Архив рубрики: Сетевые технологии

IPSec на CentOs 7 с помощью LibreSwan

Ниже небольшой гайд по настройке IPSec в двух топологиях с помощью LibreSwan:

  • для сервера с публичным IP на интерфейсе;
  • для сервера c локальным IP и за маршрутизатором с NAT, используя NAT Traversal (NAT-T)


Подготовительный этап одинаков в обоих случаях:

  1. Устанавливаем libreswan:
    yum install libreswan
    
  2. Включаем IP forwarding, а IP redirects отключаем, перезагружаем параметры:
    # Открываем файл
    nano /etc/sysctl.conf
    
    # и добавляем параметры:
    net.ipv4.ip_forward = 1
    net.ipv4.conf.all.accept_redirects = 0
    net.ipv4.conf.all.send_redirects = 0
    
    # Применяем новые параметры
    sysctl -p
    
  3. Разрешаем IPSec траффик в firewalld:
    firewall-cmd --zone=public --add-service=ipsec
    
  4. Добавляем сервис в автозагрузку и запускаем
    systemctl enable ipsec
    systemctl start ipsec
    

Дальнейшая конфигурация отличается от топологии. Оба случая описаны ниже.
Читать далее

0

Проброс портов в Windows

Например, есть тачка с адресом 192.168.0.2 и базой на порту 1433. На эту машину можно попасть только с машины 192.168.0.1, что не всегда удобно.
Но можно сделать проброс, делается следующей командой на 192.168.0.1 в cmd с правами администратора:

netsh interface portproxy add v4tov4 listenport=1433 connectaddress=192.168.0.2 connectport=1433

Таким образом машина 192.168.0.1 будет слушать все запросы на порту 1433 и редиректить запросы в сторону 192.168.0.2 на порт 1433.

Проверить текущие пробросы можно зайдя в netsh, перейдя в раздел interface portproxy и выполнив команду dump или show all, или сразу выполнить команду:

netsh interface portproxy show all

1+

Как настроить свой собственный прокси сервер

Используем 3proxy на CentOS7, т.к. 3proxy позволяет держать одновременно HTTP и SOCKS5 proxy, что важно для работы некоторых мессенджеров.

Данная статья не предоставляет информации как обойти заблокированные по решению суда в РФ ресурсы, например тот же slack.com и прочее что хостится у Amazon — по поводу этих тысяч сайтов судебного решения не было.
Как воспользоваться данным инструментом — личное дело каждого.
От себя добавлю — не нарушайте законы.

1. В первую очередь нужно определиться, что для работы недоступных ресурсов нам нужен сервер не тут. Целесообразно купить себе VPS:

VPS (англ. Virtual Private Server) или VDS (англ. Virtual Dedicated Server) — услуга, в рамках которой пользователю предоставляется так называемый Виртуальный выделенный сервер. В плане управления операционной системой по большей части она соответствует физическому выделенному серверу. Википедия.

Выбирайте VPS на своё усмотрение.
Могу порекомендовать https://www.vpscheap.net/, сервер с 30Gb HDD и 768 RAM на данный момент обойдётся в 20$ в ГОД.
Читать далее

1+

Собираем и анализируем Netflow при помощи nfdump и nfsen на CentOS

Перед настройкой немного теории:

Netflow предоставляет возможность анализа сетевого трафика на уровне сеансов, делая запись о каждой транзакции TCP/IP. Информация не столь подробна, как предоставляемая tcpdump’ом, но представляет довольно подробную статистику.

Netflow имеет три основных компонента:

1. сенсор;
2. коллектор;
3. система обработки и представления данных.

Сенсор — демон, который слушает сеть и фиксирует данные сеанса.

Коллектор — демон, который слушает на UDP порту, указанному вами и осуществляет сбор информации от сенсора. Полученные данные он сбрасывает в файл для дальнейшей обработки. Различные коллекторы сохраняют данные в различных форматах.

