesítmény
- Mi nincs, grafén akku van: itt a Xiaomi 11T és 11T Pro
-
Mobilarena
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
tusi_
addikt
-
tusi_
addikt
válasz
zsolti.22 #9109 üzenetére
Ez egy routing problema lesz asa oldalrol. Fingja sincs, hol van a peer (50.0.0.2) habar egy subon vannak. (Vagy csak megen GNS3 es nem megy a l2. Nekem volt mar ilyen)
route outsdie 0 0 50.0.0.2
"route outside 192.168.1.0 255.255.255.0 50.0.0.2 1"
Ez minek, benne van a crypto mapban..
zero nat nem kell, nincs altalanos nat lefektetve. Itt nincs default nat control, mint a 8.3 elottiekben....
-
Gesztiboy
tag
válasz
zsolti.22 #9109 üzenetére
"a bal decryptel, de nem titkosít..." - Az ASA NAT configját is meg tudod mutatni?
"de egyáltalán minek foglalkozni a NAT-tal" - Azért kell vele.Ha jól emlékszem, a NAT-ot hamarabb figyelembe veszi, mint a CRYPTO részt az ASA és ha van rá szabály, akkor elnatolja, vagyis nem a tunnelbe fog menni a cucc. Így látatlanban tippelve kelleni fog neked egy NAT exemption, amit valóban network-object-en keresztül meg lehet csinálni.
A pingre meg annyit, hogy használsz ACL-t az interface-en vagy csak a szimpla security-level? A Service-policy az jó kell legyen -
-
FecoGee
Topikgazda
válasz
zsolti.22 #9064 üzenetére
Szerintem jol van ez igy. Elotte 1 illetve 10 volt a seq. Kezdesnek atszamozasnal 10-et adtal meg, 10-es novelessel. Nekem ebben nincs furcsa.
Amit ACL-eknel utalok, hogy a remark nem szerkeszheto, illetve show access-list eseteben nem latszik a remark, csak show run eseteben. -
-
tusi_
addikt
válasz
zsolti.22 #9020 üzenetére
ASDM Leute, szerintem CLI-hez nem sok köze van.
Rohan be hozzam, hogy nincs nete a csokanank. Nezem a sh xlate, semmi, sh run nat, semmmi.
Gyorsan felvettem egy natot - 8.2-es NAT, eletemben nem csinaltam - megy a net.
Aztan jon, hogy nincs S2S Tunnel. Nezem, phase 1 ott van, MM-Active. Nezem az ipsec-et, csak fogad, nem valaszol.
Semmi zero nat, na akkor azt kellet kikeresnem.....Migraltunk 7.2-röl 9.2-re, de keves volt a ram. Aztan vissza 8.2-re. Szerintem akkor eltuntek a nat bejegyzesek...
Imadom a Nemet projekteket....
-
_NCT
addikt
válasz
zsolti.22 #8960 üzenetére
Jelenleg többet keresek, nem sokkal, de többet. Csak nem szeretem a melóhelyem, unom hogy évek óta nincs mozgás semerre, kezdek befásulni, ezért most ott járok, kicsit kevesebbért is, de váltanék. Nem minden a pénz.... (Akik nálunk előre jutnak azok azok, akik mennek a főnökkel smúzolni, nyalnak nap mint nap undorító módon, másokat letaposva, megalázva. Na én ezért nem jutottam előre, mert én nem ilyen vagyok, sokszor megmondom ha a főnök hülyeséget beszél, illetve nem csókolok be....Állami cég, mit is vártam mondjuk...).
Amúgy bruttó összegről beszéltem, a nettó az jelenleg álom az itthoni lét alatt. Programozáson azért gondolkodom, mert mindenhonnan azt hallom, hogy abban több pénz van mint üzemeltetésben. Nem mondom hogy ott nem kell sok mindenhez érteni és több nyelvet megtanulni, de nem kell 300 felé szakadni. Legalábbis ismerőseim Oracle-nél, Ericsson-nál, IBM-nél nem panaszkodnak....
Mind1 ne offoljuk szét a topikot, csak érdekelt volna hogy hálózatosként szét kell-e esni annyira, mint rendszergazdaként. Tudjál weblapot szerkeszteni, adatbázisokat összerakni, migrálni, karbantartani, programozni min 2-3 nyelven, értsél vmware-hez, de tudd ugyanezt Linux-on is, amit Windows-on, tehát értsél mindenhez....
