понедельник, 28 декабря 2009 г.

Cisco, 2 ISP (Провайдера) мои 5 копеек и парочка граблей

В сети много раз описывались варианты настройки маршрутизаторов Cisco для работы с двумя каналами (2 Провайдера - один основной + запасной), встречались даже реализации с использование VRF'ов! Здесь я постараюсь описать оптимальный, на мой взгляд, конфиг и встреченные в процессе настройки грабли (с решениями). Итак базовая настройка рутера 2851 со свичевым модулем.
Так как модуль - L2, то интерфейсы к провайдерам  реализуются через SVI.
interface GigabitEthernet0/0
 description Внутренняя Сеть
 ip address 172.20.1.1 255.255.0.0 secondary
 ip address 172.20.1.2 255.255.0.0
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip nat inside
 ip virtual-reassembly
 duplex auto
 speed auto
 no mop enabled
interface Vlan12
 description To_ISP1
 ip address ***1
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip dns view-group ISP1
 ip nat outside
 ip virtual-reassembly
 interface Vlan13
 description To_ISP2
 ip address ***2
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip dns view-group ISP2
 ip nat outside
 ip virtual-reassembly
# Вяжем SVI с физикой
interface FastEthernet0/0/0
 switchport access vlan 11
 spanning-tree portfast
interface FastEthernet0/0/1
 switchport access vlan 12
 spanning-tree portfast
# добавляем список доступа для NAT
ip access-list extended NAT
 permit ip 172.20.0.0 0.0.255.255 any
# теперь нужно "занатить" внутреннюю сеть на двух провов, это сделаем через route-map'ы
route-map DMZ-ISP2 permit 10
 match ip address DMZ-ISP2
 set ip next-hop verify-availability *** 1 track 2
route-map DMZ-ISP2 permit 20
 match ip address DMZ-ISP1
 set ip next-hop verify-availability *** 1 track 1
ip nat inside source route-map ISP1 interface Vlan12 overload
ip nat inside source route-map ISP2 interface Vlan13 overload
# отдельно нужно описать треки (отслеживание состояния какого либо параметра - в нашем случае трек опирается на доступность определенных сетевых сервисов через механизм sla)
ip sla 20
 icmp-echo 93.158.134.8 source-interface Vlan12
 timeout 2000
 frequency 3
ip sla schedule 20 life forever start-time now
ip sla 30
 icmp-echo 217.69.128.42 source-interface Vlan12
 timeout 2000
 frequency 3
ip sla schedule 30 life forever start-time now
ip sla 40
 icmp-echo 194.87.0.50 source-interface Vlan12
 timeout 2000
 frequency 3
ip sla schedule 40 life forever start-time now
ip sla 120
 icmp-echo 93.158.134.8 source-interface Vlan13
 timeout 2000
 frequency 3
ip sla schedule 20 life forever start-time now
ip sla 130
 icmp-echo 217.69.128.42 source-interface Vlan13
 timeout 2000
 frequency 3
ip sla schedule 30 life forever start-time now
ip sla 140
 icmp-echo 194.87.0.50 source-interface Vlan13
 timeout 2000
 frequency 3
ip sla schedule 40 life forever start-time now
# в качестве критерия доступности выступают ответы на пинги от крупных сетевых сервисов (Яндекс, Мейл.ру и пр.)
track 20 ip sla 20
track 30 ip sla 30
track 40 ip sla 40
track 120 ip sla 120
track 130 ip sla 130
track 140 ip sla 140
track 2 list boolean or
 object 120
 object 130
 object 140
track 1 list boolean or
 object 20
 object 30
 object 40
# Группируем треки для карт маршрутизации, так что они считаются доступными, если хоть один из пингуемых сервисов  "жив" (логическое "или").
ip route 0.0.0.0 0.0.0.0 *** track 1
ip route 0.0.0.0 0.0.0.0 *** 2 track 2
# также вешаем треки на дефолтные маршруты (маршрут ко второму провайдеру имеет AD 2)
Полученная в результате конфигурация может считаться работоспособной, но есть два вопроса:
1. при переключении каналов уже установленные сессии находятся в таблице NAT трансляций, их нужно оперативно убрать.
2. на втором канале могут возникнуть сложности с разрешением имен.
Для решения первого вопроса добавляем механизм реакции на события (event manager):
event manager applet CHANGE_ISP
 event track 1 state any
 action 1.0 cli command "enable"
 action 2.0 cli command "clear ip nat trans forced"
# при переходе трека 1 из состояния Up -> Down или обратно принудительно выполняется очистка таблицы трансляций.
Для второй проблемы настраиваем DNS фичу - DNS View:
ip dns view ISP1-OBIT
 domain name-server  ***
 domain name-server  ***
ip dns view ISP2-PTRST
 domain name-server  ***
 domain name-server  ***
ip dns view-list ISP2
 view ISP2-PTRST 1
ip dns view-list ISP1
 view ISP1-OBIT 1
ip dns server
# Далее эти вьюсы навешиваются на SVI внешних каналов (см. настройки Vlan 12 / 13).
Звездочками *** обозначены различные внешние адреса (выданные провами, гейтвеи и ДНСы).

