Просмотр сообщений

В этом разделе можно просмотреть все сообщения, сделанные этим пользователем.


Темы - slon

Страницы: [1] 2
1
Networks / [РЕШЕНО] ASA 5506, односторонний VPN
« : 06 марта 2018, 14:44:09 »
Схема:

172.16.100.0/24-(ASA)-IPSEC-(PFSENSE)-192.168.0.0/24
PFSense не мой, по этому заменить его на что то чуть более адекватное - немогу.

На ASA конфиг такой (выдержки):

interface GigabitEthernet1/8.100
 vlan 100
 nameif inside
 security-level 100
 ip address 172.16.100.1 255.255.255.0

interface GigabitEthernet1/7
 nameif outside
 security-level 0


object network LAN
 subnet 172.16.100.0 255.255.255.0
object network MSKIX
 subnet 192.168.0.0 255.255.255.0

access-list ouside_inbound extended permit icmp 192.168.0.0 255.255.255.0 172.16.100.0 255.255.255.0
access-list ouside_inbound extended permit ip 192.168.0.0 255.255.255.0 172.16.100.0 255.255.255.0
access-list vpn1 extended permit ip object LAN object MSKIX
access-list vpn1 extended permit ip object MSKIX object LAN

access-group ouside_inbound in interface outside

nat (inside,outside) source static LAN LAN destination static MSKIX MSKIX no-proxy-arp route-lookup

crypto ipsec ikev1 transform-set pfSense-AES128SHA esp-aes esp-sha-hmac
crypto map outside 10 match address vpn1
crypto map outside 10 set peer x.x.164.3
crypto map outside 10 set ikev1 transform-set pfSense-AES128SHA
crypto map outside 10 set reverse-route
...
crypto map outside interface outside

tunnel-group x.x.164.3 type ipsec-l2l
tunnel-group x.x.164.3 ipsec-attributes
 ikev1 pre-shared-key *****


Обе фазы подымаются, счетчики пакетов совпадают, роут на ASA-е добавляется динамически, packet-tracer показывает ок обе стороны (allow)
Самое интересное: трафик от них мне идет (есть icmp обмен, открывается сессия RDP, видно входящие в TCPDump-е), а вот трафик от меня к ним не идет никак

В чем может быть проблема? чего я не донастроил??


Updated: 06 March 2018, 15:52:15

"противоположная сторона" допилила pfsense, у меня всё правильно настроено.

3
Есть 2 ноды pfsense, на них настроено по 3 интерфейса: WAN, LAN и SYNX

Переверл master ноду в CARP maintenance, загасил, перевез на другой хост - все ок
Включаю, проверяю сеть (банально icmp запрос на каждый из  WAN, LAN и SYNX адресов другой ноды) - все ок
выключаю CARP maintenance и начинается писец:
на ноде - вижу наполнение arp таблицы, вижу перехватывание роли в логах, вроде все ок
но на хосте за LAN - нет интернетов, не отвечает CARP адрес этого поделия, чистка arp-а не помогает, LAN адреса обоих нод пингуются
доступ к LAN снаружи (NAT) тоже прекращает работать

Система - blackbox и как дальше диагностировать я не понимаю
Если кто подскажет - буду рад
 

4
Локально выключение работает, уделенно getstate работает, а вот удаленное выключение выдает вот такое
ssh root@10.0.0.102 "/usr/bin/vim-cmd vmsvc/power.shutdown 20"
Password:
(vmodl.fault.SystemError) {
   faultCause = (vmodl.MethodFault) null,
   faultMessage = <unset>,
   reason = "Invalid fault"
   msg = "Received SOAP response fault from [<cs p:033e07b8, TCP:localhost:80>]: shutdownGuest
vim.fault.GenericVmConfigFault"
}

Чего не хватает??


Updated: 01 August 2017, 14:42:41

соврал, локально - то же не работает.


Updated: 01 August 2017, 14:50:41

В общем лох - это судьба, службы на подопытном не стартанули и н shutdown не выполнялся, только power.off.

5
собственно сабж.

а то в крайний раз вроде ничего не собирали. или все тихо рассосались по углам.

