вторник, 13 июня 2017 г.

OpenVPN Server PSK autostart

При загрузке OpenVPN сервер спрашивает  PSK, в случае если частный ключ был создан с защитой ключем. Как избежать вопроса без использования скриптов?

In my openvpn.conf:
...
askpass /etc/openvpn/jdoe.pass   <<< new line here
ca /etc/openvpn/jdoe_ca.crt
cert /etc/openvpn/jdoe.crt
key /etc/openvpn/jdoe.key
...
The file /etc/openvpn/jdoe.pass just contains the password. You can chmod this file to 600. This method save my life... ;-)

вторник, 7 марта 2017 г.

Voice VLAN в ExtremeXOS

У каталистов все просто - voice vlan. У extreme summit сложнее. Ставим vlan с тегом и конфигурим LLDP, чтобы телефон схватил именно тегированный vlan.

enable lldp ports 1-48
configure lldp port 1-48 advertise vendor-specific med capabilities
configure lldp port 1-48 advertise vendor-specific dot1 vlan-name vlan VLAN0022_IPPHONES
configure lldp port 1-48 advertise vendor-specific med power-via-mdi
configure lldp port 1-48 advertise vendor-specific med policy application voice vlan VLAN0022_IPPHONES dscp 46
Configure lldp port 1-48 advertise system-capabilities
Configure lldp port 1-48 advertise vendor-specific dot1 port-protocol-vlan-id vlan VLAN0022_IPPHONES

Смотреть тут - https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-configure-LLDP-for-Extreme-switches-to-recognize-IP-phones и тут - http://www.extremenetworks.ru/blog/ip-telefonyi-i-kommutatoryi-extreme-ispolzuya-lldp/

пятница, 18 ноября 2016 г.

GRE внутри IPSec между Mikrotik и Cisco

Медленно, но верно корпоративный сектор отказывается от маршрутизаторов Cisco в пользу устройств Mikrotik. В данном случае было решено ставить микроты в качестве шлюзов для филиалов.
Изначально вся сеть была построена на Cisco. Центральный маршрутизатор - Cisco 2800 серии, который собирается на себе кучу IPSec туннелей, по какой-то причине сделанных без VTI.
Так вот, лет через 10-15 филиальные цыски начали дохнуть. Ставить вместо них аналогичную железку дорого. Было принято решения закупать микроты RB951G-2HdD. После первой интеграции микрота в эту сеть мне хотелось сделать заметку о том, как подружить по GRE over IPsec (рассуждения на тему что же все таки over что можно почитать тут - http://linkmeup.ru/blog/50.html) микрот и sysko, но как-то не было времени. И вот подвернулась задачка, о которой хочу написать.
Был один узел в сети, у которого белый адрес остался жить на ADSL модеме в силу того, что там использовалось PPPoA, а не PPPoE. Был сделан NAT таким образом, что UDP 500 пролетал на внешний серый адрес роутера филиала. На хабе включен режим NAT-T. Работало это на карте шифрования, пакующей только юникаст трафик с одной сети в другую. В качестве пиров указаны внешние адреса. Упоминания о том, что внешним адресом филиального роутера является серый адрес нигде в конфиге не было.



понедельник, 4 апреля 2016 г.

Проект CCIE за год

Недавно стартовал очень интересны и полезный проект - CCIE за год http://ccie.linkmeup.ru/

Команда экспертов разработала план обучения и лабы. Мне кажется, это будет хорошей поддержкой для обучающихся самостоятельно. Попробую идти по расписанию.