Система обработки читает эти файлы и генерирует отчеты в форме, более удобной для человека. Эта система должна быть совместима с форматом данных, предоставляемых коллектором.

В нашем случае сенсор уже имеется в Ciso IOS, в качестве коллектора используем nfdump, а системой обработки будет nfsen.
OS используем Centos 6.9
Читать далее

1+

Не получается зайти в ROMMON Cisco

Столкнулся с проблемой — не мог попасть в ROMMON на Cisco 1841.
Cisco не реагирует на нажатие Ctrl+Break, не помогает и в Putty выбор Special Command -> Break
Вероятнее всего, проблема в том что используется адаптер USB-RS232, а не встроенный порт.

В итоге попасть в ROMMON можно так:

1. В настройках Serial подключения указать

Speed (или Baud) - 1200
Data bits - 8
Stop bits - 1 
Parity - No
Flow control - No

и подключиться

В Putty это выглядит так:

2. Перезагружаем по питанию роутер, и в течении 10-15 секунд часто нажимаем пробел. В консоль при этом может выводиться всякая белиберда или вообще ничего не будет.

3. Возвращаем настройки Serial обратно на дефолтные (в putty по дефолту они такие и есть):

Speed (или Baud) - 9600
Data bits - 8
Stop bits - 1 
Parity - No
Flow control - XONN/XOFF

и подключаемся

После этого откроется пустое окно консоли и роутер будет уже в ROMMON. После нажатия Enter вы увидите заветное

rommon 1 >

Использованы материалы http://sr-maks.livejournal.com/7661.html

0

IPSEC тоннель между Cisco и Mikrotik рвётся, Workaround через Embded Event Manager (EEM)

В этой статье я пытался решить проблему включением RFC и перезапуском тоннеля раз в 5 часов. Этот метод оказался не самым эффективным.

В общем, более эффективным способом я признал перезапуск «повисшего» тоннеля через Ciso Embded Event Manager.

Читать далее

0

RANCID не подключается с ошибкой «no matching cipher found: client 3des-cbc server aes128-ctr,aes192-ctr,aes256-ctr»

После обновления IOS до версии 15.6 Rancid перестал подключатся.

Случилось это потому что, видимо, Cisco по дефолту более не поддерживает 3des при подключении по ssh, а Rancid по умолчанию использует его.

Для решения проблемы нужно в файле .cloginrc (где у вас указаны реквизиты для подключения) добавить:

 add cyphertype * aes128-ctr,aes128-cbc,3des-cbc 

Использованы материалы отсюда — https://layer77.net/2016/12/16/ssh-cipher-updates-in-cisco-asa-9-4312-breaking-rancid/

0

IPSEC тоннель между Cisco ISR и Mikrotik падает [UNRESOLVED]

UPD: Описанный ниже способ по какой-то причине не сработал, тоннели продолжили падать.

Если у кого получится побороть проблему — отпишитесь, пожалуйста =)

Сделал «костыль» — через kron роутера раз в 5 часов удаляется SA.

Читать далее

0

Аутентификация по LDAP на Cisco ISR c проверкой группы пользователя в AD

Появилась потребность авторизовывать пользователей под доменными учетными записями при подключении по Cisco Easy Vpn. Ниже описанный способ должен работать на ISR роутерах Cisco, таких как 1800х, 1900х.

Не буду подробно расписывать настройку самого Easy Vpn, ниже будет только то что касается аутентификации по LDAP.

Читать далее

0

Cisco Vpn Client на Windows 10, 8, 7 и других проблемных системах

1. Забываем про Cisco VPN Client —  99,9%  что он не заработает.

2. Скачиваем Shrew VPN с официального сайта — https://www.shrew.net/download Последняя на момент написания инструкции версия под Windows — https://www.shrew.net/download/vpn/vpn-client-2.2.2-release.exe 
Во время установки выбираем Standart Edition — она бесплатная и подойдёт для наших задач.

После установки настраиваем:
3.1 В VPN Access Manager добавляем соединение кнопкой Add

Читать далее

0