7
Приветсвую. Очень очень нужен человек. в  Город: Москва (почти).

Что у нас есть:
-Стандартная виндовая инфраструктура AD,DNS, файловый сервер
-SQL для 1С-ников
-Exchange
-Активное сетевое оборудование (коммутаторы Huawey и Cisco, Juniper SRX)
-Астериск
-Hyper-V и ESX

Что нужно от человека
-иметь опыт или хотябы представление о том, как управлять всем выше перечисленным хозяйством, в части активного сетевого оборудования - достаточен опыт работы с Cisco, кмк.

Что нужно будет делать
-собственно управлять выше перечисленным хозяйством
-возглавить переход с Skype For Business на Астериск
-возглавить переход с Hyper-V на ESX или привести Hyper-V в человеческий вид
-решать возникающие проблемы
-иногда (иногда) подменять первую линию

Что предлагается в замен
-свеже отремонтированный офис на 20ом км новорижского шоссе
-корп транспорт от ст.м. Строгино (своим ходом - минут 40 от щукинской)
-питание за счёт конторы
-80-100т.р.

резюме в виде файлика или ссылки на HH - шлите в приват или прямо в топик, вопросы по делу - в топик,
ЗП лично я (лично я) не управляю, предложить больше не могу. Возможно (возможно) есть смысл после испытательного срока поговорить с кем либо.


9
Привет всем.
Есть аппарат snom300 (сейчас закупают другие, но выкинуть эти аппараты пока не можем)

Получает, через autoprosisioning, файл general в котором есть следующие строки:
<timezone perm="">RUS+3</timezone>

на самом телефоне в таймзоне то же написано Russia(moscow+3)
Но время на телефоне всёравно GMT+0

Более того. Если через интерфейс или чезез web-интерфейс телефона или даже в general.xml поменять таймзону - телепон настройку игнорит и всё равно показывает GMT+0
Пробовал прошивки 7.7, 8.4 и 8.7 (точные версии - не вспомню)

Чего делать?


Updated: 02 February 2017, 14:33:04

Update
ntp сервер естесственно в настройках есть, и время с него ntpdate -q читает.
в качестве ntp сервера пробовал указывать внешние, циску и сам pbx.


Updated: 02 February 2017, 14:38:31

update2 utc_offset конечно спасает, но хотелось бы как то правильнее.