-
zsolti.22
senior tag
válasz
zsolti.22 #8915 üzenetére
Rájöttem.
Ha esetleg érdekel valakit:Kiinduló konfiguráció, melyből csak az aaa-releváns konfigot másoltam ki:
ciscoasa# sh run | i TAC|key
aaa-server TAC protocol tacacs+
aaa-server TAC (inside) host 172.16.0.2
key *****
aaa authentication telnet console TAC
aaa authentication ssh console TAC
aaa authentication serial console TAC
aaa accounting command privilege 15 TAC
aaa accounting serial console TAC
aaa accounting ssh console TAC
aaa accounting telnet console TAC
aaa accounting enable console TACA tacacs+ szerver nem Cisco ACS, hanem mezei TACACS.NET szerver, ami jól van beállítva.
Logolást bekapcsoltam, merthogy alapból az sincs nemhogy konzolra, hanem sehogy, szóval kell egy logging enable és egy logging console 7, ami ezt dobja, ha be akarok lépni az ASA-ba:
Username: zsolti.22
Password: *****
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 98 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/46606 (172.16.0.1/46606)
%ASA-7-710005: UDP request discarded from 172.16.0.2/137 to inside:172.16.0.1/137
%ASA-6-113004: AAA user authentication Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-113008: AAA transaction status ACCEPT : user = zsolti.22
Type help or '?' for a list of available commands.
%ASA-6-611101: User authentication succeeded: Uname: zsolti.22
%ASA-6-605005: Login permitted from serial to console for user "zsolti.22"
ciscoasa> %ASA-6-302013: Built outbound TCP connection 99 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/25556 (172.16.0.1/25556)
%ASA-6-113004: AAA user accounting Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-302014: Teardown TCP connection 98 for inside:172.16.0.2/49 to identity:172.16.0.1/46606 duration 0:00:00 bytes 60 TCP FINs
%ASA-6-302014: Teardown TCP connection 99 for inside:172.16.0.2/49 to identity:172.16.0.1/25556 duration 0:00:00 bytes 106 TCP FINs
%ASA-7-609002: Teardown local-host identity:172.16.0.1 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:172.16.0.2 duration 0:00:00{és itt lesz a lúdas}:
ciscoasa> ena
Password: *****
ciscoasa# %ASA-5-502103: User priv level changed: Uname: enable_15 From: 1 To: 15
%ASA-5-111008: User 'zsolti.22' executed the 'enable' command.
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 109 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/18492 (172.16.0.1/18492)
%ASA-6-113004: AAA user accounting Successful : server = 172.16.0.2 : user = enable_15
%ASA-6-302014: Teardown TCP connection 109 for inside:172.16.0.2/49 to identity:172.16.0.1/18492 duration 0:00:00 bytes 105 TCP FINs
%ASA-7-609002: Teardown local-host identity:172.16.0.1 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:172.16.0.2 duration 0:00:00Ha így adok ki egy aaa authorization commands TAC-et, akkor minden parancsomat elutasítja a TAC, mivel nincs beállítva enable_15 userem az authentication/authorization fájlokban.
Hozzáadtam a konfighoz ezt a sort:
aaa authentication enable console TAC, ami azt csinálja, hogy a tacacs+-tól kér saját enable jelszót, nem pedig az asa-n lévő local enable jelszót kéri be:ciscoasa(config)# aaa authentication enable console TAC
Kilépés, majd belépés:
Username: zsolti.22
Password: *****
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 115 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/35451 (172.16.0.1/35451)
%ASA-6-113004: AAA user authentication Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-113008: AAA transaction status ACCEPT : user = zsolti.22
%ASA-6-611101: User authentication succeeded: Uname: zsolti.22
%ASA-6-605005: Login permitted from serial to console for user "zsolti.22"
Type help or '?' for a list of available commands.
