среда, 31 октября 2018 г.

IOS clear VTY session

Just reminder

Step 1:
Issue a 'show user' command to find out which connection is being used, and
take note of the address in the Location column.
   -------------------
   kriek#sh user
      Line     User      Host(s)                  Idle Location
   *  0 con 0             idle                 00:00:00
     66 vty 0             idle                 00:00:14 10.200.40.92
     -------------------
Step 2:
Issue 'show tcp brief' and look for the IP address you recorded in step 1,
in the Foreign location column. Take note of the first entry on that line, the TCB
value.
  -------------------
   kriek#sh tcp brief
   TCB             Local Address              Foreign Address
(state)   
   808E9EB4  10.200.40.37.23         10.200.40.92.11005     ESTAB
     -------------------
Step 3:
Using the TCB number recorded in Step 2, issue 'clear tcp tcb ###' where ###
is the TCB number.
      -------------------
      kriek#clear tcp tcb 808E9EB4
      -------------------

среда, 31 января 2018 г.

FortiGate troubleshoot packet tracer

Искал на фотигейте что-то типа асашного packet tracer. Вот оно:


2
3
4
5
6
7
8
diagnose debug reset
diagnose debug flow filter ?
diagnose debug flow filter saddr 172.16.27.148
diagnose debug flow filter daddr 8.8.8.8
diagnose debug flow show console enable
diagnose debug enable
diagnose debug flow trace start 10  #display 10 packets
diagnose debug disable

Отсюда - https://serverfault.com/questions/372377/fortinet-is-there-any-equivalent-of-the-asas-packet-tracer-command

вторник, 13 июня 2017 г.

OpenVPN Server PSK autostart

При загрузке OpenVPN сервер спрашивает  PSK, в случае если частный ключ был создан с защитой ключем. Как избежать вопроса без использования скриптов?

In my openvpn.conf:
...
askpass /etc/openvpn/jdoe.pass   <<< new line here
ca /etc/openvpn/jdoe_ca.crt
cert /etc/openvpn/jdoe.crt
key /etc/openvpn/jdoe.key
...
The file /etc/openvpn/jdoe.pass just contains the password. You can chmod this file to 600. This method save my life... ;-)

вторник, 7 марта 2017 г.

Voice VLAN в ExtremeXOS

У каталистов все просто - voice vlan. У extreme summit сложнее. Ставим vlan с тегом и конфигурим LLDP, чтобы телефон схватил именно тегированный vlan.

enable lldp ports 1-48
configure lldp port 1-48 advertise vendor-specific med capabilities
configure lldp port 1-48 advertise vendor-specific dot1 vlan-name vlan VLAN0022_IPPHONES
configure lldp port 1-48 advertise vendor-specific med power-via-mdi
configure lldp port 1-48 advertise vendor-specific med policy application voice vlan VLAN0022_IPPHONES dscp 46
Configure lldp port 1-48 advertise system-capabilities
Configure lldp port 1-48 advertise vendor-specific dot1 port-protocol-vlan-id vlan VLAN0022_IPPHONES

Смотреть тут - https://gtacknowledge.extremenetworks.com/articles/How_To/How-to-configure-LLDP-for-Extreme-switches-to-recognize-IP-phones и тут - http://www.extremenetworks.ru/blog/ip-telefonyi-i-kommutatoryi-extreme-ispolzuya-lldp/

пятница, 18 ноября 2016 г.

GRE внутри IPSec между Mikrotik и Cisco

Медленно, но верно корпоративный сектор отказывается от маршрутизаторов Cisco в пользу устройств Mikrotik. В данном случае было решено ставить микроты в качестве шлюзов для филиалов.
Изначально вся сеть была построена на Cisco. Центральный маршрутизатор - Cisco 2800 серии, который собирается на себе кучу IPSec туннелей, по какой-то причине сделанных без VTI.
Так вот, лет через 10-15 филиальные цыски начали дохнуть. Ставить вместо них аналогичную железку дорого. Было принято решения закупать микроты RB951G-2HdD. После первой интеграции микрота в эту сеть мне хотелось сделать заметку о том, как подружить по GRE over IPsec (рассуждения на тему что же все таки over что можно почитать тут - http://linkmeup.ru/blog/50.html) микрот и sysko, но как-то не было времени. И вот подвернулась задачка, о которой хочу написать.
Был один узел в сети, у которого белый адрес остался жить на ADSL модеме в силу того, что там использовалось PPPoA, а не PPPoE. Был сделан NAT таким образом, что UDP 500 пролетал на внешний серый адрес роутера филиала. На хабе включен режим NAT-T. Работало это на карте шифрования, пакующей только юникаст трафик с одной сети в другую. В качестве пиров указаны внешние адреса. Упоминания о том, что внешним адресом филиального роутера является серый адрес нигде в конфиге не было.