11
Networks / Juniper SRX, IPSEC, падает.
« : 31 октября 2016, 19:32:37 »
Есть SRX


Спойлер для скрыто:
root@j240-1# show
## Last changed: 2016-10-31 15:44:09 UTC
version 12.1X46-D40.2;
system {
    host-name j240-1;
    root-authentication {
        encrypted-password "$1$vbgtIA4H$8z3x1v2jXh2OaZmDAKP1s/"; ## SECRET-DATA
    }
    name-server {
        208.67.222.222;
        208.67.220.220;
    }
    login {
        user admin {
            uid 2000;
            class super-user;
            authentication {
                encrypted-password "$1$4V/Tj70v$OgFPqLJjyFJpuU572za5h0"; ## SECRET-DATA
            }
        }
    }
    services {
        ssh;
        telnet;
        xnm-clear-text;
        web-management {
            https {
                system-generated-certificate;
                interface vlan.10;
            }
        }
    }
    syslog {
        archive size 100k files 3;
        user * {
            any emergency;
        }
        file messages {
            any critical;
            authorization info;
        }
        file interactive-commands {
            interactive-commands error;
        }
        file traffic-log {
            any any;
            match RT_FLOW_SESSION;
        }
    }
    max-configurations-on-flash 5;
    max-configuration-rollbacks 5;
    license {
        autoupdate {
            url https://ae1.juniper.net/junos/key_retrieval;
        }
    }
}
interfaces {
    traceoptions {
        file interface.log size 100k world-readable;
    }
    ge-0/0/0 {
        speed 1g;
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-10;
                }
            }
        }
    }                                   
    ip-0/0/0 {
        unit 1 {
            tunnel {
                source 10.0.0.1;
                destination 10.0.0.2;
            }
            family inet {
                address 10.1.0.1/30;
            }
        }
    }
    ge-0/0/1 {
        speed 1g;
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-100;
                }
            }
        }
    }
    ge-0/0/2 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/3 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/4 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/5 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/6 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/7 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/8 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/9 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/10 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-200;
                }
            }
        }                               
    }
    ge-0/0/11 {
        unit 0 {
            family ethernet-switching {
                vlan {
                    members vlan-200;
                }
            }
        }
    }
    ge-0/0/12 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/13 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/14 {
        unit 0 {
            family ethernet-switching;
        }
    }
    ge-0/0/15 {
        unit 0 {
            family inet {
                address 10.2.0.249/30;
            }
        }
    }
    lo0 {
        unit 1 {
            family inet {
                address 10.0.0.1/32;
            }
        }
    }
    st0 {
        unit 0 {
            family inet;
        }
    }
    vlan {
        unit 10 {
            family inet {
                address 192.168.77.1/24;
            }
        }
        unit 100 {
            family inet {
                address X.X.X.30/28;
            }
        }
        unit 200 {
            family inet {
                address 10.10.0.1/24;
            }
        }
    }
}
forwarding-options {
    port-mirroring {
        input {
            rate 1;
            run-length 20;
        }
        family inet {                   
            output {
                interface ge-0/0/15.0 {
                    next-hop 192.168.0.254;
                }
            }
        }
    }
}
routing-options {
    static {
        route 0.0.0.0/0 next-hop X.X.X.17;
        route 10.0.0.2/32 next-hop st0.0;
    }
    router-id 10.0.0.1;
}
protocols {
    ospf {
        traceoptions {
            file ospf.log size 100k world-readable;
            flag all;
        }
        area 0.0.0.0 {
            interface ip-0/0/0.1;
        }
        area 10.0.0.1 {
            interface vlan.10;
        }
        area 0.0.0.100 {
            interface ge-0/0/15.0 {
                hello-interval 3;
                dead-interval 9;
                authentication {
                    md5 100 key "$9$dfsoZUDkqPQUjHm5FAt"; ## SECRET-DATA
                }
            }
            peer-interface ge-0/0/15.0 {
                hello-interval 3;
                dead-interval 9;
            }
        }
    }
    stp {
        disable;
    }
}
security {
    ike {
        traceoptions {
            file ike.log size 100k files 2 world-readable;
            flag database;
            flag all;
        }
        proposal ike-prop-mikrotik {
            description mikrotik_gre_ipsec;
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 1800;
        }
        policy ike-policy {
            mode main;
            proposals ike-prop-mikrotik;
            pre-shared-key ascii-text "$9$xnhNwY4aZjk.oa69tu1I7-Vbw2"; ## SECRET-DATA
        }
        gateway ike-gw-ml {
            ike-policy ike-policy;
            address 10.10.0.2;
            dead-peer-detection {       
                always-send;
                interval 10;
                threshold 5;
            }
            no-nat-traversal;
            local-identity inet 10.10.0.1;
            external-interface vlan.200;
        }
    }
    ipsec {
        traceoptions {
            flag all;
        }
        proposal ipsec-proposal {
            protocol esp;
            authentication-algorithm hmac-md5-96;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 1800;
        }
        policy ipsec-policy {
            perfect-forward-secrecy {
                keys group2;
            }
            proposals ipsec-proposal;
        }
        vpn ml {
            bind-interface st0.0;
            ike {
                gateway ike-gw-ml;
                no-anti-replay;
                proxy-identity {
                    local 10.0.0.1/32;
                    remote 10.0.0.2/32;
                    service any;
                }
                ipsec-policy ipsec-policy;
            }
            establish-tunnels immediately;
        }
    }
    address-book {
        global {
            address test 192.168.77.151/32;
            address network77 192.168.77.0/24;
            address ml 172.16.1.0/24;
            address vpn-gate 10.0.0.1/32;
        }
    }
    flow {
        traceoptions {
            file flow.log size 100k files 2 world-readable;
            flag basic-datapath;
        }
    }
    inactive: screen {
        ids-option untrust-screen {
            icmp {
                ping-death;
            }
            ip {
                source-route-option;
                tear-drop;
            }
            tcp {
                syn-flood {
                    alarm-threshold 1024;
                    attack-threshold 200;
                    source-threshold 1024;
                    destination-threshold 2048;
                    timeout 20;
                }
                land;
            }
        }
    }
    nat {
        source {
            pool test {
                address {
                    X.X.X.30/32;
                }
            }
            pool PBX {
                address {
                    X.X.X.21/32;
                }
            }
            rule-set NAT {
                from zone trust;
                to zone untrust;
                rule NAT-PBX {
                    match {
                        source-address 192.168.77.122/32;
                    }
                    then {
                        source-nat {
                            pool {
                                PBX;
                                persistent-nat {
                                    permit target-host;
                                    inactivity-timeout 7200;
                                }
                            }
                        }
                    }
                }
                rule NAT-all {
                    match {
                        source-address 192.168.77.0/24;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
                rule nat-ntp {
                    match {
                        source-address 10.2.0.254/32;
                    }
                    then {
                        source-nat {
                            interface;
                        }
                    }
                }
            }
        }
        static {
            rule-set static {
                from zone untrust;
                rule 1 {
                    match {
                        destination-address X.X.X.30/32;
                        destination-port 10111;
                    }
                    then {
                        static-nat {   
                            prefix {
                                192.168.77.11/32;
                                mapped-port 10101;
                            }
                        }
                    }
                }
                rule 2 {
                    match {
                        destination-address X.X.X.30/32;
                        destination-port 10121;
                    }
                    then {
                        static-nat {
                            prefix {
                                192.168.77.12/32;
                                mapped-port 10101;
                            }
                        }
                    }
                }
                rule 3 {
                    match {
                        destination-address X.X.X.30/32;
                        destination-port 10131;
                    }
                    then {
                        static-nat {
                            prefix {
                                192.168.77.13/32;
                                mapped-port 10101;
                            }
                        }
                    }
                }
                rule 4 {
                    match {
                        destination-address X.X.X.30/32;
                        destination-port 10141;
                    }
                    then {
                        static-nat {
                            prefix {
                                192.168.77.14/32;
                                mapped-port 10141;
                            }
                        }
                    }
                }
                rule 5 {
                    match {
                        destination-address X.X.X.30/32;
                        destination-port 10151;
                    }
                    then {
                        static-nat {
                            prefix {
                                192.168.77.15/32;
                                mapped-port 10101;
                            }
                        }
                    }
                }
               