ciscoasa> %ASA-6-302013: Built outbound TCP connection 116 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/60041 (172.16.0.1/60041)ciscoasa> ena
Password: *
%ASA-7-609001: Built local-host identity:172.16.0.1
%ASA-7-609001: Built local-host inside:172.16.0.2
%ASA-6-302013: Built outbound TCP connection 117 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/47624 (172.16.0.1/47624)
%ASA-7-710005: UDP request discarded from 172.16.0.2/137 to inside:172.16.0.1/137
%ASA-6-113005: AAA user authentication Rejected : reason = Unspecified : server = 172.16.0.2 : user = zsolti.22
Password: %ASA-6-611102: User authentication failed: Uname: zsolti.22
%ASA-6-302014: Teardown TCP connection 117 for inside:172.16.0.2/49 to identity:172.16.0.1/47624 duration 0:00:00 bytes 56 TCP FINs
%ASA-7-609002: Teardown local-host identity:172.16.0.1 duration 0:00:00
%ASA-7-609002: Teardown local-host inside:172.16.0.2 duration 0:00:00
******
%ASA-7-710005: UDP request discarded from 172.16.0.2/137 to inside:172.16.0.1/137
%ASA-6-113004: AAA user authentication Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-113008: AAA transaction status ACCEPT : user = zsolti.22
ciscoasa# %ASA-6-611101: User authentication succeeded: Uname: zsolti.22
%ASA-5-502103: User priv level changed: Uname: zsolti.22 From: 1 To: 15
%ASA-5-111008: User 'zsolti.22' executed the 'enable' command.
%ASA-6-302013: Built outbound TCP connection 122 for inside:172.16.0.2/49 (172.16.0.2/49) to identity:172.16.0.1/34844 (172.16.0.1/34844)
%ASA-6-113004: AAA user accounting Successful : server = 172.16.0.2 : user = zsolti.22
%ASA-6-302014: Teardown TCP connection 121 for inside:172.16.0.2/49 to identity:172.16.0.1/9421 duration 0:00:08 bytes 61 TCP FINs
%ASA-6-302014: Teardown TCP connection 122 for inside:172.16.0.2/49 to identity:172.16.0.1/34844 duration 0:00:00 bytes 105 TCP FINsÍgy már zsolti.22 néven vagyok enable módban és ha így akarok játszadozni az authorizációval, akkor prímán működik is
Szóval ha nem a tacacs+-tól kérem az enable jelszót, akkor enable_15 userként leszek bent enable módban... -
-
crok
Topikgazda
válasz
zsolti.22 #8828 üzenetére
Na.
A self zone nem rossz, csak jól át kell gondolni mit akarsz elérni a routeren, mihez kell a routernek kapcsolódnia és mi kapcsolódhat hozzá ( : De amúgy ennyi, a self zone a router saját védelmére van kitalálva security szempontból (túlterhelésre ott a CoPP). Meg lehetőleg legyen backdoor-od mielőtt a self-et piszkálod távolról, mondjuk egy input ACL-ben először explicit engedd be magadat SSH-n ( :
INSIDE-to-OUTSIDE: egyértelmű, ahogy írtad.
INSIDE-to-VOIP: Ha nem lesz SIP forgalom az INSIDE és a VOIP közt vagy eleve csak és kizárólag a WWW felületét akarod csak elérni a telefonnak az INSIDE-ból akkor INSIDE-to-VOIP inspect www-re vagy tcp-re - elég, de igazából minden a security policy-den múlik, hogy mennyire akarsz strict lenni és hogy mi a célod: működő de megfelelően strict elérést biztosítani vagy sz#p&tni magad ( :
VOIP-to-OUTSIDE: Látom SIP-et használsz. Az 5060-as port csak a signaling (SIP), ugye nincs benne maga a voice stream (nyugi, nem para a sok packet, CEF-ből letolja a router, egyébként mondjuk G711-el egy hívás másodpercenként default értékekkel 50db 20ms-es voice stream-et generál ( : ). A STUN a NAT-olást magában megoldja, de ha a VOIP-to-OUTSIDE-ba csinálsz egy policy-t UDP inspectre (esetleg szűkítheted a 16384 - 32767 port-range-re) akkor megoldja azt is - de kell az inspect vagy az oda-vissza pass a OUTSIDE-to-VOIP irányban is, mert téged is hívhatnak és te is akarsz hívni. A SIP-nek kellhet a TCP és/vagy UDP 5060 és/vagy az 5061 port (nem tudom mit használsz pontosan.. így ez lehet TCP és/vagy UDP, az 5060 cleartext, az 5061 crypted SIP). Ezt én csak azért tenném be pass-ra (vagy oda-vissza inspect-be) a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba mert tudom, hogy a SIP inspection ritka szarul működik ZBF-ben (klasszikus CBAC inspect-ben is.. ASA-ban is.. PIX-ben is.. FWSM-ben is..). Ha jól működne a SIP inspection akkor csinálhatnál olyat, hogy a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba is felveszed inspect-el a SIP-et és az RTP-t is (UDP 16384 - 32767) - így akár kintről hívnak téged, akár bentről hívsz valakit a ZBF mindig megnézné a session-öket és ha nem lenne baj a csomagokkal akkor menne minden.