UPD: В последних версиях IOS были внесены некоторые изменения в синтаксисе команд трекинга и убраны некоторые шаблоны отслеживания track'ов. В новой интерпретации получится примерно такое:
изменения в ip sla
ip sla monitor 20
type echo protocol ipIcmpEcho 8.8.8.8 source-interface FastEthernet0/0
frequency 5
ip sla monitor schedule 20 life forever start-time now
ip sla monitor 30
type echo protocol ipIcmpEcho 4.2.2.2 source-interface FastEthernet0/0
frequency 5
ip sla monitor schedule 30 life forever start-time now
ip sla monitor 40
type echo protocol ipIcmpEcho 62.76.76.62 source-interface FastEthernet0/0
frequency 5
ip sla monitor schedule 40 life forever start-time now
ip sla monitor 120
type echo protocol ipIcmpEcho 8.8.8.8 source-interface FastEthernet0/1
frequency 5
ip sla monitor schedule 120 life forever start-time now
ip sla monitor 130
type echo protocol ipIcmpEcho 4.2.2.2 source-interface FastEthernet0/1
frequency 5
ip sla monitor schedule 130 life forever start-time now
ip sla monitor 140
type echo protocol ipIcmpEcho 62.76.76.62 source-interface FastEthernet0/1
frequency 5
ip sla monitor schedule 140 life forever start-time now
!
track 1 list boolean or
object 20
object 30
object 40
!
track 2 list boolean or
object 120
object 130
object 140
!
track 20 rtr 20 reachability
!
track 30 rtr 30 reachability
!
track 40 rtr 40 reachability
!
track 120 rtr 120 reachability
!
track 130 rtr 130 reachability
!
track 140 rtr 140 reachability

Реакция при наступлении события будет на основании записи в логе:
event manager applet CLEAR_NAT
event syslog pattern "%TRACKING-5-STATE: 1 list boolean or"
action 1.0 cli command "enable"
action 2.0 cli command "clear ip nat trans forced"


четверг, 24 декабря 2009 г.

Аутентификация пользователей Cisco VPN client через MS IAS в AD.

На cisco.com достаточно много материалов для связки VPN client - ACS - AD, но дорогостоящий ACS частично может быть заменен MS IAS. Основная сложность заключается в расширенном методе аутентификации (x-auth), когда сначала аутентифицируется группа, потом она же авторизуется и только после этого проверяются расширенные параметры (логин / пароль из группы). Для наших целей подойдет схема с использованием динамической криптокарты.
Базовую настройку не рассматриваем.
Настройка isakmp / ipsec:
crypto isakmp policy 10
 encr 3des
 hash md5
 authentication pre-share
 group 2
crypto isakmp client configuration address-pool local VPNpool
# пул адресов можно и не определять (они будут выдаваться из профиля пользователя AD после аутентификации)
crypto isakmp client configuration group VPNclients
 key ***
 dns 192.168.221.212 192.168.221.105
 domain fax.test
 firewall are-u-there
 include-local-lan
 netmask 255.255.255.0
crypto isakmp profile Remote-VPN
   match identity group VPNclients
# определяем группу - она авторизуется локально
crypto ipsec transform-set For_VPNclients esp-3des esp-md5-hmac
crypto dynamic-map DYN-KARTA 10
 set transform-set For_VPNclients
 set isakmp-profile Remote-VPN
 reverse-route
# настраиваем параметры ipsec и динамическую карту
Теперь определим, как будет аутентифицироваться каждое подключение:
aaa authentication login IAS-AUTH group radius
aaa authorization network LOCAL-AUTHOR local
Свяжем эти параметры с криптокартой:
crypto map VPN client authentication list IAS-AUTH
crypto map VPN isakmp authorization list LOCAL-AUTHOR
crypto map VPN client configuration address respond
crypto map VPN 10 ipsec-isakmp dynamic DYN-KARTA
Для маршрутизации настроим интерфейс и пул адресов:
interface Loopback0
 ip address 172.30.1.254 255.255.255.0
ip local pool VPNpool 172.30.1.2 172.30.1.253
ip route 172.30.1.0 255.255.255.0 Loopback0
# пул и маршрут по-идее не обязательны, но с ними точно работает...
Настроим соединение к IAS'у:
radius-server configure-nas
radius-server host 192.168.221.212 auth-port 1645 acct-port 1646 timeout 20 key 7 ***
Исключим ответы внутренней сети подключившимся клиентам из NAT:
ip access-list extended NAT
  deny   ip 192.168.221.0 0.0.0.255 172.30.1.0 0.0.0.255
  permit ip 192.168.221.0 0.0.0.255 any
Осталось прикрутить карту к интерфейсу:
interface FastEthernet0/1
crypto map VPN
Циска теперь готова к подключению клиентов, а нам нужно настроить IAS и доменые записи.
Для теста был настроен MS Windows Server 2003 Std SP2, несущий функции PDC + DNS + IAS с адресом 192.168.221.212.
Для целей назначения адресов из профиля пользователя повышаем режим работы домена до native 2003, тогда у нас появляются активные поля во вкладке Dial-in профилей доменных пользователей. Создаем группу, которой будет разрешен доступ (например, VPN-clients), включаем нужных пользователей в эту группу, задаем им адреса и указываем, что доступ контролируется политикой.
В IAS настраиваем такую политику:
атрибут Windows Group = VPN-clients
политика "Grant" (Разрешить удаленный доступ)
в профиле изменяем следующие вкладки:
Authentication (оставляем только PAP, SPAP)
Advanced убираем значения по-умолчанию, добавляем свои: Service-Type (6) = Login
Vendor Specific (26) = Cisco (Confirms) = attribute number = 1 (String = shell:priv-lvl=0)
Применяем все изменения.
Подключаем нашу Циску к IAS'у в качестве клиента (Client-Vendor = RADIUS Standart с ключем)
Теперь подключаемся VPN клиентом извне - заранее в поле группы вводим VPNclients / *** (пароль на группу), должно появиться приглашение на вводи имени пользователя и пароля. Далее успешная аутентификация.
P.S. Благодарю ребят с blindhog.net и Аллу Булавину (Cisco TAC) за помощь.