            }
        }
        proxy-arp {
            interface vlan.100 {
                address {
                    X.X.X.21/32;
                }
            }
        }
    }
    policies {
        traceoptions {
            file policy.log size 100k files 2 world-readable;
            flag all;
        }
        from-zone trust to-zone untrust {
            policy internet-access {
                match {
                    source-address any;
                    destination-address any;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        from-zone untrust to-zone trust {
            policy 123 {
                match {
                    source-address any;
                    destination-address network77;
                    application any;
                    source-identity any;
                }
                then {
                    permit;
                    count;
                }
            }
        }
        from-zone trust to-zone trust {
            policy allowall {
                match {
                    source-address [ network77 ml ];
                    destination-address [ network77 ml ];
                    application any;
                }
                then {
                    permit;
                }                       
            }
        }
        inactive: from-zone trust to-zone vpn {
            policy allow-any {
                match {
                    source-address network77;
                    destination-address ml;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
        inactive: from-zone vpn to-zone trust {
            policy allow-any {
                match {
                    source-address ml;
                    destination-address network77;
                    application any;
                }
                then {
                    permit;
                }
            }
        }
    }
    zones {
        security-zone trust {
            host-inbound-traffic {
                system-services {
                    all;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                vlan.10;
                ge-0/0/15.0;
                lo0.1;
                st0.0 {
                    host-inbound-traffic {
                        system-services {
                            all;
                        }
                        protocols {
                            all;
                        }
                    }
                }
                ip-0/0/0.1;
            }
        }
        security-zone untrust {
            inactive: screen untrust-screen;
            host-inbound-traffic {
                system-services {
                    ike;
                    ping;
                }
                protocols {
                    ospf;
                }
            }
            interfaces {
                vlan.100;
                vlan.200;
            }                           
        }
        inactive: security-zone vpn {
            host-inbound-traffic {
                system-services {
                    any-service;
                }
                protocols {
                    all;
                }
            }
            interfaces {
                st0.0;
                lo0.1;
                vlan.200;
                ip-0/0/0.1;
            }
        }
    }
}
firewall {
    filter port-mirror {
        term 1 {
            then {
                port-mirror;
                accept;
            }
        }
        term 2 {
            then accept;
        }
    }
}