OUTSIDE-to-SELF: "Vannak olyan forgalmak, ami egy az egyben csak a routernek szól és nem mögöttes eszköznek, ilyen forgalom: az SSH, router órájának szinkonizációja, DDNS, uplink DHCP egyeztetés, DNS lekérdezés (konfigurációban meglévő domain-név feloldása) - ez mind igaz a self zónára, de nem feltétlen az OUTSIDE-to-SELF irányra. A routerre SSH-ni szeretnél - ez OUTSIDE-to-SELF. Óraszinkron, DDNS, DNS: biztos hogy ez OUTSIDE-to-SELF -el a legegyszerűbb? Mi lenne, ha SELF-to-OUTSIDE-ra csinálnád inspect-el? Akkor nem kell szívni a visszaengedéssel és a session-t még ellenőrzi is a router. Az SSH-t meg a DHCP-t a WAN-on egy in és egy out ACL-el eleve engedném (SSH-t kintről a megbízható source-ból, bentről mindenhova, DHCP az IP szerzés és def.route miatt kell kifelé/befelé). Persze megcsinálhatod úgy is hogy amit tutira engednél azt a SELF-to-OUTSIDE és OUTSIDE-to-SELF irányban is pass-ra teszed. Minden más meg vagy drop, vagy drop log, vagy amit szeretnél, akár oda-vissza inspect-elheted, akkor kifelé/befelé is mehet mindenféle forgalom ( :
"És akkor a fentiek tudatában szeretne az ember VPN-t konfigurálni": igen, így kell, ahogy leírod.. de miért érintené az OUTSIDE-to-VOIP zónát? Hiszen le is írod, hogy OUTSIDE-ból jön a public IP-s IPSec forgalmad és a router terminálja az IPSec-et - tehát OUTSIDE-to-SELF-et érinti valamint a SELF-to-OUTSIDE-ot. Azért mindkettőt, mert az IPSec itt most UDP és ESP, amit nem fog tudni inspect-elni a router, pass kell, oda-vissza. Ez az IPSec műkédésére kell - vagy ugye order-of-operation alapján engedheted ACL-el is az IPSec végponti forgalmat kifele/befele.. Aztán meglesz a NAT ha kell.. Aztán a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP-ban leírsz mindent, ami a telefonok közt meg a SIP szolgáltatóhoz kell, oda/vissza, pass-al vagy inspect-el, ahogy jónak látod.
Ha valami nem tiszta írj, tisztázzuk ( : Csak már én is fáradt vagyok..
Ja igen: IOS függő, de ~15.1 alatt intra-zone interface-ek közti forgalom implicit engedélyezve van (same security level principle..) ám felette explicit módon csinálni kell intra-zone policy-t, ami egyébként ugyan elsőre hülyeség, de ha belegondolsz ez egy plusz védelmi szint is lehet ha kihasználod: mondhatod, hogy INSIDE-to-INSIDE és match+pass mindenre, mint eddig.. de ha mondjuk azt mondod, hogy INSIDE-to-INSIDE match mindenre és inspect.. akkor az azonos zónákban levő interface-ek közti session-öket a router ellenőrzheti is! Vagy csinálhatsz policy-ket, class-okat és ACL-eket, hogy ugyan ZBF szempontból egy zónába eső hálózatok közt is meg tudj valósítani szűrést a routeren keresztül - ami viszont tök jó kis komplex megoldásokat eredményezhet ha okosan használod.
(B#&zkidehusszúlett'..)
-
crok
Topikgazda
válasz
zsolti.22 #8815 üzenetére
Nos, ha TCP 80-on szeretnéd elérni a 192.168.20.2-t 192.168.50.2-ről akkor félig-meddig jó, nem tom' nem-e redirect-el HTTPS-re. Plusz ez csak az egyik oldal, így VPN-t troubleshootolni meglehetősen nehéz.