четверг, 17 декабря 2009 г.

Базовая настройка беспроводного контроллера

Контроллер на 2811 циске:
- настраиваем адрес интерфейса: interface wlan-controller 1/0
         ip address ... (подсеть должна выбираться из расчета, что еще три адреса будут использоваться в процессе настройки "внутри" контроллера)
- сбрасываем конфигурацию (на всякий случай): service-module wlan-controller 1/0 reset
- завершаем возможные сессии: service-module wlan-controller 1/0 session clear
- начинаем новую: service-module wlan-controller 1/0 session
- в поле User вводим recover-config
- в мастере настроек задаем адреса (виртуальный адрес лучше оставить 1.1.1.1) из подсети интерфейса
- после отработки мастера активируем tftp сервер:
transfer upload serverip ... (здесь адрес management)
transfer upload datatype config
transfer upload filename config-running.bin
transfer upload start

Другие настройки можно делать через веб интерфейс, зайдя по менеджмент адресу.

Для точек нужно настроить способы обнаружения менеджмент интерфейса контролера (ip адрес):
- создать DNS запись ip host CISCO-LWAPP-CONTROLLER ... (management ip)
- передать по DHCP option 43 (рекомендуется комбинировать с option 60):
ip dhcp pool WLCM
 option 60 "Cisco AP c1200"
  option 43 hex fa04c0a87503
эти опции связаны с типом точек, так в опции 43 первые 4 символа (2 байта) - это тип точки 1242 (берется из таблицы), а остальные символы (4 байта) - адрес (в примере 192.168.117.3)

среда, 16 декабря 2009 г.

Включить ssh на VMWare ESXi

После локального входа на интерфейс управления:
нажать Alt + F1
перейти в режим техсаппорта: unsupported (печатать вслепую)
ввести пароль root (его заранее установить штатными средствами)
отредактировать /etc/initd.cong (снять комментарий с раздела #ssh - убрать шарп)
редактировать придется в vi
после сохранения - перезапустить сервис: /sbin/services.sh restart

Update: актуально для версии ESXi 3.0-3.5, в 4.0> (Sphere) убрано.

Минимальная настройка и апгрейды Cisco NAC Guest.

Собственно, сама установка полностью автоматизирована и говорить об этом процессе излишне. По умолчанию устанавливается пароль для root - cisco. После входа настоятельно ректмендуется его сменить: passwd root
Настройки сети выставляются через скрипт: system-config-network
После изменения сетевых параметров потребуется перезагрузиться, после чего заходим на веб интерфейс: https://ip_server/admin (ip_server - адрес, установленный в syste-config-network).
При первом входе потребуется загрузить лицензию (при покупке аплайнса лицензия привязывается к мас адресу сетевого интерфейса, для тестов можно запросить месячную лицензию - ссылка на форму запроса есть на странице ввода).
Доступ на веб интерфейс (логин / пароль) admin / admin

Апгрейд с версии 1.0  до 1.1.3 - последней в первой ветке (аналогичен апгрейд до промежуточных версий):
после скачивания апгрейдного пакета (tar.gz архив), по SFTP копируем его в каталог /guest/upgrade/ (под Виндой можно использовать бесплатный WinSCP)
распаковываем архив: tar zxvf ....tar.gz
в созданном каталоге запускаем ./upgrade.sh
после отработки скриптов - перегружаемся.
Аналогично можно проапгрейдиться с версии 1.1.3 до 2.0.0
Для апгрейда с 2.0.0 пакет представляет собой уже не архив, а сразу sh файл, который также копируется по SFTP !в режиме bin! в каталог /guest/upgrade/, где запускается:
sh ./....sh
Вроде бы перезагружать сервер не требуется, но все таки рекомендуется это сделать.

понедельник, 7 декабря 2009 г.

Ошибка 442 в Vista - Cisco VPN Client

Для того, чтобы заработал под Вистой Cisco VPN Client 5.0.05.0290


нужно отключить службу "Общий доступ к подключению к Интернету (ICS)"
иначе выдает ошибку 442, что не позволяет включить виртуальный адаптер.