vlans {
    vlan-10 {
        vlan-id 10;                     
        l3-interface vlan.10;
    }
    vlan-100 {
        vlan-id 100;
        l3-interface vlan.100;
    }
    vlan-200 {
        vlan-id 200;
        l3-interface vlan.200;
    }
}

[edit]
root@j240-1#

вот с таким вот конфигом IPSEC
security {
    ike {
        traceoptions {
            file ike.log size 100k files 2 world-readable;
            flag database;
            flag all;
        }
        proposal ike-prop-mikrotik {
            description mikrotik_gre_ipsec;
            authentication-method pre-shared-keys;
            dh-group group2;
            authentication-algorithm sha1;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 1800;
        }
        policy ike-policy {
            mode main;
            proposals ike-prop-mikrotik;
            pre-shared-key ascii-text "$9$xnhNwY4aZjk.oa69tu1I7-Vbw2"; ## SECRET-DATA
        }
        gateway ike-gw-ml {
            ike-policy ike-policy;
            address 10.10.0.2;
            dead-peer-detection {       
                always-send;
                interval 10;
                threshold 5;
            }
            no-nat-traversal;
            local-identity inet 10.10.0.1;
            external-interface vlan.200;
        }
    }
    ipsec {
        traceoptions {
            flag all;
        }
        proposal ipsec-proposal {
            protocol esp;
            authentication-algorithm hmac-md5-96;
            encryption-algorithm aes-128-cbc;
            lifetime-seconds 1800;
        }
        policy ipsec-policy {
            perfect-forward-secrecy {
                keys group2;
            }
            proposals ipsec-proposal;
        }
        vpn ml {
            bind-interface st0.0;
            ike {
                gateway ike-gw-ml;
                no-anti-replay;
                proxy-identity {
                    local 10.0.0.1/32;
                    remote 10.0.0.2/32;
                    service any;
                }
                ipsec-policy ipsec-policy;
            }
            establish-tunnels immediately;
        }
С другой стороны микрот, но это КМК не суть важно. Проблема в том, что если я ставлю source интерфейс в untrust - туннель постоянно рассыпается, в логах вроде ничего внятного.
Как только я ставлю source интерфес в траст - туннель работает стабильно.

Чего я недоразрешил?

13
Networks / juniper SRX, не работает TiemViewer
« : 05 октября 2016, 12:51:03 »
Приветствую. Не получается подключаться по teamviewer-у к машинам, выходящим в интернеты через SRX.

Сессия наружу есть:
root@j240-1>show security flow session destination-port 5938 
Session ID: 270434, Policy name: trust-to-untrust/4, Timeout: 1798, Valid
  In: 192.168.77.151/56747 --> 178.255.152.22/5938;tcp, If: vlan.10, Pkts: 20, Bytes: 6773
  Out: 178.255.152.22/5938 --> X.X.X.X/15947;tcp, If: vlan.100, Pkts: 23, Bytes: 17222

Persistant сессия есть
root@j240-1> show security nat source persistent-nat-table all | match 15947   
192.168.77.151  56747   tcp   X.X.X.X   15947     tcp      test       any-remote-host     -/180      1/30          NAT-all 

настроены только интерфейсы и source-nat
При подключение к клиенту я вижу сообщение "ошибка согласования протоколов"
UDP выключать пробовал, не помогло.


15
Был ли у кого то опыт миграции с с ManageEngine ServiceDesk на какую либо другую тикит систему? Миграция - в смысле с переездом тикитов.
Спасибо.

Страницы: [1] 2