De pl. ehhez nem látok policy-map-et:
zone-pair security VOIP-to-OUTSIDE source VOIP destination OUTSIDE
service-policy type inspect VOIP_TO_OUTSIDE << ilyen policy-map-et nem látokA jövőbeni bővíthetőségre való tekintettel én nem használnék "class-map type inspect match-all"-t hanem match-any-t, hogy utánna hozzáadni egyszerűbb legyen.
Ezek itt lent önmagukban még jók lennének, de vissza nem engedi a forgalmat a ZBF, nem elég a pass mert UDP és "titkos" az IPSec - az IOS sajnos minden PR fogása ellenére se tud inspect-elni ilyen forgalmat és a pass csak egy irányt enged, nincs meg az inspect által adott visszatérő forgalmat engedő ACE:
policy-map type inspect OUTSIDE_TO_VOIP_EXCLUSIONS
class type inspect OUTSIDE_TO_VOIP_EXCLUSIONS_CLASS
pass log
class class-default
drop log
policy-map type inspect OUTSIDE_TO_SELF
class type inspect OUTSIDE_TO_SELF_EXCLUSIONS_CLASS
pass
class class-default
drop logDrop log van a végén - szóval nézz logot, hogy mit dob ha dob egyáltalán (állíts buffert rendesen) de szerintem kéne egy SELF_TO_OUTSIDE amiben engeded az IPSec UDP-t, ESP-t visszafelé.
Aztán ha minden kötél szakad akkor az IOS Order-of-operation miatt én feltennék egy ACL-t az OUTSIDE interface-re amiben a forgalmadat (TCP 80 src 192.168.50.2 dst 192.168.20.2) direktben engedném hogy lássam hogy a VPN vagy a ZBF a hiba.
Ezek után csinálnék Wireshark-ot (mindkét oldalon) ha nem megy - hogy mi merre megy, mi érkezik meg és mi nem.
-
Gesztiboy
tag
-
FecoGee
Topikgazda
válasz
zsolti.22 #8749 üzenetére
Néztem ezt a CCAr (Architect) vizsgát kíváncsiságból. Vizsgadíj: 15.000 USD.
Mivel interjúztatás van, állítólag ennyi a költsége annyi embert leültetni vizsgáztatni. Biztos nem olcsó, de CCAr-nél az újításhoz az kell hogy részt vegyél az interjúztatásban. Másik oldalon meg 15e USD. Kemény...Ja, a világon összesen 10 CCAr van.
The total cost of the CCAr Board Exam is US $15,000 and is paid in two parts. An initial fee of US$3,750 is paid to review the candidate’s qualifications and conduct the initial interview. Once approved, candidates submit a final fee of US$11,250.00 to receive the architecture challenge documentation and schedule a live Board Review.
-
RogerP
csendes tag
válasz
zsolti.22 #8749 üzenetére
Szerintem ez cégtől független. Ahol dolgozom a saját termékeinkre is (ipari szabályozástechnika, erre épülő egyéb szolgáltatások) van TAC (méghozzá több, minden termékre egy).
Lassúak, értetlenek, próbálják kihozni az egészből hogy "Not supported - can I close the ticket?". Jah és ki van szervezve Indiába, hogy még nehezebb legyen velük kommunikálni. -
FecoGee
Topikgazda
válasz
zsolti.22 #8702 üzenetére
Koszonom szepen az eszrevetelt!
A domain nevnek igen, beallitva kell lennie, nalam ez valoban nem jott ki, mert v2-rol allitottam at v3-ra a switcheket.
En ugy tudtam, minden switch alapbol server (lasd default folia) de most megneztem a N7K guide-t es ott pl. transparent. Szoval igen, ez valszeg platform fuggo. 3560-asnal tuti server, a v4 labra meg azzal keszultem. IOS 15-nel is server az alapertelmezett 3560-on. A half duplex valoszinuleg a gns3 miatt van, de itt nincs szerepe.
A VTP off elvileg v3 feature. Lasd http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3560/software/release/12-2_55_se/configuration/guide/3560_scg/swvtp.html#wp1316856. Ott irja az utolso bekezdesben. Sose probaltam meg v2-nel, szoval valoszinuleg igazad van, koszonom a javitast! Majd ha eszemben lesz kiprobalom valos eszkozon is. -
quby
őstag
válasz
zsolti.22 #8684 üzenetére
Most kezdem próbálgatni a Unetlabot. Még csak kicsi topológiakkal próbáltam (ASA-t még nem) de eddig tetszik. Itt is linkelte már valaki de most nem találom. Elvileg tud quemu-t (ilyen az ASA), sima IOS-es image-k meg dynampis-el mennek ugy mint a GNS-ben, és IOU-s image-ket is támogat, bár ez reésze nekem homályos mert IOU-t sem használtam még. Tetszik hogy simán web-ről konfigolható, igy ha haza vpn-ezek akár egy tableten is tudom egyszerüen b@sztatni a sok eszközös topo-t.
Ha lesz időm jobban tesztelni irok róla.
-
tusi_
addikt
válasz
zsolti.22 #8684 üzenetére
Nem csinaltam ilyen tuningokat, egszereun torlom a regit es ujat csinalok.
5505-t tudsz venni 60k körül, szvsz felesleges. A nagyjat - ha nem hasal el a gns3 - akkor itt is lehet gyakroloni, az igazi meg ugyis elesben megy majd.
En lenyomtam a konyvet, most jon majd a chapterenkenti labor. Bar a ccp-hez nem fulik a fogam
Meg szabi elott lenyomom a CCNA Secut, aztan johet a CCNP Secu.. -
tusi_
addikt
válasz
zsolti.22 #8659 üzenetére
Ilyen nekem is van rendszeresen. Sehogy nem javithato, sajnos uj topologia
En most az ASDM-el szivok. Loopbackrol pingelheto a mgmt interfesz, tudtam tftp-vel a disk0-ra masolni, de nem tudok asdm-ezni.
http engedelyezve a mgmt interfeszre es az ip-m is.
10 probaltam kapcsolodni, egyszer hagyta installalni magat az asdm, de nem akar kapcsolodni. Ha torlom es uj toplogiat csinalok, akkor meg megy. Ez ilyen fos sajnos, de orulok, hogy egyaltalan van... -
Hedgehanter
őstag
válasz
zsolti.22 #8659 üzenetére
Tudod a R1 rol pingelni a 10.0.0.1-t? Ha nem akor debug ip packet. Gondolom a routing az jo mindenhol.
Az ASA-n nezd meg hogy az access list count megy-e felfel amikor pingelsz hogy egyaltalan eler oda a packet. Ha igen akkor ASDM-ben egy packet trace-t csinalsz az megmutatja merre mizu mi blokkol mi nem vagy a real time monitor.
Meg van egy hely ahol a ping blocckolva lehet az a global ping allow command bar az alabol mindent enged, de az icmp permit any interface megoldja.
Ha GNS3 ben van ez akkor bug..
-
Hedgehanter
őstag
-
crok
Topikgazda
válasz
zsolti.22 #8591 üzenetére
Ha csak ennyi konfig van fent akkor a "line vty ACL előbb kerül vizsgálatra, mint a ZBF service-policy" se állja meg a helyét teljesen mivel nem látok self zónára vonatkozó policy-t. Ha ZBFW-l szeretnéd megoldani az SSH hozzáférést akkor egy OUTSIDE-to-self-et kell csinálnod, az ACL meg a class maradhat. Mókás ez a ZBFW meg a self zóna.. nagyon mókás.. pl. nem áll össze a HSRP ha nem csinálsz egyértelmű engedélyezést self-re ( :
[Szerk.]
Ezt kihagytam:
show policy-map type inspect zone-pair INSIDE-to-OUTSIDE sessions
..a dropnál látod mennyi volt a dobás, azt persze nem, hogy mi (de azt meg syslogba beteszi..) meg persze az aktív session-öket és a half-open-eket is látod.ZBFW 12.4T:
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/12-4t/sec-data-zbf-12-4t-book/sec-zone-pol-fw.html
ZBFW 15M & T:
http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/15-mt/sec-data-zbf-15-mt-book/sec-zone-pol-fw.html -
crok
Topikgazda
válasz
zsolti.22 #8588 üzenetére
Soha nem is fog jól működni.. a Cisco bizotnsági eszközökben a SIP inspection - de még a sima allow is - egyszerűen szarul van implementálva.. ennyi, sajnos nem tudok jobbat mondani róla, ezer és egy hibajegyünk van, volt és lesz amíg a hálózatban használatban van.. suxx.. olyat tudsz hogy felveszed acl-ben amit tényleg engedni akarsz és ugyan úgy allow-ra teszed.. mert a match proto egyszerűen megbízhatatlan SIP-vel kapcsolatban.. De legalább a ZBFW már megy ( :
-
zsolti.22
senior tag
válasz
zsolti.22 #8585 üzenetére
Azt hiszem, hogy a DDNS részét megoldottam, viszont így korán reggel üres hassal alkottam egy ilyet és nem megy a net
class-map type inspect sip match-any SIP_CM
match request method register
match request method update
match request method invite
match request method bye
match request method ack
match request method cancelclass-map type inspect match-any FORGALOM_CM
match protocol http
match protocol smtp
match protocol https
match protocol pop3
match protocol pop3s
match protocol icmp
match protocol ntp
match protocol ftp
match protocol ssh
match protocol dns
match protocol tcp
match protocol udppolicy-map type inspect sip SIP_PM
class type inspect sip SIP_CM
allowpolicy-map type inspect FORGALOM_PM
class type inspect FORGALOM_CM
inspect
class class-default
dropzone security INSIDE
zone security OUTSIDE
zone-pair security INSIDE-to-OUTSIDE source INSIDE destination OUTSIDE
service-policy type inspect FORGALOM_PM
zone-pair security OUTSIDE-to-INSIDE source OUTSIDE destination INSIDE
service-policy type inspect FORGALOM_PMinterface FastEthernet0
zone-member security INSIDE
interface FastEthernet1
zone-member security INSIDE
interface FastEthernet2
zone-member security INSIDE
interface FastEthernet3
zone-member security INSIDE
interface FastEthernet4
zone-member security OUTSIDEKét kérdés: a SIP így már inspektálódik (nincs sehova se service-policyzve és hibát is ír, ha berakom zóna-pár alá)(?), a másik kérdés, hogy mit hagytam ki, hogy nem tudok netezni ezen konfig mögül?
-
quby
őstag
válasz
zsolti.22 #8579 üzenetére
A multkor egy site-to-site VPN-t akartam vele összehozni. Egyik routerre nagynehezen összekatingatom a configot, feltölti....ok boldog vagyok. És itt jön a funkció hogy (asszem mirror) a másik oldalra feltölti ugyanazt csak nyilván az ip-ket (meg amike kell) tükörben. Erre feltölt egy tök mást a másikra, majd azt mondja minden ok...pedig semmi sem volt OK....
CLI-ben konfig csekk...javit...OK...
Fejleszgessék lesz@rom mivel ütik el az idejüket, csak ne tegyék kötelezővé egy olyan vizsgán amiért elkérnek 250$-t. És 1 hónap szenvedés után nem megyek el, mert valójában még soha semmit nem tudtam vele megcsinálni, ugy hogy az működjön....
Nyáron a haverjaim ugy szívattak mint Besenyő Pista bácsi Margitot...csak nem azt kiabálták, hogy savanyucukor, hanem...CCP... -
FecoGee
Topikgazda
válasz
zsolti.22 #8517 üzenetére
Jo kis TAC... Alig varom, hogy ne a first level TAC-kel nyissak majd ticketet (elvileg a CCIE altal nyitott case magasabb szintet es prioritast kap. Aztan lehet ez is csak marketing duma). Amugy a labmeretedtol a fogaid szamaig mindent megkerdeznek, mit ettel reggelire amikor tortent a crash, stb. Aztan megoldjak egy "frissits szoftvert" dumaval. Olyan esetunk amikor ertelmes megoldas lett volna meg nem volt. Ez van.
-
crok
Topikgazda
válasz
zsolti.22 #8499 üzenetére
Az [1] és [2] syslog együtt jár. Egy nagyobb szegmensben adatot próbál valaki küldeni SMTP-n, ami meghaladja a beállított (vagy default) CBAC Inspect OoO (Out-of-Order) csomag queue-t. Azért mondja hogy unsupported, mert az OoO queue-ba nem fért be a teljes szegmens a vizsgálathoz. Az első log egyébként nem jelent dobást, informális jellegű log, ám a második az OoO queue miatt eldobja a szegmens minden csomagját, mert nem sikerült a feldolgozás/ellenőrzés.
Megoldás: növeld meg a queue.t. -
Gesztiboy
tag
válasz
zsolti.22 #8454 üzenetére
Ez is meglett. Nem sok mindent kellett csinálnom.
DHCP server
ip dhcp excluded-address 192.168.2.1 192.168.2.99
ip dhcp excluded-address 192.168.2.151 192.168.2.254ip dhcp pool pool-lan
network 192.168.2.0 255.255.255.0
default-router 192.168.2.1ASA (dhcp nevű interfészen ül a dhcp szerver)
dhcprelay server 10.127.127.1 dhcp
dhcprelay enable insideMajd shut, no shut a kliens interfészén és jött is az üzenet
*Mar 1 00:51:55.695: %DHCP-6-ADDRESS_ASSIGN: Interface FastEthernet0/0 assigned DHCP address 192.168.2.100, mask 255.255.255.0, hostname R1 -
Gesztiboy
tag
válasz
zsolti.22 #8454 üzenetére
Szia!
Lehet valami nem okés, mert nekem mukodik a DHCP szerver fícsör. (Most nézem, Te külön routert akarsz DHCP szerónak. Megnézem azt is és megírom, nekem is megy-e) Nekem inside a belső háló, outside a külső interfész. Még annyit, hogy én 0.8.6-os GNS3-at használok.
Ennyi elég egy alapbeállításhoz. A default gw-t is meg fogja kapni a kliens.
dhcpd enable inside
dhcpd address 192.168.2.100-192.168.2.150 insideÉn a NAT-ot object-group-ra szoktam csinálni
object-group network inside-lan
network-object 192.168.2.0 255.255.255.0
nat (inside,outside) source dynamic inside-lan interfaceA NAT-olás így jó kell, hogy legyen, mert show xlate ad vissza valamit. Túloldalt megnéztem, NAT-olt IP-t mutatja a show users.
ASA-1(config)# show xlate
1 in use, 17 most used
Flags: D - DNS, i - dynamic, r - portmap, s - static, I - identity, T - twice
TCP PAT from inside:192.168.2.100/37002 to outside:41.250.3.9/61196 flags ri idle 0:01:10 timeout 0:00:30Nézzük a pinget.
R1#ping 41.250.3.14Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 41.250.3.14, timeout is 2 seconds:
.....
Success rate is 0 percent (0/5)Miért nem megy a ping? Alaphelyzetben nincs inspect az ICMP csomagokra, ezt külön be kell reszeld.
policy-map global_policy
class inspection_default
inspect icmp
service-policy global_policy interface insideNézzük most.
R1#ping 41.250.3.14Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 41.250.3.14, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 88/107/148 msElőször én is beleszaladtam ezekbe a dolgokba.
-
Cyber_Bird
senior tag
válasz
zsolti.22 #8416 üzenetére
Nem is az, csak en nagyon nem szeretem azt a nyelvet
Tanultam altalanos iskolaban, es 2. osztalyban kaptam egy szornyu tanart, aki ujrakezdte az elsos anyagot, mert jott egy uj diak. Melleg meg aggressziv is volt, es racsapott a kezemre, mert nem arra az anyagra figyeltem, amit mar tudtam es ujra magyarzott az elejetol. Nah itt vegleg meg is utaltam az egeszet es ez azota is tart
</tortenelem>
Új hozzászólás Aktív témák
Hirdetés
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Bomba ár! HP Elitebook 8570W - i7-QM I 16GB I 750GB I 15,6" HD+/FHD I Nvidia I W10 I Garancia
- Bomba ár! HP ProBook 450 G10 - i5-1335U I 16GB I 256SSD I 15,6" FHD I Cam I W11 I Garancia!
- Azonnali A320 B350 X370 B450 X470 A520 B550 X570 chipset alaplap felvásárlás személyes/csomagküldés
- Xiaomi Redmi Note 13 5G 256GB, Kártyafüggetlen, 1 Év Garanciával
- Napi 1000 -ft tól elvihető RÉSZLETFIZETÉS BANKMENTES MSI Cyborg 15 A13VE
Állásajánlatok
Cég: CAMERA-PRO Hungary Kft
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest